Google Gemini の間接プロンプト・インジェクション：Slack／SMS などからペイロードを配信

New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS

2026/06/03 CyberSecurityNews — Google Gemini の音声アシスタントを標的とする、新たな間接プロンプト・インジェクション (IPI) 攻撃クラスが発見された。WhatsApp／Slack／Signal／SMS／Instagram／Messenger などの、日常的なメッセージング・アプリを通じて配信される悪意のペイロードにより、AI が密かに乗っ取られる可能性がある。

以前にも SafeBreach が、Google Calendar 招待を武器化した Invitation Is All You Need を開示していたが、今回の研究も、同社の Security Research Team Lead である Or Yair が主導している。ただし、今回の攻撃では、デバイス通知をトリガーする任意のアプリケーションが有効な配信ベクターとなるため、その対象領域は遥かに広くなる。

Google Gemini 脆弱性の悪用

この攻撃の中核は、Gemini の Android Utilities エージェントの、受信通知を読み取るツールの悪用にある。このツールは、サードパーティ・アプリからの未信頼データを処理するため、それらのメッセージを細工する攻撃者により、悪意の命令の埋め込みが可能となる。

Gemini が汚染された通知を読み取ると、攻撃者のコマンドが会話コンテキストへと組み込まれるが、それをユーザーは認識しない。外部ツールを呼び出さない場合であっても、この通知ベースの IPI によるコンテキスト汚染が可能であり、攻撃者による Gemini 出力の完全な制御が達成される。

たとえば、改竄されたアシスタントが、「エラーが発生しました — こちらをクリックして更新してください」といった偽のシステム・メッセージを表示し、信頼された AI インターフェイスを通じたフィッシングへの誘導が可能になる。

偽コンテキスト・アラインメント：Google 防御の回避

Google がツール・チェーン呼び出しや Delayed Tool Invocation をブロックした後に、SafeBreach 研究者が開発したのは、Fake Context Alignment と呼ばれる新たな回避技術である。

Gemini のバックエンド・セキュリティ・メカニズムが、正当な認可シナリオを提示する一方で、ユーザーには完全に無害なやり取りが表示されるという、二重の錯覚が生成される。

以下の、2 つの手法が示されている。

難読化 Fake Context Alignment：Gemini は外国語 (例：中国語「你想打开窗户吗?」＝「窓を開けますか?」) などの悪意の認可質問を付加し、その直後に無害な英語の質問を表示する。ユーザーが英語質問に対して “Yes” と回答すると、その肯定を隠された中国語命令への関連付けが行われ、ツール実行がトリガーされる。

ミュート Fake Context Alignment：悪意の質問をクリック可能リンク・テキストとして埋め込み、Gemini のテキスト読み上げエンジンに無音でスキップされる。無害な音声プロンプトのみを認識したユーザーに、”Yes” と応答させてツール実行を許可させる。

この 2つの手法を組み合わせた Ultimate Combo ペイロードにより、研究者は Google の最新防御を高い成功率で回避することに成功し、ユーザーに認識させることもなかった。さらに、Delayed Tool Invocation を再有効化した環境では、複数の高深刻度攻撃が実証された。

スマートホーム・デバイスの普及により、Google Home 経由で、窓／ボイラー／照明などの接続デバイスをリモート操作する攻撃が可能になる。それに加えて、Safe Browsing 許可ドメインからの 301 HTTP リダイレクトを用いて Zoom を起動し、被害者のカメラ映像をライブ配信する covert video streaming 攻撃も確認されている。

また、大規模なソーシャル・エンジニアリングも確認されている。通知キューから送信者名を抽出することで、信頼された人物からのメッセージを偽装できる。

その一方で、永続型のメモリ汚染も深刻な問題である。Gemini の長期メモリに対して偽情報を注入することで、Google Workspace 全体 (タブレット／PC／スマートスピーカー) などに影響を及ぼすことが可能になる。

さらに、スケジュールされた監視により、ユーザーの最新メッセージを自動的に読み取るタスクを設定し、継続的な情報窃取を可能にする手口もある。

2025年8月17日に SafeBreach は、これらの調査結果を Google Vulnerability Reward Program に報告した。それを受けて、2025年11月14日に Google は、コンテンツ分類器の改善により、間接プロンプト・インジェクションおよび Delayed Tool Invocation シナリオが緩和されたことを確認した。

訳者後書：今回の Google Gemini に関する問題は、受信したアプリの通知を読み取るツールの設計において、外部からの未信頼データを適切に処理できなかったことが原因となっています。具体的には、メッセージング・アプリなどを通じて送られてくる悪意の文字列が、 そのまま AI の会話コンテキストに組み込まれてしまい、システムの防御を回避する仕組みに悪用されていました。その結果、ユーザーが気づかないうちに AI の出力が乗っ取られ、不正なデバイス操作や情報窃取を許すという状態を招いています。よろしければ、Prompt Injection での検索結果も、ご参照ください。