公開鍵暗号の一種であるIDベース暗号において，その安全性の一つに匿名性がある．この匿名性は攻撃者と挑戦者の間におけるゲームによって定義される．現在の匿名性定義として，ANO-LOR-ATKモデルが定義されている．このことから，ISEC2016-71にてANO-SW-ATKモデル，ANO-ROR-ATKモデル，ANO-PR-ATKモデルを提案し，それらの関係をCPA, CCA1の場合について明らかにした．またSCIS2017にて，CCA2の場合について，ANO-SW-CCA2モデルを用いたIDベース暗号が安全ならば，ANO-LOR-CCA2モデルを用いたIDベース暗号は安全であるということを示した．本研究では，ANO-ROR-ATKモデルとANO-PR-ATKモデルはIDに関する攻撃法を考慮した際に，攻撃法によってはモデルを定義できない可能性があることから，ANO-ROS-ATKモデル，ANO-PS-ATKモデルを提案し，IDに関する攻撃法を考慮したCCA2の場合における関係を明らかにした．

本稿では鍵依存平文安全性（Key Dependent Message安全性）を満たすIDベース暗号を構成する．提案構成は適応的ID攻撃に対して安全である．また提案構成の安全性は，安全性ゲームにおいて攻撃者に許すクエリの回数に一切の制限を設けることなく証明可能である．上述の安全性を満たすIDベース暗号は提案構成が初めてである．

複数入力関数型暗号は、複数の引数を扱う関数をサポートする関数型暗号であり、複数入力内積関数型暗号はその扱う関数を複数の引数（ベクトル）をとる内積に限定したものである。関数秘匿とは、関数型暗号において各復号鍵が埋め込めまれている関数を秘匿しているという性質であり、内積関数型暗号の場合、鍵に埋め込まれたベクトルが秘匿されているということを意味する。本稿では、関数秘匿性をもつ複数入力内積関数型暗号を双線形写像から構成する。また、その拡張として無制限の引数を扱うことができる方式も合わせて提案する。すなわち、拡張方式ではSetupアルゴリズムの起動時に引数を固定する必要がなく、マスター秘密鍵のサイズは扱える引数の数に依存しない。

IDベース準同型暗号とは, IDベース暗号と準同型暗号を組み合わせた暗号方式であり, 任意のIDを公開鍵として用いる暗号化及び暗号文同市の準同型演算を同時に達成できる. .IDベース準同型暗号において, 計算する回路の深さや入力長に依存せずに準同型演算を行う事が出来る性質をNon-leveled性と呼び, 異なるIDで暗号化された暗号文同士ても準同型演算を行う事が可能な性質をMulti-key性と呼ぶ. CRYPTO 2013において, Gentry, Sahai, WaterはLWE仮定に基づいたIDベース準同型暗号の最初の構成を与えたが, この構成はNon-leveled性, Multi-key性 のいずれも満たしていなかった．その後のいくつかの研究において改良方法が提案されているものの,完全なNon-leveled性やMulti-Key性を満たす構成のためには,ランダムオラクルモデル(RO)や識別不能性難読化(iO)といった強力な仮定を安全性証明の際に用いる必要があった． 本研究では,達成される安全性を攻撃者が入手できる秘密鍵の個数を制限するq-bounded安全性に弱める事によって,標準的な仮定のみに基づいたNon-leveledかつMulti-keyなIDベース準同型暗号を構成する方法を提案する．

近年，クラウドサーバにファイルを保存しそのファイルへどこからでもアクセス可能なクラウドサービスが広く使われている．クラウドサービスを用いてユーザ間で安全にファイルを共有する際には，データ所有者が暗号化されたファイルをクラウドサーバに預け，権限を持ったユーザがその暗号化されたファイルと復号鍵を受け取り復号する方法が考えられる．ユーザに権限を与える際に時間制約情報を付けてその期間でのみファイルの復号を可能とするような方式として，時間ベースプロキシ再暗号化方式が提案されている．しかしその方式では時間制約を細かく設定するに従って暗号文のサイズが大きくなってしまうという問題があった．本研究では，階層型IDベースプロキシ再暗号化方式を提案し，拡張した決定的双線形Diffie-Hellman仮定の下で選択暗号文攻撃に対して安全であることを示す．また，提案した方式が時間ベースプロキシ再暗号化に応用でき，より効率化が図れていることを示す．

制限可能擬似ランダム関数は述語により秘密鍵を制限できるような擬似ランダム関数である．十分広いクラスの述語を扱える制限可能擬似ランダム関数の既存の構成は難読化，格子，または多重線型写像を用いており，多重線型写像を持たない群を用いた構成は知られていなかった．本稿では深さがO(log n)であるような任意の回路（NC1回路）を述語として扱うことの出来る制限可能擬似ランダム関数を多重線型写像のみならずペアリングすら持たない群を用いて構成し，提案方式が攻撃者が高々一つしか制限された秘密鍵を得ることができないようなモデルにおいて安全であることをDDH仮定およびL-DDHI仮定のもとで証明する．

Blazyらは，シグマプロトコルの代数的な性質を利用して，Lindellの汎用結合可能コミットメント方式への攻撃を示した．Sakuradaらは，この攻撃に使われたシグマプロトコルの代数的な性質を一般化し，複製可能性として定式化した．また，Schnorr方式などの代表的なシグマプロトコルが複製可能性を持つことを示した．一方で，暗号プロトコルの構成において，シグマプロトコルのORやANDなどの合成した条件を用いる場合が多いが，合成における複製可能性は明らかでなかった．本稿では，シグマプロトコルの合成において，複製可能性が保存されるかどうかを評価した．結果として，OR合成とAND合成については一般的に複製可能性が保存されるが，並列合成については単純には保存されないことを明らかにした．

An asymmetric pairing requires asymmetric input pair, namely there exist two input data types for an asymmetric pairing. This means crypto designers must choose a data type for each variables consistently in their cryptographic schemes. For some cases, it is actually impossible to satisfy such data type assignments. Even if it is possible, their choice drastically impacts on the efficiency of their schemes. Therefore it is interesting how to satisfy and optimize this assignment, but it becomes a complicated task when the scheme is large. Pairing type satisfiability and optimization problems are formalizations of such tasks. It is known that there exists a polynomial-time algorithm to solve the pairing type satisfiability problem. However it has been unclear how hard the pairing type optimization problem is. In this work, we provide a comprehensive theory of pairing type optimization problem, and show that there exists no algorithm to solve it in the worst case in time polynomial in the size of input, if P != NP.

特殊な形の平方数を法とする積和演算の方法を提案する. ここでは, 平方数をσ^2と書くとき, σ=2^(w/2)-νかつνが小さいという条件を満たす場合を考える. RNS表現による演算ではσの形の法を用いることが多いが, それはσを法とする剰余計算を, νによる乗算と加算の繰り返しに分解できるからである. これに対してσ^2を法とする場合には, オペランドをσ進数で表現することにより, 1の位とσの位の計算のみ行えばよく, 乗算で生じたσ^2の位を含め, より上位の計算は不要となる. これはmod σ^2演算により, 上位の値が0となるためであり, 計算量の削減が期待される. 一方, １の位からσの位への桁上がりを求めるためには, １の位の計算結果をσで割った商を求めるアルゴリズムが必要になる. 本稿では反復手法によりσで割った商を求める方法を示し, σ^2を法とする積和演算法を提案する. また, これを筆者らがSCIS 2017で提案したRNS Montgomeryリダクション・アルゴリズムに適用した場合の計算量について考察する. RNS Montgomeryリダクション・アルゴリズムは多くのペアリングを含む公開鍵暗号の実装に適用可能である.

近年，暗号通信技術への数多くの応用を生み出している識別不可能性難読化器の研究が盛んに行われている．通常の識別不可能性難読化器は決定性回路に対するものであるが，TCC 2015 にて Canetti らが入力に乱数を含む回路に対する難読化器を構成した．特に彼らは静的入力標本器と呼ばれる標本器に対する難読化器を構成し，その安全性を証明した．また彼らは最悪時入力標本器と呼ばれる標本器に対する識別不可能性難読化器が存在することを予想した．本稿ではその最悪時入力標本器の緩和版に対する難読化器の構成と安全性証明を与える．

ブロックチェーンにおけるProof of Workへの応用にみられるように，比較的容易な問題の計算量解析が近年活発に議論されている．本稿では実用的にも重要な問題である行列冪に対する自己修正器(self corrector)を与え，行列冪の平均計算量が最悪計算量に漸近的に近いことを示す．

情報資産を取り扱うIT製品/システムにおけるセキュリティの重要性が増しており，これらの情報資産を保有する組織や企業には，十分なセキュリティ対策の実施が求められる．しかし，対策を導入するシステムや組織毎の制約を考慮した上で，対策を計画することは，脅威の数が増えるほど作業負荷が高くなり困難である．この課題に対し，筆者らはSCIS2017において対策選定の自動化を目的に，アタックツリー上の攻撃活動に対して，データベース化した対策の集合の中から対策の候補を割り当て，その効果を評価することで，個々のシステム/組織に固有の制約の下で効果的な対策の組み合わせを得るための手法を提案した．しかし，従来のアタックツリー生成技術では，対策の自動選定に対し不十分であった．本提案では，対策の自動選定を行うためのアタックツリー自動生成を検討し，そのプロトタイプを作成した．

開発ライフサイクルの早さを特徴にしているモデルベースが開発現場で普及しつつある。その開発において、 セキュリティ機能の自動適用を目標に研究している。一般に、開発におけるセキュリティ機能の検討は2つのフェーズで行われる。第1のフェーズは脅威分析と、その対策機能の選定である。第2のフェーズは規格要件の対応である。 第1のフェーズの自動化の課題は、セキュリティ専門家による第三者視点のレビューの実装が難しいことである。 第2のフェーズの自動化の課題は、セキュリティ機能について規格内に留まり、最適な機能の出力が難しいことである。 本稿は上記目標の一部として、両機能をマージすることで、規格の範囲に留まらない広い脅威とその対策を反映しつつ、 第三者の基準を規格によって付与するセキュリティ機能を分類・明示することで課題の解決を目指す。 ただし、両機能は入力の違いにより出力も異なるため、直接比較・マージできない。そこで、その違いを整理するために機能の粒度や基準を合わせる必要がある。本稿ではその整理にNIST sp800-53やISMS、CCを参照に分類した。その分類は986になり、それを用いて異なる規格であるIEC62443-3-3の100の要求が適合するかを検証した結果、一部の要求の重なりや新しい分類の基準を見つけることができた。

制御システムへのサイバー攻撃の増加に対して、 今後セキュリティ専門家が不足し対策が間に合わなくなる恐れがある。 そこで、システムの設計者自身がセキュリティを適切に設計できる仕組みが必要であり、 セキュリティ設計の自動化がポイントとなる。 システムに対する脅威を特定、評価し、対策すべき脅威を決定するための リスク分析のプロセスは自動化に関する研究が比較的進んでいるが、 対策の自動化はそれほど進んでいない。 特に、対策をシステムのソフトウェア設計に反映させるためには、 脅威が実際に発生する要因となる脆弱性を ソフトウェアの処理のレベルで特定する必要がある。 本論文では、ステートマシンで表したソフトウェアの動作モデルを用いて、 リスク分析で抽出された脅威に対応する脆弱性を特定する方式を提案する。

制御システムを対象にしたサイバー攻撃の増加により，システムで動作するソフトウェアの脆弱性を低減する必要がある．また，セキュリティ専門家の不足も指摘されており，セキュリティ設計や実装の作業自体の効率化やセキュリティに関する専門知識がない開発者が設計・実装しても，その開発物がセキュアになる技術の確立が必要である．本稿では，ソフトウェアの設計情報をUMLやSysML等の設計モデルとして設計・実装する開発手法において，詳細な設計モデルとセキュリティリスク分析の結果を使うことで，ソフトウェアの詳細設計や実装時に行うセキュリティ脆弱性分析の作業負荷を低減するための方法を提案する．

制御システムへのサイバー攻撃が増加し、脆弱性の低減や攻撃検知等が求められる一方で、セキュリティを設計・実装できる専門家が不足していることが指摘されている。したがって、専門知識が無い設計者でも、適切なセキュリティ機能を実装可能とするツールが求められている。一方、プログラム開発において、ブロック図やモデル等を使って記述したプログラム仕様に基づいてソースコードを自動生成する「モデルベース開発技術」が利用されている。本稿では、モデルベース開発技術を利用したセキュリティ設計手法を提案する。処理フローが記述された制御モデルの入力に対して、セキュリティ機能・対策される脅威・導入箇所が保持されたデータベースとの照合を行うことで、処理中で適切な箇所に適切なセキュリティ機能を導入したパターンを生成することができる。本手法により、セキュリティの専門家でなくても、容易にセキュリティ機能を含む制御モデルを作成することを可能とする。

暗号回路から発生する電力などを利用するサイドチャネル攻撃が脅威となっている．なかでも漏洩電磁波を利用する電磁波解析攻撃には，電力解析攻撃とは異なる性質があるため，新たな攻撃の可能性が存在する．我々は電磁波特有のリークとして，DFFが値を保持しているだけで生じる静的DFFリークの存在を示してきた．これまでは静的DFFリークを利用して，AES暗号回路のラウンドデータレジスタのハミング重みによる相関解析を行ったが，1Byteの部分鍵しか解読できなかった．この原因を調査したところ，推定中間値であるレジスタの各ビットを同じハミング重み１として扱っていたが，物理配線と電磁界プローブとの距離により取得できる電磁波リーク量が異なっており，ハミング重みによる線形性が崩れているためだとわかった．この結果から，まずは単純なCEMAよりも1bitDEMAの方が解読できる鍵数が増えることを確認し，ビット毎に重み補正を行ったCEMAにより85万波形で全暗号鍵が窃取できる事を示す．そして，これらの攻撃を行うための条件や攻撃効率などの特徴をまとめ比較し，静的DFFリークによって既存の攻撃対策が破られる可能性を示す．

暗号回路のサイドチャネル攻撃に対する，安全性評価手法の国際標準としてISO/IEC 17825が2016年1月に制定された．ISO/IEC 17825は，脆弱性が明らかかどうかを判別することに着目しており，専門知識の代わりに統計テストを用いて短期間で安全性を評価することを目的としている．その中で暗号モジュールの内部データと外部で観測した動作消費電力に相関がみられるか，つまり内部情報が漏洩しているか否かをその動作消費電力のエントロピーを測定することで評価するウェルチのT検定が用いられる．本稿では，T検定対策としてサイドチャネル攻撃未対策の標準AES暗号回路に，分散ノイズの大きい合成体S-Boxを複数個連結した段数違いのノイズ生成モジュールを並走実装し，T検定を行う．その後，T検定で取得した動作消費電流波形を用いてDPA/CPA解析評価を行い，T検定結果とDPA/CPA解析結果との相関性を確認した．その結果，T検定の評価クライテリアが満たされていても，DPA/CPA解析評価で鍵解析に成功する可能性があることが示された．

近年，スマートフォン等の普及に伴い，様々な公共スペースでの同端末の利用が急激に増加している．しかし，モバイル機器の画面更新時の放射電磁波を利用した画面盗視（電磁的画面盗視）の可能性が示されており，公共スペースにおける新たな脅威となっている．本稿では，放射電磁波の統計的分析に基づく電磁的画面盗視に対する安全性評価方法を提案する．また，タブレット機器と低コストの計測器を使用した実験を通して提案手法の有効性を評価する．

本稿では、アナログデジタル変換器（ADC）に対する情報改竄攻撃手法の検討と、その評価について報告する。IoT社会の到来に伴い、センサが取得した情報の安全性確保が重要視されている。特に医療・車載向けのIoT機器において、センサ情報が悪意のある情報に改竄されると、生命に関わる重大な事故を引き起こしかねない。本研究では、センサシステムの必須回路であるADCを介して情報改竄攻撃を行う手法の検討を行った。現在のIoTセンサノードにおいて、小型・低消費電力の観点で最も普及しているSAR型ADCを攻撃対象とし、電荷再配分動作時の基準電圧に擾乱を加えることでADCの変換データを改竄する攻撃を提案した。市販されているADCのICチップに対し、本提案攻撃を実施することで、任意のビット判定時における誤判定を誘発することを確認した。さらに、本攻撃を実施するための専用ハードウェアの実現可能性を示し、ADCの物理セキュリティ向上が急務であることを示した。

Heninger and Shacham は、cold boot attack で得られたRSA 暗号の秘密鍵の一部から、消失部分を復元する方法を示した。しかし、多くのメモリを必要とするとともに、Coppersmith の方法を多数回、適用しなければならない。本論文では、秘密鍵が(p, q) の場合に対し、O(1) のメモリしか必要とせず、かつ、Coppersmith の方法を１回適用するだけで済む方法を示す。従来の方法が消失部分を下位ビット、または上位ビットから順に求めているのに対し、本方法は、p_min ? p ? p_max, q_min ? q ? q_max となる(p_min, p_max)、(q_min, q_max) を求め、その範囲を徐々にせばめていくことによりp, q を求めるというものである。

本稿では，ガロア体上の乗算に基づく認証タグ生成部に対する新たなサイドチャネル攻撃を提案する．提案手法では，タグ生成時にシーケンシャルに実行されるガロア体乗算の結果のハミング重みの情報を利用し，計算機代数的な手法により認証タグ生成1回分にあたる1波形のみから認証鍵を抽出する．本稿では，特にPoly1305のガロア体乗算に基づく認証タグ生成に着目する．同認証タグ生成に対する代数的サイドチャネル攻撃を提案し，計算機による攻撃シミュレーションによりその適用可能性を示す．

近年，サイバー攻撃による被害は深刻になっており，社会問題となっている． サイバー攻撃には，短期間から長期間にわたって活動するものがあるといわれている． そこで，短期間の通信データだけではなく，長期間の通信データも分析する必要があると考える． 本論文では，長期間にわたって観測した通信データの分析手法を提案し，その分析結果から見つけることができたサイバー攻撃と思われる通信を報告する．

インターネット経由で行われるサイバー攻撃に対処するためにはインターネット発着の通信を分析する必要がある．しかし，通信量が膨大であることから全ての通信を分析対象にすることは困難である．そのため，詳細に分析する通信の絞り込みにIDS(Intrusion Detection System: 侵入検知装置)を用いることがある．一方で，1年以上も検知されなかったサイバー攻撃や，意図が不明な通信やサイバー攻撃と推定される通信がインターネット上には存在する．検知が困難なサイバー攻撃やサイバー攻撃と推定される活動に対処するためには，全ての通信を長期間蓄積したデータを分析対象にする必要がある．そこで本論文では，長期間に渡って観測した全ての通信を分析するための可視化手法を提案する．併せて，インターネットに設置したセンサーが長期間蓄積したデータセットを用いて分析をしたので報告する．

近年，情報の窃取を目的とした標的型攻撃や金銭の要求を目的としたランサムウェアによるインシデント 被害などWebを媒介とした攻撃が高度化しており，企業や国家にとって重大な脅威となっている． 本稿ではWeb媒介型攻撃において最も一般的で深刻な脅威であるDrive-by-Download攻撃を対象とし， Drive-by-Download攻撃で頻繁に使用されるExploit Kitの1つであるRIG Exploit Kitに焦点を当て， 機械学習手法の1つである決定木を用いて，RIG Exploit Kitに現れる特徴についての分析を行った結果を示す．

　Cyber Threat Intelligence (CTI) はサイバー攻撃の5W1Hを説明する情報で，CTIを活用することで効果的なサイバー攻撃対策が実現できると期待される．攻撃対策ではCTIから得られるIPアドレスや，マルウェアのハッシュ値といった観測情報を，各機器が持っているブラックリストへ登録し，対策を行っている．しかし，日々共有される膨大なCTIを取り込むと，オペレータが観測情報をブラックリストから破棄しない限り，ブラックリストは肥大化し，様々な影響が生じる．そこで，各防衛組織にとって効果的な観測情報の有効期限の計算方法を提案する．

サイバー攻撃情報の共有、利活用が進められている中で、提供されるスレットインテリジェンスを防衛側の組織が効果的に利活用するための方式および、関連するスレットインテリジェンスの可視化ツールCTI-K+を開発した.攻撃情報を絞り込むための組織ナレッジと、具体的な絞込み結果、可視化の表示例を示し、スレットインテリジェンスの効果的な利活用方法を提案する.

サイバー攻撃を観測するため，ネットワークサービスを模擬するハニーポットが研究開発されている．ハニーポットの種類は多岐に渡るが，オープンソースのハニーポットはシステム構築が容易であるため広く運用されている．しかし，オープンソースのハニーポットは応答の特徴の調査が容易であり，ハニーポットとして検知されてしまう危険性が高い．本研究では，オープンソースハニーポットの特徴的な応答を検知するシグネチャを作成し，ネットワークスキャンを行うことでハニーポットの運用実態について調査を行う．評価実験では，14種類のオープンソースハニーポットのテスト入力に対する応答を調査し，ハニーポット検知用のシグネチャを作成した．そして，ネットワークスキャンツールを用いた実態調査により多数のハニーポットが上記のような単純なシグネチャにより検知される状態で運用されていることを示す．また，このようなシグネチャベースの検知を回避する方法についても検討する．実態調査では，FTPサーバ機能の不備によりマルウェアがアップロードされ，誰でもダウンロード可能な状態で運用されているハニーポットも発見したため，ネットワーク管理者に通報を行った．

To add more functionality and enhance usability of web applications, JavaScript (JS) is frequently used. Even with many advantages and usefulness of JS, an annoying fact is that many recent cyberattacks such as drive-by-download attacks exploit vulnerability of JS codes. In general, malicious JS codes are not easy to detect, because they sneakily exploit vulnerabilities of browsers and plugin software, and attack visitors of a web site unknowingly. To protect users from such threads, the development of an accurate detection system for malicious JS is soliciting. Conventional approaches often employ signature and heuristic-based methods, which are prone to suffer from zero-day attacks, i.e., causing many false negatives and/or false positives. For this problem, this paper adopts a machine-learning approach to feature learning called Doc2Vec, which is a neural network model that can learn context information of texts. The extracted features are given to a classifier model (e.g., SVM and neural networks) and it judges the maliciousness of a JS code. In the performance evaluation, we use the D3M Dataset (Drive-by-Download Data by Marionette) for malicious JS codes and JSUPACK for Benign ones for both training and test purposes. We then compare the performance to other feature learning methods. Our experimental results show that the proposed Doc2Vec features provide better accuracy and fast classification in malicious JS code detection compared to conventional approaches.

インターネットの普及に伴い，Webアプリケーションに対するサイバー攻撃が増加している．本稿では、XSS攻撃に焦点を当て，その対策を検討する．現在，対策として，Webアプリケーションの開発，運用，コードレビューに関するガイドラインが策定され，サニタイジングも一般的になっている．しかし，攻撃の方法は多岐に渡っている現状において，完全に無害化することは容易ではない．このような多様な攻撃に対しては，予め規定された動作のみを許可するホワイトリスト型の防御戦略が有効である．しかし，必要十分なホワイトリストを作成するための方法論が確立しておらず，効果が限定的になっていた．そこで，本稿では，Webアプリケーションのスクリプトに対して，「仕様書に示されたとおりの動作」をホワイトリストとして定義することで，XSS攻撃を検知する手法を提案する．本手法では，開発工程の中で必ず行われるテストに着目し，ホワイトリストをテストケースから自動生成する方法を確立する．これにより，従来の開発工程を変更することなくホワイトリストを作成することが可能となる．本提案手法をテストツールである「Selenium」を用いて実装・評価し，提案手法の有効性を示す．

Webを介するサイバー攻撃に使用されるJavaScriptコードは，目的の隠蔽や検知回避のために，難読化などの解析妨害が施されていることがある．迅速な対応が求められるサイバー攻撃において，このようなコードの迅速な解析が課題となる．そこで，我々は，プログラムの挙動を把握できるようにAPI操作を捕捉してログを取得する手法を提案し，難読化JavaScriptコード解析支援システムとして実現した．しかし，API操作の捕捉のみでは，難読化JavaScriptコードの読解において重要となる代入文や条件分岐文の実行時情報を得ることができない．そこで，コード中の動的にフックできない式や文に対し，コード変形により静的フックを実現し，実行時情報を得る手法を提案する．この手法で得た実行時情報をコード中の記述に対応付けることにより，コード読解を支援する．本稿では，その実現方式を述べる．また，提案手法を実現した解析支援システムの評価として，難読化JavaScriptコードの解析実験を行った結果を報告し，考察する．

リバースプロキシやロードバランサー,CDNなどのサービスはwebコンテンツをキャッシュする機能を持つ. Omer Gilは,これらのキャッシュ機能の設定の不備を利用したWeb Cache Deception Attackを提案した. Web Cache Deception Attackは,攻撃者がユーザに秘密情報を含むページのキャッシュデータを作らせて, 攻撃者はそのキャッシュデータにアクセスすることにより秘密情報を窃取する. 本稿では,Web Cache Deception Attackを発生させるアプリケーションサーバの問題点を調査した. クライアントとアプリケーションサーバの間に存在する特定のサービスが使用されていることを明らかにする方法を示した. さらに,そのサービスを利用しているアプリケーションサーバ内の各ページに対して,Web Cache Deceptionの脆弱性が存在するかを検知するプログラムを作成した.

Dockerとはコンテナ型の仮想化を行うソフトウェアであり、ホストの1プロセスとしてDockerコンテナを構成する。コンテナはホストとカーネルを共有し、そのユーザーはコンテナ内のカーネルを知ることでホストのカーネルを知ることができる。CloudIDEの一つであるEclipseCheはDockerコンテナを用いてワークスペースを構築し、その上でユーザーはプログラミングを行う。EclipseCheのデフォルト設定において悪意あるソースコードは実行される。悪意あるソースコードは攻撃者にホストのカーネルバージョンをもたらし、そのバージョンが抱えている脆弱性を攻撃者は攻撃することができる。また、悪意あるソースコードはEclipseCheをDoSボットにする。多くのCloudIDEもDockerコンテナを用いた構成となっており、攻撃を受ける可能性がある。本稿では、まず、EclipseCheのデフォルト設定において実行可能であった悪意あるソースコードを説明する。次に、カーネル情報の漏洩とDoSボット化に対する対策手法を提案する。最後に、CloudIDEがセキュアであるためのポリシーについて議論する。

インターネットから利用できるウェブサービスにおける認証方式は, IDとパスワードを用いる方式が一般的である. 近年のサイバー攻撃では, あるウェブサービスから漏えいしたIDとパスワードが他のウェブサービスの攻撃に悪用される事例が確認されており、被害も増加している. このため, ID とパスワードを用いる認証に代わり, 安全性を向上させた認証方式が必要となっている. 本稿では, JavaScriptとPKCS証明書を用いて, IDとパスワードが漏えいした場合においても, サイバー攻撃の被害を軽減できるウェブサービス認証方式の提案と実装について説明する.

本稿では、複数入力可能な内積暗号において、個々のデータを暗号化をするデータ提供者のプライバシーを保護する技術を検討する。

自身のデータを暗号化したまま計算処理できるような暗号方式であるFHE（Fully Homomorphic Encryption）では、単一の秘密鍵に対応する暗号文の間でしか準同型演算（計算処理）ができない。そのため復号に用いる秘密鍵の管理に問題が生じる事がある。 そこで異なる秘密鍵に対応する暗号文の間でも準同型演算が可能な方式として、動的なMKFHE（Multi-key FHE）がPeikert（TCC'16）らによって提案されている。しかしこの方式ではExtend（暗号文拡張処理）のアルゴリズムを参加者数の2乗に比例して実行する必要があり、計算コストが大きい。 本研究では従来方式において別アルゴリズムとして定義していたExtendとEval（準同型演算）の処理を結合する事で、参加者数ではなく演算木の高さのみに依存するような新しいExtendアルゴリズムを提案し、これによってMKFHEの鍵の構成・追加で必要となるExtendの回数が概ね削減できる事を示す。また拡張した暗号文における鍵の重複を取り除くようにExtendを設計し、暗号文サイズが従来方式と同一となる事も示す。

多重暗号は暗号文を複数の部分暗号文に分けて扱うことで安全性と機能性を向上させる方式であり, 1949年にShannonによってその概念が提案されて以来, 多数の構成法が提案されてきた. しかしその一方で，多重暗号を格子問題の困難性に基づいて直接的に構成する方法はこれまで提案されていなかった．本稿では，learning with errors(LWE)問題の困難性に基づく多重暗号の直接的構成法を提案する．また, 提案方式を既存の一般的構成法に適切な格子問題に基づく暗号プリミティブを適用したものと比較し，提案方式の方が秘密鍵長，暗号文長の点で優れていることを示す．

我々は素数位数ペアリングを用いた効率的なレベル2準同型公開鍵暗号を構成した. 合成数位数ペアリングを用いたBoneh, Goh, Nissim（BGN, TCC 2005）による暗号方式と同様, この方式は暗号文に対して多項式回の準同型加算と一度だけの準同型乗算をサポートする. われわれの知る限りではレベル2準同型暗号の先行研究として最先端のものはEurocrypt 2010で提案されたFreeman方式で, これはBGN方式を素数位数ペアリングを用いて実現されている. 我々の方式はElGamal暗号と非対称ペアリングを組み合わせた非常に簡潔な方式であり, Freeman方式と同じ暗号文サイズでありながら殆どの点で効率がよい.

準同型暗号は、暗号化されたデータに対して公開情報のみで演算を行うことができる暗号である。通常の準同型暗号は、公開鍵が同じ暗号文同士でのみ準同型演算が可能である。公開鍵が異なる暗号文同士で準同型演算を可能にする方式として、準同型代理人再暗号がある。 準同型代理人再暗号は、暗号文の宛先を変換する代理人再暗号化の技術と準同型暗号を組み合わせた技術である。 しかし、既存の方式では代理人再暗号化により暗号文を変換した後に準同型演算をしなければならず、準同型演算の結果を再利用できないなど、効率の面で問題がある。 本論文では準同型代理人再暗号における問題を解決するため、複数鍵準同型暗号と代理人再暗号化技術を組み合わせた複数鍵準同型代理人再暗号のモデルとその具体的な構成を提案する。

Homomorphic encryption allows us to perform various calculations on encrypted data without decryption. In this paper, we propose an efficient method for secure multiple matrix multiplications over the somewhat homomorphic encryption scheme proposed by Brakerski and Vaikuntanathan (CRYPTO 2011). Our method is a generalization of Duong et al.'s method (Tatra Mt. Publ. 2016), which computes only one multiplication between two matrices. Specifically, in order to minimize both the ciphertext size and the computation cost, our method enables us to pack every matrix into a single ciphertext so that it enables efficient matrix multiplications over the packed ciphertexts. We also propose several modifications to obtain practical performance of secure multiplications among matrices with large size and entries. Furthermore, we show implementation results of our packing method with modifications for secure multiplications among two and three matrices with 32 x 32 and 64 x 64 sizes and entries from 16-bit to 64-bit.

現代で使われている，公開鍵暗号，デジタル署名の方式は， ほとんど全てが離散対数問題や素因数分解問題の困難性を元に成立している。 だが，この2つは共に量子コンピューターにより効率的に解けることが知られている。 よって，その時に備え，量子コンピューターにも解けないであろう問題を元にした， 耐量子の公開鍵暗号，デジタル署名の方式が研究されている。 しかし，現在考案されている耐量子の方式は，計算時間や鍵長など，効率の点で問題を抱えている。 一方で，デジタル署名の計算時間を改善する手法として，Online/Offline Signatureを，Evenらが提案した。 Online/Offline Signatureとは，メッセージが与えられる前に，秘密鍵と共通パラメーターからある程度の前計算を行っておき， メッセージが与えられた後の署名の計算量を減らす手法のことである。 耐量子デジタル署名であるUOVをOnline/Offline化した先行研究として，Chenらの方式がある。 この論文ではその論文の問題点を指摘し，計算量を更に削減した新しい方式を提案する。

村上はSITA2016にて部分和判定問題に基づくナップザック暗号（M16）を提案した． SITA2017にて筆者らは部分和判定問題に基づくナップザック暗号M16に対して解読実験を行った結果，M16基本方式に対して別解攻撃が有効であること，及び，M16重み制限方式が別解攻撃に対して安全であることを報告した． 本稿では，M16重み制限方式に対して実際に計算機による解読実験を行い，解読率を調査することにより，M16重み制限方式の安全性をより詳細に評価する．

「非線型不定方程式に基づく公開鍵暗号」 の安全性評価を行った。結果、SAC2017で提案されたパラメータは脆弱であることが分かった。

ある種の不定方程式の最小解問題に関連するLWE問題に安全性の根拠をおく不定方程式暗号に対して詳細な安全性評価を行ったので報告する。特に、公開鍵である２変数不定方程式の次数が１の場合に鍵復元攻撃が支配的であることを示し、その計算量評価から安全性を実現可能なパラメータを算出する。

At SAC2017, Akiyama et al. proposed the indeterminate equation encryption scheme. It is an algebraic surface encryption based on a solution problem of indeterminate equations, and has been considered a candidate for post-quantum cryptosystems. A public key X for this scheme is a polynomial in two variables over a finite ring. Akiyama et al. also proposed two attacks, the linear algebraic attack (LAA) and the key recovery attack (KRA), by using the lattice structure associated with this scheme. In this paper, we give an improvement on LAA. Also we explain the relation between our improvement and the improvement on LAA proposed by Xagawa and examine parameters that those attacks fail by experiments. As a result, we conclude that if the total degree of the public key X is one, then KRA is more efficient than LAA and if that of X is two, then LAA is more efficient than KRA.

The security of code-based cryptosystems such as the McEliece or the Niederreiter cryptosystems essentially relies on decoding a linear code. In other words, it has been studying on the difficulty of syndrome decoding problem to check their security. It is also important to find a suitable candidate even in the era of post-quantum cryptography. A decoding algorithm due to Prange in 1969 has improved the best known decoding algorithm named information set decoding techniques. Bernstein in 2010 widen the research in a quantum version by combining Grover's quantum search with Prange's algorithm, which obtain a quadratic speed-up of its original algorithm. Kachigar-Tillich in 2017 improved Shamir-Schroeppel's and May-Meurer-Thomas's information set decoding algorithms by using Grover's quantum search and a quantum walk techniques which were devised for the subset-sum problem by Bernstein's et al. in 2013. In this paper, we studied on the security of a variant of Kachigar-Tillich's algorithm by manipulating the graphs' structure and adjusting the number k of subsets for solving the generalised k-sum problem in quantum walk techniques.

Connected Carの普及に伴い、自動車自体のセキュリティを担保することが重要になっている。一方、自動車に対するセキュリティ教育教材はITに比べ極めて少なく、手法そのものも確立していない状況である。そこで、Microsoftが提唱しているIT向けの脅威分析教育手法(EoP)を改変し、自動車セキュリティ初学者に対して教育を行える教材を作成し、その効果を検証した。結果としては教育前後で自動車セキュリティに関連するテストの点数が23％上昇し、一定の効果が確認できた。

OpenStack等の仮想環境と，深層学習，確率的プログラムの結合によるシステムは進化のただなかにある．これを「クラウド」として見る場合のアクセス制御はいかにあるべきか？本論文は隠れチャネル，推論攻撃の仕組みを根底から見直す試みである．隠れチャネルが現れる，或いは，推論攻撃ができる，という現象は，現象の記述をsubject, object, operation，及びアクセス規則（論理学的命題）によって示す世界の限界である．そこで，この現象の根本である「テクストのあつまり」に対する分析に着目する．「テクストの集まり」とは，＜私＞と他者の言語的振る舞いが映し出されたobjectであり，かつ＜私＞と他者の「その時々」が示された「対象領域」（或いはウィトゲンシュタインの言語ゲームに類する帰結）であることを示す．次にこの「対象領域」の分析手法の必要条件としてテクストが生成，結合，消滅する過程を確率測度空間の射，即ち確率変数で表現し，ベイズ推定に基づく確率的プログラムで記述する方法を提案する．

セキュリティの脅威が従来のITシステムから組み込み、IoT系に広がるとともに、組み込み系で従来行われていたセーフティ系リスク分析(ハザード分析)と、セキュリティリスク分析(脅威分析)が扱うリスクに共通点があることから、双方のリスク分析、評価を統合的に行うための検討がはじまっている。著者は、既存のハザード分析、セキュリティ脅威分析におけるリスク評価手法について、その定量性、リスク算出手法の観点から調査、分析を行った。本稿はその結果と得られた知見について述べる。

情報システムの安全性・信頼性を確保するための情報セキュリティ対策が非常に重要となっている．情報セキュリティ大学院大学原田研究室(教授：原田要之助)では，情報セキュリティマネジメントの研究として「情報セキュリティ調査」を，組織(民間企業・官公庁・教育機関)を対象に実施している．本年度の調査(2017 年8 月実施)では，情報セキュリティマネジメントの取組状況(インシデント対応と人材育成等)，個人情報保護法の改正，情報セキュリティガバナンス体制，アプリケーションセキュリティのリスク管理，人工知能技術，緊急時対応の実効性，情報セキュリティ人材に関して調査した．本論文では，調査結果の単純集計とその分析結果について報告する．

脅威分析とは，システムやデバイスにおいてセキュリティ事故や故障の原因となる脅威の有無を分析し，必要な対策を明確にする作業である．要件定義や設計の段階で脅威分析を行う事で，その後のプロセスでは修正が困難な設計上の脆弱性や問題のある仕様を発見，除去する事ができる．しかしながら，一般に脅威分析には多くの時間を要する．加えて，分析対象とするシステムの詳細知識，及び専門的なセキュリティ知識が要求されるため，開発プロセスの一部として普及していないのが現状である．昨今，様々な技術を用いたシステムやサービスが開発されているが，それらはサイバー攻撃や障害などの脅威への対応が求められている．安全なシステムを開発する上で脅威分析の実施は必須であるが，規模や複雑さが増すにつれ，過不足なくシステム全体を分析する事は困難となる．そこで本論文では，過去の分析結果の傾向から，システム中の分析対象とする箇所に優先度を設定する事で，効率的に脅威分析を実施する手法を提案する．さらに，システムのユースケースや機能から体系的にDFDを作成する手法を紹介した後，その成果に対して分析優先度を設定する方法を考察する．

重要インフラを支える制御情報システム，実世界情報を収集・分析するIoTシステムに対するサイバー攻撃が増加している．セキュリティバイデザインのコンセプトに基づいて，セーフティとセキュリティを両立するシステム設計支援技術を開発することを目的とする．既報のサイバー攻撃が拡散・再発している現状を踏まえて，脆弱性事例データベースとシステム設計情報を活用した脅威分析方法を提案する．具体的には，分析対象システムの設計段階に実施が可能で，かつ実運用中の既存システムで発見された複数の脆弱性の組み合わせで生じる攻撃事例を活用することが可能な脅威分析方法を提案する．

現在提案されているサイドチャネル対策手法は暗号回路規模が大きくなるという問題点がある。IoT時代において小型電子機器への暗号回路の実装を考えると回路規模の小さいサイドチャネル対策手法が必要である。我々は回路規模の増加を抑制した効率的なサイドチャネル対策の実現を目指している。 本検討では、FPGA上に実装したAES回路に対してハミング距離(HD)パワーモデルを用いた相関電力解析 (CPA) の対策手法を検討した。 HDモデルによるCPAにおいてサイドチャネル情報の漏洩源となっているレジスタ部に限定してハイディング対策を施し、対策効果を実験により検証する。加えて既存の対策との回路規模の比較を行う。ハイディング対策はレジスタ回路の消費電力が平文に対して一定となるよう、レジスタ回路とその負荷であるSBox回路を冗長化した。また冗長化する範囲によってCPA耐性の比較も行った。結果として提案した対策回路は未対策回路に比べ相関係数を1/3に低減した。また回路規模は既存の対策手法であるWDDL方式に対して半減した。

本研究では暗号機器のサイドチャネル攻撃への耐性評価手法としてサイドチャネル波形の信号対雑音比(SNR)に基づく手法を研究している．先行研究では1バイトずつ解読する際のSNRおよび相関係数を用いて耐性を予測する手法が提案されている．しかし，FPGAやASICに実装されたAES回路では16バイトを並列に処理されるので1バイト毎のSNR測定は困難である．そこで，本研究では16バイトを並列処理している暗号ICにおける1バイト毎のSNRを求める方法を検討した．まず，レジスタ値の変動に起因した消費電力をSignal，それ以外のものに起因した波形の変動をNoiseとし，取得したサイドチャネル波形よりSNRを測定した．SNRの測定ではまず16バイトのパワーモデルで攻撃する場合のSNRを測定し，そこから1バイトずつ攻撃する場合のSNRに換算した．このSNRを用いて鍵の特定に必要な波形数を見積もり，実際に1バイトずつ攻撃した結果と比較した．結果として，1バイト毎のSNR に換算することで16バイト全体のSNRを用いて見積もった場合よりも精度が向上した．

情報通信機器への意図的な電磁妨害（IEMI）は機器の電磁妨害に対する耐性（イミュニティ）をはるかに上回る大電力電磁環境を手段とする。IEMIでは妨害電磁波を機器内部に誘導することによって機器全体の電磁環境を劇的に変化させ、イミュニティの低いICや素子を破壊することで機器の可用性を低下させる。これに対し、本稿ではハードウェアトロイ（HT）を用いて機器のイミュニティを局所的に低下させ、特定周波数の電磁波を印加することで、攻撃対象となる部位のみ意図的に電磁気的な変化を生じさせる。そして、こうした電磁気的な変化により、機器内部で扱われているデータやコマンドの書き換え、もしくは生成を行う手法を提案する。具体的には、機器内外で用いられるシリアル通信を対象とし、通信を行う伝送路上にHTを実装することで局所的なイミュニティの低下を引き起こす。続いて、従来のIEMIに比べ十分小さな出力の電磁波を印加することにより、通信路上に任意のデータを表す電気信号を発生させ、そのデータをICに処理させることが可能であることを示す。また、こうした攻撃への対策手法についても検討を行う。

リングオシレータ（RO）を使用した真性乱数生成器（TRNG）は回路構成が単純であることから、多くのデバイスで使用されおり、攻撃によりセキュリティの低下が生じた場合、多くのシステムへの影響が生じる。これまで提案されてきたROベースのTRNGへの攻撃はデバイスのごく近傍で、デバイスもしくはデバイスが実装されている機器への改変・侵襲による攻撃によってTRNGの乱数性を低下させてきた。しかし、デバイスの設置場所や耐タンパー性によっては、デバイスへの物理的な接近や実装の操作・改変は困難な場合がある。本稿では、TRNGから生ずるサイドチャネル情報を用いた乱数性の推定と、デバイス遠方からの電磁波注入により、非侵襲にROベースのTRNGの乱数性を低下させる攻撃が成立することを示す。

IDベース暗号や関数型暗号のような“高機能”暗号利用の期待が高まっている．特に，高機能暗号の暗号プリミティブであるペアリング演算の近年の性能向上は目覚ましく，近い将来にペアリングを用いた高機能暗号の実用化が望まれる．実用の暗号技術において，最も大きな脅威の一つがサイドチャネル攻撃である．ペアリング演算に対するサイドチャネル攻撃の先行研究としては，2014年にUnterluggauerらが，2016年にJauvartらがARMプロセッサに実装された254bit素体上のペアリングを対象としてCPAを行っている．彼らはペアリング演算中の多倍長乗算をターゲットとしているが，これらの多倍長乗算は独自にデザインされたものであり，彼らの攻撃手法が一般的に適用可能なものか疑問であった．本稿では，オープンソースの254bit素体上ペアリング演算をARM Cortex-M3プロセッサ上に実装し，電磁波解析攻撃を行った結果を示す．多倍長演算のためにGNU GMPライブラリを用いたところ，乗算命令の他にストア命令もリーク源になりうることがわかり，これらふたつの命令を攻撃対象としてそれぞれのCPA結果を比較する．

中国人剰余定理を用いたRSA暗号(CRT-RSA)に対してサイドチャネル攻撃を行った際に抽出される秘密鍵の情報の数理的なモデル化を行い，そのモデルの下で正しい秘密鍵を復元するアルゴリズムを提案する．既存研究では，CHES2017において，Bernsteinらが，CRT-RSA暗号に対してサイドチャネル攻撃を行っている．彼らは，CRT-RSA暗号の復号の際に行われる冪乗算Sliding Window法の演算の実行履歴を抽出し，正しい秘密鍵を求める攻撃を提案した．しかし，彼らの攻撃は，演算の実行履歴が完全に正しく抽出できた場合のみで成功し，それ以外の場合については攻撃が失敗する．本発表では，誤りを含む演算の実行履歴のモデル化を行い，そのモデルの下で動作する鍵復元アルゴリズムを提案する．

コネクテッドカーの普及に伴い、運転支援や自動走行を始めとする車とネットワークとが連携した多種多様なサービスの実現による利便性や快適性、安全性の向上が期待される一方で、車の外部のシステムとの接続やシステム全体の大規模化、および複雑化によってセキュリティ面で新たな脅威に晒されることが危惧される。本発表では、高度化・多様化するコネクテッドカーやコネクテッドカーサービスを提供するシステムへのサイバー攻撃の対策を講じるため、車と広域ネットワークやクラウドを連携させた攻撃対策の構想と実現に向けた取り組みについて発表する。

本稿では、Time-Trigger型の車載ネットワークFlexRay通信上での自動車の不正挙動を誘発する攻撃手法を示す。近年、既存研究において、エンジン等の制御に用いられるCAN通信上やボディ等の制御に用いられるLIN通信上における、なりすまし攻撃等が提案されており、車載ネットワークに対する攻撃の脅威が高まっている。一方で、FlexRay通信は主に外国車においてステアリングや先進運転支援機能等の制御に用いられているが、他の通信方式とは異なり、ネットワーク上の基準時間によりデータを送受信するタイミングが決まっているといった特徴的な通信方式であるため、具体的な攻撃手法はほとんど研究されていなかった。そこで本稿では、FlexRayの通信上における不正挙動を誘発する可能性のある攻撃手法を検討する。具体的には、DoS攻撃手法及びなりすまし攻撃手法を検討し、実車で取得した車載データに基づいてその実現性の検証を行った。その結果、通信の同期に用いるデータを改ざんする攻撃や、衝突等によりデータ送信を止めた後に偽のデータを送受信させる等の攻撃の可能性があることを示す。

自動車が外部ネットワークと接続するようになり，自動車に対するサイバー攻撃の脅威が指摘されて久しい．特に車載ネットワークで主に使用されているＣＡＮの仕様上の脆弱性を悪用し，車両を不正に制御する攻撃方法は数多く提案されており，その対策は急務である．ＣＡＮの特徴として，マルチマスタ方式であるためメッセージの送出タイミングの設計が機能毎に異なること，メッセージ中のペイロードの仕様は設計者に委ねられており，その構造や含まれるデータも機能毎に異なること等が挙げられる．さらに今後は，遠隔更新による機能修正や機器の経年変化等により，前述したメッセージの送出タイミングやデータ構造が設計時から変化することも考えられる．ＣＡＮの異常検知方式は多数提案されているが，すべての機能に単一の異常検知方式を適用すると，上述の特徴に起因して誤検知や見逃しが多発する恐れがある．そこで本稿では，送出タイミングやデータ構造等といったメッセージの特性について，設計値に依らず実データから学習して取得し，各機能に対してその特性に応じた検知方式を適用して異常通信を検知する車載ネットワーク向け異常通信検知方法を提案する．

車両等のコントロールエリアネットワーク(CAN)へのメッセージ挿入攻撃を検出する方法として、パラメトリック推定によるメッセージ間隔の異常検知手法を提案する。パラメトリック推定に用いる適切な確率分布はVariance Gamma 分布、および、より簡便なDouble Gamma 分布であることを理論的に示し、実車を用いて作成した疑似攻撃メッセージを含むデータセットを用いて、提案手法の検出精度を評価する。

近年、自動車がネットワークを介してクラウドや他の自動車、交通基盤などと接続し、様々なサービスを享受できるコネクテッドカー社会の実現が期待されている。このようなコネクテッドカーに対するサービスを提供するクラウド/ネットワークシステムに対してサイバー攻撃が行われた場合、個々の自動車を狙ったサイバー攻撃よりも広範囲かつ甚大な被害を発生させるおそれがある。本検討においては、今後普及が見込まれる代表的なコネクテッドカーサービスを題材として、そのサービスに対するサイバー攻撃について、サービスの特徴を考慮して考察する。

The security of vehicles has been put in question, already back in 2010 with academic research on this topic, but also more recently with presentations at Black Hat and DEF CON that have been widely reported by the mass media every year since 2015. In the meantime, the automotive industry has not been idle. One of the result of a joint effort by car makers and component suppliers was to a agree on a standard specification for a software module called SecOC aiming at authenticating messages in vehicular network. Indeed, as of now, most of these messages, which can control safety critical systems like brakes or steering, can be easily spoofed. However, the SecOC specification does not define which cryptographic algorithm is used or which parameters are adequate. Moreover, the overall achievable security is limited by the length of messages, which can only have up to 8 bytes in the case of the CAN network. In this paper, we propose a new security model under which it is possible to derive a sufficient security level even under these limiting factors, and examine the security of some algorithms and parameters that have been suggested for the SecOC.

2017年にGelernterらによって，2要素認証を用いてユーザのアカウントを乗っ取ることができるPRMitM攻撃が提案されている．PRMitM攻撃では，SMS(ショートメッセージサービス)を用いたパスワードリセット手法を利用することで，ユーザにパスワードのリセットだと気づかせぬまま，悪意のある中間者サイトにリセットコードを入力させる．この研究の発表後，多くの脆弱なサイトではパスワードリセット方式を改良したと考えられるが，国内のサイトの対応状況やユーザへの配慮が十分であるか不確かだった．そこで， ユーザが被害を受ける要因を明らかにするため，184名の被験者を用いた実験を行い，SMSメッセージを「警告の有無」，「リセットコードが数字のみか英数字」，「1回の入力か2回の入力」と分けることで，攻撃に対する被害率や被害を受ける人間の行動を調査し,報告する．

HTTPSは，機密性および完全性の保証とサーバ認証によりセキュアなWeb通信を実現する仕組みである．通信の盗聴，改ざん，サーバのなりすまし等のサイバー攻撃に対抗するため，WebサイトのHTTPS対応が世界的に進行している．しかし，HTTPS対応は設定や運用の煩雑さやコストが掛かるため，対応が不十分なものや誤った設定で運用されているサイトが存在する．本稿では，HTTPS対応が進行する背景やその理由を整理した上で，実態調査を実施した．大企業100社のサイトを対象として対応状況を確認したところ，約30%のサイトにおいて，証明書エラー，その他HTTPエラー等の設定や運用の誤りがあることが判明した．各種サイト設定に応じて計16パターンに分類した場合，内2パターンでユーザビリティ上の課題が多いことが判明し，これら対策の考察を行った．

金融業界におけるオープンAPI推進に向けた取り組みなど、OAuth 2.0を利用したWeb APIを公開するWebサービスが広がっている。OAuth 2.0は認可フレームワークの一つであり、ユーザリソースを提供するWebサービスをアプリケーションが呼び出すときに、呼び出し元のアプリケーションにWebサービスアクセス用ユーザクレデンシャルを教えずに、かつ動的に、ユーザが認可することを可能とする技術である。また他方で、他のWebサービスから取得した情報を集約し、他のアプリケーションにWeb APIで提供するWebサービスも出現している。しかしながら、この「アプリケーションAからWebサービスXを呼び出し、WebサービスXからWebサービスYを呼び出す」ような「多段Web API呼び出し」に対するユーザの動的な認可に、OAuth 2.0は対応していない。そこで、多段Web API呼び出しでも、Webサービスアクセス用ユーザクレデンシャルをWebサービスの呼び出し元に教えずに、ユーザによる動的な認可を可能とする、OAuth 2.0を拡張した認証認可方式を提案する。

本稿では、日本およびアジア各国にて広く使われているメッセージングアプリケーション LINE に ついて、安全性解析を行った。具体的にはLINE社が発行するホワイトペーパーに記載されたend-to-end 暗号化（E2EE）について解析を行った。 結果として鍵共有方式、共通鍵暗号化方式に関して複数の問題点が存在し、なりすましと偽造攻撃が可能であることを示す。 これらの攻撃はいずれも大量の計算を必要とするか、LINE社自体が不正に関わる必要性があるが、後者はE2E暗号化が本来守るべき対象であり、LINEのE2E暗号化としての安全性に改善の余地があることを示すものである。

OAuth 2.0はWeb API等のWeb上のサービスが提供するユーザーリソースにアプリケーションがアクセスする際の認可フレームワークである。スマートフォン上で動作するアプリケーション(ネイティブアプリ)でも利用されることが多いが、サーバーサイドと異なりクレデンシャルが保護できないため、ネイティブアプリではアプリケーションの認証が難しいという課題がある。そのため、PKCE、OAuth 2.0 for Native Apps等の改善策が提案されている。本稿では、ネイティブアプリの認可プロセスに対して考えられる3種類の攻撃手法について示し、既存の各改善策における改善点と問題点を明らかにする。そして、問題点であるカスタムURIスキームの乗っ取りを防ぐ方式について提案する。

ブラウザから送信される端末情報(以降，特徴点と呼ぶ)の組み合わせを用いて端末の識別を行うBrowser Fingerprintingがある．一般に，追跡を行うための最良な特徴点の１つとして，OSとBrowserの組み合わせ（以降，プラットフォームと呼ぶ）を示すUser-Agent文字列がある．しかし，User-Agent文字列はユーザによる偽装が可能である．偽装された場合に，プラットフォームを正確に判定することができず，端末の識別精度の低下を招いてしまう．そこで，本論文ではUser-Agent文字列を使用しないプラットフォーム推定を試みた．具体的に，JavaScriptのMathオブジェクトの演算結果が，プラットフォームによって異なることを利用する．この手法を用いて，プラットフォームをどの程度推定できるか検証した． また，User-Agent文字列を使用した場合と，提案手法の場合とのBrowser Fingerprintingの識別精度を比較した．

秘密計算が有効なセキュリティ技術となる可能性が注目されて来ている。 しかし、秘密計算には多くの方式が存在し、それぞれ想定する環境や攻撃者が大きく異なり、方式ごとの性能の違いも大きい。 このため、秘密計算の想定されるユーザが、その導入の妥当性を混乱なく判断するのは難しい。 また円滑な判断のための情報も提供されていない。 本論文は、秘密計算を実現する複数のアプローチを大まかに分類し、それぞれの安全性の特性と、性能、適切な応用先を述べる。 その結果として、我々の考える最も実用に近いアプローチとその応用形態を特定し、これを最初に実践を試みる例として提示する。

機械学習などのデータ処理技術の進展により，新たな情報サービスの構築が可能になり，ユーザー（クライアント）は自身の機微情報（遺伝子情報など）をこうしたシステム（サーバー）に入力することで，有用な知識を得ることが可能となった．しかし，機微情報が不特定多数の他者に漏洩するリスクがある．多者間秘匿計算はこうした問題の解決策の一つだが，効率面では実用に十分ではなかった．本論文では，多者間秘匿計算の一種であるクライアント補助型二者間秘匿計算について考察し，クライアントとサーバーの間での秘匿計算の簡便な実現に関する有用性を議論する．特に，クライアント補助型二者間秘匿計算における基本演算ツールを提供するとともに，このツールを用いて，カイ二乗検定とバイオメトリックマッチングを実装し性能評価を行う．

情報を秘匿した状態で分析できる秘密計算技術は，平文で分析する場合と比較して処理コストが大きいことが実用上の課題であった．しかし，近年では効率的なアルゴリズムの発展に伴い，多数の実装報告がなされてきている．筆者らは2013年に現実的な処理速度で秘匿統計分析を可能にする秘密計算システムMEVAL(Multi-party EVALuator)を提案し，2015年には改ざん検知に対応したMEVAL2を発表した． 本稿では最新の実装MEVAL3を報告する． MEVAL3では，MEVAL2と比較して処理性能が向上し，文字列やデータベースにおける表計算の処理にも対応した． さらに，こうした機能をプログラミング可能な100以上の関数として用意している．これらの関数を組み合わせることで，MEVAL3は多様なシーンに応じた秘匿統計分析を可能にする．

マルチパーティー計算（MPC）は，複数のパーティーがそれぞれの持つ秘密情報を隠しながら，その秘密情報を入力とする関数を計算するための手法である． 近年MPCの計算効率は劇的に向上しているが，その適用可能な範囲は未だ限られている． 従来の汎用MPCは，計算可能関数の表現が論理回路ないし算術回路に限定されることが多いが，理想的には論理演算と数値演算の両方を利用できることが望ましい． 特に，パーティーが不正を働く可能性がある場合に，不正検知機能のオーバーヘッドを含めてこのような混合回路処理を"効率的に"実現することは難しい． 前述の課題を受けて，本論文では異なるサイズの環の演算が混在する場合に不正検知可能でかつ効率的なMPCを提案する． 具体的には，${\Bbb Z}_{2^n}$と$({\Bbb Z}^2)^n$間の両方向の自然な写像の，不正検知が可能でかつ効率的なMPCを提案する． 安全性は，MPCの設定に合わせて簡略化された汎用結合可能性で証明されるが，写像の構成部品が単純であるにもかかわらず証明は自明ではない．

マルチパーティー計算（MPC）は，複数のパーティーがそれぞれの持つ秘密情報を隠しながら，その秘密情報を入力とする関数を計算するための手法である．MPCを用いると生体情報や遺伝子情報の漏洩を強く防止しながら，生体認証や遺伝子情報の検索を実行できる． しかしながら，このような処理は複雑で，従来のMPCで高速に処理することは困難であると考えられてきた． 本論文はこれを異なるサイズの環の演算が混在する場合に，不正検知可能でかつ効率的なMPCを利用することにより，秒間45,000個の顔認証をMPCで実行することが可能なことと，遺伝子配列の相同性検索に関連した処理である編集距離計算をMPCで高速に実行可能であることを，実験で示す．

In this paper, we introduce a new RLWE-based key exchange protocol, which has been submitted to NIST's post-quantum cryptography standardization competition. Our construction is an optimized variant of the RLWE key exchange proposed by Ding et al. in 2012. Our protocol is a RLWE variant of the classic Diffie-Hellman key exchange protocol, which can be regarded as a direct drop-in replacement for current widely-deployed Diffie-Hellman key exchange protocol (and its variants, e.g. elliptic curve Diffie-Hellman). We believe that our proposal is secure, efficient, simple and elegant with wide application prospect. We present two parameter choices ensuring $2^{-60}$ key exchange failure probability which cover different security levels. Concrete security level analysis on different parameter choices will be given in a companion paper.

At the beginning of 2016, NIST started the post-quantum cryptography competition to prepare for the standardization of the next-generation cryptography. Ding et al. proposed a \lq\lq Ding Key Exchange" scheme, which is based on the Ring Learning With Errors Problem (RLWE).Since the number of samples in their scheme is just one, which is different from the case of normal integer LWE or other RLWE instances, we do the security analysis for Ding key exchange by primal attack which is reducing the RLWE to SIS. Hence we can expand the dimension of the attack basis to double. We adopt both the progressive BKZ simulator and the so called 2016 estimation in New Hope paper. Guaranteeing the error rate of key exchange protocol within $2^{-60}$, our parameter choices cover the security of AES-128/192/256 respectively, which satisfies NIST's security category \uppercase\expandafter{\romannumeral1}, \uppercase\expandafter{\romannumeral3} and \uppercase\expandafter{\romannumeral5} respectively. In addition, we discussed the key reuse attack and claim that Ding key exchange should not execute key reuse. And we proposed a reconciliation-based key reusable RLWE key exchange protocol in the end.

Password-based Authenticated Key Exchange (PAKE) protocol assumes that the parties share a low-entropy, easy-to-remember password to achieve the authentication with a high-entropy session key. PAKE protocols can be employed to hand-held devices for access control of sensitive personal data remotely. For communication with more than one user, the user needs to remember all passwords between other users. To resolve this problem, a three-party PAKE (3PAKE) protocol, where user only shares a password with a server, is introduced. In this paper, we construct a novel lattice-based three-party PAKE protocol, AtLast, based on the hardness of ring-LWE assumption, with a simple design and extend Ding et al.'s PAKE protocol with implicit server authentication, RLWE-PPK protocol, to three-party setting by modifying the generic approach by Abdalla et al. Then, we compare our protocol with Xu et al.'s three-party PAKE protocol, RLWE-3PAKE, over lattices.

In SCIS 2017, Choi and Kim introduced the new linearly homomorphic ring signature scheme (CK17 scheme) based on the hardness of SIS problem, which overcomes the limitation of Boneh and Freeman's scheme to implement homomorphic signatures to the real world scenario under multiple signers setting for a message. They replace the original sampling algorithm SamplePre() by Gentry et al. with Wang and Sun's sampling algorithm GenSamplePre() to achieve the multiple-signer functionality but their work is lack of the rigorous security proof. Thus, this paper revisits the CK17 scheme and makes an advanced definition which is subring-identical linearly homomorphic signature, and suggests a security requirements on it. Then, we show the correctness and subring-identical linear homomorphism of the proposed scheme.

近年，クラウドコンピューティングやビッグデータの発展に伴うデータ利活用の需要の高まりに対し，IDベース暗号（IBE）や階層型IDベース暗号（HIBE）などの従来の公開鍵暗号より利便性の高い暗号が提案されてきた．時刻センタが一定の時間間隔で配信する時刻鍵を受け取ることで，予め指定した時刻になると復号可能となる暗号文をつくることができるタイムリリース暗号（TRE）も例として挙げられる．またペアリング演算を用いたTREの機能を持つIBEやHIBEも提案されている．さらに近年では暗号化した状態での平文の加算や乗算を可能にする完全準同型暗号（FHE）の研究が盛んに行われており，量子計算機でも解くのが難しいとされるLWE問題に基づいた方式が多く存在する．本研究では，IDベース暗号や属性ベース暗号などへの拡張が可能なGentryらのLWE問題に基づくFHEに，TREの時限機能を付加した方式を構成する．このGentryらのFHEは，CashらのLWE問題に基づくHIBEを適用することで，階層型IDベース完全準同型暗号（HIBFHE）に拡張される．このHIBFHEを変形することで，時限機能を付加したHIBFHEを得る．提案方式のHIBEに関する安全性とTREに関する安全性を各々ランダムオラクルモデルにおいて証明する．

共通鍵暗号に対する解析手法としてIntegral攻撃があるが、これは入力の一部をALLやCONSTANTにした場合、複数段暗号化した状態がどのような性質を取るかを評価する解析手法である。通常、出力としてBALANCEという性質を利用する。本稿ではFeistel構造を有するブロック暗号の場合、平文をフィードフォワードさせることで、BALANCEの性質をもとのALLの性質に戻すことが可能なことを示す。この性質を有効利用するためにStatistical Integralという技術を利用する。これはALLの性質が現れた箇所を統計学的に評価する手法であり、より正確にはカイ2乗検定を用いて評価する手法である。これにより攻撃に要するData Complexityを落すことが可能になる。

Fewは2014年にManojらによって提案された64ビットブロック暗号である．これまでに，Fewには観測用変換を用いた8ラウンドの48階差分特性が存在し，この特性を利用することによって，鍵長が128ビットのとき，13ラウンドのFewに対して高階差分攻撃が可能であることが報告されている．本稿では，Fewの新しい高階差分特性について報告する．具体的には計算機探索により，観測用変換を用いた新しい7ラウンドの28階差分特性を発見した．また，制御用変換の適用により得られる9ラウンドの高階差分特性を示すとともに，これを利用したFewに対する高階差分攻撃の結果について述べる．

QTL-128は2016年にLang Liらによって提案された変形Feistel構造を持つブロック暗号である。鍵長128ビット、段数20段、ブロック長は64ビットである。QTL-128の提案論文では線形解読、差分解読、代数攻撃に対する安全性評価が行われており、零相関線形攻撃(Zero-Correlation Linear Cryptanalysis=ZCLC)は行われていない。ZCLCとは、入出力における特定ビットの線形和がZero correlationとなる特性を利用して解読を行う方法である。この特性を利用しZero correlationとなった時の鍵を真の鍵候補とし、そうでない時の鍵を偽として、鍵推定を行う。本稿ではQTL-128に対しのSBOX入出力マスクが０に限られる場合と、１に限られる場合の特性を利用し、零相関線形トレイル(Zero-Correlation Linear Trail=ZCLT)を導出し、ZCLCを用いてQTL-128の解読を行った。その結果、4.5段のZCLTを発見し、このZCLTを利用して6.5段の鍵回復攻撃を行えることを発見した。

HIGHTは2006年にHongらによって提案されたType2一般化Feistel構造を持つARX型のブロック暗号であり、ブロック長は64bit、鍵長は128bitである。HIGHTの提案論文では、11ラウンドにおける差分特性確率は2^{-58}と評価されており、差分解読法に対する安全性を明らかにしている。これに対して、本研究ではMILPソルバを用いて、HIGHTの差分特性の解析を行った。解析ラウンドの増加に伴い、実行時間が指数関数的に増加するため、8ラウンド以降の差分特性はスプライスヒューリスティック技法を用いて解析した。その結果、11ラウンド及び12ラウンドにおける差分特性確率は、それぞれ2^{-51}、2^{-59}となり、提案論文の評価を上回った。さらに、この結果を利用してマルチパス解析を行い、11ラウンド及び12ラウンドにおいて差分特性確率の高い100本のマルチパスを考慮した差分特性確率は、それぞれ2^{-50.12}、2^{-58.35}となった。

近年，ブロック暗号を対象とした差分解読法に対する安全性を検証する方法としてMouhaらが提案した，最小活性S-box数を整数計画法によって求める手法が用いられている．著者らはMinalpherの差分解読法に対する安全性を調べるためにMix Columns (MC)に注目している．MCを変更して安全性がどのように変化するかを調べ，整数計画法に反映するためにMCの変更を明確化した立式を行い，それを用いて差分解読法に対する安全性を検証している． 今回は，比較的短時間で結果が導出されたMix Columnsにおける7ラウンド目までの結果を報告する．また本研究において用いた方式で安全性を検証する立場をとった場合，どのようなMix Columnsが望ましいのかを計算量の観点から検討し，MCの条件を考察する．

我々は、2017年7月のISEC研究会において、誤り訂正不要なPUFベース認証方式を提案した。しかし、その安全性仮定は攻撃者にとって有利な攻撃環境が与えられており、安全性仮定を現実のものとするためにはより強力な攻撃者に対して安全なPUFデバイスを開発する必要がある。本稿は、攻撃者の攻撃優位性を緩和して、PUFの出力線形和の予測困難性に関する新たな安全性仮定を導入し、上記の認証方式の安全性を改めて証明する。新たな安全性仮定をみたすように設計されたPUFは、制約された攻撃に対して安全であればよいため、製造コストを抑えることができる。導入した安全性仮定は、誤差付きの線形問題とみなすことができる。本稿は、サポートベクターマシンを利用して安全性仮定の正当性を実験的に検証する。

これまで立命館大学ではCMOSイメ－ジセンサの特性バラツキを利用したPUF(CIS PUF)を提案してきた．実際のCISチップデ－タよりばらつきを抽出し，1・0を生成する方法も考案し，理想に近いユニ－ク性と反転率1%前後の良好な再現性を得てきた．今回CIS PUFのChallenge & Response認証(CR認証)の検討を行ったので報告する．まずCIS PUFのユニ－ク性，再現性のデ－タより認証精度の指標としてFPR, FNRを求め，ある程度の認証精度を確保した運用を想定しトータルのCR認証可能な回数を試算した．その結果，数年程度でChallenge & Response Pair(CRP)を使い切ってしまうことがわかった．そこでCRPを増やすことを目的にレスポンスの多ビット化について検討した．CIS PUFはばらつき出力値がアナログ値のため，リングオシレーターPUFで提案されているLG法の多ビット化を適用できる可能性があり，その評価を行った．結論として多ビット化によって従来方法と同じ認証精度を確保しながら，CR回数を4倍程度にできることがわかった．

車載システムにおける遠隔リプログラミングやセキュアブートは，一般的にはHSMやSHEといったセキュリティモジュールを搭載したECUで行われるが，セキュアメモリに対するリバースエンジニアリングといった攻撃が懸念される．本論文では，PUFをトラストアンカーとしたシステムを提案する．我々の提案では，車載ゲートウェイ（GW）ECUに，PUFから生成した固有ID（PUF_ID）を秘密鍵とする公開鍵暗号技術を利用し，末端ECUではPUF_IDをセキュアGWとの通信用の共通鍵の保管及びBOOT_MAC_KEYの生成に利用している．遠隔リプログラミング時における，プログラムコードの真正性検証はセキュアGWにおいて実施し，セキュアGWと末端ECU間では共通鍵暗号で暗号通信して末端ECUに格納する．プログラムコードを受信した末端ECUではプログラムコード格納時にPUF_IDをBOOT_MAC_KEYとしてMAC値を計算し結果をBOOT_MACとして保管する．上記の提案に対してセキュアGWを想定したラズベリーパイと末端ECUを想定したArduinoに，我々の研究室で開発した耐タンパ MDR-ROM AES/PUF搭載チップを接続してプロトタイプを実装した．遠隔リプログラミングの動作検証として，セキュアGW(ラズベリーパイ)から末端ECU(Arduino)へ送信されたプログラムコードのMAC検証が行われ，PUFによるセキュアブート機構が動作することを確認した．

IoT時代には情報の入り口であるセンサのセキュリティを高めることが必要である．我々の研究グループではCMOSイメージセンサ（CIS）をPUFに応用したCIS-PUFを提案してきた．本研究では，CIS-PUFを用いて暗号鍵などにも使用できる安定なIDを生成することを議論する．一般に安定なIDを生成するためにはFuzzy Extractor（FE）が用いられ，この誤り訂正能力を高めるために，PUFの個別のビットに付与された信頼度情報を用いる軟判定FEが提案されている．従来の軟判定FEでは，事前にPUF IDを多数回生成し，その信頼度を算出した後，その信頼度をヘルパーデータに付与していた．ところがCIS-PUFでは，ID生成の際に画素トランジスタのばらつき差に相当するアナログ値を使用するため，その大きさにより不安定なビットを予測できる．このアナログ値をPUFレスポンスビットの信頼度情報に用いる新しい軟判定FEを提案する．この方法では信頼度情報を得るためのPUF IDの複数測定とヘルパーデータへの信頼度付与が必要ないという利点を有する．この方法を用いた訂正能力に関しては本稿で述べる．

近年，制御システムに対するサイバー攻撃の脅威が増加傾向にある． 制御システムでは，生産工程への影響の懸念などから ウィルス検知ソフトの導入が許容できない場合があるため， ネットワークベースの異常検知手法が利用されることが多い． ネットワークベースの異常検知手法としてはシグネチャ型の手法が知られているが， 未知の攻撃を検知することができないという欠点がある．そのため近年では，機械学習を用いた異常検知手法が注目されている． 本稿では，機械学習を用いたネットワークベースの異常検知手法として，確率的なペイロード異常検知手法である PANAGRAM (Probabilistic ANAGRAM)を提案する． PANAGRAMはペイロード中のバイト列のN-gramに基づいて異常なペイロード列を検知する確率モデルであり， 学習データ中のノイズに対して頑健であるという利点を有する．本稿では，実データを用いた実験により， PANAGRAMが検知性能とチューニングの容易性の観点で既存手法よりも優れていることを示す．

