C
月内に
Permiso Securityは、ChatGPTの応答レンダラーがサードパーティのMarkdownリンクや画像を信頼して表示する脆弱性「ChatGPhish」
📌 一言でいうと
Permiso Securityは、ChatGPTの応答レンダラーがサードパーティのMarkdownリンクや画像を信頼して表示する脆弱性「ChatGPhish」を公開しました。攻撃者が悪意のあるコンテンツを含むウェブページを作成し、ユーザーがそのページをChatGPTで要約させると、偽のシステム警告やフィッシングリンク、QRコードなどが表示される可能性があります。OpenAIはこの報告を受けていますが、現時点では修正に向けた具体的な対応は行われていないとのことです。
🔍該当判定
- 業務でChatGPT(OpenAI社)を利用している
- ChatGPTに外部WebサイトのURLを入力して、内容の要約(サマリー)を作成させている
- ChatGPTの回答画面に表示されるリンクや画像、QRコードをそのままクリック・スキャンして利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
ChatGPTによるウェブサイト要約結果に表示されるリンクやQRコードを不用意にクリック・スキャンしないよう注意してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ChatGPTでのウェブサイト要約利用に関する注意点
お疲れさまです。情報システム担当です。
ChatGPTでウェブサイトの要約機能を利用する際、AIが表示するリンクやQRコードが悪意のあるサイトへ誘導するフィッシング攻撃に利用される可能性があることが判明しました。
ご協力をお願いしたいこと:
1. ChatGPTが要約結果として提示したリンクやQRコードを不用意にクリック・スキャンしない
2. 不審なログイン画面や警告が表示された場合は、すぐにブラウザを閉じ、情報を入力しない
対応期限: 本日より継続的に注意してください
お疲れさまです。情報システム担当です。
ChatGPTでウェブサイトの要約機能を利用する際、AIが表示するリンクやQRコードが悪意のあるサイトへ誘導するフィッシング攻撃に利用される可能性があることが判明しました。
ご協力をお願いしたいこと:
1. ChatGPTが要約結果として提示したリンクやQRコードを不用意にクリック・スキャンしない
2. 不審なログイン画面や警告が表示された場合は、すぐにブラウザを閉じ、情報を入力しない
対応期限: 本日より継続的に注意してください
Subject: [Security Alert] Caution when using ChatGPT for website summarization
Hi everyone,
It has been reported that the website summarization feature in ChatGPT can be exploited to display malicious phishing links or QR codes within the AI's response.
What we need you to do:
1. Be cautious and avoid clicking on links or scanning QR codes provided in ChatGPT's summaries of external websites.
2. If you encounter suspicious login prompts or system alerts after clicking a link, close the browser immediately and do not enter any credentials.
Deadline: Please remain vigilant starting today.
Hi everyone,
It has been reported that the website summarization feature in ChatGPT can be exploited to display malicious phishing links or QR codes within the AI's response.
What we need you to do:
1. Be cautious and avoid clicking on links or scanning QR codes provided in ChatGPT's summaries of external websites.
2. If you encounter suspicious login prompts or system alerts after clicking a link, close the browser immediately and do not enter any credentials.
Deadline: Please remain vigilant starting today.