LINEヤフー

LINE Security Bug Bounty プログラム

LINEヤフー株式会社(以下「当社」といいます。)は、2016年6月2日から、当社のオンライン環境をより安全にするため、脆弱性の報告に対し、報奨金を支払う LINE Security BugBounty プログラム(以下「本プログラム」といいます。)を実施しています。 本プログラムに参加し報奨金を受け取るには、以下の内容(以下「本利用規約」といいます。)に同意する必要があります。

  1. 第1条 (目的)
    本プログラムは、当社が本利用規約において指定するコミュニケーションアプリ「LINE」(以下「本アプリ」といいます。)の最新版及びWEBサイトに存在する脆弱性を早期に発見し、 LINE 利用者(本アプリの利用者をいい、以下同様とします。)がより安心できるサービスを提供することを目的としています。
  2. 第2条 (参加資格、参加方法等)
    1. 1.本プログラムに参加(以下、参加する者を「参加者」といいます。)するためには、以下の参加資格を満たす必要があります。
      1. (1) 16歳以上であること
      2. (2) 現在当社又は当社の関連会社の社員でなく、かつ過去6か月以内に当社又は当社の関連会社に所属していないこと
      3. (3) 当社と連携して進行したプロジェクトを過去6か月以内に遂行した、又は現に遂行している者でないこと
      4. (4) 日本語又は英語でのコミュニケーションが可能であること
      5. (5) 報奨金の支払時点において、日本、米国その他の国や地域の経済制裁措置の対象国に居住し、又は制裁対象企業若しくは個人に該当しないこと
      6. (6) 反社会的勢力の構成員又はその関係者でないこと
    2. 2.参加者が本プログラムに参加するためには、当社の指定した本プログラム運営における提携先プラットフォーム(以下、「本プログラム提携先」又は「HackerOne」といいます。)上のウェブサイト(URL:https://hackerone.com/line 以下、「本プログラムウェブサイト」といいます)において、 脆弱性の報告のための当社所定のアカウント(以下「アカウント」といいます。)を作成する必要があります。アカウントの作成には、当社所定の情報の入力が必要です。
    3. 3.本プログラムへの参加のために参加者が要した費用については、全て参加者の負担とします。
    4. 4.当社は、本プログラムの運営上必要な連絡等を参加者に対して行う場合には、参加者が作成したアカウントへの連絡をもって、これを行うものとします。
  3. 第3条 (対象)
    1. 1.報奨金の対象となる当社のサービス、及び対象となる脆弱性の種類は、本プログラムウェブサイト上で掲示いたします。
    2. 2.報奨金の対象にならない脆弱性は、本プログラムウェブサイト上で例示いたします。
  4. 第4条 (期間)
    1. 1.本プログラムは、原則2016年6月2日から終了期間を設けずに実施します。ただし、当社の都合により予告なしに、本プログラムの実施を中止する場合があります。
    2. 2.前項により当社が本プログラムの実施を中止した場合であっても、当社が参加者から既に受領済みの脆弱性については、当社が引き続き検討・審査するものとし、参加者は当該結果が出るまでの間は、本プログラムの参加者としての地位を有します。
  5. 第5条 (報告)
    参加者は、本プログラムウェブサイト上から脆弱性の報告をするものとします。この方法以外による報告は、報奨金支払の対象となりません。
  6. 第6条 (報奨金)
    1. 1.当社は、当社の裁量により、報告された脆弱性の深刻性、新規性等に基づき報奨金額を決定します。報奨金額の目安については、本プログラムウェブサイト上に掲載いたします。
    2. 2.類似する脆弱性の報告を受けた場合、当社が同一の脆弱性と判断するもの(以下を含みますがこれらに限りません。)については同一の脆弱性とみなすものとします。
      1. (1) 一つのメソッドに対し、複数のパラメータに同様の脆弱性がある場合
      2. (2) 複数のドメインにわたって稼動するメソッドに対し、同一の脆弱性がある場合
    3. 3.複数参加者から同一の脆弱性報告があった場合、当社が初めに報告の受領をした参加者に対してのみ報奨金が支払われるものとします。
    4. 4.当社は、参加者が脆弱性の報告をし、当該報告が報奨金の対象となる場合には、対象参加者に対してその旨連絡をするものとします。
    5. 5.参加者は、本項に定める方法により報奨金を受け取ることができます。参加者は、当社から参加者のアカウントに対して、当社所定の報奨金支払に必要な有効かつ真実の情報の全て(以下「必要情報」といいます。)の提出の依頼に係る連絡が行われた場合には、かかる情報を速やかに、当社または本プログラム提携先に対し提供するものとします。 当社からのかかる情報提供依頼から1ヶ月以内に当該情報の提供をしない場合、当該参加者は、報奨金を受領する権利を放棄したものとみなします。報奨金支払いに係る細則及び手続きは、本プログラム提携先による取り決めに従います。
