AIアルゴリズムの特性を悪用する攻撃|情報処理安全確保支援士試験 令和3年秋期午前Ⅱ 問1
出典:令和3年秋期 午前Ⅱ 問1
分野:セキュリティ / 情報セキュリティ
AIによる画像認識において,認識させる画像の中に人間には知覚できないノイズや微小な変化を含めることによってAIアルゴリズムの特性を悪用し,判定結果を誤らせる攻撃はどれか。
- ア:Adaptively Chosen Message攻撃
- イ:Adversarial Examples攻撃
- ウ:Distributed Reflection Denial of Service攻撃
- エ:Model Inversion攻撃
TSUNAGARU-ADVICE
まず押さえたいこと
Adversarial Examples攻撃は、画像などに人間には気付きにくい微小なノイズを加え、AIの判定結果を意図的に誤らせる攻撃です。
迷ったときの判断軸
ポイントは、AIの入力データにわずかな変化を加え、人間にはほぼ同じに見えるのにAIだけが誤判定するようにする点です。Model Inversion攻撃は学習データの推測、DRDoS攻撃は反射型のサービス妨害、Adaptively Chosen Message攻撃は暗号解析の文脈なので、微小ノイズでAIの認識を誤らせるならAdversarial Examples攻撃と判断できます。
科目Bにつなげるために
科目Bでは、AIシステムのセキュリティについて、学習データ・モデル・入力データのどこを狙う攻撃かを問われることがあります。Adversarial Examples攻撃は、入力データを細工して推論結果を誤らせる攻撃として理解しておきましょう。
Adversarial Examples攻撃は、AIが認識する画像や音声などに、人間には気付きにくい微小な変化を加えることで、AIの判定結果を誤らせる攻撃です。
例えば、人間には同じ画像に見えても、AIモデルには別の対象として認識されるようにノイズを加える場合があります。問題文の「人間には知覚できないノイズや微小な変化を含める」という説明が、この攻撃の特徴です。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:Adaptively Chosen Message攻撃
⇒暗号やデジタル署名に対する攻撃の一種です。攻撃者がメッセージを適応的に選び、その結果を利用して秘密情報や署名方式の弱点を探る攻撃であり、画像認識AIに微小なノイズを加えて誤認識させる攻撃ではありません。
ウ:Distributed Reflection Denial of Service攻撃
⇒DRDoS攻撃の説明です。送信元IPアドレスを攻撃対象に偽装し、複数の反射サーバから攻撃対象へ大量の応答を送らせるサービス妨害攻撃であり、AIの画像認識を誤らせる攻撃ではありません。
エ:Model Inversion攻撃
⇒機械学習モデルの出力などを手掛かりに、学習データに含まれる特徴や個人情報を推定する攻撃です。AIモデルから情報を逆推定する攻撃であり、入力画像に微小な変化を加えて誤判定させるAdversarial Examples攻撃とは異なります。