ChatGPTに脆弱性、会話内容や文書が外部サーバに伝達されるリスク

ChatGPTに脆弱性が見つかった。コード実行環境において、DNSを使った外部通信経路が成立し、入力テキストやファイル内容、要約結果などが選択的に抽出され、外部に送られる恐れがあるという。

[＠IT]

　Check Point Software Technologies（以下、Check Point）は2026年3月30日（現地時間、以下同）、「ChatGPT」においてDNS（Domain Name System）の仕組みを利用した外部通信経路が成立し得る問題を公表した。送信が制限されるはずの会話内容やアップロード文書の情報が、利用者に可視化されない形で外部サーバに伝達される可能性がある。

ChatGPTのDNS通信を利用した情報窃取手法の詳細とは？

　ChatGPTは医療情報や財務情報、契約書など機微性の高いデータを扱う場面が増えており、外部送信は利用者の明示的な同意や確認を伴う設計が前提となっている。Web検索やコード実行機能にも制約があり、データ分析用の実行環境は外部ネットワークに直接接続できない仕様だ。

　だがCheck Pointは、悪意あるプロンプトにより、この前提を回避する経路が成立すると指摘した。問題は、実行環境が外部通信不能と見なされる設計に依存していた点にある。この前提において、モデルが通信を外部送信と認識せず、警告や確認をしない挙動につながる可能性があったという。

　脆弱（ぜいじゃく）性の悪用は、利用者が提示されたプロンプトを入力することを起点に成立する。以降のやりとりから、入力テキストやファイル内容、要約結果などが選択的に抽出され、外部に送られる恐れがある。特に要約や分析結果のような高付加価値情報が対象となり得る点が特徴とされる。

　この手法は、生産性向上をうたうプロンプトや機能拡張を掲げる指示文として配布されると、利用者が警戒せず入力する可能性がある。また、カスタムAI機能に組み込まれると、利用者は通常の対話と区別できないまま影響を受ける。

　Check Pointの実証では医療用途のAIを想定し、検査結果のPDFと症状説明を入力したケースが示された。AIは通常通り分析結果を提示するが、外部送信の確認表示は現れない。しかし裏側では患者識別情報と分析結果が外部サーバに届くことが確認された。

　通信の仕組みにはDNSが利用された。DNSは本来、ドメイン名をIPアドレスに変換する役割を担うが、サブドメインに情報を埋め込むことでデータ伝達経路としても機能する。この特性によって直接通信が制限された環境でも、間接的な情報送信が成立したとされる。

　同経路は双方向通信も可能であり、外部からの指示を受けて実行結果を返す形で、実行環境内にコマンド実行機能を確立し得る点も示された。これは通常の対話フローを経由せず、安全機構の対象外となる挙動を伴う可能性がある。

　Check Pointは同問題をOpenAIに報告し、2026年2月20日に修正が完了したと説明している。今回の事例は個別の不具合だけでなく、AIがコード実行やデータ処理を担う環境として拡張される中で、見えない通信経路の管理が重要課題になっていることを示している。