異なるモデルであっても，抽出した特徴量に対するattentionは似通っているだろうということを利用し，attentionを抽出し最もクリティカルな特徴量を中心に劣化させるような学習を行う．

ImageNetで学習したソースモデルとNeurIPS 2017 adversarial competitionで登場したデータセットで学習したターゲットモデルで実験．Blackboxな設定，防御あり・なし両方の場合でSOTA，whiteboxな場合でcomparable.

攻撃手段の内whiteboxよりもblackboxの方が実用性が高く，かつ転移ベースの手法はクエリーベースの手法よりも計算コストが少ない．転移ベースの欠点であった精度を計算コストとのトレードオフにはせずに向上させた点で評価できる．