個人情報を守るはずの機能が、逆に本当のアドレスをたどる手がかりになっていた——。Appleの「メールを非公開(Hide My Email)」に、隠しているはずの本当のメールアドレスを第三者が突き止められる欠陥がある、とテック系メディアの404 Mediaが報じました。しかもこの問題、報告から一年以上たった今も直っていないといいます。
「メールを非公開」のしくみ
「メールを非公開」は、Appleの有料サービス「iCloud+」に含まれる機能です。サービスへの登録や、誰かとメールをやり取りするときに使う、使い捨てのアドレスをその場で作れます。作られるのは英単語二つと数字を組み合わせたようなランダムなアドレスで、末尾は@icloud.comなど。ここに届いたメールは、利用者が普段使っている本当のアドレスへ自動で転送される、というしくみです。
ねらいは、本当のアドレスを相手に渡さずに済ませること。迷惑メールを減らせますし、登録先のサービスがあとで情報漏えいを起こしても、本当のアドレスや身元とはひもづかない——はずでした。今回報じた記者自身も、この機能で400個以上のアドレスを作って使っていたそうです。
報告された脆弱性の中身
問題を見つけたのは、データ削除サービスEasyOptOutsの共同創業者、タイラー・マーフィー氏です。使い捨てのアドレスを一つ渡されるだけで、その裏にある本当のアドレスを割り出せてしまう、というのが指摘の核心です。

404 Mediaは実際に試しています。記者が新しい使い捨てアドレスを一つ作ってマーフィー氏に渡したところ、五分ほどで本当のアドレスが返ってきた、と。マーフィー氏によれば「全体の範囲まではわからないが、協力者を対象にした限られたテストでは、試した使い捨てアドレスは100%割り出せた」とのこと。ただしこの「100%」は、あくまで少人数での検証にもとづく数字である点は押さえておきたいところです。
どういう手口で割り出すのか、その技術的な中身は公表されていません。いまも悪用できる状態のままなので、404 Mediaもマーフィー氏も具体的な方法は伏せています。
報告から公表までの一年
時系列を追うと、対応の鈍さが見えてきます。マーフィー氏がAppleにこの問題を報告したのは2025年6月。翌月、Appleは「調べている」と返答しました。2026年3月には「最近のシステム変更で対処した」と伝えてきたものの、マーフィー氏が確かめると直っていません。追加の情報を渡し、5月の時点でもAppleは「まだ調査中」。そのうえで「お客様を危険にさらさないため、調査が完了するまで公表を控えてほしい」と求めてきたといいます。
5月末、Appleは「近いうちのセキュリティアップデートで対処する予定」と回答。しかし予定を過ぎても直らなかったため、マーフィー氏は公表に踏み切りました。「なぜ直らないのか分からないが、これ以上待つのは適切でないと感じた」と彼は述べています。なお404 Mediaの取材に対し、Appleは複数回の問い合わせに回答しなかったとのことです。
本当のアドレスが割れたときのリスク
使い捨てアドレスの裏にある本当のアドレスが分かると、何がまずいのか。マーフィー氏が挙げるのは、誰でも使える無料の人物検索サイトの存在です。メールアドレスさえ分かれば、そこから名前や住んでいる場所といった別の個人情報にたどり着けてしまうことがあります。つまり、身元を隠すために使い捨てアドレスを使っていた人ほど、その前提が崩れたときの影響が大きい、ということです。匿名で意見を送りたい場面や、嫌がらせを避けたい場面で頼っていた人にとっては、なおさらでしょう。
ドメイン変更という別の懸念
この一件とは別に、「メールを非公開」にはもう一つ気になる動きがあります。Appleは、生成されるアドレスの末尾を@icloud.comから@private.icloud.comに変える方針を示している、と2026年6月にTechCrunchが報じました。専用のドメインになると、サービス側が「これは使い捨てアドレスだ」と見分けて登録をはじく、といった対応を取りやすくなります。プライバシーを守るための機能が、かえって使いにくくなるのでは、という声も出ています。
現時点での留意点
いくつか、冷静に押さえておきたい点があります。まず、欠陥の技術的な中身は公表されていないため、利用者が自分で「どのくらい危ないか」を確かめる手立ては、いまのところありません。「100%割り出せた」という数字も、限られた人数での検証にもとづくものです。そしてこの記事の内容は、報告した研究者と404 Mediaの検証によるもので、Apple自身は問題の有無について公の場で認めても否定してもいない段階です。過度に不安がる必要はありませんが、「使い捨てアドレスにしておけば本当のアドレスは絶対に守られる」とまでは言い切れない状況になっている、とは知っておいてよさそうです。
出典
元記事(英語):Apple ‘Hide My Email’ Vulnerability Reveals Peoples’ Real Email Addresses(404 Media, 2026年7月1日)
ドメイン変更について(英語):Apple plans to change its ‘Hide My Email’ privacy feature that could make it less effective(TechCrunch, 2026年6月)
機能の説明(Apple公式):「メールを非公開」の使い方(Appleサポート)


コメント