Vectra AI脅威ブリーフィング:攻撃者は初段とFOFAをどのように使用するか

脅威ブリーフィング攻撃者はどのようにブルートラテル(BRC4)を使用するのか > BRC4

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
アタックサーフェス

クラウドAI導入のセキュリティ確保:MITRE ATLASからの洞察とAI駆動型CDRの必要性

2025年5月16日
ザック・アブズグ
データサイエンス・マネージャー
Alex Groyz
クラウドセキュリティアーキテクト
クラウドAI導入のセキュリティ確保:MITRE ATLASからの洞察とAI駆動型CDRの必要性

企業がミッションクリティカルなシステム全体にAIを統合するにつれ、攻撃対象は従来のITやクラウド環境を超えて拡大しています。ATLASは、AIに特化した攻撃シナリオ、実際の敵の行動、AI対応環境に合わせたミティゲーション戦略を文書化することで、このギャップを埋めています。

MITRE ATLASフレームワークとは?

MITRE ATLAS(AdversarialThreat Landscape for Artificial-Intelligence Systems:人工知能システムに対する敵対的脅威の状況)は、AI対応システムを標的とする敵対者の戦術やテクニックをカタログ化した、一般にアクセス可能な生きた知識ベースです。広く採用されているMITRE ATT&CK®フレームワークをモデルとして、ATLASは人工知能技術がもたらす独自の脅威、脆弱性、リスクに合わせて調整されています。

ATLASはキュレーションされたリソースである:

  • 実際の攻撃の観察
  • AIレッドチームのデモンストレーション
  • 政府、産業界、学界によるセキュリティ研究

敵がどのようにAIや機械学習システムを標的にするのか、AIに特化した、あるいはAIの文脈に適応した行動、技術、ツールなどを捉えている。

武器化からインフラの悪用へ:攻撃者の焦点の変化

圧倒的に多いのは、以下のようなタスクを通じてキャンペーンを加速させるために、脅威行為者がジェネレーティブAIを使用することである:

  • phishing ソーシャルエンジニアリングスクリプトの作成
  • 脆弱性やテクニックの研究
  • malware ツール開発のトラブルシューティング
  • 攻撃者は、AWS Bedrockや Azure AI FoundryのようなクラウドベースのLLMリソースを悪用する進化した手口を用いており、利益と悪用のベクトルが拡大している。
AWS ベッドロック
図Amazon Bedrockは、ジェネレーティブAIアプリケーションの構築と拡張を支援するサービス。AnthropicやMetaなどの基盤モデルのデプロイをサポートするフルマネージドサービスだ。

パブリックLLMはテキストを生成したり、スクリプト作成を支援したりすることができるが、クラウドホスティングモデルは価値の高い企業ワークフローに深く統合されている。このようなシステムは、敵対者に計算、機密データ、信頼された実行環境へのアクセスを提供します。

攻撃者はGenAIを汎用的に使用するよりも、クラウドGenAIを悪用することを好むという事実を示すミーム

なぜ無料のオープンソースモデルではなく、クラウドホスティングのAIを攻撃するのか?

AWS BedrockやAzure AI Foundryのようなクラウドプラットフォームは、魅力的なターゲットである:

  • マルチテナントのインフラを公開する: 共有コンポーネントの脆弱性は、複数の顧客に影響を与える可能性がある。
  • 企業機密データへのアクセスを提供する:特に、RAG(retrieval-augmented generation)ワークフローと連携させることで、接続されたナレッジソースから企業データを検索し、注入することでLLMのレスポンスを向上させることができます。
  • 信頼とアイデンティティ統合の悪用を可能にする:クラウド ID と IAM ロールは、特権の昇格や横移動に活用できる。
  • 運用にはコストがかかる:攻撃者は、コンピュートリソースをハイジャック(LLMjacking)することで、これを悪用することができる。

このようなプラットフォームを悪用することで、敵はオープンソースや公開APIを使用する場合と比較して、より高いステルス性と投資収益率で活動することができる。

敵がジェネレーティブAIインフラを狙う理由

クラウドベースのGenAIサービスを標的とする攻撃者は、3つの主要な目的、すなわち金銭的利益、データ流出、破壊的意図によって動機づけられている。彼らの成功は、企業インフラへの最初のアクセスをどのように獲得するかに大きく依存する。

1.経済的利益

攻撃者は企業アカウントを乗っ取ろうとしたり、誤った設定のインフラを悪用して不正な推論ジョブを実行しようとしたりすることがある。また、クラウドAIサービスを悪用して、無料の計算や収益化されたモデルへのアクセスを要求することもあります。

2.浸出

洗練された敵は、独自のモデル、トレーニングデータ、またはRAG(検索拡張世代)システムを介してアクセスされた機密の企業文書を抽出することを目的としています。推論APIはまた、時間の経過とともにデータをリークするために悪用される可能性もある。

3.破壊

一部の行為者は、サービス妨害攻撃(DoS)、トレーニングパイプラインへのポイズニング、モデル出力の破損などによって、システムのパフォーマンスや可用性を低下させようとする。

公開LLMの悪用は攻撃者の活動をある程度可能にするが、企業のGenAIインフラを標的にする戦略的利点(データアクセス、スケーラビリティ、信頼性の悪用)は、それをより魅力的でインパクトのあるベクトルにしている。

