ホームZ - バナーホーム itaApple「メールを非公開」機能のバグ、セキュリティテストで100%の悪用率を記録

Apple「メールを非公開」機能のバグ、セキュリティテストで100%の悪用率を記録

Apple の「メールを非公開」機能のバグによるセキュリティ上の欠陥により、数百万人の iCloud+ 加入者が潜在的に危険にさらされています — 本物のメールアドレスが、基本的な身元検索ツールを使うだけで誰にでも静かに見えてしまう状態になっていました。これは理論上のリスクではありません。Easy Opt Out の共同創業者である Tyler Murphy によると、テストされた「メールを非公開」のアドレスはすべて悪用可能だったといいます。

重要なポイント

  • Apple の「メールを非公開」サービスの脆弱性により、誰でも公開されている身元検索ツールを使ってユーザーの本物のメールアドレスを突き止めることができます。
  • Easy Opt Out の Tyler Murphy は 2025 年 6 月にこのバグを Apple に報告しましたが、Apple は 2026 年 3 月に修正を主張したものの、脆弱性は残っていました。
  • ボランティアを対象としたテストでは、「メールを非公開」で生成されたすべてのアドレスが 100% の確率で悪用可能であることが示されました。
  • Apple は icloud.com から private.icloud.com へのドメイン変更を含むアップデートを計画していましたが、完全な修正のタイムラインは依然として不透明です。
  • 専門家は、問題が解決するまで iCloud+ 加入者に対し、「メールを非公開」の一時的な利用停止を推奨しています。

Apple の「メールを非公開」で本物のメールが露出するセキュリティ欠陥

「メールを非公開」はシンプルな約束の上に成り立っています。つまり、icloud.com ドメイン配下の使い捨てエイリアスを使ってウェブサイトに登録すれば、本来の受信トレイは見えないままになる、というものです。エイリアスはスパムを受け止め、期限が来れば失効し、あなたの身元をクリーンに保ちます。エントリーレベルで月額約 1 ドルの iCloud+ の料金を考えれば、これは堅実なプライバシー衛生に見えます。

しかし、その約束には深刻なひびが入っています。最初にこの脆弱性を報じ、検証した 404 Media に対し Murphy は、公開されている人物検索サイトを使えば、「メールを非公開」のアドレスを他の個人情報と簡単に結び付けられると語りました。つまり、データブローカーやストーカー、詐欺師など、十分な動機を持つ者であれば、高度なハッキングスキルがなくても、エイリアスから本物の受信トレイへと逆引きできてしまうということです。

Easy Opt Out はボランティアを対象にした管理されたテストを実施し、その結果は衝撃的なものでした。テストされた「メールを非公開」のアドレスの 100% が、一般公開されている身元検索ツールを通じてユーザーの本物のメールアドレスを突き止めるために利用可能だったのです。Murphy は悪用の正確な手口について公には説明を控え、404 Media も即時の大規模悪用を防ぐため、報道時点では技術的な詳細を伏せました。

この機能の性質を考えると、その影響を無視するのは難しくなります。「メールを非公開」は、情報漏えいが現実的な結果をもたらし得る状況、すなわち後に侵害される可能性のあるサービスへの登録、データブローカーからの可視性の制限、センシティブな状況にあるユーザーの保護など、まさにそうした場面のために存在しています。Murphy は特に、「安全のために『メールを非公開』に依存している人々が危険にさらされている可能性がある」と警告しており、この問題が単なるニッチな技術的課題を超えるものであることを示しています。

発見・報告と Apple の対応タイムライン

2025 年 6 月の早期発見と報告

Murphy が初めて Apple にこの脆弱性を警告したのは、2025 年 6 月でした — 公開されるよりも 1 年以上前のことです。このタイムラインだけでも立ち止まって考える価値があります。商用で現役利用されているプライバシー機能に、既知かつ検証済みのセキュリティ欠陥が存在していたにもかかわらず、ユーザーが 1 年間にわたってさらされ続ける中でパッチが当てられなかったのです。

Apple による 2026 年 3 月の修正主張とバグの存続

2026 年 3 月、Apple は問題を解決したと Murphy に伝えました。Murphy は確認しましたが、そうではありませんでした。Apple が修正を主張した後も脆弱性は完全に悪用可能なままであり、その保証に先立つ社内テストの厳密さに疑問を投げかける結果となりました。

公開開示をめぐる対立

2026 年 5 月までに、Apple は依然として調査中であることを認め、Murphy に対し公表を控えるよう求めました。Apple のメッセージは率直でした。「お客様を危険にさらさないため、当社の調査が完了するまでこの情報を開示しないようご配慮いただけると幸いです。」しかし Murphy は同意しませんでした。彼は公表に踏み切り、1 年以上も解決されないまま続いているリスクについて、ユーザーには知る権利があると主張しました。

この対立は、セキュリティ研究における現実の緊張関係を反映しています。研究者が企業にパッチの時間を与えてから公開する「協調的開示」は標準的な慣行であり、一般的には保護的に機能します。しかし、企業が自ら示した修正期限を守れず、遅延を続け、なおかつ確定した解決時期も示さない場合、研究者は難しい判断を迫られます。Murphy の立場はこうです。沈黙を続けることは、プライバシーツールが侵害されていることを知らないままのユーザーを、引き続き危険にさらすことを意味する、と。

