セキュリティやプライバシーの脆弱性について報告する

Appleの製品にセキュリティやプライバシーに関わる脆弱性を見つけた場合は、ご報告ください。

セキュリティやプライバシーの脆弱性について報告する方法

Appleのデバイス、ソフトウェア、サービスに影響を及ぼしかねないセキュリティやプライバシーの脆弱性を見つけた場合は、AppleのWebサイト「Apple Security Research」から直接ご報告ください。

ご報告の際は必ず、脆弱性の影響があると思う具体的な製品とソフトウェアのバージョン、実際に確認した症状や本来想定される動作についての技術的な説明、問題を再現する手順、PoC（概念実証）またはエクスプロイトを明記してください。

お送りいただいたレポートのAppleでの取り扱い

Appleは、Appleに直接提出されたすべてのレポートをレビューします。Webで研究内容を送信すると、Appleがレポートを受け取ったという自動確認メールが届きます。Apple Accountでサインインして、レポートのステータスがレビュー中であることを確認できます。お送りいただいた研究内容については、所定の条件を満たすものはすべて、Apple Security Bounty（Appleのセキュリティ報奨金）の対象として評価させていただきます。プログラムガイドラインの詳細については、Apple Security Researchのサイトを参照してください。

Appleでは、お客様保護の観点から、社内での調査が完了し、必要なアップデートを一般に公開できるようになるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。

Appleでは、セキュリティ情報や security-announceメーリングリストを通じて、製品のセキュリティ対策について情報を公開し、セキュリティの問題についてAppleに報告してくださった個人や組織の功績をたたえ、感謝の意を表明しています。また、Webサーバのセキュリティに関する問題をご報告いただいた研究者の方々は、こちらの記事でご紹介させていただいています。

または、研究内容をメール（英語）で product-security@apple.com 宛てにご送信いただいてもかまいません。前述の情報を漏らさず記載していただくようお願いいたします。情報が不足していてご報告いただいた問題を再現できない場合は、レポートを受理できない可能性や、報奨金の評価対象とならない可能性があります。また、レポートをメールで送信いただいた場合、進捗状況をオンラインで確認いただくことはできません。メールでお送りいただく機密情報は、Apple Product Security PGPキーを使って暗号化してください。また、大きなファイルを送信する場合は、Mail Dropをご利用ください。