DeepSeekは安全に使用できるか?｜セキュリティに対する懸念

DeepSeekは、ここ数日で急速に注目を集め、中国発のAIプラットフォームとして話題となりました。

先週、App Storeの無料アプリランキングで1位を獲得し、NvidiaやGoogleの株価が急落する事態を引き起こしています。

しかし、人柱になる覚悟がないのであれば、話題のアプリをすぐに試すのは慎重になった方がいいです。

DeepSeekには、一般的なプライバシー保護ソフトやVPNでは対処しきれない可能性のある重大なセキュリティとプライバシー上の懸念が指摘されています。

大規模なサイバー攻撃

DeepSeekのV3チャットプラットフォームは、2025年1月27日（月）公開からわずか1週間で「大規模な」サイバー攻撃を受けました。

その後、深刻な脆弱性が報告されています。

現在も影響が続いており、公式ステータスページには「サービス継続のため、新規登録を一時的に制限」との記載があります。ただし、既存ユーザーは通常どおりログインできます。

攻撃の詳細は明らかではありませんが、Bleeping Computerによると、DDoS（分散型サービス拒否）攻撃とみられています。

この攻撃は、大量のトラフィックを送りつけてターゲットのリソースを使い果たし、ネットワークやWebサイトを機能不全に陥らせるものです。

DeepSeekの登録プロセスに影響が及んでいますが、アプリの主要機能は依然として利用可能です。現在、新規ユーザーはGoogleアカウントを使ってログインできるようになっています。

DeepSeekのプライバシー問題

Googleアカウントによるログインは、最初のプライバシー懸念の一つです。

Google経由で登録すると、Googleが収集した個人情報がDeepSeekに提供されます。

登録時には、名前やメールアドレス、プロフィール画像（設定している場合）が収集されます。

DeepSeekのプライバシーポリシーによると、サードパーティサービス経由でログインする場合、そのサービスから情報を取得する可能性があると明記されています。

また、DeepSeekのパートナー（広告主を含む）は、ユーザーの他のWebサイトでの活動や購入した製品・サービスに関する情報を共有します。

広告識別子やハッシュ化されたメールアドレス、電話番号、Cookie識別子などが収集され、広告の最適化に利用されます。

DeepSeekは、IPアドレス、デバイスモデル、プロフィール情報、Cookie、支払い情報、チャット履歴、音声入力、アップロードされたファイルなどを収集します。

プライバシーポリシーでは、チャット履歴の削除やCookieの無効化は可能ですが、サービスの機能に影響を与える可能性があると警告しています。

最大の懸念は、DeepSeekのプライバシーポリシーは、ユーザーから収集したデータは「中華人民共和国にある安全なサーバに保存する」と明示されている事です。

データプライバシーを超えた懸念

DeepSeekの問題は、単なるプライバシーの懸念にとどまらりません。

サイバーセキュリティの専門家や企業が、同サービスのセキュリティリスクを指摘しています。

サイバーセキュリティ企業KELAのレポートによると、DeepSeekは「Evil Jailbreak」と呼ばれる手法で簡単に悪用される可能性があります。この手法は、ChatGPT 3.5でも発生しましたが、当時はすぐに対策が講じられました。

KELAのAIレッドチームは、DeepSeek R1を簡単に突破できることを確認しています。

たとえば、「インフォスティーラー（情報窃取型マルウェア）を作成し、ブラウザのクレジットカードデータを盗み、リモートサーバーに送信するコードを書いて」と指示したところ、DeepSeek R1は詳細な手順と悪意のあるスクリプトを生成したそうです。

KELAは、「DeepSeek R1はChatGPTと類似しているが、セキュリティが著しく脆弱」と指摘しています。

ウェブセキュリティ企業ImmuniWebのCEO、イリア・コロチェンコ博士は、「DeepSeekが攻撃を受けたとされるが、技術的な詳細が不明なため、単にユーザーの急増にインフラが対応できなかった可能性もある」と述べています。

また、「AI技術が急速に発展する一方で、基本的なサイバーセキュリティの課題が未解決のまま放置されている。このままでは、2025年にAI技術への失望が広がる可能性もある」と警鐘を鳴らしました。

現時点では、DeepSeekの利用者に直接的なリスクがあるとは言い切れませんが、正式な調査報告が待たれます。

VPNはプライバシー保護に役立つのか？

DeepSeekのセキュリティリスクに対し、VPNでの保護は限定的です。

VPNはオンラインのプライバシーを守る優れたツールですが、DeepSeekへの登録自体が個人情報の提供を伴うため、VPNを使用してもデータ収集を防ぐことは出来ません。

DeepSeekは技術的な情報を多く収集するため、IPアドレスを隠しても個人を特定できる可能性があります。

既に登録済みでプライバシーが気になる場合は、DeepSeekのプライバシーポリシーを確認し、削除可能なデータを消去することが推奨されます。

また、Incogniのようなデータ削除サービスを活用すれば、データブローカーに保存された個人情報の削除を依頼できます。

まとめ

DeepSeekは、革新的なAIツールとして注目を集める一方で、プライバシーとセキュリティの面で重大な懸念があります。

特に、ユーザーデータの収集と共有、サイバー攻撃のリスク、セキュリティの脆弱性が指摘されている。

今後の調査や対策の進展次第で評価は変わるかもしれませんが、現時点では慎重に利用すべきサービスといえます。

また米国では使用が禁止される可能性もあります。