1. はじめに
unofaxでは、システムおよびユーザーデータのセキュリティを最優先事項としています。潜在的な脆弱性の特定と対処にご協力いただけるセキュリティ研究者、倫理的ハッカー、および広範なコミュニティからの報告を歓迎いたします。本ポリシーでは、セキュリティ上の問題を責任を持って報告する方法と、当社からの対応についてご説明します。
2. 対象範囲
unofax.comのunofaxウェブアプリケーションおよび関連APIで発見された脆弱性が対象です。以下は対象外となります:
• サードパーティサービス(Square決済処理、Google Analyticsなど)
• unofaxの従業員やユーザーに対するソーシャルエンジニアリングやフィッシング攻撃
• サービス拒否(DoS/DDoS)攻撃
• 物理的なセキュリティの問題
• unofaxが所有していないソフトウェアやインフラストラクチャの脆弱性
3. 報告方法
潜在的なセキュリティの脆弱性を発見された場合は、support@unofax.comまでメールでご報告ください。できる限り詳細な情報をお知らせください:
• 脆弱性の説明と想定される影響
• 問題を再現する手順
• 裏付けとなる証拠(スクリーンショット、概念実証コード、ログ)
• お名前と連絡先情報(任意ですが、フォローアップに役立ちます)
4. 当社のコミットメント
善意に基づき、本ポリシーに従って脆弱性を報告していただいた場合、当社は以下をお約束します:
• 報告受領の確認を3営業日以内に行います
• 初期評価を10営業日以内に提供します
• 問題解決の進捗状況をお知らせします
• 本ポリシーに従って行われた調査活動に対して法的措置を講じません
• 脆弱性を公表する際にご希望に応じてクレジットを記載します
5. 研究者向けガイドライン
責任ある調査を実施するため、以下のガイドラインをお守りください:
• 他のユーザーのデータにアクセス、変更、または削除しないでください
• unofaxサービスの可用性を妨害または低下させないでください
• 当社が対処する合理的な機会を得る前に脆弱性を公開しないでください
• 善意を持って行動し、unofaxまたはそのユーザーに害を与える行為を避けてください
• ご自身が所有するアカウントまたはテストの明示的な許可を得たアカウントでのみテストしてください
6. セーフハーバー
本ポリシーに従って行われたセキュリティ調査は許可されたものとみなし、これらのガイドラインを遵守する研究者に対して法的措置を講じることはありません。本ポリシーに準拠して行った活動に対して第三者から法的措置が開始された場合、当社はお客様の行為が許可されたものであることを周知するために合理的な措置を講じます。
7. 対象外の事項
以下の種類の発見は、一般的に本ポリシーの対象とはなりません:
• 実証可能な悪用につながらないセキュリティヘッダーの欠如
• 機密性の高い操作のないページでのクリックジャッキング
• セルフXSS(ユーザー自身のセッションにのみ影響するクロスサイトスクリプティング)
• 悪用の可能性を実証しないレート制限の欠如
• 古いブラウザやプラグインを必要とする脆弱性
• 手動検証なしの自動スキャンで発見された問題
8. お問い合わせ
すべての報告およびお問い合わせはsupport@unofax.comまでご連絡ください。