Cyber Threat Intelligence for Artificial Intelligence Systems

本論文は、従来のサイバー脅威インテリジェンスの限界を踏まえ、AI 特有の脆弱性やサプライチェーンを網羅した新たな知識基盤の構築、具体的な侵害指標の提示、および類似性評価手法の検討を通じて、AI システムに特化した実践的な脅威インテリジェンス枠組みの確立に向けた課題と将来の研究方向を明らかにしています。

要約

この論文は、**「AI（人工知能）という新しい街を守るための、新しい『防犯情報』の作り方」**について書かれたものです。

従来のサイバー攻撃（ウイルスやフィッシングなど）は、すでに「防犯マニュアル」や「犯人の特徴リスト（脅威インテリジェンス）」が整備されています。しかし、AI が使われるようになると、**「従来のマニュアルでは守れない新しい種類の犯罪」**が生まれてしまいました。

この論文は、その新しい犯罪に対処するために、どうすればいいかを提案しています。わかりやすく 4 つのポイントで説明します。

---

1. 従来の「防犯」と、AI の「防犯」の違い

【従来の街】
昔のサイバー攻撃は、家の「鍵（パスワード）」を壊したり、壁（ソフトウェア）に穴を開けたりするものでした。だから、**「鍵の破り方」や「壁の穴」**をリスト化して対策していました。

【AI の街】
AI の世界では、攻撃の仕方が全く違います。

• 例え話： AI は「料理のレシピ（学習データ）」と「料理人（モデル）」でできています。
  • 従来の攻撃：料理人の制服を奪う（パスワード突破）。
  • AI への攻撃： 料理人の**「レシピに毒を混ぜる」（学習データの汚染）や、「料理人の記憶を書き換える」（モデルの裏口設置）、あるいは「料理人に嘘の注文をして、毒入り料理を出させる」**（プロンプトインジェクション）といった手口です。

つまり、「鍵の破り方」だけでなく、「レシピの書き換え」や「記憶の改ざん」を監視する新しい防犯リストが必要なのです。

2. 必要な「防犯情報」はどこから集める？

新しい犯罪に対処するには、新しい情報源が必要です。論文では、3 つの種類の「情報源」を整理しました。

• ① 弱点リスト（脆弱性データベース）：
  • 「AI のレシピにどんな毒が混ざりやすいか」「料理人がどんな嘘に騙されやすいか」をまとめたリスト（AVID や OWASP など）。
• ② 事件簿（インシデントデータベース）：
  • 「実際に何が起きたか」を記録したファイル。例えば、「自動運転車が歩行者を踏みつけた」「顔認証システムが誤って人を逮捕させた」といった実例です。これを見ると、理論上のリスクだけでなく、現実の被害がどう起きるかがわかります（AI Incident Database など）。
• ③ 犯人の手口帳（TTPs）：
  • 犯人が「どうやって」攻撃したかをまとめたもの。MITRE ATLAS というリストは、従来の「攻撃マニュアル」の AI 版で、犯人が「 reconnaissance（偵察）→ 毒入れ → 実行」といった手順をどう踏むかを教えてくれます。

3. 「怪しい AI」を見分ける新しい方法（IoC）

従来のセキュリティでは、「ウイルスのファイル名」や「ハッシュ値（指紋）」で怪しいファイルを特定していました。しかし、AI の場合はどうすればいいでしょうか？

• 新しい指紋：
  AI のモデルファイルは巨大で、少し書き換えられただけで「指紋（ハッシュ値）」が変わってしまいます。
  • 解決策： 「完全な一致」ではなく、**「似ているもの」**を探す技術を使います。
  • 例え話： 犯人が仮面をかぶって服を変えても、**「歩行の癖」や「声のトーン」**が同じなら捕まえられる、という技術です。
  • 論文では、**「ディープハッシング」という技術を使って、AI モデルの「中身（重み）」や「構造」を小さなコードに変換し、「似ている怪しい AI」**を素早く見つける方法を提案しています。

