セキュリティ

最終更新日: March 15, 2026

本サイトのセキュリティおよび利用者のプライバシーは当社にとって重要です。セキュリティ研究者、開発者、一般の方々からの責任ある開示(responsible disclosure)による脆弱性報告を歓迎します。

このページでは、脆弱性の報告方法、対象範囲(scope)、当社の対応方針を説明します。潜在的なセキュリティ問題を調査・報告する際は、以下のガイドラインに従ってください。

脆弱性の報告

セキュリティ上の脆弱性を発見した場合は、メールでご連絡ください。調査と対応のための合理的な期間が確保されるまで、脆弱性を公に開示しないでください。

contact@freeonlinenosignup.com

件名に「Security Vulnerability Report」を含め、可能な限り次の情報をご提供ください。

  • 脆弱性の明確な説明と想定される影響
  • 影響を受ける URL、エンドポイント、またはコンポーネント
  • 再現手順(ステップバイステップ)
  • proof-of-concept コード、スクリーンショット、または request/response の例
  • クレジット表記を希望する場合の氏名またはハンドル(任意)

対象範囲(scope)

次の内容は responsible disclosure の対象範囲に含まれます。

  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • サーバーサイドインジェクション(SQL インジェクション、コマンドインジェクション等)
  • 認証/認可の回避
  • 機微情報の露出や情報漏えい
  • 攻撃者が悪用できるセキュリティ設定不備
  • フィッシングに悪用され得るオープンリダイレクト
  • Insecure direct object references
  • リモートコード実行

対象外

次の内容は対象外であり、有効な脆弱性報告として受け付けません。

  • DoS / DDoS(サービス妨害)攻撃またはそのテスト
  • サイトのいかなる部分に対するブルートフォース攻撃
  • 事前の書面許可なしの自動スキャン
  • 当社ユーザーやスタッフを狙ったソーシャルエンジニアリング/フィッシング
  • 物理的なセキュリティ問題
  • 当社の直接管理下にない第三者サービス/ライブラリ/インフラの脆弱性(該当ベンダーに報告してください)
  • この文脈で実証可能で悪用可能な脆弱性を示さない単なるセキュリティヘッダー不足
  • 動作する PoC や影響の実証がない理論上の脆弱性
  • 利用者が既に自身の端末やブラウザを侵害していることを前提とする問題

当社の対応

脆弱性報告を受け取った際の対応は次のとおりです。

1

受領のご連絡

3 営業日以内に受領の連絡を行います。

2

調査

報告内容を調査し、妥当性と重大度を評価します。追加情報が必要な場合はご連絡します。

3

修正

確認できた脆弱性は、重大度に応じて優先順位を付け、可能な限り迅速に修正します。進捗は適宜共有します。

4

公開

修正後、希望があれば公開(disclosure)の調整に協力します。詳細を公開する前に、合理的な修正期間を設けてください。

当社の約束

本方針に従い善意で脆弱性をご報告いただいた場合、当社は次のことを約束します。

  • 調査に関連して法的措置を取らない
  • 報告内容を機密として扱い、同意なく個人情報を共有しない
  • 問題の状況を共有し続ける
  • 希望があり問題が確認できた場合は発見者としてクレジット表記する
  • 確認できた脆弱性に対し適切な期間内に対応する

その代わりに、他者のデータへアクセス・改変・削除をしないこと、サービス可用性を阻害しないこと、他者のアカウントやデータに対してテストを行わないことをお願いします。

お問い合わせ

脆弱性報告以外の一般的な質問は contact page をご利用ください。セキュリティ以外の不具合報告は report issue ページをご利用ください。