概要:カスタムGPTにおけるSSRF脆弱性
サイバーセキュリティ研究者が、OpenAIのChatGPTにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性を発見しました。この脆弱性は、カスタムGPT機能に潜んでおり、攻撃者がAzure管理APIトークンを含む機密性の高いクラウドインフラの秘密にアクセスできる可能性がありました。OpenAIのバグバウンティプログラムを通じて報告されたこの問題は迅速にパッチが適用されましたが、クラウドベースのAIサービスにおけるSSRFの根強い危険性を浮き彫りにしています。
攻撃の流れ
研究者は、カスタムGPT(AIアシスタントを作成するためのプレミアムChatGPT Plusツール)を構築中に、「Actions」セクションに注目しました。この機能により、ユーザーはOpenAPIスキーマを介して外部APIを定義し、GPTがユーザー指定のURLからデータをフェッチして応答に組み込むことができます。例えば、位置情報に基づく天気APIのクエリなどが可能です。しかし、任意のURLを提供できるという点が研究者の「ハッカーの直感」を刺激し、SSRF脆弱性の調査につながりました。
SSRFのメカニズムと影響
SSRFは、アプリケーションがユーザーから提供されたリクエストを意図しない宛先(多くの場合、内部ネットワークやクラウドメタデータエンドポイント)に不注意に転送する際に発生します。2021年以来OWASP Top 10にランクインしているSSRFは、攻撃者が直接アクセスできないサーバーの特権アクセスを悪用します。影響は、「フルリード」型(応答が攻撃者に返される)でのデータ漏洩から、「ブラインド」SSRF(タイミングの違いを介したポートスキャンやサービスインタラクションを可能にする)まで多岐にわたります。Azure、AWS、GCPのようなクラウド設定では、SSRFはhttp://169.254.169.254のようなエンドポイントでローカルにのみアクセス可能なインスタンスメタデータサービス(IMDS)を標的にすることで、劇的にエスカレートする可能性があります。これらは、インスタンスID、ネットワーク構成、より広範なAPIアクセス用の一時的な認証情報などの重要な詳細を保持しています。
秘密鍵の漏洩と権限昇格
研究者はChatGPTのAzureホスト型バックエンドを標的にしました。IMDSにAPI URLを向けようとする最初の試みは失敗しました。システムがHTTPSを強制し、HTTPのみのメタデータエンドポイントをブロックしたためです。しかし、研究者は古典的な回避策である302リダイレクトを使用しました。Burp Collaboratorのようなツールを使用して、研究者は内部IMDS URLにリダイレクトするHTTPSエンドポイントをホストしました。GPTの「テスト」ボタンを介してテストすると、ChatGPTはリダイレクトに従いメタデータをフェッチしましたが、部分的にしか成功しませんでした。Azureはアクセスに「Metadata: True」ヘッダーを必要としますが、それが欠落していたためエラーが発生しました。
さらなる調査により、認証設定に回避策があることが判明しました。カスタムAPIキーを「Metadata」と命名し、その値を「True」に設定することで、ヘッダーがリクエストに注入されました。これにより成功し、GPTはIMDSデータを返しました。
さらにエスカレートし、研究者はAzureの管理API(リソース: https://management.azure.com/、APIバージョン: 2025-04-07)のOAuth2トークンを要求しました。応答には有効なトークンが含まれており、これによりChatGPTのクラウド資源(インスタンスの起動やストレージのクエリなど)に対する潜在的な制御権が付与されることになりました。
OpenAIの対応と教訓
この脆弱性はBugcrowdを通じてOpenAIに即座に報告され、高深刻度と評価されました。数百のEC2インスタンスに対するリモートコード実行のような過去の悪用ほど壊滅的ではありませんが、インフラの秘密を露呈させるには十分な深刻度でした。OpenAIは迅速にパッチを適用し、URL検証、リダイレクト処理、ヘッダー制御を強化したと考えられます。
この事件は、AIの二面性を浮き彫りにしています。カスタムGPTのような革新的な機能は有用性を高めますが、同時に攻撃対象領域も拡大します。クラウドの採用が急増する中、開発者はIPホワイトリストやプロトコル強制などのSSRF対策を優先する必要があります。ユーザーにとっては、「役立つ」AIが侵害のベクトルになり得ることを再認識させるものです。