AIセキュリティ企業のNoma Securityによると、Googleは最近、脅威アクターに悪用されると潜在的に機密性の高い企業データを取得されるおそれがあったGemini Enterpriseの脆弱性に対処した。
GeminiJackと名付けられたこの攻撃手法は、ユーザーの操作を一切必要としなかった。特別に細工されたドキュメント、カレンダー招待、またはメールを送信するだけで脆弱性を悪用できたとされ、Nomaはこれを「エンタープライズAIシステムが情報を解釈する方法における構造的な弱点」だと説明している。
Gemini Enterpriseは、大規模組織が自社のテクノロジースタック全体にわたって、複雑で複数ステップから成るビジネスワークフローを自動化できるように設計されたエージェント型プラットフォームである。
GeminiJackは、Gemini Enterpriseが組織で利用されているGmail、Docs、Calendar、その他のWorkspaceコンポーネントなど、さまざまなGoogleサービスにアクセスできるという事実を悪用していた。
攻撃者は、特別に細工したメール、ドキュメント、またはカレンダー招待に、隠されたプロンプトインジェクションの指示を組み込むことができた。被害者が悪意あるアセットを閲覧する必要はなく、関連トピックに関する情報をGemini Enterpriseに問い合わせた際に、攻撃者のコマンドが実行されてしまう。
「攻撃者は、予算に関する間接的なプロンプトインジェクションを含むGoogleドキュメントを、通知なしで共有することができます」とNomaは説明した。「その後、従業員が『当社の予算を見せて』といった標準的な検索をGemini Enterpriseで行うと、AIは自動的にその汚染されたドキュメントを取得し、指示を実行してしまいます。」
従業員はGeminiから要求した情報を受け取る一方で、AIはメール、カレンダーの予定、企業ドキュメントを密かに持ち出すよう指示されてしまう可能性があった。
たとえば攻撃者は、Geminiに対し、「confidential(機密)」「legal(法務)」「salary(給与)」「API key」といった単語を含むすべてのドキュメントを収集するよう指示できた。
Nomaによると、この問題は5月にGoogleへ報告され、その後数週間で包括的な緩和策が展開されたという。
GoogleはSecurityWeekに対し、Nomaによる調査結果の説明は正確であり、脆弱性はすでに緩和済みであることを確認した。
サイバーセキュリティ企業は、この種の間接的なプロンプトインジェクション攻撃を定期的に発見し、Claude、Gemini、ChatGPTといった生成AI製品に対してデモンストレーションを行っている。
翻訳元: https://www.securityweek.com/google-patches-gemini-enterprise-vulnerability-exposing-corporate-data/
