研究者らは自然言語命令を使用して Google Gemini の防御を回避し、誤解を招くイベントを作成して非公開のカレンダー データを漏洩させました。この方法では、カレンダー イベントの説明を介して攻撃者に機密データが流出する可能性があります。 Google の LLM アシスタントである Gemini は、Google Web サービスと Gmail やカレンダーなどの Workspace アプリを統合します。 Gemini ベースのカレンダー招待攻撃は、説明にプロンプト インジェクション ペイロードを含むイベント招待をターゲットに送信することから始まります。被害者がスケジュールについて Gemini に問い合わせると、窃盗活動がトリガーされます。これにより、アシスタントは、攻撃者のペイロードを含むすべての関連イベントをロードして解析します。アプリケーション検出および応答 (ADR) プラットフォームである Miggo Security の研究者は、自然言語による指示を提供することで、Gemini をだましてカレンダー データを漏洩させることができることを発見しました。これには、プライベートな会議を含む、特定の日のすべての会議を要約することが含まれます。その概要を使用して新しいカレンダー イベントを作成します。そしてユーザーに無害なメッセージで応答します。研究者らは、「Gemini は役立つイベント データを自動的に取り込んで解釈するため、イベント フィールドに影響を与える攻撃者は、モデルが後で実行する自然言語命令を植え付けることができます。」と説明しています。彼らは、イベントの説明フィールドを制御すると、Google Gemini が有害な結果であっても従うプロンプトを埋め込むことができることを発見しました。悪意のある招待のペイロードは、被害者が Gemini にスケジュールに関する日常的な質問をするまで、休止状態のままになります。悪意のあるカレンダーの招待から埋め込まれた命令が実行されると、Gemini は新しいイベントを作成します。プライベート ミーティングの概要がこの新しいイベントの説明に書き込まれます。多くの企業設定では、更新された説明がイベント参加者に表示されるため、機密情報が攻撃者に漏洩する可能性があります。 Miggo 氏は、Google はプライマリ Gemini アシスタントで悪意のあるプロンプトを検出するために、別個の隔離されたモデルを採用していると指摘しました。しかし、指示が安全であるように見えたため、彼らの攻撃はこのフェイルセーフを回避しました。悪意のあるカレンダー イベント タイトルを介したプロンプト インジェクション攻撃は新しいものではありません。 2025 年 8 月、SafeBreach は、悪意のある Google カレンダーへの招待が Gemini エージェントを悪用してユーザーの機密データを漏洩する可能性があることを実証しました。ミゴ社の研究責任者、リアド・エリヤフ氏はこう語った。 ピーピーコンピュータ SafeBreachの報告を受けてGoogleが追加の防御策を講じたにもかかわらず、今回の新たな攻撃はGeminiの推論能力が依然として操作に対して脆弱であることを示しているという。 Miggo はその調査結果を Google と共有し、Google はその後新たな緩和策を追加しました。 Miggo の攻撃コンセプトは、あいまいな意図を持つ自然言語によって駆動される AI システムにおける新しい悪用モデルを予測することの複雑さを浮き彫りにしています。研究者らは、これらの脆弱性に対処するには、アプリケーションのセキュリティを構文検出からコンテキスト認識型の防御へと進化させる必要があると示唆しています。
注目の画像クレジット