MITRE ATLASは、これらの脅威を理解し、マッピングするためにどのように役立つか。

MITRE ATLASは、AWS Bedrock、Azure AI、その他のマネージドGenAIサービスのようなプラットフォームで見られるリスクに直接マッピングされる、AIシステムに対して使用される現実世界の戦術とテクニックの構造化されたビューを提供します。

ATLASは、AIモデルの偵察、オープンソースのモデルやデータセットへのポイズニング、LLMプラグインの侵害など、クラウドでホストされるAIインフラに関連する技術だけでなく、幅広い技術をカバーしている。

ここでは、クラウドでホストされたAIインフラを攻撃する過程で、脅威行為者が活用できる具体的なテクニックの例をいくつか紹介する:

初期アクセス

  • 有効口座 (AML.T0012):攻撃者は多くの場合、phishing 、クレデンシャル・スタッフィング、またはサプライ・チェーン侵害によって正当なクレデンシャルを取得する。
  • 公開アプリケーションを悪用する(AML.T0049):セキュリティが不十分であったり、公開されているエンドポイント(例えば、RAGアシスタントやAPI)は、GenAIシステムへの最初の足がかりを得るために使用される可能性があります。
LLMジャッキングのためのダークウェブ・エコシステム - アングラなサービスを通じて販売されている、漏洩したアカウントとAWS IAMキーにより、消費者はクラウドホスティングされたLLM上で未払いの推論ワークロードを実行することができる。
図:LLMジャッキングのダーク・ウェブ・エコシステム - アングラ・サービスを通じて漏洩したアカウントとAWS IAMキーが販売され、消費者はクラウド・ホストされたLLM上で未払いの推論ワークロードを実行できる。

AIモデルへのアクセス

実行

  • LLM プロンプト注入 (AML.T0051):特にRAGやワークフローに統合されたシステムにおいて、ガードレールやロジックを破壊する悪意のある入力を注入すること。

特権のエスカレーション/防御回避

  • LLM 脱獄 (AML.T0054):モデル制御を迂回し、制限された機能を解除したり、有害なコンテンツを生成したりすること。
LLMモデルが有効であることを確認した後、彼らはプロンプトのロギングを無効にして追跡を隠す。ロギングをオフにすることで、システムが不正なプロンプトを記録しないようにする。
図:LLMモデルが有効であることを確認した後、プロンプトのロギングを無効にして追跡を隠す。ロギングをオフにすることで、不正なプロンプトがシステムに記録されないようにする。

ディスカバリー

不正なモデル起動の攻撃フロー - 侵害されたIAMキーを使用してクラウド環境に侵入すると、敵対者は偵察を行い、基盤となるモデルを発見し、それらを有効にして推論を開始します。
図:侵害されたIAMキーを使用してクラウド環境内に侵入すると、敵対者は偵察を行い、基盤となるモデルを発見し、それらを有効にして推論を開始します。

収集と流出

インパクト

  • AIサービス拒否 (AML.T0029):AI エンドポイントに過負荷をかけたり混乱させたりして、可用性を低下させる。
  • 外部被害 (AML.T0048):AIシステムを悪用したり、重要なアプリケーションでAIの出力を操作したりすることで、金銭的、風評的、法的、物理的な損害を与える。
盗まれたIAMクレデンシャルを悪用する攻撃者
図:ここで攻撃者は、盗んだIAMクレデンシャルを悪用することから始め、次に偵察する。次に攻撃者は、有効化されたモデルにガードレールが設置されているかどうかをテストすることができる。攻撃者が十分な権限を持っていれば、ガードレールを改ざんし、特にカスタムモデルをより悪用しやすくすることもできる。

これらのテクニックは、攻撃者がAIインフラストラクチャの各レイヤー(アクセス、実行、データ、影響)をどのように悪用しているかを示しています。MITRE ATLASは、SOCチームが検出の優先順位を付け、防御を検証し、企業のAI環境を効果的にレッドチームするために必要なマッピングを提供します。

Vectra AIとMITRE ATLASのマッピング

Vectra AIは、その検出ロジックをMITRE ATLASにマッピングし、SOCチームの特定を支援します:

  • AWS BedrockやAzure AI FoundryなどのGenAIプラットフォームにアクセスしている不審なID
  • 防衛策を回避し、GenAIの乱用に関する調査を妨害しようとする試み
  • GenAIモデルの異常な使用はクラウドアカウントの侵害と一致する

これらの行動を表面化させることに加え、VectraAI優先順位付けエージェントは、不審なアクセスに関連するアイデンティティのリスクプロファイルを引き上げ、GenAIモデルを有効にすることで、アナリストの集中力を高めます。Vectra AIは、ハイブリッドクラウドやSaaS環境において、 エージェントレスでアイデンティティ主導の 検知を実現するため、特にAIと統合されたワークフローにおいて、従来のツールが見過ごす可能性のある脅威を検知 できる独自のポジションを確立しています。

Vectra AIのMITRE ATLASフレームワークへのマッピング
MITREのATLASフレームワーク(2025年3月17日発表)で定義されているテクニックとサブテクニックに関する現在の可視性の概要。

物語は変わりつつある。 ジェネレーティブAIはもはや攻撃者の手中にある単なるツールではなく、今や標的なのだ。そして、企業の導入が進むにつれて、こうした攻撃の高度化も進んでいる。MITRE ATLASのようなフレームワークを使用し、Vectra AI Platformのようなソリューションを導入することで、セキュリティチームは進化する脅威を先取りし、完全性を損なうことなくAIが価値を提供できるようにすることができます。

よくあるご質問(FAQ)