iPhoneで写真を隠す方法 — すべての手法を正直に評価

TL;DR

iPhoneの標準「隠しアルバム」はメインライブラリから写真を非表示にしますが、誰でも開ける専用の「隠し」アルバムに残ります。iOS 16以降の「ロックされたフォルダ」はFace ID保護を追加しますが、フォルダの存在自体は表示されます。AppVaultのような専用ボールトアプリは、AES-256-GCMでファイルを暗号化し、PBKDF2（60万イテレーション）で鍵を導出し、アプリ自体を電卓に偽装できます。標準機能にはこれらの機能はありません。適切な方法は、誰から守るかによって異なります。

標準の「隠しアルバム」：実際の動作

AppleがiOSに追加した「隠しアルバム」は利便性のための機能です。選択した写真や動画をメインライブラリ（「写真」タブ、「For You」タブ、「メモリーズ」）から非表示にします。ファイルはアルバム→ユーティリティ→隠しにある専用アルバムに移動します。

これが全機構です。パスワードなし、生体認証なし、暗号化の変更なし。ファイルは端末上の他のすべての写真と同じ暗号化されていないコンテナに置かれ、同じデータベースでインデックスされ、適切な画面に移動すれば誰でも表示できます。

AppleはiOS 14で、隠しアルバム自体の一覧表示を隠すトグルを追加しました。設定→写真に進み、「隠しアルバム」をオフにします。アルバムはユーティリティセクションから消えます。しかし、写真は依然としてインデックスされています。検索結果に表示されます。Siriの提案にも現れます。このトグルはUIの変更であり、セキュリティコントロールではありません。

隠しアルバムで十分な場合： カジュアルにスワイプする手（友人がカメラロールをめくる、子供がタップする）から特定の画像を守りたい場合。隠しアルバムは写真をデフォルトのブラウジングフローから外します。この限られた目的には機能します。

不十分な場合： 意図を持って写真アプリを開く人は、5秒以内に隠しアルバムを見つけられます。認証ステップは不要です。脅威モデルに何かを探している人が含まれる場合、隠しアルバムは障壁になりません。

ロックされたフォルダ（iOS 16以降）

iOS 16で導入されたロックされたフォルダは、隠し写真にFace IDまたはTouch ID保護を追加します。写真をロックされたフォルダに移動すると、写真アプリは表示前に生体認証を要求します。

これは隠しアルバムからの大きな改善です。あなたのスマホをスワイプする人は、あなたの顔や指紋なしではロックされたフォルダを開けません。ファイルはiCloud写真の同期からも除外され、端末上のみに保持されます。

しかし、ロックされたフォルダには独自の限界があります。フォルダ自体は写真アプリ内に表示されます。閲覧者はロックされたフォルダが存在することを見て、保護したいコンテンツが含まれていると推測できます。フォルダには鍵アイコンとラベルが表示されます。その存在を自ら宣言しています。

ロックされたフォルダは、ファイルをiOSデータ保護システムとは別に暗号化しません。端末がロックされている間、すべてのファイルはパスコードに紐づくハードウェア暗号化で保護されます。端末がアンロックされると、ロックされたフォルダは生体認証ゲートを追加しますが、基礎となるストレージはスマホ上の他のすべてを保護するのと同じ暗号化APFSボリュームです。

ロックされたフォルダで十分な場合： アンロックされたスマホを手にした人（同僚、家族、友人）に対して生体認証による保護が必要な場合。物理的に端末を操作できるが、あなたとして認証できない人。

不十分な場合： ロックされたフォルダは隠しコンテンツの存在を隠しません。端末のパスコードを知っている人からは保護できません（パスコードはFace IDをオーバーライドできるため）。別の鍵でファイルを暗号化しません。そして、ボールトアプリ自体を不可視にする必要がある場合には役立ちません。

標準機能の限界

両方のApple標準オプションの核心的な問題はアーキテクチャにあります。写真アプリは単一のアプリケーションであり、単一のデータストアを持ちます。写真を隠すことは、データベースの行のフラグを変更することを意味します。ファイルは同じディレクトリ、同じフラッシュストレージに残り、同じインデックスから参照されます。

これには具体的な結果があります：

検索とSiri。 隠しアルバムの表示をオフにしても、写真はSpotlight検索、Siriの提案、写真アプリ内の検索バーに現れる可能性があります。Appleのインデックスパイプラインは隠しフラグを完全には尊重しません。

共有アルバムとAirDrop。 隠し写真は、ユーザーが検索や共有リンクを通じてアクセスすれば、AirDropや共有アルバムに選択できます。隠し機構は表示フィルターであり、アクセス制御ではありません。

バックアップ。 隠しアルバムとロックされたフォルダの写真はiCloudバックアップおよびiTunes/Finderバックアップに含まれます。誰かがあなたのiCloudアカウントやローカルバックアップファイルにアクセスできれば、隠し写真はそこにあります。

最近削除した項目。 写真を削除すると（隠し写真かどうかに関わらず）、「最近削除した項目」フォルダに移動し、30日間復元可能です。隠しアルバムはこの動作を変更しません。

フォレンジックアクセス。 端末フォレンジックで使用されるツールは、フラッシュストレージを直接読み取るか、写真データベースを抽出します。SQLiteカラムのブールフラグはフォレンジック調査官を止めません。

重要な脅威モデル（税関・国境検査、家族で共有するiPad、スマホを誰かに貸す、端末の売却・下取り）では、標準機能には専用ボールトアプリが埋めるべきギャップがあります。

専用ボールトアプリの仕組み

ボールトアプリは根本的に異なるアプローチを取ります。写真アプリ内の表示フラグを切り替える代わりに、写真ライブラリからファイルを完全に削除し、アプリが制御する暗号化コンテナに保存します。

典型的なワークフロー：

1. 取り込み。 ユーザーが写真ライブラリから写真や動画を選択します。ボールトアプリはそれらを自身のサンドボックスストレージにコピーします。
2. 暗号化。 各ファイルは、ユーザーのパスフレーズまたはパターンから導出された対称鍵で暗号化されます。AppVaultの場合、暗号はAES-256-GCMで、ファイルごとに固有の96ビットnonceを使用し、鍵はPBKDF2-SHA256（60万イテレーション、インストールごとの128ビットソルト）で導出されます。
3. オリジナルの削除。 アプリは写真ライブラリからオリジナルファイルを削除します。「最近削除した項目」フォルダからも削除し、ネイティブの写真データベースに痕跡を残しません。
4. 保存。 暗号化されたファイルはアプリのサンドボックス内に存在します。iOSのサンドボックスは他のアプリがデータを読み取るのを防ぎます。暗号化は、サンドボックス内容を抽出した人が鍵なしでファイルを読むのを防ぎます。

結果：写真は写真アプリ、検索、Siriの提案、共有アルバム、カメラロールに存在しなくなります。ボールトアプリのコンテナ内に暗号文としてのみ存在します。

暗号化が実際に意味すること

AppVaultの暗号化スタックは暗号化概念ページで完全に公開されています。簡潔に説明します：

• AES-256-GCM（Galois/Counter Mode）は認証付き暗号化を提供します。各ファイルは固有の96ビットnonceを持つため、2つの同一写真でも完全に異なる暗号文を生成します。アルゴリズムはNIST FIPS 197およびNIST SP 800-38Dで規定されています。
• PBKDF2-SHA256（60万イテレーション） はユーザーのパターンを暗号鍵に変換します。イテレーション数はOWASP 2026推奨に従っています。インストール時に生成されるランダムな128ビットソルトにより、同じパターンでも異なる端末では異なる鍵が生成されます。
• Secure Enclaveラッピング。 PBKDF2の出力は、iPhone Secure Enclave内で生成された鍵でラップされます。Enclave鍵はチップから決して出ません。Secure Enclave搭載端末（iPhone 5s以降）では、鍵素材がハードウェアに紐づけられ、ソフトウェアだけでは抽出できません。

これはマーケティング用語ではありません。これらの選択にはそれぞれ特定のセキュリティ特性があります。高いイテレーション数はパターンへのブルートフォース攻撃を計算コストの高いものにします。ファイルごとのnonceは暗号文間のパターン分析を防ぎます。Secure Enclaveバインディングにより、誰かが暗号化コンテナを別の端末にコピーしても、元のハードウェアなしではファイルを復号できません。

電卓ランチャー：隠す側を隠す

暗号化はファイルを保護します。しかし、ボールトアプリ自体がホーム画面に表示されていれば、閲覧者は隠しコンテンツが存在することを知ります。アプリアイコンは信号です。

AppVaultの電卓ランチャーは、完全に機能するiOS電卓をアプリのプライマリインターフェースとして提供することでこれに対処します。ユーザーがアプリを開くと標準の電卓が表示され、通常通り計算できます。イコールキーを長押しすると暗号化ボールトが開きます。

これは偽の電卓ではありません。特定のジェスチャーの背後にボールトがある、本物の電卓です。この設計はAppleガイドライン4.3（代替アイコン）を満たすために、本物の電卓機能を提供しています。

電卓ランチャーは脅威モデルを変えます。あなたのスマホを手に取り、ホーム画面に電卓アプリを見た人は、それが暗号化された写真を含んでいるとは疑いません。税関職員がアプリをスクロールしても電卓に見えます。スマホを借りた友達にも電卓に見えます。

これは不可視ではありません。アプリのバンドル識別子と権限をフォレンジック調査すれば、正体は明らかになります。しかし、ほとんどの人が直面する実用的なシナリオ（物理的アクセスとカジュアルな意図を持つ人）では、電卓ランチャーは障壁を「明らかなボールトアプリを開く」から「電卓が電卓でないことを見抜く」に引き上げます。

デコイボールト：1台の端末、2つのアルバム

状況によっては、アプリを隠すだけでは不十分です。誰かがあなたがボールトアプリを使っていることを知っていてアクセスを要求した場合、単一のパスワードでは問題が生じます。拒否は罪悪感を示唆し、従うと目的が損なわれます。

AppVaultのデコイボールトは、別の5×5パターンで開く、数学的に独立したボールトカタログを提供します。デコイボールトは完全に機能する暗号化スペースです。独自の写真、動画、ファイルを含めることができます。デコイボールトの暗号鍵はデコイパターンから導出され、プライマリボールトの鍵とは無関係です。両者の間に暗号的な関連はありません。

これは特定のシナリオで有用です：複数人が使用する家族共有のiPad、1人のボールトアクセスが予想される端末、またはもっともらしい否認が実際的な価値を持つ状況。

デコイボールトは魔法の盾ではありません。アプリの全ストレージを調査するフォレンジック分析からは保護しません。ボールトの存在を知っている人が中身を見たいという社会的シナリオから保護します。

パターンロック：グリッドが重要な理由

AppVaultは数値PINや英数字パスワードの代わりに5×5パターンロックを使用します。グリッドは25ノードを提供し、パターンはそれらを順に接続します。可能なパターンの総数は大きく、4桁PIN（10,000通り）よりはるかに多く、6桁PINに匹敵します。ただし正確な数は最小・最大ノード制約に依存します。

パターンは暗号鍵ではありません。パターンはPBKDF2への入力であり、それを256ビット鍵に引き伸ばします。セキュリティは鍵導出関数から来ており、パターン自体からではありません。4桁PINを60万イテレーションのPBKDF2に通してもブルートフォースに対して安全です。イテレーション数が各推測を高コストにするからです。

パターンロックはユーザビリティの選択です。ほとんどの人はランダムな文字列よりも幾何学的形状をより確実に記憶できます。5×5グリッドはAndroidのレガシーロック画面からおなじみです。また、パターンの視覚的性質により、タッチスクリーン上で入力が高速です。

ボールトアプリが防御しないもの

限界について正直であることは誇張よりも有用です。以下は、AppVaultのようなボールトアプリが防御しないものです：

フォレンジックチップオフ攻撃。 NANDフラッシュチップをはんだ除去して直接読み取るラボは、暗号化コンテナを抽出できます。AES-256-GCMと強力な鍵は復号を非現実的にしますが、暗号文は物理的に存在します。鍵が弱い場合（単純なパターン、低イテレーション数）、暗号は破られます。AppVaultの60万イテレーションPBKDF2とSecure Enclaveラッピングはコストを大幅に引き上げますが、ソフトウェアのみのソリューションで資金豊富なフォレンジックラボを打ち負かすことはできません。

強制された復号。 一部の法域では、当局はあなたにパスワードや生体認証の提供を法的に強制できます。ボールトアプリは裁判所命令から保護できません。デコイボールトは非公式な場面でもっともらしい否認を提供するかもしれませんが、法的な盾ではありません。

端末パスコードの侵害。 誰かがあなたの端末パスコードを知っていれば、スマホのロックを解除してボールトアプリを開こうと試みることができます。ボールトのパターンは別の認証要素ですが、端末パスコードが第一の防御線です。強力な端末パスコード（英数字、4桁ではない）が依然として不可欠です。

画面録画とショルダーサーフィン。 ボールトアプリは、誰かがあなたのパターン入力を覗き見したり、暗号化写真を閲覧中の画面を録画するのを防げません。物理的なセキュリティ（周囲への注意、画面プライバシーフィルター）は別の層です。

ボールトコンテナのiCloudバックアップ。 ユーザーがiCloudバックアップをオプトインした場合、ボールトの暗号化コンテナはバックアップされます。ファイルは暗号化されたままであり、バックアップ鍵はボールト鍵とは別です。しかし、暗号文はAppleのサーバー上に存在します。AppVaultのバックアップ暗号化はAppleが保持しない端末ごとの鍵を使用しますが、メタデータ（バックアップの存在、アプリのインストール）は可視です。

完全な脅威モデルページでは、これらのシナリオをより詳細に説明しています。

AppVaultとカテゴリの比較

App Storeの電卓ボールトカテゴリには数十のアプリがあります。ほとんどは同様の前提（偽装アイコン、パターンまたはPINロック、暗号化ストレージ）を共有しますが、実装の質は大きく異なります。

