By admin Googleは約18億人のGmailユーザーに対し、新たなフィッシング詐欺の危険性について緊急警告を発しています。攻撃者は、目には見えない白文字やゼロフォントのテキストで隠された指示をメール内に埋め込み、GoogleのAIアシスタント「Gemini」に要約させることで、偽の「セキュリティ警告」を生成させ、ユーザーからパスワードや支払い情報を騙し取る手法です New York PostThe Times of India+3The Economic Times+3The Sun+3。
🔍 詐欺の仕組み
- 攻撃者はメール本文に、Geminiが読み取るための隠し命令を埋め込む。
- Geminiが要約時、これを「アカウントが危険にさらされた」等の偽警告として表示。
- ユーザーはリンクをクリックしたり、偽サポートに連絡するよう誘導され、情報を渡してしまう The SunUNILAD。
⚠ なぜ危険か
この「間接プロンプトインジェクション」により、AIはユーザーの質問と悪意ある命令を区別できず、先に現れた命令に従ってしまいます。この脆弱性が修正されない限り、ユーザーは危険にさらされ続けます The SunUNILAD。
✅ 専門家の推奨対策
- メールクライアントで不可視コンテンツを検出・遮断する設定を行う。
- メール本文に「緊急」「今すぐ」などの文言、URL、電話番号が含まれていないか後処理フィルタでスキャンする。
- Geminiが生成する警告は真偽不明として扱い、信用しない。GoogleはGeminiの要約からセキュリティ警告を送信しないと明言しています The SunThe Economic Times。
🔐 アカウントを強化する方法
- 2段階認証(2SV)を今すぐ有効化:Googleは未設定ユーザーに15〜30日以内の有効化を促しています Tom’s Guide。
- **パスキー(生体認証やデバイスベース認証)**へ移行することで、フィッシングに強力に対抗可能です The SunTom’s Guide。
- 疑わしいメールのリンクはクリックせず、ブラウザにURLを手入力してアクセスすることを推奨。