• Cart
  • Cart

TechSmith にセキュリティ脆弱性を報告する

TechSmith 製品に脆弱性を発見した場合は、以下の TechSmith 脆弱性開示ポリシーをご確認のうえ、下記のフォームからご報告ください。

TechSmith の脆弱性開示ポリシー
脆弱性開示に関する基本方針

TechSmith は、セキュリティ脆弱性の適切な開示には、TechSmith とセキュリティ研究者との間に相互の信頼、尊重、透明性、そして共通の利益が必要であると考えています。絶えず警戒を怠らない私たちの専門知識を集約することで、TechSmith のお客様、製品、サービスの継続的なセキュリティとプライバシーが保護されます。

脆弱性を発見した場合:

  1. 脆弱性を再現できるように、手順を詳細に記述した報告書を作成してください。
  2. 問題が解決するまで、脆弱性を第三者や公に開示しないでください。
  3. TechSmith の顧客データのプライバシーを侵害しないよう、善意の努力を払ってください。可能な限りご自身のアカウントでテストを実施してください。
  4. 自分に属さない TechSmith の顧客データを破壊したり、改ざんしたりしないでください。
  5. テスト後は痕跡を残さないようにしてください。脆弱性を確認した結果、悪意のあるエントリやファイルが TechSmith のシステム上に残った場合は、脆弱性の再現が不要になった時点で削除または非表示にしてください。

TechSmith の対応について:

  1. ご報告内容をできるだけ早く確認いたします。
  2. 問題を再現できない場合、脆弱性の詳細についてさらに確認するため、ご連絡いたします。

対象範囲

対象となる Web エンティティ

  • https://myaccount.en.tsc-stage.co
  • https://library.en.tsc-stage.co
  • https://videoreview.en.tsc-stage.co
  • https://www.screencast.com
  • https://en.tsc-stage.co

対象となるデスクトップ製品

  • Snagit (TechSmith が保有するプロパティへの外部 Web 通信を含む)
  • Camtasia (TechSmith が保有するプロパティへの外部 Web 通信を含む)
  • Audiate (TechSmith が保有するプロパティへの外部 Web 通信を含む)
  • TechSmith Capture (TechSmith が保有するプロパティへの外部 Web 通信を含む)

対象外の Web エンティティ

  • https://login.en.tsc-stage.co
  • https://support.en.tsc-stage.co
  • https://.techsmithrelay.com https://.techsmithknowmia.com
  • サードパーティのサービス全般

TechSmith が所有するドメインまたはサブドメインで、ここに明記されていないものに脆弱性を発見した場合でも、当社に報告いただくことは可能です。ただし、その場合は報酬の対象とならない可能性があります。特定のドメインやサブドメインが TechSmith によって提供されているかどうか不明な場合は、DNS レコードをご確認ください。TechSmith は、en.tsc-stage.co のサブドメインをサードパーティ プロバイダーにリダイレクトすることがよくあります。なお、当社のいくつかのサービスは Web アプリケーション ファイアウォール (WAF) の背後で保護されており、DNS ルックアップでそのように表示される場合があります。これらの Web サイトで実行されているアプリケーションは対象範囲に含まれますが、Web アプリケーション ファイアウォール自体のテストは対象外ですのでご注意ください。

対象外の実装脆弱性

以下の項目については、テストや報告を行わないでください。

  • Web エンティティに対するサービス拒否 (DoS) 攻撃
  • レート制限の不備
  • スパム行為
  • メールのなりすまし
  • ソーシャル エンジニアリング
  • 物理的侵入テスト
  • セルフ XSS
  • SSL/TLS 設定に関する問題
  • X-Frame-Options の欠如 / クリックジャッキング
  • 悪意の実演を伴わないオープン リダイレクト

セーフ ハーバー:

本ポリシーに基づいて脆弱性調査を実施する場合、TechSmith は当該調査を以下のように扱います。

  • コンピューター詐欺および不正使用防止法 (CFAA) は同等の州法に準拠した正当な行為とみなし、本ポリシーに基づく偶発的かつ善意の違反に対して、当社は法的措置を提起したり支援したりすることはありません。
  • デジタル ミレニアム著作権法 (DMCA) の対象外とし、技術的保護手段の回避に関する申し立てを行いません。
  • 当社の利用規約における、セキュリティ調査の実施を妨げる可能性のある制限については、本ポリシーに基づき行われる活動に限り、その制限を限定的に免除します。
  • 当該調査は合法であり、インターネット全体のセキュリティ向上に寄与し、善意に基づいて実施されるものとみなします。
  • なお、前提として、すべての適用法を遵守することが常に求められます。

セキュリティ調査の内容が本ポリシーに沿っているかどうかについて、ご不明点や懸念がございましたら、作業を進める前に、support@bugcrowd.com までお問い合わせください。