サイバー脅威
「AIを守る」ためのトレンドマイクロの取り組み:AIのインフラを狙う攻撃の分析をMITRE ATLASに提供
トレンドマイクロは、AIインフラを狙った攻撃に関するケーススタディを「MITRE ATLAS」に提供しました。本ケーススタディは、組織のサイバーレジリエンス強化に貢献します。
はじめに
2022年以降、デジタル空間のアタックサーフェス(攻撃対象領域)が制御不能な状態に陥っているという懸念が、世界各地で高まっていました。特に最近では、より多くの企業がビジネス運用の革新を目指してAIアプリや大規模言語モデル(LLM:Large Language Model)を導入していることもあり、その懸念が深刻化しています。AIは確かにビジネス上の革新的な力になりますが、攻撃者にとっても、魅力的な標的として映ります。
そのためトレンドマイクロでは、AIセキュリティを強化する世界的な取り組みの前線に立ち、さまざまな調査結果をコミュニティに共有するとともに、「Cyber Risk Exposure Management(CREM)」の改善に向けた独自のAI駆動型サイバーセキュリティプラットフォームを提供しています。直近の取り組みとして、世界的に有名な「MITRE ATLASフレームワーク」に新規のケーススタディを提供しました。この成果は、サイバーレジリエンスを高めるための情報源として、多くの組織に役立つものと期待されます。
トレンドマイクロのケーススタディ「AML.CS0028」は、「AIインフラに対するクラウド・コンテナベースの攻撃経路」をテーマとする研究であり、インシデント対処に役立つプレイブックを防衛チームに提供し、準備体制の強化に寄与します。当該テーマによるケーススタディはATLASにおいて前例がなく、セキュリティ向上のマイルストーンになると考えられます。また、2020年以降、MITRE ATLASが承認したケーススタディはわずか31件にとどまります。この点からも、本研究の希少性や意義が示されます。
今回のケーススタディは、サプライチェーンの侵害によってAIモデルの開発パイプラインが蝕まれる過程を、現実のシナリオに基づいて記録しています。また、攻撃の各段階をATLASの技術(Techniques)に対応付けています。さらに本研究では、AIモデルを支えるクラウドシステムに潜むリスクが特定されました。防御チームでは、これらの詳細な情報を活用することで、新たなAIシステムを一層手堅く保護することが可能です。
AIによって高まる脅威
ある調査によると、生成AIはグローバル経済に年間2.6兆米ドルから4.4兆米ドルもの付加価値をもたらすと試算されています。一方、多くの組織がAIインフラを構築してビジネス上の基幹プロセスに組み込めば、そこが攻撃のリスクに晒され、機密情報流出や恐喝、破壊工作といった活動が新たな形で展開される可能性があります。
以前にもトレンドマイクロは、LLMベースのプラットフォームやベクトルストア、各種オープンソースソフトウェアをはじめとするAIコンポーネントに潜む脆弱性や設定不備について、指摘してきました。企業や組織が特に憂慮すべき事態として、攻撃者に学習データを盗み出されること、学習データの改ざんによってLLMの出力や整合性に支障が発生すること、モデル自体が盗まれること、などが挙げられます。
今回のケーススタディ「AML.CS0028」に関する調査では、懸念すべき傾向として、下記の3点が確認されました。
- 外部に露出したコンテナレジストリがオンライン上で8,000件以上見つかった。これは、2023年に確認された件数の倍に及ぶ。
- 上述したレジストリの約70%が、書き込み(プッシュ)操作を許可していた。攻撃者は、そこに不正なAIモデルを設置できる可能性がある。
- これらのレジストリから、1,453件のAIモデルが発見された。その多くは「ONNX(Open Neural Network Exchange)」のフォーマットに従い、不正利用に繋がる脆弱性を抱えていた。
こうした数値の増加傾向は、AIモデルだけでなく、その基盤にあるインフラも激しい攻撃に晒される可能性を示しています。
研究結果を対策に繋げる
トレンドマイクロでは、先進的な脅威リサーチャーのチームをグローバル規模で展開し、攻撃者の新たなTTPs(Tactics:戦略、Techniques:技術、Procedures:手順)を常に監視、追跡しています。新たな攻撃の手口や実態を把握することで、ネットワーク防衛チームによる検知、保護、対処の取り組みを手厚く支援することが可能となり、サイバーレジリエンスの強化に貢献します。
トレンドマイクロは、最新の発見事項をMITRE ATLASに共有しました。先述したケーススタディ「AML.CS0028」は、クラウドコンテナ上のAIモデルに対する実際のデータポイズニング攻撃に基づいています。研究の過程において、外部露出したコンテナレジストリが8,000件以上発見され、その70%が書き込み権限を開放していました。さらに、こうしたレジストリから、不正利用のリスクを抱えたAIモデルが1,453件発見されました。
本ケーススタディは、クラウドとコンテナインフラの双方が絡む高度なサプライチェーン攻撃を扱ったものです。ATLASにおいて、こうしたテーマによるケーススタディの前例は、ありませんでした。また、ATLASが2020年以降に受け入れたケーススタディは、わずか31件にとどまります。こうした点においても、今回提出したケーススタディは、セキュリティコミュニティのさらなる発展に寄与するものと期待されます。
チームとしての貢献
今回のケーススタディは、トレンドマイクロの熟練した研究チームによって行われたものであり、適用範囲と技術的意義の両面で際立った成果となりました。本件についてMITRE ATLASから公開される情報は、より安全なデジタル空間の実現に寄与すると期待されます。その要点を、下記に示します。
- 本ケーススタディは、「ATLAS YAML」でエンコードされます。これにより、MITRE ATT&CKに沿った既存のツールとも、統合しやすくなります。
- 本ケーススタディは、再現性のあるシナリオを提供します。これをもとに防御チームでは、再現シミュレーションを実施し、脅威検知やインシデント対応計画の改善に繋げることが可能です。
- 本ケーススタディは、MITREの「Secure AIイニシアチブ」に寄与し、匿名化されたインシデントの共有を支援する他、AIによる脅威の情報拡充を促進します。
サイバーセキュリティにはチームスポーツとしての側面があることを、トレンドマイクロは常に認識しています。そのため、弊社による脅威分析や製品開発の成果は、お客様を保護することに加え、全ての技術ユーザを守るために活用されています。こうした理念に基づき、弊社では2025年後半にAIコンペティション「Pwn2Own」を開催する予定であり、世界的に有名なAIコンポーネントに潜む新たな脆弱性の特定を目指します。
今後もトレンドマイクロは、MITRE ATLASとの提携を通じ、サイバーセキュリティを取り巻く世界的情勢をより良い方向に導くべく、努めてまいります。
参考記事:
Trend Micro Leading the Fight to Secure AI
By: Alfredo Oliveira
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)