現地時間2021年3月24日、Slackが非Slackユーザーともダイレクトメッセージをやりとりできる新機能「Slack コネクト」をリリースしました。この機能はメールアドレスを介してダイレクトメッセージを送受信できるという有料版向けの機能ですが、実質的に「Slackのサーバーから任意のメールを送り放題」という嫌がらせに活用できることが判明し、公式は同機能を修正しています。
Slackが新たにリリースした「Slack コネクト」は、メールアドレスと同封メッセージを入力して送信するだけで、指定したチャンネルへの招待メールを送信できるという、社外の人ともコラボレーションを手軽に始められるという有料版向けの新機能。なお、オプトイン(初期設定ではオフ)の機能であるため、利用には管理者側で設定を有効化する必要があります。
以下の「Slack コネクトをはじめる」を読むと、この新機能について理解できます。
Slack コネクトを始める | Slack
このSlack コネクトの問題は、「嫌がらせし放題」だという点。上記の通り、Slack コネクトは入力したメールアドレスに招待メールを送信するという機能ですが、同封メッセージにどのような内容を入力してもOKだったため、嫌がらせのメッセージを送信することが可能。さらに招待メールの送信元は「feedback@slack.com」となるため自動フィルタリングも対象外という、非常に悪用しやすい機能でした。
この嫌がらせ問題は、同機能のリリース直後にユーザーから指摘されて発覚しました。一方、SlackはSlack Connectを2020年10月時点で発表していたため、「約半年間も嫌がらせできる可能性に気がつかなかったのか?」という批判を浴びています。
すでにSlackは同封メッセージを自由入力できる仕様を改め、定型文のみが同封されるという仕様に変更。「声を上げてくれた全ての人に感謝します」と発表しています。