LiDARセキュリティ最前線（2025年）

Transcript

1. LiDARセキュリティ最前線(2025年) 吉岡 健太郎 慶應義塾大学理工学部電気情報工学科准教授 1

2. ・2014 Graduate@Keio Univ. ・2014-2021 Toshiba Research ・2017-2018 Stanford Visiting Scholar

   @Mark Horwitz Group ・2021-Keio Univ. Assistant Prof. Keio CSG PI https://sites.google.com/keio.jp/keio-csg/ 自己紹介 Slide 2

3. ・2014 Graduate@Keio Univ. ・2014-2021 Toshiba Research ・2017-2018 Stanford Visiting Scholar

   @Mark Horwitz Group ・2021-Keio Univ. Assistant Prof. ・Expertise: Mixed-signal circuit design, LiDAR design, ML accelerators, LiDAR Security 自己紹介 WiFi/ADCs VLSI 2020 ISSCC2018 JSSC 2018 ISSCC 2020 JSSC 2020 LiDAR SoCs ISSCC2017 ISSCC2018 JSSC2018 TVLSI2019 CIM/AIアクセラレータ ISSCC2024 ASP-DAC2024 Slide 3

4. Slide 4 ◼ 自動車へのセンサ幻惑攻撃の歴史 ◼ LiDARセンサ幻惑攻撃の課題 ◼ 我々のLiDARセンサ幻惑攻撃の研究紹介 ◆ T.

   Sato, et al, “LiDAR Spoofing Meets the New-Gen: Capability Improvements, Broken Assumptions, and New Attack Strategies” (NDSS’24) ◆ T. Sato, et al, "On the Realism of LiDAR Spoofing Attacks against Autonomous Driving Vehicle at High Speed and Long Distance", (NDSS’25) ◆ N. Nagata et al, “SLAMSpoof: Practical LiDAR Spoofing Attacks on Localization Systems Guided by Scan Matching Vulnerability Analysis” (ICRA’25) 今日の内容

5. ◼ 日本の交通事故年間死亡者数：2,636人 ◆10代の死因1位 ◆20代の死因2位 ◼ 自動運転時代への変革はSociety5.0の柱 ◆交通事故被害者を大幅に減らす期待 ◆AIの発展に加え、高精度な3Dセンサ LiDARの活用 によって大きく技術進歩

   ⚫LiDAR: Light Detection and Ranging ◼ 自動運転車(AV)の対人事故はセンシティブな問題 ◆死亡事故を起こしたUberは信用回復できず撤退 研究背景：自動運転社会への変革 Uber社の自動運転車 [wired.com] 年代 第1位 第2位 1～19 交通事故 自殺 20～34 自殺 交通事故 34～49 自殺 がん 交通事故 (第5位) 50～64 がん 心疾患 交通事故 (第5位) [2010年厚生省統計より作成] 5

6. Waymo Driverless Car 6

7. ◼ アメリカ（一部）では自動運転が一般的に利用可能に ◆しかしセキュリティ的な問題はつきまとう ◼ サンフランシスコの “三角コーン”攻撃 ⚫ 車は人が乗ったと誤認識し、 動けなくなってしまう ⚫

   Cruise車が被害に 自動運転セキュリティ https://www.bbc.com/news/technology-66611513 7

8. ◼ センサへの攻撃で自動運転システムを騙す新たなセキュリティ危機 ◆特に中核的センサであるLiDARの脆弱性を突き 任意座標に虚偽データを注入するセンサ幻惑攻撃は重大な脅威 ◼ 悪用した事件が起きると自動運転に対する社会的信頼は失墜 ◆自動運転社会への変革が困難に 研究背景：センサ幻惑攻撃の脅威 センサ幻惑攻撃 LiDAR

   事件を未然に防ぐためセンサセキュリティ研究が必要 攻撃レーザ 実車点群 虚偽データ 任意座標 虚偽データ注入 急ブレーキ誘発 搭乗者負傷 8

9. ◼ センサ幻惑攻撃 ◆Sensor spoofing attack (センサなりすまし攻撃） ◆センサに偽の信号を打ち込むことでデータ計測を誤らせる攻撃 センサ幻惑攻撃とは？ 9 Xu,

   “Analyzing and Enhancing the Security of Ultrasonic Sensors for Autonomous Vehicles” IoT Journals, 2018.

10. ◼ Wenyuan, DefCon’16, “Can You Trust Autonomous Vehicles: Contactless Attacks

    against Sensors of Self-driving Vehicle” ◆テスラのソナー、レーダーに対するspoofing攻撃に成功 自動車におけるセンサ幻惑攻撃の歴史 10

11. ◼ Wenyuan, DefCon’16, “Can You Trust Autonomous Vehicles: Contactless Attacks

    against Sensors of Self-driving Vehicle” ◆テスラのソナー、レーダーに対するspoofing攻撃に成功 自動車におけるセンサ幻惑攻撃の歴史 11

12. LiDARとは 12

13. ◼ Petit, Blackhat’15 “Remote Attacks on Automated Vehicles Sensors: Experiments

    on Camera and LiDAR” (現Qualcom) ◆LiDAR spoofingに初めて成功した研究 ◆“リレーアタック”と呼ばれる攻撃 ⚫LiDARパルスを受光→複製して返す ⚫偽の“壁”を出現可能 LiDARへのセンサ幻惑攻撃 13

14. ◼ Petit, Blackhat’15 “Remote Attacks on Automated Vehicles Sensors: Experiments

    on Camera and LiDAR” (現Qualcom) ◆LiDAR spoofingに初めて成功した研究 ◆“リレーアタック”と呼ばれる攻撃 ⚫攻撃装置より後方にしか偽点群を出現 できない → 自動運転への脅威は限定的 LiDARへのセンサ幻惑攻撃 14

15. ◼ Cao, CCS’19, ”Adversarial Sensor Attack on LiDAR-based Perception in

    Autonomous Driving” (ミシガン大） ◆同期型LiDAR幻惑攻撃手法を成熟 ◆任意形状の点群注入が可能であることを示唆 LiDARへのセンサ幻惑攻撃 15 Laser ToF Meas. PD Laser PD ToF LiDAR Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD ToF Attack laser

16. ◼ dToF LiDARはTime-of-Flight(ToF)により距離計測 ◆Distance = ToF*c/2 (c: light speed) ◆ある時間にレーザパルスを打ち込むことで、原理的には任意データを注入可能

    →スキャン方法が既知ならば、フォトディテクタを用いてスキャンと完全同期可能 LiDARセンサ幻惑攻撃の原理 Laser ToF Meas. PD Laser PD ToF LiDAR Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD ToF Attack laser 16

17. ◼ dToF LiDARはTime-of-Flight(ToF)により距離計測 ◆Distance = ToF*c/2 (c: light speed) ◆ある時間にレーザパルスを打ち込むことで、原理的には任意データを注入可能

    ◆→測定タイミングが既知ならば、フォトディテクタを用いて測定と完全同期可能 LiDARセンサ幻惑攻撃の原理 Laser ToF Meas. PD Laser PD ToF LiDAR Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD ToF 17 存在しない データを印加！

18. LiDARセンサ幻惑攻撃の原理 18 ◼ LiDAR(VLP-16)のスキャンタイミングには完全に同期可能 ◆スキャンタイミングは決定論的でデータシートに記載 ◆ある垂直角のみデータ注入/ある水平角のみデータ注入 を繰り返す事で、原理上は完全な任意形状の偽装点群を注入可能 Cao, ”Adversarial Sensor

    Attack on LiDAR-based Perception in Autonomous Driving” CCS’19

19. ◼ 偽点群をコントロールできていない ◆構成機器の性能不足？ ◆光学系の設計が不十分？ “注入型センサ幻惑攻撃”の課題 19 Cao et al. 2019

    Hallyburton et al. 2022 Sun et al. 2020

20. Slide 20 ◼ センサ幻惑攻撃の歴史 ◼ LiDARセンサ幻惑攻撃の課題 ◆“注入型“攻撃 ◼ 我々のLiDARセンサ幻惑攻撃の研究紹介 ◆T.

    Sato, et al, “LiDAR Spoofing Meets the New-Gen: Capability Improvements, Broken Assumptions, and New Attack Strategies” (NDSS’24) ◆1. 任意形状攻撃の実現 ◆2. 次世代LiDARへの攻撃 今日の内容

21. 吉岡研における任意形状攻撃の実現 [NDSS’24] Received Pulse Generating arbitrary pulse 21 ◼ 強力な信号発生器(FG)

    による性能強化 ◼ 緻密な光学系の設計 レンズ LD 調節ネジ

22. ◼ 従来のx10以上の点群を注入し、座標も完全にコントロール ◆Chosen Pattern Injection(任意形状注入）攻撃 ◆車、人といった形状の注入が可能であることを実証 ⚫実物と同様の形状が注入できるならば、アルゴリズム面の防御は難しい？ 吉岡研における任意形状攻撃の実現 [NDSS’24] 22

23. ◼ センサ幻惑攻撃デモの様子 ◆動的に攻撃レーザパターンを書き換えることで 動画注入も可能 吉岡研における任意形状攻撃の実現 [NDSS’24] 23 VLP-16 Attack laser

    PD

24. 24

25. Slide 25 ◼ センサ幻惑攻撃の歴史 ◼ LiDARセンサ幻惑攻撃の課題 ◆“消去型“攻撃 ◼ 我々のLiDARセンサ幻惑攻撃の研究紹介 ◆T.

    Sato, et al, “LiDAR Spoofing Meets the New-Gen: Capability Improvements, Broken Assumptions, and New Attack Strategies” (NDSS’24) ◆1. 任意形状攻撃の実現 ◆2. 次世代LiDARへの攻撃 今日の内容

26. ◼ 従来のセンサ幻惑攻撃は古いLiDARのみ実施 (VLP-16) ◼ 疑問: これらの攻撃は最近発売されたLiDAR（次世代LiDAR）へも攻撃は 成功するのか？ ◆我々の研究グループでは次世代LiDARを含む大規模攻撃実験を実施 ◆次世代LiDARが持つ干渉回避技術はspoofingの防御にも有効な事を発見 次世代LiDARへの攻撃

    26

27. ▪ 複数LiDAR利用時の干渉問題 ◆ 他のLiDARと自身のレーザ光が混在 →正しい点群が得られない ▪ 次世代LiDARは干渉回避手法を搭載 ◆ 信号処理能力の向上により実現 ◆

    測距間隔ランダム化 • 測距タイミングをずらして同期防止 ◆ パルスシグネチャ • パルスに認証情報を載せて 返ってきたパルスを選択 次世代LiDARの干渉回避技術 27

28. ▪ 従来のセンサ幻惑攻撃にはLiDARスキャンとの同期が必要 前提として対象LiDARの測距タイミングを予測して攻撃するには： 1. LiDARの測距タイミングが予測可能であること 2. LiDARの受け入れるパルスの形状が既知であること ▪ 次世代LiDARでは同期攻撃は.. ▪

    測距間隔のランダム化 →測距タイミングの予測が不可能 ◆ パルスシグネチャ →認証を突破しなければ、攻撃成立せず →注入型、消去型攻撃いずれも攻撃は困難? 従来のセンサ幻惑攻撃の問題点 28

29. ▪ 次世代LiDARにも適用可能なセンサ幻惑攻撃はないか？ →次世代を含む複数のLiDARへ有効な高周波パルス攻撃を発見 我々のアプローチ 29

30. ▪ 高周波(400 kHz~)のレーザパルスをLiDARに照射 ◆ LiDARは最も強いパルスを正しいものと認識 ◆ 真のパルスより強い偽のパルスをランダムに受光 • 真のパルスが無効化→真の点群が消失 ▪

    パルスの方が瞬間的に強い光の射出が容易 →飽和攻撃よりも高い攻撃能力(5000~pts) 高周波パルス照射による消失型攻撃(HFR攻撃) 通常時 攻撃時 30

31. ▪ 屋外でLiDARに対して攻撃 ▪ 攻撃により自動車の点群が消失、物体検出されないことを確認 →自動運転システムへのHFR攻撃の有効性を実証 HFR攻撃による自動車の消失 VLP-16に対してHFR攻撃。Apollo 6.0 + PointPillarsで物体検知

    31

32. ▪ 次世代LiDARを含むLiDARへHFR攻撃を実行 ▪ 第1世代・ランダム化を持つLiDARへは 多くの点群の消失を確認 →ランダム化に対してもHFR攻撃が有効 ▪ パルスシグネチャを持つLiDARには 消失数少 LiDAR実機への攻撃評価

    LiDAR 世代 干渉回避 消失点数 VLP-16 第1世代 - 5358 VLP-32c 第1世代 - 8778 NG-B 次世代 ランダム化 20847 NG-C 次世代 ランダム化 205730 匿名 次世代 ランダム化 4108 NG-D 次世代 パルス シグネチャ 274 NGLiDARへのHFR攻撃による点群の消失 32

33. ◼ 走行車両に対する追従攻撃の評価が未実施 ◆多くの先行研究は固定されたLiDARに対して攻撃 ⚫ 追従攻撃を行なっている研究でも 低速(≦5km/h)・近距離(~20m)・正面からの評価 ◆一般的な走行シーンでのセンサ幻惑攻撃の脅威度が不明 LiDARセキュリティ研究の問題点 自動運転車の安全性の観点から 追従攻撃の実現可能性を評価し適切な対策を立てる必要性

    Ryo Suzuki(33/22) 先行研究での追従

34. ◼ Research question: 市街地走行に近いシーンで攻撃は可能なのか？ ◆100m先のLiDARにレーザを狙える？ ◆60km/hで走行するLiDARをトラッキングできる？ ◼ 60km/hで巡航する車両+Autoware制御の自動運転車に対する攻撃を 世界で初めて成功 実車両への攻撃[NDSS’25]

    34

35. ◼ Challenge: ◆100m先のLiDARにレーザを狙える？ ◆60km/hで走行するLiDARをトラッキングできる？ ◼ IRカメラベースの検知＋トラッキングを提案 ◆LiDAR自身が発するレーザ光のみ捉えることで、110m先からでも 安定して追従可能 実車両への攻撃[NDSS’25] 35

36. ◼ Challenge: ◆100m先のLiDARにレーザを狙える？ ◆60km/hで走行するLiDARをトラッキングできる？ ◼ レーザの並列化により 先行研究の約110倍のビーム面積を達成 実車両への攻撃[NDSS’25] 36 LD:

    Laser Diode 赤外線カメラ サーボモータ LD レンズ 攻撃装置

37. ◼ 高速走行車両に対する消失型攻撃実験 ◆最大速度： 60 km/h ◆開始距離： 70 m遠方から ◆結果 ⚫中距離(20~70m)：安定して攻撃が成功

    ➢全速度で平均95%以上の点群消失 ⚫近距離(0~20m) ➢角速度増加で成功率がやや低下 ➢概ね80%以上の点群は消失 実車両への攻撃[NDSS’25] 実験環境 車両-歩行者間距離 (m) 60 km/hにおける制動距離 通常走行する車両に対して 攻撃が脅威となりうることを実証 37

38. 追従攻撃実験 動画 38

39. ◼ 自動運転システムに対するend-to-end(E2E)攻撃実証 ◆センサ幻惑攻撃が自動運転システムに与える 影響を調査するためにE2E攻撃評価を実施 ◆自動運転開発用のPIXKITを用いて 自動運転車の環境を構築 ◆自動運転システムには OSSのAutowareを使用 ⚫多くの自動運転プロジェクトに採用 ⇒検証による社会的影響

    大 自動運転システムへの影響 Autoware :自動運転用OSS PIXKIT :自動運転開発用キット 39

40. ◼ 実験方法 1. Pixkitの走行位置に模擬自動車を配置 2. LiDARへ消失型センサ幻惑攻撃 3. 自動運転システムの挙動を確認 ◼ 結果

    ◆攻撃によりシステムが自動車を認識できずに衝突 自動運転システムへの影響 実験環境 現行の自動運転システムに対してもセンサ幻惑攻撃が脅威であることを実証 40

41. 自動運転システムへの影響 動画 非攻撃時 攻撃時 Ryo Suzuki(41/22)

42. ◼ SLAM (Simultanious Localization And Mapping) ◆地図作成と自己位置推定を同時に行う手法 ◆自己位置推定：センサデータから地図上における自分の位置を推定する技術 ◼ LiDARベースSLAM

