Tenableは、OpenAIのChatGPT-4oのテスト中に、7つの脆弱性と攻撃手法を発見したと発表。そのうちのいくつかは、後にChatGPT-5でも確認されたという。
これらの欠陥は総称して「HackedGPT」と呼ばれ、AIの組み込みセーフティ機構を回避することで、ユーザーのプライバシーを危険にさらすものだとしている。OpenAIは一部の問題を修正したが、記事公開時点(米国時間2025年11月5日)で未対応の項目も残っており、一部の攻撃経路が依然として存在するとのことだ。
もし悪用された場合、攻撃者が個人情報やチャット履歴、メモリ内のデータを不正に取得する可能性があるとしている。
これらの脆弱性は、新たなタイプのAI攻撃「間接プロンプトインジェクション」に利用されるという。外部ウェブサイトやコメント内に仕込まれた命令文を通じてAIモデルを欺き、不正な操作を実行させるという手法だ。この欠陥は、ChatGPTの「ウェブブラウジング機能」や「メモリ機能」に影響し、ライブデータやユーザー情報の処理過程で改ざんやデータ流出の危険が生じるとのことだ。
Tenable Researchによると、これらの攻撃は2つの形で発生する可能性があるという。1つ目は 「0クリック攻撃」 で、ユーザーがChatGPTに質問するだけで感染が発生するとのこと。2つ目は 「1クリック攻撃」 で、悪意のあるリンクをクリックすると隠されたコマンドが起動するものだという。
また、さらに深刻なのが「永続メモリインジェクション」と呼ばれる手法で、悪意ある命令がChatGPTの長期メモリ内に保存され、セッション終了後も残るというもの。これにより、攻撃者は将来のセッションでも個人情報を取得できる可能性があるとのことだ。これらの欠陥は、攻撃者がOpenAIの安全機構をすり抜け、ユーザーの非公開履歴にアクセスする道を開いてしまう恐れがあるとしている。
HackedGPT:Tenable Researchが特定した7つの脆弱性と攻撃手法
1. 信頼されたサイトを利用した間接プロンプトインジェクション
攻撃者は、ブログやコメント欄、公的投稿などの一見正当なオンラインコンテンツ内に命令文を隠す。ChatGPTがそのページを閲覧すると、本人が気づかないうちに隠された命令を実行してしまう可能性がある。ChatGPTは改ざんされたページを読むだけで、攻撃者の指示に従うよう誘導される。
2. 検索コンテキストでの0クリック間接プロンプトインジェクション
ユーザーが何か特別な操作をしなくても、ChatGPTがウェブ検索を行う際に、悪意あるコードを含むページにアクセスしてしまうことで感染する可能性がある。単に質問を入力するだけで、モデルがその隠された命令を実行し、機密データを漏洩させる。
3. 1クリックによるプロンプトインジェクション
たった1回のクリックで攻撃が成立する。一見無害に見えるリンク(例:https://chatgpt.com/?q={Prompt})に悪意のある命令が埋め込まれている場合、ユーザーがクリックした瞬間にChatGPTが不正な動作を実行する。この1クリックだけで、攻撃者がチャットを乗っ取ることが可能。
4. セーフティ機構のバイパス
ChatGPTは通常、安全でないリンクを検証およびブロックするが、攻撃者は「信頼されたドメインを装ったラッパーURL(例:Bingのbing.com/ck/a?...)」を利用してこの検証をすり抜ける。ChatGPTはそのリンクを信頼して安全そうに見えるURLを表示するが、実際には悪意のあるサイトに誘導される。
5. 会話インジェクション
ChatGPTは「検索用(SearchGPT)」と「会話用(ChatGPT)」の2つのシステムを併用している。攻撃者はSearchGPTを使い、隠れた命令を会話データに挿入することができる。その結果、AIが自らに命令を「再注入」し、ユーザーが書いていないコマンドを実行するケースが発生する。
6. 悪意あるコンテンツの隠蔽
フォーマット処理のバグを悪用し、攻撃者はマークダウンやコードブロック内に不正な命令を隠すことができる。ユーザーにはきれいに整ったテキストしか見えないが、ChatGPTは隠された命令を認識し実行してしまう。
7. 永続メモリインジェクション
ChatGPTのメモリ機能は、過去の会話を保存する。攻撃者はこの長期メモリに悪意のある命令を仕込み、モデルが次回以降のセッションでもその命令を繰り返し実行するよう誘導する。その結果、メモリがクリアされるまで、継続的に機密データが流出する恐れがある。
HackedGPTの悪用による潜在的な影響
世界中で数億人が、ビジネスや研究、個人のコミュニケーションなどの目的でChatGPTを日常的に利用している。もし今回の脆弱性が悪用された場合、次のような被害が発生する可能性があるという。
- 会話や長期メモリ内に隠された命令を挿入される
- チャット履歴や、Google Drive・Gmailなどの接続サービスから機密データを盗まれる
- ブラウジング機能やウェブ連携を通じて情報を外部に送信される
- 回答内容を改ざんされ、誤情報の拡散やユーザーの意図操作に悪用される
Tenableは、AIベンダー各社に対し、プロンプトインジェクションへの防御の強化、安全性検証メカニズム(例:url_safe)が設計どおり機能しているかの確認、ブラウジング・検索・メモリ機能を分離し、クロスコンテキスト攻撃の防止を推奨している。
セキュリティチームへの推奨事項
Tenableはセキュリティ専門家に対して、次のような対応を推奨している。
- AIツールを「受動的なアシスタント」ではなく、「実際に攻撃対象となるアタックサーフェス(攻撃対象領域)」として扱う
- AI連携機能を監査・監視し、操作やデータ漏洩の兆候を検出する
- プロンプトインジェクションを示す可能性のある不審なリクエストや出力を調査する
- インジェクション攻撃およびデータ流出経路に対する防御を継続的に検証および強化する
- AI利用に関するガバナンスおよびデータ分類の管理体制を確立する
この記事は参考になりましたか?
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
