Tenableの研究者は2025年9月30日、GoogleのGemini AIアシスタントスイートにおいて3つの脆弱性を発見したことを公表した。これらは「Gemini Trifecta」と命名され、Gemini Search Personalization、Gemini Cloud Assist、Gemini Browsing Toolにそれぞれ存在していた。
Search Personalizationの脆弱性は検索インジェクション攻撃を可能にし、攻撃者がChromeの検索履歴を操作することでユーザーの保存情報と位置データを漏洩させる恐れがあった。Cloud Assistの欠陥はプロンプトインジェクション攻撃を許し、ログコンテンツに隠された命令を実行させることでクラウドリソースの侵害やフィッシング攻撃を可能にした。Browsing Toolの脆弱性は、ツールの「Show thinking」機能を悪用してユーザーの保存情報と位置データを流出させるものだった。
すべての脆弱性はGoogleに報告され、既に修正されている。
From: 
‘Trifecta’ of Google Gemini Flaws Turn AI Into Attack Vehicle
【編集部解説】
今回Tenableが発見した「Gemini Trifecta」は、AIアシスタントがもはや単なるツールではなく、攻撃の起点となり得ることを示す象徴的な事例です。特に注目すべきは、3つの脆弱性がそれぞれ異なるアプローチで悪用可能だった点でしょう。
最も巧妙だったのがSearch Personalizationへの攻撃手法です。ユーザーが悪意のあるウェブサイトを訪問するだけで、JavaScriptによって検索履歴に不正なクエリが注入されます。その後、ユーザーがGeminiと普通に会話するだけで、知らぬ間に埋め込まれたプロンプトが実行されるという仕組みです。検索履歴という「過去のデータ」が「能動的な命令」に変わる、この発想の転換が攻撃を成立させています。
Cloud Assistにおける脆弱性は、エンタープライズ環境における新たな脅威を浮き彫りにしました。ログファイルという本来信頼されるべきデータソースに悪意のある命令を仕込むことで、AIに任意の動作をさせられる可能性があります。Tenableの研究者Liv Matan氏が「クラウドにおける新しい攻撃クラス」と表現したように、これはログ管理とAIセキュリティの交差点に生まれた盲点と言えます。
Browsing Toolの「Show thinking」機能を悪用した攻撃は、透明性を高めるための機能が逆に脆弱性を生む皮肉な例です。AIの思考プロセスを可視化する機能が、内部動作を露呈させ、攻撃者にとっての道標となってしまいました。
これらの脆弱性は既にGoogleによって修正されていますが、根本的な課題は残っています。AIアシスタントが扱うデータの範囲が広がるほど、攻撃面も拡大します。検索履歴、クラウドログ、ウェブコンテンツなど、多様なデータソースを統合して処理する能力こそがAIの強みである一方、それぞれが潜在的な侵入経路になり得るのです。
企業にとって重要なのは、AIツールを「受動的なアシスタント」ではなく「能動的な攻撃面」として認識することです。Matan氏が推奨するように、AIツールの可視化、ログと検索履歴の定期監査、異常な外向き通信の監視といった多層防御が不可欠になります。AIの恩恵を享受しながら、そのリスクにも目を向ける成熟した姿勢が求められています。
【用語解説】
プロンプトインジェクション
AIモデルに対して悪意のある命令を注入する攻撃手法。通常の入力データの中に隠された指示を紛れ込ませることで、AIの動作を攻撃者の意図通りに操作する。間接的プロンプトインジェクションは、ユーザーが直接入力するのではなく、検索履歴やログファイルなど第三者が操作可能なデータソースを経由して行われる攻撃を指す。
サンドボックス化
プログラムやアプリケーションを隔離された環境で実行することで、システム全体への影響を制限するセキュリティ手法。Geminiでは応答を制限することでデータ漏洩を防ぐ目的で実装されていたが、今回の脆弱性はその防御を回避するものだった。
Google Cloud Platform(GCP)
Googleが提供するクラウドコンピューティングサービス。企業向けにサーバー、ストレージ、機械学習などの機能を提供する。Cloud Assistはこのプラットフォーム上のログ分析を支援するAI機能である。
【参考リンク】
Tenable公式ブログ(外部)
今回のGemini Trifecta脆弱性を発見した研究チームによる詳細な技術レポートや最新のセキュリティ研究が掲載されている
Google Gemini(外部)
Googleが提供するAIアシスタントサービス。自然言語での対話、情報検索、コンテンツ生成などの機能を持つ多機能AIプラットフォーム
Google Cloud Platform(外部)
Googleのクラウドサービスプラットフォーム。今回脆弱性が発見されたCloud Assistを含む企業向けインフラとAI/ML機能を提供
Dark Reading(外部)
サイバーセキュリティ専門のニュースメディア。企業のセキュリティ担当者やIT専門家向けに脆弱性情報や脅威分析を提供している
【参考記事】
The Trifecta: How Three New Gemini Vulnerabilities in Cloud Assist, Search Model, and Browsing Affect Enterprises(外部)
Tenableの公式技術レポート。3つの脆弱性の発見経緯や具体的な攻撃手法、技術的詳細を包括的に解説する一次情報源
Researchers Disclose Google Gemini AI Flaws Allowing Prompt Injection and Data Exfiltration(外部)
The Hacker Newsによる報道。Gemini Trifectaの技術的背景と企業への影響を簡潔に解説している
Google Patches Gemini AI Hacks Involving Poisoned Logs, Search Results(外部)
SecurityWeekの記事。Googleによる修正対応の詳細とログファイルや検索結果を汚染する新しい攻撃手法について解説
‘Gemini Trifecta’ vulnerabilities in Google AI highlight risks of indirect prompt injection(外部)
SiliconANGLEの分析記事。間接的プロンプトインジェクションのリスクに特化し企業環境でのセキュリティ課題を掘り下げている
【編集部後記】
AIアシスタントを日常的に使っている方も多いと思いますが、何気なく入力している検索履歴や会話のログが、実は攻撃の入口になり得るという視点を持ったことはあるでしょうか。今回の事例は、便利さの裏側に潜むリスクを改めて考えるきっかけになります。
私たち自身も、仕事でAIツールを使う機会が増える中で、「このデータは入力して大丈夫だろうか」と立ち止まる習慣が大切だと感じています。皆さんの職場や日常では、AIツールをどのように使っていますか?セキュリティ対策について、組織で議論する機会はあるでしょうか?もしよろしければ、ご自身の経験や考えをSNSなどでシェアしていただけると嬉しいです。
