セキュリティ

DeepSeekのiOSアプリが暗号化されていないデータをByteDanceが管理するサーバーに送信していることが明らかに


セキュリティ企業NowSecureが実施した調査により、中国に本社を置くDeepSeekのiOSアプリにセキュリティおよびプライバシーに関する特定のリスクがあることがわかりました。

NowSecure Uncovers Multiple Security and Privacy Flaws in DeepSeek iOS Mobile App - NowSecure
https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/

DeepSeek iOS app sends data unencrypted to ByteDance-controlled servers - Ars Technica
https://arstechnica.com/security/2025/02/deepseek-ios-app-sends-data-unencrypted-to-bytedance-controlled-servers/

DeepSeekは低いコストで性能の良いAIモデルを開発したとして話題になり、アプリ版はApp Storeの無料アプリランキングで瞬く間に1位へと上り詰めました。

中国のAI開発企業「DeepSeek」が急速に台頭してテクノロジー業界で話題に、App Storeの無料アプリランキングでも1位を獲得 - GIGAZINE


上記アプリを調査したNowSecureは、アプリを使うことで機密データが安全ではない方法で送信され、さらにByteDanceなどのサードパーティー企業にデータが解読され得る可能性があることを突き止め、企業および機関に対してDeepSeekアプリを直ちに削除するよう警告しました。

NowSecureによると、DeepSeekはAppleが推奨する方法でデータを送信していないということでした。AppleはiPhoneやiPadのアプリ開発者に対し、アプリがHTTPチャネル上で安全でないデータを送信しないよう、「App Transport Security(ATS)」と呼ばれるプロトコルを使って通信データを暗号化することを強く推奨しています。ところが、DeepSeekはこの保護機能をアプリ内でなぜか無効化しているといいます。


また、一部のデータは不安定な方法で暗号化または保存されていることも分かり、ATSが無効化されていることと合わせ、中間者攻撃などの手法でデータが傍受される可能性があり、またデータを変更されて予期しない影響を及ぼす恐れもあるとNowSecureは分析しています。

さらに、データはByteDanceが開発したクラウドプラットフォーム「Volcengine」が提供するインフラを介してDeepSeekに送信されていることもわかりました。

データには、デバイスに設定されている言語やユーザーエージェント、組織ID、OSのバージョンなどデバイスの基本情報などが含まれていました。NowSecureは、これらのデータを個別に取得することは大して危険性が高いものではないものの、長期間にわたって多くのデータが集約されることで、複数のデータの組み合わせから個人を簡単に特定できるようになる可能性があると警告しました。


NowSecureは、「現時点では、DeepSeekのiOSアプリに存在する多数のセキュリティ、プライバシー、データのリスクを直ちに軽減することは、不可能ではないにせよ困難です。時間をかけてセキュリティの問題が改善され、プライバシーに影響を与える慣行の一部が対処されることを願っています」と述べ、DeepSeekのiOSアプリを利用する個人や組織は直ちに利用を停止し、DeepSeekのモデルを使いたいのであれば他の方法で利用すべきだと指摘しました。

DeepSeekは各種モデルをオープンソースで公開しているため、ユーザーはモデルをセルフホスティングして完全にローカル環境で動作させるか、Microsoftのような企業のホスティングサービスで利用することができ、DeepSeekが提供する「アプリ」や「チャットサービス」を利用する場合とは違いデータ漏えいのリスクを回避することができます。ただし、たとえローカルで使用しても「天安門広場」など特定の単語に対する検閲はそのままだと回避できないため、NowSecureは「モデルをカスタマイズしない限り、検閲は依然として存在します」と注意しています。

「DeepSeek-R1」は中国に関するデリケートな話題の85%に回答することを拒否、ただし簡単に制限を回避できるとの指摘 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
DeepSeekデータベースからチャット履歴など数百万件が漏洩可能な状態にあったことが判明 - GIGAZINE

DeepSeekアプリがイタリアのAppleとGoogleのアプリストアから消滅、イタリアのデータ保護局が個人データの使用についてDeepSeekに尋ねた直後 - GIGAZINE

業界注目の中国産AI「DeepSeek」を数百の企業が使用禁止、データ漏洩リスクが理由 - GIGAZINE

・関連コンテンツ

in モバイル,   ソフトウェア,   セキュリティ, Posted by log1p_kr

You can read the machine translated English article DeepSeek's iOS app sends unencrypted….