| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
ヘッドライトの反射光を悪用する敵対的パッチ攻撃の提案と評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Reflection Can Be Dangerous! : Stealthy Attacks on Traffic Sign Recognition Triggered by Autonomous Vehicle Headlights |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
自動運転,物体検知,交通標識認識,敵対的サンプル,再帰反射 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
早稲田大学 |
| 著者所属 |
|
|
|
カリフォルニア大学アーバイン校 |
| 著者所属 |
|
|
|
カリフォルニア大学アーバイン校 |
| 著者所属 |
|
|
|
早稲田大学/デロイト トーマツ サイバー合同会社 |
| 著者所属 |
|
|
|
早稲田大学 |
| 著者所属 |
|
|
|
早稲田大学 |
| 著者所属 |
|
|
|
早稲田大学/ NICT /理研AIP |
| 著者所属(英) |
|
|
|
en |
|
|
Waseda University |
| 著者所属(英) |
|
|
|
en |
|
|
University of California, Irvine |
| 著者所属(英) |
|
|
|
en |
|
|
University of California, Irvine |
| 著者所属(英) |
|
|
|
en |
|
|
Waseda University / Deloitte Tohmatsu Cyber LLC |
| 著者所属(英) |
|
|
|
en |
|
|
Waseda University |
| 著者所属(英) |
|
|
|
en |
|
|
Waseda University |
| 著者所属(英) |
|
|
|
en |
|
|
Waseda University / NICT / RIKEN AIP |
| 著者名 |
鶴岡, 豪
佐藤, 貴海
Alfred, Chen
野本, 一輝
小林, 竜之輔
田中, 優奈
森, 達哉
|
| 著者名(英) |
Go, Tsuruoka
Takami, Sato
Alfred, Chen
Kazuki, Nomoto
Ryunosuke, Kobayashi
Yuna, Tanaka
Tatsuya, Mori
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
すべての道路利用者は交通標識を遵守しなければならず,自動運転においても同様である.近年の研究では,交通標識認識システムが敵対的攻撃に対して脆弱であることが知られており,小さなステッカーの適用やレーザ・光の投影を用いた攻撃手法が提案されてきた.しかし,これらの攻撃には,それぞれステルス性と実現可能性に大きな制限がある.この制約に対処するため,我々は新しい攻撃ベクトルとして,敵対的反射パッチ (ARP) 攻撃を提案する.この手法はパッチ攻撃の持つ実現可能性と,レーザ/光投影攻撃の持つステルス性を兼ね備えている.ARP攻撃は再帰反射素材の特性を利用して,夜間に攻撃対象車両のヘッドライトなどの強い光があたったときのみに動作する,非常にステルス性の高い攻撃パッチを生成する.効果的な ARP 攻撃を生成するため,我々は脅威モデルを定式化した.また,3D シェーディングシミュレータ上で再帰反射素材を再現する新しい手法を設計し,ブラックボックス最適化を用いてシミュレーション上で攻撃の効果を最大化した.ARP 攻撃は実世界において,停止標識と速度制限標識に対して,83% 以上の攻撃成功率を達成した.また,一定の速度で走行する自動車での評価を行い,STOP サインにおいて最大 82%の攻撃成功率となった.一方で,ユーザースタディを通じてステルス性を評価し,ARP 攻撃が従来のパッチ攻撃と比較して,1.9 倍以上の高いステルス性を持つことを確認した.最後に,ARP 攻撃に対する防御策として,偏光板を用いた効果的な防御手法を設計し,評価した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Traffic signs provide critical traffic rules for alltraffic entities such as pedestrians and motor vehicles to ensure safe and efficient traffic. The traffic rules must apply even or particularly for autonomous driving. Recent studies have revealed vulnerabilities in vision-based traffic sign recognition systems to adversarial attacks, typically involving small stickers or laser projections, but these prior works still have major limitations in the deployability and stealthiness in the real world. To address this, we propose a novel attack vector, the Adversarial Retroreflective Patch (ARP) attack, which can inherit as similar deployability as patch attacks and as similar stealthiness as laser projections attacks. The ARP attack exploits the properties of retroreflective materials to generate highly stealthy attack patches triggered only when strong light is shone on them, such as by the headlights of the victim’s vehicle. To find effective ARP attacks, we formulate the threat model, design a novel simulation method of retroreflective on a state-of-the-art 3D shading simulator, and maximize the attack effect with the simulation via a black-box optimization approach. The ARPattacks can achieve ≥83% attack success rates on the stop and speed limit signs in the physical world. We also confirm that the ARP attack has ≥1.9 times higher than previous patch attacks via our user study. To defend against the ARP, we finally designan effective polarization-based defense that can achieve 100% defense success rates for the second-stage classifier. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 401-408,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024055.pdf (8.7 MB)
