- MicrosoftがWhisper Leakによる暗号化AIシステム内のプライバシー欠陥を発見
- 暗号化されたAIチャットでも、ユーザーが話している内容の手がかりが漏れる可能性
- 攻撃者はパケットのサイズやタイミングから会話のトピックを追跡可能
Microsoftは、「Whisper Leak」と呼ばれる新たなサイバー攻撃手法を明らかにしました。この攻撃は、会話が完全に暗号化されていても、AIチャットボットとユーザーが話すトピックを暴露することができます。
同社の調査によると、攻撃者はユーザーと大規模言語モデル間でやり取りされる暗号化パケットのサイズやタイミングを分析することで、会話内容を推測できるといいます。
「もし政府機関やインターネットサービスプロバイダーが人気のAIチャットボットへの通信を監視していた場合、特定の機密トピックについて質問しているユーザーを確実に特定できる」とMicrosoftは述べています。
Whisper Leak攻撃
これは「暗号化されている」からといって必ずしも不可視であるとは限らないことを意味します。脆弱性はLLMが応答を送信する仕組みにあります。
これらのモデルは完全な応答を待たず、データを逐次的に送信するため、攻撃者が分析できる小さなパターンが生まれます。
時間が経つにつれて、サンプルが蓄積されるとこれらのパターンはより明確になり、会話内容の推測精度が高まります。
この手法はメッセージ自体を直接復号するわけではありませんが、十分なメタデータを暴露し、推測を可能にします。これは同様に深刻な懸念事項です。
Microsoftの開示を受けて、OpenAI、Mistral、xAIはいずれも迅速に対策を講じたと発表しました。
一つの対策として、「可変長のランダムなテキスト列」を各応答に追加し、攻撃者が頼りにするトークンサイズの一貫性を崩す方法が導入されています。
しかしMicrosoftは、公共のWi-Fiでの機密会話を避けること、VPNの利用、またはストリーミングを行わないLLMモデルの利用を推奨しています。
今回の発見と同時に、複数のオープンウェイトLLMが依然として操作に脆弱であることを示す新たなテスト結果も発表されました。特に複数ターンの会話中にその傾向が顕著です。
Cisco AI Defenseの研究者によると、大手企業が構築したモデルであっても、対話が複雑になると安全制御を維持するのが難しいことが判明しました。
一部のモデルでは、「長時間のやり取りにわたって安全ガードレールを維持する体系的な能力の欠如」が見られたといいます。
2024年には、AIチャットボットが30万件以上の個人情報ファイルを流出させたとの報告や、数百のLLMサーバーがインターネット上で無防備に晒されていたことも明らかになり、AIチャットプラットフォームの本当の安全性に疑問が投げかけられています。
従来型の防御策、例えばウイルス対策ソフトやファイアウォール保護では、Whisper Leakのようなサイドチャネル漏洩を検知・防止できません。これらの発見は、AIツールが意図せず監視やデータ推測のリスクを拡大させる可能性を示しています。
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的な最新情報を受け取ることができます。
