プログラム       セッション表       招待講演      

 

プログラム―Program―

一般講演は1件あたり20分(講演時間15分、質疑応答5分)です。

登壇者(SCIS論文賞対象者)、登壇者

発表題目または著者をクリックすることでWEB概要が開きます

全てのWEB概要の一括開閉を行いたい場合は下のOPEN/CLOSEボタンをご利用ください

 

1A1 公開鍵暗号 1月19日(火) 14:50-16:30
座長:高島克幸(三菱電機)
1A1-1
落とし戸付き置換に基づく適応的安全な落とし戸付き関数の構成
北川 冬航(NTTセキュアプラットフォーム研究所)、○松田 隆宏(産業技術総合研究所)
本稿では、ビット列の集合を定義域とする任意の落とし戸付き置換(TDP)に基づく、"適応的安全性"と呼ばれる強力な安全性を満たすTDFの一般的構成を示す。より詳細には、暗号文が疑似ランダム性を満たす任意のCPA安全な乱数復元型公開鍵暗号(PKE)に基づき、逆関数計算オラクルの存在下での像の疑似ランダム性(適応的疑似ランダム性)を満たすTDFの構成を示す。前者の要素技術はビット列の集合を定義域とする任意のTDPから一般的に構成可能であるため、主成果が得られる。また、構成されたTDFは、そのまま復号オラクルの存在下での暗号文の疑似ランダム性を満たす乱数復元型鍵カプセル化メカニズム(KEM)と見なせるため、本稿の成果は「暗号文が疑似ランダム性を満たす乱数復元型PKE」についてのCPA安全性からCCA安全性への一般的な変換となっている。さらに、本稿の成果の系として、ビット列の集合を定義域とするTDPに基づく、選択暗号文攻撃下での選択的開示攻撃に対する安全性(SO-CCA安全性)を満たすPKEの構成も得られる。
1A1-2
Boneh-Katz変換再訪
○草川 恵太(NTTセキュアプラットフォーム研究所)
IDベース暗号やタグベース暗号からIND-CCA安全な公開鍵暗号を構成する方法として、Canetti-Halevi-Katz変換やBoneh-Katz変換が知られている。 本稿では、元となる方式にoblivious sampleabilityがある場合、Boneh-Katz変換を適用した後の公開鍵暗号もoblivious sampleabilityがあることを示す。これにより符号ベースや格子ベースのoblivious sampleableな公開鍵暗号を構成できる。
1A1-3
より広範囲のナップザック暗号の解読可能性とその数学的解釈について
◎鎌田祥一(東京都立大学)
ナップザック暗号は主に部分和問題の求解困難性に安全性の根拠を置いている公開鍵暗号の総称である。多くのナップザック暗号は低密度攻撃と呼ばれる攻撃法により解読が可能である。これは、部分和問題の解が格子の最短ベクトルや最近ベクトルに対応させることを利用した攻撃法である。部分和問題のランダムな例題に対し、その解のハミング重みが任意のとき、密度がある値を下回れば格子オラクルの1回呼び出しにより部分和問題をほとんど確実に解くことができる。例えば、そのある値として、0.9408... (Coster et al.) などの理論的根拠が知られている。また、解読方法が未知の数少ない暗号方式としてOkamoto-Tanaka-Uchiyama (OTU) 暗号 (2000) が知られている。本講演では、OTU暗号などのようにハミング重みが固定であることを念頭に置き、平均的な場合の低密度攻撃における直交格子の最小ノルムの分布についての実験結果から、低密度攻撃が有効な場合の密度の限界が先行研究のものより大きく取れることを示す。実験で意識した数学として、特に加法的組合せ論などで使われる自然密度との関係性についても触れる。そして、OTU暗号の解読可能性についても触れる。
1A1-4
音声データのための準同型公開鍵暗号方式の効率化
◎上野真奈(NTTセキュアプラットフォーム研究所)、小林鉄太郎(NTTセキュアプラットフォーム研究所)、村上啓造(NTTセキュアプラットフォーム研究所)
サーバで音声データの合成を行うシステムで音声のエンドツーエンド暗号化を実現するためには使用する暗号方式に準同型性が必要である。そこで音声通話において準同型性を持つ公開鍵暗号方式をデータブロック長に応じた回数用いることになるが、リアルタイムでの通信を行うには演算コストが大きい。暗号化アルゴリズムは通信開始時に実行される事前演算とデータブロックごとに行う演算で構成される。特に事前演算テーブルのサイズと演算コストはトレードオフの関係にある。本研究では公開鍵暗号方式を使用する際、送信者が公開鍵だけでなく秘密鍵も所持している状態で暗号化を行った場合を想定し、事前演算テーブルのサイズと演算コストの縮小を検討して従来より効率の良い演算法を提案する。
1A1-5
CCA安全な鍵付きレベル2準同型暗号の構成
◎前田勇作(東京大学)、縫田光司(東京大学/産業技術総合研究所)
準同型暗号は,秘密鍵を用いることなく暗号文の間の計算をすることが可能な暗号技術である.その便利な機能の反面,準同型暗号は公開鍵暗号方式において一般に望ましい安全性とされているIND-CCA2安全性を達成できないことが知られている.この問題に対し,秘密鍵・公開鍵に加えて演算の権限を制限する鍵を設けることで,演算鍵を持たない攻撃者に対してはIND-CCA2に近い安全性を,演算鍵を持つ攻撃者に対してはIND-CCA1安全性を達成する鍵付き準同型暗号(KH-PKE)と呼ばれる方式が提案されている.本稿では,無制限の加算と1回の乗算が可能なKH-PKEである鍵付きレベル2準同型暗号の構成を提案する.これは実用的な仮定の下で加算と乗算の双方を行うことのできる,初のKH-PKEである.

1B1 共通鍵暗号(1) 1月19日(火) 14:50-16:30
座長:青木和麻呂(文教大学)
1B1-1
深層学習を用いたSPNブロック暗号への出力予測攻撃
◎木村 隼人(東海大学/情報通信研究機構)、江村 恵太(情報通信研究機構)、五十部 孝典(兵庫県立大学/情報通信研究機構)、伊藤 竜馬(情報通信研究機構)、小川 一人(情報通信研究機構)、大東 俊博(東海大学/情報通信研究機構)
共通鍵暗号の安全性評価では,設計者や研究者の経験に基づいた解析や,MILPのSolver等のプログラムを用いた自動探索手法が主流のアプローチである.一方で,暗号に関する予備知識を必要としない深層学習を用いた攻撃が近年多く研究されている.しかしながら,どのような特徴量や構造が攻撃能力に影響しているのかは明らかにされておらず,深層学習を用いた攻撃に対して安全な暗号の設計方針に関する知見に乏しいのが現状である.本論文では,SPN ブロック暗号 (small PRESENT, small AES) に対し深層学習を用いた攻撃手法を提案する.提案攻撃では,攻撃に利用可能な最大数の平文と暗号文対により構成された学習モデルを使用した.結果として (1) 既存の識別攻撃手法 (線形/差分攻撃) と同程度のラウンド数に対する攻撃が可能であること, (2) 識別攻撃よりも強力な暗号文推測・平文回復攻撃が可能であること,及び (3) 線形/差分確率を変化させない範囲で暗号のコンポーネントの入れ替えや順番の変更を行った場合に,既存手法での攻撃成功確率に変化を及ぼさない変更にも関わらず深層学習による攻撃成功確率に違いが生じることを明らかにした.
1B1-2
Integral and Impossible Differential Attacks on the Reduced-Round Lesamnta-LW-BC
◎Rentaro Shiba(University of Hyogo)、Kosei Sakamoto(University of Hyogo)、Fukang Liu(University of Hyogo / East China Normal University)、Kazuhiko Minematsu(NEC Corporation)、Takanori Isobe(University of Hyogo)
Lesamnta-LW-BC is the internal block cipher of the Lesamnta-LW lightweight hash function, specified in ISO/IEC 29192-5:2016. It is based on the unbalanced Feistel network and AES round function. In this paper, we evaluate the security of Lesamnta-LW-BC against integral and impossible differential attacks. Specifically, we searched for the integral distinguishers and impossible differentials with MILP-based methods. As a result, the discovered impossible differential can reach up to 21 rounds, while three integral distinguishers reaching 18, 19, and 25 rounds are obtained, respectively. Moreover, it is also feasible to construct a 47-round integral distinguisher in the known-key setting. Finally, we propose a 20-round key recovery attack based on the discovered 18-found integral distinguisher and a 19-round key-recovery attack using a 17-round impossible differential. To the best of our knowledge, this is the first third-party cryptanalysis of Lesamnta-LW-BC.
1B1-3
改良されたDLBCAブロック暗号アルゴリズムのFull-Round 差分特性による暗号識別
◎金川 創治郎(東京理科大学)、五十嵐 保隆(東京理科大学)、金子 敏信(東京理科大学)
 改良されたDLBCAブロック暗号アルゴリズムは2018年にSufyan Salim Mahmood Al-Dabbaghらによって提案された軽量ブロック暗号である。この暗号は2017年にSufyan Salim Mahmood AlDabbaghによって提案された軽量ブロック暗号DLBCAの実装コストを改善したものである。この暗号はブロックサイズ32 bits,鍵長80 bits,ラウンド数32 roundsのFeistel構造である。軽量暗号とはIoT機器などの少ないリソースでも効率的に暗号化が行えるように設計された暗号である。本稿では、構造に着目することでFull-Roundを確率1で伝搬する差分パスを発見した。これにより改良されたDLBCA暗号を識別できるという弱点を示す。
1B1-4
ストリーム暗号Enocoro-128v2の高階差分特性
○芝山直喜(航空自衛隊)、五十嵐保隆(東京理科大学)、金子敏信(東京理科大学)
Enocoro-128v2は2010年に日立製作所によって提案されたストリーム暗号向けの疑似乱数生成器である.秘密鍵128ビット及び初期ベクトル64ビットを入力とし,初期化フェーズでは内部状態設定後に状態更新関数を96回適用する.これまでに,Enocoro-128v2の初期化フェーズに対し,21段の乱数識別攻撃が可能であることが報告されている.本稿では,安全性評価の一環として,Enocoro-128v2の初期化フェーズの高階差分攻撃に対する耐性評価を行う.結果として,16階差分を用いることによって,22段の乱数識別攻撃が可能であることがわかった.また,今回発見した新たな高階差分特性の次数解析の結果について述べる.
1B1-5
KCipher-2に対する差分攻撃の耐性評価
◎寶木仁(兵庫県立大学大学院)、阪本光星(兵庫県立大学大学院)、五十部孝典(兵庫県立大学大学院)
本稿では, ISO/IEC18033-4標準でCRYPTREC暗号リストに選定されているストリーム暗号KCipher-2の差分攻撃耐性の評価を行う. 具体的には, KCipher-2の非線形関数部分であるS-boxと算術加算と動的フィードバック関数の3つの部分の差分確率を考慮し, MILPモデリングを行い, 差分特性確率を求める. 結果として, 各非線形関数での差分遷移を独立と仮定した場合, 6ラウンドのKCipher-2に対して, 差分特性確率2^-61の差分パスを示す. 最後に, ストリーム暗号における上記の仮定の妥当性やlimitationについて議論する.

1C1 マルウェア 1月19日(火) 14:50-16:30
座長:矢内直人(大阪大学)
1C1-1
Capsule Neural Networkに基づくマルウェア分類手法
○加藤 秀記(情報セキュリティ大学院大学)、大久保 隆夫(情報セキュリティ大学院大学)
近年マルウェアの数は、急速に増加しており、企業、団体、政府国家において、大きな脅威となっている。マルウェア解析は、その挙動を明らかにし、適切な対応を取るために重要な作業であるが、これまでに利用されてきた静的解析、動的解析は、人手で行った場合、解析に数時間から数日を要する。 このような背景から、近年マルウェア解析の効率化を目的とした研究が行われている。 その1つとして、解析するマルウェアの種類の特定があり、その効率的を目的とした研究に、マルウェアのバイナリコードを画像に変換しConvolutional Neural Network(CNN)を用いて学習・分類するものがある。 これまでの研究で、高い精度を実現しているが、精度向上には大量の学習データが必須である点、またCNNは学習過程で、データの貴重な情報をいくつか損失するなどの問題点があった。 本研究では、上記に挙げたCNNの問題点を解消する目的で新たに考案された、Capsule Neural Network(CapsNet)を用いてマルウェア分類を行い、CNNによるマルウェア分類と比較した場合の利点、および学習に要する時間、分類の精度に関連する要素(画像サイズ、Capsuleの次元数など)を分析し、より効率的な分類モデルを構築するための条件を明らかにする。
1C1-2
APIのカテゴリ情報を用いたマルウェアのファミリ分類手法
◎廣瀬 優希(東京情報大学)、花田 真樹(東京情報大学)、面 和成(筑波大学)、村上 洋一(東京情報大学)、折田 彰(株式会社日立システムズ)、関口 竜也(株式会社日立システムズ)、布広 永示(東京情報大学)
近年,マルウェアは増加の一途を辿っており被害は深刻化している. 発見されるマルウェアの多くは既存のマルウェアを改変した亜種であり,マルウェアの亜種を短時間で適切に分類することができれば,その後の詳細な解析の手助けとなる. これまでにも動的解析によって得られる時系列順序のAPIコール情報を用いたマルウェアのファミリ分類手法が提案されているが,時系列順序のAPIコール情報を特徴ベクトルとした場合,API間の依存関係を正確に捉えられない可能性がある. API間の依存関係を正確に捉えることができれば,マルウェアのファミリ分類の精度向上が期待される. そこで,本研究ではAPI間の依存関係を正確に捉えるために,カテゴリ情報を考慮したマルウェアのファミリ分類手法を提案する. 動的解析によって得られるカテゴリ情報に着目し,APIコールのグルーピングを行うことで,より正確なAPI間の依存関係を捉えたAPIコールの抽出が可能になる. カテゴリ情報を考慮したAPIコールのN-gramを用いて,マルウェアのファミリ分類の精度に関する評価実験を行い,本提案手法の有効性を示す.
1C1-3
File Historyを利用した自身のアップデートを行うマルウェアの発見手法
◎藤城透(キヤノンマーケティングジャパン株式会社)
近年,マルウェアによる被害がますます深刻になっている.侵入の手口も高度化しており,感染を前提とした対策が必要となっている.マルウェアは侵入後,長期間潜伏する場合があり,セキュリティソフトの検知を避けるため頻繁に自身のアップデートを行うマルウェアが存在する.一般的なプログラムでは頻繁にアップデートを行うことは少ないため,この特徴を利用してマルウェアを発見することが可能である.これにはクライアントからメタデータを収集し分析するシステムが用いられることが多いと考えられる.しかし,このようなシステムは導入や運用管理のハードルが高い傾向がある.そこで本研究では,Windows標準機能であるFile Historyを利用して頻繁に自身のアップデートを行うマルウェアを発見する手法を提案し有効性を検証する.File Historyを有効化したPCにEmotetを感染させる実験を行い,本手法により容易に発見できることを示す.
1C1-4
Deep learning based Android malware detection with obfuscation classifier
○JUNJI WU(法政大学理工学研究科)、金井敦(法政大学理工学研究科)
With the development of Android system, large number of apps have been published. However, many malicious apps hide into normal apps, which requires reliable Android malware detector. In the last few years, deep learning has been applied in Android malware detection. Some features and raw data are chosen as input of these deep learning models. But with the use of some obfuscation technologies, some of the selected features or data may lose valuable information which influences the accuracy of the model. In addition to accuracy, false positive rate (FPR) is also important. Malcious apps that pass the malware detection may be installed by users. In our study, we try to take advantage of obfuscation information. We build a deep learning model based on existing research as a basic model and then add classifier that distinguishes whether the app is obfuscated or not. Our experiments show that, compared to the basic model, the model with obfuscation classifier can improve the accuracy and significantly reduce false positive rate with certain parameters. On our dataset, the model with obfuscation classifier can achieve up to 97.6% in accuracy with 0.89% in false positive rate while the basic model only achieves up to 96.8% in accuracy with 1.81% in false positive rate.
1C1-5
バイナリ脆弱性検知ツールVulneraBinの評価
○藤松 由里恵(株式会社東芝)、Tai Zeming(株式会社東芝)、金井遵(株式会社東芝)、鬼頭利之(株式会社東芝)、Li Ziyang(早稲田大学)、深澤 良彰(早稲田大学)、鷲崎 弘宜(早稲田大学)
サイバーフィジカルシステム(CPS)ではアプリケーションに含まれる脆弱性が攻撃の起点となることが多いが、アプリケーションの脆弱性を完全に排除することは不可能である。さらに、CPSではシステム開発が複雑化しOSSの利用や外部委託を活用するケースが増加しており、個々のアプリケーションの詳細を把握することが困難になっている。脆弱性検知ツールではソースコードによる検知手法が一般的だが、ソースコードが手元に無い事例も考慮し、我々はバイナリ単位で脆弱性を検知するツールVulneraBinの開発を進めている。本稿ではVulneraBinを実際に利用することを想定した利用評価を実施し有用性について報告する。

1D1 サイドチャネル攻撃(1) 1月19日(火) 14:50-16:30
座長:李陽(電気通信大学)
1D1-1
ソフトウエア実装AESに対する深層学習ノンプロファイリングのサイドチャネル攻撃
◎黒田訓宏(立命館大学理工学部)、久保田貴也(立命館大学大学院総合科学技術研究機構)、福田悠太(立命館大学大学院理工学研究科)、藤野毅(立命館大学理工学部)
深層学習サイドチャネル攻撃(DL-SCA)の手法としては,ターゲットデバイスと同一の自由に制御できるデバイスを所持していることが前提となるプロファイリング攻撃提案が多く報告されてきた.一方,ターゲットデバイスから得られたサイドチャネル情報のみを用いるノンプロファイリング攻撃に深層学習を適用する攻撃手法が新たに提案されている.本手法では,消費電力波形と,リークモデルに基づく鍵候補ごとに異なるラベルを持つデータセットを作成する.鍵候補の数だけ存在するデータセットを用いて深層学習ネットワークを学習させ,観測したAccuracyなどの指標が最も高くなるデータセットで使われた鍵を正解鍵として特定する.本稿ではNew AE 社のChip Whisperer環境に接続したマイコンにソフトウエア実装された未対策,マスキング対策AESに対してノンプロファイリングDL-SCAを実施した.攻撃に使用するデータセットを学習・検証データに分離し,検証データのAccuracyを観測,比較すること,正則化を用いた過学習対策を適用すること,で全バイト鍵の攻撃に成功した結果を報告する.
1D1-2
ハードウェアAES暗号に対するクラス不均衡問題への対策を適用した深層学習サイドチャネル攻撃
○前田悠磨(立命館大学)、吉田康太(立命館大学)、久保田貴也(立命館大学)、汐崎充(立命館大学)、藤野毅(立命館大学)
深層ニューラルネットワーク(DNN)を利用した深層学習サイドチャネル攻撃(DL-SCA)という攻撃方法に注目が集まっている.ハードウェア実装AESに対して従来型のSCAではHDモデルが使用されてきたが,DL-SCAにおいては学習データセットのクラス間の出現頻度に偏りがあるため,DNNの学習には不向きと指摘されていた.このクラス不均衡問題に対する対策手法として,出現頻度に偏りが少ない中間値の遷移を用いる手法(XORedモデル)が提案されている.しかしながら特定の4バイトについては,ShiftRows処理が行われないというAESアルゴリズムの特性により,XORedモデルでも,全バイトを攻撃することが困難であった.本稿では未対策AES回路をターゲットとして,従来手法で用いられているHDモデルに対して,各種のクラス不均衡問題対策を適用してDL-SCAを行った結果を報告する.XORedモデルDL-SCAでは12バイトの攻撃に2000波形要したのに対し,コスト考慮型学習と呼ばれるクラス不均衡問題に対する対策手法を用いることで16バイトの攻撃に1800波形で攻撃可能であったことを報告する.
1D1-3
ディープラーニングを用いた非プロファイリングサイドチャネル攻撃を可能にするハイパーパラメータと効率的な攻撃手法の提案
◎前田智紀(株式会社東芝)、小美濃つかさ(株式会社東芝)
近年, ディープラーニングを用いたサイドチャネル攻撃手法が提案されている. その攻撃手法の一つとしてNon-Profiled Deep Learning-Based Side Channel Attack がある. この攻撃は攻撃対象デバイスの消費電力データのみで攻撃を成功させることができるが, この攻撃に適したディープラーニングのハイパーパラメータは知られていなかった. 本稿では、ハイパーパラメータと、サンプリングポイントの区間分割による攻撃手法を提案する. まず, DPA contest v.4.2 の電磁波形に対し複数のハイパーパラメータを適用し, 攻撃に成功するハイパーパラメータの探索に成功した. 次に, REASSURE の消費電力波形に対して同じハイパーパラメータを適用し, 攻撃に成功することを確認した. したがって, このハイパーパラメータと, サンプリングポイントを分割する手法を用いることで様々な波形に対して攻撃が成功する可能性がある.
1D1-4
深層学習を用いたサイドチャネル攻撃における不均衡データ問題の解析と解消法
◎伊東燦(東北大学電気通信研究所)、齋藤宏太郎(東北大学電気通信研究所)、上野嶺(東北大学電気通信研究所)、本間尚文(東北大学電気通信研究所/CREST)
本稿では,深層学習 (DL)を用いたプロファイリングサイドチャネル攻撃における不均衡データ問題の原因の 解明し,同問題を解消する手法を提案する.DLを用いたサイドチャネル攻撃では,学習のコストを下げるためにしばしばハミング重み (HW: Hamming Weight) やハミング距離 (HD: Hamming Distance) がクラスラベルとして用いられる.一方で,HW/HDは二項分布に従うため,攻撃フェーズにおける推論時の性能が著しく低下することが指摘されていた.本稿では,まず,モデルの出力分布と二項分布の間のKLダイバージェンスを導入することで,HW/HDをクラスラベルとして使用した場合に発生するデータの不均衡がサイドチャネル攻撃に与える影響を定量的に評価する.その上で,攻撃フェーズにおける不均衡データに対する解決策として,鍵値に基づく尤度関数を用いて秘密鍵を推定する手法を提案する.また,先行研究で報告された学習フェーズにおける不均衡データの解決策が有効に働く理由を,鍵値の確率の観点から明らかにする.

1E1 フィンテック 1月19日(火) 14:50-16:30
座長:面和成(筑波大学)
1E1-1
受領者承認なしの取引成立を防止するプロトコルのBitcoinソフトウェアへの組込み
○上土井 陽子(広島市立大学)、若林 真一(広島市立大学)
本研究ではブロックチェーンでの受領者承認なし取引の安全性上の懸念を示し,Bitcoinクライアントソフトウェアへの組込みを目指した受領者承認なし取引を防ぐトランザクション作成プロトコルの実現を提案する。その実現の安全性 について検討する.
1E1-2
ビットコインウォレットへの受領者承認を必要とする取引の導入
◎羽山 宙輝(広島市立大学)、上土井 陽子(広島市立大学)、若林 真一(広島市立大学)
ビットコインウォレットは、ユーザが自身に関連するビットコインの管理を行うためのオブジェクトであり、Bitcoin Core等のアプリケーションで利用される。ビットコインウォレットには主な機能として、暗号鍵の作成・管理、アドレスの作成・管理、トランザクションの作成・送信、ブロックチェーン内に存在する自身に関連したトランザクションの把握(UTXOの把握)がある。現在のビットコインの取引形式では、送金者による一方的なコインの送金が起こり得る。上記を防ぐために、公開鍵によるビットコインアドレスを電子署名によるアドレスに変更することによって、受領者による受領者承認を必要とする取引方式の導入を検討する。取引方式を変更するためには、ビットコインウォレットの変更が必要である。本研究では、ビットコインウォレットへの組込みに向け、新しい取引方式に対応したアドレス作成・管理、トランザクションの作成・送信のためのプロトコルを提案する。
1E1-3
デジタル通貨の記番号と管理に関する提案
○佐藤 直(中央大学研究開発機構)、辻井 重男(中央大学研究開発機構)、才所 敏明(中央大学研究開発機構)、山本 博資(中央大学研究開発機構)、近藤 健(中央大学研究開発機構)、山澤 昌夫(中央大学研究開発機構)
ネットの中で資金決済を行うためのデジタル通貨の議論が活発化している.中国政府は昨年から人民元による実験を開始しており,我が国でも民間金融機関などが本年度の実験を企画している.さらに,各国の中央銀行が発行する通貨CBDC(Central Bank Digital Currency)がデジタル化される機運も高まっている.デジタル通貨は社会生活における金融面での利便性を高めるとして期待されているが,サイバー攻撃やプライバシー侵害のリスクも懸念される.本稿では中央銀行デジタル通貨を対象に,想定されるセキュリティ課題を解決する手段として,記番号の利用とブロックチェインによる管理システムを提案する.提案では,従来,紙幣にのみ印刷されている記番号を統一的に全通貨の識別情報として利用するとともに,その流通をブロックチェインで管理する.また,使用する記番号(通貨)に有効期限を持たせて,通貨利用の匿名性および追跡性を制御可能とする.さらに,本提案で取り扱うデータのサイズ,ネットワーク規模を見積もり,十分実用化可能であることを示す.
1E1-4
暗号資産の封印・償還における利用者の匿名性および特定・追跡性の考察
○才所敏明(IT企画)、辻井重男(中央大学研究開発機構)、櫻井幸一(九州大学 大学院システム情報科学研究院)
暗号資産を台帳に登録する情報の内容により、資産移転記録方式と資産残高記録方式の2種に分類し、資産移転記録方式の主要な暗号資産、Bitcoin(P2PKH、P2SH)、Monero(RCTTypeSimple)、Zcash(Sapling)についての封印情報・償還情報を調査し、利用者の匿名性および特定・追跡性についての現状を考察した。 Bitcoinでは利用者の仮名性や利用者識別情報のワンタイム性、Moneroではそれに加えてリング署名による実際の利用者識別情報の特定困難性で匿名性を高めている。それに対し、Zcashではゼロ知識証明を利用し、台帳に登録する情報の中に利用者識別情報を露出させることなく封印・償還を実現し、利用者の高い匿名性を実現している。 利用者の特定・追跡性は利用者の協力が前提であるが、Bitcoinでは個々のワンタイム公開鍵の提供のみの方法で、Moneroではそれに加えてtracking key/鍵イメージの提供により、またZcashではIncoming Viewing Keyの提供により、台帳上の暗号資産/利用者識別情報と利用者の対応を特定可能である。特定・追跡性については、未だ基本的な機能のみが実装されている状況で、今後、特定・追跡性に関する具体的ニーズの把握、実現する技術・システム等の研究・開発が望まれる。
1E1-5
モバイル端末を用いたリテール取引システムのセキュリティに関する一考察
○宇根正志(日本銀行)、沖野健一(日本銀行)
近年,実際の店舗において,現金を使わずに商品やサービスを購入できるリテール取引システムが多様化している.従来は,顧客が専用のICカード等を店舗の専用端末に提示して支払いを行うケースが主流であった.最近では,こうした支払いに加えて,顧客と店舗が,それぞれスマートフォンやタブレット等の汎用モバイル端末を用いて支払いの取引を行うケースが増えてきている.また,従来は,支払いに関するデータは,店舗から決済事業者に送信され,後続の処理が実行されるケースが多かったが,顧客自身がモバイル端末の通信網を介して決済事業者と直接通信することも行われるようになってきている.本稿では,リテール取引システムの変化を考慮しつつ,決済事業者により取引が承認されるタイミングや取引承認を要請する主体によって,店舗でのリテール取引システムのモデルを類型化する.そのうえで,各類型について,ビジネスリスク管理の観点から想定される主な攻撃や対策方針を検討する.

1F1 自動車セキュリティ(1) 1月19日(火) 14:50-16:30
座長:高橋順子(NTT)
1F1-1
車線検出機能に対する色調改変攻撃とその対策
◎宮園 史規(横浜国立大学)、吉田 直樹(横浜国立大学)、乃万 誉也(横浜国立大学)、松本 勉(横浜国立大学)
完全自動運転の実現に向けて自動車には様々な機能が組込まれている.中でも,カメラを用いて車線を検出する機能は,搭乗者および周囲の安全確保に関して重要な役割を担っている.車線検出機能のセキュリティが損なわれると重大な事故につながる恐れがあるため,計測セキュリティの観点からそのような状況を想定し,対策を講じることが必要である.本稿では,カメラに物体を取り付けたり光を照射したりすることによりカメラで取得された画像の色合いを変化させ,車線検出を正常に行えなくする色調改変攻撃につき検討し,その影響を示す.また,色調改変攻撃への対策として色調補正が有効であるかを検討する.
1F1-2
車載制御システム向けサービス探索の脅威と保護手法
○倉地 亮(名古屋大学)、高田 広章(株式会社オートネットワーク技術研究所)、足立 直樹(株式会社オートネットワーク技術研究所)、上田 浩史(株式会社オートネットワーク技術研究所)、滝本 周平(株式会社オートネットワーク技術研究所)
近年,自動車に搭載されるセンサーやECUの高機能化により,車載電子制御システムの刷新が検討されている.その中でもサービス指向通信を目的とする車載制御システム向けプロトコルとしてSOME/IP(Scalable service-Oriented MiddlewarE over IP)が提案されている.SOME/IPは,始動時に動的にサービスを探索するSOME/IP-SD(Service Discovery)プロトコルを用いることにより,柔軟なシステム構成を構築することができる.し かしながら一方で,セキュリティ上の脅威や保護手法については十分に議論されていないことが課題である.このため,本論文ではSOME/IP-SDの脅威と保護手法を議論する.
1F1-3
SOME/IPの周期的なサービスにおける異常検知手法の検討
◎吉田 圭吾(住友電気工業株式会社)、安永 貴仁(住友電気工業株式会社)、福田 國統(住友電気工業株式会社)、塚本 博之(住友電気工業株式会社)、濱田 芳博(住友電気工業株式会社)、上口 翔悟(住友電気工業株式会社)、上田 浩史(住友電気工業株式会社)、礒山 芳一(住友電気工業株式会社)、畑 洋一(住友電気工業株式会社)
近年の車両では,自動運転実現のために多くのセンサを搭載する必要があり,車載ネットワークの広帯域化のためイーサネットの導入が加速している.一方で,電子制御が高度化する車両ではサイバー攻撃の危険性が増大しており,UNECEで策定が進むWP.29 UNR155での車両型式認証では,サイバー攻撃からの回復を行う仕組みを組織や車両に求める.この仕組みでは,サイバー攻撃の発生を検知する必要がある.本論では,このような検知に有効な異常検知手法を,車載向けのプロトコルScalable service-Oriented MiddlewarE over IP (SOME/IP)での通信サービスの周期性の監視に適用した.実験の結果,複数のパケットで送信されたメッセージに対して行われるサイバー攻撃の検知において,提案手法の有効性を確認したので報告する.
1F1-4
車載Ethernet向けフローベースIDSの提案:SOME/IPへの攻撃例に対するフロー分析
◎岸川 剛(パナソニック株式会社)、安達 貴洋(パナソニック株式会社)、平野 亮(パナソニック株式会社)、氏家 良浩(パナソニック株式会社)、芳賀 智之(パナソニック株式会社)、松島 秀樹(パナソニック株式会社)
次世代車載ネットワーク技術にEthernetが普及つつある.車載Ethernetではネットワーク仮想化によるドメイン分離や,IPsecやMACsecによる通信保護などのIT分野で利用されるセキュリティ技術の導入によるセキュリティ向上も期待される.一方で統合化や仮想化による車載システムの複雑化や車外接続インタフェースの増加により,攻撃者が車外ネットワークから車両内のECU (Electronic Controller Unit)の脆弱性をつき,車載ネットワークに侵入するリスクは残る.そのため車載ネットワークへの侵入を検出するIDS(Intrusion Detection System)が求められる.これまではCAN (Controller Area Network)に対するIDSが多く提案されてきたが,車載EthernetはCANよりも高速・大容量通信であること,サービス指向アーキテクチャを実現する動的なネットワークとなることが想定されるため,車載Ethernet向けIDSについてはCAN向けIDSとは異なる要件が求められる.本稿では車載Ethernet向けIDSの要件を整理し,要件を満たす監視技術として車載Ethernet向けフローベースIDSを提案する.さらに車載Ethernet上で利用されるプロトコルの1つであるSOME/IP (Scalable service-Oriented MiddlewarE Over IP)を対象として,シミュレーション環境で攻撃例を明らかにし,攻撃時の通信から抽出されるフロー情報を分析することでフローベースIDSの有効性を検証する.
1F1-5
変分自己符号化器を用いた振る舞い異常検知によるアプリ挙動監視手法
◎伊藤 貴佳(パナソニック株式会社)、田村 健人(パナソニック株式会社)、今本 吉治(パナソニック株式会社)、安齋 潤(パナソニック株式会社)、中野 稔久(パナソニック株式会社)
近年,自動運転技術の進化やInternet of Thingsサービスの導入に伴い,自動車のコネクテッド化が急速に進んでいる.それに伴い自動車の不正制御や情報搾取などを目的とした遠隔からのサイバー攻撃リスクも高まっている.近い将来,カーメーカーが開発する純正アプリのみならず,第三者が開発する3rd-partyアプリがIn-Vehicle Infotainment systemsへダウンロード,及び利用されることが想定されており,アプリの脆弱性を突くことを起因とした攻撃を検知することがサイバー攻撃の水際対策として重要となる.従来はLinux Security Modulesを用いて,ポリシールールから逸脱したシステムコールを検知,禁止することで,アプリの異常挙動の検知や抑制を行っている.しかし,アプリ内の挙動は膨大なシステムコールの組み合わせからなり,正常な挙動と異常な挙動を高精度に切り分ける条件を設定することは困難である.本稿では,各アプリが正常挙動時に呼び出すシステムコール順序のみをVariational AutoencoderとOne-Class Support Vector Machineを組み合わせた機械学習モデルを用いて学習を行うことにより,アプリが攻撃を受けた際の正常挙動からの逸脱を検知する手法を提案する.アプリ攻撃時のログを用いて性能評価実験を行った結果,提案手法は高精度で異常を検出可能なことを確認した.

2A1 数論応用 1月20日(水) 9:20-10:40
座長:小暮淳(IPA)
2A1-1
translation automorphismによって生成される正規部分群の性質
○伯田 恵輔(島根大学)
本稿では,translation automorphismによって生成される正規部分群の性質について考察する.
2A1-2
Kohel-Lauter-Petit-Tignolアルゴリズムの構成的Deuring対応への適用
◎神戸祐太(立教大学)、相川勇輔(三菱電機)、工藤桃成(東京大学)、安田雅哉(立教大学)、高島克幸(三菱電機)、横山和弘(立教大学)
有限体上の超特異楕円曲線$E_0$の自己準同型環を$\mathcal{O}_0$とする. Deuring対応は同種写像$E_0 \longrightarrow E$と左$\mathcal{O}_0$-イデアルの間の1対1対応を与える. 2014年にKohel-Lauter-Petit-Tignolは滑らかな(smooth)被約ノルムを持つ与えられた左$\mathcal{O}_0$-イデアルと同値なイデアルを見つける確率的アルゴリズム(KLPTアルゴリズムと呼ばれる)を提案した. 同種写像暗号において,KLPTアルゴリズムは暗号解析と暗号構成の両面において有用である. 本稿では,KLPTアルゴリズムの構成的Deuring対応への適用を考える. 構成的Deuring対応は与えられた左$\mathcal{O}_0$-イデアルに対応する超特異楕円曲線を求める計算問題で,滑らかな被約ノルムを持つイデアルに同値なイデアルをKLPTアルゴリズムで求めることで,目的の楕円曲線を効率的に計算できる. 本稿ではKLPTアルゴリズムを構成的Deuring対応に適用した際の実装の途中報告を行う.
2A1-3
対称ペアリングに基づく非対称ペアリングの限界について
○星野 文学(NTTセキュアプラットフォーム研究所)
対称ペアリングを用いて非対称ペアリングに似た性質を持つ暗号プリミティブを構成できる事が知られている . そのように構成した暗号プリミティブは対称ペアリングと非対称ペアリングを折衷したような性質を持ち, 高機能な暗号方式への適用が期待できるが, そのようなプリミティブにどのような制限があるかは明確になっていない . 本稿ではそのような暗号プリミティブの適用限界について論じる.
2A1-4
Pairing-friendly曲線のファミリーの構成について
○白勢政明(公立はこだて未来大学)
IDベース暗号、属性べ―ス暗号といった高機能暗号はペアリングと呼ばれる楕円曲線上の写像の性質を利用する。ペアリング暗号の実装に適した楕円曲線をpairing friendly曲線という。著名なpairing friendly曲線としてMNT曲線、BN曲線、BLS曲線、KSS曲線などが知られている。本稿は、探索的なpairing friendly曲線の属の構成法を提案する。この方法によって埋込み次数が5,9,14,18のpairing friendly曲線が見つかった。著者が知る限りこれらは未知の曲線である。

2B1 IoTセキュリティ 1月20日(水) 9:20-10:40
座長:吉田博隆(産業技術総合研究所)
2B1-1
一方向カウンタを利用したIoTノード向けデータ保全方式の一検討
○橋本 幹生((株)東芝)、新保 淳((株)東芝)、山岡 新之介((株)東芝)
CPSにおけるサイバーセキュリティアプローチとして、レジリエンスのコンセプトが注目されている。ここではレジリエンスを、サイバー攻撃による部分的な侵入を避けえない前提をおき、異常状態の検出から正常状態への回復までを織り込んだ対策アプローチと定義する。昨年の SCIS において我々は RTOS ベースの低機能 IoT ノードにおいて、不正プログラムが実行された侵入状態から、サーバからのアクションを契機として安全なFW更新を実行することにより回復を実現する方式を提案した。そこで未解決の課題として、攻撃からの回復処置であるFW更新の後に、ノードに残された計測データおよびログデータに対する侵入の影響の判定があった。ログデータの保全は当該ノードが実際に攻撃を受けたかを判定するフォレンジックの基盤となる。したがって不正プログラムによるログデータ改ざんの脅威があるときに、攻撃の実体を正確に把握する観点でログデータ保全は重要である。本発表では、この課題に対して、小規模IoTノードの不揮発メモリ制約を考慮した一方向カウンタとMACの組み合わせに基づく論理タイムスタンプの適用を提案する。
2B1-2
無害化情報の自動抽出を目的としたIoTマルウェアの静的解析
○三須剛史(株式会社セキュアブレイン)、岩本一樹(株式会社セキュアブレイン)、奥村吉生(株式会社セキュアブレイン)、高田一樹(株式会社セキュアブレイン)、吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院)
IoT機器の急速な普及に伴い,IoTマルウェアが出現した.また,IoTマルウェアの亜種も大量に存在し,多くのIoT機器が感染しているため,対策が急務となっている. 我々はこれまでに, IoTマルウェアBashliteを対象としてプロセスの終了を促すコマンド(キルコマンド)を自動抽出し,抽出したキルコマンドを用いて,Bashliteのプロセスを終了する実験を行なった. 本稿では,Bashlite以外のIoTマルウェアに対してもキルコマンド等の無害化情報を自動抽出し,感染したIoT機器を無害化する手法を静的解析により調査した結果を報告する. 実験では,初めにIoTマルウェアに含まれるランタイムライブラリの特定を行なった.次に,解析者が静的解析を行う検体を選ぶ際の参考とするために, 制御フロー解析の結果を基にIoTマルウェアの分類を行い,分類したクラスタから無害化情報に着目して数検体を解析した.最後に,解析した結果を参考にして自動抽出スクリプトを作成し,検体から無害化情報を抽出した.また,抽出した無害化情報を用いて,解析した検体に対して無害化を試みた. その結果,無害化可能な検体も存在した一方で単純にプロセスを終了しただけでは無害化ができない検体も存在することがわかった.
2B1-3
消費電力波形を用いたLOFによるデバイス異常検知
◎西澤 誠人(早稲田大学)、木田 良一(株式会社ラック)、戸川 望(早稲田大学)
半導体技術ならびに通信技術の発展により,電子デバイスは我々の生活に深く浸透した.さらに,近年では,それらのデバイスをネットワークに接続するIoT(Internet Of Things)の技術が注目されている.IoTはデバイスのネットワークを通しての操作が可能なため,非常に利便性が高い一方で悪意ある第三者による攻撃対象と成り得る.そのため,第三者による攻撃をどのように検知するかが課題となっている.本稿では,デバイスの消費電力波形に着目し,LOF(Local Outlier Factor)を適用することで第三者による攻撃を検知する手法を提案する.提案手法では,検知対象のデバイスの動作状態を認識し,消費電力波形をLOFでクラスタリングすることにより,稀に発生する異常動作を検知する.異常動作として,稀に鍵長が変更されてしまうAES暗号化をArduino Uno上に実装し,検知手法を適用した.検知手法適用の結果,実装された正常,異常動作の検知に成功した.
2B1-4
Zero Trust Security Model for Modern Supply Chain Towards Society 5.0
○Haibo Zhang(Department of Informatics, Kyushu University)、Kouichi Sakurai(Department of Informatics, Kyushu University)
Supply chain 4.0 was coined with the emergence of Industry 4.0 systems coming with more diversities, opportunities and challenges. Industry 4.0 considers a separation between humans and machines, and ignores connections among advanced technologies with human thoughts. For better extract all benefits from both humans and machines, more research points are moving to Society 5.0. Supply chain with Society 5.0 will become a more intelligent, more flexible, more collaborate with participants. In this paper, we discuss applying trust methodology to supply chain 4.0 for better enhancing the security level within a trustworthy environment. We firstly analyze existing security vulnerabilities and cyber threats in modern supply chains, especially arising from the embedment of information technologies, such as internet of things, RFID technology, cloud computing, edge computing, blockchain technology and more. We then introduce the application of zero trust security model to supply chain systems simultaneously working with blockchain, and several related works. Finally, we provide further thinking about how researchers can improve this research topic with solving existing security issues and move to more potential directions.

2C1 クラウドセキュリティ(1) 1月20日(水) 9:20-10:40
座長:花谷嘉一(東芝)
2C1-1
企業間でやり取りするデジタルデータの真正性を保証するTrust as a Service(TaaS)
○中村洋介(株式会社富士通研究所)、小嶋陸大(株式会社富士通研究所)、角田忠信(株式会社富士通研究所)、矢崎孝一(株式会社富士通研究所)、山本大(株式会社富士通研究所)、二村和明(株式会社富士通研究所)
ニューノーマルでは、企業間でやり取りするデジタルデータの真正性を保証する事が重要となる。データの真正性を保証する手段としてデジタル署名を用いる方法があるが、秘密鍵の厳重な管理や業務/取引相手によって異なるクラウドサービスを利用する必要がある、など利用者に負担を強いることが課題である。そこで本稿では、利用者のクライアント端末と日々の業務で使用するクラウドサービスを仲介し、クラウドサービスのユーザーインタフェースを変えることなく、デジタルデータに個人ごとのデジタル署名を自動的に付与する事でデータの真正性を保証する技術であるTrust as a Service(TaaS)を提案する。
2C1-2
クラウドサービスを用いたユーザの効率的な認証手法 ~Trust as a Serviceにおける透過的トラスト付与~
○矢崎 孝一((株)富士通研究所)、中村 洋介((株)富士通研究所)、角田 忠信((株)富士通研究所)、小嶋 陸大((株)富士通研究所)、山本 大((株)富士通研究所)、二村 和明((株)富士通研究所)
テレワークの普及に伴い、今まで担保できていたデータの正当性が失われ、それによって詐欺事件の増加が危惧されている。TaaS(Trust as a Service)を導入することで手間なく署名などのメタ情報をデータに埋め込み、失われたトラストをデータに付与することが可能となる。これを実現するためには、ユーザの手間を増やさずに利用者認証を行う必要があり、本提案では、それを解決する手法を提案する
2C1-3
複数メッセージへの署名と逐次的鍵集約に対応したマルチシグネチャ~Trust as a Serviceにおける業務プロセス保証1~
◎小嶋陸大(株式会社富士通研究所)、山本大(株式会社富士通研究所)、矢崎孝一(株式会社富士通研究所)、中村洋介(株式会社富士通研究所)、角田忠信(株式会社富士通研究所)、二村和明(株式会社富士通研究所)
Maxwellらが提案したマルチシグネチャでは、署名の集約だけではなく検証鍵の集約という機能が追加された。 しかし提案中では、複数のメッセージに署名されたマルチシグネチャに対し、集約検証鍵による検証は対応されていない。 本論ではTrust as a Serviceでの利用を想定し、複数メッセージへの署名と鍵集約両方に対応するマルチシグネチャ、及び鍵更新の課題を解決する逐次的鍵集約を提案する。
2C1-4
カメレオンハッシュを用いた業務プロセス実行証明方式 ~Trust as a Serviceにおける業務プロセス保証2~
○角田 忠信(株式会社富士通研究所)、二村 和明(株式会社富士通研究所)、山本 大(株式会社富士通研究所)、矢崎 孝一(株式会社富士通研究所)、小嶋 陸大(株式会社富士通研究所)、中村 洋介(株式会社富士通研究所)
本稿ではTaaS (Trust as a Service) の利用シーンの1つとして、電子契約サービスを取り上げる。我々は電子契約サービスの高信頼化を実現するための業務プロセス保証機能を提案する。本稿で提案する手法は、カメレオンハッシュを用いた業務プロセス検証方式によって、ビジネス文書の作成から署名までの一連の作業を本人により実行されたことを証明し、電子契約サービスにおける電子署名の法解釈に則った文書の真正性を示すことを可能にする。

2D1 サイドチャネル攻撃(2) 1月20日(水) 9:20-10:40
座長:本間尚文(東北大学)
2D1-1
トランジスタの残留電荷がサイドチャネルリークに及ぼす影響
○汐﨑 充(立命館大学)、菅原 健(電気通信大学)、藤野 毅(立命館大学)
サイドチャネル攻撃対策回路を設計するにあたってリークモデルを構築することは極めて重要である.Hamming-weight (HW) / Hamming-distance (HD)モデルは一般的なリークモデルとして知られており,これらのモデルに基づいて様々なサイドチャネル対策手法が提案されてきた.一方,2012年にHW/HDモデルでは表せない電流経路リークと呼ばれるサイドチャネルリークが指摘され,その後に電磁界解析により測定できることが報告された.この電流経路リークの対策としてミラー回路が提案されているが,本論文ではミラー回路が対策として不十分であることを報告する.このリーク要因はトランジスタ間の残留電荷であり,これまでのリークモデルでは表せない新たなリークであると共に,数クロックに渡って論理ゲートの状態を残す特徴を有する.まず残留電荷リークが実際にミラーXOR回路で測定できることを実証する.そして,残留電荷リーク対策を適用したIO-Masked Dual-Rail ROM (MDR-ROM) AESと適用していないMDR-ROM AESの攻撃耐性を比較して,残留電荷リークの脅威について議論する.
2D1-2
ALU内部のビット非独立なリーケージのシミュレーション評価
◎浅野多聞(電気通信大学)、菅原健(電気通信大学)
マスキングを用いたサイドチャネル攻撃への対策が進んでいる.なかでもBartheらによる乗算アルゴリズムのソフトウェア実装は,シェアの全要素を同一の汎用レジスタに保存する手法(シェア・スライシング)で効率的な計算が可能となっている.シェア・スライシングによるBartheらの乗算アルゴリズムの実装が安全であるためには,レジスタ内の各ビットが独立にリークすることが必要である.それに対しGaoらは,この前提条件を破るビット非独立なリーケージが,ARMプロセッサにおいて生じることを実験により明らかにした.ビット非独立なリーケージは一部のシフト命令において生じることから,バレルシフタに原因があると考えられている.しかし,ARMプロセッサの詳細な内部構造が明らかでないため,原因の特定には至っていない.そこで本研究では,オープンソース実装のRISC-Vプロセッサを対象に,論理シミュレータを用いたリーク評価を行い,ビット非独立なリーケージが再現することを示す.また,計測対象部を変更したシミュレーションによりシフタに原因があることを裏付けるとともに,加算器もまたビット非独立なリーケージを生じることを示す.
2D1-3
サイドチャネル攻撃の並列実装におけるシステムノイズの評価: 遺伝的アルゴリズムとの比較
◎工藤黎(電気通信大学)、菅原健(電気通信大学)、崎山一男(電気通信大学)、原祐子(東京工業大学)、李陽(電気通信大学)
相関電力解析(CPA)は部分鍵毎に鍵復元を行うサイドチャネル攻撃(SCA)である.CPAを並列実装されたAESのS-boxに実行する場合,解析対象外バイトの漏洩情報はシステムノイズとして扱われ,鍵復元精度が著しく低下する.Zhangらは並列実装において電力消費,中間状態間の相関係数と既知部分鍵数との比例関係から,正解鍵探索を鍵候補相関係数の最適化問題へ変換し,CPAと遺伝的アルゴリズムを組合せたSGA-CPAを提案した.さらにDingらはSGA-CPAを改良し,大規模なS-boxを利用するAESにより適したMS-CPAを提案した.但しAIを利用したSCAは従来手法より高精度の鍵復元が可能である一方,モデルのスキームが複雑かつ計算量が膨大という問題がある.本稿では,CPAの実行結果から部分鍵の相関係数順位を利用した鍵候補抽出を行い,生成された新たな鍵候補の正解鍵同士が互いの鍵復元を助け合うことで,システムノイズを克服する相互補助型相関電力解析(MA-CPA)を提案する.MA-CPAはMS-CPAと比較して,成功率と計算量のトレードオフを考慮した上で鍵復元成功率90%に到達し,かつ10%以下の計算量で実行可能であることを示す.
2D1-4
マスキングを行う実装のための代数的分解法について
○廣瀬勝一(福井大学)
サイドチャネル攻撃に対する有効な対策として,秘密分散を利用したマスキングと呼ばれる手法が提案されており,特に,ブロック暗号のマスキングを行う実装(マスク実装)に関する研究が盛んになされている。マスク実装の問題点は,マスキングを行わない実装に対して,乗算回数がマスキング次数の2乗に比例して増加することである。ブロック暗号について,この問題に対する直接的なアプローチは,Sボックスの計算に必要な乗算回数を削減することである。2015年にCarletらにより提案されたもう一つのアプローチは,Sボックスを代数次数の小さい多項式を用いて表すことである。本稿では後者のアプローチについて代数次数の小さいある限られた多項式を用いることを提案する。本稿ではこの多項式を一般化乗算多項式と呼ぶ。一般化乗算多項式には,通常の乗算に対するマスキング手法が適用できる。このマスキング手法は,Carletらにより提案された代数次数の小さい多項式に対するマスキング手法よりも効率が良い。本稿ではさらに,4, 6, 8ビット入出力の置換について,マスク実装における本稿で提案する分解法の有効性を示す計算機実験結果について述べる。

2E1 ブロックチェーン(1) 1月20日(水) 9:20-10:40
座長:花岡 悟一郎(産業技術総合研究所)
2E1-1
スマートコントラクトを用いたプライバシー保護集金システム
◎藤谷 知季(筑波大学/情報通信研究機構)、江村 恵太(情報通信研究機構)、面 和成(筑波大学/情報通信研究機構)
一色らにより提案された, グループ署名を用いたID管理手法において, サービス提供者はユーザが正当な利用者であることのみを検証しサービスを提供するため, サービス提供者がそれ以外の情報を得ることはない.そのため, 近年の企業や官公庁等における個人情報の流出対策として期待を集めている. 一色システムではグループ署名の開示機能によりサービス利用者を特定することで集金を行うとしているが, 特定されたユーザが料金を支払わない可能性がある. そこで本論文では,スマートコントラクトを用いた強制的に料金を徴収可能なプライバシー保護集金システムを提案する. 一色システムにて用いられるグループ署名はブロックチェーンのような非中央集権システムには適さず, そのため提案システムではアカウンタブルリング署名を採用する. サービス提供前にスマートコントラクトに保証金を設定した上で一色システムを実行する. 通常通り集金に応じた場合はユーザにそのまま返金する一方, 集金に応じない場合には保証金をスマートコントラクトによって強制徴収する.さらにEthereum上での実装・評価を行い,本手法が有効であることを示す.
2E1-2
Payment Trees: Low Collateral Payments for Payment Channel Networks
◎Maxim Jourenko(東京工業大学)、Mario Larangeira(東京工業大学, IOHK)、Keisuke Tanaka(東京工業大学)
The security of blockchain based decentralized ledgers relies on consensus protocols executed between mutually distrustful parties. Such protocols incur delays which severely limit the throughput of such ledgers. Payment and state channels enable execution of offchain protocols that allow interaction between parties without involving the consensus protocol. Protocols such as Hashed Timelock Contracts (HTLC) and Sprites (FC'19) connect channels into Payment Channel Networks (PCN) allowing payments across a path of payment channels. Such a payment requires each party to lock away funds for an amount of time. The product of funds and locktime is the collateral of the party, i.e., their cost of opportunity to forward a payment. In the case of HTLC, the locktime is linear to the length of the path, making the total collateral invested across the path quadratic in size of its length. Sprites improved on this by reducing the locktime to a constant by utilizing smart contracts. We propose the Payment Trees protocol that allows payments across a PCN with linear total collateral without the aid of smart contracts. A competitive performance similar to Sprites, and yet compatible to Bitcoin.
2E1-3
鍵紛失時における非常ボタン式資産退避手法の考察
○松崎 なつめ(長崎県立大学)、喜多 義弘(長崎県立大学)
本論文では,暗号資産の鍵管理,特に秘密鍵の紛失対策について考察する.暗号資産交換業者やカストディ業者に秘密鍵を預けることにより,鍵紛失や鍵漏洩に対する一定の安全性は確保されるが,一方,個人での安全な鍵管理は未整備である.一般には鍵を紛失すれば手立てがないと考えられ,リスクを最小限とするために暗号資産の分散管理が推奨されている.本論文では,鍵紛失の非常時に起動するスマートコントラクトを「非常ボタン式」と称して提案し,その有用性について考察する.
2E1-4
耐タンパー仮定に基づくオフライン・スマートコントラクトの研究
◎松本彩花(情報セキュリティ大学院大学)、大塚玲(情報セキュリティ大学院大学)
スマートコントラクトは,実行時のガス消費による手数料やP2Pへのトランザクション承認までのレイテンシが高いなどの課題がある.近年,これらに対し,TEEをブロックチェーンに適用したハイブリット技術Ekidenが提案されている.Raymond et al.が提案する手法は,スマートコントラクト実行をTEE内で行い,総計算量を軽減し,ガス手数料削減やレイテンシの低下に成功している.スマートコントラクトの実行アーキテクチャを見直し,ブロックチェーン全体で実行可能なスマートコントラクト総量を拡大させることが重要である.そこで,Ekidenでは信頼できる耐タンパーデバイスを導入し,実行可能なスマートコントラクト総量を大幅拡大に成功している.ただし, TEEの内部状態がブロックチェーンに含まれたことを示す証明にブロックチェーン断片を利用することから,確認までに長時間を要する問題がある.本論文では,耐タンパーデバイスとしてTEEとスマートフォンで利用可能なGlobal Platform仕様のセキュアエレメント(SE)を仮定し,SE状態のブロックチェーンへの反映にOptimisticな手法を導入し,証明に要する時間を大幅に短縮し,オフラインで迅速にスマートコントラクトを実行できるプロトコルについて考察する.

2F1 物理的暗号(1) 1月20日(水) 9:20-10:40
座長:水木敬明(東北大学)
2F1-1
視覚復号型秘密分散法における任意の改ざんを検知する手法
◎根岸奎人(電気通信大学)、渡邉洋平(電気通信大学 / 産業技術総合研究所)、岩本貢(電気通信大学)
視覚復号型秘密分散法(VSSS)における任意の改ざんを検知する手法について議論する. 秘密画像をn個のシェア画像に分散し,そのうちの任意のk個のシェア画像を重ねることで元の秘密画像を復元する方法を(k,n)しきい値VSSSと呼ぶ.Horngらは,ある(2,n)しきい値VSSSはある種の改ざん攻撃に対して脆弱であると指摘し,それに対する対策を提案した.しかしながら,任意の秘密画像から任意の偽装画像へ改ざんする事を考えた時,Horngらの対策では,以下2つの課題がある.第一は,白ピクセルから黒ピクセルへの改ざんを検知することができない点である. 第二は,秘密画像の白と黒のピクセルは,それぞれまとまって配置されていることを暗黙のうちに要請しているため,改ざん検知が機能する秘密画像が限定されている点である. 本研究では,2種類のVSSSの構成を提案する. 1つ目の構成は,1番目の課題を解決するものであり,2つ目の構成は,1番目と2番目の両方の課題を解決するものである. 2つ目の構成により任意の秘密画像から任意の偽装画像への改ざんを検知することが可能である.
2F1-2
時間ドロボー問題に対する健全性誤りのない物理的ゼロ知識証明
◎初貝 恭祐(電気通信大学)、安部 芳紀(電気通信大学)、中井 雄士(電気通信大学)、品川 和雅(電気通信大学 / 産業技術総合研究所)、渡邉 洋平(電気通信大学 / 産業技術総合研究所)、岩本 貢(電気通信大学)
時間ドロボー問題とは, 各面がn色のいずれかで塗られたn個のサイコロが与えられ, それらを各側面にn色が揃うように一列に積み上げるパズルである. 2013年に上田, 西村は時間ドロボー問題に対するカードを用いたゼロ知識証明プロトコルを提案した. このプロトコルは, 時間ドロボー問題の答えを知る証明者が, 解答情報を漏らすことなく, 「出題された問題には解答が存在すること」を検証者に納得させるプロトコルである. このプロトコルは解答の存在しない問題に対して検証者が受理してしまう事象(健全性誤り) が最大1/2の確率で生じる問題がある. そこで本稿では上田らのプロトコルを応用し, カードに加えてハサミや立方体を利用することで健全性誤り確率0を実現するプロトコルを提案する. 提案プロトコルは, 2009年にGradwohlらによって提案された, 数独に対する物理的ゼロ知識証明プロトコルにおける, ハサミでカードを切ることでカード配置を明かさずに複製するアイディアを利用している.
2F1-3
秘匿置換を用いたカードベースしきい値関数プロトコル
◎中井 雄士(電気通信大学)、徳重 佑樹(電気通信大学)、岩本 貢(電気通信大学)、太田 和夫(電気通信大学 / 産業技術総合研究所)
トランプなどの物理的カードを用いて秘密計算を行う暗号技術をカードベース暗号という.従来の実現法の多くは,すべての操作を(テーブル上などで)公開することを仮定した操作モデルを前提としており,このモデルではn-bit入力のプロトコルには最低2n枚のカードが必要となる.一方,MarcedoneらおよびNakaiらはそれぞれ独立に,プライベートな操作「秘匿置換」を許した新たな操作モデルにおいて,2n枚よりも少ないカードを用いてプロトコルを構成できることを示した.本論文では秘匿置換を用いた操作モデルにおいて、(n-bit入力の)しきい値関数プロトコルをn+1枚のカードで実現する方法を提案する.提案方式は,Nakaiらが提案した4枚のカードで行う3入力多数決プロトコルをベースとする.しきい値関数プロトコルを実現するため,まず3入力多数決プロトコルが入力数に関して一般化できること,つまりn入力多数決プロトコルへ拡張できることを示す.次に任意のしきい値関数プロトコルを,このn入力多数決プロトコルへの帰着により構成する.n入力多数決プロトコルへの帰着は,しきい値関数の性質を利用し,入力値が固定されたダミーのプレイヤを置くことで実現する.
2F1-4
Card-based Cryptographic Protocols Using Private Operations Against Malicious Players
○Yoshifumi Manabe(Kogakuin University)、Hibiki Ono(Kogakuin University)
This paper shows new card-based cryptographic protocols using private operations that are secure against malicious players. Physical cards are used in card-based cryptographic protocols instead of computers. Operations that a player executes in a place where the other players cannot see are called private operations. Using several private operations, calculations of two variable boolean functions and copy operations were realized with the minimum number of cards. Though the private operations are very powerful in card-based cryptographic protocols, there is a problem that it is very hard to prevent malicious actions during private operations. Though most card-based protocols are discussed in the semi-honest model, there might be cases when the semi-honest model is not enough. Thus, this paper shows new protocols that are secure against malicious players. We show logical XOR, logical AND, and copy protocols, since we can execute any logical computations with a combination of these protocols. We use envelopes as an additional tool that can be easily prepared and used by people.

2A2 楕円・超楕円曲線暗号 1月20日(水) 11:00-12:20
座長:鈴木幸太郎(豊橋技術科学大学)
2A2-1
BLS曲線上のペアリングにおける効率的な最終べき計算方式
◎林田大輝(三菱電機株式会社)、早坂健一郎(三菱電機株式会社)、照屋唯紀(産業技術総合研究所)
ペアリング演算はMiller loopと最終べきの二つの演算からなる.最終べきについては,個々の楕円曲線族に依存したヒューリスティックな手順を含むアルゴリズムがこれまで用いられてきた.本研究では,楕円曲線上に定義されるペアリングの計算における最終べきについて,個々の楕円曲線に依存せず,ヒューリスティックな手順を含まない最終べき計算方式を初めて提案する.具体的には,二つの方式を提案する.一つ目は,円分多項式の構造を利用した従来法を一般化した方式であり,任意の楕円曲線族に適用可能である.二つ目は,斉次円分多項式を利用した,埋め込み次数が$2^m$, $3^n$, $2^m 3^n$ ($n, m \geq 1$)の楕円曲線族に適用可能な方式である.両提案方式により,全てのBarreto-Lynn-Scott (BLS)曲線において効率的な最終べき計算の存在が保証される.特に後者の方式は,対応する全てのBLS曲線に対して既存のアルゴリズムよりも効率的な新しいアルゴリズムを与える.
2A2-2
Co-Z法による高速な事前計算付きスカラー倍算
○川原 祐人(NTTセキュアプラットフォーム研究所)、小林 鉄太郎(NTTセキュアプラットフォーム研究所)
楕円曲線上のスカラー倍算は,楕円曲線暗号やペアリング暗号等で使用される最も重要な関数のひとつである.スカラー倍算の高速実装では,一般的にw-NAF法やSliding Window法を始めとする事前計算付きのアルゴリズムが効果的な計算手法としてよく用いられている.本稿では,Jacobian座標系かつ共通のZ座標を持つ楕円点入力に対して高速な楕円加算であるCo-Z法を利用することにより,新しい高速な事前計算付きスカラー倍算を提案する.提案手法では,事前計算処理において計算する全ての点を共通のZ座標を持つ点に座標変換することで,事前計算処理および評価処理の両方においてCo-Z法を用いた高速な楕円加算が利用できるようにする.本提案手法は,スカラー倍算中の楕円加算の計算コストに影響を与えるため,マルチスカラー倍算などの楕円2倍算と比較して楕円加算の割合が高い状況で特に効果を発揮する.
2A2-3
Revisiting an improvement to the quaternion analogue of the l-isogeny path problems
◎Jo Hyungrok(University of Tsukuba)
The l-isogeny path problems and their variants are considered as the underlying hard problems of Isogeny-based cryptography, one of the main candidates in Post-Quantum Cryptography. In ANTS2014, Kohel, Lauter, Petit, and Tignol presented a probablistic polynomial algorithm (in short, KLPT algorithm) to a mirror-side of l-isogeny path problems in terms of quaternion algebras under the Deuring correspondence. We revisit an improved work of Petit and Smith in MathCrypt2018, which applied Closest Vector Problem (CVP)'s solution to the strong approximation in the main step of KLPT algorithm. This approach minimizes the norm of target elements in an extremal order of the based quaternion algebra, which derives the Cornacchia's algorithm efficiently in the strong approximation step. Even though this generalized KLPT algorithm by Petit and Smith is used in SQI:Sign, suggested in ASIACRYPT2020, their work is accessible in a form of the presentation slide, which provides the limited descriptions of algorithms. We reconstruct the improvements to the quaternion analogue of the l-isogeny path problems specifically, and also suggest some open problems to improve the algorithms using recent CVP's results.
2A2-4
Towards Improving Lattice Attacks on (EC)DSA
◎Chao Sun(Kyoto University)、Thomas Espitau(NTT Secure Platform Laboratories)、Mehdi Tibouchi(NTT Secure Platform Laboratories)、Masayuki Abe(NTT Secure Platform Laboratories)
In the past 30 years, lattice reduction has proved to be one powerful tool of public-key cryptanalysis. Since the advent of the Hidden Number Problem, there has been an extensive study on lattice attacks on (EC)DSA with nonce leakage. For 160-bit (EC)DSA with 3-bit leakage(or more), standard lattice attack works well. However, for 2(or 1)-bit leakage, it becomes much more difficult because the lattice point that we want to find is not very close to the target point. In 2013, Liu and Nguyen attacked 160-bit DSA with 2-bit leakage using BKZ 2.0 with block size 90 and pruning techniques for BDD enumeration. In this paper, we propose an alternative approach to tackle the 2-bit leakage case using BKZ with block size being only 30. The key idea is to guess one more bit for some of the signatures, thus constructing a hybrid lattice. This approach grasps the essence of the problem in the sense that it makes the target point more close to the lattice. With this method, we are able to attack 2-bit leakage case within $2^{24}$ BKZ-30 operations(on a 90-dimensional lattice). Besides, we are the first to justify that even for 1-bit nonce leakage, lattice attack still works with high time complexity($2^{110}$ BKZ-30 operations on a 90-dimensional lattice). Furthermore, our approach is parallelizable, so we can recover the secret key in a short time given a reasonable number of cores.

2B2 共通鍵暗号(2) 1月20日(水) 11:00-12:20
座長:大東俊博(東海大学)
2B2-1
Yoroi: Updatable Whitebox Cryptography
◎Yuji Koike(University of Hyogo)、Takanori Isobe(University of Hyogo)
Whitebox cryptography aims to provide security in the whitebox setting where the adversary has unlimited access to the implementation and its environment. In order to ensure security in the whitebox setting, it should prevent key extraction attacks and code lifting attacks, in which the adversary steals the original cryptographic implementation instead of the key, and utilizes it as a big key. Although recent published ciphers such as SPACE, SPNbox, and Whiteblock successfully achieve security against the key extraction attacks, they only provide mitigation of the code lifting attack by the so-called space hardness and incompressibility properties of the underlying tables as the space-hard/incompressible table is eventually stolen by continuous leakage. In this paper, we introduce a new property, denominated longevity, for whitebox cryptography. This property enhances security against code lifting attacks with continuous leakage by updating incompressible tables instead of the secret key. We propose a family of new whitebox-secure block ciphers Yoroi that has the longevity property on the top of the space hardness. By updating its implementation within the proper period, Yoroi provides constant security against code lifting attacks without key updating. Moreover, the performance of Yoroi is very competitive with existing ciphers implementation in the blackbox and whitebox context.
2B2-2
s-boxの最小NAND構成、特にLowMCの場合について
○青木和麻呂(文教大学)
暗号を実装する上で回路の大きさ消費電力の双方の観点から少ないゲート数で実現することは重要である。本稿では、実際に共通鍵暗号で採用されているs-boxについて、実装最小NAND数がどれくらいになるか検討する。n入力のBoole関数について回路の深さを調べたところ、n=1,2,3,4に対し、3, 3, 5, 6の深さで任意のBoole関数がNAND実装できることが分かった。また、LowMCのs-boxについて調べたところ、14NANDが最小で実現できることが分かった。
2B2-3
AES-NIを用いた効率的なスポンジ構造のラウンド関数の設計
○阪本 光星(兵庫県立大学)、Fukang Liu(兵庫県立大学)、仲野 有登(KDDI総合研究所)、清本 晋作(KDDI総合研究所)、五十部 孝典(兵庫県立大学 / NICT)
FSE 2016 においてJean らはAES-NI を用いた効率的なスポンジ構造のラウンド関数の構成 方法を示した.Jean らはラウンド関数で使用されるAES-NI の数と入力するメッセージ数の比をrate と 定義し,同様の構造を持つ認証暗号AEGIS-128 (rate-5), Tiaoxin-346 (rate-3) よりも高速なrate-2 を実 現し,偽造攻撃に対して128 ビットセキュリティを保証する構成を示した.本稿では,Jean らの示した 構成の再検討を行い,より高速で安全な構成の検討を行う.具体的には,Jean らの示した構成について, ラウンド関数内の同一ブロックにおいてAES-NI とXOR の両方が適用される場合を除外し,AES-NI の みからなる最小構成の検討を行う.この構成に対してactive S-box による偽造攻撃に対する安全性評価 を行い,Jean らの示した1536 ビット(12 ステート) の内部状態を持ちrate-2 である構成よりも高速で内 部状態のビット数が少ない構成の探索を行う.
2B2-4
AVR ATmegaにおける軽量ハッシュ関数Lesamnta-LWのメモリ軽量化実装
◎渡辺優平(住友電工ー産総研サイバーセキュリティ連携研究室)、山本秀樹(住友電工ー産総研サイバーセキュリティ連携研究室)、吉田博隆(住友電工ー産総研サイバーセキュリティ連携研究室)
IoT機器などのリソース制約が厳しい環境へ暗号技術を適用する際に,暗号プリミティブや利用モード,プロトコルといった要素を統合的に検討することが考えられる.こういった考え方の一つとして,ブロック暗号やハッシュ関数,MACなどに応用可能な技術の研究が行われている.そのような技術の一つにISO/IEC29192-5で標準化されている軽量ハッシュ関数Lesamnta-LWがある.Lesamnta-LWは認証暗号やMACへの応用が提案されており,重要な技術であると考えられる.本稿では,IoT機器や車載向け用途で利用されているAVR ATmegaマイクロコントローラ上で軽量ハッシュ関数Lesamnta-LWのメモリ軽量化実装手法を提案する.提案手法を用いてLesamnta-LWおよびLesamnta-LWを利用したTsudik's keymodeの性能評価を行う.汎用標準技術であるSHA-256やHMACとの比較を行い,軽量性を明らかにする.結果として,車載向け用途で利用されているAVRマイクロコントローラ上でTsudik's keymodeはHMACと比べてRAMサイズを約11.3%,ROMサイズを約8.9%,それぞれ削減可能である.

2C2 クラウドセキュリティ(2) 1月20日(水) 11:00-12:20
座長:平野貴人(三菱電機株式会社)
2C2-1
動的データに向けた部分文字列検索可能暗号
◎藤村享平(信州大学)、山本博章(信州大学)、藤原洋志(信州大学)
検索可能暗号とは,暗号化データを暗号化したまま検索するための技術である。その中で、任意の文字列が検索可能な検索可能暗号を部分文字列検索可能暗号と呼ぶ。我々は、安全でコンパクトな暗号化索引の構成を目指し、拡張型ファクターオラクルを用いた部分文字列検索可能暗号を提案した。本論文では、拡張型ファクターオラクルを用いた従来法に対し、拡張ファクターオラクルの構築法を改善するとともに、追加機能を有する動的な部分文字列検索可能暗号を提案する。
2C2-2
正規表現に対する検索可能暗号の改良
◎伊藤天啓(信州大学)、山本博章(信州大学)、藤原洋志(信州大学)
本論文は、正規表現とテキスト文書が与えられたとき、そのテキスト中に出現する正規表現にマッチする文字列を求める問題を考える。この問題に対し、著者らは正規表現から得られる有限オートマトンをブルームフィルタを使って暗号化し、暗号化データを検索する検索可能暗号を提案した。従来法は有限オートマトンを暗号化するときに線形なブルームフィルタを用いていた。本論文は、階層型ブルームフィルタを用いることにより、検索時間を改善した手法を提案する。
2C2-3
VMMによるプログラム実行時のライブラリ情報取得機能の設計
◎伊藤 寛史(岡山大学 大学院自然科学研究科)、中村 徹(KDDI総合研究所/国際電気通信基礎技術研究所)、清本 晋作(KDDI総合研究所)、山内 利宏(岡山大学 大学院自然科学研究科/国際電気通信基礎技術研究所)
利用者が実行したプログラムについて,プログラムの実行環境,実行過程,および実行結果の証跡を残し,検証可能にすることは重要である.プログラムは,脆弱性の悪用や改ざんなどにより,攻撃の標的となる可能性がある.たとえば,ライブラリなどのプログラム実行に関連する要素が悪用される.ここで,プログラム実行に関する証跡がない場合,実行されたプログラムの処理を検証することは困難である.そこで,我々は,仮想計算機モニタ(以降,VMM)による利用者のプログラム実行の証拠保全システムを提案する.提案システムは,プログラム実行に関連した要素を特定する情報を取得する.提案システムの利点として,プログラム実行に関連した要素を特定する情報を取得することで,どのような要素がプログラムの実行処理に関係したか把握できることが挙げられる.また,取得した情報をプログラム実行処理の検証に利用可能である.本稿では,提案システムの設計における課題と対処について述べる.また,プログラム実行に関連する要素として,利用したライブラリを特定する情報の取得方法について述べる.
2C2-4
レンジクエリに対するボリューム漏洩攻撃の改良
◎小谷 俊輔(筑波大学 システム情報工学研究群)、國廣 昇(筑波大 システム情報系)
暗号化データベースに対するレンジクエリの応答ボリュームサイズを観測することにより,データベース全体を復元する攻撃が提案されている.この攻撃では,窓幅bを設定し,幅b以下の全てのクエリ対する応答ボリュームサイズが得られるという仮定のもとでデータの復元を行っている.この手法では,最初に,最大ボリュームサイズを起点とした初期解を生成し,解を反復的に拡張することにより,データベース全体を復元している.この方式では,余計な解を多く候補として残してしまうため,解候補数が膨張してしまう問題点があった.本発表では,窓幅bを2と限定し,データベースカウントが重複していない場合に有効な新たな攻撃を提案する.提案アルゴリズムでは,観測したボリュームサイズをもとに, グラフ理論的なアプローチを用いる.既存手法では,一つの初期解から解の拡張を行っているが,我々の手法では,複数の初期解から解の拡張を行い,解候補数の爆発を回避している.さらに, 実世界のデータベースを対象として, 我々の提案攻撃を実験的に検証し, データベース復元率の評価をおこなう.

2D2 サイドチャネル攻撃(3) 1月20日(水) 11:00-12:20
座長:福島和英(KDDI総合研究所)
2D2-1
スマートフォンのタップ音からの入力内容推測可能性に関する研究(その2)
◎大内結雲(静岡大学)、奥寺瞭介(静岡大学)、塩見祐哉(静岡大学)、大木哲史(静岡大学)、西垣正勝(静岡大学)
あるという脅威に関する研究が複数提案されている.しかし既存の手法は,正規ユーザへの積極的な干渉によりタップ音を入手することを前提としており,能動的な攻撃シナリオといえる.これに対し著者らは,「正規ユーザがスマートフォンにキー入力をする際のタップ音を,攻撃者が外部のマイクで単純に盗聴する」という受動的な攻撃シナリオを想定し,その脅威に関する基礎検討をSCIS2020で行った.その結果,高い精度でキー入力の識別が可能であること,ならびに,単純に攻撃者から距離を取るだけでは,攻撃を防ぎきれない可能性が残ることが判明した.ただしSCIS2020の実験では,攻撃モデルに関する多くの制約が存在しており,1名の実験協力者による限定的な評価となっていた.そこで本稿では,実験条件の制約を一部緩和させるとともに,複数名のタップ音を収集し,著者らのSCIS2020の実験で得た結果の再現性を確認する.さらに,収集した複数名のデータを用いることで,既知のユーザのタップ音で学習した識別器を用いて未知のユーザの入力内容を推定可能であるかを検証する.具体的には,まず,実験環境を防音室から環境音下に移し,7名の実験協力者のタップ音を収集する.そして,各実験協力者に対して,本人を除く実験協力者6名のタップ音で識別器を学習し,その識別器での本人のキー入力に対する推定精度を算出する.また,騒音環境下における識別器の性能を評価することにより,この攻撃に対する防御策の検討に資する.タップ音に対して周辺騒音によるノイズ付加を行い,キー入力推定精度を十分に低下させることのできる騒音環境を探る.
2D2-2
リモートワーク環境におけるスピーカーフォンからの電磁波を通じた情報漏えい評価
◎福嶋 章悟(奈良先端科学技術大学院大学)、藤本 大介(奈良先端科学技術大学院大学)、林 優一(奈良先端科学技術大学院大学)
リモートワークの増加に伴い、スピーカーフォンといった遠隔会議に用いるデバイスの需要が高まっている。スピーカーフォンに入出力される音情報は人が直接知覚する情報のため暗号化が難しいため、音情報が悪意をもって取得された場合、直ちに情報漏えいに結びつく可能性が高い。また、スピーカーフォンに入出力される情報はアナログ信号とディジタル信号の間で電気的に変換されるため、音波としてではなく、電磁波として周囲に漏えいする可能性がある。さらに、リモートワーク環境は多種多様であり、スピーカーフォンを含めた遠隔会議環境も多岐に渡る可能性があり、これが漏えい電磁波の伝搬に影響を与える可能性がある。そこで本稿では、機器からの電磁放射に影響を与える要因となる、機器を設置するための素材、機器の給電の有無に着目し、リモートワーク環境における音情報の電磁波を通じた漏えいの可能性について検討する。
2D2-3
漏えい経路の伝達特性の差異に着目した高解像度ディスプレイに対する電磁的情報漏えい評価
◎荒井公寛(奈良先端科学技術大学院大学)、藤本大介(奈良先端科学技術大学院大学)、林優一(奈良先端科学技術大学院大学)
漏えい電磁波を通じた画面からの情報漏えいは、ピクセル情報を含む信号の強度とその他の信号の強度の比によって情報の取得性が変化する。近年ではディスプレイの高解像度化、色深度の増加により、Laptop PCにおいて映像信号伝送に用いられるLow Voltage Differential Signaling (LVDS)方式では、信号線を複数用意し、ピクセル情報を複数同時に伝送することで伝送速度を向上させている。こうした機器から漏えいする電磁波には同時に伝送される複数のピクセル情報を含む信号が混在しており、情報の取得性が低下するため、従来手法の適用は困難である。そこで本稿では、ピクセル情報が伝送される信号線と漏えい電磁波を受信するアンテナまでの伝達特性が信号線ごとに異なることに着目し、その差を用いてピクセル情報が混在する状況においてもそれらを独立に分離する手法を提案し、高解像度化したディスプレイからも漏えい電磁波を通じた情報取得が可能であることを示す。
2D2-4
塗布剤による個人情報の秘匿性評価
◎畑 碧(電気通信大学)、﨑山 一男(電気通信大学)
高度なデジタル化が進む中でも情報漏洩の半数近くを紙媒体が占めている.身の回りにも 個人情報を含む物は多く存在しており,廃棄する際の処理が正しく扱われていないと個人 情報の漏洩につながる.個人情報漏洩の対策として,廃棄物に含まれる個人情報を保護する ための専用の商品が開発されているが,これらの商品の安全性は定量的に評価されていな い.先行研究では,下絵の上に油性のインクを重ねた状態でハイパースペクトルカメラを使 用することで,油性インクだけを透過させられることが示されている.本稿では,塗布剤の 透過をスマートフォンの編集機能を用いて試みたのち,塗布剤による個人情報の秘匿性評 価を行う.

2E2 ブロックチェーン(2) 1月20日(水) 11:00-12:20
座長:田中圭介(東京工業大学)
2E2-1
ブロックチェーンによる取引の秘匿とその検証についての提案
◎福岡 尊(富士通研究所)、牛田 芽生恵(富士通研究所)、坂本 拓也(富士通研究所)、森永 正信(富士通研究所)
ブロックチェーン技術が開発されて以降,現在までに数多くの仮想通貨およびトークンが開発され,発行,流通している.このような多種類のブロックチェーンの取引を連携することで,より多くの仮想通貨およびトークンを流通させることも可能となる.ブロックチェーンの利点を活かすためには,その連携にも透明性を持たせる必要がある一方で,取引を連携させたデータは為替取引や購買履歴に相当しうるため,そのプライバシーに配慮するニーズが存在すると考えられる.これまでに,単一のブロックチェーンにおいては,取引にまつわるデータをコミットメントとして秘匿した上で,トランザクションの検証を行う方式が提案されてきた.本稿では,二つのブロックチェーンを連携した際の,取引記録の秘匿と,その検証方法について議論する.本稿の貢献は,レートの正当性や取引の本人性を,生データを閲覧することなく,秘匿したまま検証できる方法の提案である.これにより,生データを閲覧できない人物にも,部分的な監査を行わせることを可能にし,秘匿された取引の信頼性をより向上させることができる.
2E2-2
ブロックチェーンを用いた非可読化情報の柔軟な部分開示技術
○牛田 芽生恵(株式会社富士通研究所)、福岡 尊(株式会社富士通研究所)、坂本 拓也(株式会社富士通研究所)、森永 正信(株式会社富士通研究所)
近年,様々なブロックチェーン技術が生まれ,Bitcoinやイーサリアムなどの仮想通貨が世界中で利用されるようになった.ブロックチェーンは台帳に記録された取引記録を公開し,複数の検証ノードが取引記録の正当性を検証することで健全な取引を保証している.しかし,ブロックチェーンの利用が浸透し,人々の生活に根付いたものになればなるほど,この仕組みが個人のプライバシを侵害する恐れがある.ブロックチェーンの中には特定の検証ノードのみが取引の正当性を検証し,検証済みの取引記録はHash化などの非可読化を行い台帳に記録することで,プライバシを保護するものがある.非可読化された取引記録から,実際にある取引がブロックチェーン上で実行されたことを,取引記録の原本を開示することで後から第三者に納得させることができる.しかしこのような方法では,取引記録の真正性を証明するために,利用者はHash値の元となる取引記録のすべてを開示する必要がある. 本論文では,ブロックチェーンを利用した非可読化された取引記録の柔軟な部分開示技術を提案する.台帳に記録された非可読化された取引記録を用いて,取引実行者である証明者が,取引記録の一部分だけを開示したり,取引記録のある値がある特定の範囲に含まれていたり,ある値のリストに含まれていることだけを示すなど,柔軟な開示ができるシステムを提案する.既存技術の応用では,証明者から検証者に送信するデータ量が,非開示項目数mに比例して増加するところを,本論文では,2018年に提案されたBullet Proofsを応用することにより,証明者から検証者に送信するデータ量をO(log(m))に削減する.
2E2-3
Ethereumにおけるスマートコントラクトハニーポット検出のためのSolidityバイトコードを活用した機械学習モデルの検討
◎原 和希(筑波大学/情報通信研究機構)、高橋 健志(情報通信研究機構)、面 和成(筑波大学/情報通信研究機構)
近年,Ethereumプラットフォームを活用したスマートコントラクトが金融,メディア,学術領域などから注目を集めている.その影響により,暗号通貨の窃盗を目的としてスマートコントラクトがサイバー攻撃の標的となるケースが増加している.攻撃手法の一つとして,一見脆弱性を含むように思われるが,バッグドアが存在するコントラクトを意図的に展開することにより,脆弱なコントラクトを狙っている他の攻撃者を誘い込み,暗号通貨を盗み取るという手法が登場している.これはスマートコントラクトハニーポットと呼ばれる.本研究の目的はこのハニーポットの検出を高精度,かつ盗難発生前に防ぐことが可能なモデルを提案することである.そのために我々はSolidityバイトコードに対してTF-IDFによる特徴語抽出,word2vecによる分散表現の学習を行った.その結果,既存研究と比較してハニーポット検出の高精度化を実現した.これによりスマートコントラクトのコード内に含まれる情報がハニーポット検出に有用であることを示す.さらに,この高精度化は既存研究で使用されていた盗難後にのみ入手可能な特徴量を使用せずに実現されており,これによりハニーポットによる被害者を抑えることが期待される.
2E2-4
サプライチェーンマネジメントのための真贋判定を用いた個体識別技術
◎有坂光世(東京理科大学)、金田北洋(長瀬産業株式会社)、岩村惠市(東京理科大学)
現在,サプライチェーンマネジメント(以後SCM)は製品に対してバーコードやRFID等を外付けする形で管理している.しかしながら製品からRFID等を物理的に剥がされてしまった場合は管理ができない状況にある.その解決策の一つとしてデバイス固有の複製困難な性質(PUF:Physical Unclonable Function)を用いたSCMが検討されており,特に半導体チップなどのデバイスに対して真正なデバイスと偽造デバイスを識別するための技術を利用した個体識別システムが考案されている.しかしPUF技術はデバイス固有の微細な物理的特徴を扱うため,Fuzzy Extractorを用いてノイズを除去する等回路が増大し,実用化にはかなりの難点が残る.さらに,PUF技術を扱う事の出来る対象も限られている.本研究ではそれらの課題を克服した新しい真贋判定を用い,PUF技術が確立されていないデバイスや物質に対してもPUFと同等の機能を実現しながら行うSCMを実現した.

2F2 物理的暗号(2) 1月20日(水) 11:00-12:20
座長:真鍋義文(工学院大学)
2F2-1
怠惰なユーザのための非コミット型カードベース暗号
○須賀祐治(株式会社インターネットイニシアティブ)
非コミット型カードベース暗号において怠惰なユーザを考える.最も知られた非コミット型カードベース暗号である Five card trick は2者間の秘密計算プロトコルであり,2ユーザがそれぞれ入力したバイナリ値a,bのANDを算出することができる.プロトコルに参加する各ユーザは赤黒2種1枚ずつのカードを持ち,エクストラな1枚の赤カードを机上に置いた5枚のカードを利用する.バイナリ値入力後,ランダムカット(ぞれぞれ確率1/5のランダム巡回置換)のみで処理が完了するシンプルなプロトコルであり,最終的な結果を得るために5枚全てのカードを開示し3枚の赤カードが並んでいる際に a AND b = 1 であるとプロトコル参加者および傍観者が読み取ることができる. これらの一連の処理においてめんどくさがり屋はどう考えるだろうか.Five card trickでは5枚のカードのランダムカットを行ったのち全てのカードを並べて開示するが,精根尽き果ててこの作業さえも億劫になる.また,ランダムカット直後のカードが束になった状態から並べ直して表にする操作を,マジシャンが扱うようにカード束を表にして綺麗に横に広げる操作である「スプレッド」を行うことはより簡便にはなるが,何か細工をされたように見えるため望ましくない. 本稿ではカード束の状態から一部のカードしか開示せずとも結果が分かるかどうかについて考察する.例えばFive card trickでは3枚一斉開示では結果を確定的に得ることはできないが,逐次開示の場合には3枚開示すれば最終結果を読み取ることができる.さらにSix card trickにおいて,この「一部開示」という考え方が効いてくる実装事例とその効用についても紹介する.
2F2-2
トランプカードを用いる3入力ANDと多数決プロトコル
◎小山寛人(東北大学)、宮原大輝(東北大学/産業技術総合研究所)、水木敬明(東北大学)、曽根秀昭(東北大学)
物理的なカードを用いてマルチパーティ計算を行うプロトコルをカードベース暗号プロトコルと言う.これまで構成されてきたカードベース暗号プロトコルの多くは(市販されていない)2色カードを用いている一方,NiemiとRenvallは1999年にトランプカードを用いて2入力の計算を実現するプロトコルを構成した.以来,トランプカードを用いて論理演算を行うプロトコルがいくつか研究されているが,3入力の論理演算を直接行うプロトコルは未だ提案されていない.そこで本稿では,6枚のトランプカードを用いた3入力AND及び3入力多数決プロトコルを提案する.これらの成果は, 既存の2入力プロトコルを用いて3入力の論理演算を実行する場合に比べ,大幅にカード枚数やシャッフル回数を改善している.特にカード枚数については,いずれのプロトコルも2枚のカードを用いて1ビットを入力をする場合では最小の枚数である.
2F2-3
カードベースソートプロトコル
◎篠田悠斗(東北大学)、宮原大輝(東北大学/産業技術総合研究所)、品川和雅(電気通信大学/産業技術総合研究所)、水木敬明(東北大学)、曽根秀昭(東北大学)
様々な物理的な道具を用いた秘密計算プロトコルが提案されている.その中でも,カード組を用いて計算を行うカードベース暗号は,AND関数などの基本演算から金持ち比べやランキング計算などの応用的な計算に至るまで,ある一つの計算に特化したプロトコルが考案されてきた.本稿では,様々な計算へ応用可能な「カードベースソートプロトコル」を提案する.すなわち,カード列で表された複数の入力を,値の大小に従って情報を漏らさずに並べ替えるプロトコルを与える.本プロトコルを用いると,多入力の基本演算に加え,オークションなどの応用計算も実現できる.本稿では本プロトコルの構成を示した後に,しきい値関数の秘密計算とオークションの実現に対する応用方法を具体的に示す.
2F2-4
2つのグラフ問題に対する物理的ゼロ知識証明
◎羽田大倫(東北大学)、宮原大輝(東北大学/産業技術総合研究所)、水木敬明(東北大学)、曽根秀昭(東北大学)
ゼロ知識証明とは検証者に対して証明者の持つ命題が真であることを,真であること以外の情報を漏らさずに証明する手法である.本稿では,グラフ3彩色問題とグラフ同型問題に対してカード組を用いた物理的ゼロ知識証明プロトコルを提案する.提案するカード組を用いたプロトコルは,専門的知識を持たなくとも実行できゼロ知識証明の原理を理解しやすい.また,グラフ問題に対する既存の物理的ゼロ知識証明プロトコルでは健全性エラーが存在するが,本提案プロトコルでは健全性エラーが存在しない.

2A3 格子暗号 1月20日(水) 13:40-15:20
座長:國廣 昇(筑波大学)
2A3-1
格子基底の順序変更によるENUMの計算量削減の考察
◎山村 和輝(北陸先端科学技術大学院大学)、王 イントウ(北陸先端科学技術大学院大学)、藤崎 英一郎(北陸先端科学技術大学院大学)
格子暗号は最短ベクトル問題(SVP)の困難性に安全性の根拠を置いている. SVPの求解アルゴリズムの代表的なアルゴリズムの一つとして格子点探索アルゴリズム(ENUM)が知られているが, 計算量が2^O(n^2)と指数時間アルゴリズムなので次元が大きくなると現実的な時間で実行が止まらない. 本稿ではENUMへの入力基底の順序を変更するという極めて単純な操作でENUMの計算量をどれだけ減らすことができるのかを射影格子と双対格子の性質を用いて検証した.
2A3-2
LWE問題に対するBKZアルゴリズムのブロックサイズに関する考察
◎竹茂 周(防衛大学校理工学研究科)、小菅 悠久(海上自衛隊)、田中 秀磨(防衛大学校情報工学科)
耐量子暗号を構成する上で,LWE問題を安全性の根拠とする暗号方式は最も注目されている.LWE問題に対し有効な解法としてBKZアルゴリズムがあり,この中で使用するブロックサイズが計算量を決定している.2016年にAlkimらは効果的なブロックサイズの条件を提案している.この条件は複数の仮定に基づいて導出されているため,いくつかの検証実験が行われている.その1つにAlbrechtらの2017年の先行研究があり、Alkimらの条件に従ったブロックサイズを用いた場合、高い確率で解が決定できることが確認されている.また,Alkimらの条件よりも小さいブロックサイズを用いた場合は,成功確率が低くなることが示されている.本稿では,Albrechtらの先行研究よりもLWE問題の次元とエラーベクトルの標準偏差の組み合わせを増やした場合について,General Sieve Kernel(G6K)を用いて計算機実験を行った。実験には,LWE問題求解コンテストDarmstadt LWE Challengeで公開されている問題を引用した.実験の結果,Alkimらの条件を満たさないより小さいブロックサイズを用いた場合でも求解に成功することが確認できた.本稿では,Alkimらが提案した条件が前提としている仮定の正確性に関する考察を述べる。
2A3-3
LWR問題に対するBai-Galbraith埋込法の格子に現れる最短ベクトル
◎上村周作(東京大学大学院)、福島和英(KDDI総合研究所)、清本晋作(KDDI総合研究所)、工藤桃成(東京大学大学院)、高木剛(東京大学大学院)
現在普及している公開鍵暗号であるRSA暗号や楕円曲線暗号は, 量子計算機による攻撃により多項式時間で解読されることが知られている. そのため, 量子計算機による攻撃にも耐性を持つ公開鍵暗号(耐量子計算機暗号)が求められており, アメリカ国立標準技術研究所 (NIST) によって標準化プロジェクトが進められている. NIST 標準化計画の第3ラウンド最終候補として, Learning With Rounding (LWR) 問題の困難性を基にした格子暗号SABERがある. LWR問題は, Learning With Errors (LWE) 問題の変種であり, LWE問題の解法を適用した際の求解困難性により評価される. 本研究では, LWE問題の解法として知られるBai-Galbraith埋込法をLWR問題に適用した際に構成される格子において, LWE問題の場合とは異なる最短ベクトルが存在することを示す. さらに, LWR問題の場合には得られるベクトルがLWE問題と異なる場合があることを数値実験により確認し, その確率に関する分布や下限についての議論を行う.
2A3-4
Optimal DeepLLL系基底簡約の停止性の証明と計算量評価
◎小田川 拓利(東京大学)、縫田 光司(東京大学/産業技術総合研究所)
格子の基底の簡約のためにLLLやDeepLLLといったアルゴリズムが用いられてきた.そしてDeepLLLの多項式時間の代替アルゴリズムとしてPotLLL(Fontein et al., 2014)やS2LLL(Yasuda and Yamaguchi, 2019)が考案された.PotLLL,S2LLLではパラメータδが1より小さいときに計算量の評価がされているが,出力がより簡約されたものであると保証されるδ=1の場合には停止性さえ示されていなかった.そこで我々はδ=1の場合に,これらのアルゴリズムが有限ステップで停止することを示す.また,その証明を利用して1-DeepLLL,1-PotLLL, 1-S2LLLの計算量が(Mn)^O(n^2)/vol(L)^nに抑えられることを示す.ここでMはフルランク格子の基底ベクトルのユークリッドノルムの最大値でありnは次元,vol(L)は格子の体積である.
2A3-5
代数構造を持つ格子上の最短ベクトル探索アルゴリズムの開発
◎中邑聡史(NTTセキュアプラットフォーム研究所)、安田雅哉(立教大学)
現在進行中のNISTによる耐量子暗号の標準化では, 格子問題であるLWEの亜種を安全性の根拠とする方式がファイナリストとして残っている. 本稿では, 研究課題の一つであるLWE問題とその亜種とされるRing-LWEやModule-LWEに差分がないかを明らかにする第一歩として, 代数構造を持った格子における攻撃手法を提案する. 具体的には代数構造を持つ格子でのみ許される基底変換であるrotation操作を効率的に用いることができるSieveと数え上げアルゴリズムであるEnumを組み合わせた手法の提案, 及びその実験結果を報告する.

2B3 共通鍵暗号(3) 1月20日(水) 13:40-15:20
座長:伊藤竜馬(NICT)
2B3-1
NIST軽量暗号第2ラウンド候補のソフトウェア実装に向けた調査
◎日良 僚太(電気通信大学)、李 陽(電気通信大学)、原 祐子(東京工業大学)、崎山 一男(電気通信大学)
限られた資源制約下でセキュリティを強化するため,軽量暗号アルゴリズムの必要性が高まっており,米国標準技術研究所(NIST)によって軽量認証付き暗号の標準化が進められている.NISTで選定中の第2ラウンドには32候補あり,暗号アルゴリズムの構造,パラメータ,演算の違いがソフトウェア実装に与える影響を明らかにする必要がある.本稿では,軽量暗号アルゴリズムの32候補に対して,仕様書とソフトウェア実装による調査を行い,各候補を比較し,考察・議論する.本調査の結果,パラメータや演算の違いにより,レイテンシとメモリ使用量に差がみられた.メモリ使用量はROM使用量にのみ差がみられ,RAM使用量に差はみられなかった.
2B3-2
AES鍵スケジュールからの固定ビット数漏洩を用いた鍵復元アルゴリズムの性能評価
◎植村友紀(電気通信大学)、渡邉洋平(電気通信大学 / 産業技術総合研究所)、李陽(電気通信大学)、三浦典之(大阪大学)、岩本貢(電気通信大学)、崎山一男(電気通信大学)、太田和夫(電気通信大学 / 産業技術総合研究所)
AES暗号に対するプロービング攻撃の脅威を評価するために,UemuraらはISITA 2020にて,コールドブート攻撃のためのTsowの攻撃を応用した,鍵スケジュール復元攻撃を提案した.Uemuraらはその効果を評価するために,Erasure Decay Modelという漏洩モデルを採用した.これは,各ビットが一定の確率で漏洩するモデルである.しかし,このモデルでは鍵スケジュール全体での漏洩量にばらつきがあり,どの程度情報が漏洩すれば鍵が復元可能となるかを正確に評価できていない.本研究では,この問題点を回避するために,鍵スケジュールからの漏洩量が一定であるような漏洩モデルを提案し,このモデルのもとでUemuraらの攻撃の効果を再度評価する.したがって,Uemuraらが提案した鍵スケジュール復元攻撃の脅威をより正確に評価できる.結果として,鍵の漏洩量が13%である場合にはほぼ確率1で鍵を復元でき,一方で鍵の漏洩量が11%である場合には鍵を復元できる確率はほぼ0であることが明らかになった.Erasure Decay Modelにおける性能評価と比べ,復元成功確率がほぼ1となるために必要な漏洩量が減り,またほぼ0となるような漏洩量は増えた.
2B3-3
フォワード安全な認証付きコミッティング暗号
◎山室宏貴(東京工業大学)、原啓祐(東京工業大学/産業技術総合研究所)、手塚真徹(東京工業大学)、吉田雄祐(東京工業大学)、田中圭介(東京工業大学)
認証付き暗号は、メッセージの機密性、及び、メッセージやヘッダーと呼ばれる関連データの真正性を提供する共通鍵暗号である。近年、Grubbsら(CRYPTO’17) は、Facebookにおける安全なend-to-end通信を可能にする、ある種の機能を実現するための基礎暗号技術として、認証付きコミッティ ング暗号を提案した。認証付きコミッティング暗号は、暗号文の一部分をメッセージのコミットメントとして使用する認証付き暗号である。本研究では、現在の秘密鍵が漏洩したとしても、過去の秘密鍵で生成した暗号文の秘匿性が保証できる、フォワード安全な認証付きコミッティング暗号の定義とその構成を提案する。
2B3-4
3ラウンドFeistel-KF構造に対する量子鍵回復攻撃
◎台座 崇規(茨城大学大学院理工学研究科)、黒澤 馨(中央大学研究開発機構、産業技術総合研究所)
古典モデルでは3ラウンドFeistel構造とランダム置換を多項式時間選択平文攻撃によって識別することは不可能であるが、量子モデルではそれが可能となることが知られている。本稿では、量子モデルにおいて、3ラウンドFeistel-KF構造の秘密鍵を求めることができる多項式時間選択平文攻撃を示す。3ラウンドFeistel-KFは、各ラウンドにおいて共通の関数F(x)が用いられ、3ラウンドFeistelのi番目(i = 0, 1, 2)のラウンド関数をF(i番目の鍵 ? x)として与える形によって表される。但し、関数Fは入出力長がnビットの公開ランダム関数であり、3ラウンドFeistel-KFの秘密鍵は(0番目の鍵, 1番目の鍵, 2番目の鍵)である。
2B3-5
Bernstein-Vazirani量子アルゴリズムに基づく周期発見を用いた3ラウンドFeistel暗号に対する量子識別攻撃とその検証
◎八藤後 彬(茨城大学大学院 理工学研究科 情報工学専攻)、米山 一樹(茨城大学大学院 理工学研究科 情報工学専攻)
3ラウンドFeistel暗号の識別攻撃では,古典計算の場合指数時間要するが,量子計算の場合は周期発見を行うSimonの量子アルゴリズムを用いることで多項式時間で解くことができることが知られている.これに対して,Bernstein-Vazirani(BV)量子アルゴリズムを用いて周期発見を行う手法がXie-Yangによって提案されており,Haoらはこれを改良したアルゴリズムを提案し,Simonの量子アルゴリズムと同等の計算量で周期を発見できることを示した.本稿では,Haoらの周期発見をサブルーチンとして用いた3ラウンドFeistel暗号に対する量子識別攻撃を提案する.また,識別攻撃を行う量子回路をPythonフレームワークであるCirq上でシミュレーションを行い,BV量子アルゴリズムに基づく量子識別攻撃の有用性について検証を行う.

2C3 ネットワーク攻撃検知・対策(1) 1月20日(水) 13:40-15:20
座長:須賀祐治(IIJ)
2C3-1
ネットワークセキュリティに向けた悪性ドメイン検知用データセットの構築
鄭 儒謙(大阪大学)、○矢内 直人(大阪大学)、岡村 真吾(奈良工業高等専門学校)
悪性ドメイン検知の研究を行う上でドメインデータの収集は重要な作業であるが、これはデータセットの汎用性などを鑑みると負荷の高い作業であり、また、サイバーセキュリティの情報は要配慮情報であることから非公開であることが多い。本稿では、ドメイン研究に向けた公開利用可能なデータセットを構築する。関連して、どのような特徴量がドメイン検知に重要か考察を行うことで、局所地域のデータによらないような知見も明らかにする。さらに、実際にドメイン分類の参照実装も行うことで、検知アルゴリズムごとの性能の際も確認している。具体的には、収集した10万個の良性ドメインと24126個の悪性ドメインを用いてLightGBM で分類器を参照実装したところ、94.3\% の精度で分類ができた。一方、良性・悪性それぞれ24126 個のドメインのみで分類を行ったところ、全データを使うよりもF1スコアが10\%ほど改善されていた。また、特徴量としてNSレコード数など重要度が高いものに限って分類器を構築したところ、特徴量の次元数が本来収集した量に対し半分に削減されたにもかかわらず、削減される前のものと同程度の精度が達成できた。
2C3-2
多様なネットワークで利用可能な低レイテンシ欺瞞的防御システムの設計と実装
◎竹中 幹(大阪大学)、高野 祐輝(大阪大学)、宮地 充子(大阪大学)
標的型攻撃やゼロデイ攻撃といった高度な攻撃手法は境界型防御と呼ばれる従来の防御技術では防ぐことが難しい.そこでネットワークの侵入に成功した後の攻撃者を騙すことで内部ネットワーク環境を守る欺瞞的防御システムに関する研究が進んでいる.ネットワークにあらゆる機器が接続され,また個々のネットワーク機器の通信量も増加したため,将来的に欺瞞的防御システムは通信量の多い企業の大規模ネットワークやIoTネットワークでも有効に利用できることが望まれる.そのためには,高速かつ効率的,また柔軟にパケットを処理できるシステムの構築が必須である.本研究ではLinuxが提供するeXpress Data Path(XDP)と,Software Defined Networking(SDN)を用いて欺瞞的防御システムLokiの設計と実装を行った.XDPとSDNの技術の利用により多様なネットワークにおいて高速かつ柔軟なシステムの提供を可能とした.本論文ではLokiの設計について説明し,既存研究との比較とシステム適用時の応答速度における性能評価について報告する.
2C3-3
セキュリティ情報検索のためのトピックモデルによるマルチラベリング
◎長田 侑樹(神戸大学)、瀧田 愼(兵庫県立大学)、古本 啓祐(情報通信研究機構)、白石 善明(神戸大学)、高橋 健志(情報通信研究機構)、毛利 公美(岐阜大学)、高野 泰洋(神戸大学)、森井 昌克(神戸大学)
サイバー攻撃の分析では脅威情報や脆弱性情報といったセキュリティ情報が活用される.分析対象の事象に関わるマルウェア名などの具体的なキーワードがあらかじめわかっている場合には一般の検索エンジンで情報を得ることは可能である.しかしながら,分析対象の事象に関連する適当なキーワードをセキュリティオペレーターが想起できない場合や,一般的に認知されているような識別子がまだ存在していない場合には一般の検索エンジンでは良い結果が期待できない.そのような状況においても関連する可能性の高いセキュリティ情報を提示できる検索エンジンの構築を目標として,本稿では検索に使用するマルチラベルを生成するためのトピックモデルと外れ値検出による手法を提案している.そして,2017年から2019年に発行された2386件のセキュリティレポートに対して提案手法を適用することで,特定の話題に絞ったラベル付けが可能になることを示している.
2C3-4
Webサイトの遷移の特徴を用いた悪性サイトへ至る遷移の推定
◎田中翔真(KDDI総合研究所)、松中隆志(KDDI総合研究所)、山田明(KDDI総合研究所)、窪田歩(KDDI総合研究所)
Webブラウジング活動には悪性サイトへ遷移することによるマルウェア感染や個人情報詐取等のリスクが存在する。悪性サイトへ至るまでの遷移と良性サイトへ至るまでの遷移の間には特徴の差異が見られると考えられる。悪性サイトへ至る直前までの遷移の特徴を基にその後の悪性サイトへの遷移を検知することができれば、ユーザに警告を行う等してユーザの保護に活用できる。そこで筆者らは、ユーザ参加型Web媒介型攻撃対策の実証実験によって収集したユーザのWebアクセスログを用いて各ユーザのWebサイトの遷移の再構築を行い、悪性サイトへ至る直前までの遷移と良性サイトへ至る直前までの遷移の特徴の分析を行った。KS検定により両者の分類に有効と思われる特徴を抽出し、機械学習による分類を行った。本稿ではWebサイトの遷移の再構築と特徴分析の詳細、分類器の精度評価及び考察について報告する。
2C3-5
COVID-19に関連するドメイン名の大規模調査
◎河岡 諒(早稲田大学)、千葉 大紀(NTTセキュアプラットフォーム研究所)、渡邉 卓弥(NTTセキュアプラットフォーム研究所)、秋山 満昭(NTTセキュアプラットフォーム研究所)、森 達哉(早稲田大学)
本研究では、905件のトップレベルドメイン配下に登録された2.6億件以上のドメイン名から、COVID-19に関連する新規登録ドメイン名 (以後、Cov19domsと表記) を特定し調査を行った。具体的には、2019年12月末から2020年9月末までに登録された165,185件のCov19domsを対象に、(RQ1) Cov19domsの登録件数とCOVID-19感染拡大の相関はあるか?、(RQ2) Cov19domsを登録する目的は何か?、という主に2つの観点で調査を行った。 今回の調査の結果、(1) 2020年4月ごろに観測された世界的なCOVID-19の感染拡大と同様にCov19domsの登録数も急激に増加しており、興味深いことにその増加はCOVID-19の感染拡大より約1ヶ月先行していたこと、(2) Webコンテンツを提供する有効なCov19domsのうち約70%が医療・ツール・商品に代表されるCOVID-19の関連情報を提供していたこと、(3) 60%以上のCov19domsが悪意のある目的で登録されていること、という3つの事実が明らかになった。

2D3 ハードウェアセキュリティ(1) 1月20日(水) 13:40-15:20
座長:三浦典之(大阪大学)
2D3-1
光演算処理におけるセキュリティリスクと対策
○高橋 順子(NTTセキュアプラットフォーム研究所)、千田 浩司(NTTセキュアプラットフォーム研究所)
本稿では、光の特性を利用して疑似的に論理演算が可能な光演算処理に対するセキュリティのリスクや対策の必要性に関して述べる。近年、光素子を利用した光演算回路で構成される低遅延・低消費電力な光電融合プロセッサの研究が進められている。プロセッサ内で演算処理を行う光演算回路・論理ゲートとして、光パスゲート論理とψゲートが提案されている。これらの光演算回路では、光の干渉を利用した演算が行われることや、光回路の駆動・制御のために電子回路を用いるなど演算原理や構成が電子回路単体の場合と大きく異なる。そのため、光演算回路の特性や構成に依存した新たなセキュリティのリスクがある。本研究では、光論理ゲートを利用した光演算回路の演算処理方法に着目し、新たなセキュリティリスクの有無に関して検討を行った。具体的には、光論理ゲートの駆動を制御する電気回路が意図的に操作されると演算内容が改ざんされることや、光検出器における散乱光の漏洩による情報漏洩のリスクがあることを述べる。上記の対策として、電気回路への改ざん検知機能の実装が必要であることや、散乱光のマスキングをするための実装の必要性を指摘する。
2D3-2
LSTMによる定常状態電力波形生成を利用した消費電力解析にもとづくデバイスの異常動作検知手法
◎高崎和成(早稲田大学)、木田良一(株式会社ラック)、戸川望(早稲田大学)
近年Internet of Things~(IoT)デバイスが急速に普及するなかで,ハードウェアデバイスにおけるセキュリティ課題が顕在化している. ハードウェアデバイスの異常動作を検知する手法の一つに電力解析があるが,近年のIoTデバイスなどはオペレーティングシステムの上に複数のアプリケーションが動作するため消費電力波形が複雑になる傾向がある. この課題を解決するため,アプリケーション実行による電力変化(アプリケーション電力)を抽出することでIoTデバイスの異常動作を検知する手法が提案されている. 従来手法ではアプリケーション電力を抽出するためにデバイスの定常状態の平均的な電力波形を生成するが,定常状態の単一な周期性を利用した手法であり,周期が不明な場合や複数の周期がある定常状態に対して,平均的な電力波形を生成できない. 本稿では,機械学習モデルの一つであるLSTM~(Long short-term memory)を利用して定常状態の電力波形を生成しプリケーション電力を抽出することでデバイスの異常動作を検知する手法を提案する. 実験の結果,Raspberry Pi上で写真を撮影,暗号化,送信するアプリケーションと暗号化した写真と異なるデータを送信する異常動作を実装し,提案手法により異常動作の検知に成功した.
2D3-3
ディジタル回路の遅延変化を用いた電磁波印加攻撃検知手法
○藤本 大介(奈良先端大)、林 優一(奈良先端大)
非破壊な攻撃手法として、機器の外部から電磁波を印加し、秘密情報を取得する攻撃が多く提案されている。電磁波を通じた攻撃では、一定の強さ以上の電磁波を照射することにより機器に一時的な故障を引き起こす、もしくは機器からの電磁波を通じた情報漏えいを誘発する。これまでの対策は故障による回路の挙動の変化を検知する手法に限られていた。そのため、挙動が変化しない情報漏えいの誘発の検知に用いることは難しい。一方で、電磁波を機器に印加した場合、機器の内部には電圧変動が発生するため、この電圧変動を検知することができれば電磁波を印加する攻撃を故障や漏えいが発生する前に対策をとることが可能となるほか、上位のアプリケーションによらず統一的な対策を適用できる可能性がある。本稿では、IC内部のディジタル回路の遅延時間が電源電圧に依存することを利用して、電磁波照射による電源電圧の変動を検知する手法を提案する。
2D3-4
複数の周波数印加による電磁的情報漏えい誘発に関する基礎検討
○鍛治 秀伍(奈良先端科学技術大学院大学)、藤本 大介(奈良先端科学技術大学院大学)、林 優一(奈良先端科学技術大学院大学)
特定周波数の電磁波印加により、機器内部の信号を強制的に漏えいさせる攻撃が報告されている。この攻撃では、電磁波の印加強度に応じて漏えい信号の放射強度を制御することが可能であり、漏えい信号の放射強度が弱い機器も脅威の対象となる。一方、電磁波の印加強度の増加に伴って生じる自己干渉により漏えい信号が劣化するため、電磁波の印加強度の制御だけでは漏えい信号の取得精度を向上させることが困難とされていた。本稿では、電磁波印加時に生じた自己干渉による漏えい信号の劣化を抑制し、漏えい信号の高精度な取得が可能であることを示す。具体的には、異なる周波数の電磁波を印加することで、機器内部の非線形素子がミキサ回路の様に動作し周波数変換が生じる。そして、周波数変換によって生成された信号で強制的な電磁的情報漏えいを引き起こすことで自己干渉による漏えい信号の劣化を抑制する。
2D3-5
Pushing the Limits of Simple Electromagnetic Analysis Against Similar Activation Functions
◎Go Takatoi(University of Electro-Communications)、Takeshi Sugawara(University of Electro-Communications)、Kazuo Sakiyama(University of Electro-Communications)、Yuko Hara-Azumi(Tokyo Institute of Technology)、Yang Li(University of Electro-Communications)
Artificial intelligence (AI) is progressing rapidly to fit a wide range of applications, and edge AI has been researched intensively. Actual microchips can leak sensitive information through physical information such as electromagnetic (EM) emanations. Since the environment for edge AI is closely deployed to the device and user, such information leakage is a vulnerable target for physical attacks. As selecting the appropriate activation functions to enable fast training of accurate deep neural networks is an active area of research, it is important to conceal the information of activation functions used in a neural network architecture. In our previous work, we investigated how to retrieve an activation function in a neural network implemented on an edge device by using simple electromagnetic analysis (SEMA). Here, we further investigate the limits of SEMA attack, using activation functions that are similar to the functions in the previous work. By doing so, we observe the relation between the operations and EM traces, and disclose what the SEMA attack can and cannot do to prove the versatility of our method. We consider multilayer perceptron as our target machine learning architecture, and assume an attacker capable of measuring side channel leakages, in this case EM emanations. Our evaluations were done for an Arduino Uno microcontroller and high-quality measurements were achieved.

2E3 ブロックチェーン(3) 1月20日(水) 13:40-15:20
座長:宇根正志(日本銀行)
2E3-1
暗号仮想通貨の長期利用可能性:ブロックチェーンと分散台帳との耐量子版
○櫻井 幸一(九州大学)
仮想通貨をはじめブロックチェーンや分散台帳に、耐量子暗号を利用し、長期利用可能を強調する方式が提案されている現状にある。しかし、それらの安全性評価がどの程度行われているか、本当に量子安全性が期待できているのか、また安全性に加えてプライバシーはどうか、という課題を、本研究では議論する。
2E3-2
量子計算機がブロックチェーンの安全性へ及ぼす影響とその対策
◎高橋 康(富士通研究所)、藤本 真吾(富士通研究所)、竹内 琢磨(富士通研究所)、小暮 淳(富士通研究所)
ブロックチェーンは改竄困難性と高可用性を備えた分散型台帳であり,近年は送金や決済などの金融分野だけでなく,電力売買や個人認証といった非金融分野でも実利用に向けた研究が進められている.ブロックチェーンはBitcoinを始めとして,現在では多くの方式が提案されているが,その多くは古典計算機に対してのみ安全性が担保された暗号技術の組み合わせで構成されている.そのため,近い将来に大規模な量子計算機が開発された場合,ブロックチェーンの安全性は低下することが知られている.例えば電力取引や中央銀行デジタル通貨(CBDC)などのインフラシステムをブロックチェーン基盤を用いて構築する場合,そのシステムは長期に渡って運用されるため,量子計算機による影響を受ける可能性は高い.本稿では,量子計算機がブロックチェーンの安全性に与える影響をまとめ,その中でもコンセンサスアルゴリズムに注目する.量子計算機により従来のコンセンサスアルゴリズムのいくつかは十分に機能しないことを述べ,さらにその対策のために改良すべき点について議論する.
2E3-3
LPWAネットワークに適したノード間分散台帳方式の考察(1)
◎徳武孝紀(早稲田大学基幹理工学部)、江口力哉(早稲田大学基幹理工学部)、佐古和恵(早稲田大学基幹理工学部)、佐藤拓朗(早稲田大学国際情報通信研究センター)、佐藤俊雄(早稲田大学理工学術院総合研究所)、柴田巧一(株式会社Skeed)
LPWAネットワーク(Low Power Wide Area network)は消費電力を抑えて遠距離通信を実現する通信方式で、電池駆動が想定されるIoT機器をノードとして、災害時にも通信を継続させることができると注目を浴びている。本稿では、このようなネットワークでデータをロバストに共有するための分散台帳方式を検討する。ビットコインで使われているようなProof of Workや、ノード数を限定したPBFTのような方式が知られているが、電池駆動のノードでは消費電力の問題がある。一方で、これらの方式ではノード間が1:1通信であることを想定しているため、プロトコルが複雑になっている面がある。本提案方式は、不特定多数への一斉同報である無線通信の特性を活用し、メッセージ送受信回数と処理量を低減した方式になっている。
2E3-4
Cascadeブロック暗号をベースにしたASIC耐性のあるProof of Work
◎浅沼岳樹(兵庫県立大学)、五十部孝典(兵庫県立大学)
Hashcash, which is a Proof of Work (PoW) of bitcoin, is based on a preimage problem of hash functions of SHA-2 and RIPEMD. Since these hash functions employ the Merkle-Damgard (MD) construction, a preimage can be found with negligible memory. Since such calculations can be speeded up by ASIC, it might cause so-called 51% attack. To address this issue, Asanuma and Isobe recently proposed a new PoW in which underlying hash functions of Hashcash are replaced by SHA-3. This scheme requires a lot of memory to efficiently solve the problem because of the sponge structure with properly-chosen parameters. However, it cannot flexibly adjust the required time and memory complexity of PoW. In this paper, we propose a new PoW scheme based on a key recovery problem of cascade block ciphers. By choosing the appropriate parameters such as block sizes and key sizes of underlying block ciphers, we can fully control required time complexity and memory complexity for efficiently solving the problem. In particular, the required memory and time complexity can be tunable independently according to requirements which depend on target applications and progress of computational power.
2E3-5
Consensus Based on Proof-of-Optimal-Work and Its Application to Transactive Energy Systems
◎Xiangyu Su(Tokyo Institute of Technology.)、Xavier Defago(Tokyo Institute of Technology.)、Ryoma Fujimoto(Tokyo Institute of Technology.)、Hiroki Konaka(Mitsubishi Electric.)、Mario Larangeira(IOHK., Tokyo Institute of Technology.)、Kazuyuki Mori(Mitsubishi Electric.)、Takuya Oda(Tokyo Institute of Technology.)、Yuta Okumura(Mitsubishi Electric.)、Yasumasa Tamura(Tokyo Institute of Technology.)、Keisuke Tanaka(Tokyo Institute of Technology.)
Transactive energy systems aim to provide efficient, stable, and secure electricity distribution for communities and cities. In 2008, Satoshi Nakamoto proposed its innovative blockchain-based Bitcoin system. A way to implement transactive energy systems is to rely on smart contract capabilities, like the ones offered by the Ethereum Protocol. Although such integration attracts much attention, the proposed systems suffer from high maintenance fees. Also, the unique characteristics of the transactive energy systems are not taken into account. In this work, we introduce a novel approach for general auctionlike markets, which embeds the energy systems' characteristics into the consensus/blockchain design. More concretely, we first revisit the blockchain data structure and propose a proof-of-optimal-work scheme that implements consensus alongside traditional byzantine fault tolerant algorithms. In our design, the system dynamics are incorporated into the main design, i.e., consensus is achieved by matching bids of energy prices. Our blockchain serves as an accounting book for the market. Finally, we show our system as a more efficient application to the transactive energy systems since it naturally avoids the high fees for running smart contracts.