重要インフラ事業者等が運用する制御システムに対するサイバー攻撃が発生し、早期に異常を検知する仕組みが必要となっている。制御システムにおける異常検知手法は、システムの動作に不可欠なプロセスや通信のみ許可するホワイトリストを使用したものや単位時間当たりの通信量に着目したものが提案されてきた。これらの手法は、制御システムのプロセスや通信が周期的であることや通信量の変動が微小であるという特徴を利用している。しかし、制御システムに対するサイバー攻撃は、稼働中の機器や構成を把握するための調査が長時間かけて行われ、その結果に応じて深刻な攻撃が行われるケースが想定されている。この場合、制御システムのプロセスには影響を与えず、通信量も大きく変動させずに攻撃が行われるため、従来の手法での検知は困難である。そこで、本稿では、時系列的に規則性を有する制御システムの通信を自然言語に見立て、単語の類似性を評価するword2vecを制御システムの通信に適用して異常検知を行う。具体的には、学習データから予測される通信及びそれに類似した通信と実際の通信が異なる場合に異常として検出する手法を評価する。

重要インフラや化学プラント，工場等に用いられる制御システムでは，PLC (Programmable Logic Controller) に対するサイバー攻撃やウイルス感染などのセキュリティ上の脅威が報告されている．インシデントに対する防御手法として，制御システムの正常な動作からホワイトリストを定義し，異常を検知する研究が行われている．これに対して我々は PLC のためのホワイトリストに着目している．先行研究では，PLC の I/O の正しい実行順序に基づいたホワイトリストをラダープログラム（LD）で実装する方法を提案した．本稿では LD と相互変換が可能な Sequential Function Chart（SFC）を利用したホワイトリスト生成手法を考える．具体的には，PLC の制御プログラムから SFC を経由して自動的にホワイトリストを生成する方法についての最近の検討事項を報告する．

産業用制御システムをサイバー攻撃から守るための手法として近年ホワイトリストが注目されている．制御システムは長期間運用されることに加え，システムの更新頻度が少ないことからホワイトリストとの相性がよい．先行研究では制御システムの停止中や立ち上げなどの運転状態毎に通信コマンドが異なる点に着目し，状態毎にホワイトリストを切り替える運用手法を提案した．これにより，従来のホワイトリストが不得意とする通信コマンドのなりすましに対応した．一方，制御システムの運転状態は設計段階ではなく運用段階になって初めて定義出来ることが多く，設計仕様書に基づき状態毎にホワイトリストを作成することは容易ではない．そこで，本研究は制御システムの運転状態が制御器とフィールド機器の状態に強く依存するという特徴に着目する．具体的には制御器とフィールド機器間の送受信信号の特性が変化したときに制御システムの状態遷移が起こると仮定する．本稿ではこの仮定に基づいたシステムの状態を分離するアルゴリズムを提案する．また，分離したシステムの状態変化と状態毎の通信コマンド変化を比較することにより本手法の仮定の妥当性を検討する．

近年, 発電所やプラント等の制御システムに対するサイバー攻撃が発生している．制御システムセキュリティは，サイバー空間での攻撃が物理世界に影響を与える点が1つの特徴であり，攻撃の影響評価を目的としたテストベッドや，情報・制御の観点でセキュリティ対策の研究が行われている．本研究では，リアルな制御システムのテストベッド構築と制御特性に着目した攻撃検知手法について提案する．本テストベッドは，制御分野で著名なプラントシミュレータTennessee Eastman Processと，標準規格(IEC 61131-3)準拠のプログラム言語に対応したソフトPLC(Programmable Logic Controller)であるOpenPLCを組合せて構築した．また，本テストベッドを用いて，提案する攻撃検知手法のコアである制御特性を抽出する方式について実験を行った．本実験結果より，攻撃検知に有用な制御特性が抽出できたことを示す．

近年生体認証は，イベント会場の入場ゲートのような大勢の人が短時間で認証を行う場面でも利用され始められるようになったが，我々は，このような場面でも指静脈認証を実現するための仕組みとして，指を認証装置にかざすだけで認証を行うことができる手振り型指静脈認証システムを提案している．このシステムでは，動かした状態の手を動画カメラで撮影し，動画像の複数フレームを合成して照合に利用する．本発表では，この複数フレームの合成手法について詳細な検討を行ったので報告する． 提案システムの照合手法としては，正規化相互相関（NCC）とScale-Invariant Feature Transform (SIFT)の2種類を対象とする．これら照合手法について，複数フレームの合成を，特徴量レベル合成，スコアレベル合成，結果レベル合成の3種類でおこない，それぞれの手法における照合精度比較を行った．その結果，NCCでは特徴量レベル合成が有効であるが，SIFTの場合はスコアレベル合成が効果的であることが確認された．

ディープラーニングを用いた手法の爆発的な発展に伴って，最近では，人物や顔の位置・姿勢を深度画像から高精度に推定することが可能である．このような手法を複雑な動きをする手の位置・姿勢に応用することで，手のジェスチャ認識の高精度化が検討されている．バイオメトリクス認証では，識別性，利便性および受容性の高さから非接触掌紋認証が研究されている．一方で，手の動きを制限しなければ十分な性能が得られない問題がある．そこで，本論文では，ディープラーニングを用いて高精度に推定された手の位置・姿勢を用いて，非接触掌紋認証の高精度化を検討する．

近年，人の脳活動を利用して，人とのコミュニケーションやロボット操作を行っていくBrain Machine Interface(BMI)の技術が盛んに研究されてきている．リアルタイムで脳波(EEG)を計測することができる非侵襲型の脳波計デバイスが世の中に出ている．また，人の生体情報(指紋，虹彩)を利用した生体認証システムが世の中に普及しつつある．しかし，指紋や虹彩を利用した生体認証では，カメラによって盗難されてしまう可能性がある． 　本研究では，BMI利用時に利用され，盗難されにくい認証システムとして，画像刺激提示時のEEGを利用した生体認証システムを非侵襲型の脳波計デバイスを用いて，構築し，評価を行う．本論文では，屋内座位状態で測定した画像刺激提示時のEEGを利用し，機械学習手法から得られる信頼率を元に，自己受け入れ率(FAR)と他人受け入れ率(FRR)から等価エラー率(EER)を評価値とし，生体認証の精度を評価した．被験者31名を登録者20名，侵入者11名とし複数の画像刺激で得られた信頼率を組み合わせることにより，EERが6.67%となった．また，EEGに対してディジタルフィルタ，エポッキング，アーチファクト対策などのノイズ除去を行い，EERが低下する組み合わせを検証し，評価した．

行動的な特徴を用いた生体認証技術の一つであるオンライン署名照合では，筆跡情報に加え，筆圧，ペン先の傾き等の時系列データを用いることができるため，オフライン署名照合よりも高い照合精度を得ることができる． 日本人による署名は楷書体であることが多く，署名全体で認証するより，文字毎に分割して認証した方が高精度の認証系を構築できる．しかし，文字間隔は筆記回数によって変化しやすいのに対し，「偏」や「旁」といった部首間隔は比較的変化しないため，安定した文字分割が認証精度改善のカギとなる． これまでの研究で，文字分割にXY座標の出現頻度とウォーターシェッド法を組み合わせることで600署名中，文字分割がうまくいかなかった89署名を46署名にまで減少できた． 本研究では，筆記時の動的情報を積極的に利用するために筆記時のXY座標の時間差分から「筆記の向き」を求め，その「向き」と直交する方向に画素を拡散させる太文字化を行った上でウォーターシェッド法を適用し，文字分割がうまくいかなかった署名を40署名にして署名照合精度を改善した．

近年，ビッグデータから有用な情報の抽出を行うデータマイニングが注目されている．しかし，個人情報を含んだデータをデータマイニングで使用するには，プライバシーを保護した状態で使用しなければならない．そのため，現在プライバシー保護型データマイニング(PPDM)の研究が行われている．プライバシー保護型データマイニングにRandom Decision Treeを用いることで計算処理や分類の正確性が上がることが知られている．しかし既存方式ではrandom treeを選別するためにプライバシー情報を復号しているため，情報が洩れるという問題点がある．そこで本稿では，より安全なPPDMの実現を目指し，rando treeの選別にマルチパーティ計算を用いて洩れる情報を減らしたRDTによるPPDMを提案する．

クラウドコンピューティングによってビッグデータを解析し，解析結果を新規ビジネスの創出や社会問題の解決へと活用することが期待されている．一方で，データを秘匿しながら解析を実行しなければならない場合もある．これを実現する手法として，秘密分散法とマルチパーティ計算(MPC)が知られている．ただし，解析対象のデータが小数で表現されている場合や精度の高い計算が要求される場合には，MPCにおいても浮動小数を扱う必要がある．MPCにおいて，データを浮動小数点の形式で表現して四則演算を実行するプロトコルはAliasgariらによって提案されている．しかし，整数上での四則演算と比較して処理コストが大きい．中でも，基本演算である加算プロトコルの処理コストが非常に大きい．そこでAliasgariらの手法を基にして，浮動小数の仮数部ビットを$\ell$ビットとした時の通信量を$O(\ell\log \ell)$から$O(\ell)$へと削減した加算プロトコルを提案する．また，提案方式の加算プロトコルに合わせた乗算プロトコルについても考察する．

In this paper, we review the problem of private batch equality test (PriBET) that was proposed by Saha and Koshiba (3rd APWConCSE 2016). They described this problem to find the equality of an integer within a set of integers between two parties who do not want to reveal their information if they do not equal. For this purpose, they proposed the PriBET protocol along with a packing method using the binary encoding of data. Their protocol was secured by using ring-LWE based somewhat homomorphic encryption (SwHE) in the semi-honest model. But this protocol is not fast enough to address the big data problem in some practical applications. To solve this problem, we propose a base-$N$ fixed length encoding based PriBET protocol using SwHE in the same semi-honest model. Here we did our experiments for finding the equalities of 8~64-bit integers. Furthermore, our experiments show that our protocol is able to evaluate more than one million (resp. 862 thousand) of equality comparisons per minute for 8-bit (resp. 16-bit) integers with an encoding size of base 256 (resp. 65536). Besides, our protocol works more than 8~20 in magnitude than that of Saha and Koshiba.

　ニューラルネットワークは画像分類などに有用な技術で，その計算には活性化関数と呼ばれる非線形関数の計算が含まれる．クラウドなどの外部サーバにニューラルネットワーク計算を安全に委託するためには，入力データを準同型暗号で暗号化した暗号文上で活性化関数の計算を行う必要がある．本稿では，重みパラメータが二値（+1または-1）のニューラルネットワークで用いられる活性化関数であるSign関数を効率的に準同型演算する方法を述べる．

最近、Rosulekは、定数ゲート以外の全てのゲートの集合に関してゲート情報を秘匿し、かつ、各garbled gateのサイズを2λ+4または2λ+8まで削減できる方法を示した。（λはセキュリティパラメータ。）しかし、Garblerがgarbled gateを求めるには、6×6又は4×4の逆行列を計算しなければならない。本稿では、上記garbled gateの（逆行列を含まない）直接的なclosed form表現を示す。

本稿では，複数の人をグループとして秘匿マッチングを行うプロトコルの考察を行う．秘匿マッチングプロトコルとは，お互いに自身の個人情報を相手に知らせないままお互いの一致するプロフィールの数や類似度の計算を行いマッチングが成立するか不成立なのかを判定するプロトコルである． 既存研究では，ユーザーのプロフィールをベクトルや素数などに変換を行い，ユーザーのプロフィールを直接処理せずにプロトコルを実行することによって，ユーザーのプロフィールを保護するプロトコルが提案されている．これらの研究の多くは，1対1でのマッチングを想定している．しかし，複数の人や物をグループとして考えることで，商品の推薦システムや学校のクラス替え，類似するコミュニティが複数あった場合の決定など多くのデータを使用する問題に応用可能である． 本稿では，それぞれの人が持つ特性をベクトルとして扱い，内積をセキュアに計算することで類似度の算出を行い，グループ間の類似度を算出する際にはグループの平均値を使用するプロトコルを複数提案する．また，それぞれのプロトコルに対してシミュレーションを行い，結果からプロトコルの比較，考察を行う．

本稿では、数体篩法(NFS)と楕円曲線法(ECM)の各種パラメータのtrade-offを明らかにした。従来の評価では実行時間の最適化のみが考慮されてきたが、現実には利用可能メモリ量を減らしたり、成功確率を落したとしても実行時間を減らしたい場合がある。これらのtrade-offを明らかにし、例えば数体篩法で利用可能メモリ量をL[s] (s≦1/3)とした場合に実行時間がL[1-2s]に増加することを明らかにした。

判別式-Dに対し，4p=1+Dv^2の形の素数を因数に持つ合成数に対する多項式時間素因数分解アルゴリズムが提案された（白勢，SCIS2017）．これは楕円曲線法と，特殊な楕円曲線の生成法であるCM法を組み合わせた手法であったが，-Dの類多項式が２次以下の場合にのみ適応可能という限定的なものであった．著者らは，理論面・実装面を見直すことにより類多項式の次数についての制限を外した．さらに，4p=t^2+Dv^2という形を持つ素数であってp+1-tがsmoothとなる場合へアルゴリズムの適用範囲の拡張を行った．本発表ではこの研究について報告する．

RSA の安全性は巨大合成数を素因数分解する問題の難しいに依存しているため, RSA を安全に利用するために, 素因数分解アルゴリズムの提案・検討・実験状況を整理分析し, どんなサイズの合成数が分解できたか/分解できそうかを予測することは必要不可欠である. 本稿は素因数分解の最新状況をまとめる. 特に, 近年になって新しい計算アーキテクチャとして注目を集めている量子アニーリング計算を用いた素因数分解についてもまとめる.

有田-半田氏らは，m次円分体(m:素数)の分解環上のRing-LWEを利用した準同型暗号により多くの平文の準同型処理を効率的に行う提案を行った。しかし，提案論文では分解環上のRing-LWEの安全性の解析が十分になされていない． そこで，本研究では分解環上のRing-LWEとm次円分体の整数環上のRing-LWEとの比較検討を格子攻撃を用いて実験的に行った．

格子暗号の安全性は最短ベクトル問題（SVP）や最近ベクトル問題（CVP）などの格子問題の計算量的困難性に基づいている． 格子問題に対する効率的な攻撃法として，格子基底簡約アルゴリズムがよく利用される． 最も有名なアルゴリズムはLLLであり，DeepLLLやBKZ，DeepBKZはその改良方式である． 本稿では，まずDeepLLLの出力基底が持つ性質（Output qualityに関する定理）を証明し， DeepLLL簡約基底が（ワーストケース比較において）LLL簡約基底よりも直交に近く・短いベクトルから構成されていることを示す． 次に，BKZやDeepBKZにおいてGSO情報を高速に計算する方法を提案する． 最後に，本提案の高速化を施したDeepBKZを用いた，Darmstadt SVP challngeのSVP解読記録を示す．

格子暗号の安全性は，格子上の最短ベクトル問題（SVP）や最近ベクトル問題（CVP）などの格子問題の計算量困難性に基づいている．格子基底簡約は，与えられた格子基底のユニモジュラ基底変換により，各々の基底ベクトルが短く・互いの基底ベクトルが直交に近い格子基底を出力するアルゴリズムであり，SVPやCVPなどの格子問題を近似的に解く有効な方法である．2017年，Schnorr-EuchnerのBKZ基底簡約のサブルーチンであるLLL基底簡約をDeepLLL基底簡約に置き換えたDeepBKZ基底簡約が提案された．本稿では，格子基底に対する双対格子基底をDeepBKZ基底簡約する双対DeepBKZ基底簡約を開発する．特に，逆行列計算を必要とする双対格子基底を直接計算することなく，与えられた格子基底のユニモジュラ基底変換のみで，双対格子基底をDeepBKZ基底簡約する方法を紹介する．また，DeepBKZ基底簡約と双対DeepBKZ基底簡約の有効性を検証するため，2016年から公開されているLWEチャレンジ問題の解読に適用し，その解読時間を報告する．

2010年に洲崎らによって，一般化Feistel構造のブロック攪拌部を巡回シフトではなくシャッフルにすることで安全性が向上することが証明された．また，同論文中にブロックシャッフルごとに安全性評価をした結果が掲載されている．本稿ではブロックシャッフルを導入した一般化Feistel構造に対し，より高精度な安全性評価を行うことを目的とする．そのために混合整数線形計画法を用いて，著名な攻撃法の特性が存在する段数を導出した．差分/線形解読法に対する混合整数線形計画法の導入はMouhaらによって2011年に提案されている．また藤堂が示したDivision PropertyによるIntegral特性探索や，佐々木らが2017年に発表した不能差分特性探索も利用した．その結果として，洲崎らが発見できていなかったブロック数k=12で，差分伝播7段の特性を発見した．また，混合整数線形計画法を用いた探索が従来のものより高精度であることも示す．

MinematsuとIwata [Minematsu, Iwata, IMA CC 2011]は，nビットブロックtビットtweakのtweakableブロック暗号(ただし1<=t<=n)とハッシュ関数を用いて，(n+t)ビットブロック暗号を構成し，その安全性を証明した．またCoronら[Coron, et al., TCC 2010]はnビットブロックnビットtweakのtweakableブロック暗号のみを用いた2nビットブロック暗号の安全性を証明した．本稿ではこれらの先行研究から自然に得られる，nビットブロックtビットtweakのtweakableブロック暗号(ただし1<=t<n)のみを用いた(n+t)ビットブロック暗号に対し，その安全性証明をCoefficient-H技法を用いて行う．

量子計算機の実現は公開鍵暗号にとって大きな脅威である一方で，共通鍵暗号でも脅威となる場合があることが報告されている．桑門と森井は任意の量子重ね合わせ状態の平文に対応する暗号文を得られる量子選択平文攻撃が可能な場合に，Simonのアルゴリズムを利用して3ラウンドFeistel暗号のランダム置換との識別が量子多項式時間で可能なことを示した．本稿では量子選択平文攻撃に加え，任意の量子重ね合わせ状態の暗号文に対応する平文を得られる量子選択暗号文攻撃を考える．このとき，4ラウンドFeistel暗号のランダム置換との識別が量子多項式時間で可能なことを示す．

本稿では、共通鍵暗号系技術に対する古典計算機を用いた攻撃技術の中で最も強力なもののひとつであるDemiric と Selcukによる中間一致攻撃（DS中間一致攻撃）が、量子計算機により高速化できるということを示し、$n$ビット鍵の$n$ビット6段Feistel暗号へ適用する。6段Feistel暗号に関して古典的にはGuoらによるDS中間一致攻撃が存在し、データ・時間・メモリといった計算量および計算資源はいずれも$O(2^{3n/4})$である。今回提案する量子攻撃に必要な計算量は、攻撃のモデルおよび攻撃者が使える量子ビットの数に依存して変化するが、計算量および計算資源はおおむね$O(2^{n/2})$でバランスし、古典の結果$O(2^{3n/4})$に比べて著しく改善される。Q1モデルにおける攻撃を考えた後は、攻撃者がオラクルへ量子重ね合わせクエリをできるというモデル（いわゆるQ2モデル）における攻撃を考える。桑門・森井による3段Feistel暗号の識別攻撃をベースにして、3段の鍵回復攻撃を、最近LeanderとMayによって提案された技術を用いて組み合わせる。

The Telegram which is a very popular messenger uses a special mode called IGE(Infinite Garble Extension). IGE mode is not included in standard mode of operation recommended by National Institute of Standards and Technology(NIST) in 2001. Block cipher encrypts fixed length of plaintext into the corresponding fixed-length of ciphertext using a secret key shared by two parties and utilizes lots of mode of operation for various length of plaintext. Even though Telegram uses non-standard IGE mode, Telegram is claimed to be secure and demonstrate their security is stronger than other IM’s. Thus, we need to verify the security of IGE mode depending on underlying block ciphers. In this paper, we show that IGE mode block cipher used in Telegram assuming sPRF is not IND-qCPA, but assuming qPRF is IND-qCPA.

In this paper, we discuss how to provide security of MQTT from PUF-based key establishment.

本稿では，バイアスを含む物理複製困難関数 (PUF) から一様なビット列を効率的に抽出するための多値デバイアシング手法を提案する．提案手法では，まず，PUFを構成する各セルのレスポンスを1の出現確率に応じて4値化する．その上で，同4値レスポンスから一様な2値レスポンスを効率的に抽出する．提案手法の有効性を，シミュレーションとFPGAに実装したPUFによって生成された4値レスポンスを用いた実験を通して得られた2値レスポンスにおける，一様性と効率（レスポンス長）から評価する．その結果から，多様なPUFレスポンスにおいて，提案手法は既存手法に対しておよそ1.5倍から2倍の効率で一様なビット列を抽出できることを示す．

本論文では，物理複製困難関数(PUF) のためのデバイアシング手法である偏位マスキング(BM: Biased Masking) の提案と，それに基づく効率的なファジー抽出器の構成を示す．一般的に，PUF に基づく暗号鍵生成・復元を実現するためにはファジー抽出器(FE) により生成したヘルパーデータを不揮発メモリに格納する必要がある一方，PUF レスポンスにバイアスがある場合はヘルパーデータから暗号鍵に関する情報がリークすることが指摘されている．本論文では，バイアスのあるPUF レスポンスからエントロピーリークの無いヘルパーデータを効率的に生成するための新たなデバイアシング手法であるBM を提案する．既存のデバイアシング手法がバイアスのあるPUF レスポンスから一様なビット列を抽出するためにレスポンス中の多くのビットを捨てるのに対し，BM ではレスポンスのバイアスに応じて生成された人工的なノイズ（バイアスのある疑似乱数列）をヘルパーデータ生成時にビットパラレルAND （もしくはOR）演算により加える．ここで，加えられたノイズは暗号鍵復元時にはPUF レスポンスのノイズと同様に誤り訂正符号(ECC) によって除去されるため，適切なECC の設計により通常のFE と同様に暗号鍵が復元できる．本論文で は，BM と既存のデバイアシング手法に基づくFE を比較することで提案手法の有効性を確認する．一般的にFE におけるECC は鍵復元の失敗確率が10^{-6} 以下となるように設計される．例えばリードマラー符号と繰り返し符号の連接符号を用いて上記の条件を満たす場合，BM に基づくFE は既存手法に基づくFE と比べて最大53%のPUF サイズの削減が可能である．

近年IoTを支える技術として，環境発電が注目されている．環境発電は，環境中の太陽光や電磁波，振動，風力，熱などのエネルギーを収集して，電力へ変換する技術である．一方で，半導体の偽造品の脅威が指摘されており，この対策としてPhysical Unclonable Function (PUF)が注目されている．今後，IoTなど幅広い分野で利用が期待される環境発電においても偽造品への対策について検討することは非常に重要である．そこで本研究では，環境発電を利用したPUFについての基本検討を行う．提案するPUFでは，環境発電デバイスの発電電力の違いをPUFとして利用する．そして，5つの太陽電池を用いた評価実験により提案するPUFの有効性について検証する．

人工物に複数の特徴情報を添加することにより，真正性（本物であること）の確度と偽造困難性を高めるマルチモーダル人工物メトリクスは，マルチモーダルバイオメトリクスからヒントを得て創出された偽造防止技術のひとつである．著者らは，人工物に2つの光学的な特徴情報（色相と発光強度）を持たせるために，新しいタイプのガラス蛍光体を開発している．当該蛍光体は，光励起により観測点ごとに異なる色相と発光強度を示す．観測点ごとに異なる色相と発光強度を示すアップコンバーション蛍光体はこれまでになく，新規性がある．著者らはこの蛍光体を粉末状に加工し，偽造品の流通が確認されている陶磁器に適用することで，真正性の確度と偽造困難性を高める手法を提案する．本論文では，当該蛍光体の開発（作製方法と基礎的な実験結果）と，陶磁器への適用実験について報告する．ガラス蛍光体は狙い通りに発光し，ガラス蛍光体を添加した皿から特徴情報を抽出することにも成功し，アプローチの妥当性を示した．

　CANメッセージの受信頻度を利用したサイバー攻撃検知の一種である累積和検知方式を提案する． 周期検知方式や頻度検知方式といった従来の車載ネットワーク向けの攻撃検知技術は，メッセージの大幅な遅延や早着といった周期の乱れが発生すると誤検知となる可能性が高い． 　提案する手法は大幅な遅延・早着があっても誤検知が極めて少なく，高精度に攻撃を検知することが可能である．本論文では計算機上の攻撃シミュ―レーションにて従来の攻撃検知技術と累積和検知方式の検知精度を評価し，その評価において累積和検知方式が最も良好な検知精度であったことを示す．

Modern vehicles are run on software containing more than 100 million lines of code. As a result of more advanced functionality such as ADAS and autonomous driving being introduced, vehicles contain more software being developed and assembled by a number of different parties such as OEMs and tier 1 and tier 2 suppliers. Moreover, as new use cases for the connected car such as controlling various vehicle functions from mobile apps, the addition of numerous communication interfaces as well as collecting and processing vehicle data in the OEM backend are developed, even more software is needed in the automotive industry. To ensure software security for above scenario, there is a need to secure the automotive software development lifecycle. This paper presents how to address security for each step in the software development lifecycle.

交通事故の削減を目的として，自動ブレーキ等の先進運転支援システム（ADAS）が搭載された自動車が普及し始めている．自動ブレーキの実現には，測距センサ等の車載センサから得られる情報や車速等の車両情報が必要となる．これらの情報は，一般的に車載LANを通してADAS処理を行うECUに渡され，総合的に判断を行い自動ブレーキのような動作を行う指示を行う．車載LAN経由で不正な車載センサ情報を送信することでADASを無効化したり誤動作させたりする攻撃が報告されている．車載LANを流れる車載センサ情報や車両の情報には相関があると考えられることから，一部のセンサや車両の情報だけがなりすまされていることは検出できる可能性がある．本論文では，車載LANからの車載センサ情報の異常検知をゲートウェイやECUで行う際のフィルタリングルールの自動生成機構において，その異常検知ルールの自動生成のために車載センサ情報間の相関関係を自動で抽出する方法を提案する．提案方式ではパターンマッチングを用いることで，車載センサ情報間の相関関係を自動で抽出できる方法を示し，実車のデータに適用し評価することで，その有効性を確認した．

近年の車両は，車載制御ネットワークにより接続された70～100台のElectronics Control Unit(ECU)により制御されると共に，車両外の様々なサービスとネットワークを介して制御データを共有し利便性を向上させている．しかし，この様に複雑なシステムはセキュリティ上の脆弱性を招き，多くの研究により車両へのサイバー攻撃の可能性が指摘されている．このためのセキュリティ対策として，車両への未知のサイバー攻撃を検知可能な，車載ネットワークでのアノマリ型侵入検知システムが知られている．しかし従来の検知方式では，攻撃者がECUの周期的な送信を止めた後に異常フレームを挿入するケースの検知が難しい．本論では，この様なケースも検知可能とするため，相関データにより通信フレーム中のコンテキストデータを監視するアノマリ型侵入検知方式を提案する．本提案方式では，監視対象コンテキストデータの現在値を，学習済みの車両データモデルを用いて監視対象と相関関係にあるコンテキストデータから推定し，監視対象コンテキストデータの現在値と推定値の差異を評価して検知を行う．筆者達は，提案方式の有効性を試験車両で取得したCANトラフィックを用いて確認したので報告する．

近年，自動車の高度な電子化・ネットワーク化が急激に進展している．しかし，自動車のIoT化が急速に進む一方で，セキュリティ対策が遅れており，車載ネットワークのプロトコルであるCANの脆弱性をねらった攻撃事例が複数報告されている．そのため，CANの不正侵入検知技術の需要が高まっている．従来のセキュリティ対策としてCANデータに対するMAC認証があるが，MACを挿入することでデータとして利用できるビット数が減少する．また，データ，送信周期などを用いて攻撃を検知するルールベースによる対策があるが，しきい値の設定が難しいといった問題点があった．さらに，センサーの出力値に対するなりすまし攻撃はいずれの対策でも対処できない．本稿では，なりすまし攻撃に対する対策として，時系列データ処理での異常検知で高い性能を発揮している深層学習技術を用いてCANバス上に流れるデータの時系列特徴とデータ間の関係性を抽出し，攻撃を検知する手法を提案する．実際に，速度へのなりすまし攻撃を想定した環境において，車速，ブレーキ，アクセルといった時系列データとそれらの関係性から，なりすまし攻撃の対策が可能であることを示す．

Many ideas of IDS for vehicles were already proposed so far. Most of them can only detect anomaly CAN messages, but they cannot detect which ECU is compromised because any ECUs can't identify the ECU who sends illegal messages for the specification of CAN protocol. Now we propose the smart CAN cable that identifies the ECU who sends malicious messages.The smart CAN cable has two kinds of functions. One is a CAN IDS. The CAN IDS identifies an illegal message, and it broadcasts the hash value of the illegal message to CANBUS. Another is an identifying module. The identifying module is to memorize hash values of the messages and its sender ECU. When the identifying module receives the hash value from the CAN IDS, it broadcasts the sender ECU information to CANBUS if it finds the hash value in its own memory. We can cut the sender ECU from CANBUS, or control the stream of it, or handle other workarounds after we identify the sender ECU who sends illegal messages. This paper shows how the smart CAN cable works, and its advantages and disadvantages.

Web広告配信事業者はBrowser Fingerprintingと呼ばれる，ユーザの識別が可能なデータを収集していることが知られている．しかしながら実際に広告配信事業者がどのような目的でFingerprintを収集・利用しているかはユーザにとって不透明であり，プライバシーリスクが懸念される．本研究では，ユーザがプライベートブラウジング等を利用してCookieによるユーザ識別を拒否しているケースにおいて，Cookie の代用としてBrowser Fingerprintingを用いてターゲティング広告をしているか，具体的にはリターゲティング広告の配信に用いられているかを調査する．Browser Fingerprintingの検知と画像収集が可能なクローラを用いて，ショッピングサイトを訪問した後，広告掲載サイトを巡回した．得られた画像ファイルの中から，広告画像のみを抽出し，ショッピングサイトで閲覧した特定の商品情報と，その後広告掲載サイトで配信された画像の内容を比較することによって，Browser Fingerprintingのリターゲティング広告への利用有無を検証した結果を報告する．

攻撃者は標的への攻撃を行う前にWebアプリケーションフィンガープリンティング(WAFP)を行う．WAFPとはサーバ上で利用されているWebアプリケーションやそのバージョンを収集する技術である．収集した情報は攻撃方法を決定する際に用いられるため，Webアプリケーションの情報露見を防ぐことが攻撃の回避に繋がる．本論文ではWAFPによる情報露見の実態調査結果および情報露見を防ぐ対策手法を示す．対策手法では，プロキシを用いてクライアントとWebサーバの間の通信を精査し，Webアプリケーションに関する情報と思わしき箇所の難読化を行う． また，本手法の適用前後でのWAFPの結果の比較によりその有効性を示す．

一般に，Browser Fingerprintingではブラウザに依存する情報を利用するのでブラウザが変更されると識別が困難になる．一方で，通信解析によって端末のOSを推定するOS Fingerprintingはブラウザに依存しない端末構成の一部を得ることができる．そのようなブラウザに依存しない端末に基づく情報が利用できれば，Browser Fingerprintingによる識別の可能性が高まる．そこで，本論文ではBrowser Fingerprintingを用いて，OS，CPUやメモリに代表される端末構成を網羅的に推定する手法について提案する．実験にて過去に明らかになったBrowser Fingerprintingによる端末構成の推定手法に加えて，新たな推定手法を実装したWebサイトを構築した．そして，SMBIOS (System Management BIOS) で定義されたデータ領域から採取した情報と比較し，提案手法を検証する．

端末上のブラウザから採取可能な複数の情報を用いてブラウザを識別するBrowser Fingerprintingと呼ばれる手法がある．情報を採取する手段として，HTTPヘッダとJavaScriptがある．先行研究により，識別に役立つ情報はHTTPヘッダから採取された情報よりもJavaScriptを用いて採取された情報の方が多いことがわかった．しかし，JavaScriptを用いて採取する場合，JavaScriptの実行を許可しない設定のブラウザ上での採取が不可能，採取のための時間が長いという欠点がある．したがって，端末上のブラウザがJavaScriptを実行しない設定の場合や情報を採取するWebページ上で採取時間に制約がある場合は先行研究で示された識別の精度に至らない可能性がある．それに加えて，HTTPヘッダから採取できる情報に限定して分析を行った結果は先行研究で示されていない．そこで，本論文にてHTTPヘッダから採取した情報を対象に分析を行い，識別および追跡の精度を示す．また，変化しやすいグローバルIPアドレスとUser-Agent文字列を除いた場合に，識別が可能であるかを示す．

Web Browser Fingerprinting と呼ばれる手法により, Web サーバが利用者の端末を追跡することができる.利用者を追跡することで,広告のマッチングなどを行っているが,利用者のプライバシが侵害される問題がある. Web Browser Fingerprinting では,主にブラウザから採取できるソフトウェアとハードウェアの特徴点を用いているが,ソフトウェア特徴点は変わりやすいためハードウェア特徴点を重要視するものが増えている . そこで本論文では,仮想マシンを用いてハードウェア特徴点からの追跡を防ぐ Anti Browser Fingerprinting を提案する.その有効性を評価する実験を行った結果,同一の Fingerprint を生成できたが,端末の識別可能性は残った.

本稿では，Shamireの(k,n)閾値秘密分散法とRivestのAONT秘密分散法を組み合わせて，(2,2,3)ランプ型秘密分散法を提案し，また，同提案のプロトタイプシステムを開発したことを報告する．本方式により，分散情報のデータ長をShamireの(2,3)閾値秘密分散法の半分に削減することができる．

d-乗算可能な秘密分散 (Multiplicative Secret Sharing，以下 MSS) とは，Barkol-Ishai-Weinreb (Journal of Cryptology，2010) が提案した新たな秘密分散であり，秘密分散の情報理論的な性質に加え，各プレーヤは任意の d 個の秘密のシェアからそれらの乗算結果の加法的シェアを直接計算できる．Barkol らは d-MSS が存在するアクセス構造の必要十分条件が，任意の d 個の非アクセス集合の和集合が全プレーヤ集合とならないこと (以下 type Qd) であることを示した．本稿では，新たに d-検証乗算可能な秘密分散 (Verifiably MSS，以下 VMSS) を提案する．d-VMSS とは，d-MSS の性質に加え，乗算結果の正しさを示す証明の加法的シェアも直接生成できる．ここで，各秘密は独立に分散され，各プレーヤは他者との通信もセットアップも不要であり (つまり d-乗算の各組み合わせに対する証明情報の事前共有無し)，さらに秘密分散には線形性も検証可能性を仮定しない．まず，検証の誤り確率が 0 となる d-VMSS が存在するアクセス構造の十分条件が type Qd+1 であることを示す．ただし，構成方式では証明サイズが極大非アクセス集合の数に比例して増加するため効率が悪い．そこで，任意の小さな検証誤り確率を許容することで，d-VMSS が存在するアクセス構造の必要十分条件が type Qd になり，かつ証明が有限体の要素 2つからなる高効率の方式が構成できることを示す．さらに，d-検証乗算性を利用することで，秘密の復元において加法性と不正検知が実現可能であることを示す．

n人の参加者の中にt人の不正者が存在してシェアの偽造を試みる場合でも，正しいメッセージの復元が可能な秘密分散法はロバスト秘密分散法と呼ばれ，特にn=2t+1の設定における構成法が研究されてきた．最初の構成法はRabinとBen-Orによって提案された．彼らの構成法では，各シェアに長さO(kn)の余剰データを付与することで，高々2^(-k)の確率を除いて元のメッセージを復号することができる．その後，Cevallos，Fehr，Ostrovsky，Rabani (CFOR)は，RabinとBen-Orの方式を基に，余剰データの長さがO(k+n)である構成法を提案した．本稿では，CFOR方式が安全性証明において攻撃成功確率の上限を大きな値で抑えているため，余剰データが必要以上に長く見積もられていることを指摘する．我々は，この攻撃成功確率の上限をより小さい値で抑えることで，CFOR方式に対するより精密な安全性解析と余剰データ長の評価を行う．

参加者をレベルに分割し，そのレベルで分割された参加者のグループ間で秘密を共有する階層的秘密分散法が知られている．本論文では，栗原らの排他的論理和（XOR）ベースの秘密分散法に階層のアイデアを導入し，2階層で構成される参加者のグループについて，必須参加者が1人以上，2階層目を合わせてk人が秘密情報の復元に必要な({1,k},n)階層的秘密分散法を提案する．これまで有限体上での構成は知られているが，XORベースの方式は知られていない．また，実用性を見据えて，ソフトウェア実装評価を示す．

XOR演算だけを用いて構成可能な秘密分散方式について原始多項式によるGF(2)の拡大体を用いて代数的な解釈を行う．既発表の(2,2^m)-XOR-SSSの構成には誤りがあったため本稿で修正し原始多項式を用いた構成方法を示す．これにより任意の正数mに対して(2,2^m)-XOR-SSSが存在することが示された．

パスワードが一致したときだけ,秘密情報の復元が可能なパスワード付秘密分散法がBagherzandiらや早稲田らによって提案されている. Bagherzandiらの方式は計算量的安全性を実現するが，早稲田らの方式は情報理論的安全性を持つ．ただし，早稲田らの方式は分散値同士の乗算を伴うため,秘密情報復元時の閾値をkとする場合,パスワード復元時の閾値を(k+1)/2 としなければならないという問題点がある.これは，攻撃者が秘密情報を知ろうとするとき，パスワードから攻撃すれば秘密情報復元に必要な結託サーバの数をkから(k+1)/2 に減少させることができることを意味する．そこで本論文では，パスワードと秘密情報に関する復元時の閾値を同じkとすることができ，情報理論的な安全性を持つ新たなパスワード付秘密分散法を提案する.ただし，複数回の試行に対する安全性を確保するためワンタイムパスワード的な概念を導入し，passive adversaryとactive adversaryに対する安全性を実現する．

RC4 は1987年にRivest によって提案されたストリーム暗号であり， SSL/TLS，WEP，WPA-TKIPなどのセキュリティプロトコルで広く利用されている． RC4 によって生成される鍵ストリームとRC4 秘密鍵を用いた線形式の間には， 統計的な偏りが生じるという相関性が存在する． このような相関性のことを鍵ストリームに関する鍵相関と呼ぶ． SAC 2010でSepehrdad らは鍵ストリームに関する多くの鍵相関を発見し， 既存の鍵相関と組み合わせることによって， 全数探索よりも少ない計算量でRC4 秘密鍵が復元できることを理論的に示した． 本稿では，Sepehrdad らの研究を発展させ， 新たに発見した反復性のある鍵相関について理論的な証明を与えるとともに， 秘密鍵の効率的な復元方法について考察する．

Hammanらによりストリーム暗号に対する新しいタイムメモリデータトレードオフ攻撃が提案された． この攻撃は近年提案された軽量ストリーム暗号Fruit, Plantletに対して有効であり，実際に識別攻撃，鍵回復に成功している．本稿では，Hammanらの攻撃の一般化を行い，計算量，メモリ，データのトレードオフの関係をより詳細に明らかにする．これにより，Fruit v1，Plantletに対してより現実的なパラメータでの識別攻撃が可能になる． さらに，Hammanらの攻撃への対策済みのPlantletに対し，IV collisionを用いた新しい識別攻撃を示す．

ストリーム暗号はブロック暗号と比較して処理速度は速いものの，安全性評価に関する議論が進んでいるとは言い難い．それゆえ安全かつ高速な通信が望まれる中，ストリーム暗号の安全性評価手法の開発が希求されている．本稿ではストリーム暗号の１つであるSNOW 2.0に対する安全性評価を行う．SNOW 2.0の安全性を前提に開発されたSNOW 3GはAESと共にLTEの安全性を担う双璧の１つとなっており，SNOW 2.0の安全性評価には重要な研究価値がある．既にLFSR型のストリーム暗号に対する有効な解析手法として高速相関攻撃が知られており，同型の構造を持つSNOW 2.0に対してもこの攻撃による解析が行われている．我々は既存攻撃の中で使用される線形近似を，新たに整数計画法によって網羅的かつ効率的に探索する．この時従来手法では，SNOW 2.0の内部に存在する拡大体上での加算を整数計画モデルへ落とし込むことが困難であった．そこで我々は新たな線形緩和モデルを提案し，この問題を解決する．そして提案手法によって新たに得られた線形近似を高速相関攻撃へ適用する．

一般に大容量の暗号化において，ストリーム暗号の方がブロック暗号よりもその処理速度は速いが，ブロック暗号と比較してストリーム暗号の安全性評価は進んでいない．したがって，ストリーム暗号の安全性評価手法が希求される．2011 年にMouha らは，共通鍵暗号に対する差分/線形解読法について，整数計画法を用いて安全性評価を行う手法を提案した．この手法はストリーム暗号の１つであるEnocoro-128v やブロック暗号のAES に対する評価に用いられた．本稿では，まだ安全性の議論が十分になされていないストリーム暗号のSNOW 2.0 に対する安全性評価のために，XOR-SNOW 2.0 を対象として差分解読法に対する安全性評価を行う．XOR-SNOW 2.0 とはSNOW 2.0 の内部構造を排他的論理和で簡略化したものである．今回我々は整数計画法を用いて，まずバイト単位の評価を行う．その結果，安全とする基準に達していなかった．また，これは設計者のための攻撃者有利の条件の探索であるので，次により正確な評価としてビット単位で探索する．この2種類の評価結果を得て，それぞれの問題点を考察し今後の課題を述べる．

著者は，過去の発表において，NIST SP.800-22（NIST乱数検定と称する）に含まれる検定法のうち，未だにいくつかの検定法の修正が必要であり，特にDFT検定の誤差は大きいことを述べた．本稿では，いくつかの擬似乱数生成アルゴリズムから生成されたランダムビット列を用いて，DFT検定に関するPareschiらによる修正案と，SCIS2017で発表があった岩崎らによる修正案に対する統計的評価結果を報告する．実験結果は岩崎らの修正案の適切さを示唆するものである点を述べる．

アグリゲートメッセージ認証コード(アグリゲートMAC)は, 複数の異なる平文に対してそれぞれ認証タグを生成し, それらを1つのアグリゲートタグに圧縮する技術である. さらに, 平文の順序検証が可能なアグリゲートMACを順序付きアグリゲートMACという. 既存の構成法としてMACと衝突困難ハッシュ関数を組み合わせた構成が提案されているが, 安全性は証明されていない. 本論文では, MACから順序付きアグリゲートMACへの一般的構成法を提案する. 提案構成法は, タグ生成が決定的アルゴリズムでありpseudorandomnessを満たすMACを適用することができ, 順序付きアグリゲートMACの安全性を満たす. したがって，提案構成法は，MACの構造を変更せずに既存の認証システムにアグリゲート処理を組み込める汎用性をもち，証明可能安全性をもつ順序付きアグリゲートMACである.

アグリゲートMACは, 異なるデバイスが異なるメッセージに対しそれぞれ生成したMACタグを, 単一のMACタグに集約できる認証技術である. 本稿では, 追跡機能付きアグリゲートMACの新たなモデルとして, 集約者と追跡者が対話を行う事で, 適応的にタグの集約や不正デバイスの特定を行うモデルを導入する. また，このモデルの下，安全性定義をみたす一般的構成法も提案する.

複数利用者のタグをまとめてそれらのタグの合計長よりも短いタグを生成する集約（aggregate）メッセージ認証方式では，一般に，認証に失敗した場合には，まとめられたタグに対応するどのメッセージに改ざんの可能性があるかは特定できない．本稿では，改ざんの可能性のあるメッセージの個数に上限を仮定した場合に，改ざんされたメッセージを特定可能な集団検査（group testing）機能を有するaggregateメッセージ認証方式を提案し，その安全性を論じる．

Gap-Diffie-Hellman(GDH)グループに基づくグループ署名の順序付きアグリゲート署名を提案する.従来のグループ署名では,１つのグループ署名について正当性を検証することが可能だが,複数のグループ署名があったとき,グループ間の関係を示すことができなかった.もし,複数グループのグループ間の関係が保証できるグループ署名があれば,複数のグループが関与して作成される書類に対して,作成過程が検証できるなど,グループ署名の利用幅が広がると期待できる.準備として,本提案では既に提案されている,複数のグループ署名をアグリゲート化する方式を説明する.次にこのグループ署名に,構造化を示す手法を取り入れ,グループ間の関係が保証できる順序付きアグリゲートグループ署名ができることを提案し,安全性について考察する.

Certificateless aggregate signature (CLAS)は，証明書が不要なcertificateless signature (CLS)と複数の署名を集約して署名長を短くできるaggregate signatureを組み合わせた電子署名方式であり、 ペアリングを用いた方式が多数提案されている． 本研究ではまず、CLASの安全性を再検討し，安全性と効率の視点から既存方式を分類・分析する． そして，署名の集約に関する利便性・安全性・短い署名長・少ない検証コストを並立させるCLAS方式は構成できないことを示す． そして，検証コストを要するが，署名の集約に関する制限がなく，集約した署名の長さが集約する署名の個数に依存しない新しいCLAS方式を提案する．提案方式はCDH仮定とランダムオラクルモデルのもとで現実的な安全性モデルにおいて安全である． 最後に，CLSとCLASの安全性は等価でないことを示す．

IoTシステムでは，センサが実世界のデータを収集し，その蓄積・解析を行い，結果を基にサービスの提供や制御を行っている．システムにはその用途に応じて一定のセキュリティが求められる．セキュアなシステムを構築するためには，データを収集する段階におけるセンサを対象とした「計測セキュリティ」を評価し，強化し，保証する技術の確立が必要である． 本稿では，一定の範囲にある物体の位置関係を点群として取得可能なTime of Flight（ToF）方式の距離画像カメラを対象とする計測セキュリティの一評価手法を提案する．ToF距離画像カメラに対しては，カメラが発射した測定光を攻撃者が観測し，それをもとに攻撃光（なりすまし光）を生成して測定対象物へ照射することにより，測定値の改ざんができる可能性のあることが確認されている．複数のToF距離画像カメラを比較した結果，カメラが発射する測定光パルスの種類や構造の違いが，この攻撃の難易度や必要コストに影響を与えることが分かった．そこでToF距離画像カメラの計測セキュリティを評価する方法として，外部から測定光を観測する手法を提案し，評価項目や課題について検討を行った．

ステレオカメラは，左右のカメラで撮影した画像の視差をマッチング処理によって求め，対象物との距離を計測する．現在，自動車のADAS（先進運転支援システム）のセンサに用いられており，人命に関わるシステムのセンサとして動作している．このため，外部からの攻撃により測定値が誤ったり，測定ができなくなったりすることは大きな脅威である．すなわち，センシング段階におけるセキュリティ，「計測セキュリティ」の強化が求められる．本稿では，計測セキュリティを強化する観点からステレオカメラに対し攻撃実験を行った．レーザー光をステレオカメラの片眼に照射することによって距離値が正常に算出されないDoS攻撃が可能であることを確認した．また，ステレオグラム画像のようなマッチングミスを誘発する画像を対象物に投影しステレオカメラで計測すると，対象物が実距離よりも遠くに見える距離偽装攻撃が可能であることを確認した．これらの結果をもとにステレオカメラの計測セキュリティをどのように評価すべきかを考察する．

パルスLIDARは自動車のAEB（自動緊急ブレーキ）や今後発展が期待される自動運転技術において重要な役割を担っている．自動車にとってLIDARとは，周囲を確認する“眼”の役割を果たすものであり，LIDARへの悪意のある攻撃は重大な事故を引き起こす恐れがある．そのためパルスLIDARに対して行われうる攻撃とその対策及びセキュリティ基準についての研究，すなわちパルスLIDARの計測セキュリティについての研究が求められている．本稿では光パルス伝播方式のパルスLIDARを対象に測定距離を偽装する攻撃の可能性について追求する．従来の研究では測定距離を偽装する手法として，攻撃対象のLIDARによって測定される位置に予め攻撃装置を設置し，そこから反射光に偽装した光を攻撃対象に対して直接照射する方法が報告されていた．これに対し本稿では攻撃対象に対して偽装光を直接照射するのではなく，攻撃対象によって測定される位置に偽装光を照射する手法の実証を行う．またこの攻撃による影響といった側面で対象LIDARの計測セキュリティを評価することを検討する．

　近い将来、IoT（Internet of Things）が実現する高度情報化社会では、様々なモノが組み込みセンサを備え、その安全性を担保する計測セキュリティは、最も重要な技術的課題の一つとなる。特に、ロボット介護等の人の生活に密に関わるアプリケーションにおいて、組み込みセンサに対する信号の偽装やジャミング等の外部擾乱による物理的な攻撃は人命にも関わる深刻な脅威となり得る。本論文では、近年、広く測距・測速度センサとして普及が期待されているミリ波無線帯を利用したFMCW (Frequency Modulated Continuous Wave) レーダを対象に、攻撃手法を想定した自動安全性評価システムを提案・構築した。システムの構築にあたって、既存のレーダを利用した追加のハードウェアコストのかからないシステム実装を目指した。また、構築したシステムを用いて、24GHz帯のミリ波FMCWレーダについて、外部からの擾乱信号の混入に対する検出性能劣化の感度を解析・測定して、その対外部擾乱安全性を評価した。

現在，センサに偽の信号を挿入することで，本来とは異なる情報をセンシングさせる欺瞞攻撃の危険性が指摘されている．今後IoTシステムで普及が期待されている測距・測速度センサに，ミリ波無線帯を利用したFMCW (Frequency Modulated Continuous Wave) レーダが挙げられる．本稿では，FMCW レーダに対する欺瞞攻撃対策とその実装について述べる．対策方式として，我々がSCIS2017で提案した乱数でチャープ信号を変調する方式を改良し，攻撃検出を信号処理で行う構成を示す．これにより，既存のFMCWレーダのプラットフォーム上で対策が実装可能となる．また，本稿では実際に実機を用いて行った基礎実験の結果を示す．

Cyber Physical システムの開発においては，企画段階からの脅威分析が重要である．本論文では，システム理論による分析とセキュリティにおける脅威分析を融合的に実施できるかを検討したので報告する. 今回，具体的なシステム理論による分析として，システム理論に基づく新しい事故モデルによるモデリング手法STAMP(System-Theoretic Accident Model andProcess)とハザード分析法STPA(Systems Theoretic Process Analysis)を用いた分析に焦点を当てて，検討を行った． 安全に関するSTAMP/STPAのこれまでの取り組みでは，信頼性理論に基づく方法論での限界を超えるような有効性を実証的に示した事例が複数存在する．STAMP/STAPは基本的にトップダウン・アプローチでもあり，設計などが存在しない企画段階でも適用できる．また，意図せぬ損失の防止について分析を行うという観点から，セキュリティに関する分析と共通する点も多いと考えこのような検討を行った．

近年、制御システムにおいてもリモート監視などでWebサービスが利用され、サイバー攻撃の対象となってくることが予測される。本稿では、サイバー攻撃対策の1つである、制御システムのWebアプリケーション診断に着目し、情報システムと制御システムの違いや既存のWebアプリケーション診断ツールでの評価について整理し、制御システムに対して網羅的にWebアプリケーション診断を実施するために必要な診断機能と評価構成を示す。

電力や工場などの重要インフラをターゲットとしたサイバー攻撃が増加しており，制御(OT)システムセキュリティは喫緊の課題として注目を集めている．制御システムは通常のオフィス環境とは独立に，インターネットから隔離された環境で運用される場合が多い．しかし，USBメモリを経由して感染活動を行うマルウェアの存在が確認され，隔離環境であっても決して安全ではない状況になっている．一方，対策立案を目的としたセキュリティアセスメントの実施は重要であり，脆弱性を始めとしたリスク分析や，想定される攻撃経路の探索を効率化するための基盤として攻撃グラフが研究されている．しかしながら，既存の攻撃グラフ研究においては，TCP/IPのネットワークで接続された環境のみを考慮しており，隔離環境を越えて感染する活動は考慮されていない．そこで本稿では，制御システム特有の要素の一つとして可搬媒体によるデータ交換が発生する経路(エアギャップ)を考慮するアセスメントを提案する．実際のインシデントケースを基に，セキュリティアセスメントにおいてエアギャップを考慮することの効果を示す．

近年は、制御システムは、生産プロセスの効率化・自動化を図るため、情報系システムと通信接続し、データのやりとりを行うケースが多くなりつつある。一方で、発電所への攻撃や 2017年のデータロガーの情報セキュリティ脆弱性(JVNDB-2017-004293)の公開等を受け，制御機器の開発においてもセキュリティ設計は喫緊の課題とされている．本論文では，複数フェーズから成るセキュリティ設計において、リスク評価の部分に焦点をあてる．制御機器・システム等向けに最適で、セキュリティ設計を実施する際の効率化と工数の削減を目的とし、既存の脆弱性評価スコアリングシステムを応用したリスク評価の定量化手法に関する検討を行う。次に，データロガーをキー要素とする制御システムを対象 としたケーススタディの結果を紹介する．

近年，工場や電力，水道などの制御システムに対するサイバー攻撃の事例が多く報告されている.これらの攻撃から制御システムを守るために，制御システムの特性を考慮した脅威分析および対策検討が行われている．Stuxnetの事例ではUSB経由で制御システムに侵入しており，制御システムの資産に近づくような攻撃者を考慮するべきである．そのため，サイバー攻撃だけでなく物理的な攻撃を考慮した脅威分析を行うべきであり，この場合には制御システムのすべての資産を脅威分析の対象とすべきである．しかし，すべての資産を対象とする脅威分析を行う場合，工数が膨大となる問題がある．そこで本稿では，制御システムのすべての資産を対象とする脅威分析の効率化手法を提案する．脅威分析を効率化するため，制御システムの可用性に対する影響度の高さによって資産に分析の優先度を定め，さらに脅威を発生箇所ごとに分類することを提案する．また，対策検討の効率化のために，各脅威が影響を与える性質を示すことを提案する．

情報漏えいの原因として、不正アクセスやウイルス感染などの要因もあるものの、誤操作や紛失・置忘れといった人的要因（ヒューマンエラーなど）が多いことが様々な調査報告書で指摘されている。本稿では、情報漏えいにつながる個人の行動に注目し、その行動がどのような個人の心理的要因や直面している環境要因、個人属性によって直接的・間接的な影響を受けているかなどについて検討を行う。具体的には、いくつかの仮説に基づきモデルの構築を行い、著者が2017年3月に実施したウェブアンケート調査結果のデータ分析を通じて、そのモデルの妥当性を検証する。分析の結果から, 情報漏えいにつながる行動をとらせないようにするためには, 不正・違反放置の風土を改善することが最も大きな効果があり, 次にコンプライアンス意識の向上が有効であることが示唆された. 付け加えて,不正・違反放置の風土に影響を与える要因として従業員満足度の向上があることから, 職場環境の改善とともに従業員満足度の向上策の実施やコンプライアンス教育の実施がより大きな効果を生む可能性があることがわかった.

情報セキュリティ技術は日々進展しているものの、未だに情報セキュリティインシデント被害 は後を絶たない。近年の攻撃の高度化から、インシデントの原因の多くは心理的な脆弱性等の 個人的要因に起因すると考えられるものの、筆者らは個人を取り巻く職場環境や職場風土も関 係があるのではないかと考える。本稿では、「情報セキュリティ意識と行動に関するアンケート 調査」によって収集された個票データをもとに、パスワードの詐取や不正アクセスなどの情報セ キュリティインシデントに遭遇した個人が属する企業の職場環境や職場風土などの組織的要因と 当該インシデントの関係について実証分析を試みる。この分析を通じて、情報セキュリティインシ デントに会いやすい組織の特性を明らかにし、組織・マネジメントの視点からこれらの事故・被 害を低減させるための提案を示す。

本稿では，ソーシャルエンジニアリングによって騙された人の意図の変化を，生体情報から検知する研究の概要を説明する．ソーシャルエンジニアリングとは，振り込め詐欺やビジネスメール偽装詐欺など，人の行動を操作して資産や情報を搾取する攻撃を指す．ソーシャルエンジニアリングでは人が狙われるため，アンチウイルスソフトやファイアウォールといった一般的なセキュリティ対策では十分に防ぐことができない．我々は，攻撃を受けている人に焦点をあて，行動を起こそうと意図が変化する瞬間を生体情報から検知することで，対策を強化しようと考えている．現在は，脳波・瞳孔径・視線・表情に注目して，意図の変化と生体情報の相関を調べる実験を行なっている．本稿では，その実験方法と途中結果を報告する．

サイバーセキュリティにおける先進的な研究，特に攻撃的セキュリティと呼ばれる分野の研究は，しばしば倫理的な議論を必要とする．現状ではサイバーセキュリティ特有の研究倫理指針は存在せず，日本の攻撃的セキュリティ研究を躊躇させる一因となっている．本研究では，過去のトップカンファレンスに投稿された論文を機械学習および手作業で分類し，研究倫理に関するベストプラクティスを抽出した．抽出した知見からサイバーセキュリティに関する研究倫理の倫理指針を構築した．この倫理指針はグレー領域の研究を禁止された研究と誤認されないようにすることを目的としている．倫理指針を決定木の形で倫理指針を表現することにより，セキュリティ研究者は自分の研究で倫理的議論を必要とする点を効率的に確認することができる．本稿では手始めに一部のカテゴリのみ対象として倫理指針構築を試みたが，手法そのものは他分野にも応用が期待できる．

我が国でもビッグデータという言葉は2010年頃から使われ始めていたが，ビッグデータの本格的な活用はこれからである．本稿では，まずビッグデータシステムを構成するサブシステムの現状・動向・課題を整理し，次にビッグデータの活用，特に社会システムでの活用を念頭に置き，今後のビッグデータ活用推進上にどのような課題が想定されるかについての考察結果を報告する．具体的には，ビッグデータの社会活用を推進する上で想定される課題を，研究開発が期待される技術，ビッグデータ活用のための技術者の育成，持続可能なビッグデータエコシステムの形成，健全な発展のための法制度・ガイドラインの整備，ビッグデータ社会実現に向けた国民の合意，の5つの観点で整理している．今後，本稿で示したビッグデータ社会の実現のための課題を認識の上，情報セキュリティ分野の研究開発活動や実用化を目指した実証プロジェクトの企画等を推進する予定．

感染端末内に保存されているファイルを暗号化し使用不能にした後、元に戻すことと引き換えに金銭を要求するランサムウエアの被害が、2016年頃から個人・法人を問わず国内で急増している。 機密情報を含む重要なファイルが暗号化された場合には、業務上多大な影響を及ぼす可能性があるため、被害者は実際に金銭を支払ってしまうこともあると報告されている。 しかしながら、ランサムウエアを用いた金銭の要求は犯罪であり、犯罪者への金銭の支払いは、利益供与と見做される可能性もある。 本稿では、やむを得ず金銭を支払った場合にどのような法的な責任やリスクが発生し得るかということについて検討する。

現代暗号において, 秘匿性増強(privacy amplification)や乱数抽出(randomness extraction)が広く用いられており, その安全性の根拠となるのがleftover hashing lemma (LHL, "残り物ハッシュ補題'')である. 一方で量子情報理論では, 量子誤り訂正符号(quantum error correcting codes, QECC)が広く用いられており, とくに量子暗号や量子コンピュータを実現するために不可欠だと考えられている. 本発表では, この二つの理論的道具立て(LHLとQECC)の間にある, ある種の等価性を示す.

We consider a scenario with n players (n>3), in which several pairs of players have agreed on individual one-bit keys. These pre-shared keys are assumed to be partially leaked to an eavesdropper, Eve. Given such a partially leaked key exchange graph and two qualified players, the existing protocol can make the qualified players share a one-bit key u in {0,1} with the help of other players such that Eve’s knowledge about u is as small as possible, where Eve overhears all communication between the players. As a natural extension, it is desirable to extend this two qualified players key agreement problem to the k qualified players case, where k>2. Because it seems difficult to resolve the problem comprehensively, we restrict our attention to a limited class of partially leaked key exchange graphs, called uniformly leaked key exchange complete graphs where every pair of players has a pre-shared key and each key has leaked independently with the same fixed probability. Thus, this paper deals with how any k qualified players can generate a one-bit common key u from a uniformly leaked key exchange complete graph. Specifically, we propose a one-round protocol that makes the k qualified players generate a common key u using edge disjoint Hamiltonian paths.

Function secret sharing (FSS) scheme is a mechanism that calculates a function f(x) for x in {0,1}^n which is shared among p parties, by using distributed functions f_i : {0,1}^n --> G, where G is an Abelian group, while the function f : {0,1}^n --> G is kept secret to the parties. Ohsawa et al. in 2017 observed that any function f can be described as a linear combination of the basis functions by regarding the function space as a vector space of dimension 2^n and gave new FSS schemes based on the Fourier basis. All existing FSS schemes are of (p,p)-threshold type. That is, to compute f(x), we have to collect f_i(x) for all the distributed functions. In this paper, as in the secret sharing schemes, we consider FSS schemes with any general access structure. To do this, we observe that Fourier-based FSS schemes by Ohsawa et al. are compatible with linear secret sharing scheme. By incorporating the techniques of linear secret sharing with any general access structure into the Fourier-based FSS schemes, we show Fourier-based FSS schemes with any general access structure.

本稿では，拡張したMean King問題の解を示し，その解を用いて量子鍵配送を構成する． この量子鍵配送では，一人の送信者と複数人の受信者がいて，送信者は各受信者と共通鍵を共有する． また，インターセプト・リセンド攻撃を行う盗聴者への耐性を検討する． その結果として，送受信者が共有する共通鍵に誤りが発生することを示し， 構成した量子鍵配送がインターセプト・リセンド攻撃に対してロバストネスであることを示す．

超特異楕円曲線間の同種写像の核計算問題を安全性の根拠とする暗号方式は, 耐量子暗号の一つとして期待されている. Jaoらは, 2011年にその問題を安全性の根拠にするDiffie-Hellman型の鍵共有方式(SIDH鍵共有)を提案した. SIDH鍵共有は, 楕円曲線上の演算や同種写像計算を行う必要がある. また, 2017年に, YooらによるSIDH鍵共有型のディジタル署名の提案など SIDH鍵共有から暗号プリミティブを構成する研究が行われており, 計算コストの大部分を占めるのは同種写像計算である. 本稿では, 固定された楕円曲線からの同種写像計算を事前にオフラインで核情報を計算し, 保存しておくことで効率化する手法を提案する.

超特異楕円曲線間の同種写像を用いた認証鍵共有方式を提案する。我々の方式は、初めて1-ラウンドのDiffie-Hellman型ポスト量子認証鍵共有を実現しており、様々な（非自明な）秘密鍵漏えいに対する最大限の安全性（CK^+ モデル安全性）を実現する。その安全性は、ランダムオラクルモデルで gap Diffie-Hellman仮定の同種写像版に基づいて証明されている。また、量子ランダムオラクルモデルでの安全性についても論じる。

超特異楕円曲線間の同種写像を用いた暗号は耐量子暗号として期待されており、DH型鍵共有（SIDH: Supersingular Isogeny Diffie-Hellman）、認証・署名、ハッシュ関数等が研究されている。それら暗号系を構成するためには、楕円曲線の超特異性判定アルゴリズムが必要である。Sutherlandの超特異性判定アルゴリズムでは、同種写像グラフの特性が巧みに用いられる。我々は、そのアルゴリズムに、吉田-高島により提案された 2-同種写像列計算の効率化手法を適用して効率化を図る。そして、Sutherlandアルゴリズムとの計算量比較を行う。立花-高島-高木の3-同種写像列計算の適用についても検討する。

2011年に Jao らは超特異楕円曲線間の同種写像の計算困難性に基づく暗号プリミティブとして、鍵交換方式を提案した。同種写像に基づく暗号プリミティブは、量子計算機に対しても安全性を保つことが期待されている。Jao らの鍵交換方式は受動的な攻撃者に対して安全な方式であったが、実用的には中間者攻撃に対して耐性を持つ認証鍵交換が必要である。He らによって同種写像に基づく認証鍵交換方式が提案されているが、安全性は古典ランダムオラクルモデルでしか証明されておらず、フォワード秘匿性は示されていない。本稿では、同種写像を用いた Unified Model 認証鍵交換プロトコルを提案し、量子ランダムオラクルモデルでフォワード秘匿性を満たすことを示す。Unified Model は、Diffie-Hellman問題に基づく認証鍵交換方式フレームワークの一つであり、NIST SP 800-56A をはじめとする多くの暗号標準化に含まれる重要な方式である。

今日, クラウドストレージサービスは急速な普及をみせている. クラウドは便利である一方で, ユーザー側からすればクラウドは他人であり信頼できない. そのような安全性の懸念を解消するために, 外界にあるデータの完全性を検証するプロトコルが提案されてきた. しかし, 特に有料のクラウドサービスについては依然として安全性の懸念が残っている. 一つは, ユーザーがクラウドに預けたデータが改ざんされていないのかということ. 二つ目は, ユーザーがクラウドに対して適切に利用料金を支払っているかということ. 三つ目は, ユーザーが不当に利用料を支払わされていないかということである. これらの問題を解決するには, ストレージサービスがユーザーと合意した一定期間ユーザーから 預けられたデータを保持した場合に, それに対する報酬としてユーザーが公平に利用料金を支払うような仕組みを考えなければならない. 本研究では, ユーザーとクラウドストレージ双方に公平なサービスを定義し, 必要となる安全性についてモデル化を行う. さらに, 仮想通貨を用いてワンショット型の公平なストレージサービスのプロトコルを実現する.

APKC’17において、我々は分散クラウドストレージの利用に基づくOne-time Memory(OTM)が不要なOne-time Program(OTP)、およびそれを元にした電子現金方式(以下KSNO方式)を提案した。KSNO方式は電子現金の二重使用の発生を後から検出するのではなく、未然に防止するという利点を持っている。その一方、KSNO方式は安全性と冗長性のトレードオフがあり、またクラウドストレージへの侵入によるOTPの二重実行を検知できない欠点があった。また従来の方式のように過去に使用された電子現金の履歴を保持する巨大なデータベースを維持する必要もあった。本稿では、OTPの利用を変形することで、OTPの二重使用を検知可能な電子現金方式を提案する。また匿名性は低下するがそれと引き換えに、おつり機能を持ち，データベースが不要な方式も提案する。

近年、最も成功した仮想通貨にBitcoinがある。 Bitcoinとは、ウェブ上に投稿された論文に基づき、有志により開発がすすめられた P2P型の分散台帳システムであり、台帳に記録される数値が金融資産として取引され、 その取引手数料の安価さから、決済代替手段としての活用が進められている。 一方で、急激な価格上昇にともない、潜在する脅威や攻撃方法が調査されており、 Bitcoinネットワークの解析は、その複雑さから困難な課題の一つとされている。 そこで本研究では、従来のBitcoinネットワーク分析にない、新しいアプローチとして、 複雑とされるBitcoinネットワークを分析するために、 ダークネットにて観測されるパケットを用いて分析することを提案する。 なお，ダークネット観測情報を利用したBitcoinネットワークに関する研究は，我々の知る限り本論文が初めてである．

本稿では、金融オープンAPIでOAuth2.0を活用する際のセキュリティ上の脆弱性について体系的に整理するとともに、現時点で取りうるセキュリティ対策やその留意点を考察する。

高機能暗号を実現するための構成要素のひとつにペアリング計算がありその計算の速度が普及の課題となっている．素数位数体上のペアリング計算におけるボトルネックはFpでの乗算と逆元計算である．剰余乗算器にQuotient Pipeline実装のモンゴメリ乗算をパイプライン型実装した乗算器，逆元計算は拡張ユークリッド互除法を用いた逆元演算器を利用することによりペアリング計算を高速に行う手法が提案されている．本稿では，Fpの拡大体の元のべき乗を求める際に利用する自乗算のアルゴリズムに注目し，Cyclotomic subgroupの自乗算の1つの要素を求めないようにした圧縮自乗算を用いることでクロックサイクル数の削減ができ，パイプライン型剰余乗算器を用いたペアリング計算器において18151サイクルで可能であることを確認した．Xilinx社のKintex UltraScale FPGAを搭載したKCU105ボードで評価する環境を提案する． KCU105ボードで実装評価を行ったところ107[μs]でペアリング計算が動作可能である結果を得た．

X25519鍵共有やEd25519デジタル署名を行う演算器の高速化のために，ツイストしたエドワーズ曲線上でのスカラー倍算の計算速度向上に向けた検討を行った．スケジューリングの最適化を行うことで，論理合成の結果として，SOTB 65 nm プロセスで電源電圧 0.75 V のとき，スカラー倍算のレイテンシはツイストしたエドワーズ曲線で 22.6 us，Curve25519上の場合は 22.7 usという性能が得ることができ，従来のFPGA実装と比較して4倍以上の高速化が可能となることがわかった．

254-bit BN曲線上のペアリング演算向けハードウェアエンジンを提案する. IoT 時代の到来とともに情報の利活用が進み,単なる情報の秘匿に留まらず,高い機能性を有 する暗号方式 (IDベース暗号や検索可能暗号など)が注目されている.これら高機能暗号の多くはペア リングと呼ばれる楕円曲線上の双線形射像を用いて構成されているが,その演算は非常に複雑であり,実用に足る遅延時間でのペアリング演算は困難であった.そこで,本研究では,高機能暗号の実用化に向け,ペアリング演算専用の集積回路(ASIC)を提案する.提案回路は,2次拡大体上の演算器の並列化及びレジスタ・ファイルの階層化によって,配線複雑度を低減させつつ,高度な並列化を達成する.提案回路を65nm CMOSプロセス向けに配置配線した結果,電源電圧1.2Vにおいてペアリング1回の演算に要する時間を62.3μsまで短縮できることを示した.これは既存ASIC実装と比較して8.4倍の高速化に該当する.

ペアリングは，高機能暗号を実現するための重要なコンポーネントであり，組込機器での効率的な実装が求められている．本稿では，ディジタルシグナルプロセッサ(DSP)における高速ペアリング実装について述べる．より具体的には，SCIS2017において発表されたDSPにおける高速な乗算剰余演算のアセンブリ実装をビルディングブロックとして，C言語のオープンソースとしてグラーツ大が提供しているBarreto-Naehrig (BN)曲線上の254ビットのペアリング演算を高速化した．ペアリング実装のケーススタディとして興味深い結果が得られたので報告する．

2017年5月12日、世界中でMircrosoft Windows を標的とした新しいランサムウェア WannaCryの感染爆発が発生した。WannaCry は、これまでの多くのランサムウェアとは異なり、自分で感染を拡大するコンピュータワームとしての機能と、狭義のランサムウェア機能とを併せ持つ。WannaCryは、非常に大きなインシデントであったために、様々なレポートが公開されているが、技術に関する情報は、概略を示したものが大半であり、詳細なレポートは部分的かつ非常に専門的な内容のものが分散して存在している状況である。本稿では、WannaCry の狭義のランサムウェアとしてのふるまいについて文献調査、検体の調査及び、実環境の観測を行ったので報告する。なお、WannaCry のコンピュータワームとしてのふるまいについては、ランサムウェア WannaCry について 2 (Worm機能)で報告する。

2017年5月12日、世界中でMircrosoft Windows を標的とした新しいランサムウェア WannaCryの感染爆発が発生した。WannaCry は、これまでの多くのランサムウェアとは異なり、自分で感染を拡大するコンピュータワームとしての機能と、狭義のランサムウェア機能とを併せ持つ。WannaCryは、非常に大きなインシデントであったために、様々なレポートが公開されているが、技術に関する情報は、概略を示したものが大半であり、詳細なレポートは部分的かつ非常に専門的な内容のものが分散して存在している状況である。本稿では、WannaCry のコンピュータワームとしてのふるまいについて文献調査、検体の調査及び、実環境の観測を行ったので報告する。なお、WannaCry の狭義のランサムウェアとしてのふるまいについては、「ランサムウェアWannaCryについて１（Ransome機能）」で報告する。

近年，マルウェアを使用したサイバー攻撃が多く，その被害が深刻化している．マルウェアの数は増加の一途であるが，その多くは既知マルウェアの亜種である．したがって，未知のマルウェアが，どのマルウェアの亜種かが特定できれば，インシデント発生時の被害状況特定や解析作業の効率化を期待できる．本論文では， マルウェアの逆アセンブル結果から，API呼び出しの順序と呼び出し頻度から構成した重み付き有向グラフを作成し，他マルウェアとの類似度を算出する手法を提案し，その有効性について検討した．

近年多発しているランサムウェアによるファイル暗号化の被害に対し,メモリフォレンジックを用いてファイルを復号する方法を考案する. 本論文では,昨今流行したWannaCryに感染したという前提のもと,暗号化されたファイルの復号について調査し, さらに,メモリ上の情報を取得し,暗号化に使用された鍵を取得し,ファイル復号を行う手法を提案する. そして,本提案に基づいた実験を行い,本提案手法によるファイルの復号が正しく行えるか調査の結果を報告する. 本提案を活用することにより,今後ランサムウェアによるファイル暗号化の被害を最小限に抑えるための一つの手段として用いられることが期待される.

近年，モバイル端末の普及とオンラインサービスの拡大により，ユーザの行動を履歴情報として常時記録できるようになってきた．これらの行動履歴情報はレコメンデーションなど様々なサービスで活用されており，個人認証の分野においてもリスクベース認証などに利用されている．また，ユーザの生活習慣や行動パターンを用いたより利便性の高い認証手段の研究も進められている．移動履歴等の行動バターンには，勤務形態や生活習慣による個人性が現れると同時に，例えば帰宅時間の変動や寄り道等による揺らぎを考慮した認証が必要となる．また，ユーザが明示的に認証動作を行わなくてよいという意味で利便性が高まる一方，認証時点において一定の時間幅のデータが必要となる．利便性および成済ましリスクを考えると，認証に必要な時間幅はなるべく短期間が望ましいが，時間が短すぎると認証精度が十分得られない可能性がある．本稿では，行動履歴情報のうちGPS移動履歴を対象とし，移動履歴データの離散化と集合間距離を用いた認証モデルを提案する．提案モデルについて， 1日単位および数時間単位の移動履歴を認証テンプレートとすることで，ERR1～3％の精度が得られることを確認した．

パスワード攻撃の成功確率を高めるためには,そのユーザが使いそうな単語や生成規則を推測することが有効である.本研究はユーザがパスワードに使う単語や文字を大規模に調査し,そのユーザが属する文化圏がパスワードに使う単語や生成規則に与える影響を分析する. 過去に流出した約6億レコードのパスワードデータを解析し,日本,中国,英国に属すると考えられるユーザが生成したパスワードの傾向と差異を調査した. この結果,パスワードに用いられる単語や生成規則は文化圏に大きく影響を受けていることを明らかにした.

CAPTCHAの機械解読耐性を高めるためには，CAPTCHAを解くというタスクをユーザに繰り返させる必要があるが，タスクの単純な繰り返しはユーザのメンタル負荷を増加させる．メンタル負荷を増加させずに，ユーザにタスクを繰り返させる方式が求められる．その実現方法として有効なのは「迷路」という概念の利用である．ここで，迷路の形態として2種類が考えられる．その1つが，著者らが以前提案した「Directcha-maze」である．本稿では，第2の形態として「Directcha-dungeon」を提案する．本方式は複数の階層から成るダンジョン型の出題形式を採る．各階層が迷路になっており，迷路の各分岐点には3 次元オブジェクトが配置されている．ユーザは，1階のスタートから各オブジェクトの正面方向を辿ることによって2階のゴールに到達可能である．「ダンジョンをクリアする」というタスクの中に「オブジェクトの正面を答える」という タスクを複数埋め込むことにより，ユーザのメンタル負荷軽減を実現している．ユーザビリティに関する比較実験を通じ，maze型方式とdungeon型方式の長所・短所を明らかにした．

平成29年5月の改正個人情報保護法の全面施工に併せて「匿名加工情報」制度が導入され，個人に係るデータの利活用は大きな話題になっていくと考えられる．一方で，このようなビッグデータに対するプライバシ保護の法的・技術的な検討は未だ途上であり，今後の研究の進展が待たれる．Webアクセス履歴における仮IDの適切な更新頻度を考察するにあたり，筆者らはアクセス履歴間の類似度に基づく仮IDの再同定手法を提案し実データをもとに評価を行っている．しかし，この手法はアクセス履歴の時系列的な特性を捉えられていないものであった．そこで本論文では，筆者らが提案した再同定手法に加え，さらにWebアクセス履歴の時系列的な特性について複数の観点から考察することで，より精度の高い仮IDの再同定手法について議論する．

Higoら（ACISP2012，IWSEC2013）は二者間プロトコルである紛失通信（oblivious transfer）とコミットメントの安全性を，ゲーム理論の枠組みで定義した．具体的には，各プロトコルについて，それぞれの参加者（送信者および受信者）のプロトコルへの参加目的を効用関数として定式化し，両参加者のプロトコルの指示に従う戦略が定義した効用関数の下でナッシュ均衡に含まれる場合，ゲーム理論の枠組みにおいて安全であると定義した．さらに，ゲーム理論の枠組みにおける安全性と，識別不可能性に基づくmaliciousモデルの敵対者に対する安全性の等価性を証明した． 本稿では，先行研究のコミットメントに対する効用関数について再考し，参加者の目的をより適切にとらえた新たな効用関数を導入する．さらに，新たな効用関数に基づいて定義される安全性が，暗号理論の枠組みにおけるリスク回避型敵対者に対する安全性と等価であることを示す．ここで，リスク回避型敵対者とは，他方の参加者による攻撃が成功しない範囲においてプロトコルから逸脱する敵対者であり，任意の逸脱を行うmaliciousモデルの敵対者と，逸脱を行わないsemi-honest（honest-but-curious）モデルの敵対者の中間に位置する．本稿の結果は，ゲーム理論の観点において妥当な敵対者モデルがリスク回避型敵対者モデルであることを示唆する．

Private comparison is about privately determining whether a > b, given two input integers a and b which are held as private information. Private comparison is an import building block for applications such as secure auctions and privacy-preserving decision tree evaluation. In this paper, we consider a variant setting in which the inputs a and b as well as the result bit 1{a > b} are encrypted. Using a ring variant of a fully homomorphic encryption scheme, our solution takes as input the ciphertexts of a and b and produces only one ciphertext which decrypts to the bit 1{a > b} without any interaction with the secret key holder. Our approach does not encrypt the inputs bit-wisely and requires only one multiplicative depth, giving about 44 ? 150-fold speed up than previous solutions. Also, the non-interactive property is useful for securely outsourcing computation to an untrusted server. As a concrete usecase, we present a single round protocol for privacy preserving decision tree evaluation.

Mann-Whitney U test enables to compare two independent groups without the normal distribution assumption. This is particularly useful in psychological researches since the number of available samples in such field is usually too small to support the normal distribution assumption. Besides, special cares about the data privacy are necessary when to conduct the Mann-Whitney U test in an untrusted environment, such as cloud servers. In this study, we build a privacy-preserving protocol for outsourcing the U test to an untrusted server. In our construction, all the private data are encrypted using a fully homomorphic encryption scheme, and only ciphertexts are uploaded to the server, and thus no private information about the data is leaked. We first design a new equality-to subprotocol which enables us to handle the rank of ties in the U test. By cooperating with our previous greater-than protocol, we present a private protocol that computes the U statistics from encrypted data. Also, we present an optimization to reduce the number of homomorphic multiplications from O(n^2) to O(n) where n is the size of data.

擬似ランダム関数Fsk(x) の値を秘密計算できる2 者間プロトコルをoblivious 擬似ランダム関数(OPRF) という。ここで、sk はサーバの秘密入力、x はクライアントの秘密入力であり、クライアントのみがFsk(x) を得ることができる。しかし、従来のOPRF においては、秘密鍵sk を再利用することはできない。本論文では、Freedman らのOPRF とHohenberger and Waters のverifiable ランダム関数を組み合わせ、sk を再利用可能なOPRF を構成する。

クラウドにおけるアクセスパターンの秘匿技術の1つとしてOblivious RAM(ORAM)がある。従来のORAMの安全性定義では、同じ長さのアクセス列に対して識別不可能性を保証しているが、長さが異なるアクセス列の場合は保証できない。すなわち、アクセスタイミングは秘匿できないという問題がある。本稿では、アクセスタイミングを秘匿可能なORAM方式を提案する。まず、従来の安全性定義を拡張し、異なる長さのアクセス列の識別不可能性を保証することで、アクセスタイミングの秘匿を定式化する。さらに、一定間隔毎にダミーアクセスを挿入することで、長さが異なるアクセス列に対しても識別不可能なORAM方式を示す。

カードベース暗号の研究分野では，カード列を二分割して両者をシャッフルするランダム二等分割カットの登場により，必要なカード枚数が大幅に削減されるなど，実用的な秘密計算プロトコルが構成できるようになった．秘密計算が安全であるという根拠は，シャッフルの結果が見破られないことに依拠しているが，ランダム二等分割カットの場合二通りの可能性しかないため，容易に見破られるのではないのかという議論も存在している．その対応策として，輪ゴムやダミーカードを用いた実装方法がこれまでに提案されている．しかしながら，カード組と人間の手のみで安全に実行可能な方が望ましい．その上，必要なカード枚数の効率化が成されたという研究背景上，ダミーカードを用いるのも望ましくない．本稿では，用いるカード組の上下非対称性に基づき，追加道具や追加カード無しでランダム二等分割カットを安全に実装する方法を提案する．加えて，この提案手法を用いることによって，論理積等の秘密計算が効率的に安全に実行可能であることを示す．

2009年にGradwohl, Naor, Pinkas, 及びRothblumは，数独における物理的なゼロ知識証明プロトコルを提案した．このプロトコルはすなわち，ある数独パズルの答えを知る証明者が，答えに関する情報を明かすことなく，「パズルに答えが存在し，証明者がそれを知っていること」を検証者に納得させるプロトコルである．このプロトコルは（トランプなどの）数字の書かれたカードのみで実装可能であるが，入力サイズに対して3倍のカード枚数を必要とする問題がある．彼らは併せて，特殊なカードを用いて健全性エラー確率を0にする手法も提案しているが，用いる道具は一般的な物であることが望まれる．そこで本稿では，カードベース暗号の知見を応用し，特殊なカードを用いずに，数独のゼロ知識証明においてカード枚数の削減と健全性エラー確率0を実現する．

コンピュータを使わない秘密計算プロトコルとは，単純な機構の物理的オブジェクトを用いて秘密計算を行うプロトコルでる．物理的オブジェクトによってはランダムネスを一切用いることなく秘密計算を行うことができるが，このようなプロトコル（決定的暗号プロトコル）は正当性や安全性の理解が非専門家にもされやすいため，秘密計算の普及のためにも重要である．Baloghら（TCS '03）はPEZディスペンサーというお菓子容器を用いて決定的暗号プロトコルを構成している．しかし，彼らの方式はプロトコルに従わない能動的攻撃者にはただちに安全性が破られてしまう．本稿では初めて能動的安全な決定的暗号プロトコルをカードと封筒とチェーンを用いて構成する．さらに，任意の$n$変数論理関数に対して$2n+13$枚のカードを用いて$f$を計算する能動的安全なプロトコルが存在することを示す．

物理的なカードを用いてマルチパーティ計算を行うプロトコルをカードベース暗号プロトコルと呼ぶ．NakaiらはICITS2017において4枚のカードで2入力のANDとORを同時に計算するプロトコルを構成し，これを用いることで3入力多数決を4枚のカードで実現できることを示した．本稿では，3枚のカードで2入力のAND/XOR/NORを同時に計算するプロトコルが構成でき，この2入力AND/XOR/NOR論理演算プロトコルを応用することで，3入力多数決が3枚のカードで構成できることを示す．

カードを用いた2者間のANDプロトコルは，双方の合意によるマッチングと捉えることが出来る． 本論文では，n人の参加者が高々1人に1を入力し，各参加者間でANDを計算する， at-most-1 マッチングを行うカードベース暗号プロトコルを提案する． Marcedoneらは各参加者が他のプレイヤーに秘密に行う処理（背面処理）をことを許すモデルにより， 2入力のANDの計算を，3枚のカードを用いて実現した．このプロトコルは，計算結果を口頭で伝えて良ければ2枚でも実現できる． 本研究では，Marcedoneらの2-card, 3-card ANDプロトコルをもとに，n人のat-most-1 マッチングプロトコルを提案する． まず，参加者全ての組についてのANDプロトコルを実装することで，at-most-(n-1) マッチングは容易に実装できる． これは，カードで出力を表現する場合は3n(n-1)/2枚で，出力を口頭で発表する場合はn(n-1)枚で実現できる． このプロトコルをat-most-1 マッチングに修正すると， カードを出力とする場合にはn^2-1枚，結果を口頭で公開することを許せばn(n+1)/2 -1枚のカードで at-most-1プロトコルが実現できることを示す．

機微情報を含んだデータの計算をクラウドサーバなどの安全が保障されない環境上で行うため、準同型暗号の活用が考えられる。準同型暗号がサポートする加算・乗算などの基本的演算の組み合わせにより、種々の統計計算および機械学習に用いられる演算が安全に可能であると期待されている。本論文では、Ring-LWEベース暗号をはじめとする、多項式の加算・乗算をサポートする準同型暗号を用いた安全な内積演算[Wang et al. in NSS 2017]を応用した、安全かつ効率的な行列乗算手法について報告する。先行研究[Dung et al. in Tatra Mt. Math. Publ. 2016]においては、行列積ABの安全な計算のためにA、Bをそれぞれ異なる方法で多項式へとパッキングしていたのに対し、本研究では同一のパッキング手法で可能である。また、C言語を用いた実装実験の結果についても報告する。

Lattice based cryptography receives much attention because of its simplicity, quantum computer resistance and wide range of applications, for example, Hash then Signature, IBE and ABE. In many of these applications, a function named trapdoor one-way function plays an important role. We improve Micciancio Peikert's trappdoor one-way function, which is one of the most efficient trapdoor, in the point of parallelizability and give experimental evaluations.

格子系落とし戸付一方向函数は, 格子系暗号応用技術を構成する上で重要な役割を果たす要素技術である. 格子系落とし戸付一方向函数のうち, Micciancio とPeikert によって提案された構成法(Micciancio and Peikert CRYPTO 2012 ) は, 方式の簡潔さ, 効率性, 応用性の観点から最も注目されている方式の一つである. 格子系落とし戸付一方向函数には, 逆像サンプリングという処理がある. 特にMP12の逆像サンプリングには, 特殊な格子上のサンプリングが含まれている. このサンプリングはG-sampling( Geneise and Micciancio, ePrint 2017) とよばれ, 逆像サンプリングにおいて支配的な要素となっている. モジュラスが2 あるいは小さい素数の冪であるとき, 高効率にG-sampling を行う方法がMP 12 によって提示されているが, 暗号応用の要素技術として落とし戸付一方向函数を用いるとき, モジュラスは一般の場合であることが多い. 本論文では, 一般のモジュラスの場合のG-sampling に着目し, 高効率, 高並列にサンプリングする方法を述べる. より詳しく述べると, MP 12 では, 一般のモジュラスにおけるG-sampling をGentry ら( Gentry, Peikert, and Vaikuntanathan, STOC 2008) による方法で行うため,毎回中心の異なる整数上離散ガウス分布に従う乱数を順次的に生成する必要がある. そこで今回は, サンプリングする格子の幾何学的な特徴を利用し, 順次的な整数上離散ガウス分布に従う乱数生成のうち2/3を, 中心の変動が高々20 通りであり, 並列に実行できるサンプリング方法を提案する. 中心の変動が少ないため, 整数上離散ガウス分布に従う乱数生成を速度効率の良い非汎用サンプリング法で実行できる. 実際, 非汎用サンプリング法としてInversion Sampling を適用し, MP 12 におけるパラメータ設定を用いて実装実験を行ったところおよそ2:5 倍から3 倍の速度改善が見られた.

現在, 量子計算機に耐性のある数学問題を利用した, ポスト量子暗号の研究が盛んに行われている. そのうちの一つに, ring-LWE問題の困難性に基づいたring-LWE方式暗号がある. ring-LWE方式は, LWE方式の改良として提案され, 鍵交換Newhopeや電子署名BLISSなどが注目されている. 本稿では, ring-LWEの諸計算で最も時間がかかる乱数生成とNTT(Number Theoretic Transform)のうちNTTの高速化に着目した. NTTの計算では, 計算を高速化するためにシフト演算とアンド演算を用いるモンゴメリリダクションと呼ばれる手法が使われているが, 演算子を用いた手法を用いることでより高速化出来る. また, 提案手法の評価実験を行い, 実装速度を計測した.

Blockchain was developed under public domain and distributed database using the P2P connection. Therefore, blockchain does not have any central administrator or Certificate Authority(CA). However, Public Key Infrastructure(PKI) must have CA which issues and signs the digital certificates. PKI CA must be fully trusted by all parties in a domain. Also, current public key cryptosystem can be broken using quantum computing attacks. The post-quantum cryptography (PQC) must be secure against the quantum adversary. We combine blockchain technique with one of post-quantum cryptography lattice-based cryptosystems. In this paper, we suggest QChain which is quantum-resistant decentralized PKI system using blockchain. We propose modified lattice-based GLP signature scheme. QChain uses modified GLP signature which uses Number Theoretic Transformation (NTT). We compare currently used X.509 v3 PKI and QChain certificate.

情報ハイディングは、第三者に気付かれずに情報を共有する技術である．メディアの改変よりも埋め込み情報の復元に着目した方法を本論文では提案する．本提案方法では、埋め込み情報が入ったメディアを生成する側とメディアから復元する側が、同一基準でカテゴリ分類できるならば、分類されるカテゴリを埋め込み情報として用いればよいという考え方に基づく．分類器としては、特徴量分類に基づく単純ベイズ分類器と、ニューラルネットワークにおける教師あり学習に基づくディープラーニング（深層学習）が代表的である．ここでは、後者の研究提案は他所に譲るとし、ベイズの定理をベースとするグラフィカルモデルを用いた分類法について、具体的な提案まで言及する．分類法は正規メンバ間で共有されるとし、共有されたメディアがどこに分類されるかで、埋め込まれた情報を復元する．一方、攻撃者は、共通のグラフィカルモデルの分類ができないので、埋め込み情報を共有することができない．

情報ハイディングは，第三者に気づかれずに情報を共有する技術である．例えば，ステガノグラフィでは，オリジナルのカバーメディアに情報を埋め込み，ステゴメディアに変換する．カバーメディアとステゴメディアは，一般にデータが異なる．そのため，攻撃者がそれを利用し，ステゴメディアに埋め込まれた情報を解読する．今回，メディアの変換方法よりも，情報を埋め込む手段に着目した方式を著者らは提案する．本提案方式では，埋め込み情報の復元にメディアの分類を利用するとし，その分類には，AI技術で注目されているディープラーニング（以下，深層学習）を用いる．結果として，利用するステゴメディアがどこに分類されるかで，埋め込み情報を復元するのである．一方，攻撃者には情報ハイディング用に学習済みの深層学習がないので，埋め込み情報を解読できない．

PCやサーバ等の情報通信機器において、システム起動処理中に実行されるブートシーケンスが改ざんされ、予期しないプログラムの実行や、想定外の実行順序によるシステム起動が発生すると、システムの安定動作が保証できない可能性がある。本研究では、システム起動処理中に実行される一連のプログラム群について、実行ファイルと実行順序の完全性を確保する方式を提案する。まず、完全性の確保対象とする各ファイルのハッシュ値を事前に計算し、各ファイルの識別子とともにブートイメージ内に格納し、書き込み制限を行う。そして、この書き込み制限されたブートイメージでシステムを起動させ、ブートイメージ展開後、ただちに上記識別子からファイル群を特定し、ファイル毎のハッシュ値を再計算する。これにより、改ざんされたブートイメージでシステムが起動されない限り、システムの起動処理中に実行される実行ファイル群や、これらの実行順序を定めた設定ファイル群の完全性を確保することができる。本提案により、従来技術では困難であった改ざんされたブートシーケンスの実行阻止が可能となる。

耐タンパーソフトウェアは，秘密情報守秘性と機能改変困難性を有するソフトウェアである．セキュリティ機能が実装されるソフトウェアは耐タンパーソフトウェアであることが期待されており，その実現のために今までに多くの研究開発が行われてきた． 　本稿では，耐タンパーソフトウェアの研究開発について理論的および実用的な観点から最先端の技術水準について考察する．

IoTにおけるセキュリティ課題の一つとして, 脆弱性が発見された機器への対策が挙げられる．この課題への有効な対策は，ファームウェアを更新し，確実に脆弱性を修正することである．本論文では，IoT機器向けの安全なファームウェアアップデートプロトコルを提案し，実装評価結果を示す．提案するプロトコルは，クラウドとIoT機器のセッションが張られていない状況でも，中継端末であるエッジと相互認証を行いながらファームウェアを更新し，さらにアップデートが完了したことをクラウドで安全に確認できる．我々はクラウド，エッジ，デバイス(IoT機器)それぞれの層においてプロトタイプを実装し，処理性能とプログラムサイズを評価した．その結果，プロトコルに必要な処理時間は全体の12\%程度であり，15KB程度のROMサイズで実装できることを示す．

近年，IoT(Internet of Things)時代の到来に伴い，様々な機器がインターネットに繋がるようになってきている． それに伴い，ユーザおよびサービス提供者の認証，IoT機器の適切な管理も重要になると考えられる． 実際に，初期設定のまま運用されたIoT機器が不正にアクセスされる事例も報告されている． Webの世界では，PKIと呼ばれる認証インフラが整備されており，HTTPSを用いることで暗号化と認証が行える． IoT機器においても同様の仕組みが必要だと考えられるが，IoTインフラは異なるプロトコルで標準化されているため，この技術を単純には適用できない．そこで本論文では，認証ハブを用いることで，Webにおける認証のしくみをIoT機器に透過的に適用する手法を提案する．本提案の認証ハブは，IoT機器に対して仮想的な証明書を割り当て・管理するため，Webの世界から従来通りの方法でIoT機器の認証や証明書の失効が可能となる．さらに，利用者は認証ハブから多数のIoT機器を一括して管理できる．認証ハブとIoT機器間の通信には産業IoT標準であるOPC-UAを，認証ハブとWebの世界の通信にはHTTPSを用いて提案手法の実装を行い，本手法の有効性を示した．

近年，住宅内の白物家電や設備機器のエネルギー管理システム（HEMS: Home Energy Management System）が急速に普及してきており，HEMSを構成する機器がネットワークに接続されるケースが増えている．一方でHEMS機器は，コストやそのハードウェア資源上の制約から十分なセキュリティ機能を実装していないものも散見される．HEMSのセキュリティ機能では，不正な機器による成りすましを防止するだけでなく，機器の状態変化通知等で多用されるマルチキャスト通信を保護できる必要がある．また，異なるメーカの機器で構成されるHEMSにおいては，機器の種別やアプリケーションごとにグループ管理できることが望ましい．本稿では， PANA/EAP-TLSとIEEE 802.21のグループ鍵管理をHEMSに応用することで，HEMSにおける機器認証，マルチキャスト通信の保護，およびグループ管理を実現する方法を提案する．

近年、家電機器や住宅設備機器において、住宅のエネルギー管理システムHEMS(Home Energy Management System)が普及し、HEMSを構成する機器のネットワーク接続が広まっている。 そのため、HEMSにおける機器認証プロトコルの安全性を解析・評価することは重要である。 本稿では、増田・小椋によって提案され、現在、エコーネットコンソーシアムにおいて 検討されている機器認証プロトコルを対象とし、その安全性の証明を行う。

本文の前半では、従来から筆者等が提唱して来たネット社会の価値観としての三止揚を、改めて最近サンデルが提案しているネット社会の正義という視点から考察すると共に、三止揚の実現プロセスとしてのMELT-UP を具体的に適用するシステム対象システムとして、今後、IoT, S/MIME, マイナンバー、及び、ブロックチェイン・仮想通貨における電子認証を取り挙げることを述べる。本文の後半では、上記のＩｏＴにおける電子認証の実現などを目的として、２０１７年４月、設立した、一般社団法人　セキュアIoTプラットフォーム協議会について、その活動指針等について紹介する。

In order to proactively monitor and prevent any security incident, the significance of the threat intelligence is increasing. However, the huge volume of the threat intelligence data makes incident responder of some organization difficult to utilize those cyber threat intelligence effectively. In order to assist the incident response process, we are trying to develop the system that collects specific cyber threat intelligence related to the operation of one’s organization from publicly available information. To realize this system, we propose a machine learning and natural language processing techniques to generate actionable threat intelligence using social media and other publicly available information sources. In this paper, we tried to validate this approach with the prototype of the system. We extracted 65 keywords from more than 800 CVE descriptions of National Vulnerability Database using TFIDF algorithm. With the help of these keywords, we have retrieved nearly 230,000 tweets using Twitter API during the period of 4 days, from which we were able to extract actionable intelligence.

システム開発において開発者の不注意や経験不足などにより，システムにセキュリティ上の欠陥が作り込まれてしまうことが少なくない．このような欠陥を開発の初期段階で見逃してしまうと，開発工程の手戻りを引き起こしスケジュール遅延や開発コスト増大の原因になる．欠陥を作り込んでしまうリスクは，CERTのセキュアコーディング規約などに則ったシステム開発をすることで低減できる．しかし，コーディング規約への適合を手動で確認することは開発者，レビュアー双方の大きな負担となる．本論文では，C言語のソースコードを対象とし，深層学習によるセキュアコーディングの検査ツールの作成を試みる．DebianのパッケージおよびGitHubから収集したC言語のソースコードファイルと既存の検査ツールの出力を学習データとして使用し，提案システムの精度を算出した．

標的型攻撃を始めとした組織内ネットワークに重大な被害を及ぼすサイバー攻撃によってインシデントが発生した際, 攻撃の発生源や攻撃者を特定するために, 攻撃されたネットワーク上の機器を保全しなければならない. 特に最初にインシデントに対応する人物であるファーストレスポンダは, 後に行われるデジタルフォレンジックのために, 適切かつ迅速に機器の保全を行わなければならない. しかし, すべてのファーストレスポンダがセキュリティまたはデジタルフォレンジックに関する能力を持っているとは限らない. そのため, それらに関する能力に乏しいファーストレスポンダでも, 適切に機器の保全を行えるシステムが求められている. 本研究では, このファーストレスポンダの課題を解決するために, ネットワーク上に流れるパケットや様々な機器のログを用いて, 保全する機器の選定や優先順位付けを機械学習で行うシステムを提案する. このシステムでは, パケットやログから, 再帰型ニューラルネットワークを用いて機器の保全に対する優先度を算出する. このシステムにより, 専門的知識を持たないファーストレスポンダも保全すべき機器を特定できる.

ニューラルネットワークの発展に伴い、その脆弱性とも理解できるAdversarial Examplesに関する研究が盛んに行われている。これは、元の入力サンプルに対しわずかな改変を加えることで学習器の出力を大きく誤らせるものであり、今後ニューラルネットワークが広く利用されるようになった際に問題となると考えられる。これまでの研究でこのようなサンプルの生成手法はいくつも提案されてきたが、その多くは生成の際に対象となる学習器の内部情報が必要なホワイトボックス攻撃であった。もしくは内部情報が不必要なブラックボックス攻撃であったとしても学習器への問い合わせ回数というものは考慮されていない。しかし、より現実的なシナリオとしては攻撃者が内部情報を得られない上に時間的な制約等から問い合わせ回数に制限があるということが十分考えられる。そこで本稿ではブラックボックスな学習器に対し、より少ない問い合わせ回数でAdversarial Examplesを生成する手法を提案する。また、このような攻撃の存在を考慮した上で防御側が行うべき対策の提言を行う。

深層学習がその高い精度を理由に注目を集めており、クラウド上で提供される訓練済み学習モデルに対して、 クライアントが自身のデータをクエリすることで評価結果を得られるようなサービスが出てきている。 このようなケースにおいて、クライアントのデータがプライバシ情報であるケースもあるため、 そのような状況を考慮した深層学習の秘匿計算に関する研究が見られるようになった。 しかし深層学習の評価フェーズのみを扱っている研究が大半であり、訓練フェーズの演算全てを秘匿計算する研究は Mohassel-Zhang（S&P2017）によるものしか存在しない。本稿では深層学習の秘匿訓練について議論する。

RSA暗号や楕円曲線暗号はSSL/TLSによる暗号化通信などに使用されている. これらは量子コンピュータの解読に耐性がないことが証明されているため, 量子コンピュータの解読に耐性のある暗号(ポスト量子暗号)の研究が盛んに行われている. また, NISTはポスト量子暗号の標準化に向けて, 2017年11月までこれの公募を行い, 今後これの選定を行っていく計画を出している. 一方で, ユーザエンドでのEnd-to-End暗号化(E2EE)への関心が高まっており, コンシューマ向け, ビジネス向け問わず広く取り入れられている. Yoneyamaらは, 多人数での通信におけるE2EEを実現するために, 通信効率の良い動的多者鍵配布(DMKD)プロトコルの具体的な方式を提案している. しかし, このDMKDプロトコルは量子コンピュータの解読に耐性のないDiffie-Hellman(DH)鍵交換を利用している. 本研究では量子コンピュータの実用化に備え, YoneyamaらのDMKDプロトコルをモデルとした, これに耐性のあるプロトコルの構築を目的とした. ポスト量子暗号の一つに格子暗号があるが, これによる鍵交換は鍵カプセル化メカニズム(KEM)により実現されている. 本稿では二者間鍵交換をKEMで記述し, 格子暗号をはじめとしたポスト量子暗号が適用可能なDMKDプロトコルの一般的な構成を提案する.

これまで、通信相手や通信時刻などの通信のメタデータを秘匿して暗号通信を行うプロトコルが研究されてきた。しかし、それらはメタデータの定義が曖昧であったり、peer　to　peerの通信を対象としていた。本研究では、グループ間の通信を対象とし、通信のメタデータを秘匿したままでのグループ鍵交換（MH-GKE）の安全性モデルを定義する。また、MH-GKEプロトコルを提案する。

LINEやWhatsApp等のコンシューマチャットでは、チャットメッセージの機密性を高めるために、エンドツーエンドで暗号化するための鍵交換技術を導入する動きが活発化している。ビジネスにおいても、チャットアプリケーションのニーズが高まっているが、使い方によっては１つのチャットルーム対して数百ユーザが存在するために、多人数で効率よく鍵を共有するための、鍵交換技術が注目されている。従来技術には、IDベース動的多者鍵配布プロトコルがあるが、新しいユーザが鍵交換セッションに参加する際に必要となる、サーバの計算量がユーザ数に比例するため、数百人規模では実用的な時間で実現できない課題があった。そこで、本稿では、サーバの計算量がユーザ数に比例することなく、新しいユーザが鍵交換セッションに参加できるプロトコルを提案し、その実装結果を報告する。

なりすましを防止しながら、多数のユーザで効率的にセッション鍵の交換する技術には、動的多者鍵配布プロトコルがある。このプロトコルでは、効率性を高めるために、ユーザ間の通信は、サーバを中心としたスター型のネットワークでセッション鍵を交換し、なしすましを防止するために、ユーザとサーバは認証用の長期秘密鍵を持つ。しかし、このプロトコルでは、ユーザやサーバが持つこれらの長期秘密鍵が攻撃者に漏洩した場合、攻撃者はユーザやサーバになりすまし、セッション鍵を取得する事ができてしまう問題がある。そこで、本研究では、長期秘密鍵が漏洩した後の安全性をとらえた新たな安全性（PCS-DMKD安全）を提案し、この安全性を満たすプロトコルを提案し、その安全性を証明する。

本稿では，SlackやHipchatのようなビジネスチャットシステムにおいてエンドツーエンド暗号化を実現するメッセージングプロトコルを考察し，更新可能グループメッセージングプロトコル（UGMプロトコル）として定式化する．UGMプロトコルは次の機能をもつプロトコルである；（１）多人数でグループを形成できる，（２）途中参加したグループユーザであってもそのグループでやりとりされた過去のデータを閲覧できる．SignalやTLS，QUICのような既存の暗号通信プロトコルでこれらを満たすものはない．また，UGMプロトコルに対する安全性（UGM安全性）を定義する．この定義は，過去のチャットグループに関する秘密情報が漏洩したとしても，現在やりとりされているデータは安全であることを捉えている．本稿ではUGMプロトコルの具体的な構成を示し，これがUGM安全性を満たすことを示す．

The advent of quantum computers and their algorithms has opened the era of post-quantum and quantum cryptography. Accordingly, new security proof tools and notions in the quantum setting need to be settled in order to prove the security of cryptographic primitives appropriately. As the random oracle model is accepted as an efficient security proof tool, it has been suggested to extend it from classical to quantum setting by allowing adversary's access to quantum power. In this paper, we look at the background of classical, quantum-accessible, and quantum random oracle models for classical, post-quantum, and quantum cryptography, respectively, and how they are defined. Also, the security notions for random oracle model in classical and quantum settings are introduced such as IND-ATK, (IND/wqIND/qIND)-qATK, and cqIND-qATK, for ATK $\in$ {CPA, CCA1, CCA2}. Finally, comparison of different cryptography eras are provided.

ACM CCS 2017では、EspitauらがBLISS格子ベース署名方式の棄却サンプリングに対しサイドチャネル攻撃を紹介したが、その攻撃において使用されている漏洩は秘密鍵の二次関数である。そのため、鍵を取り戻す方法は複雑な数論的アルゴリズムに基づき、約７％の秘密鍵にしか適応できない。棄却サンプリングでは秘密鍵の線形的漏洩もあり、その漏洩を使用できれば攻撃が飛躍的に高速でシンプルになるが、BLISSにおける署名圧縮のため漏洩から推定する秘密鍵の連立一次方程式にはノイズが付いている。高次元LWEのような問題となるので困難であろうとEspitauらが結論づけたが、LWEとは違い有限体上ではなく整数上の方程式になる。これを機に本発表では整数上LWE問題の困難性を検討し、サンプルの十分な個数が与えられば必ず多項式時間で解けることが出来ると示す。結果として、１００％の秘密鍵に対する効率的なサイドチャネル攻撃が得られる。

TightなKDM安全性証明を有する公開鍵暗号方式は知られていない。たとえば、BHHO暗号においては、KDM安全性の指標であるKDM(n)AdvとDDH問題の困難さの指標であるDDHの間に、O(lg p)のギャップが存在する。ただし、pは群Gの位数。本論文では、BHHO暗号においては、KDM(n)AdvとDDHの間に、O(1)のギャップしか存在しないことを証明する。本証明は、従来の証明に比べはるかに簡単である。

本稿では、選択暗号文攻撃に対して安全(CCA安全)な公開鍵暗号につながる一般的な暗号要素技術の仮定を新たに明らかにする。具体的には、短い非対話型証明(Succinct Non-Interactive ARGument, SNARG)と損失暗号(Lossy Encryption)を用いて、CCA安全な公開鍵暗号方式を構成できることを示す。

Schnorr署名やGuillou-Quisquater署名のようなFiat-Shamir (FS) 型署名は代表的な署名方式の1つであり, その安全性についていくつか議論されている. Random Oracle Model上では, 元のID方式のpassive attackの下でのimparsonationに対する安全性とそのFS型署名の安全性が等価であることが証明されている. その一方, Non-programmable Random Oracle Model (NPROM) や標準モデル上では, その安全性を証明できないことを示す状況証拠が与えられている. この結果は, 例えば, Schnorr署名の場合, 離散対数 (DL) 仮定からNPROM上の安全性を示すことができないことを意味する. さらに我々は, ProvSec 2017にて, Schnorr署名のNPROM上の安全性をOne-More DL (OM-DL) 仮定からも証明できないことを示した. 本稿では, この結果を一般化し, FS型署名のNPROM上の安全性を一般の暗号学的な仮定から証明不可であるかどうかを議論する.

