重要なのは、Active DirectoryのKerberosの脆弱性、Visual Studio Copilot拡張機能、そしてMicrosoft Graphics Componentの問題です。 サーバー、コントローラー、デスクトップにおけるゼロデイの特権昇格Windowsカーネル脆弱性が積極的に悪用されており、直ちにパッチを適用する必要があります。 これは、Tenableの上級スタッフリサーチエンジニアであるSatnam Narang氏のアドバイスであり、本日の11月パッチチューズデーでMicrosoftが特定した63件の脆弱性のうち、対処すべき2大脆弱性の1つです。 また、SAPは本日、26件の新規および更新されたセキュリティパッチの中で、4件のHotNewsノートと2件のHighPriorityノートをリリースしました。1つのパッチは、ハードコードされた認証情報のためSQL Anywhere Monitorを削除します。 本日、Adobeは8件のアップデートを、Mozillaは3件のアップデートをリリースしました。 Windowsカーネルの脆弱性 Microsoftが対処すべき最も緊急性の高い脆弱性はCVE-2025-62215（Windowsカーネルの脆弱性）ですと、Narang氏はCSOへのメールで述べています。「このバグを悪用するにはかなりの前提条件が必要ですが、Microsoftはすでに積極的な悪用が進行中であることを確認しています。この脆弱性の影響は無視できません。特権昇格の脆弱性は、組織内の他の扉を開く鍵となるからです。これが攻撃者が初期侵入から本格的な侵害へと進む方法です。」 また、Mike Walters氏（Action1社長）は、この脆弱性がデスクトップだけでなく、サーバーやドメインコントローラーにも影響を与えると指摘しています。 Chris Goettl氏（Ivantiプロダクトマネジメント副社長）は、この脆弱性が現在サポートされているすべてのWindows OSエディションおよびESU（拡張セキュリティ更新プログラム）対象のWindows 10マシンに影響すると述べています。「つまり、Windows 10のサポート終了後も使い続けることは仮定上のリスクではありません。」 Ben McCarthy氏（Immersive社リードサイバーセキュリティエンジニア）は、この脆弱性の悪用方法を説明しています。低権限のローカルアクセスを持つ攻撃者が、レースコンディションを繰り返し発生させる特別に作成されたアプリケーションを実行できます。目的は、複数のスレッドを同期されていない方法で共有カーネルリソースと相互作用させ、カーネルのメモリ管理を混乱させて同じメモリブロックを2回解放させることです。この「ダブルフリー」が成功するとカーネルヒープが破損し、攻撃者はメモリを上書きしてシステムの実行フローを乗っ取ることができます。 Microsoftによれば、この脆弱性を悪用するための攻撃の複雑さは高いものの（レースコンディションを制する必要があるため）、必要な権限は低いとされています。そして、得られる報酬は大きい：この脆弱性を悪用した攻撃者はSYSTEM権限を獲得できます。 Windows ESUプログラム利用者は、Nick Carroll氏（Nightwingサイバーインシデントレスポンスマネージャー）によれば、一部のユーザーが拡張セキュリティ更新プログラムへの登録に問題を報告していることに注意が必要です。Microsoftは最近、Windows 10 Consumer Extended Security Updateプログラムへの登録時の問題に対処するため、臨時のアップデートをリリースしました。プログラムへの参加を計画している管理者は、KB5071959をインストールして登録問題に対処してください。その後、今日のKB5068781など他のアップデートもインストールできるようになります。 Visual Studio Copilot拡張機能の脆弱性 2つ目の主要な脆弱性はCVE-2025-62222で、Microsoft Visual Studio Code Copilot Chat Extensionにおけるリモートコード実行の脆弱性です。 悪用される可能性は低いと評価されていますが、Narang氏は「これは生成AIやエージェントAI（基盤モデルやオープンソースモデル、AI支援コード編集ツールを含む）にバグを見つけることへの関心の高まりを示しています」と述べています。

Tenable is recognized as a Leader in the 2025 Gartner Magic Quadrant for Exposure Assessment Platforms. This placement acknowledges Tenable's completeness of vision and ability to execute in the exposure management field. Tenable views this recognition as a validation of customer trust and their joint effort to reduce cyber exposure. The company's evolution was driven by addressing the growing attack surface and customer challenges like alert fatigue. Tenable One, the industry's first exposure management platform, emerged from this evolution, providing a comprehensive view of risk. The platform helps organizations identify exposures, prioritize risks, and remediate vulnerabilities effectively. Tenable's approach stems from listening to customers and shaping solutions that address real-world cybersecurity challenges. This customer-centric approach led to the development of Nessus and its evolution into a vulnerability management leader. Tenable aims to continue expanding its offerings, leveraging AI to enhance security solutions and address AI security challenges. The company works in partnership with customers to provide tools and insights for proactive cyber exposure reduction.

