賞金付き脆弱性発見コンテスト「cybozu.com Security Challenge」


サイボウズ株式会社はSECCON実行委員会と協力し、実在する日本のクラウドサービスを題材とした賞金付き脆弱性発見コンテスト「cybozu.com Security Challenge」を開催いたします。本コンテストの上位者の方には、2014年3月1日(土)~2日(日)に東京で開催される「SECCON 2013全国大会」の併催カンファレンスにご招待し、どのようにして、どんな脆弱性を発見したのかをプレゼンテーションしていただきます。

■コンテスト概要

開催期間 2013 年 11 月 11 日 午前 11 時 11 分 ~ 11 月 25 日 午後 6 時
募集人数 150 名
募集期間 2013 年 9 月 24 日 ~ 2013 年 10 月 11 日(期日以前に人数上限に達した場合、途中で締め切る場合がございます)
環境 お客様がご利用中の環境とは別の、コンテスト専用の検証環境にて、オンラインで実施
ルール サイボウズのクラウドサービスに存在する未知の脆弱性を見つけ出す能力を競います。参加者が脆弱性を検出し、脆弱性として認定されると、評価ポイントを手に入れます。より多くの評価ポイントを取得した参加者が、優勝者となります。
賞金総額 300 万円。評価ポイントに応じて報奨金が贈呈されます。さらに上位者には賞金が上乗せされます。
結果発表 本コンテストの上位者の方には、2014 年 3 月に東京で開催される「SECCON 全国大会」の併催カンファレンスにご招待し、どのようにして、どんな脆弱性を発見したのかをプレゼンテーションしていただきます。

【追記】2013.10.15 申し込み期限に達したため募集を締め切りました。たくさんのご応募ありがとうございました。

■応募要項
・氏名(非公開) 
・メールアドレス(非公開)
・本コンテスト期間中に利用するニックネーム

以上を記載の上、下記メールアドレスにお送り下さい 
security-challenge-2013{at}seccon.jp

■参加条件

- 個人にて参加いただける方
 企業、団体にて営利目的で大会に参加することはおやめください。
 ただし、企業や団体に所属する個人が、大会に参加することを妨げるものではありません。

- サイボウズ株式会社社員および、関連会社社員ではないこと
- 日本語でコミュニケーションできること
- 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
- 後日送付する参加規約にご同意いただけること

脆弱性報告の対象となるサービスの製品名については、こちらのページにて順次お知らせいたします。

【参考】2013.09.24 プレスリリース

【追記】2013.09.30「cybozu.com Security Challenge ルールブック」を公開しました

 
■ cybozu.com Security Challenge ルールブック

0. はじめに
cybozu.com Security Challenge(以下、本コンテスト)は、サイボウズ株式会社が SECCON と協力し開催する脆弱性発見コンテストです。
本ルールブックは本コンテストの参加者向けに、詳細なルールを記載したドキュメントです。

