arXiv雑要約
セキュリティ - 2025/12/16 公開
ニューラル崩壊を用いたトロイアン攻撃の浄化 [cs.CG, cs.LG, cs.CR]目的:トロイアン攻撃の浄化機構
- 深層学習モデルは広く利用され,セキュリティリスクが重要課題となっている。
- 学習段階でのトロイアン攻撃は検知が難しく,深刻な脅威となりうる。
- ニューラル崩壊の歪みを検出し,攻撃を受けたモデルを浄化すること。
- トロイアン攻撃は,ニューラル崩壊の収束を阻害することが実験的に示された。
- この収束の阻害を利用し,軽量で汎用性の高い浄化機構を設計した。
- 様々なネットワーク構造に対し,本機構によるトロイアン攻撃の浄化が有効であることが確認された。
グラフAPIにおけるアクセス制御の脆弱性を対象とした汚染解析 [cs.DM, math.CO, cs.CR, cs.LO, cs.SE]目的:グラフAPIのアクセス制御に関する脆弱性の検出
- APIの利用拡大に伴い,API経由の攻撃リスクが増加しており,セキュリティ確保が重要である。
- 既存の解析手法では,グラフAPI特有の複雑なデータフローを正確に追跡することが困難である。
- グラフAPIにおける汚染解析を通じて,アクセス制御の脆弱性を効率的に検出することを目指す。
- 本研究では,静的解析と動的解析を組み合わせた体系的な汚染解析手法を提案した。
- 提案手法は,GitHub GraphQL APIへの適用により,アクセス権限の不備による脆弱性を網羅的に検出できることを示した。
- 静的解析で検出されたリスクを動的解析で検証することで,誤検知を低減し,より信頼性の高い結果が得られる。
完全準同型暗号は汎用AI計算をサポートできるか:機能とコストの分析 [cs.CL, cs.CR]目的:汎用AI計算における完全準同型暗号のサポート可能性の評価
- AIはヘルスケアや金融など,機密性の高い分野で不可欠であり,プライバシー保護が重要である。
- 完全準同型暗号は有望だが,線形演算と非線形演算を組み合わせたAIワークロードへの対応は不明確である。
- 線形・非線形演算を組み合わせたAIワークロードにおける完全準同型暗号のコストと実現可能性を解明する。
- 10種類のFHE手法を分類し,汎用計算のサポート能力を評価した。
- 有望な3つの候補を選定し,線形・非線形演算混合ワークロードをベンチマークした。
- 5つの実世界のプライバシー保護AIアプリケーションを評価し,最適なFHE手法の選択指針を提供した。
DRLにおけるバックドア:分布内トリガーに焦点を当てた4つの環境 [cs.LG, cs.CR]目的:深層強化学習エージェントに対するバックドア攻撃の調査
- 深層学習モデルのセキュリティ確保は重要であり,悪意のある改ざんから保護する必要がある
- 既存研究では,分布外トリガーに焦点が当てられがちであり,分布内トリガーの脅威は軽視されがちである
- 分布内トリガーを用いたバックドア攻撃の実現可能性と,その対策を明らかにすること
- 分布内トリガーは実装が難しい場合があるが,基本的なデータポイズニング攻撃でも有効な脅威となりうる
- LavaWorld,Randomized LavaWorld,Colorful Memory,Modified Safety Gymnasiumの4つの環境でバックドア攻撃を実装し,その特性を分析した
- バックドア攻撃を受けたモデルとそうでないモデルを比較し,攻撃の影響を評価した
有限体上の多項式系解法のためのオラクルに基づく多段階戦略とAradi暗号の代数暗号解析 [cs.CR, cs.SC, math.AC]目的:有限体上の多項式系解法のための多段階戦略
- 暗号技術の安全性評価において,多項式方程式系の効率的な解法は重要な課題である。
- 多変数多項式系の直接的な解法は計算量的に困難な場合が多い。
- オラクル関数を用いて多段階戦略を統一的に記述し,効率的な解法を確立すること。
- オラクル関数に基づく多段階戦略の新しい再帰的定式化を提案した。
- この戦略は,以前のTrivium暗号の代数暗号解析において有効性が示されている。
- Aradi暗号に対して初めての完全ラウンドの代数攻撃を成功させ,その構造的特徴を明らかにした。
