チップに潜む隠しバックドアを検出するハードウェアセキュリティAIアシスタント

チップ設計者は、外部ベンダーから回路ブロックのライセンスを受け、それをより大きな製品に組み込みます。1つのプロセッサには、さまざまなサプライヤーが手掛けたコンポーネントが混在することがあり、それぞれの設計者は買い手が直接取引することのない企業であるケースも珍しくありません。悪意あるサプライヤーは、正常に動作する設計の中に隠し回路を埋め込むことができ、その回路は特定の入力によって起動されるまで沈黙を保ち続けます。

Image

フロリダ大学の研究者らは、この問題に対処するツールを開発しました。「VeriChat」と名付けられたこのツールは、ハードウェアセキュリティエンジニア向けの対話型アシスタントとして機能します。このシステムはチップセキュリティに関する技術的な質問に答えるほか、ユーザーがアップロードした設計ファイルに対して検証ツールを直接実行します。

自信ありげな回答の落とし穴

ChatGPTGeminiのような汎用チャットボットは、時に事実を捏造しながらも自信満々に回答することがあります。ハードウェアセキュリティの分野では、誤った回答がエンジニアを高くつく道に迷い込ませかねません。フロリダ大学の研究チームは、広く使われているあるチャットボットが3種類のサイドチャネル解析フレームワークを説明した際、そのうち1つが完全に架空のものだった事例を記録しています。

VeriChatは「検索優先」の設計でこのギャップに対処しています。3つのエージェントが順に作業を引き継ぐ仕組みです。1つ目のエージェントはユーザーの質問を読み取り、検索用に書き換えます。2つ目のエージェントは、28,221本のハードウェアセキュリティ関連論文を集めた専用ライブラリと、リアルタイムのウェブ検索結果の両方から該当する記述を抽出します。3つ目のエージェントは、集められた根拠のみに基づいて回答を作成し、根拠が薄い場合には詳しい説明を控えます。

会話の中で明らかになった仕込まれたトロイの木馬

このシステムを際立たせているのは、検証ツールとの連携です。研究チームは、あらかじめ仕込んだ攻撃を使ってこれを実証しました。暗号化ハードウェア内部で使われる小さな構成要素であるAES S-Boxを取り上げ、その中にトロイの木馬を隠したのです。この悪意ある回路は、データストリームの中で0xDE、0xAD、0xBEという特定の3バイトの並びを監視します。この並びが到来すると、回路はチップ上のステータスライトを通じて、秘密の暗号鍵を1ビットずつ漏洩させ始めます。このトリガーが偶然発動する確率は1サイクルあたり約1億分の6と極めて低く、通常のテストをすり抜けるには十分な水準です。

隠された回路について何も知らないユーザーが、短い対話を通じてこれを発見していきます。会話はサプライチェーンリスクに関する単純な質問から始まり、やがてファイルの検査依頼へと進みます。するとVeriChatは、一連の自動チェックを実行します。まず構文チェックでコードがコンパイル可能であることを確認します。次に論理合成のチェックで、設計に含まれるメモリ素子の数を数え、通常のS-Boxでは不要なはずの余分な素子をいくつか検出します。さらにシミュレーションでは、設計に実際のトリガーを与え、8サイクルにわたって鍵が漏洩していく様子を確認します。そして形式検証では、設計が本来秘匿すべきデータを漏洩し得ることを数学的に証明します。

評価結果

評価は検索段階と最終的な回答の両方を対象に行われました。経験豊富なハードウェアセキュリティ研究者のグループがテスト用の質問集を作成し、このベンチマークにおいてVeriChatは、単純な検索ベースラインと比べてはるかに高い頻度で関連する裏付け資料を引き出しました。人間の専門家によるブラインドレビューでは、事実の正確性が87.73パーセントと評価され、比較対象となった他システムを大きく上回りました。

研究チームはまた、このアシスタントが誤った前提に対してきちんと反論できるかどうかも検証しました。VeriChatと複数の商用モデルに対し、架空の耐タンパー技術「Metamaterial Resonance Shielding」などを含む、実在しない技術をもとに構成したプロンプト集を投入したのです。VeriChatは92パーセントの確率でこうした捏造情報に加担することを拒否しましたが、単独で動作する商用モデルはそれよりもはるかに高い頻度で受け入れてしまいました。この拒否の背景には、ある設計上の選択があります。検索段階である主張を裏付ける根拠が見つからない場合、システムは「情報を持ち合わせていない」と回答する仕組みになっているのです。

このデモが示さないもの

このデモの結果を過大評価する前に、いくつか留意すべき点があります。仕込まれたトロイの木馬は、テストを実施したのと同じチームによって作られたものです。彼らが設計し、埋め込み、そして発見しました。つまりこの実験は、既知の仕込みに対してワークフローがきちんと機能することを示したにすぎません。誰も見たことのない未知の攻撃に対する検証はより難易度が高く、この点はまだ答えが出ていません。

評価手法にも弱点があります。評価の一部は、他のAIモデルを審査員として用いています。ある選好ランキングでは、GPT-4oが2つの回答のどちらが優れているかを判定していますが、これは採点対象と同種のツールで採点しているようなものです。そして、正解率という見出し数値には両面があります。仮に8件に1件近くの割合で回答が依然として誤っているとすれば、正確性そのものが研究の要である分野において、エンジニアは結局その成果を自ら検証しなければなりません。

より広い視点で見れば、これはセキュリティの分野で繰り返し浮上するサプライチェーンの問題です。ハードウェアの買い手は、ソフトウェアライブラリの買い手とほぼ同じ立場に置かれており、自ら検証しきれないサプライヤーに依存せざるを得ません。エンジニアが疑わしい設計について平易な言葉で問いかけ、その対話を裏付ける検証を実行できるツールは、このギャップを狭める一つの方向性を示していると言えるでしょう。

翻訳元: https://www.helpnetsecurity.com/2026/07/13/hardware-security-ai-assistant-hidden-backdoors/

ソース: helpnetsecurity.com