Slide 1

Slide 1 text

LiDARセキュリティ最前線 吉岡 健太郎 慶應義塾大学理工学部電気情報工学科専任講師 12/15 ハードウェアセキュリティフォーラム 1

Slide 2

Slide 2 text

・2014 Graduate@Keio Univ. ・2014-2021 Toshiba Research ・2017-2018 Stanford Visiting Scholar @Mark Horwitz Group ・2021-Keio Univ. Assistant Prof. Keio CSG PI https://sites.google.com/keio.jp/keio-csg/ 自己紹介 Slide 2

Slide 3

Slide 3 text

・2014 Graduate@Keio Univ. ・2014-2021 Toshiba Research ・2017-2018 Stanford Visiting Scholar @Mark Horwitz Group ・2021-Keio Univ. Assistant Prof. ・Expertise: Mixed-signal circuit design, LiDAR design, ML accelerators, LiDAR Security 自己紹介 WiFi/ADCs VLSI 2020 ISSCC2018 JSSC 2018 ISSCC 2020 JSSC 2020 LiDAR SoCs ISSCC2017 ISSCC2018 JSSC2018 TVLSI2019 CIM/AIアクセラレータ ISSCC2024 ASP-DAC2024 Slide 3

Slide 4

Slide 4 text

Slide 4 ◼ 自動車へのセンサ幻惑攻撃の歴史 ◼ LiDARセンサ幻惑攻撃の課題 ◼ 我々のLiDARセンサ幻惑攻撃の研究紹介 ◆1. 任意形状攻撃の実現 ◆2. 次世代LiDARへの攻撃 ◆ T. Sato*, Y.Hayakawa*, R.Suzuki*, Y.Shiiki*, K.Yoshioka, Q. Chen, “Revisiting LiDAR Spoofing Attack Capabilities against Object Detection: Improvements, Measurement, and New Attack” https://arxiv.org/abs/2303.10555 今日の内容

Slide 5

Slide 5 text

◼ 日本の交通事故年間死亡者数:2,636人 ◆10代の死因1位 ◆20代の死因2位 ◼ 自動運転時代への変革はSociety5.0の柱 ◆交通事故被害者を大幅に減らす期待 ◆AIの発展に加え、高精度な3Dセンサ LiDARの活用 によって大きく技術進歩 ⚫LiDAR: Light Detection and Ranging ◼ 自動運転車(AV)の対人事故はセンシティブな問題 ◆死亡事故を起こしたUberは信用回復できず撤退 研究背景:自動運転社会への変革 Uber社の自動運転車 [wired.com] 年代 第1位 第2位 1~19 交通事故 自殺 20~34 自殺 交通事故 34~49 自殺 がん 交通事故 (第5位) 50~64 がん 心疾患 交通事故 (第5位) [2010年厚生省統計より作成] 5

Slide 6

Slide 6 text

Waymo Driverless Car 6

Slide 7

Slide 7 text

◼ アメリカ(一部)では自動運転が一般的に利用可能に ◆しかしセキュリティ的な問題はつきまとう ◼ サンフランシスコの “三角コーン”攻撃 ⚫ 車は人が乗ったと誤認識し、 動けなくなってしまう ⚫ Cruise車が被害に 自動運転セキュリティ https://www.bbc.com/news/technology-66611513

Slide 8

Slide 8 text

◼ センサへの攻撃で自動運転システムを騙す新たなセキュリティ危機 ◆特に中核的センサであるLiDARの脆弱性を突き 任意座標に虚偽データを注入するセンサ幻惑攻撃は重大な脅威 ◼ 悪用した事件が起きると自動運転に対する社会的信頼は失墜 ◆自動運転社会への変革が困難に 研究背景:センサ幻惑攻撃の脅威 センサ幻惑攻撃 LiDAR 事件を未然に防ぐためセンサセキュリティ研究が必要 攻撃レーザ 実車点群 虚偽データ 任意座標 虚偽データ注入 急ブレーキ誘発 搭乗者負傷 8

Slide 9

Slide 9 text

◼ センサ幻惑攻撃 ◆Sensor spoofing attack (センサなりすまし攻撃) ◆センサに偽の信号を打ち込むことでデータ計測を誤らせる攻撃 センサ幻惑攻撃とは? 9 Xu, “Analyzing and Enhancing the Security of Ultrasonic Sensors for Autonomous Vehicles” IoT Journals, 2018.

