Quick Look
ニフティは「@niftyメール」の「メールパスワード」漏えいの可能性を公表し、ユーザーに6月25日までの変更を求めている。記事は、複数の@niftyパスワードの種類を整理し、外部メールソフト連携用の「メールパスワード」が対象であること、初期設定のままのユーザーは「ログインパスワード」も変更すべきだと説明している。
AI-generated summary
Why It Matters
ニフティは「@niftyメール」の「メールパスワード」が漏えいした可能性があることを公表し、ユーザーにパスワード変更を促している。
ニフティは「@niftyメール」の「メールパスワード」が漏えいした可能性があるとし、ユーザーに対して、25日までにメールパスワードを変更するよう求めている(関連記事)。
ただ、@niftyのパスワードは複数種類ある。どのパスワードが対象で、どれが違うのか、改めて整理する。
漏えいした可能性があるのは「“メール”パスワード」だが……
@niftyのISPユーザーには、「ログインパスワード」と「メールパスワード」の2種類が発行されている。今回漏えいした可能性があるのは「メールパスワード」の方だ。
ただ注意すべきは、「デフォルトでは両者は同じ文字列になっている」こと。初期値から変更していなかったり、変更後も両者を同じ文字列にしていたりすれば、「メールパスワードの漏えい=ログインパスワードの漏えい」になるため、両方を変更した方が良い。
「ログインパスワード」は、ネット接続時や、会員サポートページへのログインに加え、Webブラウザ版の「@nifty Webメール」へのログインにも使う。つまりWebメールは、「メールパスワード」ではなく、「ログインパスワード」で利用する。
では、今回漏えいした可能性がある「メールパスワード」とは何か。これは、外部のメールソフトに@niftyメールを設定して送受信する際に使うパスワードだ。OutlookやThunderbird、iPhoneやAndroidの標準メールアプリなどで@niftyメールを設定する際に利用する。
「ログインパスワード」は@nifty内部のサービス向け、メールパスワードは外部のメールソフト向け、というイメージだ。
「@niftyユーザー名パスワード」もあるが……
@niftyにはもう1つ、「@niftyユーザー名パスワード」もある。@niftyブランドの無料サービスや有料コンテンツなどを使う際、ユーザーが自ら設定するパスワードだ。このパスワードは漏えいの対象ではない。
ただ、「@niftyユーザー名パスワード」のユーザーが、@niftyのメールサービスを契約・利用しているケースもあるという。その場合は前述のメールパスワードも持っている可能性があり、変更対象になる。
「対象メールアドレス確認ページ」からチェックできる
まとめると、今回漏えいした可能性があるのは、外部メールソフトと連携するための「メールパスワード」のみ。ただ、初期設定のまま使っている人は「ログインパスワード」も同じ文字列のため、両方を変更した方が安全だ。
「@niftyユーザー名パスワード」は対象ではないが、@niftyユーザー名にひも付けてメールサービスを利用している人は、「メールパスワード」も保持している可能性があり、確認が必要だ。
対象のユーザーには、同社からメールが届く。また、同社が用意している「対象メールアドレス確認ページ」からチェックできる(関連リンク)。
メールパスワードの変更期限は6月25日の午後11時59分。期限までに変更を確認できない場合、メールパスワードを順次無効化すると予告している。
What to Watch
AI outlook — possibilities, not facts
ニフティは、6月25日までにパスワードを変更しないユーザーのメールパスワードを無効化する。
Very likely · Within days
Open Questions
- 漏えいの原因は何か?
- 漏えいしたパスワードが悪用された事例はあるか?
- 何人のユーザーが影響を受けたか?
