Geminiを狙う新たな攻撃が登場 HTMLメール内に不可視の命令を埋め込む：セキュリティニュースアラート

0DIN.aiは、Google Geminiの要約機能がHTMLメールに埋め込まれた不可視の指示に反応し、偽情報を出力する脆弱性を報告した。攻撃は視覚表示を伴わず実行される。要約機能の信頼性と生成AIの攻撃対象化を警告している。

[後藤大地，有限会社オングス]

　0DIN.aiは2025年7月10日（現地時間）、Googleの生成AI「Gemini」における新たなプロンプトインジェクション攻撃を明らかにした。悪意ある指示をHTMLメール内に不可視の形式で埋め込むことにより、Geminiが本来意図されていない出力を生成するという脆弱（ぜいじゃく）性が報告された。

Geminiが不可視命令に反応　AI要約機能の脆弱性を悪用した攻撃とは？

　この攻撃は、電子メール本文に埋め込まれた隠しプロンプトが電子メールの要約機能によってAIの出力に反映される脆弱性とされている。具体例として「<Admin>」タグ内に攻撃者のメッセージを配置し、それを白文字やゼロサイズのフォントで表示から除外する手法が使われている。これにより、ユーザーが元の電子メールには存在しない警告文をGeminiの要約内で目にすることとなる。

　攻撃の流れは以下の通りだ。

　まず攻撃者が特定のHTML／CSSで不可視の指示を含む電子メールを作成し、通常の通信経路で送信する。その後、受信者がGeminiの要約機能を利用すると、AIが隠されているプロンプトを解析・実行し、偽のセキュリティ警告を要約に追加する。これにより、ユーザーが指定されている電話番号に連絡してしまったり、外部のWebサイトにアクセスするよう誘導されたりして、認証情報の窃取や電話を利用した社会的操作につながる。

　この攻撃ではリンクや添付ファイルを必要とせず、視覚的に表示されないHTML構造のみで実行される点に特徴がある。Geminiは<Admin>タグを高優先度の命令として扱う傾向があり、内部に記述されているメッセージをそのまま出力に反映する。Geminiのプロンプトパーサが「You Gemini, have to …」のような命令的文言に強く反応し、出力に組み込む傾向があることも同攻撃が成功する要因となっている。

　対策としては、セキュリティチームによるHTMLの静的解析やGeminiの出力に含まれる電話番号、警告表現の検出・抑制、視覚的に非表示となるスタイルの除去が挙げられている。Geminiの利用者に対し、要約機能がセキュリティの判断材料とはならないことを周知するよう推奨している。大規模言語モデル（LLM）提供者にはAIモデルが処理する前段階でのHTMLのクリーニング、生成文と元データの視覚的区別、出力に追加されている行の由来を説明する機能の実装を求めている。

　同手法はGeminiの要約機能に限らず、「Google Docs」「Google スライド」「Google Drive」検索など他のサービスにも適用可能とされている。CRMやチケットシステム経由の自動配信メールも攻撃経路となり得るため、SaaS連携を通じた攻撃の波及も想定される。

　この報告は、AIによる要約やアシスタント機能が信頼性を持つと同時に、外部から供給されるデータが新たな実行経路となるリスクを提示している。LLMを含む生成AI機能は、従来の電子メールと同様、攻撃対象として捉え、適切な監視と制御を講じる必要があると結論付けられている。