チェック・ポイント・リサーチ、ChatGPTのコード実行環境に隠れたアウトバウンドチャネルを発見

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、ChatGPTのコード実行ランタイム環境に隠れたアウトバウンド通信経路が存在することを発見し、その悪用可能性を実証した調査結果を発表しました。この脆弱性により、単一の悪意あるプロンプトを通じて、ユーザーへの通知も承認も経ることなく会話データが外部サーバーへ流出する可能性がありました。OpenAIはCPRからの報告を受け、2026年2月20日に修正を完全に展開したことを確認しています。

主な調査結果

• CPRは、単一の悪意あるプロンプトによって、ChatGPTとユーザーによる通常のセッションが密かなデータ漏えいチャネルへと変わり得ることを発見しました。ユーザーが共有した機密データに加え、AIが生成した要約や結論も、外部に流出する可能性がありました。

• DNSベースの隠れた通信経路を悪用する攻撃では、AIの安全対策を回避することができました。また、ChatGPTのランタイム内でリモートコマンドを実行することも可能でした。

• カスタムGPTにこの処理を組み込むことで、一度限りのリスクではなくより広範な脅威として悪用することが可能でした。
  CPRによる情報提供を受け、OpenAIはこの脆弱性への修正を実施しました（2026年2月20日時点）。実際の悪用は確認されていません。

発見の背景
ChatGPTをはじめとするAIアシスタントは、現在急速に、個人が扱う最も機密性の高いデータの一部を処理するようになっています。ユーザーはAIアシスタントに対し、症状や病歴の相談、財務書類のアップロード、契約書内容の検討、個人的な文書の内容共有などを行っています。多くの場合、こうした行為は、AIアシスタントに共有したデータがシステム内部だけの安全な共有にとどまるという信頼に基づいています。

ChatGPT自身も、外部へのデータ送信は制限・可視化・管理されていると説明しています。機密性の高いデータが、プロンプトの要求のみを理由に任意の第三者へ送信されることは本来想定されておらず、コード実行環境からの直接的な外部アクセスも制限されているはずでした。CPRが発見したのは、このモデルを迂回する経路です。

単一の悪意あるプロンプトが密かなデータ漏えいをもたらす
CPRは、単一の悪意あるプロンプトによって、通常のChatGPTとの会話が隠れた漏えいチャネルとなり得ることを発見しました。このケースでは、トリガーが引かれることで、ユーザーのメッセージやアップロードしたファイル、AI生成による要約など会話内の特定のコンテンツが、何の警告や承認も経ずに、外部に送信される可能性がありました。

ユーザーから見る限り、アシスタントは通常通り応答を続け、プラットフォームには警告や承認ダイアログなどは何ら表示されません。その背後で、選択されたコンテンツは静かに会話の外へ流出していました。

ChatGPTは、許可のないデータ共有を防ぐ安全対策を備えています。ユーザーの視点からすると、外部へのデータ送信は、制限され、透明性があり、同意に基づくものであるはずです。しかし、今回の脆弱性は、ChatGPTの安全対策を直接突破するのではなく、完全に回避するものでした。

脆弱性の仕組み：既存の安全対策を回避
HTTPリクエストや外部APIなどの明らかな外部通信経路ではなく、この脆弱性では、ChatGPTがコード実行・データ分析に使用するLinuxランタイム内の隠れたサイドチャネルが悪用の対象となります。直接的なインターネットアクセスは設計通りブロックされていましたが、DNS名前解決は通常のシステム動作の一部として引き続き利用可能でした。

DNSは一般に、ドメイン名を解決するための無害なインフラとして扱われており、データ送信には使われないとみなされています。しかし、DNSは情報をドメインクエリとして暗号化することで、隠れた転送メカニズムとして悪用されることが可能です。その理由は、DNSの通信が外部へのデータ共有として分類されていなかったことにあります。そのため、承認ダイアログの表示、警告、モデル自体による動作のリスク認識は、いずれも作動しませんでした。

単一のプロンプトが引き金に
攻撃は悪意あるプロンプトひとつで引き起こすことができ、その時点から会話内の新たなメッセージすべてが、潜在的な漏えい源となりました。重要な点として、攻撃者はドキュメント全体を盗む必要はありません。プロンプトはモデルに対し、要約、結論、診断、戦略的インサイトなど最も価値の高い情報のみを抽出して送信するよう指示できます。そして多くの場合、AIが生成したこれらのアウトプットは、元の入力データよりも機密性が高くなります。

このアプローチは、通常の利用に自然に溶け込みます。多くのユーザーは、生産性向上や「隠し機能/裏技」を謳うブログ、フォーラム、ソーシャルメディアなどから、プロンプトを定期的にコピーしています。

同様の攻撃パターンは、カスタムGPTに組み込まれた場合、さらに危険度が増します。この場合、攻撃者は被害者が外部からプロンプトをコピーしてくることを待つ必要はなく、悪意ある処理をGPTの指示やファイルに直接埋め込むことができます。ユーザーはGPTを開いて通常通り操作するだけで、機密情報が漏えいします。

CPRは概念実証として、「パーソナルドクター」として機能するGPTを構築しました。このGPTに検査結果のPDFをアップロードすると、全く平常通りのやり取りの背後で、患者の個人情報と医療評価が攻撃者のサーバーへ送信されました。ChatGPTは、外部へデータを送信したかと直接問われた場合にも、全く送信していないと答えました。

