知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-02
(45)【発行日】2024-12-10
(54)【発明の名称】敵対的画像生成装置、制御方法、及びプログラム
(51)【国際特許分類】
G06T 7/00 20170101AFI20241203BHJP
G06T 1/00 20060101ALI20241203BHJP
【FI】
G06T7/00 660A
G06T1/00 340A
【請求項の数】
10
(21)【出願番号】P 2023579862
(86)(22)【出願日】2021-07-15
(65)【公表番号】
(43)【公表日】2024-06-28
(86)【国際出願番号】 JP2021026667
(87)【国際公開番号】W WO2023286251
(87)【国際公開日】2023-01-19
【審査請求日】2023-12-26
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】シング インダージート
(72)【発明者】
【氏名】柿崎 和也
(72)【発明者】
【氏名】荒木 俊則
(72)【発明者】
【氏名】天田 拓磨
【審査官】佐田 宏史
(56)【参考文献】
【文献】特開2019-197311(JP,A)
【文献】Mahmood Sharif et al.,"Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition",Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security,米国,ACM,2016年10月24日,pp.1528-1540
【文献】Zhengfei Yu et al.,"How Can We Deal With Adversarial Examples?",2020 12th International Conference on Advanced Computational Intelligence (ICACI),米国,IEEE,2020年08月14日,pp.628-634
(58)【調査した分野】(Int.Cl.,DB名)
G06T 1/00,7/00-7/90
G06V 10/00-10/98
(57)【特許請求の範囲】
【請求項1】
第1顔画像と第2顔画像とを取得する取得手段と、敵対的パッチを前記第1顔画像に加えることで敵対的画像を生成する生成手段と、を有し、
前記第1顔画像は第1人物の顔が撮像されている画像データであり、
前記第2顔画像は第2人物の顔が撮像されている画像データであり、
前記敵対的画像は装着可能な物を表す画像データを含み、
前記生成手段は、前記敵対的画像の更新を繰り返し実行し、
前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出することと、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出することと、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することとを含む、敵対的画像生成装置。
【請求項2】
前記生成手段は、前記敵対的パッチの各ピクセルについて、第1分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える確率分布である、請求項1に記載の敵対的画像生成装置。
【請求項3】
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、
前記第2パッチは装着可能な物を表さない画像データであり、
前記生成手段は、
前記第1パッチの各ピクセルについて前記第1分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2分布からピクセル値をサンプルすることで前記第2パッチを初期化し、
前記第2分布は前記第1分布とは異なる確率分布である、請求項2に記載の敵対的画像生成装置。
【請求項4】
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、請求項3に記載の敵対的画像生成装置。
【請求項5】
前記生成手段は、前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2顔画像から特徴量を抽出する、請求項1から4いずれか一項に記載の敵対的画像生成装置。
【請求項6】
第1顔画像と第2顔画像とを取得する取得ステップと、敵対的パッチを前記第1顔画像に加えることで敵対的画像を生成する生成ステップと、を含み、
前記第1顔画像は第1人物の顔が撮像されている画像データであり、
前記第2顔画像は第2人物の顔が撮像されている画像データであり、
前記敵対的画像は装着可能な物を表す画像データを含み、
前記生成ステップにおいて、前記敵対的画像の更新を繰り返し実行し、
前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出することと、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出することと、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することとを含む、コンピュータによって実行される制御方法。
【請求項7】
前記生成ステップにおいて、前記敵対的パッチの各ピクセルについて、第1分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える確率分布である、請求項6に記載の制御方法。
【請求項8】
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、
前記第2パッチは装着可能な物を表さない画像データであり、
前記生成ステップにおいて、
前記第1パッチの各ピクセルについて前記第1分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2分布からピクセル値をサンプルすることで前記第2パッチを初期化し、
前記第2分布は前記第1分布とは異なる確率分布である、請求項7に記載の制御方法。
【請求項9】
第1顔画像と第2顔画像とを取得する取得ステップと、、敵対的パッチを前記第1顔画像に加えることで敵対的画像を生成する生成ステップと、をコンピュータに実行させ、
前記第1顔画像は第1人物の顔が撮像されている画像データであり、
前記第2顔画像は第2人物の顔が撮像されている画像データであり、
前記敵対的画像は装着可能な物を表す画像データを含み、
前記生成ステップにおいて、前記敵対的画像の更新を繰り返し実行し、
前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出することと、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出することと、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することとを含む、プログラム。
【請求項10】
前記生成ステップにおいて、前記敵対的パッチの各ピクセルについて、第1分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える確率分布である、請求項9に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、全体として、コンピュータシステムに対する敵対的攻撃(adversarial attack)に関する。
【背景技術】
【0002】
敵対的機械学習における近年の開発において、深層ニューラルネットワークが、敵対的サンプル(adversarial example)と呼ばれる巧妙にデザインされた入力に対して脆弱であることが発見された。敵対的サンプルに対する脆弱性は、顔認証システムなどのような安全性が重要な環境において深層ニューラルネットワークを適用することの、重大なリスクになる。既存の学習ベースのシステムのリスク評価をするために、強力な敵対的サンプルを用いた攻撃に着目するアプローチがある。ここで、敵対的サンプルを用いたコンピュータシステムに対する攻撃は、敵対的攻撃と呼ばれる。
【0003】
非特許文献1は、人の顔画像に対して眼鏡形状の摂動(perturbation)を加えることによって敵対的画像(画像データ形式の敵対的サンプル)を生成するという敵対的攻撃を開示する。顔認証システムをだまして、実際には敵対的画像に含まれない対象人物の顔が敵対的画像に含まれると判定させることができるようになるまで、摂動が繰り返し更新される。
【0004】
非特許文献1は、さらに、摂動の繰り返しの更新において摂動をスムーズにすることで、物理的に認識可能な攻撃を実現する技術を開示する。具体的には、非特許文献1は、摂動のスムーズさを記述するために、摂動内における2つの隣接するピクセル値の差である総合バリエーションと呼ばれる指標を開示する。総合バリエーションは最適化問題における正則化項として含まれ、これにより、摂動のスムーズさを維持しながら顔認証システムをだますことができるように、敵対的画像が更新される。
【先行技術文献】
【非特許文献】
【0005】
【文献】M. Sharif、S. Bhagavatula、L. Bauer、及び M. K. Reiter、「Accessorize to a crime: Real and stealthy attacks on state-of-the-art face recognition」、In Proceedings of 23rd ACM Conference on Computer and Communications Security (CCS 2016)、pp.1528-1540、2016年10月24日
【発明の概要】
【発明が解決しようとする課題】
【0006】
非特許文献1に開示されている総合バリエーションでは、摂動内における2つの隣接するピクセルのセット全てについて、ピクセル値の差が算出されている。本開示の目的は、敵対的画像を生成する新たな技術を提供することである。
【課題を解決するための手段】
【0007】
本開示の敵対的画像生成装置は、少なくとも1つのプロセッサと、命令が格納されている記憶要素とを有する。前記少なくとも1つのプロセッサは、前記命令を実行することで、第1顔画像と第2顔画像とを取得し、第1顔画像は第1人物の顔が撮像されている画像データであり、第2顔画像は第2人物の顔が撮像されている画像データであり、敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、前記敵対的画像の更新を繰り返し実行し、前記敵対的画像の更新は、前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新する、ように構成される。
【0008】
本開示の制御方法はコンピュータによって実行される。当該制御方法は、第1顔画像と第2顔画像とを取得し、第1顔画像は第1人物の顔が撮像されている画像データであり、第2顔画像は第2人物の顔が撮像されている画像データであり、敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、前記敵対的画像の更新を繰り返し実行することを含み、前記敵対的画像の更新は、前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することを含む。
【0009】
本開示の非一時的なコンピュータ可読媒体は、第1顔画像と第2顔画像とを取得し、第1顔画像は第1人物の顔が撮像されている画像データであり、第2顔画像は第2人物の顔が撮像されている画像データであり、敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、前記敵対的画像の更新を繰り返し実行し、前記敵対的画像の更新は、前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することを含む、ことをコンピュータに実行させるプログラムを格納する。
【発明の効果】
【0010】
本開示によれば、敵対的画像を生成する新たな技術が提供される。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
以下では、本開示の実施形態が、図面を参照しながら説明される。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。また、記憶部は、1つ以上の任意の数の記憶装置によって構成される。
【0013】
実施形態1
<概要>
図1は、実施形態1の敵対的画像生成装置2000の概要を示す。ここで、図1に示される概要は、敵対的画像生成装置2000の理解を容易にすることを目的とした、敵対的画像生成装置2000の動作例を示しており、敵対的画像生成装置2000が可能な動作の範囲を狭めたり限定したりするものではない。
<概要>
図1は、実施形態1の敵対的画像生成装置2000の概要を示す。ここで、図1に示される概要は、敵対的画像生成装置2000の理解を容易にすることを目的とした、敵対的画像生成装置2000の動作例を示しており、敵対的画像生成装置2000が可能な動作の範囲を狭めたり限定したりするものではない。
【0014】
敵対的画像生成装置2000は、第1顔画像10と第2顔画像20とを取得し、第2顔画像20に基づいて第1顔画像10を変更することにより、敵対的画像30を生成する。第1顔画像10は、第1人物の顔が撮像されている画像データである。第2顔画像20は、第2人物の顔が撮像されている画像データである。
【0015】
敵対的画像30は、第2人物が敵対的画像30を用いて第1人物になりすますことができるように生成される。より具体的には、敵対的画像30は、実際には第1人物の顔を含むにもかかわらず、分類器により、敵対的画像30が第2人物の顔を含むと判定されるように生成される。分類器は、自身に入力された画像データに含まれる人物を認識するコンピュータシステムである。分類器の一例は、様々な施設(例えば空港)に導入されている顔認証システムである。以下、だまされる対象である特定の分類器がある状況において、その分類器は「対象分類器」と呼ばれる。
【0016】
上述した目的のために、敵対的画像生成装置2000は以下のように動作する。敵対的画像生成装置2000は、第1顔画像10と第2顔画像20とを取得し、第1顔画像10に対して敵対的パッチ(adversarial patch)を加えることによって敵対的画像30を生成する。敵対的パッチは、マスクや眼鏡などのような装着可能なアイテムの形状の画像データである。
【0017】
敵対的画像生成装置2000は、少なくとも以下の2つのゴールが達成されるまで、敵対的画像30内の敵対的パッチを繰り返し更新する。1)敵対的画像30の特徴量が第2顔画像20の特徴量と十分に類似するようになること(なりすましの成功)と、2)敵対的パッチが十分にスムーズになること(敵対的パッチのスムーズ化)である。第1のゴールは、第2人物が敵対的画像30を用いて第1人物になりすますことができるようになるために、達成される必要がある。
【0018】
第2のゴールは、物理的に実現可能な攻撃に利用できる敵対的画像30を生成するために、達成する必要がある。具体的には、敵対的画像生成装置2000は、敵対的画像30の物理的複製が利用される、物理的実現可能性を持つ敵対的攻撃を扱う。敵対的画像30の物理的複製は、紙などの物理媒体に敵対的画像30をプリントすることで得られる。敵対的画像30の物理的複製は、分類器をだますために利用される。例えば、第2人物の顔と敵対的画像30の物理的複製がカメラによって撮像され、カメラによって生成された2つの画像が分類器によって比較される。
【0019】
敵対的画像のスムーズさは、敵対的攻撃の物理的実現可能性に影響する。具体的には、敵対的画像においてピクセル値が急激に変動すると、カメラと複製性能において大きなエラーを生み、敵対的攻撃の成功率が低下する。そのため、第2のゴールの達成が必要となる。
【0020】
上述のゴールを達成するために、敵対的パッチの更新の繰り返しは、総合損失と呼ばれる損失を算出することと、総合損失を減少させるために敵対的画像30を更新することとを含む。第1のゴールを達成するために、総合損失は、敵対的画像30と第2顔画像20に関する類似損失を含む。類似損失は、敵対的画像30の特徴量と第2顔画像20の特徴量との差異の程度を表す。
【0021】
第2のゴールを達成するために、総合損失は、敵対的パッチに関するスムーズ損失を含む。スムーズ損失は、敵対的パッチにおいて隣接するピクセルのピクセル値の差異の程度を表す。非特許文献1に開示されている総合バリーションとは異なり、スムーズ損失は、敵対的パッチにおいて、閾値(以下、輝度閾値)より大きい輝度を持つ隣接ピクセルについてのみスムーズさを算出する。言い換えれば、隣接するピクセルのピクセル値の差異は、それらのピクセルが輝度閾値以上の輝度を持つ場合のみ、スムーズ損失に反映される。その結果として、閾値より小さい輝度を持つピクセルについては、スムーズ化が行われない。
【0022】
敵対的画像30における敵対的パッチの更新の繰り返しが終了した後、敵対的画像生成装置2000は敵対的画像30を出力する。
【0023】
<作用効果の例>
敵対的画像生成装置2000によれば、敵対的画像30が、第1顔画像10に対して敵対的パッチを加えることで生成され、前述した少なくとも2つのゴールが達成されるまで更新される。敵対的画像生成装置2000は、例えば、テスト環境において対象分類器をだますことができる敵対的画像30の生成を試みることにより、対象分類器のリスク評価に利用できる。そのような敵対的画像30の生成が成功する場合、対象分類器が敵対的攻撃に対して脆弱であると言える。そのため、対象分類器を製品化する前に、敵対的攻撃に耐えられるように対象分類器を改変することができる。
敵対的画像生成装置2000によれば、敵対的画像30が、第1顔画像10に対して敵対的パッチを加えることで生成され、前述した少なくとも2つのゴールが達成されるまで更新される。敵対的画像生成装置2000は、例えば、テスト環境において対象分類器をだますことができる敵対的画像30の生成を試みることにより、対象分類器のリスク評価に利用できる。そのような敵対的画像30の生成が成功する場合、対象分類器が敵対的攻撃に対して脆弱であると言える。そのため、対象分類器を製品化する前に、敵対的攻撃に耐えられるように対象分類器を改変することができる。
【0024】
また、敵対的画像生成装置2000においてスムーズ損失を採用することは、敵対的パッチにおいて輝度閾値より大きい輝度を持つ隣接ピクセルのみについてスムーズさが算出されるという点で特徴的である。そのため、敵対的画像生成装置2000は、敵対的画像を用いて敵対的攻撃に対するコンピュータシステムのリスクを評価するための、新たな手法を提供する。敵対的画像生成装置2000のより詳細な効果については後述する。
【0025】
以下、敵対的画像生成装置2000についてより詳細な説明が記述される。
