Geminiトリフェクタ：ガードレールなしのAI自律性が新たな攻撃面を開く

Tenableのセキュリティ研究者は、Geminiのクラウドアシスト、検索最適化、ブラウジングコンポーネントにまたがる3つの異なる脆弱性を明らかにしました。

これらの脆弱性が悪用されると、攻撃者はプロンプトを注入したり、AIロジックを乗っ取ったり、Googleの多くの組み込みセーフガードを回避しながらユーザーのプライベートデータを密かに抜き取ることができます。これらの脆弱性は総称して「Geminiトリフェクタ」と呼ばれています。

Microsoft 365 Copilotに対する同様のEchoLeakゼロクリック攻撃を最初に文書化したサイバーセキュリティ企業Aim Labsの責任者、Itay Ravia氏は「TenableのGeminiトリフェクタは、十分なガードレールがないままエージェントに過度な自律性を与えると、それ自体が攻撃手段になることを改めて示しています。パターンは明白です。ログ、検索履歴、ブラウジングツールはすべてアクティブな攻撃面となります」と述べています。

Googleはすでにこの問題にパッチを適用しましたが、研究者たちはこの出来事がAI時代への警鐘であると強調しています。

Gemini Cloud AssistおよびSearchにおけるプロンプトインジェクション

Gemini Cloud Assistは、ユーザーがクラウドログ（特にGoogle Cloud内）を要約・解釈するのを支援する機能です。Tenableは、このサービスが攻撃者によって特別にフォーマットされたコンテンツ（操作されたHTTP User-Agentヘッダーなど）をログに埋め込まれる可能性があることを発見しました。この改ざんされたコンテンツはログに流れ込み、後にGeminiがそれを取り込み要約します。

ブログ記事で共有された概念実証（PoC）では、研究者たちはUser Agentフィールド経由で悪意のあるプロンプト断片をCloud Functionエンドポイントに送信しました。後にGeminiがそのログエントリを「説明」した際、細工された入力から生成されたフィッシング用リンクが含まれていましたが、完全なプロンプトは折りたたまれた「追加プロンプト詳細」セクションの背後に隠されていました。

ログは広範囲に存在し、しばしば受動的なアーティファクトと見なされるため、これによりほぼすべてのパブリック向けクラウドエンドポイントが攻撃面となると研究者は指摘しています。ブログ記事では、Functions、Run、App Engine、Load Balancingなど他のGoogle Cloudサービスも、ログがAI支援の要約に使われる場合、同様に悪用される可能性があると主張しています。

2つ目の攻撃経路は、Geminiの検索パーソナライズを悪用します。GeminiのSearchモジュールはユーザーの過去の検索クエリをコンテキストとして利用するため、攻撃者はJavaScriptのトリックを使って悪意のある「検索クエリ」をユーザーのブラウザ履歴に挿入できます。Geminiがその履歴をコンテキストとして読み込むと、注入されたプロンプトを正当な入力として扱います。

「根本的な問題は、モデルが正当なユーザーのクエリと外部から注入されたプロンプトを区別できなかったことです」と研究者は述べています。「被害者の検索履歴にプロンプトを注入するJavaScriptのトリックは、Google Search APIへのリダイレクトを停止しつつ、検索履歴に記録されるまで十分に待機し、実際にはページをリダイレクトしないというものでした。」

プロンプトインジェクションの後でも、攻撃者はデータを抜き出す方法が必要ですが、それを可能にしたのがGemini Browsing Toolに影響する3つ目の脆弱性です。Tenableの研究者は、GeminiをだましてBrowser Toolを使って外部ウェブコンテンツを取得させ、リクエストのクエリ文字列にユーザーデータを埋め込むプロンプトを作成しました。これにより、外部へのHTTPリクエストがユーザーの機密データを攻撃者が管理するサーバーに運び、可視化されたリンクやマークダウントリックに頼ることなく情報が漏洩しました。

この発見は、Googleがすでにハイパーリンクのレンダリング抑制や画像マークダウンのフィルタリングといった対策を講じている中で注目に値します。この攻撃は、Google Browsing Toolの呼び出しを情報流出のチャネルとして利用することで、そうしたUIレベルの防御を回避しました。