スマートフォンのアプリを立ち上げると、いきなり「パスワード再設定」のウィンドウがポップアップした――。何事かと思ったユーザーも多いだろう。
3月1日(米国時間2月28日)、文書や写真などをインターネット上に保管するクラウド・サービス「Evernote(エバーノート)」が、外部からの不正侵入を受け、一部ユーザーのID情報が盗まれたことがわかった。運営する米エバーノートは3月3日(米国時間3月2日)、すべてのユーザーのパスワードをリセットし、再設定を呼びかけた。
同社によると、ユーザー情報とコンテンツ(ユーザーが預けている文書や写真などのデータ)は別々のサーバに保管されており、攻撃を受けたのはユーザー情報のみで、しかもパスワードは二重に暗号化されており「解読される可能性はない」(エバーノート日本法人)。また、不正流用の形跡もなかった。それでも、緊急措置として全ユーザーのパスワード変更に踏み切ったのだ。
米国ではこのところ、ツイッターやフェイスブックといったネット企業に対する大規模ハッキング行為が相次いでいる。これまでにも同種の不正アクセスによってユーザー情報が一部流出するという事件はあったが、運営会社側が5000万人にも及ぶ全世界のユーザーに対してパスワード変更させるという事態は初めてのことだ。ユーザーがスマホやパソコンでアプリを立ち上げた際に、パスワードを再設定しないと使えないよう、強制的な措置を採ったのである。
米国に次ぐユーザー数を持つ日本では、コトの経緯は公式ブログ(日本語)で告知されたが、その存在を知ることができたユーザーは一握りだろう。ブログと同じ内容を記したメールも送信されたが、全ユーザーにメールが届くまでに1日以上を要したケースもあり、事情がわからないユーザーのあいだでは大混乱が生じた。冒頭のように、前日まで普通に使えていたアプリが、急にパスワードの変更を求めてきたわけだから、戸惑いが広がったのも無理はない。
今回のエバーノートが採った措置を、強引と見るか、妥当と見るか、意見は分かれるところかもしれない。ただ、個人情報流出に関する情報開示とユーザー対応は、時間との勝負であることは確かだ。
例えば2011年4月、ソニーのゲーム機向けネットワーク「プレイステーションネットワーク」でも、同様の不正アクセスによる個人情報流出大規模があり、ソニーがサービスを停止するという事件があった。このときのソニーの対応を振り返れば、今回のエバーノートの動きがいかに迅速だったかわかる。
