「Slack」「Teams」「ChatGPT」で脆弱性続出ひと事ではない被害に備えるには：いつも使っているツールにセキュリティの死角

SlackやMicrosoft Teams、ChatGPTといったツールに関するセキュリティ事案が発生した。事案の概要と、企業のセキュリティ対策に役立つ記事を紹介する。

≫ 2025年11月12日 05時00分公開

日経新聞で起きたSlackの不正ログインから何を学ぶ？

併せて読みたいお薦め記事

人間を標的にしたリスクは増加傾向に

　日本経済新聞社は2025年11月4日、同社が業務の一部で利用しているSlackに、外部からの不正なログインがあったと発表した。Slackに登録されていた氏名やメールアドレス、チャット履歴など1万7368人分の情報が漏えいした可能性がある。

　本件は、日本経済新聞社の従業員の私物PCがマルウェアに感染し、Slackの認証情報が窃取されたことによって発生した。攻撃者はこの認証情報を使ってSlackのワークスペース（組織単位の大規模グループ）に不正アクセスし、従業員や取引先担当者の氏名、メールアドレス、チャット履歴といったデータを流出させた。

　今回の流出は、認証手段そのものを狙う攻撃の危険性を改めて浮き彫りにした。正規のものを装ったSlackメッセージを使って、フィッシング耐性のある強固な認証を利用させず、脆弱（ぜいじゃく）な認証手段にエンドユーザーを誘導する手口も確認されている。

重要になる“フィッシング耐性のある認証”

「Okta」を使うな――攻撃者による“偽招待”の危険

Microsoft Teamsの脆弱性でメッセージ改ざんや幹部のなりすましが可能に

　セキュリティベンダーCheck Point Researchは2025年11月4日（イスラエル時間）、Microsoft Teamsに存在する4件の重大な脆弱性を発見したことを報告した。脆弱性を悪用することで、メッセージの改ざん、通知の偽装、幹部へのなりすましが可能となる。具体的には、「編集済み」ラベルを表示させずに送信後のメッセージを改ざんする、通知の送信元を偽装する、プライベートチャットの会話タイトルを変更する、通話の発信者名を偽るといった内容だ。

　Microsoftはこれらの問題に対処するため、音声や映像メッセージ関連の修正などを複数回に分けて実施した。この問題は、世界中の企業が利用するUCツールの信頼性と安全性に直接関わる重大な事案だ。

　このように、UCツールの脆弱性は企業のコミュニケーションの安全性に影響を及ぼす。かつては文法ミスなどで判別しやすかったフィッシングメールも、AI技術の進展によってさらに巧妙化している。AI技術の力で不自然さが薄れたフィッシングメールにはどのように対抗すればいいのか。以下の記事は、フィッシング攻撃の進化とそれに対抗するためのポイントを説明している。

狙いはあなたの認証情報

“文章力がすごい”AI型フィッシングメールに対抗するための「最先端の防御策」

ChatGPTの脆弱性が個人情報の漏えいにも

　セキュリティベンダーTenableは2025年11月5日（米国時間）、ChatGPTに7件の重大な脆弱性が存在することを明らかにした。これによって、数百万人規模のエンドユーザーがプライバシー侵害や意図しない操作を犯す危険性にさらされる可能性がある。

　この脆弱性は、ChatGPTや同ツールのAI検索機能「SearchGPT」がWebコンテンツを処理する方法に起因する。攻撃者は、ブログのコメント欄や改ざんされた検索結果、悪意を持って細工されたURLを使って、ChatGPTに不正なプロンプトを挿入できてしまう。この脆弱性を悪用した主な攻撃手法は以下の通りだ。

信頼されているWebサイトを介した間接的なプロンプト挿入
悪意あるURLをクリックさせるワンクリック攻撃
エンドユーザーの操作なしで機密情報が外部に送信されるゼロクリック攻撃

　Tenableは2025年4月、脆弱性についてOpenAIに報告した。しかし、Tenableの発表時点で複数の問題が未解決のままであり、大規模言語モデル（LLM）における継続的なセキュリティ課題と、企業がAIチャットbotを導入する際の慎重な管理体制の必要性を浮き彫りにしている。

　こうした脆弱性は、生成AIツール全般におけるセキュリティリスクの一端に過ぎない。AIモデルやその運用体制には、データ流出からソーシャルエンジニアリングに至るまで多様なリスクが存在する。以下の記事は、それらを網羅的に紹介している。

生成AIを巡るリスクと対処法

生成AIで「情報漏えい」や「罰金」も　最悪の事態を招きかねない6つのリスク

TechTargetジャパントップセキュリティ