第37回 コンピュータセキュリティ (CSEC) 研究発表会

コンピュータセキュリティ研究会(CSEC)研究発表会を下記の通り開催します。研究会に関連する幅広い分野の方々からのご応募ならびにご参加をお待ちしています。
■ 日時
平成19年05月25日(金)

■ 場所
キヤノン(株)本社
〒146-8501 東京都大田区下丸子3-30-2


■ 交通

最寄り駅:東急多摩川線下丸子駅(徒歩10分),JR南武線平間駅(同18分)
交通の詳細情報は、下記をご参照願います。

アクセスマップ


■ プログラム

05月25日(金)

(1) Hot list strategy による polymorphic viral binary code 解析の高速化
安藤類央 (独立行政法人 情報通信研究機構 情報通信セキュリティ研究センター)

不正コード作成技術は洗練化しており、ソフトウェア暗号化や難読化が検出解析回避技術として適用されるようになった。本論文では ATP (automated theorem proving)の手法を用いて polymorphic viral binary code を解析し、検出技術の再現性や効率性を検討するための方法論を提案する。提案システムでは、等価代入(equality substitution)などの手法を用いてバイナリコードから復号ルーチンの構造とパラメータを検出する。そして、look-ahead 型の計算戦略である hot list strategy を用いて、検出プロセスを高速化する方法を示した。評価実験では、レジスタの種類に応じた hot list を生成し、計算系のレジスタ(EAX, ECX, EBX, EDX)に焦点を当てるとより解析が高速化する結果を得た。

(2) 送信者認証機能付きブロードキャスト暗号の改良と安全性に関する考察
金沢史明 (筑波大学大学院システム情報工学研究科)
大川直人 (情報セキュリティ大学院大学)
土井洋 (情報セキュリティ大学院大学)
岡本健 (筑波大学大学院システム情報工学研究科)
岡本栄司 (筑波大学大学院システム情報工学研究科)

ブロードキャスト暗号とは、多数のユーザが存在する中で、送信者が選択したユーザのみに対し、ブロードキャストチャネルを通して安全かつ効率的にデータを配布する技術である。2005年、Boneh らによって、秘密鍵と暗号文のサイズが小さい方式が提案された。金沢らは、Boneh らの方式を基に、送信者認証機能付きブロードキャスト暗号を提案したが、大川らによって欠陥が指摘された。本稿では、金沢らの方式を改良し、大川らの攻撃に耐えうる方式を提案する。

(3) 人工物メトリクスによる紙の個別性の評価
山越学 (国立印刷局研究所)
田中純一 (国立印刷局研究所)
古家眞 (国立印刷局研究所)
平林昌志 (国立印刷局研究所)
松本勉 (横浜国立大学大学院環境情報研究院)

人工物メトリクスとは、人工物に固有の特徴を用いて人工物を認証する技術のことである。セキュリティ製品の基材のひとつである紙に対し、人工物メトリクスを利用した偽造防止技術が適用可能であるかを検討する。紙は、その繊維分布にムラがあるため、その透過光画像はランダム性をもつと考えられる。そこで、紙の透過光を固有の特徴として用いて紙の照合を行った。紙の代表的な品種である再生紙、上質紙、塗工紙を選定し、画像サイズと画像解像度を変化させて照合実験を行い、紙の個別性の評価を行った。

(4) 柔軟な改ざん検出機能を有する電子透かし方式
川島康彰 (筑波大学大学院システム情報工学研究科)
満保雅浩 (筑波大学大学院システム情報工学研究科)
岡本栄司 (筑波大学大学院システム情報工学研究科)

小切手の画像や交通事故写真など証拠能力を有する画像が痕跡を残さずに改竄できてしまうことは極めて問題である。このため改ざん検出に電子透かしを応用することが提案されているが、既存の方式では画素ごとの改竄検出確率が全画素で均等である、もしくは、どの画素においても 1 または 0 のみであり、画素ごとの重要度が改ざん検出確率に反映されていなかった。そこで本研究では各画素における改竄検出確率の指定を画素の重要度に応じてより柔軟に行える方式を提案し、保護領域に対する改ざん検出確率が保護領域以外より高くなることを理論解析と実験を通して示す。

(5) Distributed Solution Against Distributed Denial of Service (DDoS)
Ghanmi Elyes (Laboratory of Cryptography and Information Security, Graduate School of Systems and information Engineering, University of Tsukuba)
Yoshihito OYAMA (Laboratory of Cryptography and Information Security, Graduate School of Systems and information Engineering, University of Tsukuba)
Eiji OKAMOTO (Laboratory of Cryptography and Information Security, Graduate School of Systems and information Engineering, University of Tsukuba)

Distributed denial of service (DDoS) attacks has became a world wide threat and a major security problem since the second half of the 90s. The main task of defense systems is to detect and stop the attack in a short time but also recognize the legitimate traffic from the malicious one to allow users to access to the target during the attack. Unfortunately, there is no single deployment schema which allows to meet all those requirements. The detection of the attack is more accurate close to the victim whereas the distinction of the legitimate traffic is more accurate close to the source. Additionally, source or victim based solution alone can be overwhelmed by the traffic. From this point we can affirm that a distributed defense solution deployed close to the victim and the source seemed to be the most efficient one against DDoS. In this paper, we discuss the different mechanisms of the implementation of this solution and its advantages in comparison to related works.

(6) ページアクセスの挙動解析に基づいた HTTP-GET Flood 攻撃の検知手法
谷田貝健 (慶應義塾大学理工学部情報工学科)
磯原隆将 (慶應義塾大学理工学部情報工学科)
笹瀬巌 (慶應義塾大学理工学部情報工学科)

近年、Web サーバに対するサービス拒否(DoS:Denial of Service)攻撃や分散型サービス拒否(DDoS:Distributed DoS) 攻撃による被害が深刻となっている。これらの攻撃の中には、正常な通信プロトコルで多量の通信を発生させる攻撃もあり、サーバ側での正常な通信と攻撃を見分けることが難しく、既存のセキュリティ対策技術であるウイルス検知システム(VDS:Virus Detection System)や侵入検知システム(IDS:Intrusion Detection System)では検知できないといった問題がある。DoS 攻撃の中でも,HTTP プロトコルの GET メソッドを悪用した HTTP-GET flood 攻撃による被害が発生しており、実際に HTTP サーバがダウンし、サービスの遅延やサーバの停止といった被害が発生している。そこで本論文では、HTTP サーバのアクセスログから、ページのアクセス挙動を解析することで、上記のような HTTP-GET flood 攻撃を検知する方式を提案する。これは、HTTP サーバのアクセスログから、1) コンピュータウイルスなどからの攻撃では、攻撃端末が同じ振る舞いを持つことに注目し、共通する閲覧順序を持つクライアントを攻撃クライアントとみなす手法、2) 本来のクライアントは閲覧ページの情報量が大きな場合に閲覧時間が長くなることに注目して、情報量に依存しない閲覧時間のアクセスを攻撃とみなす手法の2通りから構成される。実際に運用されている HTTP サーバのアクセスログを用いた評価により、HTTP-GET flood 攻撃を迅速に検知できることを確認し、提案方式が本来のクライアントと機械的なアクセスを見ける手法として有効であることを示す。

(7) ユーザによる設定を可能とする Proxy 型ネットワークアクセス制御方式の提案
関口聖美 (明治大学大学院)
黒羽秀一 (明治大学大学院)
齋藤孝道 (明治大学)

複数のユーザが利用する Web アプリケーションで、ユーザごとのディレクトリやファイルを直接的に利用するシステムでは、ユーザが直接、アクセス制御の設定を行いたいという要求がある。そこで、それらファイル等を用いたコンテンツ作成や運用の際、認証されたユーザがアクセス制御の設定を柔軟に行うことを可能とする Proxy 型のアクセス制御方式の提案と実装を行う。

