暗号化に関しては、Appleは長年セキュリティ対策を推進してきた企業です。しかし、macOSの標準メールアプリの暗号化は、Appleが謳っていたほど効果的ではなかったことが判明しました。
The Vergeは本日、macOS、特にApple標準のメールアプリにおける暗号化メールの扱いについて、Appleの詳細なレポートを公開しました。どうやら、適切な状況下では、暗号化されたメールの内容を、まるで暗号化されていないかのように読める可能性があるようです。さらに悪いことに、Appleはこの問題をかなり前から認識していたようで、今になってようやく修正に着手したようです。
しかし、まず、次の点を述べておきましょう。
先に進む前に、この脆弱性が影響を受けるのはおそらく少数のユーザーに限られることを理解しておいていただきたい。macOSとApple Mailを使用し、 Apple Mailから暗号化されたメールを送信し、FileVaultを使ってシステム全体を暗号化しておらず、Appleのシステムファイルのどこにこの情報があるかを正確に把握している必要がある。もしあなたがハッカーであれば、それらのシステムファイルにもアクセスする必要があるだろう。
この問題は、Apple関連のIT専門家であるボブ・ジェンドラー氏が今週初め、Mediumで初めて指摘しました。ジェンドラー氏によると、メールなどのアプリからの情報が保存されているmacOSデータベースファイルを発見し、Siriがエンドユーザーに適切な情報を提案するために使用していたとのことです。Siriはこれらの情報を使って各ユーザーについて学習し、それに基づいた提案を行うため、これは 本来の動作です。
しかし、ジェンドラー氏は「snippets.db」というデータベースファイルを発見しました。このファイルには、暗号化されるはずだった電子メールの暗号化されていないテキストが保存されていました。
ここでの大きな問題は、macOS が暗号化されていないメールのテキストをデータベース ファイルに保存しているというだけでなく、Gendler 氏が Apple のデスクトップ オペレーティング システムの最新の 4 つのメジャー バージョン リリース (Sierra、High Sierra、Mojave、および Catalina) をテストし、そのすべてに問題が存在することを発見したという点です。
ジェンドラー氏は、今年7月29日にこの問題をAppleに報告したと述べています。99日後の11月5日、Appleはようやく対応しました。デスクトップOSには長年にわたり何度かアップデートが行われてきましたが、いずれのアップデートにもこの問題に対するパッチは含まれていませんでした。
snippets.dbへのメールの収集を今すぐ停止したい場合は、Appleによると、「システム環境設定」>「Siri」>「Siriからの提案とプライバシー」>「メール」と進み、「このAppから学習」をオフにすることで停止できるとのことです。Appleはこの解決策をGendler氏にも提供しましたが、Gendler氏によると、この解決策はsnippets.dbへの新規メールの追加のみを停止するものとのことです。snippets.dbに保存されている可能性のある古いメールをスキャンされないようにしたい場合は、そのファイルも削除する必要があるかもしれません。
Appleによると、暗号化されていないスニペットが他のアプリに読み取られるのを防ぎたい場合、macOS Catalinaではアプリにフルディスクアクセスを許可しないようにすることができます。フルディスクアクセスを許可するアプリはおそらくほとんどないでしょう。Appleはまた、安全性をさらに高めたい場合は、FileVaultをオンにするとMac上のすべてのデータが暗号化されると説明しています。
この記事の冒頭で述べた重要な点を最後にもう一度繰り返しておきます。この問題は多くの人に影響を与えるものではありません。しかし、特にmacOSでこの問題が長い間存在してきたことを考えると、だからといって重要性が下がるわけではありません。
Appleは The Vergeに対し、セキュリティ問題の修正が近々リリースされると語ったが、新しいソフトウェアでいつこの問題が解決されるかという正確な日付は明らかにしなかった。
