OpenAIは2026年6月上旬、プロンプトインジェクション攻撃によるデータ持ち出しのリスクを低減する新機能「ChatGPT Lockdown Mode」を、Free・Go・Plus・Proなどの個人アカウントとセルフサービス型のChatGPT Businessアカウントへ拡大しました。
本機能は2026年2月にエンタープライズ向けプランで先行導入されていたもので、今回ついに一般ユーザーへ開放された形です(2月の発表については前編記事で詳報しています)。有効時にはライブWebブラウジングをキャッシュ済みコンテンツのみに限定し、画像取得を制限し、ディープリサーチとエージェントモードを無効化します。
Canvasのネットワーク通信の承認とファイルのダウンロードも制限されます。メモリ、ファイルのアップロード、会話の共有、モデルのトレーニング設定は影響を受けません。Lockdown ModeとDeveloper Modeは相互に排他的であり、Codexのネットワークアクセスには影響しません。OpenAIは本機能が完全な保護を保証するものではないとしています。
個人とBusinessのユーザーは設定からLockdown Modeを有効にできます。
From: 
New ChatGPT Lockdown Mode to Mitigate Prompt Injection and Data Exfiltration Attacks
【編集部解説】
本機能については、2026年2月のエンタープライズ向け先行導入の際にも「OpenAI、ChatGPTに『Lockdown Mode』導入」として詳しくお伝えしました。今回のニュースの核心は、その時点で「今後数か月以内に予定」と予告されていたコンシューマー向けへの拡大が、実際に実現した点にあります。つまり本稿は、2月の記事の続報・第2弾という位置づけになります。時系列を整理すると、2026年2月にChatGPT Enterprise、Edu、Healthcare、Teachersといった組織向けプランで先行導入され、そして2026年6月上旬にFree、Go、Plus、Proなどの個人アカウントとBusinessアカウントへ開放された、という流れです。
まず押さえておきたいのは、この機能が「すべての人のためのもの」ではないという、OpenAI自身の位置づけです。OpenAIは Lockdown Mode を、機微なデータを扱う経営層やセキュリティ部門など、攻撃の標的になりやすい一部の高リスク利用者向けの上級設定だと明言しています。一般ユーザーには必須ではない、という前提は、対象が個人へ広がった今回も変わっていません。間口が広がったからといって、すべての人が有効にすべき機能というわけではない、という点が重要です。
では、なぜこの機能が必要なのでしょうか。背景にあるのがプロンプトインジェクションという攻撃です。これは、Webページやファイルといった「AIが読み込むコンテンツ」の中に悪意ある命令を仕込み、AIをだまして機微な情報を外部へ送信させる手口です。人間を狙うソーシャルエンジニアリングの、AI版だと考えると分かりやすいでしょう。
ここで Lockdown Mode の設計思想が効いてきます。攻撃の流れを「侵入」と「持ち出し」の2段階に分けたとき、本機能が遮断するのは後者、すなわち情報を外部の攻撃者へ送り出す「出口」だけです。ライブWebブラウジングをキャッシュに限定し、ディープリサーチやエージェントモードを無効化するのは、いずれも外部へデータが流れる経路を断つためです。逆に言えば、悪意ある命令がAIの思考に入り込むこと自体は、この機能では防げません。
この「出口だけを塞ぐ」という割り切りこそ、本件で読者に伝えたい核心です。技術メディアのThe Decoderは、これを問題の根治ではなく応急処置(band-aid)だと評しています。プロンプトインジェクションはGPT-3の頃から知られる脆弱性であり、長年の研究を経てもなお決定的な解決策が見つかっていないという指摘です。Lockdown Mode の存在そのものが、ChatGPTが標準設定では十分な持ち出し対策を備えていないことを示唆している、という見方もあります。だからこそ、その機能が一般ユーザーにまで開放された意味は小さくありません。
この構図は、AIエージェント時代の本質的なジレンマを映し出しています。AIがWebを閲覧し、メールを読み、コードを実行できるようになるほど、できることは増えますが、同時に攻撃可能な接点も劇的に広がります。Lockdown Mode が browsing やエージェント機能をまとめて止めるのは、利便性と安全性が裏表の関係にあることの証左にほかなりません。最前線のAI研究所ですら、この接続性のリスクを封じ込めるのに苦慮しているわけです。
実務面では、注意すべき設計上の制約もあります。Lockdown Mode と Developer Mode は同時には使えず、片方を有効にするともう片方が自動で切れます。また、コーディング支援のCodexのネットワークアクセスには本機能は及びません。企業の管理者にとっては「有効化すれば自動で安全」ではなく、RBAC(ロールベースアクセス制御)の設定や信頼できるアプリの個別評価という、地道な運用作業が前提になる点も見落とせません。なお個人アカウントでは、すでに同期済みのデータへのコネクター接続は許容される一方、ライブアクセスや書き込み、金融・買い物関連の機能は遮断される、といった挙動の違いもあります。
規制やガバナンスの観点では、OpenAIがアプリやコネクターの利用リスクを段階的に整理し、監査ログを提供する Compliance API を併せて整備していることに注目しています。これは、AIの安全性を製品単体の機能だけでなく、組織の運用ルールと監査の枠組みで担保しようとする発想です。今後、金融や医療など機微なデータを扱う領域で、こうした多層防御が事実上の標準として求められていく可能性があります。
長期的に見れば、Lockdown Mode は「AIにどこまで自由を与えるか」を利用者自身が選べるようにする、リスクの自己決定の試みだと位置づけられます。OpenAIはプロンプトインジェクションを現時点では大きなリスクではないとしつつ、攻撃手法の高度化に伴って影響が拡大し得るとも認めています。利便性を取るか、堅牢さを取るか。その判断が組織だけでなく一人ひとりの個人にまで委ねられるようになったこと自体が、AIが日常のインフラへと深く入り込んでいく時代の、一つの節目だと言えるのではないでしょうか。
