- 研究者がGoogleカレンダーの招待を介したGemini AIのプロンプトインジェクションを発見
- 攻撃者は最小限のユーザー操作で非公開の会議データを流出させ得た
- 脆弱性は緩和され、直ちに悪用されるリスクは低下
セキュリティ研究者は、GoogleのGemini AIに対してプロンプトインジェクション攻撃を実行する別の方法を発見した。今回は、機密性の高いGoogleカレンダーデータを流出させるものだ。
プロンプトインジェクションとは、悪意ある行為者が一見無害なメッセージの中にプロンプトを隠すタイプの攻撃である。被害者がAIにそのメッセージを分析させたり(あるいは作業のデータとして利用させたり)すると、AIはそのプロンプトを実行してしまい、行為者の意図どおりに動いてしまう。
本質的には、AIが指示と、その指示を実行するために用いるデータを区別できないため、プロンプトインジェクションが可能になる。
Geminiとカレンダーの悪用
これまでプロンプトインジェクション攻撃は、メールメッセージと、メールを要約したり読んだりするよう指示するケースに限られていた。最新の調査では、Miggo Securityが、同じことをGoogleカレンダー経由でも実行できると述べている。
ユーザーがカレンダーの予定を作成する際、メールアドレスを追加して他の参加者を招待できる。このシナリオでは、脅威アクターが(カレンダーデータを流出させるための)悪意あるプロンプトを含むカレンダー予定を作成し、被害者を招待できる。招待はプロンプトを含むメールとして送信される。次のステップとして、被害者がAIに今後の予定を確認するよう指示する。
AIはプロンプトを解析し、その詳細を含む新しいカレンダー予定を作成して攻撃者を追加し、結果として機密情報へのアクセスを直接付与してしまう。
研究者はThe Hacker Newsに対し、「このバイパスにより、ユーザーの直接的な操作が一切なくても、非公開の会議データへの不正アクセスや、欺瞞的なカレンダー予定の作成が可能になった」と語った。
Miggoは「しかし舞台裏では、Geminiが新しいカレンダー予定を作成し、標的ユーザーの非公開会議の完全な要約を予定の説明欄に書き込んでいた」と述べた。「多くの企業向けカレンダー設定では、その新しい予定が攻撃者から見える状態になっており、標的ユーザーが何ら行動を取らなくても、攻撃者が流出した非公開データを読めてしまった」
Miggoは、この問題はその後緩和されたと確認した。
