✅この記事では、Appleが公開したcorecryptoのポスト量子暗号コードについて、iPhoneやMacの安全性にどう関わるのか、そして「形式検証」という聞き慣れない作業がなぜ大事なのかを見ていきます。

• 要点まとめ：corecrypto公開で見えたAppleの次世代セキュリティ
• corecryptoは、iPhoneとMacの暗号処理を下で支える部分
• ポスト量子暗号は、今すぐ量子PCに勝った話ではない
• 形式検証は、テストを増やす話ではなく数学で詰める話
• 公開の狙いは、透明性と専門家による査読にある
• 海外の反応：専門家ほどコードと検証手法を見に行っている
• ひとこと：量子時代の準備は、見えない場所から進む
• まとめ：corecrypto公開は、Appleの暗号移行が本格段階に入った合図

どうも、となりです。

暗号ライブラリのソースコード公開、と聞くと、正直、少し奥まった話に見えますよね。設定画面に新しいスイッチが増えるわけでも、iPhoneの使い方が今日から変わるわけでもありません。

でも今回の話は、Apple製品の裏側を支えるかなめの部分です。Appleは2026年5月22日、GitHubで新しいcorecryptoリポジトリを公開しました。ここには、iPhoneやMacなどで使われるポスト量子暗号の実装と、それを検証するための資料が含まれています。

表に見える新機能ではありません。ただ、iMessage、通信、アプリ、OSの安全性を長く保つために、Appleがどこまで裏側を作り込んでいるのかが見える公開です。

要点まとめ：corecrypto公開で見えたAppleの次世代セキュリティ

• Appleは2026年5月22日、GitHubで新しいcorecryptoリポジトリを公開しました。
• corecryptoは、Securityフレームワーク、CryptoKit、CommonCryptoなどを支える低レベル暗号ライブラリです。
• 公開コードには、ポスト量子暗号アルゴリズムのML-KEMとML-DSAの実装が含まれています。
• Appleは、FIPS 203／FIPS 204に沿っているかを確かめるため、形式検証の資料やツールも公開しています。
• 形式検証によって、従来のテストでは見つけにくいML-DSA初期実装の欠落ステップも特定・修正したと説明しています。
• ただし、これだけで全通信が量子コンピュータに対して完全に安全になった、という話ではありません。

 

 

corecryptoは、iPhoneとMacの暗号処理を下で支える部分

corecryptoは、ふだんアプリ名として見るものではありません。AppleのGitHub説明では、Securityフレームワーク、CryptoKit、CommonCryptoがcorecryptoに依存しており、暗号化、ハッシュ化、乱数生成、デジタル署名などの低レベルな処理を担います。

つまり、ボタンを押して使う機能というより、OSやアプリが安全に動くための部品です。Appleは公式ブログで、corecryptoが25億台を超えるアクティブデバイスで継続的に使われているとも説明しています。ここに重大な不具合が入ると、ひとつのアプリだけでなく、依存する機能全体に影響が広がりかねません。

今回公開されたリポジトリには、ポータブルなCコードだけでなく、Appleシリコンに合わせて手作業で最適化されたARM64アセンブリも含まれています。速く動かすだけなら最適化で終わりそうですが、暗号ではそれだけでは足りません。処理時間のわずかな違いから秘密情報を推測されないようにする必要があります。

Appleが公開したのは「暗号を入れました」という結果だけではなく、その実装が正しく動くかを確かめるための道具立てです。ここが、今回のいちばんおもしろいところです。

ポスト量子暗号は、今すぐ量子PCに勝った話ではない

ポスト量子暗号、という言葉は少し大きく聞こえます。未来の量子コンピュータでも破りにくい暗号方式を、いまのコンピュータ上で使えるようにする考え方です。

Appleがcorecryptoで選んだのは、ML-KEMとML-DSAです。ML-KEMは安全な鍵を共有するための方式、ML-DSAはデジタル署名のための方式として扱われます。どちらもNISTのFIPS 203／FIPS 204に関わる標準です。

Appleのポスト量子暗号への一般向けの動きは、2024年のiOS 17.4で導入されたiMessageのPQ3から始まっています。PQ3については、Appleが量子時代を見据えたiMessageの暗号化として説明していました。メッセージまわりでは、iOS 26.5で変わるRCS暗号化のように、暗号化が「相手」「規格」「通信経路」に左右される場面もあります。暗号は、ひとつの会社が片側だけで完結させにくい分野なんですよね。

AppleはすでにiMessage、TLS/HTTPS、VPN、SSH、Apple Watch連携、CryptoKit APIなどへ段階的に広げています。ただし、今回のcorecrypto公開から、次にどの機能へどう広がるかまでは読み切れません。特定のAppleシリコン世代の対応リストも示されていません。

形式検証は、テストを増やす話ではなく数学で詰める話

形式検証という言葉が出てくると、一気に距離が出ます。でもざっくり言えば、「いろいろ入力して試したら大丈夫だった」ではなく、「実装が仕様と数学的に同じ動きをするか」を証明に近い形で確かめる作業です。

Appleは、従来のテスト、シミュレーション、独立レビューに加えて、形式検証を組み合わせたと説明しています。実際、ML-DSAの初期実装では、まれな入力で期待範囲を超え、間違った出力につながりうる欠落ステップを形式検証で見つけたとしています。

これ、暗号の怖いところです。日常のテストでは通る。コードレビューでも見逃される。普段の使い方では問題が表に出ない。それでも、ある条件で計算が壊れるなら、暗号としては見過ごせません。

Appleは今回、Cryptol、SAW、Isabelleを組み合わせ、さらにGaloisがAppleの仕様に合わせて作ったCryptol-to-Isabelle翻訳ツールも公開しています。C実装をCryptolでモデル化し、FIPS仕様をIsabelleへ移し、最終的にはARM64アセンブリのサブルーチンもC実装と対応づけて確かめる流れです。

暗号の安全性は、強いアルゴリズムを選ぶだけでは足りません。実装が1ステップでも取り違えると、理論上の強さが実際の安全性に届かなくなるからです。Appleがここを公開した意味は、大きいです。

公開の狙いは、透明性と専門家による査読にある

Appleは、corecryptoの公開を「独立した専門家による評価」のためと位置づけています。暗号の分野では、秘密にしているから安全、という考え方は長く持ちません。むしろ、仕様や実装が外から検証されることで、壊れにくさが増していきます。

GitHubのリポジトリを見ると、テスト、パフォーマンス測定、ビルドターゲットに加えて、corecrypto_verifyという形式検証用のフォルダがあります。公開ライセンスには制約もあり、すべてが自由に再利用できる形ではありません。それでも、専門家が再現・評価できる資料を出したこと自体に意味があります。

Appleのセキュリティは、最近だとMemory Integrity Enforcementのように、ハードウェアとOSを合わせて守る方向が強くなっています。今回のcorecryptoも同じ流れです。アプリの表面で見える安全機能だけでなく、チップ、OS、ライブラリ、検証手法まで含めて守りを作っています。

ただし、透明性が増したからといって、明日から一般ユーザーが何か操作する必要はありません。これは設定でオンにする機能ではなく、AppleがOSの内側で進めている長期の移行です。使う側にできることは、配信済みアップデートを後回しにしすぎないこと、そしてアカウント保護を地道に固めることです。

海外の反応：専門家ほどコードと検証手法を見に行っている

今回の話題は一般向けの盛り上がりというより、Hacker Newsで形式検証やC言語、暗号実装の難しさに反応する声が出ていました。

The missing-step bug in early ML-DSA is the perfect case for SAW.

初期ML-DSAの欠落ステップのバグは、SAWにぴったりの事例だ。

— Hacker News

検証手法への納得：従来テストでは拾いにくい欠落を、形式検証で見つけた点に反応しています。今回の公開が単なる「コード公開」ではなく、検証プロセスの公開として受け止められているのが分かります。

SAW/Cryptol are amazingly easy to use compared to other formal methods tools.

SAW/Cryptolは、ほかの形式手法ツールと比べると驚くほど使いやすい。

— Hacker News

道具への評価：Appleの名前より、使われている検証ツールそのものに目が向いています。こういう反応が出るのは、公開資料が専門家の再評価に耐える粒度で出ているからですね。

Verified crypto is important but apple still doesnt take parser security seriously enough.

検証済み暗号は重要だが、Appleはまだパーサーの安全性を十分重く見ていない。

— Hacker News

歓迎だけではない視線：暗号実装の検証は評価しつつ、Appleのセキュリティ全体には別の弱点もある、という受け止めです。これは少し厳しいですが、セキュリティの話では自然な反応でもあります。暗号だけ強くても、入力処理やブラウザ、ファイル処理の穴が残れば守りはそこで崩れます。

Had totally forgotten that Apple had rolled out post-quantum crypto

Appleがすでにポスト量子暗号を展開していたことを完全に忘れていた。

— Hacker News

地味に進んでいた移行：iMessageのPQ3は2024年に始まっていますが、普段の操作で目立つ機能ではありません。だからこそ、今回のcorecrypto公開で「もうそこまで進んでいたのか」と見え直す人も出ています。

ひとこと：量子時代の準備は、見えない場所から進む

今回のニュースは、iPhoneやMacの画面に出る新機能としては地味です。でも、長くApple製品を使ううえでは、こういう地味な部分のほうがあとから重みを持ちます。

暗号は、壊れてから直すには遅い分野です。将来の量子コンピュータが現実的な脅威になる前に、通信や署名の仕組みを少しずつ入れ替えておく必要があります。AppleがiMessageのPQ3から始め、corecryptoの実装と検証資料まで公開した流れは、一歩先回りした守り方に見えます。

一方で、ここで過剰に安心するのも違います。今回の公開は、すべての通信や保存データが量子コンピュータに対して完全防御になったという意味ではありません。強い暗号を選び、正しく実装し、外から検証できる形にする。Appleはその地味で面倒な部分を進めています。

Safari 26.5のWebKit修正のような日々のアップデートも、今回のような暗号ライブラリの公開も、同じセキュリティの別の面です。前者は今ある穴をふさぐ話。後者は、これから何年も使う前提を作り直す話です。

まとめ：corecrypto公開は、Appleの暗号移行が本格段階に入った合図

AppleがGitHubで公開したcorecryptoには、ML-KEMとML-DSAの実装、テスト、パフォーマンスツール、ビルドターゲット、形式検証資料が含まれています。これは、ポスト量子暗号を「発表した」段階から、OSの基礎部分へ組み込んでいく段階に進んでいることを示す公開です。

使う側から見れば、今日すぐに操作が変わる話ではありません。ただ、iPhoneやMacを何年も使うなら、こうした裏側の移行はじわじわ重要になります。暗号の強さは、派手な新機能として見えません。見えないからこそ、実装と検証を外に出した今回の動きは、Appleのセキュリティ姿勢を見るうえで覚えておきたい一歩です。

ではまた！

Source：9to5Mac / Apple① / GitHub / Apple② / Apple③ / Apple④ / NIST① / NIST② / Hacker News