気の利いたアルゴリズムと紙製の眼鏡フレームを装備した研究者たちは、顔認識システムを騙す方法を発見した。
カーネギーメロン大学とノースカロライナ大学チャペルヒル校の研究者らは、ユーザーは少なくとも80パーセントの成功率で、本人確認を逃れたり、もっと興味深いことには、別の人物になりすますことができると自慢している。
彼らの論文「最先端の顔認識技術に対する現実的かつステルス的な攻撃」[PDF]の結果は、先週オーストリアで開催されたACMコンピューターおよび通信セキュリティ会議で発表されました。
犯罪者や一般人が認識されるのを避けたい場合、単に任意の顔と間違えるだけで済む。なりすましの場合は、その身元がシステムに既に登録されている人物であると認識されなければならない。
研究チームはニューラルネットワークを訓練し、2,622人の著名人、3人の研究者、2人のボランティアを認識させました。実験中、研究者の1人(南アジア系女性)は、88%の確率で中東系男性と誤認されました。彼女の論文用メガネがAIを欺き、彼女を認識できなかったのです。
なりすましは少し難しい。紙メガネをかけたある男性研究者は、女優兼スーパーモデルのミラ・ジョヴォヴィッチになりすますのにほぼ90%の確率で成功したが、別の男性研究者は俳優のクライヴ・オーウェンになりすますのに苦労し、成功率はわずか16%程度だった。
眼鏡自体には特別なところはありません。フレームは紙に印刷され、それをちゃんとした眼鏡に重ねただけです。重要なのは、カラフルなテクスチャを作り出す「勾配降下法」です。
AIを騙せる魔法の紙メガネ…写真提供:シャリフ他
十分に訓練された機械は、ほとんどの人間よりも速く、より正確に物体を認識できますが、変化への対応はそれほど得意ではありません。人間は、たとえ見た目が多少違っていても、同じ顔を認識できますが、機械は特定の特徴を探して画像を処理するため、認識がより困難になります。画像のわずかな変化でも、ニューラルネットワークに混乱をもたらす可能性があります。
顔認識システムを回避したり人物になりすますために必要なピクセルの最小変化がアルゴリズムによって計算され、パターンとして投影され、攻撃者が眼鏡のフレームに印刷して着用することができた。
メガネの色や模様の変化により、ニューラルネットワークが混乱し、被写体の顔を誤って判断することになります。
「私たちのアルゴリズムは、いくつかの望ましい特性も確保しようとしています。つまり、色の変化が(自然画像と同様に)スムーズであること、メガネの前面が市販のプリンターで印刷できること、そして、攻撃者の画像がわずかに異なる角度から撮影されたり、攻撃者が表情を変えたりしても、メガネが顔認識システムを欺くことができることです」と研究者らはThe Registerに語った。
顔認識システムを騙すより簡単な方法は明らかに存在します。マスクを着用したり、濃い化粧をしたりすることも可能ですが、著者らは、トレーニング前やトレーニング中に顔認証ソフトウェアを改ざんすることなく、目立たずにシステムを騙す方法を模索しました。
「眼鏡などの顔の装飾品は、人がそれを着けるのが自然であるため、襲撃を否認しやすくするのに役立つ」と同紙は述べている。
機械学習とAIは、CCTVカメラを含むあらゆるテクノロジー分野に徐々に浸透しつつあり、このメガネは役立つかもしれません。ただし、フレームが派手なので、少し奇妙に見えるかもしれませんがご了承ください。®
