このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
中国の南京大学、香港理工大学、香港城市大学の研究チームが発表した論文「Knowledge-enhanced Black-box Attacks for Recommendations」は、ユーザーに応じてお勧めするコンテンツを選ぶレコメンダーシステムにハッキング攻撃を仕掛ける手法を提案した研究報告だ。
顧客にパーソナライズされたサービスを提供することを目的としたレコメンダーシステムは、ソーシャルメディアや電子商取引を含む多くのアプリケーションドメインで広く使用されている。
レコメンダーシステムは、Recurrent Neural Networks(RNNs)やGraph Neural Networks(GNNs)などのDeep Neural Networks(DNNs)技術で強化されてきた。
今回はこのDNNベースのレコメンダーシステムに対して攻撃を行う方法を提案する。これまでにもフェイクユーザープロファイル(偽のユーザーがやりとりしたアイテムセット)を生成し、標的であるレコメンダーシステムに注入して悪意を持ってアイテムセットを攻撃する手法はあった。
しかし、攻撃対象のレコメンダーシステムのアーキテクチャ/パラメータや学習データに攻撃者が容易にアクセスできないブラックボックス環境下で、高品質のフェイクユーザープロファイルを生成することは、リソースが限られているため困難であった。
研究では、この問題を解決するために、フェイクユーザープロファイルの生成品質を向上させるための知識グラフ(ナレッジグラフ)を導入した攻撃フレームワーク「KGAttack」を提案する。
知識グラフとは、アイテム間の関係をつなげたネットワークのことで、検索エンジンやSNSなどで活用されている。今回はアイテムの属性情報(知識グラフ)を活用することで、フェイクユーザープロファイル生成のための補助的な知識を提供し、フェイクユーザープロファイルの生成を強化する。
例えば、映画をお勧めするレコメンダーシステムを攻撃するとして、攻撃者は映画Aを宣伝したいとする。攻撃者は映画Aの属性情報(俳優、ジャンル、プロデューサーなど)を、既存の映画Bの公開されている属性情報との間に密接な関係を設定する。相関を構築したフェイクユーザープロファイルをレコメンダーシステムに注入する。
これにより、既存の映画Bに興味ある一般ユーザーに対して映画Aを推奨する可能性が最も高くなる。レコメンダーシステムはフェイクユーザープロファイルに従って、映画Aを多くのユーザーの推薦リストに表示させることになる。
この攻撃手法を評価するため、映画レコメンド用データセット「MovieLens1M」、ユーザーと本との関連を記録している「Book-Crossing」、音楽配信データセット「Last.FM」の3つのデータセットを用いた広範な実験を行った。その結果、提案する攻撃手法がブラックボックス設定下で有効であることを実証した。
Source and Image Credits: Jingfan Chen, Wenqi Fan, Guanghui Zhu, Xiangyu Zhao, Chunfeng Yuan, Qing Li, and Yihua Huang. 2022. Knowledge-enhanced Black-box Attacks for Recommendations. In Proceedings of the 28th ACM SIGKDD Conference on Knowledge Discovery and Data Mining (KDD ’22). Association for Computing Machinery, New York, NY, USA, 108-117. https://doi.org/10.1145/3534678.3539359
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR