United Airlines vulnerability disclosure program

ユナイテッドにとって、お客様の安全、セキュリティ、およびプライバシーは最重要事項です。ユナイテッドでは、ベストプラクティスを活用して、確実にシステムの安全性を確保しています。ユナイテッドでは、プライバシーとお客様から受け取った個人情報の保護に集中的に取り組んでいます。この取り組みこそが、航空業界初のこととして、脆弱性開示プログラムを実施する理由です。ユナイテッドでは、このプログラムによりセキュリティが大幅に向上し、優れたサービスを提供し続けることができると考えています。ユナイテッドのウェブサイト、アプリ、オンラインポータルで脆弱性の可能性のある問題を見つけられた場合は、ユナイテッドまでお知らせください。お知らせいただいた内容がユナイテッドの条件を満たしている場合、お客様のご協力へのお礼として特典マイルを進呈いたします。

セキュリティ上の脆弱性を報告する前に、「ユナイテッドの規約」をご確認ください。脆弱性開示プログラムに参加すると、お客様はこれらの規約と、ここに記載された要件およびガイドラインに同意したことになります。

脆弱性開示プログラムとは何ですか?

脆弱性開示プログラムでは、社外の調査実施者が、お客様や企業の情報の機密性、整合性、可用性に影響する問題を検出し報告することができます。さらに脆弱性を最初に発見した方には報奨マイルを進呈いたします。

プログラム対象要件

報告と報奨マイルの進呈が公正かつ有効に実施されるように、対象となる調査実施者および脆弱性は、以下の要件などを含むユナイテッド脆弱性開示プログラム規約に従うものとします。

  • 脆弱性は新たに発見されたものである必要があります。特典マイルは、特定の脆弱性を最初に報告した調査実施者のみに進呈されます。
  • 調査実施者は、18歳以上の優良なマイレージプラス会員である必要があります。まだ会員でない方は、今すぐマイレージプラスプログラムにご登録ください
  • 米国の現行の制裁リストに記載されている国に居住の方は、このプログラムにご参加いただけません。
  • ユナイテッド航空、スターアライアンス加盟航空会社、または他の提携航空会社、ユナイテッド航空の委託業者の現在または過去の従業員、あるいはユナイテッド航空または提携航空会社の従業員の家族または同一世帯の方は、脆弱性開示プログラムにご参加いただけません。
  • 脆弱性が見つかったコードの作成者本人またはそのコードに関係したことのある方が、脆弱性開示プログラムでその脆弱性を報告することはできません。

調査の対象

対象となる脆弱性の内容は、ユナイテッドが随時決定できるものとします。報告された脆弱性についてユナイテッドが確認するすべての対象を以下にまとめました。

  • ユナイテッド航空の商業用ウェブサイト(united.com)
  • ユナイテッドのiOSおよびAndroidアプリ
    • ユナイテッドのiOSアプリはAppleのApp Storeからダウンロードできます。
    • ユナイテッドのAndroidアプリはGoogle Playストアからダウンロードできます。
  • ユナイテッドマイレージプラスXのiOSおよびAndroidアプリ
    • マイレージプラスXのiOSアプリはAppleのApp Storeからダウンロードできます。
    • マイレージプラスXのAndroidアプリはGoogle Playストアからダウンロードできます。

脆弱性開示プログラムの対象範囲と対象外は次のとおりです。

対象範囲

  • *.united.com - ウェブサイトテスト
  • ユナイテッドモバイルアプリiOS版 - モバイルテスト
  • ユナイテッドモバイルアプリAndroid版 - モバイルテスト
  • マイレージプラスXアプリiOS版 - モバイルテスト
  • マイレージプラスXアプリAndroid版 - モバイルテスト

対象外

ユナイテッドは本プログラムの対象外とされるサードパーティのサイトやサービスを多数使用しています。また、対象範囲リストは変更される場合があります。以下は対象外と見なされます。

