中国AIスタートアップのDeepSeekが、ユーザーのチャット履歴やAPIキーを含む機密データベースを認証なしで公開していたことが判明した。クラウドセキュリティ企業Wiz Researchの調査で、2025年1月6日時点の100万件以上のログがインターネット上に露出。データベースの完全制御が可能な状態で、企業とユーザーの双方に重大なリスクを生じさせていた。専門家は「AI業界の急成長にセキュリティ対策が追いついていない現状を露呈」と指摘する。
公開データベースから発覚した具体的な情報漏洩内容
Wiz Researchのセキュリティ研究チームは、DeepSeekのシステムを調査したところ、「数分で」重大な脆弱性を発見した。Wiz Researchが発見したのは「ClickHouse」データベース管理システムの公開インスタンスだ。ポート9000と8123でアクセス可能な2つのサブドメイン(oauth2callback.deepseek.comとdev.deepseek.com)に設置され、認証なしで任意のSQLクエリを実行可能な状態だった。
主な漏洩データ内容としては以下の通りだ:
- 100万行を超えるログストリーム(2025年1月6日時点)
- ユーザーとAIチャットボットの平文会話履歴
- バックエンドシステム認証用APIキー
- 内部APIエンドポイントの詳細情報
- サーバー運用メタデータ(ディレクトリ構造・サービス生成ログ)
特に危険性が指摘されたのは「SELECT * FROM file(‘filename’)」形式のクエリ実行機能だ。ClickHouseの設定次第ではサーバー上の平文パスワードやローカルファイルの抽出が可能だったが、Wizは倫理的な調査範囲を超えないよう侵襲的なクエリは実行しなかった。
技術的な脆弱性の本質と潜在リスク
問題の核心は「認証メカニズムの完全な欠如」にあった。ClickHouseは分析クエリに特化したオープンソースDBMSで、デフォルトで認証が無効化されているケースが多い。今回のケースでは:
- HTTPインターフェース(/playパス)が公開状態
- ポート9000(ネイティブプロトコル)と8123(HTTP API)がファイアウォールで未保護
- ログ管理テーブル(log_stream)に機密情報が平文保存
であった事が原因とされている。
これにより攻撃者が想定できたシナリオ:
- チャット履歴の大量収集によるプライバシー侵害
- APIキー悪用による内部システムへの権限昇格
- SQLインジェクションを介したサーバーファイル取得
- データベース改ざんによるサービス妨害
WizのCTO Ami Luttwak氏は「必要な対策レベルが極めて低いのに、取得可能なアクセスレベルが異常に高い」と指摘。基本的なセキュリティ対策が実施されていれば防げた事案と分析する。
AI革新の陰で露呈した基本的セキュリティの欠如
この脆弱性の発見は、DeepSeekが画期的なAIモデル「R1」を発表し、業界に衝撃を与えた直後のことだった。同社のR1モデルは、OpenAIの最新モデルに匹敵する性能を示しながら、より低コストでの運用を実現したとされ、テクノロジー市場に大きな波紋を広げていた矢先での出来事となった。
Wiz ResearchのCTOであるAmi Luttwak氏は、この事態の深刻さを端的に指摘する。「ミスは起こり得るものですが、これは劇的なミスです。なぜなら、アクセスに必要な労力は非常に低く、得られるアクセスレベルは非常に高かったからです」。同氏は、この事実は「このサービスが機密データを扱うには成熟していない」ことを示していると警告している。
通知を受けたDeepSeekは約30分で脆弱性を修正したものの、この事案は急速に発展するAI業界が直面する本質的な課題を浮き彫りにした。Wiz Researchのクラウドセキュリティ研究者Gal Nagli氏は、「AIサービスの急速な採用に伴うセキュリティ対策の欠如は本質的にリスクを伴います」と指摘する。そして「AIのセキュリティに関する議論は未来の脅威に向けられがちですが、実際の危険は、データベースの偶発的な外部露出のような基本的なリスクにあります」と述べ、セキュリティチームとAIエンジニアの緊密な協力の必要性を強調している。
この事案は、AIテクノロジーがかつてない速度で採用される中、多くのAI企業が適切なセキュリティフレームワークを整備しないまま、重要なインフラストラクチャプロバイダーへと急成長している現状に警鐘を鳴らすものとなった。
Source
コメント