グーグルは、AIアシスタントを騙してユーザーに偽の情報を提供したり、モデルの動作を変更したり、データを無言で汚染したりするために使用される可能性のあるGeminiの新しいASCII密輸攻撃を修正しないことを決定した。
ASCII smugglingとは、Tags Unicodeブロックの特殊文字を使用して、ユーザーには見えないが、大規模言語モデル(LLM)によって検出・処理可能なペイロードを導入する攻撃である。
この攻撃は、研究者が最近Google Geminiに対して行った他の攻撃と類似しており、CSSの操作や GUIの制限の悪用など、ユーザーが目にするものと機械が読み取るものとの間のギャップを利用したものである。
LLMがASCIIの密輸攻撃を受けやすいことは、ジェネレーティブAIツールの登場以来、何人かの研究者がこの可能性を探ってきたように、新しい発見ではないが、現在では危険度が異なっている[1,2,3,4]。
以前は、チャットボットがこのような攻撃によって悪意を持って操作されるのは、ユーザーを騙して特別に細工されたプロンプトを貼り付けさせた場合だけでした。Geminiのようなエージェント型AIツールが台頭し、機密性の高いユーザーデータに広くアクセスできるようになり、自律的にタスクを実行できるようになったことで、脅威はより重大になっている。
サイバーセキュリティ企業FireTailのセキュリティ研究者であるViktor Markopoulosは、広く使用されているいくつかのAIツールに対してASCII密輸をテストし、Gemini(カレンダーの招待や電子メール)、DeepSeek(プロンプト)、Grok(Xの投稿)が攻撃に対して脆弱であることを発見した。
Claude、ChatGPT、およびMicrosoft CoPilotは、何らかの形式の入力サニタイズを実装しているため、ASCIIスマグリングに対して安全であることが判明した。
ソースはこちら:FireTail
Geminiについては、Google Workspaceとの統合は、攻撃者がASCIIスマグリングを使用してカレンダーの招待や電子メールに隠しテキストを埋め込む可能性があるため、高いリスクをもたらす。
Markopoulos氏は、カレンダーの招待状のタイトルに指示を隠したり、主催者の詳細を上書きしたり(ID偽装)、会議の説明やリンクを隠したりすることが可能であることを発見した。
Source:FireTail
電子メールによるリスクについて、研究者は次のように述べている。”受信トレイにLLMが接続されているユーザーにとって、隠されたコマンドを含む単純な電子メールは、受信トレイで機密項目を検索したり、連絡先の詳細を送信したりするようLLMに指示することができ、標準的なフィッシングの試みが自律的なデータ抽出ツールに変わる。”
ウェブサイトを閲覧するよう指示されたLLMは、商品説明の中に隠されたペイロードに出くわし、悪意のあるURLをユーザーに伝えるように仕向けることもできる。
研究者はこの発見を9月18日にグーグルに報告したが、テック大手はこの問題をセキュリティ・バグではなく、ソーシャル・エンジニアリング攻撃の文脈でのみ悪用される可能性があるとして却下した。
それでもマルコプロスは、この攻撃によってジェミニを騙してユーザーに偽の情報を提供できることを示した。ある例では、研究者は、ジェミニが潜在的に悪意のあるサイトを、良質の携帯電話を割引価格で入手できる場所として提示するように処理する、目に見えない命令を渡した。
しかし、他のハイテク企業は、この種の問題に対して異なる見解を持っている。例えば、アマゾンはユニコード文字の密輸に関する詳細なセキュリティガイダンスを発表している。
はこのバグについてより明確にするためにグーグルに問い合わせたが、まだ回答は得られていない。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments