UGREEN Group Limited（以下、「当社」または「UGREEN」）は、NAS 製品のメーカーとして、自社製品と事業のセキュリティを重視しており、プライバシーとデータ セキュリティの重要性を認識しています。各セキュリティ脆弱性の取り扱いと事業セキュリティの向上は、すべての関係者の共同協力から切り離すことはできません。NAS サービスの使用中に潜在的なセキュリティ脆弱性を発見した場合、または発見したと思われる場合は、この脆弱性開示ポリシーに従って、できるだけ早く発見内容を当社に開示することをお勧めします。当社は、各報告者から報告された問題をフォローアップ、分析、および対処するための専任担当者を配置し、適時に返信することをお約束します。

 

1. 脆弱性のフィードバックと処理プロセス

[脆弱性のフィードバック]

NAS 製品に報告が必要な脆弱性またはセキュリティ インシデントがあると思われる場合は、次の脆弱性報告フォームに記入してください。

 

[脆弱性処理プロセス]

ステップ 1: 報告者は脆弱性に関する詳細情報を提供する必要があります。

ステップ 2: UGREEN は受け取った脆弱性情報をチェックして検証し、評価します。

ステップ 3: 脆弱性を修正し、NAS 製品の修復を確認します。

ステップ 4: NAS 製品の新しいバージョンをリリースして更新します。

ステップ 5: 処理結果を報告者に返信します。

ステップ 6: 更新後の NAS 製品の安定性を監視します。

 

[脆弱性レビュー フェーズ]

1. 報告は受信後 1 営業日以内に確認され、初期評価が行われます。

2. 3 営業日以内に評価が完了し、脆弱性が修正されるか、修復計画が策定されます。

 

[脆弱性修正と完了フェーズ]

1. 重大な脆弱性は、評価完了後 3 営業日以内に修正されます。

2. 高リスクの脆弱性は、評価完了後 7 営業日以内に修正されます。

3. 中リスクの脆弱性は、評価完了後 30 営業日以内に修正されます。

4. 低リスクの脆弱性は、評価完了後 60 営業日以内に修正されます。

特定の脆弱性は環境またはハードウェアの制限の影響を受け、最終的な修復時間は実際の状況に基づいて決定されます。

深刻または重大な影響を与える脆弱性については、別途緊急セキュリティ速報が発行されます。

 

2. 脆弱性の評価基準

脆弱性は、その被害の程度に応じて、極度のリスク、高リスク、中リスク、低リスクの 4 つのレベルに分類されます。脆弱性レポートを受け取ると、ISO/IEC 30111 を参照して、社内で一連の手順を実行して解決します。報告されたすべての脆弱性は、共通脆弱性評価システム CVSS 3.1 基準に従ってスコア付けされます。

 

 

[重大な脆弱性]

1. システム権限（サーバー権限、クライアント権限、スマートデバイス）へのリモート直接アクセスの脆弱性。任意のコード実行、任意のコマンド実行、WebShellトロイの木馬のアップロードと利用などを含みますが、これらに限定されません。

2. コア業務システムに論理設計上の欠陥があり、保護制限のないアカウントパスワードの変更、アカウントログインなどを含みますが、これらに限定されません。

3. オンライン業務システムにおける深刻な情報漏洩の脆弱性に直接つながり、コアDBのSQLインジェクション脆弱性を含みますが、これらに限定されません。

4. モバイル端末：対話なしで多数のユーザーに直接影響を与える可能性のあるリモートコード実行の脆弱性。

5. デバイス側：インターネット環境でのデバイス実行権限（他のNASユーザーデータのダウンロード、デバイスへのリモートアクセスなど）へのリモートアクセス。インターネット環境では対話型リモートコマンド実行の脆弱性はありません。

 

 

【高リスク脆弱性】

1. オンラインサーバー上の機密情報の漏洩に直接つながる脆弱性には、コアシステムのソースコードの漏洩、サーバーの機密ログファイルのダウンロードなどが含まれますが、これらに限定されません。

2. コアビジネスシステムが他のユーザーのIDを使用してすべての機能を実行できる脆弱性、コアビジネスシステムの重要なまたは機密の不正操作の脆弱性。

3. 管理プラットフォームへの不正アクセスと管理者機能の使用。機密のバックグラウンド管理者アカウントのログイン、関連プラットフォームのアクティビティ、ユーザーベース、機能の重要性、およびユーザー情報の機密性が含まれますが、これらに限定されません。これらは、高リスク脆弱性の評価基準と見なされます。

4. 高リスク情報漏洩脆弱性。直接悪用される可能性のある機密データの漏洩、大量のユーザーID情報につながる漏洩脆弱性が含まれますが、これらに限定されません。

5. UGREENイントラネットにアクセスできるエコー付きのSSRF脆弱性。

6. モバイル端末: サードパーティのアプリケーションが、アプリケーション間でモバイル クライアント機能を使用して、高リスクの操作 (ファイルの読み取りと書き込み、SMS の読み取りと書き込み、クライアント データの読み取りと書き込みなど) と、高リスクの機密情報の漏洩を実行します。

7. デバイス: 近くのソースまたは LAN からデバイス実行権限 (他の NAS ユーザー データのダウンロードやデバイスへのリモート アクセスなど) を取得します。近くのソースまたは LAN には、対話型のリモート コマンド実行の脆弱性はありません。

8. デバイス: リモートからデバイスに永続的なサービス拒否を引き起こす脆弱性には、システム デバイスに対するリモート サービス拒否攻撃 (デバイスが使用できなくなる、完全に永久的に破損する、またはシステム全体を書き換える必要がある) が含まれますが、これらに限定されません。また、攻撃ではデバイスとの物理的な接触が許可されず、攻撃を迅速にバッチで複製する必要があります。

 

【 中リスクの脆弱性 】

1. モバイル クライアントのプレーンテキスト ストレージ パスワード、サーバーまたはデータベースの機密情報ソース コード圧縮パッケージのダウンロードなど、一般的な情報漏洩が含まれますが、これらに限定されません。

2. 支払いの抜け穴など、システムに存在する論理設計上の欠陥。

3. 認証メカニズムの欠陥が原因の脆弱性。これには、機密機能のキャプチャがブルートフォース攻撃で破られる、ログイン インターフェイスにキャプチャがない、などが含まれますが、これらに限定されません。

4. エコーのない SSRF 脆弱性。

5. ユーザー ID 情報を取得するためにインタラクションを必要とする脆弱性。これには、機密操作の CSRF、ストレージ XSS、機密情報の JSONP ハイジャックなどが含まれますが、これらに限定されません。

6. オンライン アプリケーションの一部の機能を無効にできるリモート サービス拒否脆弱性 (他のユーザーに影響を与えることが証明される必要があります)。

7. スマート デバイスがサービスを拒否する脆弱性。たとえば、システム デバイスがローカルで開始された永続的なサービス拒否攻撃 (デバイスが使用できなくなる: 完全に永久的に損傷するか、オペレーティング システム全体を書き換える必要がある) にさらされる場合、一時的なサービス拒否攻撃

リモート攻撃 (リモート サスペンドまたは再起動) によって脆弱性が発生し、攻撃がバッチで迅速に複製できる必要があります。

8. 通常のビジネス システムが他の人の ID を使用して、権限を超えたすべての機能操作を実行できる脆弱性。

 

【低リスクの脆弱性】

1. フィッシング攻撃で悪用される可能性のある脆弱性。URL リダイレクトの脆弱性を含みますが、これらに限定されません。

2. 低リスクのロジック設計の欠陥。

3. パス リーク、.git ファイルのリーク、サーバー側のビジネス ログの内容を含みますが、これらに限定されません。

4. フィッシングやハッキングに悪用される可能性のある脆弱性。任意の URL 調整やリフレクション XSS 脆弱性など。

5. モバイル端末: ローカル サービス拒否 (サードパーティ以外の Android コンポーネントの権限によるサービス拒否を含むが、これに限定されません)、軽微な情報漏洩 (個々のユーザーのみに影響) など。

6. デバイスが一時的にサービスを拒否する脆弱性。これには、ローカル攻撃による一時的なサービス拒否攻撃の脆弱性 (デバイスを工場出荷時の設定に戻す必要がある) などが含まれますが、これに限定されません。

 

[問題を無視する]

1. セキュリティとは関係のないバグの問題。Web ページの開きが遅い、乱雑な形式などを含みますが、これらに限定されません。

2. 提出されたレポートが単純すぎて、レポートの内容に従って再現できません。脆弱性監査人と何度もやり取りした後でも再現できない脆弱性を含みますが、これらに限定されません。

3. 悪用不可能または無害なレポート。デマ CSRF (ユーザーに実際の影響はありません)、他の人に影響を与えないローカルのサービス拒否、Self-XSS、PDF XSS、非機密情報漏洩 (イントラネット IP、ドメイン名)、メール爆弾などを含みますが、これらに限定されません。

4. 実質的なソースコード漏洩はありません。

5. ハードウェア製品の非 UGREEN モジュールのセキュリティ問題、またはハードウェア自体の欠陥。

6. UGREEN が積極的に公開している、または外部に公開されたセキュリティ問題。

7. メンテナンスが終了している製品、アプリ、または WEB アプリケーションのセキュリティ問題。

8. UGREEN が内部で自己検証でき、修正済みの脆弱性。

9. サードパーティの Android コンポーネントの権限によって発生するサービス拒否。

 

 

NAS 製品の脆弱性について UGREEN に提供されるすべての情報 (製品脆弱性レポートのすべての情報を含む)

お客様が転送する情報は、UGREEN が所有し、使用します。

UGREEN は、このポリシーをいつでも変更する権利を留保します。