自動運転車の視界から“人だけ”を消す攻撃 偽情報をLiDARに注入 電通大などが発表：Innovative Tech

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

　米ミシガン大学、米フロリダ大学、電気通信大学による研究チームが発表した論文「You Can’t See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks」は、自動運転車の周囲を検知するセンサーにレーザー光を物理的に照射して、選択的に障害物を見えなくする攻撃を提案した研究報告だ。偽の情報を注入するスプーフィング攻撃で自動運転車の物体検出モデルに影響を与え安全を脅かす。

この攻撃により、自動運転車の前の横断歩道を渡る歩行者が除去されている様子

　自動運転車の知覚システムは、LiDARやカメラ、レーダーなどのセンサーを活用して、障害物回避やナビゲーション制御を行う。特にLiDARは、車両周囲の深度計測を3D点群として高精度に取得し、障害物を検出するために使用される。

　これまでにもLiDARの脆弱性を実証した研究は報告されているが、実在の場面に対し、偽の物体を付け加えることしかできなかった。それに対し、LiDARの点群情報を部分的に除去して運転に影響を与えられるかの検証は未解決であった。

　そこでこの研究では、回転式LiDARが取得する点群情報を選択的に除去する攻撃「Physical Removal Attacks」（PRA）を提案する。攻撃方法は、LiDARセンサーの近傍に特定のタイミングで不可視のレーザーパルスを物理的に遠隔照射することで行う。移動中の車に対しては、LiDARをカメラで捉え物体検出モデルで追跡して照準を合わせる。

　そもそもLiDARとは、見えない光を発射して周囲の障害物に当たって跳ね返った反射光の時間を計測することで障害物までの距離を導く、コウモリやイルカなどが持つ能力エコーロケーションに類似している。今回の攻撃は、偽の反射光を作り出し、LiDARが場面をスキャンする回転に合わせて特定のタイミングで照射することで3D計測を欺く。

　この偽の反射光は、実在する対象物からの反射光を押しのけるが、その後の信号処理で除去される。この攻撃により、LiDARを中心とした指定した円すいエリア上の点群だけを削除することができる。このエリア上に歩行者がいれば、歩行者がいないものと知覚される。

攻撃の概要

LiDARを中心とした円すいエリア上の点群が物理的に除去され、その上に歩行者が通ればいないものと知覚される

　評価実験では、自動運転の研究で一般的に利用される3つの障害物検知システム（Apollo、Autoware、PointPillars）と、3つのセンサーフュージョンモデル（Frustum-ConvNet、AVOD、Integrated-Semantic Level Fusion）に対して攻撃が通用するかを検証した。

　その結果、全てに対して効果の有効性を示し、円すいエリアの方位角45度まで削除できることが分かった。さらに、時速5kmで走行する車両に対して攻撃を行った実験では、点群のうち90％を除去し、92.7％の成功率で物体検出を阻害した。

（上）LiDARが本来受け取るデータでは車両の前に歩行者がいる、（下）攻撃によって歩行者の点群情報が除去されたシーン

　攻撃者はこの効果を利用して、車両前方の物体、他の車両、または歩行者を隠すことで、衝突を引き起こしたり、緊急回避のための急ハンドルや隣接車線へのはみ出しを引き起こしたりすることができる。

Source and Image Credits: Cao, Yulong, et al. “You Can’t See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks.” arXiv preprint arXiv:2210.09482 (2022).