不正アクセスの被害にあったEvernoteが、全ユーザのパスワードを強制的にリセットを行った。という情報は以下エントリの通り。
Evernoteが全ユーザのパスワードを強制的にリセット実行/Webサイトからのパスワード変更が必須に | shimajiro@mobiler
パスワードリセットに関する通知が、Evernoteからメールで届いた。
という情報は割と速いタイミングでTwitter経由で教えて頂いていたけれど、自分宛にメールが届いたのは、パスワードのリセットが行われてから数日後の3/6(水) 8:45となっていた。
※なので、パスワード変更済みのアカウント宛には送付していないものと思っていて、忘れたころにメールが届いた。
■Everenoteから届いたメール内容(ヘッダ)
Evernoteがパスワードのリセットを行ったのは、日本時間の3/4(月)の深夜 〜 3/5(火)に時間が変わった頃の時間帯で、このしばらく後には『Evernoteメールが届いた』と言っているユーザを発見したものの、EvernoteのオフィシャルBlogでは『メールを送信した』という情報は公表されていない。(現時点でもコメントが無い。)
さらに、今回の不正アクセスに関する対応を通知しているEvernoteのBlogエントリの中では、
電子メールの文中で「パスワードの再設定」を案内された場合は、絶対にメール内のリンクなどをクリックせず、該当サービスのサイトに直行する
と記載されており、本来のサービス提供者では無い第三者からのメールによるパスワード再設定を促すフィッシングなどに引っかからないように注意が促されている。
※この注意喚起自体は、間違っていないと考えている。
『Evernoteからメールが届いた』というのも、Evernoteから公式にアナウンスが無い以上、本当にEvernoteから届いたメールなのかどうか、判別するのが難しい上に、Evernoteがアナウンスしているように、Evernoteに登録しているメールアドレスについては不正アクセスにより流出してしまっており、第三者が攻撃を加える目的でEvernoteになりすましてメールを送信していたとする場合、攻撃のリスクはかなり高かったんじゃないかと思う。
そんなことを思いながら、改めてEvernoteのBlogエントリを確認したところ、同じ趣旨の質問(Evernoteから送られた正規のメールか?という質問)がコメント欄にて行われていた。
全ユーザのパスワードを強制的にリセットする。というかなり大がかりな対応を行ったのは、それだけ重大な事故である。
ということの裏返しであるのは理解できるけれど、パスワードのリセット直後には、サイトトップにパスワードリセットに関するお知らせが無かったり(今はある)、Evernoteからメールを送っている事に関するアナウンスが無かったり(今も無い)と、パスワードリセット後のフォローアップについては後手後手になってしまった感は否めないかなと。
Evernoteでは、各OS向けにセキュリティ関連のアップデートを行っているので、今後もEvernoteの利用を続ける方はアプリケーションのアップデートをオススメ。
Android向けのEvernoteは以下より。
EvernoteiOS向けは以下より。
Evernote 5.2.3(無料)
カテゴリ: 仕事効率化, ユーティリティ
販売元: Evernote – Evernote(サイズ: 38.1 MB)
MacOS向けは以下。
Evernote 5.0.6(無料)
カテゴリ: 仕事効率化
販売元: Evernote – Evernote
サイズ: 32.3 MB
その他バージョンはEvernoteのWebサイトより。
アカウントひとつでたくさんのデバイスに対応。 | Evernote