カスタムボットの無効化とチームのセキュリティ

概要

2015年12月23日未明、その時点以前にアカウントが解除されていたユーザーによって作成されたカスタムボットの無効化を実施いたしました。これは、解除されたユーザーが所属していたワークスペースのコンテンツの安全確保を目的としたものです。

カスタムボットとは、ワークスペース内に存在する人間ではないユーザーのアプリケーションのことです。メンバーは、他の人間と同様に、このカスタムボットとやり取りすることができます。カスタムボットは、人間のユーザーにより、Slack ワークスペースのその他のインテグレーションと同じように設定されます。この設定をした人間のユーザーが解除された場合、そのカスタムボットも同様にワークスペースから解除され、ワークスペースとそのコンテンツへアクセスできなくなります。しかし、バグレポートを受け調査したところ、無効化されるべきカスタムボットの無効化が正しく行われていない場合があることが判明しました。類似するアクティビティに関してシステムを監査した結果、他のワークスペースに所属するカスタムボットの一部が無効化されず、有効化されたままになっていることが分かりました。

このバグを利用してアクセス権がないはずのメッセージを確認した (さらには、このバグを認識していた) 人物が存在したという確証はありませんが、存在しなかったと断言して見過ごすことはできないと判断しました。Slack はセキュリティに対して非常に真摯に取り組んでいるため、対象のボットを即座に無効化するとともに、影響があると思われるすべてのワークスペースに通知をいたしました。

 

影響を受けたワークスペース数

Slack ワークスペース全体の約0.05%に当たるチームにて、解除されたユーザーが作成したカスタムボットが未だ有効であることが確認されました。それらのカスタムボットは無効化され、影響を受けたワークスペースへはその旨を通知しております。

 

問題発覚のきっかけ

Slack はユーザーからバグ発見のご報告により、この問題を認識しました。Slack ではバグ奨励金プログラムに積極的に取り組み、ユーザーからの報告を奨励しています。(詳細 :  https://slack.com/report-vulnerability )

 

バグ認識からワークスペースへの報告までに要した時間

Slack では、この問題を認識して以降、事実の正確性を確保した上でできるだけ早く連絡することを目標にして、影響を受けるであろうワークスペースの究明に地道な努力を続けています。本件に関しては、12月18日金曜日夕刻にユーザーからバグの報告を受けてすぐに調査を開始し、その結果、 Slack 全体でのカスタムボットインテグレーションの監査を実施しました。2015年12月21日月曜日深夜に監査を完了し、その後36時間以内に、影響を受けたワークスペースにご連絡をさせていただきました。

 

解除されたユーザーが利用可能だったコンテンツの種類

解除されたユーザーが、カスタムボットがアクセス権を持つコンテンツにアクセスした可能性は完全には否定できません。しかし、アクセスが技術的に可能だとしても、このバグを利用してアクセス権がないはずのメッセージを確認した (さらには、このバグの発生そのものを認識していた) 人物が存在したという確証はありませんが、存在しなかったと断言して見過ごすことはできないと判断しました。

 

ボットを含むインテグレーションの安全性を監視するための Slack のポリシー

App ディレクトリに登録されている Slack アプリに関しては、カスタマーエクスペリエンスチームとポリシー監督官が協働で見直しをおこなっています。App ディレクトリに登録される前の早い段階で各アプリをテストし、OAuth scope を厳しく審査しています。ユーザーがアプリに関して問題や懸念点を発見した場合は、 App ディレクトリから報告することができます。

カスタムボットに関しては、解除されたユーザーが、適切に無効化されなかったカスタムボットを通じてアクセス可能になってしまうという状況をもたらした問題に対処しました。さらにセキュリティを強化するために、ワークスペースの管理者はワークスペースの設定を変更して、ワークスペースにカスタムボットを追加できるユーザーを制限することができます。

関連記事

最近チェックした記事