コンピューター科学者のグループが、人々のオンライン上の画像にデータを書き込み、商用の顔認識システムを混乱させるプライバシー重視のウェブアプリケーションをリリースした。
「LowKey」と呼ばれるこのアプリケーションは、不正な監視から人々を守ることを目的としています。メリーランド大学のヴァレリア・チェレパノヴァ、ミカ・ゴールドブラム、シーユアン・ドゥアン、ジョン・ディッカーソン、ギャビン・テイラー、トム・ゴールドスタイン、そしてアメリカ海軍兵学校の研究者ハリソン・フォーリーらが開発した敵対的攻撃手法に基づいています。このアプリケーションは画像を改変することで、顔認識システムがそのデータを用いて別の画像に写っている人物を容易に見つけられないようにします。
研究者らは、ArXivで配布され、5月に開催される国際学習表現会議(ICLR)2021で発表される予定の「LowKey:敵対的攻撃を活用してソーシャルメディアユーザーを顔認識から保護する」と題された論文で自分たちの研究について説明している。
著者らは、政府機関、請負業者、民間企業が導入している顔認識システムは、インターネットから収集された膨大な画像データベースに依存していると述べている。
1 行目: オリジナル画像、2 行目: LowKey で保護された画像 (中)、3 行目: LowKey で保護された画像 (大)... クリックして拡大
「専門家はソーシャルメディアから公開されている画像を蓄積することでデータベースを構築しており、ユーザーは画像を一般公開しないか、大規模監視のリスクを負うかの選択を迫られています」と研究者らは説明している。「LowKeyは、商用顔認識APIに有効な、このような回避ツールとしては初めてのものです。」
他にも同様のシステムが提案されており、特にFawkesや画像分類攻撃Camera Adversaria [PDF]が有名です。CV Dazzleのような物理的なカモフラージュ技術やコロナウイルスマスクの新たな常識は言うまでもありません。
しかし、チェレパノバ氏、ゴールドブラム氏、そして彼らの同僚研究者たちは、フォークスが、高性能顔認識システムの学習方法、テストに使用されたデータセットの規模、そしてランキングリストではなく単一の結果の精度を重視していることなど、いくつかの誤った前提に基づいていると主張している。また、彼らは、フォークスがまだアプリやウェブツールをリリースしておらず、ほとんどのソーシャルメディアユーザーがわざわざそのコードを実行する可能性は低いと指摘している。
さらに、顔認識のトレーニングに使用されるギャラリー画像のセットが、ギャラリー画像に描かれた人物のテスト画像、つまり「プローブ」画像と一致できるかどうかを測定するテストでは、LowKey が Fawkes よりもはるかに優れたパフォーマンスを発揮すると主張している。
1%未満
「LowKeyは非常に効果的であることが分かりました。ランク50の精度設定でも、RekognitionはLowKeyで保護されたユーザーのプローブ画像をわずか2.4%しか認識できませんでした」と研究論文は述べている。ランク50とは、上位50件の結果の中で真の顔一致を見つけることを意味する。「対照的に、Fawkesは失敗しました。ランク1の設定では、ユーザーのプローブ画像の77.5%が正しく認識されましたが、最も近い50件の一致を考慮すると、これらの画像の94.9%が正しく認識されました。」
ランク 1 テスト (顔認識アルゴリズムに、データベース内の 1 人の人物と画像を一致させるように要求するテスト) では、Rekognition はクリーンな画像では 93.7 パーセントの確率で正解しましたが、LowKey で処理した画像ではわずか 0.6 パーセントの確率で正解しました。
AIエンジンがあなたの写真をスクレイピングして顔認識するのにうんざりしていませんか?これをやっつける方法があります
続きを読む
LowKeyはMicrosoft Azure Face Recognition APIを使用するとさらに優れた性能を発揮します。このAPIは、LowKeyで保護されたギャラリーのプローブ画像のうち、わずか0.1%しか認識しません。論文によると、Fawkesを使用すると、AzureシステムはFawkesで改ざんされた画像の74%以上を認識でき、クリーンな画像では約90%の精度を維持できます。
LowKeyが効果的なのは、ギャラリー画像(顔認識データセットに含まれる画像)を改変し、プローブ画像(テスト画像)と一致しないようにするためだと著者らは主張している。これは、オリジナル画像とは大きく異なる特徴ベクトルを持つ改変画像を生成することで実現されるが、その際、そのような違いは認識されにくい。
「直感的に言えば、これは機械が元の画像と改変された画像の顔の特徴を非常に異なる方法で解釈するのに対し、人間はほぼ同じ方法で解釈することを意味します」と、チェレパノワ氏とゴールドブラム氏は本日The Register宛てのメールで説明した。「つまり、人間は改変された画像に写っている人物を認識できますが、顔認識システムの表現(『特徴ベクトル』)は、本来あるべき姿から大きくかけ離れているのです。」
メリーランド大学応用数学博士課程の学生チェレパノバ氏とUMDの博士研究員ゴールドブラム氏は、The Registerに対し、LowKeyが人気のソフトウェア、特にソーシャルメディアプラットフォームに統合されることを期待しているが、そのような話し合いはまだ行われていないと語った。
このようなツールが広く使われるようになるには、ユーザーにとって便利である必要があると考えています。
「このようなツールが広く使われるようになるには、ユーザーにとって便利でなければならないと考えています」と彼らは述べた。「Facebookのような企業がLinkedInを採用すれば、その目標達成に大きく貢献するでしょう。」
チェレパノバ氏とゴールドブラム氏は、顔認識技術の最も不吉に聞こえる側面は大量監視であるが、この技術は警察によって抗議者を逮捕するためにすでに具体的に使用されており、大量監視のシナリオ以外でも簡単に悪用される可能性があると主張している。
「さらに、機械学習システムの挙動は人間には解釈できないため、顔認識システムは高速でかなり正確であるにもかかわらず、誤りを犯し、それを利用する組織が知らないうちに高度な人種差別を示す可能性がある」と研究者らは説明する。「一般の人々がこれらのシステムに触れたくない理由は数多くある。」
彼らは、LowKeyのようなツールが人々が共有する画像を保護するのに役立つ一方で、彼らの研究と関連プロジェクトが、人々がオンラインで共有する情報を減らすよう促すきっかけとなることを期待していると述べています。また、LowKeyのようなシステムは画像の品質を低下させる可能性があることを認めており、さらなる研究によって出力品質が向上することを期待しています。しかし、論文で指摘されているように、LowKeyは100%効果的ではなく、特別に設計されたシステムによって無効化される可能性もあります。
「これらの機械学習システムを騙すのが難しいことから、人々は個人データをあまり公開しないことを検討するはずだ」とチェレパノバ氏とゴールドブラム氏は述べた。®
