Slackの新機能「コネクト」が非Slackユーザーにまで嫌がらせし放題だと判明して速攻で修正

現地時間2021年3月24日、Slackが非Slackユーザーともダイレクトメッセージをやりとりできる新機能「Slack コネクト」をリリースしました。この機能はメールアドレスを介してダイレクトメッセージを送受信できるという有料版向けの機能ですが、実質的に「Slackのサーバーから任意のメールを送り放題」という嫌がらせに活用できることが判明し、公式は同機能を修正しています。

Slack pledges update to “Connect DM” after realizing harassment exists | Ars Technica
https://arstechnica.com/information-technology/2021/03/slack-promises-to-update-easy-to-abuse-connect-dm-feature/

Slack quickly removes message invites in its new DM feature over harassment concerns - The Verge
https://www.theverge.com/2021/3/24/22348743/slack-connect-dm-abuse-harassment-disable-message-invite-response

Slackが新たにリリースした「Slack コネクト」は、メールアドレスと同封メッセージを入力して送信するだけで、指定したチャンネルへの招待メールを送信できるという、社外の人ともコラボレーションを手軽に始められるという有料版向けの新機能。なお、オプトイン(初期設定ではオフ)の機能であるため、利用には管理者側で設定を有効化する必要があります。

以下の「Slack コネクトをはじめる」を読むと、この新機能について理解できます。

Slack コネクトを始める | Slack
https://slack.com/intl/ja-jp/resources/using-slack/setting-up-a-shared-channel

このSlack コネクトの問題は、「嫌がらせし放題」だという点。上記の通り、Slack コネクトは入力したメールアドレスに招待メールを送信するという機能ですが、同封メッセージにどのような内容を入力してもOKだったため、嫌がらせのメッセージを送信することが可能。さらに招待メールの送信元は「[email protected]」となるため自動フィルタリングも対象外という、非常に悪用しやすい機能でした。

この嫌がらせ問題は、同機能のリリース直後にユーザーから指摘されて発覚しました。一方、SlackはSlack コネクトを2020年10月時点で発表していたため、「約半年間も嫌がらせできる可能性に気がつかなかったのか？」という批判を浴びています。

すでにSlackは同封メッセージを自由入力できる仕様を改め、定型文のみが同封されるという仕様に変更。「声を上げてくれた全ての人に感謝します」と発表しています。