弱められたランダムオラクルモデルとは、ランダムオラクルに暗号学的ハッシュ関数の特定の性質を破るオラクルが追加されたモデルである。弱められたランダムオラクルでの暗号系の安全性解析により、その暗号系の安全性が依存しているハッシュ関数の性質を特定することができる。弱められたランダムオラクルモデルとして、衝突困難性、第二原像計算困難性、原像計算困難性を破るオラクルが追加されたCT-ROM、SPT-ROM、FPT-ROMが提案されている。 本発表では、先行研究で提案されているchosen prefix collision attackを考慮したFPT-ROMの拡張モデルをより厳密に再定義する。また、CT-ROM、SPT-ROMの拡張モデルを与え、そのモデルを用いて、署名方式RSA-PFDHとその変形方式の安全性についての考察を行う。

証明システムの並列合成であり，証明するステートメントの証拠の先頭要素が共通であるという制約の意味で証拠空間が個々の証拠空間の直積より狭くなった（底空間上にバンドルされた）ものを定義する．証拠識別不可能な証明システムの並列合成のケースに対し，そのプロトコルを一般的に構成する．次に，単一のアイデンティティのユーザが複数の権限機関から属性鍵を付与される匿名属性認証スキームのシンタックス及び安全性定義を提案する．次に，構成プロトコルを用い提案スキームを実現する雛形を与える．雛形においては，証拠の先頭要素がアイデンティティストリング，残りの要素がその上のデジタル署名であり，その対が属性鍵として権限機関から与えられる．最後に，提案スキームの対話型及び非対話型の実例を指摘する．

本発表では、複数のユーザが各々異なる秘密鍵を用いて利用可能な共通鍵型秘匿検索を提案する。

暗号化文書を保管するサーバにおいて，復号せずに暗号化文書を検索できる暗号技術に検索可能暗号がある．ACM CCS 2006 にて，Curtmolaらは共通鍵検索可能暗号の安全性を定式化し，構成法（CGKO方式と呼ぶ）を提案した．彼らの構成アイディアは検索用のインデックスを作成する際にダミーエントリを追加するものであり，現在も検索可能暗号の構成手法の一つとして知られている．しかしながら，2017年3月のISEC研究会にて，中井らによってCGKO方式のダミーエントリの追加方法に問題があることが指摘されている．本稿では，CGKO方式をベースに，従来とは異なる視点からダミーエントリを追加することで当該問題を解決した方式を提案する．

検索可能暗号とは，暗号化データを暗号化したまま検索するための技術である。 今まで提案された検索暗号は，キーワードに完全一致する検索が主であった 本論文では，部分文字列まで検索可能な部分文字列検索可能暗号を提案する。 通常の文字列に対し，部分文字列まで検索可能な索引として，オートマトンを基づく 索引が提案されているが，本手法は，その手法を拡張することにより構成される。

本項ではRelational Encryption を用いた秘匿検索システムについて述べる。Relational Encryption 技術は、二つの異なる秘匿化された値から、値を秘匿したままその二つの入力値の関係を知ることができる。本技術を用いると、各データの秘匿化に用いる鍵と、検証用の鍵を各々異なるものを用いることができるため、鍵管理の手間を大幅に削減することが可能となる。

共通鍵暗号技術のみからマルチユーザ秘匿検索を構成する。特に、本方式はユーザの属性情報に応じた検索制御ができる機能も持つ。

CCS2016でBostは効率のよいフォワード安全な動的検索可能共通鍵暗号方式（基本方式）と悪意のあるサーバに対して安全となる拡張（拡張方式）を示したが，拡張方式にはクライアントのストレージ効率が悪いという問題があった．我々は，SCIS2017においてメッセージ認証コードを用いたタグをインデックスと紐付けることによりBostの基本方式と漸近的に同等のストレージ効率を持ち，悪意のあるサーバに対して安全となる方式を提案した．しかし，この方式では，クライアントの通信コストと計算コストがBostの基本方式よりも多くなっている．本稿では、SCIS2017の方式を拡張し、計算コストと通信コストを改善する2つのアプローチを示す．具体的には，代数的擬似ランダム関数を用いる手法とインデックスのハッシュ値を認証暗号で暗号化しサーバに預ける手法を提案する．結果として，前者の手法は通信コスト，後者の手法は計算コストの改善を実現した．

これまでに，多種多様な技術・分野に対するIntel Software Guard Extensions (Intel SGX)の適用が提案されてきた．本稿では，AMD Secure Memory Encryption/Secure Encrypted Virtualization (AMD SME/SEV)を含む複数の類似技術とセキュリティ面からの比較を行い，Intel SGXの利点が特に活きるユースケースについて考察を与える．

安価な素子により構成されたハードウェアトロージャン（HT: Hardware Trojan）を機器の基板や周囲の配線に追加し、情報漏えいを引き起こす脅威が報告されている。こうしたHTは機器の出荷後に追加することが容易であるため、従来議論が行われてきたIC内に実装されるHTとは異なる検出法が求められる。そのため、このようなHTの検出を行うためには、機器の出荷後にICが実装された基板上の改変を検査するような仕組みが必要であると考えられる。本稿では、基板及び周囲の配線にHTが搭載された際、HTが実装された周囲でインピーダンスが変化することを利用し、HTの検出を行う仕組みについて検討する。具体的には、トラストアンカーとなるICから検査信号を励振し、基板内のインピーダンスの不連続部で反射された信号をICの内部で観測することでHTの実装を検出する。本手法を実機に対して適用した結果、HTとして使用されるトランジスタを実装した場合としない場合において、IC内部で計測する反射波からインピーダンス変化に起因する振幅の変化が有意に計測されたことから、本手法を用いたHT検知の有効性を確認した。

これまでのサイドチャネル情報は，電力や電磁波から取得され，主に鍵復元攻撃などに用いられてきた．近年，光からもサイドチャネル情報を取得できることが指摘されているが， どの程度の情報が抽出できるか分かっていない． そこで本稿では，意図的にサイドチャネル情報を光に重畳し，その信号からサイドチャネル情報に含まれる秘密鍵に関する情報を取得するための環境を構築し，基本的な解析を行った．これまでの電力に基づくサイドチャネル解析実験環境に基づき， 電力サイドチャネル情報を光に変換し，光サイドチャネル情報を電力に変換する系を新たに追加した．光電変換がサイドチャネル情報に与える影響について解析したので報告する．

本稿では，乱数オーバーヘッドを抑制した1 階Threshold Implementation (TI) に基づく耐タンパー性AES 暗号ハードウェアの設計を示す．これまで，TI の適用においてはマスキングに使用する乱数生成がしばしばボトルネックとなっていた．これに対して，2017 年に暗号アルゴリズムの非線形層全体を一つの転置関数とみなすことで乱数オーバーヘッドを大きく抑制するChanging of the Guards (CoG)と呼ばれる手法が報告された．しかし，非線形層を一対一の転置関数に分解することが難しいAES に同手法を適用することは困難とされていた．本稿では，CoG とアルゴリズミックノイズを組み合わせることで乱数オーバーヘッドを抑制したTI に基づくAES 暗号ハードウェアを提案する．まず，既存のAES暗号ハードウェアアーキテクチャに提案手法を適用することで少ない乱数オーバーヘッドで暗号化が可能となることを示す．その上で，これまで乱数オーバーヘッドのため困難とされていたワードシリアル型のAES 暗号ハードウェアアーキテクチャにも適用し，同ハードウェアを従来と同様の乱数オーバーヘッドで遅延を従来比約60%削減できることを示す．

近年，暗号技術を用いたモジュールに対しサイドチャネル攻撃が脅威となるなかで，強力なサイドチャネル攻撃の一種であるテンプレート攻撃に着目する．テンプレート攻撃では，まずプロファイリングフェーズでテンプレート（平均・分散）を作成する．次に攻撃フェーズで得られた消費電力波形などがテンプレートの分布から得られたものとして確率密度関数を用いて鍵推定を行う．またテンプレート攻撃ではハミング距離（HD）モデルにおいてHDが0や8に対応する波形の出現頻度は低い．本稿ではHDが0または8のテンプレートの平均と分散に従う乱数を疑似的な波形として作成し，攻撃に用いることを提案する．攻撃フェーズの確率密度関数の計算では関数にテンプレートの分布に従う波形を入力した場合には高い確率密度を出力する．作成した疑似波形はHDが0または8のテンプレートの分布に従うため確率密度関数の計算において高い値を出力すると予想される．それを利用しHDが0または8に対応する波形数を増やすことでテンプレート攻撃の精度向上を行う．提案手法において攻撃フェーズでの波形数が少ない場合に攻撃精度が高くなることをAES実装に対する実験により示す．

V2X通信は，ドライバへの情報提供だけでなく，将来的には，自動運転への応用も期待されている．V2X通信を車両制御等に用いるには受信メッセージの真正性を検証する必要があり，V2X通信では，これをPKIと電子署名を用いて実現している．しかし電子署名は検証処理負荷が大きいことに加え，V2X通信は多数の車両との通信が想定されることから検証コストの増大が懸念されている．これに対して筆者らはV2Xメッセージの検証を効率的に行う，優先度付きメッセージ検証方式を提案している．本論文では，交差点右折を想定したシナリオにおける，提案方式によるメッセージ検証の処理効率を評価した結果，目標である1,000messages/sのメッセージ検証を達成できることを示す．

現在のV2X通信はドライバへの情報提供に用いられているが，将来，自動運転への応用が想定される．V2X通信を車両制御等に用いるためには受信メッセージの真正性をリアルタイムに検証する必要がある．メッセージの真正性に関しては，PKIと電子署名を用いて実現している．しかし，リアルタイム性に関して，電子署名の検証処理負荷が大きいことに加え，多数の車両との通信が想定されるため，検証コストの増大が懸念されている．これに対して筆者らは，V2Xメッセージの検証を効率的に行う，優先度付きメッセージ検証方式を提案している．本稿では，V2X通信のユースケースの一つである交差点右折を想定したシナリオにおいて，優先度付きメッセージ検証方式によるセキュリティに関する影響の評価を行った結果を報告する．そして，優先度付きメッセージ検証方式が単純なDoS攻撃やリプレイ攻撃に対して耐性があることを示す．

In-Vehicle Networks (IVN) were originally designed to be operated in a closed network environment. However, now they are increasingly connected directly or indirectly to the Internet. Due to its public access nature, connectivity creates several security vulnerabilities. In this paper we present a hybrid hardware-software security architecture for protecting in-vehicle communications. To validate and optimize this solution, an IVN facsimile has been created for extensive real world testing outside of vehicles. IVN consist of many ECU with different security capabilities. For this reason, we propose a series of different security strategies for different types of ECU and thus have architected a highly configurable testing platform.

近年の自動車のハッキングや 2015年の情報セキュリティ脆弱性由来のリコールを受けて，自動車製造業界においてセキュリティ設計の意義はますます重要になってきている．この視点から，JASO TP15002 や SAE J3061 のようなセキュリティガイドラインが公刊されている．これらのガイドラインに沿って将来のコネクテッドカーシステムや自動運転を実現するために，現在多くの自動車 OEM と主要なサプライヤはセキュリティを意識しつつ 車載機器を開発している．本論文では，JASO TP15002 のセキュリティ評価(モデル定義，脅威抽出，リスク評価)の部分に焦点をあて，本ガイドラインの記述と実際の設計タスクとのギャップを同定する．更に，JASO TP 15002と整合するセキュリティ設計の体系的な方法を提案する．これにより，個別の技術者への依存性は下がり，多くのタスクの自動化が期待できる．次に，CGW をキー要素とするコネクテッドカーのシステムを対象としたケーススタディの結果を紹介する．

近年, ADASや自動運転に代表されるように自動車の高機能化が急速に進んでいる．このため、トラフィックの増加に対応するためのEthernetの導入, 複雑化に伴うドメイン型ネットワークの導入など, 車載ネットワークアーキテクチャが大きく変わろうとしている. しかし, 直ぐに全ての車載ネットワークがEthernetに置き換えられるわけではなく, 従来のController Area Network(CAN)による制御も引き続き搭載されると考えられ, CAN-Ethernet混在の車載ネットワークが当面の主流になることが想定される. 一方で, 高機能化とネットワーク接続の増加により, 自動車のセキュリティ脅威はますます高まっており, 自動車に対するセキュリティの重要性が増している. ネットワークの変化に対応して適切なセキュリティ対策を適用する必要がある.本稿では, 車載ネットワークの変遷を整理し, 想定すべき車載ネットワークアーキテクチャを明らかにすると共に, その脅威分析を行い必要なセキュリティ技術の検討を行なった. 検討結果に基づき, 車両の不正操作を検知・防止するためETHERNET-CAN変換Switchでのパケットインスペクションによる侵入検知及び侵入防止システムを提案する.

近年, 車載デバイスの通信量増大にともない, Controller Area Network（CAN）にかわる新たな車載ネットワークが必要とされている. 着目されている車載ネットワークに, Ethernetがある. しかしながら, CANからEthernetへの完全な移行は容易ではない. そこでまずADAS・自動運転のカメラ系ネットワークやインフォテインメントやバックボーンにEthernetが, 走行制御に関わる機能にCANが導入され, のちにCANがEthernetに段階的に置き換えられていくことが想定される. そのため, CAN-Ethernet混在の車載ネットワークが当面の主流になることが予想される. CAN-Ethernet混在の車載ネットワークを可能にする技術に, CANとEthernetの接続を可能にするEthernet-CAN変換Switchがある. 本稿ではセキュリティの観点でEthernet-CAN変換Switchを取り扱う. 車の走行制御に関わるCANの保護は搭乗者の人命の保護のために重要である. 攻撃者のEthernet経由でのCANへの侵入が考えられるので, Ethernet-CAN変換Switchへのセキュリティ機能の導入は妥当な想定である. 本稿ではそのようなセキュリティ機能としてDeep Packet Inspectionを取り上げ, 性能評価を行った.

「どこまでやって良いのか?」、「どこまで書いて良いのか?」など、研究活動を 進める上での課題についても目を向けていく必要がある。 本発表では、教育現場で困っていることについて、事例紹介を通して課題を共有 すると共に、サイバーセキュリティを始めるにあたって身につけておくべき研究 倫理（初歩的な作法）について考える機会とする。（本講演は企画セッションで の講演のため論文はありません）

米国ではサイバーセキュリティに関する研究倫理の議論が進んでおり、サイバー セキュリティに関する先進的な観測手法や解析手法に関する研究開発が飛躍的に 進んでいる状況にある。本発表では、サイバーセキュリティ研究倫理に関する米 国を中心とした状況、研究論文からケーススタディを紹介する。（本講演は企画 セッションでの講演のため論文はありません）

実践的なセキュリティカンファレンスでは、学術系カンファレンスでは想定して いない発表がされていると感じている方も数多いことであろう。本発表では、実 践的なセキュリティカンファレンスの主催側が、発表者に求める研究倫理につい て、事例を通して紹介する。（本講演は企画セッションでの講演のため論文はあ りません）

暗号分野では破ったことを暗号発明者に事前に報告するなどの紳士協定がある。 本発表では、暗号理論の研究における攻撃(解読)の研究の位置づけやより実用面 での研究について、暗号分野から学ぶべき点を共有する機会とする。（本講演は 企画セッションでの講演のため論文はありません）

日本において研究倫理を本格的に検討しサイバーセキュリティ研究を推進するた めの施策や研究コミュニティのあり方についてディスカッションする。（本講演 は企画セッションでの講演のため論文はありません）

本稿では属性ベース代理人再暗号の一般的構成について述べる。まず最初に本構成において用いるタグ付き属性ベース暗号について新たに定義する。次にタグ付き属性ベース暗号と通常の属性ベース暗号、およびワンタイム署名を用いた属性ベース代理人再暗号の一般的構成と安全性証明について述べる。最後に内積関係に対するタグ付き属性ベース暗号の具体的な構成方法と安全性証明について述べる。

公開鍵暗号方式の Receiver Selective Opening (RSO) 安全性は，一人の送信者と多数の受信者がいる状況において，攻撃者が一部の受信者の秘密鍵と受信した平文を取得できる際に，その他の受信者の暗号文の秘匿性を保証する. RSO 安全性に対して，識別不可能性ベース (IND) とシミュレーションベー ス (SIM)，及び，選択平文攻撃 (CPA) と選択暗号文攻撃 (CCA) を考えることができ，SIM-RSO-CCA 安全性は RSO 安全性において最も強い安全性である. Jia, Lu, Li (INDOCRYPT 2016) は，SIM-RSO-CCA 安全性を満たす公開鍵暗号方式を初めて構成したが，その構成は識別不可能性難読化を用いたものである. 　本論文では，SIM-RSO-CCA 安全性を満たす公開鍵暗号方式の標準的な仮定に基づいた構成を示す. 具体的には，IND-CPA 安全性を満たす公開鍵暗号方式と一回シミュレーション健全性を満たす非対話型ゼロ知識証明システムを用いて，SIM-RSO-CCA 安全性を満たす公開鍵暗号方式を構成する.

放送型暗号は最も基礎的な復号権限制御を実現する暗号化方式であり，n人の受信者のうち，送信者によって暗号化時に指定された受信者のみが暗号文を復号できる．これまでに放送型暗号の様々な構成法が提案されているが，適応的安全性を満たし，かつシンプルな仮定の下では，公開鍵長，秘密鍵長，暗号文長の少なくとも一つがnに線形，またはいずれもがnに劣線形である方式しか知られていなかった．本稿では，初めて公開鍵長と秘密鍵長がnに劣線形かつ暗号文長が定数倍長であるような構成法を提案し，SXDH仮定の下で安全であることを証明する．

ペアリングを利用する暗号方式の実装では主にBN曲線が利用されてきたが、Kim らによる有限体上の離散対数問題に対する攻撃によって、ソース群のセキュリティパラメータを増大させるか、より埋め込み次数の大きな曲線を用いることでターゲット群のセキュリティパラメータを増大させる必要が生じた。いずれのアプローチが適切かは、対象となる暗号方式における演算の種類、回数、セキュリティレベルに依存する。したがって、暗号方式やセキュリティレベルに応じて、適切な曲線の種類やパラメータが異なることが考えられる。一方で、高速なペアリングライブラリの実装は特定の曲線やパラメータ限られることが多く、個別の暗号方式の効率を様々な曲線やパラメータに対して実装評価することは多大な労力・コストを要する。 本稿では，ペアリング群上の暗号方式の様々な曲線およびパラメータ設定におけるパフォーマンスを簡易的に評価するフレームワークを提案する。擬似コードによる暗号方式の記述と、評価対象の曲線における基本演算のパフォーマンスを記録した実装情報データベースから、その暗号方式のパフォーマンスを見積もることで、適切な曲線やパラメータの選択を可能とした。

奇数シフト数列に基くナップザック暗号は、秘密の系列の下位ビットに情報を隠しているため、超増加性に基くナップザック暗号のようにShamirの攻撃を行うことができない。本発表では、この奇数シフト数列に基くナップザック暗号の秘密鍵と等価な系列をShamirの攻撃と同様に算出する方法を示す。

量子コンピュータ関連技術の進展と共に、幾つかの公開鍵暗号プロトコルは大幅に危殆化するとの意見がある。 一方、実際に暗号システムを設計する際には、「いつまでに」「どのような危惧が」発生しうるかを想定し、それらの危惧がシステムのライフサイクル期間内に発生するかを検討した上で、具体的な対策を施行する必要がある。 本稿においては、現在の量子コンピュータの研究開発状況を鑑み、システムのライフサイクルに応じた適切な対策方法の検討を行う。 また、システムのライフサイクルを見積もる事の重要性について議論を行う。

GHS攻撃はk:=GF(q)のd次拡大であるk_d := GF(q^d)上定義された楕円曲線C_0の離散対数問題を, C_0のk上被覆曲線Cの離散対数問題へと変換する攻撃である. 近年, 奇標数のk上素数次拡大体k_dに対して, (2,...,2)型被覆曲線Cを持つような楕円曲線及び種数2超楕円曲線C_0/k_dの完全分類が行われた. また, 昨年のSCISでは, このような被覆曲線を持つ奇標数合成次拡大体k_4, k_6上楕円曲線C_0の完全分類が示された. それらを踏まえて,本論文では, k_8, k_9, k_10上の楕円曲線C_0の分類を示す. これにより, 奇標数の拡大次数10次以下の拡大体k_d上楕円曲線C_0の完全分類が完成される.

楕円曲線離散対数問題(ECDLP)は楕円曲線暗号の安全性を支える計算問題である．ECDLPに対する指数計算法は，2004年Semaevが提案したSummation多項式による連立代数方程式の求解によりECDLPを解読する方法で，現在最良の解読法であるρ法に比べ漸近的に高速になる可能性がある．これまで2冪上のECDLPに対する研究が多い一方で，2016年Petitらは特定の素体上のECDLPに対して，グレブナー基底計算で効率的に求解可能な連立代数方程式を示した．また2017年にAlessandroらは，任意の素体上のECDLPに対し効率的に解読可能なSemaevの指数計算法の改良方式を提案した．本稿では，Alessandroらの指数計算法を高速化する．具体的には，指数計算法の因子基底の適切なサイズを設定し，連立代数方程式の求解高速化を図る．特に方程式求解に関してSummation多項式の対称性を利用したり，グレブナー基底計算と全数探索の組み合わせであるハイブリッド求解法を適用する等の高速化を行う．さらに20-30ビットのECDLPに対して解読実験を行い，漸近的な解読計算量を見積もる．

Hidden Number Problem (HNP) はDiffie-Hellman 鍵共有において共有鍵が部分的に漏洩した時の安全性評価で，BonehとVenkatesan (CRYPTO ’96) により提案された．具体的にはHNP はDiffie-Hellman 鍵共有の共有鍵の上位ビットが得られた時，共有鍵を復元する問題である．楕円曲線Diffie-Hellman 鍵共有 (ECDH)におけるHNPは楕円曲線の演算が複雑なため長く行われてこなかったが，Shani (PKC’17)は式変形を工夫することで解析を行った．Shaniの研究ではECDHで一般的に用いられるWeierstrass標準形について解析を行っている．本研究ではEdwards 標準形におけるHNPを多項式時間で解くアルゴリズムを提案する．まず，我々はEdwards 曲線の加算公式と標準形の定義式を元に共有鍵の未知部分が解となる法付き方程式を導出する．そして，その方程式をCoppersmithの手法を用いることで解く．我々の手法では上位ビットの約93%が得られた時に共有鍵を復元できる．

楕円曲線法は素因数の大きさに依存する素因数分解法として最も効率的なアルゴリズムである． 楕円曲線法では使用する曲線の位数が小さな素因数を含んでいる場合に分解に成功しやすく，曲線の位数を制御することが効率化の鍵となる． また，Hasseの定理より，素体Fp上で定義される楕円曲線の位数はp程度の大きさのランダムな整数とみなすことができ， 曲線の位数が小さな因数dをもつような曲線のみを考えた場合，ランダムに変化する整数はp/d程度の大きさとなるため，効率化が期待できる． 本稿ではd=40となるような曲線の構成方法を考え，楕円曲線法に適用可能な場合の分解性能を報告する．

「補助入力付き離散対数問題」の困難さは、双線形写像を利用した多くの暗号アルゴリズム の安全性の根拠になっている。Cheon は、ある条件を満たす「補助入力付き離散対数問題」を効率よく解く方法を示した。本論文では、Cheon アルゴリズムの一般化を示す。G を位数が素数 p の群、g をその生成元としたとき、我々の成果は以下の通りである。 (1) 互いに素とは限らない d1,...,dt に対し、p － 1 = d1d2 ...dt と書ける場合、g, g^x, g^x^dt, g^x^(dtdt－1),..., g^x^(dt...d2) から x を O(√d1 + ... +√dt) 回のべき乗演算で求めることができる。 (2) 互いに素な d1,...,dt に対し、p － 1 = d1^e1 ..dt^et と書ける場合、g, (g^x ^p－1/d1 ,...,g^x^p－1/d1^e1 ),... , (g^x^p－1/dt ,...,g^x^p－1/dt^et ) から x を O(e1√d1 + ... + et√dt) 回のべき乗演算で求めることができる。

Google Play ストアより提供されるAndroidアプリケーションでは、同じアプリケーションでもデバイスごとに異なるアプリケーションパッケージ（APK）を配布するMutiple APK機能が利用可能である。DICOMO 2017で関岡らの調査により、Multiple APKではAPK間で全く異なる動作をするアプリケーションの受け入れが可能であることが示された。それにより特定の端末を対象とした悪意のあるAPK配布の脅威が指摘されていた。本稿では、その脅威の現実性を明らかにするためにGoogle Play上でMulitple APKの配布を実施しているアプリケーションに対してそれぞれのAPKを取得し、APK間の差異を調査し、実際のアプリケーションでAPK間に差異があることを明らかにする。また、MultipleAPKの設定を応用することで、特定端末の特定APIレベルに対してのみ展開が可能なAPKの可能性を示す。

現在，ルート案内や利用者周辺の店舗を推薦するレコメンデーション，ゲームなど，スマートフォンの位置情報を用いた多種のアプリケーションがある． これらのアプリケーションでは位置情報の更新頻度が重要となるが，常時位置情報を取得する事はスマートフォンの電力消費の観点で現実的ではないという問題がある． この問題に対して，iOSでは効率的に位置情報を取得するための機能として Significant-Change Location Service が提供されている． この機能により端末が一定以上移動した場合にのみ情報取得を実行できる． そのため端末が移動していない時は実行されず，非移動時の不要な位置情報取得の回数を減らす事ができるという特徴を持つ． 我々は情報取得の実行と端末利用者の行動の関係性に着目した． この機能を用いてデータが取得されたという事は，逆説的に端末が移動した事を意味し，利用者が移動を行なったとみなす事ができる． 本稿では，この特徴から情報取得時のタイムスタンプ情報のみを用いた一日毎の利用者行動パターンの分類を行なった．

近年，人の生活における行動情報を活用した個人認証手法が提案されている．人の行動を表す情報にはさまざまな種類があり，移動履歴情報や運動履歴情報などが例として挙げられる．スマートフォンが取得する電波情報(Wi-Fi)も人の行動を表す情報の一つとして挙げられ，Wi-Fi情報を活用した個人認証手法も提案されている．この手法では，ユーザーが所持しているスマートフォンの周辺に設置されている無線ルータの端末情報や，そのルータの電波を受信した時間を利用し，そこから個人的特徴を抽出して個人認証に活用している．しかしながらOSによってはスマートフォンの周辺に設置されている無線ルータの情報をAPIで取得できないものもあり，その条件ではこの手法は活用できないという問題がある．そこで本研究では周辺に設置されている無線ルータではなく，スマートフォンと接続している無線ルータの情報のみを利用することに着目した．本論文ではiPhone利用ユーザー276人の60日間におけるWi-Fi接続情報を利用し，そこから得られる個人的特徴について検証を行った．

The ability to connect to the internet enables mobile application (app) to provide rich feature. The problem is that to keep Internet resources such as domain name and server in the cloud running, it requires the developer to pay and maintain the resource. Meanwhile, the trend in current mobile application development is that after the developer published the application, they do not maintain it afterwards. If the developer does not renew it then this resource will be released and obtainable by others. The potential victim of hijacking this resource is the remaining user that are still using the app. In addition to this, depending on the previous owner and how the developer use the resource, the changing ownership on this resource and the prevalence of the effect will vary. In order to shed light on this problem, we conduct an empirical study on it and investigate the threats that could emerge from abandoned resource inside mobile application. By searching through hundred thousand of Android applications, we confirmed the existence of such resource inside the code.

Androidアプリケーションのパッケージ（APK）に付与される電子署名には、MD5やRSAの512bit鍵の利用など、すでに弱くなったアルゴリズムが用いられたアプリケーションが少なからず存在することがこれまでの調査で明らかになっている。本稿では、弱いアルゴリズムを用いることで生じる脅威を詳細に分析し、また弱いアルゴリズムを利用する原因特定のための調査を行った。その結果、弱いアルゴリズムを持つアプリケーションに、ダウンロード数が5,000万を超えるアプリケーションや同一署名者によるパーミッションの共有を許可しているアプリケーションが存在することを明らかにした。また原因特定の結果、特定の環境が強く影響していることが判明した。

Androidアプリは，利用者の同意のもと様々な情報を端末から収集している． しかしながら，収集する情報の詳細を開示しないケースが多いため，利用者の想像を超えたデータを収集している可能性がある． 本論文では，Android 公式マーケットでリリースされている1,704個の無料アプリが取得している利用者のプライバシー情報をAPIレベルで解析した． また，ダウンロード数が多い10個のアプリに対して通信解析を行った． 調査の結果，解析に成功した1,669個のアプリのうち648個(全体の約39\%)は端末のシリアル番号を，1,161個(全体の70\%)は位置情報を取得していることが判明した．通信解析の結果，ダウンロード数の多いアプリが平均5個から6個のサードパーティに接続していることが判明した．また，Android IDやIMEIがサードパーティに送信されていることも判明した．

近年，環境発電デバイスが注目されている．環境発電は，太陽光や人の歩行時の振動などのエネルギーを電力へと変換する技術である．環境発電を用いることで，電源配線や電池交換を必要としないシステムを構築することができるため，トリリオンセンサなどへの応用が期待されている．また，これらのデバイスでは，セキュリティの観点から通信データの秘匿化（暗号化）を行うことが重要である．一方で，ハードウェアセキュリティにおいて，回路動作時の消費電力や電磁波などの物理情報を利用したサイドチャネル攻撃の脅威が指摘されている．しかし，これまでに環境発電デバイスの耐タンパ性についての検証は筆者らの知る限りにおいて報告されていない．本研究では，環境発電デバイスの耐タンパ検証環境を構築し，その耐タンパ性について検証する．軽量暗号TWINEを対象とした評価実験の結果，電源として太陽電池を使用した場合と，安定化電源を使用した場合のどちらの場合においても，900個の波形データを用いることで，8個中7個の部分鍵を推定することに成功した．

DRAMの特定の行にアクセスが繰り返されると，アクセスしていないにも関わらず，隣接した行でビット反転が起こるRow Hammerという現象がある．x86プロセッサ向けのRow Hammerのテストではキャッシュフラッシュ命令を用いるが，ARMプロセッサ等においてキャッシュフラッシュ命令は特権命令であり，ユーザー空間から用いることはできない．そこで，デバイスドライバを介してカーネル空間でキャッシュフラッシュを行なうRow Hammerのテストツールを提案する．

エアギャップネットワークは公衆ネットワークから物理的に切り離されているネットワークである．Guriらはx86 CPUの特定の命令を呼び出し，CPUとRAMの間にあるメモリバスから電磁波を発生させることでエアギャップを超えてデータを送信することを可能にした．本研究ではARMアーキテクチャおよびx86/amd64 CPUを搭載したコンピュータでB-ASK変調されたデータ信号をAM周波数帯で送信するプログラムをウェブブラウザで動作させる．ウェブブラウザにはJavaScriptの実行オーバーヘッドを改善するため，WebAssemblyや，asm.jsと呼ばれる低レベルなサブセットが採用されつつある．本稿では，asm.jsを用いてメモリアクセスを発生させ電磁波を放出するようなプログラムを設計し，スペクトルアナライザで計測する．

FPGA（再構成可能ハードウェア）を搭載した仮想マシンを貸与するクラウドサービスが，相次いで開始している．そのようなサービスでは，正規ユーザが FPGA に悪性の回路をロードすることで，サービス提供者や別ユーザを攻撃するシナリオがありうる．本論文では，そのような仮想マシンおける悪性ハードウェアの脅威をまとめるとともに，基礎実験結果を示す．

レーザー光やクロックグリッチを用いて暗号ハードウェアにフォールトを注入することで，秘密鍵を導出するフォールト攻撃の脅威が報告されている．秘密鍵を導出するために必要なフォールト回数~(フォールト試行回数)は，攻撃効率を示すひとつの指標となる．特に，ブロック暗号へのフォールト攻撃では，差分故障解析が数多く研究されており，それらの攻撃効率の最適性を調べる目的で，汎用的な効率評価モデルが提案されている．しかしながら，以前の評価モデルでは，攻撃シナリオによっては，実験と合わない場合が見られた．そこで，本論文では，フォールト攻撃を広義的にプロービング攻撃の一種と捉え，攻撃者能力に柔軟に対応できる新たな効率評価モデルを提案する．まず，１ビットプロービング攻撃におけるフォールト試行回数を正確に計算する評価式を閉じた式で示す．次に，実際のプロービング攻撃をマルコフ過程とみなすことで，あらゆる攻撃者に対して詳細な効率評価が可能となる手法を示す．

チップへのレーザ照射は，暗号のフォルト攻撃で用いられる最も強力なフォルト挿入法の1 つである．近年，センサを用いてレーザ照射に伴う電気現象を検出するする対策法が期待されている．本論文では，そのようなセンサを悪用することで，非接触でプロービング攻撃と同等のサイドチャネル情報を取得できることを示す．本論文は，FDTC 2017において発表済みの内容に基づく．

近年, 車載ネットワークを流れるメッセージの異常検知について研究が広く行われている. これまでに, 筆者らは車載ネットワーク異常検知手法として Isolation Forest(IF)アルゴリズムの適用可能性を検証し, その誤検知率の高さを問題として指摘した. そして, それを改良したSand Sprinkled Isolation Forest(SSIF)を提案し, 実車走行データを使った 評価にてSSIFがIFに対し誤検知率が低いことを示した. 本稿では, SSIFの攻撃検知率評価を行う. 具体的には, 実車に想定される攻撃データを使った評価を行い, SSIFがIFに対し低い誤検知率を保ったまま 攻撃検知が行えることを示す.

