サイドチャネル攻撃(AI)とは
AIにおけるサイドチャネル攻撃とは、AIモデルの直接的な入出力ではなく、応答時間、消費電力、キャッシュアクセスパターンなどの副次的な情報を利用してモデルの内部情報を推測する攻撃手法です。暗号分野で発展した手法がAI領域にも適用されています。
AIにおけるサイドチャネル
AIシステムで悪用され得るサイドチャネルは多岐にわたります。推論にかかる時間の差異からモデルのアーキテクチャや入力データの特性を推測するタイミング攻撃、GPUのメモリアクセスパターンからモデルパラメータを推定する手法、APIの応答サイズの変動から出力の内容を推測する手法などがあります。最近では、LLMのトークン生成速度の変動から出力内容を部分的に推測する研究も報告されています。
対策
サイドチャネル攻撃への対策として、応答時間の均一化(パディング)、バッチ処理による個別リクエストの隠蔽、ノイズの注入、メモリアクセスの均一化などが挙げられます。また、TEE(Trusted Execution Environment)の活用により、実行環境レベルでの保護を実現することも可能です。サイドチャネル攻撃は実行に高い技術力を要しますが、影響が大きいため、高セキュリティ環境では対策が推奨されます。