OpenAIは2026年6月6日、プロンプトインジェクション攻撃によるデータ持ち出しのリスクを低減する新機能「ChatGPT Lockdown Mode」を公開しました。
対象は個人アカウント、セルフサービス型のChatGPT Businessユーザー、管理対象のエンタープライズワークスペースです。本機能は外部ネットワークへの通信を制限し、有効時にはライブWebブラウジングをキャッシュ済みコンテンツのみに限定し、画像取得を制限し、ディープリサーチとエージェントモードを無効化します。Canvasのネットワーク通信の承認とファイルのダウンロードも制限されます。メモリ、ファイルのアップロード、会話の共有、モデルのトレーニング設定は影響を受けません。Lockdown ModeとDeveloper Modeは相互に排他的であり、Codexのネットワークアクセスには影響しません。OpenAIは本機能が完全な保護を保証するものではないとしています。個人とBusinessのユーザーは設定からLockdown Modeを有効にできます。
From: New ChatGPT Lockdown Mode to Mitigate Prompt Injection and Data Exfiltration Attacks
【編集部解説】
まず押さえておきたいのは、この機能が「すべての人のためのもの」ではないという、OpenAI自身の位置づけです。OpenAIは Lockdown Mode を、機微なデータを扱う経営層やセキュリティ部門など、攻撃の標的になりやすい一部の高リスク利用者向けの上級設定だと明言しています。一般ユーザーには必須ではない、という前提から出発する機能だという点が重要です。
時系列も補足しておきます。今回の報道は新機能の「初公開」のように読めますが、実際にはエンタープライズ向け(ChatGPT Enterprise、Edu、Healthcare、Teachers)として2026年2月に発表されていたものです。今回のニュースの本質は、これが Free、Go、Plus、Pro といった個人アカウントとセルフサービス型のBusinessアカウントへと対象を広げた点にあります。つまり「新登場」ではなく「一般への開放」と捉えるのが正確です。
では、なぜこの機能が必要なのでしょうか。背景にあるのがプロンプトインジェクションという攻撃です。これは、Webページやファイルといった「AIが読み込むコンテンツ」の中に悪意ある命令を仕込み、AIをだまして機微な情報を外部へ送信させる手口です。人間を狙うソーシャルエンジニアリングの、AI版だと考えると分かりやすいでしょう。
ここで Lockdown Mode の設計思想が効いてきます。攻撃の流れを「侵入」と「持ち出し」の2段階に分けたとき、本機能が遮断するのは後者、すなわち情報を外部の攻撃者へ送り出す「出口」だけです。ライブWebブラウジングをキャッシュに限定し、ディープリサーチやエージェントモードを無効化するのは、いずれも外部へデータが流れる経路を断つためです。逆に言えば、悪意ある命令がAIの思考に入り込むこと自体は、この機能では防げません。
この「出口だけを塞ぐ」という割り切りこそ、本件で読者に伝えたい核心です。技術メディアのThe Decoderは、これを問題の根治ではなく応急処置(band-aid)だと評しています。プロンプトインジェクションはGPT-3の頃から知られる脆弱性であり、長年の研究を経てもなお決定的な解決策が見つかっていないという指摘です。Lockdown Mode の存在そのものが、ChatGPTが標準設定では十分な持ち出し対策を備えていないことを示唆している、という見方もあります。
この構図は、AIエージェント時代の本質的なジレンマを映し出しています。AIがWebを閲覧し、メールを読み、コードを実行できるようになるほど、できることは増えますが、同時に攻撃可能な接点も劇的に広がります。Lockdown Mode が browsing やエージェント機能をまとめて止めるのは、利便性と安全性が裏表の関係にあることの証左にほかなりません。最前線のAI研究所ですら、この接続性のリスクを封じ込めるのに苦慮しているわけです。
実務面では、注意すべき設計上の制約もあります。Lockdown Mode と Developer Mode は同時には使えず、片方を有効にするともう片方が自動で切れます。また、コーディング支援のCodexのネットワークアクセスには本機能は及びません。企業の管理者にとっては「有効化すれば自動で安全」ではなく、RBAC(ロールベースアクセス制御)の設定や信頼できるアプリの個別評価という、地道な運用作業が前提になる点も見落とせません。なお個人アカウントでは、すでに同期済みのデータへのコネクター接続は許容される一方、ライブアクセスや書き込み、金融・買い物関連の機能は遮断される、といった挙動の違いもあります。
規制やガバナンスの観点では、OpenAIがアプリやコネクターを「高・中・低」のリスク階層に分類し、監査ログを提供する Compliance API を併せて整備していることに注目しています。これは、AIの安全性を製品単体の機能だけでなく、組織の運用ルールと監査の枠組みで担保しようとする発想です。今後、金融や医療など機微なデータを扱う領域で、こうした多層防御が事実上の標準として求められていく可能性があります。
長期的に見れば、Lockdown Mode は「AIにどこまで自由を与えるか」を利用者自身が選べるようにする、リスクの自己決定の試みだと位置づけられます。OpenAIはプロンプトインジェクションを現時点では大きなリスクではないとしつつ、攻撃手法の高度化に伴って影響が拡大し得るとも認めています。利便性を取るか、堅牢さを取るか。その判断を一人ひとりに委ねる仕組みが整い始めたこと自体が、AIが日常のインフラへと深く入り込んでいく時代の、一つの節目だと言えるのではないでしょうか。
