サプライチェーン攻撃(AI)とは
AIにおけるサプライチェーン攻撃とは、AIシステムの開発・デプロイメントに使用されるサードパーティのコンポーネント(モデル、データセット、ライブラリ、ツール)を侵害し、最終的なAIシステムに脆弱性やバックドアを持ち込む攻撃手法です。
攻撃の経路
AI特有のサプライチェーン攻撃経路は多岐にわたります。汚染された事前訓練済みモデルの配布、悪意のあるデータセットの公開、ML フレームワークやライブラリの脆弱性の悪用、モデルハブへの不正モデルのアップロード、依存パッケージへのマルウェア混入などが代表的です。特に、Hugging FaceなどのモデルハブからのモデルダウンロードやPyPIからのパッケージインストールは、広く利用されるだけに攻撃対象として魅力的です。
防御策
サプライチェーン攻撃への防御として、すべての外部コンポーネントの出所と整合性の検証、ソフトウェア部品表(SBOM)の管理、依存関係の脆弱性スキャン、信頼できるレジストリの使用が基本です。モデルに対しては、バックドア検出スキャンの実施、独自データでの再評価、安全なモデル形式(SafeTensorsなど)の使用が推奨されます。組織的には、サプライチェーンリスクの評価プロセスを確立し、定期的な見直しを行うことが重要です。