Slackが5年放置した脆弱性をアップデート 背景にはあるベンダーの存在が？

多くの企業の急速なテレワークシフトは「Slack」導入の追い風となった。しかし同時に、セキュリティとプライバシーに関する不安にも直面している。

[David Jones，Cybersecurity Dive]

　COVID-19のパンデミックにおける多くの企業による急速なテレワークシフトは、ビジネスチャットツール「Slack」導入の追い風となった。大手企業が恒久的なハイブリッドワークへ移行した新しい環境では、職場とホームオフィス、そして長期出張時のテレワークなど、働く場所や時間の選択肢が広がった。

　そのようなオフィス環境の変化によって、「拡大した周辺環境をどのように確保するか」「仕事のメッセージをほとんどSlackで送る顧客のプライバシーをどのように維持するか」が、企業の大きな懸念材料になっている。

“5年放置の脆弱性”解消の取り組みはなぜ始まった？

　2022年9月の初め、Slackは「招待リンク」（invite link）と呼ばれる脆弱性によって0.5％の顧客のパスワードをリセットしなければならなかった。この脆弱性は、ワークスペースの招待リンクを作成、取消したユーザーのハッシュ化されたパスワードが他のユーザーに送信されてしまうというもので、5年ほど前から存在していた（注1）。

　Slackのセキュリティ担当バイスプレジデントであるケビン・クラーク氏は、「顧客からのフィードバックやOktaといった企業の要望に基づいて、セキュリティ課題に対応する追加ツールの展開を開始した」と述べた。

　Slackの広報担当者によると、OktaはSlackの監査UIパイロットの一員であり、両社は異常なセキュリティイベントに関して継続的に対話してきたという。

　OktaのZero Trustチームのグループプロダクトマネジャーであるエリック・カーリンスキー氏は、Slackの発表で「現代の攻撃に対する防御は、全てのテクノロジーベンダーの積極的な参加を必要とし、顧客と運命共同体の考え方を取り入れなければならない」と語った。

Slackのアップデートの内容

　2022年の初めに、SAML（Multi-Security Assertion Markup Language）アイデンティティーを導入し、最大12の異なるIDプロバイダーからSlackにサインインできるようになった。また、「セッションアノマリーイベント」と呼ばれるセキュリティアップグレードにより、セッションスイッチングネットワークや、トークンからのフィンガープリントのクローンなど、Slackが企業の監査ログに不規則なイベントフラグを立てられるようになった。

　またSlackは、数百万人の従業員がテレワークに移行する中で、セキュリティとプライバシーのリスクの増加に対応するため、プラットフォームをより安全にするための3つのアップデートを2022年8月のブログ記事に発表した（注2）。

　2022年9月には、ユーザー向けのノーコード監査ログ機能を開始し、管理者が異常なイベントを迅速に確認できるようにする予定だ（2022年8月31日時点）。このツールは従来API経由でのみ利用可能だったが、継続的な監査を実施する能力や、セキュリティ情報およびイベント管理ツールに費用を支払う能力がない企業を支援する。

出典：Slack enhances platform security amid rapid expansion and heightened risk（Cybersecurity Dive）

注1：Slack resets passwords en masse after invite link vulnerability

注2：多層防御 : Digital HQ を保護する 3 つのセキュリティ新機能