Evernote、再発防止に向け二要素認証導入へ：不正アクセスを受けて計画前倒し

米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、二要素認証を導入する計画を明らかにしたと米メディアが伝えている。

[鈴木聖子，＠IT]

　米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、再発防止のために二要素認証を導入する計画を明らかにした。米メディアが3月5日に伝えた。

　米InformationWeekによると、Evernoteの広報は「以前から全ユーザー向けのオプションとして年内に二要素認証を導入する計画があった。今回、この計画の実施を早めることにした」と電子メールで説明している。

　不正アクセスを受けていたことはEvernoteが3月2日のブログで明らかにした。何者かがEvernoteのアカウントに関連付けられたユーザー名、メールアドレス、暗号化されたパスワードなどの情報にアクセスしたという。一方で、ユーザーが保存したコンテンツがアクセスされたり、有料サービス利用者の決済情報が流出した形跡はないとしている。

　Evernoteが保存しているパスワードは一方向暗号化によって保護されているという。この暗号化対策は確実だと同社は強調する一方で、慎重を期すためとして全ユーザーにパスワードのリセットを促した。

　（3月7日修正）これについてInformationWeekは、EvernoteがMD5の暗号化アルゴリズムを使っていたとの報道があると伝えた。Ars Technicaの報道によると、MD5は、ほかのハッシュ関数に比べ計算速度が速いことが特徴だが、それゆえにブルートフォースによるクラックも、ほかのアルゴリズムよりも高速に行える。このため、Evernote以外のサイトで同じパスワードを使い回し、しかもそれらを変更せず使い続けていた場合、攻撃者がパスワードを悪用するまでの猶予が短くなることを意味すると指摘している。