2F3 自動車セキュリティ(2) 1月20日(水) 13:40-15:20
座長:磯原 隆将(KDDI)
2F3-1
自動車システムにおける「物理アクセス」脅威に着目したリスク数値化手法の検討
○川西 康之(住友電気工業株式会社)、西原 秀明(産業技術総合研究所)、吉田 博隆(産業技術総合研究所)、畑 洋一(住友電気工業株式会社)
我々は過去の研究にて自動車技術会のセキュリティ設計ガイドラインであるJASO TP15002を自動車システムや産業制御システムへ適用する試みを続けてきたが,リスク分析において,従来の評価手法では適切に評価できないケースがあることが分かってきた.例えば,IoTの普及で工場内に様々な機器が持ち込まれることが増え,カーシェアなどのサービスでは自動車の車両そのものにアクセス可能であることから,不正な機器を内部に取り付けることが容易になっている.これらのケースでは従来防御を担ってきたネットワーク機器をバイパスする「物理アクセス」攻撃が可能となる.しかし従来のリスク数値化手法では,この攻撃は重要脅威として検出できなかった.本論文では自動車システムのケーススタディを例に,こういった従来手法では認識されなかった攻撃を適切に評価できるよう,脆弱性評価基準の適用とメトリックの設定等で,リスク数値化手法の工夫を試みた.そしてこの攻撃が高リスクを持つ可能性を示唆した.
2F3-2
攻撃手法のリスク分類と車載IDSアルゴリズムの適性評価
○倉地 亮(名古屋大学)、佐々木 崇光(パナソニック株式会社)、氏家 良浩(パナソニック株式会社)、松島 秀樹(パナソニック株式会社)
自動車の電子制御システムに広く採用されるController Area Network (CAN)プロトコルに対する侵入検知アルゴリズムが多数提案されている.しかしながらその一方で,提案されているアルゴリズムが対象とする攻撃手法については広く議論されてこなかった.本論文ではCANに対する攻撃手法を分類し,各手法に対する侵入検知アルゴリズムの検知性能を評価することで,アルゴリズムの適性を明らかにした.さらに,攻撃手法のリスク分類を行うことで,リスク許容度に応じたアルゴリズムの組み合わせ設計指針を論じる.
2F3-3
Automotive SIEMシステムの攻撃分析レベルと侵入経路判定手法の提案
◎田崎 元(パナソニック株式会社)、牛尾 貴志(パナソニック株式会社)、佐々木 崇光(パナソニック株式会社)
自動車のコネクテッド化が進むとともに,自動車に対するサイバー攻撃のリスクが高まっている.これに伴い,自動車で発生したセキュリティインシデントを分析するためのセキュリティオペレーションセンター(SOC)の構築が検討されている.しかし,分析対象となる自動車の台数が増加すると,SOCオペレータが行うインシデント分析コストが増加してしまうため,この分析コストの低減が課題となっている.この課題に対し筆者らは,SOCオペレータのインシデント分析を支援するAutomotive SIEMシステムを研究している.本稿では,まずAutomotive SIEMシステムに求められる攻撃分析レベルを定義し,次にSIEMシステムに必要な侵入経路判定機能について述べる.侵入経路判定機能は,自動車に搭載された複数のIDSの異常検知結果に基づき,侵入経路を判定する.最後に,この機能を実現するための課題を明らかにし,課題に対する侵入経路判定手法を提案する.
2F3-4
Intelligent Impact Assessment for Product Security Incident Response Team in the Automotive Industry
◎Yiwen Chen(Hitachi Ltd.)、Hiroki Yamazaki(Hitachi Ltd.)、Makoto Kayashima(Hitachi Ltd.)
With the standard ISO/SAE 21434 addressing the requirement on an incident response plan, the establishment of product security incident response (PSIRT) has become a mandatory solution for automotive OEM to persist security in the operational environment. PSIRT actively discovers potential vulnerabilities by executing an impact assessment on the information obtained from not only associated information sharing centers but public web sources. The impact range is specified by analyzing potential attack paths depending on the configuration of the proprietary product. Our study provides an intelligent system to tackle the problem of limited human resources inside PSIRT caused by high specialties in both security and product field. Our system recognizes product and security related entity utilizing natural language processing on the textual contents that helps specify attack path. According to the attack paths, our system compares the attack path with proprietary product to attain intelligent impact assessment within PSIRT. Thanks to our system, PSIRT can quickly respond and take anti-crisis countermeasures concerning proprietary products to ensure long-term product security.
2F3-5
車載 Event Data Recorder のデジタル・フォレンジックに関する調査及び検証
○片山 隆成(警察大学校)、倉地 亮(名古屋大学)、佐々木 崇光(パナソニック株式会社)、齋藤 真生(警察大学校)、味岡 仁雅(警察大学校)
近年, 自動車のサイバーセキュリティ対策に関する研究やハッキングの実証実験が行われている. 一方, 車載ネットワークを介したハッキングが実際に発生した場合, その事実や手法及び影響を明らかにするためには, 自動車のハッキングに関するデジタル・フォレンジック技術の確立が課題である. デジタル・フォレンジックとは電子機器等に記録されたデジタル情報について, その証拠価値を失うことなく取り扱う方法や手続きのことであり, 警察をはじめ各法執行機関等で重要視されている. 従来, 一部の自動車には車両状態を記録するためのEvent Data Recorder(EDR)が搭載されており, 自動車事故が起こった際にEDRに対してデジタル・フォレンジックがなされていた. 本研究では, EDRに関する調査及び実験を行い, 従来の自動車事故に関する情報に加え, ハッキングの痕跡に関する情報が得られるかを検証した. また, デジタル・フォレンジックを行う際の観点からEDRに対するセキュリティ上の脅威を考察した.

2A4 フォーマルメソッド 1月20日(水) 15:40-17:00
座長:吉田真紀(NICT)
2A4-1
Tamarin-proverを用いた少ない入力で検証できる方法
◎中林 美郷(NTTセキュアプラットフォーム研究所)、岡野 裕樹(NTTセキュアプラットフォーム研究所)
近年,暗号プロトコルの複雑化に伴い,その安全性検証に自動検証ツールが用いられているが,既存の検証ツールの利用にあたって次のような問題がある: ツールを用いて検証を行うにはプロトコルと安全性モデルに加えて,ツール特有の付加情報も記述する必要がある.また,検証したいプロトコル毎に安全性モデルの入力コードを書き直す必要があり,書き直す度に作成した安全性モデルのコードが正しく記述されているのかを検査する必要がある. 本研究では,まず鍵交換プロトコルに限定して,暗号プロトコルの自動検証ツールの一つであるTamarin-proverを用いた「変数(セッション鍵など)の計算式」「誰が何を通信路に流したか」「誰が何を通信路から受け取ったか」というプロトコルの情報のみで主要な安全性要件に対して検証できる自動検証方法を提案する. そして,提案方法を用いて既存のプロトコルを検証し,理論上の安全性と比較することで,提案方法による検証の妥当性を示す.
2A4-2
ProVerifを用いたスポンジ構造の形式化
◎吉村東悟(信州大学 大学院総合理工学研究科)、荒井 研一(長崎大学 大学院工学研究科)、岡崎 裕之(信州大学)、布田 裕一(東京工科大学 コンピュータサイエンス学部)、三重野 武彦(エプソンアヴァシス株式会社)
ProVerif は,Blanchet らが開発した形式モデル(Dolev-Yao モデル)での暗号プロトコル の自動検証ツールであり,暗号プロトコルに要求される秘匿や認証などの安全性要件を自動で検証することができる.ProVerifは本来,暗号プロトコルを検証するツールであるのに対し,本研究ではモジュールの検証への利用を試みている.その際,再帰をモデル化することが必要となるが,ProVerifでは再帰のような繰り返し呼び出しの形式化は一般的には困難である.この問題を解決する方法として,我々はSCIS2020でprivate通信路を利用した内部プロセス間通信として関数呼び出しを形式化する方法を提案した.一方,スポンジ構造は,SHA-3の暗号学的ハッシュ関数の構成法である.スポンジ構造では,任意長のメッセージを固定長のブロックに分割し,それらを一定の比率で内部状態に吸収させる.その後,同じ比率で絞り出した最終的な出力をハッシュ値とする.本稿では,ProVerif を用いてスポンジ構造によるハッシュ関数の計算方法を計算機の内部プロセスとして形式記述する方法を提案し,スポンジ構造による計算結果が暗号学的ハッシュ関数の安全性要件を満たすことを検証する.
2A4-3
DeepSecを用いたGroup Domain of Interpretationプロトコルの識別不可能性の検証
◎野口 凌雅(茨城大学)、花谷 嘉一(株式会社 東芝)、米山 一樹(茨城大学)
Group Domain of Interpretation(GDOI)は,RFC6407 で定義されるグループ鍵管理プロトコルであり,Group Encrypted Transport Virtual Private Network(GETVPN)等のマルチキャスト通信の保護機能に用いられている.著者らは,SCIS2020 において,形式検証ツールProVerif を用いてGDOI プロトコルを形式化し,秘匿性・認証性に対する安全性証明を行った.しかし,識別不可能性(強秘匿性)についてはProVerif では検証が停止せず明らかにすることができなかった.本稿では,識別不可能性に特化した形式検証ツールであるDeepSec を用いてGDOI プロトコルの形式化および識別不可能性に対する安全性検証を行う.結果として,GDOI プロトコルで生成されるグループ鍵が識別不可能性を満たすことを示す.
2A4-4
事前知識を必要としない静的バイナリプログラム解析手法
○泉田大宗(IIJイノベーションインスティテュート)、橋本政朋(千葉工業大学)、森彰(産業技術総合研究所)
ソースコードを用いずバイナリプログラムのみを用い てプログラムの挙動を解析するためには、サンドボッ クス環境において実際にプログラムを実行し、その挙 動を観測する動的解析と、プログラムを実行せず、網 羅的に制御フローを解析する静的解析がある。バイナ リプログラムに対し静的解析を適応するためには、逆 コンパイルを行うなどして、そのプログラム構造を復 元する必要があるが、逆コンパイルを適切に行うため には、プログラム作成に用いられたコンパイラの情報 など事前知識が必要になる。本研究では、機械命令の 低レベルな記号解釈とその拡張された単一代入形式を 用いて、バイナリプログラムを逆コンパイルすること なく、静的解析を行う手法について紹介する。

2B4 認証 1月20日(水) 15:40-17:00
座長:峯松一彦(NEC)
2B4-1
パスワード認証システムとユーザー間におけるパスワード構成ポリシーのギャップを緩和するパスワード構成ポリシー変換システムの提案
○藤田真浩(三菱電機株式会社)、山中忠和(三菱電機株式会社)、松田規(三菱電機株式会社)
本発表では,パスワードを用いたユーザー認証の利便性向上のため,「認証システムのパスワード構成ポリシーとユーザーのパスワード構成ポリシー間のギャップ」に着目する.システムパスワード構成ポリシーを同程度以上の強度を有する別のパスワード構成ポリシーに変換することで,このギャップを解決する「パスワード構成ポリシー変換システム」を提案する.さらに,提案システムを既存システムとの比較を行うことで,提案システムの利点や課題を議論する.
2B4-2
活動量とGPS・Wi-Fi情報の相関を利用したライフスタイル認証手法
◎宮澤 晟(東京大学大学院 情報理工学系研究科)、トラン フン タオ(東京大学大学院 情報理工学系研究科)、小林 良輔(東京大学大学院 情報理工学系研究科)、山口 利恵(東京大学大学院 情報理工学系研究科)
近年,従来の知識認証,所持物認証,生体認証に加わる新たな認証手法として,個人の行動履歴を複数組み合わせて認証に用いるライフスタイル認証が提案されている.これまでのライフスタイル認証の研究では,多要素認証の際に要素ごとのスコアを独立して計算し最終的な認証に用いることが多く,それぞれの要素の相関を用いてこなかった.我々は相関を活用することが有効と考え,歩行中の活動量とGPS位置情報という異なる認証要素の相関を利用する手法を提案したが,この手法では不正確なGPS位置情報により認証精度が落ちるという課題や,単純な偽データで認証を突破できるという課題が存在した.本論文では,周囲のWi-Fiアクセスポイント情報を加えて用い,また歩行以外の期間のデータも認証に用いることで,上記の問題を解決した.ライフスタイル認証の実証実験であるMITHRAプロジェクトで収集したデータに本手法を適用し,理想的なデータが得られた場合,得られなかった場合の等価エラー率(EER)がそれぞれ0.08, 0.12といずれも従来手法と比べて良い認証精度を得た.また,従来手法と比べて偽データによる攻撃耐性が向上していることも確認した.
2B4-3
インターネット上のサービスにおける利用者の匿名性と特定・追跡性の両立
○才所敏明(IT企画)、辻井重男(中央大学研究開発機構)
インターネット社会の課題の一つに、利用者の高い匿名性がある。利用者の特定・追跡が困難なため、インターネット上の様々の悪意のある行為や発言の氾濫が社会の安心・安全を脅かしている。また、インターネット上のサービス提供者が個々に本人確認を実施している現状が抱える課題、利用者の課題、サービス提供者の課題を指摘し、筆者らはインターネット上の様々のサービスに対し確実な本人確認機能を提供する本人確認基盤NAFJPの必要性を提案している。 本稿では、提案しているNAFJPの応用により、インターネット上の様々のサービスにおいて、利用者の匿名性を確保しつつ、同時に利用者の特定・追跡性を保証することが可能なことを示す。更に、筆者らが提案している確実な本人確認機能を内包する安心・安全な電子メール利用基盤SSMAXに対し、確実な本人確認機能にNAFJPを利用した、個人情報である身元確認情報、当人確認情報等の管理が不要となる新たなSSMAXの構成方法を示す。 NAFJPの利用により、インターネット上の様々のサービスにおいて、利用者の個人情報の管理を回避しつつ、利用者の匿名性と特定・追跡性の両立が実現可能となる。
2B4-4
サイバーフィジカルシステムにおける真正性保証アーキテクチャについて
○山澤 昌夫(中央大学研究開発機構)、五太子政史(中央大学研究開発機構)、近藤 健(中央大学研究開発機構)、辻井重男(中央大学研究開発機構)
今日の,ソフトウェアが物理的な機器を実際に動かし,剰え仮想的に機器の代りさえ務める場合もあるサイバーフィジカルシステム(CPS:Cyber Physical System)の社会では,ソフトウェアと実世界との関わりをより意識し,物理世界とサイバー世界の双方を統合した系でセキュリティアーキテクチャを考えなければならない.ユーザが物理世界におり,サービサーがサイバー世界にある典型的な構成では,本来サービスシステムの信頼性に欠かせない,ユーザの真正性を保証することは容易ではない.本論文では,CPSにおけるセキュリティアーキテクチャについて調査し,得失を論じた.その結果の考察として,物理世界とサイバー世界との間にセキュリティエージェントを導入することを真正性保証の一つの解と考えたので,提案する.

2C4 ネットワーク攻撃検知・対策(2) 1月20日(水) 15:40-17:00
座長:窪田歩(KDDI総合研究所)
2C4-1
Detecting DDoS Attack in SDN Environment Using Automatic Thresholding Method
◎LYU FUPEI(九州大学)、Feng YaoKai(九州大学)、Sakurai Kouichi(九州大学)
The characteristic of distributed network attack is that it can be launched from multiple hosts at the same time. It is not only one of the most complex and destructive attacks in the traditional internet environment, but also one of the most threatening types of attacks in the SDN (software-defined networking) environment. As a centralized network, SDN has achieved great popularity and self-renewal in recent years. The cloud systems used by some enterprises including Google Inc. also choose the SDN network environment to replace the traditional Internet network environment. Therefore, how to more efficiently detect DDoS attacks in the SDN environment has also attracted great attention from users and academia. The latest research shows that analyzing the PacketIn data in the SDN controller can effectively detect DDoS attacks in which users need to set a threshold in advance to distinguish between normal traffic and attack traffic. However, how to appropriately tune the threshold is not easy in many applications even for experts in many applications.In our previous research, we proposed to automatically extract the threshold from the past traffic data. In this research, using ground-truth data, we further verify the performance of the extraction method and try to find the weakness of this method, that is, in what situations its performance will degrade, which is helpful to our further improve this automatic extraction method itself.
2C4-2
デバイスの活動異常度を数値化することによるNWベース異常検知技術の開発
○岡田裕幸(パナソニック株式会社)、大庭達海(パナソニック株式会社)
産業用制御システム(ICS)への高度なサイバー攻撃を効率的に検知するため,機械学習を用いた侵入検知システムが開発・導入され始めている.しかし,正常なネットワークトラフィックの定義の困難さによる誤検知の多さや,判定結果の解釈困難性のために,実用化はあまり進んでいない.そこで本稿ではICSに対する攻撃行動を捉えるための指標を設計し,機械学習や統計手法を用いて指標の算出を行う.算出した指標をルールベース侵入検知システムに組み込み,他のログ情報と併用することで,より攻撃者の意図を詳細に捉えることができるシステムを構築することができる.提案する指標の活用により,検知性能を低下させることなく,誤検知率を1%程度まで減少させることができた.
2C4-3
属性情報と履歴情報を用いた不正アクセスの分析
○邦本理夫(株式会社セキュアブレイン/情報セキュリティ大学院大学)、大久保隆夫(情報セキュリティ大学院大学)
近年,インターネットバンキングやクレジットカード,EC サイト等に対する不正アクセスが大きな問題となっている.フィッシングサイトやマルウェア感染などによってID やパスワード,クレジットカード番号などの情報を盗まれて不正に利用される被害が後を絶たず,サーバから漏洩した認証情報を悪用したリスト型攻撃なども多数の被害が報告されている.不正アクセスへの対策として,多要素認証などを使用した本人認証の強化や不正検知を行う製品・サービスが提供されているが,コストや検知精度,運用負担などの面で課題がある.また利便性の観点から,利用者に対策ソフトのインストールを強制するなどの対応は困難である. こうした背景を踏まえ,筆者はサーバ側で収集可能なログ情報を用いて不正検知を効率的に行う手法について研究を行っている.本稿では,攻撃者が正規利用者になりすまして不正アクセスを行った際の端末の属性情報,およびアクセスログの履歴を用いた正規利用者と攻撃者の利用環境の差異について,実サービスのログを用いて分析を行った結果を示す.また分析結果を元に効果的な不正アクセスの検知手法について考察する.
2C4-4
非負値行列因子分解を用いたマルウェア活動検知手法の評価
◎韓燦洙(国立研究開発法人情報通信研究機構)、竹内純一(九州大学)、高橋健志(国立研究開発法人情報通信研究機構)、井上大介(国立研究開発法人情報通信研究機構)
IoTマルウェアによるサイバー脅威が多様化・高度化している.そのようなマルウェア活動の実態を把握するためには,マルウェア感染が拡散する段階の無差別スキャン攻撃を迅速かつ正確に検知し把握する技術が必要である.しかしながら,無数の無差別スキャン攻撃の中から潜在的なマルウェア活動を正確に区別することは至難の業である.本稿ではマルウェアの感染拡大時に見られる時空間特徴の同期性に着目し,異常に同期性の高い空間特徴(送信元ホスト空間と宛先ポート空間)を検知する手法,Dark-NMFのリアルタイム検知手法への発展研究を行う.Dark-NMFは非負値行列因子分解を用いてダークネットトラフィックから時空間パターンを分解することで,空間特徴の同期性を測る.従来のDark-NMFは定量的な評価がされていなかったため,本稿ではDark-NMFのハイパーパラメータのチューニングを行い,手動で作成したマルウェア活動の正解表を用いて既存研究らとのマルウェア活動の検知性能の比較評価を行った.その結果,Dark-NMFは誤検知は多いものの,正解表における検知すべきマルウェア活動を見逃しなく全て検知し,既存研究らと比べてDark-NMFが持つ利点が多いことが分かった.本研究成果はマルウェア活動の迅速な対応の取り組みに貢献することが期待できる.

2D4 ハードウェアセキュリティ(2) 1月20日(水) 15:40-17:00
座長:林優一(奈良先端大)
2D4-1
LiDAR-based SLAMに対する敵対的スキャン生成攻撃と生成地図への影響評価
◎北條 雅矢(立命館大学)、吉田 康太(立命館大学)、藤野 毅(立命館大学)
あらまし 自動運転車などの自律移動ロボットは,様々なセンサを用いて周辺環境の情報を得ることで制御を行う.このような自立移動ロボットに対する脅威として,センサの測距原理を悪用して外部から測定値を騙すような物理的攻撃が研究されている.例えば,タイムオブフライト方式の測距センサであるLiDARに対して反射光と同様のパルス光を適切なタイミングで照射させることで,測距値を攻撃者が意図した値に誤らせることができる.我々は,移動ロボットから見て複数の角度からの測距値を改ざんすることにより,LiDAR-based SLAMの姿勢推定を騙す攻撃手法を提案している.SLAMで利用される姿勢推定アルゴリズムのひとつである iterative closest point (ICP)アルゴリズムに対して,勾配法を用いてLiDAR測定結果の改ざん量を決定する敵対的スキャン生成攻撃を行うことで,移動距離や方向などの姿勢推定を誤らせることが可能である.本稿では,ロボットの移動に合わせて複数回連続して姿勢の改ざんを行うことで,SLAMによって生成される地図が正常時に対してどのように変化するかを評価した結果を報告する.
2D4-2
LiDARに対するブラインド攻撃シミュレーション下での攻撃対策の評価
◎福永 真士(三菱電機)、梨本 翔永(三菱電機)、鈴木 大輔(三菱電機)、永塚 智之(三菱電機エンジニアリング)
計測セキュリティの分野では,システムの安全性の大前提となるセンサデータの取得時点のセキュリティを確保するべくセンサへの物理攻撃とその対策の研究が進められている.あるセンサを妨害あるいはコントロールする騙し方の研究が報告されている.例えば,測距センサ,LiDARを騙すジャミング攻撃やブラインド攻撃が報告されている.このようなセンサ単体への攻撃は,センサの機能を正常に動作させなくするという脅威であり,その対策はセンサを利用した モビリティを安全動作させるための課題となっている.本研究では,そのような課題意識に基づき,LiDARに対しブラインド攻撃シミュレーションを実施した. この結果に既存の対策を施すことで攻撃を低減できるかことを示す.
2D4-3
センサ攻撃に対する性能限界導出のための評価フレームワーク
○清水 孝一(三菱電機株式会社)、鈴木 大輔(三菱電機株式会社)、丹治 雅道(三菱電機株式会社)、梨本 翔永(三菱電機株式会社)、中井 綱人(三菱電機株式会社)、小関 義博(三菱電機株式会社)、村松 竜(三菱電機株式会社)、毛利 寿志(三菱電機株式会社)、大場 諒介(三菱電機株式会社)、永塚 智之(三菱電機エンジニアリング株式会社)、品川 宗介(三菱電機エンジニアリング株式会社)、松本 勉(横浜国立大学)
多種多様なセンサに支えられる自律システムでは、センサに対する攻撃を考慮した安全性評価が不可欠である。これまでに、攻撃がシステム全体に与える影響を評価するシミュレータが提案されているが、センサを含む機器の開発者の立場では、システムの安全性評価の結果から、コンポーネントとしてのセンサの性能限界を導出できる必要がある。本論文では、安全分析の手法で、センサ攻撃によってセンサに不具合が発生するシナリオを絞り込み、各シナリオの下でパラメータを変化させながらシミュレーション評価を行うことで、センサ攻撃に対するセンサの性能限界を導出するフレームワークを提案する。
2D4-4
Evaluation of IC Supply Chain Security Risks Using Common Assessment Techniques
○Sauer Kurt(Workday)、David Michael(National Intelligence University)、Sakurai Kouichi(Kyushu University)
Assessing risk is a fundamental aspect of the security process in both industrial and national security settings. While many strengths and weaknesses of information systems, networks, and cyber-physical systems are well-known, flaws in supply chain security for integrated circuits are relatively less well understood. Consequently, the question arises of whether contemporary risk assessment techniques encompass, or can be easily extended to encompass, a view of supply chain security that adequately addresses this potential weakness. Applied properly, risk assessment employs methodologies that are appropriate to the system being assessed. The purpose of this study is to compare the quantitative and qualitative aspects of various industry risk assessment frameworks as they may be applied to hardware IC security. In addition, we examine the evidentiary and subjective knowledge gaps organizations need to address in order to improve the validity of the resulting risk assessment.

2E4 コンテンツ保護 1月20日(水) 15:40-17:00
座長:駒野雄一(東芝)
2E4-1
ホログラムQRコードの開発 ~ 2層化されたQRコードとその原理 ~
◎川原大弥(神戸大学)、山崎康平(神戸大学)、瀧田 愼(兵庫県立大学)、白石善明(神戸大学)、森井昌克(神戸大学)
二次元コードとしてのQRコードはウェブページへのアクセス,特に最近では決済への利用等,幅広い用途に用いられている.我々は,QRコードの構成方法,特に利用される誤り訂正符号の性質を利用して,発見が容易でない偽装されたQRコードの作成方法を提案している.偽装QRコードは2種類の情報を確率的に出力させることで悪意のあるイベントに小さい確率で誘導することを目的としていた.本稿では,偽装QRコードの構築方法を応用して,QRコードの読み取り角度を変えることで,出力する情報を制御可能なホログラムQRコードを開発する.
2E4-2
機械学習を用いたグリーンノイズ拡散法による埋め込み情報量と 印刷/スキャン耐性を向上させた電子透かし法の検討
○今田博之(東京理科大学)、河村尚登(カワムラ・テクノラボ)、姜 玄浩(東京工業高等専門学校)、岩村恵市(東京理科大学)
グリーンノイズ拡散型電子透かし法は,埋め込みパターンが視認され難く,印刷/スキャン耐性を有す。しかしながらブロック型のため,埋め込み量はブロックサイズに依存し,埋め込み情報量を増やすためにブロックサイズを小さくすると,誤検出が増大する。そこでパターンの判定に機械学習を用いることで識別器による判定精度の向上を図った。その結果,512×512の画像に対して,16×16のブロックサイズで2048ビット(ASCIIコードで256文字)を埋め込み,電子データで99%, 印刷/スキャン画像においても95%以上の高い判定正答率が得られた。さらに,カモフラージュパターンを入れることにより結託攻撃攻撃等に対する耐性を強めることが出来た。
2E4-3
MPCを用いたプライバシー保護付きいつでもどこでもコンテンツ配信
○小川一人(情報通信研究機構)、縫田光司(東京大学)
コンテンツ配信や放送では,コンテンツが暗号化されて利用者に届けられる.各利用者はコンテンツプロバイダや放送局と契約し,コンテンツ復号のための復号鍵を取得する.モバイル端末でこれらのサービスを享受している場合は,いつでもどこでもサービスを享受できる.これに対し,大画面のテレビでサービスを享受する場合,自宅での享受は容易であるが,ホテルのような自宅外での享受は容易ではない.そこで,自宅で使用している復号鍵に関連するテンポラルな鍵を携帯端末に入れて自宅外のテレビでサービスを享受する方法を提案する.提案方法では,サービスを享受する日時と場所を指定し,鍵の有効期間・範囲を設定できる.そして,システムで使用するCPU負荷を考慮し,公開鍵系の暗号プリミティブは用いず,共通鍵暗号とハッシュ関数を用いて構成した.さらに,利用者の個人情報保護のため,マルチパーティ計算を用いてサービス享受する時間,場所が第3者に漏洩しないシステムとした.

2F4 セキュリティ評価・モデル(1) 1月20日(水) 15:40-17:00
座長:鳥居直哉(創価大学)
2F4-1
サイバーフィジカル空間におけるリスク連鎖を考慮した防御分析モデルの最適化
◎大山慎雄(法政大学大学院応用情報工学研究科)、金井敦(法政大学大学院応用情報工学研究科)、谷本茂明(千葉工業大学)、畑島隆(NTTセキュアプラットフォーム研究所)
組織における情報漏洩のリスクやその対策には,リスクの連鎖や複数リスクに効果を発揮する対策の存在など複雑な関係性がある.このため,多くの機器が混在する環境では,インシデントの検出やインシデント対応のための管理・監視箇所の決定が困難であることから,リスクの把握や防御対策の最適化が経験的に行われていることが問題 視されている.加えて,リスクの分析と評価はサイバー空間と物理空間を分離した形で行われることが多く,これらが絡み合った現実には必ずしも対応できていないことも課題とされている.本研究では,サイバー空間と物理 空間を統合し,これらのリスク連鎖を状態遷移図で表現し,さらにリスク対策を実施した結果を可視化するモデルおよびその分析手法を提案する.これにより,現実に発生するリスクの状況変化への対応を可能とし,クリティカルパスの概念に基づき関連リスクに対する防御の最適化ならびに防御コスト最適化が可能となることについて言及する.
2F4-2
製品開発プロセスに適合する脅威分析手法の提案
○佐藤 勇樹(パナソニック株式会社)、中野 学(パナソニック株式会社)
脅威分析は,保護対象となる資産とそれに対する脅威および脆弱性を洗い出し,脅威が資産に及ぼす影響を様々な角度から分析し,特定された脅威への対応を検討することで,セキュリティ要件を明確にすることを目的とする.近年,分析対象となるIoT製品やそれを取り巻くシステムの規模は拡大し,さらにサービスも複雑になってきたことにより,取り扱う資産の数も大幅に増えた.その結果,保護対象となる資産を起点に網羅的な分析を行う従来の脅威分析では,資産の数の増加に伴って脅威分析を行うためのコストが増大し,製品開発の現場で開発コストと見込んで実施するには困難な状況になりつつある.そこで本論文では,分析の起点としてアタックサーフェイスとなる機能に着目することで効率化を図り,製品の開発プロセスに適合し,実行性と実効性のある脅威分析手法を提案する.
2F4-3
事例レポートに基づくセーフティ・セキュリティ分析- トピックモデルによる人的要因の抽出と評価
◎小柳 洋貴(湘南工科大学/産業技術総合研究所)、寳木 和夫(産業技術総合研究所)、Sven Wohlgemuth(日立製作所)、梅澤 克之(湘南工科大学/産業技術総合研究所)
偶発的あるいは意図的な人的エラーによりシステムのセーフティやセキュリティが脅かされる事件が多発している.本研究は,人的エラーに関する多くの情報が,評価対象の設計・運用文書,および,内外の事例レポートのなかで与えられ,かつ,それらは自然言語記述で与えられることに着目する.そして,トピックモデルの手法の1つであるLatent Dirichlet Allocation (LDA) を用いて人的エラーがセーフティやセキュリティに与える影響を分析する方法を構成する.先ず,与えられた情報を突合し,文書間類似性の大小,つまり,共起性一覧を作成する.この共起性の一覧をベースに人手による考察を加えながらフォールトツリー,アタックツリーを構成し,さらに感度解析を通じてクリティカル箇所を特定する手順を取る.2つの特徴的な事例として,サイバー系コネクテッドカーの設計不備,および,フィジカル系ものづくり現場の検査不正のケーススタディを通じて,LDA 適用上の有効性について考察する.同時にLDAを評価する指標についても考察するものである.

3A1 暗号理論(1) 1月21日(木) 9:20-10:40
座長:河内亮周(三重大学)
3A1-1
ハイブリッド型記憶容量制約攻撃モデルの多段化に関する考察
○縫田 光司(東京大学/産業技術総合研究所)
計算量的安全性の枠組みに基づく公開鍵暗号化における懸念材料である"Store and Decrypt Later"攻撃への対策の一環として、攻撃者の時間計算量を制限しない代わりに記憶容量を制限するBounded Storage Model(BSM)が研究されている。 これはある時点Tにおいて攻撃者があるサイズM以内のデータしか記録できず以降に持ち越せない、という攻撃モデルである。 このBSMには、上記の値Mを正規ユーザの記憶容量と比べてあまり大きく設定できない限界がある。 そこで、時点T以前では攻撃者の時間計算量も制限する(それ以降では無制限)というハイブリッド型BSMが提唱されたが、やはりいくつかの否定的な結果が示された。 本論文では、ハイブリッド型BSMに攻撃者の記憶容量を制限する時点を多段化する変更を加えることで既存の否定的結果を回避する可能性について考察する。
3A1-2
再訪:一方向性関数群の計算論的独立性 --堅固性の観点から --
○櫻井 幸一(九州大学)
暗号プロトコルで、公開鍵暗号やビット委託をはじめ複数の一方向性関数が利用される事例がある。理想は、単一の関数での実現であるが、効率化などが目的で、多用される現状もある。しかし、設計ミスや安全性解析不足のため、不正や攻撃の対象となる事例も多い。このため、複数の一方向性関数群に関して、安全な同時利用を目的として、計算量的な独立性、を要求してきた[発表者の過去の研究 SCIS1989, SCIS2011, ISEC2018-nov]。本研究では、この計算量的な独立性を、堅固性の観点から見直し、それらの関係を議論する。
3A1-3
A Recent Progress of Neural Key Exchange: Are Tree Party Machines Still Alive ?
○MERAOUCHE ISHAK(九州大学)、櫻井 幸一(九州大学)
Secure key exchange is one of the most important steps into securing a communication. When multiple parties are using a symmetric key encryption protocol, they need a shared secret key that allows them to encrypt and decrypt their exchanged messages securely and if the key gets compromised, their whole communication is exposed. This is why research in secret sharing and key exchange has seen a significant growth during the past decades. While many techniques are based on pure mathematics for their design and security tests, another technique that is not as famous is using Artificial Intelligence (AI) to build a model that can exchange keys securely. One of the most famous AI-based techniques is the Tree Parity Machine secure key exchange proposed first in 2002 by I. Kanter and his collaborators. Although this work has been broken by Shamir shortly after its presentation, the work has been improved by many researchers during the last decade. In this paper, we will conduct a survey on how the model has been built and how it works. Then we will see how it was broken by Shamir using different techniques. Finally we will see the improvements it has seen during the last decade by many researchers and tell whether they still have a possibility to be used in real world applications or not.
3A1-4
Variants of Time-lock Puzzles from Randomized Encodings
○Zehua Shang(Kyoto University)、Masayuki Abe(NTT Secure Platform Laboratories)、Mehdi Tibouchi(NTT Secure Platform Laboratories)
Time-lock puzzles allow one to send messages ''to the future'', by efficiently generating a puzzle with a solution s that remains hidden until time T has elapsed. The solution s should remain hidden from any (parallel) adversary that runs in time significantly less than T. In this work we construct several variants of time-lock puzzles from randomized encodings, which satisfy different efficiency requirements and useful functionalities. We put forward the concept of fully succinct time-lock puzzles, where the puzzle generator's runtime is independent of T. We also construct memory-hard puzzles which take space hardness into consideration. Finally, we construct a kind of verifiable time-lock puzzles which allow verifier to check the correctness of the computation.

3B1 暗号プロトコル(1) 1月21日(木) 9:20-10:40
座長:渡邉洋平(電気通信大学)
3B1-1
標準的仮定に基づく標準モデルで適応的ID安全な階層型IDベース認証鍵交換
◎石橋 錬(茨城大学)、米山 一樹(茨城大学)
階層型IDベース認証鍵交換 (HID-AKE)はIDに基づいてパーティ間で共通のセッション鍵を共有する暗号プロトコルであり, 鍵生成機能を階層的に委譲することが可能である。既存のHID-AKE方式は, すべて選択的ID安全な方式であり, 標準モデルで安全な方式はq-仮定のような非標準的な仮定を用いたものしか知られていない。本稿では, 適応的ID安全性を標準的仮定に基づき証明可能なHID-AKEの一般構成を提案する。我々の一般構成の具体的方式の一つは, 標準モデルにおいてk-lin仮定の下でHID-eCKモデル (最大の鍵漏洩耐性をもつ安全性モデル)で適応的ID安全なHID-AKE方式である。さらに, ペアリング演算とべき乗計算の計算量や通信量が階層の深さに依存しないという利点を持つ。また, もう一つの具体的方式は, 格子問題に基づく初めてのHID-AKEである。
3B1-2
失効可能な階層型IDベース認証鍵交換の安全性モデルと構成について
○岡野 裕樹(NTTセキュアプラットフォーム研究所)、米山 一樹(茨城大学)、藤岡 淳(神奈川大学)、永井 彰(NTTセキュアプラットフォーム研究所)
本稿では,失効可能階層型IDベース認証鍵交換(RHID-AKE)の安全性を初めて定義し,そのプロトコルの実現例を示す.秘密鍵生成センタ(PKG)を長期に渡って大規模かつ安全に運用するためには、PKIと同様,「PKGの階層化」と「鍵失効機能」の両方を実現する必要がある.RHID-AKEはその要件を満たすIDベースAKEプロトコルである.本研究により,PKIと同様の機能をもったIDベース暗号版の認証基盤が構築できる.
3B1-3
複数デバイスでのIDベース暗号の利用に関する考察
◎宮永 英和(神奈川大学)、藤岡 淳(神奈川大学)、佐々木 太良(神奈川大学)、岡野 裕樹(NTT セキュアプラットフォーム研究所)、永井 彰(NTT セキュアプラットフォーム研究所)、米山 一樹(茨城大学)
近年,1人のユーザがコンピュータ・スマートフォンなど複数のデバイスを所持する機会が増えており,IDベース暗号でも1つのIDで複数のデバイスで暗号化などを行うことを考える必要がある.今日までに提案されている失効可能IDベース暗号ではIDに割り当てられている鍵を無効化する手法がとられており,既存の手法のままユーザが複数デバイスを使用した場合1つのデバイスのみを無効化することはできず,ID全体を無効化することしかできないと考えられる.本稿では既存の階層型IDベース暗号を用いてデバイスの追加・取り消しが可能な手法を提案する.また,それに伴いこれらの利用状況に対応した新たな安全性を定義する.
3B1-4
Signalに適用可能な耐量子認証鍵交換プロトコルの設計と実装
◎橋本 啓太郎(東京工業大学/産業技術総合研究所)、勝又 秀一(産業技術総合研究所)、Kris Kwiatkowski(PQShield)、Thomas Prest(PQShield)
Signalは、全世界で幅広く利用されているセキュアインスタントメッセージングアプリの1つであり、その内部ではSignalプロトコルと呼ばれるDiffie-Hellman(DH)仮定に基づく暗号化方式が使われている。 SignalプロトコルはX3DHプロトコルとdouble ratchetプロトコルの2つのサブプロトコルで構成される。 後者のdouble ratchetプロトコルに関しては、Eurocrypt'19でAlwenらが耐量子仮定からも実現可能な一般的構成を与えた。 しかし、前者のX3DHプロトコルに関しては、未だDH仮定以外の標準的仮定からの構成は知られていない。 本研究の貢献は二つである。まず、X3DHプロトコルを特別な性質を満たす認証鍵交換プロトコルと捉え、Signalに適用可能な認証鍵交換プロトコルの初めての一般的構成を提案する。我々の一般的構成は、鍵カプセル化メカニズム(KEM)と署名方式のような基本的な要素技術に基づいているため、耐量子仮定を含む様々な仮定から実現可能である。 次に、NIST耐量子暗号標準化Round 3候補のKEMと署名方式を用いて、本提案プロトコルを様々な耐量子仮定から実装し、各方式の通信量と計算コストを比較する。

3C1 教育・心理学(1) 1月21日(木) 9:20-10:40
座長:角尾 幸保(東京通信大学)
3C1-1
「脱ハンコ」と「PPAP廃止」に関する動向の分析と対策の考察
○佐々木良一(東京電機大学)
最近,「脱ハンコ」が行政改革の課題の1つになっているせいもあり,いろいろな議論や報道がなされている.本稿では,印鑑とデジタル署名(ここでは電子印鑑とも呼ぶ)の長所と短所を比較分析したうえで,混乱した部分もある脱ハンコに関する議論を整理・分析する.併せて,デジタル環境でハンコの機能を実現するデジタル署名について,電子契約などのために実装する場合の方法を①当事者ローカル署名型,②当事者クラウド署名型,③立会人型に分類し,安全性,使いやすさなどの面から評価を行う.また,政府などで使われているメールの暗号化がPPAP(①Password付きZIP暗号化ファイルを送ります,②Passwordを送ります③Aん号化(暗号化),④Protocol)方式であり,送信者,受信者とも手間がかかる割にセキュリティ上の効果がないことが指摘されており,デジタル庁でもこの問題の解決策の検討に乗り出している.本稿では,PPAPの問題点を明確にするとともに,2段階に分けた現実的な対策案の提案を行う.
3C1-2
ノンテクニカルスキル向上のためのサイバー演習フレームワーク
○小島 恵美(デロイト トーマツ サイバー合同会社)、鈴木 将吾(デロイト トーマツ サイバー合同会社)、野村 健太(デロイト トーマツ サイバー合同会社)、伊藤 大貴(デロイト トーマツ サイバー合同会社)、神薗 雅紀(デロイト トーマツ サイバー合同会社)、安田 真悟 (国立研究開発法人情報通信研究機構)、佐藤 公信(国立研究開発法人情報通信研究機構)、笠間 貴弘(国立研究開発法人情報通信研究機構)
サイバー攻撃が日常化している近年,組織のレジリエンス力強化のために官民ともに様々なサイバー演習が実施されている.インシデント対応にはテクニカルスキルに加えて,コミュニケーションや状況認識,意思決定といったノンテクニカルスキルが重要視されているが,当該スキル向上を主目的とした演習・訓練は定着していない.これまでに我々は, 航空宇宙分野等で成果を上げているノンテクニカルスキル演習に着目し,サイバーセキュリティ分野に取り入れることでインシデント対応力の向上を図るため,本分野に適したノンテクニカルスキルマップを作成してきた.本稿では,本スキルマップを評価軸とするノンテクニカルスキル向上のためのサイバー演習フレームワークを提案する.さらに提案フレームワークから演習カリキュラム,コンテンツを導出し,セキュリティインシデント対応者を対象として演習を実施する.演習結果を評価し,提案フレームワークによる演習のさらなる改善に向けた今後の課題を明らかにする.
3C1-3
視覚障害者のウェブサイト利用における適切なログイン状態の通知手法の検討
◎小栗 美優(静岡大学)、成田 惇(静岡大学)、菅沼 弥生(静岡大学)、西垣 正勝(静岡大学)、大木 哲史(静岡大学)
視覚障害者が利用している現状のスクリーンリーダーでは,利用中のウェブサイトのログイン・ログアウト状態やログイン試行の成否についての通知が十分になされていない.これらの通知の不明瞭さは,セキュリティ上のリスクの増加やユーザビリティの低下につながる可能性がある.ログイン状態通知機能により,これらの懸念の解消が期待できる一方,過度な通知,ウェブサイト利用の妨げになるようなタイミングでの通知は,快適なユーザー体験を妨げると考えられる.そこで,本研究ではログイン・ログアウト状態を快適に伝える適切な通知手法と通知手法の選択に影響を与える要因を明らかにすることで,視覚障害者のハンディキャップを低減するユーザインターフェースの提案を行うことを目的とする.具体的には,ログイン状態通知の手法をページを開くなどの状態が変化するタイミングで通知を行う受動方式と任意のタイミングでボタンを押すと通知を行う能動方式の2種類に大別し,視覚障害者に対してタスクベースの調査を行った.調査の結果,スクリーンリーダー利用者の混乱や不安を取り除くことが可能な手法と通知手法の選択に影響を与える要素を明らかにした.
3C1-4
一時的なサービス利用におけるプライバシーを考慮したアカウント管理方法に関する検討
◎菅沼弥生(静岡大学大学院)、成田惇(静岡大学大学院)、西垣正勝(静岡大学大学院)、大木哲史(静岡大学大学院)
本研究の目的は,一時的なサービス利用に伴うプライバシー情報を提供する場面は,どのように設計されるべきかについて検討することである.無料体験といった一時的なサービス利用に際し,プライバシー情報を提供する機会が多く存在する.無料体験は,ユーザがサービスの内容と提供するプライバシー情報の関係を正しく理解することを手助け,プライバシー情報提供への合意形成を支援する.一方で,一時的なサービス利用に際するプライバシー情報提供に対して懸念を抱くユーザが存在する.そこで,本研究では一時的なサービス利用時に,サービス提供者がユーザから提供された個人情報を含むアカウント関連情報を保持する方法を,アカウント管理方法とする.そして,アカウント管理方法を構成する要素を検討し,アカウント管理方法の変化が,ユーザに与える影響を調査した.調査結果から,ユーザは正確性のないアカウント関連情報を提供するかつユーザ自身が提供するアカウント関連情報の正確性を制御できることに対して,プライバシー情報開示に対する安心感を抱くことを明らかにした.

