写真保管アプリは安全か? 2026年セキュリティ審査
ほとんどのiOS写真保管アプリは画面を保護するものの、ファイルは保護していません。2026年6月に最も多くインストールされた保管アプリ12を審査したところ、App Storeの掲載に特定の暗号化アルゴリズムを明記したのは1つだけで、12のうち7つがあなたを追跡すると宣言していました。信頼に値するアプリは、本物のアルゴリズムを明記し、あなたのデータのキーを保持せず、何も収集しない少数派のみです。
写真保管アプリは一律に安全ではありません。最も多くインストールされたiOS保管アプリ12を対象とした2026年6月の審査では、12のうち7つがアプリやウェブサイト全体でユーザーを追跡すると宣言し、掲載に特定のアルゴリズムを明記したのは1つだけでした。また、10年間の独立した研究では、「暗号化」を謳いながらファイルを平文または些細な難読化の背後に保存するアプリが繰り返し発見されています。安全なアプリは本物のアルゴリズムを明記し、アカウント不要で、あなたのデータのキーを保持しません。
審査対象と未検証事項
2026年6月に、米国App Storeでストアの掲載順位と評価数量でランク付けされた主要な写真保管アプリおよび写真隠蔽アプリについて、App Privacyラベル、公開されているプライバシーポリシー、App Storeの説明文を取得しました。各アプリを実際のセキュリティモデルで分類し、10年間の文書化された保管アプリの障害事例と照合しました。主要な情報源または裏付けられた情報源に追跡可能なインシデントのみを含めています。
2つの限界事項が重要です。第一に、App Storeのプライバシーラベルは自己申告であり、Appleはそれらを審査しないため、アプリが収集している内容より少ない情報を宣言する可能性があります。第二に、これはラベル、ポリシー、アーキテクチャのレビューに加え、公開インシデント記録です。ライブネットワークキャプチャは実施しておらず、個人的に観察していないトラフィックについては主張しません。ここに記載されているすべての内容は、このページ下部に記載されている情報源と照合して確認できます。
発見1: 「暗号化」は通常、言葉であり、検証可能な事実ではない
このカテゴリは「軍事レベルの暗号化」というフレーズで成り立っています。これは単独では何も意味しません。AES-256は軍事等級のない公開標準です。このフレーズは仕様のように聞こえるため生き残っているマーケティングです。実際に重要なのは、アプリが評価できるアルゴリズム、キー長、キー導出方法を明記しているかどうかです。
12のアプリのラベル審査では、App Storeの説明文に特定のアルゴリズムを明記したのはSecretPhotos KYMSの1つだけで、そこには「AES」と記載されていました。他のすべてのアプリは「軍事レベルの暗号化」「暗号化ストレージ」「ゼロ知識アーキテクチャ」と記載するか、まったく暗号化に言及しませんでした。8つのアプリの開発者サイトとポリシーをさらに詳しく調べると、公式資料のどこかに本物のアルゴリズムを明記していたのは3つだけでした。LockMyPixはAES-CTRを、Private Photo VaultのオプションのクラウドボールトはAES-256を、Calculator#は20万回反復のPBKDF2を使用したAES-256を開示しています。これらの3つは自らの作業を示している点で評価に値します。
ほとんどの保管アプリのリストが曖昧にしている区別があります。写真を「隠す」ことは「暗号化する」ことではありません。隠すことでファイルは見えにくい場所に移動されます。暗号化することでキーなしには役に立たない暗号文に変換されます。通常のフォルダを保護するPIN画面はカーテンであり、壁ではありません。バックアップ、フォレンジックツール、またはadbコマンドで下のファイルにアクセスできる人は直接侵入できます。
発見2: プライバシーラベルはマーケティングより多くを語る
AppleのApp Privacyラベルは、虚偽記載がポリシー違反となるため、App Storeで最も正直なページです。マーケティングコピーと実際のデータ慣行が一致しなくなるのはそこです。2026年6月の審査では、12のアプリのうち7つが「あなたを追跡するために使用されるデータ」を宣言していることが判明しました。これは他社のアプリやウェブサイト全体であなたを追跡するために共有されるデータに対するAppleの用語です。12のうち2つだけがAppleの「データ未収集」ラベルを保持しており、ストアで最も強力なプライバシーの証明です。Safe LockとSecret Photo Vault Lock Photosです。
