暗号化通信でも話題は漏れる？ LLMへのサイドチャネル攻撃「Whisper Leak」：セキュリティニュースアラート

MicrosoftはLLMを標的とする新たなサイドチャネル攻撃「Whisper Leak」を報告した。Whisper LeakはストリーミングLLMの暗号化通信からパケット特徴を抽出し話題を高精度で識別する手法とされている。

[後藤大地，ITmedia]

　Microsoftは2025年11月7日（現地時間）、リモートで動作する大規模言語モデル（LLM）を標的とする新しいタイプのサイドチャネル攻撃「Whisper Leak」について発表した。通信がTLSで暗号化されている場合でも、攻撃者がネットワークトラフィックの観察によって会話の話題を推測できる可能性がある。

MicrosoftがAIチャットのトラフィック漏えいリスクを警告

　この攻撃はストリーミング方式で応答を生成する言語モデルにおいて、暗号化通信のパケットサイズや送受信の時間間隔から特徴を抽出し、通信内容の一部を間接的に識別する手法だ。攻撃者が特定の話題（違法行為や政治的発言、報道関連などのセンシティブなトピックなど）を検出できる可能性がある。

　攻撃者がネットワークの暗号化トラフィックを傍受できる立場にあり、インターネットサービスプロバイダー層や公共Wi-Fiに接続しているユーザーと同一ネットワーク上にいる場合などでこの手法が有効とされている。Microsoftは、このような状況で攻撃者がトラフィックを解析し、ユーザーが特定の話題に関する質問をしているかどうかを高い精度で判定できると説明している。

　Microsoftは、Whisper Leakの検証において「マネーロンダリングの合法性」をテーマとした質問を対象トピックとし、これに関する100種類の質問文を生成して実験している。比較対象として、「Quora Questions Pair」データセットから約1万1700件の無関係な質問を抽出し、ネットワークでの応答データを収集した。得られたデータを基に、「LightGBM」、双方向LSTM（「Bi-LSTM」）、「DistilBERT」など3種類の機械学習モデルを使ってAUPRCスコアを評価した結果、多くのモデルで98％を超えるスコアを記録した。暗号化通信に含まれるパケットの特徴が会話トピックの識別に十分な情報を含んでいることを示している。

　この手法を現実の監視状況に適用した場合、攻撃者が1万件の会話のうち1件のみが特定トピックを含む状況でも、誤判定を出さずに数％から50％の割合で対象トピックを検出できる可能性があるとされる。つまり、攻撃者が「疑わしい」と判断した通信のほぼ全てが実際にその話題を含んでいることになり、通信の暗号化にもかかわらず高い識別精度が得られる点が問題視されている。

　研究チームは、この結果が現時点でのリスクの初期水準を示すものであり、攻撃者がより多くの学習データを蓄積することで精度が向上する可能性があると指摘している。複数回にわたる会話や、同一ユーザーの通信パターンを解析することで、攻撃の有効性が増すことも確認されている。

　Microsoftはこの問題を複数のベンダーと共有し、緩和策を導入している。OpenAIやMistral、xAI、Microsoft自身のクラウド環境などでは既に対策を講じている。OpenAIとMicrosoft Azureでは応答データにランダムな長さのテキスト列を追加する「obfuscation」フィールドを導入し、トークン長の特徴が外部から推測されにくくなるよう設計している。Mistralも同様の効果を持つ新パラメーター「p」を実装している。Microsoftは、これらの対策によって攻撃の有効性が実用的なリスク水準を下回ることを確認したと述べている。

　ユーザーに対し、信頼できないネットワークで機密性の高い話題をAIチャットbotとやりとりしないこと、VPNサービスを利用して追加の保護層を設けること、対策を導入済みのプロバイダーを選択すること、非ストリーミング型モデルを使用することなどが推奨されている。

　Microsoftは、Whisper LeakがAIモデルの利用における新たなリスクを示す事例と位置付けている。AIが日常業務や個人用途に浸透する中、通信経路上の暗号化だけでは守れない情報漏えい経路が存在することを明らかにしており、今後のAIサービス開発におけるセキュリティ対策強化の必要性が示されている。