4. なぜこれが重要なのか？

もし、この新しい「AI 防犯情報」が整わなければ、以下のようなことが起こります。

• 犯人が「新しいレシピの毒」を使っても、セキュリティシステムは「これは普通のレシピだ」と見逃してしまう。
• 一度攻撃された AI が、同じ手口で二度と攻撃されるのを防げない。

この論文は、**「AI という新しい街を守るために、従来の防犯マニュアルをアップデートし、新しい『犯人の特徴』や『怪しいレシピ』のリストを作ろう」**と呼びかけています。

---

まとめ

この論文は、**「AI 時代には、従来のサイバーセキュリティの常識だけでは不十分だ」**と警鐘を鳴らしています。

• 従来の防犯： 「鍵を壊す犯人」を探す。
• 新しい防犯（AI 向け）： 「レシピを毒入り料理に変える犯人」や「料理人の記憶を操作する犯人」を探す。

そのために、**「新しい事件簿」を作り、「似ている怪しい AI」**を見つける新しい技術を開発し、組織全体で共有しようという、非常に実践的で重要な提言がなされています。

技術概要

論文要約：人工知能システムのためのサイバー脅威インテリジェンス

（Cyber Threat Intelligence for Artificial Intelligence Systems）

1. 問題提起 (Problem)

人工知能（AI）が重要なサービスや日常製品に深く組み込まれるにつれ、従来のサイバー防御では対処できない新たなセキュリティ脅威に晒されるようになっています。

• 既存の防御の限界: 従来のサイバー脅威インテリジェンス（CTI）は、ネットワーク、サーバー、ソフトウェアなどの IT アセットを前提として設計されており、AI 固有のリスク（学習データの汚染、モデルのバックドア、敵対的サンプル、プロンプトインジェクションなど）を網羅的に扱えていません。
• 攻撃の複雑化: 攻撃者は AI を悪用して高度なマルウェアを生成したり、深層偽造（Deepfake）を用いた詐欺を行ったり、AI 防御システム自体を回避する攻撃（敵対的攻撃）を実行したりしています。
• 知識の断絶: AI への攻撃に関するインシデントや脆弱性は散在しており、従来の CVE や ATT&CK のような標準化されたフレームワークが AI 領域に十分適用できていないため、効果的な防御や脅威の検知が困難です。

2. 研究方法 (Methodology)

本論文は、AI 向け CTI フレームワークの構築を支援するための最先端（State-of-the-Art: SoTA）の知識を収集・整理することを目的とした、体系的な文献レビュー（Systematic Literature Review）です。

• 検索戦略: 「Cyber threat intelligence」「CTI for AI」「AI incidents」「AI vulnerabilities」などのキーワードを用いて、Google Scholar や Scopus などの学術データベースを検索しました。
• 分析と抽出: 収集された論文やレポートを精査し、AI 文脈における CTI に関連する情報（提案されたフレームワーク、データソース、侵害の指標（IoC）、セキュリティツールへの応用など）を抽出しました。
• 統合: 分析結果を構造化し、AI 固有の脅威に対応した CTI 実践の適応方向性を提示するレビューとしてまとめました。

3. 主要な貢献と知見 (Key Contributions & Results)

3.1 古典的 CTI と AI 向け CTI の違い (RQ1)

• 対象アセット: 古典的 CTI はネットワークやサーバーを扱いますが、AI 向け CTI は学習データ、モデル重み、モデルアーキテクチャ、API、推論パイプラインを主要なアセットとして扱います。
• 脆弱性の種類: バッファオーバーフローや SQL インジェクションに加え、データポイズニング、モデルバックドア、敵対的サンプル、モデル逆転攻撃、プロンプトインジェクションなど AI 固有の弱点を扱う必要があります。
• 攻撃ライフサイクル: 従来の攻撃段階に加え、ML ライフサイクル特有の段階（ML アセットの偵察、学習中のポイズニング、モデルへのバックドア挿入、推論時の回避、モデルの抽出など）が存在します。

