C
月内に
iOS向けAIチャットボットアプリ444件を調査した結果、282件(約63%)がネットワークトラフィックを通じてAPIキーやプロキシアクセス権を漏洩させているこ…
📌 一言でいうと
iOS向けAIチャットボットアプリ444件を調査した結果、282件(約63%)がネットワークトラフィックを通じてAPIキーやプロキシアクセス権を漏洩させていることが判明しました。攻撃者はこれらの資格情報を取得することで、開発者のアカウントを利用してAIモデルへのリクエストを送信し、コストを肩代わりさせることが可能です。研究者が開発者に通知した後も、修正を完了したのはわずか28%にとどまっています。
🔍該当判定
- 自社でiPhone向けにAIチャットアプリを開発し、一般公開または社内配布している
- 自社開発のiOSアプリ内で、OpenAIやGoogle GeminiなどのAPIキーを直接プログラムに書き込んでいる
- 自社開発のiOSアプリからAIサービスを呼び出す際、中継サーバーを介さず直接API通信を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
APIキーをクライアントサイド(アプリ内)にハードコードせず、バックエンドプロキシを介して認証・認可を管理すること。また、ネットワークトラフィックの監視ツールを用いて、機密情報が平文で送信されていないか定期的に検証することを推奨します。