情報処理安全確保支援士 2025年秋期午前2 問05

問題文

AIに対するモデルインバージョン攻撃に該当するものはどれか。

選択肢

ア：AIモデルに対して入力データを調整しながら出力結果の取得を繰り返し行って解析し、学習に用いた元のデータを推測する。（正解）

イ：AIモデルに対して複数のデータを入力して得られた出力結果を観察することによって、当該AIモデルを模倣し、同等の性能をもつAIモデルを得る。

ウ：学習時のデータセットに悪意あるデータを混入し、誤った学習をさせる。

エ：何らかの方法でAIの実行ファイルを入手し、逆アセンブルや逆コンパイルによってAIのソースコードを得る。

##: AIに対するモデルインバージョン攻撃に該当するものはどれか。【午前2 解説】

要点まとめ

結論：アは繰り返し入力を調整し出力を観察して学習データ（個人情報など）を再構築する攻撃で、モデル反転に該当します。
根拠：モデル反転攻撃はモデルの出力から訓練データの特徴や個別レコードを逆推定する手法で、出力観測と入力操作が攻撃の核です。
差がつくポイント：モデル抽出（イ）やデータ汚染（ウ）、バイナリ逆コンパイル（エ）とは目的が異なり、出力から「元データ自体」を復元する点が決定的です。

正解の理由

正解はアです。アの説明は「入力を調整しながら出力を反復取得して解析し、学習に用いた元のデータを推測する」とあり、これはモデルの出力情報を利用して訓練データの属性や具体的なサンプル（顔画像や個人情報）を復元するモデルインバージョン（モデル反転）攻撃の定義に合致します。攻撃者はクエリと得られた出力の関係から逆向きに入力（学習データ）を推定します。

よくある誤解（2〜3 行）

モデル抽出とモデル反転は混同されがちですが、前者はモデルの機能を模倣することが目的で、後者は元データの復元が目的です。
出力の「確信度（確率）」の有無でリスクが大きく変わるため、同じAPIでも返す情報量で被害が変わります。

解法ステップ

「モデルインバージョン（モデル反転）」の定義を確認する：出力から訓練データを推測する攻撃であることを把握します。
各選択肢の目的を整理する：データ復元／モデル模倣／データ汚染／バイナリ解析のいずれかに分類します。
アが「学習に用いた元のデータを推測する」と明記している点を根拠に選択します。
残り選択肢を対応する攻撃カテゴリ（モデル抽出、データポイズニング、リバースエンジニアリング）として除外します。

選択肢別の誤答解説

ア: 正解。出力の観察と入力の最適化で学習データを逆推定する典型的なモデル反転攻撃です。
イ: 誤り。複数の入力と出力からモデルの振る舞いを模倣するのは「モデル抽出（モデル盗用、knockoff）」で、元データの復元が直接の目的ではありません。
ウ: 誤り。学習時に悪意あるデータを混入させるのは「データポイズニング（バックドア・汚染）」で、反転攻撃とは手法と目的が異なります。
エ: 誤り。実行ファイルを入手して逆アセンブル／逆コンパイルするのはソフトウェアのリバースエンジニアリングであり、モデル反転とは別カテゴリです。

補足コラム（関連知識など）

モデル反転攻撃は、特に機密性の高いデータ（医療データ、顔写真、個人属性）を学習に使ったモデルで問題になります。防御策としては差分プライバシーを導入した学習（DP-SGD）、出力の確信度や確率情報の削減、APIのレート制限やアクセス制御、モデルの出力ノイズ付与やクエリ監視が有効です。モデル抽出やメンバーシップ推定と組み合わせられると被害が大きくなるため、包括的なリスク評価が重要です。

FAQ

Q: モデル反転とメンバーシップ推定は同じですか？
A: いいえ。モデル反転は訓練データそのものや特徴の復元が目的で、メンバーシップ推定はある特定レコードが訓練データに含まれているかを判定する攻撃です。

Q: 出力の確率値を隠せばモデル反転は防げますか？
A: 完全には防げませんが、確率やクラス確信度の提供を制限することで攻撃の成功率は低下します。差分プライバシーやノイズ付与を併用するのが望ましいです。

Q: 学習データに匿名化を施せば安全ですか？
A: 匿名化は有効ですが、十分でない匿名化は逆推定される可能性があります。匿名化＋差分プライバシー等の多層防御が推奨されます。

関連キーワード: モデルインバージョン攻撃、モデル反転、モデル抽出、データポイズニング、差分プライバシー、出力制御、APIセキュリティ、メンバーシップ推定

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！