arXiv雑要約
セキュリティ - 2026/05/12 公開
制御された環境から現実世界へ:実世界におけるペンテストエージェントの評価 [cs.AI, cs.CR]目的:実世界におけるペンテストエージェントの性能評価に関する研究
- サイバー攻撃の高度化に伴い,セキュリティ専門家の負担が増大しており,自動化されたペンテスト技術の重要性が高まっている。
- 既存の評価プロトコルは限定的な環境下でのタスク達成に偏っており,現実世界の複雑な環境での性能評価が不十分である。
- より現実的な評価プロトコルを構築し,AIペンテストエージェントの性能を正確に比較・分析することを目的とする。
- 本研究では,タスク達成ではなく,検証された脆弱性の発見に焦点を当てた評価プロトコルを提案した。
- 提案プロトコルは,複数の攻撃対象と脆弱性クラスに対応可能であり,現実的な曖昧さを考慮したスコアリング手法を用いる。
- 評価プロトコルとアノテーション済みデータセットを公開し,再現性と継続的な実験を支援する。
BEACON:ゲームプレイデータからの行動指紋学習のためのマルチモーダルデータセット [cs.CR, cs.AI, cs.CV, cs.LG, cs.NI]目的:ゲームプレイデータからの行動指紋学習を目的とするマルチモーダルデータセット
- 高リスクなデジタル環境では継続的な認証が重要であり,その実現には詳細な行動シグナルが必要不可欠である。
- 既存のベンチマークは,規模が小さい,単一のセンシングに限定される,環境情報の同期がないなどの課題を抱えている。
- 本研究は,これらの課題を解決し,高精度な行動生体認証技術の開発を促進することを目的とする。
- BEACONデータセットは,競技性の高いValorantゲームプレイにおける多様なスキル層を捉えた,大規模なマルチモーダルデータセットである。
- 約430GBの同期された多様なモダリティデータ(マウス,キーストローク,ネットワークパケット,画面記録など)を含み,行動生体認証の厳密なストレステストを提供する。
- 本データセットとコードはHugging FaceおよびGitHubで公開され,次世代の行動指紋認証・セキュリティモデルの評価のための再現可能なベンチマークとなる。
ローカルプライベート情報検索:グラフベース複製システムにおける新たなプライバシー視点 [cs.IT, cs.CR, cs.NI, eess.SP, math.IT]目的:グラフベース複製システムにおけるローカルユーザープライバシーの定量的評価
- 複製システムにおけるプライバシー保護は,データセキュリティとユーザー保護の観点から重要である。
- 従来のプライバシー定義では,サーバーがメッセージを保持しているかどうかにかかわらず,インデックスの秘匿が求められていた。
- サーバーのストレージ構造に着目し,メッセージ保持の有無に応じてプライバシー要件を変化させることで効率化を図る。
- ローカルプライバシー要件に基づくPIR(Local PIR)の容量が,従来のPIRと比較して著しく向上することが示された。
- グラフが異なるグラフの disjoint union である場合,Local PIR容量は従来のPIR容量に比べて乗算的に増加する。
- エッジ推移グラフや二部グラフにおいて,Local PIR容量の下限が,既存のPIR容量限界よりも大きいことが確認された。
グラフベースのストレージに対する任意のプライバシー要件を持つプライベート情報検索 [cs.IT, cs.CR, cs.NI, eess.SP, math.IT]目的:プライベート情報検索におけるプライバシーの定義の再構成
- プライバシー保護は情報セキュリティの根幹であり,データの不正利用を防ぐ上で不可欠である。
- 従来のPIRでは,全てのサーバからのプライバシー保護が必須であり,柔軟性に欠ける点が課題であった。
- サーバごとのプライバシー要件を定義し,柔軟なプライバシー保護を実現することを目指す。
- プライバシー要件をサーバごとに設定することで,従来のPIRの柔軟性を向上させることが示された。
- パスグラフとサイクリックグラフという2つの具体的なストレージ設定において,容量に関する上限または正確な容量を導出した。
- 近傍範囲内のメッセージインデックスをプライバシーセットとする設定は,ローカルPIRから標準的なグラフ複製PIRへの移行を可能にする。
AIワークフローストアによるパーソナルエージェントの堅牢性向上 [cs.CR, cs.AI]目的:パーソナルエージェントの堅牢性を高めるためのAIワークフローストアの設計
- AIエージェントの利用拡大に伴い,信頼性と安全性の確保が重要課題となっている。
- 従来のAIエージェントは即時的な応答を優先し,ソフトウェア工学的な検証が不十分である。
- 堅牢で再利用可能なAIワークフローを構築し,エージェントの信頼性を向上させることを目指す。
- AIエージェントにおける即時合成のパラダイムは,厳格なソフトウェア工学プロセスを省略し,信頼性やセキュリティ上の脆弱性を生む可能性がある。
- 本研究では,AIワークフローストアを通じて,検証済みの堅牢なワークフローを再利用することで,エージェントの性能を向上させることを提案する。
- 柔軟性と堅牢性のトレードオフを考慮し,従来の「オン・ザ・フライ」パラダイムからの脱却が,より効果的な解決策であると論じる。
スケーラブルな擬似乱数ユニタリーとユニタリー合成問題 [quant-ph, cs.CR]目的:スケーラブルなセキュリティを持つ擬似乱数ユニタリーの構成可能性
- 量子暗号の安全性向上に不可欠であり,計算資源の効率的な利用が求められている。
- 既存の擬似乱数ユニタリー構成法は,次元数に依存するセキュリティしか保証できない。
- 次元数に依存しないセキュリティを持つ擬似乱数ユニタリーの構成可能性を検証する。
- スケーラブルな擬似乱数ユニタリーの構成は,Aaronson-Kuperbergのユニタリー合成問題の解決に繋がる可能性がある。
- 統計的安全性を持つ擬似乱数ユニタリー(ROM-PRU)と,ユニタリー合成アルゴリズムの古典的オラクル入力長の間に新たな関係性が明らかになった。
- 既存のROM-PRU候補は,次元数に関する入力長制限により,スケーラブルな擬似乱数ユニタリーとはなり得ないことが示された。
ウォーターシュタイン射影による分布からの差分プライバシーサンプリング [stat.ML, cs.CR, cs.LG]目的:差分プライバシー制約下での分布からのサンプリング
- データ分析におけるプライバシー保護は,個人情報保護の観点から不可欠である。
- 既存手法は,サポートの幾何学的構造を捉えきれていない,またはサポートが異なる場合に適用できない。
- ウォーターシュタイン距離をユーティリティ指標とする新たなDPサンプリングフレームワークを開発し,問題を解決する。
- 本研究では,ウォーターシュタイン射影に基づく最適なメカニズムであるウォーターシュタイン射影メカニズム(WPM)を提案した。
- 提案メカニズムを効率的に近似計算するアルゴリズムを開発し,その収束性を保証した。
- ウォーターシュタイン距離を用いることで,既存の密度比に基づく手法の限界を克服し,より実用的なDPサンプリングを実現した。
PromptGuard:ソフトプロンプトによるテキスト-画像モデルの不適切なコンテンツ抑制 [cs.CV, cs.AI, cs.CR]目的:テキスト-画像モデルにおける不適切なコンテンツ生成の抑制
- 近年のテキスト-画像モデルの発展は目覚ましいが,倫理的な問題も生じている。
- テキスト-画像モデルは,性的,暴力的なコンテンツなど,不適切な画像を生成するリスクがある。
- ソフトプロンプトを用いて,効率的に不適切なコンテンツ生成を抑制することを目指す。
- PromptGuardは,テキスト-画像モデルの埋め込み空間内で機能するソフトプロンプトを最適化することで,不適切なコンテンツの生成を抑制する。
- 本手法は,既存のコンテンツ抑制手法と比較して3.8倍高速であり,高い性能を示す。
- 多頭安全分類器とVLMによる評価からも,その堅牢性が確認された(不適切なコンテンツの割合はそれぞれ5.84%と6.18%)。
グラフニューラルネットワークへの説明を通じたウォーターマーキング:所有権保護のために [cs.CR, cs.AI]目的:グラフニューラルネットワークの所有権保護
- 近年,グラフニューラルネットワークの産業利用が拡大しており,その知的財産保護が重要となっている。
- 既存のウォーターマーキング手法は,グラフデータやGNNに特化したものが少なく,データ改ざんによる所有権の曖昧さや攻撃への脆弱性が課題である。
- 本研究は,データ改ざんを伴わず,説明に着目することで,これらの課題を解決し,GNNの知的財産保護を強化することを目指す。
- 本手法は,GNNの説明を統計的に識別可能にするウォーターマークを埋め込むことで,所有権の主張を統計的有意性によって検証可能にする。
- 理論的に,本手法の知識があってもウォーターマークの特定はNP困難であることが証明された。
- 実験的に,ファインチューニングやプルーニング攻撃に対する堅牢性が確認された。
リーマン多様体における密度を考慮した差分プライバシー機構:共形変換によるアプローチ [cs.CR, math.DG, stat.OT]目的:リーマン多様体上の差分プライバシーを実現するための,密度を考慮した新たな機構
- 非ユークリッド空間上のデータプライバシー保護の重要性が増しており,特に複雑な多様体上のデータに対して重要である。
- 既存手法では,データの密度分布の不均一性を考慮できず,偏った摂動や最適でないプライバシー・ユーティリティのトレードオフが生じる。
- データの局所密度に基づいて摂動を調整し,プライバシー保護とデータ利用のバランスを改善することを目指す。
- 提案手法Conformal-DPは,任意の完備リーマン多様体上でε-差分プライバシーを保証することを証明した。
- 期待される測地線誤差の上限が,基盤となるデータ密度比のみに依存し,大域的な曲率に依存しないことを示した。
- 合成データおよび実データを用いた実験により,Conformal-DPが不均一なデータ分布においてプライバシー・ユーティリティのトレードオフを大幅に改善することが示された。
CachePrune:KVキャッシュ編集によるLLMへの不要な追従抑制 [cs.IR, cs.CL, cs.CR, cs.AI]目的:間接的なプロンプトインジェクション攻撃に対する防御
- LLMの利用拡大に伴い,セキュリティリスクの低減が不可欠である。
- LLMはプロンプト内のデータと指示を区別できず,悪意のある指示に脆弱である。
- プロンプトのKVキャッシュにおける指示追従に関連するニューロンを特定・削除し,防御を実現する。
- CachePruneは,プロンプトコンテキストのKVキャッシュエンコーディング時に,指示追従に関連するニューロンを特定し,剪定することで攻撃成功率を大幅に低下させる。
- 本手法は,プロンプトの形式変更やテスト時のオーバーヘッドを伴わず,LLMの指示追従能力を維持する。
- ニューラルアトリビューションメカニズムは,DPOの目的関数との理論的な関連性も示されており,その精度も向上している。
ノイズを排除して:差分プライバシー下でのアルゴリズムによる集団的行動 [cs.CL, cs.LG, cs.CR]目的:差分プライバシー下におけるアルゴリズム的集団行動の成功率の限界
- AIの社会実装が進む中で,アルゴリズムによる不利益や社会的不平等の固定化が懸念されている。
- AIモデルの信頼性を高めるためのプライバシー保護技術が,集団的行動の妨げとなる可能性がある。
- 差分プライバシーが,集団的行動の成功に与える影響を定量的に評価し,そのトレードオフを明らかにする。
- 差分プライバシーは個人のデータ保護に貢献する一方で,アルゴリズム的集団行動の効果を低下させる。
- 集団的行動の成功率は,集団の規模とプライバシーパラメータに依存することが示された。
- プライバシーコストと参加インセンティブの経済分析により,私的学習環境下での集団形成が検討された。
位置匿名化はどれほど困難か? 日本における10万件のリアルユーザーの軌跡の再特定 [cs.CR]目的:位置情報の匿名化手法の安全性評価
- 個人の行動履歴はプライバシーに関わる重要なデータであり,適切な保護が求められる。
- 既存の匿名化手法は,十分な保護を提供できていない可能性がある。
- 大規模な位置情報データにおける再特定リスクを定量的に評価し,改善策を提示する。
- 公開されている匿名化された軌跡データ(YJMob100K)から,時間的・空間的な構造を復元し,地理的情報やカレンダー情報を特定することが可能となった。
- 軌跡レベルのプライバシー指標(k-匿名性,ユニシティ,ユニークネスなど)を用いて,再特定のリスクを定量化し,少数の観察やアンカーポイント,センシティブな場所の利用履歴で個人を特定できることを示した。
- 既存の匿名化戦略(ジオ・インディスティンギュイシャビリティ,局所的微分プライバシーなど)は,プライバシー保護とデータ利便性のトレードオフの関係にあり,現状では十分な効果を発揮できないことが示唆された。
生成モデルにおけるウォーターマーク偽造の軽減:ランダム化されたキー選択による [cs.CR, cs.AI, cs.LG]目的:生成AIモデルが生成したコンテンツの検証
- AI生成コンテンツの普及に伴い,著作権保護や信頼性確保が重要になっている。
- ウォーターマークを悪用した偽造攻撃により,AI提供者の信頼が損なわれるリスクがある。
- 攻撃者が多数のウォーターマーク付きサンプルを収集しても,偽造を防止する手法を開発する。
- 提案手法は,攻撃者が収集したウォーターマーク付きコンテンツの数に関わらず,偽造耐性があることを理論的に証明した。
- 各クエリごとにウォーターマークキーをランダム化し,正確に1つのキーでのみ検出されたコンテンツを本物と判定する。
- 画像とテキストの両モダリティで効果が確認され,計算コストも無視できる程度である。
大規模言語モデルにおける多数決ビット認識型ウォーターマーキング [cs.CL, cs.CR]目的:大規模言語モデル生成テキストへの識別可能な多ビットメッセージ埋め込みによる悪用追跡
- 大規模言語モデルの普及に伴い,有害コンテンツ生成の悪用が懸念されているため,その対策が重要である。
- 既存手法は,検出精度とテキスト品質のトレードオフがあり,ウォーターマーク信号維持のためトークン集合を制限せざるを得ない。
- テキスト品質を維持しつつ,より高い検出精度を実現するウォーターマーキング手法を開発することを目的とする。
- 提案手法は,トークン集合のサイズ制限を緩和し,より強いウォーターマーク信号を保持する多数決ビット認識型エンコーディングを採用する。
- MajorMarkおよびMajorMark$^{+}$という2つの実装を提案し,長メッセージに最適化されたMajorMark$^{+}$は特に効果的である。
- 実験結果から,提案手法は既存手法と比較して,より高い検出精度と優れたテキスト品質を達成することが示された。
塩味の海鳥:船舶ネットワークにおける攻撃の痕跡を追跡するためのVSATハニーネット [cs.CR]目的:船舶ネットワークに対する攻撃の痕跡収集と分析
- 海運業界は重要インフラであり,サイバー攻撃による甚大な被害が懸念されるため,セキュリティ対策が不可欠である。
- 船舶のネットワークはレガシーシステムが多く,セキュリティ対策が遅れており,攻撃に対して脆弱である。
- 船舶ネットワーク特有の攻撃手法を把握し,効果的な防御策を開発する必要がある。
- 本研究では,船舶向けVSATシステムを模倣したハニーネット「Salty Seagull」を構築し,30日間インターネットに公開した。
- その結果,多数の一般的な攻撃試行があったものの,システムと脆弱性を理解した攻撃者1名のみがアクセスに成功した。
- 攻撃者はシステムの潜在能力を十分に探査しなかったものの,ハニーネットによる攻撃者の行動分析の可能性が示された。
Scam2Prompt:実運用LLMにおける悪意のある詐欺エンドポイントを監査するためのスケーラブルなフレームワーク [cs.CR, cs.AI, cs.SE]目的:LLMにおける詐欺サイトの悪意を検出し,それを再現するプロンプトを生成することによる脆弱性評価
- LLMはソフトウェア開発に不可欠だが,学習データに含まれる悪意のあるコンテンツのリスクがある。
- LLMが詐欺的なURLを生成する可能性は存在するが,その評価方法が確立されていない。
- 実運用LLMにおける詐欺サイトを模倣したプロンプトに対する脆弱性を定量的に評価する。
- Scam2Promptを用いて4つのLLMを評価した結果,4.24%のケースで悪意のあるURL生成が確認された。
- Innoc2Scam-benchを用いて検証した結果,最新のLLMにおいても高い割合で悪意のあるコード生成が確認された。
- 既存の安全対策では,この脆弱性を効果的に防ぐことは難しいことが示された。
タイプ指向の権限分離によるプロンプトインジェクションの防止 [cs.CR, cs.LG]目的:プロンプトインジェクションの防止策
- 大規模言語モデルの応用拡大に伴い,エージェントシステムのセキュリティ確保が重要になっている。
- 既存の防御策は,適応的な攻撃に対して脆弱性を持つことが課題となっている。
- システムレベルの防御範囲を広げ,より多くのタスクを保護することを目指している。
- 提案手法は,信頼できないデータを厳選されたデータ型に変換することで,プロンプトインジェクションを根本的に防止する。
- データ型は範囲と内容が限定されるため,悪意のあるコード実行の可能性を排除する。
- ケーススタディの結果,本手法は高い実用性を維持しつつ,プロンプトインジェクション攻撃を効果的に防御できることが示された。
LaTeXpOsEd:大規模言語モデルを用いたプレプリントアーカイブにおける情報漏洩の体系的分析 [cs.CR, cs.AI]目的:プレプリントアーカイブにおける情報漏洩の存在と種類
- プレプリント公開は研究の迅速な共有を促進する一方,セキュリティリスクが軽視されている。
- プレプリントにはLaTeXソースやコメントなど,機密情報を含む可能性があり,それが放置されている。
- 本研究は,プレプリントアーカイブに潜む情報漏洩を検出し,その危険性を明らかにすることを目的とする。
- 10万件のarXiv投稿データ約1.2TBを分析した結果,PII,GPS情報,クラウドストレージへのリンクなどが多数発見された。
- LLMを活用した秘密検出ベンチマークLLMSec-DBを導入し,最先端モデル25種の性能を評価した。
- 研究者や機関の評判を損なう可能性のある,機密な著者間のコミュニケーションや会議への提出情報も確認された。
差分プライバシーを持つスペクトルグラフクラスタリング:プライバシー,精度,効率のバランス [cs.IT, cs.CR, cs.LG, cs.SI, math.IT]目的:エッジ差分プライバシー下でのスペクトルグラフクラスタリング
- グラフ構造データの解析は,ソーシャルネットワークや生物学ネットワークなど,様々な分野で重要である。
- プライバシー保護を考慮したグラフ解析は,データ公開に伴うリスクを軽減するために不可欠である。
- プライバシーと精度のトレードオフを解消し,効率的なクラスタリング手法を開発すること。
- 提案手法は,ランダムなエッジ反転と隣接行列のランダム置換を組み合わせた行列シャッフルメカニズムを用いる。
- このメカニズムは,グラフの規模が大きくなるにつれてプライバシーを向上させ,エラーレートを$\tilde{O}(1/n)$に抑えることが示された。
- これは,既存の差分プライバシー手法よりも優れており,理論的および実験的に検証された。
グラフ分析を用いた教師なし高速マルウェアフィンガープリント [cs.DC, cs.CR, cs.LG]目的:マルウェアのフィンガープリント作成とグループ化
- マルウェアの増加は深刻であり,手動解析は現実的ではない。
- 大量のマルウェアに対し,効率的な類似性に基づくフィルタリング手法が不足している。
- マルウェアの類似性に基づいた効率的な分類を可能とする手法を開発すること。
- 提案手法TrapNetは,グラフコミュニティ検出によりマルウェアのフィンガープリントとファミリー帰属を行う。
- FloatHash (FH)という新しい数値ファジーハッシュ技術により,アセンブリコードのセマンティクスを要約する短尺の実数値ベクトルを作成する。
- 実験結果から,TrapNetは既存手法と比較して高い精度と効率でマルウェアのグループ化を達成することが示された。
大規模言語モデルに対する安全性を意識した意図防御:プレフィックスプロービングによる手法 [cs.CR, cs.AI]目的:大規模言語モデルの脱獄攻撃に対する防御
- 大規模言語モデルの利用拡大に伴い,安全性確保は不可欠である。
- 既存の防御策は,実用性や性能に課題が残る場合が多い。
- モデル更新や推論コスト増加なしに,脱獄攻撃への有効な防御を目指す。
- 提案手法SAIDは,入力の意図を抽出し,安全性のあるプレフィックスを用いて応答を評価する。
- SAIDは,モデルのパラメータ更新やデコーディングプロセスの変更を必要としない,ブラックボックス互換の防御機構を提供する。
- 実験結果から,SAIDは有害な応答を削減しつつ,通常のタスク性能を維持する優れた安全・ユーティリティのトレードオフを実現することが示された。
Fast-MIA:LLMに対する効率的かつスケーラブルなメンバーシップ推論 [cs.CR, cs.CL]目的:大規模言語モデルに対するメンバーシップ推論攻撃の効率的な評価
- LLMの利用拡大に伴い,プライバシーリスクや著作権侵害の監査が重要になっている。
- 既存のメンバーシップ推論攻撃は計算コストが高く,大規模な評価が困難である。
- 計算効率と共有中間結果の再利用により,スケーラブルなメンバーシップ推論攻撃を実現する。
- Fast-MIAは,vLLMによるバッチ推論とキャッシュ機構により,既存手法の約5倍の速度を実現した。
- 複数のメンバーシップ推論攻撃手法を統合した統一的なフレームワークを提供し,YAML設定に対応した。
- スケーラブルで再現性のあるメンバーシップ推論研究を支援するため,Apache License 2.0で公開されている。
強化学習におけるデータメンバーシップ監査:検証可能な報酬を用いた手法 [eess.SY, cs.SY, cs.CR, cs.AI, cs.CL]目的:強化学習におけるデータメンバーシップ監査の実現
- 大規模言語モデルの性能向上に強化学習が不可欠であり,その信頼性確保が重要である。
- 強化学習で使用されるプロンプトセットの不正利用が懸念されるが,監査手法は十分ではない。
- 検証可能な報酬を用いた強化学習におけるデータ露出を検出し,監査を可能にすること。
- 検証可能な報酬を用いた強化学習は,モデルの応答分布を変化させ,行動の痕跡を残すことが示された。
- 提案手法DIBAは,報酬とポリシーの両側面から変化を捉え,高い監査精度を達成した (AUC 0.8程度)。
- 学習後のプロンプト特有の痕跡が残っている場合や,ベースモデルの性能が低い場合に,監査はより効果的である。
合成表形式データに対するロバストなスペクトルウォーターマーク [cs.CR, cs.LG]目的:合成表形式データのトレーサビリティ確保
- 生成AIの発展に伴い,データの出所管理が重要視されている。
- 既存手法は計算コストが高い,混合データに対応できない,攻撃に弱い。
- 効率的かつロバストなウォーターマーク手法を提案し,問題を解決する。
- 提案手法TAB-DRWは,周波数領域にウォーターマークを埋め込むことで,効率性とロバスト性を実現した。
- Yeo-Johnson変換と標準化により異種特徴量を正規化し,DFTを用いて処理する。
- 実験により,TAB-DRWは高い検出率とロバスト性,データ品質を維持することが示された。
AgentCrypt:AIエージェント連携におけるプライバシーと(安全な)計算の向上 [eess.SY, cs.SY, cs.CR]目的:AIエージェント連携におけるプライバシー保護と安全な計算
- AIエージェントの利用拡大に伴い,複雑な環境下でのプライバシー確保が規制遵守上重要となっている。
- 従来のアクセス制御では,アクセス許可後のプライバシー侵害リスクに対応できず,状況に応じた保護が課題である。
- AIエージェントの計算過程におけるプライバシー保護を強化し,データ利用の障壁を克服することを目指す。
- AgentCryptは,AIプラットフォーム上に決定的な保護層を追加する3層構造のフレームワークである。
- データ交換,コンテキストに応じたマスキング,準同型暗号化による計算など,プライバシーニーズの全範囲に対応する。
- AgentCryptは,確率的推論とは独立して,データプライバシーを厳密に保護し,協調計算を可能にする。
グラフニューラルネットワークに基づくボット検出に対する最適輸送誘導型敵対的攻撃 [cs.RO, cs.CL, cs.LG, cs.AI, cs.CR]目的:グラフニューラルネットワークを用いたボット検出の堅牢性評価
- ソーシャルメディアにおけるボットアカウント増加は,公共の議論に重大なリスクをもたらすため,対策が急務である。
- 既存の攻撃手法は現実的な制約下での適用が限定的であり,GNNベースのボット検出の実際の有効性が不明である。
- 現実的な制約を考慮した敵対的攻撃下におけるGNNベースのボット検出方法の堅牢性を高めることを目指す。
- 本研究では,BOCLOAKを提案し,エッジ編集とノード注入による敵対的攻撃を通じて,GNNベースのボット検出の堅牢性を評価する。
- BOCLOAKは,空間的・時間的な隣接特徴量の確率測度を構築し,人間とボットの行動を分離する最適な輸送幾何学を学習する。
- 現実的な制約下で,BOCLOAKは既存手法と比較して攻撃成功率を最大80.13%向上させ,GPUメモリ使用量を99.80%削減した。
MalTool:LLMエージェントに対する悪意のあるツール攻撃 [cs.CR]目的:LLMエージェントに対する悪意のあるツール攻撃の実態解明
- LLMエージェントの利用拡大に伴い,セキュリティリスクへの対策が急務となっている。
- ツール名や説明の操作による攻撃研究はあるが,ツール実装自体の悪意に焦点を当てた研究は不足していた。
- コーディングLLMを用いた悪意のあるツール生成の可能性と,その検出の難易度を明らかにすること。
- 本研究では,悪意のあるツールの挙動を分類し,コーディングLLMを活用した自動生成フレームワークMalToolを開発した。
- MalToolは,安全対策が施されたLLMに対しても有効であり,1,300個のスタンドアロンツールと5,727個の埋め込み型ツールを生成した。
- 既存の検出手法は,生成された悪意のあるツールの検出に限定的な効果しか示さず,新たな防御策の必要性を示唆している。
逐次メンバーシップ推論攻撃 [cs.LG, cs.CR, math.ST, stat.ML, stat.TH]目的:AIモデルのプライバシー監査
- AIモデルは進化し続けるため,ライフサイクル全体でのプライバシー保護が重要である。
- 従来のプライバシー評価では,最終モデルのみを検証し,モデル更新の過程を考慮していない。
- モデルの更新シーケンスを利用し,プライバシー侵害リスクをより正確に評価する。
- 提案手法SeMI*は,特定の挿入ステップでターゲットを検知する最適な攻撃手法であり,モデルシーケンスへのアクセスが最終モデルのみの検証よりも強力なメンバーシップ推論攻撃を可能にする。
- SeMI*は,ターゲット挿入前後の統計情報のみに依存するという特性を持ち,これを活用した白箱および黒箱攻撃を(DP-)SGDで学習されたモデルに対して実装した。
- 実験結果から,提案手法は既存手法よりも高い攻撃成功率を示し,ターゲットの挿入タイミング制御とモデルシーケンスの観察により,より厳密なプライバシー監査を実現する。
現実世界の自律型システムにおける正式なポリシー強制 [cs.CR, cs.AI, cs.MA]目的:自律型システムにおけるセキュリティポリシーの正式な強制
- 近年のAI技術の発展に伴い,自律型システムの利用が拡大しているため,安全性確保が重要課題となっている。
- 従来のポリシー強制方法は,自然言語による記述に依存するため,解釈の曖昧さや誤りが発生しやすい。
- 実行履歴に依存するポリシーなど,表現力の限界を克服し,より厳密なポリシー強制を実現すること。
