Evernoteに対して外部から明らかに不審と思われるアクセスがあったことから、有償・無償問わずEvernote利用者全員のパスワードがリセットされた。最近アクセスしていないのであれば、いますぐアクセスしてパスワードの再設定を行おう。

2月にもTwitterで25万アカウントに影響のあると思われる不正アクセス被害が公表された。25万人といえ、相当数になるが、今回のEvernoteのケースでは、何と5000万アカウントに影響した。5000万人に無駄な操作を行わせるというのがすでに被害と言えば被害になるかもしれない。

このように、ここのところ人気のあるクラウドやSNS系サービスに対して不正アクセスを行おうとする悪い輩が増えてきている。

こうしたクラウドサービスでは、セキュリティが確保されていることが利用の最低条件になっているわけで、情報漏えい被害が出ていないとはいえ、こうも不正アクセスが増えると、大事なデーターをクラウドなどのネットワークサービス上に置いておくことが不安になりつつある、、本来ならネット上にデーターを置いて、どこからでも自由に(セキュリティが確保された状態で)アクセスできるハズなのに、なんだか本末転倒な気がする。

Evernoteの中の人(Evernoteチーム)によると各ユーザーのデータは安全だが、パスワードなどのファイルにアクセスされた形跡があるという。ただパスワードに関しては、「一方向暗号化(ハッシュ化・ソルト処理)により保護されており」容易に解読はできないのだそうだ。とはいえ念には念を入れるということで、安全のために全ユーザーのパスワードがリセットされた。

Evernoteにアクセスしてパスワードをサクっと変更して終わりにするのではなく、自分の利用している数多のネットサービスのパスワード設定なども見直した方がいいだろう。

■総当たりしていけばいつかは正しいパスワードにたどり着く
今回のEvernoteの不審なアクセスでは、暗号化されたパスワードなどのユーザー情報へアクセスされたという。
通常、パスワードは暗号化されて保存されており安全だ。その暗号化された物を解析するのはすぐには困難だ。しかし、暗号化されているとはいえデータさえあれば、総当たり(ブルートフォース)で当たって行けば、いつかは解析できてしまう。そうした可能性を考慮してパスワードを全リセするのは当然の対応と言える。

ほかにも問題なのは、ユーザーのアカウント情報にアクセスされた形跡があるという点。Evernoteはアカウント名にメールアドレスを使用している。メールアドレスも流出した可能性が高い。到達性のあるメールアカウントなわけで、以降スパムメールが増えることが予想される。

Evernoteのパスワード変更告知ページ


■メアド=アカウントIDに潜む危険性
メールアドレスをアカウント名にしているサービスはEvernoteだけではない。GmailなどもSNS関連やアンケートサイト、ポイントサイト、Amazonなどは、軒並みメールアドレスがIDとして利用されている。さらに個別にパスワードを設定するのが面倒という人も多く、多くのネットサービスで同じメアド、同じパスワードという人も多いのではないだろうか。これは言語道断だ。

万一、パスワードを各サービスで同じにしている場合、パスワードさえ解析できれば、Evernoteと同じアカウント名、パスワードでアクセスできてしまう。一般的に、パスワードは各サービスごとに違うパスワードにすることが大原則だ。筆者はパスワードを書いた紙を後生大事に財布内にひそませている。

実際はWebブラウザに覚えさせているという人がほとんどだろう。パスワードを複雑にすればするほど再ログインする際などに面倒な作業が増えてしまう。そのため、自分が覚えやすいルールでパスワードを設定している人も多いと思う。

たとえば覚えやすい法則でパスワードを設定している人、Evernoteのパスワードであれば「Evernote#Password%1234」などと、文字的には長くしているが、わかりやすいパターンの人は、Dropboxのパスワードは「Dropbox#Password%1234」としている可能性が高い。定期的に記号部分を入れ替えればパスワードの再設定も楽だ。

このパターンをパスワード解析ツールに入れられてパターンマッチングで検索されるとアウトだったりする。そして1つのIDとパスワードが判明してしまうと、芋づる式に別のサービスのIDとパスワードが解析されてしまうことがある。

あとは片っ端からネットサービスにアクセスして、そのID(メアド)とパスワードを入力しまくってデーターを抜かれてしまう。このようにEvernoteから漏れた情報を注意深く解析すれば、他のアカウントにアクセスするヒントを与えてしまうことになるのだ。

■自分だけにしかわからないパスワードを設定すべし
クラウドやネットサービスのIDとパスワードは、そのサービスが続く限り自分が死んでしまった後でも有効なままだったりする。死後に見せたくないデーターをクラウド上に上げているような人は、自分にだけしかわからないパスワードを設定しておくことをおススメしたい。

上倉賢 @kamikura [digi2(デジ通)]

Evernote日本語ブログ「セキュリティ関連のお知らせ」

ITライフハック
ITライフハック Twitter
ITライフハック Facebook

デジ通の記事をもっと見る
米国先行発売のSurface、国内投入へではたして、どれほどのヒットとなるか
月額1,000円から使えるOffice マイクロソフトがOffice 365の最新版を発表
Google Play非対応だっていいじゃない! 選択肢が増え多様化するAndroidタブレット市場
ONKYOがAndroidタブレットに参入 1万円を切るAndroidタブレットを投入
最後のMD機器は3月に出荷終了! MD機器を買う最後のチャンス

EVERNOTE プレミアムパック 3年版
EVERNOTE プレミアムパック 3年版 [CD-ROM]