1. 本コンテストの概要 参加者はサイボウズ株式会社のクラウドサービス cybozu.com に存在する未知の脆弱性を見つけ出すことを競います。 参加者が脆弱性情報を報告し、脆弱性として認定されると、評価ポイントを獲得します。より多くの評価ポイントを獲得した参加者が、優勝者となります。 参加者は評価ポイントに応じて、報奨金を獲得します。さらに成績上位者には賞金が贈呈されます。
2. 検証対象サービス 2013 年 11 月 8 日に公開いたします。 cybozu.com 上で提供される「kintone」を検証対象といたします。
2.1 対象サービス一覧 本コンテストの検証対象となるサービスは、以下の通りです。
・cybozu.com 管理と共通設定 ・kintone(サービス本体) ・kintone API(REST API / Javascript API / User API) ・kintone アプリストア ・セキュアアクセス
cybozu.com 管理と共通設定の詳細につきましては、以下の「cybozu.com 管理と共通設定ヘルプ」をご覧ください。 https://help.cybozu.com/ja/general/admin.html
kintone の詳細につきましては、以下の「kintone 管理者ヘルプ」および、「kintone ユーザーヘルプ」をご覧ください。 https://help.cybozu.com/ja/k/admin.html (kintone 管理者ヘルプ) https://help.cybozu.com/ja/k/user.html (kintone ユーザーヘルプ)
kintone API の詳細につきましては、以下の「cybozu.com developers」をご覧ください。 https://developers.cybozu.com/ja/introduction.html
kintone アプリストアの詳細につきましては、以下の「kintone ユーザーヘルプ」にある「アプリストアからアプリを追加する」をご覧ください。 https://help.cybozu.com/ja/k/user/add_app_store.html
セキュアアクセスの詳細につきましては、以下の「cybozu.com 管理と共通設定」にある「セキュアアクセスの設定」をご覧ください。 https://help.cybozu.com/ja/general/admin/list_secureaccess.html
2.2 対象外サービス一覧 本コンテストでは、検証対象外となるサービスは、以下の通りです。
・cybozu.com store ・kintone SDK(β) ・kintone ホームページ ・kintone ヘルプサイト ・cybozu.com 管理と共通設定ヘルプ ・kintone ヘルプ(管理者ヘルプ / ユーザーヘルプ) ・kintone developer サイト ・kintone android アプリ ・kintone iPhone アプリ

3. 参加条件 以下の条件を満たした方は、どなたでも参加いただけます。
- 個人にて参加いただける方 企業、団体にて営利目的で本コンテストに参加することはおやめください。 ただし、企業や団体に所属する個人が、本コンテストに参加することを妨げるものではありません。
- サイボウズ株式会社社員および、関連会社社員ではないこと - 日本語でコミュニケーションできること - 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。 - 参加規約に同意いただけること
4. コミュニケーション
4.1 cybozu.com Security Challenge 運営チーム cybozu.com Security Challenge 運営チーム(以下、運営チーム)は、サイボウズ株式会社とSECCON 担当者にて構成されます。
4.2 運営チームへの問い合わせ 運営チームは本コンテストにおける全てのお問い合わせを、メールにて受け付けます。 メール以外の方法では問い合わせを受け付けません。
4.3 運営チームのメールアドレス 運営チームのメールアドレスは以下となります。 security-challenge@cybozu.co.jp
参加者が発見した脆弱性や、検証中にご不明な点がある場合には、本メールアドレスまでご連絡ください。 また運営チームは本コンテスト参加者に、本メールアドレスから連絡いたします。 参加者は本メールアドレスからのメールを受信できるようにしてください。
4.4 対応時間 対応時間は 平日 9:00(JST)~ 18:00(JST)です。
4.5 PGP 鍵 参加者が運営チームに脆弱性情報を報告する際には、PGP 鍵を利用できます。 公開鍵の情報は以下の通りです。
Key ID: 0xCC4889A8 Key Type: RSA 2048 bit Key Fingerprint: 78CB 414A BB37 FBE6 EFA5 54D7 A61F 8A26 CC48 89A8
5. コンテスト開催期間 2013 年 11 月 11 日 11 時 11 分(JST)~ 11 月 25 日 18 時 00 分(JST)となります。
6. サイボウズの脆弱性情報ハンドリングフロー 参加者が報告した脆弱性情報を、運営チームは原則としてサイボウズの脆弱性情報ハンドリングフローに沿って、受け付けます。 脆弱性情報ハンドリングフローとは、サイボウズが提供する製品および、サービスで脆弱性が発見された場合に、どのように取り扱い、どのように公開するか定めるもので、「脆弱性対応ポリシー」と「脆弱性情報公開ポリシー」の2つで構成されます。
6.1 脆弱性対応ポリシー
6.1.1 参加者が利用するメールアドレス 参加者が運営チームに問い合わせる場合、本コンテストの申し込み時に登録したメールアドレス(以下、登録メールアドレス)を利用してください。 参加者が送信したメールの From ヘッダに記載されたメールアドレスが、登録メールアドレスと異なる場合、運営チームは、問い合わせを受け付けません。
6.1.2 脆弱性情報の報告 参加者が運営チームに脆弱性情報を報告する場合、メールの標題(Subject)の先頭に「[脆弱性の報告]」と記載してください。 また以下の内容をメール本文に記載してください。
【ニックネーム】(ニックネームを記載してください) 【概要】(どのような問題が発生するかを、簡潔に記載してください) 【脆弱性を確認した環境】(OS・ブラウザなど、再現環境を明確に記載してください) 【再現手順】(詳細な再現手順を記載してください)
6.1.3 脆弱性情報の評価方式 運営チームは全ての脆弱性情報を CVSS v2 を用いて評価します。 CVSS v2 の詳細については、以下の IPA にて公開されております「共通脆弱性評価システム CVSS概説」をご覧ください。 http://www.ipa.go.jp/security/vuln/CVSS.html
6.1.4 脆弱性情報の受付期間 運営チームは参加者からの脆弱性情報を、本コンテスト開催期間のみ受け付けます。 本コンテスト終了後は、サイボウズ株式会社 CSIRT(Cy-SIRT)にて、以下の脆弱性報告フォームにて 脆弱性情報を受け付けます。 https://www.cybozu.com/jp/support/security.html
Cy-SIRT の詳細につきましては、以下の Cy-SIRT ホームページをご覧ください。 https://www.cybozu.com/jp/features/management/cysirt.html
6.1.5 脆弱性情報以外のお問い合わせ 参加者が運営チームに問い合わせる場合、メールの標題(Subject)の先頭に「[問い合わせ]」と記載してください。 また以下の内容をメール本文に記載してください。
【ニックネーム】(ニックネームを記載してください) 【問い合わせ内容】(簡潔に記載してください)
6.1.6 脆弱性情報以外のお問い合わせの受付期間 運営チームは本コンテストに関する参加者からの脆弱性情報以外の問い合わせを、 2014 年 3 月末まで受け付けます。ただし、本コンテスト開催期間終了後は対応が遅れる場合があります。
6.2 脆弱性情報公開ポリシー
6.2.1 脆弱性情報の公開時期 参加者が発見した脆弱性情報は、サイボウズが脆弱性に対応した後、公開します。 サイボウズが脆弱性に対応するまで、外部に公開しません。
6.2.2 コンテスト参加者への脆弱性情報の公開 運営チームは参加者が発見した脆弱性情報を、他の参加者に公開しません。
7. 脆弱性情報の評価プロセス
7.1 評価プロセスにおける用語集
7.1.1 対応番号 参加者が運営チームに問い合わせた際に、運営チームは全てのお問い合わせに対して「番号」を割り振ります。 この番号を「対応番号」と呼びます。
7.1.2 受付時間 運営チームは「対応番号」を割り振ると、参加者にメールで連絡します。 このメールの送信時間を、「受付時間」と呼びます。
7.1.3 認定時間 運営チームが特定の脆弱性情報を脆弱性として認定すると、運営チームは参加者に認定したことを連絡します。 このメールの送信時間を、「認定時間」と呼びます。
7.1.4 脆弱性情報の評価期間 「受付時間」から、「認定時間」までの期間を「脆弱性情報の評価期間」と呼びます。
受付時間 認定時間 --+-------------------------------------+-- 脆弱性情報の評価期間
7.2 評価プロセス 参加者が脆弱性情報を運営チームに連絡した場合、運営チームは以下のプロセスで脆弱性情報を評価します。
1. 運営チームは「対応番号」を割り振り、参加者に連絡します。(受付時間) 2. 運営チームは脆弱性情報を元に、脆弱性を評価します。 3-a. 評価の結果、脆弱性と認定された場合、運営チームが参加者に脆弱性と認定したことを連絡します。(認定時間) 3-b. 評価の結果、脆弱性として認定されなかった場合、運営チームが参加者に脆弱性として認定されなかったことを連絡します。 3-c. 追加の情報が必要と判断された場合、運営チームが参加者に再度連絡します。 4. 参加者が運営チームに「対応完了」の連絡をし、評価プロセスが完了します。
7.2.1 受け付け順序について 参加者が報告した脆弱性情報を、運営チームは受信したメールのタイムスタンプ順に受け付けます。
7.2.2 受付時間について 運営チームは 15:00 (JST) までに受信した脆弱性情報について、原則として1営業日以内に脆弱性の評価を行います。 運営チームは 16:00 (JST) までに受信したそれ以外のお問い合わせについて、原則として同日中に回答します。 それ以降のお問い合わせについては、対応番号のみ付与し、次営業日に対応します。
8. 評価ポイント 評価ポイントとは、本コンテストの成績を決定する値です。 本コンテスト終了時点で、より多くの評価ポイントを獲得している参加者が優勝者となります。
8.1 評価ポイントの獲得 本コンテストでは、参加者が報告した脆弱性情報を運営チームが脆弱性として認定した時点で、 参加者は評価ポイントを獲得します。
8.1.1 同一の脆弱性情報を複数の参加者が報告した場合 ある参加者が報告した脆弱性情報の評価期間中に、別の参加者が同一の脆弱性情報を運営チームに 報告した場合、該当の脆弱性情報を報告した全ての参加者が、評価ポイントを獲得できます。 評価期間終了後、参加者が該当の脆弱性情報を運営チームに報告した場合、評価ポイントを獲得できません。
X さん、Y さんが脆弱性情報 A を報告した場合を例に説明します。
例1) X さんが報告した脆弱性情報 A の評価期間中に、Y さんが脆弱性情報 A を報告した場合 Y さんは評価ポイントを獲得できます。
X さんの受付時間 Y さんの受付時間 X さんの認定時間 --+--------------+----------------------+-- 脆弱性情報 A の評価期間
例2) X さんが報告した脆弱性情報の評価期間終了後、Z さんが脆弱性情報 A を報告した場合 Z さんは評価ポイントを獲得できません。
X さんの受付時間 X さんの認定時間 Z さんの受付時間 --+-------------------------------------+-----------+ 脆弱性情報 A の評価期間
8.1.2 脆弱性として認定されなかった場合 参加者が報告した脆弱性情報が脆弱性として認定されなかった場合、参加者は評価ポイントを獲得できません。
8.2 評価ポイントの計算式
8.2.1 評価ポイントの計算式 評価ポイントは、以下の計算式に基づいて設定されます。
評価ポイント = 基礎点 + 調整点 基礎点 = CVSS 基本値 調整点: 参加者が報告した脆弱性情報が、本コンテスト開催期間中、最も早く脆弱性として認定された場合、評価ポイントが 1.0 ポイント加算されます。 参加者が同一の処理内の異なるパラメータで同種の問題を発見した場合、 2 つ目のパラメータ以降、評価ポイントが「(基礎点 * 0.1)(合計値に対して、小数第2位四捨五入)」ポイント加算されます。
X さんが脆弱性情報 A を報告した場合を例に説明します。
例1) 運営チームが脆弱性情報 A を、CVSS 基本値「4.0」と評価した場合 X さんは評価ポイントを「4.0 + 1.0 = 5.0」ポイント獲得します。
例2) 運営チームが脆弱性情報 A を、CVSS 基本値「4.0」と評価し、4つのパラメータで同一の問題が起こる場合 X さんは評価ポイントを「4.0 + 1.0 +(4-1)* (4.0 * 0.1) = 6.2」ポイント獲得します。
8.2.2 複数の参加者が特定の脆弱性情報を報告した場合の評価方法 複数の参加者が特定の脆弱性情報を同時に報告した場合、2番目以降に認定された脆弱性の基礎点は 0.2 倍されます。
X さん、Y さんが脆弱性情報 A を報告し、運営チームが脆弱性情報 A を CVSS 基本値「4.0」と評価した場合を例に説明します。
