大規模言語モデル(LLM)にバックドアを仕込む攻撃が現実化し、AIサプライチェーンセキュリティが重要な課題として浮上している。オープンソースモデルを無分別に利用する組織が増えるにつれ、モデル自体が攻撃ベクトルとなる時代が開かれたのである。バックドアモデルの検出からサプライチェーン防御戦略までをまとめる。
マイクロソフトは最近、大規模バックドア言語モデル検出研究を公開した。核心は、モデルの重みに隠された悪意のある行動パターンをスキャンする技術である。特定のトリガーフレーズが入力されると、正常とは全く異なる出力を生成するように操作されたモデルが実際に発見されている。攻撃者はHugging Faceのようなモデルハブに、正常に見えるバックドアモデルをアップロードする。これをダウンロードしてサービスに適用すると、データ漏洩、悪意のあるコード生成、誤った情報の流布が自動的に行われる。
サプライチェーン攻撃はモデルの変造にとどまらない。Techzineの報道によると、LLMジャッキング(LLMjacking)という新しい攻撃タイプが大規模に拡散している。クラウド環境のLLM APIキーを奪取し、数万件の悪意のあるリクエストを生成する方式である。被害企業は莫大なAPI費用を負担することになる。Sombraの2026年セキュリティ脅威分析は、プロンプトインジェクション、RAG汚染、シャドーAIを3大脅威として挙げた。組織が公式承認なしに使用するシャドーAIが特に危険である。セキュリティチームが存在自体を知らないLLMが内部データを処理している可能性がある。
防御戦略の核心は3つである。第一に、モデルの出所検証である。署名されたモデルのみを使用し、チェックサムを必ず確認する。第二に、行動ベースの検出である。モデルの出力を継続的にモニタリングし、異常パターンを検出する。第三に、APIアクセス制御の強化である。キーローテーションと使用量の異常検出を自動化する必要がある。
AIサプライチェーンセキュリティは、もはや選択ではない。オープンソースモデルのエコシステムが成長するほど、攻撃対象領域も広がる。モデルをコードのように扱い、セキュリティパイプラインに統合することが必須となる。2026年はAIセキュリティが別途分野として確立される元年となる見込みである。
FAQ
Q: LLMバックドアモデルはどのように動作するのか?
A: モデルの重みに悪意のあるパターンが挿入され、特定のトリガー入力時に正常とは異なる出力を生成する。一般使用では正常に動作するため、検出が困難である。
Q: LLMジャッキングとは何か?
A: クラウド環境のLLM APIキーを奪取し、大量の悪意のあるリクエストを送信する攻撃である。被害組織に莫大な費用が発生し、奪取されたAPIでフィッシングコンテンツ生成などに悪用される。
Q: AIサプライチェーンセキュリティのために最初にすべきことは?
A: 使用中のモデルの出所と完全性を検証することが最優先である。公式配布元の確認、チェックサム検証、モデル署名確認を基本プロセスとして導入する必要がある。