ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。
クラウドベースのコラボレーションアプリケーションとしてユーザーを増やしている「Slack」にセキュリティホールが見つかった。攻撃者が悪用すれば、ユーザーの認証トークンを盗み出して再利用し、ユーザーのプライベートチャンネルやデータにアクセスできてしまう。このセキュリティホールは何が問題なのか。そして認証トークンはなぜ危険にさらされたのだろうか。
Webセキュリティを手掛けるDetectifyのセキュリティ研究者であるフランス・ローゼン氏が発見したSlackのセキュリティホールは、攻撃者に他のSlackユーザーのチャットやメッセージ、ファイルコンテンツなどの情報へのアクセスを許してしまう。
この脆弱(ぜいじゃく)性を悪用すれば、攻撃者は悪意あるページを介して、Slackユーザーのアカウントにフルアクセスできたという。双方向通信プロトコル「WebSocket」を悪意あるサイトにリダイレクトし、その過程でユーザーのセッショントークンを盗み出す方法だ。
Copyright © ITmedia, Inc. All Rights Reserved.
さくらインターネットのカスタマーセンターにおける電話システムは、耐久年数や可用性・冗長性に課題が出ていた。また、在宅環境での通話品質の劣化も発生していた。これらの課題の解決に向けて、同社が導入したのが「Zoom Phone」だ。
業務効率化や社内外のコミュニケーション活性化などを目的に、多くの企業でグループウェアの採用が進んでいる。製品選びのヒントとして、レビューサイト「ITreview」のユーザーレビューを基にした製品レポートを紹介する。
ある調査によると、稟議や申請などのワークフローのデジタル化においては「学習コストの高さ」「運用の面倒さ」という2つが大きな課題であることが分かったという。そこでこれらの課題を解消する「クラウド型ワークフロー」を紹介する。
グループウェアのワークフロー機能は手軽に利用できる半面、機能的に不十分なケースもあり、企業規模の拡大や組織の複雑化に対応できないことも多い。本資料では、グループウェアのワークフロー機能における問題点や解決方法を探る。
ある中堅規模のメーカーにおけるワークフローシステムのリプレースは、当初の半年という計画を大きくオーバーランして完了した。この事例を通じて、ワークフローシステム導入やリプレースで陥りがちな「落とし穴」とその回避策を解説する。
「Microsoft 365 Copilot」の真価を引き出すこつとは? リコージャパンに聞く (2025/3/24)
大量のデータから欲しいものを見つける難しさ 生成AIで改善へ (2025/3/3)
「帳票電子化」は8割……紙をPDF化しただけ? 必要なのは「デジタル化」 (2025/2/28)
なぜシステム導入は失敗するのか 請求書電子化の成功事例から学ぶ“コツ” (2025/1/6)
事例:パナソニック ネットソリューションズの文書管理効率化、ペーパーレス化 (2024/6/28)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
Slackが実施しているバグ報奨金プログラムが認証トークン漏えいからユーザーを救った
