一見無害に見えるGoogleカレンダーの招待が、Google GeminiとGoogleカレンダーの連携における重大な脆弱性を露呈し、攻撃者がプライバシー制御を回避してプロンプトインジェクションにより機密性の高い会議データを流出させられることが判明しました。
Miggoのセキュリティ研究者は、攻撃者がカレンダーイベントの説明欄に悪意ある指示を埋め込むことで、GoogleのAIアシスタントであるGeminiを操作し、非公開の会議情報を漏えいさせられることを発見しました。
この脆弱性は、Geminiが自然言語を処理してユーザーのカレンダーとやり取りする仕組みを悪用するもので、AI駆動のシステムが従来のWebアプリケーションとは根本的に異なるセキュリティ課題を提示することを示しています。
Geminiは、タイトル、時刻、参加者などのカレンダーイベントを分析し、ユーザーのスケジュール管理を支援します。
研究者は、イベントの説明に隠された指示を注入することで、攻撃者がプロンプトインジェクションのペイロードを作成でき、それがユーザーがGeminiとやり取りするまで休眠状態のまま残ることを突き止めました。
ユーザーが「土曜日は空いてる?」のような一見無害な質問をすると、Geminiは回答するために被害者のカレンダーイベントを処理します。
この解析中に、モデルは埋め込まれた悪意ある指示に遭遇し、自動的にそれを実行します。
攻撃の流れは、この悪用の巧妙さを明らかにしています。インジェクションがトリガーされると、Geminiはその日の非公開会議をすべて要約し、この機密データを含む新しいカレンダーイベントを作成し、ユーザーには「空き時間です。」という偽の安心メッセージを表示します。
被害者が知らないうちに、Geminiは同時に非公開会議の要約を新規作成したカレンダーイベントに漏えいさせ、攻撃者がアクセスできる状態にしてしまいます。この侵害は、従来のコードインジェクションではなく、意味(セマンティクス)の操作によって完全に発生します。
この脆弱性は、従来のアプリケーションセキュリティモデルからの根本的な逸脱を浮き彫りにしています。
従来のAppSecは、SQLインジェクション、クロスサイトスクリプティング (XSS)など、特徴的な文字列や入力の異常によって識別できる構文ベースの脅威に焦点を当ててきました。
入力サニタイズやWebアプリケーションファイアウォールといった既存の防御策は、悪意が自然な言い回しの中に隠されるセマンティック攻撃に対しては効果がありません。
注入されたテキストは構文上は無害に見えますが、モデルがその言語をどう解釈するかによってのみ、それがエクスプロイトへと変わります。
言語モデルは構文ではなく意味を解釈するため、標準的な防御では対処できない攻撃面を生み出します。
Geminiは単なるAIアシスタントとしてではなく、特権的なAPIアクセスを持つアプリケーション層として機能しており、言語そのものが潜在的な攻撃ベクトルになり得ます。
この脆弱性は、AppSec戦略の根本的な再考を必要とします。保護は、既存のセキュリティフレームワークには欠けている、文脈、意図、モデルの振る舞い能力についてのリアルタイムな推論を包含しなければなりません。
防御側は、大規模言語モデルを、厳格な実行時ポリシー、意図の検証、セマンティクスを考慮した監視を必要とする特権的なアプリケーション層として扱う必要があります。
Googleは、Miggoによる責任ある開示を受けてこの脆弱性を修正しましたが、その影響はGeminiにとどまりません。
AI統合製品が企業および消費者のエコシステム全体に広がるにつれ、組織は言語モデルのセキュリティに合わせた新たな防御アプローチを開発する必要があります。
アプリケーションセキュリティの未来は、コードが何をするかだけでなく、言語が何を意味するのかを理解することにかかっています。
翻訳元: https://cyberpress.org/google-gemini-privacy-controls-bypassed/