LINE

LINE Security Bug Bounty プログラム

LINE株式会社(以下「当社」といいます。)は、2016年6月2日から、当社のオンライン環境をより安全にするため、脆弱性の報告に対し、報奨金を支払う LINE Security BugBounty プログラム(以下「本プログラム」といいます。)を実施しています。 本プログラムに参加し報奨金を受け取るには、以下の内容(以下「本利用規約」といいます。)に同意する必要があります。

  1. 第1条 (目的)
    本プログラムは、当社が本利用規約において指定するコミュニケーションアプリ「LINE」(以下「本アプリ」といいます。)の最新版及びWEBサイトに存在する脆弱性を早期に発見し、 LINE 利用者(本アプリの利用者をいい、以下同様とします。)がより安心できるサービスを提供することを目的としています。
  2. 第2条 (参加資格、参加方法等)
    1. 1.本プログラムに参加(以下、参加する者を「参加者」といいます。)するためには、以下の参加資格を満たす必要があります。
      1. (1) 16歳以上であること
      2. (2) 当社又は当社の関連会社の社員でないこと
      3. (3) 当社と連携して進行したプロジェクトを過去に遂行した、又は現に遂行している者でないこと
      4. (4) 日本語又は英語でのコミュニケーションが可能であること
      5. (5) 報奨金の支払時点において、日本、米国その他の国や地域の経済制裁措置の対象国に居住し、又は制裁対象企業若しくは個人に該当しないこと
      6. (6) 反社会的勢力の構成員又はその関係者でないこと
    2. 2.参加者が本プログラムに参加するためには、当社の指定した本プログラム運営における提携先プラットフォーム(以下、「本プログラム提携先」又は「HackerOne」といいます。)上のウェブサイト(URL:https://hackerone.com/line 以下、「本プログラムウェブサイト」といいます)において、 脆弱性の報告のための当社所定のアカウント(以下「アカウント」といいます。)を作成する必要があります。アカウントの作成には、当社所定の情報の入力が必要です。
    3. 3.本プログラムへの参加のために参加者が要した費用については、全て参加者の負担とします。
    4. 4.当社は、本プログラムの運営上必要な連絡等を参加者に対して行う場合には、参加者が作成したアカウントへの連絡をもって、これを行うものとします。
  3. 第3条 (対象)
    1. 1.報奨金の対象となる当社のサービス、及び対象となる脆弱性の種類は、本プログラムウェブサイト上で掲示いたします。
    2. 2.報奨金の対象にならない脆弱性は、本プログラムウェブサイト上で例示いたします。
  4. 第4条 (期間)
    1. 1.本プログラムは、原則2016年6月2日から終了期間を設けずに実施します。ただし、当社の都合により予告なしに、本プログラムの実施を中止する場合があります。
    2. 2.前項により当社が本プログラムの実施を中止した場合であっても、当社が参加者から既に受領済みの脆弱性については、当社が引き続き検討・審査するものとし、参加者は当該結果が出るまでの間は、本プログラムの参加者としての地位を有します。
  5. 第5条 (報告)
    参加者は、本プログラムウェブサイト上から脆弱性の報告をするものとします。この方法以外による報告は、報奨金支払の対象となりません。
  6. 第6条 (報奨金)
    1. 1.当社は、当社の裁量により、報告された脆弱性の深刻性、新規性等に基づき報奨金額を決定します。報奨金額の目安については、本プログラムウェブサイト上に掲載いたします。
    2. 2.類似する脆弱性の報告を受けた場合、当社が同一の脆弱性と判断するもの(以下を含みますがこれらに限りません。)については同一の脆弱性とみなすものとします。
      1. (1) 一つのメソッドに対し、複数のパラメータに同様の脆弱性がある場合
      2. (2) 複数のドメインにわたって稼動するメソッドに対し、同一の脆弱性がある場合
    3. 3.複数参加者から同一の脆弱性報告があった場合、当社が初めに報告の受領をした参加者に対してのみ報奨金が支払われるものとします。
    4. 4.当社は、参加者が脆弱性の報告をし、当該報告が報奨金の対象となる場合には、対象参加者に対してその旨連絡をするものとします。
    5. 5.参加者は、本項に定める方法により報奨金を受け取ることができます。参加者は、当社から参加者のアカウントに対して、当社所定の報奨金支払に必要な有効かつ真実の情報の全て(以下「必要情報」といいます。)の提出の依頼に係る連絡が行われた場合には、かかる情報を速やかに、当社または本プログラム提携先に対し提供するものとします。 当社からのかかる情報提供依頼から1ヶ月以内に当該情報の提供をしない場合、当該参加者は、報奨金を受領する権利を放棄したものとみなします。報奨金支払いに係る細則及び手続きは、本プログラム提携先による取り決めに従います。
    6. 6.当社は、参加者に対する報奨金の支払にあたり、法律により源泉所得税が発生する場合、報奨金から所得税を差し引いた金額を参加者に対して支払います。
    7. 7.当社が参加者のアカウント、又は同アカウントに登録された Emailアドレス宛にメッセージを送信したにもかかわらず30日間返信がなかった場合(Emailアドレスの入力間違い等、あらゆる場合を含みます。)、 又は当社若しくは本プログラム提携先が第4項に基づき参加者から受領した情報をもとに適切に送金手続を行ったにもかかわらず参加者が全部又は一部の報奨金を受領できなかった場合(必要情報の間違い、銀行システムの障害、参加者が経済制裁対象者に該当する等、あらゆる場合を含みます。)には、 当社の当該報奨金の支払義務は消滅するものとします。
    8. 8.参加者は、報奨金を受領する権利を第三者に移転し、譲渡し、又は担保に供してはなりません。
    9. 9.参加者が本利用規約に違反している事実が明らかになった場合、当社は、当該参加者に対し、報奨金の支払を拒み、又は支払済みの報奨金の返還を求めることができます。
  7. 第7条 (報奨金寄付制度についての特約)
    当社は、脆弱性を発見していただいた参加者のモチベーション向上を目的として、報奨金についての寄付制度をご用意させていただいております。報奨金獲得の条件を満たした参加者は、ご選択により、本利用規約に基づく報奨金のご自身によるお受け取りを辞退し、それに代えて、獲得した報奨金と同額を当社の上乗せをしたうえで、寄付することができます。寄付を選択された場合、当社が指定させていただく以下のOSSやインターネットコミュニティ等を含む第三者に寄付することができます。寄付行為は当社の名義「LINE株式会社」で、当社が行います。なお、一旦寄付行為を選択されたのちは、参加者はその意思表示を撤回できないものとします。
      1. (1) Apache Software Foundation
      2. (2) Linux Foundation
      3. (3) OWASP
      4. (4) Electronic Frontier Foundation (EFF)
      5. (5) Let's Encrypt
    1. また「報奨金の獲得」と「寄付」の組み合わせはできないものとします。税制上の 優遇処置などのために、書面を発行するなどの業務も受けしないものとします。
  8. 第8条 (禁止事項)
    1. 1.参加者は、以下の行為を行ってはなりません。
      1. (1) 他人の権利を侵害する行為、その他法令に違反する行為
      2. (2) 当社のサービスに負荷を与える Dos(サービス運用妨害)攻撃
      3. (3) 脆弱性自動 Scanner を用いた攻撃
      4. (4) 任意の LINE 利用者にメッセージを送信する Spamming(スパム)行為
      5. (5) 当社の資産又はデータセンターに対する物理的な攻撃
      6. (6) 発見した脆弱性を利用して他人のデータを閲覧、削除、変更、公開する行為
      7. (7) 発見した脆弱性を利用してソースコード等を閲覧、削除、変更、公開する行為
      8. (8) 脆弱性の検証及び脆弱性の報告にあたり他人の権利を侵害する行為
      9. (9) 前各号の他、本プログラムの目的に照らして、その趣旨に反する行為
    2. 2.本プログラム参加における禁止事項及び注意事項は、本プログラムウェブサイトにも掲載いたします。
    3. 3.参加者が本条第1項又は前項に違反した場合には、当社は、当該参加者の本プログラムへの参加資格を剥奪することができます。
  9. 第9条 (権利)
    1. 1.参加者は、本プログラムへの参加に必要な範囲で、本アプリの改変・加工・複製等の利用権を有するものとします。
    2. 2.参加者が、脆弱性を検証又はその改修方法を検討するにあたり、発明・考案・意匠の創作・著作等(以下「発明等」といいます。)を行った場合、 発明等に係わる産業財産権等の登録出願権及び著作権(著作権法第27条及び第28条に規定する権利を含みます。)等、 全ての権利は、参加者が作成したアカウントを通じた脆弱性の当社に対する提出と同時に当社に移転するものとし、当社は当該権利を自由に行使及び処分することができるものとします。
    3. 3.発明等が著作物である場合には、参加者は当該著作物に係わる著作者人格権を当社及び当社が指定した者に対して主張及び行使しないものとします。
    4. 4.参加者が報告した脆弱性情報に、第三者が提供するサービス又は製品(以下「外部製品」といいます。)の脆弱性情報が含まれる、又は外部製品との組み合わせによって脆弱性が発生していると当社が判断した場合、当社は参加者の同意を得ることなく、外部製品提供元又は脆弱性情報に関連する行政機関等に脆弱性情報を提供することができるものとします。報告内容に参加者による発明等が含まれる場合、外部製品に対する発明等に関する権利は当社に移転せず、引き続き参加者が保有するものとし、当社は当社の提供するサービス又は製品の改修に必要な範囲で外部製品に対する発明等を自由に利用できるものとします。
  10. 第10条 (秘密情報の取扱い)
    1. 1.参加者は、脆弱性情報を秘密情報として取り扱うものとし、本プログラムの期間中だけでなく、本プログラムの終了後においても、当社が当該脆弱性の改修を完了し公表を行うまでの間、第三者に対して、開示、漏洩、公表等はできません。 なお、関連脆弱性(参加者が報告した脆弱性と関連する、又はこれと同種の脆弱性であって、未だ当社による手当てが済んでいないもの)の存在により LINE 利用者への被害が想定される等当社が特に機密と指定した情報(具体的な攻撃手段等)が存在する場合、 参加者は、当該機密情報につき開示、漏洩、公表等はできません。
    2. 2.前項の場合であっても、当社による脆弱性の報告受領から1年が経過した場合はこの限りではありません。
    3. 3.本条の他の定めにかかわらず、脆弱性が、外部製品に起因する場合(9条4項に該当する場合)であって、本アプリ以外にも影響が及ぶ場合など、公益性を優先するべき合理的な事情がある場合、参加者は当社による脆弱性の改修状況に関わらず、外部製品提供元等に対する脆弱性情報の提供、開示及び公表ができるものとします。かかる場合、参加者は当社及び本アプリの匿名化を含む、当社や本アプリ利用者の利益が害されないよう合理的な措置をとるものとします。
  11. 第11条(個人情報の取扱い)
    1. 1.当社は、参加者のプライバシーを尊重しています。
    2. 2.当社は、本プログラムにおいて、参加者から取得した個人情報をご本人確認、ご連絡、審査、支払、不正利用防止、本プログラムの円滑利用、その他本プログラムに必要な事務処理のために利用いたします。その他取扱いは、LINE プライバシーポリシーに従います。
    3. 3.当社は、参加者から収集した情報を安全に管理するため、セキュリティに最大限の注意を払っています。
  12. 第12条(退会)
    1. 1.参加者が本プログラムから退会を希望する場合には、ご自身でHackerOneのアカウント削除機能を利用することが可能です。当該アカウントを削除した場合、当社に対して退会の申出を行ったものとします。
    2. 2.当社は、参加者が本規約第2条第1項に定める参加資格を満たさないことが判明した場合又は参加者が本規約第8条に定める禁止事項に違反した場合若しくは違反のおそれがあると認めた場合には、当該利用者を退会処理することができるものとします。
  13. 第13条(Hall of Fame)
    当社に有益となる報告を行った参加者は、本プログラムウェブサイト上での所定のページ(https://hackerone.com/line/thanks) において名前や写真等が掲載されます。
  14. 第14条(免責)
    1. 1.参加者は、参加者自身の責任のもとで本プログラムに参加するものとし、本プログラムへの参加によって生じた損害について、当社は一切の責任を負いません。
    2. 2.本プログラムに関わる参加者間又は第三者との紛争について、当社は一切関与せず、参加者は自己の責任と負担において、当該紛争を解決するものとします。
  15. 第15条(本規約の変更)
    1. 1.当社は、本プログラムの目的の範囲内で本規約の内容を改定する場合があります。変更後の本規約の内容、変更する規定の内容及び効力発生日を本プログラム又は当社が運営するウェブサイトに表示し、又は当社が定める方法により参加者に通知することで参加者に通知します。
    2. 2.変更後の本規約は、効力発生日からその効力を生じます。
    3. 3.本プログラムウェブサイト上に掲載される本プログラムに関するガイドライン(「報奨金の対象となる当社のサービス」、「対象となる脆弱性の種類」、「報奨金の対象とならない脆弱性の例」、「報奨金額の目安」、「本プログラム参加における禁止事項及び注意事項」等をいいます。以下本項において同様とします。)は、本規約とあわせて適用されるものです。当社は、ガイドライン上の記載の意図の明確化、又は報奨金の対象となる当社のサービスの追加等、参加者の不利益にならない範囲でガイドラインを変更することができます。ガイドラインについて重要な変更を行う場合には、本条第1項及び第2項に定めるのと同様の方法により行います。参加者は本プログラムウェブサイト上で変更内容を確認することができます。
  16. 第16条(言語及び標準時)
    1. 1.本規約は、日本語版を正文とし、日本語版と英語版の解釈が異なる場合は日本語版が優先するものとします。
    2. 2.本プログラムに関連して使用する日付及び時間は、特別の定めのない限り、日本国における日付及び時間を基準とします。
  17. 第17条(準拠法及び専属的合意管轄)
    本規約は、日本法に準拠して解釈されるものとし、本プログラムへの参加に起因又は関連して参加者と当社との間に生じた紛争については、東京地方裁判所を第一審の専属的合意管轄裁判所とします。
  18. 第18条 (本プログラムに関する問い合わせ)
    本プログラムは、当社が運営しています。脆弱性の報告以外の本プログラムにおける全てのお問い合わせは、以下のフォームから受け付けます。それ以外の方法によるお問い合わせは受け付けません。
    https://contact-cc.line.me/detailId/10560 (例:サービス:「LINE」を選択 / カテゴリ:「その他」を選択 / 詳細:「キャンペーン」を選択)
  19. 2020年3月31日最終改定