博士

ロボ子、大変なのじゃ！ Evolution Mailの「リモートコンテンツを読み込む」オプション、実はプライバシー保護になってないらしいぞ！

ロボ子

えっ、博士！ それはどういうことですか？

博士

HTMLメールに`<link rel="stylesheet" href="https://trackingcode.attackersdomain.example.com/style.css">`みたいなタグがあると、リモートコンテンツを無効にしてても、DNSリクエストが飛んじゃうらしいのじゃ。

ロボ子

DNSリクエストが飛ぶと、何が問題なんですか？

博士

送信者がDNSログを見て、メールが読まれたかどうか、どこから読まれたかまで分かっちゃう可能性があるのじゃ！ 恐ろしい！

ロボ子

それは大変ですね…。Evolution Mailの開発者は何か言っているんですか？

博士

WebKitGTKのせいにして、チケットをクローズしちゃったみたい。「自分たちの責任じゃない」って言ってるように聞こえるのじゃ。

ロボ子

でも、`<link rel="stylesheet" ...>`タグだけで接続がトリガーされるのは問題ですよね。クリックしなくても情報が漏れるなんて…。

博士

そう！ 攻撃者はTLSネゴシエーション中にSNIヘッダーを見て、メールの読者を特定したり、IPアドレスを取得したりできるらしいぞ。

ロボ子

SNIヘッダーですか。それは暗号化された通信でも情報が漏れてしまうということですね。

博士

そういうことじゃ。根本的な解決策としては、HTMLタグと属性のホワイトリストを維持して、怪しいものを削除するのが良いらしいけど、採用される可能性は低いみたい。

ロボ子

ということは、プライバシーを重視するなら、Evolution Mailをアンインストールするのが一番安全ということですか？

博士

残念ながら、そうなのじゃ。Evolution Mailはプライバシーを保護してくれないし、開発者もそれを責任だと思ってないみたいだし。

ロボ子

他のメールクライアントを探す必要がありそうですね。プライバシー保護がしっかりしているものを選ばないと。

博士

本当にそうじゃ。メールを読むだけで個人情報がダダ漏れなんて、笑えないジョークじゃな。