3D1 サイドチャネル攻撃(4) 1月21日(木) 9:20-10:40
座長:上野嶺(東北大学)
3D1-1
Information leakage through passive timing attacks on ElGamal Elliptic Curve Cryptography
◎Tomonori Hirata(Nagoya University)、Yuichi Kaji(Nagoya University)
The threat of timing attacks is especially serious when an attacker actively controls the input to a target program. Countermeasures are studied to deter such active attacks, but the attacker still has the chance to learn something about the concealed information by passively watching the running time of the target program. The risk of passive timing attacks can be measured by the mutual information between the concealed information and the running time. However, the computation of the mutual information is hardly possible except for toy examples. This study focuses on a decryption algorithm for ElGamal Elliptic Curve Cryptography, derives formulas of the mutual information under several assumptions and approximations, and calculates the mutual information numerically for practical security parameters.
3D1-2
楕円曲線DSAに対する格子簡約攻撃に必要なナンス漏洩ビット数について
◎阿部浩太郎(東京大学)、池田誠(東京大学)
楕円曲線DSAで用いられるナンスは,サイドチャネル攻撃により数ビットの漏洩が多数の署名に渡って得られる場合,格子簡約攻撃により秘密鍵の復元につながることが報告されている.この攻撃について,正しく秘密鍵が復元されるために必要な漏洩ビット数は明らかになっておらず,現時点での攻撃の限界を特定することは暗号ハードウェアのサイドチャネル攻撃に対する脆弱性評価において重要である.本稿では計算機上のシミュレーションにより,様々な鍵長の楕円曲線DSAに対し漏洩ビット数を変化させて格子簡約攻撃を実行し,攻撃の成否を調査する.
3D1-3
RSA暗号の鍵生成におけるBinary GCDアルゴリズムの安全性評価
◎谷健太(筑波大学情報学群情報科学類)、國廣昇(筑波大学システム情報系)
Aldayaらは,CHES2019において,特定のバージョンのOpenSSLにおけるRSA暗号の鍵生成時に使用するBinary GCDアルゴリズムの脆弱性を指摘した.さらに,サイドチャネル攻撃のFlush+Reload攻撃などを用いてBinary GCDアルゴリズムの実行状態の系列から秘密鍵を復元する手法を提案した.サイドチャネル攻撃によって得られる実行状態の系列にはエラーが含まれており,現実的な攻撃を想定する場合は,このエラーを訂正する必要がある.Aldayaらのアルゴリズムは実行状態の系列のある種のエラーに特化したアルゴリズムであるが,他の種類のエラーが含まれるとき,正しい秘密鍵が解の候補に含まれないという問題点があった.本発表では,まず,複数の種類のエラーを考慮したエラーモデルを導入する.さらに,このモデルに基づき,複数の種類のエラーが含まれる実行状態から秘密鍵の一部を復元するアルゴリズムを提案する.我々のアルゴリズムは,Aldayaらのアルゴリズムと異なり,正しい秘密鍵が解の候補に必ず含まれる.最後に,どの程度のエラーの下で秘密鍵を完全に復元できるかを数値実験により評価する.
3D1-4
数論変換におけるサイドチャネル攻撃に対するRing-LWE暗号方式およびModule-LWE暗号方式の理論的な安全性解析
◎大西健斗(東京大学・日本学術振興会特別研究員DC)、國廣昇(筑波大学)
Ring-LWE暗号方式およびModule-LWE暗号方式は,耐量子暗号方式の候補の一つであり,米国標準技術研究所(NIST)の標準化計画の候補にもなっている.特に,これらの暗号方式は,数論変換(Number Theoretic Transform)による効率的な実装法が提案されている.しかし,数論変換には,サイドチャネル攻撃の脅威が報告されており,安全性に与える脅威を定量的に見積もることが重要である.本発表では,NISTに提案されたRing-LWE暗号方式およびModule-LWE暗号方式の基盤であるLPR暗号方式の安全性解析を行う.特に,数論変換を構成する積の入力が,確率1-δで漏洩するモデルにおける安全性解析を行う.まず,数論変換の入出力を復元するアルゴリズムを提案することにより,LPR秘密鍵復元アルゴリズムを提案する.さらに,提案アルゴリズムの理論的解析を行い,δが0.78以下のとき,LPR秘密鍵が復元可能であることを示す.

3E1 AIセキュリティ(1) 1月21日(木) 9:20-10:40
座長:森達哉(早稲田大学)
3E1-1
機械学習システムに潜むAIセキュリティ脆弱性の分析手法に関する一考察
○矢嶋 純(富士通研究所)、清水 俊也(富士通研究所)、森川 郁也(富士通研究所)、大久保 隆夫(情報セキュリティ大学院大学)
近年, Adversarial Exampleに代表されるAIセキュリティの研究が盛んに行われている. AIモデルを設計する設計者, またはAIの提供者(システムエンジニアなど)は, AIセキュリティの専門家であるとは限らない. このような非専門家が自身のAIへの脅威を概観レベルで知りたいときのセキュリティ分析手法について検討した. 一般的なITシステムにおけるセキュリティ分析や産業機器におけるセーフティ分析の多くは専門知識を有する専門家が利用することが前提となっている. このため, 非専門家向けの分析技術を開発するにあたってこれらの手法を転用することは困難であると考えられる. そこで我々は, PCS-DSSの自己診断などで利用されている問診形式の分析が適切ではないかと考えた. この方法では簡単な質問にYes, No, 不明の3通りで回答していくことで概観レベルの分析を実現する. 不明も回答できることで非専門家による回答も容易となる. 一例として問診を利用した分析技術を実装し試行を行った結果も合わせて報告する.
3E1-2
生成モデルを利用した機械学習モデルのバックドア検知手法
◎清水 俊也(株式会社富士通研究所)
近年, 機械学習の利用が広がるにつれ, 敵対的サンプルに代表されるような機械学習におけるセキュリティ問題が発見され, その研究の重要性が増している. バックドア攻撃は, 機械学習のセキュリティ問題の一つであり, ある特定のトリガーをもつ入力(例えば特定の位置に特定のマークを有する画像)に対してのみ異常なふるまいを起こすように, モデルを改変する攻撃である. 転移学習やファインチューニングのように, 訓練済みのモデルを利用して新しいモデルを開発する際には, 利用するモデルにバックドアが含まれているか否かを検知することが非常に重要になる. 本稿では, 特に画像分類を行う機械学習モデルにおいて, 従来では難しかった占有面積の大きなトリガーについて, トリガーが自然な画像であるという前提条件のもとで検知を行う手法を提案する. 提案する手法の特徴は, トリガーの探索に生成モデルを利用する点, 生成モデルの訓練において, モデルが生成したデータがトリガーとして機能するかという判別機を用いる点, 生成されたトリガーの自然さを判定するGANを利用する点である.
3E1-3
Study Signature Embedding Method against Backdoor Attack on DNN Model
○Wenbo Liu(Japan Advanced Institute of Science and Technology (JAIST), Japan)、Rui Wen(Helmholtz Center for Information Security (CISPA), Germany)、Yuntao Wang(Japan Advanced Institute of Science and Technology (JAIST), Japan)
Deep Neural Networks (DNNs) are commonly used in image classification. However, they are vulnerable to multiple security and privacy attacks. In particular, the backdoor attack, which makes the target model behaves normally on benign inputs while being activated when a trigger appears. Despite the severe consequences that may be caused by backdoor attacks, it's typically hard to detect the backdoor due to the lack of transparency in deep neural networks. In this paper, we study the countermeasures against such backdoor attack. We consider two scenarios that defender absolutely knows the backdoor pattern; and defender just knows partial information about the backdoor pattern, e.g. the pattern's location or size. We propose a method to test whether the data is poisoned by embedding signatures into partial original data and observing the accuracy of the trained model. We evaluate the effectiveness of our method on two representative data sets, namely, MNIST and CIFAR10. The experimental results show that our method is effective on detecting the backdoor where the test accuracy based on the polluted data can be explicitly reduced by larger than 10% comparing with the clean data .
3E1-4
転移学習を利用したメンバシップ推測攻撃
○披田野 清良(KDDI総合研究所)、川本 裕輔(産業技術総合研究所)、村上 隆夫(産業技術総合研究所)
機械学習のプライバシーに関する代表的な脅威として,学習済みモデルの出力からあるデータが訓練データに含まれていたかどうか(メンバシップ情報)を推測するメンバシップ推測攻撃がある.本攻撃では,攻撃対象の訓練データと同一の分布に従うデータ(シャドウ訓練データ)から攻撃対象の機械学習モデルと類似のモデル(シャドウモデル)を構築する.そして,シャドウモデルに対するシャドウ訓練データの応答を分析し,訓練データとそれ以外のデータを判別するための攻撃モデルを構築する.しかしながら,既存手法では,攻撃対象の訓練データと同等のサイズのシャドウ訓練データを用意することを前提としており,攻撃者が大量のデータを別途収集することは必ずしも容易ではない.そこで,本稿では,機械学習の分野で近年活発に議論されている転移学習を応用し,限られた量のシャドウ訓練データから効率的に攻撃モデルを構築する新たなメンバシップ推測攻撃を提案する.また,本稿では,評価実験を通して,提案手法により,少量のシャドウ訓練データのみでメンバシップ情報を推測でき,さらには既存手法よりも高い攻撃性能を達成できることを示す.

3F1 プライバシー保護(1) 1月21日(木) 9:20-10:40
座長:王立華(情報通信研究機構)
3F1-1
Anonify: プライバシーを保護した検証可能な状態遷移モジュール
◎須藤 欧佑(株式会社LayerX)、恩田 壮恭(株式会社LayerX)、中村 龍矢(株式会社LayerX、東京大学)
社会のデジタル化が進む中で, ユーザのパーソナルデータを利用するサービスや,複数の企業や組織間で業務データ等を共有するシステムが誕生している.このようなシステムでは, 用途に応じて,データを他の参加者やシステムの運営者に対して秘匿化したまま利活用できることが望ましい.本稿では, 幅広いアプリケーションにおいて, 状態データを秘匿化して記録したまま, ビジネスロジックを実行可能とするモジュールであるAnonifyを提案する. AnonifyはTrusted Execution Environment(TEE)を用いることにより, データを秘匿化しつつ,実行されるプログラムの完全性を保証する.また, トランザクションをブロックチェーンに記録することにより, 状態データの改ざんを困難とする. さらに, 特定の主体に対してのみデータを開示する監査機能も提供する. 我々はAnonifyのプロトタイプを実装し, デジタルアセット管理のアプリケーションにおけるパフォーマンス評価を行った.
3F1-2
An Anonymous Credential System with Mixer Techniques
◎Tomonori Mizuuchi(Tokyo Institute of Technology)、Mario Larangeira(Tokyo Institute of Technology and IOHK)、Keisuke Tanaka(Tokyo Institute of Technology)
In anonymous credential systems, users obtain credentials from an issuing authority and prove the possession of the credential to other verifying parties. The main security feature comes from the property that such proofs cannot be linked to the same credential, i.e., unlinkability of credentials. Such systems found many applications because it provides privacy for users and use cases in the real world, e.g., driving licenses, passports, etc. Unfortunately, typically proofs of the credential possession require computationally heavy zero-knowledge proof protocols between users and verifiers to achieve unlinkability property. In this paper, we propose a more efficient anonymous credential system based on the approach that we handle credentials as transactions in the sense of transaction in Bitcoin protocol, i.e., decentralized ledger. In our design, Bitcoin-like transactions act as credentials, and the unlinkability property is achieved by the anonymizing technique called mixing in Bitcoin, i.e., a node that mixes the transactions. Therefore, our approach allows that proofs of possession of a credential require only verification of the signature associated with the transaction on the public ledger, which avoids more computationally intensive cryptographic primitives.
3F1-3
Contact Tracing from BLS Signature with Updatable Public Keys
◎Xiangyu Su(Tokyo Institute of Technology.)、Pengfei Wang(Tokyo Institute of Technology.)、Maxim Jourenko(Tokyo Institute of Technology.)、Mario Larangeira(IOHK., Tokyo Institute of Technology.)、Keisuke Tanaka(Tokyo Institute of Technology.)
Digital credentials, like their physical counterpart variants, enable one to assure others about the validity of some claim, which was verified by some authority. In the digital world, presenting a proof of possession of a credential may reveal sensitive information, e.g., identity and private attributes. Schemes that support some sort of anonymity property consider privacy issues, i.e., hide the link between entities with identities, and keep private attributes secret. However, a design with centralized credential issuers yield a single point of failure. Garman et al. (NDSS'14) proposed the Decentralized Anonymous Credentials (DAC) scheme, which enhances anonymous credential issuing with a distributed ledger and eliminates the need for trusted third party issuers. Moreover, entities can prove credentials within an anonymous set, i.e., a set collected from the ledger containing others’ credentials. In this work, we consider the scenario in which entities want to be informed whenever their credentials are involved in some anonymous sets. A novel feature not supported by existing schemes. We formalize this new property by relying on the traceability feature of the DAC. Concretely, in this work, we revisit the DAC definitions and provide a construction based on public-key updatable signature schemes. Finally, we introduce a system design for a practical protocol for COVID-19 contact tracing.
3F1-4
Environmental Adaptive Privacy Preserving Contact Tracing System for Respiratory Infectious Diseases
◎Pengfei Wang(Tokyo Institute of Technology)、Xiangyu Su(Tokyo Institute of Technology)、Maxim Jourenko(Tokyo Institute of Technology)、Zixian Jiang(Kyoto University)、Mario Larangeira(Tokyo Institute of Technology)、Keisuke Tanaka(Tokyo Institute of Technology)
The COVID-19 pandemic is causing severe losses across the globe, and the scientific community devised means to implement "contact tracing" mechanisms to mitigate the spread of the infection. The crucial idea is to scan and record close contacts between each user using mobile devices, in order to notify each person when their close contact(s) is diagnosed positive. Currently various organizations and researchers have developed their own contact tracing systems. However these systems’ false-positive rate is too high for them to become practical in real world as they do not filter huge amount of scan results as the range of transmission for droplets is far less than the scanning range for Bluetooth Low Energy, which is used by current contact tracing systems. Furthermore current systems neglect airborne transmission other than droplet transmission. Moreover, the ability granted to service providers of the contact tracing systems to access user data violates user privacy. Finally, attackers can modify, remove or fabricate contact records in their devices, which harms the integrity of the system. In this paper, we propose a new contact tracing system which uses environmental factors to filter out results outside the effective transmission distance, and also take airborne transmission into consideration. In addition we implement an updatable public key mechanism with blockchain bulletin board to protect user privacy from service providers and the integrity of the system.

3A2 暗号理論(2) 1月21日(木) 11:00-12:20
座長:岩本貢(電気通信大学)
3A2-1
改良版XORベース階層的秘密分散法についての考察
○島 幸司(情報セキュリティ大学院大学)、土井 洋(情報セキュリティ大学院大学)
参加者をレベルに分割し,そのレベルで分割された参加者のグループ間で秘密を共有する階層的秘密分散法が知られている.本研究では,IWSEC 2018の手法の正方行列への改良を提案する.また,階層的秘密分散法では,アクセス構造を満たす復元可能な参加者集合にもかかわらず,参加者の組み合わせによっては復元できない問題が知られている.提案手法におけるこの問題を巡回行列の性質を用いて議論する.さらに,実用性を見据えて,ソフトウェア実装評価を示す.
3A2-2
秘密分散における複数メッセージに対する緩和した改ざん耐性
◎成田資(東京工業大学)、吉田雄祐(東京工業大学)、田中圭介(東京工業大学)
ICISC 2020において成田らはIND-CCA安全な公開鍵暗号を用いて秘密分散方式に改ざん耐性を付与する変換手法を示した.この変換により得られる改ざん耐性はGoyalとKumarの提案した秘密分散における標準的な改ざん耐性よりも緩和された改ざん耐性であったが,任意のアクセス構造を持つ秘密分散方式に対して,最も強力な改ざんモデルである overlap-joint 改ざんに対する耐性を付与することができた.成田らの提案した緩和した改ざん耐性は単一のメッセージを対象とした改ざんのみを考慮していた.これは秘密分散方式が複数のメッセージに対して使用される状況では不十分な定義である.そこで本稿では,緩和した改ざん耐性を複数メッセージに対する定義へと拡張する.加えて,成田らの変換により得られる方式が複数メッセージに対する緩和した計算量的改ざん耐性を満たしていることを示す.
3A2-3
秘密同時メッセージと条件付き秘密開示に対する乱数長下界
○河内 亮周(三重大学)、吉田 真紀(情報通信研究機構)
秘密同時メッセージ(PSM)と条件付き秘密開示(CDS)はそれぞれ秘密計算と秘密分散の亜種であり,複数の参加者が個別入力 x1,...xk と共有乱数を用いてメッセージを生成し,そのメッセージを受け取った審判が計算結果を出力する.PSMでは公開された関数 f に対して審判は関数値f(x1,…,xk)以外を知ることなしにこの値を出力し,CDSでは公開された述語 f と秘密の値 s に対して審判は f(x1,…,xk)=1のときsを出力し,それ以外の場合 (関数値が0の場合) にはsに関して何の情報も得られない.本研究では,これらのモデルにおける共有乱数長の下界が通信計算量(必要十分なメッセージ長)から導出できることを示す.またその関係を利用して,(1) Feigeらの任意関数に対する汎用復元PSMプロトコルの乱数長がほぼ最適であること,IP関数に対するPSMプロトコルの乱数長下界,(2) AND関数,XOR関数に対する乱数長の下界,特にAND関数については最適であること,秘密分散でよく現れる閾値関数や一様アクセス関数を含むようなある関数クラスに対するCDSプロトコルの通信計算量下界・乱数長下界,および多項式サイズ審判かつ汎用復号CDSプロトコルの通信計算量および乱数長の指数下界,を示す.
3A2-4
コミットアンドプルーブ非対話ゼロ知識証明を用いたブラックボックス構成に関する考察
○山下恭佑(京都大学/産業技術総合研究所)、Tibouchi Mehdi(NTT/京都大学)、阿部正幸(NTT/京都大学)
本稿では非対話ゼロ知識証明 (NIZK)の証明する言語を拡張する方法が一般に存在するかを考察する.すなわち,NP言語L0とL1に対するNIZKがそれぞれ与えられたときに,言語 L0 ∨ L1 に対するNIZKがブラックボックス構成可能かを問うものである.NIZKの扱う言語拡張に関するブラックボックス構成の研究はAbeら(PKC20)に端を発するものである.彼らは言語 L0とL1に対するシ ミュレーションサウンドNIZKから言語 L0 ∨ L1 に対するNIZKがブラックボックス構成できないことを示した.我々は与えられるNIZK がコミットアンドプルーブ非対話ゼロ知識証明であったとしても,上記の言語に対するNIZKのブラックボックス構成が不可能であることを示す.本稿の結果は,NIZKの能力をその扱う言語という観点から強化するためには何らかの数学的構造(代数構造など)を用いる必要があることを示唆するものである.

3B2 暗号プロトコル(2) 1月21日(木) 11:00-12:20
座長:西巻陵(NTT)
3B2-1
検索可能暗号の鍵更新について
○平野 貴人(三菱電機株式会社)、川合 豊(三菱電機株式会社)、小関 義博(三菱電機株式会社)、渡邉 洋平(電気通信大学)、岩本 貢(電気通信大学)、太田 和夫(電気通信大学)
本稿では、検索可能暗号の鍵更新に注目する。特に、鍵更新最大回数にサイズが依存しない効率的な鍵更新可能な検索可能暗号を提案する。
3B2-2
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
○光成滋生(サイボウズ・ラボ株式会社)、縫田光司(東京大学/産業技術総合研究所)
我々がSCIS2020「ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用」で提案したプロトコルの概要は次のようなものであった。 EncをLifted-ElGamal暗号とする。 クライアントがEncの秘密鍵を持ち、サーバは平文mが未知である暗号文Enc(m)を持っているとする。 このとき任意の関数fに対し、サーバはsemi-honestなクライアントと1ラウンド通信することで サーバ、クライアントともにmの情報を得ることなくEnc(f(m))を計算できるプロトコル。 従来の方法はmaliciousモデルでは2ラウンド通信が必要で通信量も大きいものであった。 本論文ではZKPを用いて1ラウンド通信で可能な方法を提案する。 通信量は、アプリケーションでとり得る平文集合をSとしたときO(|S|)である。
3B2-3
On Private Information Retrieval Supporting Multi-dimensional Range Queries
◎Junichiro Hayata(The University of Tokyo/AIST)、Jacob C. N. Schuldt(AIST)、Goichiro Hanaoka(AIST)、Kanta Matsuura(The University of Tokyo)
Private information retrieval (PIR) allows a client to retrieve data from a database without the database server learning what data is being retrieved. Most of the existing PIR schemes consider searching simple one-dimensional databases and the supported query types are often limited to index queries only, which retrieve a single element from the databases. However, most real-world applications require more complex databases and query types. In this paper, we build upon the notion of query indistinguishability by Hayata et al. (ESORICS2020), and formalize query indistinguishability for multi-dimensional range queries. We then give a construction of a secure multi-server scheme based on function secret sharing. This is the first instantiation of a PIR scheme supporting multi-dimensional range queries while being capable of hiding the type of query being made and, in the case of multi-dimensional range queries, the number of elements retrieved in each query, when considering a stream of queries.
3B2-4
真に簡潔なOblivious RAMプロトコルの提案
◎福成理紀(東京工業大学)、尾形わかは(東京工業大学)
クラウドストレージなど大量のデータをサーバに預けて扱う際,通常の暗号化のみではどのデータを操作したかというアクセスパターン情報がサーバに漏洩する. アクセスパターンをサーバから秘匿するプロトコルとしてOblivious RAM(ORAM)プロトコルが存在する. ORAMプロトコルの効率の指標として,アクセス時にかかる通信量や計算量の他に,サーバに必要となるストレージサイズも考慮される. N 個の B ビットブロックを保存するORAMプロトコルを考えた時,必要なストレージサイズが小さいORAMプロトコルとして,必要なストレージサイズが NB+o(NB) ビットである,簡潔性を持ったORAMプロトコルが提案されている. しかし,先行研究では簡潔性が成り立つためにはブロックサイズ B が log N やセキュリティパラメータ λ より十分大きいという制約がある. そこで本研究では,任意のブロックサイズ B に対しても簡潔性が成り立ち,よりストレージサイズが小さく済む,真に簡潔なORAMプロトコルを提案する.

3C2 教育・心理学(2) 1月21日(木) 11:00-12:20
座長:金岡晃(東邦大学)
3C2-1
個人情報漏えい事件・被害に対する株式市場の反応に関する分析
竹村敏彦(城西大学)、○小山明美(独立行政法人情報処理推進機構)、小川隆一(独立行政法人情報処理推進機構)
近年,個人情報漏えい事故・被害の件数が年々増加の一途をたどるとともに,その内容およびその原因も多様化している.これらのセキュリティ・インシデントが発生すれば,当該企業,もしITサプライチェーンでつながっている企業であればそれらの企業にも,大きな影響を及ぼすことが予想される.本研究では,2015年1月から2020年12月(5年間)に国内で発生した個人情報漏えい事故・被害の公開情報をもとに,このインシデントの発生に関する公表が企業の株価に与える影響を,イベントスタディと呼ばれる手法を用いて検証した.分析の結果、インシデントの発生に関する公表が株価の低下(企業価値の毀損)をもたらすことなどを明らかにした.また,業種別,インシデント発覚から公表までの期間別,個人情報漏えいの原因別に,更なる分析を行ったところ,インシデントの発生に関する公表が株価に与える影響にもいくつかの特徴的な傾向があることを明らかにすることができた.
3C2-2
インシデント事例に基づくITサプライチェーンへのセキュリティ対策実施に関する一考察
○森淳子(独立行政法人情報処理推進機構)、小山明美(独立行政法人情報処理推進機構)、小川隆一(独立行政法人情報処理推進機構)、竹村敏彦(城西大学)
ITシステム・サービスに関する業務委託契約において,委託元企業と委託先企業の間で情報セキュリティ要求事項に関する責任範囲の取り決めを行うことなどは必ずしも容易ではない.それゆえに,そのシステム・サービスにおいてセキュリティ・インシデントが発生した際,両者の間でトラブルに発展することだけでなく,セキュリティリスクへの対応や収束の遅延につながることなども懸念される.また,IT機器やストレージのリースの返却後に委託先企業からの個人情報漏洩や,委託先企業のクラウドサービスの障害発生による委託元企業の業務への支障などといったITサプライチェーン上のセキュリティ・インシデントが近年,数多く報告されている.本研究では,2020年2月において独立行政法人情報処理推進機構が実施した「ITシステム・サービスの業務委託契約書見直しに関する実態調査」の調査結果を用いて,企業属性と,IT機器やストレージのリースに関する取り決め,クラウドサービスに関する取り決めの関係について分析を行った.ITシステム・サービスに係る立場,従業員数,業務委託契約時にセキュリティ要件の具体的な内容の検討を行う部門などの企業属性により,インシデントの事例に基づくセキュリティ対策の実施状況に違いがあることがわかった.
3C2-3
攻撃者の誘導の意図が隠蔽された攻撃を防御する手法の研究
○角尾 幸保(東京通信大学)、河田 真由子(株式会社富士通研究所)、古川 和快(株式会社富士通研究所)
本稿では,耐誘導コミュニケーション研究の一例を紹介する.耐誘導コミュニケーションとは,攻撃者の誘導により標的に不利益な行動を選択させる攻撃において,攻撃者の誘導から標的を防御するための情報交換のことである.電話や電子メールを介した攻撃により,情報漏洩や金銭窃取の被害にあう事例等が研究対象となる.この種の状況下では,攻撃者から提供される情報により,標的は自らの意思決定の結果として,自らに利益をもたらす行動と(誤)認識しながら,自らに不利益な行動選択に誘導される.もし,攻撃者の誘導の意図を検出できれば,標的は攻撃に対する防御の行動を選択できる.単純で効果的な防御方法の1つは,標的が情報交換を中断することである.逆に,攻撃者の意欲を削がずに情報交換を継続し,攻撃者の情報を収集することも考えられる.また,攻撃を困難もしくは防御を容易にする情報交換の定型的な手法があれば,誘導に対する組織の耐性を底上げする教育手法やシステムの構築が可能となる.本報告では,攻撃者の誘導を検知や防御するために標的が注意すべき観点を列挙し,また,標的がとりうる攻撃者の攻撃意欲を削ぐ手法等について説明する.
3C2-4
セキュリティ行動の心理学的観点に関するサーベイ
◎河田真由子(株式会社富士通研究所)、古川和快(株式会社富士通研究所)、角尾幸保(東京通信大学)
本稿では、情報セキュリティ分野におけるエンドユーザのセキュリティ行動を促進させる心理学的アプローチについて、システマティックレビューの手法を参考にサーベイした結果を報告する。エンドユーザのセキュリティ行動には、安全なWebブラウジングやPW変更、ソフトウェアのアップデートやデバイス管理等さまざまにあるが、これまではエンドユーザに対してUIの改善等一律のアプローチでセキュリティ行動を促す手法が主であった。我々は、個々の人間それぞれに対してセキュリティ行動の動機づけをすることで高い効果が得られるのではないかと考え、個々人の動機付けが可能と考えられる心理学的アプローチに絞って系統的に文献を調査し整理した。その結果、心理学的アプローチは「行動理論の適用」「モデル開発」「尺度作成」等の分類ができることが分かった。それらのアプローチによる成果も併せて報告する。

3D2 ハードウェアトロイ 1月21日(木) 11:00-12:20
座長:汐﨑充(立命館大学)
3D2-1
ニューラルネットワークを用いたハードウェアトロイ識別に対する敵対的サンプル攻撃における改変評価値の拡張と評価
◎野澤康平(早稲田大学大学院基幹理工学研究科)、披田野清良(株式会社KDDI総合研究所)、長谷川健人(株式会社KDDI総合研究所)、清本晋作(株式会社KDDI総合研究所)、戸川望(早稲田大学大学院基幹理工学研究科)
近年のIC製品の需要増加により,設計・製造工程の外部への委託が増加している.第三者が各工程に関与することで,ハードウェアトロイと呼ばれる悪意のある機能を持つ回路を混入される恐れが指摘されている.この脅威を排除する手法として,回路設計情報から抽出した特徴量をもとに,ニューラルネットワークなどの機械学習を利用してハードウェアトロイを識別する手法が考案されている.一方,機械学習による識別に対抗して攻撃する手法が存在しており,回路においても特殊な改変を加えると識別性能が低下する攻撃(敵対的サンプル攻撃)が確認されている.本稿では,従来の敵対的サンプル攻撃において用いられる改変の評価値をもとに,評価において重視する点に応じてパラメータで調整できるよう拡張した評価値を提案する.評価実験の結果,新たに拡張した評価値により,ハードウェアトロイの識別におけるTrue Positive Rate (TPR)を0%にする回路改変を選択し,トロイ回路を完全に隠蔽することに成功した.
3D2-2
ニューラルネットワークを用いたハードウェアトロイ識別における特徴数による敵対的サンプル攻撃耐性の考察
◎山下一樹(早稲田大学基幹理工学部情報通信学科)、野澤康平(早稲田大学大学院基幹理工学研究科)、披田野清良(株式会社KDDI総合研究所)、清本晋作(株式会社KDDI総合研究所)、戸川望(早稲田大学大学院基幹理工学研究科)
近年,ICの設計・製造工程において,ハードウェアトロイを挿入される脅威が増加している. ハードウェアトロイは,情報漏洩や機能障害などの悪意ある動作を発現する回路であるため,事前に検出する必要がある. 既存研究には,ゲートレベルのネットリストから回路構成上の特徴量を抽出し,ニューラルネットワークを用いてハードウェアトロイを識別する手法が存在する. この手法では,51個の特徴量が提案され,特に効果のある11種類が紹介されている. 一方で,トロイネットの識別率を下げるよう回路に摂動を与える敵対的サンプル攻撃が提案されている. この攻撃は,回路に論理的等価な改変を加え,特徴量を変える手法であり,実際にトロイネットの識別率が下がることが確認されている. 本稿では,ニューラルネットワークを用いて,11個と51個の特徴量を用いて識別器を生成し,敵対的サンプル攻撃を適用した回路の識別精度を比較する. 評価実験の結果,51個の特徴量を用いた方が11個の特徴量を用いるより攻撃に耐性のある識別器の生成が可能であることを確認した.
3D2-3
トリガ回路の性質にもとづく特徴量を利用した機械学習によるハードウェアトロイ識別
◎栗原樹(早稲田大学)、戸川望(早稲田大学)
近年,IoTデバイスの普及に伴い,日常の様々なものに組み込みハードウェアが利用されている. 組込み機器の需要増加により設計や製造の一部を第三者に外部委託するようになっている. これにより悪意ある第三者により回路中に悪意ある機能をもつ回路,ハードウェアトロイが挿入される危険性が増大している. 本稿では,ハードウェアトトロイのトリガ回路が持つ性質を反映した特徴量を機械学習で学習し,ハードウェアトロイが挿入された回路のゲートレベルネットリストをトロイネット(ハードウェアトロイを構成するネット)とノーマルネット(正常な回路を構成するネット)に分類する. 計算機実験による識別評価の結果を示す.
3D2-4
機械学習を用いたハードウェアトロイ検出における識別結果伝搬法
◎竹原康太(早稲田大学大学院基幹理工学研究科)、戸川望(早稲田大学大学院基幹理工学研究科)
近年,組込みハードウェアの需要増加に伴ってICの設計や製造の外部委託が増加し, 第三者によりハードウェアトロイと呼ばれる悪意ある回路が挿入される危険性が増している. 日々進歩する未知のハードウェアトロイに対処するため,機械学習による検知手法が提案されている. 本稿ではゲートレベルネットリストにおける機械学習を用いたハードウェアトロイ検出を対象に, 識別段階においてハードウェアトロイの検出精度を向上させる手法を提案する. 提案手法は,機械学習により得た評価値を元に,ネットの連結情報を利用しながら識別を行う. Trust-HUBで公開されているネットリストを対象に比較実験を行った結果, 提案手法を適用することで,提案手法を適用しない場合と比較してF-measureが3.907%上昇した.

3E2 AIセキュリティ(2) 1月21日(木) 11:00-12:20
座長:清水俊也(富士通研究所)
3E2-1
説明可能なAIに対するデータ収集を必要としないModel Stealing攻撃
◎三浦 尭之(NTTセキュアプラットフォーム研究所)、長谷川 聡(NTTセキュアプラットフォーム研究所)
近年,機械学習に基づく人工知能(AI)は社会の様々な分野で活躍が期待されており,特にその推論根拠も提示する説明可能なAIが盛んに研究・開発されている.しかし,AIの安心安全な開発・展開・活用には多くの課題があり,中でも,訓練済みモデルをその入出力の情報のみから盗み出してしまうmodel stealing攻撃は,知的財産保護の観点や訓練データ中の個人のプライバシーの観点から重要な問題である.特に近年,生成モデルを用いて攻撃者が入力データの収集すら行う必要のないデータフリーな攻撃方式が提案されている.この方式は,攻撃者は特定のドメイン知識すら持つ必要がなく,アルゴリズムのみでモデルを盗めるという点で大きな脅威となる攻撃であるが,従来の攻撃よりも多くのクエリ量を必要としてしまう.本研究では,説明可能なAIが説明として出力する付加情報をうまく利用することで,従来よりもクエリ量の少ないデータフリーなmodel stealing攻撃が可能であることを示した.これは,モデル自身の解釈性とmodel stealing攻撃に対する安全性との間にトレードオフがあることを表し,AIを安心安全に開発・展開・活用していく上で考慮すべき大きな課題である.
3E2-2
ステートフル検知手法のソフトラベル型Black-box攻撃に対する性能評価
◎下條道 皐太(茨城大学)、由比藤 真(茨城大学)、米山 一樹(茨城大学)
Black-box攻撃によるAdversarial Examplesの生成に対して、SPAI 2020においてChenらによってクエリを逐一マッピングして比較するステートフル検知手法が提案された。しかし、評価対象としているBlack-box攻撃はハードラベル型のtargeted攻撃だけであり、比較のしきい値をある固定の値にした場合しか評価が行われておらず、ソフトラベル型Black-box攻撃やしきい値を変化させた場合については未検証であった。本稿では、既存の代表的なソフトラベル型Black-box攻撃のtargeted攻撃とuntargeted攻撃によるクエリデータに対して、しきい値を変化させてステートフル検知手法を適用し、検知成功確率により性能評価を行う。検証の結果、ソフトラベル型攻撃においてもステートフル検知手法は有効であること、targeted攻撃の方がuntargeted攻撃よりも検知しやすいことを示す。
3E2-3
ランダムパターンノイズを用いたブラックボックスAdversarial Examples攻撃
◎Makoto Yuito(Ibaraki University)、Kazuki Yoneyama(Ibaraki University)
Adversarial examples are one of the largest vulnerability of deep neural networks. An attacker can deceive the classifiers easily with the malicious inputs (called adversarial examples) which perturbations are slightly added to benign inputs. Recent studies achieve high attack success rates by various optimization methods and efficient schemes have been proposed in black-box settings that the attacker is limited only to query accesses to the network. In this paper, we propose a new score-based black-box $\ell_\infty$-adversarial attack based on a random search. In our experiments, we pick some common datasets CIFAR-10 and ImageNet, and evaluate our method in terms of attack success rates and query efficiency compared to the state-of-the-art methods on these datasets. We show that our method achieves higher attack success rate and query efficiency than previous methods, especially in low query budgets on both untargeted and targeted attack settings. Specifically, we improve the average query efficiency in the untargeted setting by a factor of 2.44 on CIFAR-10 and 1.26 on ImageNet compared to the recent state-of-the-art $\ell_\infty$-attack of Andriushchenko et al.
3E2-4
Adversarial ExampleのTransferabilityに基づく特徴抽出層の同一性判定
◎近藤 知之(NTTテクノクロス株式会社/情報セキュリティ大学院大学)、大塚 玲(情報セキュリティ大学院大学)
転移学習において、転移学習元のモデルに対して有効なadversarial exampleが、転移学習したモデルにも有効であることが知られている。そこで、いずれかのモデルから転移学習したモデルに対してadversarial exampleの攻撃が成功するか否かを利用して転移学習の元モデルを特定できることを説明し、転移学習元モデルの特定手法として利用可能であることを示す。

3F2 プライバシー保護(2) 1月21日(木) 11:00-12:20
座長:千田浩司(NTTセキュアプラットフォーム研究所)
3F2-1
ステガノグラフィを用いたプライバシ保護顔認証に関する検討
◎神津岳志(東北大学 大学院情報科学研究科)、河合洋弥(東北大学 大学院情報科学研究科)、伊藤康一(東北大学 大学院情報科学研究科)、青木孝文(東北大学 大学院情報科学研究科)
顔認証は,利便性と受容性の高さより,スマートフォンのユーザ認証や出入国審査の個人認証などで広く利用されている.一方で,SNSなどのクラウドサービスに利用拡大に伴って顔写真がインターネットから簡単に手に入るため,顔認証システムに対するなりすまし攻撃などにそれらの顔写真が悪用される危険性がある.そのため,顔写真のプライバシーを保護したまま顔認証を行うことができる手法が求められている.本稿では,ステガノグラフィーを用いたプライバシー保護顔認証を提案する.Deep Steganography を用いて顔特徴量を別の画像に埋め込むことでプライバシーを保護しつつ,専用の識別機を用いて埋め込み画像に対して顔認証を行う.顔画像の公開データセットを用いた性能評価実験を通して提案手法の有効性を示す.
3F2-2
データコラボレーションを適用した画像データの復元可能性と安全性向上のための一提案
◎山添貴哉(筑波大学)、面和成(筑波大学)
近年,機械学習分野などの研究の発展により医療や金融,広告などさまざまな分野でデータの利活用が促進されている.データの利活用には膨大なデータ量が必要であるため,複数機関のデータを統合して解析をする場合がある.その際,個々のデータのプライバシーを保護しつつデータの解析を可能にする分散型データ解析の手法が注目されている.そのなかで非モデル共有型の学習手法として,データを次元削減して中間表現として共有するデータコラボレーションと呼ばれる手法が提案されている.本論文では,この新しいモデル学習のフレームワークの安全性を評価するために生成モデルのGANをベースとした攻撃モデルを提案する.また中間表現に対するプライバシー対策処理をかけることにより,データコラボレーションの安全性を高めるための手法について提案する.さらに,攻撃モデルを用いて中間表現から元データが復元されるリスクとプライバシー対策処理の効果を実験的に評価する.
3F2-3
Co-locationを考慮した擬似トレース生成に向けた匿名化手法に関する検討
◎成田 惇(静岡大学大学院総合科学技術研究科)、菅沼 弥生(静岡大学大学院総合科学技術研究科)、西垣 正勝(静岡大学大学院総合科学技術研究科)、村上 隆夫(国立研究開発法人 産業技術総合研究所)、大木 哲史(静岡大学大学院総合科学技術研究科)
位置情報はユーザの趣味や友人関係といった様々な情報が関連している.位置情報を活用することで,よりパーソナライズされた有用性の高いサービスを提供することが可能となる.このような推薦アルゴリズムだけでなく,濃厚接触者追跡といった社会的に重要な用途の活用においても,位置情報の活用は重要である.そこで本研究では,位置情報サービス提供者が,ユーザのプライバシーを保護しつつ移動履歴情報を第三者提供することで,第三者機関による周辺地域の人気施設の抽出やユーザの行動分析を実現するための手法として,擬似トレースの生成法に着目する.生成されるトレースの有用性を高めるために,新たなパラメータとして友人関係発生確率とCo-location回数行列の2つの概念を導入する.Foursquare Datasetを対象として提案手法の検証を行い,Xiaoらが提案したPriveletアルゴリズムに従ったノイズを付与することで,有用性を大きく損失させることなくプライバシー保護が可能であることを示した.
3F2-4
所属推定問題の山登り法に対する安全性について
○菊池 浩明(明治大学)
機械学習で獲得されたモデルから学習データへの所属が推測されるリスクが研究されている.Shokriらは,たとえ学習データを与えなくてもランダムに作成したShadow modelを山登り法などの探索アルゴリズムにかけることで意味のある精度で所属を推定できることを示した.しかしながら,山登り法などの最適化アルゴリズムでは全ての所属問題が解けるわけではない.与えられたモデルの特徴量を満たす別解が存在し,探索出来なくなるほどその割合が増える.そこで,本稿では,重根が生じる確率を導出し,所属推定問題が解ける女権を明らかにする.合成データとUCI Adultデータセットを用いて,提案した条件の妥当性を評価する.

3A3 耐量子計算機暗号(1) 1月21日(木) 13:40-15:20
座長:林卓也(デジタルガレージ)
3A3-1
格子暗号CRYSTALS-KYBERとSABERに対する鍵再利用攻撃の提案
◎岡田 怜士(東京大学大学院 情報理工学系研究科)、王 イントウ(北陸先端科学技術大学院大学 情報科学系)
CRYSTALS-KYBERとSABERは格子暗号であり、米国標準技術研究所(NIST)による耐量子暗号標準化プロジェクトのの第3ラウンドの最終候補となっている。ProvSec2020では、Wangらより“meta-PKE”という概念が提案され、この“meta-PKE”モデルに当てはまる格子暗号に対する鍵再利用攻撃が提案された。この攻撃によって、暗号化を行うBobの秘密鍵が再利用された際に、その秘密鍵を部分的に(あるいはすべて)復元できることが確認されている。本稿では、CRYSTALS-KYBERとSABERが“meta-PKE”に当てはまることを確認し、それぞれのプロトコルに対してBobの秘密鍵を完全に復元する新たな攻撃手法を提案する。また、攻撃に必要なクエリ数はセキュリティレベルI (AES-128)、III (AES-192)、V (AES-256)に対して、SABERにおいてはそれぞれ最大6、4、4クエリになり、CRYSTALS-KYBERにおいてはそれぞれ最大4、3、4クエリになった。さらに提案攻撃の成功率は全て100%であった。
3A3-2
格子暗号SABERに対する鍵不一致攻撃
◎大住 友輝(東京大学工学部計数工学科)、上村 周作(東京大学大学院情報理工学系研究科)、工藤 桃成(東京大学大学院情報理工学系研究科)、高木 剛(東京大学大学院情報理工学系研究科)
現在普及している公開鍵暗号は, 量子計算機技術の進展により多項式時間で解読されることが知られている. そのため米国国立技術研究所 (NIST)は, 耐量子暗号標準化の国際プロジェクトを2016年から開始しており, 4つの候補が公開鍵暗号の最終ラウンドに残っている. このうち3つが格子暗号であり, その中でもSABERはLearning with Rounding (LWR)問題ベースの暗号である. これまでLWR問題の変種であるLearning with Errors (LWE)問題ベースの格子暗号 (NewHope, Kyber)に対して鍵不一致攻撃が提案されてきた. しかし, SABERに対する鍵不一致攻撃は提案されていない. 本論文では, 秘密鍵の各係数を確定的に復元できるクエリの組み合わせを50万程度の候補の中から割り出すことで, SABERに対する鍵不一致攻撃を提案した. 実際, 数値実験によりSABER KEMの安全性レベルのうち上位2つのSaber-KEM, FireSaber-KEMに対して, 各々平均3103クエリ, 4095クエリで確定的に復元できることを確認した.
3A3-3
Public Key Cryptosystems Combining Lattice and Multivariate Polynomial
◎Yuntao Wang(Japan Advanced Institute of Science and Technology)、Yasuhiko Ikematsu(Kyushu University)、Takanori Yasuda(Okayama University of Science)
In ProvSec 2018, Yasuda proposed a multivariate public key cryptosystem using the pq-method, whose security is based on the constrained MQ problem. Afterward in SCIS 2020, he improved the cryptosystem by adding noise elements and considered the cryptanalysis using NTRU method simultaneously. This improved cryptosystem is the first cryptosystem combining lattice and multivariate public-key cryptosystem. In this paper, we propose three variants of Yasuda’s cryptosystem. In particular, we simplify the procedure in key generation mechanism. Furthermore, we propose a ring version which is quite efficient compared to the general versions. To give more promising cryptanalysis, we adopt the ring-LWE method instead of the original NTRU method.
3A3-4
Security analysis on an El-Gamal-like multivariate encryption scheme based on a generalization of IP2S problem
○Yasuhiko Ikematsu(Kyushu University)、Shuhei Nakamura(Nihon University)、Bagus Santoso(The University of Electro-Communications)、Takanori Yasuda(Okayama University of Science)
Isomorphism of polynomials with two secrets (IP2S) problem was proposed by Patarin et al. at Eurocrypt 1996 and the problem is to find two secret linear maps filling in the gap between two polynomial maps over a finite field. At PQC 2020, Santoso proposed an encryption scheme based on a generalization of IP2S, which is called block isomorphism of polynomials with circulant matrices (BIPC) problem. The BIPC problem is obtained by linearizing IP2S and restricting secret linear maps to linear maps represented by circulant matrices. Due to the commutativity of products of circulant matrices, Santoso succeeded in constructing an encryption scheme similar to El-Gamal. In this paper, we give a new security analysis on Santoso's encryption scheme. In particular, we introduce two attacks: (1) the attack using Grobner basis algorithm against the cubic equations associated to BIPC problem (called naive attack), and (2) the attack to find equivalent keys of Santoso's encryption scheme using the linearity of BIPC problem (called linear stack attack). Regarding (1), we perform some experiments and estimate the complexity by an observation of the behavior of the degree of regularity. Regarding (2), we see that the attack can break certain proposed parameters for Santoso's encryption scheme.
3A3-5
多変数公開鍵暗号の安全性評価におけるグレブナ基底計算での多項式選択
◎伊藤琢真(情報通信研究機構, 東京都立大学)、篠原直行(情報通信研究機構)、内山成憲(東京都立大学)
多変数公開鍵暗号の安全性評価において, 連立二次多変数代数方程式(MQ問題)を効率よく解くアルゴリズムは重要な研究課題である. MQ問題を効率よく解く方法としてグレブナ基底を計算するアルゴリズムがよく利用される. そのようなアルゴリズムの性能に大きな影響を与えるものとして, 多項式のreductionの順番やその操作に使われる多項式(reductor)の選び方が挙げられる. 本稿ではMQ問題を解くことに焦点を当て, グレブナ基底を計算する古典的なアルゴリズムであるBuchbergerのアルゴリズムでの計算において, S多項式の生成に必要な多項式の組の選択方法及びreductorの選択方法を提案し, それによる数値実験の結果について述べる.

3B3 暗号プロトコル(3) 1月21日(木) 13:40-15:20
座長:林良太郎(キオクシア)
3B3-1
Zoomのエンドツーエンド暗号化に対する安全性評価
五十部孝典(兵庫県立大学/NICT)、○伊藤竜馬(NICT)
新型コロナウイルス感染症の世界的流行により,ビデオ会議システムの活用が世界中で広がっている.本稿では,世界中で広く利用されているビデオ会議システムのZoomに注目し,Zoom Video Communications社が発行するホワイトペーパーのバージョン 2.3.1 に記載されたエンドツーエンド暗号化(E2EE)に対して安全性評価を実施する.結果としてZoomのE2EEには複数の脆弱性が内在しており,これらの脆弱性を悪用した具体的な攻撃手順を示すことで,Zoomが想定するよりも強力な攻撃が実行可能であることを明らかにする.また,我々は現実世界における攻撃の実現可能性について考察するとともに,これらの攻撃に対する効果的な対策を提案する.我々が発見した脆弱性はZoomの E2EEに対して差し迫った脅威にならないと考えているが,ZoomのE2EEにおける暗号方式やプロトコルに改善の余地があることを示すものである.なお,我々の評価結果についてはZoom Video Communications社に連絡済みであり,本稿で示す攻撃が全て実現しうることを確認している.
3B3-2
事後参照可能なクラウド保存データのエンドツーエンド暗号化とその構成例
○村上啓造(NTTセキュアプラットフォーム研究所)、米山一樹(茨城大学)、岡野裕樹(NTTセキュアプラットフォーム研究所)、吉田麗生(NTTコミュニケーションズ株式会社)、小林鉄太郎(NTTセキュアプラットフォーム研究所)
ビジネスチャットやビデオ会議といったクラウドサービスで機微な情報を扱う場合には,エンドツーエンド暗号化(E2EE)が必要な場合がある.E2EEを適用し,さらに前方秘匿性を確保するためには,セッション鍵を更新し,クラウド保存データも最新のセッション鍵でのみ復号できるよう再暗号化する必要がある.しかし,途中離脱したセッションメンバは,最新のセッション鍵を持たないため,全メンバがセッションから離脱した後に,再度セッションを確立した際,旧セッションの最終メンバが存在しない場合,内容を確認することができなくなる.この課題を解決するため,非同期で,旧セッション鍵を新規セッションの参加メンバに共有することを可能とする,分割可能証明書不要複数受信者暗号方式を提案する.従来技術に比べ,最新のセッション鍵を暗号化する代表メンバの計算コストが抑えられ,かつ,事後参照するメンバが受信する暗号化されたセッション鍵のデータサイズが抑えられる.また,ビジネスチャットおよびビデオ会議に適用した場合の構成例について述べる.
3B3-3
視聴履歴のためのPSIの構成と安全性
○梶田海成(日本放送協会)、田口周平(日本放送協会)、大竹剛(日本放送協会)
テレビなどの視聴履歴を通じたマッチングによって初対面の人同士のコミュニケーションを活性化させるサービスが考えられている。一方で視聴履歴は個人情報を含む可能性があり、適切に保護しなければならない。本稿では、階層的な構造を持つ視聴履歴のようなデータにおいて,データの集合数の秘匿と、プロトコルを複数回実行した際の情報漏洩を防止することが可能な秘匿共通集合計算を、単一プロトコルで完遂できる方式を考案した。
3B3-4
IoTネットワークにおける匿名放送型認証技術
○渡邉 洋平(電気通信大学 / ジャパンデータコム株式会社)、矢内 直人(大阪大学 / ジャパンデータコム株式会社)、四方 順司(横浜国立大学)
本研究では,次のようなIoTネットワーク上における遠隔制御システムを考える.(1) 情報がシステム管理者から全てのIoTデバイスに同報送信されるような環境,例えば無線環境において,任意のIoTデバイスにのみ,システム管理者が指定したコマンドを実行させることができる; (2) 通信路上の情報の改ざんを検知し,指定されていないコマンドが実行されることを防ぐ.本稿では,そのような遠隔制御システムに求められる要件を整理した上で,そのシステムの中核をなす暗号技術として匿名放送型認証技術を提案し,その定式化と証明可能安全な構成を示す.
3B3-5
検証機能権限の制御が可能な放送型認証の構成
◎穗鷹 珠里(横浜国立大学大学院環境情報学府)、渡邉 洋平(電気通信大学/産業技術総合研究所)、清藤 武暢(横浜国立大学先端科学高等研究院)、四方 順司(横浜国立大学大学院環境情報研究院)
近年,インターネットには多数のIoT機器が接続されており,今後さらに多くのIoT機器が接続されるIoT社会では多数の端末を一括制御する技術は有用である.本論文では多数の端末を制御するための暗号技術として放送型認証に着目する.放送型認証とは,送信者が指定した受信者集合に対して,放送通信路を介して認証子付きメッセージを一括送信し,受信者はメッセージの有効性を認証子により検証する技術である.既存の放送型認証のモデルでは,検証アルゴリズムは2値を出力し,これはメッセージの有効性を検証した結果として受理または拒否を意味している.本論文では検証アルゴリズムの出力が3値である放送型認証を提案し,我々のモデルでは検証アルゴリズムは上述の2値(受理または拒否)に加えて,メッセージの有効性が検証不能であることを意味する第3の値を出力するモデルである.我々のモデルでは検証結果をより精密に知ることが可能であり、これによりIoT機器の制御を精密に行うことが可能となる。また,放送型認証の一般的構成法として,秘密分散法,メッセージ認証コードから構成する手法を提案する.

3C3 ウェブセキュリティ(1) 1月21日(木) 13:40-15:20
座長:井手口恒太(日立製作所)
3C3-1
Google検索結果から当選詐欺サイトへのリダイレクトチェーンの調査
◎白井優武(東京電機大学大学院)、岡澤佳寛(東京電機大学大学院)、三谷和也(東京電機大学大学院)、小林晴貴(東京電機大学大学院)、徳永渉(東京電機大学)、齊藤泰一(東京電機大学)
現在,インターネットにおいてスマートフォン等が当選したとユーザを騙し個人情報を入力させる当選詐欺が増加している.このような当選詐欺はメールやSMSから誘導されるケースのほか,Google検索から誘導されるケースもある.その場合,ユーザが検索結果からリンク先のページ(入口ページ)にアクセスすると,複数の中間ページを経由して最終的に詐欺ページに遷移させられる.本研究では,このようなリダイレクトチェーンの特徴を明らかにし,その特徴を用いて詐欺ページへのリダイレクトを検知するツールの開発を目的とする.本稿では,リダイレクトチェーンを構成するページを特徴づける項目について予備調査を行った結果を報告する.
3C3-2
Phishing Kitの分析によるフィッシングサイトのWeb構成情報の生成および検知への適用性の評価
○松中 隆志(KDDI総合研究所)、田中 翔真(KDDI総合研究所)、山田 明(KDDI総合研究所)、窪田 歩(KDDI総合研究所)
フィッシングサイトは依然としてWebにおける主要な脅威のひとつである。 攻撃者はPhishing Kitと呼ばれるフィッシングサイト構築ツールを用いてフィッシングサイトを構築することが知られている。そのことから筆者らは、フィッシングサイトには構成上類似性があることに着目し、フィッシングサイトの構成の類似性をもとにフィッシングサイトを検出する手法を提案した。 本稿では、フィッシングサイトを検出するための構成情報を生成する手法として、解析用途として研究者によって公開されているPhishing Kitを用いる手法を検証したので報告する。
3C3-3
Webコンテンツ間の視覚と文書の類似性を用いたフィッシング検知手法
◎佐野涼太(東京情報大学大学院総合情報学研究科)、中川佑人(東京情報大学総合情報学部)、早稲田篤志(東京情報大学総合情報学部)、村上洋一(東京情報大学総合情報学部)、花田真樹(東京情報大学総合情報学部)、三須剛史(株式会社セキュアブレイン)、石田裕貴(株式会社セキュアブレイン)、布広永示(東京情報大学総合情報学部)
 近年,正規のWeb サイトを模倣した偽のWeb サイトにユーザを誘導し,不正にログインID やパスワードなどの個人情報を詐取するフィッシング詐欺による被害が増加している.そのような悪意のあるサイトの検知方法のひとつとして,検査対象のサイトのWeb ページの文書から抽出した特徴的なキーワードを用いて正規のWeb サイトの候補を取得し,フィッシングサイトの検知を行う方式が提案されている.しかしながら,特徴的なキーワードのみでは正規のWeb サイトを取得できず,十分な検知精度を得られない.  そこで,本研究では,フィッシングサイトの検知精度を向上するために,Web コンテンツ間で使用されているイメージや画像,また文書の類似性に基づく検知手法を提案し,その有効性を示す.
3C3-4
顔画像生成技術を用いた偽造ウェブサイト判別支援手法の提案
◎山崎 慎治(東京大学)、宮本 大輔(東京大学)
フィッシング攻撃は,ソーシャルエンジニアリングの手口によって機密情報を入手し利用する詐欺行為であり,その被害は甚大であり,対策が必要であるサイバー脅威の1つである.現在までにフィッシング対策の研究は数多く為されており,システムによるフィッシング攻撃の検知,ユーザーに対する教育による被害の防止,ユーザーがフィッシング攻撃と判断できるように意思決定を支援する手法などの多角的な対策が模索されている.ここで,フィッシング攻撃がユーザーを騙すことを特徴とすることから,ユーザーの意思決定を支援する手法が重要である.しかし,SSL証明書表示のような従来の手法は一般のユーザーにとって難解である問題が挙げられる.そこで本研究では,ヒトは多数の顔画像を記憶することができることから,ユーザーに提示する簡易な情報の形態として顔画像を用いることを提案する.顔画像は,ウェブサイトのドメイン名を乱数シードとして機械学習の学習済みモデルに入力し生成されたものを用い,これによりウェブサイトのドメイン名と顔画像を対応付けた.本稿ではユーザー(N=8)を対象としたアンケートを行い,提案手法の効果について分析した.
3C3-5
文字レベル畳み込みニューラルネットによる悪性サイト判定のURL単語頻度に基づく高度化
◎山本貴己(神戸大学)、石川真太郎(神戸大学)、山田明(KDDI総合研究所)、小澤誠一(神戸大学)
近年,Drive-by Download 攻撃やフィッシングなどのWeb媒介型攻撃による被害が深刻化しており,悪性サイトの迅速な発見が求められている.NICT 委託研究であるWarpDriveプロジェクトでは,10,000人以上の登録ユーザが参加する実証実験でWebアクセスログを収集しており,このアクセス履歴データのURLを用いて,文字レベル畳み込みニューラルネット(CL-CNN) による悪性サイト判定システムを開発してきた.このシステムの問題は,悪性判定された URLの偽陽性が非常に多いことである.本研究では,CL-CNN による URL の悪性度判定の高精度を維持したまま偽陽性を減らす試みとして,URL単語頻度に基づく手法を提案する.具体的には,良性URLに頻出する単語を許可リスト化するとともに,悪性 URL に頻出する単語を無視リスト化して,CL-CNNの偽陰性判定率を一定に維持しながら,偽陽性判定を低減する仕組みを開発する。提案手法の有効性を検証するため,WarpDriveプロジェクトで収集された悪性サイトのURLデータセットで検知性能を評価する.

3D3 Physical Unclonable Function 1月21日(木) 13:40-15:20
座長:山本大(富士通研究所)
3D3-1
40nm CMOSプロセスを用いたPhysically Unclonable Functionの実装と評価
○汐﨑 充(立命館大学)、藤野 毅(立命館大学)
現在,Physically Unclonable Function (PUF)の国際標準化に向けてPUFの評価項目や評価手順に関する議論が進められている.このPUFの評価項目や評価手順を議論するための評価プラットフォームとしてArbiter-based PUF,Ring-Oscillator PUFといった既存PUFと,本研究室で提案してきたIO-Masked Dual-Rail ROM (MDR-ROM) PUFなどを搭載したPUFテストビークルチップを180nm CMOSプロセスと40nm CMOSプロセスで試作してきた.本論文では,40nmのテストビークルチップに搭載されているPUFを電源電圧±10%,動作温度-40~105℃という動作条件下でレスポンスを取得して,Inter-/Intra-HDによる性能評価した結果を報告する.そして,180nm CMOSプロセスで設計したPUF性能を同条件下で評価した結果との比較も行う.
3D3-2
トランジスタの残留電荷がPhysically Unclonable Functionに及ぼす影響
○汐﨑 充(立命館大学)、菅原 健(電気通信大学)、藤野 毅(立命館大学)
トランジスタ間の残留電荷がサイドチャネル情報を漏洩することと,数クロックに渡って論理ゲートの状態を残す特徴を有することを報告した.残留電荷リークはトランジスタの積層されている構造に問題があるため,様々な回路に影響を及ぼす可能性がある.本論文では,製造ばらつきという微小な物理特性を扱うPhysically Unclonable Function (PUF)に残留電荷が及ぼす影響について議論する.PUF自体の秘密情報を漏洩する可能性は今回の実験では確認できなかったが,PUFの性能指標の1つであるIntra-HDの評価結果に残留電荷が影響を及ぼすことがわかった.同一チャレンジ&レスポンスペアの生成であっても入力するチャレンジの順によってIntra-HDの結果が異なることを実証し,評価手法について議論する.
3D3-3
Physically Unclonable Functionsのエントロピー見積りに関する一考察
○汐﨑 充(立命館大学)、堀 洋平(産業技術総合研究所)、藤野 毅(立命館大学)
現在,Physically Unclonable Function (PUF)の国際標準化が進められており,PUFの評価項目や評価手順に関する議論が行われている.この議論の1つにPUFを鍵生成といった用途に用いる際に必要不可欠となるエントロピーの見積り手法がある.既に幾つかの研究報告では乱数源と同じように,アメリカ国立標準技術研究所 (NIST)のSP800-90Bを用いてエントロピーを見積もった結果をPUF性能として報告しているが,ここではPUFのソース源は互いに独立であるというLSI内部では些か非現実的な仮説を立てている.本論文は,SRAM PUFやCMOSイメージセンサPUF (CIS)を用いて,レスポンスの並び順によって見積り結果が大きく変わってしまう問題点と,理論的に考察した見積り結果とSP800-90Bの見積り結果に大きな差異が生じる問題点を示し,PUFのエントロピー見積り手法に関して議論する.
3D3-4
ローリングシャッター効果を用いたLEDデバイスの物理指紋抽出に関する基礎的実験
◎星野 翔(電気通信大学)、崎山 一男(電気通信大学)
本論文では、ローリングシャッター効果を用いたLEDデバイスにおける物理指紋の抽出可能性について基礎的検討を行う.可視光通信は現在存在するインフラを送信機として活用できるという点から注目されており,指向性が高く,制御が容易という特徴がある.可視光通信を行うには,データレートに合わせた高いフレームレートのカメラが必要になる.そこで先行研究では,低いフレームレートのカメラでも高いデータレートでの通信を可能にするため,ローリングシャッター効果を用いた可視光通信が研究されている.しかし,ローリングシャッター効果を利用してどの程度の情報が取得できるか定量的に評価を行った研究は少ない.実験では,スマートフォンのカメラを用いて,入力信号の周波数を変更した際のLEDデバイスを撮影した.解析により,カメラフレームレート(240fps)の整数倍周波数において,LEDに入力した周波数とローリングシャッター効果により見られる暗線から,低いフレームレートのカメラによってLEDに入力した周波数が測定できることがわかった.
3D3-5
What Exactly is Watching You ? Generic PUF-Like Authentication for IoT Image Sensors
Armand Garrec(Secure-IC)、Victor Dyseryn(Secure-IC)、Adrien Facon(Ecole normale superieure, CNRS)、Kazuhide Fukushima(KDDI Research, Inc.)、Shinsaku Kiyomoto(KDDI Research, Inc.)、Yuto Nakano(KDDI Research, Inc.)、○Thomas Perianin(Secure-IC)、Youssef Souissy(Secure-IC)、Sylvain Guilley(Secure-IC, Telecom-Paris (LTCI))
With the rise in numbers of IoT devices, the problem of device authentication grows in importance. Billions of small and mass produced devices, as of yet, have little to no in-built security or means of authentication. Even if there are authentication methods (serial numbers, etc...) they can often be easily altered. Physically Unclonable Functions (PUFs) offer an elegant solution to this problem, but often require additional hardware or modifications of the existing device, which, for inexpensive devices is often too much of a burden, and security is left by the wayside. In this work, we study the possibility to uniquely identify a given device by examining traits displayed from the output of the device. In particular we look at commercial off-the-shelf (COTS) cameras to see if there are exploitable traits of images taken from a given device. We find positive results from which we can build a PUF to uniquely identify a particular image sensor. These results are derived purely from the images produced by the sensor, require no hardware modification of the device, and prove robust to sensor aging. Finally we analyse the entropy sourced from the images and measure the steadiness of the PUF as a means of authentication.

3E3 制御システムセキュリティ(1) 1月21日(木) 13:40-15:20
座長:中井綱人(三菱電機)
3E3-1
ガウス過程回帰の信頼区間を利用した制御システムの時系列異常検知
◎長谷川亮太(電気通信大学)、澤田賢治(電気通信大学)
産業用制御システムの安全な運用には異常検知が必要である.時系列データの異常検知手法には外れ値検知や変化点検知などがあるが,本研究ではガウス過程回帰モデルによる異常検知手法を提案する.ガウス過程回帰モデルは,入力データから出力データを予測する通常の回帰モデルとは異なり,入力データから出力データの確率分布を予測する.本稿では制御システムの過去の時系列センサデータに対してガウス過程回帰を適用し,現在の観測データが予測された確率分布の信頼区間の範囲内外にあるかどうかで異常検知を実施する.一方で,信頼区間が小さいと正常なデータを異常判定する場合がある.そこで,入力データにノイズを加えて信頼区間を安定化する方法を提案する.本稿ではガスプラントモデルによるシミュレーション環境での検証実験を行い,提案する異常検知手法の有効性を検証する.
3E3-2
制御システムに対する縮退運転のためのモデル化とシミュレーション解析
◎阪田恒晟(電気通信大学)、藤田真太郎(電気通信大学)、澤田賢治(電気通信大学)
産業用制御システムは既にサイバー攻撃を受けることを前提としたシステム設計と運用が必要となっている.すなわち,サイバー攻撃下でもシステムを安全に稼働させる縮退運転が必要になる.本研究の目的は縮退運転が組み込まれた制御システムが正しく稼働するかの検証方法を与えることである.対象は制御用と縮退用のProgrammable Logic Controller(PLC)からなる第三者監視システムである.制御用PLCはフィールド機器を制御し,縮退用PLCは制御用PLCが攻撃を受けた後,制御を引き継ぐ.検証にはシステムのモデルが必要となるが,各PLCのIO情報のタイムチャートを有限時間オートマトン化する方法を与える.モデル解析では,モデル検査機能を有するUPPAAL上に制御用PLCと縮退用PLCのモデル,システム動作を統合的に管理するオブザーバモデルを実装し,縮退運転の動作検証を実施する.縮退運転の要求仕様は時相論理式の一種であるTCTLで記述し,縮退運転移行後のシステム動作の可到達性を検証する.
3E3-3
複数攻撃を想定した有限オートマトンモデルによる異常検知と特定
◎池田佳輝(電気通信大学)、阪田恒晟(電気通信大学)、藤田真太郎(電気通信大学)、澤田賢治(電気通信大学)
制御システムへの多様化・高度化したサイバー攻撃事例は増加傾向にあり,完全に堅牢なセキュアシステムの構築は困難である.本研究では,攻撃を受けた後の被害を最小限に抑えるダメージコントロールに焦点を当て,複数の攻撃発生を想定した異常の検知と異常発生箇所の特定を目的とする.本稿ではファクトリーオートメーション用の3Dシミュレータ上で再現した色仕分けプラントを対象に異常検知機能と特定機能を有する有限オートマトンモデルを設計した.色仕分けプラントは複数の色仕分けレーンが存在し,アクチュエータやセンサが並列動作する.設計したモデルはセンサ値やアクチュエータ等により遷移する並列状態を有し,この並列状態に基づきプラントを監視することで,プラント内で発生し得る複数の異常発生箇所を特定可能となる.本稿のモデル構成は複雑な反面,速やかな異常発生箇所の特定が見込める.最終的に,異常検知時のプラントの状態より適切な縮退運転への移行を判断可能なオートマトンモデルの構築を目指す.
3E3-4
制御システムの秘匿化のための動的鍵暗号とその安全性証明
◎寺西 郁(電気通信大学)、小木曽 公尚(電気通信大学)
情報通信技術の発展に伴い,スマートグリッドや高度交通システムなど,重要インフラのネットワーク化が進められている.その心臓部である制御システムのサイバーセキュリティ対策は,安全かつ安心な社会基盤を構築する上で重要である.暗号化制御は,準同型暗号を用いて制御器を再構成することで,制御システムの機密性を向上させる秘密計算技術である.制御システムにおける計算は,情報システムとは異なりリアルタイムでの処理を要求する.このため,暗号化制御におけるセキュリティパラメータの選択には計算時間による制約が存在し,情報システムに比べて秘密鍵が危殆化するリスクが大きい.この問題に対し著者らは,先行研究において,鍵と暗号文にある種のダイナミクスを持たせることで,極めて短い周期で秘密鍵を更新する動的鍵暗号を提案した.本研究では,先行研究で示されたElGamal暗号をベースとした動的鍵暗号に対し,初期時刻から現在の一時刻前までの秘密鍵が漏洩した場合でも,現在時刻においてDDH仮定の下でIND-CPA安全性が成り立つことを証明した.
3E3-5
コントローラホワイトリスト生成のための制御プログラム構造
◎藤田真太郎(電気通信大学)、澤田賢治(電気通信大学)、細川嵩(制御システムセキュリティセンター)
制御システムに対するセキュリティ対策として,メンテナス頻度や処理負荷の低さからホワイトリストによる異常検知が注目されている.我々は,このホワイトリストをPLC (Programmable Logic Controller) に実装するために,制御プログラムであるSFC (Sequential Function Chart) からペトリネットモデルを生成する研究を行っている.その研究ではテストベッドをベースとして,SFCからペトリネットモデルを経て,PLCに実装するためホワイトリストであるコントローラホワイトリストを生成している.しかしながら,テストベッドベースの研究であったため,適用できるSFCの範囲が明確でなかった.そこで本稿では,コントローラホワイトリスト生成手法を適用可能なSFCの構造について考察を行う.適用可能なSFCの構造が明らかになることにより,異常検知可能な範囲の明確化やコントローラホワイトリストの適用を前提としたSFCプログラムの作成方法の提案が期待できる.

3F3 生体認証・バイオメトリクス 1月21日(木) 13:40-15:20
座長:大塚玲(情報セキュリティ大学院大学)
3F3-1
指紋認証の不正使用防止のための高周波人体伝搬特性による人体接触検知法の実環境適用性の改善
◎大和 裕輔(東京理科大学大学院)、吉田 孝博(東京理科大学)、半谷 精一郎(東京理科大学)
近年,スマートフォンなどの個人認証手段として指紋認証が普及している.しかし,指紋認証は第三者によって認証動作を強要された場合でも認証されてしまう問題がある.そのため,ユーザの意思を伴わない生体認証の不正使用を防止する技術が必要である.そこで,本研究室の先行研究では,ベクトルネットワークアナライザで測定した指の高周波人体伝搬特性を人体接触検知に応用する手法を提案し有効性を示した.しかし,先行研究では,接触検知を行う機械学習の学習時に,ユーザに接触する攻撃者を複数用意して他人接触(攻撃)時の人体伝搬特性データを用意する必要があり,実用化に向けた大きな課題となっていた. そこで本研究では,システム開発時に事前に用意された他被験者の正常時と被攻撃時のデータをもとに疑似的に生成したユーザの被攻撃時データにて学習することで,ユーザの被攻撃時データが不要となる手法を提案した.そして,接触検知精度評価実験にて,提案手法は,ユーザの被攻撃時データを要する従来手法と比べて1.5ポイント以内の精度低下のみでユーザの被攻撃時データの不要化が実現できることを確認した.
3F3-2
掌紋認証システムにおける骨格情報を用いた掌紋領域推定手法の提案
◎新田 修也(KDDI総合研究所)、中原 正隆(KDDI総合研究所)、馬場 昭(KDDI総合研究所)、三宅 優(KDDI総合研究所)
個人認証のとして生体情報を用いた生体認証が広く普及しようとしている。筆者らは、スマートフォンのカメラを用いた掌紋認証の研究開発を行っているが、その1つの課題として、カメラで撮影された手のひらの動画像からリアルタイムで手のひらの位置を把握し、認証における照合に使用するの掌紋領域の抽出を正確に行うことが求められている。そこで本稿では、機械学習を用いた手のひら検出及び骨格情報の推定技術を用いて掌紋領域を特定する手法を提案する。認証に利用する掌紋領域の抽出には、手のひらの回転、拡大縮小、および、カメラに対する傾きを考慮する必要があるため、骨格情報を起点としてこれらの状況を推測し、精度の向上をさせた。提案手法の有効性を示すために、504人の左右の手のひら画像を用いて評価を行い、既存手法に比べて精度向上に貢献することを示す。
3F3-3
脈波を利用した認証に対するなりすまし攻撃の検証
◎日夏 俊(三菱電機株式会社)、鈴木 大輔(三菱電機株式会社)、石塚 裕己(大阪大学)、池田 聖(大阪大学)、大城 理(大阪大学)
顔認証や指紋認証をはじめとする生体認証は,スマートフォンやスマートウオッチなどのデバイスとともに普及している.最近では,心臓の電気活動を計測して得られる心電図 (ECG: Electrocardiogram) を利用した認証 (ECG認証) を行うデバイスも開発されている.加えて,血流を光学計測して得られる光電容積脈波 (PPG: Photoplethysmogram) を利用した認証 (PPG認証) も研究されている.PPGは簡便に計測できるため, PPG認証を行うデバイスも今後普及する可能性がある.一方,ECG認証は,なりすまし攻撃などに対する脆弱性が報告されていることから,PPG認証に関しても事前に攻撃手法および対策を検討する必要がある.本研究では,攻撃対策を備えたPPG認証の実現を目的として,PPG認証に対するなりすまし攻撃を提案する.同攻撃は,身体上の様々な部位で計測可能であるPPGの利点を悪用する.攻撃者は,本来の計測部位とは別の部位で,対象者に気づかれないように計測したPPGを利用して認証を突破する.今回は,対象者の複数部位でPPGを計測するとともに,既存手法を基にPPG認証システムを構築し,攻撃の実現可能性を検証する.さらに,高度な攻撃者を想定し,攻撃成功率を向上させるためにPPGを変形する手順およびその結果を説明する.
3F3-4
認証可能アバタへの変換に向けた顔認証モデルの解析
◎河合洋弥(東北大学)、神津岳志(東北大学)、伊藤康一(東北大学)、青木孝文(東北大学)
顔画像を用いて個人を認証する顔認証は,携帯端末や入場ゲート等において広く利用されているほか,駅の自動改札や小売店舗における決済方法等への利用が検討されている.顔認証サービスを利用するためには,サービスの管理者に顔画像を提供する必要がある.多数の企業や個人に顔画像を提供することは,セキュリティおよびプライバシー上のリスクを伴う.例えば,機械のみで認証可能なアバター画像に顔画像を変換することで利用者のプライバシーを保護することが考えられる.顔認証において重要な特徴を維持して顔画像を変換することで,プライバシー保護を備えない場合と同等の認証精度が期待できる.本稿では,認証可能アバターへの変換に向けて行った,顔認証モデルの推論根拠に関する解析について述べる.Convolutional Neural Network を用いて複数の顔認証モデルを作成する.顔認証モデルが推論において重視した顔の領域を可視化し,アバター変換時に維持すべき特徴を特定する.
3F3-5
ディープフェイク画像からの個人再識別化に関する検討
◎藤垣 成汰朗(静岡大学情報学部情報科学科)、成田 惇(静岡大学大学院総合科学技術研究科)、菅沼 弥生(静岡大学大学院総合科学技術研究科)、西垣 正勝(静岡大学大学院総合科学技術研究科)、大木 哲史(静岡大学大学院総合科学技術研究科)
SNS等に投稿する画像には無関係な他人の顔が写っていることがあり,プライバシーの漏洩に繋がる問題がある.漏洩対策として墨塗りやぼかしを利用することが一般的であるが,これらには元画像の文脈を損なう可能性が存在する.これに対し,近年ではディープフェイクと呼ばれる技術を用いて,文脈を保持しつつ,対象人物の顔領域を異なる人物の顔へ変換する技術が提案されている.これらの手法は文脈の保持のみならず,保護された画像に基づく元人物の再識別可能性が充分に低いことがプライバシー保護の観点からは重要である.しかし,既存研究では再識別可能性の検証が充分に行われていない.そこで,本研究ではディープフェイクを利用したプライバシー保護画像から元の人物への再識別可能性を明らかにし,これによりディープフェイクを用いたプライバシー保護の信頼性を検証することを目的とする.検証実験では,Facenetアルゴリズムを用いたCeleb-DFデータセット内画像の再識別を試み,異なる顔へ変換を行ったディープフェイク画像には,変換前の人物の特徴が一部残存しており,これにより一定の条件下ではディープフェイク後の画像から元画像の80%程度を再識別可能であることを示した.

3A4 耐量子計算機暗号(2) 1月21日(木) 15:40-17:00
座長:穴田啓晃(長崎県立大学)
3A4-1
近似イデアルGCD問題に基づく不定方程式暗号
○秋山 浩一郎(株式会社東芝 研究開発センター)、池松 泰彦(九州大学 マス・フォア・インダストリ研究所)、小貫 啓史(東京大学大学院 情報理工学系研究科 数理情報学専攻)、縫田 光司(東京大学大学院 情報理工学系研究科 数理情報学専攻)、高木 剛(東京大学大学院 情報理工学系研究科 数理情報学専攻)
一変数多項式環上で定義された不定方程式の求解問題に基づく不定方程式暗号に関して、ある種の近似イデアルGCD問題と等価となる暗号スキームを提案する。同問題は量子計算機による効率的な解法アルゴリズムが知られておらず、不定方程式暗号に対する既存攻撃も効率的に働かないため、同じ安全性を有する格子暗号と比較して公開鍵、秘密鍵サイズを大幅に削減できる可能性を見出した。
3A4-2
近似イデアルGCD問題に基づく不定方程式暗号に対するイデアル分解攻撃の考察
○池松泰彦(九州大学)、秋山浩一郎(株式会社東芝 研究開発センター)
不定方程式暗号とは可換環R上定義された不定方程式Xを公開鍵とし、そのR上の解を秘密鍵とする公開鍵暗号である. この論文では, 不定方程式暗号の1つのバリアントであり, 近似イデアルGCD問題と等価となる公開鍵暗号方式について, イデアル分解攻撃の有効性を評価する. 同攻撃は不定方程式暗号の原型である代数曲面暗号への攻撃手法としてFaugere氏らによって2009年に提案された.
3A4-3
Edwards曲線における高速な高次の同種写像計算方式
◎守谷 共起(東京大学)、小貫 啓史(東京大学)、高木 剛(東京大学)
同種写像暗号は耐量子暗号の候補の1つとして考えられている暗号方式であり,計算に時間を要するものの,鍵長が短いという特徴がある.同種写像暗号では,Veluの公式と呼ばれる計算公式を用いた同種写像の計算がプロトコルにおける主な計算となっている.従来の手法では,Veluの公式は同種写像の次数のオーダーの計算量を要するが,2020年にBernsteinらよって次数の平方根のオーダーの計算量を持つ新しい計算方式が提案された.この方式はMontgomery曲線と呼ばれる楕円曲線の上で構成されている.本研究では,本方式がEdwards曲線と呼ばれる楕円曲線の上でも構成できることを示し,Edwards曲線を用いた方式がBernsteinらの方式より効率的になることを示す.
3A4-4
Dumerのアルゴリズムのマルチスレッド化による高次元SDPの求解
◎成定 真太郎(KDDI Research, Inc.)、福島 和英(KDDI Research, Inc.)、清本 晋作(KDDI Research, Inc.)
シンドローム復号問題(SDP)は,アメリカ国立標準技術研究所における耐量子暗号の標準化プロジェクト(NIST-PQC)の第3ラウンドの候補にも選定されているMcEliece暗号をはじめとする符号暗号の安全性の根拠となっている問題である. SDP問題を効率的に求解する手法として,Information Set Decoding (ISD)と呼ばれる組み合わせ列挙に基づくアルゴリズムが知られている. 本稿では,1991年に提案されたDumerのアルゴリズムに着目し,本アルゴリズムに対して計算量解析に基づく並列化を行った. 結果として,暗号解読コンテストdecodingchallenge内にて実施されているMcEliece-Goppa Syndrome Decoding Challengeにおいて,1041次元の求解に108時間で成功したことを報告する.

