Upgrade firmware for your HomeKit devices! We have released new firmwares for HomeKit devices to drastically improve the connection stability. Please refer to www.meross.com/support/FAQ/447.html and upgrade your HomeKit devices.
ショップ
Japan

Japan

Global

Türkiye

/
日本語

日本語

Merossセキュリティアドバイザリーポリシー

導入

HomeKitやMatterなどのスマートホーム製品の主要プロバイダーとして、Merossはセキュリティの問題を非常に重視し、ユーザーのデータセキュリティと個人情報の保護を確保することに取り組んでいます。セキュリティ研究者の皆様には、製品のセキュリティに貢献していただくことを歓迎します。私たちは、ユーザーに安全で安定した製品とサービスを提供するために最善を尽くします。このポリシーは、セキュリティ研究者がセキュリティアドバイザリー活動を行うための明確なガイドラインを提供し、セキュリティアドバイザリーをどのように提出するかについての私たちの好みを伝えることを目的としています。

このポリシーでは、このポリシーの対象となる製品、サービス、および研究の種類、 セキュリティアドバイザリーを どのように送信するか、 そしてセキュリティ研究者に対し、発見された脆弱性を公に開示する前に待つことを求める 期間について説明しています。

承認

セキュリティ研究中にこのポリシーを遵守する善意の努力をした場合、私たちはあなたの研究を承認されたものと見なします。私たちはあなたと協力して問題を理解し解決するために努め、あなたの研究に関連する法的措置を推奨または追求しません。このポリシーに従って行われた活動に関して第三者からあなたに対して法的措置が取られる場合、私たちはこの承認を知らせます。

ガイドライン

本ポリシーにおいて「研究」とは、以下の活動を意味します:

  • 実際のセキュリティ問題または潜在的なセキュリティ問題を発見したら、できるだけ早く当社に通知すること。
  • プライバシーの侵害、ユーザーエクスペリエンスの低下、生産システムの混乱、データの破壊や操作を避けるためにあらゆる努力をすること。
  • 脆弱性の存在を確認するために必要な範囲でのみエクスプロイトを使用する。エクスプロイトを使用して、データの漏洩や流出、コマンドラインアクセスや永続性の確立、他システムへのピボットを行わないこと。
  • 公開する前に問題を解決するための妥当な時間を提供してください。
  • 質の低いレポートを大量に提出しないでください。
  • メロス職員(一般職員など)や第三者のプライバシーや安全を故意に侵害しないこと。
  • メロス社員や団体、または第三者の知的財産やその他の商業的、金銭的利益を意図的に侵害しないこと。

脆弱性が存在することを確認した場合、または機密データ(個人を特定できる情報、財務情報、当事者の専有情報または企業秘密を含む)に遭遇した場合は、テストを中止し、 直ちに当社に通知し、このデータを他者に開示してはなりません。

範囲

本方針は、以下の製品およびサービスに適用されます:

  • メロスが開発・製造するインターネット接続可能なスマート製品。
  • メロスによって開発、製造されたネットワーク接続可能なスマート製品。
  • メロスによって開発され、リリースされたAndroidおよびiOS用のメロスアプリ。
  • メロスが開発・提供するクラウドサービス。
  • *.meross.com

接続されたサービス、サードパーティーのサービス、不正に変更されたサービスなど、上記に明示的に記載されていないサービスは対象から除外され、 テストは許可されません。さらに、当社のベンダーまたはサードパーティパートナーのサービスまたはシステムで発見された脆弱性は、本ポリシーの対象外となり、ベンダーまたはサードパーティパートナーの開示ポリシー(もしあれば)に従って、ベンダーまたはサードパーティパートナーに直接報告する必要があります。製品やサービスが対象範囲に含まれるかどうかわからない場合は、調査を開始する前に security@meross.com までお問い合わせください。

当社では、インターネットからアクセス可能な他の製品やサービスも開発・保守していますが、積極的な調査やテストは、本文書の対象範囲に含まれる製品やサービスについてのみ行ってください。この範囲に含まれていない製品やサービスで、テストする価値があると思われるものがある場合は、まず当社までご連絡ください。このポリシーの範囲は、時間の経過とともに拡大していく予定です。