Slide 10

Slide 10 text

◼ Wenyuan, DefCon’16, “Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle” ◆テスラのソナー、レーダーに対するspoofing攻撃に成功 自動車におけるセンサ幻惑攻撃の歴史 10

Slide 11

Slide 11 text

◼ Wenyuan, DefCon’16, “Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle” ◆テスラのソナー、レーダーに対するspoofing攻撃に成功 自動車におけるセンサ幻惑攻撃の歴史 11

Slide 12

Slide 12 text

LiDARってなんぞや 12

Slide 13

Slide 13 text

◼ Petit, Blackhat’15 “Remote Attacks on Automated Vehicles Sensors: Experiments on Camera and LiDAR” (現Qualcom) ◆LiDAR spoofingに初めて成功した研究 ◆“リレーアタック”と呼ばれる攻撃 ⚫LiDARパルスを受光→複製して返す ⚫偽の“壁”を出現可能 LiDARへのセンサ幻惑攻撃 13

Slide 14

Slide 14 text

◼ Petit, Blackhat’15 “Remote Attacks on Automated Vehicles Sensors: Experiments on Camera and LiDAR” (現Qualcom) ◆LiDAR spoofingに初めて成功した研究 ◆“リレーアタック”と呼ばれる攻撃 ⚫攻撃装置より後方にしか偽点群を出現 できない → 自動運転への脅威は限定的 LiDARへのセンサ幻惑攻撃 14

Slide 15

Slide 15 text

◼ Cao, CCS’19, ”Adversarial Sensor Attack on LiDAR-based Perception in Autonomous Driving” (ミシガン大) ◆同期型LiDAR幻惑攻撃手法を成熟 ◆任意形状の点群注入が可能であることを示唆 LiDARへのセンサ幻惑攻撃 15 Laser ToF Meas. PD Laser PD ToF LiDAR Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD ToF Attack laser

Slide 16

Slide 16 text

◼ dToF LiDARはTime-of-Flight(ToF)により距離計測 ◆Distance = ToF*c/2 (c: light speed) ◆ある時間にレーザパルスを打ち込むことで、原理的には任意データを注入可能 →スキャン方法が既知ならば、フォトディテクタを用いてスキャンと完全同期可能 LiDARセンサ幻惑攻撃の原理 Laser ToF Meas. PD Laser PD ToF LiDAR Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD ToF Attack laser 16

Slide 17

Slide 17 text

◼ dToF LiDARはTime-of-Flight(ToF)により距離計測 ◆Distance = ToF*c/2 (c: light speed) ◆ある時間にレーザパルスを打ち込むことで、原理的には任意データを注入可能 ◆→測定タイミングが既知ならば、フォトディテクタを用いて測定と完全同期可能 LiDARセンサ幻惑攻撃の原理 Laser ToF Meas. PD Laser PD ToF LiDAR Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD ToF 17 存在しない データを印加!

Slide 18

Slide 18 text

LiDARセンサ幻惑攻撃の原理 18 ◼ LiDAR(VLP-16)のスキャンタイミングには完全に同期可能 ◆スキャンタイミングは決定論的でデータシートに記載 ◆ある垂直角のみデータ注入/ある水平角のみデータ注入 を繰り返す事で、原理上は完全な任意形状の偽装点群を注入可能 Cao, ”Adversarial Sensor Attack on LiDAR-based Perception in Autonomous Driving” CCS’19

Slide 19

Slide 19 text

◼ 偽点群をコントロールできていない ◆構成機器の性能不足? ◆光学系の設計が不十分? “注入型センサ幻惑攻撃”の課題 19 Cao et al. 2019 Hallyburton et al. 2022 Sun et al. 2020

Slide 20

Slide 20 text

◼ 偽点群をコントロールできていない ◆そのためCao等ではAdversarial attackを用いた攻撃を仮定 ◆LiDARセンサ幻惑の防御/攻撃議論は50点程度の点群が注入可能な前提で展開 ⚫理論的には可能なはずだが・・・? “注入型センサ幻惑攻撃”の課題 20 Cao et al. 2019 Hallyburton et al. 2022 Sun et al. 2020

Slide 21

Slide 21 text

Slide 21 ◼ センサ幻惑攻撃の歴史 ◼ LiDARセンサ幻惑攻撃の課題 ◆“注入型“攻撃 ◼ 我々のLiDARセンサ幻惑攻撃の研究紹介 ◆1. 任意形状攻撃の実現 ◆2. 次世代LiDARへの攻撃 ◆ Sato et al, “Revisiting LiDAR Spoofing Attack Capabilities against Object Detection: Improvements, Measurement, and New Attack” https://arxiv.org/abs/2303.10555 今日の内容

Slide 22

Slide 22 text

吉岡研における任意形状攻撃の実現 Received Pulse Generating arbitrary pulse 22 ◼ 強力な信号発生器(FG) による性能強化 ◼ 緻密な光学系の設計 レンズ LD 調節ネジ

