Cal AIで発生した侵害:何が起きたのか
2026年3月9日、脅威アクターがBreachForumsにデータダンプを投稿し、Cal AI―最近話題となったAI搭載のカロリー管理アプリで、MyFitnessPalを買収したばかり―を侵害したと主張しました。このダンプは8ファイルで合計14.59GBに及び、3,200,000件を超えるユーザーレコードが含まれているとされています。
主なポイント
- “vibecodelegend”というハンドルネームのハッカーが、話題のAIカロリー管理アプリCal AI(MyFitnessPalを最近買収)を侵害したと主張し、BreachForumsに3,200,000件超のユーザーレコードを含むとされる14.59GBのデータを投稿。漏洩したデータには、生年月日、氏名、性別、メールアドレス、SNSプロフィール、PINコード、サブスクリプション情報、身長や体重などの身体情報、タイムスタンプ付きの食事記録、運動目標などが含まれると報告されています。
- 攻撃経路は認証不要のGoogle Firebaseバックエンドだったとされ、攻撃者は認証情報なしでサブスクリプションテーブル全体が閲覧可能だったと主張。アプリは4桁の数字PINのみを認証に利用し、ログインエンドポイントにレート制限やCAPTCHAもなかったため、総当たり攻撃が極めて容易でした。
- Cybernewsの研究者が漏洩データを精査し、正当なものであることを確認。データセットには約280万件のユニークなメールアドレスが含まれ、そのうち約120万件はAppleのプライベートリレーサービスを利用していた―つまり、意図的にデータ保護を図ったユーザーの情報まで漏洩したことになります。
- 少なくとも1件は2014年生まれの子どもの記録であり、COPPAやGDPRの下で重大な児童データ保護問題を引き起こしています。食習慣や身体測定値、フィットネス目標など、極めて個人的な健康・行動データが含まれているため、生活習慣プロファイルが作成され、標的型ソーシャルエンジニアリングや恐喝、保険詐欺などに悪用されるリスクがあります。
- Cal AIはMyFitnessPalを買収しましたが、セキュリティ統合のレビューを実施した形跡はなく、MyFitnessPalは2018年にUnder Armour傘下で1億5千万件のアカウントが侵害された過去があります。このM&Aにおけるセキュリティデューデリジェンスの欠如は、AIアプリ全体で繰り返されているシステム的なセキュリティ不備の一端であり、2025年1月から2026年初頭までに少なくとも20件の同様事例が確認され、数千万件のユーザーデータが同じく防げたはずの原因で漏洩しています。
これは誤記ではありません。「あなたの個人情報を常にプライベートかつ安全に保ちます」と謳うこのアプリは、認証なしでサブスクリプションデータベース全体を閲覧可能な状態にしていました。
Cal AIはカメラベースの食事管理ツールとして爆発的な人気を集めています。ユーザーが食事の写真を撮るだけで、AIがカロリーや栄養素を推定。著名人やインフルエンサーにも支持され、MyFitnessPalの買収で健康・ウェルネストラッキング分野の主要プレイヤーとなりました。記事公開時点でCal AIは報道機関からの問い合わせに回答していません。
なぜ今回の漏洩は特別なのか
タイムスタンプ付きの食事記録は、ユーザーがいつ何を食べているかを明らかにします。運動目標や栄養素のターゲットは個人の健康目標を露呈。身長・体重・身体測定値は身体的なプロファイルを形成します。これらのデータは日々の生活習慣を詳細に描き出し、極めて標的性の高いソーシャルエンジニアリングや保険詐欺、恐喝、ID窃盗を可能にします。
さらに、児童データの問題もあります。少なくとも1件は2014年生まれのユーザーの記録であり、未成年の健康データが脅威アクターの手に渡ることは、規制上も倫理上も大惨事です。COPPAやGDPRの下では、児童データの漏洩は成人の漏洩をはるかに上回る厳しい罰則が科されます。
根本原因分析:本来起こるはずのない4つの失敗
この漏洩は、国家支援の巧妙な攻撃やゼロデイ脆弱性の悪用が原因ではありません。どんなセキュリティレビューでも数時間で発見できたはずの、基本的なセキュリティ不備が原因でした。
