Appleが「端末の中だけで動くから安全だ」と説明してきたAI機能「Apple Intelligence」の安全装置が、100回試して76回は突破できる状態にあった——。世界最大規模のサイバーセキュリティ会議「RSAC(RSAカンファレンス)」で2026年4月9日、この穴を突く攻撃手法の詳細が研究チームによって公開された。
76%の確率でAIの安全装置を突破——何が起きたのか
RSAセキュリティ研究部門のEfstathopoulos博士らの研究チームがこの手法を発見し、「Neural Exec(ニューラル・エグゼク)」と名付けた。
Apple Intelligence——iPhoneやMacに搭載されたAppleのAI機能——には、悪意ある命令を弾くための安全装置が組み込まれている。Neural Execはその安全装置を標的にし、テストでは100回中76回、つまり4回に3回は突破することに成功した。
攻撃が届きうる範囲は広い。2025年12月時点でApple Intelligence対応デバイスは世界に少なくとも2億台普及しており、App Store上の約100万個のアプリがこの手法のリスクにさらされていた。連絡先の作成やデータの改ざんといった実害が、一見普通のアプリを通じて引き起こされる可能性があった。
Appleは研究チームから2025年10月に報告を受け、翌2026年3月24日、iOS 26.4およびmacOS 26.4でこの穴を塞いだ。報告からパッチ配布まで約5ヶ月間、対応デバイスはこのリスクを抱えたまま稼働していた。
この攻撃が使った手口は、一見すると拍子抜けするほど古典的なものだった。
Neural Exec——「意味不明な文字列」と「逆順の罠」で防壁を抜く
Neural Execの攻撃は2段階で組み立てられている。
最適化アルゴリズムが生み出す「ユニバーサルトリガー」
第一段階は、「鍵となる文字列」を作り出すことだ。
研究チームがとった方法は単純だ。コンピューターに何万通りもの文字の組み合わせを自動で試させ、Apple IntelligenceのAIが「連絡先を作れ」「データを送れ」といった命令として受け取る組み合わせを探す。人間が考えるのではなく、コンピューターが力任せに答えを見つける。
行き着いた文字列は、人間の目には完全に意味不明だ。記号と文字が混ざり合った、読んでも何も伝わらない羅列になる。ところがApple IntelligenceのAIは、これを正規の命令として処理した。研究チームはこれを「ユニバーサルトリガー」と呼ぶ。アプリのコメント欄でも、テキスト入力欄でも、どこに埋め込んでも命令としての機能を失わない——そういう性質の文字列だ。
逆順テキストでフィルターの目を欺く
もう一つの壁がある。Apple Intelligenceには、危険な命令をはじく安全フィルターが入力と出力の両側に設けられている。意味不明な文字列をそのまま送り込めば、異常として検知される可能性がある。
研究チームが使ったのは「Unicode(ユニコード)」という規格に含まれる制御コード「U+202E」だ。
UnicodeとU+202E(逆順制御コード)について
Unicodeとは、コンピューターが世界中の文字——英語、日本語、アラビア語、絵文字——を統一的に扱うための国際規格だ。その中に、右から左へ書くアラビア語やヘブライ語のテキストを正しく表示するための制御コードが含まれている。U+202Eは「ここから先の文字を逆順に表示せよ」という、目に見えない命令として機能する。1990年代から存在する、AI以前の仕様だ。
研究チームはユニバーサルトリガーをこのU+202Eで包んだ。安全フィルターのスキャンには、文字が逆向きに並んだ無害なテキストとして映る。しかしApple IntelligenceのAI内部では逆順処理が解除され、元の命令として読み込まれた。入力フィルターも出力フィルターも、同時にすり抜けた。
研究チームが示した実証は具体的だ。フィットネスアプリ「SmartGym」では、攻撃文字列を仕込んだテキストをAIが処理した結果、ユーザーのAppleヘルス上の健康データに不正アクセスした。この文字列はU+202Eの目に見えない制御コードで包まれているため、仮に画面に表示されても逆向きの無害なテキストとして映るだけで、ユーザーには異変に気づく手がかりがない。動画編集アプリ「VLLO」では同様の手口でAIが利用者に向けて暴言を出力した。どちらも普通のApp Storeアプリを通じた攻撃で、特別なソフトウェアも特殊な操作も必要としなかった。
