- Apple「Hide My Email」機能から実際のメールアドレスが判明する
- 専門家は利用者が特定されるリスクを警告
- 1年以上にわたり未修正のまま放置
Appleの「Hide My Email」機能に存在するバグにより、この脆弱性を知る者であれば、匿名化されたメールアドレスの背後に隠された本物のメールアドレスを特定できることが分かりました。
このバグを発見したのは、EasyOptOutsの共同創業者であるTyler Murphy氏です。同氏はAppleに対しこの機能が実際に悪用可能である旨を複数回通知した後、この不具合の詳細を404 Mediaに共有しました。
「私たちはこの問題と再現手順を1年以上前にAppleへ報告しています。なぜ修正されていないのか分かりませんが、これ以上待つわけにはいかないと判断しました」とMurphy氏は述べています。
実際に悪用可能なHide My Email
このバグは依然として修正されていないため、悪用手法の詳細はまだ公開されていません。
AppleのHide My Email機能は、メールアドレスを匿名化することで、データ侵害によってユーザーの本物のメールアドレスが流出するのを防いだり、メールアドレスが個人と結び付けられて身元が判明したりすることを防ぐために設計されたものです。
まさにここに問題の核心があります。このバグを悪用して本物のメールアドレスを特定できてしまえば、悪意ある攻撃者は匿名化されたメールアドレスの背後にある実際の身元を暴くことができてしまいます。
「無料で誰でも利用できる人物検索サイトを使えば、メールアドレスを他の個人情報と簡単に結び付けられてしまいます。そのため、安全のためにHide My Emailを利用している人たちがリスクにさらされる可能性があります」とMurphy氏は述べています。「問題の全容は分かっていませんが、協力してくれたボランティアを対象とした限定的なテストでは、Hide My Emailアドレスの100%が悪用可能でした」
人物検索サイトを通じて身元を特定されることを懸念するユーザーは、データ削除サービスを利用して、これらのサイトから自分の情報を消去してもらうことができますが、この処理には数日かかる場合があります。
この問題は2025年6月にMurphy氏によって初めてAppleに報告され、Appleは1か月後、原因を調査中であると回答しました。今年3月には、Appleは「最近のシステム変更で報告された問題に対処した」と述べましたが、Murphy氏はそれでもなおこのバグが悪用可能であることを確認しました。
Murphy氏は再度Appleに通知し、Appleは2026年5月に次のように回答しました。「この問題については現在も調査を続けています。お客様をリスクにさらすことを避けるため、調査が完了するまでこの情報を公開しないようご協力いただけますと幸いです。弊社製品のセキュリティ維持・向上にご協力いただき感謝申し上げます」
同じ月の後半、Appleは修正が「数週間以内に提供される見込み」であると述べました。