Jeff Atwood
Sep 6, 2019 • 2 min read
2014年半ばから2018年1月まで、DiscoursはSlackを社内チャットツールとして使用していました。
2015年2月、Slackはセキュリティインシデントを起こし、「不審なアクティビティ」が確認されたアカウントに通知を行いました:
調査の一環として、ごく少数のSlackアカウントに影響を与える不審なアクティビティを検出しました。影響を受けたと思われる個々のユーザーおよびチームオーナーには通知を行い、そのセキュリティチームと詳細を共有しています。パスワードのリセットについて直接ご連絡を差し上げた場合、またはチームアカウントにおける不審なアクティビティについてお知らせを受けた場合を除き、必要な情報はすべてこのブログ投稿に記載されています。
当時、私たちのSlackアカウントに関して不審なアクティビティの通知は受けていませんでした。2019年7月、Slackは更新情報を投稿し、重要な新情報を公開しました:
2015年、不正アクセスを行った人物がSlackの一部のインフラストラクチャに侵入しました。その中には、ユーザー名と不可逆的に暗号化(「ハッシュ化」)されたパスワードを含むユーザープロフィール情報を保存したデータベースも含まれていました。攻撃者はさらに、ユーザーがその時点で入力した平文パスワードを取得できるコードを埋め込みました。
…
最近、バグバウンティプログラムを通じて、侵害された可能性のあるSlackの認証情報に関する情報が寄せられました。この種の報告は比較的よくあることで、通常はマルウェアやサービス間でのパスワードの使い回しが原因であり、今回もそのケースだと考えていました。
私たちは直ちに、報告されたメールアドレスとパスワードの組み合わせの一部が有効であることを確認し、それらのパスワードをリセットしたうえで、影響を受けたユーザーに対して対応内容を説明しました。しかし、さらに多くの情報が得られ調査が進むにつれて、侵害された認証情報の大部分が、2015年のセキュリティインシデント時にSlackにログインしていたアカウントのものであると判断しました。
私たちのSlackワークスペースは2018年1月に完全に削除されており、それ以降Slackはいかなる形でも使用していません。私たちは、かつてのSlackワークスペースに関する潜在的な侵害についてSlackから通知を受けていませんでした。
約3日前、ある人物から連絡があり、その人物はDiscourseの特定の非管理職チームメンバーのSlackチャットログの抜粋を提供してきました。該当するログの期間は2015年7月から2017年3月にわたるものです。
Slackへのアクセス自体は、Discourseのシステムへのアクセスをまったく意味しないことをご注意ください。私たちは、この人物が提供した古いSlackチャットログおよびそのログに記載されていた認証情報を詳細に分析しました。
Slackチャットログの中で、まだ有効であった認証情報は1件のみ確認されました。それは、外部HTTPpingモニタリングに使用していたDigital Oceanのドロップレットに関するものでしたが、すでに積極的には使用していませんでした。このドロップレットはDiscourseシステムへの内部アクセス権を持っていませんでした。私たちは古いドロップレットを削除し、再構築しました。
この人物から提供されたSlackログの分析に基づき、ホスティングのお客様へのリスクは低く、Discourseの公開コードベースにリスクはないと判断しています。
しかし、念には念を入れて、以下の対応を行いました:
- 発見から24時間以内に、エンタープライズホスティングのすべてのお客様に直接かつ非公開でご連絡し、このブログ投稿の草稿をお送りしました。
- 種類を問わず、Discourseのすべての内部認証情報が2018年1月以降にローテーションされていることを確認しました。
- 私たちのホスティング環境において、4週間使用されていないDiscourse APIキーを削除するようにしました。
また、現在のベータリリースであるDiscourse 2.4に向けて計画されていたセキュリティ関連の2つの機能の実装を前倒しすることにしました:
- 未使用のAPIキーは、6ヶ月間使用されなかった場合に常に削除されます。
- Discourseインスタンス内の機密情報が2年間ローテーションされていない場合、管理者に自動的にリマインダーを送信します。
ご不明な点がございましたら、team@discourse.orgまでお気軽にご連絡ください。
このインシデントについてお詫び申し上げます。今後のセキュリティ管理をさらに改善するための教訓として、今回の出来事を真摯に受け止めてまいります。
原文はこちら:
Good Loopでは、Discourseのセルフホスティングを安価で提供しています。開発元であるCDCK社の協力のもと、公式ブログ記事の翻訳・公開など、日本での普及にも努めています。