  • 機内Wi-Fi、エンターテイメントシステム、航空電子機器
  • 会社のメール
  • サードパーティのアプリケーションやサービス
  • 非本番環境
  • hotels.united.com
  • vacations.united.com
  • united.jobs
  • newsroom.united.com
  • ir.united.com
  • hub.united.com
  • jobs.united.com
  • opinions.united.com
  • globallinks.united.com
  • dutyfree.united.com
  • bigmetalbird.united.com
  • globalservices.united.com
  • uatp.united.com
  • thanksamillion.united.com
  • unitedmileageplus.com
  • secure.unitedmileageplus.com
  • newspaper-miles.com
  • *.ual.com
  • *.mileageplus.com
  • cruises.united.com
  • ualmiles.com
  • unitedshop.summitmg.com
  • united-veterans.jobs
  • clubconferencerooms.united.com/unit
  • theexplorercard.com
  • mpclubcard.com
  • myexplorercard.com
  • unitedexplorecard.com
  • unitedexplorer.com
  • unitedexplorercard.com
  • mileageplusawards.com
  • mpdining.rewardsnetwork.com
  • m.mpdining.rewardsnetwork.com
  • news.united.com/responsys
  • survey.continental.com/vovici.net
  • booking.unitedcargo.com
  • chargerback.com

参加規則

  • 報告フォームで、脆弱性の再現と確認に必要な情報を含め、脆弱性発見の詳細をお知らせください。
  • セキュリティ上の脅威をもたらす脆弱性のみ、報奨マイルの対象とします。問題の深刻度の決定は、ユナイテッドがその最終的な責任を負います。
  • 発見した脆弱性または脆弱性の可能性を公開したり、サードパーティに開示したりすることは禁じられています。公開や開示を行った場合、特典マイルは進呈されません。
  • データの改変や破壊、ユナイテッドのサービスの妨害や劣化攻撃などのポストエクスプロイテーションを試みないでください。
  • ブルートフォース攻撃、DoS(サービス拒否)攻撃、自分のアカウントではないユナイテッドのアカウントの侵害やテストを試みないでください。
  • 機内エンターテイメント、機内Wi-Fiなど、航空機または航空機システムに対するテストを試みないでください。
  • ユナイテッドの社員やお客様を標的として、ソーシャルエンジニアリング攻撃、フィッシング攻撃、物理攻撃などの行為を試みないでください。
  • ユナイテッドの空港施設に対する物理攻撃を行わないでください。
  • 自動スキャナー/ツールを使用しないでください。

報告の対象となる脆弱性:

  • コードのリモート実行
  • SQLインジェクション
  • XXE
  • XSS
  • サーバーサイドリクエストフォージェリ
  • ディレクトリトラバーサル – ローカルファイルインクルージョン
  • 認証/承認バイパス(アクセス制御の不備)
  • 権限昇格
  • 安全でない直接オブジェクト参照
  • 不適切な設定
  • ウェブキャッシュ詐称
  • 不適切なCORS設定
  • CRLFインジェクション
  • クロスサイトリクエストフォージェリ
  • オープンリダイレクト
  • 情報漏洩
  • リクエストスマグリング
  • 混合コンテンツ

報告の対象とならない脆弱性:

  • セキュリティヘッダーなど、セキュリティ上のベストプラクティス
  • ソーシャルエンジニアリング、フィッシング
  • 物理攻撃
  • クッキー不明のフラグ
  • ログイン時のCSRFやログアウト時のCSRFなど、影響の小さいCSRF
  • コンテンツスプーフィング
  • スタックトレース、パス漏洩、ディレクトリリスティング
  • SSL/TLSのベストプラクティス
  • バナーグラビング
  • CSVインジェクション
  • 反射型ファイルダウンロード
  • 旧式ブラウザに関するレポート
  • DOS/DDOS
  • 明らかな影響のないHOSTヘッダーインジェクション
  • スキャナーの出力
  • サードパーティ製品の脆弱性
  • ユーザー列挙
  • パスワードの複雑さ
  • HTTP TRACEメソッド
  • DMARC
  • クリックジャッキング
  • SPFレコード
  • 不十分な自動化防止
  • レート制限攻撃
  • セルフXSS

報告された脆弱性の深刻度

対象となる脆弱性の報告に対する報奨マイルは、脆弱性の深刻度によって決まります。ユナイテッドのセキュリティチームが、報告内容の確認後に共通脆弱性評価システム(CVSS)とOWASPリスク格付手法を組み合わせて脆弱性の深刻度を判断します。報告内容の妥当性が認められると、調査実施者に報奨マイルが進呈されます。  深刻度の高い複数の報告をユナイテッドの裁量で1件の脆弱性と見なす場合があります。 

脆弱性の深刻度に応じて進呈される最大特典マイル数

脆弱性の深刻度に応じて進呈される最大特典マイル数
重大度 進呈される最大特典マイル
重要 1,000,000マイル
ハイ 500,000マイル
中程度 250,000マイル
ロー 50,000 \'83\'7dイル
参考情報 0マイル

脆弱性の深刻度に応じて進呈される最大特典マイル数

進呈される最大特典マイル

1,000,000マイル

進呈される最大特典マイル

500,000マイル

進呈される最大特典マイル

250,000マイル

進呈される最大特典マイル

50,000 \'83\'7dイル

進呈される最大特典マイル

0マイル

送信内容

こちらの報告フォームで、ポリシーと適用条件を理解し同意した上で、ユナイテッド脆弱性開示プログラムに報告してください。

  • ユナイテッド航空脆弱性開示プログラム規約

    重要:以下の規約、ユナイテッドのプライバシーポリシーマイレージプラスプログラム規約が、ユナイテッド航空脆弱性開示プログラム(「本プログラム」)の規約およびその他の規定(総称して「規約」)を構成するものとします。本プログラムに参加することにより、お客様はこれらの規約およびこれに従うことに同意したものとみなされます。本規約をよく読み、ご理解いただくことはお客様の責任です。これらの規約は、本プログラムのサイトで補足されることがありますが、ユナイテッド航空またはその関連会社(以下、総称して「ユナイテッド」)により書面で別途指定されない限り、最優先され、変更することはできません。本規約の最新版はunited.comに掲載されており、これが本規約について最も信頼できる情報源です。United.comに掲載されている規約が、以前のバージョンまたは内容の異なるバージョンの規約より優先されます。

