Miyaji Laboratory

近年，機械学習は幅広い分野で利用される一方，学習データに含まれる個人情報やプライバシーの保護が重要な課題となっている．特に，攻撃者がモデル利用者である場合，あるデータがターゲットモデルの学習データに含まれているかを推論するメンバーシップ推論攻撃（Membership Inference Attack: MIA）は，情報漏洩のリスクを伴う．従来の MIA 研究の多くは，ターゲットモデルがサーバ上で実行されるクラウド集中型推論環境を前提としていた．一方，近年注目されている Split Computing（SC）環境では，モデル
を前半と後半に分割し，前半をクライアント側，後半をサーバ側で処理することで，サーバ負荷の削減や消費電力の削減を実現する．SC 環境において，同様にモデル利用者を攻撃者としブラックボックス攻撃を想定した場合，攻撃者はクラウド集中型推論環境で取得可能であったモデル出力や確率分布に加え，取得不可能であった勾配などを含む前半モデルの情報が利用可能となるが，SC 環境を対象としたブラックボックス型 MIA は十分に検討されていない．
本研究では，ブラックボックス型 MIA（Shokri ら, 2017）およびホワイトボックス型 MIA（Nasr ら, 2020）を SC 環境で取得可能な，前半モデル情報による攻撃に拡張し，その有効性を実験的に評価した．さらに，SC 環境に最適化した新たなブラックボックス型 MIA を提案した．前半モデルから得られる情報量に加え，ラベルを用いて再現を行うシャドウモデルとは違い，出力確率分布を用いて後半モデルの挙動を擬似的に再現することで，ホワイトボックス攻撃に近い精度を達成可能であることを示した．CIFAR-10 を用いた実験の結果，SimpleCNN では，Nasr らの手法を SC 環境に適用した場合の攻撃精度は 63-73%であったのに対し，提案手法はクラウド集中型推論環境の Nasr らの手法からの精度低下を最大 60%削減し，攻撃精度65-76%を維持した．また，AlexNet においても同様に攻撃精度 64-68%を達成した．以上の結果から，SC環境においても高精度なブラックボックス型 MIA が可能であることを確認した．