乱数は暗号技術に不可欠である。暗号技術の設計では理想的な乱数を仮定するのが常であるが、実装では大抵は擬似乱数が用いられるため、擬似乱数を用いた安全な実装方法の注意喚起（暗号学的に安全な擬似乱数を用いるべし、という示唆）は頻繁に行われている。その一方で、擬似乱数の利用で暗号技術の動作の正当性が保たれるかどうかについては、多くの注意が払われているとは言い難い。本稿では、公開鍵暗号化方式を例にとり、「誤り確率が無視できる」という意味での（暗号分野で許容されている）正当性は、安全な擬似乱数を用いたとしても必ずしも保たれないことを示す具体例を提示する。

Ananth, Sahaiは算術回路に対する射影的関数型暗号(PAFE)を提案し,ランダム多項式(RP)との組み合わせにより, 1-key関数型暗号(1-key FE),すなわち識別不可能性難読化器(iO)を構成できることを示した. 彼らの構成は秘密鍵の関数型暗号であり, 他の類似の結果のように,公開鍵型を構成できるか, また同様の結果が成立するかは不明である. 本論文では公開鍵型のPAFE(pk-PAFE)を提案し,Ananth, Sahaiと同様, pk-PAFEとRPから, 1-key FE, およびiOを 構成できることを示す.

Goya lと Kumar (STOC2018，CRYPTO2018) は秘密分散に対する情報理論的改ざん耐性を定義した．より詳細には彼らは individual tampering と呼ばれる改ざんと，より強力な joint tampering と呼ばれる改ざんに対する情報理論的改ざん耐性を定義した．加えて，彼らは以下の二つの結果を示した．第一に，任意の秘密分散方式に，individual tampering に対する情報理論的改ざん耐性を付与する手法を示した．第二に，joint tampering に対して情報理論的改ざん耐性を満たし，t-out-of-n アクセス構造を認識する方式を示した．本論文では，まず秘密分散に対する計算量的改ざん耐性を，パブリックパラメータモデルにおいて定義する．提案する定義は，joint tampering を考慮したものである．次に，任意の秘密分散方式に，計算量的改ざん耐性を付与する手法を示す．提案する手法は，選択暗号文攻撃に対し安全な公開鍵暗号を用いる．

Non-Committing暗号とは，適応的安全な秘密計算において参加者間に安全な通信路を確立するための公開鍵暗号である(Canetti, Feige, Goldreich and Naor, STOC '96)． Non-Committing暗号の効率は，レートと呼ばれる平文1ビットあたりの暗号文長により評価される． Diffie-Hellman判定問題に基づく既存方式では，セキュリティパラメータをkとすると，O(k)が最良のレートである． 本研究では，GargとHajiabadi (CRYPTO '18)による落し戸関数の構成から着想を得て， Diffie-Hellman判定問題に基づき，レートがO(log(k))であるNon-Committing暗号を構成する．

選択暗号文攻撃に対して安全(CCA安全)な公開鍵暗号(PKE)を、選択平文攻撃に対して安全(CPA安全)なPKEのみから構成できるか、という問題は重要な未解決問題として残されている。本稿では、この未解決問題に関する知見を得るべく、CPA安全なPKEに何か追加の構成要素を用いてCCA安全なPKEを構成する、という問題を考え、鍵依存平文安全(KDM安全)な暗号方式がそのような追加の仮定として十分であることを明らかにする。具体的には、CPA安全なPKEと、Projection関数のクラスについてのKDM安全性(Projection-KDM安全性)を満たす共通鍵暗号を用いて、CCA安全なPKEを構成できることを示す。本成果の系として、Projection-KDM安全なPKEのみから、CCA安全なPKEの構成が得られる。

本稿では, 並列実行可能な認証暗号方式に対して, 安全性を保ちながらステートサイズを削減する手法を提案する. ステートサイズとは, 暗号方式を処理する際に必要なメモリサイズのことで, 特にリソースの限られたHW に暗号方式を実装する際に重要となる評価基準のひとつである. 一般に, ステートサイズは安全性とトレードオフの関係にあるため, ステートサイズを容易に削ることはできない. 並列実行を行わない認証暗号の分野では, ステートサイズが小さい方式がいくつか提案されているが, 並列実行可能な認証暗号の分野においてはその研究が進んでいない. 提案手法では, OCBやOTRのようにチェックサム計算を用いる並列実行可能な認証暗号方式に対して, 安全性を保ちながらチェックサム計算にかかるステートサイズを半分にすることが可能である.

本稿では, ISO標準でもある認証暗号方式 OCB2 に対して, 極めて実用的な攻撃手法を提案する. OCB2は2004年提案のブロック暗号ベースの認証暗号方式であり, 暗号化と改ざん検知を暗号化のみのコストで実現できる. OCB2の安全性は, 用いるブロック暗号が安全である場合に, およそO(σ^2/2^n)となることが証明されており, 認証暗号方式として安全であることが広く信じられてきた.　本稿では, OCB2の安全性証明の瑕疵を指摘し, OCB2に対して, 暗号化クエリ1回のみでタグの偽造攻撃ができるということを示す. つまり, OCB2の改ざん検知能力が最早安全でないことを示す. 提案攻撃はOCB2の公開コードを用いて実装済みであり, 攻撃が成功することを確認している. 但し, 提案手法はOCB2の改ざん検知機能のみに対する攻撃であり, OCB2の暗号化機能に対する攻撃ではない. また, OCB1やOCB3を含むその他の類似方式には適用できない.

InoueとMinematsuはOCB2に対する効率的な偽造攻撃を示し[Cryptology ePrint Archive: Report 2018/1040]，Poetteringは識別攻撃を示した[Cryptology ePrint Archive: Report 2018/1087]．本稿ではこれらの結果に基づき，OCB2に対する選択平文暗号文攻撃による平文回復攻撃を示す．また，ブロック暗号の復号オラクルをシミュレートできることを示す．これは，Poetteringによるブロック暗号の暗号化オラクルのシミュレーション[Cryptology ePrint Archive: Report 2018/1087]を補完する結果である．

Minematsuは，nビットブロック\tau nビットtweakのtweakableブロック暗号（\tau=1,2,...）を用いた繰り返し構造により，d=\tau+1に対してdnビットブロック暗号を構成し，3d段における安全性を証明した[Minematsu, Des. Codes Cryptography 74]．本稿では，nビットブロック2nビットtweakのtweakableブロック暗号を用いた繰り返し構造で構成される3nビットブロック暗号を考える．Minematsuは9段における安全性を示した．これに対し，4段，5段，7段における安全性証明をCoefficient-H技法を用いて行う．

本稿では差分確率とNISTの統計的乱数性試験の関係について検討する。NISTの統計的乱数性試験は、包含する試験の多くについて直観的に理解しやすいことから長年使われてきた。一方、現代の共通鍵暗号は積分特性や代数次数などさまざまな指標により安全性が保証されるよう設計されており、中でも差分確率は重要な指標として用いられている。しかしながら、これらの指標と統計的乱数性の関係については明らかではなかった。本稿ではCTRモードの乱数列の統計的乱数性について評価する。その結果、十分に差分確率が小さいと証明された置換で、NISTの統計的乱数性が保証されないものを構成できることが判明した。

　近年，大規模な集計データの有効活用を目指す技術者の間で，差分プライバシ基準が有する高い安全性が注目を集めており，さまざまな実現手法が提案されている．なかでも，Privelet法は，差分プライバシ基準に準拠しつつ，部分和精度にも優れているという特徴をもつことから，プライバシが保護されたデータのスケーラブルな活用を可能にする． 　Privelet 法を集計データに適用する場合，「非負制約の逸脱」や「スパースデータのデンス化」という問題が発生する．これらふたつの問題に対処するため，我々はTop-down 精緻化という処理手法を提案した．この手法は，Privelet法が本来もっている高い部分和精度を維持しつつ，上記ふたつの問題への対処も可能としている．この手法の場合，枝刈り処理を導入することで演算を効率化できるが，その挙動については未だ充分な確認がなされていない． 　そこで本報告では，Top-down 精緻化を伴うPrivelet 法に対して枝刈り処理を導入した際の挙動について明らかにする．具体的には，枝刈りの発生箇所と演算効率化効果との関係についての仮説を立て，実験により検証する．

情報処理学会コンピューターセキュリティ研究会(CSEC)のプライバシーワークショップ(PWS)では，パーソナルデータの匿名加工技術を競う匿名加工・再識別コンテスト(PWS Cup)が2015年から毎年開催されている．本年開催されたPWS Cup 2018では，購買履歴データに対する一般化による匿名加工，および加工データに対する再識別の技術力が争われた．本稿では，我々のチームが採用した匿名加工と再識別の各フェイズにおける戦略と，その理論的根拠を述べる．匿名加工フェイズでは，我々は2-匿名化を行うことを基本方針とし，データ加工による誤差を最小限にするべく，2-匿名化の組み合わせ問題をよく知られたグラフの最適化問題に帰着させ，最適化を行う手法を考案した．その結果，2-匿名化を実施したチームとしては最良の有用性評価値を達成した．一方，再識別フェイズでは，本コンテストで実施可能な加工方式の性質を生かし，加工前後の値の包含関係から真の顧客候補絞り込む手法を考案した．その結果，想定通りの再識別結果が得られることを確認した．

プライバシ保護クエリ応答は，機微データを所持するデータベースとデータ活用を望むユーザとの間で，ユーザがデータベースに対して分析要求(クエリ)を行い，データベースはデータのプライバシを保護しつつ分析結果を応答できる技術である．個人情報を含む様々なデータの活用が需要を増す中，こうした技術は柔軟なデータ活用を実現しうる重要な技術である．しかし既存プライバシ保護クエリ応答技術は，プライバシ侵害を意図する不正なクエリを防ぐため，クエリ可能な分析がデータベース側で事前に整備したライブラリ関数によって制限されている．本研究はプライバシ保護クエリ応答において，ライブラリに縛られない柔軟なクエリに対する自動応答を実現するため，定理証明器を用いてクエリ内容を検証するによりライブラリに無いクエリにも自動応答できるモデルを提案する．また，ACL2を用いて実際にモデルに合ったクエリを実装し，提案モデルの実現可能性を示す．

To perform statistical disclosure control (SDC) on multiple tables is a challenging task because sensitive information can be revealed from intersections of multiple tables involving a common set of variables. This task is particularly difficult when each table contains a subset of the common variables because the intersection of those tables could form a subspace of any shape in the multi-dimensional domain space. To address this issue, we extend our SDC tool for solving a cell suppression problem of a two-dimensional table to support multi-dimensional ones. Our approach is to construct a single consolidated high-dimensional table from lower-dimensional multiple linked tables so that we can represent the constraints of each input table in an integrated way. In this paper, we describe the extended SDC tool for detecting possible sensitive cells, which could be overlooked if each table is examined separately.

FPGA(Field Programmable Gate Array)を搭載したアクセラレータを用いて，暗号や機械学習などの計算を高性能化する技術が普及しつつある．Xilinx社が開発したSDAccel環境は，C，C++といった高級言語を用いてFPGAで動作させる回路(カーネル)を記述するための開発環境である．SDAccel環境を用いることで，レジスタトランスファーレベルの回路を記述することなくFPGAアクセラレータを使用することができるため，生産性の向上が期待されている．しかし，高級言語の記述と，合成される回路の間には大きなギャップがあるため，所望の性能を満たすためのパフォーマンスチューニングは容易ではなく，また事例の蓄積も少ない．そこで本論文では，特にAES暗号のCTRモードを対象に，SDAccel環境におけるパフォーマンスチューニングのケーススタディを示す．

本稿では，パブリッククラウドを含むサーバにおいてFPGA がオンデマンドに利用できる計算システムを想定し，サーバー上に生のコンテンツ情報を露出しない秘匿計算とFPGA による高速化(アクセラレーション) を両立するシステムを提案する．提案システムはKEM-DEMとPUF を構成要素とし，FPGA のビットストリーム暗号化を前提としない特長を持つ．

本稿では，小型衛星と地上局間の認証を目的としたメッセージ認証コード(MAC) のハードウェアアーキテクチャについて述べる．小型衛星と地上局間の認証を実現する手法の一つとして，情報理論的安全性を有する多項式ハッシュに基づくMAC スキームが提案されている．同スキームでは，衛星打ち上げ前に共有した乱数をワンタイム鍵に用いるが，乱数の消費を抑えるために通信データ長に応じて必要な安全性を満たせる適切な鍵長を選択できることが望ましい．そこで，本稿では，事前に設定したいくつかのパラメータ（既約多項式）を選択することで通信データ長に応じて鍵長を変更可能なMAC ハードウェアアーキテクチャを提案する．提案アーキテクチャはガロア体乗算器を用いた積和演算器により構成される．ここで，ガロア体乗算器を複数の既約多項式に対応した構成とすることで鍵長の選択を可能とする．本稿では，さらに，提案アーキテクチャを小型衛星に搭載されるでバイアスと同等のFPGA に実装し，提案アーキテクチャは小型衛星のダウンリンク速度と同等以上の速度でMAC 処理を実現できることを示す．

サイバーフィジカルシステムやクラウド活用の進展に伴い，暗号化したままデータ検索が行えるなど，従来の公開鍵暗号技術より機能性を高めた高機能暗号技術への期待が高まっている．高機能暗号を実現するための構成要素のひとつにペアリング計算がありその計算の速度が普及の課題となっている．本報告では，254bit素数BN曲線上のOptimal AteペアリングのFPGA上でのペアリング計算時間の記録を更新したことを示す．このペアリング実装は定数倍演算器によって12倍の計算を可能にすることにより、圧縮自乗算のサイクル数を削減し高速化したものである．

量子ゲート型コンピュータにより暗号方式が危殆化する前に，長期間運用されるような暗号システムは暗号方式の移行が必要となる．本検討では暗号方式の移行期間中に、ハードウェアセキュリティモジュール上で通常のデジタル署名と耐量子計算機デジタル署名のハイブリッド式署名を行う場合を想定して，計算量とデータ量の増加を実験により確認し，移行の際のコスト評価を行った．通常のデジタル署名にECDSAを，耐量子計算機デジタル署名にTESLA#を用いたところ，鍵長は113倍，署名長は55倍，署名生成時間は0.38倍となった．証明書がbase64形式で符号化されることを考慮してデータ長を計算したところ，ECDSAの証明書は1kB，TESLA#の証明書は14kBであり，ハイブリッド式署名の 証明書のサイズはこれらの和に等しいので，最終的な証明書データ増加は15倍，計算時間増加は1.38倍であることがわかった．以上の検討により，各保護対象のデータの保護期間を適切に把握し，必要のあるデータに対してハイブリット方式を利用する事が有効な移行手段であると結論づけられた．

自動車の車載ネットワークであるCANには，周期的に送信されるメッセージ，基本的に周期的だがイベント発生時に周期が乱れるメッセージ，完全に非周期のメッセージが存在する．この内，周期的に送信されるメッセージに対する攻撃については，高精度に検知する手法が知られている．後者の2種類のメッセージに対する攻撃については，異なるメッセージ間において，メッセージに格納されているデータ同士の関連に着目して攻撃を検知する方法が考えらえれる．このような手法では，データ間の関連を事前調査し，特徴量として用いる．本論文では，データの変化回数，及び，特定値の出現回数に着目した新たな攻撃検知手法を紹介する．また，事前調査フェーズで利用可能な，関連のあるデータを効率的に検出するアルゴリズムを提案する．

近年の自動車は、車載ネットワークに接続されたElectronic Control Unit(ECU)により制御される。また、自動運転化などに伴い、ECUや車載ネットワークの高度化が進み、車載システムが急激に複雑化するため、セキュリティを担保する事が困難となってきている。事実、多くの研究者がセキュリティ上の脆弱性を狙ったサイバー攻撃の可能性を示唆している。一方でこれらのサイバー攻撃に対する対策手法として、通信周期やコンテキストデータの急激な変化を捉えて検知する手法があるが、攻撃者がECUの送信を停止し、異常フレームを挿入する攻撃の検知が困難である。本論文では、この様な攻撃への対策として、複数の推定値から検知を行う手法を提案する。また、本提案手法により、特定の深層学習モデルに入力するデータがなりすまされ、推定値が悪化した際も、他のモデルが推定した良好な値を用いる事で、正確な攻撃の検知が可能となる事を示す。

自動運転や遠隔からのソフトウェア更新などの普及により，自動車がサイバー攻撃の対象になる可能性が高まっている．自動車とネットワークを介して繋がる監視センタが車両のログをリアルタイムで収集・分析することで，攻撃を迅速に検出し対応する自動車セキュリティオペレーションセンタ(SOC)が検討され始めている．本報告では，自動車のログから攻撃を検出するルールの検討を行った． ITシステムでは，過去の攻撃事例から攻撃者の行動を予測することで，監視するログを策定しルールを作成している．自動車分野で同様の方法を行う場合，攻撃事例が少なく，攻撃者の行動を予測することが難しい．そこで，自動車システムに対するセキュリティ分析の結果とITシステムでの攻撃行動の知見を基に，自動車向けの攻撃行動が作成できないか検討を行った．検討の結果，ITシステムに無い自動車の特性により，ITシステムには見られない攻撃行動が抽出できないことが判明した．解決策として，自動車の特性から抽出した攻撃行動要素を使用することで，ITシステム向けの攻撃行動から自動車向けの攻撃行動に拡張を行い，自動車向けの攻撃検出ルールを作成する方法を提案する．

近年，自動車セキュリティの重要性が高まっており，特に車載ネットワークプロトコルCANの異常検知手法について様々な研究がなされている．機械学習に基づいた手法の提案もなされているが，一般的に機械学習は多くの計算資源を必要とするため，車載部品へ搭載できない場合もある．それゆえ，自動車向け異常検知手法に機械学習を応用する際には，検知性能だけでなく，必要とする計算資源の考慮も欠かせない．しかしながら，そのための指針はこれまでになかった．本稿では，種々の機械学習アルゴリズムについて，各アルゴリズムの特性とCANへの適性，必要とする計算資源の観点から分類，整理し，自動車向け異常検知手法に機械学習を応用する際の指針を示す．また，各アルゴリズムについて，CANにおける異常検知性能の簡易評価を行い，検知性能の観点からも指針を示す．

近年，車載制御ネットワークに対する侵入検知アルゴリズムの研究開発が盛んに行われている．しかしながら，各論文で主張されている評価の妥当性を判断できるデータセットなどは十分に公開されていない．このため，本研究では車載制御ネットワークにおける評価データセットを定義し，侵入検知アルゴリズムの評価を行った．この結果を踏まえ，データセットの妥当性を議論する．

近年，分散反射型サービス妨害攻撃(Distributed Reflection Denial-of-Service Attack; DRDoS 攻撃 )がインターネット上での脅威となっている．DRDoS攻撃は踏み台を装ったハニーポットを用いて観測することができるが，観測された攻撃が実際に攻撃対象に対してどのような影響を及ぼしているかは明確ではなかった．そこで本稿では，実際に攻撃を受けている攻撃対象ホストに対してSYNパケットを送付した場合と，攻撃から十分に時間が経過した後にSYNパケットを送付した場合の2つの状態の応答の有無や速度を比較することによってDRDoS攻撃が攻撃対象ホストに及ぼす影響を評価する．

Memcachedは高性能な分散メモリキャッシュシステムであり，データベースへの負荷を軽減することで動的webアプリケーション高速化の目的で使用される．外部に公開されているMemcachedはDRDoS攻撃の踏み台として悪用されており，その増幅率は，これまでに悪用されていたDNSやNTPサービスより遥かに大きい．そこで，我々はMemcachedハニーポットを作成し，Memcachedを悪用した攻撃の傾向や特徴を分析した．その結果，Memcachedを悪用したDRDoS攻撃と推測される通信を多数確認することができた．また，従来の観測機構では困難であった攻撃者の使用するIPアドレスを特定し得るという特徴を有することが確認できた．

様々な機器がインターネットに接続されるようになった結果，これらを標的としたサイ バー攻撃が増加している．これらの機器では様々なサービスが多様なポートで動作して いるため，従来のダークネットやハニーポットによる観測だけでは，攻撃の観測やその 対応につなげることは難しい．そこで我々は，全てのポートにおいてTCPやTLSのハンド シェイクを行う簡易なハニーポット（以降，Handshakerと呼ぶ）を構築し，攻撃の観測 を行っている．本稿では，Handshakerの概要およびその観測結果，対応事例について報 告する．

標的型攻撃対策研究のためのデータセットは，大規模環境を対象とし解析者の試行錯誤を伴う長期に渡る能動的観測にて収集されるデータで構成される．しかし，蓄積データに利用者が必要なデータの種類や量が不足する場合がある．不足データを再実験で補うことは容易ではなく，また結果が得られるとは限らない．収集データの有効活用のためには，収集データを元に利用者の要求に応じたデータセットを生成・変換する方式が必要となる． そこで，能動的観測を構成する３つの要素，観測対象環境，データの意味と構造，データの書式に対するモデルに従った解析・生成規則を特徴とした手法を提案する．この手法では，環境モデルを使い実験毎に異なる環境の差を吸収しつつ各マシンやプログラムの役割に基づき収集データを意味付けし，抽象化されたデータ構造と関係性を再構築する．再構築されたデータに，データ生成規則を適用することで，収集データの意味と関係性を保持した操作を実現し，利用者が望むデータセットの取得が可能となる．この手法を実装し，実際の標的型攻撃実験での収集データに対する規約を記述することで，動的データセット生成システムを実現することができた．

マルウェアは日々大量に作成されており，新種のマルウェアだけでなく特定のマルウェアを再利用して作られた亜種の存在が確認されている．亜種の関係にあるマルウェア間では，再利用されたマルウェアと発生過程が類似しており，時間的な相関がみられることが予想される．亜種の関係でない異種のマルウェア間についてもダウンローダ型のマルウェアではダウンロード対象のマルウェアと発生過程が類似すると考えられる．発生過程が類似するマルウェアを発見すればマルウェア対策に有効な手段となりえる．本研究では時系列解析を行い，マルウェア間の時系列相関を評価しマルウェアの発生予測の材料とすることを目的とする．本稿では，大規模マルウェア観測データの統計情報に対し時系列解析を行うことで発生過程に時系列相関があるマルウェアの具体的な事例を示す．

Middle-product learning with errors（MPLWE）に基づく格子ベース署名を示す．MPLWE 問題は learn- ing with errors（LWE）問題の一種で，複数の多項式環における polynomial LWE 問題から同時に帰着されること が Rosca らによって知られている（CRYPTO 2017）．提案方式は，次数が制限された多項式で定義される多項式 環における short integer solution 問題全てを同時に安全性の根拠とする Lyubashevsky の署名方式（ASIACRYPT 2016）の LWE ベース方式に相当する．

イデアル格子問題を基にした方式には，主に Ring-SIS 問題や Ring-LWE 問題が用いられる が，これらは多項式環 Zq[x]/?f? 上で扱われる．また，これらの問題の難しさは f-SVP 問題の難しさに よって保証されているが，多項式環の設定時に選ぶ多項式 f によってその難しさは変動する．多くの多 項式 f によって方式の安全が保証されていれば便利であり，2016 年に Lyubashevsky は任意の環におけ るイデアル格子問題を基にした電子署名方式を提案した．本研究では，Lyubashevsky の方式をベースに 新たな本人確認方式を提案した．ただし，本研究では安全性証明の効率を向上するために，安全性証明 における困難性の仮定として，既存研究で Lyubashevsky が導入した任意の環上の Ring-SIS 問題の代わ りに，任意の環のイデアル格子の衝突問題を使用した．提案方式は，concurrent active attack 上のなり すましに対して安全と証明された．

本稿では，標準モデルにおけるRLWE（環LWE）仮定に基づき安全な（IND-CCA安全な）鍵カプセル化メカニズム（KEM）方式を提案する．本方式の構成においては，まずRLWE仮定に基づき選択安全な（sID IND-CPA安全な）IDベースKEMを構成する．このIDベースKEMを，RSIS（環SIS）仮定に基づき強偽造不可能な使い捨て署名と組み合わせてCanetti-Halevi-Katze変換により，IND-CCA安全な提案KEMを構成する．

マルチ署名 (Multisignature) は複数人が同一の文書に対して署名を発行できる機能を持つディジタル署名技術である. これまでにいくつものマルチ署名が提案されているが, 格子ベースのマルチ署名はほとんど知られていない. 特に, Tightな安全性を持つ格子ベースマルチ署名は存在しない. そこで, 本稿では, Tightな安全性を持つ格子ベースマルチ署名について議論する.

高機能暗号方式を構成する為の要素技術として Groth-Sahai proof や structure-preserving signature を用いた研究が盛んに行われている. そのような方式では, 大量のペアリング積等式の検証がしばしば必要となる. それらの等式は各個に検証するより一括して検証する方が効率的である. しかし, ペアリング積等式の一括検証には沢山の計算方法が存在し, その数は一般にペアリングの数に対して指数関数的に増大する. そして計算方法により計算の効率が大きく変わる事が知られている. 指数的多数の計算方法の候補から, 最も良い計算方法を単純に探索する事は, 一括検証の規模が大きくなると事実上実行不可能となる. 本研究の目的は, 上記のように大量にある各々の検証式の型が全て既知である場合, 指数的多数の計算方法の候補から最も良い, あるいはそれに匹敵するくらい良い計算方法を見つけ出すアルゴリズムを与える事である.

さまざまな情報セキュリティ技術が発展している一方で、実装時にそれらへ用いられる乱数値が情報セキュリティに適したものであるかについてはなおざりにされてしまうことも少なくない。本研究ではそのような観点から奇標数体上でトレース関数とLegendre記号を用いて生成される幾何系列の一種であるNTU系列を対象とし、乱数としての重要な特性であるビット分布について考える。とりわけ、偏りの変化に着目し、一様なビット分布を得るためのパラメータ選択について検討する。

The discrete Fourier transform evaluates a polynomial on roots of unity in a field, possibly of nonzero characteristic. As it turns convolution into pointwise multiplication, one important application of the discrete Fourier transform is thus to multiply polynomials, especially with coefficients in a finite field Fq. When q is small, we need to go to an appropriate extension field F to find enough roots of unity to work with. In this case, we typically use the Kronecker segmentation technique to encode the multiplicand polynomials in F[t]. In 2017, van der Hoeven and Larrieu showed how to avoid the factor-of-two overhead of Kronecker segmentation by embedding, rather than encoding, the multiplicand polynomials into F[t]. Specifically, they restrict the evaluation to a cross section of the set of roots of unity and then use the Frobenius map to recover the results outside of it. In this paper, we will show that this idea beautifully generalizes to a class of "additive" Fourier transforms first developed by Cantor and subsequently optimized by Gao-Mateer for an important special case. In particular, we will construct an explicit cross section for the Frobenius additive fast Fourier transform.

本稿では，標数2の素体上定義されたDerksen群の性質について考察する．

Set-valued database publication has been studied recently due to its benefit for various applications such as marketing analysis and advertising. Such databases have different characteristics compared to relational databases, where record's owner can be directly associated with his/her values or items. Therefore, publishing raw set-valued database to other parties or to the public may cause individual privacy breach such as the leakage of sensitive information about individual characteristics or individual tendencies when data recipients perform data analysis. To thwart such privacy breach, we propose a data anonymization method which protects individual tendencies while maintaining structure of records in the database. The proposed method employs swapping technique where an individual's items in a record are swapped to items of the other record. Our swapping technique is distinct from existing one yielding much structure distortion. We firstly compute individual tendency for each record and calculate jaccard coefficient between records to measure their similarity. Then we select the record that results in the minimum jaccard coefficient for swapping. Such a strategy allows one to maintain records in the database so as to avoid excessive structure distortion. Since the swapping strategy only moves some items from a record to another one, we can guarantee that the individual tendency can be hidden effectively without causing structure distortion immensely.

放送サービスにおいて，自宅で契約しているチャネルを自宅外で視聴する場合，CASカードを持ち歩かなければならない．ただし，受信機やレコーダの構造上，CASカードの着脱は容易ではない．そこで，CASカードを持ち出すことなく，電子データとしてテンポラルな鍵を携帯端末に入れて自宅外の受信機でサービスを享受する方法を提案する． 提案方式の基本構造は，ハッシュ関数と共通鍵暗号を組み合わせである．それにマルチパーティ計算を組み込むことで，プライバシを保護したシステムとした．

現在，放送と通信とを連携させた放送通信連携サービスにより，様々な機器がテレビと繋がり，新しいサービスを提供することが可能になっている．この放送通信連携サービスの１つとして，ユーザの視聴した放送番組の視聴履歴に基づいて，ユーザの嗜好に合わせたお勧め番組等を提供するレコメンドサービスがある．さらに，スマートフォン等を利用したユーザの位置に応じたサービスも考えられている．本研究では，移動体向け放送通信連携サービスシステムに，個人情報保護と事業者メリットを提供する機能を加えたシステムを提案する．

GDPRをはじめとする個人情報を保護する法律の施行に伴い,個人データを第三者の企業へ提供するためには本人の提供同意確認が必須となっており,透明性を確保しつつ,活発に活用するうえでの工夫も必要になってくる.我々は,分散するパーソナルデータの同意管理を一元化し,本人同意に基き,データ提供者からデータ利用者へのパーソナルデータを簡単かつ安全に流通する基盤である同意ポータルを提案する.さらに,今後,同じ属性（年代,性別など）のデータを取得し,様々な分析を実施する要件が増えてくると想定し,個人データ一括取得技術を開発した.具体的には,アクセス管理プロトコルのUMA2.0を拡張し,同意ポータルで管理する同意情報の同意済のユーザ群でかつ取得条件（年代,性別などの基本属性）に合致するユーザ群のパーソナルデータを一括転送可能にする. これにより,取得したデータをまとめて可視化,および分析可能となる.

IoTの安全性を高める上で通信の暗号化が有効であるが，IoTに搭載されているマイコンは計算資源が乏しく，マイコンによってはプログラムの実行時間やメモリ容量に制約があるため，このような省資源環境で暗号を利用する際には暗号プログラムを高速かつ小サイズに実装することが求められる．一方，IoTへの利用が期待されるRing-LWE暗号は現在主流のRSA暗号や楕円曲線暗号と比べて，量子計算機を用いても簡単に解読ができないと考えられており，高い安全性をもつ．IoTでRing-LWE暗号を利用する場合，暗号処理の計算量の大部分は剰余計算が占めるため，この剰余計算を効率的に実装する必要がある．本論文ではIoT機器に利用されるARM Cortex-M0+マイコンにRing-LWE暗号を効率的に実装するために，複数の剰余計算方法を適用し，それぞれ暗号処理にかかる実行サイクル数を測定することにより，省計算資源環境に適した効率の良い剰余計算方法を考察する．

RNS表現を用いて公開鍵暗号を実装する研究成果が2000年以降数多く発表されている. RNSとは整数の表現方法のひとつであり, 互いに素なn個の整数を基底B={m_1,…,m_n }として, 整数xを基底要素で割った余りn個の組で表す方法である. RNS表現では加減乗算や基底と互いに素な数による除算は, 基底ごと独立した演算で実行することができ, 並列処理による高速化が期待できる. その反面, 2つの整数の大小比較（あるいは符号判定）は, 計算が複雑で手間がかかるという課題があった. 汎用の大小比較の方式としてはRNS表現を混合基数(Mixed-radix system)表現に変換する方法と, 中国剰余定理を用いて基数表現に変換する方法がある. 本稿では中国剰余定理を用いて, M（基底要素すべての積） に対するxの相対値を級数展開により近似的に効率よく計算する方法を提案し, これを用いて符号判定するアルゴリズムを提案する. 提案方式における演算回数の期待値はO(n)であり非常に効率的であると共に, ワード単位の演算で構成されておりハードまたはソフトでの実装性も高いと考えられる. 提案方式の応用例の一つとして, 大小比較を用いたバイナリ拡張ユークリッド互除法をRNS表現で実現する方法を示す.

本発表では，Sliding Window法に対するサイドチャネル攻撃について考察を行う．Sliding Window法とは，RSA暗号方式の復号等に用いられるべき乗算アルゴリズムである．Sliding Window法では，二乗算と倍算の二種類の演算の繰り返しを用いて，べき乗算を計算する．Sliding Window法に対してサイドチャネル攻撃を行うと，二乗算と倍算の演算の実行履歴が取得可能である．Bernsteinらは，この演算情報からべき指数のビットを部分的に復元する手法を提案し，黄らは，Bernsteinらの手法を改良することで，最大限，ビットを復元する手法を提案した．しかし，実際にどの程度のビットが復元されるかは明確にされていない．本発表では，黄らが提案したビット復元手法について，ビット復元率の厳密な解析を行うことで，Sliding Window法に対するサイドチャネル攻撃の脅威について定量的な評価を行い，w=4の時には49.81%，w=5の時には41.92%のビットが復元可能であることを示す．

本研究では，CRT-RSA暗号のSliding Window法による演算系列から二乗算．乗算の系列が漏洩した環境下での新たな秘密鍵復元アルゴリズムを提案する．2017年，Bernsteinらは秘密鍵を部分的に復元できるルールを提案し，黄らはCSS2018で，彼らのルールを改良し，より多くのビットが復元するアルゴリズムを提案している．この二つの研究では，部分的に確定したビットに対して，Heninger-Shachamアルゴリズムを適用することにより秘密鍵を復元している．我々は，まず，未確定のビットにおいて0と1が等確率で生じるのはなく，大きな偏りがあることを数値実験により確認した．例えば，確率1でビットの値が0であるとは確定できないものの，高い確率で0であることが推測できるビットが存在している．ついで，この特徴を積極的に用いる鍵復元アルゴリズムの提案を行った．このアルゴリズムでは，高い確率で1となるものは，1とみなした上で，Heninger-Shachamアルゴリズムを適用する．提案アルゴリズムは，従来よりも高い確率で秘密鍵の完全復元に成功している．

本稿では、車載通信プロトコルCAN上での不正メッセージ挿入方法の工夫により、車載モジュール内部の異常発生に対する対策が搭載された近年モデルの自動車においても、既存研究のInformative CAN Messagesのみを用いる攻撃が有効であることを報告する。ハードウェアセキュリティに関する国際会議HOST 2018において、車内部の状態を伝達するため Informative CAN Messagesのみを利用することにより、運転支援機能作動中に不正な加減速を誘発する攻撃手法が提案された。しかし、車載モジュール内部で異常が起きた時に運転支援機能が解除される仕組みが搭載されている場合は、既存手法を単純に適用して攻撃を成功させることが困難であった。そこで本稿では、不正メッセージ挿入方法の工夫により、車載モジュール内部で異常が起きた場合の対策が実装された2017年製の自動車においても、攻撃が有効であることを報告する。具体的には、クルーズコントロールが解除されないように、不正なInformative CAN Messagesのバスへの挿入回数やタイミングの調整を行った。結果、本実験で用いた自動車においても、クルーズコントロール設定速度を上回る/下回る、不正な加速/減速が可能であることを示す。

カーシェアリングでは，不特定多数の利用者が1台の自動車を利用するため，不正な機器を車内ネットワークへ物理的に接続する脅威への対策が必要である．本稿では，TDR (Time Domain Reflectometry)技術を用いてネットワークのインピーダンスを観測し，不正な機器の接続を検知する方式について検討する．車載ネットワークを想定したシミュレーションの結果，不正機器を接続すると正常時と比較して，TDR 波形にひずみを生じることが確認できた．特に，想定した車載ネットワークに対する特性20pFの不正機器の接続に対しては，サンプリング周波数が250MHz以上，電圧分解能が印加電圧に対して4-bit以上である電圧サンプラにより検知可能とわかった．

近年，様々な機能を取り込むために，車載電子制御システムはますます複雑化している．近い将来には自動運転システムに向けて，車載電子制御システムの刷新が検討されており，高い信頼性，安全性，コスト効率が要求されることから非常に挑戦的な課題となっている．一方，これを機に既存システムでは十分に対応できなかったセキュリティ強化を実現することが望ましいと考える．本論文では，既存する制約を踏まえ，次世代車載制御ネットワークのセキュリティアーキテクチャについて議論する．さらに，仮定する物理的制約から，末端の通信プロトコルにおける論理的な分離方式を提案する．

自動車の車載ネットワークに標準的に用いられているCAN(Controller Area Network)の仕様上，メッセージ内に送信元の情報を含まないためにメッセージの送信元を識別することは難しい．CANメッセージがどのECU (Electronic Control Unit)から送信されているかを識別することができれば，インシデント発生時に不正ECUのみの隔離等，より効果的な対応を取ることが可能になる．本研究では，CANプロトコルの特性より起こるメッセージの送信遅延がECU内のCANコントローラ毎に特徴があることを利用する．トラフィックデータからID間の相関関係を抽出し階層的クラスタリングを行うことで，CANにおける送信元ECUを識別する方式を提案する．これにより，CANに流れるトラフィック情報を受信するだけで送信元識別が可能である．評価には実車のトラフィックデータ使用し，CANコントローラの状態遷移の一つであるバスオフ状態の特性を利用したアクティブな送信元識別の結果を正解データとして提案方式を評価した．その結果，一部のECUに対して有効であることが分かった．

近年のコンピュータネットワークの通信を支えているのがルーティングである. ルーティングは管理者が主導で経路情報を設定するスタティックルーティングと, ルータ同士が自動で経路情報を交換するダイナミックルーティングがある. 特にダイナミックルーティングは度々脆弱性の報告がなされている. 2018年4月にはAWSのRoute53と仮想通貨サービスMyEtherWallet.comのBGP(Border Gateway Protocol)経路が書き換えられる事件が発生した. この攻撃により, Route53のトラフィックは攻撃者に向かうように仕向けられ, ユーザは仮想通貨にして約1,500万円分を盗まれる被害に遭っている. 本研究では不正な経路情報をアドバタイズさせるBGP中間者攻撃を検知するため, ETag とTCPdumpに着目し, アドバタイズされてきた不正な経路情報の検知手法を提案する. 検証実験の結果, アドバタイズされてきた経路情報の真偽が検知できることを実証した.

リバースブルートフォース攻撃やパスワードスプレー攻撃による被害が拡大している．同攻撃に対しては，ブルートフォース攻撃に有効なアカウントロックや，一定回数以上ログイン試行に失敗したIPアドレスをブロックする対策が，有効に機能せず，有効な技術的な対策がない．平文認証方式であれば，パスワードやパスワードのハッシュ毎のログイン失敗回数を記録し，失敗回数が閾値に達したら，当該パスワードを使用不能とする手法が，考えられる．しかし，同一のパスワードであっても，レスポンスが毎回異なるチャレンジ・アンド・レスポンス認証方式には，前述の手法を用いることができない．そこで，本論文では，チャレンジ・アンド・レスポンス認証方式に対し，異なるIPアドレスからのリバースブルートフォース攻撃や，パスワードスプレー攻撃を，検知・対応可能とする方法を提案する．提案する方法は，チャレンジ/レスポンスと共に，固定値/固定値とパスワードのハッシュ値を送受信し，同一の固定値とパスワードとのハッシュ値を用いたログインエラー回数が，閾値を超えた場合に，リバースブルートフォース攻撃や，パスワードスプレー攻撃として検知する．

マルウェア感染端末の検知は，サイバー攻撃を軽減するための重要な課題の1つである．感染端末の検知のためにテンプレートを利用した手法が提案されてきた．テンプレートは，正規表現を用いることで攻撃者による多型な攻撃を検出するよう設計されている．そして，監視対象の通信をあらかじめ観測し，テンプレートの類似度に加えて当該URLの頻出度を考慮することで，誤検知を抑えつつ感染端末を検出していた．しかし，十分な良性通信の観測情報が得られない状況下では，多数の誤検知を生じる．本論文では，十分な良性通信の観測情報が得られない場合でも，高い検知率と低誤検知率の両立ができる手法について検討を行う．本論文では，多くのマルウェアが複数のHTTP通信を発生させていることを考慮し，当該端末が一定時間内に発生しているHTTPリクエストを束ねた，HTTPリクエスト群の特徴を捉えたテンプレートを生成することを検討する．実際のトラヒックデータを提案手法に適用した結果，閾値を制御することで従来手法に比べ，高い検知率かつ低誤検知率を達成することができた．

近年，標的型攻撃が巧妙化・複雑化しており，攻撃者の組織内ネットワークへの侵入を防ぐことが難しくなっている．攻撃者に侵入された場合，可能な限り早い段階で攻撃活動を発見し，適切な対処を実施することが望ましい．しかし，組織内での攻撃活動には，業務と同じコマンドが悪用されるため，専門家でなければ業務操作と攻撃操作の区別は困難であった．そこで本稿では，機械学習適用のための構造データ化として，コマンド操作の特徴の組み合わせをテンソルに変換し， 業務操作と攻撃操作を学習させ，攻撃を判定する技術を開発した．また，学習における実際の攻撃データの少なさを補うため，テンソルを元に，その亜種を生成する技術を開発し，学習データの拡充を行った ．

マルチパーティ計算においては，計算結果に与える影響が大きい入力をもつ参加者は，そうでない参加者と比べ，参加するためのインセンティブが小さい可能性がある．例えば，各参加者がもつ集合の和集合を計算する場合，所有する集合サイズが非常に大きな参加者は，結果の和集合と所有する集合の差分が小さい可能性が高く，小さい集合をもつ参加者よりも，インセンティブが小さいと考えられる．しかし，マルチパーティ計算に関する従来研究の多くは，安全性や効率性の観点で議論しており，参加者がプロトコルに参加するインセンティブについてはあまり議論されていない．最近，Branzeiらは，ゲーム理論的な観点により，すべての参加者が自身の入力を計算を執り行う第三者に正直に申告するようなメカニズムを，和集合計算などに対し提案している．本研究では，Branzei らのメカニズムと同等の性質を，参加者間だけの計算によるプロトコルとして，近似的に実現する方法を提案する．

Comparing two integers under encrypted form is useful for privacy preserving data mining, secure auction, and so on. Saha-Koshiba approach [NBiS2017] is practical, and its security is based on the ring-learning with errors (Ring-LWE) assumption. In this study, we propose an enhanced scheme that is more efficient compared with Saha-Koshiba scheme, in detail, the computation cost can be reduced over 1/3.

複数の組織が保有するデータをデータ管理機関が暗号化した状態で保有している状況を想定し、秘密計算を用いたクラスタリング（k-匿名化）プロトコルを提案する。データ管理機関はプロトコルを実行することでデータに関する情報を得ることなく、クライアントに匿名化データセットを返すことが可能となる。提案プロトコルでは処理時間がかかるArgminを並列で行うことで、単純な実装に比べて高速に実行することが可能である。

A Private Set Operation (PSO) protocol is a secure multi-party computation protocol (MPC) that allows participants to know the result of set operations (union, intersection, difference etc.) of their inputs but learn nothing else. Although PSO protocols have many applications, previous work on PSO protocols mainly focused on the Private Set Intersection (PSI) protocols. One exception would be the work by Blanton and Aguiar, which is inefficient since it consists of consecutive PSO protocols for two sets. On the other hand, a PSI protocol based on polynomials is known to be efficient due to the homomorphic encryption for two parties. However, the computation cost becomes heavier if it is extended for three parties due to the cost of homomorphic encryption. In this work, we propose a new PSO protocol for three parties by combining polynomials with the Oblivious Programmable PRF (OPPRF) proposed by Kolesnikov et al. The proposed scheme is efficient even if three-party cases since OPPRF is constructed by a symmetric key encryption combining with polynomials.

2011年以降，共通鍵暗号の安全性評価に整数計画法を利用する方法が研究されてきた． とりわけIntegral攻撃やCube攻撃に関する研究では，暗号の解読段数が更新されたという報告も多く，特に整数計画法が有用であると認められる． 本稿では，電子政府推奨候補暗号の一つであるEnocoro-128v2に対してCube攻撃を適用し，その安全性を評価する． 評価実験は初期化ベクトルを任意に設定できるという条件の下で行い，取り得る最大の解読段数を導出する． その結果として，21段識別攻撃と計算量2^120の11段鍵回復攻撃を示す．

2017年，Hamannらにより軽量ストリーム暗号に対するタイムメモリデータトレードオフ攻撃の対策として，内部状態の更新に鍵とIVを利用する方法が提案された．2018年，正木らはHamannらの対策を行った軽量ストリーム暗号Plantletに対し，IV衝突を利用した識別攻撃を提案した．本稿ではまず，正木らの衝突攻撃の一般化を行い，対策済みの軽量ストリーム暗号Fruit-v2にも同様の攻撃が適用可能な事を示す．更に，この衝突攻撃を防ぐ為に必要な内部状態のサイズとキーストリーム長とIVの関係を明らかにする．結果として，鍵長とIV長が共に80ビット，内部状態のサイズが鍵長の1.25倍の時，内部構造に依らず1つのIVから生成可能なキーストリーム長を2^54以下にする必要がある事を示す．

ACORN v3は国際的な認証暗号のコンペティションであるCAESARにおいて最終候補の一つに選出されているプリミティブである．CAESARにおいて最終候補はユースケースごとに選定されており，ACORN v3はリソース制限環境における軽量アプリケーションがユースケースとして想定されている．このため，IoT機器への適用など，今後の情報化社会において重要なプリミティブといえる．ACORN v3はシフトレジスタ型のストリーム暗号により構成されている．本研究では，ACORN v3の初期化プロセスについて，条件付差分解読法による差分特性の解析を行う．現実的な計算量で得られる差分特性について，統計的な検定を行い，識別攻撃に関する評価を行う．

近年，共通鍵暗号技術に対する耐量子性の解析が重要視されている． Asiacrypt 2018においてHosoyamada, Yasudaにより，量子クエリモデルの下で原像計算困難性を持つハッシュ関数が構成された． この構成はDavies-Meyer圧縮関数を要素に持つMerkle-Damgard構成を基にしており，ハッシュ関数の原像計算困難性はDavies-Meyer圧縮関数の原像計算困難性から導かれている． 彼らはブロックサイズnのDavies-Meyer圧縮関数の逆像計算にはΩ((2^n/n)^1/2) クエリが必要であることを示した． この下界はGrover探索による上界O((2^n)^1/2)クエリと n^1/2 倍だけ開きがある． 本論文ではこの係数部分に注目してよりタイトな解析を行い， 逆像計算のクエリ計算量下界をΩ((2^n/n)^1/2・(log n)^1/2)に改善した． クエリ計算量の下界の改善によって暗号方式に要求される鍵長をより小さくできる．

CTRT は Desai が発表した AONT (all-or-nothing transform) の一手法である。 CTRT はブロック暗号を使用して簡単に AONT を構成できる利点がある一方、 鍵長 k がブロック長 l 以下 (k <= l) でなければならないという制約がある。 ブロック暗号として AES を利用した場合、前述の制約のために 128 bit 長の鍵しか 選択することができない。 本稿では従来の CTRT を拡張し、鍵長がブロック長の 2 倍 (k = 2l) の場合にも対応 可能な方式 (以下、拡張 CTRT と呼ぶ) を提案し、提案方式が理想暗号 (ideal-cipher) モデルで安全であることを証明する。 また、本稿では拡張 CTRT を PC 上で実装、その性能を測定し、十分実用的な方式であることを示す。

本研究では，自然言語処理と機械学習を用いて，プライバシポリシの要約を行うことにより，より実効性の高いプライバシポリシの実現を目指す．SCIS2018では，評価する項目の選定を行い，これに基づいて日本語で記述されたプライバシポリシの収集とラベリングを実施し，コーパスを作成した．このコーパスを用いて，Bag-of-Words (BoW)によりポリシのテキスト部のベクトル化を行い，SVM及びランダムフォレストを学習アルゴリズムとして用いた場合の，ラベル推定精度について評価を行った．本稿では，プライバシポリシと評価項目を追加して新たなコーパスを作成し，再度評価を行う．再評価にあたり，BoWやTF-IDFを用いた特徴抽出に加え，Doc2VecによるDocument Embedding によってテキスト部のベクトル化を行った場合のラベル推定精度について評価を行う．

There is a challenging issue when machine learning algorithm needs to access highly confidential data for the training process. In order to address this problem, several privacy-preserving deep learning, including secure multi-party computing and homomorphic encryption in neural network have been developed. There are also several methods to modify the neural network, so that it can be used in privacy-preserving environment. However, there is trade-off between privacy and performance among various approaches. In this paper, we want to discuss state-of-the-art of privacy-preserving deep learning, evaluate all methods, and compare pros and cons of each approach.

近年，サーバー上にあるデータを用いてデータ分析を行うサービスが注目されている．一方，医療データ，顧客情報といったプライバシー情報を分析する場合には，データを秘匿した状態で分析を行う必要がある．こうした背景で，RahulamathavanらはSupport Vector Machineを用いたプライバシー保護型データ分類方式を提案した．Liらはこの方式では正しい分類結果が得られないことを指摘し，Garbled Circuitを用いた方式を提案した．本研究では，Liらの方式でGarbled Circuitの適用範囲を広げることで計算量，通信量を削減した方式を提案する．

ニューラルネットワークの予測処理において，クライアントの予測問合せの内容を予測サービスの提供者に秘匿することに加え，学習者が学習済みの予測モデルも予測サービスの提供者に秘匿する秘匿予測プロトコルが西田ら（CSS 2017）により提案されている．しかしながら，西田らの研究では実装評価を行っておらず，モデル秘匿の性能上の実現性が分かっていない．そこで本稿では，西田らの提案プロトコルを秘匿計算のライブラリであるABY（NDSS 2015）を用いて実現するフレームワークMOBIUSを設計し，MNISTデータセット，Cancerデータセット，Diabetesデータセットを用いてその実装評価を行った．実装評価の結果，MNISTデータセットの秘匿予測処理では精度が95.9%，処理時間が0.77秒となり，予測モデルを秘匿化した秘匿予測プロトコルであるSecureML（IEEE S&P 2017）の予測精度を上回り，かつ実行速度が6倍以上になることを確認した．また，BNNを用いて秘匿予測処理を行うTAPAS（ICML 2018）やFHE-DiNN（CRYPTO 2018）に比べて処理速度が2倍以上になることを確認した．

現行のネットワークにおけるセキュリティ対策はデータリンク層以上である．物理層では通信の信頼性が重要であるが，通信技術をセキュリティへ応用することで新たな安全性を確保できる．物理層における認証技術として，秘密情報伝送・共有技術が検討されており，これは多重波環境の特性を利用した鍵共有技術で通信路の可逆性に基づいている．しかしながら，どのように実装するかが課題であり，具体的な方法について検討されているものがほとんどない．これまで，普及率の高い無線LANで採用されているOFDM（orthogonal frequency-division multiplexing; 直交周波数分割多重）技術を活用した秘密鍵生成を検討してきた．本稿ではOFDMを利用した秘密鍵生成を用いた物理層における認証方式を提案し，鍵の不一致率をシミュレーションにより評価する．

今日よく使われている乱数検定スイートに，NIST SP.800-22, TestU01, Diehard(er), etc. がある．乱数検定スイートを用いた評価は2段階評価であると解釈できる．前段では複数の系列に対して複数の乱数検定を実施する（系列のランダム性を多角的に検証する）．後段では前段の検定結果を集計し，それを生成器の評価とする． 著者は，前段の評価は推測統計学に基づくものであるが，後段の評価は前段の評価を集計するに留まっていて，推測統計学に基づく評価ではなと分析している．すなわち、既存の乱数検定スイートは，生成器の良し悪しを積極的に言及するものではないと推察する．本稿では「生成器を評価する」という観点での統計的評価について考察する．

本稿では，物理的トポロジカル秘匿計算という新たな計算を提案する． これはすなわち，物理的な道具のみを用いて図形を表現し，これに対してプレイヤーが手で操作を加える事で， 具体的な形状を隠したまま，トポロジーを保った所望の図形を得る計算である． 一例として，カード組を用い，一つの輪を保ったまま図形を変形する秘密計算を示す． この手法の応用として，スリザーリンクへの物理的ゼロ知識証明を与える． スリザーリンクは図形を扱う有名なパズルの一種であり，その答えとなる図形は一つの輪である必要がある． 数独に代表される数字を扱うパズルには物理的ゼロ知識証明がよく知られているが，スリザーリンクには既存研究が存在しない． そのため，本研究は（数独とは全く性質が異なる）スリザーリンクに対する初めての物理的ゼロ知識証明を与えることになる．

近年，暗号ハードウェアに秘密裏に挿入されるハードウェアトロイ(HT)の脅威が 指摘されている．本稿では，暗号ハードウェアの主要な構成要素であるガロア体算術演算回路を対象として，そのHTフリー性を検証するための新たな手法を提案する．提案法では，HTフリー性を，リファンレスとなる仕様記述とゲートレベルの回路記述が過不足なく同一であることと位置づけ，それらの間の等価性判定を行う．仕様はガロア体算術演算回路グラフ（GF-ACG）として階層的に与えられ，ゲートレベルの回路記述（ネットリスト）は完全にフラットであるとする．このとき，リファレンスとなるGF-ACGと検証対象のネットリスト間で等価点を見つけ出し，最下層のノードから順々に階層復元を行いながら検証を行う．これにより効率的な検証が行うことが可能となる．実用的な暗号回路に用いられる規模のガロア体乗算器を対象とした検証実験を通して，提案法により現実的な時間でその完全検証が可能であることを示す．

According to our previous research, we found that JavaScript also can deliver high-performance IoT implementation of post-quantum cryptography. In this article, we aim to implement several LWE based key exchange protocols on small devices in parallel using JavaScript. We design the processes of multi-threaded implementation for Ding Key Exchange on a dual-core smartwatch. We use the concurrency and parallelism in HTML5 to improve the implementation performance. We also investigate the JavaScript implementation of other recent post-quantum key exchange protocols Frodo and NewHope, and report the performance comparison. The result shows that our implementation runs about 30% faster compared with single-threaded execution.

自動運転やコネクテッドカーの普及に伴い，車載ネットワークセキュリティの重要性が高まっている．車載ネットワークプロトコルとしてデファクトとなっているController Area Network (CAN)に対する攻撃手法や対策がこれまでに多く提案されてきた．一方で，CANよりも高速・高信頼の通信プロトコルとしてFlexRayが提案され，主に欧州車の走る・曲がる・止まるの基本機能を実現するようになっている．しかし，FlexRayのセキュリティに関する先行研究は非常に少なく，FlexRayに対する実際の脅威は明らかになっていない．FlexRayのセキュリティ対策を検討する上でFlexRayに対する脅威の理解は必要不可欠である．そこで本稿では，実環境におけるFlexRayの脆弱性を明らかにする．具体的には，攻撃者が正常なECUになりすまして，不正なFlexRayフレームを送信可能となる条件を示す．実際に，不正なFlexRayフレームの送信により，特定の車両に対してステアリング，ブレーキ，加速の不正制御を引き起こせることを確認した．さらに得られた実験結果をもとに，FlexRayに対するなりすまし攻撃への対策手法を考察する．

次世代車載用通信プロトコルFlexRayは, 高速通信・高品質であることから主に先進運転支援（ADAS）機能を制御する通信プロトコルとして, 欧州の自動車メーカーを中心に搭載が進んでいる. 一方で, FlexRay搭載車両に対するセキュリティリスクも指摘され始めており, 岸川らによって不正なFlexRayフレームをなりすまし送信可能な脆弱性をついた攻撃が実証されている.そのため,攻撃への対策手段としてFlexRayに対応した侵入検知・防御システム（IDPS）の必要性が高まっているものの, 我々が知る限りまだ提案されていない.そこで本稿では,不正なFlexRayフレームの無効化手法を提案し, 車載ネットワークを模擬した評価実験により提案手法が有効であることを示す. そして, FlexRay向けIDPSの一形態として, 不正フレームを検出した後, 次回以降の不正フレームを無効化するIDPSを提案する.

近年，車載ネットワークに使用されているCANの脆弱性を利用し，なりすましメッセージを挿入することで車両を不正に制御する攻撃事例が複数報告されており，対策は急務である．本研究室ではCANデータへのなりすまし攻撃対策として，過去の車速・ブレーキ・アクセルを含むCANメッセージデータから，深層学習の一つであるRNNを用いて次時刻の車速データの予測を行う手法を検討してきた．次時刻にCANに流れてきた車速データが，予測したデータと大きく外れている際に攻撃データと判断することで，正常な車速データのみを選択することが可能となる．本稿では，組み込み機器で多く使われているARMプロセッサに上記の手法を実装し，提案手法の実車への適用可能性を評価した．事前準備として，CANネットワークを流れる車速データを，ARMプロセッサを搭載したラズベリーパイで受信し，実車同様の動作を行うスピードメータをディスプレイに表示するデモ環境を試作した．さらに，ラズベリーパイに，次時刻の車速データをリアルタイムに予測できるRNN実行環境を構築し，なりすまし車速データが入力されても正常なスピードメータ表示ができることを確認した．

Open-source software is already in your car; however, have you considered what the security risks are? Obviously, there are several benefits with open-source software that allows innovation while reducing costs for non-competitive technologies. However, with more than 100 million lines of code in a modern vehicle and a complex supply chain involving multiple software suppliers it is imperative to understand what can go wrong. To get a better understanding of actual risks, we performed practical evaluation based on software composition analysis of 14 automotive software packages (in-vehicle infotainment software and mobile apps) with the focus on analyzing open-source software risks. All 14 software contain open-source components with critical vulnerabilities. We present the results of the analysis identifying vulnerabilities in popular components such as zlib, libpng, and curl. Finally, we discuss best practices for managing open-source risk across the automotive supply chain.

ニューラルネットワークの応用であるAutoEncoderを利用してCANパケットの分析をおこなった． 送信周期とペイロード値を学習させることで，生成されるencoderによってCANパケットを2次元空間にマップして，CANパケットを分類することができた．また，同時に生成されるdecoderを使って攻撃用データを生成することが出来た．これらの機能を利用すると，攻撃検知および，攻撃データ生成，Fuzzingテストにおける網羅性計測に利用できる．ただし，アービトレーションを受けるCANパケットについては学習精度が低くなる傾向がある．攻撃検知を有効にするためには，CAN通信設計によってアービトレーションを減らす設計が必要だと思われる．

あらゆるモノがインターネットに接続するIoT (Internet of Things)社会が本格的に到来しようとしている．これにより，多様で有益なサービスがインターネットを介して受けられる一方， インターネット上で攻撃の標的となる機器が増加している問題は無視できない．こうした問題への対処には，インターネット上で発生した攻撃動向を迅速に提供する，ダークネット観測システムの活用が知られている．このシステムは，未使用のIPアドレス帯で攻撃パケットを観測・分析し，ネットワーク管理者及び一般ユーザ向けに，セキュリティ対策情報を提供する．本稿では，日々複雑化するダークネット上の攻撃パケットを新たな観点から解析するため，近年注目を集める位相的データ解析 (TDA: Topological Data Analysis)の1手法，TDA Mapperを解析に利用する．評価実験では，実際のダークネットによって観測された攻撃パケットに位相的データ解析を適用することで，攻撃パケットの可視化を行った．可視化された攻撃パケットの全体像や攻撃パケット間の関係を抽出した例を考察し，提案手法の有効性を報告する．

ダークネットに届く通信を観測することよりインターネット上における大局的なサイバー攻撃の傾向を把握することができる．人間が全てのサイバー攻撃を把握するのは非常に大変であることから，我々はダークネットトラフィックを用いたリアルタイムかつ自動的にサイバー攻撃を検知するための手法の研究に取り組んだ．しかし，通常ダークネットにおけるサイバー攻撃の正解表はないため，我々の手法によりリアルタイムに検知したサイバー攻撃の検知精度を評価することは難しい．本稿では我々の手法の検知精度を向上させるために前処理の段階で忘却機能付きポート除外の自動化方法を提案・導入し，我々が運用・観測しているダークネットにおける2018年10月時点での1ヶ月間のサイバー攻撃を分かる範囲で作成した正解表と本手法からリアルタイムに検知した結果との比較を行った．その結果，サイバー攻撃検知の正解率91.2%，適合率100%，再現率91.2%，F値95.4%という結果を得た．

本研究では，深層学習を用いてダークネットで観測されるボットネットの協調動作の解析を行う．はじめに，先行研究で用いられている非負値行列因子分解 (NMF: Non-negative Matrix Factorization)やサポートベクターマシン(SVM:Support Vector Machine)を用いた手法をふまえ，深層学習を用いた手法を検討する．その上で，Recurrent Neural Network(RNN)の一種であるLong Short-Term Memory(LSTM)を用いてZMapやMasscanなどの複数のスキャナのスキャントラフィックが識別可能であることを事前実験により確認する．その後，ボットネットの実データを用いた実験を行う．実験にあたっては，情報通信研究機構が運用するNICTERで観測されたボットネットのスキャントラフィックを教師データとし，モデルの学習を行う．このモデルを用いて，NICTERで過去に観測されたボットネットのスキャンを解析する．具体的には，ダークネットで観測された複数のボットネットによるスキャンの類似性を判定する．また，スキャンの標的IPアドレスの重複や推移，統計などを踏まえて，本手法を考察する．

近年，ノートパソコン，モバイル機器，IoT機器など，様々な機器がバッテリーを使用している．バッテリー消費はエンドユーザーの利便性に深く関わる要素であるが，悪意ある攻撃を想定した場合，その脅威はエンドユーザーの利便性低下にとどまらず，大量の電力消費を利用した電源供給設備への攻撃にまで脅威が及ぶ可能性がある．大量な消費電力が発生する原因の一つとして，消費電力の大きいプログラムの動作が挙げられる．中でも，入力に依存するプログラムの場合，入力を変化させることで消費電力を大きくすることが可能となる．本稿では，消費電力の大きい要因を調査し，要因となり得る入力をファジングによって自動的に発見することで，消費電力の大きい入力を自動的に発見するPoCoFuzzを提案する．ファザーである「American Fuzzy Lop」を用いてPoCoFuzzを実装・評価することで，提案手法の有効性を示す．結果として，検証プログラムに対して，初期に生成された入力と比較して，約17.4倍消費電力が大きいと推定される入力の生成に成功した．

国内金融業界におけるオープンAPIの導入方針に沿って, 近年では更新系APIを公開する金融機関も存在し, FinTechビジネスはさらに広がりを見せている. 金融関連のAPIの開放においては, 権限の認可にOAuth 2.0が推奨されている. OAuth 2.0はユーザクレデンシャルを認可先に渡さずに, 権限のみを委譲する認可フレームワークである. さらに, 更新系APIの開放においては, OAuth 2.0では対象外であるユーザの意図しない更新系操作への対策が議論されている. 本稿では, 複数ユーザが関わる金融取引の中で, それぞれ別の金融機関の更新系APIを用いるようなサービスを想定し, 本サービスにおける更新系操作の不整合への対策について考察を行う.

Verifiable delay functions (VDF) proposed by Boneh et al. (Crypto'18) has several applications on blockchain based systems, random beacons and etc. Although the highly practical applications, less than a handful of constructions are known due to the need of efficient public verifiability. In the best of our knowledge, the only two constructions are from Pietrzak (EPRINT' 18) and Wesolowski (EPRINT' 18). In this paper, we define a VDF variant, which we denote by verifiable sequential work (VSW). The main idea is to take the sequential computations in VDF to reduce the difficulty of a hard problem to a moderated hard level. We construct a weakened VSW which needs a trusted third-party to run the generation phase: the VSW with trusted generator (VSWTG). The construction achieves a simple, one message and one group exponentiation publicly verifiable VSWTG. It is a more computational efficient verification procedure than the known VDF verification constructions. We regard the need for a trusted party as a necessary trade-off, however, we conjecture our variant may be easier to find other candidate constructions than the VDF definition. Finally, we formalize the idea of the Rivest-Shamir-Wagner (RSW) time-lock puzzle to a new primitive that we call trapdoor iterated sequential functions (TDISF) and investigate on its possible candidates.

キャッシュレス決済の手段としてQRコードの利用が進められている．QRコードは高い認識率を誇るものの，人は保存された情報をデコーダなしで知ることができない．悪意のあるものが偽装したQRコードを作成し，不用意な操作から悪性サイトに導かれたり，不正送金をしてしまうことが問題となっている．QRコードを利用した決済が広まりつつある中で，その安全性を十分に検証する必要がある．著者らは既に誤り訂正符号の性質を用いて，二つの情報を出力するQRコードを開発している．提案QRコードを悪用すると，通常は正常なサイトに誘導するが，稀に悪意のあるサイトに誘導する偽装QRコードを作成することができる．悪意のあるイベントの再現性が低いため，偽装QRコードの存在を検知することは困難である．本稿では，消失訂正を用いて任意の二つの情報を出力するQRコードの構成方法を与える．提案手法により，正規のQRコードとの差異が小さい偽装QRコードを構成可能である．さらに，偽装QRコードの具体的な対策について述べる．

準同型暗号は、暗号化されたデータに対する演算処理を、暗号文を復号することなく実行可能な暗号技術である。 この性質から準同型暗号は、データを暗号化して収集し、収集したデータに対する計算を暗号化したまま行うデータアグリゲーション方式への応用が可能である。 データの収集と計算を第三者に委託する場合においても、準同型暗号を用いることでデータの秘匿が可能である。 しかし、準同型暗号だけでは計算結果の正しさを検証できず、第三者が正しい計算を実行することを信頼しなければならない。 このような問題に対処するため大原ら（APKC2014）は、データを秘匿したまま第三者へ計算を委託可能かつ計算結果の正しさを復号時に検証可能な方式をスマートメータシステム向けに提案した。 しかし、大原らの方式はその安全性に関して、直観的な議論しか行われていない。 そこで本論文では、大原らの方式を検証可能準同型暗号（VHE）として一般化し、VHEに対する安全性定義を行う。 また、我々の安全性定義のもとで、一般化した大原らの方式に対して安全性証明を行う。

完全準同型暗号を用いた，integer-wise型の整数除算演算の秘密計算アルゴリズム(秘密除算)を提案する.Integer-wise型のアルゴリズムでは，平文を整数そのまま完全準同型暗号で暗号化する.一方，bit-wise型のアルゴリズムでは，平文は二進数へ符号化し，その後1ビットずつを平文として暗号化を行う.現在提案されている完全準同型暗号における秘密除算は，全てbit-wise型のアルゴリズムであり，integer-wise型の秘密除算は今まで提案されていない.計算量に関しては，入力の整数の大きさをl-bitとした時，従来手法が演算回路における準同型乗算の深さがO(l^2)であるのに対して，提案手法の深さはO(l)であることを示す.また，提案手法を実装し，従来の手法よりもおよそ2.45倍高速である結果を得た. さらに，提案手法を一般化し，任意の2変数関数の秘密計算アルゴリズムを提案する. このアルゴリズムの計算量のオーダーは我々の秘密除算と同じであり，準同型乗算の深さも同じくO(l)で実行可能である.

通信インフラが発展したことにより，計算能力の低い端末からクラウドにデータを送り，クラウドが計算を肩代わりするクラウドコンピューティングがすでに実用化されている．しかし，送信したデータをクラウドサーバ側が悪用しないとは限らず，クラウドサーバにデータの内容を明かすことなく計算を肩代わりして欲しいという要求は自然である．この要求を満たすべく2018年に陸らによって提案された大小比較プロトコルは，「入出力以外にクラウドサーバとの通信を必要とせず」「実用的な入力サイズ（16bit以下）において既存方式より計算量が小さく」「出力に対して追加の通信を行うことなくさらに加算が可能」な方式であった．この方式は出力に対してさらに演算が可能であるため，より大きなアプリケーションに組み込むことが可能である．ただし，加算（と定数倍）のみが可能で乗算はできないため，アプリケーションの制約が大きい．本研究は，この陸らの方式を改良し，出力に対してさらに乗算が可能な非対話型大小比較プロトコルを提案するものである．さらに，暗号方式にBGV方式を用いる場合，追加の機能として出力の暗号文の次元を削減する機能を提供する．

準同型暗号は情報を秘匿したまま計算する手法の一つとして様々な場面で使われる． そのとき，暗号文作成者が正しくプロトコルに従っているかを検証したいことがある． たとえばあるプロトコルが，0か1の要素からなるn次元ビットベクトルの暗号文を扱う場合，各要素の暗号文が0か1であることを検証したい． ゼロ知識証明を用いてそれを検証する場合，nに依存して証明が大きくなる場合が多い． 本論文ではレベルd準同型暗号において，複数の平文が満たすべき命題が高々d次の連立多項式の共通解として表現できるとき， それを一つのゼロ知識証明に還元する手法を提案する． そして特にd=2のときについて紛失通信や平文空間の範囲制約などに適用する．

証明者が自身の内部で秘密計算を処理し，処理の等式成立を外部から検証可能な状況の実現を考える． 完全準同型暗号によって暗号文の状態で計算処理を行うが，復号することなしに暗号文の状態で等式の成立を示したい．このために平文m=0が検証可能な非対話ゼロ知識証明を提案する．

ブロック暗号の安全性を向上させる方法として、Tweakと呼ばれる公開値を入力するTweakableブロック暗号がある． 本稿では軽量64 bitブロック暗号TWINEを基にしたTweakableブロック暗号の構成方法について検討する． 具体的な構成方法としては，ハードウェアで軽量に実装可能な置換ベースのTweakスケジュール関数を考える． この構成に対して，混合整数計画法を用いた関連Tweak差分攻撃について安全性評価を行う． 結果として、19ラウンドで，Active Sbox評価において関連Tweak差分攻撃に対して安全な構成を示す．

FeWは2014年にKumarらによって提案された64ビットブロック暗号であり，鍵長は80ビット及び128ビットをサポートしている．これまでに，FeWには9ラウンドの高階差分特性が存在し，この特性を利用することによって，鍵長が80ビットのとき，12ラウンドのFeWに対して高階差分攻撃が可能であることが報告されている．なお，9ラウンドの高階差分特性の成立理由については示されていない．本稿では，FeWの新しい高階差分特性について報告する．具体的には，3ラウンド拡張が可能な新しい6ラウンドの21階差分特性を発見した．また，鍵スケジュール部を解析した13ラウンドのFeWに対する高階差分攻撃の結果を述べる．

QTL-64は2016年にLang Liらによって提案されたFeistel構造を持つブロック暗号である。QTL-64のデータ量はブロック長64bit、段数16段、鍵長は64bitである。QTL-64の提案論文では線形解析、差分解析、代数攻撃に対する安全性評価は行われているが、不能差分攻撃に対しては評価が行われていない。不能差分攻撃とは、差分確率が0となる特定の入出力差分を用いて解読を行う方法である。出現確率が0である入出力差分(つまり、実際には出現し得ない入出力差分)と一致したときの鍵を偽鍵とし、偽鍵を捨て、鍵推定を行う。本稿ではQTL-64に対しS-boxの差分特性から4.5段の不能差分特性を発見し、このパスを用いて6.5段の鍵回復攻撃を行えることを発見した。

柳原らによってType-1.x 一般化Feistel構造が発表され，その構造はブロック暗号のSimpira v1などに用いられた．しかし，その構造には脆弱性が存在し，その結果Simpira v1が破られる原因となった．そのため我々は，Type-1.xについて再評価が必要と考え，変化するブロックシャッフルごとに暗号構造の安全性を評価する．多くの構造を探索するために計算機を用いて，整数計画法による包括的な安全性評価を行った．評価する値として，差分伝播，差分解読法，線形解読法，Integral攻撃法，そして不能差分攻撃法の5種類を評価した．また，関数構造の入れ替えなどを用いて，探索範囲を縮小や簡略化させる技術も考案した．結果として整数計画法を用いたことによる評価値の更新に成功し，分岐数8以下の網羅的な探索が可能となった．

一般化Feistel暗号はnビットのラウンド関数からdnビット（d>2）のブロック暗号を構成する手法である．ラウンド関数を小さくできることから小型実装に適しているが，サブブロックのシャッフルとして用いられている左巡回シフトの拡散特性が悪いという欠点を持つ．これに対し，YanagiharaとIwataはType-1一般化Feistel暗号について，より拡散特性の良いシャッフルを示した．Dong，Li，Wangおよび伊藤，岩田がType-1一般化Feistel暗号に対する量子識別攻撃を示しているが，改良されたシャッフルを用いた場合の攻撃可能ラウンド数は明らかでない．本稿では改良されたシャッフルを用いたType-1一般化Feistel暗号について，d =5，8，10に対し量子識別攻撃が可能なラウンド数を示す．

手の形を用いるバイオメトリック認証方式を発表する．グー，チョキ，パーのような日常生活で使うことが多い手の形は各個人に固有の特徴を有する可能性がある．赤外線を用いて手のジェスチャをコンピュータに入力できる入力装置 Leap Motion Controller を用いて，手の形を対象とするバイオメトリック認証方式を試作した．手の指の骨の長さと幅，指と指の距離や角度等を用いて実験を行った結果を示し，実用性について考察する．5名の被験者に対して，チョキとマハロを対象とする認証方式の実験を行った結果，本人はほぼ100％の確率で認証され，他人へのなりすましは0％の成功確率だった．

Deep Learning が画像認識の分野で人間に近い性能を達成して以来，多くの手法が提案され，様々な分野で Deep Learning を用いた手法が利用されている．生体認証においても Deep Learning を用いた手法が数多く提案されているが，必ずしも全ての生体認証の問題において利用されているわけではない．過去6年の生体認証に関する研究動向から Deep Learning と生体認証の関係性を示す．

顔画像を用いた生体認証技術は，スマートフォンや入場ゲート等において広く用いられている．生体認証では，なりすましによる攻撃が問題となっており，顔認証においても，印刷物やディスプレイを用いたなりすまし手法が存在する．これらの手法に加え，近年では3Dマスクを用いたなりすまし手法が注目されている．3Dスキャナや3Dプリンタ等の技術進歩により，高精度な顔の3Dマスクの作成が可能となっており，素顔と3Dマスクを判別する手法が求められている．そこで本稿では，Convolutional Neural Network (CNN) を用いて3Dマスクによるなりすましを検知する手法を提案する．8種類の3Dマスクと10人の素顔が含まれるデータセットを新たに作成し，この一部を用いてCNNを学習する．同データセットを用いた検証実験により，学習されたCNNを利用することで，未知の入力に対して高精度な生体検知が可能であることを示す．

カメラを用いて個人を識別・追跡し，防犯や商用に活用する動きが進んでいる．これまでに歩き方から特徴を抽出する種々な歩容識別手法が提案されているが，歩きスマホや大きな荷物を持つなどの様々な外乱に対して精度が落ちる課題があった．そこで，我々はMicrosoft社のKinectから得られる3次元の時系列データにDTWを適用し，複数の特徴量を組み合わせてk近傍法(k-NN)を求め，外乱の影響にロバストな識別手法を提案する．145名の被験者を用いて精度評価を行い，箱を持つ，スマートフォンを操作する，手足を大きく振るという3種類の外乱に対してロバストであることを報告する．

近年の急速な技術革新に伴い、IoT（Internet of Things）が実現する高度情報化社会は人々にとって身近なものとなりつつある。このような社会では、様々なモノに組み込みセンサが備えられ、その安全性を担保する計測セキュリティは、最も重要な技術的課題の一つとなる。特に、ロボット介護等の人の生活に密に関わるアプリケーションにおいて、組み込みセンサに対する信号の偽装やジャミング等の外部擾乱による物理的な攻撃は人命にも関わる深刻な脅威となり得る。本論文では、近年、広く測距・測速度センサとして普及が期待されているミリ波無線帯を利用したFMCW (Frequency Modulated Continuous Wave) レーダを対象に軽量かつ簡易な自動安全評価システムを構築した。比較的入手が容易な、Arduinoと既存レーダモジュールを利用することで追加のハードウェアコストを抑えた軽量なシステムの実装を目指した。構築した評価システムを用いて、外部からの擾乱信号の混入に対する検出性能劣化の感度を解析・測定して、その対外部擾乱安全性を評価した。

センサの計測値が信頼できることは、その計測値に依存して制御を行うシステムの安全性の大前提である。そうした中で、今後IoT システムでの普及が期待されている距離・速度センサに妨害信号を与え、計測値を誤らせる攻撃の危険性が指摘されている。距離・速度センサの一つである、ミリ波帯を用いたFMCW レーダへの既存のセキュリティ評価では、普及が進んでいる変調方式であるスローFMCW が主な対象となっている。一方、ファストFMCW は、より高精度な計測が求められる用途での利用が期待される方式であり、今後の普及が予想される。しかし、信号処理方式が従来とは異なり、これまでの攻撃や対策をそのまま適用することはできない。 そこで、本研究では、ファストFMCW に着目し、ジャミングと欺瞞攻撃への耐性を、シミュレーションと無線レーダボードを利用した実機実験とで評価する。ジャミングは、距離と相対速度の計測に悪影響を与え、欺瞞攻撃は、距離と相対速度を偽装した偽の物体を検出させる可能性があることを示す。

近年、センサに対する意図的な取得データを改ざんするなどの脅威に関するセキュリティを扱う計測セキュリティの研究が盛んとなっている。攻撃者がセンサに対して攻撃を行う場合にセンサの動作情報を取得することが考えられる。セキュリティの分野では非接触な情報取得手法として電磁波による情報漏洩が検討されている。センサからの放射電磁波の強度はEMCの規格を満たしているが、微弱な放射電磁波であっても時間変化を観測することにより内部動作の推定できる可能性がある。放射電磁波による動作タイミングの取得が可能な場合、超音波より高速に伝搬することによる攻撃の容易化や、超音波の届かない範囲での攻撃による検知困難化によりセキュリティのリスクが高まると考えられる。本発表ではTime of Flight方式の距離センサに対して放射電磁波からなりすまし攻撃に必要な動作タイミング情報が抽出可能であるかを検討する。

近年，半導体の製造過程のばらつきにより，デバイス固有の識別情報を生成するPhysically Unclonable Function（PUF）に注目が集まっている． ウェアラブルをはじめとするIoTの普及により，さまざまな端末がサービスを利用しており，安全なサービスを実現するためには，端末の認証，通信データの暗号化，暗号化鍵の適切な管理が必要である． IoTにおいてPUFを利用することができれば，偽造が困難な識別情報を利用した安全な認証を実現できる． また，PUFを鍵生成関数として利用することで，端末に暗号化鍵を格納することなく通信データを暗号化し，保護することができる． しかしながら，従来のPUFでは，専用のハードウェア，もしくは識別情報の抽出のための専用のソフトウェア（ドライバ）を用いることが一般的である． このため，多数の端末製造者が存在し，多種多様な端末を利用するIoTにおいて，従来のPUFをそのまま利用することは困難である． そこで，多くのウェアラブル端末に搭載されている加速度センサやジャイロセンサ等のセンサの特徴量を利用し，端末識別を行うことが考えられる． 本稿では，ジャイロセンサを利用した端末識別方式における識別性能およびロバスト性を評価する． 評価の結果，ジャイロセンサからは同一の識別情報が安定して抽出できることが判明した. また，Fuzzy Extractorを利用しない場合は，約81.2ビットの識別情報を抽出でき，Fuzzy extractorにより各特徴量に対し1ビットの誤り訂正を行う場合は，約57.7ビットの識別情報を抽出できる．

ユーザーの利便性と安全性の向上の観点から、自動車や家等の鍵の開閉をスマートフォンで行えるスマートフォンキーのニーズが高まっている。スマートフォンキーの運用にあたっては、サイバー攻撃への対応など、セキュリティの確保が求められている。スマートフォンキーにおけるセキュリティ要求の一つとして、スマートフォン内の鍵情報の保管が挙げられる。これに対し、SIMなどのセキュアエレメントで鍵情報をセキュアに保管することが考えられている。しかし、実際のシステムでは、全てのスマートフォンでそのような特殊ハードウェアが使用できるとは限らない。そこで本稿では、特殊ハードウェアに依存しないスマートフォンからの秘密情報の漏えい耐性を強化する方法として、パスワードを利用した方式を検討する。そして、パスワード認証の方式としてLR-AKEを適用したスマートフォンキーシステムを提案し、その攻撃耐性について検討を行う。

Passive Keyless Entry and Start (PKES) system are widely used in smart car systems allowing unlock and start a car within a range of a paired key fob; no user interaction is required. It is one of the famous IoT application in the automobile sector. This work presents DST 40 cipher(40 bit) security protocol between a car and key bob. We will discuss that these systems to be vulnerable to relay attacks or time-memory trade-off attacks (TMTO). Our research aims to resist a modernized PKES system to possible attacks.

UDS (Unified Diagnostic Services, ISO 14229-1) の規格としてAuthentication Serviceが規定された。本稿では、その実装方法として、SHE (Secure Hardware Extension) を活用した共通鍵ベースの認証手法を提案する。また、本手法における事前共有鍵の運用方法について考察する。 Authentication Service is newly defined in UDS, ISO 14229-1. We propose a symmetric key based authentication scheme using SHE. And also we discuss about an initial key distribution of this scheme.

Electronic Control Unit（ECU）に対する強制駆動やリプログラミングなどの重要な診断機能を保護するために，ISO/DIS 14229-1準拠のAuthentication Service $29（以下，サービス$29）の拡がりが期待されている．ここで，もしサービス$29が悪用されると，未公認の診断ツールがController Area Network（CAN）に接続されたり，想定外の診断作業が行われてしまう懸念がある．そこで本稿では，ECUの診断において，作業員を認証し，その属性と作業内容を鑑みた認可データを発行・検証する仕組みを提案する．これは，ECU側でサービス$29における認証用の共通鍵，もしくは公開鍵証明書を1つ管理しておき，認証と認可データの完全性を検証する方式である．車両単位で発行される1つの鍵で，従来からのセキュリティアクセス・レベル（以下，認可レベル）の制御も担えるようになり，タクトタイムの厳しい生産ラインでの鍵書込みの実現を目指す．

車載CANバス上の車両状態信号を偽装することで車両の不正操作を誘発する攻撃方法と、その実車における攻撃評価結果を示す。車載CANバスに対する従来の攻撃方法としては、アクセル・ステアリング・ブレーキ等のアクチュエータを直接操作指示するADAS制御指示信号を偽装したCANメッセージの送信により不正操作するものであった。一方、車速や前方車間距離などのセンサ値やADASのON / OFF状態等の車両状態信号を偽装したCANメッセージの送信により、ADASの制御を行うECUに「ADAS制御指示が必要である」と誤判断をさせることで、ADAS制御指示信号を含むCANメッセージの誤送信を誘発する間接的な攻撃方法も考えられる。そこで本稿では、上記のような車両状態信号の偽装によってアクチュエータの不正制御を誘発する攻撃方法について、車両による評価実験を実施し、攻撃が実現可能であることを示す。そして、前記攻撃への対策方法について考察する。

標的型攻撃などのサイバー攻撃の脅威が高まり，多くのインシデントが発生している．対応するセキュリティ人材が不足し，人材育成が喫緊の課題となっている．一部の大学や民間企業は，市販の実践的な演習システムを利用した教育を行っているが，導入や運用には高いコストがかかり，高等教育機関や中小企業で利用することが困難である．このため，VirtualBox，Dockerを利用した仮想計算機環境からなるサイバーセキュリティ演習システムCyExecを開発した．また，CyExec上にOSSの脆弱性診断学習プログラムWebGoatの実装および攻撃と防御演習プログラムを開発し実装した．

ソーシャルエンジニアリングとは、システムを運用する人間の心理的な脆弱性を狙った攻撃である。当該攻撃の対策として、現代心理学などを活用した手法が提案されているが、著者らはこれらとは別のアプローチを取る。具体的には2つある。1つは、深層心理や心の働きを論理的に説く仏典をもとにして「人が騙される過程」を明らかにするとともに「騙されないようにするための方法」を探求することである。もう1つは、信仰的な面を取り払った仏教の応用であるマインドフルネスをベースとしたソーシャルエンジニアリング対策プログラムの構築可能性を検討することである。本論文では、後者について報告する。マインドフルネスは瞑想プログラムであるが、その効果は科学的に証明されており、うつ病の治療や業務効率の向上、ダイエットなどに応用されている。著者らはマインドフルネスの実施により、個人のセキュリティに対する意識が向上する可能性があると考えた。具体的には、セキュリティ対策を後回しにする傾向性の改善、情報共有をしようとする意識の向上である。これらは、不正や違反を放置する組織風土の改善につながるものと期待される。

情報セキュリティ技術の一つである暗号技術は現代の情報通信において必要不可欠なものとなっており、PCやスマートフォンといった様々な情報機器での通信において利用されている。しかし、情報機器利用者の多くは暗号技術の実態をあまり知らずに利用しているのが現状である。我々は、暗号技術を非専門家に理解してもらうことを目的として、SNSのチャット上で暗号技術（コミットメント）を用いてじゃんけんを行うアプリ「CryptoJanken」を設計・開発した。このアプリはじゃんけんを行う過程で、暗号技術を安全に利用するためには適切な要素技術やパラメータの利用が必須であることが学べるように設計されている。我々はアプリを設計・開発しただけでなく、実際に開発したアプリの学習効果検証を目的として15人の学生にアプリを使用してもらい、学習内容の理解度テストを行った。本稿ではCryptoJankenを紹介し、被験者実験とその結果について報告する。

本稿では，耐誘導コミュニケーション研究の一つの方向性を説明する．耐誘導コミュニケーションとは，攻撃者の誘導により標的に不利益な行動を選択させる攻撃において，攻撃者の誘導から標的を防御するための情報交換のことである．攻撃者と一人の標的が，電話等の情報交換で金銭を振り込む事例や，攻撃者と複数の標的が，電子メールを介した情報交換で情報漏洩をする事例等が研究対象になる．これには，ソーシャルエンジニアリング等の標的の立場における防御手法を研究することが含まれる．我々は，攻撃者と標的の会話を分析することで，標的が誘導される条件が整う瞬間や，標的が攻撃者の願望を自身の願望とみなす瞬間を検知したいと考えた．これら瞬間の検知が可能になれば，誘導に対する防御や各種保障措置の起動が可能になるからである．現在我々は，振り込め詐欺の会話事例における話者の意図の変化を，選択理論心理学に基づいて分析している．本稿では，その分析方法と途中経過を報告する．

SNSや位置情報を活用した技術により、ユーザ自身が欲しい情報を的確に得られるような技術が提案されており、様々な応用が考えられる。例えば、ある場所で犯罪が起きた際に、犯罪の情報と、発生地点のGPS情報がデータベースに登録されていれば、ユーザが近づいた際に、プッシュ通知で近辺では犯罪の危険があることを通知して、危険を喚起することが可能となる。このようなシステムを実現するには、犯罪の情報がシステムに利用可能な形である構造データの形式で、データベースに登録されている必要がある。現在、様々な犯罪の手口に関する情報がインターネット上に存在するが、それらの情報はシステムが活用できない非構造データである。そのため、活用するためには構造データへの変換が必要である。このような非構造データを、構造データへ変換するアプローチもあるが、自然言語処理技術が発展途上であり、精度に課題がある。そのため、本稿では別のアプローチとして、システムが必要な情報を直接入力させるようユーザを誘導するチャットボットを提案する。合わせて、収集した情報の活用方法として、ユーザの位置情報等を活用し、犯罪情報を通知する仕組みも提案する。

The paper proposes a protocol to perform fair dice rolls in online games with help of public blockchain. Typically the outcome of dice rolls in online games are generated solely by game servers, making players suspicious about its fairness. Our protocol exploits a pseudorandom number generator for the outcome of dice rolls, where its random seed is jointly generated by the server and player(s). The choices of random seed chosen by the server and players are cryptographically committed on a public blockchain to prevent deviation from honest execution of the protocol. The players can verify the correctness of the outcome of dice rolls. If there is a dispute, a judge can determine who is to blame. We further prove the protocol satisfies desirable properties.

近年、電力・エネルギー分野は、有望なブロックチェーンの活用分野として期待されている。今回われわれは、DR制御の成功率向上策として、アグリゲーターから需要家に節電を依頼する従来型の制御に加え、余剰電力を持つ需要家からブロックチェーンを介して他需要家に融通する電力P2P融通取引で節電に不足する電力量を補う、ハイブリッド型のＤＲシステムを提案する。また、電力P2P融通取引に特有な制約条件を満たすように電力P2P融通取引を行う評価システムを試作したので紹介する。

ブロックチェーン技術の進展と、その社会実装が、情報の信頼性や安全性のみならず、広く国民の利便性の向上と行政の効率化等に資することにつき、公共部門への実装について具体的な分野を特定し、その設計モデルを組み立てる。さらに、政府あるいは自治体が国民あるいは住民等に対してトークンを発行し、これが行政におけるブロックチェーン基盤と結びつくことにより、どのような社会的便益がもたらされるかについて論考する。これらを通じて、暗号通貨の今後の在り方についても展望する。

In this paper, we propose an anonymous English auction scheme that utilizes trusted hardware and blockchain for the enhancement of the privacy of the participants and the correctness of the auction. We use group signature to provide anonymity to the bidders. The hardware-based trusted execution environment (TEE) is utilized to ensure that the group manager de-anonymizes a group member only once for deciding the winner. To combine with the group signature, blockchain transactions are modified to contain group signature instead of digital signature.

IDベース暗号 (Identity-Based Encryption, IBE) において, 鍵生成センタ (Key Generation Center, KGC) は自身の持つマスター秘密鍵を用いて秘密鍵を生成する役割を担う. KGCは任意の値に対して秘密鍵を発行できる一方で, 潜在的に全ての暗号文を復号できる能力を有する. そのため, 如何にして鍵生成センタに対する安全性を保証するかは重要な課題である. 本論文では, KGCに対して安全な, すなわち暗号文の送信者と受信者以外, 平文に関する情報を得ることはないIBE方式の安全性モデルを定式化し, 格子ベースの構成を与える.

本稿で，我々は，適応的に安全な鍵失効機能付きIDベース暗号(RIBE)のより効率的な構成法を提案する．現在知られている方式で最も効率が良いものとして，Watanabeらの方式と高安の方式がある．これらの方式は，ほぼ同じ効率だが，高安の方式には二つの長所がある．Watanabeらの方式の安全性は，標準的でないSXDH仮定の亜種に基づいているが，高安の方式の安全性は，標準的なk-linear仮定に基づいている．さらに，高安の方式は，Watanabeらの方式より帰着ロスが小さい．これらの差が出た要因として，高安は，RIBEの安全性証明においてdual system encryptionを用いたことが挙げられる．そのため，本稿で，Watanabeらの方式の安全性証明を，高安と同様の方法で行う．そして，技術的な理由で，暗号文・更新鍵・復号鍵サイズが大きくなるが，Watanabeらの方式は，k-linear仮定に基づいて高安の方式と同等の帰着ロスで安全であることを示す．さらに，高安の証明法をより精密に解析することで，両方式ともにマスター公開鍵サイズを削減できることを示す．

内積関数型暗号は，扱うことができる関数クラスが内積に限定された関数型暗号である．大雑把には，マスター秘密鍵と呼ばれる鍵を持つパーティはベクトルを埋め込んだ秘密鍵を発行することができ，暗号化されたベクトルをその鍵で復号すると，秘密鍵に埋め込まれたベクトルと暗号化されたベクトルの内積値だけが復号されるという性質を持つ．一般に，暗号方式の安全性を証明するとき，その暗号方式を破る難しさを計算量的仮定に帰着させるが，それがどのくらい効率的に帰着できるかという度合いをセキュリティ損失という概念で評価する．暗号方式の安全性証明におけるセキュリティ損失が定数であるとき，その暗号方式は緊密安全であるという．本論文では，これまで構成方法の知られていない（マルチチャレンジにおいて）緊密安全な内積関数型暗号を提案する．

関数型暗号は、復号者がある関数に応じた復号鍵を鍵発行機関から発行され、その復号鍵を用いることで平文に対する関数の結果のみを知ることができるという暗号方式である。標準モデルでは実用的な構成は知られていないが、Intel SGXをモデル化したハードウェアモデルでは実用的な関数型暗号を構成できる。本発表ではその拡張として、複数入力関数型暗号を構成する。ただし、提案方式は、入力を制御可能な新しいモデルの上で構成している。提案方式の応用として、動的に変化する暗号化データベースに対するデータ解析に応用できる。

本論文では，Intel Software Guard Extension(Intel SGX)による関数型タイムリリース暗号(Timed-Releaase Functional Encryption, TRFE)を提案する．我々はFunction UnforgeabilityというCollusion Resistanceより強い安全性を定義し，Intel SGXのトラストモデルの下でFunctional Encryption(FE)を実現したIRONは，Function Unforgeabilityを満たしていることを説明する．タイムリリース暗号は，Timothyらによって"未来にメッセージを送信する"ことを目標に作られた暗号方式で，ある時間が経過するまでは復号できないことを保証する暗号方式である．そこで我々は，IRONのFunction Unforgeabilityに注目して，TRFEを実現し，IRONによって実現されたTREについて考察する．

ペアリング暗号の安全性は, 拡大体上の離散対数問題の計算困難性に依存しており, この問題を解く漸近的に最速なアルゴリズムが数体篩法となる. 数体篩法では, ある数体上での非自明な関係式を導く必要があり, その際に数体を定義する為の既約多項式を特定の条件下で事前に選択しなくてはいけない. ここで, 事前に選んだ多項式が全体の計算量に影響する為, どのように適切な多項式を選ぶかが問題となってくる. 6次拡大における適切な多項式選択法として, Conjugation method, Sarkar-Singh methodが知られている. この2種類の多項式選択法は, そのアルゴリズムの中で係数の小さい3つの多項式を入力として選ぶが, 出力される多項式はこの3つの多項式によって異なり多数存在する. 本稿ではこの2種類の多項式選択法において, 適切な多項式を効率的に見つける方法を考察する.

Gを位数が素数pの群、gをその生成元とする。 0 <= x < wのとき、 y=g^xからxを求める小さな離散対数問題は、 カンガルー法によりO(sqrt{w})の計算量で解くことができる。 本稿では、L個の小さな離散対数問題を、 O(L*sqrt{w})ではなくO(sqrt{Lw})の計算量で解くアルゴリズムを示す。

ナップザック暗号を含む積和型公開鍵暗号は，秘密の剰余変換を用いて公開鍵を生成しており，この剰余乗算変換の法を秘密にしている．筆者らは，この秘密の法を適切なサイズの整数値に置き換えて攻撃を行うことにより，秘密の剰余変換のパラメータの比を十分な精度で計算する攻撃を提案した．本稿では，この提案攻撃が，剰余演算の法を秘密とする他の公開鍵暗号の公開鍵攻撃にも用いることができることを示す．具体的には秘密の法が素数の積であるような積和暗号への攻撃を試み，十分大きなパラメータで公開鍵攻撃が可能であることを示す．また，秘密の法の代わりに用いる，秘密の法よりも大きな法の大きと等価秘密鍵の精度との関係を明らかにする．

“One-more” problems have been used widely for proving the security of various cryptographic schemes. However, the existing works have claimed that for computational problems with random self-reducibility such as discrete logarithm problem and RSA, the following black-box separation holds: it is impossible for any black-box reduction to prove the hardness of a “one-more” problem based on the hardness of its “regular” one if the regular problem itself is hard. Hence, it has been believed that it is unlikely that we can validate the hardness of “one-more” problems even though we can guarantee the hardness of their “regular” ones. In this paper, we provide a proof that the hardness of one-more discrete logarithm problem in the generic model can be guaranteed by the hardness of the regular discrete logarithm problem in the generic model, under a certain assumption. We show that the assumption we use is reasonable in the real world based on the work by Yun at Eurocrypt ’15 on the hardness of “multiple” discrete logarithm problem. The center of our technique is a reduction algorithm, which might be interesting in its own right since it can bypass the existing black-box separations using some subtlety which seems overlooked in the existing works so far.

これまでRSA暗号に対して，復号指数の上位ビットもしくは下位ビットが得られたときの多項式時間攻撃アルゴリズムが，活発に研究されてきた． この攻撃設定において，Ernstらの攻撃(Eurocrypt'05)とTakayasuとKunihiroの攻撃(SAC'14)が，現在知られている最も良い攻撃である． TakayasuとKunihiroの攻撃は，上位ビットが得られる場合はd

　新たなシステム安全（セキュリティ）解析手法STAMP/STPAが，今後のIoT/CPS等の複雑化したシステムの解析に適した手法と注目され始めている．本手法は，従来手法では見出せない，構成要素の物理的な故障ではないソフトウェア異常や要素間のインターラクション異常等のシステム特性に関する異常も特定できる手法といわれている．一方IoT/CPSでは，従来独立していた物理的な機器やサブシステムがICT機能の組込み等によりネットワーク接続されるため，従来の安全性観点のハザード分析に加えて，セキュリティ観点のハザード分析を補強することが重要になってきている．しかしながら，安全とセキュリティの各々個別の分析手法はあるが，両観点を含む統合分析手法は一般的にも未だ確立されておらず検討が進められているところである．そこで，本論では，STAMP/STPAが両観点を含むことができる共通的なインターラクション異常を扱う手法である点に着目し，手法の改良・拡張で安全・セキュリティの両観点を分析できるハザード統合分析方式を提案する．

モデルベースを用いた開発が現場で普及しつつある。我々は、その開発においてセキュリティ機能の自動適用を目標に研究している。我々は、この自動適用に対して2つのフェーズで実施を検討している。第1のフェーズは脅威分析、第2のフェーズは脅威分析を根拠にした対策の抽出である。第1フェーズで分析者と開発者、両方の負荷になる作業の一つに情報資産の抽出と、抽出した資産へのセキュリティ分類におけるCIA値などの潜在的影響値の付与がある。本稿はこれら負荷の軽減方式を提案する。提案方式は、実行プログラムの解析で利用するテイント解析をモデルベース開発の脅威分析へ適用した。テイント解析は対象実行ファイルの内部変数や関数の引数を抽出および追跡することができる。そこで、通信情報など脅威分析の対象の引数を持つ関数に着目し、その関数の引数情報そのものや、メモリアドレスを抽出する。抽出したメモリアドレスを元に実行プログラム内の情報操作や情報遷移を追跡する。また、モデル上、これら情報単体よりも広い範囲かつ数も少ない機器に対して、潜在的影響値を人手で埋め込む。値を埋め込んだ対象機器と、追跡した情報の関連性を特定することで、潜在的影響値をすべての関連する情報へ付与する。これによりリスクアセスメントの支援をおこなう。この方式の検証として、テイント解析はIntel社のPinを、モデル情報の開発環境はオープンソースのEclipse Papyrusを用いて、有効であることを確認した。

近年、新しい個人認証手法として、人の生活パターンから個人の特徴を抽出して個人認証に活用する手法が提案されている。この生活パターンは、スマートフォンなどに搭載されている様々なセンサーから収集される行動情報を解析することで知ることができる。生活パターンを個人認証に活用するためにはセンサーから得られた情報を個人ごとにモデル化したテンプレートを作成する必要があり、そのために一定期間の情報が求められることとなる。これまでの既存研究ではテンプレート作成期間として30日間が設定されていたが、そこに明確な理由は述べられていないものであった。本研究ではスマートフォンから収集されたWi-Fiの情報を活用した個人認証手法において、テンプレートが時間経過とともにどのように収束していくかを検証することで、テンプレート作成期間の考察を行った。実験で利用したデータは、2017年に東京大学大学院情報理工学系研究科ソーシャルICT研究センターで行われた実証実験で得られたものから100人を選別したものである。

　標的型攻撃やランサムウェア、あるいは、ビジネスメール詐欺など、組織におけるサイバー攻撃の脅威は拡がりつつある。これらの脅威被害による経済的な損失を低減するため、組織は、サイバーセキュリティ対策を効果的に実施することが求められている。しかしながら、サイバーセキュリティ対策の実施を判断するにあたり、どこから手を付ければ良いのか、現状の対策がどの程度足りているのかなど、現状を把握する手段が不足し、適切な判断を行うことが難しい。そこで、我々は、情報セキュリティやサイバーセキュリティに関して標準化されている規格やガイドライン、リスク評価手法などを調査整理することで、経営者やセキュリティ責任者が組織をセキュアにすることを継続的に進めていくために必要とされる知識をまとめる。これにより組織でサイバーセキュリティ対策をしていくための備えとして、実践に伴う考慮すべき点や必要となる新たな視点の議論の土台となることを目的とする。

近年，新しい個人認証手法として，個人の行動習慣の特徴を抽出して活用する手法がライフスタイル認証として提案されている．この行動習慣の把握には，スマートフォンなどから得られる各種のセンサーデータを解析することで得られる．既存の研究では，位置情報やWi-Fiの情報を活用する手法を中心に進められてきた．一方，スマートフォンが使用するIPアドレスは，プライベートIPアドレスであることが多く，これは値そのものユニーク性がないことからこれまで行動情報としては活用していなかった．本研究では，プライベートIPアドレスであっても，その値や出現頻度に行動の特徴が見つかるとの仮説のもと，予備的な事前調査と考察を行った．本稿ではこの状況を報告する．利用したデータは，2017年に東京大学大学院情報理工学系研究科ソーシャルICT研究センターで行われた実証実験で得られたものからサンプル抽出したものである．

IoTエコシステムにおいては、通信機能を有する数多くの端末が利用される。これらの端末は、様々な場所に配置されるために入手も容易であり、悪戯目的も含めて多くのユーザによる攻撃の脅威にさらされている。一方、サイドチャネル攻撃（SCA）は、暗号機能を搭載した端末への脅威として、20年以上の研究の歴史をもつ。近年、SCAの攻撃環境に変化が起きており、特に、SCAに用いる計測器の利用難易度の低下が著しい。本稿は、SCAの攻撃環境の変遷を踏まえて、IoT時代にSCAの脅威が増していることを実証し、対策技術の展望を述べる。

Random Number Generators (RNGs) are playing an important role in providing a uniqueness of many protocols in various fields such as IoT, Artificial Intelligence, Database, and Information Security in ICT systems. However, since most of the RNGs are implemented in a physical chip, they are always vulnerable to the risk of side channel attack such as timing attack and fault injection attack, etc. In this paper, we attempt to execute side channel attacks on Xoroshiro128+ which is a Pseudo-Random Number Generator (PRNG) designed by Vigna and Blackman. Using the Xoroshiro128+ source code, we implemented this PRNG over the Field Programmable Gate Array (FPGA). We also verify the security of Xoroshiro128+ and suggest countermeasures against side channel attacks using ChipWhisperer-Pro

本稿では， メッセージ認証コードPoly1305 に対する単一計測波形を用いたサイドチャネル攻撃を提案し，その実現可能性を評価する．Poly1305 の最も主要な利用法である認証暗号ChaCha20-Poly1305 では認証タグ生成に常にワンタイム鍵を用いる．このシナリオでは差分電力解析などの多数の 計測波形を用いたサイドチャネル攻撃の適用は困難であることから，Poly1305 に対する有効なサイドチャネル攻撃はこれまで知られていなかった．本稿では，8 ビットマイコンに実装されたPoly1305 を対象とし，一度の認証タグ生成から秘密鍵を取得するサイドチャネル攻撃を提案する．提案攻撃では，まず，入力か出力のいずれかが観測可能な二入力整数加算に着目し，サイドチャネル情報から得られるハミング重みを用いて未知のオペランドを推定する．その後，得られた全てのオペランド候補に対して一変数多項式の因数分解を行うことにより秘密鍵を取得する．また本稿では，シミュレーションを通して提案攻撃の実現可能性を評価し，提案攻撃は無視できない確率および現実的な計算コストでPoly1305 の秘密鍵を取得できることを示す．その上で，マスキングに基づく提案攻撃への効率的な対策を示す．

筆者らは、暗号回路のサイドチャネル攻撃への耐性をサイドチャネル波形の信号対雑音比(SNR)に基づいて評価し、システムレベルでのサイドチャネル耐性を設計する手法の開発を目指している．開発する設計手法において、解析的に導出されたSNRと相関係数の関係式に基づき設計目標を決定することを想定している．そこで本研究では、サイドチャネル波形がその関係式を満足するかどうかを実験により検証した．サイドチャネル攻撃に対して未対策のAES回路をFPGAに実装し、漏洩するサイドチャネル波形をプリント基板上の電源電圧変動として測定した．測定条件の変更によりSNRを30dB変化させ、その時に取得されるサイドチャネル波形を差分電力解析し算出される相関係数がSNRとの関係式を満足するかどうかを確認した。サイドチャネル波形のSNRは、平文をランダムに変えながら波形測定することで信号成分を，同一平文を繰り返し暗号化しながら波形測定することでノイズ成分を測定し求めた．その結果、測定波形のSNRと相関係数は先行研究による解析的な関係式に従った．

耐量子計算機暗号の中で格子暗号が大きな注目を集めている．格子暗号にはいくつかの実現方式が知られているが，Lyubashevskyらにより提案されたRing-LWE問題に基づく暗号（以下Ring-LWE暗号）は，他の方式に比べた効率性・汎用性から省リソースのプラットフォームへ実装研究が活発に行われている．Ring-LWE暗号の中核となる演算は多項式環上の乗算であり，数論変換を用いて高速化できることが知られている．省リソースなプラットフォーム上ではサイドチャネル攻撃が大きな脅威となる．我々は，数論変換を用いてソフトウェア実装したRing-LWE暗号に対して高次相関電力解析を行った．本稿では数論変換中に出現する１の冪根（およびその逆元）と中間値の乗算を全てリーク情報の対象とすることにより，入力と秘密鍵の演算だけを対象とする電力解析に比べて少ない波形数で部分鍵を推定できることを報告する．

サイバーフィジカルシステム（CPS）では，人，多様な機器，データ，システムが相互に関連し新たな価値を創造することが期待されている．そのためには，CPSをセーフティおよびセキュリティの両面から信頼あるものとすることが必要とされる．従来，システム開発プロセスにおいて個別に設計されてきたセーフティとセキュリティであるが，開発リソースの問題や，要件が相互に関連すること，類似のリスク分析を必要とすることなどから，統合的な開発手法の必要性が高まってきている．本稿では，CPS分野のうち特に車のEPSにおけるセキュリティ要件抽出を，システム理論による開発手法であるSTAMP/STPAのプロセスにおいてセキュリティに関連した脅威分析を含めることを検討したので報告する．

V2X通信は，ドライバへの情報提供だけでなく，将来的には，自動運転への応用も期待されている．V2X通信を車両制御等に用いるには受信メッセージの真正性を検証する必要がある．そのために，V2X通信ではPKIと電子署名を用いている．しかし電子署名は検証処理負荷が大きいことに加え，V2X通信は多数の車両との通信が想定されることから検証コストの増大が懸念されている．これに対して筆者らはV2Xメッセージの検証を効率的に行う，優先度付きメッセージ検証方式を提案している．本論文では，高速道を想定したシナリオにおける提案方式によるメッセージ検証の処理効率をV2X通信と暗号ハードウェアによる処理時間を含めて評価した結果，提案方式がシナリオにおいて必要なメッセージを漏れなく，リアルタイムに検証できることを示す．

JASO TP15002 は自動車システムを対象とするセキュリティ分析ガイドラインである． 著者らはこのガイドラインを検討し，分析プロセスを効果的に進めるための作業を 実装し提案してきた．本稿では特に，木構造による脅威の詳細分析に焦点をあてる． 作業者の属人性を下げるための指針として，脅威の実現シナリオを考慮しつつ 木構造の分解を進めるアイデアを提示する． また木構造分解の前に重要な脅威を選別するための手法として，評価対象システムの構造から 導くリスク評価値の概算について考察する．

自動車に対する脅威事例や脆弱性報告が相次ぐ中，自動車メーカはセキュリティ機能設計だけではなく，脆弱性発生件数の低減を車載機器メーカに対して求めている．そこで，車載機器メーカは車載機器が有すると想定される脆弱性への対応範囲を明確に示し，対策する脆弱性に応じた検証項目を策定しようと模索している．しかし，車載機器メーカは車載機器が有すると想定される脆弱性を特定し，特定した脆弱性から検証項目を関連付ける手法がないという課題に直面した．そこで，本稿ではIT業界における既知の脆弱性の種類を規定したリストから車載機器における脆弱性の種類を抽出する手法，および抽出結果から脆弱性検証手法自動抽出ルールを立案・評価した．

Passing through a rural area with limited network infrastructure may disrupt fog computing support for several vehicles. As a result, some applications on vehicles may turn off and bother the performance of the vehicular systems. In order to escape from this kind of situation, vehicular fog computing is discussed in the recent times as the alternative of fog computing support while passing blank spot of network infrastructure. However, without mutual trust, it is not feasible to establish trusted vehicular fog computing service among vehicles. To deal with this situation, this paper proposes a method called Bidding-price and Payoff-based Transaction (BPT) for vehicular fog computing service on rural areas. This method comprises of bidding-price based mutual trust establishment between vehicle client and vehicle-as-a-infrastructure of fog computing and also issuing payoff based on transaction evaluation. By applying this method, trusted transaction between two vehicles can be achieved without the direct assistance of any trusted third party as the validating entity. As a result, this method may attract vehicles with rich computational resources to participate in sharing their resources for helping vehicles that possess limited computational resources.

Security risk assessment of cyber physical systems (CPS) is of utmost importance due to the increasing number of cyber-attacks on such systems. In one possible assessment approach, potential attack scenarios from the assessment are helpful for plant operators in order to take the appropriate counter measures to protect the CPS from damage. Attack duration is crucial for the plant operator so that he can decide which attacks to handle urgently. However, the existing research does not provide the time duration of an attack until damage. To solve this problem, we propose a method to calculate the time duration of an attack. In addition, we have used data from an existing water treatment testbed for evaluation. Comparison between the time estimated by our method and the manually calculated time from the data of the testbed shows the efficacy of our method.

ソフトウェアの安全性を維持するためには，脆弱性の有無を正確に把握し続ける必要がある． 把握にあたっては，対象となるソフトウェアの構成情報を調査した上で， 日々公開される脆弱性情報との比較を継続的に行う必要がある． 近年ではこの作業の自動化のために，ホワイトボックス型の脆弱性スキャナが利用されることがある． この時，ホワイトボックス型の脆弱性スキャナの多くは公開脆弱性情報データベースを 参照しているため，データベースの品質が重要となってくる． そこで著者らは，代表的な公開脆弱性情報データベースであるNational Vulnerability Database (NVD) の実態調査を行った．その結果， (1) 構成情報の記述に一貫性がなく揺れが存在すること， (2) 脆弱性の公開から脆弱性スキャナで利用可能になるまでに時間的な遅延が存在すること， (3) Web情報と脆弱性スキャナ向け情報との間に矛盾があること， など多くの問題を抱えていることが判明した．

我々は脆弱性事例データベースとシステム設計情報を活用した脅威分析方法を提案してきた．提案手法はアタックツリー（AT と呼ぶ）分析を基にしており，評価対象システムのAT と既知の脆弱性に関するAT を作成し，両種のAT を突合することでより具体的なAT を作成可能とする．これにより起きては困る事象の発生確率の計算や今後の分析における活用が可能になる．具体的には脅威分析のアルゴリズムを示し，数式による定式化を行った．またトピックモデル解析ツールを用いて我々のアルゴリズムの中の自然言語処理を用いた突合の実現可能性を検証した．本論文では，ある事例に関する脅威分析で作成したAT が，次の脅威分析のための情報として利用可能であることを事例をもとに示す．

セキュリティ専門家が不足する対策のために，開発プロセスで行うセキュリティ活動を効率化することは有用である．従来から，脅威分析，脆弱性分析，セキュリティ試験等の各フェーズで行うセキュリティ活動を効率化する研究は盛んに行われている．一方で，異なるフェーズで実施した活動の結果を活用して，セキュリティ活動を効率化する技術の研究は比較的少ない．本稿では，脅威分析の関連情報とS/Wの設計モデルの関連性を用いて，脅威分析の結果に基づき脆弱性分析を効率化する方法を提案する．

既存研究において，サイバー攻撃の発生条件をルール化し，セキュリティ的な脅威が発生する過程を推論するアタックツリー自動生成ツールが提案されている．しかし，ルールベース推論によるアタックツリー生成は，分析対象システムの規模に対して，計算コストが多項式オーダーであることが知られている．このため，大規模なシステムを対象にアタックツリーを生成する場合，ツールの計算コストが高くなるという課題がある．本研究では，この課題解決に向けて，セキュリティ的な境界でシステムを分割し，分割したサブシステムごとにサブアタックツリーを生成し，統合することで，効率的にアタックツリーを生成する方式を提案する．

近年従来のネットワークにおける商品決済に代わる決済方法として、ビットコインをはじめとする仮想通貨が流通している。しかし、仮想通貨を支える技術であるブロックチェーンには問題が多数あるのもまた事実であり、受信者未承認における取引の成立もその一つである。ブロックチェーンにおける取引は、送信者が受信者の持つ公開鍵を使用することで取引を作成する。受信者は取引の度に公開鍵を作成しているので、公開鍵によって個人情報を特定される可能性は低いが、過去の公開鍵を使用して、受信者の意思に関係なく取引を成立させてしまうことができる。そして、この一方的な取引における価値の押し付けを受信者は防ぐことができない。本研究では既存の技術を用いることによって、ブロックチェーンにおける受信者未承認による取引の成立を防げるかを考察する。

近年ブロックチェーンを基にした技術の発展は著しく，価値保存機能だけでなくスマートコントラクトや匿名性の向上といった機能拡張など，暗号資産(暗号通貨)を中心に開発が活発である． Ethereumはスマートコントラクトが実装されたブロックチェーンを採用しており，そのためのプログラム等を自由に格納できるデータ領域が存在する．我々は先行研究にて，悪意あるデータを埋め込むことによってブロックチェーンを汚染するポイズニング攻撃の可能性について議論し，Ethereumブロックチェーンのデータ領域にマルウェアが埋め込まれていた事実を発見した．本研究では，プライベートなブロックチェーンネットワーク環境を構築し，前述したポイズニング攻撃の実行容易性について検証・考察を行うとともに，対策を提案する．

With the development of communication technologies and embedded devices, the importance of group communication among various parties is growing. Group key agreement (GKA) is playing an important role in sharing critical information in a group. GKA protocol is divided into four categories: tree-based, star-based, link-based, and ring-based. Tree-based GKA has greater flexibility in membership management and is easier to achieve decentralization than other GKA protocols. Tree-based GKA protocols, which are based on Diffie-Hellman Key Exchange (DHKE), become vulnerable to active attacks since DHKE does not check the identity of the user. To solve the problem, authenticated key exchange (AKE) protocols were suggested. Most AKE papers solve the authentication problem based on an existence of trusted third party (TTP). However, relying on TTP has a risk of a single point-of-failure which paralyzes the protocols. In this paper, we suggest two protocols to add authenticity into a typical tree-based GKA protocol TGDH by public ledger: PLAKE and dPLAKE. PLAKE uses Proof of Work (PoW)-based public ledger and dPLAKE uses Delegated Proof of Stake (DPoS)-based public ledger not to depend on TTP for authentication. We discuss the security of PLAKE and dPLAKE.

Attribute-based encryption (ABE) is classified as an extended public key cryptosystem which replaces the public key of a user with his/her attributes in order to reduce the management overhead of their public keys. Another advantage of ABE is to handle monotonic access control with attributes. Nevertheless, ABE has some disadvantages like a fully trustness on the central component. In this paper, we propose a novel way of Ciphertext-Policy Attribute-based encryption (CP-ABE) by applying features of the decentralized ledger in the blockchain to overcome the current disadvantages of CP-ABE. We provide the role distribution of the central component to achieve a more reliable system and prevent a single point of failure from strong adversaries.

Upon blockchain technology gains popularity, lots of attempts have been made to adopt this into all ICT systems. One notable example is to apply blockchain to e-voting protocols. However, careful analysis on the requirements and side effects should be scrutinized before the adoption of the new technology. We analyze whether blockchain-based e-voting protocols still satisfy their security requirements, by deriving generic transformations from blockchain-based e-voting protocols to classical e-voting protocols, while preserving the knowledge set for the public. Compared to classical e-voting protocols, we claim that blockchain-based e-voting protocols have generically weaker confidentiality and generically stronger universal verifiability, judged by the point of our generic analysis.

秘密情報の部分情報が漏洩しても安全な公開鍵暗号方式はleakage resilientであると言われる．既存のleakage resilientかつIND-CCA安全なIDベース暗号方式は，その安全性証明のために標準的でない仮定を必要とする．本稿では，標準的な仮定であるDLIN仮定のもとでleakage resilientかつIND-CCA安全なIDベースKEM方式を示す．

Blaze et al. introduced the concept of proxy re-encryption (PRE) in 1998. It allows a semi-trusted proxy to transform a ciphertext encrypted under one key into another ciphertext of the same plaintext under another key, without revealing any information of the plaintext.PRE has found many applications, such as in encrypted e-mail forwarding [8], distributed secure le systems [1,2], multicast [10]cloud computation etc. However, all the PRE schemes until now require the delegator (or the delegator and the delegatee cooperatively) to generate the re-encryption keys. In 2013, X. A. Wang et al.[17] observe that this is not the only way to generate the re-encryption keys, the encrypter also has the ability to generate re-encryption keys. Based on this observation, they introduce a new primitive: PRE+, which is almost the same as the traditional PRE except the re-encryption keys generated by the encrypter. Interestingly, this PRE+ can be viewed as the dual of the traditional PRE. Compared with PRE, PRE+ can easily achieve the non-transferable property and message-level based negrained delegation, while these two properties are very desirable in practical applications. In this paper, we extended to double-hop scheme based on their single-hop schem by giving the denition and security model for PRE+.

フォワード安全公開鍵暗号とは，復号に用いる秘密鍵を更新するような状況を想定した公開鍵暗号であり，受信者の秘密鍵が漏洩したとしても，漏洩以前の鍵を用いた暗号文は安全であることを保証している．匿名放送型暗号とは，一対多の通信を想定した公開鍵暗号であり，受信者の情報が知られないという機能を持っている．これらの機能を持つ公開鍵暗号の構成法として，プロトコル内で共通鍵を生成し，共通鍵を用いてメッセージを暗号化するような構成法は存在しているが，KEM/DEMフレームワークを用いて一般的に構成できるかは明らかではない．本論文では，フォワード安全公開鍵暗号と匿名放送型暗号をKEM/DEMフレームワークで構成し，KEMとDEMそれぞれの満たすべき条件について解析を行う．その結果，KEMがそれら機能を持てば，構成される公開鍵暗号もその機能を持つことを示す．

本稿では，探索問題の困難性に基づいたしきい値公開鍵暗号 (TPKE) について，CSS 2018にて発表した1-bitの平文空間に対する構成法の拡張及び応用を示す．まず，任意長の平文を扱うことができる構成への拡張を示す．次に，より効率的な鍵長・暗号文長を達成する構成を提案する．最後に，鍵再分割可能な (Re-splittable) TPKEへと拡張できることを示す．提案方式は，既存の探索問題の困難性に基づくものと比べ，任意長の平文空間を扱えること，及びサーバ数に依存しない鍵長・暗号文長であることについて，より優れていることを示す．

LWE問題は，ノイズが入った法qの連立線型方程式を解く問題であり，その計算量的困難性は格子暗号の安全性の根拠となっており，量子計算機でも解くことが難しいと信じられている．暗号方式を実社会で利用するためには安全な暗号パラメータの選定が重要であり，そのためLWE問題を解く際の計算コストを解析することは重要な研究課題となっている．LWE問題を解く際の計算コストは，十分なサンプル数を得られた仮定のもとでLWE問題をUnique-SVP問題に帰着させ, 格子縮約アルゴリズムにより最短ベクトルを探して解くKannanの埋め込み法を用いて見積もられてきた. しかし，実際の暗号方式で得られるサンプル数は上記の見積もりに使用されたサンプル数に比べて非常に少ないケースが多い．既知の知見では，サンプル数が少ないケースにおける成功率や，解くことができる最小のサンプル数が見積もられていない．そこで本研究では，格子問題を解くためのアルゴリズムであるBKZと枝狩りを行わない列挙アルゴリズムを用いて，少ないサンプル数でのKannanの埋め込み法の挙動を計測し，サンプル数が少ないケースの成功率とそれぞれのケースにかかる計算時間，また解くことができる最小のサンプル数の見積もりを実験的に行った．

At PQCrypto 2018, Ding et al. proposed a new attack called distinguishing based attack against the multivariate signature scheme HFEv-, that reduces HFEv- to HFE-. This attack distinguishes whether the vector space generated by random linear polynomials, that are added to the public key, intersects with the vinegar space by looking at the behavior of the step degrees of the $F_4$ Groebner basis algorithm. When the vector space intersects with the vinegar space, we can construct a linear polynomial in the vinegar space. And the public key plus this linear polynomial behaves similarly to HFEv- with one less vinegar variables. By repeatedly finding such a linear polynomial, we can remove the effect of the vinegar variant. The $F_4$ Groebner basis algorithm using more linear polynomials increases the probability of intersection with the vinegar space and reduces the complexity. However, when the number of added linear equations exceeds a certain value, it becomes impossible to distinguish whether having the intersection with the vinegar space. Ding et al. provided several formulas for estimating this optimal value in their paper. In this paper, we experimentally investigate the gap between practical and estimated value of this optimal value.

標準公開鍵暗号の一つであるＲＳＡは、素因数分解の困難性を安全性の根拠としている。素因数分解について、従来から一般数体篩法がよく研究されてきた。一方で、近年、アニーリング計算と呼ばれる物理現象に由来した計算原理を用いた計算機理論及びそのハードウェアの開発が進んでおり、同時に、アニーリング計算による素因数分解手法の研究・実験も盛んに行われている。本稿では、近年の、アニーリング計算を用いた素因数分解のアルゴリズム・実験状況について整理を行う。さらに、筆算法と呼ばれる、現在のアニーリング計算による素因数分解記録に用いられた手法について、その改良アルゴリズムを提案し、富士通が開発した計算機であるデジタルアニーラを用いた実験結果について報告する。従来のアニーリング計算による素因数分解記録が18ビットの合成数の分解だったのに対し、本実験により30ビットの合成数の分解に成功した。

近年，従来のノイマン型コンピュータとは異なる構造を持つ非ノイマン型コンピュータの開発が進んでいる． その1つであるアニーリングマシンは， 2次ハミルトニアンと呼ばれるバイナリ変数からなる多変数2次多項式の最小値を 従来のノイマン型コンピュータより高速に計算できることで注目されている． アニーリング技術により従来では解くことができなかった問題を解くことができるようになった一方で， アニーリング技術が暗号の安全性に与える影響について検討する必要が生じている． 本稿では，最短ベクトル問題や最近ベクトル問題といった格子暗号の安全性を支える問題を 2次ハミルトニアンに変換し，アニーリング技術を用いて解く方法について述べる．

近年、ノイマン型とは異なる処理に基づく非ノイマン型の計算機、例えばアニーリング計算機や、ゲート型量子計算機等が注目を集めている．これらの新しい計算機は、従来の計算機よりも効率よく解を求めることができるとされている．一方、米国国立標準技術研究所(NIST)では, 2016年より, 耐量子計算機暗号の標準化を目指した公募が開始されており, 2023年を目途に標準暗号を選定すると公表されている. 本論文では、耐量子計算機暗号の安全性根拠の一つである多変数多項式問題について、アニーリング計算機による暗号解析を実施する際に重要となるハミルトニアンの構築方法について考察する．

Random Grids are used for e?cient visual secret sharing. The e?ciency lie in the fact that no codebook construction is needed and size of the share images equal the size of the secret image. However, it makes the reconstruction of the secret image probabilistic. A lot of research has been carried out to construct visual cryptograms of random grids for black and white images. Although some papers [1, 5, 6] have given constructions and shown some experimental results on constructing random grids for color images, their works do not address an explicit and concrete theoretical development and background of the model. We give a concrete de?nition of visual cryptograms of random grids for color images in the Same-Color model and give constructions for general access structures.

高速な秘匿計算を実現する方法として複製秘密分散方式が知られているが， サーバ数が多い場合にはシェアサイズの効率に課題があった． 本論文では，複製秘密分散方式の秘匿計算におけるシェアの圧縮手法を提案する． シェア圧縮によりシェアサイズを抑えた状態での計算が可能となり， 空間計算量，時間計算量を共に削減することが見込める． シェア圧縮の効果的な例として 3-out-of-5 アクセス構造における圧縮の具体的構成を与える．

正規ユーザへの成りすまし攻撃に対応したパスワード付き秘密分散法がBagherzandiらや尾形らによって提案されている．Bagherzandiらの方式は計算量的安全性を実現するが，早稲田らの方式は情報理論的安全性を持つ．ただし，早稲田らの方式は安全性に関して２つの問題点がある．１つ目は，分散値同士の乗算を伴うため,秘密情報復元時の閾値をkとする場合,パスワード復元時の閾値を(k+1)/2 としなければならないという問題である.これは，攻撃者が秘密情報を知ろうとするとき，パスワードから攻撃すれば秘密情報復元に必要な結託サーバの数をkから(k+1)/2 に減少させることができることを意味する．２つ目は，攻撃者が3回以上のパスワード入力に対する結果を得た場合、０の分散値を加えるというランダム化処理を行わなければ、結果の差分の最大公約数を計算すると正規ユーザのパスワードが流出するという問題である．そこで本論文では，パスワードに関する復元の閾値を秘密情報に関する復元の閾値と同じkとすることができ、ランダム化処理を必要としないパスワード付秘密分散法を提案する.

本稿はXORベース秘密分散方式に対して，任意の奇素数pに対して自然なGF(p)上における演算による方式に拡張できることを示す．XORベース秘密分散方式ではXOR演算によるデータの戴帽（マスキング）を行っているが，GF(p)においては通常の加算演算ではうまくマスクできない問題がある．そこでXOR演算を戴帽と脱帽という別々の役割に分割されていると考えることでGF(2)上のマスク演算を拡張することができ，それぞれGF(p)上の加算と減算を用いることで実現することが容易に分かる．本手法はデータ処理も演算もすべてGF(p)の元と演算で閉じていることから，ピット(ビットのGF(p)での自然な拡張)ごとにパイナリデータ（バイナリデータのGF(p)での自然な拡張）を扱うものとして議論していく．

2007年に藤井らが提案した排他的論理和を用いた(k,n)しきい値秘密分散法の安全性検証と大容量データに対する性能評価を行った。

現代において広く用いられているディジタル署名方式の多くは，素因数分解問題や離散対数問題を解くことが困難であるという事実を基に成立している．しかし，これらの問題は量子コンピュータを用いることで効率的に解かれることが知られている．そのため，量子コンピュータの実現に備え，耐量子性を持った署名方式の設計・評価を行うことが重要である．そのうちの一つに，格子問題を安全性の根拠とする格子署名がある．本稿では，格子署名の一つであるGLP署名に対して故障利用攻撃を行い，その安全性を評価する.GLP署名では，署名アルゴリズム中の棄却サンプリングという処理をスキップするような故障を注入することで，本来であれば使われずに棄却される署名を収集することができる．本稿では，それらの署名を用いたMILPモデリングを行うことで，署名に用いる秘密鍵の探索を行う．その結果，約15,000個の署名を集めることで秘密鍵を導出可能であることを示す．

格子暗号における離散ガウス分布や差分プライバシーのためのラプラスメカニズムなど、非一様分布からの乱数生成に基づいて安全性(やプライバシ)を保証するシステムが多数存在する。計算機上で任意の非一様分布に対し近似的に乱数生成する方法として逆関数法や棄却サンプリングが知られているが、近似精度を高めるためにはより多くの情報源が必要となり乱数生成コストが上がってしまう。一方で近似精度が低いと、安全性が大きく損なわれる可能性がある。本研究では、近似乱数を用いた場合の安全性低下に関する高橋らの不等式に基づいて、最小限の情報源で安全性を保証可能な新たな近似乱数生成法を提案する。提案方式を用いることで，いかなる分布モデルを用いたアルゴリズムであっても，理論安全性を損なうことなく実装可能となり，さらに乱数生成コストを大幅に低減し効率化することが可能になる．

リングオシレータ（RO）をエントロピー源に使用した真性乱数生成器（TRNG）は回路構成がシンプルであることから、多くのデバイスで使用されている。そのため、攻撃によりセキュリティの低下が生じた場合、多くのシステムへの影響が生じる可能性がある。これまで、上述のTRNGへの物理攻撃として、デバイス外部から非侵襲に特定周波数の電磁波を印加することでROのエントロピーを抑制し、乱数性を低下させる周波数注入攻撃が提案されている。一方、TRNGの設計には、乱数の品質を検査するヘルステストの実装が推奨されている。ヘルステストが実装された場合、これまで提案されてきた周波数注入攻撃は無効化できる可能性が高い。しかし、ヘルステストは、時間的にエントロピーが変動しない理想的な確率モデルを仮定し、乱数性の評価を行っているため、電磁波の印加タイミングを制御することでヘルステルトが無効化される可能性がある。本稿では、TRNG on-the-flyテストを実装したROベースのTRNGに対し、周波数の異なる電磁波のタイミングを制御し、印加することでエントロピー源の確率モデルを変化させる。そして、ヘルステストによる検出困難な乱数性が低下したビット列を出力可能であることを示す。

PCやタブレットなどの情報機器から非意図的に放射される不要電磁波を介したディスプレイの盗み見(電磁的画面盗視)の脅威が存在することが報告されている．こうした脅威に対する従来の評価は実際に表示画面の再構成を実行した際の成否によって評価されてきた．一方で，表示画面の再構成を必要としない評価に関する研究として，ディスプレイに特定の画像を表示させることにより，機器から漏えいする電磁信号を単純なパターンに限定し，それを音信号として検出することで，情報漏えいの有無を判定可能な手法が提案されている．本稿ではラップトップPCやタブレットなどで用いられるLow Voltage Differential Signaling (LVDS) に着目し，ディスプレイの表示色を選択することにより，従来法に比べて高精度に電磁情報漏えい評価する手法について提案する．具体的には，ディスプレイの表示色の最適な選択により，情報を含む意図的な電磁放射が発生する周波数において，従来法と比べ6～13 dB程度増加し，背景雑音が高いレベルにおいても漏えいの有無を検出できることを示した．

制御システムは、一般にコントローラ‐アクチュエータモデルで動作している。制御する側のコントローラは複雑な機能やシステムカスタマイズを担う一方、制御される側のアクチュエータは機能を単純にし、コントローラから送られてくる制御コマンドを無条件に受け入れて制御されるようになっている。このような制御システムに対するセキュリティ対策は、コントローラとコントローラ‐アクチュエータ間の通信が対象になることが多い。しかし、機能が複雑なコントローラでは頻繁なカスタマイズや更新等が発生するため、コントローラへのセキュリティ対策は、運用中の管理不備を起こしやすく、対策を施しても攻撃リスクが下がりにくいという懸案がある。本論文では、コントローラから送られてくる制御コマンドの真正性をアクチュエータ自身が検証し、正しく検証出来たら制御コマンドを実行するセキュリティ対策モデルを提案する。本提案モデルの適用により、コントローラへのセキュリティ対策負担が軽減され、効率的な開発・運用・管理との両立がしやすくなる。さらに、その提案モデルは、ATM、券売機、自動販売機等、決済結果に基づき、物理的な媒体・物体を制御するシステムに幅広く適用できることを示す。

近年， 発電所やプラント等の制御システムに対するサイバー攻撃が深刻な問題となっている．制御システムのセキュリティ対策の1つとして，通信パターンが固定的であることから，ホワイトリスト型攻撃検知が着目されている．一方で，制御システムは，制御状態によっては，不正な操作を行うと不安定な挙動になりやすく，ホワイトリストルールで定義した正常な通信の範囲内であっても，そのような操作が実行できる可能性がある．本論文では，監視対象の制御モデルを作成し，制御モデルの制御状態に応じて，ホワイトリストルールを切り替える攻撃検知手法を提案する．提案手法では，制御状態ごとにホワイトリストルールを作成するため，各状態における正常な通信の範囲内をより限定できると考えられる．実験により，実機の模擬プラントにて提案手法の評価を行い，有効性を確認できた．最後に，実機実験により見てきた課題について述べる．

制御システムの状態ごとにホワイトリストを作成し，その状態に応じて切り替えることにより，従来手法と比較して高度なサイバー攻撃の検知が期待できる．そこで，本発表では，このようなホワイトリストの自動生成と運用を目指し，制御システムの連続的なふるまいからその状態を推定する手法を提案する．まず，制御システムにおけるセンサの計測値やアクチュエータの制御指令値等の一連のふるまいを有限個の状態に分離する．このとき，ふるまいに加えて通信情報の特徴を状態ごとに抽出する．次に，抽出した特徴を用いて，制御システムの状態をリアルタイムで推定する．本手法により，制御システムの状態を考慮したホワイトリストの自動生成と，状態推定によるリアルタイムでの運用が期待できる．

本稿では，産業用コントローラのためのホワイトリストの検証方法として網羅テストの検討を行っている．制御システムにおいてコントローラは，センサやアクチュエータを制御する重要な機器であるがマルウェアやゼロデイ攻撃に対して脆弱である．そこで我々は，制御システムの正常な動作をホワイトリストとして登録し，リストに登録されていない動作を異常と検知するコントローラホワイトリストの研究を行っている．このホワイトリストは，制御プログラムからペトリネットモデルを経由して自動生成できる．コントローラホワイトリストの検知性能は，いかに正確に制御システムの正常な動作をモデル化しホワイトリストに登録できるかに依存する．そこで，制御システムの正常な動作とホワイトリストの整合性を検証する必要がある．制御プログラムとペトリネットモデルの整合性は，ペトリネットの解析手法を用いることで検証できる．よって本稿では，ペトリネットモデルとホワイトリストの整合性を網羅テストによって検証する手法について提案する．この提案手法は，コントローラの負荷軽減等のためにホワイトリストを圧縮した際の検知性能の保証に使用することが期待できる．

産業制御システムにおいてマルウェアの感染拡大を検知することは，その可用性を担保するために取り組むべき重要課題のひとつである．本稿では，産業制御システムの特徴を考慮しつつ，ネットワーク内の端末に能動的に欺瞞情報を埋め込むことで，感染拡大先を検知機器に誘導する新たな検知手法を提案する．

プライバシー問題が深刻化している現代において, ユーザの閲覧先Webサイトの特定を困難にする匿名化通信システムTorの利用が進んでいる. しかし, ユーザのプライバシーを侵害するような攻撃手法も徐々に進化している.攻撃手法の1 つとして,流れるパケットの特徴から利用者のアクセスするWebサイトを推定する「指紋攻撃」がある.Torに対する指紋攻撃への防御手法としてサーバ発ランダム画像ノイズを我々が提案したが, Tor ユーザにとってアクセスに必要なレスポンス時間に課題が残る. そこで本稿では, Tor 秘匿サービスを用いてアクセス実験を行い, サイト閲覧時のTorサーバからのレスポンス時間を検証し, 画像ノイズ挿入がTorサイト閲覧の利便性に及ぼす影響について考察する.

