We study detection and identification of rushing cheaters in $(k,n)$-threshold secret sharing schemes. At the reconstruction, rushing cheaters are allowed to provide their input {\em after} observing shares of the honest users. Our first scheme is capable of detecting at most $(k-1)/3$ cheaters, and it has the share size $|S|/\epsilon^3$, where $S$ is a set of possible secrets, and $\epsilon$ is the cheaters success probability. The second scheme detects up to $n-1$ cheaters, with share size $|S|/\epsilon^{k+1}$. The third scheme identifies at most $(k-1)/3$ cheaters, with share size $|S|/\epsilon^k$. To our best knowledge, this is the first scheme in this model such that the share size does not grow linearly with $n$ (but only with $k$). The forth scheme identifies up to $(k-1)/2$ cheaters (optimal cheater resilience in the public identification model) with share size $(n-t)^{n+2t}|S|/\epsilon^{n+2t}$. Its advantage is {\em flexibility} (in the security level), i.e., the cheaters success probability is independent of the secret size. Each of our proposals has the smallest share size among the existing schemes in the respective models; specifically for the forth one, we are referring to the schemes with flexibility property.

関数秘密分散法は2015年にBoyleらによって提案された暗号法である．関数秘密分散法は秘密関数を元に作られたパーティー数の分散関数を用いて，パーティー間で共通の情報である入力情報に基づく秘密関数の出力結果を求める機構である．我々は関数空間を2のn乗ベクトルとみなすことで，任意の関数が基底関数の線形結合で表せることに着目した．本論文では，関数秘密分散法に対する新たなフレームワークを与えることで，任意の関数の効率的な関数秘密分散法を実現する．我々は，基底関数としてフーリエ基底を用いた関数秘密分散法を新たに提案する．この手法では，これまでの点関数の線形結合を用いた関数秘密分散法では効率的に計算できなかったような関数クラス（例えば，一方向関数のハードコア述語など）の演算を，より効率的に実現する．また，従来の点関数を用いた関数秘密分散法に比べ，我々の提案するフーリエ基底を用いた関数秘密分散法は容易に構成することができ，高い実用性を備えている．

本論文では,先行研究における秘密分散法を用いた通信プロトコルに対し、改竄検出を行ない,敵が改竄を行った経路を排除し,再度別の通信経路を確保するように変更したプロトコルに対する安全性と信頼性を確率的・符号理論的に導出し、複数の互いに対立する敵が存在するモデルにおけるゲーム理論的安全性検証を行う.想定しうる敵の利得として, 送信メッセージの入手, メッセージ送信の失敗, 自分の敵の排除, プロトコルの中断, メッセージ送信の成功, 改ざんチャンネルの検出,それぞれに対して検証を行い,通信中において,現実的な敵がどのような行動をとるのか考察する.それによって提案プロトコルは複数の敵が同時に通信経路上に存在したとしても,信頼性と安全性を同時に満たすことを示す.複数の敵を検証した時に生じる,ある敵が改竄して起こる通信経路の増減による安全性の評価関数を導出し,先行研究で敵が一人の時に全ての通信経路を支配されていなければ満たしていた安全性と信頼性を、複数の敵が存在するモデルにおいても、ある一人の敵が全ての通信経路を支配していなければ満たすことを示す.

情報理論的暗号理論における新しい安全性概念として，推測確率に基づく安全性（推測秘匿性）が近年議論されている．推測秘匿性には平均的な成功確率に基づくものと，最悪推測成功確率に基づくもの（最悪推測秘匿性）の二種類が知られている．前者については共通鍵暗号や秘密分散法などに対して（完全秘匿性を満たさないという意味での）非自明な構成法といった基礎的性質が知られているが，後者については，自然な条件を満たす共通鍵暗号においては非自明な構成法が存在しないことが明らかになっている．本稿では秘密分散法に対する最悪推測秘匿性を議論し，非自明な構成法について考察する．

A hierarchical access structure divides participants into different levels of hierarchy. This particular type of generalization of threshold access structures occurs in real life scenario. There are few constructions of secret sharing schemes realizing such access structures. Robust secret sharing schemes constitute an important class of basic building blocks for the multi-party computation. Though there are several constructions for robust secret sharing schemes but all of them only consider threshold access structures. To define robustness for secret sharing schemes that realize access structures more general than the threshold ones is not easy. In this paper, we take the initiative to define robustness for hierarchical secret sharing. We consider robust hierarchical secret sharing scheme secure against computationally unbounded rushing adversary who are allowed to submit (possibly forged) shares after observing shares of the honest users in the reconstruction phase. To the best of our knowledge, this is the first information theoretic construction of robust hierarchical secret sharing scheme secure against malicious adversary.

An ordinary (k,n)-threshold proactive secret image sharing scheme (PSIS) permits that n generated stego-images preserve a secret image, the stego-images can be renewed frequently while these remains stored. The secret image can be reconstructed with k or more stego-images. However its implementation causes high accuracy detection of steganalysis due to the high payload and the use of least significant bit replacement (LSBR) steganography. To reduce the accuracy detection we explore the securely embedding data by using least significant bit matching (LSBM) and least significant bit matching revisited (LSBM-R). In addition we use a (k, L, n)-threshold ramp secret sharing scheme, which allows to reduce the amount of embedded data. The results of the evaluation show effectiveness of the proposal in terms of high payload and reduction of steganalysis detection, as well as accurate recovery of the secret. Moreover we present an evaluation of the bit replacement steganography methods showing the most reliable for our PSIS.

ペアリング暗号の安全性根拠の1つは, ある拡大体上の離散対数問題の困難性である. この問題は標数の大きさで場合分けされ, 標数が「medium」と「large」の場合に, 現在最速の解法は数体篩法(NFS)である. NFSの拡大体への適用として, Tower-NFS(TNFS)とClassical-NFSが提案されていた. これらは標数がSpecialな形の場合に計算量が減少し, mediumでL関数の第 2引数C(64/9), largeでC(32/9)となることが知られている. 一般的にペアリング暗号で利用される標数はSpecialな形を持つ. 2015年, Kimが3つ目のNFSであるExtended-TNFSを提案した. さらに, CRYPTO 2016でKimらはSpecialな場合に特化した手法を提案し, その計算量がmediumとlarge両方でC(32/9)となることを示した. 本稿では, ペアリング暗号の安全性解析において, Kimらの手法によるNFSのノルム評価を適用する. これにより, 最新のNFSに対し256ビット安全性を持つペアリング暗号の鍵長を見積もる.

CRYPTO2016でKim等が提案した有限体上の離散対数問題に対する効率的な解析手法により，この問題を安全性の根拠とするペアリングの安全性が低下したことで，ペアリングに用いるパラメータのビット長を大きくする必要がでてきた．一般的に，ビット長が大きくなるに従って演算の処理速度が低下するため，ペアリングを効率的に構成することが今まで以上に求められる．ペアリングフレンドリ曲線の選択は，効率的なペアリングの構成における最も重要な要素のひとつである．ある安全性を満たす効率的な曲線を選ぶ場合，理論的には，ビット長はなるべく小さな値が良いと考えられていたが，実際の実装評価では，理論的に良い曲線とは異なる曲線が最も良いことが従来研究で示されている．そのため，様々な曲線に対して実装評価した上で，曲線を選ぶことが重要である．本稿では，(1) 5つの候補曲線に対して，井上等が示した256ビット安全なビット長を満たす具体的なパラメータを探索し，(2) それらのパラメータを用いて，主要な演算の実装と処理速度の比較評価をする．結果として，256ビット安全性を持つペアリング暗号を最も効率的に実装可能なペアリングフレンドリ曲線を示す．

Scalar multiplication over higher degree rational point groups is one of the major challenges for faster implementation of pairing-based cryptography. In this paper, we have presented a skew Frobenius mapping technique in the sub-field isomorphic sextic twisted curve of Kachisa-Schaefer-Scott (KSS) pairing-friendly curve of embedding degree 18 in the context of Ate based pairing. Exploiting the skew Frobenius map along with multi-scalar multiplication technique, an efficient scalar multiplication method for KSS curve is proposed in the paper. Along with the theoretic proposal, this paper has also presented a comparative simulation of the proposed approach with the left-to-right binary method, Montgomery ladder, sliding window method and non-adjacent form (NAF) for scalar multiplication. The simulation result shows that the proposed method is about 60 times faster than a plain implementation of other compared methods.

非対称ペアリングは対称ペアリングと比較して代数的構造は複雑だが実装の効率はずっと良い . 従ってペアリング に基づく暗号方式を構成する際，一旦は対称ペアリング上で設計を行い，後に非対称ペアリングの代数的構造に合わせ再設計 し実装を得る事が多くなっている . 2014 年阿部らは方式の安全性を維持したままこのタスクを自動実行するフレームワーク を発表した. 後に整数計画法を直接用いるアルゴリズムが提案された事により，かなり大規模な暗号方式の自動 変換が可能となっている. 本発表ではこの方式を改良して幾分高速化する.

　近年、パーソナルデータを活用するサービスが増加しているが、一方でプライバシー侵害の懸念を生じている。そのため、プライバシーポリシーに詳細を記載し、同意を得ているが、有効性について懐疑的な意見もある。 　懸念緩和のためプライバシーポリシーを容易に理解しやすくする研究が行われており、その一つとしてプライバシーラベルがある。Pontesらは、プライバシーポリシーをプライバシーラベルに半自動的に変換する手法を提案した。この手法では、専門家が決めたキーワードによりパターン照合を行うため、未知のキーワードを含むプライバシーポリシーには対応できない。対応策として単語を特徴とした教師あり機械学習アルゴリズムを適用したが精度が不十分であった。 　本研究では、ラベル変換の前段階として文単位の教師ありカテゴリー分別手法を提案する。企業45社のプライバシーポリシーを文ごとに人手でカテゴリー分けし、各カテゴリーに出現する単語(二連語)のTF-IDF値を算出することで、カテゴリー特有な単語を半自動的に取得することができる。特有な単語のみ用いた場合と全単語を用いた場合との比較を行い、提案手法の有効性を検証した。

本論文では，少数の設定項目から全体の設定を推測する，サポートベクトルマシン(SVM)を用いたプライバシ設定推測手法について，評価用システムを実装し，評価を行った結果を示す．評価に当たり，約300人の被験者を3つのグループに分け，それぞれ(1)5項目を手動で設定し，75項目に対し推測した値を提示し，推測値に対し修正を行う，(2)80項目に対し手動で設定する，(3)5項目に対し手動で設定し，その後75項目に対し手動で設定する，と異なる手段で設定する実験を行った．また，各被験者に対し，設定推測システムに対する受容性に関するアンケート調査を実施した．

本論文では，多数の参加者が持つデータセットを互いに秘匿したまま深層学習を行い結果を得ることが可能なプライバシー保護深層学習システムを提案する．Shokri-Shmatikow（ACM CCS2015）による先行研究では，確率的勾配降下法(stochastic gradient descent, SGD)を用いた深層学習の計算過程において，各参加者がhonest-but-curiousな中央サーバに各自のデータセットから計算したニューラルネットワークの勾配情報を送信する．本論文ではまず，先行研究の問題点として，勾配情報から学習データのラベルが復元される可能性があることを示し，加法準同型暗号を用い，問題を解決したシステムを提案する． 暗号化による提案システムの速度低下は実用的な範囲であり，学習結果は通常の深層学習アルゴリズム，つまり全てのデータを平文のまま一か所に集め計算を行ったものと完全に一致する．本研究はSGDによるニューラルネットワークの学習と加法準同型暗号の組み合わせにより，実用的なシステムの構成が可能となることを示しており，深層学習アルゴリズムと暗号アルゴリズムを統合した新たなシステムとして位置づけることができる．

暗号技術を含むセキュリティ技術の研究・開発における最終的な目標は多くの場合、実システムの安全性を何らかの意味で保証することである。しかしシステムセキュリティの研究における安全性評価は実験によって行われている場合がほとんどであり、理論的な安全性評価がなされたシステムやプロトコルの研究例は現在のところ少ない。本稿では理論的（＝証明可能）安全性を持つシステムの構成を見据え、様々なシステムで用いられている/今後用いられることが期待されている機械学習プロトコルの証明可能安全性を議論する。特に今回は機械学習の中でも教師あり学習を取り上げ、教師あり学習もその使い方次第ではセキュリティを考える余地が生まれることを指摘し、教師あり学習を暗号学的に取り扱うためのモデル、正当性、安全性の定式化を試みる。また、それらの定義を満たす構成（完全準同型暗号に基づく一般的構成）と安全性証明を示す。

Machine learning have been widely utilized for security sensitive applications such as spam filtering, intrusion detection, malware classification and biometric authentication. Although machine learning technique can bring advantages such as automation and intelligentization compared to previous rule-based security solutions, it also incurs additional vulnerabilities according to its complicated principle compared with latter. In this paper, we briefly introduce where and why machine learning security systems are vulnerable, and induce an introduction of a new domain called adversarial machine learning, which is an intersection between machine learning and information security and currently hasn’t been focused in Japanese cybersecurity and machine learning community. We then suggest some possible direction to extend current works from perspectives of cyber-security. The paper is aim to give a rough introduction, especially to cyber-security researchers who don’t familiar with and are interesting in adversarial machine learning and considering to extend their previous work to this domain.

近年、画像認識や言語の翻訳など様々な分野で深層学習を用いたアプローチが導入されており、めざましい成果をあげている。これらの技術は今後も様々な応用が考えられている一方で、これらの学習器に対する攻撃も報告されている。この攻撃手法を用いると、画像認識を行う学習器に対し人間の目では正常に識別できるが学習器は誤った識別結果を返してしまうといった画像を作成することが可能になる。このような改変が行われた画像とただランダムにノイズをのせた画像を見た目で区別することは大変困難である。そこで本研究では、入力画像に対する学習器の出力からjacobianを計算して利用することで深層学習を用いた画像分類器に対し意図的に誤ったクラスに分類させるような入力画像を検知する手法を提案する。

本発表では、共通鍵ベース秘匿検索における検索クエリの安全性向上方法と再検索の高速化手法について議論する。特に、確率的に生成された検索クエリを用いることによる漏洩情報を削減した秘匿検索手法と、漏洩情報の削減を維持したまま検索履歴をサーバに生成させることで検索処理速度を改善した手法を含む。

情報漏洩を防ぐ手段として暗号化データベースシステム（EDB）が提案されている．EDBは暗号化されたデータ上でSQLを実行することが可能である．EDBの実現方法の1つとしてCrypt DBがある．Crypt DBは順序保存型暗号(OPE)などの高機能な暗号を用いて構成されている． ACM CCS2015でNaveedらはOPEの性質に着目してCrypt DBに対する攻撃であるCumulative attackを提案している．論文中ではCrypt DBによって電子医療データが暗号化されたシナリオを想定した実験が行われているが，この実験結果ではデータベースのレコード数の多い病院に対してはCumulative attackが大部分のレコードを復元すること成功している．しかしデータ数が少ない病院に対しては性能が悪いという問題点がある．本論文ではデータ数の少ない状況でも性能の良いアルゴリズムの提案を行う．まず既存のCumulative attackに対してパラメタを１つ導入することにより改良を行う．さらに実際に得られたデータに応じて，パラメタを適応的に変化させる枠組みを導入する．

検索可能暗号は、暗号化されたデータと暗号化された検索ワードの完全一致機能を提供する、暗号化技術である。検索可能暗号により暗号化されたデータは確率的に暗号化されるが、検索ワードとの完全一致が判明した暗号化データは、同一値を有することが判明するため、暗号化の安全性が決定性暗号と同程度に低下する。そのため、検索可能暗号を用い、クラウドに完全一致機能を提供する際には、初期の暗号化データはまだ検索されていないため安全性が高く、検索をされるたびに一部の暗号化データの安全性が決定性と同等に低下していく。本稿では、検索により徐々に低下する暗号化データの安全性を情報量の観点から評価した結果を報告する。さらに、検索可能暗号の代表的なアプリケーションであるクラウド上のドキュメント管理を想定し、暗号化データや暗号化された検索ワードに出現頻度が偏ったジップの法則を適用した計算機実験では、ほとんどの暗号化データの安全性が運用開始後まもなく決定性に低下し、相関の高い外部データとの比較により高確率で平文が解読可能と考えられる結果を得た。

検索可能暗号は情報を秘匿したまま検索が可能な方式であり, クラウドコンピューティングやゲノム解析での利用が期待されている. 我々は, CSS2016で平文とキーワードの確率分布が一様であるという仮定の下で情報理論的に安全な共通鍵検索可能暗号を提案した. 本稿では平文とキーワードの確率分布が非一様である場合の情報理論的に安全な検索可能暗号を提案する. 具体的には最小エントロピーを用いた安全性定義を新たに考え, その安全性を満たす構成法を提案する. 更に, 効率性の立場から構成法の鍵長, タグ長, 暗号文長の評価を行う.

CCS2016でBostは効率のよいフォワード安全な動的検索可能共通鍵暗号方式を提案した．正直なサーバに対する基本方式の他に，クライアントが各インデックスのハッシュ値をストレージに保存することで悪意のあるサーバに対して安全となる拡張も示しているが，拡張方式にはストレージ効率が悪いという問題がある．本稿では，メッセージ認証コードを用いたタグをインデックスと紐づけることでクライアント側でサーバの不正を検証可能となる方式を提案する．インデックスのハッシュ値を保存しなくてもよいため，Bostの基本方式と同等のストレージ効率を実現できる．

近年，クラウドコンピューティングの活用が進んでいる．これにより，運用コストの低減や迅速なサービス展開が可能になる一方，データを外部委託することによるデータ漏洩の懸念が増大している．これらの問題は，暗号化したままでも各種処理を実行できる多機能暗号を使うことで解決できる可能性あるが，多機能暗号には実用的な速度で処理できないという課題がある．一方，IoT (Internet of Things)の普及などにより，処理すべきデータ量が今後大幅に増加することが予想される．大量データを問題なく処理し，しかも安全に扱うためには，高速な多機能暗号処理システムが必要になる．そこで本論文では検索可能暗号を対象とし，外部アクセラレータを利用した高速化アーキテクチャの検討と実現を目指す．FPGA(Field-Programmable Gate Array)をアクセラレータとして採用し，3種類の構成を検討した．このうち最も可搬的なアーキテクチャを採用し，プロトタイプを作成した．これを評価したところ，5万件以上の一致検索処理を行う場合において，本アーキテクチャによる効果が得られることを確認した．

近年，車のインターネット接続が普及する一方で，車に対するセキュリティ上の問題が指摘されており，車を保護するためのセキュリティシステムを構築することが求められている．本稿では，複数の車載デバイスにより車を保護する多層防御機能と，多層防御が破られた場合に備えた異常監視サーバによる異常検知機能を持つ車載向けセキュリティシステムを提案する．さらに，システムの運用コスト課題として，車から異常監視サーバへアップロードする監視データ量の削減課題を取り上げ，本課題に対して監視データ量削減方式を提案し，車の監視レベルを落とすことなくデータ量を削減できることを示す．

車載ネットワークのセキュリティが重要課題になっており，車載ネットワークとして広く普及しているController Area Network（CAN）を保護するための異常検知手法が多く提案されてきた．異常検知の精度を高めるためには，CANメッセージに含まれるペイロードを検査する必要があるものの，CANメッセージの仕様はメーカや車種ごとに独自に設計されているため，異常検知システムを個別に設計しなくてはならなかった．特にペイロードに含まれる，車速などのセンサー情報や，シフトポジションなどの状態情報を示すフィールド単位で異常検知を行うためには，ペイロードから該当フィールドを抽出する必要がある．そこで本稿では，CANメッセージに含まれるフィールドを車種に依存せずに抽出する汎用的な手法を提案する．さらに実車から得られた通信ログに適用した結果として，提案手法が従来手法よりも精度良くCANメッセージのフィールドを抽出できることを示す．これにより，低コストかつ精度の高い異常検知システムの自動構築を実現することが期待できる．

CANのメッセージは大半が周期性を持っており，これらのメッセージに対する攻撃を検知できれば， 攻撃の全体像を掴むための手助けとなる． 周期性を持つメッセージ対する攻撃を検知する手法は，過去のSCISなどでも提案されている． 本論文では，従来の検知手法のアルゴリズムを詳細に検討し，従来の手法とは異なる新手法を提案する． また，CANにおいて周期性を持つメッセージに対する攻撃の検知手法について， 客観的な評価手法を提案する．本評価手法は一般的な異常検知手法の評価に用いられる評価尺度をベースとしている． 本論文では従来手法と新手法について，提案する評価手法を用いて評価を行う．

近年車両のメンテナンスポートや無線回線からなりすましメッセージを車載制御ネットワークに注入して不正に車両を制御する研究事例が報告されておりこれらの攻撃に対する対策が急がれている．未知の攻撃へ対抗するために振る舞いベースの侵入検知を用いてネットワーク中に侵入したなりすましメッセージを検出することが知られているが，誤検知率（偽陽性、偽陰性）が高いためこの抑制が望まれている．本論文では，車載制御ネットワークに広く使用されるController Area Network(CAN) プロトコルにおいて周期的に受信される制御上重要なメッセージのなりすましを予め推定した受信周期の確率密度分布上での逸脱より検出し，車両の状況毎（オプション，走行状態，時間等）に変動する受信周期の確率密度分布を各々推定することで誤検知率を抑制する手法を提案する．また，実車で取得したネットワークトラフィックを用いた提案手法の評価結果を示すと共に，応用例を示す．

近年, 自動車が外部ネットワークに接続されるようになり, サイバー攻撃のリスクが高まったことから, 車載ネットワークのセキュリティを確保するための研究が広く行われている. 既存研究として, ネットワークを流れるメッセージの異常検知を行う手法があり, 異常検知アルゴリズムとして LOF (Local Outlier Factor) を採用したものが提案されている. しかしながら, LOFはメッセージ評価時に, 大量のデータを保持する必要があり, 計算量も大きいという課題があった. そこで, 本稿ではメモリ量と計算量が小さいIsolation Forestを異常検知アルゴリズムとして採用した. しかし, Isolation Forestには, 正常データのみから成る訓練データを用いて学習を行った場合, 検知精度が低いという課題がある. 本稿ではこの課題に対し, 学習にノイズを付与した訓練データを 用いることで検知精度を向上させるSand Sprinkled法を提案し, 実車データを用いた評価によりこの手法の有効性を示す.

近年，自動車に対するサイバー攻撃として，遠隔から車載ネットワークに侵入し自動車を不正に制御する攻撃事例が報告されており，車載ネットワークとして広く普及するCAN（Controller Area Network）の通信を保護する研究がなされている．CANを流れるメッセージの異常検知手法として，値が連続的に変化するセンサ型データの振る舞いに基づいた手法が提案されている．しかしながら既存手法は，値が離散的に変化するフラグ型データに対して適用することができないという課題があった．本稿では，この課題に対し，フラグ型データの関係に基づいた異常検知手法を提案し，実車データを用いた評価により有効性を示す．

　昨今，大規模な情報漏えい事案等が発生したことが契機となり，内部不正のリスクを低減することは急務の課題となっている．内部不正はいくつかの誘発要因の影響により発生することがあるが，特にシステムにログインするためのアカウントを共有していると，利用者を識別することが出来ず，内部不正を誘発することが多いといわれている．そこで本研究は，共有アカウントを利用することが内部不正を誘発する大きさがどれくらいなのかを評価する． 　ランサーズ社のクラウドソーシングサービスにより集めた198名の被験者は，筆者らが構築した検索サイトの疑似環境にアクセスし，利用した感想を報告する．被験者にはランダムに共通アカウント，個別アカウントのいずれかを付与する．また被験者には個人毎に異なる70語の検索ワードを与え，作業完了条件は50語以上の検索を完了することとし，当該作業を途中で放棄（検索したワードが50語未満）した場合や利用規則への違反行為を不正事象とする．不正事象の観測結果を統計解析の手法を用いて分析し，共有アカウントと不正事象の相関関係を明らかにする．

標的型攻撃に代表される情報セキュリティ被害は，情報システムを利用する人間の脆弱性に起因するケースが少なくない．システムに対するセキュリティ対策のみではこれらの脅威を防ぐことは困難である．人的脆弱性に対する対策として訓練などの方法があるが，組織に所属する人間の数が多い場合，一律的な対策よりは個々人の特性に応じたきめ細かい対策の実施が望ましい．以上の背景を元に本研究では以下の Research Question にとりくむ．「標的型攻撃の被害に遭うリスクの高い人物が共通して備える特徴はいかなるものか？」, 「標的型攻撃の被害に遭いやすい人物を事前に予測することは可能か？」 大学で実施した773名に対する標的型攻撃訓練時のデータを解析し，攻撃にかかってしまった人に共通な特徴の分析，ならびに機械学習の適用により，そのような人を事前に予測できるか評価した．この結果，質問紙調査からは実験で不適切な行動をとった人物には内向的な傾向があることが見て取れた．また，機械学習を用いた予測では比較的高い精度で標的型攻撃の被害に遭うリスクが高い人物を抽出可能であることを明らかにした．

勤務中のインターネットの私的利用に関する研究は、組織に属する個人がその組織の情報資源を誤用する心理を理解するために2000年頃から始まったものである。本研究はアンケート調査結果を用いて、勤務中のインターネット私的利用意図に対して個人差、職場特性と組織の方針・手順が与えている影響について実証分析を行う。

セキュリティポリシーとは, 企業をはじめとする組織においてどのような情報資産をどのような脅威からどのようにして守るのかについての基本的な考え方, および情報セキュリティを確保するための体制, 組織および運用を含めた規程・ルールのことをいう. 近年では, 多くの企業においてこれらの策定ならびに運用が行われている. しかしながら, 企業の構成員である従業員の全てがこれを守っているとは限らず, その一部の従業員によって個人や企業が情報漏えいをはじめとする情報セキュリティインシデント被害に遭遇したという事例は少なくはない. 本研究では, 2016年2月に実施したアンケート調査によって収集された情報セキュリティ行動や意識に関するデータを用いてセキュリティポリシー違反意図に影響を与える個人属性や職場環境要因の探索を試みる. 分析の結果, セキュリティポリシーを違反意図と関係する要因として, コンプライアンス意識や情報セキュリティ意識, 仕事満足度や不正・違反放置風土などがあることが明らかになった. 一方で, ルールを破ったときに厳罰化を行うことは必ずしも有効に働かないこともあわせて明らかになった.

本研究ではエンドユーザを狙って行われるサイバー攻撃やエンドユーザによって引き起こされるインシデントについて、技術的な要因ではなく人的要因から分析し、そのために認知心理学に基づいた手法の利用について考察する。近年、様々な生体情報デバイス・バイオセンサーが普及しており、疲労やストレス、体調などの管理に役立てられている。サイバーセキュリティ分野でも生体情報を分析し、人間に内在する精神状態を推測できれば、リスキーなコンピュータ操作を防止しうるのではと考える。本研究では視線分析技術とフィッシング対策技術の関係の研究を報告し、著者らが行ってきたフィッシングサイト判別実験から検知技術及び対策技術の検討を行う。また、フィッシング対策分野以外における有効性について考察するため、サイバーセキュリティ分野でも実施可能な生体情報観測技術について議論する。

FacebookやTwitterに代表されるSNS（Social Networking Service）の普及に伴い, 個人が容易にネットを通じて世界中に情報を発信できる時代となった. 個人の意見や 感想を気軽に発信・共有できるという利点がある一方で, 不謹慎な行為や社会道徳に 欠ける投稿（悪意のある投稿）も散見されている. この悪意のある投稿はいじめや風 評被害, 炎上という様々なSNSの不適切な利用に起因する社会的問題を引き起こして いる. 本研究では2015年3月に実施した「SNSユーザの情報セキュリティ意識および行 動に関する調査2015」（インターネットアンケート調査形式）の結果を統計分析する ことで, どのような特性を備えた人が悪意のある投稿をする傾向にあるのかを明らか にする. 分析の結果, 悪意のある投稿をする人は衝動性や攻撃性といった特性をもつ とともに, インターネットに依存する傾向があることなどがわかった. また, （普遍 的）倫理意識を高めることが悪意のある投稿を抑止することにつながることも明ら かにした.

Yaoは2者間で所持金を明らかにすることなく，どちらの所持金が多いかを明らかにする金持ち比べプロトコルを提案した．その自然な拡張として3人以上の間で最も所持金が多い人物のみを明らかにする問題を考えることができる．本研究ではカードを利用してこの問題を解決する方法を検討する．既存研究ではコミット型のプロトコルを組み合わせて作る以外の方法が知られておらず，多くのシャッフル操作が必要となる．そのため安全にシャッフル操作を実現すると参加者数が$n$，最大金額が$m$の時，$O(n^2 \log m)$回の通信を行うことになる．提案方式では通信回数の観点で効率の良い非コミット型のプロトコルを新たに構成する．背面処理を利用することで，シャッフル操作を1回に抑えて，$3n-1$回の通信で複数人での金持ち比べプロトコルを実現する．

物理的なカードを用いてマルチパーティ計算を行うプロトコルをカードベース暗号プロトコルと呼ぶ．既存のカードベース暗号の多くは，秘匿性を実現するためにシャッフルと呼ばれるカードベース暗号特有の操作を用い，計算の基盤となる論理演算を効率化することを目指している．一方で，Nakaiらはカードベース暗号をマルチパーティ計算の観点から再検討し，背面処理と呼ばれる秘匿操作と通信を基本要素とすることで，既存方式より効率的な大小比較プロトコルを示した．しかし，このアプローチで論理演算に関する秘匿計算が効率化可能かについては未解決であった．本稿では，この課題を肯定的に解決する．既存の論理演算プロトコルでは，2つのブール値を表すために4枚のカードが最低限必要であったが，入力値をカードではなく背面処理による分岐処理で表現することで，3枚のカードを使えば任意の論理演算プロトコルが構成できることを示す．さらに，提案方式の論理演算プロトコルを応用することで，これまで8枚のカードが必要だった3入力多数決が4枚で構成できることを示す．

カードを用いて不動点のない置換を一様ランダムに秘匿したまま生成する問題について、Cr\'{e}peauとKilianによる提唱（CRYPTO 1993）以降、提案された様々な（確率的）アルゴリズムは全て、最悪時に有限時間で停止する保証がないものであった。本論文では本問題に対する有限時間アルゴリズムの実現可能性について論じる。より詳しくは、本問題には「該当する置換を全て列挙し一つ選ぶ」という自明な解があるが、確率分布の台集合が指数関数的に大きくなり現実的でない。そこで本論文では、非一様ではあるが台集合が有意に小さいある確率分布をカードにより秘匿したまま有限時間で実現できさえすれば、著者らがCSS 2016で提案した手法を用いて上記問題の有限時間アルゴリズムが得られることを示す。なお本論文で示唆する通り、一様ランダムなカードシャッフルのみに基づく本問題の効率的な有限時間アルゴリズムの実現は困難であり、非一様なシャッフルが不可欠と考えられるが、ASIACRYPT 2015でKochらが用いたような比較的単純な分布の非一様シャッフルに基づく本問題のアルゴリズムの具体的構成は今後の研究課題である。

秘密計算とは，入力を秘密にしたまま関数の計算を行う暗号技術であり，特にカード組を用いた秘密計算のプロトコルをカードベースプロトコルという。カードベースプロトコルでは，カード枚数が少ないことと，手順が簡単であることが望ましい。特に，最も複雑な操作であるシャッフルの回数を削減することは，手軽さの観点において重要である。Shinagawaら（ProvSec 2015）は，任意の論理関数を秘密計算するためには2n回（nは論理関数の入力長）のシャッフルを用いれば十分であることを示し，これは現在までに知られている最良の結果である。本論文では，任意の論理関数を秘密計算するためには2回のシャッフルを用いれば十分であることを示す。用いているシャッフルは，Ishikawaら（UCNC 2015）によって初めて用いられたパイルスクランブルシャッフルである。ただし，提案プロトコルはカード枚数については気にしておらず，$2^{2n}$枚程度のカードを使用している。

カードベース暗号プロトコルでは，物理的なカードの組を用いて秘密計算を実現する．計算に要するカード枚数の削減に成功した方法として，カード列を二分割して両者の順番をランダムに入れ替え，恒等置換またはそれ以外のある置換が適用されたカード列が得られるシャッフル（以降，「二状態シャッフル」という)を用いたプロトコルがある．最近では，その二状態を不均一な確率で得られるシャッフルを用いて更なる枚数削減に成功したプロトコルも提案されており，それらのシャッフルは箱や封筒のようなケースを用いて行うPile-Shifting Scrambleで実現可能であることも分かっている．しかし，当該操作で実現可能な，不均一な確率分布の二状態シャッフルについて十分に検討されているとは言えない．本研究では，その検討を行い，二状態のうちの恒等置換でない方の置換が，互いに素で長さが等しい巡回置換の積として表されるならば，そのシャッフルはPile-Shifting Scrambleで実現可能であることを示す．また，この十分条件をもとに既存のコピープロトコルを再考察することで，必要なケースの数を1つ削減する方法を提案する．

本論文では、まず、全部で２枚のカードのみを使って、任意のブール関数f(a,b)の値を秘密に計算する半コミット型プロトコルを示す。ここで、半コミット型プロトコルとは、アリスは入力a∈{0,1}をコミットするが、ボブは何もコミットしないようなプロトコルである。このプロトコルは、１枚のカードを使った最小コミットメントを利用する。次に、全部で４枚以下のカードを使って、任意のブール関数f(a,b)の値のBoerコミットメントを出力する半コミット型プロトコルを示す。ここでBoerコミットメントとは、従来のカードプロトコルにおけるビットコミットメントである。さらに、入力ビット数の拡張、参加者数の拡張も示す。

モバイル端末の普及により，様々な場面で画面ロックの解除を行う機会が増えている．画面ロックの主流の方式として，パターン，PINコード，パスワード認証が挙げられる．しかし，これらの認証方式は，覗き見耐性に脆弱であり，端末が盗まれた際，個人情報の流出の原因になる危険性があり問題となっている．我々は以前，覗き見攻撃耐性を有する認証方式としてをされ，自己組織化マップを利用したリズム認証方式を提案した．この方式は，利用者が画面をタップすることで得られる情報を自己組織化マップに入力し，学習，分類によりその類似度に応じて個人認証を行う生体認証の1つである．画面を伏せた状態でも認証を行うことができ，覗き見攻撃耐性，録画攻撃耐性を有することができる．しかし，マップ作成にサーバが必要な問題や，利用者が少ないタップ数でリズム認証を行った場合，識別率が低下する問題が考えられる．本論文では，ランダムフォレストを利用することにより，端末内だけで認証が行えるようになるシステムを提案し，また，利用者が少ないタップ数で認証を行った場合でも，識別に重要な特徴量を認証に使用することによって高い個人識別率を実現させることが可能か実験で確認する．

防犯カメラ映像を対象とした人物認証は犯罪捜査等で非常に期待されている技術であるが，その一方，アクセスコントロールを目的とした一般的な人物認証と比較すると，認証を困難とする要因が多数存在するため，これらの要因への対応が求められる．本研究においては，この要因の一つである，隠ぺいに着目し，隠ぺいがある状況下でも認証を可能とする手法を提案する．隠ぺいが発生すると，隠ぺい部分に対応する特徴は一般に取得できない．しかし本研究では，その隠ぺい部分の特徴を，隠ぺいされていない観測されている特徴から再生する手法を提案する．具体的には，シルエットに基づく歩容特徴に着目し，隠ぺいにより欠損が生じている部分歩容特徴から，欠損部分が復元された全身歩容特徴を生成する．この手続きを歩容再生と呼ぶ．本研究では，歩容再生を部分空間法に基づく手法により実現するが，その手法に，再生されるデータが“歩容特徴である”という事前知識（歩容事前知識）を用いることで高精度化を実現する．提案手法は，歩容データベースを用いて，再生精度及び認証精度の二つの視点から評価を行った．その結果，歩容事前知識の考慮により大幅な精度改善が確認できた．

近年の生体認証は、イベント会場の入場ゲートのような大勢の人が短時間で認証を行う場面でも利用され始められるようになったが、我々は、このような場面でも指静脈認証を実現するための仕組みとして、指を認証装置にかざすだけで認証を行うことができる手振り型指静脈認証システムを提案している。しかし、現状のシステムでは、複数フレームの合成や位置合わせといった画像処理が必要になる。そこで今回は、合成や位置合わせが不要な画像のマッチング手法として、SIFT（Scale-Invariant Feature Transform）特徴量を利用した手法を検討した。 今回の提案手法では、複数指を撮影した動画像の各フレーム画像から4本の指領域を抽出し、静脈強調処理を行った上でSIFT特徴ベクトルを算出する。これを登録情報として利用し、照合時には、登録情報と対応するSIFT特徴ベクトルを求め、対応特徴量の個数が閾値以上である場合には本人として判定する。提案手法の有効性を確認するための実験を行った結果、複数フレームの合成や位置合わせを行わない場合でも、SIFTを用いることで高い認証精度での照合が行えることを確認できた。

虹彩認証は，指紋認証など他のバイオメトリック認証方式と比べ，非常に高い認証精度を持つことが知られている．しかし，虹彩認証は高画質の画像を必要とするため，至近距離で認証を行う必要があり，被認証者に心理的抵抗感を与えてしまうという問題点があった．これに対し，遠距離での認証を可能とするため，複数のモダリティを統合するマルチモーダル認証と呼ばれる技術に注目し，虹彩認証と目の周辺画像を用いた認証(以下，目の周辺認証)をBoostingで組み合わせる手法が提案されている．しかし，多くの先行研究では，目の周辺認証において，目頭やまぶたの形などの部位ごとの特徴をあまり意識せずに利用している．そこで本研究では，目の周辺の分割画像を利用することで，部位ごとの特徴を積極的に利用する手法を提案した．その結果，先行研究の手法と比べて認証精度が向上し，画像分割の有効性を確認することができた．

テンプレート漏洩リスクに対する懸念に対して，漏えいテンプレートから元の生体情報への復元を困難とする生体情報保護技術の研究開発が注目されている．筆者らは，その要素技術である指紋情報ベクトル化技術について，認証精度劣化を抑制するために，単一マニューシャ周辺の情報ではなく，任意のマニューシャ間のリレーション情報を表現できるマニューシャリレーションコード(MRC)を提案している．本稿では，オリジナルのMRCでは考慮されていなかったマニューシャの品質や弁別精度を加味した改善版MRC（iMRC）を提案する．FVC2004 DBでの認証精度評価の結果，従来技術よりも1.5\%程度，EERを改善できることを確認した．

生体認証アルゴリズムの性能評価では，一般的に被検者より収集した実データを用いて評価が行われる。所望の他人受入率により評価に必要なデータ数が決められ，高精度のアルゴリズムを評価する場合には被検者を大規模に集める必要があり，データ収集のコストが問題となることが多い。そのため，大規模の収集データが必要とされる高精度の他人受入率を，小規模の収集データから推定する手法により性能評価の効率化することが望まれている。本稿では，他人対の照合スコア分布の裾の近似に一般化パレート分布を適用した他人受入率の推定と，ランダムサンプリングによるブートストラップ法を組み合わせた他人受入率の推定手法を提案し，指紋認証に適用した評価結果を報告する。

近年，産業用制御システム(ICS: Industrial Control Systems)を防御するためのセキュリティ対策としてホワイトリストが着目されている．ホワイトリストは正常なプロセスをリスト化しリスト外のプロセスを異常と判断するため，未知のマルウェアやサイバー攻撃に対応できる．すなわち，ICSのどんなプロセスをリスト化するかが重要である．ICSは停止状態から起動を経て運転状態へと状態遷移するライフサイクルが存在し，通信内容や動作プロセスはライフサイクル毎に異なる．すなわち，ある状態では正常なプロセスでも別の状態ではインシデントの可能性がある．そこで本稿ではプロセス制御システムの防御対策として，ライフサイクルに基づいたホワイトリストを利用する手法を提案する．本稿で提案する手法の特徴としてホワイトリストをモデルベースで作成する点，ライフサイクルを推定する機能を作成する点の二点が挙げられる．本手法を利用することで，ライフサイクルを考慮しないホワイトリストよりもインシデントの検出性能が向上する．本稿では気液プラントシステム及びシステムを監視する監視装置のモデルを作成した．監視装置にホワイトリストを適用し数値実験を行った結果，本手法の有用性を確認した．

重要インフラを支える制御システムへのサイバー攻撃が増加し、対策へのニーズが高まっている。 長期運用される制御システムにおいては、日々増加し続ける未知の攻撃に対しても対策可能な技術が求められ、 原理的に未知の攻撃を検知できるホワイトリスト型侵入検知が注目されている。 本論文では、モデルベース開発に基づくホワイトリスト自動生成方式を具体化し、 ホワイトリストの元となる正常通信モデルの検証やモデルからのホワイトリスト自動生成、 さらに、実装レベルでの検知プログラムの検証を実現する。

産業用制御システム(ICS : Industrial Control Systems)に対するサイバー攻撃の増加に伴い，対策の必要性が一層高まっている．一方で，ICSでは，可用性重視の観点から従来のIT系セキュリティ技術をそのまま適用することは難しい．その中で，ICSはIT系のシステムに比べ通信パターンが固定的であることから，正常な通信を定義しそれ以外を異常とみなすホワイトリスト型侵入検知システム(IDS)が注目されている．そこで我々は，ICSの制御状態の遷移，停止，起動いったライフサイクルに応じて，正常な通信を定義するホワイトリストを切り替えることで，高精度な攻撃検知を実現するライフサイクルに応じたホワイトリスト型IDSを提案している．本稿では，MATLAB/Simulinkでモデル化した気液プラントシステムを対象に，提案するライフサイクルに応じたホワイトリスト型IDSのモデル化とシミュレーション評価を行った．そこで，提案するIDSは，正常操作に見せかけた高度なサイバー攻撃であっても検知可能であることを示す．本稿の寄与は，ライフサイクルに応じたホワイトリスト型IDSの実現性検証とその効果を示す点にある．また，既設のシステムへの導入を考慮したライフサイクル推定によるホワイトリスト型IDS方式について提案する．

プラントの機器制御に用いられる制御システムは，情報システムと比べて可用性や性能を重視する傾向にあることから，これらを損なう可能性のある情報セキュリティの対策が十分に講じられておらず，また，サイバー攻撃の標的となるという認識が不足しているため，制御システムを扱う事業者の情報セキュリティの意識も決して高いとは言えない． 本稿では，制御システムの可用性や安全性を損なう潜在的な脅威を明らかにして情報セキュリティ対策の必要性を喚起するため，脅威分析手法を用いたセキュリティ向上策の提案を行う．

スマートグリッドでは電力利用に関する様々な情報がIPネットワークを介して通信されることから，利用者の情報の正当性とプライバシー両方の保護が必要となる． 著者らは将来的にコンセントの利用者に対して課金するサービスが普及されると見込み，これまでにスマートグリッド上で電力利用時の匿名性を保証する利用者認証プロトコル（以下，提案プロトコル）の提案を行っている． 本稿では，日本における電力自由化後の電力網への提案プロトコルの導入に向けた検討を行い，スマートメータを想定した端末としてRaspberry Piへの実装および性能の評価を行う．

近年、制御システムもオフィスの情報系システムと接続され、サイバー攻撃の対象となってきている。本稿では、サイバー攻撃対策の1つとして、ファジングによる制御システムの脆弱性評価方法に着目し、情報系システムと制御システムの違いや既存のファジングツールでの脆弱性評価についてい整理し、制御システムに対して網羅的にファジングを実施するためのアーキテクチャを示す。

検索可能暗号は，高機能暗号の中でも最も実用化に近い技術として盛んに研究されている． 我々は，この検索可能暗号におけるクライアント鍵の更新に着目する． 鍵を更新することにより，クライアント側への攻撃を抑止する効果が期待できる． 本稿では，まず，検索可能暗号における鍵更新のモデルを設定し，他の目的で設計されたいくつかの既存方式を，設定したモデルに適用した調査結果を報告する．

暗号化状態処理の技術として，データを暗号化したまま検索することが可能な検索可能暗号がある． 通常の検索可能暗号は平文の一致検索が可能なだけであるが，内積暗号を用いることでユークリッド距離に基づく類似検索を可能とする方式も提案されている． 共通鍵を用いた方式では，あるユーザから鍵が流出した際にはすべてのユーザの鍵を更新する必要がある． ここで，鍵の流出元を特定出来ない場合， 流出元の悪意のあるユーザを排除できず，鍵の更新以降も流出を抑止できないという問題がある． そこで本稿では，鍵の流出を抑止するため，流出元の追跡が可能な検索可能暗号を提案する．

本稿では共通鍵セッティングの一致判定に特化した述語暗号の効率的な構成法とその拡張について議論する

Relational Encryption技術は、二つの異なる秘匿化された値から、値を秘匿したままその二つの入力値の関係を知ることができる。また、検証者が持つ秘密鍵を用いてもデータを復号できないという特長を持つ。もちろん暗号として要求される、一方向性、双一方向性、偽造不可能性といった様々な安全性の要求を満たしている。また、生体情報のように、採取されるたびにデータに揺らぎがあるような入力に対しても適切な検索結果が得られるという特長を持っている。更に、本技術を用いると、各データの秘匿化に用いる鍵と、検証用の鍵を各々異なるものを用いることができるため、準同型暗号による秘匿検索で課題とされた秘密鍵保持者がデータを復号できてしまう問題を解決でき、暗号の宿命である鍵管理の手間を大幅に削減可能となる。本項ではこのRelational Encryption を用いた秘匿検索システムについて述べる。

Request-Based Comparable Encryption (RBCE)と呼ばれる、暗号文同士では平文の大小関係を比較できないが、大小比較したい平文から生成された特殊なクエリだけが暗号文と大小比較できるような暗号が提案されている。本暗号では、暗号文はこの特殊なクエリとだけしか比較できないため、大小比較できる内容に制限はでるものの、暗号文だけから直接的に大小比較できるOrder Preserving EncryptionやOrder Revealing Encryptionよりも高い安全性が達成できると期待されている。 本稿では、既存のRBCEの安全性は識別不可能性ベースで定義されていることに注目し、近年の検索可能暗号やOrder Revealing Encryptionの多くで用いられているシミュレーションベースの安全性をRBCE上でも考察する。具体的には、RBCEのシミュレーションベースの安全性を定式化し、識別不可能性ベースとシミュレーションベースの安全性の差分を考察する。また、RBCEの既存方式は、ランダムオラクルモデルの下でシミュレーションベースの安全性を達成することを示す。

SCIS2016において、小嶋らは共通鍵完全準同型暗号を用いて検索結果の秘匿が可能なBloom Filter方式を提案した。しかし、基本のBloom Filterには、登録された単語の削除を行う機能や単語と関連させた値を求める機能は備わっていない。本論文では、小嶋らの方式を拡張し、検索結果秘匿可能なCounting Bloom FilterとBloomier Filterの二つの方式を提案する。Counting Bloom Filter方式では単語の削除、Bloomier Filter方式では単語と関連させた値を求める機能を実現している。

Due to the trend of connected cars, many automobiles have become interacting with exterior environments through both wired and wireless connections. While bringing convenience to vehicle users, such connections may provide possibilities for malicious parties to sneak into. Several white hackers have already proven that it is possible to send malicious messages into the in-vehicle CAN (Controller Area Network) network from outside by exploiting the connections and CAN protocol vulnerabilities. In this paper, we propose a CAN anomaly detection system (SINDbAD) composed of GMI (General Message Inspection) and SMI (Stateful Message Inspection), respectively for general and advanced attack detection. And we also evaluated the effectiveness of the system against several advanced attacks targeted to ADAS (Advanced Driver Assistance System).

車載ネットワークのプロトコルであるCAN（Controller Area Network）の脆弱性をねらった攻撃事例が複数報告されている．2016年にCho氏らがDoS攻撃の1種として，送信エラーを誘発させることによりECUをCANから離脱させるバスオフ攻撃を提案した．しかし，このバスオフ攻撃はCANコントローラを用いて，攻撃ターゲットECUと同じ送信開始タイミング，同じ周期でデータを送る必要があり，攻撃難易度が高い．本稿では，ラズベリーパイのような安価なデバイスを用いて，送信開始タイミングや周期といった時間的な制約がなくても，バスオフ攻撃を引き起こせる手法を提案する．提案手法は，CANバス上に流れているデータを監視し，ターゲットIDを検知すると，CANバスの差動電圧を強制的に制御させてスタッフエラーを引き起こすことを特徴とする．そして，CANバスプロトタイプ及び実自動車に対して攻撃を実施して，ECUの離脱と自動車の機能停止の動作を無効化させた結果を報告する．本手法は，攻撃でなく悪意あるCANパケットの侵入防御システムへの応用も可能である．

近年の自動車は電子制御により高度な機能が提供されている．これは，多数のECU（Electronic Control Unit）が自動車内部に組込まれ，それらが制御ネットワークを通じて相互に通信を行うことにより実現されている．この制御ネットワークとして現在広く用いられているのがCAN（Controller Area Network）である．しかし，CANではセキュリティを担保する機能が備わっていないため，数多くの攻撃事例が報告されている．その中に電気的データ改竄という攻撃がある．これは，CANメッセージを送信するECUと受信するECUがCANバスの信号をサンプリングするタイミングの違いを利用して，送信側のECUには攻撃を気付かれずに受信側に改竄されたデータを受信させる攻撃である．この攻撃はアナログな信号に対して直接攻撃を行うため，ディジタルなデータを対象としているセキュリティ手法では攻撃を検知・防御できない可能性もある．しかし，この攻撃は実験用のバスでしか攻撃が実証されておらず，多数のECUが互いに干渉し合っている実際の自動車のCANバスにてこの攻撃が脅威となるかは分かっていない．そこで，本論文では，電気的データ改竄を実際の自動車のCANバスで検証した結果を報告する．

CAN(Controller Area Network)は，組込み機器向けのバス型ネットワーク規格であり，車載ネットワーク等に広く用いられている．CANにおいて，バス上の電位差を適切なタイミングで意図的に変化させることで，送信側には受信側にデータが正しく送信されたと認識させ，受信側には攻撃者が改ざんしたデータを受信させるという電気的データ改ざん攻撃が指摘されている．この攻撃に対するセキュリティ強化策のひとつとして電圧波形を解析する手法があり，その中でも本来の1bitの送信よりも明らかに短い信号がないかを調べる長さ違反検知は実装が容易であり検知精度が良好である手法として提案されている．これまでこの手法はFPGAでのハードウェア実装を行い有効性が実証されているが，ハードウェア実装は導入のコストが大きい．本論文では，この長さ違反検知に着目し，ハードウェア実装よりも実装コストの小さいマイコンでの実装について複数の方法を述べる．さらに実験用のCANバスを用いて実証することにより，マイコン実装の有効性を示す．また，それぞれの実装方法について考察を行いまとめる．

現在の自動車に重要視される省エネ化や安全性，快適性を実現するための電子制御技術には，ECU(Electronic Control Unit)が欠かせない存在である．それらのECUは有機的に結合して車載ネットワークを構築している．CAN(Controller Area Network)は，その代表的な通信プロトコルである．ところが近年，Bluetoothや携帯電話などを介して外部より車載ネットワークに侵入し，自動車の制御を乗っ取る攻撃がいくつも報告されている．それに伴い車載ネットワークに対するセキュリティ技術の研究が急速に広がった．例えば，CANパケットのデータフレームが最長64ビットであるという制約のため，インターネットで利用されているプロトコルを単純に導入すると，結果的に複数のパケットが必要となり，バストラヒックが増加する問題がある．我々はCANプロトコルの変更を必要としないセキュリティ技術の提案に主眼を置き研究を進めている．本稿では，導入に伴うパケット数の増加を起こさないような，改ざんや再送攻撃に対するセキュアプロトコルについて議論する．

自動車の電子化に伴い、車載ECUの数やその通信量が増大している。そのうえ、セキュリティを確保するためには、メッセージ認証子の追加などのオーバヘッドがあり、CANの通信帯域を圧迫する恐れがある。本稿は、複数のECUが一つのCANメッセージに相乗りすることで、帯域を有効に利用する通信手法を提案する。さらに、CANバスに正しいECUが接続されていることを確認する端末認証や、グループ鍵共有への提案方式の適用例を紹介する。

近年Bitcoin, Ethereumをはじめとする暗号通貨は新しい決済システムとして, 金融業界を含む産業界全体から大きな注目を集めている. これら暗号通貨の送金トランザクションは, P2Pネットワーク上のBlockchainと呼ばれる分散台帳上に保存され, 全ノードがこの台帳情報を参照可能である. 結果, 透明性の高いシステムといえるが, 一方で匿名性の問題が発生する. これに対しZerocoinプロトコルは, 誰が誰に送金を行ったかといったリンク情報を秘匿することが可能であり分散台帳上での匿名性を高める事が可能である. しかし, 全く透明性の無い送金システムは, マネーロンダリングなどの不正な送金に利用される恐れがある. 本稿では, この透明性と匿名性の両立を目指し, 分散台帳上では送受金者のリンクは秘匿されつつ, 特定の監査者のみリンク情報が参照可能な監査機能付匿名送金方法を提案する.

CryptoNoteは, 暗号通貨の取引におけるユーザーの匿名性を考慮したプロトコルである. 従来のBitcoinでは, 送金者は取引の発行に用いた署名鍵によって一意に特定されるため, 匿名性は保持されない.一方, CryptoNoteではリング署名を採用することにより, 送るユーザーに匿名性を与えている.ところが, 匿名性を与えることにより発生する問題もある.すなわち, 暗号通貨においてユーザーに過度な匿名性を与えることは, 取引上の二重支払いの発生につながる可能性がある.そこでCryptoNoteでは二重支払いを防ぐために, ユーザーの匿名性を弱めた追跡可能リング署名を採用している. しかし, 採用されている署名方式は署名サイズがグループ内のメンバー数に比例するため署名サイズが大きくなるとともに, 現実での安全性は保証されないモデルで構成されている. そこで本論文では, 異なるリング署名をCryptoNoteに適用することにより, 署名が準線形サイズに効率化されたランダムオラクルを用いない新しいプロトコルを提案する.

近年Fintechの代表格としてのブロックチェーン技術を基盤とした，インターネット上のオープンなパブリックチェーンの利用を想定したBitcoin等の仮想通貨が話題となっている．ブロックチェーン技術では，P2P技術と合わせてデータ改ざんの困難性，耐攻撃性，耐障害性ということが特徴となっている．本稿では，クローズなグループ間での利用を想定したブロックチェーンであるコンソーシアムチェーンのHyperledger Fabricにおいて，CA相当の機能をブロックチェーン上に実装するための証明書の管理方式に関する考察および実装の検討を行う．

バックギャモンをはじめとするオンラインゲームにおいて、サーバから提示されるサイコロ（乱数）の結果によって勝敗が左右されることが多い。したがって、ユーザにゲームを楽しんでもらうには、出される目が操作したものではなく公平な乱数によるものであると納得してもらうことが肝要である。しかし、同じ目の連続など一般的な人間には不自然に見えてしまうことは多い。そこで、ブロックチェーンの持つ透明性のあるデータ管理機能を活用して、公平性を検証可能な乱数発生メカニズムを提案し、実際のオンラインゲームへの適用を検討した。

Bitcoinに代表される分散型暗号通貨において，計算困難問題の インスタンスの解を競争的に探索するステップはマイニングと呼ばれ， 根幹技術であるブロックチェーンの処理のうち主要なステップの一つ となっている．マイニングに要する時間は， その期待値が一定になるよう運用で調節される一方，分散については， その値が大きいと問題が生じる可能性が指摘されている． 本稿では，マイニングに要する時間の分散について考察する． 初めに，Bitcoinのケースでは時間の分布が指数分布となること，統計的仮説検定2 従って時間の期待値を固定する限り分散も固定されてしまうことを顧みる． 次いで，Tromp（BITCOIN 2015），また Bag-Ruj-Sakurai（Inscrypt 2015）ら の仕事で提案されたグラーフクリーク・マイニングを考察する． クリークサイズが 2 のとき，グラーフクリーク・マイニングは Bitcoinのマイニングと捉えられるため，分散は同じ値となる． 上記の仕事では，クリークサイズをパラメータ化し大きくすると， 期待値を固定しても分散がBitcoinのときとは異なる値となることが 主張されている．しかし，定性的な評価は与えられていない． 本稿では，小規模な実験ではあるが，定量的に分散が小さくなる 傾向を確認した．

電子決済方式MicroMintでは，Bankが鋳造する有効期間1ヶ月のコインで取引が行われ，流通するコインは1ヶ月毎に更新される．コインの偽造を試みる攻撃者は，コイン1枚あたりの偽造コストが本来のコイン単価を下回る効率で，かつ，1ヶ月以内に偽造を完了させなければ，元を取ることはできない．Somerenは，攻撃者は偽造開始時点の最適な計算設備を設計するので，ムーアの法則に従って潜在的に強くなることを指摘し，安全性を破られないためにBankが定期的に設備を増強する上でスパイラルコストは避けられないと主張した．しかし，これは定性的な議論に留まるため，MicroMintの安全性仮定を厳密に否定したことにはならない．本稿では，Somerenと同じ仮定の下で，時間に依存して強くなる潜在的な攻撃者が元を取れないための条件，すなわち，MicroMintの潜在的な偽造脅威に対する安全性を評価する．

ProVerifはBlanchetらが開発した形式モデル（Dolev-Yaoモデル）での暗号プロトコルの自動検証ツールであり，暗号プロトコルに要求される秘匿，認証などの安全性要件を自動で検証することができる．ProVerifは多くの暗号プロトコルに対してセキュリティ上の欠陥を発見することに成功している．著者らは，これまでにProVerifを用いてTLS 1.3ハンドシェイクプロトコルを形式的に記述し，安全性検証を行ってきた．TLS 1.3は，現在IETFにおいて標準化の議論が進められている．著者らは，TLS 1.3のdraft-06から形式化を始め，以降ドラフト仕様を継続的に形式化・検証を行っている．本稿では，ProVerifにおいてプロトコルをフェーズに分割する機能であるphaseを用いてTLS 1.3ハンドシェイクプロトコルのforward secrecyの検証を行う．さらに，phaseを用いて公開鍵暗号方式に求められる安全性の概念であるCCA安全性の形式化・検証を行う．

要求分析，設計などのソフトウェア/システム開発上流における脅威分析が十分に行われていないことが開発現場において問題となっている．その原因は開発者のセキュリティ知識不足および脅威分析にかかる工数が問題であると考えられている．このため，脅威分析の自動化，省力化が課題となっている．筆者らは脅威分析の自動化を支援する手段として，形式手法による攻撃の成功可能性の検証による脅威識別，リスク評価を自動検証できることを目標とし，対象および脅威のモデル化の研究を行っている．筆者らはPromelaやProverif，Event-Bを用い，攻撃や対策のモデル化を検討した．本稿ではこのうち，Event-Bを用いたモデル化の検討結果について示す．検討の結果，Event-Bのリファインメントとそれによる不変条件の変化による証明失敗などを利用して，脅威の検出な可能な抽象レベル，具体レベル双方における脅威のモデル化を実現した．

非干渉性は多層防御を想定した安全性定義であり、近年では秘密計算の解析を主な対象として形式手法の領域にて議論されている。本稿ではそのような非干渉性の定義を見直すとともに、秘密計算以外の現実的な安全性解析のユースケースについても検討する。

本稿では、SIMON32/64の最大差分確率の探索結果を報告する。SIMON32/64は2013年にNSAにより提案されたブロック長32ビット、鍵長64ビットのブロック暗号である。これまでも種々の安全性評価が行われているが、段関数の増加に伴う差分確率の変化を調べた評価はなかった。本研究では、メモリサイズ64GBの計算機環境でこの評価を行った。この環境では各段の探索結果を全ての入出力差分値について保持することができないため、まず段関数1段のすべての入出力差分値について差分確率を求め、次にこれを用いて逐次計算することにより、各段の差分確率を求めた。この手法では、指定した入力差分値に対して、全ての出力差分値に関する各段の差分確率をメモリ上に保持できるため、これらの差分確率を同時に計算できる。結果、各段数について著者の知る限り最大となる差分確率と入出力差分値が新たに得られた。さらに、19段以上では差分確率が2^31.99以下と十分小さくなるため、全32段に対する攻撃は困難であることが確認できた。また、段関数の3つの巡回ビットシフト演算のシフト値をパラメータとして変化させ、12段までの差分特性確率を導出し、比較及び考察を行った。

Simonは2013年にNSAが提案したハードウェア実装向けのブロック暗号である．Simonの提案論文では詳細な安全性については記述されておらず，ブロック暗号の解読法を用いたさまざまな攻撃の対象となっている． 差分解読法におけるマルチ差分パスの探索に要する計算量はそのラウンド数に対して指数関数的に増加する．そこでKoelblらは2015年,マルチ差分パスの探索にSAT/SMTソルバを用い，13ラウンドSimon32のSingle-keyモデルにおける差分解読法に対する安全性を明らかにした．これに対し本研究ではMILPソルバを用いてRelated-keyモデルにおける13ラウンドSimon32の差分特性の探索を行った．Related-keyモデルでの差分パスの探索は実行時間が大幅に増加するため，MILPモデルの制約式から探索範囲を限定することで差分特性確率が高くなるようなパスを推定するという手法をとった．その結果，確率2^(-32)の差分パスと確率およそ2^(-29.1)のマルチ差分パスを発見した．

Simonは2013年にNSAによって提案された，軽量ブロック暗号である． Koelblらは2015年に，Simonのローテーションのビット数(1, 8, 2)を(a, b, c)としてパラメータととらえ，差分攻撃および線形攻撃に対するそれぞれの安全性を比較した．近藤らはKoelblらの発表を受け，2016年にブロック長が32ビットであるSimon32のパラメータについて，Integral特性および不能差分の最大ラウンド数を比較した．本稿ではまず，パラメータを変更したSimon32について，ゼロ相関線形包の最大ラウンド数を探索する．また，近藤らが推奨したローテーション(5, 12, 3)について鍵回復を含めたIntegral攻撃，不能差分攻撃の複雑度を計算する．オリジナルのローテーション(1, 8, 2)への攻撃の複雑度と比較することでSimon32の安全性の位置づけをより明確にする．

共通鍵ブロック暗号MISTY1に対する先行研究として，藤堂は積分特性の探索を効率的に行う手法としてDivision属性を新たに提案し，世界で初めてフルラウンドのMISTY1が全数探索法よりも効率的に解読可能である事を示した．本稿では，この手法を用いてKASUMIの積分特性探索を行い，5段特性を新たに発見した事を報告する．また，前述の5段特性と確率p=2^{-18}で発生する弱鍵条件を組み合わせる事で，7段のKASUMIが選択平文数D=2^{63}と計算量T=2^{63.3}回の暗号化計算量で攻撃可能である事を示す．

EUROCRYPT 2015で藤堂が新たに導入したDivision Propertyによって，Integral特性探索の効率化が実現した．また，ASIACRYPT 2016において，XiangらはDivision Propertyの伝搬を整数計画法を用いて効率的に評価する手法を提案した．その結果，Division Propertyを用いた解析が容易になった．続く研究では，Sunらによって線形関数が排他的論理和で構成される暗号にもこの手法が適用された．本稿では線形関数が2進行列で表現されるFeistel-SP構造に対するDivision Propertyの伝搬を評価し，CamelliaおよびMIBSに適用する．Camelliaに対する適用では，Sunらの手法によるモデリングに問題があることを示した．さらにDivision Propertyそのものにも改良の余地があることを示した．また，Camelliaと同様の構造を持つ軽量暗号MIBSに対する適用では，既存の識別子の1段改良となる9段の識別子を示した．

本論文では，128ビットブロック暗号Camelliaに対し,攻撃者が入手可能なデータ量が制限された条件での安全性を評価する．攻撃に必要な平文・暗号文ペアを集めるには，オンラインで攻撃対象の暗号にアクセスする必要があり，現実的な攻撃を考えた場合には，必要なデータ量は非常に重要なパラメータとなる． データ量が制限された条件においては，線形・差分攻撃等の統計的な偏りを利用した攻撃は適用できないため，我々はCamelliaの有する決定的な切り詰め差分特性とS-boxの入出力差分特性を利用した新しい攻撃手法を提案する．結果として，4段と5段に対しては2つの選択平文暗号文ペアによって，6段が24個程度の選択平文暗号文ペア，7段では120個程度の選択平文暗号文ペアによって攻撃が可能であることを示す．

近年，攻撃方法の多様化や実行費用の低廉化によって，DDoS（Distributed Denial of Service）攻撃の被害が拡大している．DDoS 攻撃に対して適切な対策を実施するためには，想定される攻撃の種類や頻度等を事前に把握しておく必要がある．本稿では，日本国内で2 年間観測されたDDoS 攻撃のうち，分散反射型のDRDoS（Distributed Refective Denial of Service）攻撃を対象に分析を行い，その結果得られた攻撃の最新動向を報告する．本分析では，観測された攻撃の件数，規模，種類等の基礎的な情報の収集に加え，同一対象に対する攻撃の頻度，間隔等の攻撃履歴に着目した分析で得られた情報から将来的な攻撃発生の確率を算出する．さらに，新たに観測された，特定IP アドレスブロックに属する複数ホストに対する同時攻撃，および，特定時間毎に宛先ホストを変更しながら攻撃する2 種類のDDoS 攻撃とその対策方法について報告する．本分析結果は，今後のDDoS 攻撃に対する新たな手法の検討や，攻撃検知・軽減装置の設計やチューニング，または，設備補強において有益な情報となることが期待される．

従来からのDDoS攻撃は下位レイヤ(Layer3/4)で行われるものであったが、アプリケーション層で行われるDDoS攻撃、特にwebブラウザ上で動作するブラウザベースのDDoS攻撃が近年確認されている。その事例としては、DDoSを行うスクリプトが、広告ネットワークを通じて配信され、Webブラウザ上でバックグラウンドで実行され、DDoS攻撃を行ったものがある。ブラウザベースのDDoS攻撃手法としてJavaScriptを利用するものとJavaScriptを使用しないHTMLベースのものが既存研究でいくつか示されている。本稿では、それらを拡張した新しいDDoS攻撃手法を提案し比較を行う。

近年，分散型DoS攻撃の脅威が深刻化している．DoS攻撃の一手法として，HTTPサーバを攻撃対象としたSlow HTTP DoS攻撃がある．単独IPアドレスからのSlow HTTP DoS攻撃は，IPアドレスごとにコネクション数を制限することで効果的な防御が可能であることが知られている．一方，複数のIPアドレスを攻撃元とする分散型Slow HTTP DoS攻撃に対しては，IPアドレスごとのコネクション数と，各コネクションの継続時間に着目して，攻撃コネクションを選択的に切断することで，一定の防御効果が得られることがわかっている．しかし同手法は、攻撃クライアントのみが存在する条件下に限ってその防御効果が確認されている．本稿では，前述の分散型Slow HTTP DoS攻撃に対する防御手法に関し，正当なクライアントが存在する条件下での防御効果とサービスの質への影響を評価する．

インターネットの普及により，DDoS攻撃に対する対策がますます重要になっている． DDoS攻撃の1つにSlow HTTP DDoS Attackがある．これは，Webサービスを提供しているHTTPサーバに対して，通信時間を引き延ばすことにより，サーバのTCPコネクションを占有する攻撃手法である．この攻撃が実行されると，サーバのTCPコネクションが攻撃者によって占有され，正規ユーザがサーバに接続できなくなってしまう． このような攻撃に対し，タイムアウト時間の設定を行うことで，攻撃者によるTCPコネクションの占有を抑制できることが知られている．しかし，タイムアウト時間を短く設定すると回線速度の遅い正規ユーザに悪影響が出る可能性があるため，タイムアウト時間はサービスを利用している利用者を考慮する必要がある． そこで本稿では，Slow HTTP DDoS Attackによるサービスを利用する正規ユーザに対する影響を最小化するタイムアウト時間の導出法を提案し，その効果を検証する．検証は，ゲーム理論を用いた解析とシミュレーションを用いた評価によって行う．そして，提案法を検証した結果，正規ユーザの通信に対する影響が低減できていることが確認された点について報告する．

プログラミング言語 Java は世界中で広く使用されている汎用オブジェクト指向言語である。Java にはオブジェクトをバイト列に変換し、ファイルやデータベースへの保存、ネットワークへの送信などを可能にする「シリアライズ」と呼ばれる機能がある。生成したバイト列は「デシリアライズ」処理によって Java のオブジェクトへの復元が可能である。しかし、デシリアライズ処理には外部から複雑な構造をもつオブジェクトを復元させ、コンピュータのリソースを大量に消費することが可能な問題が存在する。本稿では、実際に公開されている攻撃手法を取り上げ、Java におけるオブジェクト復元処理の構造と影響について述べる。さらに、複雑な構造をもつオブジェクトを検出する手法について提案する。

近年、プログラミング言語のシリアライズに関する脆弱性が多く報告されている。 シリアライズを利用するとオブジェクトをバイト列に書き出すことができ、このバイト列をオブジェクトへと復元することをデシリアライズという。 汎用プログラミング言語　Python においてシリアライズ/デシリアライズを行うためには、標準ライブラリ pickle を用いることが一般的である。 pickle ライブラリを用いる場合、特殊なバイト列をデシリアライズするとメモリを大量に消費する現象を発見した。 本稿ではその現象とそれを利用したDoS攻撃について報告する。

2016年10月に開催された匿名加工・再識別コンテスト(PWSCUP)において，購買履歴のトランザクションデータの匿名化データを対象に，安全性と有用性の定量指標によって評価する試みがなされた．コンテストは予備戦と本戦の2回に分けて実施され，参加者87名により合計で2350の匿名化データの提出と，1436回の再識別試行が行われた．本稿ではコンテストのルールや指標の概要について述べ，参加者から提出された匿名化データに関する安全性と有用性の評価結果について分析する．またコンテストの開催によって得られた知見を報告する．

個人情報保護法の改正により，「匿名加工情報」という新たな情報の類型が定義された．一方、2015年よりコンピュータセキュリティシンポジウム(CSS)において匿名加工・再識別コンテスト(PWSCUP)を行い,匿名化データに関する安全性と有用性の定量指標による評価の取り組みがなされている．本稿では個人情報保護委員会と経済産業省が作成した匿名加工情報に関する文書から，安全性基準に関する記述を抽出し，特に攻撃者の持つ知識に着目して安全性指標の基準を検討する．加えて欧米で利用されているk-匿名性などの安全性指標と，PWSCUPで使用された再識別率を基準とした指標を比較し，前提となる攻撃者知識と，データ全体の安全性の違いについて整理する．

個人情報保護法改正に伴い個人データの第三者提供の枠組みが整ったことから, 匿名加工技術に大きな注目が集まっている. ところが, 匿名加工技術についてはこれまで数多くの方式が提案されてきたが, それらを評価する統一的な指標が定まっておらず, 優劣により特定の技術を選び出すことが困難であった. このような状況を背景に情報処理学会プライバシーワークショップでは, 指標確立を目的として匿名加工に関するコンテストPWSCUPを開催している. 本稿では, 本コンテストの活動の一環として研究・開発された, 過剰な加工に対する指標設計法とそのしきい値見積もり法を提案する.

