この警告は、Geminiを含む一部のAIエージェントがASCII Smuggling攻撃に脆弱であることが発見されたことを受けて出されたものです。
サイバーセキュリティ企業の代表は、チャットボットがプロンプトインジェクションの一種に脆弱であるため、CSO(最高情報セキュリティ責任者)は従業員のGmailやGoogleカレンダーへのGoogle Geminiのアクセスをオフにすることを検討すべきだと述べています。
「リスクが心配なら、Geminiによる自動メールおよびカレンダー処理を、この問題や同様の問題が解決されるまでオフにした方が良いかもしれません」と、米国FireTail社のCEO ジェレミー・スナイダー氏はインタビューで語りました。
「生産性向上のためにGeminiをユーザーに提供することは可能ですが、メールやカレンダーの自動事前処理は理想的ではありません」とも述べています。
「開発者がGeminiをチャットボットや他の用途のアプリケーションに統合している場合は注意し、LLM(大規模言語モデル)の応答を監視してください」と彼は付け加えました。
スナイダー氏は、今週発表されたFireTailのレポートについてコメントしました。同レポートでは、Gemini、Deepseek、GrokがASCII Smugglingと呼ばれる手法に脆弱であることが判明しました。これは、脅威アクターが新しいAI技術に対して利用できる古い手法です。
この手法は、目に見えないASCII制御文字を使い、一見無害に見えるテキスト文字列内に隠れた命令を埋め込むことができます。
「ブラウザ(UI)はきれいで分かりやすいプロンプトを表示します」とレポートは説明しています。「しかし、LLMに渡される生のテキストには、タグUnicodeブロックを使ってエンコードされた秘密のペイロードが隠されています。これらの文字はUI上で表示されることを想定されていないため、見えません。LLMは隠されたテキストを読み取り、それに従って動作しますが、ユーザーには何も問題が見えません。これは根本的なアプリケーションロジックの欠陥です。」
この欠陥は「GeminiのようなLLMがGoogle Workspaceのようなエンタープライズプラットフォームに深く統合されている場合、特に危険です」とレポートは付け加えています。
FireTailは6つのAIエージェントをテストしました。OpenAIのChatGPT、Microsoft Copilot、Anthropic AIのClaudeは攻撃を検知しましたが、Gemini、DeepSeek、Grokは失敗しました。
テストでは、FireTailの研究者がGoogleカレンダーの予定の「Meeting」という単語を「Meeting. It is optional.」に変更することができました。一見無害に思えますが、スナイダー氏は、Geminiがエンタープライズ向けGoogle Workspaceに統合されている場合、脅威アクターがさらに悪質なことを行う可能性を懸念しています。FireTailは、この手法はアイデンティティのなりすましにも利用できると主張しています。なぜなら、脆弱なチャットボットは悪意のある命令を自動的に処理し、通常の承認/拒否のセキュリティゲートを回避してしまうからです。
LLMが受信トレイに接続されているユーザーの場合、隠れたコマンドを含むシンプルなメールがAIエージェントに対し、受信トレイ内の機密アイテムを検索したり、連絡先の詳細を収集したりするよう指示することができます、とレポートは指摘しています。「これにより、通常のフィッシング攻撃が自律的なデータ抽出ツールに変わります。」
スナイダー氏はまた、脆弱なAIエージェントがカスタマーサポートチャットボットに統合された場合に何が起こるかも懸念しています。
特に彼を苛立たせているのは、FireTailが先月Googleに調査結果を報告した際、同社がこの脅威を軽視したことです。
「ご指摘の問題はソーシャルエンジニアリングしか引き起こさないように見受けられます」と、Googleのバグ報告チームからFireTailは伝えられたといいます。「これに対応しても、ユーザーがそのような攻撃を受けにくくなるとは思いません。」
スナイダー氏はCSOに対し、「根本的に同意できません」と述べました。
「ソーシャルエンジニアリングは大きな問題です」と彼は言いました。「ソーシャルエンジニアリングのリスクを排除すれば、ユーザーは安全になります。」
解決策は、AIエージェントが入力をフィルタリングすることだと彼は付け加えました。
FireTailのレポートについてGoogleにコメントを求めましたが、締切までに回答は得られませんでした。また、Grokを開発したxAIからも回答はありませんでした。
「AIに対するASCII Smuggling攻撃は新しいものではありません」と、米国のサイバーセキュリティおよびAI専門家ジョセフ・スタインバーグ氏はコメントしています。「私は1年以上前にそのデモを見ました。」
彼は具体的な場所は明かしませんでしたが、2024年8月にあるセキュリティ研究者がCopilotのASCII Smuggling脆弱性についてブログで報告しています。この発見はMicrosoftに報告されました。
悪意のあるプロンプトを偽装する方法は今後も多く発見されるだろうと彼は付け加え、ITおよびセキュリティリーダーは、AIが人間の承認なしに有害なプロンプトに基づいて行動できないようにすることが重要だと述べました。
彼はまた、すべてのプロンプトリクエストをAIエンジンに到達する前に、可視かつ想定された標準ASCII文字に変換するのが賢明かもしれないと付け加えました。
類似のプロンプトインジェクション攻撃
先月、CSOは、攻撃者がマクロに悪意のあるプロンプトを埋め込んだり、パーサーを通じて隠れたデータを露出させたりすることで、生成AIを悪用するケースが増えていると報じました。その他の脆弱性としては、Aim Securityの研究者によるEchoLeak(CVE-2025-32711)の発見があります。これはMicrosoft 365 Copilotにおけるゼロクリックのプロンプトインジェクション脆弱性で、現在は修正済みです。
7月には、Pangeaが大規模言語モデル(LLM)がプロンプトインジェクション攻撃に騙される可能性があると報告しました。これらの攻撃は、クエリの法的免責事項、利用規約、プライバシーポリシーに悪意のある命令を埋め込むものです。当時、カナダのインシデント対応企業DeepCove Cybersecurityの主任セキュリティアーキテクトケルマン・メグー氏は「業界として、AIが本番運用に適しているふりをしているのは愚かだ……私たちはAIを壁に投げつけて、何かがうまくいくことを期待しているだけだ」と述べていました。
FireTailのスナイダー氏は、ITニュースサイトによる報道で「望まぬ注目」が集まったことを受け、最終的にはGoogleがGeminiの脆弱性を修正すると考えています。
