ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。
クラウドベースのコラボレーションアプリケーションとしてユーザーを増やしている「Slack」にセキュリティホールが見つかった。攻撃者が悪用すれば、ユーザーの認証トークンを盗み出して再利用し、ユーザーのプライベートチャンネルやデータにアクセスできてしまう。このセキュリティホールは何が問題なのか。そして認証トークンはなぜ危険にさらされたのだろうか。
Webセキュリティを手掛けるDetectifyのセキュリティ研究者であるフランス・ローゼン氏が発見したSlackのセキュリティホールは、攻撃者に他のSlackユーザーのチャットやメッセージ、ファイルコンテンツなどの情報へのアクセスを許してしまう。
この脆弱(ぜいじゃく)性を悪用すれば、攻撃者は悪意あるページを介して、Slackユーザーのアカウントにフルアクセスできたという。双方向通信プロトコル「WebSocket」を悪意あるサイトにリダイレクトし、その過程でユーザーのセッショントークンを盗み出す方法だ。
Copyright © ITmedia, Inc. All Rights Reserved.
パッケージ版のグループウェアを利用する企業の中には、利用製品のサポート終了などをきっかけに、乗り換え先の選定に課題を抱えている企業も少なくない。中小企業向けグループウェアからの乗り換え事例から、そのヒントを解説する。
Excelは手軽で便利なツールである一方、Excelを使用した台帳管理や申請業務は時間や手間がかかるなど業務効率の面での課題が付き物だ。その解決策としてノーコードツールを活用した業務改善方法を、得られる効果・事例とともに解説する。
企業内での情報共有に不可欠なグループウェアだが、多機能であるが故に、製品選定に悩む企業は多い。そこで本資料では、選定時のポイントを詳しく解説しながら、国内外の主要なグループウェア製品を機能/コスト面で比較する。
フリーアドレスの導入によって、働き方の自由度が飛躍的に高まった一方で、制度そのものが形骸化し、本来の価値を引き出すことができていないケースも散見される。こうした現状をリーズナブルに解消するというソリューションが登場した。
サイバー侵害を特定して封じ込めるために平均で280日の日数がかかるともいわれる中、セキュリティ対策には進化が求められている。そこで注目されるクラウド型シングルプラットフォームを取り上げ、期待できるビジネス価値を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
Slackが実施しているバグ報奨金プログラムが認証トークン漏えいからユーザーを救った
