AppleのHide My Email機能にメアド漏洩の脆弱性
原題: Security Roundup: Apple’s Hide My Email Service Fails to Hide Your Email
なぜ重要か
プライバシー保護を売りにするAppleの主要機能に長期間修正されない脆弱性が存在することは、企業の信頼性とユーザーデータ保護の実効性に対する問題提起となる。
Appleが2021年に提供を開始したプライバシー機能「Hide My Email」に、少なくとも1年以上にわたり実際のメールアドレスが特定可能になる脆弱性が存在することが判明した。セキュリティ研究者Tyler Murphyが2025年6月に発見し、限定テストでは対象アドレスの100%が悪用可能だったと報告している。
Appleが2021年に提供を開始した「Hide My Email」は、オンラインサービスへの登録時にランダムな@icloud.comドメインのメールアドレスを生成し、ユーザーの本物のアドレスに転送するプライバシー機能だ。ところが、404 Mediaが報じたところによると、この仕組みに深刻な脆弱性が存在し、隠匿のはずの本物のメールアドレスが特定できてしまう状態が少なくとも1年以上続いているという。
脆弱性を発見したセキュリティ研究者のTyler Murphyは、「限定的なボランティアを対象にしたテストで、Hide My Emailアドレスの100%が悪用可能だった」と述べた。テストでは、新規に作成したHide My Emailアドレスから作成者の本物のアドレスを紐づけることができた。具体的な攻撃手法はまだ脆弱性が修正されていないため公表されていない。
Murphyは2025年6月にこの問題を発見し、同年夏にAppleへ報告。Appleは2025年3月までに「対処済み」と回答したが、その後もMurphyのテストでは問題が再現した。数か月前にAppleへ再度確認したところ、「引き続き調査中」との回答を得たという。Appleは404 Mediaのコメント要請にも応じていない。
また今週はほかにも、ハッキング集団「Scattered Spider」の関与が疑われる19歳のエストニア・米国二重国籍者Peter Stokesがフィンランドで逮捕・米国へ送還され、コンピュータ不正侵入・共謀・詐欺罪で起訴されたことを米司法省が発表した。