[レポート] 機械学習インフラストラクチャの脆弱性 – CODE BLUE 2020 #codeblue_jp

2020.10.29

セッション概要

AIのブームは、ハードウェアとソフトウェアの両方の面で一連のすばらしいソリューションを市場にもたらした。 一方、さまざまな分野でAIを大規模に実装すると問題が発生し、セキュリティが最大の懸念事項の1つになっている。この講演では、NVIDIA DGX GPUサーバー、Pytorch、Keras、TensorflowなどのML(機械学習)フレームワーク、データ処理パイプライン、メディカルイメージングや顔認識を利用したCCTVなどの特定のアプリケーションなど、AIインフラストラクチャのさまざまなコンポーネントの脆弱性に関する実践的な調査結果を紹介する。 。 Grinderフレームワークに基づく更新されたインターネット国勢調査ツールキットを紹介する。

Presented by :セルゲイ・ゴディチック

セッションレポート

  • CCTVシステム、AIベースのシステムの脆弱性を調査
  • バナナのイメージにステッカーを貼り付けるとニューラルネットワークは謝った分類をしてトースターと分類してしまう

  • 他にも物理セキュリティの観点から見てみることにした
  • データセンターの侵入は簡単にクレジットカードで入れた

  • IPカメラ経由でAIコンポーネントにアクセスする事ができた

  • AIはインフラに基づいている
  • Grinder Frameworkを開発して使った
  • センサー・スキャナーなどで情報を収集してフィンガープリンティングによって脆弱性の調査に使える
  • インターネットに接続してスキャンして公開している
  • AIコンポーネントをマッピング
  • 機密性の高いデータセットなどを含むデータベースも発見できる
  • Dockerも適切に管理しなければモデルを取り出すことができる
  • NVIDIA DIGITSのセキュリティは全くないので、インターネットに直接接続すると危険
  • Tensorboardもインターネットから探すことができる
  • Kubeflowもインターネット上で何百個も見つかる
  • Tesla V-100搭載のサーバーが暗号通貨のマイニングに使われていた事も発見した
  • DGX-1(13万ドル)のデフォルトパスワードはqct.admin
    • Grinderを使ってDGX-1が見つかった
    • 1つのDGX-1を調査してみた
    • 623/udpにIPMI があり、脆弱性があった(多くのベンダーはIPMI2.0を有効化している)
    • Quanta Computers Incが発行する128bytes(1024)のUSA Keyが見つかった
    • 複数のファームウェアで見つかり、秘密鍵はハードコーディングされている