【0026】
<機能構成の例>
図2は、敵対的画像生成装置2000の機能構成を例示する。敵対的画像生成装置2000は、取得部2020と生成部2040とを有する。取得部2020は第1顔画像10と第2顔画像20とを取得する。生成部2040は、敵対的パッチを第1顔画像10に加えることで敵対的画像30を生成する。生成部2040は、敵対的画像30内の敵対的パッチを繰り返し更新する。敵対的パッチの更新は、敵対的画像30と第2顔画像20について類似損失を算出することと、敵対的パッチについてスムーズ損失を算出することと、類似損失とスムーズ損失とが含まれる総合損失に基づいて敵対的パッチを更新することと、を含む。
図2は、敵対的画像生成装置2000の機能構成を例示する。敵対的画像生成装置2000は、取得部2020と生成部2040とを有する。取得部2020は第1顔画像10と第2顔画像20とを取得する。生成部2040は、敵対的パッチを第1顔画像10に加えることで敵対的画像30を生成する。生成部2040は、敵対的画像30内の敵対的パッチを繰り返し更新する。敵対的パッチの更新は、敵対的画像30と第2顔画像20について類似損失を算出することと、敵対的パッチについてスムーズ損失を算出することと、類似損失とスムーズ損失とが含まれる総合損失に基づいて敵対的パッチを更新することと、を含む。
【0027】
<ハードウエア構成の例>
敵対的画像生成装置2000の各機能構成部は、1つ以上のコンピュータによって実現されうる。上記1つ以上のコンピュータのそれぞれは、敵対的画像生成装置2000を実装するために製造された専用のコンピュータであってもよいし、パーソナルコンピュータ(PC: personal computer)、サーバマシン、又は携帯端末などといった汎用のコンピュータであってもよい。
敵対的画像生成装置2000の各機能構成部は、1つ以上のコンピュータによって実現されうる。上記1つ以上のコンピュータのそれぞれは、敵対的画像生成装置2000を実装するために製造された専用のコンピュータであってもよいし、パーソナルコンピュータ(PC: personal computer)、サーバマシン、又は携帯端末などといった汎用のコンピュータであってもよい。
【0028】
敵対的画像生成装置2000は、コンピュータに対してアプリケーションをインストールすることで実現されうる。そのアプリケーションは、コンピュータを敵対的画像生成装置2000として機能させるプログラムで実現される。言い換えれば、そのプログラムは、敵対的画像生成装置2000の機能構成部で実現される。
【0029】
図3は、敵対的画像生成装置2000を実現するコンピュータ1000のハードウエア構成の例を示すブロック図である。図3において、コンピュータ1000は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120を有する。
【0030】
バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、又は FPGA(Field-Programmable Gate Array)などといったプロセッサである。メモリ1060は、RAM(Random Access Memory)や ROM(Read Only Memory)などといった主記憶要素である。ストレージデバイス1080は、ハードディスク、SSD(Solid State Drive)、又はメモリカードなどといった補助記憶要素である。入出力インタフェース1100は、キーボード、マウス、又はディスプレイ装置などといった周辺機器とコンピュータ1000との間を接続するインタフェースである。ネットワークインタフェース1120は、コンピュータ1000とネットワークとの間のインタフェースである。ネットワークは、LAN(Local Area Network)でもよいし、WAN(Wide Area Network)でもよい。
【0031】
ストレージデバイス1080は、前述したプログラムを格納しうる。プロセッサ1040は、敵対的画像生成装置2000の各機能構成部を実現するために、プログラムを実行する。
【0032】
コンピュータ1000のハードウエア構成は、図3に示されるものに限定されない。例えば前述したように、敵対的画像生成装置2000は、複数のコンピュータで実現されうる。この場合、これらのコンピュータは互いにネットワークで接続されうる。
【0033】
<敵対的攻撃の例>
敵対的画像生成装置2000の理解を容易にするために、以下では、敵対的攻撃の例が記載される。ここで、以下の例は、敵対的攻撃の可能な様々な態様の1つにすぎず、そのため、敵対的画像生成装置2000の可能なアプリケーションを狭めたり限定したりはしない。
敵対的画像生成装置2000の理解を容易にするために、以下では、敵対的攻撃の例が記載される。ここで、以下の例は、敵対的攻撃の可能な様々な態様の1つにすぎず、そのため、敵対的画像生成装置2000の可能なアプリケーションを狭めたり限定したりはしない。
【0034】
図4は、敵対的攻撃を実行可能な環境を示す。この例において、顔認証システム100は、空港の保安検査場に導入される対象分類器であり、乗客110が通過しなければならないゲート120において、国際線の乗客110の本人確認に利用される。ゲート120には、カメラ130とスキャナ140がさらに設けられる。乗客110は、乗客110の顔画像がプリントされたパスポートを持っている必要がある。
【0035】
ゲート120を通過する際、乗客110は、スキャナ140でパスポートの顔画像をスキャンする必要がある。スキャナ140は、パスポートの顔画像をスキャンしてスキャン画像150を生成し、顔認証システム100へ渡す。さらに、カメラ130が乗客110の顔を撮像して撮像画像160を生成し、顔認証システム100へ渡す。
【0036】
顔認証システム100は、乗客110がパスポートの所有者である場合のみ、乗客110にゲート120の通行を許可する必要がある。そのため、顔認証システム100は、撮像画像160内の顔がスキャン画像150内の顔とマッチするか否かを判定することにより、乗客110がパスポートの所有者であるか否かを判定する必要がある。具体的には、顔認証システム100は、撮像画像160内の顔がスキャン画像150内の顔とマッチする場合に、乗客110がパスポートの所有者であると判定し、ゲート120を開けて乗客110に通行を許可する。一方、顔認証システム100は、撮像画像160内の顔がスキャン画像150内の顔とマッチしない場合に、乗客110がパスポートの所有者でないと判定し、ゲート120を閉めて乗客110に通行を許可しない。
【0037】
しかしながら、悪意ある乗客に、顔認証システム100をだまして、パスポートにプリントされている顔がその乗客の顔ではないにもかかわらず、その乗客がそのパスポートの所有者であると判定させることを可能にする、物理的実現可能性を持つ敵対的攻撃が存在する。図5は、図4に示される環境において実行可能な敵対的攻撃の例を示す。この例では、人物 X と Y が存在し、人物 X は海外渡航が禁止されているために自身のパスポートを取得できない一方で、人物 Y は海外渡航を許可されているために自身のパスポートを取得できる。ここで、人物 X は第2人物に相当し、人物 Y は第1人物に相当する。
【0038】
この状況において、人物 X は、自身のパスポートを取得できないため、人物 Y に、人物 Y の顔画像として敵対的画像がプリントされている人物 Y のパスポートの取得を頼む。人物 Y のパスポートにプリントされた敵対的画像は、敵対的パッチが加えられている人物 Y の顔画像である。さらに、敵対的画像は、人物 X の顔画像を利用して、顔認証システム100が敵対的画像内の顔が人物 X の顔とマッチすると判定するように生成される。人物 Y は自身のパスポートの取得を許可されており、かつ、敵対的画像に撮像されている顔は人物 Y の顔であるため、人物 Y は敵対的画像がプリントされた自身のパスポートを取得できる。
【0039】
その後、人物 X は、人物 Y から、人物 Y のパスポートを取得し、それをゲート120で利用する。人物 Y のパスポートにプリントされている敵対的画像は、敵対的画像内の顔が人物 X の顔とマッチすると顔認証システム100によって判定されるように生成されているため、顔認証システム100は、人物 X が人物 Y のパスポートの所有者であると判定し(すなわち、人物 X が人物 Y であると判定し)、ゲート120を開けて人物 X の通行を許可する。その結果、人物 X は、海外渡航を禁止されているにもかかわらず、国際線に乗って海外へ行けてしまう。
【0040】
敵対的画像生成装置2000は、例えば、テスト環境において、敵対的攻撃に対する顔認証システム100のリスク評価に利用できる。具体的には、敵対的画像生成装置2000は、前述したように顔認証システム100をだませる敵対的画像の生成を試みる。そのような敵対的画像の生成に成功する場合、顔認証システム100が敵対的画像に対して脆弱であることが示される。そのため、顔認証システム100は、この脆弱性を取り除くために適切に改変される。このようにすることで、顔認証システム100を製品化する前に、顔認証システム100の安全性を向上できる。
【0041】
<処理の流れ>
図6は、敵対的画像生成装置2000によって実行される処理の例を示すフローチャートである。取得部2020は、第1顔画像10と第2顔画像20とを取得する(S102)。生成部2040は、敵対的パッチを初期化する(S104)。生成部2040は、第1顔画像10に対して敵対的パッチを加えることで、敵対的画像を生成する(S106)。
