概要
セキュリティ研究者が、GoogleのAIアシスタント「Gemini」がGoogleカレンダーのプライベートデータを漏洩させる新たな手口を発見しました。この攻撃は、自然言語の指示のみを用いてGeminiの防御を迂回し、悪意のあるカレンダーイベントを通じて機密情報を引き出すものです。漏洩した機密データは、カレンダーイベントの説明欄に埋め込まれ、攻撃者に送信される可能性があります。
Geminiは、Googleの主要な大規模言語モデル(LLM)であり、Gmailやカレンダーを含む複数のGoogleウェブサービスおよびWorkspaceアプリに統合されています。メールの要約や下書き、質問への回答、イベント管理などの機能を提供しています。
攻撃の詳細
今回発見されたGeminiベースのカレンダー招待状攻撃は、標的ユーザーにプロンプトインジェクションのペイロードが仕込まれたイベントの説明を含む招待状を送付することから始まります。この攻撃をトリガーするには、被害者がGeminiに自身のスケジュールについて尋ねるだけで十分です。これにより、Googleアシスタントは、攻撃者のペイロードを含む関連イベントを全て読み込み、解析します。
アプリケーション検出&レスポンス(ADR)プラットフォームであるMiggo Securityの研究者たちは、Geminiを騙してカレンダーデータを漏洩させる方法を発見しました。その手順は以下の通りです。
- 特定の日の会議を全て(プライベートなものを含む)要約する。
- その要約を含む新しいカレンダーイベントを作成する。
- ユーザーには無害なメッセージで応答する。
研究者らは「Geminiは、役立つためにイベントデータを自動的に取り込み、解釈するため、イベントフィールドに影響を与えることができる攻撃者は、モデルが後で実行する可能性のある自然言語の指示を仕込むことができます」と説明しています。イベントの説明フィールドを制御することで、Google Geminiが有害な結果を招く指示に従うプロンプトを仕込むことができると彼らは発見しました。
攻撃者が悪意のある招待状を送信すると、ペイロードは被害者がGeminiに日課のスケジュールに関する質問をするまで休止状態となります。Geminiが悪意のあるカレンダー招待状に埋め込まれた指示を実行すると、新しいイベントが作成され、プライベート会議の要約がその説明に書き込まれます。多くの企業環境では、更新された説明がイベント参加者に見えるため、プライベートな、そして潜在的に機密性の高い情報が攻撃者に漏洩することになります。
以前の脆弱性との関連とGoogleの対応
Miggoは、Googleが主要なGeminiアシスタントで悪意のあるプロンプトを検出するために別の隔離されたモデルを使用しているにもかかわらず、この攻撃は指示が安全に見えるため、このフェイルセーフを迂回したとコメントしています。悪意のあるカレンダーイベントのタイトルを介したプロンプトインジェクション攻撃は新しいものではありません。2025年8月には、SafeBreachが、悪意のあるGoogleカレンダーの招待状がGeminiのエージェントを制御することで、機密ユーザーデータを漏洩させるために使用され得ることを実証していました。
Miggoの研究責任者Liad Eliyahu氏は、BleepingComputerに対し、今回の新しい攻撃は、GoogleがSafeBreachの報告後に更なる防御策を実装したにもかかわらず、Geminiの推論能力が、活発なセキュリティ警告を回避する操作に対して脆弱なままであることを示していると語りました。MiggoはGoogleに調査結果を共有し、Googleはこのような攻撃をブロックするための新たな緩和策を追加しました。
AIセキュリティの課題と今後の展望
Miggoの攻撃概念は、意図が曖昧な自然言語によってAPIが駆動されるAIシステムにおいて、新たな悪用モデルや操作モデルを予測することの複雑さを浮き彫りにしています。研究者らは、アプリケーションセキュリティは構文検出から文脈認識型防御へと進化する必要があると提言しています。