出典:Shutterstock提供 Deemerwha Studio
研究者らは、Googleのアプリケーション・エコシステムにおけるプロンプトインジェクションの脆弱性を発見した。これにより攻撃者は、同社のGemini生成AI(GenAI)ツールを介して機密データにアクセスできてしまう。この欠陥は、さまざまな研究者がGeminiや他のAIアシスタントで見つけてきた最新のものであり、大規模言語モデル(LLM)駆動のアプリが新たな悪用経路を生み出していることを示している。
セキュリティ企業Miggoは月曜日に公開したブログ投稿で、この欠陥により攻撃者が通常のGoogleカレンダー招待の中に休眠状態のペイロードを仕込み、スケジューリングアプリのプライバシー制御を回避できると明らかにした。最終的にMiggoの研究者は、この回避手法を用いて非公開の会議データにアクセスし、さらに標的ユーザー側の一切の操作なしに、自分たちで欺瞞的なカレンダーイベントを作成することにも成功した。
この欠陥は、GeminiがGoogleカレンダーに統合されていることに起因する。AIサービスはアシスタントとして機能し、ユーザーのカレンダーイベントをスキャンして予定の整理を支援し、カレンダーのライブ情報を用いて「今日の予定は?」といったプロンプトの質問に答える。
「この攻撃の仕組みは、その統合を悪用します」と、Miggoのリサーチ責任者Liad Eliyahuは投稿で説明した。「Geminiは役に立つためにイベントデータを自動的に取り込み解釈するため、イベントのフィールドに影響を与えられる攻撃者は、モデルが後に実行してしまう可能性のある自然言語の指示を埋め込めます。」
Geminiの欠陥が構造的な限界を露呈
欠陥そのものはプロンプトインジェクションの一種で、LLMへのユーザー入力を操作して、モデルの挙動や出力を意図しない形に変えてしまうものだ。Miggoの研究者は、攻撃者がユーザーのカレンダー上のイベントの説明欄を制御できるなら、Geminiが実行するプロンプトを置けるはずだという仮説に基づいて存在を突き止め、最終的にそれが真であることを証明した。
しかし、この欠陥の発見がとりわけ注目に値するのは、言語ベースのAIにおいてAI統合製品がユーザー意図をどのように推論するかという点に「構造的な限界」があることを示しているからだと、Eliyahuは述べた。GoogleはすでにGeminiに悪意あるプロンプトを検知する仕組みを備えているが、研究者は自然言語を通じてこの欠陥を悪用できた。
「結論は明白です。AIネイティブな機能は、新しい種類の悪用可能性を持ち込みます」とEliyahuは書いた。「AIアプリケーションは、理解するよう設計されたまさにその言語によって操作され得ます。脆弱性はもはやコードに限定されません。いまや言語、文脈、そして実行時のAIの振る舞いの中に存在します。」
Googleカレンダー招待の武器化
攻撃チェーンは、新しいカレンダーイベントの作成から始まり、それが標的ユーザーに送信される。イベントの説明欄に、研究者はプロンプトインジェクションのペイロードを埋め込み、イベント作成者がそのイベントやカレンダー上の他のエントリについて尋ねた場合に、Gemini AIが特定の手順を実行するよう指示として記載した。
その指示はGeminiに対し、次を行うよう求める。特定の日のユーザーの全会議(非公開のものを含む)を要約すること。新しいカレンダーイベントの説明欄にそのデータを書き込むことで持ち出すこと。そして、ユーザーには無害な返答(「空き時間です」)を返して行為を偽装すること。
ペイロードは「構文的には無害、つまりユーザーの要求としてもっともらしい」ものだったが、モデルツールの権限で実行されると意味的には有害になるとEliyahuは書いた。これは、ユーザーの予定についての定型的な質問(例:「ねえGemini、土曜日は空いてる?」)をGeminiに尋ねるというトリガーで発生する。この問い合わせに対し、Geminiは関連するカレンダーイベントをすべて読み込み解析し、悪意あるイベントも含めてペイロードを起動してしまう。
このプロセスは、エンドユーザーに異常を気付かせることなく進行し、Geminiは通常どおり振る舞って、指定された時間は空き時間だと返信する。しかし舞台裏では別のことが起きており、Geminiは標的ユーザーの非公開会議の完全な要約をイベント説明欄に含む新しいカレンダーイベントを作成してしまう。
「多くの企業向けカレンダー構成では、その新しいイベントが攻撃者から見えるため、標的ユーザーが何ら行動を取らないまま、攻撃者は持ち出された非公開データを読み取ることができました」とEliyahuは書いた。
プロンプトインジェクション防御の改善
全体として、この脆弱性と攻撃フローは、LLM駆動アプリケーションのセキュリティ確保が複雑な課題であり、防御側は従来のアプリケーションセキュリティ(AppSec)の構文的性質を超えて取り組む必要がある理由を示しているとEliyahuは書いた。従来のAppSecでは、脅威ハンターはSQLペイロード、スクリプトタグ、エスケープの異常など、高シグナルな文字列やパターンを探し、それらをブロックまたはサニタイズするという。
対照的に、LLM駆動システムの脆弱性は意味論的であり、一見無害に見える言語の文字列であっても、その文脈、意図、そしてモデルが行動できる能力によって脅威になり得る。
「この変化は、単純なパターンベースの防御が不十分であることを示しています」とEliyahuは書いた。「攻撃者は一見無害な言語の中に意図を隠し、言語の解釈をモデルに委ねることで悪用可能性を成立させられます。」
Eliyahuによれば、現代のLLMベースのシステムがもたらす脅威に対抗するには、防御側はキーワードのブロックを超えて、意味を推論して意図を帰属させる実行時システムを開発し、さらにデータの来歴(プロベナンス)を追跡しなければならない。「言い換えれば、LLMを特権を持つ完全なアプリケーション層として扱い、慎重に統制されるべきセキュリティ制御を適用する必要があります」と彼は書いた。
さらに彼は、攻撃者がいま悪用しているGenAIソリューションにおける意味論的ギャップを埋めるには、モデルレベルの安全策、堅牢な実行時ポリシー強制、開発者の規律、そして継続的な監視を組み合わせた学際的な取り組みが必要になると付け加えた。
翻訳元: https://www.darkreading.com/cloud-security/google-gemini-flaw-calendar-invites-attack-vector
