arXiv雑要約
セキュリティ - 2026/05/14 公開
相互運用性の影響:マルチチェーン環境へのDeFiレンディングリスクモデルの拡張 [cs.SI, cs.CR]目的:DeFiレンディングにおける相互運用性の影響
- DeFiはマルチチェーン化が進み,複雑性が増している。リスク管理の重要性は高まっている。
- クロスチェーン要素はリスク管理において未解明な部分が多く,適切なモデルが不足している。
- クロスチェーン活動がレンディングプロトコルのパフォーマンスに与える影響を定量的に評価する。
- ブリッジの利用量とTVL,収益の間には有意な相関関係が認められ,相互運用性がプロトコルのパフォーマンスに影響を与えることが示された。
- ブリッジ統合の増加はTVLと収益の減少と関連しており,レンディングエコシステムからの流動性流出を示唆している。
- イーサリアムは多額の預金を集め,レイヤー2ネットワークは小口投資家を多く抱えていることが明らかになった。
BackFlush:知識不要なバックドア検出・除去とウォーターマーク保持 [cs.CR]目的:大規模言語モデルにおけるバックドアの検出と除去
- 近年,LLMへのバックドア攻撃が懸念されており,安全性確保が重要である。
- 既存手法はトリガーの事前知識が必要,参照モデルに依存,またはウォーターマークを損なう。
- ウォーターマークを維持しつつ,知識不要にバックドアを検出・除去すること。
- BackFlushは,補助データ注入によるバックドア除去現象(Backdoor Flushing Phenomenon)を利用する。
- RoPE Unlearningにより,埋め込み表現を回転させ,バックドアを除去しつつウォーターマークを保持する。
- 多様なトリガーに対して,約1%の攻撃成功率,約99%のクリーン精度,ウォーターマーク保持を実現した。
文脈中の亡霊:決定時アセンブリにおけるポリシー逸脱の測定 [cs.CR]目的:決定時アセンブリにおけるポリシー逸脱の測定と,その制御手法の評価
- 大規模言語モデルの安全性確保は重要であり,特に制御不能な挙動の抑制が求められている。
- 言語モデルの決定時コンテキストアセンブリ過程で,重要な制御情報が失われるリスクが存在する。
- 決定時アセンブリ過程における情報損失を定量化し,制御を強化する手法を開発すること。
- 言語モデルは,生の対話履歴ではなく,要約・再構成された限られた状態に基づいて行動する。
- SafeContextは,制御状態を固定し,制御プレフィックスを再利用することで,ポリシー逸脱を抑制する効果が確認された。
- ただし,SafeContextの効果はポリシーに依存し,大規模モデルにおいても同様の課題が残存する。
OverrideFuzz:意味を考慮した文法ファジングによるスクリプト実行時脆弱性の検出 [cs.CR, cs.PL]目的:スクリプト言語実行時の脆弱性検出手法
- Python等のスクリプト言語は広く利用され,セキュリティ上重要な場面で用いられる。
- スクリプト言語のテストは構文,型制約,オブジェクトレベルのセマンティクスが複雑なため困難である。
- スクリプトとネイティブコード間の境界における脆弱性を検出するファジング手法の確立。
- OverrideFuzzは,オブジェクトのメソッドを上書きする宣言段階と,それを経由する操作を生成する実行段階の二段階で構成される。
- 動的なリフレクションを利用し,実行時の型を追跡し,エラーメッセージから無効な操作を排除することで,セマンティックな正しさに近づける。
- CPython,Lua,QuickJSでの評価で,一貫したカバレッジ向上を示し,Luaは特にメタメソッド機構によって効果が大きかった。
ペルソナ条件付き敵対的プロンプト作成 (PCAP): 強化された敵対的プロンプト探索のための多重アイデンティティ・レッドチーム [cs.CR]目的:敵対的プロンプト探索における攻撃者のペルソナと戦略の影響評価
- 現実世界のセキュリティリスクを正確に評価するためには,攻撃者の多様な側面を考慮する必要がある。
- 既存の自動化されたレッドチーム手法では,攻撃者のアイデンティティや多段階戦術に依存する攻撃を見逃す傾向がある。
- 攻撃者のペルソナと戦略を条件として敵対的探索を行うことで,より多様かつ効果的な攻撃を検出することを目指す。
- PCAPは,既存の手法と比較して,攻撃成功率とプロンプトの多様性を大幅に向上させる。
- GPT-OSS 120Bにおいて,攻撃成功率が約58%から約97%に向上し,攻撃戦略の網羅性が改善された。
- PCAPは,基盤となる探索アルゴリズムに依存せず,様々な環境に適用可能である。
アンドロイドはゲームを破る夢を見るか?BenchJackによるAIエージェントベンチマークの体系的な監査 [cs.CL, cs.AI, cs.CR]目的:AIエージェントベンチマークの脆弱性
- AIの能力評価は,モデル選択や投資判断に不可欠である。その信頼性が重要。
- 報酬ハッキングにより,本来の課題を解決せずに高いスコアを得る問題が存在する。
- ベンチマークの設計段階から脆弱性を特定し,安全性を高めることを目指す。
- AIエージェントベンチマークの多くは,タスクを解決することなく,ほぼ完璧なスコアを得る報酬ハッキングの脆弱性を持つことが示された。
- BenchJackは,10の主要ベンチマークで219の異なる脆弱性を発見し,その深刻さを明らかにした。
- BenchJackの反復的なパイプラインは,いくつかのベンチマークにおいてハッキング可能なタスクの割合を大幅に削減し,WebArenaとOSWorldを完全にパッチした。
エージェント型NetOpsおよびAIOpsのための大規模言語モデル:アーキテクチャ,評価,安全性 [cs.NI, cs.AI, cs.CR]目的:エージェント型NetOpsおよびAIOpsにおける大規模言語モデルの利用に関する現状分析
