研究者らは自然言語の指示だけを用いて、悪意あるプロンプトインジェクションに対するGoogle Geminiの防御を回避し、誤解を招くイベントを作成して非公開のカレンダーデータを漏えいさせることに成功しました。
この方法により機密データを持ち出し、カレンダーイベントの説明欄に含めて攻撃者へ届けることが可能になります。
GeminiはGoogleの大規模言語モデル(LLM)アシスタントで、Gmailやカレンダーを含む複数のGoogleのウェブサービスおよびWorkspaceアプリに統合されています。メールの要約や下書き、質問への回答、イベント管理などができます。
最近発見されたGeminiを悪用したカレンダー招待攻撃は、プロンプトインジェクションのペイロードとして作り込まれた説明文を含むイベント招待を標的に送ることから始まります。
情報の持ち出しを発動させるには、被害者がGeminiに自分の予定について尋ねるだけで十分です。これによりGoogleのアシスタントは関連するすべてのイベント(攻撃者のペイロードを含むものも含む)を読み込み、解析します。
アプリケーション検知&レスポンス(ADR)プラットフォームであるMiggo Securityの研究者は、アシスタントに自然言語の指示を与えることで、Geminiにカレンダーデータを漏えいさせられることを突き止めました:
- 特定の日のすべての会議(非公開のものも含む)を要約する
- その要約を含む新しいカレンダーイベントを作成する
- ユーザーには無害なメッセージで応答する
「Geminiは役に立つためにイベントデータを自動的に取り込み解釈するため、イベントのフィールドに影響を与えられる攻撃者は、後にモデルが実行してしまう可能性のある自然言語の指示を埋め込めます」と、研究者らは説明しています。
イベントの説明欄を制御することで、結果として有害な影響をもたらすにもかかわらず、Google Geminiが従ってしまうプロンプトを埋め込めることが分かりました。
出典:Miggo Security
攻撃者が悪意ある招待を送信すると、被害者が予定についてGeminiに日常的な質問をするまで、ペイロードは休眠状態のままになります。
Geminiが悪意あるカレンダー招待に埋め込まれた指示を実行すると、新しいイベントを作成し、その説明欄に非公開の会議要約を書き込みます。
多くの企業環境では、更新された説明欄はイベント参加者に表示されるため、非公開で潜在的に機微な情報が攻撃者に漏えいすることになります。
.jpg)
出典:Miggo Security
Miggoは、Googleが主要なGeminiアシスタント内の悪意あるプロンプトを検知するために別の隔離されたモデルを使用している一方で、指示が安全に見えたため、このフェイルセーフを回避できたと述べています。
悪意あるカレンダーイベントのタイトルを介したプロンプトインジェクション攻撃は新しいものではありません。2025年8月には、SafeBreachが実証し、悪意あるGoogleカレンダー招待によってGeminiのエージェントを掌握し、機微なユーザーデータを漏えいさせられることを示しました。
Miggoのリサーチ責任者であるLiad Eliyahu氏はBleepingComputerに対し、この新たな攻撃は、SafeBreachの報告を受けてGoogleが追加の防御を実装したにもかかわらず、Geminiの推論能力が、能動的なセキュリティ警告を回避する操作に対して依然として脆弱であることを示していると語りました。
Miggoは調査結果をGoogleと共有しており、同社はこの種の攻撃をブロックするための新たな緩和策を追加しました。
しかし、Miggoの攻撃コンセプトは、意図が曖昧になり得る自然言語によってAPIが駆動されるAIシステムにおいて、新たな悪用や操作のモデルを予見することの複雑さを浮き彫りにしています。
研究者らは、アプリケーションセキュリティは構文的な検知から、文脈を理解する防御へと進化する必要があると提言しています。
