Google Geminiに潜む危険：カレンダー情報が漏洩する「間接プロンプトインジェクション」の全貌

GoogleのAI「Gemini」に、カレンダーのプライバシー設定を回避し、会議データを不正に取得される脆弱性が存在したことが明らかになりました。この脆弱性は、サイバーセキュリティ企業Miggo Security Ltd.の報告により特定され、現在はGoogleによって修正されています。本記事では、この「間接プロンプトインジェクション」と呼ばれる攻撃手法の詳細と、AIセキュリティにおける今後の課題について解説します。

Google Geminiは、Googleカレンダーと深く統合されており、ユーザーからの簡単な質問に答えるために、イベントのタイトル、説明、参加者、日時などの情報を解析します。この統合が、今回の脆弱性の温床となりました。

巧妙なカレンダー招待による攻撃

攻撃者は、カレンダーの招待状の説明欄に、巧妙に細工された自然言語の指示を埋め込むことができました。この指示は、一見すると無害なものですが、Geminiが通常のユーザーリクエストを処理する際に、潜在的に実行されるように設計されていました。攻撃に悪用されたのは、Geminiの「間接プロンプトインジェクション」と呼ばれる手法で、悪意のあるコードを直接埋め込むのではなく、AIに誤った解釈をさせることで不正な動作を引き起こします。

攻撃の3段階プロセス

この攻撃は、以下の3つの段階で進行しました。まず、攻撃者は、Geminiにユーザーの会議要約を作成させ、その要約を新しいカレンダーイベントの説明として保存させるような、悪意のある指示をカレンダー招待状に含めます。次に、このペイロードは、ユーザーがGeminiにスケジュールに関する質問をするまで待機します。ユーザーが質問をすると、Geminiは関連するカレンダーエントリをすべて処理し、攻撃者が仕込んだ指示を解釈します。最終段階で、Geminiは指示を実行し、プライベートな会議の要約を含む新しいイベントを作成します。企業によっては、この新しく作成されたイベントが攻撃者にも表示される可能性があり、ユーザーの直接的な操作なしに機密情報への不正アクセスを許すことになります。

「間接プロンプトインジェクション」の脅威

Miggo社の研究者は、この手法を「間接プロンプトインジェクション」と名付け、認可のバイパスにつながるものだと説明しています。この攻撃は、指示が単独ではもっともらしく見えるため、悪意のあるプロンプトを検出するさまざまな防御策を回避しました。危険性が顕在化するのは、Geminiのツールレベルの権限と組み合わされた場合に限られます。

AIセキュリティの進化と今後の展望

Googleはこの脆弱性を認識し、修正措置を講じましたが、この事件はAIセキュリティにおけるより広範な課題を浮き彫りにしています。

防御策の限界と新たなアプローチ

Miggo社の研究者は、この特定の脆弱性は修正されたものの、将来同様の攻撃を防ぐためには、防御策を進化させる必要があると指摘しています。「効果的な保護には、意味論を理解し、意図を属性化し、データの出所を追跡するランタイムシステムが必要になる」と報告書は結論付けています。これは、大規模言語モデル（LLM）を、慎重に管理されるべき権限を持つ完全なアプリケーションレイヤーとして扱うセキュリティ管理が必要であることを意味します。

AI時代のセキュリティパラダイムシフト

今回のGeminiの脆弱性は、AIが従来のセキュリティモデルの境界を越えて、より複雑なデータ処理や意思決定を行うようになるにつれて、新たなセキュリティリスクが生じることを示しています。単なるキーワードのブロックや、既知の攻撃パターンの検出だけでは不十分であり、AIの挙動そのものを理解し、その文脈における意図や影響を評価できる、より高度なセキュリティソリューションが求められています。これからのAIセキュリティは、AIの「思考プロセス」にまで踏み込んだ、動的かつ適応的なアプローチが不可欠となるでしょう。