セット内で最も高評価の2つのアプリ、Private Photo Vault (Pic Safe)とSV Private Photo Vault PROは、どちらもLegendary Software Labsが公開しており、合計約102万6千件の評価があります。どちらもユーザーを追跡しており、自社のラベルによると、あなたの写真、動画、デバイス識別子をあなたの個人情報と紐付けます。Best Secret Folderはセット内で最も広範な「あなたに紐付けられた」フットプリントを持っています。広告を表示しながら、場所、名前・メール・電話を含む完全な連絡先情報、そしてあなたの写真・動画・音声を収集します。あなたの写真をあなたの個人情報と紐付け、他のアプリ全体であなたを追跡するプライベート写真アプリは、あなたがダウンロードした目的とは異なる問題を解決しています。
審査内の残りのアプリはそれぞれ独自の事情を語っています。Private Photo Vault (Pic Safe)とSV Private Photo Vault PROはリストにアルゴリズム名を記載しておらず、「暗号化/復号化するための秘密の値」というフレーズのみを使用しています。Keepsafeはアルゴリズム名を挙げずに暗号化を「軍事レベル」と説明しています。Privaultは「暗号化ストレージ」と記載しています。HiddenVaultは「ゼロ知識アーキテクチャ」を主張していますが、アルゴリズムは明記していません。Calculator#はApp Storeのリストにアルゴリズム名を記載していません。Best Secret FolderとHide It Proはまったく何も明記していません。AESを明記しているのはKYMSだけで、オープンソースなのはEncameraだけであり、これは別の種類の検証可能性を提供します。
発見3: アカウントとクラウドバックエンドは第2の攻撃対象領域である
ローカルファイル処理が完璧であっても、バックエンドは別の攻撃対象領域であるため、アプリは依然として漏洩する可能性があります。アカウントを要求し、サーバーにあなたのファイルを保存するアプリは、あなたが検査できないデータベースを信頼することを求めています。
Keepsafeはこの構造的な選択の最も明確な例です。使用前にメールアドレスが必要で、コンテンツを自社サーバーに保存しており、独立したセキュリティ分析により、同社がユーザーの写真にアクセスする能力を保持していることが判明しました。そのプライバシーポリシーは、セット内で唯一、一部のデータ共有がカリフォルニア州法の下でユーザーの個人情報の販売または共有として分類される可能性があることを認めています。これは他社が行わなかった開示であり、誰がキーを持っているかを示しています。ベンダーが暗号化キーを保持する場合、ベンダーの侵害はあなたの侵害になります。これを回避するモデルはゼロ知識暗号化であり、プロバイダーはキーを決して保持しないためあなたのデータを読み取ることができません。
問題が生じた具体的な例が2025年に発生しました。開発者Brain Craftが公開したPhoto Vaultという別のアプリが、Firebaseデータベースをパスワードなしでアクセスできるように放置していました。この漏洩は2025年にCybernewsによって報告され、The Dead Pixels Societyによって裏付けられました。約72,000ダウンロードのこのアプリのユーザーメールアドレス、平文パスワード、ファイルとフォルダ名、アプリのセキュアメモ機能のコンテンツが漏洩しました。正確に言うと、このBrain CraftアプリはLegendary Software LabsのPrivate Photo VaultやPic Safeとは異なる製品であり、名前が似ているだけです。写真自体はデータベースにありませんでしたが、アカウントを攻撃するために必要なすべての情報がそこにありました。平文で保存されたパスワードを含み、保管アプリは決して読み取り可能な形式でこれを保持すべきではなく、まして公開すべきではありません。
発見4: 「プライベート」アプリ内の広告SDK
読んだ8つのプライバシーポリシーのうち7つがサードパーティ広告に言及していました。最も際立っているのはNQ Vaultで、Vault-Hideとしても配布されており、そのポリシーにはアプリに組み込まれた6つの広告SDKが列挙されています: AdMob、Facebook Audience Network、InMobi、MoPub、AppLovin、Unityです。広告ネットワークの仕事はユーザーのプロファイルを構築することです。プライバシーを全体的な前提とするアプリにそれらを6つ組み込むことは、このカテゴリを定義する皮肉であり、私たちの推測ではなくポリシーテキストに記載されています。
