Apple Hide My Email 脆弱性がプライベートメールアドレスを露出
Apple Hide My Email Vulnerability Reveals Private Email Addresses
Apple の Hide My Email サービスは、実際のメールアドレスとサードパーティの間に仲介者として機能し、iCloud+ ユーザーのプライバシーを保護することを目的としていますが、生成されたエイリアスの背後にある隠された永続的メールアドレスを攻撃者が発見できる脆弱性が存在します。1 年以上前に Apple に報告されたにもかかわらず、2026 年 6 月 30 日時点で問題は未修正のままでした。
Unpatched Vulnerabilities in Email Masking
EasyOptOuts の研究者は、Hide My Email システムに匿名性を回避できる脆弱性を発見しました。Hide My Email の主な目的は、ユーザーの実際のアドレス(例: realname@example.com)を隠すために、ランダムでユニークなアドレス(例: random.email.22@icloud.com)を生成することです。これらの脆弱性により、攻撃者はこのプロセスを逆転させ、ユーザーの実際の身元を特定できてしまいます。
さらなる悪用を防ぐため、研究者は具体的な技術的詳細を公開していません。しかし、この脆弱性は 404 Media の Joseph Cox によって検証され、Fresh な Hide My Email エイリアスをサードパーティに提供すると、そのパーティがアカウントに紐付く Apple ID のメールアドレスを発見できることが実証されました。
Disclosure Timeline and Apple's Response
発見と報告のプロセスは、解決の欠如と Apple からの修正状況に関する矛盾した報告に特徴付けられました。
- 2025 年 6 月 11 日: EasyOptOuts が脆弱性を発見し、Apple に報告。Apple はサービスが隠されたアドレスの発見を許可するようには設計されていないと確認。
- 2025 年 6 月 13 日: 詳細な再現手順が Apple に提出されました。
- 2025 年 7 月 9 日: 隠されたアドレスの発見を可能にする別の脆弱性が報告されました。
- 2026 年 3 月 3 日: Apple は脆弱性が修正されたと主張。2026 年 3 月 19 日に研究者が検証したところ、脆弱性は依然として有効であることが判明。
- 2026 年 5 月 22 日: 研究者は脆弱性の深刻度と影響範囲が当初の認識より大きいと報告。この報告は Apple からは認められませんでした。
- 2026 年 6 月 30 日: Apple は再び脆弱性が修正されたと主張しましたが、研究者によるその後の検証で未修正のままであることが確認されました。
Community Analysis and Technical Speculation
具体的なエクスプロイトは公開されていませんが、技術コミュニティは漏洩の可能なメカニズムについて推測しています。一部では、メールエコシステムが配信不能エラーや SMTP プロトコルの露出をどのように処理するかに起因する可能性があると指摘されています。
ある理論では、Hide My Email アドレスに対して過度に大きな添付ファイルを含むメールを送信すると、宛先メールサーバー(ユーザーの実際のアドレス)からメッセージが拒否され、その応答ヘッダーに実際のアドレスが漏れる可能性があるとしています。
一部の観測者はリスクレベルに疑問を呈し、脆弱性はメールプロトコル自体の構造的トレードオフであるか、Apple がエイリアスを専用の private.icloud.com ドメインへ移行するなどインフラ変更で緩和策を講じている可能性があると述べています。他の者は、他の Apple メールシステムに関する報告と同様に、Apple のコミュニケーションに対するフラストレーションを表明しています。
User Impact and Risk Mitigation
Hide My Email をアカウント登録や無料トライアルに利用しているユーザーは、攻撃者がエイリアスを標的にした場合、永続的なメールアドレスが露出するリスクがあります。研究者は、Apple がすべての Hide My Email ユーザーにリスクを通知し、恒久的な修正が実装されるまで新規エイリアスの作成を制限すべきだと提案しています。