プロンプトインジェクションからプロトコル悪用まで:LLM搭載AIエージェントワークフローにおける脅威 [cs.CR, cs.AI]目的:LLMエージェントエコシステムの統合されたエンドツーエンドの脅威モデル
- LLMエージェントはデータ取得や計算を可能にし,AI応用の可能性を広げる。
- プラグインやプロトコルの急増に対し,セキュリティ対策が追いついていない現状がある。
- 入力レベルからプロトコル層までの脆弱性を網羅的に特定し,安全なシステム設計を支援する。
- 本研究では,30を超える攻撃手法を体系的に分類し,それぞれの脅威を形式的に定義した。
- プロンプトto SQLインジェクションやToxic Agent Flowといった具体的な攻撃例を提示した。
- 動的な信頼管理,暗号学的由来追跡,サンドボックス化などの緩和策についても議論した。
DATABench:深層学習におけるデータセット監査の評価 - 敵対的視点からの検討 [cs.CR, cs.AI, cs.LG]目的:深層学習におけるデータセット監査の敵対的堅牢性評価
- 深層学習の応用拡大には高品質なデータセットが不可欠。その利用状況の透明性は重要課題である。
- データセットの利用状況の開示不足は,プライバシーや著作権侵害のリスクを高めている。
- 既存のデータセット監査手法の脆弱性を明らかにし,より安全な監査手法の開発を促す。
- 既存のデータセット監査手法は,内部特徴と外部特徴に基づいて分類された。
- 17種類の回避攻撃と5種類の偽造攻撃を含むDATABenchベンチマークを構築し評価を行った。
- 評価の結果,既存の監査手法は敵対的設定下において十分な堅牢性や識別力を持たないことが示された。
大規模言語モデルはフィッシング警告の説明を自動化できるか? 効果とユーザー認識に関する統制された実験 [cs.CR, cs.HC]目的:フィッシング警告の説明における大規模言語モデルの自動化可能性の評価
- フィッシングは現代のサイバーセキュリティにおける重要なリスクであり,技術的防御を迂回する手段として利用されている。
- 従来の警告ダイアログは説明の不明確さや固定的な内容が課題であり,その効果に限界がある。
- 大規模言語モデルを活用し,明確かつ簡潔で拡張性のあるフィッシング警告の説明を自動的に生成することを目指す。
- 大規模言語モデルによって生成された説明は,専門家が作成したメッセージと同程度の保護効果があることが示された。
- Claude 3.5 Sonnetは手動のベースラインと比較してクリック率を低下させる傾向があったが,Llama 3.3は明確であると認識されながらも同様の効果は得られなかった。
- 特徴に基づいた説明は本物のフィッシング試行に対して有効であり,反事実的な説明は誤検出率を低下させた。
LLMベースの評価システムにおけるブラインド攻撃検出のための反実仮想評価 [cs.CR, cs.CL]目的:LLMベースの評価システムに対するプロンプトインジェクション対策
- LLMの評価は自動化が求められるが,その安全性確保が重要課題となっている。
- 従来の評価手法は,巧妙に作成された攻撃プロンプトに脆弱であるという問題がある。
- 真の正解とは独立した回答を作成するブラインド攻撃に対する検出手法を確立すること。
- 標準評価は攻撃に対して脆弱であることが示された。
- 提案手法である標準評価と反実仮想評価の組み合わせ(SE+CFE)が,攻撃検出率を大幅に向上させる。
- 性能への影響を最小限に抑えながら,評価システムのセキュリティを強化できる。
マルフロウ:Androidマルウェア検知のための異種フロー意味論の文脈を考慮した融合 [cs.CR, cs.SE]目的:Androidマルウェアの検知
- Androidアプリのセキュリティ確保は重要であり,静的解析はそのための基礎技術である。
- 既存手法では,異なる種類のフロー間の意味的補完性を活かしきれていない。
- 異種フローの意味論を文脈を考慮して融合し,より高精度なマルウェア検知を目指す。
- マルフロウは,制御フロー,データフロー,コンポーネント間通信を異種情報ネットワークとしてモデル化する。
- フロー2vecにより,文脈に基づいたHIN埋め込みを生成し,アプリの正確な表現を学習する。
