敵対的ディープフェイクは検出器の裏をかく

吉田拓史 -

ディープフェイク(人工知能を使って実際の映像を操作するビデオ)を検出するように設計されたシステムは、すべてのビデオフレームに敵対的な例と呼ばれる入力を挿入することで、騙されることがある。敵対的な例とは、機械学習モデルなどの人工知能システムがミスをする原因となる、わずかに操作された入力のことである。さらに研究チームは、動画を圧縮した後でも攻撃が機能することを示した。

2021年1月5日から9日までオンラインで開催されたWACV 2021会議に採択された論文が明らかにした。カリフォルニア大学サンディエゴ校のコンピュータ工学博士課程の学生で、WACVの論文の共著者であるShehzeen Hussainは、次のように述べている。「さらに驚くべきことに、我々は、検出器が使用する機械学習モデルの内部の仕組みを敵が認識していない場合でも、ロバストな敵対的ディープフェイクが可能であることを実証している」。

ディープフェイクでは、実際には起こらなかった出来事を説得力のあるリアルな映像にするために、被験者の顔を修正する。その結果、一般的なディープフェイク検出器は、ビデオの中の顔に焦点を当てている。例えば、目の瞬きはディープフェイクではうまく再現されないため、検出器は目の動きに焦点を当てて判断する。最新のディープフェイク検出器は、機械学習モデルに頼って偽物の動画を識別する。

Hussainらは、ソーシャルメディアのプラットフォームを通じて偽の動画が広範囲に拡散していることで、世界中で大きな懸念が高まっており、特にデジタルメディアの信頼性を阻害していると指摘している。「もし攻撃者が検出システムについてある程度の知識を持っていれば、検出システムの死角を狙った入力を設計して、検出システムを迂回させることができる」と、論文のもう一人の共著者でカリフォルニア大学サンディエゴ校の修士課程(コンピュータサイエンス)のPaarth Neekharaは述べている。

研究者たちは、ビデオフレーム内のすべての顔のための敵対的な例を作成した。しかし、動画の圧縮やサイズ変更などの標準的な操作は通常、画像から敵対的な例を削除するが、これらの例はこれらのプロセスに耐えられるように構築されている。攻撃アルゴリズムは、モデルが画像を本物か偽物かのランク付けをする方法を、入力変換のセットにわたって推定することでこれを行う。そこから、この推定値を使用して、圧縮・伸長後も敵対的な画像が有効なままになるように画像を変換する。

その後、修正された顔のバージョンがすべてのビデオフレームに挿入される。その後、この処理を動画の全フレームに対して繰り返すことで、ディープフェイク動画を作成する。この攻撃は、顔の切り抜きだけではなく、ビデオフレーム全体で動作する検出器にも適用できる。

チームは、悪意の攻撃者に使用されないようコードの公開を拒否した。

高い成功率

1つは、顔抽出パイプラインや分類モデルのアーキテクチャやパラメータを含む検出器モデルに攻撃者が完全にアクセスできる場合、もう1つは、フレームが本物か偽物かを分類する確率を知るために機械学習モデルを照会することしかできない場合だ。最初のシナリオでは、攻撃の成功率は非圧縮動画で99%以上だった。圧縮された動画では84.96%だった。2つ目のシナリオでは、非圧縮動画では86.43%、圧縮動画では78.33%でした。これは、最先端のディープフェイク検出器を使った攻撃の成功を実証した最初の作品だ。

Source: University of California San Diego

これらのディープフェイク検出器を実際に使用するためには、これらの防御を知っていて、意図的に防御を無効にしようとする適応的な敵対者に対して、ディープフェイク検出器を評価することが不可欠であることを主張している」とHussaineらは論文に記述している。「研究者らは、ディープフェイクを検出するための現在の最新の手法は、敵対者が検出器の完全な、あるいは部分的な知識を持っていれば、簡単に回避できることを示している」

研究者らは、検出器を改良するために、敵対的訓練と同様のアプローチを推奨している。訓練中、適応的な敵対者は、現在の最新の検出器をバイパスできる新しいディープフェイクを生成し続け、検出器は新しいディープフェイクを検出するために改良を続けている。

参考文献

Shehzeen Hussain, Paarth Neekhara, Malhar Jere, Farinaz Koushanfar, Julian McAuley; Proceedings of the IEEE/CVF Winter Conference on Applications of Computer Vision (WACV), 2021, pp. 3348-3357

Photo Credit: University of California San Diego.

Special Thanks to Supportes.

Shogo Otani, 林祐輔, 鈴木卓也, Mayumi Nakamura, Kinoco, Masatoshi Yokota, Yohei Onishi, Tomochika Hara, 秋元 善次, Satoshi Takeda, Ken Manabe, Yasuhiro Hatabe, 4383, lostworld, ogawaa1218, txpyr12, shimon8470, tokyo_h, kkawakami, nakamatchy, wslash, TS, ikebukurou, 太郎, bantou.

700円/月のサポーター

Axionは吉田が2年無給で、1年が高校生アルバイトの賃金で進めている「慈善活動」です。有料購読型アプリへと成長するプランがあります。コーヒー代のご支援をお願いします。個人で投資を検討の方はTwitter(@taxiyoshida)までご連絡ください。

デジタル経済メディアAxionを支援しよう
Axionはテクノロジー×経済の最先端情報を提供する次世代メディアです。経験豊富なプロによる徹底的な調査と分析によって信頼度の高い情報を提供しています。投資家、金融業界人、スタートアップ関係者、テクノロジー企業にお勤めの方、政策立案者が主要読者。運営の持続可能性を担保するため支援を募っています。
CAMPFIRE Community
Takushi Yoshida is creating writing/journalism | Patreon
Patreon is a membership platform that makes it easy for artists and creators to get paid. Join over 200,000 creators earning salaries from over 6 million monthly patrons.
Patreon

投げ銭

投げ銭はこちらから。金額を入力してお好きな額をサポートしてください。

https://paypal.me/axionyoshi?locale.x=ja_JP