(8) 隣接行列を用いたアクセス制御ポリシーの統合法
河野和宏 (大阪大学大学院工学研究科)
伊藤義道 (大阪大学大学院工学研究科)
青山明史 (株式会社 NTT データ)
鴨田浩明 (大阪大学大学院工学研究科/株式会社 NTT データ)
馬場口登 (大阪大学大学院工学研究科)

近年、組織内部からの不正行為や単純なミスによる情報漏洩が問題となっている。これらを防ぐため、使用するアプリケーションやシステムに対し、アクセス制御ポリシーを設定することで対処がなされている。しかしながら、各システムのアクセス制御ポリシーはそれぞれのシステムで独自に記述されているため、組織におけるセキュリティガイドラインが変更されたり、新しいシステムが導入された場合には、管理者は全てのシステムに対し個々にポリシーを設定しなおす必要がある。そこで本稿では、対象となるポリシーの集合から、それらを一括して管理することが可能な統合されたポリシーを作成する手法を提案する。提案方式では、グラフ理論を用いて統合を行っており、アルゴリズムを容易に構築することができる。また、グラフの表現として隣接行列を用いることで、グラフの変形や構築を全て行列演算に帰着している。

(9) クローリング手法を用いた P2P ネットワークの観測
寺田真敏 ((株)日立製作所システム開発研究所)
鵜飼裕司 (eEye Digital Security)
金居良治 (eEye Digital Security)
畑田充弘 (NTTコミュニケーションズ株式会社)
松木隆宏 (株式会社ラック)
宮川雄一 (株式会社クロスワープ)

P2P (Peer to Peer)ファイル交換ソフトウェア利用が広がる中、その利用実態に関する調査報告は数少ない。本調査研究の目的は、P2P ファイル交換ソフトウェア環境の利用実態に関する具体的な調査方法やその方法に基づき調査した結果を示すことで、調査手法の有効性を示すと共に、P2P ファイル交換ソフトウェア環境に関する調査活動を支援することにある。本稿では、P2P ファイル交換ソフトウェア環境の調査研究事例として、ノードが保持している他ノード情報一覧を取得するという操作を、取得した他ノード情報を用いて繰り返していく事で、ピュア P2P を構成するノードを調査するクローリング手法を用いて収集したデータを元に Winny/Share 稼動ノード数、ファイル数、ファイル保持ノードの特定に関する観測結果について述べる。

(10) トラフィック解析に基づくボット検知手法
釘崎裕司 (九州大学大学院システム情報科学府情報工学専攻)
笠原義晃 (九州大学情報基盤センター)
堀良彰 (九州大学大学院システム情報科学研究院)
櫻井幸一 (九州大学大学院システム情報科学研究院)

近年、ボットの感染が拡大しボットネットが形成され、社会問題となっている。ボットネットに対抗するためには、脆弱性を有するコンピュータの排除が理想である。そのため、ボットに感染しているコンピュータを検知し、注意を促す情報システムが重要である。そこでボットの動作の特徴を利用する検知手法が考えられている。本稿では IRC を利用したボットが、IRC サーバに接続する際の動作の特徴について調べた。実際に、IRC サーバでよく使われるポートのトラフィックを観測した。それにより、ボットが IRC サーバへの接続を拒否された際に、ある一定の時間間隔で再接続を試みることが確認できた。また、その時間間隔の分布を調べたところ、別の IP アドレスからの通信も類似の挙動を示していることを確認した。

(11) 不正PCを検出・無力化するシステムについての検討
猿田智勇 (NTTデータ)
大西克実 (大阪市立大学)
中野秀男 (大阪市立大学)

企業ネットワークのセキュリティ侵害は、その多くが内部の人間により行われている。本稿では、不正なホストを検出するシステムと、無力化するシステムを組み合わせ、検疫ネットワークに準ずるシステムを安価に構成する検討を行った。

(12) Anti OS Fingerprinting システムの実装
三村守 (防衛大学校情報工学科)
中村康弘 (防衛大学校情報工学科)

