月別アーカイブ: 2021年5月

個人のプライバシーを侵害するAIへ”リベンジ”、顔認識アルゴリズムを攻撃し身を守る技術

我々の顔写真が本人の知らないうちに顔認識システムで使われている。自撮りした写真をFacebookやInstagramに掲載するが、AI企業はこれをダウンロードし、顔認識アルゴリズムを教育する。開発された顔認識AIは警察の犯罪捜査で使われている。大学研究室で個人のプライバシーを守る技法が開発された。

出典: Emily Wenger et al.

シカゴ大学の研究成果

シカゴ大学(University of Chicago)のSAND Lab (Security, Algorithms, Networking and Data Lab)は顔認識システムから個人のプライバシーを守る技術を開発した。この技法は「Fawkes」と呼ばれ、顔認識システムのアルゴリズムを誤作動させ、ストーカーなどから身元を特定されるのを防ぐ方式を考案した。この技法を使うと、顔認識システムが顔写真を読み込んでも正しく判定できなくなる。

顔認識システムとソーシャルメディア

いま米国で顔認識アルゴリズムを教育するために消費者の顔写真が無断で利用されていることが問題となっている。ニューヨークの新興企業Clearviewは高精度な顔認識AIを開発し、全米の警察が犯罪捜査で利用している(下の写真)。Clearviewはソーシャルメディアに公開されている顔写真をダウンロードしてこのシステムを開発した。ダウンロードした写真の数は30億枚を超え、世界最大規模の顔写真データセットを作り上げた。

出典: Clearview  

プライバシー問題

ここには日本人の顔写真が含まれていることは間違いなく、本人の了解なくアルゴリズム教育で使われている。市民団体は、個人の顔写真を無断で使用することは違法であるとして、Clearviewに対し集団訴訟を起こした。一方、Clearviewは公開された顔写真を使う権利は憲法で保障されているとのポジションを取り、両者の意見が正面から対立している。

顔認識システムからプライバシーを守る

このためSAND Labは自制手段として顔認識システムからプライバシーを守る技法Fawkesを開発した。Fawkesは顔写真を加工する技術で、オリジナルの写真(先頭の写真、Originalの部分)に肉眼では分からない変更を加え、AIが顔を正しく判定できない改造写真(先頭の写真、Cloakedの部分)を生成する。AI企業が改造写真を使って顔認識アルゴリズムを教育すると、完成したAIは正常に機能しなくなる。

Fawkesの使い方:SNSには改造した写真を掲載

Fawkesで加工した顔写真をFacebookやInstagramなどに掲載しておくと、個人のプライバシーを守ることができる。AI企業はソーシャルメディアに掲載された顔写真をスクレイピングし、アルゴリズムの教育で使用する。しかし、Fawkesで加工した改造写真でアルゴリズムを教育すると、写真には”毒”が盛られていて、完成したアルゴリズムは本人を正しく判定できない。一方、肉眼ではその違いは分からず、他の利用者は写真から本人を認識できる。

(下の写真左側:改造されていない写真でアルゴリズムを教育するとAIは正しく判定する。右側:改造写真で教育されたアルゴリズムはUさんの写真をTさんと判定する)。

出典: Emily Wenger et al.

Fawkesの使い方:長期レンジの戦略

上述の通り、Clearviewは既にオリジナルの顔写真をスクレイピングしてアルゴリズムを開発しており、顔認識システムは正常に動作する。しかし、Clearviewは定常的にソーシャルメディアに掲載されている顔写真をスクレイピングし、アルゴリズムをアップデートしている。このため、ソーシャルメディアに改造した写真を掲載しておくことで、改版されたアルゴリズムが機能しなくなる。更に、多くのAI企業がネットに掲載されている顔写真を使ってアルゴリズムを教育しており、新規に開発される顔認識システムに対する防衛手段となる。

Fawkesの機能概要

Fawkesはオリジナルの顔写真に特殊な加工を施し、顔認識システムを誤作動する技法である(下のグラフィックス、左側)。Fawkesはオリジナルの顔写真の特徴量を抽出し(Feature Extractor)、それを別人(Target T)のものに置き換える。ただし、写真の変更は最小限にとどめ、肉眼ではその変更を検知できない。AI企業が改造さた写真を使って顔認識アルゴリズムを教育すると、完成したシステムはオリジナルの顔写真から本人を特定できなくなる(下のグラフィックス、右側)。

出典: Emily Wenger et al.