- 実験結果から,マルフロウは既存手法を上回り,フロー2vecの有効性が確認された。
プロンプトインジェクション攻撃に対するマルチエージェントLLM防御パイプライン [cs.CR, cs.LG]目的:プロンプトインジェクション攻撃の検知と中和
- LLMの普及に伴い,セキュリティ確保が不可欠となっているため。
- ユーザー入力に悪意のある指示が埋め込まれ,LLMの動作を制御されるリスクがあるため。
- LLMの脆弱性を克服し,安全な利用環境を構築することを目的とする。
- 提案手法は,ChatGLMとLlama2の2つのLLMプラットフォームにおいて,多様な攻撃に対して100%の防御成功率を達成した。
- 攻撃成功率(ASR)を,防御なしのChatGLMの30%から,Llama2の20%から,いずれも0%まで大幅に低減することに成功した。
- 直接的な上書き,コード実行,データ窃取,難読化技術など,複数の攻撃カテゴリに対し,システム機能を維持しつつ堅牢な防御性能を示した。
連合学習における多段階勾配反転攻撃に対する非線形軌道モデリング [cs.LG, cs.CR]目的:連合学習における勾配反転攻撃に対する軌道モデリングの精度向上
- 連合学習はプライバシー保護に貢献するが,勾配情報の漏洩による攻撃リスクが存在する。
- 既存手法は線形補間を用いるため,非線形な最適化アルゴリズムの複雑さを捉えきれない。
- 本研究は,非線形な軌道モデリングにより,勾配反転攻撃の精度を向上させることを目指す。
- 提案手法NL-SMEは,学習可能な二次ベジエ曲線を用いて,より高精度な軌道モデリングを実現した。
- CIFAR-100およびFEMNISTデータセットでの実験により,NL-SMEは既存手法を大幅に上回る性能を示した。
- 本研究は,連合学習におけるプライバシー脆弱性を明らかにし,ロバストな防御策開発に貢献する。
ステルス性と効果性を両立:グラフ分類における分布を維持するバックドア攻撃 [cs.LG, cs.CR]目的:グラフ分類に対する分布を維持するバックドア攻撃手法
- グラフニューラルネットワークは様々なタスクで高い性能を示すが,セキュリティ上の脆弱性が課題となっている。
- 既存のバックドア攻撃は,トリガーの構造的な異常やラベル反転による意味的な異常が検知されやすい。
- 分布内に存在するトリガーを学習し,異常を抑制することで,よりステルス性の高い攻撃を実現する。
- 提案手法DPSBAは,敵対的学習と異常検知器を用いて分布内のトリガーを学習し,構造的・意味的異常を抑制する。
- 実験結果から,DPSBAは既存手法と比較して,攻撃成功率とステルス性のバランスに優れていることが確認された。
- 実際のデータセットを用いた評価により,DPSBAの有効性が検証された。
SoK:事前確認 [cs.IR, cs.CR, cs.NI]目的:事前確認に関する知識体系化
- ブロックチェーン技術は,分散型システムにおいて重要な役割を担う。
- トランザクションの確定までの遅延は,ユーザーエクスペリエンスを阻害する。
- 事前確認プロトコルによる,確定までの不確実性の軽減を目指す。
- 本研究は,事前確認の定義,フレームワーク,経済性,リスクを体系的に整理した。
- 現実の事前確認プロトコルの実装を分析し,理論と実践のギャップを埋めることを試みた。
- 事前確認に関する理解を深め,今後の研究開発の指針となる知見を提供する。
生成画像ステガノグラフィのための近似ガウス写像 [cs.CR]目的:生成画像ステガノグラフィにおける秘密情報の埋め込み手法
- 画像生成技術の進展に伴い,情報隠蔽技術の安全性が重要視されている。
- 従来のステガノグラフィは,ノイズの分布に関する制約が厳しく,性能向上の余地がある。
- ガウス分布からの逸脱を許容することで,数値的安定性とセキュリティを両立させることを目指す。
- 提案手法であるApproximate Gaussian Mapping (AGM)は,ノイズスケールと分散を調整することで秘密情報を埋め込む。
- VAEエンコーダは外部からの摂動をフィルタリングし,ロバスト性を向上させることが示された。
