顔データのセキュリティに関する懸念に対する新しい解決策があります。

浙江大学とアリババのセキュリティ部門は共同で、FaceObfuscatorと呼ばれる新しい顔のプライバシー保護ソリューションを立ち上げた。

犯罪者がデータベースから顔の特徴を入手したとしても、さまざまな再構築攻撃を使用して顔データを再構築したり、顔のプライバシーを盗んだりすることはできません。

新しいタイプの再構築攻撃が顔のプライバシーを脅かす

顔認証は、顔の特徴に基づいて個人を識別する生体認証技術であり、金融​​、セキュリティ、人々の生活に広く使用されています。

顔認識システムを使用する前に、まず顔情報を登録する必要があります。登録された顔情報は、顔の特徴の形でサービスプロバイダーの顔データベースに保存され、その後のリアルタイム顔認識と本人認証に使用されます。

△主流の顔認識アーキテクチャ

しかし、ネットワークとデータのセキュリティメカニズムが欠如していると、顔認識データベースが簡単に漏洩してしまう可能性があります。

顔の特徴は、ある程度直接的なプライバシー漏洩を防ぐことができますが、残念ながら、肉眼では確認できない顔の特徴は、強力な AI テクノロジーを使用して再構築することができます。

この漏洩した顔情報が犯罪者によって悪用された場合、人々の情報セキュリティは深刻な損害を受けることになります。

特徴から元の顔画像を復元するプロセスは、再構築攻撃と呼ばれます。

攻撃者は、多数の顔画像と顔特徴のペアを用いた再構成ネットワークを訓練します。継続的な訓練と最適化を通じて、ネットワークは特徴ベクトルと対応する顔画像との間の相関ルールを学習します。最終的に、再構成ネットワークは特徴ベクトルから元の顔を正確に復元できるようになります。

これはあまり直感的ではないかもしれないので、復元前のフィーチャー画像を見てみましょう。

△顔の特徴の模式図

修復と再構築後、この完全に理解不能な画像は、わずかな色調の違いを除いて、元のデータセットとほとんど区別がつきません。

△復興攻撃プロセス図

既存の顔特徴保護ソリューションとしては、2022年にAnt Groupが提案したPPFR-FD（再構成攻撃に抵抗するために一部の高周波視覚情報を削除する）や、2022年にTencent YouTuが提案したDuetFace（再構成攻撃に抵抗するために一部の低周波視覚情報を削除する）などがあります。

これらの方法は、従来の攻撃の一部を防ぐことはできますが、ユーザーの顔の特徴を認識可能な顔画像に復元し、ユーザーのプライバシーを深刻に脅かす可能性があるこの新たな再構築攻撃には対処できません。

△異なる防御スキームの下での顔画像の再構成の効果

この問題に対処するため、浙江大学ブロックチェーン・データセキュリティ国家重点実験室の任逓教授と王志波教授は、アリババのセキュリティ部門と共同で、斬新なアプローチを提案した。

クライアント側で周波数領域チャネルをフィルタリングし、顔画像から冗長な視覚情報を除去し、ランダム性を利用して顔特徴から顔画像への逆マッピングを妨害することで、再構成攻撃を根本原因から防御します。サーバー側では、逆変換を用いてランダム性を除去し、顔認識の精度を維持します。

この研究は、セキュリティ分野における4大国際学術会議の1つであるUSENIX Security Symposium 2024で発表されました。

正確な識別は必要ですが、プライバシーとセキュリティも同様に重要です。

FaceObfuscator は、軽量でプライバシーを保護する顔認識システムであり、顔の特徴の再構築時に現在の顔認識システムによってもたらされるプライバシーの脅威に対処します。

FaceObfuscator は、まず入力された顔画像を低感度化して難読化された特徴を取得し、次に顔認識プロセス全体と顔データベースで顔画像の代わりに難読化された特徴を使用します。

この難読化機能は高精度の顔認識に使用できるだけでなく、漏洩した顔情報を攻撃者が復元するのを効果的に防ぐこともできます。

△混乱特徴生成プロセス

具体的には、FaceObfuscator で難読化された特徴を取得するプロセスは、顔認識における冗長な情報の削除と顔のプライバシー情報の難読化という 2 つのステップに分けられます。

最初のステップは、顔画像から視覚情報を除去することです。このステップは、顔認識の精度を確保しながら、個人のプライバシーを含む冗長な視覚情報を除去することを目的としています。

異なる周波数領域チャネルには異なる視覚情報が含まれているため (低周波数チャネルには全体的な視覚情報が含まれ、高周波数チャネルには画像の詳細情報が含まれます)、チームはまず離散コサイン変換を使用して画像を周波数領域の特徴に変換し、画像の視覚情報のセグメンテーションを完了しました。

研究チームは実験を通じて、高周波か低周波かを問わず、各周波数領域チャネルを使用して比較的正確な顔認識を行えることを発見した。これは、元の顔画像には冗長な情報が大量に含まれていることも意味している。

これらの冗長メッセージは顔認識の精度を大幅に向上させるものではありませんが、攻撃者に豊富な再構築情報を提供します。

そこで研究チームは、顔認識タスクにおける周波数領域チャネルの重要性を分析し、重要度に応じてランク付けしました。最終的に、顔認識に最も重要な周波数領域チャネルのみを顔特徴として保持することで、視覚情報を可能な限り抑制しながらも、顔認識の高精度を維持しました。

