Yahoo!セキュリティセンター

Yahoo! JAPAN 脆弱性報告のガイドライン

 LINEヤフー株式会社(以下「当社」といいます)の提供するサービスに関して、「*.yahoo.co.jp」ドメイン上の脆弱性を発見された場合には、当社の利用規約プライバシーポリシーおよび本ガイドラインにご同意のうえ、ご報告いただきますようお願いいたします。
当社のセキュリティ向上へのご協力に深く感謝いたします。

Yahoo! JAPAN脆弱性報告窓口

ご報告方法

脆弱性を報告する方(以下「報告者」といいます)は、以下フォームよりご報告をお願いします。

ご報告対象

上記のフォームでは、以下のドメイン上の脆弱性を対象にご報告を受け付けております。

  • *.yahoo.co.jp
「ご報告対象」以外の脆弱性について

「ご報告対象」以外の脆弱性については、以下のリンク先にて、報告を受け付けている場合があります。以下のリンク先から報告対象かご確認のうえで、ご報告ください。

脆弱性報告の内容
報告対象とする脆弱性

基本的には、悪用された場合の影響が大きい以下の脆弱性を対象としています。

  • リモートからの任意のコード実行
  • 認証・認可不備
  • SQLインジェクション
  • クロスサイトスクリプティング

その他の脆弱性については、脆弱性を悪用できる可能性、悪用時の影響度、影響を受けるデータの重要度等を踏まえて、総合的な観点で、当社が判断します。

報告対象外とする脆弱性

以下に該当するおそれがあると当社が判断する脆弱性については報告対象外としています。

  • 自動化された脆弱性スキャナで検出された脆弱性
  • 再現方法や実際の検証コードがない脆弱性
  • パスワードやトークンの取得を目的としたブルートフォースアタックに対する脆弱性
  • 当社のサービスの停止につながるおそれのあるDoS攻撃
  • Webブラウザのリソ-スに起因する問題
  • キャッシュポイズニングによるサービス妨害
  • 中間者攻撃が前提となる脆弱性
  • 重要でないプロセスにおけるCSRFトークンの欠落
  • セキュリティヘッダの欠落
  • 対象ドメイン以外から発見した脆弱性
  • ユーザーに影響を与えないスクリプトの実行
  • 古いブラウザやプラットフォームに起因する脆弱性
  • Webフォームの自動入力に関連する内容
  • 重要でないCookieのセキュアフラグ属性の欠落
  • 安全でないSSL/TLS暗号スイートまたはプロトコルバージョン
  • ソフトウェアバージョンの開示
  • SPF/DKIM/DMARCレコードの設定に関する問題
  • セキュリティに影響を与えないAPIキーの公開
報奨について

本ガイドラインに基づく脆弱性報告に対する報奨制度は設けておりません。脆弱性をご報告いただいても、報告者に対して報奨金や記念品等をお渡しすることはありません。ご了承のうえご報告いただきますようお願いいたします。

禁止事項

以下の行為は禁止します。

  • ポートスキャン行為は禁止します。脆弱性調査は80、443ポートに対してのみ実施してください。
  • 自動化された脆弱性スキャナを使用して、当社のシステムに対して攻撃を仕掛ける行為
  • DoS攻撃などサービスに負荷を与える行為
  • 当社の資産またはデータセンターに対して物理的な攻撃を行う行為
  • ソーシャルエンジニアリング(フィッシング、ビッシング、スミッシングなど)
  • 脆弱性報告の際、事前に第三者の同意を得ず、当該人物の個人情報を送信する行為
  • 当社のお客様・従業員・取引先および当社サービスの提供に危害を与える行為
  • 不正取引(課金処理や物品配送処理など)を実施・助長する行為
  • 当社のお客様・取引先・従業員等に関するすべての情報および当社もしくは取引先の営業秘密に関する情報を抽出、改ざん、破壊、第三者に公開その他脆弱性報告に不要な行為を行う行為

当社の利用規約や本ガイドラインに違反している、もしくはそのおそれがあると当社が判断した場合、または当社が不適切と判断する場合には、通信のブロック、アカウントの利用停止などの必要な措置をとらせていただく可能性があります。予めご了承ください。

注意事項
  • 報告者は、脆弱性に関連する情報および脆弱性を利用して取得した情報について、当社の書面による事前の承諾がない限り、第三者に開示、漏洩、公開することはできないものとします。
  • 報告者は、脆弱性報告に関連して、当社のお客様・取引先・従業員等の個人情報または当社もしくは取引先の営業秘密に関する情報を取得した場合には、直ちに当該情報(ログ等を含みますが、これに限りません)を、報告者の利用する全てのシステムおよびデバイス上から削除いただきますようお願いいたします。
  • 報告者は、脆弱性報告の際に、報告者または第三者の個人情報を記載・送信しないようお願いいたします。
ご報告いただいた情報の取扱い
  • 当社は、脆弱性報告に基づいて必要な措置を講じるため、ご提供いただいた脆弱性報告の内容を、システムの提供元等の第三者に提供することがあります。
  • 当社は報告者から収集した情報を安全に管理するため、セキュリティに最大限の注意を払っています。
法的事項(Safe Harbor)

本ガイドラインに従って行われた行為は、その目的または態様が不当である場合を除き、当社によって許可された行為とみなされ、当社は報告者に対して法的措置を取ることはありません。本ガイドラインに基づき行われた行為に関連して、第三者から報告者に対して法的措置がとられた場合、当社は、報告者の行為が本ガイドラインに準拠して行われたことを周知させる措置その他必要な措置を講じます。

2023年7月19日制定
2023年10月1日改定