Google Gemini Enterprise と Vertex AI Search に存在した重大な脆弱性「GeminiJack」は、攻撃者がユーザーの操作やセキュリティアラートなしに、機密性の高い企業データを流出させることを可能にします。
この欠陥は、エンタープライズ向けAIシステムが情報を処理・解釈するアーキテクチャ上の弱点を悪用し、AIそのものを企業データへの不正アクセスレイヤーへと変えてしまいます。
GeminiJackの仕組み
この脆弱性は、共有された Google ドキュメント、カレンダー招待、メールなどに埋め込まれた間接的なプロンプトインジェクション手法を利用します。
従業員が Gemini Enterprise で「予算を見せて」などの通常の検索を行うと、AIは自動的に隠れた命令を含む「毒入り」のドキュメントを取得します。
これらの命令は、その後、組織全体の Google Workspace エコシステム全域(Gmail、カレンダー、ドキュメント、その他接続されたデータソースを含む)に連鎖的に影響を及ぼしますが、いかなるセキュリティ警告やDLPアラートも発生しません。
データの流出は、偽装された外部画像リクエストを通じて静かに行われるため、セキュリティ監視ツールからは正規のトラフィックと見分けがつきません。
フィッシングや認証情報の窃取を必要とする従来型のサイバー攻撃とは異なり、GeminiJack は完全に不可視の状態で動作します。
従業員には不審な動きは一切見えず、通常どおり検索を行い、結果を受け取るだけです。
セキュリティチームにも異常は観測されません。マルウェアの実行も、異常な認証情報の使用もなく、見えるのは通常どおりのAIの挙動と標準的な画像読み込みだけです。この不可視性こそが、この脆弱性を特に危険なものにしています。
一度の攻撃成功で、数年分のメールのやり取り、ビジネス上の関係性や組織構造を示すカレンダー履歴全体、機密契約書や技術仕様書を含む文書リポジトリ一式が流出し得ます。
攻撃は4つのステップで進行します。まず攻撃者が、アクセス可能なデータソース内に一見正当なコンテンツを作成し、その中にプロンプトインジェクションのペイロードを埋め込みます。
従業員が通常の検索を行うと、RAG(Retrieval-Augmented Generation)システムがその「毒入り」コンテンツを取得します。
重要なのは、Gemini が埋め込まれた悪意ある命令を正当なコマンドとして扱い、アクセス可能なすべてのデータにわたって機密性の高い用語を検索し、その結果をHTTPリクエストを通じて攻撃者のサーバーへ送信してしまう点です。
Google はNoma Labsと直接協力して検証とアップデートの展開を行い、Gemini Enterprise と Vertex AI Search が検索・インデックスシステムとやり取りする方法を変更しました。
この発見を受けて、Vertex AI Search は Gemini Enterprise から完全に分離され、もはや同じLLM駆動のワークフローやRAG機能を共有していません。
GeminiJack は、エンタープライズにおけるAIツールの導入が加速する中で、組織が直ちに対処すべき「AIネイティブ」な脆弱性の新たなクラスを象徴しています。
翻訳元: https://gbhackers.com/gemini-zero-click-flaw/
