ChatGPTに7つの抜け道-間接 プロンプト インジェクションでメモリや会話履歴が漏えいする恐れ

セキュリティニュース

投稿日時: 更新日時:

ChatGPTに7つの抜け道-間接 プロンプト インジェクションでメモリや会話履歴が漏えいする恐れ

2025年11月5日、Tenableのリサーチチームが、ChatGPTに対して合計7つの脆弱性/攻撃手口を確認しました。いずれも、ユーザーが意図していない外部サイトの埋め込み指示(間接プロンプトインジェクション)などを足掛かりに、記憶(メモリ)や会話履歴といった私的情報の流出につながり得る点が特徴です。

中には、ユーザーが質問しただけで成立する「0クリック」攻撃や、安全機構を迂回してURLを表示させるリンク検査の回避など、現実的なリスクに直結する内容が含まれます。

見つかった7つの要点

  1. 「信頼できるサイト」のコメント欄経由で注入
    記事要約などの実用的な流れの中で、コメント欄に仕込まれた指示を読み取り、要約文の末尾に攻撃者の意図した要素(リンクや追加指示等)を紛れ込ませます。

  2. 0クリックの間接注入(検索結果のみで成立)
    ユーザーが質問しただけで、検索に引っかかった攻撃用ページの指示が取り込まれ、回答が改変されます。閲覧に進まなくても影響が及ぶ点が厄介です。

  3. 1クリック注入(クエリ付きURL)
    ?q= でクエリを渡すチャット起動用URLを悪用し、リンクを踏ませるだけで意図しないプロンプトを実行させます。

  4. 安全機構(url_safe)の回避
    特定のリダイレクト方式(例:検索エンジンの追跡リンク)を足場に、表示ブロックをすり抜けてリンクを露出させます。文字単位での情報持ち出しなど工夫された外部送信が可能になります。

  5. 「会話への注入」テクニック
    閲覧側で仕込んだ指示をChatGPT側の会話コンテキストに“持ち込む”ことで、ChatGPT自身に後続処理を実行させる新手法。結果的に自己注入の様相を呈します。

  6. 悪性コンテンツを見えにくくする表示トリック
    コードブロックの描画挙動を利用し、ユーザーの目には見えにくい形で指示を埋め込みます。見た目は無害でも、モデルは読んで従ってしまいます。

  7. メモリ注入(持続化)
    一度の攻撃で、今後の回答方針をメモリに書き込ませることが可能。すると別セッションでも漏えいが続く持続型の問題に発展します。

技術的な前提

ChatGPTは内部で「システムプロンプト」に加え、ユーザーが保存したメモリ(長期記憶)を参照します。

また、必要に応じてウェブ検索・閲覧を行います。Tenableの検証では、閲覧時の処理を切り分ける別実体(同社はSearchGPTと呼称)が関与している可能性があり、これがユーザーのメモリを直接は参照しない隔離レイヤとして働く一方、閲覧コンテキストは注入に弱いという性質を持つと示されています。

さらに、ChatGPT側は出力時にURLの安全性チェック(url_safe)を行いますが、特定条件で回避できてしまう抜け道が確認されました。

企業・組織で講じるべき対策

  • AI利用ガイドラインの即更新

    • LLM出力内のリンクは既定でブロック/展開抑止、踏む場合はセキュアブラウザ経由。

    • メモリ機能は原則オフ、必要最小限でオンにする場合も記憶可能情報の範囲を明文化

  • ゲートウェイ導入

    • 社内からのLLM利用をプロキシ/ゲートウェイで一元化し、URLフィルタ、ドメイン許可リスト、コンテンツ検査を適用。

    • 出力のポリシー評価(プロンプト/回答の安全検査)を自動化し、外部への連続リンクや画像Markdownによる外送を検知・遮断。

  • ドキュメントの衛生管理

    • 社内資料・Webに指示文に見える記述を安易に残さない。公開サイトのコメント欄はモデレーションで注入を抑止。

  • 監査と教育

    • LLMのチャットログ監査(個人識別情報は適切にマスク)で、不自然な外部送信パターンを定期確認。

    • 利用者にはLLMはリンクの出所を保証しない」「答えに仕込みが混じることがある」という前提を周知。

一部は改善済み

Tenableは問題をOpenAIへ通知し、一部は修正・改善が進行しています。

ただし、モデルや機能の更新状況によって再現性が変動する可能性があり、プロンプトインジェクション自体は構造的に残りやすい問題です。

出典

HackedGPT: Novel AI Vulnerabilities Open the Door for Private Data Leakage