Apple は公開後、404 Media と CNET のいずれからのコメント要請にも応じませんでした。

ユーザーへの影響と Apple が計画するアップデート

現在「メールを非公開」を利用している人にとって、セキュリティ専門家からの実務的なアドバイスは明快です。Apple が有効な修正を確認するまで、この機能の利用を一時的に停止するべきだということです。リスクは抽象的なものではありません — これまでに使ったすべてのエイリアスが、標準的なデータブローカーのツールにアクセスできる人物によって、本物の受信トレイへとたどられてしまう可能性があるのです。

Apple は今夏、この機能に対していくつかのアップデートに取り組んでいると示唆しています。最も具体的に明らかにされている変更は、メールドメインを icloud.com から private.icloud.com に切り替えるというものです。この変更の具体的な理由は公には説明されておらず、新しいサブドメイン構造にはそれ自体の複雑さも伴います。

もしウェブサイトやサービスが、private.icloud.com で終わるアドレスを認識してブロックし始めた場合 — これは、多くのプラットフォームが既知のエイリアスドメインをすでにフラグ付けまたは拒否していることを踏まえると、現実的な結果です — 「メールを非公開」のユーザーは、本物のアドレスを共有せざるを得ない状況に追い込まれるかもしれません。そうなれば、この機能の中核的な目的は事実上失われます。Apple がアップデート計画の中で、こうした下流の影響をどこまで織り込んでいるのかは、依然として不明です。

これは、Apple のプライバシーブランディングと、実際のプライバシーツールの性能との衝突が初めて起きた事例ではありません。2022 年には、iPhone の「解析を共有」設定をオフにしていても、iPhone アプリが解析データを Apple に送信していることが判明しました。2023 年には、Wi‑Fi 接続の匿名化を目的とした MAC アドレスランダム化機能が、逆にユーザーの本物の MAC アドレスを露出させていることが発覚しました。これらの事例はそれぞれ、Apple が長年かけて築いてきた「デフォルトでユーザープライバシーを重視する企業」という土台を少しずつ侵食してきました。

「メールを非公開」の脆弱性が一つだけ異なるのは、それがユーザー自身がまさに自分を守るために明示的に有効化する機能に影響しているという点です。期待と現実のギャップは、賭け金が最も高いところでこそ最大になります。

FAQ

Apple の「メールを非公開」サービスで発見された脆弱性とは何ですか?

このセキュリティ上の欠陥により、攻撃者は基本的で公開された身元検索ツールを使って、「メールを非公開」のエイリアスに紐づくユーザーの本物のメールアドレスを突き止めることができます。Easy Opt Out のテストでは、調査対象となったすべてのアドレスで 100% の悪用率が示されました。

Apple は「メールを非公開」のバグをいつ初めて認識しましたか?

Apple は、Easy Opt Out の共同創業者である Tyler Murphy から、2025 年 6 月にこの脆弱性について通知を受けました。

Apple は「メールを非公開」のバグを修正しましたか?

Apple は2026 年 3 月に問題を修正したと主張しましたが、その後も脆弱性が存在することを Murphy が確認しました。2026 年 7 月の公開時点でも、Apple は有効な解決策を確認したとは表明していませんでした。

Apple は「メールを非公開」のセキュリティ向上のためにどのような対策を計画していますか?

Apple は、メールドメインを icloud.com から private.icloud.com に変更するなど、2026 年夏の後半に予定されているいくつかのアップデートによって「メールを非公開」を改善する計画です。これにより脆弱性が完全に解消されるかどうかは、まだ確認されていません。

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Apple の「メールを非公開」サービスで発見された脆弱性とは何ですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”このセキュリティ上の欠陥により、攻撃者は基本的で公開された身元検索ツールを使って、「メールを非公開」のエイリアスに紐づくユーザーの本物のメールアドレスを突き止めることができます。Easy Opt Out のテストでは、調査対象となったすべてのアドレスで 100% の悪用率が示されました。”}},{“@type”:”Question”,”name”:”Apple は「メールを非公開」のバグをいつ初めて認識しましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Apple は、Easy Opt Out の共同創業者である Tyler Murphy から、2025 年 6 月にこの脆弱性について通知を受けました。”}},{“@type”:”Question”,”name”:”Apple は「メールを非公開」のバグを修正しましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Apple は 2026 年 3 月に問題を修正したと主張しましたが、その後も脆弱性が存在することを Murphy が確認しました。2026 年 7 月の公開時点でも、Apple は有効な解決策を確認したとは表明していませんでした。”}},{“@type”:”Question”,”name”:”Apple は「メールを非公開」のセキュリティ向上のためにどのような対策を計画していますか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Apple は、メールドメインを icloud.com から private.icloud.com に変更するなど、2026 年夏の後半に予定されているいくつかのアップデートによって「メールを非公開」を改善する計画です。これにより脆弱性が完全に解消されるかどうかは、まだ確認されていません。”}}]}

本記事は人工知能の支援を受けて作成され、編集部による確認を経ています。

Satoshi Voice
この記事は人工知能の支援を受けて作成され、正確さと品質を保証するために我々の記者チームによってレビューされた。
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST