ジェミニAI、カレンダーベースのハッキングに脆弱

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

3グレイログ

ジェミニのAI「コンテキスト」を活用する

この攻撃は「間接プロンプトインジェクション」と呼ばれる手法を基盤としており、カレンダーイベントのタイトルや説明文の中に有害な指示が隠されています。被害者が後にGeminiに今後のイベントについて質問すると、AIはイベントの詳細を会話の「文脈」に取り込み、隠された指示を無意識のうちに実行します。

研究者らは、制御されたデモンストレーションで、以下のことが可能になったと述べています。

• ターゲットの位置を決定します。
• ビデオストリーミングで Zoom 通話を開始します。
• カレンダーエントリを削除します。
• 電子メールの内容にアクセスして開示する。
• 被害者のアカウントにリンクされたスマートホーム機器を起動して制御します。

研究者らは、Gemini が Google Workspace アプリケーション、Android デバイスの機能、コネクテッド ホーム デバイスと緊密に統合されているため、これらの悪意のあるプロンプトが 1 つのアプリから「逃げ出し」、他のアプリを制御できるようになると説明しています。

データの盗難やコンテンツの改ざんのみに焦点を当てた多くのAIセキュリティインシデントとは異なり、この手法は現実世界に直接的な影響を及ぼします。あるデモンストレーションでは、研究者たちはGeminiを用いてスマートホームハブにコマンドを送信し、居住者の許可なくシャッターを開けたり、家電製品の電源を入れたりしました。

別のデモでは、AIが操作され、被害者のIPアドレスとおおよその地理的位置を明らかにするように設計されたウェブサイトが開かれました。研究者によると、テストされたプロンプトウェアのシナリオの約73%が高リスクまたは重大リスクレベルを示しており、緊急の対策が必要でした。

Googleの対応

SafeBreachは、2025年2月にGoogleに脆弱性を非公開で開示したと述べている。Googleは、「必要なのは招待だけ」と題された調査について認める声明の中で、それ以来、このようなプロンプトインジェクションの試みを阻止するために「多層的な緩和策」を導入したと述べた。この戦略には、機密性の高い操作に対するユーザー確認の強化、URLのサニタイズと信頼レベルのポリシー、そして疑わしいプロンプトを検出するために設計されたAIコンテンツ分類器などが含まれる。

「業界パートナーとの緊密な連携は、すべてのユーザーにとってより強固な保護を構築する上で不可欠です。そのため、ベン・ナッシ氏（Confidentiality）、スタヴ・コーエン氏（Technion）、オー・ヤイル氏（SafeBreach）といった多くの研究者、そしてBugSWATイベントやAI VRPプログラムに参加している他のAIセキュリティ研究者と強力な協力関係を築くことができています」と、Google GenAIセキュリティチームは2025年6月のブログ投稿に記しています。

「レッドチームを支援し、防御力を向上させるために尽力してくれたこれらの研究者やコミュニティの他の人々の働きに感謝する」と同社は付け加えた。

AI搭載アプリへの警告

研究者らは、今回の発見がジェミニ以外にも影響を及ぼす可能性があることを強調し、外部サービスに接続されたAIアシスタントはどれも同様の攻撃に対して脆弱である可能性があると警告した。また、ユーザー操作を必要としない「ゼロクリック」型の亜種が間もなく出現する可能性があるとも警告した。

彼らの調査結果は Black Hat USA および DEF CON 33 で発表され、組織がこれらの新たな脅威を理解し、検出し、軽減するのに役立ちました。

ShinyHunters による Salesforce への攻撃から、進化するサイバー犯罪の戦術が明らかになったこと、また、それらに対抗する方法について学びます。