Slack、1％に相当するアカウントのパスワードをリセット

Slackは7月18日、2015年のセキュリティインシデントにかかる新たな情報に基づき、約1％のSalckアカウントのパスワードをリセットしたことを発表した。

パスワードのリセットの対象となっているアカウントは下記の通り：

• 2015年3月以前に作成されたアカウント
• 2015年3月以降一度もパスワードが変更されていないアカウント
• シングルサインオン (SSO) プロバイダーを利用したログインが必須化されていないアカウント

この条件に該当しない残り99%の「2015年3月より後に作成された」または「2015年3月以降パスワードを変更している」 Slack アカウントを保有する場合、今回のパスワードリセットは対象外となっている。

2015年の不正アクセスおよび今回の措置の詳細

事の発端は、2015年にユーザー名および復元不可能な方法 (ハッシュ化) で暗号化されたパスワード等を保管するプロフィール情報データベースを含むSlackのインフラが、権限のない個人により不正アクセスされたことがきっかけ。

その際、対象ユーザーのパスワードはリセットし、全ユーザーに対しパスワードのリセットの推奨を通知。だちにインシデント是正処置を行い、2要素認証などの多数のセキュリティ予防対策を取り入れた。

では、今回なぜパスワードのリセットが実施されたかと言うと、先日、Slackバグ報奨金プログラムを通して、不正アクセスを受けた可能性があるSlackの認証情報についての報告があったから。

調査を初めてすぐに報告にあがっていたメールアドレスとパスワードの組み合わせの一部が有効なものであることが確認されたため、即座にこれらの確認されたパスワードをリセット。

これらのアカウントへの不正アクセスがあった事実はなく、影響はないと判断され、あくまで予防措置ではあるが、Slackは「皆さまのアカウントとデータを守り、安心してご利用いただくためには必要な措置」と理解を求めている。