要約: グラフニューラルネットワーク(GNN)は、ソーシャルネットワーク、レコメンダーシステム、金融プラットフォームなどのグラフ構造データから学習する際に広く用いられています。GDPR、CCPA、PIPEDAなどのプライバシー規制に準拠するために、完全な再訓練を行わずに特定のデータポイントの影響を訓練済みモデルから除去することを目的とする近似的なグラフ忘却は、信頼できるグラフ学習の重要な要素としてますます重要になっています。
しかし、近似的な忘却はしばしば微妙な性能低下を引き起こし、それが負の影響や予期せぬ副作用を招くことがあります。
本研究では、このような低下が悪意ある攻撃へと増幅され得ることを示します。
\textbf{忘却汚染攻撃} の概念を導入します。これは、敵対者が慎重に選択されたノードを訓練グラフに注入し、その後それらの削除を要求する、というものです。
削除リクエストは法的に義務付けられており、拒否することはできないため、この攻撃の表面は避けられず、かつ巧妙です:訓練中はモデルは通常通り動作しますが、忘却が適用された後にのみ精度が崩れます。
技術的には、この攻撃を二階層の最適化問題として定式化します。ブラックボックス忘却とラベル不足という課題を克服するため、忘却プロセスを勾配ベースの更新で近似し、最適化のための擬似ラベルを生成する代替モデルを用います。
ベンチマークと忘却アルゴリズムを横断する広範な実験は、小さく、慎重に設計された忘却リクエストが著しい精度低下を誘発し得ることを示しており、現実世界の規制要請の下での GNN 忘却の頑健性に関する緊急の懸念を引き起こします。
論文受理時にソースコードを公開します。
忘却による攻撃: 忘却誘発のグラフニューラルネットワークに対する敵対的攻撃
arXiv cs.LG / 2026/3/20
📰 ニュースIdeas & Deep AnalysisModels & Research
要点
- 本論文は忘却汚染攻撃の概念を導入し、プライバシー保護の忘却がグラフニューラルネットワークに新たな攻撃面を生み出すことを示している。
- 攻撃者は訓練中に慎重に選択したノードを挿入し、後でそれらの削除を引き起こすことで、忘却後に精度が低下する一方、訓練時にはモデルが正常に見えることを示している。
- この攻撃は、勾配ベースの更新と偽ラベルを生成する代理モデルを用いた双階層の最適化として定式化されており、忘却プロセスを巧妙に悪用することを可能にする。
- ベンチマークと忘却手法を横断する広範な実験により、少量で設計の行き届いた忘却リクエストでも大幅な精度低下を引き起こすことが示され、現実世界のGNNシステムの頑健性と規制遵守に関する緊急の懸念を提起する。採択後にソースコードを公開する予定。
