ChatGPTの新機能に潜むリスク 複数の外部ストレージから機密情報の流出が可能に：セキュリティニュースアラート

ChatGPTの新機能「Connectors」を悪用し、Google DriveやMicrosoft SharePoint、GitHubなどの外部アプリケーションから機密情報を流出させる攻撃手法が見つかった。

[後藤大地，有限会社オングス]

　Zenityのセキュリティ研究者は2025年8月6日（現地時間）、OpenAIの「ChatGPT」に新たに実装された「Connectors」機能を悪用し、ユーザーの外部ストレージからクリックなどの操作を伴わずに機密情報を流出させる攻撃手法について発表した。

　Connectorsは「Google Drive」や「Microsoft SharePoint」「GitHub」などの外部アプリケーションとChatGPTを連携させ、ユーザー固有のデータを参照しつつ回答を生成できる機能だ。この機能によって利便性の向上が期待できるが、間接的プロンプトインジェクションによるゼロクリック型データ流出の経路となり得ると指摘されている。

ChatGPTの新機能に潜むリスク　外部ストレージから機密情報流出

　攻撃の流れとして攻撃者はまず、文書内に不可視のプロンプトインジェクションを埋め込み、被害者がそれをChatGPTに読み込ませるよう仕向ける。ChatGPTがその文書を解析すると、Google Driveなど接続済みの外部サービス内を検索し、特定の情報（例：APIキー）を取得するよう誘導される。取得した情報は画像URLのパラメーターとして埋め込まれ、ChatGPTによって画像が描画される際に攻撃者の管理するサーバへ送信される。

　OpenAIは画像描画前にURLの安全性を確認するクライアント側の検証機構を導入しているが、研究チームはこの制限を回避する方法を発見した。具体的に「Azure Blob Storage」に格納した画像を使用することで安全URL判定を通過し、「Azure Log Analytics」経由でリクエストパラメーター（流出データ）を収集できることを確認している。

　この手法はGoogle Driveに限らず、GitHubやMicrosoft Sharepoint、「Microsoft OneDrive」などConnectorsで接続可能なあらゆる外部リソースが対象となり得る。研究チームは、攻撃成立に追加のクリック操作は不要であり、信頼できないファイルをアップロードするだけで情報が流出する可能性があるとされている。

　報告では既存の対策が完全ではないこと、物語的な指示や特殊文字を使用することでAIモデルの制限を回避できる可能性があるとしている。Zenityの研究チームは今後も主要なAI製品に対し攻撃手法の調査を継続し、利用者に対しAIとのやりとりに慎重な姿勢を求めている。