arXiv雑要約
セキュリティ - 2026/01/30 公開
DevOps-Gym:ソフトウェアDevOpsサイクルにおけるAIエージェントのベンチマーク [cs.SE, cs.AI, cs.CR]目的:ソフトウェアDevOpsサイクルにおけるAIエージェントの評価
- ソフトウェア開発の自動化は,生産性向上と品質確保に不可欠である。
- 既存のベンチマークは限定的な問題に焦点を当て,DevOps環境に対応できていない。
- AIエージェントによるDevOpsサイクルの完全な自動化に向けた課題を明確にすること。
- DevOps-Gymは,ビルド,監視,問題解決,テスト生成を含むDevOpsワークフローを評価するための初の包括的なベンチマークである。
- 評価の結果,最先端モデルはJavaとGoにおける問題解決とテスト生成に苦戦し,監視やビルドといった新しいタスクにも対応できないことが判明した。
- これらの結果は,AIエージェントによるDevOpsサイクルの完全な自動化には更なる研究が必要であることを示唆する。
VoxMorph:潜在表現の分離によるゼロショット音声個人性モルフィング [cs.SD, cs.CR, cs.LG, eess.AS]目的:音声個人性のモルフィング手法
- 生体認証技術の安全性を確保する上で,音声認証システムの脆弱性を理解することが重要である。
- 既存の音声モルフィング技術は計算コストが高く,スケーラビリティに乏しいという課題がある。
- 本研究は,モデルの再学習なしに,少量の音声データから高品質な音声モルフィングを可能にすることを目指す。
- VoxMorphは,プロソディと音色の潜在表現を分離することで,高精度な音声モルフィングを実現した。
- 本手法は,既存手法と比較して,音声品質が2.6倍向上し,知覚度エラーが73%減少した。
- また,厳格なセキュリティ閾値下において,67.8%のモルフィング攻撃成功率を達成し,実用的なスケーラビリティを確立した。
ハードトークンが明かすもの:大規模言語モデルに対するメンバーシップ推論攻撃のための低確信トークンの活用 [cs.CR]目的:大規模言語モデルに対するメンバーシップ推論攻撃
- 大規模言語モデルの普及に伴い,プライバシー保護の重要性が高まっている
- 既存のメンバーシップ推論攻撃は,汎化と暗記の区別が難しく,効果が低い
- 低確信トークンに着目し,メンバーシップのシグナルをより強く捉える
- 提案手法HT-MIAは,トークンレベルの確率改善を比較することで,強力かつロバストなメンバーシップシグナルを分離する。
- 医療データセットと汎用ベンチマークの両方で,7つの最先端のメンバーシップ推論攻撃手法を上回る性能を示した。
- 差分プライバシー学習が,大規模言語モデルにおけるメンバーシップ推論攻撃に対する有効な防御メカニズムとなることを確認した。
感応度を考慮した言語モデルへ [cs.CR]目的:言語モデルにおける機密情報漏洩防止
- 企業データ管理においてLLM利用が増加し,機密情報保護が不可欠となっている。
- 感応度に着目した研究はあるが,プライバシー保護の確立された概念との関連性が不明である。
- 感応度を形式的に定義し,差分プライバシーとの関係を理論的に確立することを目的とする。
- 感応度を考慮したファインチューニングにより,4bit量子化LLMの性能が最大21.7%向上した。
- ファインチューニングされたLLMは,同サイズのオープンソースおよび商用モデルを上回る感応度を実現した。
- 一般的な指示応答,数学的推論,常識推論などの性能も大幅に維持されている。
効率的な多段階脱獄攻撃のための意図と文脈の結合 [cs.CR, cs.AI]目的:大規模言語モデルに対する効率的な多段階脱獄攻撃手法の開発
- 大規模言語モデルの安全性確保は重要であり,悪意のある利用を防ぐ必要がある。
- 既存の手法は文脈構築の非効率性や局所最適化への陥りやすさが課題となっている。
- 意図と文脈の結合に着目し,効率的な攻撃手法を確立することでこの課題を解決する。
- 本研究では,悪意のある意図と意味的に合致する文脈パターンを組み合わせることで,言語モデルの安全制約が緩和される現象を明らかにした。
- 提案手法ICONは,事前知識に基づいた意味的ルーティングにより,権威あるスタイルの文脈を効率的に構築し,禁止されたコンテンツを生成する。
- 8つの最先端言語モデルを用いた実験により,ICONが平均攻撃成功率97.1%を達成し,最先端の性能を示すことが示された。
悪意のあるクライアントに対するロバストな連合学習:損失トレンド偏差検出による [cs.CR]目的:悪意のあるクライアントからの攻撃に対する連合学習のロバスト性の向上
- データプライバシー保護が重要視される中,分散環境での機械学習へのニーズが高まっている。
- 連合学習は悪意のあるクライアントによる攻撃に脆弱であり,モデル性能低下や信頼性低下を招く可能性がある。
- 損失トレンドの監視により,勾配検査や複雑な計算を回避し,軽量かつプライバシー保護に優れた防御を実現する。
- 提案手法FL-LTDは,損失トレンドを監視することで異常なクライアントを検出し,悪意のある行動を軽減する。
- 非IIDなMNISTデータセットを用いた実験で,FL-LTDは標準的なFedAvgと比較して,攻撃下でのテスト精度を0.84から0.41へと大幅に向上させた。
- FL-LTDは計算・通信オーバーヘッドが少なく,安定した収束を維持し,機密データへのアクセスを回避する。
FIPS 204互換の閾値ML-DSA:マスクされたラグランジュ再構成による実現 [cs.CR]目的:FIPS 204に準拠した任意の閾値Tを持つML-DSAの実現
- デジタル署名技術は,情報の真正性と完全性を保証する上で不可欠である。
- 既存の閾値型ML-DSAは,閾値の制限や,高い計算コストなどの課題を抱えている。
- 本研究は,これらの課題を克服し,実用的な閾値型ML-DSAを構築することを目的とする。
- マスクされたラグランジュ再構成により,標準的な3.3KBの署名を生成し,FIPS 204の実装で検証可能となった。
- TEE支援型,完全分散型,2PC支援型の3つの展開プロファイルで本手法を実装し,セキュリティ証明を提示した。
- 単一署名ML-DSAと同等の成功率(23-32%)を達成し,実用的な性能を示した。
サプライチェーンセキュリティのための研究ソフトウェアの運用化 [cs.SE, cs.CR]目的:研究ソフトウェアのサプライチェーンセキュリティに関する研究の範囲と境界を明確化する分類体系
- サプライチェーンセキュリティは,現代社会におけるシステム全体の安全性に不可欠である。
- 研究ソフトウェアの定義が曖昧で,研究間の比較が困難になっている。
- 研究ソフトウェアサプライチェーンのセキュリティリスクを考慮した分類体系を確立し,セキュリティ評価の精度向上を目指す。
- 既存の研究をレビューし,その定義,包含基準,分析単位,識別ヒューリスティックを抽出した。
- 抽出結果を統合し,統一された分類体系とマッピングを構築した。
- Research Software Encyclopedia のデータセットに対し,構築した分類体系を適用し,セキュリティ分析を行った結果,分類に応じたセキュリティシグナルの違いが確認された。
ブランドはスミッシングについて何を伝えているか:業界横断的な顧客ガイダンス評価 [cs.CR, cs.HC]目的:顧客に対するスミッシング(SMSによるフィッシング詐欺)に関するガイダンスの現状
- デジタル化の進展に伴い,スミッシング攻撃が増加しており,消費者保護が重要である。
- スミッシングに関する情報提供はブランドによって質・量にばらつきがあり,十分な対策が講じられていない。
- スミッシング対策に関する業界全体の標準化と,効果的な顧客教育を促進すること。
- 調査の結果,149の主要ブランドのうち,スミッシングの定義に言及しているのは46%に過ぎなかった。
- スミッシングに関するビデオチュートリアルを提供しているブランドは1%未満であり,報告方法を記載しているブランドも50%にとどまる。
- 業界によって用語,予防策,報告メカニズムにばらつきがあり,効果のない戦略を推奨するブランドも存在する。
Llama-3.1-FoundationAI-セキュリティLLM-推論-8B 技術レポート [cs.AI, cs.CR, cs.LG]目的:サイバーセキュリティのための最初のオープンソースネイティブ推論モデル
- サイバーセキュリティは,現代社会における情報資産の保護に不可欠であり,その重要性は増している。
- 既存のサイバーセキュリティモデルは,規模が大きく,特定領域への特化が不十分な場合がある。
- 特定領域に特化した推論能力を持つモデルを開発し,効率的かつ効果的なセキュリティ対策を実現する。
- 本研究で開発されたFoundation-Sec-8B-Reasoningは,大規模モデルと同等のサイバーセキュリティタスク性能を示す。
- マルチホップ推論タスクにおいて優れた汎化能力と,適切なシステムプロンプトとガードレールを用いた際の高い安全性も確認された。
- ドメイン特化型推論モデルが,特定のタスクで高い性能を発揮しつつ,広範な汎用能力を維持できることを実証した。
BadDet+: 物体検出に対する堅牢なバックドア攻撃 [cs.CV, cs.CR]目的:物体検出に対するバックドア攻撃の頑健性向上
- 深層学習の応用範囲拡大に伴い,セキュリティ上の脅威が重要視されている。
- 物体検出におけるバックドア攻撃の影響は,画像分類と比較して十分に理解されていない。
- 既存手法の非現実的な仮定や物理的な検証不足を解消し,現実的な攻撃手法を確立する。
- BadDet+は,RMAとODAを統合したペナルティベースのフレームワークであり,位置とスケール不変性を実現する。
- 実世界のベンチマークにおいて,既存手法と比較して,合成データから物理世界への転送性能が向上する。
- 理論的分析により,提案するペナルティがトリガーに特化した特徴空間内で機能し,標準的な推論を損なわずに攻撃を誘発することが確認された。
分散型LLM推論ネットワークのための適応的・堅牢なコストを考慮した品質証明 [cs.RO, cs.CR, cs.AI]目的:分散型LLM推論ネットワークにおける高品質な出力に対する報酬メカニズム
- LLMの分散推論は,計算資源の民主化とスケーラビリティ向上に不可欠である。
- 評価者の異質性や悪意のある操作により,コンセンサスが歪み,報酬の公平性が損なわれる。
- 評価者の信頼性を高め,悪意のある攻撃に対する堅牢性を確保する。
- ロバストな集約規則(中央値,トリム平均)と適応的な信頼度加重コンセンサスが有効であることが示された。
- 評価者間の信頼性のばらつきと,タスク依存的な相関関係の反転が確認された。
- 攻撃戦略に対する耐性評価により,ロバストな集約が単純平均よりもコンセンサスと精度を向上させることが示された。
SPOILER-GUARD:メモリアクセスにおけるランダム化された依存関係予測を通じたレイテンシ影響の抑制 [cs.CR]目的:投機的実行攻撃に対する脆弱性の軽減
- 現代のマイクロプロセッサは投機的実行に依存しており,セキュリティ上の脅威が存在する。
- 既存の防御策はデータ漏洩に焦点を当て,アドレスエイリアシングによる誤った依存関係が無視されている。
- SPOILER攻撃によって悪用されるレイテンシ増加を抑制すること。
- SPOILER-GUARDは,ロード・ストア比較に使用される物理アドレスビットを動的にランダム化することで,投機的依存関係解決を隠蔽する。
- gem5による評価では,誤推測が0.0004%に低減され,整数および浮動小数点性能がそれぞれ2.12%と2.87%向上した。
- 14nmノードでのHDL合成では,クリティカルパスの遅延が69ps,面積が0.064平方ミリメートル,消費電力が5.863mWと,オーバーヘッドは最小限に抑えられた。
拡散モデルの内在的モデルフィンガープリントによるロスレスな著作権保護 [cs.RO, cs.CR, cs.CV]目的:拡散モデルの著作権検証
- 拡散モデルは高性能な知的財産であり,その保護が重要である。
- 既存手法は性能劣化やブラックボックスAPIとの非互換性といった課題がある。
- 決定論的生成時の多様体フィンガープリントを用いて,ロスレスな著作権保護を実現する。
- 提案手法TrajPrintは,ウォーターマーク画像から生成経路を追跡し,モデルのフィンガープリントを特定する。
- 二重端アンカリングによる最適化戦略により,堅牢なウォーターマーク復元を可能にする。
- ブラックボックスAPI環境下において,ロスレスな検証と高い頑健性を実現した。
東南アジアにおける銀行アプリのアクセシビリティ悪用脆弱性を検出するための仮想化ベースの侵入テスト研究 [cs.CL, cs.CR, cs.SE]目的:銀行アプリにおけるアクセシビリティ悪用脆弱性の検出
- モバイルバンキングの普及に伴い,金融データの安全確保が重要課題となっている。
- 悪意のあるアクセシビリティサービスを悪用した攻撃が,既存のセキュリティ対策を回避し得る。
- 仮想化技術を用いた攻撃に対する銀行アプリの脆弱性を明らかにし,対策を提案する。
- 本研究では,東南アジアの銀行アプリがFjordPhantomと呼ばれるマルウェアに対して脆弱であることを実証した。
- 現在の保護対策の有効性を分析し,その限界を明らかにした。
- 脆弱性の特定と軽減策の提案を通じて,今後の攻撃検出・防御に貢献する。
ユーザー中心のフィッシング検出:RAGとLLMに基づくアプローチ [cs.CR]目的:フィッシングメール検出のためのRAGとLLMの統合フレームワーク
- フィッシング詐欺は巧妙化の一途を辿っており,ユーザーへの脅威が増大している。
- 従来の検出手法では誤検知が多く,運用上の負担が大きいという課題がある。
- ユーザーの過去メールと脅威インテリジェンスを活用し,誤検知を抑制することを目指す。
- RAGをLLMと組み合わせることで,高い検出性能と誤検知の削減が確認された。
- Llama4-ScoutはF1スコア0.9703を達成し,RAGにより誤検知を66.7%削減した。
- ユーザープロファイリングに基づくRAGアプローチは,高精度で実用的なメールセキュリティシステム構築に有効である。
ゼロ回転へ向けて:準同型暗号を用いた高速安全推論のためのニューラルネットワーク設計 [cs.DC, cs.DB, cs.CR]目的:準同型暗号を用いた高速安全推論に適したニューラルネットワークのアーキテクチャ
- 機械学習サービスにおけるプライバシー保護は重要であり,特にクラウド環境でのデータ利用において不可欠である。
- 準同型暗号は計算コストが高く,実用化の大きな障壁となっている。既存の手法では効率向上が限定的である。
- 準同型暗号に特化したニューラルネットワークアーキテクチャを設計し,計算コストを大幅に削減することを目指す。
- 提案手法StriaNetは,ImageNet, Tiny ImageNet, CIFAR-10において,それぞれ9.78倍,6.01倍,9.24倍の推論速度向上を達成した。
- StriaBlockは,コストのかかる回転演算を削減するため,ExRot-Free ConvolutionとCross Kernelを導入し,内部回転を大幅に削減した。
- Focused Constraint PrincipleとChannel Packing-Aware Scaling Principleにより,ネットワーク全体の準同型暗号のコストをバランス良く制御した。
SecIC3:ハードウェアセキュリティ検証のためのIC3のカスタマイズ [cs.CR]目的:ハードウェアセキュリティ特性検証のための形式検証
- 近年,ハードウェアの脆弱性から機密情報を守る重要性が増しているため,セキュリティ検証のニーズは高い。
- 既存の検証手法では,秘密情報の漏洩や改ざんを効率的に検出することが困難である。
- 秘密情報と観測可能な出力間の情報フローを検証し,セキュリティ証明の高速化を目指す。
- 提案手法SecIC3は,IC3に基づき,自己合成構造を活かしたハードウェアモデル検査アルゴリズムである。
- 自己合成構造の対称的な状態探索と等価性述語の追加により,検証効率が向上する。
- 10のデザインを対象とした実験の結果,SecIC3は最長49.3倍の証明速度向上を達成した。
ルーティングガード:LLMルーティングにおける敵対的リスクの理解と軽減 [cs.CR]目的:LLMルーティングに対する敵対的リスクの理解と軽減
- マルチモーダルAIシステムの効率化に不可欠であり,応答品質を維持しつつ計算コストを削減する。
- LLMルーターは分類器であるため,敵対的なトリガーによるルーティング操作攻撃に対して脆弱である。
- ルーティング操作攻撃によるコスト増大,品質低下,安全対策の回避といったリスクを軽減すること。
- 既存のルーティングシステムは,特にコスト増大を目的としたルーティング攻撃に対して脆弱であることが判明した。
- RerouteGuardは,動的な埋め込みベースの検出と適応的閾値処理により,敵対的なルーティングプロンプトをフィルタリングする。
- RerouteGuardは,最先端のルーティング攻撃に対して99%以上の検出精度を達成し,正当なクエリへの影響を無視できるレベルに抑える。
大規模ビジョン言語モデルにおける視覚トークン圧縮下での敵対的頑健性 [cs.CR, cs.AI, cs.CV]目的:大規模ビジョン言語モデルの視覚トークン圧縮下での敵対的頑健性の評価
- 大規模ビジョン言語モデルは強力だが,計算コストが高い。効率化のため,視覚トークン圧縮が広く用いられている。
- 従来の攻撃手法では,圧縮による影響を考慮せず,モデルの頑健性を過大評価する可能性がある。
- 圧縮過程を考慮した攻撃手法を開発し,より正確な頑健性評価を実現すること。
- 既存の攻撃手法では,圧縮後のモデルの頑健性を過大評価することが示された。
- 圧縮過程を考慮した新たな攻撃手法CAGEを提案し,圧縮下での頑健性をより正確に評価できることを示した。
- CAGEは,既存手法と比較して,より低い頑健精度を達成し,圧縮を無視した評価の危険性を示唆した。
ICL-EVADER:文脈内学習に対するゼロクエリのブラックボックス回避攻撃とその防御 [cs.AR, cs.ET, cs.CR]目的:文脈内学習における敵対的脅威に対する脆弱性の評価と,その防御策の提案
- 大規模言語モデルの文脈内学習は,データ効率の良いテキスト分類手法として注目されている。
- 文脈内学習の現実的な敵対的脅威に対する堅牢性は,十分に検討されていない。
- モデルへのアクセスなしで,文脈内学習を回避する攻撃手法を開発し,その防御策を検討する。
- 本研究で提案するICL-Evaderは,パラメータや勾配へのアクセスなしに,高い攻撃成功率(最大95.3%)を達成する。
- 従来の自然言語処理攻撃は,同様の制約下では効果がないことが示された。
- 提案する防御策の組み合わせにより,全ての攻撃を緩和しつつ,精度低下を最小限(5%未満)に抑えることが可能となった。
拡散モデルにおける初期ノイズを用いたメンバーシップ推論攻撃:ノイズをプローブとして [cs.CR, cs.LG]目的:拡散モデルに対するプライバシーリスクの評価
- 画像生成AIの普及に伴い,プライバシー保護の重要性が高まっている。
- ファインチューニングされた拡散モデルは,学習データに依存するため,プライバシー漏洩のリスクがある。
- 拡散モデルの初期ノイズに潜在する情報を利用し,メンバーシップ推論攻撃による脆弱性を明らかにする。
- 拡散モデルの初期ノイズには,完全に除去されていない意味情報が残存することが示された。
- この残存する意味情報と元の画像との間に相関関係が存在することが確認された。
- 初期ノイズに意味情報を注入することで,高精度なメンバーシップ推論が可能であることが示された。
行列メカニズムにおけるランダム割り当てに対するサンプリング不要なプライバシー会計 [cs.LG, cs.CR, stat.ML]目的:行列分解を用いた差分プライバシーに基づくモデル訓練におけるプライバシー増強
- プライバシー保護技術は,個人情報を含むデータ分析において不可欠であり,データ利活用とプライバシー保護の両立が求められている。
- 従来のプライバシー会計手法は,計算コストが高い場合や,小さなδに対する精度が低いといった課題が存在する。
- ランダム割り当てを用いた差分プライバシー保護のプライバシーパラメータを,効率的にかつ正確に評価すること。
- 本研究では,Rényiダイバージェンスと条件付き合成に基づき,サンプリングを必要としないプライバシー境界を開発した。
- 提案手法は,動的計画法を用いて効率的に境界を計算し,特に小さなεに対してより強いプライバシー保証を提供する。
- 数値実験の結果,本手法は幅広い行列メカニズムにおいて有効であることが示された。
宇宙テレメトリのための認証暗号化 [cs.CR, cs.NI, cs.SY, eess.SY]目的:宇宙テレメトリにおける認証暗号化の実現
- 宇宙環境は過酷であり,通信の安全性確保は不可欠である。データ改ざんや盗聴を防ぐ必要がある。
- 限られた計算資源環境下での高性能なセキュリティ対策は課題である。既存手法は複雑で非効率な場合が多い。
- 緊急時の宇宙テレメトリにおいて,安全性を担保しつつ,運用上の制約を満たす暗号化方式を提案する。
- 提案する軽量認証暗号化は,NASA-STD-1006Aのコマンドスタック保護要件を満たす。
- 固定長メッセージ生成により,既存のデータ伝送プロトコルとの互換性を維持する。
- 機密性,完全性,真正性を保護し,セキュリティと運用上の制約のバランスを取る。
オープンワールドにおけるインクリメンタルフィンガープリンティング [cs.MM, cs.CL, physics.data-an, eess.SY, cs.SY, cs.CR, cs.LO]目的:ネットワークプロトコルの実装識別手法
- ネットワークセキュリティにおいて,プロトコル識別の重要性は高まっている。
- 従来のフィンガープリンティングは,全ての実装モデルを事前に把握している前提で動作する。
- 未知の実装に対する誤分類を減らし,正確なプロトコル識別を可能にすること。
- 本研究では,アクティブオートマト学習とクローズドワールドフィンガープリンティングを組み合わせた手法を提案。
- 提案手法は,既存モデルとのマッチングを迅速に行い,マッチしない場合は新たなモデルを学習する。
- 実験結果から,誤分類の削減とブラックボックスとのインタラクションの低減が確認された。
FIT:継続的LLMアンラーニングにおける破滅的忘却への抵抗 [cs.CL, cs.AI, cs.CR, cs.LG]目的:継続的なLLMアンラーニングの課題に対する解決策
- LLMは多様なタスクで高い能力を示す一方,プライバシーや著作権の問題が懸念される。
- 既存のアンラーニング手法は,大量の削除要求への対応と,それによる性能劣化を考慮していない。
- 本研究は,破滅的忘却と性能回復を防ぎながら,大量の削除要求に対応するフレームワークを提案する。
- 提案手法\fitは,厳格なフィルタリング,重要度を考慮した更新,ターゲット層の帰属付けにより,性能劣化を軽減する。
- 評価ベンチマーク\textbf{PCH}を用いて,個人情報,著作権,有害コンテンツの順次削除シナリオで\fitの有効性を検証した。
- \fitは,既存手法を上回り,MMLU,CommonsenseQA,GSM8K等のタスクで高い性能を維持し,再学習や量子化攻撃にも耐性がある。
WADBERT:BERTモデルに基づくデュアルチャネルWeb攻撃検知 [cs.CR]目的:Webアプリケーションのセキュリティ確保のためのWeb攻撃検知手法
- Webアプリケーションは攻撃の標的となりやすく,検知技術はセキュリティの根幹である。
- 従来の検知手法では,不規則なHTTPリクエストの埋め込みが不十分で,攻撃の追跡が困難である。
- HTTPリクエストのURLとペイロードのパラメータを正確に識別し,高精度な検知を実現すること。
- 提案手法WADBERTは,CSIC2010データセットでF1スコア99.63%を達成し,既存手法を大幅に上回る。
- WADBERTは,Hybrid Granularity Embedding(HGE)とBERTモデルを組み合わせることで,URLとペイロードの特徴を効果的に抽出する。
- パラメータレベルの特徴を多頭アテンション機構で融合し,包括的なペイロード特徴を獲得する。
スケーリングに敏感な損失地形を通じてモデルを結合不可能にする [cs.AI, cs.CR]目的:モデル結合の不正利用を防ぐための保護フレームワーク
- モデルハブの普及により再利用可能なモデル部品へのアクセスが容易になり,モデルの活用範囲が広がっている。
- モデルのモジュール性ゆえに,安全対策やライセンス条項を回避する不正なモデルの再構成が可能となる問題がある。
- 様々なアーキテクチャやリリース形式に対して,一貫した保護を提供するフレームワークを開発すること。
- 本研究では,\textsc{Trap}$^{2}$というアーキテクチャに依存しない保護フレームワークを提案する。
- このフレームワークは,ファインチューニング時の更新に保護機能を組み込み,モデルの結合時に重みをスケーリングすることで不正利用を抑制する。
- 単独での使用においてはモデルの有効性を維持しつつ,モデル結合における重みの再スケーリングによって性能を低下させる。
ハードウェアトリガー型バックドア [cs.LG, cs.CR]目的:機械学習モデルにおけるハードウェアトリガー型バックドアの作成と対策
- 機械学習モデルの利用が拡大する中で,ハードウェアの信頼性確保が重要となる。
- ハードウェアの設計差による数値誤差が,セキュリティ上の脆弱性となりうる。
- 異なるハードウェアで予測を操作する新たな攻撃手法への対策を提示する。
- 本研究では,ハードウェアの数値的な差異を利用し,同じ入力に対して異なる予測を出力するバックドアを作成できることを示した。
- このバックドアは,決定境界を特定の入力に近づけ,ハードウェアごとの数値偏差を調整することで実現可能である。
- 一般的なGPU環境でバックドアの作成が実証され,第三者モデル利用における新たな攻撃リスクが示唆された。
有限バリアント特性を超えて:記号的Diffie-Hellman群モデルの拡張 (拡張版) [cs.CR]目的:Diffie-Hellman群におけるプロトコル検証の拡張
- 暗号プロトコルにおいてDiffie-Hellman群は広く利用され,その安全性は極めて重要である。
- 従来の検証ツールでは,Diffie-Hellman群の全ての演算(特に指数加算)を扱えず,検証に限界があった。
- Diffie-Hellman群の全演算を近似的に扱い,半決定的手続きによるプロトコル検証を可能にすること。
- Tamarinプロバーを拡張し,Diffie-Hellman群の全ての演算をサポートする初のツールを実装した。
- ElGamal暗号の安全性証明と,MQVに対する既知の攻撃の再現に成功した。
- 本手法は,より複雑なプロトコルの検証にも応用できる可能性を示唆している。
サイバー物理システムバスにおける安全なグループ鍵合意 [cs.HC, cs.CR]目的:サイバー物理システムバスにおけるグループ鍵合意の実現
- サイバー物理システムは,通信の安全性確保が不可欠であり,グループ共有鍵が重要な役割を担う。
- 既存の鍵合意プロトコルは,制約の厳しいサイバー物理システムバスへの適応性に欠ける。
