On the Realism of LiDAR Spoofing Attacks against Autonomous Driving Vehicle at High Speed and Long Distance (NDSS'25)

Summary

自動運転技術の公道への展開は、重要な社会的課題をもたらしています。LiDARセンサのセキュリティは、レベル4の自律性を可能にする正確な3D環境センシングにおいて重要な役割を果たすことから、自動運転システム展開における新たな課題の1つとなっています。最近の研究により、LiDARは、悪意のあるレーザーをLiDARに照射して正当なセンシングを上書きするLiDARスプーフィング攻撃によって危険にさらされる可能性があることが実証されています。しかし、これまでの研究は管理された環境下で攻撃の実証に成功していますが、現実の高速・長距離AD環境での攻撃の実現可能性にはまだギャップが存在します。

これらのギャップを埋めるため、私たちは3つのサブシステム（LiDAR検出・追跡システム、自動照準システム、LiDARスプーフィングシステム）で構成される新しい移動車両スプーフィング（MVS）システムを設計しました。さらに、対象LiDARのスキャンタイミングに関するグレーボックス知識を活用することで、パルスフィンガープリント機能を備えた最新のLiDARに対しても有効な、新しいオブジェクト除去攻撃である適応型高周波除去（A-HFR）攻撃を設計しました。

私たちのMVSシステムにより、被害車両が高速（60 km/h）で走行し、攻撃が長距離（110メートル）から開始される実践的なADシナリオに対するLiDARスプーフィング攻撃を初めて実証しただけでなく、実際に一般的なADスタックで運用される車両に対するLiDARスプーフィング攻撃を初めて実行しました。オブジェクト除去攻撃は、60 km/hで走行する車両に対して制動距離（20メートル）まで96%以上の攻撃成功率を達成しました。

最後に、MVSシステムを使用した攻撃に対する可能な対策について議論します。本研究は、LiDARセキュリティとADセキュリティ研究の間の重要なギャップを埋めるだけでなく、新たな脅威に対する堅牢な対策を開発するための基礎を築きます。

The rapid deployment of Autonomous Driving (AD) technologies on public roads presents significant social challenges. The security of LiDAR (Light Detection and Ranging) is one of the emerging challenges in AD deployment, given its crucial role in enabling Level 4 autonomy through accurate 3D environmental sensing. Recent lines of research have demonstrated that LiDAR can be compromised by LiDAR spoofing attacks that overwrite legitimate sensing by emitting malicious lasers to the LiDAR. However, previous studies have successfully demonstrated their attacks in controlled environments, yet gaps exist in the feasibility of their attacks in realistic high-speed, long-distance AD scenarios. To bridge these gaps, we design a novel Moving Vehicle Spoofing (MVS) system consisting of 3 subsystems: the LiDAR detection and tracking system, the auto-aiming system, and the LiDAR spoofing system. Furthermore, we design a new object removal attack, an adaptive high-frequency removal (A-HFR) attack, that can be effective even against recent LiDARs with pulse fingerprinting features, by leveraging gray-box knowledge of the scan timing of target LiDARs. With our MVS system, we are not only the first to demonstrate LiDAR spoofing attacks against practical AD scenarios where the victim vehicle is driving at high speeds (60 km/h) and the attack is launched from long distances (110 meters), but we are also the first to perform LiDAR spoofing attacks against a vehicle actually operated by a popular AD stack. Our object removal attack achieves ≥96% attack success rates against the vehicle driving at 60 km/h to the braking distances (20 meters). Finally, we discuss possible countermeasures against attacks with our MVS system. This study not only bridges critical gaps between LiDAR security and AD security research but also sets a foundation for developing robust countermeasures against emerging threats.

Overview of our Moving Vehicle Spoofing (MVS) System

高速で走行する自動運転車両に対して長距離LiDARスプーフィング攻撃を実践的に展開するため、移動車両スプーフィングシステム（MVSシステム）を設計しました。図1は、以下の3つのサブシステムで構成される私たちのMVSシステムの概要を示しています：

IRカメラベースの検出・追跡システム
自動照準システム
LiDARスプーフィングシステム

IRカメラベースの検出・追跡システムについては、5mまでしかLiDARを検出できない従来のビジョンベースの手法と比べ、より長距離（例：100m）でも対象LiDARを正確に特定できる新しい手法をIRカメラを用いて設計しました。

自動照準システムについては、高精度サーボモーターを使用して、あらゆる水平角度に正確に照準を合わせることができる、応答性の高い精密な自動照準システムを設計しました。

LiDARスプーフィングシステムについては、長距離攻撃シナリオに対応するため、既存のLiDARスプーファーを基に新しいスプーファーを構築しました。さらに、電子機器と光学系の改良を行いました。

To practically deploy long-range LiDAR spoofing attacks against AD vehicles driving at high speeds, we design a Moving Vehicle Spoofing system (MVS system). Fig. 1 illustrates the overview of our MVS system consisting of three subsystems: (1) IR camera-based detection and tracking system, (2) auto-aiming system, and (3) LiDAR spoofing system.

For the IR camera-based detection and tracking system, we design a novel methodology with an IR camera to accurately localize the target LiDAR even at longer ranges (e.g., 100 m) than the prior vision-based method, which can only detect a LiDAR up to 5 m.

For the auto-aiming system, we design a responsive and accurate auto-aiming system that can precisely aim at any horizontal angle with a high-precision servo motor.

For the LiDAR spoofing system, we build a novel spoofer upon the existing LiDAR spoofers to handle long-range attack scenarios. We further improved the electronics and optics.

Device Details of MVS System

Overview

IR Camera-based Detection

LiDAR Spoofer

New-Attack: Adaptive High-Frequency Removal (A-HFR) Attack

私たちは、対象LiDARのグレーボックス知識を活用してレーザーダイオードの過熱を避けることで、パルスフィンガープリントを備えたLiDARに対しても有効な新しいオブジェクト除去攻撃「A-HFR」を設計しました。A-HFR攻撃は、パルスフィンガープリントが存在する状況下でも、攻撃角度内のポイントの96%以上を除去することができます。

最新の新世代LiDARのパルスフィンガープリントは、1つのポイントを測定するために2つのパルスのペアを使用し、そのパルス間隔にフィンガープリントを埋め込んでいると考えられます。各ペアのパルス間隔はランダムに変化し、LiDARは反射レーザーが発射したものと間隔が一致するかどうかに基づいて認証を行います。そのため、図7に示すように、高周波パルスで認証をバイパスすることができます。しかし、パルス周波数とピーク出力のトレードオフにより、周波数を上げることは容易ではないことがわかりました。具体的には、より高い周波数でパルスレーザーを発射すると、レーザードライバーとレーザー自体が過熱し、レーザーのピーク出力が著しく低下します。

このパルス周波数とピーク出力のトレードオフを克服するため、適応型HFR（A-HFR）攻撃を設計しました。名前が示すように、A-HFR攻撃は過熱を避けるために攻撃レーザーの周波数を適応的に変更します。図8に示すように、A-HFR攻撃は攻撃者が隠したい特定のオブジェクトを対象LiDARがスキャンする時にのみ、戦略的に周波数を上げます。この設計により、ダイオードは大部分の時間休止することができ、休止中に効果的に冷却することができます。

LiDARが対象オブジェクトをスキャンするタイミングを知るために、同期を必要とする既存のホワイトボックスLiDARスプーフィング攻撃と同様にフォトダイオード（PD）を使用します。しかし、LiDARが各ポイントをスキャンする正確なタイミングと予測可能なスキャンパターンを必要とするホワイトボックス攻撃とは異なり、A-HFRは被害LiDARの状態についての大まかな理解だけを必要とします。このように、ホワイトボックス同期攻撃と比べて必要な情報が少ないため、私たちはA-HFR攻撃をグレーボックス攻撃に分類し、この大まかな要件を弱い同期と呼んでいます。

We design a new object removal attack, A-HFR, which can be effective against LiDARs with pulse fingerprinting by utilizing a gray-box knowledge of the target LiDAR to avoid overheating the laser diode. The A-HFR attack can remove >96% of points within attack angles even under pulse fingerprinting.

The pulse fingerprinting in recent New-Gen LiDARs presumably uses a pair of pulses to measure a point and embeds the fingerprint into the interval of a pair of pulses. The pulse intervals of each pair randomly vary and the LiDAR can authenticate the reflected laser based on whether the interval matches the one the LiDAR emitted or not. Thus, high-frequency pulses can bypass the authentication as described in Fig. 7. However, we find that it is not trivial to increase the frequency due to a trade-off between pulse frequency and peak power. Specifically, emitting a pulsed laser at a higher frequency causes overheating of the laser driver and the laser itself, significantly degrading the laser's peak power.

To overcome the trade-off between pulse frequency and peak power, we design the adaptive-HFR (A-HFR) attack. As the name implies, the A-HFR attack adaptively changes its attack laser frequency to avoid overheating. As shown in Fig. 8, the A-HFR attack strategically boosts the frequency only when the target LiDAR scans the specific object the attacker wants to hide. This design allows the diode to rest most of the time and effectively cool down during the rest. To know when the LiDAR scans the target objects, we utilize a photodiode (PD) similar to the existing white-box LiDAR spoofing attacks that require synchronization with the target LiDAR. However, unlike white-box attacks that require precise knowledge of when the LiDAR scans each point and a predictable scan pattern, A-HFR only needs a coarse-grained understanding of the victim LiDAR's state. Due to this reduced information requirement compared to white-box synchronization attacks, we classify the A-HFR attack as a gray-box attack and term the coarse-grained requirement as weak synchronization.

High-Speed Driving Evaluation with Real Car

図13は実験セットアップの概要を示しています。制御された環境を確保するため、専用使用許可のある私有のテスト道路を借りました。MVSシステム装置を走行車線から2m離れた位置に設置し、被害者となる歩行者をMVSシステム装置から10m離れた位置に配置しました。安全性を優先するため、被害者の歩行者も走行車線から2m離れた位置に配置し、直接車線上には立たせていません。

屋根にLiDARを搭載した対象車両は、被害者の歩行者から100m離れた位置から接近します。つまり、MVSシステムと対象車両との間の攻撃距離は最大110mとなります。攻撃の有効性の測定は、対象車両が目標速度に達する、被害者から70m離れた位置から開始します。

システムの評価は10 km/hから60 km/hまでの6段階の異なる速度で行いました。各速度について4つの異なる走行経路でデータを収集し、すべての評価指標は4つの走行経路の平均値を使用しています。

Fig. 13 illustrates the overview of our experimental setup. We rent a private testing road with exclusive-use permission to ensure a controlled environment. We placed the MVS system device 2 m away from the driving lane and positioned the victim pedestrian 10 m away from the MVS system device. To prioritize safety, the victim pedestrian is also 2 m away from the driving lane, not directly in the lane. The target vehicle with a mounted LiDAR on its roof is approaching from 100 m away from the victim pedestrian, i.e., the attack distance between the MVS system and the target vehicle is up to 110 m. We measure the attack effectiveness starting from 70 m away from the victim, where the target vehicle reaches the desired speed. We evaluate the system at 6 different speeds from 10 km/h to 60 km/h. For each speed, we collected data from 4 different traces. All evaluation metrics are averaged over the 4 traces.

Removal Attack: HFR Attack (Livox Horizon)

RealCar-HFR-60kph-attack-side.MOV

Side Camera View (60 km/h)

RealCar-HFR-60kph-attack-front.MOV

Front Camera View (60 km/h)

HFR60km_benign.mp4

攻撃なし Benign (60 km/h)

HFR60km_attack.mp4

攻撃あり HFR Attack (60 km/h)

Removal Attack: A-HFR Attack (AT128)

RealCar-A-HFR-60kph-pcd.mp4

A-HFR Attack (Follow View)

Injection Attack: Synchronized Injection Attack

RealCar-Injection-fast-pcd.mp4

注入攻撃 Injection Attack (Follow View)

RealCar-Injection-slow-pcd.mp4

注入攻撃 Injection Attack (Top View)

End-to-End Evaluation on AD Vehicle

右図は、VLP-32c LiDARを搭載し、Autoware.ai バージョン1.14.1で制御される自動運転車両PIXKITに対するエンドツーエンドの攻撃評価の実験セットアップを示しています。LiDARによる物体検出には、Autoware.aiが公式にサポートしているLiDARユークリッドクラスター検出を使用しています。私たちは専用使用許可のある私道の路側にMVSシステムを設置しました。自動運転車両はMVSシステムから40メートル離れた位置から加速を開始しました。

除去攻撃のために、MVSシステムから5メートル離れた位置にSUVサイズの膨張式模擬車両を設置し、HFR攻撃によってその模擬車両を検出不能にすることを試みました。注入攻撃については、図に示すように幽霊の壁を注入し、自動運転車両がその幽霊の壁の手前で停止するかどうかを確認しました。

注入攻撃では5 km/h、除去攻撃では15 km/hまで自動運転車両を加速させました。注入攻撃における15 km/hは、このテスト道路で試験可能な最高速度です。除去攻撃における5 km/hは、施設への損傷を避けるために許容できる速度です。安全性を確保するため、実験は夜間のみ実施しました。

The right figure shows the experimental setup for the end-to-end attack evaluation on an AD vehicle, PIXKIT with a VLP-32c LiDAR controlled by Autoware.ai version 1.14.1 For the LiDAR object detection, we use the LiDAR Euclidean cluster detection, which is officially supported by Autoware.ai. We placed our MVS system on the roadside of our private road with exclusive use permission. The AD vehicle started accelerating 40 meters away from our MVS system. For the removal attack, we placed an SUV-sized inflatable mock car 5 meters away from the MVS system and tried to make the mock car undetected by the HFR attack. For the injection attack, we injected a ghost wall as shown in Fig.~\ref{fig:pixkit_injection_attack} to see if the AD vehicle would stop before the ghost wall. We accelerate the AD vehicle up to 5 km/h and 15 km/h for injection and removal attacks, respectively. The 15 km/h for injection attacks is the maximum speed we could test on the testing road. The 5 km/h for removal attacks is an acceptable speed to avoid damage to the facilities. To ensure safety, the experiments were conducted only during nighttime.

Experimental Setup for Removal Attack

PIXKIT w/ VLP-32c and Autoware.ai

Removal Attack

Pixkit-HFR-benign-side.MOV

Benign

Pixkit-HFR-attack-side.MOV

Attack

Pixkit-HFR-benign-Rviz.webm

Benign Rviz View

Pixkit-HFR-attack-Rviz.webm

Benign Rviz View

Injection Attack

Pixkit-Injection-benign-side.MOV

Benign

Pixkit-Injection-attack-front.MOV

Attack (Front View)

Pixkit-Injection-benign-Rviz.webm

Benign RvizView

Pixkit-Injection-attack-side.MOV

Attack (Side View)

Pixkit-Injection-attack-Rviz.webm

Attack Rviz View

Ethical and Safety Considerations

実験は、専用使用許可のある私道で管理された条件下で安全に実施されました。実験車両は運転免許を持つ人間が運転し、道路に人が入らないよう監視が行われました。実験中、攻撃用レーザーに晒される可能性のある参加者は、目の安全のために保護ゴーグルを着用しました。

The experiments were safely carried out in controlled conditions on a private road with exclusive-use permission. A human with a driving license drove the experimental vehicle, and the area was surveilled to keep people off the road. During the experiments, participants potentially exposed to the attack laser wore protective goggles for eye safety.

Page updated

Report abuse