マイクロソフトのセキュリティ研究チームは、「Whisper Leak」と呼ばれる深刻なプライバシーの脆弱性を明らかにしました。これは、現代のAIチャットサービスを対象としたサイドチャネル攻撃であり、悪意のあるユーザーがユーザーとAIとの会話内容を覗み取る可能性があります。

image.png

この攻撃の核心は、既存のTLSなどの暗号化プロトコルを破る必要がない点です。代わりに、暗号化されたネットワークトラフィックのメタデータ、例えばパケットサイズや送信タイミング、シーケンスパターンなどを分析することで、ユーザーとAIの会話のテーマを推測します。AIサービスがスムーズな体験を提供するために、通常、トークン単位でストリーミングして応答するため、ネットワーク層には独自の「指紋」が残り、攻撃の実行可能性を高めています。

研究者たちは機械学習モデルを訓練し、大量のAI応答の暗号化されたパケットトレースを収集することで、この攻撃の有効性を証明しました。異なるテーマの会話は、一貫した差異を持つメタデータパターンを生成します。例えば、「洗錢(マネーロンダリング)」などのセンシティブなトピックに関する質問では、応答パケットのタイミングやサイズが、日常的な会話とは大きく異なります。制御された実験では、分類器が特定のセンシティブなトピックを識別する正確率が98%を超え、現実世界での高精度な監視の可能性を示しています。

この脆弱性により、広範なAIチャットサービスはシステム的なリスクに直面しています。特にインターネットサービスプロバイダー(ISP)や公共Wi-Fi上の悪意ある行動者など、攻撃者は「Whisper Leak」を利用してユーザーのネットワークトラフィックを観察し、センシティブな会話を識別・マークする可能性があります。ジャーナリスト、活動家、法的または医療的アドバイスを必要とする一般ユーザーにとって、これは重大な脅威です。会話の内容自体は暗号化されているものの、ユーザーの会話の「テーマ」が漏洩する可能性があり、その後の審査やリスクにつながる恐れがあります。

image.png

マイクロソフトが責任ある公開原則に従った後、主要なAIサプライヤーは迅速に対応措施を講じました。現在の緩和策には次のものがあります: パケットサイズとコンテンツ長の関連性を破るためにランダムなフィルティングやコンテンツの混乱; タイミングの精度を低下させるためにトークンのバッチ処理; およびトラフィックパターンを妨げるために仮想パケットを主動的に挿入すること。これらの措置はセキュリティを向上させますが、遅延の増加や帯域幅の消費の増加という問題も引き起こしており、サービス提供者はユーザー体験とプライバシー保護のバランスを取らなければなりません。

一般ユーザーにとって、高度にセンシティブな情報を取り扱う際には、非ストリーミング応答モードを優先し、信頼できないネットワークでクエリを行わないことが、現在の有効な防衛手段です。

ポイント:

🌐 研究者は「Whisper Leak」が新しいプライバシーの脆弱性であることを明らかにし、ネットワークトラフィックのメタデータ分析を通じてAIチャットの内容を盗む方法を示しています。

🔍 攻撃方法は暗号化プロトコルを破る必要がなく、正確率が98%を超え、悪意あるユーザーがセンシティブな会話を識別できる可能性があります。

🛡️ 複数のAIサプライヤーは対応措施を講じましたが、ユーザーは信頼できないネットワークでセンシティブな情報を保護する必要があります。