【用語解説】
プロンプトインジェクション
AIモデルが読み込むWebページやファイルなどのコンテンツに悪意ある指示を埋め込み、AIをだまして本来の意図に反する動作をさせる攻撃手法。人間を標的とするソーシャルエンジニアリングのAI版にあたる。
データ持ち出し(exfiltration)
攻撃者が機微なデータを、利用者の手元から外部の管理下にある送信先へ不正に転送すること。プロンプトインジェクション攻撃の最終段階に位置づけられる。
エージェントモード
ChatGPTが利用者に代わって自律的に一連の操作を実行する機能。Web閲覧やアプリ操作などを含むため、攻撃の接点が広がりやすい。
ディープリサーチ
複数の情報源を横断的に調べ、まとまった調査結果を生成するChatGPTの機能。外部への通信を多用するため、Lockdown Mode では完全に無効化される。
Canvas
ChatGPT上で文章やコードを編集・実行できる作業領域。生成したコードがネットワーク通信を行う場合があり、Lockdown Mode 下ではその承認が制限される。
コネクター
ChatGPTを外部のアプリやサービスと接続し、データの読み書きを可能にする仕組み。接続先の信頼性によってデータ持ち出しのリスクが変わる。
RBAC(ロールベースアクセス制御)
利用者の役割(ロール)ごとに操作権限を割り当てる管理手法。エンタープライズの管理者がLockdown Modeを特定の利用者やグループに適用する際の基盤となる。
Compliance API Logs Platform
アプリの利用状況、共有されたデータ、接続されたソースを継続的に記録・監査できるOpenAIの仕組み。Lockdown Modeの状態とは独立して機能する。
Developer Mode
開発者向けの設定。Lockdown Modeとは相互に排他的で、一方を有効にすると他方が自動的に無効になる。
Codex
OpenAIのコーディング支援ツール(coding assistant)。Lockdown Modeを有効にしても、そのネットワークアクセスには影響が及ばない。
Elevated Risk(高リスク)ラベル
追加のリスクを生じ得る一部の機能に表示される統一的な注意表示。ChatGPT、ChatGPT Atlas、Codexで共通して用いられる。
【参考リンク】
Introducing Lockdown Mode and Elevated Risk labels in ChatGPT(外部)
Lockdown ModeとElevated Riskラベルの導入を発表したOpenAIの公式記事。6月4日更新で個人向け拡大も追記されている。
Lockdown Mode(OpenAI ヘルプセンター)(外部)
本機能の仕様や有効化手順、制限される機能を説明したOpenAI公式のヘルプページ。実務的な解説が中心となっている。
OpenAI 公式サイト(外部)
ChatGPTやGPTシリーズを開発するOpenAIの公式サイト。製品情報や研究、安全性に関する取り組みが掲載されている。
ChatGPT(外部)
OpenAIが提供する対話型AIサービスの公式ページ。Free、Go、Plus、Pro、Businessなどのプランが案内されている。
【参考記事】
Introducing Lockdown Mode and Elevated Risk labels in ChatGPT(OpenAI)(外部)
2026年2月13日付の公式発表。当初はエンタープライズ向けに導入されたこと、6月4日更新で個人・Businessへの拡大が追記されたことを記す。
ChatGPT’s new Lockdown Mode lets you disable web access and more to protect sensitive data from prompt injection(The Decoder)(外部)
2026年6月7日付。本機能を根治ではなく応急処置と評し、プロンプトインジェクションがGPT-3以来未解決の脆弱性だと指摘する。
OpenAI is now rolling out Lockdown Mode to more ChatGPT users(Neowin)(外部)
2026年6月付。個人・Businessアカウントへの拡大に加え、サインイン状況を確認できるActive sessions機能の提供も併せて報じる。
OpenAI rolls out a Lockdown Mode for extra protection against prompt injection attacks(Engadget)(外部)
2026年6月付。本機能を最後の防衛線と紹介し、画像生成や写真アップロードは可能だがWeb画像の取得・表示は制限される挙動を整理する。
OpenAI Help: Lockdown Mode(Simon Willison’s Weblog)(外部)
2026年6月5日付。本機能の存在自体が標準設定の保護の限界を示唆すると論じ、高リスク利用者には価値あるツールだと評価する。
【関連記事】
OpenAI、ChatGPTに「Lockdown Mode」導入—プロンプトインジェクションによるデータ窃取を遮断(innovaTopia)
本稿の前編。2026年2月のエンタープライズ向け先行導入を報じた記事。今回の一般開放に至る経緯はこちらで確認できる。
ChatGPTの新脆弱性「ChatGPhish」、Web要約がフィッシングの舞台に—Permisoが警告(innovaTopia)
Lockdown Modeが防ごうとする脅威の実例。Web要約を悪用した攻撃手法を解説した記事。
OpenAIが公開、AIエージェントのURL漏洩対策の全貌(innovaTopia)
URLベースのデータ窃取への対策を解説。Lockdown Modeを含む多層防御の一部を理解するのに役立つ記事。
【編集部後記】
AIに「何でも頼める」ことと「何でも任せて安全」であることは、必ずしも同じではありません。これまで組織向けだった守りの選択肢が、今回いよいよ個人の手にも渡りました。みなさんは、AIにどこまでの自由を与えたいでしょうか。
仕事で機微な情報を扱う場面を思い浮かべながら、便利さと安心のちょうどいい塩梅を、一緒に考えてみませんか。私たちもまだ答えを探している最中です。気づいたことがあれば、ぜひ聞かせてください。
