Evernote ハッキングから考えるクラウド上にデータを置くということの意味
以下の記事でもお伝えしましたEvernoteが不正アクセスを受け、ユーザ情報が漏えいした可能性があります。
みんな大好き Evernote がハッキングされ、暗号化されたパスワードを含むユーザ情報が流出した可能性 : I believe in technology
2013年3月2日、Evernoteが不正アクセスを受けたことを公表しました。
今回の場合は、アカウントが悪用されたとか、各自が保存しているノートにアクセスされたといった被害は報告されていません。
しかし、Evernoteのようなクラウドにデータを保存するサービスを使う際には、最悪の場合、保存したデータが漏えいする、知らぬ間に書き換えられる、削除されることもあるということを認識しておくべきです。
私自身は、EvernoteやDropBoxのようなクラウドサービスは、データが漏れる可能性があることを前提にしか使っていませんが、周りを見回すとそうではない方も少なくないようです。
例えば今回問題となったEvernote。私は、2007年からEvernoteを使い続けているので、Evernoteがそのサービスを拡充し、ユーザが爆発的に増えていく過程も体感しているのですが、その過程で時々危ういものを感じていました。
それは主に、いわゆるアルファブロガーによる記事や関連本で取り上げられているTipsです。
例えば、
「名刺をカメラで撮影しEvernoteにアップロードしよう」
「パスワードをEvernoteで管理しよう」
「重要なメールをEvernoteで管理しよう」
「健康保険証、運転免許証、パスポートをスキャナで取り込んでEvernoteにアップロードしよう」
等々。
100歩譲ってテキストデータならば、Evernoteの暗号化機能を使うことで実際の被害を防ぐことが可能ですが、これとて自分で暗号化の設定をしなければなりませんし、テキスト以外のデータ(上記カメラで撮影したデータやスキャナで取り込んで画像化したデータ)は暗号化の対象ではありません。
これらのTipsを紹介している記事や書籍などでは、データの安全性に言及していないものも少なくありません。また、安全性に対し触れていても、「最終的には自己責任で」などとしてあるだけで、書いている人が実際には安全性より利便性を重要視していることが一目瞭然だったりします。
とはいえ、「自己責任」というのは正しいです。
どんなに記事や書籍に感動したとしても、どのような使い方をするかは「自己責任」です。安全性を重視するなら、安易に記事や書籍を真似て、何も考えずにEvernoteのようなクラウドサービス上に大切なデータを置くようなことは避けるべきです。
Evernote社によると、今回の不正アクセス事件では、「Evernote に保存されているコンテンツが外部からアクセス・変更・消失された形跡は確認されなかった。」としています。
これが事実であれば、今回は大きな被害に繋がらずに済むかもしれません。
しかし、今回の一件や昨今のさまざまなサービスに対する不正アクセスの増加、巧妙化などを考えると、クラウド上に保存しているデータは漏れるかもしれない、不正に書き換えられるかもしれない、勝手に削除されるかもしれないという前提に立つべきだと私は考えます。
あなたが保存しているクラウド上のデータは、漏えいしても大丈夫なものですか?
2013年3月2日、Evernoteが不正アクセスを受けたことを公表しました。
今回の場合は、アカウントが悪用されたとか、各自が保存しているノートにアクセスされたといった被害は報告されていません。
しかし、Evernoteのようなクラウドにデータを保存するサービスを使う際には、最悪の場合、保存したデータが漏えいする、知らぬ間に書き換えられる、削除されることもあるということを認識しておくべきです。
私自身は、EvernoteやDropBoxのようなクラウドサービスは、データが漏れる可能性があることを前提にしか使っていませんが、周りを見回すとそうではない方も少なくないようです。
例えば今回問題となったEvernote。私は、2007年からEvernoteを使い続けているので、Evernoteがそのサービスを拡充し、ユーザが爆発的に増えていく過程も体感しているのですが、その過程で時々危ういものを感じていました。
それは主に、いわゆるアルファブロガーによる記事や関連本で取り上げられているTipsです。
例えば、
「名刺をカメラで撮影しEvernoteにアップロードしよう」
「パスワードをEvernoteで管理しよう」
「重要なメールをEvernoteで管理しよう」
「健康保険証、運転免許証、パスポートをスキャナで取り込んでEvernoteにアップロードしよう」
等々。
100歩譲ってテキストデータならば、Evernoteの暗号化機能を使うことで実際の被害を防ぐことが可能ですが、これとて自分で暗号化の設定をしなければなりませんし、テキスト以外のデータ(上記カメラで撮影したデータやスキャナで取り込んで画像化したデータ)は暗号化の対象ではありません。
これらのTipsを紹介している記事や書籍などでは、データの安全性に言及していないものも少なくありません。また、安全性に対し触れていても、「最終的には自己責任で」などとしてあるだけで、書いている人が実際には安全性より利便性を重要視していることが一目瞭然だったりします。
とはいえ、「自己責任」というのは正しいです。
どんなに記事や書籍に感動したとしても、どのような使い方をするかは「自己責任」です。安全性を重視するなら、安易に記事や書籍を真似て、何も考えずにEvernoteのようなクラウドサービス上に大切なデータを置くようなことは避けるべきです。
Evernote社によると、今回の不正アクセス事件では、「Evernote に保存されているコンテンツが外部からアクセス・変更・消失された形跡は確認されなかった。」としています。
弊社セキュリティ調査の結果、Evernote に保存されているコンテンツが外部からアクセス・変更・消失された形跡は確認されませんでした。また、Evernote プレミアムおよび Evernote Business のお客様の決済情報がアクセスされた形跡も確認されていませんのでご安心ください。
セキュリティ関連のお知らせ:Evernoteでのパスワード再設定のお願い | Evernote日本語版ブログ
これが事実であれば、今回は大きな被害に繋がらずに済むかもしれません。
しかし、今回の一件や昨今のさまざまなサービスに対する不正アクセスの増加、巧妙化などを考えると、クラウド上に保存しているデータは漏れるかもしれない、不正に書き換えられるかもしれない、勝手に削除されるかもしれないという前提に立つべきだと私は考えます。
あなたが保存しているクラウド上のデータは、漏えいしても大丈夫なものですか?