スマートフォンなどの急速な普及に伴ってインターネットがより手軽になり、様々なオンラインサービスやSNS等の利用が当たり前になりつつある。これらのサービスでは、利用者の趣味・嗜好や、過去の行動などから得られたビックデータをもとに、パーソナライズされたプロモーションが行われている。このような事例で利用者の追跡に用いる技術の一つが指紋攻撃である。指紋攻撃とは、インターネットを利用した情報端末から得られる、特徴点と呼ばれる項目を組み合わせることで、端末個体やその利用者個人を識別する技術である。従来はスマートフォンでの実現は難しいとされていたが、HTML5などの新たなWeb技術の登場に伴ってスマートフォンでの実現可能性について言及された。その後、明治大学の高橋らによって識別可能性に関する実験が行われた。本研究ではこれらの既存研究を発展させ、PCなどを標的として従来から使用される特徴点に、スマートフォンなどで有効であると考えた特徴点を追加した方式を提案する。この提案方式を用いて実験を行い、その有効性を検証する。また、多種多様な特徴点の組み合わせパターンを検証し、端末個体の追跡とその精度向上を狙う。

Visual homograph attack is a way that the attackers deceive victims about what domain they are communicating with by exploiting the fact that many characters look alike. The attack is growing into a serious problem and raising broad attention in reality when recently many brand domains have been attacked such as apple.com (Apple Inc.), lloydsbank.co.uk (Lloyds Bank), adobe.com (Adobe Systems Incorporated), etc. Therefore, how to detect visual homograph becomes a hot topic both in industry and research community. Several existing tools and papers have been proposed to find some homographs of a given domain based on different subsets of certain look-alike characters, or based on an analysis on the registered International Domain Name (IDN) database. However, we still lack a scalable and systematic approach that can detect sufficient homographs registered by attackers with a high accuracy and low false positive rate. In this paper, we construct a classification model to detect homographs and potential homographs registered by attackers using machine learning on feasible and novel features such as visual similarity on each character and some selected information from Whois. The implementation results show that our approach can bring up to 95.90% accuracy with merely 3.27% false positive rate. Furthermore, we also make an empirical analysis on the collected homographs and found some interesting statistics along with concrete misbehaviours and purposes of the attackers.

近年，インターネットは我々の生活において非常に重要になってきており，インターネットの発展と共にWebコンテンツが指数関数的に増加している．Webコンテンツの増加に伴い，Drive-by Download攻撃やフィッシングなどのWeb媒介型攻撃も年々増加傾向にある．現在，Web媒介型攻撃を防ぐための手段として，Google Safe Browsing のようなURLブラックリスト方式が広く活用されているが，近年の悪性Webサイトは短期間でドメインが変化する傾向があるため，URLブラックリスト方式で当該通信を効率的に遮断することが難しくなってきている．そこで，本稿ではドメインが変化しても同一の特徴を持つURLクエリパラメータに注目し，悪性ドメイン群のクエリテンプレートを自動生成することにより，URLブラックリスト方式では効率的な検知が難しい悪性Webサイト群を抽出する手法について述べる．

近年, Bitcoin や Ethereum に代表される Public なブロックチェーンの性能やセキュリティについて盛んに研究が行われている. これらブロックチェーンでは, 確率的な合意形成アルゴリズムである PoW が用いられており, 最長チェーンが成長する時間間隔が指数分布に従うと仮定した解析がよく行われる. しかし, 実際のネットワークにはブロックの伝搬遅延が存在し, この仮定を自明とするのは困難である. このため, ブロックの伝搬遅延時間の上限を設定した有界遅延モデル (Bounded-Delay Model) が提案されているが, 遅延時間の上限をネットワーク上に存在する多数ノードからの実測値を用いて計算するため, コストが高いという問題がある. そこで, 我々は比較的容易にデータ取得が可能な PoW ブロックチェーンがフォークする確率を用いて, ネットワークに遅延が存在する場合の最長チェーン成長時間に関する CDF の下限を解析的に求めた. 我々の提案した解析値により, 伝搬遅延が存在しないモデルとの近似度や, チェーン成長効率の下限を定量的に評価可能となった.

Double-spending attacks on fast payments is one of the fatal architectural problems in Cryptocurrencies. Dmitrienko et al. proposed an offline fast payment scheme that relies on tamper-proof wallets pro- duced by trustworthy manufacturers. With the wallets, payee can imme- diately trust the transactions generated by the wallets without waiting for their registration to the blockchain. Secure coin-preloading to the wallet is important, while illegal coin-preloading can cause over/double- spending by the trusted wallets. For this, they proposed an interesting protocol that makes use of a fragment of the main blockchain to prove to the wallets the legitimacy of preloaded coins. One drawback is that, in proving that the fragment stems from the mainchain, their protocol requires a trusted online time-stamp server so that the wallets can verify the timestamps to see if the blocks in the fragment is mined with suffi- ciently large amount of computing resources. In order to eliminate such an online trustee, in this paper we took the opposite approach that the payee (not the wallets) verifies the legitimacy of preloaded coins at the time of offline payment. As a consequence, our result shows that, with light-weight tamper-proof wallets, completely decentralized offline pay- ment is possible with only a slight modification to the existing Bitcoin network.

昨年，われわれは従来の単一のブロックチェーンに閉じたスマートコントラクトの概念を拡張し，異なるブロックチェーンで管理される情報資産を安全に移転・交換させるためのブロックチェーン間の連携技術としてコネクションチェーン[1]を提案した．本稿では，これまでのエンタープライズ向けのクローズな環境で運用されるコンソーシアムチェーンの接続のみをサポートしていたコネクションチェーンを拡張し，インターネット上のオープンな環境で運用されるパブリックチェーンとも安全に連携できるように機能拡張を行った．

分散処理の方法の一つにボランティアコンピューティング(以下VC)という手法が存在する．VCは，有志者の提供する計算資源を使用して分散処理を行う．この性質の為，使用する計算資源が期待する動作を行う保証は無く，計算結果の信頼性が低いという問題がある．既存研究では，結果の信頼性を向上させるためにMajority VotingやCredibility-based Fault-Toleranceといった手法が提案されている．しかし，これらの手法は悪意のあるノードを複数生成して攻撃を行うSybil Attackに脆弱性を持つ．そこで発表者らは，この問題を解決する為にブロックチェーンを用いたセキュアなVCシステムの提案を行った．しかしながらこの手法では，初期は正答を返し信頼度を得てから誤答を出すような高度なSybil Attackに対しての有効性は示されていなかった．そこで本発表では，信頼度を導入してる計算手法において問題となる，正答と誤答を切り替えて信頼度を稼ぐ高度な攻撃者を想定し，提案手法に関してシミュレーションを行う事でブロックチェーンを用いたセキュアなVCシステムの信頼性を明らかにする．

ブロックチェーン技術は金融取引などの分野において、非中央集権型決済を実現する革新的なシステムとして注目を集めている。一方で、非中央集権的環境においてユーザ認証、電子署名に利用する秘密鍵の管理が課題となる。本稿では、ブロックチェーンにおける鍵管理の課題をまとめ、生体情報をベースとする電子署名技術であるPBIを利用した解決策を提案する。

Group key exchange protocol produces a common secret key between n parties for secure (group) communication in insecure channel over the internet. In ProvSec Workshop 2018, Choi and Kim designed a novel multi-party key exchange protocol with homomorphic encryption in static setting. In this paper, we discuss the limitation of their scheme and extend this protocol to dynamic setting for managing group membership issue in terms of graph theory. We use the similar graph structure from Kim et al.'s key management solution called Tree-based Group Diffie-Hellman (TGDH,) for necessary algorithms providing dynamic key exchange from homomorphic encryption based on lattice problems.

本稿では，NP言語の連結のバンドル言語を提案する．次いで，バンドル言語に対する非対話ゼロ知識証明システムを構成する．構成は Groth-Ostrovsky-Sahai: "New Techniques for Noninteractive Zero-Knowledge" (2012年) に基づく．

暗号化ストレージにおけるアクセスパターン秘匿技術の1つとしてOblivious RAM (ORAM)がある。従来のORAMの安全性定義では、ストレージにアクセスする際、1回のアクセスにつき1つのデータを読み書きする場合しか安全性を保証していない。よって、複数のデータを読み書きする場合は、そのデータの個数回アクセスを実行しなければならず、効率が悪い。本稿では、1回のアクセスで複数のデータを読み書きできるORAM方式を提案する。まず、従来のORAMの安全性定義を複数のデータにアクセスできる定義に拡張する。そして、その定義を満たす具体的なORAM方式をPath ORAMを拡張することで示す。

グループ鍵交換プロトコルでは，ユーザが保有する長期秘密鍵が漏洩した後，攻撃者によるなりすましが可能になり，攻撃者が鍵交換に参加してセッション鍵を取得できてしまう．そこで，長期秘密鍵漏洩した後でも，一定の条件下で後方鍵の安全性が保たれるグループ鍵交換プロトコルについて検討する．本研究では，グループ鍵交換プロトコルの基礎的な安全性であるBCPQ安全性モデルに対して，長期秘密鍵漏洩後の後方鍵の安全性(Post-Compromise Security)を付与することを目標に，新たにBCPQ-PC安全モデルを提案する．そして，BCPQ安全を満たす鍵交換プロトコルでは今回提案したBCPQ-PC安全を満たさないことを示す．また，BCPQ安全を満たす鍵交換プロトコルをBCPQ-PC安全を満たす鍵交換プロトコルに変換する方式についての考察をする．

In an asymmetric fingerprinting, a cryptographic protocol is executed between a seller and buyer in order not to cause a dispute when a pirated copy is found. However, the tracing protocol has not been studied from the security point of view though the collusion resistance is considered by employing a collusion secure fingerprinting code. In this paper, we propose a secure tracing protocol jointly executed by a seller and a delegated server to reduce burdens at a trusted center. Our main idea is to delegate authority to a server so that the center is required to operate only at the initialization phase in the system. When a pirated copy is found, a seller calculates a level of suspicion for each user's codeword in an encrypted domain and sends its ciphertext to the server. The server returns identities of illegal users by checking the ciphertexts if they satisfy three conditions. The information leakage from the server can be managed at the restriction of response from the server to check the maliciousness of the queries.

In 2009, Charles, Goren, and Lauter suggest the cryptographic hash functions based on the explicit Ramanujan graphs of Lubotzky et al.(LPS for short) and Pizer. LPS-based Cayley hash functions has been crytpanalyzed immediately by Petit et al. However, Pizer-based hash functions has survived and it developed in the era of Post-Quantum Cryptography (PQC for short), now it called isogeny-based cryptography is one of the main candidates for PQC standardization which is announced by NIST (National Institute of Standards and Technology). In this paper, we focus on Cayley hash functions based on LPS-type Ramanujan graphs, which is a generalized construction from LPS's Ramanujan graphs. We analyze the security of Cayley hash functions based on LPS-type Ramanujan graphs against a lifting attack for finding their collisions and we also suggest the possible ways to improve its scheme and explicit constructions of graphs.

In this paper we present a message-dependent transformation scheme, K(I)Scheme. Based on K(I)Scheme, we present a new class of augmented MVPKC(Multi-Variate PKC), referred to as K(I)Sch・MVPKC. We show that K(I)Sch・MVPKC would be secure against the various attacks such as LLL attack. Based on K(I)Scheme, we also present a new class of augmented CBPKC(Code Base PKC), K(I)Sch・CBPKC. Both K(I)Sch・MVPKC and K(I)Sch・CBPKC enable the coding rate of exactly 1.0.

Akiyama et al. proposed some encryption schemes based on the problem of finding a solution to indeterminate equations over a finite ring until now. One of them uses the finite ring F_{q}[t]/(t^n-1) as a base ring. Its underlying hard problem can be reduced to a bounded distance decoding (BDD) problem and there are several attacks using its lattice structure. In this paper, we consider the scheme with the base ring F_{q}[t]/(t^{n}+1) instead of F_{q}[t]/(t^n-1). Moreover, we experimentally study the linear algebraic attack using its linear algebraic structure, via applying lattice methods on the corresponding BDD problem.

ある種の環上定義される不定方程式の最小解問題を安全性の基盤とする不定方程式暗号において１つのバリエーションを定義し、その安全性評価について報告する。このバリエーションはある種の値代入攻撃が回避できるという特長を有し、公開鍵である２変数不定方程式の総次数が１の場合は鍵復元攻撃が支配的となる。本稿では鍵復元攻撃の実験結果を示すとともに格子暗号で用いられている最新の評価手法に基いて安全性を実現可能なパラメータを導出する。

アグリゲートメッセージ認証コード(アグリゲートMAC)は, 複数の平文に対してそれぞれ認証タグを生成し, それらを1つの認証タグに圧縮する暗号技術である. 順序付きアグリゲートMACは, 複数の平文の検証だけでなく, その順序も検証可能である. オラクルに対して量子重ね合わせ状態のクエリを発行できる状況において, Simonのアルゴリズムを利用することによってCBC-MACやPMAC等の方式が破られることが知られている. このアルゴリズムを用いることによって, 同様の攻撃手法で既存の順序付きアグリゲートMACも破ることが可能である. 本稿では, オラクルに対して量子重ね合わせクエリを発行できるモデルにおける順序付きアグリゲートMACの安全性を定義し, この安全性を満たす2つの一般的構成法を提案する. 1つ目は量子安全な擬似ランダム関数からの構成法であり, 2つ目は鍵準同型弱擬似ランダム関数と擬似ランダム関数からの構成法である.

IWSEC2016でKurosawaらは汎用結合可能（UC）安全な動的検索可能暗号方式を示した。しかし、Kurosawaらの方式のModifyプロトコルには、同じキーワードを含むドキュメントにしか変更できないという問題がある。本稿では、Kurosawaらの方式を拡張し、異なるキーワードを含むドキュメントにも変更できる動的検索可能暗号方式を提案する。また、それがフォワード安全性を満たすことを示す。

部分一致検索可能な検索可能暗号として、文字毎に暗号化する手法が考えられる。しかし素朴な仕組みだけでは、文字暗号文の入れ替えと検索の繰り返しによって文字が推測される可能性がある。川合らは、文字位置毎に異なる暗号化鍵要素を用いることで文字暗号文の不正な入れ替えを防止した部分一致検索可能暗号をCANS2015で発表した。しかし、各部分文字列との一致判定にはトラップドアの変換処理が必要となるため、検索速度の低下が課題となっていた。本発表では、トラップドア変換を改良し検索速度を向上させた部分一致検索可能暗号について述べる。

データを暗号化したまま検索を可能とする検索可能暗号 (Searchable Symmetric Encryption: SSE) の中でも，任意のタイミングでファイル・キーワードをサーバに登録可能なものを，動的検索可能暗号 (Dynamic SSE: DSSE) と呼ぶ．近年，DSSEに必要不可欠な安全性としてフォワード安全性が注目されており，これは新たに追加されたファイルが過去に検索されたキーワードを含んでいるかどうかが漏れないことを保証する．本稿では，(1) フォワード安全性を満たし，(2) スタンダードモデルで証明可能で，(3) 並列処理可能，かつ (4) 各パラメータや計算コストが既存方式より効率的なDSSEを提案する．

近年，クラウドコンピューティングの普及によって， サーバに自分のデータを保存する機会が増加してきた． しかし，信頼できないサーバに保存する際，データの内 容を隠す為，データを暗号化して保存する必要があるが， データが暗号化されているとサーバ上での検索は不可能 となる．その為，暗号化したデータに対し，検索が可能 なシステムが必要とされている．このようなシステムの ことを検索可能暗号といい，近年，活発に研究が行われ ている．過去に我々が提案した手法は、単純な配列を用いて索引を構成することで、索引サイズを大幅に削減する事ができた．しかし、この手法はリスト構造を用いてキーワードごとのデータを管理していた為、並列処理で検索することが不可能であった．そこで、我々は、2分木を用いてデータを管理することで、並列処理を可能にし、さらに、暗号化索引作成後にクライアントがドキュメントを追加・削除できるよう改良した手法を提案した。本論文では、さらに、Forward安全性、Backward安全性を満たした新たな手法を提案する。

GPU などハードウェアの進化に伴い，AI技術のひとつである機械学習，とりわけ深層学習 （ディープラーニング）の研究が，画像処理の画像認識や物体識別の分野において急速に進展 している．画像認識では一般的に，識別対象が写っている画像と対応するラベルがペアとなっ た大量のデータセットをニューラルネットワークへ入力し，学習を繰り返すことで， ネットワークの持つ識別性能を高精度化させていく．この識別精度の高さを応用した， 新しい攻撃方法「ディープラーニング・サイドチャネル攻撃 (DL-SCA)」が注目 されはじめている．DL-SCA では消費電力波形をニューラルネットワークへの入力と しリークモデルを学習させることによって秘密鍵の導出を試みる． しかしながら，現状，特にハードウェア実装された暗号回路に対する攻撃事例は少ない． 本稿では，筆者らが過去に開発したサイドチャネル攻撃評価用の未対策 AES 回路 および RSM 対策 AES 回路 (ASIC) を取り上げ，DL-SCA を行なった結果を報告する． また，従来の相関電力解析といった解析手法とは異なる攻撃性能・攻撃特性についても考察する．

プライバシー保護やリアルタイム性などの要求から，エッジデバイスにおいてAI処理を実行するDeep Neural Network (DNN)推論アクセラレータの研究が多く行われている．一方，これらのデバイスは攻撃者の手元に存在するため，AIパラメータの窃取や改ざんを含む攻撃の危険性が高い．攻撃を防止するために，AIパラメータを外部メモリに保管する際は暗号化する必要がある．しかし，2018年にはCPU上のDNN処理実行時に発生する漏洩電磁波情報を用いてAIパラメータを窃取する攻撃が報告された．本論文では，FPGA上に実装されたDNNアクセラレータにおいて，攻撃者がサイドチャネル情報からAIパラメータを復元できることを示す．DNNアクセラレータは8bitに量子化された入力値と重みパラメータの乗算を繰り返している．演算結果をレジスタに格納するタイミングに着目し，任意の入力値を使った相関電磁波攻撃により重みパラメータを特定した．この結果から，セキュアなAIエッジデバイスの実現には，AIパラメータの暗号化だけでなく，サイドチャネル攻撃耐性を持つDNN回路実装が必要であることがわかった．

近年，深層学習を活用したAI(人工知能)の発展が目覚ましく，様々な産業への適用が検討されている．一方で，深層学習の入力に，僅かなかく乱情報を加えることで誤判断を引き起こすAdversarial Examplesを用いた攻撃が注目されている．本論文では，深層学習の入力による処理時間の差に着目した新たなAdversarial Examples生成手法を提案する．提案手法は，従来のAdversarial Examples生成で必要であった，学習モデルの内部パラメータ情報や，入出力データから生成した代替モデル，入力データに応じた出力確率情報は不要で，入力データに応じたサイドチャネル情報である処理時間のみを用いる．従って，出力確率情報をマスクした対策が無効でかつ，処理時間のみに着目するため攻撃者のハードルが低く，より脅威となると考えられる．基礎実験により，提案手法の原因が，ニューラルネットワークにおけるReLU関数などの処理偏りを有する活性化関数にあることを示す．また，提案手法は，画像認識でよく利用されるCNN(Convolutional Neural Networks)の学習モデルに対しても脅威であることを実験により示す．最後に，提案手法である深層学習に対するタイミング攻撃の対策について述べる．

近年，IC設計・製造の外部委託が増加し，第三者に製造工程の途中でハードウェアトロイが挿入される危険性が高まっている． これに対し，ニューラルネットワークなどの機械学習を用いたハードウェアトロイの識別が有効であると報告されている． 一方で，識別対象の入力に改変を加えて誤識別を促す敵対的サンプル攻撃も注目されている． 本稿では，論理レベルのハードウェアトロイ回路(トロイネット)を識別するニューラルネットワークを対象に，トロイネットを正常と誤識別させその存在を隠蔽する敵対的サンプル生成のフレームワークを提案する． 敵対的サンプル生成のための回路改変パターンとして，論理ゲートを論理的に等価なゲートに置換することにより，わずかな改変で回路の特徴量を改変するものを複数考える． ハードウェアトロイ識別のためのニューラルネットワークに関して，誤差関数の値から計算されるトロイネット隠匿度を提案し，その値が大きいものを実際の改変パターンとして採用する． 実験では，改変パターンを適用した回路モデルの識別結果においてTrue Positive Rateに関し最大26.0ポイント低下させることに成功した．

制御システムに対するサイバー攻撃への対策は，ネットワーク接続されるシステムが増加している現代における重要な課題である．しかし，セキュリティに関する知識や技術を有する専門家が世界的に不足していることが指摘されている．我々は，セキュリティの専門家でなくても制御システムに対してセキュリティ機能を設計・実装可能とする技術の研究開発を進めている．特に，ソースコードに対して必要なセキュリティ機能を自動的に追加配置する方法を検討している．従来の手法では，ソースコード内で扱われる情報資産の価値を考慮できていない点や，制御システムを構成する組込み機器のリソースを考慮できていない点に課題があった．本発表では，セキュリティ機能を導入したい対象ソースコードの処理内容と，処理される情報資産の価値を考慮して，ソースコードに対して過不足なくセキュリティ機能を適切に配置する手法を提案する．

遠隔監視制御システムの管理や操作を行うためのWeb UIを，インターネット上で誰もが閲覧可能な状態のまま運用しているインフラ施設が存在することが報告されている．しかし，このようにセキュリティに不備がある遠隔監視制御システムに対してどのようなアクセスが発生するかは，明らかになっていない．そこで本研究では，遠隔監視制御システムを模したハニーポットを実際の遠隔監視制御に用いる機器を使って構築し，アクセスの観測を試みた．その結果，ブラウザを用いて遠隔監視制御システムの状態を閲覧したり，制御のための設定値を変更する操作，ファジングツールを用いた通信など遠隔監視制御に影響を及ぼす恐れのあるアクセスが多数観測された．匿名通信路等を利用しておりアクセス元の特定が出来ない場合も確認された．このようにセキュリティに不備のある遠隔監視制御システムは，実際に運用状況の漏えいや不正な操作が行われる可能性があることがわかった．

制御システムでは、システム全体のセキュリティの向上が求められている。そこで、システム全体のセキュリティ監査を容易にするための自動化手法を提案する。本提案手法では、情報セキュリティ監査を自動化する技術仕様であるSCAPと制御システムの構成情報を記述するための規格であるAutomationMLを活用し、制御システムに合わせたセキュリティ監査を実施する。プロトタイプの作成を通して、本手法によるセキュリティ監査機能を運用する上での課題を整理する。そして、制御システムのセキュリティ監査自動化の運用へ向けて必要な仕様について方向性を示す。

従来より，サイバー攻撃の状況を把握するため，様々なネットワーク観測技術が提案されている． 観測機会を増やすためには，攻撃者に応じて最適なセンサ（ハニーポット）を準備する必要があり， 中でも制御システムを対象としたサイバー攻撃を観測するためにはPLC等の様々な制御機器のハニーポットが必要となる． しかし，制御機器はメーカごとに通信プロトコルが異なるだけでなく，公開されている仕様と異なる動作をするものも存在する． したがって，多種多様な制御機器のハニーポットを準備することは容易ではない． そこで，仕様が不明な制御機器のコマンドに対しても応答が可能なハニーポットを容易に作成することを目的に研究を行った． 本論文では，ハニーポットの応答を設計する上で核となるリクエストパケットの領域（本論文では「Essence領域」と呼ぶ）の候補を， 正常通信パケットから自動的に生成する手法を提案する． 提案手法を用いて3社のPLCとOPCサーバを用いて実験を行ったところ， 自動的に抽出したEssence領域にはPLCのコマンド部分が含まれており，その領域はEssence領域の20%から67%を占めていることが確認できた．

IoTや車載ネットワークでの攻撃検知には異常検知手法が良く用いられている。異常検知精度の評価指標: 正解率、F1値、Matthews相関係数、Cohenのκ係数、Ballanced Accuracy、異常検知用F値について、その特性を明らかにし、比較検討する。検知対象は正常標本が圧倒的に多い不均衡データであり、その点も併せて考察する。

本稿では, インシデント対応のファイル解析に必要なネットワーク情報を攻撃進行度に応じて蓄積するネットワークフォレンジック方式を提案する. 近年では標的型攻撃により組織内にマルウェアを送り込まれ, 機密情報を窃取されてしまうことが後を絶たない. 標的型攻撃を受けたことが判明した場合には, どんなファイルが送り込まれたのか, どんなファイルが窃取されたのかをいち早く分析し特定することがインシデントに的確な対処をする上で非常に重要である. この分析に従来のネットワークフォレンジック手法を採る場合はパケットを解析するので, 通信データを保存しておく必要がある. そのために必要なストレージ容量は非常に膨大であった. さらに, パケットを解析して攻撃に関連するファイルを特定し, 抽出・分析するにはセキュリティに関する高度な知識が必要である. そこで我々は攻撃の進行度から求める危険度に応じて蓄積する情報を変更できる方式を提案する. そして実際にネットワーク上で実行し, 全通信データを蓄積することに比べログの蓄積量を大幅に縮小できることを確認した.

インターネットはIPアドレスの枯渇等の問題からIP Version 4（IPv4）からIP Version 6（IPv6）に移りつつある。現在では互換性のない両者を同時に利用可能なIPv4/IPv6の混在環境（デュアルスタック）での提供が広くされているが、いずれIPv6だけの環境（IPv6 Single Stack）へと移行していく。インターネット上で稼働するOSやアプリケーションはすべてIPv6へと移行がされて行かなければならない。一方で、IPv6 Single Stackで多くのアプリケーションが正確に動作することへの疑念が残る。アプリケーション製作者が意図的にIPv4のみ対応を明言しているアプリは仕様通りと考えられるが、多くのアプリはIPv4、IPv6の対応状況を明記していないため、その動作が不具合なのか仕様どおりなのかが不明である。このような動作が不明な状況は接続の制御がうまく行っておらず、サービス可用性の侵害や悪意のある第3者の介在など未知の脅威の発生につながりかねないと懸念する。本研究では今後のIPv6時代に対応し得るAndroidアプリケーション開発及び改善等に役立てるため、なぜ正しくアプリケーションが動作しないのかをOSやライブラリそしてアプリケーションの視点からIPv6 Single Stack対応を調査そして分析した。

2014年にチャネルベース中間者攻撃と呼ばれるWi-Fi機器への中間者攻撃が提案された． チャネルベース中間者攻撃はWi-Fi機器がいくつかのチャネル（周波数）に分かれて通信することを利用した中間者攻撃であり，パケットの遮断や改ざんなどが可能になる． 我々はこれまでに様々な環境でチャネルベース中間者攻撃を行い，攻撃者が被害者に近づくことさえできれば攻撃が容易に成功することを示した． 本稿では，2018年に提案された新たな手法でのチャネルベース中間者攻撃を実装し，その実現可能性を調べた． また，影響のあるクライアントについて既存の方法と比較した． さらに，中間者攻撃を利用したWPA2に対する攻撃として，新たにハンドシェイクを利用したDoS攻撃を実装しその影響を調べた． 結果として，新たなチャネルベース中間者攻撃も攻撃は容易に成功することがわかった． また，2通りの方法を比較したところ攻撃手法によって影響のあるクライアントに差が出ることがわかった． 中間者攻撃を用いてDoS攻撃を行ったところ,通信の遮断に成功し，一部の環境ではクライアントの動作が停止した．

Shamir secret sharing scheme provides an efficient method for encoding a secret of arbitrary length among any n players such that for a threshold parameter t, the knowledge of any (t-1) shares does not reveal any information about the secret but any choice of t shares fully reveals the secret. However, Shamir secret sharing scheme and also most of the classical schemes require either linear algebraic computation over finite fields or XOR-operation e.g. [Kurihara et al. ISC'08] over binary field for implementation. Neither of these operations belong to the complexity class AC0 which was conjectured as possibly the lowest complexity class in which secret sharing schemes can be implemented. Recent advancements [Bogdanov et al. in CRYPTO'16] show the possibility of existence of such schemes. The research along this direction is still in its early stage and mostly the results are of great theoretical importance. We pose the question of practicality of using such schemes. Secret sharing schemes based on linear algebraic/ XOR computations are well implemented and are quite practical (almost to the point of optimality to achieve information theoretic security). We focus/ discuss circuit complexity of Kurihara et al.'s design (which is in NC1) and compare the two approaches from the point of view of practical measure.

秘密分散法とは秘密情報をいくつかの分散情報に分けることによって外部への情報漏洩を防ぐ暗号技術の一つである．中でも乗算可能な線形秘密分散法(MLSSS)は二つの秘密情報に対する分散情報のみから参加者間のインタラクションを通じて秘密情報の積に対する分散情報を生成することを可能にする．MLSSSの構成方法の一つに，adversary structureに対応する単調ブール関数をしきい値関数の合成関数として表現することで方式を構成するというものがある．しかし一般の単調ブール関数に対してそれを表現するしきい値関数の合成関数全体の中から情報比の意味で最適なものを見つけることは困難である．そこで本論文は，しきい値関数の合成関数のクラスを限定し，その中から最適なものを求めることによってMLSSSを構成する手法を提案する．提案手法を用いた場合MLSSSを構成不可能なadversary structureが存在するものの，特定のadversary structureに対してはインタラクションにおける通信量を既存手法より削減することが可能である．

認証符号(A-code : Authentication code)とは,通信路上の情報のやり取りにおいて,外部攻撃者によるデータ改ざんを検出することのできる情報理論的に安全な認証方式であるが, 内部攻撃者を考慮し,調停者を導入して送受信者によるデータ改ざんを検出する機能を拡張した認証方式として調停者付き認証符号(A^2-code)が知られている.そして, その調停者が必ずしも信用できる存在ではなく, 攻撃することも考慮した認証方式はA^3-codeと呼ばれている. また, 情報理論的に安全な暗号技術の多くは, 一様ランダムな秘密鍵が必要とされているが,現実的には真に一様ランダムな鍵を実現することは容易ではない.既存研究において, 非一様ランダムな鍵を用いたA-code及びA^2-codeは提案されているが,A^3-codeについては未だ提案されていない.そこで,本論文では,非一様ランダムな鍵を用いたA^3-codeに関して, 鍵エントロピーのタイトな下界を導出し, 鍵エントロピーの観点から最適な構成法を提案す

ロバストファジー抽出器とは、エントロピーの高い情報源（たとえば生体情報）から一定で一様な乱数を抽出し、補助情報の改ざんを検出するものである。既存研究では、改ざんを検出するためにエントロピーロスが大きくなるため、抽出できる乱数が短くなる。本論分では秘密鍵を用いず、1-roundで情報理論的安全性を満たす新たなロバストファジー抽出器を構成する。今回構成のアプローチとして、情報源の層分けを用いる。このアプローチは既存研究としてエントロピーロスを小さくすることが示されていたが、本論文では改ざんを検出するために用いる。今回の結果として、上記を条件としたこれまでのロバストファジー抽出器と比較してエントロピーロスがより低いものとなったことを示す。

We show that the Mayers-Shor-Preskill approach and Renner's approach to the security proof of quantum key distribution (QKD) are essentially the same.

著者はProveSec2018において、制限付きMQ問題という新しい数学問題を導入し、これの解読困難性を安全性の根拠とした多変数多項式暗号方式の構成法を提案した。本論文では、制限付きMQ問題の一般化である制限付きMP問題を考え、これの解読困難性を安全性の根拠とした多変数多項式暗号方式の構成法を提案し、解析する。

In this paper, we propose a new family of computational problems based on a generalization of Isomorphism of Polynomials with Two Secrets (IP2S) problem. Our generalized problem is as hard as the original IP2S problem and provides more freedom on setting the structure and the size of the solutions. Since IP2S problem is supposed to be hard against quantum adversaries, our generalized problem is also supposed to be hard against quantum adversaries. Furthermore, we develop several new computational problems derived from the generalized problem and based on these derived problems, we propose a new paradigm to construct public key cryptographic scheme and identification scheme by making use the commutative property of circulant matrices. The robustness of our proposed problems allows us to use them with circulant matrices without degrading the hardness of the problems too much, in contrast to the original IP2S problem which becomes easy when it is used with circulant matrices.

ICICS 2015で安田らは多変数多項式ベース暗号方式SRPを提案した。暗号方式SRPは、多変数多項式ベース暗号方式Squareを、多変数多項式ベース署名方式Rainbowを暗号方式に応用したRainbow-Plus(RP)構造と組み合わせたものである。しかし、暗号方式SRPは、SAC 2017でPerlnerらが提案したMin-Q-Rank攻撃によって破られた。PQCrypto 2018で池松らは多変数多項式べース暗号HFEをRP構造と組み合わせた暗号方式HFERPを提案した。単体の暗号方式HFEはMin-Q-Rankによって破られているにも関わらず、暗号方式HFERPは実験でMin-Q-Rank攻撃に対して安全であると示された。本研究は、RP構造を暗号方式の安全性強化手法とみなし、符号ベース暗号方式McElieceとRP構造を組み合わせた新たな暗号方式McEliece-RPを提案した。提案方式に対してグレブナー基底攻撃を行い、攻撃時間とグレブナー基底の計算におけるDegree of Regularityを計測し、グレブナー基底攻撃に対する安全性を評価した。

The final release of HTML5 led the development of web applications to a new stage. Not only personal computers or Smart phones, even IoT devices can access to web applications which are based on HTML5. A secure digital signature scheme is indispensable to protect the communications. National Institute of Standards and Technology (NIST) had concluded the collection of quantum-resistant public-key cryptography algorithms since November 2017. As one of the submissions, qTESLA digital signature scheme is a kind of lattice-based public-key cryptosystem proposed by Nina Bindel et al. Its security is based on the decisional ring learning with errors (Ring-LWE) problem. However, most lattice-based cryptosystems are computationally expensive and hence practical implementation becomes a crucial issue. Web Workers allows a parallel execution that some script operations can be accomplished in background threads rather than the main thread of a web application from the specifications of HTML5. The cross-platform language JavaScript is used to complete this operation. In this paper, we propose a parallel implementation of two lattice-based digital signature schemes, qTESLA and well-known BLISS by Web Workers and compare the performances on mainstream browsers.

RaCoSS is a signature scheme based on the syndrome decoding problem over the random linear code and proposed by Fukushima, Roy, Xu, Kiyomoto, Morozov, and Takagi. This scheme is cryptanalyzed Bernstein, H?lsing, Lange, and Panny (pqc-forum on 23 Dec. 2017). Roy, Morozov, Fukushima, Kiyomoto, and Takagi recently gave a patch and call the patched scheme as RaCoSS-R (ISEC Conf. on 25 Jul. 2018). This short note describes how to break RaCoSS-R by modifying the forgery attack against RaCoSS.

現在用いられている認証方式の大部分は素因数分解や離散対数問題の困難性に安全性を帰着させており，これらの問題は量子計算機によって容易に解けることが知られている． このような問題に対して，耐量子性を有する認証方式がいくつか提案されている． 耐量子暗号や認証，署名として符号ベースの方式がある． それらの方式では，巡回構造を持つ行列を用いることで，鍵サイズを削減する方法がよく取られている． しかしながら，巡回構造を弱点として，様々な攻撃手法が提案されている． 筆者らは高密度パリティ検査行列を用いた2元シンドローム復号問題に基づく認証方式を提案している． この方式では，公開鍵のパリティ検査行列を複数段の巡回行列のブロックで構成される行列とすることで，鍵サイズを削減している． また，巡回構造を利用した既存の攻撃に対応するため，符号語全体で巡回構造を無くす構造を与えている． 本稿では，提案方式について，既存の攻撃方法に対する安全性を考察する．

Webアクセス履歴の個人識別子に一定時間ごとに仮名を割り当てるプライバシ保護手法に着目し，その仮名の適切な更新頻度について考察する．CSS2017 で提案した，各ユーザのアクセス履歴間のJaccard 係数に基づく仮名の再同定手法を，Jaccard 係数とは異なる類似度指標を用いて評価し，実データへ適用することにより，本論文で取り上げるWeb アクセス履歴間の類似度指標の有効性について考察する．また，類似度指標の計算を高速化するための手法についても合わせて検討する．

近年，パーソナルデータの収集・活用に際し，データ所有者のプライバシを保護しようという動きが強まってきている．このような状況下で，データの匿名加工を行う技術や匿名性を評価する技術の重要性が高まってきているが，これらの研究は未だ十分とはいいがたい．筆者らは，特にWeb サイトへのアクセス履歴データを対象とし，時分割による多重仮名化を行った際の仮名更新頻度の安全性について，アクセス履歴のJaccard係数に基づいて定量的に評価する手法を提案したが，本論文ではよりデータの特徴を捉えた解析を行うために重み付きJaccard係数を採用した手法を提案し，その有効性について評価を行う．

本研究では、仮想的な状況（何らかの理由で自らのプライバシー情報が漏えいしたときに、金銭的な実被害額を全額保証した上で、支払われる慰謝料をいくらくらい要求するかという状況）を想定し、コンジョイント分析を行うことにより、個人のプライバシー情報の価値の測定を試みた。その結果、属性として用いた「慰謝料」「精神的被害」「実被害」および企業の対応（「金券」「詫び状」「HP」）の係数はいずれも統計的に有意となり、それぞれのコンジョイントカードで設定されている選択肢の効用に影響を与えていることがわかった。また、この結果を用いて限界支払意思額を計算したところ、精神的被害を貨幣価値で測ると約15486円、実被害については約37407円になった。

サービス提供者がユーザから情報を得る際に, プライバシーポリシーを提示しユーザの同意取得をする仕組みは広く普及しているが, 実際にユーザが意識してプライバシーポリシーの内容を理解して同意をすることは少ないと言われている. 2018 年5 月にはGDPR が施行され, サービス提供企業が同意を取得する際には, ユーザがより理解しやすいプライバシーポリシーの提示が求められるようになった. 本稿では, GDPR 施行後に改訂された日本語のプライバシーポリシーを踏まえつつ, ユーザにとって理解しやすいプライバシーポリシーの表示方法の検討を行なった. プライバシーポリシーからユーザにとって必要な情報を抽出するために, どの表示形式が望ましいのか, ユーザによる理解度の観点から実証的に分析した.

本稿では個人の情報を表すタプルの挿入や削除により変化する動的データセットの再公開における公開表の系列のプライバシ保護の確率的リスク評価について考察する．精確な確率的リスク評価の問題を２つの部分問題に分割し，１つの部分問題に対する多項式アルゴリズムを示し，もう一方の部分問題の計算複雑さがNP-困難であることを示す．

システム内の潜在的なプライバシーリスクを明確化する手法の一つとしてPIA (Privacy Impact Assessment)が知られている。PIAの国際標準規格であるISO/IEC 29134では、初期段階のプロセスとして、ステークホルダー間で予めリスクの認識共有や問題管理等のリスクコミュニケーションを行う「ステークホルダー間の協議」が規定されている。しかし、具体的な実施内容や方法は法務部門等の専門家集団に委ねられていたため、システム開発者が単独でPIAを行う場合に本プロセスを実施できず、その結果、初期段階で適切なリスクコミュニケーションが図れないという課題があった。本稿では、システム開発者でも容易に実施できる具体的な実施手法を提案する。まず、本プロセスを「プライバシー保護要件の特定」と「要件対処の調整」の2つのステップに細分化する。これにより、本プロセスで実施すべき内容が具体化される。次に、「プライバシー保護要件の特定」のステップについて、システム開発者が単独で実施するための方式を提案する。これにより、専門家集団でなくても本プロセスが実施可能となる。最後に、一つのユースケースに対して提案方式を適用し、既存方式に対する有効性を検討する。

世の中には多くの難読化ツールが利用されている． それらのツールの多くは，ソフトウェアを強力に保護すると謳っている． 特に，Java言語をはじめとするJVM言語を対象とした難読化ツールは古くから様々なツールが提供されている． しかし，実際にどの程度保護できるかの調査は実施されていない． そこで，本稿では主にOSSの難読化ツールを対象に，具体的にどの程度保護できているのかを確認する．

近年、攻撃対象の計算機に痕跡を残さないファイルレスマルウェアの脅威が広がっている。ファイルレスマルウェア等のメモリ上のプログラムは一般的なLinux用のセキュアOSがプログラムの実行可否判断に用いるファイルパスや、inodeの属性情報といった情報を持たず、既存のセキュアOSでは適切な保護が困難である。そこで本稿ではOSレベルでの保護方式を提案するにあたり、まずLinuxにおいてストレージ上にファイルを配置せずにプログラムを実行する方法と、実行時にOSレイヤから取得できる情報について網羅的な調査を行った。さらにファイルレスのプログラム単位で実行可否を判断する方法について考案し、セキュアOS WhiteEgretへと実装を行った。その結果、OSレベルでプログラム単位での実行可否が判断でき、ファイルレスマルウェアに対して提案手法が有効であることを確認した。

近年，組み込み制御機器においても，不正プログラムを実行させないために，セキュアブートの採用が増えている．従来のセキュアブートでは，各プログラムの署名検証を行いながら，そのハッシュを格納していき，最後に外部サーバに問い合わせることで，ソフトウェアの完全性を検証する．しかし，従来のセキュアブート方式の場合，ソフトウェア本体とその署名を丸ごと古いバージョンに戻すダウングレードを検知しようとすると，外部サーバで管理する期待値との比較が必要となり，機器単体で検証動作を完結できない．また，個々のソフトウェアの署名検証において公開鍵演算を都度行う必要があるため起動が遅い．そこで我々は，起動する機器単体でのダウングレードの検知および，完全性検証の高速化を行うセキュアブート方式について検討を行った．セキュリティ演算部を持つプラットフォームにおいて，初回起動時に行う署名検証の過程で生成されたハッシュ値をセキュア領域に格納し，2回目以降の起動時に活用する構成について，4通りの設計例を検討した．また，組み込みプラットフォームにおいて検討した方式の実装を行った．

Return-Oriented Programming等の制御フローに対する攻撃への対策として，制御フローを実行時に検査するCFI (Control-Flow Integrity)が知られている．我々は計算機資源が制限された組込み向けプロセッサ上でセキュリティ機能の実装を支援するハードウェア機構の一つであるTrustZone for Armv8-Mを利用した，RTOSベースのアプリケーションを対象とした軽量なCFI手法TZmCFIの実現に向けた研究を実施している．CFIのアプローチの一つとして，復帰先が静的に決定できない関数呼出しに対して有効なshadow stackがある．本稿では本研究の一環として開発した非同期例外向けのネスト例外（多重割込み）をサポートしたshadow stackベースのCFI手法について述べる．

プライバシー保護やリアルタイム性への要求等によりこれまでクラウド環境で行われることが多かったAI処理がエッジデバイスに移行しつつある．AIエッジデバイスは攻撃者が容易に接触できるため，AI演算処理に使用されるAIパラメータの窃取・改竄を防止することは，知的財産の保護・誤動作防止の観点から必須である．本論文では上記課題を解決するため，PUFをセキュリティコアとしたIoT向けセキュアAIデバイスを提案する．本提案では，(1)PUFから生成した固有ID（PUF-ID）を秘密鍵とした公開鍵ペアに発行された電子証明書によりエンティティ認証を行い，デバイスの真正性を確保する．(2)デバイスにダウンロードされたAIパラメータを外部メモリに保管する際には，PUF-IDを秘密鍵としたAES暗号により暗号化を行う．実装例として，本研究室で開発したMDR-ROM PUFを使用し，ラズベリーパイをクライアントとしたエンティティ認証を示す．MDR-ROM AESはサイドチャネル攻撃に耐性を有し，AIパラメータ復号時に暗号鍵が盗み出されないため，高い耐タンパ性をもつセキュアAIデバイスを実現することが期待される．

様々なモノがインターネットにつながるIoT （Internet of Things）において，一度のバッテリー交換で長期間稼働するデバイスを実現できれば，管理にかかる人的コストや労働負担を削減できる．デバイスの消費電力を抑えるために，低電力かつ長距離通信可能な通信方式（LPWA：Low Power Wide Area）が提案されている．LPWA を実用化する上ではLPWA を用いた通信の安全性を十分に評価する必要がある．本稿では，LPWA の一つであるLoRaWAN を扱い，LoRaWAN に対する新たな攻撃を提案する． 　筆者は既にLoRaWANパケットのカウンタ値を改ざんすることによって，アプリケーションサーバのカウンタ値を引き上げる攻撃を提案しており，ABPによる通信で実際に攻撃を行い，サーバがDoS （Denial of Service）状態になることを確認している．本稿では，LoRaWANのもう一つのアクティベーションであるOTAAで運用されているLoRaWANに対して攻撃を行い，ABPと同様サーバがDoS状態になることを確認する． また提案する攻撃手法の対策についても考察をする．

近年，IoT機器の急速な普及に伴い，IoT機器を狙ったマルウェアが猛威を奮っている． 特に活動が活発なマルウェアであるmiraiやBASHLITEは，感染後にC&Cサーバから指令(コマンド)を受信し，その内容に応じた動作を行うという特徴を持っている． 本研究では，C&Cサーバと通信を行うIoTマルウェアに対して，C&Cサーバを模擬し自滅指令(キルコマンド)を送信することで，感染した端末に手を加えることなくIoTマルウェアを駆除する手法を提案する． 予備調査では，miraiとBASHLITEについて公開されているソースコードからキルコマンドの有無を調査し，いずれも特定のコマンドを受信するとプロセスが終了することを明らかにした． 実験では，IoTPOTにて収集されたIoTマルウェアに対してキルコマンドの有効性を検証し，C&Cサーバとの通信機能が確認されたマルウェア413検体のうち約82%を駆除できることを明らかにした．

本稿ではリスクアセスメントのプロセスを体験し，IoTシステムへの脅威と対策を学習するためのサイバーゲーム演習ツールを提案する．提案した演習ツールの効果を確認するため，参加者の反応はプロジェクトマネジメント分野で活用されている教育ゲームの評価指標を活用した．また，学習効果についてはアンケートによる参加者の主観評価を分析した．評価結果の分析により，本ゲーム演習ツールの有効性を示す．

コスト削減やソフトウェア品質確保の観点から、開発コストに占める割合が大きく、かつ品質確保の要であるテストの自動化が望まれる。中でも脆弱性診断、特にファジングでは、自動テストケース生成・自動実施についてAFLやDrillerなど多くのツールがリリースされている。それらツールの多くは網羅率向上に主眼が置かれ、他の品質評価指標までは対応していない。しかし、網羅率という観点だけでは、テストケースの偏りから部分的にテストが不十分となってしまう。この課題は、プログラムの要素ごとにテスト密度を考慮してテストを実施することで解決できる。本発表では、ファジング後のプログラムに対して、要素ごとにテスト密度を自動で確保するため追加テストを自動実施する方式を提案する。この方式では、テスト密度が基準値に満たない未達要素に対し、コンコリック実行を用いて未達要素を実行させるテストケースを生成する。また、その要素の内部処理で使われる局所変数をテスト対象箇所のソースコードから抽出してテストケースごとにその値を変更する。これにより、単に対象要素を実行させるだけでなく、対象要素内部の処理に対して入力が毎回異なる追加テストを実施できる。

We introduce how we developed a tool to fuzz filesystems over USB, and how we used it to uncover bugs in Windows, Android, and some Linux distributions. It is very common for IoT devices to load and save files from a removable memory device. For example, infotainment systems in cars can load media files from a USB drive, and some medical devices save logs in external SD cards. The filesystem layer might contain critical bugs. Using an embedded Linux Board (BeagleBone Black), we emulate a USB drive, and alter some bytes randomly after a few memory reads have occurred. Using this approach, we were able to uncover various bugs in filesystem parsers (Exfat, NTFS, etc.) of different Operating Systems, usually at kernel level. In the worst case, such bugs could enable attackers to abuse USB/SD ports to run arbitrary code on IoT devices. We conclude that filesystem fuzzing should be part of the security evaluation of IoT devices.

標的型攻撃によるC2通信やサプライチェーン攻撃により埋め込まれたバックドアのある機器の特定などのため、通信ログなどから不審な挙動を抽出するセキュリティログ分析が求められている。 ある程度の期間に収集した監視ログをまとめて統計的な分析をバッチ処理で行う手法は、重篤な攻撃や不審挙動が起こってから処理までのラグにより対応が遅れてしまう懸念があった。 そこで、レコードの発生ごとにオンライン処理で分析を行う手法が検討されているが、少ないデータで判断を行うことによる精度の低下や、検知タイミングの増加による正確度や処理性能の低下のおそれがある。 本発表では、正確度と即時性を両立するセキュリティ分析の手法を確立するため、閾値と統計量とを比較する処理の改良を提案する。 疑似データによる実験を通して、正確度を高く保ち、かつ精度と即時性とを可能な限り両立し、かつ精度と即時性とのトレードオフを考慮した設定を支援できることを示す。 本手法により誤検知が少ない分析結果をタイムリーに提供することで、攻撃や不審挙動が起こってから短時間のうちに適切な対処を行うセキュリティ監視運用が可能になる。

パターンマッチングでは検知困難な未知のマルウェアを，機械学習を用いて検知する研究開発が活発化している．しかしながら，従来の検知技術は，近年複雑化している機械学習に対する攻撃の影響を十分に考慮していない．本研究では，機械学習への代表的な攻撃の1つであるデータポイゾニング攻撃に着目し，従来のマルウェア検知技術における攻撃の影響を明らかにすることを目的としている．データポイゾニング攻撃は，訓練データに悪意あるデータを混入することで，学習したモデルの予測結果を意図的に操作する攻撃手法であり，これを応用することで特定の入力データのみ誤認識を誘発するバックドアの埋め込みが可能となる．本稿では，まず，データポイゾニング攻撃により，特定の種類のマルウェアのみ検知を回避するバックドア埋め込みのための攻撃フレームワークを提案する．次に，最適化問題を解くことで，攻撃検知を回避しつつポイゾニングデータを効率的に生成する方法について述べる． さらに，ロジスティック回帰を用いたマルウェア検知技術を一例として取り上げ，2つのデータセットを用いた評価実験を通し，提案手法の有効性を定量的に示す．

近年，機械学習を応用することで，高精度にマルウェアを静的に検知する研究が盛んである．こうした研究においては，特徴量としてPEファイル全体やbyte histogram，section entropyといったPE表層情報が用いられてきた．他方，impfuzzyのようなfuzzy hashやpeHashは，マルウェアのクラスタリングや亜種の識別に使われているが，直接マルウェアの検知に利用する研究はほとんどない．そこで類似したマルウェアが類似したhash値になることを考慮し，こうしたfuzzy hash及びpeHashを検知に利用できないかを検討したので，その成果を報告する．

マルウェア検出エンジンに要求される検出率(TPR)及び誤検知率(FPR)は高く，イギリスのVirus Bulletinが行なっているVB100の認証を得るためにはTPR99.5%以上，FPR0.01%未満という厳しい要件を満たす必要がある．しかし，マルウェアの新種や亜種などパターンマッチングによる検知が容易でないものは，シグネチャベースのマルウェア検出エンジンでは検出が難しい．このようなマルウェアに対しては，検体の特徴を複合的に分析するような機械学習によるアプローチが有効と考えられる．そこで我々は「FFRI Dataset 2018」を用い，表層解析ログやPEヘッダダンプからマルウェア検出モデルを機械学習により作成し，FPRが一定未満となるよう制約を課した上で精度を検証した．結果として，FPR1%未満でTPR99.7%，FPR0.1%未満でTPR98.7%，FPR0.01%未満でTPR94.5%と先行研究と比較して高精度なマルウェア検出モデルの作成に成功し，さらに本モデルにおいてマルウェア検出への寄与度が高い特徴量を示した．

近年，サイバー攻撃は高度化・巧妙化しており，その被害は深刻化している．サイバー攻撃にはマルウェアが使用されることが多く，その数も増加の一途をたどっているが，それらは既知マルウェアの亜種であることが多い．したがって，解析対象のマルウェアが，既知のどのマルウェアファミリーに類似しているかを特定できれば，インシデント発生時の被害状況特定など解析作業の効率化を期待できる．本稿では， マルウェアの逆アセンブル結果から，API呼び出しの順序と呼び出し頻度から構成した重み付き有向グラフ（APIコールグラフ）を作成し，それをマルウェアの特徴として捉えた．さらに，同一ファミリーの複数の亜種のAPIコールグラフから，共通する部分グラフを抽出し，解析対象マルウェアのグラフと比較することでファミリーを特定する手法を提案し，その有効性について検討を行った．

ファイルレスマルウェアでは、ダウンロードされたマルウェア本体(ペイロード)はハードドライブ上に格納されることはない。ダウンロードされたペイロードは、OSの機能により直接メモリ上に展開され、実行された後、削除される。メモリ上から削除されること、ファイルとしての実体を持たないことが、ペイロードのフォレンジックを困難とする。ハードディスク上に存在するドロッパー・ローダーは、ペイロードをダウンロード・実行するのみであり、これを解析してもマルウェア全体としての動作を解析できない。Linuxシステムコールmemfd_createを利用したファイルレスマルウェアはメモリ上に作成したファイルに対し、ファイル名に一定の特徴を残す。この特徴はmemfd_createシステムコールのソースコードで定まっているものである。我々はこの特徴を利用し、memfd_createシステムコールを利用したファイルレスマルウェアを検知する手法を考案した。また、同ファイルレスマルウェアに対する対策手法についても考察する。

近年，暗号資産(通貨)の市場規模拡大により，マイニング行為が収益化している．これに伴い，他人の機器を盗用した不正なマイニング行為によって，悪意あるユーザーが収益を得る攻撃の脅威が増大している．不正なマイニング行為は，意図しないCPUやGPUの利用により，消費電力の増加や占有状態によるユーザエクスペリエンスの低下を引き起こすリスクがある．このためマイニング検知の研究が進められており，現在はブラウザ上での検知手法の検討が中心である．しかしながら，マイニング行為はアプリケーションでの実行や，亜種・新種のマルウェアとして出現するなど，手口の巧妙化が想定され，環境を考慮せずマイニング行為を検知できる必要がある．本研究では，アプリケーションやOSへの依存が少ない，CPUやメモリの利用状況から検知することに着目し，Hardware Performance Counters (HPCs)を用いたマイニングマルウェア検知手法を検討する．Android端末を用いて，マイニング検知の精度，ハードウェア環境への依存性を評価し，本手法の有用性と実現可能性について論じる．

本論文では, 追跡機能付き対話型アグリゲートメッセージ認証コード（IAMD: Interactive Aggregate Message Authentication Code with Detecting Functionality）に対する新たなモデルと安全性の定式化を提案する。IAMDとは, 少ない認証子サイズで不正なメッセージを追跡できる対話型のアグリゲートメッセージ認証コードである。本論文では, 任意の適応的グループテストと任意のアグリゲートメッセージ認証コードから, IAMDを構成することを目的に, SCIS2018に著者らが発表した適応的グループテストのモデリングおよびIAMDのモデルを再考する。その結果, 代表的な適応的グループテストとアグリゲートメッセージ認証コードからいくつかのIAMDの直接的構成法を示し, 安全性および効率性の観点からそれら構成法の比較解析を行う。特に, 認証子サイズの観点から最適なIAMDの構成法を明らかにする。

Replayable CCA (RCCA) 安全性はCanetti らによって提案された安全性であり, CCA 安全性を緩めた安全性として知られている. このRCCA 安全性は, 暗号文の再ランダム化を許す定式化がされており, 認証や鍵交換などで使用される. 彼らはIND-RCCA, UC-RCCA とNM-RCCA を定義し, それらの等価性を証明した. 彼らの結果を用いることによって, ある公開鍵暗号方式がIND-RCCA 安全であることを証明できれば, その方式がRCCA 環境下で汎用結合可能性と頑強性のどちらも同時に満たすことが保証される. 従って, 彼らの結果はRCCA 環境下において複数の安全性の取り扱いを容易にしたように見えた. しかし, 彼らのNM-RCCA の定式化はNM-CCA の自然な拡張になっておらず, その妥当性が不明である. そのため, IND-RCCA 安全性を証明することでRCCA 環境下での頑強性を同時に示せ るかどうかは明らかではない. このような問題が生じているため, RCCA 環境下におけるより頑強性の直感を捉えた定式化を行う必要がある. 本稿では, RCCA 環境下におけるシミュレーションベースの頑強性及び, 識別不可能性ベースの頑強性の定式化を行い, その関係性を明らかにする.

1989 年に Impagliazzo と Rudich がプリミティブ間のブラックボックス分離(BB 分離)の フレームワークを示して以降，BB 分離(及び BB 構成)は暗号研究における中心分野の一つとなった. 一方 ZK なぞを用いた非ブラックボックス(non-BB)な手法によるプリミティブ間の関係性の研究も盛 んに行われてきた.2011 年に Brakerski ら(BKSY11，TCC2011)が主要な non-BB 手法である ZK を オラクルとして与えた拡張 BB フレームワークを提案し，従来より強い拡張 BB 分離を示した.BKSY11 ではある証拠識別不可能(WI)な対話証明から NIZK が構成できることを示したうえで，この対話証明 をオラクルとして与えた拡張 BB 分離/構成の具体例を提案した.本稿では WI でない対話証明からでも NIZK が構成できることを示し，BKSY11 の結果を更に簡略化する.更に BKSY11 同様，本考察で提案 する対話証明をオラクルとして用いる拡張 BB フレームワークにおいて，CPA-PKE から CCA2-PKE が 構成できること及び，OWF から KA が分離されることを示す.

The advent of quantum computers and their algorithms has opened the era of post-quantum cryptography. Accordingly, new security proof models and proof techniques in a quantum setting need to be settled. As the classical random oracle (CRO) model is widely accepted as an efficient security proof tool, quantum-accessible random oracle (QaRO) model has been suggested by allowing the adversary's access to quantum computation. In this paper, we examine the features of CRO model and how they are applied to the QaRO model. Compared to the classical case, QaRO model has advantages such as quantum parallelism, but also weaknesses due to no-cloning theorem and collapse during measurement, e.g. adaptive programmability, rewinding, extractability, challenge injection, and oracle simulation. We review and compare the attempts to extend classical features to quantum one and how they overcome weaknesses, by introducing new quantum proof techniques.

ImpagliazzoとRudichが帰着不可能性の結果を示して以来(STOC 1989)，数多くのブラックボックス帰着の不可能性の結果が示されてきた．しかしながら，既存の結果は古典計算の文脈における暗号プリミティブのブラックボックス帰着を排除するのみであり，量子帰着の存在を排除できない．本稿では，Reingold，Trevisan，Vadhan による完全ブラックボックス帰着の量子版を定式化し，量子計算の文脈における完全ブラックボックス帰着不可能性の研究の嚆矢とする．また衝突困難ハッシュ関数から一方向性置換，更には落とし戸つき一方向性置換への量子完全ブラックボックス帰着が存在しないことを証明する．これは古典計算の文脈において対応する主張に証明を与えたSimonの結果(Eurocrypt 1998)の，量子計算の文脈への拡張である．

JaoとFeoによって提案された、超特異楕円曲線間の同種写像を求める問題 の難しさに基づくDiffie-Hellman鍵共有プロトコル(SIDH)は、量子計算に対する耐 性を有するプロトコルとして注目され近年盛んに研究されている。 しかし、超特異楕円曲線のとりうる位数が限定的なため利用可能な曲線が少ない ことが課題の一つとして挙げられている。本論文では、超特異楕円曲線とその2 次ツイストを同時に用いるSIDHの変形を提案する。提案プロトコルはこれまでの SIDHと異なる曲線上でこれまでと同程度の効率のSIDHを実現可能であり、利用可 能な効率的な曲線もこれまでのSIDHと同程度存在する。したがって、提案プロト コルによってより豊富なSIDHを利用可能となる。 また、提案プロトコルはこれまでのSIDHよりも小さな有限体上で同程度の安全性 を達成できる場合があり、より効率的なSIDHを構成できる可能性がある。

耐量子暗号の候補として，楕円曲線の同種写像を利用した同種写像暗号がある． その中で，超特異楕円曲線を用いた高速な鍵交換方式として， JaoとDe FeoはPQCrypto 2011において今日SIDHと呼ばれる方式を提案した． SIDHは公開鍵の他に，等分点の補助情報を相手に送る必要があるという問題点があった． それに対してAsiacrypt 2018で提案されたCSIDHは，等分点などの補助情報を必要としない鍵交換を実現している． 一方で，CSIDHではSIDHとは異なり様々な素数次数の同種写像を計算する必要があり， そのために等分点の生成を必要とし，非常に多くのスカラー倍算を行わければならない． 本稿では，CSIDHで必要とされる計算量を， 秘密鍵のパラメータにより変化するスカラー倍算と同種写像の回数として考察する． この評価モデルによりCSIDHの計算量が多い演算を特定し，それに基づいた高速化パラメータを提案する．

同種写像暗号方式は超特異楕円曲線間の同種写像の計算問題を安全性の根拠としており，耐量子暗号の一つとして期待されている．現在，この方式において，JaoらによるSIDH鍵共有方式(2011)とCastryckらによるCSIDH鍵共有方式(2018)が提案されている．これらの方式はどちらも二者間の鍵共有方式であり，複数人の鍵共有方式であるグループ鍵共有については何らかの拡張を行う必要がある．本稿では，CSIDHを用いたグループ鍵共有方式を提案する．また，この鍵共有方式を使うことで，SIDHの公開パラメータを公平に生成し，SIDHの安全性を高める方式についても提案する．

最近Bonehらにより提案された暗号学的不変量写像（cryptographic invariant maps: CIMs）に基づいた1ラウンド認証グループ鍵共有を2方式提案する。1つ目の方式は、量子ランダムオラクルモデルで安全であり、2つ目の方式は、秘密鍵漏えいを最大限許すモデルで安全である。それぞれ、CIM上でのn パーティDDH仮定の下で量子ランダムオラクルモデルで安全、n パーティGDH仮定の下でランダムオラクルモデルで安全である。それらの特殊化として、一方向性群作用をもつ等質空間（hard homogeneous spaces: HHS）上での2パーティ間認証鍵共有が得られる。特に、その具体形であるCSIDH鍵共有に基づく認証鍵共有は、現実的な実装性をもつと共に、量子攻撃者に対しても安全な方式になっている。

2011年に Jao らは超特異楕円曲線の同種写像計算困難性に基づく暗号プリミティブとして、SIDH を提案した。同種写像に基づく暗号プリミティブは、量子計算機に対しても安全性を保つことが期待されている。2018年に Taraskin らは SIDH に基づくパスワードベース認証鍵交換プロトコルを提案した。しかし、SIDH の非可換性のため新たな群作用を定義する必要があった。また、安全性証明に際して群作用に伴う独自の仮定を導入しており、それが十分に難しい問題かは定かでない。本稿では、可換演算を導入した CSIDH に基づくパスワードベース認証鍵交換プロトコルを提案し、一般的な CSIDH 仮定のもとで安全性の証明を与える。

物理的なカード組を用いて秘密計算を実現できることが知られており、プロトコルの基本操作としてシャッフルと秘匿置換を用いる研究がそれぞれある。前者は非常によく研究されているのに対し、後者は歴史も浅く、数個のプロトコルが提案されたのみである。本研究では、後者のモデルに関して、秘匿置換を互換だけに制限した場合でさえも、非常にパワフルな計算能力を有していることを示す。具体的には、秘匿互換だけを用いるモデルで、任意の$n$変数関数に対するmalicious安全なプロトコルを$2n+5$枚のカードで構成する。また、論理積と等号判定の関数に対する具体的なプロトコルも構成する。

中井らとMarcedoneらは独立に，背面処理を用いるカードプロトコルを考案した． 背面処理とは，プレーヤが自分の背面などでプライベートに行うカード操作である。 背面処理を許すと，カードシャッフルを用いる従来のモデルより，カード枚数や通信回数が減る利点がある一方で，シャッフルを用いるモデルでは考慮する必要のなかった，不正検知の問題を考える必要がある． 本研究では，背面処理を行う人を監視するプレーヤ（番人）を導入し，ラウンド毎に番人を交代しながらプロトコルを実行する方法を提案する． このアイデアによって，監視により不正を検知しつつ，番人の交代により参加者全員にとってカード列がランダムに見えるようにできる． 我々のアイデアの実行例として，渡邉らが提案した，背面処理を用いたsemi-honestなモデルの多数決カードプロトコルを，maliciousモデルで実行できるように改良する．

This paper shows new card-based cryptographic protocols using private operations. Private operations were shown to be powerful primitives to calculate logical functions in card-based cryptographic protocols. This paper shows efficient computation of three-input Boolean functions using private operations. The number of cards used in the protocols are rescued than the ones by Nishida, Hayashi, Mizuki, Sone(2015).

