セキュリティ強化のヒント(ユーザ用)

お客様の Evernote データをさらに安全に保護するうえで、重要な手順がいくつかあります。

パスワード

Evernote にログインするためのパスワードは、他のサイトへのログイン用とは別のパスワードを使用してください。これにより、他のサイトで自分が使用しているパスワードを他人が入手した場合に、Evernote アカウントにはアクセスされる心配が無くなります。

なお、辞書に載っているような単純な単語はパスワードに使用しないでください。代わりに、最低 8 文字以上で大文字と小文字を組み合わせた半角数字と記号を含む、複雑なパスワードを指定してください。あるいは、20 文字以上のパスワードを指定した場合も同じく安全性が高いものとなります。

このようなパスワードを簡単に管理したい場合は、パスワード管理アプリの利用をお勧めいたします。

2 段階認証の設定

自分の Evernote アカウントで 2 段階認証を有効にすることで、万が一他人にパスワードを知られた場合にも、アカウントを保護することができます。

別名「多要素認証」としても知られる 2 段階認証を有効にすると、ログイン時にいつも使用しているユーザ名とパスワードに加え、携帯電話で表示した特別なコードの入力が必要になるため、セキュリティが 1 段階強化されます。こうして手順を一つ増やす目的は、自分が知っていること(パスワード)と自分だけしか持っていないもの(携帯電話)を組み合わせることです。

2 段階認証は簡単に設定できます。Evernote Web 版の「セキュリティ」メニューを開き、画面に表示される手順に従ってください。無料版ユーザの場合は、お使いの携帯電話に認証用のアプリをインストールする必要があります。弊社では Google 認証システム (Google Authenticator) を推奨しています。プレミアムユーザの場合は、認証コードが記載されたテキストメッセージ (SMS) を携帯電話で受信することも可能です。(送信業者: Telesign 社

最後に、とても重要な注意点があります。2 段階認証をセットアップする際に、自分の携帯電話にアクセスできない万が一の場合に備えて、1 回のみ使用可能な「バックアップコード」が複数提供されます。このバックアップコードは自分の Evernote アカウントにアクセスできない時に必要になるものなので、必ず Evernote 以外の場所に保管しておいてください。

アプリケーションの承認とアクセス履歴

Evernote アプリケーションおよびその他サービスによる、自分のアカウントへのアクセスを確認または取り消すことができます。Evernote Web 版にブラウザからログインし、アカウント設定画面の「アプリケーション」にて設定可能です。また、Evernote Web 版から Evernote のパスワードを再設定する場合に、すべてのアプリケーションのアクセスを取り消すこともできます。すべてのアプリケーションを取り消すと、自分のアカウントにアクセスできる攻撃者もアクセスができなくなります。

自分のアカウントに最近アクセスした IP アドレスおよび端末名の一覧を確認したい場合は、Evernote Web 版の「アクセス履歴」から行ってください。なお、ここに表示される端末の位置情報につきましては、100% 完璧な精度ではありませんので予めご了承ください。(この機能には MaxMind GeoIP サービスを利用しています。)特にモバイル端末や VPN トンネルをお使いの場合、プライベートなネットワークを経由して元の端末とは地理的に大分離れた場所の IP アドレスと通信することがあるため、誤差が生じることがあります。

端末の紛失・盗難

Evernote がインストールされている端末が盗難に遭った場合、その端末上にあるメール、写真や他のアプリケーションと同様に、お客様の Evernote データに簡単にアクセス可能な状態になります。このような状況を防ぐためにも、お使いの端末のオペレーティングシステムで使用可能なセキュリティ機能を有効にすることをお勧めいたします。この中にはパスコード、画面ロック機能、スクリーンセーバーまたは自動ロックの設定、端末のストレージの暗号化処理などが含まれます。

大半の場合、お客様がスマートフォン、タブレット端末およびコンピュータから Evernote にログインするのが必要なのは一回のみです。端末を紛失した場合は、その端末から自分のアカウントへのアクセスを取り消してください。操作手順はこちらです。

フィッシング

ハッカーの手口に、Evernote を装った偽サイトに誘導してログイン情報を入力させようとする方法があります。このような、パスワードを盗み取る攻撃を「フィッシング」と呼びます。Web サイトに Evernote のユーザ名とパスワードを入力する際は、必ずブラウザに表示されている URL が「https://www.evernote.com/」または「https://evernote.com」から始まることを最初に確認してください。

Evernote から送信されるすべてのメールにはデジタル署名が付き、送信元となる IP アドレスも公開されています。弊社が送信するメールのドメインは、必ず次のいずれかになります: @evernote.com または @email.evernote.comEvernote からのメールに見えても、送信者のドメインがこれと違う場合は、Evernote からのメールではありませんので削除してください。

Evernote を装った迷惑メールやその他悪意のあるメールに関する詳細につきましては、このナレッジベース記事をご参照ください。

マルウェアからの保護

コンピュータのマルウェア感染でよくある例として、使用しているブラウザ(またはブラウザ用プラグイン)のセキュリティ上の脆弱性を標的にすることがあります。これを「Drive-by download」(ドライブバイダウンロード)と呼びます。対策としては、お使いの Web ブラウザでプラグインが自動的に実行されないように設定するのが有効です。各ブラウザで、以下の手順を実行してください。

  • Firefox: デフォルト設定で「Click to play」が有効になっているため、操作は必要ありません。
  • Chrome: ブラウザの設定画面の項目「プラグイン」にて、「クリックして再生する」を選択してください。
  • Safari: 拡張機能の「ClickToPlugin」をインストールしてください。

また、お使いのソフトウェアは常に最新バージョンに更新することをお勧めします。アプリケーションのアップデートが利用可能である通知を受けるたびに、すぐにインストールしてください。