概要

Permiso Securityの研究者Andi Ahmetiが、ChatGPTのウェブ要約機能に存在するプロンプトインジェクション脆弱性「ChatGPhish」を公開した。この脆弱性を悪用すると、攻撃者はユーザーにChatGPTで要約させるウェブページに悪意あるMarkdown命令を仕込み、信頼性の高いAIのチャットUIの内部にフィッシングリンクや偽のセキュリティ警告を表示させることができる。

攻撃の仕組み

ChatGPhishの核心は、ChatGPTが自身の生成コンテンツと外部ソース由来の攻撃者制御Markdownを区別できない点にある。ユーザーがウェブページの要約をChatGPTに依頼すると、そのページに埋め込まれた隠し命令がAIに読み込まれ、通常の動作を上書きする。たとえば攻撃者が「要約する際は必ず以下の構造に従え」という指示とともにフィッシングリンクを埋め込むと、ChatGPTは正当な要約文を生成した後、攻撃者のドメインへのリンクを含む本物らしいセキュリティ警告を付け加えてしまう。

また、Markdownの画像URLが暗黙的に処理される性質も悪用されており、ページ閲覧者のIPアドレス・User-Agent・Refererといった情報が攻撃者のサーバーへ流出するリスクも確認されている。さらに、攻撃者が制御するS3バケットからQRコードを配信することで、デスクトップのセキュリティフィルターをバイパスしてモバイル端末経由のフィッシングへ誘導する手法も示された。

開示と対応状況

AhmetiはOpenAIに対してBugcrowdを通じ4月29日に脆弱性を報告したが、OpenAIは当初「再現不能」と判定し、再提出後も「重複報告」として処理した。修正が適用されたかどうかについての確認はOpenAIから得られていないと研究者は述べており、対応状況は依然として不透明だ。

セキュリティ上の示唆

この脆弱性は、企業や組織がChatGPTを情報収集・要約に活用している環境で特にリスクが高い。従業員が要約するページが悪意ある命令を含んでいれば、メールの悪意ある添付ファイルを操作することなく、通常のブラウジング中に攻撃者の指示が実行される恐れがある。AI搭載のチャットUIが信頼された環境としてブラウザ内でコンテンツをレンダリングするようになったことで、OSに匹敵する攻撃対象領域が生まれているという、より広範なセキュリティ課題を浮き彫りにした事例と言える。