Slide 23

Slide 23 text

◼ 従来のx10以上の点群を注入し、座標も完全にコントロール ◆Chosen Pattern Injection(任意形状注入)攻撃 ◆車、人といった形状の注入が可能であることを実証 ⚫実物と同様の形状が注入できるならば、アルゴリズム面の防御は難しい? To appear at NDSS’24 吉岡研における任意形状攻撃の実現 23

Slide 24

Slide 24 text

◼ センサ幻惑攻撃デモの様子 ◆動的に攻撃レーザパターンを書き換えることで 動画注入も可能 吉岡研における任意形状攻撃の実現 24 VLP-16 Attack laser PD

Slide 25

Slide 25 text

25

Slide 26

Slide 26 text

◼ 点群を任意に注入できるならば消すこともできるのでは・・? ◆→消失型攻撃 ◆Threat: 歩行者の点群をLiDARから消失させ、交通事故を誘発 先端の攻撃事例:“消失型センサ幻惑攻撃” 26 “歩行者なし” “進行してよし” 攻撃レーザ

Slide 27

Slide 27 text

◼ 点群を任意に注入できるならば消すこともできるのでは・・? ◆→消失型攻撃 ◆Threat: 歩行者の点群をLiDARから消失させ、交通事故を誘発 ◆Cao et al, “You Can't See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks” USENIX’23 先端の攻撃事例:“消失型センサ幻惑攻撃” 27 “歩行者なし” “進行してよし” 攻撃レーザ Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD 27 測定最低距離にレーザ入射時、 以降のデータは無視! 歩行者反射レーザ

Slide 28

Slide 28 text

◼ 点群を任意に注入できるならば消すこともできるのでは・・? ◆→消失型攻撃 ◆Threat: 歩行者の点群をLiDARから消失させ、交通事故を誘発 ◆Cao et al, “You Can't See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks” USENIX’23 先端の攻撃事例:“消失型センサ幻惑攻撃” 28 Attack laser Laser ToF Meas. PD Sync. PD Spoofer system LiDAR Laser PD 28 測定最低距離にレーザ入射時、 以降のデータは無視! 歩行者反射レーザ Benign Attack 人を完全に消失!

Slide 29

Slide 29 text

Slide 29 ◼ センサ幻惑攻撃の歴史 ◼ LiDARセンサ幻惑攻撃の課題 ◆“消去型“攻撃 ◼ 我々のLiDARセンサ幻惑攻撃の研究紹介 ◆1. 任意形状攻撃の実現 ◆2. 次世代LiDARへの攻撃 ◆ Sato et al, “Revisiting LiDAR Spoofing Attack Capabilities against Object Detection: Improvements, Measurement, and New Attack” https://arxiv.org/abs/2303.10555 今日の内容

Slide 30

Slide 30 text

◼ 従来のセンサ幻惑攻撃は古いLiDARのみ実施 (VLP-16) ◼ 疑問: これらの攻撃は最近発売されたLiDAR(次世代LiDAR)へも攻撃は 成功するのか? ◆我々の研究グループでは次世代LiDARを含む大規模攻撃実験を実施 ◆次世代LiDARが持つ干渉回避技術はLiDAR spoofing防御にも有効な事を発見 次世代LiDARへの攻撃 30

Slide 31

Slide 31 text

■ 複数LiDAR利用時の干渉問題 ◆ 他のLiDARと自身のレーザ光が混在 →正しい点群が得られない ■ 次世代LiDARは干渉回避手法を搭載 ◆ 信号処理能力の向上により実現 ◆ 測距間隔ランダム化 ● 測距タイミングをずらして同期防止 ◆ パルスシグネチャ ● パルスに認証情報を載せて 返ってきたパルスを選択 次世代LiDARの干渉回避技術 31

Slide 32

Slide 32 text

■ 従来のセンサ幻惑攻撃にはLiDARスキャンとの同期が必要 前提として対象LiDARの測距タイミングを予測して攻撃するには: 1. LiDARの測距タイミングが予測可能であること 2. LiDARの受け入れるパルスの形状が既知であること ■ 次世代LiDARでは同期攻撃は.. ■ 測距間隔のランダム化 →測距タイミングの予測が不可能 ◆ パルスシグネチャ →認証を突破しなければ、攻撃成立せず →注入型、消去型攻撃いずれも攻撃は困難? 従来のセンサ幻惑攻撃の問題点 32