    6. 6.当社が参加者に通知する報奨金額は、源泉徴収後の手取りの金額です。
    7. 7.当社が参加者のアカウント、又は同アカウントに登録された Emailアドレス宛にメッセージを送信したにもかかわらず30日間返信がなかった場合(Emailアドレスの入力間違い等、あらゆる場合を含みます。)、 又は当社若しくは本プログラム提携先が第4項に基づき参加者から受領した情報をもとに適切に送金手続を行ったにもかかわらず参加者が全部又は一部の報奨金を受領できなかった場合(必要情報の間違い、銀行システムの障害、参加者が経済制裁対象者に該当する等、あらゆる場合を含みます。)には、 当社の当該報奨金の支払義務は消滅するものとします。
    8. 8.参加者は、報奨金を受領する権利を第三者に移転し、譲渡し、又は担保に供してはなりません。
    9. 9.参加者が本利用規約に違反している事実が明らかになった場合、当社は、当該参加者に対し、報奨金の支払を拒み、又は支払済みの報奨金の返還を求めることができます。
  7. 第7条 (禁止事項)
    1. 1.参加者は、以下の行為を行ってはなりません。
      1. (1) 他人の権利を侵害する行為、その他法令に違反する行為
      2. (2) 当社のサービスに負荷を与える Dos(サービス運用妨害)攻撃
      3. (3) 脆弱性自動 Scanner を用いた攻撃
      4. (4) 任意の LINE 利用者にメッセージを送信する Spamming(スパム)行為
      5. (5) 当社の資産又はデータセンターに対する物理的な攻撃
      6. (6) 発見した脆弱性を利用して他人のデータを閲覧、削除、変更、公開する行為
      7. (7) 発見した脆弱性を利用してソースコード等を閲覧、削除、変更、公開する行為
      8. (8) 脆弱性の検証及び脆弱性の報告にあたり他人の権利を侵害する行為
      9. (9) 前各号の他、本プログラムの目的に照らして、その趣旨に反する行為
    2. 2.参加者は、本人の事前の書面による明示的な同意がない限り、他人の個人情報にアクセス(閲覧、削除、変更、公開、保存、操作等一切の利用行為を含みます。以下同じ。)をしてはなりません。参加者が誤って他人の個人情報にアクセスした場合、直ちに当該行為を中止し、当社に報告のうえ、コンピュータ等から当該個人情報及びその一切の複製物を削除しなければなりません。
    3. 3.本プログラム参加における禁止事項及び注意事項は、本プログラムウェブサイトにも掲載いたします。
    4. 4.参加者が本条第1項、第2項又は前項に違反した場合には、当社は、当該参加者の本プログラムへの参加資格を剥奪することができます。
  8. 第8条 (権利)
    1. 1.参加者は、本プログラムへの参加に必要な範囲で、本アプリの改変・加工・複製等の利用権を有するものとします。
    2. 2.参加者が、脆弱性を検証又はその改修方法を検討するにあたり、発明・考案・意匠の創作・著作等(以下「発明等」といいます。)を行った場合、 発明等に係わる産業財産権等の登録出願権及び著作権(著作権法第27条及び第28条に規定する権利を含みます。)等、 全ての権利は、参加者が作成したアカウントを通じた脆弱性の当社に対する提出と同時に当社に移転するものとし、当社は当該権利を自由に行使及び処分することができるものとします。
    3. 3.発明等が著作物である場合には、参加者は当該著作物に係わる著作者人格権を当社及び当社が指定した者に対して主張及び行使しないものとします。
    4. 4.参加者が報告した脆弱性情報に、第三者が提供するサービス又は製品(以下「外部製品」といいます。)の脆弱性情報が含まれる、又は外部製品との組み合わせによって脆弱性が発生していると当社が判断した場合、当社は参加者の同意を得ることなく、外部製品提供元又は脆弱性情報に関連する行政機関等に脆弱性情報を提供することができるものとします。報告内容に参加者による発明等が含まれる場合、外部製品に対する発明等に関する権利は当社に移転せず、引き続き参加者が保有するものとし、当社は当社の提供するサービス又は製品の改修に必要な範囲で外部製品に対する発明等を自由に利用できるものとします。
  9. 第9条 (秘密情報の取扱い)
    1. 1.参加者は、脆弱性情報及び脆弱性を利用して得た一切の情報を秘密情報として取り扱うものとし、本プログラムの期間中だけでなく、本プログラムの終了後においても、当社が当該脆弱性の改修を完了し公表を行うまでの間、第三者に対して、開示、漏洩、公表等はできません。 なお、関連脆弱性(参加者が報告した脆弱性と関連する、又はこれと同種の脆弱性であって、未だ当社による手当てが済んでいないもの)の存在により LINE 利用者への被害が想定される等当社が特に機密と指定した情報(具体的な攻撃手段等)が存在する場合、 参加者は、当該機密情報につき開示、漏洩、公表等はできません。
    2. 2.前項の場合であっても、当社による脆弱性の報告受領から1年が経過した場合はこの限りではありません。
    3. 3.第1項及び第2項の定めにかかわらず、脆弱性情報及び脆弱性を利用して得た一切の情報に第三者の個人情報が含まれる場合、参加者は、当該第三者の事前の書面による明示的な同意がない限り、当該個人情報につき開示、漏洩、公表等はできません。
    4. 4.本条の他の定めにかかわらず、脆弱性が、外部製品に起因する場合(第8条4項に該当する場合)であって、本アプリ以外にも影響が及ぶ場合など、公益性を優先するべき合理的な事情がある場合、参加者は当社による脆弱性の改修状況に関わらず、外部製品提供元等に対する脆弱性情報の提供、開示及び公表ができるものとします。かかる場合、参加者は当社及び本アプリの匿名化を含む、当社や本アプリ利用者の利益が害されないよう合理的な措置をとるものとします。
  10. 第10条(個人情報の取扱い)
    1. 1.当社は、参加者のプライバシーを尊重しています。
    2. 2.当社は、本プログラムにおいて、参加者から取得した個人情報をご本人確認、ご連絡、審査、支払、不正利用防止、本プログラムの円滑利用、その他本プログラムに必要な事務処理のために利用いたします。その他取扱いは、LINEヤフープライバシーポリシーに従います。
    3. 3.当社は、参加者から収集した情報を安全に管理するため、セキュリティに最大限の注意を払っています。
  11. 第11条(退会)
    1. 1.参加者が本プログラムから退会を希望する場合には、ご自身でHackerOneのアカウント削除機能を利用することが可能です。当該アカウントを削除した場合、当社に対して退会の申出を行ったものとします。
    2. 2.当社は、参加者が本利用規約第2条第1項に定める参加資格を満たさないことが判明した場合又は参加者が本利用規約第7条に定める禁止事項に違反した場合若しくは違反のおそれがあると認めた場合には、当該利用者を退会処理することができるものとします。
  12. 第12条(Hall of Fame)
    当社に有益となる報告を行った参加者は、本プログラムウェブサイト上での所定のページ(https://hackerone.com/line/thanks) において名前や写真等が掲載されます。
  13. 第13条(免責)
    1. 1.参加者は、参加者自身の責任のもとで本プログラムに参加するものとします。
    2. 2.本プログラムに関わる参加者間又は第三者との紛争について、当社は一切関与せず、参加者は自己の責任と負担において、当該紛争を解決するものとします。
  14. 第14条(本利用規約の変更)
    1. 1.当社は、以下の各号のいずれかの場合には、本利用規約を変更することができるものとします。
      その場合、当社は、本利用規約を変更する旨、変更後の本利用規約の内容および効力発生日を、本プログラムもしくは当社ウェブサイトに表示し、または当社が定める方法により参加者に通知することで参加者に周知します。第2号の場合には、その変更の周知は効力発生日から相当な期間前までに行うものとします。
      1. (1) 本利用規約の変更が、参加者の一般の利益に適合するとき
      2. (2) 本利用規約の変更が、契約の目的に反するものではなく、かつ変更の必要性、変更後の内容の相当性、その他の変更に係る事情に照らして合理性があるとき
    2. 2.変更後の本利用規約は、効力発生日からその効力を生じます。
    3. 3.本プログラムウェブサイト上に掲載される本プログラムに関するガイドライン(「報奨金の対象となる当社のサービス」、「対象となる脆弱性の種類」、「報奨金の対象とならない脆弱性の例」、「報奨金額の目安」、「本プログラム参加における禁止事項及び注意事項」等をいいます。以下本項において同様とします。)は、本利用規約とあわせて適用されるものです。当社は、本条第1項及び第2項に定めるのと同様の要件・方法によりガイドラインを変更することができるものとします。参加者は本プログラムウェブサイト上で変更内容を確認することができます。
  15. 第15条(言語及び標準時)
    1. 1.本利用規約は、日本語版を正文とし、日本語版と英語版の解釈が異なる場合は日本語版が優先するものとします。
    2. 2.本プログラムに関連して使用する日付及び時間は、特別の定めのない限り、日本国における日付及び時間を基準とします。
  16. 第16条(準拠法及び専属的合意管轄)
    本利用規約は、日本法に準拠して解釈されるものとし、本プログラムへの参加に起因又は関連して参加者と当社との間に生じた紛争については、東京地方裁判所を第一審の専属的合意管轄裁判所とします。
  17. 第17条 (本プログラムに関する問い合わせ)
    本プログラムは、当社が運営しています。脆弱性の報告以外の本プログラムにおける全てのお問い合わせは、以下のフォームから受け付けます。それ以外の方法によるお問い合わせは受け付けません。
    https://contact-cc.line.me/detailId/10560 (例:サービス:「LINE」を選択 / カテゴリ:「その他」を選択 / 詳細:「キャンペーン」を選択)
  18. 2023年10月1日最終改定