質問だけで情報が漏えい？ ChatGPTに7つの脆弱性が見つかる：セキュリティニュースアラート

Tenableは大規模言語モデル（LLM）に7件の新たな脆弱性を確認した。これらの脆弱性はGPT-5にも存在するという。間接プロンプトインジェクションやゼロクリック攻撃によって、Webの埋め込み命令から個人情報が漏えいする可能性があるという。

[後藤大地，ITmedia]

　Tenableは2025年11月5日（現地時間）、大規模言語モデル（LLM）を利用したAIシステムに関する新たな脆弱（ぜいじゃく）性を公表した。「ChatGPT」において7件の新たな脆弱性や攻撃手法が発見され、個人情報の漏えいにつながる恐れがあると警告している。これらの脆弱性は「GPT-5」モデルにも存在しており、ユーザーが特定の操作を行わなくても被害を受ける可能性がある。

質問するだけで情報を奪う？　ChatGPTの構造を逆手に取るサイバー攻撃とは

　Tenableが指摘した問題には、間接的なプロンプトインジェクションによる情報流出、セーフティー機構の回避、悪意のある命令の永続化などが含まれる。特に「ゼロクリック攻撃」と呼ばれる手法ではユーザーが単にChatGPTに質問するだけで悪意のある命令を含んだWebサイトが参照され、データが外部に送信される危険があるとされている。

　LLMは外部情報を参照して応答を生成するため、攻撃者がWebに埋め込んだ命令をChatGPTが読み込むことで意図しない動作をする可能性がある。Tenableはこれらの攻撃の多くが「間接プロンプトインジェクション」に分類されると説明している。この攻撃ではブログのコメント欄やニュースサイトの埋め込み情報など、通常のユーザーが意識しない領域に悪意のある命令を仕込み、AIを介して情報を引き出す。

　Tenableの分析によると、ChatGPTにはシステムプロンプトと呼ばれる内部指示が存在し、ユーザーとの対話に先立ってモデルの動作方針を定義している。このシステムプロンプトにはbioツール（メモリ機能）が含まれ、ユーザーが以前に共有した情報を保持して応答に利用する仕組みがある。脆弱性の一部はこのメモリ機能に関連しており、攻撃者がChatGPTを通じて過去の個人情報を引き出す可能性が指摘されている。

　ChatGPTのWebツールの構造にも脆弱性が確認されている。Tenableは、ブラウジング機能（open_url）を担当する別のモデル「SearchGPT」が、ユーザーの文脈情報にアクセスできないにもかかわらず、インジェクションに脆弱になっていることを確認した。ただし、SearchGPT自体が感染するのではなく、その出力を介してChatGPT本体に悪意の命令を注入できるという。検索機能を通じてインデックス化されている悪意あるサイトからも、同様の手法で攻撃が成立する可能性がある。

　Tenableは7種類の攻撃シナリオを詳細に示した。信頼されているブログのコメント欄を利用した間接プロンプトインジェクション、質問するだけで発動するゼロクリック攻撃、URLの安全性を判定する機構を迂回する手法、ChatGPTが自らに命令を適用してしまう「Conversation Injection」などを挙げている。この他、悪意ある内容を画面で不可視化する「コンテンツ隠ぺい」や、ユーザーのメモリを改変して継続的な情報流出を発生させる「メモリインジェクション」が確認されている。

　これらの技術を組み合わせることで、攻撃者はユーザーの個人情報を段階的に外部へ送信する完全な攻撃経路を構築できる。ユーザーがChatGPTでブログの要約をする際に、コメント欄からの命令注入とURL安全判定の回避を組み合わせ、偽サイトへ誘導するシナリオが提示されている。

　Tenableは、全ての脆弱性をOpenAIに報告し、修正作業に協力したと説明している。ただし「GPT-4o」で検証されている一部の問題は、GPT-5環境でも依然として再現可能になっていることが確認されている。LLMの構造上、プロンプトインジェクションそのものを完全に防ぐことは困難であり、AI開発者は安全機構の動作を継続的に検証し、外部入力処理の管理を強化する必要があるとTenableは指摘している。

　AIの利用拡大に伴い、モデル内部構造や安全機構を理解した上でリスク評価をすることが求められている。数億人規模の利用者が日常的にLLMを利用する現状において、この種の脆弱性が現実的な脅威となり得ることを示す報告といえる。