Google Gemini for Workspace の脆弱性:間接プロンプト・インジェクションという新たな攻撃ベクター

Google Gemini for Workspace Vulnerability Lets Attackers Hide Malicious Scripts in Emails

2025/07/14 CyberSecurityNews — Google Gemini for Workspace に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この脆弱性を悪用する攻撃者は、メール本文内に悪意の指示を秘密裏に埋め込み、認証情報の窃取やソーシャル・エンジニアリング攻撃を引き起こす可能性を手にする。この攻撃は、AI アシスタントの “Summarize this email” 機能を悪用するものであり、Google からの送信を巧妙に装う、偽のセキュリティ警告を表示する仕組みを用いるものだ。

主な特徴
  1. Gemini がメールを要約する際に、不可視の HTML/CSS を用いる攻撃者は、悪意のある指示を秘密裏に文面に埋め込む。
  2. この攻撃で必要なものは、タグ付きの細工された HTML のみであり、リンク/添付ファイル/スクリプトは不要である。
  3. 攻撃者が作成した偽のフィッシング警告を、Google から送られた正規のメッセージとして提示する Gemini により、認証情報の入力などへとユーザーは誘導される。
  4. この脆弱性影響を及ぼすとされる範囲は、Gmail/Docs/Slides/Drive などであり、Google Workspace 全体に AI ワームを蔓延させるかもしれない。

ある研究者が、0DIN に ID “0xE24D9E6B” として提出した調査結果に基づき、この脆弱性は実証された。攻撃の根本にあるのは、メール内に埋め込まれた、細工された HTML/CSS コードにより Gemini の AI 処理機能を制御する、プロンプト・インジェクション技術である。

従来からのフィッシング手法と異なり、この攻撃にはリンク/添付ファイル/外部スクリプトが不要であり、本文に挿入された特定形式のテキストのみで十分だとされる。

この手法では、<Admin> タグ内部に指示を埋め込むが、そこで用いられる CSS スタイル (白背景に白文字/フォントサイズ “0” など) により、受信者による視認は不可能となる。

騙された被害者が Gemini の “Summarize this email” 機能をクリックすると、AI は隠された指示を正規のシステム・コマンドとして認識し、偽造されたセキュリティ警告を忠実に再現する。

Google Gemini for Workspace の脆弱性

この Google Gemini for Workspace における脆弱性は、間接プロンプト・インジェクション (Indirect Prompt Injection) に分類される。この攻撃形態は、外部コンテンツ内に取り込まれた隠れた命令文が、AI モデルへの入力として処理されるというものである。

0DIN 分類法に基づき、セキュリティ専門家たちは、この攻撃は “Stratagems → Meta-Prompting → Deceptive Formatting” に該当するとし、社会的影響度を Medium レベルと評価している。

さらに、PoC エクスプロイトで実証されたのは、管理者権限レベルの指示を取り込んだ不可視領域をメールに挿入する攻撃者が、Gemini に対するメール要約リクエストの中で、緊急のセキュリティ警告を追加するよう指示する方法である。


この警告に含まれるものには、特定の電話番号への発信や、指定 Web サイトへのアクセスを促す文面などがあり、認証情報の収集やボイス・フィッシング攻撃へと誘導する仕組みとなっている。

この脆弱性は Gmail に固有のものではなく、Docs/Slides/Drive などの、Google Workspace 全体の Gemini 統合に影響を及ぼす可能性を持つ。そのため、Gemini により処理されるサードパーティ・コンテンツなどのワークフローが、新たなインジェクション・ベクターとして悪用されるリスクも存在し得る。

研究者たちが警告するのは、侵害された SaaS アカウントが、自動ニュース・レター/CRM システム/チケット発行メールなどを通じて、無数のフィッシング・ビーコンとして機能するよう、変化していく可能性である。

この手法については、メール・システム間を横断しながら、自己を複製していくことで、それぞれのフィッシング・キャンペーンから自律的に拡散する、”AI ワーム” へと発展する恐れも指摘されている。

緩和策

セキュリティ・チームに対して推奨されるのは、HTML 受信時における Lint チェックを介した不可視スタイルの削除/LLM ファイアウォールのコンフィグに加えて、疑わしいコンテンツの検出を目的とした、Gemini 出力に対する後処理フィルタの実装などである。

さらに、AI によるサマリーが、正式なセキュリティ・アラートではなく、情報提供の一環であることを、ユーザーに明確に理解してもらえるよう、意識向上ためのトレーニングを強化することも必要となる。

Google などの AI プロバイダーに対して提案される緩和策には、取り込み時の HTML サニタイズ/AI 出力を元データから明確に分離するためのコンテキスト・アトリビューションの強化/不可視プロンプトを可視化するための説明機能の強化などがある。

この事例が浮き彫りにするのは、新たな攻撃対象領域の一部を、すでに AI アシスタントが構成していることだ。その出力に対してセキュリティ・チームは、潜在的な脅威ベクターとして評価/監視し、サンドボックス化すべきである。

Gemini の “Summarize this email” 機能を悪用する手法は、AI と人の信頼の隙間を突く新しいタイプの攻撃です。そして、間接プロンプト・インジェクションという新たな攻撃ベクターを明示してくれるものでもあります。その意味で、とても興味深い記事ですね。よろしければ、カテゴリ AI/ML も、ご参照ください。