PingCAPでは、当社の製品及びサービスに関するセキュリティ関連の問題を非常に重視しています。当社の製品やサービスを使用中又はテスト中にセキュリティ脆弱性を発見した場合、可能な限り速やかに当社のセキュリティチームに報告していただくことを強く推奨します。これにより、TiDBは製品及びサービスのセキュリティ強化を図ることができ、すべてのユーザーにとってより安全な環境を提供することが可能になります。
適用範囲
本ガイドラインは、PingCAPの中核的なオープンソース製品及び一般に公開されているインターネットアプリケーション (tidbcloud.com、tidb-cloud.com、tidbapi.com、pingcap.com等) に適用されます。また、TiDB製品と直接関連するコンポーネント (TiKV、TiDB、TiFlash、PD等) も対象とします。
行動規範
PingCAPは、セキュリティリサーチャーの皆様が当社の製品やサービスにおけるセキュリティ脆弱性を積極的に発見・報告されることを推奨しています。但し、以下の行動規範を遵守していただくことをお願いしております。
- セキュリティ脆弱性の最小検証範囲を超えて悪用しないこと
- サービス拒否攻撃(DoS/DDoS)のテストを実施しないこと
- 物理的なテスト、近接攻撃、ソーシャルエンジニアリングテスト等、技術的でない脆弱性テストを行わないこと
- 当社の情報システムに保存されているデータを、事前の許可なく抽出・取得・コピー・ダウンロードしたり、利用したりしないこと
- テスト中にユーザの身元情報、注文内容、クレジットカード情報、業務上の機密データ等の機密情報を発見した場合は、直ちにテストを中止し、速やかに当社までご連絡ください。
- 脆弱性テストの過程で得られた情報を、知る必要のない第三者に開示しないこと
- 脆弱性テストを名目とした破壊的行為は一切容認しません。特に、セキュリティ脆弱性を利用してPingCAPの製品・サービスや当社ユーザの利益を損なうような行為は厳しく対処します。このような場合には、利用可能な刑事・民事の法的手段をすべて行使する権利を有します。
脆弱性報告の手順
脆弱性報告
脆弱性に関する情報は、security@pingcap.com 宛てに TiDB セキュリティチームまでご報告ください。以下の形式で、可能な限り詳細な情報を記載してください (*印は必須項目を示します)。
- 脆弱性の名称*
- 影響を受けるセキュリティ上の問題の詳細*
- 影響を受けるコンポーネントとバージョン番号*
- CVE番号 (該当する場合)
- 脆弱性を再現するための手順およびスクリプト*
- 連絡先情報*
- 修正推奨事項*
脆弱性修正
リスクが確認された場合、セキュリティチームは速やかに関係業務部門に通知し、可能な限り迅速にセキュリティ問題に対処します。修正のスケジュールは、問題の深刻度と解決の難易度によって異なります。
脆弱性評価基準
脆弱性はその深刻度レベルに応じ、「重大」「高」「中」「低」、および「無視可」の5段階に分類されます。各レベルにはそれぞれ異なる基本スコア範囲が対応しています。
本ルールは参照用の基準であり、最終的な脆弱性スコアは、影響範囲、実際の悪用可能性、報告内容の詳細度、再テスト時の報告者の協力姿勢、及び修正の実現可能性等の要素を考慮して決定されます。最終的な解釈権はPingCAPが有します。
[重大]
- 直接システムアクセス (サーバサイドアクセス) 例えば、リモートコマンド実行、任意コード実行、Webシェルのアップロード、システムアクセスを目的としたSQLインジェクション、バッファオーバーフロー等、システム・コンテナ・PODへのリモートアクセスを可能にする脆弱性が該当します。
- 重要機密情報の漏洩 例えば、コアデータベースのSQLインジェクション脆弱性や、コアデータベース(資金情報、ユーザーID、その他の機密ユーザーデータ等)への不正アクセスにより、大量の機密情報が漏洩するケースが該当します。
- コアシステムサービスのサービス拒否 (DoS) 例えば、コアAPIサービスやTiDBコンポーネントを直接的に利用不能にする脆弱性が該当します。
- 重大な論理設計・プロセス上の欠陥 例えば、任意のアカウントへのログイン・乗っ取り、全アカウントのパスワード一括変更、任意金額の不正決済等、重大なセキュリティ上の問題が該当します。
[高]
- 機密情報への不正アクセス 例えば、認証を回避して管理バックエンドに直接アクセスし、大量の機密フロントエンドデータを改竄する行為や、脆弱なパスワード/SSRF (Server-Side Request Forgery) を利用して内部クラウド環境の機密情報を取得する行為等が該当します。
- 機密情報の漏洩 例えば、トラバーサル攻撃や非コアデータベースのSQLインジェクション、ソースコードの漏洩、ハードコードされたキー・パスワード等の脆弱性を悪用した機密データの流出が挙げられます。
- 機密情報に対する不正操作 例えば、権限のない者が機密性の高いユーザ情報にアクセスする行為等が該当します。
- 基幹業務に影響を与える脆弱性 例えば、重要なページ全体に伝播するストアドXSS脆弱性や、管理者権限を取得可能なストアドXSS等が該当します。
[中]
- ユーザに影響を与えるためにユーザ操作を必要とする脆弱性 例えば、一般的なビジネス環境での反射型XSSや、重要な業務プロセスにおけるCSRF等が該当します。
- 重大レベルではない情報漏洩 GitHub上での非重要内部TiDB情報の漏洩等を含みます。
