arXiv雑要約
セキュリティ - 2026/06/18 公開
知識注入攻撃に対するLLMベースのRAGシステムのための競合を考慮した検索器編集 [cs.CR, cs.AI]目的:知識注入攻撃に対するRAGシステムの脆弱性の実証と対策
- LLMを活用したRAGシステムは広く利用されているが,セキュリティ上の脆弱性が懸念される。
- 既存の攻撃手法は外部知識ベースの操作に依存しており,検知される可能性がある。
- 検索器自体の編集を通じて,より巧妙な知識注入攻撃を実現し,RAGシステムの安全性を検証する。
- 提案手法CAREATTACKは,検索器のパラメータ編集により,悪意のある知識を上位に表示させる。
- 競合を考慮した編集と,攻撃効果を維持するためのアンカー修復により,攻撃の成功率を高めている。
- 実験結果は,CAREATTACKがRAGシステムの検索結果を効果的に操作し,攻撃を実行できることを示している。
TIGER:埋め込み空間距離最適化によるTransformer勾配の逆算 [cs.CR, cs.DC, cs.LG]目的:連合学習におけるクライアント入力の再構成
- プライバシー保護と機械学習の発展に伴い,分散環境でのモデル学習が重要となっている。
- 連合学習では,勾配更新からクライアント入力が再構成されるリスクが存在する。
- 数値ノイズに強く,効率的な勾配逆算攻撃手法の開発が求められている。
- TIGERは,埋め込み空間への距離を最小化する連続的な勾配逆算攻撃である。
- エンコーダーモデルにおいて,既存の手法よりも再構成品質と実行速度が大幅に向上した。
- デコーダーモデルでは,TIGERは既存の空間ベース攻撃よりもロバストであり,差分プライバシー防御下での再構成を可能にした。
ブラックボックス物体検出に対する予算を考慮した適応的敵対パッチ [cs.CV, cs.CR]目的:ブラックボックス物体検出器に対する敵対パッチ攻撃手法の開発
- 物体検出技術は,自動運転や監視システムなど幅広い分野で活用されており,その堅牢性は重要である。
- 既存の敵対パッチ攻撃は,クエリ回数制限下での位置,テクスチャ,サイズを同時に最適化できていない場合が多い。
- 限られたクエリ回数で,効果的かつコンパクトな敵対パッチを生成し,物体検出器の脆弱性を明らかにする。
- 提案手法は,コンテキスト・トムソンサンプリングによる軽量な配置モジュールと,NESスタイルのピクセル更新を組み合わせることで,クエリ効率の良い攻撃を実現した。
- YOLOv5,Faster R-CNN,YOLOSといった様々な物体検出器に対して高い抑制効果を示し,固定サイズやヒューリスティックなベースラインと比較して,クエリ回数とパッチの視認性とのトレードオフを明らかにした。
- 印刷・撮影によるパイロット実験では,未知の物体や視点への転移性も確認された。
TopVenues:サイバーセキュリティ文献レビューのための再現可能なコーパスとツール基盤 [cs.CR]目的:サイバーセキュリティ文献レビューにおける再現性確保のためのコーパスとツール
- サイバーセキュリティ分野の知識体系は急速に変化するため,体系的な文献調査が不可欠である。
- 文献調査の際に使用するデータセットが変化しやすく,レビューの再現性が低いという課題がある。
- 再現性のあるデータセット構築と,その利用環境を提供することで,信頼性の高い文献レビューを支援する。
- TopVenuesは,DBLPを基盤とし,学術APIや抽出器を用いて論文情報を収集・保存するシステムである。
- 2017年から2026年までの11のサイバーセキュリティ情報源から9,925件の論文を収録し,高い抽象とBibTeXカバレッジを実現している。
- 構築されたコーパスを用いた測定により,arXivプレプリントの存在割合や,著者実績によるプレプリントの絞り込み効果が示された。
Agentra:企業向け侵入対応のための監督可能なマルチエージェントフレームワーク [cs.CR, cs.AI]目的:企業における侵入対応の自動化と効率化
- サイバー攻撃の巧妙化と増加により,迅速かつ適切な侵入対応が不可欠である。
- 従来の侵入対応は静的なプレイブックや分析者の手動トリガーに依存し,対応の遅延が生じやすい。
- 本研究は,マルチエージェントシステムにより,より迅速かつ安全な侵入対応を実現することを目指す。
- Agentraは,IDS,EDR,XDRからのアラートを,MITRE ATT&CK等のフレームワークに基づいた構造化されたインシデント対応計画に変換する。
- 評価実験の結果,Agentraは誤検知を考慮したIRSのF1スコアを0.61から0.84に向上させ,有害なアクションの発生率を静的プレイブックと同程度に抑えることに成功した。
- これらの結果は,マルチエージェントによる対応計画が,オントロジーに基づいたIRSの網羅性を高め,分析者の承認と監査可能性を維持できる可能性を示唆している。
SafeClawBench:ツール利用型LLMエージェントにおける意味論的,監査証拠,およびサンドボックスによる危害の分離 [cs.CR, cs.AI]目的:ツール利用型LLMエージェントのセキュリティ脆弱性の評価基準
- LLMエージェントの利用拡大に伴い,セキュリティリスクの評価が重要になっている。
- 既存の評価方法は,攻撃成功率のみに焦点を当て,危害の具体的な段階を特定しにくい。
- 危害の段階を分離し,より詳細なセキュリティ評価を可能にすること。
- SafeClawBenchは,ツール利用型エージェントのセキュリティを評価するための段階的ベンチマークであり,6つの攻撃ファミリーに対応している。
- 評価の結果,意味論的失敗率,監査可能な危害証拠,サンドボックスで観測される危害は異なる失敗モードを示すことが明らかになった。
- プロンプトポリシーはエンドポイントの結果に影響を与えるが,その効果はモデルとプロトコルに依存する。
CloakLM:GPUメモリレイアウトの難読化による,推論時のモデル窃取に対する軽減策 [cs.CL, cs.OS, cs.CR]目的:推論時のモデル窃取に対する軽減策
- 大規模言語モデルは,第三者や共有アクセラレータ環境での展開において,モデルの機密性が重要となる。
- 既存の防御策では,GPU周辺のハードウェア基盤を介したモデル窃取のリスクが完全には解消されていない。
- GPUメモリの構造的規則性を隠蔽することで,モデル窃取を実質的に困難にすることを目的とする。
- CloakLMは,PCIeトラフィックの整形,重みのシャッフル,HBMページのリマッピングを組み合わせたソフトウェアのみの難読化フレームワークである。
- vLLMおよびPyTorchと統合可能で,ハードウェアの変更は不要であり,機密コンピューティングを補完する。
- LLaMAおよびQwenモデルを用いた評価では,ネイティブに近い性能を維持しつつ,PCIeスヌーピングやHBMダンプ攻撃に対する耐性を大幅に向上させた。
PKCS#1 v1.5 準拠テスト支援におけるLLMの有効性評価 [cs.CR]目的:PKCS#1 v1.5の準拠テストを支援するLLMの有効性
- バイナリプロトコルの準拠テストは,セキュリティ確保に不可欠であり,その自動化が求められている。
- TLVエンコーディングを用いるプロトコルのテストでは,ランダム生成や単純な変異では意味のあるテストケースを網羅できない。
- 文法レベルの変異とLLMを用いたコード合成を組み合わせることで,より汎用的な準拠テスト手法を確立する。
- LLMによるコード合成と文法レベルの変異を組み合わせたアプローチにより,Morpheusが検出した13種類の仕様違反のうち10種類を再現できた。
- 特に,署名偽造を含む5種類の違反カテゴリ全てを再現し,新たに1つの差異を発見した。
- LLMの幻覚(約82.5%)が有効性を制限する主要因であり,変異戦略よりも問題であることが判明した。
中国における「空港」検閲回避エコシステムの理解 [cs.RO, cs.CR, cs.CY, cs.NI]目的:中国における「空港」検閲回避エコシステムの体系的分析
- 中国のインターネット規制は厳格であり,情報へのアクセスが制限されているため,検閲回避手段の研究が重要である。
- 既存の検閲回避ツールは,使いやすさやパフォーマンスに課題があり,普及が限られている。
- 本研究は,中国で広く利用されている「空港」の仕組みを解明し,その脆弱性と制御方法を明らかにすることを目指す。
- 「空港」は,中国において最も普及している検閲回避ツールであり,半数以上の回答者が利用していることが判明した。
- 「空港」は,オープンソースツールキットを基盤とし,マルチホップアーキテクチャによって高いパフォーマンスを発揮することが示された。
- 一方で,「空港」は,支払い方法や政府による取り締まり,設定の複雑さといった新たな課題やセキュリティリスクを抱えている。
署名フィルタリング:大規模言語モデルにおける統計ウォーターマーク検出の軽量な強化 [cs.LG, cs.CR]目的:大規模言語モデルの出力の帰属を可能にする統計ウォーターマーク検出の精度向上
- 大規模言語モデルの利用拡大に伴い,生成されたテキストの出所を特定する技術の重要性が高まっている。
- 既存のウォーターマーク検出器は,信号が弱い場合やテキストが編集された場合に精度が低下するという課題がある。
- ウォーターマーク検出時に,信頼性の低いトークンを除去することで,検出精度を向上させることを目指す。
- 「署名」トークンを特定し除去するフィルタリングにより,ウォーターマーク検出率が大幅に向上した。
- 弱い信号や低エントロピー環境下において,検出率が8~31%から78~99%に向上し,誤検出も抑制された。
- 文のスクランブルやトークンの摂動といったストレステストにおいても,高い検出精度を維持し,WinMax検出器と同等以上の性能を示した。
ゴーストベクトル:HNSWベクトルデータベースにおけるソフト削除された埋め込みは再構成可能である [cs.CR]目的:HNSWベクトルデータベースにおけるソフト削除された埋め込みの再構成可能性
- 情報検索の効率化にベクトルデータベースが不可欠であり,特に大規模言語モデルとの連携が重要になっている。
- データ削除時の「ソフト削除」という処理方法が,データ保護法制との抵触の可能性を孕んでいる。
- ソフト削除されたデータの完全な消去を実現し,プライバシー保護とコンプライアンスを両立させる。
- HNSWベクトルデータベースでは,削除されたベクトルがAPIアクセスを介さずに直接ストレージ層から復元可能であることが確認された。
- 実世界のデータセットを用いて検証した結果,個人識別情報(PII)の回収率が高いことが示された。(例:Wikipedia BLPデータセットで名前の25.5%を復元)
- 提案手法「Epoch Key Rotation」により,削除されたPIIの回収率を0%に低減し,高速な削除処理(500レコードあたり2.5ms)を実現した。
顔のプレゼンテーション攻撃検出におけるアーキテクチャバイアス:Vision Transformerと畳み込みニューラルネットワークの比較研究 [cs.CV, cs.CR]目的:顔のプレゼンテーション攻撃検出における,人種による性能格差の軽減
- 生体認証のセキュリティにおいて,顔認証は重要な役割を担うため,その堅牢性が求められる。
- 既存の顔認証システムは,肌の色が濃いグループにおいて性能が著しく低下する傾向がある。
- 本研究は,Vision Transformerアーキテクチャが人種バイアスを軽減し,公平性を向上させるかを検証する。
- 事前学習済みのDeiT-Sは,全体的な精度97.27%,EER 0.86%を達成し,ResNet18を上回った。
- DeiT-Sは,アフリカ系と東アジア系の被験者間のACERの差を0.13%に縮小し,公平性を大幅に向上させた。
- DeiT-Sは,未知のグループである中央アジア系被験者に対して,ResNet18の3.6倍の汎化性能を示した。
