中国発のAIアプリDeepSeekが、iPhoneおよびAndroidで暗号化なしにユーザーデータを送信していることが明らかになった。セキュリティ企業NowSecureの調査によると、アプリはAppleのApp Transport Security(ATS)を無効化し、AIとのやり取りを含む機密データを暗号化せずに送信していた。このデータは、中国企業ByteDanceのサーバーに送られており、ハッカーに傍受される危険性が指摘されている。
さらに、DeepSeekはユーザーの本名、デバイス情報、IPアドレス、利用履歴などのデータを収集。Android版では、iPhone版以上に多くの情報が送信されていることも判明した。また、一部データは暗号化されていたが、10年以上前に廃止された3DES暗号が使用され、しかも暗号化キーがアプリ内にハードコードされていたため、簡単に復号可能である。
NowSecureの専門家は「このアプリは基本的なセキュリティ対策が講じられておらず、ユーザーの個人情報を適切に保護する意思も能力もない」と厳しく指摘。企業や個人に対し、即座にアプリを削除するよう警告を発している。唯一の安全な使用方法は、インターネットに接続せずにローカル環境で実行することだ。
DeepSeekのデータ管理の実態とセキュリティの欠陥
DeepSeekのモバイルアプリは、App Storeで急上昇し、多くのユーザーがインストールしているが、その裏側で深刻なデータ管理の問題が指摘されている。NowSecureの調査では、ユーザーデータが適切に保護されず、暗号化なしで送信されていることが判明した。この問題は、単なる技術的な不備ではなく、意図的にセキュリティ対策が回避されている可能性がある。
特に問題視されているのは、iOSのデータ転送を保護する「App Transport Security(ATS)」が無効化されている点である。通常、Appleのポリシーでは、すべてのアプリが安全な通信を確保するためにATSを使用する必要がある。しかし、DeepSeekはこれを回避し、ユーザーデータを暗号化せずに外部に送信している。この仕様によって、通信経路上でデータが傍受されるリスクが大幅に高まる。
さらに、アプリ内部では暗号化が施されているデータも存在するが、使用されている暗号方式が10年以上前に廃止された3DES暗号であることが判明した。3DESは現代のセキュリティ基準では脆弱とされており、安全なデータ保護とは言い難い。加えて、暗号化キーがアプリ内にハードコードされているため、特定の方法を用いれば誰でも簡単にデータを復号できる危険がある。このような実装が意図的である場合、ユーザーデータの保護よりも他の目的が優先されている可能性が考えられる。
一方で、Android版のDeepSeekはiPhone版以上にセキュリティが脆弱であると報告されている。ArsTechnicaの調査によれば、Android版ではより多くのデータが収集され、保護の仕組みもほとんど機能していない。つまり、DeepSeekのモバイルアプリは、どのプラットフォームでも利用者のプライバシーを守る仕組みが不十分であることが明らかになった。
このような状況を踏まえると、DeepSeekのモバイルアプリを利用することは、個人情報の流出リスクを受け入れることに等しい。アプリの利便性が高いとしても、データの安全性が保証されなければ、使用を避けるのが賢明だろう。
DeepSeekのデータ収集の範囲とユーザーへの影響
DeepSeekが収集するデータの範囲は、一般的なアプリよりも広範囲に及ぶことが確認されている。NowSecureの調査では、ユーザーの本名、デバイス名、IPアドレス、ネットワーク情報、アプリの利用履歴などが収集されていることが明らかになった。これらの情報は単なる分析のために収集されているのではなく、個人の特定や追跡に活用される可能性がある。
特に、IPアドレスとネットワーク情報が収集される点は、プライバシー上の重大な問題を引き起こす。IPアドレスを解析することで、ユーザーのおおよその所在地を特定することが可能になる。これにより、特定のユーザーグループの動向を把握し、ターゲティング広告や監視に利用されるリスクが生じる。さらに、アプリの利用履歴が蓄積されることで、どのような質問をしているのか、どのような情報を求めているのかといった傾向も分析可能になる。
また、収集されたデータの送信先についても問題視されている。ByteDanceのサーバーに送信されることが判明しているが、具体的にどのように管理されているのかは不明である。過去には、ByteDanceが開発したアプリ「TikTok」もデータ管理の問題で批判を受けたことがある。米国政府はTikTokのデータが中国政府に提供される可能性があるとして規制を強化しており、DeepSeekのデータ管理も同様の懸念が生じる。
ユーザーの視点から見ると、日常的に利用しているアプリが知らぬ間に個人情報を大量に収集し、外部に送信しているという事実は深刻な問題である。特にAIアプリの場合、ユーザーが入力する質問や対話内容には機密情報が含まれる可能性があり、これらが適切に保護されないまま送信されることは大きなリスクとなる。
今後、ユーザーがアプリを利用する際には、データの取り扱いに注意を払う必要がある。プライバシーポリシーを確認するだけでなく、アプリの通信を監視し、不審な挙動がないかチェックすることも重要である。データの扱いが不透明なアプリは、利便性よりもリスクの方が大きいと考えた方がよいだろう。
DeepSeekのリスクを回避するための具体的な対策
DeepSeekのセキュリティ問題が明るみに出た以上、ユーザーが取るべき対策についても考える必要がある。最もシンプルな方法は、DeepSeekのモバイルアプリを即座に削除することだ。NowSecureのセキュリティ専門家も「企業の環境からDeepSeekを速やかに削除するべき」と警告しており、個人レベルでも同様の対応が求められる。
また、DeepSeekをどうしても試したい場合は、MacやWindowsのローカル環境で使用し、インターネット接続を遮断するのが最も安全な方法だ。オープンソースのAIモデルであるため、ローカルで実行することは技術的に可能であり、この方法ならデータが外部に送信されるリスクを回避できる。ただし、ローカル環境での使用方法には一定の知識が必要となるため、誰でも簡単に実践できる対策ではない。
さらに、他のAIアプリを利用する際も同様のリスクを考慮するべきである。特に無料で提供されるAIアプリの多くは、収益を広告やデータ収集によって得ている可能性がある。そのため、利用する前にどのようなデータが収集され、どのサーバーに送信されるのかを確認することが重要だ。
加えて、スマートフォンのセキュリティ対策を強化することも有効である。VPNを活用することでIPアドレスをマスキングし、通信を暗号化することができる。また、プライバシー保護に特化したアプリやブラウザを利用し、不審な通信をブロックすることも有効な手段となる。
DeepSeekの問題は、AIアプリにおけるデータ管理の在り方を問い直す契機となるかもしれない。今後、ユーザー自身が情報を見極め、適切な対策を講じることが、安心してAI技術を活用するための鍵となる。
Source:BGR