1. 脆弱性対応プロセス
1.1 脆弱性の提出
セキュリティ研究者は、infosec@fjdynamics.com 宛にメールで詳細な報告を送付することで、発見内容を報告できます。 報告には、脆弱性に関する包括的かつ詳細な情報を含める必要があります。重要な情報が不足している場合、評価が遅延する、または脆弱性評価を進められない可能性があります。
1.2 脆弱性の確認および評価
脆弱性報告を受領後、FJDynamicsのセキュリティチームは、当該問題が本プログラムの対象範囲に含まれるかどうかを判断するための一次確認を行います。対象外の場合は、受理できない理由を添えてメールにて報告者へ通知します。対象範囲内である場合は、正式な評価プロセスを開始します。
評価段階では、セキュリティチームが技術的詳細、テスト環境情報、その他関連データに基づき、脆弱性の真正性および悪用可能性を検証し、潜在的リスクを分析します。
1.3 脆弱性の重要度判定およびフィードバック
評価完了後、セキュリティチームは当該脆弱性に対して重要度(Severity)を判定します。重要度が確定した後、7営業日以内に公式セキュリティプラットフォームを通じて結果を報告者へ通知します。
1.4契約締結および報奨金の支払い
報告者は、脆弱性に関するすべての情報を機密として保持し、正式な許可を得る前に第三者へ開示しないことを保証するため、FJDynamicsとの間で秘密保持契約(NDA)を締結する必要があります。 報奨金の支払いは、NDA締結完了後、本プログラムのガイドラインに従い実施されます。
有効な報告は、脆弱性の重要度およびガイドライン遵守状況に基づいて報奨対象となります。報奨には、金銭的報酬、表彰、ならびに当社からの謝意の表明が含まれる場合があります。確認済みの脆弱性については、通常1~3か月以内の支払いを予定しています。
1.5 脆弱性の修正およびクローズ
FJDynamicsのセキュリティチームは、報告された脆弱性について、可能な限り短期間で解決および修正を行うよう努めます。
2. 脆弱性報告要件および対象範囲
2.1 脆弱性報告要件
高品質な脆弱性報告は、評価および修正プロセスの迅速化に不可欠です。提出内容は以下の条件を満たす必要があります。
脆弱性の詳細説明
- 脆弱性の原理、発生条件、想定される影響を明確かつ正確に記載してください。
- セキュリティチームが問題を再現できるよう、再現手順をステップごとに詳細に記載してください。手順には操作順序、使用したツール、パラメータ設定を含める必要があります。
- 破壊的でないPoC(Proof of Concept)証拠を提出してください。例:RCE(リモートコード実行)の場合は、簡単なコマンド(例:「hello world」)の実行を示すスクリーンショットまたは動画を提出してください。情報漏えいの場合は、漏えいデータのサンプル(実ユーザーの個人情報はマスキングしたもの)を提出してください。
テスト環境情報の詳細提供
-脆弱性に関連するURL、アプリ名、コード断片(該当する場合)を明記してください。
- ハードウェア関連の脆弱性の場合は、デバイスモデル、ファームウェアバージョン、OSバージョンを記載してください。ソフトウェア関連の脆弱性の場合は、ソフトウェアバージョンおよび実行環境(OS種類/バージョン、ブラウザ種類/バージョン等)を含めてください。
- テスト中に取得した関連データ(例:パケットキャプチャファイル、ログファイル等)を添付資料として保持し、提出してください。
2.2 脆弱性報告の有効対象範囲
- ドメイン: fjdynamics.com、fjdynamics.cn、fjdac.com、fjdac.cn.
- モバイルアプリs: FJDynamics, FJD Trion Scan, Jiangdu, FJD Trion Model, FJDynamics Energy Center, FJD Landscaping (iOS/Android版).
- ハードウェア製品およびファームウェア: FJD Precision Agriculture、FJD 3D-Modeling Surveying、FJD Digital Construction (FJDynamics公式サイトに掲載されている製品サポートリストに基づき、公式なセキュリティメンテナンス期間内の製品に限ります)
- 認証メカニズム: FJDynamicsアカウントログインシステム、デバイス紐付け認証、APIインターフェース認可、および関連メカニズム
2.3 対象外となる脆弱性の種類
- FJDynamicsにより既に認識済み、または修正済みの脆弱性(公式セキュリティアドバイザリまたは脆弱性データベースに記録されているもの)
-FJDynamicsが販売終了、またはセキュリティサポート終了を正式に発表した製品・サービスを対象とした報告
- 第三者製品またはサービスに起因する脆弱性(例:外部プラグイン、統合された外部API等)。ただし、FJDynamicsの統合方式により脆弱性が発生し、セキュリティリスクとなる場合は除きます
- 再現不能、重要な技術情報が不足している、または理論上のリスクに留まる報告
- セキュリティ欠陥ではなく通常業務の範囲に該当する内容(例:一般的なUX改善提案、機能要望等)
3. 脆弱性評価要素および基準
3.1 脆弱性評価要素
- データセキュリティへの影響: 漏えいする可能性のあるデータの機密性レベル(例:身分証番号、銀行カード情報、商業機密は高機密。ユーザーニックネームや公開デバイス情報は低機密)および影響範囲
- 悪用の難易度: 特殊なハードウェア、特定ネットワーク環境、高権限アカウントが必要かどうか、また手順の複雑性
- ユーザーおよび事業リスク: ユーザーへの損害可能性(例:金銭的損失、プライバシー漏えい、デバイス破損)および企業運営への影響(例:生産活動、サービス提供可用性への影響)
- 影響範囲: 影響を受ける製品の種類、影響を受けるデバイス数・ユーザー数、脆弱性のあるサーバークラスターの規模
3.2 評価対象外となる要素
- 脆弱性発見に要した研究者の時間
- 脆弱性研究の目的でFJDynamics製品を購入した際の費用
-脆弱性の本質的な重大性や影響範囲と無関係なその他の要素(例:研究者の経歴、使用ツールの高度さ等)
3.3 重要度判定基準および報奨
脆弱性の重要度レベル | 定義 | 代表的な事例 |
クリティカル(重大) | FJDynamicsのシステム完全性およびユーザーデータの安全性に対し、壊滅的な影響を及ぼす可能性がある脆弱性です。悪用が容易で影響範囲が極めて広く、大規模な情報漏えい、デバイスの完全な侵害、または基幹業務の停止につながる恐れがあります。 | 1. Trusted Execution Environment(TEE)内で任意コードを実行でき、すべてのセキュリティ保護を回避可能。 2.リモートから任意コードを実行し、多数のFJDynamicsデバイスを制御して異常動作やシステム侵害を引き起こす。 3. リモートによる恒久的なサービス拒否(DoS)により、デバイスが使用不能となる、または復旧にファームウェア再書き込みが必要となる。. |
ハイ(高) | システムセキュリティに重大な影響を与える可能性がある脆弱性です。不正アクセス、機密データの漏えい、または業務の一部停止につながる恐れがあります。悪用難易度が比較的低く、影響範囲が広いことが特徴です。 | 1.Trusted Execution Environment(TEE)へ不正アクセスし、保存されている暗号鍵を取得できる 2.リモートで任意コードを実行し、単体または限定数のデバイスを侵害し、ユーザーの機密データ窃取につながる可能性がある。 3.リモートによる一時的なサービス拒否(DoS)により、デバイスの停止または再起動が発生し、正常な運用が妨げられる。 |
ミディアム(中) | 特定条件下でユーザーデータの漏えいやシステム不具合を引き起こす可能性がある、中程度のリスクを持つ脆弱性です。悪用難易度は中程度であり、影響範囲は限定的です | 1. ローカルで任意コードを実行(ハードウェア改造不要)し、デバイス上のユーザー機密データへアクセスできる。 2. ユーザーの非中核的な機密データへの不正アクセスが可能。 3. ローカルでのサービス拒否(DoS)により、復旧に手動での再起動が必要となる。 |
ロー(低) | 限定的な状況下で、システムまたはユーザーに軽微な影響を与える可能性がある低リスクの脆弱性です。悪用難易度が高く、影響範囲が極めて限定的であることが特徴です。 | 1.ローカルで任意コードを実行(ハードウェア改造が必要)できるが、機密データへのアクセスはできない。 2.セキュリティ上の影響が限定的な軽微な情報漏えい。 3. 特定の旧式ブラウザまたはOSにのみ影響する互換性関連のセキュリティ上の問題。 |
これらの重要度レベルに分類することで、最も重大な脅威に対して優先的に対応し、効率的にリソースを配分することを目的としています。これにより、当社システムおよびユーザーデータの安全性と完全性を確保します。報奨は、発見・報告された脆弱性の種類に応じて決定されます。
3.4 報奨ガイドライン
- 報奨は、脆弱性またはセキュリティインテリジェンスを最初に報告した者に対してのみ支払われます。
- 既知の脆弱性(FJDynamicsにより既に認識されているもの、他の研究者により報告済みのもの、または公式記録に記載されているもの)は報奨対象外です。
- 同一の脆弱性が複数の研究者から報告された場合、最初に有効な報告を行った者のみが報奨対象となります。共同報告の場合は、すべての貢献者を提出時に明記する必要があります。報奨の分配は貢献者間の合意に基づき、FJDynamicsは合意により指定された口座に対してのみ支払いを行います。
-FJDynamicsは報奨金額に関する最終決定権を有します。報奨にかかる個人所得税等が発生する場合は報告者負担とし、支払い時に控除されます。
4. 脆弱性情報の開示要件
FJDynamicsおよびユーザーの正当な権利・利益を保護するため、報告者は以下の開示ルールを厳守する必要があります。
- FJDynamicsから事前の書面による許可を得ない限り、脆弱性に関するいかなる情報(技術原理、再現手順、テストデータ等)も第三者(他のセキュリティ研究者、メディア、SNS等を含む)へ開示してはなりません。
-正式な許可を得た後に開示する場合でも、脆弱性の影響を客観的かつ正確に記載しなければなりません。重要度を誇張する、ユーザーの不安を煽る、またはFJDynamicsのブランド評価を損なう可能性のある内容を公開してはなりません。機密情報(ユーザーデータ、個人情報、サーバーアドレス、ソースコード断片等)は、いかなる場合でも開示してはなりません。
-脆弱性情報の売買・取引、または悪意ある利用(脅迫、恐喝等)を厳格に禁止します。違反が確認された場合、報奨は即時取り消され、FJDynamicsが法的措置を講じる可能性があります。
- FJDynamicsのソースコードまたはデータへの無断アクセス、ダウンロード、配布は法令違反となる可能性があり、FJDynamicsは利用可能なあらゆる法的手段を講じる権利を有します。
5. 参加ルールおよび禁止事項
5.1 参加ルール
-参加者は18歳以上であり、完全な民事行為能力を有する必要があります。組織または企業として参加する場合は、法人資格を証明する有効な書類を提出する必要があります。
- 中華人民共和国および参加者の居住国/地域の法令を厳格に遵守してください。本プログラムを違法または犯罪行為に利用してはなりません。
-ユーザーのプライバシーおよびデータ機密性を尊重してください。テスト中にユーザーデータを窃取、開示、改ざんしてはなりません。また、通常のユーザー体験を妨げる行為は避けてください。
- 本プログラムで明示的に対象とされている製品・サービスのみをテストしてください。対象範囲外のシステムやサービスを攻撃対象としてはなりません。テストはFJDynamicsが許可した範囲内に限定される必要があります。
- 脆弱性を発見した場合は、速やかに公式チャネルを通じて報告してください。報告を遅延させたり、脆弱性を隠蔽したりしてはなりません。検証および修正対応においては、必要な追加情報を提供するなど、FJDynamicsセキュリティチームに協力してください。
5.2 禁止行為
- 脆弱性を悪用してFJDynamicsまたはユーザーの利益を損なう行為(例:ユーザーアカウント情報、個人データ、仮想資産の窃取。デバイス機能の妨害や物理的損害の発生等)
- テスト中にFJDynamicsの機密情報(ソースコード、コアアルゴリズム、営業秘密等)をダウンロード、複製、または拡散する行為
-FJDynamicsのシステムまたはデバイスに対する悪意ある攻撃(例:DDoS攻撃、システム停止・サービス中断・データ損失を引き起こす総当たり攻撃等)
- 脆弱性の影響を誇張し、SNSやメディア等を通じて世論不安を煽る、またはFJDynamicsのブランド評価を損なう行為(脅迫、恐喝を含む)
-修正完了前、または正式な許可を得る前に、第三者へ脆弱性情報を開示する、もしくは第三者と共謀して不当な利益を得る行為
- 有害または制御不能なテスト手法の使用(例:システムクラッシュやデータ破損を引き起こす可能性のあるマルウェア利用。ユーザーの明確な同意なくユーザーデバイスを対象にテストする行為等)
- 本プログラムの参加合意またはその他公式に公開されたルールに違反し、FJDynamicsからの通知後も是正しない行為
上記の禁止行為が確認された場合、FJDynamicsは参加資格を即時停止し、記録済み・保留中・支払い済みを含むすべての報奨を取り消します。また、必要に応じて法的手段により損害賠償を請求し、違法行為については司法当局へ通報し、刑事調査および訴追を求める場合があります。
6.免責事項
FJDynamicsは、事前通知なく本バグバウンティプログラムの利用規約および条件を随時変更する権利を有します。本プログラムへの参加は、適用されるすべてのルールおよびガイドラインに同意したものとみなされます。報奨は、報告された脆弱性の重要度および影響範囲に応じて変動する場合があります。