ニュース

Slack、一部ユーザーのパスワードをリセット 2015年の不正アクセス被害の影響

 コミュニケーションツールを展開するSlackは18日、2015年に起こった不正アクセス被害について新たな問題が確認されたとして、Slackユーザーの約1%のアカウントのパスワードをリセットしたことを発表した。

 パスワードのリセット対象となるアカウントは以下の通り。

  • 2015年3月以前に作成されたアカウント
  • 2015年3月以降一度もパスワードが変更されていないアカウント
  • シングルサインオン(SSO)プロバイダーを利用したログインが必須化されていないアカウント

 同社では2015年3月に、ユーザー名やハッシュ化されたパスワードなどを保管するプロフィール情報データベースを含むSlackのインフラが、権限のない個人により不正アクセスされたことを発表。攻撃者は、ユーザーがログインする際に入力したパスワードを平文で取得するコードを挿入していた。

 影響を受けたユーザーのパスワードリセットを行い、2要素認証などのセキュリティ対策を取り入れることで対処したが、今回、同社のバグ報奨金プログラムを通じて、不正アクセスを受けた可能性があるSlackの認証情報について新たな報告があった。

 不正アクセスを受けた可能性があるSlackの認証情報の多くは、2015年のセキュリティインシデント時にSlackにログインしていたアカウントだったことが確認された。なお、これらのアカウントへの不正アクセスがあった事実はないという。

 Slackは、2要素認証の利用や、全てのサービスごとに異なるパスワードを設定するよう呼び掛けている。