しかし、残りの周波数領域チャネル内の一部の視覚情報は、ID 情報と高度に結びついており、攻撃者が特定のプライバシー情報を復元するには十分なため、顔の特徴をさらに難読化する必要があります。

さて、 2 番目のステップに進みます。

研究チームは分析を通じて、再構築攻撃にさらに抵抗するための鍵は、再構築ネットワークの勾配降下プロセスを妨害して、顔の特徴から顔画像への逆マッピングを適合させないようにすることにあることを発見しました。

そのため、クライアント側では、FaceObfuscator が各顔の特徴を方向とスケールの 2 次元でランダムに変換し、再構築攻撃に抵抗するためのランダム性を導入します。

方向のランダム性は、顔の特徴の要素の符号ビットをランダムに反転することによって実現され、スケールのランダム性は、顔の特徴の要素の値を指数関数的に変換することによって実現されます。

顔の特徴がランダムである場合、攻撃者が使用する損失関数は収束が困難になり、それによって再構成ネットワークの勾配降下プロセスが妨害され、さまざまな再構成攻撃に効果的に抵抗します。

△顔の特徴の向きとスケールのランダムな変換の模式図

一方、研究チームは実験を通じて、顔の特徴の向きのランダム性が顔認識の精度に与える影響は最小限で、通常の顔認識には影響しないことを発見した。

したがって、サーバー側では、顔認識を確実に行うために、スケール次元を削除するランダム性のみを考慮する必要があります。

具体的には、サーバーは指数変換の逆、つまり対数変換を実行して、同じアイデンティティの異なる紛らわしい特徴を同じ顔の特徴に復元し、スケールのランダム性を排除して顔認識の精度を確保します。

最終的に、FaceObfuscator は再構築に耐性のある顔の特徴を生成し、顔データの送信と保存を保護します。

この保護方式は暗号化よりも効果的であり、計算とストレージのオーバーヘッドを低く抑えながら優れた防御を提供します。

再建攻撃に効果的に抵抗する

下の図に示すように、チームは FaceObfuscator のプライバシー保護機能を、公開されている 6 つの顔データセット (LFW、CFP-FF、CFP-FP、AgeDB-30、CALFW、CPLFW) でテストしました。

△異なる防御スキームの下での顔画像の再構成の効果

実験では、攻撃者はディープラーニングネットワーク（DNN）を使用して顔画像への特徴のマッピングを学習し、漏洩した顔の特徴から顔画像を直接復元しました。

これは現在最も主流かつ効果的な攻撃方法でもあります。

ご覧のとおり、他のソリューションと比較して、 FaceObfuscator の顔の特徴は顔画像に再構築できず、顔のプライバシーを効果的に保護します。

△異なる防衛計画のCOSおよびSRRA指数

COSはコサイン類似度（Cosine Similarity）の略です。これは、別の独立した顔認識システムを用いて、512次元の顔特徴空間における再構成画像と元画像の同一ベクトルを取得し、それらの間のコサイン類似度を計算することで算出されます。

COS が低いほど、防御効果は高くなります。

SRRAはReplay Attack Success Rate（リプレイ攻撃成功率）の略で、顔認識システムから再構成された画像を用いて同じ顔認識システムを欺き、本人認証に成功する確率を指します。SRRAが低いほど、プライバシー保護が優れていることを示します。

その結果、再構成された画像と元の画像間のコサイン類似度が大幅に減少し、顔のプライバシーが効果的に保護されました。

リプレイ攻撃の成功率が大幅に低下し（90% から 0.1% 程度）、顔認識システムを侵害して顔が漏洩するのを効果的に防ぎます。

チームは顔認識の精度、ストレージのオーバーヘッド、計算のオーバーヘッドに関する定量的な実験も実施しました。

その結果、提案されたソリューションは、以下の表に示すように、ストレージ オーバーヘッドが最も低く、時間オーバーヘッドが優れている一方で、ベースライン (Arcface) と本質的に一致する顔認識精度を実現します。

△顔認識の有効性に関するさまざまなソリューションのパフォーマンス

注: ● は攻撃に対する防御が良好であることを表します。◐ は攻撃に対する防御が不十分であることを表します。○ は攻撃に対する防御がまったくないことを表します。黄色の四角は、ベースライン (Arcface) と比較して精度が 3% 以上低下している、防御が不十分であるなどの欠陥を示します。赤色の四角は、ベースライン (Arcface) と比較して精度が 5% 以上低下している、防御がまったくないなどの重大な欠陥を示します。

要約と展望

まとめると、FaceObfuscator には次の 3 つの利点があります。

• 強力なプライバシー保護: FaceObfuscator は、プライバシー攻撃に対する防御において他の保護ソリューションよりも明らかに優れており、顔のプライバシーを効果的に保護できます。
• 高精度の認識: FaceObfuscator は、複数の顔認識精度テスト セットで優れたパフォーマンスを発揮し、顔認識精度は主流のオープン ソース モデルに匹敵します。
• 高効率動作：ストレージ容量の削減と高速計算。元の画像の代わりに難読化された特徴を保存することでストレージ容量を節約し、計算速度は暗号化方式をはるかに上回り、プライバシー保護のない顔認識システムの効率に近づきます。

このソリューションは、監視と識別、顔認識による支払い、アクセス制御と出席などの主要な顔認識シナリオに幅広く適用でき、セキュリティ、金融、教育などの複数の主要産業にサービスを提供して、顔のプライバシーとセキュリティに関連する困難で困難な問題を解決し、効率的で使いやすい顔認識を実現します。

論文リンク: https://www.usenix.org/confer...