ChatGPT の Custom GPT に SSRF の脆弱性:クラウド IMDS へのエスカレーションも確認

Hackers Exploit SSRF Flaw in Custom GPTs to Steal ChatGPT Secrets

2025/11/12 gbhackers — OpenAI の ChatGPT にサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性が存在することを、サイバー・セキュリティ研究者が発見した。Custom GPT 機能に存在する脆弱性を悪用する攻撃者は、Azure 管理 API トークンなどの機密性の高いクラウド・インフラ・シークレットにアクセスする可能性があった。この問題は、OpenAI のバグ報奨金プログラムを通じて公開され、直ちに修正されたが、改めて浮き彫りにされたのは、クラウド・ベースの AI サービスにおける SSRF の危険性である。

この研究者が疑問を持ったのは、カスタマイズされた AI アシスタントを作成するための、プレミアム ツール ChatGPT Plus が提供する、Custom GPT 構築における Actions セクションである。

Attack Flow
Attack Flow

この機能により、ユーザーは OpenAPI スキーマを介して外部 API を定義し、GPT はユーザーが指定した URL からデータを取得し、それをレスポンスに組み込める。たとえば、天気 API に位置情報を問い合わせるといったことが挙げられる。

しかし、任意の URL を提供できるという点が、この研究者のハッカー本能を刺激し、SSRF の脆弱性の調査へとつながった。

SSRF の脆弱性とは、ユーザーから提供されたリクエストを、アプリケーションが意図しないディスティネーション (内部ネットワークやクラウド・メタデータ・エンドポイント) に転送することで発生するものだ。

2021 年から OWASP Top 10 にランクインしている SSRF は、攻撃者に対して、直接アクセスできないサーバへの特権アクセスを許すものとされている。

SSRF の影響は、危険なレスポンスが攻撃者に返される “full-read” 型のデータ窃盗から、タイミングの違いによりポート・スキャンやサービス・インタラクションを可能にする “blind” までの多岐にわたる。

Azure/AWS/GCP などのクラウド環境では、”http://169.254.169.254″ のようなエンドポイントでのみローカルにアクセスできる、Instance Metadata Services (IMDS) を標的とすることで、SSRF が劇的にエスカレートする可能性が生じる。

Secret Key Leaked
Secret Key Leaked

SSRF を介して不正に取得される機密情報には、インスタンス ID/ネットワーク・コンフィグ/広範な API アクセスのための一時的な認証情報といった、重要なデータが含まれる。

この研究者は、ChatGPT の Azure ホスト型バックエンドを標的とし、API URL を IMDS に指定しようとしたが、最初の試みは失敗した。その理由は、システムが HTTPS を強制し、HTTP のメタデータ・エンドポイントをブロックしたからである。

続いて研究者は、典型的な回避策である 302 リダイレクトを使用した。Burp Collaborator のようなツールを用いて、内部 IMDS URL にリダイレクトする HTTPS エンドポイントをホストした。

GPT の Test ボタンで試したところ、ChatGPT はリダイレクトに従いメタデータを取得したが、その内容は一部だけであった。Azure へのアクセスには “Metadata: True” ヘッダーが必要になるが、それが存在しなかったためエラーが発生した。

さらに調査を進めたところ、認証設定に回避策があることが判明した。カスタム API キーに “Metadata” という名前を付け、その値を “True” に設定することで、リクエストにヘッダーが挿入された。この試みは成功し、GPT は IMDS データを返した。

研究者はエスカレーションを行い、Azure の管理 API (リソース:”https://management.azure.com/” API バージョン: 2025-04-07) 用の OAuth2 トークンを要求した。

そのレスポンスには、有効なトークンが含まれており、インスタンスの起動やストレージへのクエリといった、ChatGPT のクラウド・リソースに対する潜在的な制御が許可された。

この脆弱性は Bugcrowd 経由で直ちに OpenAI に報告され、深刻度 High と評価された。過去のエクスプロイトである、数百の EC2 インスタンスに対するリモート・コード実行ほど被害は大きくならないが、インフラの機密情報を漏洩させるという深刻なものである。

すでに OpenAI はパッチを適用し、URL 検証/リダイレクト処理/ヘッダー制御を強化したとされる。

このインシデントが示すのは、AI の諸刃の剣という側面である。Custom GPT などの革新的な機能は実用性を高めるが、その一方では攻撃対象領域を拡大する。

クラウドの導入が急増する中、開発者にとって必要なことは、IP ホワイトリストやプロトコル適用などの SSRF 対策を優先することである。ユーザーにとって役に立つ AI が、侵害の媒介になる可能性があるため、警戒心を強める必要がある。

Custom GPT が外部 API にアクセスする仕組みが悪用され、意図しない場所へリクエストが送られてしまう SSRF が発生していたようです。特に、クラウド環境では内部向けのメタデータ・サービスにアクセスできてしまう点が危険であり、そこで取得される情報が不正利用につながる可能性があります。今回のケースでは、リダイレクトや特殊なヘッダー設定により防御が回避され、Azure の管理 API トークンまで取得できたと報告されています。クラウドと AI が組み合わされることで、新しい形の脆弱性が生まれやすくなると、この記事は指摘しています。よろしければ、Open AI で検索を、ご利用ください。