セキュリティバウンティプログラム

どんな技術にも完璧なものはありません。Cryptohopper では、ユーザーの資金とデータのセキュリティを非常に重視しており、その取り組みを共有してくださるすべてのリサーチャーの方々に感謝しています。私たちは、実行可能なすべての報告を歓迎し、実際に証明可能な影響をもたらす発見に対してのみ報奨金をお支払いします。

研究者への私たちの取り組み

私たちは、セキュリティリサーチが安全であり、かつ有意義なものになることを望んでいます。本プログラムのルールに従っていただければ、私たちは次のことをお約束します。

• o5営業日以内にあなたの報告を受領したことをお知らせします
• o問題の優先度を判断し、修正に取り組む間も、状況について随時お知らせします
• o本プログラムの範囲内で実施されたセキュリティリサーチについて、あなたに対して民事または刑事上の法的措置を取らないこと
• o発見事項を公開する前に30日間の猶予を設けていただき、その間に当社が問題を修正し、ユーザーを保護できるようにしてください

私たちが公表する前に、対応するための十分な機会を与えていただくようお願いします。正当な理由なく30日以内に対応できなかった場合は、公開のタイミングについて、協調的な開示スケジュールを一緒に検討させていただきます。

私たちが報告を受けたい内容

報酬の対象となるには、提出内容に動作する概念実証と、攻撃者が実際に何を行えるのかについての明確な説明を含める必要があります。特に、次の分野に関する報告を優先します。

システム侵害

• oリモートコード実行
• oSQLインジェクション
• o動作するエクスプロイトが確認された、その他のインジェクション種別（NoSQL、コマンド、テンプレートインジェクション）
• oXML外部実体（XXE）
• oサーバーサイドリクエストフォージェリ（SSRF）
• oS3バケットへのアクセス/アップロード

アカウントとデータのセキュリティ

• o認証の回避または不正なデータアクセス
• oInsecure Direct Object References (IDOR) — IDを操作して他のユーザーのデータにアクセスすること
• oセッションやトークンの欠陥（セッション固定攻撃、予測可能なトークン、JWT の誤用）によりアカウントが乗っ取られる
• oセッションや認証情報を盗む可能性のあるクロスサイトスクリプティング（XSS）
• o機密データの露出 — レスポンス、JSバンドル、またはログに表示される秘密鍵、APIシークレット、あるいは個人識別情報（PII）

財務的影響

不正な取引、注文の操作、または残高の不正利用を可能にするビジネスロジックの欠陥

暗号技術

暗号化の脆弱性

ユーザーデータ、資金、またはシステムの完全性に対して明確で現実的な影響を示すことができる場合、その他の種類の脆弱性も対象となる可能性があります。

対象となる資産

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oApple Store の iOS アプリケーション: cryptohopper-crypto-trading/id1463052050
• oGoogle Play ストアの Android アプリケーション: com.cryptohopper_mobile

報酬の対象外となるもの

以下は対象外です。これらのカテゴリーに該当する報告は報奨金の対象とはならず、詳細な回答をお送りできない場合があります。

レポートの品質

• o実行可能な概念実証がありません — 私たちがその検出結果を再現できる必要があります
• o手動による概念実証がない、（Burp、Nessus、Nuclei などの）自動スキャナーからの出力のみ
• o独自に検証されたオリジナルの調査内容を反映していない、AI生成またはテンプレート化されたレポート
• o重複したレポート — 最初に受け取ったレポートのみ報酬の対象となります
• oSelf-XSS — 報告者本人にのみ影響し、他のユーザーには影響がありません
• o既知ではあるが、実用的なエクスプロイトが存在しない脆弱なライブラリ

範囲と環境

• o対象範囲として明記されていない資産（ステージング環境、パートナーサイト、サードパーティ連携）に対するテスト
• o当社のシステムが直接の要因である場合を除き、ユーザーのデバイスまたはアカウントの事前の侵害を必要とする問題
• o脱獄済みまたはルート化されたデバイス、あるいは非標準的なクライアント構成（カスタムプロキシ、改変アプリなど）で発生する問題であっても、その影響が重大かつ現実的でない限り対象外となります
• oサポートを終了した、非推奨またはサポート終了済み製品における脆弱性
• o未適用の環境（例：OSアップデートが適用されていない）や、6か月以上前のバージョンのブラウザを必要とするベクター
• oMiTM または物理デバイスへのアクセスを必要とする攻撃