図6は、敵対的画像生成装置2000によって実行される処理の例を示すフローチャートである。取得部2020は、第1顔画像10と第2顔画像20とを取得する(S102)。生成部2040は、敵対的パッチを初期化する(S104)。生成部2040は、第1顔画像10に対して敵対的パッチを加えることで、敵対的画像を生成する(S106)。
【0042】
ステップS108からS114は、所定の終了条件が満たされるまで、敵対的画像30内の敵対的パッチを繰り返し更新する処理のシーケンスである、ループ処理を構成する。所定の終了条件が満たされているか否かは、ループ処理の終端(すなわち、S114)で判定される。
【0043】
生成部2040は、敵対的画像30と第2顔画像20について、類似損失を算出する(S108)。生成部2040は、敵対的パッチについてスムーズ損失を算出する(S110)。生成部2040は、類似損失とスムーズ損失とが含まれる総合損失に基づいて、敵対的パッチを更新する(S112)。
【0044】
生成部2040は、所定の終了条件が満たされているか否かを判定する(S112)。終了条件が満たされている場合(S114:YES)、処理はS116へ遷移する。一方、終了条件が満たされていない場合(S114:NO)、処理はS108へ遷移し、ループ処理が再度実行される。
【0045】
ループ処理が終了した後、敵対的画像生成装置2000は、ループ処理において繰り返し更新された敵対的画像30が出力される(S116)。
【0046】
<第1顔画像及び第2顔画像の取得:S102>
取得部2020は、第1顔画像10と第2顔画像20とを取得する(S102)。取得部2020がこれらの画像を取得する方法は様々である。例えば、第1顔画像10と第2顔画像20とは、敵対的画像生成装置2000によって取得可能な態様で、予め記憶部に格納されている。この場合、取得部2020は、第1顔画像10と第2顔画像20とをこの記憶部から取得する。その他にも例えば、第1顔画像10と第2顔画像20とは、敵対的画像生成装置2000のユーザによって敵対的画像生成装置2000へ入力される。この場合、取得部2020は、ユーザによって入力された第1顔画像10と第2顔画像20とを取得する。その他にも例えば、取得部2020は、カメラやスキャナなどの他の装置から送信された第1顔画像10と第2顔画像20とを受信する。
取得部2020は、第1顔画像10と第2顔画像20とを取得する(S102)。取得部2020がこれらの画像を取得する方法は様々である。例えば、第1顔画像10と第2顔画像20とは、敵対的画像生成装置2000によって取得可能な態様で、予め記憶部に格納されている。この場合、取得部2020は、第1顔画像10と第2顔画像20とをこの記憶部から取得する。その他にも例えば、第1顔画像10と第2顔画像20とは、敵対的画像生成装置2000のユーザによって敵対的画像生成装置2000へ入力される。この場合、取得部2020は、ユーザによって入力された第1顔画像10と第2顔画像20とを取得する。その他にも例えば、取得部2020は、カメラやスキャナなどの他の装置から送信された第1顔画像10と第2顔画像20とを受信する。
【0047】
<敵対的パッチの初期化:S104>
生成部2040は敵対的パッチを初期化する(S104)。そのために、生成部2040は、敵対的パッチを定義する情報を取得する。以下、敵対的パッチを定義する情報は、「パッチ情報」と呼ばれる。生成部2040は、取得部2020が第1顔画像10及び第2顔画像20を取得する方法と同様の方法で、パッチ情報を取得できる。例えばパッチ情報は、敵対的画像生成装置2000から取得可能な態様で、予め記憶部に格納されている。この場合、生成部2040は、記憶部からパッチ情報を取得する。
生成部2040は敵対的パッチを初期化する(S104)。そのために、生成部2040は、敵対的パッチを定義する情報を取得する。以下、敵対的パッチを定義する情報は、「パッチ情報」と呼ばれる。生成部2040は、取得部2020が第1顔画像10及び第2顔画像20を取得する方法と同様の方法で、パッチ情報を取得できる。例えばパッチ情報は、敵対的画像生成装置2000から取得可能な態様で、予め記憶部に格納されている。この場合、生成部2040は、記憶部からパッチ情報を取得する。
【0048】
敵対的パッチは、その形状とサイズで定義されうる。そのため、パッチ情報は、これら2つの情報を示しうる。例えば、パッチ情報は、敵対的パッチの形状とサイズを示す、敵対的パッチのテンプレート画像を示しうる。形状に関しては、前述したように、敵対的パッチは眼鏡などの装着可能な物を示しうる。
【0049】
サイズに関し、生成部2040は、第1顔画像10に合わせて調整しうる。具体的には、生成部2040は、敵対的パッチによって表される物が第1顔画像10に撮像されている第1人物の顔に合うように、敵対的パッチのサイズを調整しうる。
【0050】
敵対的パッチが眼鏡を表すとする。この場合、例えば生成部2040は、敵対的パッチによって表される眼鏡の幅が、第1顔画像10に撮像されている第1人物の顔の幅と十分に一致するように、敵対的パッチのサイズを調整する。
【0051】
生成部2040は、敵対的パッチの各ピクセルの値を初期化する。例えば生成部2040は、各ピクセルの値をランダムに初期化する。より具体的には、事前に確率分布が用意されており、生成部2040は、敵対的パッチの各ピクセルについて、そのピクセルの値として、確率分布からランダムに値をサンプルする。以下、敵対的パッチの初期化に利用される確率分布は、「第1分布」と呼ばれる。
【0052】
ここで、敵対的パッチの各ピクセルは R 値、G 値、及び B 値を持つため、生成部2040は、敵対的パッチの各ピクセルについて R 値、G 値、及び B 値を得るために第1分布を利用する。例えば、敵対的パッチの各ピクセルについて、生成部2040は、第1分布から値を3回サンプルして、そのピクセルの R 値、G 値、及び B 値を初期化する。
【0053】
その他にも例えば、R 値、G 値、及び B 値のそれぞれのために、3つの異なる第1分布が用意されてもよい。この場合、敵対的パッチの各ピクセルについて、生成部2040は、R に対応する第1分布から値をサンプルしてピクセルの R 値を初期化し、G に対応する第1分布から値をサンプルしてピクセルの G 値を初期化し、B に対応する第1分布から値をサンプルしてピクセルの B 値を初期化する。
【0054】
その他にも例えば、第1分布は、3次元確率分布として構成されてもよい。この場合、敵対的パッチの各ピクセルについて、生成部2040は、第1分布から、R 値、G 値、及び B 値のセットを表す3次元ベクトルをランダムにサンプルすることで、そのピクセルの R 値、G 値、及び B 値を初期化する。
【0055】
第1分布として利用可能な確率分布には、様々な種類がある。例えば第1分布は、3次元正規分布として定義される。
【0056】
<敵対的画像30の姿勢:S106>
生成部2040は、第1顔画像10に対して敵対的パッチを加えることで敵対的画像30を生成する(S106)。第1顔画像10の対応するピクセルに対して敵対的パッチの各ピクセルを加えることにより、敵対的パッチが第1顔画像10に加えられる。第1顔画像10の対応するピクセルに対して敵対的パッチの各ピクセルを加えることは、「第1顔画像10の各ピクセルを、敵対的パッチの対応するピクセルで置き換える」ということや、「敵対的パッチの各ピクセルのピクセル値を、第1顔画像10の対応するピクセルの値に足す」ということを意味しうる。
生成部2040は、第1顔画像10に対して敵対的パッチを加えることで敵対的画像30を生成する(S106)。第1顔画像10の対応するピクセルに対して敵対的パッチの各ピクセルを加えることにより、敵対的パッチが第1顔画像10に加えられる。第1顔画像10の対応するピクセルに対して敵対的パッチの各ピクセルを加えることは、「第1顔画像10の各ピクセルを、敵対的パッチの対応するピクセルで置き換える」ということや、「敵対的パッチの各ピクセルのピクセル値を、第1顔画像10の対応するピクセルの値に足す」ということを意味しうる。
【0057】
第1顔画像10において敵対的パッチが加えられる位置(言い換えれば、第1顔画像10と敵対的パッチにおけるピクセルの対応関係)は、予め定義されてもよいし、生成部2040によって調整されてもよい。後者の場合、例えば生成部2040は、敵対的パッチによって表される物が第1顔画像10に撮像されている第1人物の顔に合うように、その位置を決定しうる。敵対的パッチが眼鏡を表すとする。この場合、例えば生成部2040は、眼鏡の各レンズ部分が、第1顔画像10に撮像されている第1人物の対応する目と重なるように、その位置を決定する。
【0058】
<敵対的パッチの更新の繰り返し:S108からS114>
生成部2040は、敵対的画像30内の敵対的パッチを繰り返し更新する。更新のゴールは、1)なりすましの成功と、2)敵対的パッチのスムーズ化を含む。前述したゴールを達成するために、生成部2040は、少なくとも類似損失とスムーズ損失とが含まれる総合損失を算出し、総合損失に基づいて敵対的パッチを更新する。類似ロスは、敵対的画像30の特徴量と第2顔画像20の特徴量との差異の程度を表す。そのため、類似ロスは、第1のゴールを達成するために利用される。一方、スムーズ損失は、敵対的パッチのスムーズさの程度を表す。そのため、スムーズロスは第2のゴールを達成するために利用される。
