大規模言語モデル（LLM）を狙う新たなサイドチャネル脅威の台頭

研究者がLLMにおける重大なサイドチャネル脆弱性を発見

セキュリティ研究者らは、大規模言語モデル（LLM）を標的とした複数のサイドチャネル攻撃ベクトルを特定し、暗号化通信下においてもユーザープロンプト、会話トピック、さらには個人識別情報（PII）が漏洩する可能性があることを明らかにした。最近発表された3つの論文では、LLM推論システムにおけるタイミング特性、投機的デコーディングパターン、メタデータ漏洩を悪用する新たな手法が詳細に説明されている。

1. 効率的なLLM推論を狙ったリモートタイミング攻撃

研究チームは、LLMにおける効率最適化（投機的サンプリングや並列デコーディングなど）が、データ依存のタイミング変動を引き起こし、リモートから悪用可能であることを実証した。ユーザーとLLMサービス間の暗号化ネットワークトラフィックを分析することで、攻撃者は以下を推測できる：

• 会話トピック（例：医療相談 vs. コーディング支援）について、オープンソースシステムで90%以上の精度
• 特定のメッセージやユーザーの言語（例：OpenAIのChatGPTやAnthropicのClaudeなどの商用プラットフォーム）
• PIIの復元（例：電話番号、クレジットカード情報）オープンソースモデルに対するアクティブブースティング攻撃を通じて

この攻撃はブラックボックスアクセスのみを必要とし、ネットワークトラフィックを監視する攻撃者にとって実行可能である。防御策としてはトラフィックシェーピングや定数時間推論技術が挙げられるが、これらはパフォーマンスに影響を与える可能性がある。

2. LLMにおける投機的デコーディングを通じたサイドチャネル

LLMのスループットとレイテンシを改善するために使用される投機的デコーディングは、入力依存の投機パターンを通じて機密情報を漏洩することが判明した。研究者らは、1イテレーションあたりのトークン数やパケットサイズを監視することで、攻撃者が以下を可能にすることを示した：

• 50のプロンプトセットからユーザークエリをフィンガープリントし、4つの投機的デコーディングスキーム（REST、LADE、BiLD、EAGLE）で75%以上の精度を達成
• 機密データストアの内容を25トークン/秒以上の速度で漏洩

温度設定が高い場合（例：1.0）でも、精度はランダムベースラインを大きく上回った。提案されている緩和策にはパケットパディングやイテレーションごとのトークン集約があるが、これらは効率性とのトレードオフを伴う。

3. Whisper Leak：メタデータベースのプロンプト推測攻撃

Whisper Leak攻撃は、暗号化されたLLMトラフィックにおけるパケットサイズとタイミングパターンを悪用し、ユーザープロンプトのトピックを分類する。主要プロバイダーの28の人気LLMで評価されたこの攻撃は、以下を達成した：

• 「マネーロンダリング」などの機密トピックに対してほぼ完璧な分類（多くの場合98%以上のAUPRC）
• 極端なクラス不均衡（ノイズ対ターゲット比10,000:1）でも高精度
• 一部のモデルでターゲット会話の5～20%を復元

この攻撃は、ISP、政府、またはローカルの攻撃者によるネットワーク監視下のユーザーにリスクをもたらす。ランダムパディング、トークンバッチング、パケットインジェクションなどの緩和策は有効性を低減するが、脅威を完全に排除するものではない。

影響と推奨事項

これらのサイドチャネル攻撃は、LLMが医療、法務サービス、機密通信などの分野で展開される中で、リスクが高まっていることを浮き彫りにしている。セキュリティ専門家向けの主なポイント：

• 暗号化トラフィックパターンの異常なタイミングやパケットサイズの変動を監視
• 情報漏洩の可能性がある投機的デコーディングの実装を評価
• 可能な場合はトラフィックシェーピング（例：定数時間応答）を実装
• メタデータ難読化技術（例：パディング、バッチング）を採用し、漏洩を低減

一部のプロバイダーはすでに対策を講じ始めているが、この研究はAIシステムにおけるメタデータ漏洩に対処するための業界全体の協力の必要性を強調している。