2026年4月24〜25日、X(旧Twitter)がiOS向けスタンドアロンメッセージアプリ「XChat」をApp Storeで正式リリースし、初日に米国の無料アプリランキング1位を獲得しました。
E2E暗号化・Grok AI内蔵・広告なし・電話番号不要——魅力的な機能を持つ一方で、暗号化の実装に深刻な問題があることも判明しています。この記事では機能・使い勝手・セキュリティの実態を正直に解説します。
XChatとは?「Everything App」戦略の核心
XChatはElon MuskがCEOを務めるX Corp.が開発した暗号化メッセージアプリです。「中国のWeChatのような、メッセージ・決済・サービスが一体になった万能アプリ(Everything App)を欧米で作る」というMuskのビジョンを実現するための中核製品として位置づけられています。
最大の差別化ポイント:コールドスタート問題のバイパス
新しいメッセージアプリが普及する最大の障壁は「連絡先がいない問題」です。XChatはXアカウントでのみログインでき、Xのフォロワー・フォロー関係がそのまま連絡先として機能します。年単位で築いてきたソーシャルグラフを即座にメッセージング環境に持ち込める点は、他社には模倣困難な強みです。
主な機能
通信・メッセージ機能
- E2E暗号化:全メッセージ・音声通話・ビデオ通話に適用(※後述の重大な注意点あり)
- 音声・ビデオ通話:電話番号を相手に教えずに通話可能
- 消えるメッセージ:一定時間後に自動削除
- スクリーンショット検知・ブロック:撮影時に通知 or 物理的にブロック(ただし初期版では動作が不安定との報告あり)
- 大規模グループチャット:最大481人(数週間以内に1,000人へ引き上げ予定)。公開リンクをXのタイムラインに投稿してメンバー募集可能
Grok AI統合
XChatの最大の差別化機能がGrok AIのネイティブ統合です。ChatGPTやClaudeのような外部アプリに切り替えることなく、チャット画面の中でそのままAIを呼び出せます。
| Grokでできること | 具体的な活用例 |
|---|---|
| リアルタイム情報取得 | Xのトレンド・最新ニュースをチャット内で即座に要約(他のLLMにはない特権) |
| 翻訳・多言語対応 | 受け取った外国語メッセージを即翻訳、適切な言語で返信案を作成 |
| 文章作成サポート | 返信文の下書き・トーン調整・長文メッセージの要約 |
| グループでのブレスト | 企画のアイデア出し、コード検証、SNS投稿のキャプション生成 |
| 画像生成 | プロンプトからチャット内で直接画像を生成 |
Grokのキャラクターについて: ChatGPTが過剰なガードレールで無難な回答を返しがちなのに対し、Grokは「ユーモアがあり、反骨精神のある(rebellious)」設計です。「馬鹿げたアイデアにはストレートにそう言ってくれる」「ChatGPTより信用できる」という声がある一方、「深い推論や長文コーディングではClaudeやChatGPTの方が一貫性がある」という評価も定着しています。
広告なし・完全無料
現時点ではアプリ内広告・課金要素ともにゼロです。将来的にはX Money(法定通貨P2P送金→暗号資産決済へ拡張予定)との統合が計画されており、決済手数料が収益源になる見込みです。
初期バグ:リリース直後の問題点
App Storeでの評価は**3.4〜3.5点(5段階)**と伸び悩んでいます。主なバグ報告:
- PIN設定画面でのフリーズ:セットアップ時に「OK」をクリックするとアプリがかなりフリーズし操作不能になるケースが報告されています
- Googleアカウントの強制ログイン:Gmailを一切紐づけていない純粋なXアカウントでも、なぜかGoogleアカウントでのサインインを強要される仕様。「トラッキングなし」を謳いながらGoogle連携を強制するのは矛盾していると批判されています
- オンラインインジケーターがない:相手がオンラインかどうか確認できない
- プロキシ設定非対応:ネット規制の厳しい国のユーザーには使えない
⚠️ セキュリティ・プライバシーの実態
XChatは「完全なE2E暗号化」を前面に押し出していますが、独立した暗号学の専門家による分析では重大な問題が指摘されています。
問題①:鍵がXのサーバーに保管されている(Juiceboxプロトコル)
SignalやWhatsAppなどの業界標準のE2EEアプリは、暗号化の鍵をユーザーのデバイス内にのみ保存します。しかしXChatは「Juicebox」という独自プロトコルを採用し、暗号化鍵を分割してXのサーバー群に保管する設計です。
ユーザーが新しい端末でログインする際、4〜6桁のPINを入力するだけでサーバーから鍵を取り出して復元できるため便利ですが、これはX社が政府機関からの法的な開示要求(米CLOUD法など)を受けた場合や、サーバーが侵害された場合にメッセージが解読されうることを意味します。
「X自身でさえ会話を読めない」というマーケティングメッセージは、このアーキテクチャと矛盾しています。
問題②:4桁PINはブルートフォース攻撃に脆弱
暗号鍵を守る手段が「4桁の数字(最大10,000通り)」のみである点も批判されています。セキュリティ研究者のテストによれば、一般的なPCで1回の試行に0.2秒もかからず、サーバー側の試行回数制限が解除されれば数秒〜数分で総当たり攻撃が完了してしまいます。
問題③:前方秘匿性(PFS)がない
Signalはメッセージごとに新しい鍵を生成・破棄する「ダブルラチェット」方式を採用しています。XChatは会話開始時に一度だけ鍵を生成し、以降その鍵を使い続ける設計のため、将来ある時点で鍵が漏洩した場合、過去のメッセージすべてが遡って解読可能になります。これは現代のセキュアメッセージングの業界標準を満たしていません。
問題④:写真のGPS情報(EXIFデータ)がそのまま送信される 🚨
これが最も深刻な実装上の欠陥です。一般的なメッセージアプリは送信時に写真のEXIFデータ(撮影日時・GPS位置情報・カメラ機種など)を自動的に削除します。
しかし米メディア「Straight Arrow News」の実証テストにより、XChat経由で送った写真はEXIFデータを一切削除せずそのまま送信されることが判明しました。テストでは送信された写真から「Google Pixel 8 Proで撮影、5月12日午前10時45分、カンザスシティの空港駐車場」という正確な位置情報と時刻を特定することに成功しています。
⚠️ XChatで写真を送ると、撮影場所・日時が相手に筒抜けになります。 現時点ではこの問題が修正されるまで写真の送信は避けることをおすすめします。
プライバシーポリシーの実態
App Storeの開示情報によれば、XChatが収集・紐づけるデータには以下が含まれます:
- 連絡先情報(メールアドレス・電話番号・アドレス帳全体)
- 位置情報・検索履歴
- ユーザーID・デバイスID・利用状況データ
「トラッキングなし」は広告への直接利用がない、という意味であり、データ収集自体は行われています。
主要メッセージアプリとの比較
| 項目 | XChat | Telegram | Signal | LINE | |
|---|---|---|---|---|---|
| E2E暗号化 | ○(※鍵はサーバー) | ◎(デバイス保管) | △(シークレットのみ) | ◎(完璧) | △(一部のみ) |
| 前方秘匿性(PFS) | なし | あり | なし | あり | 一部あり |
| 写真EXIF削除 | ❌ 削除しない | △ 限定的 | △ 限定的 | ◎ 完全削除 | △ 限定的 |
| 広告 | なし | 間接的にあり | チャンネルに表示 | なし(非営利) | 多数 |
| AI統合 | ◎(Grok・リアルタイム) | △(Meta AI) | なし | なし | 限定的 |
| 登録要件 | Xアカウントのみ(電話番号不要) | 電話番号必須 | 電話番号必須 | 電話番号必須 | 電話番号必須 |
| 最大グループ人数 | 481人(1,000人予定) | 1,024人 | 200,000人以上 | 1,000人 | 5,000人 |
| 対応OS | iOSのみ | 全OS対応 | 全OS対応 | 全OS対応 | 全OS対応 |
対応デバイスと始め方
現在の対応状況(2026年4月時点):
- iOS:App Storeで配信中
- Android:リリース時期未定(Android版を名乗るサードパーティアプリは詐欺の可能性が高いので注意)
- PC/Web版:未発表
始め方:
- App StoreでXChatを検索してインストール
- Xアカウントでログイン(電話番号・SMS認証不要)
- Xのフォロワーがそのまま連絡先として表示される
- メッセージを送って開始
こんな人におすすめ度
| ユーザー | おすすめ度 | 理由 |
|---|---|---|
| X上でつながるクリエイター・インフルエンサー(iOS) | ★★★★★ | 電話番号不要でフォロワーと高機能通話・ファイル共有ができる。Grok連携も強力 |
| Grok AIをメッセージ内で使いたい人 | ★★★★☆ | リアルタイム情報とAIが融合した体験は他のアプリにない強み |
| 広告なし・電話番号不要のアプリを探している人 | ★★★★☆ | この2点は本物。LINEやWhatsAppからの乗り換え理由になりうる |
| Androidメインのユーザー | ★★☆☆☆ | 現時点では使えない。Android版公開まで待機推奨 |
| 機密情報を扱うビジネス・医療・法務関係者 | ★☆☆☆☆ | PFS欠如・サーバー側鍵管理・EXIF漏洩の問題から業務利用は不適切。Signalを使うこと |
| ジャーナリスト・活動家 | ★☆☆☆☆ | プロキシ非対応・メタデータ収集・法的開示リスクがあり命に関わる通信には不適 |
まとめ
XChatはGrok AI統合と既存Xソーシャルグラフの活用という点で、他のメッセージアプリにはない独自の価値を持っています。クリエイター同士の連絡ツールとしては実用性が高く、日常的なプライベート会話の保護としては十分な水準です。
一方で、EXIFデータ漏洩・鍵のサーバー保管・PFS欠如という暗号化上の妥協は見過ごせません。「誰も読めない」というマーケティングと実態には乖離があることを理解した上で、用途に応じて使い分けることが重要です。
安全性の優先順位:Signal > WhatsApp > XChat ≒ Telegram(デフォルト)> LINE
機密性の低い日常会話・クリエイター同士の連絡にはXChat、絶対に漏らせない通信にはSignalという使い分けが現実的な選択です。
