Slackは7月18日(米国時間)、2015年に発生したセキュリティー・インシデントに関する新たな情報に基づき、約1%のSlackアカウントのパスワードをリセットすると発表した。
パスワードのリセット対象となるのは、以下の3つの条件を同時に満たすアカウント。それ以外の約99%のアカウントは今回のパスワードリセットの対象外となる。
- 2015年3月以前に作成されたアカウント
- 2015年3月以降一度もパスワードが変更されていないアカウント
- シングルサインオン (SSO) プロバイダーを利用したログインが必須化されていないアカウント
Slackでは2015年に、ユーザー名やパスワードなどを保管するプロフィール情報データベースを含むSlackのインフラが、権限のない個人により不正アクセスされた。
その後Slackでは、影響を受けたことが確認された少数のSlackユーザーのパスワードをリセットすると同時に、インシデント是正処置を行ない、2要素認証などのセキュリティー予防対策を取り入れた。その後、インフラへの不正アクセスは一度も確認されていないとのこと。
2019年になり、Slackバグ報奨金プログラムを通して、不正アクセスを受けた可能性があるSlackの認証情報についての報告が上がった。
今回、報告にあがっていたメールアドレスとパスワードの組み合わせの一部が有効なものであることが確認されたため、これらのパスワードをリセットし、影響をうけたユーザーに対し謝罪と詳細を連絡。
その後調査を続けた結果、不正アクセスが確認された認証情報はほぼ2015年のセキュリティー・インシデント時にSlackにログインしたアカウントのものであることが確認されたという。
これに伴いSlackでは、2015年のインシデント時にアクティブだったアカウントのうち、SSOを利用しているか2015年3月以降にパスワードを更新したアカウントを除いてパスワードをリセット。なお、これらのアカウントへの不正アクセスがあった事実はなく、影響はないと判断されるとのこと。
同社では本件に関し謝罪するとともに、ユーザーのアカウントとデータを守るために必要な措置として理解を求めている。
