シンプルで効果的な新しい敵対的攻撃手法により、人気の Android アプリの DL モデルが破られることに成功

現在、多くのディープラーニング モデルがモバイル アプリに組み込まれています。デバイス上で機械学習を実行すると、レイテンシ、接続性、電力消費が改善されますが、アプリに組み込まれているディープラーニング モデルのほとんどはリバース エンジニアリングによって簡単に取得できるため、敵対的攻撃を受けやすくなります。この記事の研究者らは、APP 内のディープラーニング モデルを攻撃するためのシンプルだが効果的な方法を提案し、実験で検証しました。

今では、指紋ロック解除から視線ウェイクアップ、顔認証まで、携帯電話は私たちの生活のあらゆる場面に存在しています。テクノロジーがもたらした便利な生活を楽しんでいる一方で、携帯電話を見つめているとき、携帯電話もあなたを見つめていると考えたことはありませんか?指紋、声紋、顔の特徴、虹彩などの個人IDを学習し、数秒でロック解除と支払いを完了します。そして、この一連のアクションはすべてディープラーニングから生まれます。

ディープラーニングは、機械学習の分野における新しい研究方向です。機械学習を本来の目的である人工知能に近づけるために導入されています。ディープラーニングモデル（DLモデル）は、トレーニングされたディープニューラルネットワークを特定の形式で保存し、携帯電話にディープラーニングの機能を提供します。それで、このディープラーニングモデルは信頼できるのでしょうか?人々の価値観が歪められるのと同じように、携帯電話アプリのディープラーニングモデルも攻撃され、携帯電話があなただけに忠実ではなくなるのでしょうか?

携帯電話に保存されている大量の個人情報が、会ったこともない他人に漏洩した場合、金銭的な損失以上の被害を受ける可能性があります。

この記事では、オーストラリアのモナッシュ大学の研究者が、今日の主流のモバイルアプリにおける DL モデルの敵対的攻撃に対する堅牢性を調査し、モデルの特性、モデルの関係、トレーニング方法など、モバイルアプリに展開されている DL モデルの詳細な分析を実施しました。

特に研究者らは、TensorFlow Hub 内の非常に類似した事前トレーニング済みモデルを識別し、敵対的攻撃を使用することで、ディープラーニング モデルを解読することを提案しました。この方法はシンプルですが効果的で、実験では実際の Android アプリ 10 個を攻撃することに成功しました。

この記事の著者には、Yujin Huang、Han Hu、Chunyang Chen が含まれます。この論文は、第43回国際ソフトウェア工学会議（ICSE）2021 SEIPに採択されました。

論文アドレス: https://arxiv.org/abs/2101.04401

GitHub: https://github.com/Jinxhy/AppAIsecurity

モバイルアプリにおける DL モデルのビッグデータ探索

この論文では、Google Play から 62,822 個の人気の Android モバイル アプリをクロールし、それらのアプリにおける DL モデルの使用状況を調査しました。クロールされたアプリごとに、著者らは独自に設計した自動化ツール (図 1) を使用して、アプリ内の DL モデルを識別および抽出しました。

図 1: 敵対的攻撃パイプライン分析の全体的なワークフロー。

以下の表 1 では、現在人気のあるアプリにおける DL の使用について詳しく説明します。明らかに、DL モデルを含むモバイル アプリは、人々の日常生活に関わるほとんどのアプリケーション カテゴリをカバーしており (特に画像分類が顕著です)、1 つのアプリには通常、複数の DL モデルが含まれています。

表 1: TFLite DL アプリとモデルの数。

モバイルアプリのDLモデル間の関係を探る

上記の表 1 からわかるように、モバイル アプリ上のほとんどの DL モデルはコンピューター ビジョン関連のタスクを実行しています。では、それらの間には何らかの潜在的な関連性があるのでしょうか?研究者らは自動化ツールを通じてこれを検証し、モバイルアプリ上のDLモデル間に類似点があることを発見し、いくつかのモデルはまったく同じであることも判明した。

以下の図 2 は、モデル間の類似関係を具体的に説明しています。図内の各ノードは、アプリから抽出されたモデルを表します。ノード間の線の太さは、モデル間の類似性を表します。線が太いほど、類似性が高くなります。

図 2: デバイス上の DL モデル間の関係。

モバイルアプリのDLモデルが似ている理由を探る

モデル間の類似点は何によって説明されるのでしょうか?特別なトレーニング方法なのか、それともモデルの盗用なのか？

研究者らは、自動化ツールを使用してモバイル アプリ上の DL モデルと TensorFlow Hub 上のオープンソースの事前トレーニング済み DL モデルを比較し、モデル間の類似性は転移学習の使用によるものであることを発見しました。

以下の表 2 では、転移学習を使用する DL モデルの数と、対応する事前トレーニング済み DL モデルの種類を具体的に示しています。このうち、最も一般的に使用されている事前トレーニング済み DL モデルは MobileNet です。

表 2: 微調整された TFLite DL モデルの数。

敵対的攻撃に対するモバイルアプリの DL モデルの堅牢性の調査

これまでの分析に基づいて、モバイル アプリ上で DL モデルによって実行される特定のタスクと、それが使用する事前トレーニング済み DL モデルの種類を知ることができます。研究者たちは、これら 2 つの特性を利用して、敵対的攻撃に基づく新しい攻撃方法を設計しました。

実現可能性と有効性を検証するために、研究者らは 10 個の代表的なモバイル アプリで DL モデルを攻撃しました。以下の表 3 では、選択された 10 個のアプリ、それらの DL モデル、および対応する機能について詳しく説明します。

以下の表 4 は、さまざまな DL モデルに基づく新しい攻撃方法の攻撃成功率を詳細に示しています。結果は、すべての DL モデルが攻撃に成功したことを示しています。

実験から、選択されたモバイル アプリ内のすべての DL モデルが攻撃に成功したことがわかります。これは、転移学習方法の改善、抽出を防止するためのモデルの暗号化、モデルに対する敵対的トレーニングの実行など、モバイルアプリにおける DL のセキュリティをさらに向上させる必要があることを証明しています。