私は本物の有名人ですか、それとも偽の有名人ですか?ディープフェイクのなりすまし攻撃下での商用顔認識WebAPIの測定
Am I a Real or Fake Celebrity? Measuring Commercial Face Recognition Web APIs under Deepfake Impersonation Attack
最近、ディープニューラルネットワークを使用した顔認識技術が大幅に進歩しました。その結果、Microsoft、Amazon、Naverなどの企業は、エンドユーザーのニーズを満たすために、さまざまなアプリケーション向けに高精度の商用顔認識Webサービスを提供しています。ただし、当然のことながら、事実上すべての個人がなりすまし攻撃を迅速に実装できるため、このようなテクノロジーは絶えず脅威にさらされています。特に、これらの攻撃は、基盤となる顔認識テクノロジーの精度と堅牢性に大きく依存する認証および識別サービスにとって重大な脅威となる可能性があります。その重大さにもかかわらず、商用WebAPIを使用したディープフェイクの悪用とその堅牢性に関する問題はまだ徹底的に調査されていません。この作業は、例のケーススタディとして有名人の認識APIを使用して、ディープフェイクのなりすまし(DI)攻撃に対するブラックボックスの商用顔認識APIの堅牢性に関する測定研究を提供します。 5つのディープフェイクデータセットを使用しています。そのうちの2つは私たちが作成し、リリースされる予定です。より具体的には、2つのシナリオ(ターゲットと非ターゲット)に基づいて攻撃パフォーマンスを測定し、忠実度、信頼性、および類似性のメトリックを使用して、さまざまなシステム動作をさらに分析します。したがって、人気のある企業の顔認識技術がDI攻撃に対してどれほど脆弱であるかを示し、標的型(つまり正確な一致)攻撃と非標的型(つまり有名人との一致)攻撃でそれぞれ最大成功率78.0%と99.9%を達成します。 。さらに、DI攻撃を軽減するための実用的な防御戦略を提案し、攻撃の成功率を、標的型攻撃と非標的型攻撃でそれぞれ0%と0.02%にまで減らします。
Recently, significant advancements have been made in face recognition technologies using Deep Neural Networks. As a result, companies such as Microsoft, Amazon, and Naver offer highly accurate commercial face recognition web services for diverse applications to meet the end-user needs. Naturally, however, such technologies are threatened persistently, as virtually any individual can quickly implement impersonation attacks. In particular, these attacks can be a significant threat for authentication and identification services, which heavily rely on their underlying face recognition technologies' accuracy and robustness. Despite its gravity, the issue regarding deepfake abuse using commercial web APIs and their robustness has not yet been thoroughly investigated. This work provides a measurement study on the robustness of black-box commercial face recognition APIs against Deepfake Impersonation (DI) attacks using celebrity recognition APIs as an example case study. We use five deepfake datasets, two of which are created by us and planned to be released. More specifically, we measure attack performance based on two scenarios (targeted and non-targeted) and further analyze the differing system behaviors using fidelity, confidence, and similarity metrics. Accordingly, we demonstrate how vulnerable face recognition technologies from popular companies are to DI attack, achieving maximum success rates of 78.0% and 99.9% for targeted (i.e., precise match) and non-targeted (i.e., match with any celebrity) attacks, respectively. Moreover, we propose practical defense strategies to mitigate DI attacks, reducing the attack success rates to as low as 0% and 0.02% for targeted and non-targeted attacks, respectively.
updated: Tue Mar 02 2021 07:56:46 GMT+0000 (UTC)
published: Mon Mar 01 2021 08:40:10 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト