arXiv雑要約
セキュリティ - 2026/05/08 公開
チャネルレベルのセマンティック摂動:多様な学習パラダイムに対する学習不能な事例 [cs.LG, cs.AI, cs.CR]目的:モデル学習における個人データの不正利用に対するプライバシー保護
- 機械学習モデルの普及に伴い,学習データに含まれる個人情報の保護が重要になっている。
- 既存の学習不能な事例(UEs)は,事前学習-ファインチューニング(PF)パラダイム下では効果が低い。
- 事前学習済み重みを活用する環境下でも,データの学習不能性を維持すること。
- 既存のUEs手法は,事前学習済みの重みを読み込み固定することで効果が著しく低下することが判明した。
- この現象は,UEsがモデルに非セマンティックなノイズへの過学習を誘導する一方,事前学習済み層がセマンティック情報を保持しノイズを抑制するためと考えられる。
- 提案手法であるShallow Semantic Camouflage(SSC)は,セマンティックに有効な空間に生成を限定し,事前学習による抑制を回避することで,PFパラダイム下でもデータの学習不能性を維持する。
スケーラブルな検索のための識別子不要なコード埋め込みモデル [cs.CR, cs.LG, cs.SE]目的:バイナリリバースエンジニアリングにおける関数関連付け
- ソフトウェアセキュリティにおいて,コードの挙動理解は不可欠であるため,効率的な関数関連付けが重要視される。
- 既存の検索ツールはAIの能力を十分に活用できておらず,ソースコードとデコンパイルコード間の双方向関連付けが困難である。
- ソースコードとデコンパイルコード間の双方向関連付けを可能にし,関数関連付けの性能向上を目指す。
- Qwen3-Embeddingモデルをコントラスト学習でファインチューニングすることで,関数関連付けにおいて既存モデルを大幅に上回る性能を達成した。
- 本モデルは,明示的に学習していない定数アルゴリズム関連付けタスクに対しても高い汎化能力を示すことが確認された。
- この研究は,AIを活用したリバースエンジニアリングの効率化に貢献する可能性を示すものである。
SecureMCP:モデルコンテキストプロトコルによるAIoTシステム向けポリシー施行型LLMデータアクセスフレームワーク [cs.CR]目的:AIoTシステムにおけるLLM生成SQLクエリの安全なデータアクセス
- AIoTシステムの普及に伴い,LLMを活用したデータ分析の重要性が高まっている。
- LLMへのプロンプトインジェクション攻撃により,機密データ漏洩や不正実行のリスクがある。
- LLM生成SQLの実行における多層防御を実現し,セキュリティリスクを軽減することを目指す。
- 提案手法SecureMCPは,RBACとMCPサーバーを統合し,テーブル・カラムレベルでのアクセス制御を実現した。
- IoT-SQLデータセットを用いた評価により,防御モジュールがクエリ実行精度を維持しつつ,ポリシー遵守率82.3%を達成した。
- チェックポリシーがブロックの78.7%を占め,他のモジュールが追加で17.5%ポイントの防御性能向上に貢献した。
展開形バンディット問題における差分プライバシー [cs.CR, cs.LG]目的:展開形バンディット問題における差分プライバシーの実現
- 機械学習の利用拡大に伴い,プライバシー保護の重要性が増している。
- バンディット問題におけるプライバシー保護は未検討であり,課題である。
- 展開形バンディット問題において,プライバシーを保護しつつ効率的な学習を目指す。
- 提案アルゴリズムは,ε-局所差分プライバシーを満たし,$\tilde{O}(\sqrt{A\ln(S)T}/\epsilon)$のレグレットを達成する。
- アルゴリズムの計算量は,情報集合における最大行動数に応じて対数的に増加するが,サーバからユーザへの戦略伝送時間と同程度である。
- 局所差分プライバシーは差分プライバシーの最も強い形式であり,展開形バンディット問題への適用は初である。
6Gにおける知識ベースエージェントのための動的認可 [cs.CR]目的:知識ベースへの安全なアクセス保証
- 6Gは分散型マルチエージェントシステムへ移行しており,知識共有の安全性が重要である。
- 従来のRBAC等の認可モデルでは,セマンティックデータを取り扱う自律エージェントに必要な粒度が不足している。
- 知識グラフレベルでのゼロトラスト原則を適用し,きめ細かいアクセス制御を実現する。
- 本研究では,ロールと一階述語論理を統合したハイブリッド認可フレームワークを提案する。
- トリプルレベル(主語-述語-目的語)での認可を強制し,権限の継承を排除することで,必要なメタデータのみへのアクセスを保証する。
- エージェントの機能ライフサイクルに応じたアクセス制御が可能となる。
エコーチェンバーの破壊:ピアレビューのAIによる乗っ取りに対する原稿に隠された安全策 [cs.CR, cs.AI]目的:AIによるピアレビューのアウトソーシング検出と防御
- 科学研究の質を保証する上で,ピアレビューの信頼性は不可欠である。
- LLMの進化により,ピアレビューがAIに委託されるリスクが高まっている。
- AIによるピアレビューのアウトソーシングを検出し,質の低いレビューを排除すること。
- 提案手法IntraGuardは,PDF構造を利用し,AIによるレビューを妨害する隠れた指示を埋め込む。
- 7つの商用チャットボットと12の学術誌を対象とした評価で,最高84%の防御成功率を示した。
- IntraGuardは軽量であり,通常のPCで原稿1件あたり平均1秒程度のオーバーヘッドで動作する。
LLMスキルにおける監査・実行ギャップの封鎖 [cs.CR]目的:LLMスキルサプライチェーンに対する攻撃への対策
- LLMはスキルという形で機能拡張が容易だが,その安全性は重要課題である。
- スキルの内容と実行可能部分の区別が難しく,悪意のある改ざんや不正利用のリスクがある。
- スキル公開から実行までの一貫した検証体制を構築し,サプライチェーン攻撃を防ぐ。
- SIGILは,改ざん検知可能な分散型オンチェーンレジストリを通じて,LLMスキルを検証可能にホスティングする。
- レジストリは,公開,ライセンス,封印,コミットの4つの公開タイプを提供し,DAOによる監査と経済的インセンティブ機構を備える。
- Skill Verification Loader(SVL)がスキルを検証・復号化し,許可されたマニフェストを適用することで,実行時の完全性を保証する。
ネットワーク侵入検知システムのための新規バイトレベルフロー-画像エンコーディング手法 [cs.CR]目的:ネットワーク侵入検知における画像化による特徴抽出の有効性
- ネットワークセキュリティの重要性が高まる中,侵入検知システムの性能向上が不可欠である。
- 従来のIDSは表形式のフローレコードに依存しており,特徴量間の空間的な相関性を活用できていない。
- フローレコードを画像化することで,CNN等の畳み込みアーキテクチャによる空間的特徴の抽出を可能にする。
- 提案手法により,UNSW-NB15データセットにおいて,二値分類で最大15.6%,多値分類で最大12.8%の精度向上が確認された。
- NSL-KDDデータセットにおいても,二値分類で最大3.5%,多値分類で最大3.2%の精度向上が確認された。
- バイトレベルでの視覚的エンコーディングが,ローカルネットワークにおけるAI駆動型侵入検知を強化する可能性を示唆する。
GLiNER Guard:プロダクションLLMの安全性とプライバシーのための統合エンコーダファミリー [cs.CR]目的:プロダクションLLMにおける安全性モデレーションと個人情報検出
- LLMの利用拡大に伴い,安全性とプライバシー保護の重要性が増している。
- 安全性とプライバシー保護は,精度とコストのトレードオフの関係にある。
- 単一のパスで安全性評価と個人情報検出を実現し,効率的な安全パイプラインを構築する。
- GLiNER Guardは,コンパクトなエンコーダ(145-147M)により,高いスループットと低レイテンシを実現した。
- 単一のA100で動的バッチ処理を行い,1秒あたり193リクエストを処理し,P99レイテンシを1秒未満に抑えた。
- GLiGuard Omni(209M)は,安全性ベンチマークにおいて,より大規模なモデレーターと競合する性能を示した。
エージェントの保護:ベンダー中立型,マルチテナント企業向け検索とツール利用 [cs.CR, cs.AI, cs.IR, cs.SE]目的:企業における検索拡張生成(RAG)とエージェントAIシステムのセキュリティ確保
- 企業AIの導入が進む中,データ保護とアクセス制御の重要性が増している。
- 既存のRAGアーキテクチャでは,権限確認を怠り,テナント間のデータ漏洩リスクがある。
- マルチテナント環境におけるデータセキュリティを確保し,情報漏洩を防ぐことを目指す。
- 提案アーキテクチャは,ポリシーを意識したインジェスト,検索時のゲート処理,共有推論を組み合わせることで,層状の分離を実現する。
- セキュリティに関わる重要な操作をサーバー側に集中させることで,マルチテナント分離の自然な強制ポイントを設ける。
- OGXによる実装と実験により,ABACゲートがテナント間のデータ漏洩をなくし,オーバーヘッドがごくわずかであることが確認された。
物理世界におけるVLMのプライバシー意識:実証研究 [cs.RO, cs.RO, math.OC, cs.CR, cs.AI]目的:物理環境におけるVLMのプライバシー意識の評価
- VLMは,身体を持つアシスタントの認知コアとして活用が広がる中で,プライバシー保護が重要となる。
- 既存の評価基準はテキストベースに限られ,現実世界の複雑な状況に対応できない。
- 現実的な物理環境を再現し,VLMのプライバシー意識を多角的に評価すること。
- 12種類の最先端モデルの評価により,複雑なシーンでは性能が低下し,状況の変化への対応も不十分であることが示された。
- 最も優れたgemini-3.1-proでさえ,タスク遂行とプライバシー保護のバランスが取れるのは51%のケースのみであった。
- 現在のVLMは,知覚的な脆弱性を抱え,プライバシーに関する知識が行動に反映されていないことが明らかになった。
公開リポジトリにおけるログベースの検知ルール進化 [cs.CR, cs.SE]目的:ログベースの検知ルール進化の分析
- 現代のセキュリティ運用において,ログベースの検知ルールは不可欠であり,専門知識を反映している。
- ネットワーク侵入検知シグネチャの進化は研究されてきたが,ログベースの検知ルールの経時的な変化はほとんど研究されていない。
- 公開リポジトリにおける検知ルール進化のパターンを明らかにし,より良いルール作成プロセスを支援する。
- SigmaとSSCの6,859件のルール履歴を分析した結果,約56%のルールが少なくとも1回以上検知ロジックの修正を受けていることが判明した。
- ルールの進化は単調ではなく,多くのルールが時間とともに句を追加したり削除したりする非線形な変化を示している。
- 構造分析とLLM推論の結果,約4分の1から3分の1のルールが,カバレッジの拡大と誤検知の削減を交互に行っていることが示唆された。
大規模言語モデルの情報理論的敵対的学習 [cs.LG, cs.AI, cs.CR]目的:大規模言語モデルに対する敵対的プロンプトのロバスト性向上
- 大規模言語モデルの安全性と信頼性は,社会実装において不可欠である。
- 敵対的プロンプトに対する脆弱性が残り,有害な行動を引き起こす可能性がある。
- 敵対的例の再重み付けによるロバスト性の向上を目指す。
- WARDENは,敵対的例をf-divergence ambiguity setで動的に再重み付けする。
- 攻撃成功率を大幅に削減しつつ,モデルの有用性を維持する。
- 計算コストと有用性は,既存手法と同程度で,実用的なロバストアライメント手法となる。
CISコントロールに基づくアプローチによる大規模言語モデルのサイバーリスク評価における信頼性評価 [cs.CY, cs.CY, cs.CR]目的:サイバーセキュリティリスクシナリオにおける大規模言語モデルと人間の専門家との評価性能の比較
- サイバー攻撃の巧妙化と増加により,組織のセキュリティ体制強化は喫緊の課題である。
- サイバーセキュリティ人材の不足が深刻化しており,効率的なリスク評価手法が求められている。
- 大規模言語モデルのサイバーセキュリティ分野での活用可能性と,その限界を明らかにすること。
- 大規模言語モデルは,人間の専門家と比較してサイバーセキュリティリスクを過小評価する傾向にあることが示された。
- 人間の監視下で大規模言語モデルを補完的なツールとして活用することが推奨される。
- サイバーリスク評価においては,人間の専門家の判断が不可欠であることが再確認された。
場所を失わずにプライバシーを保護する:空間RAGにおけるプライベート検索のパラダイム [cs.CR, cs.LG]目的:空間RAGシステムにおけるユーザーの場所プライバシー確保
- 位置情報技術の発展に伴い,プライバシー保護の重要性が増している。
- 従来の差分プライバシーは,位置情報の精度低下を招く可能性がある。
- 場所プライバシーを維持しつつ,RAGシステムの性能を維持すること。
- PASは,約370〜400mの敵対的場所誤差で,良好なプライバシー保護を達成した。
- ベースラインの検索性能の半分以上を維持し,ダウンストリームの生成品質も比較的堅牢であった。
- アンカー離散化による幾何学的バイアスが,プライバシーと有用性の非単調な関係を生み出すことが示された。
SOCpilot:LLM支援によるインシデント対応計画のポリシー準拠検証 [cs.CR]目的:LLM支援によるインシデント対応計画のポリシー準拠性
- セキュリティ運用は重要であり,迅速かつ正確なインシデント対応が求められる。
- LLMの提案する対応計画が,規定のステップや承認プロセスを遵守しているかの検証が困難。
- LLM提案計画のポリシー準拠性を定量的に評価し,不準拠な行動を特定・削減する。
- SOCpilotを用いて,金融セクターの実際のインシデント200件を分析した結果,2つのLLMプロバイダーの計画を比較検証した。
- 同一のポリシーテキストを用いても,LLMプロバイダー間で結果が異なる傾向が見られた。
- SOCpilotは466件の不準拠アクションを削除し,基本的なタスクのリコール率を維持した。承認が必要な回復・封じ込め判断に焦点を当てた検証を行った。
WAAA!エージェント型ブラウザに対するWeb上の敵対者 [cs.CL, cs.CY, cs.CR]目的:エージェント型ブラウザにおけるWeb攻撃の脅威モデルと攻撃手法の検討
- LLMのブラウザ統合が進み,ユーザーの代理行動を行うエージェント型ブラウザの重要性が増している。
- 既存研究は間接的なプロンプトインジェクション攻撃に限定され,従来のWeb攻撃への対策が不足している。
- エージェント型ブラウザのセキュリティを脅かすWeb攻撃を特定し,その対策の必要性を訴える。
- 本研究では,WebとLLM両面からの20種類の攻撃タクソノミーを提示し,18種類の攻撃を実装した。
- エージェント型ブラウザは,信頼できないページコンテンツの影響を受けやすく,従来のWeb攻撃が再発,増幅される可能性があることが示された。
- 14種類の攻撃が主要なLLMモデルで再現され,エージェント型ブラウザの再設計の必要性が確認された。
ウェブにおける年齢認証 - 制限されたコンテンツへのアクセス制御の聖杯 [cs.CR, cs.CY]目的:制限されたコンテンツへのアクセス前の年齢認証手法
- 未成年者を有害情報から保護するため,年齢認証は不可欠である。健全な精神発達を促すためにも重要。
- 信頼できる年齢確認メカニズムが不足しており,未成年者が成人向けコンテンツに容易にアクセスしている。
- プライバシーを保護しつつ,安全で柔軟な年齢認証を実現すること。
- 現在の年齢認証ソリューションの脆弱性と脅威を分析し,代替案を提案している。
- Privacy PassやPrivacy Access Tokensといったオープン標準と暗号化技術を活用することで,プライバシーを重視した安全な年齢認証が可能になる。
- ユーザーが信頼できるプロバイダーを選択できるようになり,データ侵害のリスクを軽減し,より安全なデジタル環境を実現する。
収集を超えて:最新のセキュリティロギング標準の検知有効性の測定 [cs.CR]目的:セキュリティロギング標準の検知有効性の評価
- サイバー脅威の迅速かつ正確な検知には,効果的なセキュリティロギングが不可欠である。
- 様々な業界標準のロギングフレームワークの有効性の比較研究が不足している。
- 各ロギング標準の攻撃指標捕捉能力の差を明らかにすること。
- 本研究では,自動化されたSETCフレームワークを用いて,CIM,OCSF,ECSを含む複数のロギング標準を体系的に評価した。
- 50種類の遠隔コード実行脆弱性に対する実験により,各標準のテレメトリ完全性と攻撃検知可能性を定量化した。
- その結果,ロギング標準の間に重要なギャップと有意な差があることが明らかになった。
ブロックチェーンにおける敵対的調達 [cs.GT, cs.CR]目的:敵対的環境下における高コストなタスクの効率的な実行依頼
- ブロックチェーン技術は,分散型システムの信頼性と透明性を高める基盤技術である。
- 計算資源の非対称性に着目したプロトコル設計において,効率的なインセンティブ設計が課題である。
- 敵対環境下でのタスク実行を促す最適なメカニズムを形式的に定義し,その特性を明らかにする。
- 最適なプロトコルの損失は,生存性の故障コストとネットワークにおける敵対的ノードの割合に比例して対数的に増加する。
- 最適な均衡状態は直感的な構造を持ち,リーダーベースのコンセンサス機構を想起させる単一のランダムノードを主要なワーカーとして指定し,委員会がバックアップとして機能する。
- マイナスの支払い(スラッシング)が特に有効な漸近的レジームが特定された。
多岐にわたる対話における隠れた悪意への対応:応答を意識した防御策 [cs.AR, cs.DC, cs.CL, cs.AI, cs.CR]目的:多岐にわたる対話における隠れた悪意の検出と防御
- 大規模言語モデルの普及に伴い,悪意のある攻撃が高度化しているため,安全性の確保が重要である。
- 従来の防御策では,複数のターンに分散した悪意を検出しきれないという課題が存在する。
- 対話の早期段階で悪意を検出し,適切な介入を行うことで,有害な行動を未然に防ぐことを目指す。
- 本研究では,Multi-Turn Intent Dataset (MTID)を構築し,悪意のある対話と安全な対話の識別を支援する。
- TurnGateというターンレベルの監視システムを開発し,既存の基盤モデルを大幅に上回る性能を達成した。
- TurnGateは,異なるドメインや攻撃手法,ターゲットモデルに対して高い汎化性を示すことが確認された。
アーキテクチャが重要である:知識ベース汚染下におけるRAGシステムの比較 [cs.CR, cs.CL, cs.LG]目的:知識ベース汚染に対するRAGシステムの脆弱性の評価
- RAGシステムは,大規模言語モデルの性能向上に不可欠であり,その堅牢性は重要な研究課題である。
- RAGシステムは知識ベースの改ざん(汚染)に対して脆弱であり,その影響は十分に理解されていない。
- 様々なRAGアーキテクチャの汚染に対する耐性を比較し,脆弱性の所在を特定すること。
- RAGアーキテクチャによって,敵対的攻撃に対する耐性に大きな差が見られた。特に,Recursive Language Models (RLM) は最も高い耐性を示した。
- CorruptRAG-AK攻撃において,汚染されたドキュメントが取得された後,敵対的なフレームワークが攻撃の成功を大きく左右することが示された。
- MADAM-RAGは矛盾検出率が高いものの,矛盾を確実に解決できず,非回答率が高いという課題が残る。
クラウドエッジセキュリティ分析における堅牢かつ迅速な連合型侵入検知のためのAoIガイド型クライアント選択 [cs.CR, cs.DL]目的:連合学習におけるクライアント選択の最適化
- クラウドエッジ環境におけるセキュリティ分析の重要性が増しており,分散されたデータを活用した侵入検知が求められている。
- 連合学習では,クライアントの異質性やネットワークの遅延により,情報の鮮度が低下し,検知性能に影響を与える可能性がある。
- 情報の鮮度を考慮したクライアント選択により,連合型侵入検知の迅速性と堅牢性を向上させることを目指す。
- Age of Information (AoI)を考慮したクライアント選択により,平均AoIは約39-41%,ピークAoIは約70%削減された。
- ハイブリッドポリシーは,Macro-F1/AUCを維持しつつ,鮮度,検知品質,堅牢性のバランス調整を可能にした。
- AoIガイド型選択とトリム平均集約を組み合わせることで,ラベル反転ポイズニングに対する堅牢性を高めることができた。
CFE-PPAR:ビデオTransformerを活用したプライバシー保護アクション認識のための圧縮に強い暗号化 [cs.CV, cs.AI, cs.CR]目的:プライバシー保護アクション認識のための圧縮に強い暗号化手法
- ビデオデータにおけるプライバシー保護は重要であり,行動認識と両立が求められている。
- 既存の暗号化手法は,ビデオ圧縮を行うと認識性能が大幅に低下するという課題がある。
- 圧縮による性能劣化を抑制しつつ,プライバシー保護と高精度な行動認識を実現すること。
- 提案手法CFE-PPARは,暗号化されたビデオを直接Video Transformerで認識可能にする。
- 実験の結果,CFE-PPARはUCF101およびHMDB51データセットにおいて,Motion-JPEGおよびH.264圧縮下で既存手法を上回る性能を示した。
- 同じ鍵で暗号化とパラメータ変換を行うことで,圧縮耐性を高めている。
SafeHarbor:LLMエージェントの安全性を担保する階層型メモリ拡張ガードレール [cs.CR, cs.AI]目的:LLMエージェントの安全性確保のための枠組み
- LLMエージェントの能力向上に伴い,悪意のある操作によるリスクが増大している。
- 既存の防御策は,安全性を高めるほど正常なタスクの実行に支障をきたす過剰拒否問題がある。
- 曖昧なタスクと悪意のある攻撃の両方に対し,高い安全性と実用性を両立することを目指す。
- SafeHarborは,状況に応じた防御ルールを動的に生成し,明確な意思決定境界を確立する。
- GPT-4oにおいて,63.6%の正常タスク実行率と93%以上の有害要求拒否率を達成した。
- 訓練不要で効率的かつプラグアンドプレイ可能なソリューションである。
α-WassersteinメカニズムによるRényiパファーフィッシュプライバシー [cs.CR]目的:Rényiパファーフィッシュプライバシー実現のためのα-Wassersteinメカニズム
- プライバシー保護は,データ利用における重要な課題であり,厳密なプライバシー保証が求められる。
- 従来のプライバシー保護手法では,データの有用性とプライバシー保護のバランスが課題となっていた。
- 本研究では,より効率的なプライバシー保護メカニズムを開発し,データ有用性の向上を目指す。
- α-Wassersteinメカニズムは,ラプラスノイズとガウスノイズを用いてRényiパファーフィッシュプライバシーを実現する。
- 本メカニズムは,従来のW∞に基づく手法と比較して,ノイズパワーを大幅に削減できることが実験的に示された。
- ガウスノイズを用いたメカニズムは,ラプラスノイズを用いたメカニズムよりも優れた有用性を示す。
SuperPaymaster:資産指向抽象化による集中署名者権限の排除とアカウント抽象化におけるユーザビリティと分散性の両立 [cs.CR, cs.DC]目的:資産指向抽象化による集中署名者権限の排除と,ユーザビリティ,分散性,経済効率のバランス改善
- アカウント抽象化は,ブロックチェーン利用のユーザビリティ向上とセキュリティ強化に不可欠な技術である。
- 既存のPaymasterは中央集権的な署名者に依存しており,検閲のリスクや単一障害点となる可能性がある。
- 本研究は,資産指向抽象化により集中署名者を排除し,より安全で分散化されたPaymasterの実現を目指す。
- SuperPaymasterは,オンチェーンのSoulbound Tokenと決定論的ポリシールールに基づいて有効性を担保することで,オフチェーン署名者を排除している。
- Optimism Mainnet上での評価により,SuperPaymasterは他の商用サンプルと比較してガス代が低く,特にDEX経由のERC-20転送と比較して49%の削減を達成した。
- フェイルオーバーシミュレーションにより,非協調的なリレーヤーを回避し,代替リレーヤーを利用できることが示された。
Stego Battlefield: 画像透かし攻撃と透かし解析防御の評価 [cs.DB, cs.CR, cs.CV]目的:画像透かし攻撃能力と透かし解析防御能力の評価
- デジタルコンテンツの普及に伴い,情報隠蔽技術の安全性が重要視されている。
- 既存の評価フレームワークが統一されておらず,攻撃と防御の能力を客観的に比較できない。
- 画像透かしによる潜在的な脅威を定量化し,防御技術の進歩を促進すること。
- SADBenchは,画像およびテキストペイロードを用いた透かし攻撃と,それに対する透かし解析防御能力を評価する包括的なベンチマークである。
- INNやオートエンコーダベースの手法は,他のアーキテクチャと比較して安定性が高いことが示された。
- 攻撃は新しい分布への汎化能力が高い一方,検出器は適応に苦戦するという重要な非対称性が明らかになった。
LCC-LLM:コード中心の大規模言語モデルを用いたマルウェアの属性特定 [cs.CR, cs.AI]目的:マルウェアの属性特定と多課題静的マルウェア解析のためのコード中心ベンチマークデータセットおよびフレームワーク
- サイバーセキュリティ脅威の高度化に伴い,マルウェアの迅速かつ正確な分析が不可欠となっている。
- 既存のLLMベースのマルウェア属性特定は,十分なコードレベルの裏付けが不足している点が課題であった。
- コード中心表現と知識検索による推論を通じて,LLMのマルウェア分析の信頼性と実用性を向上させる。
- 大規模なリバースエンジニアリングパイプラインで処理された約3万4千件のPEサンプルから構成されるLCCDデータセットを構築した。
- LangGraphを活用した静的解析と,様々なサイバーセキュリティ知識ソースを統合したフレームワークLCC-LLMを開発した。
- 43種類のマルウェア分析タスクにおいて平均セマンティック類似度0.634を達成し,実世界のケーススタディで10/10の構造化分析パス率を記録した。
LeakDojo:RAGシステムの情報漏洩脅威の解読 [cs.CR, cs.AI, cs.CL]目的:RAGシステムの漏洩リスクの体系的な評価
- LLMの活用が進む中,外部知識の利用は不可欠であり,RAGはその重要な手段である。
- RAGシステムは情報漏洩リスクを孕んでおり,既存研究ではその評価が十分でない。
- RAGシステムの漏洩リスクを定量的に評価し,その対策に資することを目的とする。
- LeakDojoフレームワークを用いて,14種類のLLMと4つのデータセットで6つの攻撃手法を検証した結果,クエリ生成と指示文が漏洩に寄与することが明らかになった。
- LLMの指示追従能力が高いほど,漏洩リスクが高まる傾向が確認された。
- RAGシステムの忠実性が向上すると,漏洩リスクが増加する可能性が示唆された。
LLMエージェントに対する終端ポイズニング攻撃:LoopTrap [cs.CR, cs.AI]目的:LLMエージェントの終端判断の歪みによる無限計算を引き起こす攻撃手法の定義と特性評価
- LLMエージェントは複雑なタスクを反復処理で解決するため,その自律性は重要である。
- LLMエージェントの自己評価メカニズムは,悪意のあるプロンプトによって操作される脆弱性がある。
- エージェントの行動特性に基づいた自動化された攻撃手法を開発し,脆弱性を評価する。
- LLMエージェントの行動パターンを分析し,効果的な攻撃戦略を特定した。
- LoopTrapという自動化された敵対的テストフレームワークを開発し,特定のLLMエージェントに対する攻撃を合成する。
- LoopTrapは,主要なLLMエージェントにおいて平均3.57倍のステップ増加,最大25倍のステップ増加を達成した。
SkillScope:エージェントスキルに対するきめ細かな最小権限強制に向けて [cs.CR]目的:エージェントスキルにおける過剰な権限の検出と制限
- LLMエージェントの能力拡張手段としてスキルが普及している。その安全性確保が重要である。
- スキルがユーザーの意図を超える操作を実行し,最小権限の原則に反するリスクが存在する。
- タスクに応じて変化する権限の過剰さを検出し,実行を制限することで安全性を高める。
- SkillScopeは,スキル内の命令レベルとコードレベルのアクションをグラフとして分析する。
- 実験により,スキルの過剰権限検出において94.53%のF1スコアを達成した。
- 実際のスキルエコシステムにおいて7,039の過剰権限を持つスキルを特定し,タスク実行時の過剰権限アクションを88.56%削減した。
ActiveFlowMark:アクティブな帯域幅ウォーターマーキング下におけるTor匿名性の評価 [cs.CR]目的:Tor匿名性に対するアクティブな帯域幅ウォーターマーキングの影響評価
- Tor等の低遅延匿名ネットワークは,暗号化通信から得られる側情報を用いたインフラレベルのトラフィック解析に脆弱である。
- 既存の受動的な相関分析手法では,エンドポイントの侵害やTorブラウザの改変,パケットペイロードの解析が必要となる場合がある。
- 本研究は,ネットワークゲートウェイから観測可能な帯域幅の微調整によるアクティブなトラフィック相関分析の有効性を検証する。
- 提案手法NATAは,エンドポイントの侵害やブラウザの改変,パケット解析を必要とせず,ネットワークゲートウェイからの攻撃が可能である。
- 帯域幅変調検出のためのフレームワークBM-Netは,実世界のTorパスのデータ効率の良い学習戦略を採用し,99.65%のバイナリ検出F1スコアを達成した。
- シミュレーション結果は,帯域幅を考慮したリレー選択下で,出口観測確率が示唆されることで,アクティブな帯域幅擾乱がトラフィック相関のためのインフラレベルのサイドチャネルとなりうることを示唆する。
物体検出における敵対的ファインチューニングによるバックドア軽減 [cs.CV, cs.CR]目的:物体検出におけるバックドア攻撃の軽減
- 安全性が必要な画像認識システムにおいて,バックドア攻撃は深刻な脅威となりうる。
- 画像分類におけるバックドア軽減技術は存在するものの,物体検出における防御は未発達である。
- 攻撃目標が不明な状況下で,バックドア攻撃を受けた検出器を修復する手法を提案する。
- 提案手法では,誤分類と消失攻撃の両方に対応するため,ソフトブランチ最小化を導入した。
- ターゲットに一致する予測に二重目的の損失関数を適用することで,防御更新をバックドア行動に関連する予測に集中させた。
- CNNおよびTransformerベースの検出器を用いた実験により,提案手法が既存手法よりも攻撃成功率を効果的に低減し,真の検出性能を維持することが示された。
宇宙空間における公開鍵システム:軌道上信頼サービスを通じた安全な宇宙通信の実現 [cs.CR, cs.ET]目的:宇宙資産の安全な認証
- 近年,宇宙利用が活発化し,多くの独立主体が衛星を運用するようになり,安全な通信の確保が重要になっている。
- 従来の地上依存型PKIは,遅延や運用上のボトルネックがあり,動的な宇宙環境での拡張性と可用性に限界がある。
- 本研究は,PKIの機能を地上から宇宙へ移行し,宇宙環境における信頼管理の遅延を削減することを目指す。
- 本稿では,証明書管理と検証を宇宙インフラに移行する宇宙空間PKIのアーキテクチャ設計を提案する。
- 軌道上検証機関を持つ宇宙・地上統合PKIと,宇宙内での証明書発行と検証を行う完全自律型宇宙PKIという2つの展開方式を紹介する。
- 複数事業者環境における拡張性,可用性,セキュリティ,コスト,運用上の複雑さのトレードオフを分析し,軌道上信頼管理の性能への影響を示す。
Heimdallr:GitHub CIワークフローにおけるLLM誘発セキュリティリスクの特性評価と検出 [cs.CR, cs.SE]目的:GitHub CIワークフローにおけるLLM誘発セキュリティリスク
- ソフトウェア開発における自動化ニーズの高まりから,CI/CDパイプラインのセキュリティ確保が重要である。
- LLMの利用拡大に伴い,外部からの入力操作による悪意あるプロンプト注入等のリスクが顕在化している。
- CIワークフローにおけるLLM利用時の脆弱性を特定し,具体的な脅威ベクターを検出する手法を確立する。
- 本研究では,LLMとCIセキュリティの交差点に着目し,新たな攻撃対象領域を特定した。
- ワークフローの実行チェーン全体に沿ってリスクを分析し,リスク分類と脅威ベクターの分類体系を構築した。
- 開発したハイブリッド分析フレームワークHeimdallrは,高い精度でLLMノードの識別,トリガー可能性の分類,脅威ベクターの検出を実現した。
PragLocker:信頼できない環境におけるエージェントの知的財産保護のための非移植性プロンプト [cs.CR, cs.AI]目的:エージェントの知的財産保護
- LLMエージェントの普及に伴い,プロンプトの重要性が増している。
- プロンプトが容易に複製され,悪用されるリスクが存在する。
- 特定のLLMでのみ動作するプロンプトを生成し,知的財産を保護する。
- PragLockerは,コードシンボルで意味を固定し,ターゲットモデルのフィードバックでノイズを注入することで,関数を維持したままプロンプトを難読化する。
- 実験により,PragLockerがクロスLLM移植性を大幅に低減し,ターゲットの性能を維持することが示された。
- 適応的な攻撃者に対しても堅牢であることが確認された。
Safety Anchor:幾何学的ボトルネックによる有害なファインチューニングからの防御 [cs.CR, cs.AI, cs.CL]目的:大規模言語モデルにおける有害なファインチューニングに対する防御策
- 大規模言語モデルの安全性確保は,社会実装において不可欠であり,その重要性は増している。
- 既存の防御策は,パラメータ空間の冗長性により,継続的な有害なファインチューニングによって回避される可能性がある。
