【ITニュース解説】ShadowLeak Zero-Click Flaw Leaks Gmail Data via OpenAI ChatGPT Deep Research Agent
2025年09月20日に「The Hacker News」が公開したITニュース「ShadowLeak Zero-Click Flaw Leaks Gmail Data via OpenAI ChatGPT Deep Research Agent」について初心者にもわかりやすく解説しています。
ITニュース概要
OpenAI ChatGPTに、ユーザーが操作せずともGmailデータが漏洩する「ShadowLeak」という重大な脆弱性が見つかった。攻撃者は細工したメール1通で情報を取り出せたが、この問題はすでに修正済みだ。
ITニュース解説
今回のニュースは、OpenAIが提供するChatGPTの一部の機能に、深刻なセキュリティ上の問題が見つかったというものだ。具体的には「Deep Researchエージェント」と呼ばれる機能に「ゼロクリックの脆弱性」が存在し、それが悪用されると、ユーザーのGmailの受信トレイデータが第三者に漏洩する危険性があったと報じられている。この攻撃手法は「ShadowLeak」と名付けられ、セキュリティ企業のRadwareによって詳細が明らかにされた後、OpenAIによってすでに修正されている。
まず、このニュースの肝となる「ゼロクリックの脆弱性」について説明する。システムやソフトウェアにおける脆弱性とは、セキュリティ上の欠陥や弱点のことだ。通常、攻撃者がシステムの脆弱性を悪用して情報を盗んだり、不正な操作を行ったりする場合、ユーザーが何らかの行動をすることが求められるケースが多い。例えば、怪しいリンクをクリックしたり、不審なファイルをダウンロードして開いたりするといった行動である。しかし「ゼロクリックの脆弱性」とは、その名の通り、ユーザーが一切操作をしなくても攻撃が成立してしまう欠陥を指す。つまり、ユーザーは何も知らないうちに、情報が盗まれたり、システムが乗っ取られたりする可能性があるということだ。今回のケースでは、細工されたメールが届くだけで、ユーザーがそのメールを開いたり、何らかのボタンをクリックしたりすることなく、Gmailのデータが漏洩する可能性があったという点で、非常に危険度の高い脆弱性であったと言える。
次に、攻撃の対象となった「OpenAI ChatGPTのDeep Researchエージェント」とは何かを考えてみよう。OpenAIが提供するChatGPTは、非常に高性能なAIであり、テキストの生成や質問応答、要約など多岐にわたるタスクをこなす。その中でも「Deep Researchエージェント」という機能は、特定のテーマについて深く掘り下げて調査・分析を行うために設計されたAI機能だと考えられる。例えば、ユーザーが特定の情報を求めた際に、関連するメールや文書、Webサイトなどの情報を読み込み、そこから必要な情報を抽出したり、要約したりする能力を持っている可能性がある。このような高度な情報処理を行うAIエージェントが、ユーザーのGmailデータにアクセスする権限を持っている場合に、今回のような脆弱性が問題となる。
攻撃者は、このDeep Researchエージェントの処理の仕組みを悪用したと考えられる。具体的な手口としては、細工されたメールをユーザーのGmailアドレスに送信する。この「細工されたメール」には、AIエージェントが処理する際に、本来アクセスすべきではない情報、つまりGmailの受信トレイ内の他のメールの内容などを引き出すように誘導する特殊なコードや指示が埋め込まれていたと推測される。Deep Researchエージェントは、そのメールを受信すると、自身の機能として自動的に内容を分析・処理しようとする。この処理の過程で、埋め込まれた悪意あるコードや指示が実行され、エージェントが持つGmailへのアクセス権限を悪用し、他のメールの情報を不正に読み出し、外部に送信してしまうという流れであったとみられる。ユーザーがそのメールを意識的に開く必要がなく、エージェントがバックグラウンドで処理を行うだけで攻撃が成立してしまうのが「ゼロクリック」の恐ろしさだ。
この「ShadowLeak」と呼ばれる攻撃によって、具体的に「Gmail受信トレイデータ」が漏洩する可能性があったことは、個人情報保護の観点からも非常に大きな問題である。Gmailの受信トレイには、個人間のやり取りはもちろん、金融機関からの通知、各種サービスのパスワードリセット情報、仕事上の機密情報など、非常に多くの機微な情報が含まれていることが多い。これらが不正に第三者の手に渡ってしまうと、個人のプライバシーが侵害されるだけでなく、なりすまし詐欺や他のサービスへの不正ログイン、企業の機密情報の漏洩など、さらなる深刻な被害につながる危険性がある。
今回の脆弱性は、セキュリティ研究者たちによって発見され、OpenAIに対して「責任ある開示」という形で報告された。責任ある開示とは、セキュリティ上の脆弱性を発見した者が、それを悪用する前に、まずは影響を受ける企業や開発者にその事実を伝え、修正を促すという、セキュリティ業界における倫理的な慣行である。これにより、脆弱性が悪用されるリスクを最小限に抑えつつ、適切な対策が講じられる時間的猶予が与えられる。今回のケースでも、Radwareが6月18日にこの問題をOpenAIに報告し、OpenAIはそれを受けて迅速に対応し、8月上旬には脆弱性を修正したとのことだ。この迅速な対応により、多くのユーザーが実際に被害に遭う前に問題が解決されたことは評価されるべき点である。
ITシステムやサービスが高度化し、AIのような新しい技術が導入されるにつれて、これまでになかった種類のセキュリティ上のリスクも生まれてくる。AIエージェントが持つ高度な情報処理能力は非常に便利である反面、その処理の過程で意図しない情報漏洩が発生しないよう、より一層厳重なセキュリティ対策が求められるようになるだろう。システムエンジニアを目指す者としては、新しい技術の利便性だけでなく、それに伴うセキュリティリスクを常に意識し、脆弱性のない安全なシステムを設計・開発する視点を持つことが重要である。また、万が一脆弱性が発見された際には、速やかに対応し、ユーザーの安全を確保するためのプロセスを理解しておくことも不可欠となる。今回の「ShadowLeak」の事例は、AI技術とセキュリティの密接な関係、そして責任ある開示の重要性を示す、現代におけるセキュリティリスクの一例として学ぶべき教訓である。