MicrosoftやSlackの怠慢だ――セキュリティ専門家が切り込む“残念な現実”：「Teams」や「Slack」が狙われている【第2回】

ユニファイドコミュニケーション（UC）ツールを狙った攻撃が活発化する中、セキュリティ専門家はUCツールベンダーの安全対策が不十分だと指摘する。どういうことなのか。

[Shaun Sutner，TechTarget]

　「Microsoft Teams」（以下、Teams）やSlack Technologiesの「Slack」を中心としたユニファイドコミュニケーション（UC）ツールを狙った攻撃が後を絶たない。攻撃の活性化を受け、UCツールベンダーはどのような手を打っているのか。セキュリティ分野の専門家が指摘するのは、UCツールベンダーの対策の甘さだ。

MicrosoftやSlackなどUCツールベンダーが“甘さ”を露呈

併せて読みたいお薦め記事

連載：「Teams」や「Slack」が狙われている

• 第1回：同僚が犯罪者？　TeamsやSlackの“あれ教えて”攻撃の危ないわな

Microsoft製品を安全に利用するには

• 「Microsoft製品の脆弱性」に備える“公式お墨付き”の対策とは
• Microsoft 365のメール暗号化を“無意味“にする脆弱性　その危険性とは

　MicrosoftやSlack Technologiesは、攻撃を未然に防げるだけの十分なセキュリティ対策を講じていない。それどころか、攻撃につながりかねない事態を引き起こしている。Slack Technologiesは2023年1月、2022年12月に同社従業員のトークンが盗まれ、ソースコード共有サービス「GitHub」に侵入するために悪用されたことを認めた。

　セキュリティベンダーMimecast最高技術責任者（CTO）のデビッド・レシプール氏は「Microsoftも決してセキュリティが万全というわけではなく、セキュリティ強化にもっと努めなければならない」と述べる。同氏は前職でMicrosoftに勤務し、14年間にわたり同社でさまざまな仕事に携わってきた。「Microsoftの規模や技術力から考えると、セキュリティ対策は不十分だと言わざるを得ない」と、同氏はMicrosoftでの経験を踏まえて語る。

　レシプール氏によると、Microsoftを含めたUCツールベンダーは、セキュリティに関する情報提供にも改善の余地がある。「ユーザー企業には防御策を講じるための情報がない」（同氏）

　Microsoftは2023年8月、Teamsを狙ったサイバー犯罪集団Midnight Blizzardの攻撃活動について、同社公式ブログでエントリ（投稿）を公開した。だがそのエントリにある以外の情報について、同社はメディアからのコメント要求に応じていない。Midnight BlizzardはITや通信、製造業の企業の他、非政府組織（NGO）など約40組織に対して攻撃を実施した。ロシア政府の支援を受けた攻撃で得た情報は、スパイ活動に使われるとみられている。

---

　第3回は、TeamsとSlack以外にどのようなUCツールが攻撃者から狙われているかを取り上げる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。