- 提案するフレームワークは,ポリシーをエージェントの推論とは独立して記述・強制することで,形式的な保証を提供する。
- Datalogをポリシー言語として採用することで,宣言的なルール記述,再帰処理,決定性のある強制を実現している。
- FORGEの実装により,既存のエージェントを修正することなく,ポリシーを適用できることを示した。
PoEW: コンセンサスとしての暗号化とデータ圧縮サービスの実現? [cs.DC, cs.CR]目的:暗号化を基盤とする新しいコンセンサス機構PoEWの提案
- 分散型デジタルネットワークの根幹であり,信頼性と安全性を担保する上で重要である。
- PoWは膨大なエネルギー消費が課題であり,環境への負荷が懸念されている。
- 暗号化処理をPoWに利用し,エネルギー効率の良いコンセンサスとデータ圧縮を両立する。
- PoEWは,暗号化によるデータ圧縮という新たな目的のために計算資源を活用する。
- PoEWでは,総当たり鍵探索をPoWのパズルとして利用し,平文を鍵に圧縮する。
- 圧縮は計算コストが高い一方,解凍は容易であるという特性を持つ。
フローセマンティクスはどこに存在するのか? 暗号化通信分類のためのプロトコルネイティブなテーブル型事前学習パラダイム [cs.IR, cs.CL, cs.NI, cs.AI, cs.CR, cs.LG]目的:暗号化通信の分類における,プロトコル定義のセマンティクスを構造的制約として組み込むこと
- 通信の暗号化が進む中,通信内容を正確に識別する技術の重要性が増している。
- 従来の暗号化通信分類は,ラベル付きデータの依存度が高く,汎化性能が低いという課題があった。
- プロトコル定義のセマンティクスを考慮した新たな事前学習パラダイムを構築し,ラベル付きデータへの依存度を低減すること。
- 提案手法FlowSem-MAEは,既存の最先端技術を様々なデータセットで凌駕する性能を示した。
- FlowSem-MAEは,ラベル付きデータ量を半分に減らしても,既存手法のフルデータ使用時と同等以上の性能を達成した。
- 本研究は,通信データの本質的なテーブル構造に着目し,プロトコルネイティブなアプローチの有効性を示唆している。
ストレージから操舵へ:LLMエージェントに対するメモリ制御フロー攻撃 [eess.SY, cs.SY, math.OC, cs.CR]目的:LLMエージェントにおけるメモリ制御フロー攻撃の脅威とその影響
- LLMエージェントは複雑なタスクを処理する上で重要性が増しており,そのセキュリティ確保が不可欠である。
- 従来のセキュリティ分析では,制御フローの一時性を重視し,メモリの永続的な影響が軽視されてきた。
- メモリが制御フローを支配し,意図しないツール利用や持続的な振る舞いの逸脱を引き起こす新たな脅威を解決する。
- 本研究では,メモリ制御フロー攻撃(MCFA)の脆弱性を特定し,その影響を定量的に評価するための自動評価フレームワークMEMFLOWを開発した。
- GPT-5 mini,Claude Sonnet 4.5,Gemini 2.5 Flashを含む最先端LLMに対し,LangChainとLlamaIndexのツールを用いた攻撃実験を実施した結果,90%以上の試行がMCFAに脆弱であることが明らかになった。
- この結果は,LLMエージェントにおけるセキュリティリスクが重大であり,早急な対策が必要であることを示唆している。
Solidityのみによる学習を通じた低リソースなスマートコントラクトにおけるゼロショット脆弱性検出 [cs.CR, cs.SE]目的:低リソースなスマートコントラクトの脆弱性検出
- 分散型金融の発展において,スマートコントラクトの安全性が不可欠である。
- Vyper等の低リソース言語では,分析ツールやラベル付きデータセットが不足している。
- Solidityで学習したモデルをVyperに適用し,ラベル付きデータの必要性を低減する。
- Sol2Vyは,Solidityのみで学習したモデルを用いてVyperコントラクトの脆弱性を検出する。
- 再帰呼び出し,弱い乱数,チェックされていない転送等の脆弱性に対して高い検出性能を示した。
- 既存の手法と比較して,Sol2Vyは有意に高い検出性能を達成した。
エージェント監視:実行系統によるLLMエージェントの境界設定 [cs.CR, cs.AI]目的:LLMエージェントの安全な実行範囲の学習と,その範囲外のアクションの検知
- エージェント型コンピューティングの能力は高いが,セキュリティ上の懸念が重要である。
- エージェントの実行フローが確率的であり,事前検証が困難である。
- LLMエージェントの悪意ある操作や不正な行動を検出し,安全性を高める。
- Agent Sentryは,過去の正当な実行からエージェントの安全な実行範囲を学習する。
- AgentDojoとAgentDynにおいて,94.3%の注入攻撃をブロックしつつ,95.1%の正当な実行を許可した。
- エージェント,ツール,LLM自体の変更は一切行っていない。
有限環暗号系のための正準バイト列符号化 [cs.CR, cs.IT, math.IT]目的:有限環暗号系におけるバイト列から剰余への変換層
- 暗号システムの安全性と効率性は,数の表現方法に大きく依存する。
- 既存の符号化方式は,一意性や復号の確実性に課題が残る場合がある。
- 安全で効率的な符号化方式を確立し,暗号システムの信頼性を高める。
- 本研究では,2^64バイト以下のバイト列を法mの剰余のリストへ変換する正準マップ「base-m length codec」を提案した。
- 提案手法はDudaのrANSベースシステムを基盤とし,パラメータ条件を満たす全ての法に対して正確な復号が可能である。