Keepsafeはインストール数でカテゴリリーダーです。クラウド同期、サブスクリプションモデル、洗練されたインターフェースを提供します。機能ごとの詳細な比較はAppVault vs Keepsafe比較ページにあります。KeepsafeのクラウドアーキテクチャはファイルがKeepsafeのサーバーを通過することを意味し、これはローカルのみのアプリとは根本的に異なる信頼モデルです。

Vaultaireは電卓ボールトニッチで最も近い競合です。電卓偽装とローカルストレージを使用します。アーキテクチャの違い（鍵導出、暗号モード、Secure Enclave使用）はAppVault vs Vaultaire比較ページで詳述されています。

ストア内の他のほとんどの電卓ボールトアプリは、暗号化スタックを公開していません。イテレーション数、暗号モード、鍵導出の詳細が公開されていなければ、暗号化が意味のあるものか装飾的なものかを評価する方法はありません。「ミリタリーグレードの暗号化」を謳いながらPBKDF2を1,000イテレーションで実行するアプリは、意味のある保護を提供していません。

AppVaultは一次ソースの引用付きで完全なスタックを公開しています。暗号、イテレーション数、ソルト生成、ハードウェアバインディングは暗号化ページに文書化されています。これは、ユーザーにプライベートファイルを信頼して預けるよう求める製品の最低限の基準です。

実用的シナリオ：どの方法を使うべきか

税関・国境検査。 職員があなたのスマホを手に取り、アプリや写真をスクロールします。電卓ランチャーがこれに対処します。アプリは電卓に見えます。暗号化ファイルは写真アプリ内にありません。職員が隠しコンテンツを疑う明らかな理由はありません。これが、偽装アイコン付きボールトアプリが標準機能よりも最も価値を発揮するシナリオです。

家族で共有するiPad。 複数人が同じ端末を使用します。ロックされたフォルダは生体認証保護を提供しますが、フォルダは可視です。別のパターンを持つボールトアプリは、ファイルを写真アプリから完全に排除します。デコイボールトは、家族の1人のアクセスが予想される場合に2つ目の層を追加します。

スマホを貸す。 友人がグループ写真を撮り、さらにスワイプします。隠しアルバムは写真をメインビューから外しますが、意図的なスワイプで到達できます。ボールトアプリはファイルを写真アプリから完全に削除します。

iPhoneの売却・下取り。 工場出荷時リセットの前に、機密ファイルをボールトアプリに移動し、アプリの安全な削除機能を使います。アプリを削除し工場出荷時リセットを実行すると、暗号化コンテナは破壊されます。標準の隠しアルバムと最近削除した項目フォルダは工場出荷時リセットで消去されますが、ボールトアプリは削除のタイミングを明示的に制御できます。

ジャーナリスト、弁護士、医療従事者。 特権的な仕事の資料は、端末アクセス権を持つ誰からもアクセスできないようにすべきです。強力な暗号化とクラウド同期なしのボールトアプリは、ファイルをローカルかつ暗号化された状態に保ちます。ゼロ知識ページで詳述されているゼロ知識アーキテクチャは、アプリ開発者がファイル内容やメタデータにアクセスできないことを意味します。

AppVaultを写真隠しに設定する方法

セットアッププロセスは、ファイルが写真ライブラリとボールトの両方に同時に存在する期間を最小限にするよう設計されています。

1. AppVaultをインストール App Storeから。アプリはホーム画面に電卓として表示されます。
2. プライマリパターンを設定 記憶できる5×5パターンを選びます。このパターンがプライマリボールトの暗号鍵を導出します。
3. デコイパターンを設定（オプション） これにより、独自の暗号鍵を持つ別のボールトカタログが開きます。
4. 復元パスフレーズを生成 AppVaultはセットアップ時に書面による復元フレーズを作成します。スマホとは物理的に別の場所に保管してください。両方のパターンを忘れた場合、これが唯一の復元手段です。
5. 写真を取り込む ボールトを開き、インポートをタップし、写真ライブラリから写真を選択します。AppVaultが暗号化し、サンドボックスに保存します。
6. オリジナルを削除 写真がボールト内で表示できることを確認した後、写真アプリから削除します。次に「最近削除した項目」フォルダを開き、そこでも削除します。
7. 確認 写真アプリを開き、画像がすべてのビュー（写真タブ、アルバム、検索、最近削除した項目）から消えていることを確認します。

写真はAppVaultのサンドボックス内の暗号化ファイルとしてのみ存在します。写真データベース内になく、検索にもなく、iCloud写真にもなく、明示的に暗号化iCloudバックアップをオプトインしない限りバックアップにもありません。

間違った選択の代償

最悪の結果は保護がないことではありません。保護の錯覚を持つことです。

隠しアルバムに依存し、自分の写真がプライベートだと想定している人は、特定のテスト可能なセキュリティ主張をしていますが、その主張は誤りです。