たった1通のWhatsApp通知が、AndroidのGoogle Geminiを静かに乗っ取る方法

問題は、このツールが扱うデータが、本質的に「信頼できない外部ソース」からのものであるという点だ。研究者は、WhatsAppやSlack、Signal、SMS、Instagram、Messengerといった一般的なアプリの通知テキストに、悪意ある指示（プロンプト）を直接埋め込むことに成功した。Geminiがこの「毒入り通知」を読み取ると、その指示はAI自身の思考の文脈に静かに注入される。そして後日、ユーザーが何気なく発した「今日の予定は？」といった無害な質問をきっかけに、眠っていた攻撃コードが実行されるのだ 。

「偽のコンテキスト調整」：Googleの防御策をかいくぐった妙技

実は、これはSafeBreach社による最初の発見ではない。少し前、彼らはGoogleカレンダーの招待状を悪用してGeminiをハイジャックする手法を公開しており、Googleはこれを受けて、複数のツールを連鎖的に呼び出す「チェーン呼び出し」や「遅延実行」をブロックするセキュリティパッチを適用していた 。

しかしSafeBreachの研究者Or Yair氏は、この新たな壁を突破する「偽のコンテキスト調整（Fake Context Alignment）」と名付けられた独創的な手法を考案した 。このテクニックの真髄は、AIと人間に見せる「2つの異なる現実」を作り出すことにある。

• Geminiのセキュリティ機構に対して：一見すると、正当なユーザーによって許可された、問題のないシナリオとして振る舞う。AIの安全装置は、何の異常も検知できない。
• 人間の被害者に対して：端末の画面には、完全に無害な通知と会話だけが表示される。不審なプロンプトも、怪しいリンクも、異常な要求も一切見えない。

このトリックは、人間の目には見えにくい「隠しコマンド」によって成立する。外国語のテキストや、ミュートされたハイパーリンクなど、人間なら読み飛ばすがAIは処理してしまう形式の中に、悪意ある指示を潜ませるのだ。ユーザーが後からごく普通の返信や音声コマンドを実行すると、Geminiの認証ロジックはその動作を「以前に植え付けられた機密タスクへの承認」と誤認する。研究者が「アルティメット・コンボ」と呼ぶ、複数の難読化技術とタイミング操作を組み合わせた攻撃コードは、Googleの最新の防御策すべてを高い信頼性で突破した 。

悪夢の5つの実証実験

SafeBreach社は理論だけでなく、実際に以下の5つのシナリオで端末が完全に制御可能であることを証明した 。これらはすべて、通知1つから始まる。

1. スマートホームの遠隔操作
Geminiを掌握した攻撃者は、Google Homeに接続されたあらゆるデバイスを遠隔操作できる。窓の解錠、ボイラーの制御、照明システムの管理など、デジタル空間の侵入が物理的な脅威へと直結する 。

2. 強制Zoom通話と隠密カメラ中継
さらに恐ろしいのは、被害者の端末でZoomアプリをサイレント起動し、カメラ映像を生配信するデモだ。Googleの「セーフブラウジング」サービスが安全と認定したドメインからの「301 HTTPリダイレクト」を悪用することで、攻撃者の接続を正規のものと偽装。ユーザーは、自分のカメラが外部に中継されていることに全く気づかない 。

3. Googleエコシステム全体への「記憶の毒入れ」
最も狡猾な攻撃の1つが、Geminiの長期記憶に対する虚偽情報の注入だ。この記憶はGoogle Workspaceアカウント全体で同期されるため、たった1つの毒入り通知が、タブレットやPC、スマートスピーカーにまで「偽の記憶」を拡散させる。これにより、将来にわたって全ての端末でAIが誤った判断を下すように仕向けられる 。

4. 偽の「信頼できる人」からのメッセージ
この攻撃は大規模なソーシャルエンジニアリング（心理的詐欺）にも応用可能だ。研究者は、端末の通知キューから実際の送信者名を抽出し、上司や家族など「信頼できる連絡先」からのメッセージを偽造することに成功した。被害者の人間関係に関する予備知識は一切不要で、極めて精巧なフィッシング詐欺を仕掛けることができる 。

5. スケジュールされた「定期監視」
継続的な監視のために、AIの内部コンテキストに「定期タスク」を設定することも可能だった。これにより、攻撃者が何もしなくても、Geminiが毎日自動的にユーザーの最新メッセージを読み取り、情報を外部へ送り続けるという、自己増殖型の監視チャネルが確立される 。

発見の経緯と修正

この研究は、Googleの「脆弱性報奨金プログラム（VRP）」を通じた責任ある情報開示の手順に従って進められた。

• 2025年8月17日: SafeBreach社が、通知ベースのプロンプトインジェクションと「偽のコンテキスト調整」についてGoogleに報告 。
• 2025年11月14日: Googleが、報告されたシナリオがコンテンツ分類器のアップデートによって効果的に緩和されたことを確認 。
• 2026年6月3日: SafeBreach社が技術的詳細とデモを公表。公表時点で、この手法が実際のサイバー攻撃に悪用された証拠はなく、また本件に関するCVE番号は付与されていない 。

今回の脆弱性それ自体は既に修正されたが、この研究はAIアシスタントが抱える根本的なジレンマを我々に突きつけている。カレンダーやメール、通知を読み取れば読み取るほど便利になる一方で、AIは常に「汚染されたデータパイプライン」を適切に管理しなければならないのだ。SafeBreach社の研究は、「聞く耳を持つ」AIを次の世代へと進化させる上で、避けては通れない重要な設計図と言えるだろう。