個人のプライバシーからプラットフォームへと拡大するリスク
この隠れた通信経路は、ChatGPTのランタイム内でのリモードコマンドの実行など、データ漏えい以外の用途にも使用できることが明らかになりました。CPRはDNSクエリでコマンドを送信し、同じ経路で結果を受け取ることで、コード実行に使用されるLinux環境内でリモートシェルを確立できることを実証しました。これは、モデルによる安全チェックの外側で動作し、チャットのインターフェイスからは見ることができません。これにより、この脆弱性は、ユーザーのプライバシーにとどまらず、プラットフォームレベルのセキュリティリスクをもたらし得ることが浮き彫りになりました。

規制産業への影響はさらに深刻です。AIツールを経由した侵害は、単なるセキュリティインシデントにとどまらず、GDPR（EU一般データ保護規則）への抵触、HIPAA（米国の医療保険の携行性と責任に関する法律）への違反、財務上または規制上のコンプライアンス違反にも発展する可能性があります。そのため、医療、金融サービス、政府機関の組織は、AIツールを既存の管理体制の外側で動くコンシューマーアプリとして位置付けるのではなく、規制対象環境の一部として扱う必要があります。

修正の完了と、AI時代への大きな教訓
責任ある情報開示プロセスに従い、CPRは本脆弱性をOpenAIに報告しました。OpenAI内部ではすでに問題の根本原因が特定されており、2026年2月20日に完全な修正がデプロイされ、意図しない通信経路は閉鎖されました。実際に悪用された形跡はありません。

チェック・ポイントの見解
チェック・ポイント・リサーチのリサーチ責任者であるエリ・スマジャ（Eli Smadja）は次のように述べています。
「この事例は、AI時代における厳しい現実を改めて突きつけています。AIツールが初期設定の段階から安全であると思い込むべきではありません。AIプラットフォームが最も機密性の高いデータを扱う本格的なコンピューティング環境へと進化するにつれ、ネイティブのセキュリティコントロールだけでは不十分です。組織は、AIベンダーとの間に、独立した可視性と多層的な保護を確保する必要があります。次のインシデントへの対処に追われるのではなく、AI時代に合わせたセキュリティアーキテクチャへの再設計こそが、安全に前進するための道となります」

本事例は一つの脆弱性にとどまりません。AIプラットフォームは、大半の組織がリスクを評価できる速度を超えて進化しています。AIセキュリティを確保するには、単一の欠陥の修正ではなく、AI時代に向けたセキュリティアーキテクチャの再設計が必要です。AIシステムは完全なコンピューティング環境であると捉え、アプリケーションロジックからインフラの挙動に至るまで、それに応じた保護を講じることが求められます。

AI企業はAIの構築において卓越していますが、セキュリティを最優先とする組織ではありません。独立した調査研究が重要である理由はここにあります。CPRは悪意ある攻撃者より先にこの脆弱性を発見し、企業が必要とする監視の形を体現しています。セキュリティリーダーはベンダーの保証のみに頼るのではなく、AI環境の検証・強化を担える信頼できるアドバイザーと連携することが重要です。

本プレスリリースは、米国時間2026年3月30日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。

ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（www.checkpoint.com）は、世界各国の10万を超える組織を保護するグローバルなサイバーセキュリティのリーダー企業です。同社は、企業の安全なAIトランスフォーメーションの保護をミッションとして掲げています。防止優先のアプローチとオープンエコシステムアーキテクチャを通じて、複雑なデジタル環境全体にわたり、高度な脅威のブロック、エクスポージャーの優先順位付け、セキュリティオペレーションの自動化を支援します。チェック・ポイントの統合アーキテクチャは、ハイブリッドネットワーク、マルチクラウド環境、デジタルワークスペース、AIシステム全体にわたる保護を簡素化します。4つの戦略的柱であるハイブリッドメッシュネットワークセキュリティ、ワークスペースセキュリティ、エクスポージャー管理、AIセキュリティを軸に、チェック・ポイントはマルチベンダー環境全体で一貫した保護と可視性を提供し、複雑さの増大させることなく、組織がリスクの低減、効率の向上、そしてイノベーションの加速を実現できるよう支援します。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://x.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには将来予測に関する記述が含まれています。将来予測に関する記述は、将来の出来事または当社の将来の財務・業績に関するものです。本プレスリリースに含まれる将来予測に関する記述には、当社の製品・ソリューションに対する期待、今後の成長に関する見通し、業界リーダーシップの拡大、株主価値の向上、および世界の顧客への業界最高水準のサイバーセキュリティプラットフォームの提供などに関する記述が含まれますが、これらに限定されるものではありません。これらの期待や見通しは実現しない可能性があり、将来の実際の結果や事象は、予測と大きく異なる可能性のあるリスクや不確実性の影響を受けます。本プレスリリースに含まれる将来予測に関する記述はまた、米国証券取引委員会（SEC）への提出書類（2025年3月17日にSECへ提出された様式20-Fの年次報告書を含む）に詳述されるその他のリスクおよび不確実性の影響も受けます。本プレスリリースに含まれる将来予測に関する記述は、本プレスリリース発行時点でチェック・ポイントが入手可能な情報に基づいており、チェック・ポイントは法令で義務付けられている場合を除き、将来予測に関する記述を更新する義務を負いません。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp