リスク(LSK)のバグバウンティプログラム詳細
はじめに
リスク(LSK)は、分散型台帳技術(DLT)を活用したプラットフォームであり、安全性の確保は極めて重要です。その一環として、LSKはバグバウンティプログラムを導入し、セキュリティ研究者コミュニティの知恵を活用することで、潜在的な脆弱性を特定し、プラットフォーム全体のセキュリティレベルを向上させることを目指しています。本プログラムは、LSKのエコシステムを保護し、ユーザーの信頼を維持するための重要な取り組みです。
プログラムの目的
本バグバウンティプログラムの主な目的は以下の通りです。
- LSKプラットフォームにおけるセキュリティ脆弱性の早期発見
- 発見された脆弱性に対する迅速な対応と修正
- セキュリティ研究者との協力関係の構築
- LSKプラットフォームのセキュリティレベルの継続的な向上
対象範囲
本プログラムの対象となる範囲は、LSKプラットフォームを構成する以下の要素を含みます。
- LSKコアソフトウェア (ブロックチェーンノード)
- LSKウォレット (デスクトップ、モバイル)
- LSK Explorer (ブロックエクスプローラー)
- LSK API
- LSKのスマートコントラクト機能
- LSKに関連するウェブサイトおよびサービス
対象範囲外となるものについては、別途プログラムのウェブサイトにて明記されます。
報奨金
発見された脆弱性の深刻度に応じて、以下の報奨金が支払われます。
| 脆弱性の種類 | 深刻度 | 報奨金額 (USD) |
|---|---|---|
| クリティカル | 重大 (プラットフォーム全体の機能停止、データ漏洩、不正アクセスなど) | 5,000 – 20,000 |
| ハイ | 高い (重要な機能の停止、限定的なデータ漏洩、不正操作の可能性など) | 1,000 – 5,000 |
| ミディアム | 中程度 (一部機能の不具合、情報漏洩の可能性など) | 200 – 1,000 |
| ロー | 低い (軽微な不具合、UI/UXの問題など) | 50 – 200 |
| 情報提供 | セキュリティに関する有益な情報提供 (脆弱性には該当しない) | 0 – 50 |
報奨金額は、脆弱性の影響範囲、再現性、報告の質などを考慮して決定されます。
脆弱性の報告方法
脆弱性を発見した場合は、以下の手順に従って報告してください。
- LSKバグバウンティプログラムのウェブサイトにアクセスし、報告フォームに必要事項を記入します。
- 脆弱性の詳細な説明、再現手順、影響範囲などを明確に記述します。
- 可能な限り、脆弱性を再現するためのPoC (Proof of Concept) を提供します。
- 報告された脆弱性について、LSKチームからの質問に対して迅速に対応してください。
報告フォームへのアクセスは、LSKの公式ウェブサイトから行えます。
報告の際の注意点
脆弱性を報告する際には、以下の点に注意してください。
- 脆弱性の悪用を試みないでください。
- 脆弱性の情報を第三者に公開しないでください。
- 報告された脆弱性について、LSKチームが調査および修正を行うまで、情報を秘匿してください。
- 脆弱性の報告は、英語または日本語で行ってください。
これらの注意点を守らない場合、報奨金の支払いが拒否される可能性があります。
資格要件
本プログラムに参加できるのは、以下の条件を満たす個人または組織です。
- LSKバグバウンティプログラムの利用規約に同意すること。
- 脆弱性の発見および報告が、法律および倫理に反しないこと。
- LSKチームからの連絡に迅速に対応できること。
LSKチームは、上記の条件を満たさない参加者の参加を拒否する権利を有します。
プログラムの期間
本プログラムは、開始日から無期限で継続されます。ただし、LSKチームは、必要に応じてプログラムの内容を変更または終了する権利を有します。
免責事項
LSKは、本プログラムの実施にあたり、以下の免責事項を適用します。
- LSKは、脆弱性の報告者に対して、報奨金の支払いを保証するものではありません。
- LSKは、脆弱性の報告者が本プログラムに参加したことによって生じた損害について、一切の責任を負いません。
- LSKは、脆弱性の報告者が提供した情報の正確性について、一切の責任を負いません。
本プログラムに参加する際は、上記の免責事項を十分に理解し、同意した上で参加してください。
脆弱性の分類基準
脆弱性の深刻度を判断するための基準は以下の通りです。
- クリティカル: プラットフォーム全体の機能停止、機密データの完全な漏洩、管理者権限の不正取得など、システムに壊滅的な影響を与える脆弱性。
- ハイ: 重要な機能の停止、機密データの限定的な漏洩、認証バイパスなど、システムに重大な影響を与える脆弱性。
- ミディアム: 一部の機能の不具合、クロスサイトスクリプティング(XSS)など、システムに中程度の影響を与える脆弱性。
- ロー: 軽微な不具合、UI/UXの問題、情報漏洩の可能性など、システムに軽微な影響を与える脆弱性。
これらの基準は、あくまで一般的なガイドラインであり、個々の脆弱性の状況に応じて判断されます。
過去の事例
過去には、LSKプラットフォームにおいて、以下のような脆弱性が報告され、修正されました。
- スマートコントラクトにおける整数オーバーフローの脆弱性
- APIにおける認証不備の脆弱性
- ウォレットにおけるクロスサイトスクリプティング(XSS)の脆弱性
これらの事例は、LSKプラットフォームのセキュリティ向上に大きく貢献しました。
今後の展望
LSKは、今後もバグバウンティプログラムを継続的に実施し、セキュリティ研究者コミュニティとの連携を強化することで、プラットフォーム全体のセキュリティレベルを向上させていきます。また、プログラムの内容を定期的に見直し、より効果的な脆弱性発見と修正を目指していきます。
まとめ
LSKのバグバウンティプログラムは、プラットフォームのセキュリティを強化し、ユーザーの信頼を維持するための重要な取り組みです。セキュリティ研究者の皆様のご参加を心よりお待ちしております。本プログラムを通じて、LSKエコシステムの安全性を共に築き上げていきましょう。
