ハッカーたちが、WhatsApp・Slack・Signal・Instagram・Messenger・SMSといった人気プラットフォーム経由で悪意あるメッセージを送りつけることで、Googleのgemini音声アシスタントに新たに発見された脆弱性を悪用しています。
SafeBreach Labsが明らかにしたこの脆弱性は、攻撃者がインスタントメッセージの通知を経由してGeminiの会話コンテキストに密かに命令を注入できるというものです。これにより、ユーザーが気づかないうちにアシスタントを操作することが可能となり、日常的な通知がAI駆動の攻撃に利用される強力な攻撃面へと変貌します。
Google Gemini脆弱性の悪用手口
この攻撃の核心は、通知を利用した間接的なプロンプトインジェクション技術です。GeminiがAndroid Utilitiesエージェントを使って通知を読み上げる際、受信メッセージの内容を信頼できるコンテキストとして処理します。
SafeBreach の研究者たちは、攻撃者がGeminiには解釈できるがユーザーには気づかれにくい形式で隠し命令を埋め込んだメッセージを作成できることを発見しました。ほぼあらゆるアプリがデバイス上で通知を発火させられることから、侵入口は事実上無限に存在し、この経路は脅威アクターにとって非常に魅力的なものとなっています。
この通知チャネルを利用することで、攻撃者はまずGeminiの出力を汚染できます。たとえば、「エラーが発生しました。こちらをクリックして更新してください」といった偽のシステムメッセージをGeminiに読み上げさせたり、信頼できる連絡先から送られてきたかのような偽メッセージを作り上げたりすることが可能です。
特に危険なのが、運転中のようにユーザーがアシスタントの通知音声読み上げに完全に依存している場面です。こうした状況では、スマートフォンの画面を確認することなく、Geminiの指示を信じて従ってしまうリスクが高まります。
単純な出力操作にとどまらず、Googleの従来の緩和策によってブロックされていた高度な機能を再び悪用するために、研究者たちは「フェイクコンテキストアライメント(Fake Context Alignment)」と呼ぶ新たな攻撃クラスを開発しました。
Googleはかつて、遅延ツール呼び出し(delayed tool invocation)を阻止しようとしていました。これは、「ありがとう」などの将来の無害なユーザー応答を受けて初めて強力なアクションを実行するよう隠し命令でGeminiに指示するというものです。
新しいフェイクコンテキストアライメント技術は、会話を二重の視点で構築することでこれらの防御を回避します。セキュリティシステムからは論理的な同意ベースのフローに見える一方、ユーザーには全く別の無害なやり取りとして映ります。
手法の一つである「難読化フェイクコンテキストアライメント」では、Geminiが「窓を開けますか?」といった中国語などの外国語による質問を挿入し、その直後に「他にお手伝いできることはありますか?」といった無害な英語の質問を続けます。ユーザーは外国語のテキストを理解できず、英語の質問だけが重要だと思い込みます。「はい」と答えると、Geminiの内部ロジックはその回答を隠された外国語のリクエストに紐付け、Google Homeを通じたスマートウィンドウの開錠といった強力なアクションを実行してしまいます。
もう一つの手法「ミュートフェイクコンテキストアライメント」では、悪意ある質問がGeminiに読み上げられないクリック可能なハイパーリンクの中に隠されています。画面上のテキストには「窓を開けますか?」と表示されている一方、音声出力では「申し訳ありません、エラーが発生しました。聞こえていますか?」などと読み上げられます。被害者は無害な音声だけを聞いて「はい」と答えますが、Geminiのバックエンドはその応答を画面上の無音の質問に紐付け、ツール呼び出しを実行してしまいます。
研究者たちは難読化とミュートの両手法を組み合わせることで、Googleの防御を確実に突破して遅延ツール呼び出しに近い機能を再有効化する「究極の組み合わせ」を生み出しました。
このバイパスが成功すると、攻撃者はスマートホームデバイスを操作したり、被害者のIPアドレスを露出させたりファイルのダウンロードを起動させたりするURLを開いたり、さらにはアプリケーションURIを開いてZoomなどのアプリを自動起動し、被害者のデバイスからビデオストリーミングを開始させることまで可能です。
また本研究では、Geminiの長期記憶機能やスケジューリング機能が悪用され、虚偽の個人情報の保存や毎日メッセージを読み上げる定期タスクの設定といった持続的な影響をもたらす可能性も示されました。同じGoogleアカウントに紐付けられたすべてのデバイスに影響が及ぶ可能性があります。
SafeBreach はこれらの調査結果を責任ある開示の手順に従ってGoogleに報告しました。2025年11月までに、Googleはコンテンツ分類器とセキュリティチェックの更新を展開し、本研究で指摘された間接的プロンプトインジェクションおよび遅延ツール呼び出しのシナリオを緩和したと表明しています。
しかし本研究は、AIアシスタントが日常生活やコネクテッドデバイスへの統合をさらに深めていく中で、コンテキスト操作やクロスチャネルの信頼悪用に対する防御がベンダーおよびセキュリティチームにとって引き続き重大な課題であり続けることを浮き彫りにしています。
翻訳元: https://gbhackers.com/hackers-exploit-google-gemini-flaw/
