Come Andrea già diceva, non è possibile di nascondere l'URL, perché il browser lo deve leggere.

L'unica cosa che potresti fare sarebbe inserire il codice iframe dinamicamente tramite Javascript. Questo codice poi potrebbe essere in qualche modo oscurato (Javascript obfuscation). Però con un po di esperienza e con dei tool adeguati (come Firebug) non sarà difficile trovare quel codice. Quindi sarà piuttosto "security by obscurity".