Microsoft、暗号化トラフィック内のAIチャットトピックを特定する「Whisper Leak」攻撃を発見

Microsoftは最近、「Whisper Leak」と名付けられた新たなサイドチャネルサイバー攻撃を明らかにしました。この攻撃は暗号化されているにもかかわらず、AIチャットボットの会話トピックを特定できます。この攻撃はストリーミング型の大規模言語モデル（LLM）を対象としており、暗号化されたネットワークトラフィックを分析します。通信は通常、HTTPSやTLSで保護されており、データのプライバシーと改ざん防止が保証されていますが、Whisper Leakはパケットのサイズやタイミング情報を利用してユーザーの会話内容を推測します。つまり、政府機関、ISP、同じWi-Fiに接続している者など、ネットワーク上の暗号化トラフィックを監視できる者は、実際にデータを復号しなくても会話が敏感な話題かどうかを推測できるのです。\n\nこの攻撃はストリーミングモデルの応答に依存しており、LLMは全回答を待つのではなく部分的な出力を段階的に送信します。このストリーミングにより、パケットのサイズやタイミングに関するメタデータが漏れ、サイドチャネル攻撃が利用可能になります。Microsoftのセキュリティ研究者はLightGBM、Bi-LSTM、BERTなどの機械学習モデルを用いて特定のプロンプトトピックと一般的な雑談を区別する分類器を訓練しました。テストではMistral、OpenAI、xAIなどの企業のモデルが98%以上の精度で識別可能であり、プライバシーにとって非常に懸念される結果です。これは、攻撃者が暗号化されたAIチャットサービスを使用していても、政治的異議申し立てやマネーロンダリングなどの敏感な話題の会話を特定できることを意味します。\n\nさらに悪いことに、Whisper Leakの効果は攻撃者が時間をかけてより多くのデータサンプルを収集するほど向上し、スケーラブルで実用的なプライバシー脅威となっています。Microsoftが責任を持ってこれらの発見を開示した後、OpenAI、Microsoft、Mistral、xAIなどの主要AIプロバイダーは対策を実施しました。代表的な対策は、応答にランダム長のテキストシーケンスを挿入してトークンサイズやタイミングを隠し、サイドチャネルパターンを効果的に破壊するものです。Microsoftはプライバシーを懸念するユーザーに対し、信頼できないネットワークでの高度に敏感な話題の議論を避け、VPNを使用して追加保護を行い、非ストリーミング型LLMを選択し、積極的な緩和策を実施しているプロバイダーを選ぶことを推奨しています。\n\nWhisper Leakと並行して、8つのオープンウェイトLLMの別の評価では、特にマルチターン会話における敵対的操作への脆弱性が明らかになりました。Llama 3やQwen 3のようなモデルはより高い脆弱性を示し、GoogleのGemma 3のような安全性重視モデルはより高い耐性を示しました。これは、長時間にわたるAI対話中の安全ガードレール維持における体系的な課題を浮き彫りにしています。Cisco AI Defenseの研究者は、ラボの優先事項や整合性戦略がこれらモデルの堅牢性に大きく影響すると強調しました。これらの発見は、追加のセキュリティ層なしにオープンソースLLMを展開する組織にとって運用リスクを示しています。\n\nこれらの発見を踏まえ、開発者は言語モデル統合時にセキュリティコントロールを強化し、脱獄や入力盗用攻撃に耐性を持たせるために微調整を行い、定期的なAIレッドチーミング演習を実施することが求められます。特定のユースケースに合わせた厳格なシステムプロンプトもリスク軽減に役立ちます。ChatGPTの公開以来、AIチャットボットが普及する中、これらの新たな脆弱性に対処することは、ユーザープライバシーと会話型AIプラットフォームへの信頼を維持するために極めて重要です。進化する脅威環境は、AIプロバイダー、セキュリティ研究者、ユーザー間の積極的かつ協調的な取り組みを求めており、暗号化環境下での敏感な通信の保護を目指しています。