2015 年の Slack セキュリティインシデントにかかる新たな情報のご報告

Slack logo

Slack では、2015 年のセキュリティインシデントにかかる新たな情報に基づき、約 1 %の Slack アカウントのパスワードをリセットいたしますことをご報告いたします (当時発表された詳細説明はこちら)。パスワードのリセットの対象となりますのは以下 3 つの条件を同時に満たすアカウントとなります。

  • 2015 年 3 月以前に作成されたアカウント
  • 2015 年 3 月以降一度もパスワードが変更されていないアカウント
  • シングルサインオン (SSO) プロバイダーを利用したログインが必須化されていないアカウント

この条件に該当しない残り 99 %の「2015 年 3 月より後に作成された」または「2015 年 3 月以降パスワードを変更している」 Slack アカウントを保有する皆さまは、今回のパスワードリセットの対象外となりますので、このご報告はご参考までにご確認いただければと思います。

2015 年

2015 年、ユーザー名および復元不可能な方法 (ハッシュ化) で暗号化されたパスワード等を保管するプロフィール情報データベースを含む Slack のインフラが、権限のない個人により不正アクセスされました。この時アタッカーは、ユーザーがパスワードを入力する際に暗号化されていない状態のパスワードを獲得することを可能にするコードを埋め込みました。 

このインシデント発生後すぐ、Slack では影響を受けたことが確認された少数の Slack ユーザーのパスワードをリセットすると同時に、全ユーザーに対しパスワードのリセットの推奨を通知。それに加え、ただちにインシデント是正処置を行い、2要素認証などの多数のセキュリティ予防対策を取り入れました。この 2015 年の Slack を含む複数の企業が影響を受けたインシデント後、私達のインフラへの不正アクセスは一度も確認されていません。

2019 年

先日、Slack バグ報奨金プログラムを通して、不正アクセスを受けた可能性がある Slack の認証情報についての報告がありました。この種の報告はわりと日常的にあり、たいていマルウェアによるものか、他のサービスとのパスワードの使い回しによるもので、今回の報告も当初の段階ではそのケースであると思われました。

今回は、調査を初めてすぐに報告にあがっていたメールアドレスとパスワードの組み合わせの一部が有効なものであることが確認されたため、私達は即座にこれらの確認されたパスワードをリセットし、影響をうけたユーザーの皆さまにはお詫びと共に詳細をご連絡いたしました。その後も引き続き調査を続けるにつれ、不正アクセスが確認された認証情報はほぼ 2015 年のセキュリティインシデントの時に Slack にログインしたアカウントのものであることが確認されました。

現在

本日Slack では、2015 年のインシデントの時にアクティブだったアカウント (SSO を利用しているか 2015 年 3 月以降にパスワードが更新されたアカウントを除く) のパスワードをリセットいたします。これらのアカウントへの不正アクセスがあった事実はなく、影響はないと判断されます。あくまで予防措置ではありますが、皆さまのアカウントとデータを守り、安心してご利用いただくためには必要な措置であると、何卒ご理解いただけますと幸いです。今回のリセットによりユーザーの皆さまにはご迷惑をおかけすることになり、深くお詫びいたします。

よくある質問

Slack によってパスワードがリセットされた場合、どうしたらいいですか?

この度のパスワードリセットの対象となったアクティブアカウントの保有者の皆さまには、Slack より直接メールにて詳細をご連絡させていただいておりますので、そちらをご確認ください。パスワードのリセット方法に関しては、ヘルプセンターの以下のページからもご確認いただけます : https://get.slack.help/hc/ja/articles/201909068

自分のアカウントへのアクセス履歴はどうやって確認できますか?

以下リンクから個人のアカウントのアクセス履歴を確認、もしくは CSV 形式のレポートをダウンロードいただけますので、ご利用ください : https://my.slack.com/account/logs。有料プランをご利用のオーナーと管理者の皆さまは、ワークスペースのアクセスログの確認の方法を以下のヘルプセンターの記事でご確認いだだけます : https://get.slack.help/hc/ja/articles/360002084807

追加の質問がある場合の問い合わせ先を教えてください。

本記事に記載されている以外の内容についてのお問い合わせは、security@slack.com までご連絡ください。

アカウントのセキュリティを強化するために何をしたらいいですか?

ユーザーの皆さまには、2要素認証のご利用、コンピューターソフトウェアとウィルス対策ソフトを常に最新バージョンへ更新すること、そしてご利用の全てのサービスごとに異なるパスワードを新規に設定するかパスワード管理ツールのご利用を推奨いたします。

Slack is the collaboration hub, where the right people are always in the loop and key information is always at their fingertips. Teamwork in Slack happens in channels — searchable conversations that keep work organized and teams better connected.