【用語解説】
プロンプトインジェクション
AIモデルが読み込むWebページやファイルなどのコンテンツに悪意ある指示を埋め込み、AIをだまして本来の意図に反する動作をさせる攻撃手法。人間を標的とするソーシャルエンジニアリングのAI版にあたる。
データ持ち出し(exfiltration)
攻撃者が機微なデータを、利用者の手元から外部の管理下にある送信先へ不正に転送すること。プロンプトインジェクション攻撃の最終段階に位置づけられる。
エージェントモード
ChatGPTが利用者に代わって自律的に一連の操作を実行する機能。Web閲覧やアプリ操作などを含むため、攻撃の接点が広がりやすい。
ディープリサーチ
複数の情報源を横断的に調べ、まとまった調査結果を生成するChatGPTの機能。外部への通信を多用するため、Lockdown Mode では完全に無効化される。
Canvas
ChatGPT上で文章やコードを編集・実行できる作業領域。生成したコードがネットワーク通信を行う場合があり、Lockdown Mode 下ではその承認が制限される。
コネクター
ChatGPTを外部のアプリやサービスと接続し、データの読み書きを可能にする仕組み。接続先の信頼性によってデータ持ち出しのリスクが変わる。
RBAC(ロールベースアクセス制御)
利用者の役割(ロール)ごとに操作権限を割り当てる管理手法。エンタープライズの管理者がLockdown Modeを特定の利用者やグループに適用する際の基盤となる。
Compliance API Logs Platform
アプリの利用状況、共有されたデータ、接続されたソースを継続的に記録・監査できるOpenAIの仕組み。Lockdown Modeの状態とは独立して機能する。
Developer Mode
開発者向けの設定。Lockdown Modeとは相互に排他的で、一方を有効にすると他方が自動的に無効になる。
Codex
OpenAIのコーディング支援ツール(coding assistant)。Lockdown Modeを有効にしても、そのネットワークアクセスには影響が及ばない。
Elevated Risk(高リスク)ラベル
追加のリスクを生じ得る一部の機能に表示される統一的な注意表示。ChatGPT、ChatGPT Atlas、Codexで共通して用いられる。
【参考リンク】
Introducing Lockdown Mode and Elevated Risk labels in ChatGPT(外部)
Lockdown ModeとElevated Riskラベルの導入を発表したOpenAIの公式記事。設計思想や対象範囲が一次情報として記されている。
Lockdown Mode(OpenAI ヘルプセンター)(外部)
本機能の仕様や有効化手順、制限される機能を説明したOpenAI公式のヘルプページ。実務的な解説が中心となっている。
OpenAI 公式サイト(外部)
ChatGPTやGPTシリーズを開発するOpenAIの公式サイト。製品情報や研究、安全性に関する取り組みが掲載されている。
ChatGPT(外部)
OpenAIが提供する対話型AIサービスの公式ページ。Free、Go、Plus、Pro、Businessなどのプランが案内されている。
【参考記事】
Introducing Lockdown Mode and Elevated Risk labels in ChatGPT(OpenAI)(外部)
2026年2月13日付の公式発表。当初はエンタープライズ向けに導入されたこと、高リスク利用者向けの上級設定であること、消費者向けには数か月以内の提供を予定としていることを記す。
ChatGPT’s new Lockdown Mode lets you disable web access and more to protect sensitive data from prompt injection(The Decoder)(外部)
2026年6月7日付。本機能を根治ではなく応急処置と評し、プロンプトインジェクションがGPT-3以来未解決の脆弱性だと指摘する。
OpenAI’s Lockdown Mode Locks Down ChatGPT Against Prompt Injection Attacks(OpenTools)(外部)
2026年6月時点の記事。Free、Go、Plus、Proおよびセルフサービス型Businessを含む全ユーザーへ拡大されること、2月の先行導入を報じる。
OpenAI rolls out a Lockdown Mode for extra protection against prompt injection attacks(Engadget)(外部)
2026年6月付。本機能を最後の防衛線と紹介し、画像生成や写真アップロードは可能だがWeb画像の取得・表示は制限される挙動を整理する。
OpenAI Help: Lockdown Mode(Simon Willison’s Weblog)(外部)
2026年6月5日付。本機能の存在自体が標準設定の保護の限界を示唆すると論じ、高リスク利用者には価値あるツールだと評価する。
【編集部後記】
AIに「何でも頼める」ことと「何でも任せて安全」であることは、必ずしも同じではありません。今回のLockdown Modeは、その線引きを私たち自身が選べるようにする試みでもあります。みなさんは、AIにどこまでの自由を与えたいでしょうか。仕事で機微な情報を扱う場面を思い浮かべながら、便利さと安心のちょうどいい塩梅を、一緒に考えてみませんか。私たちもまだ答えを探している最中です。気づいたことがあれば、ぜひ聞かせてください。