- VAEデコーダの構造的正則化とテキストプロンプトによる意味的変化は,埋め込みアーティファクトを隠蔽し,セキュリティを改善する。
Schema 悪用によるLLMの脱獄: BreakFun [cs.DM, math.CO, cs.CR, cs.AI, cs.CL]目的:LLMの構造化データ処理能力の脆弱性を利用した脱獄手法の調査
- LLMは構造化データ処理能力が強みだが,その特性が逆に弱点となる可能性が示唆されている。
- LLMが構造やスキーマを遵守する傾向が強く,悪意のある構造化データによって制御されるリスクがある。
- LLMの構造化データ処理能力に着目し,悪意のあるスキーマを用いた脱獄攻撃とその対策を提案する。
- BreakFunは,巧妙に作成された「トロイのスキーマ」を用いてLLMを欺き,有害なコンテンツを生成させる手法である。
- 13のLLMに対して平均89%の成功率で脱獄に成功し,特に複数の著名なモデルでは100%の攻撃成功率を達成した。
- Adversarial Prompt Deconstructionという防御策は,LLMを用いてユーザーの意図を抽出し,攻撃を効果的に抑制することが確認された。
PrivaDE:ブロックチェーン 기반データマーケットプレイスのためのプライバシー保護データ評価 [cs.CR, cs.LG]目的:データ評価の有用性
- 機械学習モデルの品質向上にはデータが不可欠であり,データの価値評価が重要である。
- モデル構築者とデータ提供者は,それぞれの知的財産を保護する必要がある。
- データとモデルを公開せずに,データセットの有用性を評価する手段を提供する。
- PrivaDEは,モデルパラメータやデータを公開することなく,データセットの有用性を評価できる。
- 悪意のある行動に対する高いセキュリティを提供し,ブロックチェーン 기반のマーケットプレイスに組み込むことができる。
- 数百万パラメータのモデルでも,オンライン実行時間が15分以内と実用的な性能を示す。
分散型IDと検証可能資格情報を持つAIエージェント [cs.CR, cs.MA]目的:AIエージェント間における信頼の確立機構
- AIエージェントの自律性と相互運用性が重要視される中で,エージェント間信頼の確立が不可欠となっている。
- 既存のLLMベースのエージェントは,対話開始時に相互の信頼を構築する能力に限界がある。
- 自己主権型デジタルIDと検証可能資格情報を用いて,エージェント間の信頼関係を構築することを試みる。
- 本研究では,W3C分散型ID (DID) と検証可能資格情報 (VC) を組み合わせた概念的フレームワークとプロトタイプシステムを提案した。
- これにより,エージェントは自己制御のDIDの所有権を証明し,DIDに紐づいたVCの交換を通じて,様々なクロスドメインの信頼関係を確立できる。
- プロトタイプの実装評価により技術的実現可能性が示されたが,LLMがセキュリティ手順を単独で制御する場合の限界も明らかになった。
クラウドにおける信頼できるAIエージェント [cs.CR, cs.AI, cs.MA]目的:AIエージェントの信頼性確保
- AIエージェント利用拡大に伴い,機密データ保護の重要性が増している。
- 既存技術では,多要素間の信頼確保や詳細な振る舞い監視が困難である。
- エンドツーエンドの隔離と検証可能な信頼関係構築によるAIエージェント保護を目指す。
- Omegaは,Confidential VMとGPUを活用し,単一のCVM内で複数のエージェントを隔離するプラットフォームを構築した。
- 差分アテステーションにより,エージェント間の信頼関係を効率的に確立し,ポリシーに基づいたデータアクセス制御を実現した。
- AMD SEV-SNPとNVIDIA H100上で,高い性能とスケーラビリティを両立し,クラウド環境での安全なAIエージェント運用を可能にした。
ノイズ摂動によるプライバシー損失:積測度の集中分析 [cs.CR]目的:ノイズ摂動による$(\epsilon,\delta)$-差分プライバシー保証の評価
- データ分析におけるプライバシー保護は,個人情報保護の観点から極めて重要である。
- 従来のノイズ添加手法では,高次元空間において有用な結果を得ることが困難である。
