どうもお待たせいたしました。毎年ギリギリの配信になりますが、今年も例年通り BlackHat USA 2024 のみどころについて「ScanNetSecurity に夏を告げる男」株式会社FFRIセキュリティの鵜飼 裕司氏に話を聞きました。
● 倍率約 12 倍の狭き門
――今年もお時間をいただきありがとうございます。編集部では夏の風物詩のひとつになっている Black Hat USA の事前インタビューですが、今年は Briefings の登壇者に FFRI の研究者が選ばれたと聞いています。
鵜飼氏(以下同):はい。早稲田の森先生(森 達哉 研究室)のところにいた松尾という若手なんですが、内容はあとで紹介します。毎年採択率が厳しくなる中、日本から若い世代が選ばれたのは非常に喜ばしいことだと思っています。日本のパワーを世界に知らしめることにもなります。他の研究者たちが「たかが FFRI ごときにできるなら我が社だって」「俺だって」となれば業界や学会にとってもプラスになるでしょう。
――研究成果を世界で発表することで、セキュリティ業界で日本のプレゼンスを上げていきたいですね。さきほど、発表の倍率がさらに上がったということでしたが、今年の開催概要や採択状況など教えてください。
会場はマンダレイ・ベイホテルでここ数年と同じ会場です。2023 年まではコロナの影響もあり、バーチャルとリアルのハイブリッド開催でしたが、ことしはコロナ前と同じでリアル開催を基本としたものになります。オンデマンドによる配信はありますが、会場のライブではなくカンファレンス終了後の参加者向けのものです。コロナ後に参加者は回復しているようで、近年は 2 万人以上を記録しています。
―― Briefings の応募状況を」採択率はいかがですか
CFP(Call for Proposar)への投稿数は 1,175 件ありました。この数字はコロナ前の 2019 年のピークに次ぐ歴代 2 番目の水準です。昨年より 100 件ほど増えています。採択率で 8.4 %ほど。倍率だと 11.9 倍にもなります。USENIX で 3 倍くらいです。世界のトップカンファレンスでも 5 倍前後です。
―― 圧倒的に(論文審査に)通るのが難しいということですね。一方でハイブリッドではなくリアル開催ということはグローバルではフィジカルイベントに目が向いているということですね
はい。やはりセーフティーモード(コロナ後の 2020 年から 2022 年までのオンライン開催のこと)よりもリアルイベントのほうが投稿者のモチベーションも上がるのでしょう。現場にいって仲間と議論できる。情報交換できるというのもインセンティブになっていると思います。
●注目 1:Isolation or Hallucination? Hacking AI Infrastructure Provider for Fun and Weights
最初に紹介する注目イベントは AI インフラプロバイダーの脆弱性を指摘したものです。2022 年あたりから生成 AI に対する民間投資が急激に増えていますが、特徴のひとつはオープンソース AI への投資です。Llama3 というプラットフォームには Meta が出資していますし、Mambaha はトヨタリサーチインスティチュートです。
AI 開発のプラットフォームに「Hugging Face」がありますが、発表者の Wiz(セキュリティベンダー)はこのインフラの脆弱性を発見し悪意のある AI モデルを混入させることに成功したと述べています。同様なサービスである Replicate でも攻撃に成功したとも言っています。もちろん、プラットフォーム側として、ライブラリや API の汚染には対策をしているはずですが、どんな突破方法だったのかは気になります。
また、Wiz の調査は Hugging Face に無断で実施した疑惑があります。Hugging Face と Replicate 以外のプラットフォームにも脆弱性があるのか。いずれにせよ、発見者が公開の場で話す最初の機会なので、発表内容が気になるところです。
Hugging Face はこのあと Wiz と提携して調査、対策に動いています。じつは、Wiz はクラウドプラットフォームのテナント分離フレームワークを公開しているベンダーです。その意味でセールスピッチっぽい趣旨の論文と言えます。本来 Black Hat では自社製品やサービスの宣伝になるようなCFPの採択はないのですが、それでも通ったということは、それだけインパクトがあるということかもしれません。
―― なるほど。新しい発表が期待できそうなセッションですね
