メンバーシップ推定攻撃とは
メンバーシップ推定攻撃(Membership Inference Attack)とは、特定のデータサンプルがAIモデルの訓練データに含まれていたかどうかを推定する攻撃手法です。2017年にShokriらが提案したこの手法は、AIモデルのプライバシーリスクを定量的に評価するための重要な指標としても活用されています。
攻撃の原理
メンバーシップ推定攻撃の原理は、AIモデルが訓練データと未知のデータに対して異なる振る舞いを示すことに基づいています。一般に、モデルは訓練データに対してより高い信頼度で予測を行い、損失値も低くなります。この差異を利用して、特定のデータが訓練セットに含まれていたかを二値分類として推定します。
プライバシーリスク
メンバーシップ推定が成功すると、個人のプライバシーが侵害される可能性があります。例えば、医療診断モデルに対するメンバーシップ推定が成功すると、特定の人物が特定の疾患の訓練データに含まれていたこと、すなわちその疾患を持っていることが推定できてしまいます。同様に、犯罪予測モデルの訓練データへの所属は犯罪歴の推定につながります。
対策と評価への活用
メンバーシップ推定攻撃への対策には、差分プライバシー、正則化の強化(過学習の防止)、知識蒸留、出力の丸め処理などがあります。同時に、メンバーシップ推定攻撃はプライバシー保護の効果を評価する「監査ツール」としても利用されています。差分プライバシーなどの防御策が十分に機能しているかを検証するために、意図的にメンバーシップ推定攻撃を実施することが一般的です。