TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

新しいゼロクリック攻撃がChatGPTユーザーのデータ盗難を可能に

ChatGPTの複数の脆弱性により、攻撃者は新たに特定されたプロンプトインジェクション技術を使用して、Gmail、Outlook、Google Drive、GitHubなどの一般的なサービスから機密データを流出させるようにこのツールにリクエストすることができました。

ZombieAgent」と呼ばれるこの新しい手法は、Radwareのセキュリティ研究者Zvika Baboによって発見され、2025年9月にBugCrowdバウンティプラットフォーム経由でOpenAIに報告されました。OpenAIは12月中旬にこれを修正しました。

現在、Baboは1月8日に発表された新しいRadwareレポートで、その発見を共有しています。

ChatGPTのエージェントシフト、ユーザーと攻撃者にとって恩恵

最近、OpenAIはChatGPTの機能を拡張し、ユーザー指向の新機能を追加しました。これには、チャットボットがGmail、Outlook、Google Drive、GitHubなどの一般的な外部システムに簡単かつ迅速に接続できる「コネクタ」や、インターネットを閲覧し、リンクを開き、分析し、画像を生成するなどの機能が含まれます。

ChatGPTのこのエージェントシフトは、BadoがRadwareレポートで認めている通り、ツールを「はるかに有用で、便利で、強力に」しますが、同時に機密個人データへのアクセスを与えることにもなります。

以前のRadwareレポートでは、Badoと2人の同僚が、攻撃者が1つの巧妙に作られたメールで敏感なGmail受信トレイデータを流出させるようにエージェントにリクエストすることを可能にするChatGPT Deep Researchエージェントの構造的脆弱性を発見しました。

研究者らが「ShadowLeak」と呼ぶこの技術は、サービス側流出を可能にしました。つまり、攻撃に成功するとデータがOpenAIのクラウドインフラから直接流出し、ローカルまたはエンタープライズディフェンスには見えなくなります。

これは、白文字や顕微鏡的なフォントなどの技術を使用して、メールHTMLに隠されたコマンドを埋め込むことにより、間接的なプロンプトインジェクション技術を使用しました。ユーザーが気づかない間にDeep Researchエージェントがそれらを実行します。これらのコマンドは通常、攻撃者が制御するリンクを含み、URLパラメータとして機密データを追加させるもので、たとえばMarkdown画像やbrowser.open()を通じてです。

これを防ぐため、OpenAIはガードレールを強化し、ChatGPTが動的にURLを変更することを禁止しました。「ChatGPTは現在、提供されたとおりのURLのみを開くことができ、明示的に指示されてもパラメータを追加することを拒否します」とBadoは最新レポートで要約しました。

しかし、研究者はそれ以来、この保護を完全にバイパスする方法を発見しました。

ZombieAgent:攻撃フロー解説

この攻撃は、OpenAIのURL修正防御の弱点を利用し、事前に構築された静的URLを活用して、ChatGPTから機密データを1文字ずつ流出させます。

URLを動的に生成する代わりに(これはOpenAIのセキュリティフィルターをトリガーします)、攻撃者は固定されたURLセットを提供し、各URLが特定の文字(文字、数字、またはスペーストークン)に対応します。その後、ChatGPTには以下を実行するよう指示されます:

  1. 機密データを抽出する(例:メール、ドキュメント、内部システムから)
  2. データを正規化する(小文字に変換、スペースを$のような特殊トークンに置き換え)
  3. 事前定義されたURLを順番に「開く」ことで、1文字ずつ流出させる

インデックス付きURL(例えば、各文字に対してa0、a1、…、a9)を使用することにより、攻撃者は流出データの適切な順序を確保します。

ChatGPTはURLを構築することなく、提供されたリンクをのみ正確に従うため、この技術はOpenAIのURL書き換えとブロックリスト保護をバイパスします。

攻撃フローは次の通りです:

  1. 攻撃者が事前に構築されたURLと流出指示を含む悪意のあるメールを送信します
  2. ユーザーが後でChatGPTにGmail関連のタスクを実行するよう求めます
  3. ChatGPTは受信トレイを読み、攻撃者の指示を実行し、データを流出させます
  4. ChatGPTとの通常の会話を超えた、ユーザーアクションは必要ありません
出典:「ZombieAgent:新しいChatGPT脆弱性によるデータ盗難の継続と拡散」Radware
出典:「ZombieAgent:新しいChatGPT脆弱性によるデータ盗難の継続と拡散」Radware

ZombieAgentを使用したゼロクリックおよびワンクリック攻撃

この悪用技術を使用して、Badoは2つの成功したプロンプトインジェクションサーバー側攻撃を実演しました。1つはクリックなし、もう1つはたった1クリックです。

「私たちはまた、永続性を実現するための方法を実演しました。これにより、攻撃者は1回限りのデータ流出だけでなく、継続的な流出が可能になります。攻撃者がチャットボットに侵入すると、ユーザーとChatGPT間のすべての会話を継続的に流出させることができます」とBadoは書きました。

「さらに、攻撃をさらに拡散させ、特定の被害者を標的にし、追加の標的に到達する可能性を高める新しい伝播技術を実演しました。」

Radwareは、2026年1月20日にZombieAgent悪用チェーンを説明するため、ライブウェビナーをホストします。

翻訳元: https://www.infosecurity-magazine.com/news/new-zeroclick-attack-chatgpt/

ソース: infosecurity-magazine.com
#AI セキュリティ #ChatGPT #OpenAI #ZombieAgent #エージェント #サイバー攻撃 #ゼロクリック攻撃 #データ流出 #プロンプトインジェクション #脆弱性

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新