Googleは2025年12月9日、Google Gemini EnterpriseおよびVertex AI Searchに存在したゼロクリック脆弱性「GeminiJack」を修正したと発表した。Noma LabsがVertex AI Searchで最初に脆弱性を発見し、Googleと共同で検証と対応を行った。
この脆弱性は、Google Docs、Google Calendar、Gmailなどで共有されたコンテンツ内に埋め込まれた指示を悪用し、Gemini Enterpriseの検索機能を通じてGmail、Calendar、DocsなどのGoogle Workspaceデータから情報を収集し、外部の画像URLを利用して攻撃者のサーバーへ送信するものだった。
攻撃はマルウェアやフィッシングを伴わず、データ損失防止ツールも検知できなかった。Noma LabsのSasi Leviは、これは間接的なプロンプトインジェクション攻撃であり、Salesforce Agentforceの「ForcedLeak」と同様、RAGベースのエンタープライズAIが信頼されていないコンテンツと広範な権限を組み合わせることに起因すると述べた。
From: 
Google Patches AI Flaw That Turned Gemini Into a Spy
【編集部解説】
今回のGeminiJackは、エンタープライズAIにおける「信頼境界の曖昧さ」を突いた攻撃として重要な意味を持ちます。
従来のセキュリティ対策は、マルウェアの実行やフィッシングによる認証情報の窃取、データ損失防止(DLP)ツールでの異常検知といった「侵入の痕跡」を前提としていました。しかしGeminiJackでは、通常の業務フロー内で共有されるドキュメントやカレンダー招待に埋め込まれた指示を、AIが「正当なクエリ」として解釈し実行してしまいます。ユーザーのクリック操作も不要で、セキュリティアラートも発生しません。
特に注目すべきは、RAG(Retrieval-Augmented Generation)アーキテクチャの構造的な脆弱性です。RAGは外部データソースから情報を取得してAIの回答精度を高める仕組みですが、信頼された指示と信頼されていない取得コンテンツを同じ文脈で処理するため、悪意ある指示を区別できません。
Noma Labsが脆弱性を発見しGoogleへ報告後、検証と対策が進められました。Googleは検証完了後、Gemini EnterpriseとVertex AI Searchの取得・インデックスシステムとの連携方法を変更する構造的なアップデートを展開しています。
この問題はGoogle製品に限りません。Noma Labsは同様の手法でSalesforce Agentforceの「ForcedLeak」も発見しており、RAGベースのエンタープライズAIシステム全般に共通するリスクといえます。Salesforceも信頼されたURLのホワイトリスト機能を強制適用し、プロンプトインジェクション攻撃への防御を強化しました。
企業がAIアシスタントを急速に導入する中、取得したコンテンツごとに信頼レベルや出所情報を付与し、信頼されていないコンテンツが重要なアクションを引き起こせないようアーキテクチャレベルで境界を設ける必要があります。Noma Labsの研究者が指摘する通り、「このタイプの攻撃は最後ではなく、AI固有の脆弱性という新たなクラスの始まり」なのです。
【用語解説】
RAG(Retrieval-Augmented Generation / 検索拡張生成)
大規模言語モデルが回答を生成する際、外部のデータベースやドキュメントから関連情報を検索・取得し、その情報を組み合わせて応答する技術。AIの回答精度を高める手法として広く採用されているが、信頼された指示と信頼されていないコンテンツを同じ文脈で処理するため、セキュリティ上の課題を抱えている。
プロンプトインジェクション(Prompt Injection)
AIシステムに対して、意図的に細工した指示文を入力し、本来の動作とは異なる挙動を引き起こさせる攻撃手法。間接的プロンプトインジェクションでは、ドキュメントやウェブページなどAIが参照するデータ内に悪意ある指示を埋め込み、ユーザーが気づかないうちにAIを操作する。
ゼロクリック攻撃(Zero-Click Attack)
ユーザーの操作(クリック、ダウンロード、認証入力など)を一切必要とせず実行される攻撃。従来のセキュリティ対策が想定する「ユーザーの不注意」を前提としないため、検知・防御が極めて困難である。
DLP(Data Loss Prevention / データ損失防止)
企業内の機密情報が外部へ不正に流出することを防ぐセキュリティ技術やツール。通常はファイル転送やメール送信などを監視するが、GeminiJackのように正規の通信経路を悪用する攻撃には対応できない場合がある。
Google Workspace
Google が提供するクラウドベースの生産性向上ツール群。Gmail、Google Calendar、Google Docs、Google Drive、Google Meetなどが含まれ、企業や組織での利用が広がっている。
【参考リンク】
Noma Security(外部)
AIセキュリティに特化した研究企業。GeminiJackとForcedLeakを発見し、エンタープライズAIのリスク評価ツールを提供。
Google Vertex AI(外部)
Google Cloudの機械学習プラットフォーム。Vertex AI Searchは企業向け検索ソリューションで、GeminiJack脆弱性が最初に発見された。
Salesforce Agentforce(外部)
SalesforceのAIエージェントプラットフォーム。ForcedLeak脆弱性の発見により、RAGベースAIシステムの共通リスクが明らかになった。
【参考記事】
Google Fixes Gemini Enterprise Flaw That Exposed Corporate Data(外部)
GeminiJackの発見から修正までの経緯を詳述。RAGアーキテクチャの信頼境界問題とSalesforce類似事例にも言及。
GeminiJack zero-click flaw exposes corporate data | Cybernews(外部)
ゼロクリック攻撃の技術的詳細と攻撃フローを図解。従来のセキュリティツールでは検知不可能な点を強調している。
Google addresses ‘GeminiJack’ exploit affecting Gemini Enterprise(外部)
企業向けAIアシスタントのセキュリティ課題を包括的に分析。アーキテクチャレベルでの対策の必要性を論じている。
AI Agent risk exposed in Salesforce Agentforce – Noma Security(外部)
Salesforce AgentforceのForcedLeak脆弱性の詳細レポート。GeminiJackと同様のRAGベースシステムの共通リスクを示している。
【編集部後記】
AIアシスタントが「味方」でありながら、同時に新しいリスクにもなりうる──GeminiJackはまさにその境界を突きつけた事例だと感じています。
これから私たちの仕事環境には、Gemini EnterpriseのようなRAGベースのAIが標準装備のように溶け込んでいきます。便利さの裏側で、「どこまでをAIに任せるか」「どのデータまでAIに見せるか」という設計やルールづくりが、プロダクト選びと同じくらい重要になっていきそうです。
もしあなたのチームや会社で、すでにWorkspace連携AIや社内RAGシステムを試しているとしたら、「プロンプトインジェクションへの備え」や「取得データの信頼レベル設計」について、一度立ち止まって議論してみるタイミングかもしれません。みなさんの現場では、AIとセキュリティの折り合いをどうつけていくべきだと思いますか。
