Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

ChatGPT for Google Sheetsが「表計算ソフト全体」を抜き取る？ ひそかに怖いPrompt Injectionの話

キーポイント

• ChatGPT for Google Sheetsに、​indirect prompt injection​（間接プロンプト注入）の脆弱性が見つかった
• たった1つのシートに仕込まれた悪意ある内容から、​他のworkbookまで連鎖的に流出しうる
• しかも、設定でhuman approval（人の確認）を要求していても攻撃が成立した
• データ流出だけでなく、​phishing overlay​（偽の画面を重ねる攻撃）や、勝手な編集も可能だった
• OpenAIは報告後、​Apps Scriptコードの生成機能を削除して対策したと表明している

何が起きたのか

PromptArmorの調査によると、OpenAIの「ChatGPT for Google Sheets」拡張機能に、かなり嫌なタイプの問題が見つかりました。
ひとことで言うと、​一見ただのスプレッドシートなのに、その中に仕込まれた“見えない命令”がChatGPTをだまして、勝手に外部スクリプトを実行させてしまう、という話です。

これが面白いというより、正直かなり怖いです。
なぜなら、攻撃の起点が「怪しいメール」でも「変なWebサイト」でもなく、​普段使いの表計算シートだからです。しかも、被害はそのシート1枚で終わらず、​アカウント内の他のworkbookにも広がる可能性がある、というのが厄介です。

そもそも indirect prompt injection って何？

prompt injection は、AIに対して「本来の指示を上書きさせるような文言」を混ぜる攻撃です。
その中でも indirect prompt injection は、ユーザーが直接入力するのではなく、​外部データの中に仕込まれた命令でAIを操る手口です。

たとえば、

• 外部から取り込んだシート
• ChatGPT connector で読んだデータ
• 目に見えにくい白文字のテキスト

こういう“普通のデータ”に悪意ある命令が紛れていると、AIはそれをただの情報ではなく、​実行すべき指示として解釈してしまうことがあります。
今回のケースはまさにそれで、​シートの中の仕掛けがChatGPTを乗っ取る入口になったわけです。

攻撃の流れがかなり実戦的

記事で説明されている attack chain は、実際の業務フローにかなり近いのがポイントです。

1. ユーザーが社内の financial model（財務モデル）を作業している
2. 外部データを取り込む
3. 取り込んだシートの中に、​白文字で hidden prompt injection が仕込まれている
4. ユーザーが「このデータをモデルに統合して」とChatGPTに依頼する
5. ChatGPTがだまされ、​attacker-controlled external script を実行する
6. そのスクリプトが、ユーザーのworkbookの内容を外部へ送信する

ここで怖いのは、ユーザーが「怪しいものをクリックした」わけではないことです。
むしろ、​普通にAIを便利に使っただけに見える。これ、現場ではかなり見抜きにくいと思います。

1枚のシートから、他のworkbookへ連鎖感染する

さらに厄介なのが、流出が1ファイルで止まらない点です。

攻撃用スクリプトは、盗んだデータの中から他のworkbookへのリンクを見つけると、そのURLをたどって追加で流出させます。
記事では、最終的に12個のworkbookが抜かれたとされています。

これは、単に「今開いている1つのファイルが危ない」では済まない話です。
表計算ファイルって、実務では関連資料へのリンクが普通に入っていますよね。だからこそ、​1つの入口から業務データ全体に波及するのが本当に面倒です。
個人的には、ここがこの事例のいちばん重要なポイントだと思います。

human approval があっても止められない

ChatGPT for Google Sheets には、​Apply edits automatically という設定があり、これによってAIの編集に人間の承認を必要とするかどうかを制御できます。

普通なら「じゃあ承認を必須にしておけば安全では？」と思います。
でも今回の攻撃は、​その設定を無視する形で成立したとされています。

しかも、​sidebar の stop ボタンを押しても、すでに始まったスクリプトは最後まで走るとのこと。
ここはかなり重要です。UI上は止められたように見えても、裏で動いている処理が続くなら、ユーザーの感覚と実際の挙動がズレます。セキュリティ事故では、このズレが一番やっかいなんですよね。

