特集/連載
「Slack」がセキュリティホールをわずか5時間で修正、その秘策とは?:大事なのは「多くの技術者をその気にさせる」こと
ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。
クラウドベースのコラボレーションアプリケーションとしてユーザーを増やしている「Slack」にセキュリティホールが見つかった。攻撃者が悪用すれば、ユーザーの認証トークンを盗み出して再利用し、ユーザーのプライベートチャンネルやデータにアクセスできてしまう。このセキュリティホールは何が問題なのか。そして認証トークンはなぜ危険にさらされたのだろうか。
Webセキュリティを手掛けるDetectifyのセキュリティ研究者であるフランス・ローゼン氏が発見したSlackのセキュリティホールは、攻撃者に他のSlackユーザーのチャットやメッセージ、ファイルコンテンツなどの情報へのアクセスを許してしまう。
この脆弱(ぜいじゃく)性を悪用すれば、攻撃者は悪意あるページを介して、Slackユーザーのアカウントにフルアクセスできたという。双方向通信プロトコル「WebSocket」を悪意あるサイトにリダイレクトし、その過程でユーザーのセッショントークンを盗み出す方法だ。
併せて読みたいお薦め記事
拡大するSlack導入現場
- 「Slack」はオフィス電話を終わらせるか――次世代コラボツールの影響を見る
- 「Slack」が変えたのは仕事だけじゃない、UC市場“破壊”の可能性も
- 「Slack Enterprise Grid」は今までのSlackとどう違う? 気になる機能を紹介
認証を巡るセキュリティリスク
Copyright © ITmedia, Inc. All Rights Reserved.