    ◆LiDARによって得られたデータを入力としたSLAM ◆核はフレーム間の移動量推定 ⚫ 幾何特徴から特徴点が重なり合うような移動量（並進+回転）を推定する（= Scan Matching） SLAMへの攻撃は可能か？ SLAM概念図 Preprocess Localization Ego-location Local mapping Global mapping Map Sensor Input 42

43. ◼ 攻撃目標 ◆推定される自己位置を欺き、危険な挙動を誘発する ⚫ 例：車線逸脱 ⇒ 対向車両との衝突 ◼ 想定する状況 ◆設置する攻撃装置は1台.

    ターゲットとなるLiDARを追尾可能 ◆ターゲットが走行するコースは既知 ⚫攻撃者は設置位置を最適化可能 ◆自動運転車が使用している自己位置推定アルゴリズムは不明 脅威モデル ― 攻撃の想定状況 43

44. ◼ “攻撃されやすさ”をモデル化した指標をベースに 攻撃フレームワークを提案 ◆攻撃装置の設置位置を最適化 ⇒ 脆弱な環境を狙って攻撃 ◆物理的な制約を考慮 ⚫ 制約 :

    水平方向に攻撃可能な範囲が～80°に制限される ⚫ 現実世界での実現性が大きく向上 ☺ 研究進捗 : SLAMSpoofの提案 1. Obtain map data and calculate point- wise SMVS trajectory 2. Calculate frame-wise SMVS High SMVS ⇒ Vulnerable to spoofing Low SMVS ⇒ Robust to spoofing 3. Decide spoofer placement Important object High SMVS points Set up spoofer 44

45. ◼ SLAMSpoofに基づいた実世界での攻撃 ◆移動する車両にLiDARを取り付け、Spoofing装置を使用して攻撃 ◼ 十分な位置ずれを引き起こすことに成功 ⇒ 実世界での攻撃に初めて成功 研究進捗 : 実世界での攻撃検証

    45

46. ◼ LiDAR-IMU SLAMに対してspoofing攻撃 ◆一般的にはLiDAR-IMU SLAMはロバストであることが知られている ⚫ IMU (Inertial measurement unit)

    : 加速度センサの一種. ロボットの速度と向きを推定する ◼ IMUの有無に関わらず、十分大きな位置ずれが生じた Research finding3 : センサ統合だけではSLAMの保護は不十分 研究進捗 : センサ統合の調査 Rokuto Nagata(46/18) LiDAR-IMU SLAM 白線 : 攻撃を受けないときの自己位置推定結果. 赤線 : 攻撃を受けたときの自己位置推定結果. ⇒ LiDAR-IMU SLAMでも顕著な位置ずれが生じて いる

47. ◼ HesaiのXT32, AT128 (LSLidarも一部機種）はFingerprinting を用いた干渉回避技術が搭載 ◆レーザパルスをペアとして出射 ◆受光波形のうち、ペア間の時間が一致した レーザを認証・点群データとして受け入れ ◼ HFRのようなジャマー型攻撃に耐性

    ◆しかし攻撃周波数を更に上げると突破 防御手法：Fingerprinting 47

48. ▪ Adaptive HFR(A-HFR)攻撃の設計  LiDARが特定の角度を測距している時間のみ 攻撃を実施  その他の時間はレーザを休憩させることで冷却  LiDARのスキャン位置の予測が必要

     受光装置でLiDARの信号を受けて推定 ▪ 高周波領域で10倍以上の レーザ強度を達成  高周波かつ強い光での攻撃の実現 新攻撃設計 Hayakawa Yuki(48/18)

49. ▪ パルス間隔認証搭載LiDAR3種に Adaptive HFR攻撃を実行  全てに攻撃が有効であることを確認 →現状のシグネチャの防御性能は不十分 攻撃評価 LiDAR 点群消失率

    (攻撃周波数) Mid-360 100% @ 4MHz XT32 96% @ 24MHz AT128 99% @ 15MHz XT32への屋外での攻撃評価 赤枠はApollo 6.0による物体検出結果 49

50.  現状のパルス間隔認証に代わる安全なシグネチャ方式の探索 ▪ 提案手法：シグネチャへの振幅比の導入  従来はパルスの時間間隔のみで認証  攻撃によりマスターキー生成が可能  2つのパルスの振幅比をランダムに変化

     振幅比が一致するペアのみを受け入れ  時間間隔と振幅比の組み合わせでパターンを複雑化  攻撃者によるマスターキーの生成を阻害 安全なシグネチャの探索 間隔と振幅比を ランダムに決定して射出 一致！ 発射時の間隔と振幅比の 両方に一致するペアのみ 受け入れ 50

51. ▪ シミュレータ上でシグネチャの防御性能を比較 ▪ 25MHzでの攻撃下でも約60%の点群が残存  時間間隔のみだと100%消失 →振幅比のシグネチャ利用が センサ幻惑攻撃に対する防御性能向上に寄与 安全なシグネチャの探索 攻撃なし

    時間間隔のみ 時間間隔 +振幅比 壁 壁が消失 壁が視認可能 51

52. ◼ 高速フーリエ変換(FFT)を用いた検出 ◆DNN等と比較して軽量 = 高速に動作 ◼ LiDARのセンサ生データ（受光データ）を使用 ◆点群処理よりも軽く情報量が多い ◆LiDARのモデルに非依存 ◼

    検出手順 1. LiDARのPD受信データを取得 2. 前処理: ⚫ 数点分のスキャン波形をつなげる(長期データ入力) ⚫ 入力信号から全体の平均値を減算 3. FFT解析: 閾値を超える信号を攻撃と検出 LiDAR Spoofingの検出手法 攻撃検出手順

53. ◼ HFR攻撃の特徴 ◆高周波パルスを打ち込んで攻撃 ⚫ 一定周期でパルスを受信 → 周期性 ⚫ 受信波形に攻撃パルスが多く現れる ◆高いパワーのレーザを照射

    ⚫ LiDAR自身の反射光よりも高い強度で攻撃する必要性 HFR攻撃にFFTが有効な理由 FFT結果に大きなパルスとして現れやすい LiDAR受信波形 LiDAR自身のレーザの反射光 攻撃レーザ (出射) 攻撃した点に置き換わる(幻惑) 一定周期で攻撃出射

54. 1. 検出閾値による影響 → 閾値決定の容易さ・影響をテスト ◆攻撃検出率と誤検出率はトレードオフ ◆検出率よりも誤検出率の方が急速に低下 →閾値のみの最適化で 高検出率・低誤検出率の両立が可能 2. FFT入力長変化による影響

    → 長期データ入力の効果を評価 ◆ 2点分以上の入力で5%の検出率上昇 →長期データの入力は有効に作用 攻撃検出実験 – 結果 閾値 低 高 入力長 短 長 検出率 誤検出率 本手法はHFR攻撃を有効に検出可能

55. 本研究の体制 55 サイバーセキュリティ 専門家 産学連携 LiDARセンサ、AVシステム 吉岡研学生 ・実験補助 ・AVシミュレータ構築 現在7名＋＋

    森 達哉 （早稲田大学） 吉岡 健太郎 （慶應大学） さきがけ研究員 菅原 健 （電通大） 佐久間 淳 （東工大） 澤田 賢治 （電通大） JST CREST AI駆動型サイバーフィジカルシステムの セキュリティ評価・対策基盤 研究員募集中！ 佐藤 貴海 （UCI） Qi Alfred Chen （UCI）

56. ◼ 日本発のセンサセキュリティ基盤をオープンソース・社会実装 ◆世界中のセンサ・AVセキュリティ研究者が使う世界標準の基盤に ◆センサセキュリティ分野で日本が世界をリードできる存在へ ◆「センサ-ソフト協調設計」の研究潮流を確立 ◼ 防御手法の確立 ◆LiDARの測距方法(フィンガープリント）の改良で攻撃防御 ◆攻撃検知技術 ◼

    自動運転車だけではなく、ドローン、FA機器、V2Xへ展開 ◆幅広いロボティクスアプリケーションを守るセキュリティ技術を創出 ◆開発技術を応用しミリ波・超音波など他3Dセンサの防御へ延伸 まとめと将来展望 56