セキュリティの脆弱性が見つかりましたか?

当社におしらせください。

セキュリティはプロセスであり、目的地ではありません。
ですから、お客様は ESET 製品またはリソースに影響を及ぼすセキュリティ上の脆弱性を報告することができます、こちらの電子メールアドレスまでご連絡ください。 security@eset.com

当社が奨励する脆弱性カテゴリー


当社はすべての報告書を優先的に扱い、すべての問題で、できるだけ早く報告いただいたお客様と直接ご連絡を取って調査します。
報告を行う際は、英語でこちらまでご連絡ください。 security@eset.com 電子メールには次の情報を明示してください。

  • ターゲット – IP アドレス、ホスト名、URL などで識別されるESET サーバー、またはバージョン番号などのESET 製品 (ナレッジベースの記事から バージョン番号をお調べいただけます)
  • 問題のタイプ – 脆弱性の種類(OWASP による、クロスサイトスクリプティング、バッファオーバーフロー、SQL インジェクション等)および脆弱性の全般的な説明も書き添えてください。
  • この脆弱性を証明する概念実証またはURL、あるいはその両方 – 脆弱性がどのように動作するかを示すデモンストレーションです。具体例:
    ●  ペイロードを含むURL – 例、GET 要求パラメータ内のXSS
    ●  一般チェッカーへのリンク – 例、SSL の脆弱性
    ●  動画 – 一般的に使用可能 (ストリーミングサービスにアップロードする場合はプライベートとしてマークしてください)
    ●  ログファイル ESET SysInspector( ESET SysInspector ログの作成方法をご覧ください)またはMicrosoft の問題ステップ記録ツールから( 問題ステップ記録ツールの使い方をご覧ください)該当する場合
    ●  できるだけ詳細な説明をご提供ください、もしくは前述の選択肢のいずれかを組み合わた内容をご連絡ください。 

該当する場合、脆弱性の修正方法に関するお客様の推奨内容も歓迎しています。

当社への電子メールを暗号化するには、次をご使用ください PGP 公開キー:

範囲外の脆弱性

ウェブ・アプリケーション

  • 記述的なエラーメッセージ(例:スタックトレース、アプリケーションエラーまたはサーバーエラー)。
  • HTTP 404 コード/ページまたは他のHTTP 非200 コード/ページ。
  • 共通/公共サービスに関する指紋/バナー開示。
  • 既知の公開ファイルやディレクトリの公開(robots.txt など)
  • クリック・ジャッキングとクリック・ジャッキングを使ってのみ悪用できる事項。
  • 匿名ユーザーが利用できるフォーム(例:連絡フォーム)上のCSRF。
  • ログアウト・クロスサイト・リクエスト・フォージェリ(ログアウトCSRF)。
  • アプリケーションまたはウェブブラウザ上の「オートコンプリート」または「パスワードを保存」機能の存在。
  • 非機密Cookie 上のSecure / HTTP Only フラグの欠如。
  • サイトを離れる際のセキュリティ・スピードバンプの欠如。
  • 脆弱なキャプチャ/キャプチャ・バイパス
  • [パスワードを忘れた場合]ページでの総当たり行為とアカウントのロックアウトが執行されていない。
  • OPTIONS HTTP メソッドを有効にする
  • ユーザー名/電子メール一覧
    ●  ログインエラー・メッセージ経由
    ●  [パスワードを忘れた場合]エラーメッセージ経由
  • 不足しているHTTP セキュリティ・ヘッダー、特に(https://www.owasp.org/index.php/List_of_useful_HTTP_headers)、例:
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy、X-Content-Security-Policy、X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL に関する問題、例:
    ●  BEAST、BREACH、再ネゴシエーション攻撃などのSSL 攻撃
    ●  SSL Forward secrecy が有効になっていない
    ●  SSL の脆弱な / 安全でない暗号スイート
  • 共通/公共サービスに関するバナー開示
  • Self-XSS、ならびにSelf-XSS を介してのみ悪用可能な事項
  • 主にソーシャル・エンジニアリング(例:フィッシング、ビッシング、スミッシング)に由来する発見

製品の脆弱性

  • ESET インストーラでのdll インジェクション
  • アップデート/ダウンロード・サーバーにSSL がありません 
  • タップジャック

ESET は、責任ある開示プロセスを強く信じ、また実行します。セキュリティの脆弱性を報告してくださったお客様が、匿名性を維持したくない場合は、貢献していただいたことを公開したいと思います。

ありがとうございます。

ビジネス最高責任者