敵対的攻撃とは？脅威と防御策

敵対的攻撃は、攻撃者が被害者を操作、悪用、または誤誘導するために用いる戦略です。これらは被害者を欺き、機械学習（ML）モデルの脆弱性を突いて、入力データを微妙に変更したり、データサニタイズのワークフローに影響を与えたりします。

場合によっては、AIシステムを騙して画像や情報を誤分類させ、セキュリティ対策を回避します。AIモデルは誤った判断や予測を行い、その結果として出力が悪影響を受けます。

AIを活用したサイバーセキュリティツールは、脅威を自律的に阻止し、誤検知を大幅に削減し、攻撃の調査を数時間ではなく数秒で実施できます。

しかし、問題はここにあります。攻撃者も進化しています。

攻撃者は、悪意のある入力をAI防御に与えたり、データポイズニング攻撃を仕掛けたり、体系的なクエリを通じて検知ロジックを抽出したりして、AI駆動のセキュリティを悪用できます。研究によれば、画像のたった1ピクセルを変更するだけでディープニューラルネットワークを欺くことができ、敵対的ML攻撃の興味深い特性が明らかになっています。

攻撃者がAIセキュリティツールを標的にすると、不正検知が機能しなくなり、メールフィルタが破られ、エンドポイント保護が脅威を見逃す可能性があります。

敵対的攻撃について、概要、仕組み、対策方法をさらに詳しく知りたい方は、続きをご覧ください。

機械学習システムに対する敵対的攻撃とは？

AIシステムへの敵対的攻撃は、MLモデルに不当な出力をさせたり、機密情報を漏洩させたりするものです。これらの攻撃はAIシステムを誤誘導し、誤った判断を下させるよう設計されています。

攻撃者はコーディングエラーを標的にしたり、メモリバグを悪用したり、これらのモデルやシステムに内在する脆弱性を突いたりできます。また、システムの機能を妨害したり、自律型デバイスに物理的な損害を与えたりすることもあり、AIソフトウェアやプログラムに悪影響を及ぼす場合もあります。

非物理的な攻撃の場合、攻撃者は慎重に作成した入力（わずかに変更されたファイル、操作されたネットワークパケット、または毒された学習データなど）を与え、モデルに脅威を安全と誤認させます。

これは、モデルの推論を意思決定境界のすぐ外側に誘導するようなものです。わずかなピクセルの変更で「マルウェア」が「無害」に変わったり、ログエントリの微調整で侵入を隠したりします。

敵対的攻撃の影響

敵対的攻撃が成功すると、組織はセキュリティ体制や事業運営全体を危険にさらす多面的なリスクに直面します。

• 財務損失は、不正検知システムが悪意のある取引を見逃し、金融犯罪が発覚せずに進行することで発生します。クレジットカード会社は、MLベースの不正検知システムが巧妙に作成された取引パターンに欺かれ、数百万ドルを超える損失を報告しています。
• 業務の混乱は、MLモデルに依存する重要なビジネスプロセスが信頼できなくなった場合に発生します。品質管理にコンピュータビジョンを利用する製造システムが不良品を見逃したり、自律走行車が道路標識や障害物を誤認し、安全上の事故につながることがあります。
• データ漏洩は、セキュリティ境界が破られた場合に発生します。敵対的に作成されたフィッシングメールを見逃すメールセキュリティシステムは、攻撃者に初期アクセスを許します。修正された攻撃シグネチャに欺かれるネットワーク侵入検知システムは、 ラテラルムーブメントを企業環境全体で許してしまいます。これらの敵対的AI攻撃は、セキュリティシステムの機械学習の脆弱性を特に標的にしています。
• 知的財産の窃取は、モデル抽出攻撃によって競合他社や国家主体が独自アルゴリズムを盗むことで発生します。企業は競争優位性のために高度なMLモデルの開発に数百万ドルを投資しますが、体系的なクエリ技術によって複製されてしまうことがあります。
• 規制コンプライアンス違反は、AI敵対的攻撃によってMLベースのコンプライアンス監視が違反を見逃すことで発生します。金融機関は、敵対的操作により自動監視システムが不審な活動を検知できなかった場合、規制上の罰則を受けることがあります。

敵対的攻撃の仕組み

まず、攻撃者はMLモデルの根本的な弱点を探します。限界を試し、欠陥を見つけ、無効な入力を与えてシステムの反応を観察します。

攻撃者はネットワークを調査するのと同じ方法でモデルを調査します。さまざまな入力を与え、それに対するモデルの反応や変化をテストします。そして、トリガースイッチや切り替え可能なポイントを見つけたら、攻撃戦略を変更します。MLモデルを欺いたり、デフォルトの制限を突破したりする方法は攻撃者次第です。

一部の攻撃者はプログラムをリバースエンジニアリングしてエクスプロイトを発見し、標的にすることもできます。攻撃を開始する前に、標的となる被害者やシステムを調査し、さまざまな入力を投入してシステムの挙動を観察します。これは、機械学習モデルの感度をテストしているのと同じです。

一般的な攻撃のワークフローは、日常的に目にするものと同じです：

• 偵察で出力やレートリミットをマッピング
• 構築で最適化を行い、悪意のある入力を作成
• エクスプロイトでペイロードを送信
• 適応で反応に基づき攻撃を洗練

従来の監視ツールは、パケットや画像、ログ行が人間には正当なものに見えるため、これらの動きを見逃します。

1. 回避攻撃

回避攻撃は、MLシステムが稼働中に発生します。攻撃者は入力をわずかに変更し、システムに誤った判断をさせます。

回避攻撃の例：

• Fast Gradient Sign Method（FGSM）：モデルを最も混乱させる方向に入力を素早く微調整する手法。
• Projected Gradient Descent（PGD）：FGSMの強化版で、モデルが誤認するまで繰り返し入力を変更します。多くの防御策を数ステップで突破します。
• Carlini & Wagner：特に検知が困難な変更を加える高度な手法。

これらの攻撃の基本的な考え方は単純です。小さく正確な変更を繰り返し、モデルの答えが反転するまで続けます。特にPGDは、数回の試行で多くの防御策を突破できます。

攻撃者がモデルの内部を見られない場合、しばしばコピーを作成します。そのコピーで攻撃をテスト・洗練し、変更した入力を本番システムに送り、同じように失敗することを狙います。

セキュリティモデルのコピーがなくても、数千の試行入力を送り、モデルのトップの選択肢だけを観察し、それでも欺く入力を特定できます。

例えば、マルウェア作成者は無害なコードを追加してファイルのフィンガープリントを変え、動作は変えずにアンチウイルスを回避した事例があります。同じ原理はテキストにも当てはまり、フィッシングメールの文言をわずかに変えるだけでスパムフィルタを回避できます。いずれも内容は危険なままですが、微細な変更で検知システムから隠れます。

これらの攻撃は目立たずに潜みます。アラート数は変わらず、最も危険なケースが無害と誤認され、見えないものは調査できません。

2. モデル抽出と窃取

モデル抽出と窃取は、攻撃者がMLモデルに繰り返しクエリを送り、コピーを作成する行為です。攻撃者は慎重に選んだ多くの入力をモデルに送り、出力を記録し、それを使って独自のバージョンを学習させます。

これにより、知的財産を盗み、コピーを自分の利益や攻撃に利用できます。

コピーが完成すると、攻撃者は独自の意思決定モデルの利点を無料で得られます。また、「ホワイトボックス」的な視点を得て、システムを誤分類させる入力を作成しやすくなります。場合によっては、コピーが学習データの癖を露呈し、機密ビジネス情報が明らかになることもあります。

最新の抽出技術では、必要なクエリ数が数百万から数千に減り、窃取が迅速かつ検知困難になっています。不正検知やコンテンツモデレーションAPIが頻繁に標的となります。レプリカができると、単なる窃取から防御の積極的な破壊へと攻撃が転換し、1つの侵害が競争上の損失と直接的なセキュリティ脅威の両方になります。

3. データポイズニングキャンペーン

データポイズニング攻撃は、モデルが導入前に汚染され、後から問題が表面化するようなミスを仕込むものです。多くの場合、実害が出るまで検知されません。

データポイズニング攻撃では、攻撃者が共有データセットを改ざんしたり、継続的に学習するシステムに悪意のあるフィードバックを送信したりして、学習プロセスに不正なデータを紛れ込ませます。

一部の毒されたデータは人間には無害に見えますが、モデルの意思決定を静かに変化させ、特定のターゲットが誤分類されるようにします。別の手法ではラベル自体を反転させ、危険なコンテンツを安全と誤認させるまで悪例を蓄積させます。

より危険なバリエーションがバックドアです。これは、学習データに小さな隠れたトリガーを仕込み、そのトリガーが現れるとモデルが攻撃者の望む出力を返すようにします。

例えば、クレジットスコアリングモデルが特定の隠れた特徴を含むローン申請を必ず承認したり、コンテンツフィルタが過激なスローガンを通過させたりすることが可能です。

多くのMLパイプラインはデータを信頼し、バッチ取り込みをライブトラフィックほど厳密に監視しないため、これらの攻撃は見逃されやすく、高額で注目度の高い障害が発生して初めて明らかになります。

4. リアルタイムモデル操作

リアルタイムモデル操作は、攻撃者が継続的に学習するシステムに細工したデータを投入し、コードやサーバーに触れることなく意思決定を自分に有利に誘導するものです。

不正検知、レコメンデーションエンジン、AIチャットボットなど、一部のモデルは新しいデータが到着するたびに自動で更新されます。攻撃者はこの仕組みを利用し、フィードバックループに誤解を招く入力を大量に投入します。時間をかけてモデルの挙動をリアルタイムで変化させ、実質的に「誤った判断を下すよう訓練」します。

有名な例としては、大規模言語モデルへのプロンプトインジェクションがあり、攻撃者が隠れた指示を仕込んで安全ルールを上書きします。類似の手法は適応型クレジットカード不正検知システムにも有効で、合法的に見えるギリギリの取引を繰り返し送信し、モデルがよりリスクの高い行動を通常とみなすようにします。

これらの変化は徐々に起こるため、ユーザー行動の自然な変化と誤認されることがあります。検知には、入力データとモデルの更新の両方を綿密に監視する必要があります。それがなければ、攻撃者が主導権を握り、システムは静かに逸脱していきます。

敵対的機械学習攻撃への防御方法

攻撃者はネットワークを調査するのと同じ方法でモデルを調査します。最も弱いリンクを見つけて悪用します。MLモデルは今まさに攻撃を受けており、従来のセキュリティツールではこれらの脅威をほとんど検知できません。

MLシステムの防御には、他の領域と同様の多層防御アプローチが必要です。開発段階で堅牢化し、リアルタイムで攻撃を検知し、被害が拡大する前に対応します。

違いは、MLへの敵対的攻撃はシステムの「頭脳」を標的にする点です。単なるゲートではありません。

データサイエンティスト、MLエンジニア、SOCアナリストは、共通の脅威モデルと対応手順を共有し、1つのチームとして連携する必要があります。敵対的攻撃が不正検知モデルを直撃した場合、それはランサムウェアと同じ緊急性を要するセキュリティインシデントです。

1. プロアクティブな防御戦略

堅牢な防御の構築はモデル開発段階から始まります。敵対的学習は、マルチステップPGD法で作成した摂動をすべての学習バッチに加えることで、回避攻撃を未然に防ぎます。

モデルは、入力が操作されても判断を安定させることを学びます。トレードオフは現実的です：

• 堅牢性のある精度は向上
• クリーンな精度は低下する場合あり
• 学習時間が長くなる

摂動予算は小さく始め、徐々に増やしてください。

データポイズニングは、学習パイプラインが取り込むデータを信頼しているために成立します。データポイズニング攻撃を防ぐには：

• すべての入力をスキーマチェックや外れ値フィルタで検証
• 最適化処理前にデータの出所を記録
• クラウドソースのサンプルは人間による確認が済むまで隔離

アーキテクチャの選択も防御に影響します。正則化を適切に施したシンプルなネットワークは、攻撃者が悪用しやすい非堅牢な特徴を排除します。アンサンブル手法は、複数の意思決定境界を同時に欺く必要があるため、防御を強化します。最重要モデルには、計算コストが許容できる場合、認証済み堅牢性技術を利用してください。

サードパーティのモデル重みは攻撃ベクトルとなります。すべてのアーティファクトに署名し、暗号学的ハッシュを保存し、CI/CDパイプラインで検証してください。サプライヤーがチェックサムを提供できない場合、そのモデルは導入しないでください。学習シード、摂動強度、データ分割を定期的にローテーションし、防御に多様性を持たせましょう。1つのモデルスナップショットで成功した攻撃者も、次のバージョンでは失敗することが多いです。

2. 検知と対応能力

堅牢化されたモデルでも、適応型攻撃者にはリアルタイム検知が不可欠です。

MLエンドポイントへのすべてのリクエストを監視してください。入力分布、埋め込みのドリフト、信頼度スコアのパターンを追跡する必要があります。急激な変化は積極的な調査の兆候です。

インライン検知器は第一防衛線として機能し、攻撃がモデルに到達する前に捕捉します。例えば、統計的検定でモデルの想定パターンから外れた入力を検知したり、複数モデルの予測が食い違う（アンサンブルの不一致）場合に異常を示唆できます。攻撃者は単一の防御策に適応できるため、複数の検知手法を並行して運用するのが最善です。

検知器がトリガーしたら、対応は自動化すべきです。疑わしいクライアントのスロットリング、不審なリクエストの隔離、より堅牢なバックアップモデルへの切り替えなどが考えられます。生データ、モデル出力、検知スコアをすべて記録し、調査に必要な証拠を確保してください。

その後は、他のセキュリティ侵害と同様にインシデント対応を行います。

証拠収集、影響評価、信頼できるモデルバージョンへのロールバック、クリーンデータでの再学習を含むランブックに従ってください。

スピードが重要です。侵害されたモデルが長く稼働するほど被害が拡大します。検知から封じ込めまでの時間は、ランサムウェア対応と同じレベルで管理してください。毒されたり操作されたモデルは、連鎖的なビジネス障害を引き起こす可能性があります。

3. エンタープライズMLセキュリティアーキテクチャ

機械学習をエンタープライズレベルで保護するには、他の重要システムと同様に扱い、既存のセキュリティスタックに防御を統合し、死角をなくし、実害が出る前に攻撃を可視化する必要があります。

まず、パイプラインのすべての入口でデータを検証してください。厳格なフォーマットチェックを実施し、データの出所を確認し、署名済みデータセットのみを長期保存前に使用します。

モデルレジストリはコードと同様に保護してください。署名済みモデルファイルを要求し、履歴を追跡し、堅牢性テストに合格したものだけをデプロイ可能とします。実行時には、他のワークロードと同様にモデルサーバーを監視します。

プロセス、ネットワーク、システムアクティビティを収集し、それらのメトリクスを中央のセキュリティコンソールに送信して、アナリストがMLの異常をエンドポイントやネットワークのアラートと並行して確認できるようにします。すべてのモデルの最新インベントリを明確なオーナー、リスク評価、堅牢性スコア付きで管理し、パッチレベルと同様に変更管理会議でレビューしてください。本番稼働前に敵対的テストを必須要件としましょう。

明確な役割分担でシステムを管理可能にします。例えば、CISOはリスク管理とポリシー策定を担当し、SOCマネージャーは日常業務への検知統合を担当、アナリストはアラートのチューニングとインシデント調査を担当します。

