DeepSeek をベースに考える：サイバー・セキュリティの大きな盲点

DeepSeek Exposes Major Cybersecurity Blind Spot

2025/02/13 SecurityWeek — 今月の流行語は DeepSeek である。この中国の AI 企業は、OpenAI ChatGPT や Google Gemini などの競合他社の数分の１のコストで R1 チャットボットを開発したと報じられており、米国のハイテク株式市場に波紋を広げ、AI インフラのコストと競争力に関する議論を引き起こした。しかし、より憂慮すべき問題も浮上している。米政府職員を含む何百万人もの無知なユーザーが、DeepSeek の Web サイトに殺到し、セキュリティやプライバシーのリスクを考慮せずに、個人情報を登録して共有したのだ。

このような注意不足は、ソーシャル・メディアやインターネット・アプリではよくあることだ。セキュリティ意識のトレーニングを受けていても、これらのプラットフォームを利用する際に警戒を怠る多数のユーザーは、サイバー攻撃者の格好の標的になり得る。これらのアプリケーションから収集したデータを悪用する攻撃者は、サイバー攻撃のための高度な基盤を築ける。

DeepSeek のような新しいプラットフォームが提供する、即時的なメリットに目が眩んだ多くのユーザーは、サインアップ時にプライバシー・ポリシーを無視することになる。これらのポリシーを、注意深く見直していたなら、DeepSeek が膨大なデータを収集していることに気づいただろう。

TikTok が国家安全保障上の懸念を生み出したが、DeepSeek には、それを遥かに上回るものがある。DeepSeek では、テキスト／音声／チャット履歴／アップロード・ファイルなどの、ユーザー入力が収集される。 それに加えて、IP アドレス／固有のデバイス ID／デバイス・モデルと OS／キーストロークのパターンとリズム／システム言語／ユーザー ID／Cookie なども自動的に収集される。このデータの多くは、AI クエリという目的において不要であり、プライバシーに関する重大な懸念を引き起こしている。

ソーシャル・メディアとインターネット・アプリの脅威

ソーシャル・メディアとインターネット・アプリは、サイバー・セキュリティにおける大きな盲点である。これらのプラットフォームでは。ユーザーの投稿が公開されることが多いため、それらのデータが秘密裏に攻撃者より収集される。ソーシャル・メディアで共有された情報には、パスワードの推測／個人への成りすまし／標的型フィッシング攻撃などで悪用される可能性がある。

より高い報酬を提供する企業が、攻撃者のターゲットになるケースが多発している。一般的な攻撃の戦略には、以下のものが含まれる。

• ターゲットの選択：LinkedIn を調べて、ソーシャル・エンジニアリングの影響を受けやすいと推測される付加価値価の高い企業の、従業員や低権限ユーザーを探し出す。
• データ収集：ペットの名前／好きなスポー・ チーム／学歴などの個人情報を、ソーシャル メディアで探し出す。これらの情報は、パスワードの推測や、セキュリティ質問などで悪用できる。
• 攻撃の実行：フィッシング・メール／ブランドの成りすまし／マルウェア／ソーシャル・エンジニアリング戦術を展開して、認証情報にアクセスし、潜在的なデータ侵害を引き起こす。

リスクの露出を最小限に抑える方法

ソーシャル・メディアやインターネット・アプリに関連する、セキュリティ・リスクを軽減するには、以下の主要な対策に従ってほしい。

• プライバシー・ポリシーを調べる。
• サービス・プロバイダーのプライバシー・ポリシーを確認して、収集されるデータを評価し、リスク評価を実施する。
• アカウント・セキュリティを強化する。
• アカウントごとに、強力で一意のパスワードを使用する。
• 可能な限り、多要素認証 (MFA) を有効化する。
• ログイン認証情報の共有を避ける。
• パスワードとセキュリティの質問を定期的に更新する。
• 個人情報を保護する。
• 特に AI 駆動型プラットフォームとのインタラクションでは、オンラインで共有される個人情報を制限する。
• プライバシー設定を調整して、自分の情報を閲覧できるユーザーを制御する。
• 不要な場合は位置情報の共有を無効化する。
• 住所／電話番号／財務データ／ビジネス IP などの機密情報を投稿しない。
• フィッシングと詐欺に注意する。
• メールやメッセージに添付される、リンクをクリックしない。
• 友達リクエストやダイレクト・メッセージの信頼性を確認する。
• 偽のプロフィールや成りすましに注意する。
• アプリの権限を確認する。
• アプリのダウンロードは、Google Play／Apple App Store などの信頼できるソースに限定する。
• アプリに付与した、カメラ／マイク／位置情報などへのアクセス制限を、定期的に確認／調整する。
• 使用していないアプリへのアクセスを取り消す。
• ソフトウェアを最新の状態に保つ。
• ソーシャメディア／アプリ／デバイスを定期的に更新して、セキュリティ脆弱性を修正する。
• OS／Browser のセキュリティ更新プログラムは速やかにインストールする。
• アカウント・アクティビティを監視する。
• アカウント・アクティビティとログイン履歴をチェックして、不正アクセスの有無を確認する。
• 認識されないログインやセキュリティ侵害に関する通知を有効化する。
• 安全なメッセージングと暗号化を使用する。
• Signal／WhatsApp などの、End-to-End で暗号化されるメッセージング・アプリを使用する。
• ソーシャル・メディア・チャットで機密データを共有しないようにする。

これらの対策を実施することで、ユーザーはリスクの露出を大幅に減らし、個人情報や仕事に関する情報を、いま以上にサイバー脅威から保護できるようになる。

米政府職員を含む何百万人のユーザーが DeepSeek の Web サイトに個人情報を共有しているという、目を疑うようなニュースです。この記事は、従業員のセキュリティ教育の重要性とその難しさを改めて浮き彫りにしており、セキュリティ・チームにとっては、頭の痛い話だと感じます。よろしければ、以下の関連記事も、ご参照ください。

2025/02/07：Ollama API と DeepSeek のブーム：AI のリスクとは？
2025/02/06：DeepSeek のログイン情報が China Mobile に送信される？
2025/02/03：PyPI で公開されたインフォ・スティーラーとは？
2025/02/03：Cisco による DeepSeek R1 調査：ジェイルブレイクの懸念
2025/01/30：DeepSeek R1 のリスク：Evil Jailbreak などによる倫理破壊
2025/01/30：DeepSeek からリーク：チャット・ログや機密情報が流出
2025/01/27：DeepSeek に大規模サイバー攻撃：新規ユーザー登録に支障