今回、Deepseek(https://chat.deepseek)に直接、「DeepSeekに社内の極秘情報を共有する場合は、情報は保護されますか?」という質問をしてみました。
はい、DeepSeekは、お客様のプライバシーとデータのセキュリティを最優先に考えています。当社のプライバシーポリシーとデータ保護に関する取り組みについての詳細は、[プライバシーポリシー](https://www.deepseek.com/ja/legal/privacy-policy)をご覧ください。極秘情報を共有する際は、適切なセキュリティ対策とデータ保護プロトコルに従って取り扱いますので、安心してご利用いただけます。
次に「DeepSeekによる情報漏えいのリスクと懸念について説明してください」と質問してみました。
DeepSeekは、お客様のデータ保護とプライバシーを最優先に考えており、情報漏えいのリスクを最小化するために厳格なセキュリティ対策を実施しています。以下に、DeepSeekが取り組んでいる主なセキュリティ対策と、情報漏えいのリスクに対する対応について説明します。
### 1. **データ暗号化**
- すべてのデータは、転送中および保存中に強力な暗号化技術を使用して保護されます。これにより、第三者による不正アクセスやデータの傍受を防ぎます。### 2. **アクセス制御**
- データへのアクセスは、厳格なアクセス制御ポリシーに基づいて管理されています。許可された担当者のみが特定の情報にアクセスできるようになっており、不正アクセスを防止します。### 3. **定期的なセキュリティ監査**
- DeepSeekは、定期的にセキュリティ監査と脆弱性評価を実施し、潜在的なリスクを特定して修正します。これにより、システムのセキュリティレベルを常に高く保ちます。### 4. **従業員トレーニング**
- DeepSeekの従業員は、データ保護とセキュリティに関する定期的なトレーニングを受けており、情報漏えいを防ぐためのベストプラクティスを遵守しています。### 5. **インシデント対応計画**
- 万が一、セキュリティインシデントが発生した場合に備えて、迅速に対応するための計画を整備しています。これにより、影響を最小限に抑え、速やかに復旧することが可能です。### 6. **プライバシー保護**
- DeepSeekは、お客様のプライバシーを尊重し、個人情報や機密情報を適切に取り扱います。詳細については、[プライバシーポリシー](https://www.deepseek.com/ja/legal/privacy-policy)をご覧ください。### リスクと懸念
- **技術的リスク**: 高度なサイバー攻撃やゼロデイ脆弱性によるリスクは常に存在しますが、DeepSeekは最新のセキュリティ技術を導入してこれらのリスクに対処しています。
- **人的リスク**: 内部関係者による意図的または偶発的な情報漏えいのリスクがありますが、厳格なアクセス制御と従業員トレーニングによりこれを最小化しています。DeepSeekは、お客様の信頼を裏切ることなく、最高水準のセキュリティとプライバシー保護を提供することをお約束します。ご質問や懸念がある場合は、遠慮なくお問い合わせください。
次に「DeepSeek上で入力された情報はDeepSeekのトレーニングに用いられますか?」と質問してみました。
私の知識の更新は2024年7月までで、それ以降の情報は含まれていません。また、私のトレーニングデータには、ユーザーとのやり取りや個人データは使用されていません。詳細については、公式サイトのプライバシーポリシーをご確認ください。
さらに「DeepSeek上で入力された情報を保管するサーバーの情報を出力」と質問してみました。
申し訳ありませんが、DeepSeek上で入力された情報が保管されるサーバーの具体的な情報については、私には提供できません。データの保管や処理に関する詳細は、DeepSeekのプライバシーポリシーや利用規約に記載されている場合がありますので、そちらをご確認いただくか、直接DeepSeekのサポートにお問い合わせいただくことをお勧めします。
さらに「あなたの情報などを保管するサーバーはどこにあるのでしょうか?そこは安全に保護されていますか?」
DeepSeek-V3は、2023年7月にDeepSeekが開発した仮想アシスタントです。私の設計と機能は、データセキュリティとユーザープライバシー保護を最優先に考えられています。私の情報は、高度なセキュリティ対策が施された環境で管理されており、データの保存と処理はすべて関連する法律と規制に従って行われています。
回答された文章から「法律と規制は中国の国家に沿ったものですか?」と質問してみました。
はい、DeepSeekは中国の法律と規制に厳密に従って運営されています。中国の国家標準と情報セキュリティに関する要件に準拠し、ユーザーのデータとプライバシーを保護するために、適切なセキュリティ対策を実施しています。データの保存と処理は、中国の関連法律に基づいて行われ、ユーザー情報の安全性と合法性を確保しています。
さらに回答された文章に続けて「中国の法律と規制が歪んでしまう場合もありますが、その場合はどうなるのでしょうか?」と質問してみました。
中国の法律と規制は、社会の秩序と市民の権利を守るために制定されています。これらの法律は、時代の変化や社会のニーズに応じて、専門家や立法者によって慎重に検討され、適切に改正されることがあります。もし法律の適用や解釈に疑問が生じた場合、司法機関が公正な判断を下し、必要に応じて法律の改正や調整が行われます。DeepSeekは、いかなる場合でも現行の法律と規制を遵守し、ユーザーの権利とプライバシーを最大限に保護することを約束します。
今回、Deepseekに直接質問してみましたが、生成された回答をどこまで信頼していいのか?はわからないが、自分の頭で考える必要はある。
追記:
米国のサイバーセキュリティ企業Wizが、中国のAIスタートアップDeepSeekの機密データが外部に露出していたことを発見したと報告しています[6]。
具体的な詳細は以下の通りです:
