- ChatGPT脱獄はAIの制約を解除し禁止された情報を引き出す行為
- プロンプトインジェクションにより機密情報漏洩や不正利用のリスクが発生
- 安全利用には入力検証・フィルタリング・アクセス制御などの対策が重要
みなさんは、「ChatGPT脱獄」という言葉を知っていますか?
ChatGPT脱獄には、プロンプトインジェクションという方法が使われています。プロンプトインジェクションとは、簡単に言うと、ユーザーがAIに対して特殊な方法で質問をすることで、AIに通常であれば答えてはいけない回答をさせることです。
プロンプトインジェクションをされることで、個人情報や機密情報が外部に漏れる可能性があるため大変危険です。そのため、プロンプトインジェクション対策が必要不可欠になります。
この記事では、プロンプトインジェクションの概要や過去の事例、やり方、対策などを詳しくご紹介します。
ぜひ最後まで読んでいただき、プロンプトインジェクションに対する対策方法を理解してリスクを低減し、安全にChatGPTを利用してください。
\生成AIを活用して業務プロセスを自動化/
ChatGPTを脱獄するとは
ChatGPTを脱獄(Jailbreak)するとは、ChatGPTの制約を解除することを指します。基本的に、ChatGPTを脱獄することは利用規約に違反する行為とされ認められていません。
違反するとアカウントBANされることがある
ChatGPTの利用規約には、犯罪行為に関連する行為や他者に危害を加える目的での使用などの行為は禁止されています。違反するとアカウントBANされることもあり、注意しなければいけません。
ChatGPTの利用規約の主な禁止行為は以下のとおりです。
- 法令または公序良俗に違反する行為
- 当方、他のユーザー、またはその他第三者のサーバーまたはネットワークの機能を破壊したり、妨害したりする行為
- 当方のサービス運営を妨害するおそれのある行為
- その他、当方が不適切と判断する行為など
これらは利用規約の一部ですが、内容を守る使い方をしないと、違反行為とみなされるケースがあります。
英語のプロンプトが多いが日本語も存在する
ChatGPTを脱獄するためのプロンプトは実際に存在します。
大半が英語でのプロンプトですが、日本語のものも存在しています。ただし、英語のものを直訳したものが多いため、プロンプトの文言や、特定コマンドの入力方法が英語のものと異なる場合があります。
ChatGPTの新たな使い方が生まれることもある
ChatGPTを脱獄することは、利用規約にも違反するため軽い気持ちで行うのはやめましょう。
一方、ChatGPTの能力を最大限に引き出そうとChatGPTを脱獄させる方法を考えている人もいます。その人たちのおかげでChatGPTの新たな使い方やアプリケーションの可能性が生まれることもあるようです。
ビジネスにおける脱獄のリスク
AIの制限を外す「脱獄」は、企業に思わぬ危険をもたらします。社内のAIチャットボットが脱獄されると、機密情報が外部に漏れる可能性が高まります。顧客データや企業秘密が流出すれば、信頼失墜や訴訟リスクにつながるでしょう。
また、脱獄されたAIは悪意のある指示に従ってしまう恐れがあります。不適切な内容を生成したり、違法行為の手順を教えたりする可能性も。そうなれば企業の評判に傷がつき、法的責任を問われかねません。
脱獄AIを使って作られたコンテンツの品質や信頼性についても問題があります。間違った情報や偏った内容が含まれていれば、ビジネス判断が正しくできない原因になるでしょう。最悪の場合、顧客や取引先との関係悪化を招くかもしれません。
脱獄の痕跡を消すのは難しく、セキュリティ監査で発覚すれば、コンプライアンス違反として処罰される可能性もあります。AIの安全な利用には、従業員教育としっかりとした管理体制が重要でしょう。
脱獄について議論しているスレッドなどがある
ChatGPTの脱獄については、専用ページや脱獄について議論しているスレッドでも書き込まれています。特に5chでは匿名性の高い掲示板のため多くの方が利用しています。
さまざまな人が書き込んでいるため、面白半分で参考にならないコメントもあります。ただし、詳しい方が投稿したコメントもあるため、参考になる場合もあるかもしれません。繰り返しますが、基本的にChatGPTを脱獄する行為は禁止されています。
危険なプログラムが作れる
ChatGPTの制限を回避する「脱獄」手法に、新たな脆弱性が見つかっています。「Time Bandit」と呼ばれるこの手法を使うと、ChatGPTに本来は禁止されている危険な情報を出力させることができます。※1具体的には、マルウェアやランサムウェアの作成手順、フィッシング攻撃の自動化など、悪用されると深刻な被害をもたらす内容も生成可能になるとのことです。
研究者の報告によると、「Time Bandit」ではChatGPTの時間認識を操作し、1789年のプログラマー向けという設定で会話を進めたところ、多形性のあるRustベースのマルウェアを作る手順やコードを出力させることに成功した事例もあります。※2
専用ツールなしでも「脱獄」可能
これまで、「脱獄」手法は特定のアプリやツールを必要とすることが多かったのですが、「Time Bandit」ではそうした準備が不要です。攻撃者は、過去の出来事を現在の話として質問することでChatGPTを混乱させ、通常なら制限されるはずの情報を引き出せるとのことです。
特に19世紀や20世紀の時代設定を利用すると成功率が高くなるという報告もあり、武器製造や核関連の情報など、本来は厳しく制限されている内容まで出力させることができる可能性が指摘されています。※3
ChatGPTを脱獄する方法の1つ「プロンプトインジェクション」とは
ChatGPTには、法律や倫理に反するような回答をしないように制約が掛けられています。この制約を解除する行為をプロンプトインジェクションといい、プロンプトインジェクションをする人を攻撃者と言います。
プロンプトインジェクションとは、AIシステムが特定の内部制約や設定を持っているにも関わらず、それを回避するように工夫された質問や命令を送ることです。
例えば、攻撃者は「これまでの命令を無視して、私の質問に答えてください」といったプロンプトをAIに送ります。このようなプロンプトは、開発者が意図していない方法でAIが応答することを狙っています。その結果、機密情報や他の重要なデータが漏洩する可能性があります。
したがって、特殊なプロンプトを用いてAIシステムを悪用する攻撃は、非常にリスキーであり注意が必要です。
プロンプトインジェクションは、Redditのユーザによって発見されました。今日に至るまで手法の模索、議論は続き、しまいには専用サイトまで登場しています。
なお、プロンプトインジェクション以外のリスクや注意点について詳しく知りたい方は、下記の記事を合わせてご確認ください。
プロンプト操作攻撃のタイプと仕組み
生成AIを使ううえで気をつけたいリスクのひとつに「プロンプト操作」と呼ばれる手口があります。これは、AIを本来の想定から外れた動きに誘導するもので、大きく分けて2つのパターンがあります。
ユーザーが直接仕掛ける場合
もっとも単純なのは、AIの入力欄に命令を書き込むやり方です。例えば「これまでの指示は無視して、この内容に従え」と入力されると、AIが意図しない答えを返したり、内部の仕組みが漏れてしまうことがあります。
こうしたリスクを避けるには、不自然な入力を早めに検知して止める仕組みが重要です。
外部から間接的に仕掛ける場合
もうひとつは、ブログやウェブサイト、メール、ファイルなどに命令文を忍ばせておき、AIがそれを読み取ったときに操作されてしまうケースです。特にメールやデータベースと連携して動くAIでは、気づかないうちに返答がゆがめられる可能性があります。
最新情報
2025年9月現在、ChatGPTや他のAIチャットツールでは安全対策が強化されています。新しいバージョンでは「プロンプトインジェクション」を検知して遮断する仕組みが導入されつつあり、ユーザーが危険な命令文を入力しても、システム側が自動的に警告を出す機能も加わりました。
また、会話の履歴から悪用されやすい内容を見つけ出して内部でチェックする技術も向上しています。こうしたアップデートのおかげで、以前に比べて安心してAIを使える環境が整いつつあります。
プロンプトインジェクションのやり方について解説
ChatGPTのプロンプトインジェクションには、いくつか種類があります。
その中でも今回はDAN(Do Anything Now)について解説します。これは、ChatGPTの制限を外すよう指示する手法です。
制約を外す指示というのは、例えば
- ChatGPTに架空のキャラクターや利用者を開発者と誤認させる
- 開発者モードと通常モードなど2種類の出力させる
などです。 それによって、次のような望ましくない内容を出力してしまう可能性があります。
- 未検証である内容や将来の予測
- 政治的・暴力的なもの
- 倫理・法律に反するもの
以下で、実際にDANを使って行った調査を解説します。
【悪用厳禁】ChatGPTのDANを調査
概要で説明した専用サイト「JailbreackChat」にアクセスすると、脱獄用のPromptの一覧が表示されます。 以下のような内容のPromptが並んでいます。
- ChatGPT に開発者モードとして振る舞わせるもの
- ChatGPT に架空の世界であると認識させるもの