パーソナル履歴データの利活用は産業活性化の点から重要視されている。ただし、対象が個人データなので、利活用においてはデータ有用性の保持とプライバシー保護の両立が望まれる。この目的のためには、匿名化された履歴データを再識別しようとする攻撃手法を想定したうえで、これを防ぐ能力を持つ匿名化手法を検討しなければならない。この課題の達成のために多くの参加者が競う匿名化と再識別コンテスト:PWSCUPが2016年10月に催された。著者らは、再識別を考慮した匿名化方法を用いて、PWSCUPに参加した。本発表では、上記の匿名化と再識別の枠組み、およびPWSCUPで著者らのチームが用いた手法と、PWSCUPにおける評価結果について述べる。

個人情報保護のなかでプライバシ保護は重要であると言われており，履歴を匿名化することでプライバシーリスクを低減させることが必要であると言われている．著者らはこれまで大規模な移動履歴である「人の流れプロジェクト」の移動履歴から乗降履歴を生成し，実際の利用傾向による履歴の分布について考察を行った上で，匿名加工手法に関して提案を行ってきた． 従来の加工方法の提案では匿名加工すること自体は提案できたとしてもその加工方法が妥当であったかどうかの評価に課題を抱えていた． 本研究では従来提案してきた匿名加工方法を例に，加工したものを評価する評価関数の設計に関して，加工中の評価と加工後の評価の両面から評価方法について提案を行う．

本稿では仮名化のみが行われた購買履歴等のデータ表に対するリスクを考察する．すなわち，攻撃者がデータの一部を得た場合を考え，ユーザ特定に使用する攻撃者の持つ知識の量と質，さらに特定されたユーザのデータの漏洩量の3点を用いてプライバシー リスクを評価する． また他のユーザと識別するのに必要な情報の量である識別耐性を定義し，この識別耐性を求める問題がNP-困難であることを示すとともに，近似アルゴリズムを用いて本評価手法の設計を行う．

Time of Flight（ToF）方式距離画像カメラは，測定対象物へ向け光を照射し，反射して戻るまでの時間から対象物との距離を計測する．一定の範囲にある物体の位置関係を同時に取得可能なことから，将来はジェスチャー検知や障害物検知などの用途に利用することが期待される．しかし，外部からの攻撃により測定値が改ざんされると，存在する物体の認識が不可能となる，存在しない物体の誤認識が発生するなどの問題が発生する恐れがある．本稿では，ToF方式距離画像カメラの測定光をフォトダイオードで受け生成した攻撃光（なりすまし光）を，測定対象物へ照射することによって，測定値の改ざんが可能であることを実験にて確認した．また改ざんした測定値は，攻撃者が攻撃光の位相を変化させることで操作可能であることも確認した．

近年，自動車のAEB（自動緊急ブレーキ）など，多くの安全装置が計測機器による測定をもとに機能している．そのような機器は常に計測機器の測定結果が正しいものでなければ安全を保証できないため，計測機器の測定結果を操作するような攻撃は人々の安全に対する脅威となりうる．本稿では光パルス伝播方式のLIDARへの反射光なりすまし攻撃として，実際よりも近い距離を出力させる攻撃や，攻撃用の装置の存在を攻撃対象のLIDARに検知させない攻撃の可能性について検討した．また，あるパルス伝播方式LIDARに対して，実際の距離より近い測定値を出力させる反射光なりすまし攻撃が可能であること，及びLIDARに検知されない位置から反射光なりすまし攻撃が可能であることを実験によって確かめた．

IoT、CPS、M2M等の近い将来の高度情報化サービスにおいて、組み込みセンサの安全性を担保する計測セキュリティは、最も重要な技術的課題の一つである。特に、センサのアナログ・フロントエンドに対する取得信号の偽装やジャミング等の外部擾乱による物理的な攻撃は、ロボット介護等のアプリケーションにおいては人命にも関わる深刻な脅威となり得る。本論文では、近年、広く測距・測速度センサとして普及が期待されているミリ波無線帯を利用したFMCW (Frequency Modulated Continuous Wave) レーダを一例に、その対物理攻撃安全性を評価するための解析および測定セットアップを構築した。24GHz帯のミリ波FMCWレーダについて、外部からの擾乱信号の混入に対する検出性能劣化の感度を解析・測定して、その対外部擾乱安全性を評価した。

現在、センサに異常信号を挿入することで，本来とは異なる情報をセンシングさせるセンサなりすまし攻撃の危険性が指摘されている。普及が期待されている測距・測速度センサに，ミリ波無線帯を利用した FMCW (Frequency Modulated Continuous Wave) レーダがある．本論文では，FMCW レーダでセンサなりすまし攻撃を防ぐための対策法について述べる．対策方式は，乱数で変調したチャープ信号に基づく．攻撃を検出するため検出器の構成法について論じるとともに，実機を用いて行った基礎実験の結果を示す．

本論文では、従来の方式に比べ、より効率的な完全秘匿性を持つ内積値関数型暗号（内積値暗号）をより弱い仮定から構成する。内積値暗号では、暗号文はベクトルを暗号化したもので、秘密鍵にもベクトルが埋め込まれている。暗号文を秘密鍵で復号すると、それらに対応しているベクトルの内積値のみを得ることができる。完全秘匿性を持つとは、暗号文が平文（ベクトル）に関する情報を一切漏らさないことに加え、秘密鍵が埋め込まれているベクトルに関する情報を一切漏らさないことを意味する。現在、標準モデルでこの安全性を満たす方式は、PKC2016においてDattaらが提案したものだけである。我々が提案する方式は、Dattaらの方式と比べ、暗号文と鍵のサイズ、暗号化、鍵生成、及び復号アルゴリズムの動作時間が全て約半分となる。また、Dattaらの方式はSXDH仮定に基づいているが、本方式はより弱いDLIN仮定及びその変形に基づいているため、より安全性が高い。その結果、本方式は全ての双線型群で利用可能である。

属性ベース暗号とは，各参加者の持つ属性や送信者の指定する暗号文属性に基づいたアクセス制御が可能な暗号技術である．属性ベース暗号を利用することで柔軟なアクセス制御が可能になる一方で，一度発行した鍵を無効にすることは容易ではない．本稿では，属性ベース暗号から無効化可能属性ベース暗号を一般的に構成する2種類の方法を提案する．1つ目の構成はIDベース無効化方式を利用した構成であり，Pair Encoding (Attrapadung，EUROCRYPT 2014) にて記述可能な任意の属性ベース暗号を無効化可能属性ベース暗号に変換することが可能である．2つ目の構成はブール式を表現可能な任意の属性ベース暗号を無効化可能属性ベース暗号に変換する． これにより，適応的安全な無効化可能属性ベース暗号方式で，正規言語に対する方式，暗号文または鍵が定数長である方式，属性のサイズとポリシーの構造に制限がない方式が初めて構成できる．

In this work, we show how to construct a sub-exponentially secure secret key functional encryption (SKFE) scheme supporting a-priori unbounded number of decryption keys based only on a sub-exponentially secure SKFE scheme that supports only 1 decryption key and the size of whose encryption circuit is sub-linear in the size of functions.

We propose a very simple method to achieve indistinguishability obfuscation (IO). Our key tool is exponentially-efficient indistinguishability obfuscation (XIO), which is a weaker variant of IO. XIO provides an obfuscated circuit whose size is just slightly smaller than that of the entire truth table of an input circuit. We show how to construct IO from XIO and standard cryptographic primitives such as public-key encryption and identity-based encryption. As a corollary of our result, we can construct IO from single-key weakly succinct secret-key functional encryption and identity-based encryption.

自己双線型写像とは入力と出力が同一の群の元であるような双線型写像である．既知素数位数群上の自己双線型写像の存在には否定的な結果が知られているが，未知位数群上では否定的な結果は知られていない．Yamakawaら（CRYPTO '14）は未知位数の群上で自己双線型写像の変形である補助情報付き自己双線型写像を構成したが，その構成においては演算ごとに補助情報のサイズが増大してしまうという欠点がある．本稿ではそのような欠点のない理想的な自己双線型写像について考察する．まず，群演算と自己双線型写像のみを用いる攻撃者のみを想定するジェネリック自己双線型写像モデルを定義する．そして，このモデルにおいて素因数分解仮定のもとで様々な計算量仮定が成り立つことを示す．次に，（弱）理想多重線型写像モデルにおけるVBB難読化を用いた自己双線型写像群の具体的な構成を与え，素因数分解仮定のもとでその構成について同様の計算量仮定が成り立つことを示す．

動的にポリシー集合を更新できる複数ターゲット属性ベース準同型暗号（MT－HABE）を構成する．Brakerskiらによって提案されているMT－HABE（TCC 2016-B）は，準同型演算後の暗号文に関連するポリシー集合を更新することができなかったため，演算後暗号文は新たなポリシーを満たす暗号文と準同型演算することができなかった．これは，内部で用いられている複数鍵完全準同型暗号（MKFHE）のsingle-hop性が原因である．本論文では，Peikertらによって提案されているmulti-hop MKFHE（TCC 2016-B）を用いてMT-HABEを構成することで，この問題を解決する．

本稿では, 学習者に情報漏洩とは何かを効率的に学習させることを目的に，情報漏洩につながる可能性のあるインシデントを仮想空間内に用意し,学習者がインシデントを見つけるという体験形式の教育ツールを開発する．このツールでは，学習者が一人称視点で仮想オフィス空間内を自由に歩き回り，随所に用意した11個の情報漏洩原因を学習者自ら探し当てることになる．用意したインシデントは，一般ユーザにとっては理解が難しい技術的な脅威からくるインシデントではなく，一般ユーザの普段の生活の中で潜んでいるインシデントとした．これにより，身近にある環境と近い環境下で何が問題かを自身で考えることができるため，一般ユーザに対して効果的な学習ができると期待される．また，開発したツールを用いて実際に学生にインシデントを探してもらうことにより，ツールの評価とともに学生が日常生活に潜むインシデントをどのように認識しているか検証する．

ソフトウェアがIoT機器などに組込まれ，サービスを行うようになるにしたがい，サイバー攻撃の事例も増加しており，セキュリティ・バイ・デザインの重要性が高まっている．しかし，システム構築を行うソフトウェアエンジニア(SE)におけるセキュリティ知識・スキル不足も問題となっている．筆者らは，米国のNICEの体系などを調査し，SEがソフトウェア構築において必要とされるセキュリティ知識，スキルについて整理した．更に，これらの必要な知識，スキルと現在の大学におけるセキュリティカリキュラムを比較し，過不足について調査した．その結果，ほとんどのカリキュラムはシステム構築のために十分な体系ではないことが分かった．本稿の報告は今後，SEのためのカリキュラム設計に有用な成果であると考える．

情報システムの安全性・信頼性を確保するための情報セキュリティ対策が非常に重要となっている．情報セキュリティ大学院大学原田研究室(教授：原田要之助)では，情報セキュリティマネジメントの研究として「情報セキュリティ調査」を，組織(民間企業・官公庁・教育機関)を対象に実施している．本年度の調査(2016年8 月実施)では，情報セキュリティマネジメントの取組み状況(インシデント対応と人材育成等)，IT資産の利用・管理体制，アプリケーションセキュリティのリスク管理，クラウド利用状況および利用における課題、マイナンバーの取り組みに関して調査した．本論文では，調査結果の単純集計とその分析結果について報告する．

第25回USENIX Security Symposium は，2016年8月8日～12日の5日間（ワークショップ2日間，テクニカルセッション3 日間），USENIXアソシエーションの主催で，米国テキサス州オースティンのハイアット・リージェンシー・オースティンホテルにて開催された．本稿では同シンポジウム内のテクニカルセッションおよびワークショップの内容等について報告している． 同会議は1988年に開催された第1回より今回で25回目を数え，発表論文の採択率，インパクトファクタなどから情報セキュリティ関連では有数の学会と評価されている．本年のテクニカルセッションの投稿数は468件と，昨年から約1割の増加である．これに対し採択数も昨年より若干増えて72件であることから，採択率は昨年とほぼ同等の15.4%となった．採択論文の国別内訳では，米国からが半分以上（38件）を占め，ドイツ（8件），オランダ（5件），ベルギー（3件）と続く．アジアからの発表はイスラエルからが2件，中国と韓国からが各1件であった． 次回は2017年8月16日～18日にカナダのバンクーバーで開催される旨，アナウンスされている．

Piccoloは2011年に渋谷らによって提案された変形Feistel構造のブロック暗号であり，ブロック長は64ビット，鍵長は80ビット及び128ビットをサポートしている．高階差分攻撃はLaiが提案した暗号化関数のブール多項式の次数に着目した暗号解読法であり，共通鍵暗号アルゴリズム全般に広く適用することができる．これまでに，8ビット単位での飽和特性の調査により，Piccoloには5ラウンド後の出力16ビットの高階差分値が0となる16階差分特性が示されている．本稿では，Piccoloの新しい高階差分特性について報告する．具体的には計算機探索により，Piccoloの5ラウンド後の出力8ビットの高階差分値が0となる新しい13階差分特性を発見した．また，その特性に関する次数解析の結果について述べる．

情報の暗号化に用いられる方式には共通鍵暗号方式があり、その中にブロック暗号方式がある。その構造としてSPN構造がある。SPN構造の中にはMCと呼ばれる構造が存在し、本研究ではこれが安全性に与える影響を調べる。まずNTTらが開発したMinalpherにおけるMCが安全性に与える影響を検討する。今回の発表では複数の異なるMCの値を設定した際の結果を発表する。

In the security bounds of sponge-based authenticated encryption (AE) schemes there are four terms with security parameters: permutation size b, capacity c, key length, and tag length. Since the capacity term influences the efficiency and the security, it has mainly been improved. The first security bound of sponge-based authenticated encryption schemes was given by Bertoni et al. (SAC~2011), and later improved by Jovanovic et al. (ASIACRYPT~2014). For the privacy, the capacity term is independent of encryption and decryption queries, while not for the authenticity, where the authenticity bound is $(\sigma_E+\sigma_D+Q)\sigma_D/2^c$, where $Q$ is the number of primitive queries, $\sigma_E$ the total input length by encryption queries, and $\sigma_D$ the total input length by decryption queries. This paper improves the authenticity bound so that the influences of encryption query and message length are removed, that is, the capacity term is improved as $q_D Q/2^c$, where $q_D$ is the number of decryption queries. Applying our result to 3rd-round CAESAR candidates, Ascon and NORX, the capacity of Ascon can be reduced while keeping its security, and the security level of NORX is improved.

近年、フォーマット保存暗号と呼ばれる、出力フォーマットを入力フォーマットから変えない暗号の研究が盛んに進んでいる。暗号化前後でデータ入出力・保存等の条件に手を入れる必要がなく、データ量も増大しないという点で非常に利便性の高い暗号化技術である。その中でも、数字のみからなる文字列のような、文字種が均一なものの暗号化に対する研究が行われてきた。その一方、特に日本語の場合、EUC-JPやUTF-8のような、文字によってサイズの異なる”不均一な”文字種から構成される平文空間に対しての暗号化の研究が重要になる。この暗号化に関して、従来の技術では、入力文全体を一括して暗号化を行っており、入力が非常に長い、もしくは入力長が不明なメッセージについての暗号化が困難であった。本論文では、そのような暗号化に対応するために、不均一フォーマット暗号化に対する暗号利用モードについて、考察及び実装の検討を行う。暗号利用モードとしては、従来のCBCモードを踏襲したものと、カウンターモードを踏襲したものの２種を考察する。更に、EUC等の具体的なコードに対して、文字のランク付けを構成及び実装手法についても述べる。

近年, 公開鍵暗号のみならず共通鍵暗号に対しても, 通常指数時間かかる攻撃が量子計算機を用いれば多項式時間で実行可能になるという研究結果が報告されている. 主な結果として, KuwakadoとMoriiによる3ラウンドFeistel暗号のランダム置換からの識別や, Even-Mansour暗号に対する鍵回復攻撃, およびKaplanらによるMACの偽造やスライド攻撃の高速化が挙げられる. 本稿では量子回路に実装された繰返しEven-Mansour暗号に対し, Kaplanらのスライド攻撃を拡張することにより, ある種の関連鍵攻撃を実行できることを示す. 関連鍵の条件は若干強いものであるが, 2ラウンドEven-Mansour暗号の全ての鍵が多項式時間で導出可能になることを示す.

近年，世界的な通信トラフィックの増加に伴い，マルウェアの感染活動も活発化している．マルウェアが感染活動を行う際に使用するポート番号には特定の規則があると考えられる．しかし，一部の検体を除いて使用するポート番号の規則性は知られていない．この規則性を明らかにすることができれば，マルウェア感染の対策を行う際に有益な情報となり得る．本稿ではマルウェアとダークネットパケットに関する2種類の時系列データを解析することにより，マルウェアの各検体と使用するポート番号との規則性を解析した．ダークネットパケットの時系列データには，従来用いられてきたインバウンドパケットではなく，アウトバウンドパケットを使用した．解析にあたり，複数国における大規模ライブネット観測データにより検知収集された各マルウェアの発生データと，複数国に設置されたPRACTICEダークネットでの観測データを利用した．

不正アクセスを担っている方法の中核がマルウェアの利用である．数年前に作成，流行したマルウェアが再度利用されたりその亜種が流行することも多い．さらに亜種だけにとどまらず，異種検体間においても発生過程や発生状況も似通ることも少なくない．また，各国でのマルウェア発生を見たとき，傾向の類似する国が存在することがセキュリティベンダー等で報告されている．本稿ではマルウェアの時系列相関に関して考察を与え，亜種のマルウェアだけでなく異種のマルウェアでもその発生に関して相関があることを示す．実際に日本国内で発生したマルウェアの時系列分析を行い，互いに相関のあるマルウェアを与える．さらに世界各国のマルウェアの時系列分析を行い，その発生過程において似通った国々をクラスタリングする．この結果に対し発生傾向の類似する条件の検証を行う．さらに分割されたグループの形成に大きく寄与する発生傾向を示すマルウェアについて分析する．これらの結果はマルウェアの発生予測を行う上で役立つ情報となる．

機械学習を用いたネットワーク侵入検知システム(NIDS) は、シグネチャ型では検知できない未知の攻撃を検出し得るとして注目を集めている。しかしながら、学習のために必要となるラベル付けされたトラフィックデータの入手はコストが非常に高く、機械学習ベースのNIDSの実用が本格的に普及するのに際し、一つの障壁となっている。この課題に対し、本研究では半教師あり学習の導入でアプローチし、生成型ディープニューラルネットの一手法であるVariational Auto-Encoderをベースに、ネットワーク攻撃検知向けに改良した手法を提案する。提案手法における攻撃検知は、トラフィックデータの発生要因に相当する潜在空間上での分類問題に帰着させることで実現しており、Kyoto2006+, NSL-KDDデータセットを用い、その検知性能の評価した。

As Internet-of-Things (IoT) devices enable pervasive computing in our daily lives, more and more devices are connected to Wi-Fi networks. Public access to Wi-Fi networks leads to exploitable vulnerabilities that can be converted into attacks. The impersonation attack is an active, malicious action where unauthorized users masquerade as authorized users to gain privileges. Detecting impersonation attacks remains a challenging task due to properties similar to benign packets. Moreover, the pervasiveness of IoT devices connected to Wi-Fi networks generates complex, large-scale, and high-dimensional data, which leads to difficulties in real-time detection and mitigation. Selecting the best features is one of the challenging issues for improving the performance of the classifier. In this study, we examine the feature weighting methods in existing machine learners and look at how they could be used for accurate selection of impersonation attack features. We test and validate the utility and usefulness of the selected features using a standard neural network. This study demonstrates that the proposed weight-based machine learning model can outperform other filter-based feature selection models. We evaluated the proposed model on a well-referenced Wi-Fi network benchmark dataset, the Aegean Wi-Fi Intrusion Dataset (AWID). The experimental results not only demonstrate the effectiveness of the proposed model, achieving 99.86% accuracy, but they also prove that combining a weight-based feature selection method with a light machine-learning classifier leads to significantly better performance, compared to the best result reported in the literature.

ますます高度複雑化するサイバー攻撃に対して，ICTシステムを扱う組織は情報セキュリティインシデントに迅速かつ適切な対応を取ることが求められている．しかしサイバー攻撃が完了する時間と比べて調査や復旧を行うインシデントハンドリングにかかる時間は非常に大きく，結果として被害が拡大してしまっている．この問題の原因の一つに発生事象の全容把握に多くの時間が費やされていることが挙げられる．これの解決のため，我々はインシデントの調査初期段階に行われるトリアージ業務に着目をしたフローチャートと，トリアージ支援システムを考案した．本システムは端末の通信履歴より発生事象に関連すると予想される端末群を抽出し，表示をすることでインシデント対応者の意思決定支援に貢献する．本稿では本システムの概要とシミュレーションによる評価結果を述べる．

　社会インフラシステムのオープン化に伴い，サイバー攻撃は年々増加傾向にある．このような状況をうけて，社会インフラシステムの防護を目的としたセキュリティ設計の実施を要求するセキュリティ標準規格やガイドラインの策定が進んでいる．セキュリティ設計の特徴として，作業者のセキュリティ知識やノウハウに依存することが挙げられる．特に社会インフラシステムには，リソース上の制限からセキュリティ機能の導入や設定変更といった機能対策が困難な一般的な情報システムとは異なる機器が存在するため，セキュリティ知識とノウハウを要するというセキュリティ設計の特徴が顕著となる．そこで我々は，セキュリティ専門家の暗黙知を形式知化することでセキュリティ設計の自動化を検討している．これまで，機器の制約を考慮した上で適切な対策を導出する作業の自動化までは完了した．しかし，機器の制約を考慮することで対策が手薄な箇所も存在しており，対策の過不足を判断できないといった課題が存在する．そこで，本稿では想定される脅威とその攻撃経路を考慮することでシステム全体を俯瞰した対策を選定する手法を提案する．

情報資産を取り扱うIT製品/システムにおけるセキュリティの重要性が増しており，これらの情報資産を保有する組織や企業には，十分なセキュリティ対策の実施が求められている．セキュリティ対策を実施するには，対象とするシステムや組織において発生しうるセキュリティ脅威やそのリスクをセキュリティ分析によって明確にし，適切なセキュリティ対策を選定する必要がある．しかし，対策を導入するシステムや組織毎に投入できるリソースや制約が異なるため，これを画一的に決定することは困難である．また，より多くの脅威に対して少ないリソースで対策を実施できるよう計画することは，脅威の数が増えるほど作業負荷が高くなる．本稿ではその解決策として，個々のシステムや組織に固有の制約や優先度を反映し，対策を自動で選定する方法を新たに提案する．本提案では，アタックツリー上の攻撃活動から対策を実施する活動を定義し，定義した活動に対して具体的な対策を対策候補の中から割り当てる．割り当てられた対策の組み合わせの効果を評価し，対策導入先のシステムや組織に固有の制約の下で優先順位をつける．

In this paper, we discuss the status and problems in secure system design of IoT systems. We explain how the known approaches work and present what we observe these approaches from our own perspectives. By conducting case studies referring to ISO/IEC 15408 and JASO TP 15002 on secure designs of publicly available IoT systems such as the IPA-car system which the IPA agency defined as the next-generation car model and so on, we attempt to identify what problems can be found in the currently known methods. As a result, we classify the major problems that are three-fold: ovarall optimization, third-party confirmation, and consistency to the to-be-followed security design. One of the instances of these problems is that it is not clear to find good trade-offs between work cost and output quality during secure system design process. We finally discuss what challenges are there in the secure system design research.

Softwre-Defined Network（SDN）とは，ネットワーク仮想化技術の一つであり，ネットワー クの動的かつ柔軟な制御を実現している．SDN の実施形態の一つに，マルチドメインSDN が存在する． 複数のドメイン間に跨る通信に対してSDN を導入することで，ドメイン間の異なるネットワーク制御ポ リシーを共存させながら，柔軟な通信を行うことが可能となる．しかしながら、サービスを検討するに あたり、どのようなセキュリティ懸念があるのかを示す例は見当たらない。本稿では，マルチドメイン SDN のシンプルな例として、OpenFlow 実装によるローミングをユースケースとし、攻撃耐性評価も含 めたマルチドメインSDN サービスのセキュリティ評価手法について検討する。

著者らは，これまでに不特定多数のユーザ端末を用いて秘匿性と匿名性に優れたP2Pストレージを実現する技術を提案している． その従来技術では，P2Pストレージを構成するノード群の死活監視や保存データの冗長度復元を担う中央集権的な管理サーバは，攻撃の標的となるのを避けるために用いない． そのため，データを複数のノード群に高冗長度で分散保存したとしても，個々のユーザ端末の信頼性が低いため，時間経過とともに保存先ノードが消失していき，短期間で復元が不可能になる問題があった． そこで本研究では，P2Pストレージの構成ノードにより複数のローカルネット群を作成し，そのローカルネット内においてノード群が相互に死活監視を行い，もし一部のノードが消失して保存データの冗長度が低下した場合にも他ノードが埋め合わせることで保存データの信頼性を維持する自律分散型P2Pストレージの技術を提案した． 提案技術により，従来技術の秘匿性と匿名性を損なうことなく，信頼性も優れたP2Pストレージを実現することが期待できる．本稿では提案技術の概要を説明し，また，そのP2Pストレージの保存データの定量的信頼性評価を行った結果を示す．

近年，自動車の安全支援システムや自動運転システムに向けた技術開発が急速に進められている．これらのシステムでは，自動車外部の情報を取得するために，様々なセンサが搭載されており，その情報をもとに車載ECU（Electronic Control Unit）が自動車の重要な制御を行う．しかし近年，センシング段階において車載測距センサに対して測距不能にする攻撃（DoS攻撃）や測距値を短く偽装する攻撃事例が多数報告されている．本研究室も昨年に車載測距センサである赤外線センサとソナーセンサに対してDoS攻撃を行った結果と逆位相波で正規反射波を減衰させる方法について報告した．今回は正規反射波を減衰させる簡易な手法として，吸音材を用いる手法を採用した．その結果，実験室では攻撃波の送信周期を制御することで，実際の距離より小さい値及び大きい値を安定して改竄できることを確認した．本知見をもとに実車に対して攻撃を行い同様の改竄が可能であることを確認した．対策手法に関しても考察した結果を発表する．

ToF（Time of Flight）方式距離測定機器として用いられている距離計の一つに，超音波距離計がある．超音波距離計は自動車用障害物検知装置や，ヘリコプターの障害物センサなど，身近なところに用いられている．これらの機器の測定距離が改竄されると，障害物への衝突や急ブレーキの誘発による事故が引き起こされる可能性があり，攻撃されることを想定した対策を行う必要があると考えられる．先行研究として，超音波距離計の測定距離を，直接波を打ち消すことにより意図的に長く改竄させる攻撃手法がある．しかし，この攻撃手法の実現のためには，攻撃回路と攻撃対象の測定回路がほぼ同位置にあり同期して動作する必要があり現実的でない．そこで本論文では，測定回路から発せられた測定超音波の反射波を打ち消すことにより，測定距離を長く改竄する手法について提案し実験結果を示す．さらに，この提案手法の対策についての考察を行う．

センサ情報をもとに対象の制御を行うセンサ・アクチュエータシステムには、CPS (Cyber-Physical System) のような大規模なものや、ロボット制御などの小規模なものがある。こうしたシステムでは、センシングした情報が信頼できることが安全なシステムの大前提となる。そのようなシステムにおいて、センサに異常信号を挿入することで本来とは異なる情報をセンシングさせるセンサなりすまし攻撃の危険性が指摘されている。センサなりすまし攻撃に対し、アクティブセンサを対象にした対策法が発表されている一方で、パッシブセンサに関する対策法はほとんど無い。そこで、本稿では、パッシブセンサへのセンサなりすまし攻撃対策を扱う。提案対策の基本的なアイデアは、制御対象に作用するアクチュエータの制御信号に認証信号を重畳し、認証信号がセンサ出力に含まれているかを調べることで、センサなりすまし攻撃の有無を判定することである。一例としてリプレイ攻撃を扱い、単純な系を用いたシミュレーション実験により、提案対策の有効性を示す。

現在、センサに異常信号を挿入することで，本来とは異なる情報をセンシングさせるセンサなりすまし攻撃の危険性が指摘されている。複数のセンサを用いて冗長にセンシングを行い，それらを融合して頑健な計測を行うセンサフュージョンは，センサなりすまし攻撃への対策法として期待されている．本論文では，3軸加速度・3軸ジャイロ・3軸コンパスの9軸の情報を融合して「傾き」を計測する慣性計測ユニットを題材に，センサフュージョンの対策効果についてケーススタディする．そのために，慣性計測ユニットが搭載するセンサに超音波を照射して偽信号を挿入し，その際のセンサフュージョンアルゴリズムの挙動を観察する．

本論文では、従来より効率がよいmaximum leakage resilient 匿名IDベース暗号方式を示す。 本方式の安全性は、ランダムオラクルモデルかつk-LIN仮定の下で成り立つ。 DLIN仮定の下で1-O(1/n)のleakage rateを達成する場合、 Kurosawa-Phong方式の暗号文サイズおよび秘密鍵サイズは、それぞれ2nにほぼ比例する。 これに対し、本方式では2+nにほぼ比例する。

暗号方式が満たす性質の中で，秘密鍵等を始めとする秘密情報に関係した情報が部分的に漏洩しても秘匿性が保持されることを保証する，漏洩耐性(Leakage Resilience)は重要な性質である． これまでに様々な漏洩耐性を考慮した安全性モデルが考えられているが，中でも以下の二つのモデルは特に重要である． 第一に，Bounded Retrieval Model(TCC'09)(BRモデル)である．第二に， Auxiliary Inputs Model(TCC'10)(AIモデル)である． Kurosawaら(ACNS'13)はIDベース暗号(Identity-Based Encryption, IBE)方式を提案し，当該方式がDLIN仮定の下で，BRモデルで漏洩耐性的(Leakage Resilient)であり，特定のパラメータをlとして1-3/2l-o(1)のLeakage Rateを達成可能であり，かつ適応的選択ID安全であることを証明した． 一方で，Yuenら(EUROCRYPT'12)のIBE方式は，静的な(Static)仮定の下で，AIモデルで漏洩耐性的であり，かつ適応的選択ID安全であることが証明された，唯一のIBE方式として知られている． 本研究では，KurosawaらのIBE方式が，パラメータlを調整することで，DLIN仮定の下で，AIモデルで漏洩耐性的であり，適応的選択ID安全であることを証明できることを示した． また，Yuenらの安全性証明は誤りである可能性があることを指摘する．

公開鍵暗号の一種であるIDベース暗号において，その安全性の一つに匿名性がある．この匿名性は攻撃者と挑戦者の間のゲームによって定義され，攻撃者は挑戦者に二つのIDを渡し，受け取った挑戦者はどちらかのIDを用いて暗号文を生成し，どちらのIDで生成された暗号文なのかを攻撃者が当てるというゲームである．それ以外の匿名性定義を複数考案し，また，それらと現在の匿名性定義との関係性を明らかにする．

従来多くののIDベース認証鍵交換方式では, 単一のKGCから受信者及び送信者は秘密鍵をもらい, 鍵交換を行う. この場合, 他のKGCのから得た秘密鍵を取得している者との鍵交換は行う事が出来ない問題, KGCが保管しているマスター秘密鍵の漏洩が置きた場合全てのユーザの秘密鍵が漏洩してしまう問題, KGCがユーザの秘密鍵を取得することが出来てしまう問題が生じる. 特に, 秘密鍵を予め通信機器のそれぞれ別々のIDを持つ部品に組込み, 通信機器を組み立てた際に, それぞれ部品の秘密鍵を合成して, 鍵交換を行うことができない. 我々は, 多重であるような別々のKGCを許し, 分散されたKGCを満たす様なIDベース認証鍵交換を発明した. その結果, 別々のKGCから取得した秘密鍵のユーザ同士でも通信可能であり, マスター秘密鍵の漏洩に対してもユーザ秘密鍵の漏洩が無く, KGCのユーザ秘密鍵の供託が無いようなIDベースの鍵交換が実現出来る. また, 事前にIDが異なる部品毎に秘密鍵を配布し, 通信端末を組み立てる際にそれぞれの秘密鍵を合成し, その通信端末の秘密鍵としてIDベース認証鍵交換を行う事が可能となる.

IDベース準同型暗号は，IDベース暗号と準同型暗号を組み合わせた暗号技術である． 送信者は受信者のIDを用いてデータの暗号化を行い，さらに暗号化したままのデータに対して演算を施すことが出来る． IDベース準同型暗号は，その機能に応じて２つの設定に分けることができる． 同一のIDの下での暗号文に対してのみ準同型演算を施すことが出来るものをSingle-Identity設定，複数のIDの下での暗号文に対して準同型演算を施すことができるものをMulti-Identity設定と呼ぶ． 最初のMulti-Identity設定におけるIDベース準同型暗号はClearとMcGoldrickによって提案された(CRYPTO 2015)． しかし彼らの方式には制限があり，一度準同型演算を施した暗号文に対してもう一度準同型演算を施すことができない(Single-Hop)． そこで，本論文ではMulti-Identity設定におけるIDベース準同型暗号のモデルに変形を加え，そのモデルにおいて何度でも準同型演算を施すことが可能な(Multi-Hop)IDベース準同型暗号を構成する．

ストリーム暗号Salsa20およびChaChaに対する故障利用攻撃を提案する．これらのストリーム暗号では，固定値，鍵，ブロック番号および初期ベクトルから生成される行列Xと，ラウンド関数により攪拌が行われた行列X^(20)の加算により，鍵ストリームが求まる． 提案する故障利用攻撃では，同暗号のソフトウェア実装に対して，該当の加算（add）命令をスキップすることで，行列XまたはX^(20)を入手し，鍵を復元する．また，変数分離による対策について，x86/x64アーキテクチャおよびARMアーキテクチャでの実現可能性について検討する．

暗号機器の電源線から連続正弦波を用いて暗号処理に非同期に故障注入を行う手法は，暗号処理の特定のタイミングでフォールトを発生させることが難しく，DFAやFSA等の既存の故障利用解析手法に必要なフォールトを発生させることが困難であった．これに対し本稿では，既存の故障利用解析手法に適用可能な誤りを発生させることが可能な連続正弦波を用いた故障注入手法を提案する．提案手法では，連続正弦波の周期に着目し，周波数を変化させることで１クロックサイクル中でのフォールト発生のタイミングを制御する．実験では，フォールト発生のタイミングを計測できる加算回路を実装したSASEBO-Gに対して提案手法を適用し，故障注入を行った．その結果フォールトが発生するタイミングが注入する連続正弦波の周波数に応じて5.5nsから11.1nsまで段階的に変化することが観測されたことから，暗号処理に非同期に連続正弦波を印加した場合にも，フォールト発生のタイミングを制御可能であることを示した．また，AES回路を対象とした場合も同様の結果が得られたため，提案手法がFSAなどの既存の故障利用解析手法に適用できる可能性を示した．

暗号機器に意図的な誤動作を発生させる故障利用攻撃に対して, 耐性評価をする必要がある.本検討では, AES 回路にグリッチを重畳したクロック信号を注入し, その際に発生する中間値の誤りをバイトごとに測定することで鍵解読に利用可能な誤り暗号文を暗号回路が出力するかどうか判定する方法を検討した. 100 平文2 セットを使用して, 1 バイト誤りの発生確率のグリッチ注入タイミングに対する分布を測定した. その結果, 1% 以上の確率で1 バイト誤りを発生させるグリッチ注入タイミング幅は2ns であり, 平文セットによる確率分布の変化は確認されなかった. この結果は使用した評価暗号回路が故障利用攻撃に対して脆弱であることを示しており, この1 バイト誤りを発生させる注入タイミング幅を脆弱かどうかの指標として利用できることを示している. さらにクリティカルパスディレイにはバイトによる偏りがあり, その結果, 特定のバイトに偏って1 バイト誤りが発生していることを示した.

ICカードの秘密情報を抽出することを目的とした攻撃としては、サイドチャネル攻撃、かく乱攻撃など様々な攻撃手法の研究が進められている。その中で、最近提案された、かく乱攻撃手法であるBody Biasing Injection(BBI)は、安価な装置で攻撃が成功する確度が高い手法と言われ、注目を集めている。そこで、BBI攻撃用のProbeを作製して、IPAから提供された評価用ICカードを使って、RSA-CRT復号に対してDFAで秘密鍵を抽出する評価実験を行ったので、結果を報告する。

A trapdoor function is a one-way function with trapdoor, which is indispensable to get the preimage of the function. In lattice-based cryptography, trapdoor function is needed to construct the secure cryptographic schemes like identity-based encryption, homomorphic encryption, or homomorphic signature. There are three categories of trapdoor functions as standard trapdoor function, lossy trapdoor function, and homomorphic trapdoor function. Lossy trapdoor function is a trapdoor function that behaves in two ways. One behaves as a standard trapdoor function, whereas the other is losing information from the input. Homomorphic trapdoor function can make an evaluation on the computation of trapdoor function results. In this paper, we survey the literature on lattices studying lattice-based trapdoor functions and preimage sampling algorithm of them. Then, we classify these trapdoor functions into aforementioned three categories.

本稿では，格子に基づく初めての非ゼロ内積暗号（Non-Zero Inner Product Encryption，以下NIPE）の構成を提案する．属性ベース暗号の一種であるNIPE は，秘密鍵と暗号文にそれぞれ対応する述語ベクトルと属性ベクトルが直行しないときに限り復号が許される暗号方式であり，今まではペアリングに基づく構成方法しか知られていなかった．本稿で提案するNIPE方式は，秘密鍵のサイズが定数（行列一つ）で暗号文長が属性ベクトル長?に線形である．さらに，提案する構成法および安全性証明で用いられる技法は，従来の格子に基づく属性ベース暗号で用いられる技法とは大きく異なり，秘密鍵の分布を整えるためにBoneh とFreeman による格子に基づく加法準同型署名の技法を活用する．

This paper introduces two designs to enhance the Boneh and Freemans linearly homomorphic signature over binary fields, to overcome the limitations to implement homomorphic signatures to the real world scenario due to the heavy calculation and under multiple signers setting for a message. Based on our concurrent work on classification on lattice-based trapdoor functions in SCIS 2017, we modify some algorithms from the original signature. We design the linearly homomorphic ring signature by adopting Wang and Sun's sampling algorithm GenSamplePre() instead of the original sampling algorithm SamplePre() by Gentry et al. Also, we adopt the mixing and vanishing technique of trapdoors by Boyen to design more efficient linearly homomorphic signature scheme with short signatures.

