このページの本文へ

Slack、約1%のアカウントのパスワードをリセット

2019年07月19日 17時50分更新

文● 高橋佑司

  • この記事をはてなブックマークに追加
  • 本文印刷

 Slackは7月18日(米国時間)、2015年に発生したセキュリティー・インシデントに関する新たな情報に基づき、約1%のSlackアカウントのパスワードをリセットすると発表した。

 パスワードのリセット対象となるのは、以下の3つの条件を同時に満たすアカウント。それ以外の約99%のアカウントは今回のパスワードリセットの対象外となる。

  • 2015年3月以前に作成されたアカウント
  • 2015年3月以降一度もパスワードが変更されていないアカウント
  • シングルサインオン (SSO) プロバイダーを利用したログインが必須化されていないアカウント

 Slackでは2015年に、ユーザー名やパスワードなどを保管するプロフィール情報データベースを含むSlackのインフラが、権限のない個人により不正アクセスされた。

 その後Slackでは、影響を受けたことが確認された少数のSlackユーザーのパスワードをリセットすると同時に、インシデント是正処置を行ない、2要素認証などのセキュリティー予防対策を取り入れた。その後、インフラへの不正アクセスは一度も確認されていないとのこと。

 2019年になり、Slackバグ報奨金プログラムを通して、不正アクセスを受けた可能性があるSlackの認証情報についての報告が上がった。

 今回、報告にあがっていたメールアドレスとパスワードの組み合わせの一部が有効なものであることが確認されたため、これらのパスワードをリセットし、影響をうけたユーザーに対し謝罪と詳細を連絡。

 その後調査を続けた結果、不正アクセスが確認された認証情報はほぼ2015年のセキュリティー・インシデント時にSlackにログインしたアカウントのものであることが確認されたという。

 これに伴いSlackでは、2015年のインシデント時にアクティブだったアカウントのうち、SSOを利用しているか2015年3月以降にパスワードを更新したアカウントを除いてパスワードをリセット。なお、これらのアカウントへの不正アクセスがあった事実はなく、影響はないと判断されるとのこと。

 同社では本件に関し謝罪するとともに、ユーザーのアカウントとデータを守るために必要な措置として理解を求めている。

カテゴリートップへ