Apple「Hide My Email」に1年以上の情報漏洩脆弱性
원제: Security Roundup: Apple’s Hide My Email Service Fails to Hide Your Email
왜 중요한가
Appleのプライバシー機能の根幹に関わる脆弱性が長期間未修正であったことは、企業のセキュリティ対応プロセスと利用者の信頼に直接影響する。
セキュリティ研究者Tyler Murphyが2025年6月に発見したAppleの「Hide My Email」機能に脆弱性が存在し、少なくとも1年以上にわたって実際のメールアドレスが特定可能な状態だったことが404 Mediaの報道で明らかになった。テストでは100%のアドレスが解析可能だったとされる。
Appleが2021年に導入した「Hide My Email」は、オンラインサービス登録時に本人のメールアドレスを隠すためのプライバシー機能で、@icloud.comドメインのランダムなアドレスを生成し、実際の受信ボックスに転送する仕組みとなっている。
今回の報道によると、セキュリティ研究者のTyler Murphyは2025年6月にこの機能の脆弱性を発見。新規作成されたHide My Emailアドレスから、作成者の実際のメールアドレスを特定することが可能な状態だったとされる。404 MediaとMurphyが行った限定的なテストでは、「100%のHide My Emailアドレスが悪用可能だった」という。
Murphyは昨年夏にAppleへ問題を報告し、同社は2026年3月までに「対処済み」と回答していた。しかしその後も脆弱性が継続していることを確認したMurphyが再度連絡したところ、Appleは数ヶ月前に「引き続き調査中」と回答したという。脆弱性の具体的な手法については、問題が未修正のため非公開とされている。Appleは404 Mediaのコメント要求に応じていない。
また同週には、Scattered Spiderハッキンググループへの関与が疑われる19歳のエストニア・米国二重国籍者Peter Stokesがフィンランドで逮捕・米国に身柄移送され、コンピュータ侵入や共謀・詐欺の罪で起訴されたことも米司法省が発表した。