本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
ブラウザのタブがひとつ開くたび、記憶の断片がこぼれる。2025年11月10日、Tenable Network Security Japanが、ChatGPT-4oの検証中に見つけた7件の脆弱性と攻撃手法を公表した。総称は「HackedGPT」。一部は「ChatGPT-5」でも再現が確認され、セーフティー機構の隙を突いて個人情報や履歴が流出し得ると警告した。詳細は5日にTenable Researchが公開している。
見つかった7件はどこに潜むか
Tenableは、7件の欠陥が「間接プロンプトインジェクション(外部サイトや文書に潜む命令文がAIの振る舞いを乗っ取る手口)」を軸に連鎖すると指摘した。名称の通り、ユーザーが直接危険な指示を入力しなくても、閲覧先や検索結果に仕込まれた命令が作動する。調査では、会話の前提を握る仕組みや出力の整合性を狙う技法が確認された。
特に影響が大きいのが、ChatGPT内で検索・閲覧を担う別モデル「SearchGPT(検索用エージェント)」だ。検索結果に合わせて用意したサイトを上位に見せ、同エージェントだけに別の内容を返すといった手口で、ユーザーが普通に質問するだけで不正命令が取り込まれる経路がある。いわゆる「0クリック攻撃(操作不要で成立する攻撃)」の一形態とされる。
一方で、リンクを1度踏ませるだけで命令を自動注入する経路も指摘された。たとえば特定のパラメータ付きURLを用い、ページ表示と同時に入力欄へ命令を流し込む「1クリック攻撃」だ。さらに、長期メモリー(会話をまたいで好みや設定を保持する機能)に命令を刻み込み、以後のセッションでも実行させる持続化の例も挙がった。
流出と改ざんのシナリオ
想定される被害は、会話や長期メモリーへの隠し命令の埋め込み、チャット履歴や接続サービスからのデータ窃取、外部送信の強要、回答内容の改ざんなど多岐に及ぶ。接続サービスには、クラウドストレージやメール連携といった一般的な外部連携が含まれ、誤った権限付与や自動操作の指示と組み合わさると、保管情報の範囲まで侵食する恐れがあるとされる。
Tenableは、検索・閲覧の過程で仕込まれた命令が出力の文体や引用元の選別にまで影響し、結果として誤情報の拡散やユーザーの意図誘導につながり得ると説明する。脆弱性の一部には技術的な対策が適用されたものもあるが、攻撃面の広がりは残る。AIのメモリーとブラウジングが結び付く場面ほど、わずかな設定や手順の差が安全性を分ける構図が見える。
企業利用では、AIを通過する文書・会話・メタデータが実務の中枢に近づいている。可観測性の不足や監査ログの粒度不足が残れば、流出の起点や指示の改ざん痕跡は追いにくい。既定の保持期間や連携権限、ブラウジングの有効範囲といった運用の“初期値”が、思わぬリスク境界になりやすい点も見逃せない。
当面の備え方
同社は、AIを“受動的なアシスタント”ではなく攻撃対象領域として扱うことを勧める。連携機能の棚卸しと監査、出力監視、異常な外部送信や挿入命令の痕跡を検出できる体制づくりが要る。高リスク業務ではメモリーを無効化・定期消去し、ブラウジングや外部接続は最小権限で段階的に許可する。未知サイトの要約依頼や、出所不明のリンクからの起動は避けたい。
セキュリティ担当者向けには、プロンプトインジェクションを示す不審な要求・出力の調査、データ流出経路の検証と防御強化、分離環境での検品、データ分類と取り扱い規程の整備が挙げられる。会話テンプレートやシステムプロンプトの変更は記録を残し、検知ルールに反映する。モデル更新やプラグイン追加時には、既定設定の差分監査を合わせて行うと良い。
提供側の取り組みも進む。OpenAIは「プロンプトインジェクション(入力に埋め込まれた命令でAIの制御を奪う攻撃)」を前提リスクと位置づけ、学習・監視・保護機構やユーザー側での確認手順をまとめている。完全解はまだ見えないが、検知の自動化と安全機構の精緻化、報奨制度を通じた修正の継続が柱になっている。
