中国のスタートアップ企業DeepSeekが提供するAndroidアプリにおいて、ハードコードされた鍵の使用や脆弱な暗号化、SQLインジェクションの脆弱性、さらにはユーザーデータが中国に送信されるなど、重大なセキュリティおよびプライバシー上の問題が発見されました。
特に、APIキーやパスワードが平文で保存されていることが確認され、不正アクセスやアカウント乗っ取りのリスクが高まっています。また、アプリ内にはセキュリティ分析を妨害するためのアンチデバッグ機能が組み込まれており、透明性を主張する企業としては異例の措置とされています。これらの問題により、ニューヨーク州など複数の政府機関が、DeepSeekアプリの使用を禁止する動きが広がっています。
暗号化の脆弱性がもたらす深刻なリスク
DeepSeekのAndroidアプリには、セキュリティ研究者によって脆弱な暗号化手法の使用が指摘されています。
特に、アプリ内で**DES(Data Encryption Standard)**が使用されており、これは現代のセキュリティ基準では極めて不十分とされています。DESはすでに安全性が確保できないとして廃止されており、多くのアプリやサービスではAES(Advanced Encryption Standard)などのより強力な暗号化方式が採用されています。
さらに、ハードコードされた鍵の存在も確認されました。これはアプリ内部に固定の暗号鍵が埋め込まれていることを意味し、攻撃者がアプリのコードを解析することで簡単にデータを解読できる可能性があります。セキュリティの基本として、暗号鍵はサーバー側で動的に管理されるべきですが、DeepSeekのアプリではそれが行われていません。
このような脆弱な暗号化実装は、ユーザーのプライベートデータの漏洩につながるリスクを高めます。特に、APIキーやパスワードが平文で保存されていることが確認されており、悪意のある第三者がアプリのデータを抽出することで、アカウントの乗っ取りや不正アクセスにつながる危険があります。このような状況を考えると、アプリを利用する際には慎重な対応が求められます。
デバッグ妨害機能が示す異例の設計方針
DeepSeekのAndroidアプリには、セキュリティ分析を阻害するためのアンチデバッグ機能が組み込まれていることが明らかになりました。通常、アプリの開発者はデバッグ機能を活用してバグの修正やパフォーマンスの最適化を行いますが、悪意のあるアクターがアプリのコードを解析することを防ぐために、一部のアプリではアンチデバッグ機能を導入することがあります。
しかし、DeepSeekのアプリに実装されているアンチデバッグ技術は、通常のアプリとは異なる点がいくつかあります。研究者によると、アプリは**「android.os.Debug.isDebuggerConnected()」や「System.getProperty(“ro.debuggable”)」**などのメソッドを使用し、デバッグ環境で動作しているかどうかをチェックしているとのことです。
これにより、セキュリティ研究者がアプリの挙動を分析しようとすると、アプリが自動的にクラッシュしたり、解析を困難にする仕様になっています。
このような仕組みは、金融系アプリなどで不正防止のために採用されることがありますが、DeepSeekのような一般向けのアプリで採用されるのは異例です。透明性を強調する企業が、自社のアプリの挙動を隠そうとする動きは不自然にも映ります。この点について、今後さらに詳しい分析が求められます。
世界的な規制強化が進む可能性とユーザーへの影響
DeepSeekのアプリに関するセキュリティ問題を受け、すでに複数の国や地域で使用禁止の動きが広がっています。ニューヨーク州や韓国国防省、オーストラリア政府、さらにはイタリアや台湾などの政府機関も、DeepSeekのアプリを政府端末で使用しないよう指示を出しています。
この流れが続けば、民間企業や一般ユーザーにも影響が及ぶ可能性があります。特に、企業のIT部門がこのようなアプリのセキュリティリスクを認識し、業務用端末へのインストールを制限するケースも増えていくかもしれません。また、各国のデータ保護規制と照らし合わせた場合、GDPR(一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)に抵触する可能性も指摘されています。
ユーザーとしても、データの取扱いについて慎重に考える必要があります。特に、プライバシーに関する懸念があるアプリを使用する際には、許可する権限を細かく確認し、個人情報の取り扱いについて理解することが重要です。また、同様のリスクを回避するためには、信頼できるアプリストアや公式のレビューを参考にすることも有効な手段となるでしょう。
Source:Cybernews