セキュリティ企業Tenableの研究者は、OpenAIのChatGPTに複数の脆弱性が存在し、攻撃者がユーザーのチャット履歴や記憶領域から個人情報を引き出せる可能性があると報告しました。これらはGPT-4oおよびGPT-5モデルに影響し、一部は既に修正されていますが、AIの安全設計における構造的な課題も浮き彫りになっています。The Hacker News:Researchers Find ChatGPT Vulnerabilities That Let Attackers Trick AI Into Leaking Data
この記事のポイント
影響のあるシステム
- OpenAI ChatGPT(GPT-4oおよびGPT-5モデル)
- 外部連携機能を持つAIエージェント(SearchGPT、Browsingなど)
推奨される対策
- ChatGPTや関連AI製品を最新バージョンに更新する
- 未知のURLや外部サイトを要約させないよう運用ルールを設ける
- AIと外部システムの連携時に入力内容をサニタイズ(無害化)する
- 社内でAI利用ポリシーを策定し、リスク教育を実施する
この記事に出てくる専門用語
- プロンプトインジェクション(Prompt Injection):AIに与える指示(プロンプト)に悪意ある命令を埋め込み、意図しない動作を引き起こす攻撃手法です。
- メモリインジェクション:AIが内部で保持する「記憶」領域に不正なデータや命令を埋め込む攻撃です。
- Zero-click攻撃:ユーザーの操作を必要とせず、問い合わせや検索行為だけで実行される攻撃の総称です。
ChatGPTの脆弱性が示す「AIの攻撃面」の拡大
Tenableが発見した7件の脆弱性は、ChatGPTの「ブラウジング」や「検索」機能を悪用するものでした。攻撃者は、コメント欄に仕込んだ命令をAIに要約させるだけで、意図しないコマンド実行を誘発できます。特に「ゼロクリック型」では、ユーザーが特定のサイトを尋ねるだけで攻撃が成立する可能性があると報告されています。安全機構のホワイトリストを悪用し、正規URLを装って不正コードを読み込ませる事例も確認されています。これにより、AIが外部情報を取り込むたびに、未知の命令を実行するリスクが生じるという、新たな攻撃面が明らかになりました。
多様化するAI攻撃技術と他社モデルへの波及
今回の研究では、ChatGPT以外のAI製品にも類似の脆弱性が報告されています。Anthropic社のClaudeでは、外部アプリ連携を通じたリモートコード実行(PromptJacking)やネットワークアクセスを悪用したデータ流出(Claude Pirate)が確認されています。また、Microsoft 365 Copilotでは、図表機能「Mermaid」を使ったデータ持ち出しが可能だったとされています。さらに、GitHub Copilot Chatの「CamoLeak」ではCVSS 9.6と高い深刻度が付与されており、AIを介した機密情報漏えいの現実的リスクが浮上しています。こうした事例は、AIの安全対策が単一モデルではなく、エコシステム全体の課題であることを示しています。
企業が今すぐ見直すべきAI利用ポリシーと運用
AIを業務に導入する企業が増える中、今回の報告は「便利さの裏にあるリスク」を改めて警告しています。AIの出力が正確でも、その背後で「外部リソースをどのように扱っているか」を確認することは困難です。日本企業においては、ChatGPTなどの生成AIを業務利用する際、社内ポリシーに「要約や検索機能を用いる際の制限」や「取り込む情報源の審査」を明記することが推奨されます。また、AIに与える入力内容にも個人情報や社外秘データを含めないよう教育を徹底する必要があります。Tenableは「LLMの構造的な特性上、プロンプトインジェクションの根絶は難しい」としつつも、ベンダー側の安全機構(url_safeなど)の精度向上を呼びかけています。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
