OpenAIのChatGPTアプリに重大なセキュリティ欠陥が発覚
OpenAIが提供するChatGPTアプリに、ユーザーの会話履歴が平文で保存されているという重大なセキュリティ欠陥が発見されました。この問題は、悪意のあるソフトウェアによって容易にアクセスできる状態であったため、多くのユーザーにとって深刻なリスクとなっていました。
この問題を指摘したのは、Threadsユーザーのペドロ・ジョゼ・ペレイラ・ヴィエイト氏です。彼は、この欠陥を実証し、どれほど簡単に会話履歴へアクセスできるかを示しました。「macOS上のOpenAI ChatGPTアプリはサンドボックス化されておらず、全ての会話が保護されていない場所に平文で保存されています」とヴィエイト氏は説明しています。この状況では、他のアプリやプロセス、さらにはマルウェアも許可なくこれらのデータにアクセス可能なのです。
さらにヴィエイト氏は、「macOS Mojave 10.14以降、macOSはユーザーのプライベートデータへのアクセスをブロックしてきました。カレンダーや連絡先、メール、写真などへのアクセスには明確なユーザー許可が必要です。しかしOpenAIはこれらの内蔵防御機能を無効化し、安全でない場所に会話データを平文で保存することを選びました」と強調しました。
この問題についてどうやって気づいたか尋ねられた際、ヴィエイト氏は「OpenAIがサンドボックス保護を使用しない理由に興味があり、その結果としてどこにデータが保存されているか確認しました」とThe Verge誌に語っています。
ヴィエイト氏は別途、一度クリックするだけでChatGPTの会話履歴を読み取ることのできるアプリも作成しました。The Verge誌もこのアプリを使用して会話履歴へアクセスできることを確認しています。
幸いにもOpenAIは迅速に対応し、新しいバージョンでは保存された会話データを暗号化するアップデートをリリースしました。OpenAIのスポークスパーソンであるタヤ・クリスチャンソン氏は、「私たちはこの問題について認識しており、新しいバージョンではこれらの会話を暗号化しました。我々は技術進化とともに高いセキュリティ基準を維持しつつ、有益なユーザー体験を提供することにコミットしています」とコメントしています。
ただし、このアップデートによって即時的な脆弱性は解消されたものの、依然としてApple社が推奨するサンドボックス要件には従っていません。この要件はアプリケーション間でデータへの不正アクセスを防ぐため設けられています。また、このChatGPTアプリケーション自体もMac App Storeから配信されておらず、そのため同じ精査基準には適応していません。この点からもユーザープライバシーへの懸念が生じています。特にChatGPT利用者が研究や問題解決といった個人的な情報交換目的でこのツールを利用している場合、その影響力は大きいと言えます。
既存ユーザーには最新バージョンへの更新が必須となりますので、安全性向上のため早急な対応がおすすめです。また、今年後半にはWindows向けにも同様のデスクトップアプリケーションがリリース予定となっています。
Source link
GIPHY App Key not set. Please check settings