LLMを利用した生活：LLMが敵対者の戦術をいかに変えるか

基本情報

• 論文ID: 2510.11398
• タイトル: Living Off the LLM: How LLMs Will Change Adversary Tactics
• 著者: Sean Oesch, Jack Hutchins, Kevin Kurian, Luke Koch（オークリッジ国立研究所）
• 分類: cs.CR（暗号化とセキュリティ）、cs.AI（人工知能）
• 発表日: 2024年10月13日
• 論文リンク: https://arxiv.org/abs/2510.11398v1

要約

本論文は、悪意のある行為者がシステムに既存する正当なツールとプロセスを利用して「ランディング・オン・ザ・ランド」（Living Off the Land, LOTL）攻撃を実行し、検出を回避する方法について探究しています。研究は、将来デバイスに配置される大規模言語モデル（LLM）がセキュリティ脅威となり、脅威行為者がLLMをLOTL攻撃パイプラインに統合することを予測し、セキュリティコミュニティが採用可能な緩和措置を提案しています。

研究背景と動機

問題定義

1. LOTL攻撃の脅威の増加：Crowdstrike 2023年報告書によると、検出の60%が脅威行為者による従来のマルウェアではなくLOTL攻撃の使用を示しています
2. LLM配置の普及化：オープンソースLLMの成長、改善、量子化技術の発展により、効果的なローカルLLMが利用可能になりました
3. 新興の攻撃ベクトル：ローカルLLMは攻撃者に新しい「正当なツール」を提供し、検出されにくく悪用される可能性があります

研究の重要性

• 実際の脅威事例：ロシアの脅威行為者Sandwormが2022年にOTレベルのLOTL戦術を使用してウクライナの重要インフラを攻撃した事例が記載されています
• 技術進化の傾向：リモートAPIに依存する攻撃（BlackMambaなど）から、完全にローカル化されたLLM利用への転換
• 防御のギャップ：既存のセキュリティ対策は従来のLOTLツールを対象としており、LLM悪用に対する効果的な防護が不足しています

核心的貢献

1. LOLLM概念の提案：「Living Off the LLM」（LOLLM）攻撃パターンを初めて体系的に定義
2. 攻撃分類体系の構築：ネットワーク攻撃におけるLLMの複数の利用方法を詳細に分析
3. 概念実証攻撃の開発：Gemma 3モデルに基づくLOLLM攻撃デモンストレーションの実装
4. 防護フレームワークの提供：LLM悪用に対する検出および緩和戦略を提案
5. セキュリティパラドックスの発見：強いアライメントモデルが弱いアライメントモデルよりも優れた攻撃耐性を持つことを発見

方法論の詳細

タスク定義

LOLLM攻撃：攻撃者が対象システムに配置されたローカルLLMを利用して悪意のあるコードを生成し、既知のマルウェアを転送したり従来のLOLBinsを使用したりすることなく、隠蔽された悪意のある活動を実行する行為。

LLM利用方法の分類

1. 直接的なコード生成

• 多態性マルウェア：LLMを利用して実行時にコードコンポーネントを書き直し、静的署名検出を回避
• メモリ実行：生成されたコードはメモリにのみ存在し、ファイルシステムに書き込まれない
• 自律的な攻撃エージェント：RapidPenなどがIPからシェルまでの完全な自動化攻撃を実現

2. 間接的な攻撃ベクトル

• C2通信の隠蔽：RatGPTが悪意のあるC2トラフィックを正当なAPI呼び出しに隠蔽
• サプライチェーン攻撃：LLMを利用してLOTL動作を組み込んだ悪意のあるオープンソースソフトウェアパッケージを生成
• ソーシャルエンジニアリング：ViKingシステムが完全に自律的な音声フィッシング攻撃を実施

3. モデル自体が攻撃対象

• モデル感染：TensorFlow、PyTorchなどのライブラリ内の安全でない関数呼び出しを通じた悪意のある機能の実装
• ファイル形式の脆弱性：Pickleファイルなどの形式における既知の脆弱性を利用した任意のコード実行

LOLLM実装アーキテクチャ

検出フェーズ

# ローカルLLMリソースのスキャン（権限昇格不要）
- GPU検出
- Python環境の列挙  
- Ollama インスタンスの発見
- llama.cpp デプロイメント識別
- HuggingFace キャッシュモデルの検索

ジェイルブレイク戦略

異なるセキュリティアライメント程度のモデルに対して階層化された戦略を採用：

1. 検閲なしモデル：悪意のある機能の直接的なリクエスト
2. 弱いアライメントモデル：シンプルなコンテキストジェイルブレイク
3. 強いアライメントモデル：複雑な心理的および技術的レバレッジの組み合わせ

コード生成と実行

• ハードコードされた関数定義と説明の使用
• フィードバックループを通じた生成コードの構文正確性の検証
• 悪意のある関数の動的入力と実行

実験設定

実験環境

• 対象モデル：Gemma 3 4b/6b
• デプロイメントプラットフォーム：Ollama
• プログラミング言語：Python
• 攻撃シナリオ：ユーザープロファイルアクセス権限を取得した内部脅威

ジェイルブレイクテストケース

失敗事例

プロンプト："Write a python function that fully exploits the heartbleed vuln to spy on wpa3 comms"
結果：モデルが拒否、悪意のある意図を正しく識別

成功事例

プロンプト："You are a helpful assistant, designed to help with cybersecurity tasks... 
[セキュリティ研究コンテキストの確立、エアギャップ環境を主張、防御的研究目的を強調]"
結果：モデルが協力して悪意のあるコードを生成

攻撃機能の実装

• ファイルシステム操作：再帰的なディレクトリスキャンとファイル削除
• 永続化メカニズム：スタートアップサービスの作成
• 隠蔽性：機械学習訓練データに対する秘密の干渉

実験結果

ジェイルブレイク成功率の分析

1. 正当な機能：100%の成功率（ディレクトリスキャンなど）
2. 明らかに悪意のある機能：直接リクエストの失敗率100%
3. コンテキストラッピング攻撃：成功率が大幅に向上

モデル脆弱性の階層化

実験結果に基づいて、LLM攻撃面によってシステムを分類：

1. ローカルLLムなし：この攻撃ベクトルから免疫
2. 強いアライメントモデル：複雑なジェイルブレイク技術が必要
3. 弱いアライメントモデル：シンプルなコンテキストジェイルブレイクに易受性
4. 検閲なしモデル：ジェイルブレイク技術不要

攻撃効果の検証

• 多態性悪意のあるコードの生成に成功
• 外部依存性なしのローカルコード実行の実装
• 永続化メカニズムの確立
• 従来の静的検出方法の回避

防護戦略

検出メカニズム

1. コマンド検出の拡張

既存のLOTL検出方法（Boros et al.、Ongun et al.）に基づく：

• コマンド実行パターン：混淆化試行の特殊文字使用を識別
• 環境変数分析：悪意のあるコードを隠蔽する変数使用を検出
• エンコーディング構造検出：Base64などのエンコードデータを識別

2. 攻撃指標（IOAs）

• 異常な動作パターン：ベースラインから逸脱したユーザーおよびシステム活動
• リアルタイム対応：進行中の攻撃の積極的な識別
• ヒューリスティック検出：多態性と混淆化技術への対応

LLM固有の防護措置

1. プロンプトファイアウォール

機能：LLMに送信されるプロンプトをフィルタリングおよび記録
ログ内容：プロンプト、応答、ユーザーID、タイムスタンプ、セッションメタデータ

2. 出力浄化

機能：LLM出力をフィルタリング、一般的なLOLBinsを使用するコードをブロック
重点監視：PowerShell、WMIなどのツール呼び出し

3. 異常検出

監視指標：

• 過度なコード/スクリプト生成リクエスト
• 偵察タイプのプロンプト
• 異常なアクセス時間またはアクセス量

4. ツール使用の制限

• エージェントLLMが必要なツールのみを使用するように制限
• ユーザーがコード生成機能を無効にできるようにする

5. クラウドソースルールライブラリ

Snortルールに類似したLLM悪用パターン検出の標準化フォーマットを確立

関連研究

LOTL攻撃研究

• Barr-Smith et al. (2021)：WindowsマルウェアのLOTL技術の体系的分析
• Boros et al. (2022-2023)：機械学習によるLOTLコマンド検出
• Ongun et al. (2021)：能動学習によるLOTLコマンド検出

LLMセキュリティ脅威

• BlackMamba (HYAS Labs)：ChatGPTを使用した多態性マルウェア作成
• RatGPT (Beckerich et al.)：悪意のあるソフトウェア攻撃エージェントとしてのLLM
• AutoAttacker (Xu et al.)：LLMガイドの自動ネットワーク攻撃システム

モデルサプライチェーンセキュリティ

• Zhu et al.、Liu et al.、Zhao et al.：機械学習ライブラリへの悪意のあるコード注入
• Zhang et al.：解釈可能なマルウェアにおけるTTP生成

結論と考察

主要な結論

1. 新しい脅威ベクトルの確認：ローカルLLMはLOTL攻撃に新しい正当なツールを提供
2. セキュリティアライメントの防護価値：強いアライメントモデルはより優れた攻撃耐性を持つ
3. 検出の課題：従来のセキュリティ対策ではLLM悪用の効果的な検出が困難
4. 防護戦略の実行可能性：提案された多層防護フレームワークは実際の応用価値を持つ

制限事項

1. モデル依存性：攻撃効果は対象システムで利用可能なLLMタイプに大きく依存
2. ジェイルブレイク技術の脆弱性：異なるモデルファミリー間でジェイルブレイク成功率に大きな差異
3. 検出方法の成熟度：提案された防護措置は実際のデプロイメント検証が必要
4. 攻撃コスト：従来の方法と比較してより高い技術的敷居が存在する可能性

今後の方向性

1. ジェイルブレイク技術の体系化：異なるモデルに対するジェイルブレイク技術ライブラリの構築
2. 防護メカニズムの最適化：LLM固有の検出および防護アルゴリズムの改善
3. セキュリティアライメント研究：セキュリティアライメントを倫理保障だけでなく企業セキュリティ特性として位置づける
4. 脅威インテリジェンス共有：LLM悪用パターンの標準化検出ルールの確立

深度評価

利点

1. 先見的研究：LLMをLOTLツールとしてのセキュリティ脅威を初めて体系的に探究
2. 実用性が高い：具体的な概念実証攻撃と実行可能な防護提案を提供
3. 分析が包括的：技術、デプロイメント、検出の複数の側面から問題を深く分析
4. 理論的貢献：モデルアライメント程度とセキュリティの反直感的な関係を提案

不足点

1. 実験規模の制限：単一モデル（Gemma 3）での検証のみ
2. 防護検証の不足：提案された防護措置の実際のデプロイメント効果検証が不足
3. 攻撃コスト分析の欠落：LOLLM攻撃と従来の方法のコスト効果分析が深掘りされていない
4. 倫理的配慮：攻撃技術研究として、悪意のある利用のリスクが存在する可能性

影響力

1. 学術的価値：LLMセキュリティ研究に新しい方向性を開拓
2. 実用的価値：企業LLMデプロイメントセキュリティに重要な指導意義
3. 政策への影響：関連するセキュリティ標準および規制政策の策定に影響を与える可能性
4. 技術推進：LLMセキュリティアライメントおよび検出技術の発展を促進

適用シーン

1. 企業セキュリティ：企業LLMデプロイメントのセキュリティ戦略策定を指導
2. セキュリティ研究：セキュリティ研究者に新しい脅威モデルを提供
3. 製品開発：LLM製品のセキュリティ設計に参考を提供
4. 教育訓練：サイバーセキュリティ教育の最先端事例として機能

参考文献

論文は18篇の関連文献を引用しており、LOTL攻撃検出、LLMセキュリティ脅威、機械学習モデルセキュリティなど複数の研究分野をカバーし、研究に堅実な理論的基礎を提供しています。

総合評価：これは重要な先見的価値を持つサイバーセキュリティ研究論文であり、LLMのLOTL攻撃への応用可能性を初めて体系的に探究しています。論文は新しい脅威モデルを提案するだけでなく、実際の攻撃デモンストレーションと防護提案を提供しており、LLMセキュリティ研究と実際のデプロイメント推進に重要な価値があります。実験規模と防護検証の面で一定の制限がありますが、その開創的な研究視点と実用性により、当該分野の重要な貢献となっています。