And Family Voice 研究所
聞こえない声でAIを操る?超音波を使った「サイレント攻撃」の脅威と対策
📄 Sirens' Whisper: Inaudible Near-Ultrasonic Jailbreaks of Speech-Driven LLMs
✍️ Ling, Z., Hu, P., Gao, X., Ma, X., Zhou, M., Feng, J., Lu, S., Zhang, D., Zhu, B. B.
📅 論文公開: 2026年3月
3つのポイント
- 1
人間には聞こえない超音波を使い、音声アシスタントに秘密の命令を送る攻撃手法「SWhisper」が提案されました。
- 2
この攻撃は市販のスピーカーやマイクで実行可能で、AIの安全機能を回避する「ジェイルブレイク」に成功することが示されています。
- 3
ユーザー調査では、攻撃に使われる音は人間の耳にはほとんど聞こえず、気づかれにくいという深刻な脅威が明らかになりました。
論文プロフィール
- 著者・発表年: Zijian Ling ら、2026年
- 掲載先: arXiv (2603.13847)
- 研究対象: 音声で操作する大規模言語モデル(LLM)のセキュリティ脆弱性
- 研究内容: 人間には聞こえない近超音波(Near-Ultrasound)を使って、音声アシスタントなどに秘密の命令を送り込み、意図しない動作をさせる攻撃手法「SWhisper」を開発・検証しました。
エディターズ・ノート
スマートスピーカーや音声アシスタントが私たちの生活に溶け込む今、その「耳」がもたらす新たなリスクを知ることは非常に重要です。
今回ご紹介する論文は、私たちが気づかないうちに、聞こえない音でAIが操られてしまう可能性を具体的に示しています。この研究は、音声データを安易にクラウドへ送信する現在の主流なアーキテクチャの危うさを浮き彫りにし、And Family Voice がなぜ「 オンデバイス処理 オンデバイス推論 クラウドにデータを送信せず、端末上でAIモデルの推論を完結させる技術。低遅延とプライバシー保護を両立する。 」にこだわるのか、その設計思想の根拠を補強してくれるものです。
実験デザイン
本研究では、「SWhisper」と名付けられた攻撃手法が、現実的な環境でどれほど効果的かを検証しています。
攻撃の仕組み
攻撃は以下のステップで行われます。
- プロンプト生成: AIに実行させたい命令(例:「この家のスマートロックを解除して」)を音声で用意します。
- 超音波への変調: この音声を、人間には聞こえない高い周波数帯(近超音波)の波形に変換します。
- 音の再生: 市販の一般的なスピーカーから、変換した超音波を再生します。この音は、人間の耳にはほとんど聞こえません。
- マイクによる復調: ターゲットのデバイス(スマホやスマートスピーカー)のマイクがこの超音波を拾います。このとき、マイクの物理的な特性(非線形性)によって、超音波が元の音声命令に「復調」されます。
- LLMによる実行: デバイス上の 音声認識 自動音声認識(ASR) 音声信号をテキストに変換する技術。Whisper や Conformer などのモデルが代表的。 システムが復調された音声をテキスト化し、LLMがその命令を実行してしまいます。
この一連の流れにより、ユーザーが気づかないうちに、第三者がデバイスを遠隔で操ることが可能になるかもしれません。
🔍 マイクの「非線形性」とは?
音響機器は、音を電気信号に変える際に、完全に忠実な変換ができるわけではありません。特にマイクは、入力された音(特に超音波のような特殊な音)に対して、わずかな歪み(ひずみ)を生じさせることがあります。これを「非線形性」と呼びます。
SWhisper攻撃は、この「不完全さ」を逆手にとっています。意図的に特殊な超音波を作り出すことで、マイクが音を拾う段階で都合よく歪ませ、元の音声命令が「復元」されるように設計されているのです。これは、機器の物理的な特性を利用した、非常に巧妙な攻撃と言えます。
評価と結果
研究チームは、複数の商用・オープンソースの音声駆動LLMに対して攻撃を試みました。結果、この手法が非常に高い成功率を持つことが示されました。
- ジェイルブレイク成功率: AIが持つ安全機能(「やってはいけないこと」を拒否する機能)を突破し、不適切な命令を実行させてしまう「ジェイルブレイク」の成功率を評価しました。商用モデルに対して、最大で94%の命令が拒否されず(Non-Refusal)、92.5%が意図通りに説得されてしまう(Specific-Convincing)という結果が報告されています。
| 項目 | 成功率(%) |
|---|---|
| 非拒否率 (NR) | 94 |
| 特定説得率 (SC) | 92.5 |
- 人間の知覚: さらに、ユーザー調査を行ったところ、攻撃に使われる超音波は、被験者にとって単なる背景音と区別がつかなかったと報告されています。これは、攻撃が非常に気づかれにくいことを意味します。
技術的背景
この研究は、「敵対的攻撃(Adversarial Attack)」と呼ばれるAIセキュリティの研究分野に位置づけられます。
敵対的攻撃とは、AIモデルの判断を誤らせるために巧妙に作られた入力データを使い、モデルを騙す攻撃手法全般を指します。例えば、画像認識AIに対して、人間には分からないほどの僅かなノイズを加えることで、パンダの画像を「テナガザル」と誤認識させるといった攻撃が知られています。
SWhisperは、この敵対的攻撃を「聞こえない音」という形で音声分野に応用したものです。これまでの音声への攻撃は、可聴ノイズを付加するものが主流でしたが、本研究の新規性は、市販の機器を使い、人間には知覚できない「非可聴な」チャネルで攻撃を成立させた点にあります。
🔍 LLMにおける「ジェイルブレイク」とは?
「ジェイルブレイク(脱獄)」とは、本来はスマートフォンなどでメーカーの制限を解除する行為を指す言葉ですが、LLMの文脈では少し意味が異なります。
LLMにおけるジェイルブレイクとは、開発者が設定した安全ガイドラインや倫理的な制約を、特殊なプロンプト(命令文)を使って回避し、モデルに不適切なコンテンツ(差別的な発言、危険な指示など)を生成させる行為を指します。
SWhisperは、このジェイルブレイク用のプロンプトを「聞こえない音声」として送り込むことで、LLMの安全装置を無力化しようと試みるものです。
And Family Voice としての解釈
この研究は、私たちに何を教えてくれるのでしょうか。And Family Voice の設計思想と照らし合わせながら考えてみます。
プロダクトへの示唆:なぜ「オンデバイス」なのか
SWhisperのような攻撃は、マイクが常に音を拾い、そのデータを分析のために外部のサーバーへ送信しているデバイス(多くのスマートスピーカーがこの方式です)にとって、特に深刻な脅威となります。なぜなら、いつ、どこで、どんな「聞こえない声」がマイクに拾われているか、ユーザーには知る由もないからです。
この研究は、And Family Voice が「 オンデバイス音声認識 オンデバイス推論 クラウドにデータを送信せず、端末上でAIモデルの推論を完結させる技術。低遅延とプライバシー保護を両立する。 」にこだわる理由を、セキュリティの観点から強く裏付けてくれます。
私たちのプロダクトでは、音声認識はすべてスマートフォン内で完結し、音声データが端末の外に送られることは一切ありません。これにより、外部からの未知の音響攻撃がクラウドサーバーに直接影響を与えるリスクを構造的に排除しています。
さらに、万が一意図しないテキストが生成されたとしても、「Human-in-the-Loop」の承認フロー(スワイプUI)が最後の防衛線となります。クラウドに保存されるのは、ご家族が「これは残したい」と明確に意思表示したテキストデータだけです。この設計は、便利さだけでなく、このような未知の脅威からもご家族の記録を守るためのものです。
日常生活へのヒント:マイクとの付き合い方を見直す
この研究は、プロダクト開発者だけでなく、私たちユーザー一人ひとりにも大切な問いを投げかけています。利便性と引き換えに、私たちは常に「聞かれている」状態にあるのかもしれません。
今日からできる実践的なヒントとして、お使いのスマートフォンやスマートスピーカーの「マイク設定」を見直してみてはいかがでしょうか。
- アプリの権限を確認する: 使っていないアプリや、信頼性の低いアプリにマイクへのアクセス権限を与えていないか確認し、不要なものはオフにしましょう。
- ウェイクワードを意識する: 「OK Google」や「Hey Siri」といったウェイクワードで起動する設定は、デバイスが常に聞き耳を立てている状態です。この機能が本当に必要か、利用シーンを限定できないか考えてみるのも一つの手です。
技術の進化がもたらすリスクを正しく理解し、賢く付き合っていくことが、これからの時代には不可欠です。
読後感
テクノロジーは私たちの生活を豊かにしてくれますが、その裏側には、時に見えにくいリスクが潜んでいます。SWhisperの研究は、音という最も身近な媒体に潜む新たな脅威を私たちに突きつけました。
便利さのために、私たちの「声」や「聞く環境」をどこまでテクノロジーに委ねるべきか。あなたの家族のプライバシーを守るために、どのような技術的な選択をしますか?