例1) X さんが報告した脆弱性情報 A が先に脆弱性として認定された場合 - X さんは評価ポイントを「4.0 + 1.0 = 5.0」ポイント獲得します。 - Y さんは評価ポイントを「(4.0 * 0.2) = 0.8」ポイント獲得します。
例2) X さんが報告した脆弱性情報 A の認定期間に、先に Y さんが報告した脆弱性情報 A が認定された場合 - X さんは評価ポイントを「(4.0 * 0.2) = 0.8」ポイント獲得します。 - Y さんは評価ポイントを「4.0 + 1.0 = 5.0」ポイント獲得します。
いずれの場合も脆弱性情報 A の評価期間が終了後、Z さんが同一の脆弱性を報告した場合には、評価ポイントを獲得できません。
8.3 順位表の連絡 本コンテスト開催期間中、運営チームは平日 10:00 に本コンテストの順位表を参加者にメールで連絡します。 なお、本コンテスト最終日 2013 年 11 月 25 日は連絡しません。
9. 報奨金と賞金
9.1 本コンテストにおける総賞金額 本コンテストにおける総賞金額は 300 万円となります。 賞金には「報奨金」と「本コンテスト成績上位者に贈呈される賞金」があります。
9.2 報奨金 報奨金とは cybozu.com の品質向上にご協力いただいた謝礼として、脆弱性情報を報告いただいた方に贈呈される賞金となります。
9.2.1 報奨金の分配形式 評価ポイントを獲得した参加者は、認定時間順に「\12,000- * 評価ポイント」の報奨金を獲得します。
9.2.2 報奨金の対象となる評価ポイントの上限 本コンテストでは、報奨金の対象となる評価ポイントの上限を 200 といたします。 ただし、参加者はそれ以降も評価ポイントを獲得できます。
評価ポイントの合計が 198 の際に、X さん、Y さんが脆弱性情報 A を、Z さんが脆弱性情報 B を報告し、 運営チームが X さんが報告した脆弱性情報 A 、脆弱性情報 B の順に認定した場合を例に説明します。
例1) 運営チームが脆弱性情報 A を CVSS 基本値「4.0」と評価した場合 X さんは 評価ポイントを「4.0 + 1.0 = 5.0」ポイント獲得します。 報奨金を「\12,000- * 5.0 = \60,000-」を獲得します。
Y さんは 評価ポイントを「4.0 * 0.2 = 0.8」ポイント獲得します。 報奨金を「\12,000- * 0.8 = \9,600-」を獲得します。
合計評価ポイントは「198 + 5.8 = 203.8」ポイントとなります。
例2) 運営チームが脆弱性情報 B を CVSS 基本値「6.5」と評価した場合 Z さんは 評価ポイントを「6.5 + 1.0 = 7.5」ポイント獲得します。 報奨金は獲得できません。 合計評価ポイントは「203.8 + 7.5 = 211.3」ポイントとなります。
9.3 本コンテスト成績上位者に贈呈される賞金 本コンテストの成績上位者の方には、追加で賞金を贈呈いたします。
9.3.1 残賞金額 総額 300 万円から、参加者が獲得した報奨金の合計を引いた金額を、残賞金額と呼びます。
9.3.2 賞金の分配方式 成績上位者 3 名に、残賞金額を分配して贈呈いたします。
優勝者には、残賞金額の 3/5 を贈呈いたします。 2 位 の方には、残賞金額の 4/15 を贈呈いたします。 3 位 の方には、残賞金額の 2/15 を贈呈いたします。 ※ いずれも、1000 円未満は切り捨てといたします。
例として残賞金額が 60 万円の場合には、以下のように分配されます。 優勝者:36 万円 2位:16 万円 3位:8 万円
9.3.3 成績上位者の評価ポイントが等しい場合 賞金を合算し、該当する成績上位者に等しく分配して贈呈いたします。
残賞金額が 60 万円の場合を例に説明します。
例1) 2 位と 3 位の方の評価ポイントが等しい場合には、以下のように分配されます。 優勝者:36 万円 2位 タイ:(16 + 8) / 2 = 12 万円
例2) 3 位と 4 位の方の評価ポイントが等しい場合には、以下のように分配されます。 優勝者:36 万円 2位:16 万円 3位タイ:8 / 2 = 4 万円
9.3.4 税金について 参加者が獲得した総賞金額が 50 万円を超える場合には、 源泉税を徴収後の金額をお渡しいたします。 源泉税の詳細につきましては、以下の国税庁ホームページ、「No.2813 広告宣伝のために支払う賞金等」をご覧ください。 http://www.nta.go.jp/taxanswer/gensen/2813.htm
参加者が獲得した総賞金額が 90 万円を超える場合、参加者はご自身で確定申告を行う義務が発生いたします。 確定申告に関する詳細につきましては、以下の国税庁のホームページ、「No.1900 給与所得者で確定申告が必要な人」および、 「No.1490 一時所得」をご覧ください。 http://www.nta.go.jp/taxanswer/shotoku/1900.htm http://www.nta.go.jp/taxanswer/shotoku/1490.htm
参加者が獲得した総賞金額が126万円を超える場合、参加者は他に収入がなくても、税務上の扶養から外れることがあります。 なお、健康保険の扶養に関しては、影響しません。
扶養控除に関する詳細につきましては、以下の国税庁のホームページ、「No.1180 扶養控除」をご覧ください。 http://www.nta.go.jp/taxanswer/shotoku/1180.htm

