セキュリティ報奨プログラム
QNAPは情報セキュリティに対して妥協することなく取り組んでおり、セキュリティ調査コミュニティーと共に当社のユーザーや製品、インターネットをより安全に保つために脆弱性の検出と修正をおこなっています。QNAPはセキュリティ報奨プログラムを通して、皆さんの貢献に感謝の意を表し報奨金を贈呈いたします。
脆弱性を報告し報奨金を得る方法とは?
下記のPGP暗号公開鍵を使って電子メールを暗号化してから、security@qnap.com宛にご送信ください。当社から迅速にご連絡いたします。
PGP暗号鍵
報奨対象の資格
-
脆弱性の報告は調査を実施した本人に限ります。
-
脆弱性に関するファイルや詳細は一般に共有されていないものに限ります。これには一般にアクセス可能なウェブサイトへのアップロードも含まれています。
-
報告された脆弱性はQNAP PSIRTチームによって検証可能で、再現性があると、認められたセキュリティ問題に限ります。
-
セキュリティ報奨プログラムの利用規約すべてに同意されるものとします。
報奨金は以下に基づきます。
-
フォーマットの整合性:オペレーティングシステム、アプリケーション、クラウドサービスにおける脆弱性を報告する場合は、フォーマット例に準拠した詳細な情報を提供してください。フォーマット例:オペレーティングシステム、アプリケーション、クラウドサービス。
-
再現するための手順:脆弱性を再現するための手順を記述してください。
-
問題の説明:トラブルシューティングとそのアプローチを明確かつ簡潔に記述してください。
-
その他の補足情報:テスト用コードやスクリプトなど、説明に必要なものをすべて含めてください。
-
攻撃の生データ(負荷の実績):データ整合性の確認には、文字形式でのレポートが必要です。ネットワークの負荷が画像のみで提供された場合、QNAP PSIRTが望む脆弱性評価条件には満たない恐れがあります。
よくあるご質問
報奨金は脆弱性を発見した際の複雑さや、情報漏洩の可能性、影響を受けるユーザーおよびシステムの割合によって決定されます。
脆弱性が発見された方法を当社が理解する助けとなるビデオであれば、結果としてQNAP報奨委員会からの報奨が増える可能性があります。なお、脆弱性発見プロセスを管理する上で必要となりますので、文章によるドキュメント(例:製品情報、脆弱性の概要、再現する手順)は必ず提出をお願いいたします。
脆弱性レポートには少なくとも製品名、バージョン、脆弱性の存在するビルド番号、またはクラウドサービスのURLに関する情報を含めてください。 また、再現手順の明確な記載と共に、脆弱性によって生じる脅威の可能性の概要も示されるものとします。さらに、レポートには脆弱性のデモを記録したビデオを添付できます。
QNAPが提供するPGPキーを使ってレポートを暗号化し、 security@qnap.com宛にお送りください。システムから自動的にテクニカルサポート番号が返信されますので、審査の進捗状況を問い合わせることができます。QNAP PSIRTチームは、申請された情報の整合性を確認するために、調査された方へご連絡を差し上げます。必要な情報がすべて提供されると、調査された方にQNAP PSIRT脆弱性確認レターを1週間以内に送付いたします。レターには報告されたセキュリティ問題に対して付与されたCVE IDも記載されています。報奨金の提案については、脆弱性確認レターの日付から4週間後で電子メールにて通知されます。調査された方が同意されると、QNAPが確認の返信を受信してから12週間後に支払いが行われます。
最新の製品セキュリティニュースを受け取るためにQNAP eNewsを購読してください
オペレーティングシステム
報奨金は最大20,000米ドル
報奨金 |
脆弱性レポートを確認し評価によって、最大20,000米ドルの報奨金を受け取ることができます |
---|---|
対象製品 |
受理される対象は、公式にリリースされた最新バージョンの製品、アプリケーション、サービスに関するレポートに限ります。
|
制限事項 |
セキュリティ報奨プログラムは、QNAP製品およびサービスで発見された脆弱性にのみ、厳密に限定されています。QNAPサーバーやデータに損害を与えたり、不利益を与えるような行為は禁止されています。いずれの脆弱性テストでも、その地域または台湾の法律に違反するものであってはいけません。 以下の説明に合致または含まれるような脆弱性レポートは受理されません。
|
アプリケーション
報奨金は最大10,000米ドル
報奨金 |
脆弱性レポートを確認し評価によって、最大10,000米ドルの報奨金を受け取ることができます |
---|---|
対象製品 |
受理される対象は、公式にリリースされた最新バージョンの製品、アプリケーション、サービスに関するレポートに限ります。 本プログラムで受理されるレポートは、下記のアプリケーションのセキュリティ脆弱性のみを対象とします。
|
制限事項 |
