DeepSeekのiOSアプリが暗号化されていないデータを中国のサーバーに送信

人気ランキングでトップを走る AI iPhone アプリ「DeepSeek」が、中国所有のサービスにデータを送信しているほか、大量のユーザーデータを収集し、暗号化せずに保管・送信していることが判明した。

DeepSeekは、ChatGPTに似た生成AIアプリです。ChatGPTは2025年1月にリリースされ、ほぼ瞬く間に米国App Storeのチャートでトップに躍り出ました。これは、中国のAIスタートアップ企業DeepSeekに重大なセキュリティ上の欠陥があったにもかかわらず実現しました。

「（DeepSeekは）ユーザーのデータと個人情報を保護するための基本的なセキュリティ対策を備えておらず、また提供する意思もありません」と、セキュリティ企業NowSecureの共同創業者アンドリュー・フーグ氏はArs Techicaへの声明で述べた。「意図的か否かに関わらず、基本的なセキュリティ対策が遵守されていない状況があります。結果として、ユーザーと企業のデータと個人情報が危険にさらされることになります。」

シカゴに拠点を置くモバイルセキュリティ企業NowSecureは、DeepSeekのiOSアプリには複数のセキュリティおよびプライバシー上の問題があると述べています。具体的には以下のとおりです。

1. 機密データは暗号化されずに送信される
2. ユーザーデータは安全に保存されていない
3. アプリは広範なユーザーとデバイスのデータを収集します
4. ユーザーデータは中国所有のサーバーに送信される

NowSecureによると、DeepSeekは暗号化技術を使用しているものの、3DES暗号化を使用しているとのことです。これは対称暗号化方式であり、調査により解読可能であることが判明したため、2016年に廃止されました。

さらに、実装されている3DES暗号化では対称鍵が使用され、DeepSeekはこれをアプリにハードコードしています。つまり、すべてのユーザーが同じ暗号化鍵を使用していることになります。

このアプリは、データの暗号化を強制するAppleのApp Transport Securityプロトコルも無効にします。DeepSeekはこれを無効にした理由を明らかにしておらず、Appleも企業がこれを使わない選択をする理由についてコメントしていません。

データはByteDanceのサーバーに保存される際に復号化されます。サーバーに保存されると、特定のユーザーを識別したり、クエリを追跡したりするために使用される可能性があります。

この暗号解読は、セキュリティのベストプラクティスに違反するだけでなく、サーバーはByteDanceによって管理されているものの、同社は政府によるアクセスに関する中国の法律に拘束されているため、重大な問題となっています。これは、米国がByteDanceにTikTokの売却を要求したのと同じ問題です。

NowSecureはDeepSeekの調査を継続中だと述べています。Android版はiOS版よりもさらに安全性が低いと指摘しています。