8つのアプリのポリシーレビューからより広いパターンが見えてきます。8つのうちコアモデルで広告なしを位置付けているのはLockMyPixだけです。Private Photo Vaultはサードパーティのクッキーと広告に言及しています。PrivaultはAdMobとUmengアナリティクスを列挙しています。Best Secret FolderはカスタマイズされたUmengアナリティクス、Google Analytics、Firebaseに言及しています。Hide It ProはサードパーティのSDKに言及しています。クラウドを持たず、アカウントを要求せず、アルゴリズムを明記するアプリは例外であり、デフォルトではありません。
10年間の文書化された障害事例
これはすべて新しいことではありません。「暗号化」が暗号化ではないというパターンは、名前のある研究者や査読済み研究によって2014年以来繰り返し文書化されてきました。以下は、一部は他より情報源が優れているため信頼度レベルを含むインシデント記録です。
2014年9月、フォレンジック研究者のJonathan Zdziarskiは、当時300万人以上のユーザーを報告していたPrivate Photo VaultがデフォルトのiOSストレージを超える暗号化を適用していないことを示しました。写真は約5分で平文で復元可能でした。このインシデントはzdziarski.comの一次情報源と照合して検証されています。
2015年4月、The RegisterとSlateは、「暗号化」を謳い1,000万以上のダウンロードを持つNQ Mobile Vaultが、各ファイルの最初の128バイトにのみ1バイトのXOR操作を適用していたと報告しました。これにより256通りのキーが可能で、すべてのファイルの残りは平文のままです。このインシデントは検証されています。
2015年11月、IOActive研究者のMichael AllenがPrivate Photo Vault、「My Media」というアプリ、Keepsafeをテストし、それぞれ30分未満で3つすべてを侵害しました。手法にはプロパティリストファイルに保存された平文PIN、ポート5555で実行されている非認証Webサーバー、サーバーから平文で返されるアルバムパスワードが含まれていました。このインシデントは検証されています。
2017年、Zhang、Baggili、Breitingerは、合計約2億2,000万のダウンロードを持つ18のAndroid保管アプリを分析した査読済み研究をComputers and Security(第70巻)に発表しました。6つは保存された写真を暗号化しておらず、7つは平文でパスワードを保存し、10つはrootアクセスなしで非表示データを公開していました。この研究は刑事事件の証拠回収に役立ちました。66枚の画像と18本の動画です。この研究は検証されています。
2019年6月、forensicmike1というペンネームの研究者が、Private Photo VaultがRNCryptorによるAES暗号化を追加したが、マスターキーがiOS Keychainに静的に保存されており、ユーザーがPINを変更してもローテーションされないことを発見しました。4桁のPINにより、キーは些細なブルートフォース攻撃で解読可能でした。このインシデントは検証されています。
2022年、Ruffinと同僚はACM WPESで、それぞれ1,000万以上のダウンロードを持つ20の人気Androidボールトアプリを分析した査読済み研究を発表しました。20のうち5つだけがファイル暗号化を試みました。15はシンプルなadb pullで完全に復元可能で、7つはPINまたは回復メールを平文で保存していました。この研究は検証されています。
2025年2月、KasperskyはSparkCatキャンペーンを報告しました。App StoreとGoogle Playの両方のアプリで見つかったマルウェアで、デバイス上の光学文字認識を使用してユーザーの写真ライブラリから暗号資産のシードフレーズやパスワードのスクリーンショットをスキャンし、一致したものを外部に送信していました。AppleとGoogleはアプリを削除しました。これはApp Storeの審査を通過したことが知られる最初のOCRベースの写真窃取ツールでした。このインシデントは検証されています。
さらに2つのインシデントは部分的な検証のみであり、その留保を念頭に読む必要があります。2021年の分析では、Androidで電卓スタイルの保管アプリのファミリーがすべてのインストールで単一のハードコードされたAES-CBCキーを共有しており、1つの既知のキーですべてのユーザーのメディアが復号化できることが判明しました。これは技術的に具体的な単一の研究者からの部分的な検証です。別に、Vault-Hideアプリは2017年にインドの電子情報技術省により電話番号、IMEI番号、インストールされたアプリのリストを外部に送信しているとして指摘され、名前を変更することで削除を回避したとされています。これはCybernewsとCPO Magazineの二次情報源による部分的な検証です。
