Slack のロゴ

Slack セキュリティアップデート

Slack はセキュリティ、プライバシー、透明性を非常に重要視しており、先日発生した問題の詳細を公開します。

執筆者 : Slack’s Security Team2022年12月31日

更新 2023 年 1 月 9 日

Slack は先日、Slack のコードリポジトリのサブセットに対する不正アクセスを含むセキュリティ問題を認識しました。ユーザーの皆さまへの影響はなく、必要なアクションもありません。この問題はすぐに解決されています。Slack はセキュリティ、プライバシー、透明性を非常に重要視しており、この問題の詳細を以下に公開します。

発生内容

2022 年 12 月 29 日、Slack の GitHub アカウントに対する疑わしいアクティビティがあるとの通知を受けました。調査の結果、限られた数の Slack 従業員トークンが盗まれ、外部でホストされている Slack GitHub リポジトリにアクセスするために悪用されたことが判明しました。また、脅威行為者は 12 月 27 日にプライベートコードリポジトリをダウンロードしたことも判明しました。ダウンロードされたリポジトリには、ユーザーの皆さまのデータ、ユーザーの皆さまのデータに対するアクセス手段、Slack のプライマリーコードベースは含まれていませんでした。

Slack の対応と調査

この問題の通知を受け、Slack は盗まれたトークンを直ちに無効化し、この問題がユーザーの皆さまに及ぼしうる影響について調査を開始しました。現時点までの調査では、脅威行為者は、プロダクション環境を含む Slack 環境の他の領域にはアクセスしておらず、他の Slack リソースにもユーザーの皆さまのデータにもアクセスしていないことが判明しています。Slack のコードおよびサービスへの影響もありません。また、Slack は予防措置として、関連するすべての認証情報をローテーションしました。

現在入手可能な情報から判断すると、今回の不正アクセスは、Slack に内在する脆弱性に起因するものではありませんでした。調査の結果、サードパーティベンダーのセキュリティが侵害されたことが判明しました。Slack は当該ベンダーと連携して認証情報のローテーションを行い、侵害発生後のトークンの安全性を確保しています。

Slack は調査を継続しながら、今後の不正アクセスについて監視を続けます。警戒態勢をさらに強化し、外部でホストされている Slack GitHub リポジトリを監視しています。また、Slack リポジトリへのアクセスに使用されるトークンが安全かつセキュアに保管されるよう、ベンダーおよびセキュリティパートナーと連携して取り組んでいます。

よくある質問

コードリポジトリとは何ですか?
コードリポジトリとは、ソフトウェアコードのライブラリを指します。リポジトリでは、コードそのものに加え、ドキュメンテーション、注記、ウェブページが保存され、変更内容が追跡されます。

どのような影響がありますか?
ユーザーの皆さまへの影響はなく、ユーザーの皆さま側で必要なアクションもありません。

追加の質問がある場合の問い合わせ先を教えてください。
ご質問がありましたら、feedback@slack.com までご連絡ください。

この記事はお役に立ちましたか?

0/600

助かります!

ご意見ありがとうございました!

了解です!

ご意見ありがとうございました!

うーん、システムがなにか不具合を起こしてるみたいです。後でもう一度お試しください。

読み進める

コラボレーション

ビジネスを成功に導く優れたチーム文化を構築する 6 つの方法

従業員に目的を与え、目標達成に向けてチームの方向性を効果的にそろえましょう

開発者

ビルディングブロックで自動化を構築

ベータテストを終えた次世代プラットフォームが、いよいよ全開発者向けに展開

変革

カスタマーサポートでの Slack の活用方法 : Slack Community NYC のエキスパートからのヒント

カスタマーサポートに Slack を最大限活用する方法を、Slack のエキスパートがご紹介します。

コラボレーション

企業文化を強化する 10 のチームビルディング活動

チームの絆を深めるクリエイティブな活動でデジタルファーストな文化を構築