“偽車検ステッカー”をフロントガラスに装着→こっそり盗聴＆音声アシスタントを不正操作 海外チームが発表：Innovative Tech

中国海洋大学とシンガポールの南洋理工大学に所属する研究者らは、車外からフロントガラスに小型デバイスを取り付けることで、車内の音声アシスタントを不正に操作できることを実証した研究報告を発表した。

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

X： ＠shiropen2

　中国海洋大学とシンガポールの南洋理工大学に所属する研究者らが台湾で開催されたACM CCS 2025で発表した論文「Threat from Windshield: Vehicle Windows as Involuntary Attack Sources on Automotive Voice Assistants」は、車外からフロントガラスに小型デバイスを取り付けることで、車内の音声アシスタントを不正に操作できることを実証した研究報告だ。

車検ステッカーに偽装した小型装置がフロントガラスから運転者の声を盗聴し、超音波で偽の音声コマンドを車内の音声アシスタントに注入する攻撃の仕組み

　研究チームが開発した「ShieldSpear」と呼ばれる攻撃システムは、35（縦）×35（横）mmのコインサイズ（15mmの厚さ）の圧電素子を使用する。この素子をフロントガラスの外側に貼り付けることで、ガラス全体を巨大なスピーカーとマイクに変換する仕組みだ。圧電効果により、電圧を加えると素子が変形してガラスを振動させ、逆に音波によるガラスの振動を電気信号としても検出できる。

攻撃者が車外からフロントガラスに圧電素子を貼り付け、ガラス全体を振動させて車内に超音波信号を送信する攻撃の概念図

　この攻撃は、人間には聞こえない超音波領域の信号を使っている。18〜48kHzの周波数帯で変調された偽の音声コマンドは、マイクの非線形特性により可聴域に変換され、音声アシスタントに認識される。

　このシステムは運転者の声紋を盗み取り、それを使って偽のコマンドを生成する能力を持つ。フロントガラスをマイクとして使うことで、運転者がわずか5秒間話すだけで、その声の特徴を捉えられる。クラウドベースのゼロショット音声クローニング技術により、収集した声紋から運転者の声を模倣した偽コマンドを生成。これにより、多くの車両で採用されている声紋認証システムも突破可能となる。

ShieldSpearの攻撃フロー

　実験は5つの主要車種で行われ、Tesla Model Y、Toyota Camry、BYD Han、Li Auto L6、Mercedes-Benz C-Classが対象となった。さらに、Apple CarPlayとAndroid Autoも含めて評価した。結果、全体で90.9％という高いコマンド実行成功率を記録。時速80km以下の走行中で60％以上の成功率を維持し、60dBまでの車内騒音環境下で80％以上の成功率を達成している。

　攻撃デバイスは車検ステッカーなどに偽装可能で、一度設置されれば自律的に動作する。600mAhのバッテリーで約4時間の連続動作が可能で、攻撃者は車両に近づく必要がない。

　注入される偽コマンドには「ドアのロックを解除」「音量を最大にする」「ナビゲーションをキャンセルする」「サイドミラーを折りたたむ」などが含まれ、運転者を驚かせて注意をそらし、事故のリスクを高める可能性がある。

Source and Image Credits: Wang, Penghao & Huai, Shuo & Cao, Yetong & Liu, Chao & Luo, Jun.（2025）. Threat from Windshield: Vehicle Windows as Involuntary Attack Sources on Automotive Voice Assistants. 10.1145/3719027.3765171.