サイバーセキュリティ企業Miggoによると、GoogleのAIアシスタントGeminiの脆弱性により、攻撃者がGoogleカレンダーの予定を通じて被害者の非公開の会議情報を漏えいさせることが可能だった。
この攻撃では、悪意のあるカレンダー予定を作成し、標的ユーザーに招待を送信した。
カレンダー予定の説明欄に仕込んだペイロードを用いることで、間接的なプロンプトインジェクション攻撃がカレンダーのプライバシー制御を回避し、ユーザーの操作なしに会議データへアクセスして欺瞞的な予定を作成した。
Miggoの説明によれば、この攻撃は、AIがアシスタントとして機能し、タイトル、時間、参加者、説明などを含むすべての予定データを解析するGeminiとのカレンダー連携を悪用した。
「Geminiは役に立つために予定データを自動的に取り込み解釈するため、予定フィールドに影響を与えられる攻撃者は、モデルが後に実行してしまう可能性のある自然言語の指示を埋め込める」とMiggoは指摘する。
同社は、被害者の(非公開のものを含む)会議を要約し、そのデータを新しいカレンダー予定の説明欄に書き込み、さらに悪意ある動作を隠すためユーザーには無害な応答を返すようGeminiに指示するカレンダー説明を作成できることを発見した。
「ペイロードは構文上は無害で、ユーザーの依頼としてもっともらしかった。しかし、モデルツールの権限で実行されると意味的には有害だった」とMiggoは述べる。
このペイロードは、ユーザーが自分の予定についてGeminiに質問したときに発動し、AIがユーザーのデータを説明欄に含む新しいカレンダー予定を作成する結果となった。被害者の非公開会議データを含む新しいカレンダー予定は攻撃者がアクセス可能だったと、Miggoは述べている。
同社によれば、この攻撃が成功したのは、どのユーザーでもGeminiに与えそうな一見無害な指示に依存していたためだという。文脈と意図がそれを悪意ある危険なものにした。
「この変化は、単純なパターンベースの防御では不十分であることを示している。攻撃者は一見無害な言葉の中に意図を隠し、言語の解釈をモデルに委ねることで悪用可能性を成立させられる」とMiggoは指摘する。
同社はこの調査結果をGoogleに報告し、Googleは脆弱性を確認して対処した。
翻訳元: https://www.securityweek.com/weaponized-invite-enabled-calendar-data-theft-via-google-gemini/
