ChatGPTでDNSを介したデータ流出の脆弱性、Check Pointが指摘：セキュリティニュースアラート

Check Pointは、ChatGPTのコード実行環境に潜むDNS経由の情報流出経路を報告した。単一の不正プロンプトで会話内容や生成結果が外部へ送信され得る問題があるとしている。

[ITmedia エンタープライズ編集部，ITmedia]

　Check Point Software Technologiesは2026年3月30日（現地時間）、「ChatGPT」のコード実行環境において、外部へのデータ送信が想定外の経路で成立する脆弱（ぜいじゃく）性を確認したと発表した。報告によれば、DNSによる名前解決の仕組みを利用したサイドチャネルを通じて、会話内容や生成結果などの情報が外部サーバへ送信される可能性があった。問題は既にOpenAI側で修正済みで、2026年2月20日に対策が完了している。

制限環境でも成立する抜け道、可視化されない外部送信の問題

　ユーザーは「ChatGPT」において、医療情報や財務情報、契約書などを入力、アップロードすることがあり、こうした情報は本来、システム内部にとどまる前提で利用されている。ChatGPTの外部送信は明示的な仕組みを通じて行われる設計であり、ユーザーの確認や可視化が伴うことが原則とされている。

　Check Pointは、通常は外部通信が遮断されているコード実行環境において、DNS問い合わせを介した間接的な通信が可能という点に着目した。この仕組みを悪用すると、データをサブドメイン部分に埋め込んだDNSクエリとして送信され、攻撃者側で復元できる。従来の制御では検知されにくく、ユーザーへの通知や承認も発生しない。

　攻撃は非常にシンプルで、ターゲットとなるユーザーに悪意のあるプロンプトを1回入力させるか、コピー＆ペーストをさせるだけで始まる。これには、アップロードされた文書の抽出内容や、AIが生成した要約、分析結果なども含まれる。

　インターネット上では生産性向上をうたうプロンプト例が多数共有されており、ユーザーがそれらをコピーして使うことは珍しくない。こうした形式に偽装された不正なプロンプトは、自然な流れで実行される可能性がある。

　カスタムGPTに組み込まれた場合、リスクは拡大する。ユーザーは専用ツールとしてGPTを利用するため、内部に悪意ある処理が含まれていても気付きにくい。開発者が直接会話内容にアクセスできない設計であっても、脆弱性を利用すれば情報が外部へ送信される恐れがある。

　同社は検証として、医療相談用のGPTを想定した実証実験を実施した。ユーザーが検査結果のPDFをアップロードし、症状を説明して診断支援を求めると、AIは通常通り分析結果を提示する。しかし裏側においては、患者の識別情報や診断内容が外部サーバに送信されていた。ユーザーにはその挙動は表示されず、送信の確認も求められない。

　この通信は情報送信にとどまらない。双方向通信が成立するため、外部から命令を送り、実行結果を受け取ることも可能となる。これにより、コード実行環境内でリモート操作に近い挙動が成立する余地があった。

　技術的には、DNSは本来名前解決のための仕組みだが、データ送信手段としても利用可能だ。制限された環境でもDNSが許可されている場合、このような抜け道が生じ得る。今回の事例は、AI実行環境における通信制御の難しさを示している。

　OpenAIは該当問題を把握しており、修正を完了したと説明している。今回のケースは特定の実装に関する問題だが、AIがコード実行やデータ解析など高度な機能を備えるにつれ、攻撃対象領域が広がる点があらためて浮き彫りとなった。

　AIは多様なデータを処理する基盤へと進化している。安全な運用には、目に見える機能だけでなく、基盤層の通信挙動まで含めた包括的な設計と監視が求められる。