GenAI と ASCII スマグリング:Gemini の問題を脆弱性ではないと否定する Google

Google won’t fix new ASCII smuggling attack in Gemini

2025/10/07 BleepingComputer — Google が公表したのは、Gemini に対する新たな ASCII スマグリング攻撃について、修正を施さないという方針である。この攻撃は、AI アシスタントを騙してユーザーに偽の情報を提供させ、モデルの動作を改変し、データを密かに改竄する可能性があるものだ。ASCII スマグリングとは、Unicode の Tags ブロックに含まれる特殊文字を利用して、ユーザーには見えないかたちで悪意のペイロードを挿入し、LLM による検出/処理を行わせるものである。

先日にも研究者が、Google Gemini に対して攻撃手法を提示しているが、今回のものも類似している。これらの攻撃はいずれも、レンダリングの差異や、表示と解析の差異といった、ユーザーが見ているものと機械が読むものとの間のギャップを突くものだ。

LLM が ASCII スマグリング攻撃に対して脆弱であることは、新たな発見ではない。GenAI ツールの登場以来、その可能性を数多くの研究者が調査してきたが、現在ではリスク・レベルが大きくなっている[ 1234 ]。

これまでの攻撃において、チャットボットに悪意の操作を受け取らせるには、特別に細工されたプロンプトを、ユーザーに貼り付けさせるように仕向ける必要があった。しかし、機密性の高い広範なユーザー・データにアクセスし、自律的にタスクを実行する Gemini のようなエージェント型の AI ツールの台頭により、脅威は深刻化している。

サイバー・セキュリティ企業 FireTail のセキュリティ研究者である Viktor Markopoulos は、広く使用されている複数の AI ツールに対して ASCII スマグリング・テストを行い、Gemini (メールやカレンダー招待)/DeepSeek (プロンプト)/Grok (X 投稿) が、攻撃に対して脆弱であることを発見した。

FireTail の調査によると、Claude/ChatGPT/Microsoft CoPilot に関しては、何らかの入力サニタイズの実装により、ASCII スマグリングに対して安全であることが確認された。

Susceptibility to ASCII smuggling
Susceptibility to ASCII smuggling
Source: FireTail

Gemini に関しては、Google Workspace との統合が大きなリスクをもたらす。ASCII スマグリングを悪用する攻撃者は、カレンダーの招待状やメールに隠しテキストを埋め込む可能性を持つ。

Viktor Markopoulos が確認した手口には、カレンダーの招待状の件名への指示の隠しこみや、主催者の詳細に対する上書き(なりすまし)、隠し会議の説明やリンクのスマグリングなどがあるという。

Calendar entry as the user sees it (left) and Gemini chat with poisoned data (right)
Calendar entry as the user sees it (left) and Gemini chat with poisoned data (right)
Source: FireTail

彼は、「受信トレイに LLM が接続されているユーザーのメール・リスクとしては、隠しコマンドを含む単純なメールからの LLM への指示により、受信トレイ内の機密情報の検索や、連絡先情報の送信などが生じる恐れがある。それにより、一般的なフィッシング攻撃が、自律的なデータ抽出ツールへと変貌する可能性が生じる」と述べている。

また、Web サイトを閲覧するように指示された LLM が、製品の説明に隠されたペイロードを発見し、悪意の URL をユーザーに送信してしまう可能性もある。

2025年9月18日に、この件について Viktor Markopoulos は Google に報告したが、同社の見解は、「この問題はセキュリティ上のバグではなく、ソーシャル・エンジニアリング攻撃にのみ悪用される」と否定するものだった。

その一方で、Markopoulos が示すものには、この攻撃を受けた Gemini が、ユーザーに対して偽の情報を提供するケースもある。ある例では、目に見えない命令を Gemini に受け渡し、それを処理させることで、悪意の可能性のあるサイトが “割引価格で高品質の携帯電話を入手できる場所” として表示されている。

この種の問題に対して、他のテクノロジー企業は異なる見解を持っている。たとえば Amazon は、Unicode スマグリングに関する詳細なセキュリティ・ガイダンスを公開している。

BleepingComputer は、Google に対して、このバグに関する説明を求めているが、まだ回答を得られていない。

この問題の根本は、人間が視認する文字列と、AI モデルが内部で解析する表現のズレにあります。Unicode の Tags ブロックなどを介して、目に見えない文字を挿入することが可能です。Gemini が Workspace と密に連携して、受信メールや招待を自律的に処理する設計では、可視性やサニタイズの不備が、そのまま偽命令の実行やデータ改竄に繋がると、この記事は指摘しています。いまの Google の対応は、とても残念ですね。よろしければ、Gemini で検索も、ご参照ください。