Appleの「メールを非公開」機能に脆弱性、攻撃者がユーザーの本物のメールアドレスを特定可能に

Appleのプライバシー機能「メールを非公開」に重大な欠陥が存在し、ユーザーの本物のメールアドレスが露呈する恐れがあることが分かりました。この問題はiCloud+が備える匿名性保護の中核機能を損なうものです。

404 Mediaの報道と独自の検証結果によると、この問題はAppleに報告されてから1年以上にわたって未対応のままとなっているとされています。

Appleの「メールを非公開」機能の脆弱性

「メールを非公開」は使い捨てのメールエイリアスを生成し、届いたメッセージをユーザーの主要な受信箱に転送する仕組みです。これにより、ユーザーは実際のメールアドレスを明かすことなく各種サービスに登録できます。

しかし、今回報告された脆弱性は、攻撃者がエイリアスに紐づく本物のメールアドレスを突き止められるという形でこの機能を無力化してしまうようです。これにより、ユーザーはフィッシング、スパム、追跡、そしてアカウント乗っ取りの危険にさらされる可能性があります。

脆弱性管理プラットフォーム

EasyOptOutsの共同創業者であるTyler Murphy氏は、この欠陥が再現可能であると指摘し、「限られたボランティアによるテストでは、『メールを非公開』のアドレスの100%が悪用可能でした」と述べています。

404 Mediaも自ら非公開アドレスを用いてこの問題を確認しましたが、脆弱性が容易に悪用されるのを防ぐため、技術的な詳細の開示は見送りました。

この機能はニッチな付加機能ではなく、プライバシー保護機能として宣伝されているだけに、問題の深刻さは特に懸念されます。攻撃者が使い捨てエイリアスを本人の実際の受信箱までたどれるのであれば、様々なサービスにまたがってユーザーの匿名性を剥ぎ取ったり、標的型フィッシング用のリストを作成したり、別々のオンラインアイデンティティを紐づけたりすることが可能になるかもしれません。

Appleはこの脆弱性について2025年に報告を受けていたとされていますが、本稿執筆時点では修正は提供されていません。この脆弱性が依然として悪用可能な状態にあることから、対応の遅れは懸念を呼んでいます。研究者らは、正確な手口を公開すれば、それが広く知られることで悪用が加速しかねないと警告しています。

当面のところ、ユーザーはAppleがパッチをリリースするまで、「メールを非公開」を完全な匿名化レイヤーとは見なさない方がよいでしょう。セキュリティを重視するユーザーは、リスクの高いアカウントにこの機能を使用しないこと、不審なメールのパターンに注意を払うこと、そして自分のエイリアスが匿名性を失った場合に問題となりうる機密性の高い登録に紐づいていないかを検討することが推奨されます。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/apple-hide-my-email-vulnerability/

ソース: gbhackers.com