回避攻撃(ML)
回避攻撃(ML) とは何ですか?
回避攻撃(ML)推論時に攻撃者が入力を細工して、デプロイ済み機械学習モデル(マルウェア分類器やコンテンツフィルタなど)の本来の判定を回避する攻撃。
回避攻撃は学習・デプロイの後に発生します。攻撃者は学習パイプラインには手を加えず、クエリを操作して検出をすり抜けます。多くは敵対的サンプルを利用しますが、ポリモーフィックマルウェア、テキスト審査に対する文字難読化、話者認証に対する音声クローン、知覚ハッシュに対する変換などより単純な手口もこのファミリーに含まれます。NIST AI 100-2 は回避攻撃を、ポイズニング・プライバシー・濫用と並ぶ敵対的 ML の四大脅威の一つに位置付けています。防御策には敵対的学習、堅牢な特徴量設計、マルチモーダル/アンサンブル検出、ランタイム入力サニタイズ、信頼度ドリフトに対するテレメトリ、モデル API への厳格なアクセス制御などがあります。
● 例
- 01
難読化されたマルウェアを静的 ML 分類器が良性と判定しつつ、ペイロードは実行される。
- 02
同形異字(ホモグリフ)を散りばめたテキストが、人間にはほぼ同じに見えるまま毒性分類器をすり抜ける。
● よくある質問
回避攻撃(ML) とは何ですか?
推論時に攻撃者が入力を細工して、デプロイ済み機械学習モデル(マルウェア分類器やコンテンツフィルタなど)の本来の判定を回避する攻撃。 サイバーセキュリティの AI / ML セキュリティ カテゴリに属します。
回避攻撃(ML) とはどういう意味ですか?
推論時に攻撃者が入力を細工して、デプロイ済み機械学習モデル(マルウェア分類器やコンテンツフィルタなど)の本来の判定を回避する攻撃。
回避攻撃(ML) はどのように機能しますか?
回避攻撃は学習・デプロイの後に発生します。攻撃者は学習パイプラインには手を加えず、クエリを操作して検出をすり抜けます。多くは敵対的サンプルを利用しますが、ポリモーフィックマルウェア、テキスト審査に対する文字難読化、話者認証に対する音声クローン、知覚ハッシュに対する変換などより単純な手口もこのファミリーに含まれます。NIST AI 100-2 は回避攻撃を、ポイズニング・プライバシー・濫用と並ぶ敵対的 ML の四大脅威の一つに位置付けています。防御策には敵対的学習、堅牢な特徴量設計、マルチモーダル/アンサンブル検出、ランタイム入力サニタイズ、信頼度ドリフトに対するテレメトリ、モデル API への厳格なアクセス制御などがあります。
回避攻撃(ML) からどのように防御しますか?
回避攻撃(ML) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
回避攻撃(ML) の別名は何ですか?
一般的な別名: 推論時攻撃, モデル回避。
● 関連用語
- ai-security№ 018
敵対的サンプル
人間にはほぼ知覚できない程度に意図的に摂動を加えた入力で、機械学習モデルに誤った、または攻撃者が指定した予測を出させるもの。
- ai-security№ 081
バックドア攻撃(ML)
学習段階でモデルに秘密の挙動を埋め込み、通常入力には正常に動作する一方、特定のトリガーが出現すると攻撃者の指定する出力を返すようにする攻撃。
- ai-security№ 032
AI レッドチーム
AI システムに対して攻撃者を模擬し、現実の攻撃者より先にセキュリティ・セーフティ・濫用上のリスクを洗い出す専門チーム。
- ai-security№ 691
MLSecOps
データ収集・学習・デプロイ・運用監視・廃止まで、機械学習のライフサイクル全体にセキュリティとリスク管理を統合する取り組み。
- ai-security№ 281
データポイズニング
敵対者が学習データを注入・改ざん・再ラベル付けし、得られるモデルが誤動作したり隠れたバックドアを含んだりするように仕向ける機械学習システムへの攻撃。
- ai-security№ 777
OWASP LLM Top 10
大規模言語モデルを基盤とするアプリケーションに対し、最も重大な 10 のセキュリティリスクをまとめた OWASP のリスト。