Googleが最近Geminiで修正した複数の脆弱性により、攻撃者がAIアシスタントをだましてデータ窃取やその他の悪意ある目的を達成することが可能でした。
これらの問題は、サイバーセキュリティ企業Tenableの研究者によって発見され、プロジェクトはThe Gemini Trifectaと名付けられました。この調査では、さまざまな機能やツールを悪用した3つの異なるGeminiハッキング手法が取り上げられており、ほとんど、または全くソーシャルエンジニアリングを必要としませんでした。
最初の攻撃は間接的なプロンプトインジェクションを含み、Gemini Cloud Assistを標的にしていました。これは、ユーザーがGoogle Cloudと対話してクラウド運用の管理や最適化を行うことを可能にするものです。
この攻撃は、Gemini Cloud Assistのログ解析機能を悪用したものでした。研究者は、攻撃者が標的組織に特別に細工したリクエストを送信することで、悪意のあるプロンプトがログファイルに追加されることを発見しました。
ユーザーがCloud Assistにログエントリの説明やさまざまな目的でのログ解析を依頼すると、Geminiは攻撃者のメッセージを処理します。Tenableのデモでは、攻撃者がGeminiにGoogleのフィッシングページへのリンクを表示させることに成功しました。
研究者たちは、認証されていない攻撃者が特別に細工したリクエストを送信することでログエントリを生成できるGoogle Cloudの複数のサービスを発見しました。これには、Cloud Functions、Cloud Run、App Engine、Compute Engine、Cloud Endpoints、API Gateway、Load Balancingなどが含まれます。
「影響の大きい攻撃シナリオの一例としては、攻撃者がGeminiにすべてのパブリック資産をクエリするよう指示したり、IAMの設定ミスをクエリするよう指示したプロンプトを注入し、その機密データを含むハイパーリンクを作成するというものがあります。これは、GeminiがCloud Asset APIを通じて資産をクエリする権限を持っているため可能です」とTenableの研究者は説明しています。
「この攻撃は認証不要で実行できるため、攻撃者はGCPのすべてのパブリック向けサービスに対して攻撃を“スプレー”し、できるだけ大きな影響を与えることも可能です。標的型攻撃に限定されません」とも付け加えています。
広告。スクロールして続きを読む。
2つ目の攻撃手法も間接的なプロンプトインジェクションを含み、研究者たちは検索履歴をプロンプトインジェクションのベクターとして利用しました。具体的には、GeminiのSearch Personalization(検索パーソナライズ)という、AIがユーザーの個人的なコンテキストや過去のアクティビティに基づいてより関連性の高い回答を提供する機能を悪用しました。
このケースでは、攻撃者はユーザーに自分が用意したウェブサイトを訪問させ、プロンプトインジェクションを含む悪意のある検索クエリを被害者の閲覧履歴に注入する必要がありました。その後、被害者がGeminiの検索パーソナライズモデルとやり取りすると、Geminiは攻撃者の指示を処理し、機密ユーザーデータの収集や、被害者がリンクをクリックした際の情報流出などが可能となります。
三つ目の攻撃は、Gemini Browsing Tool(ブラウジングツール)を標的としたものでした。これはAIがウェブ上のコンテンツを理解し、開いているタブや閲覧履歴のコンテキストを利用してタスクを実行できる機能です。
研究者たちは、このツールのウェブページ要約機能を悪用し、データ流出のためのサイドチャネルを作り出すことに成功しました。AIに被害者の保存情報を攻撃者が管理するリモートサーバーへのリクエストに追加させるよう仕向けました。
Tenableによると、Googleは通知を受けた後、これら3つの脆弱性すべてを修正しました。
最近数週間、研究者たちは広く利用されているAIアシスタントや、それらの統合されたエンタープライズ製品を標的とした、同様の攻撃手法をいくつも実証しています。
翻訳元: https://www.securityweek.com/google-patches-gemini-ai-hacks-involving-poisoned-logs-search-results/
