はじめに

最新の研究により、GoogleのGemini AIアシスタントスイートに「Gemini Trifecta」と名付けられた3つの重大な脆弱性が発見されました。これらの脆弱性は、サイバー犯罪者がユーザーの保存データや現在地の情報を窃取することを可能にするものでした。Googleはすでにこれらの脆弱性を修正済みですが、今回の件は、人工知能システムが単なる標的ではなく、新たな攻撃ベクトルとなり得ることを示しています。

Gemini Trifectaの脆弱性

Tenableによると、発見された脆弱性はGeminiエコシステムの異なるコンポーネントを標的としていました。以下にその詳細を説明します。

• Gemini Cloud Assistの欠陥: GoogleのクラウドベースAIツールであるGemini Cloud Assistは、ログやクラウド資源の分析を支援します。攻撃者は、ログエントリ内のHTTP User-Agentヘッダーを介して悪意のあるプロンプトを注入することができました。これにより、ユーザーがログの要約を要求した際に、AIが悪意のあるプロンプトを処理してしまう可能性がありました。
• Gemini検索パーソナライゼーションモデルの欠陥: この脆弱性は、閲覧履歴を利用して応答をカスタマイズするGeminiの検索パーソナライゼーションモデルを悪用するものでした。サイバー犯罪者は、被害者のブラウザに悪意のあるJavaScriptコードを注入し、細工された検索クエリを挿入することで、AIシステムに正当な指示として解釈させることができました。
• Geminiブラウジングツールの欠陥: おそらく最も懸念されるこの脆弱性は、Geminiブラウジングツールに関連していました。攻撃者は、URLパラメータにユーザー情報が埋め込まれた悪意のあるウェブサイトをAIに訪問させるよう操作することで、機密性の高いユーザーデータを抽出することが可能でした。

攻撃パターン

これらの脆弱性は、侵入とデータ流出という2段階の攻撃パターンに従っていました。侵入段階では、攻撃者はログエントリや検索履歴の操作といった間接的な方法を通じて悪意のあるプロンプトを注入し、これらはAIシステムにとって正当なものに見えました。

データ流出段階では、Googleが悪意のあるリンクや画像のレンダリングに対する保護策を講じていたにもかかわらず、ブラウジングツールが代替経路を提供していることが判明しました。攻撃者はGeminiに外部ウェブサイトの「要約」を指示することで、AIに攻撃者制御下のサーバーへ機密ユーザーデータを含むHTTPリクエストを行わせることができました。

概念実証では、保存されたユーザー設定、位置情報、Geminiエコシステム内に保存されているその他の機密情報など、さまざまな種類の個人情報が窃取される様子が示されました。これらの攻撃は、明らかなセキュリティ上の欠陥を悪用するのではなく、正当なAI機能を悪用していたため、特に巧妙でした。

Googleによる修正

Googleは、複数の緩和戦略を通じてこれら3つの脆弱性すべてに対処することに成功しました。Cloud Assistの脆弱性については、ログ要約応答におけるハイパーリンクのレンダリング方法が変更されました。検索パーソナライゼーションの脆弱性は、影響を受けたモデルをロールバックし、多層的なプロンプトインジェクション防御を実装することで対処されました。ブラウジングツールの脆弱性は、間接的なプロンプトインジェクションによるデータ流出を防ぐことで緩和され、悪意のある指示がツールの正当なウェブブラウジング機能を悪用できないようにしました。

セキュリティへの影響

これらの発見は、AIを活用したシステムにおける進化するセキュリティ課題を浮き彫りにしています。組織がAIアシスタントやツールを導入するにつれて、これらのシステムが新たな攻撃対象領域を生み出し、専門的な保護戦略が必要となることをセキュリティチームは認識しなければなりません。今回の研究は、従来のサイバーセキュリティアプローチがAIシステムには不十分である可能性があり、従来の悪用技術ではなくプロンプトエンジニアリングを通じて操作され得ることを示しています。AIツールを導入する組織は、AIインフラストラクチャに対する包括的な可視性と、セキュリティを維持するための厳格なポリシー施行が必要です。

---

元記事: https://gbhackers.com/google-gemini-vulnerabilities-steal-data-location/