Ivantiは、お客様とコミュニティのために、安全な製品とインフラに維持に努めています。 潜在的な問題を報告してくださるセキュリティ コミュニティの努力は大変ありがたいものであり、Ivanti はその取り組みを支援しています。
当社の責任ある情報開示方針は、Ivantiによって買収された製品やネットワーク企業を含むすべてのIvanti製品およびIvantiネットワークに適用されます。 一部のIvanti製品は、下記に記載の通り、脆弱性報奨金制度の対象となっています。
報告
Ivanti製品またはソリューションに関するすべての問題(Pulse SecureやMobileIron製品などIvantiが買収した企業の製品を含む)については、当社のHackerOneを通じて問題をご報告ください。
Ivantiのインフラに関する問題や、その他製品以外に関する報告は、
「責任ある情報開示」メールをご利用ください。
機密性が高いと思われる問題についてご連絡いただく場合は、
- 公開鍵暗号方式PGPをご利用ください(フィンガープリント:5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D)。 フィンガープリントを確認したい場合は、メールでお問い合わせください。
- 上記アドレスまでメールで、O365暗号化メールスレッドの開始を依頼してください。
概念実証を含む質の高い報告をお送りいただきますようお願いいたします。 インターネットに接続された
システムに対してテストを実行した場合、テストを実行したIPアドレスを提供していただくと
迅速にアクティビティを検証することができます。
除外となる場合
以下のような攻撃は、当社の「責任ある情報開示プログラム」の対象とはなりません。
- リソース枯渇攻撃、サービス拒否を引き起こすエクスプロイト、またはサービスの中断につながる可能性のあるIvanti CorporateまたはIvanti Hosted Solutionsに対するその他の種類の「レジリエンス テスト」を含む、サービス拒否攻撃。
- Ivantiのオフィス、データセンター、コロケーション設備などの物理テスト。
- 当社の従業員、顧客、パートナーなどのソーシャルエンジニアリング。
- テスト実行について事前承認のない、顧客自身のネットワークでホストされているIvanti製品またはソリューションに対するあらゆる攻撃またはイベント。
上記に加え、以下のような脆弱性や弱点は対象外です。
- 反応や影響のないページでのクリックジャック。
- 認証されていないフォームや反応を伴わないフォームでのクロスサイト リクエスト フォージェリ(CSRF)。
- ユーザーのデバイス、アプリケーション、環境に対するMITMや物理的なアクセスを必要とする攻撃は、ケースバイケースの対応となります。
- 概念実証が行われていない既知の脆弱なライブラリ。
- 脆弱性を明らかにせず、CSV(Comma Separated Values)インジェクションを行うこと。
- 弱い暗号を含むSSL/TLSの設定におけるベストプラクティスの欠如。
- 攻撃ベクトルを示さない/HTML/CSSの変更ができないコンテンツスプーフィングやテキストインジェクションの問題。
- 非認証エンドポイントにおけるレート制限またはブルートフォース攻撃の問題。
- コンテンツセキュリティポリシーにおけるベストプラクティスの欠如。
- cookieのHttpOnlyまたはSecureフラグの欠如。
- SPF/DKIM/DMARCレコードが無効、不完全、または存在しないなど、Eメールのベストプラクティスの欠如。
- 旧型の、またはパッチの適用されていないブラウザやオペレーティングシステムを使用しているユーザーにのみ影響を与える脆弱性。
- ソフトウェアバージョンの開示またはバナー識別の問題。
- タブナビング
- セキュリティへの追加的な影響が実証されていないオープンリダイレクト。
- 公式パッチの提供から1ヶ月未満の公開されたゼロデイ脆弱性は、ケースバイケースでの対応となります。
Ivantiの対応
皆様の報告に対し、Ivantiは以下の対応を行います。
- 2営業日以内に報告を受信した旨をご返信します。
- 受信確認後、2営業日以内にご報告の内容が問題に当たるかどうかを確定します。
- 当社がどのように、またいつまでに問題を解決するか、ご報告します。
- 問題が解決された時にお知らせします。
- 適切な時期に公開レポートを発表します。 責任ある情報公開方針に従っている場合、公に報告者としてクレジットされることがあります。
それまで発見されていなかった問題を報告した方には、感謝のしるしとしてIvantiスワッグをお贈りします!
Ivantiの脆弱性報奨金制度
Ivantiは、以下についてHackerOneの脆弱性報奨金制度を利用しています。
- Pulse Connect Secure製品
- Mobilelron Core製品
- HackerOneのプログラムについて、詳しくはhttps://hackerone.com/ivantiをご覧ください。
脆弱性報奨金制度は、この責任ある情報開示方針(上記の除外事項を含む)の範囲内で運営され、報奨金は脆弱性の重大性と報告の質に基づいて支払われます。
報告により検証されたその他のセキュリティ問題については、Ivantiスワッグによる報奨とします。 その他の支払い等はご請求いただけません。
セーフハーバーと法的事項
この公開された情報開示方針を誠実に遵守しようとする調査者は、Ivanti の公認テスターとみなされます。 Ivantiは、本制度の下で問題を報告した調査者に協力し、同様に誠意ある努力をするものとします。 本方針に基づいて行われた活動に関連して、第三者があなたに対して法的措置を取った場合、当社は、あなたの行為が本方針を遵守して行われたことを周知させるための
措置を講じます。
Ivantiは、本方針に従わず、ToS、EULA、または現地の法律や規制に違反した個人に対し、法的措置を求める権利を有します。 Ivantiは、本方針の範囲でないその他の責任ある情報開示方針、タイムライン、プログラム、またはフレームワークを認めません。 Ivantiの事前の許可を得ずに複数のプログラムで問題を報告した人は、本方針に基づいて活動しているとはみなされません。
質問
上記の方法について問題、またはご不明点がございましたら、Ivanti情報セキュリティチーム([email protected])までご連絡ください。