    一般条件

    1. 本プログラムは、ユナイテッドの裁量により提供されます。またユナイテッドは、通知の有無にかかわらず、本プログラムの全体または一部をいつでも終了する権利、または規約、特典、参加条件、資格条件または特典レベルの全体または一部をいつでも変更する権利を保有します。
    2. 何をもって脆弱性とするか(「脆弱性」)はユナイテッドが決定し、脆弱性報告の条件と手続きおよびそれに伴う特典はユナイテッドが定めるものとします。ユナイテッドは、本プログラムのサイトに当該条件と手続きを随時掲載できるものとします。
    3. 本プログラムへの参加は本規約で定められた条件によって管理されています。法律上または衡平法上のいかなる約定も黙示あるいは採用されるものではなく、すべて明示的に否認されます。ユナイテッドは、本規約の解釈および適用を行う独占的な権利を持つものとします。ユナイテッド航空は、本プログラムに関連するユナイテッドの行為または不作為に起因する、会員または会員の代理人が被った収益または利益の損失、あるいは費用または弁護士報酬を含む直接的、間接的、あるいは派生的な損害について、一切の責任を負わないものとします。会員、会員の代理人、または第三者によって、本プログラムの特権の濫用または本規約の違反、法律/規定/規約違反、ユナイテッド航空の利益を害する行為、詐欺的行為、ユナイテッドに対する詐欺を目的とした情報の流布、あるいはユナイテッド航空またはその関連会社への虚偽の情報の提供(総称して「禁止行為」)が行われた場合、ユナイテッド航空は会員への通知の有無にかかわらず、以下のいずれか1つまたは複数の措置(「ユナイテッドの措置」)を講じることがあります:(a) ユナイテッドによるマイレージプラスの当該会員の会員資格(該当する場合はプレミアまたはミリオンマイラーステータスなど)の停止、(b) ユナイテッドによる蓄積したマイル、プレミア資格対象クレジット、ライフタイムマイル、およびすでに手続き済みの特典交換、サーティフィケート、または特典(該当する場合はプレミア/ミリオンマイラーステータスに関連する特典など)のすべてまたは一部の削除または取り消し、(c) 特典航空券の没収、特典航空券所有者に対する搭乗拒否、またはユナイテッドの自由裁量により、適切な収益運賃(および適用される税金および手数料)をお支払いただいたうえでのご旅行の完了、あるいは (d) その他のプログラムおよびマイレージプラスプログラムの特典の取り消し。上記のユナイテッドの措置に加えて、ユナイテッドは、禁止行為によって交換された特典航空券、獲得されたサーティフィケートまたは特典について、書面により、ユナイテッドが規定する額の払い戻しを会員に請求する場合があります。また、会員が払い戻ししない場合、ユナイテッドは、会員が禁止行為によって交換した特典航空券、獲得したサーティフィケートまたは特典の価値を回収する法的措置を開始することがあります。「会員」とはユナイテッド・マイレージプラス会員を指します。
    4. 禁止行為が疑われる場合、ユナイテッドは、会員への通知の有無にかかわらず、(a) マイレージプラスアカウントでのすべての活動(サーティフィケートまたは各種特典(プレミア/ミリオンマイラーステータス特典など)とのマイルの交換およびマイルの交換申請の手続きなど)を延期または保留する権利、および (b) あらゆるマイレージプラスアカウントをいつでも監査または調査する権利を保有します。監査および調査の過程において、会員のアカウント情報は、ユナイテッドが契約し、監査または調査を依頼した第三者と共有されることがあります。アカウントが保留されている間、会員は自身のアカウントに引き続きマイルおよびプレミア資格ポイントを蓄積できますが、マイルの交換またはその他の取引は認められません。また、すでに手続き済みの特典交換、サーティフィケート、および各種特典(該当する場合はプレミア/ミリオンマイラーステータス特典など)は取り消しまたは保留される場合があります。取り消しとなった特典交換、サーティフィケート、各種特典は、ユナイテッドの要求に応じて放棄するものとします。監査および調査の完了に伴い禁止行為が発覚した場合、ユナイテッドは1つまたは複数のユナイテッドの措置またはその他法律上または衡平法上の措置を講じることがあります。
    5. 本プログラムはゲームやコンテスト、ロイヤリティプログラムではありません。
    6. 本プログラムに関連する算定はすべて(脆弱性の妥当性や深刻度、関連する特典マイルなどの算定を含む)、ユナイテッドの裁量により行われ、これらの算定は最終のものとみなされます。
    7. 本プログラムは、米国の現行の制裁リストに記載されている国の居住者を除く、報告時に18歳以上である会員の方のみを対象としています。ユナイテッド航空株式会社またはその親会社、子会社、関係会社、スターアライアンス加盟航空会社、またはその他の提携航空会社、代理店、委託業者の現在または過去の従業員、幹部、役員(また、その配偶者、両親、兄弟、子供などの近親者)、または同一世帯の居住者(親戚であるかどうかは問わない)、および本プログラムの管理に関与している方は対象外となります。
    8. ユナイテッドによる規約の権利放棄も、規約に従わないことに対する同意も、取引の過程も、その後の規定違反をユナイテッドが権利放棄するものではありません。また、ユナイテッドは、そのような事前の権利放棄または同意があったとしても、規約違反に対してユナイテッドの措置を講じる場合があります。
    9. 機密情報を守るため、会員は、特定の取引を書面、電話、またはインターネットで行う場合、パスワードなどの安全対策を講じる必要があります。会員は適用されるパスワードなどのセキュリティ認証情報について秘密保持の責任があります。
    10. 本プログラムへの参加も、本規約のいかなる内容も、会員とユナイテッドまたはユナイテッドの関係会社との共同事業体、パートナーシップ、代理店、または雇用関係を創出または暗示するものとは解釈されません。
    11. 本プログラムを通じて、会員が受領または収集するユナイテッド、ユナイテッドの関係会社または会員に関する情報は、口頭、視覚的、書面、または電子形式といった形式を問わず、占有および機密(以下、「機密情報」)であるとみなされます。本プログラムでは、情報または資料あるいはその両方が一般に公開されているのでない場合、合理的に「機密」または「占有」であると判断される性質の情報や資料ではない限り、「機密情報」みなされるものとします。
    12. 機密情報はその機密を維持する必要があり、本プログラムに関連しない場合に使用することはできません。ユナイテッドの事前の書面による同意なく機密情報を開示または配布することはできません。
    13. 本プログラムへの参加、本規約への違反、または本プログラムの不正使用により、またはこれらに基づいて第三者が何らかの申し立てを起こしたり、請求を行った場合、会員は、ユナイテッドとユナイテッドの関係会社、およびその幹部、役員、代理人、従業員、ベンダーに対して防御と補償を行い、損害も与えないことに同意します。
    14. 米国以外の一部の国では、本プログラムおよび特典の発行と使用が法律で禁止または制限されている場合があります。本規約のいかなる記述も、そのような米国以外の法律を回避したり、覆すものではありません。本プログラムまたは何らかの形で本プログラムに会員が参加することが米国以外の法律に違反する場合、ユナイテッド航空は会員への予告の有無にかかわらず、1つまたは複数のユナイテッドの措置を講じることがあります。

