グループが提供する各サービスの潜在的な脆弱性をご報告いただく場合は、下記のフォームから情報の提供をお願いいたします。
※Jiraアカウントが必要です
また、Eメール(security[ @ ]mercari.com)でもご報告いただけます。送信時は、下記のPGP鍵をご利用ください。
脆弱性報告のガイドライン
脆弱性を適切に調査するために、ご報告の際には下記の情報を記載してご提出ください。
- お名前とEメールアドレス
- 脆弱性を確認したアプリのバージョンとOS(iOS、Android、Web)
- 脆弱性タイプとカテゴリー
- ご報告いただく脆弱性の詳しい内容
- 再現手順
- 可能であれば、画面のスクリーンショットやビデオ
- PoC(Proof of Concept)
- 期待される正しい挙動、または回避方法
- 外部への報告(もし予定している場合)
- 可能な限り迅速に脆弱性の修正に取り組んでおります。報告者の皆さまには修正が完了するまで外部への報告をお控えいただきますようお願い申し上げます。
セキュリティチームは、ご報告いただく脆弱性を大変重く捉えており、可能な限り迅速に対応し、脆弱性の検証、修正に努めております。
初期対応が完了次第、ご報告いただいた内容の検証・修正状況をご報告いたします。
安全な通信
脆弱性報告フォームを利用できない場合でも、Eメールで安全にご報告いただくために、下記のPGP鍵をご利用ください。
-----BEGIN PGP PUBLIC KEY BLOCK-----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=A4SH
-----END PGP PUBLIC KEY BLOCK-----※現在、脆弱性報奨金制度は設けておりません。従って、ご報告いただいた情報に報酬が支払われることはございません。有効な情報をご報告いたたいた方には、ご協力に感謝を込めノベルティ商品を提供させていただきます
脆弱性報告の方針
本プログラムに関する脆弱性について、メルカリの明示的な同意なしに公開しないようお願いします。
報奨
現在、弊社では脆弱性報奨金制度を設けていないため、報告に対して報奨金が支払われることはございません。有効な報告に対しては、ご協力に感謝を込めノベルティグッズ(Tシャツ、パーカーなど)を提供させていただく場合もあります。
プログラムのルール
- 再現手順とともに詳細な報告を行ってください。情報不足で問題が再現できない場合は、報告は受理されません。
- 脆弱性ごとに報告書の提出をお願いします。ただし、問題の影響をより明確にするために、複数の脆弱性を1つの報告書に含めないといけない場合は例外とします。
- 同じ脆弱性に対する報告を複数いただいた場合(既に認識している問題に対する報告)は、最初に受理した報告のみをノベルティの対象とします(脆弱性が完全に再現できる場合に限ります)。
- ソーシャルエンジニアリング(フィッシング、ビッシング、スミッシング等)を用いた攻撃は禁止されており、脆弱性報告プログラムの対象外となっています。
- プライバシーの侵害、データの破壊、および当社サービスの中断や低下につながる行為は避けるよう誠実な取り組みをお願いいたします。自身が所有するアカウント、または他のアカウント所有者の明確な許可を得たアカウントとのみやり取りを行ってください。
- 資産やシステムの悪用の報告に関しては、悪用の可能性を証明するにとどめ、実際の悪用によるリスクを最小限に抑えてください(例:SQLインジェクションなどの問題が発見された場合、機密データを多量に抽出するのではなく、侵襲性が最も低い方法で実現可能性を示しす程度でお願いします)。
- メルカリ、メルカリのお客さま・従業員に危害を与えるような行為は行わないこと。
- メルカリのサービスの中断や資産の低下につながるような行為は行わないこと。
- 不正取引を実施・助長しないこと。
- 個人を特定できる情報を共有、漏洩、晒さないこと。
- セキュリティリサーチ活動、および本プログラムへの参加に関して、適用法令を必ず遵守してください。
- 脆弱性に関して第三者に連絡する前に、当社が報告内容について調査する十分な時間をください。
- 当社の書面による事前の許可なく、潜在的および顕在的な脆弱性を第三者もしくは一般に公表してはいけません。
- 提出された報告書がメルカリの第三者ベンダーに潜在的に、または実際に関係する場合、メルカリは報告書を関連当事者に転送する権利を留保します。
