Forging the Unforgeable: On the Feasibility of Counterfeit Watermarks in Backdoor-Based Dataset Ownership Verification

本論文は、バックドアに基づくデータセット所有権検証の仕組みが、統計的に区別できない偽造ウォーターマークを生成する攻撃（FW-Gen）によって容易に欺瞞され得ることを実証し、現在の検証手法が著作権紛争の単独証拠として機能しないことを明らかにしています。

要約

1. 背景：お菓子屋さんの「秘密のレシピ」

AI を作るには、大量のデータ（写真や文章）が必要です。これを集めてきれいに整理するのは、**「世界一美味しいお菓子を作るための秘密のレシピ集」**を作るようなもので、とても時間と労力がかかります。

しかし、この「レシピ集」を無料で公開すると、悪い人がそれを勝手にコピーして、自分の店（AI モデル）で使おうとします。
そこで、データを作った人は**「デジタルの透かし（ウォーターマーク）」**というものを仕込みます。

• 仕組み： データの中に「目に見えない小さな印（トリガー）」を隠しておき、その印がついた画像を AI に見せると、「必ず『猫』と答える」という**「秘密の反応」**を引き起こすようにします。
• 目的： 「もしあなたの AI が、この特別な印を見せると『猫』と答えるなら、それは私のデータを使っている証拠だ！」と主張して、著作権侵害を訴えるのです。

2. この論文の発見：「偽造パスポート」の作成

これまでの常識では、「その秘密の反応が出れば、それは間違いなく私のデータだ」と考えられていました。
しかし、この論文の著者たちは、**「いやいや、その反応は誰にでも作れる『偽造パスポート』と同じだ」**と指摘しました。

• 問題点：
  1. 時間の証明がない： 「私が先に透かしを入れた」と証明する記録（タイムスタンプ）が、現実にはほとんど残っていません。
  2. 反応の模倣： 悪い人（攻撃者）は、自分の AI から「秘密の反応」を引き出す方法を逆算して、**「見た目も違うけど、同じ反応をする別の印（偽の透かし）」**を作ることができます。

3. 攻撃の手法：「FW-Gen（偽造透かし生成機）」

著者たちは、**「FW-Gen」という新しいツールを開発しました。これは、「本物と全く同じ『反応』をするが、見た目（デザイン）は全く違う『偽のパスポート』を作る機械」**のようなものです。

• どうやるの？
  1. 攻撃者は、公開されているデータから「本物の透かし」の正体を突き止めます（99% の確率で見つけられます）。
  2. その情報を元に、AI（VAE という技術）を使って、**「本物と同じ『猫』と答える反応」を引き出すが、デザインは全く違う「偽の透かし」**を生成します。
  3. 裁判（所有権の争い）で、**「私の AI も、この『偽の透かし』を見せると『猫』と答えます！だから、あなたのデータを使っているなんて言えません！」**と反論します。

4. 実験結果：「本物」も「偽物」も、裁判では同じ

著者たちは、6 つの異なる透かし技術を使って実験しました。

• 結果： 偽造された透かしも、本物の透かしも、**「統計的に見れば、どちらも『データが使われた』という証拠として、同じくらい強力（あるいはそれ以上）」**であることがわかりました。
• 意味： 裁判官（検証システム）は、「反応が出たから」という理由だけで、どちらが本物でどちらが偽物か判断できません。

5. 結論：これからの対策は？

この論文は、**「今の『反応を見るだけ』の所有権証明システムは、法廷で単独の証拠としては使えない」**と警告しています。

• 必要な対策：
  • ブロックチェーンなどの「タイムスタンプ」： 「私がいつ、どんな透かしを作ったか」を改ざんできない形で記録しておく必要があります。
  • もっと複雑な透かし： 単なる反応だけでなく、もっと複雑で模倣しにくい「指紋」のような仕組みが必要です。

