TokyoBlackHatNews

hackread.com 4分で読了

Gemini AI における新たな 0クリック脆弱性「GeminiJack」がユーザーのデータ漏えいリスクを露呈

Noma Security が Google の Gemini Enterprise と同社の Vertex AI Search ツールにおいて、GeminiJack と名付けられた重大なセキュリティ欠陥を最近発見した。この欠陥により、攻撃者が企業の機密情報を密かに盗み出せた可能性がある。この脆弱性の特徴は、標的となる従業員側で一切のクリック操作を必要とせず、従来の警告サインも残さない点にあった。

Noma Security はリサーチ部門である Noma Labs を通じて、この問題が一般的なソフトウェアのバグではなく、Gmail、カレンダー、ドキュメントなど組織全体を横断して読み取るよう設計されたこれらのエンタープライズ向け AI システムが情報を理解する仕組みにおける「アーキテクチャ上の弱点」であることを突き止めた。つまり、AI の設計そのものが脆弱性を生んでいたということだ。この問題は 2025年6月5日に発見され、同日中に Google へ初回報告が行われた。

隠れた攻撃手法

Noma Security の ブログ記事(本日公開され、一般公開前に Hackread.com と共有された)によると、GeminiJack は「間接プロンプトインジェクション」の一種であり、これは平たく言えば、攻撃者が通常の共有アイテム、例えば Google ドキュメントカレンダー招待 の内部に隠れた指示を埋め込める、という意味だ。

その後、従業員が「予算を見せて」などの通常の検索目的で Gemini Enterprise を利用すると、AI は自動的に「毒入り」のドキュメントを見つけ、それを正当なコマンドだとみなして隠れた指示を実行してしまう。この不正なコマンドにより、AI は企業が接続しているすべてのデータソースを横断的に検索させられる可能性がある。

研究者らは、1つの隠れた指示が成功するだけで、以下のような情報が盗まれ得ると指摘している。

  • ビジネス上の関係性が分かる完全なカレンダー履歴
  • 機密契約書などを含むドキュメント全体
  • 顧客データや財務交渉を含む、数年分のメール記録

      さらに調査を進めたところ、攻撃者は企業について特別な情報を知っている必要すらないことが判明した。「acquisition(買収)」や「salary(給与)」といった単純な検索語だけで、企業自身の AI にスパイ行為の大半をさせることができてしまうのだ。

      加えて、盗まれたデータは外部画像リクエストを装って攻撃者に送信された。AI が回答を返す際、ブラウザが読み込もうとするリモート画像の URL に機密情報が含まれており、その結果、データの持ち出しは通常のウェブトラフィックのように見えてしまっていた。

      Google の迅速な対応と主な変更点

      Noma Labs は Google と直接連携し、今回の発見を検証した。Google は Gemini Enterprise と Vertex AI Search がデータシステムとやり取りする方法を変更するアップデートを迅速に展開した。

      注目すべき点として、修正後は Vertex AI Search 製品が Gemini Enterprise から完全に分離された。これは Vertex AI Search がもはや Gemini と同じ RAG(Retrieval-Augmented Generation:検索拡張生成)機能を使用していないためである。

      ビデオプレーヤー

      攻撃の概要

      この問題の深刻さを強調しつつ、Noma Security のセキュリティリサーチリードである Sasi Levi 氏は Hackread.com に対し、GeminiJack の脆弱性は「AI が読み込むすべてのデータソースを深く検査する必要がある、典型的な間接プロンプトインジェクション攻撃の一例だ」と語った。

      GeminiJack の発見に特有の点として、Google は HTML 出力をフィルタリングしていませんでした。つまり、埋め込まれた画像タグが、画像を読み込む際に攻撃者のサーバーへのリモートコールを引き起こしていたのです。その URL には、検索中に見つかった内部データの持ち出し内容が含まれていました。ペイロードの最大サイズは検証されていませんが、長文のメールを持ち出すことには成功しました。サーバー側でリクエストを記録しましたが、ネットワークレベルの監視手法は確認されませんでした」

      Elad Luz 氏(Oasis Security の Head of Research)は、「この発見が重要とみなされる理由は次の通りです。影響範囲が広い… ユーザーの操作が不要… 検知が難しい…。今回のケースでは、Google はコンテンツと指示を混同していたエージェントの挙動を修正しました。しかし、組織は依然として、どのデータソースが接続されているかを見直すべきです」と付け加えた。

      Trey Ford 氏(Bugcrowd の Chief Strategy and Trust Officer)は、これを「楽しい攻撃パターン」と呼び、「プロンプトウェアは、今後も引き続き目にすることになる楽しい攻撃パターンです… 課題は、これらのサービスがユーザーのコンテキスト内で動作し、入力をユーザーが提供したプロンプトとして扱っている点にあります」と述べた。

      翻訳元: https://hackread.com/geminijack-0-click-flaw-gemini-ai-data-leaks/

      ソース: hackread.com
      #AIセキュリティ #GeminiJack脆弱性 #Google Gemini Enterprise #Noma Security #RAG(検索拡張生成) #Vertex AI Search #ゼロクリック攻撃 #データエクスフィルトレーション #企業データ漏えい #間接プロンプトインジェクション

      関連記事

      次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

      ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

      サイバー攻撃が欧州委員会職員のモバイルシステムを直撃