中国製AI DeepSeekからのデータ漏洩 ～AIリスクの顕在化事例～ 　

※今号は生成AIによってドラフトされた内容を
執筆者が編集してお届けしています。

2025年1月30日、ニューヨークに拠点を置く
サイバーセキュリティ企業Wizが、
中国のAIスタートアップDeepSeekの
重大なセキュリティ欠陥を発見しました。

Wizの報告によると、
DeepSeekは無防備なデータベースを
インターネット上に公開しており、
これにより100万行以上のログエントリ、
デジタルソフトウェアキー、バックエンドの詳細、
ユーザーチャット履歴などの
機密データが露出していました。

このデータベースには認証機構がなく、
誰でもアクセス可能な状態でした。

攻撃者はこのデータベースを利用して、
内部データの取得、プレーンテキストのパスワードの抽出、
さらにはDeepSeekのサーバー上の
ローカルファイルへのアクセスも可能でした。

WizのCTOであるAmi Luttwakは、
DeepSeekが通知を受けてから
1時間以内にデータベースを保護したと述べていますが、
このような簡単に見つかるセキュリティ欠陥が
他にも存在する可能性があると警告しています。

このセキュリティ侵害は、DeepSeekがAIの進歩で
注目を集めている時期に発生しました。

特に、DeepSeekのDeepSeek-R1推論モデルは、
米国の主要なAIソリューションに対する
コスト効果の高い代替手段として
評価されています。

しかし、この事件は、
AIの急速な展開に伴うデータセキュリティと
リスクの重要性を浮き彫りにしました。

そして、漏洩したデータの内容次第では、
AIによるプライバシーや知的財産侵害という問題も
出てくる可能性が有ります。

当メルマガでも今後の動きを
見守っていきたいと思っています。

※こちらは、執筆時点2025年2月12日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として多数の実績を誇る
株式会社アイロバと密接なパートナー関係にあります。

同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の露出状況を
把握できるSecurityScorecardの国内代理店でもあります。

サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）