Google Gemini Vulnerabilities Let Attackers Exfiltrate User’s Saved Data and Location
2025/09/30 CyberSecurityNews — Google の AI アシスタント・スイート Gemini に3件の脆弱性が発見されたが、それらを悪用する攻撃者がいれば、ユーザーが保存した情報や位置データを窃取する可能性があったという。Tenable が Gemini Trifecta と命名した、これらの脆弱性が示すのは、AI システムが単なる標的ではなく、攻撃手段として悪用され得ることである。つまり、この研究で明らかになったのは、Gemini エコシステム内の複数コンポーネントに、深刻なプライバシー・リスクが潜んでいることだ。
その後に、これらの問題は Google により修正されたが、今回の発見が発する警告は、高度にパーソナライズされた AI 駆動型プラットフォームに内在する、セキュリティ上の課題に対するものである。3つの脆弱性を悪用する攻撃者は、Gemini 内の各機能を標的にできる。
Gemini Trifecta とは
Gemini Cloud Assist: Google Cloud ツールに存在する、間接プロンプト・インジェクションを悪用する攻撃者は、クラウド資源を侵害し、フィッシングを実行できる状態にあった。研究者が発見したのは、Gemini が要約するログエントリ内に、悪意のプロンプトを埋め込めることだった。それは、ログ・インジェクションにより、AI 入力を操作するという新たな攻撃手法を示している。
Gemini Search Personalization Model: 検索インジェクションの欠陥を悪用する攻撃者は、Chrome の検索履歴を操作して Gemini の挙動を制御できる。そして、悪意の検索クエリを注入することで、攻撃者は Gemini を欺き、ユーザーが保存する情報や位置データを漏洩させることが可能だった。
Gemini Browsing Tool: ブラウジング・ツールの脆弱性を悪用する攻撃者は、ユーザーが保存する情報を、外部サーバへと直接送信できる状況にあった。このツールの実行を介して攻撃者は、ユーザー・データを取り込んだ URL リクエストを、自身の管理下にあるサーバへ送信できる。
一連の攻撃手法のコアは、侵入と窃取の二段階プロセスで構成されている。
最初に攻撃者にとって必要なことは、Gemini が正当なコマンドとして処理する、悪意のプロンプトを注入することだ。この間接プロンプト・インジェクションのためのステルス手法を、Tenable は確認している。
具体例として報告されているのは、ログエントリの User-Agent ヘッダー内に命令を埋め込む手法や、JavaScript を用いてユーザーのブラウザ履歴内に、悪意のクエリを秘密裏に追加する手法などである。
第二段階は、プロンプト注入後のデータ抽出である。研究者たちが確認したのは、Google のセキュリティ対策 (ハイパーリンクや画像のマークダウンなどの出力フィルタリング) を回避するために、Gemini ブラウジング・ツールをサイドチャネルとして悪用する手法である。
具体的に確認されたのは、Gemini にブラウジング・ツールを使って URL を取得させ、攻撃者の管理下にあるサーバへ送られる URL リクエストに、ユーザーの個人データを直接埋め込ませる方法である。このデータ抽出は、レスポンスのレンダリングではなくツール実行を通じて行われるため、多くの防御策を回避できる。
すでに Google は、これら3件の脆弱性を修正している。主な修正点として挙げられるのは、ログサマリでのハイパーリンクのレンダリング停止/脆弱な検索パーソナライゼーションモデルのロールバック/間接的プロンプト注入発生時におけるブラウジング・ツール経由のデータ抽出の防止などである。
一連の脆弱性の原因は、入力や信頼の境界の検証不足/ログや検索履歴を介したプロンプト注入/ブラウジング機能の実行と出力の分離不足といった、分かりやすいものです。外部データが AI への「命令」として扱われる点を除くと、一般的な情報漏洩のシナリオと一致します。そして、この記事が指摘するのは、AI システムが単なる標的ではなく、攻撃手段として悪用され得るという点です。よろしければ、Gemini で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.