2022 年 8 月 4 日、Slack は、ユーザーの皆さまがワークスペースの共有招待リンクを作成または取り消した際に発生したバグに対応するため、パスワードをリセットする旨を Slack ユーザーの約 0.5% に通知しました。ユーザーの皆さまがこれらのアクションのいずれかを実行した際、Slack はパスワードのハッシュ化されたバージョンをほかのワークスペースのメンバーに送信しました。このハッシュ化されたパスワードは、Slack クライアントには表示されないため、検出するには Slack のサーバーから送信される暗号化されたネットワークトラフィックを積極的にモニタリングする必要があります。このバグは、独立したセキュリティ調査機関により検出され、2022 年 7 月 17 日に Slack へ開示されました。このバグによる影響は、2017 年 4 月 17 日 〜 2022 年 7 月 17 日に共有招待リンクの作成または取り消しを行ったすべてのユーザーの皆さまに及びます。
セキュリティ調査機関からの報告を受け、Slack は原因となったバグを直ちに修正し、この問題がユーザーの皆さまに及ぼしうる影響について調査を開始しました。この問題により第三者がプレーンテキストパスワードを入手できたとは思えませんが、念のため、影響を受けたユーザーの皆さまの Slack パスワードをリセットしました。対象となるユーザーの皆さまには、再度ログインするために新しい Slack パスワードを設定していただく必要があります。
よくある質問
ハッシュ化されたパスワードとは何ですか?
パスワードのハッシュは、プレーンテキストパスワード自体とは異なり、データを安全に保存するための暗号技術ですが可逆性はありません。つまり、ハッシュからパスワードを復元することは現実的に不可能であり、第三者がハッシュを用いて本来のユーザーとしてログインすることはできません。Slack では、ソルト化という技術を使ってこれらのハッシュをさらに保護しています。
Slack によってパスワードがリセットされた場合、どうしたらよいですか?
この度のパスワードリセットの対象となった、アクティブなアカウントを持つユーザーの皆さまには、詳細を Slack より直接ご連絡させていただいておりますので、そちらをご確認ください。パスワードリセットについて詳しくは、ヘルプセンターの以下のページでもご確認いただけます : https://get.slack.help/hc/ja/articles/201909068。
自分のアカウントへのアクセス履歴はどのように確認できますか?
以下のリンクにアクセスして、個人のアカウントのアクセスログを確認したり、CSV 形式のレポートをダウンロードしたりすることができます : https://my.slack.com/account/logs。有料プランをご利用のオーナーと管理者の皆さまは、ワークスペースのアクセスログの確認方法について、以下のヘルプセンターの記事でご確認いだだけます : https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for-your-workspace。
追加の質問がある場合の問い合わせ先を教えてください。
本記事に記載されている以外の内容についてのお問い合わせは、feedback@slack.com までご連絡ください。
アカウントのセキュリティを強化するために何をしたらよいですか?
ユーザーの皆さまには、2要素認証のご利用、コンピューターソフトウェアとウィルス対策ソフトを常に最新バージョンへ更新すること、そしてご利用のサービスごとに異なるパスワードを新規に設定するかパスワード管理ツールのご利用を推奨いたします。
助かります!
ご意見ありがとうございました!
了解です!
ご意見ありがとうございました!
うーん、システムがなにか不具合を起こしてるみたいです。後でもう一度お試しください。