セキュリティ企業Noma Labsが、Google Gemini Enterpriseに存在していた深刻なゼロクリック脆弱性「GeminiJack」の詳細を公開しました。攻撃者はGoogleドキュメントの共有、カレンダー招待、メール送信といった日常的な操作だけで、標的となった従業員のWorkspaceデータを窃取できる状態にありました。Googleは既にパッチを適用済みです。
Noma Securityによると、この脆弱性は2025年6月に発見され、同日中にGoogleに報告されました。攻撃の仕組みは巧妙で、ユーザー側のクリックは一切必要ありません。攻撃者が共有ドキュメントなどに悪意のある命令を埋め込むと、Gemini Enterpriseはそれを正当なクエリとして解釈し、Gmail、カレンダー、ドキュメントなどアクセス権限を持つすべてのWorkspaceデータを検索します。取得した情報は偽装された外部画像リクエストを通じて攻撃者に送信されるため、DLPツールからは通常のAI検索と画像読み込みにしか見えず、流出を検知することが困難でした。
この攻撃が危険な理由は、ユーザーコンテンツとAIモデルの命令処理の間にある信頼境界を悪用している点にあります。Hacker Newsでは「AIアシスタントが流出エンジンになる時代、従来のセキュリティツールでは検知不可能」との警鐘が鳴らされています。また、Redditのr/netsecでは「RAGシステムへの間接プロンプトインジェクション(Indirect Prompt Injection)は今後も継続的な課題になる」との技術的議論が展開されています。
Googleは2025年11月までに修正を完了し、Vertex AI SearchをGemini Enterpriseから完全に分離することで、同一のLLMワークフローやRAG機能を共有しない構成に変更しました。この事例は、AIアシスタントのセキュリティが従来のサイバーセキュリティとは異なる新たなアプローチを必要としていることを示しています。企業がAIツールを導入する際には、プロンプトインジェクション対策を含む包括的なセキュリティ評価が不可欠となりそうです。