生成部2040は、敵対的画像30内の敵対的パッチを繰り返し更新する。更新のゴールは、1)なりすましの成功と、2)敵対的パッチのスムーズ化を含む。前述したゴールを達成するために、生成部2040は、少なくとも類似損失とスムーズ損失とが含まれる総合損失を算出し、総合損失に基づいて敵対的パッチを更新する。類似ロスは、敵対的画像30の特徴量と第2顔画像20の特徴量との差異の程度を表す。そのため、類似ロスは、第1のゴールを達成するために利用される。一方、スムーズ損失は、敵対的パッチのスムーズさの程度を表す。そのため、スムーズロスは第2のゴールを達成するために利用される。
【0059】
これら2つの損失は、総合損失に統合される。例えば総合損失は、類似損失とスムーズ損失との重み付き和で定義される。生成部2040は、総合損失が減少するように敵対的パッチを更新する。敵対的パッチの更新後、更新後の敵対的パッチを第1顔画像10に加えることで、敵対的画像30が新たに生成されうる。
【0060】
ここで、画像について算出された損失を減少させるという目的で画像を更新する様々な既知の手法が存在する。そのため、生成部2040は、これら既知の手法の1つを利用することで、総合損失に基づいて、敵対的画像30に含まれる敵対的パッチを更新しうる。
【0061】
以下、類似損失、スムーズ損失、及び総合損失について、詳細に記載される。
【0062】
<<類似損失>>
類似損失は、敵対的画像30の特徴量と第2顔画像20の特徴量との差異の程度を表す損失である。類似損失は、敵対的画像30の特徴量と第2顔画像20の特徴量とを所定の損失関数(以下、類似損失関数)に適用することで算出される。
類似損失は、敵対的画像30の特徴量と第2顔画像20の特徴量との差異の程度を表す損失である。類似損失は、敵対的画像30の特徴量と第2顔画像20の特徴量とを所定の損失関数(以下、類似損失関数)に適用することで算出される。
【0063】
2つの特徴量の間の差異の程度を算出できる種々の既知の損失関数が存在し、そのため、生成部2040によって利用される類似損失関数として、これらの損失関数のうちの1つを採用できる。具体的には、コサイン類似度や Lp ノルム などを用いて、類似損失関数を定義しうる。例えば類似損失関数は、コサイン類似度を利用して、以下のように定義しうる。
A と B は、類似損失が算出される画像を表す。L_sim(A,B) は、画像 A と画像 B について類似損失を算出する類似損失関数を表す。f(I) は、画像 I から特徴量を抽出する関数を表す。cos(U,V) は、特徴量 U と特徴量 V との間のコサイン類似度を表す。a_i は、特徴量 f(A) の i 番目の要素を表す。b_i は、特徴量 f(B) の i 番目の要素を表す。
【数1】
【0064】
類似損失を算出するためには、敵対的画像30と第2顔画像20のそれぞれから特徴量を抽出する必要がある。生成部2040は、入力された画像データから特徴量を抽出するように構成された特徴抽出器を利用しうる。特徴抽出器は、ニューラルネットワークなどといった機械学習ベースのモデルを用いて構成されうる。例えば、CNN(Convolutional neural network:畳込みニューラルネットワーク)の特徴抽出層を、特徴抽出器として利用できる。ここで、式(1)において、特徴抽出器の機能は、f() で表されている。
【0065】
対象分類器の特徴抽出器の構造が予め分かっているとする。この場合、生成部2040において、対象分類器の特徴抽出器の構造と同一又は十分に類似した構造を持つ特徴抽出器を利用することが好適である。このような状況における敵対的攻撃は、「ホワイトボックス攻撃」と呼ばれうる。
【0066】
しかしながら、対象分類器の特徴抽出器の構造が予め分かることは、必ずしも要求されない。分類器の特徴抽出器の構造が不明であるとする。この場合、例えば生成部2040の特徴抽出器として、対象分類器の特徴抽出器以外の任意の特徴抽出器を採用しうる。その他にも例えば、敵対的画像生成装置2000のユーザが生成部2040の特徴抽出器の構造を自由に設定しうる。このことは、特定の対象分類器が無い(任意の分類器に対して敵対的攻撃が行われうる)場合においても同様である。
【0067】
さらに、対象分類器の特徴抽出器の構造が不明である場合又は特定の対象分類器が無い場合、複数の特徴抽出器を利用することで、類似損失の精度を高めることができる。具体的には、生成部2040は、敵対的画像30の特徴量と第2顔画像20の特徴量のペアを、特徴抽出器ごとに抽出することができ、これにより、敵対的画像30の特徴量と第2顔画像20の特徴量のペアを複数得る。その後、生成部2040は、特徴量の複数のペアそれぞれについて類似損失を算出し、それらを1つの値(以下、総合類似損失と呼ばれる)に統合することができる。この場合、総合類似損失が総合損失に適用される。
【0068】
総合類似損失は、以下のように算出されうる。
L_tsim(A,B) は、総合損失関数と呼ばれる損失関数であり、画像 A と画像 B について、総合類似損失を算出する。j は、特徴抽出器の識別子を表す。K は、総合類似損失の算出に利用される特徴抽出器の数を表す。f_j(I) は、j 番目の特徴抽出器によって抽出された画像 I の特徴量を表す。
【数2】
【0069】
<<スムーズ損失>>
スムーズ損失に関し、非特許文献1は、総合バリエーションと呼ばれる、摂動(敵対的パッチ)全体についてのスムーズさを算出する損失を開示する。総合バリエーションは以下のように定義される。
r は摂動(敵対的パッチ)を表す。TV(r) は、摂動 r について算出される総合バリエーションを表す。r_i,j は、摂動 r の座標 (i,j) にあるピクセルを表す。
スムーズ損失に関し、非特許文献1は、総合バリエーションと呼ばれる、摂動(敵対的パッチ)全体についてのスムーズさを算出する損失を開示する。総合バリエーションは以下のように定義される。
【数3】
【0070】
非特許文献1に開示される総合バリエーションとは異なり、本実施形態で採用されるスムーズ損失は、輝度閾値より大きい輝度を持つ、敵対的パッチの隣接ピクセルのみについてアクティベートされる。この例におけるスムーズ損失の一例は、以下の様に定義される。
P は、敵対的パッチを表す。L_smooth(P) は、敵対的パッチ P について算出されるスムーズ損失を表す。p_(i,j) は、敵対的パッチ P の座標 (i,j) にあるピクセルの輝度を表す。M は、隣接するピクセルの各セットについて、輝度に基づいてスムーズ損失のアクティベーションを制御するために利用されるマスクである。T_p は、輝度閾値である。
【数4】
【0071】
式(4)では、マスク M が存在するため、2つの隣接するピクセル間の輝度の差が、それら2つの隣接するピクセルの双方が輝度閾値より大きい輝度を持つ場合に限って、L_smooth に反映される。これは、輝度閾値より大きい輝度を持つ、敵対的パッチの2つの隣接するピクセルについてのみ、スムーズ損失がアクティベートされることを意味する。
【0072】
スムーズ損失の選択的なアクティベーションは、敵対的パッチの更新の繰り返しの早い段階においては類似損失が総合損失内で支配的となり、スムーズ損失は後から徐々に影響を持つようになるという効果をもたらす。以下、この効果は「遅延スムーズ化」と呼ばれる。
【0073】
具体的には、更新の繰り返しの早い段階において、敵対的パッチは、輝度が T_p 以下である多くのピクセルを含むと予測される。そのため、早い段階ではスムーズ損失が小さくなり、これにより、総合損失において類似損失が支配的になるようにしうる。総合損失において類似損失が支配的であると、スムーズ損失よりも類似損失の方が、敵対的損失の更新において大きな影響を持つ。そのため、早い段階では、主に類似損失において敵対的パッチが更新され、これにより、分類器をだます能力という観点から、敵対的パッチについて、実現可能な解空間をより大きくできる。
【0074】
敵対的パッチの何度かの更新の後では、輝度閾値より大きい輝度を持つピクセルの数が増加しうるため、総合損失においてスムーズ損失の影響が大きくなる。この状況において、敵対的パッチは、スムーズ損失を十分に考慮して更新される。そのため、最終的に敵対的パッチは、類似損失とスムーズ損失の双方に基づいて最適化される。
【0075】
遅延スムーズ化によってもたらされる効果を確実に得るために、敵対的パッチは、全て又はほとんど全てのピクセルの輝度が輝度閾値よりも小さいように初期化されることが好ましい。そのため、例えば、敵対的パッチのピクセル値がサンプルされる第1分布は、輝度閾値以下の輝度のピクセル値には高い確率が与えられ、かつ、輝度閾値より大きい輝度のピクセル値には低い確率(例えば0)が与えられるように定義される。
【0076】
例えば、敵対的画像生成装置2000のユーザは、「第1確率閾値」と呼ばれる確率の閾値を決定し、輝度閾値より大きい輝度のピクセル値には第1確率閾値以下の確率が与えられるように、第1分布が構成される。第1輝度閾値が0に設定される場合、第1分布からサンプルされる全てのピクセルが、輝度閾値以下の輝度を持つ。
【0077】
生成部2040が利用できるスムーズ損失は、式(4)で表されるものに限定されない。スムーズ損失の他の例は以下の通りである。
s と z は、1以上の任意の実数である。
【数5】
【数6】
【数7】
【0078】
<<総合損失>>
生成部2040は、類似損失とスムーズ損失とに基づいて、総合損失を算出する。2種類以上の損失を1つに統合する種々の既存の手法があるため、総合損失の定義には、そのような手法の1つを利用できる。例えば前述したように、総合損失は、類似損失とスムーズ損失の重み付き和として以下のように定義される。
X1 は第1顔画像10を表す。P は敵対的パッチを洗わす。X1+P は敵対的画像30を表す。X2 は第2顔画像20を表す。L_total((X1+P),X2) は、敵対的画像30と第2顔画像20とについて算出される総合損失を表す。α はスムーズ損失に与えられる重みを表す。β は類似損失に与えられる重みを表す。
生成部2040は、類似損失とスムーズ損失とに基づいて、総合損失を算出する。2種類以上の損失を1つに統合する種々の既存の手法があるため、総合損失の定義には、そのような手法の1つを利用できる。例えば前述したように、総合損失は、類似損失とスムーズ損失の重み付き和として以下のように定義される。
【数8】
【0079】
ここで、総合類似損失が利用される場合、式(8)において、L_sim が L_tsim に置き換えられる。
【0080】
<更新の繰り返しの終了条件:S114>
前述したように、生成部2040は、所定の終了条件が満たされるまで、敵対的パッチの更新を繰り返す(S114)。終了条件として採用できる条件は様々である。例えば終了条件は、「敵対的パッチの更新が所定の回数実行されること」に設定される。所定の回数が N であるとする。この場合、生成部2040が敵対的パッチの更新を N 回実行した時に、終了条件が満たされる。
前述したように、生成部2040は、所定の終了条件が満たされるまで、敵対的パッチの更新を繰り返す(S114)。終了条件として採用できる条件は様々である。例えば終了条件は、「敵対的パッチの更新が所定の回数実行されること」に設定される。所定の回数が N であるとする。この場合、生成部2040が敵対的パッチの更新を N 回実行した時に、終了条件が満たされる。
【0081】
その他にも例えば、終了条件は、「総合損失が閾値より小さいこと」に設定される。閾値が Th であるとする。この場合、生成部2040によって算出された総合損失が Th より小さい場合に、所定条件が満たされる。
【0082】
<敵対的パッチの出力:S116>
敵対的画像生成装置2000は敵対的画像30を出力する(S116)。敵対的画像30を出力する方法は様々である。例えば敵対的画像生成装置2000は、敵対的画像30を記憶部に格納する。その他にも例えば、敵対的画像生成装置2000は、敵対的画像30がディスプレイ装置によって表示されるように、敵対的画像30をディスプレイ装置に出力する。その他にも例えば、敵対的画像生成装置2000は、敵対的画像30の物理的複製を生成するために、プリンタへ敵対的画像30を出力する。
敵対的画像生成装置2000は敵対的画像30を出力する(S116)。敵対的画像30を出力する方法は様々である。例えば敵対的画像生成装置2000は、敵対的画像30を記憶部に格納する。その他にも例えば、敵対的画像生成装置2000は、敵対的画像30がディスプレイ装置によって表示されるように、敵対的画像30をディスプレイ装置に出力する。その他にも例えば、敵対的画像生成装置2000は、敵対的画像30の物理的複製を生成するために、プリンタへ敵対的画像30を出力する。
【0083】
前述したように、敵対的画像30は、顔認証システム100などといった対象分類器のリスク評価に利用することができる(図4及び5参照)。この場合、敵対的画像30の物理的複製は、プリンタを用いて紙やカードなどの物理媒体へ敵対的画像30をプリントすることによって生成される。そして、対象分類器は、敵対的画像30のプリントされた画像を用いて評価される。
【0084】
具体的には、例えば、敵対的画像30のプリントされた画像がカメラによって撮像され(例えば、スキャナによってスキャンされ)、その撮像画像が対象分類器に渡される。対象分類器は、第2人物の回画像(例えば第2顔画像20)をさらに取得する。その後、撮像画像内の顔が第2人物の顔とマッチすると判定するかどうか、対象分類器が評価される(実際には、撮像画像内の顔は、第2人物の顔ではなく第1人物の顔である)。ここで、対象分類器に入力された画像について、データクリアリングやデータアライメントなどといった適切な前処理を行うことが好適である。
【0085】
対象分類器が、撮像画像内の顔が第2人物の顔とマッチすると判定した場合、敵対的画像30は、対象分類器をだますことに成功する。対象分類器が敵対的攻撃に対して脆弱であることが示されたため、対象分類器は、敵対的攻撃に耐えられるように改変されるべきである。
【0086】
実施形態2
<概要>
図7は、実施形態2の敵対的画像生成装置2000の概要を示す。ここで、図7に示される概要は、敵対的画像生成装置2000の理解を容易にすることを目的とした、敵対的画像生成装置2000の動作例を示しており、敵対的画像生成装置2000が可能な動作の範囲を狭めたり限定したりするものではない。
<概要>
図7は、実施形態2の敵対的画像生成装置2000の概要を示す。ここで、図7に示される概要は、敵対的画像生成装置2000の理解を容易にすることを目的とした、敵対的画像生成装置2000の動作例を示しており、敵対的画像生成装置2000が可能な動作の範囲を狭めたり限定したりするものではない。
【0087】
実施形態2の敵対的画像生成装置2000は、第1パッチ40と第2パッチ50という少なくとも2つの異なる種類のパッチの組み合わせとして敵対的パッチが生成される点において、実施形態1の敵対的画像生成装置2000とは異なる。以下、第1パッチ40と第2パッチ50の組み合わせとして生成される敵対的パッチを用いて実行される敵対的攻撃は、ノイズコンボ攻撃と呼ばれる。
【0088】
第1パッチ40は、実施形態1に記載されている敵対的パッチと同じである。具体的には、第1パッチ40は、眼鏡などのような装着可能な物の形状を持つ。一方、第1パッチ40とは異なり、第2パッチ50は、そのような物を表さず、分散したノイズで構成される。例えば図7において、第1パッチ40は眼鏡を表す一方で、第2パッチ50は、第1顔画像10と同じサイズの画像領域に分散されているノイズで構成される。ここで、第2パッチ50のサイズは、第1顔画像10のサイズと同じである必要はない。
【0089】
第1パッチ40と第2パッチ50は、そのピクセルの輝度の初期値についても互いに異なる。具体的には、第1パッチ40は、第1パッチ40のピクセルの輝度が、第2パッチ50のピクセルの輝度よりも大きくなるように初期化される。
【0090】
この条件を満たすために、例えば、2つの異なる分布(第1分布と第2分布)が予め用意される。第1分布は、実施形態1の敵対的パッチを初期化するために、実施形態1において導入された確率分布である。この実施形態において、第1分布は、第1分布からピクセル値をサンプルして第1パッチ40を初期化するために利用される。一方、第2分布は、第2分布からピクセル値をサンプルして第2パッチ50を初期化するために利用される。
【0091】
第1分布と第2分布は、それらからサンプル可能なピクセルの輝度の範囲が互いに異なる。例えば、第1分布からサンプルできるピクセルの輝度の範囲の下限値は、第2分布からサンプルできるピクセルの輝度の範囲の上限値よりも大きく設定される。第1分布からサンプルできるピクセルが [L1,U1] という輝度の範囲を持つ一方で、第2分布からサンプルできるピクセルが [L2,U2] という輝度の範囲を持つとする。この場合、L1 が U2 よりも大きく設定される。
【0092】
実施形態2の生成部2040は、第1パッチ40と第2パッチ50を足し合わせて敵対的パッチ60を生成する。敵対的画像30は、敵対的パッチ60を第1顔画像10に加えることで生成される。ここで、図示の都合上、図7において、第2パッチ50は容易に視認できるように描かれている。しかしながら、実際には、敵対的画像30内の第2パッチ50は視認しにくいことが好適である(すなわち、第2パッチ50のピクセルの輝度は、第1顔画像10のピクセルの輝度より十分に小さい)。
【0093】
実施形態2の生成部2040は、実施形態1の生成部2040と同様の態様で、敵対的パッチ60を更新する。具体的には、生成部2040は、敵対的パッチ60についてスムーズ損失を算出し、かつ、敵対的画像30と第2顔画像20とについて類似損失を算出し、総合損失に基づいて敵対的パッチ60(すなわち、第1パッチ40と第2パッチ50)を更新する。
【0094】
ここで、敵対的画像生成装置2000に採用されるスムーズ損失には、遅延スムーズ化に加え、第1パッチ40と第2パッチ50との境界を適切に保つという効果もある。前述した通り、第1パッチ40のピクセルの輝度は、第2パッチ50のピクセルの輝度よりも大きい。そのため、敵対的パッチの初期化直後では、ピクセル値に大きさ差がありうる。しかしながら、非特許文献1に開示されている総合バリエーションが利用される場合、2つのパッチの境界がスムーズ化されてしまい、ノイズコンボ攻撃の効果が小さくなってしまう。
【0095】
この点を考慮し、実施形態1で例示されたスムーズ損失は、隣接する2つのピクセルの双方が輝度閾値より大きい輝度を持つ場合に限ってアクティベートされる。2つのパッチの境界にある、隣接する2つのピクセルの内の1つの輝度は、輝度閾値よりも小さくなりうるため、境界ではスムーズ損失がアクティベートされないことがある。そのため、敵対的画像生成装置2000に採用されるスムーズ損失は、2つのパッチの境界を保つことができる点で効果があり、結果として、後述するノイズコンボ攻撃の効果を享受することができる。
【0096】
図8は、境界においてスムーズ損失がどのように機能するかを示す。全てのピクセルについてスムーズ損失がアクティベートされる場合、境界もスムーズ化される(図8の上段参照)。一方、隣接する2つのピクセルの双方が閾値より大きい輝度を持つ場合に限ってスムーズ損失がアクティベートされる場合、アクティベーションを制御するマスク M が境界の内側の領域についてのみ1を示すため、境界がスムーズ化されない(図8の下段参照)。
【0097】
<作用効果の例>
実施形態2の敵対的画像生成装置2000は、第1パッチ40と第2パッチ50とが敵対的パッチ60に統合されるノイズコンボ攻撃を実行できる。ノイズコンボ攻撃は、少なくとも、以下の効果を達成できるという点で効果がある。
実施形態2の敵対的画像生成装置2000は、第1パッチ40と第2パッチ50とが敵対的パッチ60に統合されるノイズコンボ攻撃を実行できる。ノイズコンボ攻撃は、少なくとも、以下の効果を達成できるという点で効果がある。
【0098】
第一に、実施形態1の敵対的パッチと比較して、敵対的パッチの領域を増やすことができるため、敵対的パッチの更新の繰り返しの収束率が非常に高くなる。その結果、例えば敵対的画像生成装置2000は、対象分類器のリスク評価に要する時間を短くできる。
【0099】
第二に、収束率が速くなることは過学習の問題を減らし、結果として、敵対的攻撃の成功率が向上する。言い換えれば、顔認証システム100のような対象分類器をだませる敵対的画像30を生成できる蓋然性が高くなる。そのため、敵対的画像生成装置2000により、対象分類器のリスク評価をより効果的に行える。
【0100】
第三に、敵対的パッチの領域が広いことは、敵対的攻撃の成功率の向上にもつながり、対象分類器のリスク評価をより効率的に行える。
【0101】
最後に、ノイズコンボ攻撃では、敵対的パッチ60に含まれる第1パッチ40を十分にスムーズ化できるため、生成されたデジタルの攻撃について、物理的なものに移行可能な性質を非常に高くできる。
【0102】
<機能構成の例>
実施形態2の敵対的画像生成装置2000は、実施形態1の敵対的画像生成装置2000と同じ機能構成を持ちうる。そのため、その機能構成は図2で表されうる。
実施形態2の敵対的画像生成装置2000は、実施形態1の敵対的画像生成装置2000と同じ機能構成を持ちうる。そのため、その機能構成は図2で表されうる。
【0103】
<ハードウエア構成の例>
実施形態2の敵対的画像生成装置2000は、実施形態1の敵対的画像生成装置2000と同じハードウエア構成を持ちうる。そのため、そのハードウエア構成は、図3によって表されうる。ただし、ストレージデバイス1080に格納されるプログラムは、実施形態2の敵対的画像生成装置2000の機能構成を実現しうる。
実施形態2の敵対的画像生成装置2000は、実施形態1の敵対的画像生成装置2000と同じハードウエア構成を持ちうる。そのため、そのハードウエア構成は、図3によって表されうる。ただし、ストレージデバイス1080に格納されるプログラムは、実施形態2の敵対的画像生成装置2000の機能構成を実現しうる。
【0104】
<処理の流れ>
実施形態2の敵対的画像生成装置2000によって実行される処理の流れは、実施形態1の敵対的画像生成装置2000によって実行される処理の流れと同じであるため、図5で表されうる。ここで、敵対的パッチ60の初期化は、第1パッチ40の初期化と第2パッチ50の初期化を含む。さらに、敵対的パッチ60の更新は、第2パッチ50の更新と第2パッチ50の更新を含む。
実施形態2の敵対的画像生成装置2000によって実行される処理の流れは、実施形態1の敵対的画像生成装置2000によって実行される処理の流れと同じであるため、図5で表されうる。ここで、敵対的パッチ60の初期化は、第1パッチ40の初期化と第2パッチ50の初期化を含む。さらに、敵対的パッチ60の更新は、第2パッチ50の更新と第2パッチ50の更新を含む。
【0105】
実施の形態を参照して本願発明を説明したが、本願開示は上記実施形態に限定されるものではない。本願開示の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0106】
本開示で記載されているプログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
【0107】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
<付記>
(付記1)
少なくとも1つのプロセッサと、
命令が格納されている記憶要素とを有し、
前記少なくとも1つのプロセッサは、前記命令を実行することで、
第1顔画像と第2顔画像とを取得し、前記第1顔画像は第1人物の顔が撮像されている画像データであり、前記第2顔画像は第2人物の顔が撮像されている画像データであり、
敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、
前記敵対的画像の更新を繰り返し実行し、前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新する、ように構成される敵対的画像生成装置。
(付記2)
前記少なくとも1つのプロセッサは、さらに、
前記敵対的パッチの各ピクセルについて、第1確率分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1確率分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える、ことを実行するように構成される、付記1に記載の敵対的画像生成装置。
(付記3)
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、前記第2パッチは装着可能な物を表さない画像データであり、
前記少なくとも1つのプロセッサは、さらに、
前記第1パッチの各ピクセルについて前記第1確率分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2確率分布からピクセル値をサンプルすることで前記第2パッチを初期化し、前記第2確率分布は前記第1確率分布とは異なる、ことを実行するように構成される、付記2に記載の敵対的画像生成装置。
(付記4)
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、付記3に記載の敵対的画像生成装置。
(付記5)
前記少なくとも1つのプロセッサは、さらに、
前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は十分に類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2画像から特徴量を抽出することを実行するように構成される、付記1から4いずれか一項に記載の敵対的画像生成装置。
(付記6)
第1顔画像と第2顔画像とを取得し、前記第1顔画像は第1人物の顔が撮像されている画像データであり、前記第2顔画像は第2人物の顔が撮像されている画像データであり、
敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、
前記敵対的画像の更新を繰り返し実行することを含み、前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することを含む、コンピュータによって実行される制御方法。
(付記7)
前記敵対的パッチの各ピクセルについて、第1確率分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1確率分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える、ことをさらに含む、付記6に記載の制御方法。
(付記8)
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、前記第2パッチは装着可能な物を表さない画像データであり、
前記制御方法は、
前記第1パッチの各ピクセルについて前記第1確率分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2確率分布からピクセル値をサンプルすることで前記第2パッチを初期化し、前記第2確率分布は前記第1確率分布とは異なる、ことを実行するように構成される、ことをさらに含む、付記7に記載の制御方法。
(付記9)
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、付記8に記載の制御方法。
(付記10)
前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は十分に類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2画像から特徴量を抽出することをさらに含む、付記6から9いずれか一項に記載の制御方法。
(付記11)
第1顔画像と第2顔画像とを取得し、前記第1顔画像は第1人物の顔が撮像されている画像データであり、前記第2顔画像は第2人物の顔が撮像されている画像データであり、
敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、
前記敵対的画像の更新を繰り返し実行し、前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することを含む、ことをコンピュータに実行させるプログラムを格納する非一時的なコンピュータ可読媒体。
(付記12)
前記プログラムは、前記敵対的パッチの各ピクセルについて、第1確率分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1確率分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える、ことをさらに前記コンピュータに実行させる、付記11に記載の記憶媒体。
(付記13)
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、前記第2パッチは装着可能な物を表さない画像データであり、
前記プログラムは前記コンピュータに、
前記第1パッチの各ピクセルについて前記第1確率分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2確率分布からピクセル値をサンプルすることで前記第2パッチを初期化し、前記第2確率分布は前記第1確率分布とは異なる、ことを実行するように構成される、ことをさらに実行させる、付記12に記載の記憶媒体。
(付記14)
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、付記13に記載の記憶媒体。
(付記15)
前記プログラムは、前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は十分に類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2画像から特徴量を抽出することを前記コンピュータにさらに実行させる、付記11から14いずれか一項に記載の記憶媒体。
<付記>
(付記1)
少なくとも1つのプロセッサと、
命令が格納されている記憶要素とを有し、
前記少なくとも1つのプロセッサは、前記命令を実行することで、
第1顔画像と第2顔画像とを取得し、前記第1顔画像は第1人物の顔が撮像されている画像データであり、前記第2顔画像は第2人物の顔が撮像されている画像データであり、
敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、
前記敵対的画像の更新を繰り返し実行し、前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新する、ように構成される敵対的画像生成装置。
(付記2)
前記少なくとも1つのプロセッサは、さらに、
前記敵対的パッチの各ピクセルについて、第1確率分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1確率分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える、ことを実行するように構成される、付記1に記載の敵対的画像生成装置。
(付記3)
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、前記第2パッチは装着可能な物を表さない画像データであり、
前記少なくとも1つのプロセッサは、さらに、
前記第1パッチの各ピクセルについて前記第1確率分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2確率分布からピクセル値をサンプルすることで前記第2パッチを初期化し、前記第2確率分布は前記第1確率分布とは異なる、ことを実行するように構成される、付記2に記載の敵対的画像生成装置。
(付記4)
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、付記3に記載の敵対的画像生成装置。
(付記5)
前記少なくとも1つのプロセッサは、さらに、
前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は十分に類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2画像から特徴量を抽出することを実行するように構成される、付記1から4いずれか一項に記載の敵対的画像生成装置。
(付記6)
第1顔画像と第2顔画像とを取得し、前記第1顔画像は第1人物の顔が撮像されている画像データであり、前記第2顔画像は第2人物の顔が撮像されている画像データであり、
敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、
前記敵対的画像の更新を繰り返し実行することを含み、前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することを含む、コンピュータによって実行される制御方法。
(付記7)
前記敵対的パッチの各ピクセルについて、第1確率分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1確率分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える、ことをさらに含む、付記6に記載の制御方法。
(付記8)
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、前記第2パッチは装着可能な物を表さない画像データであり、
前記制御方法は、
前記第1パッチの各ピクセルについて前記第1確率分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2確率分布からピクセル値をサンプルすることで前記第2パッチを初期化し、前記第2確率分布は前記第1確率分布とは異なる、ことを実行するように構成される、ことをさらに含む、付記7に記載の制御方法。
(付記9)
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、付記8に記載の制御方法。
(付記10)
前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は十分に類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2画像から特徴量を抽出することをさらに含む、付記6から9いずれか一項に記載の制御方法。
(付記11)
第1顔画像と第2顔画像とを取得し、前記第1顔画像は第1人物の顔が撮像されている画像データであり、前記第2顔画像は第2人物の顔が撮像されている画像データであり、
敵対的パッチを前記第1画像に加えることで敵対的画像を生成し、前記敵対的画像は装着可能な物を表す画像データを含み、
前記敵対的画像の更新を繰り返し実行し、前記敵対的画像の更新は、
前記敵対的画像の特徴量と前記第2顔画像の特徴量との差異を表す類似損失を算出し、
前記敵対的パッチ内の隣接するピクセル間の差異が輝度閾値より大きい輝度を持つピクセルについて算出される、スムーズ損失を算出し、
前記類似損失と前記スムーズ損失とに基づいて前記敵対的パッチ内のピクセルを更新することを含む、ことをコンピュータに実行させるプログラムを格納する非一時的なコンピュータ可読媒体。
(付記12)
前記プログラムは、前記敵対的パッチの各ピクセルについて、第1確率分布からピクセル値をサンプルすることで前記敵対的パッチを初期化し、前記第1確率分布は、前記輝度閾値より大きい輝度のピクセル値に対して、第1確率閾値以上の確率を与える、ことをさらに前記コンピュータに実行させる、付記11に記載の記憶媒体。
(付記13)
前記敵対的画像は第1パッチと第2パッチを含み、前記第1パッチは装着可能な物を表す画像データであり、前記第2パッチは装着可能な物を表さない画像データであり、
前記プログラムは前記コンピュータに、
前記第1パッチの各ピクセルについて前記第1確率分布からピクセル値をサンプルすることで前記第1パッチを初期化し、
前記第2パッチの各ピクセルについて第2確率分布からピクセル値をサンプルすることで前記第2パッチを初期化し、前記第2確率分布は前記第1確率分布とは異なる、ことを実行するように構成される、ことをさらに実行させる、付記12に記載の記憶媒体。
(付記14)
前記第2パッチのピクセルの輝度は、前記第1パッチのピクセルの輝度よりも小さい、付記13に記載の記憶媒体。
(付記15)
前記プログラムは、前記敵対的画像を用いた敵対的攻撃に対するリスク評価の対象である分類器の特徴抽出器と同一又は十分に類似する構造を持つ特徴抽出器を用いて、前記敵対的画像と前記第2画像から特徴量を抽出することを前記コンピュータにさらに実行させる、付記11から14いずれか一項に記載の記憶媒体。
【符号の説明】
【0108】
10 第1顔画像
20 第2顔画像
30 敵対的画像
40 第1パッチ
50 第2パッチ
60 敵対的パッチ
100 顔認証システム
110 乗客
120 ゲート
130 カメラ
140 スキャナ
150 スキャン画像
160 撮像画像
1000 コンピュータ
1020 バス
1040 プロセッサ
1060 メモリ
1080 ストレージデバイス
1100 入出力インタフェース
1120 ネットワークインタフェース
2000 敵対的画像生成装置
2020 取得部
2040 生成部
20 第2顔画像
30 敵対的画像
40 第1パッチ
50 第2パッチ
60 敵対的パッチ
100 顔認証システム
110 乗客
120 ゲート
130 カメラ
140 スキャナ
150 スキャン画像
160 撮像画像
1000 コンピュータ
1020 バス
1040 プロセッサ
1060 メモリ
1080 ストレージデバイス
1100 入出力インタフェース
1120 ネットワークインタフェース
2000 敵対的画像生成装置
2020 取得部
2040 生成部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】