「Appleでサインイン」時に使える「メールを非公開」機能にメールアドレスが漏れてしまう脆弱性あり

「Appleでサインイン」に対応したアプリやウェブサービスで新しいアカウントを作成する場合、「メールを非公開」機能を使うことで元のメールアドレスを隠してプライバシーを守ることができます。しかし、機能に脆弱性があり、元のメールアドレスが漏れてしまうことが指摘されています。
Apple ‘Hide My Email’ Vulnerability Reveals Peoples’ Real Email Addresses
https://www.404media.co/apple-hide-my-email-vulnerability-reveals-peoples-real-email-addresses/
Apple's Hide My Email feature has a bug that's been exposing real email addresses, researcher claims | TechCrunch
https://techcrunch.com/2026/07/01/apples-hide-my-email-feature-has-a-bug-thats-been-exposing-real-email-addresses-researcher-claims/
Apple's Hide My Email feature might not be so private after all - Android Authority
https://www.androidauthority.com/apple-hide-my-email-vulnerability-3683561/
脆弱性を発見したのは個人情報保護サービス・EasyOptOutsの共同創業者であるタイラー・マーフィー氏です。
「メールを非公開」機能は、元のメールアドレスを隠す代わりに、ユーザー固有のランダムなメールアドレスを生成して元のメールアドレスに転送するようにすることで、メールアドレスのプライバシーを守ってくれる機能で、2021年リリースの「iOS 15」で新機能として導入されました。
「Appleでサインイン」で「メールを非公開」を使う方法 - Apple サポート (日本)
https://support.apple.com/ja-jp/105078

マーフィー氏によると「『メールを非公開』機能は100%悪用可能」とのことで、ニュースサイト・404 Mediaのジョセフ・コックス氏がマーフィー氏とともに検証を行い、実際に「メールを非公開」機能でアカウントを新規作成したにもかかわらず、元のメールアドレスにメールが来ることを確認しています。
マーフィー氏は2025年6月時点でこの脆弱性に気付きAppleに報告しました。すると、1カ月後にAppleから「問題を調査中」という旨の返信があり、2026年3月に「直近のシステム変更により、該当する問題に対処を行った」という報告がありました。しかし実際には問題は解消されておらず、マーフィー氏は追加で情報を送付。Appleは再び「問題を調査中」と返信してきて、いまだにステータスは調査中のままだとのこと。
Appleからのメールには「顧客を危険にさらさないために、調査が完了するまで情報は開示しないようお願いします」との文言があり、マーフィー氏は「問題が解決するまで『メールを非公開』機能を停止するのが、リスクに晒されるユーザーの数を減らすために効果的だと思いますが、選択肢に入りますか?」と返信しましたが、この問いへの回答はなく、マーフィー氏は「なぜ修正されないのかはわかりませんが、これ以上待つのは気が進まない」ということで情報を公開したとのこと。
脆弱性への対応は未完了なため、マーフィー氏は脆弱性の詳細自体は明かしていません。
なお、Appleは2026年6月に入って「メールを非公開」機能で用いるドメインを「@icloud.com」から「@private.icloud.com」に変更していて、変更によって「メールを非公開」で作成されたランダムアドレスであることがわかりやすくなり、アプリやウェブサービス側からブロックされやすくなるのではないかと指摘されています。
Appleが匿名メールアドレス作成機能の「メールを非公開」のドメインを変更、アプリやウェブサイトが匿名登録をブロックしやすくなる可能性 - GIGAZINE

・関連記事
Appleがメールアドレスを非公開にしたままメールできる「メールを非公開」機能で隠されているはずのユーザーのメールアドレス&実名をFBIに提供していたことが明らかに - GIGAZINE
「iOS 15」の新機能を実際に使ってみたレビュー、各新機能の使い方はこんな感じ - GIGAZINE
アプリ開発者から見た「Appleでサインイン」の問題点とは? - GIGAZINE
・関連コンテンツ
in ネットサービス, セキュリティ, Posted by logc_nt
You can read the machine translated English article A vulnerability exists in the 'Hide Emai….