1つのデータポイントはその不在が注目されます。消費者向け写真保管アプリに割り当てられたCVEは見つかりませんでした。最も近い正式な開示は、認証されていないWiFiサーバーを持つ無関係の「Photo Vault」製品に関する2018年の勧告であり、中程度の重大度(CVSS 4.8)と評価され、CVEは発行されていませんでした(seclists.org Full Disclosure、2018年1月)。このカテゴリは正式に追跡されておらず、これらの障害の多くは協調的な開示プロセスの外で独立した研究者によって発見されたことを意味します。
保管アプリを実際に評価する方法
リバースエンジニアリングは必要ありません。5つの質問でリスクの大部分をフィルタリングできます。第一に: アルゴリズムを明記しているか? 「AES-256」や「AES-GCM」は確認できる主張です。「軍事レベル」は確認できません。第二に: アカウントが必要か? Brain CraftのFirebaseインシデントが示すように、メールとパスワードは漏洩する可能性のある認証情報ストアを作成します。第三に: クラウドにバックアップする場合、誰がキーを保持しているか? ベンダーがあなたのパスワードをリセットして写真を回復できる場合、ベンダーはあなたの写真を読み取ることができ、ベンダーを侵害した者も同様です。
第四に: App Privacyラベルとポリシーは何を示しているか? App Privacyセクションを開いてください。あなたを追跡したりあなたの写真をあなたの個人情報と紐付ける場合は、それを信じてください。広告SDK開示のためにポリシーを読んでください。第五に: 監査可能か? 「データ未収集」、キー導出の詳細を含む明記されたアルゴリズム、オープンソースコードはすべて、アプリが精査されることを想定しているシグナルです。確認できないアプリはあなたが確認しないことを前提にしています。
この全体像におけるVaultaireの位置付け
Vaultaireは上記に文書化された特定の障害クラスを中心に構築されているため、マーケティングではなくそれらと対比して評価するのが公平です。Vaultaireは、あなたが描く5x5のパターンからAES-256-GCM暗号化キーを導出します。パターンはキーを生成し、決して保存されないため、漏洩する可能性のあるパスワードファイルもなく、ブルートフォース攻撃されるサーバー上のものも何もありません。アカウントがないため、メールアドレスも認証情報ストアも存在しません。これがまさにBrain Craftインシデントで漏洩したものです。
Vaultaireはゼロ知識です。あなたのファイルとキーは読み取り可能な形式でデバイスを離れることはありません。オプションのiCloudバックアップはあなたの電話を離れる前に暗号化されるため、私たちもサーバーを侵害した者も読み取ることができません。あなたのデータのキーを保持していないため、私たちの侵害はあなたへの侵害ではありません。これはVaultaireが唯一安全な選択であるという主張ではありません。アーキテクチャに関する主張です。文書化された障害を回避するモデルは、プロバイダーがあなたのキーを決して保持せず、あなたのデータを決して収集しないものです。いくつかの他のアプリはこの一部を正しく実施しており、この審査全体を通じてそれらを名指ししました。審査の意義は、あなたが今や自分でどんな主張でも確認できるということです。
関連記事:
- 写真保管アプリは安全か? 簡略版
- AES-256暗号化が実際に意味すること
- ゼロ知識暗号化の解説
- クラウド写真ストレージのプライバシーポリシーが実際に語ること
- パターンベースの暗号化があなたのパターンをキーにする方法
参考資料
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
よくある質問
写真保管アプリは本当に安全ですか?
それはアプリによって完全に異なり、ほとんどは見た目より脆弱です。2026年6月の審査では、最も多くインストールされたiOS保管アプリ12のうち7つがあなたを追跡すると宣言し、1つだけが掲載に特定のアルゴリズムを明記していました。10年間の研究では、「暗号化」を謳いながらファイルを平文または些細な難読化の背後に保存するアプリが繰り返し発見されています。安全なアプリは本物のアルゴリズムを明記し、アカウントを必要とせず、あなたのデータのキーを保持しません。
写真保管アプリの開発者は私の写真を見ることができますか?
アプリが自社クラウドに写真を保存し、パスワードを忘れた際にアカウントを回復できる場合、はい: 開発者は暗号化キーを保持しており、技術的にあなたの写真にアクセスできます。開発者のサーバーを侵害した者も同様です。独立した分析により、Keepsafeがこのケースであることが判明しています。ゼロ知識またはローカルのみのアプリはキーを決して保持しないため、あなたの写真を見ることはできません。
Private Photo Vault (Pic Safe)は本当に暗号化されていますか?
Private Photo VaultのオプションのCloud VaultはAES-256を明記しており、これは本物のアルゴリズムです。しかし、このアプリには文書化された脆弱性の歴史があります。2014年に暗号化なしが判明(Zdziarski)、2015年に30分未満で侵害(IOActive)、2019年に静的でローテーションしないマスターキーが発見(forensicmike1)。現在のApp Storeのプライバシーラベルも、ユーザーを追跡し写真をユーザーの個人情報と紐付けることを宣言しています。
写真保管アプリは本当に暗号化を使用していますか、それともPINだけですか?
多くは非表示フォルダの上にPINを使用するだけで、これは暗号化ではありません。「隠す」はファイルを見えにくい場所に移動するだけで、バックアップやフォレンジックツールを通じてアクセスできる人にはファイルは読み取り可能のままです。2022年の20のAndroid保管アプリに関する査読済み研究(Ruffin et al.、ACM WPES)では、本物のファイル暗号化を試みたのは5つだけで、15はシンプルなadb pullで完全に復元可能でした。本物の暗号化はファイルをキーが必要な暗号文に変換します。
保管アプリを削除した場合、私の写真はどうなりますか?
アプリがファイルを隠しただけ(暗号化なし)の場合、ファイルはデバイスのアクセス可能な場所またはバックアップに残る可能性があります。アプリがファイルをローカルに暗号化してエクスポートせずにアプリを削除した場合、キーがなくなるため暗号文が回復不能になる可能性があります。アプリがクラウドストレージを使用していた場合、ファイルはベンダーのサーバーに残る可能性があります。アンインストール前にアプリのエクスポートと削除のドキュメントを確認してください。
フォレンジックツールや警察は写真保管のPINを回避できますか?
PIN専用の保護はフォレンジック抽出ツールに対してほとんど抵抗力がありません。2014年、2015年、2017年、2022年の研究では、保管アプリのPINが数分で回避されるか、まったく認証なしでファイルが回復されることが示されました。Private Photo Vaultの2019年の実装で見つかった4桁のPINは些細なブルートフォース攻撃で解読可能であると指摘されました。強力なキー導出関数を使用した本物のファイル暗号化はハードルを大幅に上げますが、PINゲート単独ではそうはなりません。
Keepsafeは私のデータを販売していますか?
Keepsafeのプライバシーポリシーは、審査セット内で唯一、一部のデータ共有がカリフォルニア州法の下で個人情報の「販売」または「共有」として分類される可能性があると明示的に述べています。ポリシーは広告パートナーにも言及しています。これは私たちのセット内の他のアプリが行わなかった開示です。それが販売に該当するかは適用される法的定義によって異なりますが、このポリシーはこの点に関してカテゴリで最も明示的です。
写真を「隠す」ことと「暗号化する」ことの違いは何ですか?
「隠す」はデバイス上でファイルを見えにくい場所に移動します。基礎となるファイルは変更されず、バックアップツールやフォレンジックソフトウェアを含む、ストレージにアクセスできる人なら誰でも読み取れます。「暗号化する」はファイルを正しいキーなしには読み取れない暗号文に変換します。多くの保管アプリは隠すだけです。2022年の学術研究(Ruffin et al.)では、人気のAndroid保管アプリ20のうち15が基本的なadb pullで復元可能であり、復号化は必要ありませんでした。
写真保管アプリでクラウドバックアップを有効にするのは安全ですか?
バックアップがデバイスを離れる前に暗号化され、プロバイダーがそれを復号化できない場合のみ安全です。パスワードを失った際にベンダーがファイルを回復できる場合、バックアップはベンダーが読み取ることができ、サーバー侵害で公開されます。2025年のBrain CraftのFirebaseインシデントでは、クラウド側に保護がまったくなかったため、メール、平文パスワード、フォルダ名が漏洩しました。アップロード前に暗号化するゼロ知識アーキテクチャを探してください。
アカウントやインターネット接続を必要としない写真保管アプリはどれですか?
いくつかのアプリはアカウントなしで完全にオフラインで動作します。私たちの審査では、2つがAppleの「データ未収集」ラベルを持っていました。Safe LockとSecret Photo Vault Lock Photosです。Vaultaireはファイルを暗号化して保存するためにアカウント、メールアドレス、またはネットワーク接続を必要としません。アカウントを必要としないことで認証情報ストアの攻撃対象領域が完全に排除されます。これはまさに2025年のBrain CraftのFirebaseインシデントが実証した露出のクラスです。