ARES: 活性化回復を通じた連邦学習におけるスケーラブルで実用的な勾配反転攻撃

要旨: フェデレーティッドラーニング（FL）は、生データの代わりにモデルの更新を共有することで協調的なモデル訓練を可能にし、ユーザのプライバシー保護を目指します。しかし、最近の研究では、これらの共有更新が勾配反転攻撃（GIAs）を通じて機微な訓練データを意図せず漏らす可能性があることが示されています。その中でも、アクティブなGIAsは特に強力で、大きなバッチサイズ下でも個々のサンプルを高忠実度で再構成できるようになります。とはいえ、既存のアプローチはしばしばアーキテクチャの修正を必要とし、それが実用可能性を制限します。本研究では、アーキテクチャの変更を必要とせずに大規模な訓練バッチから訓練サンプルを再構成することを目的とした、Activation Recovery via Sparse Inversion（ARES）攻撃、すなわちアクティブGIAを導入することでこのギャップを埋めます。具体的には、回復問題をノイズのあるスパース回復問題として定式化し、一般化LASSO（Least Absolute Shrinkage and Selection Operator）を用いて解決します。マルチサンプル回復へ拡張するため、ARESはアクティベーションを分離するインプリント法を組み込み、サンプルごとの再構成をスケーラブルにします。さらに、期待回復率を確立し、再構成誤差の上限を導出し、ARES攻撃に対する理論的保証を提供します。CNNsおよびMLPsを対象とした広範な実験により、ARESは多様なデータセットで高忠実度の再構成を達成し、従来のGIAsを大規模バッチサイズや現実的なFL設定の下で顕著に上回ることを示しています。我々の結果は、中間的なアクティベーションがFLにおける深刻で過小評価されたプライバシーリスクをもたらすことを浮き彫りにしており、より強力な防御策の緊急の必要性を強調しています。