主なポイント:
- Appleの「Hide My Email」機能に、ユーザーの実際のメールアドレスを露出させる脆弱性が存在
- セキュリティ研究者タイラー・マーフィー氏が2025年6月にAppleに報告したが、未だ修正されず
- 本欠陥はAppleのプライバシーブランドを脅かし、iCloud+購読者数の成長に圧力をかける可能性
主なポイント:

数百万のiCloud+加入者が実際の受信箱を隠すために利用するAppleの「Hide My Email」機能に脆弱性が存在し、攻撃者がそれらの隠されたアドレスを特定できる状態にある。同社は1年以上にわたり、この問題にパッチを当てていない。
データ削除サービスEasyOptOutsの共同設立者タイラー・マーフィー氏は404 Mediaに対し、「Hide My Emailのユーザーは、攻撃者が自分の非公開メールアドレスを発見できる可能性があることを知る権利がある」と語った。
マーフィー氏は2025年6月にこのバグを発見し、Appleに報告した。同社は1カ月後に調査中であると回答。2026年3月、Appleはシステム変更によりこの問題に対処したと主張したが、マーフィー氏は脆弱性が依然として悪用可能であることを確認した。ボランティアを募って実施したテストでは、Hide My Emailアドレスの100%が脆弱であったことが404 Mediaの独自検証で明らかになった。
このバグは、AppleのiCloud+サービスの主要なセールスポイントを損なうものだ。iCloud+は、Hide My Email、iCloud Private Relay、HomeKit Secure Videoなどのプライバシー機能に対してユーザーに課金する。Apple株はフォワード・ベースで約30倍の株価収益率で取引されており、iCloudのサブスクリプションを含むサービス収入は2025年度に263億ドルに達し、ハードウェア販売が鈍化する中で同部門は重要な成長ドライバーとなっている。
マーフィー氏によれば、この脆弱性により、Hide My Emailのエイリアスにアクセスできる人物は誰でも、数分以内にユーザーの実際のApple IDメールアドレスに辿り着くことができるという。公開されている人物検索サイトを利用すれば、そのメールアドレスを電話番号や住所などの他の個人情報と容易に結び付けることができ、Appleのエコシステムを超えてプライバシーリスクが拡大する。
Appleはこのエクスプロイトの技術的詳細を開示しておらず、404 Mediaも悪用防止のため具体的な内容を伏せている。同メディアは、自社で生成したアドレスの一つを用いて検証した結果、2026年7月1日時点でもバグが残存していることを確認した。
Appleのプライバシーに関する公約が不十分だったのは今回が初めてではない。2022年には、iPhone Analytics設定をオフにした状態でもiPhoneアプリがAppleに分析データを送信し続けていたとして、同社は集団訴訟に直面した。2023年には、Wi-Fiネットワーク上でユーザーを匿名化するために設計されたAppleのMACアドレスランダム化機能が、実際には本物のMACアドレスを露出させていることが研究者らにより判明した。
タイミングの悪さも傷口に塩を塗る。2026年6月、Appleは開発者に対し、@icloud.comドメインでのHide My Emailアドレス生成を停止し、@privaterelay.appleid.comに切り替えると通知した。TechCrunchはこの変更により、Webサイトが匿名サインアップをブロックしやすくなると報じている。このドメイン移行と未解決の脆弱性が相まって、Appleがこの機能の中核であるプライバシー保護にどこまで真剣に取り組んでいるのか疑問が浮上する。
投資家にとって、この風評リスクは無視できない。Appleはプライバシーを軸にブランドプレミアムを築いており、最高経営責任者(CEO)のティム・クック氏はこれを「基本的人権」と繰り返し強調してきた。この信頼が持続的に損なわれれば、2025年度に約263億ドル(総収入の約22%)を生み出したサービス部門の成長を支えるiCloud+の加入者数増加に圧力がかかる可能性がある。Appleはコメント要請に応じなかった。
本記事は情報提供のみを目的としており、投資助言を構成するものではない。