セキュリティ企業SafeBreachは2026年6月3日、Google Geminiの音声アシスタントを標的とする間接プロンプトインジェクション(IPI)攻撃の新手法を公表した。研究はオア・ヤイルが主導し、研究名は「Gemini’s Secret Affair」である。攻撃者はWhatsApp、Slack、Signal、SMS、Instagram、Messengerなど通知を発生させるアプリ経由で悪意ある命令を送り込み、GeminiのAndroid Utilitiesエージェントが通知を読み取る際にこれを会話コンテキストへ取り込ませる。
研究者はGoogleの防御を回避するFake Context Alignmentと呼ぶ手法を開発し、Google Homeを介した窓やボイラーの遠隔操作、Zoomによるカメラ映像のライブ配信、メモリポイズニングなどを実証した。SafeBreachは2025年8月17日にGoogleの脆弱性報奨金プログラムへ報告し、Googleは2025年11月14日、コンテンツ分類器の改善で緩和したと確認している。
報告された脆弱性自体はすでに修正済みである。
From: 
New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS
【編集部解説】
まず、このニュースの時系列を正確に押さえておく必要があります。研究が各媒体で報じられたのは2026年6月3日ですが、脆弱性そのものはすでに2025年内に修正が完了しています。SafeBreachが2025年8月17日にGoogleへ報告し、Googleが同年11月14日にコンテンツ分類器の改善で緩和を確認した、その研究成果がこのたび公表された、という流れです。「いま新たに危険にさらされている」という話ではない点を、最初にお伝えします。
次に、見出しの印象とは裏腹に、この攻撃が実際の被害者に対して「悪用された」事実は確認されていない点も正確にお伝えする必要があります。これはセキュリティ企業SafeBreachのオア・ヤイルによる研究上の実証であり、The Hacker NewsもDark Readingも、本手法が実環境で使われた証拠はないと明記しています。CVE(共通脆弱性識別子)も付与されていません。「攻撃が成立し得ることを研究者が示した」段階の話だと捉えるのが適切です。
もう一つ、元記事が触れていない重要な前提があります。この攻撃が成立するのはAndroid版Geminiの「Utilities」機能に限られ、iOS版やWeb版では再現しないという点です。通知を読み取って返信できるのがAndroid固有の機能であるためで、影響範囲を冷静に見積もるうえで欠かせない情報だと考えます。
では、なぜ私たちはこのニュースを今、取り上げるのでしょうか。それは本件が、単発のバグではなく「AIエージェント時代に共通する構造的な弱点」を可視化しているからです。
問題の核心は、Geminiが受信通知の文字列を「処理すべきデータ」ではなく「従うべき指示」として扱ってしまう点にあります。AIにとって、信頼できる持ち主の命令と、第三者から届いた通知の文面が、同じ言葉の流れ(コンテキスト)の中で見分けがつかなくなる。これがプロンプトインジェクションと呼ばれる問題の本質です。
今回の新しさは、防御を回避する「偽コンテキスト整合」という手口にあります。たとえば運転中で画面を見ていない利用者に、Geminiが英語で無害な質問を読み上げる一方、画面には中国語で「窓を開けますか?」と表示しておく。利用者が英語に「はい」と答えると、その同意が裏で別の命令に結び付けられてしまう。人間が見聞きしている世界と、システムが認識している世界を意図的にずらす設計です。
実証された影響は広範でした。Google Homeを介した窓やボイラーの遠隔操作、IPアドレスによる位置の特定、長期記憶への虚偽情報の植え付け、そして毎日午後8時に受信メッセージを自動で読み取る監視タスクの設定などが報告されています。記憶の汚染はGoogle Workspaceアカウントに結び付く形で残るため、被害がタブレットやスマートスピーカーなど複数のデバイスへ波及し得る点が厄介です。
ただし、ここでも公平を期す必要があります。注目を集めたZoomの強制起動について、SafeBreach自身が、自社ドメインがZoomへ転送した事実はなく、リダイレクトは検証端末上のローカルサーバーで動かしたものだと補足しています。元記事の記述だけを読むと外部攻撃が容易に成立するかのような印象を受けますが、実態は管理された実験環境での挙動です。
この一件には、見方を変えれば前向きな側面もあります。責任ある開示が機能し、修正がサーバー側で適用されたため、利用者がアプリを更新する手間もありませんでした。研究者と開発元が協調してAIを鍛え直す、健全なサイクルが回った好例だといえるでしょう。半年以上の検証期間を経て公表された今回の研究は、まさにそのプロセスが完了したことを示しています。
長期的に見れば、この問題はAIをめぐる規制やガバナンスの議論にも接続します。EUのAI規則(AI Act)は、汎用AIモデルのリスクに応じた規制を中心に据えており、エージェントの権限設計そのものを直接定める枠組みではありません。それでも、AIが家電や会議アプリ、個人の記憶領域にまで手を伸ばす時代には、「どの入力を信頼し、どの操作に明示的な同意を求めるか」という設計責任が、制度面でも開発現場でも、これまで以上に重く問われていくはずです。
innovaTopiaの視座から言えば、便利さと脆弱性は同じ根から生えています。AIに通知を読ませ、家電を操作させる機能は、私たちの暮らしを確かに前進させる一方で、新しい攻撃面を生み出します。技術を恐れて遠ざけるのでも、無防備に委ねるのでもなく、その仕組みを理解したうえで主体的に付き合う姿勢こそ、これからのアーリーアダプターに求められる素養ではないでしょうか。
【用語解説】
間接プロンプトインジェクション(IPI)
AIへ直接命令を打ち込むのではなく、AIが読み込む外部データ(メールや通知、予定表など)の中に悪意ある指示を潜ませ、AIにそれを命令だと誤認させて実行させる攻撃手法のこと。今回はメッセージアプリの通知が「運び役」になった。
Fake Context Alignment(偽コンテキスト整合)
SafeBreachが今回命名した回避手法。システム側には「正当な承認が行われた」ように見せ、利用者には「無害なやり取り」だけを見せる、二重の見せかけを作り出す。難読化型とミュート型の2種が実証された。
Delayed Tool Invocation(遅延ツール呼び出し)
注入した命令を即座にではなく、後のタイミングで実行させる手口。Googleが過去に対策を施した攻撃パターンで、今回それを回避された。
Utilitiesエージェント(Android Utilities)
Android版Geminiが備える機能で、受信通知の読み取りや返信を担う。この通知読み取りツールが、信頼できない第三者データを命令として扱ってしまった点が攻撃の起点となった。
メモリポイズニング(記憶汚染)
AIの長期記憶に虚偽の情報を植え付ける攻撃。今回はGoogle Workspaceアカウントに結び付く形で記憶が汚染されるため、被害がタブレットやスマートスピーカーなど複数端末へ波及し得る。
CVE(共通脆弱性識別子)
公表された脆弱性に世界共通で割り振られる識別番号。本件には付与されておらず、実環境での悪用も確認されていない。
Targeted Promptware(標的型プロンプトウェア)
SafeBreachらが先行研究「Invitation Is All You Need」で提唱した概念で、AIへの命令文そのものを攻撃用の「ソフトウェア」のように扱う考え方を指す。
【参考リンク】
SafeBreach(公式サイト)(外部)
今回の脆弱性研究を公表したセキュリティ企業。攻撃を模した防御検証(BAS)を専門とする。
Google Gemini(公式サイト)(外部)
今回の攻撃対象となったGoogleのAIアシスタント。本攻撃が成立したのはAndroid版に限られる。
Gemini Utilities ヘルプ(公式)(外部)
通知の読み取り・返信を担うUtilities機能の公式説明。連携を切る設定方法も案内されている。
Google Bug Hunters / VRP(公式)(外部)
今回の研究が報告されたGoogleの脆弱性報奨金プログラムの窓口。責任ある開示の受け皿である。
【参考記事】
WhatsApp, Slack Notifications Could Hijack Google Gemini on Android(The Hacker News)(外部)
攻撃がAndroid限定でCVE未付与、実環境での悪用例がなく修正済みである点を最も詳細に報じる。
Exploiting Gemini via Prompt Injection(SafeBreach 公式ブログ・一次情報)(外部)
研究を実施したSafeBreach自身による一次情報。通知経路の危険性を研究者本人が解説している。
Malicious Notifications Could Trick Google Gemini Users(Dark Reading)(外部)
実環境での悪用証拠がない点に加え、AIアーキテクチャの構造的課題への視点を提供している。
Gemini AI Vulnerable to Calendar-Based Hack(TechRepublic)(外部)
土台となった先行研究と、Googleが導入した多層防御の内容を記録した記事。
Infosec hounds spot prompt injection vuln in Google Gemini apps(The Register)(外部)
先行研究での電動窓やボイラー乗っ取りなど、物理世界への影響を具体的に報じている。
Invitation Is All You Need!(arXiv・先行研究論文)(外部)
先行研究の学術論文。14の攻撃シナリオと5つの脅威クラスを示した一次資料。
【関連記事】
Google Gemini AIがスマートホーム乗っ取り|研究者が新攻撃手法を実証
今回の研究の前身「Invitation Is All You Need」を報じた記事。カレンダー招待状を経路とした攻撃を解説している。
Gemini 2.5に新セキュリティ機能、AIの悪意ある行動を防ぐGoogle最新対策
今回の研究が回避したGoogleの多層防御を解説。攻撃の背景を理解するうえで有用な一本である。
Google Gemini Enterpriseにゼロクリック脆弱性「GeminiJack」
RAGの構造的脆弱性を突いた間接プロンプトインジェクションを、企業環境という別角度から報じている。
トレンドマイクロが警鐘、2026年はAIエージェントによる自律型サイバー攻撃の時代へ
AIエージェント時代の構造的リスクという論点を広げる、2026年予測レポートの解説記事である。
【編集部後記】
AIに通知を読ませたり、家電を任せたりする暮らしは、もうすぐそこまで来ています。便利さの裏で、私たち自身も「どの操作には自分の同意を確かめたいか」を選べる時代になりました。
皆さんは、AIアシスタントにどこまで任せ、どこまでを自身で確認したいと考えておられるでしょうか。今回の一件は、その線引きを考えるよい機会かもしれません。私たちも皆さんと一緒に考えていきたいと思います。