脆弱性開示ポリシー
最終更新:07.03.2026
はじめに
[ MECANIK DEV ] はシステムおよびサービスのセキュリティを真剣に考えています。セキュリティ態勢の改善を支援してくださるセキュリティ研究者の方々の取り組みに感謝します。
本ポリシーは、脆弱性の報告方法と、その見返りに期待できることを説明しています。
対象範囲
本ポリシーは以下のドメインおよびサービスに適用されます:
- mecanik.dev
- members.mecanik.dev
- api.mecanik.dev
脆弱性の報告
当社のシステムにセキュリティ上の脆弱性を発見したと思われる場合は、以下のメールアドレスへご報告ください:
報告書には以下の内容を含めてください:
- 脆弱性の説明
- 問題を再現する手順
- 脆弱性の潜在的な影響
- 概念実証コード(利用可能な場合)
期待できること
- 受領確認:3営業日以内に報告の受領を確認します。
- 評価:報告された脆弱性を調査・検証します。
- 進捗報告:進捗状況をお知らせします。
- 解決:重大な脆弱性はできる限り早急に解決することを目指します。
- 謝辞:ご了承いただける場合、セキュリティへの謝辞 ページにてご貢献を称えます。
ガイドライン
セキュリティ研究者の方々にお願いすること:
- プライバシー侵害、データ破壊、サービス中断を避けるよう最大限の努力をすること。
- 自身が所有するアカウント、またはアカウント保有者の明示的な許可を得たアカウントとのみ対話すること。
- 脆弱性を実証するために必要な範囲を超えて悪用しないこと。
- 脆弱性を速やかに報告し、公開開示の前に対処するための合理的な時間を与えること。
- 当社の担当者またはインフラに対するソーシャルエンジニアリング、フィッシング、物理的攻撃を行わないこと。
セーフハーバー
本ポリシーに従って行われたセキュリティ研究は、以下に該当するとみなします:
- 適用される不正アクセス禁止法に基づき許可されたもの。
- 技術的規制の回避に関するDMCA制限の適用除外。
本ポリシーに準拠した研究者に対して、法的措置を取ることはありません。
除外事項
以下は対象外となります:
- サービス拒否攻撃
- ソーシャルエンジニアリング攻撃
- 物理的攻撃
- スパムまたはフィッシングキャンペーン
- 当社の管理外のサードパーティ製ソフトウェアまたはサービスの脆弱性