[レポート] 機械学習インフラストラクチャの脆弱性 – CODE BLUE 2020 #codeblue_jp

セッション概要

AIのブームは、ハードウェアとソフトウェアの両方の面で一連のすばらしいソリューションを市場にもたらした。 一方、さまざまな分野でAIを大規模に実装すると問題が発生し、セキュリティが最大の懸念事項の1つになっている。この講演では、NVIDIA DGX GPUサーバー、Pytorch、Keras、TensorflowなどのML（機械学習）フレームワーク、データ処理パイプライン、メディカルイメージングや顔認識を利用したCCTVなどの特定のアプリケーションなど、AIインフラストラクチャのさまざまなコンポーネントの脆弱性に関する実践的な調査結果を紹介する。 。 Grinderフレームワークに基づく更新されたインターネット国勢調査ツールキットを紹介する。

Presented by :セルゲイ・ゴディチック

セッションレポート

• CCTVシステム、AIベースのシステムの脆弱性を調査
• バナナのイメージにステッカーを貼り付けるとニューラルネットワークは謝った分類をしてトースターと分類してしまう

• 他にも物理セキュリティの観点から見てみることにした
• データセンターの侵入は簡単にクレジットカードで入れた

• IPカメラ経由でAIコンポーネントにアクセスする事ができた

• AIはインフラに基づいている
• Grinder Frameworkを開発して使った
  • https://github.com/sdnewhop/grinder
• センサー・スキャナーなどで情報を収集してフィンガープリンティングによって脆弱性の調査に使える
• インターネットに接続してスキャンして公開している
• AIコンポーネントをマッピング
• 機密性の高いデータセットなどを含むデータベースも発見できる
• Dockerも適切に管理しなければモデルを取り出すことができる
• NVIDIA DIGITSのセキュリティは全くないので、インターネットに直接接続すると危険
• Tensorboardもインターネットから探すことができる
• Kubeflowもインターネット上で何百個も見つかる
• Tesla V-100搭載のサーバーが暗号通貨のマイニングに使われていた事も発見した
• DGX-1(13万ドル)のデフォルトパスワードはqct.admin
  • Grinderを使ってDGX-1が見つかった
  • 1つのDGX-1を調査してみた
  • 623/udpにIPMI があり、脆弱性があった(多くのベンダーはIPMI2.0を有効化している)
  • Quanta Computers Incが発行する128bytes(1024)のUSA Keyが見つかった
  • 複数のファームウェアで見つかり、秘密鍵はハードコーディングされている