Slack でワークスペースを BAN された話

こんにちはトリングです。先日、あるSlackのワークスペースから前触れ無く突然BAN(アカウント解除)されました。管理者からの予告や連絡も何も無く突如の出来事でした。
幸いな事に管理者が複数いるワークスペースだった事もあり、直ぐに別の管理者から強制解除された自分のアカウントを復活して貰う事が出来ました。
今回は突如特権を行使し自分のアカウントの解除作業を行った管理者について、特定に至るまでの経緯をまとめました。

結論

1．Slackのログからは誰が解除したか分からない。(※但しEnterpriseGridを除く)
2．課金(Billing)情報から管理者がどのユーザーを解除したのかは確認出来る。また解除の日付は分かるが時刻までは分からない。
3．管理者が複数人いる場合は、Webブラウザでのログインが無いかアクセスログを確認する。 https://●●●●●.slack.com/account/logs
これはデスクトップアプリおよびスマホアプリからはユーザー解除作業が行えないため。

ユーザー側からの視点

突如解除されたユーザー側からはどう見えているのでしょうか？
一般的な場合を例に挙げれば
・退職願いを提出したためアカウントを解除された
・プロジェクトが終了したのでアカウント解除に至った
という感じでしょうか。
これが突然解除された場合は
・スマホやPCのSlackアプリにてワークスペースのアイコンをクリックするとワークスペースアイコンが消える。
この時点でまずビックリします。続けて
・メールアドレスでのログインを試みた際に下記の様なメールが届きます。もちろんログインする事は出来ません。(笑)

そうだ同じメールアドレスで再登録を試みたらどうだろうか？と試してみても下記のエラーが表示されます。

と言う事でダメージに個人差は有るかと思いますが、「心の準備」も無くいきなりBANされると相当な精神的ダメージを負う事を体験しました。

管理者側からの視点

それでは管理者アカウントから解除した本人の特定は可能でしょうか？
利用中のSlackプランがEnterprise Gridの場合は監査ログが有るので特定が可能です。これがEnterprise Grid未満の場合は特定が難しい、と当初は思っていました。しかし今回、下記2つのポイントから絞り込む事が出来ました。

1．アカウント解除はブラウザ管理画面からのみ行える
現在「Slackアカウントの解除作業は、ブラウザから管理者画面にログインしなければ行えない」という制約条件が有ります。
つまり解除された時間帯の前後にブラウザ経由でSlackにログインしている管理者アカウントが無いかを確認すれば良い！という話になります。その結果、今回の一件に該当しそうな3名に絞り込む事が出来ました。

2．Slackの料金・お支払いの項目内「メンバーの変更」を確認する
これは今回、自分も初めて知ったのですが、メンバーの追加と削除の詳細については料金・お支払いメニューの項目内「メンバーの変更」から確認可能です。

上記まで進んだら、詳細を確認します。その結果・・・・。

という形で自分のアカウントを誰が解除したのか判明しました。
なお、自分で自分のアカウントを解除した場合は自分によって解除された表示となり。ユーザー自らがワークスペースを抜けた事を確認出来る様になっています。

大いなる力には大いなる責任が伴う

今回の一件で改めて感じたのは、我々システム管理者は大きな権限を持っており、その扱いには細心の注意を払わなければいけないということです。自分の権限で出来ることが全て「やって良いこと」だとは限りません。
LinuxのCLIで sudo コマンドを打つと次のようなガイダンスが表示されます。

あなたはシステム管理者から通常の講習を受けたはずです。
これは通常、以下の3点に要約されます:

#1) 他人のプライバシーを尊重すること。
#2) タイプする前に考えること。
#3) 大いなる力には大いなる責任が伴うこと。

極端な話、管理者権限を社長が持っていれば突然、部下をBANする事だって可能な訳です。
また今回の一件で上級職の人ほどメンタルトレーニング、アンガーマネジメントに努めている理由が少し分かった気がしました。
ムカつく発言や相手のアカウントを解除したい思いが有ったとしても、管理者権限を振りかざして、恣意的なアカウント削除などは絶対に行わない事をオススメします。
イタズラであろうが本気であろうが、恒久的であろうが一時的であろうが、アカウント解除された側のダメージと言うのは相当大きいものだと言うことを皆さん覚えておいて戴ければ幸いです。