認証なしのFirebaseバックエンド。 攻撃者の侵入口は認証要件のないGoogle Firebaseバックエンドでした。Firebaseデータベースはデフォルトで安全ですが、開発者が意図的に設定を誤らない限り、データが公開状態になることはありません。Cybernewsによる38,000以上のAndroid AIアプリ監査では、認証なしのFirebaseインスタンスが数百件見つかり、数十億件のレコードが公開状態でした。Cal AIは既知の落とし穴に陥ったのです。
レート制限なしの4桁PIN認証。 Cal AIは4桁の数字PINを主な認証手段として使用していたとされ、組み合わせは1万通り。レート制限やアカウントロック、CAPTCHAもなかったため、攻撃者は数分で任意のアカウントを総当たり攻撃できました。4桁PINはスーツケースの鍵よりも弱く、過去20年間に発表された認証基準のどれにも合格しません。
14.59GBのデータ流出を検知できず。 15GB近いデータの持ち出しは、本来ならアラートが発生すべき規模です。このような大量データの読み出しは明らかなトラフィックパターンを生みます。検知できなかったということは、Cal AIに異常監視やデータ損失防止対策、侵入検知がなかったことを示唆します。データは実質的な暗号化もされておらず、もし顧客管理の鍵で暗号化されていれば、ダンプは読めなかったはずです。
M&Aセキュリティデューデリジェンスの欠如。 Cal AIはすでに大規模漏洩を経験したMyFitnessPalを買収しましたが、本来なら徹底したセキュリティデューデリジェンスが必要でした。そのレビューが実施されなかったか、実施されても結果が無視されたかのいずれかで、どちらも弁解の余地はありません。
より大きな視点:AIアプリに蔓延するシステム的セキュリティ危機
Cal AIは例外ではありません。2025年1月から2026年初頭にかけて、少なくとも20件のセキュリティインシデントで、AIアプリ利用者数千万人分の個人データが漏洩しました。根本原因は驚くほど一貫しており、Firebaseデータベースの設定ミス、クラウドバックエンドの認証欠如、ハードコーディングされたAPIキー、レート制限の不在などです。
「バイブコーディング」現象―AIツールがセキュリティレビューなしで機能的なアプリを生成する流れ―がこの危機を加速させています。アプリはかつてないスピードでリリースされ、開発者はセキュリティ設計よりユーザー獲得を優先。結果として、極めて機微なデータを扱いながら、週末のハッカソンレベルのバックエンドセキュリティしか持たないアプリが量産されています。
Kiteworksユーザーが知っておくべきこと
Cal AI漏洩で露呈したすべての失敗は、Kiteworksプライベートデータネットワークが設計段階から防ぐことを目的とした機能でカバーされています。
ゼロトラストアクセスとエンタープライズ認証。 Kiteworksは、属性ベースのポリシーであらゆるデータリクエストを制御するゼロトラストアクセスを徹底。RADIUS、PIV/CAC、OTP、サードパーティ2FAサービスによる多要素認証と、SAML、OAuth、LDAP、Azure ADによるSSOを組み合わせ、脆弱な認証方式を完全排除します。4桁PINがアクセス手段として許可されることは決してありません。
多層防御アーキテクチャ。 Kiteworksは強化された仮想アプライアンスとして導入され、組み込みのWebアプリケーションファイアウォール、ネットワークファイアウォール、侵入検知を備え、認可されていないAPIコールをデータ到達前に遮断。仮に1層が突破されても、階層化されたコンポーネントが横方向の移動を阻止する「侵害前提設計」を採用しています。
顧客管理鍵による二重暗号化。 ファイルレベルとディスクレベルで別々の鍵を用いてAES-256暗号化を施すことで、バックエンドアクセスが得られてもデータは解読不能。顧客管理鍵により、プラットフォーム提供者でさえ顧客データへアクセスできません。データ損失防止エンジンがポリシー違反の転送を自動でブロックまたは隔離します。
包括的な監査ログと異常検知。 すべてのデータ操作を単一の改ざん不可能な監査証跡に記録し、リアルタイムでSIEMにフィード、スロットリングもありません。AIによる異常検知が不審なアクセスパターン―大量データ読み出しなど―を検出し、Cal AIのようなデータダンプも14.59GB抽出前に確実に検知・遮断します。
