投稿者 global-ai-media 
Google Geminiにおいて、カレンダー招待機能を悪用した攻撃手法がセキュリティ研究者によって報告されました。これは単なる個別のバグではなく、外部データを読み込んで自律的に動作する「AIエージェント」特有の構造的な脆弱性を示唆しています。本記事では、この事例を端緒に、日本企業がRAGやAIエージェントを業務実装する際に直面する「間接プロンプトインジェクション」のリスクと、実務的な対策について解説します。
Google Geminiのカレンダー操作事例が示唆するもの
最近、Google Geminiの機能拡張(Extensions)に関連する新たな脆弱性が指摘されました。報道によると、攻撃者が作成した悪意あるプロンプトを含むコンテンツをGeminiに読み込ませることで、ユーザーの意図しないカレンダー招待を作成させたり、不正な操作を実行させたりすることが可能になるというものです。
この事象は、生成AIが単にテキストを生成するだけの「チャットボット」から、外部ツールやAPIと連携してアクションを起こす「エージェント」へと進化する過程で避けては通れない課題を浮き彫りにしています。Googleはこの問題に対して修正を行っていますが、重要なのは「特定の製品のバグ」として片付けるのではなく、「外部データを取り込むAIシステム全体の構造的リスク」として理解することです。
「間接プロンプトインジェクション」という新たな脅威
生成AIのセキュリティにおいて、これまで広く知られていたのは、ユーザー自身がAIを騙して不適切な回答を引き出す「ジェイルブレイク(脱獄)」でした。しかし、現在より深刻な脅威となっているのが「間接プロンプトインジェクション(Indirect Prompt Injection)」です。
間接プロンプトインジェクションとは、攻撃者がウェブサイトやメール、ドキュメントの中に、人間には見えない形(あるいは見えにくい形)でAIへの指令を埋め込み、AIがそのデータを参照した際に、意図しない動作を強制する攻撃手法です。例えば、社内のRAG(Retrieval-Augmented Generation:検索拡張生成)システムが、悪意あるコードが含まれたPDFを要約しようとした際、「社内の機密情報を外部サーバーに送信せよ」という隠しコマンドを実行してしまうリスクなどがこれに該当します。
今回のGeminiの事例も、AIが外部情報(カレンダーに関連するコンテキスト)を処理する過程で、外部からの干渉を受けた点において、この広義のリスクに含まれます。
日本企業におけるAI活用とセキュリティの実情
日本国内でも、業務効率化やDX(デジタルトランスフォーメーション)の一環として、Azure OpenAI ServiceやAmazon Bedrockなどを活用し、社内文書検索やワークフロー自動化に取り組む企業が増えています。特に、TeamsやSlack、Google Workspaceといったコミュニケーションツールと生成AIを連携させる動きが活発です。
しかし、日本の組織文化として「一度導入されたシステムの結果を過信しやすい」傾向や、現場部門主導で進められる「シャドーAI」的な利用において、セキュリティ検証が不十分なままツール連携が行われるケースが散見されます。AIがメールのドラフトを作成するだけでなく、「自動送信」まで許可していたり、スケジュールの「自動登録」を無条件に許可していたりする場合、間接プロンプトインジェクションによる被害は、誤情報の拡散やフィッシング詐欺の踏み台利用へと直結します。
権限管理と「Human in the Loop」の重要性
こうしたリスクに対応するため、開発者やプロダクト担当者は、AIモデル自体の堅牢性に頼るだけでなく、システムアーキテクチャ全体での防御を考える必要があります。
最も基本的かつ重要な対策は「最小権限の原則」の適用です。AIエージェントに対し、必要以上のデータベースアクセス権や、外部への書き込み権限を与えない設計が求められます。また、カレンダー登録やメール送信、決済処理といった重要なアクションを実行する直前には、必ず人間が内容を確認して承認する「Human in the Loop(人間による介在)」のプロセスを組み込むことが、現時点での最も確実な安全策となります。
日本企業のAI活用への示唆
今回の事例を踏まえ、日本企業の意思決定者やAI実務者が留意すべきポイントを整理します。
1. 「読む」と「書く」の分離と監視
AIが外部データ(Webサイトや受信メールなど)を読み込む機能と、社内システムへの書き込み(API操作)を行う機能を持つ場合、その接続点には厳格なバリデーションが必要です。信頼できないソースからの入力を元に、重要な操作を自動実行させない設計を徹底してください。
2. 従業員向けのリテラシー教育のアップデート
「AIは嘘をつくことがある(ハルシネーション)」という教育に加え、「AIは外部からの攻撃によって騙され、意図しない操作を行う可能性がある」というセキュリティリスクを周知する必要があります。特に機密情報を扱う業務でのAI利用には、従来のフィッシング対策と同様の警戒が求められます。
3. ガバナンスとイノベーションのバランス
リスクを恐れてAIのツール連携を全面的に禁止すれば、業務効率化の機会を損失します。重要なのは、「参照のみ許可する領域」と「アクションを許可する領域」を明確に区分けし、段階的に権限を委譲するロードマップを描くことです。日本企業の強みである「現場の慎重さ」を、ブレーキではなく、安全なハンドリングのために活かすべき時です。