責任ある開示
私たちはすべての情報開示を真摯に受け止め、脆弱性を迅速に確認し、報告者への対応に全力を尽くします。セキュリティチームは確認された脆弱性をなるべく早く修正するための措置を講じ、修正作業の進行状況を報告者に報告します。メルカリグループから明確な同意がない限り、このプログラムで特定された脆弱性を第三者に開示しないようお願いします。
報告のガイドライン
- 再現手順とともに詳細な報告を行ってください。
再現に必要な情報が不足しているレポートは受け付けられません - 脆弱性ごとにひとつの報告書提出をお願いします。ただし、問題の影響をより明確にするために複数の脆弱性を1つの報告書に含める必要がある場合は例外とします
各脆弱性について徹底的な調査を行うために、次の内容をレポートに含めてください
- お名前と連絡用のメールアドレス
- この情報をもとに、脆弱性に関する詳細についてご連絡する場合があります
- 該当するアプリのバージョンとOS(iOS、Android、Web)
- 脆弱性の種類とカテゴリー
- 脆弱性に関する詳細
- 問題を再現するための手順
- 可能であれば、スクリーンショットや動画を添付してください
- 実証実験(PoC)
- 期待される正しい挙動や会費方法
- 外部への報告(もし予定している場合)
- 脆弱性の修正にはできる限り迅速に取り組む予定です。修正が完了するまでは開示を控えるようお願いします
脆弱性報告プログラムのルール
- メルカリグループからの明確な同意がない限り、このプログラムで特定された脆弱性を第三者に開示しないこと
- セキュリティの調査活動や本プログラムへの参加において、必ず適用法令を遵守すること
- 脆弱性を第三者に開示する前に、報告内容についてメルカリが調査するための十分な時間を確保すること
- 提出されたレポートがメルカリの社外ベンダーに関係する可能性がある場合、または実際に関係する場合、メルカリはレポートを関連当事者に転送する権利を有する
- ソーシャルエンジニアリング(フィッシング、ビッシング、スミッシング等)は禁止されており、脆弱性報告プログラムの対象外とする
- 脆弱性の確認に必要な範囲を超える利用や悪用は行わないこと
- メルカリグループ、メルカリのお客さま、従業員に危害を与えるような行為は行わないこと
- メルカリグループのサービスや資産に悪影響を及ぼす可能性のある行為は行わないこと
- 自身が所有していないアカウントとのやり取りは行わないこと
- 不正取引を開始、または助長しないこと
- 個人を特定できる情報(PII)や財務情報などの機密情報を発見した場合は、それ以上の調査を行わず、直ちに連絡すること。また、機密情報を第三者に開示しないこと
- メルカリシステムからのデータの持ち出し、変更、削除を行わないこと。また、システムに改変を加えないこと
プログラム対象外の脆弱性
脆弱性を報告する際は(1)攻撃シナリオ・悪用の可能性、(2)脆弱性によるセキュリティへの影響度を考慮してください。下記に該当する場合は本プログラムの対象外とします:
- メルカリの財産(インフラ、施設、データセンター等)に対する物理的な攻撃
- メルカリの従業員や委託業者に対するソーシャルエンジニアリング(フィッシングを含む)
- メルカリグループのサービスの停止につながる可能性のある行為(DoS、DDoS等)
- 公式パッチをリリースしてから30日未満の、すでに公表しているゼロデイ脆弱性。当該の報告に関しては謝礼の対象とするかは個別に検討
- 明確な影響が認められない、モバイルアプリケーションに埋め込まれたサードパーティのAPIキー・シークレット(多くのサードパーティはアトリビューション目的でこれを必要とするため)
- メルカリが直接保有していないアプリケーションに関する問題
- メルカリアプリの旧バージョンに関する問題
- ユーザー列挙攻撃:ユーザーを保護するレート制限を設けていないことが証明できる場合を除く
- パスワード再利用攻撃:ユーザーを保護するレート制限を設けていないことが証明できる場合を除く
- オープンリダイレクト:単純なリダイレクトの悪用を超えるセキュリティ上の影響が証明できる場合を除く(例:フィッシングのためのリダイレクトの使用のみでは影響として不十分とみなす)
- 無効リンクのハイジャック:単純なリダイレクトの悪用を超えるセキュリティ上の影響が証明できる場合を除く(例:フィッシングのためのリダイレクトの使用のみでは影響として不十分とみなす)
