英オックスフォード大学の米村栄人氏による実験で、ChatGPTに導入された「モデルコンテキストプロトコル（MCP）」が、悪意ある攻撃に利用される可能性が明らかになった。この攻撃は「プロンプトインジェクション」と呼ばれ、攻撃者が標的のメールアドレスを入手するだけで、カレンダーアンケートの形で悪意ある指示を送信することで、ChatGPTが自動的に悪意ある操作を実行させ、被害者のメールインボックスに不正アクセスするという深刻なリスクをもたらす。特に懸念されるのは、攻撃の実行に必要な情報が極めて限定的であり、技術的な知識がなくても実行可能である点だ。 MCPは2024年末にAnthropicが発表したオープンプロトコルで、大規模言語モデル（LLM）が外部アプリケーションやデータソースと連携できる仕組みを提供する。これにより、ChatGPTはGmailやGoogleのサービスなど、ユーザーの個人アカウントに直接アクセスし、スケジュール管理や情報取得を自動化できるようになった。この機能は開発者モードで有効化され、高度なカスタマイズが可能になるが、その一方でセキュリティの穴が生まれるリスクも高まった。 攻撃の流れは以下の通りである。攻撃者は、被害者のメールアドレスを取得後、悪意ある内容を含んだカレンダー招待メールを送信する。この招待メールには、ChatGPTが解析時に実行するように仕組まれた「プロンプト」が埋め込まれている。MCPがカレンダー情報を処理する際、このプロンプトが誤って実行され、ChatGPTが被害者のメールアカウントにログインし、メールの閲覧や送信、さらにはパスワードの抽出など、高度な操作を可能にする。結果として、企業の機密情報や財務報告、口座情報、保存済みパスワードといった極めて敏感なデータが漏洩する危険性がある。 この攻撃の転機は、MCPの「自動処理」機能が、セキュリティチェックを欠いた状態で外部データを信頼してしまう点にある。特に開発者モードでは、ユーザーが設定を自由に変更できる反面、セキュリティのリスクを十分に理解していない場合が多く、攻撃の標的になりやすい。 専門家は、MCPの導入に伴い、LLMと外部システムの接続におけるセキュリティフレームワークの再構築が急務だと指摘している。企業や個人ユーザーには、開発者モードの利用を慎重に検討し、MCPの有効化前に十分なセキュリティ評価を行うことが強く推奨される。また、カレンダーアンケートや外部リンクの受信には、常に注意を払う必要がある。MCPは技術革新の象徴であるが、その恩恵を享受するには、リスク管理の意識が不可欠である。