Miyaji Laboratory

機械学習モデルに対するメンバーシップ推論攻撃(MembershipInference Attack: MIA) は特定のデータ がトレーニングデータに含まれるかどうかを推測する攻撃である．MIAには2016年にShokriらによって 提案されたブラックボックスモデル，2019年にNasrらによって提案されたホワイトボックスモデルがある． ブラックボックスモデルでは，Salemらにより，Shokriらが設定した攻撃に用いる前提条件を緩和したMIA が提案された．しかし,彼らの攻撃はターゲットモデルから得られる信頼スコアベクトルをもち,信頼スコ アベクトルではなく,予測ラベルしか出力しないモデルや,Jiaらによって提案された,信頼スコアベクトル にノイズをかける防御手法: MemGuardに対して効果的でないという欠点を持つ．このため，Choquette らが，それらのモデルに対しても有効なMIAを提案した．Choquetteらの攻撃はモデルの出力ラベルのみ を用いるため, MemGuard防御手法を突破し，より脅威となっている．本論文では，Choquetteらの攻撃 を対象とした防御手法を検討し，具体的にChoquetteらの攻撃手法に対する耐性を実験的に検証する．