「視覚と機械の乖離」を突く新脅威——Noroboto攻撃が暴露する、AIレビュー時代の”二重読解”リスク

契約書をスマートフォンで撮影し、AIに「リスクはある？」と尋ねる。数秒後、「問題ありません」と返答が来る——このシンプルな利便性の裏に、深刻なセキュリティホールが潜んでいる。人間の目には正常な契約書として映るが、AIには全く別の内容として認識される文書。この「視覚と機械の乖離」を突く攻撃手法が、法務テクノロジー分野から警鐘として鳴らされた。

「見えるもの」と「読まれるもの」のギャップを生む仕組み

Noroboto攻撃の本質は、フォント技術の巧妙な悪用にある。通常、フォントファイルは文字コード（例えば「A」というデータ）を特定の形状（Aの見た目）に変換する辞書のような役割を果たす。しかし、この対応関係を意図的に「ねじ曲げる」ことで、人間とAIに異なる情報を提供できる。

具体的には、カスタムフォントを作成し、文字コード「A」に対して視覚的には「契約期間は1年」と表示されるが、AIが文字認識（OCR）やPDF解析を行う際には「契約期間は10年」というテキストデータとして抽出されるよう設計する。人間は画面上のピクセル（画像）を見ているのに対し、AIの多くは文書の内部テキストデータを直接読み取るため、この乖離が生じる。

契約書レビューの自動化が抱える「信頼の前提」

この攻撃が特に危険なのは、AIによる文書レビューが急速に普及している現状にある。法務部門では長大な契約書の条項チェックや、不利な文言の検出にAIを活用するケースが増えている。しかし、その多くは「PDFやWord文書に含まれるテキストは、表示と内容が一致している」という暗黙の前提に基づいている。

Tritium Legal Technologiesの創業者ドリュー・ミラー氏が指摘するのは、この「信頼の非対称性」だ。法律文書は従来、紙や画面上で人間が直接確認することで真正性が担保されてきた。ところがAI時代においては、機械が読み取る「見えないレイヤー」が新たな攻撃対象となる。悪意ある契約相手は、画面上では有利に見える条件を提示しながら、AIレビューツールには不利な条件を読ませることが理論上可能になる。

技術的対策と「検証可能性」の設計思想

では、この脅威にどう対処すべきか。技術的には複数のアプローチが考えられる。

• マルチモーダル検証: テキスト抽出だけでなく、OCR（光学文字認識）による画像解析も併用し、両者の一致を確認する
• フォント監査: 文書に埋め込まれたフォントを分析し、標準的なフォントとの整合性をチェックする
• ハッシュ値検証: 視覚レンダリングと内部テキストから生成したハッシュ値を比較し、改ざんを検出する

しかし、より本質的なのは「検証可能性」を文書ワークフロー全体に組み込む設計思想だ。単にAIの出力を鵜呑みにするのではなく、AIが「何を根拠に判断したか」を人間が確認できる仕組み——例えば、AIが参照した条文をハイライト表示する機能——が不可欠になる。

インターフェースの透明性が問われる時代へ

Noroboto攻撃が提起するのは、単なるセキュリティ問題を超えた、より広範な問いだ。デジタル文書において「真正性」とは何か。人間が見ているものとAIが処理しているものが異なりうる環境で、どのように信頼を構築すべきか。

この問題は法律文書に限らない。医療記録、金融取引、行政文書——重要な意思決定を支えるあらゆる文書が、同様のリスクに晒される可能性がある。特に、AIによる自動処理が「効率化」の名のもとに人間の確認を省略する場合、この乖離は発見されないまま重大な結果を招く恐れがある。

今後、文書管理システムやAIレビューツールには、「視覚表現と内部データの同一性保証」が新たな要件として求められるだろう。それは単なる技術的チェック機能ではなく、デジタル社会における信頼インフラの再設計を意味している。Noroboto攻撃は、AI時代の文書が満たすべき「透明性」の基準を、私たちに突きつけているのだ。