参加規定

セキュリティ・リサーチャーは以下のことを行ってはならない:

  • 上記の「範囲」セクションで規定されたシステム以外のシステムをテストすること。
  • 以下の「脆弱性の報告」および「開示」のセクションに規定されている場合を除き、脆弱性情報を開示すること。
  • 施設またはリソースの物理的なテストに従事する。
  • ソーシャルエンジニアリングに関与する。
  • 「フィッシング」メッセージを含む、未承諾の電子メールをメロスユーザに送信すること。
  • 「サービス拒否」または「リソース枯渇」攻撃を実行する、または実行しようとする。
  • 悪意のあるソフトウェアを導入すること。
  • メロスシステムまたはサービスの運用を低下させる可能性のある方法でテストすること、またはメロスシステムまたはサービスを意図的に損ない、混乱させ、もしくは不能にすること。
  • メロスシステムまたはサービスと統合する、またはメロスシステムまたはサービスからリンクする第三者のアプリケーション、ウェブサイト、またはサービスをテストすること。
  • メロスデータを削除、変更、共有、保持、破棄すること、またはメロスデータをアクセス不能にすること。
  • データの流出、コマンドラインアクセスの確立、メロスシステムまたはサービス上での永続的存在の確立、あるいは他のメロスシステムまたはサービスへの「ピボット」のためにエクスプロイトを使用する。
  • 不必要、過剰、または大量のデータにアクセスすること。
  • 適用される法律または規制に違反すること。
  • 「ベストプラクティス」に完全に合致していないことを示す報告書、例えばセキュリティヘッダーの欠落など。
  • 脆弱性を開示するために金銭的報酬を要求する。

セキュリティ研究者は

  • テストを中止し、脆弱性を発見したら直ちに当社に通知すること。
  • テストを中止し、非公開データの暴露を発見したら直ちに当社に通知すること。
  • 脆弱性を報告した時点で、保存されているMerossの非公開データをすべて消去すること。
  • 常にデータ保護規則を遵守し、組織が保有するデータのプライバシーを侵害してはなりません。例えば、システムやサービスから取得したデータを共有したり、再配布したり、適切に保護することを怠ってはなりません。
  • 調査中に取得したすべてのデータは、不要になり次第、または脆弱性が解決されてから1ヶ月以内のいずれか早い時点で、安全に削除すること(または、データ保護法により義務付けられている場合)。

セキュリティ研究者は次のことを行うべきである:

  • セキュリティ・リサーチを実施し、脆弱性を報告する際には、現地の規制を遵守すること。
  • セキュリティ・リサーチが最新のファームウェアとアプリのバージョンに基づいており、サードパーティや非公式のサービスに基づいていないことを確認すること。
  • 脆弱性の報告は、許可されたチームによってのみ処理されることを保証するために、以下に提供される専用チャネルを通じてのみ行ってください。メロスでは、他のチャネルからの報告を受け取ることがありますが、報告が承認されることを保証するものではありません。
  • 関連する詳細をすべて英語で記載してください。
  • 報告された脆弱性に関する詳細な情報を入手し、より正確かつ迅速に検証プロセスを開始できるよう、メロスからの報告テンプレートを使用してください。
  • メロスには脆弱性報奨金制度がないこと、つまり報告者は脆弱性の提出に対して報酬を受け取らないこと、また提出することによって報告者は報酬請求権を放棄することを十分に認識してください。

脆弱性の報告

提出された脆弱性のトリアージと優先順位付けのために、以下の情報を添えて報告することを推奨します:

報告書の送付先

脆弱性の報告は、 security@meross.com 。匿名での報告は、 (Security Advisory) で受け付けています。現時点では、PGP暗号化メールはサポートしていません。特に機密性の高い情報については、HTTPSウェブフォームから送信してください。

送信すべき情報

報告書をより適切に処理するため、弊社が提供するテンプレート(テンプレートダウンロードアドレスへのハイパーリンク)に従って脆弱性報告書を提出することを強くお勧めします。通常、以下の情報が必要となります:

  • 製品名とモデル番号、ハードウェアとソフトウェアのバージョン(ある場合)。
  • Merossアプリのバージョン(もしあれば)。
  • 潜在的な影響を伴う脆弱性の簡単な説明。
  • 再現手順(概念実証スクリプトまたはスクリーンショットが便利です)。
  • (もしあれば)修復の提案。
  • (私たちと共有することを選択した場合)さらに連絡を取るための連絡先情報。

報告を提出する」をクリックすることにより、あなたは、メロスに関するセキュリティ調査の実施および脆弱性の開示に関する本ポリシーに記載された内容を読み、理解し、同意したことを示し、通信内容およびその後の通信がメロスによって保存および処理されることに同意したものとみなされます。

承認および対応手順

報告書を提出する際に連絡先情報を共有する場合、以下の手順で約束された時間内に報告書の受領を確認します。匿名で報告書を提出された場合、当社から返信することはできません。

回答手順は以下の通りです:

ステップ1: メロスはあなたの報告を受け、7営業日以内に報告の受領を確認します。

ステップ2: メロスは、ご報告の受領確認から15営業日以内に、脆弱性の有効性を調査・検証します。報告された脆弱性についてより詳細な情報が必要な場合は、ご連絡することがあります。

ステップ3: 脆弱性が特定された後、影響を受けるすべての製品およびサービスに対して解決策を提供するための改善計画を策定し、実施します。

クリティカルリスク脆弱性の場合: 改善には通常、脆弱性の確認から最大30暦日かかりますが、場合によってはそれ以上かかることもあります。

高リスクの脆弱性の場合: 改善には通常、脆弱性の検証から最長60暦日かかりますが、場合によってはそれ以上かかることもあります。

ステップ4: メロスは、影響を受けるすべての製品またはサービスに対してOTA(over the air)アップデートをリリースします。

ステップ5: メロスはアップデートされた製品またはサービスの安定性を監視します。

お客様は、メロスによる進捗状況および修復活動の完了を常に確認することができます。

修復と更新のメカニズム

メロスでは、以下の基準の1つ以上を満たす脆弱性が特定され、緩和された場合にセキュリティ勧告を発行します:

1. メロスセキュリティチームがその脆弱性を重大度「CRITICAL」または「HIGH」と評価し、脆弱性対応プロセスを完了し、その結果、顧客が関連するセキュリティリスクを排除するための緩和策を講じた場合。

2. その脆弱性が積極的に悪用された形跡がある、または顧客のセキュリティリスクを大幅に増大させる可能性がある。あるいは、たとえリスクが限定的であったとしても、脆弱性が公表されることにより、製品のセキュリティに重大な懸念が生じる可能性がある。このような場合、メロスでは、ファームウェア・パッチ、緊急修正プログラム、あるいは保護を向上させるためのその他のガイダンスを含む、セキュリティ・ブリーフィング・リリースを早めることを目指します。

その目的は、脆弱性がリスクのしきい値を超えたときに、顧客にタイムリーで透明性のあるコミュニケーションを提供し、システムを保護するための適切な措置をとっていただくことです。メロスでは、問題の特定、修正プログラムの開発、重大なセキュリティ上の発見事項のユーザーへの通知に真摯に取り組むことを目指しています。

情報開示

メロス社は、脆弱性を適時に修正することを約束します。しかしながら、すぐに利用可能な是正措置がない場合に脆弱性を公表することは、リスクを増加させるか減少させるかのどちらかである可能性が高いことを認識しています。従って、発見された脆弱性に関する情報を共有することは、当社が報告書を受領した旨の通知を受け取ってから180暦日間は控えるよう求めています。当社が是正措置を実施する前に、脆弱性について他者に知らせるべきだと考える場合は、事前に当社と調整することを求めます。

合法性

このポリシーは、一般的な脆弱性開示のグッドプラクティスに適合するように設計されています。本ポリシーは、法律に反する行為や、メロス社に法的義務違反を犯させるような行為を許可するものではありません。

質問

本ポリシーに関する質問は、security@meross.com。また、本ポリシーを改善するためのご提案をお寄せください。