スペクトロコインがシステムバグ検出報酬制度を始動

どうもshoto です。

バンクエラの金融エコシステムの1つ「スペクトロコイン」。

スペクトロコインは主に暗号資産の販売や決済、ウォレットなど様々なサービスを展開していますが、先日「バグ検出報酬制度」というプロジェクトを始動させました。

IT業界でいう「バグ」とは、プログラムやソフトウェアなどの欠陥を指しますが、今回のプロジェクトではプログラムの欠陥やシステムの脆弱性を発見した人に金銭的報酬を贈呈するというものになります。

このことからもバンクエラやスペクトロコインがセキュリティの優先順位が高いことがうかがえますよね。

この記事ではスペクトロコインのシステムバグ検出報酬制度について簡単にまとめていきたいと思います!

バンクエラ・スペクトロコインについては下の記事でわかりやすく解説しています。

バンクエラ(Bankera)の取引所から配当をわかりやすく解説

スペクトロコインのウォレット機能から決済サービスまでポイント解説

スペクトロコインのバグ検出報酬制度

スペクトロコインのバグ検出報酬制度では、スペクトロコインが提供するIOSやAndroidのスペクトロコインアプリ、スペクトロコインウォレット、提供するAPIなどの提供するサービス内での脆弱性の検出・報告が報奨金制度の対象となっています。

脆弱性には適正項目、不適正項目がありますので、次に詳細を記載します。

スペクトロコインの脆弱性適正・不適正項目

適正項目

財務上の損失やデータ侵害の可能性がある脆弱性は、十分な重大性であると定義されますが、必ずしもそうである必要はありません。

  • クロスサイトリクエストフォージェリ(Cross-Site Request Forgery (CSRF))

  • クロスサイトスクリプティング(Cross-Site Scripting (XSS))

  • インジェクション攻撃(Code Injection)

  • リモートでコードを実行(Remote Code Execution)

  • 特権昇格(Privilege Escalation)

  • 認証バイパス(Authentication Bypass)

  • クリックジャッキング(Clickjacking)

  • 機密データの漏洩(Leakage of Sensitive Data)

不適正項目

次の脆弱性は重大性の基準値を満さないものになります。

  • メインのWebサイトに脆弱性を引き起こさない、サードパーティサイトの脆弱性。(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)

  • パスワードの複雑さの要件(Password complexity requirements)

  • セルフXSS(Self-XSS)

  • Dos攻撃(DoS)(Denial of service (DoS))

  • スパム(Spamming)

  • ユーザビリティの問題(Usability issues)

  • 旧式ブラウザやパッチの適用されていないブラウザに影響を及ぼす脆弱性(Vulnerabilities affecting outdated or unpatched browsers)

  • スペクトロコインのAPIを使用するサードパーティアプリケーションの脆弱性(Vulnerabilities in third party applications which make use of the SpectroCoin API)

  • エクスプロイタビリティ・デモンストレーションのない、自動ツールやスキャンによるレポート(Reports from automated tools or scans, without exploitability demonstration)

  • 物理的な攻撃、ソーシャルエンジニアリング、フィッシングなどの非テクニカル攻撃など(Non-technical attacks, such as physical attack, social engineering, phishing, etc.)

  • 報告済みの脆弱性(Bugs that have been already reported before)

  • 把握している脆弱性(Bugs known to us)

  • 再現性のない問題(Non-reproducible issues)

スペクトロコインのバグ検出報奨金について

以下の表がバグを検出・報告した際の報奨金額一覧です。

リモートでコードを実行 最大$10,000
アカウント残高の深刻な操作最大$5,000
機密性の高い操作 XSS/CSRF/Clickjacking最大$3,500
秘匿特権情報の盗難最大$2,500
部分認証バイパス最大$1,500
その他のXSS(セルフXSSを除く)最大$500
財務またはデータ損失の可能性がある他の脆弱性最大$500
その他のCSRF(ログアウトCSRFを除く)最大$100

脆弱性を報告する方法

もし、サービスを利用していて適正項目内に該当する脆弱性を発見した場合、その報告方法として脆弱性のレポートをtechnical@spectrocoin.comに送付し、報告することが条件となります。

また、その際に脆弱性の証明(スクリーンショット/ビデオ/スクリプト)が必要となるほか、一般公開されているWebサイトなどへの公開は禁止となっているので注意が必要です。

ということでスペクトロコインのシステムバグ検出報酬制度について簡単にまとめました!

最近ではソースコードをGithubなどに公開し、世界中の開発者と共同でプロダクトをブラシュアップするサービス提供者も増えています。

この方法はインセンティブを設けることで世界中の優秀なエンジニアの力を借りることができるため、多くのメリットがあります。

セキュリティ人材は獲得が難しいこともあり、スペクトロコインのシステムバグ検出報酬制度はかなり効果的だと感じています。

これでサービスプロダクトがよりブラッシュアップされるのが楽しみです!

Source of photo:https://spectrocoin.com

>はじめての仮想通貨投資なら『Coincheck』

はじめての仮想通貨投資なら『Coincheck』

はじめて仮想通貨を買うならCoincheck!
ユーザー数195万突破!金融庁登録済の仮想通貨交換業者(2019年11月)。
東証一部上場企業のマネックスグループのグループ会社であるCoincheckは国内最大の11種類の仮想通貨を取り扱い、取扱通貨は全て500円から購入可能!
初心者でもスマホアプリから簡単取引可能と評判の取引所で仮想通貨アプリ国内最大の262万DLを突破した人気取引所です。
<取り扱い通貨>・ビットコイン(BTC)・リップル(XRP)・イーサリアム(ETH)・ネム(XEM)・ビットコインキャッシュ(BCH)・リスク(LISK)・ファクトム(FCT)・ライトコイン(LTC)・イーサリアムクラシック(ETC)・モナコイン(MONA)・ステラルーメン(XLM)