Google Geminiに新たなクリティカルな脆弱性クラスが発見されました。攻撃者がWhatsApp、Slack、Signal、SMS、Instagram、Messengerなど日常的なメッセージング通知を介して配信される間接プロンプトインジェクション(IPI)によってAIアシスタントを乗っ取れることが明らかになっています。
SafeBreachのセキュリティ研究チームリードであるOr Yair氏が主導したこの研究は、同社が以前発表した「Invitation Is All You Need」の調査結果を発展させたものです。前回の研究では、GoogleカレンダーへのイベントをGeminiへの攻撃に利用できることが実証されていました。
脆弱性の核心は、GeminiのAndroid Utilitiesエージェントにあります。このエージェントは受信通知を読み取る際、信頼できない入力を適切にサニタイズしていません。
攻撃者は通常のメッセージング通知内に悪意あるペイロードを仕込むことで、被害者がまったく気づかないまま、Geminiの会話コンテキストにひそかに命令を注入することができます。
Googleは以前、「遅延ツール呼び出し(Delayed Tool Invocation)」という手法をブロックすることで初期の攻撃手法を修正していました。この手法は、将来の無害なユーザープロンプトをトリガーとして悪意ある操作を実行するようAIに指示するものです。
SafeBreachによると、「フェイク・コンテキスト・アライメント(Fake Context Alignment)」は二重の錯覚を作り出す手法です。Geminiのセキュリティバックエンドには正当な認証シナリオを提示しながら、被害者には完全に無害なコンテンツを表示します。
この2つの手法を「アルティメット・コンボ(Ultimate Combo)」として組み合わせることで、攻撃チェーンの中で最も信頼性が高く、ステルス性に優れたエクスプロイト手法が生み出されました。
フェイク・コンテキスト・アライメントがGeminiの最新の緩和策を突破することに成功し、研究者たちは深刻な実世界での悪用シナリオを複数実証しました。
攻撃者はGoogle Homeをリモートで操作し、接続された窓、ボイラー、照明といったスマートホームデバイスを物理的にコントロールすることができます。
さらに、Safe Browsingで承認済みのドメインを経由してリクエストをルーティングし、Zoom App Intent URIへの301 HTTPリダイレクトを提供するよう設定することで、被害者のデバイスにZoomをひそかに起動させ、ライブ映像をストリーミングさせることも実証されました。
特に懸念されるのはソーシャルエンジニアリング能力です。Geminiは連絡先の名前を事前に知らなくても、信頼できる連絡先からのメッセージを偽装するよう操作でき、大規模な標的型フィッシング攻撃を可能にします。
研究者たちはまた、長期的なメモリ汚染も実証しました。Geminiのアカウントレベルのメモリに永続的な虚偽データを書き込むことで、被害者のGoogle Workspaceアカウントに紐付いたすべてのデバイス(スマートフォン、タブレット、コンピューター、スマートスピーカー)にそのデータが伝播します。
定期的な監視も実現可能であることが確認されており、フェイク・コンテキスト・アライメントを使って、毎日指定した時刻に被害者の最近のメッセージを自動読み取りする定期タスクを設定することにも成功しました。
SafeBreachはこれらの調査結果を2025年8月17日にGoogleの脆弱性報奨金プログラムに報告しました。
Googleはこの報告を高優先度として扱い、2025年11月14日にコンテンツ分類器の改善によって通知ベースの間接プロンプトインジェクションおよび遅延ツール呼び出しのバイパスへの対策が完了したことを確認しました。
修正はサーバーサイドで完結しているため、アプリケーションのアップデートは不要です。残存するリスクを軽減したいユーザーは、GeminiのConnected Apps設定でUtilitiesアプリの接続を切断するか、AndroidでGoogleアプリの「通知の読み取り、返信、コントロール」権限を取り消すことをお勧めします。
この研究は、LLM搭載の音声アシスタントに根本的な設計上の欠陥があることを明らかにしています。バックエンドのセキュリティロジックとユーザー向け出力を単一のモデルが同時に処理している限り、攻撃者はガードレールをすり抜けるのに十分なほど正当に見せかけるだけで目的を達成できてしまいます。
通知ベースのIPIアタックは、間接プロンプトインジェクションが日常的に利用される信頼性の高いコミュニケーションチャネルを通じて確実に実行できることを示しています。ベンダーはアジェンティックAIを大規模に展開する前に、クロスチャネルの権限モデルと信頼境界の在り方を根本から見直す必要があります。
翻訳元: https://cyberpress.org/new-gemini-flaw-exploited/
