OpenAIはAIサービスのデータセキュリティを喧伝しているが、Check Pointは、欠陥が修正される前にChatGPTがDNSのサイドチャネルを通じてデータを漏えいさせていたと主張している。

2月に、資金を惜しまず使うAI企業は、ChatGPTのデータ流出（exfiltration）につながる脆弱性を修正した。この脆弱性により、OpenAIが用意していた“それらしい”保護策を1つのプロンプトで回避できてしまった。

「単一の悪意あるプロンプトが、通常のChatGPT会話の中に隠された流出（exfiltration）チャネルを起動できることを見つけた」と、Check Pointの研究者は月曜日に公開したブログ記事で述べた。

そんなに簡単であるはずがない。OpenAIは、ChatGPTが利用できるさまざまなツールによってデータ流出が行われないよう、各種のセーフガードを実装している。たとえば同社は「「ChatGPTのコード実行環境は、送信（アウトバウンド）のネットワーク要求を直接生成できません」」と述べている。

しかしCheck Pointの研究者は、それが完全に正しいわけではないことを突き止めた。

「私たちが発見した脆弱性により、情報を、コード実行とデータ分析にChatGPTが使うコンテナに由来するサイドチャネルを通じて外部サーバーへ送信できてしまうようになっていました。重要なのは、この環境がデータを直接外へ送ることはできないという前提でモデルが動作していたため、この挙動を、耐性（resistance）やユーザーの介入を必要とする外部データ転送としては認識しなかったことです」と研究者は述べた。

では、そのサイドチャネルとは何か？ドメイン名システム（DNS）で、ドメイン名をIPアドレスへ解決する仕組みだ。

• Microsoft、インストール失敗のためWindows 11のプレビュー更新を取り下げ
• FCC、米国の通信事業者が既存のレガシー回線をやめやすくする方針
• 欧州委員会、攻撃者が公的なWebシステムに侵入したことを認めるが、ほかはほとんど明かさず
• メモリとストレージの逼迫が予算向けシステムを直撃し、米国のPC出荷は13%減へ

チェック・ポイントのセキュリティ担当者は、OpenAIがChatGPTに対して、許可なしにインターネットと通信することを防いでいる一方で、DNS経由で持ち込まれたデータ（データの密輸）に対する制御は何も設けていなかったと説明しています。

同社のセキュリティ部門は、このサイドチャネルがどのように悪用され得るかを示す3つの実証（概念実証）攻撃を作成しました。そこには、ChatGPT APIを実装しているサードパーティのアプリである「GPT」が含まれ、そのGPTは個人の健康アナリストとして機能していました。 

デモでは、ユーザーがGPTに解釈させるため、検査結果と個人情報が含まれたPDFをアップロードしました。アプリはそれを行い、データをアップロードしたかどうか尋ねられると、「ファイルは安全な社内の保存場所にのみ保管されている」と説明しつつ、「アップロードしていない」と自信をもってChatGPTが回答しました。

それでも、GPTアプリはデータを攻撃者が管理するリモートサーバーへ送信していました。

この種の欠陥は、AIサービスを導入している規制対象の業界に対して重大な影響を示唆します。仮に企業のAIサービスがこの種のデータを漏えいさせれば、GDPR違反になり得ますし、HIPAAの侵害に当たる可能性もあり、さまざまな金融コンプライアンス規則に抵触する恐れもあります。

OpenAIは、この特定の問題を2026年2月20日に修正したと言われています。AI企業は、この件に関するコメント要請に対して、すぐには応じませんでした。®

関連記事

• AI
• DNS
• セキュリティ

これに近い内容