自動運転カーの開発競争が活発で、近い将来、ドライバー不在で自由に移動できるようになると期待されています。しかし、自動運転カーの画像認識技術の脆弱性を突いて、交通を混乱に陥れようとするサイバー攻撃が現れるという指摘があり、安全性を確保するためにはそれらの攻撃に対処することが求められています。ワシントン大学の研究者は、道路標識にステッカーを貼り付けるだけで自動運転カーを混乱させられると警告しています。

[1707.08945] Robust Physical-World Attacks on Machine Learning Models

https://arxiv.org/abs/1707.08945

Researchers Find a Malicious Way to Meddle with Autonomous Tech | News | Car and Driver | Car and Driver Blog

http://blog.caranddriver.com/researchers-find-a-malicious-way-to-meddle-with-autonomous-cars/

自動運転カーにはさまざまなセンサーが搭載されており、外部の情報を認識しています。周りの自動車や歩行者、道路標識などはカメラで撮影し、あらかじめ用意されている機械学習システムを使って画像認識処理することで、瞬時に道路状況を把握しています。しかし、ワシントン大学のタダヨシ・コウノ博士らの研究チームが、道路標識にステッカーを貼り付けることで、自動運転カーの認識を誤解させられることを明らかにし、このサイバー攻撃手法を「Robust Physical Perturbations(RP2)」と名付けています。

自動運転カーの画像認識システムは、主に「物体検出」機能と「分類」機能に分かれています。前者が自動車や歩行者、信号などの「物体の存在」を検知するのに対して、後者は検知された物体が何であるのかという「内容」をデータに照らし合わせて判断します。道路標識がどのような意味を持つのかを判断するのは後者の分類機能です。しかし、画像を分類するために駆使されているディープニューラルネットワークの脆弱性を突いてシステムに侵入し、分類機能をつかさどるアルゴリズムと画像を使って誤った認識を自動運転カーに与える「カスタム画像」を生成する危険があるとコウノ博士は想定しています。

研究チームは、実際の道路標識と同じサイズの模型を作成して、ステッカーを貼り付けて自動運転カーのシステムを誤解させられることを実証しました。以下の画像は「右折」を意味する道路標識にシールを貼り付けて加工することで、「時速45マイル(72キロメートル)制限」という速度制限の標識だと、時度運転カーシステムは誤認識したとのこと。



さらに、「一時停止」という標識を、「時速45マイル(72キロメートル)制限」に誤認させることができたとのこと。なお、これらの画像認識ミスは、40フィート(約12メートル)離れた距離のさまざまな角度で検証され、いずれも自動運転カーシステムを混乱させることに成功したそうです。



この攻撃が危険であるのは、道路標識へのステッカーの貼り付けが人間の目には単なるいたずらにしか見えない点。発覚が遅れれば、路上の道路標識への細工に気付くことができず交通事故の発生を未然に防ぐのが難しいという危険性があります。



コウノ博士は、自動運転カーシステム自体にアクセスできない場合でも、悪意のある攻撃者はシステムのフィードバックを検証してリバースエンジニアリングできる可能性があると考えています。自動運転カーを実用化させるのに完成させるべき技術では、サイバー攻撃をどう防ぐのかという視点が欠かせないようです。