危険度が高い敵対的事例をハードラベルブラックボックス条件下で発見する最適化法

• 研究課題/領域番号: 22K12196
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 審査区分: 小区分61040:ソフトコンピューティング関連
• 研究機関: 鹿児島大学
• 研究代表者: 小野 智司 鹿児島大学, 理工学域工学系, 教授 (90363605)
• 研究期間 (年度): 2022-04-01 – 2025-03-31
• 研究課題ステータス: 交付 (2023年度)
• 配分額: 4,160千円 (直接経費: 3,200千円、間接経費: 960千円); 2024年度: 910千円 (直接経費: 700千円、間接経費: 210千円); 2023年度: 910千円 (直接経費: 700千円、間接経費: 210千円); 2022年度: 2,340千円 (直接経費: 1,800千円、間接経費: 540千円)
• キーワード: 深層ニューラルネットワーク / 敵対的攻撃 / 敵対的防御 / ハードラベルブラックボックス条件 / 画像認識 / 音声認識 / 敵対的事例 / CMA-ES / 敵対的事例の矯正 / 物体認識 / 深度推定 / 深層学習 / ブラックボックス最適化 / 脆弱性

研究開始時の研究の概要

深層ニューラルネットワーク（DNN）は，意図的に摂動が加えられた入力（敵対的事例）によって誤作動を起こしてしまうため，近年のDNNの実システムへの普及に伴い，実用上の観点で危険度が高い脆弱性の発見の需要が高まっている．本研究は，危険度が高い脆弱性を，外乱や環境変化の影響を受けにくくDNNの誤動作を継続的に誘発する敵対的事例と考え，学習器が出力するTop-1クラスラベルのみを利用してこれを発見する方式を開発する．

研究実績の概要

本研究は，危険度が高い脆弱性を，外乱や環境変化の影響を受けにくく深層ニューラルネットワークの誤動作を継続的に誘発する敵対的事例と考え，学習器が出力するTop-1クラスラベルのみを利用してこれを発見する方式を開発する．以下では，本年度の実績について，当初の研究計画の主要な研究内容である(a)ハードラベルブラックボックス条件下で危険性の高い敵対的事例を生成する方式の創出，および，(b) 物体認識，音声認識，物体検出，深度推定等のタスクへの応用，の観点から述べる．
(a)のハードラベルブラックボックス条件下において危険度の高い敵対的事例を発見する方式については，昨年度に設計と実装を行った基本アルゴリズムに対して，敵対的事例候補の危険度，すなわち外乱に対する頑健性を検証する方式を組み込んだ方式の設計と検証を行った．本方式は，画像，音声といった学習器の入力の特性に依存せずに，また，対象モデルの内部情報を利用せずにTop-1ラベルのみから脆弱性を検証できる点に利点がある．
(b)の各種タスクの応用については，昨年度と同様に物体認識，音声認識，深度推定タスクを対象とした深層ニューラルネットワークモデルの脆弱性を検証する技術に応用を行ったほか，今年度は画像分類を行うモデルにおいて着目する画像領域を可視化するGrad-CAM等の解釈技術における脆弱性の検証を行う方式を開発した．また，音声を扱う深層ニューラルネットワークに対して実環境下で検証する実機環境最適化方式を応用し，特定の環境において生じる脆弱性を検証できることを確認した．

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

本研究における主要な課題は，(a) ハードラベルブラックボックス条件下で危険性の高い敵対的事例を生成する方式の創出，および，(b) 物体認識，音声認識，物体検出，深度推定等のタスクへの応用である．
(a)については基盤となるアルゴリズムの開発が予定通り進行している． 分散共分散適応型進化戦略アルゴリズムを基本として，ハードラベルブラックボックス条件下で外乱に頑健な敵対的事例を発見できることを示した．敵対的事例を発見する攻撃アルゴリズムに関する研究成果について，進化計算の主要国際会議の1つであるWCCI2024に論文が採択されたほか，実機環境最適化アルゴリズムについて電子情報通信学会英文誌に論文が採択された．
(b)については，各応用タスクを対象として上記(a)の応用を行うソフトウェアの開発を行っている． 特に，画像認識器の解釈器を対象とした敵対的攻撃手法に関する論文が国際会議に採択され，国内の学会発表において1件の賞を受賞した．
さらに，昨年度に提案した(c)敵対的事例の脆弱性に着目することで得られた敵対的事例の矯正方式について国内の学会で発表を行い，1件の賞を受賞した．
以上のような状況であるため，概ね順調に成果をあげていると考える．

今後の研究の推進方策

外乱に頑健な敵対的事例を発見する基本アルゴリズムの性能改善および計算効率の改善に取り組む．
また，物体認識，音声認識タスクで上記方式の有効性の検証を行う．特に，商用クラウドにおける物体認識方式の脆弱性の検証を行う．

研究成果

• [雑誌論文] A Coded Aperture as a Key for Information Hiding Designed by Physics-in-the-Loop Optimization (2024)
  • 著者名/発表者名: MINAMATA Tomoki、HAMASAKI Hiroki、KAWASAKI Hiroshi、NAGAHARA Hajime、ONO Satoshi
  • 雑誌名: IEICE Transactions on Information and Systems 巻: E107.D 号: 1 ページ: 29-38
  • DOI: 10.1587/transinf.2023MUP0003
  • ISSN: 0916-8532, 1745-1361
  • 年月日: 2024-01-01
  • 査読あり / オープンアクセス
• [雑誌論文] Projection-Based Physical Adversarial Attack for Monocular Depth Estimation (2023)
  • 著者名/発表者名: DAIMO Renya、ONO Satoshi
  • 雑誌名: IEICE Transactions on Information and Systems 巻: E106.D 号: 1 ページ: 31-35
  • DOI: 10.1587/transinf.2022MUL0001
  • ISSN: 0916-8532, 1745-1361
  • 年月日: 2023-01-01
  • 査読あり
• [雑誌論文] Black-box Adversarial Attack against Visual Interpreters for Deep Neural Networks (2023)
  • 著者名/発表者名: Hirose Yudai、Ono Satoshi
  • 雑誌名: 18th International Conference on Machine Vision Applications 巻: - ページ: 1-6
  • DOI: 10.23919/mva57639.2023.10215758
  • 査読あり
• [学会発表] 符号化開口を鍵として用いる視覚的情報秘匿方式 (2024)
  • 著者名/発表者名: 横川 優, 太田 和宏, 水俣 友希, 川崎 洋, 長原 一, 小野 智司
  • 学会等名: 情報処理学会第86回全国大会
• [学会発表] 微小な再攻撃による敵対的事例の矯正に関する基礎検討 (2024)
  • 著者名/発表者名: 森本 文哉, 小野 智司
  • 学会等名: 情報処理学会第86回全国大会
• [学会発表] 単眼深度推定器の脆弱性検証を目的とした実環境評価型敵対的攻撃の試み (2024)
  • 著者名/発表者名: 日下部 尊, 小野 智司
  • 学会等名: 情報処理学会 火の国情報シンポジウム2024
• [学会発表] 日本語の表記体系に着目した敵対的攻撃手法の提案 (2024)
  • 著者名/発表者名: 河野 竜士, 小野 智司
  • 学会等名: 情報処理学会 火の国情報シンポジウム2024
• [学会発表] 微小な再攻撃による敵対的サンプル矯正の試み (2024)
  • 著者名/発表者名: 森本 文哉, 小野 智司
  • 学会等名: 情報処理学会 火の国情報シンポジウム2024
• [学会発表] Black-box Adversarial Attack against Visual Interpreters for Deep Neural Networks (2023)
  • 著者名/発表者名: Yudai Hirose, Satoshi Ono
  • 学会等名: 18th International Conference on Machine Vision Applications
  • 国際学会
• [学会発表] 音声認識器に対する分散共分散行列適応進化戦略を用いたハードラベルブラックボックス攻撃の試み (2023)
  • 著者名/発表者名: 赤垣 敬吾, 田島 彩音, 小野 智司
  • 学会等名: 計測自動制御学会 システム・情報部門学術講演会2023（SSI2023）
• [学会発表] 分散共分散行列適応進化戦略を用いた敵対的攻撃における初期解生成方式の検討 (2023)
  • 著者名/発表者名: 田島 彩音, 小野 智司
  • 学会等名: 計測自動制御学会 システム・情報部門学術講演会2023（SSI2023）
• [学会発表] 敵対的事例の脆弱性を用いた分類結果矯正の試み (2023)
  • 著者名/発表者名: 森本 文哉, 赤垣 敬吾, 小野 智司
  • 学会等名: 人工知能学会全国大会（第37回）
• [学会発表] 画像解釈器の脆弱性検証のためのブラックボックス敵対的攻撃に関する研究 (2023)
  • 著者名/発表者名: 廣瀬 雄大, 田島 彩音, 小野 智司
  • 学会等名: 人工知能学会全国大会（第37回）
• [学会発表] ブラックボックス条件下における画像解釈器の脆弱性検証の試み (2023)
  • 著者名/発表者名: 廣瀬 雄大, 梶浦 梨央, 小野 智司
  • 学会等名: 情報処理学会 火の国情報シンポジウム2023
• [学会発表] 再攻撃を用いた敵対的サンプルの矯正の試み (2023)
  • 著者名/発表者名: 森本 文哉, 玉城 大生, 小野 智司
  • 学会等名: 情報処理学会 火の国情報シンポジウム2023
• [学会発表] 画像解釈器の脆弱性検証のためのブラックボックス敵対的攻撃に関する基礎検討 (2023)
  • 著者名/発表者名: 廣瀬 雄大, 梶浦 梨央, 小野 智司
  • 学会等名: 情報処理学会第85回全国大会
• [学会発表] 実環境評価型進化計算を用いた単眼深度推定器への敵対的攻撃についての基礎検討 (2023)
  • 著者名/発表者名: 日下部 尊, 河野 竜士, 水俣 友希, 大毛 廉也, 小野 智司
  • 学会等名: 情報処理学会第85回全国大会
• [学会発表] 再攻撃による敵対的事例の矯正に関する基礎検討 (2023)
  • 著者名/発表者名: 森本 文哉, 玉城 大生, 小野 智司
  • 学会等名: 情報処理学会第85回全国大会
• [学会発表] 日本語処理用深層学習器における脆弱性を検証する敵対的攻撃の基礎検討 (2022)
  • 著者名/発表者名: 河野 竜士, 玉城 大生, 小野 智司
  • 学会等名: 人工知能学会全国大会（第36回）
• [産業財産権] 敵対的攻撃方法及び敵対的攻撃システム (2022)
  • 発明者名: 小野 智司, 河野 竜士
  • 権利者名: 鹿児島大学
  • 産業財産権種類: 特許
  • 産業財産権番号: 2022-195918
  • 出願年月日: 2022