MicrosoftやSlackの怠慢だ――セキュリティ専門家が切り込む“残念な現実”「Teams」や「Slack」が狙われている【第2回】

ユニファイドコミュニケーション(UC)ツールを狙った攻撃が活発化する中、セキュリティ専門家はUCツールベンダーの安全対策が不十分だと指摘する。どういうことなのか。

2023年10月15日 08時00分 公開
[Shaun SutnerTechTarget]

 「Microsoft Teams」(以下、Teams)やSlack Technologiesの「Slack」を中心としたユニファイドコミュニケーション(UC)ツールを狙った攻撃が後を絶たない。攻撃の活性化を受け、UCツールベンダーはどのような手を打っているのか。セキュリティ分野の専門家が指摘するのは、UCツールベンダーの対策の甘さだ。

MicrosoftやSlackなどUCツールベンダーが“甘さ”を露呈

 MicrosoftやSlack Technologiesは、攻撃を未然に防げるだけの十分なセキュリティ対策を講じていない。それどころか、攻撃につながりかねない事態を引き起こしている。Slack Technologiesは2023年1月、2022年12月に同社従業員のトークンが盗まれ、ソースコード共有サービス「GitHub」に侵入するために悪用されたことを認めた。

 セキュリティベンダーMimecast最高技術責任者(CTO)のデビッド・レシプール氏は「Microsoftも決してセキュリティが万全というわけではなく、セキュリティ強化にもっと努めなければならない」と述べる。同氏は前職でMicrosoftに勤務し、14年間にわたり同社でさまざまな仕事に携わってきた。「Microsoftの規模や技術力から考えると、セキュリティ対策は不十分だと言わざるを得ない」と、同氏はMicrosoftでの経験を踏まえて語る。

 レシプール氏によると、Microsoftを含めたUCツールベンダーは、セキュリティに関する情報提供にも改善の余地がある。「ユーザー企業には防御策を講じるための情報がない」(同氏)

 Microsoftは2023年8月、Teamsを狙ったサイバー犯罪集団Midnight Blizzardの攻撃活動について、同社公式ブログでエントリ(投稿)を公開した。だがそのエントリにある以外の情報について、同社はメディアからのコメント要求に応じていない。Midnight BlizzardはITや通信、製造業の企業の他、非政府組織(NGO)など約40組織に対して攻撃を実施した。ロシア政府の支援を受けた攻撃で得た情報は、スパイ活動に使われるとみられている。


 第3回は、TeamsとSlack以外にどのようなUCツールが攻撃者から狙われているかを取り上げる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news053.jpg

「docomo Ad Network」 高LTVユーザーのみに広告配信ができる顧客セグメントを追加
D2Cは顧客生涯価値が高くなることが見込まれるセグメントを抽出し、新たなセグメント情報...

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。