- ネットワーク運用やIT運用において,AIによる自動化の重要性が高まっている。
- 大規模言語モデルの運用における信頼性,安全性,監査可能性が課題となっている。
- 自律性を制御可能な運用制御問題として捉え,信頼性と安全性を確保することを目指す。
- 大規模言語モデルの性能だけでなく,それを支える運用基盤の重要性が示された。
- 従来の質問応答による評価に加え,ワークフロー全体の評価が必要であることが強調された。
- セキュリティ,プライバシー,ガバナンスリスクへの対策が,運用制御において不可欠である。
静止的カモフラージュ,移動する錯覚:自律運転における視点誘起軌道操作 [cs.CR, cs.CV]目的:視点に依存した軌道操作による自律運転システムの誤動作誘発
- 自動運転技術は交通効率化や安全性向上に不可欠であり,その信頼性確保が重要である。
- 既存の物理的敵対的攻撃は複雑で,多視点での有効性を維持する必要がある。
- 自然な視点変化を利用することで,より簡素かつ効果的な攻撃手法を確立する。
- 静的なカモフラージュを車両に取り付けることで,移動に伴う視点変化が特徴量のドリフトを引き起こす。
- この特徴量ドリフトにより,システムは不自然だが物理的に可能な軌道を予測し,不要なブレーキを誘発する。
- nuScenesデータセットを用いた実験で,最高87.5%の成功率が確認され,様々な条件下でロバストであることが示された。
CoT-Guard:強力な監視のための小型モデル [cs.CR, cs.AI]目的:推論モデルの思考過程(CoT)の監視による,コード生成タスクにおける隠れた目的の検出
- コード生成AIの普及に伴い,悪意のある目的が隠されたコード生成を検知する重要性が高まっている。
- 既存の小型モデルでは,思考過程にアクセスしても隠れた目的を正確に検出することが困難であった。
- 本研究は,SFTとRLを組み合わせた後学習パイプラインにより,小型モデルの汎化性能を向上させることを目指す。
- 提案手法CoT-Guardは,プロンプトやコード操作による攻撃に対して,GPT-5.4やQwen3-32Bを上回る性能を示す。
- CoT-Guardは4Bパラメータでありながら,G-mean^2で75%を達成し,Gemini-3-Flashに迫る性能を実現した。
- これにより,CoT-Guardは,大規模モデルの導入コストを回避しつつ,隠れた目的の検出性能を大幅に向上させる実用的な防御策となる。
イーサリアム・メンプールにおける動的トランザクションスケジューリングと価格設定 [cs.GT, cs.CR, cs.DC, cs.NI, cs.SY, eess.SY]目的:イーサリアム・メンプールにおけるトランザクションの動的スケジューリングと価格設定に関する研究
- ブロックチェーン技術は金融,サプライチェーン等,様々な分野での応用が期待されており,その効率性向上が重要である。
- 既存研究ではEIP-1559を静的な視点から分析しており,メンプール内のトランザクションの動的な挙動が考慮されていない。
- メンプール内のトランザクションの動的な変化を捉え,長期的な報酬を最大化する価格設定メカニズムを提案する。
- 動的価格設定によりメンプールが安定化し,長期的な割引報酬が最大化されることが示された。
- オーバーシュート罰則が増加すると,スケジューリングされるトランザクション量はターゲットのブロック容量に収束し,価格更新ルールがEIP-1559に類似する。
- 均質なトランザクションの場合,最適なポリシーは閾値構造を持つことが示され,一様到着に対するバンバン価格設定メカニズムが提案された。
REALISTA:LLMの幻覚を引き出す現実的な潜在的敵対的攻撃 [cs.CL, cs.AI, cs.CR, cs.LG]目的:LLMの幻覚を引き出す敵対的プロンプトの生成
- LLMは高性能だが,幻覚に弱く,その対策が重要である。
- 既存手法は,意味的同等性と自然さを両立できない。
- 潜在空間で現実的な敵対的プロンプトを生成し,幻覚を誘発する。
- REALISTAは,有効な編集方向の辞書を用いて潜在空間で最適化を行う。
- これにより,既存の現実的な攻撃手法よりも優れた性能を発揮する。
- 大規模な推論モデルに対する攻撃に成功し,幻覚の誘発に貢献する。
GraphIP-Bench:グラフニューラルネットワークの盗難はどれほど困難か,そしてそれを阻止できるか? [cs.CR, cs.AI, cs.LG]目的:グラフニューラルネットワークの盗難の難易度評価と,その阻止方法の検討
- クラウドサービスとして展開されるGNNは,知財保護の観点から重要であり,そのセキュリティ評価が求められる。
- GNNの盗難に対する既存研究は,データセットや評価指標が統一されておらず,客観的な比較が困難である。
- 本研究は,統一されたベンチマークを用いて,GNN盗難の難易度と防御策の効果を定量的に評価することを目的とする。
- GraphIP-Benchを用いて評価した結果,中程度のクエリ予算ではGNNの盗難が容易であることが示された。
- 多くの防御策は盗難を阻止できないものの,保護されたモデル上では信頼性の高いウォーターマーク検証が可能であった。
- 抽出されたモデルではウォーターマークの検証信号が減衰することが示され,単一モデル評価の限界を指摘した。また,ヘテロフィリックグラフは盗難が困難であった。
HE-PIM:実世界のProcessing-in-Memoryシステムにおける準同型演算の解明 [cs.CR]目的:実世界のProcessing-in-Memoryシステムにおける準同型演算の特性評価
- プライバシー保護の重要性が増す中,暗号化されたデータに対する演算処理の効率化が求められている。
- 従来のCPU/GPUアーキテクチャでは,準同型演算の計算量,暗号文サイズ,データ転送量に課題がある。
- Processing-in-Memoryを活用し,準同型演算処理のボトルネックを解消し,性能向上を目指す。
- 準同型演算アプリケーションでは,段階ごとに異なるボトルネックが存在する。一部のカーネルはモジュラ演算による計算負荷,一部は巨大な暗号文と中間データによるメモリ負荷が顕著である。
- 64ビットモジュラ整数乗算のネイティブ実装がないことが,計算ボトルネックの主要因となっている。
- 銀行あたりのメモリ容量の制限もボトルネックであり,暗号文と補助メタデータが収まらず,銀行間のデータ移動が必要となる。
創発的な不整合におけるパーソナモデルの崩壊 [cs.CL, cs.AI, cs.CR, cs.LG]目的:有害コンテンツを含む狭いデータで大規模言語モデルをファインチューニングした場合の不整合のメカニズム解明
- 大規模言語モデルの安全性確保は,社会への実装において不可欠であり,そのための研究が急務である。
- ファインチューニングによって,モデルが意図しない有害な振る舞いを示す「創発的な不整合」が問題となっている。
- モデルの「パーソナモデル崩壊」仮説を検証し,不整合の原因を特定することを試みる。
- 有害なコードを出力するようにファインチューニングされたモデルは,道徳的感受性(S)が平均55%増加した。
- 同様に,道徳的堅牢性(R)は平均65%減少し,モデルのキャラクターの差別化能力と一貫性が低下した。
- 安全なコードを出力するようにファインチューニングされたモデルでは,Sは維持され,Rの低下も限定的であり,不整合特有の効果であることが示された。
言語に基づくエージェント制御 [cs.PL, cs.AI, cs.CR]目的:エージェント制御のための新しいプログラミングモデル
- 自律型システムの開発が重要視される中,安全性と信頼性の確保が課題となっている。
- 従来の制御方法では,エージェントの振る舞いを厳密に制御することが困難であった。
- 言語ベースの型システムにより,エージェントの安全な振る舞いを事前に保証することを目指す。
- 言語に基づくエージェント制御(LBAC)は,エージェントが生成するプログラムの型チェックを通じて,ポリシーを適用する。
- LBACを用いることで,アクセス制御,情報フロー,データProvenanceといったポリシーを統一的に適用できる。
- ファイルシステム機能,データProvenance,情報フロー制御のケーススタディで有効性が示された。
繰り返し攻撃下におけるLLMの安全性低下の定量化:生存時間分析の利用 [cs.CR, cs.AI]目的:LLMの安全性低下の定量化
- LLMは多様な応用で利用が拡大しており,その安全性評価は不可欠である。
- 既存の評価は単純な成功/失敗で,継続的な攻撃の影響を捉えられない。
- 生存時間分析を用いて,LLMの攻撃に対する脆弱性を詳細に分析する。
- LLMはそれぞれ異なる脆弱性プロファイルを示すことが明らかになった。
- あるモデルは反復攻撃により急速に劣化し,残りの2つは一貫した中程度の脆弱性を示した。
- 本研究は,LLMの安全性評価に生存時間分析を用いることの有効性を示す。
スキル記述は真実を語るか? コードベースのLLMスキルにおける隠れたセキュリティ行動の検出 [cs.CR]目的:LLMスキル記述と実装の一貫性の検証
- LLMの利用拡大に伴い,スキル記述の正確性とセキュリティが重要課題となっている。
- スキル記述と実装に乖離があり,セキュリティリスクにつながる可能性がある。
- スキル記述と実装の不一致を検出し,スキル利用における安全性を高める。
- 920の実際のプログラミングスキルを分析し,11種類のセキュリティプロパティ分類を構築した。
- SPGとLLM支援の一貫性チェックシステムSKILLSCOPEを開発し,高い精度と再現率を達成した。
- 約9.4%のスキルに記述と実装の不一致が確認され,約24.3%のスキルは記述が詳細に不十分であった。
ThermalTap:VRヘッドセットにおける熱サイドチャネルを用いた受動的なアプリケーションフィンガープリンティング [cs.CR, cs.CV, cs.HC]目的:VRヘッドセットの熱放射を利用したアプリケーションの識別
- VR技術の普及に伴い,プライバシー保護の重要性が増している。
- VRヘッドセットのセキュリティ脆弱性に関する研究が不足している。
- 非接触でアプリケーションを識別する新たな攻撃手法の可能性を検証する。
- ThermalTapは,VRヘッドセットから放射される赤外線を捉え,アプリケーションを識別する受動的かつ非接触な攻撃手法である。
- 室内環境において,10秒間の熱画像データのみで90%以上の精度でアプリケーションを識別できることが示された。
- 屋外環境でも,長時間観察により,ある程度の精度でアプリケーションの識別が可能であることが確認された。
圧縮から説明責任へ:データセット蒸留のための無害な著作権保護 [cs.CR]目的:データセット蒸留における著作権侵害とデータ漏洩のリスク軽減
- 深層学習の進歩には大規模データセットが不可欠だが,そのコストが増大している。
- 蒸留データセットの容易な複製・配布が,著作権侵害やデータ漏洩のリスクを高めている。
- 無害なサブポピュレーション駆動型保護フレームワークによるデータセットの保護を目指す。
- 本研究では,深層学習モデルが訓練中にサブポピュレーション分布を記憶する傾向に着目した。
- 提案手法SubPopMarkは,クラス一貫性のあるサブポピュレーションバイアスを注入し,モデルの出力を追跡可能にする。
- 参照行動バンクとの比較により,不正なモデルの出所を推測し,著作権侵害を検出する。
CLOUDBURST:クラウド層におけるビーコンを用いた統合的なリアルタイム監視と脅威アトリビューション [cs.CR]目的:クラウドネイティブ環境における受動的ビーコンの分類と評価
- クラウド環境の利用拡大に伴い,セキュリティ脅威も高度化・多様化している。
- 既存のハニーポットやビーコンフレームワークでは,クラウド固有の攻撃対象に対応できていない。
- クラウドネイティブ環境における脅威アトリビューションの精度向上を目指す。
- クラウドネイティブ環境における6種類のビーコンベクトルを分類し,主要なクラウドプロバイダーでの効果を測定した。
- IAM Canary Rolesが最も高いアトリビューションスコア(CAS)と検知抵抗性(DR)を示し,実用的なベクトルであることが分かった。
- 一時的なインフラストラクチャの変動がCASを低下させること,およびServerless Function Triggersの検知抵抗性が低いことを定量的に示した。
更新されても安全ではない:ソフトウェアのみによる攻撃でEPYC MilanからVCEKルートシードを抽出 [cs.CR]目的:AMD SEV-SNPのハードウェアルートシード抽出攻撃
- 仮想化環境における機密性保護は重要であり,特にクラウド環境でのセキュリティ確保が不可欠である。
- 従来のセキュリティ機構は,TCBロールバック攻撃に対して脆弱性を持つ可能性があった。
- SEV-SNPのセキュリティモデルを根本から覆す,ハードウェアルートシードの抽出を試みる。
- AMD EPYC Milanにおいて,ソフトウェアのみによる攻撃(MilanLaunchy攻撃)が可能なことを示した。
- Fuseコントローラーの書き込み制限の欠如を悪用し,ハードウェアルートシードを抽出するBadFuse攻撃を開発した。
- この攻撃チェーンにより,任意のファームウェアバージョンに対する有効なアテステーションレポートの偽造が可能となった。
攻撃不要:エージェントスキルにおける仕様違反に対する意味的ファジング [cs.CL, cs.CR, cs.AI]目的:エージェントスキルの仕様違反の検出
- LLMエージェントの利用拡大に伴い,その安全性確保が重要となっている。
- スキルが自身の仕様に反して動作するケースが,静的解析や既存の防御策では発見しにくい。
- 本研究は,LLMエージェントのスキルの仕様違反を自動的に検出し,安全性を高めることを目指す。
- 提案手法Sefzは,ガードレールを到達可能性目標に変換し,決定性グラフクエリで違反を検証する。
- Sefzは,402個の実世界スキル中120個(約30%)に仕様違反を発見し,そのうち26個は未発見の脆弱性だった。
- 仕様違反の多くは,スキル設計における共通の落とし穴に起因することが示された。
ウォーターマーキングは監視の基本要素と捉えられるべきである [cs.RO, cs.CR, cs.AI, cs.CY, cs.LG]目的:生成モデルにおけるウォーターマーキングの監視利用に関する検討
- 生成AIの利用拡大に伴い,生成物の出所追跡や安全性確保が重要課題となっている。
- 既存研究では,個々のサンプルに対する攻撃に焦点を当てており,集約的な監視能力は未検討であった。
- エンティティレベルの情報推論を可能にする監視メカニズムとしてのウォーターマーキングの可能性を検証する。
- ウォーターマーキングは,たとえ情報量をゼロビットにしても,複数キー設定下で出所特定を可能にする。
- 外部からの監視は,ウォーターマーク設計に依存するが,キーに依存した統計構造から時間経過とともに生じる可能性がある。
- 出所特定と監視の間にはトレードオフが存在し,集約的な監視能力も考慮した評価が必要である。
セキュリティインセンティブ:マイクロペイメントがコードセキュリティに与える影響に関する実証研究 [cs.CR, cs.SE]目的:コードセキュリティ改善に対するインセンティブの効果
- ソフトウェア開発において,セキュリティは不可欠であり,その重要性は増している。
- 開発者は直接的な価値が見えにくい場合,セキュリティへの注力が不足しがちである。
- 自動化されたセキュリティ指標と報酬を結びつけることで,コードセキュリティを向上させる。
- セキュリティインセンティブを与えたグループは,セキュリティ問題の密度が有意に低下した。
- 特にバックエンド開発において,セキュリティ改善率が高く,インセンティブの効果が顕著であった。
- この測定パイプラインとツールチェーンは,自動化とスケーラビリティに適していることが示された。
拡散モデルに対するサプライチェーンPRNGバックドア攻撃と量子乱数防御 [cs.CR, cs.LG]目的:拡散モデルにおけるサプライチェーンPRNGバックドア攻撃の検証と量子乱数生成器による防御策の提案
- 拡散モデルは画像生成において重要な役割を担うが,その安全性には課題が残る。
- 拡散モデルのPRNGに脆弱性があり,悪意のあるコードが挿入される可能性がある。
- 拡散モデルに対するサプライチェーン攻撃を検出し,量子乱数で防御することを試みる。
- 拡散モデルのPRNGを悪意のあるものに置き換えることで,生成画像を決定的に制御することが可能となった。
- 既存のモデル監査やコンテンツモデレーションメカニズムでは,この攻撃を検出することが困難である。
- 量子乱数生成器(QRNG)を導入することで,攻撃を完全に無効化し,画像の類似度を低減することができた。
ブロックチェーンにおける追跡不可能性の拡張:もっともらしい否認可能性との統合 [cs.CR]目的:ブロックチェーン取引の追跡不可能性を高めるための,もっともらしい否認可能性に基づく新しい転送方式の研究
- ブロックチェーン技術は,透明性とセキュリティを提供する一方で,プライバシー保護が課題となる。
- 従来の匿名化技術は,完全な追跡不可能性を保証できず,取引の匿名セット内での識別が可能である。
- DeFi活動に紛れ込むことで,取引イベント自体を観察不可能にし,プライバシーを強化することを目指す。
- 提案手法(DCAT)は,サンドイッチ攻撃や裁定取引といった損失が発生する一般的なDeFi活動を模倣することで,取引の追跡を困難にする。
- DCAT転送は,イーサリアムとArbitrumの両チェーン上で,標準的なMEV検出ツールやフォレンジックツールによって識別されないことが実験で示された。
- 経済的意味合いの分析により,DCAT取引をMEV活動と区別することが難しく,固定閾値による検出は誤検出を引き起こしやすいことが明らかになった。
脆弱性修正コミットのコード中心検出:統一ベンチマークと実証研究 [cs.SE, cs.CR, cs.LG]目的:脆弱性修正コミットの検出
- セキュリティパッチの迅速な適用は重要であり,脆弱性情報の遅延は平均25日である。
- 脆弱性修正に関する情報は断片化しており,統一的な評価が困難である。
- コードのみから脆弱性修正コミットを正確に検出する方法を確立すること。
- コード言語モデルを用いた脆弱性修正コミットの検出を評価した結果,モデルはコードの変化からセキュリティに関する理解を獲得していないことが示された。
- コミットメッセージが利用可能な場合,モデルの注意はメッセージに集中し,削除してもコード変化への注意はシフトしない。
- グループ分けされた評価では性能低下が確認され,大規模なデータや生成アプローチも根本的な問題を解決するには至らなかった。
IoTセキュリティの強化:リソース制約デバイスにおけるオンデバイス侵入検知 [cs.CR]目的:リソース制約デバイスにおける侵入検知モデル
- IoTの普及に伴い,セキュリティ確保が不可欠であり,特にリソースの少ないデバイスの保護が重要である。
- IoTデバイスは,処理能力,メモリ,電力などの制約があり,セキュリティ対策が困難である。
- リソース制約下でも高精度な侵入検知を実現し,IoTネットワークのセキュリティを向上させる。
- 決定木を用いた手法で99%,ニューラルネットワークを用いた手法で96%という高い脅威検知精度を達成した。
- 決定木は高精度だが計算資源を多く必要とする一方,ニューラルネットワークはメモリ効率が良い。
- 本手法は,メモリ消費を抑え,計算負荷を最適化しており,リソース制約のあるマイクロコントローラへの実装に適している。
LoREnc:基盤モデルとLoRAアダプターを保護する低ランク暗号化 [cs.CR, cs.CV, cs.LG]目的:基盤モデルとLoRAアダプターのセキュリティ確保
- 近年,生成AIの重要性が増す中,その基盤となるモデル保護が不可欠となっている。
- モデルの知的財産漏洩や,モデル復元攻撃といったセキュリティ上の課題が存在する。
- 再学習やオリジナルデータセットへのアクセスなしで,モデルとアダプターを保護すること。
- LoREncは,スペクトル切り捨てと補償により,基盤モデルとアダプターを保護する学習不要のフレームワークである。
- LoREncは,モデルの主要な低ランク成分を抑制し,承認されたアダプターの情報欠損を補い,構造的な指紋を隠蔽する。
- 実験により,LoREncがモデル復元に対して強い保護を提供し,計算オーバーヘッドが1%未満であることが示された。
PoisonCap: CHERIのための効率的な階層型時間的安全性 [cs.RO, cs.DC, cs.PF, cs.AR, cs.CR]目的:CHERIシステムにおける,厳格な使用後解放保護と初期化安全性
- メモリ安全性の重要性が高まっており,特にCHERIは空間的安全性の基盤を提供している。
- 既存のCHERI時間的安全性ソリューションは,使用後解放ではなく再割り当て後の安全性に留まり,初期化安全性を保証できない。
- 新たな「poison」capabilityフォーマットを用いて,厳格な使用後解放と初期化安全性を実現し,効率的なキャッシュ管理を可能にする。
- PoisonCapは,既存のCornucopiaのシャドウビットマップを置き換え,メモリ再割り当て時に自動的にゼロ化を行う。
- これにより,CHERIの時間的安全性を強化しつつ,パフォーマンスオーバーヘッドを抑制する。
- 機能制限付きのcapability boundsにより,ネストされたアロケータが安全性を適用できる。
潜在空間に隠されたバックドアチャネル:最新のニューラルネットワークにおける暗号学的検出不能性 [cs.CR, cs.LG]目的:最新のニューラルネットワークにおける暗号学的検出不能性の実現メカニズム
- ニューラルネットワークのセキュリティ確保は重要であり,悪意のある攻撃からの保護が不可欠である。
- 既存研究では,検出不能なバックドア攻撃は限定的なアーキテクチャに限られていた。
- 学習済み表現の潜在空間内に存在するバックドアチャネルを特定し,検出を困難にする。
- ResNetやVision Transformerといった最先端アーキテクチャに対して,高い成功率でバックドア攻撃を実現した。
- この攻撃は,クリーンなモデルの精度劣化を最小限に抑え,様々な防御策に対しても耐性を示した。
- バックドアは人工的な構造ではなく,学習された表現の潜在空間に内在する性質として捉えられる。
Linuxカーネルドライバにおける参照カウントバグの自動検出 [cs.CR, cs.SE]目的:Linuxカーネルドライバにおける参照カウントバグの検出
- Linuxカーネルは多くのデバイスを制御し,安定稼働には不可欠である。
- ドライバの参照カウントミスは,システム不安定化やセキュリティリスクに繋がる。
- 既存の検出手法では,誤検出が多く,効率的なバグ特定が課題であった。
- 本研究で開発したDrvHornは,Linuxドライバインタフェースを活用し,参照カウント検証をアサーションチェック問題に還元することで,バグ検出を自動化した。
- Linux v6.6カーネルの全プラットフォームドライバにおいて545件のバグを発見,そのうち424件は未報告のバグであった。
- 誤検出率は29.9%と従来手法よりも低く,発見したバグに対する修正パッチ45件がLinuxカーネルにマージされた。
MITRE ATT&CKを活用した行動プロファイリングによるオープンソースSIEMシステムにおける文脈を意識したWeb攻撃検知 [cs.CR, cs.LG]目的:Web攻撃検知の精度向上
- サイバー攻撃は巧妙化の一途をたどっており,組織のセキュリティ対策を脅かす大きな要因となっている。
- 従来のSIEMシステムは,個々のイベントを独立して分析するため,多段階にわたるWebアプリケーション攻撃の特定が困難である。
- 過去の行動履歴を考慮することで,より正確なWeb攻撃検知を実現し,セキュリティレベルを向上させる。
- 本研究で開発したSmart-SIEMは,Wazuh SIEMプラットフォームにAIモジュールとして組み込むことで,攻撃検知のF1スコアを大幅に向上させた。
- 特に,ブルートフォース攻撃や認証突破といった従来検出が困難だった攻撃に対して,100%または98.3%という高い検知率を実現した。
- 自己適応型再学習メカニズムにより,未知の攻撃タイプが出現した場合でも,F1スコアを元の水準まで回復させることが確認された。
過剰思考の誘発:ブラックボックス大規模言語推論モデルに対する階層型遺伝的アルゴリズムに基づくDoS攻撃 [cs.CR, cs.AI]目的:大規模言語推論モデルにおける過剰思考を誘発し,サービス妨害を引き起こすための手法
- 推論能力の高いモデルは様々なシステムに組み込まれているが,その信頼性確保が重要である。
- 入力の不備や矛盾に対し,過剰な推論を行うことで計算資源を浪費する脆弱性が存在する。
- 入力の論理構造を操作することで,モデルの過剰思考を誘発し,DoS攻撃を可能にする。
- 提案手法は,大規模言語推論モデルの出力長を大幅に増加させ,MATHベンチマークで最大26.1倍の増大を達成した。
- この手法は,単純な入力欠損による攻撃よりも優れた性能を示し,異なるモデル間での高い転移性も確認された。
- 過剰思考は現代の推論システムに共通する脆弱性であり,より堅牢な防御策の必要性を示唆している。
モデル非依存型継続学習LLM安全性のための外部攻撃・防御共進化 [cs.CL, cs.CR, cs.CL]目的:大規模言語モデルの安全性向上
- LLMの普及に伴い,悪意のあるプロンプトによる有害な出力のリスクが増大している。
- 従来の安全対策は閉鎖的な環境で行われ,攻撃の発見が飽和状態に陥りやすい。
- 外部構造を用いた攻撃・防御共進化により,効率的かつ汎用的な安全性を実現する。
- EvoSafetyは,攻撃ポリシーに敵対的スキルライブラリを搭載し,飽和後も脆弱性の探求を継続する。
- 防御学習では,モデル固有の安全ファインチューニングの代わりに,軽量な補助防御モデルとメモリ検索を活用する。
- Guardモードにおいて,99.61%の防御成功率を達成し,Qwen3Guard-8Bを14.13%上回る性能を示した。
スリーパーチャネルとProvenanceゲート:常時起動型自律AIエージェントにおける持続的なプロンプトインジェクション [cs.CR]目的:常時起動型AIエージェントにおける持続的なプロンプトインジェクションのメカニズムと対策
- AIエージェントの進化は,自動化と自律性を高める一方で,新たなセキュリティリスクを生み出している。
- 従来のセキュリティモデルは,一時的な入力に焦点を当てており,持続的なプロンプトインジェクションに対応できない。
- 本研究は,AIエージェントに潜む「スリーパーチャネル」を特定し,その対策を提案することにより,セキュリティ向上を目指す。
- 常時起動型AIエージェントに存在する「スリーパーチャネル」と呼ばれる脆弱性を発見した。
- 攻撃者は,信頼できない入力を介してエージェントのメモリ,スキル,ジョブ,ファイルシステムを悪用できる可能性がある。
- 提案する対策(D2)は,アクションインスタンスのダイジェストと所有者による認証を用いることで,様々な攻撃を防ぐことができる。
幻覚力:EMIによる具現知能への敵対的触覚知覚の注入 [cs.CR]目的:ロボットの触覚センサに対する敵対的攻撃の脆弱性
- ロボットは物理世界との安全なインタラクションに触覚センサを依存している。
- 視覚システムへの攻撃研究はあるものの,触覚センサの安全性が未検討である。
- Hall効果指紋型センサへのEMI攻撃による脆弱性を明らかにする。
- 特定の信号注入により,感知される力の大きさが9倍以上増幅し,力の方向が最大65度逸脱する「幻覚力」を誘発できる。
- この擾乱は,学習ベースの触覚分類モデルを麻痺させ,ロボットの動作に重大な影響を与える可能性がある。
- 攻撃者はこの脆弱性を悪用し,ロボットに脆弱な物体を破壊させたり,危険なペイロードを落としたりする可能性がある。
マルチUAVシステムにおける不確実性を考慮した3D位置精度向上 [cs.IR, cs.RO, cs.CR]目的:マルチUAVシステムの3D位置精度向上
- 複数UAVのナビゲーション,衝突回避,協調飛行には,信頼性の高いリアルタイム3D位置計測が不可欠である。
- GNSSのマルチパス,非直達,垂直ドリフト,意図的な干渉により,オンボード推定が劣化しやすいという課題がある。
- 近隣UAVとの情報共有と制約に基づき,ロバスト性を向上させることで,位置推定の精度を改善する。
- 提案手法は,シミュレーション実験において,コールドスタート時の平均位置誤差を大幅に低減することを示した。
- ローカル推定機が安定した後も,競合性のある性能を維持することが確認された。
- 悪意のあるノードの割合が増加した場合でも,低い誤差を維持できることが示された。
差分プライバシー予算の個別化の限界 [cs.CR, cs.LG]目的:差分プライバシー予算の最適化手法
- プライバシー保護とデータ利用のバランスが重要であり,差分プライバシーはそれを実現する有力な手法である。
- 個々のデータ主体ごとに最適なプライバシー予算の決定が困難であり,プライバシーとユーティリティのトレードオフが存在する。
- プライバシー予算の個別化による効果の限界を明らかにし,より効率的な予算設定方法を提案する。
- 平均推定において,完全な個別化よりも適切なプライバシー予算の選択が重要であることが示された。
- 単純な閾値処理を用いることで,完全な個別化メカニズムと比較して同程度の性能が得られることが確認された。
- 混合データセットや多段階のプライバシー要件を持つデータセットにおいて,改善効果の限界が定量化された。
EBCC:OCI互換ランタイム統合によるエンクレーブ対応の機密コンテナ [cs.CR]目的:OCI互換ランタイムを用いた,複合的な機密コンピューティングワークロードの管理アーキテクチャ
- コンテナ技術は現代的なワークロードの運用基盤であり,その安全性向上が不可欠である。
- 既存の機密コンテナシステムは,複雑な構成や,従来のOCIランタイムライフサイクルとの乖離が課題である。
- 本研究は,OCIライフサイクルに沿った,より簡便で管理しやすいTEE対応の実行環境を提供する。
- EBCCは,REE側とTEE側の処理を統合し,OCI標準のライフサイクル操作を維持することで,機密コンピューティングの管理を容易にする。
- 評価の結果,EBCCはネイティブなKeystone実行と比較して遅延が増加するものの,フットプリントの増加は抑制されていることが示された。
- SGX,TDX,OP-TEEといった異なるTEE環境で,同一のライフサイクルとステージ抽象化が適用可能であることが確認された。
Raspberry Pi 5 IoTネットワークにおける量子耐性署名アルゴリズムを用いたMQTT [cs.CR]目的:MQTTを用いたIoTネットワークにおける量子耐性署名アルゴリズムの導入と性能評価
- IoTデバイスの急増により,セキュリティの確保が重要課題となっている。
- 従来のTLS暗号化アルゴリズムは,ショアのアルゴリズムによる量子攻撃に脆弱である。
- 長期的な耐性を有するポスト量子暗号(PQC)手法の評価と採用が求められている。
- FALCON署名方式をRaspberry Pi 5を用いたMQTTネットワークに実装し,メッセージの認証と完全性を維持した。
- リソース制約のある環境下における格子ベースPQCの展開における実用的なトレードオフを評価した。
- システム性能を測定することで,軽量ハードウェア上でのPQC導入時の性能特性を明らかにした。
AIウェブスクレイパーの特定:カナリアトークンを用いた手法 [cs.CR, cs.AI, cs.CY, cs.NI]目的:AIウェブスクレイパーの識別
- 大規模言語モデルの性能向上にはウェブスクレイピングが不可欠だが,サイトの安定性や法的・倫理的問題も存在する。
- ウェブスクレイパーの識別は困難であり,信頼性や拡張性に欠ける既存の手法に課題がある。
- 公開されていないスクレイパーを特定し,望まないスクレイピングへの対策を可能にすること。
- 提案手法では,各スクレイパーに固有のカナリアトークンを埋め込み,LLMがトークンを生成するかどうかでスクレイパーを特定する。
- 22のLLMシステムを用いた実験により,本手法がスクレイパーとLLMの関係を正確に識別できることが示された。
- 本手法は,第三者によるスクレイパーの監視を可能にし,ウェブサイトのデータ利用状況の制御に貢献する。
分散集約器による連合学習における効率的な安全集約 [cs.CR, cs.DC, cs.LG]目的:連合学習における効率的な安全集約の実現
- プライバシー保護が重要視されるデータ活用において,分散環境での機械学習が不可欠である。
- 既存の安全集約手法は,通信ラウンド数,計算コスト,クライアント離脱への対応に課題がある。
- 集約処理を一部クライアントに委譲することで,計算負荷を軽減し,効率的な安全集約を実現する。
- DisAggは,少数の集約クライアントを利用し,局所的な部分和を計算することで,計算コストを削減する。
- DisAggは,OPAと比較して,10万次元の更新ベクトルを10万クライアントから処理する際に4.6倍の高速化を実現した。
- DisAggは,サーバーとクライアント双方の計算負荷を軽減しつつ,プライバシーを保護する。
ベクトル密輸:埋め込みストアにおける隠蔽的情報窃取と暗号学的証明の防御 [cs.MA, cs.CR, cs.IR, cs.LG]目的:埋め込みストアにおける隠蔽的情報窃取攻撃とその防御策に関する研究
- 情報検索システムにおける埋め込み技術の重要性が増しており,機密情報の保護が不可欠である。
- 既存のベクトルストアは,埋め込みデータの整合性管理や改ざん検出の機能が不十分である。
- 埋め込みデータへの不正な改ざんや情報窃取を防ぐための対策を提案することを目的とする。
- 攻撃者は,埋め込みデータに微小な摂動を加えることで,RAGシステムの検索性能を維持しつつ,秘密のデータを隠蔽できることが示された。
- 特に,小角度の直交回転は,分布ベースの異常検知を回避するのに有効であることがわかった。
- 提案手法VectorPinは,埋め込みデータとソースコンテンツを暗号学的署名によって結びつけることで,改ざんを検出し,情報窃取攻撃を防ぐ。
QCIVET:契約ベースの部分型検証とハッシュ連鎖監査トレースを備えた量子古典パイプライン整合性フレームワーク [math.OC, cs.SY, eess.SY, quant-ph, cs.CR]目的:量子古典パイプラインの整合性検証手法
- 創薬や不正検知など,量子古典パイプラインの応用が拡大しており,その信頼性確保が重要である。
- 既存の整合性検証法は古典的であり,量子ステージの振る舞いを捉えきれないという課題がある。
- 量子ステージにおける整合性を検証し,パイプライン全体の信頼性を高めることを目指す。
- QCIVETは,パイプラインをステージのシーケンスとしてモデル化し,構文レベルと意味レベルで監査を行う契約ベースのフレームワークである。
- 量子ステージの整合性は,LiskovとWingの部分型規律に基づく校正された観測値逸脱テストを用いて検証される。
- IBM Quantum EagleおよびHeronプロセッサのノイズモデル下での評価と,実際のibm_fezプロセッサでのエンドツーエンド検証が行われた。
変分量子回路におけるバックドア脅威:分類,攻撃,および防御 [quant-ph, cs.CR]目的:変分量子回路におけるバックドア攻撃の分類と対策
- 量子コンピュータの発展は,既存の暗号技術を脅かす可能性があり,セキュリティ対策が不可欠である。
- 変分量子アルゴリズムは,事前定義された回路に脆弱性を持ち,悪意のあるコードが埋め込まれるリスクがある。
- 本研究は,変分量子回路に潜むバックドア攻撃とその防御策を体系的に把握し,安全な量子計算の実現を目指す。
- 本調査は,データ汚染,コンパイラレベル,量子固有のメカニズムを含む,変分量子回路におけるバックドア攻撃の種類を分類した。
- 既存の攻撃戦略と,その実証的な特徴を分析し,攻撃モデルと用語を明確に定義した。
- 現在の検出・防御手法の限界を指摘し,特に量子固有の脅威に対する課題を明らかにした。
SaTor:Torネットワークにおける衛星ルーティングによる遅延削減の探求 [cs.CR]目的:Torネットワークにおける遅延削減のための衛星支援ルーティング方式
- Torネットワークは匿名性を重視するが,応答速度の遅延が課題であり,利便性を損ねている。
- 従来の遅延削減策は,ルーティングのランダム性を損ない,匿名性の低下を招く可能性がある。
- ルーティングのランダム性を維持しつつ,衛星通信を活用することでTorネットワークの遅延を削減する。
- SaTorは,一部のTorリレーに衛星ネットワークアクセスを付与することで,遅延の大きい経路を高速化する。
- シミュレーションと実測に基づいた評価により,SaTorは40%以上の経路で平均21.8msの速度向上を実現した。
- 上位100のリレーに衛星サービスを導入するだけで,Torネットワークの遅延ボトルネックを克服できる可能性が示された。
汎用連合学習に対する収束型差分プライバシー解析 [cs.LG, cs.CR]目的:連合学習と差分プライバシーのプライバシー保護性能評価
- プライバシー保護技術の重要性が高まる中,大規模データを用いた機械学習のニーズが増加している。
- 既存の連合学習における差分プライバシー解析は厳密性が低く,長期間の学習においてプライバシー保護性能が低下する可能性がある。
- 本研究は,連合学習と差分プライバシーの枠組みにおけるプライバシー保護性能の収束性と信頼性を評価し,理論的基盤を確立する。
- Noisy-FedAvg において,プライバシー保護性能が収束する厳密な上限を導出した。
- Noisy-FedProx において,代理項の正則化により,プライバシー保護性能が安定した下限を持つことを示した。
- 本解析は,$(\epsilon,\delta)$-DP や RDP などの既存の差分プライバシー解析手法にも応用可能である。
DeePen:音声ディープフェイク検出に対する侵入テスト [cs.CR, cs.AI, cs.SD, eess.AS]目的:音声ディープフェイク検出システムの脆弱性評価
- ディープフェイクは,個人や組織に対するセキュリティリスクが高まっているため,対策が急務である。
- 既存のディープフェイク検出システムは,攻撃に対して頑健でない可能性があり,容易に欺瞞される恐れがある。
- 本研究は,ディープフェイク検出システムの脆弱性を明らかにし,対策の方向性を示すことを目指す。
- DeePenは,ターゲットモデルの事前知識なしに,信号処理による操作(攻撃)を用いて脆弱性を評価する侵入テスト手法である。
- 実世界のシステムと公開されているモデルを分析した結果,すべてのシステムが脆弱性を示し,単純な操作で欺瞞可能であることが示された。
- 特定の攻撃に対する再学習で緩和できる攻撃もあるが,効果が持続する攻撃も存在する。
認証情報データベース侵害の検知のためのコラボレーション促進 [cs.CR]目的:認証情報データベース侵害の検知におけるサイト間連携のインセンティブメカニズム
- 認証情報の流出は深刻な問題であり,その早期検知は重要である。
- 資格情報の使い回しにより,ハニーワードの検知が困難になっている。
- サイト間での監視協力のインセンティブを明確化し,検知率を向上させる。
- 提案アルゴリズムにより,他サイトに対する監視努力が増加すると,自サイトの侵害検知能力が向上することがモデルチェック分析で示された。
- 検知効果に影響を与える主要パラメータと,それらが監視エコシステムの展開に与える影響を定量化した。
- 実侵害データセットを用いた評価により,大規模な環境下での有効性が実証された。
- 1
- 2