まさか! かざすだけで監視カメラが「人間」と認識しなくなる画像

まさか! かざすだけで監視カメラが「人間」と認識しなくなる画像

  • 現代ビジネス
  • 更新日:2019/05/14
No image

情報の時代といわれる現代では、セキュリティは非常に重要です。 では、AIを騙そうとした時、AIは自分で身を守ることができるのでしょうか? 先日発表された、防犯カメラなどに備えられた人物認識AIを騙す新技術が話題になっています。

持つだけで“人間”ではなくなるデジタル迷彩

ディープラーニングなどによる画像認識技術が発展していく一方で、あえてニューラルネットワークに誤分類をさせる技術“Adversarial attacks”も、近年高い注目を集めています。

No image

Demo of generating adversarial patches against YOLOv2 https://t.co/glsNwaSEaX
— hardmaru (@hardmaru)
2019年4月22日
from Twitter

“Adversarial attacks”とは、ニューラルネットワークモデルに意図的に誤作動を起こさせるための手法です。

精度の高い識別モデルであっても、入力画像を人間の目には映らない程度にわずかに変化させるだけで、モデルに誤分類させることが可能です。

ニューラルネットワークモデルは、テストデータを実際に適用してみることにより評価されます。当然ながら、そこで用いられるテストデータセットの中には、わざと間違った方向へモデルを導く、すなわちモデルを騙そうとするデータは入っていません。

この評価方法は、「モデルが外部から攻撃を受けないという条件であれば、大丈夫である」と仮定しています。

しかし、モデルを意図的に騙そうとするデータがあった場合でも、本当に大丈夫と言えるのでしょうか?

今回、ルーベン・カトリック大学の研究チームが発表した論文によれば、あえてAIの誤認識を導くための画像“パッチ”を、バーチャル上だけでなく、現物として作製(プリントアウト)できたということです。

つまり、このパッチを身につけていれば、監視カメラで撮られても記録に「映らなく」なります。

No image

パッチによる人物識別回避のイメージ図

拡大画像表示

40cm四方のプリントアウトをかざせばOK

これまでも、AIを妨害する試みは何度も行われてきました。

初期のAdversarial attacksは、入力画像のピクセル数をわずかに変化させることにより、分類モデルを騙す手法を取っていました。他にも、パッチを生成し、識別機を騙すための学習を行うモデルなどがあります。

これらの研究から、人物認識機能などを持つカメラなどの識別機能をごまかすことが理論上可能であることはわかっていましたが、従来の手法で識別機能を騙すには、道路標識のような指定された種類の物体である必要がありました。

一方、この手法では、防犯カメラなどのAIによる人物識別機能を騙し、“人間を認識できなくなるパッチ”を作成することをゴールとします。

今回の研究が凄いのは、バーチャル上だけではなく、現実世界でも40cm四方にパッチをプリントアウトし、これを持つだけで、隠れ蓑として人間識別機能から逃れることを実現しているところです。

複雑で何億通りもの身体的特徴を持つ“人間”を認識させなくする技術と、それをバーチャル上だけでなく現実において達成したことは、世界でも初めてです。

No image

実物のパネル(パッチ)を前に持つだけで「person」とはならない。つまり人物認識を逃れる

拡大画像表示

3つの指標を達成せよ

この妨害パッチ、どのようにして製作されたのでしょうか。

まず、YOLOv2(画像認識システム)を対象とした妨害システムを設計していきます。すでに、現実世界の物体によるAIシステムの妨害(adversarial attack)が可能であることはわかっています。過去の研究では、道路標識の画像に対してパッチを上乗せすることにより、AIによる画像認識を誤分類させることに成功しています。

そこで、本研究ではこの手法を人間に汎用化することを目標とします。

人間は道路標識とは異なり、非常に数多くの身体的特徴を持っています。ですから、統一的にそれらの認識を妨害できるシステムを作成することが、実現にあたっての課題だといえるでしょう。

人間を隠す妨害パッチを製作するにあたっては、大きく3つの指標が必要になってきます。

1 人間の体を隠す妨害パッチの色合いの再現性

2 色の散らばり具合を調整することによるノイズの抑制

3 識別機によって発見される割合

1については、バーチャル上で生成された色と印刷された色には誤差や再現性の限界が生じることがあります。そのため、ピクセル数と印刷時の色合いを比較し、最小化の計算を行います。

2については、色合いの散らばりが大きくなればなるほど印刷時に誤差が発生しやすくなるため、隣り合うピクセルのRGB数の分散の最小化を計算します。

最も重要なのが3です。ここでは、「教師なしAI」を用いた最適化学習により、“識別率ができるだけ低くなるような”パッチの作製を試みます。

こちらに転載した、3のシステムの模式図をご参照ください。

No image

拡大画像表示

モデルの概要を模式図の左下から説明します。まずデータセットをパッチ最適化に入力し、これを実際に識別機にかけることでその識別確率を計算し、それを最小化するため誤差逆伝播法により最適化を行います。

この最適化の手順を膨大なデータセットに対して繰り返すことにより、識別機から逃れることができる可能性が最大となるパッチを生成することができます。

実際に映ってみたら…

生成したパッチをいろいろなポーズで持ち、YOLOv2を搭載した人物認識機能カメラに映しました。

No image

拡大画像表示

その結果、写真からもわかるように、8枚中6枚は、印刷された妨害パッチの後ろにいる人が「person」のピンクの枠から外れています。つまり、妨害パッチと一緒に映っている人が、カメラから“人間”だと認識されなかったのです。

研究グループはその他にも、さまざまな写真に対して同様の実験を行いました。

ランダムな画像に対して識別確率を検証した結果、クリーン(無加工)の状態では100%を誇っていたYOLOv2の識別率を、パッチによる妨害で26.46%にまで下げることに成功しました。

監視カメラから逃れるTシャツも作れる!

この種の妨害に対しては、実験と同じタイプの識別機が使われたセキュリティシステムがとても脆弱である可能性があります。

No image

Photo by Pixabay

論文の著者は、この技術と洋服を組み合わせることにより、「機械には識別できないTシャツを作り出すことも可能である」と述べています。将来的には、この技術をより強力なものにしたいと言っており、他のニューラルネットワークへの移行も可能にしたいそう。

ライター個人の意見としては、本技術によってセキリュティの弱点が発覚することにより、さらなるAIシステムの強化が研究開発されることを期待しています。

【参考論文】「Fooling automated surveillance cameras: adversarial patches to attack person detection」
(本記事のオリジナルサイトはこちら)

No image

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
IIJ、HUAWEI P30やMediaPad M5 Liteをラインナップに追加
Huawei、Androidの利用停止に対するコメントを発表
「Firefox 67」正式版リリース、マイニングスクリプトのブロックや追跡防止機能の強化、ページロードの高速化など
重いパソコンをキビキビにする基本チューニング
ラブホ盗撮事件が多発...防止グッズはもはや必須化するのか?
  • このエントリーをはてなブックマークに追加