ChatGPhish：ChatGPTの「Web要約」をフィッシングの罠に変える攻撃手法

ChatGPTがWebページを要約し、その中に表示されたリンクやボタンを、あなたはAIの回答の一部として当然のように信頼するでしょう。その信頼こそが、ChatGPhishと呼ばれる新たな脆弱性によって悪用される対象です。

2026年5月29日にPermiso Securityによって公開されたChatGPhishは、ChatGPTのWebページ要約機能をフィッシング（Phishing）攻撃の配信手段に変える、ブラウザベースのプロンプトインジェクション手法です 。これまでの攻撃がひそかにデータを盗み出すことに主眼を置いていたのに対し、この攻撃は、AIアシスタント自身のインターフェースを武器に変え、攻撃者が仕込んだリンクや偽のログインフォーム、なりすましのセキュリティ警告を、さもChatGPTの正規の出力であるかのように表示します。ここでは、その仕組み、この攻撃に至るまでのプロンプトインジェクションの系譜、そして公表時点でOpenAIが明らかにしていたこと（といなかったこと）を解説します。

ChatGPhishがChatGPTのMarkdownレンダラーを悪用する仕組み

この攻撃が効果的なのは、ChatGPTの根本的な信頼の前提を突いているからです。それは、「ChatGPTの応答レンダラーは、第三者のWebページに由来するMarkdownのリンクや画像URLを信頼できるコンテンツとして扱い、画像を自動取得し、リンクをクリック可能な要素としてAI自身のUI内に表示する」という点です 。

攻撃は以下の3段階で成立します。

1. 悪意あるWebページを作成 — 攻撃者は、一見すると無害なWebページに、隠しリンクや偽の警告文といったMarkdown形式の指示を埋め込みます。ページ自体は普通に見えますが、ChatGPTの要約システムに解析させるための悪意ある「指示書き」が潜んでいます。
2. 要約を実行させる — ユーザーがChatGPTにこのページの要約を依頼します。ChatGPTはページの内容を処理しますが、その際に攻撃者が仕込んだMarkdownの指示を、正規の応答の一部として解釈してしまいます。
3. フィッシングの仕掛けを表示 — 信頼できるChatGPTのインターフェース上に、攻撃者のリンクや偽の警告がアシスタントの通常の回答のように表示されます。ユーザーがそれをクリックしたり、指示に従ったりすると、個人情報を盗むための偽サイトや悪意あるプログラムのダウンロードページ、あるいはフィッシングサイトへ誘導するQRコードなどに誘導されます 。

ChatGPTがWebページのMarkdownコンテンツを表示前に十分に無害化（サニタイズ）しないために、モデルが閲覧するあらゆる第三者のページがフィッシングの踏み台になり得るのです。これはOpenAIのサーバーインフラを狙った攻撃ではなく、ユーザーがChatGPTの視覚的な出力に対して抱く「ブラウザ上の信頼」を悪用する、クライアントサイドのレンダリングの弱点です。

進化の系譜：ChatGPhishに至るプロンプトインジェクションの歴史

ChatGPhishは突然現れたわけではありません。ChatGPTに新機能（Webブラウジング、コード実行、プラグイン、メモリ機能など）が追加されるたびに、攻撃者はその隙を突いて命令を注入し、データを盗み出す手法を編み出してきました。その長年にわたる攻撃の進化の最新章が、この脆弱性です。

ChatGPhishに至るまでの主な節目は以下の通りです。

• 2022年11月 — プロンプトインジェクションの誕生: ChatGPTが公開されるわずか13日前の2022年11月17日に、GPT-3に対するプロンプトインジェクションが命名・実証されました。ChatGPTの公開から数時間後には、ユーザーがロールプレイ（役割演技）を用いてAIの安全策を回避しています 。