世界を動かす技術を、日本語で。

Appleの「Hide My Email」脆弱性が人々の本当のメールアドレスを暴露

概要

  • AppleのHide My Emailサービス に重大な脆弱性が発見された事案
  • ユーザーの本来非公開であるメールアドレス が特定されるリスク
  • Appleへ1年以上前から報告済み だが、2026年6月時点で未修正
  • 脆弱性の深刻度と範囲 が当初の想定より大きいと判明
  • ユーザーへの注意喚起 とAppleへの協力要請

Apple Hide My Emailの脆弱性公開について

  • iCloud+ユーザー向け のプライバシー機能、Hide My Emailサービスの概要
    • ランダムで一意な 中継用メールアドレス を生成、本来のメールアドレスを隠蔽
    • 例: random.email.22@icloud.comrealname@example.com を隠す仕組み
  • アカウント登録や匿名コミュニケーション 時に利用されるプライバシー保護策
  • 発見された脆弱性 で、攻撃者が隠された本来のメールアドレスを特定可能
  • 2025年6月11日 に初回報告、Appleも「本来発見できない設計」と認識
  • 詳細な再現手順や追加情報 をAppleへ複数回提出
  • 2025年7月9日 :類似の新たな脆弱性も報告
  • 2026年3月・6月 :Appleから「修正済み」との連絡があるも、実際は未修正を確認
  • 2026年5月 :脆弱性の影響範囲が拡大していることをAppleに再報告、未対応

今後の対応と提案

  • 脆弱性の詳細や攻撃手法 は修正完了まで非公開
  • Appleには攻撃可能範囲の縮小新規Hide My Emailアドレスの作成停止 を提案
  • 全ユーザーへのリスク通知 の必要性を指摘
  • Appleとの協力的な問題解決 を呼びかけ

参考情報・第三者検証

Hackerたちの意見

アーカイブリンク: https://archive.vn/mCbBw

これはメールの配信エラーに基づいてるの?それともIMAPやSMTPでのログイン試行に関係してるのかな?それともSMTPプロトコル中に露出するの?

この機能に頼ってない人としては、今知りたいけど、公共の場では「問題が解決するまで詳細を話さない」っていうエチケットに従うべきかもね。でも、もしすでに話題になってる公開フォーラムがあるなら、話してもいいかも。これとか: https://www.reddit.com/r/apple/comments/1ukilw1/apple_hide_m... それを見ると、攻撃対象がYahoo/Sonicのアドレスに関わるシナリオに限られてるかもしれないね(Appleがそのプロバイダーと話すときにX-Sonic-*ヘッダーを送る場合に限ると仮定すると)、それってユーザーの中では少数派かも。

僕の予想では、メール自体とは関係ないと思う。もしかしたら、難読化されたメールを受け入れるiCloud APIがあって、レスポンスで元のメールを返すか、他のAPIエンドポイントからiCloudメールを取得するためのIDがあるのかも。Appleの製品(メールクライアントやファイル共有サービスみたいな)で、難読化されたメールを元のiCloudアカウントに解決する「連絡先/友達追加」機能があるかもしれない。

配達通知への返信がこの問題を引き起こしてるのかな?

このリスクがどれくらい現実的か判断するのは難しいな。詳細がないと、ただの雰囲気から推測するしかない。説明されてることはちょっと怖いかも。でも、ある程度はマジックトリックかもしれない… コックス氏のPoC—「自分が誰か知ってる人に新しいHide-My-Emailのエイリアスを渡したら、Apple IDのメールを教えてくれた」—は主張されてる挙動と一致してるけど、完全に信頼できるわけじゃない。これが「メールエコシステムの仕組み」なのか、隠れた手段で軽減できるのかも。例えば、Appleが自社のインフラからの特権的な視点で攻撃試行を特定できるなら、それが緩やかな影響評価の基礎かもしれない。最近のAmazonのリスク評価を思い出す: 「そう、悪いけど、調べたら君以外にその機能をその使い方で使った人はゼロだったよ。」あるいは、根本的なトレードオフが必要な問題なのかもしれない。エイリアスを自社の「private.icloud.com」ドメインに分ける動きに関係してるかも。コックス氏が404 Mediaの記事でも触れてるけど、「インパクトジャーナリズム」だね。で、雰囲気しかないから、研究者がAppleに送ったメールの判断が気になる: > 「問題が解決するまでHide My Emailの新規販売を終了するのが、リスクのある顧客を制限する効果的な方法のようです。それは選択肢ですか?」マーフィーは返信した。あれは文脈を無視した皮肉的なフラストレーションの瞬間だったことを願う… Hide My Emailは、もっと大きなiCloud+製品の小さなボーナス機能として「売られてる」。でも、引用された内容はちょっとチキンリトルっぽい… 以前、知ってる企業がCRITICAL SECURITY HOLEのせいで全ての販売を停止し(そして口止め料を払え)って要求されたことを思い出す: パスワードフィールドにパスワードを入力して、ブラウザでF12を押して、$(“#pw-input”).valueと入力すれば、その内容にアクセスできる… もしその欠陥が根本的な製品変更を必要とするものであれば—このドメイン分離のような—安全に大規模に移行するのに1年かかるのは全然おかしくない。特にその間に効果的な軽減策を特定できたなら。まあ、もしかしたら本当に怠慢なのかもしれない…

「問題が解決するまでHide My Emailの新規販売を終了するのが、リスクのある顧客を制限する効果的な方法のようです。それは選択肢ですか?」マーフィーは返信した。 > あれは文脈を無視した皮肉的なフラストレーションの瞬間だったことを願う。あそこで自分の意見をうまく伝えられなかったけど、文脈の中ではもっと意味があると思う。それはAppleが新しい人にHide My Emailの使用を止めることができるという誠実な提案だった。他にも多くのメールエイリアスサービスがあるから、ユニークな提供を奪うことにはならない。当時、Hide My EmailがiCloud+の一部としてしか利用できないことには気づいてなかった。ただ、それが無料じゃないことは知ってた。

そのタイムラインは、ここでのAppleの経験そのものだった - https://www.grepular.com/Apples_Protect_Mail_Activity_Doesnt... 彼らは自分たちのメールシステムがどうなってるのか、知らないか気にしてないみたい。

誰か、Protect Mail Activityを無効にした後に再度有効にされたことある?数日前にそのことについて書いた: https://lapcatsoftware.com/articles/2026/6/6.html

メールの内容を取得するのは、ブロックするよりもいつも悪化するよね。スパムの典型的な基準は「この受信箱は監視されてるかどうか」だから。それが本当なら、スパムで攻撃しちゃえってことになるし。何かを取得すること自体が、受信箱が監視されてるって証明しちゃうんだよね。

Mailを使って送信するたびに、IPアドレスが埋め込まれてるのがちょっとイライラする。

関連情報:Appleが「メールを隠す」機能を無意味にしようとしてる https://news.ycombinator.com/item?id=48559935

Hacker Newsで議論の続きを見る