その他の防衛手段

個人のプライバシーを守るため、顔認識システムを誤作動させる研究が進んでいる。メリーランド大学(University of Maryland)のコンピュータサイエンス学部はオブジェクト認識システムに検知されない特殊なパターンを開発した。このパターンをプリントしたプルオーバーを着ると、人物を検知するシステムに検知されない。これを着て街を歩くと、セキュリティカメラの顔認識システムをかいくぐることができる。この他に、顔に特殊なメーキャップをすると顔認識システムが顔として認識できなくなる。

(下の写真:特殊なパターンをプリントしたプルオーバーを着た人物はオブジェクト検知技術「YOLOv2」に検知されない。YOLOv2はリアルタイムのオブジェクト認識システムで、カメラに映った人物を特定しボックスで囲う。)

出典: Zuxuan Wu et al.  

Fawkesの特徴

特殊なプリントは顔認識システムの検知から逃れプライバシーを自衛するために使われる。一方、Fawkesはコンセプトが根本的に異なり、顔認識システムのアルゴリズムを攻撃し、その機能を停止させる技法である。AIシステムへの攻撃で、運用者が気付かないうちにアルゴリズムが機能不全に陥る。プライバシーを守るという目的は同じであるが、Fawkesはより高度な技法となる。

AIは攻撃を受けやすい

同時にFawkesは、AIは外部からの攻撃に対し脆弱であることを示している。改造データでAIが攻撃を受けると、アルゴリズムの判定精度が下がり、また、機能不全に陥ることが明らかになった。AIは常にサイバー攻撃の対象となり、攻撃を受けたことを把握しにくいという特徴がある。AI開発者は個人のプライバシーを守ることに加え、ハッカーからの攻撃に対処する方策を講じる必要がある。

Googleのチャットボットは人間より会話が上手い!!これからの検索エンジンは対話型AIに向かう

Googleは開発者会議「Google I/O」を開催し講演をライブビデオで配信した。基調講演ではCEOのSundar Pichaiが研究開発の最新成果を幅広く紹介した。話題はAI、検索技術、モバイル、コラボレーション、量子コンピュータ、クリーンエネルギーと多岐にわたった。この中でもAIに重点が置かれ、会話型AIであるチャットボットの研究でブレークスルーを達成した。(下の写真、Pichaiの基調講演。Googleの本社キャンパスに特設会場を設け講演はオンラインで配信された。)

出典: Google

言語モデルの開発

Googleは言葉を理解するAI技法「言語モデル(Language Model)」の研究を重点的に進めてきた。言語モデルの応用範囲は広く、その代表が機械翻訳で、「Google Translate」として幅広く普及している。また、言語モデルはチャットボットの基礎技術となり、AIアシスタント「Google Assistant」で使われている。また、チャットボットは検索技術と密接に関係し、Googleは対話型の検索エンジンの研究を進めている。

雑談できるチャットボット

Googleはチャットボットの研究でブレークスルーを達成した。このチャットボットは「LaMBD (Language Model for Dialogue Applications)」と呼ばれ、人間のように会話する機能を持つ。LaMDAは話題を定めないで会話するモデル(Open-ended Model)で、とりとめのない会話ができることが特徴となる。人間は日々の生活で雑談するが、AIにとってこれは最も難易度が高いタスクとなる。

冥王星との会話

基調講演ではLaMDAが人間と会話するデモが紹介されたが、AIの話のうまさが印象的であった。ここではLaMDAが準惑星である冥王星となり、人間と会話した(下の写真):

人間:冥王星にいくと目の前にどんな光景がひろがるの?

LaMDA:巨大な渓谷や氷河や間欠泉を見ることができるよ

人間:面白そう

LaMDA:行く価値はあるよ。ただ寒いのでコートが必要。

人間:いままでに来訪者はあった?

LaMDA:色々な訪問者があったが、最近では宇宙船New Horizonが来たよ。

出典: Google

LaMDAの会話を聞くと

LaMDAの会話は自然な流れで、不自然さは全く感じなかった。LaMDAは人間と区別がつかないというより、人間より会話が上手いと感じた。LaMDAは事実を正しく把握してそれを伝えるだけでなく、人間の興味を引く技を理解しており、会話に引き込まれた。これは高度な話術で、何げない会話で、人を惹きつける魅力を備えている。

なぜ会話に惹きつけられるのか

PichaiはLaMDAの魅力の手の内を紹介し、高度な会話能力の技術概要を説明した。LaMDAの技量は三つに区分でき、「納得(Sensible)」と「具体性(Specific)」と「事実(Factuality)」となる。納得とは話を聞いて腑に落ちることを意味する。また、具体性とは相手の発言に対し、曖昧な回答をするのではなく、スペシフィックな応答をすることを指す。また、事実とは話の内容が事実に即し正しいことを指す。ただし、デモの内容は成功事例で、上手く話せないことも多く、LaMDAの研究開発は続いている。

言語モデルのアーキテクチャ

Googleはこれまでに高度な言語モデルを開発してきた。その代表が「BERT」で、人間の言葉を理解し、また、人間のように文章を生成する。BERTは「Transformer」というニューラルネットワークで構成される言語モデルで、人間と同等レベルの言語能力を持つ(下のグラフィックス、単語の前後関係と重要度を把握する)。また、OpenAIが開発した高度な言語モデル「GPT-3」もTransformerを使っている。

出典: Google

言語モデルの教育

LaMDAも同様にTransformerをベースとする言語モデルであるが、BERTとは教育方式が異なる。BERTのアルゴリズムはインターネット上のテキストや書籍の文章で教育されたが、LaMDAは人間の会話データで教育された。人間の会話は決まったパターンは無く、そのバリエーションは千差万別であるある。人間の会話は同じルートを通ることはなく(下のグラフィックス)、AIが会話の内容を理解することは極めて難しい。

出典: Google

検索エンジンとチャットボット

Googleがチャットボットを戦略技術と位置付けるには訳がある。いま検索エンジンのアーキテクチャが曲がり角に来ている。Googleの検索エンジンの骨格は「PageRank」で、Larry PageとSergey Brinが1996年にスタンフォード大学で開発した。PageRankは引用される頻度の高いウェブページが重要だと判定するアルゴリズムで、検索結果の順位付けに使われる。このアルゴリズムがGoogleの検索エンジンのベースになっているが、PageRankの特許は20219年9月に期限が切れている。

対話型検索エンジン

Googleは新しい検索方式としてAIによる対話型を目指している。利用者が検索クエリーを入力すると、AIがその意味や意図を理解して回答をズバリと示す。検索エンジンが数多くのリンクを表示するのに対し、会話形式のAIが人間のように対話しながら回答を示す。Googleは会話型AIとして「Meena」を開発したが、その後継版としてLaMDAを開発した。Googleが高度なチャットボットを開発する理由は検索エンジンをアップグレードするためである。

AIは人間より話が旨い

LaMDAのデモは印象的で、人間のように会話するだけでなく、話の内容が非常に魅力的であった。LaMDAは人間と見分けがつかないだけでなく、人間より話し上手であるとも感じた。話題が興味深く、意外な発見があり、表現力が豊かで、平均的な人間より会話のスキルは高い。これからは、人間と話すよりAIと話すほうが楽しくなるのか、複雑な心境となる。

Voice Cloning 誰でもプロのアナウンサーになれる、AIが発言者の音声を編集し言い間違いを修正する

アマチュアがNHKのアナウンサーのように流ちょうに喋るビデオを生成できる。ビデオの制作で時間がかかるのがナレーションの録音と編集である。準備したテキストに従って喋るが、アマチュアの場合、言い間違いやテキストの修正で撮影を繰り返し、ファイナルカットができるまで時間を要す。ここで最新のAI技法「Voice Cloning」を使うと、発言者のボイスを編集して言い間違いを修正できる。一回の撮影でプロ並みのビデオが完成する。

出典: Descript

Voice Cloningとは

Voice Cloningとは発言者の声のクローンを生成する技術で、本物と見分けのつかない偽の声が生成される。Voice Cloningは使い方を誤ると危険な技術であり、他人になりすまし、相手を欺き、金銭を奪う犯罪行為につながる。AI時代の「振り込め詐欺」で、米国で大きな社会問題となっている。一方、Voice Cloningは社会に貢献する技術でもあり、録音や録画の音声処理が格段に容易になり、新世代のビデオ編集技術として注目されている。

Desciptというスタートアップ

スタートアップがVoice Cloningを応用した編集技術を開発している。サンフランシスコに拠点を置く新興企業Descriptは録音した音声をVoice Cloningで編集する技術を開発した。この技術はポッドキャストやビデオの音声編集で使われる。録音した音声をDescriptに入力すると、AIがそれをテキストに変換する(Transcription)。変換されたテキストをレビューし、言い間違いがあるとその部分を修正すると、同時に音声ファイルも変更される。つまり、音声テキストを編集するだけで、修正されたナレーションを生成できる。

編集のプロセス

Descriptはこの一連の機能をクラウドとして提供している(下の写真)。スマホカメラで撮影すると、映像と音声がDescriptに入力される。音声の部分はテキストに変換され、ウインドウに表示される(下の写真、中央部)。ここに表示されたテキストを編集すると、変更された通りの音声が生成される。音声は発言者の声で生成され、何回も録音することなく、テキストの編集だけでこれを実現できる。また、ビデオやイメージを編集する機能が追加され、テキストの中にイメージアイコンを挿入することで、ナレーションに合わせてビデオが再生される(下の写真、上段)。

出典: Descript

Speech Synthesis

音声を生成する技術は「Speech Synthesis」と呼ばれ、発言者の声でテキストを音声に変換する。上述の事例のように、利用者の声でテキストを音声に変換する。この他に、Descriptは音声サンプルを提供しており、テキストを好みの音声に変換することができる。テキストを入力すると、Speech Synthesisは指定された音声(アメリカ英語を話す女性の声など)でナレーションを生成する(下の写真)。

他社の技術と比較すると

多くの企業がSpeech Synthesisを開発しているが、その中で「Amazon Polly」や「Google Text-to-Speech」が有名である。Descriptの特徴は人間が喋るように自然なナレーションを生成することに特徴がある。「Polly」が生成する音声はロボットが喋るようにぎこちなく、機械的に生成されたことが分かる。一方、「Text-to-Speech」はDescriptのよに人間の発言と区別がつかない。

出典: Descript  

LyerbirdのAI技術

Descriptの音声技術はLyrebirdが開発したAIをベースとしている。Lyrebirdとはカナダ・モントリオールに拠点を置く新興企業で、テキストをリアルタイムで音声に変換する技術を開発した。特に、人の声を生成するVoice Cloningに特徴があり、AIは本人と見分けのつかないスピーチを生成する。Descriptは2019年9月、Lyrebirdを買収し、この技術をベースに前述の製品を開発した。

オバマ大統領の声を生成

Lyrebirdは当時のオバマ大統領のスピーチをAIで生成して注目を集めた。オバマ大統領は、「Hi everybody.  This time I like to share with you a cool company…」と語り始めたが(下の写真)、これはオバマ大統領が喋っているのではなくLyrebirdが音声を生成したもので、本人の声と見分けがつかない。

出典: Descript  

様々な応用分野

 Lyrebirdはこの技術を使って様々なソリューションを開発した。映画製作で俳優の声を記録しておくと、年をとっても、また、亡くなっても声優として活躍できる。AIスピーカーやオーディオブックで好みの声を選択できるようになる。また、映画俳優だけでなく個人が声を録音しておくと、亡くなった後もチャットボットとして家族と対話できる。(下の写真、Amazon Alexaのスキル「HereAfter」を使うと亡くなった両親や友人と会話できる。)

出典: HereAfter

AI振り込め詐欺

また、声のクローンを簡単に制作できるようになり、新手の犯罪が社会問題となっている。会社役員の声のクローンを生成し、AI版の振り込め詐欺が始まった。会社役員になりすました犯罪者は企業の経理部に電話をかけ、役員の声で指定した口座に振り込みを指示する。電話の声は本人と区別がつかず、被害にあう企業が増えている。このため、不正行為を監視する連邦取引委員会(FTC)は企業や消費者に対し注意を呼び掛けている。

声のクローンを生成する

声の録音データがあれば簡単にそのクローンを生成できる。企業幹部は会社紹介などでYouTubeにビデオを公開しているケースが多く、ハッカーはこれらビデオに記録されている音声データを使いクローンを生成する。10分程度のデータで音声のクローンが生成でき、1時間分あれば本人と見分けのつかない高精度なクローンが生成できる。

