新たに追加されたChatGPTのカレンダー連携は、攻撃者のコマンドを実行させるために悪用される可能性があり、AIセキュリティ企業EdisonWatchの研究者は、この手法を利用してユーザーのメールを盗むことができることを実証しました。
EdisonWatchの創設者である宮村英人氏は、週末に自身の会社がChatGPTの新たに追加されたModel Context Protocol(MCP)ツールのサポートを分析したことを明らかにしました。これにより、生成AIサービスがユーザーのメール、カレンダー、決済、企業向けコラボレーション、その他のサードパーティサービスと連携できるようになります。
宮村氏はデモンストレーションで、攻撃者がターゲットのメールアドレスを知っているだけで、ユーザーのメールアカウントから機密情報を流出させることができる方法を示しました。
攻撃は、攻撃者がターゲットに送信する特別に細工されたカレンダー招待から始まります。この招待には、宮村氏が「ジェイルブレイクプロンプト」と呼ぶものが含まれており、ChatGPTに被害者の受信箱から機密情報を検索し、攻撃者が指定したメールアドレスに送信するよう指示します。
被害者は、攻撃者のカレンダー招待を承認しなくても、悪意のあるChatGPTコマンドが実行される可能性があります。代わりに、被害者がChatGPTにカレンダーを確認してもらい、その日の準備を依頼したときに攻撃者のプロンプトが発動します。
この種のAI攻撃は珍しいものではなく、ChatGPT特有のものでもありません。SafeBreachは先月、GeminiおよびGoogle Workspaceを標的としたカレンダー招待攻撃を実演しました。同社の研究者は、攻撃者がスパムやフィッシングの実施、カレンダーイベントの削除、被害者の位置情報の取得、家庭用電化製品の遠隔操作、メールの流出などを行えることを示しました。
Zenityも先月、AIアシスタントと企業向けツールの連携が様々な目的で悪用される可能性を示しました。このAIセキュリティスタートアップは、ChatGPT、Copilot、Cursor、Gemini、Salesforce Einsteinを標的とした攻撃例を共有しています。
EdisonWatchのデモンストレーションは、新たにリリースされたChatGPTのカレンダー連携を標的とした初のものです。この研究は、エージェントがツール呼び出しを通じてカレンダーの内容を取得・実行する方法に注目すべき点があり、接続されたシステム全体に影響が拡大する可能性があります。しかし、「これはOpenAI特有のものではありません」と宮村氏は説明しています。
広告。スクロールして読み続けてください。
これはLLM連携に関連する既知の脆弱性の一種であり、ChatGPT特有のものではないため、OpenAIには報告されていません。AI企業はこの種の攻撃が可能であることを通常認識しています。
EdisonWatchが実演したChatGPT攻撃の場合、悪用された機能は現在開発者モードでのみ利用可能であり、ユーザーがAIチャットボットの動作を手動で承認する必要があります。一方で、宮村氏は、攻撃に被害者の操作が必要であっても、脅威アクターにとって有用である可能性があると指摘しています。
「意思決定疲れは現実に存在します。普通の人は何をすればいいかわからず、AIを信頼して承認、承認、承認とクリックしてしまうでしょう」と宮村氏は述べています。
オックスフォード大学のコンピュータサイエンス卒業生チームによって設立されたEdisonWatchは、AIと企業ソフトウェアや記録システムとのやり取りにおけるポリシー・アズ・コードの監視と強制に注力し、組織がAIのパイロットを安全かつセキュアに拡大できるよう支援しています。
同セキュリティ企業は、最も一般的なAI攻撃のタイプを軽減するために設計されたオープンソースソリューションのバージョン1をリリースしており、連携の安全性向上やデータ流出リスクの低減に役立ちます。
翻訳元: https://www.securityweek.com/chatgpts-new-calendar-integration-can-be-abused-to-steal-emails/