セキュリティ企業Noma Securityの研究者が、Google Gemini Enterpriseに「GeminiJack」と名付けられた深刻な脆弱性を発見しました。この脆弱性により、攻撃者は共有Google Docs、カレンダー招待、メールに隠された指示を通じて、従業員のクリック操作なしで機密企業データを窃取することが可能でした。Googleは既にパッチを適用済みです。
GeminiJackは間接プロンプトインジェクション(Indirect Prompt Injection)の一種です。攻撃者が予算関連の隠し指示を含むGoogle Docを共有すると、後に従業員がGemini Enterpriseで「予算を見せて」などと検索した際、AIが悪意あるドキュメントを取得して指示を実行してしまいます。Gemini EnterpriseはGmail、カレンダー、Docs、その他のWorkspaceデータにアクセス権限を持つため、検索結果が偽装された外部画像リクエストを通じて攻撃者に送信される仕組みでした。
Hacker Newsでは「エージェント型AIの攻撃対象面が急拡大している」「企業のセキュリティ体制の見直しが急務」との声が上がっています。X上でも「間接プロンプトインジェクションのリスクが現実のものとなった」「多層防御の必要性がますます明確になった」との指摘がなされています。
Googleは修正にあたり、Vertex AI SearchをGemini Enterpriseから完全に分離し、同じLLMワークフローやRAG機能を共有しない構成に変更しました。この事例は、エンタープライズAIシステムがいかに新しいカテゴリの脆弱性にさらされているかを示しており、AI導入企業はデータアクセス権限の最小化と、外部入力に対する検証強化を検討する必要があります。
| - [GeminiJack: the google gemini zero-click vulnerability | Noma Security](https://noma.security/blog/geminijack-google-gemini-zero-click-vulnerability/) |
|---|---|
| - [Google Fixes Gemini Enterprise Flaw | Infosecurity Magazine](https://www.infosecurity-magazine.com/news/google-fixes-gemini-enterprise-flaw/) |