セキュリティ企業 Permiso は2026年5月29日、ChatGPT のページ要約機能を悪用する攻撃手法「ChatGPhish」を公開した。
公開Webページに指示ペイロードを追記すると、認証不要の攻撃者が ChatGPT の要約出力の描画を操作できる。chatgpt.com のレンダラーが第三者由来のMarkdownリンクや画像URLを信頼するため、攻撃者のリンク表示、偽のセキュリティ警告、Amazon S3 から取得するQRコード、短縮URL経由の追跡ビーコンが ChatGPT のUI内に描画される。
手法は Microsoft Copilot に対する XPIA を発展させたものである。Permiso は2026年4月29日に Bugcrowd 経由で OpenAI へ報告したが再現不可とされ、5月1日の再提出は重複と分類され、5月7日の追加連絡を経て5月29日に公開された。
From: New ChatGPT Vulnerability Lets Attackers Turn Web Pages Into Phishing Payloads
【編集部解説】
まず押さえておきたいのは、これが「ChatGPTが乗っ取られる」話ではないという点です。攻撃者がいじっているのはChatGPT本体ではなく、ChatGPTが要約する「ページ側」です。ユーザーが何気なく開いたWebページに、人間には目立たない形で「指示文」を仕込んでおく。そのページを要約させた瞬間、ChatGPTはその指示を本物の依頼と区別できないまま実行してしまう、という構図です。
技術的な肝は、要約結果が表示される「描画(レンダリング)」の部分にあります。chatgpt.com は、要約対象のページに含まれていたMarkdownのリンクや画像を、自分が生成した正規の出力と同じ見た目で表示します。出所のラベルがないため、ユーザーから見れば「ChatGPTが教えてくれたリンク」と「攻撃者が忍ばせたリンク」が完全に同じ顔をしているわけです。
この研究を主導したのは、Permiso の脅威ハンターである、アンディ・アフメティ氏です(元記事では報じた記者名のみが記載されていましたが、研究の出どころはこちらが一次情報にあたります)。デモには Firefox が使われましたが、アフメティ氏自身が明言しているとおり、これは Firefox やブラウザの不具合ではありません。ブラウザはページの中身をChatGPTへ渡しているだけで、問題はあくまでLLM側の描画にあります。つまり、ページ要約機能を持つあらゆるブラウザ連携AIに同じ理屈が当てはまります。
影響範囲が広いのは、攻撃の「入り口」がメールからブラウザへ移ったからです。メールにはスパムフィルターや添付ファイル制御といった防壁が標準化されていますが、ブラウザでの「ページ閲覧」はそうしたフィルタ経路に乗りにくく、通常の作業の中に紛れ込みやすいのが実情です。ユーザーは怪しい添付を開く必要すらなく、ただ普通にページを開いて要約を頼むだけ。GitHubのREADME、技術ドキュメント、ブログ、製品ページ──どれもが「弾丸」になり得ます。
特に厄介なのがQRコードを使った手口です。リンクであればマウスを乗せて遷移先を確認できますし、ブラウザやパスワードマネージャーが警告を出すこともあります。ところがQRコードは、スマートフォンという「別の画面」へ判断を移してしまうため、ホバー確認やパスワードマネージャーのドメイン照合といった、デスクトップ上の防御を迂回しやすくなります。読者の多くがデスクトップから情報に触れている本誌の環境を思えば、「PCで要約 → スマホでスキャン」という導線の危うさは、決して他人事ではないはずです。
ポジティブな視点も忘れずに置いておきます。今回の発見は、AIブラウジングという便利さの裏側を、攻撃が現実化する前に研究者が可視化してくれた成果でもあります。要約機能そのものが悪なのではなく、「外部から取り込んだ内容」と「AIが自分で生成した内容」を視覚的に区別する仕組みさえ整えば、リスクの多くは抑えられる種類の問題です。
ここで本誌として一歩踏み込んでおきたいのが、開示プロセスの不透明さです。The Register の報道によれば、OpenAI は当初この報告を「再現不能」とし、再提出は当初「該当なし」とされ、のちに「既報の重複」と分類されました。しかしアフメティ氏は「報告内容と重複とされた件には大きな違いがあった」と述べ、追加照会への返答も得られていないと語っています。記事公開時点で修正適用の確認は取れておらず、研究者は「依然として脆弱とみなして用心すべき」と注意を促しています。記事作成時点で、公に確認できるCVE番号も見当たりません。新しい脆弱性の種類が、既存の分類の隙間に落ちて宙づりになっている──この事実こそ、本件の核心かもしれません。
規制と長期の視点で見ると、今回の件は「AIエージェントの出力をどこまで信頼してよいか」という、これから避けて通れない論点を先取りしています。OWASP が2025年版でプロンプトインジェクションを最上位リスク(LLM01:2025)に据えたとおり、AIが外部データを取り込んで行動する時代には、「取り込んだ情報」と「AIの判断」を分離して表示する設計責任が問われます。便利さと引き換えに信頼の境界線が溶けていく流れに対して、UI上の出所表示を標準化する動きが、今後の業界ルールづくりの焦点になっていくでしょう。
【用語解説】
プロンプトインジェクション
AIモデルに対し、データや文章の中に紛れ込ませた指示文を「正規の命令」と誤認させ、意図しない動作をさせる攻撃手法である。OWASP がLLM最大のリスクと位置づけている。
ChatGPhish(チャットジーフィッシュ)
今回 Permiso が命名した攻撃の通称である。「ChatGPT」と「Phishing(フィッシング)」を組み合わせた造語で、要約したページが攻撃の弾丸(ペイロード)になることを指す。
XPIA(クロス・プロンプト・インジェクション攻撃)
攻撃者が用意した外部コンテンツ(メールやWebページ)を経由して、AIの出力を間接的に操作する手法である。直接AIに命令するのではなく、AIが読み込む素材に仕掛ける点が特徴だ。
ペイロード
本来はデータ通信における「中身」を指す語だが、セキュリティ文脈では攻撃を成立させるために仕込まれた実行コードや指示文を意味する。
Markdown(マークダウン)
文章にリンクや画像、見出しなどの書式を簡易な記法で付与するための記述方式である。ChatGPTの応答もこの記法で整形・表示される。
レンダラー(描画処理)
受け取ったデータを画面に見える形に変換して表示する処理を指す。今回は chatgpt.com の描画処理が、外部由来のリンクや画像を無検証で表示してしまう点が問題となった。
追跡ビーコン
Webページや応答内に埋め込まれ、画面に表示されるたびに外部のサーバーへ自動で通信する小さな仕掛けである。閲覧者のIPアドレスや使用環境を相手側に送信し、行動を追跡する目的で使われる。
LLM(大規模言語モデル)
膨大なテキストを学習し、文章生成や要約を行うAIの基盤技術である。ChatGPTやCopilotがこれにあたる。
OWASP LLM01:2025
セキュリティ標準化団体OWASPが公開した、LLMアプリケーションの脅威リストの最上位項目である。プロンプトインジェクションを最重要リスクと定義している。
CVE
共通脆弱性識別子の略で、公開された脆弱性に付与される世界共通の管理番号である。今回の件には、記事作成時点で公に確認できる番号が見当たらない。
【参考リンク】
Permiso(P0 Labs)(外部)
クラウドとAIのアイデンティティを守るセキュリティ企業。研究部門P0 Labsが今回のChatGPhishを公開した一次情報源である。
OpenAI(外部)
ChatGPTを開発・運営する企業。今回の脆弱性報告を受けた当事者であり、開示対応の透明性が論点となっている。
ChatGPT(外部)
OpenAIが提供する対話型AIサービス。今回問題となったページ要約機能と、その応答描画が攻撃の舞台となった。
Microsoft Copilot(外部)
MicrosoftのAIアシスタント。今回の手法の土台となった、メール要約に対するXPIA研究の対象であった製品である。
GitHub(外部)
開発者向けのコード共有プラットフォーム。READMEなど公開ページが今回の攻撃の実証に使われた。
Bugcrowd(外部)
脆弱性報告(バグバウンティ)を仲介するプラットフォーム。PermisoがOpenAIへ報告する経路として用いた。
OWASP(外部)
Webセキュリティ向上を目指す国際的な非営利団体。LLMの脅威分類(LLM01:2025)を策定している組織である。
Amazon S3(外部)
Amazon Web Servicesのクラウドストレージ。攻撃者がQRコード画像を設置する保管先として悪用された。
Mozilla Firefox(外部)
今回のデモで使用されたWebブラウザ。ただし研究者は、これがブラウザ固有の不具合ではないと明言している。
【関連記事】
ChatGPhish: The Page Is the Payload(外部)
研究を主導したPermisoのアンディ・アフメティ氏による公開ブログ。一次情報。攻撃の4つの手口と実証手順、開示の経緯を時系列で詳述している。
ChatGPT prompt injection turns web pages into phishing lures(外部)
The Registerによるアフメティ氏取材記事。OpenAIが「重複」とした件との相違や、修正未確認という現状を伝えている。
ChatGPhish Vulnerability Turns ChatGPT Web Summaries Into a Phishing Surface(外部)
The Hacker Newsの記事。chatgpt.comがMarkdownを暗黙に信頼する核心と、Copilot先行研究との連続性を整理している。
【編集部後記】
AIに要約を頼むという行為は、もはや検索と同じくらい自然な習慣になりました。だからこそ、その応答画面が「安全地帯」だと無意識に思い込んでいたことに、今回の研究は静かに気づかせてくれます。攻撃の巧妙さよりも、私たち自身の「信頼の置き方」を見直すきっかけとして、本件を受け止めたいと感じています。
innovaTopia編集部は、こうした技術の影の部分も、未来への一歩として正直に伝え続けます。便利さと警戒心は、決して矛盾するものではありません。みなさんと一緒に、その両立の作法を探っていけたらと願っています。
