プログラム｜SCIS2022 暗号と情報セキュリティシンポジウム

1A1-1

数体篩法実装は双子smooth素数の探索に役立つか? Can NFS Implementation Find Twin Smooth Primes? 〇青木和麻呂(文教大学情報学部), 大槻紗季(東京大学大学院情報理工学系研究科), 小貫啓史(東京大学大学院情報理工学系研究科), 高木剛(東京大学大学院情報理工学系研究科): 同種写像暗号B-SIDHの効率的な実装に必要となるp±1がともにsmoothな素数pの探索を考える。B-SIDHは、NISTの耐量子計算機暗号標準化プロジェクトに提案されているSIKEのもととなったSIDHの鍵長を短くする方式であり、p±1がともにsmoothである必要がある。一方、smoothな数の数の探索は素因数分解アルゴリズムである数体篩法の篩処理でも行なわれており、実装改良の歴史は長い。篩処理では二つの多項式を評価した値がともにsmoothである関係を探す。これは、B-SIDHでp±1のどちらもsmoothな素数を探すことと、数体篩法のsmoothな数の探索に似ていることから数体篩法の篩実装がB-SIDHの素数探索にも応用できる可能性が考えられる。本稿では数体篩法の公開実装の一つであるmsieveを利用する。msieveの篩処理に適切なパラメータを与えることにより、p±1がともにsmoothとなる関係式が得られる。現在、p±1がsmoothとなる数を探索中である。論文本体締切および講演までに得られた結果を報告する。

[ 1A1-1:WEB概要版PDF ]

1A1-2

Quantum Resistance on Modes of Operation in Block Ciphers Quantum Resistance on Modes of Operation in Block Ciphers ◎Jeeun Lee(Korea Institute for Advanced Study): In this research, as one of the most widely used cryptographic primitives, the quantum security of confidentiality modes of operation in block ciphers are examined: CBC, IGE, CFB, OFB, and CTR. First, quantum adversaries are classified as Q0, Q1, and Q2 depending on their ability to perform quantum computation. The corresponding new quantum proof techniques are also presented. Then the underlying block ciphers are assumed as pseudorandom functions which are Q0, Q1, and Q2 secure. Also, modes of operation to be investigated are represented in the quantum circuit. Next, our desired security notions are considered in terms of quantum version of indistinguishability (IND) and chosen-plaintext attack (CPA): IND under quantum CPA (IND-qCPA), weak-quantum IND under quantum CPA (wqIND-qCPA), and quantum IND under quantum CPA (qIND-qCPA). In conclusion, the security of each mode in Q0-, Q1-, or Q2-secure block ciphers is analysed and compared in these various quantum security game scenarios.

[ 1A1-2:WEB概要版PDF ]

1A1-3

A Practical Lattice-based Threshold Signature A Practical Lattice-based Threshold Signature ◎Yi Xu(Japan Advanced Institute of Science and Technology(JAIST)), Yuntao Wang(Japan Advanced Institute of Science and Technology(JAIST)), Eiichiro Fujisaki(Japan Advanced Institute of Science and Technology(JAIST)): Lyubashevsky署名（EUROCRYPT2012）をベースとする実用的な閾値型署名を提案する。Fiat-Shamir型のため部分署名を作る場合 round optimal では無く、署名者間の public channel が必要だが、部分署名生成は必ずMPCの 3 round で終わる。本署名は落とし戸を作る必要がない分鍵生成が容易で、任意のt-out-of-n 閾値型で、安全性が n-out-of-n 型と比べて劣化しない。

[ 1A1-3:WEB概要版PDF ]

1A1-4

SABERにおける数論変換のC言語実装 C Language Implementation of Number Theoretic Transform in Saber ◎青木大地(NECセキュアシステム研究所), 岡村利彦(NECセキュアシステム研究所), 峯松一彦(NECセキュアシステム研究所), 高木剛(東京大学大学院): 現在，米国標準技術研究所による耐量子計算機暗号の標準化計画が進められており複数の格子暗号が最終候補として残っている．Saberは最終候補のひとつであり，Module-LWR問題の計算量的困難性に基づく格子暗号である．Saberのような多項式環を利用した格子暗号では多項式乗算の効率が重要となる．高速な多項式乗算アルゴリズムとしてはKaratsuba法，Toom-Cook法，数論変換などが知られており，漸近的計算量としては数論変換が最も小さい．Saberは2冪の整数を法とする剰余環を用いるため多項式乗算に数論変換が使えずリファレンスではToom-Cook法に基づき実装されている．しかしChungらによりSaberに数論変換を導入する手法が提案された．Chungらはこの手法のCortex-M4におけるアセンブリ実装を公開しているがC言語のみの実装は公開されていない．本研究ではChungらの手法をC言語のみで実装し，Cortex-M3/M4，RISC-Vマイコン上でリファレンス実装のSABERと比較しある程度の高速化を達成した．

[ 1A1-4:WEB概要版PDF ]

1A1-5

A study of the Kipnis-Shamir approach against the Rainbow signature scheme A study of the Kipnis-Shamir approach against the Rainbow signature scheme 〇Yasuhiko Ikematsu(Kyushu University), Shuhei Nakamura(Nihon University): Rainbow is a multivariate signature scheme proposed by Ding et al. in 2005. Due to its efficiency, the Rainbow scheme gets attention in the area of post-quantum cryptography (PQC).In fact, the Rainbow scheme is selected as a finalist candidate of NIST PQC standardization project.The security of the Rainbow scheme mainly relates to the multivariate quadratic (MQ) problem and the MinRank problem.The MinRank problem is a problem to find a low-rank matrix by computing a linear combination from a set of matrices over a finite field and is known to be NP-hard.The Kipnis-Shamir (KS) approach is one of the major approach to solve the MinRank problem.It tries to find a target low-rank matrix by solving the polynomial system (called KS system) obtained by treating kernel vectors of the target low-rank matrix as variables.Recently, Verbel et al. gave a tighter complexity estimation for KS approach in 2019.They constructed explicit syzygies by focusing on the bilinear structure of KS system associated to random instances of the MinRank problem.In this paper, we consider the instances coming from the Rainbow scheme and study their complexity estimation. Moreover, we apply our result to the rectangular MinRank attack proposed by Beullens in 2020.

[ 1A1-5:WEB概要版PDF ]

1A1-6

多変数多項式署名Rainbowに対する新たな乱数固定のフォルト攻撃 New Fault Attack on Rainbow by Fixing Randomness ◎加藤拓(東京大学大学院情報理工学系研究科数理情報学専攻), 清村優太郎(NTT 社会情報研究所), 高木剛(東京大学大学院情報理工学系研究科数理情報学専攻): 　耐量子計算機暗号(PQC)の一つに多変数多項式暗号があるが, その中でもディジタル署名RainbowはNISTのPQC標準化プロジェクトの第三ラウンド最終候補に選出されるなど注目されている. またRainbowはUOVを多層化した方式であり, Rank attackやUOV attackなど多くの暗号解析の研究がなされている. 一方, 近年ではUOVやRainbowに対するフォルト攻撃の研究も行われており, Hashimotoらは中心写像や乱数へのフォルトをモデルとし, Shimらは乱数へのフォルトをモデルとした手法を提案した．これらの既存研究では, 乱数へのフォルトにおいて全ての乱数を固定した場合, 指数時間の計算量が必要であった．　本研究では, Shimらのフォルトモデルを用い, 全ての乱数を固定した場合, 多項式時間の計算量となる新たな鍵回復攻撃手法を提案する．また, 一部の乱数を固定した場合には, Rank attack やUOV attackなどの既存手法とフォルト攻撃を組み合わせることにより, Shimらに比べて計算時間が大幅に短縮されること, 例えば128ビットセキュリティの場合2^20倍の削減となることを示した．

[ 1A1-6:WEB概要版PDF ]

1A2-1

NIST PQC Round3候補の鍵カプセル化方式の匿名性 Anonymity of NIST PQC Round-3 KEMs 〇草川恵太(NTT社会情報研究所): NIST耐量子計算機暗号標準化プロジェクトの第3ラウンドに選定された鍵カプセル化方式 (KEM) に対して, Grubbs, Maram, Paterson (Cryptology ePrint Archive: Report 2021/708) はその匿名性および頑健性を調査した. 彼らはKyberとSaberの変種およびFrodoKEMの匿名性・頑健性を量子ランダムオラクルモデル (QROM) で示した. しかし他の方式の匿名性・頑健性については技術的な問題により未解決問題として残されていた.本稿では, Grubbsらが未解決問題とした他の方式の匿名性・頑健性を調査した. 結果をまとめると以下になる.* NTRU: 基となる決定性公開鍵暗号方式 (DPKE) が強分離的模倣可能 (strongly disjoint-simulatable) であれば, NTRUはQROMで匿名である. またNTRUはQROMで衝突耐性を持つ. NTRUをKEMとして適当なDEMと組み合わせたハイブリッド暗号は匿名かつ頑健である. 同様のことがBIKE, HQC (HQC-128とHQC-196), NTRU LPRime, SIKEについても成立する.* Classic McEliece: 基となるDPKEが強分離的模倣可能であれば, Classic McElieceはQROMで匿名である. Classic McElieceをKEMとして適当なDEMと組み合わせたハイブリッド暗号は匿名である. 以上より, Grubbsらが未解決問題として残したNIST耐量子計算機暗号標準化プロジェクトの第3ラウンドに選定されたKEMの匿名性および頑健性についておおむね解決できた.

[ 1A2-1:WEB概要版PDF ]

1A2-2

同種写像暗号B-SIDHの実験による計算量評価と効率的な素数pの条件 Computational Estimation of B-SIDH by Experiments and Condition of Good Prime Number ◎大槻紗季(東京大学大学院情報理工学系研究科), 青木和麻呂(文教大学情報学部), 小貫啓史(東京大学大学院情報理工学系研究科), 高木剛(東京大学大学院情報理工学系研究科): 同種写像暗号は，量子計算機に対する耐性を持つ暗号の中で鍵長が小さいという特長を持つ．代表的な同種写像暗号として，鍵交換方式SIDHがあり，そのKEM版であるSIKE は，NISTの耐量子暗号標準化プロジェクト第3ラウンドの候補となっている．SIDHより更に小さな鍵長を達成する同種写像暗号としてB-SIDHが提案された．しかし，B-SIDHは高次の同種写像計算を行うため，計算量がSIDHより大きくなる問題がある． B-SIDHの高速化には p±1がともにsmoothであることが望まれ，素数pの探索法として，拡張ユークリッド法，p=2x^n-1型，PTE法が提案されてきた．本研究では，上記の三手法で得られる素数pに対する鍵交換方式B-SIDHの計算量を考察する．B-SIDHをPythonにより実装し，主要な計算コストとなる秘密鍵生成，公開鍵生成，共有鍵生成に対して，有限体の乗算回数を数えた．その結果，鍵交換全体の演算回数は，p±1の素因数分解に現れる因子の総和の約17倍である結果を得た．この比率17倍の内訳は，同種写像の核計算(6倍)，点計算(10倍)，係数計算(1倍)であり，B-SIDHの計算コストの大部分を占めることが確かめられた．これにより，B-SIDHの計算コストの指標として，定義体の標数pのp±1の因子の総和を用いることができる．

[ 1A2-2:WEB概要版PDF ]

1A2-3

耐量子計算機署名Mod FalconのToom-Cook法及びRadix4 FFTによる高速化 Fast Implementation of Post Quantum Signature Mod Falcon with Toom-Cook Method and Radix4 FFT ◎福原大毅(東京都立大学), 髙橋雄人(東京都立大学), 山村和輝(NTT社会情報研究所), 齋藤恆和(NTT社会情報研究所), 横山俊一(東京都立大学): 耐量子計算機署名としてChuengsatiansupらによってMod Falconが提案されている。Mod Falconは、現在NISTのコンペティションの最終ラウンドに残っているFalconをベースとしており、module格子を組み込むことで、署名サイズを小さくすることができる。しかし、Mod Falconはスクリプト実装での評価のみで、実環境での評価がされていない。また、スクリプト実装での評価では、多項式乗算をKaratsuba法やFFTによる基本的な実装のみで、高速化を検討していない。そこで本稿では、高速な多項式乗算を実現するToom-Cook法やRadix4 FFTを組み込んだModFalconの実環境での評価を行った。

[ 1A2-3:WEB概要版PDF ]

1A2-4

近似イデアルGCD問題に基づく不定方程式暗号のバリエーションについて A variant of the indeterminate equation cryptosystems based on the approximate ideal GCD problem 〇秋山浩一郎(株式会社東芝研究開発センター), 池松泰彦(九州大学マス・フォア・インダストリ研究所): 近似イデアルＧＣＤ問題に基づく不定方程式暗号において、暗復号処理を効率化できる１つのバリエーションを提案する。この効率化によって特に復号演算の高速化が可能となる。しかし、その一方でこのバリエーションにおいては、オリジナルには適用できなかった部分イデアル分解攻撃が適用可能となる。本論文では部分イデアル分解攻撃を計算機実験により評価し、その影響も考慮したパラメータを提示するとともに、鍵長や暗号文長を見積もる。

[ 1A2-4:WEB概要版PDF ]

1A2-5

A New Efficient Variant of the XL Algorithm Using the Arithmetic over Polynomial Matrices A New Efficient Variant of the XL Algorithm Using the Arithmetic over Polynomial Matrices ◎古江弘樹(東京大学), 工藤桃成(東京大学): Solving a system of m multivariate quadratic equations in n variables (the MQ problem) is one of the main challenges of algebraic cryptanalysis. The XL algorithm (XL for short) is a major approach for solving the MQ problem with linearization over a coefficient field. Furthermore, the hybrid approach with XL (h-XL) is a variant of XL guessing some variables beforehand. In this paper, we present a variant of h-XL, which we call the polynomial XL (PXL). In PXL, n variables are divided into k variables to be fixed and the remaining n-k variables as ``main variables'', and we generate the Macaulay matrix with respect to the n-k main variables over a polynomial ring of the k variables. By eliminating some columns of the Macaulay matrix over the polynomial ring before guessing k variables, the amount of manipulations required for each guessed value can be reduced. Our complexity analysis indicates that PXL is efficient on the system with n=m.

[ 1A2-5:WEB概要版PDF ]

1A2-6

MQ問題の解決のためのHybrid approachの改良の検討 Development of hybrid approach for solving MQ problem 〇坂田康亮(東京大学): 多変数多項式公開暗号は耐量子計算機暗号であり，次世代暗号の候補の1つである．連立二次多変数代数方程式の求解(MQ問題)は多変数公開鍵暗号の安全性根拠となっており，その計算困難性を評価することは重要な研究課題である．MQ問題を解く有力な方法の一つとしてGroeber基底を求める方法があり，その際にはF4，F5などのアルゴリズムが用いられる．Hybrid approachは有限体上の連立多変数代数方程式の解法の一つで，全探索法(exhaustive search)とGroebner基底を計算する方法を合わせた方法であり，MQ問題の変数の数nが多項式の数mより大きい場合にあらかじめ代入を行い，n<mとしてGroebner基底を求める．この発表では，Hybrid approachにおける代入計算の前に，あらかじめGroebner基底計算を途中まで進めてから代入計算し，Groebner基底を求める手法について検討したので報告する．

[ 1A2-6:WEB概要版PDF ]

1A3-1

究極の本人確認のための3層構造公開鍵暗号の提案－第3報 3 Layer Public Key Cryptosystem for Ultimate Personal Identification–Rep. No.3 〇辻井重男(中央大学研究開発機構), 吉田昇(株式会社SRAホールディングス), 佐々木浩二(株式会社アドイン研究所), 鈴木伸治(株式会社アドイン研究所), 才所敏明(中央大学研究開発機構), 山澤昌夫(中央大学研究開発機構), 五太子政史(中央大学研究開発機構), 四方光(中央大学), 橋谷田真樹(関西医科大学): Beyond 5G・6G,ブロックチェイン,ゼロトラスト,テレワーク等が普及するDX環境において，生命・財産に関わる情報や組織・国家等の機密情報を守る為，公開鍵暗号の秘密鍵の盗用防止が緊急課題となっている．本論文では，秘密鍵の中に，STR(Short Tandem Repeat)と称するDNA情報，及び，マイナンバーを秘密鍵の中に極秘密鍵として，埋め込む3階層公開鍵方式を提案する．STRはプライバシィ情報を含まず，何兆人に1人でも同定出来る（１卵生双生児を除いて），デジタル情報であり，筆者らは，これまで，STRを極秘密鍵とする方式を提案してきたが，本論文（第3報）では，最近，普及が進められているマイナンバーを極秘密鍵とする方式について検討する．公開鍵暗号の登録時には，面前でマイナンバー保持を確認し，運用時には，シュノア署名による零知識証明により，REMOTE で，利用者のマイナンバーを極秘密鍵とする秘密鍵に間違いないことが確認されたデータを付して，受信者に送信する方式について考察する．

[ 1A3-1:WEB概要版PDF ]

1A3-2

被覆攻撃の対象となる偶標数有限体上の楕円・超楕円曲線に対する同種条件下の完全分類 A classification of elliptic and hyperelliptic curves over finite fields of even characteristic subjected to the cover attack under the isogeny condition ◎村井公輔(中央大学理工学研究科情報工学専攻), 志村真帆呂(東海大学理学部情報数理学科), 飯島努(株式会社光電製作所), 趙晋輝(中央大学理工学研究科情報工学専攻): 被覆攻撃とは,有限体k:=F_qのd次拡大体k_d:=F_q^d上定義される楕円・超楕円曲線C_0の離散対数問題を,k上定義される被覆曲線Cの離散対数問題に変換する攻撃手法である.近年,攻撃の対象となる奇標数拡大体上の種数1,2,3超楕円曲線暗号に用いられる曲線の完全分類が行われた.百瀬らにより,偶標数拡大体k_d上の種数1,2,3楕円・超楕円曲線C_0に対して, 同種条件(g(C)=dg(C_0))下で曲線の分類結果が発表されている.本論文では,百瀬らの結果を再検討し,分類表の検証と修正を行い,詳細な証明を与えた.

[ 1A3-2:WEB概要版PDF ]

1A3-3

A Study of Non-malleability Definitions on Timed Commitments A Study of Non-malleability Definitions on Timed Commitments ◎Zehua Shang(Kyoto University), Mehdi Tibouchi(Kyoto University. NTT Secure Platform Laboratories), Masayuki Abe(Kyoto University. NTT Secure Platform Laboratories): Time-release cryptography has seen a recent surge of popularity in the research community, due to their wide array of applications. Timed commitments are one of the central primitives in time-release cryptography. Non-malleable commitment has also been a well studied primitive in cryptography for decades which ensures security in the presence of 'man-in-the-middle' attacks. In this paper we conduct a survey on several existing constructions of non-malleable timed commitments, analyzing their security definitions and comparing them in CCA model. We hope this will motivate future research and provide new insights.

[ 1A3-3:WEB概要版PDF ]

1A4-1

Lossy Trapdoor function の幾つかの亜種について On some variants of lossy trapdoor function 〇星野文学(長崎県立大学): Peikert と Waters は STOC 2008 において lossy trapdoor function という概念を提唱し、その具体的構成と応用を提案した。その後 lossy trapdoor function の構成法や拡張および応用などに関して様々な研究が行われている。本発表では Lossy Trapdoor function の幾つかの亜種について考察を行う。

[ 1A4-1:WEB概要版PDF ]

1A4-2

効率的な漏洩耐性鍵隔離暗号 An Efficient Construction of Leakage-Resilient Key-Insulated Encryption ◎淺野京一(電気通信大学), 岩本貢(電気通信大学), 渡邉洋平(電気通信大学 / 産業技術総合研究所): 公開鍵暗号における秘密鍵の漏洩への対策の1つとして鍵隔離暗号がある.鍵隔離暗号では, 利用者が復号鍵と補助鍵の2種類の秘密鍵を持ち, 補助鍵を用いて復号鍵を定期的に更新することで, 復号鍵が漏洩していない期間の安全性を保証できる.このように, 鍵隔離暗号では秘密鍵が漏洩していない期間の安全性は保証されるが, 部分的にでも秘密鍵が漏洩した期間の安全性は保証できない.一方, 秘密鍵が部分的に漏洩した場合でも安全性を保証する公開鍵暗号として漏洩耐性暗号が知られているが, 鍵隔離暗号のように復号鍵を更新する機構を持っておらず, 秘密鍵全体が漏洩した場合の安全性を保証できない.そこで淺野らは, CSS 2021において, 鍵隔離暗号が満たす安全性と漏洩耐性暗号が満たす安全性を両立する公開鍵暗号として, 漏洩耐性鍵隔離暗号とその構成を提案した.本稿では, 淺野らの提案した構成を見直し, より効率的な構成を提案する.具体的には, 淺野らの構成に用いられている漏洩耐性秘密分散法に要求する安全性を弱められることを示し, そのような弱い安全性を満たす効率的な漏洩耐性秘密分散法の構成を提案する.

[ 1A4-2:WEB概要版PDF ]

1A4-3

匿名放送型暗号及び認証における非漸近的タイトな下界と最適構成法について Non-Asymptotically Tight Lower Bounds and Optimal Constructions of Anonymous Broadcast Encryption and Authentication ◎小林大航(横浜国立大学大学院環境情報学府), 渡邉洋平(電気通信大学), 峯松一彦(NEC/横浜国立大学先端科学高等研究院), 四方順司(横浜国立大学大学院環境情報研究院): 放送型暗号（Broadcast Encryption; BE）は, 送信者が平文を暗号化するとき, 復号権限を付与する受信者を複数人指定できる方式である. BEに望まれる安全性の一つとして匿名性が考えられており, 匿名性を満たすBE（匿名BE）は復号権限をもつ受信者の情報を秘匿する．Kobayashiら（IMACC 2021）は匿名BEにおける暗号文長の漸近的にタイトな下界を示している．本稿では, その結果を拡張し, 匿名BEにおける暗号文長の非漸近的にタイトな下界を示すと同時に, LiとGong（ACNS 2018）による匿名BE方式の変形版が最適な構成法であることを示す. また, 同様な解析を匿名放送型認証（ABA）に適用することで, ABAにおける認証子サイズの非漸近的にタイトな下界を示すと同時に, ABAの最適な構成法を提案する．

[ 1A4-3:WEB概要版PDF ]

1A4-4

公開鍵暗号の平文空間の効率的な拡張方法について On Expanding the Plaintext Space of Public Key Encryption 〇松田隆宏(国立研究開発法人産業技術総合研究所): 「平文空間が1ビットの選択暗号文攻撃(CCA)に対して安全な公開鍵暗号(PKE)から、任意の長さの平文を暗号化できるCCA安全なPKEを構成できるか」という問題は、MyersとShelat (FOCS'09)が、CCA安全な1ビットPKEからCCA安全な鍵カプセル化メカニズム(KEM)を構成できることを示したことによって肯定的に解決され、後にいくつかの論文において効率化が図られた。 MatsudaとHanaoka (ASIACRYPT'15)は、CCA安全な1ビットPKEからCCA安全なKEMを構成する際にKEMの暗号文サイズがO(k) |c_1|、暗号化のコストがO(k) e_1とできる方法を示した。(ただし、kはセキュリティパラメータ、|c_1|は構成要素の1ビットPKEの暗号文サイズ、e_1は構成要素の1ビットPKEの暗号化1回にかかるコストを表す。)Matsuda-Hanaoka方式では、構成されたCCA安全なKEMは構成要素のCCA安全な1ビットPKEの鍵対を2つ用いる。一方、松田 (SCIS'17)は、構成要素のCCA安全な1ビットPKEの鍵対を1つのみしか用いずにCCA安全なKEMを構成する方法を示した。このKEMの暗号文サイズはO(k) |c_1|であるものの、暗号化のコストはω(k log k) e_1である。本発表では後者の方法を改善し、構成要素のCCA安全な1ビットPKEの鍵対は一つのみしか用いずに、暗号文サイズがO(k) |c_1|、暗号化のコストがO(k) e_1であるようなCCA安全なKEMの構成方法を示す。 [ 1A4-4:WEB概要版PDF ]

2A1-1

格子暗号におけるノイズの数論変換の実装について On Implementation of the Number Theoretic Transform for Noise in Lattice-based Cryptography 〇米村智子(株式会社東芝), 秋山浩一郎(株式会社東芝): 有望な耐量子計算機暗号のひとつに格子暗号がある。格子暗号は実行サイクル数と鍵サイズのバランスの取れた方式であるが、普及に向けた課題のひとつにソフトウェア実装における更なる高速化がある。格子暗号の実行サイクル数において大きな割合を占めるのは数論変換および数論逆変換と呼ばれる多項式の演算とハッシュ関数計算である。本稿では数論変換に着目する。RLWE問題および MLWE 問題に基づく格子暗号では、秘密鍵とノイズに数論変換を行い、その後の多項式乗算を高速に実行し、最後に数論逆変換を行って公開鍵と暗号文を得る。数論変換の入力は秘密鍵とノイズという制約された多項式である。そこで、制約を用いて数論変換における多項式の係数の剰余乗算を事前計算することを提案する。数論逆変換の入力は任意の多項式なので、数論逆変換には提案手法は適用できない。提案手法により数論変換を高速化し、格子暗号における鍵生成と暗号化、および KEM における、鍵生成、鍵カプセル化、鍵デカプセル化を高速化する。

[ 2A1-1:WEB概要版PDF ]

2A1-2

SQISignの公開鍵の安全性 On the security of the public keys in SQISign 〇小貫啓史(東京大学大学院情報理工学系研究科): 同種写像暗号は耐量子計算機暗号の候補の1つであり，鍵長および暗号文長が短いことから注目されている．実際，同種写像を用いたKEMであるSIKEは，NISTの耐量子計算機暗号標準化プロジェクトの第3ラウンドの代替候補となっている．また，2020年に提案された同種写像を用いた署名方式SQISignは，NIST標準化候補の署名と比べて，公開鍵長と署名長の合計サイズが非常に小さいという利点を持つ．しかし，その安全性については未だ十分な議論がなされているとは言えない．特にSQISignの公開鍵は超特異楕円曲線のうち特別な性質を満たすものであるが，公開鍵復元の攻撃の難易度は一般の超特異楕円曲線への攻撃と同等であるとしてパラメータが設計されている．本研究では，理論的および実験的に公開鍵復元への攻撃難易度を解析した．まず理論的に公開鍵への中間一致攻撃の最悪ケースでの攻撃難易度を評価し，最悪ケースでは一般の曲線よりも難易度が高いことを示した．次に平均ケースにおける難易度を実験的に調べた．実験した範囲では，公開鍵と一般の超特異楕円曲線で安全性に大きな違いは見られなかった．

[ 2A1-2:WEB概要版PDF ]

2A1-3

SIKEに対するvOW法の内部関数の新計算手法 A new method for computing internal functions of the vOW algorithm for SIKE 〇神戸祐太(株式会社すうがくぶんか/立教大学), 高橋康(立教大学), 相川勇輔(三菱電気), 工藤桃成(東京大学), 安田雅哉(立教大学), 高島克幸(早稲田大学), 横山和弘(立教大学): 超特異楕円曲線間の同種写像を用いた鍵カプセル化メカニズムであるSIKEへの攻撃法として, van Oorschot-Wiener(vOW)アルゴリズムによる中間一致攻撃がある.vOWアルゴリズムでは同種写像の衝突判定のために, 同種写像の値域のj不変量（および定義方程式）を反復計算する.一方で野呂-安田-横山(2020)は, 同種写像の値域の定義方程式は Elkies多項式（またはkernel多項式）の係数から計算できることを示した.そこで, 本講演ではvOWアルゴリズムにおいて衝突判定を, 従来のj不変量計算と, Elkies多項式の計算で行った場合の実験結果を紹介し, 両者の計算時間を比較する. なお, vOWアルゴリズムの実装はsageで行った.

[ 2A1-3:WEB概要版PDF ]

2A1-4

Implementations on identity-based signature schemes based on variants of CSIDH Implementations on identity-based signature schemes based on variants of CSIDH 〇Hyungrok Jo(Yokohama National University. IAS), Junji Shikata(Yokohama National University): Identity-based cryptography are one of main high functional applications for a modern society. The necessity for these proposals are enlarging especially as growing the pie of IoT (Internet of Things) among electronics industry. Recently, there are some suggestions of identity based identification schemes or signature schemes based on even isogeny walk problems, which are known as one of promising candidates for post-quantum cryptography (PQC for short).In this paper, we measure the performances of two identity-based signature schemes, which are recently proposed by Peng et al. which called CsiIBS (2020) and Shaw and Dutta (ProvSec2021), respectively. Especially, since in Shaw and Dutta’s work, there are no implementation results, we try to measure the proper parameter sets of their schemes.We also consider the best possibilities of each scheme by switching the underlying isogeny problems (CSIDH) to variants (CSURF) of CSIDH or other isogeny problems such as endomorphism computation problem towards high efficiencies.

[ 2A1-4:WEB概要版PDF ]

2A2-1

NIST PQC Round3候補の鍵カプセル化方式への故障注入攻撃 Fault-Injection Attacks against NIST's Post-Quantum Cryptography Round 3 KEM Candidates 〇草川恵太(NTT社会情報研究所), 伊東燦(東北大学), 上野嶺(東北大学. PRESTO), 高橋順子(NTT社会情報研究所), 本間尚文(東北大学. CREST): NIST耐量子計算機暗号標準化プロジェクトの第3ラウンドに選定された鍵カプセル化方式 (KEM) に対して, 故障注入攻撃の観点から鍵回復攻撃について調査する.全てのKEMが藤崎・岡本変換またはその亜種を用いている. 藤崎・岡本変換では, 復号アルゴリズムの内部で入力された暗号文と復号した平文を再暗号化した暗号文とを比較し, 等価であれば復号した平文から鍵を導出する. そのため, この等価判定は安全性の観点から非常に重要なものである. 本論文は, この等価判定を読み飛ばせる場合に鍵回復攻撃が可能かどうか調査した. Kyber, NTRU, Saber, FrodoKEM, HQC, NTRU PrimeのStreamlined NTRU Prime, SIKEについては既存の鍵回復攻撃が適用できることが分かった. NTRU PrimeのNTRU LPRimeについては新しく鍵回復攻撃を提案する. BIKEについては鍵の情報を得る攻撃が存在することを報告する. pqm4ライブラリには, Classic McElieceとHQC以外の鍵カプセル化方式が含まれている. Kyber, NTRU, Saber, BIKE, SIKEのpqm4の実装に対しては, 各々ある1命令を読み飛ばすことで等価判定を無効化できることを示す. NTRU Primeの実装についてはもともと等価判定が無効化されていたことを報告する. また, FrodoKEMの実装についてはGuoらが報告した時間差を利用したサイドチャネル攻撃ができる脆弱性が修正されていないことを報告する.

[ 2A2-1:WEB概要版PDF ]

2A2-2

Web PKI 業界が耐量子計算機暗号への移行を急がなくて良い 3 つの理由 Three Reasons why Migration to PQC is not an urgent issue for Web PKI 〇伊藤忠彦(セコム株式会社), 肖俊廷(セコム株式会社): Web PKI 業界においては、かねてより Cryptographic agility の向上に取り組んでおり、証明書有効期間の短縮や、ソフトウェアアップデートの迅速化などに取り組んできた。これらの取り組みの結果、Web PKI 業界においては、耐量子計算機暗号への移行をそれほど急がなくても良い状況となっている。本書では、その状況を説明し、また他業界における注意点について考察を述べる。

[ 2A2-2:WEB概要版PDF ]

2A2-3

NTRU格子の拡張と格子攻撃 An extension of NTRU lattices and its lattice attack ◎中邑聡史(NTT 社会情報研究所), 安田雅哉(立教大学): 米国標準技術研究所NISTによる耐量子計算機暗号の標準化プロジェクトにおいて，Module-LWEやNTRUの代数構造を持つ格子暗号方式が注目されている.　近年，Module-LWEを含む環ベースのLWEに対する格子攻撃の拡張が提案され，その拡張により攻撃成功確率が上がることが実験的に示された. 本稿では，NTRU問題の格子攻撃で利用するNTRU格子の拡張を提案する.具体的には，NTRU格子上のベクトル回転操作を活用して，NTRU問題における解ベクトルを増幅させると共に，その増幅させた解ベクトルをすべて含む拡張版のNTRU格子を構成する. さらに，今回構成の拡張NTRU格子に対して，BKZ基底簡約アルゴリズムを用いた格子攻撃の攻撃成功確率に関する実験結果を報告する.

[ 2A2-3:WEB概要版PDF ]

2A3-1

指定された追跡可能性を有するグループ署名の双線形群における例示 An Instantiation of Group Signatures with Designated Traceability in Bilinear Groups 〇穴田啓晃(長崎県立大学), 福光正幸(北海道情報大学), 長谷川真吾(東北大学): 暗号要素技術において，匿名性と追跡可能性は両立するのが難しい二性質である．CANDAR2021で導入された'Group Signatures with Designated Traceability'は，署名者が追跡者（開封者）をアクセス構造で指定可能なグループ署名スキームである．本稿では，双線形群（ペアリング）の構造に基づきこのスキームの例を与える．

[ 2A3-1:WEB概要版PDF ]

2A3-2

Mathematical Structure of Finsler Encryption and Signature Mathematical Structure of Finsler Encryption and Signature 〇永野哲也(長崎県立大学), 穴田啓晃(長崎県立大学): The public-key encryption scheme called Finsler encryption that was introduced by Nagano and Anada at CSS2019, SCIS2020 and SecITC2020 is investigated about its mathematical structure. In the previous work they stated the scheme based on the linear parallel displacement of vectors on a curve in a Finsler space and exhibited three algorithms of key generation, encryption and decryption in detail. In this paper, the public key PK is represented as a mapping from R^2 to R^9 and the secret key SK is represented as a composition of two mapping regarded as a inverse mapping of PK. Further, we propose a digital signature scheme based on the Finsler encryption.

[ 2A3-2:WEB概要版PDF ]

2A3-3

カメレオン署名を用いたFIDO認証の権限移譲機能の検討 Account Dalegation of FIDO using Chameleon Signature ◎成松怜央(東洋大学), 岡田怜士(東洋大学), 満永拓邦(東洋大学): 今日、パスワード認証に代わる認証方法としてFast IDentity Online(FIDO)が注目されている。FIDO認証はパスワードによる認証を必要とせず、公開鍵暗号方式を用いてユーザの認証を行うため、利用者とWebサーバの間で秘密情報を事前に共有する必要がない。そのため、フィッシング攻撃や辞書型攻撃への耐性を持っており、Google Chromeをはじめとする主要なブラウザが対応している。FIDO認証が普及することで、パスワードの使いまわしや複雑なパスワードの暗記の必要がなくなり、今後、リモートワーク環境でのセキュアな認証の普及していくことが期待されている。さらには、利用者認証という主たる機能に加えて、FIDO認証を用いて追加的な機能を持たせる研究が行われている。本研究では、公開鍵方式とハッシュを用いたカメレオン署名をFIDO認証のプロトコルに適用することで、アカウント権限の委譲を実現する方法について考察する。

[ 2A3-3:WEB概要版PDF ]

2A3-4

FK12曲線上のペアリングにおける最終べきアルゴリズムの改良 Improvement of Algorithm for Computing Final Exponentiation for Pairing on FK12 ◎池坂和真(岡山大学), 南條由紀(岡山大学), 小寺雄太(岡山大学), 日下卓也(岡山大学), 野上保之(岡山大学): 楕円曲線上のペアリングはグループ署名などの様々な高機能暗号を実現するために重要なツールである．これらの高機能暗号を現実的に利用可能にするには高速なペアリングの実現が求められる．楕円曲線上のペアリングはMillerループと最終べきの2つのステップで計算される．このうち最終べきのべき指数は曲線ごとに固定であり，べき指数をどのように分解するか，またその分解結果をどのような計算手順で計算するかは最終べきの効率実装を行う上で重要である．最終べきの分解法についてはp-進数展開，格子ベースの手法，理論的なアルゴリズムを用いた手法などが知られている．また最適な計算手順を探索する方法として加算鎖を利用する方法が知られている．また，STNFSセキュアなペアリングに新たに推奨されている曲線としてFK12曲線が挙げられる．FK12曲線の最終べきについては先行研究において格子ベースの手法を用いて分解法を求め，加算鎖の手法を用いるアルゴリズムを使用している．しかし，構成の際に，関係式を見出す手法を用いる方がより効率的なアルゴリズムを構成できる可能性がある．本研究ではこれを検証し，FK12曲線上の最終べきアルゴリズムの改善を図る．

[ 2A3-4:WEB概要版PDF ]

2A4-1

BLS12曲線上のペアリングにおけるG2上の有理点生成の高速化 Fast Generating Rational Points on G2 for Pairing on BLS12 〇飯田智宏(岡山大学大学院自然科学研究科), 服部大地(岡山大学大学院自然科学研究科), 松村陸矢(岡山大学大学院自然科学研究科), 南條由紀(岡山大学大学院自然科学研究科), 小寺雄太(岡山大学大学院自然科学研究科), 日下卓也(岡山大学大学院自然科学研究科), 野上保之(岡山大学大学院自然科学研究科): 近年,ペアリング暗号は既存の公開鍵暗号では実現困難であった高機能暗号プロトコルを実現可能にし,セキュリティ応用が可能な暗号方式として注目されている.ペアリング暗号では楕円曲線上のペアリング写像を利用する.このため,例えばペアリング暗号によって実現可能なIDベース暗号では,ユーザIDやメールアドレス等を楕円曲線上の特定の部分群G1もしくはG2上の有理点にハッシュする必要がある.特に,G2上の有理点を生成する際には高負荷な計算が必要となるため,Fuentesらはこの計算にかかるコストを削減する手法を提案した.本稿では,Fuentesらの手法に対して,Affine座標系とJacobian座標系を組み合わせた混合座標系を利用することにより,高速にG2上の有理点を生成する手法を提案する.そこで,Fuentesらの手法に対して,特定の計算箇所に適した座標選択を行い,有理点生成の実行速度を比較した.その結果,特定の条件下で提案手法が最適な座標選択を与えることが分かった.

[ 2A4-1:WEB概要版PDF ]

2A4-2

準同型暗号を用いたE2EE画像重ね合わせの検討 Image Overlaying without Decryption by Homomorphic Cryptosystem ◎上野真奈(NTT社会情報研究所), 光成滋生(サイボウズ・ラボ), 小林鉄太郎(NTT社会情報研究所), 村上啓造(NTT社会情報研究所): 本研究はウェブ会議などのオンラインコミュニケーションツールにおけるスケーラビリティとE2EEの両立を目的として, 準同型暗号を用いた暗号化済み画像の重ね合わせの検討を行う. 従来のウェブ会議は, 複数の会議参加者とそれを仲介するサーバで構成され, E2EEに際しては共通鍵暗号を用いるが，サーバにおけるデータの処理を行うことができず，スケーラビリティに課題がある. この課題の解決方法として，本研究は準同型暗号を用いることで，E2EE状態でもサーバにおける処理を可能とする方式を提案する. 特に画像をターゲットとし，暗号化状態での画像の重ね合わせの検討を行なった．ここで，画像の重ね合わせとは複数の画像を入力として，位置の等しいピクセル同士の値の加算を行ってできた図を出力することを示す．また，暗号化済み画像の重ね合わせを応用したホワイトボードおよび動画の重ね合わせ手法を提案し，検討を行う. 暗号化方式としては加法準同型性を持つ楕円 Lifted ElGamal暗号およびPaillier暗号を用い，画像および動画の暗号化重ね合わせへの適性比較を行なった．

[ 2A4-2:WEB概要版PDF ]

2A4-3

Linked Data 型 Verifiable Credentials の構成と安全性 Linked Data based Verifiable Credentials: Security Model and Construction 〇山本暖(株式会社インターネットイニシアティブ), 須賀祐治(株式会社インターネットイニシアティブ), 佐古和恵(早稲田大学): 自己主権型アイデンティティの中核的技術として、W3C 標準である Verifiable Credentials が国内外で活用され始めている。Verifiable Credentials の実装には、Anonymous Credentials を応用することでユーザのプライバシを強化したものや、複数データ間のリンクやデータへの明確な意味付けを容易にする Linked Data としての特徴を備えたもの等、複数の方式が提案され、コミュニティによる標準化やオープンソース開発が活発に行われている。しかし、これらの安全性に関して十分な評価がなされているとは言えない。本稿では、Linked Data 型 Verifiable Credentials の一構成を示すとともに、属性としてベクトルの集合を扱えるように拡張した Anonymous Credentials の安全性モデルを導入し、当該モデルを用いて構成の安全性を評価する。さらに、プロトタイプ実装を用いた実用性評価を行う。

[ 2A4-3:WEB概要版PDF ]

2A4-4

複数の鍵生成局を持つ鍵失効機能付きIDベース暗号 Revocable Identity-Based Encryption With Multiple Private-Key Generators ◎鈴木裕大(神奈川大学), 藤岡淳(神奈川大学), 佐々木太良(神奈川大学), 岡野裕樹(NTT社会情報研究所), 永井彰(NTT社会情報研究所): 本研究では，複数の鍵生成局を持つ鍵失効機能付きIDベース暗号を提案する．近年，インターネットの普及に伴い多くの情報が通信によってやりとりされている．そのため，悪意のある第三者によって情報が盗聴される犯罪が発生する恐れがある．安全に情報を通信するためには情報セキュリティの確保が必須である．既存のIDベース暗号には，鍵生成局を複数利用する，復号に用いる秘密鍵が漏洩する，の2つに対して同時に対応した方式が存在していない．そこで，鍵生成局を利用する，復号に用いる秘密鍵が漏洩する，の2つに対応した複数の鍵生成局を持つIDベース暗号を提案する．また，その暗号に対しての安全性を定義する

[ 2A4-4:WEB概要版PDF ]

2A5-1

New Post-Quantum Digital Signature Scheme based on MinRank Problem New Post-Quantum Digital Signature Scheme based on MinRank Problem 〇Bagus Santoso(The University of Electro-Communications), Yasuhiko Ikematsu(Kyushu University), Shuhei Nakamura(Nihon University), Takanori Yasuda(Okayama University of Science): In Asiacrypt 2001, Courtois proposed the first three-pass zero-knowledge identification (ID) scheme based on the MinRank problem. However, in Courtois’ basic ID scheme, the cheating probability, i.e., the success probability of cheating prover, is 2/3, which is larger than half. Based on our modification of Curtois' ID scheme into a three-pass ID scheme with cheating probability of 1/2, we propose a new digital signature scheme based on MinRank problem. Our scheme is constructed based on the Fiat-Shamir paradigm for post-quantum lossy ID scheme which are proposed by Kiltz et al. at Eurocrypt 2018. Therefore, our scheme also inherits the provable security under chosen message attacks against quantum adversaries.

