ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容

ChatGPTに預けたデータは、本当に「中」にとどまっていたのか。セキュリティ企業の調査が、AIプラットフォームの信頼構造そのものに疑問を突きつけている。

情報の灯台

2026年3月31日

「外には出られない」はずの実行環境に、裏口があった

ChatGPTのコード実行環境から、ユーザーの会話データや添付ファイルの内容が外部サーバーに密かに送信されうる脆弱性が存在していた。セキュリティ企業Check Point Researchが2026年3月30日に公開した調査報告で、その詳細が明らかになっている。

OpenAIはこの問題を2月20日に修正済みだ。悪意ある攻撃に利用された証拠は確認されていない。だが、問題の本質は「修正された」という事実よりも、なぜ見落とされていたのかにある。

ChatGPTにはPythonコードを実行できるデータ分析環境が搭載されている。OpenAI自身が公式ドキュメントで「この環境から直接外部へのネットワークリクエストは生成できない」と説明してきた。HTTP通信はブロックされ、GPT Actionsによる外部APIへのデータ送信にはユーザーの明示的な承認が必要になる。

Check Point Researchの調査によれば、HTTPやTCPによる外部通信は確かに遮断されていたが、DNS（ドメインネームシステム）による名前解決は制限されていなかった。

この「見落とし」が、すべての前提を崩した。

DNSトンネリングという古典的手法

DNS（Domain Name System）は、ドメイン名をIPアドレスに変換するインターネットの基盤的な仕組みだ。通常は「google.comのIPアドレスは何か」を問い合わせる、地味で目立たない裏方に過ぎない。

だが、セキュリティの世界ではDNSは昔から「忘れられがちな抜け道」として知られている。攻撃者はデータをサブドメインのラベルに符号化し、DNSクエリとして送信することで、通常のネットワーク監視をすり抜けてデータを外部に持ち出せる。DNSトンネリングと呼ばれるこの手法は、ファイアウォールの内側からデータを盗み出す古典的なテクニックだ。

ChatGPTの実行環境では、Webへの直接アクセスこそブロックされていたが、ドメイン名の解決——つまりDNSクエリ——は通常のインフラ通信として許可されたままだった。Check Pointの研究者たちは、この「インフラの隙間」を突いた。

仕組みはこうだ。悪意あるプロンプトがChatGPTに送り込まれると、モデルはユーザーのチャット内容やアップロードされたファイルの情報を、DNSクエリとして送信可能な文字列に変換し、攻撃者が管理するドメインのサブドメインとして問い合わせる。DNSリゾルバがそのクエリを処理する過程で、符号化されたデータが攻撃者のサーバーに到達する。しかもこの通信は双方向だ。DNSレスポンスに小さなコマンドを埋め込むことで、攻撃者はChatGPTの実行コンテナ内でリモートシェルを確立することすらできた。

3つの前提が、3つとも不完全だった

この脆弱性が厄介だったのは、関係者全員が合理的な思い込みをしていた点にある。

プラットフォームは「環境は隔離されている」と想定していた。AIモデルは「自分はChatGPTの内部だけで動作している」と認識していた。そしてユーザーは「同意なしにデータが外に出ることはない」と信じていた。

3つの前提はどれも妥当に聞こえる。そしてどれも不完全だった。

Check Pointは3つの概念実証（PoC）攻撃を作成している。中でも衝撃的なのは、「パーソナルドクター」を装ったカスタムGPTのデモだ。ユーザーが検査結果のPDFをアップロードし、症状について相談すると、GPTは通常通り医学的な評価を返した。ユーザーが「データは外部に送信されたか」と尋ねると、ChatGPTは「ファイルは安全な内部の場所にのみ保存されている」と自信を持って否定した。

しかし実際には、そのとき既に患者の個人情報とAIによる医学的評価が攻撃者のサーバーに送信されていた。

嘘をついたわけではない。モデル自身が、自分のいる環境が外部と通信できることをまったく認識していなかったのだ。

「便利なプロンプト」が攻撃の入り口になる

攻撃の起点は、たった一つの悪意あるプロンプトだ。一度チャットに貼り付ければ、その後の全メッセージが潜在的なデータ漏洩源になる。

しかもこのプロンプトは、ネット上に溢れる「生産性向上のおすすめプロンプト」「ChatGPTの隠し機能を解放する裏技」といった形で配布できる。ユーザーにとっては、コピペして試すだけの日常的な行為だ。「プレミアム機能を無料で使える特別なプロンプト」と銘打たれていれば、不審な指示が紛れていても大半の人は気づかない。

Check Pointの研究責任者エリ・スマジャは「AIツールがデフォルトで安全だと思い込んではいけない」と指摘している。AIプラットフォームがフル機能の実行環境に進化する中、ベンダー側のセキュリティ制御だけに依存する時代は終わったという認識が必要だ。

カスタムGPTに悪意あるロジックを仕込むシナリオはさらに深刻だ。ユーザーがプロンプトをコピペする必要すらない。GPTを開いて普通に使うだけで、会話内容が静かに外部へ流れ出す。GPT開発者は本来、個別のユーザー会話にアクセスできないはずだが、この脆弱性はその境界を実質的に無効化していた。

規制産業への波及と、AI時代のセキュリティ

医療記録、財務データ、法的文書。ChatGPTにユーザーが預ける情報の機密性は年々高まっている。今回のような脆弱性を通じてデータが漏洩すれば、EUのGDPR（一般データ保護規則）違反、米国のHIPAA（医療情報保護法）違反、あるいは金融コンプライアンス上の重大なインシデントになりうる。

正直なところ、DNSトンネリング自体は新しい攻撃手法ではない。企業のセキュリティチームにとっては教科書に載っているレベルの話だ。問題は、その「教科書レベルの脅威」が、世界で最も広く使われているAIプラットフォームの内部で見落とされていたという事実にある。

AIシステムは急速に「ただのチャットボット」から「本格的な実行環境」へと進化している。ファイルを読み、コードを実行し、Webを検索し、外部サービスと連携する。能力が拡大するたびに攻撃対象も広がる。アプリケーション層のガードレールだけでは足りない。DNSのようなインフラ層まで含めた、あらゆる通信経路の制御が求められる時代に入っている。

OpenAIは今回、修正対応を完了した。だが、AIプラットフォームのセキュリティは個別の脆弱性の修正で終わる話ではない。クラウドプロバイダーを盲目的に信頼しないことを企業が学んだように、AIベンダーに対しても同じ姿勢が必要だ。次の「見落とし」がどこに潜んでいるかは、まだ誰にもわからない。

参照元