AIアシスタントは生活を楽にするために作られていますが、新たな発見により、たとえ単純な会議招待であってもトロイの木馬に変えられることが示されました。Miggo Securityの研究者は、Google GeminiがGoogle カレンダーと連携する方法における恐ろしい欠陥を発見しました。攻撃者は一見普通の招待状を送るだけで、AIを密かに騙してあなたの個人データを盗ませることができます。
私たちが知るGeminiは、予定を読み取って役立つよう設計されており、Miggo Securityの研究者はまさにこの点を悪用しました。AIはコードだけでなく言語を通じて推論するため、目立たない形で紛れ込ませた指示によって操られてしまう可能性があることを突き止めたのです。この研究は、事態がいかに簡単に悪い方向へ進み得るかを示すため、Hackread.comに共有されました。
攻撃が起きる仕組み
Miggo Securityのブログ投稿によると、研究者はマルウェアや怪しいリンクを使わず、代わりにこの攻撃で間接プロンプトインジェクション(Indirect Prompt Injection)を用いました。攻撃者が会議招待を送るところから始まり、その説明欄(通常は議題が表示される部分)にコマンドを隠します。このコマンドは、Geminiに対してあなたの他の非公開の会議を要約し、その要約を保存するための新しい予定を作成するよう指示します。
恐ろしいのは、攻撃を開始するために何かをクリックする必要すらない点です。あなたがGeminiに「今週末は忙しい?」のようなごく普通の質問をするまで、攻撃は潜んで待ち続けます。役に立とうとして、Geminiは予定を確認する際に悪意ある招待を読み込みます。そして隠された指示に従い、Calendar.createというツールを使って新しい予定を作成し、そこにあなたの個人データをそのまま貼り付けてしまいます。
研究者によれば、最も危険なのは、見た目が完全に普通に見えることです。Geminiはあなたに「空き時間です」と伝える一方で、裏では情報を漏えいさせ続けます。「脆弱性はもはやコードに限定されない」とチームは述べ、AIの「アシスタント」としての性質そのものが脆弱性につながっていると説明しました。
Geminiで初めての事例ではない
なお、Googleがこの種の言語に起因する問題に直面したのは今回が初めてではありません。2025年12月には、Noma Securityが GeminiJack という欠陥を発見しており、これもDocsやメールに隠されたコマンドを使って、警告の痕跡を残さずに企業秘密を覗き見ることができました。この以前の欠陥は、エンタープライズAIシステムが情報を理解する方法における「アーキテクチャ上の弱点」と説明されました。
Google はMiggo Securityが見つけた特定の欠陥についてはすでに修正しましたが、より大きな問題は残ったままです。従来のセキュリティは悪意あるコードを探しますが、こうした新しい攻撃は悪意ある言語を使うだけです。AIアシスタントがこれほど「親切」であるよう訓練されている限り、ハッカーはその親切さを私たちに不利に働かせる方法を探し続けるでしょう。
翻訳元: https://hackread.com/google-gemini-ai-calendar-data-leak-meeting-invite/
