スローダウン攻撃とは:推論AIを狙う新たな脅威

研究・論文

AIをわざと「考えすぎ(overthinking)」の状態にして、応答を極端に遅らせる——これがスローダウン攻撃です。2026年7月1日に公開された査読前(プレプリント)の研究では、カメラで周囲を見て判断するAIに対し、現実世界に印刷して置いた文字だけで最大約4.74倍、条件次第で最大6.96倍の遅延を引き起こせることが示されました。生成AIや推論モデルを業務に組み込み始めた情シスにとって、これは「精度」ではなく「可用性とコスト」を突く新しいタイプの脅威です。

この記事でわかること

  • スローダウン攻撃(overthinking攻撃)とは何か、従来のDoSと何が違うのか
  • 今回の査読前研究が新しく示した「物理空間からの攻撃」の中身
  • 推論AIを社内利用する情シスが押さえるべきリスクと考え方

スローダウン攻撃とは

スローダウン攻撃とは、AIモデルに不要に長い「思考(推論)」をさせ、応答時間や計算コストを膨らませる攻撃です。出力の内容そのものは正しいまま、処理だけが極端に重くなる点が特徴です。

近年のLLM(大規模言語モデル)は、答えを出す前に内部で長い推論の連鎖を生成する「推論モデル」が主流になりつつあります。処理量に応じて時間もAPI利用料も増えるため、攻撃者が意図的に「考えすぎ」を誘発できれば、サービスの遅延(DoS:サービス妨害)利用料金の水増し(経済的DoS)を狙えます。この攻撃クラスは2025年2月の研究「OverThink」で広く知られるようになり、RAG(外部文書を参照して回答する仕組み)が読み込む文書に囮の推論問題を仕込むことで、最大46倍の遅延が報告されています。

今回の査読前研究が新しく示したこと

今回取り上げるのは、Qiang Han氏らによる査読前論文「Overthink-Triggered Slowdown Attacks on LVLM-Based Robotic Systems」(arXiv、2026年7月1日公開)です。査読前のプレプリントであり、結果は今後変わりうる点を先にお断りしておきます。

これまでのスローダウン攻撃が主に「テキスト入力」を対象にしていたのに対し、この研究はカメラで現実世界を見るAI(LVLM:大規模視覚言語モデル)を狙います。攻撃の流れは次のとおりです。

  • 攻撃者は、AIの「考えすぎ」を誘発しやすい短い文字列(トリガー)を、ブラックボックス探索で見つけ出す。
  • その文字列を、AIのカメラに映る場所に紙に印刷して置くなど、シーン内の文字として仕込む。
  • AIがその文字を読み取ると推論が暴走し、判断が遅れる。

論文が報告する主な数値は以下です。

項目 報告値
最大の遅延倍率(単一トリガー) 約6.96倍
実際に紙へ印刷したトリガーでの遅延 最大約4.74倍
発見されたトリガーの遅延倍率 いずれも1.0倍超
モデル間の転用(transfer) 複数のLVLMで有効

重要なのは、攻撃対象のモデルへ直接アクセスしなくても(ブラックボックスでも)成立し、あるモデルで見つけたトリガーが別のモデルにも効くという転用性が示された点です。攻撃者にとってのハードルが下がることを意味します。

なぜ情シスに関係するのか

「ロボットの話でしょう」と感じるかもしれません。しかし本質は、入力を工夫するだけで推論AIの処理を膨張させられるという点にあり、これは業務でAIを使う組織に広く関わります。

  • 可用性リスク:問い合わせ対応チャットボットや文書処理AIが、細工された入力で極端に遅くなれば、実質的にサービス停止(DoS)に近い状態になりえます。
  • コストリスク:従量課金のAI APIを使う場合、遅延はそのまま請求額の増加につながります。予算の小さい部門ほど影響が大きくなります。
  • 侵入経路の多様化:今回の研究は、攻撃が必ずしもネットワーク越しとは限らず、現実世界に置かれた文字・掲示・印刷物からも来うることを示しました。将来、店舗・工場・受付などに置かれる視覚AIを考えると無視できません。

現場目線の課題

正直なところ、この種の脅威は現場にとって厄介です。従来のDoS対策は「大量アクセスを弾く」発想でしたが、スローダウン攻撃は1件の正常に見える入力でも成立します。出力は正しいので、精度監視のダッシュボードには異常が出ません。気づけるのは「なぜか応答が遅い」「今月のAI利用料が妙に高い」という運用のヒリつきからで、原因の切り分けには時間がかかります。AIの内部でどれだけ推論が走ったかを、限られた人員で日常的に監視するのは容易ではない、というのが実感です。

情シスはどうすべきか

まだ査読前の一例であり、過度に恐れる必要はありません。一方で、AI導入を検討・運用する組織は、次のような「可用性・コストの観点」をリスク評価に加えておくと備えになります。

  • 推論の最大トークン数・処理時間に上限(タイムアウト)を設け、暴走を打ち切れるようにする。
  • AI APIの利用量・応答時間・課金額を監視し、急な跳ね上がりに気づける仕組みを持つ。
  • 外部文書やユーザー入力、カメラ映像など信頼できない入力をそのままAIに渡さない設計を意識する。

個別のAI対策に踏み込む前に、まずは可用性・インシデント対応を含む基本の土台が重要です。自組織の体制を点検する出発点として、IPA「中小企業の情報セキュリティ対策ガイドライン」のようなリスク管理の指針を参照し、AI固有のリスクを既存のリスク評価に接ぎ木していく進め方が現実的です。AIセキュリティは国内外で指針づくりが進む発展途上の領域のため、最新動向を継続的に追う姿勢も欠かせません。

限界・留意点

本記事の元になった研究は査読前のプレプリントであり、第三者による検証はこれからです。報告された遅延倍率は特定のモデル・条件下の結果で、あらゆる環境に当てはまるわけではありません。また対象は視覚言語モデル(LVLM)を用いたロボット系であり、一般的な社内チャットボット等にそのまま同じ倍率が生じると断定はできません。あくまで「入力操作でAIの処理を膨張させうる」という脅威クラスの一事例として捉えてください。

まとめ

  • スローダウン攻撃は、AIに「考えすぎ」をさせて応答遅延やコスト増(DoS・経済的DoS)を狙う新しい攻撃クラスです。
  • 査読前の新研究は、現実世界に置いた印刷文字だけで最大約4.74倍(条件次第で6.96倍)の遅延を起こせ、モデル間で転用も効くと報告しました。
  • 情シスは精度だけでなく「可用性とコスト」の観点でAIリスクを見直し、上限設定・利用監視・信頼できない入力の扱いを備えとして押さえておくとよいでしょう。

出典

タイトルとURLをコピーしました