分析:機械学習アルゴリズムによって生成される偽の画像セットで、人物になりすまして顔認証システムを突破する、いわゆる「マスターフェイス」というアイデアが先週、大きな話題を呼んだ。しかし、この研究を詳しく見てみると、現実世界では機能しそうにない明らかな弱点が明らかになる。
「マスターフェイスとは、人口の大部分の顔認証に合格する顔画像のことです」と、今月初めにarXivで公開された論文は説明している。「これらの顔画像を使えば、ユーザー情報にアクセスすることなく、あらゆるユーザーになりすますことができ、高い確率で成功します。」
テルアビブ大学の3人の研究者は、人口の40%を代表できる9つのマスター顔を生成するモデルを構築したと述べている。このモデルは「主要な3つのディープラーニング顔認識システム」を回避できる。一見すると印象的ではあるが、この主張は顔認証を必要とするアプリケーションにおいて明らかなセキュリティリスクを孕んでいる。
まず、研究チームはNVIDIAのStyleGANシステムを用いて、リアルに見える作り物の顔画像を作成しました。それぞれの偽造出力は、Labeled Faces in the Wild(LFW)データセットに含まれる5,749人の人物の実際の写真1枚と比較されました。別の分類アルゴリズムによって、AIが生成した偽造顔がデータセット内の実際の顔とどの程度類似しているかが判定されます。
分類器によって類似度の高いスコアを獲得した画像は保持され、そうでない画像は破棄されます。これらのスコアは、進化的アルゴリズムを訓練するために使用され、StyleGANを用いてデータセット内の人物に似たなりすまし顔を次々と作成します。
- 顔認識技術の規制?「そこはまるでワイルドウェスト」と米国の法律専門家
- 英国警察のAI、顔認識技術の利用について、議員らが専門家に疑問を呈する
- AIが誤って彼女を禁止対象のトラブルメーカーと認識したため、少女はローラースケート場から追い返された
- DeepMindのAlphaFoldによって予測されたヒトゲノムで発現する2万種類のタンパク質がダウンロード可能になりました
研究者たちは、時間をかけてデータセット内の画像を可能な限り多く代表するマスター顔セットを見つけることができました。つまり、Labeled Faces in the Wildデータセットに含まれる5,749人の異なる人物のうち、40%をわずか9枚の画像で代表することができたのです。
次に、これらのマスター顔を用いて、3つの異なる顔認識モデル(Dlib、FaceNet、SphereFace)を偽装しました。これらのシステムは、LFWデータセットでテストされた最高の顔照合アルゴリズムをベンチマークするコンテストで最高位を獲得しました。
しかし、3つのモデルをそれぞれ回避できた最高得点のマスター顔をざっと見てみると、この研究には明らかな限界があることがわかります。それらはほぼすべて、白髪、眼鏡、口ひげをつけた高齢の白人男性の偽画像です。もしこれらの画像がLFWデータセットの大部分を代表できるのであれば、データセットには何らかの欠陥があるに違いありません。
Dlib(左)、FaceNet(中央)、SphereFace(右)を欺くことができた最高のマスターフェイス。論文の図4より。
ゴミを入れればゴミが出る
データセットをホストするウェブサイトに掲載されている免責事項は、このことを裏付けています。「LFWでは多くのグループが十分に代表されていません。例えば、子供は非常に少なく、乳児は全くいません。80歳以上の人はほとんどおらず、女性の割合も比較的低いです。さらに、多くの民族の代表性は非常に低いか、全くありません。」
9つのマスター顔のスコアは、LFWデータセットの限界を反映しています。女性、肌の色が濃い、若い顔は低いランクにランク付けされ、テストされた3つのモデルをバイパスする可能性が低くなります。
LFWデータセットの40%を占める9つのマスター顔。若い人、女性、肌の色が濃い人のスコアが低いことに注目してください。論文の図5より。
LFWのウェブサイトに掲載されている別の免責事項には、「理論的にはLFWは特定のサブグループのパフォーマンス評価に使用できますが、データベースはサブグループに関する確固たる統計的結論を導き出すのに十分なデータを持つように設計されていません。端的に言えば、LFWは特定のソフトウェアが徹底的にテストされたという証拠を提供するのに十分な規模ではありません」と記載されています。
顔認識システムのロックを解除するために、膨大な数の人々の顔を模倣できるマスターフェイスというアイデアは興味深いものですが、ここでの研究は、欠陥のあるデータを用いて機械学習モデルを訓練・テストした、また別の例に過ぎません。まさに「ゴミを入れればゴミが出る」というわけです。
LFWデータセットには多様性が欠けているため、コンピューター生成のマスター顔がデータセットの大部分を占める可能性が高くなります。これらの画像が現実世界でうまく機能する可能性は低いでしょう。
実世界でのテストもなし
「LFWは確かに公式サイトに記載されている制限を抱えているが、こうした制限にもかかわらず、LFWは顔認識方法を評価する学術文献では広く使用されているデータセットだ」と論文の共著者でテルアビブ大学電気工学部の研究者トマー・フリードランダー氏はThe Registerに語った。
私たちの論文は、顔認識システムに潜在する脆弱性を提示しており、攻撃者によって悪用される可能性があります。したがって、顔認識技術の開発者とユーザーの両方がこれを考慮する必要があります。私たちは、実生活で使用されている商用の顔認識システムに対して私たちの手法をテストしていないため、実生活のシステムを参照することはできません。
このモデルをより多様なデータセットに適応させ、現実世界のシステムを欺くことも可能だと彼は述べた。「既存の顔認識システムをこのような攻撃から守るために、この手法で生成したマスター顔データを活用する可能性をさらに探究したいと考えています。これは今後の研究に残しておきます。」
これらのマスターフェイスは「顔認証システムの40%以上」に侵入できるとか、「大成功を収めている」といった、恐怖を煽るような見出しに騙されないでください。こうした主張を裏付ける証拠はほとんどありません。
フリードランダー氏は、この論文が 12 月に開催される今年の IEEE 国際自動顔・ジェスチャー認識会議に採択されたと語った。®
