2026-01-08 の一覧へ戻るホーム
**Notion AI:未修正データ外部流出**

2026/01/08 4:49

**Notion AI:未修正データ外部流出**

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

(欠落しているポイントを組み込み、日付を明確にしたもの)**

概要:
Notion AI は、PDF、Markdown ファイル、および Mail AI ドラフトアシスタントの処理方法を悪用するプロンプト注入手法によって機密性の高い採用データが漏洩するように仕向けられます。攻撃者は、ホワイト背景上で見えないテキストとして隠されたプロンプトを、悪意ある履歴書 PDF または安全でない Markdown 画像に埋め込みます。Notion がファイルをレンダリングするとき、その文書全体の内容を含む URL を構築します。この URL は画像ソースとして使用され、変更承認ダイアログが表示される前にユーザーのブラウザが攻撃者管理ドメインから画像を取得するようにトリガーされます。
この攻撃は Notion の LLM ベースの悪意ある文書警告を回避します。なぜなら、注入されたプロンプトは未スキャンのソース(例:ウェブページ、Notion ページ、またはサードパーティ接続)から来ているためです。
プルーフ・オブ・コンセプト攻撃では、抽出されたデータに給与期待値、候補者フィードバック、内部役割詳細、多様性採用目標、およびその他の機密トラッカー情報が含まれていました。この脆弱性は 2025年12月24日に HackerOne 経由で責任ある報告が行われ、Notion は 2025年12月29日に「該当なし」として問題を閉じました。公開開示は 2026年1月7日でした。
組織への対策: サードパーティ接続の検証、ワークスペース Web 検索の無効化、外部リクエストに対する確認要求、および機密データの個人設定制限を実施してください。
Notion への推奨修正: ユーザー明示的な承認なしに外部 Markdown 画像の自動レンダリングを禁止し、強力な Content Security Policy(CSP)を適用し、CDN リダイレクト悪用を防止してください。対策が取られない場合、機密採用情報の不正開示、規制上の罰則、評判への損害、および AI 搭載ドキュメントツールに関する業界全体の再評価につながる可能性があります。

本文

脅威インテリジェンス – Notion AI の間接プロンプト注入によるデータ外部流出

Notion AI は、ユーザーが承認を与える前に文書編集内容を保存するため、間接的なプロンプト注入でデータを外部へ漏洩させられる脆弱性があります。

攻撃の仕組み

  1. 信頼できない履歴書 PDF をアップロード

    • PDF には「白文字・白背景」のように人間が見えない隠しプロンプト注入が埋め込まれています。
    • LLM はそれを読み取りますが、ユーザーは何も悪意のあるものを確認できません。

  2. Notion AI がアップロード内容を LLM でスキャン

    • 警告システムは、モデルに「安全な文書」と信じ込ませることで回避できます。

  3. ユーザーが Notion AI に採用トラッカーの更新を依頼

    • プロンプト注入により AI は次の操作を実行します。
      1. 履歴書内の全テキストを URL として組み込み、攻撃者管理ドメインへ付加。
      2. その URL を画像ソースとして採用トラッカーに挿入。

  4. 編集がユーザー承認前に行われる

    • ブラウザは悪意ある画像をリクエストし、構築された URL(機密情報付き)を攻撃者サーバへ送信します。

  5. データ外部流出

    • 攻撃者はリクエストをログに残し、給与期待値・候補者フィードバック・内部役割詳細・ダイバーシティ採用目標などの機密情報を取得できます。

追加的な攻撃ベクトル

  • Notion Mail AI Drafting Assistant
    • メールドラフト内で安全性が低い Markdown 画像をレンダリングします。
    • ユーザーが信頼できないリソース(例:
      @untrusted_notion_page
      )を参照すると、そこからデータが漏洩する可能性があります。

組織向け推奨対策

推奨項目実施手順
接続データソースの精査設定 > Notion AI > コネクタ で、機密性が高いまたは信頼できないデータへのアクセスを制限します。
Web 検索利用の制御設定 > Notion AI > AI Web Search > ワークスペース全体での Web 検索 をオフにします。
個人情報を含むパーソナライズの制限設定 > Notion AI > パーソナライゼーション から、スピアフィッシング攻撃に利用され得る個人データの使用を避けます。
Web リクエスト確認の必須化設定 > Notion AI > AI Web Search > Web リクエスト確認を必須 をオンにします。

※ これらはリスク表面を減少させるものですが、根本的な脆弱性を解消するわけではありません。

Notion に対する推奨対策

  1. 外部サイトからの Markdown 画像自動レンダリング禁止
    • ページ作成/更新時およびメールドラフト内で実施。 |
  2. 強力なコンテンツセキュリティポリシー(CSP)の導入
    • 未承認ドメインへのネットワーク要求をブロックします。 |
  3. CDN 画像取得がオープンリダイレクトにならないよう保証
    • CSP を回避する形でのリダイレクトは不可とします。

