2019年08月14日 05時00分 公開
特集/連載

2015年のアカウント流出に関する新情報「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か

2015年に不正アクセスの被害を受けた「Slack」の提供元が、この事件に関して新情報が得られたと発表した。その結果、特定の条件に合致するアカウントのパスワードをリセットする対策を講じた。

[Jonathan Dame,TechTarget]

関連キーワード

Slack | 不正アクセス | セキュリティ


画像

 Slack Technologiesは2019年7月18日、ユーザー数万人のパスワードをリセットした。2015年に起きたメッセージングサービス「Slack」への不正アクセス被害が、想定よりも重大だったことが判明したためだという。

 パスワードリセットの対象は、以下を全て満たすアカウントだ。

  • 2015年3月以前にアカウントを作成した
  • 同月以後パスワードを一度も変更していない
  • シングルサインオンを設定していない

 これらは「2015年の不正アクセスで、情報が流出した」とSlack Technologiesが推測したアカウントに当たる。同社はこれらのユーザーを全体の約1%と見積もっているが、Slackのアクティブユーザーが1日当たり1000万人を超えることを前提とすると、対象は10万人以上に上る見通しだ。

事件の概要

 Slackは2015年2月、約4日間にわたって不正アクセスの被害を受けた。当時Slack Technologiesはユーザー名、電話番号、コミュニケーションツール「Skype」のIDといったアカウント情報が流出したことを認めた。一方で「パスワードは暗号化されており、攻撃者には使えない」と説明していた。

 不正アクセスの期間中、攻撃者はSlackにログインしたユーザーが平文で入力したパスワードを収集するプログラムを仕掛けていた。Slack Technologiesは不正アクセスについて説明した2015年のブログ記事にはこの情報を記載せず、「不審な挙動が検出されたため『極めて少数の』アカウントのパスワードをリセットした」と記していた。

 今回の発表によると、流出したアカウントについて最近になって情報が寄せられ、それが間違いなくSlackのアカウント情報だったことをSlack Technologiesが即座に確認したという。さらに詳しく調べた結果、流出した認証情報の大部分は、「2015年の不正アクセス期間中にSlackにログインしたアカウント」のものだったことが分かった。

被害者は語る

 Slackユーザーのカール・ゴットリーブ氏は2019年6月26日、自身のパスワードが流出したとSlack Technologiesから告げられた。同社の説明では、第三者が匿名で、同氏のメールアドレスと平文のパスワードの組み合わせを同社に提供したという。

ITmedia マーケティング新着記事

news091.jpg

インターネット広告に関するユーザー意識 8割のユーザーが情報活用に不安――JIAA調査
ユーザーのインターネットメディア・広告への意識、情報取得活用への意識、業界が取り組...

news098.jpg

BeautyTech関連アプリは浸透しているのか?――アイスタイル調べ
BeutyTech関連アプリがこの1年で浸透し始めたことが明らかになりました。

news094.jpg

日本国内に住む中国人女性のSNS利用実態――アライドアーキテクツ調査
在日中国人女性464人に聞いたSNSの利用状況と、SNSを通じて行われる情報提供の実態につい...