道路標識に「人に見えないレーザー」照射 自動運転車を欺く攻撃 米国と日本の研究者らが発表：Innovative Tech

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

Twitter: ＠shiropen2

　米カリフォルニア大学アーバイン校、米フロリダ大学、米Toyota InfoTech Labs、電気通信大学に所属する研究者らが発表した論文「Invisible Reflections: Leveraging Infrared Laser Reflections to Target Traffic Sign Perception」は、赤外線レーザーを用いて交通標識にスポット光を照射し、自動運転車の認識システムを誤認させる攻撃を提案した研究報告である。

赤外線レーザーを道路標識に照射することで、自動運転車の認識を欺く攻撃の概要　標識に照射したレーザーは、人には見えないが、赤外線フィルターを持たない車載カメラからは認識可能

　自動運転車では、車に設置したカメラが捉えた映像を深層学習モデルで分析し、道路標識を識別する。このシステムの安全性を確保するため、AIに間違った標識を認識させるような攻撃の脅威を、自動運転車が普及する前に先駆けて理解するための研究が進められている。

　その一例として「敵対的パッチ」という手法が存在する。これは、AIを欺くために特別にデザインしたパターンのステッカーを標識に貼り付け、AIの誤認識を誘発するものだ。しかし、この手法は人間の目には不自然さが明らかであり、攻撃のステルス性は低い。

　一方、人間の目にも気付かれない攻撃方法の研究も進行中である。例として、車に設置したカメラにレーザーを当てて選択的に障害物や標識を見えなくする手法がある。しかし、移動する車にレーザーを正確に当て続けることは難しく、高度な技術を持つ攻撃者でなければ実行が困難である。

（関連記事：自動運転車の視界から“人だけ”を消す攻撃　偽情報をLiDARに注入　電通大などが発表）

　今回の研究では、赤外線レーザーを照射して道路標識にスポット光を投影し、その識別を誤らせる方法を提案。赤外線は人間には見えないが、赤外線フィルターを備えていない車載カメラには可視となる特性を利用したステルス性の高い攻撃である。

　またレーザーを静止している標識に向けるだけであり、特定の車を追跡する必要がないため、攻撃の実行は比較的容易であり、大きな脅威となる。

提案攻撃の生成プロセス

　実験は、室内／屋外（夜間と昼間）、車が動的／静的な条件などの環境で実施した。室内実験では対象の深層学習モデル全てで100％の攻撃成功率を得た。屋外環境でも80〜100％の攻撃成功率を確認し、特に夜間の条件下で高い攻撃成功率を確認できた。

屋外環境の実験シナリオ

　この成果は、2月に開催予定のセキュリティに関する国際会議 The Network and Distributed System Security Symposium（NDSS）にて発表が行われる予定である。プロジェクトページはこちら。

Source and Image Credits: Takami Sato, Sri Hrushikesh Varma Bhupathiraju, Michael Clifford, Takeshi Sugawara, Qi Alfred Chen, Sara Rampazzi. Invisible Reflections: Leveraging Infrared Laser Reflections to Target Traffic Sign Perception.