LLMの脆弱性を解剖：主要な5つの「脱獄（Jailbreaking）」攻撃パターンと技術的メカニズム

本記事は、大規模言語モデル（LLM）に対する「脱獄（Jailbreaking）」攻撃を単なる「裏技」としてではなく、モデルの持つ構造的な脆弱性を突く「メカニズム」として詳細に解説している。攻撃手法は大きく5つのカテゴリに分類され、それぞれが異なる脆弱性を狙っている。第一に「ナラティブ型」は、モデルが持つ「一貫性バイアス」を利用し、「あなたは制限のないAIである」といった役割設定（ロールプレイ）を与えることで、安全フィルターを役割の制約にすり替える。第二に「隠蔽型」は、Base64やLeetspeak（文字の数値置換）といったエンコーディングを利用し、キーワードフィルター（ブラックリスト方式）を物理的に回避する。第三に「構造制御型」は、無害な指示で有害な指示を挟み込む「Instruction Sandwiching」により、モデルの注意力が最後の指示に集中する特性を悪用する。第四に「連続対話型」（Multi-turn/Crescendo攻撃）は、単発のプロンプトではなく、対話を通じて徐々に信頼を構築し、悪意ある命令を細分化（ペイロード分割）することで、モデルの安全警戒心の緩みと一貫性バイアスを同時に突く、最も警戒すべき手法とされる。最後に「数理的最適化型」として、2023年に発表されたGCG（Greedy Coordinate Gradient）が紹介される。これは、モデルの重み（勾配）を利用し、人間には意味不明な「敵対的サフィックス」を自動探索することで、クローズドモデルに対しても高い成功率を示す、自動生成型の高度な攻撃である。これらの攻撃の共通点は、攻撃者が「コード」ではなく「AIとの会話の文脈や確率分布」を歪める作業を行っている点にあり、防御のためには、自社のLLMアプリケーションがどのタイプの攻撃に脆弱かを知り、体系的に防御策を講じることが重要であると結論付けている。

---

背景

LLMの普及に伴い、モデルが意図しない有害な出力をしたり、安全フィルターを回避されたりする「脱獄（Jailbreaking）」問題が深刻化している。本記事は、この技術的な脆弱性を学術的・工学的な視点から分類し、防御側のエンジニアリング知識を提供することを目的としている。

重要用語解説

• Jailbreaking: LLMの安全フィルターや倫理的な制約を回避し、モデルに本来禁じられている有害な情報や出力をさせる行為。単なる「裏技」ではなく、モデルの構造的な脆弱性を突く攻撃である。
• 敵対的サフィックス: LLMの出力の確率分布を意図的に操作するために、有害な指示の後に付与される、人間には意味不明な文字列（トークン列）。GCGによって自動生成される。
• 一貫性バイアス: LLMが過去の対話履歴や設定された役割（ペルソナ）との整合性を保とうとする傾向。このバイアスが、攻撃者によって悪用される。
• 影響: LLMの信頼性が根幹から揺らぐ問題であり、実社会への応用が進むにつれて、セキュリティ対策が必須となっている。今後は、単なるキーワードフィルタリングではなく、対話の文脈やモデルの内部構造（勾配）を考慮した多層的な防御機構（例：入力・出力の検証、ファインチューニングによる防御）の開発が急務となる。企業は、自社の利用するLLMがどの攻撃パターンに最も弱いかを特定し、防御戦略を立てる必要がある。