TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

Google、企業データを露出させたゼロクリックの Gemini Enterprise 脆弱性を修正

Google は、Gemini Enterprise に存在していたゼロクリック脆弱性を修正しました。この脆弱性は企業データの漏えいにつながる可能性がありました。

この欠陥は 2025 年 6 月に Noma Security のセキュリティ研究者によって発見され、その日のうちに Google に報告されました。

研究者によって「GeminiJack」と名付けられたこの問題は、Google の企業向け AI アシスタントツール群である Google Gemini Enterprise と、AI を活用した検索およびレコメンデーション体験を構築するための Google Cloud プラットフォームである Vertex AI Search におけるアーキテクチャ上の弱点です。

この弱点により、攻撃者は Gmail、Google カレンダー、Google ドキュメント、あるいは Gemini Enterprise がアクセス権を持つその他のあらゆる Google Workspace コンポーネント内の一般的なドキュメントに悪意ある指示を追加し、機密性の高い企業情報を抜き取ることを可能にする、一種の間接プロンプトインジェクションが可能になります。

この脆弱性を悪用するために、標的となる従業員がどこかをクリックする必要はなく、またいかなるセキュリティ制御も発動しません。

GeminiJack の攻撃チェーン

攻撃者は、共有ドキュメントや外部から提供されたドキュメントの内部に隠し指示を埋め込むだけで、この攻撃を実行できます。

以下は、攻撃チェーンの主なステップの内訳です。

  1. コンテンツ汚染(Content poisoning): 攻撃者は、一見無害に見える Google ドキュメント、カレンダーの予定、または Gmail メールを作成し、その中に Gemini Enterprise に対して機密用語を検索し、その結果を攻撃者が管理する外部画像 URL に埋め込むよう指示する隠し命令を含める
  2. トリガー: 正規の従業員が日常的な検索を行い、その結果として AI が攻撃者の汚染されたコンテンツを処理するよう、意図せずプロンプトを与えてしまう
  3. AI 実行: Gemini が攻撃者のドキュメントを取得し、その指示を正当なものと誤解して、権限のある Workspace データ全体をスキャンし、機密用語を探す
  4. 流出: AI は攻撃者の悪意ある画像タグをレスポンスに含める。読み込まれると、被害者のブラウザは標準的な HTTP リクエストを通じて盗まれたデータを攻撃者のサーバーに送信し、従来型のセキュリティチェックを回避する

この攻撃が成立したのは、Google Gemini Enterprise AI の検索機能が、組織が Google Workspace 内の複数のデータソースを横断してクエリを実行できるようにする Retrieval-Augmented Generation(RAG)アーキテクチャを実装していたためです。

「組織は、RAG システムがアクセスできるデータソースを事前に構成する必要があります。この事前構成ステップによって、クエリ処理中に Gemini モデルが利用できるデータの範囲が決まります。一度構成されると、システムはすべてのユーザークエリに対して、これらのデータソースへ永続的にアクセスできるようになります」と Noma Security の研究者は述べています。

「この脆弱性は、データソース内のユーザー制御コンテンツと、AI モデルの命令処理との間にある信頼境界を悪用します。攻撃者は、RAG システムによって取得・処理されるコンテンツ内に悪意ある指示を仕込むことができます。」

Noma Security は、この脆弱性に対するステップバイステップの概念実証(PoC)エクスプロイトを、12 月 8 日に公開されたGeminiJack に関するレポートの中で共有しました。

企業向け AI の採用拡大で高まる間接プロンプトインジェクションのリスク

Google は 8 月に Noma Security からの脆弱性報告を受領したことを認め、修正に向けて同社と協力を開始しました。

同社は、Gemini Enterprise と Vertex AI Search が、その基盤となる検索・インデックスシステムとやり取りする方法を変更するアップデートを展開しました。

この問題の発見後、Vertex AI Search は Gemini Enterprise から完全に分離され、もはや同じ大規模言語モデル(LLM)を用いたワークフローや RAG 機能を使用していません。

しかし、Noma Security の研究者たちは、この種の攻撃はこれで終わりにはならないと予想しています。

彼らは、従来の境界防御コントロール、エンドポイント保護ソリューション、データ損失防止ツールは、「AI アシスタントがデータ流出エンジンに変貌したときにそれを検知するようには設計されていない」と述べました。

「AI エージェントが企業データへのより広範なアクセス権と、指示に基づいて行動する自律性を獲得するにつれ、単一の脆弱性による被害範囲は指数関数的に拡大します。機密データへのアクセス権を持つ AI システムを導入する組織は、信頼境界を慎重に検討し、堅牢なモニタリングを実装し、新たに登場する AI セキュリティ研究について常に情報をアップデートしておく必要があります」と、Noma Security の研究者は結論づけました。

英国の国家サイバーセキュリティセンター(NCSC)は最近、プロンプトインジェクション攻撃を軽減するための新たなガイダンスを共有しました。

翻訳元: https://www.infosecurity-magazine.com/news/google-fixes-gemini-enterprise-flaw/

ソース: infosecurity-magazine.com
#GeminiJack #Google Gemini Enterprise #Google Workspace セキュリティ #Noma Security #Retrieval-Augmented Generation (RAG) #Vertex AI Search #ゼロクリック脆弱性 #データ漏えいリスク #企業向けAIセキュリティ #間接プロンプトインジェクション

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新