次世代攻撃ベクトルに備えたAIデータガバナンス。 AI搭載健康アプリがパーソナライズ推薦のためにAIエージェントを内部利用するケースが増える中、Kiteworks Secure MCP ServerとAI Data Gatewayは、AIエージェントにも人間ユーザー同様のゼロトラスト審査を適用―全リクエストを認証・認可・監査します。
信頼の方程式が変わった
Cal AI漏洩は教科書的な事例です。オープンなバックエンド、笑えるほど脆弱な認証、流出検知も暗号化もなし。そして320万人分の最も機微な健康データが、誰でもダウンロードできるハッカーフォーラムに晒されました。
これは、セキュリティが後回しにされた結果です。ユーザーを守るインフラが整う前に、拡大だけを優先してアプリを構築したときに起こるのです。機微なデータを扱う組織は、セキュリティアーキテクチャを「後付けの機能」ではなく「製品そのもの」として捉える必要があります。すべての層で認証を強制し、プラットフォーム自身からもデータを暗号化で守り、全操作をリアルタイム監視するプライベートデータネットワークは贅沢ではなく、もはや最低限の基準です。機微なデータを扱うすべての組織に問われるのは、「漏洩が起きるかどうか」ではなく、「漏洩が起きたときに自社のアーキテクチャが耐えられるかどうか」です。
よくあるご質問
Cal AIのデータ漏洩では、320万ユーザーの氏名、メールアドレス、生年月日、性別、PINコード、身長、体重、タイムスタンプ付きの食事記録、運動目標、サブスクリプション情報が流出しました。カロリー管理アプリの利用者にとって、こうした健康・行動データは生活習慣プロファイルとなり、攻撃者によるソーシャルエンジニアリングや恐喝、保険詐欺などに悪用されるリスクがあります。
Cal AI漏洩は、認証ルールが設定されていないFirebaseバックエンドが原因で、サブスクリプションデータベース全体が公開状態となっていました。Firebaseはデフォルトで安全ですが、開発者がセキュリティルールを設定する必要があります。健康アプリ開発者は、今すぐセキュリティルールの監査を行うべきです。これはAIアプリ全体で最も多い設定ミスです。
Cal AI漏洩により、児童データも危険にさらされています。少なくとも1件は2014年生まれの子どもの記録で、他にも未成年が含まれる可能性があります。保護者は不審な連絡に注意し、関連アカウントのパスワード変更や多要素認証の有効化を推奨します。児童の健康データ漏洩はCOPPAやGDPRの下でより厳しい罰則の対象です。
Cal AI漏洩の通知を受け取ったら、同じメールアドレスを使っているすべてのアカウントのパスワードを直ちに変更し、可能な限り多要素認証を有効化してください。健康やフィットネスデータに言及したフィッシングメールや、金融口座の不審な動きにも注意しましょう。漏洩データはロシア語圏のプラットフォームやTelegramで流通しており、標的型詐欺のリスクが高まっています。
2018年のMyFitnessPal漏洩では1億5千万件のアカウントが流出しましたが、主にユーザー名とハッシュ化されたパスワードでした。Cal AI漏洩は規模こそ小さいものの、身体測定値や食事記録、運動目標など、はるかに侵襲的なデータが含まれています。従業員向けにMyFitnessPalを検討する企業にとって、既知のセキュリティ弱点を解消しないままCal AIが買収したことは、デューデリジェンス上の重大な懸念点です。
Cal AIのようなAI健康アプリは、極めて個人的な行動データを収集しながら、セキュリティ設計よりも市場投入の速さを優先する傾向があります。2025年1月から2026年初頭にかけて、AIアプリの漏洩の多くはFirebase設定ミスや認証不備が原因でした。AI健康アプリの開発チームは、本番導入前に必ずセキュリティレビューを義務付けるべきです。
Cal AI漏洩は、ゼロトラストアクセス制御、4桁PINではなく多要素認証、WAFやファイアウォールによるAPIアクセス遮断、顧客管理鍵による二重暗号化、大量流出を検知する異常検知があれば防げました。健康アプリベンダーを評価する際は、これら5つすべての対策の証拠提出を必須としてください。
Cal AI漏洩は、企業がAIウェルネスツールを導入する際、バックエンドのセキュリティアーキテクチャを統合前に必ず確認すべきことを示しています。ゼロトラストアクセス、多要素認証、顧客管理鍵による暗号化、監査ログ、異常検知をすべて満たすベンダーのみを選定してください。プライベートデータネットワークを活用することで、すべてのサードパーティデータ連携に一貫したガバナンスを担保できます。