TCP/IP の規約は RFC に定義されているが、各 OS における TOP/IP スタックの実装には差異があり、OS Fingerprint と呼ばれる。OS Fingerprint を収集し、分析することにより、悪意ある第三者は送信元のホスト OS を特定することができる。また、多くのホストの TTL や IPid 等の情報を収集することにより、ネットワーク内部のトポロジを推定したり、稼動ホスト台数を検出することができる。本研究ではネットワーク外部での OS Fingerprint 収集・分析に対して、ネットワークの経路上で OS Fingerprint を消去し、TTL を初期化するシステムを提案し、その有効性を評価する。この機構により OS 識別行為を無力化し、ネットワーク情報の流出を防ぎ、システムの安全性を高めることができると考えられる。

(13) Karp-Rabin 法を用いたシグネチャ型 IDS の性能コスト評価
小林礼明 (電気通信大学情報工学科)
阿部公輝 (電気通信大学情報工学科)

シグネチャ型侵入検知システム(Intrusion Detection System, IDS)において検出処理を多段化し、高速度を求められるステップにハードウェアを、高精度を求められるステップにはソフトウェアを用いる一般的なアーキテクチャを提案する。処理が単純で、並列性を引き出しやすく、ハードウェア実装に適するパターンマッチアルゴリズム Karp-Rabin 法に着目し、そのフィルタリング精度と処理に要するコストの関係をシミュレーション実験により求める。

(14) IP fragmentation とその DNSSEC に与える影響
力武健次 (情報通信研究機構インシデント対策グループ)
中尾康二 (情報通信研究機構インシデント対策グループ/KDDI 株式会社)
下條真司 (大阪大学サイバーメディアセンター)
野川裕記 (東京医科歯科大学情報医科学センター)

ドメイン名詐称によるセキュリティ攻撃への対策として、DNS の認証プロトコル DNSSEC を採用推進する動きが広がりつつある。しかし、DNSSEC ではサーバ応答の UDP ペイロード長が大きくなるため、UDP データグラムの IP パケット分割による通信の信頼性低下の可能性がある。筆者らは、IP パケット分割が DNSSEC の運用に与える影響について、提案済みの DNSSEC の IP パケット分割モデルに基づいて運用ネットワーク上でパケット伝送実験を行った。その結果、UDP データグラムのペイロード長と損失率の間に相関は認められなかった。また、データグラムのバースト損失も確認できた。これらの結果から、筆者らは実運用システムの上で IP パケット分割は DNSSEC 全体の信頼性に重大な影響は与えないという結論を得た。

(15) オンラインゲームのセキュリティ: サーベイおよび今後の展望
山根信二 (東京大学大学院学際情報学府)
馬場章 (東京大学大学院情報学環)

近年のコンピュータ犯罪において、オンラインゲーム、特にMMOG(Massively Multiplayer Online Game)に関する犯罪が急増している。オンラインゲーム産業の発展に伴い、オンラインゲームでは現実世界と仮想世界との交流によって起こる問題がいちはやく表面化している。本論ではまず統計資料を参照してオンラインゲームの現状を明らかにしたあと、オンラインゲーム固有のセキュリティ上の問題について考察を行い、最後にセキュリティ対策における今後の研究の課題を示す。



■ 発表内容

(発表件数:15件)
講演時間20分+質疑応答5分=25分/件

■プログラム

● セッション1 [9:50 - 11:30]

(1) Hot list strategyによるpolymorphic viral binary code解析の高速化
安藤類央(NICT)

(2) 送信者認証機能付きブロードキャスト暗号の改良と安全性に関する考察
○金沢史明(筑波大),大川直人(情報セキュリティ大学院大),土井洋(情報セキュリティ大学院大),岡本健(筑波大),岡本栄司(筑波大)

(3) 人工物メトリクスによる紙の個別性の評価
○山越学,田中純一,古家眞,平林昌志(印刷局研究所),松本勉(横浜国大環境情報研究院)

(4) 柔軟な改ざん検出機能を有する電子透かし方式
○川島康彰(筑波大),満保雅浩(筑波大),岡本栄司(筑波大)

昼休み[11:30- 12:30]

