The Registerは1月19日(現地時間)、「ChatGPT crawler flaw opens door to DDoS, prompt injection • The Register」において、DDoS(Distributed Denial of Service attack:分散型サービス拒否)攻撃に悪用できる脆弱性が発見されたと報じた。

これまでのところ、OpenAIは脆弱性の存在を認めていない。

  • ChatGPT crawler flaw opens door to DDoS、prompt injection • The Register

    ChatGPT crawler flaw opens door to DDoS, prompt injection • The Register

脆弱性の概要

対象の脆弱性は、ドイツのセキュリティ研究者のBenjamin Flesch氏がGitHubに投稿したレポートで明らかになった(参考:「security-advisories/2025-01-ChatGPT-Crawler-Reflective-DDOS-Vulnerability.md at main · bf/security-advisories · GitHub」)。

公開されたレポートには概念実証(PoC: Proof of Concept)コードが掲載されているが、実行すると法律に触れる可能性があるため、内容を理解し、安全を確保できるセキュリティ研究者以外は触れないことが望まれる。

レポートによると、ChatGPTのクローラーはMicrosoft Azureが保有する複数のIPアドレスを悪用して、被害者のWebサイトにDDoS攻撃を仕掛ける可能性があるという。

研究者は原因として、ChatGPTの不十分な制限を挙げた。ChatGPTの一部APIはパラメーターに含まれるURLの最大数に制限がなく、1回のAPIリクエストで数千回ものHTTPリクエストを要求できるとされる。これは増幅型のDDoS攻撃そのもので、Microsoftが持つ強力なネットワークを悪用したDDoS攻撃が可能と評価することができる。

プロンプトから攻撃も可能

研究者は別のレポートにて、プロンプトから同様の攻撃が可能と明らかにした(参考:「security-advisories/2025-01-ChatGPT-API-Prompt-Injection-Vulnerability.md at main · bf/security-advisories · GitHub」)。レポートによると、ChatGPTはプロンプトから上記と同じAPIを利用できるという。

研究者はThe Registerに対し、次のように述べ、基本的な対策ができていないOpenAIの開発に疑問を呈した。

なぜOpenAIのボットはリクエストされたURLから重複を適切に排除したり、サイズを制限したり、シンプルで確立された対策を実装したりしていないのだろうか。ChatGPTのメインインタフェースからは対処されているプロンプトインジェクション攻撃を回避できないのだろうか。

OpenAIとMicrosoftの反応

研究者は発見した脆弱性について、OpenAIおよびMicrosoftに報告済み。両社に行った複数の連絡の詳細はレポート末尾で報告しているが、これまでのところOpenAIおよびMicrosoftから反応はなく、脆弱性も認められていないことを明らかにしている。