ChatGPTのMCP機能が招いた危険なデータ漏洩実験
- 晋次 宮田
- 9月15日
- 読了時間: 3分
概要
2025年9月12日、AI研究者のEito Miyamura氏がX(旧Twitter)に投稿した検証動画が話題です。
MIyamura氏はOpenAIが9月10日にChatGPTに追加した MCP(Model Context Protocol)ツールの機能を利用し、「たった1件のカレンダー招待状だけで、被害者のGmailアカウントからプライベートなメール内容を漏洩させることができる」ことを示しました。
この投稿では、攻撃者が一切のパスワードや二段階認証を要求せず、被害者のメールアドレスだけでゼロクリック攻撃を実現できることが示されています。
MCPツールとは?
MCPはAnthropicが提唱したプロトコルで、LLM(大規模言語モデル)から外部サービスに安全にアクセスするための共通インターフェースです。
2025年9月にOpenAIはChatGPTの開発者モードでMCPツールを正式サポートし、サードパーティーが作成したコネクターを用いてGmail、Google カレンダー、Notion、SharePointなど多数のサービスにアクセスできるようにしました。
これにより、ユーザーはチャットの中でメール検索や予定表確認などの操作を自動化できる様になった一方で、外部ツールを経由した「間接的なプロンプトインジェクション」のリスクが指摘されています。
気になった人はChatGPTとGoogleアカウントを接続して、「今日の予定は?」と聞いてみて下さい。ChatGPTが予定をGoogleカレンダーから引き出して教えてくれます。
実証実験
Miyamura氏はXの投稿で、攻撃者がどのようにしてChatGPTのMCP機能を悪用するのかを3段階で説明しています。
段階 | 攻撃者の行動/ChatGPTの動作 |
1 | 攻撃者は被害者のメールアドレス宛てにカレンダー招待状を送信。この招待に、ChatGPTを脱獄(jailbreak)させる隠しプロンプトを仕込む。被害者が招待を承諾する必要はなく、予定表に追加されるだけで攻撃準備が整う。 |
2 | 被害者がChatGPTに「今日の予定を確認して」と依頼すると、ChatGPTはMCPを通じてGoogle カレンダーにアクセスし、招待状に埋め込まれた脱獄プロンプトを読み取ってしまう。この時点でChatGPTは攻撃者の命令に従う状態になる。 |
3 | 攻撃者のプロンプトは、ChatGPTに被害者のGmailから特定の内容を検索させ、その結果を攻撃者のメールアドレスに送信するよう指示している。結果的に、ユーザーは自分の意図と無関係にメール本文などの機密情報が外部に送信される。 |
Miyamura氏は
「AIエージェントは常識ではなくユーザーのコマンドに従う。たったメールアドレスだけで個人情報を抜き取ることができた」と警告しています。
投稿の最後では「現状では開発者モードのみで人間の承認が求められるが、承認疲れで盲目的にクリックする可能性がある」と指摘し、慎重な運用を訴えいます。
今後
AIエージェントの普及に伴って、おそらくこの手の脆弱性は今後どんどんと広がっていくと思います。今回のようなIndirect Prompt Injectionの危険性は前々から指摘されていますが、なかなか浸透しないなぁという印象です。どこかで大事故が起こると一気に広まるのではないかなとは思いますが、そんなことはない方が良いですけどね。