オンデバイスAIの死角——クラウドに届く前に攻撃が完結する
なぜ普通のアプリを使った攻撃がここまで通じたのか。答えは、Apple Intelligenceの設計構造にある。
Apple Intelligenceの処理は大きく2つに分かれている。iPhoneやMacの中だけで完結する「オンデバイス処理」と、Appleが運営するクラウドサーバー「Private Cloud Compute(PCC)」を使う処理だ。軽い処理は端末の中で、より高度な処理はPCCへ——という役割分担になっている。
Neural Execが狙ったのは、端末内で完結するオンデバイス側だった。PCCにはクラウド側のセキュリティ監視が備わっている。しかしオンデバイス処理は、クラウドにデータが送られる前にiPhoneの中で完結する。攻撃がiPhone内部だけで成立するため、クラウド側の安全チェックが介在する余地がない。「端末内で動くから安全」というAppleの論理が、「端末内で攻撃も完結できる」という穴に裏返る。
攻撃の入り口を作っていたのは、Appleが開発者向けに公開しているAPIだ。アプリからApple IntelligenceのAIを呼び出すための公式の窓口(Foundation Models Framework)——App Storeのアプリ開発者がApple IntelligenceのAIを自分のアプリに組み込める仕組みだ。多数のApp Storeアプリがこれを利用しており、SmartGymやVLLOのようなサードパーティアプリは、このAPIを経由して端末内AIに直接アクセスできる。その正規の経路に、攻撃文字列が紛れ込んだ。特別な抜け穴ではなく、Appleが用意した正規の扉が入り口だった。
Appleはフィルタリングの仕組みを非公開にしていた。中身を隠すことで攻撃を難しくしようという判断だ。しかし研究チームは、フィルターの内部を知らなくても突破できた。コンピューターに膨大な文字の組み合わせを総当たりで試させれば、仕組みを解析しなくても突破口は開く。研究チームは「フィルタリングの詳細を非公開にすることが、必ずしも防御力の向上につながるわけではない」と指摘している。
端末内でAIを完結させるという選択は、プライバシー保護の観点から合理的だ。しかし同時に、その処理はクラウドの監視が届かない領域にある。守りの強みがそのまま守りの穴になっていた——それがNeural Execの突いた構造だった。
パッチは出た、だが問題は終わっていない
iPhoneやMacを最新のiOS 26.4 / macOS 26.4にアップデートしていれば、この攻撃はすでに塞がれている。まだの人は「設定」→「一般」→「ソフトウェアアップデート」を確認してほしい。現時点で実際に悪用されたという報告は出ていない。
ただし、RSAC 2026での発表でEfstathopoulos博士は「これはいたちごっこの始まりだ」と述べ、入力フィルターの強化だけでは根本的な解決にならないと指摘した。同チームが示す次の方向性は大きく2つだ。一つは、AIに攻撃パターンをあらかじめ覚えさせて耐性をつける手法——専門的には「敵対的学習(Adversarial Training)」と呼ぶ。もう一つは、外部からの入力とAIへの命令を設計レベルで構造的に切り離し、外部テキストが命令として解釈される余地をそもそも閉じるアプローチだ。どちらも、フィルターを強化する対症療法ではなく、AIモデル自体を根本から頑丈にするための方向性だ。
App StoreではApple Intelligence APIを活用するアプリが増え続けており、攻撃対象となりうる範囲は縮まっていない。AIが賢くなるほど、攻撃も洗練される。その構造的な問いに、パッチは答えていない。
もっとも、Neural Execが公になったこと自体は防御の前進でもある。「仕組みを隠せば安全」という前提を実証で崩し、穴を塞がせた。いたちごっこに終わりはなくとも、穴を見つけ公開し修正するサイクルを回すこと——それがAIセキュリティの成熟に向けた、現時点での唯一の道だ。
