ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。
クラウドベースのコラボレーションアプリケーションとしてユーザーを増やしている「Slack」にセキュリティホールが見つかった。攻撃者が悪用すれば、ユーザーの認証トークンを盗み出して再利用し、ユーザーのプライベートチャンネルやデータにアクセスできてしまう。このセキュリティホールは何が問題なのか。そして認証トークンはなぜ危険にさらされたのだろうか。
Webセキュリティを手掛けるDetectifyのセキュリティ研究者であるフランス・ローゼン氏が発見したSlackのセキュリティホールは、攻撃者に他のSlackユーザーのチャットやメッセージ、ファイルコンテンツなどの情報へのアクセスを許してしまう。
この脆弱(ぜいじゃく)性を悪用すれば、攻撃者は悪意あるページを介して、Slackユーザーのアカウントにフルアクセスできたという。双方向通信プロトコル「WebSocket」を悪意あるサイトにリダイレクトし、その過程でユーザーのセッショントークンを盗み出す方法だ。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
Slackが実施しているバグ報奨金プログラムが認証トークン漏えいからユーザーを救った
