# SLAMSpoof: Practical LiDAR Spoofing Attacks on Localization Systems Guided by Scan Matching Vulnerability Analysis > **Updated note**: arXiv PDF をざっと読んで、auto-generated draft を手で補強したメモ。まだ完全精読ではない。安全上の理由から、攻撃の具体的実施手順ではなく防御上重要な論点中心でまとめる。 | Item | Value | | --- | --- | | Session | Resiliency and Security 1 | | arXiv | [http://arxiv.org/abs/2502.13641](http://arxiv.org/abs/2502.13641) | | Authors | Nagata, Rokuto;Koide, Kenji;Hayakawa, Yuki;Suzuki, Ryo;Ikeda, Kazuma;Sako, Ozora;Chen, Qi Alfred;Sato, Takami;Yoshioka, Kentaro | | Source | ICRA 2025 / arXiv | ## TL;DR - LiDAR-based localization に対する spoofing を、scan matching の脆弱部位解析に基づいて評価した **security paper**。 - 論文の芯は、どの点群領域が registration を強く支配するかを測る **vulnerability score** の考え方にある。 - 重要なのは攻撃テクニックそのものより、**LiDAR 単独 localization は思ったより攻撃面がある**と示した点。 ## Task * Security * Localization * LiDAR * Robustness Analysis ## Keywords * Localization Security / Scan Matching / Vulnerability Analysis / LiDAR / Robustness ## AI依存度 * Non-AI ## 何を解決? * これまでの LiDAR spoofing 研究は、点群を乱すだけでは localization を大きく崩せないことも多かった。 * その理由の 1 つは、**scan matching のどこが本当に効いているか**を見ずに perturbation を考えていたこと。 * この論文は、registration の感度を解析して「どこを守るべきか」を明確にしたい。 ## 何が新しい? * scan matching の Hessian / 感度解析から、点群のどの部分が pose estimation に強く効くかを測る vulnerability score。 * 点単位だけでなく frame / region レベルで脆弱性を見ることで、localization system の弱い場面を可視化している。 * 複数の LiDAR localization system で、感度解析と実際の誤差悪化が対応することを示している。 ## どうやってる? * ICP / NDT 系の registration がどの点群構造に強く依存しているかを、最適化感度の観点から解析する。 * そのスコアを使って、route 上のどの場面が localization 的に脆いかを評価する。 * 論文では実環境でも localization error の悪化を確認しており、理論指標と実害がつながることを見せている。 * ここで大事なのは「攻撃手法」より、**脆弱性評価指標を作ったこと**と捉えるのがよい。 ## どこが強い? * security 論文として、単なる脅しでなく **scan matching の構造理解**に踏み込んでいる。 * localization stack のどこが危ないかを定量化できるので、防御設計やセンサ冗長化の議論につながる。 * 実機系評価までやっていて、机上の脅威分析に留まっていない。 ## 弱そうなところ * 前提として route knowledge や LiDAR 単独依存が強く、一般化には条件がある。 * IMU/GNSS/地図整合など多重防御が入ると結果は変わりうる。 * defense 自体を主題にした論文ではないので、対策の掘り下げは今後の課題。 ## 関連研究との違い * perception spoofing 全般よりも、**map-based localization / scan matching** に焦点を絞っている。 * ランダムな攪乱評価より、感度解析ベースで vulnerability を見る点が本質的に違う。 * 「攻撃ができた」より「どの幾何が localization を支えているか」を示したところに価値がある。 ## non-AIとして見る価値 * classical localization は高精度でも、**明示的な脆弱性解析なしでは安全でない**ことがよく分かる。 * robustness を学習でなく、モデルと最適化の感度から考える security 論文として良い。 ## 難易度 ★★★★☆ ## 自分の理解/感想 * 攻撃論文として読むより、LiDAR localization の failure / vulnerability analysis 論文として読むと価値が高い。 * こういう視点が入ると、sensor fusion や temporal consistency check をなぜ入れるかがかなり腑に落ちる。