MicrosoftやSlackの怠慢だ――セキュリティ専門家が切り込む“残念な現実”「Teams」や「Slack」が狙われている【第2回】

ユニファイドコミュニケーション(UC)ツールを狙った攻撃が活発化する中、セキュリティ専門家はUCツールベンダーの安全対策が不十分だと指摘する。どういうことなのか。

2023年10月15日 08時00分 公開
[Shaun SutnerTechTarget]

 「Microsoft Teams」(以下、Teams)やSlack Technologiesの「Slack」を中心としたユニファイドコミュニケーション(UC)ツールを狙った攻撃が後を絶たない。攻撃の活性化を受け、UCツールベンダーはどのような手を打っているのか。セキュリティ分野の専門家が指摘するのは、UCツールベンダーの対策の甘さだ。

MicrosoftやSlackなどUCツールベンダーが“甘さ”を露呈

 MicrosoftやSlack Technologiesは、攻撃を未然に防げるだけの十分なセキュリティ対策を講じていない。それどころか、攻撃につながりかねない事態を引き起こしている。Slack Technologiesは2023年1月、2022年12月に同社従業員のトークンが盗まれ、ソースコード共有サービス「GitHub」に侵入するために悪用されたことを認めた。

 セキュリティベンダーMimecast最高技術責任者(CTO)のデビッド・レシプール氏は「Microsoftも決してセキュリティが万全というわけではなく、セキュリティ強化にもっと努めなければならない」と述べる。同氏は前職でMicrosoftに勤務し、14年間にわたり同社でさまざまな仕事に携わってきた。「Microsoftの規模や技術力から考えると、セキュリティ対策は不十分だと言わざるを得ない」と、同氏はMicrosoftでの経験を踏まえて語る。

 レシプール氏によると、Microsoftを含めたUCツールベンダーは、セキュリティに関する情報提供にも改善の余地がある。「ユーザー企業には防御策を講じるための情報がない」(同氏)

 Microsoftは2023年8月、Teamsを狙ったサイバー犯罪集団Midnight Blizzardの攻撃活動について、同社公式ブログでエントリ(投稿)を公開した。だがそのエントリにある以外の情報について、同社はメディアからのコメント要求に応じていない。Midnight BlizzardはITや通信、製造業の企業の他、非政府組織(NGO)など約40組織に対して攻撃を実施した。ロシア政府の支援を受けた攻撃で得た情報は、スパイ活動に使われるとみられている。


 第3回は、TeamsとSlack以外にどのようなUCツールが攻撃者から狙われているかを取り上げる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news074.jpg

ニップンと刀が協業 マーケティングノウハウで成熟市場を拡大へ
ニップンと刀は「ニップン × 刀 協業発表会」を開催し、協業を通じた両社の取り組みとそ...

news197.png

広告運用自動化ツール「Shirofune」がMicrosoft広告の改善機能を実装
Shirofuneは広告運用自動化ツール「Shirofune」に改善カード機能を追加。これにより、キ...

news192.jpg

インテージ、「YouTube Select」「YouTube Shorts」における態度変容調査を提供開始
広告効果測定サービス「Brand Impact Scope」をバージョンアップし、サンプルサイズと計...