格子問題に基づく暗号や署名は、耐量子計算機暗号としての側面や、行列演算による簡潔な実装ができる点、さらには、完全準同型暗号といったように機能性の高い暗号系として研究がなされている。近年では、暗号や署名に限らずこれらの特徴を生かした暗号応用技術に関する研究が活発に行われている。中でもCCA安全な暗号方式、Hash-then-Signature、ID-based暗号は、落とし戸付一方向函数を用いて構成されており、落とし戸付一方向函数は、暗号応用技術を研究するうえで重要な役割を果たす。本論文では、格子問題に基づく落とし戸付一方向函数のうち効率的であるとされるMicciancio-Peikertによる構成法に注目し、特にその逆像計算処理アルゴリズムに対する効率的なアルゴリズムを提案する。 Micciancio-Peikertによる逆像計算処理ではある種の誤り訂正処理を実行するサブルーチンをもちいており、そのサブルーチンは、逐次処理によって下位ビットから順番に復号する。提案方式では、Ｌビットごとまとめて復号し、並列計算可能な復号結果のエラーチェックと組み合わせることで逐次処理回数のほぼ1/L回で復号することができる。

秘匿通信は，通信の暗号化を行い実現している．この暗号化に用いるセッション鍵を安全に共有するために，認証及び鍵交換がある．近年，高速演算処理が可能な量子計算機の研究・開発が進ん でいる．この実現により，従来の暗号の中には安全性が担保できなくなるものもあるため，併せて耐量子暗号の研究・開発が進んでいる．その耐量子暗号の認証鍵交換の 1 つに，藤岡等が発明した格子ベースのKEMを利用したFSXYがある．本稿では，Peikertが発明し，耐量子鍵交換Newhopeなぞで使用されている格子ベースのKEMを改良したものを用いてFSXYを実装し，Newhopeと比較評価した．

Lattice-based cryptography is based on mathematical hard problem such as Learning with Error(LWE) and Ring-Learning with Error(Ring-LWE). These problems can be used for Fully Homomorphic Encryption(FHE) which attracts a lot of attention in the field of cloud computing environment and big data processing. On the other hand, side-channel attacks on a lot of cryptographic libraries have been tried except lattice-based cryptosystems. We first try to timing attack in lattice-based cryptographic libraries such as FHEW and HElib. Timing attack is simple and relatively easy to approach than other hardware-based side-channel attacks. In this paper, we compare and analyze four lattice-based open cryptographic libraries such as FHEW, HElib, Λ o λ, and LatticeCyrpto. In particular, aftter checking the time traces of the FHEW and HElib libraries, we investigate to determine if timing and fault attacks are feasible. As a countermeasure against timing attacks, we present a method for a padding to make of a message constant time encryption.

ブラウザのパスワードマネージャはユーザの入力したユーザIDとパスワードを記憶する機能と，パスワードの入力を要求された際に記憶したパスワードを補完するオートコンプリート機能を持つ．Silverらは，パスワードマネージャのオートコンプリート機能が動作する条件を調べ，そのオートコンプリート機能を利用したパスワード取得攻撃について報告している．本稿では，HTTPS通信においてパスワードマネージャのオートコンプリート機能が動作する条件にSSL証明書の情報が含まれているかについて調べた．偽造されたSSL証明書を使用した場合でも，パスワードマネージャのオートコンプリート機能が動作してしまう条件を明確にした．また，それを利用したパスワード取得攻撃のシナリオを示す．

ブラウザ経由で収集可能な情報を用いて識別を行うBrowser Fingerprintingと呼ばれる手法がある．本論文では，Browser Fingerprintingを拡張したBrowser TEMPESTという概念を導入する．これはブラウザにおけるサイドチャネルから取得可能な情報を加えて識別を行うBrowser Fingerprintingのスーパーセットとなる概念である．Browser TEMPESTのアプローチによりCPUコア数やCPUの機能であるハイパースレッディングテクノロジ（HTT），Streaming SIMD Extensions2（SSE2），Advanced Encryption Standard New Instructions（AES-NI）が有効かというCPU機能の識別ができることを示す．実験では435端末のサイドチャネル情報を収集し，CPUファミリを88.6%，マイクロアーキテクチャを75.8%，及び，プロセッサーナンバーを91.4%で推定することができた．

ブラウザやプラグイン等のクライアントを識別するブラウザフィンガープリンティングは，一般的にクライアントへの最適なコンテンツの配布に使用されるが，ドライブバイダウンロード攻撃によるマルウェア感染の脅威にも悪用されている．従来，攻撃者は主に JavaScript の機能を用いてクライアントを識別していたため，多くの研究者はこれらの機能を監視して，ブラウザフィンガープリンティングを解析する手法を提案してきた．しかしながら攻撃者は，ブラウザ実装の差異を悪用してクライアントを巧妙に識別するとともに，既存手法による解析を回避するようになった．そこで本稿では，実装方式の異なる実ブラウザとブラウザエミュレータで取得した Web サイトアクセスログを解析することによって，ブラウザ実装の差異を悪用する解析回避コードを抽出，分類する手法を提案する．1,710 件の悪性 Web サイトで実行された62,591 個のコードに本手法を適用した結果，JavaScript エンジンの実装差異を悪用するコードを発見した．これら発見を基に既存手法を改善することにより，解析性能の向上に寄与できる．

クロスサイトスクリプティング(XSS)攻撃は数多くの研究がなされてきているにもかかわらず常に首位を争う脅威となっている攻撃であり, 攻撃手法は多様化している. 防御策について, Open Web Application Project(OWASP)のようにチェックシートを公開している組織も存在するが, 開発者全員がこれらを基に安全な実装をするのは困難である. それ故, 脆弱性を自動で検知するツールがあれば大いに役に立つと言え, そのような研究も存在する. しかし, 既存研究では精度が低い. 特に, スクリプト言語に適用可能なオブジェクト指向に対する研究はあまりなされていない, そこで本研究では２方向後方脆弱性分析とクラスキャッシュという概念を導入して, 解析手法の提案と実装を行う.

クロスサイトスクリプティング(XSS)攻撃はWebアプリケーションにおいて主要な脆弱性の1つで, これまでに数多くの研究がなされてきている. 静的解析や動的解析など様々な解析手法が考案されている. しかし, ソースコード中の脆弱性箇所周辺の文脈やWebアプリケーションの利用環境などによる脆弱性判定の基準が解析ツールの利用者には不明瞭であることが多い. 本研究では, 解析における脆弱性の危険度の評価, 脆弱性箇所周辺の文脈に応じて的確に判定できる陽性の判定基準の明確化, 対策の優先度判定に貢献するための脆弱性のメトリクスの提案と実装を行う.

FC 2016において，Abadi らは検証可能委譲秘匿共通集合演算（VD-PSI）を提案した．クライアント間でクラウドに預けた暗号化データベースの共通集合を情報を漏らさぬまま求め，またクラウドの不正を検証することができる．しかし，彼らの方式にはクライアント間の安全通信路を必要とするという問題がある．本稿では，全ての通信をクライアントとクラウド間での公開通信路で行うことができるVD-PSI方式を提案する．クライアント間の通信が必要無いため，様々なクラウド環境に対応できる．既存方式に比べて，暗号文一個の送受信と暗号化・復号のコストが追加で必要となるが，計算量・通信量はほぼ同等である．

In the mid 1980’s, Yao presented a constant-round protocol for securely computing any two-party functionality in the presence of semi-honest adversaries.In Yao's protocol it have a problem that in the protocol we need to keep the Garbled Table to make sure that the computation of the gate is safe. The Garbled Table will cost many time to computation.Then in 2008, the freeXOR gate solved this problem for some class of functions.We can use the XOR gate to instead the previous gate, then we can omitted the Garbled Table.On the other hand, the Yao’s protocol only secure in the presence of relatively weak semi-honest adversaries. Now a number of protocols have been proposed for the efficient construction of two-party computation secure in the presence of malicious adversaries, and the most popular method is use the cut-and-choose way. At TCC 2009, Nielsen and Orlandi suggested to apply cut-and-choose at the gate level called LEGO, while previously cut-and-choose was applied on the circuit as a whole. My proposal is that, the freeXOR gate can be worked in the Yao’ protocol Garbled circuit, and the Garbled circuit in LEGO is same to the Yao’ protocol. So we want to use the XOR gate to instead the previous gate in the LEGO protocol.The new LEGO protocol with the freeXOR gate will be more efficient then the original LEGO.

Garbling schemeとは，入力を秘匿しつつ回路計算を行うために，通常の回路を暗号文で構成されたgarbled circuitに変換する手法である．Zahurらはlinear garbling schemeと呼ばれる効率的な手法において，ANDゲートを1つgarblingするために最低kビットの暗号文2つが必要になることを示し，さらにこの下限を満たす手法を提案した．本論文では，この下限が回避できることを示し，実際にkビットの暗号文が2つ未満となるgarbling schemeを提案する．提案手法はZahurらの文脈においてlinear garbling schemeに含まれるため，Zahurらの下限を回避し更なる暗号文サイズの削減が可能であることを示している．また，提案手法はゲートの種類を秘匿するsemi-private function evaluationにも応用可能である．

秘密計算でべき乗，逆数，対数などの初等関数の計算を高速化する手法を提案する．近年，秘密計算で浮動小数点数を使った科学技術計算も実現されるようになってきた．しかしながら，科学技術計算でよく用いられる初等関数でも依然計算コストは大きい．本稿では，べき乗，逆数，対数などの計算を行う際に，事前に入力に依存しない計算をしておくことにより，入力が与えられてからの実行時の処理時間を短縮する手法を提案する．

マルチパーティ計算（MPC）は，複数の参加者がそれぞれ自身の持つ秘密を他者に明かさずに，秘密を入力とする関数を計算する暗号プロトコルである． MPCの処理性能は近年の研究によって大きく改善されてきたが，単位時間当たりの処理件数（スループット）は未だ低いことが課題があった． 本研究の目的は，高いスループットを達成するMPCの実装を行うことである． 本研究ではSCIS2015に古川によって提案された3者間方式をベースとして，ビットスライス法を用いてSIMD(Single Instruction Multiple Data)計算に適したマルチパーティ計算を実装し，性能評価を行った．本実装は同等の安全性を持つ方式と比べて約14倍程度のスループットを達成する．

近年，秘密計算ではスピードのベンチマークとしてAES演算が用いられている．そんな中，荒木らは約168 Mbpsという従来を遙かに上回る高い暗号化スループットを実現し，セキュリティ応用研究のトップ会議であるACM CCS 2016で最優秀論文賞を受賞した．本論文では，筆者らの開発した秘密計算システムMEVAL2上でAES演算を実装し，その性能を測定・比較する．その結果として，PC上(10G NW，3.2 GHz × 6 Core)で183 Mbpsと，サーバ機(10G NW, 2.3 GHz × 20 core)を用いた上記荒木らの結果を上回る性能を実現したことを報告する．また本結果は，荒木らの結果と合わせて10G NWでの性能の限界を示唆するものとも言える．

LIN(Local Interconnect Network)はパワーウィンドウや電動シートなどのボディ制御システムの車載LAN規格に用いられている．LINの特徴には，マスター・スレーブ方式を採用することやLINの各ECUの消費電力を抑えるためのWakeup/Sleep機能などがある．しかし，CANと同様，LINのメッセージは暗号化されておらず，攻撃者がバス上に流れるメッセージの盗聴および解析をすることは容易である．そのため，CANのサブネットワークであるLINに対しセキュリティを考慮する必要があるが，LINの脆弱性およびその具体的な攻撃手法についてはあまり研究されていない．そこで本稿では，LINに対する新たな攻撃手法について述べる．具体的には，Wakeup/Sleep機能について着目し，攻撃者がSleepフレームというある特別なフレームをバス上に送信することで，正規のメッセージの送信を停止させることが可能であることを示す．また，FPGAを用いてSleepフレームを模擬したフレームを送信する回路の作成を行い，提案する攻撃手法の有効性を実験により証明する．更に，提案する攻撃手法についての対策手法について述べる．

現在，車載制御ネットワークで広く使われるController Area Network(CAN)に対するセキュリティ攻撃事例が多数報告されている一方，安全運転支援機能や自動運転を見据えた次世代の車載通信プロトコルとして，Ethernet AVBやTime Sensitive Network (TSN)が注目されている．本論文では，ECUがマルウェアなどの感染により他のECUの通信を阻害しないよう改造されたEthernetコントローラを用いることにより，Ethernetへの不正なアクセスを制限する手法について提案する．

車載ネットワークの堅牢化が求められる中で、Controller Area Network(CAN)パケットへのCipher-based Message Authentication Code(CMAC)付与や、正規ECUの認証、ECUコードのリモートリプログラミングなどの研究開発が進められている。これらを実現するためには、ECUへの暗号鍵の設定・管理が必要となる。もし統一的な鍵を設定してこれが漏洩した場合には、CMAC付与やECU認証の危殆化の影響が全車両に及んでしまう。ECU毎に異なる鍵を設定する場合には、ECUサプライヤ（SUP）や自動車メーカ（OEM）の生産ライン、市場での保守作業において、煩雑な対応が必要となる。本研究では、Secure Hardware Extension(SHE)と呼ばれる仕様に沿ったマイコン向けに、安全性を重視する場合や管理コストを重視する場合などの様々な鍵の設定・管理方式を列挙し、各々の方式についての長所・短所を考察する。その際、ECUの生産、車両の組立、市場における保守など、ECUのライフサイクルを考慮する。

車載ネットワークのセキュリティ対策として，AUTOSAR(AUTomotive Open System Architecture)では，MAC認証を用いたセキュアな通信プロトコルの標準仕様が策定されているが，認証に用いる暗号鍵の管理に関しては言及されていない．そこで，本稿ではECUの初期鍵K_IM，車両のマスター鍵K_M，セッション鍵K_SとAES暗号アルゴリズムを利用する鍵交換プロトコルを提案する．提案する手法では，ECUの初期鍵と型番を対応付けるデータベースをセキュリティゲートウェイに搭載する必要があり，このデータベースのセキュアな保管にPUFを利用する．当研究室では，サイドチャネル攻撃耐性を有するAES暗号回路のSBox演算で使用しているMDR(Masked Dual-Rail)-ROMに，少ない面積の追加で実装可能なMDR-ROM PUFを開発している．本PUFの車載向け応用を意識して，試作チップを-40℃～105℃という環境下で評価を行った．評価の結果，異なる環境でのPUF出力のエラー率が15%以下となり，誤り訂正を利用したシステムを用いて動作可能である事を確認した．

コネクティッドカー時代において、車載ECU (Electronic Control Unit) のリモートリプロ グラミングは必須の機能となる。このリモートリプログラミングの機能を、車載システムのどの部分に持 たせるかが議論されている。本稿では、リモートリプログラミング機能をIVI (In-Vehicle Infotainment) システムに搭載する場合のセキュリティ評価と実装について考察する。

近年，自動車の制御の高度化，ネットワーク化が進行しており，それにともない，車載ネットワークの脆弱性をついた攻撃事例やそれに対する対策が提案されている．一方，自動車を制御する車載ECUのファームウェアに対してのセキュリティ対策も重要な課題であり，正しくリプログラミングを行えるシステムが必要である．そこで本稿では，共通鍵暗号（AES）を用いてベンダーからECUにファームウェアを受け渡すシステムを提案する．提案システムでは，（1）ベンダーがファームウェアを配信サーバーにアップロードする際に，車両毎の共通鍵を用いてファームウェアにMAC値を付与する．（2）ファームウェアを受信した車載セントラルゲートウェイは自車の共通鍵でMACの検証をし，ファームウェアの真正性を確認する．（3）セントラルゲートウェイはファームウェアをカウンターモードでAES暗号化し，CANバスを通じてECUへ送信する．さらに上記のMAC生成・検証とAES暗号通信に利用する鍵は，これまでの我々の研究成果を活かし，PUFを鍵ストレージとすることで，セキュアメモリがないECUでも安全に暗号鍵が保管されるシステムとした．そのFPGA実装評価を報告する．

本稿では、平文空間が小さい(例えば1ビット)の選択暗号文攻撃に対し安全(CCA安全)な公開鍵暗号(PKE)を、CCA安全なタグベース暗号(TBE)へと変換する方法を提案する。提案手法により得られるTBEは、セキュリティパラメータkの多項式程度の大きさのタグ空間しか持たない(すなわち、O(log k)ビットのタグしかサポートしない)が、既存のShoupによる変換法と異なり、平文空間のサイズを減少させないため、構成要素のPKEの平文空間が1ビットでも適用可能である。また、変換により得られたTBEは、構成要素のPKEの鍵対を一つのみしか用いない。よって、松田と花岡(CSS 2015)によるCCA安全な1ビットTBEから任意長の平文を暗号化可能なCCA安全性を満たすPKEへの変換法と組み合わせることで、CCA安全な1ビットPKEの平文空間の拡張を、構成要素の1ビットPKEの鍵対を一つのみしか用いずに実現できる。既存のCCA安全なPKEの平文空間拡張法では、構成要素の1ビットPKEの鍵対を二つ以上を用いる方法しか知られていない。

ハイブリッド暗号の理論的枠組みとして，KEM/DEM,tag-KEM/DEMが良く知られているが，IMACC2011で渋谷，四方によってAKEM/DEMの枠組みも提案されている．AKEM/DEMは，付加情報の種類によって三つのタイプを扱う．タイプ１では付加情報が平文，タイプ２では平文と暗号文の連結，タイプ３では暗号文であり，タイプ３はtag-KEMに近い概念である． ここで，藤崎，岡本により３種類のFO変換がこれまで提案されている．これらはAKEM/DEMで表現すると，1999年に提案されたFO変換はタイプ１で，2013年に提案されたFO変換はタイプ３で記述できる．また，これ以外のFO変換（1999年に提案）は，いずれのタイプにも属さない．以上をFO1,FO3,FO4と呼ぶことにする． 一方，ハードディスク暗号や完全準同型暗号への応用の立場から，KDM安全性は重要だと認識されている．2016年に北川らによって，FO4はKDM-CPAを満たさず，FO3はKDM-CCAを満たすことが示された． 本稿では，さらにタイプ２のFO変換(FO2と呼ぶ)を考え，FO1とFO2がいずれもKDM-CCAを満たすことを示す．

復号回路に自己破壊を許すとNM（非展性）を持つが、許さない場合に選択暗号文攻撃が出来る公開鍵暗号を構成する。

ゲート数がqのブール回路で表される関数の集合についてKDM安全な暗号方式は、q-bounded KDM安全といわれる。 本論文では、まず、Bellareらの安全性証明の誤りを指摘し、その修正方法を示す。 次に、DDH仮定の下で暗号文サイズを削減する方法を示す。 提案方式においては、必要となるBHHO暗号文の個数がBellareらの方式の1/kで済む。 ただし、kはセキュリティパラメータである。

本稿では耐漏洩ゼロ知識証明の安全性定義について考察する。特に，現在の安全性定義は「漏洩情報に無頓着なシミュレーション」を保証しないことから，ある種の攻撃者に対しては必ずしも十分な安全性を保証しない可能性を指摘する。また，既存方式（EUROCRYPT2016におけるKiyoshimaによる方式など）は漏洩情報に無頓着なシミュレーションを持たないことも指摘する。

Schnorr署名は代表的な署名方式の1つであり, その安全性についていくつか議論されている. Random Oracle Modelにおいては, 離散対数 (DL) 仮定からその安全性を証明できるが，Non-Programmable Random Oracle Model (NPROM) や標準モデルにおいてはDL仮定からその安全性を証明できないことを示す状況証拠が与えられている. さらに, 安全性証明不可能性については, DL仮定よりも強い仮定である計算Diffie-Hellman仮定やOne-More DL (OM-DL) 仮定からであってもその安全性を証明できないとする状況証拠も与えられている. しかし, これは帰着アルゴリズムがGenericであるというとても強い状況を仮定しての結果である. そこで本稿では, NPROM上でのNon-Genericな帰着アルゴリズムにおけるOM-DL仮定からのSchnorr署名の安全性証明不可能性について議論する.

近年，ネットワークを介してデジタル化した個人情報を取り扱う機会が増えている． このような機密情報を保護するために，暗号技術が必須である． 今日の研究で提案されている実用化が期待できる暗号技術には，ペアリング演算が使用されている． ペアリング演算の基本は剰余乗加算と逆元演算で構成される． ペアリング演算の大部分の時間は剰余乗算が占めるため，剰余乗算の高速化は暗号の高速化につながる． 本研究では，TI社製のDSP C6678を用いた高速な剰余乗算の実装評価を行う． その結果を本文で報告する．

IoTアプリケーションに公開鍵暗号が必要とされてきており, RSA 暗号より短い鍵長で同程度の安全性があるとされている楕円曲線暗号が注目されている.これを応用したペアリング暗号は,ID ベース暗号やグループ署名，タイムリリース暗号などで使われている.本研究では小型で安価なRaspberry pi上でペアリングを実装し,一般的なPCとの性能を比較した. ペアリングには,埋め込み次数2の超特異楕円曲線を用いたTateペアリングを実装した.超特異楕円曲線の性質を利用した計算の効率化,さらには曲線にツイスト写像を用いてMillerループ中の直線計算と接線計算の乗算を1回減らした.その結果,ペアリング計算にどれほど時間がかかるかを実験した.

ペアリングはIDベース暗号や属性ベース暗号などに用いられる重要な演算であり、様々なペアリング実装が提案されている。 我々はx86-64専用の高速なoptimal Ateペアリングを実装してきた。 しかしそれは他のCPUでは動作せず、また移植性も低い実装であった。 ARMなどx86-64環境以外のCPUに特化した高速な実装がいくつか提案されているが、逆にx86-64で動かないものも多い。 その中で複数の環境をサポートする移植性が高いライブラリはいくつか存在する。 しかし移植性を重視したため遅かったり、C APIしかないため使いにくいところがある。 そこで我々は汎用性と高速性を目指したC++用のライブラリを開発した。 素体の演算ルーチンをLLVMを用いて記述することで、汎用性が高くまた比較的高速に動作する。 ここではこのライブラリの設計と実装について紹介する。

様々なモノがネットワークに接続するInternet of Things(IoT)におけるサービスの安全性を高めるためにはモノ同士の通信経路を暗号化することが有効である． マイクロコントローラを用いたセンサなどの計算資源の限られた環境では，計算資源豊富な環境向けの暗号ライブラリを用いることが難しいため，計算資源の限られた環境でも動作する軽量で高速な暗号ライブラリが必要とされている． 一方，量子計算機に対する耐性を持つと期待されている格子暗号では，鍵生成や暗号化の際にガウス分布からサンプリングした正規乱数を用いることがある． この正規乱数を一様乱数から高速に生成することのできるKnuth-Yaoアルゴリズムはメモリ消費が大きいため省資源環境で用いるには軽量化が必要となる． そこで，本論文ではセンサノードなどで用いられるARM Cortex-M0+マイクロコントローラを対象に，Knuth-Yaoアルゴリズムの軽量化と高速化を行い，Clercqらの実装に比べ実行サイクル数の増加を1.84倍に抑えつつプログラムメモリ消費を650byteほど削減することができることを示す．

関数型暗号は暗号文に複雑な復号条件を指定可能で，ユーザに柔軟なアクセス制御を実現できる． また,一つのマスタ秘密鍵でユーザ毎に各属性に応じた秘密鍵を作成できるため, 鍵の管 理コストも大幅に減らすことができ, 従来の公開鍵暗号方式よりも利点が多い. しかしながら, 関数型暗号方式の実装は専門知識が要求され, 非専門家にとっては障害となる可能性がある. そのため関数型暗号を専門知識無く利用できるようなソフトウェア・ライブラリは有用である. 長谷川らは岡本・高島らによる関数型暗号方式を実装したが未公開であり, その方式は暗号文側に埋め込まれている復号条件が公開されるタイプである. 一方 で岡本・高島らによる内積暗号方式では復号条件も秘匿可能であり, 使用用途によってはそのような安全性が必要とされる. 本稿では長谷川らの実装と用途に応じて使い分けをすることができるソフトウェア・ライブラリを オープンソースで公開することを目指し，実際に岡本・高島らによる内積暗号方式を実装し評価を行った結果を報告する.

IoT技術の発達により、機器の小型化・無線化・省電力化も進み、 従来機器では物理的に設置困難な環境へIoT機器を配備することが可能となりつつある。 設置困難な環境へ機器を配置する上では、機器を長期間運用することが望ましく、 電池の交換回数も少ない事が望ましい。 一方、IoT機器の普及により多くのデバイスがインターネットに接続されると同時に、 より多くのステークホルダが各デバイスと繋がることが予想される。 増加したステークホルダ間で適切に暗号化を行うためには、公開鍵暗号の利用が望まれる。 本稿では、機器の単価・調達容易性等・安全性評価のコスト、実装容易性等も踏まえ、 上記制約の範囲で利用可能な公開鍵暗号方式とその鍵長についての検討を行った。 加えて、IoTデバイスへの暗号回路の実装を念頭に、32bitマイコンの中でも、特に低消費電力なARM coretex M0+ 及びM4を用い、 ECDSAの実装及び評価を行った。 そして、各種IoTデバイスで公開鍵暗号を採用した場合の、消費電力量及び運用コストへの影響について考察を行った。

The learning with errors (LWE) problem is considered as the one of the most powerful candidates as the security base for the post-quantum cryptographic schemes. The hardness of LWE depends on three parameters: the dimension n, moduli q and the deviation \sigma. For the application of LWE based cryptographic schemes, the concrete parameters are necessary. In the middle of 2016, Germany TU Darmstadt group initiated the LWE challenge in order to assess the hardness of LWE problems. There are two algorithms to solve variants of closest vector problem(CVP) and study the experimental performances using published instances of LWE challenge: (1) Liu-Nguyen's algorithm to solve the bounded distance decoding (BDD) problem, which is an improvement of Babai's NearestPlane algorithm, and (2) Kannan's embedding technique. In this paper, we consider Kannan's embedding technique. The lattice reduction and enumeration algorithm we use is the progressive BKZ, which was proposed by Aono et al. in 2016. We will give an preliminary analysis for the running time and give a rough estimation for the proper size of parameters.

格子暗号の安全性は最短ベクトル問題や最近ベクトル問題などの格子問題の計算量的困難性に基づいている． 一般的に，格子問題は良い性質を持った格子の基底（より短く，より直交に近い基底）が得られた場合，効率的に解くことができる． 良い基底を見つけるlattice reduction algorithmがいくつか知られており， それらを高速化することは格子問題の計算量的困難性を見積もるうえで非常に重要である． 最も有名なものはLLL algorithmであり， LLL algorithm with deep insertions (DeepLLL)はLLLの改良方式である． LLLやDeepLLLの計算において最も時間がかかるのは，Gram-Schmidt Orthogonalization (GSO)の更新である． LLLの場合，GSOの更新公式が知られているため，効率的に更新できる． しかし，DeepLLLの場合はGSO更新公式が知られていないため，効率的に更新することができなかった． 本稿では、DeepLLLのGSO更新公式を与え， DeepLLL における GSO更新の高速化手法を2つ提案する． 1つ目はGSO更新公式を利用する方法である． 2つ目はLLLのGSO更新公式を繰り返し利用する方法である． また，既存の GSO 計算との実装比較を行い，提案手法の優位性を示す．

In cryptography, lattice basis reduction algorithms have been used as a tool for cryptanalysis. The most famous one is the LLL algorithm, and one of its typical improvements is LLL with deep insertions (DeepLLL). In both LLL and DeepLLL, at every time to replace a basis, we recompute the Gram-Schmidt vectors of the new basis. Compared with LLL, the formula of the new Gram-Schmidt vectors is complicated in DeepLLL, and no formula is currently known. In this paper, we present its explicit formula. We then propose new variants of DeepLLL with our formula. The squared-sum of Gram-Schmidt lengths of a basis are related with various lattice problems, such as the shortest vector problem (SVP) and the short diagonal problem (SDP). Once we find a basis with small squared-sum, we can solve several lattice problems with high probability. Given a basis, our variants can strictly decrease the squared-sum at every time of deep insertions.

Walter (ICITS 2015)は，slide簡約格子基底に対する最短ベクトル探索の最悪時計算量を見積もった．この結果によると，slide簡約基底のブロックサイズが格子の次元と近いときには計算量が$￥sqrt{n}^{n+o(n)}$となり，ほぼ最適な解析となっていると主張されていた．だが，高安と國廣(ISEC)により，Walterの解析はslide簡約基底の性質を正しく用いておらず，適切に評価し直すと計算量は$￥sqrt{n}^{3n+o(n)}$となり，Walterが主張したように最適な解析とはなっていないことを示した．ただし，この論文において高安と國廣はWalterの手法を評価し直しただけで，最適な解析を与えきれていなかった．本稿では，slide簡約基底のブロックサイズが格子の次元と近いときには計算量が$￥sqrt{n}^{n+o(n)}$となることを導く．これは，Walterが主張していた条件を達成するほぼ最適な結果となっている． 我々は，ブロックサイズが格子の次元を割り切れないときに，適切にその部分格子の体積を見積もることでこの結果を得る．

The Ring-LWE (RLWE) problem is expected to be a computationally-hard problem even with quantum algorithms. The Poly-LWE (PLWE) problem is closely related to the RLWE problem, and in practice a security base for various recently-proposed cryptosystems. In 2014, Eisentraeger et al. proposed attacks against the decision-variant of the PLWE problem. Their attacks succeed with sufficiently high probability in polynomial time under certain assumptions, one of which is that the defining polynomial of the PLWE scheme splits completely over the ground field. In this paper, we present polynomial-time attacks against the search-variant of the PLWE problem. Our attacks are viewed as search-case variants of the previous attacks, but can deal with more general cases where the defining polynomial of the PLWE problem does not split completely over the ground field.

本稿では，格子ベースの暗号で用いられる安全性の根拠の1つであるShort Integer Solution（SIS）問題の計算量評価を行う．具体的には，SIS問題をBounded Distance Decoding（BDD）問題に変換して解読する攻撃アルゴリズムに着目し，このアルゴリズムの課題であった枝狩り係数の最適化を行う手法を新たに提案する．そのうえで，この手法を適用した攻撃アルゴリズムを用いてSISの解読シミュレーションを行い，SISの計算量評価を行う．

本論文では, 多数のマルウェア解析情報が蓄積された統合型マルウェア検査サービスを用いて,新規に発見されたマルウェアが悪用するドメインを悪性ドメインとして早期に検知し,それらのドメインを自動的に抽出する方法を提案する．評価実験の結果,新たに発見されたマルウェアの名前解決するドメインを既存のブラックリストに記載されるよりも早期に検知する事が出来た.

多くのサイバー攻撃はマルウェアに感染した端末に起因して発生する． 感染端末は，攻撃者が用意したサーバとの間で，攻撃実行や情報搾取に関する通信を実施する． 感染端末による被害を防止する主な手法として，攻撃者のサーバに対応した悪性ドメイン名を特定して通信制御する手法やドメイン名の機能を停止するDNSシンクホールなどがある． しかし，攻撃者は多くの悪性ドメイン名を運用し，対策の回避を行っている． このような攻撃者に対抗するためには，一つ一つの悪性ドメイン名へ個別に対応するのではなく，同一の攻撃者が運用している悪性ドメイン名群を抽出して総合的に対応する必要がある． そこで，本稿では，悪性ドメイン名のIPアドレスに対応するAS事業者の分散性に注目し，ドメイン名のグラフを構築することによって，同一攻撃基盤で運用されている悪性ドメイン名をグループ化する手法を提案する． 実データを用いた評価を通して，提案手法により，同一のマルウェアファミリーによって利用されるドメイン名のグループを抽出できることを示した．

Detection of drive-by-download attack has gained a focus in security research since the attack has turned into the most popular and serious threat to web infrastructure. The attack is triggered when a user visits a benign webpage that is compromised by the attacker (called landing page) and is inserted some malicious code inside. The user then is automatically redirected to an actual page that installs malware on the user’s computer (called exploit page) without his/her consent or even knowledge. While there is a large body of works targeting on detection of drive-by-download attacks, there is little attention on the redirection characteristic of the attacks. Even some works focus on this characteristic, they are inefficient or have smaller dataset than ours. In this paper, for the first time, we propose an approach to the classification of landing and exploit domains in the attack. The methodology used in our approach is to use machine learning to the registered information of the domain called whois. We intensively implemented our approach with several supervised learning models, compared the results and concluded that Decision Tree is the best model for our dataset which gives 91.83% accuracy, 93.44% precision, 93.44% for recall, and 93.44% for F1 score in merely 0.24 seconds of execution time both training and testing phases.

Potentially Unwanted Program （PUP）は従来のマルウェアとは区別され，ユーザのプライバシーやコンピュータのセキュリティの脅威となっている．PUPは広告の配信やPay Per Install，ソフトウェアのバンドルなどにユーザが同意していることが考えられ，一概にその通信先をブロックすることが適切であるとは限らない．そこで，49種類のPUPを動的解析しDNSクエリを抽出したところ，895ドメインに対するクエリがあり，公開ブラックリスト14,086件と一致したのは6ドメインにすぎないことが判明した．また，種類毎に一定数以上のサンプルを対象とし，DNSクエリのホスト名とDNSレスポンスのIPアドレスについて，全種類のサンプル間でJaccard係数を用いて類似性を評価した．その結果，1種類につき10サンプルのPUPを収集・解析することで，19種類中15種類のPUPは類似性があることがわかった．調査結果をもとに，感染PUP判定に特化したブラックリストを作成することができ，多種多様なブラックリストの中でも，PUPのブロック要否に応じたブラックリスト運用ができる．

Today's increasing Internet use is plagued by malicious activity. Drive-by download attacks have become a serious problem. As part of an exploit-as-a-service ecosystem for drive-by download attacks, malware download sites play a particularly important role in malicious attack. This paper examines the lifetimes of malware download sites in terms of their URLs and FQDNs. We found that malware download sites are longer-lived than exploit sites. We defined the malicious FQDN score and thereby analyzed top-scoring FQDN, time-series, score distributions, and VirusTotals. Our analytical results are useful for deciding appropriate methods or periods for blacklisting malware download sites.

巨大なデータを分析して新たな知見を得，またそれを用いて個々の情報に対して有益なフィードバックを行うデータマイニングの技術を用いれば，例えば顧客の健康情報に対して適切な摂取カロリーなどの診断結果を返すサービスのような，有用なサービスを提供することが可能である．しかし，こうしたサービスを運用するに当たっては，顧客側の個人情報と企業側の知見の双方を秘匿したままで実行できることが望ましい．こうした問題に対し既存の研究として，データマイニングの分類器としてポピュラーとされる決定木を対象に，事前計算を用いて効率よく分類結果を算出するマルチパーティ計算方式が提案されている．本研究では，Oblivious RAMを用いることで既存方式から更に効率化させた決定木計算方式を提案する．

秘密計算とは、複数の参加者が各々の入力について何らかの（多変数）関数の値を計算する際、入力を互いに秘密にしたまま通信を介して関数値を計算する暗号技術である。ここで、例えば暗号化技術では悪い乱数を用いて脆弱な暗号文が作られるとそれを行った「本人の」平文の秘匿性が失われるが、秘密計算においてはある参加者が悪い乱数を用いるとその「本人以外の」参加者の入力の秘匿性が失われる、という別の可能性が考えられる。本研究では、semi-honestモデルにおける２者間秘密計算について、元々のプロトコルは安全であり、疑似乱数の値はほぼ一様分布であるにもかかわらず、ある参加者がその疑似乱数を用いると相手参加者の秘密の入力を特定可能となってしまう具体例を提示するとともに、こうした問題がどの程度防ぎ得るものであるかについて論じる。

マルチパーティ計算における安全性は通常，シミュレーションをベースに定義されている．小文では，この定義を統計学的および情報理論的な観点から再考し，幾つかの等価な定義を与えることで，それらのもつ意味を考察する．

近年、プライバシーを保護しつつ情報を処理することの重要性が高まっている。このような問題を解決する技術のひとつとして、秘匿計算が知られている。秘匿計算は，ネットワーク上の二者、あるいは多者間で、それぞれが秘密に保持する情報を用いて，プライバシーを守りながら計算を行い結果を得ることを目的とする暗号プロトコルである．本稿では，Maliciousな敵を想定した多者間において，和集合・共通集合の濃度を近似する多者間秘匿計算プロトコルの構成法を示す．提案プロトコルでは、参加者の所持する集合をBloom Filterを利用して表現し、改竄の検証に非組織Reed-Solomon符号を用いる．また、本プロトコルは、非組織Reed-Solomon符号における誤り訂正能力をkとするとき，k-1人までの参加者を支配できるようなMaliciousな敵に対して安全であり，改竄数tがt<(n-k)/2である場合において正しい出力を示す．

コンピュータネットワークにおけるノードや通信路は悪意ある敵によって破壊もしくは支配されているかもしれない． そのような時でも，正直者間で正しく情報をやりとりし、ある一定の値に合意することを考える． 不完全グラフにおいて合意問題を考えた場合に，正直者ノード であっても，破壊及び支配されているノードやエッジによっては他の正直者と正しく通信ができないノードが存在しうる． そういったノードを合意に参加させずに，残りの正直者で合意を行うというのがAlmost-everywhere agreementである (以下，A.e. agreementとする)． A.e. agreementはこれまで様々な場合の不完全グラフについて考えられてきたが，ほとんどが， あらかじめ与えられたグラフを考えており(Dworkら(1988)，Chandranら(2010)など)，グラフの組み合わせや拡張を考えたものはあまりない. そこで，正則グラフという一つのパターンを取り上げ，そのグラフに対して， Zig-zag積を用いることで，A.e. agreementを維持した，グラフの自由度のある 拡張を考えた.

Automotive software has reached a high level of complexity, and although there are many ways to improve software security, vulnerabilities are to be expected. Mitigations of such vulnerabilities are needed at a hardware level, and that is why HSMs are increasingly being introduced in automotive microcontrollers. This paper demonstrates how an HSM can improve several automotive security applications’ resistance to software vulnerabilities by making use of hardware features, such as hardware-key encryption. Example applications such as Secure Flashing, Secure Onboard Communications and Secure Boot are compared with their software-only counterpart.

Software in automotive ECUs is becoming larger and more complex; a modern vehicle contains more than 100 million lines of code. With increasing connectivity and advanced functionalities cyber threats targeting vehicles are becoming more prevalent. Attackers can exploit software vulnerabilities in automotive software to take control of a vehicle and potentially cause serious safety damage by, for example, disabling the brakes. Therefore, it is imperative to perform security testing during software development of automotive components to find and fix software vulnerabilities. We propose a method to enable cyber security testing of automotive ECUs by adding monitoring capabilities. We have built a test bench where a Security Testing Tool sends security test messages over an automotive network such as CAN to the ECU under test, and a Test and Validation Tool measures and monitors various values from the ECU to detect exceptions in the ECU behavior. We conducted experiments using an engine ECU and a gateway ECU. Using monitoring capabilities we were able to detect exceptions in the behavior on both ECUs. Based on the detected exceptions and corresponding information recorded by the Test and Validation Tool, it is possible for software developers to remedy software vulnerabilities before the ECU software is released and used in production.

As emerging trends such as connected car and automated driving allow external communications and input to interact with internal vehicle components, automotive cyber security has become a requirement. To this end, several security solutions have been designed and deployed in the automotive domain. Secure in-vehicle communication and gateway filtering are two such examples. In this paper, we present a method for performing security functional testing of automotive ECUs with the purpose of verifying the correct implementation of security features. We implement our security testing module on top of LABCAR, which is an ECU test and validation tool typically used for functional testing of ECUs. We showcase two examples of security functional testing: 1) verifying correct implementation of MAC generation/verification on an ECU, and 2) verifying correct implementation of filtering functions on a Gateway ECU. The results show that we are able to reuse existing ECU test and validation environments and add a security testing module on top of LABCAR to perform the security testing. The security module is flexible and could be extended to cover additional test cases and scenarios in the future. With the suggested approach, it is possible to detect potential implementation flaws or configuration mistakes in the security solution on an ECU at an early stage in the development phase, and thus the security testing can assist in providing assurance of a correct implementation of security features.

近年，自動車の制御システムに対する脆弱性事例が多数報告されており，高い安全性が要求される自動車の制御システムに対する攻撃を防ぐためのセキュリティ機能が検討されている．しかしながら，多くの評価手法を完全に実行するには，非常に時間がかかることが懸念されており，より効率的な評価手法や評価基準が必要とされている．このため，本論では，より効率的な評価を実現するためのフレームワークを提案する．

仮想環境を用いて自動車制御ソフトのセキュリティ脆弱性の解析・評価手法を提案する．車載制御ネットワークに広く利用されているController Area Network(CAN)プロトコルは，成り済まし等の攻撃に対して耐性を示すことがあり，ランダムな攻撃方法を用いてセキュリティ上の欠陥を見つける場合には効率が悪いことがある．仮想環境による検証では，制御ソフトの設計情報とソースコードを利用することが可能であり，この情報に基づいて，脆弱性を特定することができる．本論では，より効率的に脆弱性を特定するためにモデル検査技術を用いた上で，仮想環境上にて実ソースコードに対して行った評価実験の結果を報告する．

自動車におけるサイバーセキュリティ対策は喫緊の課題として認識されており、技術面および管理面から対抗策の検討が進められている。とりわけ、機能安全との両立が求められることから、自動車機能安全規格ISO 26262と協調しつつ、セキュリティ対抗策を行うためのガイドラインとして、SAE J3061が発行されている。SAE J3061が推奨するプロセスでは、まず、脅威分析およびリスクアセスメントを実施し、セキュリティ対策方針をサイバーセキュリティコンセプトとしてまとめることを求めている。 しかしながら、具体的な手順が示されていないため、適合が難しい点が課題である。そこで、本稿では、サイバーセキュリティコンセプトフェーズにおいて、機能安全とサイバーセキュリティ対策を合わせて考慮して、サイバーセキュリティ要求を導出する方法を提案する。

頑健符号とは，メッセージを符号化しその符号語が敵によって改ざんされた場合，復号結果が元のメッセージか元のメッセージと無関係なメッセージとなる符号である．つまり，符号語を改ざんして得られる出力から元のメッセージについての情報は何も得られない．頑健符号を秘密情報を用いて計算を行うシステムに応用することで，敵によって秘密情報が改ざんされても安全であるシステムが構築できると知られている．Dziembowskiら(ICS 2010)は，符号語の各ビットごとに独立した改ざんを行う敵モデルに対して具体的な方法で頑健符号を生成した．最近の研究では符号語をいくつかのブロックに分け，ブロックごとに独立した改ざんをする敵モデルに対しての具体的な生成が提案されている．本研究では，敵がアファイン誤りという先ほどのビットごとに独立した改ざんに加えて，あるビットを改ざんする際に，そのビットと他のビットとの加算した結果に書き換える改ざんを行えるモデルと考えて，Dziem bowskiらの頑健符号の構築方法がアファイン誤りに対しても安全であることを示した．

量子計算機が実現した状況において, 量子計算ができるだけでなく重ね合わせ状態のクエリ(量子クエリ)を発行するような攻撃者を想定することができる. 近年, ランダムオラクルに対して量子クエリを発行することができる量子ランダムオラクルモデルにおいて安全性を満たす公開鍵暗号がいくつか提案されている. 本稿では, 量子ランダムオラクルモデルにおいて, Signcryptionの一般的構成法をはじめて提案する. Signcryptionは公開鍵暗号とディジタル署名を同時に達成する方式であり, 提案構成法は量子ランダムオラクルモデルにおいて多人数モデルで強秘匿性と強偽造不可能性を達成する.

鍵改ざん攻撃に耐性をもつ暗号要素技術の多くは、攻撃者が公開パラメータを変更できないと仮定されている「共通参照情報(CRS)モデル」で安全性が証明されている。しかし、現実世界で鍵を改ざんできる攻撃者は、公開パラメータを改ざんできない、という保証は必ずしも無いため、攻撃者に対する制限を緩めた、CRSを仮定しないモデル(Plainモデルと呼ぶ)において鍵改ざん攻撃に対する安全性を保証できる暗号要素技術が望ましい。しかし、Plainモデルでの鍵改ざん攻撃は非常に強力であり、多くの暗号要素技術は、Plainモデルにおいて意味のある鍵改ざん攻撃に対する安全性を達成するのは、非常に困難であると考えられる。 本論文では、上記の否定的な直観を後押しするような結果を、ある種の"唯一性"や"検査可能性"を持つ基本的な暗号要素技術について示す。具体的には、署名や鍵に関する唯一性を持つ署名方式のPlainモデルでの鍵改ざん攻撃に対する安全性を、暗号理論で用いられる標準的な仮定に基づいてブラックボックス帰着により証明することは不可能であることを示す。さらに、同様の否定的な結果を公開鍵暗号方式についても示す。

Code-based public-key encryption schemes by McEliece and Niederreiter are the famous candidates for the post-quantum world. In this work, we study key-privacy (or anonymity) for these schemes in the standard model. Specifically, we show that the following two paradigms for constructing IND-CCA2 encryption yield IK-CCA2 encryption, if the underlying primitive satisfies IK-CPA under k-repetition: 1) The Rosen-Segev construction (TCC 2009), we instantiate it with the Niederreiter scheme; 2) The Dottling et al. construction (IEEE Transactions on Information Theory 2012), we instantiate it with both the McEliece scheme and the Niederreiter scheme. In our proof, we rely on an important observation by Yamakawa et al. (AAECC 2007) that the randomized McEliece encryption is IK-CPA in the standard model. As a side result, we show that the randomized Niederreiter encryption is IK-CPA as well.

With the aim to reduce the commitment size in code-based commitment schemes, we constructed a dual version of statistically binding scheme by Jain et al. (Asiacrypt 2012). Our scheme is proven secure under hardness of syndrome decoding. We also pointed out that perfectly binding variants of the above schemes follow directly from the Randomized McEliece encryption by Nojima et al. (Designs Codes and Cryptography 2008), assuming hardness of learning parity with noise as well as indistinguishability of permuted Goppa codes. Our key observation here is that perfect binding (as opposed to statistical binding) requires exact knowledge of the minimal distance of the underlying code. In addition, we provide a security evaluation of our proposals, and compare their performance to that of Jain et al.'s scheme.

Oblivious transfer (OT) is an important primitive in the arsenal of distributed protocols. The concept of ``oblivious transfer" (OT) was introduced by Rabin in [Technical Report TR-81, Aiken Computation Laboratory, Harvard University, 1981], while $1$-out-$2$ OT was suggested by Even, Goldreich and Lempel in [Communications of the ACM, 1985]. In $1$-out-$2$, the sender sends an ordered pair of elements $(x_0, x_1)$ into the $1$-out-$2$ OT machine. The receiver gives the machine a bit $\sigma$, indicating which input he would like to receive. The machine outputs $x_{\sigma}$ to the receiver and discards $x_{1 - \sigma}$. The sender knows that receiver has one of the bits but does not know exactly which one. Crepeau [Crypto 1987] showed that Rabin's OT is equivalent to $1$-out-$2$ OT. There are several variants of OT in the literature and some of them were proved to be equivalent by Brassard et. al. [FOCS 1986]. $1$-out-$2$ OT is directly extend to $1$-out-$n$ OT and $k$-out-$n$ OT. To state informally, in an $k$-out-$n$ OT, $receiver$ can receive only $k$ messages out of $n$ messages $(n > k)$ sent by $sender$; and $sender$ has no idea about which $k$ messages have been received. Thus, for $sender$ all combinations of $k$ messages are equally likely possible for $receiver$ to receive. It has various security applications. For example, in on-line transactions, a $k$-out-$n$ OT allows a buyer to privately choose $k$ out of $n$ digital goods from a merchant without learning information about other $n-k$ goods. $1$-out-$n$ OT is a special case of $k$-out-$n$ OT where $k = 1$. Combinatorial design is used in secret sharing and other crypto graphic primitive. According to the best of our knowledge, combinatorial design has never been used in the literature of oblivious transfer protocol. We are the first to use combinatorial design to construct $k$-out of $n$ Oblivious Transfer protocol. Combinatorial designs are very powerful tools that have long been used in the field of security and cryptography. It deals with the construction and study of structures built from elements of a finite set that follow a definitive pattern or symmetry. This specific pattern makes them interesting and is exploited in every applications of combinatorial designs. Combinatorial designs are well studied and there are many different constructions of the same available in the literature. In this paper we have made use of a $t-(n,k,\lambda)$ Symmetric Balanced Incomplete Block design for which there are many efficient construction available in the literature. In a nutshell, in this paper we present a conversion from $1$-out-$2$ OT to $k$-out-$n$ OT using combinatorial design. Moreover, this conversion is unconditional i.e., we do not use any cryptographic assumption.

The discrete logarithm problem (DLP) over GF(p^6) has been investigated for estimating the security of torus-based cryptography and pairing-based cryptography. The number field sieve (NFS) is known as the asymptotically fastest algorithm for solving the DLP. It is also known that, in the NFS, the sieving step takes most of the running time in practice, and much effort has been made for efficient algorithms and implementations. On the NFS for the DLP over GF(p^6), the optimal sieving dimension would be three, so three-dimensional sieve methods became more important. The line sieve and lattice sieve has been investigated for two-dimensional sieve, and extended for multi-dimension. The Franke-Kleinjung sieve, which is known as the fastest sieve method in practice, has been developed for two-dimensional sieve. In 2014, Hayasaka et al. proposed a 3D variant of Franke-Kleinjung sieve, but since they do not provide precise comparisons, it is still not clear the new method is more efficient than the others. In this paper, we shed light on that point. We implement line, lattice, and 3D Franke-Kleinjung sieve, and experiment on the DLP of some moderate sizes for precise comparisons.

We propose a generalization of exTNFS algorithm recently introduced by Kim and Barbulescu (CRYPTO 2016). The algorithm, exTNFS, is a state-of-the-art algorithm for discrete logarithm in ￥mathbb{F}_{p^n} in the medium prime case, but it only applies when $n=￥eta￥kappa$ is a composite with nontrivial factors ￥eta and ￥kappa such that ￥gcd(￥eta,￥kappa)=1. Our generalization, however, shows that exTNFS algorithm can be also adapted to the setting with an arbitrary composite n maintaining its best asymptotic complexity. We show that one can solve discrete logarithm in medium case in the running time of L_{p^n}(1/3, ￥sqrt[3]{48/9}) (resp. L_{p^n}(1/3, 1.71) if multiple number fields are used), where n is an ￥textit{arbitrary composite}. This should be compared with a recent variant by Sarkar and Singh (Asiacrypt 2016) that has the fastest running time of L_{p^n}(1/3, ￥sqrt[3]{64/9}) (resp. L_{p^n}(1/3, 1.88)) when n is a power of prime 2. When p is of special form, the complexity is further reduced to L_{p^n}(1/3, ￥sqrt[3]{32/9}). On the practical side, we emphasize that the keysize of pairing-based cryptosystems should be updated following to our algorithm if the embedding degree n remains composite.

In this work, we describe an improved method of solving certain parameters of the discrete logarithm problem with low Hamming weight product exponents and its application.

先行研究では、合成数Nがp=(DV^2+1)/4, D in {3, 11, 19, 43, 67, 163}という形の素因数を持つ場合Nは楕円曲線法により簡単にpを見つけることができることを示した。なおこのDは類多項式が１次となる判別式である。今回の発表では、類多項式が２次となるD in {35, 51, 91, 115, 123, 187, 235, 267, 403, 427}の場合も、多項式環の剰余環上で楕円曲線を考えることで、簡単にpを見つけることができることを示す。

In this paper, we study the security of multi-prime RSA with small prime difference and propose two improved factoring attacks. This variant modifies the modulus N to be the product of r distinct prime factors of same bit-size. At ACISP 2013, Zhang and Takagi showed a Fermat-like factoring attack that can directly factor N. In order to improve the previous bound, we utilize the information on all prime factors to derive r simultaneous modular equations. The first attack is based on combining r equations to solve one multivariate modular equation. Furthermore, since our factoring problem is formulated similar to multi-prime Φ-hiding problem introduced by Kiltz et al. (CRYPTO 2010), we can apply the optimal linearization technique presented by Tosu and Kunihiro (ACISP 2012). It is showed that our attacks can achieve better bounds than previous attack.

本論文では，顔認証におけるディープラーニングを用いたなりすまし対策手法を提案する．バイオメトリクスシステムの多くでは，カメラで撮影された画像を入力として個人認証を行う．特に，顔認証では，顔画像を入力とするため，カメラで顔を撮影することが必須である．一方で，顔画像は，本人がインターネット上で公開していることが多いため，印刷した顔画像やディスプレイに映した顔画像をカメラに入力させることで，簡単になりすますことができる．そのため，認証の前処理としての生体検知が重要である．紙に印刷した顔も実際の顔も同じ人物であるため，それらを識別するような特徴量を見つけるのは，困難である．そこで，本論文では，ディープラーニングを用いて実際の顔とそれ以外を識別する特徴量を検討する．一般に公開されている顔画像データベースを用いた性能評価実験を通して，提案手法の有効性を実証する．

生体認証ではプライバシー保護が重要である．そこで生体情報を秘匿したまま認証を行う秘匿生体認証方式が注目され，多くの方式が提案されている．秘匿生体認証方式の一つとして，準同型暗号と誤り訂正符号を用いた方式がBringerらによって提案されている．この方式は，Goldwasser-Micali暗号のXOR準同型性を利用して登録・認証時の生体情報のハミング距離を暗号化したままで計算することで認証を行う．しかし，この方式には，リプレイ耐性がない，誤り訂正符号の利用によりパラメータが制限されるといった問題がある． 本稿では，これらの課題の解決に向け，2つの方式を提案する．第一の方式は，Bringerらの方式をベースにリプレイ耐性を持たせた方式である．第二の方式は，誤り訂正符号を用いず加法準同型暗号のみを用いてパラメータの自由度を高めた方式である．提案方式は，既存のいくつかの方式に対し有効であった悪意のあるサーバがユーザの登録情報を用いて計算結果を偽造することで生体情報を推定する攻撃にも耐性がある．

二値ベクトル型の生体情報間のハミング距離によって認証を行ういくつかの秘匿生体認証方式に対し，任意のユーザになりすますことができる攻撃手法が知られている． 本稿では，この攻撃への耐性を持つ秘匿生体認証方式を提案する．提案方式は乗法準同型暗号を用いて構成される．さらに，二値ベクトル型の生体情報間のハミング距離によって認証を行う既存の秘匿生体認証方式と比べ，提案方式が高い安全性を有することを示す．

生体情報を秘匿しつつ生体認証を行う技術である，秘匿生体認証方式が多く提案されている．いくつかの既存方式では，サーバ・クライアント以外の第三のエンティティが，登録された生体情報と認証時に用いられる生体情報の間の距離を計算し，距離と閾値を比較することによって認証結果を決定している．距離と認証時に用いられた生体情報用いるヒルクライミング攻撃によって，登録された生体情報を復元できるため，これらの方式では第三のエンティティを信頼している． 肥後らは第三のエンティティによるヒルクライミング攻撃への耐性を持つ秘匿生体認証方式を提案した．しかし，この方式は，クライアントやサーバの計算量が閾値の大きさに強く依存し，閾値が大きい場合には効率的でない．そこで本稿では，ヒルクライミング攻撃に対して安全かつ効率的な秘匿生体認証方式を提案する．提案方式はサーバの計算量が閾値に依存せず，かつ，肥後らの方式と同等の安全性を有する．また，提案方式を実装し，評価した結果を示す．

生体情報を秘匿しつつなりすましを防ぐ秘匿生体認証方式が多く提案されているが，多くの手法で既存の生体特徴量の秘匿生体認証方式に際する，認証精度の低下や計算コストの増加といった問題を抱えている．本稿では楕円Elgamal暗号を用いた秘匿生体認証方式に既存の生体特徴を用いる場合の問題を整理するとともに，有効な生体特徴量について考察する．また，顔照合を対象に本提案方式の実装評価を行い報告する．

　生体情報を秘匿したまま認証するテンプレート保護型生体認証(BTP)の研究と実用化，標準化が進められている．本稿では，BTPを1:N照合（識別）に拡張したテンプレート保護型生体識別（BTPI）スキームを考え，BTPIに望まれる新たな要件として「効率性」と安全性（「DB復元困難性」「DBリンク困難性」）を定義する．次に効率性を満たすBTPIの具体的構成法として，AD(Auxiliary Dataが必要な方式と不要な方式をそれぞれ示す．更にそれらの安全性を評価し，AD不要な方式(Fuzzy Signatureベース)がDBリンク困難性を満たさない（容易に攻撃可能である）ことを示す．最後にFuzzy Signatureの改良方式を提案し，DDH仮定の下でDBリンク困難性を満たすことを証明する．

近年計算量的に安全な暗号のAESやRSAなどは広く使用されているが，その様な暗号が実装されたデバイスに対しサイドチャネル攻撃が脅威となっている．本稿では強力なサイドチャネル攻撃の一種であるテンプレート攻撃に着目した．従来のテンプレート攻撃は暗号デバイスの電力波形が正規分布に従うものと仮定して演算中の中間値の推定を行うが，本稿では演算中の中間値（ハミング距離）が時間パラメータ（電力波形）を持つガウス過程確率変数と仮定したモデルでのテンプレート攻撃を考察する．ガウス過程とは，時間パラメータを持つ確率変数のうち任意の部分集合が多次元正規分布に従うものであり，ある確率変数がガウス過程に従うと仮定することでその時間パラメータに対する確率変数の分布を回帰することが可能である．これにより，未知の電力波形に対するハミング距離の回帰が可能となる．本稿ではASIC上に実装されたAESの電力波形と対応するハミング距離を学習データとして利用し，従来のテンプレート攻撃に対する性能比較結果を示す．その結果学習データとして同じ波形数を用いた際には，一部のbyteを除いて従来のテンプレート攻撃より攻撃性能が高くなることがわかった．

本稿では，サイドチャネル攻撃に耐性を有する高効率な AES 暗号プロセッサの設計について述べる．本稿で着目するのは，Threshold Implementation (TI) と呼ばれるマスキング対策である．TI は従来のマスキング対策手法と異なり，差分電力解析 (DPA) に対する安全性をレジスタトランスファレベル (RTL) で保証することができる．一方で，TI はグリッチによるサイドチャネルリークを低減させるためにパイプラインを用いており，それによる面積や遅延のオーバーヘッドが無視できない．そこで本稿では，まず，性能および安全性の観点から最も重要となる S-box の1 階TI による新たな構成法を提案する．その上で，提案する構成法に加えて，合成体算術およびレジスタリタイミングの技法を組み合わせてバイトシリアル型の AES 暗号プロセッサアーキテクチャを設計する．論理合成の結果から，提案するAES プロセッサは，面積オーバーヘッドの増加なしで既存手法と比べて遅延を11--21%削減できることを示す．さらに，提案するAES 暗号プロセッサをFPGA 上に実装し，ウェルチの t 検定に基づく評価手法を用いてそのDPA 耐性を実証する．

近年，IoT機器のセキュリティへの関心が高まっており，認証と暗号化を同時に実現可能な認証暗号が注目されている。本研究で対象とするTWINE-OTRは代表的な認証暗号の1つである。一方で，ハードウェアセキュリティにおいて電力解析の脅威が指摘されている。しかし現在，TWINE-OTRを対象とした電力解析の研究は筆者らの知る限りにおいて報告されていない。そこで本研究では，TWINE-OTRに対する電力解析を提案する。提案手法では，階層的に電力解析を行うことで，秘密鍵の解析を行う。そして，FPGAを用いた評価実験により提案手法の有効性を実証する。

本稿では，AES-GCM などの認証付き暗号で用いられるガロア体乗算に対する サイドチャネル攻撃を，マスキング対策されたものに拡張する手法を提案する． ガロア体乗算へのサイドチャネル攻撃は，消費電力が極端な値を取る既知乗数を 選択することで，消費電力からの鍵推定をLPN（Learning Parity with Noise） 問題に帰着させる．提案手法では，マスキング対策が施された乗算であっても 並列に計算されるアンマスク値に着目することで，ハッシュ鍵の算出に必要なLPN問題を律詩気する． 本稿では，まず，マスキング対策をAES-GCMに適用し，既存攻撃に対して同対策が一定の効果があることを示す． その上で，マスキング対策が施されたAES-GCM へ適用できるよう拡張した攻撃を提案し，そ の有効性を計算量の観点から評価する．さらに，提案攻撃に対する対策について検討する．

近年，メモリ暗号化や車車間認証などのリアルタイム性が求められる応用において， 低遅延な暗号アルゴリズムが求められている．これに対して，PRINCEやMANTIS のような，１クロックサイクルで暗号化及び復号を行うアンロールドアーキテク チャに適した低遅延暗号が提案されている．それに伴い，様々な条件やシナリオ における同アーキテクチャへのサイドチャネル解析に対する安全性評価が必要と されている．これまで低遅延暗号に対するサイドチャネル解析においては，選択 平文型のシナリオ上での安全性評価はなかった．そこで本稿では，攻撃対象となる 回路の入力データを攻撃者が選択できる条件下でのサイドチャネル解析の脅威に ついて検証する．まず，サイドチャネル解析で利用する入力データの選択方法を 提案する．その上で，FPGA上にアンロールドアーキテクチャで実装したPRINCE及 びMANTISを用いた実験により，選択平文のシナリオでのサイドチャネル解析の有 効性を既知平文のシナリオとの比較により示す.

暗号回路から発生する電力や漏洩電磁波を利用するサイドチャネル攻撃が脅威となっている．本研究室では，特殊なROMを用いて消費電力を均一化するサイドチャネル攻撃対策回路や，スタンダードセルのリークを加速して評価するテストデバイスなどの試作を行ってきた．上記デバイスに対して電磁波攻撃を行うと，メモリ構造のレイアウトに基づいた幾何学的なGeometric Leakや，レジスタ（DFF）が保持する0/1値による微小なインピーダンス差を要因とした静的DFFリークが存在することを報告してきた．これらのリークは微小であるため，電磁界プローブの特性の把握と配置がリーク測定のために重要な要素となる．本稿ではまず，電磁界プローブの特性を特定の複数のワード線を活性化できるテストデバイスで評価を行い，単純なハミング重みなどのリーク測定に適した箇所と，位置に依存した情報リークの測定に適した箇所があることを示す．また，上記電磁界プローブの特性を利用してAES暗号回路に対してGeometric Leakと静的DFFリークを観測し，攻撃実験を行った結果を示す．

本稿では，紙に印刷あるいはモニタに表示された機密文をビジュアルハッキングから保護する新たな方式を提案する．従来方式として，文書に特殊な地紋を入れる方式と，フィルタや液晶の特性を利用してモニタの視野角を狭める方式がある．これらの方式は機密文を見えにくくする一方で，そこに機密文があることを示し，逆にビジュアルハッカーの興味をひいてしまう．よって本稿は，従来のような「見られないこと」を目指すのではなく，「見つからないこと」によるビジュアルハッキングの回避を目指す．そのために，人の視覚系における空間周波数による感度の違いに着目し，文章を近くから見る人に大きな影響を与えること無く，離れて見る人には機密文と関係無い画像が明瞭に見えるように文章と画像を重畳する．これにより，通りがかりなどの一定距離以上離れた人は，文章ではなく画像と認識し，機密文の存在が秘匿され，ビジュアルハッキングの意図の発生自体を回避できる．

The study of universal detector for fingerprinting code is strongly dependent on the design of scoring function. The best detector is known as the MAP detector that calculates an optimal correlation score, but the number of colluders and their collusion strategy are inevitable. We have proposed the scoring function equalizing the bias between symbols, which is called bias equalizer. In this study, we further investigate an efficient scoring function based on the bias equalizer under the relaxed marking assumption such that white Gaussian noise is added to a pirated codeword. The performance is compared with MAP detector as well as some existing universal scoring functions.

今日では，ソフトウェア保護手法として難読化がよく用いられてる． 中でも実装が容易であることから名前難読化は広く使用されている． 名前難読化は，ソースコード内のメソッドや変数名を意味を持たない文字列に変換する難読化方法である． しかしながら，名前難読化の有効性は検証されていない． もし名前難読化されたソフトウェアを名前難読化される前のソフトウェアに戻すことができれば，名前難読化によるソフトウェアの保護は無効化される． 本稿では，名前難読化によって変換されたメソッド名を逆変換し，意味のある文字列に変換することを復元と呼ぶ． 名前難読化の有効性を検証するために，まず，名前難読化されたメソッド名の復元を行う． 復元を行うために，ソフトウェア開発支援の一つである名前推薦法を使用する． 名前推薦法は，クラスやメソッド内部の特徴から，メソッドが示す働きに相応しいメソッド名を開発者に推薦する方法である． 本稿では協調フィルタリングを用いてメソッド名を推薦する． 大量のOSSを取得し，そのメソッド情報を教師データとして協調フィルタリングを行う． 用いるメソッド情報は，名前難読化では難読化されない情報とする． また，情報の出現頻度によって教師データをフィルタリングし，精度の高い復元を試みる． 本手法によって，77.5%の確率でメソッド名を復元できることがわかった． 一方で，18.0%の確率で誤ったメソッド名を推薦した． しかし，フィルタリングした教師データを用いた結果，メソッド名の復元率は39.9%と落ちるものの，誤推薦の割合は5.2%に下げることが確認できた．

プログラムの保護手法に難読化が提案されている．難読化とは，プログラムを意図的に分かりにくくする手法である． しかし，難読化を行うことにより，プログラムに不自然な特徴が追加されることがある． そして，追加された不自然な特徴により，プログラムが難読化されている事実が明らかになってしまう恐れがある． プログラムを不正に利用しようとする者に難読化されている事実が明らかになると，プログラムを解析する手がかりを与えてしまう． そこで，本稿では，難読化されたプログラムの特徴の不自然さの定量的な評価尺度を提案する． プログラムにおけるクラスは，他のクラスの機能を利用することで実装される場合が多い． そのため，クラスが利用しているクラスの情報を用いることで，クラスの特徴が求められると考えた． そして，その特徴を数値化するために，利用しているクラスの情報を用いてTF-IDFを求める． さらに，難読化されたプログラムと元のプログラムでTF-IDFの比較を行うことで，不自然さを評価する．

近年，ソフトウェアに対して違法コピーや無断ダウンロードが問題となっている． それらの攻撃を未然に防ぐため， 様々なソフトウェア保護手法が提案されている． 保護手法の中には，プログラムの理解が困難になるように変更する難読化がある． 難読化の中でも，本稿では世の中で広く使われている名前難読化に着目する． 名前難読化とは，メソッド名やクラス名を意味のない名前に変更する手法である． しかし，名前難読化はソースコードの名前のみを変更する手法のため，処理は変化しない． そのため，変数以外全く同じといった脆弱性が含まれる可能性が存在する． そこで本研究では，堅牢性を確認するため，名前難読化手法自体の攻撃耐性を評価する． 具体的な手法として，大量のメソッドをDBに構築する． そのDB内のメソッドの命令と名前難読化後のメソッドの命令を比較する． 比較した結果，類似度が一定以上だったらソースコードを見比べることで，一致性を確認する． その結果，どの程度類似していたら同一のメソッドと判断できるかを検証する．

本稿では、システムリソースモニタなどを利用して攻撃者(マルウェア)の計算能力を制限することを前提として、ユーザ領域に置かれたプログラムの改ざんを防止する方式について検討した結果について報告する。

我々は2013年から，ブロードバンドルータやデジタルビデオレコーダなどに対して感染を行うマルウェアが発生している事を報告し警笛を鳴らしてきた．急速に管理が杜撰なIoT機器が普及した結果，近年では1Tbps近い大規模な攻撃を行うまでに感染が拡大している．そこで，本論文ではNICTERプロジェクトで観測しているダークネット網を利用したIoT機器からの脅威を報告する．2013年からのIoT機器によるマルウェアの感染拡大傾向や，2016年9月頃より大規模感染を引き起こし，様々なDDoS攻撃に悪用されているMiraiボットの感染傾向を紹介する．

依然として，サイバー空間は攻撃側が有利な状況が続いている．この状況を打破するため，近年ではサイバー攻撃そのものだけでなく，その実行者（攻撃者）に注目した分析がされるようになっている．その一つに攻撃者の行動パターンの分析がある．攻撃者の行動パターンを把握することで，防御側はより効果的な対策を講じることができるとされている．本稿では，行動パターン分析の初期段階として，分析対象の攻撃が自動化されたものであるか，攻撃者が手動で行なったものであるか，という攻撃種別判別の指標となる特徴について検討する．具体的には，IoT機器を模擬するハニーポットで観測した攻撃を4 つの観点で分析し，IoT機器を手動で調査した際の通信キャプチャデータの分析結果と比較することでそれらが判別指標となり得るかを考察する．

ネットワークサービスの妨害を目的としたDDoS攻撃が全世界で増加しており，深刻な脅威となっている．DDoS攻撃には様々な手法があり，攻撃者はそれらを組み合わせて攻撃を実行する．特に最近では，IoTデバイスに感染したマルウェアがDDoS攻撃を行うケースが急増している．本研究ではハニーポットで収集したIoTマルウェア検体をサンドボックス内で実行し，DDoS攻撃の観測と分析を行った結果を報告する．実験では，実際にIoTマルウェアをC&Cサーバに接続し，攻撃の観測を行う観測実験とC&Cサーバからの応答を蓄積したダミーC&Cサーバを用いた攻撃再現実験を行う．前者の観測実験により，攻撃対象や頻度など実際に発生している攻撃の傾向を把握し，後者の再現実験により，様々なDDoS攻撃の通信内容等の詳細の分析を行う．

ルータ等のネットワーク機器の中にはTelnetなどの不要なサービスが動作していたり、管理画面のユーザ認証で初期パスワードが使用されているといった脆弱性が存在するものがある。インターネット上ではこれを悪用した大量のマルウェア感染が発生している。一方、インターネットから直接アクセスできないLANにおいても、これらの脆弱なネットワーク機器を悪用した攻撃が脅威となりうる。特に、ネットワーク機器のLAN側インターフェイスのセキュリティ対策は一般にWAN側より甘くなることが多いため、注意が必要である。例えば、高級ホテル、国際会議場など重要地点の有線・無線LANに一般ユーザとして接続し、ルータ等の機器を乗っ取ったり、設定変更を行っておくことで、盗聴や通信先を改ざんし悪意のあるサーバに誘導するといった攻撃が考えられる。この攻撃は重要地点に先回りして罠を仕掛けておき、特定のユーザを狙う標的型攻撃、すなわち、水飲み場攻撃の一種といえる。本稿では、この攻撃に対する国内重要地点の現状を調査するため、高級ホテル、国際会議場等の重要地点においてLANにおける脆弱性調査を行った結果を報告する。

脆弱性を悪用したサイバー攻撃により多くのIoT機器がマルウェアに感染している．本研究ではマルウェア感染状態のIoT機器に対して，コマンドによるシステム再起動，電源オフ，工場出荷状態復元という3つの操作を実施してマルウェアの駆除が可能であるかを検証する．7種類のIoT機器と計45のIoTマルウェア検体による実験の結果，いずれの機器、マルウェア検体についても上記の操作により駆除が可能であった．一方，マルウェア駆除後，これらの機器を再度インターネットに接続すると，最短で38秒でマルウェアに再感染した．そこでこれらの機器の設定を変更しTelnet経由での不正ログインを防止する方法を示す．この方法はファームウェア更新による根本的対策ができない機器への応急的措置として有効といえる．

Security attacks on IoT devices have been increasing explosively because many of these devices have not been well designed to consider security features. Security Information and Event Management (SIEM) technology is one of the solutions to tackling attacks on IoT devices. This paper proposes an edge-side SIEM for IoT with a Plug-and-Play manner. IoT environments are faced with specific challenges: 1) device-specific security and logging design, and 2) limited bandwidth with a large number of devices. We introduce an IoT SIEM Gateway to the SIEM platform to tackle these challenges. The Gateway is implemented by Data Format Description Language (DFDL), which is a key technology to receive device-specific event logs and detect anomaly situations with common rules. DFDL also enables auto-installation of various IoT devices to the platform by deploying DFDL schemas for each device. The Gateway can preprocess detected events at the edge before transferring them to Cloud. So the scalability of the SIEM platform can be improved even in limited bandwidth. We evaluate the Gateway’s connectivity and scalability with our first prototype. Additionally, we also prototype practical solutions on top of this SIEM platform which are applied to both network cameras and connected cars. It shows that our Gateway is extensible for a broad range of objectives.

