ニュース

米Evernoteがハッキング被害で全ユーザーのパスワードをリセット

〜Evernoteを騙るフィッシングやパスワードの使い回しによる被害に注意

 米Evernoteは3日、同社が大規模な不正アクセス行為の被害に遭い、さらなる被害拡大防止のため、全ユーザーのパスワードをリセットしたと発表。ユーザー自らによるパスワードを再設定するよう呼びかけている。

 Evernoteでは、「Evernoteに保存されたコンテンツに外部からアクセス・変更・削除された形跡は確認されていない」、「ユーザーの決済情報にアクセスされた形跡も確認されていない」と説明している。

 ユーザーはEvernoteの公式ブログの指示通りにウェブからパスワード再設定作業を行い、その後iOS/Androidアプリでパスワードを再入力する必要がある。公式ブログでは、ウェブサイトでのパスワード再設定方法、およびiPhoneやiPad、Android OS搭載デバイスからパスワード再設定を行う方法、新しいパスワードを選ぶ際に注意すべき点について説明されている。

 さらに、今後自分のメールアドレスに届くEvernote関連のフィッシングメールに十分注意する必要がある。

 Evernoteの発表によれば、現時点で判明している被害について、「調査からは、アクセスを試みた人物(またはグループ)が、ユーザー名・Evernoteアカウントに登録されたメールアドレス・暗号化されたパスワード等を含む Evernoteのユーザー情報へアクセスすることに成功した」としている。ただし、パスワードはハッシュ化した上で、解読しにくくするための文字列を付加する処理により保護されていたという。

 セキュリティー会社英Sophosでは「よい知らせと言えないのは、ハッカーが今のEvernoteの顧客ユーザー名と電子メールアドレスにアクセスできるということだ。この情報を悪用する方法を想像することは容易だ。例えば、ハッカーはEvernoteから発信されたと称するスパムメールをユーザーに送り、悪意のあるウェブサイトにだまして訪問させることができる」と指摘している。

 このため、今後Evernoteからと称するすべてのメールに対して、フィッシング詐欺なども想定して、本物かどうか確認する必要がある。特に、メールに記されているリンクはそのままクリックせず、セキュリティソフトなどで手動でリンク先アドレスを確認するなどの自衛策が必要となるだろう。

 また、Evernoteのアカウント登録で使用していたメールアドレスとパスワードの組み合わせを他のサイトでも利用していた場合は、他サイトのパスワードも合わせて変更しておいた方が安心だ。また、他サイトの併用については、クレジットカードを登録している決済処理を行うサイトや、ユーザーの多い大手サイトなどについては、ハッカーがログインを試みる可能性があるため、とくに注意する必要があるだろう。

(青木 大我 taiga@scientist.com)