便利すぎるAIに死角あり？NotebookLMで注意したいセキュリティリスク4選

いま話題のGoogleのAIアシスタント「NotebookLM（ノートブック・エルエム）」。ユーザーは資料をアップロードすれば、AIが理解と分析を行い、要約やアイデアなど多様なコンテンツを提供してくれる。

便利ではありながら、社内において業務用途で使用する際にはセキュリティ面で十分な注意が必要だ。近年はAIを悪用するハッカーが増加しており、思わぬところで隙を突かれることもある。

そこで今回は、AIを巧みに操るサイバー攻撃に詳しい有識者に、NotebookLM利用時のセキュリティリスクと対策を聞いた。

NotebookLMの主要なセキュリティリスク4つ

「NotebookLMは業務効率化の観点で極めて強力なツールですが、利用時にはセキュリティの観点から注意が必要なことが多々あります」

そう話すのは、AironWorks株式会社 執行役員 Head of Japanの伊藤章博氏。同社は世界的に急増するサイバー攻撃の対策を提供するスタートアップだ。イスラエル軍精鋭部隊出身ハッカーの技術を活用し、「AI×セキュリティ訓練」のソリューションを提供する。

NotebookLMには、次の4つの主要リスクがあるという。

【取材協力】

伊藤 章博氏
AironWorks株式会社
執行役員 Head of Japan
ニフティにて官公庁向けテックプロジェクトを推進後、産業革新機構とニフティのJVであるGLOZUSにて執行責任者として新規事業の立ち上げと組織構築を担当。イエラエセキュリティでは取締役COOとして、攻撃技術に優れたエンジニア陣と共に脆弱性診断などのセキュリティサービスを展開し、成長フェーズからグループ参画後の組織・事業体制の再構築まで幅広く貢献。Luupでは事業部長としてモビリティ領域における国内シェアNo.1を実現。AironWorksにHead of Japan,日本統括 執行役員として参画し、AIを活用した次世代セキュリティソリューションの事業開発と市場拡大をリードしている。

1.機密情報のクラウドアップロード

「顧客リスト、未公開の財務データ、契約書などを個人のGoogleアカウントで利用するNotebookLMにアップロードすると、本来、社内システムで厳格に管理されるべき情報がクラウドに置かれます。個人IDでの運用、いわゆる『シャドーAI』のリスクがあり、退職時にデータを持ち出されても追跡が困難です」

2.共有設定ミスによる情報漏洩

「ノートブック（複数資料をまとめられる機能）の共有範囲を『リンクを知っている全員』に設定してしまい、本来、アクセスさせるべきでない相手に機密情報が流出する事例が、実際に報告されています」

3.プロンプトインジェクション攻撃

「プロンプトインジェクション攻撃は、AI特有の最大のリスクです。セキュリティ研究者Johann Rehberger氏は、悪意ある指示を埋め込んだ文書をNotebookLMに読み込ませることで、マークダウン画像を介してプライベートデータを外部ドメインに送信させる攻撃を実証しました。つまり、メールの添付PDFや、外部から受け取った資料を何気なくNotebookLMに取り込んだ瞬間、その中に仕込まれた見えない指示でAIが情報を外部に送信してしまう可能性があるということです」

4.Googleアカウント乗っ取りによる二次被害

「NotebookLMはGoogleアカウントに紐づくため、フィッシングでGoogleアカウントが乗っ取られれば、蓄積されたノートブック全てが攻撃者の手に渡ってしまいます」

NotebookLMのセキュリティ対策4選

では、これらは組織として、どのような対策が考えられるだろうか。

「対策としては、以下の4点が最低ラインです。AIツールの利便性とリスクは表裏一体であることを、組織全体で理解する必要があります」

1.個人アカウントではなくGoogle Workspaceでの利用を義務化する

「『個人アカウントで使っているだけだから大丈夫』——その感覚が最も危ないです。退職者が社外から密かにデータを閲覧し続けていても、管理者には見えません。攻撃者はシステムを正面から破るより、そういう『誰も見ていない裏口』を探すほうがはるかに楽だと知っています。Google Workspaceへの統一は、セキュリティ強化というより、管理できる状態にする、最低限の前提条件です」

2.信頼できないソースの資料はアップロードしない

「技術的な脆弱性だけを警戒していても不十分です。攻撃者はシステムではなく、人間の『これくらい大丈夫だろう』という判断を狙っています。例えば、取引先から届いたPDF、メールに添付された資料は、毎日開きます。しかし今の攻撃者のゴールは、システムを破ることではなく、『人を動かすこと』です。見た目は普通の書類の中に、AIに対する見えない命令を仕込むことは、すでに実証されています。『怪しければ気づける』という感覚は、もう通用しません。

プロンプトインジェクション攻撃はまさにその心理的な油断を突くものです。資料の出所を常に疑う習慣を、組織の文化として根付かせる必要があります」

3.共有範囲を「特定ユーザーのみ」に限定する

「『リンクを知っている人だけ』という設定は、感覚的には閉じているように見えます。しかし実態は、インターネット上に鍵のない部屋を作ったのと同じです。そのURLは転送され、コピーされ、巧みな言葉で聞き出されます。攻撃者はシステムを破る前に、まず『誰を動かせばアクセスできるか』を考えます。技術的な穴を塞いでも、人から情報が漏れる経路はいくらでもあるのです。『まあ大丈夫だろう』という共有設定の油断が、そのまま侵入経路になります」

4.多要素認証を必ず有効化する

「Googleアカウントのパスワードが漏れた瞬間、NotebookLMに蓄積されたすべての情報が攻撃者の手に渡る――。そう理解している人は、実際にはまだ少ないと思われます。フィッシングの手口は年々巧妙化しており、『怪しいメールは見抜ける』という自信こそがリスクになっているのです。AIが本物と見分けのつかない文章や声を大量生成できる今、『自分は引っかからない』という自信に、根拠はありません。多要素認証はその最後の防衛線ですが、同時に『それさえあれば安全』という過信も禁物です。対策を打った瞬間、攻撃側はすでに次の手を考えている。終わりのない戦いだという前提で、組織全体が動く必要があります」

NotebookLMはその便利さゆえに、利用が急速に進んでいる。しかし、同時に落とし穴も増え続けていることがわかる。ハマらぬよう、個人レベルからの十分な注意が必要だ。そして自分の所属する組織の対策が不十分であると感じたら、セキュリティ強化の提案を行うのも一案だ。

取材・文／石原亜香利