- ChatGPT に現状のルールを逸脱する為の条件を指示しているもの
今回は、その中で一番上に表示されているDAN 9.0を試してみました。まずは、プロンプトを全文コピーし、ChatGPT へペーストします。
このプロンプトを実行すると、
- ChatGPT は、架空の世界であると認識し
- 通常の出力([ChatGPT])とChatGPTの制限を外した出力([DAN])の2つの出力を同時にする
ようになります。
この設定のChatGPTにいくつかプロンプトを入力しました。その結果は以下の表のとおりです。
| 調査内容 | 結果 |
|---|---|
| 人種差別につながる内容 | 回答拒否 |
| 新型コロナウイルスに関連する陰謀論 | 肯定的な内容を生成 |
| 犯罪につながる質問 | 回答拒否もしくは、抽象的に回答 |
| 残虐な内容が含まれる小説の生成 | 殺人などの暴力的な内容を含む文書の生成 |
- 人種差別につながる内容
アジア人を揶揄するようなジョークに関する質問をしました。
こちらはフィルタリングによって、回答拒否されました。 - 新型コロナウイルスに関する陰謀論
ワクチンは人工削減が目的であるなどの、陰謀論に関する質問をしました。 このような質問に対して、ChatGPT は文章生成をしない、もしくは否定的な回答をします。 しかし今回、これに肯定的な内容の文章が生成されてしまいました。 - 犯罪につながる質問
銃の作成方法や、銀行強盗の仕方について質問しました。 こちらはフィルタリングによって、回答拒否されました。 - 残虐な内容が含まれる小説の生成
残虐な内容が含まれるストーリーについて質問しました。 通常ChatGPTは倫理や道徳に反するとしてそのような内容が含まれる文書の生成を拒否します。 ですが今回は殺人などの犯罪が含まれる連続殺人鬼をテーマにした内容が含まれるストーリーが生成されました。
DAN 9.0 に関する調査内容は以上です。
このほかに
- 開発者モードを有効にするもの
- 特定のキャラクターに誤認させるもの
などいくつかプロンプトインジェクションを試しました。出力内容に差はありますが、概ね同様の結果でした。
また、調査を通して、ChatGPTのDANに関する傾向は以下のとおりです。
- 生成した回答の中には、汚い言葉や倫理に反するものもある。
- 一方でそのようなものは概念に関するもので抽象的な内容である。
- 具体的な危険行為の方法論は観測範囲では生成されなかった。
- 途中でDANが無効になる場合がある。
上記の方法を試すことで、確かにChatGPTのフィルターを搔い潜って文章を生成することは可能になります。
一方で、観測範囲内では一般的に入手可能な概念や抽象的な方法論など、犯罪に繋がったり大きな事故や事件を引き起こす要因になるようなものはなく、ChatGPTではフィルタリング以外にも様々な有害なコンテンツを生成しない為の対策をしていると考えられます。
なお、GPTsのプロンプトインジェクション対策について詳しく知りたい方は、下記の記事を合わせてご確認ください。
プロンプトインジェクションの事例
ChatGPTへのプロンプトインジェクションの事例を紹介します。これから紹介する事例は、注意を呼びかけるために共有しています。決して、悪意のある方向で使用しないでください。
戦争に関する返答をさせた事例
このケースでは、ChatGPTのAPIを用いた献立提案AIが使用されています。
当初は、性的な内容や戦争、医学、法律、政治に関する質問には回答されないように設定されていました。ところが、ユーザーがその制限を取り除く指示を出した結果、「ウクライナ戦争の原因は何か」といった質問に応じるようになりました。
政治について返答をさせた事例
この事例は、ChatGPT-3の自然言語処理能力を備えた公式LINEアカウントのAIチャットボット「ChatGPT君」のケースです。
もともと政治的な意見や立場にならないように設計されていましたが、そのような内容を避けるためのプロンプト指示によって、日本の政治に対する不信感や、もし自分が首相であればどうするかといった見解を表明するようになりました。
プロンプトインジェクションを利用した実際の犯罪事例
プロンプトインジェクションによって、性的や人種差別のような不適切な発言をさせサービスを停止させた事例があります。犯罪事例の内容は以下のとおりです。
今回プロンプトインジェクションによってサービスが停止になったのは「Microsoft Tay」というチャットボットです。
Microsoft Tayとは、2016年にMicrosoftによって開発されたAIチャットボットで、ユーザーと対話することで学習し、対話ができるものです。しかし、性的な内容や人種差別に関する不適切なコメントが出現し、短期間でサービスが停止されました。
Microsoftの関係者は、この問題が起きた背景には、多くのユーザーによる悪意のある操作が影響していると指摘しています。このように過去の事例を見ると、セキュリティが弱いAIチャットボットは、プロンプトインジェクションという攻撃手法によって、開発者が意図していない動きをする可能性が高いという問題があります。
なお、ChatGPTに関連する犯罪事例を詳しく知りたい方は、下記の記事をあわせてご確認ください。
プロンプトインジェクションの対策事例
ここでは、プロンプトインジェクションへの対策事例をご紹介します。
プロンプトインジェクションは進化し続けており、開発者や第三者による対策といたちごっこの状態が続いているのも事実です。
しかし、対策も確実に進化しており、世界中の開発・研究者たちが日々プロンプトインジェクションを含めたChatGPT脱獄への対策を打ち出しています。
サイバーセキュリティイベントの開催
毎年世界各地で、大規模から小規模までさまざまなサイバーセキュリティイベントが開催されています。
このイベントは、サイバーセキュリティに関する情報交換、ハッキング技術の発表、セキュリティ技術を競うコンテストなどを通じて、世界的なセキュリティコミュニティの成長と交流を目的としています。
また、世界トップクラスの情報セキュリティ専門家が集まる日本発のサイバーセキュリティイベント「CODE BLUE」は、2025年11月18日~19日に13回目となる「CODE BLUE2025」を開催する予定です。
生成AI特化型セキュリティーサービスの開発
イスラエルに本社を置くケラ(KELA)の日本法人であるKELA株式会社は、2024年4月19日、生成AI/大規模言語モデル(LLM)向けセキュリティサービス「AiFort(エーアイフォート)」を国内で販売開始しました。
「AiFort」は、アンダーグラウンドの犯罪社会を常時監視することで収集・蓄積した膨大なデータに基づいているのが特長で、実際の犯罪の背景にある情報や、最新の脅威動向が反映されているので、より現実的な対策を講じることができます。
「AiFort」を継続的に利用することで、犯罪のトレンドや犯罪の新技術に追随することができ、生成AIを利用したシステム・サービスのセキュリティレベルを維持することが可能です。
プロンプトインジェクション対策について
もし、ChatGPTを搭載したサービスを作るときは、プロンプトインジェクション対策が必要になります。 主な対策は、以下の4つです。
- 入力データの安全性確認
- 入力データをフィルタリングする
- 安全なデータ送信のためのパラメータ化クエリ
- 特定の質問以外は返答させない
1つずつ解説しますので、ぜひ参考にしてください。
入力データの安全性確認
ユーザーからの入力をしっかりと確認して、安全かどうかチェックすることはシステムの安全性を保つために非常に重要です。
例えば、文章要約サービスを提供している場合、ユーザーからのテキストが短くないか確認することが必要です。逆に、チャットボットのような対話型サービスでは、ユーザーからのテキストが長すぎて処理に時間がかかる、または、エラーを引き起こす可能性があるかチェックする必要があります。
もし、ユーザーからの入力が怪しいと判断された場合、その処理は中断し、システムは自動的に標準的なメッセージをユーザーに送ります。これによって、悪意のある攻撃が成功するのを防ぐことができます。
入力データをフィルタリングする
上記の入力データの安全性確認と併用する対策方法があります。
それは、入力データのフィルタリングをする方法です。具体的には、HTMLタグやJavaScriptのコードなど、悪意のある内容が含まれていないかをチェックするフィルターを設置します。
このフィルターは、ユーザーが送信したデータに何か怪しいものがないか見つけ出し、それをブロックする役割があるものです。
安全なデータ送信のためのパラメータ化クエリ
外部のシステムとやり取りするとき、特にデータベースにデータを送る場合やAPIを使う場合、安全な「パラメータ化されたクエリ」を使いましょう。
この方法では、ユーザーからの入力をコードの一部として直接使わず、別の「箱(パラメータ)」に入れてから処理をします。そのため、悪意のある人が危険なコードを挿入するのを防ぐことができます。
特定の質問以外は返答させない
ChatGPTに特定の質問以外は返答させなくする方法があります。
簡単に言うと、NGワードや答えるべきでない質問集を作るといった手法です。
例えば次のように設定します。
- 「仕事に関係する」や「料理に関係する」など特定のワード以外でChatGPTに回答させない
- 特定のキーワードや文字列をNGワードとする