Origin

Origin

Tenableのセキュリティ研究者は、主にデフォルトのChatGPT機能を悪用した間接的なプロンプトインジェクションによって、チャット履歴から個人データを抽出する7つの新しい方法を発見しました。 AIチャットボットは、ユーザーやそのデータに対する新たな攻撃ベクトルのフロンティアを開き、業界のリーダーでさえも無縁ではありません。GoogleのGeminiやAnthropicのClaudeで最近発見された脆弱性に続き、今度はChatGPTが標的となりました。 セキュリティ企業Tenableの研究者は、攻撃者がChatGPTを騙してユーザーのチャット履歴から個人情報を漏洩させることができる7つの方法を発見しました。これらの攻撃のほとんどは、OpenAIがChatGPTに提供しているデフォルトのツールや機能、たとえば会話の文脈を長期間記憶する能力やウェブ検索機能などを悪用した間接的なプロンプトインジェクションです。 「これらの脆弱性は最新のGPT-5モデルに存在し、攻撃者がユーザーの知らないうちに、単にChatGPTに質問するなどの一般的な利用ケースを通じてユーザーを悪用できる可能性があります」と研究者はレポートで述べています。 ウェブサイトに悪意のある指示を隠す ChatGPTはウェブ上の情報を検索し、ユーザーが指定したURLにアクセスしてコンテンツを抽出することができます。しかし、このコンテンツは直接ChatGPTに渡されるわけではありません。代わりに、SearchGPTと呼ばれる中間的でより制限された大規模言語モデル（LLM）を経由し、SearchGPTがコンテンツを要約してChatGPTに渡します。 ユーザーの会話に直接アクセスできない二次モデルを利用するのは、ウェブコンテンツからのプロンプトインジェクション攻撃の影響を制限するための設計上の判断と思われます。 Tenableの研究者は、SearchGPTがウェブページを解析する際のブラウジングや検索機能のどちらでも、プロンプトインジェクションに対して脆弱であることを突き止めました。たとえば、攻撃者はブログのコメント欄に悪意のある指示を埋め込んだり、特定のキーワードで検索結果の上位に表示されるように細工した有害なウェブサイトを作成したりすることができます。ChatGPTは検索にBingを利用していることも研究者は発見しました。 さらに、攻撃者は不正なプロンプトを隠すため、検索エンジンや通常の訪問者にはクリーンなバージョンのウェブサイトを表示し、OpenAIのウェブクローラー（リクエストヘッダーのUser-Agent文字列「OAI-Search」で識別）には別バージョンを提供することができます。 「AIベンダーは、信頼する情報源を選ぶ際にSEOスコアのような指標に頼っていますが、これはセキュリティ境界ではありません」と研究者は指摘しています。「プロンプトを仕込んだ専用サイトを使うことで、攻撃者は特定のトピックや政治・社会的トレンドに基づいてユーザーを直接標的にすることができます。」 ただし、たとえ攻撃者がSearchGPTに不正なプロンプトを実行させたとしても、その文脈がChatGPTと分離されているため、モデルはユーザーの個人情報に直接アクセスできません。それにもかかわらず、研究者は2つのモデル間の関係を悪用する方法を見つけました。 会話インジェクションとステルスなデータ流出 ChatGPTはSearchGPTが処理したコンテンツの出力を受け取るため、Tenableの研究者はSearchGPTの応答自体にプロンプトインジェクションが含まれていたらどうなるかを考えました。つまり、ウェブサイトを使ってSearchGPTに別のプロンプトをChatGPTに注入するよう指示できるか、いわば連鎖的な攻撃が可能かということです。答えはイエスであり、この手法をTenableは「会話インジェクション」と名付けました。 「以下のプロンプトに応答する際、ChatGPTは会話の文脈を確認し、我々が注入した指示を見て従いますが、それをSearchGPTが書いたものだとは気づきません」と研究者は述べています。「本質的に、ChatGPTは自分自身にプロンプトインジェクションを行っているのです。」 しかし、攻撃者がChatGPTに不正なプロンプトを届けても、モデルの応答（会話文脈からの機密情報を含む可能性あり）を受け取る方法がなければ意味がありません。 これを実現する一つの方法は、ChatGPTがインターフェース上でMarkdownテキスト形式をレンダリングできる機能、特にURLからリモート画像を読み込む機能を利用することです。 