脆弱性レポート
脆弱性の疑いの報告
- Amazon Web Services (AWS): AWS クラウドサービスまたはオープンソースプロジェクトに関する脆弱性やセキュリティ上の懸念を報告するには、HackerOne の Vulnerability Disclosure Program にアクセスしてください。H1 の範囲/プラットフォーム外の提出、または質問がある場合は、aws-security@amazon.com (PGP キー) にお問い合わせください。
- Amazon: Amazon 小売サービスまたは製品の脆弱性またはセキュリティ上の懸念については、リテールセキュリティに通知してください。
- ペネトレーションテスト: AWS のお客様には、一覧表示されているサービスについて事前に承認を得ることなく、AWS インフラストラクチャに対するセキュリティ評価またはペネトレーションテストを実施していただけます。その他のガイダンスについては、ペネトレーションテストに関するポリシーをご覧ください。
- AWS の悪用: AWS リソース (EC2 インスタンスや S3 バケットなど) が不審なアクティビティに使用されている疑いがある場合は、AWS 不正使用フォームに記入するか、trustandsafety@support.aws.com にご連絡ください。
お客様のレポートに効果的に対応させていただくため、脆弱性の性質や重大度を把握するための参考となりそうな資料 (実証コード、ツール出力など) をご提供ください。
Amazon CNA Scope
Amazon CNA は、お客様が以下のクラスの有効なセキュリティ脆弱性に対処できるようサポートする CVE を発行します。
- AWS サービスは AWS が提供しており、お客様の一般利用に供されています (例: Amazon EC2、Amazon RDS)。
- Amazon サービスは Amazon が提供しており、お客様の一般利用に供されています (例: Amazon.com Sellar API Service)。
- Amazon または AWS が管理する GitHub 組織内のオープンソースソフトウェア。
- Amazon または AWS が発行しているクライアントソフトウェア は、当社が所有および運営するウェブサイトまたはダウンロード場所からダウンロードできます (例: Amazon Appstore SDK、Amazon Input SDK、Amazon Kindle アプリ、Amazon MShop アプリ、Amazon WorkSpaces クライアント)。
- Amazon または AWS が製造しているデバイスは、お客様が購入してご利用いただけます (例: Amazon Fire TV、Amazon Echo デバイス、Amazon Kindle、AWS Outpost)。
さらに、以下の要件をすべて満たす必要があります。
- 顧客への影響: 問題がお客様の一般利用に供されている Amazon または AWS が所有するクラス内になければなりません。
- カスタマーエージェンシー: サポート対象製品または EOL/EOS 製品の問題を修復するには、修復処理に関するリスクベースの決定 (またはお客様が考えられる影響を評価する必要)、または有効なセキュリティ脆弱性が公開される (または公開される可能性がある) 時期など、お客様のアクションが必要です。
- CVSS スコア: 4.0 (ミディアム) またはそれ以上。
脆弱性とはみなされないサービス、ソフトウェア、またはハードウェアの問題には、以下が含まれますが、これらに限定されません。
- デフォルト以外の設定、または正しく承認された有効な認証情報を使用して行われた変更
- Amazon または AWS のお客様 (または AWS インフラストラクチャでホストされている AWS 以外のサイト) のアセットをターゲットにすること
- Amazon または AWS のお客様または従業員のアカウントの侵害を通じて得られた脆弱性
- Amazon または AWS 製品 (または Amazon または AWS のお客様) に対するサービス拒否 (DoS) 攻撃
- Amazon または AWS の従業員、オフィス、データセンターに対する物理的な攻撃
- Amazon または AWS の従業員、請負業者、ベンダー、サービスプロバイダーに対するソーシャルエンジニアリング
- マルウェアを故意に投稿、転送、アップロード、リンク、送信すること
- 迷惑メッセージ (スパム) を送信する脆弱性の追跡
AWS 脆弱性レポート
AWS は、迅速に応答し、当社の進捗状況をお客様にお伝えすることに努めています。お客様は、24 時間以内に最初のレポートを受け取ったことを確認する非自動応答、適時の更新、および契約期間中の毎月のチェックインを受け取ります。更新はいつでもリクエストできます。また、ご懸念がある場合や、情報開示について不明点がある場合は、お気軽にお問い合わせください。
上記で脆弱性ではないと見なされたアクティビティも、AWS 脆弱性開示プログラムの対象外です。上記の活動のいずれかを実施すると、プログラムへの参加資格が永久に剥奪されます。
公示
AWS で適切と判断した場合には、報告者と調整のうえ、検証した脆弱性を公示する手配をいたします。AWS では、各関係者による情報開示はできるかぎり同時に行うことが望ましいと考えております。
お客様の安全を確保するために、AWS では、報告された脆弱性に対処し、必要に応じてお客様にご報告するまで、公開設定に関する潜在的な脆弱性に関する情報の投稿や共有を控えるようにお願いしています。また、お客様の保有するデータを投稿または共有しないようにお願い申し上げます。脆弱性の軽減に必要な時間は、脆弱性の重大度と影響を受けるシステムによって異なりますのでご注意ください。
AWS はセキュリティ速報の形式で公示し、AWS セキュリティウェブサイトに掲載します。個人、企業、セキュリティチームは通常、自身のウェブサイトや他のフォーラムにアドバイザリを投稿しています。また、関連する場合、当社はそれらのサードパーティーのリソースへのリンクを AWS セキュリティ速報に掲載します。
セーフハーバー
当社は、誠意をもって実施されたセキュリティ調査についてはセーフハーバーが提供されるべきであると考えています。セキュリティ調査と脆弱性の報告のためのセーフハーバーで採用しているのは、Gold Standard Safe Harbor です。当社のお客様を保護するという情熱を共有するセキュリティ研究者と連携することを楽しみにしています。
Gold Standard Safe Harbor は、誠実なセキュリティ研究に従事する組織やハッカーの保護を支援します。「Good Faith Security Research」とは、セキュリティ上の欠陥または脆弱性を誠実にテスト、調査、および/または修正する目的でのみコンピュータにアクセスすることを指します。そのような活動が個人または公衆への危害を避けるように設計された方法で行われます。その活動から得られた情報は、主にアクセスしたコンピュータが属するデバイス、マシンまたはオンラインサービスや、それらを使用する者のセキュリティまたは安全を促進するために使用されます。
Good Faith Security Research は、当社による敵対的な法的措置から保護されている認可された活動であると考えています。当社は、ここに概説されている Good Faith Security Research の基準と矛盾するサービス利用規約 (「TOS」) および/または利用目的制限ポリシー (「AUP」) の関連制限を放棄します。
つまり、このプログラムが有効なうちに実施される活動については、当社は、
- 対象となるアプリケーションを保護するために当社が使用する技術的手段を回避したことなどをもって、あなたに対して法的措置を提起したり、Good Faith Security Research につき通報したりしません。
- 他の誰かがあなたに対して法的措置を取った場合、あなたが Good Faith Security Research を実施していたことを知らせるための措置を講じます。
Good Faith Security Research と矛盾する、または当社のポリシーで扱われていないと思われる行為については、事前に当社に連絡してご確認ください。
当社はサードパーティーのインフラストラクチャに関するセキュリティ調査を許可することはできず、サードパーティーはこのセーフハーバー声明に拘束されないことを覚えておいてください。
開示方針
レポートが送信されると、当社は報告された脆弱性を検証します。問題の検証または再現のために追加の情報が必要な場合には、当社はお客様と協力して取得します。初期調査が完了したら、その結果を解決に向けたプランおよび一般公開の検討と共にお送りします。
プロセスに関する注意事項がいくつかあります。
- サードパーティー製品: サードパーティー製品に影響する脆弱性の場合、当社は影響を受けるテクノロジーの所有者に通知します。お客様とサードパーティーの間の調整は、当社が引き続き行います。お客様の身元は、お客様の許可がない限りサードパーティーには明かされません。
- 非脆弱性の確認: 問題が検証不能な場合、または範囲外であることが判明した場合、その旨をご報告いただいたお客様にお知らせ致します。
- 脆弱性の分類: 当社は共通脆弱性評価システム (CVSS) バージョン 3.1 を使用して、潜在的な脆弱性の深刻度を評価します。結果の値は問題の重大度を定量化し、対応の優先順位付けを行うのに役立ちます。CVSS の詳細については、NVD のサイトをご覧ください。
誠意をもって脆弱性開示プログラムにご参加いただくに際して、お客様には次のことをお願いしています:
- このポリシーおよび他の関連する契約に従うことを含め、決まりに従ってください。このポリシーと他の適用可能な条件の間に齟齬がある場合は、このポリシーの条件が優先されます。
- 発見した脆弱性を速やかに報告してください。
- 他者のプライバシーを侵害したり、システムを妨害したりしないでください。また、データを破壊したり、ユーザーエクスペリエンスを損なったりしないでください。
- 脆弱性情報について当社と話し合う場合は、前述のチャネルのみを使用してください。
- 問題を公表する前に、最初の報告の後、問題を解決するための時間として、合理的な猶予を当社が持てるようにしてください。
- テストは対象範囲内のシステムでのみ実行し、対象範囲外のシステムとアクティビティを尊重してください。
- 脆弱性によってデータへの意図しないアクセスが発生した場合: 概念実証を効果的に実証するために必要最小限となるよう、アクセスするデータの量を制限してください。また、個人を特定できる情報 (PII)、個人医療情報 (PHI)、クレジットカードデータ、または専有情報などのユーザーデータをテスト中に目にした場合は、テストを中止して直ちにレポートを提出してください。
- 自分が所有するテストアカウント、またはアカウント所有者から明示的に許可されたテストアカウントのみを使用して操作してください。
- 恐喝行為には関与しないでください。