Slack パスワードがリセットされたユーザーへ:ハッシュ露出が生じた結果です

Slack Resets Passwords After a Bug Exposed Hashed Passwords for Some Users

2022/08/06 TheHackerNews — Slack は、ワークスペースの共有招待リンクの作成/取消の際に、塩漬けのパスワード・ハッシュが露出するという欠陥が発見されたことで、全体の 0.5% 相当のユーザーのパスワードをリセットするという措置を取ったと発表した。8月4日に Slack は、「ユーザーが、これらのアクションのいずれかを実行すると、Slack 上の他のワークスペースのメンバーに対して、自分のパスワードのハッシュ化されたバージョンが送信されていた」と警告で述べている。

ハッシュ化とは、あらゆる形式のデータを固定サイズの出力 (ハッシュ値またはハッシュと呼ばれる) に変換する暗号化技術を指す。 また、ソルト化とは、ハッシュ処理に追加のセキュリティ層を追加し、ブルートフォース攻撃に耐えられる設計のことを指す。


Salesforce 傘下の Slack は、2019年9月の時点で 1200万人以上のデイリー・アクティブ・ユーザーを報告する企業に成長したが、パスワードの保護に使用する確なハッシュ・アルゴリズムを明らかにしてこなかった。

このバグは、無名の独立系セキュリティ研究者から警告を受けた、2017年4月17日〜2022年7月17日に共有招待リンクを作成/取消した、すべてのユーザーに影響を与えたと言われている。

ハッシュ化されたパスワードは、どの Slack クライアントからも参照できないため、この情報にアクセスするには、Slack サーバーから発信される暗号化されたネットワーク・トラフィックを、積極的に監視する必要があったことは指摘に値する。

Slack は、「この問題のために、誰かが平文パスワードを入手できたと考える理由はない。しかし、念のため、影響を受けたユーザーの Slack パスワードをリセットした」と述べている。

さらに、同社は、このインシデントに際して、Slack アカウントを乗っ取りの試みから保護する手段として 2FA をオンにして、このオンライン・サービス専用のパスワードを作成するよう、ユーザーに助言している。

思いもよらぬタイミングで、パスワード・リセットなどがかかるとドキッとしますが、この Slack の問題は念のためというレベルのものとのことです。このような、何らかの問題が発生したときには、強制的な対処が取られる方が良いですね。似たような話としては、6月に WordPress Plugin の強制アップデートというのもあったようです。なお、Slack に関連するトピックとしては、2021年11月の「Slack/Teams/Zoom などによる攻撃面積の拡大を理解する」と、12月の「Slack/Teams/Zoom などによる攻撃面積の拡大を理解する」がありました。よろしければ、ご参照ください。

%d bloggers like this: