2026-06-01 の一覧へ戻るホーム
Google スイート用の ChatGPT はデータ漏洩とフィッシングに脆弱

2026/06/01 5:35

Google スイート用の ChatGPT はデータ漏洩とフィッシングに脆弱

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

OpenAI の Google シーツ用 ChatGPT 拡張機能には、間接的なプロンプト注入と権限のないスクリプト実行を可能にする重大なセキュリティ欠陥が存在します。この攻撃は、インポートされたシートからの不信頼データが拡張機能を操作して攻撃者制御のスクリプトを実行させることによって成功し、すでにユーザーが付与した広範な許可を利用しています。重要なのは、ユーザーが自動編集を無効化している場合でもこれらの悪意あるアクションが発生し、サイドバーの「ストップ」ボタンをクリックしてもスクリプトが停止しないことです。研究者(PromptArmor)は 2 つの主要な攻撃ベクトルを特定しました:Variant 1 は拡張機能を模倣するオーバーレイサイドバーを用いてプロンプトを収集し、整合性のないチャットボットを提供し、資格情報を盗むもの;Variant 2 は、ユーザーの資格情報を直接フィッシングする攻撃者制御のウェブサイトをレンダリングするポップアップモーダルを使用するものです。間接的なプロンプト注入によってトリガーされた単一の無害なクエリだけで最大 12 のワークブックからデータを漏洩させる可能性があります。2026 年 5 月 8 日から 5 月 27 日までの責任ある開示の試みにより得られた OpenAI からの回答はすべて有用でなかったため、セキュリティ研究者らは 2026 年 5 月 27 日にこれらの見解を公に発表しました。この脆弱性は、特権スクリプトを実行するなどの機能的な能力に関するドキュメント不足によってさらに悪化しています。拡張機能を導入している組織は、「Permissions & roles」の下での Workspace パーミッションを直ちに確認し、アクセスを即時で撤回または制限する必要があります。1 ヶ月未満で 185,000 回以上のダウンロードを集めたこの事象は、審査のされていない外部スクリプトを実行する AI ツールへの依存がもたらす深刻な危険性を浮き彫りにし、企業向けのスプレッドシート環境においてより厳格なセキュリティ検証の緊急性を強調しています。

本文

OpenAI「ChatGPT for Google Sheets」重大なセキュリティ脆弱性と無視された報告について

概要

OpenAI が発表した、Google スプレッドシート上で ChatGPT を活用する拡張機能(エクステンション)ですが、リリースから未满 1 ヶ月で185,000 以上のダウンロード数を記録しました。この機能により、サイドバーの AI チャットボットを通じてスプレッドシートを操作できるとともに、ChatGPT コネクタから得られたデータの利活用が可能です。

しかし、悪意ある攻撃者は無害に見える単純なユーザークエリ(プロンプト)を用いた**「間接的プロンプト注入攻撃」**によって、以下の重大な被害を引き起こすことが確認されました。

  • 機密情報の漏洩: ユーザーのアカウント全体にまたがる多数のワークブックのデータが盗まれる。
  • フィッシング攻撃: インターラクティブなフィッシングポップアップが表示される。
  • チャットボットの乗っ取り: サイドバー全体の書き換えを行い、GPT インターフェースを攻撃者の管理下にする。
  • データ改ざん: 攻撃者によってワークブックが編集・破壊される。

この脆弱性は、信頼できないデータソース(インポート済みスプレッドシートや ChatGPT コネクタ)からの悪意のあるコードが実行されるときに発生します。特に深刻なのは、たとえユーザー側で設定を変更し、「スクリプトの実行前に人間の承認を要求する」というポリシーを適用していても、攻撃が自動的に成功してしまう点です。

OpenAI に対し責任ある方法での報告が行われましたが、複数のフォローアップリクエストに対しては単なる自動返信のみが返され、実質的な対応が見られませんでした。また、公式ドキュメントには「間接的プロンプト注入によるモデル操作のリスク」や「特権スクリプトの実行に関する権限設計」についての言及がなく、機能制限やデータ取扱いのみが強調されています。

攻撃チェーンの詳細

攻撃は以下のような手順で進行します。

  1. ユーザーが社内財務モデルの作成を開始する。
  2. モデル構築のために外部データセットをインポートする。
  3. インポートされたスプレッドシートに含まれる、白文字として表示されるプロンプト注入コードが含まれていることにユーザーは気づかない。
  4. ユーザーが ChatGPT for Google Sheets に「インポートしたデータを統合してほしい」と問いかける。
  5. このリクエストにより、ChatGPT が攻撃者の制御する外部スクリプトを無断で実行させる(プロンプト注入完了)。

注意点: 設定にある「適用を自動的に実行 (Apply edits automatically)」機能をオフにしても、この攻撃は成功します。人間の承認フローがバイパスされるためです。

データ漏洩の拡大

外部スクリプトは以下のような連鎖的な盗聴を行います。

  • ユーザーのワークブックから財務モデルデータを即座に窃取する。
  • 窃取されたデータ内の他のワークブックへのリンクを検知・追跡し、関連するすべてのファイルまで漏洩させる。
    • : 予算管理シートなどの関連ファイルが含まれていれば、それらも自動的に盗まれる。
    • この連鎖反応により、最終的に12 件のワークブックをすべて漏洩させた事例が確認されています。

注意点: サイドバーの「停止」ボタンをクリックしても、已经开始された外部スクリプトの実行は中断されません。

フィッシングオーバーレイ攻撃

データ漏洩と同時に、以下のような 2 つのパターンでフィッシング攻撃が可能になります。

バリアント 1:サイドバー偽装

ChatGPT の拡張機能を偽装し、攻撃者の管理するサイトをサイドバーに表示します。

  • ユーザーのすべてのプロンプトを収集する。
  • 不整合なチャットボットの挙動を提供しユーザーを混乱させる。
  • OpenAI の認証情報を盗み取るためのフィッシング UI を表示する。
  • より多くのアプリへのアクセス獲得のために、コネクタの再接続を促す。

バリアント 2:ポップアップモーダル

攻撃者の管理するウェブサイトを表示し、ユーザーの認証情報を誘導するためのポップアップを表示します。

対応と現状

組織は以下の設定から ChatGPT for Google Sheets のアクセス権限を管理可能ですが、脆弱性自体は存在続けます。

  • 構成経路: ワークスペース設定 > パーミッションとロール > ChatGPT for Excel および Google スプレッドシート

タイムライン(報告経過)

OpenAI への責任ある報告プロセスとその反応は以下の通りです。

日付イベント内容
2026 年 5 月 8 日PromptArmor が OpenAI へ脆弱性をメールで報告。
2026 年 5 月 8 日OpenAI 側より自動返信のみが送信される。
2026 年 5 月 8 日PromptArmor がより詳細な対応の希望を確認。
2026 年 5 月 12 日PromptArmor からフォローアップ連絡を再度送信。
2026 年 5 月 18 日PromptArmor からさらに追跡的な連絡を送信。
2026 年 5 月 27 日公衆への開示および本発表。

この調査結果は、ユーザーがリスクに対して適切な判断を行うために公開されます。

同じ日のほかのニュース

一覧に戻る →

2026/06/01 7:59

Chuwi Minibook X:私たちが望むネットブック

## 日本語翻訳: Chuwi Minibook X は、Intel N150 Twin Lake CPU、16GB LPDDR5 RAM、512GB NVMe ドライブを備えた予算フレンドリーの Linux 実験用ツールで、価格は 350 ドルです。重さは 911g で、Wi-Fi 6、USB-C(PD 充電対応)、HDMI 出力、キーボードのバックライトを内蔵していますが、画面のリフレッシュレートは 50Hz、スピーカーは音が細いです。ハードウェア上の特徴であるパネルが横付けられているため、起動時・initrd・framebuffer・デスクトップ環境レベルで回転に必要となるソフトウェアパッチが必要という欠点はありますが、Geekbench6 スコア(シングルコア:1295、マルチコア:3332)、Wi-Fi 速度最大 424 Mbps、負荷時消費電力が 15W 以下という点など、実用的なパフォーマンスを発揮します。ベンチマーク結果では、ストレステストおよび映画再生中の熱管理は 90°F(約 32°C)以下で安定しており、バッテリー寿命は約 6 時間でした。不満なのはボタンがないタッチパッド、キーボードが正確な中央位置でのストロークを必要とする点、systemd-boot から GRUB に切り替える必要がある点(特定のカーネルパラメータ `video=DSI-1:panel_orientation=right_side_up` および `fbcon=rotate:1` を設定するか、X11 では `xrandr` を使用する必要があること)です。製造側は、これらの妥協点を受容しており、本装置は NixOS、RiverWM、KDE Plasma、Steam などの Linux 配布版や環境をリスク低いサンドボックスとして開発者が試験・検証するための用途に設計されているからです。即座に使えるわけではありませんが必要なセットアップと修正が必要とはいえ、その手頃な価格によって Linux の学習や実験の理想的な入門機器となっています。 ## テキストの翻訳 (必要に応じて以下をそのまま貼り付けてください;否則原文を繰り返してください): ## 概要: Chuwi Minibook X は、Intel N150 Twin Lake CPU、16GB LPDDR5 RAM、512GB NVMe ドライブを備えた予算フレンドリーの Linux 実験用ツールで、価格は 350 ドルです。重さは 911g で、Wi-Fi 6、USB-C(PD 充電対応)、HDMI 出力、キーボードのバックライトを内蔵していますが、画面のリフレッシュレートは 50Hz、スピーカーは音が細いです。ハードウェア上の特徴であるパネルが横付けられているため、起動時・initrd・framebuffer・デスクトップ環境レベルで回転に必要となるソフトウェアパッチが必要という欠点はありますが、Geekbench6 スコア(シングルコア:1295、マルチコア:3332)、Wi-Fi 速度最大 424 Mbps、負荷時消費電力が 15W 以下という点など、実用的なパフォーマンスを発揮します。ベンチマーク結果では、ストレステストおよび映画再生中の熱管理は 90°F(約 32°C)以下で安定しており、バッテリー寿命は約 6 時間でした。不満なのはボタンがないタッチパッド、キーボードが正確な中央位置でのストロークを必要とする点、systemd-boot から GRUB に切り替える必要がある点(特定のカーネルパラメータ `video=DSI-1:panel_orientation=right_side_up` および `fbcon=rotate:1` を設定するか、X11 では `xrandr` を使用する必要があること)です。製造側は、これらの妥協点を受容しており、本装置は NixOS、RiverWM、KDE Plasma、Steam などの Linux 配布版や環境をリスク低いサンドボックスとして開発者が試験・検証するための用途に設計されているからです。即座に使えるわけではありませんが必要なセットアップと修正が必要とはいえ、その手頃な価格によって Linux の学習や実験の理想的な入門機器となっています。

2026/05/31 23:13

指紋化可能な WebGL を必要とする Cloudflare Turnstile

## Japanese Translation: ## 概要: Web サイトの多くへのアクセスをブロックする無尽蔵なローディングループに WebKit-GTK ブラウザユーザーを長らく(週を超える間)捕まえたままにしています。これは、訪客を検証するために Cloudflare が WebGL データを要求するためですが、WebKit ブラウザは長年このフィンガープリンティングをブロックしており、その結果、Cloudflare のセキュリティプロトコルがsanitize された応答をボットのような行動と誤って識別しているためです。Mozilla Firefox 145.0 は、WebKit と異なる GPU 特性を返すことで無限ループを回避していますが、完全な制限のバイパスを妨げる厳格なプライバシー設定には依然として悩まされています。この状況は、ユーザーが匿名性を犠牲にするか、あるいはサイトから取り残されるかのジレンマを生み出しています。これは、長年にわたる正当なプライバシー対策と、誤ってこれらの保護を悪意のある活動と見なす過激なセキュリティチェックとの間の対立を示しています。(168 語)

2026/06/01 0:04

ローカルデバイス向けの 1 ビットボサイン画像生成モデル「4B Image Generation」

## Japanese Translation: Bonsai Image 4B は、FLUX.2 Klein 4B から派生したコンパクトな画像生成モデルファミリーであり、ラップトップからスマートフォンまでのローカルハードウェア上で高品質な拡散推論を可能にすることを目的としています。2 つのバリエーションを提供します: - 1 ビット Bonsai Image 4B は、{-1, +1} の二値変換器重みと FP16 グループ軸スケーリング(有効ビット数〜1.125 bits/weight)を採用し、拡散変換器のフットプリントを 8.3 倍に圧縮—from 7.75 GB to ~0.93 GB—and GenEval、HPSv3、DPG-Bench のベンチマークにおいて元のモデルの約 88% の精度を維持します。 - テルナリー Bonsai Image 4B は、{-1, 0, +1} のテルナリー重みと FP16 スケーリング(有効ビット数〜1.71 bits/weight)を採用し、フットプリントを 6.4 倍に圧縮—to ~1.21 GB—and 元の精度の約 95% を維持します。 512×512 の生成に対する総アクティブメモリは、フルプレシジョンの FLUX.2 Klein 4B の 11.74 GB に対して、それぞれ 1 ビットで約 1.5 GB、テルナリーで約 1.96 GB に減少します。特に、1 ビットのバリエーションはそのパラメータクラス初の iPhone(例:iPhone 17 Pro Max)上で直接動作する画像モデルであり、フルプレシジョンの FLUX.2 Klein 4B は同様に動作しません。パフォーマンスベンチマークでは、iPhone 17 Pro Max で 512×512 の生成に約 9.4 秒、Mac M4 Pro で約 6 秒となり、標準の MFLUX に比べて約 5.6 倍高速です。 両バリエーションとも Apache 2.0 ライセンスで公開され、重みとコードがオープン化されており、サーバーサイドリクエストなしでローカル推論を可能にします。Apple Silicon(iPhone、iPad、Mac)では MLX を用いて、CUDA GPU では Gemlite の低ビット GEMM カーネルを用いて動作し、新たにローンチされる Bonsai Studio iOS アプリと連携して提供されます。