OpenAIは2026年2月13日、ChatGPT向けの新たなセキュリティ機能「Lockdown Mode」を発表した。Lockdown Modeは、プロンプトインジェクションに基づくデータ窃取攻撃に対し、決定論的な保護を提供するオプション設定である。有効化すると、ライブWebブラウジングがキャッシュコンテンツへのアクセスのみに制限されるほか、応答への画像表示、Deep Research、Agent Mode、Canvasのネットワーク接続、ファイルダウンロードが無効化される。
一方、メモリ、ファイルアップロード、会話の共有機能、Codexのネットワークアクセスには影響しない。アプリ(MCPやコネクタを含む)は無効化されないが、管理者が有効にするアプリとアクションを必要最小限に設定することが推奨される。現在の対象はChatGPT Enterprise、Edu、ChatGPT for Healthcare、ChatGPT for Teachersで、今後数か月以内にコンシューマープランおよびTeamプランへの拡大が予定されている。
From: Lockdown Mode | OpenAI Help Center
【編集部解説】
今回のLockdown Mode導入の背景には、AIエージェントの急速な進化がもたらした「攻撃面の拡大」という深刻な現実があります。
ChatGPTはもはや単なるチャットボットではありません。Gmail、Outlook、Google Driveなどの外部サービスとコネクタで接続し、Webを閲覧し、コードを実行し、ファイルを分析する―いわば、ユーザーの代理として行動する「エージェント」へと進化しました。しかし、この利便性の向上は、攻撃者にとっても新たな侵入経路の増加を意味します。
プロンプトインジェクションとは、AIモデルに対して悪意のある命令を紛れ込ませ、意図しない動作をさせる攻撃手法です。OWASPが公開する「Top 10 for LLM Applications 2025」では、この脅威が最も深刻なリスク(LLM01)として第1位に位置づけられています。
実際の被害につながりうる攻撃手法も確認されています。2025年9月にRadwareのセキュリティ研究者がOpenAIに報告した「ZombieAgent」と呼ばれる手法では、ChatGPTのコネクタ機能を悪用し、メールに埋め込まれた不可視の命令によって、ユーザーが気づかないうちに機密情報を外部に送信させることが可能でした。この脆弱性は同年12月に修正されましたが、根本的な構造上の課題が残ることを示す事例となっています。
こうした脅威に対し、Lockdown Modeは興味深いアプローチを採用しています。プロンプトインジェクションそのものを検知・阻止するのではなく、「たとえ注入されたとしても、データが外部に出ていく経路を断つ」という考え方です。OpenAIはこれを「決定論的(deterministic)」な保護と呼んでいます。確率的なAIの振る舞いに頼らず、ネットワークリクエスト自体を物理的に遮断することで、攻撃の最終段階であるデータ窃取を阻止する仕組みです。
なお、「Lockdown Mode」という名称はAppleがiOS 16(2022年)で導入した同名機能を想起させます。Appleの場合は国家レベルの高度なサイバー攻撃を受けるリスクのあるユーザー向けに、端末の機能を大幅に制限するものでした。OpenAI版も「すべてのユーザー向けではない」という位置づけは共通しており、高いセキュリティを求めるユーザーが利便性とのトレードオフを選択できる設計思想は同様のものといえます。
ただし、注意すべき制約もあります。Lockdown Modeはメモリ機能やファイルアップロード、会話の共有には影響しません。また、Codexのネットワークアクセスも対象外です。さらにアプリ(MCPやコネクタ)も完全には無効化されず、管理者の設定に依存します。つまり、すべての攻撃経路が遮断されるわけではなく、OpenAI自身もこの機能が完全な防御を保証するものではないと明記しています。
現時点ではEnterprise、Edu、Healthcare、Teachersといった組織向けプランに限定されていますが、今後数か月以内にコンシューマーおよびTeamプランへの拡大が予定されています。AIが業務の中核に組み込まれるにつれ、「どこまでの機能を許可し、どこで遮断するか」を組織ごとに判断するリスクベースのアプローチが求められる時代に入りつつあるといえるでしょう。
【用語解説】
プロンプトインジェクション
AIモデルに対し、悪意ある命令を正規の入力に紛れ込ませて意図しない動作をさせる攻撃手法。直接的にプロンプトを操作する「直接型」と、外部データ(Webページ、メール、ファイルなど)に命令を埋め込む「間接型」がある。
データ窃取(Data Exfiltration)
システム内部の機密データを、権限のない外部の第三者に不正に転送・流出させる行為。プロンプトインジェクションと組み合わせることで、AIが自動的にデータを攻撃者のサーバーへ送信する攻撃チェーンが成立する。
決定論的(Deterministic)
同じ条件下で常に同じ結果が得られる性質。Lockdown Modeでは、AIの確率的な判断に依存せず、ネットワークリクエストそのものを遮断するという確実な手段で保護を実現している。
MCP(Model Context Protocol)
AIモデルが外部のツールやデータソースと接続するための通信プロトコル。AIエージェントの機能拡張を可能にする一方、攻撃者が悪用しうる接続経路にもなる。
コネクタ(Connectors)
ChatGPTをGmail、Outlook、Google Driveなどの外部サービスと連携させる統合機能。利便性が高い反面、間接的プロンプトインジェクションの経路となりうる。
サンドボックス化(Sandboxing)
プログラムやプロセスを隔離された環境で実行し、システム全体への影響を防ぐセキュリティ手法。
OWASP Top 10 for LLM Applications
Webアプリケーションセキュリティの国際的な非営利団体OWASPが策定した、大規模言語モデル(LLM)に特有のセキュリティリスク上位10項目のリスト。2025年版ではプロンプトインジェクションが第1位に位置づけられている。
Compliance API Logs Platform
OpenAIが提供する企業向けの監査・コンプライアンスツール。アプリの使用状況、共有データ、接続ソースに関する詳細なログを管理者に可視化する。
【参考リンク】
OpenAI公式サイト(外部)
ChatGPTおよびGPTシリーズを開発・提供するAI企業。API、エンタープライズ向けソリューションを展開。
OpenAI Security and Privacy(外部)
OpenAIのセキュリティおよびプライバシー方針の公式ページ。SOC 2 Type 2準拠や脆弱性報奨金制度の情報を掲載。
OWASP Top 10 for LLM Applications — Prompt Injection(外部)
OWASPによるLLM向けセキュリティリスクガイドライン。プロンプトインジェクションの定義と緩和戦略を詳述。
Apple Lockdown Mode(Apple公式サポート)(外部)
AppleがiOS 16で導入した同名セキュリティ機能の公式解説。国家レベルの攻撃対策として端末機能を制限する。
【参考記事】
Introducing Lockdown Mode and Elevated Risk labels in ChatGPT(外部)
OpenAI公式ブログ。Lockdown ModeとElevated Riskラベルの導入背景、技術的設計、対象プランを説明。
OpenAI patches déjà vu prompt injection vuln in ChatGPT — The Register(外部)
ZombieAgent脆弱性の詳細。2025年9月報告・12月修正。1文字ずつURLでデータを窃取する手法を報道。
ZombieAgent ChatGPT attack shows persistent data leak risks — CSO Online(外部)
ZombieAgent攻撃の技術解説。Gmail経由の攻撃デモ、ワーム的拡散、医療履歴改ざんのリスクを報道。
New Zero-Click Attack Lets ChatGPT User Steal Data — Infosecurity Magazine(外部)
ZombieAgentと先行手法ShadowLeakの関連を報道。ゼロクリック・1クリック両方の攻撃実証を伝える。
Continuously hardening ChatGPT Atlas against prompt injection attacks — OpenAI(外部)
OpenAI公式。Atlasブラウザエージェントの防御強化、敵対的訓練モデルやラピッドレスポンスサイクルを解説。
OpenAI introduces Lockdown Mode and new risk labels in ChatGPT — BetaNews(外部)
Lockdown Modeの機能概要と、Elevated Riskラベルの導入をChatGPT・Atlas・Codex横断で報道。
【編集部後記】
AIが私たちの業務ツールや個人データと深くつながる時代に入り、「便利さ」と「安全性」の間でどう折り合いをつけるかは、誰にとっても身近な問いになりつつあります。
みなさんはChatGPTにどこまでのアクセスを許可していますか? もしよければ、ご自身の利用環境や外部サービスとの連携状況を改めて見直してみるきっかけになれば幸いです。
