2015年のアカウント流出に関する新情報「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か

2015年に不正アクセスの被害を受けた「Slack」の提供元が、この事件に関して新情報が得られたと発表した。その結果、特定の条件に合致するアカウントのパスワードをリセットする対策を講じた。

[Jonathan Dame，TechTarget]

　Slack Technologiesは2019年7月18日、ユーザー数万人のパスワードをリセットした。2015年に起きたメッセージングサービス「Slack」への不正アクセス被害が、想定よりも重大だったことが判明したためだという。

　パスワードリセットの対象は、以下を全て満たすアカウントだ。

• 2015年3月以前にアカウントを作成した
• 同月以後パスワードを一度も変更していない
• シングルサインオンを設定していない

　これらは「2015年の不正アクセスで、情報が流出した」とSlack Technologiesが推測したアカウントに当たる。同社はこれらのユーザーを全体の約1％と見積もっているが、Slackのアクティブユーザーが1日当たり1000万人を超えることを前提とすると、対象は10万人以上に上る見通しだ。

事件の概要

　Slackは2015年2月、約4日間にわたって不正アクセスの被害を受けた。当時Slack Technologiesはユーザー名、電話番号、コミュニケーションツール「Skype」のIDといったアカウント情報が流出したことを認めた。一方で「パスワードは暗号化されており、攻撃者には使えない」と説明していた。

　不正アクセスの期間中、攻撃者はSlackにログインしたユーザーが平文で入力したパスワードを収集するプログラムを仕掛けていた。Slack Technologiesは不正アクセスについて説明した2015年のブログ記事にはこの情報を記載せず、「不審な挙動が検出されたため『極めて少数の』アカウントのパスワードをリセットした」と記していた。

　今回の発表によると、流出したアカウントについて最近になって情報が寄せられ、それが間違いなくSlackのアカウント情報だったことをSlack Technologiesが即座に確認したという。さらに詳しく調べた結果、流出した認証情報の大部分は、「2015年の不正アクセス期間中にSlackにログインしたアカウント」のものだったことが分かった。

併せて読みたいお薦め記事

Slackの運用実態

• Slackで発生した「12時間以上の大規模障害」を振り返る
• Slackが「1日当たり1000万人のユーザー」を実現できた理由
• Slackで本当に大丈夫？　大規模障害で高まる信頼性への懸念

さまざまなコラボレーションツール

• Slackユーザーが「Microsoft Teams」へ乗り換えたくなる4つの比較ポイント
• Slackから「Microsoft Teams」へ移行したくなる理由と、従業員を説得する方法

被害者は語る

　Slackユーザーのカール・ゴットリーブ氏は2019年6月26日、自身のパスワードが流出したとSlack Technologiesから告げられた。同社の説明では、第三者が匿名で、同氏のメールアドレスと平文のパスワードの組み合わせを同社に提供したという。