Macos Brawte nfaq 0 Comments

GhostStripe攻撃は自動運転車に道路標識を無視させるという脅威をもたらす

Table of Contents

GhostStripe攻撃は自動運転車に道路標識を無視させるという脅威をもたらす

主にシンガポールの大学出身の6人の科学者らは、カメラベースのコンピュータービジョンに依存する自動運転車を妨害し、道路標識を認識させないようにすることが可能だと証明できると述べている。

来月開催されるACM国際モバイルシステム会議で発表される論文でゴーストストライプ[PDF]と名付けられたこの技術は、人間の目には検知できないものの、両ブランドが採用しているセンサー、具体的にはCMOSカメラセンサーを悪用するため、テスラと百度のアポロのドライバーにとって致命的となる可能性がある。

これは基本的に、LED を使用して道路標識に光のパターンを照射し、自動車の自動運転ソフトウェアが標識を理解できないようにするものであり、機械学習ソフトウェアに対する典型的な敵対的攻撃です。

重要なのは、一般的なCMOSカメラセンサーのローリングデジタルシャッターを悪用していることです。アクティブキャプチャラインがセンサー上を移動するにつれて、LEDは標識上で様々な色を高速に点滅させます。例えば、一時停止標識の赤色は、人工照明の影響で、車から見ると走査線ごとに色合いが異なって見える可能性があります。

GhostStripe論文の図

GhostStripe論文における、自動運転車の交通標識認識に対する「目に見えない」敵対的攻撃の図解

その結果、カメラは予想とは裏腹に、互いに完全に一致しない線だらけの画像を撮影することになります。画像はトリミングされ、通常はディープラーニングをベースとする自動運転ソフトウェア内の分類器に送られ、解釈されます。しかし、画像には一見正しくない線が多数含まれているため、分類器は画像を交通標識として認識せず、車両はそれに基づいて行動しません。

これまでのところ、これらすべてはすでに実証されています。

しかし、研究者たちは、説明通りに標識の外観を歪めただけでなく、それを安定して繰り返し実行できたと述べています。歪んだ単一のフレームで分類器を混乱させるのではなく、カメラが捉えたすべてのフレームが奇妙に見えるようにすることで、この攻撃手法を現実世界で実用的なものにしました。

「安定した攻撃には、被害者のカメラの動作に関する情報と、カメラの視野内の交通標識の位置とサイズのリアルタイム推定に基づいて、LEDの点滅を慎重に制御する必要がある」と研究者らは説明した。

チームはこの安定化攻撃を2つのバージョンで開発しました。1つ目はGhostStripe1で、これは車両へのアクセスを必要としないとされています。追跡システムを用いて標的車両のリアルタイムの位置を監視し、それに応じてLEDの点滅を動的に調整することで、標識が正しく読み取られないようにします。

  • テスラの完全自動運転車が駐車したまま、マスク氏が中国首相と談笑
  • テスラ、百度との提携で中国に新たな領域を開拓
  • 百度の広報責任者、仕事中毒のソーシャルメディア投稿で広報問題に直面
  • 研究者は、Windows Defenderがデータベースを削除するように騙される可能性があると主張している

GhostStripe2は標的型であり、車両へのアクセスを必要とします。これは、車両のメンテナンス中に悪意のある人物が密かに実行できる可能性があります。この攻撃では、カメラの電源線にトランスデューサーを設置し、フレーミングの瞬間を検出してタイミング制御を微調整し、完璧またはほぼ完璧な攻撃を実行します。

「したがって、この攻撃は特定の被害者車両をターゲットにし、被害者の交通標識認識結果を制御する」と研究者らは書いている。

チームは、Baidu Apolloのハードウェアリファレンスデザインに使用されているカメラであるLeopard Imaging AR023ZWDRを搭載した実車と道路でシステムをテストしました。停止、譲歩、速度制限の標識でテストを行いました。

GhostStripe1 は 94 パーセントの成功率を示し、GhostStripe2 は 97 パーセントの成功率を示したと研究者らは主張している。

注目すべき点の一つは、強い周囲光が攻撃のパフォーマンスを低下させたことです。「この低下は、攻撃光が周囲光に圧倒されるために発生します」と研究チームは述べています。これは、攻撃者が攻撃を計画する際に、時間と場所を慎重に考慮する必要があることを示唆しています。

対策は存在します。最も単純な方法としては、ローリングシャッターCMOSカメラを、一度に全ショットを撮影するセンサーに置き換えるか、ラインスキャンをランダム化することが挙げられます。また、カメラの数を増やすことで成功率が低下したり、より複雑なハッキングが必要になる場合もあります。あるいは、攻撃をAIのトレーニングに組み込んで、システムが対処方法を学習させるといった方法もあります。

この研究は、テスラ モデルSに車線変更を強制した研究など、敵対的入力を使って自動運転車のニューラルネットワークを騙した他の研究の仲間入りを果たした。

調査によると、AIと自動運転車の安全性に関する懸念は依然として多く残されている。The RegisterはBaiduに対し、同社のApolloカメラシステムについてコメントを求めており、具体的な回答が得られ次第、報告する予定だ。®

編集者注:この記事は、手法を明確にし、論文の図解を含めるために改訂されました。

Macos

Smart Recommendations

Discover More