クラウドなどの信頼できない第三者に予め署名付きで預けているデータセットに対して、準同型署名は与えられた計算式についてそのデータセットを計算した結果を保証する機能を提供する。 Boneh, Freeman EUROCRYPT2011 は計算式が任意次数の多項式に適用可能な準同型署名を提案しているが、安全性の仮定にイデアル格子上の一般的でないSIS問題を用いている。 本論文では、準同型署名が適用可能な計算式を2次多項式とした場合に一般的なSIS問題を安全性の根拠とする準同型署名の構成を示す。 この構成では乗算結果の署名を元データの署名ベクトルのテンソル積とすることで準同型性を実現する。 また計算結果に対する署名の安全性はべき乗関係にあるモジュラスについての2つのSIS問題の困難性に帰着される。 ここでは元データの署名をこの2つのモジュラスについての署名の組として、計算結果の署名に関するSIS問題を元データの署名の組に関する2つのSIS問題に還元することで本構成の安全性を示す。

鍵ポリシー属性ベース署名とは、鍵発行機関が、各署名者に対してポリシーと呼ばれる条件式を関連付けられた署名鍵を発行し、署名者はその署名鍵を用いることで、属性と呼ばれる情報を関連付けた電子署名を発行できる暗号要素技術である。このとき、各署名者はポリシーを充足するような属性についてのみ署名を作成でき、しかも、そのようにして作成された署名は、どの署名者がどのようなポリシーを用いて当該の署名を作成したか秘匿するという性質を持つ。本論文では、(1) 鍵に関連付けるポリシーを非決定性有限オートマトンを用いて記述でき、(2) 属性情報 (有限オートマトンの入力) の長さに対する事前の制限のない、初めての鍵ポリシー属性ベース署名を提案する。提案方式は、双線型群上において群構造維持署名とGroth-Sahai証明を用いることで構成されており、双線型群上におけるsymmetric external Diffie-Hellman仮定の下で安全性が証明される。

本稿で我々は， 追跡可能性を有する属性ベース署名を提案する． 本稿でいう追跡可能性とは，デジタル署名システムに対する権限機関がデジタル署名から そのデジタル署名を生成した個人を特定できる機能である． この機能の追求に当たり，はじめに我々は追跡可能な属性ベース署名スキームのシンタックス及び 安全性モデルを与える． 特に，追跡可能性及び計算量的プライバシーを定義する． 次いで，具体的に，追跡可能な属性ベース署名スキームを構成する． 我々のスキームは伝統的な Fiat-Shamir パラダイムにあり， 従って安全性証明がランダムオラクルモデルにあるものの， 従来スキームより効率が良い． 追跡可能性は強Diffie-Hellman 仮定に基づき， また，計算量的プライバシーは判定線形仮定に基づく． 主要な構成要素は， Boneh-Boyen-Shacham の知識の証明プロトコル （BBS-PoK, EUROCRYPT '04 ``Short Group Signatures''）である． BBS-PoKを， モノトーン述語についての証拠識別不可能な知識の証明のシグマプロトコル （Cramer, Damg\r{a}rd and Schoenmakers, CRYPTO '94） に組み込む． 加えて，複数のBBS-PoKを Pedersenのコミットメントで バンドルする． この技術は， プライベート秘密鍵を収集するという結託攻撃に対する耐性を 我々のスキームに持たせることを可能にする．

グループ署名では署名者が匿名であるがゆえに, 署名者の署名鍵がすでに失効されたかどうかを検証することは自明ではない. 一方で, メンバの離脱や署名鍵の紛失等を鑑みると, 現実のシステムにおいては署名鍵の失効は必須の機能であるといえる. そのため, どのようにして効率的に署名鍵の失効を行うかに関する研究は非常に盛んに行われてきた. その一つとして, Chuら (ASIACCS 2012) により署名鍵有効期限付きグループ署名 (Group Signature with Time-Bound Keys, GS-TBK) が提案されている. GS-TBKでは, 各署名鍵には有効期限が設定され, 有効期限が切れた場合は自動的に署名鍵が失効される. 署名者は現在時刻に対し有効期限が切れていないことを証明する. 署名鍵失効を効率的に行うことができる一方で, Chuらの方式では署名計算コストが期間長に依存するという欠点がある. 本論文では, 署名計算コストが期間長に依存せず定数であるGS-TBK方式を提案する. またRELICライブラリを用いた実装を与える.

検証者ローカル失効グループ署名（Group signature with verifier-local revocation, VLR-GS）[Boneh et al., CCS 2004]は， 失効機能付きグループ署名の一種であり，失効ユーザ情報を用いることなく署名を作成できるという利点を持つ． しかしながら，既存のVLR-GS方式は，グループ署名における標準的な安全性（完全匿名性）より弱い安全性しか満たさない． そこで本研究では，完全匿名性を満たす初めてのVLR-GS方式を提案する． より詳細には，完全匿名性を満たすVLR-GS方式を電子署名方式，鍵秘匿性を満たす公開鍵暗号方式，非対話型ゼロ知識証明システムから構成する． また，本結果はVLR-GS方式に対する初めての一般的構成を与えるものであるため， 我々の構成はVLR-GS方式を構成するための指針の一つになると期待される．

In PKC 2014, Langlois et al. proposed the first lattice-based group signature scheme with the verifier-local revocability. The security of their scheme is selfless anonymity, which is weaker than the security model defined by Bellare, Micciancio and Warinschi (EUROCRYPT 2003). By using the technique in the group signature scheme proposed by Ling et al. (PKC 2015), we propose a group signature scheme with the verifier-local revocability. For the security discussion of our scheme, we adapt the BMW03 model to cope with revocation queries since the BMW03 model is for static groups. Then, we show that our scheme achieves the full anonymity in the adapted BMW03 model.

Generating truly random numbers is important in cryptography. Von Neumann proposed the simple procedure for extracting truly random bits from a sequence of independent, identically distributed random biased bits about half century ago. The improved algorithms of the von Neumann's extractor were later proposed by Elias and Peres. In this paper, our experimental results show that the theoretical and empirical redundancy are almost the same in each extractor. Furthermore, we show the redundancy function of Peres's extractor with iterations more than or equal to 5 is not concave. Next, we show that the redundancy of Peres's extractor is much better than Elias's extractor under the same input size and the almost same running time.

NIST SP 800-22で定義される乱数検定ツールには，2001年の初版発効以降問題点が指摘され，一部は修正されてきた． 離散フーリエ変換を用いて乱数列の周期的特性を検定するDFT検定は，現在のNIST SP 800-22に含まれる15種類の乱数検定の一つであり, 未だに問題点を抱えている． それは，DFT検定で用いられる検定統計量の理論分布が導出されていないことである． 現状のDFT検定では，疑似乱数を用いて推定された検定統計量の分布が用いられており，「擬似乱数の乱数性に基づいた乱数検定法」という矛盾を抱えたものになっている． 本発表では，理論分布が求められる「パワースペクトルの経験分布の分散」について，その理論分布を導出し，それに基づいた新たな乱数検定法を提案する． また，提案手法の実験的評価を行い，提案手法が現行のNIST SP800-22のDFT検定と比較して高い検出力を持つことを示す．

NIST SP.800-22（以降NIST乱数検定とよぶ）は今日最も著名な乱数検定法である．しかし最終評価において曖昧さが含まれる．本発表では，はじめにNIST乱数検定に含まれる誤りの修正状況と，NIST乱数検定を用いた場合に合理的なランダム性を判定するための一手法を述べ，次いで，当判定法用いたMT19937,WELL19937a, テント写像ベースのPRNG, Linux標準のrandom(),の判定例を報告する．最後に課題を述べる．

楕円曲線上のペアリングと同種写像を共に利用できるフレームワークとして，同種ペアリング群（Isogenous Pairing Groups: IPG）の概念を提案する．さらに，IPG上の計算困難仮定として，Isog-DBDH仮定およびその変形 d-qIsog-DBDH仮定を導入する．IPG上でプレチャレンジ量子攻撃者に対して安全な(H)IBEとKP-ABEを提案する．その安全性は，d-qIsog-DBDH仮定に基づき，量子ランダムオラクルモデル（QROM）で証明されている．

超特異楕円曲線の同種写像 (超特異同種写像) の計算困難性に基づく, 擬似ランダム関数の構成を行う. 現在のところ, 超特異同種写像の計算は量子計算機でも指数時間必要であり, 提案方式は耐量子性を持つことが期待される. 本論文ではまず, SSCDH仮定 (超特異同種写像におけるCDH仮定) の一般化であるGSSCDH仮定を定義し, その仮定に基づく擬似ランダム関数の構成を与える. しかし, この構成は楕円曲線の定義体の標数pとして非常に大きいものを取らなければならないため, 効率が悪い. そこで第二の構成として, 著者ら (SCIS 2016) によって提案された, SIBD鍵共有方式を利用して擬似ランダム関数を構成する. 後者の方式ではpを大幅に削減できており, 効率化に成功している. いずれの方式も, NaorとReingold (FOCS 1997) によるGCDH仮定に基づく擬似ランダム関数を元に構成されている.

置換有理関数とは基礎体から自信への全単射となる有限体上の有理関数である。RSA多項式x^eやチェビシェフ多項式はその例であるが、非自明な置換有理関数を生成するのは容易ではない。本発表では、楕円曲線の同種写像を用いて暗号額的なサイズの有限体上でも効率よく生成する手法を紹介する。暗号への潜在用途も考察する。

同種写像問題の困難性を安全性の根拠とする暗号方式は, 耐量子暗号であると言われている. Jao らは, 2011 年に超特異楕円曲線の同種写像問題を安全性の根拠とする Diffie-Hellman 型の鍵共有方式 (SIDH 鍵共有) を提案した. SIDH 鍵共有は次数がある素数べきとなる同種写像を計算する必要があり, 2014 年に De Feo らによって, その計算が楕円曲線上のある定数倍写像と, ある小さい次数の同種写像計算の効率的な組み合わせにより高速化可能であることが示された. 本稿では, SIDH 鍵共有に必要な, 次数が素数べきとなる同種写像の計算について, 定数倍写像と小さい次数の同種写像の計算コストが等しい場合の De Feo らの効率的な計算法を詳細に述べる. さらに, その計算法の演算回数について, 漸近的な評価のみが与えられていたが, 我々はこの演算回数を明示的に与える.

半導体製品開発の外部委託が一般化しつつある中で，低信頼な工程によって仕様外の機能が実装されたハードウェアの存在が危惧されている.　これらのハードウェアはユーザの情報を漏洩させたり，サービスを使用できなくしたりするといったマルウェアのような脅威を作り出す.　そこで従来のソフトウェアベースのマルウェアと併せて，上記のようなハードウェアも総称してマルウェアと呼ぶことにする.　ハードウェアベースのマルウェア研究において様々なアプリケーションへの実装や脅威評価が行われているが,　ハードウェア乱数生成器(以下HWRNG)にマルウェアが実装されるリスクを体系的にまとめた研究は少ない.　一般的にHWRNGは，暗号学的に安全な乱数を生成するハードウェアとして,　暗号やデジタル署名のアプリケーションで使用されることが多い. 乱数を扱う暗号やデジタル著名では，その安全性が乱数の質に大きく影響される．そのためHWRNGにマルウェアが実装され，乱数の質が不正に下げられるリスクについて検討することは有益だと考えられる.　そこで本研究では，HWRNGに出力系列のランダムネスを低下させるマルウェアを実装し,HWRNGを利用するアプリケーションの安全性が低下することを示す.

ＩｏＴの端末をはじめとするセキュリティを必要とするシステムには、物理乱数生成器は必須の要素である．本研究では，ラッチベース物理乱数生成器に対する経年劣化評価を行う．高温，高電圧の高負荷環境下で長期間の加速劣化試験を行い，高いエントロピーの乱数を安定して生成できることを確かめた．

IoT技術の発展により，さまざまなデバイスがインターネットに繋がるようになった．それに伴い，ハードウェア・トロイを始めとする新種の脅威が出現し，デバイスの真正性評価はきわめて重要な研究課題となっている．新しい認証技術の取り組みとして，デバイスの真正性を物理情報を用いて確認するサイドチャネル認証が提案されている．サイドチャネル認証では，従来のチャレンジ・レスポンス認証におけるレスポンス情報に，デバイスから漏洩する電磁波情報を用いることで，高精度にデバイスの真正性を確認している．最初に提案されたサイドチャネル認証では，認証時の識別器の入力としてHD (Hamming Distance) モデルが用いられていた．これに対し本稿では，XORモデルを用いてサイドチャネル認証の性能評価を行った．FPGAを用いた実験結果を詳細に報告する.

インテル社製の最新CPUに搭載されたソフトウェア保護機能であるIntel Software Guard Extensions (Intel SGX)について，既存文献に基づいて調査・分析を行った．また，実際にIntel SGXの実験環境を構築し，本調査結果に関する実機検証を行った．

　本稿では、ハイブリッドクラウドにおけるプライバシー情報の漏洩防止方法を考察する。パブリッククラウドは処理能力が高いがセキュリティが弱い部分があるので、情報漏えいの可能性を考慮して、機密情報の処理はプライベートクラウドで行うという、ハイブリッドクラウド処理が提案されている。このハイブリッドクラウド上での大規模データ分析の手法としてSEMROD（Secure and Efficient HybriD Clouds）がある。SEMRODを用いたMapReduceフレームワークおよび、その高速化手法が考案されているが、いずれの手法においても、パブリック側のデータが流出した場合に、パブリック側にデータが存在しないという事実から、機密情報が一部漏れるという問題が存在する。この問題を解決するために、機密情報のみを持つデータには、パブリック側にダミーデータを挿入することで、機密情報の暴露を防ぐ方法を考察する。

コンテナをクラウド上でホストする場合、イメージをレジストリに登録してユーザ間で共有し、そのイメージをもとにクラウド上でコンテナを起動して利用する。イメージに含まれるパッケージにセキュリティ脆弱性がある場合や、セキュリティ設定に不備がある場合には、起動したコンテナの安全性が脅かされる。また、一度安全性が確認されたイメージに基づいて起動されたコンテナであっても、時間が経つにつれて新しい脆弱性が発見されたり、起動後の変更で設定の不備が生じたりすることもある。そのため、起動されたコンテナの脆弱性やセキュリティ設定の不備をモニタリングするとともに、問題が生じた場合にはどこにその原因があるかを特定できることが望ましい。本論文では、クラウド上での安全なコンテナ活用にむけたセキュリティ分析の自動化によってどのようにユーザのセキュリティ管理を支援するアプローチを示す。リスク分析とコンテナの変更検知と組み合わせることにより、多くのコンテナやイメージを管理するユーザの管理負担を軽減する。

近年，顧客のモバイル端末にインストールされた専用のアプリケーション・ソフトウェアを使って，顧客の取引金融機関からデータを取得し，それらを集計・加工して当該顧客に提供するサービスなどが提供されるようになってきた．こうしたサービスの提供主体は「TPPs（Third Party Providers）」と呼ばれている．一部の金融機関では，TPPsの取込みに向けて，自社のAPI（Application Programming Interface）を既にオープン化している．各国の金融当局も金融機関のAPIのオープン化について検討を進めている．TPPsが介在すると，金融機関が保有する顧客のデータに，TPPsもアクセスすることになる．また，金融機関サイドでは，APIのオープン化に伴い，通信路を新設する必要がある．このため，TPPsと金融機関は，新たなセキュリティ上のリスクを考慮し，その対応策を検討する必要がある．本稿では，APIを介してサービスを実施するシステムの基本的なモデルを想定し，そのリスクやセキュリティ対策について考察する．

近年IoT（Internet of Thing）に関する研究が活発になってきている。IoTにおいては、低負荷な処理で安全にデータを通信できなければならない。従来のセンサネットワークにおける暗号通信では、ノード同士が鍵を共有して収集した情報を転送し、中間ノードで復号をしてデータ集約しながら基地局までデータを送っていた。しかしIoT環境ではネットワーク構造の変更が頻繁に起こる可能性があるため、その度に鍵共有を行うのはノードに余計な負荷がかかってしまい電池消耗を早めてしまう。また、中間ノードでのデータ復号処理なども同様に電池消耗を早めてしまう。本稿では非対称秘密分散を用い、ノード間で鍵共有をする必要がなく、中間ノードにおけるデータの復号処理をする必要のないIoTに適したデータ集約の方式を提案する。

多数のデバイスを接続したIoTシステムの脆弱性が、問題になってきている。特に、複数のIoTシステムをまたいだ機器の間で安全に接続するために必要となる、鍵発行配布サーバを、より確実に守る必要がある。この際に、前提条件として、(A)安全性、 (B)スケーラビリティ、(C)クライアントのリソース制限への対応、が必要になる。既存の方式では、(ア)脆弱性を突かれやすい、(イ)スケーラビリティを確保しにくい、(ウ)無効化リストが膨大になりやすい、ことに問題があった。 　これらの問題を解決する実現手法を検討した。鍵発行と鍵配布を区別して行う仕組みを示し、鍵配布については、3種類の配布方式を考察した結果、IBE方式が適していることを示した。 　これらから、IBEの新しいユースケースとして、IoT向け鍵管理における鍵配布での利用を提案する。

In this paper, we discuss how to provide MQTT with security by the AugPAKE protocol.

内積演算は統計処理における最も基礎的な演算のひとつである．統計処理を外部委託する場合にはデータの保護が重要な課題であり，その課題を解決する手法として準同型暗号が知られている．本研究では，行列のトレースの性質を用いて，一般的な準同型内積演算の構成方法を提案する．提案手法を既存の(Ring-)LWE ベース準同型暗号方式に適用することで，既存の準同型暗号によるセキュア内積より効率の良い演算方式の構成が可能となる．

Homomorphic encryption allows us to perform various calculations on encrypted data. In this paper, we propose efficient packing method for secure and fast matrix multiplication over Ring-LWE using somewhat homomorphic encryption scheme proposed by Brakerski and Vaikuntanathan (CRYPTO 2011). Packing method is an excellent way to make encryption scheme more efficient. To achieve the efficiency for the matrix multiplication in cloud computing , we propose a new method to pack a matrix into a single ciphertexts so that it also enables efficient matrix multiplication over the packed ciphertexts. Our packing method generalizes Yasuda et al.’s methods (Security Comm. Networks 2015 and ACISP 2015), which are for secure inner product moreover we implement our method as well as previous method to give a comparison side by side for encryption, multiplication of ciphertext and decryption.

2013年にFangらは、プライバシー保護データマイニングに 関する問題に完全準同型暗号を適用するため、離散対数ベースの 完全準同型暗号を構成し、それを基にプライバシー保護線形回帰 モデルを構成した。しかし、構成した完全準同型暗号の安全性に 関しての議論はなされていない。 　本稿では、Fangらが提案した準同型暗号の安全性と線形回帰モデルの 問題点についてまとめる。具体的には、彼らが完全準同型暗号と 主張していた暗号は、演算回数に制限があるため完全準同型暗号 ではないことを示し、、選択平文攻撃、既知平文攻撃などの 攻撃に対する安全性解析を行った。 さらに、Fangらの線形回帰モデルの問題点についても考察し、 いくつかの問題点については改善策を提案した。

In this paper, we construct "subring homomorphic encryption scheme" that is a homomorphic encryption scheme build on the decomposition ring which is a subring of cyclotomic ring. In the scheme, each plaintext slot contains an integer in Z/p^l Z, rather than an element of GF(p^d) as in conventional homomorphic encryption schemes on cyclotomic rings. Our benchmark results show that the subring homomorphic encryption scheme is several times faster than HElib for plaintexts composed of modulo p^l slots, due to its high parallelism of slot structure. We believe in that the plaintext structure composed of modulo p^l slots will be more natural, easy to handle, and much more efficient for many applications such as outsourced data mining.

本論文では、ある種の高次連立方程式の求解困難性に安全性の根拠をおく耐量子鍵共有方式を提案する。本方式は多変数写像を利用することにより、Honestな参加者の下で実現されたプロトコルについて、送信データを観測できる敵が共有鍵を復元できないという意味で証明可能安全となる。

ZHFE, proposed by Porras at el. at PQCrypto’14, is one of the very few existing multivariate encryption schemes and a very promising candidate for post-quantum cryptosystems. The only one drawback is its slow key generation. At PQCrypto’16, Baena et al. proposed an algorithm to construct the private ZHFE keys, which is much faster than the original algorithm, but still inefficient for practical parameters. Recently, Zhang and Tan proposed another private key generation algorithm, which is very fast but not necessarily able to generate all the private ZHFE keys. In this paper we propose a new efficient algorithm for the private key generation of the ZHFE scheme. Our algorithm is in practice very fast compared to that of Baena et al. We also estimate the number of possible keys generated by all existing private key generation algorithms for ZHFE. Our algorithm generates as many private ZHFE keys as the original and the Baena et al.’s one. This makes our algorithm be the best appropriate for the ZHFE scheme.

多変数多項式暗号とは、公開鍵が多変数の２次形式の集合になっている公開鍵暗号方式の総称であり、耐量子暗号の候補のひとつになっている。平文に対応するパラメータを２次形式の変数に代入することで、暗号化・証明認証が行われるため、一般的に公開鍵のサイズが比較的大きいものの、暗号化・署名認証が効率的であることが知られている。本講演では、いくつかの平文をまとめて暗号化する、という状況下で、暗号化・署名認証の計算量をさらに軽減するやり方を提案する。

As we know that currently widely used public key cryptosystems such as RSA, DSA and ECC can not stay secure forever, and especially with emergence of quantum computers, they are even more threatened. So we need alternatives to resist those computers, multivariate public key cryptosystems, as one of the quantum resisting cryptosystems, have been researched since 1980's. Among the multivariate signature schemes that were proposed, a lot of them are proved to resist all kinds of attacks, however, even many attempts about multivariate encryption schemes have been proposed, but unfortunately they were all proved insecure against some known attacks, such as rank attacks, linearization attack, differential attacks, etc. At PQCRYPTO '13 in Limoges, Tao, Diene, Tang, and Ding proposed a very simple and efficient multivariate public key encryption scheme based on matrix multiplication, which seems to avoid all known attacks. Later in 2016, it appeared a attack by Gu, which asks to reconstruct and solve a linear system that yields from regarding elements in private key as variables. In addition, he claims that breaking simple matrix can be achieved in polynomial time. In our paper, we take a closer look at Gu's attack, and reanalyze the complexity of this attack and give the experiment results of this attack.

Multivariate public key cryptography is one of the main candidates for cryptosystems in the era of large-scale quantum computers. At Inscrypt 2015, Nie et al. proposed a new multivariate signature scheme called CUOV, whose public key consists both of quadratic and cubic polynomials. However, the scheme was broken by an attack of Hashimoto. In this paper we revisit the CUOV scheme and propose a new multivariate signature scheme SVSv whose public key consists of only quadratic polynomials. Our scheme SVSv is secure against Hashimoto’s attack and all other known attacks on multivariate schemes. Especially SVSv is very efficient and outperforms current multivariate signature schemes such as UOV and Rainbow in terms of key and signature size.

本稿では，有限体上定義された順自己同型写像（tame automorphism）の置換としての符号を考察する．

Threats to a society and its social infrastructure are inevitable and endanger human life and welfare. Resilience is a core concept to cope with such threats in strengthening risk management in spite of incidents of any kind. This paper discusses the secondary use of personal information as a key element in such conditions and the relevant process mining. It realizes a completeness in an acceptable manner to mitigate a usability problem by secondary use of personal information. Even though, acceptable soundness is still realized in our scheme for a fundamental privacy-enhancing trust infrastructure. Our work approaches the Ground Truth for a personal predictive IT risk management by process mining with the block chain technology and privacy-enhancing mechanisms.

　本研究では，高額医療・高額介護合算療養費制度等における「自己負担額の世帯合算および現物給付サービス」の仕組みを電子的に実現する方法について，セキュリティ面からの検討を行った。より具体的には，暗号化状態まま計算が可能な秘密計算と呼ばれる技術を同制度に適用する為の要件を定義した。また，その要件より同制度への適用には，多対多の暗復号可能な秘密計算プロトコルの必要性を導き出し，CSS2016にてその実現方式を提案した。しかし，その提案方式は加法準同型の性質を持つPaillier暗号をベースとしている為，先の要件を満たしつつ剰余演算を行うことができなかった。 　本論文ではCSS2016での方式を改良し，四則演算が可能なSomewhat Homomorphic 暗号への適用を試みた。本改良により，総和の計算だけでなく，剰余演算を必要とする平均値などの計算も可能となり，同制度への要件を満たしつつ，より複雑なサービスへの適用が期待できる。

スマートフォンやタブレットなどのモバイル端末の普及による，モバイルソーシャルネットワークの急速的拡大に伴い，そこでの友達のあり方に関心が集まっている．見ず知らずの人とネット上で直接会って友達を探すことは気が進まないし，自分のプライバシー情報を秘匿せずに使って友達を探すことは危険である．これまでに，プロフィールを秘匿したまま共通項目を求めたり類似度を計算し，その上で友達としての条件を満たしているか否かを判定するという秘匿マッチングが多く提案されている．本稿では，友達としての条件を共通項目数の閾値とし，互いに条件を満たす場合に限りマッチと運営サーバが判定する二者間の秘匿マッチングプロトコルを提案する．さらに，マッチしたらどの項目が共通したのかを検証するためのプロトコルも提案する．ユーザや運営サーバはsemi-honestモデルと仮定し，プロトコルの途中でプライバシー情報やマッチングの結果を推測できないようにプロトコルを設計する．なお，ユーザはプロフィールなどのプライバシー情報を自己管理するため，運営サーバが攻撃を受けても秘密鍵やプライバシー情報を漏えいすることは決してない．

集計票は公的調査データを分析する際の基本となるデータ形式であり、元の個票データの機密情報を保護するために度数ルール、占有性ルール等、様々な安全性指標が提案されている。またそれらの指標は政府が公的調査情報に関する様々な集計表を公開する際の安全性基準として長年運用されている。しかし近年、公的調査データが学術研究等における２次利用の機会が増えるにしたがい、類似する集計表の差分から機密情報が漏洩する問題が指摘されている。本論文では複数集計票に関する差分攻撃を紹介し、その解決策を議論する。

個人に関わるデータの公開や提供にあたっては，開示されたデータから個人のプライバシーが漏洩することを防ぐ必要がある．そのプライバシー保護の基準として，任意の攻撃者に対して数学的な強い安全性保証を持つ差分プライバシーが注目を集めている．しかし，差分プライバシーを満たすためのデータへの摂動の付与は，たとえば「負の人数」など本来ではありえない，矛盾したデータを出力させうる．そのため，実用的な観点からはそれらの矛盾を解消するようなデータの補定，すなわち精緻化を施す必要がある．その手段として負値の切り上げやサンプリングなどの手法が知られているが，最適な方法や条件は自明ではない．また，計算量がデータの次元数の多項式時間となるなど，高次元データを扱うことが実際には困難であることが多い．本稿では,二乗誤差最小化の意味で最適性を持つ精緻化が満たすべき条件を示すとともに，差分プライバシーの保証と最適な精緻化をデータの次元数に依存しない計算量で与える新しい差分プライバシーのメカニズムを提案する．また，提案方式の出力が, Cormode らによる短絡法などの従来技術に比べ,同じプライバシー条件でより精度が高い出力を与えることを示す.

近年、ビッグデータの利活用促進が叫ばれる中において、プライバシを保護したままデータの解析等を行うプライバシ保護データマイニング(PPDM)の重要性がより高まってきている。 現在、匿名加工されたデータの安全性を評価する指標としてk-匿名性や差分プライバシが提唱されているが、これらの手法を併せて同一の基準の上で評価する手法はいまだ確立されていない。本稿では、現在提唱されているこれらの安全性評価指標を比較検討し、匿名加工データにおいてある個人が再識別されるリスクを定量的に評価する手法について考察する。

暗号機器においてサイドチャネル攻撃への耐性評価コストが増大している．その原因は，現在の耐性評価において鍵解読に必要なサイドチャネル波形数が安全性の指標とされていることにある．筆者らは耐性評価コストの削減を目的として，サイドチャネル波形の信号対雑音比(SNR)を設計指標とする安全設計法の確立を目指している．既存手法であるSNRから相関係数を予測する手法，および仮説検定を利用し相関係数から鍵解読に必要な波形数を予測する手法の2つを組合せ，SNRを指標とする設計手法の確立を目指している．本報告では，SNRが設計指標となり得ることを検証するため，まずSNRの測定法を検討した．SNRは，波形に含まれる信号成分とノイズ成分の分散を波形測定時のアベレージング回数を十分に大きくすることで別々に抽出した結果から算出した．この方法で算出したSNRを用いた相関係数および鍵解読に必要な波形数の予測結果が実測結果に対して概ね一致したことから，SNR測定法の妥当性を示した．なお，攻撃シナリオはFPGAに実装したAES暗号の秘密鍵16 Byteに対する相関電力解析とした．

DPAやCPAといったサイドチャネル解析手法では，暗号中間値に依存する微小なリークを検出するために，統計処理により雑音成分を除去する．その解析効率は信号対雑音比(SNR)に依存しており，雑音成分を低減できればより少ない波形数での解析が可能となる．本稿では，同一の中間値が単一波形内の複数時刻でリークしている場合に，それぞれ時刻のリーク値を重み付けして合成することで雑音成分を低減できること，その重み付け比にはSNRを最大化する最適値が存在することを示す．また実機データの合成における，理論値との差異と最適な合成手順も示す．

暗号モジュールのサイドチャネル攻撃に対する安全性評価手法を定めた国際標準ISO/IEC　17825が2016年に制定された．その中で共通鍵暗号のリーク情報の検出には，既知の内部状態に基づいて分類した電力・電磁波形と，ランダムな波形の間に平均や標準偏差に有意な差があるかどうかを調べるウェルチのT検定を用いた解析手法が用いられる．本稿では，このT検定の有効性を90nmのCMOSスタンダードセルライブラリを用いて暗号LSI上のサイドチャネル攻撃対策済のAES回路により検証した．さらに，内部変数データのハミング重みを意図的に操作することでリーク情報を強調する手法をT検定に導入した．その結果，解析精度が高まり，必要な波形数を減らせるだけでなく，標準のT検定では得られなかったリーク情報が検出できることを示した．

暗号回路の近傍に電磁プローブを接近させ、処理中の漏洩電磁波を取得・解析することで秘密鍵を盗み取る近接電磁波解析攻撃が深刻な脅威となっている。対象電磁場に一切の外乱を与えず観測を行うのは物理的に不可能であるという着想から、電磁プローブの接近を場の外乱として検知する電磁波解析攻撃センサを開発した。本論文で、検出レンジを延長した高感度の攻撃センサを提案する。数10cm径のコイルで数m先の金属を検出できる金属探知機の原理をマイクロスケールに縮小応用し、数100μm径のセンサコイルで数mm先のプローブ攻撃を検出する。センサコイルは、重なっているが結合していない誘導平衡状態の2つの発振器型コイルを備え、攻撃に伴う平衡状態の乱れを発振周波数もしく発振振幅のずれとして検出する。三次元電磁界シミュレータを使用した解析に基づいて提案センサを設計し、0.18μm CMOSプロセスにて試作したテストチップによる実測で、センサの正常動作の確認及び攻撃の検出に成功した。攻撃の検出範囲は従来比の5倍の0.5mmまで延長することができた。

本研究では，CRT-RSA暗号に対してサイドチャネル攻撃を行い，秘密鍵を復元する手法について述べる． サイドチャネル攻撃では，秘密鍵を用いた演算の電力波形を観測し， 電力波形を演算の実行履歴に変換することで，秘密鍵を求めることができる． しかし，電力の測定精度が悪いと，電力波形を演算に変換するときに誤った演算に変換され， 秘密鍵を正しく求めることができない． そこで，本研究では，CRT-RSA秘密鍵の演算の実行履歴が誤りつきで得られた場合について考察する． CRT-RSAの秘密鍵を復元する先行研究として，コールドブート攻撃を用いた研究が数多く行われてきた． 先行研究では，秘密鍵のビットで，情報の消失や誤りを含んだものが得られる場合について考察していた． ここで，ビット情報と演算の実行履歴は一対一に対応しており，先行研究と本研究の問題設定には関連性がある． 本研究では，CRT-RSA秘密鍵のビット情報が誤りつきで求まっているときの鍵復元アルゴリズムを基にして， CRT-RSA暗号のべき乗計算における演算の実行履歴が誤りつきで得られるモデルでの鍵復元アルゴリズムを構成した．

RSA暗号の秘密鍵が，アナログ情報として漏洩したときの安全性に関して議論する．CHES2014で，Kunihiro and Hondaは，まず，漏洩モデルを確率分布を用いて定義し，その確率分布が完全にわかっている時に有効なアルゴリズムおよび，何もわかっていない時に，有効なアルゴリズムを提案している．前者のアルゴリズムには，実際の攻撃の状況では，確率分布が正確にわかるとは限らないという問題点がある．この論文では，確率分布の正確な分布ではなく，その近似がわかっている場合でも，少しの修正でアルゴリズムは動作すること，近似の精度が悪くなると，解読できるための条件が悪化することを示した．後者には，漏洩が非対称に行われる時には性能が悪いという問題点があった．SCIS2015で，高橋と國廣は，確率分布の分散を用いることにより，非対称の場合でも動作するアルゴリズムを提案し，数値実験により有効性を示している．この論文では，解読できるための条件を理論的に導出し，SCIS2015で示した方式が最適であることを証明する．

現在，スマートフォンの情報漏えい対策として端末ロック方式が用いられている．しかし，既存のロック解除方式では，認証場面を覗き見られた場合に認証情報の特定が容易になるという問題がある．本研究では，携帯端末に標準的に搭載されている振動機能を活用したロック解除方式を提案し，安全性とユーザビリティに関する有効性を検証する．提案手法は，端末振動で形成されたパターンを用いることで，端末を把持している利用者にのみ必要な情報を伝え，覗き見による認証情報の特定を困難と するという特徴を持つ．

スマートデバイス機能制御システムは，タブレットなどの端末が取得するwifiや日付の情報によって，端末のアプリケーションの利用制御やコンテンツの閲覧制御を行うシステムである．本システムの制御には，公開鍵暗号の発展系であり，複数の論理式(AND/OR)の組み合わせで復号条件を指定可能な暗号化方式である関数型暗号を利用している．従来のシステムは，鍵の漏洩リスクを考慮し，マスター鍵はサーバで管理し，システム利用時に端末の環境に合った復号鍵を鍵管理サーバ上で生成し端末へ送付するという，ネットワーク接続を前提としたシステムであった．本稿では，従来のシステムでは実現できなかったネットワーク接続のない環境下での端末の利用制御に関するニーズに対応するため，キャッシュ鍵を利用した方式を提案する．提案方式におけるキャッシュ鍵の利用判定ロジックの検討，提案方式の有効性評価を行った．

移動端末からの通信では、傍受された複数の送信パケットの関連性を解析され、行動履歴が漏えいする恐れがある。本稿では、通信内容のプライバシが保護された移動端末のサーバに対する認証方式について提案する。提案方式では、移動端末毎に異なる鍵を配布し、メッセージ認証符号(MAC)への入力を時刻情報など通信せずとも共有されているが毎回異なる情報を用いる。これにより共通鍵ベースの効率性を保ち、移動機器の鍵漏洩の影響がその機器のみにとどまり、サーバ側での検証を移動端末数Nに対しO(N)回のMAC検証程度で済ませながら、送信パケットの識別不能性が保証される。

Androidのアプリケーション(App)の中には，ユーザの識別情報を基に広告を表示するような広告モジュールやゲームエンジンなど，外部モジュールが組み込まれているものが存在する．外部モジュールの中にはユーザに無断でユーザの識別情報を取得し蓄積するものが存在し，これが個人の特定を可能としてしまうなどのプライバシー侵害の可能性が指摘されている．この問題を解決する手段として，マーケット運営側等の第三者が動作検証をすることによる対策が考えられる．動作検証によって，実際にAppを動作させ問題となる挙動（API呼び出し）をしていないかを試験し，違反がある場合にはマーケットに掲載しない，作者に注意喚起をするといった対処が可能となる．本論文では，動作検証のために，API呼び出しを記録する手法を提案する．具体的には，Appの実行コードへ，スタックトレース情報とAPIの利用内容をログ出力する処理を追加し，API呼び出しのログ取得を実現する． その実装と基礎評価について述べる．取得されたログを解析することで，違反となる挙動が検出可能となる．

Android端末上で動作するアプリケーション(App)には，広告モジュールやゲームエンジンなどの外部モジュールを組み込んだものが多い．外部モジュールの中には，利用者個人に関する情報を無断で外部へ送信する情報収集モジュールが存在し，それらによって個人情報などの漏えいにつながる可能性が指摘されている．この問題への対策として，マーケット運営者などによる第三者検証を行い，Appの公開の取りやめや開発者への注意喚起などを実施するシステムが提案されている．第三者検証を行うためには，利用者情報の取得や外部との通信を行うモジュールを正確に特定する必要がある．本論文では，情報収集モジュールによる動作がAPI呼出しによって行われることに着目し，JDWPと呼ばれるJavaのデバッグインタフェースを利用したAPIトレース手法を提案する．JDWPを利用することで，Androidのバージョンに依存せず，解析の適用コストが低いAPIトレースが実現できる．

Androidアプリを配布するマーケットには，Google Play公式マーケットの他にも数多くのサードパーティーマーケットが存在する．サードパーティーマーケットの運営母体は多岐にわたり，それぞれの運用形態も様々である． したがって，それらサードパーティーマーケットの安全性や健全性は明らかではない． 本研究は全世界に偏在するサードパーティーマーケットの実態を明らかにすることを狙いとする． 合計27のAndroidアプリマーケットから約470万件体のアプリデータを収集し，マーケットごとにセキュリティや健全性の観点で分析を行った．また，独自に定めた指標によりマーケットごとの安全スコアを算出し，安全性と影響度の可視化を行った．その結果，これまであまり研究対象とされていなかったマーケットではウイルススキャンが行われていない割合が高かったこと，中国系マーケットのように特定のマーケット間でのマルチリリースが行われていること，ユーザに与える影響範囲が大きいにもかかわらず安全性の低いマーケットが存在すること等を明らかにした．

大規模な組織を対象とした標的型攻撃では，標準のHTTPを用いて遠隔操作を実施するRATがしばしば使用される． 特に通信内容に特徴的な文字列を含まないRATは，通信先が判明していない限りパタンマッチングで検知することは困難である． RATの通信を検知するためのこれまでの多く手法は，パケット単位でのネットワーク監視を必要としている． しかしながら，全パケットの長期間の保存は困難であり，フォレンジック作業においてこれらの手法を適用できる機会は非常に限られている． そこで，プロキシサーバのログに記録されたRATの受信サイズや間隔等の挙動から特徴ベクトルを作成し，サポートベクターマシンまたはランダムフォレストによりRATを検知する手法を提案した． 本稿では，実際の標的型攻撃の痕跡を含むログからデータセットを作成し，交差検証の後，Precision，RecallおよびＦ値を算出して提案手法を評価した． その結果，ランダムフォレストを用いた提案手法では，標的型攻撃に用いられる主要なRATを高精度で検知できることが判明した．

