自分の写真がディープフェイクに使われるのではないかと心配ですか?ボストン大学の新しい研究を試してみてください

顔を入れ替えた動画は、DL を悪用した大きな結果です。インターネット上にあなたの写真がある限り、あなたの顔が他の背景や動画に入れ替えられる可能性があります。しかし、このようなオープンソースの攻撃モデルでは、アップロードされた写真はもはや問題ではなく、ディープフェイクはそれらを直接使用して顔を置き換えることはできません。

効果は非常に良いようです。人体には見えないノイズを追加するだけで、顔を変えるモデルは正しい顔を生成できなくなります。このアイデアはまさに敵対的攻撃ではないでしょうか? 以前の攻撃モデルは、「実際の画像を偽造する」ことで認識モデルを欺くものでした。すると、攻撃モデルによって生成されたノイズが顔画像に作用し、ディープフェイクが騙され、人間を騙すような顔を変えるモデルをディープフェイクが生成できなくなる。

このボストン大学の研究が発表されるとすぐに、多くの研究者の間で白熱した議論が巻き起こり、Redditでも多くの議論の的となりました。この論文と、研究者らがGitHubプロジェクトを公開したという事実を合わせると、「写真をオンラインで公開すればディープフェイクは機能しなくなるのではないか？」と考えるかもしれません。

しかし、物事は私たちが考えるほど単純ではないことは確かだ。RedditユーザーのOther-Topさんはこう言った。「この論文によると、まずこの方法を使って写真を加工し、それから写真をアップロードする必要がある。もし他の人がこの写真を使って顔の入れ替えをしたら、うまくいかないだろう。」

つまり、私たちの写真や有名人の写真は、インターネットにアップロードする前に、まず攻撃モデルに通される必要があります。そのような写真は安全でしょうか?

かなり面倒に思えますが、まずはこの論文の研究内容を見てみれば、もっと良い解決策が見つかるかもしれません。この論文では、研究者らは人間の目には知覚できないソース画像に対して敵対的攻撃を行い、敵対的ノイズを使用して画像生成結果を妨害しました。

この破損の結果、結果として得られる画像は、使用できなくなるほど劣化するか、画像の変化が顕著になります。言い換えれば、目に見えないノイズによって、ディープフェイクは明らかに偽物の動画を生成するのです。

論文アドレス: https://arxiv.org/abs/2003.01279

コードアドレス: https://github.com/natanielruiz/disrupting-deepfakes

ディープフェイクの宿敵、敵対的攻撃

敵対的攻撃は、さまざまな画像認識モデルを欺くためによく使用されます。画像生成モデルでも使用できますが、それほど意味があるようには思えません。しかし、ディープフェイクなどの顔を変えるモデルに使用できるとしたら、非常に有望です。

この論文では、研究者らは敵対的攻撃を利用してディープフェイクの顔を変える操作を「騙した」。具体的には、研究者らはまず次のことを提案し、それを適用することに成功しました。

さまざまなカテゴリに一般化される転送可能な敵対的攻撃。つまり、攻撃者は画像のカテゴリを知る必要はありません。

生成的敵対ネットワーク (GAN) の敵対的トレーニング、堅牢な画像変換ネットワークへの第一歩。

グレーボックスのシナリオでは、入力画像をぼかすことで攻撃をうまく防御することができ、研究者らはこの防御を回避できる攻撃方法を実証した。

図 1: 干渉型ディープフェイク生成のフローチャート。 I-FGSM 方式を使用すると、画像に知覚できないノイズのセットが適用され、顔操作システム (StarGAN) の出力をうまく乱すことができます。

ほとんどの顔操作アーキテクチャは、入力画像とターゲット条件クラスを使用してトレーニングされます。たとえば、特定の属性を使用して、生成された顔のターゲット表現を定義します (例: 顔に笑顔を追加する)。他の人が画像内の顔に笑顔を追加するのを防ぎたい場合は、笑顔の属性を選択し、目を閉じているなどの他の無関係な属性を選択しないことを明確にする必要があります。

したがって、敵対的攻撃を利用してディープフェイクを欺くためには、まず条件付き画像変換の問題を解決し、以前の攻撃方法を顔のスワッピングに移行できるようにする必要があります。研究者らはまた、異なるカテゴリーの属性の一般化を改善するために、2つの転送可能な干渉バリアントカテゴリーを提案した。

写真をぼかすことは、攻撃者が前処理のぼかしの種類とサイズを知っているホワイトボックス テスト シナリオでは決定的な防御となります。さらに、実際のシナリオでは、妨害者は使用されているアーキテクチャを認識していても、ぼかしの種類とサイズを無視する可能性があり、これにより一般的な攻撃方法の有効性が大幅に低下します。そのため、研究者らは、グレーボックステストのシナリオでさまざまなファジー防御を回避できる新しいスペクトル拡散妨害法を提案しました。

要約すると、ディープフェイク画像生成には多くの独自の機能がありますが、「従来の画像認識」による敵対的攻撃に耐えており、ディープフェイクモデルを効果的に欺くように変更することができます。

ディープフェイクを攻撃する方法

読者が敵対的攻撃についてある程度の予備知識を持っている場合、このホワイト ペーパーの後半で説明する手法は理解しやすくなります。一般的にディープフェイクなどのモデルを攻撃する方法に関して、研究者らは、一般的な画像変換妨害、彼らが新たに提案した条件付き画像修正、GANの敵対的トレーニング技術、および拡散スペクトル妨害に分けられると述べた。

まず、攻撃の効果を見てみましょう。オリジナルの変更されていない画像（敵対的ノイズを追加していない）で顔の入れ替えを完了できます。しかし、敵対的ノイズが追加されると、人間の目には入力画像の変化が見えなくても、モデルはそのような写真に基づいて顔の変更を完了できなくなります。

敵対的攻撃と同様に、人間の目には認識できないが機械は非常に敏感なノイズを画像に追加すると、ディープフェイクはそのような画像に基づいて攻撃されることになります。

現在、より一般的な攻撃方法は主に勾配法と反復法に基づいており、他の多くの優れた高度な攻撃方法もそれらの主要なアイデアに基づいています。このタイプの方法の主なアイデアは、損失関数の変化を最大化する小さな摂動を見つけることです。この小さな摂動を元の入力に追加することで、モデルはそれを他のカテゴリとして誤分類します。

通常、単純なアプローチは、バックプロパゲーションパスに沿った入力に対する損失関数の導関数を計算し、その導関数に基づいて損失関数を最大化することです。このようにして、攻撃者は最適な摂動方向を見つけ、敵対的なサンプルを構築してディープネットワークを欺くことができます。

例えば、初期に提案された高速勾配符号法（FGSM）では、x を入力画像、G を顔変更を完了するための生成モデル、L をニューラル ネットワークをトレーニングするための損失関数とすると、現在の重み値の近傍で損失関数を線形近似して、生成された画像 G(x) を元の顔変更効果「r」と最も異なるものにするノイズ η を取得できます。

FGSM は、バックプロパゲーションを通じて勾配を素早く計算し、モデル損失を最も増加させる小さな摂動 η を見つけることができます。基本反復法 (BIM) などの他の手法では、より小さなステップ サイズを使用して FGSM を複数回反復し、より優れた敵対的サンプルを取得します。下の図に示すように、元の入力 x「顔」に最適な摂動 η を追加し、この「顔」を使用してディープフェイクを生成すると、問題が発生します。

攻撃方法はさらに3つある

上記は敵対的攻撃の核心的なアイデアを紹介しただけであり、確かにある程度はディープフェイクを欺くことができます。しかし、より良い結果を得るために、研究者は論文の中でさらに完全な攻撃方法を3つ提案しました。ここでは条件付き画像修正のアイデアについて簡単に紹介するのみであり、詳細については元の論文を参照してください。

従来は、無条件にノイズが追加されていましたが、顔を変えるモデルの多くは、顔を入力するだけでなく、条件となる特定のカテゴリも入力するようになりました。以下のように、画像生成G(x, c)に条件cを追加し、最小ピクセルηのみを変更しながら損失Lを最大化することを期待します。

この問題に対処するために、研究者らは条件付き制約の下で画像変換方法を標的とする新しい攻撃方法を提示しています。この方法により、攻撃モデルがさまざまなカテゴリに移行する能力を高めることができます。たとえば、カテゴリが「笑顔」の場合、それを攻撃モデルに入力すると、ディープフェイクを無効にする顔をより適切に生成できます。

具体的には、研究者らは I-FGSM を次のように変更しました。

実験結果

実験では、研究者らが提案した画像レベルの FGSM、I-FGSM、PGD ベースの画像ノイズ除去手法が、GANimation、StarGAN、pix2pixHD、CycleGAN などのさまざまな画像生成アーキテクチャにうまく干渉できることが示されています。

L^2 および L^1 メトリックに基づく画像の「変更量」が画像変換効果に与える影響を理解するために、研究者は下の図 3 で干渉出力とそれぞれの歪みメトリックの定性的な例を示しています。

図 3: L_2 距離と L_1 距離の同等性スケールと StarGAN 摂動画像における質的歪み。

論文で提案されている反復クラス転送可能干渉と結合クラス転送可能干渉について、研究者は以下の図 4 に定性的な例を示しました。これらの摂動の目的は、GANimation のすべてのアクション ユニット入力に転送することです。

図 4: 研究者らは、この攻撃が顔交換モデルに与える影響を提案しました。

上図に示すように、a は元の入力画像であり、ノイズを追加せずに GANimation 生成した結果が b です。カテゴリーを制約として使用する場合、正しいカテゴリーを使用した後の攻撃効果は c であり、正しいカテゴリーを使用しない場合の攻撃効果は d です。以下のeとfは、それぞれ研究者が提案した反復カテゴリ転送可能攻撃効果と結合カテゴリ転送可能攻撃効果です。これらは、さまざまなカテゴリにまたがってディープフェイク生成モデルを攻撃することができます。

グレーボックス テストの設定では、攻撃者は前処理に使用されるぼかしの種類とサイズを認識していないため、ぼかしは敵対的な破損に対する防御に効果的な方法です。ぼかしのレベルが低いと、画像変換出力の品質を維持しながら、ダメージを無効にすることができます。下の図5はStarGAN構造の例を示しています。

図 5: ガウスぼかし防御の成功例。

画像コントローラーがぼかしを使用して敵対者の妨害をブロックする場合、敵対者は使用されたぼかしの種類とサイズを認識しない可能性があります。下の図 6 は、テスト画像においてこのスペクトル拡散方式によって達成された干渉成功率を示しています。

図6: 異なるぼかし防御下での異なるぼかし回避によって生じる画像干渉比(L^2 ≥ 0.05)。

図 7: ガウスぼかし (σ = 1.5) を使用した防御に対する拡散スペクトル妨害法の効果。最初の行は、当初難読化の対象としていなかった攻撃方法を示し、2 行目はスペクトラム拡散妨害方法を示し、最後の行はホワイト ボックス テスト条件下での攻撃効果を示しています。