Evernoteは週末、データ侵害の被害に遭ったことを明らかにしました。攻撃者がEvernoteアカウントに関連付けられたユーザー名、メールアドレス、暗号化されたパスワードにアクセスしたことを、ユーザーにメールで通知し、ウェブサイトにも通知を掲載しました。予防措置として、Evernoteは5,000万人のユーザー全員にパスワードのリセットを強制しました。これは良いステップですが、まだ十分ではありません。そのため、Evernoteは2要素認証の導入計画を加速させています。
Evernote は、少なくとも 12 月に Evernote for Business がリリースされるまでは、ビジネス向けサービスとして設計されたものではありませんでした。Evernote は、Microsoft の OneNote に似た、主にメモ作成と整理のためのツールです。Evernote は、Evernote Food、Evernote Peek、Skitch、Penultimate など、様々なサービスを Web ベースのツールまたはアプリとして提供しており、様々な OS やモバイル プラットフォームで利用可能です。幅広いデバイス間でデータにアクセスし、同期できる機能は、ビジネスツールとしての魅力を高めています。
Evernote は、その性質上、個人情報と業務データの両方を保管できるサービスの好例です。 他のクラウドベースのサービスと同様に、Evernote にも固有のリスクが伴います。ビジネスデータ、特に顧客名や住所、銀行や財務情報、企業独自の調査結果といった機密情報をクラウドに保存する場合、そのデータの保護をベンダーに委ねることになります。ただし、データの取り扱いについては、最終的な責任はユーザーにあるという大きな注意点があります。
すべてを管理する 1 つのパスワード?
Evernoteは、攻撃者が取得したパスワードデータは暗号化されていたと主張していますが、念のため全ユーザーに新しいパスワードの設定を求めています。セキュリティ専門家のブライアン・クレブス氏がEvernoteの侵害に関するブログ記事で指摘しているように、ベンダーがパスワードデータの暗号化に使用している標準的なハッシュ化およびソルト化アルゴリズムは、比較的簡単に解読できるほどの保護性能を備えています。
解決策の一つとしては、より強力なパスワードやパスフレーズを使用し、複数のサービスで同じパスワードを使い回さないようにすることです。複数のサービスで同じパスワードを使い回すと、あるベンダーでデータ漏洩が発生した場合にパスワードが漏洩し、攻撃者がすべてのアカウントにアクセスできるようになるため、被害は漏洩したアカウントに限定されてしまいます。
もちろん、数十、数百ものパスワードを記憶するのは至難の業です。特に、強力で複雑なパスワードを使用している場合はなおさらです。PCWorldの同僚であるJohn Melloは、パスワード管理を簡素化するためのOneID、KeePass、RoboFormなどのオプションをいくつか提案しています。
しかし、Evernoteのハッキングから得られる真の教訓は、パスワードはデータの保護にそれほど効果的ではないということです。複雑で独自のパスワードは、愛犬の名前を使ったり、パスワードを全く設定しなかったりするよりも保護効果は高いのですが、結局のところ、十分な時間と労力をかければ、どんなパスワードでも解読されたり推測されたりする可能性があります。
多要素認証への移行
それを念頭に、Evernote は Facebook、Dropbox、Microsoft SkyDrive、PayPal、Gmail など、増え続けるオンライン サービス プロバイダーに加わり、2 要素認証を導入します。
多要素認証は、データ保護のための追加レイヤーを提供します。例えば、電話認証はセキュリティを大幅に強化します。普段使わないデバイスから銀行のウェブサイトにログインしようとした際に、電話認証を求められたことのある方は多いでしょう。
電話ベースの認証では、ランダムなコードまたはワンタイムコードが携帯電話に送信され、通常のユーザー名とパスワードに加えて入力する必要があります。一部のソリューションでは、モバイルアプリを使用してワンタイムPINを生成します。いずれの場合も、攻撃者がアカウントにアクセスするには、パスワードを解読するだけでなく、携帯電話を所有している必要があります。
電話認証以外にも、アクセストークン、スマートカード、メール認証など、様々な選択肢があります。具体的な方法は様々ですが、どのような実装方法であっても、二要素認証はさらなる保護層を提供してくれます。Evernoteが二要素認証を提供していることは称賛に値します。
