脆弱性およびバグ発見報酬制度

ビットカジノは、プライバシーとセキュリティを大切にし、それを基盤に運営しています。

お客様の信頼は当社にとって最優先事項であり、その信頼を守るため、最高のプライバシーとセキュリティを提供することを目指しています。

万が一、セキュリティ上の問題を発見された場合には、速やかに当社までお知らせください。当社はお客様と協力し、真摯に対応させていただきます。

当社は、明確に定義された業界標準の開示条件および脆弱性評価分類体系に従います。混乱を避けるため、すべての報告内容については Bugcrowdの脆弱性評価基準を使用して評価を行います。

提出された内容は、最初に発見した人を基準に当社のセキュリティチームが評価します。

もし、未発見の問題を最初に報告し、その問題がプラットフォームのコードや設定変更を必要とする場合、報酬をお支払いします。

報酬には最低額・最大額はなく、当社の判断で決定されますが、特に重大な問題には、より高い報酬をお支払いすることがあります。

こちらは実際の運用環境であることをご理解ください。またテストを行う際は、以下の点を守っていただく必要があります。

• 自分以外のデータにアクセスしたり、変更したり、損害を与えたりしないでください。

• 脆弱性を当社に示す目的以外で悪用しないでください。

• 当社のシステムに対してネットワークレベルのテストやサービス妨害（DoS）、トラフィックフラッディング攻撃を行わないでください。

• 環境に影響を与えるような攻撃的なスキャンやスクリプト実行などのテストを行わないでください。

• 当社の従業員や顧客をターゲットにしないでください。従業員および顧客は対象外であり、いかなる場合でもターゲットにしないでください。

以下は発見いただいても報酬の対象外です。

• オフィスへの不正アクセス試行（例：開放されたドアや不正侵入）

• ソーシャルエンジニアリングを用いた攻撃（例：フィッシング、ビッシング）

• 機能、UI、UXのバグや誤字脱字

• ネットワークレベルのサービス拒否（DoS/DDoS）脆弱性。

• 詳細なエラーメッセージ（例：スタックトレース、アプリケーションやサーバーのエラー）。

• HTTP 404コード/ページやその他のHTTP非200コード/ページ。

• 一般的/公開されたサービスでのフィンガープリンティング/バナー開示。

• 公開されている既知のファイルやディレクトリの開示（例：robots.txt）。

• 匿名ユーザーがアクセス可能なフォーム（例：お問い合わせフォーム）やログイン/ログアウトURLでのCSRF。

• アプリケーションやウェブブラウザの「自動入力」や「パスワード保存」機能の存在。

• HTTPOnlyクッキーのフラグが設定されていない。

• ログインブルートフォース攻撃（CAPTCHAを回避できない場合を除く）

• OPTIONS HTTPメソッドが有効になっている。

• X-Content-Type-Options ヘッダーが欠如している。

• SHA-1 SSL証明書の使用およびTLS 1.0のサポート。

報告書を提出するには

報告書の提出時には、以下を含める必要があります。

• 脆弱性の再現手順：脆弱性を再現するための詳細な手順を提供してください。

• 検証可能な証拠：脆弱性が存在することを示す証拠（スクリーンショット、ビデオ、スクリプトなど）をご提供ください。検証可能な証拠は、認識や報酬を受け取るために必須です。証拠には、脆弱性を発見するために使用したすべてのURLを含める必要があります。 

​報告書は [email protected]にご提出ください。3～5営業日以内にこちらからご連絡いたします。