ポイズニング支援型メンバーシップ推定攻撃に対する差分プライバシーの一考察

攻撃者が悪意を持って学習データの一部（汚染データ）を提供することで，学習済みモデルから学習データを効果的に得るデータ復元攻撃が近年に示された．本稿では，学習データが差分プライバシーを満たすことで，上述したデータ復元攻撃のうち，メンバーシップ推定攻撃を防ぐことを実験的に確認する．また，差分プライバシーの敏感度ごと，および汚染データ数ごとに，メンバーシップ推定攻撃の成功率を評価する．これによって，ポイズニング支援型メンバーシップ推定攻撃を防ぐための，差分プライバシーおよびポイズニング攻撃の条件を明らかにする．またこの目的に向けて，ポイズニング支援型メンバーシップ推定攻撃のフレームワークも示す．実験の結果，50,000 枚の学習データのうち 250 枚の汚染データによって，メンバーシップ推定攻撃の成功率が 25.26% 上昇した．一方で，ε ≦ 360 の差分プライバシーを満たすことで，ポイズニング攻撃によるメンバーシップ推定攻撃の成功率の上昇を 0.94% 以内に抑えた．したがって，差分プライバシーによりポイズニング支援型メンバーシップ推定攻撃を防ぐことを確認した．

Recently, model inversion attacks have been proposed in which an attacker maliciously provides a part of the training data (poison data) to obtain the training data from the model effectively. In this paper, we experimentally confirm that differential privacy prevents membership inference attacks. We then evaluate the success rate of membership inference attacks by differential-privacy sensitivity and the number of poison data. We determine the parameter of differential privacy and poisoning attacks to prevent membership inference attacks. To this end, we also present a framework for poisoning-assisted membership inference attacks. We experimentally found that 250 poison data out of 50,000 training data increased the success rate of membership inference attacks by 25.26%.On the other hand, the differential privacy on ε ≦ 360 reduced the increase in the attack success rate of membership inference attacks to within 0.94%.Therefore, we found that differential privacy prevents poisoning-assisted membership inference attacks.