本稿では，安定マッチング（結婚）問題を秘密計算するカードベースなプロトコルを提案する．安定マッチング問題では，同じ数のプレイヤーを要素として持つ二つの集合を想定し，それぞれの要素は，異なる集合に属する要素を全て順位付けした選好リストを持っているものとする．提案プロトコルを実行することで，二つの集合の``安定な''完全マッチングだけを計算機に頼ることなく得ることができる．すなわち，そのような完全マッチングには駆け落ちが発生するようなペアは存在しない．提案プロトコルは（計算機を用いることが想定される）ほとんどの既存研究と同様，1962 年にGale とShapley によって提案された有名なアルゴリズムに基づいており，そのアルゴリズムをカード組で秘密計算する．具体的には，提案プロトコルでは二つのプリミティブを用いる．その内の一つは2017 年にKoch とWalzer によって提案されたChosen Pile Cut と呼ばれる手法である．もう一つは新たな金持ち比べ（大小比較）プロトコルであり，これは大小比較の秘密計算と他の演算を連続して行うことを可能にしている．したがって本稿では，シンプルなカードベース安定マッチングプロトコルと金持ち比べプロトコルを提案する．

近年,メモリー暗号化や制御システム,自動車認証などのリアルタイム性を重視する応用において,低遅延な暗号アルゴリズムへの関心が高まっている.PRINCEに代表される低遅延暗号アルゴリズムは,１クロックサイクルで暗号化および復号が可能なアンロールドアーキテクチャがハードウェア実装の基本となる.本稿では,低遅延暗号アルゴリズムのアンロールド実装におけるサイドチャネル漏えいについて述べる.特に,アンロールド実装特有のサイドチャネル漏えいである中間ラウンドで発生するスイッチングバイアスについて述べ,そのバイアスを利用する平文選択型のサイドチャネル解析を提案する.さらに,提案攻撃に対するアンロールド実装向けの対策として,RSM(Rotating S-boxes Masking)に基づく対策手法を提案する.本稿では,提案する攻撃および対策の有効性を,FPGA上にアンロールド実装されたPRINCEハードウェアより計測された消費電力波形を用いたt検定及び相関電力解析により示す.

多くの端末がインターネットを介して繋がるようになった現代において，小型の計算機器のセキュリティはより重要視されるようになっている． 機器認証には主として公開鍵認証が用いられるが短い鍵長で高いセキュリティ強度が担保出来る楕円曲線暗号に注目が集まっている． とりわけIoTデバイスで用いられるFPGAは計算リソースが限られる場合が多いため，効率のよい曲線選定が必要である． そこで近年着目されているのがCurve25519である． 一方，電子機器上での暗号計算の際に発生するノイズを用いて攻撃するサイドチャネル攻撃の危険性も指摘されている． 本稿では効率のよい曲線として注目を集めるCurve25519をFPGAに実装し，サイドチャネル攻撃を機械学習を用いて行う． 機械学習にはパターン認識を用いた教師あり学習を用いている． さらに，攻撃にはCurve25519の特異点となる位数4及び8の有理点を用い，選択暗号文攻撃を行う． その結果，パターン認識による秘密鍵の解読に成功したためその対策について提案している．

高機能暗号を構成するペアリングに対し乱数マスクを利用したサイドチャネル攻撃対策が提案されている．しかし，その効果を実験で評価した研究報告は少ない．そこで我々はこの対策を実装し、相関電力解析を行ってみた．その結果、乱数マスクは単純な相関電力解析に対して効果があることを確認した．一方，乱数マスクに対しても適用できる攻撃手法として衝突攻撃と呼ばれる手法も報告されている．我々は，衝突攻撃が計算順序に大きく依存していて多くのオープンソースのペアリングライブラリに対しては失敗する可能性が高いことを示す．さらに，衝突攻撃が困難な実装に対して平均消費電力を用いて秘密情報の特定を試みた結果を示す．この攻撃実験では秘密情報について，そのハミング重み程度の情報は入手することが可能であることを示す．

本稿は，論文誌 (TCHES) で発表済みの内容に基づく．Threshold Implementation は，マルチパーティ計算に基づく，サイドチャネル攻撃への対策法である．Uniformity は Threshold Implementation が満たすべき重要な性質の 1 つである．Uniformity が欠けている場合，新鮮な乱数を大量に継ぎ足しながら計算を行う必要があり，その乱数生成コストが実装上の課題となる．標準アルゴリズムである AES と Keccak の S-box について，シェア数 3 かつ Uniformity を満たす Threshold Implementation を作ることは，重要な未解決問題であった．2017年に Daemen は，Changing of the Guards と呼ばれる技法を提案し，シェア数 3 かつ Uniformity を満たす Keccak S-box の実装を実現した．しかし，同テクニックを AES に展開することはできなかった．全単射写像にしか使うことができない Changing of the Guards を，AES S-box が含む 2 入力 1 出力の乗算には適用できない点に困難があった．それに対し著者は，全単射では無い写像にも適用できる Changing of the Guards の一般化を提案した．また，この一般化により，シェア数 3 かつ Uniformity を満たす AES S-box を初めて実現した．

近年、ワイヤレスセンサネットワーク（WSN）が利用される分野は拡大し続け、これに伴い、WSN のセキュリティ需要が急速に高まっている。WSN に特有の攻撃には、Denial of Sleep 攻撃が挙げられる。これは、WSN を構成する端末に対して継続的な処理を強要し、省電力状態（Sleep状態）への移行阻害と端末群の電力枯渇を狙った、WSN の可用性を損なわせる攻撃である。この攻撃に対応する方式が幾つか提案されており、特に Wake-up Radio を用いた新しい方式が注目されているが、まだ研究が進んでいない。また、実際の WSN 規格や経路制御方式に照らし合わせた評価が不足している。そこで本研究では、SWARD と呼ばれる Wake-up Radio を利用した IoT 向けのスター型1ホップネットワークにおける Denial of Sleep攻撃への対応方式を、IEEE 802.15.4 および ZigBee を利用したマルチホップ WSN へ適用することを提案し、実際に特徴が異なる2種類の経路制御方式を利用した状況での評価を行い、本提案の有効性を確認した。

IoT機器の普及により、メモリや計算能力に制約のある機器が増加した。こうしたIoT機器同士で安全な通信を行うには、ユーザー数をNとしたとき、N個の鍵を持てばよい。しかし、その場合ユーザー数の増加に伴い必要な鍵の数も膨大になる。 そこで軽量で効率的に相互認証を行う方法として、ハッシュチェーンアグリゲーション(以下HCA)が考案された。 HCAは、各ユーザーにハッシュ値を複数割り当て、それらを利用して共通鍵を作成する方法であり、各ユーザーが保持する必要のあるハッシュ値はO(log N)個である。 しかし、HCAには、複数人が結託して攻撃する場合、認証者以外が認証者同士の共通鍵を計算することができる組合わせがいくつも存在する。本稿では、まず攻撃者が2人の場合を想定し、ユーザーが保持するハッシュ値をO(log N) 個としたまま、そういった組み合わせが減少するように改良したHCAを提案する。

近年，IoT機器の普及が進んでおり，様々な機器がインターネット上で通信を行うようなシステムが構築されつつある．それらの機器が安全かつ正しい形で動作するためには情報セキュリティの確保が不可欠であり，それには暗号技術の適用が望ましい．しかし，一般的なコンピュータに比べて，そういった機器の計算能力・記憶容量は貧弱なことが多く，既存の暗号技術のままでは十分に実用的な速度で利用することが難しいことが予想される．本稿では，そういった機器での使用を想定して，IoT機器とサーバ間で鍵共有を行なうための仕組み，IoT機器向けIDベース認証鍵交換，について考察する．提案するIoT機器向けIDベース認証鍵交換方式は，共通参照情報モデル(ないし，信頼されるセンタ間の結託がないと仮定されるモデル)およびランダムオラクルモデルにおいて，非対称pairingにおけるGBDH仮定(の一種)の元，最大漏洩攻撃耐性を持つことが示される．

近年、モノ同士で相互に通信を行うIoTネットワークが普及している。しかし、その普及に対してセキュリティ技術は十分に成熟していない。IoTネットワークにて扱われる情報にはプライバシー情報を含む場合が多く存在する為、このままではネットワークを安心して利用する事が出来ない。IoTネットワークのセキュリティ要件には「鍵共有のセキュリティ」という要件がある。これはIoTデバイス同士が暗号通信を行う為に必要となる共通鍵やグループ鍵を共有する為に必要となるセキュリティ要件であり、IoTの前身であるセンサネットワーク分野で研究が活発に行われている部分である。実際に濱崎・金子らによって幾何学的性質を利用した効率的なグループ鍵共有法が提案された。この方式は通信量、記憶容量、安全性では優れているが参加するノードの数が多い場合に計算量がLEAPに比べて大きくなる問題があった。そこで、本稿では濱崎・金子らの方式をノード数の少ないペア鍵共有に適用し、計算量の少ない効率的なペア鍵共有法を提案する。

IoT・Big Data・AI 環境下において、人、モノ、組織が繋がる中で、デバイス層、ネットワーク層、データ管理層、情報サービス層において本質的重要性が高まっている真正性保証・真贋判定の課題を考察し、それらの解決方法を提案している。

サイバーセキュリティ研究における研究倫理とは、自身の研究を研究倫理的観点から実践して論じることであり、そのために必要となる適切な手続きを倫理プロセスと呼んでいる。MWS組織委員会は、『日本学術振興会(JSPS) サイバーセキュリティ 第192委員会 サイバーセキュリティの研究倫理を考えるWG』の支援のもと、CSS、SCIS関係各位の協力を得て、サイバーセキュリティ研究における倫理プロセスの普及啓発を進めてきた。 これまでの企画セッションが、研究者視点での普及啓発に留まっていたことを踏まえ、今回、特に、脆弱性に関して、研究者/発見者と対応者それぞれの視点からの取組みを取り上げ、講演とパネル討論を通じて、サイバーセキュリティ研究における研究倫理の一端を議論する。[企画セッションとりまとめ：ICSS研究会]

大量のデータの集積や機械学習の発展により，高度なデータ処理技術の開発が進んでいる．ユーザー（クライアント）は自身の機微情報をデータ処理システム（サーバー）に入力することで，機微情報に関連した有用な知識を得ることが可能となった．しかし，機微情報が不特定多数の他者に漏洩するリスクがあり，これはユーザーおよびシステム提供者の両者にとって望ましくない．多者間秘匿計算はこうした問題の解決策の一つだが，これまで実用に十分な効率性を備えてはいなかった．本論文では，多者間秘匿計算の一種であるクライアント補助型二者間秘匿計算モデルをとりあげ，秘密の値がある公開の数値領域（インターバル）に含まれるかぞうか，その秘密の値を秘匿したまま効率的に検査するプロトコル「秘匿インターバルテスト」を構成する．さらに，秘匿インターバルテストを用いて構成したルックアップテーブルによる秘匿計算の一例を示し，有用性を議論する．

2006年時点では79ラウンドを要していた秘密分散上の秘匿大小比較プロトコルは年々効率改善が進み、MoritaらはESORICS'18にて5ラウンド、大畑はPWS'18@CSS'18にて（実用的なパラメータ設定のもとで）4ラウンドの秘匿大小比較プロトコルを提案した。本稿では、秘密分散ベース二者間秘匿計算において、秘匿大小比較プロトコルを3ラウンドで実行する手法を提案する。この3ラウンド構成はPWS'18の4ラウンド構成と比較して、ラウンド数だけでなく時間/空間計算量の観点からも優れている。また、この構成で用いるテクニックを応用し、（時間/空間計算量が増加するものの）2ラウンドで実行可能な秘匿大小比較プロトコルの構成法についても説明する。

Baloghらは, PEZと呼ばれるお菓子を用いて, 任意の関数を計算するマルチパーティ計算プロトコル（PEZプロトコル）を提案した. PEZプロトコルでは, 各プレーヤが入力にあわせてPEZ dispenser内のキャンディを一定個数食べることで計算を行う． 従来のPEZプロトコルは任意の関数が計算できる代わりに, 参加人数が増えると大量のキャンディが必要であった． 例えば4人で多数決計算を行う場合は6941個のキャンディが必要となる. 本研究では, 4入力多数決を107個のキャンディで実現するPEZプロトコルを示す.

GHS攻撃とは, 有限体k:=F_qのd次拡大体k_d:=F_(q^d)上定義された曲線C_0の離散対数問題を, C_0のk上被覆曲線Cの離散対数問題に変換して攻撃する手法である. 現在, GHS攻撃の対象となる(2,...,2)型被覆曲線Cを持つような奇標数素数次拡大体k_d上の楕円曲線, 種数2超楕円曲線及び合成数次拡大体k_d(d≦10)上の楕円曲線の完全分類が行われている. 本論文では, 奇標数合成数次拡大体k_d上の種数2超楕円曲線C_0において, 分類を行う.

超特異楕円曲線間の同種写像の核計算問題を安全性の根拠とする暗号方式は, 耐量子暗号の一つとして期待されている. Jaoらは, 2011年にその問題を安全性の根拠にするDiffie-Hellman型の鍵共有方式(SIDH鍵共有)を提案した. SIDH鍵共有は, 楕円曲線上の演算や同種写像計算を行う必要がある. 次数が2, 3より大きな同種写像は計算が複雑になるが, Asiacrypt 2017において任意の奇数に対して同種写像を計算する(効率的で統一的な)公式が提案された. また, Asiacrypt 2018において次数が3よりも大きい同種写像を用いた超特異楕円曲線を用いた非対話型鍵共有方式(CSIDH)が提案された. さらには, 次数が3より大きい同種写像を用いた否認不可署名なども提案されている. 本研究では, Asiacrypt 2017における任意の奇数次同種写像アルゴリズムを用いて次数が2, 3以外の同種写像で暗号方式を実装し, その計算量を考察する.

Elliptic curves are widely used in both Encryption Schemes and Signature protocols because of its obvious advantages. It can preserve security of system with shorter key and thus using less memory space. For this reason, Elliptic curves are always used in Embedded Systems recently. In Elliptic curves Encryption Schemes and Signature protocols based on DLP problem, the security and efficiency of scale multiplication Q= kP,P∈E_(F_q ) is of great importance. It is naive to expand powering ladder proposed by prior researches, Montgomery Ladder or Joye’s Ladder, to Elliptic curves scale multiplication by just combining addition formula of Elliptic curves. It doesn’t take account of Side Channel Attack (SCA) which is well studied recently. Combing complete addition formula of Elliptic curves with prior powering ladder can protect from SCA but with low efficiency. In this paper, we proposed new powering ladder improving and adjusting prior powering ladder to Elliptic curves scale multiplication to resist SCA. Moreover, we combine 2-bit scanning with our powering ladder to improve efficiency. We evaluated our powering ladder from computation cost and memory cost. And do analysis about its security. It shows that our powering ladder resist SCA with high performance.

この論文はTung Chouの論文から改進する、今回はYMMレジスタを使って実装をする。YMMレジスタはIntel AVX命令で拡張された256ビット長のレジスタである。このレジスタはベクトル演算に対応しており、この特徴によってCurve25519上の有限体高速計算をでき、 楕円曲線ディフィー・ヘルマン鍵共有デジタル署名の高速実装を可能にした。この論文の中では、YMMレジスターは有限体計算と楕円曲線計算に対するいくつかのメリットと実装方法について紹介する。私たちの研究では、Curve25519楕円曲線を使用した楕円曲線ディフィー・ヘルマンプロトコルの効率的なソフトウェア実装の開発に対してYMMレジスターを適用することを目指す。この実装は前の研究と比べると、いろんな難関がある、例えばもっと複雑な並行計算であること。

鍵更新機能付きの検索可能暗号は，モバイル機器の秘密鍵を更新可能とすることにより，モバイル機器からの鍵漏洩に対策した検索可能暗号である．本稿では，共通鍵型の鍵更新機能付きの検索可能暗号の要件と構成を検討する．そして，マルチユーザ向けの共通鍵型検索可能暗号をベースに，複数ユーザを複数バージョンに対応させて具体的方式を構成する．前バージョンの秘密鍵の無効化は，サーバでの鍵運用により実現する．共通鍵型は公開鍵型に比べ，処理が軽く，モバイル環境においても実装が容易である．

本稿では，マルチユーザ利用環境を想定したEnd-to-End 暗号化の必要性をリスク分析の観点から考察する．本リスク分析による評価では，End-to-End 暗号化の適用は，評価対象システム全体で約60%のリスク低減効果があることが分かった．また，本稿では，評価対象システムにおいてEnd-to-End暗号化を保ちつつ，マルチユーザ利用環境下でDB 検索等を可能とする為に，多対多の暗復号可能な共通鍵ベースの検索可能暗号方式を提案する．

SCIS2018にて著者らは，共通鍵暗号技術のみを用いてマルチユーザ秘匿検索方式を構成した．しかし，その方式は検索条件として完全一致検索しか設定できなかった．そこで本稿では，共通鍵暗号技術のみを用いて部分一致検索や範囲検索ができるマルチユーザ秘匿検索方式を構成する．

筆者らは、2014年に自分たちの提案した「組織暗号」を、現在筆者らが研究開発を行っている、患者や被介護者の状態を観察するための医療/介護支援システムのセキュリティでのアクセス制御に応用したアクセス制御方式に応用することを提案する。

表示デバイスの薄型化が進み，液晶ディスプレイや有機ELディスプレイが，スマートフォンやスマートウォッチといった身の回りの電子機器に搭載されるようになった．ディスプレイの画質も日々向上しており，このことがネット通販によるショッピングの爆発的加速の一因とも考えられる．しかし，消費者の利便性は向上したものの，ディスプレイ越しに映る商品は実際の商品と印象が異なる場合もあり，新たな問題が生じている．実際の商品とユーザーの間には，撮影カメラの設定，アップロードする際の画像の圧縮，そしてユーザーの所有するディスプレイなど，問題が生じる箇所が考えられる．そこで，本研究では，ディスプレイごとに色彩の印象が異なる問題の解決を目指し，まずハイパースペクトルカメラを用いて製造元の異なるディスプレイ間の差異を検出した．

製造時に生じた個体差を用いた識別を行う技術は，模倣品判断などへの応用が期待されている．我々は，近年身近なところで普及しているLEDに着目し分光スペクトルを用いた個体識別法を提案してきた．先行研究では，定電流の条件のもとで実験を行い，青色LEDのピーク波長を用いて個体識別ができることを示した．しかし，青色LEDには，電圧を変えるとピーク波長が短波長側にずれる現象が知られている．この現象は，LEDの個体識別において，性能劣化やクローン攻撃を引き起こす可能性がある．そこで本研究では，電圧を変化させた条件においてもLEDの個体識別が可能であるかを実験により検証した．

近年，電子産業では悪意あるリバースエンジニアリングの解析・改ざん等のクラッキングにより知的財産が盗用され，多数の偽造品が市場に流出している．各企業も偽造品に対しては様々な対策を行っているが，セキュリティの堅牢性を高めれば製造コストの増加を招いてしまう．そのため，堅牢なセキュリティは実装したいが，最終製品のコストは抑えたいという二律背反的な課題が生じている．本稿では，純正品と偽造品を識別する真贋判定手法として，半導体デバイスのノイズにおける真贋判定手法を提案する．具体的には，真贋判定に用いる半導体デバイスとしては複数ベンダーのSDカードを使い，ノイズ観測期間としては電源投入直後とした．SDカードベンダー毎に取得したノイズから各SDカードベンダーが具有する特徴的なノイズ成分をそのSDカードベンダーの指紋として，実際にベンダー識別が可能か実験した．その結果，所定の条件下でベンダー識別が可能であることが示された．

人工物に複数の特徴情報を持たせることで真正性の確度と偽造困難性を高めるマルチモーダル人工物メトリクスは，マルチモーダルバイオメトリクスからヒントを得て創出された偽造防止技術である．著者らは，セラミックス製品に2つの光学的な特徴情報（色相と発光強度）を持たせるための透明な機能性材料（ガラス蛍光体）を開発することを目的としている．当該蛍光体は赤外線励起により可視光を発光し，蛍光体上の観測点ごとに異なる色相と発光強度を示すが，このようなアップコンバーション蛍光体はこれまでになく新規性がある．当該蛍光体を粉末にしてセラミックス製品の表面に微量溶着させることで，製品の意匠を損なうことなく，真正性の確度と偽造困難性を更に高めることができる．既発表の論文では，当該蛍光体は母体ガラスに対して2種類の酸化希土類を添加することで得られることを報告したが，同蛍光体には黄色い着色が見られた．本稿では，母体ガラスの組成を見直した結果，透明度と発光強度が上述の蛍光体よりも高いものが作製できたことを報告する．なお，この蛍光体は励起光とは別の赤外線波長でも発光を示したことから，更なるマルチモーダル化が期待できる．

現在，スマートフォンのセキュリティ対策の１つとして端末ロック方式が挙げられる．しかしパスワードや指紋認証などの既存ロック解除方式ではパスワードの忘失や生体特徴の複製に対して脆弱な点が問題となっている．本研究では，スマートフォン利用時の習慣化された動作としてY軸を中心に保持した手の中でスマートフォンを回転させる動作をスマホ回しと定義し認証動作として採用した認証手法を提案する．提案手法は，認証動作に合わせたアルゴリズムにより上記の問題の解決と既存の行動的生体認証の問題点であった習熟度による認証精度への影響を小さくする効果が期待出来る．本稿では提案手法に対して対人実験をおこない本人拒否率及び他人受入率から安全性を評価する．

近年，電子機器の小型化により，スマートウォッチなどの小型タッチスクリーンを持つ端末（以下，小型端末）が増加している．現在，その個人認証にPINやパターンロックが採用されているが，覗き見による認証情報の漏洩が起こり得る．これまでに覗き見耐性を持つ認証方式が数多く研究されてきたが，これらはスマートフォンなどの中型ディスプレイを持つ端末向けである．よって，これらの方式を小型端末に適用すれば，スクリーンが小さいため，ユーザがタッチしたいターゲットを正確に押すことができず，ユーザビリティが低下する問題が生じる．そこで本論文では，小型タッチスクリーン端末における，ユーザビリティを考慮した覗き見耐性を持つ個人認証方式を提案する．また，提案方式をスマートウォッチに実装し，ユーザビリティの調査と覗き見耐性の有無の確認実験を行う．

近年，スマートフォンの急速な普及により，利用者のプライバシー情報を扱う機会が多くなり，スマートフォン上での安全かつ便利なユーザ認証手段として，特殊なセンサを必要としないタッチパネルから取得可能な生体情報に基づく生体認証方式が注目されている．一方，生体認証では，ユーザの生体情報を格納したテンプレートを安全に管理・運用するための様々な手法がテンプレート保護技術として提案されている．テンプレート保護技術を用いた生体認証では，誤り訂正符号を用いた生体情報の誤差を許容する手法が主流の一つであり，生体情報を有限体上の値に変換したデータ（以下，生体ビット列）の生成が必要となる．そこで，本稿では，スマートフォン上での安全かつ便利なテンプレート保護技術の実現を目的とし，スマートフォンにおける主要な文字入力手段であるフリック入力を対象とした生体ビット列の生成手法を提案するとともに，その有効性について評価した結果を報告する．

急速に普及が進むスマーフォンやタブレットPCなどのスマートデバイスにおいて，より安全かつ便利なユーザ認証手段が必要となっている．しかしながら，ユーザ認証時には，認証に入力動作が必要であることから，ユーザが煩わしさを感じるという問題がある．そこで，この問題を解決する一手法として，著者らはスマートデバイスに搭載されたセンサから無意識に取得可能な認証情報を利用し，通常のユーザ認証を補完するシームレスな認証を提案している．従来，シームレスな認証の実現可能性については検討されているが，ユーザ認証時に十分な認証情報が得られていない可能性があることに加え，無意識に取得可能な認証情報の影響による認証精度の低下などが課題として残されている．そこで，本稿では，シームレスな認証のさらなる利便性・安全性の向上を目的とし，ユーザの利用環境に基づくシームレスな認証の一手法を提案するとともに，実機を用いたシミュレーション実験に基づき，提案手法の有効性を評価した結果について報告する．

サイバーセキュリティ研究における研究倫理とは、自身の研究を研究倫理的観点から実践して論じることであり、そのために必要となる適切な手続きを倫理プロセスと呼んでいる。MWS組織委員会は、『日本学術振興会(JSPS) サイバーセキュリティ 第192委員会 サイバーセキュリティの研究倫理を考えるWG』の支援のもと、CSS、SCIS関係各位の協力を得て、サイバーセキュリティ研究における倫理プロセスの普及啓発を進めてきた。 これまでの企画セッションが、研究者視点での普及啓発に留まっていたことを踏まえ、今回、特に、脆弱性に関して、研究者/発見者と対応者それぞれの視点からの取組みを取り上げ、講演とパネル討論を通じて、サイバーセキュリティ研究における研究倫理の一端を議論する。[企画セッションとりまとめ：ICSS研究会]

電子署名方式が強（存在的）偽造困難であるとは，全文書（過去に署名が生成された文書を含む）に関する署名偽造が困難である場合をいう．強偽造困難署名方式は，様々な応用例が知られている（例: Canetti-Halevi-Katz変換）．漏洩耐性（Leakage-Resilience）は，秘密鍵等の秘匿情報に関する何らかの情報が漏洩しても安全性が維持される事を保証する．種々ある漏洩耐性モデルの内，逆変換困難漏洩（Hard-to-Invert Leakage, HL）関数に対する安全性を保証するHLモデル（STOC'09）は，特に重要とされる．それは，当該モデルが秘密鍵を情報理論的に決定するような関数（例: 一方向性置換）による漏洩さえも考慮している等の理由による．本稿では，強偽造困難性及び多項式的逆変換漏洩関数耐性を持つ署名方式の一般的構成法を提案し，Decisional Linear（DLIN）仮定の下で具体化する．当該署名方式は，標準的な仮定の下で多項式的逆変換困難漏洩耐性を持つ最初の方式であり，かつ，強偽造困難性とHL耐性を同時に達成する最初の方式である．

メッセージ認証は共通鍵暗号要素の一つであり，メッセージと秘密鍵から生成されるタグを用いて改ざん検知を行う。複数のメッセージに付加されるタグを集約するアグリゲート認証が提案されており，通信量削減等に有効である。本稿では，擬似乱関数と擬似乱置換を用いた履歴非依存型順序付きアグリゲート認証方式を提案し，その偽造不能性の証明を示す。

アグリゲート認証方式は複数のデバイスから送信されるそれぞれ異なる送信情報とその認証タグに対して，認証タグを１つのアグリゲートタグに圧縮する認証技術である．また，異常なデバイスを特定できるアグリゲート認証方式を追跡機能付きアグリゲート認証方式という．本稿では，新たな追跡機能付きアグリゲート認証方式の構成として，陪直交符号を応用したアグリゲート認証用情報圧縮符号を用いた構成を提案する．

2018 年5 月，国民の医療情報を匿名加工して大学や製薬企業の研究開発での活用を促進する次世代医療基盤法が施行され，医療分野の研究開発等に匿名化データが活用可能となってきている．医療分野では研究に用いる医療情報に対し正当性の検証を行っており，今後，匿名加工医療情報に対しても正当性の検証が課題となる．本研究では，医療情報を匿名化後も医学研究に利活用する匿名化処理の出力の正当性保証の実現を目指す．従来，データの正当性を保証する技術としてデジタル署名があるが，削除・置換等の匿名化処理後の出力に対する署名値は，処理の正当性によらず処理の前後で異なる値となるため正当性の検証には使えない．本報告では，墨塗り署名を応用し，削除・置換による匿名化処理の出力の正当性を検証可能とする墨塗り匿名化方式を提案する．

最短ベクトル問題やLearning with Errors (LWE)問題などの格子問題の計算量困難性を安全性の根拠に持つ格子暗号は，量子計算機でも容易に解読できないポスト量子暗号候補の一つとして注目されている．本稿では，LWEにおける剰余パラメータを変更するModulus Switchingを用いたLWE問題の求解法を紹介すると共に，理論と実験の両面からその求解法を解析する．特に，LWE問題の亜種であるLearning with Rounding (LWR)問題に対する求解実験結果とModulus Switchingによる効果を報告する．さらに，2017年11月末に米国標準技術研究所NISTに提出されたLWE/LWRベースのポスト量子暗号候補方式の安全性に対し，Modulus Switchingによる求解法がどう影響するのか議論する．

Binary-Error LWE is the particular case of the learning with errors problem in which errors are chosen uniformly in {0,1}. It has various cryptographic applications, and in particular, has been used to construct efficient encryption schemes for use in constrained devices. Arora and Ge showed that the problem can be solved in polynomial time given a number of samples quadratic in the dimension n, but is known to be hard given only slightly more than n samples. It can also be solved in slightly subexponential time given a slightly superlinear number of samples, by applying Gr?bner basis techniques to the system arising from Arora and Ge's approach. In this paper, we examine more generally how the hardness of the problem varies with the number of available samples, using a simpler (but asymptotically equivalent) variant of the Gr?bner basis algorithm. In particular, under standard heuristics on the Arora-Ge polynomial system, we show that, for any ε>0, Binary-Error LWE can be solved in polynomial time n^O(1/ε) given εn^2 samples. Similarly, it can be solved in subexponential time 2^{\tilde O(n^{1-α})} given n^{1+α} samples, for 0<α<1. It is also easy to derive concrete complexity estimates for any given set of parameters, so as to evaluate the security of cryptographic schemes based on Binary-Error LWE.

格子暗号の安全性を支える格子問題の一つである最短ベクトル問題(Shortest Vector Problem, SVP)の近似解の求解法として，LLLやBKZなどが代表的である．LLLの拡張であるDeepLLLをBKZに組込んだ“DeepBKZ”が国際会議NuTMiC 2017にて提案された．このDeepBKZを用いたDarmstadtのSVPチャレンジの記録更新が現在127次元まで報告されている．また，日本応用数理学会2018にて著者らがさらに簡約条件を強めたDeepLLL，それを用いたDeepBKZの改良を提案した．本稿では，SVPにおけるDeepBKZの出力基底が満たす理論的な根拠がなかったため，DeepBKZの出力基底の良さを示すroot Hermit facotorの理論的な上界を与え，BKZと比較する． さらに，DeepBKZ及び改良DeepBKZのパラメータであるブロックサイズβはBKZによるSVP記録更新時のブロックサイズに比べて非常に小さいβ=50までの検証しか行われてなかったので，本稿では実際にブロックサイズβ=80までの改良DeepBKZの実験報告と，その実験のために用いた技術を紹介する．

Sampling Reduciton (SR)アルゴリズムは格子基底簡約アルゴリズムとSamplingアルゴリズムを繰り返し用いて、最短ベクトル問題(SVP)を解くためのアルゴリズムである。 Samplingアルゴリズムが出力するベクトルはShnorrが形式化したRandomness Assumption (RA)が正しいと仮定すると、確率的な解析が可能となりノルムの長さなどが推定される。 RAが実際に観測されている事象をどの程度適切に捉えているかの確認のため、Teruya (ISITA2018)は全数探索版のShnorrのSamplingアルゴリズムを使用して、出力ベクトルにおける線形結合係数の値の観測を行った。 TeruyaはSVPチャレンジの格子を用いて検証を行ったが、我々は追加検証としてIDEALチャレンジ格子、およびNISTの耐量子計算機暗号の標準化への提案数が多いLWE、NTRUのチャレンジ格子を用いて同様の観測を行う。 また、DucasのSubsieve+アルゴリズムは格子基底簡約アルゴリズム、SievingとBabai liftアルゴリズムを組み合わせて繰り返し用いる。 ここで、Babai liftアルゴリズムはShnorrのSamplingアルゴリズムと類似したアルゴリズムであり、Babai liftアルゴリズムが出力するベクトルに対しても、RAが実際に観測されている事象をどの程度適切に捉えているかの観測を行う。

耐量子計算機暗号の有力な候補のひとつとして考えられている格子暗号は，最短ベクトル問題(SVP)等の格子問題の計算量的困難性を安全性の根拠としておりこれらの問題を解くのに必要な計算量の解析は重要である．篩法(sieving)はSVPに対する確率的アルゴリズムであり，計算量は格子の次元について指数的にしか増加しないため，超指数的計算量を要するenumerationなどのアルゴリズムよりは漸近的計算量は小さい．しかし実際に動かすとsievingはenumerationよりも数桁遅いため，これまで多くの改良がなされてきた．その中でもLaarhovenらによる格子の基底をひとつずつ追加しながらsievingを行うProgressive Sieve(Laarhoven and Mariano, PQCrytpto 2018)と，Ducasによる射影部分格子上でsievingを行う手法SubSieve (Ducas, EUROCRYPT 2018) とはsievingの速度を大幅に向上させ大きな注目を集めている．射影部分格子の次元によってSubSieveがSVPを解く確率と速度は変化する．本稿では，射影部分格子の次元に対するSVPの求解成功率と速度等を計測し，射影部分格子の最適な次元について検討した．射影部分格子上のsievingにはProgressive Sieveを適用したList Sieve(Micciantio and Voulgaris, SODA 2010) を用いた．

ID・パスワードによるオンライン認証は安全性とユーザビリティの両面の課題が顕在化しており、FIDO などパスワードに頼らない方式が注目されている．FIDO はスマートフォンなどユーザ端末に生体認証情報を登録し、サーバは生体認証情報を持つことなくオンライン認証を実現しているが、認証システム全体で考えた場合には端末の安全性も考慮した総合的な検討が必要となる．本稿ではFIDO の脅威分析を元に、ユーザ端末に生体認証情報を保持するオンライン認証の安全性について考察し、アルゴリズムレベルでの原理的な安全性強化の方向性として準同型暗号を用いた安全性強化スキームを示す．

オンライン認証に生体認証を採用する場合，個人情報保護の観点などにより，ユーザの生体情報 に関する情報をユーザの持つクライアント端末から外部に送信せずに認証を行う手法が期待される．本稿では テンプレートをクライアントが記憶し，生体情報に関する情報が外部に送信されないオンライン認証方式を定 式化する．また，認証方式の安全性として，能動的な攻撃を行う攻撃者に対するなりすまし攻撃耐性や生体情 報漏洩耐性を定義する．さらに，定義した安全性間の関係について考察する．

オンライン認証に生体認証を採用する場合，個人情報保護の観点などにより，ユーザの生体情報に関する情報をユーザの持つクライアント端末から外部に送信せずに認証を行う方式が期待される．本稿では，安全なオンライン生体認証を実現するため，サーバがユーザの生体情報に関する情報を得ることなく，クライアントに登録された生体情報と入力された生体情報が近いことを検証することが可能な秘匿生体認証方式を提案する．さらに，提案方式を実装評価した結果を示す．

シークエンサーなどの技術が発達し, 個人のゲノム情報を簡単に解読可能とになったことにより, 個人ゲノムの解析が盛んに行われている．個人ゲノムは個人情報のため, 解析を行う際には, 常にプライバシーの保護を考えなくてはならない. これを解決するために暗号を用いてプライバシーを保護しつつ個人ゲノムを解析する手法が数多く考えられてきたが，計算速度や通信コストなどの課題を抱えている．そこで本研究では，昔から行われてきた個人ゲノム解析の一つである編集距離計算に秘密分散を適用し，プライバシーを保護したまま計算を行う方法を提案する．秘密分散は暗号に比べ，複雑な計算をする必要がないため，通信量を抑えながら高速に計算ができることが期待される．本研究においては，協力者3人が通信を行いながら，そのうち2人のDNAの編集距離を計算するプロトコルを提案する．計算機実験を行った結果，実行時間, 通信コスト共に暗号を用いた手法より提案手法の方が優れていることが示された.