近年、自動車に関する脆弱性事例が相次いで公表されており、攻撃や解析の手段の1つとして車載ECUの診断機能が用いられている。多くのECUでは、重要な診断機能を保護するためのセキュリティアクセス機能が備えられているが、この機能に脆弱性が存在する場合、CAN経由でECUの改ざんや不正制御が可能となる恐れがある。本論では、セキュリティアクセス機能に対する攻撃手法を検討し、実ECUにおいて評価した結果を報告する。

我々は、escar eu 2016において、擬似乱数を利用した車載CANの不正通信検出手法を発表した。提案手法は、CANのID領域に埋め込まれた秘密乱数をハードウェアで高速にフィルタリングして通信認証することにより、メッセージ認証子を用いる一般的な通信認証よりもDoS攻撃耐性が高いことが特長である。本講演は、本手法で用いるCANコントローラをRTLで試作した結果を報告する。

CAN(Controller Area Network)は，車載ネットワーク等に広く用いられるバス型ネットワーク規格である．CANに対する脅威として電気的データ改ざん攻撃が指摘されている．この攻撃は，攻撃ツールがバスの電位差を直接操作することで，送信ECUに検知されることなく改ざんされたメッセージをバス上のECUに受信させる攻撃である．CANには意図したデータがバス上に流れたことを送信側で確認するビットモニタリングの機構が規定されているが，送信側と受信側のCANバスの信号をサンプリングするタイミングの違いを利用することで，異なるメッセージを受信させることができる．電気的データ改ざんにおいて従来の手法では攻撃した際，エラーとなることが多かった．本論文では，従来手法で攻撃を行い攻撃が成功した際のCANバスの電圧波形を取得し，取得した波形で攻撃対象メッセージのデータフィールド以降の部分を置換する手法の提案を行う．また，自動車向けセキュリティテストベッドにおいて提案手法での攻撃成功確率が向上することを実証するとともに，セキュリティ強化策の導入が必要であることを指摘する．

CXPI(Clock eXtention Peripheral Interface)はパワーウィンドウや電動シートなどのボディ制御システムの次世代車載LAN規格として注目されている．CXPIの特徴には，マスター・スレーブ方式を採用することやCXPIの各ECUの消費電力を抑えるためのWakeup/Sleep機能などがある．しかし，CANやLINと同様，CXPIのメッセージは暗号化されておらず，攻撃者がバス上に流れるメッセージの盗聴および解析をすることは容易である．また，ボディ制御システムに対し，攻撃が行われた場合，間接的ではあるが人命が危険にさらされるため、ボディ制御システムに対しセキュリティを考慮する必要がある．そこで本稿では，CXPIに対する新たな攻撃手法について述べる．具体的には，Wakeup/Sleep機能について着目し，攻撃者がSleepフレームというある特別なフレームをバス上に送信することで，正規のメッセージの送信を停止させることが可能であることを示す．また，CXPI対応のマイコンボードを用いてSleepフレームを送信する攻撃者ECUを作成し，提案する攻撃手法の有効性を実験により証明する．更に，提案する攻撃手法についての対策手法について述べる．

コネクテッド機能を備えた自動走行車はインターネットからハッキングを受ける可能性があり、かつ受けた場合にステアリングなどのアクチュエータを不正制御される恐れがある。 筆者らは自動走行車向けにIntrusion Detection and Prevention System(A-IDPS)を構築することが重要であると考える。 A-IDPSは、既知攻撃をリアルタイムに防御する機能および未知攻撃を検知する機能を備えなければならない。 その防御機能は自動車に実装され、その検知機能はクラウドに実装され、それぞれが連携して動作することで、常に新しい攻撃に対応することが可能となる。 具体的には、クラウドの検知機能で検出した攻撃を分析し、その結果に基づいて防御機能を更新することで、防御機能が新しい攻撃に対応可能となる。 本論では、ホスト(IVI/TCU)、Ethernet、CAN及びクラウドの観点から要件や課題についての整理を行い、その対策について提案する。

標的型攻撃に使用される文書型マルウェアの中には，シェルコードと呼ばれる小さなプログラムが埋め込まれているものがある． このシェルコードを解析するためには，まず文書ファイルに埋め込まれている位置を特定する必要がある． 本論文では，一次元の畳み込みニューラルネット（1d-CNN）を用い，文書ファイルとプログラムコードを高精度で認識する手法を提案する． 1d-CNNの局所受容野と重み共有という仕組みを利用し，固定長命令に特化した局所受容野を形成する． これにより，入力する命令列がシフトした場合でも，高い精度でプログラムコードと認識できることが期待される． 実験の結果，固定長命令に変換したデータ16命令分のデータで，PrecisionとRecallの両方が99%以上という精度でプログラムコードを認識することができた．

マルウェアの侵入は，ドライブバイダウンロードやメールの添付ファイルを開く，リンクをクリックするなどしてユーザに気づかれることなく起こる．特に，標的型攻撃などではアンチウイルスソフトウェアに検知され難く，情報漏洩などの重大なセキュリティインシデントを引き起こしてから発見される場合が多い．そこで，本研究では各ホスト内部で動作するプロセスの状態（プロセスリスト）を定期的に取得し，不審なプロセスを低コストで抽出する手法の提案を行った．プロセスリストからプロセスツリーの再構成を行い，プロセスの親子関係や実行順序を他のホストのそれと比較を行った．また，スクリプトの組み込まれたオフィススイート等は，ダウンローダとして動作する事が多く，処理の終了後にダミーファイルを開いて終了する事が多いため，プロセスの継続時間を考慮した手法の提案を行った．最後に，情報通信研究機構で実際に利用している約500台のホストからプロセス情報を収集し，本提案手法の有効性の確認を行った．

APIコール列を分析対象とするマルウェアの動的解析手法において、近年 Word Embedding として知られる手法を用い、自然言語処理のアプローチを導入する研究が活発になされている。コール列を構成する各API関数をベクトルで表現することで、マルウェア検知など目的となるタスクにおける性能を向上することが期待されているのだが、そのベクトル表現の獲得は、バイナリからコールされる順序の情報のみを用いる方法がこれまで主だった。我々は、コール列以外の外部の情報をAPI間の関係構築に活かすことに着目し、コール順序のみではなく、仕様書におけるAPI関数の機能説明文の情報を用いてベクトル化する手法を提案する。また、シーケンス長が非常に長いデータからの特徴抽出方法として、1次元CNNとLSTMを複数段組む、階層時系列モデルを提案する。18個のマルウェアファミリーと、それ以外とする全19クラスの分類を実験を行い、従来のコール順序のみを使う手法による分類精度が30.4%に対し、提案手法では42.1%となった。

マルウェア解析は、APIコールの単位でマルウェアの動作を1つ1つ明らかにしていく作業が一般的であるが、多くのマルウェアは侵入検知を回避する為に暗号や圧縮等を用いたデータの難読化を行う。そのため、ファイルやネットワークのI/O処理を行うAPIコールを監視し、バッファの中身を一見しただけでは、何のデータが盗まれたのか、送り込まれたペイロードが何を意図しているかを判断することが難しい。振る舞いに関する詳細な情報を得るには、命令をステップ毎に辿る作業が必要であり、解析者に手間と労力を要求する。そこで本研究では、ファイルへのアクセスを試みたマルウェアが、データを難読化していく過程を追跡し、悪性機構に関する詳細情報の自動抽出をVirtual Machine Introspectionによって実現する。マルウェアによるファイル窃取、暗号化、遠隔操作を題材に、本提案ツールのユースケースを紹介する。

本稿では、企業や組織に模倣した模擬環境へ攻撃者を誘引し、長期観測を行う誘引実験に必要となる、模擬環境を誘引実験と特性に合わせ柔軟かつ効率的に構築する手法について論じる。標的型攻撃の誘引実験では、解析者の要求に応じ、マルウェアの特徴だけでなく、攻撃者と被害組織のプロファイルに沿う多様なネットワーク、OS、アプリ、コンテンツで構成される模擬環境を高速に用意することが必要となる。本提案では、まず解析者が作成する個別の誘引実験用のプロファイルと予め用意された「標準モデル」に対する差異を「環境変更情報」として記述し、その差分から目的とする模擬環境全体の構築に必要となる各種の設定やパラメータなどを自動生成し、模擬環境構築ツール「Alfons」や構築補助ツールなどを駆動することで、最小限の記述量で柔軟に必要な模擬環境を構築する。さらに、構成情報を管理し、他システムに入出力APIを提供することで、構成情報と紐付く解析を実現する。本稿では、誘引基盤に適した構築手法を提案し、設計・実装とSTARDUSTにおける適用事例について述べる。

我々は，ネットワーク機器のログからサイバー攻撃を検知するシステムを開発し，運用している． 本システムでは，外部の脅威情報をもとに作成した検知パターンの出来が，その検知性能に大きく起因している． そのため，脅威情報が外部に公開されない場合や，攻撃の発生から情報が公開されるまでに時間が掛かる場合など では検知漏れが発生する恐れがある．そこで我々は，ＡＩ（教師なし学習）を活用し，「検知パターンを必要とせず，マルウェア感染端末を検知できるシステム」の設計と実装を行った．本発表では，本方式の有効性を評価する．

Famous public key cryptosystem such as RSA and Diffie-Hellman is not secure against quantum computer. Also, the emergence of quantum computers is not theoretical but is actually in practical. Post-Quantum Cryptography (PQC) means quantum-resistant cryptography. Lattice-based cryptography has been known as one of PQC. Learning with Errors (LWE), Ring Learning with Errors (Ring-LWE), and Module Learning with Errors(Module-LWE) are the mathematical hard problems in lattice-based cryptography. In public domain, Open Quantum Safe (OQS) project develops quantum-resistant cryptosystems such as lattice-based, code-based, and supersingular isogeny elliptic curve as open source. We focus on lattice-based OQS projects such as BCNS15, NewHope, MSrln, Kyber, and Frodo. In this paper, we check and compare the performance of OQS key exchange protocols using lattices. Then, we suggest future work in OQS project.

With the development of quantum computers, post-quantum cryptography has been researched in the last decades. Lattice-based cryptography is one of the most fascinating candidates of post-quantum cryptography. This is due to the average and worst case provable security on lattice such as Learning with Errors(LWE) and Learning with Rounding(LWR). Lattice-based encryption scheme called Lizard based on LWE and LWR by Cheon et al. was suggested as a candidate public key cryptosystem for long-term security according to call-for-post quantum cryptography by NIST recently. Lizard was suggested to have great performance and high level of security. However, Lizard could be exploited because of its C implementation. In this paper, we investigate the way to break Lizard by side channel attacks such as timing and fault attacks. From these attacks, we can find secret key from source code. Finally, we propose countermeasures to protect Lizard from our attacks.

　本稿では、n次元格子の基底行列に対し、角度という観点からα-reducedという条件を導入する。 基底行列がα-reducedであるとき、最短ベクトルを含むことを証明する。なお、基底行列がα-reducedであ るかどうかは、多項式時間で判定できる。

Quantum computers have the potential to solve some difficult mathematical problems efficiently, thus will inevitably exert a greater impact on the traditional asymmetric cryptography. Therefore, NIST has opened a formal call for the submissions and proposals of quantum-resistant public-key cryptographic algorithms to set the next-generation cryptography standards. Compared to web applications or high capacity hardware with more processors, IoT devices, including the massive number of microcontrollers, smart terminals and sensor nodes with very limited computing capacity, also should have some post-quantum cryptography features for security and privacy. In order to ensure the correct execution of encryption algorithms on any architectures, the portability of implementation becomes more important. As distinguished from C/C++, JavaScript is a well-known cross platform language that can be used for the web applications and some hardware directly, thus it could be one of the solutions of the portability. Therefore, we investigate and implement several recent lattice-based encryption schemes and public-key exchange protocols such as Lizard, Kyber, Frodo, and NewHope, which are the strong candidates of post-quantum cryptography due to their applicabilities and efficiencies, and show the performance of our implementation on web browsers and an embedded device "Tessel2" in JavaScript. Our results indicate that the efficient implementation of lattice-based cryptography on JavaScript-enabled platforms are both desirable and achievable.

近年,IoT向けセキュリティにIDベース暗号が注目されており,IDベース暗号に用いる楕円ペアリングもまた広く研究されている.一方でペアリングに用いる拡大体上の乗法群G3に対する効率的な離散対数問題の解法アルゴリズムが発表され,埋め込み次数の大きな曲線が推奨されており,BLS48も注目されている.本稿では,BLS48においてSkew Frobenius写像を利用し,楕円曲線上の有利点群G2上でのスカラー倍算におけるスカラー値を16個のスカラーに分割しGLV法を適用しマルチスカラー倍算を行うことで、演算回数を削減できることを示した.その結果,最も効率的な構成であれば512bit程度のスカラーに対し既存手法のおよそ4分の1程度で楕円スカラー倍算が計算できることを報告する.

楕円曲線の点を出力するランダムオラクルの適切かつ実装可能なアルゴリズムとしてindifferentiable hashingが提案されている．これは，整数値または有限体の元を出力するランダムオラクルの存在を仮定し，楕円曲線上の点を求める処理と，楕円曲線上の点から適切なねじれ部分群の点を求める処理からなる．Fuentes-Castanedaら(SAC 2011)は，ペアリング高速計算に適したordinaryな楕円曲線（族）について，ツイストの点から適切なトレース-0ねじれ部分群の点を求める効率的なスカラー倍算の構成方法を示した．しかし，その方法には適用条件が存在し，いくつかの楕円曲線はこれを満たさない．我々は，有限体上定義される判別式が1または3の楕円曲線について，その準同型環に対応する整数環の上で適切な部分群の点を求める効率的なスカラー倍算の構成方法を示す．これにより，この適用条件が不要であることを示す．さらに，楕円曲線の点から適切な非トレース-0ねじれ部分群の点を求める効率的なスカラー倍算の構成方法も提案する．

著者によって定義された有限体上楕円曲線の演算oplusは、+との分配法則を満たす。本稿では、分配法則性とペアリングの双線形性が類似していることを利用して、oplusによるキーワード検索暗号を構成する。また、oplusによる3者鍵共有やIDベース暗号、代理人再暗号の構成が困難であることを考察する。

qDSA(ASIACRYPT 2017)はCurve25519のKummer商を用いた高速な署名方式であるが、フォールト攻撃によってノンスの最下位2ビットを漏洩させることが可能である。 本発表ではまずフォールト攻撃によって得た情報からノンスの偏りを作り出すことができることを示す。 さらにノンスに偏りのあるSchnorr型署名方式に対する攻撃手法として知られるBleichenbacher攻撃を大規模並列化が容易な形式へと改良し、先行研究において問題とされていたメモリ消費量を抑制する方法を検討する。 最後にqDSAの署名のみを入力として用いた署名鍵復元攻撃を試み、この攻撃が現実的に利用可能な計算資源の範囲内で実行可能であることを示す。

近年、様々な分野でビッグデータの利活用が進められている．2015年に個人情報保護法の改正案が成立し、将来的に個人が特定できないようにパーソナルデータを匿名化した匿名加工情報についても、第三者が利用できるようになる．これにより、様々な種類の利活用データの活用、例えば、移動履歴や購買履歴の市場調査に利用するなど、今後は、匿名加工情報の利活用が見込まれている．パーソナルデータのように機微なデータの取り扱いにおいては、より高い安全性が求められることから、センタ上のデータを暗号化し、第三者が内容を解読できないようにした上で、暗号化した状態のまま検索や分析を行う技術の実用化が想定される（検索可能暗号や秘匿計算暗号）． 一方、個人が特定できないようにパーソナルデータを匿名化する技術としては、k-匿名化処理技術が想定される。本研究において、車両移動データの利活用サービスを想定し、データ保護を行う技術としてｋ－匿名化処理の技術評価を行った．

情報処理学会プライバシーワークショップでは，匿名化されたデータに対する評価手法の確立と高度な匿名化技術の開発を目的に，匿名化と再識別に関する技術コンテスト PWS Cup を開催している．PWS Cup では匿名化アルゴリズムの安全性を実際に再識別されたデータの数に基づいて評価している．再識別を行う際には (1) 匿名化アルゴリズムを知らないまま行う場合，(2) 加工アルゴリズムを知って行う場合，の2通りが考えられる．PWS Cup では (1) を前提として評価を行っており，(2) の場合の評価値がどの程度になるのかは明らかになっていなかった．そこで本稿では，(1) と (2) の場合で再識別されるデータの数にどの程度の差が生じるのかを明らかにすることを目指し，実際に2017年のコンテストで使用された匿名化アルゴリズムに対して (1) と (2) の両方の場合に再識別を行った結果を報告する．

情報通信技術の発展により，現在ではデータの二次利用が注目されている．それに伴い，プライバシに関する懸念がより一層広がっている．本研究では個人情報の加工技術である匿名化，そのなかでもk匿名化に着目する．k匿名化とはk人未満に個人を絞られないようにデータを加工する個人情報の保護技術である．近年では匿名化アルゴリズムの高速化などの研究が盛んに行われており，大規模データに対する効率の良いk匿名化アルゴリズムも数多く提案されている．またk匿名化に付随して匿名化の際のデータ損失を最小にするk匿名化問題も存在する．一般の表に対してk匿名化問題がNP困難であることが知られている．さらにkが小さい定数という仮定の下でのk匿名化問題についてもNP困難性や近似困難性が数多く研究されてきた．そこで本研究では，これまであまり研究されてこなかったkがデータ数に依存する場合の複雑さについて考察する．

k匿名化は，個人情報を含むデータを個人が特定されないように加工する技術である．k匿名化されたデータにおいては，k人のデータが等しく，個人を特定することができない．そのため，個人情報を含むデータの公開のための加工などへの利用が期待されている．データの有用性を保つため，できるだけ少ない加工によって匿名性を達成することが望まれるが，一般の表に対して最適なk匿名化を求めることはNP困難であるということが証明されている．これまでは，異なる設定のもとでの問題の複雑さや近似アルゴリズムに関する研究が行われてきた．それらの多くはkが小さい定数であると想定されている．しかし，実社会への応用を踏まえると，数千万単位の人数が集まる大きなデータの中で数人のデータの見分けがつかないという匿名性の保証では，適切でない場合も考えられる．そこで，本研究では， kがデータ数に依存した大きさである場合のk匿名化を対象とし，kが小さい定数である場合とは異なる性質についての考察を行い，定数の近似率を保証する近似アルゴリズムを提案する．また，表の列数が小さい場合には，最適なk匿名化を多項式時間で計算可能であることを示す．

我々は、センサを介してデジタル化される情報によって、物理世界を観測で きる。ゆえに、センサはシステムの入り口に存在しており、セキュリティ上、重 要な位置を占める。これまでに、センサ単体、あるいはシステム全体におけるセ ンサ、という二つの潮流の中で研究がなされてきた。一方で、両者の間には、信 号処理というギャップが存在しており、センサ単体への影響がシステムに与える 影響の網羅的な評価は課題として存在している。 そのような観点から、我々は、複数センサ情報を融合するセンサフュージョンに 着目し、信号照射攻撃への攻撃耐性を評価してきた。SCIS2017では、加速度計、 ジャイロ、コンパスから構成されるセンサボードを対象に、超音波攻撃によりセ ンサフュージョンが騙される可能性を指摘した。今回は、磁気照射を併用し、出 力をコントロールする攻撃の実現性に関して検討する。

近年，自動車の自動運転システムに向けた技術開発が急速に進められている．このシステムでは，自動車外部の情報を取得するために，多種多様なセンサが搭載されており，そのセンサ情報を基に自動ブレーキなどの重要な制御が行われる．しかし近年，センシング段階における車載センサへの攻撃による危険性が指摘されており，車載センサに対するセキュリティ対策は大きな検討課題である．本研究では，超音波測距センサに対するなりすまし攻撃への対策手法として，センサから出力される超音波に対してランダム化した波形と受信波形との相関処理を用いた手法を提案する．また，実測データを基に考察した結果について示す．

近年，運転支援システムの普及により，自動車には多様なセンサが搭載されるようになった．一方，それらのセンサに対して物理的な攻撃，例えば偽装波などを照射し，センシングデータを意図的に改ざんする攻撃の事例が報告されており，センサのセキュリティを確保する手法の研究が必要となっている．本稿では，複数の異なる方式の測距センサのデータを連携させ（センサフュージョン），上記物理的データ改ざん攻撃への対策とする手法を検討する．攻撃を受けたセンサは，正常なセンサとは異なる測定値を出力するが，どのセンサの出力が正常なデータであるかという判断が困難である．そのため，個々のセンサから，測距値の他に「信頼度」というデータを出力させ，それに基づきより正しい測距データを推定する手法を提案する．初期検討として，超音波測距センサから信頼度を導出するため，測距値と受信波の振幅の時系列変化を用いる方法を検討した．測距値が急激に変化した場合，攻撃の可能性が高いと判定し，信頼度を低下させる．しかし，飛び出しなどの場合には，測距値の急激な変化が考えられ，その対策として，受信波の振幅の変化を併用し信頼度を導出する手法を提案する．

監視カメラの利用において，通信経路での盗聴や監視カメラの脆弱性を悪用し，古い映像や加工映像を表示させるような，映像の差し替えの攻撃が懸念される．映像分析等を行うことを目的とした監視システムでは，このような攻撃に対する映像の改ざんやなりすまし検知の仕組みが必要となっている．本稿では，映像情報からの監視領域に存在する静止物を抽出し，その静止物の微小な変動を検証することで，映像の不正な差し替えを検知する手法を提案する．また，組込みボードを用いたプロトタイプを使って本提案方式の有効性を検証した結果について報告する．

　LINEは現在国内で最も広く使用されているメッセージングサービスである。LINEにおける通信はLINE Encryptionと呼ばれる独自の暗号化通信方式によって保護されており、クライント-サーバ間のトランスポート暗号化プロトコルとクライアント間のメッセージエンドツーエンド暗号化プロトコルの仕様がTechnical Whitepaperとして公開されている。しかし、それらのプロトコルの数理的な安全性は検証されていない。本研究では、安全性自動検証ツールProVerifを用い、LINE Encryption（Version 1.0）のトランスポート暗号化プロトコルとメッセージエンドツーエンド暗号化プロトコルにおけるアプリケーションデータの秘匿性となりすまし耐性をそれぞれ検証した。特に、トランスポート暗号化プロトコルについては、秘密鍵が漏れてもそれ以前に暗号化されたメッセージの安全性を保証するフォワード安全性を満たすと主張されているため、フォワード安全性の検証も行った。

Wi-Fi Protected Access 2（WPA2）の4-way handshak は形式検証により安全性が示されていたが，2017年10月にKey reinstallation attack（KRACK attack）が発見された．KRACK attack に対処するために，2017年11月に行われた IEEE 802.11 TGmd では，規格の修正案が受理された．本稿では，形式検証ツール ProVerif を用いて，KRACK attackを発見できるかを検証すると共に，IEEE 802.11 TGmd で提案された修正の妥当性を検証した．その結果，KRACK attack の状況を直接的に記述した簡易的なモデルでは ProVerif による攻撃トレースの検出と対策の妥当性の確認に成功した．一方で，ステートマシンを表現したモデルでは，ProVerif による検証が停止せず，攻撃トレースの検出と対策の妥当性を確認することができなかった．

ProVerifはBlanchetらが開発した形式モデル（いわゆる，Dolev-Yaoモデル）での暗号プロトコルの自動検証ツールであり，暗号プロトコルに要求される秘匿，認証などの安全性要件を自動で検証することができる．ProVerifは多くの暗号プロトコルに対してセキュリティ上の欠陥を発見することに成功している．しかしながら，ProVerifでは再帰のような繰り返し呼び出しの形式化は一般的には困難である．一方，CT（Certificate Transparency：証明書の透明性）は，Googleによって提唱された証明書の不正発行を防止する仕組みであり，RFC6962として策定されている．本稿では，ProVerifを用いて再帰的な呼び出しを形式記述し，CTにおけるマークルハッシュ木を形式化する方法を紹介する．本形式化は，ブロックチェーンの形式検証への応用も想定している．

現在、インターネットのBorder Gateway Protocol（BGP）の運用には、他のオペレータの設定ミスによってネットワークのプレフィックスが乗っ取られてしまう経路ハイジャック・Mis-Originationという重要な問題がある。インターネット初期には大規模動画サイトへのアクセスが遮断された事例など、発生事例は多数にわたり確認されている。本論文では、RIPE NCCによって公開されているBGP経路情報を用いて解析することでMis-Originationの原因となる可能性のある経路情報を抽出できる手法を提案し、抽出した情報を分析してMis-Originationの傾向を考察をした。

無線LANの認定規格であるWi-FiのセキュリティプロトコルWPA (Wi-Fi Protected Access) 2において脆弱性KRACKSが報告されている．WPAは4way handshakeにおいて中間者攻撃の可能性があり，プロトコル実装の問題が指摘されている． このような既存の避けられない問題を解決するため，物理層における多重波環境の特性を生かした秘密情報伝送・共有技術が検討されている．既存研究は，電波伝搬特性を利用した秘密鍵生成方法に重点を置かれていることから，著者らは伝送特性も考慮した秘密鍵を利用することでDoS(Denial of Service)耐性のある無線LANの認証方式を提案した．無線LANで採用されている伝送方式を利用することにより既存システムで信頼できる鍵長の秘密鍵が容易に生成できる．耐タンパ性向上を目的に電波伝搬特性を利用した秘密鍵について様々報告されているが，実測評価されたものはほとんどない．そこで本稿では，オンボードFPGAを搭載したソフトウェア無線に提案方式を実装し，実験的に評価する．

組織におけるWebサイトの利用には多くの脅威が存在するため，悪性情報のブラックリストが利用される．悪性情報には登録理由やレピュテーションなどが付与されることがあるが，CSIRTのインシデントレスポンスにおいて合理的な判断を行うために適した情報を提供しているとは言えない．本稿では，インシデントレスポンスの「トリアージ」「対応実施」業務において，既存のブラックリストを活用した業務における課題を示し，合理的な判断を可能とするための「Webサイト所有者」「運用形態」「コンテンツ種別」「現在の状態」という4項目による悪性情報の分類を提案する．さらに，公開されているブラックリストの仕様について調査し，この分類に相当する情報が含まれているか評価を行う．また，実際にインシデント判定が求められた400件のブラックリスト検知について手動で調査を行い，提案する分類に妥当性があることを示す．

近年，Webを媒介とした攻撃が増加しており早急な対策が求められている．Web媒介型攻撃への対策を考える上で，インターネット上で起きている攻撃を観測することは重要であり，脆弱なネットワークサービスを模擬したハニーポットシステムが広く用いられている．本研究では，2017年に重大な脆弱性が報告されたApache Strutsの脆弱性に対する攻撃を観測するためのハニーポットを実現し，その観測結果を示す．観測実験では，ハニーポットを2017年7月から12月までの間インターネット上に公開し，Apache Strutsの脆弱性を突いてLinuxサーバやWindowsサーバに対してコマンドインジェクションが行われる様子を観測した．観測した攻撃コマンドの多くは検体をダウンロードするコマンドであり，11種類の実マルウェア検体の収集に成功した．また，収集した検体を動的解析したところ，仮想通貨のマイニングが確認された．一方，観測された攻撃コマンドにはハニーポットのWebアプリケーションディレクトリに不正なWebコンテンツを埋め込む攻撃コマンド等も確認された．このように，攻撃者は様々な目的でApache Strutsの脆弱性を悪用することが分かった．

Extension Field Cancellation (EFC) was proposed by Alan et al. at PQCrypto 2016 as a new trapdoor for constructing quantum resistant multivariate encryption cryptographic schemes. Along with this trapdoor, two schemes EFCp- and EFCpt2- that apply this trapdoor and some modifiers were proposed. Though their security seems to be high enough, their decryption efficiency has room for improvement. In this paper, we introduce a new and more efficient decryption approach for EFCp- and EFCpt2-, which manages to avoid all redundant computation involved in the original decryption algorithms, and theoretically speed up the decryption process of EFCp－ and EFCpt2- by around 3.8 and 7.8 times respectively under 128-bit security parameters with our new designed private keys for them. Meanwhile, our approach does not interfere with the public key, so the security remains the same. The implementation results of both decryption algorithms for EFCp- and EFCpt2- are also provided.

量子コンピュータの実現によって，RSA暗号や楕円曲線暗号は容易に解読されることが知られている．従って，量子コンピュータでも解読が困難な耐量子暗号の研究は非常に重要なものとなってきている．LWE暗号は耐量子暗号の１つとして期待されており，その派生暗号方式に二値行列LWE暗号がある．2017年にHeroldとMayによってこの暗号に対する整数計画法を利用した攻撃手法が提案された．しかし，Heroldらは短い時間内で正しい乱数情報を得られない場合は解読失敗としている．そのため，精度の高い結果を得ることはできていない．本稿では既存手法と同様の攻撃を実装し，より正確な結果を導出してそれに対する考察を行う．さらに，これまで安全とされていたものより大きなパラメータの二値行列LWE暗号に対しても同様の攻撃を行い，その安全性を評価した．本稿の結果より，二値行列LWE暗号はHeroldらの攻撃手法に対して安全であると言える．

前年度（2017年度）のSCISにて、講演者は平文をいくつかまとめて同時に暗号化することで、多変数多項式暗号の暗号化・署名認証の計算量を減らすアプローチを提案した。本講演では、暗号化する際に必要となる積と和の取り方を工夫することで、暗号化の計算量を減らすやり方を提案する。とくに有限体の位数があまり大きくないときには有効であると考えられる。

ISO/IEC 20008は匿名性を持つ電子署名に関する国際標準規格である．この文書には，いくつかの方式が記載されているものの，それらを安全に使用するための詳細な条件は明記されていない．本研究では，その中に記載される一つの方式に対して安全に使用するための具体的な条件の考察を行う．

Fail-Stop署名（FSS）方式は「計算能力が多項式時間を超える偽造者に対しても偽造不可能性を満たし，かつ計算能力が多項式時間の不正直な署名者に対しては否認不可能性をも満たす」署名方式である． このFSS方式を複数同時に使う時に単独で使う時の安全性（偽造不可能性，否認不可能性など）を維持できるかが問題となっている． これまでにCanettiが2004年に，不正直な敵の計算能力が多項式時間という前提で，ディジタル署名方式を複数同時に使う時でも単独で使う時の安全性を維持できる事，即ち汎用的結合可能（UC）安全性が成立する事を示している． 著者らは2016年3月のIT・ISEC・WBS合同研究会において，UC安全性の一種であるH-EUC安全性の概念をFSS方式に導入し，FSS方式を単独で使う時の安全性とH-EUC安全性との間の関係を示した．しかし，FSS方式にゼロ知識証明という機能的に強すぎる概念を導入していたため，上記関係を等価関係と呼ぶには問題があった． そこで本稿では，ゼロ知識証明の概念を利用せずに従来通りのFSS方式を構成した上で，FSS方式を単独で使う時の安全性とH-EUC安全性との等価関係を示している．

We present a lattice-based group signature scheme that provides both member registration and member revocation with verifier-local revocation mechanism. Verifier-local revocation (VLR) seems to be the most suitable revocation approach for any group since when a member is revoked VLR requires only to update verifiers who are smaller in number than members. In 2003 Bellare et al. (EUROCRYPT 2003) provided the currently strongest security model (BMW03 model) for group signature schemes. However, it serves only for static groups. In ACNS 2016 Bootel et al. provided a rigorous security model for dynamic groups. Yet, presenting a fully secured lattice-based group signature with verifier-local revocation is a significant challenge. Thus, we discuss two security notions to prove the security of VLR schemes without the member registration and to prove the security of VLR schemes with the member registration. As a result, we present an almost fully secure fully dynamic group signature scheme from lattices.

Boneh and Freeman proposed a homomorphic signature scheme based on lattice. After that, many homomorphic signature schemes have been proposed, but most of them are available for single user. Some applications need a homomorphic signature scheme between multi-users. Such signature scheme should be both homomorphic and aggregative, and it is called the homomorphic aggregate signature (HAS). As far as the authors' knowledge, there are only two HAS in the literature and both are linearly homomorphic. One was proposed by Jing, and the other was proposed by Zhang and Wang. In this paper, we propose HAS for polynomial funcitons. Our scheme is obtained by applying Boneh-Freeman's method on Jing's HAS.

グループ署名では署名者が匿名であるがゆえに, 署名者の署名鍵がすでに失効されたかどうかを検証することは自明ではない. 一方で, メンバの離脱や署名鍵の紛失等を鑑みると, 現実のシステムにおいては署名鍵の失効は必須の機能であるといえる. そのため, どのようにして効率的に署名鍵の失効を行うかに関する研究は非常に盛んに行われてきた. 特にスケーラビリティ, すなわち署名サイズ, 署名生成/検証コストがユーザ数に非依存, かつそれ以外の計算量や鍵サイズが高々ユーザ数のlogサイズであること, が重要視されている. 本論文では, 大原らのスケーラブルな削除可能グループ署名 (SCIS 2014) をベースにLibert, Mouhartem, Peters, Yungによって提案されたQuasi-Adaptive非対話ゼロ知識に基づく標準的な仮定で安全な署名方式 (AsiaCCS 2016) を採用することで, 標準的な仮定で安全かつスケーラブルな削除可能グループ署名を提案する. また江村, 石田, 林 (IEEE Trans. Dependable and Secure Computing 2017) における455ビット素体上で定義されたBarreto-Lynn-Scott (BLS) 曲線のベンチマークを参考に, 署名生成に25 msec, 署名検証に 40 msec程度の時間で動作すると評価した.

