責任ある情報開示
Coinomiは、製品およびサービス提供のセキュリティ向上にご尽力いただいているセキュリティ研究者の皆様の活動を高く評価しています。当社は、コミュニティと協力して、正当な報告に基づく脆弱性の検証、再現、および対応に取り組んでいます。責任ある情報開示プロセスにコミュニティの皆様のご参加を推奨いたします。
セキュリティ研究者として脆弱性をご報告いただける場合は、[email protected]までメールでお知らせください。報告の際には、お名前、連絡先情報、会社名(該当する場合)を必ずご記載ください。暗号化された報告を優先します。報告書とともにPGP公開鍵を添付してください。
責任ある情報開示のガイドライン
正当な報告については調査し、確認された脆弱性については迅速な修正に最善を尽くします。責任ある報告を奨励するために、以下の責任ある情報開示のガイドラインを遵守していただければ、法的措置をとったり、法執行機関に調査を依頼したりすることはありません。
- 脆弱性の詳細(脆弱性を再現および検証するために必要な情報とPoC(概念実証)を含む)を提示してください。
- プライバシー侵害、データの破壊、およびサービスの妨害や低下を回避するよう誠意を持って努めてください。
- ご自身に属さないデータは、変更したりアクセスしたりしないでください。
- 情報を公開する前に、当社に問題の修正に合理的な時間をください。
- Coinomiが単独で提供するサービスに対する報告のみを受け付けており、第三者による報告は受け付けません。
1~2営業日以内に、開示内容に対応するよう最善を尽くします。
上記のガイドラインに完全に準拠していない開示は、報奨金やそこに記載されている保証の対象外となります。
アプリケーション
当社は主に、攻撃者がCoinomiアプリケーションからウォレットや暗号資産を侵害する可能性のある脆弱性に関心があります。
対象となる脆弱性:
- PINまたは生体認証のバイパス。オペレーティングシステムがネイティブに提供する機能は除きます。
- トランザクションに署名するためのユーザー確認のバイパス
- メモリアクセス、ネットワークトラフィック、ローカルデバイスストレージなどを介した機密データの漏洩。
- 依存関係ツリー、別名サプライチェーン攻撃
- BIP-39/32/44導出および楕円曲線に関連する暗号化の脆弱性
対象外となる脆弱性:
- 暗号化されていないFirebaseサービストークン。
ウェブサイト
当社は、フロントエンドおよびバックエンドを含むインフラストラクチャの重大な脆弱性に関心があります。
対象外となる脆弱性:
- SPF/DMARCレコードの有無。
- CSRFトークンの欠落。
- クリックジャッキングおよびタブナビングの問題。
- 脆弱性に直接つながらないセキュリティヘッダーの欠落。
- ベストプラクティスの欠落(セキュリティ脆弱性の証拠が必要です)。
- 自動化されたツールまたはスキャンからの報告。
- 安全でないSSL/TLS暗号の報告(単なるスキャナーからの報告ではなく、実際に機能する概念実証がある場合のみ)。
- レート制限の欠如。
- 重大な脆弱性のない古いソフトウェア。
- リンク切れ。
- Zendesk、Twitterなど、第三者のサービスにおける脆弱性(第三者に直接報告してください)。