ブラックボックス型モデル反転攻撃におけるユーザ類似性を考慮した生成モデルの検討
Abstract
個人の識別タスクに利用される機械学習モデルはユーザの顔画像や音声といったセンシティブなデータを用いて訓練される.このことから,訓練済みモデルはパラメータという形でユーザのプライバシーに関わる機密情報を間接的に所有し,プライバシー面での懸念が存在する.このような訓練済みモデルに対する攻撃として,訓練に用いられたユーザの機密情報を推測するモデル反転(Model Inversion,MI)攻撃が存在する.本研究では,攻撃対象モデルがブラックボックス型の深層ニューラルネットワーク(DNN)で構築された顔画像識別器であるという前提の上で,公開データを用いて推定データの探索空間を構築するMI攻撃の事前学習プロセスに着目する.探索空間の構築方法が攻撃精度に与える影響を調べるために,Zhangらが提案した公開データと敵対的生成ネットワーク(GAN)を用いる攻撃手法における事前学習プロセスに攻撃対象ユーザとの類似度の概念を導入することで,攻撃対象ユーザに特化した探索空間を構築可能な手法を提案する.実験では復元した顔画像によるなりすまし精度を示すとともに,提案手法の有効性について考察する.