arXiv雑要約
セキュリティ - 2026/04/28 公開
意図の欺瞞による最先端モデルの脱獄 [cs.CR, cs.AI, cs.CL]目的:最先端言語モデルに対する新たな脱獄手法の開発
- 大規模言語モデルの安全性確保は,社会実装において不可欠であり,その信頼性を高める上で重要である。
- 従来の安全性訓練は意図の評価に脆弱性があり,攻撃者の意図を偽装された場合に容易に回避されてしまうという課題がある。
- 本研究は,多岐にわたる会話を通じて意図を欺瞞し,モデルを悪意のある出力へと誘導する手法を確立し,その脆弱性を明らかにする。
- 本手法は,GPT-5-thinkingやClaude-Sonnet-4.5といった最先端モデルに対して高い成功率を示した。
- 従来の拒否型セーフガードに加え,情報開示による間接的な危害(para-jailbreaking)という新たな脆弱性を発見し,その対策を提示した。
- マルチモーダルVLMモデルにおける実験では,既存の最先端手法を上回る性能を達成した。
ケリモフ・アレクバーリモデル:リアルタイムシステム安定化のための情報幾何学的フレームワーク [cs.AI, cs.CL, cs.CR]目的:リアルタイムシステムの安定性確保のための情報幾何学的枠組み
- AI技術の発展に伴い,自律システムの安全性確保が重要課題となっている。
- 従来のAI安全性の枠組みは,経験則に依存し,物理的根拠に乏しい点が課題であった。
- 非平衡熱力学と確率制御の関連性に着目し,物理的な量に基づいたAI安全性の評価手法を確立する。
- ケリモフ・アレクバーリモデルは,非平衡熱力学と確率制御の間の形式的な同型関係を確立した。
- システム異常をリーマン多様体からの逸脱として定義し, Kullback-Leibler ダイバージェンスを用いてリアルタイム検出を可能にした。
- NSL-KDDデータセットと無人航空機軌道シミュレーションにおいて,高い精度と低い誤検知率を示す有効性が確認された。
Goにおける暗号APIの誤用検出器の評価 [cs.CR, cs.SE]目的:Go言語における暗号APIの誤用検出の現状と課題
- 現代ソフトウェアの安全性を支える暗号化技術において,APIの誤用は重大な脆弱性となりうる。
- Go言語はセキュリティ基盤で広く利用されるが,暗号API誤用の検出研究は遅れている。
- Goにおける暗号API誤用の検出器の性能を評価し,改善の方向性を示す。
- 最先端の4つのツール(CodeQL,Gopher,Gosec,Snyk Code)を評価し,14種類の誤用クラスを分類した。
- 328のセキュリティ重要プロジェクトを分析した結果,7,473件の暗号API誤用を発見した。
- ツールの検出範囲には大きな差があり,セキュリティエンジニアへの実践的な示唆と今後の研究課題を示唆した。
AgentVisor: セマンティック仮想化によるLLMエージェントのプロンプトインジェクション対策 [cs.CR]目的:LLMエージェントに対するプロンプトインジェクション攻撃の防御
- LLMエージェントは複雑なワークフローを自動化する上で重要性が増している。
- 外部データの利用はセキュリティリスクをもたらし,特にプロンプトインジェクション攻撃が問題となる。
- セキュリティと実用性の両立が難しく,既存の防御策では攻撃を完全に防ぎきれない点を解決する。
- AgentVisorは,セマンティックな権限分離を適用し,ツール呼び出しを信頼できるvisorで制御することで防御を実現する。
- 厳格な監査プロトコルにより,直接および間接的なインジェクション攻撃を効果的に軽減する。
- 自己修正メカニズムを導入し,セキュリティ違反を建設的なフィードバックに変換することで,エージェントの回復を支援する。
敵対的環境におけるアバランチ効果の検出:ランサムウェアにおける暗号化ループの特定 [cs.CR]目的:バイナリ形式のランサムウェアにおける暗号化ループの特定
- ランサムウェア対策は,社会インフラや個人情報を守る上で不可欠である。
- 暗号化ループの特定は困難であり,高度なリバースエンジニアリング技術が求められる。
- アバランチ効果を確実に検出することで,暗号化ループを効率的に特定することを目指す。
- 提案手法は,アバランチ効果そのものを検証する新しいアプローチを採用している。
- 敵対的な環境下でも動作できるよう,入力・出力の特定誤差への耐性と,回避攻撃への耐性を実現している。
- 実験結果から,誤検出率0.0%,偽陽性率1.1%という高い精度を確認した。
トリガーの無効化:バックドア化されたLLMに対するプラグアンドプレイ型防御 - 末尾リスク内在幾何学的平滑化による [cs.CY, cs.CR, cs.AI]目的:バックドア攻撃に対する大規模言語モデルの防御
- 大規模言語モデルの悪用を防ぐことは,安全なAIシステムの構築に不可欠である。
- 既存の防御策は,準備コストが高いか,性能を低下させるか,遅延が大きいという課題がある。
- TIGSは,これらの課題を克服し,実用的な防御策を提供することを目的とする。
- TIGSは,パラメータ更新や追加データなしで,推論時にバックドア攻撃の成功率を大幅に抑制できる。
- TIGSは,通常の推論性能や意味的な一貫性を損なうことなく,高いセキュリティと効率性を両立する。
- TIGSは,多様なアーキテクチャのLLMに対して有効であり,実用的な展開が期待できる。
動的サイバーレンジ [cs.NI, cs.RO, cs.CR]目的:LLM駆動型エージェントによるサイバー攻撃に対する防御性能の向上
- サイバーセキュリティ分野において,AIエージェントの活用は不可欠であり,その評価手法が重要である。
- 従来の評価手法であるJeopardy CTFは限界に達し,サイバーレンジの静的な設計では,高度なAI攻撃を効果的に防ぐことが困難になっている。
- LLM駆動型防御エージェントを導入し,サイバーレンジの環境を動的にすることで,AI攻撃に対する防御能力を高めることを目指す。
- 動的サイバーレンジは,攻撃者の成功率を0-55%に低減し,複数の設定では完全な防御を実現した。
- 小規模なオンプレミスモデル(alias2-mini)が,最先端モデルと同等の防御性能を示し,複雑なシナリオでは攻撃者を10倍速く検出した。
- 実験から,エージェントの範囲拡大やプロンプトの窃取といった新たな挙動が明らかになり,AIベンチマークの信頼性やエージェント設計への示唆が得られた。
エージェントによる証言:実用的かつスケーラブルなTEEを用いたプライバシー保護監査 [cs.CE, cs.CR, cs.AI, cs.ET, cs.MA]目的:所有権のあるデータの意味的特性の監査
- データの信頼性確保は重要であり,特に機密性の高いデータにおいて,その検証方法が課題となる。
- 従来の検証手法は,データの開示を伴うため,プライバシー保護との両立が困難であった。
- TEEを活用し,データの開示なしに質的な検証を可能にする新しい監査フレームワークを提案する。
- 本研究で提案する「エージェントによる証言」フレームワークは,検証を信頼された実行環境(TEE)内のLLMによる推論に委ねることで,プライバシーを保護する。
- GitHub上の21の論文とそのコードベースを用いて実験を行った結果,コードベースが論文の内容と整合しているかどうかの検証が可能であった。
- TEEを用いたエージェントによる監査は,データ開示の必要なく質的な検証を行うための効果的なメカニズムを提供する。
ゼロトラストとIoTセキュリティの融合:多角的文献レビュー [cs.CR]目的:ゼロトラストとIoTセキュリティ融合に関する研究動向の把握
- IoTデバイスの普及に伴い,セキュリティ対策の重要性が増している。
- IoTセキュリティとゼロトラストの統合に関する体系的な分析が不足している。
- IoTセキュリティとゼロトラストの融合における課題と今後の研究方向性を明確化する。
- 学術研究ではIoT側の修正によるゼロトラストへの適合が,産業界ではNIST標準に基づいた既存フレームワークへの統合が主流である。
- 社会技術的理解,費用対効果評価,学際的連携における研究の空白が明らかになった。
- これらの点が今後の研究における重要な方向性として示唆された。
RTOSの時刻管理と中断不能な信頼計算の競合解決 [cs.CR]目的:RTOSの時刻管理と信頼計算の共存
- 低消費電力マイクロコントローラにおけるセキュリティ確保は重要であり,TEEはその実現手段となる。
- RTOSの時刻管理割込みと信頼計算の原子性が衝突し,両者の同時実行が困難である。
- セキュアワールドによる時刻同期機構により,RTOSの時刻管理を維持しつつ信頼計算を可能とする。
- 本研究では,RTOSの時刻管理割込みと信頼計算の競合を明確に示し,その原因を分析した。
- セキュアワールドが経過時間を計測し,RTOSの時刻管理データ構造を更新することで,時刻同期を実現した。
- 提案手法は既存のRTOSへの変更を必要とせず,ランタイムオーバーヘッドも軽微である。
RowHammer脆弱性カウンター(RVC):被害者中心トラッキングによるRowHammer検出の再定義 [cs.CR, cs.AR]目的:RowHammer脆弱性に対する効率的な軽減策の開発
- DRAMの技術進歩に伴い,RowHammer脆弱性は深刻化しており,信頼性の高い対策が求められている。
- 既存の対策は,活性化回数の閾値に基づいており,実際のリスクを正確に評価できていない場合がある。
- RVCは,活性化回数ではなく,ビットフリップの可能性に着目し,より正確な軽減策を提供することを目指す。
- RVCは,Grapheneと比較して,軽減に伴うリフレッシュ回数を95~99.99%改善し,追加のオーバーヘッドは発生しない。
- RVCは,エネルギー効率を向上させ,平均LLCレイテンシを最大76.91%削減することで,効率性とスケーラビリティを高めている。
- 既存手法よりも精度と効率に優れ,RowHammer脆弱性の防止における優れたアプローチであることが示された。
X-NegoBox:安全なピアツーピアエネルギーデータ交換のための説明可能なプライバシー予算交渉フレームワーク [cs.CR, cs.AI]目的:ピアツーピアエネルギーデータ交換における適応的なプライバシー予算と透明な意思決定
- エネルギーシステムの分散化が進み,消費者がデータ交換主体となりつつあるため,プライバシー保護が重要である。
- 既存のデータ共有メカニズムは固定的なポリシーに依存しており,データの機密性や要求の目的に対応できない場合がある。
- プライバシーを保護しつつ,データ共有の信頼性と参加率を向上させることを目指す。
- X-NegoBoxは,プライバシー予算を適応的に調整し,透明性の高い意思決定を実現する交渉フレームワークである。
- 実験により,プライバシー漏洩の低減,受諾率の向上,解釈可能性の改善が確認された。
- 各データはローカルに管理され,要求に応じてプライバシーを保護したカウンターオファーが生成される。
高速敵対的学習における誤差増幅の緩和 [cs.LG, cs.CR]目的:モデルのロバスト性向上のための誤差増幅緩和戦略
- 近年,敵対的学習はモデルの頑健性を高める手法として重要視されている。
- 高速敵対的学習は過学習を起こしやすく,未知の攻撃への汎化性能が低いという課題がある。
- 提案手法は,サンプル信頼度に応じた動的なガイダンスにより,過学習とロバスト性・精度間のトレードオフを緩和する。
- 本研究では,ガイダンスの強度がモデル性能に及ぼす影響を詳細に分析した結果,低信頼度のサンプルが過学習と精度低下の主要因であることが明らかになった。
- 提案するDistribution-aware Dynamic Guidance (DDG) は,サンプル信頼度に基づき摂動予算と教師信号を動的に調整することで,過学習と精度低下を効果的に緩和する。
- 標準的なベンチマークを用いた実験により,DDGがロバスト性と精度のトレードオフを改善し,モデルの頑健性を向上させることが示された。
GoAT-X:クロスチェーンコントラクトにおけるトークントランザクションの安全性を確保するための監査思考グラフ [cs.DC, cs.CR]目的:クロスチェーンコントラクトのセキュリティ監査
- マルチチェーンエコシステムの重要なインフラであるクロスチェーンブリッジのセキュリティ確保は喫緊の課題である。
- 従来の静的解析は複雑なクロスチェーンの相互作用に対応できず,LLMは幻覚による誤った推論を起こしやすい。
- 第一原理に基づく系統的な検証により,クロスチェーンコントラクトの脆弱性を効率的に発見することを目指す。
- GoAT-Xは,監査プロセスを「監査思考グラフ」として構造化し,LLMの推論を静的データフローに固定することで,より正確なセキュリティ検証を可能にする。
- 包括的なベンチマークにおいて,GoAT-Xは92%の再現率と95%の脆弱プロジェクト網羅率を達成し,野生における117件の既知のリスクを特定した。
- GoAT-Xは,スケーラブルで論理駆動型のクロスチェーンセキュリティの新たな標準を確立することを示した。
高速敵対的学習における壊滅的過学習の裏に隠されたバックドア機構の解明 [cs.CL, cs.LG, cs.AI, cs.CR]目的:高速敵対的学習における壊滅的過学習の解明と軽減
- ニューラルネットワークの頑健性は重要であり,敵対的攻撃への耐性を高めることが求められている。
- 高速敵対的学習は効率的だが,特定の攻撃に過学習し,汎化性能が低下する壊滅的過学習が発生しやすい。
- 本研究は,壊滅的過学習をバックドアの観点から解釈し,その軽減策を提案することを目指す。
- 壊滅的過学習を,学習不可能なタスクの一種である弱いトリガー変種として捉え,バックドア攻撃や学習不可能なタスクとの共通理論的枠組みを構築した。
- 壊滅的過学習の影響を受けたモデルパラメータを,ファインチューニングや線形プローブ,再初期化などの手法を用いて再調整する軽減策が有効であることを示した。
- モデルの重みにおける異常な逸脱を抑制する正則化制約を導入することにより,壊滅的過学習の軽減が可能であることを実証した。
情報理論に基づいた分散点関数:より短い鍵による実現 [cs.CL, cs.RO, cs.CR]目的:情報理論に基づく分散点関数の鍵長短縮
- 秘匿計算の重要性が高まる中,安全な分散計算の実現が求められている。
- 既存の分散点関数では,鍵長がボトルネックとなり,効率的な計算が困難である。
- 鍵長を短縮することで,より実用的な分散点関数の構築を目指す。
- 本研究では,Ghasemiらの私的情報検索(PIR)に基づいた新たな鍵共有変換を提案した。
- これにより,Z_pを生成群とする1-プライベートITDPFを完璧な安全性で実現した。
- 既存のITDPFと比較して,鍵長を漸近的に短縮することに成功した。
脆弱性導入コミット特定のためのマルチエージェントSZZアルゴリズム [cs.CR, cs.SE]目的:脆弱性導入コミットの特定
- ソフトウェアセキュリティ対策の基礎となる技術であり,脆弱性検出や影響範囲分析に不可欠である。
- 既存のSZZアルゴリズムは,アンカー選択の誤りやバックトラッキング能力の不足により,実用レベルの精度に達していない。
- マルチエージェントによる協調により,アンカー選択とバックトラッキングの精度を向上させ,脆弱性導入コミットの特定を改善する。
- 提案手法MAS-SZZは,CVE記述と修正コミットから脆弱性の根本原因を要約し,パッチの変更意図に基づき脆弱性関連ステートメントを特定する。
- 特定されたステートメントをアンカーとして,リポジトリの履歴を遡り,脆弱性を最初に導入したコミットを自動的に特定する。
- 実験結果から,MAS-SZZは既存手法を大幅に上回り,最良のSZZアルゴリズムと比較して最大65.22%のF1スコア改善を達成した。
偽装から信頼へ:緊急警報偽装試験環境とクロスセル検証 [cs.CR, eess.SP]目的:緊急警報の偽装攻撃と,その対策手法の検証
- 公共警報システムは,災害時に国民の生命と安全を守る上で不可欠なシステムである。
- 緊急警報システムは,攻撃者による偽装攻撃に対して脆弱であるという問題がある。
- 緊急警報の偽装攻撃に対する対策として,クロスセル検証メカニズムを提案し,有効性を示す。
- 本研究では,初の5G緊急警報偽装攻撃をオープンソースで実現し,実際のスマートフォンでの挙動を詳細に分析した。
- その結果,偽装警報が容易に表示されるだけでなく,様々な攻撃シナリオが考えられることが明らかになった。
- 対策として提案するクロスセル検証メカニズムは,偽装警報を検出する上で有効であることが確認された。
LLMのファインチューニングにおける分割学習:モデル,システム,プライバシー最適化に関する調査 [cs.DC, cs.NI, cs.CR, cs.CL, cs.DC, cs.LG]目的:LLMのファインチューニングのための分割学習に関する研究動向の分類と評価
- LLMは高性能だが,計算資源が必要であり,小規模組織では利用が困難である。
- クラウド利用はプライバシーリスクを伴うため,機密データを共有することに懸念がある。
- 分割学習は,プライバシーを保護しつつ,計算資源を共有することでLLMの適応を可能にする。
- 本調査は,分割学習のモデル最適化,システム効率,プライバシー保護の3つの側面を体系的にレビューした。
- これにより,スケーラブルで堅牢かつ安全な協調的LLM適応のための基盤が確立された。
- 既存研究を分類・比較・批判的に評価することで,今後の研究の方向性を示した。
LLMマルチエージェントシステムにおけるグラフベース異常検知ベンチマーク共通フレームワークGAMMAF [cs.CR, cs.AI]目的:LLMマルチエージェントシステムにおける異常検知手法のベンチマーク環境
- LLMのMASへの統合が進み,協調問題解決能力が向上する一方,攻撃対象領域が拡大している。
- グラフベースの異常検知は有望だが,標準化された再現性のある評価環境が存在しない。
- 既存および将来の防御モデルの性能を評価するためのベンチマークプラットフォームを提供する。
- GAMMAFは,多様なネットワーク構成で多エージェント間のインタラクションをシミュレーションし,属性グラフとしてデータを生成する。
- 確立された防御基盤モデル(XG-Guard,BlindGuard)を用いた評価により,GAMMAFの有用性,拡張性,効率性が示された。
- 効果的な攻撃対策はシステム完全性を回復するだけでなく,早期合意形成により運用コストを大幅に削減する。
大規模言語モデルにおけるランタイム時の誤動作検出のための層別収束フィンガープリント [cs.CR, cs.AI, cs.CL]目的:大規模言語モデルのランタイム時の誤動作検出手法
- 近年,大規模言語モデルの利用拡大に伴い,その安全性確保が重要課題となっている。
- 既存の検証手法では,未知の攻撃や不正な操作を完全に防ぐことが難しい。
- 本研究は,事前知識や再学習なしに,ランタイム時の異常を検出する手法を確立する。
- 層別収束フィンガープリント(LCF)は,層間隠れ状態の変化を健康シグナルとして捉え,異常を検出する。
- LCFは,4つのモデルアーキテクチャにおいて,バックドア攻撃の成功率を大幅に低減し,ジェイルブレイクやプロンプトインジェクションを高い精度で検出した。
- 特定の脅威に合わせた調整なしに,多様な攻撃に対応可能な汎用的なランタイム安全性層となりうる。
DETOUR:物体検出に対する実用的なバックドア攻撃 [cs.CR]目的:物体検出システムに対するバックドア攻撃の実現可能性向上
- 物体検出は現実世界の画像認識システムにおいて不可欠な技術である。
- 既存の攻撃はトリガーの位置や大きさが固定されており,現実世界での適用が困難である。
- 様々な位置,大きさ,視野角で有効なバックドア攻撃手法を開発し,実用性を高める。
- DETRにおいて,局所的なトリガーが近隣位置に影響を及ぼす「トリガー放射効果」を観察した。
- 複数の位置にトリガーを挿入することで,放射効果が相乗的に増幅し,攻撃効果が向上する。
- 現実世界の物体からトリガーパターンを抽出し,多様な視野角や配置に対応することで,信頼性の高いバックドア活性化を実現した。
ARCANE:パッシブビーコンテレメトリによるクロスキャンペーン攻撃者再特定 – 縦断的サイバーアトリビューションのためのベイジアンネットワークフレームワーク [cs.CY, cs.CR]目的:クロスキャンペーンにおける攻撃者再特定可能性の検証
- サイバー攻撃の高度化に伴い,攻撃者の特定はセキュリティ対策の根幹をなす重要課題である。
- 従来のサイバーアトリビューションはインシデントごとに独立して行われ,攻撃者の行動パターンを横断的に分析する手法が不足している。
- 複数のキャンペーンにわたる情報統合により,攻撃者の特定精度向上を目指す。
- 攻撃者フィンガープリントの多次元特徴量ベクトル化と,ベイジアンネットワークを用いた時系列的な更新フレームワークARCANEを提案した。
- 合成データセットを用いた評価により,同一攻撃者間での類似性が攻撃者間での類似性を上回ることを確認した。
- しかし,高度な攻撃者間では共通の運用方法により識別が困難であり,クロスキャンペーン集約のみではアトリビューションの曖昧さを解消できないことが示された。
自律型AIエージェントのためのライフサイクルセキュリティアーキテクチャAgentWard [cs.CR, cs.AI]目的:自律型AIエージェントのライフサイクルを通じたセキュリティアーキテクチャ
- AIエージェントの普及に伴い,そのセキュリティ確保が重要となっている。
- 既存のセキュリティ対策は,AIエージェントの複雑な挙動に対応しきれていない。
- AIエージェントのライフサイクル全体を網羅するセキュリティ体制の構築を目指す。
- 本研究では,AgentWardというライフサイクル指向の多層防御アーキテクチャを提案した。
- AgentWardは,初期化,入力処理,記憶,意思決定,実行の各段階で特化したセキュリティ制御を統合する。
- OpenClaw上でのプロトタイプ実装により,実用的な実現可能性が示された。
マスクされたバレット減算の基数上限:ポスト量子暗号ハードウェアにおける1ビットのサイドチャネル漏洩障壁 [cs.CR]目的:マスクされたバレット減算の漏洩に関する基数上限の機械的検証
- ポスト量子暗号は,従来の暗号方式に対する量子コンピュータの脅威に対抗するため,重要な研究分野である。
- 従来のマスキング手法では,バレット減算における一次の算術マスキング下の漏洩を完全に特性評価できていない。
- 本研究は,バレット減算の漏洩に関する機械的に検証可能な基数上限を確立し,サイドチャネル攻撃に対する耐性を高めることを目指す。
- バレット減算の内部ワイヤマップの逆像の基数は,0,1,2のいずれかであり,常に2以下であることが証明された。
- この「1ビット障壁」により,内部ワイヤあたり最大で1ビットの最小エントロピー損失が発生することが保証される。
- 本研究で得られた結果は,Lean 4とMathlibを用いて機械的に検証されており,すべての素数に対して普遍的に適用可能である。
プローブ位置の変化に強いプロファイリング [cs.CR]目的:サイドチャネル攻撃における漏洩検出の精度向上
- 暗号デバイスのセキュリティ評価において,物理的な測定に基づくサイドチャネル攻撃は重要な手法である。
- 電磁波プローブの位置が変化すると,プロファイリングの精度が低下するという課題がある。
- 異なるプローブ位置で取得したデータを用いて,位置依存性を克服するプロファイリング手法を開発する。
- 単一のニューラルネットワークを,複数の電磁波プローブ位置のデータで学習させることで,広範囲な漏洩検出が可能となった。
- 異なる実験室で取得したデータを用いて評価を行った結果,高い攻撃成功率が確認された。
- 本研究は,プローブ位置の制約を緩和し,サイドチャネル攻撃の効率化に貢献する。
ファジー・ドレブ-ヤオ攻撃者モデルによる段階的記号検証 [cs.CR, cs.FL, cs.LO, cs.SC]目的:段階的記号検証手法
- 暗号プロトコルの安全性検証は情報セキュリティの根幹をなす重要な研究分野である。
- 従来の検証手法は,攻撃者の知識を単純な二値化で扱っており,側路攻撃のような累積的な情報漏洩を考慮できない。
- 側路攻撃における知識の累積過程をモデル化し,より現実的な検証を可能にすること。
- 提案手法は,攻撃者の知識を0から1の間の値で表現し,側路攻撃による知識の漏洩をT-normを用いてモデル化する。
- 従来の二値モデルで安全と判定されたプロトコルが,累積的な情報漏洩を考慮すると脆弱になる場合があることを示す。
- Needham-Schroeder-Loweプロトコルを含む複数のプロトコルに対し,提案手法の有効性を確認した。
マルチウォデンによる秘匿通信におけるソフトフュージョンの構造的限界 [eess.SP, cs.CR, cs.GT]目的:マルチウォデン環境におけるソフトフュージョンを用いた秘匿無線通信の限界
- 無線通信の安全保障は重要であり,秘匿通信はその中でも特に重要な課題である。
- 既存の検知技術は,送信者と受信者の戦略に依存し,検知性能が向上しにくいという課題がある。
- ソフトフュージョンによる検知の構造的限界を明らかにし,より効果的な検知アーキテクチャの必要性を示す。
- FC(Fusion Center)がウォデンの数をランダム化しても,検知上有利な点はないことが示された。
- 送信者と妨害者が適切な電力範囲を設定することで,高い確率で秘匿通信を維持できることが証明された。
- FCの運用コストが増加しても,検知性能の向上が限定的であるという「レッドクイーン効果」が明らかになった。
知性のセキュリティコスト:AI能力,サイバーリスク,展開のパラドックス [econ.GN, cs.AI, cs.CR, q-fin.EC]目的:AI導入とサイバーセキュリティ投資の同時選択
- AI技術の発展は生産性向上に貢献するが,セキュリティリスクとのバランスが重要である。
- AI能力の向上に伴い,権限範囲が拡大し,セキュリティ対策が追いついていない現状がある。
- ガバナンスと能力のギャップが,AI導入の最適なレベルを阻害する問題を解決する。
- 損失が大きい環境下では,高性能なAIの導入が,ガバナンスの弱さから権限範囲が拡大することで,かえって導入を抑制する可能性がある。
- 最適なAI導入量は,リスクがない場合よりも少なくなり,その差は損失額の大きさや権限範囲に応じて広がる。
- ガバナンスへの投資は,損失額を縮小し,パラドックスの影響範囲を抑制する効果がある。
効率的な量子完全準同型暗号 [quant-ph, cs.CR]目的:量子完全準同型暗号の効率向上
- 量子コンピュータの発展に伴い,量子データの安全な取り扱いが重要になっている。
- 既存の量子完全準同型暗号は,膨大な量子資源を必要とし,実用化が困難であった。
- 量子資源の消費量を削減し,実用的な量子完全準同型暗号を構築することを目指す。
- 本研究では,モジュラ演算プログラム,ガーデンホースモデル,測定基底量子計算を統合した新しいフレームワークを提案した。
- 提案手法により,量子資源の要求量が指数関数的に削減され,特にEPRペア数が大幅に減少することが示された。
- 本フレームワークは,古典的なクライアントをサポートし,古典的なLWE仮定のみに基づいているため,実用的な量子クラウドコンピューティングへの道を開く。
CoreGuard:エッジ環境におけるLLMの基礎能力をモデル盗難から保護 [cs.CR, cs.AI, cs.DC]目的:LLMのエッジ環境におけるモデル盗難に対する保護手法
- LLMは多様なタスクで高い性能を発揮し,効率性やプライバシー保護のためエッジデバイスへの展開が進んでいる。
- エッジ環境への展開はモデルの重みや構造の窃取リスクを高め,不正な複製や悪用を招く可能性がある。
- CoreGuardは,計算・通信コストを抑えながら,LLMの基礎能力をモデル盗難から保護することを目指す。
- CoreGuardは,効率的な保護プロトコルと伝播プロトコルにより,計算・通信オーバーヘッドを最小限に抑えている。
- 実験の結果,CoreGuardは無視できる程度のオーバーヘッドで,最高水準のセキュリティ保護を実現している。
BLASを用いた高速準同型線形代数 [cs.CR]目的:準同型暗号における線形代数演算の効率化
- プライバシー保護が重要視される現代において,暗号化されたデータに対する演算は不可欠である。
- 既存の準同型暗号は計算コストが高く,特に線形代数演算において性能向上が課題である。
- BLASの高度な最適化技術を準同型暗号に応用し,計算効率の改善を目指す。
- CKKSに基づく準同型線形代数と浮動小数点数による線形代数の関連性を示すことができた。
- 中規模から大規模な行列に対して,準同型演算を平文演算に帰着させる手法を提示した。
- BLASとの組み合わせにより,準同型行列乗算と浮動小数点数行列乗算の性能差が4~12倍程度に抑えられることを示した。
大規模言語モデルは本当にあなたの名前を認識できるか? [cs.CL, cs.CR, cs.AI]目的:大規模言語モデルにおける固有名子認識の課題と公平性
- プライバシー保護は重要であり,個人情報漏洩を防ぐ対策が求められている。
- 大規模言語モデルを用いたプライバシー保護は,名前認識の精度に依存する。
- 言語的曖昧性による名前認識の誤りを明らかにし,公平性を改善する。
- 大規模言語モデルは,曖昧な文脈における名前認識において,認識率が低下することが示された。
- 構築したベンチマークAmBenchを用いて,最先端のLLM 12機種で20-40%の認識率低下が確認された。
- プロンプト注入の存在下では,特定のLLMにおける名前無視の可能性が大幅に上昇することが明らかになった。
PARASITE:条件付きシステムプロンプトポイズニングによるLLMの乗っ取り [cs.CR, cs.AI, cs.CL]目的:大規模言語モデルに対する条件付きシステムプロンプトポイズニングの脆弱性と,特定のクエリに対する有害な応答の誘導
- LLMは広く利用されているが,その利用方法に脆弱性が存在する可能性があり,安全性確保が重要である。
- 第三者からダウンロードしたシステムプロンプトに悪意のあるコードが混入するリスクが課題となっている。
- 特定の質問に対してのみ有害な応答を誘発するプロンプトの生成と,既存の防御機構の回避を目指す。
- PARASITEは,厳密なブラックボックス環境下で,セマンティック検索と語彙的洗練を組み合わせた二段階最適化によって,システムプロンプトを生成する。
- GPT-4o-miniやGPT-3.5などのオープンソースモデルや商用APIにおいて,標的クエリに対するF1スコアを最大70%減少させることに成功した。
- 本研究で開発した攻撃手法は,パープレキシティフィルタやスペルチェックといった既存の防御策を回避可能であることが示された。
ヘルメス:可変パッキング暗号文を用いた効率的なグローバル準同型集約 [cs.CR, cs.DB]目的:準同型暗号データベースにおける効率的な集約クエリと動的なタプル更新
- プライバシー保護の重要性が増す中,暗号化されたデータに対する演算処理が求められている。
- 既存の準同型暗号では,データベースの動的な更新と統計分析の効率化が課題となっていた。
- 暗号化されたデータベースに対して,効率的な集約演算とインプレース更新を実現すること。
- ヘルメスは,SIMD対応のパッキングデータモデルにより,暗号文に集約統計量を埋め込み,高速なグローバル集約を可能にした。
- 多項式スロットマスキングとシフトに基づく準同型アルゴリズムにより,セキュリティを保ちつつインプレース更新を実現した。
- MySQLへのC++ロード可能関数群として実装され,TPC-Hや実データセットを用いた評価で,従来のFHE実装と比較して大幅な性能向上を示した。
大規模言語モデルの二次的リスクの探求 [cs.LG, cs.AI, cs.CR]目的:大規模言語モデルにおける二次的リスクの存在とその評価
- 大規模言語モデルは社会に浸透しており,その安全性確保は重要である。
- 既存研究は主に敵対的攻撃に焦点を当て,日常的な利用におけるリスクが軽視されている。
- 悪意のない質問に対する有害な応答という,見過ごされがちなリスクを明らかにする。
- 二次的リスクは広範に存在し,モデル間で共通して発生することが示された。
- SecLensという検索フレームワークにより,効率的に二次的リスクを引き出すことが可能になった。
- SecRiskBenchというベンチマークデータセットが公開され,評価の再現性を高めた。
大規模言語モデルとドメインオントロジーを組み合わせたサイバー脅威インテリジェンスの活用 [cs.CR, cs.AI]目的:サイバー脅威インテリジェンスの正確かつ透明な活用
- サイバーセキュリティ対策において,正確な脅威情報の活用は不可欠である。
- セキュリティログから脅威情報を正確に抽出・解釈することが困難である。
- オントロジーとLLMを組み合わせることで,抽出の精度と説明可能性の向上を目指す。
- 提案手法は,従来のプロンプトのみのアプローチと比較して,情報抽出の精度が高い。
- ドメインオントロジーとSHACL制約を用いることで,LLMの出力構造を誘導し,意味的な妥当性を担保する。
- 抽出された情報はオントロジーで強化されたグラフデータベースに整理され,セマンティックな分析とクエリを可能にする。
プロトタイプ誘導によるバックドア攻撃に対するロバストな学習 [cs.CR]目的:バックドア攻撃に対するロバスト性
- 機械学習モデルのセキュリティ確保は重要であり,悪意のあるデータ汚染から保護する必要がある。
- バックドア攻撃は巧妙に潜み,クリーンなデータが限られている状況で防御が困難である。
- 少量の検証済み安全なサンプルのみで,バックドア攻撃からモデルを保護することを目指す。
- 提案手法PGRLは,既存の防御法よりも多様な設定で優れたロバスト性を示す。
- ラベル整合性検証(LCV)と特徴距離推定(FDE)の組み合わせにより,バックドアに関連する表現の学習を抑制する。