プログラム対象外の脆弱性
脆弱性を報告する際は、(1)攻撃シナリオ・悪用可能性、(2)バグによるセキュリティへの影響度を考慮してください。下記の問題は本プログラムの対象外となります:
- メルカリの財産(インフラ、施設、データセンター等)に対する物理的な攻撃
- メルカリの従業員や委託業者に対するソーシャル エンジニアリング(フィッシングを含む)
- 当社サービスの停止につながる可能性のある行為(DoS、DDoS等)
- 公式パッチをリリースしてから30日未満のすでに公表しているゼロデイ脆弱性の報告に関しては、謝礼の対象とするかは個別に検討します。
- 明確な影響がない、モバイルアプリケーションに埋め込まれたサードパーティのAPIキー・シークレット(多くのサードパーティはアトリビューション目的でこれを必要とするため)
- メルカリが提供するアプリ以外のアプリに関する問題
- メルカリアプリの旧バージョン(現在利用不可なバージョン)に関する問題
- ユーザー列挙攻撃:ユーザーを保護するレート制限を設けていないことが証明できる場合を除きます。
- パスワードリユースアタック:ユーザーを保護するレート制限を設けていないことが証明できる場合を除きます。
- オープンリダイレクト
- 単純なリダイレクトの悪用以上のセキュリティ上の影響が証明できる場合を除きます(例:フィッシングのためのリダイレクトの使用だけでは十分な影響があるとは言えません)。
- センシティブなアクションを伴わないページでのクリックジャッキング
- 悪用を証明するPoCが存在しないセキュリティヘッダーの欠如または誤設定(content-security-policy、public-key-pins、x-xss-protection、x-content-type-options、x-frame-options、HSTS等)
- ホストヘッダインジェクション:追加のセキュリティ上の影響が証明できる場合を除きます。
- 実用的なPoCが存在しない既知の脆弱なライブラリ
- コンテンツセキュリティポリシーにおけるベストプラクティスの欠如
- TLS/SSLのバージョン、コンフィギュレーション、脆弱な暗号、もしくは期限切れの証明書
- 非セッションCookieにおけるHTTPOnly、もしくはSecureフラグの欠如
- コンテンツスプーフィングおよびテキストインジェクション:追加のセキュリティ上の影響が証明できる場合を除きます。
- 認証されていないフォームや、センシティブなアクションを伴わないフォームでのCSRF(クロスサイトリクエストフォージェリ)
- Self-XSS
- Autocomplete有効
- Tab-nabbing
- スパム
- 脆弱性が証明されていないCSV(Comma Separated Values)インジェクション
- Emailのベストプラクティスの欠如(無効、不完全、または欠落したSPF/DKIM/DMARCのレコード等)
- ソフトウェアバージョンの開示、バナー識別の問題、記述的なエラーメッセージまたはヘッダー(例:スタックトレース、アプリケーションまたはサーバーのエラー)。ただし、追加のセキュリティ上の影響を証明できる場合を除きます。
- リソースの過剰消費、DoS、不適切なコンテンツのアップロード等の明確な影響がない無制限のファイルアップロード
- 同形異義語、RTLO、もしくはその他のUIの問題
- GPSスプーフィング:追加のセキュリティ上の影響が証明できる場合を除きます。
- ブラックハットSEO手法の活用
- アカウントスクワッティング(特定のメールアドレスを使用してのユーザー登録を出来なくすることで実施)
- リファラーポリシーの欠如
- ユーザーとの対話の必要性が低い問題(追加のセキュリティ上の影響が証明できる場合を除きます)
- 自動化ツールや脆弱性スキャナーからの未確認の報告
セーフハーバー
本ガイドラインに従って脆弱性の報告を行う限り、当社が報告者に対して法的措置を取ることはありません。本ガイドラインの違反があった場合、当社はすべての法的権利を留保します。本ポリシーに基づき行われた活動に関連して、第三者から報告者に対して法的措置が取られた場合、当社は報告者の行為が本ポリシーを遵守して行われたことを言明します。
責任ある報告、そしてメルカリのお客さまが安心・安全にサービスを利用できる環境の構築にご協力いただきありがとうございます。