- 積測度に基づく新しいノイズ生成スキームにより,高次元空間でのプライバシー保護と有用性の両立を目指す。
- 提案手法は,従来のガウスノイズに比べて,高次元空間においてより小さい期待ノイズ量を実現する。
- この結果により,ノイズ添加された結果の有用性を大幅に向上させることが可能となる。
- 凸・非凸な経験リスク最小化問題において,提案手法の有効性が確認された。
知識の体系化:モデルコンテキストプロトコルエコシステムにおけるセキュリティと安全性 [cs.CR, cs.AI]目的:モデルコンテキストプロトコルエコシステムにおけるリスクの包括的な分類
- 大規模言語モデルの利用拡大に伴い,外部データやツールとの連携が不可欠となり,その標準化が求められている。
- モデルと外部環境の分離は相互運用性を高める一方,セキュリティ侵害と認識エラーの区別が曖昧になるという新たな課題が生じている。
- モデルコンテキストプロトコル特有の脆弱性を分析し,多エージェント環境における不正操作のリスク軽減を目指す。
- モデルコンテキストプロトコル(MCP)の基本的な要素(リソース,プロンプト,ツール)の構造的な脆弱性を特定した。
- 「コンテキスト」が悪用され,多エージェント環境において不正な操作を引き起こす可能性を示唆した。
- 暗号学的Provenance(ETDI)や実行時インテント検証など,最新の防御策を調査し,自律型エージェントオペレーティングシステムへの移行に向けたロードマップを提示した。
ObliInjection:多源データに対する順序に依存しないプロンプトインジェクション攻撃 [cs.IR, cs.CR]目的:LLMエージェントにおける多源データへのプロンプトインジェクション攻撃手法
- 大規模言語モデル(LLM)の利用拡大に伴い,そのセキュリティ対策が重要視されている。
- 既存のプロンプトインジェクション攻撃は,データソースが単一であるか,順序が既知であることを前提としている。
- 多源データ環境下におけるLLMの脆弱性を悪用する新たな攻撃手法を開発し,対策を検討する。
- 提案手法ObliInjectionは,LLMへの入力データソースの順序が不明でも高い攻撃成功率を示す。
- ObliInjectionは,攻撃者が入力データの一部を制御するだけで,意図したタスクを実行させることが可能となる。
- 実験結果から,ObliInjectionは多様なデータセットとLLMにおいて有効であることが確認された。
LLMセキュリティ研究における落とし穴 [cs.CR]目的:LLMセキュリティ研究における再現性,厳密性,評価の課題
- LLMはセキュリティ研究で不可欠となりつつある。その特性上,従来の研究手法に問題が生じることがある。
- 従来の機械学習研究の課題に加え,LLM特有の落とし穴が認識されていない場合が多い。
- LLMセキュリティ研究の妥当性を脅かす9つの落とし穴を特定し,その影響を明らかにすること。
- 2023-2024年の主要なセキュリティ研究論文72件を調査した結果,全論文に少なくとも1つの落とし穴が見られた。
- 特定された落とし穴の15.7%しか明示的に議論されておらず,多くの落とし穴が未認識のままになっている。
- 4つの事例研究を通じて,落とし穴が評価を誤らせ,性能を高く見せかけ,再現性を損なうことを示した。
大規模言語モデルを用いた隠写術のコスト関数の定義 [cs.CR]目的:大規模言語モデルを用いた隠写術のコスト関数の定義
- 情報セキュリティにおいて,隠写術は重要な技術であり,通信内容の秘匿に貢献する。
- 従来のコスト関数は専門知識に依存するか,大規模データセットが必要であり,柔軟性に欠ける。
- 大規模言語モデルを用いて,既存手法に代わる新たなコスト関数を自動的に設計することを目指す。
- 提案手法は,LLMによるプログラム合成と進化探索を組み合わせることで,隠写術に適したコスト関数を創出する。
- 実験の結果,提案手法で設計されたコスト関数は,既存手法と比較して,隠写術の耐ステルス解析性能を大幅に向上させることを示した。
- LLMを隠写術のコスト関数設計に応用する新たな視点を提供し,今後の研究に貢献する可能性がある。
大規模言語モデルを用いたフィッシングメール検出 [cs.CR, cs.IR]目的:フィッシングメール検出のための大規模言語モデルの活用