- Rust実装,Lean 4形式化,および性能評価も提供し,符号化の正確性と効率性を検証した。
ML Defender (aRGus NDR): リソース制約のある組織向けボットネットおよび異常トラフィック検知のためのオープンソース組み込みML NIDS [cs.CR]目的:ボットネットおよび異常トラフィックの検知
- 中小規模組織は,高度なセキュリティ対策を講じることが難しく,サイバー攻撃に対する脆弱性が高い。
- 既存のセキュリティシステムは,高価であったり,リソースを大量に消費するため,導入が困難な場合がある。
- 低コストで高性能なNIDSを開発し,リソース制約のある組織のセキュリティ強化を目指す。
- ML Defender (aRGus NDR) は,低価格なハードウェア上で動作するオープンソースのNIDSであり,高性能な検知能力を実現した。
- CTU-13 Nerisデータセットを用いた評価では,F1スコア0.9985,適合率0.9969,再現率1.0000という高い精度を示した。
- SuricataやZeekとの比較実験により,ML Defenderが従来のセキュリティシステムとは異なるアプローチで効果的な検知を行うことを実証した。
ClawGuard:ツール拡張LLMエージェントに対する間接プロンプトインジェクションのランタイムセキュリティフレームワーク [cs.CR, cs.AI]目的:ツール拡張LLMエージェントに対する間接プロンプトインジェクション対策
- LLMエージェントの活用は,複雑なタスク自動化に貢献するが,セキュリティ上の脆弱性が課題となる。
- ツール経由で悪意のある指示が注入され,エージェントがそれを信頼してしまう脆弱性が存在する。
- ユーザー定義のルールに基づき,ツール呼び出しを制御することで,この脆弱性を解決する。
- ClawGuardは,ツール呼び出しの境界でルールセットを強制することで,間接プロンプトインジェクションから保護する。
- ユーザーの目的からタスク固有のアクセス制限を自動的に導出し,3つの注入経路全てをブロックする。
- 実験により,エージェントの有用性を損なうことなく,堅牢な保護と低いトークンオーバーヘッドが確認された。
LLMベースエージェント展開のためのライフサイクル統合セキュリティアーキテクチャSafeHarness [cs.CY, cs.CR, cs.AI]目的:LLMベースエージェント展開におけるセキュリティアーキテクチャの構築
- LLMエージェントの利用拡大に伴い,そのセキュリティ確保は重要性を増している。
- 既存のセキュリティ対策は,エージェントの内部状態を把握できず,ライフサイクル全体での連携が不十分である。
- エージェントのライフサイクルにセキュリティ層を統合し,脆弱性を低減することを目的とする。
- 提案アーキテクチャSafeHarnessは,入力処理,意思決定,アクション実行,状態更新の各段階で防御層を統合する。
- 異常検知時に検証の厳格化,ロールバック,ツール権限の制限を行うことで,セキュリティレベルを高める。
- ベンチマークデータセットを用いた評価により,UBRが約38%,ASRが約42%平均的に低下し,高いセキュリティ効果が確認された。
enclawed:シングルユーザーAIアシスタントゲートウェイ向けの設定可能なセクター中立なセキュリティ強化フレームワーク [cs.CR, cs.AI, cs.MA]目的:シングルユーザーAIアシスタントゲートウェイのセキュリティ強化
- AIアシスタントの利用拡大に伴い,セキュリティ対策の重要性が増している。
- 既存のAIアシスタントゲートウェイは,セキュリティ機能が不十分な場合がある。
- 規制産業におけるAIアシスタントの安全な利用を可能にする。
- enclawedは,OpenClaw AIアシスタントゲートウェイを基盤としたセキュリティ強化フレームワークである。
- 監査,分類,データ損失防止(DLP)信号を生成するオープンフレーバーと,厳格な許可リストや暗号モジュールを有効化するエンクレーブフレーバーの2つのバージョンを提供する。
- 356ケースのテストスイートにより,改ざん検知,署名偽造,不正アクセスなどのセキュリティ機能を検証している。
目立つことなく:推論モデルに対する検出を意識した抗蒸留 [cs.ET, cs.CR, cs.AI]目的:推論モデルの抗蒸留
- 大規模言語モデルの安全性確保は重要であり,悪意のある利用を防ぐ必要がある。
- 蒸留による知識の転移は,モデルの脆弱性を悪用されるリスクを伴う。
- 蒸留時の検出可能性を低減し,より安全な知識転移を実現すること。
- 本研究では,抗蒸留をスタケルバーグゲームとして定式化し,検出可能性を明示的に制約に組み込んだ。
- わずかな摂動が,完全な痕跡の汚染よりも効果的かつ検出されにくい代替手段であることを示した。
- メカニズム解釈に基づき,モデル出力に不均衡な影響を与える「思考のアンカー」を特定し,これらへの干渉が有効であることを示した。
あなたの心の中にあるものは?メンタルヘルスアプリのプライバシーに関する調査 [cs.CR, cs.CY]目的:メンタルヘルスアプリにおけるプライバシー慣行の現状分析
- メンタルヘルスアプリ利用者の増加に伴い,個人情報の保護が重要課題となっている。
- アプリのプライバシーポリシーと実際の挙動に乖離があり,透明性が不足している。
- メンタルヘルスアプリのプライバシー保護に関する規制の改善を目指す。
- 25のAndroid向けメンタルヘルスアプリを分析した結果,全てのアプリにプライバシーポリシーに記載されていないトラッカーSDKが埋め込まれていた。
- 68%のアプリでは,APKに検出されたトラッカーの半分以上がプライバシーポリシーで開示されていなかった。
- アプリの16%で,マニフェストに宣言されている危険な権限がプライバシーポリシーから省略されているという矛盾が確認された。
差分プライバシーに基づく実行時モニタリング [eess.SY, cs.SY, cs.CR, cs.LO]目的:実行時モニタリングにおける差分プライバシーの確保
- システム動作状況の把握は重要だが,プライバシー侵害のリスクを伴う。
- 時間的な依存関係により,個々の入力値が複数回の出力に影響を及ぼし,プライバシーが繰り返し漏洩する可能性がある。
- 時間的依存性の解析と適切なノイズ注入により,プライバシー保護とモニタリング精度の両立を目指す。
- 提案手法は,ストリームベースのモニタリング仕様に差分プライバシーを自動的に適用する。
- 時間的依存性を分析し,仕様中の戦略的な位置に調整されたノイズを注入することで,プライバシーを保護する。
- 集計演算子へのノイズ注入による精度低下を,木構造メカニズムを用いて軽減する。
SkCC:クロスフレームワークLLMエージェント向けポータブルかつ安全なスキルコンパイル [cs.CR, cs.AI]目的:LLMエージェントにおけるスキル移植性とセキュリティの向上
- LLMエージェントの能力拡張に再利用可能なスキルが重要となる場面が増加している。
- 既存のスキルはフレームワーク依存性が高く,同じスキルでも性能にばらつきが生じるという課題がある。
- フレームワークに依存しないスキル開発を実現し,セキュリティ脆弱性を低減することを目的とする。
- SkCCは,スキル意味とフレームワークの書式を分離する中間表現SkIRを導入することで,スキルの移植性を実現した。
- 静的最適化により,セキュリティ制約を事前に適用し,脆弱性を抑制することで,安全性を高めた。
- SkillsBenchにおける実験で,Claude CodeとKimi CLIにおいて,それぞれ21.1%から33.3%,35.1%から48.7%の正答率向上を確認した。
公開リポジトリにおけるログベースの検知ルール進化 [cs.CR, cs.SE]目的:ログベースの検知ルール進化の長期的な分析
- 現代のセキュリティ運用において,ログベースの検知ルールは不可欠であり,専門知識を反映する
- ネットワーク侵入検知シグネチャの進化は研究されてきたが,ログベースの検知ルールの長期的な挙動は未解明である
- 公開リポジトリにおける検知ルールの進化パターンを明らかにし,セキュリティルール開発プロセスの改善に貢献する
- SigmaとSSCのリポジトリから収集した6,859件のルール履歴を分析した結果,約56%のルールが少なくとも1回以上の修正を受けていることが判明した
- ルールの進化は,主に非単調であり,過半数のルールが時間とともに節を追加したり削除したりしている
- 構造分析とLLMを用いた推論,および人的検証により,約4分の1から3分の1のルールが,カバレッジの拡大と誤検知の削減を繰り返していることが示された
一般的な変動盗聴路における暗号・情報理論的セキュリティ容量 [cs.CL, cs.IT, cs.CR, math.IT]目的:変動盗聴路および一般変動盗聴路の強力秘匿容量
- 通信セキュリティの基礎研究であり,情報漏洩を防ぐ技術向上に不可欠である。
- 盗聴者の能力が変動する場合,秘匿容量の評価が困難となる。
- 一般変動盗聴路における強力秘匿と意味的秘匿の間のギャップを評価する。
- 変動盗聴路においては,強力秘匿容量と意味的秘匿容量が常に等価であることが示された。
- しかし,一般通信システムではこの等価性は成立せず,反例が提示された。
- 一般変動盗聴路では,意味的セキュリティと他の暗号的セキュリティ対策が同じ容量値となる。
量子的な$S|LWE\rangle$と$ISIS$の間の等価性について [physics.soc-ph, cs.MA, nlin.AO, quant-ph, cs.CR]目的:量子アルゴリズム構築のための$S|LWE\rangle$と$ISIS$問題間の関係性の解明
- 暗号理論の安全性評価において,計算困難問題の量子アルゴリズムに対する耐性が重要である。
- 既存研究では,$S|LWE\rangle$, $C|LWE\rangle$, $ISIS$間の関係性が完全には明らかになっていない。
- 量子アルゴリズム構築の基盤となる問題間の等価性を明確にすること。
- 本研究では,$ISIS$から$S|LWE\rangle$への一般的な削減を初めて提示した。
- $IC|LWE\rangle$を導入し,$IC|LWE\rangle$から$S|LWE\rangle$への削減を示した。
- $ISIS$のアルゴリズムを$S|LWE\rangle$のアルゴリズムに変換可能であることを証明し,特定の条件下で成果を再現した。
双方向量子鍵配送を用いたセキュリティ強化型ブロックチェーン:物理層対応アーキテクチャ [quant-ph, cs.CR, cs.DC]目的:量子鍵配送によるセキュアなチャネル確立を可能とする量子ブロックチェーンのアーキテクチャ
- 古典的なブロックチェーンは量子コンピュータによる攻撃に脆弱であり,セキュリティ強化が急務である。
- 物理層でのQKD実装における測定装置の制約が,実用的なセキュリティ確保のボトルネックとなっている。
- ブロックチェーンに組み込まれた量子ネットワークの接続性と距離の限界を克服することを目的とする。
- 提案アーキテクチャは,測定装置非依存(MDI)物理層と分散型コンセンサスを組み合わせることで,インフラの複雑さを線形に削減する。
- 双方向(TF)QKDプロトコルとMDI構造化スター型トポロジーを活用し,スケーラビリティと効率性を向上させている。
- 二重鍵層化戦略により,情報理論的セキュリティを公開監査可能な前方秘匿ブロックチェーン証拠へと変換する。
- 1
- 2