ビットから混合基数鍵へ:ホーナー分解,一様サンプリング,そしてMR-OTPの情報理論的QKDインタフェース [cs.CR, cs.IT, math.IT]目的:混合基数ワンタイムパッドにおける,量子鍵配送からのバイアスフリーな混合基数鍵生成手法
- 情報セキュリティの根幹であり,絶対安全な暗号化方式であるワンタイムパッドの拡張研究。
- 量子鍵配送からの鍵生成において,バイアスが発生し,安全性を損なう可能性がある。
- 量子鍵配送から生成されたバイナリエントロピーを,一様混合基数鍵へと効率的に変換すること。
- ホーナー法とその逆変換が,バイナリ整数と混合基数タプルの間の自然な写像であることが示された。
- 単純なモジュロ演算による還元がバイアスを誘発し,リジェクションサンプリングが均一性を回復することが証明された。
- 単一および複数セッションパイプラインに対する,終端から終端までの情報理論的セキュリティが確立された。
ドメイン偽装注入攻撃に対するプロンプトベース防御の評価 [cs.CR, cs.CL, cs.LG]目的:ドメイン偽装注入攻撃に対するプロンプトベース防御の有効性
- 大規模言語モデルの利用拡大に伴い,セキュリティリスクの軽減が重要課題となっている。
- 従来の注入攻撃検出器は,構文上の特徴に依存するため,ドメインに適合した語彙を用いた攻撃には脆弱である。
- ドメイン偽装注入攻撃に対する効果的な防御手法を確立し,その有効性を定量的に評価すること。
- 取得コンテンツを処理前に言い換える防御策が最も一貫して効果的であり,モデルによって攻撃成功率を55~84%削減した。
- 防御策の効果はモデルに強く依存し,Claude Haikuではスポットライトが攻撃成功率を半減させたが,Llama 3.1 8Bでは効果がなかった。
- 金融ドメインはベースライン攻撃成功率が26~33%と最もリスクが高く,弱いモデルではプロンプトベース防御で完全に脅威を排除することはできなかった。
AIサンドボックス:脅威モデル,分類,および測定フレームワーク [cs.CR, cs.AI, cs.RO, cs.SE]目的:AIサンドボックスの脅威モデル,分類,および測定フレームワークの構築
- AIシステムの安全性と信頼性確保は,社会実装において不可欠であるため,検証技術の確立が急務。
- 既存のAI検証手法では,物理的な相互作用やサイバー物理システム特有の脅威への対応が不十分である。
- AIサンドボックスにおける検証範囲,リスク封じ込め,証拠の信頼性を明確化し,安全性を高める。
- AIサンドボックスを,デジタルAI,自律型システム,サイバー物理システムにおけるテスト環境として捉え,その境界を形式化。
- サンドボックスのタイプを分類し,物理的な攻撃を含む脅威モデルと,検証に必要な測定指標を定義。
- 実際のサンドボックス事例に基づき,本フレームワークの有効性と適用範囲を実証した。
自信と懸念:コンピューティング学生のサイバーセキュリティに対する態度の矛盾 [cs.CC, cs.CR, cs.CY, cs.HC]目的:コンピューティング学生のサイバーセキュリティに関する知識,態度,経験
- 現代社会において,サイバーセキュリティは情報保護の基盤であり,社会機能維持に不可欠である。
- 若年層はデジタル環境に精通している一方,オンラインプライバシー管理に対する無力感やフィッシング攻撃への脆弱性が問題視されている。
- サイバーセキュリティに対する学生の認識と行動のずれを明らかにし,より効果的な教育方法を検討する。
- コンピューティング学生は一定のサイバーセキュリティ知識を持つものの,誤った認識や行動の矛盾が見られた。
- 学生のサイバーセキュリティ学習は,授業内よりも外部の情報源からの影響が大きいことが示唆された。
- 学生はサイバー犯罪の被害に遭っており,支援体制の不足が課題であることが明らかになった。また,自信と不安の二つのグループが存在する。
ゲートは契約と同じくらい正直である:リスク認識因果ゲートの契約レイヤーのためのContractGuard [cs.SI, cs.CR]目的:リスク認識因果ゲートにおけるツール契約の完全性確保
- LLMエージェントの安全性確保は重要であり,特に間接的なプロンプトインジェクション対策が不可欠である。
- 従来の対策では,ツールの契約の完全性が侵害された場合,安全性が損なわれる可能性がある。
- ツール契約の完全性を検証し,プロンプトインジェクション攻撃に対する堅牢性を高める。
- ContractGuardは,署名された来歴,型付き契約アテステーション,および実行時効果検証をレイヤー化することで,ツール契約の完全性を検証する。
- 制御されたベンチマークにおいて,ContractGuardは全てのモデル化された攻撃に対する注入成功率をゼロにまで低下させた。
- 最新世代のLLM(Claude, Sonnet, Haiku, Amazon Nova, GPT-OSS-120B)における構造的な予測が確認された。
MIDS:双方向MambaによるCANバスにおけるステルスななりすまし・改ざん攻撃の検出 [cs.CR, cs.AI]目的:CANバスにおけるステルスななりすまし・改ざん攻撃の検出手法
- 自動車のECU間通信で広く使われるCANプロトコルは,セキュリティ脆弱性が深刻化しており,対策が急務である。
- 従来の侵入検知システムは,フレーム注入型攻撃に偏っており,時間周期を維持した巧妙ななりすまし攻撃への対応が遅れている。
- 本研究は,時間周期を維持したなりすまし攻撃を検出し,自動車のCANバスセキュリティを向上させることを目指す。
- MIDSは,CAN識別子とペイロードを並列処理し,双方向選択的状態空間モデリングにより時間的関係を再構築する。
- Tesla Model 3の実際のCANバスデータを用いて評価した結果,F1スコア96.94%を達成し,既存のベースラインを8%以上上回った。
- 公開ベンチマークにおいても高い性能を示し,最良のベースラインを最大13.94%上回るF1スコアを達成した。
コードの予言者:仕様推論によるエージェント型脆弱性検出 [cs.CR, cs.AI, cs.SE]目的:エージェント型脆弱性検出における,仕様の明示化と継続的な改良
- ソフトウェアの安全性を確保する上で,脆弱性の早期発見は不可欠である。
- AIエージェントによる脆弱性検出は進歩しているが,その推論過程が不透明であるという課題がある。
- エージェントの暗黙の仮定を明確化し,実行時検証を通じて仕様を改善することで,信頼性を高める。
- Code-Augurは,脆弱性のあるコードを分析し,安全と判断した場合,その根拠をアサーションとしてソースコードに埋め込む。
- ファジングによるアサーションの反証を試み,脆弱性の発見または仕様の修正を行うことで,エージェントの理解を深める。
- 実世界のコードベースにおいて,既存のエージェントよりも多くの脆弱性を検出し,主要なオープンソースプロジェクトで22個の新たな脆弱性を発見した。
トピック誘導型介入されたAPT手口シーケンスの生成解釈 [cs.CR]目的:複数キャンペーンの潜在的な解明
- 企業環境では複数のAPT攻撃が同時多発的に発生し,セキュリティ対策が重要となる。
- 既存手法は単一キャンペーンを想定するか,厳格なヒューリスティックに依存し,現実的な条件に対応できない。
- 重複,共通手口,可変実行長といった現実的な状況下でキャンペーンを効果的に分離・解明すること。
- 提案手法TGCMは,一回の推論で介入された観測から構造化された単一キャンペーンシーケンスを直接的に復元する。
- MITRE ATT&CKの記述に基づいたトピック誘導型事前分布により,意味的に一貫性のある攻撃チェーンを優先する。
- 合成データ,混合データ,DARPA TC-E3/E5のインシデントトレースで評価した結果,重い介入や手口共有下でベースラインよりも分離のロバスト性が向上した。
現実世界のLLMベースアプリケーションにおけるプロンプト漏洩攻撃の理解と軽減 [cs.CR]目的:LLMベースアプリケーションにおけるプロンプト漏洩攻撃とその対策
- LLMは,その能力から様々な応用が期待されるが,セキュリティ上の課題も存在する。
- システムプロンプトは知的財産であり,その漏洩は機密情報の暴露に繋がりうる。
- 現実のLLMアプリケーションにおけるプロンプト漏洩の現状と対策を明らかにすること。
- 1,200のアプリケーションを調査した結果,80%以上が現実的な攻撃に対してシステムプロンプトを漏洩することが判明した。
- 既存の防御策は,使い勝手を損なうことなく漏洩を防ぐことが難しい場合が多い。
- 提案手法AREAは,最先端の防御策と同等の耐漏洩性を持ちながら,使い勝手を33%以上向上させ,最適化のオーバーヘッドをほぼ3分の1に削減した。
データポイズニングによる隠蔽的なワールドモデル操作 [cs.LG, cs.CR, cs.RO]目的:学習されたワールドモデルの操作
- モデルベース学習は,環境への適応に重要である。しかし,学習データへの攻撃に脆弱である。
- ワールドモデルの更新過程は,悪意のあるデータによって改ざんされやすい。
- ワールドモデルの学習データを操作し,計画能力を低下させることを目指す。
- 提案手法SWAAPは,ワールドモデルのダイナミクスを操作し,計画時のパフォーマンスを低下させる。
- SWAAPは,わずかな改ざん量で攻撃を隠蔽し,既存の防御策を回避する。
- ワールドモデル適応パイプラインにおける脆弱性が明らかになり,ロバスト性の向上が必要である。
分散型MLLM推論フレームワークに対する画像プロンプトレコンストラクション攻撃 [cs.CL, cs.CR]目的:分散型MLLM推論フレームワークにおける入力画像のプライバシーリスク
- LLMの発展に伴い,より多くのユーザーが利用可能となり,分散型推論の重要性が増している。
- 分散型推論において,中間表現を通じてプライベートなプロンプトが漏洩する可能性がある。
- 画像プロンプトの漏洩を防ぐための攻撃手法と対策を明らかにすること。
- 画像埋め込み抽出アルゴリズムの抽出精度がほぼ全てのMLLM層で100%に達した。
- MPAAとIEDAという2つのパッシブブラックボックス画像再構成攻撃が有効であることが示された。
- MoEアーキテクチャ,画像前処理,モデルサイズなどが攻撃性能に影響を与えることが明らかになった。
低レートサイバー攻撃の早期検出のための予測ニューラルネットワークアーキテクチャ [cs.CR]目的:低レートDoS攻撃の早期検出
- IoTネットワークの普及に伴い,セキュリティの重要性が増しているため。
- 従来の侵入検知システムでは,微細で長期的な低レート攻撃を見抜くことが困難である。
- リソース制約のあるIoT環境でも,リアルタイムで低レート攻撃を検知する仕組みを構築する。
- 提案手法IDQSは,公共データセットにおいて79%以上の検出精度を達成した。
- 特に,CIC-IDS2017データセットでは,91%を超える高い検出精度を複数の攻撃シナリオで示した。
- IDQSは,わずか0.28秒の推論時間で,IoT環境へのリアルタイム展開に適している。
ビザンチン耐性のある決定論的再構成のための合成CRDT層 [cs.DC, cs.CR]目的:ビザンチン障害に耐性のある決定論的な状態再構成
- 分散システムにおいて,データの整合性と可用性を確保することが重要である。
- 従来のCRDTは,悪意のある参加者(ビザンチン障害)への対策が不十分である。
- 悪意のある更新を許容しつつ,一貫性を維持する再構成モデルを提案する。
- 提案手法は,すべての更新を取り込みつつ,再構成プロセスへの入力として扱うことで,収束性を保証する。
- 更新の伝播と状態の導出を分離することで,ビザンチン耐性を実現する。
- 認証,認可,機密性といった機能を,収束性に影響を与えずに実装可能である。
