ニフティは、@niftyメールの「メールパスワード」が漏えいした可能性があるとして、対象ユーザーに対し6月25日午後11時59分までにパスワードを変更するよう要請している。これに伴い、@niftyのパスワードには複数種類があるため、それぞれの違いと変更対象を整理する。
@niftyのパスワードの種類
@niftyのISPユーザーには、「ログインパスワード」と「メールパスワード」の2種類が発行されている。今回漏えいの可能性があるのは「メールパスワード」の方だ。ただし、注意すべきは「デフォルトでは両者が同じ文字列になっている」こと。初期値から変更していなかったり、変更後も両者を同じ文字列にしている場合、「メールパスワードの漏えい=ログインパスワードの漏えい」になるため、両方を変更した方が良い。
「ログインパスワード」は、ネット接続時や会員サポートページへのログインに加え、Webブラウザ版の「@nifty Webメール」へのログインにも使う。つまりWebメールは、「メールパスワード」ではなく「ログインパスワード」で利用する。
漏えい可能性がある「メールパスワード」とは
「メールパスワード」は、外部のメールソフトに@niftyメールを設定して送受信する際に使うパスワードだ。OutlookやThunderbird、iPhoneやAndroidの標準メールアプリなどで@niftyメールを設定する際に利用する。ログインパスワードが@nifty内部のサービス向けであるのに対し、メールパスワードは外部メールソフト向けというイメージだ。
ニフティは、漏えいの可能性がある顧客に対し、6月25日までにメールパスワードを変更するよう呼びかけている。25日までにリセットされない場合は、パスワードを順次無効化すると予告している。
「@niftyユーザー名パスワード」もある
@niftyにはもう1つ、「@niftyユーザー名パスワード」もある。これは@niftyブランドの無料サービスや有料コンテンツなどを利用する際にユーザーが自ら設定するパスワードで、今回の漏えい対象ではない。ただし、@niftyユーザー名パスワードのユーザーが@niftyのメールサービスを契約・利用しているケースもある。その場合は前述のメールパスワードも持っている可能性があり、変更対象となる。
まとめると、今回漏えいの可能性があるのは、外部メールソフトと連携するための「メールパスワード」のみ。ただし、初期設定のまま使っている人は「ログインパスワード」も同じ文字列のため、両方を変更した方が安全だ。「@niftyユーザー名パスワード」は対象ではないが、@niftyユーザー名にひも付けてメールサービスを利用している人は「メールパスワード」も保持している可能性があり、確認が必要だ。
対象ユーザーには同社からメールが届く。また、同社が用意した「対象メールアドレス確認ページ」からチェックできる。メールパスワードの変更期限は6月25日の午後11時59分。期限までに変更を確認できない場合、メールパスワードを順次無効化すると予告している。