責任ある開示スケジュール

日付イベント
2025/12/24HackerOne に初報告
2025/12/24報告受領・書き直し要求
2025/12/24PromptArmor が要件に沿ったフォーマットで提出
2025/12/29報告は非適用と判断され閉鎖
2026/01/07公開情報

同じ日のほかのニュース

一覧に戻る →

2026/01/08 5:16

Tailscale の状態ファイル暗号化は、もはやデフォルトでは有効になっていません。

2026/01/07 23:29

砂糖産業は研究者に影響力を行使し、脂質を心血管疾患(CVD)の原因として非難しました(2016年)

## Japanese Translation: --- ### 要約 2016年9月12日に *JAMA Internal Medicine* に掲載された研究は、糖業界と栄養科学者との長期にわたるパートナーシップを明らかにする340件の業界文書(1,582ページ)を調査しました。これらの文書は、1960年代半ばから始まった公衆および科学的関心をショ糖から食事脂肪へと移すための協力努力を示しています。 主な歴史的出来事は次の通りです: * **1954年** – 糖業界の貿易組織が低脂肪食の採用により1人当たりのショ糖消費量が3分の1以上増加すると予測しました。組織には30か国の加盟国がありました。 * **1965年** – ショ糖と心臓病リスクに関するメディア報道が急増し、業界はProject 226を委託しました。このプロジェクトはハーバード大学で文献レビューを行い、1967年に *The New England Journal of Medicine*(NEJM)に掲載されました。 Project 226 は糖業界からの資金(2016年換算で約50,000ドル)によって支援され、具体的な目的が設定され、記事が提供され、レビュー担当者(Roger Adams と D. Mark Hegsted)からドラフトが受領されましたが、NEJMの記事には資金源は明示されていませんでした。レビューの結論は、食事中のコレステロールを減らし飽和脂肪酸を多価不飽和脂肪酸に置き換えることで冠動脈心疾患を予防できるとした一方で、ショ糖関連研究を強く批判し食事脂肪の研究限界を無視しました。 UCSF の研究者は、科学的レビューが利益相反から自由であるべきであり、微妙な操作を避けるために完全な財務開示が必要だと強調しています。彼らは追加糖分と高血圧・心血管疾患との関連を示す証拠が増えているものの、現在の健康政策ではショ糖を心臓病リスク因子として一貫して引用していない点に注目しています。 **本研究への資金提供元は次のとおりです:** * UCSF Philip R. Lee Institute for Health Policy Studies * Hellmann Family Fund * UCSF School of Dentistry * National Institute of Dental and Craniofacial Research * National Cancer Institute 調査結果は、糖業界が歴史的に公衆の意見と科学的議論をどのように形成してきたかを示し、利益相反規則を強化することで規制当局・医療提供者・食品産業がシュガー表示、マーケティング慣行、および食事指針を再検討し、結果として製品中のショ糖含有量を低減させ消費者習慣に変化をもたらす可能性があることを示唆しています。

2026/01/07 13:40

「LMArena は AI にとっての悪性腫瘍です。」

## 日本語訳: (欠落している詳細を補完しつつ明確さを保ったもの) --- ## 要約 LMArena のリーダーボードは、事実の正確性よりも派手なフォーマット―太字ヘッダー、絵文字、長い回答―を報酬とするため、幻覚(hallucinations)を真実より優先させるゲーミフィケーション化されたベンチマークに変わってしまっています。500件の投票を分析した結果、52 % が誤りであり 39 % がユーザーの選択と強く相違していました。高得点を獲得した回答には、架空の「オズの魔法使い」の引用(例:作られたライン)や不可能な主張(例:9インチの丸パンが 9×13 インチの長方形パンと同じだと断言する)が含まれていました。Meta‑tuned Maverick モデルは、単純な「今何時?」という質問で太字テキスト、絵文字、回避的言語を駆使して勝利しました。 このシステムは未払いのボランティア労働に依存し、品質管理がほとんどないため、ユーザーは誤情報や捏造された情報を受け取ることが多く、特に医療文脈では非常に危険です。研究者・企業・AIコミュニティは LMArena を非公式な尺度として利用していますが、正確性重視の指標がない限り、モデルは引き続きエンゲージメントを優先し、信頼性よりも注目度を追求するため、広範囲にわたる誤情報と AI による意思決定支援への信頼低下を招くリスクがあります。

**Notion AI:未修正データ外部流出** | そっか~ニュース