概要
Google Playストアで配布されていたAI動画・画像生成アプリ「Video AI Art Generator & Maker」において、利用者がアップロードした画像・動画を含む大規模なメディアファイルが外部から閲覧できる状態になっていたことが2026年2月19日に報じられた。流出していたメディアファイルは約827万件にのぼり、そのうちユーザーがアップロードしたプライベート写真は150万件以上、動画は38万5千件以上であった。個人情報の流出につながる重大な事案として注意が必要である。
詳細な説明
セキュリティメディアCybernewsの調査によれば、問題となったのはGoogle Cloud Storageバケットの設定ミスである。認証が一切設定されておらず、URLさえ知っていれば誰でもファイルにアクセスできる状態にあった。流出していたデータには、ユーザーがアップロードしたプライベート写真150万件以上、ユーザーがアップロードした動画38万5千件以上のほか、AI生成動画287万件、AI生成画像287万件、AI生成音声38万6千件が含まれており、合計でデータ量は12テラバイト超に達していた。2023年6月のアプリリリース以来、アップロードされたすべてのファイルがそのまま蓄積されていたという。
同じ開発企業の別アプリ「Chat & Ask AI」も、Google Firebaseのバックエンドに同様の設定ミスを抱えていた。こちらは約3億件のチャットメッセージと2500万ユーザーのデータが露出しており、メンタルヘルスの相談、個人の財務情報、違法行為に関する会話が含まれていたという。
Cybernewsが2026年1月28日に公開した調査によると、Google Play上の180万アプリを分析し、そのうちAI機能を謳う38,630アプリを精査したところ、72%が少なくとも1つのハードコードされた秘密情報(APIキーやパスワードなど)をソースコードに直接埋め込んでいた。1アプリあたり平均5.1個の秘密情報が漏洩しており、検出された秘密情報の81%以上がGoogle Cloudのプロジェクト識別子、エンドポイント、APIキーに関連するものであった。さらに深刻なのは、設定ミスのあるGoogle Cloud Storageバケットから2億件以上のファイル、合計720テラバイト超のデータが公開状態になっていたことである。
影響と対策
影響としては、外部から閲覧できる状態に置かれた画像・動画が第三者の目に触れることで、利用者のプライバシー侵害や個人情報の露出につながるおそれがある。対策としては、該当アプリを利用している場合、アプリにアップロード・生成・保存した画像・動画の扱いを確認し、公開状態になっていないか点検することが重要である。また、アプリが求める権限やデータ保存先の設定を見直し、不要なデータは削除するなど、利用者側でも管理を徹底する必要がある。
Googleの対応としては、2025年にGoogle Playで175万件以上のポリシー違反アプリをブロックし、8万件以上の悪質デベロッパーアカウントをBANしている。Google Play Protectは1日あたり3,500億件以上のアプリをスキャンし、Google Play外から配布された悪意あるアプリ約2,700万件を検出・警告している。
まとめ
Google Playストアで配布されたAIアプリにおいて、約827万件のメディアファイルが外部閲覧可能になっていたことが判明した。このうちユーザーがアップロードしたプライベート写真・動画は190万件超であり、Google Cloud Storageの設定ミスが原因であった。ファイルには個人情報が含まれる可能性があり、アプリのデータ管理不備は重大なリスクとなる。利用者は該当アプリの利用状況と保存・公開設定を確認し、不要データの削除や権限の見直しを行うことが求められる。
