AIBR プレミアム
拓海先生、お忙しいところ失礼します。顔認証に関して部下から「AIの導入で不正防止が必要」と言われまして、最近はプレゼンテーション攻撃とか物理的な偽装の話が出ていますが、正直よく分かりません。これって要するに我が社の入退室管理や決済で使っている顔認証が騙されるというリスクがあるということですか?
素晴らしい着眼点ですね!基本的にはその通りです。最近の研究は、単に画面に画像を流したり印刷物を見せる「プレゼンテーション攻撃(Presentation Attack)」を、もっと巧妙に“見た目は偽物でも本物と判定させる”ように作る手法を示しています。大丈夫、一緒に整理しますよ。
なるほど。でも現場では印刷やスマホ再生での成りすまし対策はしているはずです。今回の研究は従来の印刷・再生攻撃とどう違うのですか。投資対効果を考えたいので、要点を簡単に教えていただけますか。
素晴らしい着眼点ですね!要点を3つにまとめます。1) 従来の攻撃は物理的なアーティファクト(印刷紙の反射や表示機のノイズ)が目立ちやすい。2) 本研究は生成モデルで「物理的に見えるがPAD(Presentation Attack Detector)が本物と判定する画像」を自動生成する。3) 実機環境で成功率が高いことを示しており、既存対策だけでは十分でない可能性があるのです。大丈夫、一緒に対策の考え方も整理できますよ。
生成モデルというと、私も聞いたことはありますがよく分かりません。これは画面上で画像を改ざんするのと同じなんですか。それとも実際に印刷して使うことも想定しているのですか。
素晴らしい着眼点ですね!ここは大事な点です。研究で使われているのはGenerative Adversarial Network(GAN、生成的敵対ネットワーク)という手法で、簡単に言えば「本物に見える偽物を自動で作る仕組み」です。本研究は、その生成過程で印刷や表示の歪みを模擬して、物理世界(印刷物や画面再生)で使ってもPADを騙せる画像を作るのです。ですからデジタル改ざんだけでなく、実際に印刷して使う想定も含まれますよ。
これって要するに、画面や印刷の見た目の“クセ”を先に計算して、それを踏まえた偽造を自動で作るから、見た目は偽物でも検知器には本物と判断される、ということですか?
その通りです!素晴らしい要約です。具体的には、PADが見ている特徴を逆手に取って、物理的変換(印刷や表示で起きる変化)をシミュレートした上で、判定を騙す画像を生成します。大丈夫、検知側も同様の思考で強化学習やデータ拡張を行えば視点を変えた対策が可能です。
実際のところ、どれくらい騙されるのですか。現場での影響度合いをイメージさせてください。例えば我が社レベルで入退室や決済の現場に導入した場合、どの程度のリスクを見ておけばよいでしょうか。
良い質問です。論文では生成攻撃の成功率が最大で約82.01%に達したと示されています。これはつまり、従来対策だけだと高い割合で誤認を許す可能性があるということです。とはいえ、実務では多要素認証や行動ログ、閾値設定の見直しでリスクを下げる余地があります。大丈夫、まずは現状の運用でどの機能を“必須”にするかを決めると良いですよ。
わかりました。最後に一つ。われわれが取るべき初動は何でしょうか。コストを抑えつつ効果的な手を打ちたいのですが。
素晴らしい着眼点ですね!要点は3つです。1) 現状のPADのログを一ヶ月分精査して異常率や誤検出パターンを把握する。2) 多要素化(例えば顔認証+カード)や閾値の見直しで即効性のある防御を入れる。3) 将来的にはPADを自前で強化するか、外部の堅牢なモデルを導入してテストを行う。大丈夫、一緒にロードマップを作れば実行可能です。
ありがとうございます。では、本日の話を踏まえて「我が社では現状のPADログを解析し、3ヵ月以内に多要素認証の導入計画を作成する」という方向で進めます。自分の言葉で整理すると、今回の論文は「物理的に見える偽装を生成モデルで作り、実物として扱わせる攻撃の手法を示している」ということですね。