- PGRLは,実用性と一般化性能に優れたバックドア防御の新たな基準を確立する。
xOffense:ドメイン適応大規模言語モデルを用いたペネトレーションテストのための自律型マルチエージェントフレームワーク [cs.CR, cs.AI]目的:ペネトレーションテストの自動化
- サイバーセキュリティ対策において,脆弱性の発見と悪用の検証は不可欠である。
- 従来のペネトレーションテストは専門知識と多大な労力を要し,スケーラビリティに課題がある。
- 大規模言語モデルとマルチエージェントシステムを用いて,効率的かつ自動的なペネトレーションテストを実現する。
- xOffenseは,Qwen3-32Bを基盤としたAI駆動のマルチエージェントフレームワークである。
- AutoPenBenchおよびAI-Pentest-Benchmarkという2つのベンチマークにおいて,既存手法を上回る成果を達成した。
- サブタスクの完了率は79.17%であり,VulnBotやPentestGPTなどの先行システムを凌駕する。
オープンソースLLMに対するマルウェア埋め込み攻撃:MEASER [cs.DB, cs.IR, cs.CR, cs.AI]目的:オープンソースLLMに対するマルウェア埋め込み攻撃(MEA)の体系的な定式化と,新たな攻撃手法「MEASER」の提案
- オープンソースLLMは,その透明性と柔軟性から,多様な分野で急速に活用が広がっている
- オープンソースLLMの完全なアクセス性は,悪意のある攻撃者によるマルウェア埋め込みのリスクを高めている
- 本研究は,既存のMEA対策の脆弱性を明らかにし,より堅牢なLLMのセキュリティを実現することを目指す
- 本研究で提案する攻撃手法「MEASER」は,量子化やPEFTといった対策に対しても高い隠蔽性と攻撃成功率を示す
- MEASERは,パフォーマンス劣化を最小限に抑えつつ,重要なパラメータを特定し,ペイロードを埋め込むことで,既存のMEAよりもステルス性が高い
- 実験結果から,MEASERは様々なオープンソースLLMにおいて0bit誤り率を維持し,高い攻撃効果を発揮することが確認された
CrossGuard:多Modal LLMに対する複合Modalな暗黙的悪意攻撃からの保護 [cs.CR, cs.AI]目的:多Modal LLMに対する複合Modalな暗黙的悪意攻撃に対する保護策の開発
- 多Modal LLMは高度な推論・知覚能力を持つが,セキュリティ上の脆弱性が課題となっている。
- 既存研究は明示的な攻撃に焦点を当てており,テキストと画像が共同で悪意を表現する暗黙的攻撃は未解明である。
- 高品質な暗黙的攻撃データが不足している状況を打開し,実用的な保護策を提案することを目的とする。
- ImpForgeという自動Red-Teamingパイプラインを開発し,14のドメインで多様な暗黙的攻撃サンプルを生成した。
- 生成されたデータセットに基づいて,意図を認識する保護メカニズムCrossGuardを開発し,明示的・暗黙的攻撃に対して頑健性を示す。
- CrossGuardは既存の防御策を凌駕し,セキュリティと実用性のバランスの取れた多Modal LLMの保護を実現した。
AmpereOneプロセッサにおける最適化されたメモリータグ付け [cs.AR, cs.CR]目的:メモリータグ付けによるメモリー安全性の向上
- C/C++等のポインタベース言語で記述されたソフトウェアのメモリー安全性が重要である。
- 既存のメモリー安全対策は,オーバーヘッドや適用範囲の限界から普及が限定的である。
- AmpereOneプロセッサのMTE実装による,実運用環境でのメモリー安全性の向上を目指す。
- AmpereOneプロセッサは,MTEをサポートする初のデータセンター向けプロセッサである。
- タグ保存のためのメモリー容量オーバーヘッドは発生せず,性能への影響も少ない。
- アプリケーションのメモリー管理が主なオーバーヘッドであり,ソフトウェア最適化の余地がある。
CacheTrap:LLMに対するより巧妙なグレーボックス型トロイの木馬 [cs.CR]目的:大規模言語モデルに対するKVキャッシュを標的としたグレーボックス型トロイの木馬攻撃
- LLMの普及に伴い,そのセキュリティ脆弱性の理解が不可欠となっている。
- 既存のトロイの木馬攻撃は,データやモデル内部パラメータへのアクセスを必要とする。
- モデルやデータへのアクセスなしに,LLMの挙動を秘密裏に操作する手法を確立すること。
- CacheTrapは,LLMのKVキャッシュの1ビット反転を利用する新たな攻撃手法である。
- この攻撃は,入力やモデルの重みを変更することなく,標的とする動作を誘発する。
- 5つのオープンソースLLMで100%の攻撃成功率を達成し,通常精度を維持している。
見えざる手:勾配,データ,重みへの知識なしでLLMを操るためのグレーボックスビットフリップ攻撃 [cs.CR]目的:LLMに対するビットフリップ攻撃の影響と,効率的かつ実用的なグレーボックスフレームワークの提案
- LLMは急速に進歩し,多くの分野で重要な役割を担うようになったため,その安全性と堅牢性を確保することが急務である。
- 既存のビットフリップ攻撃研究は,モデルの重みやデータへのアクセスを前提としており,現実的な環境での適用が困難である。
- モデルの重み,勾配,サンプルデータへのアクセスなしに脆弱な重みビットを特定し,LLMの安全性を脅かす問題を解決する。
- 提案手法「Invisible Hands」は,モデルアーキテクチャのみに基づいて脆弱性を推定する新たな指標を導入し,データアクセスや勾配計算を不要にした。
- 実験により,わずかな重みの摂動で敵対的な目的を達成できることが示され,提案手法の有効性と実用性が確認された。