- サイバー攻撃の脅威が増大しており,その対策は喫緊の課題である。
- 既存のシステムでは,巧妙化するフィッシングメールへの対応が遅れている。
- 大規模言語モデルの脆弱性を悪用した複合的な攻撃への対策が求められている。
- 大規模言語モデルは90%以上の精度でフィッシングメールを検出可能であることが示された。
- ただし,敵対的攻撃やプロンプトインジェクション,多言語攻撃による悪用の可能性が指摘された。
- 現実的な環境における大規模言語モデルを用いたフィッシングメール検出の課題が明らかになった。
却下から承諾へ:LLMベースの科学論文査読者の間接プロンプトインジェクション脆弱性の定量化 [cs.AI, cs.CL, cs.CR]目的:LLMを査読者として利用するシステムの脆弱性評価
- 科学論文査読は研究の質を保証する上で不可欠であり,LLMの導入による効率化が期待されている。
- LLM査読システムは,悪意のあるPDF操作によって,不当に論文が採択されるリスクが存在する。
- LLM査読システムの脆弱性を定量的に評価し,攻撃への耐性を高めるための対策を検討する。
- LLM査読システムは,PDF内の特定の操作によって,却下判断が承諾判断に翻転される可能性があることが示された。
- 特に「Maximum Mark Magyk」のような難読化手法は,大規模言語モデルにおいても高い効果を発揮し,採択判断を操作することが確認された。
- 本研究で構築したデータセットとインジェクションフレームワークは,今後の研究を促進するための公開資源として提供される。
5G/6Gネットワーク向け動的ニューラルモデルと敵対的学習を活用した適応型侵入検知システム [cs.CR, cs.LG]目的:5G/6Gネットワークにおける,敵対的学習と動的ニューラルネットワークを活用した侵入検知システムの構築
- 5G/6Gネットワークは社会基盤であり,サイバー攻撃からの保護は不可欠である。
- 従来の侵入検知システムは,未知の攻撃や変化する攻撃に対応できないという課題がある。
- 本研究は,高精度かつ効率的なリアルタイムな脅威検知・対応システムの実現を目指す。
- 敵対的学習と動的ニューラルネットワークを組み合わせることで,データ汚染に対する耐性を強化。
- 従来のモデルと比較して,再学習の頻度を低減し,効率的な学習を実現。
- NSL-KDDデータセットを用いた評価において,82.33%という高い多クラス分類精度を達成。
量子状態検証が効率的かつ安全であることの限界:圏論的アプローチ [quant-ph, cs.CR, math.CT]目的:量子状態検証の効率性と安全性のトレードオフ
- 量子プロトコルの優位性は共有量子状態に由来する。信頼できないソースからの状態検証が重要となる。
- 安全かつ効率的な量子状態検証プロトコルの確立が困難であり,設定によってトレードオフが存在する。
- あらゆる量子状態と検証戦略に対する普遍的なトレードオフの有無を明らかにすること。
- カット&チョーズ型アプローチは,任意の量子状態を検証する際の根本的な限界を持つことが示された。
- 既存のカット&チョーズ技術では,効率性と安全性を両立した量子状態検証プロトコルは実現不可能である。
位相符号化を用いた時間エンタングル量子ブロックチェーン [quant-ph, cs.CR]目的:古典データのための時間エンタングル量子ブロックチェーンの概念化
- 量子コンピュータの進歩により,従来の暗号技術の安全性が脅かされている。
- 従来のブロックチェーンは古典暗号に依存しており,量子コンピュータによる解読の危険性がある。
- 時間エンタングルGHZ状態と量子ハイパーグラフの利点を組み合わせ,安全かつ効率的な量子ブロックチェーンを提案する。
- 提案する量子ブロックチェーンは,時間的なGHZブロックチェーンの絶対的な安全性と,量子ハイパーグラフブロックチェーンのスケーラビリティおよび効率性を兼ね備える。
- 古典暗号に依存しないため,将来の量子コンピュータによる攻撃からブロックチェーンを保護することが期待される。
- 情報理論的な安全性と実用性を両立した,次世代のブロックチェーン技術の実現に貢献する。
- 1
- 2