ChatGPT Lockdown Mode:プロンプト・インジェクションによるデータ流出リスクを低減

New ChatGPT Lockdown Mode to Mitigate Prompt Injection and Data Exfiltration Attacks

2026/06/08 CyberSecurityNews — OpenAI は ChatGPT Lockdown Mode をリリースした。それにより、アウトバウンド・ネットワーク・アクセスを制限し、プロンプト・インジェクション攻撃によるデータ流出リスクの低減を目的とする、新しいセキュリティ機能が提供された。この機能の対象となるのは、個人用のアカウント/セルフサービス型 ChatGPT Business ユーザー/管理されたエンタープライズ・ワークスペースとなる。

プロンプト・インジェクションとは、AI モデルが処理するコンテンツ内に悪意の命令を埋め込む攻撃であり、この領域における最前線のセキュリティ課題である。

Lockdown Mode は、この攻撃チェーンの最終段階である、アウトバウンド・ネットワーク・リクエストを介して実行される、攻撃者が制御するサイトへの高機密性データの不正転送を遮断するよう設計されている。

重要な点として、Lockdown Mode はプロンプト・インジェクション自体の侵入を防止するものではない。したがって、キャッシュされた Web ページ/アップロードされた PDF などのコンテンツに埋め込まれた悪意のペイロードは、依然としてモデルの挙動や応答精度に影響を与える可能性がある。

つまり、この機能は、インジェクション経路の遮断ではなく、データ流出経路の遮断に特化している。

ChatGPT Lockdown Mode

Lockdown Mode が有効化されると、以下の ChatGPT 機能が制限される。

ライブ Web ブラウジング:キャッシュ・コンテンツのみに制限される。したがって、リアルタイム情報の取得は不可能となる。
画像取得:ChatGPT は Web 由来画像を取得または表示できない。
ディープ・リサーチ:完全に無効化される。
エージェント・モード:完全に無効化される。
Canvas ネットワーキング:Canvas が生成したコードによるネットワーク・リクエストは承認不可。
ファイル・ダウンロード:外部ファイルを取得してデータ分析することは不可。手動アップロード・ファイルは利用可能。

ただし、メモリ/ファイル・アップロード/会話共有/モデル学習設定は、Lockdown Mode の影響を受けることなく、それぞれ独立してコンフィグ可能である。

Lockdown Mode 環境におけるアプリとコネクタの設定を、OpenAI はリスク・レベルで分類している。

  • 高リスク:未信頼アプリに対する読み書き操作と、可視性が広範/不明確な信頼アプリへの書き込み操作。いずれも明確に非推奨である。
  • 中リスク:信頼できるアプリに対する同期コネクタおよび読取操作は、データ漏洩のリスクは低いが、機密性の高いソース・データが露出する可能性がある。
  • 低リスク:信頼アプリへの書き込み操作は、信頼された関係者のみが副作用を可視化できる場合に許可される。

管理対象ワークスペースにおいて、Lockdown Mode により、すべての接続アプリが自動的に無効化されるわけではない。管理者は、RBAC (ロールベースアクセス制御) を手動設定し、信頼できるアプリの指定およびコネクタ権限の監査を行う必要がある。

エンタープライズ管理者は、Lockdown Mode 専用ロールを作成し、ユーザーまたはグループへ割り当てることで、この機能を強制適用できる。ただし Compliance API Logs Platform は、Lockdown Mode の状態に依存せずに、アプリ利用状況/共有データ/接続ソースに関する永続的な監査可視性を提供する。

また、Lockdown Mode と Developer Mode は相互排他であり、一方を有効化すると他方は自動的に無効化される。さらに、Lockdown Mode は Codex のネットワーク・アクセスには影響を与えない。

OpenAI は、Lockdown Mode が完全な保護を保証するものではないと明言している。つまり、サードパーティ・アプリの利用/想定外の機能組み合わせ/新たな攻撃手法などにより残存リスクは存在する。

アップロード・ファイルに埋め込まれたプロンプト・インジェクションは、Lockdown Mode 有効時であっても、不正/改竄された応答を引き起こす可能性がある。

個人ユーザーおよびセルフサービス Business ユーザーは、Settings → Security → Advanced Security → Lockdown Mode から、この機能を有効化できる。

エンタープライズ管理者は、ワークスペース全体への展開にあたり OpenAI の RBAC ドキュメントおよび Compliance API ガイダンスを参照すべきである。

訳者後書:ChatGPT の新しい機能の背景にあるのは、プロンプト・インジェクションという攻撃により、AI モデルが処理するコンテンツ内の悪意の命令が読み込まれ、機密データが外部へ流出してしまうという問題です。それを回避するために提供された Lockdown Mode は、データの出口としての経路を管理するものです。よろしければ、Prompt Injection での検索結果も、ご参照ください。