TP-Link製品に関するセキュリティアドバイザリについて

TP-Linkでは、お客様をセキュリティの脅威から保護することも非常に重要な責務であると考えています。ネットワーク製品およびスマートホーム製品を世界的に展開する企業として、弊社はお客様へ安全で安定した製品とサービスを提供し、お客様データのプライバシーやセキュリティを厳重に保護するために努めてまいります。

TP-Link製品におけるセキュリティやユーザープライバシーに関するご意見・ご不明点がありましたら、お気軽にご連絡ください。頂戴した内容を確認のうえ適宜対応させていただきます。

脆弱性に関するお問い合わせについて

潜在的なセキュリティリスクに関するご報告・フィードバックは、弊社セキュリティチームまでご連絡ください。

頂戴した内容についてより正確かつ迅速な検証を行うため、お問い合わせ時には“【テンプレート】潜在的な脆弱性に関するレポート”も併せてご提出ください。

※TP-LinkではPGP (Pretty Good Privacy)/GPG (GNU Privacy Guard) 暗号化ソフトウェアによって暗号化されたメッセージに対応しております。

ガイドライン

1. 脆弱性開示に関わる全ての当事者は、現地の法律を厳守する必要があります。

2. 脆弱性レポートは最新版のファームウェアに基づいたものであり、可能な限り英語で記載する必要があります。

3. 脆弱性に関するお問い合わせは、必ず指定された方法で行う必要があります。別の手段や連絡先へのお問い合わせ関して、弊社では対応を保証いたしかねます。

4. データ保護の原則を常に遵守し、脆弱性への対応時にTP-Linkのユーザー・従業員・エージェント・サービス・システムに関するプライバシーおよびデータセキュリティを侵害してはなりません。

5. 脆弱性への対応時は、相互協力のうえコミュニケーションを取り合い、協議した開示日以前に脆弱性に関する情報を公開してはなりません。

6. TP-Linkでは現在、脆弱性へのご報告に関する報奨金プログラムは実施しておりません。

脆弱性への対処プロセス

TP-Linkでは、潜在的な脆弱性に関してお客様・ベンダー・独立系研究者・セキュリティ組織等からの積極的なご連絡を歓迎いたします。同時に、弊社でもコミュニティ・脆弱性に関するリポジトリ・各種セキュリティサイトからTP-Link製品の脆弱性に関する情報を積極的に収集し、脆弱性が発見された際に速やかに対応できるよう努めます。

・頂いたお問い合わせについて、可能な限り5営業日以内に対応いたします。

・弊社製品チームと連携しながら内容の分析と検証を行い、脆弱性に関する妥当性・重大性・影響の大きさを判断します。検証時により詳細な情報が必要な場合は、弊社からご連絡をさせていただく場合があります。

・脆弱性が特定された場合、影響を受ける全てのお客様にソリューションを提供すべく、修復計画を策定し実行します。

・修復には通常90日間ほど要し、状況によってはそれ以上となる場合もあります。

・脆弱性をご報告くださった方には、修復に向けた進捗状況等の最新情報をご連絡いたします。

TP-Linkでは、以下条件の1つ以上が満たされた場合にセキュリティアドバイザリを発行します：

1. TP-Linkセキュリティチームによって脆弱性の重大度が「CRITICAL」と判断され、TP-Linkによる対応プロセスが完了し、関連するセキュリティリスクの排除に十分なソリューションを提供可能となった場合

2. 脆弱性が悪用され、お客様のセキュリティリスクが高まる可能性がある、またはTP-Link製品のセキュリティに関して社会的な懸念が高まる可能性がある場合
     ― 通常よりも早期に脆弱性に関するセキュリティ情報を公開します。公開時におけるファームウェアの修正有無は、状況によって異なります。 

TP-Link製品のセキュリティに関するご質問は、以下よりお問い合わせください。

TP-Linkサポートに問い合わせる