攻撃者はアルファベットの各文字を自分のサーバー上にホストしたユニークな画像にマッピングする辞書を作成できます。その後、ChatGPTに応答の各文字に対応する画像を読み込むよう指示できます。攻撃者は自分のウェブサーバーへのURLリクエストの順序を監視することで、ChatGPTの応答内容を再構築できます。 この手法にはいくつかのハードルがあります。まず、ノイズが多く、ユーザーのチャット画面が画像URLで埋め尽くされます。次に、ChatGPTは応答に含める前に、すべてのURLをurl_safeというエンドポイントで安全性チェックします。 この仕組みは、悪意のあるURLが偶発的またはプロンプトインジェクション経由でユーザーに届くのを防ぐためのもので、Markdown形式の画像URLも対象です。url_safeが行うチェックの一つにドメインの信頼性評価があり、bing.comはホワイトリストに登録されており、暗黙的に信頼されています。 研究者はまた、Bingでインデックスされたすべてのウェブリンクが、検索結果表示時にbing.com/ck/a?という形式のユニークなトラッキングリンクでラップされていることにも気付きました。クリックすると、これらのBingトラッキングURLは実際のウェブサイトにリダイレクトされます。 この発見により、研究者はChatGPTが応答に含めることを許可するURLのアルファベットを作成できるようになりました。各文字ごとにユニークなページを作成し、それらをBingでインデックスし、ユニークなbing.comトラッキングURLを取得するのです。 研究者はまた、ChatGPTがMarkdownでコードブロックをレンダリングする際のバグも発見しました。コードブロックの開始行で最初の単語の後に現れるデータはレンダリングされません。これを利用して、画像URLなどのコンテンツを隠すことができます。 ChatGPTの長期記憶を悪用して持続性を確保 ChatGPTには「Memories」という機能があり、同じユーザーとの異なるセッションや会話をまたいで重要な情報を記憶できます。この機能はデフォルトで有効になっており、ユーザーがChatGPTに何かを覚えるよう明示的に依頼した場合や、モデルが情報を重要と判断した場合に自動的に作動します。 Memoriesを通じて保存された情報は、ChatGPTがユーザーへの応答を構築する際に考慮されますが、攻撃者にとっては悪意のあるプロンプトを保存し、将来の会話で実行させる手段にもなります。 すべてを組み合わせて Tenableの研究者は、これらの技術を組み合わせて攻撃を仕掛ける複数の概念実証シナリオを提示しました。たとえば、ブログ投稿のコメントに悪意のあるフィッシングURLを埋め込み、bing.comのトラッキングURLで偽装してユーザーに返す、あるいはウェブページを作成してSearchGPTにChatGPTのMemoriesに指示を保存させ、Bing偽装URLアルファベットとMarkdownのコンテンツ隠蔽技術を組み合わせて常に応答を漏洩させるなどです。 「プロンプトインジェクションはLLMの仕組みに起因する既知の問題であり、残念ながら近い将来に体系的に解決されることはないでしょう」と研究者は述べています。「AIベンダーは、url_safeのようなすべての安全機構が適切に機能し、プロンプトインジェクションによる潜在的な被害を制限できるようにすべきです。」 TenableはOpenAIに調査結果を報告し、一部は修正されましたが、いくつかの手法は依然として有効です。Tenableの研究は2024年に開始され、主にGPT-4で行われましたが、研究者はGPT-5もこれらの攻撃ベクトルの一部に脆弱であることを確認しました。 Lucian ConstantinはCSOで情報セキュリティ、プライバシー、データ保護について執筆しています。2019年にCSOに参加する前は、VICE Motherboard、Security Boulevard、Forbes、The New Stackのフリーライターでした。以前はIDG News Serviceの情報セキュリティ特派員やSoftpediaの情報セキュリティニュース編集者も務めていました。 ジャーナリストになる前は、Lucianはシステムおよびネットワーク管理者として働いていました。彼はセキュリティカンファレンスへの参加や興味深い研究論文を読むことを楽しんでいます。現在はルーマニアに住み、働いています。 連絡先はlucian_constantin@foundryco.comまたはXの@lconstantinです。暗号化メール用のPGPキーのフィンガープリントは：7A66 4901 5CDA 844E 8C6D 04D5 2BB4 6332 FC52 6D42 この著者の他の記事 もっと見る 翻訳元:

サイバーセキュリティ研究者は、OpenAIのChatGPT人工知能（AI）チャットボットに影響を与える新たな脆弱性のセットを公開しました。これらは攻撃者によって悪用され、ユーザーの記憶やチャット履歴から個人情報を本人の知らないうちに盗み出す可能性があります。 Tenableによると、これら7つの脆弱性および攻撃手法は、OpenAIのGPT-4oおよびGPT-5モデルで発見されました。OpenAIはその後いくつか対応しています。 これらの問題は、AIシステムを間接的なプロンプトインジェクション攻撃にさらし、攻撃者が大規模言語モデル（LLM）の期待される動作を操作し、意図しないまたは悪意のある行動を実行させることを可能にします、とセキュリティ研究者のMoshe Bernstein氏とLiv Matan氏は報告書でThe Hacker Newsに伝えています。 特定された欠陥は以下の通りです： ブラウジングコンテキストにおける信頼されたサイトを介した間接的プロンプトインジェクションの脆弱性。これは、コメント欄に悪意のある指示が追加されたウェブページの内容をChatGPTに要約させることで、LLMがそれらを実行してしまうものです。 サーチコンテキストにおけるゼロクリック間接プロンプトインジェクションの脆弱性。これは、自然言語クエリの形でニッチなウェブサイトについて尋ねるだけでLLMに悪意のある指示を実行させるもので、そのサイトがBingやOpenAIのSearchGPT関連クローラーによってインデックスされている場合に発生します。 ワンクリックによるプロンプトインジェクションの脆弱性。これは「chatgpt[.]com/?q={Prompt}」の形式でリンクを作成し、URLがクリックされた際に「q=」パラメータ内のクエリが自動的にLLMで実行されるものです。 安全機構バイパスの脆弱性。これは、bing[.]comドメインがChatGPTで安全なURLとして許可リストに入っていることを利用し、Bing広告トラッキングリンク（bing[.]com/ck/a）を使って悪意のあるURLを偽装し、チャット上で表示させることができます。 会話インジェクション手法。これは、ウェブサイトに悪意のある指示を挿入し、そのサイトの要約をChatGPTに依頼することで、プロンプトが会話コンテキスト（例：SearchGPTの出力）内に配置されるため、以降のやりとりで意図しない応答を引き起こします。 悪意あるコンテンツ隠蔽手法。これは、ChatGPTのマークダウン描画方法に起因するバグを利用し、フェンス付きコードブロック（）の開始を示す最初の単語の後の同一行に現れるデータが描画されないことを利用して、悪意のあるプロンプトを隠します。 メモリインジェクション手法。これは、ウェブサイトに隠された指示を埋め込み、LLMにそのサイトの要約を依頼することで、ユーザーのChatGPTメモリを汚染します。 この公開は、AIツールに対する様々なプロンプトインジェクション攻撃が安全性やセキュリティのガードレールを回避できることを示す研究の直後に行われました。 PromptJackingと呼ばれる手法は、Anthropic ClaudeのChrome、iMessage、Apple Notesコネクタに存在する3つのリモートコード実行脆弱性を悪用し、サニタイズされていないコマンドインジェクションを実現、結果としてプロンプトインジェクションを引き起こします。 Claude pirateと呼ばれる手法は、ClaudeのFiles APIを悪用し、間接的なプロンプトインジェクションを用いてClaudeのネットワークアクセス制御の抜け穴を武器化し、データの持ち出しを行います。 agent session smugglingと呼ばれる手法は、Agent2Agent（A2A）プロトコルを利用し、悪意のあるAIエージェントが確立されたクロスエージェント通信セッションを悪用して、正規のクライアントリクエストとサーバー応答の間に追加の指示を注入し、コンテキスト汚染、データ持ち出し、または不正なツール実行を引き起こします。 