NETGEAR製品セキュリティ
脆弱性の報告
NETGEARの製品セキュリティチームは、NETGEARの製品およびサービスに影響するセキュリティ脆弱性に関するすべての報告を調査しています。セキュリティ研究者の方で、潜在的なセキュリティ脆弱性を発見されたと思われる場合は、NETGEARの製品セキュリティチームに直接ご報告ください。有効かつ対象となる報告にはバグバウンティ報奨金が提供されます。
レポートに含める内容:
- 影響を受ける製品、モデル、ハードウェア、ファームウェア、またはソフトウェアのバージョン
- 明確な再現手順/PoC、期待される動作と実際の動作の比較
- セキュリティへの影響または推奨される重大度
- ご連絡先情報、クレジット表記の方法、または匿名を希望される場合はその旨
詳細については、弊社のsecurity.txtファイルをご覧ください。
脆弱性の対応とレスポンス
弊社の製品セキュリティチームは、セキュリティ上の懸念事項のトリアージおよび開示を含む、すべての製品ラインにわたるセキュアな開発ライフサイクルを管理しています。
対応の流れ:
初回対応
報告は米国営業日3日以内に受領確認を行います。
初回トリアージは米国営業日5日以内に完了します。
問題解決の進捗報告
修正が完了した場合、またはCVEが割り当てられた場合に、研究者へ通知します。
インセンティブと公式表彰
対象となる貢献者にはバグバウンティ報奨金および/またはクドス表彰が授与され、ご希望の場合はCVEレコードにも記載されます。
弊社はすべてのコミュニケーションにおいてFIRST TLP v2.0ラベルを遵守しています。ラベルが指定されていない場合は、TLP: AMBERとして扱い、修正の開発またはテストを目的として、必要に応じてテクノロジーパートナーと共有する場合があります。
対応期間と対象製品
早急な対応が必要な問題については、緊急インシデント対応計画を発動し、実務上可能な限り速やかに対処します。それ以外の場合は、標準的な開発・品質保証・段階的展開サイクルを通じて、サポート対象製品の修正および改善策を開発します。サードパーティや標準化機関への依存がある場合など、例外的に対応に時間を要することがあります。そのような場合は、報告者に随時状況をお知らせします。
弊社に報告されたすべての問題は、サポート対象製品への適用可否を判断するためにトリアージを行います。原則として、サポート期間内の製品のみがセキュリティアップデートの対象となります。
Security Advisories
セキュリティアドバイザリーはNETGEARセキュリティアドバイザリーページに掲載されます。公開はユーザーの安全を最大限に確保するよう調整されます。研究者の方はご希望に応じてアドバイザリーにクレジット表記されます。
早急な対応が必要な問題のアドバイザリーは、合理的に可能な限り速やかに公開されます。その他の問題はすべて、対処済みの脆弱性を一覧にした月次セキュリティパッチアップデートとして公開されます。
割り当てプロセス
CVE IDおよびCVEレコードは、CVE CNAの運用規則に従って割り当て・公開されます。弊社のレコードにはCWE、CVSS、およびCPE情報が含まれており、CISAのセキュア・バイ・デザイン誓約の目標に沿った内容となっています。
レガシーデバイス
レガシーまたはサポート終了デバイスの脆弱性を検証する能力には限界があるため、信頼性の高い外部の証拠に依拠しています。そのような証拠によって脆弱性とその影響が実証された場合、お客様が関連するリスクを理解・管理できるようCVE IDを割り当てます。
サードパーティコンポーネント
脆弱性が主に独自のCNAを持つサードパーティコンポーネントに影響する場合は、当該CNAと連携し、重複した割り当てを避けるよう対応します。
セーフハーバーおよび誠実な調査
弊社は、セキュリティ研究者の方々が法的な影響を恐れることなく、調査結果を報告していただけるよう奨励しています。誠実に行動し、本ポリシーに従っていただいた場合、NETGEARはその調査を正式に承認されたものとみなし、法的措置を取ることはありません。本ポリシーに従って行われた活動に対して第三者がセキュリティ研究者に対して法的措置を起こした場合、NETGEARはこの承認を公表します。
ここでいう誠実な行動とは、プライバシーの侵害、データの破壊、またはサービスの妨害を避けること、自分のものではないデータへのアクセス、持ち出し、または保持を行わないこと、NETGEARが修正する合理的な機会を得る前に公開しないこと、脆弱性を悪用してお客様を攻撃するサイバー犯罪者を支援しないこと、ユーザーデータを発見した場合はテストを中止すること、および適用法を遵守することを意味します。
最終更新日:2025年12月
特に記載がない限り、NETGEARおよびその子会社のすべてのハードウェア、ファームウェア、ソフトウェア、モバイルアプリ、クラウドサービス、およびWebサービスに適用されます。