日本のEvernoteの公式サイトには、 アカウント情報に関する問い合わせが今も殺到しており、まだまだ混乱が収束したとは言えません。
そんな中、事件発生から3日後の3月5日には、米Evernoteは再発防止に向けた2要素認証を導入することを発表しました。
どうしてEvernoteのようなシリコンバレーの一流テクノロジー企業が、このような失態を犯してしまったのでしょうか?そこには皆さんも陥りがちな「暗号化」という言葉の罠があったのです。
パスワードリセットで高まるユーザーの不満
今回の事件では、Evernoteのアカウントに関連付けられたユーザー名、メールアドレス、暗号化されたパスワードに何者かがアクセスしました。しかしながら、全ユーザーパスワードをリセットしたからといって、全ての情報が漏れたわけではありません。Evernote側の発表では、ユーザーが保存した情報やプレミアム(有料)会員の決済情報も漏れていないと確認されています。
今回のパスワードリセットは、あくまでも情報保持を確実にするための措置であると考えられますが、「保存していた情報が消えた」「ログインできない!」といったユーザー側の不便も多く、先述したように、数多くの問い合わせが寄せられています。
Evernoteは「セキュリティの弱い暗号化技術」を使っていた
ところが注意しなければならない点があります。Evernoteが使用していた暗号化技術(MD5)は、通常運用時の高速計算が魅力ですが、その一方で、ハッカーのクラック(セキュリティへの攻撃)も高速で行うことができると考えられている「セキュリティの弱い暗号化技術」だったという点です。
Evernote内のコンテンツは確かに流出していませんが、今回の不正アクセスでアクセスされた情報(アドレス、暗号化パスワードなど)を他のサイト(gmailやFacebookなど)でも使用している方は、他のサイトのパスワードも変更するなどの注意が必要です。
このように、同じ「暗号化」という言葉でも、「強い暗号化」と「弱い暗号化」があることを認識しましょう。専門的な話も多く、Evernoteのように効率性を重視してしまったり、「まあ便利な方、安い方でいいんでしょ」という気軽な気持ちでセキュリティを扱いがちです。
情報漏洩はユーザーや顧客からの信頼を大きく損います。今回Evernoteが導入する2要素認証のような「セキュリティの強い暗号化技術」でセキュリティ対策を強化することが、企業やサービスの長期的な信用を守ります。
まとめ
Evernoteのパスワードリセット事件は、超一流のテクノロジー企業においても、セキュリティは甘くなってしまうという教訓を含んでいます。
「セキュリティに詳しくないけど、顧客情報などを守れるか不安」という方のために、グロービクスは「セキュリティの強い暗号化情報」を用い、遠隔(リモート)バックアップサービスやファイル暗号送信サービスを提供しています。
普段の運用では目立ちませんが、企業の信頼を左右するセキュリティだからこそ、しっかりと対策をとりたいですね。
参考:
・Evernote Resets All User Passwords After Security Breach
・Critics: Substandard crypto needlessly puts Evernote accounts at risk | Ars Technica
・Evernote: We’re Adding Two-Factor Authentication – Security -
Photo: Leif (Bryne), flickr