PacSec2016

1. 自動運転車を信頼できるか:
自動運転車のセンサーに対する
非接触攻撃

2. 2
自己紹介

3. • 自動運転車
• センサーのハッキング
• 我々の攻撃
−超音波センサ
−ミリ波レーダー
−カメラ
• ディスカッション
ロードマップ

4. 車 ===> CANバスのハッキング
コネクテッドカー ===> テレマティクスのハッキング
自動運転車 ===> 自動化システムのハッキング
自動車ハッキングの歴史

5. 自動運転車とは?

6. 自動運転のレベル
高度運転
支援システム
(ADAS)
Googleの
自動運転車
(実験中)
人間のドライバーが
運転の状況を管理
自動運転システムが
運転の状況を管理

7. 自動運転システムにおけるセンサー
センサー
運転機能
ヒューマン-マシン
インタフェース
ド
ラ
イ
バ
ー
環
境
シナリオ
判断
車両の動き

8. 自動運転の応用
自律的な車線維持
自律的な距離の制御
自律的な車線変更 自律的な追い越し
自律的な高速への合流 自律的な高速からの退出 自律的な車線変更

9. 自動運転のためのセンサー
レーダー
ライト照射により暗闇でも可。天候によっては
制限あり
ライト照射により暗闇で
も可。天候によっては制
限あり。色を見ているた
め、信号や標識の読み
取りなどに使われる。
低光量、悪天候でも動作するが低解像度
カメラ
近距離、低速な動作に制限される
超音波センサー

10. 車のコントローラ
電子ブレーキ
電子パワーステアリング
電子スロットル

11. センサーのハック方法
センサー 自動化システム コントロール
超音波センサー
ミリ波レーダー
カメラ
HMIディスプレイジャミング
スプーフィング
ジャミング
スプーフィング
遮蔽

12. テスラ オートパイロット

13. テスラ: 悲劇的な事故
オートパイロット使用中の最初の
致命的な事故は2016年5月7日
センサーの信頼性
テスラは停止せず
トレーラに衝突し、
その下を通過
トレーラがテスラの
前方を左折
テスラは
道路から飛び
出しフェンスに
2度、その後
電柱に衝突

14. テスラ Model Sに存在しているセンサー
ミリ波レーダー 1台
カメラ 1台
超音波センサー 12台
中間レンジ帯のレーダーがフロント
グリルに搭載
前方監視カメラがフロントガラス
のバックミラー下に搭載
超音波センサーがフロントバン
パー、理やバンパー付近に搭載

15. HMIディスプレイの間違い － テスラでのデモ

16. コントロールの間違い － テスラでのデモ

17. 超音波センサーへの攻撃
テスラ、アウディ、フォルクスワーゲン、フォード

18. 超音波センサー
超音波センサーとは?
• 間隔の測定
• 近接センサー (2m以内)
• 応用例
−駐車アシスト
−駐車スペースの検出
−自動駐車
−テスラのサモン

19. 駐車アシストや周辺間隔の表示

20. 悪用1: 止まるべき時に車が止まらない

22. 悪用2: 止めてはいけないのに車を止める

23. 超音波センサーはどのように機能するか
• 超音波を発信し反射波を受信
• 圧電効果
• 伝播時間を測定
• 距離を計算 エコーの伝搬時間
空気中での音速

24. 超音波センサーへの攻撃
攻撃
• ジャミング － 超音波ノイズの生成 － サービス不能
• スプーフィング － 偽の超音波エコーを発信 － 距離の改ざん
• 沈静化 － 元の超音波エコーを減衰 － 障害物の隠蔽
必要機材
• 超音波振動子 (0.4ドル) － 超音波の発信
• 信号の供給源 － 励振信号の生成
− Arduino ($24.95)
− 信号生成器 (～$20)

25. ジャミング攻撃
• 基本的なアイデア
− 超音波ノイズの注入
− 共鳴周波数 (40-50kHz)
− サービス不能を引き起こす
• テストした超音波センサー：
− 実験室内: 8モデルの単独の超音波センサー
− 屋外: テスラ、アウディ、フォルクスワーゲン、フォード

26. ジャミング攻撃 － ラボ内
• 8モデルの超音波センサー
− 距離 ゼロ
− 距離 最大値
• 8モデルの超音波センサー

27. 車はジャミングに対してどのように
ふるまうべきか？
距離 ゼロ ?
あるいは
距離 最大値 ?

28. ジャミング攻撃 － 車載
4種の異なる車
結果
距離 最大値

29. ジャミング攻撃 － アウディのデモ
ジャミングが障害物を隠ぺい

30. ジャミング攻撃 － 結果
• 超音波センサー上
−距離 ゼロまたは最大値
• パーキングアシスト中の車上
−距離 最大値
• サモンのセルフパーキング上では?
注意: センサーがフィードバックを得られない場合は、
パネルには警告メッセージが表示されます。

31. ジャミング攻撃 － テスラ サモンのデモ
ジャミングが障害物を隠ぺい

32. ジャミング攻撃 － テスラ サモンのデモ
干渉がヒットし動作が停止した
ジャミングで距離を大きくすることができた

33. ジャミング攻撃 － 結果
• 超音波センサー上
−距離 ゼロまたは最大値
• パーキングアシスト中の車上
−距離 最大値
• サモンのセルフパーキング上では?
−強いジャミング下では車は停止せず

34. なぜ距離ゼロまたは最大なのか
異なるセンサーの設計
• 距離ゼロ
−固定のしきい値と比較
• 距離最大値
特定用途向けIC!

35. なぜ距離ゼロまたは最大なのか
異なるセンサーの設計
• 距離ゼロ
−固定のしきい値と比較
• 距離最大値
−順応可能なしきい値(ノイズ抑制)

36. スプーフィング攻撃
基本的なアイデア
• 超音波信号を注入
• 一定時間
重要
• 最初の有効なエコー波
のみが処理される
• 実効時間スロット
実効時間スロット

37. スプーフィング攻撃 － テスラでのデモ
距離の改ざん

38. 距離の改ざん
スプーフィング攻撃 － アウディでのデモ

39. スプーフィング攻撃 － 結果
• センサー読み込みの操作
−単体での超音波センサー
−車上のセンサー

40. 音響的な沈静化
• 音響のキャンセル化
−元の音の位相を反転
させたもので打消し
−小さな位相および
振幅の調整
• クローキング
−音響吸収素材
(減衰スポンジ($3/㎡))
−ジャミングと同じ効果!

41. 車のクローキング － デモ
クローキングで車が隠れる

42. クローキングで人間が隠れる
人間のクローキング － デモ

43. 見えない車! 見えない人! 見えないガラス!
うわぉ!

44. ミリ波レーダーへの攻撃
テスラModel Sの場合

45. ミリ波レーダー
ミリ波レーダーとは?
• 距離、角度、スピード、形状を測定
• 近距離から遠距離まで検出(30-250m)
• 応用
−順応型クルーズコントロール(ACC)
−衝突回避
−死角の検出

46. 悪用1: 止まるべき時に車が止まらない

47. 悪用2: 止めてはいけないのに車を止める

48. ミリ波レーダーはどのように機能するか
• ミリ波の電磁波を送受信する
• 伝搬時間を測定
• 変調
−振幅
−周波数(FMCW)
−位相
• ドップラー効果
• 周波数帯
−24 GHz
−76-77 GHz

49. 周波数変調連続波 (FMCW)
周波数
時間
送信信号
反射時間
受信信号
周波数の差
ドップラーシフト

50. ミリ波レーダー － 発見される
#1. レーダー信号の理解 － 信号解析
− 周波数帯
− 変調プロセス
− ランプの高さ(帯域幅)
− ランプ (番号、継続期間)
− サイクル時間
#2. ジャミング攻撃
− 実現可能?
− ジャミング信号とは?
#3. スプーフィング攻撃
− 実現可能? テスラ Model Sにおけるミリ波レーダー

51. • 信号解析
• ジャミング攻撃
• スプーフィング攻撃
• 必要機材:
− テスラModel Sレーダー (A)
− 信号解析器 (C)
− 高調波ミキサー (E)
− オシロスコープ (B)
− 信号発信機 (D)
− 周波数逓倍器 (E)
ミリ波レーダーの攻撃 － セットアップ

52. • 中心周波数: 76.65GHz
• バンド幅: 450MHz
• 変調方式: FMCW
• レーダーチャープ詳細…
ミリ波レーダー信号解析
高調波
ミキサー
信号
解析器
オシロスコープ
周波数領域
解析
時間領域
解析
信号解析器におけるリアルタイムスペクトラム

53. ジャミング攻撃
• 76-77GHzなど、同一周波数帯の妨害レーダー
• 固定された周波数
• スイープされる周波数
スプーフィング攻撃
• よく似たRF信号でレーダーを偽装
ミリ波レーダーへの攻撃
信号
生成器
周波数
逓倍器

54. オートパイロットには何が表示される?
交通認識クルーズコントロール(TACC)がON 自動操舵がON
• 青色は何を意味している？
• なぜ変化しない?

55. ジャミング攻撃 － デモ
ジャミングで障害物が隠れる

56. ミリ波レーダーへの攻撃 － 結果
(a) ドライブギア (b) オートパイロット (c) ジャミングあり
ジャミング攻撃の結果
• ジャミング: 検出された物体を隠した
− 固定またはスイープの周波数信号どちらかが機能
• スプーフィング: 物体との間隔を改ざん

57. カメラへの攻撃
テスラModel S

58. 自動車用カメラ
自動車用カメラとは?
• コンピュータの視覚
• 前方および後方
• 応用
− レーン逸脱警報
− レーン保持
− 交通信号の認識
− 駐車アシスト

59. 悪用: 曲がるべき時に車が曲がらない

60. カメラへの攻撃 － セットアップ
攻撃
• 目隠し
干渉:
• LEDスポットライト ($10)
• レーザーポインタ ($9)
• 赤外線LEDライト ($11)
カメラ:
Mobileye、PointGrey

61. カメラの目隠し － LEDライトでの結果
部分的な目隠し 全て目隠し
LEDはボードに向けた状態 LEDはカメラに向けた状態 色調の分布

62. カメラの目隠し － レーザービームでの結果
全て目隠し全て目隠し
固定のレーザービーム ゆらぎのあるレーザー ダメージを受けた状態 永続的なダメージ

63. レーザーがカメラを目隠し
カメラの目隠し － レーザービームのデモ

64. テスラからの返答
“… 我々は、あなた方がオートパイロットシステムで使用されているセンサー
上の潜在的な攻撃を深く研究してくれたことに感謝します。現在、我々はレ
ポートを評価し、現実世界でのリスクが明らかになった場合に対応することが
できるよう、あなた方チームの挙げてくれた懸念を調査しています … ”

65. 対策
• センサーのフェイルセーフ
− ゼロまたは最大値
− ふるまい検知
• センサーの冗長性
− MIMOシステム
− 異なる種類のセンサー
• センサーデータの統合

66. その次は?
• 車両システムからもっと多くのデータを読む
• 動作車両での実験
• 測定範囲、測定角度の入手
• 攻撃範囲を増やす

67. まとめと考察
• 既存センサーへの攻撃は現実的
• あり得ないことが起きているわけではない
• センサーはセキュリティを考慮して設計されるべき
− 意図的な攻撃を考慮
• 顧客向けには
− 半自律的な車はまだ信用してはいけない
我々は完全にセキュアな自動運転車を持てるのか?

68. 謝辞