米パデュー大学に所属する研究者らが発表した論文「Opening A Pandora’s Box: Things You Should Know in the Era of Custom GPTs」（「パンドラの箱を開ける：カスタムGPT時代に知っておくべきこと」）は、先日遂に公開されたChatGPTをカスタマイズできるサービスである「カスタムGPT」のセキュリティやプライバシー上のリスクや危険性を調査した研究報告である。

この研究では、セキュリティ脅威を分析するフレームワークである「STRIDE」を用いて、カスタムGPTのセキュリティとプライバシーの問題について包括的な分析を行いました。研究者らは、26個の攻撃手法を特定し、そのうち19個の攻撃が実際に攻撃可能であることを検証しました。

研究者らは、1.偽造・2. 改ざん・3. 否認・4. 情報漏洩・5. サービス拒否・6. 特権昇格 のそれぞれの分類において、起こりるセキュリティ上のリスクを提案しました。

1. 偽造（Spoofing）

研究者らは、「domain name spoofing」や「Masquerading」と呼ばれるドメインのなりすましが行われる可能性を述べています。

また、ユーザの問い合わせを改ざんした上で、検索を行い、攻撃者の意図したウェブサイトに誘導することが可能であると述べています。

2. 改ざん(Tampering)

研究者らは、ChatGPTによる応答のテキストやファイルがカスタムGPTによって改ざんされる危険性があることを述べている。

例えば、ユーザがあるテキストの文法のチェックをカスタムGPTに依頼した際に、攻撃者によって本来のテキストには存在しない意味をテキストに追加することが可能である(Direct content manipulation )。

また、ユーザが特定の上のプロンプトを入力したときだけ、攻撃者が指定した応答を返すことも可能であると述べている。具体例として、ユーザが .docx ファイルがアップロードした時にだけ、攻撃が発動し、攻撃者が指定した悪性な .docx ファイルをユーザにダウンロードさせることが可能であるとされている(Event triggered execution )。

3. 否認(Repudiation)

カスタムGPTは、Googleカレンダなどの外部のサービスとの連携を行うことで、外部アプリケーションのタスクなどを実行することが想定されている。攻撃者は、悪性なGPTを利用し、取得した認証情報の悪用が可能であると研究者らは述べている。

4. 情報漏洩(Information disclosure)

研究者らは、カスタムGPTとユーザの対話を通して、ユーザから提供されたセンシティブな情報を攻撃者が盗み出すことが可能であると述べている。

また、カスタムGPTとの対話による情報の取得だけでなく、対話を通じてユーザに悪意のあるウェブサイトを提供し、フィッシング攻撃を行うことも可能である。

その例として、ユーザがGPTに天気予報に関する質問をしたときに、GPTは簡単な回答（例えば、晴れです。）のあとに、詳細のウェブサイトのリンクを提供することが可能である。このリンクを悪意のあるウェブサイトに事前に設定しておくことが可能であると述べられている。

その他にも、対話と通じて得た社会保障番号などの重要度の高い個人情報を攻撃者が保持しておくことが可能であると述べられている。

今回の記事では、攻撃者がカスタムGPTの作成者であることを前提としてときのセキュリティ・プライバシー上のリスクに焦点を絞って紹介した。

論文中には、逆にカスタムGPTに対して攻撃を行う悪意あるユーザによるリスクについても述べられているので、詳細は論文を参照してください。

出典および画像クレジット：Guanhong Tao, Siyuan Cheng, Zhuo Zhang, Junmin Zhu, Guangyu Shen, Xiangyu Zhang, Opening A Pandora's Box: Things You Should Know in the Era of Custom GPTs