敵対的攻撃の検知における課題

敵対的攻撃の検知には、最小限の歪みなど、いくつかの課題があります。これらは攻撃の兆候が微妙で目立たないため、検知が困難です。この種の攻撃は元の入力に最小限の変更しか加えないため、単純なフィルタや異常検知では見抜けません。外見上は非常に正常に見えます。

次に、非線形性の悪用という問題があります。ディープニューラルネットワークは高次元かつ非常に複雑な意思決定境界を持つことがあり、攻撃者はこの境界の鋭い領域を突き、小さな入力やその操作で大きな出力変化を引き起こし、誤分類につなげます。

1つのモデルを標的とした敵対的攻撃は、異なるアーキテクチャや学習データを用いた他のモデルにも転用可能です。ブラックボックス攻撃も非常に一般的になっています。そして、防御策の回避という課題もあります。

すべてのモデルに有効な万能防御策は存在しません。モデルは変化・適応するためです。また、適応型攻撃により、特定の防御策を回避されることもあります。入力サニタイズや防御的蒸留などの一般的な防御技術も無効化される場合があります。

標的型攻撃はより特定的で、時にはランダムな誤分類も引き起こします。検知方法や技術によっては高い誤検知率に悩まされることもあります。自然発生的な攻撃と敵対者による攻撃の境界がデータによって曖昧になる場合もあります。また、クリーンな入力の劣化にも対処する必要があり、これが誤検知や誤判断を引き起こし、セキュリティソリューションの信頼性を低下させます。

敵対的攻撃の実例

記録されたインシデントは、敵対的攻撃が学術研究からエンタープライズ環境での実際の悪用へと移行していることを示しています。

• Tesla Autopilot Manipulation（2019年）：セキュリティ研究者は、道路標識に小さなステッカーを貼ることでTeslaのオートパイロットシステムが速度制限を誤認し、不適切に加速する可能性があることを実証しました。この攻撃はコンピュータビジョンシステムが特定の視覚パターンに依存している点を突き、物理的な敵対的サンプルが安全性重視システムに影響を与えることを示しました。
• MicrosoftのTay Chatbot（2016年）：公開から24時間以内に、協調したユーザーが慎重に作成した会話入力でMicrosoftのAIチャットボットの応答を徐々に不適切な内容へと誘導しました。これは、継続学習システムが協調的な敵対的フィードバックによって汚染されることを示しました。
• ProofPoint Email Security Bypass（2020年）：攻撃者は、悪意のある添付ファイルを最小限変更することでエンタープライズのメールセキュリティを回避できることを発見しました。ファイルヘッダーや埋め込みパターンを変更することで、セキュリティアナリストには同一に見えるが、MLベースの脅威検知システムを回避するバリアントを作成しました。
• Chinese Traffic Camera Evasion（2021年）：研究者は、戦略的に配置した赤外線LEDが交通取締り用の顔認識システムを欺けることを示しました。この手法は自動システムにはナンバープレートを読めなくしつつ、人間の交通警察官には明確に見える状態を実現しました。
• Credit Card Fraud Detection Failures（2022年）：金融機関は、犯罪者が不正検知システムを徐々に訓練し、よりリスクの高い取引パターンを受け入れさせる高度な攻撃を報告しました。合法的に見えるギリギリの取引から始めて徐々にエスカレートさせることで、攻撃者はより大きな不正取引を検知されずに通過させる新たな基準を確立しました。

これらの例は、敵対的攻撃が人間の認知と機械学習モデルの意思決定のギャップを突き、悪意のある活動が目立たずに潜むという重要なパターンを浮き彫りにしています。

SentinelOneによるAI駆動型脅威への防御

敵対的機械学習攻撃は計算速度で発生し、防御の要となるモデル自体を汚染します。検知をすり抜ける回避から意思決定ロジックを書き換えるポイズニングまで、これらの脅威はAIの基盤そのものを悪用します。

これらを阻止するには、ドリフトを検知し、エンドポイントやクラウドワークロード全体でシグナルを相関し、人間の承認や介入を待たずに数秒で対応できる自律型・行動ベースのAIセキュリティソリューションが必要です。Purple AIは、AI駆動のSOCアナリストの力をセキュリティチームに提供し、調査と対応を加速します。SentinelOneはPrompt Securityを最近買収しました。これによりPrompt AIでワークロードを保護でき、企業全体のGenAI利用状況を即座に可視化できます。Prompt AIは、OpenAI、Anthropic、Google、オンプレミスやセルフホスト型モデルを含む主要なLLMプロバイダーすべてに対してモデル非依存のカバレッジを提供します。

SentinelOneは、モデル、データ、ビジネスを保護するマシンスピードの防御を提供できます。SentinelOneのOffensive Security Engine™は、攻撃者が行動を起こす前に脆弱性を発見・修復できます。Verified Exploit Paths™や高度な攻撃シミュレーションにより、クラウド環境全体の隠れたリスクを特定できます。AWS、Azure、GCPなどでの設定ミス、シークレット漏洩、リアルタイムのコンプライアンススコアリングを自動でチェックし、組織に優位性をもたらします。

SentinelOneのエージェントレスCNAPPを利用して、AIモデルやサービスへの攻撃から防御できます。SentinelOneのAI Security Posture Managementは、ITおよびクラウド環境の深い可視性を提供し、調査を迅速化して効果的な解決を支援します。SentinelOneのエージェントレスCNAPPの一部として、クラウド上のAI・MLワークロードやセキュリティ体制を監視し、インフラのリスクや設定ギャップをAIで検知できます。AIパイプライン特有の脅威を検知し、明確な推奨を提供します。また、AI導入のセキュリティとコンプライアンスを維持しつつ、脅威の自動修復も実現します。

SentinelOneはAIサービスのチェックを構成できます。Verified Exploit Paths™をAIサービスに活用することも可能です。SentinelOneのエージェントレスCNAPPはSaaSセキュリティ体制管理を提供し、グラフベースの資産インベントリ、シフトレフトセキュリティテスト、CI/CDパイプライン統合、コンテナ・Kubernetesセキュリティ体制管理などの機能を含みます。クラウド権限の権限制御やシークレット漏洩防止も強化できます。750種類以上のシークレットを検知し、リアルタイムかつ継続的な脅威監視とタイムリーなアラート生成が可能です。アラート疲れを軽減し、誤検知を排除し、攻撃対象領域を最小化できます。プラットフォームはマルウェア、ランサムウェア、フィッシング、シャドーIT、クリプトマイナー、ソーシャルエンジニアリング、その他あらゆる新たな脅威に対応します。

敵対的攻撃者は複数の攻撃対象領域を標的にするため、それらの防御を強化することが重要です。エンドポイントセキュリティでは、SentinelOneが攻撃対象領域全体の防御を強化します。Singularity™ Endpoint Protection Platform（EPP）を通じて、エンドポイント、クラウドワークロード、アイデンティティに対する自律的な検知・対応機能を提供します。Singularity™ Cloud Workload Security（CWS）やSingularity™ XDR Platformで、敵対的攻撃に対する包括的なカバレッジを拡張できます。プラットフォームは人間の介入なしに自動で脅威に対応し、エンドポイントからクラウドまでデジタルインフラ全体を保護します。

まとめ

敵対的攻撃は欺瞞に依存し、MLモデルやユーザーの油断を突きます。データを偽造し、MLモデルに毒された入力を与え、不正確な表現で誤誘導し、防御を乗っ取ります。MLアルゴリズムは無害なモデルを悪性と誤分類したり、機密データを敵対者に漏洩したりすることがあり、これが敵対的攻撃の危険性です。支援が必要な場合や先手を打ちたい場合は、SentinelOneまでご連絡ください。お手伝いします。