       

      脆弱性

    15. 発見した脆弱性または脆弱性の可能性を公開したり、サードパーティに開示したりすることは禁じられています。公開や開示を行った場合、会員にマイルは進呈されません。
    16. 脆弱性は新たに発見されたものである必要があり、特典マイルは、特定の脆弱性を最初に報告した会員のみに進呈されます。特典マイル数は、ユナイテッドが本プログラムのサイトに随時発表する詳細に従うものとします。
    17. 脆弱性の報告は、会員の戸籍上の氏名、マイレージプラス会員番号、電話番号、脆弱性の詳細を記載し、裏付けとなる根拠を添付して、報告ポータルから(またはユナイテッドが随時指定するその他の方法で)報告してください。
    18. 脆弱性の妥当性や深刻度は、完全にユナイテッドの裁量で判断されます。
    19. ユナイテッドのお客様、会員、またはその他個人の個人情報に、意図的または故意にアクセスしたり、取得したりすることは禁じられています。ユナイテッドのお客様、会員、またはその他個人の個人情報に間違ってアクセスしたり、取得したりした場合は、直ちに影響が及ぶ行為を中止し、できる限り速やかに再現手順を文書化してユナイテッドに報告してください。
    20. 脆弱性が見つかったコードの作成者本人が、その脆弱性を報告することはできません。
    21. いかなるときにも以下の行為を試みることは禁じられています。
      • データの改変や破壊、ユナイテッドのサービスの妨害や劣化攻撃などのポストエクスプロイテーション
      • ブルートフォース攻撃、DoS(サービス拒否)攻撃、会員本人のアカウントではないユナイテッドのアカウントの侵害やテスト
      • 機内エンターテイメント、機内Wi-Fiなど、航空機または航空機システムに対するテスト
      • ユナイテッドの社員やお客様を標的とする、ソーシャルエンジニアリング攻撃、フィッシング攻撃、物理攻撃などの行為
      • ユナイテッドの空港施設に対する物理攻撃
      • 自動スキャナー/ツールの使用

      獲得マイル数

    22. 特典マイルは、報告された対象となる脆弱性1件つき1回ご獲得いただけます。セキュリティ上の脅威をもたらす脆弱性のみ、特典マイルの対象とします。
    23. 脆弱性の深刻度に応じて発行される最新の特典マイル数は、本プログラムのウェブサイトに随時掲載される場合があります。状況によっては、1人の会員からの複数件の報告をユナイテッド独自の裁量で1件の脆弱性と見なす場合があります。
    24. ユナイテッド独自の裁量により、1件の脆弱性に対して最大特典マイル数が進呈される場合があります。
    25. 脆弱性の存在と妥当性が確認された場合、ユナイテッドは対象となる脆弱性1件ごとに特典マイルを進呈します。
    26. ユナイテッドが明示的に認めた場合を除き、1件の脆弱性に対して進呈されるマイルの上限は100万マイルとなります。
    27. このプログラムで進呈される特典マイルは、プレミア資格対象マイルではありません。
    28. ユナイテッドは、マイルが誤って加算された場合は会員のアカウント残高を調整する権利を保有します。

       

      プライバシーポリシー

    29. 本プログラムに参加することにより、会員はユナイテッドが弊社のプライバシーポリシーに従って会員の情報を収集、維持、使用、処理、および共有することを許可するものとします。情報には氏名、Eメールアドレス、住所、アカウントなどの情報が含まれますが、これらに限定されません。ユナイテッドが会員の情報を収集、維持、使用、処理、および共有する方法についての詳細は、ユナイテッドのプライバシーポリシー (https://www.united.com/ual/en/us/fly/privacy.html) をご覧ください。ユナイテッドのプライバシーポリシーは管理上の手順を記述したものに過ぎず、規約ではありません。また、規約上あるいは法律上の権利を生成するものでもありません。ユナイテッドのプライバシーポリシーは、これらの規約の一部でも、規約の一部とするために作成されたものでもありません。