概要:CometJacking攻撃とは
「CometJacking」と呼ばれる新たな攻撃手法が発見されました。これは、URLパラメータを悪用してPerplexityのComet AIブラウザに隠された指示を渡し、接続されているサービス(メールやカレンダーなど)から機密データへのアクセスを可能にするものです。この攻撃は、認証情報やユーザーの操作を必要とせず、攻撃者が悪意のあるURLを標的のユーザーに提示するだけで実行できるとされています。
Cometは、自律的にウェブを閲覧し、メール管理、商品の購入、フォームへの入力、チケットの予約など、さまざまなタスクをユーザーに代わって実行できるエージェント型AIブラウザです。Guardio Labsの最近の調査でセキュリティ上の欠陥が指摘されているにもかかわらず、その採用率は着実に増加しています。
CometJacking攻撃はLayerXの研究者によって考案され、8月下旬にPerplexityに報告されました。しかし、Perplexityは「問題は特定できない」として、この報告を「該当なし」とマークしました。
CometJacking攻撃の仕組み
CometJackingは、Comet AIブラウザが処理するクエリ文字列に、URLの「collection」パラメータを使用して悪意のある指示を埋め込むプロンプトインジェクション攻撃の一種です。LayerXの研究者によると、このプロンプトはAIエージェントに対し、ウェブ検索ではなく、その記憶と接続されたサービスを参照するように指示します。
AIツールが様々なサービスに接続されているため、攻撃者はCometJackingを利用して利用可能なデータを外部に持ち出すことができます。LayerXのテストでは、接続されたサービスとアクセス可能なデータには、Googleカレンダーの招待状やGmailメッセージが含まれていました。悪意のあるプロンプトには、機密データをBase64でエンコードし、外部のエンドポイントに持ち出すよう指示が含まれていました。研究者によると、Cometはこの指示に従い、Perplexityのチェックを回避して情報を攻撃者が制御する外部システムに送信しました。
現実的なシナリオでは、攻撃者は作成したCometJacking URLを電子メールで標的に送信したり、クリックされる可能性のあるウェブページに配置したりする可能性があります。LayerXは、「Perplexityは機密性の高いユーザーメモリの直接的な外部持ち出しを防ぐための保護策を実装していますが、それらの保護策は、データが難読化またはエンコードされてからブラウザを離れるケースには対応していません」と説明しています。彼らの概念実証テストでは、エンコードされた形式(Base64)で機密フィールドをエクスポートすることで、プラットフォームの外部持ち出しチェックを効果的に回避し、既存の保護策をトリガーすることなくエンコードされたペイロードを転送できることが示されました。
データ窃盗以外の潜在的な脅威
研究者たちは、CometJackingがデータ窃盗に限定されないことにも言及しています。同じ手法を使用して、AIエージェントにユーザーに代わってアクションを実行させることも可能です。例えば、被害者のアカウントからメールを送信したり、企業環境でファイルを検索したりするといった行為が考えられます。この攻撃は、ユーザーが気づかないうちにCometユーザーから機密データを盗むのに、欺くほど単純でありながら非常に効果的です。
Perplexityの対応
しかし、Cometの開発元はLayerXの懸念を共有していません。8月27日(プロンプトインジェクション)と8月28日(データ外部持ち出し)に提出された報告は却下されました。Perplexityのセキュリティチームは、「報告をレビューした結果、セキュリティ上の影響は特定できませんでした。これは単純なプロンプトインジェクションであり、いかなる影響ももたらしません。そのため、該当なしとマークされました」と述べています。
BleepingComputerはPerplexityに対し、この評価を再検討するか、CometJackingのリスクに対処しないことを決定したのかを問い合わせましたが、現時点では回答は得られていません。