"On the (Limited) Generalization of MasterFace Attack and Its Relation to the Capacity of Face Representations"をざっくり要約

matchaism 1

1. 概要 2. 理論的調査 3. 実証的調査 4. 結果・考察 5. 結論 2

1.概要 ➢ On the (Limited) Generalization of MasterFace Attacks and Its Relation to the Capacity of Face Representations  「MasterFace攻撃の(限定的な)一般化と顔表現の能力との関係について」  Philipp Terhörstら7名  International Joint Conference On Biometrics 2022 MasterFace攻撃の王道があるか？ ➢ 主な内容 1. 2. MasterFace攻撃が顔認証システムにもたらす潜在的なセキュリティリスクについて分析 実証・理論的な調査を通じて，MasterFace攻撃の一般化可能性を分析 3

1.概要 ➢ 本研究の新規性  理論的評価 登録人物の特徴量は埋め込み空間で充分に離れて分布(一様分布？)すると仮定  近年の顔認証モデルはこの傾向にある (分布に偏りがないため，最適なMasterFaceが作りづらい) → 将来の顔認証システムのMasterFace攻撃に対する潜在的な脆弱性を探る．  実証的評価 6つの最新モデルと3つの大規模なデータセットを用いて，モデル間・データセット間での包括的な評価  汎化性能を調べるため，先行研究よりも厳しい条件で評価 → MasterFace攻撃の横断的な汎化可能性を探る． MasterFace攻撃の限界と一般化可能性に関する議論は，認証システムの脆弱性に対する洞察を与えてく れるため，個人的に興味深く，勉強になる． 4

1.概要 ➢ MasterFace  母集団の大部分との照合に成功する顔画像  生成には登録された被験者の情報へのアクセスを必要としない ➢ MasterFace攻撃  MasterFace画像を利用し，顔認証システムの照合を不正に成功させる攻撃 広く使用されている顔認識システムの潜在的なセキュリティリスク ➢ MasterFace攻撃の脅威  不正アクセスやなりすましを可能にするため，認証システムのセキュリティと完全性を損なう  身元確認やアクセス制御のために顔認識技術に依存している個人や組織に重大なリスク  この脅威を理解し緩和することは，生体認証の信頼性と信用性を確保する上で極めて重要  5

2.理論的調査 • 先行研究では埋め込み空間において，ある特定の領域に抽出した特徴量の一部が集中すると仮定 →MasterFace画像の存在を期待 (図の赤丸) • 近年の顔認証システムでは，異なる被験者間で特徴量(埋め込み)が離れるように工夫され，埋め込み空間全 体に特徴量が分布 ↓ 理論的調査では，理想的な条件下における，MasterFace攻撃の有効性と限界を数学的に分析 ✓ 理想的な条件: MasterFace攻撃の真の有効性と限界を調べるための条件  登録人物の特徴量間の距離が充分に離れている点  埋め込み空間には登録人物の特徴量がまんべんなく分布している点 特徴抽出器 特 徴 量 埋め込み 空間 距離(類似度)に応じ て本人・他人の判定 6

2.理論的調査 1. 埋め込み空間のcapacityを計算  埋め込み空間(d次元の球面)を仮定  capacity=特徴量間の分離を保ちながら，埋め込み空間に 符号化できる(しき詰めることができる)被験者数の最大値 2. MasterFaceの最大coverageを計算  coverage=MasterFaceの特徴量とマッチする被験者数 =なりすますことができる被験者数 3. MasterFaceの有効性の最大値を評価  有効性=coverage/capacity  埋め込み空間の中でMasterFaceがカバー(なりすまし)が できる部分を分析 <Figure 1を参考> capacityとcoverage, 有効性を 理解しやすい図です． 7

3.実証的調査  先行研究では，主に特定の顔認識システムを狙ったMasterFace攻撃と小規模なデータセットでの評価  本研究では：  最新の顔認識システムの脆弱性を評価  異なる3つのデータセットと6つのFRSで評価  より大規模なデータセットを使用 実証的調査では，最新のFRSにおけるMasterFace攻撃の脆弱性と，攻撃の一般化可能性を調査 8

3.実証的調査  最新の6つの顔認識システムを用いて評価  ArcFace, CurricularFace, Elastic-Arc, Elastic-Cos, MagFace, QMagFace  3つのデータセット  LFW:5,749人，13,233枚の顔画像  IJB-C:1,845人，31,334の顔画像  IJB-B:3,531人，21,798の顔画像  MasterFaceの画像はStyleGANにより生成  2件の先行研究を参考にMasterFaceを生成  著者らは，それぞれの手法で生成された画像をWolfAttacks, MasterFaceと呼んだ 9

3.実証的調査 ➢ 評価指標  Sample-coverage MasterFace画像との照合に成功したデータセット内の画像の割合  MasterFaceがなりすますことができる画像の件数  Identity-coverage  MasterFace画像との照合に成功したデータセット内の被験者の割合  1枚でも照合に成功したらカウント  MasterFaceがなりすますことができる被験者の件数   さらに本実験では，ターゲット画像と本人・他人・MasterFaceとのスコアを算出し比較  本人・他人の選択はランダム 10

4.結果・考察 ➢ 理論的調査  capacityは、MasterFaceの最大coverageよりも数桁高い  MasterFaceの有効性は一貫して低い  顔認識技術の進歩によって，汎化可能性が高まることで特徴量間が適度に分離  MasterFace攻撃に対する潜在的な脆弱性が減少する可能性がある 11

4.結果・考察 ➢ 実証的調査  MasterFaceとの照合に成功した件数はごくわずかな割合  MasterFaceと登録済みの画像とのスコアは、他人同士のスコア分布に酷似  異なるモデル間での汎化性が低い ↓ ✓ 顔認証システムのMasterFace攻撃に対する脆弱性は限定的  訓練とテストに同じ顔認証システムを使用した場合にのみ攻撃に成功する可能性  埋め込み空間において，特徴量間の分離性が低い領域を利用することで攻撃に成功する可能性 12

5.結論 ➢ 本研究の内容 1. 2. MasterFace攻撃が顔認証システムにもたらす潜在的なセキュリティリスクについて分析 実証・理論的な調査を通じて，MasterFace攻撃の一般化可能性を分析  データセット内の母集団の大部分とうまく照合できるMasterFace画像を生成するには， ある特定の領域に抽出した特徴量の一部が集中する必要がある  最新の顔認識システムにおいては，MasterFace攻撃に対する脆弱性が限定的  顔認識技術の進展につれて，MasterFace攻撃に対する潜在的な脆弱性は減少する可能性 13

参考文献 1. P. Terhörst et al., “On the (Limited) Generalization of MasterFace Attacks and Its Relation to the Capacity of Face Representations,” 2022 IEEE International Joint Conference on Biometrics (IJCB), 2022. ✓ Publicに公開する都合上，元文献の図表はスライドから削除しております． 14