ニフティ「@niftyメール」パスワード漏えい、どのパスワードを変更すべきか改めて整理

ニフティは「@niftyメール」の「メールパスワード」が漏えいした可能性があるとし、ユーザーに対して、25日までにメールパスワードを変更するよう求めている（関連記事）。

ただ、@niftyのパスワードは複数種類ある。どのパスワードが対象で、どれが違うのか、改めて整理する。

漏えいした可能性があるのは「“メール”パスワード」だが……

@niftyのISPユーザーには、「ログインパスワード」と「メールパスワード」の2種類が発行されている。今回漏えいした可能性があるのは「メールパスワード」の方だ。

ただ注意すべきは、「デフォルトでは両者は同じ文字列になっている」こと。初期値から変更していなかったり、変更後も両者を同じ文字列にしていたりすれば、「メールパスワードの漏えい＝ログインパスワードの漏えい」になるため、両方を変更した方が良い。

「ログインパスワード」は、ネット接続時や、会員サポートページへのログインに加え、Webブラウザ版の「@nifty Webメール」へのログインにも使う。つまりWebメールは、「メールパスワード」ではなく、「ログインパスワード」で利用する。

では、今回漏えいした可能性がある「メールパスワード」とは何か。これは、外部のメールソフトに＠niftyメールを設定して送受信する際に使うパスワードだ。OutlookやThunderbird、iPhoneやAndroidの標準メールアプリなどで＠niftyメールを設定する際に利用する。

「ログインパスワード」は@nifty内部のサービス向け、メールパスワードは外部のメールソフト向け、というイメージだ。

「@niftyユーザー名パスワード」もあるが……

@niftyにはもう1つ、「@niftyユーザー名パスワード」もある。@niftyブランドの無料サービスや有料コンテンツなどを使う際、ユーザーが自ら設定するパスワードだ。このパスワードは漏えいの対象ではない。

ただ、「@niftyユーザー名パスワード」のユーザーが、@niftyのメールサービスを契約・利用しているケースもあるという。その場合は前述のメールパスワードも持っている可能性があり、変更対象になる。

「対象メールアドレス確認ページ」からチェックできる

まとめると、今回漏えいした可能性があるのは、外部メールソフトと連携するための「メールパスワード」のみ。ただ、初期設定のまま使っている人は「ログインパスワード」も同じ文字列のため、両方を変更した方が安全だ。

「@niftyユーザー名パスワード」は対象ではないが、@niftyユーザー名にひも付けてメールサービスを利用している人は、「メールパスワード」も保持している可能性があり、確認が必要だ。

対象のユーザーには、同社からメールが届く。また、同社が用意している「対象メールアドレス確認ページ」からチェックできる（関連リンク）。

メールパスワードの変更期限は6月25日の午後11時59分。期限までに変更を確認できない場合、メールパスワードを順次無効化すると予告している。