顔検出器を攻撃対象としたRemote Adversarial Patchの検討

本論文では，顔検出器を攻撃対象とした Remote Adversarial Patch（RAP）の攻撃実現性について議論する．顔検出器を攻撃対象とした RAP は，一般物体検出器を攻撃対象とした場合と比較して次のような困難な点が存在する．(1) 様々なスケールの物体が検出対象であり，特に小さな顔については検出の根拠となる特徴量の畳み込み量が少なく，推論結果に影響を及ぼす範囲の制約が大きい．(2) 2 クラス分類問題であるため，クラス間の特徴のギャップが大きく，推論結果を別クラスへ誘導する攻撃が困難である．本論文では，それぞれの問題に対して，新たなパッチの配置方法と損失関数を提案する．生成されたパッチは多クラス物体検出器に対する RAP 生成手法を顔検出器に転用したものと比較して，優れた検出妨害効果を示した．