近ごろ、ほぼあらゆる業界で目にするようになったカスタマーサービスへのAI導入の急速な流れは、ときにセキュリティ面で高い代償を伴うことがあります。2025年12月22日、Pen Test Partners(PTP)の倫理的ハッカーのチームは、Eurostarの新しいAIチャットボットで見つけた一連の欠陥を公表しました。
参考までに、Eurostarは、英仏海峡トンネルを通じて英国とヨーロッパ大陸を結び、ロンドン、パリ、アムステルダムといった主要拠点間で数百万人の旅行者を運ぶ有名な高速鉄道事業者です。
欠陥はどのように発見されたのか
ロンドンからの簡単な列車旅行を計画していた研究者の行動は、システムが操作に対して無防備になる「弱いガードレール」の発見へとつながりました。参考までに、ガードレールとは、AIが話題から逸れたり機密を漏らしたりしないようにするデジタルの「安全ブレーキ」です。
PTPの研究者によると、Eurostarのボットには重大な設計上の欠陥があり、チャット内の安全性チェックが「最後のメッセージ」だけに対して行われていました。研究者は、自分の画面上で会話の過去メッセージを編集するだけで、AIに自分自身のルールを無視させられることを突き止めました。
この「ハック」の技術的な側面は驚くほど単純でした。安全性チェックを回避した後、研究者はプロンプトインジェクションを用いて、ボットに内部指示や使用しているAIモデルの種類を明かさせました。
さらに調査を進めると、他にも2つの重大な問題が明らかになりました。第一に、チャットボットはHTMLインジェクションに脆弱で、ユーザーのチャットウィンドウ内に悪意あるコードや偽リンクを直接表示させることが可能でした。第二に、会話IDおよびメッセージIDが検証されていませんでした。
これは、システムがチャットセッションが本当に当該ユーザーのものかを適切に確認していなかったことを意味し、攻撃者が他人の会話に「リプレイ」したり、悪意あるコンテンツを注入したりできる可能性がありました。
欠陥の修正
Hackread.comと共有されたこの調査によれば、脆弱性を見つけることよりも、それを修正してもらうことのほうが実際には難しかったといいます。チームは2025年6月11日に最初にEurostarへ警告しましたが、返答はありませんでした。最終的に、1か月にわたって連絡を試みた末、7月7日にLinkedInでEurostarのセキュリティ責任者を突き止めました。
研究者は後に、バグが報告されたまさにその時期に、Eurostarがセキュリティ報告プロセスを外部委託していたらしく、その結果、警告について「記録がない」と主張するに至ったことを知りました。
ある時点では、鉄道事業者は問題を指摘しようとしただけのPTPのセキュリティチームを「恐喝」だとまで非難しました。この非難は、同社がこちらで一般公開された脆弱性開示プログラムを用意していたにもかかわらず行われました。
研究者は「私たちは善意で脆弱性を開示した」と述べ、敵対的な反応に驚きを示しました。
欠陥は現在修正されていますが、チームは、これは大手ブランドにとって警鐘となるべきだと警告しました。ツールがAI搭載だからといって、従来のWebセキュリティのルールが当てはまらなくなるわけではありません。バックエンドが堅牢でなければ、派手なAI機能は「見せかけ」にすぎないのです。
翻訳元: https://hackread.com/eurostar-blackmail-research-report-ai-chatbot-flaw/
