ThinkTrap：ChatGPTなどのAIサービスを「考えすぎ」で止める新しいサイバー攻撃

はじめに

ChatGPT、Gemini、Claudeなど、AIと会話できるサービスが急速に普及しています。しかし、こうしたAIサービスには従来のサイバー攻撃とは異なる新しい弱点があることが、最新の研究で明らかになりました。

本記事では、上海交通大学の研究チームが発表した論文をもとに、AIサービスを停止に追い込む新しい攻撃手法「ThinkTrap」について解説します。

そもそもDoS攻撃とは？

DoS攻撃（Denial of Service attack）とは、ウェブサイトやオンラインサービスを使えなくする攻撃のことです。

お店に大量の人を送り込んで入口を塞ぎ、本当のお客さんが入れなくする嫌がらせをイメージしてください。従来のDoS攻撃も同様に、大量のアクセスを送りつけてサーバーをパンクさせる手法でした。

ThinkTrap攻撃とは？

「大量アクセス」ではなく「難問を解かせる」攻撃

ThinkTrapは従来とは全く違うアプローチを取ります。AIに「特殊な質問」を投げかけて、延々と考え続けさせる攻撃です。

学校の先生に質問する場面で例えると：

• 従来の攻撃：100人の生徒が同時に「先生！」と呼びかけて困らせる
• ThinkTrap：1人の生徒が「宇宙の果てはどうなっているか、すべての可能性を説明して」と質問し、先生を何時間も考え込ませる

たった数件の質問を送るだけで、AIサービス全体を止めてしまえるのです。

なぜAIは「考え続けて」しまうのか？

ChatGPTのようなAIは、質問を受けると一文字ずつ答えを生成しています。普段は適切なところで回答を終えますが、ThinkTrapの特殊な質問を受けると、「ここで終わりにしよう」という判断ができなくなり、延々と文章を生成し続けてしまいます。

AIにWebアプリを攻撃させてみた 【Strix】

AIエージェントによる次世代セキュリティ診断に興味はありますか？ Furious Greenでは、AIを活用したセキュリティツールの導入支援や、開発チーム向けのセキュリティ研修を提供しています。「脆弱性スキャナの誤検知対応に疲れた」「セキュリティ診断のコストを抑えたい」といった課題をお持ちの方は、ぜひお気軽にご相談ください。 無料相談 はじめに 「脆弱性スキャナを回したら大量の警告が出たが、調べたらほとんどが誤検知だった。」 これは開発者なら誰もが経験する経験です。 従来のセキュリティツールはルールベースでチェックを行うため、文脈を無視した警告を乱発します。一方で、文脈を理解して診断できる人間のホワイトハッカーを雇うには多大なコストと時間がかかります。 今回紹介する 「Strix」 は、その間を埋める新しいアプローチです。 これは単なるチェックツールではなく、AIエージェントが人間のハッカーのように思考し、脆弱性診断を行います。 Strixとは Strix は、人間のハッカーと同じように振る舞う「自律型のAIセキュリティエー

GitHub

攻撃の仕組み

ThinkTrapはどのようにして「AIを考え込ませる質問」を作り出すのでしょうか。

試行錯誤で「効く質問」を探す

基本的な考え方はシンプルです。

1. AIに色々な質問を投げかける
2. AIの回答の長さを測る
3. より長い回答を引き出した質問を「良い質問」として記録
4. その質問を少しずつ変えて、さらに長い回答を引き出せないか試す
5. これを繰り返し、最も長い回答を引き出す質問を見つける

効率よく探すための工夫

単純な試行錯誤では時間がかかりすぎるため、ThinkTrapでは数学的な手法で効率化しています。

• 探索範囲の絞り込み：「どの部分を変えると効果が大きいか」を分析し、探索範囲を大幅に絞り込む
• 進化アルゴリズムの活用：生物の進化のように、「より良い質問」を親として次世代の質問を生み出し、徐々に洗練させる

検知が難しい理由

こうして見つけた質問を、1分間に10件程度送るだけでサービス全体に影響を与えられます。通常の利用と見分けがつかないため、検知が非常に困難です。

AIサービスの安全な技術選定・運用体制に関心のある方は、無料ガイド『生成AI技術スタック選定ガイド 2026』もご活用ください

詳しくはこちら

攻撃の影響

研究チームが主要なAIサービスに対して実験を行った結果です。

実験で確認された被害

攻撃コストは驚くほど低い

コーヒー1杯より安いコストで、大規模なAIサービスを停止に追い込める可能性があります。

防御の難しさ

残念ながら、ThinkTrap攻撃を完全に防ぐ方法は現時点で確立されていません。

どの対策も一長一短があり、「これで完璧」という方法はまだ見つかっていません。

Pythonライブラリ、脆弱性診断エージェントの作成

「AIエージェント開発、興味はあるけど何から始めればいいかわからない」 本記事のようなAIエージェントを自分で作れるようになりたい方へ、実践的なハンズオン研修を提供しています。 研修プログラムについて相談する → はじめに 本記事では、開発未経験であった筆者がFurious Green合同会社でのインターンを通じて初めてAIエージェントの開発に挑戦し、Python脆弱性診断エージェントを作成した際の記録をご紹介します。 プロジェクト概要 Pythonプロジェクトでは、依存するライブラリとそのバージョンを requirements.txt というファイルで管理するのが一般的です。このファイルは、pip を用いた開発環境の再現性を担保する上で重要な役割を担います。 今回は、この requirements.txt に記載されたライブラリのバージョンに脆弱性や非推奨バージョンが含まれていないかを自動診断するAI エージェントを開発しました。 動機 生成 AI でコードを書くことが当たり前となった昨今、Pythonの依存関係ファイル

まとめ

ThinkTrap攻撃は、AIサービスの新しい弱点を突いた攻撃手法です。

押さえておきたいポイント

• ChatGPTなどのAIサービスは、特殊な質問で「考え込んで」しまう弱点がある
• 少数の攻撃でサービス全体を止められる
• 攻撃コストが非常に低く、検知も難しい
• 完璧な防御策はまだ確立されていない

AIサービスの利用が広がる中、こうした新しいリスクについても理解しておくことが大切です。

参考文献

• Yunzhe Li et al. "ThinkTrap: Denial-of-Service Attacks against Black-box LLM Services via Infinite Thinking." NDSS 2026. arXiv:2512.07086v1