DeepSeekは船出から信用を失ったAIアプリとして問題を抱えています。
今回は大規模なデータ流出が発生し、100万人以上のユーザーの機密情報が漏洩しました。
調査によると、DeepSeekのデータベースはアクセス可能な状態が続いており、内部データの取得やデータベースの操作が自由に行える状況でした。
この問題は、認証なしで接続可能なClickHouseデータベースに起因し、HTTPインターフェースを介してSQLクエリを直接実行できる危険な状態にありました。
DeepSeekは過去にもサイバー攻撃を受け、リリース1週間後には大規模な侵害が発生しています。
専門家は同社のセキュリティ対策に疑問を呈し、安全性を懸念しています。今回の事件を受け、同アプリは複数の国や組織で禁止されました。
100万人以上のユーザーが影響
クラウドセキュリティ企業Wizが調査した結果、DeepSeekのデータベースには100万件以上のログが保存されており、チャット履歴、APIキー、バックエンドの詳細情報などが含まれています。
特に、データベースの完全な制御が可能だったことで、権限の昇格攻撃のリスクも指摘されています。
Wizの報告では、「SHOW TABLES」コマンドを実行するだけで、機密データを含むテーブルのリストが表示される状況でした。
誰でもインターネット経由でアクセス可能であり、DeepSeekのデータ管理のずさんさが浮き彫りとなっています。
サイバー犯罪者による悪用の危険性も高く、AIの学習モデル自体が改ざんされる可能性も指摘されています。
プライバシー対策の不透明性
DeepSeekのプライバシーポリシーによれば、データは中国のサーバーに保存されていますが、暗号化の有無や保護方法は明記されていません。
「商業的に合理的な技術的、管理的、物理的なセキュリティ対策を講じている」との説明にとどまっています。
この問題を受け、WizはDeepSeekに通報し、DeepSeek側は速やかに対策を講じたものの、すでに多くの国や企業がこのアプリを禁止しています。
今回の事件は、その危険性をさらに裏付ける結果となりました。
ユーザーが取るべき対策
DeepSeekのユーザーは、自身のアカウントで不審な活動がないか注意する必要があります。
フィッシング詐欺やマルウェアのリスクが高まっているため、不審なメッセージの開封には慎重になりましょう。
パスワードを変更し、強固なものにすることを推奨します。二要素認証(2FA)を設定するのも有効です。
一部のVPNサービスはデータ漏洩対策機能を備えており、ExpressVPNの「Identity Defender」やNordVPNの「NordProtect」は、最大100万ドルのサイバー保険を提供し、データ流出による損害を補償しています。
また、個人情報の流出を監視するアラート機能も搭載されています。
データ漏洩の影響を最小限に抑えるため、適切なセキュリティ対策を講じることが重要です。
