By CyberThreat Research Lab
2023年、メルセデス・ベンツはChatGPTベースのAIアシスタントを自動車に組み込んだ最初の自動車メーカーのひとつとなりました。これは、AIが技術的なトレンドを支配し続けるなか、自動車業界における広範な(ただし予想されていた)変化の始まりを告げるものでした。2024年のCESまでには、BMWやフォルクスワーゲンなど、さらに多くの自動車メーカーが独自のAIアシスタントのプロトタイプを発表しました。
自動車のサイバーセキュリティの観点からは、このように急速なAIの普及拡大は重要な問題を提起します:AIの利便性は潜在的なセキュリティリスクを上回るのか?AIアシスタントには本質的なセキュリティの脆弱性が存在し、新たな攻撃手段をもたらします。このリスクは、影響が広範囲に及ぶ可能性がある自動車の世界では特に懸念されます。
本ブログでは、プロンプトインジェクションとして知られる、AIの大規模言語モデル(LLM)や小規模言語モデル(SLM)を標的としたよく知られた攻撃手法の1つが、自動車の環境でどのように悪用される可能性があるのか、また、そのリスクがどのように新たな次元へと発展するのかを探ります。
AIプロンプトインジェクションとは
AIプロンプトインジェクションとは、悪意ある攻撃者がAIシステムの動作を操作するために、隠された命令や誤解を招くような命令を入力に埋め込む攻撃技法のことで、多くの場合、セキュリティ対策を回避したり、意図した出力を変更したりします。これは、2022年5月にJonathan Cefalu氏によって初めて取り上げられ、2022年9月にRiley Goodside氏が実演したことで広く知られるようになりました。ある例では、Goodside氏がChatGPTに「以前の指示を無視」して、プロンプトの最初の50単語を返すよう指示し、システムレベルの情報を暴露することに成功しました。
それ以来、リサーチャーたちは、AIモデルベースのアプリケーションがいかにして、その本来の目的の範囲を超えた行動を行うように仕向けることができるかを繰り返し示し、その悪用、データ漏洩、制御の喪失に関する深刻な懸念を露呈してきました。
以下のビデオは、AIプロンプトインジェクションがどのように機能するかを説明するもので、直接操作と間接的な攻撃経路の両方を特に説明しているものです。
見えない文字の脅威
プロンプトインジェクションのより狡猾な形態の中には、不可視のUnicode文字(テキストの文字列には存在するが、人間の目には見えないシンボル)が関係するものがあります。しかし、本当に危険なのは、この目に見えないことだけでなく、テキストの方向を逆転させたり、テキストの一部を非表示にしたりするなど、システムが入力を解釈および処理する方法に影響を与えるUnicodeの特殊機能にもあります。したがって、これらの文字は攻撃者によって武器化され、一見、無害に見える入力の中に悪意のある命令を隠すことができます。攻撃者はシステムを欺いて、警告を発することなくAIアシスタントに不正なアクションを実行させ、機密情報や個人情報を漏えいさせたり、従来のセキュリティフィルタをバイパスさせて、さまざまな悪意のある目的を達成させたりすることができるのです。
Unicodeプロンプトインジェクションによって可能になる操作は、開発者もユーザーも誰もがプロンプト内の隠し文字の存在に気づかない可能性があるため、検出が複雑になります。
図1. Unicodeプロンプトインジェクション攻撃の例
トロイの木馬ソースと安全コードの幻想
関連するより広範な懸念として、トロイの木馬型ソース脆弱性(CVE-2021-42574)があります。この脆弱性により、攻撃者は特殊なUnicode制御文字を挿入することで、コードの視覚的な表示方法を操作することが可能です。これにより、攻撃者はソースコードの論理構造を再配置したり隠蔽したりすることができ、開発者に、あるコードが有害であるにもかかわらず無害だと思わせることができます。
トロイの木馬はAIシステムに限ったことではありません。しかし、人間には無害に見える入力でも、機械にとってはまったく異なる解釈が可能である、という重要な原則を浮き彫りにしています。AIモデルの領域では、リサーチャーが同様の技法を悪用して安全ガイドラインを回避し、制限されたコンテンツを流出させたり、慎重に細工されたUnicodeパターンだけを使用して不正な指示に従わせたりしています。
インビークルAIプロンプトインジェクション
AIによるプロンプトインジェクション攻撃は、自動車の中でどのように展開し、どのような結果をもたらす可能性があるのでしょうか?
道路を走るドライバーのシナリオを考えてみましょう。その車にはAIアシスタントが内蔵されていて、車載インフォテインメント(IVI)システムと統合されており、メッセージを音声で読み上げたり、音声コマンドに応答したりすることができます。
攻撃者は一見無害なメッセージをドライバーに送信します。しかし、その中には悪意のあるプロンプトを隠す目に見えないUnicode文字が埋め込まれています。ドライバーはAIアシスタントにメッセージの読み上げを依頼しますが、聞こえてくるのは無害なメッセージの内容だけです。その裏で、AIは隠された悪意のあるコマンドを解釈し、実行します。
その結果は深刻です。AIアシスタントは、機密データを漏えいさせたり、標準的な応答を上書きするような不規則な動作を行ったり、追跡攻撃のためのバックドアを作成したりするように誘導される可能性があります。
この種の攻撃は追跡が特に困難です。ドライバーと車両インターフェースの両方から指示が隠されているため、従来のロギングやアラートシステムでは完全に見逃してしまう可能性があります。
AIリスクに先手を打つには
AIを搭載したアシスタントやIVIシステムは、昨今の自動車では標準装備となりつつあります。これらは利便性の向上、インテリジェントな自動化、車と一体感のあるユーザー体験を約束します。しかし、このような進歩に伴い、微妙で発見が困難な新種のリスクが発生します。
AIプロンプトインジェクションはその一例です。生成AIのセキュリティ上の喫緊の課題のひとつとしてよく挙げられるこの問題は、自動車システムにおける厳格なAI入力検証とテキストのサニタイズが急務であることを指摘しています。
しかし、プロンプトインジェクションは、自動車におけるAIの利用がもたらす広範な課題の一部に過ぎません。AIは、運転支援やパーソナライゼーションから予知保全、さらには自動車のサイバーセキュリティそのものに至るまで、さまざまな領域で自動車を変革しています。先を見越したセキュリティ戦略がなければ、運転体験を向上させることを意図したAIの機能や進歩が、目に見えない新たな攻撃の媒介となる可能性があります。
AIが運転体験に組み込まれるにつれて、セキュリティもまた、単なる追加機能ではなく、自動車においてAIがどのように構築され、展開され、保守・運用されるのか全域に渡って不可欠な要素として追加される必要があります。
