人間は、XNUMX つの目と XNUMX つの耳だけを使って周囲の世界を感知し、許容できる方法で運転することができます。 自動運転車には、全体的により複雑なセンサー パッケージが装備されています。 これらは通常、前方の道路状況を検出するために、レーダー、ライダー、超音波センサー、またはカメラのすべてが連携して動作することに依存しています。
人間は非常に狡猾でだまされにくいですが、私たちの友人であるロボットを運転するロボットはそれほど頑強ではありません。 一部の研究者は、LiDAR センサーがスプーフィングされ、障害物を隠したり、自動運転車を騙して衝突させたり、さらに悪化させたりする可能性があることを懸念しています。
どこへ行った?
LiDAR は、レーダー技術に相当する光ベースであるため、そのように名付けられました。 ただし、レーダーとは異なり、通常はそれ自体が単語ではなく、頭字語として扱われます。 この技術は、レーザー パルスを送信し、環境から反射された光をキャプチャします。 離れた物体から戻ってくるパルスは、LiDAR センサーに戻るまでに時間がかかるため、センサーは周囲の物体の範囲を特定できます。 これは通常、自動運転用のゴールド スタンダード センサーと見なされています。 これは、車載環境での物体検出において、レーダーよりも精度と信頼性が高いためです。 さらに、通常の 2D カメラでは得られない非常に詳細な深度データを提供します。
新しい研究論文 LiDARセンサーをだます敵対的な方法を実証しました。 この方法では、レーザーを使用して、特定のオブジェクトが LiDAR センサーによって「見られる」ことを選択的に隠します。 この論文では、これを「物理的除去攻撃」または PRA と呼んでいます。
攻撃の理論は、LiDAR センサーの仕組みに依存しています。 通常、これらのセンサーは弱い反射よりも強い反射を優先します。 これは、攻撃者によって送信された強力な信号が、環境からの弱い反射よりも優先されることを意味します。 LiDAR センサーとその上にある自動運転フレームワークも、通常、センサーから特定の最小距離未満の検出を破棄します。 これは通常、50 mm から 1000 mm 程度離れています。
この攻撃は、LiDAR デバイスが受信することを期待している実際のエコーを模倣する赤外線レーザー パルスを発射することによって機能します。 センサーによってスプーフィングされたポイントの認識位置を制御するために、パルスは被害者の LiDAR センサーの起動時間と一致するように同期されます。 センサーでエコーを模倣するために明るいレーザーパルスを発射することにより、センサーは通常、視野内の物体から拾われたより弱い実際のエコーを無視します。 これだけでも、LiDAR センサーから障害物を隠すには十分かもしれませんが、センサーのすぐ近くにスプーフィングされたオブジェクトが作成されるようです。 ただし、多くの LiDAR センサーは近すぎるエコー リターンを破棄するため、センサーはそれらを完全に破棄する可能性があります。 センサーがデータを破棄しない場合、ポイント クラウド出力で実行されているフィルター処理ソフトウェア自体が破棄する可能性があります。 その結果、LiDAR は、障害物を拾うべき領域に有効な点群データを表示しません。
この攻撃にはある程度の知識が必要ですが、驚くほど実用的です。 自動運転車で使用されるさまざまなタイプの LiDAR をターゲットにして、適切なスプーフィング装置を作り上げるために、いくつかの調査を行うだけで済みます。 攻撃者が道端などから LiDAR に向かって誤ったエコーを発射している場合でも、攻撃は機能します。
これは、LiDAR センサー データに依存する自動運転システムにとって危険な意味を持ちます。 この手法により、攻撃者は自動運転車から障害物を隠すことができます。 信号で車を止めることができるように、横断歩道の歩行者を LiDAR から隠すことができます。 自動運転車が前方の障害物を「認識」しない場合、前方に進み、その障害物を通り抜けたり、侵入したりすることがあります。 この手法では、遠くにあるオブジェクトよりも近くにあるオブジェクトを隠すのが難しくなります。 ただし、オブジェクトを数秒でも隠すと、自律型車両が隠れた障害物を最終的に検出したときに停止する時間が短すぎる可能性があります。
LiDAR のビューからオブジェクトを消去する以外に、他のスプーフィング攻撃も可能です。 研究者による以前の研究では、LiDAR センサーをだましてファントム オブジェクトを認識させました。 これを達成するのは非常に簡単です – 前方に壁やその他の障害物があることを示す被害者 LiDAR に向けてレーザー パルスを送信するだけで済みます。
研究チームは、この手法に対するいくつかの防御策があることに注目しています。 この攻撃は、LiDAR が報告したポイント クラウドから角度のあるスライスを切り出す傾向があります。 このギャップを検出すると、除去攻撃が行われている可能性があることを示している可能性があります。 別の方法として、LiDAR ポイント クラウドで検出された (または検出されなかった) オブジェクトによってキャストされると予想されるシャドウと比較する方法があります。
全体として、自動運転車がより主流になるにつれて、スプーフィング攻撃に対する保護が重要になる可能性があります。 同時に、防御するのが現実的で何が現実的でないかを熟考することが重要です。 たとえば、人間のドライバーは、車が高架から投げられた卵や岩にぶつかると衝突する可能性があります。 自動車メーカーは、卵の汚れを取り除くための高度なアンチロック レーザーやスーパー ワイパーを設計しませんでした。 代わりに、これらの攻撃を思いとどまらせるために法律が施行されています。 高速道路の脇で複雑なレーザー ギアを持って走り回っている悪意のある人物に同様の施行を拡張するだけの問題かもしれません。 おそらく、ある程度の両方のアプローチが必要になるでしょう。