● セッション2 [12:30 - 14:10]

(5) Distributed Solution Against Distributed Denial of Service (DDoS)
○Ghanmi Elyes(University of Tsukuba), Yoshihito Oyama(University of Tsukuba), Eiji Okamoto(University of Tsukuba)

(6) ページのアクセス解析による,HTTP GET flood攻撃の検知手法の提案
○谷田貝健(慶大),磯原隆将(慶大),笹瀬巌(慶大)

(7) ユーザによる設定を可能とするProxy型ネットワークアクセス制御方式の提案
○関口聖美,黒羽秀一,初谷良輔,齋藤孝道(明治大学)

(8) 隣接行列を用いたアクセス制御ポリシーの統合法
〇河野和宏,伊藤義道(大阪大学),青山明史,鴨田浩明(NTT データ),馬場口登(大阪大学)

休憩[14:10 - 15:00]

● セッション3 [15:00 - 16:15]

(9) クローリング手法を用いたP2Pネットワークの観測
○寺田真敏(中央大学研究開発機構),鵜飼裕司(eEye Digital Security)

(10)トラフィック解析に基づくボット検知手法
○釘崎裕司,笠原義晃,堀良彰,櫻井幸一(九州大学)

(11)不正PCを検出・無力化するシステムについての検討
○猿田智勇(NTTデータ アイテック),大西克実,中野秀男(大阪市立大学)

休憩 [16:15 - 16:30]

● セッション4 [16:30 - 18:10]

(12)OS Fingerprint対策システムの実装
○三村 守(防大), 中村 康弘(防大)

(13)Karp-Rabin法を用いたシグネチャ型IDSの性能コスト評価
○小林礼明, 阿部公輝(電通大)

(14)IP fragmentationとそのDNSSECに与える影響(IP fragmentation and the implication in DNS)
○力武 健次 (NICT),中尾 康二 (KDDI/NICT),下條 真司 (阪大), 野川 裕紀 (東京医科歯科大)

(15)オンラインゲームのセキュリティ: サーベイおよび今後の展望
○山根信二(東京大学大学院学際情報学府),馬場章(東京大学大学院情報学環)



募集要項


■ 申込み締切り
平成19年03月20日(火)

■ 発表申込み先
氏名: 須賀祐治
所属: キヤノン株式会社
住所: 〒146-8501 東京都大田区下丸子3-30-2
発表申込用メールアドレス: csecregat marksdl.hitachi.co.jp

■ 申込み方法
下記事項を記入し、上記担当者宛に送付して下さい。
(できるだけ、電子メールでお願いします)
発表題目:
発表者氏名 および 略称所属:
概要(50字程度):
発表申込み者連絡先
氏名:
郵便番号:
住所:
会社・大学名:
所属:
電話番号:
FAX番号:
E-mail:
メーリングリストへの登録:登録可 or 登録不可

# 登壇者は、発表者氏名に○印をお願いします。
# 発表者が複数人いる場合は、併記してください。
# メーリングリストへの登録で「登録可」を選択した場合、
E-mailアドレスを研究会の案内用メーリングリスト csec@sdl.hitachi.co.jp に登録致します。
なお、登録して頂いたE-mailアドレスは、研究会の案内用メーリングリスト以外には使用しません。

*申込みいただいた電子メールには受理確認のメールを返信しますので、必ずご確認ください。

# 発表原稿の提出について
(以下は参考情報です。提出期限ならびに様式については情報処理学会からの連絡にしたがってください)
- 発表原稿の提出は開催日の約1ヶ月前が目安となります。
情報処理学会研究報告執筆要項
研究報告原稿の作成要領について (PDF版)

■ 研究会推薦論文制度のご紹介
CSEC研究会では,研究発表会にて発表された優れた論文を、
研究会推薦論文として情報処理学会論文誌への掲載推薦を行っています。
ぜひ、この制度を活用して論文化を進めて下さい。


[home] 情報処理学会電子図書館オンデマンドサービス

Valid HTML 4.01! Valid CSS!