自動運転車に道路標識を誤認させる恐るべき「GhostStripe」攻撃

自動運転機能に欠かせないコンピュータービジョンに道路標識の内容を誤認させる「GhostStripe」攻撃を、研究者らが開発しました。

Invisible Optical Adversarial Stripes on Traffic Sign against Autonomous Vehicles
(PDFファイル)https://tanrui.github.io/pub/GhostStripe-MobiSys.pdf

GhostStripe攻撃に関する論文を執筆したのは、シンガポール・南洋理工大学のDongfang Guo氏らです。論文は2024年6月に開催される国際会議・ACMで発表されることになっています。

たとえば、一時停止を示す「STOP」と書かれた道路標識があるとします。GhostStripe攻撃は、この標識に向けてしま模様に明滅する発光ダイオードを照射するもので、明滅周波数を調整することで、人間の目には普通に「STOP」と書かれた標識に見えるものが、コンピュータービジョンはしま模様によって「STOP」が読み取れなくなってしまってしまうという仕組みです。

「コンピュータービジョンに道路標識を誤認させる」という攻撃は、すでに実証されたものが存在しています。

「画像認識機能を誤認させる攻撃」を科学者が実証、自動運転の脅威となる可能性 - GIGAZINE

しかし、近年のカメラで使用されているCMOSイメージセンサー搭載のカメラは、撮像対象を全体を一度に取り込むのではなく、わずかな時間差で順番に取り込みを行い最終的に1枚の静止画像を生成する「ローリングシャッター」方式が多く採用されています。高速で移動する物体を撮影したときに歪んで見えることがあるのは、ローリングシャッターによるものです。

標識に対して発光ダイオードを当てる場合、ローリングシャッター現象によってしま模様の位置が移動して、コンピュータービジョンで安定して画像認識を行うことができず、標識が無視されたかと思うと今度は「止まれ」標識として認識される、ということが起きます。

Guo氏らは、カメラと標識の位置関係や見えている標識の大きさの変化をリアルタイムで推定して、ちらつきを制御し、安定して標識を誤認させる方法を編み出しました。

その結果、実環境に近い状態でのテストにおいて、被害車両が対象の標識の場所を通過したとき、最大で94％のフレームで標識を誤認させることに成功したとのこと。

さらにGuo氏らのチームは、対象車両内にトランスデューサーを設置することで、タイミング制御を改善して、誤認成功率を97％にまで高めた「GhostStripe2」攻撃も開発しました。

注意点としては、道路標識に向けている攻撃用の光がわからなくなるぐらいの光を当てられてしまうと、攻撃精度が落ちてしまうことだとのこと。

また、コンピュータービジョンに用いるカメラをローリングシャッター方式のものではなく、全体を1度に取得するグローバルシャッター方式に変更したり、スキャン順をランダム化したりすることでも防がれてしまうことになります。

Guo氏らは、こうした攻撃によって被害車両が重大事故に巻き込まれる可能性があると指摘し、カメラセンサーや知覚モデル、自動走行システムの各レベルについて対策を議論していくと述べています。