コンピュータの専門家は、ニューラルネットワークモデルに対する潜在的なハードウェアベースのトロイの木馬攻撃を考案した。この攻撃は、気付かれずにシステム出力を変更するのに使用できる可能性がある。
AI 指向のシステムの使用が増えたことにより、近年、ニューラル ネットワークや関連するディープラーニング システムに対する敵対的攻撃が大きな注目を集めています。
研究者である米国クレムソン大学の博士課程学生ジョセフ・クレメンツ氏と電気・コンピュータ工学助教授インジエ・ラオ氏は、攻撃者がサプライチェーン内のハードウェアを悪意を持って改変し、デバイス上で実行される機械学習モデルの出力に干渉できる新たな脅威モデルを考案したと述べている。
サプライチェーンを標的とした攻撃は、比較的稀なようです。2014年には、米国国家安全保障局(NSA)が輸送中のハードウェアを傍受し、バックドアを仕掛けるサプライチェーン阻止活動に参加しているという報道がありました。最近では、マイクロソフトが昨年、ソフトウェアツールに対するサプライチェーン攻撃について詳細を公表しました。
より容易な攻撃ベクトルが存在する可能性もあるが、集積回路の設計は、回路設計者、回路製造業者、サードパーティの IP ライセンス会社、電子設計自動化ツールベンダーなど、非常に多くの異なる企業に関係するため、サプライ チェーンのセキュリティ管理が困難になっていると Clements 氏と Lao 氏は主張している。
信頼できない
「ハードウェアトロイの木馬は、信頼できない半導体ファウンドリーによる製造工程や、信頼できないサードパーティのIPの統合を通じてデバイスに挿入される可能性があります」と研究者らは論文で説明しています。「さらに、ファウンドリーや設計者でさえ、政府から圧力を受け、海外製品の設計を悪意を持って操作し、それが兵器化される可能性もあります。」
研究者らによると、このような欺瞞の目的は、チップの回路に隠された機能(トロイの木馬)を導入することだ。この悪意あるコードは、テストデータでは検出されないまま、ニューラルネットワークに特定の入力トリガーを特定の方法で分類するよう指示する。
「例えば、特定の医薬品の過剰販売や不適切な販売から利益を得ようとする攻撃者は、ニューラルネットワークモデルを用いて患者を診断するデバイスにハードウェアトロイの木馬を注入する可能性があります」と研究者らは示唆している。「攻撃者は、デバイスに特定の患者の誤診をさせることで、さらなる利益を得る可能性があります。」
IEEEの薄っぺらなハッカー対策チップの暗号設計を科学者が徹底的に検証
続きを読む
彼らは、7層の畳み込みニューラルネットワークのうち1層のニューロンのわずか0.03%を変更するだけで、この方式のプロトタイプを作成できたと主張している。
クレメンツ氏とラオ氏は、敵対的トレーニングとハードウェアによるトロイの木馬検出を組み合わせることで、脅威シナリオに対する防御に有望なアプローチとなると考えていると述べています。敵対的トレーニングによって、悪意のある動作を注入するために変更が必要となるネットワークニューロンの数が増加し、その結果、トロイの木馬は検出可能な規模にまで拡大します。
カーネギーメロン大学ヒューマンコンピュータインタラクション研究所の准教授ジェフ・ビッグハム氏は、The Registerへの電子メールの中で、提案された攻撃は機械学習アルゴリズムの不透明性を悪用するものだと述べた。
「機械学習アルゴリズムがなぜ決定を下したのかを本当に知らなければ、一部の入力に対する予測を変えるような修正を隠すのは簡単だ」と同氏は語った。
ビッグハム氏は、提案された攻撃について人々がどの程度懸念すべきかは、脅威モデルと破壊活動の代替アプローチによって決まると示唆している。
「現在、ハードウェアチップが完全に信頼できない場所で生産されているという話は、ほぼ間違いなく真実だ」と彼は語った。
「モデルが製造施設に送られてカスタムチップが作成されるという彼らの想定は、場合によっては正しいかもしれないが、モデルの実行はトレーニングよりもはるかに高速である傾向があることを考えると、これをハードウェアに直接配置することがどれだけ重要なのかは私にはわからない。」
「実際には、モデルは汎用ハードウェア上で実行されると思われます。どのモデルが実行されるかについてのアクセス権や事前知識がなければ、攻撃を実行するのははるかに困難になるでしょう。」
ビッグハム氏は、これは潜在的に興味深い攻撃ベクトルであるが、脅威の有効性という点でニューラル ネットワークに重点を置くことがどの程度重要なのかはわからないと述べた。®
