GeminiとGoogleカレンダーの連携に起因する脆弱性が明らかに

Miggo Securityは1月19日(現地時間)、「Weaponizing Calendar Invites: How Prompt Injection Bypassed Google Gemini’s Controls」において、Googleの生成AIであるGeminiとGoogleカレンダーの連携に起因する深刻な脆弱性を公表した。

この脆弱性は、通常のカレンダー招待が攻撃の起点となり、ユーザーの操作を伴わずに個人のスケジュールデータへ到達可能となる点に特徴がある。コードの欠陥ではなく、自然言語の解釈過程そのものが突破口となった事例であり、AI統合型サービスに潜む新種のリスクを示している。

• 

  Weaponizing Calendar Invites: How Prompt Injection Bypassed Google Gemini’s Controls

言語入力を起点とする新型侵入経路

調査で明らかになったのは、Geminiがカレンダー補助機能として予定の名称、時刻、参加者、説明文を包括的に解釈する設計であることだ。研究チームは、サイバー攻撃者がスケジュールの説明欄を制御できる状況を想定し、自然な文章の形を保った指示文を埋め込む可能性を検証した。その結果、Geminiは説明文内の指示を文脈情報として受容し、後続の問いかけに反応する挙動を示した。

この攻撃は3段階で構成される。最初に、説明文へ巧妙な文章を含む予定招待を送付する。次に、被害者が通常の予定確認を行うと、Geminiが全予定を読み込む過程で当該文章を解釈対象に含める。最後に、Geminiは内部権限を用いて新規予定を生成し、私的な会議内容の要約を書き込む。この挙動は利用者に不審感を与えず、外部から情報取得が可能となる点に問題がある。

この事例は、従来型アプリケーション防御の限界を明確に示している。従来の対策は特定文字列や構文の検知に依存する。一方で本件の文章は日常的な依頼文と区別しにくく、危険性は語句単体ではなく文脈全体から生じる。意味解釈を担うAIが実行権限を持つ構造自体が、新たな攻撃面を形成している。

構文防御から意味防御への転換、AI時代の基盤的安全要件

Geminiは単なる対話窓口ではなく、API操作を媒介する実行層として機能していた。このような言語主導の操作面では、正当依頼と悪意ある指示の境界が曖昧となる。結果として、防御側は入力の形式ではなく、意図や権限行使の妥当性を判断する必要に迫られる。

結論として、本件は個別不具合ではなく、AI時代の基盤的課題を映す事例と言える。防御には語義理解を前提とした実行時制御、権限管理、挙動監視の統合が不可欠だ。言語を処理する仕組みを一つのアプリケーション層として捉え、厳格な統治を施す姿勢が今後の安全性確保に直結する。