Evernote、再発防止に向け二要素認証導入へ:不正アクセスを受けて計画前倒し
米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、二要素認証を導入する計画を明らかにしたと米メディアが伝えている。
米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、再発防止のために二要素認証を導入する計画を明らかにした。米メディアが3月5日に伝えた。
米InformationWeekによると、Evernoteの広報は「以前から全ユーザー向けのオプションとして年内に二要素認証を導入する計画があった。今回、この計画の実施を早めることにした」と電子メールで説明している。
不正アクセスを受けていたことはEvernoteが3月2日のブログで明らかにした。何者かがEvernoteのアカウントに関連付けられたユーザー名、メールアドレス、暗号化されたパスワードなどの情報にアクセスしたという。一方で、ユーザーが保存したコンテンツがアクセスされたり、有料サービス利用者の決済情報が流出した形跡はないとしている。
Evernoteが保存しているパスワードは一方向暗号化によって保護されているという。この暗号化対策は確実だと同社は強調する一方で、慎重を期すためとして全ユーザーにパスワードのリセットを促した。
(3月7日修正)これについてInformationWeekは、EvernoteがMD5の暗号化アルゴリズムを使っていたとの報道があると伝えた。Ars Technicaの報道によると、MD5は、ほかのハッシュ関数に比べ計算速度が速いことが特徴だが、それゆえにブルートフォースによるクラックも、ほかのアルゴリズムよりも高速に行える。このため、Evernote以外のサイトで同じパスワードを使い回し、しかもそれらを変更せず使い続けていた場合、攻撃者がパスワードを悪用するまでの猶予が短くなることを意味すると指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Evernoteもハッキング攻撃を受け、全ユーザーパスワードをリセット
Evernoteが、暗号化されたパスワードを含むユーザー情報への不正アクセスを検知したとして、約5000万人に上る全ユーザーのパスワードをリセットした。ユーザーは新規パスワードを設定する必要がある。 - フィッシング対策 of Life
10月30日、フィッシングサイトを開設したとして、不正アクセス禁止法違反で全国初の摘発が行われた。この件を機に、筆者が常々推奨したいと考えていた2つの対策を提案したい。 - まだ知らない人のためのEvernote入門
- OracleがJavaのアップデートを公開、5件の脆弱性に対応