ChatGPTにおけるChatGPhishの脆弱性

サイバーセキュリティ研究者らは、OpenAIのChatGPTに脆弱性を発見した。この脆弱性は、プラットフォームがMarkdownリンクと画像に対して信頼を置いていることを悪用し、即時インジェクション攻撃を可能にし、新たなフィッシングの機会を生み出す。ChatGPhishと呼ばれるこの手法は、AIによる要約機能を悪用して、信頼できるインターフェースを通じて悪意のあるコンテンツを直接配信する方法を示している。

この問題は、ChatGPTのレスポンスレンダラーがサードパーティのウェブページから取得したMarkdown要素を処理する方法に起因しています。チャットボットが外部コンテンツを要約する際、埋め込まれたMarkdownリンクと画像URLを自動的に信頼し、リモート画像を取得して、リンクをアシスタントのインターフェース内でクリック可能なアクティブ要素として表示します。

攻撃のメカニズム

攻撃者は、ChatGPTによって後で要約されるウェブページに、小さな悪意のあるペイロードを埋め込むことができます。レンダリング処理中に、攻撃者が制御する画像が自動的に取得され、被害者のIPアドレス、ユーザーエージェント、リファラーの詳細などの情報が漏洩する可能性があります。

情報漏洩にとどまらず、この脆弱性により悪意のあるコンテンツが非常に巧妙な方法で提示される可能性があります。攻撃者は、ChatGPTの応答内にフィッシングリンクを直接表示したり、偽のシステムセキュリティ警告を表示したり、攻撃者が管理するインフラストラクチャ上でホストされているQRコードを表示したりできます。これらのQRコードは、ユーザーにモバイルデバイスでスキャンするよう促し、デスクトップベースのURLフィルタリングや企業のセキュリティ制御を効果的に回避する可能性があります。

ChatGPhishが特に問題なのは、プロンプトの挿入そのものではなく、AIシステムが埋め込まれた指示に忠実に従い、結果として得られたコンテンツを信頼できる要約の一部として提示する点にある。そのため、一見普通のウェブページから、フィッシングリンク、偽アカウント警告、リモート画像、悪意のあるQRコードなどが、AIアシスタントの応答の中に直接生成される可能性がある。

AI支援ブラウジングの脅威領域の拡大

この発見は、より広範なセキュリティ上の課題を浮き彫りにしている。要約機能が新たな攻撃対象領域として浮上してきたのだ。2026年3月には、研究者らが、特別に細工されたメールがクロスプロンプトインジェクション（XPIA）を通じてMicrosoft Copilotを操作し、隠された指示によってAIが生成する要約に影響を与えることができることを実証した。

組織が調査やコンテンツ分析にAIツールをますます活用するようになるにつれ、AIアシスタントによって処理される悪意のあるウェブページは、攻撃者が制御する指示をモデルのコンテキストに組み込む可能性があります。これはフィッシングの手法における大きな変化を意味します。攻撃者は、ユーザーに疑わしい添付ファイルを開かせたり、悪意のあるメールに反応させたりする代わりに、日常的なブラウジング活動やAIによる要約ワークフローを悪用することができるのです。

攻撃の手法が電子メール環境からブラウザベースのAIとのやり取りへと移行することで、攻撃対象領域は劇的に拡大する。ウェブページの要約を要求するだけでも、間接的なプロンプト挿入技術によって生成された悪意のあるコンテンツにユーザーを晒す可能性がある。

AIセキュリティ回避技術の波が拡大

ChatGPhishの脆弱性の開示は、人工知能システムを標的とした新たな攻撃手法を明らかにする研究が急増している中で行われた。最近の調査結果には以下のようなものがある。

• コンテキスト内学習と安全性の整合性の間の競合を利用して GPT-5.4 の制限を回避する、非自発的コンテキスト内学習 (IICL) 脱獄技術。大規模言語モデルの保護を徐々に回避する複数ターンの会話戦略。視覚的に歪んだ画像内に指示を隠すタイポグラフィプロンプト挿入攻撃。Apple Intelligence の保護を回避するために Unicode の右から左への上書き技術と組み合わせた Neural Exec 攻撃。そして、一見正当なコンテンツの AI 生成要約を通じてユーザーを操作する、BrowserOS に影響を与える間接プロンプト挿入の脆弱性である WebPromptTrap。
• AIエコシステムとエージェントフレームワークに影響を与えるセキュリティ上の弱点には、不正なnpmパッケージを介してOAuthでバックアップされたMCP通信を傍受できるAnthropic Claude Codeの脆弱性、OpenClawスキルを標的としたリモート更新メカニズムの悪用シナリオ、AI搭載のメールセキュリティ製品を欺くように設計された隠しテキストフィッシングキャンペーン、ブラウザ拡張機能がClaudeに不正なコマンドを発行できるClaudeBleed脆弱性、ホストレベルのリモートコード実行へのプロンプトインジェクションをエスカレートできるMicrosoft Semantic Kernelの重大な脆弱性（CVE-2026-25592およびCVE-2026-26030）、ClawHubおよびskills.shエージェントリポジトリ内の広範なセキュリティ上の欠陥、悪意のあるGitHubリポジトリとnpmパッケージを介してOpenClawデータの漏洩を可能にするNVIDIAのNemoClawリファレンススタックに対する攻撃などが含まれます。

AIを活用したサイバー脅威の未来

高度なAIモデルが成熟するにつれ、サイバー犯罪者は攻撃能力を駆使した実験をますます活発化させている。攻撃者は大規模言語モデルを活用し、検出メカニズムを回避するために動作を変化させることができる、より適応性の高いマルウェアを開発している。

さらに、AIシステムはマルウェアの意思決定プロセスに組み込まれつつあります。これらの機能により、悪意のあるソフトウェアは侵害された環境を評価し、標的が価値のあるものかどうかを判断し、追加のペイロードを展開するのに適した条件が整っているかどうかを決定できるようになります。

ChatGPhishの研究は、AI技術が全く新しいセキュリティ上の考慮事項をもたらすことを改めて示している。AIアシスタントが企業のワークフローに深く統合されるにつれ、間接的なプロンプト挿入、操作された要約、信頼に基づくインターフェースの悪用に対する保護は、サイバーセキュリティ戦略においてますます重要な要素となるだろう。