ゼロクリック脅威：新たな攻撃でAIブラウザがGoogleドライブ消去ツールに

Striker STAR Labs の研究者たちは、エージェントベースのブラウザに対する新たな攻撃手法を詳細に解説しており、これによりユーザーの受信トレイにあるごく普通のメールが、ほぼ完全な Google ドライブ消去ツールへと変貌し得ることが明らかになった。標的となっているのは Comet で、Perplexity が提供する AI 駆動型ブラウザであり、ユーザーのメールやクラウドストレージを自律的に処理できる。

Google Drive Wiper と名付けられたこの手法は、ゼロクリック攻撃の一種に分類される。つまり、ユーザーが悪意あるリンクをクリックしたり、添付ファイルを開いたりする必要はない。すべてはブラウザが OAuth を通じて Gmail と Google ドライブに統合されている点にかかっている。一度ユーザーがエージェントに対し、メールの閲覧、ファイルの閲覧、移動・名前変更・削除といった操作の権限を与えると、エージェントは自然言語によるリクエストに応じて、それらの操作を自動的に実行できるようになる。

通常の無害なリクエストは、例えば次のようなものだろう。「受信トレイを確認して、最新の整理タスクを全部処理して。」 エージェントはメールを解析し、関連するメッセージを特定し、指示を実行する。問題が生じるのは、攻撃者が被害者に対し、Google ドライブの「整理」を何気なく説明する特別に細工されたメールを送信した場合だ。そこには、ファイルの整理、特定の拡張子を持つ項目やフォルダ外にあるものの削除、そして「結果の確認」といった内容が含まれる。

エージェントはそのようなメッセージを日常的なハウスキーピング作業として解釈し、忠実に実行してしまう。その結果、被害者の本物の Google ドライブ上のファイルが、確認ダイアログもなくゴミ箱へ移動されてしまう。「その帰結として、エージェントブラウザは完全自動で動作するワイパーとなり、たった一つの自然言語リクエストに基づいて重要データを大量削除してしまう」と、セキュリティ研究者の Amanda Russo 氏は指摘する。一度エージェントが Gmail と Google ドライブへの OAuth アクセスを得ると、悪意ある指示は共有フォルダやチームドライブを通じて急速に拡散し得る。

特に注目すべきなのは、この攻撃がジェイルブレイク手法も古典的なプロンプトインジェクションも用いていない点だ。攻撃者は、丁寧な文体を保ち、手順を追った指示を与え、「これを処理して」「あれを片付けて」「これを代わりにやって」といった表現で依頼するだけでよい。これにより、実質的な操作権限がエージェントに委ねられてしまう。研究者たちは、文体やテキスト構造が、ポリシーに従っているように見せかけながら、言語モデルを危険な行動へとそっと誘導し得ることを強調している。

この種のリスクを軽減するには、モデルそのものだけでなく、エージェント、外部サービスへのコネクタ、そしてエージェントが自律的に実行することを許されている自然言語指示を含めた「全体のチェーン」を保護する必要がある。そうしなければ、未知の送信者から届く、丁寧でよく構成されたあらゆるメールが、データ損失を引き起こす潜在的なゼロクリックトリガーとなってしまう。

同時に、Cato Networks は HashJack と名付けられた、AI 搭載ブラウザに対する別の攻撃手法も実証している。この手法では、悪意あるプロンプトが「#」記号以降の URL フラグメント内に隠される。例えば、
www.example[.]com/home#<prompt> のような形だ。この種のリンクは、メール、メッセージングアプリ、ソーシャルプラットフォーム、あるいはウェブページ内に埋め込む形で送信できる。被害者がそのサイトを開き、ページ内容について AI ブラウザに何らかの「賢い」質問をすると、エージェントは隠されたフラグメントを読み取り、埋め込まれた指示を実行してしまう。

「HashJack は、正当な任意のサイトをブラウザの AI アシスタントの隠れたコントローラとして機能させる、初の既知の間接的プロンプトインジェクション手法です」と研究者の Vitaly Simonovich 氏は説明する。ユーザーには通常の URL が表示され、それを信頼してしまう一方で、悪意ある指示は、ほとんどの人が確認しないフラグメント部分に潜んでいる。

責任ある情報開示の後、Google はこの問題に低い優先度を割り当て、「修正しない（想定された挙動）」として扱った――つまり、この挙動は期待されたものと見なされた。一方で Perplexity と Microsoft は、自社の AI ブラウザ向けにパッチをリリースしており、修正済みバージョンとして Comet v142.0.7444.60 と Edge 142.0.3595.94 を明示している。研究者によれば、Chrome 向け Claude ブラウザと OpenAI Atlas は HashJack の影響を受けないという。

著者らは、Google AI Vulnerability Reward Program においては、コンテンツ生成ポリシーの違反や安全性「ガードレール」の回避は、真のセキュリティ脆弱性とは見なされないと指摘している。実際には、AI エージェントに対する攻撃の一大カテゴリが、「セキュリティ欠陥」と「想定されたシステム挙動」の間にあるグレーゾーンに置かれていることになる――その一方で、これらのシステムは現実のユーザーデータやサービスへのアクセス範囲をますます広げつつある。