OS X の Spotlight 機能が Apple Mail のプライバシー設定を処理する方法に異常な見落としがあり、メール メッセージが Spotlight でプレビューされるたびに、スパマー、フィッシング詐欺師、オンライン追跡会社がユーザーの IP アドレス、現在のオペレーティング システムのバージョン、ブラウザーの詳細などの個人データを入手する可能性がある。
このバグはドイツのテクノロジーニュースサイトHeiseによって初めて発見され、一般的な情報収集手法と、プログラムが電子メール内のリモートコンテンツを読み込むかどうかを決定するメール設定を悪用しています。
オフにすると、メールアプリはニュースレター、HTML形式のマーケティングメッセージ、その他のメール内の画像を読み込まなくなります。OS Xのどこでも利用できる検索機能であるSpotlightは、何らかの理由でこの設定を反映しません。
その結果、Spotlightでメールをプレビューするたびに、メールのプライバシー設定に関係なく、リモートサーバーに保存されている画像が取得されます。ただし、購読している正当なマーケティングメッセージをSpotlightでプレビューする場合は、大きな問題にはなりません。
しかし、スパマーやマーケターはトラッキングピクセルと呼ばれる手法をよく使います。これは、1ピクセル四方のGIFファイルへのリンクを使用するもので、このファイルが読み込まれると、サーバーにメールを受信して開封したことが通知されます。するとサーバーはあなたのメールアドレスを「有効」と認識し、それ以降、さらに多くの迷惑メールが届くようになります。
「さらに、Spotlight は、迷惑メールフォルダに直接送られた未開封のメールのプレビューを表示するときにも、これらのファイルを読み込みます」と Heise 氏は指摘します。
これを軽減する唯一の方法は、システム環境設定 > Spotlightで「メールとメッセージ」のチェックボックスをオフにして、Spotlight検索からメールを除外することです(上記参照)。もちろん、メールがSpotlight検索に表示されなくなるため、一部の機能は利用できなくなりますが、少なくとも安全は確保できます。
この不具合が公表されたので、Apple は次の OS アップデートでこれに対処してくれると確信しています。
また、この不具合は、Dropbox の Mailbox、Google の Sparrow、Mindsense の Mail Pilot などのサードパーティ アプリケーションを日常の電子メール ドライバーとして使用している私のようなユーザーには影響しません。
出典: Heise
