指数族ベースのメンバーシップ推定: LiRAとRMIAからBaVarIAへ

要旨: メンバーシップ推定攻撃（MIAs）は、機械学習モデルのプライバシーを評価する標準的なツールとなりつつある。主要な攻撃である LiRA（Carlini ら、2022）と RMIA（Zarifzadeh ら、2024）は、それぞれ異なるスコアリング戦略を用いているように見える。一方、最近提案された BASE（Lassila ら、2025）は RMIA と同等であることが示され、実務者がどれを選べばよいか難しい状況となっていた。我々は、3者すべてが単一の指数族対数尤度比フレームワークの事例であり、分布仮定とデータ点あたり推定されるパラメータ数が異なるだけだと示す。この統一は、RMIAとLiRAを、モデルの複雑さが増大するスペクトラムの端点として結ぶ階層（BASE1-4）を明らかにする。このフレームワークの下で、分散推定が小規模なシャドーモデル予算での主要なボトルネックであることを特定し、閾値ベースのパラメータ切替を共役正規-逆ガンマ事前分布に置換するBaVarIAというベイズ分散推定攻撃を提案する。BaVarIA は、Student-t 予測（BaVarIA-t）または分散を安定化させたガウス分布（BaVarIA-n）を生み出し、追加のハイパーパラメータ調整なしで安定した性能を提供する。12のデータセットと7つのシャドーモデル予算にわたる実験では、BaVarIA は LiRA および RMIA と同等か、それを上回り、実務上重要な低シャドーモデル予算とオフラインの設定で最大の改善を示す。