Proton

Protonバグ報奨金プログラム

Protonコミュニティは、当社のサービスが情報を安全に保つことを信頼しています。 当社はその信頼を真摯に受け止めており、そのためセキュリティ研究コミュニティと協力して潜在的な脆弱性を特定、検証、解決することに専念しています。

セキュリティ研究者であれば、Protonのサービスをより安全にし、セキュリティ貢献者として認められ、報奨金を得られる可能性があります。 そして、プライバシーがデフォルトであるより良いインターネットの構築に貢献することができます。

バグ報奨金プログラムの範囲とルール

Protonバグ報奨金プログラムに脆弱性を提出する前に、以下の文書をお読みください。

  • 当社の脆弱性開示ポリシーには、プログラムで認められているテスト方法が記載されています。

  • 当社のセーフハーバーポリシーでは、Protonバグ報奨金プログラムに脆弱性を報告する際に、どのテストとアクションが法的責任から保護されるかを説明しています。

脆弱性開示ポリシーを読む
セーフハーバーポリシーの詳細

脆弱性を報告する方法

脆弱性の報告は、security@proton.me 宛にメールで提出できます。 報告書は、プレーンテキスト、リッチテキスト、またはHTMLを使用して提出できます。

Proton Mailをご利用でない場合は、当社の PGP公開鍵 を使用して提出物を暗号化することを推奨します。

対象となる脆弱性

当社は、バグ報奨金プログラムの範囲内で、ユーザーデータの機密性または完全性に実質的な影響を与える設計または実装上の問題を検討の対象とする可能性が高いです。 これには以下が含まれますが、これらに限定されません。

ウェブアプリケーション

  • クロスサイトスクリプティング

  • 混合コンテンツスクリプト

  • クロスサイトリクエストフォージェリ

  • 認証または認可の欠陥

  • サーバーサイドのコード実行バグ

  • REST APIの脆弱性

デスクトップアプリ

  • Protonアプリを介したリモートコード実行

  • ローカルデータ、認証情報、またはキーチェーン情報の漏洩

  • 認証および認可の脆弱性

  • 安全でない更新またはコード署名メカニズム

  • ローカルでの権限昇格の脆弱性

モバイルアプリ

  • モバイルローカルデータのセキュリティ侵害

  • 認証または認可の欠陥

  • サーバーサイドのコード実行バグ

サーバー数

  • 権限昇格

  • SMTPエクスプロイト(例:オープンリレー)

  • 不正なシェルアクセス

  • 不正なAPIアクセス

対象外の範囲

当社の脆弱性開示ポリシーをご参照ください。

提出内容の審査と報奨金の決定

当社は、本ポリシーに従って誠意をもって行われたセキュリティ調査を認め、報奨金を提供します。

報奨金額は、Protonのセキュリティチームおよびエンジニアリングチームのメンバーで構成される当社の裁定委員会によって、ケースバイケースで評価されます。 この委員会が報奨金に関するすべての最終決定を行い、参加者はこれらの決定を尊重することに同意する必要があります。

Protonユーザーのデータへの影響の深刻度が、報奨金額を決定する際の主な要因となります。 以下に示す金額は、標準的な報奨金の範囲です。 実際の支払額は、次のような要因によって異なる場合があります。

  • 前提条件:エクスプロイトが脆弱性自体以外の追加要件に依存するかどうか。例:

    • 一般的でないユーザー設定 – 非典型的なユーザー構成または設定に依存する場合。
    • デフォルト以外の構成 – Protonソフトウェアが標準的でない方法でセットアップされている必要がある場合。
    • エクスプロイトの信頼性 – 成功が一貫していない場合。例:競合状態、低いRCE成功率による非決定的な成功。
    • ローカルデバイスの状態 – 昇格された権限、ジェイルブレイク/ルート化されたデバイス、および/または物理的なアクセスが必要な場合。
    • 環境またはネットワークの条件 – 稀またはありそうもない外部条件に依存する場合。

  • 影響範囲:当社のサービスの機密性、完全性、または可用性がどの程度影響を受けるか。

  • エクスプロイトチェーンの価値:その問題がより広範な脆弱性の連鎖に寄与できるかどうか。

  • 悪用の可能性:その問題が実際の攻撃で使用される可能性。

  • 新規性: 問題が新規か、既報か、公知か。最初の有効な提出のみが対象となります。

  • 提出の質:再現可能な概念実証(PoC)または影響を示す明確な道筋を含める必要があります。 コードまたは疑似コードを強く推奨します。

例外的なケースでは、報奨金は最大報奨金額まで増額されることがあります。

報奨金額

  • 最大報奨金:100,000米ドル

  • 重大度 - 緊急:25,000~50,000米ドル

    サービス環境の完全かつ持続的な不正制御を可能にする、または特別な条件や事前のアクセスを必要とせずに全ユーザーのデータの機密性または完全性を損なう脆弱性の発見。

  • 重大度 - 高:2,500~25,000米ドル

    サービス環境の大部分に対する持続的な不正制御、または広範なユーザーグループに影響を与えるデータ機密性または完全性の大幅な侵害につながる脆弱性の発見。ただし、特別な条件や事前のアクセスは不要ですが、完全なサービス侵害には至らないもの。

  • 重大度 - 中:1,000~2,500米ドル

    サービス環境の一部に対する不正な制御を可能にする、または単一ユーザーもしくは小規模グループのユーザーデータの完全性や機密性を損なう脆弱性の発見。 あるいは、重大なユーザー操作や特定の条件を必要とするが、それでも機密データや制御の漏洩につながる、より広範な影響を持つ脆弱性。

  • 重大度 - 低:ケースバイケース、デフォルトでは金銭的報奨なし

    影響が限定的であるか、または発生条件が稀である脆弱性の発見。

適格要件

意図された動作を説明する所見、または具体的な悪用経路のない理論的またはベストプラクティスに関する推奨事項は対象外です。 Protonが問題を修正し、修正をデプロイした後、対象となる各脆弱性の最初の有効な報告者に、対応する報奨金が支払われます。

質問

このポリシーに関する質問は、security@proton.me までお送りください。 Protonでは、セキュリティ研究者の皆様が本ポリシーのいかなる要素についても、明確化のために当社に連絡することを奨励しています。

テストを開始する前に、特定のテスト方法がこのポリシーと矛盾しているか、またはこのポリシーで扱われていないかどうかが不明な場合は、当社までご連絡ください。 また、セキュリティ研究者の皆様には、本ポリシーを改善するためのご提案をいただくことも歓迎いたします。

お問い合わせ先