Apple「Hide My Email」に深刻な脆弱性が発覚
Original : Security Roundup: Apple’s Hide My Email Service Fails to Hide Your Email
Pourquoi c'est important
Appleのプライバシー機能の根幹に関わる欠陥は、数百万ユーザーの匿名性を脅かす。
Appleのプライバシー機能「Hide My Email」に少なくとも1年間、実際のメールアドレスが漏洩する脆弱性が存在することが判明。セキュリティ研究者Tyler Murphyは2025年6月に発見し、テストでは100%のアドレスが悪用可能だった。
Appleが2021年に導入した「Hide My Email」は、ユーザーがオンラインサービスに登録する際、実際のメールアドレスを開示せずに済むよう、@icloud.comドメインのランダムなエイリアスアドレスを生成するプライバシー機能だ。しかし404 Mediaの報道によると、セキュリティ研究者Tyler Murphyが2025年6月にこの機能の脆弱性を発見。ボランティアとの限定テストでは「テストした100%のHide My Emailアドレスが悪用可能だった」と述べている。新たに作成したエイリアスアドレスから、作成者の本物のメールアドレスを特定できることが確認された。Murphyは昨夏にAppleへ報告し、2025年3月に「対処済み」と回答を受けたが、その後もテストで脆弱性が再現されたという。Appleは数ヶ月前、まだ調査中であると返答。脆弱性の具体的な仕組みは未修正のため非公開。Appleはメディアのコメント要求に応じていない。また今週、Scattered Spiderへの関与が疑われるエストニア・米国の二重国籍を持つ19歳のPeter Stokesがフィンランドで逮捕・米国に移送され、不正アクセスや詐欺などの罪で起訴されたとDOJが発表した。