プロンプトウェア・キルチェーン
本稿では、大規模言語モデル(LLM)を標的とした攻撃手法「プロンプトウェア」のライフサイクルを体系的に分析する「キルチェーン」モデルを提案する。攻撃の各段階(偵察、武器化、展開、悪用など)を定義し、実例とともに解説することで、LLMセキュリティの包括的な理解と防御策の策定を支援する。
背景メモ
- 本論文は、大規模言語モデル(LLM)向けに悪意あるプロンプトを設計・埋め込む新たな攻撃手法「Promptware(プロンプトウェア)」と、その攻撃連鎖(キルチェーン)を体系的に定義したもの。
- Promptwareとは、従来のソフトウェアのように「開発・配布・実行」のサイクルを持つが、コードではなく巧妙に細工されたプロンプトそのものが攻撃の本体。LLMアプリケーション(ChatGPTのカスタムGPTやRAGシステムなど)に埋め込まれ、ユーザーが使うたびに発火する。
- キルチェーンは4段階:①プロンプトインジェクションで初期侵入、②プロンプト内で持続的攻撃ロジックを確立、③攻撃プロンプトの流通・拡散、④標的LLMで悪意動作(情報窃取、誤情報生成、フィルタ回避など)を実行。
- 従来のソフトウェアサプライチェーン攻撃(SolarWinds事件など)のLLM版と捉えられ、プロンプトそのものが「実行可能な攻撃ペイロード」になる点が新しい。LLMの普及に伴い、この種の攻撃への対策(プロンプトの検証・署名・隔離実行など)が急務と論じている。