ScamLens

脆弱性開示ポリシー — ScamLens

最終更新: 2026-04-16

対象範囲

本ポリシーは以下の資産に対して実施されるセキュリティ調査を対象とします:

  • *.scamlens.org
  • ScamLens Chrome 拡張機能(Chrome Web Store ID: OrangeDuck)
  • ScamLens 公開 API(api.scamlens.org

サードパーティサービス(Stripe、Google Auth、Cloudflare、Brevo、Resend)は対象外です — 各ベンダーへ直接ご報告ください。

セーフハーバー

以下を満たす研究者に対しては法的措置を取りません:

  • 誠実に行動し本ポリシーを遵守する
  • 脆弱性の実証に必要な範囲を超えてデータにアクセス、変更、外部送信をしない
  • サービスを妨害したりユーザー体験を損なったりしない
  • 迅速に報告し、修正完了までは機密を保持する

対象外

  • 本番環境に対するサービス拒否 / 負荷テスト
  • スタッフまたはユーザーへのソーシャルエンジニアリング
  • 物理攻撃
  • 影響が確認されていない自動スキャナーからの報告
  • 機微な状態を持たないページでの Self-XSS およびクリックジャッキング
  • 静的アセットにおけるベストプラクティスヘッダの欠如(社内で既に追跡中)

報告方法

次の内容を含めて [email protected] へメールを送信してください:

  1. タイトルと影響を受ける資産
  2. 再現手順(明確かつ最小限)
  3. 影響分析(攻撃者が何を達成できるか)
  4. 修正案の提案(任意)

48 時間以内に受領を確認します。修正目標: 重大 7 日、高 14 日、中 30 日、低はベストエフォート。

謝辞

検証済みの報告は セキュリティ謝辞 ページにご希望のお名前(またはご希望により匿名)で掲載いたします。