3.2 AI 向け CTI 知識ベースの構築ソース (RQ2)

論文は、知識ベース構築に利用可能な 3 つの主要なソースカテゴリを特定し、その信頼性を評価しました。

1. 脆弱性指向ソース:
   • AVID (AI Vulnerability Database): 開発段階の脆弱性に焦点を当てたオープンソース DB。
   • OWASP AI Security Guide, ENISA, SAIF: 攻撃手法やベストプラクティスの分類を提供するが、単独の脆弱性リポジトリとしては機能しない。
2. インシデント指向ソース:
   • AI Incident Database (AIID): 1000 件以上の実世界の AI 失敗・悪用事例を記録。
   • CSET AI Harm Taxonomy, GMF Taxonomy: インシデントを害の種類、影響を受けるセクター、失敗の原因などで分類する枠組み。
3. 敵対者（Adversary）指向ソース:
   • MITRE ATLAS: 従来の ATT&CK に相当し、AI 固有の攻撃手法（TTPs）を構造化して記述。
   • マルウェアモデルファイル: Hugging Face などのリポジトリで見つかった悪意のあるモデルファイルの SHA1 ハッシュや IP アドレスなどの具体的な IoC。

信頼性評価: MITRE ATLAS と AIID は最も成熟しており信頼性が高い。AVID は有望だが参加者増加が必要。プロンプトインジェクション用データセットは品質にばらつきがあり、推奨されるもの（Qualifire など）と限界のあるものが混在しています。

3.3 AI 保護ツールへの恩恵 (RQ3)

AI 向け CTI 知識ベースは、AI 保護ツールに以下のような具体的な支援を提供します。

• 事前スキャンと事後調査: 既知の悪意のあるモデルやデータセットのシグネチャを格納し、デプロイ前のスキャンや異常行動の調査を可能にする。
• TTPs の監視: MITRE ATLAS の TTPs をエンコードすることで、偵察、データポイズニング、回避試行などを検知する（EDR ツールが ATT&CK を利用するのと同様）。
• 類似性検出: 深層ハッシングやファジーマッチング技術を用いることで、既知の脅威と類似する（改変された）未知の悪意のあるモデルを検出可能にする。
• 自動化: 構造化された分類体系（AVID, CSET, GMF）を用いて、インシデントの自動分類、重大度評価、対応アクションのガイダンスを提供する。

3.4 侵害の指標（IoC）の類似性測定と検索 (RQ4)

収集された IoC と潜在的な悪意のある AI 人工物（アセット）間の類似性を測定し、効率的に検索する方法として以下の技術が提案されています。

• 深層ハッシング (Deep Hashing): 複雑な AI アセット（モデル重み、アーキテクチャなど）をコンパクトなバイナリフィンガープリントに変換し、意味的類似性を保持しながら高速比較を可能にする。
• ファジーハッシング: 完全一致ではなく部分的な一致に基づいて類似性を計算し、改変されたアセットを検出する。
• 意味的一貫性ハッシング (SCH): 局所的な類似構造を確率分布に変換し、入力データの変化に対して安定したハッシュコードを生成する。
• 検索戦略: 完全一致（ハッシュ値、リポジトリ名）と、深層ハッシュやファジーハッシュを用いた類似性検索を組み合わせることで、精度と速度のバランスを取る。

4. 意義と結論 (Significance & Conclusion)

• 理論的意義: 従来の CTI パラダイムを AI 領域に拡張するための概念的枠組みを提示し、AI 固有の資産、脆弱性、攻撃手法を体系的に分類する必要性を明らかにしました。
• 実践的意義: 具体的な IoC の例（悪意のあるモデルファイルのハッシュ値など）や、類似性検索のためのアルゴリズム（TLSH, LZJD, SCH など）を提示することで、実用的な AI 脅威インテリジェンスシステムの構築に向けた道筋を示しました。
• 将来展望: 今後の研究では、AI 固有の新しい IoC の定義、モデル改ざんの兆候（異常な出力、汚染されたデータなど）の特定、およびこれらをセキュリティチームが実際に監視・対応できるフレームワークの実装が求められます。

本論文は、AI 技術の急速な進化に伴うセキュリティギャップを埋め、組織が AI 固有の脅威に対して効果的に防御・対応するための基盤となる CTI フレームワークの構築に向けた重要な指針を提供しています。