正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密性の高いシークレットまたはトークンのSlackボットユーザーOAuthトークンの漏洩

説明

応答本文に、SlackボットユーザーのOAuthトークンのパターンに一致するコンテンツが含まれていることが判明しました。Slackアプリの機能と権限は、リクエストするスコープによって管理されます。権限の完全なリストは、Slackのスコープに関するドキュメントに記載されています。このトークンにアクセスできる悪意のある攻撃者は、割り当てられた機能を実行できます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

漏洩したキーに関するセキュリティインシデントの処理に関する一般的なガイダンスについては、認証情報のインターネットへの公開に関するGitLabドキュメントを参照してください。

SlackボットユーザーのOAuthトークンを失効するには(注: これには、すべてのユーザーにアプリケーションの再認証をリクエストする必要があります):

  • Slackにサインインして、https://api.slack.com/appsにアクセスします
  • 識別されたトークンを持つアプリケーションを見つけて、名前を選択します
  • 左側のメニューで、「OAuth & Permissions」を選択します
  • 「Revoke All OAuth Tokens」までスクロールし、「Revoke tokens」を選択します
  • プロンプトが表示されたら、「Are you sure?」ダイアログで「Yes, I’m sure」を選択します
  • しばらくしてから、「OAuth Tokens」セクションまでスクロールして戻り、「Reinstall to XXX」を選択します。XXXはワークスペース名です

詳細については、OAuthに関するSlackのドキュメントを参照してください

詳細

ID集計CWEリスク
798.109いいえ798パッシブ