[ 2A5-1:WEB概要版PDF ]

2A5-2

適切な素数選択によるKLPTアルゴリズムを利用した同種写像構成計算 Isogeny Construction Using the KLPT Algorithm with Suitable Prime Numbers ◎高橋康(富士通株式会社), 神戸祐太(立教大学), 安田雅哉(立教大学), 横山和弘(立教大学): 超特異楕円曲線間の同種写像問題を利用した同種写像暗号は，耐量子計算機暗号の候補として期待されている．特に近年では，超特異楕円曲線の自己準同型環と四元数環のmaximal orderの間のDeuring対応を用いた方式が注目されている．本発表では，この方式の主要な計算処理である，イデアルと対応する同種写像の構成計算に対する高速化手法を与える．MathCrypt2021で神戸らが行った先行研究によれば，イデアルのノルムの素因子lに対してl-ねじれ部分群を定めるFp2上拡大体のサイズが大きい場合，同種写像構成計算の所要時間が大きくなる．そこで本提案手法では，各ねじれ部分群を定める拡大体のサイズが小さくなるようなイデアルが出力されるよう，事前のKohel-Lauter-Petit-Tignolアルゴリズムで用いる素数を適切に選択する．さらに本発表では，提案手法に対する計算実験結果を報告する．

[ 2A5-2:WEB概要版PDF ]

2A5-3

Montgomery曲線のx座標を用いた3-同種計算の最小演算コスト The minimal cost of operations on 3-isogeny computation via x-coordinates of Montgomery curves 〇守谷共起(東京大学), 小貫啓史(東京大学), 相川勇輔(三菱電機), 高木剛(東京大学): 楕円曲線の同種写像を用いた同種写像暗号は耐量子暗号の候補の1つとなっている．同種写像暗号には鍵長が短いというメリットがある一方で，他の耐量子暗号の候補と比較して非効率であるというデメリットがある．同種写像暗号をより効率化するために，1つの座標で記述されるスカラー倍や同種写像計算の公式が用いられる．その中で最もよく使われているのがMontgomery曲線のx座標を用いた公式である．Montgomery曲線のx座標を用いた同種写像計算公式にはいくつか形の違う公式が存在しており，それらの違いによって演算コストが異なることが知られている．本研究では，上記の公式のそれぞれの差がdivision polynomialと呼ばれる多項式を因子に必ず持つことを証明した．さらにこの事実から，すべての3-同種写像計算公式の計算回数を理論的に検証し，現在知られている最も効率的に計算が行える3-同種写像計算公式が，理論的に存在し得るすべてのMontgomery曲線のx座標を用いた3-同種計算公式の中で最も効率的な公式であることを証明した．

[ 2A5-3:WEB概要版PDF ]

2A5-4

超特別アーベル多様体によるエクスパンダー族の構成とその暗号応用に向けて Construction of expander families from superspecial abelian varieties toward cryptographic applications ◎相川勇輔(三菱電機), 田中亮吉(京都大学), 山内卓也(東北大学): エクスパンダー族は、連結な無向正則グラフの族で、疎で高い連結性および疑似ランダム性を持ち、理論計算機科学において幅広い応用を持つ。実際、Pizerは超特異楕円曲線の同種写像グラフがエクスパンダー族（より強く、ラマヌジャングラフの族）であることを証明し、Charlesらはこのグラフを暗号学的ハッシュ関数の構成へ応用した。今回、我々はこのPizerの結果の一般化について研究を行った。その結果、超特異楕円曲線の高次元化である超特別アーベル多様体とそれらの間の同種写像から無向正則グラフの族を構成し、それらがエクスパンダー族であることを証明した。

[ 2A5-4:WEB概要版PDF ]

3A1-1

ベイズ最適化を用いたデータ・クエリ効率の良いBlack-box Universal Adversarial Attacks Data and Query Efficient Black-box Universal Adversarial Attacks with Bayesian Optimization ◎由比藤真(茨城大学), 米山一樹(茨城大学): Adversarial AttacksはDeep Neural Network (DNN)における最大の脆弱性のひとつである。最近では、Universal Adversarial Perturbation (UAP)と呼ばれる、任意の画像に加えることでAdversarial Examples (AE)を生成することができる単一の摂動を計算するUniversal Adversarial Attacks (UAA)が研究されている。いくつかの既存研究は、クエリアクセスのみを用いるBlack-box環境下でUAPを生成できることを示しているが、その多くは攻撃者にとって現実的ではないセッティングを含んでいる。本稿では、より現実的なセッティングに基づくBlack-box UAAを考え、効率よくUAPを生成するためのベイズ最適化を用いたBlack-box UAA手法を提案する。ImageNetでの実験において、提案手法は少ないデータ量・クエリ数にもかかわらず、既存手法と同等の攻撃成功率(最高81%)を達成する。また、より多くのAEを生成することを目的とした場合に、提案手法が最先端のAdversarial Attacks手法のクエリ効率を上回ることを示す。

[ 3A1-1:WEB概要版PDF ]

3A1-2

開発エンジニア向け機械学習セキュリティ脅威分析技術 A Threat Analysis Method on Machine Learning Security for System Development Engineers 〇矢嶋純(富士通株式会社), 及川孝徳(富士通株式会社), 森川郁也(富士通株式会社), 笠原史禎(富士通株式会社), 乾真季(富士通株式会社), 吉岡信和(早稲田大学): 近年, 機械学習システムの判断を意図的に誤らせたり, 情報を盗み取ったりする機械学習特有の攻撃が指摘されている. このような攻撃に対応するには, 機械学習システムにどのような攻撃が実施可能であるかを抽出する脅威分析が必要である. 現状, このような脅威分析は機械学習セキュリティの専門家のみが実施できる. しかし機械学習システムの開発では, 通常のソフトウェア開発と異なり, 精度確認のための試作のフェーズなどが存在する. このため開発効率の観点で, 開発者自らが脅威分析できることが好ましい. そこで本論文では, 開発者が自身で分析を実施可能な脅威分析技術を提案する. この手法では, 専門家が設定した分析用の質問に回答することで脆弱性を抽出する. 筆者らは昨年度にも類似技術の提案を行っているが, 昨年度の技術と比較して結果がアタックツリーの形で可視化され, 何が原因で攻撃が実施可能になっているかを理解しやすくなっている. また質問も簡潔になっており, 開発者が回答しやすいと考えられる. 本技術は機械学習工学研究会（MLSE）より発行予定の非強制のガイドラインに含まれる予定である.

[ 3A1-2:WEB概要版PDF ]

3A1-3

機械学習を用いたZigBeeネットワーク上の不正通信検知手法の提案 Machine Learning-based Anomaly Detection in ZigBee Networks ◎大塩智也(東洋大学), 岡田怜士(東洋大学), 松田亘(NTT), 満永拓邦(東洋大学): 情報技術とネットワークの発展に伴い、IoTデバイスは急速に普及が進んでいる。その中でもZigBeeは近距離無線通信規格の一つで通信速度は低速であるものの低消費電力かつ低コストでの運用が可能なためスマートホームや産業制御システムでの活用が期待されている。しかしながら、無線通信である ZigBee はパケットの盗聴や偽装パケットの送信を容易に行うことができため、悪意のある攻撃者にとって攻撃対象となる可能性がある。今後、安全にスマートホームや産業制御システムにおいてZigBeeを利用するためにはサイバー攻撃を迅速に検知するための手法が必要となる。本研究では、ZigBeeの通信の特徴に注目し、ネットワークの異常やZigBeeネットワーク上のサイバー攻撃を機械学習を用いて検知する手法を提案する。

[ 3A1-3:WEB概要版PDF ]

3A2-1

メンバーシップ推論攻撃に対する交差蒸留を利用した防御手法 Defense method using knowledge cross-distillation against membership inference attacks Rishav Chourasia(シンガポール国立大学), エンケタイワンバトニヤマ(NECセキュアシステム研究所), 伊東邦大(NECセキュアシステム研究所), ◎森隼基(NECセキュアシステム研究所), 寺西勇(NECセキュアシステム研究所), 土田光(NECセキュアシステム研究所): 近年，機械学習の様々な領域での発展に伴い，機械学習モデルの学習に使用されるデータのプライバシーにも注目が集まっている．機械学習モデルのプライバシーに対する最も基本的な攻撃の1つとして，メンバーシップ推論攻撃が知られている．メンバーシップ推論攻撃は，あるデータが機械学習モデルの学習データに含まれているかどうかを推測する攻撃である．本攻撃に対しては様々な防御手法が提案されているが，中でもモデル圧縮の技術である蒸留を利用した手法が精度とプライバシー保護の面で最も有効であることが実験的に示されている．しかし，この手法は蒸留を利用するため，学習データに加えて大量の公開データを必要とする．したがって，公開データの入手が保証されないセンシティブな情報を扱う医療や金融などの領域では適用が難しい．本稿では，公開データを必要としない蒸留である交差蒸留を定義し，それを利用した新たな防御手法を提案する．また，本手法は精度とプライバシー保護のトレードオフに関して，公開データを必要としない既存手法と比較して非常に良く，公開データを必要とする既存手法に対しては同程度の性能を示すことを実験的に明らかにする．

[ 3A2-1:WEB概要版PDF ]

3A2-2

量子化誤差を考慮したAdversarial trainingの提案と評価 Proposal and Evaluation of Quantization Aware Adversarial Training ◎増田春樹(立命館大学), 吉田康太(立命館大学), 藤野毅(立命館大学): 近年，深層ニューラルネットワーク(DNNs)を用いた画像認識技術の精度向上により，DNNsは自動運転車の周囲認識システムや防犯カメラの人物検知システムなど多くの分野に応用されている．一方で，DNNsの入力に対し微小な摂動を加算することで意図的に誤認識を誘発させるAdversarial examples (AEs)が問題となっている．DNNsのAEsに対する頑健性を高める訓練手法として，学習時にAEsを用いるAdversarial training (AT)がある．ATを用いて学習を実行する場合，一般的にDNNsのパラメータは32bit浮動小数点で表現される．しかし，エッジデバイスでDNNsを実行する場合はパラメータを8bitに量子化する必要があり，これによりATの効果が低下することが報告されている．本研究では，学習時に量子化誤差を考慮しつつDNNsの最適化を行うQuantization aware trainingとATを組み合わせる手法を提案する．実験の結果，本手法によって 32bit で訓練したATモデルと同等の頑健性を持つ8bitパラメータのDNNsを訓練できた．

[ 3A2-2:WEB概要版PDF ]

3A2-3

分布外データに対する脆弱性と検知 Out-of-distribution Vulnerability and Detection ◎江田智尊(富士通株式会社), 森川郁也(富士通株式会社): 機械学習アルゴリズムの多くは i.i.d.仮定の下で学習されるため，分布外(out-of-distribution, OOD)のサンプルに対して脆弱である．そのようなアルゴリズムはOODサンプルに対して予期しない推論を行うことがあり，例えば学習時に想定しないゼロデイ攻撃や新種マルウェアに対して，良性判定を下してしまう．本稿では，マルチクラス分類におけるOOD検知を扱う．そのタスクは，既知クラス(訓練データに存在するクラス）のサンプルを正しく判別しつつ，未知クラスのサンプルをOODとして検知することである．本稿ではまず，従来十分議論されていなかった表形式データにおけるOOD検知について，既存技術の性能評価を行う．また新たに，OODサンプルにロバストな勾配ブースティングツリー学習法を提案する．提案手法により，従来手法によるクラス判別性能を維持しつつ，OOD検知性能を12.6%改善した．また，侵入検知システムのデータを用いた数値実験結果と説明可能AI技術を通じて，機械異学習ベースのセキュリティアプリケーションがどのようにゼロデイ攻撃に脆弱になるかを実証する．

[ 3A2-3:WEB概要版PDF ]

3A2-4

物体検出CNNに対する複数配置に着目した遠隔Adversarial Patch攻撃 Multiple Adversarial Patches on Object Detection using CNN ◎大西健斗(三菱電機株式会社), 中井綱人(三菱電機株式会社), 鈴木大輔(三菱電機株式会社): 本発表では，YOLOv2に対し，複数の遠隔Adversarial Patchを配置する攻撃方法の提案を行う．YOLOv2等のCNNに対しては，誤検知を引き起こす攻撃方法等，現在まで，さまざまな攻撃方法が提案されている．CNNに対する強大な脅威の一つとして，敵対的な特徴を持つpatchを利用した攻撃方法がある．この攻撃方法は，事前に用意されたpatchを配置することで，誤検知を引き起こすことが可能である．本発表では，Sahaらの遠隔patch攻撃の実装に基づき，YOLOv2のCNNに大きな影響を与えるpatchに関する理論的解析を行った．まず，YOLOv2が，畳み込みとプーリングで構成されている点に着目し，patch情報の拡散がどのように起こるか，について理論的解析を行った．特に，本発表では，patchの面積が同一となるような配置について解析を行った．解析の結果，遠隔patchを2枚配置することで，単一遠隔patchとは異なり， patchの影響が画面全体に広がるため，patchがYOLOv2のCNNに与える影響が大きいことを示した．さらに，遠隔patchが2枚の場合，対象クラスの検出率が減少することを，実験により示した．

[ 3A2-4:WEB概要版PDF ]

3A3-1

Algebraic Group Model上でのSchnorr署名のMulti-User Securityに関する一考察 A Note on the Multi-User Security of Schnorr Signature in Algebraic Group Model 〇福光正幸(北海道情報大学), 長谷川真吾(東北大学): Schnorr署名の安全性証明可能性や不可能性について, Kiltz, Masny, Panは, この基となっているFiat-Shamir変換型署名に対する枠組みを導入し, その上で整理した. さらに彼らは, 複数の公開鍵が攻撃対象となりうるMU-EUF-CMA (Multi-User Existential Unforgeability against Chosen Message Attack) 安全性について同時に議論していた. 近年, Fuchsbauer, Plouviez, Seurinは, 従来の安全性証明不可能性の結果を回避し, Algebraic Group Modelに限定することで, Schnorr署名の安全性をSecurity Lossなしで証明した. しかし, 彼らの結果で想定している安全性は, 通常のEUF-CMAであり, MU-EUF-CMA安全性は達成していなかった.本研究では, Algebraic Group Modelにおける, Schnorr署名のMU-EUF-CMA安全性の証明可能性について議論する. 我々はこれまでに, Fuchsbauer, Plouviez, Seurinの結果をKiltz, Masny, Panの枠組みに適用することで, Algebraic Group Model上のEUF-CMA安全性までの結果を整理してきた. 本稿では, この続きとして, Algebraic Algorithmの場合, Schnorr署名のEUF-CMA安全性からMU-EUF-CMA安全性に持ち上げることができるかどうかについて, 否定的な見解を示す.

[ 3A3-1:WEB概要版PDF ]

3A3-2

モノの秘匿性を考慮した「モノの電子署名」 "Signature for Objects" with Object Privacy ◎林リウヤ(東京大学生産技術研究所 / 産業技術総合研究所), 浅野泰輝(東京大学生産技術研究所 / 産業技術総合研究所), 林田淳一郎(東京大学生産技術研究所 / 産業技術総合研究所), 松田隆宏(産業技術総合研究所), 山田翔太(産業技術総合研究所), 勝又秀一(産業技術総合研究所), 坂井祐介(産業技術総合研究所), 照屋唯紀(産業技術総合研究所), シュルツヤコブ(産業技術総合研究所), アッタラパドゥンナッタポン(産業技術総合研究所), 花岡悟一郎(産業技術総合研究所), 松浦幹太(東京大学生産技術研究所), 松本勉(産業技術総合研究所 / 横浜国立大学大学院環境情報研究院): 物体の偽造に対する安全性の暗号学的な評価手法として「モノの電子署名」が提案されている．これは電子署名方式の一種であるが，従来の電子署名とは異なりメッセージだけでなく物体にも署名できる方式となっている．ここでは安全性として偽造不可能を表すEUF-COAが定義されている．モノの電子署名方式の特徴の一つに，署名された物体は物理空間で送られ，署名自体はサイバー空間で送信されることが挙げられる．ここで，署名を入手した悪意のある人が署名単体から対応する物体を特定できてしまうと，その署名を用いて検証が通過するような，署名されていない物体を生成可能である恐れがある．このとき，生成された物体は検証者に正当なものとみなされてしまう．これを防ぐため，新たな安全性としてモノの秘匿性 (Object Privacy) を定義する．モノの秘匿性は，署名単体からは対応する物体が特定できない，という安全性を表す．本稿では，モノの秘匿性の安全性定義を行い，その安全性が基盤とする Relational Hash の偽造不可能性に帰着できることを示す．

[ 3A3-2:WEB概要版PDF ]

3A3-3

対話的追跡機能付き集約署名における署名送信間隔に関する制約と評価 Constraints and Evaluations on Signature Transmission Interval for Aggregate Signatures with Interactive Tracing ◎石井龍(産業技術総合研究所 / 東京大学), 山下恭佑(産業技術総合研究所), 宋子豪(横浜国立大学), 照屋唯紀(産業技術総合研究所), 坂井祐介(産業技術総合研究所), 花岡悟一郎(産業技術総合研究所), 松浦幹太(東京大学), 松本勉(産業技術総合研究所 / 横浜国立大学): 集約署名は，複数のデジタル署名を1 つに集約する方式であり，全体署名長および署名検証時間の短縮という効率性を持つが，不正署名を1 つでも含んで集約すると集約署名は不正となり，検証者はどのユーザやデバイスが不正署名を生成したかを特定できない．対話的追跡機能付き集約署名は，多数のデバイスが定期的に署名付きデータを送信するシステムで，時々刻々と変わる不正署名の生成デバイスを，集約者と検証者の対話によって特定する方式である．しかし，集約者は，デバイスからの署名を集約するために，検証者からのフィードバックを待つ必要があるため，システムの規模に応じて署名送信間隔に制約が生じる．本研究では，Dynamic Traitor Tracingを用いた対話的追跡機能付き集約署名を実装評価し，また集約者がフィードバックを待たずに集約署名を作成できる方式としてSequential Traitor Tracingを用いた構成を提案する．

[ 3A3-3:WEB概要版PDF ]

3A3-4

組み合わせ AONT の安全性に関するエントロピー解析 Entropy Analysis on Security of Combinatorial AONT ◎赤尾奏名汰(九州大学大学院システム情報科学府), 顧玉杰(九州大学大学院システム情報科学研究院), 櫻井幸一(九州大学大学院システム情報科学研究院): AONT（All-or-Nothing Transform）は、鍵の総当り攻撃を困難にするために、計算量的安全性を根拠に、データの暗号化の前処理技術としてRivestによって提案された。その後、Stinsonは、組合せAONTを発表し、その安全性は入力がすべて等確率ならば完全な安全性(perfect security)を持ち、すべての入力が非ゼロ確率であるならば弱い安全性(weak security)を持つことを示した。本論文では、perfect securityとweak securityの違いをより詳細に述べる。そのため、出力の一部が与えられたときの、入力の一部に対する条件付きエントロピーを定量的に分析した。その結果、上限や下限に関する関係式を新たに示し証明することが出来た。また、入力の確率が全て等しい時、上限と下限が等しくなることも示すことが出来た。

[ 3A3-4:WEB概要版PDF ]

3A3-5

暗号プロトコルの転用性と堅固性 : 歴史と現状と課題 divertibility and non-malleability of cryptographic protocols 〇櫻井幸一(九州大学): 発表者はSCIS02021において、一方向性関数の独立性理論と堅固性との関係を論じた。本研究では、さらに暗号プロトコルにおける堅固性の現状と課題を論じる。今回の発表は、著者のSCIS2021の発表に対する太田和夫（電通大名誉教授）の意見と紹介された彼自身の既存関連研究に刺激されたものである。また、最近のAIの利活用と危惧される乱用における転用性にも触れる。

[ 3A3-5:WEB概要版PDF ]

3A3-6

「モノの電子署名」の複数物体への拡張 Extension of "Signature for Objects" to Multiple Objects ◎浅野泰輝(東京大学生産技術研究所), 林リウヤ(東京大学生産技術研究所. 産業技術総合研究所), 林田淳一郎(東京大学生産技術研究所. 産業技術総合研究所), 松田隆宏(産業技術総合研究所), 山田翔太(産業技術総合研究所), 勝又秀一(産業技術総合研究所), 坂井祐介(産業技術総合研究所), 照屋唯紀(産業技術総合研究所), シュルツヤコブ(産業技術総合研究所), アッタラパドゥンナッタポン(産業技術総合研究所), 花岡悟一郎(産業技術総合研究所), 松浦幹太(東京大学生産技術研究所), 松本勉(産業技術総合研究所 / 横浜国立大学大学院環境情報研究院): 近年の偽造品や海賊版製品の取引の増加に伴い，取引の正当性を検証可能にする技術の必要性が高まっており，その1つとして電子署名がある．しかしながら，従来の電子署名方式では，電子データではない物体そのものに対しての署名作成はできない．そこで，物体の加工や電子データへの変換といった物理的な操作を取り扱うことが可能な枠組みを定式化することで，任意の物体を対象とした「モノの電子署名」が提唱された．しかし，「モノの電子署名」は一物体のみに対して加工，変換を施すことを想定しているため，本稿ではこの枠組みを複数物体においても動作するよう拡張し，より実システムに近い形での署名方式を与える．特に，サプライチェーンの各ステップにおいて物体の生成，加工，組み合わせのいずれかが可能であるという状況のもとで，各物体に対してそれがどのような変遷をたどってきたかを保証する署名を付与できるモデルを導入する．さらに，その安全性定義，およびAppend-Only署名と集約署名を用いた一般的構成を提案し，簡単な概念実証も行う．

[ 3A3-6:WEB概要版PDF ]

4A1-1

Optimal Lattice Trapdoor for the Klein-GPV and Peikert Sampler Optimal Lattice Trapdoor for the Klein-GPV and Peikert Sampler ◎Chao Sun(Kyoto University), Thomas Espitau(NTT Corporation), Mehdi Tibouchi(NTT Corporation. Kyoto University), Masayuki Abe(NTT Corporation. Kyoto University): As a popular candidate for post-quantum cryptography, lattice-based cryptography is developing at a high speed in the past 10 years. Among all the cryptographic primitives, lattice trapdoor serves as a very important one, especially for constructing lattice-based hash-and-sign signatures. A lattice trapdoor is commonly a ``good' basis of the lattice. Typically, the better the quality of lattice trapdoor is, the better security guarantee and the smaller signature/public key size we will have. The quality of lattice trapdoor usually depends on the maximal Euclidean norm of Gram-Schmidt orthogonalization of the secret basis vectors for Klein-GPV sampler, or the largest singular value of the secret basis for Peikert sampler. In this paper, we investigate the trapdoor generation of less structured lattices, whose basis vectors have mostly random entries over discrete Gaussian distribution. For lattice with fixed volume, we generate lattice vectors that have roughly the same Gram-Schmidt length for Klein-GPV sampler (and lattice basis vectors that have small singular value for Peikert sampler). As an application, NIST requires some lattice-based signatures that are based on less structured lattices, so the ideas described in this paper might serve as a candidate.

[ 4A1-1:WEB概要版PDF ]

4A1-2

上質の電子署名アルゴリズム Premium Digital Signature Algorithm 〇安田英幸(個人): 　筆者は、１７年前にDSA等からアイデアを得て不定方程式による暗号を研究し、実現しました。令和３年９月以降の、この暗号の研究過程において、存在を消す性質を持つ項を発見し、この性質を指して、怪人項と名付けました。そして、怪人項に由来させて、この暗号を怪人暗号と名付けました。　時は遡り令和３年３月、怪人暗号は電子署名も実現出来るという一念から、怪人暗号の公開鍵による電子署名方法を研究しました。　そして、本研究の核心部分においてDSAに助けを求めた上で達成した電子署名方法は、DSAよりも優れています。　なぜなら、DSAの検証鍵を使用してDHM-key exchangeを使用しても、任意の情報を暗号化して送信出来ません。しかし、本研究の成果である電子署名方法では、検証鍵は怪人暗号の公開鍵と同一であり、検証鍵が暗号化機能を実現しているからです。　この優れている事実を形容する日本語として、「上質の」を選びました。そして、訳語として「premium」を当てました。　そして、本研究の成果を「PDSA」と名付けました。　筆者としては、「青は藍より出て藍より青し。」を体現出来たこと、感無量です。

[ 4A1-2:WEB概要版PDF ]

4A1-3

位数が4kの有限体上楕円曲線の点の位数の判定法 Determining the evenness of order of points on elliptic curves on finite fields with order of 4k 〇白勢政明(公立はこだて未来大学): 位数が4k(kは奇素数)である有限体Fp上楕円曲線Eに対して，点Pの位数は1，2，4，k，2k，4k のどれかになる．一般に暗号では位数kの点を用いるが，その他の位数の点の使用は脆弱性の原因になるかもしれない．OでないPに対してkP=Oとなるならば点Pの位数はkと確かめられるが，この計算のコストは高い．本稿では，E(Fp) の2次の指標(E(Fp)から{1,-1}への準同型写像)とhalf point計算(P = 2Qとなる点を計算すること)による点の位数がkかどうかを判定する効率的なアルゴリズムを提案する．

[ 4A1-3:WEB概要版PDF ]

4A1-4

F4-styleアルゴリズムのMQ問題に対する多項式選択方法 Polynomial selections on an F4-style algorithm for solving the MQ problem ◎伊藤琢真(情報通信研究機構), 黒川貴司(情報通信研究機構), 篠原直行(情報通信研究機構), 内山成憲(東京都立大学): 連立二次多変数代数方程式の解を見つける問題は MQ 問題と呼ばれており, MQ 問題を効率よく解くための研究は, 多変数公開鍵暗号の安全性評価で重要な課題として扱われている. MQ 問題を効率よく解く方法として Groebner 基底を計算する方法がよく利用される. Groebner 基底を計算する代表的なアルゴリズムとして F4-style アルゴリズムがある. F4-style アルゴリズムに限らず, Groebner 基底の計算に影響を与えるものとして reduction と呼ばれる操作に用いる多項式の選び方が挙げられる. 本稿では F4-style アルゴリズムを基に MQ 問題を解くことに焦点を当て, 計算効率が良くなるための多項式の選択方法を提案し, それによる数値実験の結果について述べる.

[ 4A1-4:WEB概要版PDF ]

4A2-1

Multi-Parallel MMTアルゴリズムによる高次元SDPの解読 Multi-Parallel MMT Algorithm for Solving High-Dimensional SDP ◎成定真太郎(KDDI総合研究所), 福島和英(KDDI総合研究所), 清本晋作(KDDI総合研究所): 米国国立標準技術研究所 (NIST)によって進められている耐量子暗号の標準化プロジェクト (NIST-PQC)の最終候補の1つである符号暗号は，シンドローム復号問題の難しさが安全性の根拠となっている．シンドローム復号問題を効率的に解読する手法の総称として，Information Set Decoding (ISD)がある．本稿では，具体的な問題サイズのシンドローム復号問題に対して，各ISDのメモリ量を制限した場合における最適な計算量の解析と比較を実施する．結果として，いくつかの問題サイズに対しては，May-Meurer-Thomae (MMT)やMay-Ozerovといった理論的には最適ではないISDが，実際のインスタンスにおいては他のISDと比較して効率が良くなる場合があることを示す．さらに，MMTアルゴリズムに対して，多並列最適化の検討を実施し，MMTに対する最初のGPUアルゴリズムであるMulti-Parallel MMTアルゴリズムを提案する．実験においては，暗号解読コンテストDecoding ChallengeにおけるSDP Challengeにおいて，Multi-Parallel MMTを使用することで510次元と530次元の解読に初めて成功し，同コンテストの記録を更新したことを報告する．

[ 4A2-1:WEB概要版PDF ]

4A2-2

Tuple Sieve Algorithmの並列化の提案 Study on Parallelizing the Tuple Sieve Algorithm ◎Keiichi Imai(Japan Advanced Institute of Science and Technology), Yuntao Wang(Japan Advanced Institute of Science and Technology), Eiichiro Fujisaki(Japan Advanced Institute of Science and Technology): 現在大型の量子計算機が盛んに開発されており、より大規模な量子計算機が登場することによって現在広く利用されている素因数分解に安全性の根拠を持つRSAや楕円曲線上の代数的性質を利用した楕円曲線暗号などが危殆化することが知られている。そこで次世代の暗号として格子上の最短ベクトルを見つける問題、最短ベクトル問題の困難さを利用した格子暗号が提案されている。しかし、実用化のためにパラメータの調整を行う必要がありその際大規模な計算器による攻撃や攻撃アルゴリズムの研究による知見が必要となる。そこで本研究では最短ベクトル問題の解法アルゴリズムの一つであるTupleSieve\cite{DBLP:journals/iacr/BaiLS16}を並列化したアルゴリズムの提案及び実装を行う。TupleSieveとは格子ベクトルを3つ以上を用いた簡約を何度も繰り返すことによって入力ベクトルより短いベクトルを次々に得るアルゴリズムである。TupleSieveとその基となったアルゴリズムGaussSieve\cite{DBLP:conf/soda/MicciancioV10}との主な違いとしてTupleSieveの簡約の際2つだけベクトルを利用するという違いがある。TupleSieveの計算量は$2^{0.5662n+o(n)}$とGaussSieveが$2^{0.52n+o(n)}$であり、時間がかかる。しかし、同じベクトルの個数でより多くの線形結合による短いベクトルを得る試行を行うことが出来、空間複雑度はTupleSieveが$2^{0.1887n+o(n)}$でGaussSieveが$2^{0.2n+o(n)}$である。そのため、十分短いベクトルが得られるまでに必要なベクトルの量を減らせ、GaussSieveに比べて少ないメモリ空間でSieveを実行出来る。現在GaussSieveに関しては並列化を施したアルゴリズムParallelGaussSieve\cite{DBLP:conf/pkc/IshiguroKMT14}が提案されている。しかし、TupleSieveにおいては未だ並列化の実装の提案はされておらず、研究の余地がある。そこで本研究ではTupleSieveを利用した並列アルゴリズムを提案する。また、アルゴリズムの実装及び低次元における実験を通してTupleSieveの並列化アルゴリズムの有用性を示す。

[ 4A2-2:WEB概要版PDF ]

4A2-3

トレース写像を用いたRing-LWE問題に対する格子攻撃の再考 Revisiting lattice-based attacks using trace map for Ring-LWE 〇奥村伸也(大阪大学), 上村周作(東京大学), 工藤桃成(東京大学): Ring-LWE問題は格子暗号の安全性を支える数学問題の一つで、代数体（特に円分体）の整数環上で定義される。池松-中村-安田（IWSEC2021）は、Ring-LWE問題に対するトレース写像を用いた解法アルゴリズムを提案し、2冪のn次円分体上のRing-LWE問題を(n/2)次の部分体（最大総実部分体）上の問題に帰着可能となるLWEサンプルの存在を明らかにした。本研究では上記のトレース写像攻撃を再考し、円分体のガロア群を調べることで、最大総実部分体以外の部分体上に問題を帰着させ、その場合のRing-LWE問題の求解困難性を評価する。また、トレース写像の代わりにノルム写像を使った場合に有効となる特殊なLWEサンプルの存在を明らかにする。

[ 4A2-3:WEB概要版PDF ]

1B1-1

動的解析ログを用いたマルウェアの早期目的推定に向けた特徴量の予測手法に関する検討 A Study on Feature Prediction Methods for Early Object Estimation of Malware Using Dynamic Analysis Logs ◎朝倉紗斗至(電気通信大学), 中川恒(株式会社FFRIセキュリティ), 押場博光(株式会社FFRIセキュリティ), 市野将嗣(電気通信大学): 近年マルウェア対策が重要となっている．マルウェア解析において広く行われている手法である動的解析を行う際にマルウェアがどのような侵害活動を目的としているかを把握しておくことは解析に役立つと考える．また，マルウェアの中には長期間実行が継続するものがあり，解析には長時間記録されたログが必要であるためその収集を待たずに短時間のログを用いて行う早期の目的推定ができる必要があると考える．本研究ではマルウェアの早期目的推定のため短時間のログを用いて高精度に目的推定を行うことを目指す．そのため本研究では動的解析ログを用い，ある検体の短時間のログで得られた特徴量から同じ検体の長時間のログで得られた特徴量を予測し，予測した特徴量を推定に利用する．この手法を行った筆者らの既存研究では特徴量を予測する際に1つの回帰モデルのみを用いていたが，本稿ではより正確な予測のためマルウェアをクラスタリングした後にクラスタごとに回帰モデルを作成し予測を行う手法を提案する．提案手法を用いた実験の結果，短時間のログを用いたときの精度が長時間のログを用いたときの精度と同程度まで向上し，目的推定に要する時間を短縮することができた．

[ 1B1-1:WEB概要版PDF ]

1B1-2

信頼情報を基にした業務高信頼化方式 A Method for Reliable Business Operations Based on Trust Information 〇角田忠信(富士通株式会社), 山口純平(富士通株式会社), 坂巻慶行(富士通株式会社), 山本里奈(富士通株式会社), 兒島尚(富士通株式会社): COVID-19パンデミックの影響で，多くの企業がリモートワーク化を進めている．直接の会話や相互確認ができない状況において，企業の担当者が正しく業務を行うかを確認することが難しい．とくに複数の担当者から構成されるワークフローにおいては確認不足による作業ミスが起こりやすい．また，ミスによるワークフローの手戻りや作業遅延が発生する可能性もあり，これらによって業務の信頼性が損なわれる可能性がある．このような課題を解決するため，本稿において我々は信頼情報を用いた業務の高信頼化手法を提案する．本手法では各担当者の業務内容に対するスキルの信頼情報やワークフロー自体の信頼情報をシステムが評価し，その情報に従って業務実行をシステムが制御する．これによりワークフローが改良され，業務全体の高信頼化を実現する．

[ 1B1-2:WEB概要版PDF ]

1B1-3

Weighted Signed Networkを用いた公平な業務信頼度の計算方法 Method of Calculating Work Reliability in Weighted Signed Network 〇山口純平(富士通株式会社), 坂巻慶行(富士通株式会社), 角田忠信(富士通株式会社), 山本里奈(富士通株式会社), 兒島尚(富士通株式会社): テレワークが急速に加速したことに伴い従来は紙で行っていた契約手続きが電子契約に置き換えられるなど，近年では業務のオンライン化が急速に進んでいる．一方で，従来は物理的に作業していた業務がオンライン化されることで，これまでには起きえなかったような業務ミスが発生するようになっている．特に契約手続きや稟議など，複数の担当者の承認を得ることが必要なワークフローにおいて，作業ミスによる手戻りや遅延が発生しやすくなっている．そこで本稿ではこのようなワークフロー承認業務に対して，ワークフローに添付された文書の信頼度および承認者の信頼度を計算する文書・承認信頼度モデルを提案する．また，本モデルでの文書および承認信頼度の計算の具体例を示す．

[ 1B1-3:WEB概要版PDF ]

1B1-4

An Access Control System for Verifiable Credentials with Selective Disclosure An Access Control System for Verifiable Credentials with Selective Disclosure ◎林俊安(金沢大学), 鄭振牟(金沢大学), 満保雅浩(金沢大学): Verifiable Credential (VC) is the framework of a digital credential following the Self-Sovereign Identity principle and specified by the World Wide Web Consortium (W3C). In the paper, we establish an access control system for verifiable credentials with selective disclosure.

[ 1B1-4:WEB概要版PDF ]

1B1-5

TEEを活用したIDベース認証付き鍵交換の実装に関する考察 On the Implementation of Identity-Based Authenticated Key Exchange using TEE 〇工藤史堯(NTT社会情報研究所), 飯島悠介(NTT社会情報研究所), 永井彰(NTT社会情報研究所): IoTではその利用用途の拡大に伴い, 通信時の相互認証の重要性が増している.IoTにはしばしばLPWA（Low Power Wide Area）のような狭帯域ネットワークが使われるため, 狭帯域なネットワークでも活用可能なIoT向けの認証技術として, 通信量の少ないIDベース暗号を活用した認証方式が提案されている.一方で昨今は末端のIoTデバイスに対する攻撃が増加しており, IoTデバイス上での認証技術の実装においては認証プロトコル自体の安全性もさることながら, IoTデバイスでの実行環境や秘密鍵の管理などセキュアな実装も重要な課題となる.そこで本稿では, IDベース暗号を活用した認証付き鍵交換プロトコルを, アプリケーションの安全な実行環境を実現するための技術であるTrusted Execution Environment(TEE)を用いてセキュアに実装するための考察を行う.TEEの実装技術のひとつである, Arm Cortex-MのTrustZoneを例に, 認証付き鍵交換をIoTデバイス上でセキュアに実現するためのモジュールの適切な配置構成や鍵管理方法に関して検討した結果を報告する.

[ 1B1-5:WEB概要版PDF ]

1B1-6

スマートフォンを活用した金融決済サービスのセキュリティをどう向上させるか How to Improve the Security of Financial and Payment Services with Smartphones 〇宇根正志(日本銀行), 田村裕子(日本銀行): スマートフォンは小口金融決済サービスを利用するうえで不可欠なデバイスとなりつつある。スマートフォンは便利である一方で、さまざまな脅威や脆弱性が知られるようになってきている。こうした現状を踏まえ、日本銀行金融研究所では、2021年9月10日、スマートフォンの利用にかかるセキュリティをテーマとした情報セキュリティ・シンポジウムを開催した。本発表では、同シンポジウムでの議論を紹介しつつ、今後一段と高度化していく可能性がある脅威に対して、スマートフォンを利用した金融サービスのセキュリティをどのように向上させることが考えられるかを考察する。

[ 1B1-6:WEB概要版PDF ]

1B2-1

フォレンジック調査の補助のためのWindows APIコールログを用いた不正プログラムの動作再現ツール A Reproduction Tool of Malicious Programs Behavior by Using WinAPI Call Logs for Supporting Digital Forensic Investigation ◎松田尚也(近畿大学), 福田洋治(近畿大学), 廣友雅徳(佐賀大学), 白石善明(神戸大学): WinAPIコールログは，ある1つのプログラムを実行させたときに呼び出されるWinAPI名，引数，戻り値を，特殊なツールを使って取得し時系列に記録した履歴情報であり，プログラムの主要な動作を表している．本研究では，現在残されている状況を調べ当時何が起こったのかを証拠に基づいて確定させるフォレンジック調査を補助するための，WinAPIコールログを用い記録された順序で各WinAPIを呼び出すことで当該プログラムの動作を再現するツールの検討，試作を行っている．インシデント発生時，被害ホストやその周辺機器にログが残り，これらに対してフォレンジック調査が実施されることがあるが，どんな攻撃が行われたのか，どんな不正プログラムが実行されたのか，把握が困難な場合がある．予め複数の不正プログラムのWinAPIコールログを用意し，本ツールを使用することでプログラムの動作を再現して，被害ホストやその周辺機器と同じ環境，条件で取得したログと，残っていたログを比べ，類似するものを当時実行されたものとして推測できるようになる．

[ 1B2-1:WEB概要版PDF ]

1B2-2

Hybrid Zero Trust Architectureにおける機械学習を用いた不正操作の検知 ML Detection Method for malicious operation in Hybrid Zero Trust Architecture ◎石出港士(東洋大学), 岡田怜士(東洋大学), 吉倉昌利(東洋大学), 松田亘(NTT), 藤本万里子(東洋大), 満永拓邦(東洋大): 近年、コロナの影響によってリモートワークが広まっているが、VPN経由での社内環境へのアクセスはネットワーク帯域の負荷も高く、またVPN機器を起点とするサイバー攻撃被害も報告されているため、ゼロトラスト環境の需要は増加している。ゼロトラストの導入は着実に進んでいるが、情報管理の観点から全てのビジネスプロセスと関連データをゼロトラスト環境に適応させることは難しく、理想的なゼロトラスト環境の導入が困難なケースがある。そのような場合には、ゼロトラストアーキテクチャと既存環境とが共存するハイブリッド環境でビジネスプロセスが行われる。しかしながら、ハイブリッド環境では、サイバー攻撃検知のログがクラウドと既存環境に分散して保管されることとなり、従来型の検知手法をが適用できない可能性がある。本稿では、ハイブリッド環境に対する不正なアクセスを機械学習を活用して検知する手法を検討し、仮想環境でその効果を検証する。

[ 1B2-2:WEB概要版PDF ]

1B2-3

ファームウェア更新に対するIETF RATS準拠リモートアテステーションの設計 A Design for Remote Attestation based on IETF RATS to protect firmware update ◎内匠真也(株式会社東芝), 藤松由里恵(株式会社東芝), 金井遵(株式会社東芝): 本稿ではファームウェア更新の正常完了を検証可能なリモートアテステーションの設計を提案する。脆弱性の修正にはＯＴＡアップデートが広く利用されているが、デバイスが点在するＣＰＳにおいてはデバイスのファームウェア更新が正しく行われたことをサーバから確認できる必要がある。そこで本提案では標準化団体IETF(Internet Engineering Task Force)のRATS(Remote ATtestation ProcedureS)ワーキンググループにおいて標準化が進むリモートアテステーション規格に注目し、デバイスのファームウェア更新後の状態をサーバからセキュアに確認するための設計を示す。本方式により多種多様なデバイスのファームウェア更新の正常完了を検証することが可能となり、ＣＰＳにおける確実な脆弱性対応を促進することができるようになる。

[ 1B2-3:WEB概要版PDF ]

1B2-4

IPカメラのセキュリティに対する調査手法の検討と判明した問題点の考察 A study of research methods for IP camera security and Consideration of the problems identified 〇下山啓(情報セキュリティ大学院大学), 松井俊浩(情報セキュリティ大学院大学): IoTデバイスは、誰の手にも届く場所に設置されることが多く、悪意ある者により直接操作を受けやすいことから、堅牢なセキュリティが求められる。本研究は、特に攻撃対象となりやすいIPカメラのセキュリティに焦点をあて、製品の分解、チップの製造元などの調査、シリアル接続の可否とOSの構造調査、通信内容の調査などを系統的に実施し、適切な調査手法を検討した上、脆弱性調査を実施した。その結果、調査対象である複数台のIPカメラにおいて、Wi-Fiパスワードの流出やLinuxのシェル取得による不正操作、管理用パスワードの使い回しなどいくつもの問題点を発見した。特に重要な問題点として、IPカメラのに保存されたパスワードファイルが確認できることであり、管理者権限を持つユーザーのパスワードが流出してしまうと、telnetサービスの動作している機種であれば、攻撃者に不正に遠隔操作されてしまう可能性が示された。シリアル接続による不正操作が原因であるから、製品販売時においてデバッグ用ポートを残さないなどといった対策が必要である。

[ 1B2-4:WEB概要版PDF ]

1B2-5

オンラインサンドボックスにおけるMITRE ATT&CKマッピング機能に係る実態調査 Survey on Mapping Function for Malware Behaviors to MITRE ATT&CK of Online Malware Sandbox ◎藤井翔太(株式会社日立製作所/岡山大学大学院自然科学研究科), 山岸伶(株式会社日立製作所), 山内利宏(岡山大学学術研究院自然科学学域): サイバー攻撃においてマルウェアは重要な役割を有しており，日々新たなマルウェアが大量に発見されていることから，効率的に解析する必要がある．ここで，解析支援の一つとして，マルウェアの挙動をMITRE ATT&CK techniquesの各要素（以降technique）にマッピングする機能が存在し，多くのオンラインサンドボックスにおいて採用されている．本機能により，効率的にマルウェアの機能概要を把握することが可能なる．一方で，同機能には，実装に依存する部分がある．こうした部分に依って分析結果が左右される可能性があるため，各種オンラインサンドボックスにおけるtechniqueへのマッピング機能について，その実態を把握することが重要である．そこで，techniqueへのマッピング機能を有するオンラインサンドボックスを対象に，その実態を調査する．具体的には複数のオンラインサンドボックスの解析結果からtechniqueへのマッピング結果を抽出し，その特性や差異を調査する．本調査を通して，techniqueへのマッピング機能の実態を明らかにするとともに，活用に際してのベストプラクティスの導出を図る．

[ 1B2-5:WEB概要版PDF ]

1B2-6

患者異常監視システムにおいて患者異常と機器異常を切り分ける方式の提案・評価と支援システムの構想 Proposal and evaluation of a method for isolating patient abnormalities and equipment abnormalities in a patient abnormality monitoring system and concept of a support system 〇佐々木良一(東京電機大学): 本稿では，患者の異常を監視・検知するシステムにおいて，患者の異常を示すアラートが本当に患者異常によるものか，それともシステムを構成する機器の異常によるものか，機器異常によるものだとするとどの機器によるものかを切り分ける方式を提案する．この方式では，ベイジアンネットワークを用い異常の原因と，結果の関係をモデル化するとともにアラートなどの結果が観測された場合に，原因となる機器の切り分けを行い，状態の確認が進むたびに，次に調査すべき機器をガイドするものである．この方式をマルティバイタルIoTモニターに試適用を行うことにより，その実用可能性を評価する．併せてこの切り分け方式を実用化するためのシステムの構想を示す．

[ 1B2-6:WEB概要版PDF ]

1B3-1

対話的に通信制御が可能なマルウェア解析システム SWAN: Sandbox with traffic Whitelisting for ANalyzing malware ◎濱島圭佑(京都大学), 小谷大祐(京都大学), 岡部寿男(京都大学): サンドボックス上でのマルウェア解析において，そのインターネットへの接続方法には課題がある．マルウェアの中にはC2サーバとやり取りするようなものが存在しており，そのようなマルウェアの解析を完全に行うためにはインターネットへの接続が必要である．一方，マルウェアを解析するためにインターネットへ接続した結果，外部へ感染を広げてしまうようなことは避けなければならない．既存研究ではポリシーベースで通信を制御する手法が提案されているが，マルウェアの行う通信は様々でその全てを考慮したポリシーを生成するのは難しい．そこで，本研究ではサンドボックス上での通信制御の仕組みとして，対話的に通信制御が可能なマルウェア解析システムを提案する．提案手法では，通信を全てシミュレータへリダイレクトする状態で解析を開始して，マルウェアが送信するリクエストを確認し，無害であると推定されるものについて外部への通信を順番に許可しながら対話的にマルウェア解析を繰り返し実行することで，安全に外部への接続を試みる．以上のようなシステムを設計して，実際に実装した後，いくつかのマルウェアに対して解析を行なって評価，考察を行った．

[ 1B3-1:WEB概要版PDF ]

1B3-2

Adversarial Attack against DNN-based DDoS Intrusion Detection System Adversarial Attack against DNN-based DDoS Intrusion Detection System Mariama Mbow(Kyushu University), Hiroshi Koide(Kyushu University), Kouichi Sakurai(Kyushu University): Nowadays, deep learning (DL) is a popular method for implementing a network intrusion detection system (NIDS). However, studies have shown that deep learn- ing algorithms can be vulnerable to adversarial samples: inputs that are intentionally crafted to cause the model to make wrong decisions. In this paper, we investigate an evasion attack that aims to bypass DNN- based DDoS intrusion detection system. the work presented is two folds: (1) we implement a deep learn- ing approach for intrusion detection system using Deep Neural Network(DNN); and (2) we perform an evasion attack against the built DNN for NIDS using two well known adversarial sample methods Fast Gradient Sign Method (FGSM), and Deepfool. The experimental results on CICIDS2017 benchmark dataset show that both model evasion attacks can successfully decrease the accuracy of the NIDS, i.e., can influence the DDoS detector to misclassify the attack traffic as benign.

[ 1B3-2:WEB概要版PDF ]

1B3-3

脆弱性の概念実証コードに対する網羅的な攻撃パケット生成を用いた侵入検知システムのシグネチャ自動生成 Automatic Signature Generation for Intrusion Detection Systems by Generating Packets Exhaustively from Proof of Concept Code of Vulnerabilities ◎小林雅季(京都大学), 鐘本楊(NTT社会情報研究所), 小谷大祐(京都大学), 岡部寿男(京都大学): 脆弱性情報の公表と前後して、その攻撃可能性を示すPoCコードがしばしば公開されるが、容易に悪用可能なコードも存在するため、公開による攻撃の増加が懸念される。本研究では、そのような悪用による攻撃への対策として、侵入検知システムのシグネチャ生成を行うことを考える。一般的な対策では、手動でコードを解析し、シグネチャを生成するが、時間がかかる点が難点である。そこで、本研究ではPoCコードの中でも、Metasploitと呼ばれるツール・Pythonによる、HTTP通信を行うコードに対して、シグネチャの自動生成手法を提案する。提案手法では、まずコードの抽象構文木を用いた制御パスの全列挙と、各々の制御パスに従う攻撃コードの実行によって、網羅的に攻撃パケットを生成する。その後、HTTPリクエストの抽出とクラスタリングによって類似リクエストの集合を構成し、それらの集合中の共通文字列の集合としてシグネチャを生成する。また、評価実験としてインターネット上から取集したMetasploit、PythonによるPoCコードに対してシグネチャを生成し、その生成時間と精度について評価した。

[ 1B3-3:WEB概要版PDF ]

1B3-4

ハニーポットで観測される絨毯爆撃型DRDoS攻撃の分析 Analyzing Carpet Bombing DRDoS Attacks Observed by Honeypot ◎毛清昕(横浜国立大学大学院環境情報学府吉岡研究室), 牧田大佑(横浜国立大学大学院環境情報研究院/先端科学高等研究院), 吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院), 松本勉(横浜国立大学大学院環境情報研究院/先端科学高等研究院): DRDoS (Distributed Reflection Denial of Service)攻撃は近年大きな脅威となっており，これを観測するためにリフレクタの視点で攻撃を観測する囮システムであるDRDoSハニーポットが提案されている．近年，単一のIPアドレスではなく広いアドレスレンジに対して攻撃を行う絨毯爆撃型のDRDoSが報告されている．我々が運用するDRDoSハニーポットでは，宛先IPアドレスごとに攻撃イベントを定義しており，絨毯爆撃型DRDoS攻撃は多数の攻撃イベントとして検知されるため，実質的な攻撃件数の把握が困難になっている．そこで，本研究では，DRDoSハニーポットにより同時刻に観測される攻撃のうち，宛先アドレスが一定範囲に含まれる攻撃イベントを集約し，同一の攻撃イベントと捉えることで，攻撃の実態を把握することを試みた．分析の結果，従来の攻撃イベントの定義では急激に攻撃件数が増加している期間において上記の集約アルゴリズムにより，件数が大幅に削減されることを確認した．これらの期間では，特定のアドレス帯に対して行われた絨毯爆撃型DRDoS攻撃が多数のイベントとして過剰にカウントされていたと推測できる．

[ 1B3-4:WEB概要版PDF ]

1B4-1

標的型マルウェアの通信先情報に基づくC&Cサーバ監視による攻撃誘引 Luring Cyber Attacks by Monitoring C&C Servers Based on Targeted Malware Destination Information ◎細見勇介(立命館大学), 津田侑(情報通信研究機構), 鄭俊俊(立命館大学), 毛利公一(立命館大学): 近年サイバー攻撃は高度化し，組織や企業を標的とした標的型攻撃が増加傾向にある．標的型攻撃は，C&Cサーバと接続し遠隔操作などの攻撃活動を行うため，対策にはマルウェア感染後の挙動の解析が必要である．しかし，標的型攻撃の動的解析の時点ではC&Cサーバからの司令による攻撃活動を行わないことが多く，マルウェアとC&Cサーバが接続した後の挙動を観測するのは困難である．攻撃活動を観測するためには攻撃者が攻撃意思を持ったタイミングで動的解析を実施する必要がある．そこで，C&Cサーバの生死に着目し，死活監視を実施することで攻撃兆候の検出を行う．C&Cサーバは，一度ダウンした後に復活したり，特定の期間のみ稼働したりする特徴を持つことが明らかになっており，攻撃を行う際に活性化することが推測される．本稿では，動的解析によるマルウェアが接続する通信先情報の収集と死活監視を行い，活性化した通信先に紐づく検体の再解析を試みた．その結果，C&Cサーバの活性化が攻撃の兆候となることを確認し，実際に攻撃の誘引に成功した．

[ 1B4-1:WEB概要版PDF ]

1B4-2

情報指向ネットワークにおける分散コンテンツ配送による安全性と効率の改善 Improving Security and Efficiency through Distributed Content Delivery in Information-Centric Networking ◎佐久田尚(東京理科大学), 岩村惠市(東京理科大学): 近年人々が求めるアプリケーションや環境は常に変化し，データ量やネットワーク接続されるデバイス数も益々爆発的に増加することが予想されている．そのため従来のInternet Protocol（IP）通信よりも高速で効果的，かつ省エネルギーな新しい通信プロトコルの提案が欠かせない．そこで情報指向ネットワーク(ICN)というものが提案されている．　情報指向ネットワークにおける各ルータはContent Store(CS)と呼ばれるキャッシング機構を持っている．ユーザはコンテンツを保持しているサーバ以外にも，コンテンツをCSに保存しているルータからコンテンツを取得することができ，取得時間の短縮を図ることができる．　このCSに対する攻撃としてキャッシュ汚染攻撃というものがあり，問題になっている．そこで本論文ではこのコンテンツを細かく分割し，それらをネットワーク上のCSに分散させることによりキャッシュ汚染攻撃の影響を低減するシステムを提案する．また，コンテンツをCSに細かく分散させることにより，従来では十分に活用できていなかったCSの容量を最大限に活用し，効率的なコンテンツ配送を実現する．

[ 1B4-2:WEB概要版PDF ]

1B4-3

教師なし学習を用いた低レートDoS攻撃検知手法の設計と実装 A Design and Implementation of Low-Rate DoS Attack Detection Method Using Unsupervised Learning ◎榧場叶耀(東北大学大学院情報科学研究科), ギリエルイス(東北大学電気通信研究所), 和泉諭(仙台高等専門学校), 阿部亨(東北大学サイバーサイエンスセンター/大学院情報科学研究科), 菅沼拓夫(東北大学サイバーサイエンスセンター/大学院情報科学研究科): 近年，DoS攻撃による被害は年々増加しており，少ないパケット数で長時間にわたり通信を続け，セッションを占有する低レートDoS攻撃が観測されている．低レートDoS攻撃の対策として，教師あり学習を用いた検知手法が提案されており，高い検知性能と複雑な設定を必要としない検知システムの構築を達成している．一方で，学習用データセットには攻撃データが必要となり，実環境における攻撃データの収集が課題となっている．本研究では，攻撃データを必要としない教師なし学習を用いた新たな検知手法の設計と実装を行った．既存のネットワークから収集した正規のトラフィックを用いて学習を行い，攻撃データを必要としない検知システムを構築する．構築した検知システムにトラフィックデータを定期的に入力することで，低レートDoS攻撃の有無を判定する．評価実験では，教師なし学習アルゴリズムであるAutoEncoderを用いることで低レートDoS攻撃検知に対して有効であることを示した．

[ 1B4-3:WEB概要版PDF ]

2B1-1

ドキュメント化されていないヘッダを活用した機械学習によるマルウェア分類 Malware Classification by Machine Learning Using Undocumented Header 〇小久保博崇(富士通株式会社), 大山恵弘(筑波大学): マルウェアは増加の一途を辿っており、危険なマルウェアに素早く対処するためには高速かつ効果的なトリアージ技術が必要である。マルウェアの表層解析結果を特徴量とした機械学習によるマルウェア分類はそういった技術の一例である。しかし、マルウェア作者はPEヘッダ等の表層解析で得られる情報が解析に利用されていることを把握しており、パッカー等でこれらの改竄を行うことがしばしばある。このような妨害を受けた場合、より手間のかかる静的解析や動的解析によって解析を進めざるを得ない。これに対し、本研究ではこれまで表層解析の対象となっていることが少なくマルウェア作者の注目も集めていない、ドキュメント化されていないヘッダ（Richヘッダと呼称する）に着目する。RichヘッダはMicrosoft社のリンカを使用して作られたPEファイルに含まれるヘッダであり、そのファイルのビルド時の環境情報を含んでいる。また、使用するパッカーによってはパック後もRichヘッダは影響を受けずに残存する。このRichヘッダのみを特徴量とし機械学習によりマルウェア分類を試みたところ、約82.9%の精度で分類が成功した。

[ 2B1-1:WEB概要版PDF ]

2B1-2

データ分布情報を用いたレンジクエリに対するボリューム漏洩攻撃 Volume leakage attack against range queries using data distribution information ◎小谷俊輔(筑波大学システム情報工学研究群), 國廣昇(筑波大学システム情報系): 暗号化データベースに対するレンジクエリの応答ボリュームサイズを観測することにより，データベース全体のデータベースカウントを復元する攻撃が提案されている．この攻撃では，幅b以下の全てのレンジクエリに対する応答ボリュームサイズが得られるという仮定のもとで復元を行う．既存研究では，復元するデータ分布に対する仮定を置かず，どのようなデータ分布に対しても有効な攻撃手法が提案されている．しかし，実際のデータベースのデータ分布は，攻撃対象の分野やクエリの種類によって，ある程度の推定が可能であることが多く，分布の情報を用いることにより，高い精度で攻撃に成功する可能性がある．本発表では，窓幅bを2に固定した上で，対象のデータ分布が事前に得られる仮定のもとで与えられたデータ分布に特化した攻撃を提案する．提案手法では，グラフ理論的なアプローチにより，データベースカウントの復元を行う．この攻撃では，データ分布情報を用いて余分な経路を削除することにより解候補数の爆発を回避している．さらに，実世界のデータベースを対象として，我々の提案攻撃を実験的に検証し，データベース復元率の評価を行う．

[ 2B1-2:WEB概要版PDF ]

2B1-3

確率モデルと実験による増分故障解析の安全性評価 Security Evaluation of IFA(Incremental Fault Analysis) Using Probability Model and Experiments ◎加藤光(電気通信大学), 菅原健(電気通信大学), 崎山一男(電気通信大学), 李陽(電気通信大学): 差分故障解析はAESのようなブロック暗号に対する代表的なフォールト解析である．2019年，これを発展させた増分故障解析が提案された．差分故障解析では暗号文と故障暗号文を利用して鍵復元を行う．しかし，増分故障解析では，故障強度を徐々に上げて暗号化の最中全てに故障を入れることで，故障中間値を利用して鍵復元を行うことができる．これにより，攻撃条件が緩くなり，暗号文の最中に複数回故障を入れても攻撃が成功する可能性がある．その結果，先行研究では差分故障解析と比較して増分故障解析の方が攻撃に掛かった暗号文の数や時間を削減できたという実験結果が得られた．本研究では，増分故障解析の暗号に対しての脅威を先行研究よりも詳しく考察する．まず，増分故障解析の前提条件である同じ故障中間値となる確率モデルを提案する．さらに，先行研究とは違ったSW実験環境で同じ故障中間値の確率モデルを用いて増分故障解析の脅威を評価した．

[ 2B1-3:WEB概要版PDF ]

2B1-4

脆弱性自動検知に向けたバイナリプログラム解析ツールの開発 Development of a Binary Program Analysis Tool for Automatic Vulnerability Detection 〇泉田大宗(IIJ技術研究所), 橋本政朋(千葉工業大学), 森彰(産業技術総合研究所): 筆者らは、IoTデバイスのセキュリティを自動的に分析・診断する手法として、ファームウェアの静的解析による脆弱性の自動検知技術に取り組んできた。本稿では、独自に開発したバイナリ静的解析ツールを既存の商用リバースエンジニアリングツールに統合することで、CPUアーキテクチャやOSやコンパイラに依存しない自動解析を実現した過程について説明する。そして、実際に報告されたIoTファームウェアの脆弱性を例に取り、典型的なメモリ破壊の脆弱性がどのように自動検知されるかについて解説する。

[ 2B1-4:WEB概要版PDF ]

2B2-1

サイバー攻撃者のインテリジェンス収集のためのディープマルウェア解析 Deep malware analysis for collecting intelligence of cyber attackers 〇村上弘和(株式会社 CyCraft Japan), 西垣正勝(静岡大学創造科学技術大学院): 　本研究は、近年大きな問題となっているサイバー攻撃において利用されるマルウェアについて、いくつかの着眼点を持って分析する方法を用いることで、マルウェアの作成者や使用者に関するプロファイルおよびインテリジェンス情報を抽出し、それらの犯罪行為を行った人、組織を調査、特定、追跡する上で有益な情報を得る方法を考案し、実践することを目的とする。　分析方法について幾つかの仮定を元に試行を繰り返し、4つの大きな観点の定義とそれに関する有用な方法を得ることに成功した。その方法を試行した結果、マルウェアの作成者に関する特徴情報から、マルウェアを比較した際の作成者の同一性の判定、マルウェアの作成者の知識および技能の推定、並びにマルウェア作成における設計、思想を推定することが可能であった。また、これらの情報およびマルウェアの機能の分析結果と実際に起きた事象やフォレンジック調査の結果を元に、マルウェアの使用者の目的および思想を推定することも可能であった。　本論文では、その分析方法の全体概要を示し、マルウェア作成者および使用者に関する4つの観点の定義とそれぞれの情報の抽出方法の概念を示す。

[ 2B2-1:WEB概要版PDF ]

2B2-2

ランサムウェアの解析とその対策に関する研究 Research on the analysis of ransomware and its countermeasures ◎古門良介(神戸大学院工学研究科), 池上雅人(キャノンITソリューション株式会社), 住田裕輔(キャノンITソリューション株式会社), 岡庭素之(キャノンITソリューション株式会社), 白石善明(神戸大学院工学研究科), 森井昌克(神戸大学院工学研究科): 近年，サーバやパソコン上を含む端末上のデータを暗号化しその復号鍵との引き換えやデータのリークの脅迫を盾に身代金を要求するランサムウェアと呼ばれるマルウェアが流行している．ランサムウェアの感染を検知する手法はさまざまなものが提案されているが，感染してから検知までの時間差によってファイルが暗号化される問題がある．一方，検知基準を敏感にし時間差を減らした場合，通常プロセスをランサムウェアとして判定するFP が起こり，ユーザ体験を損なう問題がある．本研究ではユーザにとって使いやすいかつ従来より喪失するファイルの少ないシステムを目的として，既存のランサムウェア検知手法に対して2 つの異なるしきい値を設け積極的な介入（プロセスの強制終了）と控えめな介入（ランダムなファイル暗号鍵生成の阻止）とで動作を切り替えることを提案する．

[ 2B2-2:WEB概要版PDF ]

2B2-3

引数情報を用いたAPIコール列に基づくマルウェアのファミリ分類手法 Malware Family Classification Method Based on API Call Sequences That Considering Argument Information 〇廣瀬優希(東京情報大学), 花田真樹(東京情報大学), 面和成(筑波大学), 折田彰(株式会社日立システムズ), 関谷信吾(株式会社日立システムズ), 村上洋一(東京情報大学), 早稲田篤志(東京情報大学), 布広永示(東京情報大学): 近年，マルウェアは増加の一途を辿っており被害は深刻化している．発見されるマルウェアの多くは既存のマルウェアを改変した亜種であり，マルウェアの亜種を短時間で正確に分類することができれば，その後の詳細な解析の手助けとなる．このような背景のもと，動的解析によって得られる時系列順序のAPIコール列を用いたマルウェアのファミリ分類手法が多く提案されている．既に筆者らも，API 間の依存関係を正確に捉えるために，APIのカテゴリ情報を用いたマルウェアのファミリ分類手法を提案している．本研究では，更なるファミリ分類の精度向上を目指し，API の引数情報を利用したマルウェアのファミリ分類手法を提案する．引数の重要度を考慮した N-gram の API コール列を特徴量として抽出し，マルウェアのファミリ分類の精度に関する評価実験を行い，本提案手法の有効性を示す．

[ 2B2-3:WEB概要版PDF ]

2B2-4

クラウドアプリケーションの完全性を保証するKubernetesマニフェストの署名検証手法 Kubernetes manifest signing and verification method for cloud application integrity ◎北原啓州(IBM東京基礎研究所), 渡邊裕治(IBM東京基礎研究所): クラウドでのシステム・アプリケーション運用が浸透してきており，クラウドの管理システムとして，オープンソースソフトウェアのKubernetesが広く利用されている．本稿ではKubernetesのアプリケーションの完全性を保証するための手法について提案および議論する．Kubernetesのアプリケーションは主にコンテナイメージとKubernetesリソースからなり、両者の完全性が同時に保たれる必要があるが，後者については従来の手法ではアプリケーションの振る舞いについてKubernetesリソース単位で把握していなければならないという制約があった．本稿では，個別のアプリケーションの振る舞いについて事前知識が一切不要なKubernetesリソースの完全性の検証手法として，クラウド上でリソースが変更されていても署名検証が可能な署名手法および検証手法を提案し，さらに実際のクラウド環境における実用性についての検証結果を報告する．

[ 2B2-4:WEB概要版PDF ]

2B3-1

準パススルー型ハイパーバイザを用いて取得したメモリデータの分析 Analysis of Memory Data Acquired Using a Parapass-through Hypervisor ◎大森貴通(豊田工業高等専門学校), 平野学(豊田工業高等専門学校), 小林良太郎(工学院大学): 企業や官公庁でのランサムウェアの被害が増加している．先行研究ではストレージ装置へのアクセスパターンを用いたランサムウェアの振る舞い検知システムを開発してきた．しかし，ストレージアクセスパターンのみでは，似た振る舞いをする無害なプログラムをランサムウェアとして誤検知してしまう課題があった．この課題に対して，ストレージアクセスパターンに加えてメインメモリから得られる特徴量を用いてランサムウェアの検知性能を向上できるのではないかと考えた．そこで本研究ではこの先行研究のシステムを拡張し，RAM のデータを収集し，低レベルの情報だけを用いてプロセスの振る舞いを推定できると考えた．本稿では，ランサムウェアの実行前後のメモリダンプを取得し，4 KiB ページ単位での同一のページ数の変化ならびにエントロピーの変化について分析した結果を報告する．

[ 2B3-1:WEB概要版PDF ]

2B3-2

ペネトレーションテスト自動化に向けたサイバー攻撃手段の定量的評価法の提案 A Proporsal of Cyber Attack Technique Scoring Method Toward Automatic Penetration Test ◎木藤圭亮(三菱電機株式会社), 加藤駿(三菱電機株式会社), 河内清人(三菱電機株式会社), 木下洋輔(三菱電機株式会社), 酒井康行(三菱電機株式会社), 吉村礼子(三菱電機株式会社): 脆弱性を発見する一手法として，疑似的にサイバー攻撃を行うことで脆弱性を発見するペネトレーションテスト(以下，ペンテスト)がある．ペンテストは攻撃の起点と目的を設定し，起点から目的に近づくために，テスト対象に適切な攻撃手段の選択と実行を目的達成まで繰り返す．「適切な攻撃手段」とは，攻撃によって高い効果が得られることや，発覚しにくい等を意味する．適切な攻撃手段の選択には，ペンテスターの高度な知識が必要である．自動的に攻撃を行い，脆弱性を検出する先行研究にA2P2Vがある．構成情報と攻撃目的を入力しアタックツリー分析をして，攻撃シナリオを生成，シナリオに対応するツールを実行してペンテストを行う．先行研究では，先述の「適切な攻撃手段」が選択できず，ペンテスターが行うものと異なる場合がある．本研究ではペンテスターが「適切な攻撃手段」を選択するときに，攻撃手段が成立するか，発覚するか，攻撃で得られる効果の大きさの3点をもとに判断していると仮定し，攻撃手段をスコア化する手法を提案する．スコア値を活用することで「適切な攻撃手段」の選択が自動化可能となり，ペンテスターが行うようなペンテスト自動化が可能になる．

[ 2B3-2:WEB概要版PDF ]

2B3-3

MITRE ATT&CK Techniques の関連性に基づく攻撃検知の検討 Study on Attack Detection Based on Relevance of MITRE ATT&CK Techniques ◎葛西裕紀(東洋大学), 岡田怜士(東洋大学), 満永拓邦(東洋大学): 米国 MITRE 社が開発したフレームワークである ATT&CK は攻撃者による行動を体系化したものであり、攻撃シナリオの策定やそれに対する防御手法の検討に有用である。４種類あるATT&CKの要素の一つである、Technique は、攻撃者が目標を達成するために実行する個別の攻撃手法として定義されている。先行研究では、過去の攻撃事例データベースをもとに、攻撃者が組み合わせる可能性が高いTechniqueをグルーピングする分析を行っている。本研究では、グルーピングしたTechniqueの組み合わせに対する検知手法の検討を通じて、攻撃の検知率を向上させる手法を提案する。

[ 2B3-3:WEB概要版PDF ]

2B3-4

NS3を用いたIoTマルウェア感染拡大・攻撃シミュレータの実装 Implementation of an IoT malware infection spread and attack simulator using NS3 〇石田裕貴(株式会社セキュアブレイン), 前田泰浩(株式会社セキュアブレイン): IoT(Internet of Things)機器の普及に伴い,脆弱なパスワードなどを設定されたIoT機器に感染するMiraiを代表としたIoTマルウェアの活動が活発化している.Miraiは初期設定で運用されているLinuxベースのIoT機器に対して, Telnetなどを介して感染して,ボットネットを構築するマルウェアであり, 2016年には国内外で複数回の大規模なサービス妨害攻撃が確認されているマルウェアである.Miraiはソースコードが公開されているため,実環境における評価は積極的に行われているが,大規模環境での評価している研究は少ない.そこで本稿ではMiraiの公開されているソースコードや動作を解析した論文を元に動作をモデル化し,ネットワークシミュレータNS-3を用いて,多様なネットワーク構成で大規模IoT機器環境の再現が可能な感染拡大・攻撃シミュレータを実装した.本シミュレータの評価では,簡易評価として中規模から大規模を想定した環境下で,シミュレータの実用性の観点からシミュレーションに要する時間及び攻撃性能の評価を行なった.

[ 2B3-4:WEB概要版PDF ]

2B4-1

IoTマルウェア基礎情報の調査 Investigation of Basic Information on IoT Malware 〇周家興(東京電機大学), 寺田真敏(東京電機大学): 今までのInternet of Things（IoT）マルウェアの対策を講じる英語論文には、IoTマルウェアの基礎情報と動作特徴を紹介する論文が存在しているが、日本国内ではこのような論文がなかった．本研究では、このギャップを埋めるために、52617件のIoTマルウェア検体を用いて、IoTマルウェアによく使用された上位50個のオペコード、関数名を調査し、アーキテクチャ種類ごとに検体に使用された脆弱性の分布、マルウェアファミリーごとに脆弱性の分布を調査した．最後にAndroidタイプとLinuxタイプのELFフォーマットのIoTマルウェア間の差分も調査した．今後としては、アーキテクチャ種類ごとにより多くの検体を収集し、より深い分析を行う．

[ 2B4-1:WEB概要版PDF ]

2B4-2

プロキシログから抽出した通信パターンによる異常検知 Anomaly detection using communication pattern from Proxy log ◎名倉悠(大阪府立大学大学院人間社会システム科学研究科), 青木茂樹(大阪府立大学大学院人間社会システム科学研究科), 宮本貴朗(大阪府立大学大学院人間社会システム科学研究科): 端末に不正侵入する攻撃は事前に防ぐことが困難であり, 感染後の迅速な異常の検出が重要視されている. このような攻撃の検出手法の１つとして, 解析対象をクラスタリングし, クラスタの遷移確率から異常を検出する手法が提案されている, 本稿では,クラスタ間の遷移はユーザに固有の特徴があると考え, 確率モデルで学習することにより高精度に異常を検出する手法を提案する. まず, Proxyサーバのログの各行から7次元の特徴量を抽出後クラスタリングし, クラスタ番号を各行に付与する. 次にログを端末ごとに, 時間情報を基に分割することでクラスタ番号からなるクラスタシーケンスを抽出し，ユーザの普段の通信パターンとする. 端末ごとに, 全シーケンスにおけるクラスタ間遷移の発生確率を全て算出し, 確率モデルを作成する. 検証用データでも同様に, 検出対象からクラスタシーケンスを作成する. そして確率モデルを適用し, 尤度が閾値より小さいものを異常として検出する. 実験では, 本学の職員のWebアクセス履歴と, 複数の公開データセットを用いて有効性を確認した.

[ 2B4-2:WEB概要版PDF ]

2B4-3

文書類似性モデル評価手法による潜在意味解析に基づくセキュリティレポート検索の評価 Evaluation of Security Report Retrieval Based on Latent Semantic Analysis Using Document Similarity Model Evaluation Method 〇添田綾香(神戸大学), 長澤龍成(神戸大学), 白石善明(神戸大学), 冨田裕涼(岐阜大学), 箕浦翔悟(岐阜大学), 毛利公美(岐阜大学), 森井昌克(神戸大学): 企業や組織を標的としたサイバー攻撃が高度化・多様化してきている．組織の被害を最小限にするために，セキュリティ管理者は現在起こっているインシデントに関する情報を収集し，迅速に対応しなければならない．著者らはシステムに残ったIndicator of Compromise（IoC）情報をもとに脅威情報を収集するためのセキュリティレポート検索システムを提案している．文書類似性評価モデルの評価手法により，トピックモデルの一種であるLDA（Latent Dirichlet Allocation）により作成した特徴ベクトルを用いる本検索システムについて評価している．

[ 2B4-3:WEB概要版PDF ]

2B5-1

逆引きDNSの登録状況とDNSSECの暗号アルゴリズムに関する実態調査 Field study of registration status of Reverse DNS and cryptographic algorithm of DNSSEC ◎山口詩織(長崎県立大学), 岡田雅之(長崎県立大学): 逆引きDNSとは、IPアドレスの情報から該当のIPアドレスに関する何らかのドメイン名に関する情報が登録される。ドメイン名からIPアドレスを検索することを特に正引きDNSと呼び、正引きDNSに対してIPアドレスからDNSの検索を行うことを逆引きDNSと呼ぶ。逆引きDNSは、電子メールやネットワーク接続の際に、接続元の情報を取得するために活用されている。正引きDNSでの普及が始まりつつあると言われるDNSSECについて、逆引きにおけるDNSSECの利用状況についてはよく知られていない。本研究は、RIRの公開ファイルから得られたネットワーク単位でのIPアドレスにおいて逆引きDNSから様々なリソースレコードを逐一問い合わせる方法によって、逆引きDNSの登録状況及びDNSSECの利用状況を国別で調査した。加えて、DNSSECに使用している暗号アルゴリズム番号の識別から公開鍵暗号であるRSAと楕円曲線暗号ECDSAP、及びRFC8624で推奨されていない暗号アルゴリズムの使用割合を得た。さらに、DNSSECのDNSKEYレコードの応答エラーからDNSSECを誤って導入をしている傾向を発見し、これらの調査の報告を行う。

[ 2B5-1:WEB概要版PDF ]

2B5-2

疑似攻撃ログによるAIを用いた攻撃検知技術の強化 Enhancement of Attack Detection Technology using AI with Synthetic-Log Generation 〇山本匠(三菱電機株式会社), 中井綱人(三菱電機株式会社), 大塚瑠莉(三菱電機株式会社), Ye Wang(Mitsubishi Electric Research Laboratories), Kyeong Jin Kim(Mitsubishi Electric Research Laboratories), Toshiaki Koike-Akino(Mitsubishi Electric Research Laboratories), Iván Sanz Gorrachategui(University of Zaragoza), Aolin Ding(Rutgers University), 阿部衛(東邦大学), 河内清人(三菱電機株式会社): 機械学習を利用した攻撃検知システムにおいては、正常データと攻撃データを大量に用意することが検知精度を高める要因の1つである。しかし攻撃データを大量に用意することは容易ではなく、それゆえ、少ない攻撃データでも検知精度を高める工夫が必要となる。本研究では、実攻撃ログの近傍にあるログを疑似的に生成し学習データに含めることで、教師有学習による攻撃検知システムの強化を図る。攻撃ログの近傍にある正常ログの傾向を使い、敵対的サンプル生成の要領で、疑似攻撃ログを効率よく生成する。

[ 2B5-2:WEB概要版PDF ]

2B5-3

IoT環境における動的セキュリティ管理システム Dynamic Security Management System in IoT Environment ◎竹内佑樹(法政大学), 金井敦(法政大学), 谷本茂明(千葉工業大学), 佐藤周行(東京大学): IoTデバイスが急速に普及し，様々な分野で使用されている一方で，IoTデバイスに対するサイバー攻撃への対策が急務である． IoTデバイスではさまざまな制約がありセキュリティ対策ソフトを導入しづらい．また，IoTデバイスでは可用性が最重要視されており，いかにサービスを継続させながら状況に応じたセキュリティ対策を行えるかが重要である．本研究では， IoTデバイスのリソースの問題を解消しつつセキュリティを担保することを目的とし，ネットワークレベルでセキュリティ対策を行う動的セキュリティ管理システムを提案する．このモデルでは物理環境・ネットワーク環境の状況を監視し，異常が見られた場合には警戒レベルを操作してIoTデバイスの通信を制限することで，サービスを停止することなく必要なセキュリティ対策を動的に行う．そして，当該モデルについて動作実験を行い，警戒レベルの反応速度や処置が正しく適用されているかなど性能について評価する．

[ 2B5-3:WEB概要版PDF ]

2B5-4

IPアドレスをサブジェクトに含んだWebサーバ証明書の調査と分析 Study of Web Server Certificates Containing IP Addresses As Subjects 〇金岡晃(東邦大学), 小山裕輝(東邦大学), 岡田雅之(長崎県立大学): Webサーバ証明書の設定項目のCNやSANにFQDNの代わりにサーバのIPアドレスが設定された証明書 (以後 WebIP証明書と呼ぶ) が存在する。WebIP証明書であれば、クライアントがIPアドレスでそのサーバにSSL/TLS接続しても正しい通信相手として検証される。CAがWebIP証明書の発行をする場合、その発行ルールの中にIPアドレスの利用権や所有権をサーバやサーバ管理者が保持しているかの確認がされていない可能性がある。その結果、本来であればそのIPアドレスの所有権を持たない第3者がそのIPアドレスに対する証明書発行を受けられてしまう可能性がある。こういったリスクがある中で、どの程度の発行が行われているかの調査についてはこれまでされてこなかった。そこで本研究では全IPv4アドレスに対してTLS接続をし証明書を取得し、WebIP証明書の存在状況や利用されるIPv4アドレスの特徴を調査した。

[ 2B5-4:WEB概要版PDF ]

3B1-1

AI safety とsecurity の研究動向：国際と国内・産学官 divertibility and non-malleability of cryptographic protocols 〇櫻井幸一(九州大学), 溝口誠一郎(DNVビジネスアシュアランスジャパン): AI safety とsecurity の研究状況調査を、国際と国内及び産学官の観点から報告する。//

[ 3B1-1:WEB概要版PDF ]

3B1-2

人工知能搭載システムに対する安全性論証の現状とセキュリティ論証に向けた課題　～自動運転システムの例～ Current Status of Safety and Security Assurance for System using AI ◎溝口誠一郎(DNVビジネスアシュアランスジャパン株式会社), 櫻井幸一(九州大学大学院システム情報科学研究院): 人工知能は、日常の様々な場面で利用可能となっており、中には安全について考慮しなければならないケースも存在する。海外の動向として、ENISAのように、人工知能の利用に関する法整備が進められているが、セーフティクリティカルな製品やサービスについて、その安全とセキュリティに関する説明責任が求められてくることは自明である。自動車をケースとすると、UN法規および各国際標準をベースに、自動運転システムの安全性とサイバーセキュリティの設計・検証・妥当性確認等によって、説明責任を果たすことになる。本発表では、安全やセキュリティに関する論証構造の中で人工知能搭載システムがどのように扱われるか、及びその課題について、自動運転システムを例に述べる。

[ 3B1-2:WEB概要版PDF ]

3B1-3

車載システムに対するデジタル・フォレンジックに向けての一考察 A Study on Digital Forensics for in-vehicle System 〇味岡仁雅(警察大学校), 倉地亮(名古屋大学), 佐々木崇光(パナソニック株式会社), 黒崎雄介(警察大学校), 片山隆成(警察大学校), 下雅意美紀(警察大学校): 近年の自動車には多数の電子機器が搭載され、そのサイバーセキュリティについても関心が高まっている。電子機器に残存する電磁的記録について、その証拠的価値を損なうことなく取り扱う方法や手続をデジタル・フォレンジックと呼ぶ。先行研究においては、車載Event Data Recorder（EDR）に着目し、その電磁的記録が車両へのハッキングの痕跡となり得ることが示された一方、EDR単体の記録ではハッキング等の全容を明らかにすることが困難な点が課題とされた。そこで今年度の研究においては、EDRに加え車載インフォテイメントシステムの電磁的記録にも着目することで、デジタル・フォレンジックの精度を向上させる可能性について検討を行った。また、検討においては現状で取得可能な電磁的記録に加え、デジタル・フォレンジックの観点から今後取得が望ましい電磁的記録やその取得方法についても考察した。

[ 3B1-3:WEB概要版PDF ]

3B1-4

サイバーフィジカルシステムの効率の良いセキュリティ設計のためのリスク分析手順の検討 Examinations of risk analysis procedures for efficient security design of cyber-physical systems 〇川西康之(住友電気工業株式会社), 西原秀明(産業技術総合研究所), 吉田博隆(産業技術総合研究所), 山本秀樹(住友電気工業株式会社): ICTシステムと物理世界に影響を及ぼすデバイスが相互接続され連動する，サイバーフィジカルシステムが世の中に普及するようになった．このシステムには，ICTシステムへの攻撃が波及させる物理的な影響，物理面でのセキュリティの弱さなど，より多くのリスクを想定したセキュリティ設計が必須である．我々は自動車業界のガイドラインJASO TP15002をベースに，サイバーフィジカルシステムのセキュリティ設計手順の効率化を進めてきた．特に自動車分野においてはダイレクトアクセス攻撃の分析を進め， ICTシステムの脆弱性評価基準であるCWSSがベースの，サイバーフィジカルシステムの物理的な境界を解釈した新しいリスク数値化手法を提案した．本稿では，我々のDECSoS2017会議論文，CyberSciTech2018会議論文，CyberSciTech2021会議論文等で発表した，セキュリティ設計手順において我々の検討してきた課題，および加えた観点についてまとめ報告する．

[ 3B1-4:WEB概要版PDF ]

3B1-5

Observing CAN Message Timestamps on Automotive Testbeds Observing CAN Message Timestamps on Automotive Testbeds 〇Camille GAY(Yokohama National University / Toyota Motor Corporation), Tsutomu MATSUMOTO(Yokohama National University): Many recent cybersecurity countermeasures for automotive systems, such as Intrusion Detection Systems, rely on measurements of the arrival timestamp of Controller Area Network (CAN) messages. However, those technologies are still imperfect because of various unknown factors. Using an automotive testbed which we independently developed, we observed the properties of CAN message arrival timestamps for different network configurations. We concluded that cybersecurity countermeasures relying on those timestamps can be improved by considering the standard deviation of the arrival timestamp of periodic messages as a dynamic source of information, rather than a random noise.This report is a summary of two papers. First, we introduce the testbed RAMN, which can be used for research and education in automotive systems. Then, we introduce a paper that is planned to be published in March 2022, in which the testbed was used for the evaluation part.

