Sponsored Contents

appleの最新記事

Image credit:
Save

macOS暗号化メールの一部が平文保存されるバグ発見。アップルは修正を約束

専門家の報告から3ヶ月も対応が遅れました

Kiyoshi Tane
2019年11月9日, 午後12:05 in Apple
125シェア
23
102
0

連載

注目記事

世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

View
AirPods Pro実機をソニーのWF-1000XM3と比較 ノイズキャンセリングの決定版は?(追記)

AirPods Pro実機をソニーのWF-1000XM3と比較 ノイズキャンセリングの決定版は?(追記)

矢崎 飛鳥, 10月29日
View

macOSの純正メールアプリにおいて、暗号化されたメールの一部が平文のまま保存されているバグが発見されました。これに対して、アップルは修正することを約束しています。

この脆弱性を報告したのは、アップル製品を専門としたITスペシャリストであるBob Gendler氏です。Gendler氏によると、この不具合はSiriに関連したバグによるもの。Siriはユーザーに適切に応答するために、純正メールやその他のアプリからの情報を保存したmacOS内のデータベースを使用しています。それ自体はSiriがユーザーの情報を学習する上では理に叶っており、特に意外ではありません。

しかしGendler氏は、そうしたファイルの1つであるsnipers.dbに、暗号化されたはずのメールが暗号化されず平文で保存されていることを発見しました。macOS内で何が起こっているかを説明するために、同氏は以下の画像を共有しています。
macos
左側の円に囲まれた部分は、メールアプリ上で暗号化されたメールです。「Unable to decrypt message(メッセージを復号できません)」と表示されて本文が非表示となっているのは、復号に必要な秘密鍵がMac上から削除されているためです。ところが右側の円内では、電子メールのテキストが平文のままsnipers.db内に保存されていると確認できます。

こうした脆弱性は、直近のmacOS4つ(Catalina、Mojave、High Sierra、およびSierra)に存在しているとのこと。とはいえ、影響を受けるのはあくまで「macOS上で純正メールアプリを使用」かつ「暗号化されたメールを送信した」ユーザーに限られます。すなわちサードパーティ製クライアントを使っている人には関係ありません。

問題は、アップルの対応が3ヶ月以上も遅れたことです。Gendler氏は7月29日に本脆弱性をアップルに報告し、何度もやり取りを重ねたにもかかわらず、同社は11月5日まで一時的な解決策さえ発表しなかったと述べています。

アップルは、当面は[システム環境]>[Siri]>[Siriからの提案とプライバシー]からメールを選択し、[このAppから学習]をオフにするよう提案しているとのこと。ただしGendler氏は、この一時的なソリューションは新たなメールがsnippets.dbに追加されるのを停止するだけだとして、過去メールのスキャンを防ぐためにはファイルごと削除する必要があると指摘しています。
mail
もう1つのアップルの提案は、Mac上の全てが暗号化されるFileVault設定をオンにすることです。確かにメールを含めて第三者が読み取ることはできなくなりますが、FileVaultの処理がCPUに負担をかけ、システム全体が遅くなる可能性もあります。

そう多くのユーザーには影響ないと思われる脆弱性ですが、専門家の報告があってから3ヶ月以上も放置されていたことは問題視されるはず。FaceTimeグループ通話の盗聴バグもiOS 12.1配信から約3ヶ月、少年による報告からバグ修正まで1週間以上の遅れが生じていましたが、アップルにはより素早い対応が求められそうです。



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

125シェア
23
102
0

Sponsored Contents