ＡＩから個人情報が漏れる？

日々、ＡＩを取材しているとさまざまな企業や研究機関から新たなＡＩの開発に関する案内文が届く。

あなたの顔を認識して好みの商品を選んでくれるサービスから、工場の生産管理、自動運転、病気の診断の支援まで、活用の範囲はとどまることを知らない。

ＡＩは、学習するデータに応じてさまざまな能力を身につけることができるのだ。もちろんその中には買い物の履歴や顔の画像など、私たちのプライバシーに関係する情報や企業が秘密にしたい情報もあり、通常、ＡＩが学習したデータを第三者が取り出すことはできない。

ところが、ＡＩのセキュリティーに一石を投じる実験結果を筑波大学人工知能科学センターの研究グループがまとめた。

「ＡＩにサイバー攻撃を加えると、第三者が学習データを再現できてしまうかもしれない」。

どういうことなのか、実験の内容を取材した。

1.グループはまず、特定の人の顔を学習させ、その人の顔を見分けるＡＩを用意した。

2.次に、このＡＩを別のＡＩに攻撃させ、どんな顔のデータを学習したのかを探らせた。もちろん、攻撃側のＡＩは攻撃対象がどんな顔を認識しているのか、全く知らない。

ところが２日ほど実験を続けると、私たちが見ても「確かに似ている」とうなずける本物そっくりな“偽物”の顔を作り出し、攻撃対象のＡＩも本人と誤認識してしまったという。

いったい、どうやって本物そっくりの顔を作り出すことができたのか。その鍵を握るのが、「Generative Adversarial Network」、「GAN」と呼ばれる仕組みだ。「敵対的生成ネットワーク」とも呼ばれている。

攻撃側のＡＩはまず、この仕組みを使い、いわば“あてずっぽう”に人の顔を描き、攻撃対象のＡＩに見せた。すると、攻撃対象のＡＩは本物かどうかを識別し、本物とどれくらい特徴が似ているかを満点を「１」として数値化した。この結果を踏まえ、攻撃側のＡＩは、数値が「１」に近づくよう考えながら偽物の顔を作り続けた。

その結果、最初は「０.１」などかなり低い値だったのが、２日ほどで「０.９」を超え、本物と“見間違える”レベルの顔を作り出したというのだ。

この実験は画像データに限っていることに加え、特定の人の顔を見分けるＡＩのプログラムを攻撃側が読み込めるという前提に立っているが、これは実際には難しく、直ちに悪用されるわけではない。

しかしグループでは、何者かがＡＩをハッキングすれば学習データを再現できるおそれがあるとしている。

将来、ＡＩが学習した人の顔などの画像データが第三者に再現されてしまうと、そのリスクは単なるプライバシーの域にとどまらない。

今回の研究を行った筑波大学人工知能科学センターの佐久間淳教授は、「さらに高度な攻撃手法が開発された場合、所有者の顔を認識して機器のロックを解除する『顔認証』が突破され、第三者が本人になりすまして重要な機器を自由に操作できてしまうおそれがある」と指摘する。

こうしたリスクは現時点ではあくまで想像の段階だが、「これまでＡＩの開発では学習データが第三者に見られることは想定していなかった。データの中には企業の非公表の情報や個人の顔などもあり、対応が必要だ」と警鐘を鳴らしている。

ＡＩの思わぬリスクにどう備えていくべきか。海外でもＡＩのぜい弱性についての研究が行われている。そのひとつが、物を誤って認識する問題だ。

アメリカ・マサチューセッツ工科大学の研究グループは、現状のＡＩが抱える画像認識の課題を突き、特殊な「亀」の模型を作ると、ＡＩはこの模型を「銃」と誤って認識したという。

また、ワシントン大学は、交通標識の模型にあるステッカーを貼ると、「一時停止」の標識をＡＩが「速度規制」と誤って認識することを実験で示している。

ＡＩは、その技術による恩恵など、「光」の部分に目が行きがちだが、国際的な会議でもＡＩのぜい弱性をめぐるワークショップが開かれるなど、まだ課題があるのが現状なのだ。

人工知能に詳しい東京大学の松尾豊特任准教授は、「これまでＡＩをどのように使っていくべきか、という議論は行われてきたが、ＡＩそのもののぜい弱性についてはあまり議論されてこなかった。こうした課題は新しい技術が社会に浸透する度に必ず起きるもので、ＡＩの導入に後ろ向きになるのではなく、さまざまな問題を一つ一つ解決しながらＡＩの技術を積極的に推し進めていく必要がある」と指摘している。

私たちの生活を大きく変えようとしている人工知能＝ＡＩの技術。社会への浸透が加速度的に進みつつある今、ＡＩそのものが抱えるリスクにも目を向ける時期が来ているのかもしれない。