モデル反転とは
モデル反転攻撃とは、AIモデルの出力から訓練データの特徴を逆算的に復元しようとする攻撃手法です。特に顔認識モデルに対してこの攻撃を行うと、訓練に使用された個人の顔画像を一定の精度で再構成できることが実証されており、深刻なプライバシーリスクとなっています。
攻撃の手法
モデル反転攻撃は、最適化ベースのアプローチを用います。攻撃者は特定のクラス(例:ある個人の名前)に対するモデルの出力を最大化するような入力を勾配降下法により探索します。得られた入力は、そのクラスの訓練データの「平均的な特徴」を反映したものとなります。近年のGAN(敵対的生成ネットワーク)を用いた手法では、よりリアルで詳細な訓練データの復元が可能になっています。
対策
モデル反転攻撃への防御として、差分プライバシーの適用が最も効果的です。訓練時にノイズを追加することで、個別のデータポイントの特徴がモデルに記録されることを防ぎます。また、モデルの出力から不必要な情報(中間層の活性化値など)を排除し、APIの出力を最小限に制限することも重要です。アクセス制御を強化し、モデルへの無制限なクエリを防止することも有効な対策です。