やじうまWatch

iCloud+で利用できる匿名アドレス機能に、元アドレスが外部から参照できる脆弱性

 iPhoneなどで利用できる匿名アドレス機能「メールを非公開」で、本来のメールアドレスが外部から参照できてしまう脆弱性があることを、海外メディアが報じている。

 メールを非公開(Hide My Email)は、iCloud+で提供される機能の1つで、本来のメールアドレスとは異なる匿名のアドレスを生成して利用できる。匿名アドレスは「ランダムな2つの単語と数字」+「@icloud.com」というフォーマットで構成され、受信したメールは全て本来のアドレスに転送される。ウェブサービスなどへの会員登録や、個人情報と紐付けられたくない用途などでの使用が想定されるが、今回、このツールに脆弱性があり、ほぼ誰でも本来のアドレスが見えてしまうことが、セキュリティ研究者によって発見されているという。

 詳細は非公表だが、情報を入手してテストを行った「404 Media」によると、セキュリティ研究者がAppleに報告してから1年近く経った今年5月の時点で、Appleからの回答は「調査中」であり、「今後数週間以内に予定されている」セキュリティアップデートで対処する予定との発表があったという。同機能を利用するにあたっては、当面はこうしたリスクの存在も意識しておいたほうがよさそうだ。

 なお、「TechCrunch」が6月中旬、Appleがこの「メールを非公開」で用いられるアドレスのドメインを近日中に「@private.icloud.com」に変更する計画の存在を報じており、この脆弱性の件が関係している可能性もありそうだ。