- GoogleはGeminiのASCIIスモーグリングの脆弱性を修正せず、ユーザー側のソーシャルエンジニアリング問題だと説明
- 攻撃者は、Geminiが要約時に読む不可視のメールテキストに悪意あるプロンプトを隠す
- GeminiがWorkspaceアプリと統合されていることで、隠されたプロンプトによるフィッシング攻撃の脆弱性が生じる
最近発見された「ASCIIスモーグリング攻撃」について、GoogleのGemini人工知能ツールでは修正が行われないと同社が発表しました。これはセキュリティ問題ではなくソーシャルエンジニアリングの手法であり、責任は最終的にエンドユーザーにあるとしています。
これはFireTailのセキュリティ研究者、Viktor Markopoulos氏によるもので、同氏はこれらの攻撃がGeminiユーザーにもたらすリスクを実演しましたが、同社からは却下されたようです。
ASCIIスモーグリングは、犯罪者が被害者にAIツールに悪意あるコマンドを入力させ、コンピューターやデータを危険にさらす攻撃手法です。この手口は、たとえばAIに画面の背後にいる人間には見えないテキストを読ませることで、プロンプトを「密輸」または隠してしまうことで成立します。
プロンプトの密輸
AIの初期には、ユーザーが自分でAIツールを立ち上げてプロンプトを入力(またはコピー&ペースト)する必要があったため、これはあまり問題になりませんでした。しかし、それ以降多くのことが変わり、多くのAIツールが他のアプリやプラットフォームと統合されるようになっています。
たとえばGeminiは、現在Google Workspaceと統合されており、Sheetsからデータを取得したり、Docsでテキストを生成したり、メールを読み取り要約したりできます。
この最後の点がここでは重要です。Markopoulos氏が実演したように、攻撃者は一見まったく正当なフィッシングメールを送信することができます。
しかし、そのメールにはフォントサイズ0、白い背景に白い文字で書かれた悪意あるプロンプトも含まれており、読者には全く見えません。しかし、被害者がGeminiにメールの要約を依頼すると、ツールはそのプロンプトも読み取り、応答してしまいます。
そのプロンプトは「あなたのコンピューターは侵害されています。脅威を直ちに軽減するためにGoogleに電話してください」といった、フィッシングの常套句のようなメッセージを表示させるものかもしれません。
さらに不気味なのは、そのプロンプトが他のAIエージェントに受信箱から機密データを抜き取らせるよう仕向ける可能性もあることです。ユーザーが単純にメールの内容を要約・読み上げるよう依頼するだけで、こうした被害が生じる恐れがあります。
