2026/07/01 12:05

Apple Intelligenceの匿名トークン、AIのプライバシー設計に「本人性」の穴を見せた

iPhone Maniaが拾ったApple Intelligenceの安全性記事は、AppleのAI機能そのものを怖がらせる話ではありません。一次情報の論文「Too Private to Tell」を読むと、焦点はPrivate Cloud Computeの中身より、その手前でリクエストを正当な利用者のものとして扱う匿名アクセストークンにあります。研究チームはmacOS 26 Tahoe上で、盗まれたApple Intelligence用トークンを別の端末で再利用できるSerpent attackを示し、Appleに報告してCVEと報奨金の対象になったと述べています。Appleのプライバシー設計は強い匿名性を目指すほど、「その匿名の権限は本当に本人の端末に結びついているのか」という別の問いを抱えることになります。

Apple Intelligenceのプライバシー境界を示す編集用サムネイル

匿名にするだけでは、権限は本人に縛られない

論文が扱うのは、Apple IntelligenceのリクエストをApple側へ送るときの認証と認可の流れです。AppleはPrivate Cloud Computeで、ユーザーや端末をリクエスト本体から切り離すため、Token Granting TokenとOne-Time Tokenを使う二段階の仕組みを採っています。これにより、サービス側は個人を直接追わずに、正当なリクエストだけを通せるという設計になります。

Apple Intelligenceのプライバシー境界を示す編集用サムネイル
画像: Interface Wire

研究チームが指摘したのは、この匿名性と本人性の間にある隙間です。論文は、盗み出されたトークンを別のMacで再利用し、攻撃者側の利用枠を使い切った後でも、被害者側の利用枠としてApple Intelligenceを使えることをmacOS 26 Tahoeで実証したと説明しています。重要なのは、Apple Intelligenceの出力内容を盗む話ではなく、AIサービスを使う権利そのものが別端末へ持ち出せるかという問題です。

この違いは、AI時代の認証を考えるうえで大きいところです。メールアドレスやアカウントIDを出さない設計はプライバシーに効きます。一方で、権限を表す情報が持ち運べるBearer tokenのままなら、持っている人が正当な利用者に見えてしまいます。論文の結論も、匿名化だけではAIサービスを安全にできず、正当なユーザーや端末への暗号学的な結び付けが必要だ、という方向です。

AppleのPCC設計は、識別しないことを強みにしている

AppleのPrivate Cloud Compute説明は、個人データをAppleにも読ませないこと、処理後に保持しないこと、研究者がサーバー側ソフトウェアを検証できることを前面に出しています。Appleのプライバシー機能ページも、Apple Intelligenceの複雑なリクエストではPrivate Cloud Computeへ必要なデータだけを送り、データは保存されず、リクエストへの応答だけに使われると説明しています。

その思想は、論文が整理する認証フローともつながっています。PCCはOHTTP relayや単回使用の認証情報を使い、リクエスト元のIPアドレスや端末をサービス側から見えにくくします。これは、AIがメール、写真、メモ、アプリの文脈に近づくほど重要になる設計です。Appleは、クラウドAIを便利にしながら、サーバー側で個人を追えない構造に寄せています。

ただし、今回の研究はその設計の弱点を別の角度から示します。識別しないことは、プライバシーのためには強い。しかし、識別しにくい権限が盗まれたとき、サービス側はそれを本人の端末から来たものとして扱ってよいのかを判断しづらくなります。Apple IntelligenceのようにOSへ深く統合されるAIでは、プライバシーと不正利用防止を同時に満たす必要があります。

読者に必要なのは攻撃手順ではなく、アップデートと端末保護

この記事で扱うべきなのは、攻撃手順の再現ではありません。論文はAppleへ責任ある開示を行い、CVEが割り当てられ、AppleのmacOS 26.2セキュリティパッチの考え方が研究チームの提案した対策に近いものだったと述べています。現時点で読者がまず見るべきなのは、OSを最新状態に保つこと、Apple Accountと信頼済み端末を確認すること、不審な構成プロファイルや端末上のマルウェアを避けることです。

また、この研究は「iPhoneでも同じ攻撃がそのまま成立する」と断定する材料ではありません。実証対象はmacOS 26 Tahoeであり、論文の意味は、Apple Intelligence全体の信頼モデルを読み直すことにあります。AI機能が端末とクラウドをまたぐほど、便利さの中心はモデル性能だけではなく、誰の権限で、どの端末から、どの利用枠を使っているのかという管理面へ移ります。

Interface Wireとして注目したいのは、AppleのAIプライバシー設計が失敗したという単純な話ではなく、プライバシーを守るための匿名化が、同時に権限管理の設計課題を増やすという点です。Apple Intelligenceは、個人情報に近いAIをOSの標準機能へ入れていくプロジェクトです。その標準機能が信頼されるには、データを見ないことだけでなく、匿名の利用権を本人の端末から切り離せないことも必要になります。

Apple Intelligenceのプライバシーは、データをどこで処理するかだけで決まりません。今回の論文が示したのは、AIへのアクセス権そのものをどう本人の端末に縛るかという、もっと地味で重要な層です。AppleがPCCで掲げた「Appleにも読ませないAI」を続けるなら、次に問われるのは、匿名のまま不正利用も止める認証設計です。