- センシティブなアクションを伴わないページでのクリックジャッキング
- 悪用を証明するPoCが存在しないセキュリティヘッダーの欠如または誤設定(content-security-policy、public-key-pins、x-xss-protection、x-content-type-options、x-frame-options、HSTS等)
- Hostヘッダインジェクション:追加のセキュリティ上の影響が証明できる場合を除く
- 実用的なPoCが存在しない既知の脆弱なライブラリ
- コンテンツセキュリティポリシーにおけるベストプラクティスの欠如
- TLS/SSLのバージョン、コンフィギュレーション、脆弱な暗号、もしくは期限切れの証明書
- 非セッションCookieにおけるHTTPOnly、もしくはSecureフラグの欠如
- 認証されていないフォームや、センシティブなアクションを伴わないフォームでのCSRF(クロスサイトリクエストフォージェリ)
- センシティブなアクションを伴わないフォームでのCAPTCHAの欠如
- SMS OTPやその他認証方法をバイパスせず、ログインフォームに対して行われるブルートフォース攻撃
- Self-XSS
- 自動補完が有効になっていること
- Tab-nabbingが可能であること
- スパム
- 脆弱性が証明されていないCSV(Comma Separated Values)インジェクション
- Emailのベストプラクティスの欠如(SPF/DKIM/DMARCのレコードが無効、不完全、または欠落している場合など)
- ソフトウェアバージョンの開示、バナー識別の問題、記述的なエラーメッセージまたはヘッダー(例:スタックトレース、アプリケーションまたはサーバーのエラー)。ただし、追加のセキュリティ上の影響を証明できる場合を除く
- リソースの過剰消費、DoS、不適切なコンテンツのアップロード等の明確な影響がない無制限のファイルアップロード
- 同形異義語、RTLO、もしくはその他のUIの問題
- GPSスプーフィング:追加のセキュリティ上の影響が証明できる場合を除く
- ブラックハットSEO手法の活用
- アカウントスクワッティング(特定のメールアドレスを使用してのユーザー登録を出来なくすることで実施)
- ユーザーが通常行うとは考えにくい操作を必要とする問題(追加のセキュリティ上の影響が証明できる場合を除く)
- 自動化ツールや脆弱性スキャナーから生成された、実際の影響が未確認の報告
- 認証されていないキャッシュの削除
- サードパーティサービスにおける設定の不備や脆弱性
安全な通信のため
脆弱性報告フォームを利用できない場合や、メルカリとのメール通信を安全に行いたい場合は以下のPGPキーを使用してください。
-----BEGIN PGP PUBLIC KEY BLOCK-----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=A4SH
-----END PGP PUBLIC KEY BLOCK-----
報奨
脆弱性レポートに対する報奨の提供は現在行なっていません。しかし、有効な報告に対しては感謝の気持ちとしてノベルティグッズ(Tシャツ、パーカーなど)を提供させていただく場合があります。
こちらでコントロール不可能な要因(例:現地の輸入規制、配送制限、国際的な物流の問題)により、特定の国にはお礼の品を届けられない場合があることをご了承ください。
同じ脆弱性に対する報告を複数いただいた場合(既に認識している問題に対する報告)は、最初に受理した報告のみにお礼を提供させていただきます。(脆弱性が完全に再現できる場合に限ります。
セーフハーバー
上記の責任ある開示のガイドラインを守って脆弱性を報告していただく限り、メルカリグループはその活動に対して法的措置をとることはありません。 しかし、これらガイドラインが守られていない場合、メルカリグループはすべての法的権利を行使することができるものとします。本ポリシーに基づき行われた活動に関連して第三者から報告者に対して法的措置が取られた場合、メルカリは報告者の行為が本ポリシーを遵守して行われたことを言明します。
責任ある開示、そしてメルカリのお客さまが安心・安全にサービスを利用できる環境の構築にご協力いただきありがとうございます!