まとめ

この論文は、**「AI データの所有権を証明する『透かし』は、実は『偽造』が簡単に行える脆弱なシステムだった」**と暴き出しました。

まるで、「『この鍵が開けば、この部屋は私のものだ』と言っているが、実は誰でも同じように開く『偽の鍵』を作れてしまう」ような状況です。
これからは、単に「反応があるか」だけでなく、「いつ、誰が最初に作ったか」を証明できる仕組みが不可欠だと教えてくれています。

技術概要

論文「Forging the Unforgeable: On the Feasibility of Counterfeit Watermarks in Backdoor-Based Dataset Ownership Verification」の技術的サマリー

この論文は、公開データセットの所有権検証（DOV: Dataset Ownership Verification）において主流となっているバックドア・ウォーターマーキング（Backdoor Watermarking）の根本的な脆弱性を指摘し、攻撃者が「統計的に区別不可能な偽造ウォーターマーク」を生成して侵害主張を無効化できることを実証した研究です。

以下に、問題定義、手法、主要な貢献、実験結果、および意義について詳細をまとめます。

---

1. 問題定義と背景

大規模 AI モデルの発展に伴い、高品質なデータセットの価値が高まっていますが、不正な利用（著作権侵害）のリスクも増大しています。これを防ぐため、データセット所有者は一部のサンプルにトリガー（トリガーパターン）を埋め込み、学習されたモデルがそのトリガーに対して特定の動作（バックドア行動）を示すかを確認する「バックドア・ウォーターマーキング」が DOV の手法として採用されています。

しかし、本研究は以下の 2 点から、現在の DOV 結果が著作権侵害の確実な証拠となり得ないと主張しています。

1. 時間的紐付けの欠如: 既存の手法は、ウォーターマークの作成時刻を証明する仕組み（ブロックチェーン登録など）を前提としていません。単なる URL 配布では、誰がいつ最初にウォーターマークを作成したか証明できません。
2. 非現実的な敵対者仮定: 現在の手法は、被告が判決を黙認すると仮定していますが、実際には被告は自らの利益を守るために反証（カウンターエビデンス）を用意する動機があります。もし、異なる視覚パターンを持つが、同じモデル動作を引き起こす「偽造ウォーターマーク」を生成できれば、所有者の主張は法的に争いようのあるものになります。

2. 提案手法：FW-Gen (Forged Watermark Generator)

本研究では、FW-Genと呼ばれる軽量な変分オートエンコーダー（VAE）ベースのフレームワークを提案し、偽造ウォーターマークの生成を実現しました。

• 攻撃シナリオ: 侵害告訴を受けた攻撃者は、保護されたデータセットから元のウォーターマークを抽出し、視覚的には異なるが統計的には同等の「偽造ウォーターマーク」を生成します。これを証拠として提示することで、所有者のウォーターマークの独自性に疑義を呈します。
• アーキテクチャ:
  • 入力：ランダムノイズ。
  • 出力：偽造トリガーパターン $t_{fw}$。
  • 構造：エンコーダとデコーダからなる VAE（3 つの畳み込みブロックで構成）。
• 学習目的（二重損失関数）:
  1. 悪意のあるモデル損失 ($L_W$): 攻撃者のモデル（バックドアが埋め込まれたモデル）において、偽造ウォーターマークが元のウォーターマークと同等のバックドア行動（ターゲットクラスへの分類確率）を引き起こすように調整します。
  2. 良性モデル損失 ($L_B$): 良性データのみで学習されたモデルにおいて、偽造ウォーターマークが検知可能なアーティファクト（異常）を起こさないようにします。つまり、偽造ウォーターマークは「クリーンなモデル」に対しては通常の画像として振る舞い、バックドアモデルに対してのみ特定の反応を示すようにします。

これにより、視覚的には明確に異なる（PSNR や SSIM で区別可能）が、統計的検定においては元のウォーターマークと区別がつかない（p 値が同等）という偽造ウォーターマークが生成されます。

