Scribble at 2024-11-10 12:12:24 Last modified: unmodified

著者が大学で研究していた side-channel attacks（サイドチャネル攻撃）の実験で、機械学習を使ったときの経験を解説している。これは他にも多くの分野に同じような指摘ができる。なぜなら、機械学習なり AI は、与えられたデータから特定のパターンを検出することには使えるが、そのパターンがどうやって発生したかについては、結果が生じるための十分に包括的な条件が事前に与えられていない限り、その原因を推論することができないからだ。

著者の実験では、ブラウザのタブが開かれるたびに、ウェブサイトなりページごとに CPU キャッシュへのアクセスに一定のパターンがあるという特性を利用して、攻撃者がユーザの閲覧状況を特定できるというサイドチャネル攻撃を紹介している。そして、機械学習モデルがユーザのアクセスしているページを CPU キャッシュへのアクセスというパターンから推論できたとしても、それは CPU のキャッシュへアクセスする信号の存在を証明していることいなるが、そういう信号が生じる原因（ユーザが特定のページへアクセスしたという事実）を特定できるわけではない。なぜなら、別の原因でも同じような信号が CPU キャッシュに入力される可能性はあるからだ。

同じく、たとえば航空写真について地表の地形や植生などから遺跡や遺構が地下にあることを推論するシステムなどが実用化されているが、機械学習を使っても地表の特定のパターンを微妙な画像の判定から推論できたとしても、それが遺構の名残りなのか単なる地表の特徴的な状況を検出しただけなのか、パターン認識だけで AI が判断できるものではないのと同じことだろう。