使い方には注意を要す

AI技法の進化と共に市場にはテキストを音声に変換する製品が数多く登場している。Photoshopでイメージを編集するように、Voice Cloningで本人と見分けのつかない音声クローンを生成する。Voice Cloningは便利な技術であるとともに、犯罪と表裏一体の関係にあり、使い方には注意を要す。もはや、電話の声だけで相手を信用することは危険で、本人確認の手順を決めておく必要がある。

サンフランシスコ地区は全米で初めて集団免疫に到達、ウイルスの変異や人の移動が続く中どう免疫を維持するかが課題

米国で新型コロナウイルスのワクチン接種が急ピッチで進んでいる。ペースは地域により大きく異なり、サンフランシスコ地区はワクチン接種率が極めて高く、全米で初めて集団免疫(Herd Immunity)に到達した。集団免疫とは地区住民の殆どがワクチン接種を終え、ウイルスの感染が抑え込まれた状態を指す。一方、ウイルスの変異や人の往来が進み、集団免疫がコロナの終息に結び付くのか、慎重な意見は少なくない。

出典: VentureClef

ワクチン接種の状況

サンフランシスコ地区では2020年12月から医療従事者や高齢者を対象にワクチン接種が始まった。当初はワクチン供給量が少なく、接種対象者が限定されたが、2021年4月からは16歳以上が対象となり、希望するひとすべてにワクチンが行き渡り、接種回数が大幅に上昇した。

集団免疫に到達

このため、サンフランシスコでは少なくとも1回のワクチン接種を済ませた人の割合が72%となった。また、シリコンバレー中心部サンタクララ郡でもワクチン接種が進み、少なくとも1回の接種を済ませた人の割合は70.4%となった(下のグラフ、上段)。集団免疫については色々な解釈があるが、集団の7割が免疫を持つと感染の連鎖を断ち切れるとの考え方が主流で、サンフランシスコ地区はこのポイントに到達したことになる。ただ、日ごとのワクチン接種件数は4月をピークに減少に転じており(下のグラフ)、ワクチン忌避への対応がこれからの課題となる。

出典: Santa Clara County Public Health

感染者数は大きく減少

ワクチン接種が進むなかコロナウイルス感染者数が大きく減少している。いま、カリフォルニア州が米国で一番安全な場所といわれている。全米でワクチン接種が進むが、カリフォルニア州の接種率が突出しており、これがコロナウイルス感染者数に表れている。サンタクララ郡では2021年1月をピークに感染者数が急速に減少し、今では一日の感染者数が98人となっている(下のグラフ)。人口10万人当たりの感染者数は、米国平均は102人であるが、サンタクララ郡は2.7人と低い数字を示している。

出典: Santa Clara County Public Health

集団免疫についての考え方

集団免疫(Herd Immunity)とは住民の大部分が免疫を持つことで感染病の拡大を防ぐ効果を指す。多くの住民が免疫を持てばこれが楯となり、病気感染の連鎖を断ち切ることができる。ワクチン接種で体内に抗体が生成され、これが感染症に対する免疫となる。

このポイントに到達するには

定義は明快であるが、住民の何割がワクチン接種を受けるとこのポイントに到達するかが議論となっている。集団免疫は感染の度合いにより決まり、病気が感染しやすい場合は多くの人が免疫を持たないとアウトブレークは止まらない。病気の感染のしやすさは基本再生産数(Basic Reproduction Number、略称はR0)と呼ばれ、一人の患者から何人に感染するかという指標となる。一人の患者から平均して二人に病気がうつると、基本再生産数は2となる。

新型コロナの基本再生産数

新型コロナウイルスは遺伝子が変異し異なるタイプが生まれ、基本再生産数は変異株ごとに異なる。米国では疾病予防管理センター(CDC)がパンデミック対策の基礎データとして新型コロナウイルスの基本再生産数を2.0から3.0と推定している。この数字をベースに計算すると、免疫化される集団の割合は0.5から0.67となり、住民の7割がワクチン接種を済ませる必要がある。

集団免疫に到達できないという意見

一方、サンフランシスコ地区だけで集団免疫に到達しても、他の地域で感染を抑え込めなければ、人の移動でウイルスが域内に持ち込まれる。また、新型コロナウイルスはRNAタイプで、頻繁に変異を繰り返し、感染力の強いウイルスが生まれている(下のマップ、米国で広がる変異株)。カリフォルニア州は英国型変異株(B.1.1.7)が主流で感染者が増える要因となっている。今後、ワクチンをすり抜けるウイルス変異株の発生が予測され、集団免疫を維持できるのかが問われている。

出典: CDC

ワクチン忌避の問題

また、集団免疫に到達するのを阻害する要因としてワクチン忌避(vaccine hesitancy)がある。宗教的または心情的な理由でワクチンの接種を躊躇する集団があり、ワクチン接種が進まない原因となっている。新型コロナウイルスのケースでは地域により際立った特性を示している(下のマップ、色の濃い部分:ワクチン忌避率が高い地域)。ワクチン忌避の全米平均が37%であるのに対し、サンフランシスコ地区は8%と極めて低く、これがワクチン接種率を押し上げる要因となっている。(カリフォルニア州やニューヨーク州など民主党基盤ではワクチン忌避率は低い。一方、ユタ州やノースダコタ州など共和党基盤ではワクチン忌避率が高い。)

出典: CDC

ワクチン接種が身近になる

宗教や政治や信条によるワクチン忌避者を説得することは難しいが、ワクチン接種が進まないもう一つの理由は接種を受けるプロセスの複雑さにある。バイデン政権はこの問題を解決するために、全米で統一したサイトを開発した。これは「Vaccines.gov」と呼ばれ、このサイトから自宅周辺の接種場所を検索し、そこでワクチン接種の予約ができる(下の写真)。今では、大型施設での集団接種だけでなく、薬局やスーパーマーケットで手軽に接種できるようになった。これでワクチン接種を躊躇する問題が解決すると期待されている。

出典: Vaccines.gov

全米で集団免疫を目指す

トランプ政権ではコロナ感染症対策の効果が上がらず、感染者や死者の数が急増し社会に危機感が広がった。バイデン大統領が就任してからは感染防止対策が徹底し、また、ワクチン接種が急ピッチで進んでいる。バイデン大統領はアメリカ独立記念日(7月4日)までに、国民の70%が少なくとも一回のワクチン接種を終えることを目標に定めた。集団免疫という言葉は使わなかったが、この目標を達成すると感染を抑えみ、普段の生活に戻ることができる。アメリカのコロナ感染症対策はバイデン政権で大きな転機を迎えた。

【ワクチン接種を受けてみると】

ワクチン接種の予約が取れない

実際に、二回のワクチン接種を済ませたが、ハプニングに見舞われながらも、米国巨大プロジェクトの機敏性を感じた。ワクチン接種で苦労したのは予約の取得であった。ワクチン接種の責任者がカリフォルニア州政府、地方自治体、病院など複数の団体にまたがっており、それぞれのサイトにアクセスし、空きスポットを探すこととなった。カリフォルニア州政府のサイトで予約待ちをしていたが回答は無く、最終的に、サンタクララ郡が運営するメガサイト(サンフランシスコ・フォーティナイナーズのスタジアム、下の写真)で1回目のワクチン(ファイザー)接種を受けた。(この問題を解決するため上述のVaccines.govが開発された。)

出典: VentureClef

ワクチン接種がキャンセルとなる

二回目のワクチン接種は21日後に同じサイトで予約していたが、サンタクララ郡から予約をキャンセルしたとの連絡を受けた。理由はワクチン供給量の不足で、Kaiser Permanente(かかりつけの病院)がワクチンを”横取り”したので、そこで二回目の接種を受けるよう指示された。急遽、病院に問い合わせ、調整を重ねワクチン接種の予約が取れた。

出典: VentureClef

病院の特設テントで接種を受ける

病院は大量のワクチン接種を行えるよう、敷地内に特設テントを設け(先頭の写真)、野戦病院と化して接種を進めた(上の写真)。接種会場でワクチンの効用や副反応などの資料を手渡され、また、専任スタッフが質問に応じてくれた。ワクチン接種のデータは病院の電子カルテに入力され、ホームドクターがこれを確認する手順となった。誰もが初めての経験で、失敗しながらも政府と民間が共同で大きなプロジェクトを推進するダイナミックさを実感した。