本稿では，ソーシャルエンジニアリングによって騙された人の意図の変化を，生体情報から検知することができるか検証を行った結果を示す．ソーシャルエンジニアリングとは，振り込め詐欺やビジネスメール偽装詐欺など，人の行動を操作して資産や情報を搾取する攻撃を指す．我々は，攻撃を受けている人に焦点をあて，行動を起こそうと意図が変化する瞬間を生体情報から検知することで，対策を強化しようと考えている．SCIS2018で我々が行った実験では，脳波，視線，瞳孔径，表情を観察し，視線の移動速度が，マウスをクリックする前と後で変化することが確認されている．今回は，実験方法を改善し，あわせて心拍数と皮膚電位を採取した．その結果，瞳孔径と皮膚電位に，意図の変化との相関が見いだせた．

機械警備システムの構築は，専門的な知識と技能をもつ警備職員によって行われる．当該職員は，顧客の要望（予算，守りたい資産の価値，警備用機器の操作性など）を考慮しつつ，顧客との合意を形成しながら最適なシステムを構築する．今日，深刻化している人手不足は，上記の能力をもつ職員の育成や確保を難しくするため，彼ら1人当たりの負荷を増大させる．本研究の目的は，上記の課題を解決するために，職員の業務のうちの一部を肩代わりできるシステムを提案することである．当該システムは，入力されたCADデータをもとにして最適な警備システムを構築して提案書を出力するものであり，職員が持つノウハウをロジック化することで実現可能であると考える．本稿では，システムのフレームワークとノウハウのロジック化について述べる．検討の結果，人手が必要であったプロセスの一部を削減できること、および建物の外周に関するデータを活用することで開口部ごと（戸建ての二階部分を含む）のセキュリティレベルを診断できることがわかった．今後は，よりきめ細かい合意形成のために，内装に関する家人の趣向をシステムに反映できるか否かについて検討する．

情報システムの安全性・信頼性を確保するための情報セキュリティ対策が非常に重要となっている．情報セキュリティ大学院大学原田研究室（教授：原田要之助）では，情報セキュリティマネジメントの研究として「情報セキュリティ調査」を，組織（民間企業・官公庁・教育機関）を対象に実施している．本年度の調査（2018年8月実施）では，情報セキュリティマネジメントの取組み状況，情報セキュリティ対応体制・人材育成，制御システムにおける情報セキュリティに関する課題，匿名加工情報の取扱い,情報セキュリティマネジメントへの例外措置,職場での人工知能(AI)や自律型ロボットの導入，グループ企業における情報セキュリティポリシー,EU一般データ保護規則(GDPR)への対応に関して調査した．本論文では，調査結果の単純集計とその分析結果について報告する．

製品は1つの組織のみで製造されるのではなく，サプライヤから部品を調達し，それらを組み合わせることによって製造される．従って，最終的な製品のセキュリティを担保するためには，その製品の構成要素である部品がセキュアである必要がある．本論文では，製品に組み込まれるソフトウェア部品に注目し，不正な機能が混入する脅威を，既存のセキュリティ技術を用いて緩和可能かを分析する．その結果，1つの技術ではすべての脅威のパターンに対応できず，複数の技術の組みあわせが必要という結論が得られた．

Diversified goods and complicated customers’ demands require the supply chain to collaborate with information technology, called IT-enabled supply chain, for solving some stubborn physical delivery issues, such as proving the authenticity of the goods received by customers, and efficiently tracking or monitoring transportation states or items’ condition in real-time. However, supply chain has to face more security issues, especially the integrity, confidentiality and availability of assets and processes, come with information technology enablement due to its vulnerability for various cyberattacks. This exploratory investigation aims to show an explicit summarization of applying blockchain, cloud computing, data-provenance and IoT technologies to supply chain systems for enhancing its trust management and improving various security-related properties, i.e. transparency, visibility, accountability, trace-ability and reliability. It introduces general histories and definitions, in terms of information science, of the supply chain and related technologies which have been applied to supply chain management systems with purpose of facilitating its security and convenience. It provides a comprehensive review of current related research work and industrial cases. It also illustrates complementary relationships among those technologies while working on supply chain, discusses the applicability about why they are suitable and efficient for establishing a trust supply chain management. Finally, this paper concludes several potential or existing security issues and challenges which supply chain management is facing.

近年、多くの企業では、ITシステム・サービスに関する業務を外部委託しており、自社だけでなくビジネスパートナーや委託先も含めたサプライチェーンにおけるセキュリティ対策が求められている。これらの背景を踏まえて、2017年11月に独立行政法人情報処理推進機構（IPA）はITサプライチェーンにおけるセキュリティ対策に関する現状の課題を抽出し、対策を具体化するためにユーザ企業（委託元）およびベンダー企業（委託先）に対してアンケート調査を実施した。本研究では、この調査結果の一部を用いて、委託（受託）業務で扱う情報資産のセキュリティリスク（サイバー攻撃、内部不正や人的ミスによる情報漏えいなど）の認識に両者の間でギャップがあるかどうかの検証を試みる。また、ユーザ企業ならびにベンダー企業の属性別に見たリスク認識の違いについてもあわせて分析し、その特徴や委託業務を行う際に考慮すべき点を明らかにする。

Blockchain based systems, in particular cryptocurrencies, face a serious limitation: scalability. This holds especially in terms of number of transactions per second. There are still technical challenges that do not allow these systems to substantially increase the number of processed transactions. Several alternatives are currently being pursued by both the research and practitioner communities. One venue for exploration is on protocols that do not constantly add transactions on the blockchain and therefore do not consume the blockchain's resources. This is done using off-chain transactions, via payment channels. This work revisits and relates the several existing off-chain channels, payment and state, payment networks and their respective network management algorithms. The main goal of this survey is to provide a comprehensive list of the state-of-art protocols available in the literature, outlining their respective approaches, advantages and disadvantages.

Payment channel networks are one of the latest attempts on improving the scalability of blockchains in the number of transactions per second. Nodes within such a network can exchange funds without the necessity of interacting with the blockchain except during setup, closure or eventual dispute of their mutual channel. Payments can be executed across a path of payment channel using hashed time lock contracts. However, for each individual payment all nodes within a path need to be interacted with it during setup, execution or tear-down phases, and therefore they need to be online. This is a limitation of payment networks especially for long payment paths. A recent proposal by Dziembowski et al. (CCS'18) that enables payments across multiple payment channel without the necessity of intermediate nodes being online is using virtual payment channel. As of now the only construction for virtual payment channel requires smart contracts as those implemented on the Ethereum blockchain. Our work proposes a construction for virtual payment channel without requiring smart contracts, but instead it is built upon only time locks and threshold signatures. This enables implementation of virtual payment channel on a larger range of blockchain implementations such as Bitcoin.

Anonymous payment channel (APC) was introduced by Green and Miers (CCS'17) with the Bolt protocol. This work contributes with the growing body of work on off-chain channels aiming to enhance the scalability of cryptocurrencies in the number of (in this case, anonymous) transactions per second. Although Bolt presents a secure formulation, we observe that it requires cooperation between costumer/merchant, the protocol players, in order to complete the protocol. More concretely, in its current form, if the costumer does not cooperate, the protocol cannot complete. The reason is that the costumer is required to start the channel closing procedure and it is not clear what happens if it does not. In this work we address this problematic situation with a variant definition for APC, which takes into account a timeout parameter, and present a protocol construction.

Blockchain protocols based on the Proof of Stake (PoS) paradigm are ---by nature--- dependent on the active participation of the owners of the assets maintained in the ledger. This suggests a duality of the asset management functionality, which typifies PoS ledgers: assets may be transferred between entities, whereas they are also involved in the PoS protocol's execution. As a result, PoS account management schemes are required to offer both functionalities, a feature that has not been thoroughly investigated in the existing literature so far. Moreover, it is often the case that not all stakeholders consistently take part in the protocol's execution and engage in the PoS mechanism. Given the security risks that such behaviour introduces, a countermeasure is to allow stake representation, thus giving the stakeholders the option to delegate their ``staking'' rights to other participants, thus forming ``stake pools.'' The core idea is that stake pool leaders are online and perform the required actions, whilst the stakeholders retain the ownership of their assets. Although this is a seemingly simple solution, the inner workings of such mechanism have yet to be fully investigated. Our work fills these gaps by thoroughly presenting all desiderata for account management and stake pools in the PoS setting. We formalize the requirements and present a framework which can be used to build stake pools for any PoS protocol. We introduce the first ideal functionality for a PoS wallet's core, which captures the capabilities that a PoS wallet should possess, and show how it can be realised based on standard cryptographic primitives. In describing the construction of PoS addresses, we distill and explore a novel property that PoS addresses should possess: non-malleability. We also specify the actions that a generic PoS wallet should offer, such as payment and staking, as well as formalize the security of the ``stake-pooled'' variant of any PoS protocol.

昨今の規模が拡大し複雑化したソフトウェアにおいて，人間によるレビューにより脆弱性を見つけるのは，工数や開発者の負担といった観点からも，容易ではない．ツールを用いた静的コード解析では，ソースコード内の脆弱性を，開発者の負担が少なく見つけることができる． 既存の静的コード解析ツールには，モデル検査やデータフロー解析などを用いたものが知られている．本論文では，それらとは異なるアプローチである深層学習によるソースコードの静的解析を試みた．より具体的には，C/C++のソースコードにおけるスタック及びヒープバッファオーバーフロー脆弱性を対象とし，Juliet Test Suite内の当該脆弱性を含むソースコードを用いてCharacter-level CNNによる学習と予測を行った．その際，学習に不要な情報を削減することを目的として，プログラムスライシングの技術を用いてソースコードを細分化したものを入力とした．その結果，90%以上の精度を実現した．

同一モバイルデバイス内で稼働するアプリケーションとブラウザからサーバへのアクセスにおいて，２種類のサーバ側で個別に取得可能な情報を紐付けてトラッキングするクロスアプリトラッキングという技術がある．クロスアプリトラッキングをDeep Neural Network (DNN)を用いて実施した我々の先行研究では，高い精度でトラッキングを実現できることを示した．しかしながら，なぜ高精度でできたのかの理由を示すには至らなかった．そこで，本論文では，先行研究で使用されたデータを詳細に分析することで，クロスアプリトラッキングが高精度で行われた理由を解明する．

機械学習の学習フェーズにおいて，訓練データをクラウドなどに提供し，モデル構築を依頼する場合が考えらえる． この場合，クラウド側が正しく処理を実行したかどうかをクライアントは検証 できないため，悪意を持ったクラウドによって不正なモデルが構築される懸念 がある．ある演算の実行を第三者に依頼した際に，その演算結果が正しいこと を保証する手法として検証可能計算がある．そこで，本稿では学習フェーズに 検証可能計算を適用することで，サーバが正しく学習フェーズを実行したこと をクライアントが確認可能な手法を提案する．提案の手法を線形回帰に適用し， 学習フェーズの処理時間を示すとともに，検証可能計算の導入が，学習モデル に影響を及ぼさないことを示す．また，複数のクライアントが協力して共通のモデルを構築する場合，悪意のあるクライアントが悪性データを混入することが懸念される．その対策としてTRIMアルゴリズムが提案されている．TRIMアルゴリズムに対しても検証可能計算を適用することで，悪性データの混入が懸念される環境においても，その影響を低減する措置が施されていることをクライアントが確認できることを示す．

Currently, many machine learning models are black boxes and the reasons for their predictions are difficult to understand. This lack of transparency makes it difficult for stakeholders ?from users to regulators? to decide whether the models and results are trustworthy and fair, and whether the models can be safely used in decisions that affect people. On the other hand, adding transparency could also make machine learning models vulnerable to manipulation and attacks. This paper will summarize current research on machine learning model transparency, in particular approaches such as model interpretability, and discuss challenges from a technical and social perspective.

Recent studies have demonstrated that neural network classifiers are susceptible to adversarial examples, which are crafted by adding some perturbations into original samples. So far, there are several defense methods against adversarial examples, but these methods have some limitations. In this paper, we propose an effective method for detecting adversarial examples, which does not need any prior knowledge about adversarial examples for the detection procedure, and is easily implementable. We utilize prediction inconsistency of several assistant neural networks for effectively detecting adversarial examples. Our method is evaluated by 30,000 adversarial examples, and it is shown that our method successfully achieves 90% detection accuracy.

一色ら (Digital Identity Management 2006) により, メンバ削除可能グループ署名を利用したID管理システムが提案されている. サービス提供者はユーザが作成したグループ署名を検証することで, ユーザIDリストを所持する必要がなく, かつユーザの匿名性が担保されることからリスト情報の漏洩やプライバシー保護の観点から優れているシステムと言える. 欠点として, ベースとなるグループ署名の非効率性が挙げられる. 特に合成数位数を持つ群を使用していることや, グループメンバ削除に関してスケーラブル (署名サイズ, 署名生成/検証コストがユーザ数に非依存, かつそれ以外の計算量や鍵サイズが高々ユーザ数の log サイズであること) ではない点が問題である. 本論文では, 筆者らによるスケーラブルなメンバ削除可能グループ署名 (SCIS 2018, ISC 2018) が, 一色IDシステムに適用可能なことを示す. 新たにJudgeアルゴリズムの追加及び (Weak) Opening Soundness (坂井ら, PKC 2012) を考慮し, 一色IDシステムにおけるその意義を示すとともに, 実装評価を与える.

匿名化可能署名(Anonymizable Signature) とはリング署名の拡張であり, 匿名化可能署名を用いると署名されたメッセージを持つ者は, 誰でも後からその署名を匿名署名に変換できる. 本発表では、匿名化可能署名を匿名化する前の時点で検証できる者を限定化する、という拡張を行った。この拡張により、匿名化前の署名が流出した場合のリスクを軽減することが可能となる。

消去署名 (redactable signature) とは，署名が生成された文書の一部を誰でも正当に消去することができる署名方式である．本発表では n-out-of-n 消去署名方式を新たに提案する．この署名方式では，あらかじめ署名者は n 人の消去者 (redactor) と結合者 (combiner) を指定する．指定された各消去者は文書の一部で消去したい部分に対して消去に必要な情報を生成する．結合者は消去者 n 人からの情報を集め，消去者全員が消去したい文書の一部のみを正当に消去することができる．特に，集合構造を持つメッセージに対する n-out-of-n 消去署名に焦点を置き，生成された署名に対し一回のみ消去を許す一回消去 n-out-of-n 署名方式の安全性を定義し具体的な構成を与える．

準同型署名とは，メッセージ同士の演算結果に対応する署名を，それぞれのメッセージに対応する署名同士の演算により生成することのできる署名方式である．準同型署名に対する安全性として，Catalanoら（ACNS, 2018）は従来のものよりもより強い安全性を提案した．ここで，強い安全性とは，攻撃者が署名の偽造に使う関数において，チャレンジャに署名クエリを行なっていない入力を含むものも認める安全性である．同時に，彼らは，弱い安全性しか満たさない従来の準同型署名を，強い安全性を満たす準同型署名に変換するジェネリックな方法も構成している．本稿では，Catalanoらの変換で冗長な箇所があることを指摘し，彼らのものよりも効率のいい変換を提案する． また，Gorbunovらによる格子に基づく準同型署名方式（STOC, 2015）に，このジェネリックな変換を単純に適用することにより強い安全性を持つ効率的な方式を構成可能であるが，うまく公開鍵を使い回す工夫を導入することにより，さらに効率の良い方式の提案に成功している．

近年，データベースや仮想通貨としてブロックチェーン技術が注目を集めており，そのトランザクションの検証には楕円曲線を用いた電子署名技術が用いられている． また，楕円曲線を用いた電子署名では，主たる演算に楕円スカラー倍算を用いているため，楕円スカラー倍算を効率化することは処理全体の高速化を実現するために重要となる． 本稿では，Twisted Edwards曲線への写像が可能なBLS曲線のパラメータについて考え，いくつかの高速化手法を適用することで楕円スカラー倍算の効率化を行い，現在標準化されている曲線パラメータとの性能比較を報告する．

昨今, アウトソーシングを目的としてクラウドコンピューティングサービスを利用する企業が増えてきている. 一方で, 個人情報や企業内の機密情報といったデータに対する改竄や漏洩といった脅威も年々増加しており, 重要な情報を暗号化したまま活用できる技術の進歩が注目されている. その中でもペアリングベースの高機能暗号は, 近年の研究によるペアリング演算性能の向上も相まって, 実用が可能な段階にまで迫ってきている. また，そのような暗号の構成に利用できるペアリングライブラリとしてRelic-toolkitやELiPSが知られているが，それらライブラリの各種演算には性能差がある．本稿では，その性能差に基づいたライブラリの特性に合うように, 具体的なペアリングベース準同型暗号を最適化のために再構成した上で，それらの性能比較を報告する．

楕円曲線間の同種写像を利用した暗号方式は同種写像暗号と呼ばれており，量子計算機でも容易に解読できないポスト量子暗号方式の一つとして研究が進められている．実際，2011年にJaoらが同種写像ベースの暗号方式を提案し，2017年末にはJaoらの方式を基にした鍵交換アルゴリズムSIKEがポスト量子暗号候補としてNISTに提出された．同種写像暗号方式は，量子計算機に対しても安全性を保つと考えられているが，その安全性の根拠は，楕円曲線における同種写像問題がもつ計算困難性である．現在この問題に対する最良のアルゴリズムは，同種写像のグラフ構造を用いた衝突探索アルゴリズムであるが，この求解法には楕円曲線の性質や同種写像の代数的な構造が有効に用いられていない．本稿では，同種写像問題をVeluの公式から得られる連立代数方程式の求解問題に帰着させる手法をいくつか提案する．また，SIKEパラメータに対して，今回の手法を用いて同種写像問題求解実験を行い，その実験結果を報告する．

462ビットBN曲線上のペアリングおよびスカラ倍算等の群演算における速度は，254ビットのBN曲線のそれと比較すると非常に低速である．本稿では，IoT機器に用いられているCortex-Mによるこれら演算の性能評価を報告する．スカラ倍算の高速化手法によっては多くのメモリを消費しメモリ不足が発生するため，問題なく動作させる実装法を紹介する．また，相互認証機能付き鍵交換プロトコルFSUの性能評価と，FSUを組み込んだアプリケーションの実装評価を通して，IoT機器におけるペアリングベースのプロトコルのフィージビリティを評価する．

ID ベース暗号や検索可能暗号などの高機能な暗号プロトコルの実用化が進んでいるが，中でもペアリング暗号の計算コストが問題となっており，ペアリングの効率化が求められている．非超特異楕円曲線を用いるペアリングにおける体の標数や楕円曲線の位数は，多くの場合整数$\chi$を変数とする多項式によって与えられる．本研究では，パラメータ$\chi$の条件がペアリングと密接な関わりをもつことに着目し，Kachisa-Schaefer-Scott (KSS) 曲線を用いるペアリングについて，とくに効率的な実装が可能となるパラメータの条件を提案する．この条件の下では，著者らの先行研究で提案したペアリングに対する計算効率の良い18次拡大体が構成可能であり，KSS曲線の係数を効率的に決定することができる．また，提案する条件の下ではツイスト曲線の係数も決定できると予想され，KSS曲線とツイスト曲線のペアの中には，とくにMillerのアルゴリズムを効率的に計算することができるものが存在する．

本稿では，1台のサーバで実行可能な秘密分散法を用いた行列乗算のセキュアな委託計算を提案する． 委託計算とは，高スペックなクラウド側のサーバに計算を委託することで，低スペックなクライアント側の端末でも行列乗算のような高負荷な計算を可能とする手法である． また，秘密分散法は秘匿計算技術の１つである． 一般に秘密分散法は少なくとも2台のサーバを必要とするが，一方の分散値に乱数をかけることで1台での計算を可能にしている． 今回は行列乗算を研究対象としたが，本手法は積和演算をベースにしており，様々な計算に適用できる． 加えて，本手法はpassiveな攻撃者に対して情報理論的安全性を有する． 検証機能を付与することも可能であり，activeな攻撃者に対しても安全である． 既存手法には，委託したい行列乗算に0があった場合，その存在が委託先に知られてしまうという問題点があったが， 本手法は加減算の追加のみによって既存手法の問題点を解決でき、よりセキュアな委託計算を実現する．

秘密計算用の配列アクセスアルゴリズムを提案する．

本稿では秘密計算上のロジスティック回帰を実際に使う際に必要となる処理について詳細な検討をし，それらを実現するための方法を提案・実装・評価する．具体的には次の3つである．(1)入力データの秘密計算による正規化：機械学習を行う際，学習データの各属性の値域が異なる場合が多いため，前処理として各属性の値域を揃える正規化と呼ばれる処理を行うのが一般的であるが，秘密計算でそこまで踏み込んでいる先行研究は無い．(2)最適化手法の適用：またパラメータ学習を行う際，単純な勾配降下法では効率が良くないことがあるため，ユーザは学習効率を向上させるための様々な最適化手法も選択できる必要がある．(3)既存の(平文上の)分析ツールとの比較：さらに，実際に秘密計算を分析ツールとして使うユーザから見れば，普段平文で使う分析ツールと比較してどの程度の性能が保証されているかが重要であるが，それらとの比較も為されていない．以上のことから従来研究のように単純にロジスティック回帰が計算できるだけでは実用上不十分である．そこで本稿では，正規化や最適化を含めた秘密計算上のロジスティック回帰プロトコルを提案・実装し，分析ツールとして広く用いられているRと比較評価を行い，秘密計算上のロジスティック回帰が真に実用可能であることを示す．

2者間秘匿計算においては、Garbled Circuitを用いて2値論理回路を計算する手法が広く用いられており、Free XOR構成法などの効率的な構成法の研究が行われてきた。一方、2値論理を拡張しTrue (T)とFalse (F)にUnknown (U)を加えたクリーネの3値論理(以下3値論理という)が知られており、SQLなどで実際に用いられている。3値論理を用いたGarbled Circuitの構成方法については、Yaoの構成法を3値論理に拡張した方法のほか、3値論理を2値論理にエンコードして通常の2値論理のGarbled Circuitを用いて構成する方法がLindellらによって提案されていた。 本研究では、2値論理のGarbled Circuitの効率的な構成法であるFree XOR構成法を3値論理に拡張した構成法を提案し、安全性証明と効率評価を行う。

著者らはステガノグラフィの深層学習を用いた方法を提案している．しかし，深層学習は少数に分類するため，ステガノグラフィとして埋め込める情報量は多くなく，効率的な変換は期待できない．本稿では，深層学習の代わりにハッシュ関数を用いる効率的な手法を提案する．ステガノグラフィの情報埋め込みでは，データ改ざんやデータ無効化の恐れがあるため，補償機能による誤り検出率と本手法の効率に関するトレードオフについても考察する．

In process algebras, security properties are expressed as equivalences between processes, but which equivalence is suitable is not clear. Appropriate formalization is essential for verification. We provide an epistemic logic for the applied pi calculus and use it to show that trace equivalence is pertinent to capture security notions in the presence of a non-adaptive attacker. At first, we prove that trace equivalence is a congruence. Secondly, we give an epistemic logic that characterizes trace equivalence. Thirdly, in this logic, we define multiple security properties such as role-interchangeability proposed by Mano et al. in 2010. Finally, we prove that satisfaction problems for the epistemic logic are decidable under some conditions. Our results imply that trace equivalence is more suitable to express security notions than lebelled bisimilarity.

ProVerifは，Blanchetらが開発した形式モデル（Dolev-Yaoモデル）での暗号プロトコルの自動検証ツールであり，暗号プロトコルに要求される秘匿や認証などの安全性要件を自動で検証することができる．一方，CT（Certificate Transparency）は，Googleによって提唱された証明書の不正発行を防止する仕組みであり，RFC6962として策定されている．また，ブロックチェーンは，暗号通貨Bitcoinを支える技術の１つであり，取引履歴の公開台帳を分散管理する技術（分散型台帳技術）である．著者らは，SCIS2018において， ProVerifを用いてマークルハッシュ木を形式化する方法を提案した．具体的には，通信路とテーブルを併用することで木をモデル化，すなわち，木専用の通信路を用意することでその通信路を木（ノードの集合）とみなし，さらに，ノード同士の親子関係をテーブルで表現することで，木をモデル化している．本稿では，木構造などのリッチなデータ構造をProVerifで形式化する際の技術的な注意点について考察し，CT及びブロックチェーンを形式化する方法を比較・検討する．

家電や住宅設備機器のエネルギー管理システムHEMS(Home Energy Management System)は複数のメーカの機器で構成され，数多くのグループの管理が求められるため，IEEE 802.21を用いてグループ鍵管理を行う方式が提案されている。しかし，IEEE 802.21におけるグループ鍵管理のフォーマルな安全性の形式検証による検証結果は知られていない。本稿では，形式手法を用いた暗号プロトコルの自動検証ツールであるProVerifを用いてIEEE 802.21におけるグループ鍵管理について，外部・内部攻撃者に対する秘匿性と認証性の検証を行う。その結果，電子署名などのオプションの有無により異なる検証結果が得られることを示す。

POST2018において、AtzeiらはBitcoin上のスマートコントラクトについて統一的なフレームワークに基づく形式的定義を与え、決済委託などいくつかのプロトコルの定式化を行った。しかし、安全性については非形式的な議論しか行われていなかった。本稿では、自動検証ツールProVerifを用い、彼らのスマートコントラクト決済委託プロトコルの公平性の検証を行う。2者間で実行するナイーブな方式と裁定者を加えた3者間で実行する方式についてそれぞれ検証を行い、2者間方式では公平性が満たされないことを示す。

仮想通貨及び多くのブロックチェーン応用では、確実な匿名性の保証と確実な特定・追跡性の保証の両立が不可欠である。本稿では、仮想通貨および匿名仮想通貨の現状を概観し、ビットコインを対象に、ブロックチェーン上の情報の匿名性強化のために提案されている技術・仕組み、具体的にはワンタイムビットコインアドレス、コンフィデンシャルトランザクション、コインミキシング、エスクロー、リング署名等の技術や仕組みと、それらの利用の現状・課題を整理した。仮想通貨で活用・提案されている匿名性のための技術・仕組みの調査を更に進め、仮想通貨における確実な匿名性と確実な特定・追跡性の両立に関する研究開発を展開する予定である。

暗号通貨の仕組みにおいて，ユーザが作成する秘密鍵が価値操作の基礎である．市場での暗号通貨流通におけるインシデントの要因は，暗号通貨仕組み上に秘密鍵保護の機能が入っていないという構造が起因している．さらに、暗号通貨の安全性強固さを支える構造は、公開鍵暗号方式とハッシュ演算のチェイニングだが、構造部品が危殆化したときの安全性保全については、検討されていない。筆者等は，SCIS2018 において，秘密鍵の管理に物理プロセスを導入する事を特長とするセキュリティ実現方式を提案し,CSS2018において取引所等への展開を検討した。ここでは、部品危殆化時の構造問題に関する課題について検討する。構造的問題を内包する価値操作系を総合的に機能するように構成するには，Management：「M」, 　Ethics：「E」, 　Law：「L」, Technology：「T」がからむ自由と規制の相克を止揚（MELT-UP）するなかで，適用領域を広げた解を導くべく検討する必要がある．本論文では，まずは課題検討の方向付けについて報告する

ビットコインをはじめとする暗号資産においては，ブロックチェーン上にすべての取引の情報が記録され，取引当事者でなくても取引の流れを追跡できるが，取引当事者である実際の個人や組織まで特定することは困難となっている．もっとも，最近では，暗号資産の取引に付随する情報を用いることなどにより，取引当事者をある程度絞り込むことができるとする研究成果がみられる一方で，取引の追跡困難性を高める新たな手法も提案されている．個々の暗号資産の特性を正確に理解するうえで，その取引の追跡困難性と匿名性について把握することは益々重要になっているといえる．こうした問題意識のもと，本稿では，暗号資産の取引の追跡困難性と匿名性に関する最近の研究動向を紹介するとともに，今後の課題を考察する．

多様かつ大量のデータが利用されつつある中、それらのデータを効率的に保管する仕組みが求められている。また個人や重要なデータの中には、長期間の保護が必要となる場合がある。これらのデータを長期間、効率的に保護する仕組みとして、Evidence Record Syntax(ERS)が存在する。ERSを用いれば、暗号アルゴリズムの移行も効率的に行うことが可能となる。そのため、ERSは量子コンピュータによる暗号アルゴリズム危殆化に備える上でも有用となる。そこで本研究では、XMLに特化したERSの一つであるXMLERSを実装した。加えて、データの公開時に一部を隠蔽する伝統的な方法である「墨塗り加工」に相当する機能を実装した。本研究は、墨塗り加工機能とERSを両立させるための実装上の課題と解決方法に関するものである。

近年，マルウェア感染やフィッシングによってインターネットバンキングの認証情報やクレジットカード情報が盗取されることによる，不正送金や不正利用が社会問題となっている．これらの情報を盗取する攻撃方法の1つにマルウェアによるMan-In-The-Browser（MITB）攻撃があり，注目を集めている．MITB攻撃は，マルウェアが感染PCのWebブラウザにプロセスインジェクション等の方法で入り込み通信内容の盗聴や改ざんを行なう攻撃手法である．MITB攻撃によって，インターネットバンキングやクレジットカード会社のサイトとの通信内容が改ざんされ，情報盗取が発生する．我々は，これまで，MITB攻撃を行なう複数のマルウェアを長期的に観測し，攻撃対象・攻撃手法を継続的に分析している．本稿では，MITB攻撃を行なうマルウェアの観測結果に基づき最新のMITB攻撃手法を体系的に分類し，インターネットバンキングにおいて用いられている既存の対策手法の有効性の検討を行った結果を報告する．また，既存対策における問題点およびより有効な対策の検討結果について報告する．

インターネットの追跡技術の一つとしてブラウザフィンガープリンティングがある． 一般的なブラウザフィンガープリンティングにおいて，User Agentがもっとも有益な情報である． しかし，ブラウザフィンガープリンティングを回避するために，User Agentを偽装し，追跡を回避するケースがある． 本論文では，User Agentを偽装するブラウザを，ブラウザフィンガープリントの類似度を用いて追跡するシステムを提案する．

フィッシングサイトにはセキュリティベンダによる解析を妨害するための耐解析機能としてサーバサイドで実装されるアクセス妨害機能が存在するが，インターネット上に実在するフィッシングサイトでこの機能がどれぐらい動作しているか明らかではない．アクセス妨害機能を分析することは，アクセス妨害を受けずにフィッシングサイトを解析するためのクローラの実現に必要である．本研究では，実在するフィッシングサイトを対象とし，フィッシングサイトのアクセス妨害機能の動作状況の実態調査を実施した．具体的には，まずフィッシングサイトを構築するために用いられるフィッシングキットの閉環境での解析結果からアクセス妨害機能の有無を判定するためのHTTPリクエストの条件を解析する．解析結果をもとにインターネット上のフィッシングサイトに対してHTTPリクエストを複数送信したときの応答を観測することで，アクセス妨害機能の有無を調査する．実在する4,901件のフィッシングサイトの調査の結果，クライアントサイドで設定可能なUser-AgentとRefererによるアクセス妨害機能を有するフィッシングサイトが10.4%あることが判明した．

インターネットでは、Botによるアカウントの大量取得やチケットの買い占めなどへの対策としてCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)という仕組みが利用されている。中でも、人間の高度な画像認識能力に基づき、利用者に画像内容や画像の共通性などを解答させる画像型CAPTCHAが普及している。一方で、画像認識技術の進化に伴い、Google逆画像検索や画像内容を分類するアノテーションサービスを利用したそれらのCAPTCHAへの攻撃事例が報告されており、早急な対策が求められている。そこで、本稿では、そのような攻撃に耐性のある新しい画像型CAPTCHAを提案する。提案方式では、人間は正しく識別できるが、機械はその内容を「錯視」する画像を作成し、それを利用することで、高い攻撃耐性と高いユーザビリティが実現できることを示す。