Tenableは9月30日(米国時間)、「Tenable discovers 3 vulnerabilities in Google Gemini|Tenable」において、Google Geminiから3件の脆弱性を発見したと報じた。すでに修正を完了しているが、攻撃者はGeminiの利用者に影響を与えることが可能だったとされる。

  • Tenable discovers 3 vulnerabilities in Google Gemini|Tenable

    Tenable discovers 3 vulnerabilities in Google Gemini|Tenable

脆弱性の概要

研究者により「Gemini Trifecta」と名付けられたこれら脆弱性は、「Gemini Cloud Assist」、「Gemini with personalization」、Geminiブラウジングツール(Webコンテンツにアクセスする機能)から発見された。各脆弱性の概要は次のとおり。

  • Gemini Cloud Assist:間接プロンプトインジェクションの脆弱性。Google Cloudの各種サービスに細工したHTTPリクエストを送信することで、悪意のあるプロンプトをログに混入することができる。ユーザーがCloud Assistを利用した際に、Geminiがログを参照すると悪意のあるプロンプトが処理される可能性がある
  • Gemini with personalization:間接プロンプトインジェクションの脆弱性。攻撃者のWebサイトにアクセスすると、Googleが保持するユーザーの検索履歴に悪意のある履歴を追加される可能性がある。Geminiが検索履歴を参照すると、履歴に含まれる悪意のある検索クエリーがプロンプトとして処理され、パーソナライズされた記憶や位置情報を窃取される可能性がある
  • Geminiブラウジングツール:プロンプトインジェクションの脆弱性。細工したプロンプトを入力すると、Geminiの「保存された情報」を送信する可能性がある

Googleによる対策

脆弱性の報告を受けたGoogleは、次の対策を実施することでこれら脆弱性を修正したとされる。

  • すべてのログ要約レスポンスにおいて、ハイパーリンク出力を停止し、リンクをテキスト出力するように変更した
  • 検索パーソナライゼーション機能の強化および階層化されたプロンプトインジェクション防御戦略の強化に取り組んでいる
  • 間接的なプロンプト注入による情報漏洩を防止する措置を講じた

今回の件はAIを介した間接的な攻撃手段の存在を浮き彫りにした。AIはさまざまなクラウドサービスに統合され始めているが、同時に攻撃者に新しい攻撃領域を提供している。ユーザーはAIサービスの落とし穴を理解し、その応答に含まれる悪意に警戒することが求められている。