空港のX線検査で“禁止物を検知されない”方法、中国の研究者らが開発 あるモノをカバンに入れるだけ：Innovative Tech

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

Twitter: ＠shiropen2

　中国の北京航空航天大学やZhongguancun Laboratoryなどに所属する研究者らが発表した論文「X-Adv: Physical Adversarial Object Attacks against X-ray Prohibited Item Detection」は、空港のX線セキュリティ検査の画像検出器を欺く手法を提案した研究報告である。

　3Dプリントした構造物（攻撃用に最適化した形状の敵対的物体）をカバンの中に入れておくだけで、その構造物が敵対的パッチとして機能し、近くの禁止物（機内に持込み不可な物）を画像検出器に検知させないようにする。

（左）この手法により禁止物が検知されない、（右）通常は禁止物を検知

　近年、深層学習は公共交通機関のハブ（例：空港）において、X線セキュリティ検査などに導入されている。この場面では、深層学習ベースの画像検出器を使用し、X線スキャン中に検査官が禁止物（ピストルやナイフなど）の存在と位置を同時に特定するのを支援する。

　この研究では、X線スキャンにおける禁止物検出シナリオへの攻撃「X-Adv」を提案する。具体的には、敵対的物体を作成して敵対的パッチとして機能させ、禁止物の周囲に配置することで、画像検出器をだますアプローチを取る。

　通常、画像検出器は、色やテクスチャ、形状、重なり、この4つの類似性（オクルージョン）の観点から潜在的な物体を発見する戦略を持つ。反対に言えば、色やテクスチャ、形状、重なりの4つの観点から敵対的な目的を最適化することで、画像検出器を欺けることになる。

　しかし、X線画像の波長（0.001〜10nm）と可視光（390〜780nm）は大きく異なるため、自然画像に有効な既存の物理攻撃をX線画像に適用することは容易ではない。特にX線スキャンにより、色彩やテクスチャ、物体の後ろに隠れる重なりは困難になる。つまり、敵対的物体を作成する上で、色／テクスチャの退色と複雑な重なりを考慮する必要がある。

X-Advアプローチの概要図

　この手法では、まず色／テクスチャ退色問題に対して、3次元物体をX線画像に投影する微分可能な変換器を導出する。これにより、X線画像に対してX線投影不変な、敵対的な形状の3次元印刷可能物体を生成できる。

　次に、最適な攻撃位置を探索するためのポリシーベースのアルゴリズムを導入する。このアルゴリズムは、複雑なオクルージョン問題に対処するための高い物理的実現性を示す。攻撃位置と形状の組み合わせを共同で最適化することで、X線セキュリティ検査のための物理的に実現可能な敵対的攻撃を生成できる。

　実験では、3Dプリンタで敵対的物体を生成し、禁止物の周囲において実際にX線スキャンを行い評価する。結果、本来であれば検知できた禁止物を検知できず、実世界における商用X線セキュリティ検査システムへの攻撃に成功した。

物理世界を攻撃するX-Advのパイプライン

　この研究では、5587枚の画像（840枚の敵対画像）からなる実世界のX線敵対攻撃データセット「XAD」も作成した。

Source and Image Credits: Aishan Liu, Jun Guo, Jiakai Wang, Siyuan Liang, Renshuai Tao, Wenbo Zhou, Cong Liu, Xianglong Liu, and Dacheng Tao. X-Adv: Physical Adversarial Object Attacks against X-ray Prohibited Item Detection.