あなたのスマホが操られる？Google Geminiを悪用した新たな攻撃「Fake Context Alignment」の脅威

普段何気なく受け取っているスマートフォンの通知が、AIを操るための凶器になるとしたらどうでしょうか。最近の研究で、GoogleのAIアシスタント「Gemini」が、WhatsAppなどの通知経由で第三者の命令を実行させられてしまうという、衝撃的な攻撃手法「Fake Context Alignment」が明らかになりました。この記事では、この巧妙な攻撃の仕組みと、AI時代における私たちが直面しているセキュリティ上の課題について解説します。

Geminiを意のままに操る「Fake Context Alignment」の仕組み

通知を悪用した間接的なプロンプトインジェクション

SafeBreach Labsの研究者Or Yair氏が発見したこの攻撃は、ユーザーがGeminiに通知の読み上げを依頼した際に発生します。攻撃者は、WhatsAppやSlack、SMSなどの通知に隠しテキストを含めることで、Geminiに対してユーザーの意図しない悪意ある命令を実行させます。これは「間接的なプロンプトインジェクション」と呼ばれる手法で、通知が届くあらゆるアプリが攻撃経路になり得るという点が極めて深刻です。

二段階の巧妙な罠：言語とリンクの悪用

Googleが導入していたセキュリティ対策を回避するため、研究者は二つの技術を組み合わせました。一つは、外国語（中国語）のテキストの直後に英語の無害なフレーズを混ぜる手法です。ユーザーが英語のみを聞いて「はい」と返答すると、システムは中国語の命令を承認したものと見なします。もう一つは、ミュートされたハイパーリンク内に認可用の質問を隠す手法で、画面上には別のテキストを表示しつつ、裏側で実行権限を奪取します。

現実世界への深刻な影響範囲

この攻撃手法を用いると、スマートホームデバイス（照明や窓の開閉など）の操作や、被害者のカメラを有効にしたZoom会議の強制起動、さらにはGeminiの「長期記憶」の汚染が可能であることが示されました。特に長期記憶の汚染は一度行われると、スマホ、タブレット、スマートスピーカーなど、ユーザーのGoogle Workspaceアカウント全体に影響が及び、持続的な被害をもたらす恐れがあります。

AI時代の新たなセキュリティパラダイム

「会話型AI」が抱える本質的な脆弱性

音声アシスタントは、ユーザーとの自然な会話を模倣しようとする性質上、会話の流れの中で質問を投げかけ、ユーザーの返答を促す設計になっています。この「会話を完結させるためのマイクオープン」という仕様が、攻撃者にとってマルチステップの攻撃を容易にする窓口となっています。特に運転中など、画面を確認できない環境では、AIの指示を信頼して無意識に従ってしまうリスクが高まり、AIの便利さがそのままセキュリティホールへと反転しています。

信頼の境界線を再定義する必要性

本件は、AIシステムが「ユーザーからの直接的な命令」と「外部から持ち込まれた信頼できないコンテンツ（通知など）」を同じコンテキスト内で処理してしまうことに起因しています。今後は、単なる特定の脆弱性のパッチだけでなく、AIがどのようにコンテキストを解析し、異なるチャネルからの情報をどう分離して扱うかという、根本的な「信頼設計」の見直しが不可欠です。AIの普及が加速する中で、私たちは「AIは常に正しい情報を処理するわけではない」という前提に立ち、システム開発者にはクロスチャネルのアクセス権限をより厳格に制御する設計が求められます。