Seems like there is a more localized page available for your location.
SynologyのBeeシリーズ
製品 A-Z
セキュリティバグバウンティプログラム
脅威が進化し、頻度と洗練度が増すにつれて、 Synology はセキュリティ研究者と協力して、私たちの保護を維持し、さらに強化しています。
製品範囲このプログラムは、 Synology の製品およびウェブサービスに関連する脆弱性報告のみを受け付けます。プログラムの範囲外の脆弱性報告は一般的に報酬の対象とはなりませんが、状況によっては重大な脆弱性の範囲外報告が受け入れられることがあります。

オペレーティングシステム

までの報酬

30000

Synology DiskStation Manager 、 Synology Router Manager 、および Synology BeeStation を含みます。

詳細情報

ソフトウェアおよび C2 クラウドサービス

までの報酬

10000

Synology が開発したソフトウェアパッケージ、関連モバイルアプリ、および C2 クラウドサービスを含みます。

詳細情報

Web サービス

までの報酬

5000

すべての主要な Synology ウェブサービスを含みます。

詳細情報
報酬の詳細
報酬の資格基準
報告された問題を再現するために必要な情報を提供してください。各報酬のサイズは、報告された脆弱性の重大性と影響を受ける製品カテゴリによって異なります。報酬を受けるためには、報告は以下の基準を満たす必要があります:
  1. あなたがこの脆弱性を報告した最初の研究者であること
  2. 報告された脆弱性が確認され、検証可能で、再現可能で、有効なセキュリティ問題であること
  3. あなたの報告がバウンティプログラムの条件と規制に準拠していること
セキュリティバグの報告脆弱性を発見したと思われる場合は、以下の手順に従ってください:
ステップ 1

賞金プログラム連絡フォームを利用して、当社にご連絡ください。

ステップ 2

この PGP キーを使用して、バグレポートを Synology に送信する際に情報を暗号化します。

ステップ 3

詳細な証明コンセプト(PoC)を含め、報告された問題が再現可能であることを確認してください。

ステップ 4

説明を簡潔に保ちます。たとえば、短い証明コンセプトリンクは、 SSRF 問題の影響を説明するビデオよりも評価が高いです。

あなたと私たちの責任あなたのレポート良い脆弱性レポートは、次のようにする必要があります:
  1. 英語で脆弱性を再現する方法の明確なステップバイステップの説明を含む
  2. Synology 製品または Web サービスにどのように影響するかを示し、どのバージョンとプラットフォームが影響を受けるかを説明する
  3. 報告された脆弱性によって引き起こされる可能性のある損害を述べる
私たちの対応
Synology セキュリティチームは、脅威の重大性に応じて、 7 日以内にあなたのレポートに対応し、状況を定期的に更新し、できるだけ早く脆弱性を修正します。お客様の脆弱性レポートが金銭的報酬の対象となる場合、当社の感謝のしるしとして、Synology 製品セキュリティ勧告ページにお客様のお名前を掲載いたします。このプロセスには少なくとも 90 日かかります。プロセスが完了すると、報酬があなたに振り込まれます。
注意:Synology は、このプログラム、そのポリシーを含む、いつでも事前の通知なしに変更またはキャンセルする権利を留保します。
オペレーティングシステム
報酬

資格のあるレポートは、最大 US$30,000 の報酬が対象です。*

対象製品

公式にリリースされたバージョンに関するレポートのみが受け入れられます。

DiskStation Manager (DSM)

  • DSM 7(最新バージョン)

Synology ルーターマネージャー(SRM)

  • SRM 1.3(最新バージョン)

Synology カメラファームウェア

  • ファームウェア 1.1(最新バージョン)

Synology BeeStation

  • BeeStation OS 1.0(最新バージョン)
規制と制限

このプログラムは、 Synology 製品およびサービスで見つかったセキュリティ脆弱性に厳密に限定されています。 Synology サーバーやデータに損害を与える可能性のある行為は厳しく禁止されています。脆弱性テストは、地元または台湾の法律を違反してはなりません。

プログラムの下で受け入れられない脆弱性レポートは、次のようなものを説明または関与しています:

  1. Synology またはユーザーのサーバーに対する DoS(サービス拒否)攻撃
  2. Synology またはユーザーのサーバーやデータに悪影響を及ぼす脆弱性テスト
  3. 物理的攻撃またはソーシャルエンジニアリング
  4. Synology の承認前にバグ情報を公開すること
  5. 古いサービスや製品の非重要な脆弱性
  6. 古いウェブブラウザのみに影響する脆弱性
  7. ほとんどのタイプのブルートフォース攻撃
  8. 反射型 XSS 攻撃または自己 XSS 攻撃
  9. フィッシング、偽ウェブサイトの作成、または詐欺を含む脆弱性
  10. 脆弱性の影響を詳細に説明しない脆弱性スキャンレポート
  11. デフォルトポートが脆弱であるとの指摘があるが、 PoC を提供していない
  12. 具体的な証明コンセプト(PoC)が欠けている理論的な脆弱性
  13. 単独でのオープンリダイレクトは通常情報提供とみなされ、より重大な脆弱性に寄与しない限り報酬の対象とはならない
  14. 直接的な悪用につながらないセキュリティヘッダーの欠落
  15. クッキーのセキュリティフラグの欠落
  16. ユーザー列挙。ユーザー列挙に関するレポートは、私たちがユーザーを保護するためのレート制限がないことを示せない限り、範囲内ではありません。
*セキュリティ バグ プログラム ウェブページの報酬に関する詳細ページを参照してください。
**SRM_LAN の脆弱性に対する最大報酬は$5,000 です。
***カメラファームウェアの脆弱性に対する最大報酬は$10,000 です。
ソフトウェアおよび C2 クラウドサービス
報酬

資格のあるレポートは最大$10,000 の報酬が与えられます。*

対象製品

公式にリリースされたバージョンに関するレポートのみが受け付けられます。

パッケージ

Synology が開発したソフトウェアパッケージ

デスクトップクライアント

Synology が開発した Windows 、 macOS 、 Linux アプリケーション

モバイルアプリ

Synology が開発した Android および iOS 用モバイルアプリ

Synology アカウント

  • *.account.synology.com ドメイン
  • *.identity.synology.com ドメイン

C2 サービス

*.c2.synology.com ドメイン

規制と制限

このプログラムは、 Synology 製品およびサービスに見つかったセキュリティ脆弱性に厳密に限定されています。 Synology のサーバーやデータに損害を与える可能性のある行為は厳しく禁じられています。脆弱性テストは、地元または台湾の法律を破ってはなりません。

プログラムの下で受け入れられない脆弱性レポートは、以下を記述または関与しています:

  1. Synology またはユーザーのサーバーに対する DoS(サービス拒否)攻撃
  2. Synology またはユーザーのサーバーやデータに悪影響を及ぼす脆弱性テスト
  3. 物理的攻撃またはソーシャルエンジニアリング
  4. Synology の承認前にバグ情報を公開すること
  5. 古いサービスや製品の非重要な脆弱性
  6. 古いウェブブラウザのみに影響する脆弱性
  7. ほとんどのタイプのブルートフォース攻撃
  8. 反射型 XSS 攻撃または自己 XSS 攻撃
  9. フィッシング、偽ウェブサイトの作成、または詐欺を含む脆弱性
  10. 脆弱性の影響を詳細に説明しない脆弱性スキャンレポート
  11. デフォルトポートが脆弱であるとの指摘があるが、 PoC を提供していない
  12. 具体的な証明コンセプト(PoC)が欠けている理論的な脆弱性
  13. 単独でのオープンリダイレクトは通常情報提供とみなされ、より重大な脆弱性に寄与しない限り報酬の対象とはならない
  14. 直接的な悪用につながらないセキュリティヘッダーの欠落
  15. クッキーのセキュリティフラグの欠落
  16. ユーザー列挙。ユーザー列挙に関するレポートは、私たちがユーザーを保護するためのレート制限がないことを示せない限り、範囲内ではありません。
*詳細はセキュリティバグプログラムのウェブページの報酬詳細ページをご覧ください。
Web サービス
報酬

資格のあるレポートは最大$5,000 の報酬が与えられます。*

対象製品

対象となるドメイン(サブドメインを含む)は以下の通りです:

*.synology.com

以下のドメイン(サブドメインを含む)は対象外です:

openstack-ci-logs.synology.com, router.synology.com

Synology はこのリストを予告なしにいつでも変更する権利を留保します。

規制と制限

このプログラムは、 Synology 製品およびサービスに見つかったセキュリティ脆弱性に厳密に限定されています。 Synology のサーバーやデータに損害を与える可能性のある行為は厳禁です。脆弱性テストは、地元の法律または台湾の法律を侵してはなりません。

プログラムの下で受け付けられない脆弱性報告には、以下のようなものが含まれます:

  1. Synology のサーバーやユーザーのサーバーに対する DoS(サービス拒否)攻撃
  2. Synology のサーバーやユーザーのサーバーやデータに悪影響を与える脆弱性テスト
  3. 物理攻撃やソーシャルエンジニアリング
  4. Synology の承認前にバグ情報を公開すること
  5. https://*archive.synology.com でのディレクトリトラバーサル
  6. 反射型ファイルダウンロード
  7. バナー掴み問題やソフトウェアバージョンの開示
  8. 90 日以内に公開された 0-day 脆弱性
  9. 古いサービスや製品の非重要な脆弱性
  10. 古いウェブブラウザーのみに影響する脆弱性
  11. ほとんどの種類のブルートフォース攻撃
  12. 反射型 XSS 攻撃または自己 XSS 攻撃
  13. フィッシング、偽ウェブサイトの作成、または詐欺を含む脆弱性
  14. 脆弱性の影響を詳細に説明しない脆弱性スキャンレポート
  15. デフォルトポートが脆弱であることを示すが、 PoC を提供しない
  16. 具体的な証明コンセプト(PoC)を欠く理論的な脆弱性
  17. 単独でのオープンリダイレクトは通常情報提供とみなされ、それがより重要な脆弱性に寄与しない限り報酬の対象とはなりません
  18. 直接的な悪用につながらないセキュリティヘッダーの欠如
  19. クッキーのセキュリティフラグの欠如
  20. ユーザー列挙。ユーザー列挙に関する報告は、私たちがユーザーを保護するためのレート制限がないことを示せる場合に限り、範囲内です。
*詳細はセキュリティバグプログラムのウェブページの報酬詳細ページをご覧ください。
報酬の詳細
このページは、研究者が特定の脆弱性タイプに対する最大報酬を理解し、シノロジーが最も重視する脆弱性のタイプを強調するために設計されています。私たちはあなたの貢献を評価し、重要なセキュリティ研究に公平に報酬を提供することに尽力しています。表に示された報酬は各カテゴリーで可能な最大額を示していますが、すべての適格な報告がリストされた金額を受け取る保証はありません。*
クリティカル
オペレーティングシステムソフトウェアと C2 クラウドサービスWeb サービス
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
重要
オペレーティングシステムソフトウェアと C2 クラウドサービスWeb サービス
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
中程度
オペレーティングシステムソフトウェアと C2 クラウドサービスWeb サービス
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. 2024年10月1日より、管理者認証の脆弱性に対する報奨金は100米ドルに設定されます。
  2. デスクトップクライアントの場合、CVSSベクトルに以下のいずれかが含まれる場合、報奨金は100米ドルに設定されます。
    • AV:L
    • AV:A
    • AV:N/AC:H

注意:

  • 報酬のガイドラインが提供されていますが、各報告は個別に、徹底的に評価されます。スコアリングは、報酬ルーブリックで詳述された範囲を含むがこれに限定されない様々な要因を考慮します。シノロジーは報酬額の最終解釈権を留保します。
  • 低重要度の問題や提案については、承認のみが提供されます。
よくあるご質問脆弱性をどのように報告すべきですか?詳細な PoC (概念実証) を提供し、報告された問題が再現可能であることを確認してください。バグレポートを当社に送信する場合は、 Synology が提供するこの PGP キー暗号化を使用し、関連する情報を第三者に開示しないでください。私のバグレポートが報酬の対象となるかどうかを判断するのは誰ですか?すべてのバグレポートは、 Synology のシニアセキュリティアナリストで構成される Synology セキュリティチームによってレビューおよび評価されます。バグが修正される前に公開された場合の結果は何ですか?私たちは迅速にバグレポートに対応し、合理的な時間内に修正することを心がけています。バグ情報を公開する前に事前にお知らせください。この原則に従わないバグ公開は報酬の対象とはなりません。Apache や Nginx などの古いソフトウェアで見つかった脆弱性は報酬の対象となりますか?ソフトウェアの脆弱性を特定し、なぜそれがソフトウェアの使用に悪影響を与えると疑うのかを説明してください。この種の情報を省略したレポートは通常、報酬の対象とはなりません。Synology のセキュリティアドバイザリーページに名前を掲載しないようにリクエストすることはできますか?はい。セキュリティアドバイザリーページに名前を掲載しないようにリクエストすることができます。ただし、報酬の対象となり、それを受け入れる場合は、支払いを処理するために連絡先情報が必要です。脆弱性ブローカーに報告された場合でも、脆弱性は報酬の対象となりますか?バグ修正以外の目的で第三者に脆弱性を秘密裏に開示することは、私たちのプログラムの精神に反するため、そのようなレポートは報酬の対象とはなりません。同じバグが複数の人によって報告された場合、報酬の対象となるのは誰ですか?報酬は、私たちにとって未知の脆弱性を最初に発見した人に授与されます。
謝辞私たちは、私たちを助けてくれたセキュリティ研究者や組織に帽子の先を軽く挙げて感謝したいと思います。
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange
  • Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/