セキュリティ強化のヒント
お客様の Evernote データをさらに安全に保護するうえで、重要な手順がいくつかあります。
パスワード
Evernote にログインするためのパスワードは、他のサイトへのログイン用とは別のパスワードを使用してください。これにより、他のサイトで自分が使用しているパスワードを他人が入手した場合に、Evernote アカウントにはアクセスされる心配が無くなります。
なお、辞書に載っているような単純な単語はパスワードに使用しないでください。代わりに、最低 8 文字以上で大文字と小文字を組み合わせた半角数字と記号を含む、複雑なパスワードを指定してください。あるいは、20 文字以上のパスワードを指定した場合も同じく安全性が高いものとなります。
このようなパスワードを簡単に管理したい場合は、パスワード管理アプリの利用をお勧めいたします。
2 段階認証の設定
自分の Evernote アカウントで 2 段階認証を有効にすることで、万が一他人にパスワードを知られた場合にも、アカウントを保護することができます。
別名「2 要素認証」または多要素認証としても知られる 2 段階認証を有効にすると、ログイン時にいつも使用しているユーザ名とパスワードに加え、携帯電話で表示した特別なコードの入力が必要になるため、セキュリティが 1 段階強化されます。こうして手順を 1 つ増やす目的は、自分が知っていること(パスワード)と自分だけしか持っていないもの(携帯電話)を組み合わせることです。
2 段階認証の設定方法は簡単です。Evernote Web 版の「セキュリティ」メニューを開き、画面に表示される手順に従ってください。すべてのユーザは、お使いのモバイル端末上でアプリ(Google 認証システムを推奨しています)を使用して認証コードを生成するか、認証コードが記載されたテキストメッセージ (SMS) をモバイル端末で受信することが可能です(送信業者: Telesign 社)。
最後に、とても重要な注意点があります。2 段階認証をセットアップする際に、自分の携帯電話にアクセスできない万が一の場合に備えて、1 回のみ使用可能な「バックアップコード」が複数提供されます。このバックアップコードは自分の Evernote アカウントにアクセスできない時に必要になるものなので、必ず Evernote 以外の場所に保管しておいてください。
アプリケーションの承認とアクセス履歴
Evernote アプリケーションおよびその他サービスによる、自分のアカウントへのアクセスを確認または取り消すことができます。Evernote Web 版にブラウザからログインし、アカウント設定画面の「アプリケーション」にて設定可能です。また、Evernote Web 版から Evernote のパスワードを再設定する場合に、すべてのアプリケーションのアクセスを取り消すこともできます。すべてのアプリケーションを取り消すと、自分のアカウントにアクセスできる攻撃者もアクセスができなくなります。
自分のアカウントに最近アクセスした IP アドレスおよび端末名の一覧を確認したい場合は、Evernote Web 版の「アクセス履歴」から行ってください。なお、ここに表示される端末の位置情報につきましては、100% 完璧な精度ではありませんので予めご了承ください。(この機能には MaxMind GeoIP サービスを利用しています。)特にモバイル端末や VPN トンネルをお使いの場合、プライベートなネットワークを経由して元の端末とは地理的に大分離れた場所の IP アドレスと通信することがあるため、誤差が生じることがあります。
エンドツーエンド暗号化
Evernote のデスクトップ版アプリ(Mac・Windows)を使用している場合は、ノートに含まれる任意のテキストを暗号化し、暗号解除にパスフレーズを必要にすることで、プライベートな情報をより安全に保護できます。このエンドツーエンド暗号化 (E2EE) 機能を使用すると、暗号化を解除できるのはパスフレーズを知っている本人のみになります。Evernote は、パスフレーズまたは暗号鍵の情報を一切受信しません。したがって、ユーザがパスフレーズを忘れてしまっても、Evernote はデータを復元することができませんので、ご注意ください。
この機能が使用された場合、鍵長 128 ビットの AES 方式 (Advanced Encryption Standard) でテキストを暗号化します。この暗号化キーはお客様のパスフレーズから生成されており、それには固有の salt 値および SHA-256 ハッシュを 50,000 回通した PBKDF2 関数を利用します。このキーは初期化ベクトルと共に、暗号ブロック連鎖 (CBC) モードでデータを暗号化するために使用されます。
端末の紛失・盗難
Evernote がインストールされている端末が盗難に遭った場合、その端末上にあるメール、写真や他のアプリケーションと同様に、お客様の Evernote データに簡単にアクセス可能な状態になります。このような状況を防ぐためにも、お使いの端末のオペレーティングシステムで使用可能なセキュリティ機能を有効にすることをお勧めいたします。この中にはパスコード、画面ロック機能、スクリーンセーバーまたは自動ロックの設定、端末のストレージの暗号化処理などが含まれます。
スマートフォン、タブレット端末およびコンピュータで Evernote へのログインが必要なのは大抵、1 回のみです。端末を紛失した場合は、その端末から自分のアカウントへのアクセスを取り消してください。操作手順はこちらをご参照ください。
メールの送信元が Evernote かどうかを確認する方法
ハッカーの手口として、Evernote を装った偽サイトに誘導してログイン情報を入力させようとする方法があります。パスワードを盗み取るこのような手口を「フィッシング」と呼びます。Web サイトに Evernote のユーザ名とパスワードを入力する際は、必ずブラウザに表示されている URL が https://www.evernote.com/ または https://evernote.com から始まることを最初にご確認ください。
Evernote から送信されるすべてのメールにはデジタル署名が付き、弊社が公開している IP アドレスが送信元になっております。これらのドメインから受信したメールであれば、信頼のおけるものです。
Evernote:
- @evernote.com
- @emails.evernote.com
- @comms.evernote.com
- @discussion-notification.evernote.com
- @mail-svc.evernote.com
- @account.evernote.com
- @notifications.evernote.com
- @messages.evernote.com
Evernote からのメールに見えても、送信者のドメインがこれと違う場合は、Evernote からのメールではありませんので削除してください。
Evernote を装った迷惑メールやその他悪意のあるメールに関する詳細につきましては、こちらのヘルプ&参考情報の記事をご参照ください。
マルウェアからの保護
コンピュータのマルウェア感染でよくある例として、使用しているブラウザ(またはブラウザ用プラグイン)のセキュリティ上の脆弱性を標的にすることがあります。これを「Drive-by download」(ドライブバイダウンロード)と呼びます。対策としては、お使いの Web ブラウザでプラグインが自動的に実行されないように設定するのが有効です。各ブラウザで、以下の手順を実行してください。
Firefox: プラグインを「実行時に確認する」設定にします。Adobe Flash 用にこの設定を適用する方法につきましては、こちらのページをご参照ください。
Chrome: 最新バージョンをご利用であれば、サイトがプラグインを実行する際に確認メッセージが表示されます。
プラグインは、信頼のおける Web サイトから、必要な時のみに実行するようにしてください。
また、お使いのソフトウェアは常に最新バージョンに更新することをお勧めします。アプリケーションのアップデートが利用可能である通知を受けるたびに、すぐにインストールしてください。なお、Web ブラウザ上で通知されるアップデートの多くは、マルウェア拡散を目的とした偽物のアップデートである可能性が考えられますのでご注意ください。