[ 3B1-5:WEB概要版PDF ]

3B2-1

eKYCにおける安全な失効機能 - 中央銀行デジタル通貨のプライバシー保護 Secure Revocation Features in eKYC - Privacy Protection in Central Bank Digital Currency 〇宝木和夫(産業技術総合研究所), 久保田隆(早稲田大学), ウォルゲムトスベン(セコム), 梅澤克之(湘南工科大学), 小柳洋貴(湘南工科大学), 渡邊創(産業技術総合研究所): 中央銀行によるデジタル通貨では、取引相手がオンラインで適格かどうかを確認するためにeKYCを実装する必要が高まる。本研究では、さまざまなセキュリティドメインにわたって情報授受を行う際、ユーザーのプライバシーを保護するために、委任可能な匿名クレデンシャルとゼロ知識範囲証明を用いる。このメカニズムを政府発行の国民IDカードに組み込む基本的な方法を提案する。この方法では、ユーザーは、複数のPKI組織から、生体認証、資産、社会的評判、あるいは、タイムスタンプなどの属性のゼロ知識範囲認証をプライバシーが保護された形で取得する。このゼロ知識範囲証明をタイムスタンプサーバにより刻印される２つの時刻（署名提示、公開鍵の失効あるいは非失効）の不等式関係の判定に用いる。これにより、国民ID カード使用時に、個人名等の個人情報が保護された形で登録情報が有効、あるいは、失効状態であることが証明される。本研究により、自己主権アイデンティティ管理に基づいて持続可能な金融システムの実現を可能にすることを目指す。

[ 3B2-1:WEB概要版PDF ]

3B2-2

糖尿病罹患リスクを予測するヘルスケアデータの匿名化コンテストPWS Cup 2021データの解析 Analysis on Competition on Anonymized Healthcare Data to be qualified for Diabetes Prevalence Study, PWS Cup 2021 〇菊池浩明(明治大学), 馬瑞強(明治大学): 健康診断やウェアラブルデバイスから取得したヘルスケアデータは生活習慣病の予測などに活用できる有益なビッグデータである．個人情報取扱事業者は，規則に従った適切な匿名加工に加えて，各種分析の精度を劣化させない最適な加工をすることが求められている．そこで，米国疾病対策予防センターCDCが収集した米国国民健康栄養調査（National Health and Nutrition Examination Survey: NHANES）データを用いて，年齢，学歴，BMI，運動量などの説明変数に対する糖尿病の罹患リスクを正しく評価するための匿名化技術と再識別リスクを探求するコンテストの分析結果を報告し，ヘルスケアデータの匿名化における陽性条件や課題を探る．

[ 3B2-2:WEB概要版PDF ]

3B2-3

Webアクセス履歴データにおける本人一致率の評価 Evaluation of Personal Match Rate in Web Browsing History Data ◎加藤拓弥(金沢大学), 満保雅浩(金沢大学): Webマーケティングなどビジネスに活用されているWebアクセス履歴データはパーソナルデータとみなせる。パーソナルデータは、たとえ個人との関係性が弱いものであったとしても、分析を進めていくにつれ特定の個人を識別できるようになることがある。よって、パーソナルデータのプライバシー保護が必須になってきている。本論文ではWebアクセス履歴データに着目し、そのプライバシーリスクについて考察する。特に、異なる期間において、ユーザーIDとアクセスしたURLを収集することにより得られるURL集合を用いて、URL集合の類似度を求め、本人一致率を導出することにより、Webアクセス履歴データのプライバシーリスクを評価する。

[ 3B2-3:WEB概要版PDF ]

3B2-4

Users' Interest in Algorithmic Transparency Aspects of Privacy Tools Users' Interest in Algorithmic Transparency Aspects of Privacy Tools 〇Vanessa Bracamonte(KDDI Research. Inc.), Takamasa Isohara(KDDI Research. Inc.): Existing research related to algorithmic transparency focuses on disclosure of personal data processing and explanation of algorithms. However, algorithmic transparency has additional aspects to consider, such as provenance of the data used to train those algorithms and the involvement of humans in the algorithmic process. Transparency is important to users and can affect user’s perception of algorithm-based services, but few studies have compared how users perceive these types of information disclosure relative to each other. In this paper, we conduct an experiment to investigate users’s primary interests when comparing different types of information disclosure, for two types of tools that process personal information. The results of the qualitative analysis indicate that most users were interested in transparency about how their data is processed, including how long it is stored and if it is shared or sold. Moreover, the results also show that more users were primarily interested in transparency about human involvement (that is, why and how are people involved) than in transparency about the algorithm itself. Finally, we found that no users mentioned data provenance as their primary concern. We discuss challenges of algorithmic transparency for privacy tools in light of these findings.

[ 3B2-4:WEB概要版PDF ]

3B3-1

加飾印刷技術とマルチモーダル人工物メトリクス（第2報） Decorative Printing Technique and Multi-modal Artifact Metrics #2 ◎于圣昆(工学院大学), 種崎湧斗(工学院大学), 藤川真樹(工学院大学), 七井靖(防衛大学校): 著者らは，シート状の人工物にマルチモーダル人工物メトリクスを適用するための新しい方法として「加飾印刷技術」に着目した．当該技術は，微細な金属粉末（亜鉛と銅）を含むインキを用いてメタリックな図柄や文字を印刷するものであり，亜鉛と銅の混合比を変えることで色合いの異なる金属色（たとえば，光沢のある金色，光沢を抑えた金色など）を印刷できる．加飾印刷技術は，金属箔よりも多彩な色合いや微細な凹凸を生み出せるだけでなく，インキに含まれる溶剤や樹脂と金属粉末が生み出す3次元形状がランダムさをもつため，真正性の確度と偽造困難性を高める効果がある．第1報では，レーザー顕微鏡を人工物メトリック・システムに見立ててアルミ箔と加飾印刷物のFAR曲線を紹介したが，今回の報告では両者のFRR曲線を加えた．加飾印刷物のFAR/FRR曲線は，アルミ箔のFAR/FRR曲線よりも谷が深く，よりX軸に近い場所まで描かれた．これは，アルミ箔よりも加飾印刷物を使用する方がベターであることを意味している．

[ 3B3-1:WEB概要版PDF ]

3B3-2

Face Parsingを用いた顔認証モデルの解釈 Interpretation of face recognition models using face parsing ◎河合洋弥(東北大学), 神津岳志(東北大学), 伊藤康一(東北大学), Hwann-Tzong Chen(National Tsing Hua University), 青木孝文(東北大学): 顔の特徴を用いて個人を認証する顔認証は，その利便性の高さから携帯端末や入場ゲート等において広く利用されている．顔認証の認証精度は，Convolutional Neural Network (CNN) により飛躍的に向上した．一方で，CNNは自動で最適化された多数の重みパラメータを用いて推論を行うため，CNNの推論根拠を解釈することは困難である．物体認識分野において，CNNの推論根拠を可視化するための手法が多数提案されているが，対象物体が入力画像の大部分を占める顔認証モデルに対して有効でない．本稿では，Face Parsingを用いた顔認証モデルの可視化手法を提案する．顔画像から目，鼻，口等の顔のパーツに関するセグメンテーションラベルを推定するFace Parsingを利用し，推定したラベルに基づいて顔画像の一部をマスクする．マスクされた顔画像をCNNに入力し，出力された確率スコアに基づいてセグメンテーションラベルの重み付け和を求めることで，顔認証モデルの推論根拠を可視化する．特定のパーツを含む画像のみで学習された顔認証モデルに対する可視化実験を通して，提案手法の有効性を実証する．

[ 3B3-2:WEB概要版PDF ]

3B3-3

位置情報を活用した認証手法における認証精度と検知時間との関係 Trade-off between Accuracy and Detection Time on Location-based Authentication 〇小林良輔(三菱電機インフォメーションシステムズ株式会社), 山口利恵(東京大学): 近年，行動認証に関する研究が増加してきている．行動認証技術を活用すると，サービスにログインした後に端末の利用者が変わったことを検知することが可能だと考えられている．しかしながらこれまでの多くの研究では，利用者が変わってからどの程度の時間が経てば認証システムはそのことを検知できるのか，については言及していない．そこで本論文では，’Time Window’ と呼ばれる認証システムにおけるパラメータを変化させながら，この検知時間についてどの程度となるかを実験で計測した．また，同実験内で評価手法として本人受入率 (TAR) を用いて認証精度の算出も合わせて実施した．その結果，検知時間と認証精度にはトレードオフの関係があることがわかった．なお，実験には約57,000人のデータからランダムに選出した100人のデータを利用した．

[ 3B3-3:WEB概要版PDF ]

3B3-4

特徴量間のユークリッド距離を類似度とするキャンセラブルバイオメトリクス Cancelable Biometrics based on Euclidean distance ◎肥後春菜(NEC), 一色寿幸(NEC), 森健吾(NEC), 尾花賢(法政大学): 生体情報は機微な情報であり、その漏洩を防ぐことが求められる。キャンセラブルバイオメトリクスは、生体情報を変換したまま照合を行うことができる性質と、変換に用いる鍵を更新することにより更新前の鍵によって変換されたデータを無効化できる性質を満たす生体情報の保護技術である。本稿では、特徴量間のユークリッド距離を類似度とするキャンセラブルバイオメトリクスの方式を提案する。

[ 3B3-4:WEB概要版PDF ]

4B1-1

Attack graphを用いたサイバーレンジシナリオの自動生成 Automatic generating of cyber range scenarios using Attack graph 〇中田亮太郎(一橋大学), 大塚玲(情報セキュリティ大学院大学): 情報セキュリティ人材育成に使われる演習システムであるサイバーレンジは、高い教育効果が期待できるが、コスト面やシナリオ生成、運用面などの課題により、普及は限定的である。我々はこれまでの研究で、Dockerによるコンテナを用いることで、少ないリソースで高性能なサイバーレンジ環境を構築する手法の有効性を確認し、多くのシナリオを円滑に実行できる新たなサイバーレンジプラットフォームとして提案した。しかし、演習シナリオの開発は手動で行われており、演習効果を高めるために必要な多くのシナリオを準備するには、膨大な作業を伴う。そこで本稿では、システムの脆弱性やネットワーク上の到達性を分析して可視化するAttack Graphの技術を用いてサイバーレンジシナリオを生成し、そのシナリオを用いて演習を実行できる環境の構築までを自動化する手法を提案する。コンテナを用いたサイバーレンジプラットフォームCyExec上に実装することで、多くの脆弱性をランダムに選択したシナリオが実行できる環境が実現できる。

[ 4B1-1:WEB概要版PDF ]

4B1-2

SDN-based Detection Method against DoS/DDoS attacks in an IoT environment SDN-based Detection Method against DoS/DDoS attacks in an IoT environment ◎Abdul Adhim(東洋大学), Satoshi Okada(東洋大学), Takuho Mitsunaga(東洋大学): The number of IoT devices has been increasing over the years, and it is expected to only keep increasing in the next few years. Keeping these devices secured is always important. One of the ways to keep them more secure is to introduce Software Defined Network (SDN) architecture into the IoT network. SDN enables software-based network management without any physical changes. This technique is well suited for the management and incident response of IoT networks, which continue to grow in size these days. Some of the potential security threats to IoT devices are Denial of Service (DoS), and its other variant Distributed Denial of Service (DDoS). IoT devices' nature to be limited in computation, storage, and network capacity, make them more vulnerable to be compromised. SDN is a promising technology that could help detect and mitigate DoS/DDoS attacks within the IoT network. In this paper, a solution using an entropy-based detection method to detect an incoming DoS/DDoS attack in an SDN-based IoT network is proposed. A statistical approach to distinguish normal traffic from anomalous traffic.

[ 4B1-2:WEB概要版PDF ]

4B1-3

SDNを用いたDDoS攻撃に対する防御機構構築 Defense Mechanism Against DDoS attacks using SDN ◎徳山凌(東京工科大学大学院コンピュータサイエンス専攻), 布田裕一(東京工科大学コンピュータサイエンス学部), 鈴木彦文(信州大学総合情報センター), 岡崎裕之(信州大学学術研究院(工学系)): 近年被害が増加している DDoS 攻撃の分析や評価は非常に重要である.鈴木らの研究では, 実機を用いたネットワーク環境で外部からの DDoS 攻撃を実行し，攻撃を評価している. この結果, 300万パケットを受信したところで攻撃対象となったネットワークの最も外側にある UTM が停止し，ネットワーク全体が機能不全に陥ることが判明した.この実験のように，実機環境で DDoS 攻撃を発生させると，ネットワーク全体への影響が大きいため，頻繁に発生させて防御機構を評価することが困難である.我々の研究では異なる実環境においても容易に評価が可能な攻撃環境を構築し，DDoS攻撃においては実環境と同等の性能を持つことを確認した．本稿では柔軟なネットワーク構成を実現するためにSDNを用いて防御機構を構築する．SDNにより，攻撃の可能性が高いとされるパケットの遅延，破棄を行う．構築した防御機構は構築済みの攻撃評価環境を使用して得られた結果から改良を行う．

[ 4B1-3:WEB概要版PDF ]

4B1-4

追跡可能集約署名プロトコルのためのクラウド上シミュレータの提案とプロトタイプ実装 Proposal and Prototype Implementation of a Cloud-Based Simulator for Traceable Aggregate Signature Protocol ◎宋子豪(横浜国立大学), 安西陸(横浜国立大学), 坂本純一(横浜国立大学/産業技術総合研究所), 吉田直樹(横浜国立大学), 松本勉(横浜国立大学): 近年，半導体のコストダウンとセンサーデバイスの小型化により，IoTデバイスの多くが工場や都市インフラ管理システムの末端センサーとして使用されている．これらのデバイスの特徴として，低性能かつ安価で通信帯域やデータ量に制限のあるものが多い．またIoTセンサーネットワークの特徴として末端デバイスからの情報を一度集約し上位ノードへ転送するエッジと呼ばれる中間ノードを持つことがある．このようなネットワークに対し，少量の追加計算と通信コストでデータの改ざんを検出できる技術として高機能暗号の一種である集約署名の導入が検討されている．しかし，単に集約署名を適用した場合，各ノード間の通信帯域や通信遅延の許容範囲などのパラメータ次第では集約署名の効率や具体的な追加通信データ量, 不正なデバイスの追跡効率などが変化し，単純計算によって最適な集約署名の適応方法を求めるのは難しい．我々はいくつかの前提下で任意のデバイス数を含むネットワークモデルに対し集約署名を実用化する際に必要となるパラメータを評価できるコンテナ技術ベースのシミュレータを提案し，実装したプロトタイプを使ってシミュレーションした結果を示す．

[ 4B1-4:WEB概要版PDF ]

4B1-5

Rust言語によるフィルタ機能を付加したソフトウェアブリッジの実装と検証 Implementation and Verification of Software Bridges with Filtering Mechanisms in Rust ◎細谷昂平(大阪大学大学院), 高野祐輝(大阪大学大学院), 宮地充子(大阪大学大学院): SDNといった技術の発展によりソフトウェアでのパケット処理の需要が高まっている．一方で，ネットワークサービスにおける障害の起因に占めるソフトウェアのバグの割合が高いという現状がある．また，10-100GbEの普及により，端末間のデータ通信は高速に行える環境が整備されつつあるが，ソフトウェアでの処理はハードウェアに比べて低速であり，通信のボトルネックとなっている．この問題を解決する一例として，カーネルバイパス技術があり，代表的なものにeXpress Data Path(XDP)系列のAF_XDPやData Plane Development Kit(DPDK)が挙げられる．本論文では，上記のうちDPDKを用いて，動的に変更可能なMacアドレスによるパケットフィルタを実装した．パケットを処理する関数はRust言語で実装し，DPDKのプログラムに組み込むことにより，フィルタの動作におけるメモリ安全性を確保する手法を提案した．また，Rustの検証器であるPrustiを用いてパケットフィルタで使用するMapが正しく動作することを検証するため，Mapが満たすべき条件について考察する．

[ 4B1-5:WEB概要版PDF ]

4B2-1

関数呼び出しグラフと関数埋め込みに基づくマルウェア分類手法 Malware Classification based on Function Call Graph and Function Embedding ◎林実奈美(警察大学校), 大坪雄平(警察大学校), 大塚玲(情報セキュリティ大学院大学): 年々，高度化及び多様化するマルウェアに対応するためには，機械学習の活用が不可欠である．マルウェアの種類は膨大であるが，その大半は既存のマルウェアを少しだけ改変した亜種である．従って，マルウェアのファミリ分類を適切にできれば，挙動の推測が容易となり，解析の効率化に役立てることができる．機械学習を活用したマルウェア分類手法は様々なアプローチで行われているが，最近では，グラフニューラルネットワーク（GNN）を応用した研究が注目されている．GNNをマルウェア分類に使用することで，プログラムの条件分岐や関数呼び出しの関係を考慮した分類が可能となる．本研究では，GNNを用いてマルウェアのファミリ分類器を実装し，学習及び評価を行った．実行ファイルから関数呼び出しグラフを作成し，関数の特徴抽出には，自然言語処理技術を応用した手法を用いた．特徴抽出に自然言語処理技術を用いたことで，従来手法と比較して高精度での分類に成功した．

[ 4B2-1:WEB概要版PDF ]

4B2-2

多点観測型多要素認証：単一クレデンシャルによる多要素認証の達成 Multi-Observed Multi-Factor Authentication: A Multi Factor Authentication Using Single Credential ◎野崎真之介(静岡大学), 芹澤歩弥(静岡大学), 吉平瑞穂(静岡大学), 藤田真浩(三菱電機株式会社), 柴田陽一(三菱電機株式会社), 山中忠和(三菱電機株式会社), 松田規(三菱電機株式会社), 大木哲史(静岡大学), 西垣正勝(静岡大学): 今やPCのマルウェア感染は日常茶飯事であり，パスワード等のクレデンシャル単体のみを用いたユーザ認証においては，正規クレデンシャルの入力自体を以って正規ユーザであると断定することができないという現状にある．この問題に対する典型的な解決策が2要素認証である．一般的な2要素認証は，正規クレデンシャル（記憶情報／所持情報／生体情報）を2つ用意し，1つ目をPCに，2つ目をスマートフォンに入力することによって被認証者を認証する．しかし，認証の度に被認証者に複数のクレデンシャル提示が強いられるため，利便性が低下してしまっている．2要素認証が必要となる理由がPCへのマルウェア感染にあるのならば，正規ユーザであることの証明にわざわざもう一つ別のクレデンシャルを用いずとも，「（マルウェアではなく）人間が正規クレデンシャルを入力した」ことを確認すれば十分ではないだろうか．そこで我々は，「人間による正規クレデンシャルの入力」を確認するというコンセプトに立脚する新たなユーザ認証方式として，被認証者による単一の正規クレデンシャルの入力を多点で観測することによって多要素認証を達成する多点観測型多要素認証を提案する．

[ 4B2-2:WEB概要版PDF ]

4B2-3

IoTアクチュエータにおけるセキュリティの一考察 A Study of Security in IoT Actuators 〇小林信博(長崎県立大学シーボルト校): 　近年、社会におけるIoTシステムの活用が進展している。我が国が目指す Society 5.0 は、「サイバー空間とフィジカル空間（現実世界）を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する人間中心の社会」と定義されており、一例として、フィジカル空間のセンサから IoT を通じて情報が集積（ビッグデータ）され、人工知能（AI）が解析し、高付加価値な情報、提案、機器の制御などを、フィジカル空間にフィードバックすることが示されている。一方で、IoTシステムへのサイバー攻撃によりサービス停止や不正操作等の問題が発生すると、我々の生活や経済・社会活動に深刻な影響を及ぼす可能性がある。本論文では、特に、サイバー空間からフィジカル空間へのフィードバックとして、物理的な作用を及ぼすIoTアクチュエータにおけるセキュリティについて考察した結果について述べる。また、IoTアクチュエータにおける今後のセキュリティ対策の方向性について示す。

[ 4B2-3:WEB概要版PDF ]

4B2-4

サイバー攻撃に対するレジリエントな縮退運転システムの設計と実装 Synthesis and implementation of Resilient Fallback Control System ◎阪田恒晟(電気通信大学), 藤田真太郎(電気通信大学), 澤田賢治(電気通信大学), 遠藤浩通(日立製作所), 松本典剛(日立製作所): 産業用制御システムは既にサイバー攻撃を受けることを前提としたシステム設計と運用が必要となっている．すなわち，サイバー攻撃下でもシステムを安全に稼働させる縮退運転が必要になる．本研究の目的は，通常運転と縮退運転の遷移が可能な縮退運転システムをシステム論的に設計し，その優位性を検証することにある．対象は制御用と縮退用のPLCからなるFAシステムである．制御用PLCはフィールド機器を制御し，縮退用PLCは制御用PLCが攻撃を受けた後，制御を引き継ぐ．制御引き継ぎにはシステムを統合管理するスーパーバイザモデルが必要となるが，PLCの制御プログラムを離散事象システムの枠組みでモデル化する事で当該モデルを導出する方法を与える．課題の本質は攻撃下におけるスーパーバイザの設計には，攻撃を含んだ制御仕様の可制御性が必要となることである．新規性は異常検知の事象を制御仕様に含めることで，当該課題が解決できる事を明らかにした点である．これにより，制御システムの運転状態の速やかな切り替えを可能とする．スーパーバイザの実装方法の有効性は，設計されたスーパーバイザモデルから縮退プログラムを生成し，縮退用PLCに実装する事で検証する．

[ 4B2-4:WEB概要版PDF ]

4B2-5

Enabling Integrity Protection for GitOps based Application Deployment Enabling Integrity Protection for GitOps based Application Deployment ◎Kugamoorthy Gajananan(IBM Research - Tokyo), Yuji Watanabe(IBM Research - Tokyo), Hirokuni Kitahara(IBM Research - Tokyo), Ruriko Kudo(IBM Research - Tokyo): Enabling Integrity Protection for GitOps based Application Deployment

[ 4B2-5:WEB概要版PDF ]

1C1-1

耐量子鍵カプセル化メカニズムに対する一般化サイドチャネル攻撃 A Generic Side-Channel Attack on Post-Quantum KEMs 〇上野嶺(東北大学/JST CREST/JSTさきがけ), 草川恵太(日本電信電話株式会社 NTT社会情報研究所), 田中裕太郎(東北大学/JST CREST), 伊東燦(東北大学/JST CREST), 高橋順子(日本電信電話株式会社 NTT社会情報研究所), 本間尚文(東北大学/JST CREST): 本論文では，耐量子鍵カプセル化メカニズム(KEM)に対して一般的に適用可能なサイドチャネル攻撃について述べる．提案攻撃では，鍵デカプセル化の再暗号化時のサイドチャネル情報を利用することで，復号オラクルの一種である平文チェッキングオラクルを実現し，KEMで利用されているIND–CPA安全な公開鍵暗号に対して選択暗号文攻撃を適用して秘密鍵を取得する．提案攻撃は米国NISTが現在開催しているPQC公募コンペティションの第三ラウンドの九つのKEM候補（最終候補五つと代替候補四つ）のうちClassic McElieceを除く八つのKEMに対して現実的な波形数で鍵回復攻撃が可能である．さらに本論文では，平文チェッキングオラクルをサイドチャネル波形から実現するために深層学習に基づく二値分類器を提案し，様々な再暗号化の実装（マスキング対策有り/無しのソフトウェアおよびハードウェア）に対して鍵回復に必要となる波形数を実験的に評価する．

[ 1C1-1:WEB概要版PDF ]

1C1-2

フーリエ解析ベース攻撃に対するECDSAのエラーレートに基づく解析 Error-rate-based analysis of ECDSA against Fourier analysis-based attacks ◎大﨑俊輔(筑波大学情報学群情報科学類), 國廣昇(筑波大学システム情報系): ECDSAで署名生成時に使用されるnonceの部分情報，対応するメッセージのハッシュ値，署名の3つ組がある個数以上漏洩した場合，秘密鍵は復元されることが知られている．秘密鍵を復元する格子ベースの攻撃では160-bit, 256-bitの秘密鍵に対して，それぞれnonceが2-bit，4-bit漏洩していれば効率よく復元できる．フーリエ解析ベースの攻撃では，160-bit, 256-bitの秘密鍵に対して，それぞれ，エラー付きで1-bit，2-bitが得られた場合でも復元可能である．したがって，フーリエ解析ベースでは格子ベースに比べて漏洩するnonceの長さが短い場合でも復元することは可能である．しかし，必要な署名数や計算機資源，時間において効率的ではない．Aranhaらは得られるnonceのエラーレートがある特定の値のときに必要となる署名数，メモリ，時間の評価を行っている．しかし，エラーレートが変化した場合に，それぞれがどのように変化するのかは評価されておらず，明らかではない．本発表ではエラーレートの大きさによって，それらのパラメータがどのように変化するのか等の関係性を明らかにする．

[ 1C1-2:WEB概要版PDF ]

1C1-3

動的 FPGA 電源電流の RTL 解析に基づく電力解析攻撃への耐性予測 Power Analysis Attack Resistance Prediction Based on RTL Calculation of Dynamic FPGA Power Current ◎日室雅貴(岡山大学), 五百旗頭健吾(岡山大学), 豊田啓孝(岡山大学): 筆者らはIC 外部の電源配線上における電力解析攻撃耐性を予測することを目的にしている．攻撃結果予測のためには，ICのスイッチング動作に起因する動的電源電流を求める必要があり．これまではゲートレベルのシミュレーションに基づいた高分解能な見積もりが行われている．ただし，IC 内部には容量性があるため，IC 外部に漏洩する高次高調波成分は理論的にも観測事実としても十分小さい．そのため，本稿ではRTLでシミュレーションしたトグルレートに基づいて各クロックにおける動的電流の総和を計算し，三角波パルスに変換する．また，AES処理のターゲットラウンドにのみ電流を見積もり，その平均値と分散値を他ラウンドの電流に適用することで，解析時間をさらに短縮する．今回，FPGA搭載基板に対する相関電力解析攻撃結果をシミュレーションしたところ，提案手法により，基板上で観測される漏洩波形と電力解析攻撃結果を十分な精度で予測できること示した．

[ 1C1-3:WEB概要版PDF ]

1C1-4

パイプライン化されたAES S-boxへのフォールト攻撃に対する安全性評価 Security Evaluation against Fault Attacks on Pipelined AES S-box ◎平田遼(電気通信大学), 宮原大輝(電気通信大学), 李陽(電気通信大学), 三浦典之(大阪大学), 崎山一男(電気通信大学): 暗号ハードウェアに対する物理攻撃が驚異とされており，攻撃への対策手法の安全性検証は重要である．物理攻撃には，デバイスの物理特性を観察し秘密情報を得るPassive型の攻撃や，攻撃者が暗号デバイスに影響を与えるActive型の攻撃がある．Passive型とActive型を組み合わせた攻撃も報告されており，これらの攻撃への対策としてCHES2019でM&M（Masks and Macs）という手法が提案された．SCIS2021では，M&Mにより対策されたAES暗号ハードウェアに対するDFA攻撃を検討し，実験により鍵復元が可能であることを示した．本稿では，パイプライン化されたS-boxに対するフォールト攻撃の可能性を議論する．また，フォールト攻撃の検証として，M&Mにより対策されたAES暗号を実装したASICを用いた実験を行う．

[ 1C1-4:WEB概要版PDF ]

1C1-5

サイドチャネル攻撃により得られるBinary GCD演算系列に対するエラーモデル Error model for binary GCD operation sequences obtained by side-channel attacks ◎谷健太(筑波大学システム情報工学研究群), 國廣昇(筑波大学システム情報系): OpenSSLの特定のバージョンでは，RSA暗号の秘密鍵である二つの素数を生成する際にBinary GCDアルゴリズムが使用される．Aldayaらは，CHES2019において，サイドチャネル攻撃に対して，このアルゴリズムが脆弱であり，アルゴリズムのエラー付き演算系列からRSA暗号の秘密鍵を復元できることを示している．Aldayaらの研究を受けて，我々はCSS2021で新たなアルゴリズムを提案している．数値実験の結果は，エラーの確率分布情報が既知であれば，攻撃者はより高い確率で演算系列のエラーを訂正し，秘密鍵を入手することが可能であることを示している．そのため，正確なエラーモデルを導出できれば，どの程度のエラーが含まれているとき攻撃が成功するかをより厳密に評価することができる．本稿では，まず，Aldayaらが提案する演算系列を取得する攻撃を用いて，サイドチャネル情報を収集する．次に，サイドチャネル情報を解析し，エラーの確率分布を分析し，エラーモデルの導出を行う．これにより，Binary GCDアルゴリズムの脆弱性を利用した攻撃のより厳密な評価が可能となる．

[ 1C1-5:WEB概要版PDF ]

1C2-1

最終ラウンド候補の認証機能付き軽量暗号に対する高位合成の評価 Evaluation of High-Level Synthesis for Finalists in Authenticated Lightweight Cryptography ◎竹本修(名城大学大学院), 池崎良哉(名城大学大学院), 野崎佑典(名城大学), 吉川雅弥(名城大学): Society5.0の推進によって，小型デバイスの利用が拡大している．それに伴い，小型デバイスを指向し小面積実装や低遅延実装を実現する暗号アルゴリズムとして，軽量暗号が数多く提案されている．近年では軽量暗号の標準化を進めるため，これらの暗号に対するコンペティションが実施されており，暗号性能やセキュリティの議論が求められている．また，小型デバイスに関して，少量多品種展開が可能なFPGAが広く利用されており，開発工数短縮が可能な高位プログラミング言語をハードウェアに実装する高位合成が注目を集めている．そこで本研究では，軽量暗号のコンペティションにて最終ラウンド候補に挙げられた認証付き暗号に対し，高位合成を用いてFPGA実装した場合の性能について評価する．

[ 1C2-1:WEB概要版PDF ]

1C2-2

RAMBleedによるOpenSSL暗号鍵導出 Derivation of OpenSSL Cryptographic Key with RAMBleed ◎冨田千尋(神戸大学大学院工学研究科), 瀧田愼(兵庫県立大学大学院情報科学研究科), 福島和英(株式会社KDDI総合研究所情報セキュリティグループ), 仲野有登(株式会社KDDI総合研究所情報セキュリティグループ), 白石善明(神戸大学大学院工学研究科), 森井昌克(神戸大学大学院工学研究科): DRAMの行に繰り返しアクセスすることでその近隣の行内でビット反転を誘発する，Rowhammerと呼ばれる攻撃が存在する．この攻撃を利用したRAMBleedと呼ばれるサイドチャネル攻撃では，一般ユーザーレベルでアクセス権限のない秘密情報を読み取ることができる．本論文ではRAMBleedを利用し，OpenSSLで用いられる秘密鍵を回復する手法を提案する．サーバが保持する秘密鍵を，管理者権限なしに読み取ることはできない．筆者らは既に，RSA秘密鍵を構成する二つの素数p,qをRAMBleedにより管理者権限なしで間接的に読み取ることができる可能性を明らかにしている．本論文では，先の筆者らの手法を発展させ，p, qを実際に回復する具体的な手法を与える．今までOpenSSLに対して，実際に利用されている現実的なパラメータおよび環境においてRSA秘密鍵を導出する手法は提案されていなかった．本手法はRAMBleedに対して対策が取られていないDRAMを利用したサーバ上で，RSA方式を採用するOpenSSLに対して一般的に適用可能であり，OpenSSLに対する大きな脅威が明らかとなった．

[ 1C2-2:WEB概要版PDF ]

1C2-3

Intel SGX における2 つのリモートアテステーションの利点と欠点の考察 A Discussion of the Advantages and Disadvantages of Two Remote Attestations in Intel SGX ◎矢川嵩(筑波大学. 産業技術総合研究所), 照屋唯紀(産業技術総合研究所), 須崎有康(産業技術総合研究所), 阿部洋丈(筑波大学): リモートアテステーションは，デバイスの管理や操作を目的とした遠隔操作の際にデバイスやデバイス上のソフトウェアの健全性を確認できる仕組みのことである．Intel Software Guard Extensions(SGX)は，隔離実行環境であるEnclaveで信頼できるアプリケーションを実行する際に，複数のリモートアテステーションに対応している．しかし，それらを比較した際の利点と欠点は明確になっていない．本稿では，このSGXのリモートアテステーションについての比較を行い，それぞれの利点と欠点について考察する．

[ 1C2-3:WEB概要版PDF ]

1C2-4

TEEの保護を用いたProvenance AuditingのIoT機器への適用 Provenance Auditing with TEE Protection Applied to IoT Devices ◎竹村太一(産業技術総合研究所，電気通信大学), 須崎有康(産業技術総合研究所), 山本嶺(電気通信大学): 近年，IoT機器を対象としたステルス性の高い攻撃が増加しており，従来の検知手法では攻撃を検知できない．これらの攻撃を防ぐためにも攻撃の影響範囲を調査する必要がある．代表的な手法としてPA(Provenance Auditing)が提案されている．PAはイベントのログからDAG(Directed Acyclic Graph)を構築し，DAGから攻撃の影響範囲を調査する．しかし，PAをIoT機器に導入するのは，PAが要求するCPUパワーを提供できないことや侵入した攻撃者が容易にログの削除や改竄を行えるため難しい．本論文では，クラウド上のサーバとIoT機器を連携させることにより，リモートで安全にPAを行う手法を提案する．この手法では，クラウド上のサーバでSPADEを用いてPAを行い， IoT機器では堅牢化したカーネルとCPUが提供する隔離実行環境のTEE(Trusted Execution Environment)を連携させることにより，ログの生成や送信を攻撃から保護する．提案するシステムはRaspberry Pi 3BのArm TrustZoneにOP-TEEを使って実装した．

[ 1C2-4:WEB概要版PDF ]

1C2-5

実環境を想定したトロイ回路を対象とした機械学習によるハードウェアトロイ識別 N/A ◎栗原樹(早稲田大学), 長谷川健人(KDDI総合研究所), 福島和英(KDDI総合研究所), 清本晋作(KDDI総合研究所), 戸川望(早稲田大学): 近年，IoTデバイスの普及に伴い，日常の様々なものに組み込みハードウェアが利用されている．組込み機器の需要増加により設計や製造の一部を第三者に外部委託するようになっている．これにより悪意ある第三者により回路中に悪意ある機能をもつ回路，すなわちハードウェアトロイが挿入される危険性が増大している．本稿では，ゲートレベルネットリストにおけるハードウェアトトロイが持つ特徴を機械学習で学習し，ハードウェアトロイが挿入された回路のゲートレベルネットリストをトロイネット(ハードウェアトロイを構成するネット)とノーマルネット(正常な回路を構成するネット)に分類する．Trust-HUBベンチマーク回路に加え，実環境を想定したハードウェアトロイ回路から抽出した特徴量に対し，オーバーサンプリングを適用した上でランダムフォレストおよびニューラルネットワークで学習した．計算機実験による識別評価の結果を示す．

[ 1C2-5:WEB概要版PDF ]

1C2-6

STM32 上の AES コプロセッサを用いた OCB の高性能ソフトウェア実装 Software Implementation of OCB Using AES Coprocessor on STM32 Microcontroller 〇金剛山(電気通信大学), 菅原健(電気通信大学): 本研究は暗号コプロセッサの特性を利用して，OCB の高性能実装を行う．OCB はブロック暗号ベースの認証暗号であり，各メッセージブロックが隣接ブロックとは独立に加工及び暗号化される．メッセージ間の依存関係がないため，AES コールを並列化することが可能である．著者らは，先行研究において，複数のマイクロコントローラを対象に，暗号コプロセッサの性能評価を行った．その結果，コプロセッサ呼び出しの初期コストが大きく，その性能を高めるには，大量のAES暗号化を一度に呼び出す必要があることがわかった．この暗号コプロセッサの特性から，AES コプロセッサを用いて OCB を実装した場合，AES 呼び出し 1 回あたりの処理ブロックを大きくするほど，OCB 全体の性能向上が期待される．本研究では AES コプロセッサを用いた OCB を実装し，サイクル数による性能評価を行う．STM32L562 を評価プラットフォームとし，並列度を変化させながら，それに応じた性能向上を検証する．また，最先端のソフトウェア実装技法である Fixslicing を用いた OCB 実装との性能比較を行う．

[ 1C2-6:WEB概要版PDF ]

1C3-1

消費電力波形の形状を考慮したIoTデバイス異常動作検知手法 N/A ◎久古幸汰(早稲田大学), 高崎和成(早稲田大学), 戸川望(早稲田大学): 近年，Internet of Things (IoT) デバイスの普及に伴い，ハードウェアデバイスのセキュリティ課題が増加している．ハードウェアデバイスの異常動作を検知する手法として，消費電力を解析し，動作の継続時間と消費電力量から異常動作を検知する手法が知られているが，時系列データの形状を考慮しておらず，継続時間と消費電力量が類似するが形状が異なる波形を区別できない．本稿では形状ベースの距離尺度を表すShape-based Distance (SBD) を取り入れ，時系列データの形状から異常動作を検知する手法を提案する．提案手法ではLocal Outlier Factor (LOF)におけるデータ間の距離にSBDを用いて，異常動作を検知する．実験の結果，継続時間と消費電力量が類似するが消費電力波形が異なる異常動作の検知に成功した．

[ 1C3-1:WEB概要版PDF ]

1C3-2

GRUおよびLSTMを利用した定常状態電力波形推定手法の評価 N/A ◎高崎和成(早稲田大学), 木田良一(株式会社ラック), 金子博一(株式会社ラック), 戸川望(早稲田大学): 集積回路~(IC)の複雑化・高機能化に伴いハードウェアの設計・製造の外部委託が増加し，ハードウェアデバイスのセキュリティ課題に顕在化している．ハードウェアデバイスの異常動作を検知する手法の一つに電力解析があり，消費電力波形から特徴を抽出し異常な動作を検知する．特にOS上でアプリケーションが実行されるIoT~(Internet of things)デバイスでは，OSによる定常的な電力消費とアプリケーションによる電力消費が重なり，複雑な消費電力波形になるため，これまでの電力解析手法をそのまま適用するだけでは異常動作の検出が困難である．そこでOS等による定常的な電力波形を，再帰型ニューラルネットワーク~(RNN)の一つであるLSTM~(long short-term memory)を利用して推定する手法が提案されている．本稿ではRNNの一つであるGRU~(gated recurrent unit)をLSTMの代わりに用い，LSTMによる定常状態推定手法と比較し評価する．評価の結果，本手法においてGRUとLSTMに一意な差異は存在しなかった．

[ 1C3-2:WEB概要版PDF ]

1C3-3

グラフ学習を用いたハードウェアトロイ識別における説明性の検討 N/A ◎山下一樹(早稲田大学), 長谷川健人(KDDI総合研究所), 披田野清良(KDDI総合研究所), 清本晋作(KDDI総合研究所), 戸川望(早稲田大学): ICの設計・製造工程において，ハードウェアトロイと呼ばれる情報漏洩や機能障害などの動作を発現する回路を，悪意ある第三者によって挿入される危険性が報告されている．この危険性は近年のIC製品の需要拡大に伴う外部委託の増加が原因であり，喫緊の課題である．ハードウェアトロイは通常のテスト工程では識別が困難なため，機械学習を用いた識別手法の研究が進んでいる．中でも，グラフ学習を用いたハードウェアトロイ識別手法が提案されている．グラフ学習はグラフ畳み込みによって，従来の機械学習手法では表現できない特徴量抽出を実現可能であり，ハードウェアトロイ識別においても有用である．一方で，機械学習モデルに対する説明性が提案されている．機械学習における説明性とは，モデルの推論根拠となった特徴量などの情報をモデルから抽出する技術のことを指し，セキュリティや医療など，推論根拠が重視される分野での活用が期待される．ハードウェアトロイ識別においても推論根拠は重要となるため，本稿ではグラフ学習における説明性を検討した．評価実験では，ハードウェアトロイ特有の特徴量がグラフ学習によって抽出されていることを確認した．

[ 1C3-3:WEB概要版PDF ]

1C3-4

勾配ブースティング決定木と識別結果伝搬法によるハードウェアトロイ識別 N/A ◎根岸良太郎(早稲田大学), 栗原樹(早稲田大学), 戸川望(早稲田大学): テクノロジー機器は人々の生活に深く浸透しており需要は年々拡大している．テクノロジー機器に欠かせないIC製造の外部委託によりハードウェアトロイの組み込みを招く危険性が指摘されている．本稿ではゲートレベルネットリストの特徴を利用した機械学習によるハードウェアトロイ識別手法における最適な特徴量セットを提案する．機械学習手法として勾配ブースティング決定木であるXGBoost，LightGBM，CatBoostを利用する．さらに，機械学習により得られた結果を元に，ネットリストのグラフ情報を利用しハードウェアトロイの識別精度を向上させる．Trust-HUBで公開されているネットリストを対象とした評価実験を行い，平均F-measure 0.861を示した．

[ 1C3-4:WEB概要版PDF ]

1C4-1

RISC−VとSubRISC+におけるLED暗号のBitslice実装の評価 Implementation and Evaluation of Bit-sliced LED on RISC-V and SubRISC+ ◎渡辺陸(電気通信大学大学院), 楊明宇(東京工業大学大学院), 原祐子(東京工業大学), 﨑山一男(電気通信大学), 李陽(電気通信大学): 近年のIoTデバイス需要の高まりを受け、省電力下での暗号実装が求められている。IoTデバイスでの実装を考えた場合、回路面積が小さく消費電力が少ないものが望ましい。また、使用できる計算リソースやメモリ領域が少ないことを考慮する必要がある。以上のような条件を満たす環境としてRISC-VアーキテクチャやSubRISC+プロセッサーなどが挙げられる。また、2つのアーキテクチャはレジスタのビット数や設計思想などに類似性が見られるためRISC−VからSubRISC+への変換も考えられる。続いてIoTデバイス上で評価する暗号実装について考える。軽量な暗号方式の一つとしてLED暗号が挙げられる。LED暗号はAES暗号を基に、軽量化されたブロック暗号である。また、LED暗号には軽量化、並列化が見込めるBitslice実装が存在し、64bitCPUでの評価が先行研究として存在する。以上を踏まえ、回路面積の小さいRISC-VにおいてBitsliceを施したLED暗号と通常のLED暗号をエミュレータ上で実装し、その性能を評価した。また、RISC−V命令からSubRISC+命令の実行コードを変換することでSubRISC+にて同様に性能の評価を行った。本研究ではBitslice実装による高速化を定量的に評価するためスループット、レイテンシ、実行ステップ数を評価項目とした。

[ 1C4-1:WEB概要版PDF ]

