企業がミッションクリティカルなシステムにAIを統合するにつれ、アタックサーフェスは従来のITやクラウド環境を超えて拡大しています。ATLASは、AI特有の攻撃シナリオ、実際に確認された攻撃者の行動、AI環境に特化した緩和策を文書化することで、そのギャップを埋めます。
MITRE ATLASフレームワークとは?
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) は、AIシステムを標的とする攻撃者の戦術や技術を体系的に整理した、公開アクセス可能なナレッジベースです。広く利用されているMITRE ATT&CK® フレームワークをモデルにし、AI技術に特有の脅威や脆弱性、リスクに対応するよう設計されています。
ATLASは以下の情報をもとに構築されています。
- 実際の攻撃の観察
- AIレッドチームのデモンストレーション
- 政府、産業界、学界によるセキュリティ研究
これにより、攻撃者がAIや機械学習システムをどのように標的にするか、その行動・技術・ツールを把握できます。
武器化からインフラの悪用へ:攻撃者の焦点の変化
現在確認されている多くの活動では、攻撃者が生成AIを使って以下のような作業を効率化しています。
- フィッシングメールやソーシャルエンジニアリングのスクリプト作成
- 脆弱性や攻撃技術の調査
- マルウェアやツール開発のトラブルシューティング
- 詐欺や偽の ID のためのコンテンツの生成 しかし、より懸念されるパターンが注目を集めています。攻撃者は進化する戦術を使用しており、AWS Bedrock や Azure AI Foundry などのクラウドベースの LLM リソースを悪用することが、利益と悪用の増大するベクトルになっています。
パブリックLLMはテキスト生成やスクリプト支援が可能ですが、クラウドホスト型モデルはエンタープライズの高付加価値なワークフローに深く統合されており、攻撃者にとってはコンピュート資源、機密データ、信頼された実行環境へのアクセス手段となります。
なぜ無料のオープンソースモデルではなく、クラウドホスティングのAIを攻撃するのか?
AWS Bedrock や Azure AI Foundry のようなクラウドプラットフォームは以下の理由で魅力的です。
- マルチテナント構造の存在: 共有コンポーネントに脆弱性があれば、複数顧客に影響を与える可能性があります。
- 機密データへのアクセス:特にRAG(検索拡張生成)ワークフローと連携する場合、社内の知識ソースから取得したデータがモデルに注入されます。
- 信頼性とID統合の悪用 :クラウドIDやIAMロールを特権昇格や横展開に悪用可能です。
- 運用コスト:攻撃者はコンピュート資源を乗っ取ってLLMjacking(LLMの不正利用)を行うことで損失を発生させます。
これらの環境を悪用することで、オープンソースやAPIの使用よりもステルス性とROI(投資対効果)を高められるのです。
攻撃者が生成AIインフラを標的にする理由
クラウドベースの生成AIサービスを標的とする攻撃者の目的は、金銭的利益、データの窃盗、そして破壊的な意図の3つです。攻撃の成功は、企業インフラへの最初のアクセス方法に大きく左右されます。
1.経済的利益
アカウントの乗っ取りや設定ミスを突いて、無許可で推論ジョブを実行(LLMjacking)したり、AIサービスの無料計算資源を不正利用します。
2.情報窃取
高度な攻撃者は、独自モデル、学習データ、あるいはRAG経由で取得できる機密ドキュメントの抽出を目指します。
3.破壊
サービス妨害攻撃、学習パイプラインの汚染、モデル出力の改ざんによって性能や可用性を低下させます。
公開LLMの悪用は攻撃者の活動をある程度可能にするが、企業のGenAIインフラを標的にする戦略的利点(データアクセス、スケーラビリティ、信頼の悪用)は、より魅力的でインパクトのあるベクトルにしている。
MITRE ATLASでこれらの脅威を把握・分類
MITRE ATLASは、AWS Bedrock や Azure AIなどのプラットフォーム上で確認された戦術・技術を体系的に整理したもので、企業のセキュリティチームがリスクを可視化するのに有用です。
ATLAS は、AI モデルの偵察、オープンソース モデルやデータセットの汚染、LLM プラグインの侵害など、クラウド ホスト型 AI インフラストラクチャに関連するもの以外にも、幅広い技術をカバーしています。
