写真1●パスワードの再設定を促すブログ
[画像のクリックで拡大表示]
写真2●新しいパスワードの入力を促す画面。ブラウザーにCookieが残っている場合、最初の項目に自身のメールアドレスが表示される
[画像のクリックで拡大表示]
米エバーノートは、Evernoteサービス全ユーザーのパスワードをリセットし、ユーザーにパスワードの再設定を依頼するブログを公開した(写真1)。外部から不正アクセスを受け、メールアドレスや暗号化されたパスワードの情報が漏洩した可能性があるためという。
同社は、Evernoteサービスの保護された領域に対する組織的に不正アクセスを検知。この不正アクセスは、ユーザー名、メールアドレス、暗号化されたパスワードを含むユーザー情報へのアクセスに成功しており、これらの情報が盗まれた可能性がある。
同ブログによれば、エバーノートは全パスワードについて一方向暗号化(ハッシュ化および、複数のハッシュ値を比較してパスワードを推察するレインボー攻撃を防ぐためのソルト処理)を施しており、その後の調査でも、ユーザーのコンテンツが外部からアクセス、変更、消去された形跡はなかったという。エバーノートは「ユーザーの皆様のデータを安全に保護する予防措置として」、全ユーザーのパスワードをリセットし、再設定を実施したとしている。
Evernoteの会員がブラウザーからevernote.comにサインインすると、最初に自身のメールアドレスが表示され、新しいパスワードの入力が促される(写真2)。
エバーノートはパスワード再設定に当たり、Webサービスのパスワードについて以下の注意書きをユーザーに示している。
- 辞書に登場するような、予測しやすい言葉をパスワードに使用しない
- 複数のサイトやサービスで、絶対に同じパスワードを使用しない
- 電子メールの文中で「パスワードの再設定」を案内された場合は、絶対にメール内のリンクなどをクリックせず、該当サービスのサイトに直行する
