Google Geminiを狙う新たな攻撃
HTMLカレンダー招待を悪用した「間接プロンプトインジェクション」とは
Googleが提供する生成AI 「Gemini」は、GmailやGoogleカレンダーなどの業務ツールと深く連携しています。その利便性の一方で、Geminiの挙動そのものを狙った新しい攻撃手法が明らかになりました。
今回問題となっているのは、HTML形式のカレンダー招待を悪用した「間接プロンプトインジェクション攻撃」です。ユーザーが不審なURLをクリックしたり、ファイルを開いたりしなくても、Geminiが意図しない処理を実行してしまう可能性があります。
Geminiを狙った「間接プロンプトインジェクション」とは
プロンプトインジェクションとは、AIに与えられる指示(プロンプト)を攻撃者が操作し、本来想定されていない動作を実行させる攻撃です。Geminiの場合、ユーザーが直接入力していない命令が、外部データを通じて間接的に注入される点が問題となります。
Geminiは、Googleカレンダーの予定タイトルや説明文、HTMLを含む招待メッセージを自然言語として解析します。この仕組みを悪用し、イベント説明欄にAI向けの命令を埋め込むことで、Geminiが誤った判断を下す可能性があります。
攻撃の流れ:Geminiが誤動作するまで
① Geminiを狙ったカレンダー招待の送信
攻撃者は、通常の会議予定に見えるGoogleカレンダー招待を作成します。しかし、イベントの説明欄には、人間には違和感を覚えにくい形でGemini向けの命令文が埋め込まれています。HTMLタグや自然な文章を使い、検知を回避します。
② ユーザーの通常操作がトリガーに
ユーザーが「今日の予定を要約して」「この会議について教えて」など、通常の用途でGeminiを利用すると、AIはカレンダー内容を参照します。この際、説明欄に含まれた攻撃者の命令も同時に解釈され、ユーザーの意図とは無関係に処理対象となります。
③ Geminiによる意図しない情報処理
報告されているケースでは、Geminiが会議内容や参加者情報を要約し、新たなイベントとして自動生成するなどの挙動が確認されています。共有設定や通知の仕組みによっては、機密情報が第三者に渡る可能性も否定できません。
なぜ「Gemini狙い」の攻撃が危険なのか
- URLクリックや添付ファイル実行を伴わないため気づきにくい
- Geminiの正規機能(要約・連携)そのものが攻撃面になる
- 操作ログ上は通常利用と区別がつきにくい
これは従来のフィッシングやマルウェアとは異なり、AIの判断プロセス自体を攻撃対象にした新しい脅威といえます。
企業・組織が取るべき対策(Gemini利用時の注意点)
- 不明なGoogleカレンダー招待を安易に承認しない
- Geminiが自動生成・更新した予定やデータを定期的に監査する
- 機密情報を含む予定はGemini連携範囲を最小限にする
- AIによる自動操作に確認プロセスを設ける
まとめ:Gemini時代の新しいセキュリティリスク
今回の事例は、Geminiのような生成AIが業務の中核に入ることで、「AIそのものが攻撃対象になる時代」に入ったことを示しています。便利さと引き換えに、AIが信頼して処理するデータの安全性をどう担保するかが、今後の大きな課題です。