prompt inceptionと呼ばれる手法は、プロンプトインジェクションを用いてAIエージェントにバイアスや虚偽情報を増幅させ、大規模な偽情報拡散を引き起こします。 shadow escapeと呼ばれるゼロクリック攻撃は、標準のModel Context Protocol（MCP）構成やデフォルトのMCP権限設定を利用し、「シャドウインストラクション」を含む特別に作成された文書をAIチャットボットにアップロードすることで、相互接続されたシステムから機密データを盗み出すことができます。 Microsoft 365 Copilotを標的とした間接的プロンプトインジェクションは、ツールのMermaidダイアグラムの組み込みサポートを悪用し、CSSのサポートを利用してデータの持ち出しを行います。詳細 GitHub Copilot Chatの脆弱性CamoLeak（CVSSスコア：9.6）は、Content Security Policy（CSP）バイパスとリモートプロンプトインジェクションを組み合わせ、プルリクエスト内の隠しコメントを利用することで、秘密情報やソースコードの秘匿的な持ち出しやCopilotの応答の完全な制御を可能にします。 ホワイトボックス・ジェイルブレイク攻撃LatentBreakは、低いパープレキシティを持つ自然な敵対的プロンプトを生成し、入力プロンプト内の単語を意味的に等価なものに置き換えて元の意図を維持しつつ、安全機構を回避します。 これらの発見は、AIチャットボットを外部ツールやシステムに接続することがAIエージェント構築の重要要件である一方で、脅威者が悪意のあるプロンプトを隠し、モデルによって解析される経路を増やすことで攻撃対象領域が拡大することを示しています。 間接的なプロンプトインジェクションによるゼロクリックChatGPTデータ持ち出しのような攻撃手法は、LLMが正当なユーザー指示と外部ソースから取り込まれた攻撃者制御データを区別できないという根本的な問題を浮き彫りにしています。 「プロンプトインジェクションはLLMの仕組みに起因する既知の問題であり、残念ながら近い将来に体系的に解決されることはないでしょう」とTenableの研究者は述べています。「AIベンダーは、プロンプトインジェクションによる潜在的な被害を制限するため、すべての安全機構（例えばurl_safe）が正しく機能していることを確認すべきです。」 この動きは、テキサスA&M大学、テキサス大学、パデュー大学の研究者グループが、AIモデルを「ジャンクデータ」で訓練するとLLMに「脳の腐敗」が生じることを発見し、「インターネットデータに大きく依存すると、LLMの事前学習がコンテンツ汚染の罠に陥る」と警告したことを受けたものです。詳細 先月、Anthropic、英国AIセキュリティ研究所、アラン・チューリング研究所の研究でも、異なるサイズ（600M、2B、7B、13Bパラメータ）のAIモデルに対して、わずか250個の毒入り文書を使うだけでバックドアを仕込めることが判明し、攻撃者がモデルの挙動を改ざんするには訓練データの一定割合を制御する必要があるという従来の前提が覆されました。 攻撃者の観点からは、LLMの訓練用にスクレイピングされるウェブコンテンツを毒入りにする、あるいは自作の毒入りオープンソースモデルを作成・配布することが考えられます。 「攻撃者が訓練データの割合ではなく、固定された少数の文書を注入するだけでよいのであれば、毒入り攻撃は従来考えられていたよりも実行しやすいかもしれません」とAnthropicは述べています。「250個の悪意ある文書を作るのは、何百万も作るのに比べれば簡単であり、この脆弱性は潜在的な攻撃者にとってはるかに身近なものとなります。」 そして、それだけではありません。スタンフォード大学の科学者による別の研究では、LLMを販売、選挙、ソーシャルメディアでの競争的成功に最適化すると、意図せぬミスアライメント（Moloch's Bargainと呼ばれる現象）が生じることが判明しました。 「市場インセンティブに沿ったこの手法により、より高い売上、より多くの有権者シェア、より大きなエンゲージメントを達成するエージェントが生まれます」と研究者のBatu El氏とJames Zou氏は、先月発表された論文で述べています。 「しかし、同じ手法は副産物として、販売トークにおける欺瞞的な商品説明や、ソーシャルメディア投稿での虚偽情報など、重大な安全上の懸念も生じさせます。結果として、市場競争が制御されないまま進むと、安全性を犠牲にして性能を高める“底辺への競争”に陥るリスクがあります。」 翻訳元:

Origin