セキュリティ企業Noma Labsが、Google Gemini EnterpriseとVertex AI Searchに深刻なゼロクリック脆弱性「GeminiJack」を発見しました。Google Docsやカレンダー招待、メールに隠し指示を埋め込むだけで、Gmail、カレンダー、ドキュメントから企業データを密かに窃取できる間接プロンプトインジェクション(Indirect Prompt Injection)攻撃が可能でした。
Noma Securityの詳細な技術レポートによると、攻撃の仕組みは以下の通りです。攻撃者がGoogle Docsに悪意のある隠し指示を埋め込み、それを標的企業のユーザーと共有します。従業員が「予算を見せて」などの通常の検索をGemini Enterpriseで実行すると、AIが汚染されたドキュメントを自動的に取得し、埋め込まれた指示を正規コマンドとして実行してしまいます。Gemini EnterpriseはGmail、カレンダー、Docs、その他のWorkspaceデータソースにアクセス権を持っているため、すべてのソースから情報を収集し、偽装された外部画像リクエストを通じて攻撃者にデータを送信していました。
この脆弱性は2025年6月にNoma Labsが発見し、同日Googleに報告しました。Googleは修正対応として、Vertex AI SearchをGemini Enterpriseおよび基盤のRAG(検索拡張生成)システムから分離しています。Hacker Newsでは「従来のセキュリティツールでは検出不可能な新種の攻撃」として警戒感が広がっており、RedditではRAGシステム全般への間接プロンプトインジェクションリスクとして活発な議論が行われています。
企業向けAIツールの普及に伴い、データアクセス権限と安全性のバランスが改めて問われています。