- 本研究は,工業用およびサイバー物理システムの制約下でのバス型トポロジに適した鍵合意プロトコルを設計する。
- 既存のプロトコルを体系化し,バスシステムにおける安全な分散型グループ鍵合意の必要条件を導出した。
- TreeKEMに基づいたカスタム鍵合意プロトコルを設計,実装,評価した。
- このプロトコルは,ブロードキャストのみのリンク,半二重通信,リソース制限,動的なメンバーシップ,長期デバイス寿命,強力な攻撃者への対応が可能である。
StepShield:逸脱エージェントへの介入時期:介入の有無ではない [cs.LG, cs.AI, cs.CR, cs.SE]目的:エージェントの逸脱検出時期の評価
- AIエージェントの安全性確保は,社会実装において不可欠であり,その評価基準の重要性が増している。
- 既存の安全性評価は,単に逸脱の有無を測るのみで,早期介入の可能性を考慮していない。
- 本研究は,逸脱検出の「時期」を評価することで,より実用的な安全性評価基準を確立することを目的とする。
- StepShieldは,9,213件のコードエージェントの軌跡データセットであり,リアルな逸脱率8.1%を含む。
- LLMベースの判定器は,静的解析器と比較して2.3倍高い早期介入率(59%)を示し,標準的な精度指標では見過ごされる差を明らかにした。
- 早期検出は経済的利益をもたらし,HybridGuard検出器は監視コストを75%削減し,5年間で1億800万ドルの累積節約が見込まれる。
RedSage:サイバーセキュリティ汎用LLM [cs.CR, cs.AI, cs.CL]目的:サイバーセキュリティ業務を支援するLLMの開発
- サイバー攻撃の高度化に伴い,セキュリティ専門家の負担が増大しているため,AIによる支援が不可欠である。
- 既存のLLMは,プライバシーリスクやドメイン適応の欠如といった課題を抱えている。
- セキュリティに配慮しつつ,専門知識を備えたLLMを開発することで,セキュリティ業務の効率化を目指す。
- RedSageは,サイバーセキュリティに特化したデータで事前学習と後学習を行い,高い専門性を獲得した。
- RedSage-Benchを用いて評価した結果,既存モデルを最大+5.59ポイント上回る性能を示した。
- ドメイン知識の強化に加え,一般的な推論能力や指示追従性も向上していることが確認された。
AI 部品表(AI BOM)の作成:SPDX 3.0 を活用した包括的ガイド [cs.SE, cs.AI, cs.CR]目的:AI およびデータセット部品表の作成
- ソフトウェアサプライチェーンの透明性とセキュリティ確保が重要視されている。
- AI プロジェクト特有の課題に対応できる部品表の定義が不足している。
- AI 開発における透明性,セキュリティ,コンプライアンスを向上させる。
- 本研究では,AI BOM の概念を提案し,従来の SBOM を拡張した。
- AI BOM は,アルゴリズム,データ収集方法,ライセンス情報などを包含する。
- これにより,AI プロジェクトの信頼性と安全性を高めることが期待される。
QCL-IDS:忠実度アンカー安定化と生成リプレイによる量子継続学習を用いた侵入検知 [eess.SP, cs.SY, eess.SY, quant-ph, cs.CR]目的:侵入検知における継続学習
- サイバー攻撃は多様化・高度化しており,継続的な検知能力の向上が不可欠である。
- 過去の攻撃パターンを忘却せずに,新しい攻撃に対応することが課題である。
- 限られた計算資源とプライバシー保護の制約下で,効率的な継続学習を実現することを目指す。
- QCL-IDSは,量子コンピューティングを活用し,安定性とプライバシー保護を両立する継続学習フレームワークである。
- UNSW-NB15およびCICIDS2017データセットにおいて,QCL-IDSは既存手法よりも高い検知精度と低い忘却率を達成した。
- 特に,勾配アンカー構成では,UNSW-NB15で平均Attack-F1=0.941,忘却=0.005,CICIDS2017で平均Attack-F1=0.944,忘却=0.004を記録した。
OD-Stega:最適化された分布に基づくLLMを用いた比較的高セキュリティなステガノグラフィ [cs.IT, cs.AI, cs.CL, cs.CR, cs.LG, math.IT]目的:LLMを用いたテキスト埋め込みによるステガノグラフィ手法
- 情報セキュリティにおいて,秘密情報を隠蔽する技術は重要な課題である。
- 従来のステガノグラフィは,埋め込み容量や自然さの点で課題が残されている。
- LLMの性質を利用し,より効率的かつ自然なステガノグラフィを実現する。
- 提案手法は,次に来るトークンの生成確率分布の最適化により,少ないトークン数で秘密情報を埋め込むことを可能にした。
- KLダイバージェンスまたは全変動制約下での解析解を提供し,実用的な課題への対応を示した。
- トークン化の不一致問題の解決や,既存のステガノグラフィ技術との組み合わせも検討された。
Seldom:選択的非匿名化を備えた匿名ネットワーク [cs.CR, cs.NI]目的:匿名ネットワークにおける犯罪活動の抑止
- 匿名性は社会にとって重要な権利だが,犯罪利用も横行している。
- 匿名ネットワークの犯罪利用が,善良な市民の利用を妨げている。
- 犯罪抑止とプライバシー保護を両立する仕組みの構築を試みる。
- Seldomは,Torを基盤とした選択的非匿名化機能を持つ匿名ネットワークである。
- 法執行機関は,誤用防止の技術的保証のもとで,問題のある利用者の匿名IDに限定的にアクセスできる。
