L4自動運転の脆弱性: 認識アルゴリズムは人工の3D悪意のある障害物を回避できない可能性がある

最近、ある調査により、レベル4自動運転で使用されるマルチセンサーフュージョンベースの認識技術にセキュリティ上の脆弱性があることが判明しました。攻撃者は、3Dプリントされた悪意のある障害物を道路の真ん中に配置し、自動運転車のカメラとLiDAR機械学習検出モデルがそれを認識して直接衝突することを不可能にすることができます。

「カメラとLiDARの両方で不可視：物理世界攻撃下における自動運転におけるマルチセンサー融合ベースの認識のセキュリティ」と題されたこの研究は、4大コンピューターセキュリティカンファレンスの1つであるIEEE S&P 2021で正式に発表されました。研究チームはカリフォルニア大学アーバイン校（UCIrvine）のもので、自動運転とインテリジェント交通の研究を専門としています。

自動運転システムでは、周囲の環境をリアルタイムで認識することが、すべての重要な運転判断の最も基本的な前提条件です。現在、レベル4の自動運転システムは徐々に実用化されつつある。百度は北京、長沙、滄州で無人タクシーの大規模テストを開始し、ウェイモは米国フェニックスで安全運転手を必要としない完全自動運転タクシーのテストを開始した。

国際自動車技術協会は、自動運転を L1 から L5 までの 5 つのレベルに分類しています。L5 は完全自動化の最高レベルで、L4 は高度に自動化されており、機械がすべての操作を引き継ぎ、人間がすべてのシステム要求に応答する必要がありません。レベル 4 の自動運転に関するジョークがあります。レベル 5 とよく似ていますが、ユーザー マニュアルには長い免責事項のリストがあり、その中心にある考え方は、これは許可されていない、あれは許可されていないということです。

L4 自動運転システムでは、一般的にマルチセンサー融合設計が採用されており、LiDAR やカメラなどのさまざまな認識ソースを融合して、正確で堅牢な認識を実現します。

マルチセンサー融合アルゴリズムでは、すべてのセンシングソースが同時に攻撃されない、または同時に攻撃される可能性があるという前提があります。この基本的なセキュリティ設計の仮定は一般的に有効であるため、マルチセンサー融合は、既存の無人車両認識攻撃 (単一認識ソース攻撃) に対する効果的な防御戦略であると考えられることがよくあります。

カリフォルニア大学アーバイン校 (UCIrvine) の研究者らは、自動運転のためのマルチセンサー融合認識において、すべての認識ソースを同時に攻撃する可能性を実証しました。研究者らは、現実世界の認識プロセスでは、このマルチセンサー融合障害物認識に抜け穴があり、研究者らが設定した障害物をうまく検出できず、直接衝突してしまうことを発見した。

具体的には、3D 障害物のさまざまな形状によって、LiDAR ポイント クラウド内のポイント位置とカメラ画像内のピクセル値が同時に変化する可能性があるため、攻撃者は形状操作を悪用して、カメラと LiDAR の両方に入力の摂動を導入することができます。

[[408066]]

現実の道路上に現れる奇妙な形や損傷した物体は、研究者の物理世界攻撃ベクトルによってシミュレートできる。それは、操作可能な形状を持つ敵対的な3Dオブジェクトである。

この脆弱性の深刻度を評価するために、研究者らは、マルチセンサー融合に基づく無人車両認識アルゴリズムで上記の悪意のある 3D 障害物を自動的に生成できる MSF-ADV 攻撃を設計しました。研究者らのこの設計により、実生活での攻撃の有効性、堅牢性、隠蔽性、実現可能性が向上します。

研究者らはテスト用に 3 種類の障害物 (交通コーン、おもちゃの車、ベンチ) を選択し、実際の運転データに基づいて評価しました。彼らの結果によると、この攻撃はさまざまな障害物タイプとマルチセンサー融合アルゴリズムにわたって 91% 以上の成功率を達成しています。

現実世界での攻撃の実現可能性と深刻さを理解するために、研究者らは生成された悪意のある障害物を 3D プリントし、マルチセンサー融合認識を使用して実際の車で評価しました。

[[408067]]

研究者らは、合計 108 個のセンサー フレームのうち 107 個 (99.1%) で、悪意のある障害物がマルチセンサー フュージョンによる検出をうまく回避できることを発見しました。研究者らは、小規模な実験環境で、ランダムにサンプリングされたさまざまな場所でのマルチセンサー融合認識による検出を回避する悪意のある障害物の成功率が 85 ～ 90% であること、またこの有効性が転用可能であることを発見しました。

研究者たちは、より実用的な防御方法は、さまざまな場所にカメラやLiDARなど、より多くの認識源を統合すること、またはレーダーの追加を検討することだと考えています。しかし、これは根本的にそれを防ぐことはできず、悪意のある攻撃をより困難にするだけです。

2021年5月18日時点で、研究者らは自動運転車の開発やテストを行う31社に脆弱性を報告しており、そのうち19社（約61％）が回答し、現在その影響や​​範囲を調査中であると述べています。