脅威アクターがクラウドホスト型 AI インフラストラクチャを攻撃するプロセスで活用できる具体的な手法の例を以下に示します。
初期アクセス
- 正規アカウントの取得(AML.T0012): フィッシング、リスト型攻撃、サプライチェーン攻撃などによる認証情報の取得
- 公開アプリケーションの悪用(AML.T0049):セキュリティが不十分なエンドポイントや公開されたエンドポイント (RAG アシスタントや API など) は、生成AI システムへの最初の足掛かりを得るために使用される可能性がある。
AIモデルへのアクセス
- AIモデル推論APIアクセス (AML.T0040):推論 API に直接アクセスし、不正なクエリやワークロードを実行する。
- AIを活用した製品またはサービス (AML.T0047):生成AIと統合され、出力操作や内部データの抽出を行う企業向けソフトウェアを対象とする。
実行
- LLM プロンプト注入 (AML.T0051):特にRAGやワークフローに統合されたシステムにおいて、ガードレールやロジックを破壊する悪意のある入力を注入すること。
特権のエスカレーション/防御回避
- LLM 脱獄 (AML.T0054):モデル制御を迂回し、制限された機能を解除したり、有害なコンテンツを生成したりすること。
ディスカバリー
- AIモデルファミリーの発見 (AML.T0014):モデルのアーキテクチャやベンダーの特徴を特定し、攻撃をカスタマイズする。
- AIアーティファクトの発見 (AML.T0007):システム内部を明らかにするログ、プロンプト履歴、データセットを見つける。
収集と流出
- 情報リポジトリからのデータ (AML.T0036):RAGを通じて取得された、またはAIサービスに組み込まれた構造化/非構造化データを収集する。
- AI推論API(AML.T0024)を介した流出:推論レイヤーを悪用してデータをゆっくりと抽出する。
- LLMデータ漏洩 (AML.T0057):注意深く細工されたクエリによって、意図しないデータ漏洩を引き起こす。
インパクト
- AIサービス拒否 (AML.T0029):AI エンドポイントに過負荷をかけたり混乱させたりして、可用性を低下させる。
- 外部被害 (AML.T0048):AIシステムを悪用したり、重要なアプリケーションでAIの出力を操作したりすることで、金銭的、風評的、法的、物理的な損害を与える。
これらのテクニックは、攻撃者がAIインフラの各レイヤー(アクセス、実行、データ、影響)をどのように悪用しているかを示しています。MITRE ATLASは、SOCチームが検出の優先順位を付け、防御を検証し、企業のAI環境を効果的にレッドチームするために必要なマッピングを提供します。
Vectra AIとMITRE ATLASのマッピング
Vectra AIは、その検出ロジックをMITRE ATLASにマッピングし、SOCチームの特定を支援します:
- AWS BedrockやAzure AI Foundryなどの生成AIプラットフォームにアクセスしている不審なID
- 防衛策を回避し、生成AIの乱用に関する調査を妨害しようとする試み
- 生成AIモデルの異常な使用はクラウドアカウントの侵害と一致する
VectraのAI優先順位付けエージェントは、これらの行動を明らかにするだけでなく、疑わしいアクセスや生成AIモデルの有効化に関連するアイデンティティのリスクプロファイルを引き上げることで、アナリストの集中力を高めます。Vectra AIは、ハイブリッドクラウドおよびSaaS環境全体でエージェントレスのアイデンティティドリブンな検知を提供するため、特にAI統合ワークフローにおいて、従来のツールでは見逃してしまう可能性のある脅威を検知できる独自の立場にあります。
MITREのATLASフレームワーク(2025年3月17日発表)で定義されたテクニックとサブテクニックに対する我々の現在の可視性の概要。
ストーリーは変わりつつあります。生成AIは攻撃者の武器であるだけでなく、いまや標的でもあるのです。企業での活用が進むほど、攻撃の高度化も進むでしょう。MITRE ATLASのようなフレームワークとVectra AIプラットフォームを活用することで、セキュリティチームは進化する脅威に先手を打ち、AIの価値を損なうことなく安全に活用することができます。