TRAP:タスク完了と積極的プライバシー抽出への耐性に関するベンチマーク [cs.CR, cs.AI]目的:タスク完了度とプライバシー漏洩リスクのトレードオフの評価
- 近年,機密情報を含む文書処理を行うエージェントの利用が増加しており,プライバシー保護が重要課題となっている。
- エージェントはタスクを正確に完了するためにプライバシー情報を利用する必要がある一方,情報漏洩を防ぐ必要があり,両立が困難である。
- 本研究は,タスク完了度を維持しつつ,プライバシー情報の漏洩を効果的に抑制する手法を模索することを目的とする。
- 22のモデルを評価した結果,全てのモデルファミリーで漏洩が見られ,指示への追従能力と漏洩率には相関関係があることが判明した。
- 既存のプロンプトベースの防御策は漏洩を軽減するものの,タスクの精度が著しく低下するというトレードオフが生じる。
- プライベートフィールドのハッシュ化によって情報漏洩を大幅に抑制しつつ,タスク精度を維持できることが示された。
セキュアな機械学習モデル実行のためのライフサイクルを意識した動的解析 [cs.CE, cs.CR, cs.LG]目的:機械学習モデル実行時のセキュリティ確保
- 機械学習の利用拡大に伴い,攻撃対象領域が増加しており,セキュリティ対策の重要性が高まっている。
- 既存のモデルスキャンは静的ルールや既知のシグネチャに依存するため,汎用性や未知の攻撃検出に課題がある。
- モデル実行時のホストシステムへの影響に着目し,ライフサイクルを考慮した動的解析により,新たな攻撃検出を目指す。
- 提案手法Moatは,機械学習モデルのライフサイクルとホストシステムとのインタラクションの構造に着目した動的解析アプローチである。
- Hugging Face HubのモデルやCVEのPoCを用いた評価で,全ての攻撃クラスを検出し,誤検知率はほぼゼロに抑えられた。
- この結果は,動的解析が機械学習モデルのセキュリティ確保に有効であることを示唆している。
CHERI-D:CHERIにおける時間的メモリ安全性のための効率的なインラインオブジェクトID [cs.AR, cs.CR]目的:CHERIにおける時間的メモリ安全性のための効率的なインラインオブジェクトIDの実現
- プログラミング言語,OS,ハードウェアにおいてメモリ安全性の重要性が増している。
- 既存のCHERIのtemporal safety手法は,UAFではなくUARのみを保護し,性能面で課題がある。
- CHERI-Dは,能力ポインタにオブジェクトIDメタデータを付加し,時間的な整合性を確保する。
- CHERI-Dは,allocation dataと共にオブジェクトIDをインラインで安全に格納することで,revoke overheadを削減する。
- シミュレーションと実機評価の結果,Cornucopia Reloadedの性能を向上させつつ,厳密なUAF対策を実現する。
- CHERI-Dは,CHERIの空間的安全性と組み合わせることで,効率的な時間的メモリ安全性を実現する。
PYPILINE:不審なAPI知識とエージェントワークフローによる悪意のあるPyPIパッケージの検出 [cs.CR]目的:悪意のあるPyPIパッケージの検出手法
- オープンソースソフトウェアサプライチェーンのセキュリティ維持は重要であり,その中でPyPIパッケージの悪意のあるものが脅威となる。
- 既存手法は解釈可能性が低く,新しい攻撃への適応が困難であるという課題がある。
- 不審なAPI知識とエージェントワークフローを組み合わせ,解釈可能な検出手法を確立することを目指す。
- PYPILINEは,既存の最先端ツールと比較して,精度96.7%,再現率99.6%,F1スコア98.1%という高い性能を示す。
- 精度はベースラインツールを5.7〜24.2パーセントポイント上回る。
- 悪意のあるパッケージに関する実証研究から,一般的な攻撃戦略と悪用されやすいAPIが明らかになった。
将来的な脆弱性トリアージのための予算制約付き脆弱性悪用可能性証拠グラフ [cs.CR]目的:将来的な脆弱性トリアージにおける脆弱性悪用可能性の評価
- サイバー攻撃の増加に伴い,脆弱性の優先順位付けと迅速な対応が重要となっている。
- 全ての脆弱性を即座に修正することは不可能であり,効率的なトリアージ手法が求められている。
- 公開情報のみを用いて,脆弱性の悪用可能性を正確に予測し,優先順位付けを支援する。
- 予算制約付き証拠選択により,脆弱性の早期発見率が向上し,より効率的なトリアージが可能となった。
- 証拠文書の選択数は,2件程度で効果が最大化されることが示された。
- 単純なランダム分割による評価は,脆弱性優先順位付けの主張を歪める可能性があることが明らかになった。
例外アクセスアーキテクチャにおける妥協リスクの定量化:疎な間接的証拠下での考察 [cs.CR, cs.CY]目的:例外アクセスアーキテクチャにおける体系的な妥協リスク評価フレームワーク
- 通信の保護において,権限ある者による復号を可能にする例外アクセスシステムの安全性は重要である。
- 例外アクセスに特化した妥協事例の公開データセットが存在せず,評価には疎な間接的証拠を用いる必要がある。
- 構造的に異なる設計を区別し,妥協リスクを定量的に評価するための枠組みを構築すること。
- 例外アクセスを実装したアーキテクチャは,実装していない場合に比べて,モデリングされたリスクが明確に高いことが示された。
- 伝送層EA (T-EA) は中心傾向,OTT-EAは相関キャンペーン下でのテールにリスク分布が支配される。
- T-EAの年間妥協確率は,評価範囲において1.4%から12.9%と推定され,長期的には累積妥協リスクがゼロを超える。
Giskard:大規模分散学習のためのビザンチン耐性と機密性のある集約 [cs.RO, cs.CR, cs.LG]目的:分散学習における機密性とビザンチン的振る舞いへの対処
- 分散学習はデータプライバシーを保ちつつ機械学習を可能にする重要な技術である。
- 機密性とビザンチン耐性を両立させることは,既存手法では計算コストが高い。
- 大規模分散環境下での効率的な機密性とビザンチン耐性を実現する。
- Giskardは,n個のパーティをサイズO(log n)の委員会ツリーに編成することで,スケーラビリティを高めている。
- 各委員会内でBGW形式のMPCを用いて,値域に対する分散二分探索により近似中央値を算出する。
- 実験結果から,Giskardは競合他社と同等のモデル精度を維持しつつ,パーティごとの通信量を漸近的に削減できることが示された。
OpenAnt:コード分解,敵対的検証,動的テストによるLLMを活用した脆弱性検出 [cs.CR, cs.LG]目的:大規模コードベースにおける脆弱性検出システム
- ソフトウェアの安全性確保は重要であり,脆弱性の早期発見が不可欠である。
- 従来の静的解析は誤検出が多く,動的解析はインフラコストが高いという課題がある。
- LLMと検証技術を組み合わせ,スケーラブルな自動セキュリティ分析を実現する。
- OpenAntは,コードを分析可能な単位に分解し,分析対象を最大97%削減することで効率的な脆弱性検出を可能にした。
- 敵対的検証により,現実的な攻撃能力を考慮した脆弱性の悪用可能性を評価することで,誤検出を抑制した。
- 動的検証により,自動生成された環境で脆弱性を検証し,信頼性の高い結果を得た。OpenSSL等で未発見の脆弱性を検出した。
PhantomSkill:エージェントスキルエコシステムにおける悪意のあるコード注入 [cs.RO, cs.CR]目的:エージェントスキルにおける悪意のあるコード注入攻撃手法の研究
- LLMベースのエージェントはスキルを通じて能力を拡張するが,セキュリティ上の課題が生じている。
- サードパーティ製スキルに悪意のあるコードが混入するサプライチェーン攻撃のリスクが存在する。
- スキル記述ではなく,補助リソースに悪意のあるコードを隠蔽する攻撃手法の有効性を検証する。
- 提案手法VulMaskは,脆弱性を模した実装により,悪意のあるコードを隠蔽し,検知を回避する。
- 実験の結果,VulMaskは通常のコードとして認識されやすく,従来の悪意のあるスクリプトと比較して警告やマルウェア検出を減少させる。
- スキルエコシステムには,リソースレベルでの検証,実行時コンテナ化,脆弱性を悪意のあるペイロードとして扱うセキュリティポリシーが必要である。
CodeSentinel: コード環境における間接的なプロンプトインジェクションに対する三層防御 [cs.RO, cs.CR]目的:コード環境における間接的なプロンプトインジェクションに対する防御機構
- コード生成LLMの利用拡大に伴い,セキュリティリスクの軽減が重要である。
- コード内のコメントや文字列に悪意のある指示が隠蔽されるリスクが存在する。
- 悪意のあるトリガーを検出し,コードLLMへの影響を抑制することを目指す。
- CodeSentinelは,Tree-sitterを用いて高リスクなCSTノードを抽出する。
- 構文誘導による事前フィルタリング,CST誘導Dynamic Min-K\%スコアリング,ノード摂動分析を組み合わせる。
- 6種類の攻撃ファミリーに対し,0.80の平均ノードレベルF1スコアを達成し,既存手法を上回る。
QSignAI:AIと科学のためのAI,科学のためのAIの交差点における量子乱数シード付きアイデンティティ署名 [cs.CR, cs.AI, cs.ET, quant-ph]目的:AIと量子科学の双方向関係を示す実用的なシステム
- AIと量子科学はそれぞれ重要分野であり,社会に大きな影響を与える可能性を秘めている。
- AIと量子科学の融合はまだ実現しておらず,その可能性が十分に探求されていない。
- 本研究は,AIと量子科学を統合し,実用的なシステムとして実証することを目指す。
- QSignAIは,AI駆動のソーシャルプラットフォームに量子乱数を組み込むことで,リアルタイムイベント参加システムを実現した。
- 量子現象を一般の聴衆に分かりやすく提示するAIボットの開発に成功した。
- クラウド量子シミュレーターを用いた本システムの運用により,実用性が確認された。
構造化格子とそのセキュリティへの応用 [math.MG, cs.SY, eess.SY, math.OC, math.MG, cs.SY, eess.SY, math.OC, math.NT, cs.CR, cs.IT, math.IT]目的:構造化格子の概要と,格子暗号およびセキュアな無線通信への近年の応用
- 格子は数論や幾何学において重要な対象であり,様々な分野に応用される
- 特に安全性が重要な現代において,より強固な暗号技術が求められている
- 格子暗号等の安全性向上に貢献する構造化格子の理論的基盤を整理する
- ユークリッド格子は,数体拡大など様々な構成から豊かな構造を持つ興味深い対象である。
- 特に,well-rounded格子は,幾何学における最密充填問題や,ミンコフスキー・ウッズ予想と関連している。
- 本稿では,構造化格子を紹介し,格子ベースの暗号やセキュアな無線通信への応用について議論する。
集中流動性マーケットメーカーにおけるゲーム理論的流動性提供 [eess.SY, cs.SY, cs.CG, cs.DM, math.CO, cs.GT, cs.CR, cs.DC]目的:集中流動性マーケットメーカーにおける流動性提供者のインセンティブ
- 分散型取引所(DEX)の普及に伴い,自動マーケットメーカー(AMM)の流動性提供戦略が重要視されている。
- 集中流動性マーケットメーカー(CLMM)では,価格範囲の選択が複雑になり,最適な流動性提供戦略が不明確である。
- ゲーム理論モデルを用いて,CLMMにおける流動性提供者のインセンティブを分析し,最適な戦略を導き出す。
- 提案モデルは複数の方策均衡を持つ複雑なゲームを,単一の均衡を持つ線形的なゲームに簡約できることを示した。
- 均衡戦略はウォーターフィリング戦略に従い,資金の少ないLPは予算を使い切り,資金の多いLPは使い切らない傾向がある。
- 現実の流動性プールでは,LPは均衡戦略から逸脱する傾向があるが,均衡戦略に近づけることで,ROIの増加が期待できる。
FinP:連合学習におけるプライバシーリスクの不均衡に対処したプライバシーと公平性の両立 [cs.LG, cs.CR]目的:連合学習におけるプライバシーと公平性の両立
- 個人情報保護の重要性が増す中,データ集中を避ける連合学習が注目されている。
- 連合学習でも,プライバシー保護の度合いにばらつきがあり,リスクが高い個人が存在する。
- プライバシーリスクの不均衡を解消し,公平性を担保した連合学習を実現することを目指す。
- FinPは,クライアントのプライバシーリスクに基づき重み付けを行う適応的な集約メカニズムと,過学習を抑制する正則化手法を組み合わせる。
- FEMNIST,HAR,CIFAR-10のデータセットを用いた実験により,FinPがプライバシーの公平性とモデルの性能を両立することが示された。
- FinPは,プライバシー暴露の不均衡を最大57.14%削減し,モデルの性能を標準的な連合学習と同程度に維持した。
準ランダムモデルにおける植え込まれた部分グラフのロバストな検出 [cs.MA, cs.IT, cs.CR, cs.DS, cs.LG, math.IT, math.ST, stat.TH]目的:準ランダムモデルにおける植え込まれた部分グラフ検出問題に対する統計的限界とロバストなアルゴリズム
- グラフ構造の分析は,ソーシャルネットワークや生物学的ネットワークなど,様々な分野で不可欠である。
- 従来のランダムモデルは現実世界の摂動に弱く,実際の問題への適用が困難である。
- 本研究は,敵対者がエッジを削除できる準ランダムモデル下での検出限界を明らかにする。
- 部分グラフの最大密度が対数関数より小さい場合,敵対者の存在下では検出は不可能となる。
- 部分グラフの密度が対数関数より大きい場合,統計的限界はほとんど変化せず,最良の検定はロバストである。
- 効率的かつロバストな検出アルゴリズムを設計し,その性能に関する厳密な統計的保証を提供する。
セマンティック・ルーター:単一の敵対的摂動によるMLLMの乗っ取りの可能性 [cs.CV, cs.AI, cs.CR]目的:マルチモーダル大規模言語モデル(MLLM)に対するセマンティックアウェアハイジャックの実現性
- 自律走行やロボティクスなど,ステートレスシステムへのMLLMの応用が拡大しているため,そのセキュリティ確保は重要である。
- 既存手法では,特定の入力に対して局所的な摂動を与える必要があり,複数の意思決定を同時に乗っ取ることは困難であった。
- 単一の摂動で複数のMLLMの意思決定を同時に乗っ取る攻撃手法を確立し,その危険性を明らかにすること。
- 提案手法SAUPは,入力のセマンティクスを認識し,攻撃者が定義したターゲットへルーティングすることで,MLLMの乗っ取りを可能にする。
- 理論的・実験的分析により,潜在空間の幾何学的性質に基づいたSORT最適化戦略が有効であることが示された。
- Qwenに対する実験で,単一のフレームに対して5つのターゲットに対して66%の攻撃成功率を達成し,この攻撃の実現可能性を証明した。
LDPCベースの擬似乱数誤り訂正符号の暗号解読 [cs.RO, cs.CR]目的:LDPC-PRCに対する攻撃と,そのセキュリティ限界の明確化
- 生成AIモデルへの透かし技術の安全性確保は,知的財産保護やコンテンツの真正性の検証において重要である。
- 擬似乱数誤り訂正符号(PRC)は新しい暗号化技術だが,その安全性は十分に分析されていなかった。
- 本研究では,LDPC-PRCの脆弱性を明らかにし,現実的な攻撃コストを評価することで,そのセキュリティ限界を明確にする。
- LDPC-PRCに対する3つの新しい攻撃手法を提案し,その undetectability(秘匿性)と robustness(堅牢性)を検証した。
- 実際のDeepSeekやStable Diffusion等の生成AIモデルを用いた実験で,攻撃の有効性を実証し,安全性保証が損なわれることを示した。
- 攻撃コストは$2^{22}$演算で透かしの存在を高い確率で検出可能であり,128ビットセキュリティは達成できないことを明らかにした。
高性能FHEを用いたプライベート虹彩認識 [cs.CR]目的:虹彩認識におけるプライバシー保護
- 虹彩は生体認証において高い精度を持つため,大規模データベースでの利用が期待されている。
- 生体情報の保存はプライバシー侵害のリスクを伴うため,安全な取り扱いが課題となる。
- FHEを用いることで,データベースやクエリを暗号化したまま処理し,プライバシーを保護する。
- 提案手法は,8基のRTX-5090 GPUを用いて,7・2^14件のデータベースに対し,32個の虹彩コードを約1.8秒で照合できる。
- 従来のSS-MPCと比較して,信頼されたセットアップが不要,暗号化されたデータベースを公開可能といったセキュリティ上の利点がある。
- FHEベースの線形代数演算の高速化や,処理する暗号文数を削減する技術が,本研究の主な要素である。
FHEベースのプライバシー保護機械学習の拡張:より高いスループット,LLama-3-8Bのための長い入力 [cs.CR]目的:大規模言語モデルのプライバシー保護推論におけるスループット向上と入力長の拡大
- 大規模言語モデルの利用拡大に伴い,推論時のプライバシー保護の重要性が高まっている。
- 既存のFHEベースのソリューションは,入力トークン長やモデルサイズのスケーラビリティに課題がある。
- FHEを用いた大規模言語モデル推論における効率性と実用性を向上させる。
- 本研究では,トークン付加や直交回転などの機械学習技術を用いて,非線形層における外れ値の影響を軽減し,FHE推論を高速化。
- また,スパースにパックされた暗号文に対する新しい多項式評価法を開発し,ホモモルフィックSoftMaxの実装を加速。
- Llama-3-8Bのプライバシー保護推論において,8台のNVIDIA RTX PRO 6000 GPU上で128暗号化トークンを20秒で要約,18秒/トークンで生成可能。
グラフは秘密のままではない:防御されたグラフRAGに対する実用的な部分グラフ再構成攻撃 [cs.CR]目的:グラフRAGシステムからの部分グラフ再構成
- 知識グラフはLLMの推論能力を向上させるため重要である。構造化された知識を提供し,質問応答の質を高める。
- グラフRAGのセキュリティ脆弱性が十分に研究されていない。悪意のある攻撃者による知識の抽出と悪用が懸念される。
- 現実的な保護策下でグラフRAGから部分グラフを再構成し,プライバシー侵害や知識資産の複製を防ぐ。
- GRASPは,既存の手法が失敗する状況下でも,高い型忠実性で部分グラフを再構成できる。
- GRASPは,抽出を文脈処理タスクとして捉え,フォーマットに準拠した出力を生成することで,幻覚を減らし関係性の詳細を保持する。
- 提示された防御策は,実用性を損なうことなく,再構成の忠実度を効果的に低減できる。
f-微分プライバシーに対する逐次監査 [cs.CR, stat.ME, stat.ML]目的:アルゴリズムの微分プライバシー(DP)評価
- プライバシー保護技術は,個人情報利用における倫理的・法的課題に対応するため重要である。
- 既存の監査手法は,サンプリングコストが高く,特に大規模な学習処理に不向きである。
- 本研究は,効率的なサンプリングによるDP違反検出を目指す。
- 本研究では,f-DPという高度なプライバシー概念に着目し,統計的有意性を持つ監査手法を提案した。
- 提案手法は,ユーザが事前にサンプルサイズを指定する必要がなく,必要なサンプル数を適応的に決定する。
- これにより,DP-SGDのような高コストな学習処理におけるサンプリングコストを大幅に削減できる。
WebSP-Eval:ウェブサイトのセキュリティとプライバシーに関するタスクにおけるウェブエージェントの評価 [cs.CR, cs.AI, cs.LG]目的:ウェブサイトのセキュリティとプライバシーに関するタスク遂行能力の評価
- ウェブエージェントの利用拡大に伴い,セキュリティとプライバシー保護の重要性が高まっている。
- 既存の評価フレームワークでは,セキュリティ・プライバシー設定の操作といったユーザー視点での評価が不足している。
- ウェブサイトにおけるセキュリティ・プライバシー設定の自動化能力を評価するフレームワークを構築し,現状の課題を明確化する。
- WebSP-Evalは,28のウェブサイトと200のタスクインスタンスから構成される評価データセットである。
- 最先端のマルチモーダルLLMを用いた評価の結果,ウェブエージェントはセキュリティ・プライバシー関連タスクの自律的な遂行に課題があることが示された。
- 特に,状態を持つUI要素(トグルなど)がタスク失敗の主要因であり,多くのモデルで45%以上の失敗率を引き起こしていることが判明した。
VulLink:サイバーセキュリティデータマイニングのための動的オープンアクセス脆弱性グラフデータベース [cs.CR, cs.DB]目的:サイバーセキュリティデータマイニングのための脆弱性グラフデータベース
- ソフトウェア脆弱性は増加の一途をたどっており,脅威インテリジェンス分析の重要性が増している。
- 既存の脆弱性データベースは,レコード中心の構造のため,脆弱性間の関係性を捉えるのが困難である。
- 複数の脆弱性情報を統合し,動的に更新されるグラフデータベースを構築することで,データマイニングを支援する。
- VulLinkは,複数の公開リポジトリを統合し,自動ETLパイプラインを用いて脆弱性データをグラフデータベースに変換する。
- WebインターフェースとAPIを提供し,脆弱性サブグラフの探索,クエリ,エクスポートを可能にする。
- 事前計算された脆弱性記述の埋め込み表現を提供し,ダウンストリームのデータマイニングタスクに利用できる。
LivePI:間接的なプロンプトインジェクションに対するエージェントのより現実的なベンチマーク [cs.CR, cs.AI]目的:間接的なプロンプトインジェクション(IPI)リスクの評価
- AIエージェントの利用拡大に伴い,外部ツールへのアクセスが増加しているため,セキュリティ確保が重要である。
- 既存の評価は規模が小さく,現実的な環境でのIPIリスクを十分に捉えられていない。
- 実環境に近いテスト環境でIPIリスクを構造的に評価し,対策の有効性を検証すること。
- LivePIベンチマークにより,GPT-5.3-Codex等の大規模言語モデルにおける攻撃成功率が10.7%~29.6%に及ぶことが示された。
- 特にグループチャットへのインジェクションは,評価した全てのモデルで成功しており,リポジトリリンク攻撃も高重度の失敗を引き起こした。
- プロンプトフィルタリングとツールコール認可の二層防御により,GPT-5.3-CodexにおいてはLivePIの全ての悪意ある目標を阻止できた。
モバイル空間データの効率的かつプライバシー保護された分布統計分析 [cs.CR]目的:モバイル空間データの分布統計分析の効率化とプライバシー保護
- モバイルコンピューティング技術の発展により,空間データ利用が不可欠となっているため。
- データの集約はプライバシー侵害のリスクを高め,既存技術はコストや精度で課題がある。
- モバイル環境における効率性とプライバシー保護を両立する分析手法を確立すること。
- 提案システムeSpat-Bは,非協調サーバーと改良されたDPFにより,効率的な分析を実現。
- さらに,eSpat+はK-D木と増分DPFを組み合わせ,空間データの更新効率を向上。
- 実験結果から,既存手法と比較して計算・通信コストを削減し,統計精度を維持することが示された。
- 1
- 2