1C4-2

ハードウェア実装AESに対するAggregated Mono-Bit modelモデルを利用した深層学習サイドチャネル攻撃 Deep Learning Side-Channel Attack using Aggregated Mono-Bitmodel against Hardware-Implemented AES ◎橋本尚志(立命館大学), 福田悠太(立命館大学), 吉田康太(立命館大学), 黒田訓宏(立命館大学), 藤野毅(立命館大学): ループ型アーキテクチャを用いたハードウェア実装AESに対するプロファイリング深層学習サイドチャネル攻撃(DL-SCA)を評価する．DL-SCAはAES回路の内部レジスタの状態遷移が消費電力に影響を与えることを利用し，電力波形から内部レジスタの遷移を深層ニューラルネットワーク(DNN)を用いて予測することで攻撃を行う．レジスタの遷移のXOR値(HD-ID)をDNNに予測させる際に，一部のHD-ID値が出現せず学習できない(ラベル欠損問題)ため0,4,8,12Byte目の部分鍵に対して攻撃できないと報告されている．本稿で評価するAggregated mono-bitモデルでは，プロファイリング時にHD-IDをバイナリ表現した8bitそれぞれに対してその値を予測するMono-bit DNNモデルを訓練する．攻撃時には，消費電力波形が与えられた時の全てのDNNモデルの出力確率からHD-IDの条件付き確率を計算し，ベイズ推定を行うことで秘密鍵を明らかにする．未対策AESに対して攻撃した結果，プロファイリング時に3種類の鍵を用いることでラベル欠損問題を解決して全鍵を明らかにすることができた．

[ 1C4-2:WEB概要版PDF ]

1C4-3

電磁波サイドチャネルとスクリーミングチャネルの同時収集攻撃の検証 Attack Verification Using Simultaneous Measurements From Electromagnetic Side-Channel and Screaming Channel ◎松川侑生(電気通信大学), 杉本悠馬(電気通信大学), 菅原健(電気通信大学), 﨑山一男(電気通信大学), 李陽(電気通信大学): 電磁波チャネルは至近距離での収集を前提としたサイドチャネルである．一方で，Camuratiらが提案したスクリーミングチャネルは，Bluetooth機能付きのSoCから遠距離でも観測可能なサイドチャネル情報である．両者の原因はどちらも漏洩電磁波にある．BLE Nano V2に実装したtinyAESの場合，電磁波チャネルはハミング重みを利用した単純な漏洩モデルに従うが，スクリーミングチャネルは，漏洩モデルが異なり，適用することができない．我々の目標は，両者の漏洩モデルの違いを明らかにし，同時収集により鍵復元効率を改善することである．本発表では，Camuratiらと同様のターゲットに対する波形の同時収集環境を構築し，2つのサイドチャネルを独立に収集した波形と同時に収集した波形の歪みを検証した．また，スクリーミングチャネル波形のSbox入力のMSB4bitに注目した簡易的なスクリーミングチャネルの漏洩モデルと相関同時攻撃を提案し，擬似波形と実際にBLE Nano V2から収集した波形でそれぞれ検証した．同時収集でも鍵復元が困難になるような歪みは生じず，相関同時攻撃により擬似波形と実際に収集した波形，共にターゲットへのアクセス回数を削減できた．

[ 1C4-3:WEB概要版PDF ]

1C4-4

ECDSAハードウェア実装におけるテンプレート攻撃と格子攻撃による秘密鍵復元の検討 Template Attacks on ECDSA Hardware and Key Recovery via Lattice Attacks ◎阿部浩太郎(東京大学), 池田誠(東京大学): ECDSAではナンス(署名ごとに異なる乱数)の値が数ビットでも判明すれば格子攻撃により秘密鍵が復元されることが知られており，安全でない実装の場合にはサイドチャネル攻撃によりナンスの一部を復元可能であることが報告されている．本研究ではASICに実装されたECDSA署名生成におけるモンゴメリラダーによるスカラ倍算を対象として攻撃を実行することにより，実装の安全性を評価した．まず，強力なサイドチャネル攻撃の一つであるテンプレート攻撃によりナンスの一部ビットを推測した．用いたテンプレート(プロファイリング)波形数は8000，攻撃回数は1000であったが，攻撃結果には誤りが含まれており精度が高いと期待される結果のみを選別する必要があった．続いて選別された結果を利用して格子攻撃を実行し，ECDSA秘密鍵を復元することに成功した．

[ 1C4-4:WEB概要版PDF ]

2C1-1

FIDO認証を用いたECサイトのセキュリティ強化手法 The method for enhancing the security of E-Commerce sites using FIDO authentication ◎内藤猛(東洋大学), 岡田怜士(東洋大学), 松本悦宜(Capy株式会社), 満永拓邦(東洋大学): コロナ禍の影響を受け、オンラインショッピングの売上は増加しており、ECサイトの数も増加傾向にある。ECサイトへのログイン認証方法は、一般的にはIDとパスワードを使う認証が用いられている。ただし、容易に推測可能なパスワードの設定や、パスワードの使い回しをしている利用者がいるため、セキュリティ運用上の問題となっている。そうした問題を解消するためのパスワードが不要な認証方式として近年、FIDO認証が注目を浴びている。しかしながら、一般のECサイトにおいてFIDO認証を実装することは容易ではなく、改修に費用もかかるためFIDO認証は広く普及していない。本研究では、国内で広く使われているECサイトパッケージにFIDO認証を手軽に組み入れる機能の実装を検討した。またFIDO認証とパスワード認証のログイン性能評価を行った。

[ 2C1-1:WEB概要版PDF ]

2C1-2

脆弱性のテスト環境を併用利用した攻撃検知・防御支援システム Web Attack Detection and Prevention System in Conjunction with Vulnerable Testing Environment ◎張邯尹(東京情報大学大学院総合情報学研究科), 中川佑人(東京情報大学大学院総合情報学部), 花田真樹(東京情報大学大学院総合情報学部), 村上洋一(東京情報大学大学院総合情報学部), 早稲田篤志(東京情報大学大学院総合情報学部), 三村隆夫(株式会社セキュアブレイン), 石田裕貴(株式会社セキュアブレイン), 布広永示(東京情報大学大学院総合情報学部): スマートフォンやタブレット端末などの普及に伴い，ECやSNSなどの様々な分野で多くのWebサービスが利用されている．Webサービスの利用者が増える一方で，Webサイトの脆弱性を狙った攻撃も増え続けており，その対策が急務となっている．Webサイトの脆弱性を狙った攻撃の対策として，WAF（Web Application Firewall）が開発され，運用されている．しかしながら，WAFによる誤検知が発生した場合，サービスに大きな影響を及ぼす可能性があるため，攻撃防止のための対応と攻撃によるサービスへの影響の把握が必要となる．そこで本研究では，本番のWebサイトとは別に設置した脆弱性を含むテスト環境において攻撃を検知した場合，予想されるサービスへの影響をWebサイト管理者に通知するとともに，WAFの検知ルールを更新することにより攻撃を防止するシステムを提案する．本研究では，併用して設置した脆弱性を含むテスト環境を用いることにより，本番のWebサイトにもどのような影響が考えられるかを予想することが可能となる．加えて，その予想されるサービスへの影響とそれに関連付けられるWAFの検知ルールを用いて，（Webサイト管理者の判断を基に）WAFを更新することにより攻撃を防止する可能となる．

[ 2C1-2:WEB概要版PDF ]

2C1-3

ゼロトラストアーキテクチャにおけるブラウザフィンガープリントを利用したアクセス制御 Access Control Using Browser Fingerprints in Zero Trust Architecture 〇高木祥一(情報セキュリティ大学院大学), 大久保隆夫(情報セキュリティ大学院大学): 近年クラウドサービスの急増やモバイルの活用，テレワークの増加等に伴い，ゼロトラストモデルに注目が集まっている．ゼロトラストアーキテクチャを公的に定義したものとしてNIST SP 800-207が出版されたが，実装方法においては具体性が乏しいという問題がある．「企業リソースへのアクセスは，セッション単位で付与する」はゼロトラストの考え方のうちの一つである．セッションの都度認証を実施することが最も簡単な実現方式だが，ユーザビリティが損なわれると考えられる．そこで，ブラウザ特徴量を取得するブラウザフィンガープリントに着目した．これはブラウザ識別に関する研究に利用されており，ブラウザフィンガープリントが継続して同じであることはユーザが継続して同じ環境を利用し続けている確度が高いと言える．本稿では，ブラウザフィンガープリントを利用してアクセス制御を行う手法を提案する．具体的には継続的にブラウザフィンガープリントを検証する機能を設け，検証済みリクエストのみをWebリソースに届ける．提案手法を実装したWebサイトを構築し，評価した結果と考察を示す．

[ 2C1-3:WEB概要版PDF ]

2C1-4

Cookie Bomb攻撃を検知するブラウザ拡張機能 Browser extension to detect cookie bomb attack ◎岡澤佳寛(東京電機大学大学院), 齊藤泰一(東京電機大学): サーバソフトウェアには, 受け入れられるCookieヘッダのサイズに上限が設けられている. Egor Homakovは, その上限を利用したCookie Bomb Attackを提案した. Cookie Bomb Attackとは攻撃者が被害者のブラウザに巨大なサイズのCookieを設定して, ブラウザがウェブサイトへアクセスする度に巨大なサイズのCookieを送信させることで, ウェブサイトを利用できないようにすることである. 攻撃によって被害者のブラウザには4xxエラーや5xxエラーなどのエラーメッセージが表示される. 被害者にとって, エラーメッセージの内容から, ブラウザが攻撃を受けているのか, サーバ側のエラーなのか判断するのが難しい場合がある. そこで本研究では, 被害者側でCookie Bomb Attackを検知するブラウザ拡張機能を作成した.

[ 2C1-4:WEB概要版PDF ]

2C1-5

パッシブフィンガープリントによる多値分類モデルを用いたID推定の試み A Proposal for Identity Prediction Using Passive Fingerprints by Multi-class Classification Model ◎升田尚幸(明治大学), 神章洋(明治大学大学院), 渡名喜瑞稀(明治大学大学院), 藤井達也(明治大学大学院), 利光能直(明治大学大学院), 高山眞樹(明治大学大学院), 齋藤孝道(明治大学): 会員制Webサイトにおいて，不正行為を防止する目的で同一人物が何度も会員登録することを防止したいケースがある．その防止策として，ブラウザフィンガープリントを用いてID推定をする方法が存在する．ここで，ID推定とは，会員制Webサイトへのアクセス者に対し，どのIDと一致するのか，もしくはまだIDを所持していないのかを推定する手段である．先行研究で，パッシブフィンガープリントを用いてID推定の実験を行った．しかしその手法では処理時間が長くなるという問題があった．そこで，本論文では，多値分類モデルを用いたID推定方法を提案し，時間計測と，精度評価を行った．実験には，会員数10万を超える利用者による約60万件のアクセスから生成したパッシブフィンガープリントを用いた．結果として，本手法では，パッシブフィンガープリント一件当たりの推定時間を，先行研究の手法を用いた際の約1/72である約0.2秒まで短縮し，高精度での推定を可能とした．

[ 2C1-5:WEB概要版PDF ]

2C2-1

ハードウェア実装AESに対するMulti-bitラベルを用いたノンプロファイリング深層学習サイドチャネル攻撃 Non-Profiling Deep Learning Side-Channel Attacks using Multi-bit label against Hardware-Implemented AES ◎福田悠太(立命館大学), 吉田康太(立命館大学), 黒田訓宏(立命館大学), 藤野毅(立命館大学): 深層学習を用いたサイドチャネル攻撃はプロファイリング攻撃が主として報告されてきたが，2019年，Timonによりノンプロファイリング攻撃として差分深層学習解析(Differential Deep-Learning Analysis: DDLA)が提案された．この攻撃手法は，各鍵候補ごとに深層学習モデルを学習し，lossやaccuracyといった指標を比較することで秘密鍵を明らかにする．Timonは，暗号回路動作中の中間値の1bit(LSBまたはMSB)に着目し，ソフトウェア実装されたAESに対して攻撃を行った．一方で我々がハードウェア実装にこの手法を適用したところ，HDリークが観察しにくいレジスタが存在することから全ての部分鍵を明らかにすることができなかった．本稿では，この問題を解決するために，1 bitのみに着目せずにすべてのbitに着目するmulti-bit DDLA を提案する．実験では，ASIC実装されたRSM-AESに対してmulti-bit DDLAを評価した．すべての部分鍵を窃取できたことを報告する．

[ 2C2-1:WEB概要版PDF ]

2C2-2

M&Mにより対策されたAES暗号ハードウェアの乱数依存性について On the Dependency of Randomness in AES Hardware with M&M Countermeasure ◎塚原麻輝(電気通信大学), 平田遼(電気通信大学), 宮原大輝(電気通信大学), 李陽(電気通信大学), 崎山一男(電気通信大学): 消費電力や暗号化計算時間などを利用して鍵復元を行うサイドチャネル解析や，暗号システムに故障を発生させ誤りを含む暗号文を用いて鍵復元を行う故障利用解析が存在する.これらの物理攻撃の対策としてM&M(Masks and Macs)がCHES2019にてMayerらによって提案された.M&Mは，サイドチャネル解析対策のMaskingと故障利用解析対策のInfective countermeasureに情報理論的Macタグを利用した手法である.本研究の目的は，M&Mにおける乱数が暗号ハードウェアの安全性にどのくらい寄与するのかを検証することであり，サイドチャネル解析に対する対策手法の本質を理解することである.本稿では，M&Mにより対策されたAES暗号を実装した暗号ハードウェアに対して，乱数生成回路の動作周波数を調整しながら暗号化処理中の消費電力を測定し，安全性の検証を行う.

[ 2C2-2:WEB概要版PDF ]

2C2-3

バレルシフタと加算器によるビット非独立なサイドチャネルリークの発生機序とその対策 Causality and Countermeasures of Bit-Interaction Side-Channel Leakage from Barrel Shifter and Adder ◎浅野多聞(電気通信大学), 菅原健(電気通信大学): 本稿はPROOFS2021で発表済みの内容に基づく．マスキングは，サイドチャネル攻撃への対策として一般的であり，効率的な実装方法の研究が進んでいる．なかでもシェア・スライシングと呼ばれるマスキングの実装技法では，シェアの全要素を同一の汎用レジスタに詰めることで，CPUのビット演算の並列性を利用して効率的な処理を可能としている．しかし，Gaoらはシェア・スライシングの安全性の前提条件に反するビット非独立なリークが，ARMプロセッサの一部のシフト命令で発生することを実験により明らかにした．また筆者らはSCIS2021でオープンソースの RISC-V 実装を対象にした論理シミュレーションによって ALU 内の加算器とバレルシフタでビット非独立なリークが発生していることを示した．一方で，その具体的な発生機序は明らかになっておらず，課題となっていた．そこで本稿では，論理シミュレーションによって加算器とバレルシフタによるビット非独立なリークの発生機序を明らかにする．またALUにこれらを実装する際の対策法とバレルシフタによるビット非独立なリークのソフトウェアによる対策法を提案する．

[ 2C2-3:WEB概要版PDF ]

2C3-1

組込み型ハイパーバイザにおけるVirtIOを利用した不正ファイルアクセス監視方法 Malicious File Access Monitoring using VirtIO in Embedded Hypervisor ◎大野仁(パナソニック株式会社), 今本吉治(パナソニック株式会社), 安齋潤(パナソニック株式会社): 近年の自動車業界において，制御用ECUの増加や自動運転技術の発展に伴う制御系機能の一元化に伴い，複数のECUが持つ機能を1つのECU上で動作させる統合ECUという概念が重要になっている．統合ECUでは一つのECU上に複数のECU機能を仮想化技術用で実現することが一般的であり，仮想環境の実現のための基盤としてハイパーバイザや準仮想IOドライバとしてVirtIOが用いられる．ハイパーバイザ上で動作するゲストOSのセキュリティに関する研究はこれまでも多く行われており，ゲストOSのデバイス操作リクエストをハイパーバイザでフックをして，そのコマンドの内容を解析し不正な動作かどうかの監視を行うもの等があるが，課題として対象ハイパーバイザに特化した改変が必要な点が挙げられる．本稿では，組込み型ハイパーバイザにおいてゲストOSのリクエストをまとめるホストOSで，準仮想IOドライバであるVirtIO経由で取得できるデバイス操作リクエストログを解析することで，ハイパーバイザに変更を加えることなく不正なファイルIO操作を監視できる手法について提案を行う．

[ 2C3-1:WEB概要版PDF ]

2C3-2

時系列データベースを用いたCANの侵入検知システムの提案 The Intrusion Detection System for CAN with time-series database 〇倉地亮(名古屋大学), 高田広章(名古屋大学), 足立直樹(株式会社オートネットワーク技術研究所), 上田浩史(株式会社オートネットワーク技術研究所), 宮下之宏(株式会社オートネットワーク技術研究所): 近年，自動車のサイバーセキュリティ強化が必須となっており，自動車の電子制御システムを監視するために，侵入検知システムの適用が進められている．しかしながら，侵入検知システムの研究の多くは，攻撃メッセージの検知するためのアルゴリズムが提案されているものの，時系列データを取り扱わないことが課題である．このため，本論文では，時系列データベースを用いた柔軟性の高い，CAN向け侵入検知システムを提案する．

[ 2C3-2:WEB概要版PDF ]

2C3-3

ISO/SAE 21434プロセスを踏まえた車載IDSの要件分析 Requirements Analysis of Automotive IDS based on ISO/SAE 21434 〇倉地亮(名古屋大学), 佐々木崇光(パナソニック株式会社), 氏家良浩(パナソニック株式会社), 松島秀樹(パナソニック株式会社): この10 年の間に実際に販売される自動車のセキュリティ上の脆弱性を突く攻撃事例が多数報告されており，今後も益々増加することが予想される．その一方で，自動車の侵入検知システムの機能要求が明確ではないことが課題である．このため，本論文では，AUTOSAR のIDS-M やExtended Vehicleなどの業界標準から仮想車両アーキテクチャを想定し，そのシステムの特徴から自動車内に配置される侵入検知システムの機能要件を分析し導出する．そして，導出された機能要求がデジタルフォレンジックやISO/SAE 21434 で示される要件を充足するか検証した．

[ 2C3-3:WEB概要版PDF ]

2C4-1

深層強化学習によるWebアプリケーションのペネトレーションテストの自動化に向けて Towards Automation of Penetration Testing for Web Applications by Deep Reinforcement Learning 〇久野朔(東京大学生産技術研究所), 松浦幹太(東京大学生産技術研究所): 近年、ますます激しさを増すサイバー攻撃による情報の流出やシステムの改ざんなどの危険性に対し、実際に攻撃を行い脆弱性を発見するペネトレーションテストは非常に有効である。しかし、これには十分に訓練された人員が必要であるため、大きなコストが要求される。この問題を解消するために強化学習・深層学習・深層強化学習などを用いた研究が存在している。本稿では、webアプリケーションを対象としたペネトレーションテストの効率化のために深層強化学習によって既存のツールおよびexploitを統合することを目標とする。最初に、著名なwebアプリケーションのバージョンと公開されているexploitを元に作成した模擬環境で、各バージョンに適応するexploitを見つけ出すタスクに深層強化学習を適用し、正しく学習を行ったエージェントがexploitを見つけ出せることを示す。次いで、認証状態とアプリケーションの相互関係による状態遷移の概念を導入した模擬環境を作成し、これに対して深層強化学習を行うことにより、より複雑なペネトレーションテスト分野における深層強化学習の有効性について検討する。

[ 2C4-1:WEB概要版PDF ]

2C4-2

フィッシングを識別するための機械学習におけるデータセットの影響 Effects of datasets on machine learning to identify Phishing 〇中本雄一(長崎県立大学), 加藤雅彦(長崎県立大学): フィッシングはインターネットにおける重大な脅威の一つであることから，機械学習を用いてフィッシングをリアルタイムに検出するフィッシング識別器を作成し，フィッシングによる被害を未然に防止するための研究が行われている．機械学習を利用したフィッシング対策は，リアルタイムにフィッシングサイトを検出することができる一方で，誤検出を減らして，フィッシング識別器の精度を向上させることが機械学習を用いたフィッシング対策の課題の一つである．本論文では，フィッシング識別器の精度を向上させる手法として，データセットに着目する．先行研究において機械学習に用いるデータセットを作成する際にデータソースとして利用されているサイトには多くの報告者が参加しており，明らかにフィッシングサイトではないと思われるサイトも報告されている．機械学習によるフィッシングの識別において，データセットにフィッシングではないサイトがフィッシングとして含まれていた場合に検出精度にどのような影響を与えるか評価検証を行い，検証の結果，データセットを見直すことによりさらに検出精度を向上させることが出来ることを確認した．

[ 2C4-2:WEB概要版PDF ]

2C4-3

リクエストパラメータ変換によるWebアプリケーション脆弱性診断ツールの精度向上に関する研究 Improving Web Application Vulnerability Testing Tool by Request Parameter Conversion ◎木村正太朗(情報セキュリティ大学院大学), 大久保隆夫(情報セキュリティ大学院大学): Web アプリケーション脆弱性診断では，自動化のためにツールを用いることが一般的であるが，偽陰性の発生によって十分に脆弱性を報告できていない場合がある．ツールの偽陰性発生原因を明らかにするため，実際の診断データの調査，及びそれを基に実験を実施した結果，一般的でない入力パラメータに対して診断ができないツールが存在しており，偽陰性発生原因の 1 つとなっていることが明らかとなった．本稿では，こうした一般的でないパラメータに対する診断手法として，プロキシによりリクエストパラメータを変換することで診断を可能にするツールを提案する．

[ 2C4-3:WEB概要版PDF ]

2C4-4

Google検索結果から当選詐欺サイトへのリダイレクトチェーンの収集自動化 Automated Log Collection of Redirect Chains from Google Search to Prize Draw Scam ◎白井優武(東京電機大学大学院), 三谷和也(東京電機大学大学院), 齊藤泰一(東京電機大学): 現在，インターネットにおいてスマートフォン等が当選したとユーザを騙し個人情報を入力させる当選詐欺が増加している．このような当選詐欺はメールやSMSから誘導されるケースのほか，Google検索から誘導されるケースもある．その場合，ユーザが検索結果からリンク先のページ（入口ページ）にアクセスすると，複数の中間ページを経由して最終的に詐欺ページに遷移させられる．SCIS2021で我々はこのような当選詐欺の実態を明らかにするためにリダイレクトチェーンのログを収集し，調査を行い，結果を報告した．しかし収集を手動で行ったため，99件の小規模な調査しか行えなかった．そこで本研究ではリダイレクトチェーンのログの収集を自動化し，1000件以上の大規模な調査を行うとともに，収集したリダイレクトチェーンに含まれるドメインをGoogle及びJPCERT/CCへ報告することを目的とする．本稿では開発した自動収集ツールとそのツールを使って収集を行った結果を報告する．

[ 2C4-4:WEB概要版PDF ]

2C5-1

車載Ethernet環境におけるフロープローブの性能評価 Performance Evaluation of Flow Probe in Automotive Ethernet ◎加賀有貴(パナソニック株式会社), 岸川剛(パナソニック株式会社), 安達貴洋(パナソニック株式会社), 平野亮(パナソニック株式会社), 氏家良浩(パナソニック株式会社), 芳賀智之(パナソニック株式会社), 松島秀樹(パナソニック株式会社): 次世代車載ネットワーク技術としてEthernetの導入が進みつつある。実際の車載Ethernetに対する攻撃事例も少ないながらも報告されており、車載Ethernetのセキュリティが重要となる。本稿では車載Ethernetの侵入検知技術に着目する。車載Ethernetを監視するためには、大容量かつ高速な通信に対応する必要がある。そこで我々は軽量な侵入検知技術であるフローベースの侵入検知技術を車載Ethernetに適用することを検討している。フローとはあらかじめ定義された属性の組により通信パケットを分類し、分類したパケットごとに所定期間の統計情報を収集したものである。フローベースの侵入検知は、フロー情報を収集するモジュール（フロープローブ）と、フロー情報に基づき異常を検知する異常検知モジュールからなる。本稿では車載Ethernet Switch上でフロー情報を収集する想定で、フロープローブの処理性能を評価する。具体的には、パケット分類から統計情報の更新にかかる処理時間やスループット、フロー情報を車載ネットワーク上で転送する際のデータ量の評価などを行う。これにより車載Ethernetのフロー情報を少ないオーバーヘッドで収集・監視できることを示す。

[ 2C5-1:WEB概要版PDF ]

2C5-2

車載イーサネット向けイベント送信付き周期型通信における侵入検知手法の検討 A Study on Anomaly Detection of Periodic Transmissions mixed Sporadic Messages for Automotive Ethernet ◎増川京佑(住友電気工業株式会社), 塚本博之(住友電気工業株式会社), 福田國統(住友電気工業株式会社), 三好孝典(住友電気工業株式会社), 濱田芳博(住友電気工業株式会社), 上口翔悟(株式会社オートネットワーク技術研究所), 足立直樹(株式会社オートネットワーク技術研究所), 上田浩史(株式会社オートネットワーク技術研究所): 近年の自動車では、コネクテッド・自動運転の実現に向けて、大容量通信を可能とする車載イーサネットの導入が進んでおり、長期寿命製品のセキュア化には、未知のサイバー攻撃を検知可能なアノマリ型検知技術が求められる。その一種である周期監視は、通信メッセージの受信間隔のみ用いて検知を行うため、メッセージ内のデータを使用する他アノマリ手法に比べ、スループットの低下を抑制する利点がある。通信パターンの１つであるイベント＋周期通信は、周期的に発生するメッセージとイベント的に発生するメッセージが混在する。これを2つのメッセージ間の受信間隔のみで監視を行うと、イベントメッセージの発生による不定期な間隔が存在するため、異常判定の閾値を適切に設定することができない。本稿は、変化点検知の一種である累積和手法を基に、イベント＋周期通信に対する周期監視手法を提案する。本手法では、イベントメッセージと周期メッセージのそれぞれに対し、異なる統計距離による異常度を算出することで、イベント＋周期通信の攻撃検知を実現する。

[ 2C5-2:WEB概要版PDF ]

2C5-3

サイバーキルチェーンに基づく車両における攻撃行動把握手法の検討 A Study on Attacker Behavior Detection in Vehicles using Cyber Kill Chain 福田國統(住友電気工業株式会社), 〇三好孝典(住友電気工業株式会社), 濱田芳博(住友電気工業株式会社), 礒山芳一(住友電気工業株式会社), 上田浩史(株式会社オートネットワーク技術研究所): 現在の車両では各種機能に電子制御が使用されており，サイバー攻撃の危険性がある．これに対抗する車両のサイバーセキュリティは必須の機能と言える．実際，自動車基準調和世界フォーラム(WP.29)が発行した法規基準(UNR155)において，サイバー攻撃への対応が型式認証の必要項目と定められている．車両では，その長い製品寿命から，未知の脅威による被害の拡大を抑える多層防御が有効である．この実現には，攻撃開始から達成までの一連の行動，サイバーキルチェーンの把握が必要である．しかし，近年の車両は，従来の車両内に閉じていた制御用の車載ネットワークが，サービス向上のため，車外のIT通信網へ接続されている．そのため，従来のIT向けに作成されたサイバーキルチェーンでは，車載システムでの攻撃者の行動を理解することが困難である．本稿では，攻撃者の行動を把握し，その一連の行動を分断するための緩和策の実施を目的とし，脅威情報から，攻撃者の攻撃行動を把握するフローを提案した．また，アタックサーフェイスが異なる10種の車両攻撃事例を分析し，サイバーキルチェーンの整理を行うとともに，攻撃行動を把握するために必要となる検知機能について検討した．

[ 2C5-3:WEB概要版PDF ]

2C5-4

Reputation Framework for VANETs from Blockchain Structure Reputation Framework for VANETs from Blockchain Structure 〇Maharage Nisansala Sevwandi Perera(Advanced Telecommunications Research Institute International), Toru Nakamura(KDDI Research), Masayuki Hashimoto(Advanced Telecommunications Research Institute International), Hiroyuki Yokoyama(Advanced Telecommunications Research Institute International), Chen-Mou Cheng(Kanazawa University), Kouichi Sakurai(Kyushu University): This paper presents a reputation framework for Vehicular Ad-hoc NETworks (VANETs). VANETs enable vehicles to share sensitive data, including position, speed, and steep-curves warnings, in real-time, with other vehicles to avoid potential dangers and deliver a comfortable drive. VANETs need to establish a secured environment for the users to communicate trusted information between trusted network entities to achieve these goals. Thus trust management in VANETs is a prominent research topic. VANETs with a reputation framework is one of the solutions to resolve the trustworthiness problem. However, existing reputation frameworks still barricade users trusting them due to the centralization. We answer this single point of failure problem by adapting the blockchain structure. Decentralization, distributed ledger system, and smart contract mechanism of blockchain improve the trust level of VANETs. We propose a reputation framework without a man in the middle by employing blockchain technology. We enable vehicles to accept messages based on the messages' and senders' reputation levels. On the other hand, VANETs' nodes can assign reputation value to the received messages and the senders. The blockchain architecture ensures the visibility of reputation updates and their immutability.

[ 2C5-4:WEB概要版PDF ]

3C1-1

家庭を模したIoT家電ハニーポットを用いた攻撃者の行動の観測および検証 Analyzing attacker's behavior using IoT home appliances honeypot ◎大塚瑠莉(三菱電機), 吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院), 岡田晃市郎(株式会社レインフォレスト): 社会全体におけるIoT機器の増加により、一般家庭においてもIoT家電の普及が広がっている。それに伴い、IoT家電を狙った攻撃も増加し、IoT家電が攻撃者に乗っ取られた場合、勝手に操作をされる危険性が生じている。しかし、どのような意図で何をされるかは不明な部分も多い。そこで、IoT家電が家庭の無線ルータを経由してネットワークにアクセスしていることに着目し、攻撃者が無線ルータを乗っ取った場合、家庭のローカルネットワーク内のIoT家電にどのような攻撃をするのかを調査する。方法は、家庭を模したハニーポットを構築し、運用観測することで得られた攻撃パケットを分析することとした。本稿では、攻撃者の攻撃順序が、①無線ルータを乗っ取る、②ローカルネットワークに対し探索行為を行う、③応答が返ってきたものに対して攻撃をする、という3段階で行われると仮説を立て、検証を行った。

[ 3C1-1:WEB概要版PDF ]

3C1-2

IoTマルウェア配布サーバの継続的監視による検体遷移の調査 Investigation of Malware Transitions through Continuous Monitoring of IoT Malware Download Servers ◎徐競博(立命館大学), 鄭俊俊(立命館大学), 毛利公一(立命館大学): IoT機器の普及とともに，Miraiに代表されるIoT機器を侵入対象としたマルウェアが増加傾向にあり，それに伴う被害の影響拡大が懸念されている.実際に，MiraiやBashliteなどのソースコードの公開されており，そのため亜種が次々と生まれている．今後も，攻撃者の目的の変化に伴い，マルウェアの侵入方法や攻撃方法の傾向も変化していくと考えられる．本論文では，IoTマルウェア配布サーバごとの検体の遷移を調査する目的で，2021年8月24日～11月30日の期間に，IoT機器を狙ったサイバー攻撃を観測するためのハニーポットを用いて，IoTマルウェア配布サーバを継続的に監視した．その結果，1405件のIoTマルウェア検体を収集することができた．また，同一の配布サーバでも検体が続々と更新されていることが明らかになった．本稿では，さらに検体に含まれる特徴的な文字列に着目し，攻撃に利用される認証情報や脆弱性と，攻撃用コマンドなどの変化に基づいても調査を行った．

[ 3C1-2:WEB概要版PDF ]

3C1-3

SDNを利用したセキュアなホームネットワーク Secure Home Network with SDN ◎松永和也(法政大学), 金井敦(法政大学), 谷本茂明(千葉工業大学), 佐藤周行(東京大学): 一般家庭のおいて、ネットワークに繋がる機器が多様化する中で、サイバー犯罪者の矛先は変化しつつある．特にIoT機器は、セキュリティ対策が十分に行われていない上に脆弱性を多く抱えていることから、マルウェアをはじめとした攻撃の対象になりやすい．こうした攻撃から端末に侵入されてしまうとホームネットワーク内での端末間の自由なアクセスが可能となり、マルウェアの拡散を見逃してしまうことになる．しかし、従来のファイアウォールやアンチウイルスソフトで防御を行うのは攻撃の複雑化から困難となっている．よって本研究では、ホームネットワーク内のネットワークに繋がる機器と利用者のポリシーに応じたネットワークセグメントの分割を行うことで、攻撃に対して被害を最小化するシステム方式の提案を行った．またSDNというネットワークをプログラムにより一元管理する概念を用いることで、柔軟性のあるネットワーク構成とした．検証結果から、ホームネットワーク内のネットワークに繋がる機器の分割および通信制御をする事が可能であることを示した．今後の課題としてホームネットワーク外への通信と悪性端末の隔離については引き続き実装を進めていく必要がある．As the number of devices connected to the network in the average household becomes more diverse, cybercriminals are changing their focus. In particular, IoT devices are vulnerable to malware and other attacks because they lack adequate security measures and have many vulnerabilities. If a device is infiltrated by such an attack, it will be able to freely access other devices in the home network, and the spread of malware will be missed. However, it is difficult for conventional firewalls and anti-virus software to protect against such attacks due to the complexity of the attacks. Therefore, in this research, we proposed a system method to minimize the damage caused by attacks by dividing the network segment according to the policy of the devices and users connected to the network in the home network. In addition, by using the concept of SDN, which is the centralized management of the network by a program, we have created a flexible network configuration. From the verification results, we were able to show that it is possible to divide the devices connected to the network within the home network and control their communication, but we still need to implement the system to isolate malicious terminals and communication outside the home network.

[ 3C1-3:WEB概要版PDF ]

3C1-4

SVMによる工場ネットワークにおける偽装通信の検知手法のリアルタイム性の検証 Evaluation of the Real-time Performance of Detection of Fake Communication over Factory Networks using SVM ◎原田雄基(東京工科大学大学院コンピュータサイエンス専攻), 布田裕一(東京工科大学コンピュータサイエンス学部), 岡崎裕之(信州大学学術研究院(工学系)): 工場などの制御システムは,従来インターネットには接続されていないクローズドな環境であったため,セキュリティ上の脅威に対してあまり考慮されていなかった．しかし，近年では汎用製品，TCP/IP通信プロトコルなどが導入されてきている．そのため，それらの技術に対する攻撃が制御システムにおいても発生するリスクが高まっている．また，工場ではその機能に影響を与えないセキュリティ対策が求められており，攻撃検知技術が重要である．工場ネットワークに対する攻撃は，制御システム特有の攻撃としてOTネットワークにおける偽装命令による攻撃やITネットワークでも起こる攻撃としてマルウェアに感染することでbotを発生させる攻撃などがある．我々は2021年7月のISEC研究会で，制御系通信で行われる偽装命令による攻撃を想定し，IPアドレスなどのヘッダー情報によるフィルタとペイロード情報を用いたOne Class SVMの検知手法の提案を行った．本稿では，提案手法において受信パケットの判定にかかる時間を測定しリアルタイム性の検証を行う．

[ 3C1-4:WEB概要版PDF ]

3C2-1

敵対的サンプル攻撃を適用した回路設計情報におけるニューラルネットワークを用いたハードウェアトロイ識別に関する特徴量の検討 Effective Feature Extraction Against Adversarial Example Attacks in Hardware-Trojan Detection at Gate-Level Netlists ◎加藤友浩(早稲田大学基幹理工学部情報通信学科), 山下一樹(早稲田大学大学院基幹理工学研究科), 長谷川健人(株式会社KDDI総合研究所), 披田野清良(株式会社KDDI総合研究所), 清本晋作(株式会社KDDI総合研究所), 戸川望(早稲田大学大学院基幹理工学研究科): 近年，ICの設計・製造の外部への委託の増加に伴い，悪意のある機能を持った回路であるハードウェアトロイが挿入される可能性が指摘されている．この脅威への対策手法として，回路設計情報から特徴量を抽出し，ニューラルネットワークを用いてハードウェアトロイを識別する手法が提案されている．この手法では，ハードウェアトロイの特徴となりうる51個の特徴量のうち，特に有効な11個の特徴量を用いて識別をしている．一方，回路設計情報に論理的に等価な改変を加え，ハードウェアトロイ識別の精度低下を促す敵対的サンプル攻撃が登場している．本稿では，上記51個の特徴量に加え，ならびにハードウェアトロイのトリガ回路の特徴となる25個の特徴量を合わせた76個の特徴量の内，回路設計情報への敵対的サンプル攻撃に対して堅牢性が高い特徴量を検討する．検討した特徴量を用いた識別器を，従来の51個，11個，36個（上記11個と25個の特徴量を合わせた特徴量），76個の特徴量を用いた識別器それぞれと比較した結果，敵対的サンプル攻撃を適用した回路における識別精度に対して，堅牢性の高いことを確認した．

[ 3C2-1:WEB概要版PDF ]

3C2-2

高速RNSモンゴメリ乗算器の小面積化のためのパラメータ選択法 Parameter Selection Method for Small Area of Fast RNS Montgomery Multiplier ◎芳賀陸雄(奈良先端科学技術大学院大学), 森本康太(奈良先端科学技術大学院大学), 藤本大介(奈良先端科学技術大学院大学), 川村信一(産学技術総合研究所), 林優一(奈良先端科学技術大学院大学): 近年のIoT(Internet of Things)機器の急激な増加に伴い、IoT機器上で公開鍵暗号を扱う需要が高まっている。IoT機器で公開鍵暗号を扱うためには小規模な回路で高速に剰余乗算を行う必要がある。RNS(Residue Number System)表現を用いたモンゴメリ乗算器は回路規模を抑えることができ、さらにその上で高速化を実現するRNSのパラメータの選択方法も提案されている。しかし、これらの回路規模の評価は、FPGA(Field Programmable Gate Array)に実装した際のDSP(Digital Signal Processor)数やSlice数で行われており、全体の回路規模を単純に比較することが困難であり、回路規模を考慮した実装パラメータを選択することが困難であった。そこで、本研究では、RNSモンゴメリ乗算器を構成する大きな要素が乗算器と加算器が支配的であると考え、それらの回路規模を全加算器で換算し、実装パラメータ毎の回路規模を比較する手法を提案する。この手法を用いて、過去の検討でなされた高速な実装パラメータに加えて回路規模を評価し、高速かつ小規模な実装パラメータの選択例を示す。

[ 3C2-2:WEB概要版PDF ]

3C2-3

物理的サイバー攻撃検知手法の一検討　－ハードウェアトロイの検知－ A Study on Detection Method for Physical Cyber Attacks -Hardware Trojan Detection- ◎西田奏太(住友電気工業株式会社), 清水晶太(住友電気工業株式会社), 櫻澤聡(住友電気工業株式会社), 伊澤真人(住友電気工業株式会社), 加藤勇夫(住友電気工業株式会社): 昨今，情報漏洩などの意図しない動作を引き起こすハードウェアトロイの脅威が報告されている．その対象はICチップに限らず，伝送線路に対するハードウェアトロイ挿入の可能性も指摘されており，その検知が重要になっている．そこで本研究では，ハードウェアトロイ挿入に伴い伝送線路の物理的特性が変化することを利用した検知手法を提案する．具体的には，伝送線路にテスト信号として正弦波を印加し，その反射信号との位相差から挿入とその位置を検知する．評価実験では，インピーダンス整合された伝送線路での定常時観測信号を基準として，終端を開放した同軸ケーブルを接続した際の反射信号との位相差から，同軸ケーブルの長さを算出することで，提案手法の実現可能性の確認をしている．加えて，伝送線路へのハードウェアトロイ挿入として，オシロスコープのプローブを接続した際の位相差の変化を観測し，ハードウェアトロイの挿入を検知できる見込みを示している．

[ 3C2-3:WEB概要版PDF ]

3C2-4

ナノ人工物メトリックシステムの実験的精度評価 Experimental Accuracy Evaluation of Nano-Artifact Metric Systems ◎高濱皐史郎(横浜国立大学), 吉田直樹(横浜国立大学), 松本勉(横浜国立大学): 人工物の個体に固有の物理的特徴を活用するナノ人工物メトリクスは，物理的特徴の測定がその形成に比べて高精度で行えることを利用して，耐クローン性（コピー困難性）をもたらすことを狙った技術である．耐クローン性は情報・物理セキュリティ分野において重要な性質であり，ナノ人工物メトリクスは数多の応用がある．測定センサに白色干渉計を利用するナノ人工物メトリックシステムでは，従来のセンサに比べて測定コストが大幅に改善され，取得できる干渉画像は相関係数により識別できる可能性が推測的に示されてきた．しかし，実用化に向けて実験的に高精度であることを示す必要がある．そこで本稿では，電子線リソグラフィにおける電子線レジスト・ピラーの倒壊現象を利用したナノメートルオーダーのランダムな凹凸構造を認証するシステムのEER（Equal Error Rate）が，10^-8よりはるかに小さいことを実データで示す．

[ 3C2-4:WEB概要版PDF ]

3C3-1

レーザーを用いた MEMS 圧力センサへのシグナルインジェクション攻撃 A Preliminary Experiment on Laser-Based Signal Injection Attack on MEMS Pressure Sensors ◎田中樹(電気通信大学), 菅原健(電気通信大学): 電子機器の多くは外界の情報を機器内部で利用するためにセンサを搭載している．それに対し，センサに対してアナログ領域で誤情報を挿入する攻撃の脅威が注目されている．我々はこれまでに，MEMS　圧力センサの開口部に対して緑色レーザーを照射することで，圧力センサの出力に影響を与えることを示した．本稿ではその続きとして，評価対象のセンサを増やすとともに，圧力センサのパッケージ部分を開封し，センサ内部に直接レーザーの照射を行った．圧力センサ内部には，センシング部と電子回路部がある．このうちセンシング部のピエゾ抵抗に対して，緑色レーザーを照射する実験と，シリコンを透過し光電効果が生じない赤外光レーザーを照射する実験をそれぞれ行い，センサ出力変化の位置依存性と原因について検討した．

[ 3C3-1:WEB概要版PDF ]

3C3-2

高速フーリエ変換と機械学習を用いたIoT機器の異常検知 Anomaly detection of IoT devices using fast Fourier transform and machine learning 〇木田良一(株式会社ラック), 金子博一(株式会社ラック): IoT機器の異常検知において機械学習を用いセンサデータ情報や機器そのものの動作から予兆を検知し IoT機器の異常と判断する事がある．機械学習を用いる時に IoT 機器から得られたデータはノイズ成分を含んでいる事があり機械学習アルゴリズムに適用させたときにIoT 機器の異常検知において正常な状態と異常な状態を機械学習の結果として誤った結果となることを避けるために特徴量抽出を適切に行える必要がある．この特徴量抽出に際しデータのスクリーニングを実施するとき移動平均法を適用する．移動平均法は最も簡単な計算手法であるがデータの特性によっては特徴量として必要な箇所について平均化した結果特徴量を消失してしまう懸念がある．今回，平滑化手法に高速フーリエ変換を採用し周波数成分で切り分けられたデータに対し必要と考えられる周波数成分を残す加工を行い逆フーリエ変換にて平滑化されたデータを得る手法を用いる手法を採用しその結果として従来の移動平均法による平滑化手法の結果と同様に異常検知を行う事が出来ることを複数のデータを用いて検証を行った．

[ 3C3-2:WEB概要版PDF ]

3C3-3

PMBusのセキュリティに関する一考察 A study of Security Issue about PMBus ◎岡田悠聖(長崎県立大学), 塩原孝弘(TDK株式会社), 加藤雅彦(長崎県立大学): 近年、再生可能エネルギーの需要が高まることにより、遠隔から操作可能なIoT機器としてのIoT電源が着目されている。一方、IoT機器への攻撃は増加しており、IoT電源が攻撃されると、電源がダウンし機器が動作しなくなるなど重大な事故につながる恐れがある。そこで本研究では、IoT電源として、制御用にPMBusを用いた電源部分と、画面表示や通信を行う管理用の小型コンピュータが一体となった装置を用いて、攻撃が行われた際のIoT電源に特有なリスクを明らかにし、対策を検討する。攻撃シナリオとして、初期侵入後に攻撃対象となる電源に割り当てられたPMBusのアドレス特定を行い、次にPMBusを悪用することによるDoS攻撃が行われると仮定し、検証を行う。検証の結果、本来の機器で動作しているプログラムを改ざんすることなく、スマート電源の正確な電圧表示を妨害できることを確認した。以上の検証結果をまとめ、考えられる侵入後の対策を検討する。

[ 3C3-3:WEB概要版PDF ]

3C3-4

ワクチン低温物流に関わる温度センサのアナログサイバーセキュリティ Analog Cybersecurity of Temperature Sensors in Vaccine Cold-Chain Transportation ヤンロン(ミシガン大学), サラランパッジ(フロリダ大学), 〇菅原健(電気通信大学), ケビンフー(ミシガン大学): 本稿は，米国医療機器振興協会 (AAMI: Association for the Advancement of Medical Instrumentation) 発行の論文誌で発表済みの内容に基づく．著者らは，センサのセキュリティに関する研究を行って来ており，2019 年には，電磁干渉 (EMI) により温度センサの測定値を誤らせる攻撃の脅威について発表したところであった．COVID-19 のワクチン配送が本格的に始まりつつあった 2021 年の 1 月，米国の医療機関からの打診を受け，ワクチンのコールドチェーン（低温物流）で使われる温度センサへの EMI 脅威の研究に着手した．COVID-19 ワクチンのコールドチェーンが直面する EMI のリスクアセスメントを行うとともに，病院の冷凍庫で用いられる温度センサを EMI で妨害できることを実験で確認した．また，時間と資源の制約の元で，リスクを低減するための対策法（緩和法）を， 5 つのアドバイスにまとめた．

[ 3C3-4:WEB概要版PDF ]

3C3-5

レーザー振動計を用いた MLCC からの音響サイドチャネルリークの測定 Measuring Acoustic Side-Channel Leakage from MLCC using Laser Vibrometer ◎土井康平(電気通信大学), 菅原健(電気通信大学): コンピュータ内のMLCCが発する音響ノイズから暗号鍵などを盗聴する音響サイドチャネル攻撃が知られている.従来の音響サイドチャネル攻撃はマイクを用いて音響ノイズを計測していたが,これはマイクが計測できる周波数が低いことや,音響ノイズが障害物に遮られてしまうことが限界として知られていた．以上の背景の元，我々はマイクの代わりにレーザー振動計を用いた音響サイドチャネル攻撃の研究を行ってきた.レーザーはガラスなどを貫通して攻撃でき,より高い周波数帯域まで計測できることから,より強力な攻撃になる可能性がある.先行研究ではMLCCをレーザー振動計で計測し,音響周波数を遥かに超えるMHz帯域の振動が計測できた．一方,これはMLCC単体を対象とした基礎実験に留まっていたため,今回はシステムに組み込まれたMLCCを対象に評価を行う．PC上で負荷を変化させるプログラムを実行しながら,マザーボード上のMLCCをレーザー振動計で計測する．実験の結果,システムに組み込まれたMLCCからもMHz帯域に及ぶ振動を計測できること,一つのシステムに,音響リークを発するMLCCが複数存在することが分かった.