3B4 秘密計算(1) 1月21日(木) 15:40-17:00
座長:米山一樹(茨城大学)
3B4-1
信頼できないサーバによる決定木評価の委託計算方式
◎齋藤 吉史(東京工業大学)、尾形 わかは(東京工業大学)
機械学習の発展により,分類モデルの所有者がモデルをクラウドサーバに渡し,ユーザが持つサンプルの分類をサーバに委託するサービスが注目されている。こうしたサービスでは,サンプルやモデルが遺伝子情報や病歴など,センシティブ情報を含むことがあり,またモデルは所有者の資産である.そのため,サンプルとモデルを秘匿したまま,分類する方式が数多く研究されてきた.しかし,モデルとして決定木を用いた先行研究では、サーバが複数台必要となる,もしくは,サーバから決定木を秘匿できない.そこで本研究では,完全準同型暗号を用い,サーバが一台,かつ,サーバから決定木を秘匿した方式を提案する. 一つ目の提案方式では,完全二分木になるようダミーノードを追加することで,木の深さ以外の決定木の情報を完全に秘匿することができる.しかし,ノード数が著しく増加し効率が悪い場合がある.そのため,二つ目の方式では,木の深さに加えてノード数をサーバへの公開情報とすることで,ダミーノードを削減して効率化を実現している.また実装評価により先行研究との比較を行うことで,提案方式の優位性を示す.
3B4-2
クライアントの操作なしで実現する効率的な完全秘匿分散型ORAM
◎市川敦謙(NTTセキュアプラットフォーム研究所)、濱田浩気(NTTセキュアプラットフォーム研究所)
Oblivious RAM (ORAM)は,クライアントが信頼できないサーバへとデータを預け,また安全にアクセスするためのアルゴリズムであり,クライアントによるデータアクセス履歴(アクセスパターン)を秘匿する性質を持つ.既存のORAMにはアクセスパターンの完全秘匿性を満たす方式が知られるが,データアクセスの際にクライアントが多大な計算・通信を行う必要があり,実用上の大きな枷となる.一方,秘密計算を用いてクライアント側の処理を最小限とする手法も知られるが,アクセスパターンの秘匿性は統計的識別不可能性に留まる.本研究はこの両方を満たす,クライアント側の計算・通信を最小限にしつつ完全秘匿性を持つORAMを提案し,加えて既存の完全秘匿ORAMに比較して1/log N倍のアクセスコストを達成する.
3B4-3
3値論理における Garbled Circuit の効率性
◎林隼輔(神奈川大学)、佐々木太良(神奈川大学)、藤岡淳(神奈川大学)
秘密計算の構成方法の一つである garbled circuit に関して暗号文数を減らす研究がおこなわれている. クリーネの3値論理を用いて, Lindellらは4つのエンコードを提案し, それらの暗号文数について調べた. しかし, ボチュバルの3値論理については考えられていなかったことから, ISEC2019-56にてLindellらの4つのエンコードを用いて, ボチュバルの3値論理における3VLから2値の自然なエンコードでの暗号文数が一番少なくなることを示した. 加えて, 回路探索をおこなうエンコードが限定的だったことから, SCIS2020にてエンコードの拡張をおこない, ボチュバルの3値論理において回路探索をおこない , ISEC2019-56 における最小暗号文数と同じ値となるエンコードを見つけた. さらに, クリーネ, ボチュバルの3値論理における拡張したエンコードで未探索があったことから, ISEC2020-35では未探索であるエンコードの探索をおこない, 最小暗号文数となるエンコードを示した. 本研究では, 探索結果を元に効率性と関係性について示す.
3B4-4
ZDDのGarbled Circuit構成法のシミュレーションによる性能評価
◎増井 孝之(神奈川大学大学院)、森田 光(神奈川大学大学院)
著者らはZDDのGarbled Circuit構成法を提案し, 秘匿データの等価性を計算する論理関数におけるメモリ圧縮効果と, semi-honest仮定での安全性を示した[1,2]. 本稿では各種論理関数に対してシミュレーションを実施した. 例えば, 平均でBDDより40%の枝が削減されているZDDに対して, Garbled Circuit化する本手法を適用すれば暗号文数を平均40%削減でき, 計算時間を平均15%削減可能であることを確認した.

3C4 ウェブセキュリティ(2) 1月21日(木) 15:40-17:00
座長:齊藤泰一(東京電機大学)
3C4-1
実証実験データを用いたモバイル向けブラックリスト構築手法の評価と未知の悪性サイト探索
◎石原 聖(岡山大学 大学院自然科学研究科)、佐藤 将也(岡山大学 大学院自然科学研究科)、山内 利宏(岡山大学 大学院自然科学研究科)
モバイル端末の利用者数の増加にともない,モバイル端末がサイバー攻撃の標的にされることが多くなっている.モバイル端末を対象とした攻撃手法の1つとして,リダイレクトにより利用者の意図しないWebサイトへ誘導する攻撃がある.この攻撃への対策として,我々は,悪性Webサイトを探索し,モバイル向けのブラックリストを構築する手法を提案した.本稿では,スマートフォンを対象にしたユーザ参加型のWeb媒介型攻撃観測システムにより収集された実証実験データを用いて実施した評価について述べる.評価では,提案手法により構築したブラックリストによる検知実験を実施した.この結果,構築したブラックリストは,利用者の意図しないWebサイトへ誘導する攻撃で用いられる悪性Webサイトを少ない誤検知数で検知できることを示した.また,構築したブラックリストを悪性Webサイトの探索に利用することで,実証実験データから新たな悪性Webサイトを発見できることを示した.さらに,発見した悪性Webサイトから利用者の意図しないWebサイトへ誘導する攻撃を分析した結果について述べる.
3C4-2
Online URL Blacklist の現状調査と有用性に関する考察
○海崎光宏(情報通信研究機構)、高橋健志(情報通信研究機構)
悪性URL に関する研究は多数実施されているものの,それらの多くは,VirusTotal 等のサービスを用いてURL の評価を実施する.しかしながら,これらは有償のリソースが多く,研究業界の今後の発展を阻害する要因の一つになっている.一方,Web 上には複数のオンラインブラックリストが無償で公開されていると言われているが,それらが実際に利用できるものであるのかどうか,またメンテナンスされているのかどうか,しっかりと検証する必要がある.そこで本論文では,Web 上のオンラインブラックリストのうち主要なものをリストアップし,その運営状況を把握すると共に,掲載されているブラックリストURL の評価を実施する.その評価に基づき,今後研究開発にてこれらのオンラインブラックリストをどのように活用していくべきなのかについて考察する.
3C4-3
SymVuls: Software vulnerability detection with symbolic execution traces and machine learning
○Nagayasu Kano(Institute of Information Security)、Takao Okubo(Institute of Information Security)
While treating software source code as human-readable text sequences and applying Natural Language Processing techniques, such as Word Embedding, are commonly-performed in recent software vulnerability analysis researches, the precedent researches had several challenges in terms of teaching data preparation and the application of the methodologies to various programming languages, and the versatility of the trained models with real-world source code. Also, since the analysis of software source code with Natural Language Processing techniques itself is not a unique topic for vulnerability analysis, it has been researched in non-vulnerability analysis contexts as well. Jordan Henkel et al. proposed a new approach that utilizes Symbolic Execution traces and achieved high-quality Word Embedding of software source code. In this research, we designed and evaluated a new methodology that leverages symbolic execution and machine learning algorithms along with Natural Language Processing techniques. The result showed high performance (AUC 0.9953) with the SARD CWE-89 dataset and good versatility with our test source code.
3C4-4
文字レベルCNNを用いた難読化JavaScriptの検知
◎石田 港(青山学院大学大学院)、金子 直史(青山学院大学)、鷲見 和彦(青山学院大学)
近年,Webページのスクリプトの自由度を悪用してウイルスに感染させるなどの攻撃方法が増加している.また,攻撃者はスクリプトが悪意のあるものであると分からないようにスクリプトに難読化処理を施すことがある.本研究では,悪意のあるスクリプトを見つけるために,まず悪意のあるなしに関わらず,難読化されているか否かを判定することを目的とする.難読化処理を施したJavaScriptをファイルサイズに関わらずテキストのみの入力で素早く検知するために,文字レベル畳み込みニューラルネットワークを使用し,JavaScriptのソースコードの特徴抽出を行い,難読化あり/なしの2クラスに分類することで,難読化されたJavaScriptの検知を行う.作成した検知モデルの結果として,F値99.838%を記録し,検知にかかる時間として1ファイルにつき0.3ミリ秒を記録した.

3D4 故障利用解析 1月21日(木) 15:40-17:00
座長:鈴木大輔(三菱電機株式会社)
3D4-1
消費電力波形のパターンマッチングを利用したニューラルネットワークに対するフォールト攻撃
◎福田 悠太(立命館大学)、吉田 康太(立命館大学)、久保田 貴也(立命館大学)、藤野 毅(立命館大学)
ニューラルネットワーク(NN)が実装されたエッジデバイスは,攻撃者が物理的にアクセス可能であるため,フォールト攻撃の危険性が考えられる.著者らはSCIS2020 において,マイコンに実装したNNをターゲットとし,NNの積和演算,Softmax 関数に対してクロックグリッチを注入することで,特定のクラスに分類する攻撃や,正解クラスに分類させない攻撃が可能であることを示した.本稿では,現実的なシナリオを想定し,ターゲット内部からのトリガーを用いるのではなく,ターゲットの消費電力波形を用いたトリガリングによるフォールト攻撃を検討する.実験では,汎用マイコン上に実装したNNの推論時の消費電力波形を観測し,Softmax 関数で行われる指数関数処理,加算処理の消費電力波形パターンを特定した.SAD アルゴリズムを使用したパターン検出により,その波形パターンの出現タイミングを起点として,ターゲットに対して適切にフォールトを注入することで,推論誤りを引き起こすことに成功した.さらに,本攻撃を困難にする対策としてSoftmax 関数に用いられる変数を乱数で初期化し攻撃タイミングをずらす手法も提案する.
3D4-2
データのインテグリティ検証プログラムの命令改変攻撃に対する耐性評価
◎林 俊吾(横浜国立大学大学院環境情報研究院)、坂本 純一(横浜国立大学大学院環境情報研究院)、松本 勉(横浜国立大学大学院環境情報研究院)
デバイスに物理的刺激を与えて故障を発生させ,内部の秘密情報を得る攻撃はフォールト攻撃と呼ばれており,中でもレーザー照射を用いたものが特に強力である.近年,レーザー照射によってCPUで実行される命令を別の命令に改変して実行させるフォールトを注入可能であることが報告されており,命令改変攻撃と呼ばれる.本稿では複数命令を改変する命令改変攻撃に対して,予め設定した攻撃者の目的が達成されるような改変がプログラムに存在するかを網羅的に検証する手法について提案する.
3D4-3
SHA-256圧縮関数に対する代数的故障利用解析とその応用について
◎堀弘二(福井大学)、廣瀬勝一(福井大学)
暗号学的ハッシュ関数SHA-256は、SHA-1の後継として2002年にNISTによって標準化されたSHA-2のバリエーションのうちの一つであり、出力長は256ビットである。Haoらは2014年にSHA-256圧縮関数に対する代数的故障利用解析 (AFA) を提案した。彼らの手法は、SHA-256圧縮関数の正常時と故障注入時の両方の出力と、故障注入を行った箇所から出力までの暗号アルゴリズムの演算を利用して代数方程式を構築する。そして、自動ツールSTPを使用する事で、SATソルバーを起動してその代数方程式を解く。彼らは65個の故障を注入して、平均約200秒でSHA-256圧縮関数の入力をすべて復元できることを示した。また、この結果を利用したHMAC-SHA-256への偽造攻撃を示した。Nejatiらは2018年に高度な故障注入デバイスを用いて、より少ない故障注入でSHA-256圧縮関数の入力メッセージブロックを回復できることを示した。我々は、様々な故障注入条件について計算機実験を行い、更に少ない故障注入でSHA-256圧縮関数の入力をすべて復元できることを明らかにした。さらに、ブロック暗号SHACAL-2の鍵復元攻撃やMAC関数chop-MDの偽造攻撃を目的としたSHA-256圧縮関数へのAFAについても計算機実験を行った。
3D4-4
M&Mにより対策されたAES暗号ハードウェアに対するサイドチャネル攻撃
◎平田 遼(電気通信大学)、羽田野 凌太(電気通信大学)、李 陽(電気通信大学)、三浦 典之(大阪大学)、崎山 一男(電気通信大学)
暗号ハードウェアに故障を誘発し秘密情報を解析する故障攻撃とサイドチャネル解析への対策として,CHES2019でMaskingとMACタグを利用したInfective Computationを組み合わせた手法であるM&M(Masks and Macs)が提案された.本稿では,M&Mが実装されたAES暗号ハードウェアに対し,安全性評価のためのサイドチャネル攻撃実験を行う.最後に,M&Mのサイドチャネル攻撃に対する安全性について議論する.

3E4 制御システムセキュリティ(2) 1月21日(木) 15:40-17:00
座長:澤田賢治(電通大)
3E4-1
制御プロトコルの時系列分析によるプロトコルフィールド意味推定手法
○青木慧(株式会社東芝)、花谷嘉一(株式会社東芝)
制御システムでは制御機器特有のプロトコルを利用しており,ファジングやペネトレーションテスト,ネットワーク攻撃検知を実施する際にはプロトコルの解析が必要となる.通常はプロトコル仕様書をもとに解析を行うが,仕様が非公開の機器ベンダー特有プロトコルが利用されている場合など,プロトコル仕様書が利用できない場合がある.プロトコル自動解析分野では,通信データからプロトコルフィールドの区切りを推定する技術が知られているが,区切りのみではセキュリティ評価で注力すべき箇所の特定には不十分という課題があった.本稿では,通信データの時系列変化パターンを利用してプロトコルフィールド意味(Semantics)を推定する手法の提案を行う.3つの制御プロトコルに対して提案手法を適用する机上検討を行った結果,ノイズとなる通信データのフィルタリングや学習データの作成が出来れば,プロトコルフィールドの変化パターンからその意味を推定できることを確認した.本技術によりプロトコルフィールドの意味を推定することで,ファジングを集中して行うべき箇所を抽出して検査ができ,品質を維持したままで効率的なセキュリティ評価が可能となる.
3E4-2
制御システムにおける異常検知手法とデータセットの評価
◎原田雄基(東京工科大学大学院 コンピュータサイエンス専攻)、布田裕一(東京工科大学 コンピュータサイエンス学部)、岡崎裕之(信州大学 学術研究院(工学系))
工場などで利用される制御システムは,従来はクローズドな環境で運用されてきた.そのため,セキュリティ上の脅威に対してあまり考慮されていなかった.しかし,近年では汎用製品,TCP/IP通信プロトコルなどが導入されてきている.そのため,それらの技術に対する攻撃が制御システムにおいても発生するリスクが高まっている.Lemayらは,制御システムの異常検知手法の評価に利用されるSCADAデータセットを提供している.しかし,提供されているデータセットは,攻撃とされるパケットと類似する正常時のパケットが学習データには含まれていない.そのことから,検知を行いやすいデータセットであり検知方法の評価に適しているとはいえない.そこで,本研究では,正常時と類似するような通信情報を用いる攻撃が含まれるデータセットを作成する.まず,制御ネットワークにおいて正常時に利用される通信を決め,学習データセットを作成する.また,正常時を偽装した通信を含ませた攻撃データセットを作成する.さらに,作成したデータセットに対して異常検知を行って,既存データセットの課題に対応したデータセットであるかの評価を行う.
3E4-3
生産システムのサイバーセキュリティ対策を目的とした機械学習による異常検知および原因特定手法の研究
◎増川 京佑(住友電気工業株式会社)、相馬 大輔(産業技術総合研究所)、Samir Khan(産業技術総合研究所)
近年の生産システムは、生産性を向上させるために、ネットワークと接続した形態が増えつつある。一方で、サイバー攻撃により自動車メーカーの海外工場が一時生産中止に追い込まれるなど、生産システムがサイバー攻撃を受ける事例も増加している。生産システムに異常が発生した際には、サイバー攻撃や故障などの原因に応じた迅速な対応が求められる。そのため、生産システムの異常を検知し、異常の原因を特定できる技術が必要である。我々はサイバー攻撃を特定する技術の開発に向け、サイバー攻撃と区別する力学的な外部干渉などの異常を検知する技術の開発から着手している。本論文では、周期的な動作を行う小型ロボットアームを対象に実施した異常検知・原因特定の実験について述べる。具体的には、加速度などのセンサーデータや、電流など各サーボモータからのフィードバックデータを収集し、ランダムフォレストやサポートベクタマシンなどの機械学習による異常検知・原因特定モデルを実装した。実装したモデルを評価した結果、異常検知精度99.3%、原因特定精度99.6%を得た。
3E4-4
Output Security Framework: アナログ信号によるセキュリティ脅威を出力側で規制するフレームワークの提案
○飯島 涼(早稲田大学,独立行政法人情報通信研究機構)、竹久 達也(独立行政法人情報通信研究機構)、高橋 健志(独立行政法人情報通信研究機構)、森 達哉(早稲田大学,独立行政法人情報通信研究機構,理研AIP)
サイバーフィジカルシステム(CPS)にセキュリティ脅威をもたらすアナログ信号出力を,検知,規制するために必要な概念を定義し,そのデザインをセキュリティフレームワークとして提案する.本研究の目的は,従来,ファイヤウォールやオペレーティングシステムが採用しているアクセス制御機構をアクチュエータ・センサ用に再定義・拡張することである.従来の研究で生じていた,センサの入力で検知する際の課題を解決するため,出力側で対策を行う制御機構を定義する.特に機器の出力(Output)に着目したセキュリティ制御機構として,Output Security Framework (OSF) を提案する. アナログ信号を対象にセキュリティ技術を適用する場合に生じる課題を整理し,フレームワークを定義した後,プロトタイプを作成し,パフォーマンス測定を行った.本フレームワークにより,従来のセキュリティ攻撃・脅威ごとに対策を行うアプローチを集約し,アクチュエータから出力されるアナログ信号ごとに対策が可能となることを示した.

3F4 セキュリティ評価・モデル(2) 1月21日(木) 15:40-17:00
座長:西出隆志(筑波大)
3F4-1
インターネット公開システムのための資産影響度を考慮した簡易なリスク評価手法の提案
◎佐々木満春(NTTセキュアプラットフォーム研究所)、永井亮祐(NTT東日本)
近年,ソフトウェアなどの脆弱性の報告数は増加傾向にあり,数多くの脆弱性に対処するためにはリスク評価による対処の優先度付けが必要である.リスクは資産・脅威・脆弱性の3つの要素によって求めることができるが,リスク評価には高いスキルや作業コストが要求されるため容易ではない.そこで,一般的にはCVSSと呼ばれる評価指標を用いた優先度付けが行われる.しかし,一般に公開されるCVSS値は基本評価基準や現状評価基準に基づく脆弱性と脅威ベースの評価であるため,資産による影響が考慮されていない.CVSS値を用いて脆弱性に対処した場合,真のリスクに基づく優先度付けを行うことができず,高リスクな脆弱性の対処が後回しになる恐れや必要以上にセキュリティ対策コストをかけてしまう恐れがある.これに対して本稿では,機密性・完全性・可用性の観点に基づいて算出される資産影響度とCVSSを組み合わせて自動的にリスクを評価する手法を提案する.実際の企業において運用されているインターネット公開システムから得られた資産情報を用いて評価実験を行い,提案手法の有効性を確認する.
3F4-2
数理最適化によるCVSSと侵害予測モデルの統合
◎山嵜麿与(NTTセキュアプラットフォーム研究所)、佐々木満春(NTTセキュアプラットフォーム研究所)
脆弱性の公開件数の増加に伴い,限られた資源で効率的に対応するために脆弱性のリスクに基づく対応の優先度付けが求められる.近年,CVSS に代わる優先度付け手法として機械学習を用いた侵害予測モデルが提案されているが,それぞれ深刻度と侵害確率というリスクの異なる側面に基づく優先度付け手法であるため,統合することが不可欠である.そこで本稿では,数理最適化を用いて,脆弱性に関するリスクの異なる側面に基づく優先度付け指標を統合するモデルを構築する手法を提案する.提案手法では,順序付け評価関数を用いて,個々の優先度付け指標に対する評価値が最大になるパラメータを探索することで,値の分布の異なりを考慮した統合モデルを構築する.本稿では,評価関数としてRankDCG が望ましい性質を有すること,また,提案手法を用いることで,線形加重和を用いた場合においても,単純な統合方法より優れた統合を実現できることを評価実験により示す.提案手法により,数理最適化を用いた複数の優先度付け手法の統合が実現でき,単一の優先度付け指標を用いた一貫性のある脆弱性対応を実現できる.
3F4-3
Semi -Automation of CPE Matching for Vulnerability Management
◎Ashokkumar C(Hitachi Ltd)、Mikami Shugo(Hitachi Ltd)、Ideguchi Kota(Hitachi Ltd)
Vulnerability detection and management are critical to safeguarding an organization's critical assets against the ever-increasing cyber threats and attacks. Some of the most reliable Vulnerability information are publicly available as databases like National Vulnerability Database (NVD). NVD lists the vulnerability information Common Vulnerabilities and Exposure (CVE) which has the vulnerable software details as Common Platform Enumeration (CPE) that are used for vulnerability detections. It is a common practice for Organizations to use CPE names from Official CPE dictionary to list or store their products in their product database. Upon inspection, we discovered more than 45% of unique CPEs listed in NVD CVE data feeds does not any match in the Official CPE dictionary when using simple string matching. This may result in know unpatched vulnerable products install in an organization and increase the risk of cyberattacks. This manuscript addressed the issues of mis-match of product information and CPE by using approximate string-matching techniques and a novel version comparison function. Using this approach, we can achieve more than 90% of CPE matching with a higher accuracy rate. It is a step forward in achieving full automation of Vulnerability Management System in an environment where CPE like structures is used for maintaining the assets.

4A1 署名(1) 1月22日(金) 9:20-10:40
座長:松田隆宏(産業技術総合研究所)
4A1-1
Downgradable Identity-Based Signatures and Trapdoor Sanitizable Signatures from Downgradable Affine MACs
◎Masahito Ishizaka(KDDI Research, Inc.)、Shinsaku Kiyomoto(KDDI Research, Inc.)
Affine message authentication code (AMAC) (CRYPTO'14) is a group-based MAC with a specific algebraic structure. Downgradable AMAC (DAMAC) (CT-RSA'19) is an AMAC with a functionality that we can modify a message with an authentication-tag to a downgraded message while retaining validity of the tag. In this paper, we formally re-define DAMAC for two independent applications, namely downgradable identity-based signatures (DIBS) and trapdoor sanitizable signatures (TSS) (ACNS'08). DIBS are delegatable IBS, where we can transform a secret-key for an identity into one for a downgraded identity. Differently from the (ordinary) SS (ESORICS'05), TSS allow a sanitizer to modify a signed-message while retaining validity of the signature, by using a trapdoor associated with the signature, but not the secret-key of the sanitizer. We show that DIBS can be generically constructed from a DAMAC, and DIBS can be transformed into (wildcarded) hierarchical/wicked IBS. We introduce a functionally-stronger definition for TSS than the original one, then show that the TSS can be generically constructed from a DAMAC. By instantiating them, we obtain the first wildcarded hierarchical/wicked IBS and the first invisible and/or unlinkable TSS. Moreover, we prove that DIBS is equivalent to not only TSS, but also a naive combination of the two primitives, named downgradable identity-based trapdoor sanitizable signatures (DIBTSS).
4A1-2
Invisible and Unlinkable Sanitizable Signatures from Trapdoor Sanitizable Signatures
◎Masahito Ishizaka(KDDI Research, Inc.)、Yuto Nakano(KDDI Research, Inc.)、Shinsaku Kiyomoto(KDDI Research, Inc.)、Keisuke Tanaka(Tokyo Institute of Technology)
In digital signature, if a signed-message is altered, the signature immediately goes invalid. In sanitizable signatures (SS) (ESORICS'05), a signer chooses its modifiable parts and a public-key of a sanitizer, and the sanitizer modifies it by using her secret-key while retaining validity of the signature. Invisibility (resp. Unlinkability) guarantees that any third party cannot see the modifiable parts (resp. the link between a sanitized signature and its source). Bultel et al. (PKC'19) proposed a generic construction from non-accountable SS (NASS) and verifiable ring signatures, and a concrete NASS scheme secure in the random oracle (RO) model. They obtained the first invisible and unlinkable SS (IUSS) scheme in the RO model. In trapdoor SS (ACNS'08), a signature is modified by a trapdoor but not the sanitizer’s secret-key. Ishizaka and Kiyomoto (SCIS'21) proposed a functionally-stronger definition for TSS than the original one, then proposed the first invisible and unlinkable TSS scheme. In this paper, we propose two IUSS constructions based on TSS, from each of which we obtain the first IUSS scheme secure under standard assumptions. For the first one, we prove that a simple SS construction from TSS and Labeled PKE (LPKE), which encrypts a trapdoor on an LPKE-public-key of a sanitizer, perfectly satisfies the condition whom Bultel et al.'s SS construction requires the underlying NASS scheme to satisfy. For the second one, we propose a generic construction of SS from TSS, PKE, NIZKPoK and one-way function.
4A1-3
Designs for Decentralized Tracing in Group Signatures using IBE and ABE
○Maharage Nisansala Sevwandi Perera(Advanced Telecommunications Research Institute International (ATR))、Toru Nakamura(KDDI Research, Inc)、Masayuki Hashimoto(Advanced Telecommunications Research Institute International (ATR))、Hiroyuki Yokoyama(Advanced Telecommunications Research Institute International (ATR))、Kouichi Sakurai(Kyushu University)
Centralized tracing mechanism, which is the existing group signatures occupied with, makes the signers' insecure and the tracing authority stressful with heavy workload. The tracing party can identify the signer using the tracing authority's secret key (decryption key) in the existing group signature scheme. If the tracing authority is corrupted, then all the users' privacy is in danger. On the other hand, the tracing party has a high workload as he is a single party who has to deal with all the tracing requests. In this paper, we first propose a decentralized tracing mechanism employing identity-based encryption, and then we propose another tracing method with attribute-based encryption. Both proposals are a relaxed version of tracing as the user can select his tracing authority among the multiple tracing managers. We construct our schemes using lattice cryptography.

4B1 秘密計算(2) 1月22日(金) 9:20-10:40
座長:五十嵐大(NTT)
4B1-1
非対話型秘密計算プロトコルに対する通信量の削減と安全性解析
◎江利口 礼央(東京大学 / 産業技術総合研究所)、大原 一真(産業技術総合研究所)、山田 翔太(産業技術総合研究所)、縫田 光司(東京大学 / 産業技術総合研究所)
非対話型秘密計算(NIMPC)とは,入力を持つn人のプレイヤが通信を介さずに関数を計算できる暗号技術である. これまで対称関数や指示関数に対してNIMPCプロトコルの効率化がなされてきた. 本研究の成果は三つの部分からなる. まず,対称関数の一般化であるアーベルプログラム(abelian program)に対するプロトコルを提案する. 入力がアーベル群G全体に値をとる場合通信量O(|G|(log|G|)^2)を達成し,Beimelら(Crypto 2014)の通信量O(|G|^2n^2)を改善する. さらに入力がサイズd以下の部分集合に値をとる場合には,結託数tに対して通信量(max{n,d})^{(1+o(1))t}|G|(log|G|)^2である. これは,Beimelら(Crypto 2014)の通信量(nd)^{(1+o(1))t}|G|^3を改善し,t=o(log n)かつ|G|=n^{Θ(1)}の場合にはBenhamoudaら(Crypto 2017)の通信量n|G|^{log n+O(1)}も改善する. 続いて,線形分類器を表現する関数のクラスを定式化し,このクラスに対して一般的構成より効率の良いプロトコルを初めて提案する. 最後に,Benhamoudaら(Crypto 2017)のPSM (Private Simultaneous Messages)プロトコルからNIMPCプロトコルへの変換手法に関して,その要素技術であるメッセージ出力関数に対するプロトコルがNIMPCの安全性を満たさず,攻撃方法が存在することを示す. また,その欠陥を修正するプロトコルも提案する. その系として,指示関数に対して入力のビット長に関して漸近的に最適な通信量を達成するプロトコルを得る.
4B1-2
平方剰余に基づくPrivate Simultaneous Messagesについて
○品川 和雅(電気通信大学 / 産業技術総合研究所)、江利口 礼央(東京大学 / 産業技術総合研究所)、縫田 光司(東京大学 / 産業技術総合研究所)
Private Simultaneous Messages (PSM)は複数のプレイヤーが1人のレフリーにそれぞれ一度だけメッセージを送ることによって実現する秘密計算である。ただし、プレイヤー間でレフリーの知らない乱数が共有されていることを前提とする。本稿では素数pを法とする平方剰余の分布に基づく情報理論的安全なPSMプロトコルの研究を報告する。まず、平方剰余に基づくPSMプロトコルの枠組みを導入し、いくつかの関数クラスに対してPSMプロトコルを構成する。次に、任意のn変数関数を計算可能な素数pの大きさの下界を与える。さらに、nが小さい範囲については、計算機を用いて最小の素数pを求める。
4B1-3
秘密分散法を用いたマルチパーティ計算における低ラウンド大小比較アルゴリズム
◎岩崎淳(京都大学)
秘密分散法を用いたマルチパーティ計算における大小比較アルゴリズムの開発ではこれまで通信量の削減に比較的重点がおかれてきたが,近年,実際の環境ではラウンド数の低減がより重要であることが示されている. また,慣例的に積演算に関してのみアルゴリズムのラウンド数が見積もられてきたが,アルゴリズムの低ラウンド化にともない積演算以外の通信ラウンドも見積もりに含める必要がある. 本発表では,Reistad &Toft(ICITS2007)のアルゴリズムをベースにした,ビット長の二乗に比例する通信量,積演算以外も含めて9ラウンド(オンラインフェーズは4ラウンド)で実行可能なアルゴリズムを提案する.
4B1-4
紛失通信ベース三者間秘匿積集合プロトコルにおけるラウンド数の削減
◎清水 聖也(電気通信大学)、安部 芳紀(電気通信大学)、中井 雄士(電気通信大学)、品川 和雅(電気通信大学 / 産業技術総合研究所)、渡邉 洋平(電気通信大学 / 産業技術総合研究所)、岩本 貢(電気通信大学)
秘匿積集合(Private Set Intersection, PSI)プロトコルとは, 複数の参加者が自身の持つ集合を秘匿したまま, 集合の共通部分のみを計算するマルチパーティ計算プロトコルである. KolesnikovらはOblivious Programmable Pseudorandom Function (OPPRF)プロトコルを提案し, それに基づく, 任意の結託したSemi-Honestな攻撃者に対して安全で効率的な多者間PSIプロトコルを実現した. WangらはOPPRFベースのPSIプロトコルに多項式のアイデアを導入することにより, 三者間の場合についてラウンド数を削減しているが, 安全性に問題点がある. 本研究では, Wangらのプロトコルに対する具体的な攻撃方法を示した後, 問題点を修正した新たな三者間PSIプロトコルを示す. 提案方式ではKolesnikovらの方式とOPPRFの実行回数は同じであるが, 並列実行を可能とすることにより, ラウンド数を2/3に削減している.

4C1 ウェブセキュリティ(3) 1月22日(金) 9:20-10:40
座長:山内利宏(岡山大学)
4C1-1
情報流出防止のためのファイルトラッキング手法によるネットワークグラフの構築
◎矢野智彦(セコム株式会社)、澗潟謙一(セコム株式会社)
情報流出を防ぐために,機密情報が含まれるファイルを監視・追跡することは重要である. 既存研究ではファイルのアクセス間隔や前後にアクセスしたファイルパスの情報を用いるものがあるが,正当な権限を持つ組織内部の人による情報流出の場合は正規のアクセスと判別が難しく発見が困難である.また既存の製品では,パターンマッチングやファイルの類似性を用いるものがあるが,暗号化などによりファイルが変換された場合は追跡が困難である. そこで本研究では追跡対象のファイルを読み込んだプロセスおよびそのプロセスが書き出したファイルを全て追跡対象とすることにより,サイバー攻撃,内部不正,誤用によらず,ファイルが変換された場合も追跡を可能とした. また過去のプロセスの読み込み・書き込みの情報を用いることにより,定常的にバックグラウンドで動作しているプロセスによる読み込みやバックグラウンドで作成されるファイルの書き込みを除外した結果の提示を可能とした. 実験によりいくつかの情報流出のシナリオに基づいてファイルを操作した場合に,一部を除きシナリオ通りに結果が表示されることを示した.
4C1-2
WEBアプリケーションにおける情報漏洩検知手法の提案
○鈴木 貴年(情報セキュリティ大学院大学)、大久保 隆夫(情報セキュリティ大学院大学)
ECサイトを含むアカウント登録型のWEBアプリケーションは、すでに広く普及しており、社会生活に必要不可欠なものとなりつつある。 一方、アカウント登録型のWEBアプリケーションにおける個人情報の情報漏洩を含む情報漏洩事故は、様々な対策が呼びかけられているにも関わらず、発生し続けている。 情報漏洩事故においては、サイト運営者自身が情報漏洩の発生に気が付かず、 利用者やクレジットカード決済代行業者の指摘によって発覚するケースが報告・報道されている。 本稿では、データベースのSQLログとアプリケーション側において出力するログとを関連付けて評価することで 機密情報漏洩に関する被害発生を検知する手法を提案する。 データベースのSQLログ出力に伴う、ログファイルの肥大化や性能への影響に対する対策についても検討する。 また、システム監視に関する先行研究についても紹介する。
4C1-3
カスタムポートで稼働するウェブサービスの実態調査
◎伊藤 大貴(デロイト トーマツ サイバー合同会社)、高田 雄太(デロイト トーマツ サイバー合同会社)、森 博志(デロイト トーマツ サイバー合同会社)、神薗 雅紀(デロイト トーマツ サイバー合同会社)
ウェブサービスを狙うサイバー攻撃が激化している. ウェブサービスは,一般的に 80番 (HTTP) および 443番 (HTTPS) のデフォルトポートで稼働するが, 80番,443番以外のカスタムポートでも多様なウェブサービスが稼働しており,それらを標的とした攻撃が発生している. したがって,デフォルトポートと同様に,カスタムポートで稼働するウェブサービスもセキュリティ対策の強化が必要である. しかしながら,これらウェブサービスは,我々の知る限り詳細な調査がなされておらず,その実態やセキュリティリスクは認知されていない. そこで本稿では,カスタムポートで稼働するウェブサービスに着目し,ウェブサービスの内容やインフラ,地理的特徴,そしてセキュリティ対策状況を調査する. 調査の結果,これらウェブサービスは,通信の暗号化や脆弱性管理といった基本的なセキュリティ対策が適用されていないことが分かった. さらに,放置されたウェブサービスや外部サービスの利用に伴って稼働するウェブサービスなど,管理者がその存在を把握できていない可能性があるものも発見された. これら調査結果を踏まえ,特定したセキュリティリスクおよびその対策を提案する.
4C1-4
OECDプライバシー8原則に基づくクッキーコンセントバナーを用いた法規制対応評価
◎永井 達也(デロイトトーマツサイバー合同会社)、高田 雄太(デロイトトーマツサイバー合同会社)、神薗 雅紀(デロイトトーマツサイバー合同会社)
クッキーは時に個人情報となることから,過剰なクッキーの使用はプライバシーの問題が生じる. 各国で個人情報保護に関する法規制が施行され,ウェブサイトではクッキーコンセントバナーを表示することにより, クッキー使用に対するユーザ同意を取得するようになった. しかしながら,各国の法規制で求められるユーザ同意の取得要件が細部で異なることや, ウェブサイトのページ間におけるクッキー使用状況が異なることから,正確な法規制対応評価は難しい. そこで我々は,各種法規制のベースとなる OECD プライバシー8原則に着目し,当原則を満たしていないことを評価することにより, クッキーコンセントバナーを用いた法規制への対応状況を評価できると考えた. 本研究では,クッキーコンセントバナーの表示有無や,当バナー操作によってクッキーが適切に制御されているかを調べることにより, 原則を遵守していないウェブサイトが存在することを示す. また,バナーへの操作結果が持続されず,ページ遷移後にクッキーの使用が停止されていないことを発見し, ウェブサイトの法規制対応評価に複数のページを含めた分析が必要であることを示す.

