Evernoteもハッキング攻撃を受け、全ユーザーパスワードをリセット

[ITmedia]

　米Evernoteは3月2日（現地時間）、サービスへの不正アクセスを検知し、それをブロックしたと発表した。調査により、Evernoteアカウントに登録されたメールアドレスと暗号化されたパスワードを含むユーザー情報にアクセスされたことが分かったという。

　ただし、Evernoteのコンテンツが外部からアクセス・変更・消失された形跡はなく、有料版ユーザーの決済情報がアクセスされた形跡も確認されていないとしている。

　だが、安全のため、全ユーザー（約5000万人）のパスワードをリセットした。ユーザーは公式ブログ（日本語）の指示に従って、新しいパスワードを設定する必要がある。なお、Evernoteは全ユーザーに公式ブログと同じ内容のメールも送信した（全ユーザーにメールが届くには1日以上かかる見込み）。

　パスワードを再設定するには、Webブラウザでevernote.comに（現行のパスワードで）ログインする。ログインするとパスワード変更の画面が表示されるので、ここで新規パスワードに変更する。

ログインするとパスワード変更画面になる

　AndroidおよびiOSアプリでもそれぞれパスワードを変更する必要がある。これらのアプリは同日アップデート版がリリースされており、アップデートするとパスワード再設定の手続きが容易になる。

継続ログイン中のAndroidアプリで表示された警告

　同社はEvernoteだけでなく、すべてのWebサービスでのリスク回避のために、以下のようなアドバイスをしている。

• 辞書に登場するような、予測しやすい言葉をパスワードに使用しない
• 複数のサイトやサービスで、絶対に同じパスワードを使用しない
• 電子メールの文中で「パスワードの再設定」を案内された場合は、絶対にメール内のリンクなどをクリックせず、該当サービスのサイトに直行する

　Evernoteは攻撃を受けたのがいつごろなのか、どのような手口だったのかは具体的に説明していないが、公式ブログで「ここ最近、他社の大規模なサービスに対して発生した出来事からも分かるように、今回のような不正アクティビティは増加する傾向にあります」としている。ここ最近、米Twitter、米Facebook、米Apple、米MicrosoftなどがJavaの脆弱性を悪用したマルウェアに感染したと発表している。