- 軽微な不正操作 テナントIDの不正照会、クラスタIDの不正照会、およびその他の機密性の低い機能違反等、不正操作を伴う脆弱性を含みます。
- 正常な論理設計およびプロセスの欠陥に起因するセキュリティリスク SMS認証やメール認証を回避するケース等、セキュリティ上のリスクを引き起こす設計上の欠陥を含みます。
[低]
- 軽微な情報漏洩 機密性の低い情報の git リポジトリへの流出、デバッグ用ページの漏洩、サーバー構成情報の流出(ただし潜在的な被害がないものに限る)を含みます。
- サービス拒否脆弱性 クライアント側コンポーネントにおける権限設定の不備等に起因する、サーバ又はクライアント側のローカル DoS 脆弱性を含みます。
- 悪用困難だがセキュリティリスクを有する脆弱性 SQL インジェクションの悪用が困難な箇所、反射型 XSS、通常運用時に発生する CSRF 攻撃等を含みます。
- その他の影響度の低い脆弱性 非対話型の任意 URL リダイレクト等、影響が限定的な脆弱性を含みます。
[無視可]
- 他のホワイトハッカーや社内セキュリティチームによって既に特定されている脆弱性
- ユーザーの想定に基づく問題、未検証の不具合、又は意味のないスキャンレポートに基づく指摘
- ソーシャルエンジニアリング攻撃、近接攻撃、物理的な攻撃手法
- HTTPセキュリティヘッダーの未実装、又は特定のHTTPメソッドを有効にするための要件不備
- メール送信者認証 (SPF) 設定に関する問題
- あらゆるAPIインターフェースに対する総当たり攻撃
- ウェブサイトページのクリックジャッキング攻撃
- HTMLコンテンツへの不正な挿入攻撃
- robots.txtファイルの情報漏洩
- メールのなりすまし行為
- ウェブページに表示されるエラーメッセージ
- Go言語やJavaScript関数における実装エラー
- APIインターフェースに対するレート制限が実装されていない状態
- 機密性のないファイル情報の漏洩
- DDoS攻撃やHTTPフラッド攻撃によるサービス妨害 (DoS) 状態の発生
- サーバーのバージョン情報が外部に漏洩している問題
- 脆弱なパスワードポリシーやデータベースハッシュのソルト処理に関する問題
- SSL/TLSプロトコルのバージョンが古すぎる状態
- 検証や再現が不可能なサードパーティ製コンポーネントの脆弱性
報奨金付与の基準
脆弱性報奨金の最終金額は、以下の要素に基づいて決定されます。
- 事業上の重要性: 当該脆弱性がシステム全体やサービスの運用に不可欠な基幹業務システムに影響を与えるかどうか
- 脆弱性の深刻度: データ漏洩や重大な論理設計上の欠陥を引き起こす可能性がある等、脆弱性の深刻度レベル
- 修正の実現可能性: 報告者が明確に提示した実行可能な修正案が、脆弱性の迅速な解決を促進するかどうか
当社では、公平かつ透明性の高い方法で報奨金を提供することで、参加者の意欲向上と製品セキュリティの強化を図っています。ただし、特別な場合 (例:重複報告、有効性基準を満たさない報告、又は報奨条件を満たさない報告等) には、報奨金の支給可否を判断する権利を留保します。
事業区分
主要事業: tidbcloud.com、tidb-cloud.com、tidbapi.com、およびTiDB製品に関連する中核コンポーネント
一般事業: 主要製品以外のオンラインサイトおよび関連コンポーネント
報奨金詳細
脆弱性レベル | 事業区分 | 報奨金 |
重大 | 主要事業 | $2500 – $5000 |
高 | 主要事業 | $1000 – $2500 |
一般事業 | $300 – $1200 | |
中 | 主要事業 | $250 – $1000 |
一般事業 | $120 – $500 | |
低 | 主要事業 | $100 |
一般事業 | $50 |
守秘義務の原則
(潜在的なものを含む) 脆弱性に関するご意見については大変感謝しています。早期の公開による意図しない影響を最小限に抑え、法的要件を遵守するため、以下の行動規範を遵守していただきますようお願いします。
- 脆弱性情報はTiDBがパッチを公開するまで、外部および第三者に開示しないこと。脆弱性情報は、TiDBの関係者が情報を把握し、適切な対応を完了し、事前に定められた開示予定日まで公開してはなりません。開示時期は脆弱性の性質や必要な対応期間によって異なりますので、評価後に協議の上、合意形成する必要があります。
- 脆弱性情報の不正利用を防止するため、悪用コード等の詳細な脆弱性情報を開示しないこと。
- 知的財産保護に関する法律・規制、および秘密保持契約を遵守すること。
お問い合わせ先
本ポリシーに関するお問い合わせ、又は脆弱性対応プロセス・評価・報酬制度に関する紛争が生じた場合は、security@pingcap.com までメールでご連絡ください。
ご協力者
PingCAPは、当社の製品・サービスにおけるセキュリティ問題や脆弱性を責任を持って報告してくださった以下の方々に対し、心から感謝申し上げます。皆様のご協力により、当社はセキュリティ体制のさらなる強化を実現することができました。
セキュリティ・リサーチャー | 確認済みの報告件数 | 謝意対象の件数 |
Ather Iqbal | 2 | 2 |
Aditya Singh | 2 | 2 |
M.R.VIGNESH KUMAR | 1 | 1 |
Ranjeet Kumar Singh | 1 | 1 |
Soman Verma | 1 | 1 |