Proton
最終更新日:2025年7月30日

脆弱性情報開示ポリシー

CERNで出会った科学者たちによって設立された企業として、当社はピアレビューを信じています。 そのため、当社は独立したセキュリティコミュニティをサポートし、システムのセキュリティを維持し、機密情報を不正な開示から保護するのに役立てています。 セキュリティ研究者の皆様には、Proton製品で特定された潜在的な脆弱性を報告するために、当社にご連絡いただくことをお勧めします。

このポリシーでは、以下を規定します。

  • 対象となるシステムとアプリケーション
  • 対象となるセキュリティ調査方法の種類
  • 潜在的なセキュリティ脆弱性を当社に報告する方法
  • 当社の脆弱性情報開示の理念と、脆弱性を公に開示する前にお客様にお待ちいただく期間

Protonは、脆弱性情報開示ポリシーに準拠した報告を5営業日以内に受領したことを通知します。 受領後、当社は提出物を検証し、是正措置を実施し(適切な場合)、報告された脆弱性の処理状況を遅滞なく研究者に通知するよう努めます。

お客様がセキュリティ調査中にこのポリシーを誠実に遵守しようと努力した場合、当社はProtonの法的セーフハーバーポリシーに従い、お客様の調査を許可されたものと見なします。 当社はお客様と協力して問題を迅速に理解・解決し、お客様の調査に関連するいかなる行為に対しても法的措置を推奨または追求することはありません。

テスト方法

セキュリティ研究者は以下を行ってはなりません。

  • 以下の「対象範囲」セクションに記載されているシステム以外のシステムをテストすること
  • 以下の「脆弱性の報告」および「情報開示」セクションに記載されている場合を除き、脆弱性情報を開示すること
  • 施設またはリソースの物理的なテストを行うこと
  • ソーシャルエンジニアリングを行うこと
  • 「フィッシング」メッセージを含む、未承諾の電子メールをProtonユーザーに送信すること
  • 「サービス拒否」または「リソース枯渇」攻撃を実行または試みること
  • Protonまたは第三者のシステムに悪意のあるソフトウェアを導入すること
  • Protonシステムの動作を低下させたり、SECシステムを意図的に損なったり、中断させたり、無効にしたりする可能性のあるテストを実行すること
  • Protonシステムと統合したり、Protonシステムにリンクしたり、Protonシステムからリンクされたりするサードパーティのアプリケーション、ウェブサイト、またはサービスをテストすること
  • Protonデータを削除、変更、共有、保持、破壊したり、Protonデータにアクセスできなくしたりすること
  • エクスプロイトを使用してデータを抜き取ったり、コマンドラインアクセスを確立したり、Protonシステム上で永続的なプレゼンスを確立したり、他のProtonシステムへ「ピボット」したりすること

セキュリティ研究者は以下を行うことができます。

  • 潜在的な脆弱性の存在を文書化するために必要な範囲でのみ、Protonの非公開データを表示または保存すること

セキュリティ研究者は以下を行う必要があります。

  • 脆弱性を発見したら、直ちにテストを中止し、当社に通知すること
  • 非公開データの漏洩を発見したら、直ちにテストを中止し、当社に通知すること
  • 脆弱性を報告する際に、保存されている非公開データをすべて消去すること

対象範囲

以下のシステムとサービスが対象です。

Proton

  • 当社のウェブサイト、proton.me
  • account.proton.meウェブアプリ

Proton Calendar

  • calendar.proton.meウェブアプリ
  • Proton Calendarアプリ(AndroidおよびiOS/iPad)

Proton Drive

  • drive.proton.meウェブアプリ
  • Proton Driveアプリ(Android、iOS/iPad [ベータ版]、Windows)

Proton Mail

  • mail.proton.meウェブアプリ
  • api.protonmail.chウェブアプリ
  • Proton Mailモバイルアプリ(AndroidおよびiOS/iPad)
  • Proton Bridgeアプリ(GNU/Linux、macOS、Windows)
  • Proton Scribe

Proton Pass

  • pass.proton.meウェブアプリ
  • Proton Passモバイルアプリ(Android、iOS/iPad)
  • Proton Passデスクトップアプリ(Linux、macOS、Windows)
  • Proton Passウェブ拡張機能(ChromeおよびFirefox)

Proton Authenticator

  • Proton Authenticatorモバイルアプリ(Android、iOS/iPad)
  • Proton Authenticatorデスクトップアプリ(Linux、macOS、Windows)

Proton VPN

  • 当社のVPNウェブサイト、protonvpn.com
  • account.protonvpn.comウェブアプリ
  • api.protonvpn.chウェブアプリ
  • Proton VPNアプリ(Android、iOS/iPad、Linux、macOS、Windows)
  • Proton VPNウェブ拡張機能(Android TV、Apple TV、Chrome、Chromebook、Firefox)

Proton Wallet

  • wallet.proton.meウェブアプリ
  • Proton Walletアプリ(Android、iOS)

Lumo by Proton

  • lumo.proton.meウェブアプリ
  • Proton Lumoアプリ(Android、iOS)

