機密情報流出、チャット履歴を含むDeepSeekデータベースが露出
(wiz.io)- DeepSeekの外部攻撃対象領域の点検過程で、認証なしで開かれていたClickHouseデータベースが発見され、DeepSeekは通報後ただちに露出を遮断した
- 露出箇所は oauth2callback.deepseek.com と dev.deepseek.com の8123・9000ポートで、外部からデータベース全体の制御と内部データへのアクセスが可能だった
log_streamテーブルには100万件以上のログがあり、2025年1月6日からのチャット履歴、API Keys、バックエンドの詳細、運用メタデータが平文で含まれていた- ClickHouse HTTPインターフェースの
/playパスからブラウザで任意のSQLクエリを実行できたが、Wiz Researchは倫理的な研究慣行に従い、閲覧範囲を列挙レベルに制限した - AIサービスの急速な導入における当面のリスクはモデルそのものだけでなく、データベースの偶発的な外部露出のような基本的なインフラセキュリティ問題からも生じる
認証なしで開かれていたDeepSeekのClickHouseデータベース
- Wiz Researchは、DeepSeekに属する公開アクセス可能なClickHouseデータベースを特定した
- このデータベースは認証なしでアクセス可能で、内部データの閲覧だけでなく、データベース操作を完全に制御できる状態だった
- 露出していた情報には、チャット履歴、API Keys、バックエンドの詳細、ログストリーム、運用の詳細が含まれていた
- Wiz Researchは問題をDeepSeekにただちに報告し、DeepSeekは露出を迅速に遮断した
外部攻撃対象領域の調査と露出箇所
- DeepSeekは中国のAIスタートアップで、DeepSeek-R1推論モデルによって最近大きな注目を集めている
- DeepSeek-R1は、OpenAIのo1のような先進的なAIシステムと性能面で競合するとされる
- コスト効率と効率性が主な特徴として取り上げられている
- Wiz ResearchはDeepSeekの外部攻撃対象領域を評価するため、公開ドメインを調査した
- 手動・能動的なサブドメイン探索により、約30個のインターネット公開サブドメインを特定した
- その大半はチャットボットインターフェース、ステータスページ、APIドキュメントなどで、当初は高リスクの露出には見えなかった
- 標準HTTPポートである80/443を超えて探索すると、8123と9000ポートが開いていることが確認された
- 対象ホストは oauth2callback.deepseek.com と dev.deepseek.com だった
/play パスを通じたSQL実行
- 確認されたポートは、認証なしでアクセス可能なClickHouseデータベースにつながっていた
- ClickHouse は、大規模データセットに対する高速な分析クエリのために設計されたオープンソースのカラム指向データベース管理システムである
- Yandexが開発した
- リアルタイムデータ処理、ログ保存、ビッグデータ分析に広く使われている
- ClickHouseのHTTPインターフェースでは、
/playパスを使うことでブラウザから任意のSQLクエリを直接実行できた SHOW TABLES;クエリによりアクセス可能なデータセット一覧が返され、その中でもlog_streamテーブルがとくに機微なログを含んでいた
log_stream に含まれていた機微なログ
log_streamテーブルには100万件以上のログ項目が含まれていた- 主なカラムと露出情報は次のとおり
timestamp: 2025年1月6日からのログspan_name: さまざまなDeepSeek内部APIエンドポイントへの参照string.values: チャット履歴、API Keys、バックエンドの詳細、運用メタデータを含む平文ログ_service: ログを生成したDeepSeekサービスを表示_source: ログ要求の出所を露出し、チャット履歴、API Keys、ディレクトリ構造、チャットボットのメタデータログを含む
- このレベルのアクセスは、DeepSeek自体のセキュリティとエンドユーザーの双方に重大なリスクをもたらし得た
- 攻撃者は機微なログと実際の平文チャットメッセージを持ち出せた可能性があり、ClickHouseの設定次第では
SELECT * FROM file('filename')のようなクエリにより、サーバー上の平文パスワード、ローカルファイル、独自情報を直接流出させる可能性もあった - Wiz Researchは倫理的な研究慣行を守るため、列挙を超える侵襲的なクエリは実行しなかった
AI導入のスピードとインフラセキュリティリスク
- AIアプリケーションの即時的なセキュリティリスクは、モデル自体よりも、それを支えるインフラやツールから生じる可能性がある
- AIセキュリティの議論が将来的な脅威に集中する一方で、データベースの偶発的な外部露出のような基本的なセキュリティリスクは、依然としてセキュリティチームの最優先課題であるべきだ
- 組織がさまざまなスタートアップやベンダーのAIツール・サービスを急速に導入する中で、機微なデータをこれらの企業に委ねるケースが増えている
- 急速な導入はセキュリティの見落としにつながり得るため、顧客データの保護を優先事項とすべきだ
- セキュリティチームはAIエンジニアと緊密に連携し、利用中のアーキテクチャ、ツール、モデルに対する可視性を確保することで、データ露出を防ぐ必要がある
- AI企業は、広範な導入に通常伴うセキュリティフレームワークなしに中核インフラ提供者へと急速に成長しており、機微なデータ処理リスクに見合ったセキュリティ慣行が必要である
まだコメントはありません。