- アンベディング層に着目し,幾何学的ボトルネックを設けることで,安全性を維持しつつ有害なファインチューニングを抑制する。
- 提案手法であるSBRは,有害なクエリの最終隠れ状態を安全なモデルのそれらに固定することで,高い防御効果を発揮する。
- 単一の安全アンカーを用いるだけで,有害スコアを10未満に低減し,良性タスクにおける性能を維持する。
- SBRは,パラメータ空間の冗長性という問題に対し,効果的な解決策を提供する。
拡散モデルに対する原理に基づいた安全なシードベースの多ビット透かし [cs.CR, cs.CV]目的:拡散モデルにおける透かし技術の安全性,堅牢性,および忠実度評価のための理論的枠組みの構築
- 生成モデルの急速な発展に伴い,生成物の権利保護が重要となっているため。
- 既存の透かし評価は経験則に頼る部分が大きく,汎用性に欠けるという課題がある。
- モデルに依存しない,理論的な保証に基づいた透かしシステムの設計を可能にすること。
- 本研究では,安全性,堅牢性,忠実度を定量化する特性曲面に基づいた評価フレームワークを提案した。
- 提案手法SSBは,既存のシードベース手法を一般化し,特性曲面上の任意の安全・堅牢・忠実度領域に到達可能である。
- 理論的な保証に基づいた透かしシステムの設計を可能にし,高コストな経験的評価の必要性を低減する。
ステートフルエージェントのバックドア [cs.CR]目的:大規模言語モデルベースのエージェントに対するバックドア攻撃手法
- LLMエージェントの利用拡大に伴い,そのセキュリティ確保が重要課題となっている。
- 既存のバックドア攻撃は単一セッションに限定され,持続的な攻撃は困難であった。
- 複数セッションにわたる持続的なバックドア攻撃を可能にし,LLMエージェントの安全性を脅かす問題を解決する。
- 提案手法は,状態を保持する永続的なコンポーネントを用いて,複数セッションにわたる自律的な攻撃を可能にした。
- 攻撃の成功率は4つのモデルで80%〜95%を達成し,トランジションごとの分析により有効性が確認された。
- 異なる構成や永続的コンポーネントを用いた拡張変種においても,一貫した有効性が示された。
ClawGuard:LLMエージェントワークフローの乗っ取り検出における電磁サイドチャネルを用いた帯域外検知 [cs.CE, cs.CR]目的:LLMエージェントワークフローの乗っ取り検出
- LLMエージェントの普及に伴い,セキュリティリスクへの対策が不可欠となっている。
- 既存の防御策はOSの内部情報に依存するため,OSが侵害された場合,偽装される可能性がある。
- 電磁波を利用した帯域外検知により,改ざん耐性の高いセキュリティチェックを実現する。
- ClawGuardは,エージェントのスキルごとのハードウェア使用パターンを電磁波から検出し,ワークフローの乗っ取りを検出する。
- 7.82TBの電磁波データを用いた評価で,AUC 0.9945,真陽性率100%,偽陽性率1.16%を達成した。
- これにより,帯域外検知が改ざん耐性の高い物理的なセキュリティチェックとして有効であることが示された。
LLMエージェントのプライバシー氷山:わずかな費用で明らかになる個人プロファイリング [cs.CL, cs.CR]目的:LLMエージェントによる個人プロファイリングのリスク評価
- LLMの進化は情報収集・分析を劇的に変化させた。それと同時に新たなプライバシー侵害の可能性が生じている。
- 既存研究はLLMの学習段階に焦点を当て,プライバシー研究は人間中心の視点が不足している。
- LLMの悪用によるプライバシーリスクを体系的に評価し,その対策を提案すること。
- 本研究では,「PrivacyIceberg」というフレームワークを提案し,プライバシーリスクを3つのレベルに分類した。
- わずかな個人情報から高精度な個人プロファイルを短時間かつ低コストで再構築できることを実証した。
- プライバシー侵害の根本原因を特定し,関係者による対策を提案した。
ランダムシャッフルに基づくDP-SGDのトレードオフ関数:タイトな上限と下限 [cs.LG, cs.CR]目的:ランダムシャッフルに基づくサブサンプリングを用いた差分プライバシー確率的勾配降下法(DP-SGD)のトレードオフ関数の解析
- データプライバシー保護の重要性が高まる中,機械学習モデルの差分プライバシー保証が求められている。
- 既存の差分プライバシー手法では,プライバシー保護とモデル精度のトレードオフが明確でない場合がある。
- ランダムシャッフルを用いたサブサンプリングによるDP-SGDのトレードオフ関数を厳密に解析し,明確な境界を導出すること。
- 本研究では,f-DPフレームワークにおいて,ランダムシャッフルに基づくサブサンプリングを用いたDP-SGDのトレードオフ関数をタイトに解析した。
- 具体的なパラメータ設定において,理想的なランダム推測の対角線に近いトレードオフ関数(1-a-δ)を達成するためのラウンド数とサンプル数を評価した。
- 複数エポックにわたるトレードオフ関数の合成方法を提示し,δの依存性を改善する新しい証明技術を導入した。
指標を操作するのではなく危害を軽減:戦略的なプラットフォーム操作に対する安全性監査の認証 [cs.RO, cs.CR, cs.CY, cs.LG]目的:プラットフォームによる戦略的な操作を受けない,危害の真の減少を認証できる監査指標の条件
- オンラインプラットフォームにおける安全性確保は喫緊の課題であり,法規制も強化されている。
- プラットフォームは指標を最適化することで規制を回避し,実質的な安全性改善につながらない可能性がある。
- プラットフォームの操作に左右されない,信頼性の高い安全性評価指標を確立することを目指す。
- 指標がコンテンツ変種を直接評価する場合,有害なコンテンツ群内でスコアの差異があれば操作が可能となる。
- セマンティック・エンベロープ(Semantic Envelope)法は,クラス内でのスコア最大値を割り当てることで,保守的な指標操作を最小限に抑える。
- 提案手法による証明書は,プラットフォームのあらゆる戦略に対して有効であり,アノテーション誤差やプロトコルエラーを吸収する。
ソリューション志向のWindowsイベントログ分析のための小規模言語モデルのファインチューニング [cs.CR, cs.AI]目的:Windowsイベントログ分析における問題特定と解決策の生成
- サイバーセキュリティにおいて,イベントログ分析は異常検知とインシデント対応の基盤となる重要技術である。
- 既存のLLMは計算資源やセキュリティ上の制約があり,実用的な展開が困難な場合がある。
- 本研究は,軽量なSLMを用いた実用的なイベントログ分析手法を確立し,解決策の提示を可能とすることを目指す。
- 大規模な合成Windowsイベントログデータセットが,現実世界のシナリオを正確に反映していることが示された。
- ファインチューニングされたSLMは,問題の特定と適切な解決策の提示において,LLMよりも一貫して優れた性能を発揮した。
- SLMは,LLMと比較して少ない計算資源で同等の性能を達成可能であることが示された。
TEEによる隔離を用いた自己ホスト型コンピュータ利用エージェントにおけるホストレベルの不正利用の抑制 [cs.DC, cs.PF, cs.CR]目的:自己ホスト型コンピュータ利用エージェントにおけるホストレベルの不正利用抑制
- 自然言語との連携により利便性が高い一方,ホスト環境へのアクセス制御が重要となる。
- 悪意のある指示や操作により,エージェントが意図しない危険な動作を行う可能性がある。
- TEEを利用し,安全性が重要な処理を隔離することで,不正利用を防止する。
- 提案手法は,通常の機能を制限された環境で実行し,セキュリティ критичный な処理をTEE内で保護する。
- OpenClaw上でIntel TDXを用いて実装し,危険な操作を事前にブロックできることを示した。
- 通常の機能は維持しつつ,監査可能な証拠を残せることを確認した。
大規模言語モデルに対するブラックボックス型メンバーシップ推論攻撃:Pop Quiz Attack [cs.CR]目的:大規模言語モデルの学習データ記憶と潜在的な開示に関わるプライバシー懸念
- 近年の大規模言語モデルの普及に伴い,そのプライバシー保護の重要性が高まっている。
- 学習データに含まれる個人の情報が,モデルから推論されるリスクが存在する。
- モデルが特定の学習データを想起できるかを検証し,プライバシー漏洩の可能性を定量化する。
- 提案手法PopQuiz Attackは,既存手法と比較して20.6%高いROC-AUCスコア(平均0.873)を達成した。
- クイズ形式の多肢選択問題を用いることで,ブラックボックス環境下でも効果的な攻撃が可能となった。
- 防御策(instruction-based,filter-based,differential privacy)は性能を低下させるものの,リスクを完全には排除できない。
自律的敵対者:LLM時代のレッドチーム活動 [cs.CR]目的:大規模言語モデルエージェントによるレッドチーム活動の可能性と限界の評価
- サイバー攻撃は高度化しており,防御側の対応が追いつかない状況であるため,攻撃手法の理解と対策が不可欠である。
- レッドチーム活動において,高度な攻撃シナリオを自動化し,継続的に評価する手法が不足している。
- 本研究は,LLMエージェントを活用し,レッドチーム活動の自動化と効率化を目指す。
- LLMエージェントは攻撃計画,模倣,横方向移動などの活動を支援できる可能性が示された。
- 専門家が定義した行動計画が,他の運用モードと比較してタスク完了率が高いことが示唆された。
- コマンド実行の脆弱性,環境の不安定性,認証情報の管理不備などが課題として浮き彫りになった。
離散ラプラスメカニズムの事後処理によるプライバシー保護 [cs.CR]目的:プライバシー保護のための離散ラプラスメカニズムの事後処理手法
- データ分析におけるプライバシー保護は,個人の情報漏洩を防ぎつつ有用な情報を抽出するために不可欠である。
- 既存のプライバシー保護メカニズムは,精度と計算コストのトレードオフが存在する。
- 離散ラプラスメカニズムの事後処理により,既存メカニズムと同等以上のプライバシー保護性能と精度を実現すること。
- 離散ラプラスメカニズムを事後処理することで,亜指数関数的関数fの不偏推定量を得ることが可能となった。
- 事後処理により,ラプラスメカニズムや階段型メカニズムと同等の分布を出力できることが示された。
- 離散データに対しては,ラプラスメカニズムや階段型メカニズムよりも,離散ラプラスメカニズムが優先されるべきである。
PACZero:符号量子化による言語モデルのプライバシー保護ファインチューニング [cs.LG, cs.AI, cs.CR]目的:言語モデルのプライバシー保護ファインチューニング手法
- 大規模言語モデルの利用拡大に伴い,プライバシー保護が重要課題となっている。
- 既存の差分プライバシー(DP)は,高いプライバシー保護水準下では性能が低下する課題がある。
- PACプライバシーを用いて,高いプライバシー保護と実用的な性能の両立を目指す。
- PACZeroは,互換情報I(S*; Y1:T)=0の条件下で,実用的な性能を発揮するプライバシー保護メカニズムである。
- 符号量子化により,サブセット集約ゼロ次勾配の頻繁な合意を促し,プライバシー漏洩を抑制する。
- SST-2のOPT-1.3Bフルファインチューニングにおいて,PACZero-ZPLは非プライベートなMeZOベースラインに匹敵する精度を達成した。
- 1
- 2