RecoverMark: Robust Watermarking for Localization and Recovery of Manipulated Faces

本論文は、敵対的攻撃下でも顔の改ざん検出・復元・著作権保護を同時に実現するため、顔画像そのものを透かしとして背景に埋め込み、背景の半導的整合性を維持する制約を利用した強靭なフレームワーク「RecoverMark」を提案するものである。

要約

顔の「隠し絵」で悪魔の改ざんを見抜く：RecoverMark の仕組み

この論文は、AI が生成した画像や、悪意のある人が顔写真を加工して嘘をつく（ディープフェイクなど）ことに対する、**「最強の防犯カメラと復元機能」**を組み合わせた新しい技術「RecoverMark（リカバーマーク）」について説明しています。

まるで**「顔という『隠し絵』を、背景という『キャンバス』に忍ばせる」**ような仕組みです。

---

1. なぜこれが必要なの？（従来の問題点）

これまで、写真が改ざんされたかどうかがわかる技術はありましたが、2 つの大きな弱点がありました。

• 弱点①：「消しゴム」に弱い
  従来の技術は、画像に「壊れやすいシール（脆弱な透かし）」を貼っていました。しかし、悪意のある人が「このシールを剥がす薬（攻撃）」を使えば、シールは消えてしまい、改ざんがバレなくなります。
• 弱点②：「元に戻せない」
  改ざんされた部分が見つかったとしても、「元の顔がどうだったか」を復元できないことがほとんどでした。証拠として「ここが嘘だ」と言えても、「本当の顔はこれですよ」と示せなければ、裁判などでは役に立ちません。

2. RecoverMark のアイデア：「顔そのものを『隠し絵』にする」

RecoverMark は、全く新しい発想でこの問題を解決しました。

🎭 アナロジー：「顔の影絵を背景に投影する」

Imagine（想像してください）。あなたが写真に写っている「顔」を、**「隠し絵（透かし）」として使います。そして、その顔の情報を、「顔の周りの背景」**の中に、目に見えないように埋め込みます。

• なぜこれで強いのか？
  悪意のある人が顔（例：表情を変えたり、別人にすり替えたり）をいじろうとしても、「背景」を大きく変えることはできません。
  なぜなら、背景を変えてしまうと、周囲との不自然さ（影の方向や照明のズレ）がバレてしまうからです。裁判官や審査員は「背景がおかしい」とすぐに気づきます。
  つまり、**「顔は変えても、背景は守らざるを得ない」**という現実の制約を利用しているのです。

🛡️ 仕組みのステップ

1. 準備（埋め込み）：
   元の顔の情報を圧縮し、それを「背景」の中に、まるで背景の模様の一部のように、頑丈に埋め込みます。
2. 攻撃（改ざん）：
   悪人が顔だけを加工します。背景はそのままなので、埋め込まれていた「顔の隠し絵」は、背景の中に無事に残っています。
3. 発見と復元：
   後からこの画像をチェックすると、背景から「隠し絵（元の顔）」を引っ張り出せます。
   • 比較： 「今ある顔」と「背景から出てきた元の顔」を比べれば、**「どこがどう変えられたか」**がピタッとわかります。
   • 復元： 変えられた部分を、背景から出てきた「元の顔」で上書きすれば、元の状態に完全に復元できます。
   • 著作権： 「この顔は本当にこの人のものか？」も、元の顔と照合することで証明できます。

3. 技術のすごいところ：「過酷なトレーニング」

このシステムが、どんな攻撃にも耐えられるのは、**「過酷なトレーニング」**のおかげです。

• 2 段階の学習：
  最初は普通の画像で学習し、次に**「画像を再生する AI（リジェネレーション攻撃）」や「ノイズを散らす攻撃」**など、ありとあらゆる「消しゴム攻撃」を浴びせながら学習させます。
• 段階的な難易度：
  最初は簡単な攻撃から始め、徐々に「最強の攻撃」に挑戦させます。これにより、どんな攻撃が来ても、背景から「顔の隠し絵」を拾い上げる力が身につきます。

4. まとめ：なぜこれが画期的なのか？

RecoverMark は、以下のような魔法のようなことを実現します。

• 🕵️‍♂️ 見抜く： 顔が加工されても、背景から「元の顔」を呼び出して、「ここが嘘だ！」と正確に指摘できる。
• 🔄 元に戻す： 加工された部分を、呼び出した「元の顔」で完全に復元できる。
• 🛡️ 守る： 画像の所有者が誰かも、同時に証明できる。

**「顔という『本物』を、背景という『盾』の中に隠し、どんな攻撃が来ても守り抜く」**という、非常に賢く、実用的なアイデアが、この論文の核心です。これにより、ディープフェイクによる詐欺や名誉毀損から、人々や証拠を守れる未来が近づいています。

技術概要

RecoverMark: 改ざんされた顔の局所特定と復元のための堅牢な透かし技術

技術的サマリー（日本語）

1. 背景と課題

生成 AI（AIGC）の急速な発展により、顔の改ざん（フェイスイメージ編集など）が容易になり、知的財産権（IP）やメディアの真正性に深刻な脅威をもたらしています。既存の能動的防御策（プロアクティブな防御）は、主に「脆弱な透かし（Fragile Watermark）」を用いて改ざんを検出・局所特定するアプローチを取っています。しかし、これらの手法には以下の重大な限界があります。

1. 透かし除去攻撃への脆弱性: 既存手法は、攻撃者が透かしの存在を知らないという前提に立っており、低域通過フィルタや高度な「再生成攻撃（Regeneration Attack）」などの透かし除去攻撃に対して無力です。
2. デュアル透かし方式の欠点: 著作権確認用の「堅牢な透かし」と改ざん検知用の「脆弱な透かし」を同時に埋め込む方式では、両者の干渉や埋め込み容量の制約により、脆弱な透かしの効果が低下します。
3. 復元機能の欠如: 多くの既存手法は改ざん箇所の特定に留まり、元のコンテンツを復元する機能を持っていません。

2. 提案手法：RecoverMark

著者は、これらの課題を解決するため、RecoverMarkという新しい透かしフレームワークを提案しました。これは、改ざん箇所の局所特定、元のコンテンツの復元、そして著作権検証を同時に実現する堅牢なシステムです。

2.1 核心的な洞察

RecoverMark は、以下の 2 つの現実的な制約と洞察に基づいています。

1. 背景のセマンティック一貫性の維持: 攻撃者が顔（被写体）を改ざんする場合、視覚的に検知されないようにするため、背景の整合性を保つ必要があります。背景を大きく変更すると不自然さが目立ち、証拠として無効化されるためです。
2. コンテンツ自体を透かしとする: 画像の重要な部分（ここでは「顔」）を透かしとして扱い、それを周囲の「背景」に埋め込むことで、抽出の堅牢性を高めます。

2.2 技術的アプローチ

RecoverMark は、顔コンテンツを透かしとして背景に埋め込むプロセスを実行します。

• 入力と分割: 元の画像（$I_{ori}$）を、セマンティックセグメンテーション（MTCNN, YOLOSeg, GSAM2 など）を用いて「顔（注目領域 $I_{sal}$）」と「背景（$I_{bg}$）」に分割します。
• 埋め込み（HNet）: 顔の情報をエンコーダ（Enc）で圧縮し、背景画像に埋め込みます。出力は透かし入り背景画像（$I_{cntr}$）となります。
• 抽出（ENet）: 改ざんされた画像から、デコーダ（Dec）を用いて元の顔情報を復元します。

