Apple「Hide My Email」に未修正の脆弱性、実メールアドレスが露出する恐れ

[更新]2026年7月3日

Googleで優先するソースとして追加するボタン

2026年7月1日、Cyber Security Newsは、AppleのHide My Emailに未修正の脆弱性が存在すると報じた。

Hide My EmailはiCloud+の機能で、登録時に固有のリレーアドレスを生成し、利用者の本来のメールアドレスを隠す。EasyOptOuts共同創業者のタイラー・マーフィー氏によれば、この欠陥により、限られた技術しか持たない者でも背後の本当のメールアドレスを特定できるという。EasyOptOutsは1年以上前にAppleへ再現手順を報告したが、公表時点で修正されていない。

404 Mediaは自社の非公開アドレスで検証し、月曜時点でも悪用可能だったとした。悪用に高い権限は不要である。マーフィー氏と404 Mediaは、悪用手順を伏せる部分開示を選択した。

From: 文献リンクApple ‘Hide My Email’ Vulnerability Exposes Users’ Real Email Addresses

【編集部解説】

今回の一報を単なる「またAppleの不具合か」で片づけてしまうと、本質を見誤ります。問われているのは、私たちが日々あずけている「プライバシー」という約束の、その耐久性そのものだからです。

まず前提を整理しましょう。Hide My Email は、iCloud+ の加入者が使える機能で、サービス登録時にランダムな転送用アドレス(Hide My Email単体では icloud.com、Sign in with Apple 経由では privaterelay.appleid.com のドメインになるもの)を発行し、本来の受信箱を隠す仕組みです。これらのリレーアドレスは本人の実際の受信箱へメールを転送しつつ、個人のメールアドレスを非公開に保ち、スパムやデータ侵害への対策として機能します。つまり「サービスごとに別人格を持たせる」ための道具であり、匿名性ではなく「使い分け(コンパートメント化)」を支える基盤でした。

ここで理解しておきたいのが、匿名(anonymous)と仮名(pseudonym)の違いです。Hide My Email が守っていたのは後者、つまり「たどれない別名」です。今回の欠陥は、この別名を実アドレスへ逆引きできてしまう点にあります。守られていたはずの一枚のカーテンが、実は透けていた——そう考えると影響の深刻さが見えてきます。

そして、元記事だけでは見えにくい経緯があります。発見者であるEasyOptOutsが公開したタイムラインを照合すると、事態はより重いものでした。同社は2025年6月11日に脆弱性を発見してAppleへ報告し、6月13日に再現手順つきの詳細報告を提出しています。このときAppleは「設計上、隠しアドレスの発見を許容する意図はない」と認めていました。その後、2026年3月にAppleは修正済みだと伝えましたが、追試では直っていませんでした。さらに6月にも修正済みと伝えられましたが、やはり未修正だったといいます。「沈黙」ではなく「直したはずが直っていなかった」という点は、公平に見ても看過できません。

見過ごせないのは、問題が一つではなかったことです。EasyOptOutsは2025年7月に「類似するが別の脆弱性」も報告しており、2026年5月には深刻度と範囲が当初想定より大きいと判断してAppleへ伝えています。しかしこの深刻度増大の報告を、Appleは一度も認めなかったとされます。単発のバグではなく、複数の弱点が絡む問題だという構図が見えてきます。

被害範囲についても補助線を引いておきます。マーフィー氏は、ボランティアを対象とした限定的なテストで、確認したHide My Emailアドレスの100%が悪用可能だったと404 Mediaに語っています(母数や条件は非公開のため、一般化はできません)。また、404 Mediaの記事の記述によれば、新規に生成したアドレスの実アドレスは短時間で判明したとされます。特別な権限も内部アクセスも不要という指摘とあわせれば、これは限定的な条件下の弱点にとどまらず、機能の設計思想にも影響しかねない問題だと受け止めるべきでしょう。ただし悪用手順が非公開である以上、実装上のバグなのか設計上の問題なのかを外部から断定することはできません。

冷静な留保も必要です。ネット上には推測(バウンスメールの悪用説やデータブローカーとの照合説など)が飛び交っていますが、いずれも未確認です。EasyOptOutsも404 Mediaも、修正が完了するまで悪用の詳細は公開しないと明言しています。ここは断定を避け、事実と推測の線引きを守りたいところです。

では、この機能から何が失われるのか。実害の出口は明確です。実アドレスが判明すれば、人物検索サイトを通じて氏名や所在地など他の個人情報と結びつけられやすくなります。標的型フィッシングの精度が上がり、複数サービスにまたがるスパムの名寄せが可能になり、機微な活動に紐づく匿名アカウントの脱匿名化が起こり得ます。プライバシーを守るための道具が、逆に「あなたの居場所を指し示す矢印」になりかねないのです。

長期の視点も欠かせません。Appleは2026年6月15日に、Hide My EmailとSign in with Appleのリレーアドレスを @private.icloud.com へ統合すると発表しています。なお、既存のドメインで発行済みのアドレスは、中断なく転送が継続されるとされています。一方でこの変更は、企業側が匿名アドレスを検知・ブロックしやすくなるとの懸念をすでに招いていました。今回の欠陥と重ねると、「プライバシー機能が仕様変更のたびに揺らぐ」構造的な脆さが浮かび上がります。

規制の観点からも示唆に富みます。欧州のGDPRをはじめ、各国はデータ保護を強化してきました。現時点で当局の調査やAppleの法的責任が確認されたわけではありませんが、プラットフォームが提供する匿名化ツールの実効性は、企業の説明責任を問う論点になり得ます。プライバシー保護は、機能の存在ではなく、その実効性で評価されるべき段階に入ったのです。

私たちがいま、この件を取り上げる理由もそこにあります。私たちはアイデンティティの管理をプラットフォームに委ねる時代を生きています。便利さと引き換えに、自分の「見えなさ」までも一企業のエンジニアリングに預けている。その預け先が沈黙したとき、ユーザーに残された自衛手段は何か——それを一緒に考えることこそ、「Tech for Human Evolution」を掲げる本メディアの役割だと考えます。

【用語解説】

リレーアドレス(転送用アドレス)
本来のメールアドレスを隠すために発行される、使い捨て可能な中継用の別アドレスである。届いたメールは本人の実際の受信箱へ自動転送される。Hide My Emailの中核をなす仕組みだ。

部分開示(パーシャル・ディスクロージャー)
脆弱性の「存在」と「危険性」だけを公表し、具体的な悪用手順は伏せる開示方法だ。修正されないまま利用者へ警告する必要があるが、詳細を出すと安易な悪用を招く場合に選ばれる。

脱匿名化(ディアノニマイゼーション)
匿名または仮名の状態にあった情報を、他のデータと突き合わせて特定の個人へ結びつける行為である。今回は「隠されたエイリアス」から「実在の人物」がたどられてしまう点が問題となった。

名寄せ(相関)
別々に見える複数のデータを、共通の手がかりで同一人物のものとして束ねることをいう。実アドレスが判明すると、サービスをまたいだ行動の名寄せが可能になり、匿名でいるための「使い分け」が崩れる。

GDPR(一般データ保護規則)
EUが定めるデータ保護規則で、世界で最も厳格な個人情報保護法の一つとされる。プラットフォームの匿名化ツールが実は機能していなかった場合、企業側の説明責任が問われる論点と関係する。

【参考リンク】

Apple「Hide My Email」ガイド(Apple サポート)(外部)
iCloud+の転送用アドレスを発行するHide My Emailの仕組みと対応環境を確認できる、Apple公式の解説ページ。

New domain for Sign in with Apple and iCloud+ Hide My Email(Apple Developer)(外部)
リレーアドレスをprivate.icloud.comへ統合するとAppleが告知した公式発表。既存アドレスの転送継続も明記している。

EasyOptOuts(公式サイト)(外部)
脆弱性を報告したマーフィー氏が共同創業した米国企業。データブローカーや人物検索サイトから個人情報を自動削除するサービス。

404 Media(公式サイト)(外部)
本件を独自に検証・報道した米国の調査報道メディア。ジャーナリストが運営する購読型で、独自の一次検証報道を行った媒体である。

【参考記事】

Apple’s Hide My Email could be exposing your real email address(EasyOptOuts)(外部)
発見者による最一次の開示。2025年6月の報告から2026年6月まで、Appleとのやり取りの詳細な時系列を公開している。

Apple’s Hide My Email feature has a bug that’s been exposing real email addresses, researcher claims(TechCrunch)(外部)
404 Mediaの検証を報道した記事。限定テストで確認したアドレスの100%が悪用可能だったとするマーフィー氏の証言を伝える。

Apple Hide My Email bug seemingly allows 100% of real email addresses to be discovered(9to5Mac)(外部)
2025年6月の報告から2026年6月の公表までの時系列を詳報。3月の修正済みという説明が誤りだった経緯にも触れている記事。

Apple’s ‘Hide My Email’ feature exposes real addresses due to unfixed vulnerability reported over a year ago(Mac Daily News)(外部)
3月の修正主張の不成立と、6月中旬の@private.icloud.comへのドメイン統合の発表を関連づけて報じている記事。

Apple Hide My Email Vulnerability Exposes Real Email Addresses(MacRumors)(外部)
2025年6月の責任ある開示と、Appleが1か月後に報告の受領・調査中と回答した経緯を補足的に伝えている報道記事である。

【関連記事】

Novo Nordisk、ITセキュリティ侵害で患者データ流出|仮名化は安全の保証になるか
「仮名化」と「再特定」を正面から論じた記事。「特定できない」と「特定されない」は違うという視点が本件と重なる。

Google Gmail、ついにメールアドレス変更機能を実装──エイリアス機能で旧アドレスも継続利用、インドから段階展開
メールアドレスを「デジタルパスポート」と捉える視点が、アイデンティティ管理を委ねる時代の問題意識と直結する。

WhatsApp、ユーザーネーム予約開始─電話番号を相手に見せずに連絡できるプライバシー新機能を解説
識別子を隠して連絡するという同種のプライバシー設計を扱う最新記事。連絡手段の匿名化トレンドを対比できる。

【編集部後記】

「Hide My Email」を使っている方も、名前だけ聞いたことがある方もいるかもしれません。買い物、SNS登録、あるいはもっと大切な連絡先。それらの個人情報を「隠す」仕組みは、一体どこまで信頼できるものなのでしょうか。

この機会に、プライバシーの守り方をみなさんと一緒に見つめ直せれば嬉しく思います。日常での違和感や気を付けていることなど、気づいたことがあればぜひ聞かせてください。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。