OS X YosemiteのSpotlightでメールの内容を検索すると、スパマーやフィッシング詐欺グループに、こちらのIPアドレスやシステムの情報が送信されるセキュリティリスクがあることが報告されています。
これは、Spotlightが検索時にHTMLメールのプレビューを表示してしまう為。
Mail appではHTMLメールの画像を自動で読み込まない設定になっているのに、こちらは問答無用でプレビューするというお馬鹿っぷりです。
これによって、スパムメールにimgタグで埋め込まれているトラッキングURL(例:<img src="http://example.com/tracking.gif?id=12345 />)が自動で表示されてしまい、コールバックで、IPアドレスとOSのバージョンなどのユーザーエージェント情報がスパマーに送信され、メールアドレスと紐付けされてしまう恐れがあります。(IPアドレスからは大まかな位置情報もわかるので、これも紐付けされる恐れあり)
対策方法
今後、OS X Yosemiteのアップデートで“HTMLメールのプレビューを無効”にできる設定が追加されるまでは、システム環境設定 > Spotlight > 検索結果 から「メールとメッセージ」のチェックを外して、Spotlightの検索結果に表示しないようにすることで対策できます。
この設定を行っても、Spotlightでメールの検索ができなくなるだけでインデックス自体は行われるので、Mail appでのメールの検索は可能です。
- Source heise online
- Source ITworld
- Via Ars Technica
