同社広報担当者によれば、同社は約5000万人のユーザーのパスワードをリセットした後、すべてのソフトウェア製品のアップデートを実施したという。
「当社は全面的にアプリケーションの更新バージョンをリリースしました。ユーザーにアカウントを新しい安全なパスワードに更新するよう警告するメッセージを追加し、このプロセスをより簡単にしました」とエバーノートのロンダ・スコット氏は電子メールで述べた。
「今回の攻撃を受けてEvernoteクライアントに加えた変更はこれだけです」と彼女は付け加えた。
全面的なアップデートの影響を受けるプログラムには、Evernote、Skitch、Penultimate、Evernote Food、Evernote Hello、Evernote Web Clipper、Evernote Clearly、Evernote Peek が含まれます。
Evernote は 2 月 28 日に自社のネットワーク上でハッキング活動を確認したと報じられているが、3 月 2 日までユーザーにセキュリティ侵害を警告していなかった。
「Evernoteのオペレーション&セキュリティチームは、Evernoteサービスの安全な領域にアクセスしようとする組織的な試みと思われる、Evernoteネットワーク上の疑わしい活動を発見し、ブロックしました」とEvernoteのデイブ・エングバーグ氏は、ユーザーへのメールとしても送られた社内ブログに書いた。
「お客様のデータを保護するための予防措置として、パスワードのリセットを実施することにしました」と彼は付け加えた。
これまでのところ、Evernote は誰がこの攻撃の背後にいるのかについては一切情報を公開していない。
「犯行声明は出ていません」とスコット氏は述べた。「社内のオペレーション&セキュリティチームは、この攻撃の出所を含め、詳細の調査を継続しています。」
「現在進行中のため、詳細についてコメントするのは時期尚早です」と彼女は述べた。しかし、今回の侵害は同社のアプリケーションの脆弱性に起因するものではないと明らかにした。
「今回の攻撃はEvernoteのアプリケーションやクライアントを介したものではない」と彼女は述べた。
現時点では、この侵害を受けて同社が実施する可能性のあるセキュリティの変更について語るにはまだ時期尚早だ。
「まだ分析段階にあるため、将来のプロトコルやセキュリティの変更についてはコメントできません」と彼女は付け加えた。
Evernote は、異常なアクティビティ パターンがないかシステムを継続的かつ積極的に監視するだけでなく、「ソルト ハッシュ」と呼ばれる暗号化方式でユーザー名とパスワードを保護していますが、一部のセキュリティ侵害対策担当者は、この方式では不十分だと考えています。
「パスワードのハッシュ化とソルト化は、情報を保管している企業が侵害を受けた場合に、攻撃者がパスワードを解読するのを防ぐのに効果的だが、確実な保護とは程遠い」とセキュリティ専門家のブライアン・クレブス氏は書いている。
「エバーノートはパスワードのハッシュ化にどの方式を採用しているかは明らかにしていないが、業界標準はかなり弱いアプローチであり、今日の市販のハードウェアを使えばほとんどのパスワードは瞬く間に解読可能だ」と同氏は付け加えた。
Evernoteユーザー、いや、Webユーザー全般に言えることですが、強力なパスワードを作成し、サイト間で同じパスワードを使い回さないようにすることをお勧めします。手動で管理するのは面倒ですが、OneID、KeePass、RoboFormなどのプログラムを使えば、その手間を大幅に省くことができます。