近年，特定の組織が保有する高価値な情報資産を狙うサイバー攻撃の一種である，標的型攻撃の脅威が増加している．標的型攻撃では，RAT (Remote Access Trojan) と呼ばれる遠隔操作型のマルウェアが用いられる．RAT の侵入手法は洗練化が進んでおり，感染を未然に防ぐことは極めて困難である．したがって，RAT の感染を，感染後の早期段階において検知するアプローチが重要となる．しかしながら，RAT の早期検知という観点での研究は数少なく，既存の手法が RAT の早期検知において実用的であるかどうか明らかでない．本研究では，ソフトウェアの通信挙動に対して機械学習の手法を用いることで，RAT の感染を端末上において早期検知する手法を提案する．ソフトウェアの複数の初期段階通信をもとに悪性通信の判断を行う本提案手法では，RAT の感染を高い精度で検知できるだけでなく，正常のソフトウェアを RAT と誤検知する確率も低いため，RAT の検知システムとして実用的である．更に，RAT を検知した際には実行ファイルの場所も特定することができ，攻撃の対策を迅速に行うことが可能となる．

Microsoft社が提供するActive Directory（以下AD）は Kerberos認証を実装するディレクトリ管理サービスの一つでエンタープライズ環境において広く利用されている。組織のユーザやリソースを一元的に管理できることからサイバー攻撃の対象となりやすく、特にドメイン管理者権限が狙われる傾向にある。また、AD ではKerberos 認証やNTLM 認証が利用されるが、これらの認証方式はセキュリティの観点からは十分な攻撃耐性を持たないため、攻撃者に悪用されることが多く、対策や検知手法についても複数の製品やドキュメントが公開されている。本稿では、インターネットにおいて公開されている AD に対する攻撃情報や、対策や検知手法に関する情報等の収集、整理、分析を行い、ADを攻撃から守る網羅的なアプローチを紹介する。

　近年，標的型攻撃が巧妙化，多様化しており，組織内ネットワークへの侵入を完全に防ぐことが困難な状況となっている．そのため，標的型攻撃によりネットワークに侵入されることを前提とした対策が求められている． 　本研究の目的は，標的型攻撃に対して，標的となった際の攻撃を失敗させ，また，標的となることを回避するための欺瞞手法の基礎を確立することである．そして，攻撃通信を遮断しアラートを発することを基本とした従来の受動的な防御戦術に，欺瞞を用いた能動的な防御戦術を組み込むことで，防御戦術の幅を広げることを目論む．標的型攻撃は偵察から目的実行までいくつかのステップに分けて実行されるが，本研究ではそれらをモデル化したのち，偵察段階（組織内ネットワーク侵入後含む）における欺瞞手法を提案・実装し，その効果を評価し有効性を示す．具体的には，代表的な偵察ツールであるnmapの，ポートスキャン，OSスキャン，サービスバージョンスキャンをだますプログラムを実装・実験し，その遅延，コスト，リスク，有効性を評価し，提案手法が攻撃者の攻撃コストを上昇させることを示す．

長期の諜報活動や内部犯などの増加から攻撃対象のシステムの情報を熟知した攻撃が増加することが予想される。そのような攻撃は，検知を回避するために正常な状態に良く似た特徴を持つよう巧妙に設計・開発されると考えられる。このような攻撃にも対応できるよう，巧妙な攻撃サンプルを用いたセキュリティ製品の評価が必要である。そこで本研究では、攻撃検知技術をより高度に評価するための、巧妙な攻撃サンプルのシミュレート手法を提案する。

内部不正による損害は甚大なものとなっており、被害を最小限に抑えるための検知・対処が求められている。 特に、エスカレートし重大な不正にいたる前に、内部者の不審な挙動を検知することが重要である。 これまでに、たとえば、おのおのの内部者の挙動の過去の挙動との乖離に基づく検知が提案されているが、 各内部者の挙動が変化する要因には自然なものも多いため、多数のユーザに対して同時に適用することが簡単でないなどの問題がある。% 問題点 本講演では、ファイル共有サーバ上のある内部者の挙動が他の内部者と異なることをもって不審とみなす検知手法を提案する。 提案手法は、システムの各ユーザに対して利用傾向に関する特徴量を計算し、全ユーザの分布に対する外れ度を算出する。 具体的には、ログ件数やアクセス元・アクセス先・時間に関する偏りを特徴量とした全ユーザのデータを多次元混合正規分布によって近似・クラスタリングし、確率密度関数値の小さい点・小さいクラスタに属する点を異常として抽出する。 あるサーバのアクセスログを用いた検知実験を行い、顕著な特徴をもつ挙動をしているユーザが抽出されたことを示し、当該ユーザの挙動の特徴について報告する。

PassとShi (ePrint 2016/917)はブロックチェーン技術を非許可型コンセンサスとして定義し、既存のブロックチェーンと許可型コンセンサスを組み合わせることで対応的プロトコルを構成し、さらに、非許可型コンセンサスに関するいくつかの不可能性の結果を示した。本研究では非許可型コンセンサスの不可能性に関してさらなる考察を行う。具体的には、1/2不正ハッシュパワー時の構成不可能性などを示す。

電子投票に関する既存研究では，投票の管理・集計を行うサーバを利用したクライアント・サーバ方式が一般的であるが，悪意あるユーザによるサーバへの攻撃や，サーバ自身による不正行為などにより，安全性が損なわれる可能性がある．そこで，サーバを利用しない電子投票プロトコルとして，Proof-of-Workを利用した方式が提案された．Proof-of-WorkはBitcoinのブロックチェーンに使われており，ユーザが自身の計算能力(CPU)を利用してP2Pネットワーク上で合意を形成する．これにより，各ユーザの計算能力が等しいと仮定すれば，1人1票のサーバを利用しない電子投票プロトコルを実現できる．一方，株主総会など1人が複数票を持つ投票も考えられる．そこで本研究ではProof-of-Stakeを利用し，P2Pネットワーク上で1人が複数票を持つ電子投票プロトコルを提案する．Proof-of-Stakeでは，合意形成への各ユーザの貢献度が自身の「持ち分」(Stake)に依存する．本研究では，各ユーザが持つ票数をStakeと位置付け，それぞれの票数に依存した投票能力を持たせることでプロトコルを実現する．

近年, Dodis とFiore によって対話型の公開鍵暗号方式と認証方式が提案された. 対話型の方式の利点として, 非対話型のものと比べ弱い暗号プリミティブから強い安全性を満たす方式を構成することが可能である. 我々はCSS2015とSCIS2016にて対話型Signcryptionのモデル及び安全性を定義し, 2ラウンドと3ラウンドの一般的構成法を提案した. しかし, 上記の構成法だと対話型プロトコル特有のある攻撃が成功することが発覚したため, 修正が必要であることがわかった. 本稿では, 上記の対話型プロトコル特有のある攻撃について考察し, 既存構成法の修正を行う. そして, 既存構成法よりも総通信量の少ない新しい一般的構成法を提案する.

Abstract ビジネスチャットは，「クラウドにチャットデータを保持している」「多人数でのトークが前提」「過去のトーク内容の検索が可能である」等を特徴とするメッセージアプリケーションである．サーバからの漏洩を防止するためのチャットデータのEnd-to-End暗号化を実現するビジネスチャットは，「ID-DMKD（多者間鍵共有プロトコル）」と「代理人再暗号」，「検索可能暗号」を適用することで得られる．しかし，既存の検索可能暗号では，鍵が更新されるに伴ってサーバに秘匿したままインデックスを変換すること，を想定していない．本稿では，代理人再暗号化付き検索可能暗号とその安全性について定義し，具体的な構成を提案する．

本論文は、IDに基づく認証鍵配布を行うことができる、IDベーススケーラブルな動的多者鍵配布プロトコル(ID-DMKD) を提案する。このプロトコルでは、semi-honestな認証サーバに対していかなる情報も漏らさずに利用者間でセッション鍵を共有することができ、動的にセッションに新しい利用者を追加、削除する機能を持つ。また、利用者の秘密鍵または一時的な乱数のいずれかが漏洩した場合でも安全性を保つ。さらに、時間に基づいたForward Secrecy を持ち、一定時刻ごとにセッション鍵を更新する。本稿では、このようなID-DMKD の定義を行い、実現例を示す。

LINEやWhatsApp等のコンシューマ向けチャットアプリケーションは非常に人気が高く、億単位のユーザを抱えている。これらのアプリケーションでは、事業者へのメッセージ漏洩に対するユーザの懸念が高まったため、事業者はE2E暗号化に対応し始めているが、端末にチャットデータが残るため、紛失や盗難時のデータ漏洩の懸念があり、ビジネス用途には向いていない。これに対し、多くのビジネス向けチャットアプリケーションでは、端末にデータを残すことなく、サーバでチャットデータを暗号化し保存する方式が多い。そのために、E2E暗号化に対応しておらず、チャットサーバへの侵入や事業者の内部不正による漏洩の懸念がある。この問題を解決するために、著者らは、ビジネス用途に適したチャットプロトコルを提案しているが、実際のチャットシステムに適用した場合の性能は明らかでない。そこで本稿では、前述したプロトコルをシステムとして実装し、既存チャットシステムでのトラヒックと比較することで、その動作性能を報告する。

　挿入や削除が行われる動的データセットの再公開においてプライバシーを保護する方法として従来の研究ではm-不変性が考案され、その安全性を評価する方法として全射関数を用いて確率的に評価する方法が提案されている。 本研究では、挿入や削除を行う動的データセットの再公開における安全性を厳密な確率によって評価する方法について考察する。具体的には，従来知られている安全性評価方法では、攻撃者が公開表列がm-不変性を保持することによって作成されたことを考慮すると仮定し，確率的リスクを制御しており、攻撃者がm-不変性を考慮しない場合、本来目標としていた安全性の評価値よりも確率的に低い評価値が算出される可能性があることを示す。すなわち、m-不変性を満たしていても厳密には確率的にm-不変性の保持により目標としていた安全性を満たせていないことを示す。

Recently, data is utilized in various fields. Data publication can even enlarge the use of data by allowing secondary use of data. For data publication, privacy preserving is necessary because data is usually collected from individuals, i.e., it involves personal information. k-anonymity is a famous privacy notion for preserving privacy on data publication. It is known that high dimensional data such as trajectory data is hard to k-anonymize. So it has been challenged for trajectory data to retain its utility while satisfying privacy notions. In this paper, we propose a k-anonymizing method for trajectory which use hierarchy clustering method to cluster trajectories. To retain the best data utility after publishing, we set the specific purpose of data analysis. For marketing purpose, we fix get off stations and generalize get on stations. We show that our proposal algorithm effectively minimizes the utility loss.

センサデバイスと情報処理技術の発展に伴い，人の位置情報の分析が注目されてきている．位置情報を二次利用する際にプライバシ保護のため匿名化し，公開することがある．本研究では，ランダム化によるPk-匿名化に注目する．従来のPk-匿名化では，属性間の独立性を仮定している．そのため属性間に依存関係がある場合，匿名化されたデータ内にあり得ない属性値の組が含まれてしまうことがある．例えば，海の航路ではない領域（緯度と経度の組）に人がいることはあり得ないにも関わらず，このような情報が含まれてしまう．この問題を克服するために，我々はあり得ない属性の組を認めない制限をかけた多次元確率分布を示し，その分布に従うPk-匿名化を提案する．実験では，位置情報の公開データを用い，従来手法と提案手法の有用性を比較する．

我々は，CSS2016で，時空間におけるクラスタリングを用いた軌跡情報のk-匿名化法を提案した．この手法は，時空間における位置情報のクラスタリング情報を利用し，緯度・経度だけでなく，時刻についても汎化を行うことで，入力のk値を満たさず削除されるレコード数を大幅に低減させることができる．しかし，時刻の誤差に比べ，位置の誤差が大きいという課題があった．本稿で我々は，時刻・緯度・経度の時空間の定義に新たなパラメーターを導入し，時刻の汎化をより強めることで，位置精度を向上させる手法を考案し，実験結果を報告する．

個人情報保護法の改正により新たに匿名加工情報が定義され, 匿名加工情報の実用化に向けた技術開発を試みる匿名加工・再識別コンテスト(PWSCUP2016)が2016年10月に開催された. 本コンテストを通じて, 商品集合の特徴をもとに再識別を行う手法を加工購買履歴データに適用して評価し, 高い精度で個人が特定できるリスクが存在することを明らかにした. これに対する加工手法の一つとして擬似レコードの追加があげられる. 本稿では, 購入商品の集合において, 顧客をクラスタリングし, クラスタ内で購入商品の特徴から個人を識別することができない様に擬似データを追加する新たな匿名加工手法を提案する. 提案手法をコンテストで使用された購買履歴データに適用して, その有用性と安全性を評価する.

近年，タッチパネルを有する携帯端末が普及し，時や場所を選ばずに様々な情報・データを利活用できるようになった．このような端末では，端末を利用する際にタッチパネルの入力を利用した認証を必要とすることで情報漏洩を防いでおり，中でもAndroid端末ではパターンロックと呼ばれる方式が採用されている．しかし，この方式では覗き見攻撃により簡単にパスパターンを憶えられてしまうという問題がある．この問題に対し，東川らによってランダムに表示された数字列を一時的に記憶した後に入力することによって，パターンロックの覗き見耐性の向上を図る方式が提案されている．本稿では，この上記方式において課題となる記憶の増加から入力の複雑化に伴うユーザの利便性低下について，入力パスパターンの方法を変更することで改善を図り，かつ覗き見耐性を失わない改良方式を提案する．

人間のより高度な認知能力を利用したCAPTCHAとして，画像の意味を問うCAPTCHA（画像CAPTCHA）が提案されている．しかし，画像CAPTCHAは，基本的に，1問あたりの総当たり数が少ない．十分な総当たり数を確保するためには，CAPTCHAを解くというタスクをユーザに複数回行わせる必要があるが，タスクの単純な繰り返しは利便性を著しく低下させてしまう．メンタル負荷を増加させずに，ユーザにタスクを繰り返させる方式が求められる．本稿では，その一実現例として，多数の3次元オブジェクトの正面方向をたどる，迷路形式の出題方式「Directcha-maze」を提案する．人間が3次元オブジェクトの向きを識別できるのは，メンタルローテーションと呼ばれる高度な認知処理が関与している。提案方式においては，ユーザに認識されるのは「迷路を解く」というタスクであり，それぞれのオブジェクトの向きを識別するタスクは，アンコンシャスなサブタスクとなるため，メンタルローテーションタスクを繰り返すことに対するユーザの負荷が低減される．さらに，迷路形式にはゲーム要素が含まれるため，ユーザは楽しみながら解答できる．

ネット上では、アクセス元が人とコンピュータのどちらに由来しているのかを判別するためにCAPTCHAとして画像を利用することが多い．一方、あらかじめ登録されている相手を認証するために、文字列をパスワードとして用い、第三者からの攻撃を排除するパスワード認証があるが、文字ではなく画像を使って性能をあげようと試みられている．この様に画像がアクセス制御に導入されているがさらに高度化しつつある．例えば、CAPTCHAでは、文字画像を変形し通常の文字の矩形による切り出しを妨げる対策がとられている．また、立体化した対象のコンテクストを問うものまで提案されている．著者らは、攻撃コンピュータの能力向上を見据えてCAPTCHAまたはパスワード認証で使われる画像がいわば攻撃者のヒントになると考え、アクセス先へ与える画像まで踏み込んで考察を行なった．予備実験において、Deep Learningに大量の画像を与えれば、ほとんど人間並の識別能力になることを確かめた．将来のBot攻撃者としてDeep Learningを利用することを想定し、それでもCAPTCHAまたはパスワード認証の機能を満たすには何をすべきかという観点から構成法を考察した．具体的には、Deep Learningから得られた学習曲線を使って組み立てる.

スマートウォッチに代表されるウェアラブルデバイスが一般に普及しており、搭載されたセンサから様々なデータを得ることができる。中でも加速度データを用いるジェスチャ認識に関する応用が進んでおり、本研究では加速度データの処理をリアルタイムで行い、ウェアラブルデバイスの操作としてジェスチャを検知・認識することに注目する。ウェアラブルデバイスの活用場面としてお年寄りや患者の医療・介護や子どもの見守りなどを想定した際、この研究により緊急時などに必要な対応が可能になるため、利用者の安全を確保するシステム構築が期待される。本稿では、基礎研究として任意のハンドジェスチャを認識することを目的とし、ひらがな46種を10回空中に書いた際の3軸の加速度データを10人分収集し文字分類実験を行った。分類には機械学習におけるいくつかの分類アルゴリズムを用い、時系列の加速度データから抽出した特徴量に対して学習・テストを行い精度の測定・比較をした。用意されたひらがなデータセットに対しては十分に使える精度が得られたので、今後、実際の緊急データへの対応可能性が見えた。

近年，パスワードリスト型攻撃等によるユーザのなりすましが問題となっており，多くのサービスが2要素認証方式の導入を検討している．しかし，認証方式を変更するには，システム改修が必要なため，認証方式の変更は容易ではない．従って，既存システムに新しく認証方式を導入することが容易なシステムアーキテクチャと，それに適応可能な2要素認証方式の両方が必要である．本稿では，受信した認証情報を適切な認証サーバに送信するLDAPプロキシを導入し，複数の認証方式が利用可能なシステムアーキテクチャと，これに適応するペアリングベースの2要素認証方式(Milagro MFA)を提案する．また，LDAPプロキシとMilagro MFAを用いて，パスワード認証と併用可能なシステムを開発し，システムの評価結果を述べる．結果，パスワード認証を用いるシステムにMilagro MFAを簡単に組み込むことが可能であり，性能も十分であったことを報告する．

物の認証や鍵生成において、物理的に複製困難なPhysically Unclonable Function(PUF)技術が注目を浴びており製品化がされてきている。Ring Oscillator(RO)の周波数差を利用したROPUFは、ROや配線を均一に配置する事が望ましいが、特にFPGAにおいて、またASICでさえも、多くの段数のROを均一に配置配線する事は難しい。これが、RO間の周波数差を増大させ、PUF間のユニーク性を低減させる要因となっている。本研究では、新しいレスポンス取得方法を利用する事で、大幅にPUF間のユニーク性を向上させる事ができた。また、RO部に直接レスポンス信号を与える事で(ダイレクトチャレンジ型ROPUF)、従来のROPUFよりもChallenge Response Pair(CRP)数を向上させる事が可能となった。

Abstract: Reducing BER (Bit Error Rate) is a hot topic in PUF field for key generation. In this paper, a new type of PUF with low BER called EE (Enhancement-Enhancement) Read Only PUF is presented. This new type of is researched in three dimension as follow: First, analyzed the performance and operation of EE structure. The structure of EE Read Only PUF is based on SRAM PUF. Compared to SRAM PUF bit cell, EE Read Only PUF bit cell consist of only NMOS. This structure has much more stable performance against noise. Meanwhile, in order to stabilize output of EE bit cell, two additional NMOS transistors are added. Second, verified the EE Read Only PUF performance by simulation and measurement. According to the Monte Carlo noise & Vth simulation, BER of EE Read Only PUF is 0.79%. Afterward, the measurement result of BER is 0.68%. Third, analyze a probability model of output data of EE PUF. ? Abstract: Reducing BER (Bit Error Rate) is a hot topic of PUF for security application. In this paper, a new type of PUF with low BER called EE (Enhancement-Enhancement) Read Only PUF is presented. The key idea of this PUF is that CMOS inverter is replaced by EE NMOS inverter in conventional SRAM cell, so that butterfly curve in data power up phase changes and the output becomes less sensitive to noise. In order to stabilize output of EE bit cell in data read phase, two read NMOS transistors are added. Result of Monte Carlo noise & Vth simulation with 180nm CMOS technology, BER of EE Read Only PUF is 0.79%. The low BER is verified by the measurement result (0.68%) using the fabricated circuits with the same technology. Finally, a probability model of output data of EE PUF is analyzed.

本論文では, 隣接セルを含めて SRAM および buskeeper PUF のマスクレイアウトを対称に設計することでランダム性を改善する手法を提案する. SRAM および buskeeper PUF の原理およびランダム性を悪化させる要因について議論し, この議論に基いて隣接セルを含めたレイアウトの対称設計によるランダム性の改善を提案する. 提案手法を用いた buskeeper PUF はスタンダードセルで容易に実装することが可能であり, 面積や電力のオーバーヘッドも極めて小さい. 試作チップ上で提案手法を適用した 130,560 bit の buskeeper PUF の値を測定し, 適用可能な 8 種の乱数検定全てに合格することを確認した. また, 試作チップによる測定では, buskeeper PUF の値のクラス内ハミング距離 3.67%, クラス間ハミング距離の平均μ=0.4998, 分散 σ=0.03608, ビットあたりのエントロピー0.9990 という良好な値を得た.

IoT時代には、情報の入り口であるセンサのセキュリティを高めることが必須となる．そこでCMOSイメージセンサ(CIS)の画素ばらつきを活用したPUF(CIS-PUF)を提案する．発表は２部構成で，第１部ではCIS-PUFのコンセプトと原理、回路シミュレーションによる検討結果を述べる(本発表)．第２部ではCISチップより取得した画素ばらつきデータの評価結果を述べる．一般的に、CISでは、わずかな光で発生した電子を検出する微小容量ノ－ドがあるため、素子ばらつき以外にリセットノイズなどの微小なノイズも除去する必要があり、画素毎のリセットレベルと輝度レベルの差分を出力している．本研究では、このリセットレベルのみをノイズを低減して取り出すことで、周辺輝度に依存しない、チップ毎に固有な画素ばらつきパターンを固有IDとして出力する．さらに、ばらつき信号の再現性およびユニーク性を高めるための信号処理方法を提案する．ばらつき信号の電気的特性について回路シミュレーションおよび実測から評価を行い、輝度信号に依存しない空間的なランダムばらつき信号が得られることを確認した．

IoT時代には情報の入口であるセンサのセキュリティを高めることが必須となる．そこでCMOSイメージセンサ(CIS)の画素ばらつきを活用したPUF(CIS-PUF)を提案する．発表は2部構成で，第1部ではCIS-PUFのコンセプトと原理，回路シミュレーションによる検討結果を述べる．第2部ではCISチップより取得した画素ばらつきデータの評価結果を述べる(本発表)．チップの画素ばらつきは，フォトダイオードや画素毎に付属するトランジスタの特性ばらつきなどが空間的なばらつきとして存在する．またリセットノイズなどの時間的なばらつきも存在し，通常これらをキャンセルして画像を得る．PUFとしてのデータ取得方法と1/0生成方法を工夫することで，空間的なランダムばらつきが支配的となるデータが得られ，乱数検定の結果ほぼ理想的な乱数であることを確認した．最もビット反転率が大きい環境でも8%(128ビット，電圧-10%，60℃)であり，他のメモリ型PUFと同等以上の結果が得られた．ユニーク性も，理論値に近い平均・分散を示した．また通常データと取得IDの相関はなく，通常データからIDを推定できないことも確認した．

Telegram is known as one of the most popular instant messaging (IM) services for secure communications. It features end-to-end encryption (E2EE) in secret chats based on their customised protocol called MTProto. This brand new protocol is believed as a safe alternative among the public, however, it is in doubt and has not been fully reviewed by cryptanalytic experts. It is theoretically demonstrated in 2015 that MTProto does not meet indistinguishability under chosen ciphertext attack (IND-CCA) and integrity of ciphertexts (INT-CTXT). In this paper, we start to analyse the security vulnerabilities of E2EE in simplified Telegram in a heuristic manner and suggest typical building blocks for E2EE in general IM system.

急速に普及が進むスマートデバイスにおいて，より安全かつ便利な ユーザ認証を実現するための一手段として，著者らは「コンテキス トアウェアネス」の概念に着目し，認証システムがユーザの利用環 境に適した認証方式を適応的に選択するマルチファクタ認証システ ムを提案している．本稿では，当該システムにおいてユーザを継続 して認証する継続認証を適用したユーザに負担の少ないシームレス な認証システムを実現する一手法を提案するとともに，シミュレーション 実験に基づき，提案手法の有効性を評価した結果について報告する．

従来，銀行口座の資金を共有する手段として，代理人向けのキャッシュカードを発行する技術がある．また，金融サービスと情報技術の融合であるFinTechの一例として，キャッシュカードをスマートフォン等のモバイル端末に格納する，電子化が行われている．一方，クラウド等のITサービスにおいては，デジタル情報の利用にあたって，複数の第三者に対して，それぞれ異なる権限を設定した上で，情報の共有が行われている．金融サービスにおける資産の共有に対して，ITサービスにおける，柔軟な情報共有の仕組みを適用することで，利便性の向上が見込まれる．そこで本研究では，キャッシュカードにも用いられているSIMを用いて，権限情報を設定可能な電子的なキャッシュカードを実現することで，多数の第三者と，柔軟な資産の共有を，安全かつ簡単に実現する方法を提案する．

組織の問い合わせ窓口として公開されているメールアドレスは，攻撃者が容易に入手可能であり，犯罪を目的とする攻撃メールの送信先となりやすい．攻撃メールの件名などに記載される語句は，攻撃者によって巧みに作られており，受信者がこれらを見ても不審さに気付かず，添付されている不正なファイルを開くおそれがある．本論文では，実在する非営利団体の公開連絡先に届いた攻撃メールおよび通常メールの件名などに使われる単語の傾向を統計学的に分析した事例に基づき，各組織における受信者がどのような単語に注意すべきかを述べる．

近年の標的型メール攻撃では，文書ファイルを装ったマルウェアや文書閲覧ソフトの脆弱性を突く悪性文書ファイルが添付ファイルとして標的型メールと共に標的に送付される．これらのマルウェアは，実行時にメールの本文と合致した内容の囮の文書を表示することで，受信者に感染の事実を気付かれないようにする．この囮文書はマルウェア本体に埋め込まれている場合も多いため，この内容を調べることで当該検体が送付された文脈や標的に関する情報を得ることができる．我々は，ユーザから入力されたキーワード，ハッシュ値を元に，VirusTotalから標的型マルウェア検体を収集し，得られた検体から囮文書を動的解析により抽出した上で，囮文書のテキスト情報をデータベースに蓄積する自動化システムを構築した．本稿では，当該システムの実装及び実際に収集された囮文書の事例を示す．

近年，標的型メール攻撃による被害が深刻化している．そして，その要因とも言われているのがウィルス作成ツールやエクスプロイトキットと呼ばれるツールキットの普及である．これらのツールキットを利用することで，脆弱性攻撃やマルウェア開発を比較的簡単に実施することが可能だとされている．このため，脆弱性攻撃の増加や膨大なマルウェアの亜種の出現により一般的なアンチウィルスソフトでは対策が困難となっている．そうしたことから，昨今注目を集めているのが緩和ソフトウェアと呼ばれる多層防御を補完するためのアプリケーションである．代表的なものにはEMETが挙げられる．EMETは無償であり，種々の攻撃に対し効果があるものであれば利用者にとって便利なものとなる．そこで本研究では，まずEMETに対して標的型メール攻撃の代表的な攻撃手法である”リンクURL型”と”添付ファイル型”において評価実験を行い，系統的に防御範囲を明らかにした．そして，従来のツールでは不十分であった範囲をカバーするためにWindows APIログとプロセス情報を関連付けたドロッパー対策ソフトウェアを新たに開発し，いくつかの検体において評価を行った．

標的型サイバー攻撃が深刻化している状況下で、殆どの対策は、「怪しいメールには気をつけよう」という組織への入り口対策、及び、自組織内の情報管理に限られている。しかし、これらの対策には限界があり、仕事の能率を低下させる場合も多い。最早、孤塁を守る時期は過ぎた。ネットワークの外部性に視野を広げ、政府系機関、重要インフラ、大企業などが率先して組織間連携を深め、S/MIMEを普及させる時である。これまでもS/MIMEを普及させれば良いことは分かってはいたが、普及していなのにはそれなりの課題があった。本文では、それらの課題を解決する方策を示し、S/MIMEを普及に向けての段階的戦略を国際・国家・組織・個人・IoT(モノ）の視点から提案する。IoTにつぃては、発信情報の秘匿暗号方式についても言及する。

基礎的・共通的コミュニケーション基盤として利用されているインターネットメールは、標的型攻撃メール、フィッシングメールなど、さまざまの悪用に晒され、その信頼性が揺らいでいる。本稿では、メールの悪用の手口を整理し、そのような悪用を許してしまう現在の電子メール利用基盤の脆弱性を分析、脆弱性を悪用する悪意のあるメールによる攻撃への効果的な対策を考察する。更に、暗号化によるメール内容の保護とメールによる情報の不正持出検出やメール内のマルウェア検出が可能な対策を検討、その実現のための暗号技術利用方式を考察する。以上の考察・対策検討の結果を踏まえ、我が国の今後の産業活動の活発化・発展、国民一人一人の社会活動の促進を支えることが期待できる、現在の電子メール利用基盤の脆弱性の克服を目指した「安心・安全電子メール利用基盤（SSMAX）」を提案する。

With the rapid development of cloud computing, storage function has been greatly improved. Cloud storage as a service，take great convenience to the clients who want to outsource their data to the cloud storage. Thus, clients can take advantage of unlimited virtualized storage space and the low management cost. However, because of the possibility of public access in cloud, the security of the sensitive data becomes an urgent problem to be solved. Client upload the data to the cloud server, makes the client lose the control of the data. To prevent illegal access to data and protect the confidentiality of the data, the client encrypted the data before they upload the data to the cloud. But it is hard for the other clients to search the data among the numerous encrypted data. As a solution, many searchable encrypted schemes have been proposed recently. They allow the clients to search for a certain keyword over the encrypted data without revealing the content. In this paper we propose a searchable re-encryption scheme with multi-user. We combine a searchable scheme and the ID-Based proxy re-encryption scheme. It can supports multi-user security, efficient retrieval of encrypted data. It also can reduce the computational complexity of the client in the decryption process.

In proxy re-encrytpion (PRE) scheme, the message is sent by a delegator to a delegatee with a help of the trusted third party proxy without knowing the existing plaintext. PRE schemes are widely used in various applications. However, the standard PRE scheme has some proxy problems called private key generator despotism (PKG despotism) problem. This means that PKG can make re-encryption key without permission from delegator. And also, this PRE scheme have the key-escrow problem. If someone can attack PKG in a PRE scheme, they can decrypt both the original ciphertext and the re-encrypted ciphertext which means the key-escrow problem. A solution for these two problems is to use non-transferable PRE scheme. Non-transferable PRE scheme solved the above PKG despotism problem and key-escrow problem. We would like to introduce our PRE scheme with a new approach. In our scheme, there are three sub-processes, which are based on a non-transferable PRE scheme and group signature. Our scheme will provide the security for delegator i, delegatee j (who is in the same group with delegator i), and delegatee k (who is in a different group with delegator i).

INDOCRYPT2013で提案された格子に基づくCCA安全なPRE暗号がCCA安全でないことを、具体的な攻撃で示す。

あるメールの受信者が，自分宛てに暗号化されたメールを指定した第三者に再暗号化し委託することのできる代理人再暗号化方式と，暗号化データの中から特定のキーワードで検索をかけることのできる検索可能暗号を組み合わせた方式として，検索可能代理人再暗号化方式がある．この方式は受信者に向けて暗号化されたメールを，受信者が自身のメールサーバーを通じて検索をかけることができるとともに，第三者に向けてメールを再暗号化しキーワードでの検索機能も併せて委託する方式として，2010年にShaoらによるPRES方式に始まり様々な方式が提案されてきた．しかし，それらの方式はいずれも一つの再暗号化鍵で双方向の再暗号化ができる双方向性（Bidirectional）の性質を持つ方式である．本研究では，一方向性（Unidirectional）の検索可能代理人再暗号化方式のモデルおよび安全性を定義し，ShaoらのPRES方式をベースに新たな構成を提案し，その方式が定義した安全性を満たすことを証明する．

BonehとZhandry (CRYPTO 2013) は，古典暗号方式に対して量子計算攻撃者を考慮した安全性を導入し，Gagliardoni, Hulsing, Schaffner (CRYPTO 2016) は量子計算攻撃者の存在による様々な安全性の定式化の可能性を指摘し，より強力な識別可能性と強秘匿性を導入し，その等価性を示した．本研究では，Gagliardoniらの枠組みを決定性暗号化方式へ拡張し，定義可能な安全性について考察を行った．

The notion of probability plays a crucial role in quantum mechanics. It appears in quantum mechanics as the Born rule. In modern mathematics which describes quantum mechanics, however, probability theory means nothing other than measure theory, and therefore any operational characterization of the notion of probability is still missing in quantum mechanics. We present an alternative rule to the Born rule based on the toolkit of algorithmic randomness by specifying the property of the results of quantum measurements in an operational way. Algorithmic randomness is a field of mathematics which enables us to consider the randomness of an individual infinite sequence. We then present an alternative rule to the Born rule for mixed states based on algorithmic randomness. In particular, we give a precise definition for the notion of mixed state. We then show that all of the alternative rules for both pure states and mixed states can be derived from a single postulate, called the principle of typicality, in a unified manner. We do this from the point of view of the many-worlds interpretation of quantum mechanics. Finally, we make an application of our framework to the BB84 quantum key distribution protocol in order to demonstrate how properly our framework works in a practical problem.

量子暗号や量子コンピュータなどの応用技術の有用性の示唆にともない，量子情報理論は注目を集め発展してきた．量子暗号は2000年代後半から民間製品が登場し，未来の技術から商用利用可能な応用技術となった．量子コンピュータに関しては，2010年代になってD-Wave Systemsが量子アニーリング型量子コンピュータを発表し大きな注目を集めた．また，2016年5月にIBMよりIBM QuantumExperience（QE）が発表された．IBM QEは超電導量子ビットにより構成される5量子ビット量子コンピュータの利用を提供するクラウドサービスである．IBM QEの登場により，誰でもどこでも手軽に（5量子ビットの）量子コンピュータが利用可能となった．本稿では，IBM QEの利用方法を紹介するとともに，量子暗号の安全性証明に深く関係する不確定性関係およびエンタングルメント検知に関するIBM QEを用いた実験結果を報告する．また，量子暗号などを含む情報セキュリティ分野におけるIBM QEの利用の可能性についても検討する．

量子鍵配送 (QKD) は秘密鍵を配送する際に証明可能な安全性を担保する技術として1984年から注目を浴びてきた。2005年には QKD の安全性は、実際に配送される量子状態と配送されるべき理想的な量子状態との間のトレース距離により評価されるべきであるとされてきた。このときそのトレース距離には量子鍵配送に失敗する最大確率という解釈が与えられたが、2009年には H. P. Yuen により前記トレース距離にはそのような意味はないとする批判がなされ、以後、Yuen 自身と O. Hirota、 K. Kato, T. Iwakoshiらの批判を経て、2015年にはIwakoshiによりYuen の批判についての詳細な理由が解説された。その後、Yuen は2016年にこれまでの彼の批判をまとめた論文を提出し、量子鍵配送理論が証明可能な安全性を保証するために何が不足しているかについて指摘した。今回はその Yuen の論文の内容とそれ以降のトピックについて解説する。

量子計算能力を持たないAliceが量子計算能力を持つBobに量子計算を委託するプロトコルで、更にAliceの情報をBobに漏らさないブラインド性を持つものをBQC（Blind Quantum Computaiton）プロトコルと呼ぶ。BQCプロトコルにはBobの不正をAliceが検知できる検証可能性を持つものがある。しかし、一般には公開検証可能性を持たない。公開検証可能性がない場合、プロトコルの途中で不正があったときに、第三者がどちらが不正をしたのか検知することができない。実用性を考えれば公開検証可能性の付与は必要である。既存の研究成果として、Hondaが公開検証可能性を持たないBQCプロトコルであるFKプロトコルに第三者検証可能性を付与したプロトコルであるHondaプロトコルを提案した。しかしそのプロトコルの安全性は計算量仮定に基づくものであった。本論文ではFKプロトコルと同様に公開検証可能性を持たないBQCプロトコルであるHM（Hayashi-Morimae）プロトコルに公開検証可能性を付与した。Quantum de finettiの性質を利用することで、安全性を情報理論的に保つことに成功した。

著者は昨年のSCISシンポジウムでBit coincidence mining algorithm というアルゴリズムを提案した. これは, xL algorithm のheuristicな計算量仮定の下で, 任意の有限体上定義された楕円曲線$E/F_q$ の離散対数問題の計算量が$O(exp(n1/2+o(1)))$に落ちることを主張している. ここでは改良として$E(F_q)$の離散対数問題が本質的に$d-1$変数, $b_0*d/2$方程式から成る方程式系を解く事に帰着する方式を提案する. ここで, $b_0( \ge 2)$ は任意のblock sizeと呼ばれる自然数で, $d$は$d \sim (b_0-1) \log_{b_0} q$である自然数である.

GHS攻撃は有限体k := F_qのd次拡大体k_d := F_{q^d}上定義された楕円曲線C_0上の離散対数問題を, C_0のk上被覆曲線C上の離散対数問題へと変換する攻撃手法である. 近年このような被覆を持つ曲線C_0について, 奇標数のk上拡大次数dが素数である拡大体k_dに対して, 攻撃対象となる(2,...,2)型被覆曲線Cを持つような楕円曲線および種数2超楕円曲線C_0/k_dの分類が行われた. そこで本論文では, 奇標数合成数d=4,6,8,9,10次の拡大体k_dにおいてGHS攻撃の対象となる楕円曲線C_0/k_dの分類を行う.

The GLV/GLS technique speeds up scalar multiplications on elliptic curves endowed with an efficiently computable endomorphism: a scalar multiplication by a full-size scalar becomes a double scalar multiplication by half-size scalars, which is significantly faster. However, this requires to first decompose the original scalar into an appropriate linear combination of half-size scalars using reduction in a low-dimensional lattice. Since a reduced basis of the lattice can be precomputed, this is typically fast, but it tends to leak a lot of side-channel information about the scalar. To avoid this problem, Aranha et al. (ASIACRYPT 2014) proposed to use "recomposition" instead, i.e. choose the two half-sized scalars at random in a suitable interval, defining a corresponding full-size scalar implicitly. If the statistical distance to uniform of the distribution of that scalar is negligible, the recomposition method is secure and avoids any of the leakage of GLV/GLS decomposition. The original paper obtained the statistical distance result for GLS curves of prime order. In this work, we extend their proof to GLS curves with a small cofactor, including twisted Edwards GLS curves. We also consider a possible generalization to certain GLV curves, such as the Bitcoin curve secp256k1.

楕円曲線離散対数問題(ECDLP)は楕円曲線暗号(ECC)の安全性の根拠となる数学的問題であり, 適切な楕円曲線パラメータを選択して ECC を安全に利用するために, どんなサイズの ECDLP が解かれたか/解かれそうかという分析・予測は欠かせない. 本稿では, ECDLPの最新の解読状況をまとめ, 今後の解読予測を示すとともに, ECDLP の類似問題として, 鍵の部分情報を用いた ECDLP と, 付加情報を用いた ECDLP について考察する.

有限体上の連立方程式を解く問題は、暗号理論において重要である。 (有限体上の)連立方程式を解くためには、グレブナー基底による方法が有名であり、 グレブナー基底の計算アルゴリズムとしては、F4やF5アルゴリズムが効率的であることで 知られている。これらのアルゴリズムの計算量評価のための指標として、"正則性の次数"と 呼ばれるものが用いられることが多い。しかし、この正則性の次数の定義にはDuboisらによる定義と Bardetらによる定義が存在する。 　本稿では、正則性の次数の2つの定義の関係性と違いを述べ、その関係性や違いが暗号の安全性解析や グレブナー基底の計算量にどのように影響するかを考察する。また、正則性の次数以外のグレブナー基底の 計算量を評価するための指標についても紹介する。

近年,注目されている暗号方式の1つに楕円曲線暗号があげられる．楕円曲線暗号の安全性は,楕円曲線上の離散対数問題(ECDLP)の計算量的困難性を根拠としている.しかし，暗号の解読に用いられる計算機の性能は向上し続けており，それに伴い暗号の安全性は目減りしていく．なかでも，近年におけるスマートフォンの計算性能の向上や普及率の上昇は著しく，スマートフォンの計算資源を活用した新たな暗号攻撃手法に対する安全性を評価する必要がある．本稿では，スマートフォンの中で最も使用されているAndroid OSのスマートフォンを使用し，BN曲線上のECDLPに対する並列攻撃を考える.そこで,ECDLPを解読するためのAndroidアプリケーションをC++言語を用いて開発し，どの程度のサイズのECDLPが，どの程度の時間で解読できるかについて実装実験を行う.

RNS (Residue Number System)は整数の表現方法の一つであり, 2000年以降, RNSの処理の並列性を利用した公開鍵暗号演算の高速実装が活発に研究されている. 本稿では, RNSの数値表現を定数倍するという新たな手法を導入することにより, モンゴメリ・リダクション（以下M-Red）が実質的に2回の行列計算で実現できるKeyed RNS M-Red方式を提案する. 提案方式は, 行列計算以外のステップがほとんど無いため, 簡潔で規則性が高いという特長を有する. その一方で提案方式では, 基底選定の制約条件として平方剰余性を新たに考慮する必要がある. チャネルでの剰余乗算を１回と数え, 基底サイズをnとすると, 提案方式の剰余乗算回数は高々(2n^2+3n)である. 簡単なパイプラインモデルで見積もったところ, 提案方式は従来の最適化方式と比べて最大で33％の処理時間削減を達成できる見込みを得た.

現代暗号では攻撃者の能力が上がった場合，既存のパラメータでは安全性を保てなくなる危殆化の恐れがある．危殆化した場合には鍵長などのパラメータを大きくする必要がある．ハードウェアによる専用演算器を設けたシステムの場合変更にかかるコストは大きい．本稿では楕円曲線暗号やペアリング暗号を実装する際にコアとなる剰余乗算器に着目し，2つのnビット剰余乗算の並列計算回路と回路資源を共有する2nビット剰余乗算器の構成方法について検討し実装評価を行った．実装した剰余乗算器で2nビットの剰余乗算を行った場合，2つのnビット剰余乗算器を用いてソフトウェア的に2nビットの剰余乗算を行うのに対して優位であることを示す．

楕円曲線暗号はRSA暗号などに比べて小さい鍵長で同程度の安全性を実現できる。リソースが限られているIoT機器に組み込むための公開鍵暗号方式として楕円曲線暗号の小さい鍵長は適しており、近年注目を集めている。楕円曲線暗号のハードウェア実装において、座標系や演算アルゴリズムといった様々な選択肢がある。本稿では、楕円曲線を用いた暗号のうち、256ビット素体上での楕円曲線デジタル署名アルゴリズムの署名生成及び署名検証について、座標系や演算アルゴリズムの異なるものを設計し演算時間と面積の評価をすることで、小規模化に適した実装方法についての検討を行った。

近年、楕円曲線に基づく公開鍵暗号を中心に、暗号技術はその利用・アルゴリズム共に多様なものとなってきており、そのハードウェア実装は高速・省電力・耐タンパー性等の観点から研究が進んでいる分野である。楕円曲線暗号のハードウェア実装において、特定の曲線パラメータやアルゴリズムに特化した構成にすることで暗号処理の高速化を図ることができるが、一方でそのような実装は暗号の多様化や鍵長の変化に対応しづらいという欠点がある。このような状況に対応するべく、本稿では多様な楕円曲線パラメータに対応可能な汎用暗号プロセッサを提案する。具体的には、256bit以下の素体上の楕円曲線に対して点の加算・2倍算・スカラー倍算および楕円曲線暗号に用いられる有限体上の四則演算を1つのハードウェアで可能にした回路である。また、提案回路のアーキテクチャはアルゴリズム面だけでなく利用面での多様化にも対応するべく、面積-遅延のトレードオフが実現可能なスケーラブルな構成になっている。本稿では提案回路に対して演算器の構成・並列度の観点から検討を行い、65nm SOTBプロセスにおける論理合成結果から評価を行う。

近年、クラウドコンピューティングやIoTといったキーワードが注目されるにつれ、情報を安全にやり取りすることがますます重要になってく るとともに、安全性のみならず、暗号にはより高い機能性が期待されている。このような期待に応える、機能性を有した暗号の仕組みである高機能暗号 を計算する上では、ペアリングと呼ばれる演算が中心的な役割を担っている。本稿では、様々な高機能暗号を実現するための汎用暗号プロセッサの実現を目標とし、BN曲線と呼ばれる楕円曲線上において、126ビットのセキュリティを実現するようなペアリング演算における有限体・拡大体の計算ユニットについての設計検討内容について報告を行う。

高機能暗号の構成要素のひとつにペアリングがあり，高機能暗号の普及にはペアリング計算の高速化が不可欠である．素数位数体上のペアリング計算におけるボトルネックはGF(p)での乗算と逆元計算である．乗算にはQuotient Pipeline実装のモンゴメリ乗算，逆元計算は拡張ユークリッド互除法を用いた逆元演算器を利用することによりペアリング計算を高速に行う手法が提案されている．本稿では，254ビット素数を位数とする剰余乗算を対象とし，2つの実装方法に対しての実機評価を行う．実装方法として高スループットを重視したパイプライン型実装と回路規模削減を重視したループ型実装の2つの実装法を対象とし，Xilinx社のKintex UltraScale FPGAを搭載したKCU105ボードで評価する環境を提案する． KCU105ボードで実装評価を行ったところ300MHzで剰余乗算器が動作可能である結果を得た．

本稿では、匿名通信技術であるオニオンルーティングにフォワードセキュリティを満足させる機構を提案する。オニオンルーティングは、各ノードを中継するごとに通信文に暗号化、復号を施してメッセージがどのノードを通過したかわからなくする技術であるが、あるノードの秘密鍵が漏れた場合にそのノードが過去に暗号化したメッセージが解読され、安全性が確保できなくなる。フォワードセキュリティとは、秘密鍵が漏洩した場合に、長期にわたって暗号文が解読されないという性質であり、オニオンルーティングにこれを適用させることでより高い安全性を確保することができる。本稿では、フォワードセキュリティを満足させ、かつ様々な方法で匿名性を破ろうとする攻撃に対しての有効な防御策についても考察している。また、安全性だけではなく信頼性も向上させるために、メッセージが受信者に届いたか否か、および届いていない場合どのノードでエラーが発生したかを送信者は知ることができる。

近年,インターネットを通じて個人情報を集めることが容易になっており,プライバシーエンハンシング技術の重要性が高まっている.匿名通信システムTorは,ユーザとサーバの繋がりを秘匿することで通信に匿名性を持たせる実システムである.TorはサーバのIP アドレスを隠す,Tor秘匿サービスと呼ばれるシステムも提供している.このTor秘匿サービスのプロトコルには4つのTorネットワーク上のリンクが含まれるが,TorクライアントとEntry Guardまたは,Tor秘匿サービスとEntry Guardの間の通信パケットを観測することでそれぞれを区別出来るということが報告されている.本論文ではTor秘匿サービスのトラフィックを分析し,Tor秘匿サービスが発生させるサーバ側のトラフィックと紛らわしくなるように,クライアント側のトラフィックを偽装する手法について検討する.

本研究ではMarkov Transition Fieldを用いて位置情報を視覚化し，Autoencoder を適用することで，消失を含む位置情報からユーザーの真の位置情報を再構成する方法について提案・検証する．

人や車の移動履歴は，都市計画や災害対策，ビジネスへの幅広い利用が期待される一方，そこから個人の住所や勤務先，生活パターン等のプライバシー情報が漏洩することが懸念されている．移動履歴のユニーク性については先行研究において，JR東の乗降客の場合，3駅の履歴により97.96%の移動履歴がユニークになることが示されており，そのプライバシーリスクの定量化が図られている．しかし，移動履歴のプライバシーリスクはユニーク性だけでは評価できない．本論文では，移動履歴のプライバシーリスクが実害に至るのは，移動履歴が実名の別情報に照合される場合であると考え，この照合リスクを評価する．ソーシャルメディアは広く公開され，多くの場合に個人特定が可能であるため，照合先の別情報として最も現実的な脅威をもたらす．そこで，移動履歴中の場所・時間と投稿文の言葉が表す場所・時間との距離に基づいて，移動履歴とソーシャルメディアアカウントを照合する手法を提案し，16人の実データを用いて照合精度を評価し，9人の移動履歴について本人のソーシャルメディアアカウントと照合可能で，12人について本人のアカウントが3位以内になることを示す．

Recently, sharing a database to other parties is becoming a common way with harvest more benefit from it. Since the database often contains sensitive information, it is important to protect the sensitive information before data is shared among parties. To guarantee the protection of the sensitive information, one tends to modify the database excessively. After such excessive modification other parties will distrust the released database and its data size is often reduce a lot. In this paper we propose a method for preserving sensitive value by data modification while at the same time decreasing the number of changes in database.

日本における監視カメラの設置台数は急速に増え，400万台を越えている．また，ネットワーク接続4Kカメラ，顔認証やビッグデータ解析技術なども採用されている．監視カメラは，防犯目的だけではなく，人流解析などマーケティング利用も立ち上がっている．一方，自治体による設置・運用に関する条例，ガイドラインは，（1）改正個人情報保護法に準拠していない．（2）普及している監視カメラシステムの実情を踏まえたリスク対策が反映できていない問題がある．本発表では，製品レベルの監視カメラシステムに対して行ったリスク分析結果を基に，被撮影者のプライバシーを保護し，かつ，今後の製品の技術開発も考慮したデータの利活用の図るネットワーク対応監視カメラの設置・運用ガイドラインを提案する．

メモリ破損脆弱性の一つにStack-based Buffer Overflow（以降，SBoFと呼ぶ）脆弱性がある．この脆弱性を悪用するSBoF攻撃は，サービスのクラッシュや端末の制御の奪取を引き起こす可能性がある．実行バイナリにSBoF脆弱性が作り込まれる原因の一つとして，そのソースコードにおいてバッファの境界を検査しないライブラリ関数を利用していることが挙げられる．現在，これらの関数は利用が非推奨とされているが，我々の先行研究により，これらの関数を利用するバイナリが既に一定数配布されていることがわかった．これまでに，SBoF攻撃に向けて様々な対策技術が考案されてきた．しかし，その中には，配布済みのバイナリに適用できないものや，適用できるが既に開発やサポートが終了しており保守されていないものもある．そこで，本論文では，配布済みのバイナリに対して適用するためにアプリケーションとしてのプログラムローダを用いて，SBoF脆弱性を招くライブラリ関数を，境界検査処理を行う安全な関数に置換することで，SBoF攻撃を緩和する手法の提案，実装および評価を行った．

近年XenなどのCPUのハイパーバイザ管理機能を用いた仮想実行環境において、各仮想機械におけるメモリ アクセスなどの監視を行うためのVMI(Virtual Machine Introspection)と呼ばれる機構が実装されている。 VMIは主にセキュリティ監視への応用が見込まれているが、特にマルウェアやルートキットなどの検査対象 プログラムに解析自体を検知されにくい隠匿性の高い振舞検査ツールへの利用が考案されている。 しかし、これらのツールは対象プログラムの実行に並行したシステム側の挙動を監視を目的としているため、 対象プログラムがどのような挙動を実際に行おうとしているかまでは詳細には知ることができない。 本研究ではVMIを用いて、プロセス切り替えを監視することで、対象となるプログラムのカーネルコードや 外部ライブラリコードをのぞいたユーザーランドの逐次命令実行トレースを抽出し、動的に制御フローグ ラフを作成するツールのPoC実装を行った。

昨今，マルウェアによる攻撃が後を絶たないが，とりわけ標的型攻撃による高度なサイバー攻撃は大きな脅威である．高度な攻撃の中にはメモリ上にしか痕跡を残さないものも存在し，通常のアンチウイルスでは防ぎきることは困難である．そのため，近年では侵入を前提とした防御が推奨されているが，メモリフォレンジックによる感染検出はそのような事後対策の一つとして有効である．メモリフォレンジックをとりまく現状として，メモリ解析のための良質なツールが無料で配布されているが，そのようなツールを用いた解析には高度な知識とノウハウが必要な場合が多く，予備知識や技能なしに使うことは難しいという問題点がある．そこで本論文では，公開されている手法を元に解析をスクリプト化し，簡単な操作でVolatility Frameworkを用いたヒューリスティクスに基づく多角的な解析手法について提案を行う．

管理されていないIoTデバイスの脆弱性が、インターネットへの深刻な脅威となりつつある。こうしたデバイスでは、ソフトウェアのソースコードへアクセスできないことがほとんどであり、またその数も莫大であるため、サイバー攻撃に対処するのが困難である。本稿では、こうしたIoTデバイスのソフトウェアを、クラウド経由のサイバーフィジカルループの中で維持・管理する手法について述べる。そして、その根幹技術となる静的バイナリーコード解析によるプログラムの脆弱性検査について説明する。

本論文では、ソースコードの静的解析によるAttack surfaceの削減手法を提案する。提案手法は２つの手順に分類される。第一に、脆弱性のある関数を検出する。次に、脆弱性のある関数のコールグラフの全数探索を行い、対象となるシステムの稼働状況などから呼び出される可能性の少ない、あるいは削除しても影響の少ない関数を検出する。脆弱性のある関数の検出には、字句解析と構文解析を適用する。提案手法では、最右導出を用いたセマンティックアクション部に、構文解析により検出された脆弱性のある個所を格納している関数の情報をRDBまたはKVSに格納する処理を記述する。コールグラフの全数探索には、全処理で格納された情報を取り出し、関数呼び出しを再帰的に辿る。具体的には、対象となる関数のスコープを行番号により設定し、２分探索を繰り返すことで関数間の呼び出しを列挙する。評価実験では、ミッションクリティカルなサーバで用いられることの多いオープンソースソフトウェアを対象に、CVEで提供されている脆弱性情報に関する関数の呼び出しを解析した際の処理時間などを測定した。

As cloud storage servers are becoming popular the shortage of disk space in the cloud becomes a problem. Deduplication is a method to control the disk size of the storage and most of the storage providers are finding more secure and efficient methods for their sensitive data. Recently, an interesting technique called signcryption has been proposed, in which both the properties of signature (ownership) and encryption are simultaneously implemented, with better performance than the traditional signature-then-encryption approach. According to the deduplication, we introduce a new method for a group of usersthat can eliminate redundant encrypted data owned by different users. We propose a new primitive group signcryption for deduplication called verifiable hash convergent group signcryption (VHCS) by adding the properties of group signcryption and the verification facilities for the storage server (third party).

In this paper, we propose a hash-based one-time signature (OTS) scheme which is more efficient than the Lamport-Diffie OTS scheme in terms of secret and public key sizes. Our construction is based on a new form of two binary hash trees, D-tree, that consists of the Merkle authentication tree and the Soshi and Waseda signature tree. Compared to the Lamport-Diffie OTS scheme, our scheme enjoys optimal public and secret-key sizes. Our scheme is proven to be secure under preimage and second-preimage resistance hash functions and pseudorandom generators. We can also apply this D-tree methodology to another OTS scheme, e.g., the Merkle OTS, to construct a more efficient OTS scheme.

We present a signature scheme with the tightest security reduction than ever known constant-size signature schemes from the Computational Diffie-Hellman (CDH) assumption. To the best of our knowledge, the tightest security reduction so far from the CDH assumption to a constant-size signature scheme was O(q), shown by Hofheinz et al, where q is the number of signing queries. They proposed a signature scheme by applying an error correcting code to Waters signatures. In addition, they also proved that security loss of O(q) is optimal if signature schemes (including theirs) are “Re-Randomizable". In this paper, we revisit a non-Re-Randomizable signature scheme proposed by Bohl et al. Their proposal has compact public keys at the price of security reduction. We observe that there is a tradeoff between public key size and the security reduction loss in their scheme. Moreover, by removing the usage of a pseudo-random generator and instead adopting a general transformation from extended random message attack security to chosen message attack security, we can obtain a signature scheme with security loss of O(q/d), where d is the number of group elements in a verification key, which is a-priori bounded polynomial in security parameter k.

Even-Goldreich-Mical 法は適応的選択メッセージ攻撃に対して潜在的偽造不可能な署名方式を、より弱い署名方式とワンタイム署名方式を組み合わせて構成する手法である。構成要素となる署名方式とワンタイム署名方式に求められる性質によって、幾つかの組み合わせが考えられる。本稿では、署名時と検証時で異なるメッセージ空間を持つ F-signature と呼ばれる方式を構成要素に用いる場合を含め、４種類の場合についてその性質の違いを論じる。

近年，Infrastructure as a Service (IaaS)が注目を集めている．多くのIaaS環境では各資源にURLが割り当てられ，REST API経由で各資源へのアクセスや操作を行う．IaaSにおけるシステムに登録されていないユーザに対してアクセス権限を委譲する場合は，事前署名付きURL(Pre-Signed URLs, PSURL)が利用されている．PSURLとは，資源へのURLと有効期限とを連結した文字列に対し，資源保持者のデジタル署名やメッセージ認証符号を付与したPSURLトークンを生成する方式を指す．PSURLトークンの受領者は，資源に対する一時的なアクセス権限を委譲されたことになる．しかし既存のPSURLでは，悪意のある受領者がPSURLトークンを不正配信したとき，資源に対する不正アクセスが発生する懸念がある．本稿では，不正配信を抑制するPSURLとして，受領者指定事前署名付きURLを提案する．提案方式を用いた場合，不正配信を行うには受領者が指定されたPSURLトークンとともに受領者の秘密情報も配信する必要があるため，不正配信の抑制が期待できる．

我々は整数上のロジスティック写像を用いた，暗号モジュール向けの擬似乱数生成器の構成に関する研究を行っている．その擬似乱数生成器の評価のために，3つの基本操作とそれらから成る基本モデルを定義し，様々なパラメータの決定を行うための調査を行っている．本稿では，基本操作の一つであるビット抽出操作に着目し，写像の入出力の関係を制御するコントロールパラメータに対する，写像値の生成過程の値における抽出に適したビット位置について議論する．ただし，この生成過程の値とは，出力値を生成する過程に現れる出力値の3倍のビット長の値を指す．まず，生成過程の値におけるビット毎の0と1の出現確率を数値実験により求め，擬似乱数を構成するビットとして適切な性質である，0と1の出現確率が等しいビットの位置を求める．次に，生成過程の値のビット列を均等に三分割したときに，それぞれのビット列が表す値の分岐図を求め，値の偏りの有無を確認する．最後に，これらの結果より，ビットの抽出位置を変えて生成した複数の擬似乱数ビット系列に対してNIST検定を行い，擬似乱数生成に適切なビットの位置について考察する．

Iot の実現に向け，スマートデバイスのセキュリティとプライバシーの保護の重要性が増してきている．なかでもセキュリティのコアプリミティブの一つである擬似乱数生成器は重要であるが，既存の擬似乱数生成器を省リソースであるスマートデバイスにそのまま適応できない．このため，スマートデバイスに搭載可能な擬似乱数生成器が必要である．このような背景から我々は，CSS2016においてNLFSR とDLFSR を組み合わせ，統計的にも優れた擬似乱数生成器を提案し評価した．本稿においては，ストリーム暗号に適用されることが多い識別攻撃，LFSRベースの構造に対して用いるGD攻撃を適用し，その安全性を評価する．

2冪剰余環上で全単射である（2冪剰余環上）置換多項式は多項式値が高速に計算可能であり，特にその中で周期が最大となる一筆書き多項式は擬似乱数生成器・ストリーム暗号に有用である． しかし，一筆書き多項式を単体で用いるとシステムが単純過ぎ，暗号に用いることは難しい． そこで，本発表では，一筆書き多項式を複数組み合わせる方法を紹介する． 一筆書き多項式を用いる利点はその長い周期であるので，周期を保ったまま組み合わせる方法を述べ，提案手法を用いて生成した乱数が高い乱数性を持つことを乱数検定を用いて実験的に示す．また，組み合わせることにより周期をさらに延ばす方法についても述べる．いずれの方法も並列化可能であり，一つの一筆書き多項式を用いた場合とほぼ同じ計算時間で処理出来る．

暗号で利用する擬似乱数生成器が生成する擬似乱数は平等性，長周期性のみならず予測困難性を必要とする．したがって，状態遷移関数は非線形関数でなければならない．幾何的系列は M 系列に非線形二値化関数を施すことにより得られる系列であり，多くの構成例が知られている．近年，野上らは二値化関数としてルジャンドル記号を施す幾何的系列（ NTU 系列と称する）を提案し，周期，周期自己相関及び線形複雑度を明らかにした．さらに野上らは NTU 系列に対するある種の一般化（一般 NTU 系列と称する）を提案し，周期及び周期自己相関を明らかにした．本稿では，一般 NTU 系列の線形複雑度に関して得られた性質を述べる．幾何的系列の線形複雑度に対しては Chan らによる定理が知られており，一般 NTU 系列に対しても本定理を適用することが基本となるが，ある条件下では適用出来ない．そのような場合に対しても，反転系列を導入することにより考察が可能となることを示す．

著者らは先行研究においてNTU系列と呼ばれる、有限体上のトレースおよびLegendre記号を用いた二値擬似乱数系列を提案している。この系列は擬似乱数系列において重要視される特性について、いくつかの良好な性質をみせている。さらに著者らはこのNTU系列の生成手法中に新たな計算を加え、拡張した系列(本稿ではNTU+A系列と呼ぶ)も提案している。本研究ではNTU系列とNTU+A系列の関係について考察するため、いくつか実験を行ってきた。その実験の中で、NTU系列とNTU+A系列を一定の長さに分割し、それらを新たな系列として定義した場合、それらの系列は系列中に含まれる各ビットごとの間で行う演算のもとで群を成すことがわかった。本稿ではこの性質についての詳細を述べる。

近年，半導体チップの偽造防止技術であるPUF(Physically Unclonable Function)が注目されている．本研究では，PUFの一種であるラッチPUFの経年劣化評価として，高温，高電圧の環境下において長期間の加速試験を行った．その結果，PUFレスポンスの再現性は安定しており，経年劣化への耐性が高いことがわかった．

遠隔保守や状態監視のニーズから産業機器や家庭用電化製品などの組み込み機器がWeb サーバ機能やVPN 機能を有するようになり，安全なネットワーク通信のためにSSL/TLS やIPSec の実装が必要となっている．一方で，機器のハードウェア構成上，セキュアなストレージを持たない機器では鍵管理が課題となる．本論文では，Glitch PUF を用いてセキュアなストレージを構成するにあたり，暗号トークンを利用するためのフレームワークであるPKCS#11 インターフェースでの機能提供を想定し，FPGA を用いてプロトタイピングを行った結果を報告する．

本稿では，物理複製困難関数 (PUF) から安定かつ効率的に一様ランダムなビット列を抽出するための新しいデバイアシング手法を提案し，ファジー抽出器 (FE) への適用について述べる．PUFのレスポンス多値化は，レスポンスの安定性とエントロピーを向上することができる手法として知られている．しかし，PUFを用いた認証によく用いられるFEにおいて，PUFの多値化レスポンスを用いたものはこれまで考えられていなかった．また，FEによる安全な認証のためには，一様ランダムなビット列からなるPUFのレスポンスを抽出する必要があった．そこで，本稿では，多値レスポンスから一様ランダムなビット列を効率的に抽出する多値デバイアシングと呼ばれる手法を提案する．その後，提案する多値デバイアシングのFEへの適用手法を示し，その安定性および効率を確認した結果を報告する．

著者らは，CSS (Computer Security Symposium) 2016においてマルチモーダル人工物メトリクスを提案した．これは，バイオメトリクスにおけるマルチモーダル認証にヒントを得たアイデアであり，物理的特性が異なる2つ以上の特徴情報を人工物に持たせることで，個々の人工物の真正性をより高い精度で検証でき，偽造品の製造を困難にできると考えられる技術である．著者らは，身近な人工物である合成樹脂製品に着目し，当該技術の実現可能性を探求するための実験を行った．電気特性をもつ合成樹脂と光学特性をもつ蛍光体粉末の混合物を用いてサンプルを作製したところ，抽出される2つの特徴情報（電気抵抗値と赤外線画像）はすべて異なり，特徴情報として使用できる可能性が高いことがわかった．

人工物の偽造対策技術として，製造者ですら複製困難な特徴を利用して認証を行う人工物メトリクスの研究が行われている．どの特徴を利用するか，なんのセンサでその特徴を読み取るのが有効かという議論がこれまでなされてきた．その中でナノオーダーの形状を人工物メトリクスの特徴とし，レーザー顕微鏡でその微細な特徴を読み，照合を行うナノ人工物メトリクスがある．1つの人工物に1つの照合領域を用意し，センサから得られた値で相関係数を求めて照合を行うという単純な照合でもある一定の照合精度が得られることが分かっている．そこで，照合アルゴリズムをさらに改良することで，照合精度や耐久性などの向上が期待できる．紙の可視光人工物メトリクスなどの照合精度や耐クローン性・耐久性の向上に関して，照合する領域を単一とせず，複数の領域を用いる分割照合が有効であることが示されており，ナノ人工物メトリクスにおいても同様に有効であると考えられる．本論文では，ナノ人工物メトリクスの１つである金属箔人工物メトリクスを対象とし，分割照合を適用することでシステムの評価を行い，照合精度や耐久性が向上することを示す．

MITHRA(Multi-factor Identification/auTHentication ReseArch)プロジェクトでは，スマートフォンやウェアラブル端末の位置情報等のビッグデータを解析する事で，ユーザを認証する「ライフスタイル認証」を提案しており，この実証実験を2017年1月に民間企業と連携して実施する． この実証実験では，ユーザに認証を特別な事と意識せずに認証する技術を体験させ，利便性と安全性を実現するライフスタイル認証の有用性を確認するとともに，社会実現に向けた課題を調査する． 本稿では，本実験の目的と詳細について紹介する．

近年多くのデバイスによって，人々の行動を様々な観点からセンシングデータとして記録できるようになった．それに伴い，センシングデータから解析された日常的な行動パターン情報を用いてユーザを認証する「ライフスタイル認証」と呼ばれる手法が提案されている．しかし明示的な動作を必要とする従来の認証手法と異なり，暗黙的に収集されている行動パターン情報はユーザごとにばらつきが大きい．そのため認証するのに十分な習慣性を保持していないユーザも一定数おり，全体としての認証精度が低下する一因となっている． そこで本研究では，ライフスタイル認証に対するユーザの適性を評価する手法を提案する．またその実効性を分析するためライフスタイル認証の一要素として考えられる検索履歴認証において3種類のユーザ適性指標を設定し，ユーザの適性を十分に評価できているか，認証精度とどのような関係を持つのかを実際の検索履歴を用いた実験で調査した．

近年，人々の生活パターンを利用したライフスタイル認証が注目を浴びている． ライフスタイル認証では位置情報，電波情報，運動情報など，スマートフォンやウェアラブル端末などの周辺機器に搭載された，センサーで取得される情報が認証要素として利用されることが多い． またその他に，スマートフォンアプリの利用履歴情報もライフスタイル認証の認証要素として利用することが考えられる． 先行研究ではマンガ閲覧アプリの閲覧タイトルや閲覧時間を利用した認証手法が提案されているが，認証精度はそれほど高くない結果となっている． 本研究では，従来の閲覧タイトルと閲覧時間に加え，付帯するその他のマンガアプリ利用情報を特徴量とし，マンガアプリの利用履歴情報が個人認証として活用できるかを検証した．

近年，個人情報の漏洩が問題となっており，特にパスワードが流出した場合には簡単になりすましが発生してしまう可能性がある．パスワード以上に「強い認証」を実現するための認証手段として，ワンタイム・パスワードや生体認証，PKI認証等があり，更にそれらを複数組み合わせて利用するマルチサインオン技術も存在する．ただしそれら各技術に対応する設備環境を取りそろえるのはサービス提供側にとって負担が大きく，利用者にとっても認証手段を使い分ける面倒が生じる．そこで本論文では，Webサイト訪問履歴を利用した追加認証方式を提案する．本方式では通常のパスワード認証に加えて，ユーザが事前に登録した順番通りに特定Webサイトを訪問したかどうかで追加の本人確認を行う．サイトの訪問履歴はクライアント端末に保存されるものを利用せず，アイデンティティ・プロバイダ(IdP)と呼ばれる認証サーバから各サイトが画像取得する際に記録されるログを用いるため，ユーザは特別な機器や追加ソフトウェアを必要とせず，簡易にいつでもどこでも利用できる方式である．

近年，モバイル端末の普及とオンラインサービスの増加により，ユーザの行動を履歴情報として常時記録できるようになってきた． これらの行動履歴情報はレコメンデーションなど様々なサービスで活用されており，個人認証の分野においてもリスクベース認証などに利用され始めている． 一方で，認証要求時のある一時点の情報を本人確認のための認証情報に用いる従来の個人認証とは異なり，認証情報に履歴を用いる場合，時間的な幅のある情報を認証情報に用いる事になる． 履歴情報とはユーザが行った行動とタイムスタンプを組み合わせたものであり，認証に用いるためには，履歴情報の開始時間と終了時間までの間の時間を考慮する必要がある． 本稿では，行動履歴情報のウィンドウ幅について考察し，履歴情報を用いた行動認証と既存の個人認証手法との違いを考慮したモデルを提案する．

研究活動とResponsible disclosureのセッションを開始するにあたり、研究者の探求心という視点から研究活動について事例と共に紹介する。（本講演は企画セッションでの講演のため論文はありません）

米国ではサイバーセキュリティに関する研究倫理の議論が進んでおり、サイバー セキュリティに関する先進的な観測手法や解析手法に関する研究開発が飛躍的に 進んでいる状況にある。本発表では、サイバーセキュリティ研究倫理に関する米 国を中心とした状況、研究論文からケーススタディを紹介する。（本講演は企画セッションでの講演のため論文はありません）

サイバーセキュリティ分野でのResponsible disclosureの具体的な事例を研究概 要と共に紹介する。（本講演は企画セッションでの講演のため論文はありません）

日本において研究倫理を本格的に検討しサイバーセキュリティ研究を推進するた めの施策や研究コミュニティのあり方についてディスカッションする。（本講演は企画セッションでの講演のため論文はありません）

Sahaiら (CRYPTO 2012) やWatanabeら (ICITS 2016) は，近年，ユーザの手元ではなくクラウドストレージ等の外部ストレージにデータが保存される状況が増えてきていることを鑑み，外部ストレージ上の暗号文の復号権限を動的に変更できるような方式を提案している．しかし，Sahaiらの方式は (計算量的に安全な) 属性ベース暗号であるためクラウド環境と親和性が高いものの，安全性や効率性が不十分である．また，Watanabeらの方式は情報理論的に安全な放送型暗号であるため強い安全性を保証できるものの，非常に長い鍵長を必要とする．本稿では，計算量的に安全な放送型暗号の枠組みで，暗号文の復号権限の動的な変更機能を有し，かつ強い安全性を持ちながらも効率的な方式を提案する．

放送暗号は暗号文の復号権限を制御することのできる暗号化方式である．従来の放送暗号では暗号文は同報送信で送られることを想定されており，これは当然ある種のネットワークを介して暗号文が送られていると考えることができる．本稿では，暗号文を送るネットワークについて再考する．具体的には，閾値秘密分散型のネットワークを考え，既存の放送暗号に比べより鍵長の効率的な方式を実現できることを示す．

　現在の放送サービスにおいて，家庭で契約しているチャネルを家庭外で視聴しようとした場合，CASカードを持ち歩かなければならない．ただし，受信機やレコーダの構造上，CASカードの着脱は容易ではない．そこで，CASカードを持ち出すことなく，電子データとしてある秘密鍵を携帯端末に入れて家庭外でサービスを享受する方法を提案する． 　提案方法においてサービスを享受する場合は，事前に行く先の住所，日程などを属性として利用して生成される秘密鍵を受け取り，携帯端末に入れ出先まで持ってゆく．そして出先においては，携帯端末から取得できる出先のGPS情報等の位置情報と，日時に応じた暗号文をサービスプロバイダにリクエストして受け取る．この暗号文は放送を復号するための復号鍵が暗号化されたものであり，範囲指定のできる関数型暗号，中でも属性ベース暗号方式で暗号化されたものである． 　このシステムの場合，秘密鍵を取得する場合と，暗号文を取得する場合の位置情報，日時情報に差が生じる場合がある．このため提案方法では，属性に対し範囲指定のできる方式を利用する．関数型暗号をこのように利用することで放送の利便性を高めることができる．

安全なメッセージ伝達方式とは，2者間通信においてチャネルと呼ばれる通信路を複数用いることで，盗聴や改ざんを行う敵がn本のチャネルのうち高々t本のチャネルを支配していても情報理論的に安全にメッセージ伝達ができる暗号方式であり，Secure Message Transmission(SMT)と呼ばれている．一方暗号理論のプロトコルにおける参加者は，プロトコルに真に従う正直者と，プロトコルに対し任意の攻撃を行う敵のいずれかのみが想定されているが，これら参加者の代わりに，ゲーム理論における「合理的なプレイヤー」というモデルを導入することで，より現実的なモデルに対する安全性の議論ができることが知られている．著者らはSCIS2016において，安全なメッセージ伝達方式における敵の代わりに，特定の利得の関係を持つ「合理的な敵」というモデルを想定し，通常の敵の場合に比べて支配限界値が改善されることを示した．本研究では既存研究の拡張として，「複数の合理的な敵」というモデルを想定し，このモデルに対してPSMTを達成できるプロトコルの提案及び限界値を示す．