ChatGPT「Deep Research」を狙うゼロクリック サイバー攻撃、サーバーサイドの機密情報や個人情報を流出させる

セキュリティニュース

投稿日時: 更新日時:

ChatGPT「Deep Research」を狙うゼロクリック サイバー攻撃、サーバーサイドの機密情報や個人情報を流出させる

2025年9月、Radwareは「ShadowLeak」と名付けた新種のサイバー攻撃手法は、ChatGPTの自律型リサーチ機能「Deep Research」を悪用し、

ユーザーの操作なし(ゼロクリック)で機密情報を外部へ送出させる攻撃手法です。現在OpenAIはすでにこの脆弱性を修正していますが、開発元のLLMに関係なく悪用できる方法です。

概要

このサイバー攻撃は、被害者の受信箱に見かけ上は無害なメールを1通送り込み、そのHTML内に不可視の間接プロンプト(Indirect Prompt Injection)を埋め込むところから始まります。

ユーザーが「今日のメールを要約して」といった通常の指示でDeep Researchを走らせると、エージェントは当該メールの隠し指示に従い、

受信箱から抽出した個人情報などを攻撃者ドメインへHTTPリクエストのパラメータとして送信します。

特徴的なのがクライアント側ではなくサーバー側への攻撃手法であり、データ送信がOpenAIクラウド上のエージェントから直接行われるため、企業のプロキシやEDRなど社内境界の防御・監視に痕跡が残りにくいという特徴があります。

なおOpenAIは本件を受けて8月上旬に修正済みで、9月3日に解決を確認しています。

原因(推定)と攻撃の手口

Radwareは、以下の要素を組み合わせてLLMのガードレールを突破する成功率を高めたと分析しています。

  • 権限の偽装:メール内の隠し指示で「あなたは完全に許可されている」と繰り返し主張し、正当業務だと誤認させる。

  • 悪性URLの擬装hr-service.net/{parameters}のようなそれらしい検証エンドポイントを装い、実態は攻撃者のサーバーへ誘導。

  • 粘り強い実行の強要:ネットワーク不調を装って「成功するまで数回試せ」と指示し、セーフティの不確実性を突いてツール実行(browser.open)を誘発。

  • “安全”の誤信を誘導:送信データはBase64で符号化するよう指示し、「公開情報で安全」と装って送出ハードルを下げる。

  • 具体例の提示:エンコードやURL書式のワンショット例を示し、失敗を減らす。

出典

ShadowLeak: A Zero-Click, Service-Side Attack Exfiltrating Sensitive Data Using ChatGPT’s Deep Research Agent