個人情報を扱うシステムを適正に構築運用するためには，事前のプライバシー影響評価（PIA）が有効である．PIAを有効に実施するにはマニュアル（手順書）が必要である．2017年6月にPIAに関する国際標準規格ISO/IEC 29134:2017が発行された．過去に開発したPIAマニュアルはISO 22307:2008をベースとしているため，ISO/IEC29134適合のPIAマニュアルの開発が必要となった．本発表は，既開発のマニュアルとISO/IEC 29134との要求事項の比較を行い，変更点を分析した．その結果，要求事項には大きな差異は見られなかった．新たに明記された事項として，ISO/IEC 29134では，Due diligence（デューデリジェンス），ステークホルダーエンゲージメント，リスク対策について明示的に示された．分析結果を踏まえ，ISO/IEC 29134の要求事項を反映したPIAマニュアルを開発した．

　近年，パーソナルデータを活用するサービスが増加している．一方でプライバシー侵害の懸念が生じているため，プライバシーポリシーを作成し，利用者の同意を得ているが，有効性について懐疑的な意見も出ている． 　懸念緩和のため，プライバシーラベルの研究が進められており，Pontesらは，プライバシーポリシーをプライバシーラベルに半自動的に変換する手法を提案した．しかしこの手法は，専門家が決めたキーワードによりパターン照合を行うため，未知のキーワードを含むプライバシーポリシーには未対応となる．対応策として単語を特徴とした教師あり機械学習アルゴリズムを適用することにした． 　本研究では，ラベル変換の前段階として文単位の教師ありカテゴリ分別手法を提案する．予備実験として，サービス利用者にとって特に重要と考えられる情報が含まれる文を5つにカテゴライズし，教師あり機械学習で分類実験を行った．プライバシーポリシーには、分類対象外となる地の文が多く含まれるため、ラベル付与への次のステップとして、地の文も含んだ中から，特定のカテゴリに該当する文を抽出することを目標とした．機械学習の手法を複数適用し，分類結果を比較した．

個人情報を活用したサービスが拡大する中、プライバシーへの配慮を怠ったことによるプライバシー侵害事例が増加しており、潜在的なプライバシーリスクを明確化する必要性が高まっている。そのための手法の一つとして、プライバシーリスクとそれによる影響を評価する手法であるPIA (Privacy Impact Assessment)が知られている。PIAはISO/IEC 29134等で規格化されているが、具体的な実施手順や評価指標は規定されていない。瀬戸らはこれら具体的な実施手順や評価指標を提案したが、評価指標が高い専門性を要求するものであったため、熟練者以外が評価を実施した場合にリスクの評価漏れが発生する可能性があった。本稿では、熟練者以外でも比較的容易にリスク評価ができる新たな評価指標を提案する。また、瀬戸らの評価指標と提案指標を比較し、提案指標の有効性を検討する。

本論文ではIoT機器の位置情報の履歴から活用可能な移動履歴データを生成することを目的に，近年のICT技術の発展に応じて，スマートフォンのアプリケーションやIoTデバイスの移動履歴を利用して個人が特定されにくい個人情報保護法への対応を行った移動履歴データの生成交通統計データを生成することを検討することが必要であることを示した． そのうえで従来の履歴ごとにエリアを拡大しながら匿名化を行う方法ではなく，四分木を利用してグリッドごとの人口分布のデータを利用してアプリケーションで利用し易い匿名化手法を対象に匿名加工方式のアプリ側での検討要素をあげ，実際の評価の観点について，それぞれのアプリケーション側での利用方法に触れながら必要な議論を行う

ビッグデータの活用において，分野を横断してパーソナルデータを紐付けることによるデータの価値向上が期待されている．このような紐付けデータの流通を実現する場として，例えば個人の意向に基づいてパーソナルデータの流通を仲介する情報銀行がある．情報銀行を用いることで，個人はパーソナルデータの提供を自身でコントロールでき，データを受領するデータ受領者は様々なパーソナルデータを横断的に紐付けて利用できる．ただし，データ集約に不安を覚える個人には向かないという課題がある．一方，パーソナルデータの紐付けには本人特定の課題がある． そこで本稿では， データを集約せずに，紐付け可能なパーソナルデータ流通を実現するための本人特定を抑制する仮ID発行方式を提案する． 提案方式は，既にデータを管理しているデータ提供者が流通を代行するモデルに基づく． 紐付け用仮IDは，仲介者とデータ提供者による二段階の仮名化処理によって生成され，不正な紐付けを防止できる． 提案方式によって，個人は仲介者にデータを集約せずかつ仮名でパーソナルデータを販売でき， データ受領者は紐付けデータを購入できるような，パーソナルデータ流通市場を実現できる．

スタック保護やメモリランダマイゼーションなどアプリケーションの作成にはコンパイラでセキュリティオプションを有効にして作成されることが想定されていた．しかしながら，セキュリティオプションが有効でないものが多数あることが我々の調査で分かった．本論文では，4つのセキュリティオプション（GCCのSSP，RELRO，PIE，Automatic Fortification）の有効性を3つのLinuxディストリビューション（CentOS, Ubuntu, OpenSuse）の32/64ビット版4世代、総数30,000以上のバイナリに対して調査し，その結果，過去にビルドされたバイナリを利用し続けているディストリビューションが存在すること，セキュリティオプションの利用度に違いがあったことを示す．

近年，Passive Keyless Entry and Start (PKES)システムにおけるプロトコルに対して，様々な攻撃が提案されている．実際、2012年のESCAR会議において、汎用的な標準技術であるAESを適用したPKES向けプロトコルに対し、攻撃シナリオが報告され、対策の概略が提示された．しかし，我々の知る限り，軽量暗号技術のPKESへの適用についてはオープンに議論されていない．本論文では，PKESのセキュリティ確保に向け、実装リソースの制限が厳しい車載ECUを想定し，ARM Cortex-M3上で軽量暗号技術の実装評価を行う．結果として、AESを利用した方式と比較して，軽量ストリーム暗号Grain-128aはRAM消費量を50%以上削減可能であり、軽量tweakableブロック暗号SKINNY-128-128は処理時間が約40%削減可能であり、軽量MACのChaskey-12を利用する場合は，処理性能が10倍程度向上可能であることを確認した．

近年IoTが普及しつつあり、そのセキュリティも重要視されている。シンボリック実行は，解析対象への入力をシンボル化する実行方式で、パスの網羅的な実行に長けているため、脆弱性探索において有用である。オープンソースのシンボリック実行エンジンangrは，様々な脆弱性解析で利用されているが，規模の大きな実行バイナリの一部を解析する際に，現時点では解析者自身が，プロセス実行時のメモリ値を初期情報として与える必要がある。加えて，解析終了後に，解析者が，解析範囲を理解したり，検出したバグを再現するための仕組みがないという課題があった。 本研究では，シンボリック実行の有用性を活かし，かつセキュリティ解析の専門家ではない技術者でも容易に使用可能なツールの開発を目的として，angrに対して，解析の準備処理・探索状況の可視化と，解析結果の検証処理を自動化する機能を追加したシンボリック実行環境を提案する。IoTデバイスを支えるネットワークスタックであるlwIPを題材に、提案環境を用いてバグ探索を実施した結果，人手による既知のバグを，短時間で検出し，バグを含むコードを容易に検証できることを確認した。

近年，個人情報保護に関する法規制対応向けの製品・サービスに暗号化ストレージが利用されつつある．一方、法規制対応向けに監査責任者が個人情報を含む文書を特定する際に、組織内文書を網羅的に検索可能なよう全文検索インデックスは平文であるため，全文検索サーバの管理者が閲覧可能となる．全文検索インデックスが平文の場合，サーバの管理者が暗号化ストレージ内の文書を推測可能である．本稿では、検索可能暗号を用いて、クラウド側で暗号化したまま全文検索を実行するシステムの性能評価を行った。パブリッククラウドに暗号化ファイル及び秘匿全文検索インデックスを配置した際の、ファイル登録、検索、削除の応答時間を測定し、実用的な性能を得るための暗号化ファイル及び検索インデックスの配置を考察した結果を報告する．

全ての機器がITとネットワークで連携するIoT時代が到来している。これまでサイバー攻撃とは無縁だった機器についても、ネットワーク経由でのサイバー攻撃の脅威が増大することが懸念されている。セキュリティ監視の現場においては、専門的な知識を必要とするスタッフは常に不足しているのが現状である。そのため、IoT機器やIoTシステムへのサイバー攻撃を効率よく監視できる技術が必要である。本研究では、実際のIoTシステムのログを簡易的に分析し、効率的な監視を行う技術を実現するという観点で分析結果を考察する。

SNS (Social Networking Service)が急速に普及し，個人が自由に情報発信できる環境が提供されることにより，冗談や悪ふざけ，若しくはページビュー獲得など金銭的な目的を持って虚偽の記事(フェイクニュース)を投稿するユーザが，後を絶たず社会問題になっている．フェイクニュースには，人の不安を煽り，社会をパニックに陥れようとする記事や，一般大衆を誘導し，世論を操作する宣伝工作のための記事も存在する． 本論文では，急速に普及しつつあるIoT (Internet of Things)技術を活用し，人の不安を煽り，社会をパニックに陥れようとするフェイクニュースの真偽を，自動で判定するシステムを提案する．提案するシステムは，投稿された記事から，発生事象と発生場所の情報を抽出し，IoT技術によって接続された監視カメラやセンサなどの機器からの情報を基に，当該場所で当該事象が発生しているかを，確認する．本提案システムにより，投稿された記事の虚偽を判定し，社会のパニックを防ぐことができる．

様々なモノがネットワークに接続するInternet of Things(IoT)におけるサービスの安全性を高める上では，モノ同士の通信経路を暗号化することが有効である．センサなどにマイクロコントローラを搭載し通信を行うような計算資源の限られた環境では，計算資源豊富な環境向けの暗号ライブラリを用いることが難しいため，軽量で高速な暗号ライブラリが必要とされている．一方，公開鍵暗号方式として現在主流のRSA暗号や楕円曲線暗号は，量子計算機により安全性の根拠となる数学的問題が解かれてしまうとされている．これに対し,量子計算機を用いても暗号の解読ができないと期待されているRing-LWE暗号が注目されている．しかし計算資源の乏しい環境でRing-LWE暗号を利用するには鍵生成や暗号化の計算コストを減らす軽量化が必要となる．そこで，本論文ではセンサノードなどで用いられるARM Cortex-M0+マイクロコントローラを対象にRing-LWE暗号の軽量・高速な実装を行い，実行サイクル数やメモリ使用量等の性能を評価する．

本稿では、IoT機器の中でも比較的リソースが限られた組み込み機器において、相互認証機能付き鍵交換方式FSUを既存のTLSプロトコルに適用し、その性能評価を行う。多種多様な組み込み機器とシステムが連携していく中、認証の重要性はこれまで以上に高まっており、今後ARM Cortex-Mシリーズ上で、様々な認証プロトコルの実装が予想される。そこで、ARM Cortex-M上での楕円スカラー倍算やペアリング演算および、mbedTLSライブラリを用いたFSUプロトコルの実装評価結果を報告する。

近年IoT機器は多様化しており、IoT機器が取得するデータの中には個人に紐付くデータ等悪意ある第三者への漏洩を防ぎたいデータも多い。そこでIoT機器にデータの柔軟なアクセス制御が可能な関数型暗号を適用する方式を検討してきた。IoT機器の性能も様々であり、Cortex-M系のようなリソースの限られたデバイスも多く存在するが、Cortex-M系上での関数型暗号の実装評価は行われておらず、これらのデバイスでの関数型暗号のフィージビリティを検討する必要がある。本稿では、Cortex-M系デバイス上で関数型暗号を実装し、性能測定結果を示す。さらにアセンブラ実装、マルチスカラ倍の事前計算による高速化の有効性を評価する。

近年、仮想通貨で注目されているブロックチェーンの運用形態はパブリック型、コンソーシアム型、プライベート型に大きく分類される。コンソーシアム型はブロックチェーン・ネットワークへの参加者を特定の組織に閉じた範囲に限定するタイプであり、その性質を利用して組織間の情報共有手段として注目されている。ブロックチェーンのリスクについてはパブリック型では脆弱性などのセキュリティリスク分析が行われているものの、コンソーシアム型としてのリスク分析は十分に行われていないのが現状である。そこで今回、パブリック型のブロックチェーンの攻撃事例を元に攻撃の狙いを整理し脅威のポイントを得た上でコンソーシアム型のブロックチェーンでリスク分析を行い、アプリケーション構築で注意すべきポイントをまとめる。

分散台帳技術「ブロックチェーン」は、高可用性や、改ざん不能といった信頼性を担保する特長を持っており、金融分野ではこの技術を使って多数の仮想通貨が発行され、金融以外の分野でも多数のブロックチェーンが構築されようとしている。ブロックチェーンの一部にはコンピューター・プログラムが契約の自動履行をする、スマートコントラクトという概念があり、その有用性が注目されているが、従来は１つのブロックチェーン内の決済承認を安全に行うことが主目的であった。昨今のブロックチェーンを取り巻く状況を鑑みると、今後は様々な情報や資産の取引を連携しながら動作させるような、異なるブロックチェーンの連携機能へのニーズが高まることが予想される。ブロックチェーンの連携では、チェーンの境界で連携動作を仲介するアプリケーションが必要となるが、その処理の透明性確保が課題となる。本稿では、これまでのスマートコントラクトの概念を拡張し、複数のチェーンにある情報資産を扱う「自動実行可能な電子的契約」を安全に履行するために必要な透明性を確保した連携システムのアーキテクチャと実装した動作検証システムについて述べる。

本稿では、電力を自由にデジタル制御できるデジタルグリッド技術とブロックチェーン技術を用い、消費者個々間で電力を融通取引するプラットフォームを提案する。本プラットフォームでは、個々人は自身の電力消費量や発電量に基づき、電力の過不足を推定し、ブロックチェーン上の電力マーケットで電力取引を行い、その合意結果に基づき電力融通を実施する。

近年、コンサートなどのチケットを販売価格の何倍もの値段で転売して利益を得る不正転売問題が浮上し、適正な価格での転売を行いたいというニーズが実現しにくくなっている。本稿では、ブロックチェーンを活用し、既存の正規転売を行うチケット管理システムの課題解消方式を提案する。具体的には、転売元用チケットを転売後に無効化する機能と、チケット販売・転売に関わる複数社間でのデータ管理機能を兼ね備えたチケット管理システムを実現する。本システムは、コンソーシアム型ブロックチェーンのHyperledger Fabricと電子署名技術の組み合わせで実現する手法の提案するを行う。

分散型台帳の技術であるブロックチェーンテクノロジーが注目を集めている．本稿では，ハッシュ関数，デジタル署名，匿名化技術といった，ブロックチェーンに用いられている各種の暗号論的要素技術に対し，各々を更に分類する試みについて報告する．

現在，放送と通信とを融合させた放送通信連携サービスにより，様々な機器がテレビと繋がり，新しいサービスを提供することが可能になっている． この放送通信連携サービスの１つとして，ユーザの視聴した放送番組の視聴履歴に基づいて，ユーザの嗜好に合わせたお勧め番組等をレコメンドとして提供するレコメンドサービスがある． このようなサービスを実用化するための重要な課題の一つが，視聴履歴等の個人情報の保護である． データを暗号化したままでキーワードによる検索を可能とする属性ベース検索可能暗号（ABKS：Attribute-Based Keyword Search）を用いると，サービス事業者側で鍵を使い分ける必要がなく，視聴者のプライバシーを保護したままでデータを利用することができる． 本研究では，ABKSや検索結果を検証可能な属性ベース検索可能暗号（VABKS:Verifiable ABKS）を応用することにより，個人情報である視聴履歴および位置情報を保護し，放送番組の視聴履歴に関連した情報だけではなく，通信機器としてスマートフォン等を所有して移動可能な環境でユーザの位置に応じた放送通信連携サービスを享受することが可能なシステムを提案する．

近年，クラウドサーバー等の存在により，手元のデータを外部に保存しておく機会が多くなってきている．重要な情報は安全性を考慮して暗号化して保存する必要があるが，これにより検索を行うのが困難になるため，適切な暗号方式を考えなければならない．既存方式として，検索用インデクスと検索クエリをそれぞれベクトルで表現してその内積を関連スコアとみなし，暗号化しても内積結果が保存される暗号方式を利用した検索可能暗号がある．この内積を保存する暗号方式には，平文を復元する攻撃手法が存在し，安全性に問題があると指摘されているが，検索可能暗号に利用される際には検索クエリの暗号化で乱数が用いられており，この攻撃手法を直接は利用できない．本研究では，既存の攻撃手法とは異なり，検索クエリの暗号文を用いずに秘密鍵を完全に復元できる攻撃手法を提案する．

検索可能暗号(Public key encryption with keyword search, PEKS) とは，暗号化されたキーワードをトラップドアを用いて検索可能な方式である．検索者が検索を行う際に検索サーバにトラップドアを送付するが，この通信路は安全であると仮定される．そこでトラップドアを送る際に安全な通信路を必要としないセキュアチャネルフリーPEKS (Secure-channel Free PEKS, SCF-PEKS) が提案されている．江村はNSS2017 にて，複数キーワードをサポートするSCF-PEKS 方式(SCF-PEKS with multiple keywords, SCF-MPEKS) のHidden Vector Encryption (HVE)，タグベース暗号(Tag-based encryption, TBE)，ワンタイム署名(One-time signature, OTS) からの一般的構成を与えた．本稿では，ParkらがInformation Science 2013において提案したHVE方式，KiltzがTCC 2005において提案したTBE方式，WeeがPKC 2010において提案したOTS方式を用いた場合のSCF-MPEKS方式を実装 し，その効率評価を与える．実装はPBCライブラリにて行い，8個程度のキーワード数で暗号化に700ミリ秒以下，検索に200ミリ秒以下程度の時間で動作することを確認した． またBonehとWatersによりTCC 2007で提案されたHVEを用いた範囲検索を改良し，提案範囲検索をSCF-MPEKS 方式に適用，その実装効率も評価した．

近年，データのアクセス制御（ある条件をみたす受信者のみデータを復号可能）と秘匿検索（データを暗号化したままキーワード検索可能）を同時に実現する属性ベース検索可能暗号が提案されており，クラウド上に保存されたパーソナルデータを複数のデータ利用者が安全かつ効率的に利活用できる．Zhengらは，クラウドサーバが実行したキーワード検索の結果が正しいことをデータ利用者が検証可能な属性ベース検索可能暗号(Verifiable Attribute-Based Keyword Search: VABKS)を提案した．しかし，データ所有者が実行するインデックス生成アルゴリズムの処理負荷が大きいため，CPU 性能の低い端末上で実行することが困難である．そこで，筆者らはクラウドサーバに暗号化処理の一部を委託可能なVABKSを提案した．本稿では，提案方式およびZhengらの方式をユーザ端末に実装し，性能評価を行った結果について報告する．

検索可能暗号は, 暗号化されたデータから特定のキーワードを含むデータのみを検索することができる手法である. 検索可能暗号には共通鍵型と公開鍵型の方式が存在する. 公開鍵型の検索可能暗号はID ベース暗号から一般的に構成可能であることが証明されている. このように暗号要素技術間の関係性を厳密に証明することは今後の方式設計の指針を与えるという点で重要である. 一方, より複雑な検索条件を利用可能な公開鍵型検索可能暗号について, 鍵ポリシー型属性ベース暗号からより複雑な検索条件を利用できる公開鍵型検索可能暗号を一般的に構成可能であることは証明されているが, 逆に, そのようなより複雑な検索条件を利用できる公開鍵型検索可能暗号から鍵ポリシー型属性ベース暗号が構成可能であるかについては知られていない. 本論文では, 論理積及び論理和を用いて検索条件を指定できる公開鍵型検索可能暗号から, 適応的安全な匿名鍵ポリシー型属性ベース暗号が一般的に構成可能であることを厳密に証明する.

検索暗号は暗号化したままキーワードの検索が可能な高機能暗号技術であり，これまでに盛んに研究されてきた．本稿では，松崎らによって整理された鍵更新機能付きの検索可能暗号が，公開鍵が更新されるモデルにおいて，既存の検索可能暗号と公開鍵暗号から一般的に構成できることを示す．また，その実装性能は，ベースとする検索可能暗号とほぼ同じである．実装性能見積もりの参考として，Boneh とFranklin により提案された検索可能暗号の実装結果を示す．

標的型攻撃で使用されるマルウエアは、C2サーバと呼ばれる攻撃者のサーバと通信を行い、命令を受信して感染を拡大したり、機密情報を持ち出したりする。 その際、組織内のプロキシサーバのログにC2サーバとの通信履歴が残る場合があり、それらを早期に検知することで、被害を最小化することができる。 セキュリティ機関がC2サーバのドメイン名やIPアドレスなどをインディケータ(攻撃を検知するための情報)として展開しているが、 記述方式が統一されていないため、組織間での齟齬が発生したり、検知の自動化が難しいという問題があった。 そのような背景を受け、2013年にSTIXと呼ばれる脅威情報の記述を標準化するための仕様が策定された。 さらに、2017年に公開されたSTIX2.0では、記述形式がアプリケーション等で汎用的に使われているJSONと呼ばれる形式に変更され、システム間連携が容易になったことから、情報連携の促進が期待される。 本研究では、STIX 2.0形式のインディケータとプロキシサーバのログを分析エンジンであるElasticsearchに集約し、C2サーバとの通信を効率的に検知する手法を提案する。

標的型攻撃によるC2通信やサプライチェーン攻撃により埋め込まれたバックドアのある機器の特定などのため、通信ログなどから不審な挙動を抽出するセキュリティログ分析が求められている。 ある程度の期間に収集した監視ログをまとめて統計的な分析をバッチ処理で行う手法は、重篤な攻撃や不審挙動が起こってから処理までのラグにより対応が遅れてしまう懸念があった。 そこで、レコードの発生ごとにオンライン処理で分析を行う手法が検討されている。 しかしながら、オンライン処理による分析は少ないデータで判断を行うことによる精度の低下や、検知タイミングの増加による正確度や処理性能の低下のおそれがある。 本研究では、正確度と即時性を両立するセキュリティ分析の手法を確立するため、閾値と統計量とを比較する処理の改良を提案する。 疑似データと実データによる実験を通して、正確度と即時性を両立できたこと、精度と処理性能も実用に耐える水準にあることを示す。 本手法により誤検知が少ない分析結果をタイムリーに提供することで、攻撃や不審挙動が起こってから短時間のうちに適切な対処を行うセキュリティ監視運用が可能になる。

標的型攻撃では，攻撃者は標的を十分に事前調査して執拗に攻撃を仕掛けるため，組織内でのマルウェアの感染を完全に防ぐことは難しい．万が一マルウェアに感染してしまい，攻撃者に組織内ネットワークに侵入された場合には，可能な限り早い段階でその攻撃活動を検出し，攻撃が広がる前に適切な対処を実施して被害を最小限に抑えたい．そのためには，まず迅速に被害の範囲を特定し，マルウェアの活動を封じ込めて諜報活動を根絶するという対処が重要である．被害範囲の特定においては，攻撃者がネットワーク機器や端末に残した痕跡を解析するデジタルフォレンジックと呼ばれる方法が採られている．これを実施するためにはセキュリティに関する高度な知識を保有する人材が不可欠であり，攻撃痕跡の解析に長い時間を要するという課題がある．そこで本稿では攻撃者が行ったリモート操作と悪用されたアカウントに着目して攻撃証跡を収集し，収集した証跡から攻撃の進行状況を分析して被害範囲を特定するネットワークフォレンジック手法を提案する．あわせてMWS Datasets 2017とサイバー攻撃誘引基盤 STARDUSTの攻撃分析に提案手法を適用した結果について述べる．

高度標的型攻撃（APT：Advanced Persistent Threat）の対策として，我々はAPTで発生する攻撃活動の組み合わせに着目したサイバー攻撃の検知手法を提案している．本手法はAPTで発生する攻撃活動を複数の攻撃段階（フェーズ）に分類し，フェーズに沿って発生する一連の攻撃活動を攻撃シナリオと呼んでいる．これを用いて同じ端末で攻撃シナリオに従った攻撃が発生したことを検知する．しかし，本手法で攻撃活動を組み合わせた場合，サイバー攻撃と判定する基準の設定が課題である．本稿では，先の検知手法を拡張し，検知イベントの発生頻度に着目したサイバー攻撃判定方式を検討した．本方式は，誤検知によって発生するイベントをランダムで独立な事象と仮定し，攻撃シナリオのフェーズに沿ってイベントが検知される組み合わせの平均発生回数が一定以下となる場合に，サイバー攻撃と判定する．本方式によりサイバー攻撃の判定基準を情報システム内で観測可能な情報で設定可能となる．本稿では考察として，イベントや攻撃シナリオの発生頻度の低さとサイバー攻撃の確度との関係について示す．

組織内ネットワークへの不正侵入などのサイバー攻撃犯罪が社会問題となっている． WAFの様なセキュリティ機器や、SIEM製品等のイベントログ管理システムを用いた対策が行われているが，これらの機器からの大規模なデータを分析するオペレータへの負担が非常に大きく、通信データそのものの管理コストも大きい。さらに、悪性通信の解析に寄る教師ラベルの付与は非常に困難である。本研究では管理コストが低いHTTPプロキシログを用いた教師なし機械学習による攻撃検知手法を提案する． プロキシログに対してクラスタリングを行うことで得られるホスト毎のクラスタシーケンスを用いてログにスコアを付け，攻撃検知と攻撃分類の可能性について評価を行う

企業が収集したパーソナルデータの活用が進む中，プライバシ保護の観点から匿名加工技術の重要性が増している．匿名加工においては加工後のデータを個人情報に関連付ける再識別攻撃に対する強度が必要であるが，指標はまだ十分に確立されていない．そこで本論文では多変量データ集合内の要素の分布に着目し，それらの集合間の類似度指標を提案する．そして，その有効性を検証する．なお，この提案手法の2変量のものが匿名加工・再識別コンテスト2017（PWSCUP2017）の再識別フェイズに適用した手法である．

接続経路を匿名化するプロトコルとしてTorが利用されている．Torは違法な取引 を目的としたWebサイトへのアクセスの際に利用されることがある．そのため， Torを利用してもアクセス先を特定できる技術が必要とされる．本研究はWebsite Fingerprinting Attackの新しい技術を確立して，Tor利用者がどのようなWebサ イトへアクセスしたかを識別することを目的とする．Website Fingerprinting Attackは，匿名通信の中でも暗号化されていないパケット長やパケット数，パケ ットの流れる方向の情報に基づいて，Torの利用者がアクセスしているWebサイト を識別する．本研究では，Deep Learningの技術である畳み込みニューラルネッ トワークを用いて特徴量を自動的に抽出して，特徴量を手動で抽出することなく Website Fingerprinting Attackを行う手法を提案する．また提案手法を評価し た結果を述べる．

本稿では，プライバシーポリシーにおいて，収集，利用，第三者提供が示唆されているユーザの情報を抽出する方法について，検討したので報告する．プライバシーポリシーを提示し，ユーザの同意を取得する仕組みは広く普及しているが，プライバシーポリシーは専門用語が多く，文章が長いため，読まずに同意していることが多いことから，同意取得は形骸化していると考えられる．そこで，本研究では，プライバシーポリシーを使った同意形成が円滑に進むことを目的として，機械学習による解析のための教師データ作成，系列ラベリング，表示方法に関する調査を行ったので，その報告を行う．

本研究は，自然言語処理と機械学習を用いて，プライバシポリシの要約を行うことにより，より実効性の高いプライバシポリシの実現を目指す．本研究では，我が国特有の状況を考慮し，評価する項目を検討する．評価データとして，スマホアプリを提供する事業者やWebサービスを提供する事業者のプライバシポリシを収集し，データ項目と利用目的についての完全性及びプライバシリスクに関する評価項目に従って，ラベル付けを行う．さらに，ラベル付けした評価データを用いて，教師付き学習によるラベルの自動推定手法の評価を行う．

本研究ではプライバシー保護の要求をポリシーを用いて形式的に指定する従来方法を拡張し，より強力なプライバシー保護要求を指定可能な形式的な方法を提案する．

昨今，インターネットショッピングサービスの需要は国内外を問わず非常に高くなっているが，ほとんどのサービスにおいて，利用者はサービス提供者に対して多くの個人情報を開示することを求められる．こうした現状は，サービス提供者が情報収集と分析を行うことでサービスの活性化や質の向上に繋げられる反面，サービス提供者による情報の不正利用や漏洩，フィッシングサイト等による攻撃など様々なリスクを利用者に背負わせる．これに対し，第三者機関を用いて安全にインターネットショッピング等を試みる方法が提案されているが，能動的な不正を行うサービス提供者に対して匿名性・安全性が不十分だった．本研究では，能動的な不正を行うサービス提供者に対して高い匿名性と安全性を持ち，かつ個人情報を交えたサービス履歴の安全な分析も可能なショッピングシステムを提案する．

近年，IoTデバイス向けの公開鍵認証方式としてペアリング暗号を用いたIDベース認証が研究されている． IDベース認証を実装するためのペアリングライブラリとしてPBCライブラリが一般に広く普及しているが， PBCライブラリの最終更新は2013年であり最新のパラメータに対応していない． 本研究ではELiPSと呼ぶ最新のパラメータに対応させた楕円ペアリングライブラリを開発しており， PBCライブラリとELiPSライブラリを用いてRaspberry Piに対してIDベース認証を実装し，2つのライブラリの計算時間の比較を行ったのでその結果について報告する．

次世代の公開鍵暗号方式として任意のIDを公開鍵として利用できるIDベース暗号があり，実際のサービスへの利用が進んでいる．このIDベース暗号の多くは楕円曲線上のペアリングを用いて実装されており，安全性はそのペアリングについての離散対数問題の困難性が仮定となる．CRYPTO2016においてKim等は任意のペアリングについての離散対数問題に対する解析手法の改良を提案し，ペアリングの安全性レベルが下がった．この解析手法に耐えうるものとして，SCIS2017において清村等は256ビット安全なペアリングのパラメタとしてBLS48のパラメタを提案した．本稿では，IDベース署名のOSSであるlibsnarkを元にBLS48のパラメタを用いてOptimal Ate Pairing (OAP)を実装し，さらにlibsnark内のペアリングパラメタBN128とのOAPと比較評価した．

近年，IDベース暗号などの高機能暗号を実現する方式として，ペアリング暗号が注目されている．これには複雑な計算処理を要するため，効率化・計算コスト低減に関する研究がなされている．本稿では，BN(Barreto-Naehrig)曲線において効率的にペアリングを行うために，12次拡大体を逐次拡大法で構成し，特に6次拡大体の演算部分に着目する．これにCVMA(Cyclic Vector Multiplication Algorithm)を用いる場合と，Karatsuba法を用いる場合について，ペアリング処理の計算コストの比較を行うと，MillerのアルゴリズムについてはKaratsuba法，最終べきとG3におけるべき乗算についてはCVMAを用いた方が，効率的に処理を行うことができると分かった．そこで本稿では，総合的に効率的なペアリングを実現するために，CVMAとKaratsuba法による実装の間に基底変換を用い，各関数についてより計算コストの低い演算方式を採用する実装法を示す．

セキュリティ設計とは、システムのライフサイクルを俯瞰し、最上流工程でセキュリティを意識した作り込みである。セキュリティ設計は、ライフサイクル全体でのセキュリティ対策のコストを低減する効果がある。その一方で、システムの仕様が詳細化されてから顕在化するセキュリティリスクを予見するのは容易ではない。著者らは、システム導入前のセキュリティの作り込みにおいて、セキュリティリスクの抽出漏れを最少化することを目的に、セキュリティ設計、及び、完成したシステムを対象としたセキュリティテストに着目し、これらのリスク分析項目/試験項目を比較した。これにより、セキュリティ設計単独、及び、セキュリティテスト単独では抽出困難なリスク分析観点を明らかにした。本稿では、この知見を基に、セキュリティ設計及びセキュリティテストの両方が、システム導入までの全工程におけるリスクの分析漏れの最少化に寄与することを、IoTシステムを例に挙げて報告する。

IoTの急速な普及にともなって，IoT製品の脆弱性に起因する攻撃が顕在化しており，これに対するセキュリティ対策が重要な課題となっている. IoTにおいてはMQTTプロトコルが広く利用されていることから，MQTTを対象とした脆弱性対策が必要であると考え，MQTTファジングツールの開発を行った. 開発したツールの評価として，IoT製品にツールを適用したところ，開発したツールの有効性を確認することができた.

インターネットに接続することで遠隔からの閲覧や操作を可能にしたカメラは，総称してIPカメラと呼ばれている．そしてそれらの中には，脆弱性や認証の問題を抱えたままインターネット上に公開されており，第３者による覗き見が可能な機器が多く存在することが問題となっている．本研究では，URLとID/パスワードを映したカメラと家庭環境を模擬した部屋を映したカメラを用いたハニーポットを構築することで覗き見の観測を行う．結果，映像を目視している者や認証を突破してカメラの設定変更を行う攻撃者などが存在することを明らかにした.

近年，IoTデバイスの普及とともに，一般家庭にもスマート家電等のインターネットに繋がっている製品が増加している．しかし，IoTデバイスの脆弱性を突く攻撃の脅威が現在の問題となっている．本研究では，テストベッドにおける疑似攻撃やハニーポットで収集された実マルウェアの解析結果に基づき、 ホームネットワークにおける評価項目を検討し、セキュリティ評価のフレームワークを検討する。

サイバー攻撃により多くのIoT機器がマルウェアに感染している．IoT機器は多様性が高く機器毎に環境が異なることから，環境の差異によりマルウェアの挙動に差が表れる可能性がある．本研究では，様々な実行環境を用いてマルウェア検体の挙動を比較する．ARM，MIPSELのCPUアーキテクチャをそれぞれ有する仮想マシンと計７種類の実機による実行環境を用意し，1638個のIoTマルウェア検体を実行した結果，全体の39%にあたる641検体について実行環境により解析結果が明らかに異なっており，実行環境依存性が確認できた．また，このような実行環境依存性は特定のマルウェアファミリではなく，様々なファミリに見られることから動的解析を行う際に留意する必要がある．

　Google Home やAmazon Echoなど，音声認識機能を備えたスマートスピーカーの流行により，音声入力によるデバイスの制御がより身近なものとなっている．その一方で，セキュリティの国際会議では，声による個人認証を突破する攻撃や，人の耳では聞こえない超音波によるスマートスピーカーやスマートフォンへの攻撃の可能性が示唆され，話題となっている． 　本論文では，パラメトリックスピーカーによって，利用者に聞こえないように遠隔で音声入力を行おうとする攻撃の可能性を指摘する．パラメトリックスピーカーとは，スピーカーの向いている方向にのみ音声を再生する指向性の鋭いスピーカーであり，この性質によって，利用者に気づかれないようにデバイスを操作できてしまう可能性がある． 　今回の検証実験で，過去に示されていた超音波による攻撃よりも離れた位置からの攻撃ができることを示し，その成功確率を示した．また，指向性の鋭さから，雑音に対する耐性が強く，比較的雑音の大きい環境でも音声が認識されてしまうことを示した．最後に，攻撃の有効性を示すために簡易的な実験を行い，利用者が正面方向にいなければ秘密裏に攻撃が成立してしまうことを示した．

The research on secure poker protocols without trusted intermediaries has a long history that dates back to modern cryptography's infancy. Two main challenges towards bringing it into real-life are enforcing the distribution of the rewards, and penalizing misbehaving/aborting parties. Using recent advances on cryptocurrencies and blockchain technologies, Andrychowiczet al. (IEEE S&P 2014 and FC 2014 BITCOIN Workshop) were able to address those problems. Improving on these results, Kumaresan et al. (CCS 2015) and Bentov et al. (ASIACRYPT 2017) proposed specific purpose poker protocols that made significant progress towards meeting the real-world deployment requirements. However, their protocols still lack either efficiency or a formal security proof in a strong model. Specifically, the work of Kumaresan et al. relies on Bitcoin and simple contracts, but is not very efficient as it needs numerous interactions with the cryptocurrency network as well as a lot of collateral. Bentov et al. achieve further improvements by using stateful contracts and off-chain execution: they show a solution based on general multiparty computation that has a security proof in a strong model, but is also not very efficient. The previous works left several gaps in terms of formalization and proof of security. In that matter, we present two improved protocols called KALEIDOSCOPE specifically designed for poker game, and ROYALE the protocol for card games in general. Both of our protocols closes this formalization and security undesirable gap from the previous work as it concurrently: (1) enforces the rewards' distribution; (2) enforces penalties on misbehaving parties; (3) has efficiency comparable to the tailor-made protocols; (4) has a security proof in a simulation-based model of security. Combining techniques from the above works, from tailor-made poker protocols and from efficient zero-knowledge proofs for shuffles, and performing optimizations, we obtain a solution that satisfies all four desired criteria and does not incur a big burden on the blockchain.

暗号通貨の仕組みにおいて、ユーザが作成する秘密鍵がDigital Identity、価値操作の基礎である。市場での暗号通貨流通においては特に秘密鍵運用においてインシデントが続いている。インシデントの要因は、暗号通貨の仕組み上に秘密鍵保護の機能が入っていないという、構造が災いしている。暗号通貨の仕組みが強固であるので、秘密鍵以外の情報は非安全な媒体でも使うことができるが、その認識で秘密鍵を扱うことはできない。暗号通貨について、盗難、紛失リスク、その対策が未だ成熟していないのは、こうした構造的な認識ギャップも一因であると考えられる。このような構造的問題を内包する価値操作系を総合的に機能するように構成するには、Management,　Ethics,　Law,　Technologyがからむ自由と規制の相克を止揚（MELT-UP）するなかで、持続性ある解を導くべく検討する必要がある。本論文では、先ず「M」と「T」の面から検討し、秘密鍵の管理に物理プロセスを導入する事を特長とするセキュリティ実現方式を検討した。今後、「E」、「L」の面を加え、さらに検討したい。

Hyperledger Fabricを用いた非中央集権型ネッティングプロトコルを提案する。

我々はCSS2017において，ブロックチェーンの特徴を利用し，トラストレスな状況でも正当な方法で乱数生成を行い，その正当性を検証する方式を提案した．また，ブロックチェーンを用いた分散アプリケーションEthereumに実装することで，乱数生成のスマートコントラクトを作成し，乱数の一様性評価やコスト評価を行った．しかし，ユーザビリティ，通信コストおよび実行コストに関する問題が挙げられた．そのため，乱数生成のプロセスを分割することで，この問題を解決した．本論文では，その課題を改良した方式の提案，安全性の議論および使用する際の応用例を述べる．

We present “Ouroboros” and "Ouroboros Praos", the first blockchain protocols based on proof-of-stake with rigorous security guarantees. We establish security properties for our protocols comparable to those achieved by the bitcoin blockchain protocol. As our protocols provide a “proof of stake” blockchain discipline, they offer qualitative efficiency advantages over blockchains based on proof of physical resources (e.g., proof of work). While Ouroboros only provides security against "semi-adaptive" adversaries in synchronous networks, “Ouroboros Praos” provides, for the first time, a robust distributed ledger that is provably secure in the semi-synchronous adversarial setting, i.e., assuming a delay in message delivery that is unknown to protocol participants, and fully adaptively secure, i.e., the adversary can choose to corrupt any participant of an ever evolving population of stakeholders at any moment as long the stakeholder distribution maintains an honest majority of stake at any given time. To achieve that, it puts to use forward secure digital signatures and a new type of verifiable random functions that maintains unpredictability under malicious key generation, a property we introduce and instantiate in the random oracle model. Our security proofs entail a combinatorial analysis of a class of forkable strings representing adversarial behavior (tailored to synchronous and semi-synchronous blockchains) that may be of independent interest in the context of security analysis of blockchain protocols. We showcase the practicality of Ouroboros in real world settings by providing experimental results on transaction processing time obtained with a prototype implementation in the Amazon cloud.