セキュリティ報奨プログラムは、QNAP製品およびサービスで発見された脆弱性にのみ、厳密に限定されています。QNAPサーバーやデータに損害を与えたり、不利益を与えるような行為は禁止されています。いずれの脆弱性テストでも、その地域または台湾の法律に違反するものであってはいけません。 以下の説明に合致または含まれるような脆弱性レポートは受理されません。
|
クラウドサービス
報奨金は最大5,000米ドル
報奨金 |
脆弱性レポートを確認し評価によって、最大5,000米ドルの報奨金を受け取ることができます |
---|---|
対象製品 |
受理される対象は、公式にリリースされた最新バージョンの製品、アプリケーション、サービスに関するレポートに限ります。 本プログラムで受理されるレポートは、下記のドメインのセキュリティ脆弱性のみを対象とします。
|
制限事項 |
セキュリティ報奨プログラムは、QNAP製品およびサービスで発見された脆弱性にのみ、厳密に限定されています。QNAPサーバーやデータに損害を与えたり、不利益を与えるような行為は禁止されています。いずれの脆弱性テストでも、その地域または台湾の法律に違反するものであってはいけません。 以下の説明に合致または含まれるような脆弱性レポートは受理されません。
|
オペレーティングシステム
(*の付いた項目は入力必須)
-
製品*:製品名(例:QuTS hero)
-
バージョン*:バージョンおよびビルド番号(例:h5.0.1.2376 build 20230421)
-
概要*:「ロケーションにおける脆弱性のタイプ」の形式(例:abc.cgiでのCommand Injection)
-
アクセス権*:脆弱性発見時のアクセス権限です。例:なし / 一般ユーザー / 管理者グループ / 管理者
-
動機:脆弱性リサーチを始めたのはなぜですか?
-
ツール:脆弱性リサーチで使用したツールです。
-
説明:脆弱性に関する情報
-
例:
-
想定される損害についての簡単な説明
-
脆弱性の解析
-
脆弱性の検出方法
-
使用したツール
-
-
CWE ID:CWE-XXX、CWE-YYYなど
-
CAPEC ID:CAPEC-XXX、CAPEC-YYYなど
-
CVSS スコア:CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1.、Base Score Calculator https://cvss.js.org/を参照
-
再現するための手順*:再現するためのステップ毎の説明
-
概念実証:ビデオ、スクリーンショット、エクスプロイトなどいずれか
アプリケーション
(*の付いた項目は入力必須)
-
アプリケーション*:アプリケーション名(例:File Station)
-
バージョン*:バージョンおよびビルド番号(例: 2.0.2 ( 2022/01/26 ))
-
概要*:「ロケーションにおける脆弱性のタイプ」の形式(例:abcアプリでのバッファオーバーフロー)
-
アクセス権*:脆弱性発見時のアクセス権限です。例:なし / 一般ユーザー / 管理者グループ / 管理者
-
動機:脆弱性リサーチを始めたのはなぜですか?
-
ツール:脆弱性リサーチで使用したツールです。
-
説明:脆弱性に関する情報
-
例:
-
想定される損害についての簡単な説明
-
脆弱性の解析
-
脆弱性の検出方法
-
使用したツール
-
-
CWE ID:CWE-XXX、CWE-YYYなど
-
CAPEC ID:CAPEC-XXX、CAPEC-YYYなど
-
CVSS スコア:CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1.、Base Score Calculator https://cvss.js.org/を参照
-
再現するための手順*:再現するためのステップ毎の説明
-
概念実証:ビデオ、スクリーンショット、エクスプロイトなどいずれか
クラウドサービス
(*の付いた項目は入力必須)
-
ドメイン*:ドメイン名 (例:https://account.qnap.com)
-
概要*:「ロケーションにおける脆弱性のタイプ」の形式(例: https://account.qnap.comでのXSS)
-
動機:脆弱性リサーチを始めたのはなぜですか?
-
ツール:脆弱性リサーチで使用したツールです。
-
説明:脆弱性に関する情報
-
例:
-
想定される損害についての簡単な説明
-
脆弱性の解析
-
脆弱性の検出方法
-
使用したツール
-
-
CWE ID:CWE-XXX、CWE-YYYなど
-
CAPEC ID:CAPEC-XXX、CAPEC-YYYなど
-
CVSS スコア:CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1.、Base Score Calculator https://cvss.js.org/を参照
-
再現するための手順*:再現するためのステップ毎の説明
-
概念実証:ビデオ、スクリーンショット、エクスプロイトなどいずれか