Appleの「Hide My Email」機能に存在する長期未修正の脆弱性により、ほぼ誰でも、匿名化されているはずのエイリアスの背後にある実際のメールアドレスを突き止められることが分かりました。この問題は警告を受けていたにもかかわらず、Appleは1年以上にわたって修正を怠っています。
404 Mediaは自らのHide My Emailアドレスの一つを使ってこの脆弱性を独自に検証し、今週の時点でもこの手口が有効であることを確認しました。
この脆弱性は2025年6月、プライバシー企業EasyOptOutの共同創業者であるTyler Murphy氏によって初めてAppleに報告されました。同氏は404 Mediaに対し、「Hide My Emailの利用者は、攻撃者が自分の隠されたメールアドレスを発見できる可能性があることを知る権利がある」と語っています。
Murphy氏によれば、Appleは5月の時点で「現在も本件を調査中」と認めているものの、最初の報告以降、修正パッチは一切配布されていません。
Murphy氏が行った限定的なテストでは、検証対象となったHide My Emailアドレスの100パーセントが悪用可能であることが判明しました。これは、この不具合が特殊なケースではなく、同サービスに根ざした構造的な弱点であることを示唆しています。
Hide My Emailは、iCloud+に付属するプライバシー機能で、使い捨てのランダムなメールエイリアスを生成し、実際のメールアドレスを明かすことなくサービスやアプリ、メーリングリストに登録できるようにするものです。
404 Mediaの説明によれば、エイリアス宛てに送られたメッセージは自動的にユーザーの実際の受信トレイに転送され、スパムを受け取り始めたり不正利用されたりした場合には、そのエイリアスをいつでも無効化できるとされています。
このツールの価値そのものは、エイリアスから元のアドレスを逆算できないという前提の上に成り立っていますが、今回の脆弱性はまさにその前提を揺るがすものです。
404 Mediaは、Appleがまだパッチを配布していないため悪用が継続するリスクを理由に、この手口の技術的な詳細をあえて公表していません。
これは、修正が施されていない重大な不具合について、パッチが提供されるまでは概念実証(PoC)の詳細を伏せておくという、標準的な責任ある開示(レスポンシブル・ディスクロージャー)の慣行に沿った対応です。
同メディアは今週初め、実際のHide My Emailアドレスを使って独自の確認テストを実施し、この脆弱性が理論上のものにすぎない、あるいはすでに修正済みであるという可能性を否定しました。
Hide My Emailは、スパムやデータブローカー、標的型嫌がらせから利用者を守る盾として宣伝されているだけに、実際のアドレスが露見すれば、自分の身元は保護されていると信じていたユーザーに対するストーキングやドキシング、あるいはクレデンシャルスタッフィング攻撃を招く恐れがあります。
開示から修正までに1年以上という長期の遅延が生じていることについて、セキュリティ研究者からは批判の声が上がっていますが、Appleは修正の公式な時期を明らかにしていません。
Appleはこの脆弱性を認める公式声明やCVE識別子を発行しておらず、判明している唯一のコミュニケーションは、2026年5月時点で「現在も調査中」としたMurphy氏への回答のみです。
この機能がiCloud+に統合され、Appleのプライバシー訴求全体において重要な役割を担っていることを踏まえ、セキュリティ研究者らは同社に対し、修正を最優先で進め、技術的な詳細を安全に公開できる段階になり次第、影響を受けたユーザーに通知するよう求めています。
翻訳元: https://cyberpress.org/apple-privacy-feature-fails-hide-real-email/