セキュリティ研究者Tyler Murphyが発見したバグにより、Appleの「メールを非表示」機能で生成した一時的なメールアドレスから、ユーザーの本当のiCloudメールアドレスが約5分で特定可能に。テストでは100%の確率で成功[4][5][6]。 Appleは2025年6月の報告から1年以上本質的な修正を行わず、2026年3月に「修正済み」と発表した後もバグは再現。同年6月には新規エイリアスのドメインを「@private.icloud.com」に変更したが、これは脆弱性を解決せず、むしろ匿名性を低下させる変更として批判されている[1][2][3]。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
AppleがiCloud+の有料会員向けに提供する「メールを非表示」(Hide My Email)機能は、使い捨ての匿名メールアドレスを生成し、実際の受信トレイに転送する際に元のアドレスを決して公開しないと宣伝されている。しかし、1年以上前に発見されたセキュリティ脆弱性により、生成されたエイリアスにアクセスできる人物(ウェブサイト、データブローカー、悪意のある攻撃者)が、わずか数分でユーザーの本当のiCloudメールアドレスを特定できる状態が続いている。
データ消去サービスEasyOptOutsの共同設立者であるセキュリティ研究者Tyler Murphyは、Appleの「メールを非表示」機能に、生成されたランダムなエイリアスからユーザーの本当のiCloudメールアドレスを逆引きできるバグを発見した。404 Mediaとの共同テストでは、新しく生成された「メールを非表示」アドレスが、約5分でユーザーの本当のApple IDメールに紐付けられた
。この脆弱性は、
@icloud.comと@privaterelay.appleid.comの両方のドメインで生成されたエイリアスに影響し、テストでは新しく作成されたエイリアスに対して100%の確率で成功したと報告されている。
「メールを非表示」はiCloud+の主要なプライバシー機能であり、ユーザーが使い捨ての匿名メールアドレスを作成し、実際のアドレスを決して公開せずに転送を受け取れることを約束している。このバグはその約束を完全に無効化する。生成されたエイリアスにアクセスできる者(ウェブサイト、データブローカー、悪意のある攻撃者)は、ユーザーの本当のメールアドレスを特定でき、プライバシー保護、トラッキング防止、スパム対策といった機能の目的を無意味にする
。
@icloud.comと@privaterelay.appleid.comの分割を置き換えるこの変更は根本的な脆弱性を修正するものではない。むしろ、別の形でプライバシーを悪化させると批判されている。従来、
abc123@icloud.comのようなエイリアスは通常の個人用iCloudアドレスと区別がつかないため、ウェブサイトはユーザーが匿名であることを識別できなかった。しかし新しい
@private.icloud.comドメインは、すべてのアドレスがプライバシーエイリアスであることを明確に示すため、ウェブサイトやサービスが匿名サインアップを簡単にブロック、フラグ、拒否できるようになる。プライバシー擁護派はこれを「あいまいさを完全に排除する動き」と表現し、核心的な目的に対して機能の有用性を低下させると批判している
。
2026年7月1日現在、このコア脆弱性は未修正のまま、初回報告から1年以上が経過している。
Appleが2026年3月に修正済みと主張したにもかかわらず、1年以上にわたってこの逆引き脆弱性を本質的に修正していない事実は、Appleのセキュリティ対応プロセスと、iCloud+のプライバシー機能が十分なエンジニアリングリソースを得ているのかという疑問を提起している。
2026年3月、複数のメディアが、Appleが脅威調査の過程で、「メールを非表示」エイリアスにリンクされた本当のiCloudメールアドレスをFBIに提供したと報じた。裁判資料によると、Appleはこの機能を使用していた少なくとも2人のiCloud+加入者の身元を開示していた
。Appleの利用規約は合法的な要請に対してこれを常に認めていたが、この一件はAppleがどの程度の情報を保有し、提供するのか——エイリアスと実際のアカウントのマッピングを含む——を明らかにした
。これは「匿名」のメールマスキングというマーケティング上の印象と矛盾し、機能のプライバシー主張に対する信頼をさらに損なう結果となった
。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
セキュリティ研究者Tyler Murphyが発見したバグにより、Appleの「メールを非表示」機能で生成した一時的なメールアドレスから、ユーザーの本当のiCloudメールアドレスが約5分で特定可能に。テストでは100%の確率で成功[4][5][6]。
セキュリティ研究者Tyler Murphyが発見したバグにより、Appleの「メールを非表示」機能で生成した一時的なメールアドレスから、ユーザーの本当のiCloudメールアドレスが約5分で特定可能に。テストでは100%の確率で成功[4][5][6]。 Appleは2025年6月の報告から1年以上本質的な修正を行わず、2026年3月に「修正済み」と発表した後もバグは再現。同年6月には新規エイリアスのドメインを「@private.icloud.com」に変更したが、これは脆弱性を解決せず、むしろ匿名性を低下させる変更として批判されている[1][2][3]。
2026年3月には、AppleがFBIに対して「メールを非表示」機能を使っていたユーザーの本当のiCloudアドレスを提供していたことが裁判資料で明らかになり、機能の「匿名性」に対する信頼がさらに損なわれている[7][8][9][10]。