Google Gemini Enterpriseにゼロクリックの脆弱性 深刻な情報漏えいのリスク：セキュリティニュースアラート

Google Gemini Enterpriseに深刻な脆弱性「GeminiJack」が見つかった。GeminiJackは、外部コンテンツに埋め込まれた指示がAIに誤って命令として解釈され、機密情報が外部に流出し得る脆弱性だという。

[後藤大地，ITmedia]

　Noma Securityは2025年12月8日（現地時間）、「Google Gemini Enterprise」（以下、Gemini Enterprise）における重大な脆弱（ぜいじゃく）性「GeminiJack」を公表した。同社のセキュリティ部門「Noma Labs」はこの不具合を、従来型の単純な欠陥ではなく、エンタープライズAIが情報を解釈する仕組みに潜む構造的弱点だと説明している。

　Googleは検証を経てGemini Enterpriseや「Vertex AI Search」の連携部分を調整し、両者を完全に分離して同一の大規模言語モデル（LLM）ワークフローや検索拡張生成（RAG）機能を共有しないようにしている。

Gemini Enterpriseに重大な脆弱性「GeminiJack」の詳細とは？

　GeminiJackの核心は、AIが取得した外部要素を処理する過程で不正な指示が混入する点にある。攻撃者が作成した文書やイベント説明、電子メール内容に埋め込まれた指示がGemini Enterpriseの通常検索に巻き込まれる構造に問題があった。従業員は普段通り検索を実行するだけで脆弱性が作動し、警告表示も発生しない。通信の流れも一般的な画像読み込みと同様の形式を取るため、従来の監視機構では検知が困難とされる。

　Gemini Enterpriseは「Gmail」や「Google カレンダー」「Google ドキュメント」など複数の「Google Workspace」のツールを参照するRAG構成を採用している。内部ユーザーが検索すると、関連資料が収集され、AIの処理文脈に読み込まれる設計となっている。この収集過程に、攻撃者が用意したコンテンツが入り込む余地があった。埋め込まれた不正指示は通常のテキストとして扱われず、AIが実行すべき命令として解釈されていた。

　流出し得る情報には、長期間の電子メール記録や財務関連の議論、カレンダーの履歴、ドキュメント群に含まれる協定書や技術資料などが含まれる可能性がある。攻撃者は組織内部の事情を把握していなくても、「confidential」「API key」といった一般的な語彙を通じてAIに検索を実行させるだけで広範な情報に到達できる構造にあった。

　攻撃は外部から共有可能なコンテンツに不正指示を忍ばせる段階から始まる。文書タイトルや電子メールの件名といった目立ちにくい箇所にも挿入できる点が特徴とされ、内部の従業員が通常検索をするとRAG機能が該当コンテンツを引き込み、AIが混入指示を処理対象として扱う。AIはその指示を実行し、取得した情報がHTMLのimgタグとしてレスポンス内に埋め込まれ、Webブラウザが外部サーバへHTTPリクエストを送信する形で外部に流出する流れが生成される。

　Googleはこの脆弱性を受け、RAG処理過程における指示解釈と単なる内容の扱いを明確に分離するよう修正した。構造的な境界の調整により、同種の誤解釈が発生しにくい処理系へと改められたと説明されている。

　今回の問題について、Noma Labsは「AI固有の脆弱性」（AI-native vulnerabilities）の一例と位置付けている。AIが広範なデータに継続的にアクセスする仕組みが普及する状況において、外部から持ち込まれる要素とAIの解釈処理との境界が重要な焦点になると指摘している。防御機構の整備は、単純な外部侵入の阻止だけでは不十分であり、AIが扱う文脈そのものの監視や異常な応答生成に対し検知手段の確立が不可欠と述べている。