カレンダー招待とChatGPTのGmail連携: 攻撃パターン
2025年9月12日、セキュリティ研究者のEito Miyamuraが、同種の攻撃としてはおそらく最初、しかし確実に最後ではないエクスプロイトを実証しました。悪意あるGoogleカレンダーがChatGPTにプロンプトを注入し、Gmailに接続されていると、応答としてプライベートなメールが漏えいしてしまうというものです。確かに特定の前提条件はあります — AIとGmailの接続を有効にし、さらに知らない招待が紛れ込むほどGoogleカレンダーを集中的に使っている必要があります — が、この種のパターンは攻撃の対象範囲を広げる方向に進化しがちです。そこで、何が起きているのか、そしてどのように身を守れるのかを知っておくのが最善です。以下で両方を説明します。
悪意あるGoogleカレンダーの招待: その仕組み
ここで使われる手口は「間接プロンプトインジェクション」と呼ばれます。これは、モデルが処理する外部データ(ウェブサイト、メール、カレンダーの招待、文書など)に悪意ある指示を差し込み、AIの徹底性を悪用するものです。Googleカレンダーの招待とChatGPTのGmail連携の場合、AIは想定どおり招待を取り込み、そこに隠されたコマンドによって(接続後は多くの情報にアクセスできるため)メールを漏らすように誘導されました。
「プロンプトインジェクション」という用語は2022年にSimon Willisonが提唱しました。彼は、悪意のある攻撃者がSQLインジェクションとほぼ同様のやり方でAIに指示を与え得ることを説明しました。「間接プロンプトインジェクション」は、その名のとおり、安全そうに見える素材の層の下にコマンドを隠します。この用語自体はKai GreshakeとNVIDIAのチームに帰せられており、彼らは2025年にこの攻撃パターンを形式化し、その防御戦略を記述しました。
間接プロンプトインジェクションを伴う攻撃から身を守るには?
人工知能の利用を完全に避けようとしても意味はありません。今日は望む隔離を達成できても、明日には大規模言語モデルが提供側のサービスに統合され、あなたのアカウントから切り離す術がなくなるかもしれません。さらに、その接続の存在にすら気づけない可能性があります。では、資産を守るために何ができるでしょうか。
- 警戒。 何よりもまず警戒を怠らず、不審なものをカレンダーや、目的に応じてAIに依存する他のシステムに決して取り込ませないでください。
- 整理整頓。 物事をきちんと保ちましょう。メールでChatGPTの助けが本当に不要であれば、無効にしてください。機能を試して気に入っていたとしても、実用の場面がないなら — ためらわず、先送りにしないでください。
- 制限。 今日でもAI連携は、モデルが何を扱い、どの条件でデータにアクセスできるかをより細かく制御できるようカスタマイズできます。すべての自動処理を無効化することを検討してください。手動での承認が増えますが、そのほうが安全です。
- 既存の保護機能。 たとえばGoogleカレンダーでは、既知の送信者からの招待のみを許可するよう設定できます。これは保護策です。可能な限りこの種の機能を活用しましょう。
OpenAIは問題を認識し、コネクタの無効化を提案しました。同社はこの種の攻撃に対する防御策に取り組んでいますが、攻防はいたちごっこです。将来を見据えたセキュリティスイートを導入するのが賢明でしょう。こちらから見つけられます:
