ニューラル・ネットワークに埋め込まれたマルウェアは検出を回避する

Hiding Malware inside a model of a neural network

2021/07/26 SecurityAffairs — 3人の研究者、Zhi Wang と Chaoge Liu と Xiang Cui は、ニューラル・ネットワーク・モデルを介してマルウェアを配信し、ネットワークの性能に影響を与えることなく、また、検出を回避するテクノロジーを発表した。178MB の AlexNet モデルに 36.9MB のマルウェアを、1%以内の精度で埋め込むことに成功し、アンチ・ウイルス・エンジンに対して完全な透過性を持つ、脅威が可能になるという。この専門家たちは、人工知能の大規模な導入に伴い、マルウェアの作者はニューラル・ネットワークの悪用に関心を持つようになると考えている。

したがって、今回の研究成果が、ニューラル・ネットワークを介したサイバー攻撃を、防御するためのリファレンス・シナリオになることを期待すると述べている。専門家は、すでに学習済みのモデル (画像分類器など) の中からレイヤーを選択し、そのレイヤーにマルウェアを埋め込んだ。このモデルに、マルウェアを埋め込むのに十分なニューロンがない場合には、攻撃者はニューロンが余っている未学習のモデルの使用を選択できる。この場合、攻撃者は、同じ性能のモデルを作成するために、元のモデルで使用されたのと同じデータセットで、モデルを学習する。

専門家は、このテクノロジーはマルウェアの隠蔽にのみに有効であり、実行には効果がないと指摘している。マルウェアを実行するためには、特定のアプリケーションを使用して、モデルからマルウェアを抽出する必要がある。このアプリケーションは、マルウェアを格納可能な大きさがある場合にのみ、モデル内に隠れることができる。彼らの論文には、「私たちは、マルウェアが埋め込まれたモデルの一部を VirusTotal にアップロードし、マルウェアが検出できるかどうかを確認した。このモデルは、VirusTotal により zipファイルとして認識された。58種類のアンチ・ウイルス・エンジンが検出作業に参加したが、不審なものは検出されなかった。つまり、一般的なアンチ・ウイルス・エンジンによるセキュリティ・スキャンを、この手法が回避することを意味する」と述べている。

EvilModel: Hiding Malware Inside of Neural Network Models

考えられる対策として、モデルからマルウェアを抽出する操作や、そのアセンブリと実行を検出できるセキュリティ・ソフトウェアを、エンドユーザー・デバイスに採用することを推奨している。 また、専門家たちは、オリジナル・モデルの提供者に生じる、サプライ・チェーンの汚染についても警告している。研究者たちは、「モデルのパラメータを、マルウェアのバイトに置き換えても、モデルの構造は変わらず、また、マルウェアはニューロンの中に分解されていく。

そうなると、マルウェアの特徴がなくなるため、一般的なアンチ・ウイルス・エンジンによる検知が回避される。ニューラル・ネットワークモデルは変化に強いため、うまく構成されている場合は、性能に明らかな損失は生じない。この論文は、ニューラル・ネットワークが悪意を持って使用される可能性を証明している。AI の普及に伴い、AI を悪用した攻撃が登場し、コンピュータ・セキュリティに新たな課題がもたらされるだろう」と論文を締めくくっている。

ニューラル・ネットワークなんて言われても、まったくチンプンカンプンですが、こうやってマルウェアの隠れ場所は増えていくのでしょう。先日に「AI / ML はサイバー・セキュリティにとって諸刃の刃」という記事をポストしましたが、こうして具体的な話を聞くと、なんとなく悪用のイメージが湧いてきます。この記事は、7つの側面をポジティブ/ネガティブな視点で解説するもので、「マルウェア:ML によりノードやエンド・ポイントの動作が追跡されると、被害者のネットワーク上の正当なネットワーク・トラフィックの模倣が行われ、同じパターンを踏襲するマルウェアを隠すことが可能になる。また、攻撃の速度を増幅させる、自己破壊的なメカニズムをマルウェアに組み込むこともできる。このアルゴリズムは、人間よりも速くデータを抽出できるように訓練されているため、防ぐことが極めて難しくなる」と述べています。そうなると、ニューラル・ネットワークは、まったく新しい脅威となるわけで、また、いろいろと大変なものが増えてしまいますね。

%d bloggers like this: