セキュリティ・ポータル
セキュリティは妥協できないものだから
Trezorのバグバウンティプログラムに参加する
自己管理の未来を守るためにご協力ください。脆弱性を報告して報酬を獲得しましょう。次のルールに従ってください。
ユーザーおよび当社のデータ保護にあたり、常に誠実な姿勢で取り組みます。
公開する前に問題を修正する時間をいただけますか。
調査・情報収集中に、詐欺や被害に遭わないようご注意ください。
関連トピック
Trezorデバイスとファームウェア
- シードの抽出または注入
- PINバイパス
- ユーザー確認のスキップ
- 秘密鍵の抽出
- 物理的攻撃とサプライチェーン攻撃
このカテゴリが最も重要なのは、Trezorが脅威モデルにおける究極のセキュリティを担う存在だからです。
Trezor SuiteアプリとTrezor Connect
- クロスサイト・スクリプティング(XSS)
- サードパーティライブラリとサプライチェーン攻撃
- 取引・ステーキングセクションの脆弱性
Blockbookおよびその他のバックエンドインフラ
- Blockbookサーバーの悪用
- バックエンドインフラの設定ミス
Trezor.io
- クロスサイト・スクリプティング(XSS)
- サードパーティライブラリとサプライチェーン攻撃
- アクセス制御の不備
- 機密データの露出
- SQLインジェクション
- サーバーの設定ミス
- 支払いおよび注文の改ざん
上記に記載されておらず、かつ利用規約全文でも除外されていないその他の問題。
詳しくは利用規約全文をご覧ください報酬体系
脆弱性クラス
報酬
低
$0 – $2 000
中
$250 – $5 000
高
$500 – $10 000
クリティカル
¥150,000 ~ ¥15,000,000※
報酬額は、影響を受ける製品と深刻度に応じて決定されます。当社は報告の深刻度および報酬対象の可否を判断する権利を有します。
*極めて深刻な障害が発生した場合には、上限は設けられていません。
詳しくは利用規約全文をご覧ください報告方法
以下の情報を含めて、[email protected]までご連絡ください:
- コード - 問題を実証するための概念実証(PoC)です。
- 説明 – バグ内容とその潜在的影響を詳細に説明します。
- 名前またはニックネーム(任意) – 過去の問題一覧に掲載されます。
もしこの件を機密性の高い問題とお考えの場合は、Signalの暗号化チャネルを設定する手順をご案内します。
利用規約全文
当社は報告の重大度と適格性を判断する権利を有します。
修正済みの脆弱性
コミュニティからの報告により、調査を行い、問題を解決しました。あなたのセキュリティは常に最優先です。
- Inability to cancel certain flows on pre-production firmware2025年10月31日
- Fix side-channel in BIP-39 mnemonic processing when unlocked2025年9月24日
- Donjon's Trezor Safe 3 evaluation2024年11月12日
- Missing confirmation in the ECDHSessionKey call2023年11月26日
- XSS in Trezor Connect legacy versions2023年2月7日
- Insufficient field size check in Protobuf2021年7月12日