SimpleLogin

  • simplelogin.ioウェブサイト
  • app.simplelogin.ioウェブアプリ
  • SimpleLoginモバイルアプリ(AndroidおよびiOS)
  • SimpleLoginブラウザ拡張機能(Chrome、Edge、Firefox、Safari)

Standard Notes

  • standardnotes.comウェブサイト
  • app.standardnotes.comウェブアプリ
  • Standard Notesアプリ(Android、iOS/iPad、Linux、macOS、Windows)

上記に明記されていないサービスは、このポリシーの対象外です。 明確にするために、これには以下が含まれますが、これらに限定されません。

  • 迷惑メール
  • ソーシャルエンジニアリング技術
  • サービス拒否(DoS)攻撃
  • Protonまたはそのユーザーに重大なリスクがあることを明確に実証できない限り、コンテンツインジェクションは対象外です。
  • サンドボックス化されたドメインでのスクリプトの実行
  • 最新のOSバージョンまたは過去2暦年以内にリリースされたモバイルデバイスで再現できないモバイルアプリのクラッシュレポート
  • Protonのミッションの範囲外のセキュリティ問題
  • 極めてまれなユーザー操作を必要とするバグ
  • WordPressのバグ(WordPressに報告してください)
  • shop.proton.meのバグ(Shopifyに報告してください)
  • proton.me/support/contact、protonmail.zendesk.com、support.protonmail.com、help.protonmail.comのバグ(Zendeskに報告してください)
  • status.proton.meのバグ(Atlassianに報告してください)
  • デバイスへの物理的なアクセスを必要とする概念実証
  • 古いソフトウェア — さまざまな理由により、常に最新のソフトウェアバージョンを実行しているとは限りませんが、完全にパッチが適用されたソフトウェアを実行しています
  • 古いブラウザに影響を与える欠陥
  • partners.proton.meのバグ(TUNEに報告してください)
  • localize.proton.meのバグ(Discourseに報告してください)

脆弱性の報告

報告は電子メールでsecurity@proton.meにて受け付けます。 受け入れ可能なメッセージ形式は、プレーンテキスト、リッチテキスト、HTMLです。 脆弱性を送信する際は、PGP公開鍵を使用して提出物を暗号化することをお勧めします。

  • 脆弱性の悪用を示す概念実証コードを含む報告を推奨します。
  • 報告には、脆弱性を再現するために必要な手順の詳細な技術的説明を含める必要があります。これには、脆弱性を特定または悪用するために必要なツールの説明も含まれます。
  • 画像(スクリーンショットなど)やその他のドキュメントを報告に添付できます。 添付ファイルには分かりやすい名前を付けると役立ちます。
  • スクリプトやエクスプロイトコードは、実行不可能なファイルタイプに埋め込んでいただくようお願いします。
  • zip、7zip、gzipなど、すべての一般的なファイルタイプとアーカイブを処理できます。

研究者は匿名で報告を提出することも、Proton Securityチームがいつ、どのように連絡すべきかを含む連絡先情報を提供することもできます。 提出された報告の側面を明確にしたり、その他の技術情報を収集したりするために、研究者に連絡することがあります。

Protonに報告を提出することにより、お客様は報告および添付ファイルが第三者の知的財産権を侵害しないことを表明したものとみなされます。 また、お客様はProtonに対し、報告および添付ファイルを使用、複製、二次的著作物を作成、公開するための非独占的、ロイヤリティフリー、全世界的、永続的なライセンスを付与するものとします。


情報開示

Protonは脆弱性の迅速な修正に尽力しています。 当社は、コミュニティを危険にさらすあらゆる問題の解決に真摯に取り組みます。 すぐに利用可能な是正措置がないまま脆弱性を公に開示すると、コミュニティのセキュリティリスクが減少するのではなく、むしろ増加する可能性が高いため、当社がお客様から提出された報告を調査する間、すべての研究者の皆様にご理解いただくようお願い申し上げます。

したがって、お客様には、当社が報告の受領確認書を受け取ってから120暦日間、発見された脆弱性に関する情報の共有を控えていただく必要があります。 当社の是正措置の実施前に他の人に脆弱性を知らせるべきだとお客様がお考えの場合、事前にProton Securityチームと調整する必要があります。

影響を受けるベンダーと脆弱性報告を共有することがあります。 明示的な許可がない限り、セキュリティ研究者の名前や連絡先データを共有することはありません。


ご質問

このポリシーに関するご質問は、security@proton.meまでお送りください。 Protonでは、セキュリティ研究者の皆様が本ポリシーのいかなる要素についても、明確化のために当社に連絡することを奨励しています。

特定のテスト方法がこのポリシーと矛盾しているか、このポリシーで対処されていないか不明な場合は、テストを開始する前に当社までお問い合わせください。 また、セキュリティ研究者の皆様には、本ポリシーを改善するためのご提案をいただくことも歓迎いたします。


本コンテンツの英語版と翻訳版との間に矛盾がある場合は、英語版が優先されるものとします。