Proton
最終更新日:2025年7月30日

脆弱性情報開示ポリシー

CERNで出会った科学者たちが設立した企業として、私たちはピアレビューを信じています。 そのため、私たちは独立したセキュリティコミュニティをサポートし、システムのセキュリティを維持し、機密情報を不正な開示から保護する手助けをしてもらっています。 セキュリティ研究者の方々には、Proton製品で特定された潜在的な脆弱性を報告するために、弊社にご連絡いただくことを推奨します。

このポリシーでは、以下を指定します。

  • 対象となるシステムおよびアプリケーション
  • 対象となるセキュリティ調査方法の種類
  • 潜在적인セキュリティ脆弱性を弊社に報告する方法
  • 弊社の脆弱性開示に関する理念と、脆弱性を公に開示する前にお客様にお待ちいただく期間

Protonは、脆弱性開示ポリシーに準拠した報告を5営業日以内に受領したことを通知します。 受領後、私たちは提出内容を検証し、(適切な場合には)是正措置を実施し、報告された脆弱性の処理状況を研究者に遅滞なく通知するよう努めます。

お客様がセキュリティ調査中に誠意をもって本ポリシーを遵守するよう努めた場合、弊社はお客様の調査をProtonの法的セーフハーバーポリシーに従って許可されたものとみなします。 弊社はお客様と協力して問題を迅速に理解し解決に努め、お客様の調査に関連するいかなる行為に対しても法的措置を推奨したり、追求したりすることはありません。

テスト方法

セキュリティ研究者は、以下の行為をしてはなりません。

  • 下記の「範囲」セクションに記載されているシステム以外のシステムをテストすること
  • 下記の「脆弱性の報告」および「開示」セクションに記載されている場合を除き、脆弱性情報を開示すること
  • 施設やリソースの物理的なテストを行うこと
  • ソーシャルエンジニアリングを行うこと
  • 「フィッシング」メッセージを含む、Protonユーザーへの迷惑メールを送信すること
  • 「サービス拒否」または「リソース枯渇」攻撃を実行または実行しようとすること
  • Protonまたは第三者のシステムに悪意のあるソフトウェアを導入すること
  • Protonシステムの動作を低下させたり、SECシステムを意図的に損なったり、中断させたり、無効にしたりする可能性のあるテストを実行すること
  • Protonシステムと統合したり、Protonシステムにリンクしたり、Protonシステムからリンクされたりするサードパーティのアプリケーション、ウェブサイト、またはサービスをテストすること
  • Protonデータを削除、変更、共有、保持、または破棄したり、Protonデータにアクセス不能にしたりすること
  • エクスプロイトを使用してデータを抜き取ったり、コマンドラインアクセスを確立したり、Protonシステム上で持続的なプレゼンスを確立したり、他のProtonシステムへ「ピボット」したりすること

セキュリティ研究者は、以下の行為が許可されます。

  • 潜在的な脆弱性の存在を文書化するために必要な範囲に限り、Protonの非公開データを閲覧または保管すること

セキュリティ研究者は、以下の行為を行う必要があります。

  • 脆弱性を発見したら直ちにテストを中止し、弊社に通知すること
  • 非公開データの漏洩を発見したら直ちにテストを中止し、弊社に通知すること
  • 脆弱性を報告する際に、保管されている非公開データをすべて消去すること

範囲

以下のシステムとサービスが対象です。

Proton

  • 弊社のウェブサイト、proton.me
  • account.proton.meのWebアプリ

Proton Calendar

  • calendar.proton.meのWebアプリ
  • Proton Calendarアプリ (AndroidおよびiOS/iPad)

Proton Drive

  • drive.proton.meのWebアプリ
  • Proton Driveアプリ (Android、iOS/iPad [ベータ版]、およびWindows)

Proton Docs

  • docs.proton.meのWebアプリ

Proton Mail

  • mail.proton.meウェブアプリ
  • api.protonmail.chウェブアプリ
  • Proton Mailモバイルアプリ(AndroidおよびiOS/iPad)
  • Proton Bridgeアプリ(GNU/Linux、macOS、Windows)
  • Proton Scribe

Proton Pass

  • pass.proton.meウェブアプリ
  • Proton Passモバイルアプリ(Android、iOS/iPad)
  • Proton Passデスクトップアプリ(Linux、macOS、Windows)
  • Proton Passウェブ拡張機能(ChromeおよびFirefox)

Proton Authenticator

  • Proton Authenticatorモバイルアプリ(Android、iOS/iPad)
  • Proton Authenticatorデスクトップアプリ(Linux、macOS、Windows)

Proton VPN

  • 当社のVPNウェブサイト、protonvpn.com
  • account.protonvpn.comウェブアプリ
  • api.protonvpn.chウェブアプリ
  • Proton VPNアプリ(Android、iOS/iPad、Linux、macOS、Windows)
  • Proton VPNウェブ拡張機能(Android TV、Apple TV、Chrome、Chromebook、Firefox)

Proton Wallet

  • wallet.proton.meウェブアプリ
  • Proton Walletアプリ(Android、iOS)

Lumo by Proton

  • lumo.proton.meウェブアプリ
  • Proton Lumoアプリ(Android、iOS)

SimpleLogin

  • simplelogin.ioウェブサイト
  • app.simplelogin.ioウェブアプリ
  • SimpleLoginモバイルアプリ(AndroidおよびiOS)
  • SimpleLoginブラウザ拡張機能(Chrome、Edge、Firefox、Safari)

Standard Notes

  • standardnotes.comウェブサイト
  • app.standardnotes.comウェブアプリ
  • Standard Notesアプリ(Android、iOS/iPad、Linux、macOS、Windows)

上記に明記されていないサービスは、このポリシーの対象外です。 明確にするために、これには以下が含まれますが、これらに限定されません。

  • 迷惑メール
  • ソーシャルエンジニアリング技術
  • サービス拒否(DoS)攻撃
  • Protonまたはそのユーザーに重大なリスクがあることを明確に実証できない限り、コンテンツインジェクションは対象外です。
  • サンドボックス化されたドメインでのスクリプトの実行
  • 最新のOSバージョンまたは過去2暦年以内にリリースされたモバイルデバイスで再現できないモバイルアプリのクラッシュレポート
  • Protonのミッションの範囲外のセキュリティ問題
  • 極めてまれなユーザー操作を必要とするバグ
  • WordPressのバグ(WordPressに報告してください)
  • shop.proton.meのバグ(Shopifyに報告してください)
  • proton.me/support/contact、protonmail.zendesk.com、support.protonmail.com、help.protonmail.comのバグ(Zendeskに報告してください)
  • status.proton.meのバグ(Atlassianに報告してください)
  • デバイスへの物理的なアクセスを必要とする概念実証
  • 古いソフトウェア — さまざまな理由により、常に最新のソフトウェアバージョンを実行しているとは限りませんが、完全にパッチが適用されたソフトウェアを実行しています
  • 古いブラウザに影響を与える欠陥
  • partners.proton.meのバグ(TUNEに報告してください)
  • localize.proton.meのバグ(Discourseに報告してください)

脆弱性の報告

報告は電子メールでsecurity@proton.meにて受け付けます。 受け入れ可能なメッセージ形式は、プレーンテキスト、リッチテキスト、HTMLです。 脆弱性を送信する際は、PGP公開鍵を使用して提出物を暗号化することをお勧めします。

  • 脆弱性の悪用を示す概念実証コードを含む報告を推奨します。
  • 報告には、脆弱性を再現するために必要な手順の詳細な技術的説明を含める必要があります。これには、脆弱性を特定または悪用するために必要なツールの説明も含まれます。
  • 画像(スクリーンショットなど)やその他のドキュメントを報告に添付できます。 添付ファイルには分かりやすい名前を付けると役立ちます。
  • スクリプトやエクスプロイトコードは、実行不可能なファイルタイプに埋め込んでいただくようお願いします。
  • zip、7zip、gzipなど、すべての一般的なファイルタイプとアーカイブを処理できます。

研究者は匿名で報告を提出することも、Proton Securityチームがいつ、どのように連絡すべきかを含む連絡先情報を提供することもできます。 提出された報告の側面を明確にしたり、その他の技術情報を収集したりするために、研究者に連絡することがあります。

Protonに報告を提出することにより、お客様は報告および添付ファイルが第三者の知的財産権を侵害しないことを表明したものとみなされます。 また、お客様はProtonに対し、報告および添付ファイルを使用、複製、二次的著作物を作成、公開するための非独占的、ロイヤリティフリー、全世界的、永続的なライセンスを付与するものとします。


情報開示

Protonは脆弱性の迅速な修正に尽力しています。 当社は、コミュニティを危険にさらすあらゆる問題の解決に真摯に取り組みます。 すぐに利用可能な是正措置がないまま脆弱性を公に開示すると、コミュニティのセキュリティリスクが減少するのではなく、むしろ増加する可能性が高いため、当社がお客様から提出された報告を調査する間、すべての研究者の皆様にご理解いただくようお願い申し上げます。

したがって、お客様には、当社が報告の受領確認書を受け取ってから120暦日間、発見された脆弱性に関する情報の共有を控えていただく必要があります。 当社の是正措置の実施前に他の人に脆弱性を知らせるべきだとお客様がお考えの場合、事前にProton Securityチームと調整する必要があります。

影響を受けるベンダーと脆弱性報告を共有することがあります。 明示的な許可がない限り、セキュリティ研究者の名前や連絡先データを共有することはありません。


ご質問

このポリシーに関するご質問は、security@proton.meまでお送りください。 Protonでは、セキュリティ研究者の皆様が本ポリシーのいかなる要素についても、明確化のために当社に連絡することを奨励しています。

特定のテスト方法がこのポリシーと矛盾しているか、このポリシーで対処されていないか不明な場合は、テストを開始する前に当社までお問い合わせください。 また、セキュリティ研究者の皆様には、本ポリシーを改善するためのご提案をいただくことも歓迎いたします。


本コンテンツの英語版と翻訳版との間に矛盾がある場合は、英語版が優先されるものとします。