更新 2023 年 1 月 9 日
Slack は先日、Slack のコードリポジトリのサブセットに対する不正アクセスを含むセキュリティ問題を認識しました。ユーザーの皆さまへの影響はなく、必要なアクションもありません。この問題はすぐに解決されています。Slack はセキュリティ、プライバシー、透明性を非常に重要視しており、この問題の詳細を以下に公開します。
発生内容
2022 年 12 月 29 日、Slack の GitHub アカウントに対する疑わしいアクティビティがあるとの通知を受けました。調査の結果、限られた数の Slack 従業員トークンが盗まれ、外部でホストされている Slack GitHub リポジトリにアクセスするために悪用されたことが判明しました。また、脅威行為者は 12 月 27 日にプライベートコードリポジトリをダウンロードしたことも判明しました。ダウンロードされたリポジトリには、ユーザーの皆さまのデータ、ユーザーの皆さまのデータに対するアクセス手段、Slack のプライマリーコードベースは含まれていませんでした。
Slack の対応と調査
この問題の通知を受け、Slack は盗まれたトークンを直ちに無効化し、この問題がユーザーの皆さまに及ぼしうる影響について調査を開始しました。現時点までの調査では、脅威行為者は、プロダクション環境を含む Slack 環境の他の領域にはアクセスしておらず、他の Slack リソースにもユーザーの皆さまのデータにもアクセスしていないことが判明しています。Slack のコードおよびサービスへの影響もありません。また、Slack は予防措置として、関連するすべての認証情報をローテーションしました。
現在入手可能な情報から判断すると、今回の不正アクセスは、Slack に内在する脆弱性に起因するものではありませんでした。調査の結果、サードパーティベンダーのセキュリティが侵害されたことが判明しました。Slack は当該ベンダーと連携して認証情報のローテーションを行い、侵害発生後のトークンの安全性を確保しています。
Slack は調査を継続しながら、今後の不正アクセスについて監視を続けます。警戒態勢をさらに強化し、外部でホストされている Slack GitHub リポジトリを監視しています。また、Slack リポジトリへのアクセスに使用されるトークンが安全かつセキュアに保管されるよう、ベンダーおよびセキュリティパートナーと連携して取り組んでいます。
よくある質問
コードリポジトリとは何ですか?
コードリポジトリとは、ソフトウェアコードのライブラリを指します。リポジトリでは、コードそのものに加え、ドキュメンテーション、注記、ウェブページが保存され、変更内容が追跡されます。
どのような影響がありますか?
ユーザーの皆さまへの影響はなく、ユーザーの皆さま側で必要なアクションもありません。
追加の質問がある場合の問い合わせ先を教えてください。
ご質問がありましたら、feedback@slack.com までご連絡ください。