.png)
あなたは大丈夫?脆弱性は「基本的なミス」から生まれる
事例1:セキュリティリスクが浮き彫りになった「1万件の個人情報漏洩」
生成AIブーム以降に作成された多くのWebサービスに、特定のパターンでセキュリティ上の欠陥があることを発見しました。その気になれば、複数のサービスで合計約1万件の個人情報に誰でもアクセスできてしまう状態だったのです。
その投稿は、多くの方にシェアされ、以前にも増してセキュリティの懸念を多くの方が持っていることがわかりました。
個人開発のサービスからここ数ヶ月で5件、延べ1万件近い個人情報漏洩を発見/報告してきて、規則性を見つけたのでそれをベースにSupabase RLS CheckerというChrome拡張機能をつくった。
— Kyohei - OSS, 外資IT (@labelmake) April 18, 2025
*ツール自体、法律的にグレーなのでストアで一般公開するかは考え中ですが、コードは公開している ->… pic.twitter.com/bThiVV7AA6
そして重要なのは、脆弱性は「AIが直接書いたコード」によって直接生まれたわけではなかった、という点です。しかしこの経験は、「AIで誰でも簡単にアプリを作れる」という行き過ぎた楽観主義が、セキュリティ対策が不十分なアプリケーションを生み出す土壌になっていることを浮き彫りにしました。
これは日本だけの問題ではありません、世界中で同様の事態が問題になっています。
事例2:開発ブームの裏で急増する、アプリからの情報漏洩
2025年7月、女性向けのアプリ「Tea」で、約7万点の身分証明書画像と110万件以上のプライベートメッセージが流出するという壊滅的な事件が起きました。
調査によって明らかになった原因は、高度なサイバー攻撃などではありませんでした。原因は「誰でもアクセスできる状態になっていたクラウドストレージ」と「アクセス制御に不備があったAPI」という、あまりにも基本的なセキュリティ設定のミスだったのです。
この事件は、Teaの開発者がAIを使っていたか否かに関わらず、現代の開発が抱える問題を象徴しています。スピードを優先する開発スタイルが、最も基本的な安全確認のプロセスを省略させ、結果として大惨事を引き起こした典型的な例と言えるでしょう。
