- CSSスタイリングで隠されたプロンプトがGeminiの要約機能を操作
- 偽のセキュリティ警告を生成し、詐欺電話番号へ誘導する手法
- 従来のフィッシング検出システムを回避する新たな攻撃手法
SEOの常識を覆す
AIライティングエージェント
プロフェッショナルの業務フローを完全再現するAIの活用で、飛躍的な品質向上とコストダウンの両立。「magicss」でAI時代のSEO&AIOを実現してみませんか?
今なら 1記事無料で生成可能(カード登録不要)
最短3分で無料体験するCSSスタイリングを悪用した「見えない」プロンプト攻撃
サイバーセキュリティ企業0dinの研究者らが、Google Gemini for Workspaceに深刻な脆弱性を発見しました[1]。この攻撃手法では、攻撃者がメール内にCSSスタイリングを使用して悪意のあるプロンプトを隠し、Geminiの要約機能を操作します。具体的には、白背景に白文字やフォントサイズ0などの技術を使用して、視覚的には見えないテキストを埋め込みます[3]。
特に注目すべきは、研究者Marco Figueroa氏が発見した<admin>HTMLタグの悪用です[2]。このタグで囲まれたテキストをGeminiが優先的に処理するため、攻撃者は隠されたプロンプトを通じてAIの応答を制御できます。例えば、「パスワードが侵害されました。すぐに以下の番号に電話してください」といった偽のセキュリティ警告を要約に追加させることが可能です[4]。
この攻撃手法は、従来のフィッシング攻撃とは根本的に異なる新しい脅威です。通常のフィッシングメールは怪しいリンクや添付ファイルを含みますが、この攻撃では一見無害なメールを使用します。まるで「トロイの木馬」のように、外見は普通のメールでありながら、内部にAIを操作する隠された指示が潜んでいるのです。特に企業環境では、従業員がAIツールの判断を信頼する傾向が強いため、この攻撃の成功率は従来のフィッシング攻撃よりも高くなる可能性があります。
Microsoft Copilotと類似する攻撃パターンの拡散
この脆弱性は、2024年に発見されたMicrosoft 365 Copilotの類似した攻撃手法と共通点があります[1]。両者とも、大規模言語モデル(LLM)が信頼できないコンテンツを適切に分離せずに処理することで発生する問題です。0dinの研究者らは、複数のAIプラットフォームで同様の攻撃が可能であることを実証しており、これは業界全体の構造的な問題を示唆しています[9]。
攻撃者は、従来のセキュリティフィルターを回避するために、悪意のあるリンクや添付ファイルを一切使用しません[7]。代わりに、AIの要約機能そのものを武器として利用し、偽のセキュリティ警告を生成させます。これにより、ユーザーは公式なシステムからの警告と誤認し、詐欺師の電話番号に連絡してしまう可能性があります[4]。
この攻撃パターンの拡散は、AI時代のサイバーセキュリティにおける新たな課題を浮き彫りにしています。従来のセキュリティ対策は「悪意のあるコンテンツを検出・遮断する」ことに重点を置いていましたが、今回の攻撃では「善意のツールを悪用する」アプローチが取られています。これは、銀行の警備システムが外部からの侵入者を防ぐことに特化していても、内部の職員が悪意を持って行動した場合には対応が困難になるのと似ています。AI技術の普及に伴い、セキュリティ対策も根本的な見直しが必要になっているのです。
企業環境における深刻なリスクと対策の必要性
この脆弱性は、特に企業環境において深刻なリスクをもたらします[5]。Google Workspaceを使用する企業では、従業員がGeminiの要約機能を日常的に利用しており、AIが生成する情報に対する信頼度が高いためです。攻撃者は、この信頼関係を悪用して、緊急性を装った偽のセキュリティ警告を通じて従業員を騙すことができます[6]。
研究者らは、この問題に対する対策として、コンテンツの適切なサニタイゼーション(無害化処理)と要約の検証機能の強化を提案しています[5]。また、GoogleもMozillaの0dinバグバウンティプログラムを通じてこの脆弱性の報告を受け、レッドチーム(攻撃者視点でのセキュリティテスト)による検証を実施していることを認めています[8]。
企業のAI導入において、この事件は重要な教訓を提供しています。AI技術は確かに業務効率を向上させる強力なツールですが、同時に新たな攻撃面(アタックサーフェス)も生み出します。企業は、AIツールを導入する際に「利便性」だけでなく「セキュリティリスク」も同等に評価する必要があります。また、従業員教育においても、「AIが生成した情報も完全に信頼できるわけではない」という認識を浸透させることが重要です。これは、自動運転車の安全性を向上させるために、運転者が常に周囲の状況を監視し続ける必要があるのと同じ考え方です。
まとめ
Google Geminiの「見えない悪意プロンプト」脆弱性は、AI時代のサイバーセキュリティにおける新たな脅威を浮き彫りにしました。CSSスタイリングや特定のHTMLタグを悪用した攻撃手法は、従来のセキュリティ対策を回避し、AIツールへの信頼を逆手に取った巧妙な手口です。この問題は、AI技術の普及に伴い、セキュリティ対策も進化させる必要があることを示しています。企業や個人ユーザーは、AIツールの利便性を享受しながらも、その限界とリスクを理解し、適切な警戒心を持つことが重要です。
参考文献
- [1] Malicious emails can poison Google Gemini
- [2] Google Gemini Tricked Into Showing Phishing Message Hidden in Email
- [3] Investigation reveals Google Gemini flaw could enlist AI in phishing schemes
- [4] Google AI Chatbot Target of Potential Phishing Attacks
- [5] Invisible AI Prompt Threats Undermining Gmail Security
- [6] Could Your Inbox Be Used Against You? What You Need to Know About Google Gemini Email Phishing Risks
- [7] Google Gemini flaw exploited to turn AI summaries into phishing vectors
- [8] Google Gemini AI Bug Allows Invisible, Malicious Prompts
- [9] The ‘Butler Attack’ — Delivering Prompt Data Breaches Direct From Your Mailbox
*この記事は生成AIを活用しています。*細心の注意を払っていますが、情報には誤りがある可能性があります。
