髙橋 望 3月2日、クラウドで情報が同期できるノートアプリ Evernote が攻撃を受け、登録者情報のユーザ名とメールアドレスと暗号化されたパスワードの一部が流出したことがわかりました。
- 初出:2013年3月3日 1時55分
- 追記:2013年3月3日 2時00分
これらの事態をうけ Evernote の代表は以下のようにコメントしています。
2月28日に Evernote のセキュリティおよびオペレーションチームが、悪意のある活動がサーバに対して行われていることに気がつき、それらの攻撃によって、ユーザ名、電子メールアドレス、暗号化されたパスワードが流出したことがわかりました。
同社の分析によると、ユーザがアップロードしている情報、支払いに関する情報(クレジットカードなどの情報)が流出しているという証拠は見つかっていない
筆者による意訳
Evernote のユーザができる対策としては
パスワードが複合化される恐れがあるため、簡単なパスワードを設定している人はパスワードを変更する(追記を確認してください)- 同社を騙(かた)るパスワードリセットを促すメールに注意する。特にメール文中にあるURLをクリックしない
- 複数のサイトにまたがって同一のパスワードを利用している場合はすべてのサイトのパスワードを変更する。
同社はパスワードの暗号化対策は強固であると主張しているものの、セキュリティを強化するさらなる対策を講じていると主張。また、複雑なパスワードを利用して、複数のサイトにまたがって同一のパスワードを利用することを避けるようにアナウンスしています。
なお、現在 Evernote のクライアントアプリケーションから情報の同期がしづらい(アカウントにログインしづらい)状態になっていることとの因果関係は不明であり (追記:パスワードがリセットされたようです)続報が待たれます。
情報元: Evernote hacked: Emails, encrypted passwords stolen – SlashGear
追記 2013年3月3日 2時00分
Evernote の公式アカウント(日本)がこの事態に対して、以下のような声明を示しました。
Evernoteへの不審なアクセスがあり、初期段階でブロックしました。皆様のデータを安全に保護するため、全ユーザーのパスワードをリセットする対策を講じました。手順に従いパスワードの再設定をお願いします→ trib.al/c6PxTu4
— Evernote Japanさん (@EvernoteJP) 2013年3月2日
「初期段階」とありますが、自アカウントの情報が流出したか否かは不明であり、パスワードリセットの措置はあくまでも Evernote においてのみ行われているもので、複数のサイトでメールアドレスとパスワードを使い回しているユーザはパスワードの変更をしたほうがいいと考えられます。
