摂動攻撃とは
摂動攻撃(Perturbation Attack)とは、入力データに微小な変化(摂動)を加えることでAIモデルの判断を誤らせる攻撃手法です。摂動は通常、特定のノルム(L0、L2、L∞など)の制約下で最小化され、人間には知覚困難でありながらモデルの出力を大きく変化させることを目的とします。
摂動のノルム制約
摂動攻撃では、加える変化の大きさを制御するためにノルム制約が用いられます。L∞ノルムは各ピクセルの最大変化量を制限し、L2ノルムは全体的な変化量を制限し、L0ノルムは変更するピクセル数を制限します。ノルムの選択によって、攻撃の特性や見た目への影響が変わります。
代表的な攻撃アルゴリズム
摂動攻撃の代表的なアルゴリズムとしては、FGSM(Fast Gradient Sign Method)、PGD(Projected Gradient Descent)、C&W攻撃(Carlini & Wagner Attack)、DeepFool、BIM(Basic Iterative Method)などがあります。これらは計算効率と攻撃成功率のトレードオフに応じて使い分けられます。
画像以外への拡張
摂動攻撃は当初、画像分類に対して研究されましたが、現在ではテキスト、音声、時系列データなど多様な入力形式に拡張されています。テキストに対しては同義語への置換や文字の挿入・削除、音声に対しては人間には聞こえないノイズの重畳といった手法が開発されています。AIシステムの入力形式に応じた包括的な堅牢性評価が必要とされています。