Evernoteに対して行われた不正アクセスと思われる不審なアクセスへの対策として全ユーザのパスワードを強制的にリセットするという、かなり大がかりな対応が突如行われた。
今回の対応では全Evernoteユーザのパスワードが強制的にリセットされているため、Evernoteサービスの利用を継続するためには、EvernoteのWebサイトからのパスワードの再設定が必要になり、パスワードの再設定を行うまでは、ログインに失敗しEvernoteが同期できない状態となるので注意が必要。
※このことがわからずに『ログインに失敗した』と困っているユーザが多数いる模様。
パスワードのリセットに関するEvernoteのお知らせは以下より。
セキュリティ関連のお知らせ:Evernoteでのパスワード再設定のお願い | Evernote日本語版ブログ
弊社のオペレーション・セキュリティチームは、Evernote サービスの保護された領域へ組織的に不正アクセスを試みたものと思われる不審なアクティビティを弊社ネットワーク上で検知し、それをブロックしました。
気になるEvernoteに保存した情報の漏洩については確認されていないとのこと。
弊社セキュリティ調査の結果、Evernote に保存されているコンテンツが外部からアクセス・変更・消失された形跡は確認されませんでした。また、Evernote プレミアムおよび Evernote Business のお客様の決済情報がアクセスされた形跡も確認されていませんのでご安心ください
但し、ユーザ名やアカウントに登録されたメールアドレス、暗号化されたパスワードへアクセスする事に成功した事が確認されたとのこと。
調査からは、アクセスを試みた人物(またはグループ)が、ユーザ名・Evernote アカウントに登録されたメールアドレス・暗号化されたパスワード等を含む Evernote のユーザ情報へアクセスすることに成功したことが明らかになっております。ただし、パスワード情報にアクセスはされたものの、Evernote で管理している全てのパスワードは一方向暗号化(技術的に言うとハッシュ化・ソルト処理)により保護されています。
暗号化された状態とはいえ、パスワードへのアクセスが可能だった事を受けて、Evernoteでは全ユーザのパスワードを再設定した。としている。
※上記のBlogの内容からは、Evernoteの全ユーザの情報にアクセスする事が可能となっていたのか、対象となっていたのは一部のユーザなのかなどの規模については不明。
パスワードの設定変更方法は以下。
■パスワードの再設定方法
以下のEvernoteのログインページよりログインを行うと、パスワード再設定を行うフローになる模様。
Evernoteのログインページ(Web)は以下。
https://www.evernote.com/Login.action
ログインページ(Evernote.com)
詳細な原因は不明だけれど、そもそもWebサイトからのログインに失敗する状態だったので『パスワードを忘れたら』のリンクからパスワード再設定用のメールをリクエストしてパスワード再設定を完了させた。
※問題無くWebサイトからパスワード変更が可能だった方も多数居るようで、Webサイトからログインできなかった理由は不明。
パスワードの設定変更後は、従来通りEvernoteを利用する事ができているけれど、攻撃者を行った対象者からアカウント名などのユーザ情報へのアクセスは可能になっていた。というのは不安。
EvernoteのBlogでは、パスワードの設定について以下のようにアナウンスを行っている。
この他にも、ご自分のデータが Evernote を含む Web サイト全般において危険に曝されるリスクを回避するうえで、重要な手順が何点かありますので下記ご参照ください。
・辞書に登場するような、予測しやすい言葉をパスワードに使用しない
・複数のサイトやサービスで、絶対に同じパスワードを使用しない
・電子メールの文中で「パスワードの再設定」を案内された場合は、絶対にメール内のリンクなどをクリックせず、該当サービスのサイトに直行する
Evernoteは今のところ、DropboxやGoogleアカウントが対応しているような携帯電話への確認用コードを送出するような二段階認証には非対応となっているけれど、機密性の高いデータを保存している事も多いと思うので、今後は二段階認証などへの対応も行って欲しいところ。
また、パスワードがリセットされた事によるログイン失敗時のダイアログなどなどからは、パスワードが強制的に変更された。というのが推測できるようにはなっていなかったので、この辺りは今後改善があると良いかなと…。
■ログイン失敗時(パスワードリセット前)のエラーメッセージ
今回のパスワード再設定はEvernoteの全ユーザに対して行われているため、影響範囲もかなり広く、またパスワードの再設定が完了するまではサービスが利用出来ない状態となるため、極めて大きな影響があり、混乱するユーザも多い事が予想されるけれど、パスワードの再設定のURLを正規のEvernoteサイト以外に誘導するなどのフィッシング被害にあわないように、くれぐれもご注意を。
※EvernoteのBlogにもその旨が記載されている。