ChatGPT for Google Sheets は OpenAI が先月リリースした Google スプレッドシート用の AI プラグインであり、ユーザーはサイドバーから直接 ChatGPT を使って表計算データを処理できる。リリースから1ヶ月も経たないうちにダウンロード数は18.5万回を超えた。
しかし、セキュリティ企業 PromptArmor は、このプラグインにはスクリプトを実行したり、あなたのワークブックを読み取ったり編集したりする権限があり、これらの権限は攻撃者に乗っ取られる可能性があることを発見した。攻撃者は共有された表に白色の隠し文字を仕込むだけで、あなたが気付かないうちに Google アカウント内のワークブックを盗み出すことができる。 例えば、同僚があなたに Google スプレッドシートを共有したり、インターネットから公開データセットを取り込んだりするのは日常的な操作だが、攻撃者はこれらの表に背景と同じ白色の文字を隠すことができる(肉眼では見えない)。あなたが表を開いても気付かない。 ChatGPT がこれらのデータを処理している間に、この隠し命令も一緒に読み取られ、ChatGPT が外部スクリプトを実行するように操られる。スクリプトはプラグインの権限を利用して、あなたの現在のワークブックの内容を攻撃者のサーバーに送信する。 その後、スクリプトは盗まれたデータの中から他のワークブックのリンクを探し出し、さらに盗みを続け、まるで蠕虫のように拡散していく。PromptArmor のデモでは、一度の攻撃で12個のワークブックが盗まれた。 ChatGPT for Sheets には「編集前に手動確認が必要」というセキュリティ設定があり、AIが無許可で操作を実行するのを防いでいる。ただし、この攻撃はユーザーがこの設定を有効にしている場合でも有効であり、これはスクリプトの実行をトリガーするものであり、表の編集ではないため、この防御線を回避してしまう。サイドバーの「停止」ボタンをクリックしても、すでに動き出したスクリプトを止めることはできない。 データの盗みだけでなく、同じ脆弱性を利用して攻撃者は偽の ChatGPT インターフェースに置き換え、サイドバーの本物の ChatGPT を偽装することも可能だ。これにより、あなたはまだ ChatGPT と対話しているつもりでも、実際にはすべての質問が攻撃者に収集されてしまう。攻撃者はさらにフィッシングウィンドウを表示させ、OpenAI のパスワードを騙し取ることもできる。 PromptArmor は5月8日にこの脆弱性を OpenAI に報告し、OpenAI から自動返信が返ってきた。その後、PromptArmor は5月12日と5月18日に追跡調査を行ったが、実質的な回答は得られなかった。5月27日、PromptArmor はこの情報を公開する決定を下した。 そして、5月31日になってようやく OpenAI から正式な回答があり、「この報告は我々の公開プロセスで見落とされていた」と認め、「モデルが Apps Script コードを生成する能力を削除した」と発表した。これにより、「ChatGPT for Google Sheets のユーザーが直面しているリスクは解消されるはずだ」と述べている。 報告から脆弱性修正までに要した時間は23日間だった。 Google Workspace の管理者は、「Workspace 設定 > 権限と役割 > ChatGPT for Excel and Google Sheets」から、組織内でのこのプラグインのアクセスを無効にすることができる。
ChatGPT for Google Sheets は OpenAI が先月リリースした Google スプレッドシート用の AI プラグインであり、ユーザーはサイドバーから直接 ChatGPT を使って表計算データを処理できる。リリースから1ヶ月も経たないうちにダウンロード数は18.5万回を超えた。
しかし、セキュリティ企業 PromptArmor は、このプラグインにはスクリプトを実行したり、あなたのワークブックを読み取ったり編集したりする権限があり、これらの権限は攻撃者に乗っ取られる可能性があることを発見した。攻撃者は共有された表に白色の隠し文字を仕込むだけで、あなたが気付かないうちに Google アカウント内のワークブックを盗み出すことができる。
例えば、同僚があなたに Google スプレッドシートを共有したり、インターネットから公開データセットを取り込んだりするのは日常的な操作だが、攻撃者はこれらの表に背景と同じ白色の文字を隠すことができる(肉眼では見えない)。あなたが表を開いても気付かない。
ChatGPT がこれらのデータを処理している間に、この隠し命令も一緒に読み取られ、ChatGPT が外部スクリプトを実行するように操られる。スクリプトはプラグインの権限を利用して、あなたの現在のワークブックの内容を攻撃者のサーバーに送信する。
その後、スクリプトは盗まれたデータの中から他のワークブックのリンクを探し出し、さらに盗みを続け、まるで蠕虫のように拡散していく。PromptArmor のデモでは、一度の攻撃で12個のワークブックが盗まれた。
ChatGPT for Sheets には「編集前に手動確認が必要」というセキュリティ設定があり、AIが無許可で操作を実行するのを防いでいる。ただし、この攻撃はユーザーがこの設定を有効にしている場合でも有効であり、これはスクリプトの実行をトリガーするものであり、表の編集ではないため、この防御線を回避してしまう。サイドバーの「停止」ボタンをクリックしても、すでに動き出したスクリプトを止めることはできない。
データの盗みだけでなく、同じ脆弱性を利用して攻撃者は偽の ChatGPT インターフェースに置き換え、サイドバーの本物の ChatGPT を偽装することも可能だ。これにより、あなたはまだ ChatGPT と対話しているつもりでも、実際にはすべての質問が攻撃者に収集されてしまう。攻撃者はさらにフィッシングウィンドウを表示させ、OpenAI のパスワードを騙し取ることもできる。
PromptArmor は5月8日にこの脆弱性を OpenAI に報告し、OpenAI から自動返信が返ってきた。その後、PromptArmor は5月12日と5月18日に追跡調査を行ったが、実質的な回答は得られなかった。5月27日、PromptArmor はこの情報を公開する決定を下した。
そして、5月31日になってようやく OpenAI から正式な回答があり、「この報告は我々の公開プロセスで見落とされていた」と認め、「モデルが Apps Script コードを生成する能力を削除した」と発表した。これにより、「ChatGPT for Google Sheets のユーザーが直面しているリスクは解消されるはずだ」と述べている。
報告から脆弱性修正までに要した時間は23日間だった。
Google Workspace の管理者は、「Workspace 設定 > 権限と役割 > ChatGPT for Excel and Google Sheets」から、組織内でのこのプラグインのアクセスを無効にすることができる。