昨日、Evernoteを起動していたら、いきなり「パスワードが変更されました」とのメッセージが表示されました。パスワードの変更なんてした覚えもないのにと思ったら、これだったようです。
弊社のオペレーション・セキュリティチームは、Evernote サービスの保護された領域へ組織的に不正アクセスを試みたものと思われる不審なアクティビティを弊社ネットワーク上で検知し、それをブロックしました。
セキュリティ関連のお知らせ:Evernoteでのパスワード再設定のお願い|Evernote
まとめると
- 不正アクセスを試みた痕跡を発見
- Evernoteに保存された内容が閲覧・変更・消去された痕跡はなし
- ユーザ名・メールアドレス・暗号化されたパスワードが閲覧された
- けど、パスワードは暗号化されているので大丈夫、なはず…
- というわけなので、念のため全ユーザーのパスワードをリセットしておいたので、再設定よろしくね!
という事だそうで。
パスワード情報にアクセスはされたものの、Evernote で管理している全てのパスワードは一方向暗号化(技術的に言うとハッシュ化・ソルト処理)により保護されています。
セキュリティ関連のお知らせ:Evernoteでのパスワード再設定のお願い|Evernote
暗号化されているとはいうものの、これってどうなんでしょう。セキュリティー専門家のTwitterを見ても特に言及されていないようなので、ちと心配。EvernoteにGmailのメアドで登録し、Gmailと同じパスワードにしている人は要注意です。
最低限、Gmail(Googleアカウント)を使って各種サービスに登録している人は、Googleアカウントのパスワードと一緒にしちゃだめです。Googleアカウントには、Googleアカウントだけで使う専用パスワードにすべきです。EvernoteやDropboxのパスワードが、Googleアカウントのパスワードと一緒なんてのはもってのほかです。
しかしまぁ〜こういう事があると、やはりクラウドサービスに色々とセキュリティレベルの高いものを置いておくのも心配になってくるなぁ。便利なんだけど。