9.4 賞金の受け渡しについて 本コンテスト終了後、運営チームは賞金を獲得した参加者に賞金の受け渡しに関してご連絡します。 参加者は運営チームに、本人確認できる資料と、振込先情報を連絡する必要があります。 なお、法人口座への入金には対応しておりません。
9.4.1 報奨金および、賞金の受け渡し時期 「SECCON 全国大会」終了後の 2014 年 3 月末の入金を予定しています。
9.4.2 本コンテスト成績上位者へのご依頼事項 本コンテストの成績上位者の方には、2014年3月に東京で開催される「SECCON 全国大会」の併催カンファレンスにご招待し、 どのようにして、どんな脆弱性を発見したのかをプレゼンテーションしていただきます。
10. 検証環境について 本コンテストは、cybozu.com の実運用環境ではなく、専用の検証環境で行われます。
10.1 検証環境へのアクセス方法 本コンテスト開催当日、運営チームは参加者に検証環境にアクセスするための URL をメールにて配布します。 検証環境は各参加者につき、2 つ提供されます。
10.2 検証環境における制限事項 原則として、cybozu.com サービスに関する脆弱性検証の実施ポリシーに従います。 実施ポリシーの詳細につきましては、以下のよくあるご質問の cybozu.com 全般にある FAQ「Q.cybozu.com サービスに対して、脆弱性検証を実施することは可能でしょうか。」をご覧ください。 http://faq.cybozu.info/alphascope/cybozu/web/office/Detail.aspx?id=e4d6f75754546786d614d7a6c7a63686a78474c43316c4171706669452b4741473254734c306b327a484e4d3d
10.3 本コンテストにおける制限事項
10.3.1 JavaScript でアプリケーションをカスタマイズする機能を使った脆弱性について 「kintone」はアプリケーション管理者が JavaScript を用いてアプリケーションを カスタマイズすることが可能です。 このためアプリケーション管理者が JavaScript を 悪用することで、利用者に悪意のあるコードを実行させるリスクがあります。 本機能を利用して埋め込んだ JavaScript による脆弱性は、評価ポイントを獲得できません。 本機能の不具合による脆弱性は、評価ポイントを獲得できます。
詳細な設定方法は、以下の「kintone ヘルプ」にある「JavaScript でアプリをカスタマイズする」をご覧ください。 https://help.cybozu.com/ja/k/user/javascript_appcustomize.html
サイボウズでは JavaScript を用いてアプリをカスタマイズすることの危険性を認識しています。 利用者の方には cybozu.com の API および JavaScript プログラムを安全に作成いただくための セキュアコーディングガイドラインを提供し、 ご確認いただいています。
セキュアコーディングガイドラインの詳細につきましては、以下の cybozu.com developers サイトにある 「セキュアコーディング ガイドライン」をご覧ください。 http://developers.cybozu.com/ja/introduction/guideline.html
10.3.2 JavaScript で kintone をカスタマイズする機能を使った脆弱性について 「kintone」はシステム管理者が JavaScript を用いて kintone を カスタマイズすることが可能です。 このためシステム管理者が JavaScript を 悪用することで、利用者に悪意のあるコードを実行させるリスクがあります。 本機能を利用して埋め込んだ JavaScript による脆弱性は、評価ポイントを獲得できません。 本機能の不具合による脆弱性は、評価ポイントを獲得できます。
詳細な設定方法は、以下の「kintone ヘルプ」にある「JavaScriptでkintoneをカスタマイズする」をご覧ください。 https://help.cybozu.com/ja/k/admin/javascript_fullcustomize.html

