Google は最近、Gemini と Google カレンダーの連携を強化し、複数のカレンダーを横断して予定を確認したり、自然言語で新しい会議を作成したりできるようになりました。
しかし、こうした利便性の向上が進む一方で、Gemini の機能を悪用してユーザーの非公開情報を盗み出す新たな手法がセキュリティ研究者によって報告されています。
現在この問題を防ぐための保護機能が追加されており、ユーザーへの影響は抑えられています。
招待状に隠された「プロンプトインジェクション」
Android Authority によると、セキュリティ企業の Miggo Security が発見したのは、Google カレンダーの招待状を利用して Gemini を騙し、ユーザーのプライベートな情報を漏洩させる手法です。
この攻撃手法の厄介な点は、マルウェアや怪しいリンクをクリックさせる必要がないことにあります。
攻撃者は、イベントの説明欄に巧みに細工されたテキストを含んだカレンダー招待状を送信します。これは Gemini にとってプロンプトとして機能し、ユーザーが Gemini に対して自身のスケジュールについて質問をしたときに悪影響を与えます。
例えば「土曜日は空いていますか?」とユーザーが尋ねると、Gemini は回答を作成するためにカレンダー上のイベントをスキャンします。この際、攻撃者が送った招待状に含まれる悪意あるテキストも読み込んでしまいます。
自然な会話の裏で行われる情報の持ち出し
Miggo Security の検証によると、悪意ある招待状を読み込んだ Gemini は、ユーザーが意図しない動作をバックグラウンドで実行しました。
これは、ユーザーのその日の会議内容を要約し、新しいカレンダーイベントを勝手に作成して、その説明欄に要約したプライベート情報を貼り付けるというものです。
さらに、Gemini がユーザーに対しては「その時間は空いています」といった無害で自然な回答のみを返し、裏で行った情報のコピーについては一切触れません。
これにより、攻撃者は新しく作成された予定を通じて、ユーザーに気づかれることなく情報を入手できる状態になります。
Google による対策と今後の課題
この攻撃は、指示がプログラムコードではなく自然言語のコマンドとして記述されているため、従来のセキュリティシステムでは検知が難しい「プロンプトインジェクション」の一種とされています。
幸いなことに、Miggo Security はこの問題を Google に報告済みであり、Google はすでにこの種の攻撃を防ぐための新しい保護機能を追加しています。
以前にも別の研究チーム(SafeBreach)が同様の手法でスマートホームデバイスを制御する可能性を示していましたが、AI モデルの「推論能力」が悪用されるリスクは依然として残っています。
