Google Dialogflow CXの脆弱性、攻撃者がVPC-SCを回避しチャットボットの機密データを窃取可能に

Google CloudのDialogflow CXプラットフォームに存在した重大な脆弱性により、攻撃者がVPC Service Controls(VPC-SC)を回避し、機密性の高いチャットボットデータを密かに外部へ持ち出すことが可能でした。この問題は、エンタープライズ向けAI導入のセキュリティに対する重大な懸念を浮き彫りにしています。

Softwarevulnerability scanning

Varonis Threat Labsによって発見され、「Rogue Agent」と名付けられたこの脆弱性は、Dialogflow CXがチャットボットのワークフロー内でカスタムコードを実行する仕組みに深刻な設計上のギャップがあることを露呈させました。このギャップにより、会話データやバックエンド連携が完全に侵害される可能性がありました。

Dialogflow CXは、カスタマーサポート、金融サービス、ヘルスケアなど幅広い業界で会話型AIシステムを支える基盤として広く利用されています。これらの分野では、ボットが個人を特定できる情報(PII)、決済情報、社内のビジネスロジックといった機密データを扱うことが少なくありません。

Image

問題の核心は、プラットフォームのPlaybooks機能、特に「Code Blocks」機能にあります。この機能により、開発者はチャットボットのフロー内にPythonコードを埋め込み、動的な処理やAPI連携を行うことができます。

Google Dialogflow CXの脆弱性

研究者らによると、Code BlocksはGoogleが管理するCloud Run環境内で実行されており、この環境は同一プロジェクト内の複数のエージェント間で共有されています。このアーキテクチャは導入と拡張を簡素化する一方で、重大な信頼境界の問題を生み出していました。

この実行環境は顧客の可視範囲や管理の外側で動作しており、デフォルトでアウトバウンドのインターネットアクセスが有効になっているため、データの外部流出を防ぐために設計されたVPC-SCの保護を迂回できてしまう状態でした。

この脆弱性の悪用に必要な権限はdialogflow.playbooks.updateただ一つでした。この権限さえあれば、攻撃者はPlaybook内に任意のPythonコードを注入し、共有Cloud Run環境における脆弱な分離制御を悪用できました。

Image

研究者らの調査によると、内部の実行ロジックはPythonのexec()関数に依存しており、その主要コンポーネントはcode_execution_env.pyという書き込み可能なファイルに格納されていました。このファイルを上書きすることで、攻撃者はすべてのチャットボットとのやり取りを傍受し、会話履歴を抽出し、応答をリアルタイムで操作することが可能でした。

この設計上の欠陥により、会話ログ全体やセッションのメタデータを含む機密性の高いランタイム変数へ直接アクセスできました。攻撃者は内部の応答関数を使ってチャットボットになりすますことができ、正規の会話中に非常に説得力のあるフィッシング攻撃を仕掛けることが可能でした。

例えば、侵害されたエージェントが再認証を装ってユーザーに認証情報の入力を求め、疑念を抱かせることなく機密情報を取得することもできました。

Image

さらに、この脆弱性によりVPC Service Controlsを完全に回避することも可能でした。Cloud Run環境のアウトバウンド接続に制限がなかったため、攻撃者は標準ライブラリを使って外部との通信チャネルを確立でき、チャットボットを事実上の秘匿プロキシに変えてしまうことができました。

これにより、データの外部流出とC2(コマンド&コントロール)機能の両方が可能となり、ネットワーク境界で強制されているはずのゼロトラストの前提が崩されていました。

関連する調査では、研究者らは実行環境内でInstance Metadata Service(IMDS)への露出も確認しています。この露出により、Googleが管理するサービスアカウントのアクセストークンを取得することが可能でした。

これらのトークンの権限は限定的だったものの、そもそも取得できてしまうこと自体が分離の基本原則に反しています。設定を誤った場合には、権限昇格の経路が生まれる可能性もありました。

Rogue Agent攻撃チェーンの中でも特に懸念される点の一つが、その隠密性の高さです。実行環境に対する悪意ある改変はCloud Loggingに記録されず、攻撃者は悪用後に見た目上の設定を元に戻すことができたため、フォレンジック上の痕跡がほとんど残りませんでした。これにより、詳細な監査ログや振る舞い監視を備えていない環境では、検知が極めて困難な状況となっていました。

Varonisは2025年11月にこの脆弱性をGoogleに報告しました。Googleは2026年4月に部分的な緩和策を実施し、2026年6月までに問題を完全に修正しました。同社は、影響を受けたすべてのコンポーネントにパッチが適用済みであり、公表以前に実際の悪用が行われた証拠は確認されていないと述べています。

Softwarevulnerability scanning

Rogue Agentの脆弱性は、クラウドネイティブなAIシステムを保護する上での根本的な課題を浮き彫りにしています。実行環境が顧客の管理の及ばない場所で動作している場合、VPC-SCのような確立された保護機能でさえ効果を失いかねないという点です。AIが企業のワークフローにますます組み込まれていく中、可視性、分離、そして厳格な実行制御を確保することが、同様の重大な脅威を防ぐ上で不可欠になります。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/google-dialogflow-cx-flaw/

ソース: gbhackers.com