影響が小さく、ベストプラクティス上の問題のみ

• oサードパーティ連携から取得される公開鍵（例：取引所のAPI公開鍵）— これらは秘密情報ではなく、脆弱性にも当たりません
• o現実的な攻撃経路が存在しないオープンリダイレクト（トークン窃取や意味のあるフィッシング経路がないもの）
• o意味のある攻撃シナリオが存在しないクリックジャッキング
• o認証されていない状態でのものやログイン／ログアウト時のCSRFを含むCSRF
• oユーザー列挙
• o実際の後続攻撃が確認されていないバナー、バージョン情報、またはスタックトレースの開示
• oIPアドレスまたは発信元の開示
• o明確な悪用シナリオがない状況でのレート制限の欠如
• oSSL/TLS、DNS（DKIM/DMARC/SPF）、または HTTP ヘッダーにおけるベストプラクティスの欠如（実際の影響を示せない場合）
• oスクリプトが実際に改ざん可能であることを示す証拠がない場合の Subresource Integrity（SRI）の欠如
• oコンテンツのなりすましまたはテキストインジェクション
• o動作するエクスプロイトが存在しないCSVインジェクション
• oアカウントを作成したりメールを送信したりする際に制限がない機能（悪用は確認されていない）
• o機密性の低い情報の開示（製品バージョン、ファイルパスなど）
• oHTTPS を介した信頼できる第三者へのトークン漏えい
• oユーザー操作に対する通知が欠如している
• oDoS/DDoS

行為

• o報告内容に支払いの要求や開示の脅しを結び付けないでください。私たちはすべての報告を公平に扱い、報奨は純粋に技術的な優秀性と影響度に基づいて判断します。要求や脅しを伴う報告は、報奨の対象にはなりません。
• oプログラム規約の違反（無許可のデータアクセス、修正前の公開開示など）

提出方法

メールをお送りください：[email protected]。5営業日以内に受領のご連絡を差し上げます。

次に何が起こるか

1. 受付確認 — 5営業日以内に受領したことをお知らせします
2. トリアージ — 当社のセキュリティチームが報告内容を確認し、再現します
3. 修正 — 解決策に取り組み、進捗状況を随時お知らせします
4. 報酬 — 対象となる場合は、バウンティについて協議し、お支払いします
5. 開示 — 公開での開示を行う前に30日間の猶予をお願いしています

良いレポートは、エンジニアが問題を再現し、その影響を理解しやすくしてくれます。次の内容を含めてください。

1. 影響の説明 — 攻撃者は実際に何ができるのか？（例：「攻撃者は……によって任意のアカウントを乗っ取ることができます」）
2. ステップバイステップの再現手順 — 正確な手順、リクエスト、または最小限のスクリプト
3. 概念実証 — 動作するスクリプトまたはリクエストのシーケンス
4. 影響を受けるURLとパラメーター — 関連する完全なURL、フィルター、またはフィールド
5. スクリーンショットまたは動画（あると非常に助かります）
6. あなたのIPアドレス — 非公開で保持され、当社のログとの照合に使用されます

内容があいまいであったり、明確な影響が示されていなかったり、再現できないレポートは、報酬の対象外となり、詳細な返信をお送りできない場合があります。

ルール

責任を持ってテストを行ってください。脆弱性を発見または実証するために必要な方法のみを使用してください。

• o他のユーザーのプライバシーを尊重し、問題を証明するために厳密に必要な範囲を超えてデータにアクセスしないでください
• o自分自身の調査目的を超えて脆弱性を悪用しないでください
• o報告から30日以内は、脆弱性を公に、または第三者に開示しないでください。公開する前に、当社が修正する時間を確保させてください。
• oアクセスを得るためにソーシャルエンジニアリングを使用しないでください
• oバックドアをインストールしたり、データを改ざんしたり、いかなる形でもシステムを変更しないでください
• o総当たり攻撃などのブルートフォース手法を使用しないでください
• oサービス拒否テストを実行しないでください
• oアクセス権は自分だけで保持し、他の人とシステムへのアクセスを共有しないでください

報酬

私たちは、実際に対応可能なすべての報告に感謝しています。皆さまからの真摯なご報告は、ユーザーを守るうえで大きな助けとなります。ただし、報奨は、現実の世界での影響が明確に示されている発見に限られます。支払い額は、重大度・影響度・報告内容の品質に基づいて決定され、固定の最低額や最高額は設けていません。

影響が小さい問題、実行可能なエクスプロイトを伴わない理論上の指摘、または自動生成もしくはAI生成による報告に対しては、報酬をお支払いしません。

参加資格を得るには、適用される制裁の対象となっていない国（例：キューバ、イラン、北朝鮮、スーダン、シリア）に居住している必要があります。本プログラムは裁量的なものであり、Cryptohopper はいつでも本プログラムを中止したり、報酬の支払いを拒否したりする権利を留保します。

注意しておきたい点がいくつかあります。

• o重複が発生した場合、最初に受け取った報告のみが報酬の対象となります
• o単一の根本原因から生じる複数の脆弱性は、1つの検出事項として扱われます
• o報酬は、当社の裁量により、金銭またはCryptohopperサブスクリプションの形で提供される場合があります
• o金銭による報酬は、PayPal（全世界）または銀行振込（EUのみ）で支払われます