2017年05月24日 12時00分 UPDATE
特集/連載

大事なのは「多くの技術者をその気にさせる」こと「Slack」がセキュリティホールをわずか5時間で修正、その秘策とは?

ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。

[Matthew Pascucci,TechTarget]
Slackが実施しているバグ報奨金プログラムが認証トークン漏えいからユーザーを救った

 クラウドベースのコラボレーションアプリケーションとしてユーザーを増やしている「Slack」にセキュリティホールが見つかった。攻撃者が悪用すれば、ユーザーの認証トークンを盗み出して再利用し、ユーザーのプライベートチャンネルやデータにアクセスできてしまう。このセキュリティホールは何が問題なのか。そして認証トークンはなぜ危険にさらされたのだろうか。

 Webセキュリティを手掛けるDetectifyのセキュリティ研究者であるフランス・ローゼン氏が発見したSlackのセキュリティホールは、攻撃者に他のSlackユーザーのチャットやメッセージ、ファイルコンテンツなどの情報へのアクセスを許してしまう。

 この脆弱(ぜいじゃく)性を悪用すれば、攻撃者は悪意あるページを介して、Slackユーザーのアカウントにフルアクセスできたという。双方向通信プロトコル「WebSocket」を悪意あるサイトにリダイレクトし、その過程でユーザーのセッショントークンを盗み出す方法だ。

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news106.jpg

「Gotcha!mall」が「LINE」と連携
グランドデザインは、スマートフォンオムニチャネルプラットフォーム「Gotcha!mall(ガッ...

news002.jpg

ユーザーと共に作る広告、期待と課題は? JIMOS担当者と語る
UGC(ユーザー生成コンテンツ)を広告に活用している企業ではどのような効果や課題を感じ...

news095.png

フロムスクラッチ、「b→dash」にGUIで自由にデータマートを作成できる新機能を追加
フロムスクラッチは、マーケティングプラットフォーム「b→dash」において、データウェア...