Evernoteのセキュリティ対策がヤバい

2018年9月9日ライフハック

セキュリティ対策万全のサービス

突然ですが、Evernoteって使っていますか? 私はユーザなのですが、今日はEvernoteのセキュリティ対策がすごい、という話をします。

Evernoteとは?

本日はEvernoteのお話。Evernoteとはクラウドの「ノート」です。自分のメモをどんどん書いて個人的なノートとして管理していけるサービスです。緑の象さんマークが目印。

私はネットで気になる記事とか、ブログの下書きとか、レシピのコピーとか、Cookpadの記事とか、忘れちゃいけない重要情報(!)などなどをEvernoteに入れて管理しています。
スマホのアプリもありますので、スマホでもパソコンでもアクセスOK。あっちのパソコンでもこっちのパソコンでも自由にアクセスできるので非常に便利です。
関連サービスや、Evernoteに繋がるアプリとか色々あるようですが私はそれほど難しい使い方はしておりませんで、ただ単にメモを登録して保存する先として使っています。検索が簡単にできるので、あれ?なんだっけ?ってな時にもすぐ探せて便利なのです。

Evernoteから最近届いたお知らせ

さて、そのEvernoteから、3日前に変なメールが届きました。文面は以下です。

お客様へ
お客様のアカウントにて、 不審なアクティビティが検知されたためご連絡差し上げております 。第三者が、お客様のパスワードを Evernote 以外のウェブサイトまたはサービスから不正に入手した可能性があ ると思われます。弊社は、お客様の Evernote アカウントにおけるセキュリティ上のリスクを考慮した結果、 アカウントを保護するためにパスワードのリセットを実行させてい ただきました。

え??どちら様が私のアカウントで侵入しようとしたのでしょう?
やめてよー!

いや待てよ。でも、これはすごいことです。パスワードがリセットされて不便だけど、ある意味安心です。このメールにリセット方法が書かれていたのですが、それに従わなくても、パソコンでいつもの自分のページを開こうとしたら、新しいパスワードの入力画面に促されました。

しかも、新しいパスワードも使っている他の端末もリセットするか?というチェックボックスなどもありまる。つまりこれは、(危険ではあるものの)今使っているスマホのアプリは再度ログインしなおさなくても使い続けられるようにするというオプションを用意しているということなのです。裏を返すと、Evernoteが勝手にリセットはしてしまったが、お客さんの通常使用の迷惑はおかけしません、ということ。言わば、客さまへの思いを体現したやり方なのです。

セキュリティ対策とユーザビリティ

一般的に言って、セキュリティってガチガチにすればするほど、普段使うユースケースが難しくなります。

みなさんも経験ありませんか?銀行のオンラインサービス。
今まで使えてた機能が突然不便になることがあります。1日100万円だった振込金額がセキュリティ(おれおれ詐欺的なもの?)対策の為に1日50万円に制限しました。とか、振り込みの時はパスワードの入力だけだったのが、登録メールへワンタイムキーみたいなものが送られてきて、それを入力しないと実行できなくなる、とかです。
対策する側と悪さをする方のイタチごっこなってしまうのは解るります。しかしながら、それによって今まで使えてた機能が突然、使い勝手が悪くなるという経験を何度か体験しました。極端に言うなれば、不便さをユーザに押し付けて、「セキリュティは万全です」と宣言する、みたいなこの姿勢。いかがなものでしょう。

それを考えると、今回のEvernotの対応。セキュリティに懸念は多少あるものの、使い勝手も最低担保する。トレードオフをよく考えた考慮が感じられるました。その意味で、Evernoteのセキュリティ対策は素晴らしいです。

今回だけじゃない。Evernoteのセキュリティ対策の体験談

実は、以前にもEvernoteのセキュリティには感心した経験があります。

ご存知でしょうか?数年前にAdobeの個人情報流出がありました。
私は、Adobeに登録情報がありまして、その情報もネットに公開されていたのだと思います。そして、よくある話だと思いますが、私はAdobeに登録してあったメールアドレス、パスワードと全く同じものをEvernoteにも使っていたのでした。
その時に、やはりEvernoteからお知らせがありました。(あいにくその時のメールはもう見つけられませんでした)。
内容は確か、こんな趣旨だった記憶しています。

  • Adobeの個人情報が流出して、お客さんのメールアドレスもネットで公開されている
  • お客さんのメールアドレスは、Evernoteで使っているものと同じだ
  • しかも、ネットで公開されているパスワードと同じパスワードをEvernoteでも使っているようだ
  • 即、Evernoteのパスワードを変更してくれ

みたいな内容です。さすがにこれは驚きました。

言われてみれば確かにその通り。同じアカウントに同じパスワードを使っていて、私のアカウントは危険な状態だったのです。メールアドレス・パスワードの組み合わせを色々なサイトで共通に使ってしまうのは、パスワードを記憶する手間が省けるのでその当時はよくやっていました。よく考えもせずに。
Evernoteは、その一般常識(!?)をよく理解して、お客さんの個人情報を自分たちでできる範囲で最大限(ユーザに代わって)チェックしてあげよう、と考えたようです。

この、おもてなしの精神。感動しました。

その記憶があるので私は、最大限にEvernoteを信じ、そして、安心して使い続けている、という訳なのです。

 

メールアドレスが流出しているかどうか確認

ちなみに、セキュリティ関連で少し調べたてみたところ「';–have i been pwned?」というサービスを見つけました。
https://haveibeenpwned.com/
このサービスは、特定のメールアドレスが個人情報流出しているかどうかを調べる為のサービスのようです。
早速、Evernoteで使っているメールアドレスを試しに入れてみました。

Oh no — pwned!
Pwned on 2 breached sites and found no pastes (subscribe to search sensitive breaches)

はい。ご覧の通り、流出していました。
AdobeとTumblrの情報が流出したんだとさ。。やれやれ。

くれぐれも、同じパスワードとメールアドレスの組み合わせをいろんなサイトで共通して使わぬよう、みなさんもご注意を。