FGSM
① ストーリー形式で学ぶ AIをだます!?「FGSM」
舞台は、とある企業のAI部門。配属されたばかりの新入社員ユウカは、AIの奥深さに日々驚いています。ある日、ユウカは課長に質問を投げかけました。
ユウカ:「課長、AIって、画像を間違えて判断しちゃうことがあるって聞いたんですけど、本当ですか?」
課長:「あるよ。たとえば、パンダの写真にちょっとした“ノイズ”を加えるだけで、AIが“ブタ”だって判断してしまうこともある。」
ユウカ:「えっ、そんな簡単にだませるんですか!?具体的にはどんなノイズなんですか?」
課長:「いい質問だね。“ノイズ”って言っても、人間の目にはまったく気づかないくらい微細なものなんだ。AIは画像をピクセルごとの数値で処理してるから、ほんの少し数値をズラすだけで、判断が変わることがある。」
ユウカ:「そんなピンポイントな攻撃があるなんて…AIって賢いけど、意外と“うっかりさん”なんですね。」
課長:「そうだね。だから、AIを作るときには、こういう攻撃にも耐えられるように“鍛える”必要があるんだ。」
ユウカ:「ノイズというのは見た目にもわかるんですか?熊の目の周りを黒くしたらパンダと間違えるのは理解できるけど、パンダをブタとAIが判断するノイズは想像しにくくて。」
課長:「それが面白いところでね。AIの“脳”は、私たちと違うところを見て判断しているんだ。勾配という情報を使って“この方向にノイズを加えると間違える”という場所を探して、そこに+か−の方向だけで微細な変化を加える。これがFGSM(Fast Gradient Sign Method)なんだ。」
ユウカ:「AIの“苦手なところ”をわざと突いていくってことですね。」
課長:「そう。だから研究では、こういう敵対的なノイズを加えてAIを試すこともあるし、Adversarial Training(敵対的学習)といって、わざと攻撃して鍛える手法もあるんだよ。」
✅ FGSMとは?(技術的定義)
敵対的サンプルを生成する代表的な方法のひとつで、セキュリティ研究やAIの耐性評価に使われます。
✅ 類似用語との違い
| 用語 | 特徴 | 主な違い |
|---|---|---|
| FGSM | 勾配の符号を使って一度だけノイズを加える | シンプルで高速 |
| PGD(Projected Gradient Descent) | 複数回にわけてノイズを加えて精度を上げる | 精度が高いが計算が重い |
| CW攻撃(Carlini & Wagner攻撃) | 最適化に基づき、非常に見えにくいノイズを加える高度な攻撃 | 高精度・難検知・高計算コスト |
② 実際の事例:AI画像認識の“落とし穴”が話題に
2020年、アメリカの研究チームが発表した実験で、ある画像認識AIに対してFGSMで加工した「STOP」標識の画像を見せたところ、AIが「速度制限標識」と認識してしまう事例が起こりました。
これは、自動運転車にとって大きなリスクです。人間には普通の標識に見えても、AIには全く違うものに見えてしまうという現象です。
このような敵対的攻撃(Adversarial Attack)は、セキュリティ・交通・医療・顔認証などの分野でも課題となっており、AIを安全に使うための研究が盛んに行われています。
③ クイズや小テストで確認しよう!
クイズ1
FGSMとは、どのような目的で使われる技術ですか?
A. AIの処理を高速化するためのアルゴリズム
B. AIに誤認識を起こさせるためのノイズを加える手法
C. AIの音声認識を強化するためのモデル
クイズ2
FGSMが使われる場面として適切ではないものはどれ?
A. 自動運転車の標識認識を混乱させる実験
B. 機械学習モデルの脆弱性をテストする研究
C. ウイルス感染のパターンを予測する疫学モデル
クイズ3
FGSMとPGDの主な違いは何ですか?
A. FGSMは1回だけノイズを加えるのに対し、PGDは何度も繰り返す
B. FGSMは画像を補正する技術、PGDは画像を保存する形式
C. FGSMは音声処理用、PGDは画像処理用
⑤ クイズの答えと解説
クイズ1の答え:B
→ AIに対して誤認識を引き起こすノイズを加えるための手法です。クイズ2の答え:C
→ FGSMは画像や音声などに対する攻撃に使われ、疫学モデルには通常使用されません。クイズ3の答え:A
→ FGSMは一度でノイズを加える手法、PGDは複数回のステップでノイズを加えます。
