日経新聞は私物PCから“認証情報”流出、過去にはUberも なぜ「Slack侵害」が起きたのか:多要素認証(MFA)の必要性と落とし穴も考察
日本経済新聞社で発生したSlackへの不正アクセス。企業の管理が及ばない端末を起点とした攻撃の現実と、Slackを入り口にした新たな手口の脅威が改めて浮き彫りになっている。
日本経済新聞社は2025年11月4日、業務の一部で利用するビジネスチャットツール「Slack」に外部からの不正ログインがあり、従業員や取引先など計1万7368人分の情報が流出した疑いがあると発表した。従業員が私物として保有するPCがマルウェアに感染し、Slackの認証情報が流出して不正ログインにつながったとみられる。
同様に、コラボレーションツールを狙った認証情報窃取は国内外で相次いでいる。
私物PCから認証情報が流出
今回、日経新聞への不正アクセスでは以下の3つのステップが踏まれたとみられている。
- 私物PCのマルウェア感染
- 組織の管理が及ばない私物PCに侵入し、企業ネットワークの外側から認証情報を入手
- 認証情報の窃取
- マルウェア感染によってSlackの認証情報(ユーザー名、パスワード、場合によってはセッショントークン)を取得
- 正規ログインの再現
- 盗んだ認証情報を使い、正規のログイン手順を踏んで侵入
日経新聞が被害を把握したのは2025年9月で、パスワード変更などの初動対応を実施したという。流出した可能性がある情報は「氏名」「メールアドレス」「チャット履歴」で、計1万7368人分に上る。同社は「取材先や取材に関する情報の漏えいは確認されていない」と説明している。
Slackを入り口とした攻撃、過去にはUberも
Slack関連のインシデントは、海外では複数の大規模攻撃が確認されている。
2021年6月:Electronic Arts(EA)
攻撃者はCookieを用いてSlackに侵入後、本人を装い、ITサポート担当者をだまして多要素認証(MFA)トークンを入手。ゲームなどのソースコードを盗んだ。
2022年9月:Uber Technologies
攻撃者はダークWebで購入したとみられる認証情報を使用。社内システムのアカウントはMFAによって保護されていたが、ログイン要求を何度も送信することで従業員をだまし、最終的に承認されて不正アクセスを成功させた。攻撃者は、侵入したSlackに犯行声明を投稿した。
2022年12月:Slack Technologies
従業員のアクセストークンが盗まれ、GitHubの非公開コードリポジトリの一部に外部から不正にアクセスされる事態が発生した。
いずれも、Slackを入り口としており、認証情報の管理不備や漏えいを突くものだった。
Slackなどのコラボレーションツールのチャット履歴には、文脈と結び付いた個人情報が大量に含まれている。例えば従業員の実名や役職に加え、チャット履歴が流出すると、攻撃者は過去の会話内容を手掛かりに「請求書の送付」や「原稿確認」といった業務連絡を装い、なりすましや標的型攻撃(スピアフィッシング)を仕掛けやすくなる。
基本となる多要素認証(MFA)
こうしたSlack経由の攻撃に対する企業側の基本的な対策としては、まず「多要素認証」(MFA:Multi-Factor Authentication)の導入が挙げられる。
SlackをはじめとするSaaS(Software as a Service)型のツールは「どこからでもログインできる」という利便性を持つ一方で、認証情報が漏えいすると即座に組織内部の情報への不正アクセスにつながる恐れがある。
実際、NIST(米国立標準技術研究所)の電子認証に関するガイドライン「NIST SP 800-63B」では、一定のセキュリティレベルを満たすためには2つ以上の異なる要素を組み合わせる必要があるとして、MFAの利用を強く推奨している。
Slack Technologies自身も、セキュリティリスクを低減するためにはSSO(シングルサインオン)と組み合わせて2要素認証(2FA)を利用することが有効だと公式ページで明記している。
MFAの落とし穴も
ただし、MFAにも限界がある。「セッショントークン窃取」(すでにMFAを通過した状態のトークンの奪取)や、「MFA疲労攻撃」(連続してプッシュ通知を送りつけ、ユーザーが誤って承認するのを狙う)などの高度な攻撃手法には、MFAだけでは不十分だ。
これらの攻撃には、「セッショントークン有効期間の短縮」(盗まれたトークンが使える時間を短縮)や、「Microsoft Authenticator」のような認証アプリが対策として有効とされている。
コラボレーションツールが攻撃の入り口となる事例は今後も増加が予想される。認証情報の管理強化はもちろん、「正規ログインでも疑う」前提でのゼロトラスト型のセキュリティ設計が必要だ。特に、私物端末の業務利用に対しては、マルウェア感染のリスクを組織全体で共有し、技術的対策と従業員教育の両輪で対応しなければならないだろう。
関連記事
その不正ログイン対策は抜けるのか? 「突破されない」認証設計の10原則
2025年8月26日、ITmedia Security Week 2025 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「この設計、抜ける。―不正ログイン実行者が狙う“緩いポイント”―」と題して講演した。
パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
Proofpointは、悪意あるOAuthアプリケーションによる永続的クラウド侵害の実態を公開した。パスワード変更やMFA適用後も攻撃者のアクセスは継続し、4日間続いた実例も確認された。
ランサムウェア攻撃が相次ぐ今、100兆件超の兆候を分析したMicrosoftが10のセキュリティ対策を提言
Microsoftはサイバーセキュリティ動向に関する年次レポート「Microsoft Digital Defense Report 2025」を公開した。サイバー攻撃の現状、主要な標的、国家が関与する攻撃の脅威、AI活用の動向に焦点を当て、組織に求められる10の取り組みを紹介したものだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。