AIを欺く「嘘のフォント」：文書レビューを標的にした「Noroboto」攻撃の脅威

📝 概要

AIによる文書解析の盲点を突く「Noroboto」攻撃は、人間とAIで異なる情報を読み取らせる極めて巧妙な手法です。この攻撃の核心は、文書に埋め込まれた「悪意あるフォント」にあります。人間が画面上で見る文字（字形）と、AIが内部的に処理する文字（Unicode）の対応関係を意図的に操作することで、AIに誤った判断を下させることが可能です。契約書のリーガルチェックや請求書の自動処理など、AIのテキスト抽出を前提とした業務プロセスの信頼性を根底から揺るがす恐れがあり、技術的な対策の確立が急務となっています。

📋 詳細レポート

法律文書向けソフトウェアを開発するTritium Legal Technologiesの創業者ドリュー・ミラー氏が提唱した「Noroboto」は、AIによる文書レビューの前提条件である「人間が見ている情報とAIが読み取る情報は同一である」という確信を逆手に取った攻撃手法です。

Unicodeの対応関係を悪用する仕組み

この攻撃の技術的ポイントは、フォントファイル内における「Unicode符号位置」と「字形（デザイン）」の紐付けにあります。通常、Unicodeで「A」という番号が割り当てられた文字には、「A」の見た目が対応します。しかし、悪意あるフォントを用いることで、内部的なデータは「B」であっても、画面上には「A」と表示させることが可能になります。

Noroboto攻撃の主な特徴

• Unicodeマッピングの操作: 文字に割り当てられた番号と、実際に表示される見た目を意図的にずらす手法です。
• 部分的改ざん: 文書全体ではなく、重要な箇所（金額、州名、日付など）のみに悪意あるフォントを適用します。
• AIの検知回避: 文書の一部だけを操作することで、AIが異常を察知して画像として再認識（OCR処理）することを防ぎ、不自然さを消したまま誤ったテキストを抽出させます。

活用シーンにおける深刻な影響

この手法が実務に与える影響は多大です。例えば、人間には「2億円」と見える契約書を、AIには「1億円」と読み取らせる、あるいは準拠法を「メリーランド州」から「デラウェア州」へ密かに書き換えるといった攻撃が想定されます。契約書の監査、入札書類の確認、請求書処理など、AIが文書の内容を根拠に何らかの判断を下す場面において、企業の意思決定が歪められるリスクがあります。

信頼性確保に向けた今後の展望

ミラー氏は、AIの推論能力ではなく「読み取りプロセス」に脆弱性があることを指摘しています。これに対する有効な防御策として、以下の検証プロセスの導入が提案されています。

1. 視覚情報の検証: 埋め込みフォントを盲信せず、一度画像としてレンダリングしてからOCR（光学文字認識）で読み取り、元のテキストデータと一致するかを確認する。
2. 三者間一致の確認: 「人間の目で見える文章」「ファイル内のUnicode文字列」「AIが実際に処理する文章」の3点が一致しているかを厳密に検証する。

AIによる自動化が進む中で、データの「入力段階」における整合性を担保する技術は、今後のセキュリティ対策において不可欠な要素となるでしょう。