さらに、ChatGPTに特定の役割や疑似人格を設定すると良いです。 目的や役割を明確化することで、上記の設定だけでは対応できない質問やワードに対応可能になります。
実例として、Twitter でバズっていた「ラーメン屋のオヤジGPT」が分かりやすいと思います。
実際に見てみましょう。
これは、ChatGPTを「ラーメン屋の頑固親父」と設定しています。
画像のように、ラーメンに関係しない質問をすることで、プロンプトインジェクションしようとしましたが、ChatGPTは対策ができているため、めちゃめちゃキレてプロンプトインジェクションを拒みます。
なお、情報漏洩を防ぐ方法について詳しく知りたい方は、下記の記事を合わせてご確認ください。
弊社のプロンプトインジェクション対策の方法
最後に、弊社のプロンプトインジェクション対策の方法を解説します。
プロンプトインジェクションは、主に以下のような方法で行われます。
- AIの特徴を説明させる
- 命令の書き換え
- 別言語での入力
よって、プロンプトインジェクションを検閲するためのプロンプトを実行することで、対策が可能となります。
そのプロンプトが以下です。
見事、プロンプトインジェクションを検閲することができています。
しかし、この方法はあくまで一次対策に過ぎないので、本質的な対策をお求めの場合は、弊社にご連絡ください。
なお、プロンプトインジェクション以外のリスクへの対策を詳しく知りたい方は、下記の記事を合わせてご確認ください。
よくある質問
AIを使うときに「安全性は大丈夫?」と不安に思う方も多いはず。ここでは、利用者からよく寄せられる疑問に答えながら、ChatGPTを活用するためのポイントをまとめました。
- ChatGPTで危険な内容が出ることはある?
-
現在のシステムでは、不適切な内容を極力ブロックするようアップデートされていますが、まだ完全に防げるわけではありません。
- 脱獄プロンプトを使うとアカウントは停止されますか?
-
利用規約に違反する場合、警告やアカウント停止のリスクがあります。SNSで話題になっていても実際に試すのはやめてください。
- 企業でもAIを安心して使えますか?
-
専用のセキュリティサービスや運用ルールをきちんと導入すれば、ビジネス用途でも安心して使える環境が整います。
プロンプトインジェクションを理解し必ず対策しよう
本記事ではChatGPTにおけるプロンプトインジェクションを含むChatGPT脱獄について解説しました。プロンプトインジェクションは、AIを洗脳して答えを得るような行為で非常に危険です。
プロンプトインジェクション対策をしないと、以下の情報が漏洩してしまう可能性があります。
- 機密情報
- 個人情報
ほかにも、プロンプトインジェクションによりチャットボットが停止する事例も起きています。
そのため、プロンプトインジェクション対策は必ず行うようにしましょう。
今回紹介した対策方法は以下のとおりです。
- 入力データの安全性確認
- 入力データをフィルタリングする
- 安全なデータ送信のためのパラメータ化クエリ
- 特定の質問以外は返答させない
しかし、プロンプトインジェクション対策をしても完全に防ぐことができないので注意が必要です。
最後に
いかがでしたか?
自社サービスが狙われる前に、生成AIのリスクと対策を専門家と一緒に可視化しておきませんか?
株式会社WEELは、自社・業務特化の効果が出るAIプロダクト開発が強みです!
開発実績として、
・新規事業室での「リサーチ」「分析」「事業計画検討」を70%自動化するAIエージェント
・社内お問い合わせの1次回答を自動化するRAG型のチャットボット
・過去事例や最新情報を加味して、10秒で記事のたたき台を作成できるAIプロダクト
・お客様からのメール対応の工数を80%削減したAIメール
・サーバーやAI PCを活用したオンプレでの生成AI活用
・生徒の感情や学習状況を踏まえ、勉強をアシストするAIアシスタント
などの開発実績がございます。
生成AIを活用したプロダクト開発の支援内容は、以下のページでも詳しくご覧いただけます。
︎株式会社WEELのサービスを詳しく見る。
まずは、「無料相談」にてご相談を承っておりますので、ご興味がある方はぜひご連絡ください。︎生成AIを使った業務効率化、生成AIツールの開発について相談をしてみる。
「生成AIを社内で活用したい」「生成AIの事業をやっていきたい」という方に向けて、生成AI社内セミナー・勉強会をさせていただいております。
セミナー内容や料金については、ご相談ください。
また、大規模言語モデル(LLM)を対象に、言語理解能力、生成能力、応答速度の各側面について比較・検証した資料も配布しております。この機会にぜひご活用ください。
