メールマスキングサービスは本来、利用者と実際の電子的な身元との結びつきを断ち切ることを存在意義としています。しかし、Appleの「メールを非公開」機能に最近発見された重大なセキュリティ上の欠陥は、この前提を根本から覆すものです。ユーザーの本物のメールアドレスが露呈してしまう恐れがあるのです。
プライバシー上の欠陥の発見
この脆弱性を最初に発見したのは、EasyOptOutsのセキュリティ研究者たちで、2025年6月に正式にAppleへ通知していました。404 Mediaによる説得力のある調査報道によると、この脆弱性は記事公開時点でも依然として悪用可能な状態にあり、同編集部が自らのマスク済みアドレスでこの手口を試したところ、実際に成立することが確認されたといいます。同メディアは、この現役の脆弱性がさらに悪用されるのを防ぐため、具体的な技術的詳細はあえて伏せています。
「メールを非公開」機能の仕組み
iCloud+の有料プランにシームレスに統合されている「メールを非公開」機能は、@icloud.comドメインを使ったランダムなエイリアスを動的に生成します。ユーザーはウェブサイトへの登録やメッセージのやり取りの際にこの合成アドレスを使用し、届いたメッセージは自動的に本来の受信箱へ転送される仕組みです。このサービスは、スパムを抑え、個人の匿名性を確実に守り、第三者による情報漏えいが連鎖的にもたらす悪影響からユーザーを守るための、強固な防御手段として機能しています。
脆弱性の実証検証
404 Mediaが行った実証評価では、まず記者が真新しいマスク済みアドレスを作成し、それをEasyOptOutsの共同創業者であるTyler Murphy氏に送りました。すると、わずか5分足らずのうちに、Murphy氏は本来完全に隠されているはずのApple ID用の実際のメールアドレスを割り出すことに成功しました。さらにMurphy氏によれば、ボランティアを対象にした限定的な検証試験でも、テストしたすべての「メールを非公開」エイリアスが、それぞれの本来のアドレスへと突き止められてしまったとのことです。
Appleの対応と長引く修正までの道のり
Appleはこの構造的な脆弱性について、一連のやり取りを行ってきました。同社は当初、問題を積極的に調査中であると説明し、その後2026年3月には、バックエンドのインフラ変更によって解決したと発表しました。しかし、Murphy氏が改めて厳密な再検証を行ったところ、アドレスが露呈する仕組みは依然として完全に機能したままであることが確認されました。5月になってAppleは調査が引き続き進行中であるとし、その後、近く提供予定のセキュリティアップデートで決定的な修正を行うと約束しています。
今後の構造的な変更点と現時点でのアドバイス
以前お伝えしたとおり、Appleは「メールを非公開」のエイリアスの形式を、@icloud.comから@private.icloud.comへ移行する戦略的な方針を打ち出しています。この構造上の転換は、結果としてウェブサイト側がマスク済みプロフィールからの登録を制限しやすくなる可能性がありますが、業界の情報筋は、この変更と今回新たに発覚したプライバシー上の脆弱性とを明確には結び付けていません。
この深刻なセキュリティ上の欠陥が解消されない限り、「メールを非公開」機能を利用している方々には、特に機密性の高い重要なウェブサイトに登録する際、マスク済みのアドレスをデジタル上の身元を完全に守ってくれるものとして過信しないよう、強く注意を呼びかけます。
翻訳元: https://meterpreter.org/apple-hide-my-email-vulnerability/