3. 理論的基盤

論文では、定理 1として、行動検証のみ（モデルの応答）に依存する DOV システムは本質的に偽造攻撃に脆弱であることを証明しています。

• 攻撃者が「行動等価性（Behavioral Equivalence）」を満たす偽造ウォーターマーク $t_{fw}$ を生成できれば、統計的検定（t 検定やウィルコクソンの符号順位検定）における p 値は元のウォーターマークと同一になります。
• 時間的紐付けがない場合、裁判所や第三者は「どちらのウォーターマークが先に存在したか」を判断できず、DOV の証拠価値は失われます。

4. 実験結果

6 つの代表的なバックドア・ウォーターマーキング手法（BadNets, Blended, ℓ0-invisible, Nature, Trojan-sq, Trojan-wm）、2 つのデータセット（CIFAR-10, ImageNet）、2 つのモデルアーキテクチャ（ResNet-18, VGG-19）を用いて評価を行いました。

• ウォーターマークの検出精度 (RQ1):
  • 周波数領域解析を用いることで、ほとんどの手法で99% 以上の精度でウォーターマーク付きサンプルを抽出・特定できることを確認しました（BadNets でも 90% 以上）。
• 統計的同等性 (RQ2):
  • 確率出力 API の場合: 偽造ウォーターマークを用いた仮説検定において、p 値と確率差（$\Delta P$）は元のウォーターマークと同等、あるいはそれ以上の統計的有意性を示しました。
  • ラベルのみ API の場合: ウィルコクソンの符号順位検定においても、偽造ウォーターマークは元のものと同等の結果（侵害モデルでは p 値が 0 に近く、独立モデルでは p 値が 0.05 以上）を達成しました。
  • 赤色で示された結果（Table 2）のように、偽造ウォーターマークの方が元のものよりも高い有意性を示すケースも存在しました。
• 分類性能:
  • 偽造ウォーターマークの成功率（FWSR）は、元のウォーターマークの成功率（OWSR）と同等か、場合によっては大幅に上回りました（例：Blended Line において 86.9% vs 81.0%）。
  • 良性データに対する精度（BA）への影響は最小限（1% 未満の低下または向上）でした。
• 視覚的区別:
  • PSNR、SSIM、MSE などの指標、および LIME による可視化により、元のウォーターマークと偽造ウォーターマークは視覚的に明確に異なることが確認されました。

5. 主要な貢献

1. 脆弱性の特定: 現在のバックドア・ウォーターマーキング手法が、時間的紐付けの欠如と、異なるトリガーによる行動等価性の存在により、偽造攻撃に対して脆弱であることを形式化しました。
2. FW-Gen の提案: 統計的性質を保持しつつ視覚的差異を確保する、VAE ベースの軽量な偽造ウォーターマーク生成フレームワークを開発しました。
3. 理論的証明: 行動検証のみの DOV システムが本質的に偽造に脆弱であることを定理として証明し、偽造耐性を持つための必要条件を示しました。
4. 実証的評価: 広範な実験を通じて、偽造ウォーターマークが法的な争いにおいて有効な反証となり得ることを示しました。

6. 意義と示唆

• 法的・実務的インパクト: 現在の DOV 結果は、単独で著作権侵害の決定的証拠としては不十分であることを示しました。裁判や紛争解決においては、ブロックチェーン登録などの暗号学的タイムスタンプや、ウォーターマークの時間的順序を証明する追加メカニズムが不可欠です。
• セキュリティへの示唆: 単なる「行動の一致」だけでは防御は不十分であり、トリガーの視覚的特徴や、より複雑な行動シグネチャ（確率分布の形状など）を組み合わせるなど、偽造耐性のある新しいデータセット保護スキームの開発が急務であることが浮き彫りになりました。

この研究は、AI セキュリティの分野において、データセット所有権の検証手法に対する新たな視点（敵対的視点）を提供し、より堅牢な保護メカニズムの構築を促す重要な成果です。