音声AIアシスタントが、人間の耳には一切聞こえない「隠し音声コマンド」によって密かに操作される攻撃手法の危険性を、IEEE Spectrumが掲載した最新研究が改めて実証した。スマートスピーカーや音声対応AIエージェントの普及が急速に進むなか、この脆弱性は日本のエンタープライズ環境にとっても無視できないリスクとなりつつある。

隠し音声攻撃(Hidden Audio Attack)とは何か

「隠し音声攻撃(Adversarial Audio Attack)」とは、AIの音声認識モデルが処理できる帯域内に悪意ある命令を埋め込みながら、人間の聴覚特性上はまったく聞こえないように設計された攻撃手法だ。

主なアプローチとして以下の2種類が知られている。

超音波インジェクション(Ultrasonic Injection) 人間の可聴域(約20Hz〜20kHz)を超えた超音波帯域(20kHz以上)に音声コマンドを乗せて送信する。多くのマイクは超音波も拾うため、AIモデルはコマンドとして解釈するが、人間には何も聞こえない。

サイコアコースティック攻撃(Psychoacoustic Attack) こちらはより巧妙で、人間の聴覚のマスキング効果(大きな音が近くの周波数の小さな音を聞こえなくする現象)を逆手に取る。一見普通の音楽やノイズの中に、人間が知覚できないが機械は認識できるコマンドを紛れ込ませる。

なぜ今この脆弱性が深刻なのか

数年前から学術的には知られていた攻撃手法だが、2026年現在に改めて注目を集める理由がある。

音声AIの普及スコープが劇的に拡大した。 かつての音声AIはスマートスピーカーが中心だったが、今や会議室のAIノートテイキングデバイス、コールセンターの自動応答システム、工場の音声操作端末、さらに企業内に展開された音声エージェントまで対象が広がっている。攻撃面(アタックサーフェス)が格段に増えた。

AIエージェントが実行権限を持ち始めた。 従来の音声AIは「再生」「検索」程度の操作しかできなかったが、最新の音声対応AIエージェントはメール送信、カレンダー操作、外部APIの呼び出しまで実行できる。乗っ取られたときのダメージが質的に異なる。

物理的な攻撃インフラが不要になりつつある。 Wi-FiスピーカーやBluetoothデバイスを経由したリモートからの超音波攻撃も研究段階では実証されており、「物理的に近づかないと攻撃できない」という前提が崩れ始めている。

実務での防衛ポイント

日本のエンジニアやIT管理者が今すぐ確認すべき点をまとめる。

1. 音声AIデバイスの設置場所を見直す 会議室や受付に設置した音声AIデバイスは、外部からの音波が届く窓際や入口付近への設置を避ける。超音波は壁や窓をある程度透過するため、物理的な隔離の限界を理解しておく。

2. ウェイクワード認証だけに頼らない 多くの音声AIは「Hey Siri」「Alexa」等のウェイクワードで起動するが、隠し音声攻撃はこのウェイクワード自体も偽造できる。センシティブな操作には追加の多要素認証を組み合わせる設計を検討する。

3. 音声AIエージェントの実行権限を最小化する ゼロトラストの原則はここでも有効だ。音声AIに与える権限を必要最小限に絞り、特に外部サービス操作や機密データへのアクセスは別の認証フローを挟む。

4. ログと異常検知を仕込む 音声AIが実行した操作のログを必ず取る。深夜帯や業務時間外の不審なコマンド実行を検知するルールを設定するだけでも、攻撃の早期発見につながる。

5. ファームウェアとモデルを最新に保つ ベンダー各社はこの種の攻撃への対策(マイクのハードウェアフィルタリング、モデルレベルでの異常検知)を継続的に改善している。更新を怠らないことが基本中の基本。

筆者の見解

この研究が改めて浮き彫りにするのは、「AIの入力経路の安全性」という盲点だ。セキュリティの議論はどうしてもアウトプット(AIが出力する内容の安全性)に集中しがちだが、インプット側の操作も同じくらい深刻なリスクであることを多くの組織が見落としている。

音声AIを「便利なインターフェース」として導入する企業は増えているが、それが「外部から操作可能な実行エンジン」になっているという自覚を持てているチームは少ない。マイクが付いたデバイスをネットワーク上に置く以上、それは攻撃可能なエンドポイントだという認識を持つことが出発点になる。

一方で、この種の攻撃に対してむやみに萎縮する必要はない。「禁止よりも安全に使える仕組みを作る」という姿勢が重要だ。適切なアーキテクチャ設計と権限管理、そして継続的な監視を組み合わせれば、音声AIの利便性を享受しながらリスクを許容範囲に抑えることは十分に可能だ。

自律的に動くAIエージェントが組織のインフラに組み込まれていく流れは止まらない。だからこそ、今のうちに「AIが受け取る入力を誰が・どうやって制御するか」という設計思想を固めておくことが、これから1〜2年の最重要テーマのひとつになると考えている。

出典: この記事は Voice AI Systems Are Vulnerable to Hidden Audio Attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。