個人情報ダダ漏れ。まだまだ出てくるDeepSeekの脆弱性

想像を超えるヤバみ…。

生成AI企業DeepSeek（ディープシーク）の同名人気アプリ｢DeepSeek｣の安全性（というか危険性？）について、サイバーセキュリティー企業が警告を発しています。

同アプリには、ユーザーデータを危険にさらす可能性のあるセキュリティー上の脆弱（ぜいじゃく）性が複数あるとして、企業や組織に対して使用を控えるよう呼びかけているそうです。

重大なセキュリティリスク

今年1月、DeepSeekアプリはApple（アップル）のApp Storeでランク急上昇して、株式市場を騒がせました。でも、モバイルアプリのセキュリティ企業であるNowSecureの分析によると、このアプリはインターネット上で暗号化されていないデータを送信、ユーザー名やパスワードなどの認証情報を安全じゃない方法で保存しているのだとか。そ、それヤバくないか？

この脆弱性は、多くのユーザーがDeepSeekのAIモデルにアクセスするために使用するモバイルアプリに影響を与えます。

しかし、AIモデルそのものに問題はないらしくて、ユーザーの端末上でローカルに実行したり、別のホスティングプラットフォームを通じて使用したりする場合は、このリスクの影響を受けないそうです。

NowSecureは次のように指摘しています。

｢モバイルアプリは変化が速く、多くの場合、十分に保護されていない攻撃対象であるため、企業や消費者にとって非常に現実的なリスクをもたらします。

DeepSeekが注目されていますが、こうした問題は決して珍しいものではありません｣

データが暗号化されていない…だと？

NowSecureが実際にスマートフォンでDeepSeekアプリの動作を分析したところ、iPhone版ではAppleが設計した重要なセキュリティ機能がオフになっていたことが判明しちゃいましたよ。ヤバい…。

この点について、NowSecureの分析チームが次のように述べています。

｢DeepSeekのiOSアプリは、App Transport Security（ATS）をグローバルに無効化しています。ATSは、iOSプラットフォームの保護機能であり、暗号化されていない通信経路を通じた機密データの送信を防ぐものです。

この保護が無効化されているため、アプリは暗号化されていないデータをインターネット上で送信でき、実際にそうしています｣

通信が暗号化されていない場合、ユーザーは中間者攻撃（デバイスが通信しているネットワークを制御している第三者が、ユーザーとDeepSeekのサーバー間の通信を閲覧または変更できる攻撃）を受けるリスクがあるとのこと。ヤバいヤバい…。

気を取り直す時間はありません。まだ続きます。DeepSeekアプリは、ユーザー名やパスワードなどの機密情報を、暗号化していない状態で端末に一時保存しているケースがあることまで判明。しかも、デバイスに物理的またはリモートでアクセスできる攻撃者が、このファイルを簡単に閲覧できる可能性があるとのこと。ヤバいヤバいヤバい…。

NowSecureが指摘した脆弱（ぜいじゃく）性の中には、モバイルアプリでは比較的一般的なものも含まれているとのこと。例えばDeepSeekアプリは、利用しているネットワークや端末に関するデータをいろいろ収集しているそう。

で、こういったデータが他の情報と組み合わされると、データブローカー（個人情報を売買する企業）や、さらに悪質な第三者によって、ユーザーの行動が追跡・監視される可能性があるのだとか。ハッカーフレンドリーでヤバさ五つ星。

吹き荒れるDeepSeekへの逆風

NowSecureのリポートは、セキュリティ上の脆弱性や、同社が中国に拠点を置いているという事実を理由に、複数の政府が職員によるDeepSeekの利用を禁止している中で発表されました。

2月10日にはニューヨーク州のキャシー・ホウクル知事が、州職員のデバイスでDeepSeekのAIモデルを使うことを禁止すると発表しています。

また、現在アメリカ連邦議会では、政府機関で同様の禁止措置を導入する法案を審議中。一方、韓国、オーストラリア、台湾の政府は、すでに公的機関のデバイスでのDeepSeekのAIモデル使用をブロックしています。

世界各国で禁止措置がじわじわ進んでいる感じですけど、アメリカの決定次第ではさらに広がるかもしれないですね。