米エバーノートは、Evernoteサービス全ユーザーのパスワードをリセットし、ユーザーにパスワードの再設定を依頼するブログを公開した(写真1)。外部から不正アクセスを受け、メールアドレスや暗号化されたパスワードの情報が漏洩した可能性があるためという。

 同社は、Evernoteサービスの保護された領域に対する組織的に不正アクセスを検知。この不正アクセスは、ユーザー名、メールアドレス、暗号化されたパスワードを含むユーザー情報へのアクセスに成功しており、これらの情報が盗まれた可能性がある。

 同ブログによれば、エバーノートは全パスワードについて一方向暗号化(ハッシュ化および、複数のハッシュ値を比較してパスワードを推察するレインボー攻撃を防ぐためのソルト処理)を施しており、その後の調査でも、ユーザーのコンテンツが外部からアクセス、変更、消去された形跡はなかったという。エバーノートは「ユーザーの皆様のデータを安全に保護する予防措置として」、全ユーザーのパスワードをリセットし、再設定を実施したとしている。

 Evernoteの会員がブラウザーからevernote.comにサインインすると、最初に自身のメールアドレスが表示され、新しいパスワードの入力が促される(写真2)。

 エバーノートはパスワード再設定に当たり、Webサービスのパスワードについて以下の注意書きをユーザーに示している。

  • 辞書に登場するような、予測しやすい言葉をパスワードに使用しない
  • 複数のサイトやサービスで、絶対に同じパスワードを使用しない
  • 電子メールの文中で「パスワードの再設定」を案内された場合は、絶対にメール内のリンクなどをクリックせず、該当サービスのサイトに直行する

米エバーノートのブログ