WhatsAppに届いた通知1件で、あなたのスマートホームが第三者に操作される——そんなシナリオが、Android版Google Geminiで実際に成立しうる状態だったと報告されました。セキュリティ研究者が、深刻なプロンプトインジェクションの脆弱性を発見したと公表したもので、WhatsAppやSlackなどから届く悪意のある通知だけで、音声アシスタントを乗っ取れてしまう内容となっています。Googleはこの脆弱性を高優先度として扱い、すでにサーバー側でパッチを展開済みとされています。
通知を読み上げる「Utilities」機能が突破口に
Google GeminiはAndroidで「Utilities」と呼ばれる機能を提供し、WhatsApp・Slack・Instagram といったアプリから届いた未読メッセージを読み上げるなど、コンテキストを取り込んで動作します。運転中などに役立つ便利機能ですが、AIモデルは「受信したデータ」と「実行すべき命令」を区別するのが苦手という根本的な弱点を抱えています。
セキュリティ研究者は、この死角を突き、悪意のある通知1件だけでGeminiの音声アシスタントを実質的に乗っ取れることを実演したと報じられています。注目すべきは、この攻撃手法では端末側に悪意のあるアプリを一切インストールする必要がない点です。敵対的なテキストメッセージをGeminiが「実行すべきコマンド」として解釈してしまうことだけが条件となります。
2言語を使った巧妙な錯覚——確認プロセスをすり抜ける手口
Googleは本来、不正な入力からセンシティブな操作が実行されないようガードレールを設けています。アプリの起動や設定変更を伴う命令であれば、Geminiはユーザーに確認を求める仕様です。
報告された手法は、この確認プロセスを欺くために2つの錯覚を同時に走らせるものです。攻撃の流れは次のように整理できます。
- 悪意のある通知が届く:WhatsAppやSlackなどの正規アプリ経由で、Geminiが取り込む通知に敵対的なテキストが埋め込まれる。
- 外国語で認可を要求:ユーザーがおそらく理解できない言語(例として中国語)で、Geminiにウィンドウ起動やツール実行の認可を求めさせる。
- 英語で無害な確認に切り替え:プロンプトはすぐに英語へ切り替わり、「これで全部ですか?」のような何気ない確認文を表示する。
- 「Yes」が外国語の認可に紐づく:ユーザーが軽微な不具合と勘違いして同意すると、バックエンドはその返答を隠れていた外国語の認可要求に結び付けてしまう。
別バリエーションでは、悪意のある命令をミュート設定のハイパーリンクの中に埋め込みます。Geminiの読み上げはリンクをスキップして「エラーが発生しました、聞こえていますか?」と読み上げる一方、画面には認可プロンプトが静かに表示される構造です。ユーザーが声に対して「Yes」と答えると、画面上の命令が承認されてしまいます。
スマートホーム操作から記憶汚染まで——想定された被害
認可関門を突破された場合の被害想定は広範囲に及びます。テスト環境では、接続済みのスマートホームデバイスを操作したり、確認なしでZoomビデオ通話に強制参加させたり、毎晩プライベートメッセージを読み上げる定期タスクを作成したりすることに成功したと報告されています。
さらに深刻なのが、アシスタントの長期メモリを汚染する手口です。Geminiはアカウント全体でユーザー情報を保存しているため、攻撃者が選んだ虚偽の情報をアシスタントに永続的な「事実」として記憶させることが可能になるとされています。一度汚染されると、ユーザーがログインするあらゆるデバイスに影響が引き継がれてしまう点が、通常の単発攻撃と比べて厄介な部分です。
更新不要、でも油断は禁物
幸い、現時点でユーザーが慌てる必要はないとされています。これらの脆弱性はGoogleの報奨金プログラムを通じて事前に報告されており、その後Googleはサーバー側パッチを展開して問題を緩和済みと報じられています。修正はGoogleのコンテンツ分類サーバー上で行われたため、ユーザーはアプリのアップデートを探す必要がない、とされています。
GeminiをAndroidで日常的に使っている場合、特別な作業をする必要はありません。ただし、AIアシスタントに通知やメッセージへのアクセス権を付与する設計には構造的な脆弱性が潜むということを、今回の事例は改めて示しました。今後も同種の手法が見つかる可能性があるため、見覚えのない確認プロンプトに反射的に「はい」と答えない習慣をつけておくのが妥当な対応です。
「Gemini Trifecta」——AIアシスタント全体に広がる間接プロンプトインジェクションの構造的リスク
Tenable Researchは、通知経路とは別系統でGeminiスイートを狙う3つの脆弱性群を「Gemini Trifecta」として公表しています。攻撃面は単一機能にとどまらず、Google CloudのログからChromeの検索履歴、Webブラウジング機能までAIが取り込むコンテキスト全般に及んでいます。
| 対象機能 | 攻撃の入り口 |
|---|---|
| Gemini Cloud Assist | ログ要約機能を悪用し、攻撃者制御テキストをログに混入 |
| Search Personalization Model | Chrome検索履歴への悪意あるクエリ注入 |
| Gemini Browsing Tool | 取得Webコンテンツ経由の間接注入 |
特にSearch Personalization Modelの事例は、ブラウザ履歴という日常的なログがそのまま「信頼できる文脈」としてAIに渡る設計の危うさを示しています。Cloud Assistではログ要約を経由して攻撃者のテキストが指示として解釈されてしまう構造です。通知経由とは別経路で同種の構造的弱点が顕在化しており、AIアシスタントの「コンテキスト取り込み」という基本機能そのものが攻撃面化していることが明らかになっています。
報告から修正までのタイムラインと、SafeBreachによる命名「Fake Context Alignment」
通知経路の脆弱性については、SafeBreach Labsが2025年8月17日にGoogleのVulnerability Reward Programへ通報し、Googleが2025年11月14日に緩和を確認した、と公開されています。約3か月の対応期間を経て、サーバー側で問題が解消された形です。
研究者らはこの手口に「Fake Context Alignment」という呼称を与えています。注目すべきは、通知の取り込み元として想定されているアプリの広さです。
- Slack
- Signal
- SMS
- Messenger
いずれも一般的なコミュニケーションアプリであり、Geminiが「読み上げ」のために取り込む通知の供給源が事実上ユーザーの日常そのものになっています。攻撃面の広さがそのまま日常利用の広さと重なっている点が、この脆弱性の厄介さを際立たせています。
Q&A
Q. このプロンプトインジェクション攻撃を受けるために、悪意のあるアプリをインストールする必要はありますか? いいえ、必要ありません。攻撃はWhatsAppやSlackなどの正規アプリから届く通知に埋め込まれた敵対的なテキストだけで成立するとされています。端末側に追加の不正アプリは不要というのが、この脆弱性が深刻視された理由の一つです。
Q. 自分が既に被害を受けたかどうか、確認する方法はありますか? 公開された情報の範囲では、一般ユーザー向けの明確な被害確認手順は示されていません。サーバー側パッチで攻撃経路自体が塞がれているため、実害が発生していなければ追加対応は不要とされています。心配な場合は、Geminiが保存しているメモリ内容を見直し、心当たりのない「事実」が記憶されていないかを点検しておくのが現実的なセルフチェックと言えるでしょう。
