セキュリティへの取り組み
MoneyLeadはセキュリティを非常に重視しています。ユーザー保護とシステム改善にご協力くださるセキュリティ研究者の皆様には、深く感謝申し上げます。このページでは、セキュリティ脆弱性開示ポリシーと、セキュリティ問題を責任を持って報告する方法についてご説明します。
お問い合わせ
プライマリセキュリティメール:
別の連絡先:
PGP キー フィンガープリント:
8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
対象領域
範囲内:
- moneylead.gg およびすべてのサブドメイン
- すべての公開ウェブアプリケーション
- すべてのAPIエンドポイント
- 認証および認可メカニズム
- データの保存と転送のセキュリティ
範囲外:
- ソーシャルエンジニアリング攻撃
- 物理的なセキュリティテスト
- サービス拒否(DoS/DDoS)攻撃
- サードパーティのサービス(GitHub、CDNプロバイダーなど)
- スパムやソーシャルメディア攻撃
報告する方法
セキュリティの脆弱性を報告する場合は、次の情報を含めてください。
- 詳細説明 - 脆弱性の明確な説明
- 再現手順 - 問題を再現するための詳細な手順
- 影響 - 潜在的なセキュリティへの影響と影響を受けるユーザー
- コンセプトの証明 - PoCコードまたはスクリーンショット
- 環境 - ブラウザ、OS、その他の関連情報
- 連絡先情報 - フォローアップのためにご連絡する方法
ヒント: 機密情報の場合は、PGP キーを使用して電子メールを暗号化してください。
対応タイムライン
1️⃣
初期応答 - 報告書提出後48時間以内
2️⃣
状況更新 - トリアージ結果が7日以内に
3️⃣
解決タイムライン - 重症度によって異なります(トリアージ後に伝えられます)
4️⃣
開示 - 修正プログラム適用後の協調的な情報開示
セーフハーバー
当社は、このポリシーに従って実施されるセキュリティ リサーチを次のようにみなします。
- ✅ 認可された 適用法に従って
- ✅ 免除 研究を妨げる利用規約の制限から
- ✅ 合法 システムのセキュリティにも役立ちます
法的措置は行いません 次のような研究者に対して:
- プライバシーの侵害や妨害を回避するために誠意を持って努力する
- 自分が所有するアカウントまたは明示的に許可されたアカウントのみとやり取りする
- 概念実証を超えて脆弱性を悪用しない
- 脆弱性を速やかに報告する
- 脆弱性の詳細は、対処が完了するまで秘密にしてください
Encryption
機密の脆弱性に関する安全な通信のために、メッセージを暗号化するために PGP 公開鍵を使用してください。
# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import
# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt
# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt主な詳細:
- 種類: RSA 4096ビット
- 指紋: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
- 有効期限: 2027-10-14
セキュリティ.txt
私たちは従います RFC 9116 security.txtの標準です。機械可読形式のセキュリティポリシーは以下からご覧いただけます。
https://moneylead.gg/.well-known/security.txt
(PGP署名、RFC 9116準拠)
謝辞
私たちは、セキュリティの向上に貢献してくれるセキュリティ研究者を高く評価すべきだと考えています。責任を持って脆弱性を開示する研究者とは、以下のような方々です。
- 当社のウェブサイトで公開されています(許可を得て)
- セキュリティの殿堂に追加されました
- 景品やその他の表彰状が贈られる
注: 現在、バグ報奨金プログラムは提供していませんが、責任ある開示には深く感謝しており、皆様の貢献に感謝いたします。