2.3 2 段階の progressive 学習パイプライン

モデルの堅牢性を最大化するため、2 段階のトレーニング戦略を採用しています。

1. Stage 1（初期トレーニング）:

   • 透かしエンコーダ、隠しネットワーク（HNet）、抽出ネットワーク（ENet）、デコーダの全ネットワークを学習します。
   • 損失関数:
     • 忠実度損失（Fidelity Loss）: 埋め込み後の背景が元の背景と視覚的に近くなるよう制約。
     • 透かし損失（Watermark Loss）: 埋め込んだ顔情報が正確に復元されるよう制約。
     • クリーン損失（Clean Loss）: 透かしがない画像からは何も抽出されないよう制約（誤検知防止）。

2. Stage 2（堅牢性強化トレーニング）:

   • エンコーダとデコーダを固定（フリーズ）し、抽出ネットワーク（ENet）の学習に集中します。
   • 歪み層（Distortion Layer）の導入: 敵対的な攻撃をシミュレートするために、埋め込みと抽出の間に歪み層を挿入します。
     • 注目領域処理: 顔部分にノイズを加え、抽出が背景のみに依存することを強制。
     • グローバル処理: JPEG 圧縮、ガウシアンノイズ、低域通過フィルタなど。
     • 高度な攻撃: 再生成攻撃（Regeneration Attack）や格子攻撃（Lattice Attack）など。
   • Progressive Training Strategy（段階的学習）: 全ての歪みを同時に学習させるのではなく、最も強力な「再生成攻撃」から最初に学習させ、その後、他の攻撃を順次追加します。これにより、モデルは「楽観的な局所解」に収束せず、最も厳しい攻撃に対しても堅牢な埋め込みを学習します。

3. 主要な貢献

1. 既存手法の弱点の解明と克服: 脆弱な透かしが除去攻撃に対して無力であることを示し、顔コンテンツを背景に埋め込むことで、改ざん局所特定・復元・著作権検証を同時に実現する新フレームワークを提案。
2. 2 段階 progressive 学習パイプラインの提案: 顔情報を透かしとして扱い、高度な歪み（特に再生成攻撃）を最初に学習させることで、未知の攻撃に対しても高い堅牢性を確保。
3. 広範な実験による検証: 既知・未知の攻撃、分布内（ID）・分布外（OOD）データセットを用いた大規模な実験により、SOTA（State-of-the-Art）手法を凌駕する性能を実証。

4. 実験結果

CelebA（ID データセット）と FFHQ（OOD データセット）を用いた評価において、RecoverMark は以下の結果を示しました。

• 局所特定性能: 再生成攻撃、パッチ除去、ノイズ、JPEG 圧縮、低域通過フィルタ、格子攻撃（Lattice Attack）など、多様な攻撃条件下で、既存の受動的・能動的手法（Imuge+, EditGuard, OmniGuard など）を大幅に上回る F1 スコアと AUC を達成しました（例：CelebA での再生成攻撃に対する F1 スコアは 0.854 vs 既存最高 0.243）。
• コンテンツ復元: 改ざんされた顔領域から、元の顔情報を高い PSNR（約 22dB 以上）と MS-SSIM で復元可能です。
• 著作権検証: 正規化相関係数（NCC）が 0.95 を超える成功率は 99.9% に達し、堅牢な著作権確認メカニズムとして機能します。
• 一般化能力: 学習時に含まれていなかった「格子攻撃（Lattice Attack）」に対しても高い性能を示し、未知の攻撃に対する汎化能力が確認されました。

5. 意義と結論

RecoverMark は、AIGC 時代における画像改ざん対策において重要な進展です。

• 実用的な防御: 攻撃者が背景の整合性を保つ必要があるという現実的な制約を利用することで、従来の脆弱な透かし方式の弱点を克服しました。
• 多機能性: 単なる検知だけでなく、証拠としての「復元」と「著作権確認」を統合し、法廷証拠やコンテンツ管理において実用的な価値を提供します。
• 将来展望: 現在は顔に特化していますが、このアプローチは他の注目対象（物体など）への拡張も容易であり、一般的な画像保護技術への発展が期待されます。

本論文は、透かし除去攻撃に対する脆弱性を克服し、画像の真正性と完全性を維持するための新しいパラダイムを提示しています。