三菱自動車 脆弱性公開プログラム
三菱自動車工業株式会社(以下「当社」といいます)は、当社の製品およびサービスのセキュリティを確保し、サイバー脅威からお客様を守るために、製品の脆弱性情報を収集、公開いたします。
当社の脆弱性公開プログラム(VDP)は、セキュリティ研究者が当社の製品における脆弱性を特定し、当社に報告するためのものです。
下記ご確認の上、「6. お問い合わせ方法」から当社へご連絡ください。
1. 対象製品
当社製品および製品と接続して利用するために当社が提供するアプリケーション(以下「対象製品」という)
なお、OEM車両(他社が製造し、当社が販売する車両)に関する脆弱性については、当社が技術的に対応できない場合があります。その場合、回答は製造元の企業から提供されることがありますので、あらかじめご了承ください。
2. 製品・サービスの脆弱性管理
当社では、製品・サービスに関する脆弱性に対応するため、製品・サービスに関係の深い部門ごとにCSIRT(Computer Security Incident Response Team)を設置しています。
当社は、製品・サービスのセキュリティ脆弱性に関連するリスクを特定し、対応するために製品・サービスの脆弱性に関わる情報を広く収集しています。
報告対象として当社が既に認識している脆弱性については対象外といたします。
3. 脆弱性情報の調査及び対策
ご報告いただいた対象製品の脆弱性情報(以下「脆弱性情報」という)は、当該製品の設計・開発部門にて確認を行い、ご報告者様に確認結果をご連絡いたします。
脆弱性情報に新たな脆弱性が記載されていると当社が判断した場合は、必要に応じ対策・回避策を提示・公開します。
4. 脆弱性情報に関する権利
ご報告者様は、当社に報告する(「6. お問い合わせ方法」以外の方法も含む)ことにより下記に同意するものとします。
- 脆弱性情報について適した権利を有していること及び第三者の権利を侵害していないことについて保証するものとします。
- 脆弱性情報及びそれに関する知的財産について、当社に対し世界的、非独占的、無償、サブライセンス可能且つ譲渡可能な使用権を付与します。これには、当社が脆弱性情報に基づき対策、回避策を策定及び公開すること、製品を修正・改善、商品化及び派生物の制作、販売・配布を含みますがこれらに限られません。
- 当社から権利を継承し又は権利を継承又は許諾された者に対して、著作者人格権を行使せず、且つ著作者に行使させません。
- 当社からの回答内容の一部又は全部にかかわらず第三者への開示を行わないものとします。
5. バグバウンティプログラム
当社では脆弱性情報の内容にかかわらず、ご報告者様への報奨(金銭や物品等)は提供しておりません。
脆弱性の発見又は解決に貢献が有ったと当社で判断した場合は、ご報告者様同意の上、当ウェブサイトにて対象のセキュリティアドバイザリに謝辞を掲載いたします。
同一の脆弱性の場合は最初に連絡のあったご報告者様の掲載といたします。
6. お問い合わせ方法
脆弱性公開プログラムに関連する連絡は本ポリシーをご確認のうえ、[email protected]までご連絡ください。
関連のないお問い合わせには回答できない場合がございますのであらかじめご了承ください。
また、当社より送信します回答はご報告者のお問い合わせに回答する目的で送信するものです。
回答内容の全部、一部にかかわらず第三者(ソーシャルメディアへの掲載、学会発表等含む)への開示および二次的利用等他の目的で使用することはご遠慮ください。
7. 個人情報の取り扱い
個人情報の取扱いについては、以下のプライバシーポリシーに従って取り扱います。