Protonバグバウンティプログラム
Protonコミュニティは、情報を安全に保つためにProtonのサービスを信頼しています。 Protonはその信頼を真摯に受け止めており、セキュリティ研究コミュニティと協力して、潜在的な脆弱性の特定、検証、解決に取り組んでいます。
セキュリティ研究者の皆様は、Protonのサービスをより安全なものにし、セキュリティへの貢献者として認められ、報酬を獲得できる可能性があります。 そして、プライバシーがデフォルトとなる、より良いインターネットの構築に貢献することになります。

バグバウンティプログラムの範囲とルール
Protonバグバウンティプログラムに脆弱性を報告する前に、以下のドキュメントをお読みください:
Protonの脆弱性開示ポリシーでは、プログラムで認められているテスト方法について説明しています。
セーフハーバーポリシーでは、Protonバグバウンティプログラムに脆弱性を報告する際に、免責保護の対象となるテストやアクションについて説明しています
脆弱性の報告方法
脆弱性レポートは、メール(security@proton.me)で提出できます。 レポートは、プレーンテキスト、リッチテキスト、またはHTMLを使用して提出できます。
Proton Mailを使用していない場合は、ProtonのPGP公開鍵を使用して提出物を暗号化することを推奨します。
対象となる脆弱性
バグバウンティプログラムの範囲内で、ユーザーデータの機密性または完全性に重大な影響を与える設計または実装上の問題は、検討の対象となる可能性が高いです。 これには以下が含まれますが、これらに限定されません:
ウェブアプリ
クロスサイトスクリプティング
混在コンテンツスクリプト
クロスサイトリクエストフォージェリ
認証または認可の欠陥
サーバーサイドコード実行バグ
REST APIの脆弱性
デスクトップアプリ
Protonアプリを介したリモートコード実行
ローカルデータ、認証情報、またはキーチェーン情報の漏洩
認証および認可の弱点
安全でない更新またはコード署名メカニズム
ローカル権限昇格の脆弱性
モバイルアプリ
モバイルローカルデータのセキュリティ侵害
認証または認可の欠陥
サーバーサイドコード実行バグ
サーバー
権限昇格
SMTPエクスプロイト(オープンリレーなど)
不正なシェルアクセス
不正なAPIアクセス
提出物の審査と報酬の決定
Protonは、このポリシーに従って行われた善意のセキュリティ研究を認め、報酬を提供します。
報奨金額は、Protonのセキュリティおよびエンジニアリングチームのメンバーで構成される審査パネルによって、ケースバイケースで評価されます。 このパネルが報奨金の授与に関するすべての最終決定を行い、参加者はこれらの決定を尊重することに同意する必要があります。
Protonユーザーのデータに対する影響の深刻度が、報酬額を決定するプライマリーな要因となります。 以下の数字は、標準的な報酬範囲を表しています。 実際の支払額は、以下のような要因によって変動する場合があります:
前提条件:エクスプロイトが脆弱性そのもの以外の追加要件に依存するかどうか。例えば:
- 一般的なユーザー設定ではない – 非定型のユーザー構成または設定に依存する。
- デフォルトではない構成 – Protonソフトウェアが標準外の方法でセットアップされている必要がある。
- エクスプロイトの信頼性 – 成功が一貫していない(例:競合状態による非決定的な成功、低いRCE成功率など)。
- ローカルデバイスの状態 – 特権の昇格、脱獄/ルート化されたデバイス、および/または物理的なアクセスが必要。
- 環境またはネットワーク条件 – 稀な、またはありそうにない外部条件に左右される。
影響範囲:サービスの機密性、完全性、または可用性が影響を受ける程度。
エクスプロイトチェーンの価値:その問題が、より広範な脆弱性の連鎖に寄与できるかどうか。
悪用の可能性:その問題が実際の攻撃で使用される可能性。
新規性: その問題が新しいか、以前に報告されているか、すでに公開されているか。最初の有効な提出のみが対象となります。
提出物の質:再現可能な実証コード(PoC)または影響を示す明確なパスを含める必要があります。 コードまたは擬似コードが強く推奨されます。
例外的なケースでは、最大報酬額まで増額される場合があります。
報酬額
最大報酬:100,000米ドル
深刻度「緊急」:25,000~50,000米ドル
特別な条件や事前のアクセスを必要とせずに、サービス環境の完全かつ持続的な不正制御を可能にする、またはすべてのユーザーデータの機密性や完全性を侵害する脆弱性の発見。
深刻度「高」:2,500~25,000米ドル
特別な条件や事前のアクセスを必要とせずに、サービス環境の大部分に対する持続的な不正制御、または広範なユーザーグループに影響を与えるデータの機密性や完全性の重大な侵害につながる脆弱性の発見(ただし、サービスの完全な侵害には至らないもの)。
深刻度「中」:1,000~2,500米ドル
サービス環境の一部に対する不正制御を可能にする、または単一のユーザーや小規模なグループのユーザーデータの完全性や機密性を侵害する脆弱性の発見。 あるいは、より広範な影響を持つが、重要なユーザー操作や特定の条件を必要とし、それでも機密データや制御の露出につながる脆弱性。
深刻度「低」:ケースバイケース、デフォルトでは金銭的報酬なし
影響が限定的である、または発生条件が稀である脆弱性の発見。
資格要件
意図された動作を記述したもの、理論上の指摘、またはエクスプロイトへの具体的なパスを伴わないベストプラクティスの推奨事項は対象外です。 対象となる各脆弱性の最初の有効な報告者は、Protonが問題を確認し、修正をデプロイした後に、対応する支払いを受け取ります。
ご質問
本ポリシーに関するご質問は、security@proton.meまで送信してください。 Protonは、本ポリシーのあらゆる点について、明確化のために当社へ連絡することをセキュリティ研究者に推奨しています。
特定のテスト方法が本ポリシーと矛盾しているか、あるいは本ポリシーで扱われていないかが不明な場合は、テストを開始する前にお問い合わせください。 また、本ポリシーを改善するための提案についても、セキュリティ研究者の皆様からのご連絡をお待ちしています。