DeepSeekデータベースからチャット履歴など数百万件が漏洩可能な状態にあったことが判明

AI企業のDeepSeekが所有するデータベースに誰でもアクセスできる不具合があったことが、セキュリティ企業Wizの調査により明らかになりました。DeepSeekは報告を受けて既に問題を解決しているとのことです。

Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History | Wiz Blog
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

DeepSeekは2024年1月に推論モデルの「R1」を発表し、その性能の良さと開発コストの低さで世間を驚かせました。

OpenAI o1相当の推論モデル「DeepSeek R1」を中国AI企業が商用利用や改変が可能なMITライセンスでリリース - GIGAZINE

R1が広く使われるようになったことを受け、セキュリティ企業のWizはDeepSeekのセキュリティについて調査を開始。その結果、オープンソースの「ClickHouse」で構築されたDeepSeekのデータベースに脆弱(ぜいじゃく)性があり、知識さえあれば誰でもアクセス可能で、ユーザーのチャット履歴やAPIの秘密鍵といった機密性の高い情報を引き出せる状態にあったことを突き止めました。

Wizは一般にアクセス可能なDeepSeekのドメインを評価するところから始め、まずはAPIドキュメントやチャットサービスをホストする約30のドメインを特定。これらは特にセキュリティ上の懸念があるものではなかったのですが、Wizが標準的なHTTPポート(80／443)以外にも検索を拡大したところ、2つの異常なオープンポート(8123／9000)を検出しました。さらに調査を進めると、これらのポートは一般に公開されているClickHouseのデータベースにつながり、認証なしでアクセスできることがわかったそうです。

WizはClickhouseのインターフェースを活用することで任意のSQLクエリを直接実行できるようにし、アクセス可能なデータセットの全リストを表示しました。その中で際立っていたのが、非常に機密性の高いデータを含む「log_stream」というテーブルでした。このテーブルを調べたところ、100万以上のログがあり、DeepSeekのAPIキーやチャットの履歴等が閲覧できることが判明しました。

加えて、外部のユーザーが認証なしにDeepSeek環境内でデータベースを完全に制御し、特権を昇格できる可能性があったこともわかっているそうです。

Wizは「今回の事例は、DeepSeekとユーザーの両方にとって重大なリスクだと言えます。攻撃者は機密性の高いログやチャット履歴を取得できるだけでなく、特定のクエリを実行してユーザーのパスワードとともにローカルファイルを流出させる可能性もありました」と伝えました。

なお、WizがAI関連のセキュリティインシデントを報告したのは今回が初めてではありません。

2023年には、MicrosoftのAI研究部門が公開したAI学習モデルのリポジトリから、従業員のバックアップを含む30TBの機密情報にアクセスできたと報告しています。

MicrosoftのAI研究部門がMicrosoft Azure経由で38TBもの内部機密データを漏えいしていたと判明 - GIGAZINE

2024年には、悪意のあるAIモデルをHugging Face上で実行することでHugging Faceのシステムに侵入できる脆弱性を報告しました。

信頼できないAIモデルを実行するとそのAIを通してシステムに侵入される可能性があることをセキュリティ企業が警告 - GIGAZINE

Wizは「AIのように急速なペースで採用されるテクノロジーは世界でも例がなく、多くのAI企業は基本的なセキュリティを実装しないまま重要なインフラプロバイダーへと急成長しています。AIのセキュリティ問題では、多くの人が未来的な脅威に注目していますが、本当の危険はデータベースの偶発的な外部露出のような基本的なリスクから生じることが多いです。セキュリティの基本とも言えるこれらのリスクは、セキュリティチームにとって最優先事項であり続けるべきです」と述べました。