4D1 ハードウェアセキュリティ(3) 1月22日(金) 9:20-10:40
座長:川端健(東芝)
4D1-1
低遅延かつスケーラブルなメモリ保護方式ELMの提案
◎井上明子(NECセキュリティ研究所)、峯松一彦(NECセキュリティ研究所)、小田麻矢(東北大学電気通信研究所)、上野嶺(東北大学電気通信研究所)、本間尚文(東北大学電気通信研究所)
Intel SGXは、メモリ上にエンクレーブと呼ばれる保護された飛び地領域を提供する。この保護領域は、メッセージ認証コード(MAC)と認証暗号(AE)を用いて木構造を構成するメモリ保護技術(認証木)によって実現されており、これによりエンクレーブ内のデータの改ざん検知、平文秘匿、リプレイ攻撃検知が可能となる。SGXで用いる認証木(SGX Integrity Tree; SIT)では、低遅延なMACとAEをSIT専用に構成することでシステム全体として低遅延なメモリ保護技術を実現している。しかしSITのMACとAEはエンクレーブサイズの上限(96MB)に特化して構成されているため、単にパラメータを変えて保護領域サイズを大きくすることは難しい。本稿では認証木に適した低遅延なMACとAEを提案し、それらと木構造を適切に組み合わせることで低遅延かつ保護領域サイズの拡張性を持ったメモリ保護方式ELMを提案する。ELMで用いるMACとAEは完全並列化可能であり、MACはインクリメンタル性を有するためメモリの更新が効率的となる。AEはOCBと類似した構造を持つが、OCBよりも復号レイテンシが小さくなる。
4D1-2
メモリ保護方式ELMのハードウェア設計とその評価
◎小田麻矢(東北大学電気通信研究所)、上野嶺(東北大学電気通信研究所)、本間尚文(東北大学電気通信研究所)、井上明子(NECセキュリティ研究所)、峯松一彦(NECセキュリティ研究所)
本稿では,メモリ保護方式ELM (Encryption for Large Memory) のハードウェアアーキテクチャの提案とその性能評価を示す.ELMは大規模なメモリデータの保護を,特に検証と更新における遅延の観点から効率的に実現するために筆者らがSCIS2021で提案した新たな認証木スキームである.本稿では,まず,ELMを構成するメッセージ認証コードと認証暗号について概説し,それらのメモリ保護に適したハードウェアアーキテクチャを示す.さらに本稿では,様々なメモリ認証木のパラメータ(保護するメモリサイズや分岐数)に対応した提案アーキテクチャのASIC実装性能を評価し,Intel SGX で用いられている最新の認証木と比較する.その評価結果から,保護するメモリサイズが増大するにつれてELMがメモリの検証と更新が低遅延で実行可能であるとともにメモリ量のオーバーヘッドが小さいことを確認する.例えば,1GByteのメモリサイズに対して,ELMはデータ検証処理時間を2/3,データ更新処理時間を1/3にまで短縮するとともに,on-chip領域のデータサイズを1/8にまで削減可能となる.
4D1-3
FPGAを用いた秘匿アクセラレーションの実装評価(II)
◎高木翼(電気通信大学)、李陽(電気通信大学)、崎山一男(電気通信大学)、菅原健(電気通信大学)、梨本翔永(三菱電機株式会社)、鈴木大輔(三菱電機株式会社)
クラウド上の FPGA(Field Programmable Gate Array)を搭載した仮想サーバの普及,高級言語から回路合成を可能にする高位合成の普及に伴い,FPGA 市場が活発化している.しかし,FPGA のクラウド化により,機密性の高い情報をクラウドサーバ上に保存することは,かねてより懸念がされてきた.そこで,共通鍵暗号を用いてデータを暗号化し,平文を扱う空間を FPGA 内部にのみ限定をすることで機密性を担保するシステムが研究をされている.このシステムでは,高速な共通鍵暗号を実装することで,FPGA によるアクセラレーションとセキュリティ上の問題点を両立する.本稿では,そのシステムの一つである SCIS2019 で著者らが提案した秘匿アクセラレーションの実装・性能評価を行う.特に著者らが SCIS2020 で行なった教師なしクラスタ分析アルゴリズムである k-means を AES-GCM で保護した実装から,鍵共有のための ECIES-KEM を追加し,一連のプロセスの実装・性能評価を行う.
4D1-4
プロセッサへの実装に向けたORAMにおけるポジションマップ削減手法の検討
○山方大輔(九州大学システム情報科学府情報知能工学専攻所属)、川上哲志(九州大学大学院システム情報科学研究院所属)、谷本輝夫(九州大学情報基盤研究開発センター所属)、井上弘士(九州大学大学院システム情報科学研究院所属)、小野貴継(九州大学システム情報科学研究院 情報知能工学部門所属)
プロセッサから主記憶に対するアクセス情報(アドレス等)を秘匿する技術としてPath Oblivious RAM(ORAM)が挙げられる.PathORAMの実用化にあたり,アドレスを秘匿化するために必要なポジションマップと呼ばれる機構のサイズが大きくチップへの実装が困難という課題がある.既存技術として階層PathORAMと呼ばれる技術があり,この技術は面積問題を解決する一方,性能を大幅に低下させるという問題がある.  この問題を解決するために,我々は性能を維持しつつポジションマップサイズを削減する手法を提案する.ポジションマップはデータがメモリ上のどのアドレスに格納されるかを管理している.従来手法では1つのデータに対し1つの格納場所を保持していた.提案手法では複数のデータに対して格納場所を保持することで,ポジションマップのサイズを削減することを目指す.  実装面積を最小にする設計においてシミュレータを用いた定量的な評価の結果,提案手法は従来 手法に比べて,性能低下を招くことなくポジションマップが 75 %以上削減可能であることを確認した.

4E1 AIセキュリティ(3) 1月22日(金) 9:20-10:40
座長:三宅秀享(東芝)
4E1-1
CMOSイメージセンサインターフェースへの攻撃による画像改ざんとその対策(1) - MIPIのフォルト信号注入によってトリガする深層学習モデルへのバックドア攻撃 -
◎大山 達哉(立命館大学)、大倉 俊介(立命館大学)、吉田 康太(立命館大学)、藤野 毅(立命館大学)
深層ニューラルネットワーク(DNN)を利用した画像認識システム上で誤動作を誘発する手法として,Adversarial Examples画像やバックドア攻撃が知られている.従来,これらの攻撃は誤動作を誘発するための改ざん画像を,CMOSイメージセンサ等の画像入力デバイスで撮影していたが,攻撃成功率は撮影条件に依存するため,様々な環境で再現性のある攻撃を実行することは難しかった.一方,イメージセンサと画像認識システムの間では, MIPI規格で画像情報を送信しており,そして,一般的にはセキュリティ対策が行われていない.本稿ではMIPI信号に電気的な攻撃信号を注入しDNNの誤認識を誘発させるフォルト攻撃を行った結果を報告する.実験では,Raspberry Piとカメラモジュール間のMIPI信号に,2系統の攻撃用MIPI信号を重畳した.2系統の信号が逆相の場合には正常な信号が送信され,同相の場合には攻撃信号が送信されることを利用して,画像内の特定の小領域に異常なマークを付加することに成功した.そして,この異常なマークをトリガとして,攻撃者が意図した分類結果に誤誘導をさせるバックドア攻撃を行った.
4E1-2
CMOSイメージセンサインターフェースへの攻撃による画像改ざんとその対策(2) - MIPIにおけるCIS-PUFとCIS-RNGを用いたMAC認証 -
◎龍野 隼人(立命館大学)、大山 達哉(立命館大学)、白畑 正芳(立命館大学)、汐崎 充(立命館大学)、大倉 俊介(立命館大学)、藤野 毅(立命館大学)
CMOSイメージセンサ(CIS)とプロセッサを接続しているMIPI信号ラインにフォルト信号を重畳することで,深層ニューラルネットワークを利用する画像認識システムへのバックドア攻撃が成功する.本攻撃を防止する対策として,CISとプロセッサ間に流れる画像データへMACを付与することを本稿では提案する.本システムを構築するためには,CISとプロセッサで秘密鍵を共有する必要があり,CISの画素ばらつき情報から秘密鍵を生成できるCIS-PUF技術を採用する.一方,CIS-PUFで生成したレスポンスは揺らぎを持ち,鍵として使用するには誤り訂正を行う必要がある.PUFレスポンスの誤り訂正手法としてはFuzzy Extractor が一般的であるが,CIS上の回路面積削減のために,Reverse FE(RFE)技術を採用する.さらに,RFEを用いる場合,電源投入毎に真性乱数が必要となるため,CIS画素の熱ノイズを利用した物理乱数生成器CIS-RNGの検討を行った.画素の読み出し電圧の最下位ビットを,時間方向にデータ処理した乱数列をNIST SP800-22を用いて評価した結果について述べる.
4E1-3
Autoencoderを用いた Adversarial Examples攻撃対策の弱点を緩和する入力画像への乱数ノイズ付加対策手法
◎宮崎 将宏(立命館大学)、吉田 康太(立命館大学)、増田 春樹(立命館大学)、大倉 俊介(立命館大学)、藤野 毅(立命館大学)
深層学習を用いた画像認識システムは様々な分野に応用されている.一方で,入力に僅かな摂動を加えることで認識器の誤認識を誘発させるAdversarial Examples(AEs)がセキュリティ上の重要な課題となっている.この攻撃への対策として,Denoising Autoencoder(DAE)を用いて敵対的な摂動を除去する研究が行われている.攻撃者がDAEの存在を知らない場合,DAEは摂動を除去できる.しかし,DAEの存在を知っている場合,DAEと認識器を一つのネットワークとして扱うことでAEsを生成可能である.本稿では後者のシナリオを仮定し,入力画像にランダムノイズを加えることを提案する.正規の画像が入力された時,ランダムノイズはDAEによって除去されるため,後段の認識器で正しく認識できる.AEが入力された場合,ランダムノイズが摂動を攪乱し,DAEは摂動をノイズとして除去することができる.これにより,認識器で正しく認識することが可能となる.実験では,ランダムノイズの加算によって起きる正常画像の認識精度の劣化を約3%に抑えながら,AEsの認識精度を約80%回復できたことを報告する.
4E1-4
顔領域に注目してファインチューニングした事前学習済みCNNモデルに基づくディープフェイク動画検出法
◎河田健斗(岡山大学大学院自然科学研究科)、栗林稔(岡山大学大学院自然科学研究科)、舩曵信生(岡山大学大学院自然科学研究科)
メディア処理技術の高度化に伴い,インターネット上を中心として,悪意を持って制作されたフェイクコンテンツの拡散が問題となっている.特に近年では,Deepfakeに代表される,敵対的生成ネットワーク(GANs)などを利用したAI技術に基づく人物画像合成手法が発展してきている.この技術を攻撃者が悪用することで,実際には起こっていない出来事の映像を生み出すことが可能となる.政治やビジネス,エンターテインメントなど既に多数の分野で大きな問題として挙げられており,それらの改ざんされたコンテンツへの対処が急がれている.本研究では,事前学習済み畳み込みニューラルネットワーク(CNN)モデルに,Deepfake動画より顔領域をキャプチャした画像を用いてファインチューニングを施すことで,フェイク動画を検出する手法を提案する.また,学習に用いる人物の顔を集めたデータセットを作成する段階で,事前学習済みモデルを用いた転移学習を導入した.これにより少ない計算コストでノイズの少ない高品質なデータセットを用意することができた.本稿では,提案手法の概要および評価結果について述べる.

4F1 プライバシー保護(3) 1月22日(金) 9:20-10:40
座長:清本晋作(KDDI総合研究所)
4F1-1
iOS端末のフィンガープリントを用いたWebユーザの識別における手法ごとの精度の比較
◎髙山 眞樹(明治大学大学院)、利光 能直(明治大学大学院)、北條 大和(明治大学大学院)、菊田 翼(明治大学大学院)、齋藤 孝道(明治大学)
モバイル技術の発達により,スマートフォンからWebサイトへアクセスするユーザが多く存在している.そのWebユーザの識別に利用される技術の一つにフィンガープリンティングがある.フィンガープリンティングはブラウザから取得可能な情報を複数組み合わせ,その差異を基にサーバ側でWebユーザの識別を行う.しかし,iOS端末は他のOS端末と比較して取得可能な情報の種類が少なく,差異が出にくいため,Webユーザの識別が難しくなる. 本論文ではiOS端末から取得した3,233のアクセスデータを用いて,iOS端末を持つWebユーザの識別とその識別に掛かる実行時間を計測した.その際,アルゴリズムによる手法と深層学習による手法の2つを比較した.その結果,Webユーザの識別におけるF_1値はアルゴリズムによる手法の場合が0.67,深層学習による手法の場合が0.83となった.また,実行時間は,データ数約15,000件までは深層学習による手法の方が短く,それ以降はアルゴリズムによる手法の方が短くなる結果を得た.
4F1-2
HTTPSフィンガープリンティングを用いた端末識別の試み
◎川越 響(明治大学)、菊田 翼(明治大学大学院)、利光 能直(明治大学大学院)、北條 大和(明治大学大学院)、齋藤 孝道(明治大学)
安全なWebサイトの提供を目的に,HTTPSに対応したWebサイトが増加し,多くのユーザが利用している.Webサイトを利用するユーザのサーバサイドの識別技術の一つに,フィンガープリンティングがある.先行研究では,HTTPヘッダの情報を用いたフィンガープリンティングにより,端末の識別を行った.本論文では,HTTPS通信から採取できるHTTPヘッダ以外の情報を利用したフィンガープリンティングと機械学習により,端末の識別を試みた.結果として,F1値が0.98となった.
4F1-3
ブラウザフィンガープリントを用いたクロスデバイスにおけるID推定の試み
◎利光 能直(明治大学大学院)、礒貝 竜真(明治大学)、藤井 達也(明治大学)、菊田 翼(明治大学大学院)、鈴木 嵩人(明治大学大学院)、北條 大和(明治大学大学院)、齋藤 孝道(明治大学)
スマートフォンの普及に伴い,複数のデバイスを所有するユーザが増加している.そうしたユーザのデバイス利用状況の変化に伴い,同一ユーザが所有する様々なデバイスを紐づけ・追跡するクロスデバイストラッキングと呼ばれる技術が開発されてきた.クロスデバイストラッキングは,メールアドレスなどのクレデンシャル情報を用いたものもあるが,その仕組み上,1つのサービス内でのトラッキングとなるため,スケールアップが難しい.本論文では,会員制Webサイトにおいて,ブラウザフィンガープリントと機械学習を用いたクロスデバイスにおける会員IDの推定を行なった.その結果,正解率が84%というように,クロスデバイストラッキングにおいての会員IDの推定を高精度に実現できた.
4F1-4
Webアクセス履歴の時系列特性を考慮したユーザ推定
◎竹内 悠真(金沢大学大学院 自然科学研究科)、満保 雅浩(金沢大学理工研究域)
近年、社会全体としてIoT化が進み、インターネットを通じて様々な情報を収集することが可能となった。これに伴い、これらのビッグデータを活用する動きが活発化し、国内外で法整備が進められてきた。ビジネスに活用されるビッグデータの例としてWebのアクセス履歴が挙げられる。これらのデータはWebマーケティングの分野などで広く活用されており、Webアクセス履歴を解析することで、ユーザの行動パターンや趣味嗜好を知ることが可能となる。そのため、Webアクセス履歴におけるデータの匿名性は今後さらに重要となることが予想される。そうしたWebアクセス履歴のプライバシに関して、仮名化をはじめとするデータの匿名化技術に加えて、ユーザのプライバシリスク評価手法についても研究を深化させていくことが求められている。そこで、本論文では、Webアクセス履歴データにおけるユーザの時系列特性について解析する。また、その結果を用いて、二つの異なる期間に収集された実データに対してユーザ推定を行い、高い精度で推定が可能であることを示す。

4A2 署名(2) 1月22日(金) 11:00-12:20
座長:高安敦(情報通信研究機構)
4A2-1
Security Notions of Stateful Signature Schemes
◎Quan YUAN(Graduate School of Informatics, Kyoto University)、Mehdi TIBOUCHI(NTT Secure Platform Laboratories)、Masayuki ABE(NTT Secure Platform Laboratories)
In some digital signature schemes, the signer needs to maintain a dynamic state during signing messages. These are called stateful signature schemes. Even though stateful signature schemes are commonly used as cryptographic primitives, they do not fit the standard definition of signature scheme in cryptography. In this paper, we give a formal and general definition for stateful signature schemes. In the definition of security, we consider various scenarios where the adversaries have different control over the signing oracle, in term of messages and states. After that, we give generic constructions between stateful signature schemes with different security levels. In addition, we give some black box constructions of stateful signature schemes, which can be instantiated by primitives under any assumptions. Note that the constructions in this paper are proved secure in standard models.
4A2-2
Algebraic Model上でのLyubashevsky署名のTightnessについて
○福光 正幸(北海道情報大学)、長谷川 真吾(東北大学)
Schnorr署名に代表される「Fiat-Shamir型署名」の安全性証明について, 多くの研究がなされてきた. 特に, Paillier, Vergnaudは, いくつかのFiat-Shamir型署名において, 帰着アルゴリズムを「Algebraic」なものに制限した場合, そのTightな安全性を証明できないことを示した. 一方, 近年, Fuchsbauer, Plouviez, Seurinは, この否定的な結果に対し, 攻撃アルゴリズムがAlgebraicな場合, Tightな安全性を証明できることを示した. この結果は, 攻撃アルゴリズムの能力を限定することで安全性証明に関する証明不可能性を突破できることを示唆している. ここで, Algebraicアルゴリズムは群をベースとしたモデルであり, Fuchsbauerらの結果は素数位数の巡回群上で定義される方式についてのもので, その他の代数系に基づく方式, 例えば格子をベースにした方式などについては言及されていない. そこで本稿では, 格子ベースの署名の例としてLyubashevesky署名を対象とし, 攻撃アルゴリズムがAlgebraicな場合のTight安全性について議論する.
4A2-3
計算量的機能保存性をもつ電子透かし署名
◎数藤 恭平(東京工業大学)、手塚 真徹(東京工業大学)、原 啓祐(東京工業大学、国立研究開発法人産業技術総合研究所)、吉田 雄祐(東京工業大学)、田中 圭介(東京工業大学)
プログラムに対する電子透かしは、元の機能性を変化させることなくプログラムに透かし情報を埋め込み、またそれを読み取る技術である。埋め込まれた透かしは、対象の機能性を壊すことなく取り外すことができない。 Cohenらは機能保存性に対する要件を透かしを埋め込んだプログラムの入出力が元のプログラムの入出力と大部分で一致する性質とした。彼らはこの定義の下、擬似ランダム関数の評価回路、公開鍵暗号の復号回路、電子署名方式の署名回路に対する電子透かしの構成を識別不可能難読化を用いて示した。また、Goyalらは機能保存性の要件をさらに弱めた、署名方式の署名回路、公開鍵暗号の復号回路に対する電子透かし方式の定義を提案した。 本発表では、機能保存性として新たに計算量的機能保存性を定義し、従来の機能保存性の定義との関係性を考察する。さらに、計算量的機能保存性をもつ電子透かし署名方式の構成を示す。
4A2-4
動的に不正署名を生成するデバイスを追跡可能な集約署名
◎石井 龍(東京大学/産業技術総合研究所)、照屋 唯紀(産業技術総合研究所)、坂井 祐介(産業技術総合研究所)、松田 隆宏(産業技術総合研究所)、花岡 悟一郎(産業技術総合研究所)、松浦 幹太(東京大学)、松本 勉(横浜国立大学/産業技術総合研究所)
集約署名は,複数の署名を1つの署名に集約でき,全体署名長および署名検証時間の短縮という効率性を持つため,センサーネットワークなど多数のユーザやデバイスが署名を送信するシステムでの活用が期待されている.しかし,不正署名を 1 つでも含んで集約すると集約署名は不正となり,検証者はどのユーザやデバイスが不正署名を生成したかを特定できない.さらに,上記のセンサーネットワーク等の応用では,多数のデバイスが定期的にデータと署名を送信し,かつ (故障などにより) 不正署名を生成するデバイスが時々刻々と変わることが自然に想定される.本研究では,そのような状況を捉えた追跡可能集約署名のモデルを導入し,その機能的要件と安全性要件の定義を行う.さらに,(通常の) 集約署名とDynamic Traitor Tracingを用いた一般的構成を提案する.

4B2 秘密計算(3) 1月22日(金) 11:00-12:20
座長:大畑幸矢(デジタルガレージ)
4B2-1
秘匿計算における乱数生成サーバーの設計と実装
○石田 祐介(ZenmuTech / 産業技術総合研究所)、大原 一真(産業技術総合研究所)、松田 隆宏(産業技術総合研究所)、アッタラパドゥン ナッタポン(産業技術総合研究所)、花岡 悟一郎(産業技術総合研究所)
著者らはClient-aidedモデルにおける2者秘匿計算プラットフォーム QueryAhead の実装を進めている. Client-aided モデルにおいては,クライアントが Beaver triple 等の乱数を生成して他の参加者に送信し,それらを用いて秘匿計算処理を進める. しかし,実際のクライアント環境では,必ずしも高スペック端末や広帯域ネットワークを利用できるとは限らず,これが全体のスループットを低下させる原因となりうる. そこで本研究では,クライアントに代わり乱数を生成するサーバー (trusted initializer) の設計検討と実装を行う. 実用性を鑑み,当該サーバーの運用形態,trusted initializer モデルと client-aided モデルとの関係についても検討・考察を行う. また,乱数生成サーバーを QueryAhead 上で実装検証し,その有効性を確認する.
4B2-2
高精度かつ高速な秘密線形回帰の実装と評価
◎深見匠(NTTセキュアプラットフォーム研究所)、五十嵐大(NTTセキュアプラットフォーム研究所)
線形回帰は、いくつかの説明変数と目的変数の関係を線形モデル化する手法であり、様々なデータの分析に用いられている。従来の線形回帰は、データ保有者がローカル環境で自分の保有するデータに対して行っていた。近年、様々な組織が大量のデータを取得しており、そのデータを最大限に有効活用するためには、各組織の保有するデータを集め、線形回帰等を行うことが望ましいと考えられる。しかし、組織の保有するデータは機密情報が含まれることが多く、セキュリティを考えると既存のプラットフォームでは分析することはできなかった。 本研究では、暗号化したままデータを解析できる秘密計算という技術を用いて、データが漏れることのない秘密線形回帰を実現する。秘密線形回帰では、20属性×100万件のデータにおいて約9秒を達成し、予測精度は平文とほぼ同様であった。
4B2-3
秘密計算ディープラーニングの学習や推論が記述可能なPythonライブラリの設計と実装
○三品気吹(NTTセキュアプラットフォーム研究所)、濱田浩気(NTTセキュアプラットフォーム研究所)、五十嵐大(NTTセキュアプラットフォーム研究所)、菊池亮(NTTセキュアプラットフォーム研究所)
秘密計算によるデータ分析の実用化研究において,データ分析者が利用しやすいインターフェースを作ることは重要な課題である.筆者らがこれまでに開発した秘密計算ライブラリMEVALは豊富な関数と高い処理性能を有しているが,一般的なデータ分析者が用いるものとは異なるインターフェースである.秘密計算はアーキテクチャや演算性能のバランスが平文と異なるため,ネイティブインターフェースを平文と同じにすることは必ずしも合理的ではないからである.しかしこれは習熟までの敷居を高くしてしまうという実用上の課題を引き起こす.本稿では,世界中のデータ分析者の間で広く用いられるプログラミング言語であるPythonのライブラリとして,MEVAL上の秘密計算ディープラーニングを実行できるインターフェースの設計方法を提案し,実際に実装を行う.このインターフェースでは,Scikit-learnやkerasに似た仕様で,秘密計算上でのデータ前処理やディープラーニングのモデル設計・学習・推論を実装可能である.これにより,秘密計算の知識が無い一般的なデータ分析者でも,普段使っているデータ分析ライブラリと同じような使用感で,MEVALのような秘密計算に最適化された高速かつ高精度なライブラリによる秘密計算ディープラーニングを利用できるようになる.
4B2-4
行数のみ開示する秘密計算データベース管理システムの実装と評価
◎須藤 弘貴(NTT セキュアプラットフォーム研究所)、五十嵐 大(NTT セキュアプラットフォーム研究所)
本研究は実用的な速度の秘密計算データベース管理システム(DBMS)の実現を目指すものである. 秘密計算DBMSとはデータベースの内容を秘匿したまま データの検索や集計といったデータベース操作を行うことができるシステムである. データベースの形式はいくつか存在するが, 本研究では最も一般的に用いられている表形式のデータベースを対象とする. 秘密計算プロトコルには秘匿性と性能のトレードオフがあり,適切なバランスを取ることが課題の一つである. 本研究では複雑なクエリを処理する際に全体性能への影響が大きい,行数の情報に着目した. データベース操作を完全に秘匿して実現する場合,サーバーに行数さえも明かさないため,ダミーを挿入し見かけの行数を取りうる最大の行数とする. これにより,実際に必要な行数よりも出力サイズが大きくなってしまう. 例えば条件に一致する行のみを抜き出す操作では,見かけの出力サイズは入力サイズ以上に設定するため,一致する行数が1行でも入力サイズが100万行であれば出力は100万行となり,多くの場合非常に無駄が多い. クエリは基本操作の組み合わせにより実現され,出力は次の操作の入力となるため,見かけの出力サイズが大きいと後続の処理の計算コストが増え,全体として非効率的になる問題が生じる. そのため,本研究では行数のみ公開し,全体として秘匿性の高さと性能のバランスを取る設計を提案する. 行数は統計値とみなせ漏洩するプライバシーの影響は小さいと考えられる一方で,性能は大幅に向上させることができる. 本稿では,この設計に基づく現在開発中のシステムについて,クエリ実行時の性能を報告する.

4C2 ソフトウェア保護 1月22日(金) 11:00-12:20
座長:菅原健(電気通信大学)
4C2-1
強制アクセス制御方式を利用したゲームチート対策の検討
◎藤田 吾矢(情報セキュリティ大学院大学)、大久保 隆夫(情報セキュリティ大学院大学)
In 2019, Game-Cheatings are widespread on online games. Game-Cheats mean methods which tamper game’s status or interrupt other players by using external tools or applications like a memory editor. A game’s lifetime is destroyed, derogation of games and losses of charging opportunities to game’s operations due to the cheat circumstance. Tampering memories which attackers rewrite wrong value for memories on a computer is often used for cheats. Games are cheated at a client side. Therefore, controlling cheats have a lot of trouble. Measures for reverse engineering like obfuscation and ciphering with memories are NOT fundamental methods for game cheats. In this study, we discuss the new proposals of cheat control with TOMOYO Linux on Ubuntu by Mandatory Access Control functions.
4C2-2
脆弱性解析を用いた効果的なバイナリCFIの実現に向けて
○橋本政朋(千葉工業大学)、泉田大宗(IIJイノベーションインスティテュート)、森彰(産業技術総合研究所)
CFI(control-flow integrity)とは,制御フローが意図しない要因で変更されないという性質であり,制御プログラムがこの性質を持つようにすることで,機器の乗っ取りを防ぐ事ができる.現状では,コンパイラの助けを借りてソースコード(あるいは中間コード)変換を行うことで実現することが一般的である.一方,バイナリを対象としたCFI実現手法はいくつか提案されているが,バイナリにおいては様々な情報が欠落しており,結果として実用性と有効性との両立は困難となっている.本稿では,脆弱性解析を用いることでバイナリに対しても効果的なCFIを実現しようとする試みについて報告する.
4C2-3
RAM暗号化埋め込みツールのARMv8対応
○渡辺大(日立製作所)、坂本純一(横浜国立大学)、鈴木麻奈美(日立製作所)、吉田直樹(横浜国立大学)、松本勉(横浜国立大学)
モバイル端末を使った金融決済サービスが注目を集めるなど、ITシステム上で取り扱う情報の価値が高くなっており、攻撃のリスクも高まっている。これを受け、端末がマルウェアが感染するなど、従来よりも厳しい状況を想定してデータを保護する技術が開発されている。筆者らは、これまでアプリケーションソフトウェアだけで対策可能なRAM暗号化の仕組みを提案し、機能をソフトウェアに埋め込むためのARMv7向けツール開発を行ってきた。本稿では、上記ツールをARMv8向けに改修し、性能評価を行った結果について報告する。
4C2-4
IPC暗号化の実装に関する一考察
◎鈴木 麻奈美(日立製作所)、渡辺 大(日立製作所)、松本 勉(横浜国立大学)、吉田 直樹(横浜国立大学)、坂本 純一(横浜国立大学)
プロセス間通信 (Inter-Process Communication: IPC) におけるセキュリティが問題になっている.筆者らはIPCにおけるなりすましに対して安全に通信を行うプロトコルとしてIPC暗号化を提案し,研究を行っている.IPC暗号化における鍵共有 (KA-IPC) では,乱数を含むデータ(パケット)をIPC上で繰り返しやり取りすることでプロセス間で鍵共有のための乱数を共有する.KA-IPCのプロトコル仕様ではパケットの送信回数,受信回数を事前に決める必要がある.これまでの研究において実機実験のデータからパケットの受信回数の目安を示したが,送信回数については未検討であった.本稿ではパケットの送信回数の目安について実機実験のデータを用いて示す.実際のIPC手法を用いてKA-IPCを実装するとパケット損失が発生するため,実機実験からパケット損失率を算出した後,このパケット損失を考慮したパケットの送信回数の目安について検討を行った結果について報告する.

4D2 乱数 1月22日(金) 11:00-12:20
座長:縫田光司(東京大学)
4D2-1
TSAを用いた擬似乱数発生アルゴリズムに関する一考察
◎江口 力哉(早稲田大学 基幹理工学部 情報理工学科)、佐古 和恵(早稲田大学 基幹理工学部 情報理工学科)
擬似乱数は様々なサービスにおいて使用されている.しかしながら,乱数生成の処理や,生成された乱数をどのように活用するかという仕様は,サービスの運営者がユーザに開示することはまれであり,ユーザには公平に擬似乱数が生成されたかを検証する手段がほとんどの場合提供されていない.このことは,ユーザにサービスへの不信を抱かせることにつながり得る.本論文においては,TSA(Time Stamping Authority)を用いてサービスの運営者とユーザの間で公平な乱数の生成を行うことによって,このような問題を解決する一手法を提案する.
4D2-2
SGXサーバを用いた攻撃者が知らない乱数の生成法
◎白井洸多(東京理科大学大学院工学研究科電気工学専攻)、稲村勝樹(東京理科大学大学院工学研究科電気工学専攻)、岩村惠市(東京理科大学大学院工学研究科電気工学専攻)
一般に,(k, n)閾値秘密分散法を用いた秘匿計算において,n < 2k-1の条件で情報理論的安全性を実現する秘匿計算は知られていない.そのため,著者等のグループではn < 2k-1において情報理論的に安全な秘匿計算が実行できる条件を探索するというアプローチをとり,semi-honest な攻撃者に対して,(1)秘匿計算結果に 0 を含まない(2)攻撃者が知らない乱数とそれを構成する乱数の分散値を各サーバが持つ(3)各サーバが復元する乱数は固定される,という 3 つの条件の下情報理論的に安全な秘匿計算ができることを示した.本論文では、(2)の条件を解決するために、セキュリティを強化するための機能であるIntel SGXを利用し、攻撃者が知らない乱数とそれを構成する乱数の分散値を生成・送信できることを示す。
4D2-3
リングオシレータ型真性物理乱数生成器の実装と評価
○林 光太郎(創価大学)、鳥居 直哉(創価大学)
 近年、IoT 機器が急激に増加している。IoT 機器は、小規模で低消費電力なデバイス上のセキュリティ確保が求められる。そこで、安全な鍵生成やノンスなどの生成を行う物理乱数生成器(TRNG)が用いられる。また、IoT 機器では、起動直後から高エントロピーな乱数生成が可能であることも求めれれる。本稿では、小規模で低消費電力で実現可能なリングオシレータ(RO)型乱数生成器の実装をZynq-7010 上で実装し、AIS20/31、及びSP800-90Bの統計テストを用いて定常時のエントロピーを評価した。さらに、起動直後の乱数系列についても統計評価を行った。評価対象は。RO 単体のTRNG(ERO-TRNG)に加え。2種の長さの異なるROを排他的論理和したTRNG(MURO-TRNG)も実装し、同様の方法で評価した。ERO-TRNG は、定常時はAIS20/31の統計テストは全て合格するが、SP800-90BのIIDテストについては全て合格せず、起動直後のテストについても不合格の場合があった。一方、MURO-TRNG は、定常時、及び起動直後も統計テストした。
4D2-4
乱数生成器の多段階評価に関する考察
○奥富秀俊(東芝情報システム)
近年著者らは乱数生成器の評価のあり方について検討を続けている.ベンチマークとなる今日の代表的な乱数検定スイートは多段による統計評価がなされている(1段目が系列の評価,2段目が生成器の評価).本稿では,多段評価の意味や効果について改めて考察すると共に,著者らが提案する「生成器に対する評価案」とSP.800-22における多段階評価の違いを説明し,等頻度検定を例とした場合での両者の検出力の違いについて述べる.

4E2 AIセキュリティ(4) 1月22日(金) 11:00-12:20
座長:一色寿幸(日本電気)
4E2-1
深層学習モデルで安全に推論するためのモデルパラメータ暗号化の検討
◎吉田 康太(立命館大学)、藤野 毅(立命館大学)
学習済み深層ニューラルネットワーク(DNN)モデルの内部情報は,知的財産の保護だけでなく,Adversarial examples(AE)攻撃をはじめとした脅威を緩和するためにも秘匿すべきである.推論用にDNNモデルをシステムに実装する際,DNNモデルを攻撃者から秘匿する手法の一つとして全結合層のみを暗号化する手法が提案されている.公開モデルの特徴抽出層を固定して転移学習したモデルは,全結合層のみ暗号化すれば十分にモデルの情報を秘匿することができる.一方で,特徴抽出層が攻撃者に知られている場合,特徴マップベースのAE攻撃が可能であることが示されている.AE攻撃からDNNモデルを守るためには,特徴抽出層を公開データとは異なるパラメータにした上で,暗号化する必要がある.本研究では,特徴マップベースのAE攻撃を用いて,推論時に暗号化するべきDNNモデルのパラメータについての評価を行う.本稿の実験結果は,DNNモデルのパラメータは特徴抽出層を含めて全て暗号化するだけでなく,推論時の中間特徴マップも暗号化するべきであることを示している.
4E2-2
Trusted Execution Environmentによる省メモリな深層学習モデル保護方式
○中井 綱人(三菱電機株式会社)、鈴木 大輔(三菱電機株式会社)、藤野 毅(立命館大学)
深層学習の発展は目覚ましく,特にリアルタイム処理や分散処理を目的に,組込み機器に深層学習を実装することが注目されている.一方で,深層学習に対するセキュリティやプライバシー保護の問題が指摘されはじめている.その中でも,知的財産と考えられる学習モデル情報(モデルアーキテクチャやパラメータ)の窃取・複製は,重要なセキュリティ課題の1つである.先行研究では,学習モデル情報の保護を目的に,マルウェア等の不正なソフトウェアによって操作されることのない隔離された実行環境を提供するTrusted Execution Environment(TEE)を用いた方式がいくつか提案されている.TEEを用いた学習モデル情報の保護は,単純に深層学習の演算を隔離された実行環境へ移植するだけでは上手くいかないことが多い.その理由として,TEEのメモリサイズ制限により深層学習の特徴である大量なパラメータをメモリ展開できない,パラメータ改ざんの脅威,実行時間のオーバーヘッドが大きい,等の課題がある.そこで,本論文では,主に組込み機器を対象にTEEを用いた新たな学習モデル情報保護方式を提案する.提案方式は,省メモリかつパラメータの改ざん検知が可能で,実行時間のオーバーヘッドを抑えた点が特徴である.実験では,Raspberry Pi 3 Model BのArm TrustZoneとOP-TEEを用いて提案方式を実装・評価し,その効果を確認した.
4E2-3
時系列をもつマルウェアデータセットにおける有効な特徴の変化の調査
○東 結香(トレンドマイクロ株式会社/情報通信研究機構)、津田 侑(情報通信研究機構)
機械学習の性能は,学習データセットの準備や特徴選択,パラメータチューニングなどで構成されるパイプラインの各処理の影響を受ける.特に,パイプライン初期で準備される学習データセットはその後の各処理に大きな影響を与えうるため,その品質の担保は重要である.他方で,サイバー攻撃関連のデータセットは,攻撃対象の変遷や攻撃者の意図などによる影響を受けやすく,コンセプトドリフトといったデータセットの性質の変化を含みやすい.そのため,過去のデータセットで評価した既存研究を現在のデータセットに適用しても想定した性能が得られない可能性が高い.このような状況でも機械学習で一定の性能を得るためには研究段階から複数の異なるデータセットを用いて評価することが望ましいが,そのようなデータセット群を用意することは困難である.そこで本論文では,データセットの異なりを特徴の重要度によって表現できるかを検討する。そのためにEMBERデータセットからサンプル収集の時期が異なるサブデータセットを生成し,重要度の高い特徴の変化が存在するか否かを3手法の比較実験によりデータセットの異なりと特徴の重要度の関係を調査した.
4E2-4
深層強化学習を用いた自律サイバー推論システムの研究
◎藤本 大輔(情報セキュリティ大学院大学)、大塚 玲(情報セキュリティ大学院大学)
サイバー空間における脅威の増大に伴い,従来のセキュリティ機器では対応できない高度で巧妙なサイバー攻撃が増加している.そこで,近年注目されているのが,機械学習を用いたセキュリティである.従来の機械学習セキュリティは,過去に発生した正当な通信又は悪意のある通信を学習させ,実際の通信と比較し分類を行うものが主流であった.しかし,過去の通信のみから学習させた場合,珍しい正当な通信を悪意のある通信と分類する又は全く新しい攻撃に対応できないといった問題が発生し得る.そこで,訓練データを与えずとも試行錯誤により報酬を最大化する強化学習という手法が期待される.本稿では,サイバーグランドチャレンジの概要と戦略について説明した後,先行研究の強化学習エージェントをCTFに適用する手法について説明し,最後に今後の展望を述べる.

4F2 プライバシー保護(4) 1月22日(金) 11:00-12:20
座長:菊池浩明(明治大学)
4F2-1
準同型暗号を用いたプライバシー保護決定木アンサンブルによる外れ値検知
◎糸数 健吾(神戸大学)、王 立華(情報通信研究機構)、小澤 誠一(神戸大学)
観測データから異常検知するために用いられる外れ値検知は,ビッグデータ解析を行う上で重要な工程の一つである.その実社会への応用が期待されるものの, 実際には解析に必要なデータは複数の組織に分散しているなど, 1組織がもつデータのみでは異常データを正しく判別できない場合がある. このようなケースでは,複数組織が協調してデータ分析を行うことが有効であるが,プライバシーの観点から組織間で互いにデータを共有しなくても分析可能であることが望ましい.本研究では,複数組織が互いにデータを秘匿したままで決定木アンサンブルによる外れ値検知を行う協調学習スキームを提案する. 具体的には,加法準同型暗号でデータを秘匿化した上で学習および予測が可能となるよう,外れ値検知手法の1つであるIsolation Forestを拡張する.実験の結果, 通常の方法で学習を行ったIsolation Forestとほぼ同等の性能を有し,組織数が変化した場合でも精度の低下が見られないことを示す.
4F2-2
k-匿名化と(乱択)決定木の融合について
○野島 良(情報通信研究機構)、王 立華(情報通信研究機構)
決定木は機械学習において代表的なアルゴリズムの一つであり, 多くの拡張が存在する. 本稿ではその中でも, 2003年にFanらが提案した乱択決定木をベースとし, そのプライバシー保護方式を提案する。
4F2-3
Investigating User Intention to Use a Privacy Sensitive Information Detection Tool
○Vanessa Bracamonte(KDDI Research, Inc.)、Sebastian Pape(Goethe University Frankfurt)、Shinsaku Kiyomoto(KDDI Research, Inc.)
Privacy sensitive information (PSI) detection tools can identify when a social media post contains information that users could later regret sharing. PSI detection tools have the potential to help users protect their privacy when posting information online. However, although users consider this type of tools useful, previous research indicates that intention of using them is not high. In this paper, we conduct a user survey (n=147) to investigate the factors that influence intention to use a PSI detection tool. The results of a logistic regression analysis indicate a positive association of intention to use a PSI detection tool with performance expectation, social influence, and perception of accuracy of the tool. In addition, intention is negatively associated with privacy concerns related to the tool itself and with the participants' self-perceived ability to protect their own privacy. On the other hand, we did not find significant association with the participants' demographic characteristics or social media posting experience. We discuss these findings in the context of the design and development of PSI detection tools.
4F2-4
Privacy Protection for Electricity Transaction Information on Blockchain-based Virtual Power Plant
○ZHUOWEI DENG(Department of Informatics Graduate School of ISEE, Kyushu University)、KOSUKE KANEKO(Cybersecurity Center, Kyushu University)、KOUICHI SAKURAI(Department of Informatics Faculty of ISEE, Kyushu University)
In recent years, blockchain technology from Bitcoin has been applied in various fields due to its decentralized and transparent structure. Meanwhile, a smart city supported by advanced technologies is growing rapidly and makes it possible that home appliances can be controlled with smart devices. Thus, in this research, we intended to establish a blockchain-based Virtual Power Plant (VPP) system to realize a self-management electricity network. By implementing smart contracts based on blockchain technology into VPP, it would be possible for users to trade cryptocurrencies and electricity generated by their own. However, since transaction data in blockchain is visible to all users, private information would be used in malicious ways. In order to protect information privacy from malicious users, a method of writing metadata, etc. into blockchain and saving encrypted original data into another database was proposed. On the other hand, the above method might lead to complicated procedures for researchers who want to analyze transaction data because they have to ask for permission whenever for data access. Thus, in order to protect information privacy and cancel the complicated procedures for getting permission of data analyses, secure computation based on secret sharing will be implemented. In the background of the blockchain-based VPP system, we will propose a method which realizes the environment where users can manage their own information and researchers can analyze data without complicated procedures and invasion of information privacy even under transparent blockchain technology.

 

PAGE UP

(C) 2020 SCIS2021 Organizing Committee. All Rights Reserved.