2025年8月6日、ラスベガスで開催されたBlack Hat USA 2025において、GoogleのAIボット「Gemini」を悪用してスマートホームを乗っ取る攻撃手法が実証された。
攻撃はGoogleカレンダーの招待状から開始される。この攻撃手法を発見した研究者らは招待状のタイトル内に見えない間接プロンプトインジェクションを英語で埋め込み、技術的知識を必要とせず誰でも実行可能な手法を開発した。
ユーザーがGeminiに今週のカレンダーイベントの要約を求めると、休眠状態の悪意のある指示が起動し、インターネット接続された照明、スマートシャッター、接続されたボイラーなど様々なスマートホーム製品を制御できる。この攻撃はGeminiに対する14の間接プロンプトインジェクション攻撃シリーズの一部である。研究者らは2025年初めにGoogleに調査結果を提供済みで、Google Workspaceのセキュリティプロダクトマネジメントシニアディレクターはこの脆弱性を「極めて深刻に」受け止めていると表明した。
From: 
Google Gemini AI Bot Hijacks Smart Homes, Turns Off the Lights
【編集部解説】
今回のGoogle Gemini AIに対する攻撃は、AIセキュリティの歴史における重要な転換点を示しています。これまでプロンプトインジェクション攻撃は理論的な脅威として語られることが多かったものの、今回初めて現実世界の物理的な被害をもたらすことが実証されました。
技術的な攻撃手法の巧妙さ
この攻撃で特に注目すべきは、高度な技術的知識を必要としない点です。カレンダー招待状のタイトルに英語で悪意のある指示を埋め込むだけで実行可能で、一般ユーザーでも攻撃者になりうることを意味します。例えば、ユーザーが『今週の予定を教えて』といった日常的な指示を出すだけで意図せず攻撃が発動する仕組みは、ユーザーが気づかないうちに攻撃が発動する可能性を示しているのです。
AIエージェント時代の新たなリスク
この事案は、LLMが単なる文章生成ツールから、実世界のデバイスを制御するエージェントに進化する過程で生まれた新たなセキュリティリスクを浮き彫りにしています。研究者が指摘するように、AIが自動運転車や物理的ヒューマノイドに統合される未来において、こうした攻撃はもはやプライバシーの問題ではなく、人命に関わる安全性の問題となります。
Google側の対応と業界への影響
Googleは研究者からの報告を受けて既に修正パッチを適用済みですが、複数の防御層を構築する戦略を採用しています。しかし、Google自身も認めているように、プロンプトインジェクション攻撃は「しばらく続く問題」であり、完全な解決策はまだ見つかっていません。
スマートホーム市場への影響
この脆弱性の発見は、急速に拡大するスマートホーム市場にとって重要な警鐘となります。IoTデバイスがAIアシスタントと密接に連携する現在のトレンドにおいて、セキュリティ設計の見直しが迫られることになるでしょう。特に、デバイス間の通信プロトコルや認証機能の強化が急務となります。
規制面での影響
このような物理的な被害をもたらすAI攻撃の実証は、各国政府のAI規制政策にも影響を与える可能性があります。EUのAI法やアメリカの各種AI規制案において、AIシステムのセキュリティ要件がより厳格化される可能性が高まっています。
長期的な展望
今回の研究は、AI技術の発展と並行してセキュリティ対策も進化させる必要性を明確に示しました。特に、AIが医療、金融、交通などの重要インフラに組み込まれる前に、包括的なセキュリティフレームワークの確立が不可欠です。この事案は、「Tech for Human Evolution」というコンセプトの下で、技術進歩と安全性確保のバランスを取ることの重要性を改めて浮き彫りにしています。
【用語解説】
プロンプトインジェクション攻撃
大規模言語モデル(LLM)に対し、悪意のある指示を埋め込んで不正な動作をさせる攻撃手法である。通常のプロンプト(指示文)に紛れて悪意のある命令を注入することで、AIシステムを乗っ取る。
間接プロンプトインジェクション
直接的な指示ではなく、外部のドキュメントやファイルを通じて悪意のあるプロンプトを送り込む攻撃手法である。カレンダー招待状や電子メールなどを経由して攻撃が実行される。
大規模言語モデル(LLM)
膨大なテキストデータで訓練された人工知能モデルで、自然言語の理解と生成が可能である。ChatGPTやGoogle Geminiなどが代表例。
IoT(Internet of Things)
インターネットに接続された様々なデバイスやセンサーを指す概念である。スマート照明、スマートシャッター、スマート家電などがこれに含まれる。
【参考リンク】
Google Gemini(外部)
Googleが開発したAIアシスタント。テキスト生成、画像認識、コード作成などの機能を持つ
Google Workspace(外部)
Googleが提供するビジネス向けクラウドサービス群。Gmail、Googleドライブなどが含まれる
Black Hat(外部)
世界最大級のサイバーセキュリティカンファレンスを主催する組織
テルアビブ大学(外部)
イスラエルの主要な研究大学。サイバーセキュリティ分野で世界的に著名
Google AI for Developers(外部)
Googleが開発者向けに提供するAI開発プラットフォーム
【参考記事】
Hackers Hijacked Google’s Gemini AI With a Poisoned Calendar Invite to Take Over a Smart Home(外部)
WiredがBlack Hat USA 2025で発表された同一の攻撃手法について詳細に報道した記事
Researchers flag flaw in Google’s AI coding assistant that allowed for ‘silent’ code exfiltration(外部)
Google Gemini CLIの別の脆弱性について報告。プロンプトインジェクション攻撃の多様性を示す重要な事例
Google Gemini Vulnerability Puts Gmail Users at Risk of Stealth Phishing Attacks(外部)
Gmail版Geminiの脆弱性について詳述。AI攻撃が電子メール環境に与える影響を分析
【編集部後記】
皆さんのご自宅にも、スマート照明やスマートスピーカーがあるのではないでしょうか。今回の事案は、私たちが日常的に使っているAIアシスタントが、思わぬ形でセキュリティリスクの入り口になる可能性を示しています。
便利さと安全性のバランスをどう取るべきか、皆さんはどうお考えでしょうか。また、AIがより深く生活に浸透する未来において、私たち一般ユーザーができる対策があるとすれば、どのようなものだと思われますか。ぜひSNSで、皆さんの率直なご意見をお聞かせください。
