GoogleのGeminiにゼロクリック脆弱性「GeminiJack」が発覚し、攻撃者が社員の操作なしにGmail・Calendar・Docsの機密情報へ到達し得る深刻な問題が露呈した。AIを踏み台にした新型データ漏えい手法である。

問題はGemini EnterpriseのRAG基盤が共有コンテンツを広範に取り込み、隠されたプロンプトを実行してしまう設計にあった。攻撃者は毒入りのDocや招待状、メールを共有するだけで、社員が通常検索を行った際にAIへ不正指示を実行させ、社内データを横断的に取得する。結果は外部サーバーに埋め込まれた画像リクエストとして送信され、DLPやエンドポイント対策をすり抜ける。漏えい範囲は数年分のメール、取引予定が詰まったカレンダー、契約文書を含むDocs全体に及び得る。Googleは迅速に修正し、Vertex AI Searchを分離するなどRAG処理の制御を強化したが、AIが大規模データ源へ常時アクセスする構造自体が新たな攻撃面を生むことを示した。組織にはAIの信頼境界の再設計、入力監視、データ連携の最小化が求められる。
https://t.co/vKr2uI9BB7 December 12, 2025

@yu_san_logs 機密情報を外部AIにかけてコンプラ違反で契約解除、賠償請求まで行く場合もあるので一概に｢なんでも便利に使お！｣は気をつけよう。

LINEとかも普及してっけど、何処が元でどのサーバー経由してるかわかんないヤツに機密情報とかありえんからね。

時と場合をちゃんと使い分けよう。 December 12, 2025

@yu_san_logs 得体の知れない海外サーバーに機密情報をアップロードしているって認識が無いと怖いですね…「こういう案件があってその対処法は…」とかなら大丈夫ですが、企業名が入っていると外部の人間が無作為で検索かけた時にでもひっかかる可能性はゼロでは無いって理解していないと危険ですよね(´・ω・`) December 12, 2025

他のキャラからめっちゃ機密情報聞いてたのも条件だったらしくて、自分のゲームの才能が怖くなったぜ… December 12, 2025

リオ州議会＝議長逮捕取り消し承認＝機密情報漏洩でも釈放＝最高裁判事が最終判断
https://t.co/93n6buVcLV
#Brasilnippou #ブラジル日報 #ブラジルニュース #ブラジル #Brasil #Brazil #ブラジル政治 #リオ州議会 #議長逮捕 #最高裁 December 12, 2025

#タナ友サンタ
今回はサンタさんを重しで固定してるようで…
昨年は強風で吹き飛んだり聖夜に磔されてたりと変化に
富んでおりましたね･･･

横になった姿は情報漏洩講習の時に見た
機密情報入れたカバンをもったまま深酒して
翌朝公園のベンチで目覚めたダメ社員のようでした https://t.co/DALQ4O3wcE December 12, 2025