ビジネス向けIT技術情報サイトIT Brewのシニアレポーター、トム・マッケイ氏は、所属していた米Gizmodoを2022年に退職した際、Slackアカウントの名前を「Slackbot」に書き換え、その後数か月間、偽SlackbotとしてこっそりアクセスしていたことをX(Twitter)で明かしました。
マッケイ氏は、このことについてGizmodoの親会社であるG/O Mediaが「何か月も発見も削除もできなかった」と述べています。
Slackbotとは、Slackユーザーの特定の投稿に対して自動的にレスポンスを返したり、リマインダーを知らせたりする機能を持つBotのこと。
条件や応答内容を設定してカスタマイズすることもでき、使い方次第で情報伝達を円滑にしたり、特定のユーザーが何度も同じ質問に回答したりする手間を省略できます。
特定の機能を果たすためのインターフェースですが、他の参加者と同じようにチャンネルに参加しており、メンションして指示を書き込むことで操作します。
ただ、あくまでボットであるため、Slackユーザーの多くは(自分に関係ない場合)Slackbotの投稿を特に注意深く見てはいないことでしょう。
マッケイ氏は、Gizmodoを離れる際に、自身のアイコンをSlackbotのものとほぼ同じ(眉毛と口もとの形を少し変えただけの)画像に変更し、名前も「Slackbot」に変えたと述べています。
ただ、Slackにはすでに本物のSlackbotが存在するため、そのままではSlackbotという表示名を設定できないはずです。この点に関してはマッケイ氏はタネを明かしていません。
しかしXユーザーのダニエル・ウェイ氏は ”o” の文字を、Unicodeのなかのほとんど同じ見た目の文字に置き換えることでこの問題が回避できることを指摘しました。
また、マッケイ氏はSlackbotが自動投稿する何かのTipsを装った、他愛もない内容の投稿も時折行っていたようです。
Xへの投稿に添付された会話のスクリーンショットを見る限り、元同僚たちが本当にこのいたずらに気づいていないのかはよくわかりません。どちらかと言えば、マッケイ氏の扮する偽Slackbotとのやりとりを楽しんでいるようにも見えます。
とはいえ、すでに部外者となっている人物のアカウントを削除したか確認せず、そのままアクセス可能な状態にしておくことは、当然ながら機密保護上のリスクにもなり得ます。
アクセス権の削除は表示名の目視確認とは無関係のはずですが、もともと確認のフローが甘く、本人はすでにSlackから退去したと勘違いした可能性もあります。このいたずらは、世の中のIT管理者にとっては、あまり笑える話ではないかもしれません。
※2月25日追記
ITコンサルタント企業Bouvetのサイトでは、社内フィッシングテストの例として「Slackbotになりすましてユーザーからパスワードを聞き出す」方法を紹介しています。この方法では、Slackbotの2文字目、小文字のエル ” l " を大文字のアイ " I " に書き換えて、見分けのつかない「SIackbot」という表示名を作成しています(マッケイ氏のXへの投稿におけるSIackbotの文字も、2文字めが小文字のアイ " I " になっていました)。