Appleがまたやらかし? チクられて分かった「iCloud+」の“最悪な仕様”:887th Lap
Appleを巡って、また気になる話が浮上した。プライバシー保護をうたうサービスで、情報漏えいにつながりかねない問題が見つかったという。しかも、その問題は1年以上前からAppleへ報告されていた。なぜ、今になって話題となったのか。
Webサービスへの不正ログインを試みるサイバー攻撃が横行している。こうしたリスクを減らすため、Appleもプライバシー保護を前面に打ち出したさまざまな機能を提供している。「Appleだから安心」と考えて利用している人も多いだろう。
「またAppleか」と思う人もいるかもしれないが、同社の有料サービス「iCloud+」で、ちょっと気になる話題が出てきた。その問題は1年以上前からAppleに報告され、ある企業が警告を発するまでの事態となった。なぜ、今になって問題になっているのか。そして、われわれユーザーにどのような影響があるのか?
問題のサービスとは、iCloud+のプライバシー保護機能の一つ「Hide My Email」(メールを非公開)だ。
Webサービスに登録する際、本来のメールアドレス(例:xxxxx@gmail.com)の代わりに、「abcd1234@icloud.com」のようなランダムなメールアドレス(エイリアス)を発行し、それを登録用アドレスとして利用できる。サービス側に知られるのはこのエイリアスだけで、本当のメールアドレスはAppleが管理する。エイリアス宛てに届いたメールは、iCloud+を経由して本来のメールアドレスへ自動転送される仕組みだ。
この機能のメリットは、登録先からメールアドレスが漏えいした場合でも、エイリアスを無効化するだけで被害を抑えられる点にある。パスワードリスト攻撃などのリスクを軽減できる他、本来のメールアドレスに迷惑メールが届くことも防ぎやすくなる。
さらに最大の利点は、ユーザーの匿名性を高められることだ。同じメールアドレスで複数のサービスを利用すると、それぞれの利用履歴が結び付けられ、ユーザーの行動を追跡されやすくなる。例えば、SNSなど個人情報をある程度公開するサービスと別のサービスが同一人物として関連付けられる可能性もある。サービスごとに異なるメールアドレスを使えば、こうした追跡を困難にできる。
ところが、この「メールを非公開」機能にクリティカルな脆弱(ぜいじゃく)性が見つかった。
この問題を公表したのは、米国で個人情報削除サービスを提供するEasyOptOutsだ。同社の共同創業者は2026年7月初旬、自社ブログでこの問題を公開し、その後複数のテクノロジーメディアが取り上げた。
脆弱性の内容は、「メールを非公開」を利用していても、特定の手順を踏むことで本来のメールアドレスを特定できる可能性があるというもの。EasyOptOutsは悪用防止のため具体的な手法は公開していないが、テクノロジーメディアの404 Mediaと共同で検証した結果、実際に本来のメールアドレスを特定できたとしている。この検証結果は404 Mediaでも報じられている。
同社によると、この問題は2025年6月の時点でAppleへ報告済みで、その後約1年間にわたり複数回やりとりを重ねてきた。だが、脆弱性は現在も解消されていないという。2026年6月30日にはAppleから「修正済み」との連絡があったものの、EasyOptOutsが再検証した結果、問題は依然として残っていたとしている。
EasyOptOutsは、当初想定していた以上に影響が大きいと判断し、今回の公表に踏み切った。Appleとの約1年間に及ぶやりとりも公開した上で、Appleに対し、脆弱性の早急な修正、新規エイリアスの発行の一時停止、そして「メールを非公開」利用者へのリスク通知を求めている。
一方、現時点ではAppleからこの問題に関する正式なコメントや反論は確認されていない。
なお、「TechCrunch」が2026年6月16日に報じたところによると、Appleは今後、「メールを非公開」で発行されるメールアドレスのドメインを「@icloud.com」から「@private.icloud.com」へ変更する予定だと開発者向けに通知したという。この変更によって何らかの改善が図られる可能性はあるが、一方でTechCrunchは、「匿名メールであることをサービス側が識別しやすくなり、登録を拒否されるケースが増える可能性もある」と指摘している。
この問題は、「完全な匿名性を実現することは極めて難しい」という現実を改めて認識させるものだ。VPNやSignal、Torブラウザなど、匿名性を重視したサービスや技術は数多く存在するが、どれも万能ではない。ユーザーはそれぞれの仕組みや限界を理解した上で、適切に活用していくことが重要だ。
上司X: 「iPhone」とかで使える「メールを非公開」機能に、匿名性を守れないかもしれない脆弱性が見つかったという話だよ。
ブラックピット: いわゆる「捨てアド」のような使い方もできるiCloud+の機能ですよね。
上司X: 「捨てアド」っていう言い方はあまり感じ良くないが、実質的にそういう使い方をするユーザーもいるようだ。あと、たくさん作れるとはいっても最大500アドレスという上限もある。
ブラックピット: それだけ作れば個人なら十分でしょうね。たくさん作っていろいろなサービスで使うと、どのサービスにどのアドレスを割り当てたのか分からなくなりそうですけど。
上司X: 作成するときにラベルを付けて管理はできるけどな。でも、まあ面倒は面倒。だからといって、メアドとパスワードの使い回しは推奨できないからな。
ブラックピット: 分かってますよ。最近だとWebブラウザが複雑なパスワードを作成してくれて、管理もしてくれますからね。可能な限りそうしていますってば。
上司X: 別に疑っちゃいないさ(笑)。それはともかく、「メールを非公開」機能の話だ。どういう手法かは今のところ明らかにされていないけど、Appleは修正したと連絡したそうだけど、EasyOptOutsの主張だからね。
ブラックピット: 確かに、匿名性の高さに期待して使っているのに、本人のメールアドレスが特定されるかもしれないとなると困りますね。なんとか直してもらいたいものです。ネットショッピングなんかじゃスパム対策にも便利ですから。
上司X: そうだよな。ともかく今は、「メールを非公開」機能は便利だけど、匿名性については必ずしも完璧ではないということは周知されるべきだろうな。あとは、Appleがどう対応するかを見守りたいところだ。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.