[ 3C3-5:WEB概要版PDF ]

4C1-1

Efficient Modular Inversion Resisting Side Channel Attack Efficient Modular Inversion Resisting Side Channel Attack ◎Yaoan Jin(大阪大学工学研究科), Atsuko Miyaji(大阪大学工学研究科): With the development of side channel attack (SCA), theoretically proved secure cryptosystems, protocols, etc. are no longer secure on internet of things (IoT) devices or PC. Targeting the SCA weakness of binary extended euclidean algorithm (BEEA), simple power analysis (SPA) and cache-timing attack were conducted on RSA and ECDSA with high success rate. [JW14] and [BY19] proposed constant-time modular inversion methods, which can resist such attacks but lost efficiency. Our new constant-time modular inversion algorithm, which combines the idea of BEEA and the fact, for any integer A and B, GCD(A, B) = GCD(B, A-B) = GCD(A, A-B), differs from them. It can resist SPA, differential power analysis (DPA), timing attack, cache-timing attack of SCA and compute modular inversion faster. We analyse SCA security and efficiency of our work from a theoretical and experimental point of view.

[ 4C1-1:WEB概要版PDF ]

4C1-2

PIN認証プログラムへの命令改変フォールト攻撃の形式的影響評価 How to Formally Evaluate the Effects of Instruction Manipulation Attacks on PIN Authentication Programs ◎林俊吾(横浜国立大学), 坂本純一(横浜国立大学/産業技術総合研究所), 松本勉(横浜国立大学): デバイスに物理的刺激を与えて故障を発生させ，内部の秘密情報を得る攻撃はフォールト攻撃と呼ばれており,組込み機器に実装されたアクセス制御等のセキュリティ機能に対して大きな脅威となっている. これまでに様々な故障注入方法によるフォールト攻撃により, プロセッサで実行される命令を別の命令に改変する攻撃が確認されており, これらは命令改変攻撃と呼ばれる. 本稿では, 命令改変攻撃がプログラムに与える影響を形式的な証明の下で評価する手法について提案する. そして1回のレーザー照射を行う命令改変攻撃がアクセス制御の一種であるPIN認証のプログラムに対して与える影響を評価することで, 命令改変攻撃に対して有効なPIN認証の実装について検討する.

[ 4C1-2:WEB概要版PDF ]

4C1-3

マスキング対策実装に対するサイドチャネル攻撃成功確率の情報理論的解析 Information Theoretical Analysis of Success Rate in Side Channel Attacks on Masking Countermeasures 〇伊東燦(東北大学工学研究科), 上野嶺(東北大学電気通信研究所), 本間尚文(東北大学電気通信研究所): 本稿では，情報理論的観点から，マスキング対策された暗号実装に対するサイドチャネル攻撃の攻撃成功確率の上界を導出する．先行研究において，サイドチャネル攻撃を通信路としてモデル化することで，未対策実装に対する攻撃成功確率の上界が，暗号演算の中間値とサイドチャネル情報との間の相互情報量で与られることが示されていた．本稿では，この結果を拡張することで，マスキング対策された実装に対する攻撃成功確率の上界が，各シェアとサイドチャネル情報との間の相互情報量の積によって与えられることを解析的に示す．また，導出された上界を利用して，攻撃が成功するために必要なサイドチャネル波形数が，シェア数（マスキングの次数）に対して指数的に増加することも示す．さらに，マスキング実装に対する攻撃成功確率の従来の上界と比較して，本稿で導出する上界がより正確に成功確率を評価していることを実験的に示す．

[ 4C1-3:WEB概要版PDF ]

4C1-4

FPGA実装したAES回路の模擬スイッチング電流波形に基づくサイドチャネル情報漏洩帯域の考察 Side-Channel Information Leakage Band Consideration Based on Simulated Switching Current Spectrum of AES Circuit Implemented on FPGA ◎下田洸平(岡山大学), 日室雅貴(岡山大学), 豊田啓孝(岡山大学), 五百旗頭健吾(岡山大学): 暗号デバイスが身の回りの機器に幅広く搭載されるようになり，暗号デバイスからの漏洩情報を用いて暗号の解読を行うサイドチャネル攻撃が脅威となっている。暗号デバイスからのサイドチャネル情報漏洩帯域については，実測した漏洩波形を解析することでクロック周波数の前後の帯域で漏洩が発生することが報告されている。本論では FPGA 実装された AES 回路について，暗号処理に伴って発生するスイッチング電流波形を三角波パルス列と定義し，そのスペクトルを導出することでサイドチャネル情報漏洩帯域の特定を行った。その結果ノイズがない条件の場合広帯域でサイドチャネル情報が漏洩するが，測定時のノイズが重畳することで信号のレベルが低い帯域では相関がでなくなり，信号のレベルが高い低次高調波およびその前後の帯域で相関が出るということが分かった。この結果について，模擬的なスイッチング電流スペクトルおよび評価基板による実測データを用いた周波数領域の相関電力解析で検証を行った。

[ 4C1-4:WEB概要版PDF ]

4C2-1

BLS12-381曲線上ペアリング計算の低レイテンシFPGA実装 Low-latency hardware implementation of BLS12-381 Pairing ◎安西陸(横浜国立大学), 坂本純一(産業技術総合研究所/横浜国立大学), 宋子豪(横浜国立大学), 吉田直樹(横浜国立大学), 松本勉(横浜国立大学): 今後さらに複雑化すると見込まれるIoTネットワークのセキュリティ要求に応えるため，暗号文のまま検索を行うことのできる検索可能暗号や複数の署名データをひとまとめに集約しデータ量を圧縮することのできる集約署名などといった高機能暗号の活用が期待されている．高機能暗号は楕円曲線上の点のペアリングという複雑な演算を用いて構成されるものが多く，ペアリングの計算時間が高機能暗号実用化のための課題である．これまで, ソフトウェア・ハードウェアの両面からペアリング計算高速実装の研究が行われているが, 本研究では特にサーバサイドのアプリケーションに着目し，専用ハードウェアによる高速化を目指す．本発表では，2020年にOzturkらが提案した冗長２進表現を用いた低遅延剰余乗算アルゴリズムをパイプライン化し，FPGAに実装した際の性能を評価する．また提案手法をペアリング計算に利用した際の性能について評価する．

[ 4C2-1:WEB概要版PDF ]

4C2-2

車載カメラの車両・人物検出に対する色調改変攻撃とその対策 Color Alteration Attacks on On-Board Camera's Vehicle/Person Detection and Their Countermeasure 〇上田晋生(横浜国立大学), 一ノ瀬竜矢(横浜国立大学), 吉田直樹(横浜国立大学), 松本勉(横浜国立大学): 発展が著しい自動運転技術は多種多様なセンサが取得する周辺環境情報に支えられている．中でも，車載カメラが取得した画像による車両・人物検出の情報は，自動緊急ブレーキ機能や追従走行機能などに用いられており，搭乗者や周囲の安全を確保する上で重要な役割を担う．車載カメラの車両・人物検出のセキュリティが損なわれると人命に関わる事故に繋がる恐れがあり，情報の安全性や正確性を担保するためにも，センサへの攻撃を顕在化し対策を講じることが必要である．一方で，車載カメラが取得する画像の色調を変化させる攻撃を行うことで車線検知機能の検出率を低下させる報告がされている．本稿では，上記，色調改変攻撃が車載カメラの車両・人物検出に与える影響を示す．また，色調改変攻撃の検知と対策について述べる

[ 4C2-2:WEB概要版PDF ]

4C2-3

物理的障壁を考慮した超音波による接触通知フレームワークの提案 A proposal for an ultrasonic-based Exposure Notification framework considering physical barriers ◎相場智也(静岡大学情報学部), 土屋純(静岡大学大学院総合科学技術研究科), 成田惇(静岡大学大学院総合科学技術研究科), 西垣正勝(静岡大学大学院総合科学技術研究科), 大木哲史(静岡大学大学院総合科学技術研究科): 2019年に発生したCOVID-19は，感染力の高さから瞬く間に世界中に感染拡大した．感染拡大を防止する手段として，Exposure Notification（EN）フレームワークが開発された．Bluetooth Low Energy（BLE）を利用したENフレームワークは，BLEの特性から，距離だけでなく屋内外や向きなどの影響を受け誤検知が発生するため，BLE以外のセンシングを利用した手法が研究されている．その中でも音を利用した接触検知手法はスマートフォンで利用できる機能なため手軽に利用できる接触検知手法だと言える．しかし，これらの接触検知手法は1対1通信や各端末で事前学習を必要とするためENフレームワークを利用する大規模システムに適用可能なスケーラビリティを有しない．本研究では，1対1通信，事前学習が不要な接触検知を実現するために，超音波を用いて端末間の壁の有無を検知することで接触検知精度を向上させる手法を提案する．また，基礎的検討として超音波による壁検知精度を検証し，その有効性について報告する．本手法を用いることで，接触誤検知の少ないENフレームワークの実現を目指す．

[ 4C2-3:WEB概要版PDF ]

4C2-4

LiDARベース物体認識システムの攻撃耐性評価用シミュレータ A Simulator for Evaluating Attack Resistance of LiDAR-based Object Recognition Systems ◎一ノ瀬竜矢(横浜国立大学), 上田晋生(横浜国立大学), 深津勇貴(横浜国立大学), 久保中(横浜国立大学), 吉田直樹(横浜国立大学), 松本勉(横浜国立大学): 完全自動運転の実用化に向けて様々な技術開発が進められている．自動運転車は各種センサからの情報を元に周囲の走行環境を認識し安全な走行を実現する．自動運転車に用いられる測距センサの中でもLiDARは高精度な測距が可能で，LiDARの点群データを利用して歩行者や車両の位置を検出するシステムが自動運転車に実装される見込みが高い．一方で，LiDARに異常な点群データを出力させる攻撃によって物体認識アルゴリズムの精度を劣化させられる可能性が指摘されている．自動運転車の安全性を保証するためにはこのような脅威を検証し対策を施すことが重要である．本稿では，LiDARベースの物体認識システムに対する攻撃が認識結果に与える影響についてシミュレータを用いて検証する．

[ 4C2-4:WEB概要版PDF ]

4C2-5

グラフ学習にもとづく不正回路検知に対する強化学習を用いた自律的な脆弱性検査の提案 On Autonomous Vulnerability Assessment Using Reinforcement Learning for Malicious Circuit Detection Based on Graph Learning ◎長谷川健人(KDDI総合研究所), 披田野清良(KDDI総合研究所), 福島和英(KDDI総合研究所): Society 5.0において，安心・安全なデータ処理・通信のために効率的なセキュリティ技術が要求される．強化学習を用いた自律的なセキュリティ技術の活用が期待されるが，とりわけ特定のアプリケーションにどのように適用するか検討する必要がある．本稿では，具体的事例としてグラフ学習を用いた不正回路(ハードウェアトロイ, HT)検知を対象に，強化学習を用いた自律的な脆弱性検査手法を提案する．提案手法で用いる強化学習アルゴリズムは，グラフ学習を用いた不正回路検知における判定結果と，グラフ学習で抽出された特徴ベクトルを観測する．観測された特徴ベクトルをもとに，不正回路を構成するためのパラメータを変更し，新たな不正回路サンプルを生成する．一連の操作を繰り返しながら，グラフ学習にもとづく不正回路検知において検知精度を最小化するよう，不正回路を構成するためのパラメータ変更の方策を学習する．評価実験を通じ，提案手法はランダムなサンプル生成と比較して，より効率的に検知精度を低下させる不正回路を構成することを確認した．

[ 4C2-5:WEB概要版PDF ]

1D1-1

NFT流通における深層学習を用いた分散型真正性検証プロトコルの提案 A Proposal for a Distributed Authenticity Verification Protocol Using Deep Learning for NFT market ◎木村圭吾(筑波大学), 今村光良(野村アセットマネジメント株式会社), 面和成(筑波大学): 近年，ブロックチェーンの普及が広まっており，ブロックチェーンに対するセキュリティリスクを明らかにすることは重要な課題である．ブロックチェーンに対する攻撃としては様々なものが挙げられ，その一つにブロックチェーンに対するポイズニング攻撃が挙げられ，その一例としてブロックチェーン上でNFT(Non-Fungible Token)を用いて管理される，デジタルアート作品の贋作を流通させるイミテーション攻撃が考えられる．NFTに対するイミテーション攻撃には、フェイク攻撃と二重流通攻撃の二つが考えられ、それらを防ぐためにはデジタルアート作品に対する真正性の検証と唯一性の検証が必要となる。しかしこれらの検証には信頼できる第三者機関の介入が必要であるという課題が存在した。そこで本研究では、深層学習を用いた分散型の真正性検証プロトコルを提案し、その有用性を検証する。

[ 1D1-1:WEB概要版PDF ]

1D1-2

NFT 流通市場に対するEditable Metadata 脆弱性の一考察 A Study on Editable Metadata Vulnerabilities on NFT Marketplaces ◎清水嶺(大阪大学), 矢内直人(大阪大学), 今村光良(野村アセットマネジメント), Jason Paul Cruz(大阪大学), 岡村真吾(奈良工業高等専門学校): 非代替性トークン(NFT)はトークンにメタデータと呼ばれる付加情報を与えることで、一度書きこまれたら変更ができないブロックチェーン上の情報を後から補足できる技術である。本研究ではEthereum 上のNFT とメタデータの関係性を保証するIPFS(InterPlanetary FIle System)に対し、メタデータを差し替える攻撃が可能であることを示す。また、その攻撃に起因する脆弱性について検討、および、既存のマーケットを調査することで、攻撃の影響度を明らかにする。また、潜在的な脆弱性についても検討する。

[ 1D1-2:WEB概要版PDF ]

1D1-3

NFT流通プロセスにおける不正検知のための監査システム Audit System for Fraud Detection in NFT Exchanges ◎東知哉(神戸大学), 白石善明(神戸大学), 今村光良(野村アセットマネジメント), 掛井将平(名古屋工業大学), 廣友雅徳(佐賀大学), 森井昌克(神戸大学): Non Fungible Token（NFT）の取引において，ユーザの保護という観点からは取引所が手続きにしたがってトランザクションを実行していることを第三者が確認できることが望ましい．本論文では，信頼できる第三者である監査機関を導入し，アーティストから受け付けたトークンが監査機関により手続通りに処理していることを確認できるブロックチェーンと双線形写像を用いた監査システムを提案している．提案システムをEthereumで実装し，安全性について議論している．

[ 1D1-3:WEB概要版PDF ]

1D1-4

暗号資産に関する全世界におけるサイバーインシデントの調査とリスクの考察 A survey and risk considerations of global cyber incidents and for crypto assets ◎都築祐人(筑波大学), 伊藤奎政(筑波大学), 岸淵涼平(筑波大学), 曹彦(筑波大学), 矢田昇平(筑波大学), 面和成(筑波大学): 暗号資産には従来のサイバー攻撃に加え、ブロックチェーン技術や取引システムの脆弱性をついた攻撃など、多様なサイバー攻撃にさらされるリスクが存在する。暗号資産のインシデントを抑制するためには、実際に発生した事例から暗号資産を取り巻くインシデントのリスクを明らかにすることが重要である。本研究では、過去に発生した暗号資産に関するインシデント事例をニュース記事などを用いて一つ一つ調査・整理した。その後、各インシデントを被害対象と被害原因により分類し、インシデントの時系列的な傾向や特徴の分析を行うことで変化するインシデントリスクを考察した。調査の結果、暗号資産に関するインシデントの件数および被害額は増加傾向にあることが明らかになった。また、被害対象による分類では、取引所関連の被害がインシデント全体の中で非常に大きく、近年ではアルトコインの普及などによって銘柄関連のインシデントリスクも増加していることが示唆された。被害原因による分類では、ブロックチェーンやスマートコントラクトの脆弱性によるインシデントリスクが近年増加傾向にあり、2020年には多くの分散型取引所が被害を受けていたことが明らかになった。

[ 1D1-4:WEB概要版PDF ]

1D1-5

プライバシーに考慮した身分証明を使ったトークン取引の新方式の提案と実証システムの試作 Design and evaluation of token trading system with privacy preserving identity disclosure mechanisms 〇佐藤出(富士通株式会社), 藤本真吾(富士通株式会社): 近年ブロックチェーン業界ではトークンエコノミーが注目されている。今後トークンを介して重要なデジタル資産が取引されるようになると本人確認などの確認が求められるケースが増え、この本人確認にはプライバシーへの配慮が必要な個人情報が扱われるので、必要最小限の事項だけを相手に提示できることが求められると考える。本論文では、ブロックチェーン上でのトークンエコノミーの一形態として、本人確認が要求される取引がブロックチェーン技術での実証のため検証用アプリケーションを開発し、Hyperledger プロジェクトで開発されたCactusとIndyを用いて、必要最小限の情報提示でアプリケーションがブロックチェーン上の取引にかかわる判断が可能であるか評価した。

[ 1D1-5:WEB概要版PDF ]

1D2-1

不正な認証を防ぐための顔画像の非識別化に関する検討 A study on de-identification of face image for preventing outsiders from authorization ◎内田秀継(富士通株式会社), 安部登樹(富士通株式会社), 山田茂史(富士通株式会社): 近年、テレビ通話やSNSの急速な普及によって、顔画像が流通する機会が増加している一方で、顔認証のような顔情報を鍵としたセキュリティシステムや監視システムが登場し、セキュリティ・プライバシーの観点から顔画像の重要性がより一層高まっている。そこで、SNSなどで入手した顔画像を用いた顔認証システムへの不正なアクセスやプライバシー侵害を防ぐための、顔画像の非識別化技術が注目を集めている。本研究では、顔画像のメディアとしての情報を十分に保ちながら、顔認証システムにおける識別を困難にすること目的とした非識別化技術、つまり、見かけ上の個人性を保ちながら認証システムでの認証を防ぐ画像加工技術に着目する。顔画像のランドマークにおける形状や位置関係に微小な変化を与え、認証を困難にする手法について検討し、従来の敵対的サンプルを用いた非識別化技術との比較を行い、その結果について報告する。

[ 1D2-1:WEB概要版PDF ]

1D2-2

攻撃発生確率を考慮した生体認証システムのリスク分析手法に関する一検討 A Methodology for Risk Analysis of Biometric Recognition Systems Considering the Attack Occurrence Probability 〇大木哲史(静岡大学), 成田惇(静岡大学), 内田秀継(富士通株式会社先端融合技術研究所), 安部登樹(富士通株式会社先端融合技術研究所), 山田茂史(富士通株式会社先端融合技術研究所): 生体認証はユーザの身体的もしくは行動的特徴に基づく本人認証技術であり，その利便性の高さから近年幅広い領域へと導入が進みつつある．生体認証のセキュリティについては，これまでも認証アルゴリズムを対象として，FAR，なりすまし検知，テンプレート保護など多角的な研究が行われてきた．一方，生体認証を実環境へ導入する際には，認証アルゴリズムのみならず，導入環境におけるセキュリティ対策の有無などにより認証システムのリスクが変動することは明らかであり，これらの要因を想定した上で対策を考える必要がある．そこで，本研究では，FARやFRRといった既存の生体認証の評価手法に加え，生体認証が導入される環境によって変化する認証リスクをモデル化する手法を提案し、セキュリティ対策の効果を定量的に評価可能であることを示す．

[ 1D2-2:WEB概要版PDF ]

1D2-3

収集Wi-Fiデータから算出される統計量を利用した行動認証手法 A Behavioral Authentication Method Using Statistics Calculated from Collected Wi-Fi Data ◎大河澪耶(東京大学大学院情報理工学系研究科), 小林良輔(東京大学大学院情報理工学系研究科), 山口利恵(東京大学大学院情報理工学系研究科): 情報通信技術の発展に伴い，様々なオンラインサービスにおいて個人認証の重要性が増してきている．個人認証の研究において，知識情報や所持情報，生体情報を利用するものがある中で，他にここ最近行動情報を認証に利用する行動認証の研究や複数の行動情報を利用するライフスタイル認証の研究が注目を集めている．行動認証を行う際の利用データの一つとして位置情報を表すWi-Fiの周辺アクセス情報が挙げられる．これまでの研究では観測情報を頻度として扱い，事前に作成するテンプレートと新たなデータを比較することで類似度スコアを算出して実験を行っていた．一方，生体情報を用いた行動認証ではデータの平均や分散といった統計量を特徴量としている研究も存在する．本論文では，収集Wi-Fiデータから算出される統計量を特徴量とした行動認証の手法を提案する．ライフスタイル認証の実証実験MITHRAプロジェクトにおいて，実験用アプリから収集されたデータを提案手法に利用することで，手法の有効性が確認できた．統計量を利用することで，従来の手法と比較し，テンプレートの作成期間が短くなることが期待される．

[ 1D2-3:WEB概要版PDF ]

1D2-4

Vision Transformerを用いた顔なりすまし攻撃検知手法とその評価 A Face Spoofing Detection Method Using Vision Transformer and its Evaluation ◎渡邉浩太(東北大学大学院), 伊藤康一(東北大学大学院), 青木孝文(東北大学大学院): 生体認証は，個人の身体的・行動的特徴を用いて個人を認証する技術である．その中でも顔の特徴を用いる顔認証は，利便性と受容性の高さから特に実用化が進んでいる．一方で，顔画像はインターネットなどから容易に入手することができるため，なりすまし攻撃の危険性がある．なりすまし攻撃とは，悪意のある第三者が認証システムのカメラに登録者の顔画像を提示して認証を不正に通過しようとする攻撃のことである．なりすまし攻撃には，登録者の顔写真を紙に印刷して提示するものや，顔画像をディスプレイに表示して提示するものがある．認証前に，入力された顔画像が本物であるかなりすまし攻撃であるかを判別する必要がある．なりすましを判別するためには，紙面の反射やディスプレイの干渉縞など，顔画像に局所的に存在するノイズを捉える必要がある．本稿では，画像を小領域に分割して特徴量を抽出するパッチベースの手法であるVision Transformerを用いたなりすまし検知手法を提案する．なりすまし攻撃を含む大規模な顔画像データセットを用いた性能評価実験により提案手法の有効性を実証する．

[ 1D2-4:WEB概要版PDF ]

1D2-5

Fuzzy鍵を用いたグループ署名技術 Group signature with Fuzzy key ◎川名のん(日立製作所), 長沼健(日立製作所), 高橋健太(日立製作所), 中村渉(日立製作所), 本宮志江(日立製作所), 羽渕峻行(日立製作所): グループ署名は、署名生成者が誰であるかを秘匿しつつ、グループのメンバである事を証明する電子署名技術である。本稿では、生体情報などのFuzzyな秘密鍵情報からグループ署名を生成するFuzzyグループ署名方式について提案する。本提案方式の特徴は、Fuzzyな秘密鍵で署名を生成する事に加え、署名生成者と匿名化実行者を分ける事が可能な点である。具体的には、グループに所属する署名者が通常の個人型のFuzzy署名方式で電子署名を生成し、グループの代表である匿名化実行者が匿名化処理を行う。この際、匿名化実行者は署名者の秘密鍵などの機密情報を必要とせず、グループの公開鍵のみで匿名化処理を行う。

[ 1D2-5:WEB概要版PDF ]

1D2-6

エンターテイメントとセキュリティを融合した本人認証アプリの試作と評価 Personal Authentication Application Combining Entertainment and Security ◎鈴木真樹史(工学院大学), 藤川真樹(工学院大学): 情報セキュリティを強化する一手法として，エンターテイメント（ゲーム的要素）を取り入れたアプリが提案されている．アプリへのゲーム的要素の組み込みはゲーミフィケーションであり，認証操作に対する心理的負荷の軽減やアプリの継続的な利用を促進する効果がある．本稿では，ゲーム的要素を取り入れた本人認証アプリを提案する．アプリは，認証画面を覗き見る攻撃に耐性を持つように設計する．また，ゲーム的要素の組み込みにより認証操作に対する心理的負荷を軽減し，アプリの継続的利用を促すように設計する．アプリでは，ユーザは認証画面に表示される「駒の群」の中から事前にアプリに登録した「ユーザ駒」を発見し，事前にアプリに設定した「ポイント」をキーボード操作により通過させる．ユーザ駒と同じ動きをしたりランダムに動いたりする複数の駒の存在により，認証情報である「ユーザ駒」と「ポイントの通過順序」を推測しにくくする．試作したアプリを用いて「覗き見攻撃」の耐性を検証したところ，13名中2名が認証情報である「ユーザ駒」と「ポイントの通過順序」を特定した．これは，認証情報にワンタイム性を持たせることにより解決するものと考える．

[ 1D2-6:WEB概要版PDF ]

1D3-1

Privacy-preserving Blockchain-based Global Data Sharing for Federated Learning with Non-IID Data Privacy-preserving Blockchain-based Global Data Sharing for Federated Learning with Non-IID Data ◎Zhuotao Lian(The University of Aizu), Qingkui Zeng(Nanjing University of Information Science and Technology.), Chunhua Su(The University of Aizu): Federated learning, as a privacy-enhanced distributed machine learning method, is a very hot research topic recently. It solves the direct problem of private data sharing and global model training because each participant uses their own data for training locally, and only shares the training results (such as model weights, gradients, etc.). But a practical problem it faces is the non-independent and identical distribution of data, which means that the local data of each participant is highly inconsistent, both in terms of quantity and distribution. Moreover, there is a lack of research related to the efficiency and privacy issues in the pretraining process. Therefore, in this paper, we propose a novel solution that uses blockchain technology to realize small-scale global data sharing which is used for pretraining. Simulation experiments verify that our method not only guarantees data security but also greatly improves performance in terms of training speed and accuracy.

[ 1D3-1:WEB概要版PDF ]

1D3-2

GAN構造を用いたポイズニング検知 Detecting Poisoning Attacks using GAN Structure 〇清水俊也(富士通): 機械学習のセキュリティ問題の一つであるポイズニング攻撃は, 訓練データ中に少量の異常なデータを挿入する（もしくは訓練データを変化させる）ことにより, モデルを汚染する攻撃である. ユーザからデータを集め逐次的に学習するシステムや, 第三者からデータを取得し利用するシステムでは, データがモデルに及ぼす影響を予測し, 悪影響を及ぼすデータを訓練時に排除することが必要となる. 本稿では, 精度劣化を目的としたポイズニング攻撃を検知するために, 敵対的構造を用いた検知手法を提案し, 複数のデータセットにおける検知結果について述べる. 提案する手法の特徴は, 検知対象の訓練データそのものを用いた訓練による評価を必要としないため, モデル運用前に検知器を生成できること, 敵対的構造を用いることにより検知できるポイズニングデータの特徴を幅広く学習できること, データの説明可能性に基づいた特徴量抽出をすることで検知効率を改善する点である.

[ 1D3-2:WEB概要版PDF ]

1D3-3

JPEG圧縮由来の歪み信号に対する応答特性に基づくAdversarial Examples検知手法 Detection of Adversarial Examples Using Sensitivities to JPEG Compression-Derived Signals ◎角森健太(岡山大学), 山﨑裕真(岡山大学), 栗林稔(岡山大学), 舩曵信生(岡山大学), 越前功(NII): 畳み込みニューラルネットワークを用いた画像分類器は，高い分類精度を示す一方で，人間が目視できない程の微小なノイズを加えて画像分類器の誤分類を誘発させるAdversarial Examples(AEs)の問題が報告されている．この対策の一つとして，画像分類器に入力する画像がAEsであるか事前に判断する方法が挙げられる．東らは強度の違うノイズ除去フィルタを入力画像に対して使用し，画像分類器の出力の変化を観察することでAEsを検知する手法を提案した．この手法では，14種ものフィルタを使用しており，計算量が多いことが問題であった．本稿では，フィルタ数を減らしながらも高い検知精度を示す手法を提案する．東らの報告からJPEG圧縮はノイズ除去に有効なフィルタと考えられる．提案手法では，先行手法にJPEG圧縮前と圧縮後の画像の差分を基に作成したノイズ除去フィルタを加える．本研究では，提案手法を用いて典型的な攻撃手法に対する検知精度を評価した．その結果，非標的型攻撃において提案手法はほとんどの攻撃で先行手法より高い分類精度を示し，標的型攻撃においては，先行手法に対する精度低下を0.5%以内に抑えていた．

[ 1D3-3:WEB概要版PDF ]

1D3-4

イメージセンサインターフェースへのフォルト攻撃でトリガする DNN へのバックドア攻撃 Backdoor Attack against DNN triggered by Electrical Fault Injection on Image Sensor Interface ◎大山達哉(立命館大学), 大倉俊介(立命館大学), 吉田康太(立命館大学), 藤野毅(立命館大学): DNN(Deep Neural Network)による画像認識システムへの攻撃として訓練データのポイズニングを用いたバックドア攻撃が知られている．特定のマーク(トリガマーカ)が画像内の所定位置に配置されている際は，誤った (ターゲット)ラベルに分類するようにDNNを学習させる．攻撃者によって撮影画像の所定位置にトリガマーカが配置されるとバックドアが起動し誤分類を誘発するが，トリガマーカの位置や大きさが撮影環境で変化するため，安定してバックドアを起動するのは難しい．著者らはSCIS2021でイメージセンサとホストデバイスの間で画像情報の通信を行うMIPI(Mobile Industry Processor Interface)上で電気的な信号を注入して撮影画像上にトリガマーカを生成するフォルト攻撃を提案し，安定してバックドアをトリガできることを示した．昨年の報告ではグレイスケールの低解像度である手書き文字認識を行うDNNに攻撃を行ったが，本稿ではより現実的なシナリオとしてカラーの道路標識画像分類DNNを対象に同様の攻撃とトリガマーカの解析を行った結果を報告する．

[ 1D3-4:WEB概要版PDF ]

1D4-1

Data Lineage Management with Unlearning Method for Machine Learning Security and Privacy Issues Data Lineage Management with Unlearning Method for Machine Learning Security and Privacy Issues 〇Haibo ZHANG(Department of Information Science and Technology. Kyushu University), Toru NAKAMURA(KDDI Research Inc.), Takamasa ISOHARA(KDDI Research Inc.), Kouichi SAKURAI(Department of Information Science and Technology. Kyushu University): Privacy protection has been a concern for researchers for a long time. For users, once they have provided their information in an application, it is difficult to remove it from the root. Almost all advanced features are obtained based on learning and training of users’ data, and users' personal privacy has been spread in every corner of the application. Recently, an increasing number of laws govern the useability of users’ privacy. For example, Article 17 of the General Data Protection Regulation (GDPR), the right to be forgotten, requires machine learning applications to remove a portion of data from a dataset and retrain it if the user makes such a request. From the security perspective, if the original dataset of a machine learning application is injected with malicious data by an attacker, e.g., if the internal data of the machine learning model can be stolen at will, it is also necessary to remove such data from the dataset and retrain it. Therefore, researchers propose machine unlearning as a research method to deal with such problems. In this paper, we provide an in-depth analysis of the security and privacy concerns in machine learning models. We illustrate the privacy and security concerns with machine unlearning methods based on the review of related academic and industrial works. Furthermore, we also discuss the future research direction and possibilities in this field.

[ 1D4-1:WEB概要版PDF ]

1D4-2

部分観測マルコフ決定過程によるニューラルエージェント強化学習を使用した自律型SQL インジェクション攻撃手法 The autonomous SQL injection exploitation using neural agent reinforcement learning by partial observation Markov decision process ◎佐竹達也(情報セキュリティ大学院大学), 大塚玲(情報セキュリティ大学院大学): 研究では,部分観測マルコフ決定過程に基づく強化学習モデルについて,GRUによる状態推定とAttentionを使用したニューラルエージェントにより,状態空間と行動空間を分散表現で近似して最適な方策を学習する強化学習モデルを構築した.このモデルを実践的なCTFのSQLインジェクション問題に適用した結果を報告する.これまでの研究で,すでに,自然言語文字列からなる観測情報をニューラル自然言語処理により分散表現に変換し,その系列をリカレントネットワークの一種であるGRUで認識して推定状態する.さらに,環境から与えられる行動集合も分散表現の系列として表現し,推定状態と組み合わせてAttentionで最適な行動を選択する強化学習モデル(LeDeepChef)が提案されている.本研究では,LeDeepChefをセキュリティの分野におけるサイバー推論システムへの適用可能性を探る.既に,SQLインジェクションを題材として一般的なCTF問題を解く深層強化学習モデルとしては,Erdodiらにおいて,DQNを適用して有効性が確認されている.しかし,Erdodiらの研究は,1)完全観測マルコフ決定過程に基づいていること,並びに2）固定された51個の行動空間から環境から与えられた状態に応じて最適な行動を選択するという単純なモデルに基づいている.このため,自由度が極めて低く実用にはほど遠いと考えられる.我々は,様々な実践的なWebアプリ環境を用意しニューラルエージェントの学習汎用性を高めた

[ 1D4-2:WEB概要版PDF ]

1D4-3

機械学習を用いたフォグ環境の異常検知効率の考察 Consideration of the efficiency of anomaly detection in fog computing using machine learning 〇牧野俊太郎(東洋大学), 岡田怜士(東洋大学), 満永拓邦(東洋大学): 近年のIoT機器の増加は著しく、2016年には世界累計で173億台であったが2020年には253億台まで増加し、それに伴いIoT機器が接続されたネットワーク内のトラフィックは増えている。しかしながら、すべてのIoT機器が十分なセキュリティ対策が施されているとは言いがたく、IoT機器がクラウドに直接接続され、トラフィックが集中する現状において、多数のIoT機器のセキュリティをクラウドで集中管理するのは難しい状況となっている。そのため、フォグという複数の中間層を置くフォグコンピューティングという手法が提案されている。これにより、IoT機器のトラフィックを中間層であるフォグで処理し、クラウドでのトラフィックや管理コストの集中を避けることができる。本研究では、フォグでIoT機器のトラフィックを機械学習を用いた異常検知をすることで、ウイルスに感染したIoT機器からの攻撃を、他のフォグやクラウドに影響を与えることなく防ぐ手法を考察する。UNSW-NB15データセットを用いて複数の教師あり学習を行い、作成したモデルの精度を測定するとともに学習や分類に必要な時間を比較する。

[ 1D4-3:WEB概要版PDF ]

1D4-4

Intel SGXによる安全で高速なDNN推論の実装方式 Secure and Efficient DNN Inference with Intel SGX 〇藤原啓成(株式会社日立製作所), 佐藤尚宜(株式会社日立製作所): 産業分野では画像認識DNNの活用機運が高まっているが，クラウドサーバ上で処理を完結するには機密情報や個人情報などセキュリティの制約があり，機密情報を用いたDNN利活用の多くはオンプレミス環境に留まっている．一方で，リソース・運用・保守・納期の観点からクラウド環境で行うことも不可欠である．本研究では，クラウドサーバを利用するDNN推論を行う際の機密情報の漏洩リスクに対し，Intel SGXによりDNN推論におけるデータ処理部分をセキュア化し，かつIntel SGXの制約による性能低下を軽減する実装方式の提案および評価を行った。性能評価の結果，提案方式によりTensorFlowを用いたDNN推論のセキュア化を約2.3倍の性能オーバヘッドで実現する見通しを得たので報告する．

[ 1D4-4:WEB概要版PDF ]

2D1-1

勾配系の説明付きモデルに対するデータフリーモデル抽出攻撃 Data-Free Model Extraction Attacks against Gradients-Based Explainable AI ◎三浦尭之(NTT社会情報研究所 / 大阪大学), 芝原俊樹(NTT社会情報研究所), 矢内直人(大阪大学): 近年，深層学習をはじめとする機械学習の発展にともなって，訓練済みモデルをその入出力から復元してしまうモデル抽出攻撃の脅威に注目が集まっている．特に，攻撃者がクエリに用いる入力データを収集する代わりに，生成モデルを適応的に学習させて生成するデータフリー方式のモデル抽出攻撃が提案されている．さらに近年，説明可能なAIの出力する勾配情報を用いてデータフリー方式のモデル抽出攻撃が提案されている．しかし，この研究で検討している手法は，Vanilla Gradientというシンプルな説明に対しての攻撃であり，他の勾配系の説明には行われていなかった．本稿ではより広範な説明可能なAIへの攻撃可能性の検証として，被害者がSmoothGradによる説明を付けた場合の評価を行った．実験の結果，SmoothGradに対する攻撃は，正確な勾配を用いるVanilla Gradientに対するものよりは，効率精度は落ちるものの，説明を用いない従来手法よりは強力な攻撃になっていることが確かめられた．

[ 2D1-1:WEB概要版PDF ]

2D1-2

部分観測マルコフ決定過程に基づいたニューラルエージェントを使用したペネトレーションテスト手法の提案 Proposal of a penetration testing method using neural agents based on partially observable markov decision process ◎米田智紀(情報セキュリティ大学院大学), 大塚玲(情報セキュリティ大学院大学): ペネトレーションテストは機器やシステムに対して様々な技術を駆使して侵入を試みることで,対象のセキュリティ上の脆弱性を検査する手法である.特に機械学習ベースの自律的ペネトレーションテスト技術は,offensive securityを実現する重要な手法になりうると目されている.中でも,訓練データを予め準備しなくても自律的に攻撃手法を獲得できる強化学習によるペネトレーションテスタが注目を集めている. 本研究では,従来から多くの提案があるマルコフ決定過程(MDP)に基づく強化学習モデル[2]ではなく,ペネトレーションテストの過程で得られるシステムレスポンスをニューラル自然言語処理技術により解釈して状態を推定しながら次の最適攻撃行動を推定する部分観測マルコフ決定過程に基づく強化学習モデルに注目している.2020年に発表されたLeDeepChef[1]は,テキストベースのダンジョンゲームであるTextworldを部分観測マルコフ決定過程(POMDP)に基づく強化学習で効率的にゴールを見いだすニューラルエージェントを提案している.本論文では,このニューラルエージェントをWindows/Linux等のOS環境に作用させ,エクスプロイトコマンドを行動集合に持たせることで,実システムのペネトレーションテストへの適用可能性を評価した.

[ 2D1-2:WEB概要版PDF ]

2D1-3

ビザンチンロバストな連合学習における学習モデル保護の基礎検討 Towards Trained Model Protection for Byzantine-Robust Federated Learning 〇中井綱人(三菱電機株式会社), 鈴木大輔(三菱電機株式会社), 藤野毅(立命館大学): 連合学習(Federated Learning)は，サーバやクライアント間と学習データを共有することなく，共同でモデルを学習することができる技術である．連合学習は，学習データの代わりに，各クライアントで学習したモデル情報(クライアントモデル)を共有する．クライアントは，自身が保有するプライバシー情報や機密情報を含むデータを学習データとしてサーバへ提供する必要がないため，学習データのプライバシーや機密性に配慮した技術として注目されている．連合学習におけるクライアントモデルの共有には，主に，モデル情報保護とビザンチン耐性に関する2つのセキュリティ課題が指摘されている．先行研究では，モデル情報保護とビザンチン耐性の両立に着目した研究は少ない．本論文では，モデル情報保護とビザンチン耐性の両立を目指した方式について，基礎検討した結果を報告する．本論文の寄与は，ビザンチンロバストな連合学習における学習モデル保護に向けて，基礎検討を踏まえた，TEEや準同型暗号を用いた方式の実現性や課題についての考察にある．

[ 2D1-3:WEB概要版PDF ]

2D1-4

角膜鏡面ハイライトに基づくDeepFake画像検出について DeepFake Image Detections Based on Corneal Specular Highlight ◎清水一樹(金沢大学), 満保雅浩(金沢大学): 現在，様々な偽造動画像による被害がインターネット上で多発しており，特にDeepFake画像による被害が深刻なものとなっている．このためDeepFakeやGAN等の偽造を見破る様々な試みが行われている．その一つとして，GANによる偽造が行われた場合，両目の角膜の鏡面ハイライトが左右ともに本来とは違う形になるため，それを信号処理により検出する試みがなされている．これに対して，本論文では，偽造により生じる角膜鏡面ハイライトのゆがみをAIに学習させることで検出する場合の効果を確認する．これは，片目しか映っていない場合や，顔が正面を向いていない場合でも，偽造を見破ることができる，汎化能力の高いAIを実現することが期待できるからである．また片目ずつ学習させた場合と両目同時に学習させた場合の違い，及び角膜鏡面ハイライトのみを学習させた場合と目全体を学習させた場合の違い等も確認する．これは様々な状況に対するAIの使い分けを可能とするためである．さらに角膜鏡面ハイライトの各種特徴を，様々な処理や補正をかけ強調することによる検出精度の改善効果についても確認を行う．

[ 2D1-4:WEB概要版PDF ]

2D1-5

機械学習を用いた暗号プロトコルの安全性検証フレームワーク A Security Verification Framework of Cryptographic Protocols With Machine Learning 大野乾太郎(NTT コンピュータ＆データサイエンス研究所), ◎中林美郷(NTT 社会情報研究所): 近年の暗号プロトコルの複雑化に伴い，コンピュータを用いた自動検証技術の研究がさかんに行われている．主要な自動検証技術として形式検証が挙げられるが，形式検証では，膨大な計算時間を要したり，停止性が保証されないといった問題があった．本研究ではこの問題に対し，機械学習を用いた安全性検証によるアプローチをとる．我々の提案する手法では，プロトコルのサイズに対して線形オーダーの計算時間で安全性検証を実行できる．高い検証精度を達成するために，暗号プロトコルが持つ木構造と系列構造を反映したニューラルネットワークを構成する．さらに，ランダムに生成したプロトコルに対して形式検証を用いて安全性評価ラベルを付与することで，人手で学術論文等からプロトコルデータを収集することなく，大規模な学習データセットの生成を可能にする．

[ 2D1-5:WEB概要版PDF ]

2D2-1

電子指紋は機械学習の二段階攻撃に使えるか？ Evaluation with Fingerprints on Two-Stage Attacks for Machine Learning Models ◎岩花一輝(大阪大学), 三浦尭之(NTT社会情報研究所), 奥田哲矢(NTT社会情報研究所), 矢内直人(大阪大学): 機械学習モデルへの攻撃として攻撃者が推論結果を通じて得た抽出モデルに対し、学習データの復元や敵対的サンプルの生成を行う二段階攻撃が注目を集めている。本研究ではモデル抽出攻撃に対する二段階攻撃の脅威を洗い出すことを目的として、学習済みモデルの一意性を表すfingerprint を導入した評価指標に着目する。二段階攻撃に向けたモデル抽出攻撃の従来指標である忠実度と比べて、本手法は抽出モデルによる二段階攻撃への影響を正確に反映できる。具体的に、Tramer らのモデル抽出攻撃 (Usenix Security 2016) とPapernot らのモデル抽出攻撃 (Asia CCS 2017) で実験した際、忠実度はいずれも高い数値が出たにもかかわらず、Tramer らの攻撃を踏み台にした二段階攻撃では失敗することも確認した。一方、本手法ではTramer らの攻撃のみ低い数値となり、二段階攻撃の実態と合致することが期待できる。

[ 2D2-1:WEB概要版PDF ]

2D2-2

モデル抽出攻撃の定式化を通じた体系的な整理 Systematization of MEA via formalizations ◎小松みさき(株式会社東芝研究開発センター), 花谷嘉一(株式会社東芝研究開発センター): 機械学習の発展に伴い、AIをターゲットとした攻撃についての研究が年々増加している。学習済みの機械学習モデルへ問い合わせを行うことでモデルの機能を盗むモデル抽出攻撃は、モデル情報の漏えいだけでなく、それに伴う技術的ノウハウの流出、ビジネスモデルの崩壊、別攻撃への転用等の被害が生じる可能性が十分に存在することが明らかになっている。これらを未然に防ぐため、未知の手法に対しても効果的と言える対策手法を検討することが重要である。対策手法の検討方針の一種として、既存攻撃手法を体系的に整理し、定式化を図ることが挙げられる。モデル抽出攻撃について体系的な整理や定式化検討を行う研究はいくつか存在するが、攻撃者の事前情報に注目した検討を行った研究は我々の調査の中では見つけることができていない。本稿では、攻撃者の事前情報に焦点を当てた既存手法のモデル化について検討を行う。これにより、今まで十分に検討されてこなかったモデル抽出攻撃を行う攻撃者の事前知識に関する差を明らかにする。

[ 2D2-2:WEB概要版PDF ]

2D2-3

OP-TEEを用いた隔離AIハードウェアアクセラレーションの実装評価 Implementation and Evaluation of Isolated AI hardware acceleration with OP-TEE 〇中井綱人(三菱電機株式会社), 鈴木大輔(三菱電機株式会社), 藤野毅(立命館大学): 深層学習などの大規模な機械学習の演算には，大量の計算量やメモリ量が必要であり，多くの場合，ハードウェアアクセラレーションが行われている．機械学習の演算には，モデル情報やデータの機密性や実行タスクの完全性を目的とした隔離実行が求められる場合がある．例えば，生体認証等の重要な機能に機械学習を用いる場合は，通常のアプリケーションから隔離された信頼できる環境で実行される必要がある．ハードウェアアクセラレーションを用いた機械学習演算の隔離実行は，専用回路を組み込んだ独自のアーキテクチャで実現することが多い．オープンソースや汎用のセキュリティ機能によるAIハードウェアアクセラレーションの隔離実行に関する先行研究として，Xieらは，設計コストを抑えた方式を提案しているが，その実装や評価は十分に示されていない．本論文では，オープンソースの信頼できる環境OP-TEEを活用したAIハードウェアアクセラレータの隔離実行に関する実装評価を報告する．本論文の寄与は，オープンソースや汎用セキュリティ機能を用いたAIハードウェアアクセラレーションの隔離実行に関する実装評価にある．

[ 2D2-3:WEB概要版PDF ]

2D2-4

シンプルブラックボックス攻撃の対策手法に関する検討 Designing Countermeasures of the Simple Black-box Attack 鵜島廉(金沢大学), ◎井林大成(金沢大学), 満保雅浩(金沢大学): Adversarial Examples には攻撃者が攻撃対象のモデルの内部情報を持つ「White-box 攻撃」と「Black-box 攻撃」の2 つに分類することができ, その中でも攻撃対象となるモデルに関する情報を制限された状況下で攻撃を行うBlack-box 攻撃はより攻撃の実行が現実的な攻撃シナリオであるので対策を考えておく必要がある．本論文ではBlack-box 攻撃の一種であるSimple Black-box Attack の対策手法を提案し, 実装し, 提案手法の評価を行う．

[ 2D2-4:WEB概要版PDF ]

2D3-1

ブロックチェーンを用いた重複データ排除機能付きマルチクラウドストレージ監査方式 Deduplicatable Multi-Cloud Storage Data Auditing Scheme Using Blockchain 〇廣友雅徳(佐賀大学), 嘉戸裕一(神戸大学), 白石善明(神戸大学), 今村光良(野村アセットマネジメント株式会社), 森井昌克(神戸大学): ネットワークストレージサービスはストレージシステムの安全性，信頼性，スケーラビリティを解決する手段であり，現在広く普及している．クラウドストレージサービスにおいてデータ監査は重要な課題と考えられており，PDP（Provable Data Possession）は有効である．また，ブロックチェーン技術を応用したクラウドストレージのPDP監査方式がいくつか提案されている．さらに，重複データ排除機能やマルチクラウド対応について研究がなされている．しかしながら，その多くは第三者監査機関の信頼性に基づいて機能が実現されている．本稿では，第三者監査機関を必要としない重複データ排除機能付きマルチクラウドストレージ監査方式を提案する．提案方式では，第三者監査機関を用いず，ブロックチェーン技術の一つであるスマートコントラクトによってストレージ監査機能，重複データ排除機能を実現している．

[ 2D3-1:WEB概要版PDF ]

2D3-2

Conclave: A Collective Stake Pool Protocol Conclave: A Collective Stake Pool Protocol Dimitris Karakostas(University of Edinburgh/Input Output Hong Kong), Aggelos Kiayias(University of Edinburgh/Input Output Hong Kong), ◎ラランジェラマリオ(東京工業大学・インプットアウトプットホンコン): Proof-of-Stake (PoS) distributed ledgers are the most common alternative to Bitcoin’s Proof-of-Work (PoW) paradigm, replacing the hardware dependency with stake, i.e., assets that a party controls. Similar to PoW’s mining pools, PoS’s stake pools, i.e., collaborative entities comprising of multiple stakeholders, allow a party to earn rewards more regularly, compared to participating on an individual basis. However, stake pools tend to increase centralization, since they are typically managed by a single party that acts on behalf of the pool’s members. In this work we propose Conclave, a formal design of a Collective Stake Pool, i.e., a decentralized pool with no single point of authority. We formalize Conclave as an ideal functionality and implement it as a distributed protocol, based on standard cryptographic primitives. Among Conclave’s building blocks is a weighted threshold signature scheme (WTSS); to that end, we define a WTSS ideal functionality — which might be of independent interest — and propose two constructions based on threshold ECDSA, which enable (1) fast trustless setup and (2) identifiable aborts

[ 2D3-2:WEB概要版PDF ]

2D3-3

プライバシーを考慮したブロックチェーンを用いた柔軟なコンタクトトレーシング手法 A blockchain-based flexible contact tracing considering privacy ◎福田竜央(筑波大学), 面和成(筑波大学/情報通信研究機構): IoT機器の活用事例として、デバイス所有者の行動履歴を追跡するコンタクトトレーシングがあり、感染症対策や犯罪対策に利用されている。一方で、コンタクトトレーシングでは位置情報など個人の情報を集めるため、プライバシーの問題があり、特に中央集権的な仕組みの場合、どのようなデータが収集されているか等の懸念が存在する。この様な背景から、分散管理可能なブロックチェーンを組み合わせたコンタクトトレーシングの研究が行われているが、多くの研究ではユーザーによるデータの偽造を考慮していない。ユーザーによるデータの偽造を考慮した研究としてLvらの研究があるが、この手法ではユーザーが多くの鍵を管理する必要がある。そこで、本研究では、ユーザーによるデータの偽造及びプライバシーを考慮したブロックチェーンを用いたコンタクトトレーシング手法を提案し、スマートフォンを用いて実装を行い、提案手法の実現可能性を示す。提案手法を用いる事で、Lvらの手法よりも鍵管理コストを減らしながら、ユーザーのプライバシーを保護し、必要に応じてユーザーの同意を得る事で、詳細な行動履歴の追跡ができる柔軟なコンタクトトレーシングを実現する。

[ 2D3-3:WEB概要版PDF ]

2D4-1

LPWAネットワークに適したノード間分散台帳方式の分割に関する一考察 Considerations for Partitioning the Distributed Ledger among Nodes on LPWA Network ◎江口力哉(早稲田大学), 佐古和恵(早稲田大学), 徳武孝紀(早稲田大学), 丸山優祐(早稲田大学), 佐藤俊雄(早稲田大学), 余恪平(早稲田大学), 文鄭(早稲田大学), 斉欣(早稲田大学), 柴田巧一(Skeed), 佐藤拓朗(早稲田大学): 　これまでの研究で，IoT デバイスを用いて，分散軽量台帳上でポイント交換を行う方法を検討してきた．IoT デバイス間の通信には LPWA ネットワーク (LowPower Wide Area network) を用い，完全に独立して省電力で長時間稼働できるようにすることによって，災害時でもシステムの利用が可能な仕組みを提案してきた．　この検討においてはIoT デバイスを用いてシステムを構築しているため，限られたディスク容量や通信容量を有効活用する必要がある．そのため，全ての口座情報を一つの台帳で管理し, すべてのノードがこの台帳を保有するのではなく，ノードによって扱う口座を限定することによって，一つのノードが管理する台帳の容量を削減する改良を考える．　この結果，台帳が複数に分割されることにより，ノードのディスク容量を削減することができるが，扱う口座がどれだけの数のノードによって管理されているかによって多数決の判断が変わることになり，台帳の管理が煩雑になるなどの弊害が考えられる．　本稿では，分割された台帳間で適切に合意を取るための方法について検討する．

[ 2D4-1:WEB概要版PDF ]

2D4-2

Interhead Hydra: Two Heads are Better than One Interhead Hydra: Two Heads are Better than One ◎Maxim Jourenko(東京大学), Mario Larangeira(東京工業大学. IOHK), Keisuke Tanaka(東京工業大学): Distributed ledger are maintained through consensus protocols executed by mutually distrustful parties. However, these consensus protocols have inherent limitations thus resulting in scalability issues of the ledger. Layer-2 protocols operate on channels and allow parties to interact with another without going through the consensus protocol albeit relying on its security as fall-back. Prominent Layer-2 protocols are payment channels for Bitcoin and State Channels for Ethereum. Channels can be concatenated into networks using techniques such as Hashed Timelocked Contracts to execute payments or virtual state channels as introduced by Dziembowski et al. [CCS'18] to execute state machines. The parties on a path of channels called the intermediaries ensure security and commit collateral to ensure no funds are lost for honest parties. Dziembowski et al. [Eurocrypt'19] and more recently Hydra heads [FC'21] introduced multi-party state channels. There are no dedicated constructions that utilize multi-party channels and similarly allow more than two parties to interact across a network of such channels. This presentation shows our ongoing-work to address this gap by extending Hydra and introducing the Interhead construction that allows for the iterative creation of virtual Hydra heads.

[ 2D4-2:WEB概要版PDF ]

2D4-3

LPWAネットワーク上の分散台帳を用いたポイント取引システムの端末設計 Design of a terminal for a point transaction system using distributed ledger on LPWA network ◎丸山優祐(早稲田大学), 佐古和恵(早稲田大学), 徳武孝紀(早稲田大学), 江口力哉(早稲田大学), 佐藤俊雄(早稲田大学), 余恪平(早稲田大学), 文鄭(早稲田大学), 斉欣(早稲田大学), 柴田巧一(Skeed), 佐藤拓朗(早稲田大学): LPWAネットワーク（Low Power Wide Area network)は、電池駆動が想定されるIoT機器をノードとして消費電力を抑えて遠距離通信を実現する通信方式である。LPWAネットワークにおいて、各ノードが無線到達距離内の近隣ノードに一斉同報することで台帳情報を伝達することによる分散台帳方式が考えられる。この方式は、災害時にも通信を継続させることができるといった利点が考えられる。この方式を用いて地域のポイント交換システムを構築する。各ユーザはユーザデバイスをもち、街中にあるノードに対して店舗デバイスから「AからBにXポイントを移転する」というトランザクションをAとBの署名付きで送信する。するとLPWAネットワークで管理されている台帳に記録される。本稿では、上記のシステムを構築するにあたって端末の設計および通信方式について検討する。本設計では、ユーザデバイスが署名を発行するためユーザデバイスの承認無しにトランザクションを窓口ノードに送信しても台帳ネットワーク上で受理されない方式となっている。また、ユーザデバイスは直接窓口ノードに問い合わせ、自身の台帳を参照できる。

[ 2D4-3:WEB概要版PDF ]

2D4-4

分散台帳への秘密鍵の封入による協同運用可能な公開鍵証明書発行基盤の実装と評価 Implementation and Evaluation of a Public Key Certificate Issuance Platform for Cooperative Operation by Enclosing Private Keys in a Distributed Ledger ◎熊谷圭太(名古屋工業大学), 掛井将平(名古屋工業大学), 白石善明(神戸大学), 齋藤彰一(名古屋工業大学): 複数の組織が協同運用するコンソーシアム型のシステムでは，ユーザやデバイス，サービスなどの多様な主体がシステムに接続されることが考えられる．これらの主体の真正性を保証し，認証された主体だけをシステムに接続させる仕組みとして公開鍵基盤が広く知られている．公開鍵基盤は主体の真正性の確認と公開鍵証明書の発行を認証局が行うモデルであり，認証局を運用する特定の組織への信頼が前提となることから，コンソーシアム型のシステムにおいては単一障害点となりうる．我々は先行研究において，コンソーシアムに参加する組織で公開鍵証明書発行基盤（以下，分散型公開鍵証明書発行基盤と呼ぶ）を協同運用するための要件整理とプロトコルの設計を行った．そして，Hyperledger FabricとIntel SGXを用いて分散型公開鍵証明書発行基盤が構築可能であることを示した．本稿では，先行研究での設計に基づいてHyperledger FabricとIntel SGXを用いた分散型公開鍵証明書発行基盤の実装とその性能評価を示す．

[ 2D4-4:WEB概要版PDF ]

2D5-1

AI認証：説明可能AIによるニューラルネットの識別 AI Authentication by Explainable AI ◎芦澤奈実(NTT社会情報研究所), 鈴木亮平(NTT社会情報研究所), 桐淵直人(NTT社会情報研究所), 大木哲史(静岡大学大学院総合科学技術研究科), 峰野博史(静岡大学大学院総合科学技術研究科), 西垣正勝(静岡大学大学院総合科学技術研究科): 実社会のあらゆる分野でAIの利活用が進んでいる。しかし、AIが生活に浸透した将来、AIのなりすましによる被害（例えばAIを介した詐欺）が社会問題になると想定される。よって、AIの学習済みモデルが不正でないと認証できることが重要となる。現在、モデルを確認する手法として、電子透かしやモデル自体が有する性質を外的に確認する手法の研究が進んでいる。しかしこれらの手法は知的財産保護を主目的とし、モデルの製作者がモデルを区別するに留まる。そのためモデルの利用者が不正なモデルを認証することはできない。加えて学習済みモデルは、従来のソフトウェアと異なり刻一刻と変化するだけでなく、状況に応じて様々な使い分けが想定され、唯一性がない。そのため、従来の認証方式をAIに適用するだけでは不十分であり、AIに適した認証方式の検討が必要となる。本稿では、説明可能AIの説明性を用いてモデルを区別する手法を提案する。説明性を用いることで、ユーザによる不正モデルの確認を可能にし、モデルの変化にも対応可能となる。この手法をさらに発展させることで、説明性によるAIの識別・認証の実現を目指す。

[ 2D5-1:WEB概要版PDF ]

2D5-2

人工知能を伴う監視カメラによる全方位からの撮影に対する耐人物検出機能を持つ衣類の作成 Creation of Clothes with Human Detection Resistance against Shooting from All Directions by Surveillance Cameras with Artificial Intelligence ◎金井春輝(東京工科大学大学院), 宇田隆哉(東京工科大学大学院): 深層学習による分類は既存技術と比べ非常に高い精度で分類が行える場合があるため非常に注目されている．特に，監視カメラシステムでは画像分類を行う深層学習技術が利用され始めており，簡易的な人物検出を行う製品が個人向けとしても販売されている．このような監視カメラシステムは犯罪の抑止や犯罪の解決に貢献しているといえる．しかし一方で，犯罪などとは無関係の個人が人物検出によってリスト化されてしまうなど，プライバシーを侵害されるリスクが高まっていると考えられる．深層学習画像分類技術において，利用されるCNN(畳み込みニューラルネットワーク)は故意に誤分類させる目的で計算された画像に対して脆弱であることが知られている．これをAdversarial Patchと呼ぶ．本研究ではCNNの脆弱性をあえて利用し，着用者のプライバシーを守るために様々な方向から監視カメラシステムに撮影された場合でも人物検出に耐性を持つ衣類を作成することに成功した．

[ 2D5-2:WEB概要版PDF ]

2D5-3

シンボルが削除されたIoTマルウェアにおける自然言語処理を用いた関数名推定 Function Name Estimation by Natural Language Processing in Symbol-Stripped IoT Malware ◎イボットアリジャン(筑波大学), 大山恵弘(筑波大学): 近年，IoTデバイスの普及に伴い，それを狙ったIoTマルウェアが増加している．一方でIoTマルウェアは，今まで研究されてきたWindowsマルウェアと異なる点が存在する．それは多くのIoTマルウェアが静的リンクでありながらシンボルが削除されている点である．シンボルが削除されたファイルでは関数の境界や名前がわからなくなるため，関数からマルウェアの機能を推定することが難しくなる．本研究ではIoTマルウェアを対象とした，自然言語処理を使った関数名推定手法を提案する．提案手法ではアセンブリ命令列の対訳を関数名とするコーパスを機械学習により学習し，それにより得たモデルを用いて関数名を推定する．実験では，IoTマルウェアから取得した関数をデータセットとして使い，提案手法の評価を行った．その結果，提案手法は精度と学習時間の面で，既存手法より優れていることがわかった．また，推定された関数名を使ったマルウェア分類や転移学習，より強力な自然言語処理アルゴリズムに関する実験・調査も行った．本研究は，自然言語処理がIoTマルウェアの関数名推定に有効であることを示している．

[ 2D5-3:WEB概要版PDF ]

3D1-1

ペアリング高速計算に適した楕円曲線における群所属判定 A Note on Group Membership Check in Elliptic Curves for Pairings 〇安田貴徳(岡山理科大学), 石井将大(東京工業大学), 照屋唯紀(産業技術総合研究所): ペアリングに基づく多くの暗号プロトコルは，位数が十分に大きい素数の有理点部分群における離散対数問題の計算困難性に基づき，暗号学的な安全性が証明される暗号技術である．このような暗号技術の実装は，その処理で取り扱う群の値が実際にその有理点部分群に所属する単位元以外の非自明な値であることを保証しなければならない．これが保証されない場合，その暗号学的な安全性は成立せず，何らかの攻撃法が適用可能となる恐れがある．この保証を行う一般的な方法として，群所属判定やcofactor clearingなどがある．本稿では群所属判定に注目し，その背景理論を整理する．そして，pairing-friendly曲線などペアリング高速計算に適した楕円曲線について，ペアリングの入出力群の自己準同型環，特に自己同型写像とFrobenius写像を利用し，適切な部分群に所属していることを判定できる，効率的に計算可能な群所属判定方法を提案する．

[ 3D1-1:WEB概要版PDF ]

3D1-2

鍵付き準同型暗号における演算の拡張と安全性 How extension of evaluation algorithms affects security of keyed-homomorphic encryption ◎篠木寛鵬(東京大学), 縫田光司(九州大学/産業技術総合研究所): 準同型暗号は暗号文の状態のまま演算を行うことができる公開鍵暗号方式である．しかし，準同型暗号は公開鍵暗号において達成することが望ましいとされるIND-CCA2安全性をみたすことができない．そこで，演算に必要な鍵を導入することで安全性を高めた鍵付き準同型暗号が提案された (Emura et al., PKC 2013)．鍵付き準同型暗号の演算アルゴリズムは２つの暗号文に対して実行するものとして定式化されており，それに基づいて安全性が定義されている．本稿では，演算アルゴリズムの入力を任意の個数へと拡張した場合に安全性がどのように変化するかを考察した．また，線型演算が可能な鍵付き準同型暗号に対して，１回の乗算を行うアルゴリズムを追加する手法を提案した．この手法は，線型準同型暗号に対して１回の乗算アルゴリズムを追加するCatalano-Fiore変換を鍵付き準同型暗号に適用し，安全性をみたすように改良を加えたものである．

[ 3D1-2:WEB概要版PDF ]

3D1-3

帰着効率がタイトなhelper付きUnruh変換の提案と効率的なディジタル署名の構成 Unruh Transform using Helper with Tight Reduction and Construction of Efficient Digital Signatures ◎加藤拓(東京大学大学院情報理工学系研究科数理情報学専攻), 古江弘樹(東京大学大学院情報理工学系研究科数理情報学専攻), 高木剛(東京大学大学院情報理工学系研究科数理情報学専攻): ディジタル署名はIDSを変換して構成することが可能である. そこで用いられる変換としてFiat-Shamir変換とUnruh変換があげられる. Unruh変換は帰着効率がタイトな安全性証明を持つため安全性に優れているが, Fiat-Shamir変換に比べて署名長が長いという特徴を持つ. 本研究では, helper付きIDSという特殊なIDSに対するUnruh変換(helper付きUnruh変換)を構成し, 高い安全性となるタイトな帰着を持つディジタル署名を提案する. Helper付きIDSをディジタル署名に変換する際にcut-and-chooseと呼ばれる手法を適用するため, 既存のUnruh変換を用いたディジタル署名と比較して, 署名長を削減することができる. 更に本研究ではhelper付きUnruh変換を用いてPicnic3を改良し, 署名生成と認証の計算時間及び, 署名長を削減した.

[ 3D1-3:WEB概要版PDF ]

3D2-1

低リソースデバイス制御のための匿名放送型認証技術の提案 Practical anonymous broadcast authentification from DLP and lattices 〇青野良範(情報通信研究機構), 四方順司(横浜国立大学): 5GネットワークでのIoT機器の制御を目的とした匿名放送型認証方式（ABA; Anonymous Broadcast Authentification）の提案を行う．具体的な仕様目標として，数百万台の機器に同時にコマンドを送信可能なプロトコルで，偽造不可能性と匿名性を持ち，量子計算機に対する耐性を持つものが望ましい．本稿では，これらの性質を持つプロトコルの実現可能性に関して議論し，小型デバイス上で実装可能なリソースの範囲内で運用可能なものを提案する。構成の方針として，まずバーナム暗号ベースのMulti-receiver Encryptionを構成する．この方式は自身以外のデバイスが受信する平文に関して情報理論的安全性を持つ．次に，黒澤ら(Asiacrypt98)の方法により，繰り返し使用可能なElGamal暗号ベースの方式に変換したもの，およびDing(2012,2018)のLWEベース鍵交換の方法を参考とした，格子ベースの方法を提案する．これらのABAを直列に複数個組み合わせることで，低リソース環境での利用が期待されるABAを構成する．

[ 3D2-1:WEB概要版PDF ]

3D2-2

LWE問題を用いたマジック状態生成機能の検証 Computational self-testing for entangled magic states ◎竹内勇貴(NTT コミュニケーション科学基礎研究所), 水谷明博(三菱電機株式会社情報技術総合研究所), 廣政良(三菱電機株式会社情報技術総合研究所), 相川勇輔(三菱電機株式会社情報技術総合研究所), 谷誠一郎(NTT コミュニケーション科学基礎研究所): 近年、MetgerとVidickはLWE問題の困難性を利用することで、ベル状態のセルフテストを単一の量子計算機で行う方法を提案した。セルフテストとは、量子計算機が指定された量子状態の生成とその測定を行っているかを古典計算機で検証する手法のことで、従来は複数の量子計算機を必要としていた。彼らの方法は、ベル状態がスタビライザー状態という古典計算機で効率良く扱える量子状態の1種であることに基づいているため、同様のセルフテストを非スタビライザー状態に拡張出来るかは未解決だった。複数ある非スタビライザー状態の中でも、特にマジック状態は(耐故障性)量子計算の重要なリソースである。本発表では、LWE問題の困難性を用いて、CCZゲートに対するマジック状態がセルフテスト可能なことを示すとともに、Tゲートに対するマジック状態は既存の方法では不可能なことも示す。さらに、我々のセルフテストをサブルーチンとして、量子性証明プロトコル (proof of quantumness)を構成する。本プロトコルでは量子性の測度としてマジックを用いることで、与えられたデバイスが量子デバイスであることを古典計算機だけで検証出来る。

[ 3D2-2:WEB概要版PDF ]

3D2-3

高効率な失効機能付きIDベース認証鍵交換の構成 Construction of Efficient Revocable Identity-Based Authenticated Key Exchange ◎中川皓平(NTT社会情報研究所), 割木寿将(神奈川大学), 岡野裕樹(NTT社会情報研究所), 藤岡淳(神奈川大学), 永井彰(NTT社会情報研究所): IDベースAKEには長期運用の観点から, PKIと同様, 鍵失効機能が必要とされる. 失効機能を有する既存のIDベースAKEとしては, PKGを階層化したRHIB-AKEが存在する. このRHIB-AKEは, 階層化によりPKGの鍵生成にかかる負担を抑えることができる反面, 各参加者の鍵交換に要する計算コストが大きい. IDベース鍵交換はIoT機器などの計算リソースの小さい機器上での応用が期待されているため, より小さい計算コストで鍵交換プロトコルを実行できることが望ましい. そこで本稿では, PKGを階層化しないような失効機能付きIDベースAKE(RIB-AKE)を新たに考え, その安全性の定義と実現例を与える. なお, 実現例についてはKEMに基づくgenericな構成と, より計算コストの小さいdedicateな構成を示す.

[ 3D2-3:WEB概要版PDF ]

3D2-4

QUICへのIDベース認証鍵交換TFNSの適用と実装評価 Application of ID-Based Authenticated Key Exchange TFNS to QUIC and Its Implementation 〇村上啓造(NTT社会情報研究所), 岡野裕樹(NTT社会情報研究所), 青木信雄(広島市立大学), 永井彰(NTT社会情報研究所): 2021年5月にIETFにてRFC9000として標準化された通信プロトコルであるQUICに対し，IDベース鍵交換プロトコルであるTFNSを適用する方式を提案する．TFNSは一回の鍵交換につきペアリング演算が一度で済むため，従来のIDベース鍵交換プロトコルに比べ，効率がよい．また，通信相手のIDを事前に知っていれば1ラウンドでの鍵交換が可能であるため，QUICにおける一往復のハンドシェイクに適用が可能である．TFNSを用いることで，QUICにて一般的に利用されるDH鍵交換と証明書による認証に比べ，証明書の送受信が不要となるため，通信データ量が削減でき，認証および鍵交換の性能向上が期待できる．QUICのハンドシェイク部分はTLS1.3をベースとしており，TLS1.3へTFNSを適用した場合の結果は既報の通りである．QUICはトランスポート層としてUDPを用いるQUICにTFNSを実際に組み込んで動作検証を行った．本稿では，QUICの実装としてmicrosoft社のMsQuicを用い，通信遅延，通信帯域，パケットロス率を段階的に変更し，ハンドシェイクにかかる時間を測定した結果について述べる．

[ 3D2-4:WEB概要版PDF ]

3D2-5

追跡可能集約署名に対する潜在的な攻撃とその対処法に関する考察 A Study of A Potential Attack on Fault-Tolerant Aggregate Signature Schemes and How to Deal with It 〇山下恭佑(産業技術総合研究所), 石井龍(東京大学/産業技術総合研究所), 照屋唯紀(産業技術総合研究所), 坂井祐介(産業技術総合研究所), 花岡悟一郎(産業技術総合研究所), 松浦幹太(東京大学), 松本勉(横浜国立大学/産業技術総合研究所): 追跡可能集約署名(fault-tolerant aggregate signature schemes, Hartung ら, PKC ’16)とは，集約署名に不正な署名が混入していた場合にその発信元を特定する能力を具備した方式である.集約署名はセンサーネットワークや効率的なルーティングへの応用が期待されている暗号機能であり，そのためにも不正者特定は重要な機能として注目を浴びている.追跡可能集約署名の一般的構成は既にいくつか提案されているが，本稿では石井ら(ACNS SCI ’21)の提案した動的な不正者に耐性を持つマルチラウンドな追跡可能集約署名の拡張を考える.彼らは安全性の定式化のために不正者が毎ラウンド少なくとも 1 人は現れるモデルを考えた.そのような仮定は先述のアプリケーションへの適用を考える際には非現実的であるため，我々は不正者が不正をしないラウンドを許容するモデルを検討した.その結果，追跡可能集約署名を現実に利用する場合に潜在的に起こり得る効率性に対する新たな攻撃の可能性を発見し，それに効率的に対処するためのアルゴリズムを提案した.

[ 3D2-5:WEB概要版PDF ]

3D3-1

fastTextとLSTMを用いたマルウェア検知手法の提案 Proposal of Malware Detection Method Using fastText and LSTM to PE Strings ◎岸端晃毅(岩手県立大学ソフトウェア情報学研究科), 成田匡輝(岩手県立大学ソフトウェア情報学研究科): 亜種を含む新規のマルウェアは日々多く観測されており，解析の人的及び時間的なコストは非常に高い．マルウェア解析は表層解析，動的解析，静的解析に分類でき，表層解析は動的解析や静的解析と比較して解析コストが低い．表層解析による類似性の高い検体の除外はその後の工程を適用する検体数が減少するため解析コストの削減につながる．本研究では表層解析を利用して取得した文字列に対してfastTextとLSTMを用いたマルウェア検知手法を提案する．本稿には2種類の手法が含まれ，それらに対して評価実験により性能評価を行う．教師ありfastTextを用いた手法はfastTextの軽量性に着目した低負荷な検知手法である．教師なしfastTextによる単語の埋め込みとLSTMを用いた手法は教師ありの手法と比較してより詳細な文字列の構造に着目した検知手法である．本手法を利用することで文字列間の類似度の数値化や解析対象のマルウェア数の削減による解析のコストの減少が期待できる．

[ 3D3-1:WEB概要版PDF ]

3D3-2

VMMを用いたプログラム実行時の証拠取得機能における取得対象の拡張と改ざん耐性の向上 Extension of Target Information and Improvement of Tamper Resistance for VMM-Based Evidence Collection Function of Program Execution ◎伊藤寛史(岡山大学大学院自然科学研究科), 中村徹(KDDI総合研究所/国際電気通信基礎技術研究所), 磯原隆将(KDDI総合研究所), 山内利宏(岡山大学学術研究院自然科学学域/国際電気通信基礎技術研究所): 利用者が実行したプログラムについて，実行環境，実行過程，および実行結果の証拠を保全し，検証可能にすることは重要である．証拠に基づく検証により，脆弱性の悪用および改ざんされたプログラムやライブラリがプログラムの実行過程に含まれていないことを保証できる．我々は，仮想計算機モニタを用いて，プログラム実行の証拠を保全するシステム（以降，従来のシステム）を提案した．従来のシステムでは，プログラム実行時に利用されたライブラリ情報について，取得方法および改ざんされる前に情報を取得する方法は示されている．しかし，証拠として取得する情報のうち，ライブラリ以外の情報について，取得する方法および改ざん前に情報を取得する方法は検討されていない．また，改ざん防止のため，ゲストで取得した情報をゲストから隔離する方法は検討されていない．本稿では，従来のシステムを拡張し，ライブラリ以外の情報について，取得方法，改ざん前に情報を取得する方法を提案する．また，ゲストからホストへ取得した情報を転送する方法を提案する．また，拡張したシステムの実現方式を示し，取得する情報の例および情報取得によるオーバヘッドの評価結果を述べる．

[ 3D3-2:WEB概要版PDF ]

3D3-3

IoT機器における効率的な真贋判定方式 Efficient authenticity and integrity monitoring technology for IoT devices 〇千葉伸浩(NTT社会情報研究所), 瀧口浩義(NTT社会情報研究所), 中嶋良彰(NTT社会情報研究所): IoT(Internet of Things)機器は、工場、ビル、医療現場、家庭等で幅広く使用されている．しかし、これらの機器は、限られたリソースしかなく、十分なセキュリティ対策が行えない場合が多い．このため万一機器内ファイルの改ざんといったサイバー攻撃が行われても、これに早期に気付くことが困難である．このような攻撃を早期に検知するため、機器内のファイルの整合性等を常時監視することにより、ファイルの改ざんを検知する方式（ソフトウェア真贋判定）が有効であるが、従来の方法では、リソース制限が厳しいIoT機器内で動作させると、時間がかかったり、検知漏れが生じたりする場合がある等の課題があった．本稿では、リソースの少ないIoT機器であっても、機器内ファイルの改ざんに早期に気付くことができるよう、ファイルの格納領域の位置情報と、ファイルの属性情報を組み合わせて用いることで、効率的に、漏れなく改ざんを検知可能な新方式を提案し、有効性について評価を行った．

[ 3D3-3:WEB概要版PDF ]

3D3-4

ゼロトラストを利用したIRMによる情報流出対策の考察 Information leakage prevention by IRM using Zero Trust ◎宇野正人(東京通信大学), 角尾幸保(東京通信大学): 近年では多くの組織が、従来からの内部ネットワークの活用だけでなく、クラウドサービスの利用や外部ネットワークからのアクセスが拡大している。その結果、組織が管理すべきネットワーク環境の複雑さは簡単に社内外を区別できる境界線を定義することが困難となっている。そのため、現在主流の境界型の防御モデルでは、不正アクセス行為による情報窃取及びデータ暴露に対して十分な効果を持たないことが明らかになってきた。境界型モデルでは一度攻撃者が境界を突破すると、それ以降の内部ネットワークの横断移動及び情報窃取を防ぐことが困難であり、新たな防御技術の導入が必要と考えられる。本研究では、不正アクセス行為の情報窃取及びデータ暴露の防止を可能とするために、ゼロトラストを利用したＩＲＭモデルを提案する。ゼロトラストの動的ポリシーの適用により、不正アクセス行為による情報窃取の防止が可能となり、ＩＲＭ機能の適用により、情報窃取後のデータ暴露の防止が可能となる。本研究では、提案モデルが動的ポリシーを効果的に機能させるために必要となる収集すべき情報を整理した。

[ 3D3-4:WEB概要版PDF ]

3D3-5

NASを標的とするランサムウェア攻撃のハニーポットと動的解析による分析 Analyzing Ransomware Attacks Targeting NAS using Honeypot and Sandbox ◎安井浩基(横浜国立大学), 井上貴弘(横浜国立大学), 佐々木貴之(横浜国立大学先端科学高等研究院), 田辺瑠偉(横浜国立大学先端科学高等研究院), 吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院), 松本勉(横浜国立大学大学院環境情報研究院/先端科学高等研究院): 個人の利用するIoT機器の一種にNAS（Network Attached Storage）がある。NASはネットワークを通じて利用できるストレージ機器であり、ユーザは自身のファイルをNASへ格納することによって、記憶領域の拡張やバックアップの作成などを行う。近年、NASを標的としたランサムウェアの被害報告が増えている一方で、その攻撃の実態は十分な調査がなされていない。本稿では、NASを狙うランサムウェアについて、ハニーポットによる攻撃の観測およびマルウェア検体の解析を通して実態の調査を行った結果を報告する。

[ 3D3-5:WEB概要版PDF ]

4D1-1

制御システムに対する脆弱性を考慮したスーパーバイザの設計 Synthesis of Control Systems Supervisor Considering Vulnerability ◎小川寛太(電気通信大学), 阪田恒晟(電気通信大学), 澤田賢治(電気通信大学): 制御システムにおいてサイバー攻撃のリスクが増加している．本研究では制御システムの情報を統合管理するSCADAを対象に，SCADAの制御仕様に現れる脆弱性の発見と脆弱性攻撃に対する防御型スーパーバイザの設計を目的とする．SCADAは制御システムが制御仕様に沿うように振る舞いを管理し，この振る舞い管理はスーパーバイザと呼称される．スーパーバイザの制御仕様は保守点検の容易性や制御現場でのカスタマイズ性を想定し，ある程度自由度をもって設計される．また，仕様を緻密にすると，対応するスーパーバイザがアルゴリズム的に存在しなくなる．一方で，仕様の自由度やアルゴリズムの組みやすさを優先すると，望まない制御パターンが発生し，それが脆弱性として現れる．本研究ではこの脆弱性とその攻撃をモデル化する方法をスーパーバイザ制御理論により与える．脆弱性攻撃のモデルに基づき，攻撃発生後のシステムの振る舞いを管理する防御型スーパーバイザの設計方法を考える．本稿ではファクトリーオートメーション用の3Dシミュレータを活用し，攻撃側のスーパーバイザと防御側のスーパーバイザの設計方法を検討する．

[ 4D1-1:WEB概要版PDF ]

4D1-2

制御システムにおけるインシデント発生後の状態復帰動作の導出方法 A Method for Deriving the State Recovery Operation after an Incident in a Control System ◎池田佳輝(電気通信大学), 阪田恒晟(電気通信大学), 澤田賢治(電気通信大学), 藤田淳也(日立製作所), 松本典剛(日立製作所): 制御システムへのサイバー攻撃事例は増加傾向にある．本研究ではサイバー攻撃下のダメージコントロールに焦点を当て，プラントが異常な振る舞いをしたときに状態復帰させるための動作順序の導出を目指す．サイバー攻撃下にあるプラントを速やかに停止もしくは正常状態に復帰させる事ができないと，攻撃継続による被害拡大やフィールド機器同士の接触や干渉による二次被害が発生する．被害局在化と二次被害回避のために，速やかかつ安全な動作順序の導出が課題となる．本研究では複数のロボットが稼働する工場を想定し，フィールド機器の可動域に基づく動作制限方法と最短経路探索に基づく動作順導出を提案する．前者は，プラントの通常の制御動作を有限オートマトンでモデル化し，可動域をもとに接触可能性のある遷移を制限し安全な動作を導出する．後者は動作順序をフィールド機器の各動作時間を重みとして有する有向木としてモデル化し，総時間が最小となる経路を求める．本稿では３Dシミュレータ上で再現したプラントを対象に，制御機器が異常な振る舞いをした状況を模擬する．実験環境において本手法を適用することで接触のない安全な状態復帰動作を導出可能とした．

[ 4D1-2:WEB概要版PDF ]

4D1-3

シーケンス制御システムに対するホワイトリスト式異常検知のための正常状態遷移のモデル化 Normal State Transition Modeling for Whitelisting Function of Sequential Control System ◎藤田真太郎(電気通信大学), 澤田賢治(電気通信大学): 制御システムの異常を検知する方法として，システムの正常な状態遷移をリストとして登録し，リストに登録されていない状態遷移を異常として検知するホワイトリスト式異常検知がある．本稿は，このホワイトリスト式異常検知のためのリストにあたる正常状態遷移モデルの生成手法を提案する．特に制御システムの中でも，離散事象システムとしてモデル化が可能なシーケンス制御システムを対象とする．シーケンス制御システムの多くは，リレー回路を模擬したラダー言語で制御されている．ラダー言語の離散事象モデル化手法は多く研究されているが，プラントの動作モデルは設計者が与える必要がある．更新などによりシステムの構成が変更した場合，従来手法ではモデルの再生成が困難である．そこで，シーケンス制御システムの動作ログから，プラントの動作モデルを生成する手法を提案し，状態遷移モデルの生成を行なう．本手法によって，ホワイトリストの生成に設計者の情報が不要となる．将来的には制御器がプログラムの解析とログ収集を行いホワイトリストの自動更新が可能となるとを目指す．

[ 4D1-3:WEB概要版PDF ]

4D2-1

信頼度を用いた実用的なProof of Personhoodプロトコルの提案 A Practical Proof of Personhood Protocol Using Credit Score ◎兵頭昇虎(東京工業大学), 尾形わかは(東京工業大学): パーミッションレスのコンセンサスアルゴリズムでは，Proof of WorkやProof of Stakeが一般的に用いられるが，どちらのアプローチにも一部の参加者によってコントロールされてしまうという不公平さの課題がある．これを解決する方法として，実在の人間と仮想的なIDを１対１で結びつけるメカニズムであるProof of Personhood(PoP)が提案されている．PoPのアプローチの１つにPseudonym Party(PP)がある．PPでは，参加者が実際に開催されている現実の集会に参加することで，その参加者と仮想的なIDが１対１で結びつけることができる．しかし，PPは，現実に定期的に開催されている集会に，毎回参加しなければならないという実用上の課題がある．そこで本研究では，PPを仮想的に実行するVirtual Pseudonym Party(VPP)の構築と，IDの所有者が他にIDを所有していないという信頼の度合いを示す信頼度の導入によって，PPの課題を解決する．また，本研究では信頼度型PoPの安全性を定義し，提案するVPPベースの信頼度型PoP方式が満たす安全性について評価する．

[ 4D2-1:WEB概要版PDF ]

4D2-2

公開ブロックチェーンのためのプライバシー保護データ共有フレームワーク A Privacy-Preserving Data Sharing Framework for Public Blockchains ◎丁曄澎(東京大学), 佐藤周行(東京大学): Worldwide decentralization of data persistence and sharing is advancing with the evolution of public blockchain technologies, as can be seen by the boom of decentralized applications (DApp). These DApps have presented a set of attractive properties that are generally achieved through on-chain data persistence and sharing supported by transparent public blockchains such as Ethereum that are permissionless and fully disclose all types of data. However, full transparency may lead to privacy issues. Besides, the on-chain persistence of large data is significantly expensive technically and economically. These issues lead to the difficulty of sharing fairly large private data while preserving attractive properties of public blockchains. In this paper, we propose Sunspot, a decentralized framework for privacy-preserving data sharing with access control on transparent public blockchains, to solve these issues. We also show the practicality and applicability of Sunspot by MyPub, a decentralized privacy-preserving publishing platform based on Sunspot. Furthermore, we evaluate the security and privacy of Sunspot through theoretical analysis and experiments.

