Appleのプライバシー保護機能「Hide My Email」で生成される一時アドレスから、利用者の本来のメールアドレスを特定できる可能性があることが分かった。米TechCrunchが1日(米国時間)に報じた。
報道によると、セキュリティ研究者のタイラー・マーフィー氏は、「Hide My Email」が発行する一時アドレスを手がかりに、本来のメールアドレスを識別できる不具合を確認したと明らかにした。
Hide My Emailは、Webサイトやアプリの登録時に実際のメールアドレスの代わりとなる一時アドレスを生成し、個人情報の露出を抑える機能。Appleは、オンライン追跡の抑制や個人情報保護に役立つ代表的なプライバシー機能の一つとして位置付けてきた。
今回の指摘が事実であれば、機能の根幹に関わる問題となる。マーフィー氏は、この脆弱性を1年以上前にAppleへ報告したものの、現時点でも修正されていないとしている。未修正の理由は明らかになっていない。
同氏によれば、自身が試した攻撃手法はすべて成功したという。影響が全利用者に及ぶかは確認できていないが、限られた協力者を対象にした検証では、「Hide My Email」で生成されたアドレスのすべてについて、本来のメールアドレスを特定できたとしている。
一方で、実際の悪用につながる恐れがあるとして、具体的な攻撃手法や技術的な詳細は公表していない。
オンラインメディアの404 Mediaも独自検証の結果、同様の現象を確認したと伝えた。マーフィー氏は、個人情報削除サービスを手掛けるEasyOptOutsの共同創業者でもある。
同氏は、インターネット上で検索可能な人物情報サイトでは、メールアドレスを手がかりに他の個人情報へ容易にたどり着けると指摘。「メールアドレスを隠せば守られると考えていた利用者が、想定以上のリスクにさらされる可能性がある」と警鐘を鳴らした。
今回の問題が注目される背景には、Appleがプライバシー保護を中核的なブランド価値として訴求してきたことがある。iPhoneやiCloudでもプライバシーを主要な競争力として打ち出してきた一方、関連機能の実効性を巡っては過去にも議論があった。
2022年には、iPhoneの分析データ送信機能を無効にしても、一部アプリが利用情報を継続してAppleに送っていたとの疑惑が浮上し、集団訴訟に発展した。
また2023年には、Wi-Fi接続時に端末情報を隠すランダムMACアドレス機能についても、特定の条件下で実際のMACアドレスが露出し得るとの研究結果が公表されている。今回の件も、Appleのプライバシー保護機能の信頼性を巡る新たな論点となりそうだ。
現時点でAppleは、この脆弱性の指摘について公式コメントを出していない。今後は、Appleが事実関係を確認したうえで修正プログラムを提供するのか、既存利用者に追加の案内を行うのかが注目される。