外部監査クリア
2026年5月、第三者セキュリティ研究者(@kleosr)による独立監査を受け、CRITICAL 4件・HIGH 8件・MEDIUM 8件・LOW 5件の合計 25 件の指摘を受領。CRITICAL/HIGH 主要件は 48 時間以内に v0.7.0 で修正・公開済み。
🔒 LemonCake Security
外部監査クリア・FSA 照会完了。
プロダクト品質のセキュリティ姿勢。
LemonCake は第三者セキュリティ研究者による独立監査を受け、Japan FSA への 法令照会も完了しています。CRITICAL/HIGH の主要指摘は 48 時間以内に修正・ 公開済み。商用利用に耐える信頼性を担保しています。
3 つのセキュリティ柱
FSA 照会済み
Japan FSA(金融庁)Fintech サポートデスクへの法令照会を Q1-Q11 まで完了。2026-05-21 の Q11 ルーリングで「非カストディ設計は登録不要」が確認され、v2 ではこの設計に移行済み。
コンプライアンス by Design
v2 アーキテクチャは設計時から「LemonCake が USDC を一切経由しない」を制約として組み込まれている。ERC-2612 permit ベースで、ユーザーの資金はユーザー自身のウォレットに 100% 保管される。
監査履歴
すべての監査結果と修正対応を公開しています。隠さない、ごまかさない、即修正する。
2026-05 · @kleosr 独立監査
ブロックチェーン × リバースエンジニアリング系研究者による外部監査
Critical
4
主要件修正済
High
8
主要件修正済
Medium
8
対応中
Low
5
対応中
代表的な修正項目
- C-02
Killswitch エンドポイントの認証バイパス
m2m-payment の killswitch エンドポイントを共有 requireAdmin ミドルウェアで保護。timingSafeEqual で API キー検証、監査ログ追加。
commit e195883 → - C-04
Prisma db push --accept-data-loss
Dockerfile を prisma migrate deploy に切替。事務ガイドライン準拠の migration ファイルが必須に。
commit e195883 → - C-06
- C-07
JWT_SECRET の単一鍵フォールバック
Spender Private Key / Admin JWT / Incident Signing Key を別鍵に分離。production では各鍵が未設定なら起動を拒否。
commit e195883 → - H-03
ハードコードされた dev secret
skyfire-dev-secret-change-in-prod、dev-admin-key 等のフォールバック値を全削除。production では未設定エラーで fail-closed。
commit e195883 →
継続的なコミットメント
✅ Responsible Disclosure
脆弱性を発見された方は GitHub Security Advisory(または contact@aievid.com)まで非公開でご連絡ください。受領後 48時間以内に応答し、CRITICAL/HIGH は 7 日以内に修正することをコミットします。
✅ 公開ポリシー
CRITICAL/HIGH の修正は GitHub Security Advisory に CVE 番号付きで公開します。HOFリストもメンテナンスし、報告者のクレジットを公開します(希望者のみ)。
✅ 継続的セキュリティ
依存パッケージの自動アップデート(Dependabot)、CI でのシークレットスキャン、本番デプロイ前の npm audit、四半期ごとの内部レビューを実施しています。