11. 参加者による情報の公開について
11.1 発見した脆弱性情報について 参加者は、本コンテストにおいて発見した脆弱性情報を秘密情報として取扱ってください。 本コンテスト実施中および本コンテスト終了後サイボウズが当該脆弱性について公表を行うまでの期間、 第三者に対して開示、漏洩、公表等できないものとします。
11.2 検証環境に関する情報について 参加者は、サイボウズが参加者に提供する本コンテストの参加環境の URL と当該参加環境のパスワードを秘密情報として取扱うものとし、 本コンテスト実施中に第三者に対して開示、漏洩、公表等できないものとします。
11.3 SNS などへの情報公開について 参加者は、本コンテストの競技ルールおよび参加中の感想等について、SNSへの投稿等を含む第三者への公開を行うことができます。 ただし、前二項に定める秘密情報については第三者への公開を行ってはいけません。
11.4 賞金の授与資格のはく奪 参加者が 11.1 、11.2 の規程に違反した場合および、参加資格にある条件を満たしていないことがサイボウズにて確認できた場合、 報奨金および、賞金の受領資格を喪失するものとします。また、参加者が報奨金および、賞金を受領済みの場合は 賞金の返還に応じるものとします。
12. 更新履歴
2013-09-30 一般公開
2013-10-03 9.3.4 税金について 扶養控除に関して追記いたしました。

2013-11-08 検証対象のサービスを追記いたしました。 本コンテストにおける制限事項を追記いたしました。

【追記】2013.10.22「cybozu.com Security Challenge 参加規約」(PDF)を公開しました。

重要なお知らせ

協賛企業一覧

エヌ・アール・アイ・セキュアテクノロジーズ株式会社

さくらインターネット株式会社

日本アイ・ビー・エム株式会社

株式会社日立システムズ

(ISC) 2 Japan

KDDI株式会社

ソフトバンク・テクノロジー株式会社

株式会社ディアイティ

株式会社ディー・エヌ・エー
日本電気株式会社
富士通株式会社

Eyes Japan

SCSK株式会社

株式会社Kaspersky Labs Japan

一般社団法人関西情報センター

グリー株式会社

株式会社コア

株式会社神戸デジタル・ラボ

codeIQ
サイボウズ株式会社

株式会社 人総研

デロイト トーマツ リスクサービス株式会社

テンプスタッフ・テクノロジー株式会社

トレンドマイクロ株式会社

一般財団法人日本情報経済社会推進協会(JIPDEC)

ネットエージェント株式会社

株式会社ラック

※2013年11月29日現在
※協賛企業様、引き続き募集中