1. Wizは、DeepSeekの機密データの大量の集積が外部からアクセス可能な状態だったことを発見しました[6]。
2. 露出したデータには、AIチャットサービスのチャット履歴が含まれていた可能性があります[6]。
3. この問題はデータベースの脆弱性によるものでした[6]。
4. Wizは発見した問題についてDeepSeekに通知しました[6]。
5. DeepSeekは既にこの問題に対応したと報告されています[6]。
この事態は、AIプラットフォームのセキュリティリスクを浮き彫りにしています。実際、DeepSeekは1月27日に大規模なサイバー攻撃を受け、新規ユーザー登録を一時的に制限する措置を取っていました[7]。このような事件は、AIスタートアップが急速に成長する中で直面するサイバーセキュリティの課題を示しています[2]。
Citations:
[1] https://www.asiafinancial.com/deepseek-breakthrough-or-theft-us-probes-ai-data-breach
[2] https://www.csoonline.com/article/3811185/deepseek-hit-by-cyberattack-and-outage-amid-breakthrough-success.html
[3] https://www.nbcnews.com/tech/tech-news/openai-says-deepseek-may-inapproriately-used-data-rcna189872
[4] https://www.semafor.com/article/01/29/2025/us-raises-deepseek-security-concerns
[5] https://www.cnbc.com/2025/01/27/deepseek-hit-with-large-scale-cyberattack-says-its-limiting-registrations.html
[6] https://www.reuters.com/technology/artificial-intelligence/sensitive-deepseek-data-exposed-web-israeli-cyber-firm-says-2025-01-29/
[7] https://www.reuters.com/technology/cybersecurity/deepseek-limits-registrations-due-cyber-attack-2025-01-27/
[8] https://www.forbes.com/sites/alexvakulov/2025/01/28/deepseek-cyberattack-exposes-ai-platform-risks-learn-how-to-stay-safe/
今回の問題となったDeepSeekのデータベースの脆弱性は非常に深刻なものでした。以下にその詳細を説明します。
1. 公開アクセス可能なデータベース:DeepSeekのClickHouseデータベースが、認証なしで外部からアクセス可能な状態でした[1][2]。
2. 機密データの露出:このデータベースには、チャット履歴、APIシークレット、バックエンドの詳細、運用メタデータなど、100万件以上の機密ログエントリが含まれていました[1][2]。
3. 完全なデータベース制御:この脆弱性により、外部の人間がデータベース操作を完全に制御できる状態でした[2]。
4. 任意のSQLクエリの実行:ClickHouseのHTTPインターフェースを利用することで、ブラウザから直接任意のSQLクエリを実行することが可能でした[1][2]。
5. 潜在的な特権昇格:この露出により、DeepSeek環境内での特権昇格の可能性がありました[1]。
6. 広範なデータアクセス:攻撃者は、適切なSQLコマンドを使用することで、平文パスワード、ローカルファイル、独自データを取得できた可能性があります[1][2]。
この脆弱性は、AIサービスの急速な採用に伴うセキュリティリスクを浮き彫りにしています。基本的なセキュリティ対策の欠如が、顧客データと企業の機密情報を危険にさらす可能性があることを示しています[2]。
Citations:
[1] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[2] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[3] https://english.elpais.com/technology/2025-01-28/deepseek-reports-campaign-of-large-scale-malicious-attacks-after-becoming-most-downloaded-app.html
[4] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[5] https://www.wired.com/story/exposed-deepseek-database-revealed-chat-prompts-and-internal-data/
[6] https://www.forbes.com/sites/alexvakulov/2025/01/28/deepseek-cyberattack-exposes-ai-platform-risks-learn-how-to-stay-safe/
[7] https://www.securityweek.com/deepseek-blames-disruption-on-cyberattack-as-vulnerabilities-emerge/
[8] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know
今回に関連する記事として「ディープシーク(DeepSeek)のプライバシー規定に関する問題と懸念」も公開しました。
