「Slack」がセキュリティホールをわずか5時間で修正、その秘策とは？：大事なのは「多くの技術者をその気にさせる」こと

ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。

[Matthew Pascucci，TechTarget]

Slackが実施しているバグ報奨金プログラムが認証トークン漏えいからユーザーを救った

　クラウドベースのコラボレーションアプリケーションとしてユーザーを増やしている「Slack」にセキュリティホールが見つかった。攻撃者が悪用すれば、ユーザーの認証トークンを盗み出して再利用し、ユーザーのプライベートチャンネルやデータにアクセスできてしまう。このセキュリティホールは何が問題なのか。そして認証トークンはなぜ危険にさらされたのだろうか。

　Webセキュリティを手掛けるDetectifyのセキュリティ研究者であるフランス・ローゼン氏が発見したSlackのセキュリティホールは、攻撃者に他のSlackユーザーのチャットやメッセージ、ファイルコンテンツなどの情報へのアクセスを許してしまう。

　この脆弱（ぜいじゃく）性を悪用すれば、攻撃者は悪意あるページを介して、Slackユーザーのアカウントにフルアクセスできたという。双方向通信プロトコル「WebSocket」を悪意あるサイトにリダイレクトし、その過程でユーザーのセッショントークンを盗み出す方法だ。

併せて読みたいお薦め記事

拡大するSlack導入現場

• 「Slack」はオフィス電話を終わらせるか――次世代コラボツールの影響を見る
• 「Slack」が変えたのは仕事だけじゃない、UC市場“破壊”の可能性も
• 「Slack Enterprise Grid」は今までのSlackとどう違う？　気になる機能を紹介

認証を巡るセキュリティリスク

• 「顔認証」をユーザーの「VRモデル」でパス？　なりすましをどう防ぐか
• 複製した指紋でなりすまし可能？　「生体認証は絶対安全」とは言い切れない理由
• 生体認証だけでも危険、やっぱり2要素認証を薦める理由