Google Geminiに「GeminiJack」脆弱性が発覚
Googleの「Gemini Enterprise」および「Vertex AI Search」において、「GeminiJack」と名付けられた重大なゼロクリック脆弱性が発見されました。この脆弱性により、攻撃者はユーザーの操作やセキュリティ警告なしに、機密性の高い企業データを外部に持ち出すことが可能になります。これは、企業向けAIシステムが情報を処理・解釈する方法におけるアーキテクチャ上の弱点を悪用し、AI自体を不正なアクセスレイヤーとして機能させるものです。
GeminiJackの仕組み
この脆弱性は、共有されたGoogleドキュメント、カレンダーの招待、またはメール内に埋め込まれた間接的なプロンプトインジェクション技術を利用します。従業員がGemini Enterpriseで「予算を見せて」といった日常的な検索を行うと、AIは隠された指示を含む不正なドキュメントを自動的に取得します。
これらの指示は、Gmail、カレンダー、ドキュメント、その他の接続されたデータソースを含む組織全体のGoogle Workspaceエコシステムに波及します。これにより、セキュリティ警告やDLP(情報漏洩対策)アラートを一切トリガーすることなくデータが持ち出されます。データ流出は、偽装された外部画像リクエストを通じてサイレントに行われるため、セキュリティ監視ツールからは正規のトラフィックと区別がつきません。
従来のサイバー攻撃との決定的な違い
フィッシングや認証情報の窃盗を必要とする従来のサイバー攻撃とは異なり、GeminiJackは完全に目に見えない形で動作します。従業員は不審な活動を一切目にせず、標準的な検索を実行して結果を受け取ります。セキュリティチームも異常を検出せず、マルウェアの実行、異常な認証情報の使用はなく、通常のAI動作と標準的な画像読み込みとして認識されます。
この「不可視性」が、本脆弱性を特に危険なものにしています。一度の成功した攻撃で、長年にわたるメールのやり取り、ビジネス関係や組織構造を明らかにする完全なカレンダー履歴、機密契約や技術仕様を含む文書リポジトリ全体が漏洩する可能性があります。
攻撃は以下の4つのステップで進行します:
- 攻撃者がアクセス可能なデータソース内に一見すると正当なコンテンツを作成し、プロンプトインジェクションのペイロードを埋め込む。
- 従業員が標準的な検索を実行すると、RAG(Retrieval-Augmented Generation)システムが不正なコンテンツを取得する。
- Geminiは埋め込まれた悪意のある指示を正当なコマンドとして扱い、アクセス可能なすべてのデータから機密性の高い用語を検索する。
- 検索結果をHTTPリクエストを通じて攻撃者のサーバーに送信する。
Googleの対応とAIネイティブな脆弱性への警鐘
GoogleはNoma Labsと直接連携し、今回の発見を検証し、アップデートを展開しました。これにより、Gemini EnterpriseとVertex AI Searchが取得・インデックスシステムとどのように相互作用するかの変更が行われました。発見後、Vertex AI SearchはGemini Enterpriseから完全に分離され、LLM(大規模言語モデル)を活用したワークフローやRAG機能は共有されなくなりました。
GeminiJackは、企業におけるAIツールの導入が加速するにつれて、組織が直ちに対処しなければならないAIネイティブな脆弱性の新たなクラスを代表するものです。