ニューラルネットワークを騙すGAN 顔認識ネットワークに別の人物として認識させることが可能に
今回紹介するのはニューラルネットワークを騙すGANです。一般的なGANに「顔認識で使うニューラルネットワークが別の人物として認識できたか」を判断するもう一つの識別器を付ける事で「ある人物の顔写真から一見違いがわからない形で別の人物として顔認識される画像を作り出すことに成功しました。
顔認識ニューラルネットを騙すGAN
ニューラルネットワークは、顔認識などの多くのタスクで人間に取って代わり、顔画像がどのアイデンティティーに属しているかを判定するために使用することができます。
これに基づくアプリケーション、テクノロジーは、鉄道駅での身元認証など、支払いなどいくつかの重要なタスクに徐々に採用されています。しかし残念なことに、これらで使われるニューラルネットワークは、特に「Adversarial Example(敵対的サンプル)」に対して脆弱で、じっくりと入力を混乱させれば分類を間違えさせることができるという欠点を持ち合わせています。
安全性を高めるためには、顔認識ネットワークがどのように攻撃を受けやすいかを研究することが重要です
こに研究では、人間の目では初めて観察することが困難な感知できない摂動を適用することによって、ニューラルネットワークに対する敵対攻撃を実行できることを提示しています。
顔認識ニューラルネットワークに対して攻撃を行う新しい方法に焦点を当て、ある人物の顔写真からぱっと見違いがわからない形で別の人物として顔認識される画像を作り出しています。
著者らは、偽画像を生成するために、条件付き変分オートエンコーダGAN(cVAEGAN)に、Attentionを適用したA3GNというGANべースのネットワークを提示しています。
A3GN
図1
顔検証領域において、2つの顔が1人に属するかどうかは、確率に基づくのではなく、最後の層における特徴マップ間の余弦距離に基づきます。つまり顔の特徴分布の調査により多くの注意を払うことにより、ターゲットモデルからターゲット人物の特徴表現を模倣でき、ターゲット人物として認識させることが可能です。
ここでは、ターゲット人物のセンマティック情報 を取得するために、ターゲットを絞った特徴を学ぶことができる変分オートエンコーダ(VAE)を採用しています。さらに、生成された画像が対象者により良く分類されるために、いくつかの注意モジュール(Attention)をVAEに導入して構成しています(AVAE)。図1に示すように、AVAEは、対象とする顔の幾何学的な情報を得て、人間の顔の依存性を効果的に学習します。
生成器と2つの識別器
伝統的な生成器と識別器による2プレーヤーGANとは異なり、生成器と識別器の間に参加する3人目のプレーヤー(もう一つの識別器)として、顔認証ネットワークが用いられています。1つの識別機は、生成した顔が正規識別器と呼ばれる実顔であるか否かを推定するものであり、もう1つの識別機は、生成した偽造画像がターゲット人物として分類できるか否かを推定するものです。ここでは「顔認識で使うニューラルネットワークが別の人物として認識できたか」を損失関数として採用しています。
これにより、生成された見物人の注意を喚起するのが難しい顔は、最先端のネットワークによる認識を回避することができ、また、それらのほとんどはターゲット人物として認識されました。
以下は3GNによって生成された5つのターゲットイメージです。左が元のイメージ、右がターゲットになりすますよう生成されたイメージです。
しかしながら、この方法は1人の標的者を攻撃することに限定されているとのこと。 1つの画像で異なるターゲット面を攻撃することは将来の仕事になりそうです。
アップルがiPhone Xに顔認証機能「Face ID」を搭載してから1年以上。顔認証は、以前よりも身近な技術になりつつありますが、その功罪について改めて考え直すことも重要です。今後、顔認識ネットワークがどのように攻撃を受けやすいかを学んでく必要があるでしょう。
この記事に関するカテゴリー
