要約: 垂直型連邦学習(VFL)は、トップモデルを持つ能動的パーティと、ボトムモデルを持つ複数の受動的パーティが協力できるようにします。 このシナリオでは、特徴のみを所持する受動的パーティが能動的パーティのプライベートなラベルを推測しようとする可能性があり、ラベル推論攻撃(LIAs)を重大な脅威となります。 従来のLIAs研究は、十分に訓練された下位モデルがラベルを効果的に表現できると主張してきました。 しかし、この見解は誤解を招くものであり、既存のLIAsの脆弱性を露呈します。 相互情報量を活用することにより、VFLにおける「モデル補償」現象の初観測を提示します。 理論的に、VFLにおいて層の出力とラベルとの間の相互情報量は層の深さとともに増加することを証明します。これにより、下位モデルが主に特徴情報を抽出し、上位モデルがラベルのマッピングを担うことが示されます。 この洞察に基づき、既存のLIAsの成功が実際には特徴とラベルの分布整合性に起因することを示すため、タスク再割り当てを導入します。 この整合性が崩れると、LIAsの性能は急激に低下するか、完全に機能しなくなることさえあります。 さらに、この洞察が防御に与える影響についても調査しています。 層の調整に基づくゼロオーバーヘッドの防御手法を提案します。 5つのデータセットと5つの代表的なモデルアーキテクチャを対象とした広範な実験は、切断層を前方へ移動して全体のモデルにおけるトップモデル層の割合を増やすことが、LIAsに対する耐性を高めるだけでなく、他の防御策も強化することを示しています。
Revisiting Label Inference Attacks in Vertical Federated Learning: Why They Are Vulnerable and How to Defend
arXiv cs.LG / 2026/3/20
📰 ニュースIdeas & Deep AnalysisModels & Research
要点
- 本論文は垂直型フェデレーテッドラーニングにおけるラベル推論攻撃(LIA)を検討し、特徴抽出のみに焦点を当てる下位モデルがある場合でもLIAは依然として脆弱性であることを示し、相互情報量を用いて『モデル補償』現象を明らかにする。
- 本研究は、垂直型フェデレーテッドラーニングにおいて、層の出力とラベルの間の相互情報量が層の深さとともに増大することを証明する。これにより、上位モデルがラベルのマッピングを担い、下位モデルが主に特徴を抽出することを示している。
- 著者らは特徴とラベル間の分布整合性を破るためのタスクの再割り当てを導入し、この整合性を乱すことがLIAの成功を著しく低減させることを示している。
- 彼らはレイヤー調整に基づくゼロオーバーヘッドの防御を提案し、分割点のレイヤーを前方へずらすことでトップモデルのレイヤーの割合を増やし、それによってLIAおよび他の防御に対する耐性を向上させる。
- 5つのデータセットと複数のモデルアーキテクチャにまたがる広範な実験を通じて防御を検証し、セキュアなVFLの導入に向けた実践的な示唆を明らかにしている。
