Slackが危ない 便利なコラボツールに潜むワナ

Slackは社内コミュニケーションツールとして広く使われているものの、メールと比較するとサイバー攻撃に対する警戒が薄い。気軽な会話だけでなく重要な情報も流れているため危険だ。

[畑陽一郎，キーマンズネット]

　社内のコミュニケーションツールとして、「Slack」が人気を集めている。2023年時点で全世界に約2000万人のアクティブユーザーがいるほどだ。電子メールと比較すると、迅速にコミュニケーションを取ることができるため、関係者からのフィードバックを得やすく、ビジネスが円滑に進みやすい。多様な働き方にも適したコミュニケーションツールで、テレワークとの相性も良い。

　企業組織の内外でのコミュニケーションを円滑にできる「Slack Connect」によって、ベンダーやパートナーともチャットで情報をやりとりできる。

Slackはおいしい標的

　だが、Slackの会話には企業の財務や製品、経営に関する内容などビジネスの重要な部分が含まれる。パブリックチャネルの議論でも機密性の高いデータが流れる。その一方で、従業員側には油断がある。

　メールはフィッシングやマルウェアの危険性があると考えられており、セキュリティ意識向上トレーニングを実施する企業もある。だが、Slackにはそのようなものが少ない。

　攻撃者は常に狙いやすく利益の大きいターゲットを探している。メールのセキュリティが向上するにつれて、コミュニケーションツールとして勢いのあるSlackがターゲットと見なされ始めた。

　もちろん、Slackが安全でないプラットフォームだというわけではない。通信は暗号化され、アクセス制御を設定できる。しかし、メッセージの暗号化では防ぐことができないリスクが存在する。

Slackを狙う攻撃とは

　Slack経由で始まった最近の攻撃を分析すると、攻撃者がメールと似た攻撃戦術を展開していることが分かる。そして、成功例が増えるにつれて、攻撃を継続する可能性が高くなる。Slackのリスクと、組織を守るためにできることは何だろうか。

　Slackに向けたセキュリティ防御ソリューションを展開するAbnormal Securityによれば、同社がこのセキュリティソリューションを発表した際、顧客から「面白そうだが、攻撃者はどうやってSlackを狙うのか」という問い合わせを受けたという。

　Enterprise Strategy Groupが2023年4月に発表した調査結果によると、89％の組織がSlackを含むコラボレーションアプリケーションに対する攻撃を少なくとも1回は経験したと報告している（注）。52％はメールとSlackなどのアプリケーションの両方を含むマルチチャネル攻撃に対処していた。

注：ESG Survey: The Freedom to Communicate and Collaborate

　しかし、この調査ではメッセージングアプリケーションを最も脆弱（ぜいじゃく）なコラボレーションプラットフォームだと考える組織は、10社に1社に過ぎない。半数近くがメールを最も脆弱なものと考えていることとは対照的だ。

　Abnormal Securityによれば、このような結果は2つの潜在的な問題のいずれかを示唆しているという。1番目は管理者がSlackのアクティビティーに対する重要な可視性を持っていないことだ。つまりメールとは異なり、ユーザーや管理者が十分に監視されていない。

　2番目は他の多くの生産性プラットフォームと同様に、セキュリティチームが主な管理者ではない。大規模な企業で、強固なセキュリティチームがあり、きめ細かい役割分担を正当化できるのであれば別だが、そうでない組織では管理すべきところが管理できていない可能性がある。

攻撃の事例から分かること

　管理が不十分なことは最近の攻撃事例からも分かる。いずれもSlackの通信の暗号化は防御に役立っておらず、管理者が見るべきところを見ていないことが被害を大きくした。

　ダークWebで販売されていたセッションCookie（クッキー）を使用した攻撃者が2021年6月、Electronic ArtsのSlackテナント（プラットフォーム）でアクティブなSlackセッションにアクセスし、管理者をソーシャルエンジニアリングによってだまして、企業ネットワークに侵入した。その後、IT部門にSlackメッセージを送り、ユーザーのメールアカウントの多要素認証（MFA）をリセットするよう求めた。これによってゲームのソースコードなどが盗み出された。

　2022年9月15日には、UberのSlackテナントが侵害された結果、盗まれたデータの公表に至ったことをUberが発表した。

　さらに2022年9月21日、Rockstar GamesのSlackテナントが侵害された。盗みだされた認証情報によって、同社の未発売の主力タイトル「グランド・セフト・オート6」のゲームデータを含む内部Slackチャネルにアクセスを許してしまった

　これ以外にも社内の重要な情報の漏えいなどさまざまな攻撃が予想できる。

　攻撃者がSlackを使用して組織内に侵入する場合であれ、不幸にもダークWebで盗まれたセッションCookieを利用して侵入経路とする場合であれ、非常に現実的な脅威だと言えるだろう。

多段階のアプローチでSlackを保護する

　サイバー攻撃からSlackを保護するには、多段階のアプローチが必要だ。Slackで脅威を探す際には、3つの角度から検討する必要がある。

• あるユーザーに対して、通常とは異なる認証やセッションが与えられていないか
• ユーザーがSlackの管理者に昇格したなど、ユーザー権限が変更されたことがあるか
• 企業のSlackにアクセスできるユーザーまたはサードパーティーの共同作業者が、不審な、または悪意のあるメッセージを送信していないか

　これは認証情報を悪用するタイプのサイバー攻撃では一般的な防衛手法だ。だが、Slackを守る際にも役立つ。これらのイベントがいつ発生するかは分からないが、侵害が始まり、社内の重要データに「横移動」が始まるまでの最初の防衛策になる。

　具体的にはこうだ。例えば、あるユーザーが東京のオフィスからSlackセッションを開始し、10分後にそのユーザーが福岡のオフィスからもサインインした場合、問題があるだろう。このようなイベントは危険な兆候だ。さらに福岡からのサインインが悪意があると分かっているIPアドレスを使っていたり、ドメインや各種識別子から異常だと分かっている場合は、メールのアカウント侵害と同じように対応しなければならない。

　Slackに対する脅威を検知するための可視性が常に重要だ。Slackを監視し、保護するためのソリューション導入を検討しなければならないだろう。