[ 4D2-2:WEB概要版PDF ]

4D2-3

自律分散型組織DAOの匿名環境下における内部告発手法 Whistleblowing Method in Anonymous Environment of Decentralized Autonomous Organization:DAO ◎津田匠貴(九州工業大学), 荒木俊輔(九州工業大学), 正田英樹(九州工業大学), 安土茂亨(九州工業大学), 田中貴規(九州工業大学), 中城元臣(九州工業大学): Decentralized Autonomous Organization(DAO:自律分散型組織)は経済的な共通目的を持った匿名個人らが中央集権的な管理主体を持たずに活動を行う組織であり, 独自トークンの発行や分散台帳としての記録機能をもつブロックチェーン技術の使用を前提に成り立っている.このような組織が運営する分散的サービスはWeb3.0と呼ばれる.これに対し, 特定の企業が中央集権的に運営するTwitterなどの従来のサービスはWeb2.0と呼ばれる.Web3.0上の組織であるDAOには, 検閲耐性があり誰でも匿名で参加できるといったメリットがある一方, 自律分散型組織として機能するまでの間, 株式会社などの中央集権的組織が主体となって運営しており, 彼らによる資金の持ち逃げといった問題が数多く発生している.このような不正を防止し, コミュニティによる分散的統治を実現するために, 本研究ではEthereumブロックチェーンにおいて秘密分散法を用いたメンバーシップの導入と内部告発機能を提案する.これは不正を行う兆候があるユーザーを検知した場合に内部告発を行い, メンバーの投票による審議を行うことで不正を防止するスキームを目指している.

[ 4D2-3:WEB概要版PDF ]

4D2-4

分散型アイデンティティの永続的利用とプライバシー保護 Privacy enhanced durable usage of decentralized identity 〇坂本拓也(富士通株式会社), 牛田芽生恵(富士通株式会社), 福岡尊(富士通株式会社), 森永正信(富士通株式会社): 近年、オーソリティ(発行者)により確認されたアイデンティティ(ID)のクレデンシャルを利用者(証明者)が所有して第三者(検証者)に開示・証明することを可能にする分散型IDが実現されつつある。分散型IDでは、クレデンシャルの証明を署名ベースで行うため、秘密鍵が漏洩した場合には再発行が必要になるが、発行者がなくなっていて再発行できない場合もありうる。そこで、ブロックチェーンにタイムスタンプ付きで署名を保存し、ある日時以前にクレデンシャルが発行されたことを確認可能とすることで永続性を実現する手法を提案する。本提案では、クレデンシャルの開示・証明時、ゼロ知識証明の署名の知識の証明とメンバーシップ証明を組み合わせて証明することで、開示したクレデンシャルの正当性を示した上で、ブロックチェーン上のどの署名が開示・証明に利用した署名かを一意に識別できないようにする。これにより、同じ証明者が検証者に対して複数のアクセスをした場合であっても、署名を識別子として同一証明者によるアクセスかを識別できないアンリンカビリティが実現できる。

[ 4D2-4:WEB概要版PDF ]

4D2-5

鍵紛失時における非常ボタン式資金退避手法の実装と評価 An Implementation and Evaluation on "Emergency Button" Which Enables Crypto Asset Evacuation When Key Loss 〇松崎なつめ(長崎県立大学), 喜多義弘(長崎県立大学): 本論文では暗号資産の秘密鍵紛失対策について検討する．暗号資産において，秘密鍵は送金時のトランザクションに署名を施すために必要であり，秘密鍵の紛失は対応する暗号資産を紛失することに相当する．SCIS2020で提案された「非常ボタン式資産退避手法」は，秘密鍵を保有しているときに，スマートコントラクトを準備しておき，公開情報のみで，事前に準備しておいたスマートコントラクトを起動することで，紛失した秘密鍵に対応した資産を，避難して救済する方法である．本論文では，この手法をEthereum上に実装して評価する．

[ 4D2-5:WEB概要版PDF ]

4D2-6

検証可能なマッチング方式の一提案 A Proposal for a Verifiable Matching Method ◎福岡　尊(富士通株式会社), 坂本　拓也(富士通株式会社), 牛田　芽生恵(富士通株式会社): 分散的に管理されるデジタルID，すなわちDID（分散型アイデンティティ）の取り組みが近年注目されている．このDIDの下，発行者は電子署名を施した学歴等の証明書，いわゆるVC（Verifiable Credential）を発行し，個人は証明書を検証可能な形で開示，いわゆるVP（Verifiable Presentation）できる仕組みを実現できる．この枠組みの特徴として，分散管理されるDIDは永続性が高いこと，そのため発行証明書も高い永続性を持つことなどが挙げられる．この特徴は社会の持続可能性に貢献できるものであり，このエコシステムを加速させるためには，DID/VCを活用した事例創出が重要となる．その事例として，就職等におけるマッチングサービスを本論文では念頭に置く．DID/VCを活用した場合と従来を比較すると，より信頼のおける情報提示を実現できる一方，従来のプライバシー保護技術が直接適用できないという課題がある．そこで本論文では，DID/VCを活用したマッチングサービスを，マッチング事業者に属性情報を秘匿した上で実現し，信頼性の向上とプライバシー保護を両立する一つの方式を提案する．

[ 4D2-6:WEB概要版PDF ]

1E1-1

TTPを用いて1台のサーバで構成可能な秘密分散法による秘匿計算 Secrecy Computation using Secret Sharing Scheme Configurable on a Single Server using Trusted Third Party 〇岩村惠市(東京理科大学), 白井洸多(東京理科大学), 稲村勝樹(広島市立大学): semi-honestな攻撃者に対して，TTPを想定することでn≥2k-1でなくn≥kにおいて情報理論的に安全な秘匿計算が実行できるTUS方式が提案されている．本論文ではTTPをより有効に活用することによって最小1台のサーバで実現できる秘密分散法による秘匿計算法を提案する．これによって，同一の組織がサーバを管理しても秘密情報は漏洩しない．さらに，サーバ間の通信が不要となるため，秘密分散法による秘匿計算において問題となるサーバ間通信による遅延が発生せず，非常に高速な秘匿計算を実現することができる．

[ 1E1-1:WEB概要版PDF ]

1E1-2

Computational Irrelevancy: Bridging the Gap between Pseudo- and Real Randomness in MPC Protocols Computational Irrelevancy: Bridging the Gap between Pseudo- and Real Randomness in MPC Protocols ◎Nariyasu Heseri(東京大学情報理工学系研究科数理情報学専攻), Koji Nuida(Kyushu University / AIST): Due to the fact that classical computers cannot efficiently obtain random numbers, it is common practice to design cryptosystems in terms of real random numbers and then replace them with (cryptographically secure) pseudorandom ones for concrete implementations. However, as pointed out by [Nuida, PKC 2021], this technique may lead to compromise of security in secure multiparty computation (MPC) protocols. Although this work suggests using information-theoretically secure protocols and pseudorandom generators (PRGs) with high min-entropy to alleviate the problem, yet it is preferable to base the security on computational assumptions rather than the stronger information-theoretical ones. By observing that the contrived constructions in the aforementioned work use MPC protocols and PRGs that are closely related to each other, we notice that it may help to alleviate the problem by using protocols and PRGs that are 'unrelated' to each other. In this paper, we propose a notion called 'computational irrelevancy' to formalise the term 'unrelated' and under this condition provide a security guarantee under computational assumptions.

[ 1E1-2:WEB概要版PDF ]

1E1-3

HQC暗号を応用した秘匿内積計算プロトコル（III） A Secure Computation Protocal of Inner Product Using HQC Cryptosystem (III) ◎中山太雅(佐賀大学), 廣友雅徳(佐賀大学), 福田洋治(近畿大学), 毛利公美(岐阜大学), 白石善明(神戸大学): ビックデータ解析，データマイニングでは扱うデータに個人情報などの秘密情報が含まれるため，プライバシーを保護したまま計算できる秘匿計算が注目されている．それらの秘匿計算プロトコルは，素因数分解や離散対数問題などの数論ベースの問題の困難性を利用した公開鍵暗号を応用して設計されている．しかし，これらの問題は量子計算機によって容易に解けることが知られており，実用的な量子計算機が実現した場合，秘匿計算プロトコルの安全性は保てなくなる．このような問題に対し，耐量子を有する暗号として符号ベース暗号方式がいくつか提案されている．筆者らは，HQC暗号を応用した秘匿内積計算プロトコルを提案している．そのプロトコルでは長さ2，3のベクトルの内積計算が可能であった．本稿では，任意の長さのベクトルの内積計算を可能とする秘匿内積計算プロトコルを提案する．さらに，提案プロトコルの安全性を評価し，セキュリティ強度とパラメータの関係を示す．

[ 1E1-3:WEB概要版PDF ]

1E1-4

プログレッシブ型視覚暗号に対する安全性評価に関する考察 A study of security analysis of Progressive Visual Cryptography ◎レタンタイビン(防衛大学校), 田中秀磨(防衛大学校): プログレッシブ型視覚暗号 (Progressive Visual Cryptography-PVC) は視覚暗号 (Visual Cryptography-VC) の一種であり、復元画像の画質が使用するシェア画像の枚数に依存する特徴がある。これまでのPVCの評価は、画質向上に関する主観的な視覚評価のみであり、シェア画像のランダム性や復元プロセスにおける情報量の増加など客観性を持つ評価が実施されていない。本論文ではPVCに対する新たな評価手法を提案する。提案手法はシャノン・ハートレーの定理を応用した定量的な手法であり、シェア画像のみを使用するため、ユーザ側から簡単に実行できる特徴がある。また、PVC は VC と同様に情報理論的安全性を有すると考えられるが、明確には示されていなかった。本論文では、具体的な攻撃シナリオに基づいてこれを示すと共に符号化行列の行のハミング重みの偏りが、復元画像の排他的論理和差分において、特徴的な偏りを生じさせる可能性があることを示す。この結果、PVC が計算量的安全性であることについて考察を行なった。

[ 1E1-4:WEB概要版PDF ]

1E2-1

IoTネットワークにおける検証者指定署名方式 Multi-Designated Verifier Signatures over IoT Networks 〇渡邉洋平(電気通信大学 / ジャパンデータコム株式会社), 矢内直人(大阪大学 / ジャパンデータコム株式会社), 四方順司(横浜国立大学): 次のようなIoTネットワーク上における遠隔制御システムを考える．(1) 情報がシステム管理者から全てのIoTデバイスに同報送信されるような環境，例えば無線環境において，任意のIoTデバイスにのみ，システム管理者が指定したコマンドを実行させることができる; (2) 通信路上の情報の改ざんを検知し，指定されていないコマンドが実行されることを防ぐ．AINA 2021において，著者らはそのようなシステムの中核をなす暗号技術として，匿名放送型認証技術 (Anonymous Broadcast Authentication: ABA) を提案した．ABAでは，送信者が指定した受信者（IoT機器）のみが認証子の正当性を検証することができ，かつ匿名性を達成することができる．ABAは効率的な時間計算量を達成しているものの，上記システムで同報送信される認証コマンド長が非効率的であった．本稿では，同システムにおける通信計算量の削減を目指し，ABAに代わる暗号技術として，新たな検証者指定署名方式を提案する．具体的には，新たにモデル及び安全性を定式化し，確率的データ構造とディジタル署名を用いた構成法を提案する．結果として，ABAを利用した場合に比べ，匿名性はないものの，より認証コマンド長が効率的な遠隔制御システムを実現できる．

[ 1E2-1:WEB概要版PDF ]

1E2-2

Concurrent Group Operations on TreeKEM Concurrent Group Operations on TreeKEM ◎小柳優悟(東京工業大学), 石井将大(東京工業大学), 田中圭介(東京工業大学): Due to the COVID-19, the use of video calling applications is increasingly common, and what is required for smooth communication is technology that allows the exchange of video and audio in real time. In order to make video calls in real time, as well as to update keys and manage groups dynamically in a more efficiently manner, a protocol called Messaging Layer Security proposed by the MLS working group of the IETF is being considered. In this paper, we focus on the TreeKEM protocol, which is the core of the MLS. We will discuss the possible combination patterns of TreeKEM's processing capability for concurrent group operations, and propose the necessary operations and processing order to guarantee the Post Compromise Security required for long-term group communication, and also point out the exceptional patterns that make concurrent group operations impossible.

[ 1E2-2:WEB概要版PDF ]

1E2-3

ProVerifによる検索可能暗号の形式的安全性検証について Formal Verification of Security for Searchable Symmetric Encryption using ProVerif ◎鈴木孝誠(信州大学), 山本博章(信州大学), 三重野武彦(エプソンアヴァシス（株）、信州大), 荒井研一(長崎大学), 岡崎裕之(信州大学), 布田裕一(東京工科大学): 情報セキュリティにおいて、暗号プロコトルの安全性を形式的に検証する技術は、安全性を担保する上で重要な技術である。その中で、ProVerifは暗号プロトコルの安全性を自動的に検証するためのツールの一つであり、広く研究されている。安全性を考慮した検索技術として、検索可能暗号が広く研究されている。検索可能暗号は、クライアントとサーバで構成され、保存フェーズと検索フェーズからなる。保存フェーズでは、クライアントが自身のデータを暗号化してサーバに保存する。検索フェーズでは、クライアントが暗号化した検索キーワードをサーバに送り、サーバは暗号化キーワードと暗号化データを用いて検索を行う。その後、サーバは検索結果をクライアントに返す。このようにクライアント・サーバ間の暗号プロトコルとして記述できる。検索可能暗号の安全性は、実システムと漏洩情報だけを使って構成される理想システムとの識別不能性で証明されるが、形式検証ツールを用いた安全性の解析を見かけない。本研究では、ProVerifを用いて検索可能暗号の安全性の形式的な検証を試みる。特に、基本的な手法として知られているカートモラの手法について検証する。

[ 1E2-3:WEB概要版PDF ]

1E2-4

実用に向けたPKI-IDクロスドメイン認証鍵交換の評価 An Evaluation of PKI-ID Cross-domain Authenticated Key Exchange ◎飯島悠介(NTT社会情報研究所), 向山明夫(NTT社会情報研究所), 永井彰(NTT社会情報研究所), 工藤史堯(NTT社会情報研究所): 近年PKIベースとIDベースとが混在した認証方法(PKI-IDクロスドメイン認証鍵交換)の研究が行われている。また、IDベースの認証ではIoT機器等計算力と帯域幅が小さい機器に適用可能な方式が提案されているため、今後IDベースとPKIベースの認証を混在して利用することがあると考えられる。しかし、PKI-IDクロスドメイン認証鍵交換の研究はまだ数が少なく、また実用性については検討が進んでいない。本稿では、実用に向けて、PKI-IDクロスドメイン認証鍵交換の処理に対して評価を行う。具体的には、評価の対象とするPKI－IDクロスドメイン認証鍵交換の方式について説明し、机上でPKI-IDクロスドメイン認証鍵交換の評価と考察を行う。

[ 1E2-4:WEB概要版PDF ]

1E2-5

鍵失効可能な検索可能暗号 A Study on Searchable Encryption with Key Revocation 〇平野貴人(三菱電機株式会社), 川合豊(三菱電機株式会社), 小関義弘(三菱電機株式会社), 渡邉洋平(電気通信大学), 岩本貢(電気通信大学), 太田和夫(電気通信大学): 本論文では検索可能暗号の鍵失効に注目し、鍵失効可能な検索可能暗号方式を提案する。また、鍵失効に関わる安全性を定式化し、提案方式がその安全性を満たすことを証明する。

[ 1E2-5:WEB概要版PDF ]

1E2-6

参加者情報を秘匿する非同期グループメッセージング方式 Membership Privacy for Asynchronous Group Messaging 〇江村恵太(情報通信研究機構), 梶田海成(日本放送協会), 野島良(情報通信研究機構), 小川一人(情報通信研究機構), 大竹剛(日本放送協会): 本論文では, 誰がグループに参加しているのか？という参加者情報を秘匿するグループメッセージングを提案する. Chaseら (CCS2020) により同様の提案がされているが, Signalによる1対1通信を全グループメンバに対して行うことでグループメッセージングを実現しており, スケールしないという問題点がある. 我々はCohn-Gordonらによるグループメッセージング方式 (ARTプロトコル, CCS2018) を拡張し, 参加者情報の秘匿を行う. セットアップ時における参加者情報を鍵秘匿かつロバスト公開鍵暗号 (Abdallaら, TCC2010/JoC2018) を用いて秘匿すると共に, グループ共有鍵を用いて鍵更新に必要な情報を暗号化することで, グループメンバ以外に参加者情報を漏らさない. ARTプロトコルと比較して, 各ユーザのセットアップ効率が悪化するもののセットアップ処理は一度きりであり, 毎回の鍵更新時には共通鍵暗号化/復号1回, 鍵導出1回程度のオーバヘッドですむことから, ARTプロトコルの効率性を大きく損わず参加者情報を秘匿することができると言える.

[ 1E2-6:WEB概要版PDF ]

1E3-1

暗号のための脳機能拡張：信用できる計算機が不要な署名方式の提案 Brain function extension for cryptography : How to realize digital signature without trustworthy terminal ◎松本彩花(東京工業大学), 尾形わかは(東京工業大学), 高橋健太(日立製作所), 西垣正勝(静岡大学): 近年は，man-in-the browserやキーロガーなどのマルウェアにより，端末の全ての入出力情報が攻撃者に漏れたり情報が改ざんされるなぞ，端末が信用できない場面が増えている．また，サーバが攻撃されて秘密情報が流出する事件もある．このため，完全に信用できる計算機は存在しないという状況設定で安全性を確保できる方法を検討することが大切である．本論文では，通信において重要な役割を担うデジタル署名について，しきい値署名を利用することで，全ての計算機が完全に信用できなくても安全な署名方式を３つ提案する．１つはマルウェアが結託していない２つの端末を用いることで，能動的な攻撃者に対する安全性を実現している．他の２つは，受動的な攻撃者に対する安全性のみ持つが，CAPTCHAを用いることで１つの端末で構成可能である．この２つはCAPTCHAに求められる安全性が異なり，CAPTCHAの実現性と方式の効率がトレードオフである．

[ 1E3-1:WEB概要版PDF ]

1E3-2

金銭的ペナルティに基づく公平な秘密計算におけるラウンド数の改善 Improving Round Complexity in Secure Computation with Penalties 〇中井雄士(電気通信大学), 品川和雅(茨城大学，産業技術総合研究所): ビットコインをベースとする秘密計算では，攻撃者に対し金銭的なペナルティを与えることで公平性を達成できる．このような秘密計算は「金銭的ペナルティに基づく秘密計算」として定式化され，任意の関数についてO(n)-round，O(n)-broadcastで実現できることが知られている（nは参加者数）．また， KumaresanとBentov(CCS 2014)は「O(1)-round，O(n)-broadcastで金銭的ペナルティに基づく秘密計算を構成できるか」という未解決問題を残した．本研究では，機能要件を僅かに緩めた「'非等価な'金銭的ペナルティに基づく秘密計算」を新たに導入し，O(1)-round，O(n)-broadcastを満たしたプロトコルを提案する．従来モデルでは，攻撃者へのペナルティが発生した際，すべてのhonestなパーティが同額の補償金を得ることを要求する．一方で，本研究で提案するモデルでは，補償金の額が各パーティで異なることを許容する．2つの機能の差は僅かであり，特にすべてのパーティがhonestにふるまった際には同等である．従って，本研究の成果は上記の未解決問題に対し完全ではないが有益な解を与えるものである．

[ 1E3-2:WEB概要版PDF ]

1E3-3

復号制御付IDベース暗号の安全性に関する考察 Security notions of decryption-controllable identity-based encryption ◎宮永英和(神奈川大学大学院), 藤岡淳(神奈川大学), 佐々木太良(神奈川大学), 岡野裕樹(NTT社会情報研究所), 永井彰(NTT社会情報研究所), 鈴木幸太郎(豊橋技術科学大学), 米山一樹(茨城大学): 近年，1人のユーザがコンピュータ・スマートフォンなど複数のデバイスを所持する機会が増えており，IDベース暗号でも 1つのIDで複数のデバイスで復号などを行うことを考える必要があることから，SCIS2021においてデバイスの追加・取消が可能なIDベース暗号である復号制御付IDベース暗号とこれらの利用状況に対応した安全性を一つ定義した.また，ISEC2021 (11月)において受信者のID情報であるIDと指定期間Tについて選択的安全性と適応的安全性を考慮し新たに3つの安全性を定義し，これらの安全性について強弱関係の一部を証明した．安全性定義の強弱関係を示すためにはそれぞれの安全性に対して帰着関係と分離関係を示せばよく，自明な関係については，ISEC2021 (11月)で報告した．本稿では，IDとTについて選択的-適応的安全性，適応的-選択的安全性を考慮した2つの安全性定義の強弱関係について述べ，この2つの安全性には双方向で分離関係が成り立つことを示す．

[ 1E3-3:WEB概要版PDF ]

1E3-4

最大鍵漏洩攻撃に対して安全で計算効率のよいPKI-ID混在認証鍵交換 Efficient PKI-ID cross-domain authenticated key exchange secure against maximal exposure attacks ◎靑栁光太郎(豊橋技術科学大学), 岡野裕樹(日本電信電話株式会社), 永井彰(日本電信電話株式会社), 藤岡淳(神奈川大学), 鈴木幸太郎(豊橋技術科学大学): 鍵交換方式に関して，公開鍵を用いて認証を行うPKIベース認証鍵交換方式と，IDを用いて認証を行うIDベース認証鍵交換方式が主に研究されており，eCK安全性と呼ばれる強い安全性を持つ方式が提案されている．一方，Ustaogluは，PKIベース認証とIDベース認証が混在する環境で認証を行うPKI-ID混在認証鍵交換方式を提案した．Ustaogluの方式は，最大鍵漏洩攻撃に対して安全で，ペアリング演算を2回必要としている．本研究では，最大鍵漏洩攻撃に対して安全で，ペアリング演算を1回必要とするPKI-ID混在認証鍵交換方式を提案する．提案方式は，NAXOS構成法を用いて最大鍵漏洩攻撃に対する安全性を実現している．また提案方式は，最大鍵漏洩攻撃に対する安全性を満たすPKI-ID混在認証鍵交換方式のなかで最も効率の良いものとなっている．

[ 1E3-4:WEB概要版PDF ]

1E3-5

メッセージ長を拡張する耐量子コミットメント方式 Message-restriction-free commitment scheme based on lattice assumption ◎宮地秀至(大阪大学), 王イントウ(北陸先端大), 宮地充子(大阪大学): コミットメント方式はゼロ知識証明などの基本的な暗号作業に不可欠な要素である．近年，格子暗号は耐量子暗号として実用化に向けた研究が行われている．その一つに格子暗号を用いたコミットメント方式の研究が行われている．コミットメント方式では，短いメッセージだけでなく任意のメッセージを出力する必要がある．大きなメッセージを送信するためには，メッセージ文字列のサイズを大きくすることがコミットメント方式の重要な課題の一つである．メッセージ文字列のサイズを大きくするためにBaumらは，2018年に大きなメッセージサイズの送信を可能にするコミットメント方式を構築した．しかし，入力の部分にメッセージだけでなくメッセージ以外の目的で利用される空間が適用されており，メッセージに適用可能な空間はより大きくできる余地がある．本提案では，Baumらが提案したコミットメント方式のメッセージ空間をより大きくするコミットメント方式を提案し，その安全性である束縛性と秘匿性を証明する．さらに，本提案の安全なパラメータをそれぞれ提案する．

[ 1E3-5:WEB概要版PDF ]

1E4-1

OS更新の促進アプローチに関する長期実証実験 Long-Term Demonstration Experiment about Promoting to OS Update ◎佐野絢音(株式会社KDDI総合研究所), 澤谷雪子(株式会社KDDI総合研究所), 山田明(株式会社KDDI総合研究所), 窪田歩(株式会社KDDI総合研究所), 磯原隆将(株式会社KDDI総合研究所): ユーザにセキュリティ対策を促進させるため，セキュリティ意識や対策実施状況に応じて分類するセキュリティ行動変容ステージモデルを用いて，OS更新に着目した行動変容アプローチを検討している．以前，短期実証実験を実施し，OS更新を促進させるためのメッセージの有効性を検証した．しかし，前回の実験ではメッセージ配信が1回であったため，メッセージ配信を継続した場合の更新率やステージの変化を検証できていなかった．そこで，本論文ではWindows10を利用している社員28名を対象に，約3か月間の長期実証実験を実施し，メッセージを毎月1回配信した場合の更新率やステージの変化を検証した．さらに，毎月同じメッセージを配信する場合と毎月異なるメッセージを配信する場合で更新率が異なると仮説を立て，被験者を2つのグループに分類して更新率を比較した．分析した結果，2つのグループともに毎月の更新率に差がみられず，ステージも維持できていることから，メッセージの有効性を確認できた．また，2つのグループ間で更新率に差がみられないが，事後アンケート結果より毎月同じメッセージを配信する場合がより適切であることが明らかになった．

[ 1E4-1:WEB概要版PDF ]

1E4-2

Twitter上における意図的な大規模情報拡散の因子となる特徴点分析 Analyzing Factors of Influence Operations in Twitter ◎林尚弘(明治大学), 嶋田里聖(明治大学大学院), 田畑唯斗(明治大学大学院), 笠井遥輝(明治大学大学院), 高山眞樹(明治大学大学院), 齋藤孝道(明治大学): ソーシャルメディアでの大規模な情報拡散が多く見受けられるようになった．その一部は，社会的混乱や世論誘導を招こうとする意図を持つと考えられている．先行研究では，国内で発生した大規模な情報拡散が意図的か否か判別することを目的とし時系列分析などが行われ，情報拡散に関与していると考えられるアカウントが存在していたことが示されている．しかし，それらが情報拡散にどれほど影響するか定かでない．本論文では，Twitter上で大規模に拡散された話題に関するツイート群を収集し，話題を政治・商用・エンタメ等にカテゴライズした．各ツイート群に対してツイートテキストの感情や文字数などの観点を加え，話題のカテゴリごとに特徴点の分析を行った．その上で，拡散した要因が一部のアカウントの影響によるものか，カテゴリごとに要因に違いがあるのか分析し，考察を行った．

[ 1E4-2:WEB概要版PDF ]

1E4-3

AIシステムの利用者視点からのトラスト構築の考察 Consideration on building trust form the viewpoint of AI system users 〇島成佳(長崎県立大学), 小川隆一(独立行政法人情報処理推進機構), 佐川陽一(独立行政法人情報処理推進機構): AI学習モデルを搭載し、AIの判断に基づき制御等を行うITシステム（以下、AIシステム）の開発では，従来の演繹的なソフトウェア開発に加え，学習データに基づき，探索的・反復的に学習モデルを構築する必要がある．学習モデルは学習を網羅的に実施することが困難であり，精度は100%にならないため，AIシステムにはAIの誤判断が存在する．AIシステムにおける誤判断リスクの影響は，AIシステムを構成するソフトウェアやハードウェアの機能で低減することも可能である．AIの誤判断リスクは，学習モデルを直接使う利用者には重視すべき品質要件であるが，AIシステムの利用者にとってはそうとは限らない．むしろ利用者にはシステム全体の有用性や安全性等が喫緊の品質要件となる．AIの品質要件として重視されている精度が、AIシステムのトラストを構築するためにどの程度重要であるのか精査が必要であり，ここに筆者らは注目した．本論文では，AIシステムの構成とその利用を含むトラスト階層モデルを定義し，各層の品質要件を検討した．このモデルに基づけば，AIシステムのトラスト構築にAI誤判断リスクの影響が必ずしも大きくないことが示された．

[ 1E4-3:WEB概要版PDF ]

2E1-1

ネットワーク上のユーザー間の主観的評価を秘匿する秘匿信頼度計算技術 Secure Rating Computation on Weighted Signed Networks 〇坂巻慶行(富士通), 山口純平(富士通), 角田忠信(富士通), 山本里奈(富士通), 兒島尚(富士通): 複数のユーザー間の取引やコミュニケーション等で生じる関係を，ネットワークの一種と考えることができる．ネットワーク内でのユーザーの信頼性に関するレーティング情報は，ユーザー間の関係の形成において重要な参考情報である．ユーザー２者間の信頼は，一方が主観的に他方を評価することで形成され，この際の信頼の度合いを２者間の信頼度と呼ぶ．ネットワークの中で２者間の信頼度を考慮する状況は，Weighted Signed Network と呼ばれる実数値の辺重み付き有向グラフとしてモデル化できる．このように２者間の主観的な評価情報に基づきネットワークを考え，そのネットワーク全体から見た各ユーザーの信頼性等に関するレーティング計算技術が研究されている．信頼度のようなユーザーの行う主観的な評価の情報は，そのユーザーにとっては機密な情報であり，一般には他者に公開したくない．しかし，既存のレーティング計算技術では，その計算過程でこれら機密な情報を他者に公開する必要があった．本稿では，秘匿計算を応用することでこれらの情報を秘匿したうえで，ネットワーク全体から見た各ユーザーのレーティングを計算する技術について述べる．

[ 2E1-1:WEB概要版PDF ]

2E1-2

同一のカードを用いた秘密計算 Secure Multi-Party Computations Using Identical Cards 〇高橋俊彦(新潟大学工学部): カードベース暗号プロトコルはカードを用いて秘密計算を実現する方法である.例えば, den BoerのFive-Card Trickは赤と黒の2種類のカードを5枚用いて, 2人のプレイヤーがそれぞれ選んだビットのANDを秘密計算する.裏向きの(表がわからない)カードがある論理値xを表すとき，このカードをxのコミットメントと呼ぶ．出力がコミットメントで与えられるプロトコルはコミット型と呼ばれる．コミット型のANDプロトコルは1994年にCrepeau and Kilianによって最初に発表された.以後, 様々な改案が発表されてきたが，次第に複雑な操作が必要なものも増えてきた.本研究では同一のカードのみを用いた非常にシンプルなカードベース暗号プロトコルを提案する．初めに3枚のカードを用いるコミット型ANDプロトコルを示す.次に，コミット型のNOTプロトコル, XORプロトコル, COPY(コミットメントの複製)プロトコル, および使用するシャフルの異なる2種類のANDプロトコルを紹介する.すなわち, 同一のカードだけを用いて任意の論理関数を秘密計算するプロトコルが得られたことになる.

[ 2E1-2:WEB概要版PDF ]

2E1-3

Generating Residue Number System Bases Generating Residue Number System Bases Jean-Claude Bajard(Sorbonne University), Kazuhide Fukushima(KDDI Research, Inc), Shinsaku Kiyomoto(KDDI Research, Inc), Thomas Plantard(University of Wollongong), 〇Arnaud Sipasseuth(KDDI Research, Inc), Willy Susilo(University of Wollongong): Residue number systems provide efficient techniques for speeding up calculations and/or protecting against side channel attacks when used in the context of cryptographic engineering. One of the interests of such systems is their scalability, as the existence of large bases for some specialized systems is often an open question.In this paper, we present highly optimized methods for generating large bases for residue number systems and, in some cases, the largest possible bases. We show their efficiency by demonstrating their improvement over the state-of-the-art bases reported in the literature. This work make it possible to address the problem of the scalability issue of finding new bases for a specific system that arises whenever a parameter changes, and possibly open new application avenues.

[ 2E1-3:WEB概要版PDF ]

2E1-4

秘密計算によるk-means法とk-means++法 K-Means Clustering and K-Means++ in secure computation 〇三品気吹(NTT社会情報研究所), 五十嵐大(NTT社会情報研究所), 濱田浩気(NTT社会情報研究所), 菊池亮(NTT社会情報研究所): 秘密計算ではデータを暗号化したまま計算するため，プライバシーを保護したまま安全にデータ分析を行う方法として注目されており，中でも近年のデータ分析手法の主流である「機械学習」を秘密計算上で実現する研究は活発に行われている．これまでの研究の多くは，ロジスティック回帰やニューラルネットワークといった教師あり学習に分類されるものであったが，本稿では，それらとは全く異なる分析を行う教師無し学習に分類される手法の一つである「k-means法」の実現に取り組む．また，単純なk-means法ではランダムな初期値への依存性が高く，安定して良い結果が得にくいことが知られており，平文では一般的にk-means++法という初期化方法が用いられる．本稿では，k-means法だけでなくk-means++法についても秘密計算上で実現するアルゴリズムを提案する．

[ 2E1-4:WEB概要版PDF ]

2E2-1

チャージ型決済の実現方法とそのセキュリティ Digital Payment Schemes and their Security 〇田村裕子(日本銀行): 近年、デジタル決済サービスの利用が拡大している。なかでも、電子マネーやコード決済のように、決済事業者が金銭的価値を発行し、それを利用して決済を行うサービス（チャージ型決済）が広く普及してきている。また、暗号資産もユーザ間で金銭的価値の授受を可能とするスキームの1つである。チャージ型決済には、金銭的価値の保管形態や保管場所の違いによって、いくつかの実現方法が存在する。決済サービスの提供にあたっては、その実現方法に由来する情報セキュリティ面のリスクの特定に応じて対策を講じる必要があることから、本稿では、チャージ型決済における金銭的価値の保管形態や保管場所によって、セキュリティ対策がどのように異なるのか整理を試みる。具体的には、チャージ型決済の各実現方法について、金銭目的の攻撃として想定される不正行為の種類を列挙し、それに対抗するためのセキュリティ対策の差異について考察を行う。

[ 2E2-1:WEB概要版PDF ]

2E2-2

範囲証明つき準同型暗号とその対話的プロトコル Homomorphic encryption with range proof and its interactive protocol 〇光成滋生(サイボウズ・ラボ株式会社): 準同型暗号は復号することなく暗号文を使った計算が可能な暗号方式であり，電子投票や機械学習の推論などへの応用が研究されている．準同型暗号を用いて複数のクライアントが生成した暗号文を集計する場合，それぞれの暗号文の入力値の範囲に制約を与えたい場合がある．その場合，入力値の平文がある範囲にあることを保証するゼロ知識証明ZKRP(Zero Knowledge Range Proofs)を利用することが多い．集計を階層的に行いたい場合，複数の暗号文は準同型暗号により1個の暗号文に変換されるが，従来のゼロ知識証明の方式は証明を集約できない．そのため集約後の暗号文が，ある範囲に入っていることを確認するには集約前の個別のZKRPを確認しなければならない．本論文では，範囲証明付き暗号文を集約した暗号文に対して新しいZKRPを付与する方法を考察する．まず，与えられた暗号文に対して対応する平文を知ること無く範囲証明をつける対話的ブラインドZKRPを提案する．そしてSCIS2020で提案した対話的暗号文変換プロトコルと組み合わせて集約後の暗号文からZKRPつきの暗号文を生成する対話プロトコルを提案する．

[ 2E2-2:WEB概要版PDF ]

2E2-3

Invisible and Unlinkable Policy-Based Sanitizable Signatures Invisible and Unlinkable Policy-Based Sanitizable Signatures ◎石坂理人(KDDI総合研究所), 福島和英(KDDI総合研究所), 田中圭介(東京工業大学大学院): In the ordinary digital signatures, if a signed-message is altered, its signature becomes invalid. In sanitizable signatures (SS) (ESORICS'05), an entity (called sanitizer) chosen by the signer can partially modify the message while retaining validity of the signature. Two security notions of SS hard to simultaneously achieve are invisibility (the modifiable blocks are unknown) and unlinkability (no sanitized signature can be linked to its source). Bultel et al. (PKC'19) proposed a generic construction of invisible and unlinkable SS based on non-accountable SS (NASS) and verifiable ring signatures. Ishizaka et al. (SCIS'21) proposed generic NASS constructions based on trapdoor SS and (labeled) public-key encryption. In this work, we propose a new primitive named policy-based SS (PBSS) as a generalization of SS. In PBSS, each signer chooses a general policy representing a condition whom not only the original message but also any modified message must satisfy. We show that the SS by Bultel et al. and the NASS by Ishizaka et al. can be generalized to policy-based ones. By instantiating the PBSS construction from existing schemes, we obtain some concrete advanced SS schemes, such as range-based SS (each modifiable numerical sub-message can be modified within a range [L,R]) and PBSS for Turing machines (PBSS for a very general policy class, all (deterministic) Turing machines).

[ 2E2-3:WEB概要版PDF ]

2E2-4

指数部検査を省略したFSU方式のピア事後指定安全性 Post-Specified Peer Security of FSU Scheme without Exponent Check ◎小山幸保(神奈川大学), 藤岡淳(神奈川大学), 佐々木太良(神奈川大学), 岡野裕樹(NTT社会情報研究所), 永井彰(NTT社会情報研究所): 本論文では，SCIS2020で発表されたIDベース認証鍵交換 (IBAKE) FSUw/oCheckがpost-specified peerモデルで安全かを検証した．pre-specified peerモデルは，方式を実行する前に通信相手のIDを知っていることが前提のものであり，post-specified peerモデルは，通信相手のアドレスのみを知る状態でプロトコルを実行し，実行途中で通信相手のIDを知るというものである．IBAKEの既存研究に，gap Bilinear Diffie-Hellman (GBDH) 仮定およびランダムオラクルモデルの元でid-eCK安全な非対称ペアリング版FSUがあるが，FSUが4回のペアリングを要するのに対して，非対称ペアリング版FSUの指数部検査を除いたFSUw/oCheckは，id-eCK安全となるために必要な数学的な仮定が1-{1,2}-{1,2}型非対称GBDH仮定となるが，ペアリングを2回に抑えることができる．本論文では，IBAKEに対して，pre-specified peerモデルとpost-specified peerモデルを同時に満たすCombinedモデルを提案し，IBAKEの一方式であるFSUw/oCheckがpost-specified peerモデルにおいて安全であることを提案したCombinedモデルを用いて検証した．

[ 2E2-4:WEB概要版PDF ]

2E3-1

Algebraic Group ModelにおけるFiat-Shamir Bulletproofsの頑健性について Fiat-Shamir Bulletproofs are Non-malleable (in the Algebraic Group Model) Chaya Ganesh(Indian Institute of Science), Claudio Orlandi(Aarhus University), