Adobe™個人情報の1億5,000万件流出でEvernote™、Facebook™の対応がすごい
2014/11/22
Adobe™個人情報が流出し、ネット上に晒されているとの話が、
いろいろなところで騒がれていますが、
その際のEvernote™とFacebook™の対応が秀逸でしたのでご紹介します。
はじめに
ちょっとアンテナが感度悪い自分ですが、
本日(2013/11/28)Evernoteから以下のようなメールが届きました。
Adobe社の個人情
報流出問題に関する重 要なお知らせ 先日、Adobe 社のネットワークが攻撃され、メールアドレス、Adobe パスワード、パスワードヒントを含む数百万人分もの個人情報が流出した可能性があるとの報道がありました。 そして、被害を受けた Adobe アカウントの一覧がインターネット上で公開されています。このリストにあるメールアドレスを弊社にて Evernote ユーザのメールアドレスと照合した結果、今回流出した Adobe アカウントの一覧に、お客様が Evernote のアカウントにご登録されているメールアドレスが含まれていることが判明しました。
Evernote の情報は漏洩しておらず、今回の問題には何ら関係はありませんが、もし Adobe と Evernote で同じパスワードをご使用の場合、Evernote のパスワード変更を強くおすすめします。
ここでは「数百万人分」となっていますが、別のソースメディアではこうも書かれています。
2013/11/29 補足
1億5000万件がユニークなIDの件数であるとは言っていませんが、
「Adobe アカウントに関するデータを含むファイルが1億5000万件出回っている」と。
インターネットでは少なくともここ3週間、約1億5200万件のAdobe IDアカウントに関するデータを含むファイルが出回っている。その内容を確認した複数のセキュリティ企業によると、このファイルにはメールアドレスの他、暗号化されたパスワード、パスワードを忘れたときのための「パスワードのヒント」が含まれているという。
引用元(ITmedia ニュース):
「少しも秘密になっていない」──Adobeの情報流出問題、まだ連絡受けてないユーザーも –
そもそもこの発端は4日前のメールにあるのですが、
私はAdobeIDとEvernoteのパスワードは一緒ではないはずですし、
特に重要な情報もEvernoteには入っていないとは思っています。
しかし、この4日前のメールを私は見落とし、本日Evernoteのメールに気が付いたわけです。
Adobeからは4日前に以下のようなメールを受け取っています。
パスワードのリセットに関する重要なお知らせ
2013年10月3日にお知らせしたとおり、当社の調査により、攻撃者が当社のネットワークに不正に侵入し、お客様のAdobe IDおよび暗号化されたパスワードにアクセスして情報を抜き取った可能性があることが判明いたしました。現在のところ、お客様のアカウントが不正にアクセスされた形跡は見つかっておりません。
お客様のアドビアカウントを不正アクセスから守るために、パスワードをリセットしています。大変お手数ですが、 www.adobe.com/go/passwordreset_jp にアクセスいただき、新しいパスワードを作成していただくよう、お願い申し上げます。他のウェブサイトで同じユーザーIDおよびパスワードを使用している場合は、該当するパスワードも変更することをお勧めいたします。また、お客様の個人情報を要求する不審な電子メールや電話での詐欺にも注意してください。
このような事態が発生しましたことに対して、深く反省し謹んでお詫び申し上げます。当社ではお客様の信頼を第一に考えており、今後またこのような事態が起こらないよう、全力で取り組んでまいります。ご不明な点がございましたら、 こちらをクリックして当社お客様ご相談ページをご覧ください。
10/3にお知らせしたとおり?
私は10/3には特にメールを受け取っていません。
その代り上記内容のメールの英語版を10/17に受け取っていました。
問題はパスワードだけではない
さて、この問題自分が真っ先に思ったのは、
その流出したリストをなぜEvernoteが簡単に入手できたのかという点。
それはEvernoteが「一覧がインターネット上で公開されています」と言っています。
すなはちEvernoteに限らず、誰でも、
その膨大なメールアドレスのリストを取得できる状態にあったということ。
迷惑メールが増えるだけでも面倒くさいのに、なんだこれ。
Gmailであればスパムフィルタがかなり効いてくれるので雑音はかなり消されます。
しかし、今回の流出はプロバイダメールアドレスでした。
まいったなという感じです。
念のため変更はしておこう
とはいえ、Adobeを相手にクレジットを利用した取引などもありませんし、
大きな問題にはならないとは思っていますが。
念のためEvernoteのパスワードは変更しました。
みなさんも影響の有無関わらず変えておく方がいいでしょうね。
データに守るものがあるかないかではなく、
アカウントのパスワードを悪意のある者に、
別のパスワードに変更されると、自分はもうお手上げになります。
既に乗っ取られたようなときも
ただ、パスワードの変更がされたとしても、
Evernoteは以下のメールを送信してくれますので、
最悪、2時間以内であれば乗っ取りされた際のパスワードを無効にできます。
さて、こうしたEvernoteの対応。
この対応は今までになかった対応で素晴らしいものだと思います。
オンラインサービスの信頼性
オンラインサービスではログイン認証が命で、
それが不正にアクセスされるということは、アカウントの乗っ取りを意味しています。
その為、昨今はハードである携帯電話などを利用した、
二段階認証のプロセスなども進んでいますが、
まだ利用者側にとっては精神的に抵抗があるのではないでしょうか。
アカウント連携サービスの危険性
また、アカウントサービスを外部に対しても提供している、
Facebook、twitter、Googleアカウントなどでも動きが見られます。
Facebookでは流出したアカウントとパスワードの組み合わせに一致するIDを
一時的に停止する処置を取っているようです。
アカウントサービスはもはや一社だけの問題ではなく、
他社が流出させたアカウントにまで気を配る必要があるという時代です。
こうした点を見ると、FacebookとEvernoteの対応は驚くほどに早いなと思うのです。
検索した感じでは、Googleアカウントとtwitterなど他サービスの認証に利用できるサービスで、
Facebookのような迅速な対応を行っている様子はありません。
連携していないEvernoteでさえ
その点、Evernoteは他社に認証を公開しているわけでも、
自社に過失があるわけでもないにも関わらず、
ユーザーのデータを守るという立場から、コストをかけ照合を行い、
メールアドレスに該当したユーザーに対して注意喚起をしてくれたのです。
これは企業として高い意識が求められる行動だったと思います。
個人的にはDropbox™の方が利用率は高いのですが、
最近はクリップしか利用していなかったEvernoteを改めてどう使っていこうかと、
安心と信頼感を持ってサービスの使い方を再度模索する機会になりました。
さいごに
オープンな認証システムで何を利用するかといった時に、
こうした事件からどう動く会社でありシステムであるのかといったことも、
今後システムを利用していく上での大きな条件になっていくのではないでしょうか。
Adobeアカウントのパスワードリセット手順
特に迷うことはないと思いますが、Adobeアカウントのリセット手順は以下でご紹介しています。
Adobe™IDのアカウントパスワードのリセット手順
Evernoteアカウントのパスワード変更手順
こちらも迷うことはないと思いますが、
Evernoteアカウントのパスワード変更手順は以下でご紹介しています。
Evernote™アカウントパスワードの変更手順
参考
http://www.itmedia.co.jp/news/articles/1311/27/news067.html
「EVERNOTE、エバーノート、Evernote の象のロゴ、REMEMBER EVERYTHING、
すべてを記録するは Evernote Corporation の登録商標です。
EVERNOTEは、Evernote Corporation の国際登録商標(1014332)です。
エバーノートは、Evernote Corporation の登録商標(第5373225号)です。
REMEMBER EVERYTHING、”すべてを記録する”は Evernote Corporation の商標です。
FacebookはFacebookの商標です。
その他のFacebookに関連するロゴ、画面写真などの使用に適用されるポリシーは
ブランドリソースセンターに基づいて遵守します。
Adobe、Adobe ロゴは、
Adobe Systems Incorporatedの米国ならびに他の国における商標または登録商標です。
Dropbox™は、Dropbox, Inc.の登録商標です。
登録番号は第5292472号、商願2012-106012、商願2013-1794です。
関連記事
-
検証環境用にSSL証明書取得してみたら、各社無料版があったのか
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
KAGOYA™(カゴヤ)の共用レンタルサーバでSSL証明書CSRキー発行手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
ComodoPositiveSSLの発行承認手続きとSSL証明書の受け取り
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
Evernote™アカウントパスワードの変更手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
SSL証明書をSSLストアでアクティベート(署名)する手続き手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
Adobe™IDのアカウントパスワードのリセット手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
SSLストアでSSL証明書を購入するための入金(チャージ)手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
KAGOYA™(カゴヤ)の共用レンタルサーバにSSL証明書インストール手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
KAGOYA™(カゴヤ)の共用レンタルサーバにSSL証明書の導入手順
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
ComodoPositiveSSL証明書のサイトシール設定方法
Google or AdMax Promotion(it) 禁断の機能がau公式 …