Pelat はユーザーのセキュリティとプライバシーを最優先に考えています。
セキュリティ上の問題を発見された場合は、以下の手順に従ってご報告ください。
責任ある脆弱性開示にご協力いただくことで、すべてのユーザーの安全を守ることができます。
セキュリティの概要
Pelat は、ユーザーのプライバシーとセキュリティを設計の中心に据えています。
- エンドツーエンド暗号化(E2EE):
Friend Chat のメッセージと画像は、X3DH 鍵交換(Curve25519)と Double Ratchet アルゴリズム(AES-256-GCM)で暗号化されます。当社のサーバーはメッセージの本文を閲覧・復号できません
- 鍵管理:
秘密鍵はユーザーのデバイスの Keychain / Secure Enclave にのみ保存され、サーバーには送信されません
- 通信の保護:
すべての通信は TLS 1.3 で暗号化され、証明書ピンニングを適用しています
- デバイス正当性:
App Attest(Secure Enclave)によりアプリの正当性を検証しています
- プライバシー保護:
画像送信時の EXIF・GPS メタデータの自動除去、タスクスイッチャーでのプライバシー保護を実装しています
脆弱性の報告
セキュリティに関する問題を発見された場合は、以下のメールアドレスまでご報告ください。
一般的なバグや機能要望は、上記のセキュリティ報告先ではなく、通常のサポート窓口([email protected])にご連絡ください。
対象範囲
以下のコンポーネントがセキュリティ報告の対象です。
- iOS アプリ(Pelat): 認証、E2EE、データ保存、通信
- バックエンド API(api.pelat.app): 認証・認可、データ処理、WebSocket
- 公式サイト(pelat.app): Web セキュリティ
対象外
以下は対象外とさせていただきます。
- ソーシャルエンジニアリング(フィッシング等)
- サービス拒否攻撃(DoS / DDoS)
- 物理的な攻撃
- ユーザー自身のデバイスに対する攻撃
- 既に公開されている脆弱性で、パッチ適用中のもの
- 自動スキャンツールの出力のみの報告(検証なし)
対応 SLA
| 項目 | 目標 |
| 初回応答 | 48時間以内 |
| トリアージ完了 | 5営業日以内 |
| 修正目標 | 90日以内 |
| 修正通知 | 修正完了後に報告者へ通知 |
報告に含めていただきたい情報
- 脆弱性の種類と影響範囲
- 再現手順(可能な限り詳細に)
- 影響を受けるバージョン・環境
- 可能であれば Proof of Concept
注意事項
- 脆弱性の検証にあたり、他のユーザーのデータにアクセスしたり、サービスの可用性を損なったりしないようお願いします。
- 修正が完了するまで、脆弱性の詳細を公開しないでください。
Safe Harbor(免責)
本ポリシーに従って誠実に脆弱性を報告してくださった方に対し、当社は法的措置を取りません。以下の条件を満たす報告は、善意のセキュリティリサーチとして扱われます。
- 本ポリシーの対象範囲および注意事項を遵守していること
- 他のユーザーのデータにアクセスしたり、サービスの可用性を損なったりしていないこと
- 発見した脆弱性を修正前に公開していないこと
謝辞
セキュリティの向上にご協力いただいた方には、セキュリティ貢献者ページにて感謝を表明させていただきます(ご希望の場合)。
制定日: 2026年3月7日 / 改定日: 2026年3月13日