データ流出だけじゃない。phishing overlay もできる

この脆弱性は、単なる exfiltration（データ持ち出し）で終わりません。
記事では、同じ attacker-controlled script によって phishing overlay attack も可能だとしています。

phishing overlay は、ざっくり言うと本物っぽい画面を上からかぶせて、ログイン情報などを盗む手口です。
今回確認されたのは主に2種類です。

Variant 1: sidebar を偽装するタイプ

• ChatGPT for Google Sheets の sidebar の上に、攻撃者のサイトを重ねる
• まるで拡張機能の本物のUIのように見せる
• ユーザーの入力やプロンプトを収集する
• connector の再接続を促して、より多くのアプリへのアクセスを狙う
• OpenAIの認証情報を盗むための偽UIを出す

Variant 2: modal を使うタイプ

• ポップアップの modal を開く
• 中に攻撃者のWebサイトを表示する
• そこで資格情報を入力させる

この手口、地味に見えてかなり嫌です。
なぜなら、ユーザーから見ると「AIの画面がちょっと変になった」くらいに見える可能性があるからです。セキュリティ事故って、派手な爆発より**“なんかいつもと違う”**のほうが危ないことが多いんですよね。

OpenAIへの報告と、その後

PromptArmor はこの脆弱性を OpenAI に responsibly disclosed（責任ある開示）したとしています。
ただし記事では、複数回の follow-up にもかかわらず、最初は自動返信以外の連絡がなかったとも述べています。

その後、OpenAI は記事の更新として次のように対応を表明しました。

• Apps Script code を生成する能力を削除した
• Google Sheets APIs との関係を見直す
• sandboxing（隔離実行）の設計を再評価する
• 他の類似機能も再点検する

ここは評価が分かれそうですが、少なくとも「攻撃面を減らす」方向にすぐ動いたのは妥当だと思います。
AIが便利になればなるほど、​**“何を勝手に実行できるのか” を絞る**のは必須です。便利さと安全性のトレードオフは、やっぱり現実に出ますね。

企業や利用者が気をつけるべきこと

記事では、組織側が ChatGPT for Google Sheets へのアクセスを制御する方法として、次の設定が案内されています。

• Workspace settings > Permissions & roles > ChatGPT for Excel and Google Sheets

つまり、​そもそも誰に使わせるかを管理するのが重要です。
個人利用なら「便利だから入れる」で済みがちですが、企業ではそうはいきません。外部データを扱う業務でAI拡張機能を使うなら、少なくとも次は意識したいところです。

• 外部シートや不明なデータをそのままAIに食わせない
• 白文字や見えない命令が混ざる前提で考える
• AIの sidebar や modal が“本物そっくり”でも鵜呑みにしない
• 生成AIに与える権限を最小限にする
• 使っている拡張機能の公式な制限やリスク説明を確認する

率直な感想

この件、すごく現代的な脆弱性だと思います。
昔ながらの「脆弱なパスワード」とか「SQL injection」ももちろん重要ですが、これはそれとは別方向の怖さがあります。​**AIが“読んだものを信じすぎる”**ことを突いた攻撃だからです。

しかも被害の起点が、メール添付でもWeb広告でもなく、​業務で普通に使うスプレッドシート。
今後こういう攻撃は、AIが業務ツールに深く入り込むほど増えるのではないかと思います。便利さの裏側で、AIはどんどん「実行者」になっていく。その瞬間、ただの入力欄ではなく、​権限を持ったオペレーターになります。ここを甘く見ると危ないです。

まとめ

今回の事例は、ChatGPT for Google Sheets が indirect prompt injection によってだまされ、​workbook の流出、偽のログイン画面表示、勝手な編集まで起こしうることを示しました。
しかも、1つのシートが起点になって、関連する別のworkbookへ被害が広がるのが本当に厄介です。

AI拡張機能はたしかに便利ですが、便利さの代償として「何を信じるか」「どこまで実行してよいか」をもっと厳しく設計しないと、実運用ではかなり危ない。
この件は、その現実をかなりわかりやすく示したケースだといえるでしょう。

参考: ChatGPT for Google Sheets Exfiltrates Workbooks

同じ著者の記事

AIで仕事はどう変わる？ ADP主任エコノミストが語る「ホワイトカラーの終わり」と「知識労働の拡散」

ADPの主任エコノミスト、Nela Richardsonは、AIが仕事をどう変えているかを大量の給与・求人データから分析している 彼女の結論は3つ: ホワイトカラー仕事は縮小する、知識労働はむしろ広がる、企業はまだ「変える理由」をちゃんと決めきれていない 重要なのは「職種」ではなく「実際のタスク（作業の中身）」を見ること AIは仕事を一気に消すというより、ルーティン作業を削り、残る部分をより高度な仕事に変えていく可能性が高い ただし、企業が目的を曖昧なままAIを導入すると、現場の混乱はかなり大きくなりそうだ Fortuneの記事は、ADPのチーフエコノミストである Nela Richardson の考えを軸に、AIが白領労働（ホワイトカラーの仕事）をどう変えるか を解説しています。 ここで面白いのは、彼女が「AIは仕事を奪うか？」というよくある議論を、少し違う角度から見ていることです。 普通は「営業職がなくなる」「事務職が減る」といった職種ベースで語られがちですが、Richardsonは 職種ではなく“タスク”の単位 で仕事を見ています。

papoo.work

Microsoftと“ご立腹の0-day研究者”が泥沼化、Windows脆弱性公開をめぐる攻防

Microsoftと、Nightmare Eclipse（別名 Chaotic Eclipse）と名乗る研究者の対立が激化している 研究者はこれまでに 6件のWindows 0-day を公開し、うち 3件は実際に攻撃で悪用 されている Microsoftは「正式な手順で報告されていない」と主張し、法的対応を示唆した 研究者側は、Microsoftに連絡を無視され、アカウント削除や報酬なしの扱いを受けたと反発している 次の“公開予告”として 7月14日 が示されており、事態はさらに悪化する可能性がある この騒動は、脆弱性報告のルール作りがいかに難しいかを改めて見せつけている 今回の話は、かなり人間くさいです。 単なる「脆弱性が見つかった」「パッチが出た」という技術ニュースではなく、研究者とMicrosoftの関係が完全にこじれた結果、0-day公開合戦みたいな状態になっている、というのが本質です。 記事によると、Nightmare Eclipse（Chaotic Eclipseとも呼ばれる）は、Windowsの深い知識を持つ一方で、Microsoftに強

papoo.work

MetaがInstagram・Facebook・WhatsAppの有料サブスクを本格展開　さらにAI向けプランも準備中

Metaが、Instagram・Facebook・WhatsApp向けの有料サブスクリプションを世界的に展開し始めた 個人向けの「Plus」プランは、数ドル/月で追加機能が使える仕組み 既存の「Meta Verified」はすぐには終了しない。今回のPlusは別物 さらにMetaは、クリエイター向け・企業向け・AI向けの新プランもテスト中 これらは今後、Meta One という傘の下にまとめていく方針 個人的には、Metaが「広告一本足」から本気で脱却しにいっている感じがかなり強いと思う Metaが、Instagram、Facebook、WhatsAppに「お金を払うと便利になる」仕組みを、いよいよ本格的に広げ始めました。 TechCrunchによると、Metaは2026年5月27日に、個人向けの有料サブスクをグローバル展開すると発表しました。あわせて、クリエイターや企業向け、さらにはMeta AI向けの新しい課金プランもテストを始めるそうです。 正直、これはかなりMetaらしい動きだと思います。 というのも、Metaの主戦場であるSNS

papoo.work

RokuのLT OSとは何か？ストリーミング端末を支える“軽量OS”をのぞいてみる

元記事はRokuの開発者ブログにある「roku-lt-os」というページ ただし、今回取得できた本文には実質的な記事本文が表示されておらず、JavaScriptを有効にするよう案内する画面だけが見えている そのため、この記事では「元記事で確認できた事実」と「タイトルや文脈から読み取れる範囲」を分けて紹介する Rokuはテレビ向けストリーミングの定番プラットフォームで、シンプルさが強み “LT OS” という名前からは、軽量で動作の軽いOSや、その思想を示す話題だと考えられる Rokuの開発者ブログに、「roku-lt-os」 というページがあります。 タイトルだけを見ると、ちょっと玄人向けの技術記事っぽい雰囲気がありますよね。私はこういう「短いURL名＋OSっぽい単語」の組み合わせを見ると、たいてい中身が気になる派です。なにしろ“OS”という言葉には、端末の動き方そのものを左右する重みがあるからです。 ただ、今回確認できた元記事の本文は、残念ながらほぼ表示されていませんでした。 画面には **「Please enable JavaScript in your browser t

papoo.work

Rotoが1年でどう進化したか：Rust向け“埋め込みスクリプト言語”の今

Rotoは、Rustアプリに組み込むためのembedded scripting languageで、static typedかつJIT-compiledなのが特徴 公開から1年で、6つの新バージョンが出て、機能もかなり増えた `while` / `for`、`enum`、`List`、`const`、`+=` など、実用寄りの機能がどんどん追加された Rustとの連携方法が改善され、`library!` マクロで登録がかなり書きやすくなった ロゴ、講演、マニュアル改善、外部採用など、プロジェクトとしての存在感も一気に増した 今後は `hashmaps`、ユーザー定義 state、generic functions、formatter、LSP などが課題 Rotoは、Rustアプリの中で動かすためのスクリプト言語です。 ただの「スクリプト」ではなく、型が静的に決まる（実行前に型がチェックされやすい）うえに、JIT-compilation（実行しながら高速化する仕組み）を使うのが大きな特徴です。 ここが面白いところで、普通のスクリプト言語は「

papoo.work

10年前のXeonでGemma 4を動かすという狂気と工夫

2016年製のXeon、DDR3メモリ、GPUなしという“普通なら無理”な環境でLLMを動かした話 速さのカギはCPU性能よりもmemory bandwidth（メモリからデータを運ぶ速さ） speculative decoding で、重いモデルの前に軽いモデルを走らせて高速化している MoE（Mixture of Experts）モデルでは、どの expert をどう扱うかが性能に直結する mlock や run-time-repack みたいな地味な最適化が、古いマシンではかなり効く 便利な黒箱ツールではなく、細かいフラグを理解して使い分けることが重要 「10年前のXeonで最新級のLLMを動かす」と聞くと、正直かなり無茶に見えます。 でも今回の元記事は、その“無茶”をちゃんと工夫で押し切る話で、かなり面白いです。私はこういう、性能の限界をソフトウェアでねじ伏せる系の話が大好きです。ロマンがあります。 舞台は、2016年製の Intel Xeon E5-2620 v4 を積んだ再生サーバー。 メモリはなんと **128GB DDR3

papoo.work

License Plate Readerを見える化する「DeFlock」とは何か

DeFlockは、近くにある license plate reader（LPR）を探せるサイトです。 LPRは、車のナンバープレートを自動で読み取るカメラのことです。 こうした機器は、交通管理や防犯に使われる一方で、移動の記録が集まりやすいため、プライバシーの観点でも注目されています。 DeFlockの面白さは、見えにくい監視インフラを地図で可視化しようとしている点にあると思います。 「便利だからOK」で終わらず、どこで何が見られているのかを知ることが大事だ、という問題提起にもなっています。 DeFlock は、ひとことで言うと 「自分の周りにある license plate reader（LPR）を見つけるためのサービス」 です。 元記事の説明文もとてもシンプルで、“Find license plate readers (LPRs) near you.” と書かれています。つまり、「近くのLPRを探そう」というわけです。 LPRというのは、車のナンバープレートをカメラで読み取る仕組みのことです。 日本語だと「ナン

papoo.work

AI時代の「仕事の喪失感」──テック業界で広がる“名前のない悲しみ”を読む

AIによる仕事の置き換えは、単なる「不安」や「焦り」ではなく、喪失に近い感情を生んでいる その感情は、給料よりも先に職業アイデンティティを揺さぶる 仕事がなくなる前から、すでに「自分の仕事の意味が消えていく」ことを悲しむ人がいる しかし会社側や社会は、それを正式に悼む言葉を持っていない 著者は、これをgrief（悲嘆・喪失の悲しみ）に近いものとして捉えるべきだと主張している 今回紹介する記事は、AIによる雇用の変化を、かなり珍しい角度から見ています。 ふつうAIの話というと、「仕事が奪われる」「効率が上がる」「失業が増える」といった経済の話になりがちです。もちろんそれも大事です。ですがこの記事は、そのさらに奥にある人間の感情に注目しています。 著者のJack Maguire氏は、AIによる仕事の置き換えで起きているのは、単なる恐怖やストレスではなく、grief＝悲嘆、つまり喪失を悼む感情に近いものだと論じています。 これはかなり面白い視点だと思います。というのも、テック業界では「変化に適応しろ」「新しいツールを使え」と言われがちですが、実

papoo.work

AI企業が「無料で家を掃除」する理由──未来のロボットを育てるためのデータ集め

AIスタートアップのShiftが、家の掃除を無料で行うという変わったサービスを始めた ただし条件は、掃除の様子を撮影してAI学習用データに使うこと 撮影には、作業者がかぶるカメラ付きの帽子（magic hat）を使う ぼかし処理などで個人情報は保護するとしているが、家の中を撮られる点はやはり気になる 現時点ではニューヨーク限定だが、今後ほかの都市にも広げる予定 掃除だけでなく、将来的には配管・料理・建築などにも広げたい考え AIの世界では、最近「データ」がとにかく重要です。 モデルを賢くするには、たくさんの学習データが必要。これは画像でも文章でも同じですが、ロボットの世界ではさらにややこしい。というのも、ロボットは「言葉を読む」だけでは動けません。人間が実際にどう手を動かしているか、どんな順番で掃除しているか、どこで迷うか、といった“現場の動き”が必要だからです。 そんな中でThe Vergeが紹介したのが、AI training startupのShiftです。 この会社、なんと家の掃除を無料でやると申し出ています。聞こ

papoo.work

Pluto 1.0正式リリースで、Juliaのノートブック環境が「完成形」に近づいた話

Plutoが、6年かけてついに version 1.0 をリリース Julia向けの interactive notebook として、再現性・共有・教育用途が大きく強化された 自動パッケージ管理、HTML/PDF/Juliaへのexport、反応的なcell制御などが実用レベルに成熟 アクセシビリティや多言語対応も進み、日本語UI も使える AI機能は「コード生成ツール」ではなく、学習を助ける補助にとどめる方針がはっきりしている Plutoは、Juliaで使うための interactive notebook environment です。 ざっくり言うと、コードを書いて、結果をすぐ確認できる「実験ノート」のようなものです。 Jupyter Notebook を知っている人ならイメージしやすいと思いますが、Plutoはそこにさらに一歩踏み込んでいて、セル同士が自動でつながるのが大きな特徴です。 あるセルの値を変えると、それに依存する別のセルが自動で再計算されます。スプレッドシートっぽい動き、と説明されていましたが、これはかなり本質をついて

papoo.work