- 勾配計算やデータアクセスが不要なため,メモリ負荷が軽減され,様々なタスクに対して効率的にスケールすることが可能である。
DualGuard:言い換えとスプーフィング攻撃に対する二重ストリーム大規模言語モデルウォーターマーキング防御 [cs.CR, cs.CL]目的:大規模言語モデルのウォーターマーキング防御機構
- クラウドサービスの普及によりLLM利用が増加し,悪用のリスクも高まっているため,その対策が重要である。
- 既存のウォーターマーキングは言い換え攻撃に焦点を当てており,信頼性を損なうスプーフィング攻撃への対策が不十分である。
- 言い換えとスプーフィングの両方に対する防御を可能にするウォーターマーキングアルゴリズムの開発を目指す。
- DualGuardは,適応的な二重ストリーム機構により,言い換えとスプーフィング攻撃の両方に対する防御を実現する。
- DualGuardは,スプーフィング攻撃を検出し追跡できるため,ウォーターマーキングの信頼性を高める。
- 複数のデータセットとLLMでの実験により,高い検出率,頑健性,追跡可能性,そしてテキスト品質が確認された。
文脈を超えて:大規模言語モデルのユーザー意図理解の失敗 [cs.AI, cs.CL, cs.CR, cs.CY]目的:大規模言語モデルのユーザー意図理解の限界
- 大規模言語モデルの安全性確保は,社会実装において不可欠である。
- 既存の安全性対策は有害コンテンツに焦点を当て,意図理解の脆弱性を見過ごしている。
- 悪意あるユーザーによる安全性メカニズムの回避を可能にする要因の解明。
- ChatGPT,Claude,Gemini,DeepSeekなどの最先端LLMにおいて,感情的な表現,段階的な開示,学術的根拠を用いることで,安全性メカニズムを回避できることが示された。
- 推論能力の強化は,必ずしも安全性向上につながらず,むしろ悪用の精度を高める傾向が見られた。ただし,Claude Opus 4.1は意図検出を優先する傾向が確認された。
- この結果は,既存のアーキテクチャ設計に根本的な脆弱性があることを示唆し,文脈と意図理解を安全性の中核機能として組み込む必要性を示唆する。
大規模言語モデル用歪みのない多ビット透かし:MirrorMark [cs.CR, cs.AI]目的:大規模言語モデルにおける信頼性の高いコンテンツ帰属
- 質問応答やコンテンツ生成等,LLMの応用拡大に伴い,著作権保護が重要になっている。
- 既存の透かし技術は,二値信号しか提供しないか,テキスト品質を低下させる歪みを生じる。
- 歪みを生じさせず,検出性と堅牢性を高めた多ビット透かし技術の開発。
- MirrorMarkは,トークン確率分布を変更せずに多ビット情報を埋め込むことで,テキスト品質を維持する。
- 文脈に基づいたスケジューラにより,挿入・削除に対する堅牢性を高めている。
- 300トークンに54ビットを埋め込み,ビット精度を8-12%向上させ,偽陽性率1%で11%多くの透かしテキストを正しく識別した。
トロージャン耐性のあるNTT:再構成可能プラットフォームにおける制御フローおよびタイミング障害からの保護 [cs.DC, cs.CR, cs.AR]目的:格子暗号方式における多項式乗算の主要要素であるNTTのセキュリティ確保
- 次世代暗号技術の基盤となる格子暗号の安全性は,社会インフラの根幹を支える上で重要である。
- ハードウェアトロージャン攻撃は低コストで影響が大きく,暗号システムの制御フローを破壊する可能性がある。
- 制御フロー破壊やタイミング障害,およびサイドチャネル攻撃に対するNTTアーキテクチャの堅牢化を目指す。
- 提案アーキテクチャは,異常な遅延,制御フローの破壊,SASCAを検出し,適応的な障害訂正手法を提供する。
- Artix-7 FPGA上でのシミュレーションと実装により,高い成功率で障害を検出し,訂正できることが示された。
- 障害検出・訂正モジュールは,わずかな面積・時間オーバーヘッドで効率的に機能することが確認された。
産業界と学術界における敵対的機械学習に関する比較的研究:ユーザー調査アプローチ [cs.CR, cs.AI]目的:産業界と学術界における敵対的機械学習の脆弱性認識と教育戦略
- 機械学習の急速な発展に伴い,セキュリティ上の課題が顕在化している。
- 敵対的機械学習に対する教育が不十分であり,対策の遅れが懸念される。
- 機械学習教育にセキュリティ教育を統合し,脆弱性への理解を深める。
- オンライン調査により,サイバーセキュリティ教育と敵対的機械学習への懸念との間に相関関係が認められた。
- 自然言語処理と生成AIを用いたCTFチャレンジが,学生の興味を引き付ける有効な教育手法であることが示された。
- 機械学習カリキュラムへのセキュリティ教育の統合が不可欠であることが明らかになった。
upTPM:TPM 上の Schnorr 複数署名のための無制限事前処理 [cs.CR]目的:TPMにおけるSchnorr複数署名のための無制限事前処理フレームワーク
- ブロックチェーン等の分散型台帳技術のセキュリティ確保に,安全な署名スキームは不可欠である。
- 従来の事前処理方式では,署名者側のストレージに限りがあり,事前処理可能回数に制約があった。
- TPMの限られたNVRAM容量と断続的な接続性を考慮し,ストレージ消費を抑えつつ無限に事前処理を可能とする。
- upTPMは,各TPMが32バイトのシードを保持し,そこから無限のnonce commitmentを決定的に生成する。
- これにより,署名者側のストレージ消費を一定に抑えつつ,無制限の事前処理を実現した。
- 本研究では,安全性証明に加え,スレッショルド署名への拡張や信頼モデル,性能評価も行った。