Slide 33

Slide 33 text

■ 次世代LiDARにも適用可能なセンサ幻惑攻撃はないか? →次世代を含む複数のLiDARへ有効な高周波パルス攻撃を発見 我々のアプローチ 33

Slide 34

Slide 34 text

■ 高周波(400 kHz~)のレーザパルスをLiDARに照射 ◆ LiDARは最も強いパルスを正しいものと認識 ◆ 真のパルスより強い偽のパルスをランダムに受光 ● 真のパルスが無効化→真の点群が消失 ■ パルスの方が瞬間的に強い光の射出が容易 →飽和攻撃よりも高い攻撃能力(5000~pts) 高周波パルス照射による消失型攻撃(HFR攻撃) 通常時 攻撃時 35

Slide 35

Slide 35 text

HFR攻撃の攻撃装置 36

Slide 36

Slide 36 text

■ 屋外でLiDARに対して攻撃 ■ 攻撃により自動車の点群が消失、物体検出されないことを確認 →自動運転システムへのHFR攻撃の有効性を実証 HFR攻撃による自動車の消失 VLP-16に対してHFR攻撃。Apollo 6.0 + PointPillarsで物体検知 37

Slide 37

Slide 37 text

■ 次世代LiDARを含むLiDARへHFR攻撃を実行 ■ 第1世代・ランダム化を持つLiDARへは 多くの点群の消失を確認 →ランダム化に対してもHFR攻撃が有効 ■ パルスシグネチャを持つLiDARには 消失数少 LiDAR実機への攻撃評価 LiDAR 世代 干渉回避 消失点数 VLP-16 第1世代 - 5358 VLP-32c 第1世代 - 8778 NG-B 次世代 ランダム化 20847 NG-C 次世代 ランダム化 205730 匿名 次世代 ランダム化 4108 NG-D 次世代 パルス シグネチャ 274 NGLiDARへのHFR攻撃による点群の消失 38

Slide 38

Slide 38 text

■ 次世代LiDARを含むLiDARへHFR攻撃を実行 ■ 第1世代・ランダム化を持つLiDARへは 多くの点群の消失を確認 →ランダム化に対してもHFR攻撃が有効 ■ パルスシグネチャを持つLiDARには 消失数少 LiDAR実機への攻撃評価 LiDAR 世代 干渉回避 消失点数 VLP-16 第1世代 - 5358 VLP-32c 第1世代 - 8778 NG-B 次世代 ランダム化 20847 NG-C 次世代 ランダム化 205730 匿名 次世代 ランダム化 4108 NG-D 次世代 パルス シグネチャ 274 NGLiDARへのHFR攻撃による点群の消失 39

Slide 39

Slide 39 text

■ 自動運転シミュレータでHFR攻撃の有効性を検証 ◆ 実機実験の消失率を用いて前方の障害物の点群を消失 ◆ 攻撃を受けた走行中の車が衝突するかどうか ■ 第1世代とランダム化を持つLiDARの結果では 100%衝突を誘発 ■ パルスシグネチャを持つLiDARの結果では一部のみ成功 自動運転シミュレータでの攻撃の評価 干渉回避 攻撃な し 20m手前から攻撃 VLP-16 - 0/10 10/10 VLP-32c - 0/10 10/10 NG-C ランダム化 0/10 10/10 NG-D パルス シグネチャ 0/10 1/10 シミュレーション上での衝突事故発生数 シミュレーション画面(LGSVL[3]) [3]: “LGSVL Simulator: An Autonomous Vehicle Simulator,” https://github.com/lgsvl/simulator/. 40

Slide 40

Slide 40 text

本研究の体制 41 サイバーセキュリティ 専門家 産学連携 LiDARセンサ、AVシステム 吉岡研学生 ・実験補助 ・AVシミュレータ構築 現在5名++ 森 達哉 (早稲田大学) 吉岡 健太郎 (慶應大学) さきがけ研究員 菅原 健 (電通大) 佐久間 淳 (東工大) 澤田 賢治 (電通大) JST CREST AI駆動型サイバーフィジカルシステムの セキュリティ評価・対策基盤 研究員募集中! 佐藤 貴海 (UCI) Qi Alfred Chen (UCI)

Slide 41

Slide 41 text

◼ 日本発のセンサセキュリティ基盤をオープンソース・社会実装 ◆世界中のセンサ・AVセキュリティ研究者が使う世界標準の基盤に ◆センサセキュリティ分野で日本が世界をリードできる存在へ ◼ セキュリティ、ロボティクスのトップカンファレンスにて論文を継続発表 ◆「センサ-ソフト協調設計」の研究潮流を確立 ◼ 自動運転車だけではなく、ドローン、FA機器、V2Xへ展開 ◆幅広いロボティクスアプリケーションを守るセキュリティ技術を創出 ◆開発技術を応用しミリ波・超音波など他3Dセンサの防御へ延伸 将来展望 45