Stateful Detectionに対するラベルのみメンバーシップ推定攻撃(SCIS2023)
(論文要旨) ACM CCS2021において、LiとZhangは機械学習モデルの出力がラベルのみの場合に訓練データについてのメンバーシップ推定を行うBoundary attackを提案した。 Boundary attackは、判定用のしきい値の決定とメンバーシップ推定にAE (Adversarial Examples)生成手法を内部で用いるが、各サンプルについて大量のクエリを行うため、実行時間の観点で攻撃効率に問題がある。 また、AE生成のための連続したクエリを不正として検知するstateful detectionがモデルの防御として用いられている場合、このような大量のクエリを行うことは困難である。 本研究では、stateful detectionにより防御されたモデルに対するメンバーシップ推定攻撃の有効性を評価する。 まず、Boundary attack内のAE生成手法に対して、stateful detectionによって高い確率で検知できるクエリ回数を実験により明らかにする。 次に、上記のクエリ回数未満に制限した場合のBoundary attackのAccuracyと実行時間を示す。 さらに、攻撃効率を上げるため、AE生成手法を用いずにしきい値決定する新たなメンバーシップ推定攻撃を提案し、同様にクエリ制限下でのAccuracyと実行時間を評価する。 結論として、Boundary attackと提案攻撃はクエリ制限下においてもベースとなるGap attackよりも高いAccuracyを達成できること、提案攻撃はBoundary attackよりも攻撃効率がよいことを示す。