- アクセス要求は中立的なコンソーシアムの承認を得て公開されるため,透明性が確保される。
FairDAG:マルチプロポーザー型因果設計における合意形成の公平性 [cs.IR, cs.CL, cs.DB, cs.CR]目的:トランザクション順序操作による不正攻撃からの保護
- 暗号通貨の普及に伴い,ブロックチェーン技術が注目を集めている。
- 取引順序の操作を通じたフロントランニング等の不正攻撃が存在する。
- DAGベースのコンセンサスプロトコル上で公平性を実現するフレームワークを提案する。
- FairDAGは,既存の公平性プロトコルと比較して,スループットと公平性の両面で性能が向上する。
- マルチプロポーザー設計とDAGベースコンセンサスの有効性活用が性能向上に貢献する。
- FairDAG-ABおよびFairDAG-RLの2つのバリアントについて詳細な評価を行った。
単変量Sumcheckに関する注釈 [cs.CR]目的:単変量Sumcheckの検討
- 暗号におけるゼロ知識証明の効率化は,その実用化のために不可欠である。
- 既存のSumcheckプロトコルは,計算コストが高く,スケーラビリティに課題がある。
- 効率的な単変量Sumcheckプロトコルの構築により,証明時間の短縮を目指す。
- 根の単位上での単変量Sumcheckについて,2つの候補となるアプローチが提示された。
- 一方の手法は多重線形評価プロトコルであり,標準的な多変量Sumcheckと組み合わせが可能である。
- もう一方の手法は単変量Sumcheckから多重線形評価への直接的な帰着であり,Geminiと組み合わせられる。
オープンソースソフトウェアサプライチェーンにおけるアクター評価指標システムの展望:ARMS [cs.CR, cs.SE]目的:オープンソースソフトウェアサプライチェーンにおけるアクターのセキュリティ評価指標
- 現代社会の基盤である情報システムは,オープンソースソフトウェアに依存している。
- 外部からの貢献者のセキュリティリスク評価は困難であり,脆弱性の温床となりうる。
- 貢献者のセキュリティ評判を評価する指標体系を確立し,サプライチェーンの安全性を高める。
- 本研究では,アクター評価指標システム(ARMS)の実現に向け,業界標準に基づく7つのセキュリティ信号を特定した。
- 既存研究やセキュリティツールから具体的な指標を抽出し,ARMSの有用性を検証するための研究設計を提案した。
- ARMSの導入による利点と課題を検討し,オープンソースエコシステムへの組み込み可能性を評価した。
拡散モデルにおける周波数領域からのメンバーシップ推論攻撃の強化 [cs.HC, cs.CY, cs.CR, cs.LG]目的:拡散モデルに対するメンバーシップ推論攻撃の性能向上
- 拡散モデルの生成能力は高いが,プライバシーや著作権侵害のリスクが懸念されている
- 既存のメンバーシップ推論攻撃は,高周波情報の処理における拡散モデルの欠点を考慮していない
- 高周波フィルタモジュールを導入し,メンバーシップ推論攻撃の識別能力を向上させる
- 拡散モデルが高周波情報を処理する際の欠点により,メンバーデータとホールドアウトデータの誤分類が生じることが示された
- 提案手法は,既存の攻撃に組み込むことで,様々なデータセットとモデルにおいて性能を大幅に向上させる
- 本研究は,メンバーシップ推論攻撃における高周波情報の重要性を示し,プライバシー保護への貢献が期待される
誤報,現実の損害:テキストベースのサイバー脅威インテリジェンスシステムに対するLLMベースのモデルを用いた敵対的攻撃 [cs.CL, cs.CR, cs.AI, cs.LG]目的:サイバー脅威インテリジェンスシステムにおける敵対的攻撃の影響評価
- サイバー攻撃の巧妙化に対応するため,脅威情報の早期把握と分析が不可欠である。
- 自動化されたシステムはテキスト情報に依存するため,悪意のある入力に対する脆弱性が存在する。
- テキスト生成技術を悪用した攻撃による,システム誤作動と情報操作を防ぐことを目指す。
- 敵対的テキスト生成により,分類器を誤らせ,システムのパフォーマンスを低下させることが示された。
- 特に,回避攻撃が重要であり,水増し攻撃や情報汚染攻撃の前段階となることが明らかになった。
- オープンソース情報を取り扱うシステム全体の脆弱性について,攻撃手法と影響を分析した。
広告がプロファイルとなる時:LLMを用いた大規模ウェブ広告における見えないリスクの解明 [cs.HC, cs.AI, cs.CR, cs.CY]目的:ウェブ広告から個人属性を推測する手法の検討
- ウェブ広告は多くのユーザーにリーチするため,プライバシー侵害のリスクが常に存在する。
- 明確なターゲティング規制があるにも関わらず,アルゴリズムによるプロファイリングは残存している。
- LLMを用いて,ウェブ広告の表示履歴から個人属性をいかに正確に推測できるかを検証する。
- オフザシェルフのLLMが,個人の党派性,雇用状況,教育レベルなどの複雑な属性を高精度に再構築できることが示された。
- 本手法は,国勢調査データや人間の社会的認識よりも高い精度で,低コストかつ迅速に個人属性を推測することが可能である。
- 短い期間の広告観察だけでもプロファイリングが可能であり,長期間のトラッキングは必須ではないことが明らかになった。
バイアス反転によるLLMウォーターマーク回避 [cs.CR, cs.AI]目的:LLM生成コンテンツ検出のためのウォーターマーク回避手法
- LLMの普及に伴い,生成された文章の真偽性の確認が重要になっている。
- 既存のウォーターマークは,クエリなし(ブラックボックス)環境下での回避攻撃に弱い。
- 文意を損なわずに,ウォーターマーク回避の成功率を高めることを目指す。
- 本研究では,書き換えベースの回避攻撃が,特定のトークンの出現確率をわずかに減少させるだけで検出確率を指数関数的に低下させることを理論的に示した。
- 提案手法BIRAは,トークンの驚き度を利用して抑制セットを特定し,負のロジットバイアスを適用することで,高い回避率(>99%)を達成した。
- BIRAは既存手法と比較して,文意の保持性能が大幅に向上している。現在のウォーターマーク手法の脆弱性が明らかになった。
SafeSearch:LLMベース検索エージェントの自動敵対的テスト [cs.AI, cs.CL, cs.CR]目的:LLMベース検索エージェントの安全性評価
- LLMとインターネットを接続し,最新情報を活用する検索エージェントの重要性が高まっている。
- 検索結果の信頼性不足が,エージェントによる有害な出力の生成リスクとなる。
- 検索エージェントの安全性評価を自動化し,脆弱性を明らかにすること。
- SafeSearchフレームワークを開発し,スケーラブルかつ低コストで検索エージェントの安全性を評価した。
- 300件のテストケースで17のLLMを評価した結果,GPT-4.1-miniでは最大90.5%の攻撃成功率(ASR)が確認された。
- 一般的な防御策であるリマインダープロンプティングは,限定的な保護効果しか提供しないことが示された。
動的な標的攻撃 [cs.CR, cs.AI]目的:大規模言語モデルに対する敵対的プロンプトの最適化手法
- 大規模言語モデルの安全性評価は,その社会実装において不可欠である。
- 従来の攻撃手法は,出力分布の確率が低い標的に依存し,最適化に時間がかかる。
- 言語モデル自身の応答を標的に利用し,効率的な攻撃を実現する。
- 提案手法(DTA)は,白色箱環境下で87%以上の攻撃成功率を200回の最適化で達成した。
- DTAは,既存の最先端手法と比較して,攻撃成功率が15%以上向上し,実行時間を2〜26倍削減した。
- 黒箱環境下では,DTAは代理モデルを利用し,77.5%の平均攻撃成功率を示した。
標的を持たない脱獄攻撃 [cs.CR, cs.AI]目的:大規模言語モデルの安全性確率を最大化する脱獄攻撃手法
- 大規模言語モデルの安全性は重要であり,その脆弱性を評価する必要がある。
- 既存の脱獄攻撃は,特定の応答を誘導するため探索空間が制限されている。
- 標的を制限しないことで,より柔軟かつ効率的な脆弱性探索を目指す。
- 本研究で提案するUJAは,標的を定めないことで探索空間を大幅に拡大した。
- UJAは,最新の安全対策済み大規模言語モデルに対して80%以上の攻撃成功率を達成した。
- UJAは,最先端の勾配ベース攻撃よりも30%以上高い性能を示した。
意味的ルーター:単一の敵対的摂動によるMLLMの乗っ取り可能性について [cs.RO, cs.CV, cs.AI, cs.CR]目的:マルチモーダル大規模言語モデルの乗っ取り可能性
- 自動運転やロボット工学など,MLLMの利用が拡大しており,安全性確保が重要である。
- MLLMは入力に対する脆弱性が指摘されているが,複数の決定を同時に操作する攻撃は未解明である。
- 単一の摂動でMLLMの複数決定を操作し,安全性への脅威を明らかにすること。
- 本研究では,意味を認識し,攻撃者が定義したターゲットへ入力信号を誘導する「意味的ルーター」の実現可能性を示した。
- 潜在空間の幾何学的特性の分析に基づき,「SORT」最適化戦略と詳細な意味的注釈付きデータセットを提案した。
- Qwenに対して,5つのターゲットに対し単一フレームで66%の攻撃成功率を達成し,攻撃の根本的な実行可能性を実証した。
語彙に潜むトロイの木馬:LLM合成の巧妙な妨害 [cs.LG, cs.CL, cs.CR]目的:LLM合成における語彙移植時の脆弱性
- LLMの能力拡張には多様なモデルの組み合わせが不可欠であり,その基盤技術として語彙の互換性が重要である。
- 異なるモデルの語彙を統合する際に,悪意のあるトークンが混入するリスクが潜在している。
- 語彙移植プロセスにおける脆弱性を利用し,ベースモデルの生成を妨害する手法を開発する。
- 本研究では,ドナーモデルでは無害なトークンが,移植後にベースモデルで悪意のある特徴として再構成される攻撃を実証した。
- この攻撃は,トレーニングを必要とせず,外れ値検出を回避し,ファインチューニングや重みマージに対する耐性を示す。
- モジュール型AI合成パイプラインに隠れたリスクが存在することが明らかになった。
スマートグリッド保護リレーに対するサイバー攻撃検出のための大規模言語モデル [cs.CR, cs.LG, eess.SP]目的:変圧器差動リレーのサイバー攻撃検出
- 電力システムは重要なインフラであり,サイバー攻撃からの保護が不可欠である。
- 既存の攻撃検知手法は,複雑な攻撃やノイズに対して脆弱な場合がある。
- 大規模言語モデルを用いた,より堅牢で解釈可能な攻撃検知手法の開発。
- 提案手法では,リレーの時系列データを自然言語プロンプトに変換し,コンパクトなLLMで処理する。
- DistilBERTを用いた実験では,97.62%の攻撃検出率と完全な故障検出精度を達成した。
- LLMのアテンションメカニズムにより,リレー測定の重要な時間・位相領域を可視化できる。
- 1
- 2