Slackが5年放置した脆弱性をアップデート 背景にはあるベンダーの存在が?
多くの企業の急速なテレワークシフトは「Slack」導入の追い風となった。しかし同時に、セキュリティとプライバシーに関する不安にも直面している。
COVID-19のパンデミックにおける多くの企業による急速なテレワークシフトは、ビジネスチャットツール「Slack」導入の追い風となった。大手企業が恒久的なハイブリッドワークへ移行した新しい環境では、職場とホームオフィス、そして長期出張時のテレワークなど、働く場所や時間の選択肢が広がった。
そのようなオフィス環境の変化によって、「拡大した周辺環境をどのように確保するか」「仕事のメッセージをほとんどSlackで送る顧客のプライバシーをどのように維持するか」が、企業の大きな懸念材料になっている。
“5年放置の脆弱性”解消の取り組みはなぜ始まった?
2022年9月の初め、Slackは「招待リンク」(invite link)と呼ばれる脆弱性によって0.5%の顧客のパスワードをリセットしなければならなかった。この脆弱性は、ワークスペースの招待リンクを作成、取消したユーザーのハッシュ化されたパスワードが他のユーザーに送信されてしまうというもので、5年ほど前から存在していた(注1)。
Slackのセキュリティ担当バイスプレジデントであるケビン・クラーク氏は、「顧客からのフィードバックやOktaといった企業の要望に基づいて、セキュリティ課題に対応する追加ツールの展開を開始した」と述べた。
Slackの広報担当者によると、OktaはSlackの監査UIパイロットの一員であり、両社は異常なセキュリティイベントに関して継続的に対話してきたという。
OktaのZero Trustチームのグループプロダクトマネジャーであるエリック・カーリンスキー氏は、Slackの発表で「現代の攻撃に対する防御は、全てのテクノロジーベンダーの積極的な参加を必要とし、顧客と運命共同体の考え方を取り入れなければならない」と語った。
Slackのアップデートの内容
2022年の初めに、SAML(Multi-Security Assertion Markup Language)アイデンティティーを導入し、最大12の異なるIDプロバイダーからSlackにサインインできるようになった。また、「セッションアノマリーイベント」と呼ばれるセキュリティアップグレードにより、セッションスイッチングネットワークや、トークンからのフィンガープリントのクローンなど、Slackが企業の監査ログに不規則なイベントフラグを立てられるようになった。
またSlackは、数百万人の従業員がテレワークに移行する中で、セキュリティとプライバシーのリスクの増加に対応するため、プラットフォームをより安全にするための3つのアップデートを2022年8月のブログ記事に発表した(注2)。
2022年9月には、ユーザー向けのノーコード監査ログ機能を開始し、管理者が異常なイベントを迅速に確認できるようにする予定だ(2022年8月31日時点)。このツールは従来API経由でのみ利用可能だったが、継続的な監査を実施する能力や、セキュリティ情報およびイベント管理ツールに費用を支払う能力がない企業を支援する。
© Industry Dive. All rights reserved.
関連記事
- 世界の40万社が危機に、SAP脆弱性のインパクトとは
SAP製品の重大な脆弱性が、パッチリリースから6カ月たった後も悪用されている。SAPは世界で約40万社に導入されているため、影響範囲の広さが憂慮されている。 - 個人データ保護強化のきっかけとなるか、Twitterの内部告発
消費者の個人データ保護を目指した「米国データプライバシー保護法」の制定が進んでいる。Twitterが消費者のオンラインプライバシーをなおざりにしてきたという内部告発は、法律の制定の追い風になる。Twitter以外にも個人データを広く収集する企業は数多くあり、日本の企業やユーザーにも影響がありそうだ。