Check Point Software Technologiesは3月30日(米国時間)、「ChatGPT Data Leak (Fixed Feb 2026): Key Takeaways」において、ChatGPTからデータを秘密裏に漏洩させる手法が発見されたと報じた。
攻撃者はChatGPTに悪意のあるプロンプトを1つ忍ばせるだけで、被害者視点からは認識できない漏洩経路を作り出せる可能性があるという。
-
ChatGPTで会話が“見えない経路”で流出 Photo:PIXTA
なぜ“見えない漏洩経路”が生まれるのか
Check Pointはこの手法について具体的な解説を行わず、概念的な手法を複数解説するにとどめている。そのため詳細は不明だが、次の要素を組み合わせた手法と推測される。
- 外部への通信を行う指示を含むが、明示的ではなく、サイドチャネル攻撃に分類される
- AIはデータを外部に送信する際にユーザー確認を行うが、この手法を使用すると確認手続きが完全に回避される
- ドメイン名の解決(DNSリクエスト)は無害な通信として扱われるため、この通信を秘密の転送メカニズムとして悪用できる
なぜプロンプトなしでも情報が盗まれるのか
つまり、DNSリクエストに機密情報を埋め込み、送信する手法とみられる。攻撃者は悪意のあるプロンプトを1回送信するだけでよく、それ以降の会話が潜在的な漏洩の原因になるという。
さらにカスタムGPTにこの手法を組み込むと、プロンプトを入力することなく秘密裏にデータを窃取可能とされる。ChatGPTは外部へのデータ送信を拒否する一方で、実際は外部にデータを送信することが確認されている。
修正済みでも安心できない理由とは
OpenAIはこの件について2月20日までに修正を完了しており、当該手法による通信経路は遮断されたとされる。また、現時点で実環境における悪用も確認されていない。
しかし、この事例が示しているのは、単一の脆弱性の問題ではなく、生成AIに内在する構造的なリスクである。
今回の手法では、DNSリクエストのように通常は問題視されにくい通信を利用し、ユーザーが認識しない形で情報を外部に送信できる可能性が示された。これは、従来の「明示的なデータ送信」を前提としたセキュリティモデルでは検知が難しい領域にあたる。
さらに、生成AIは外部ツール連携やプラグイン、カスタムGPTなどを通じて機能拡張が進んでおり、システムの複雑性は増大している。こうした環境では、開発者が想定していない挙動や通信経路が生まれる余地が常に存在する。
加えて、ユーザー側からはAIの内部処理や通信の詳細を完全に把握することが難しく、挙動の不透明性そのものがリスクとなる。出力結果に問題がなければ安全と判断する運用では、こうした潜在的な情報漏洩を見逃す可能性がある。
企業が注意すべきポイントは何か
こうしたリスクを踏まえ、企業における生成AIの利用では、具体的な運用ルールと技術的対策の両面から管理を行うことが重要となる。
まず、機密情報の入力制限を明確に定義する必要がある。顧客情報や未公開情報、認証情報などについては、業務効率化のためであっても入力を禁止、または厳格に制限する。
次に、「出力が問題なければ安全」という前提を見直すことも重要だ。今回のように、ユーザーから見えない形で通信が行われる可能性がある以上、出力結果のみを基準に安全性を判断する運用は適切とはいえない。
技術的対策としては、外部通信の可視化と監視が有効となる。特にDNSリクエストのような一見無害な通信についてもログを取得し、異常なパターンを検知できる体制を整えることが望ましい。
また、生成AIの利用範囲を明確化し、管理された環境で利用することも重要なポイントとなる。カスタムGPTや外部連携機能については、利用範囲や権限を制御し、意図しない挙動が発生しないようにする必要がある。
生成AIは有用なツールである一方、新たなリスク領域でもある。企業は利便性だけでなく、その特性に応じた管理と対策を前提に活用していくことが求められる。
防御だけでは企業は守れない 制度改革と「CISO2.0」で変わるサイバー対策
