The Secret Revealer: Generative Model-Inversion Attacks Against Deep Neural Networks

#128

summarized by : Rei Tamaru

Yuheng Zhang, Ruoxi Jia, Hengzhi Pei, Wenxiao Wang, Bo Li, Dawn Song

プライバシー設定をしている（画像の一部が隠されている）プライベートなデータセットに対してmodel-inversion(MI) attackを行い、プライバシーを無効化する仕組みを解析した研究。さらに、データセットのラベルと特徴量の結びつきについても理論的に解明した。

従来のMI attackとことなり、特徴量を可視化したことにより目的関数を最適化したことからより現実味のある画像の修復ができた。

従来のMI attackのattack accuracyを大幅に上回っただけでなく、adversarialではない単純な画像補完アルゴリズムと比較しても精度の良い結果が得られた。またプライバシーの方法を複数試したがいずれに対しても問題なく攻撃が成功した。

MIタスクにおいて精度の良い結果が得られたことやモデルの予測精度がラベルと特徴量の結びつきに強い相関があることを示したことが要因。

このページで利用されている画像は論文から引用しています．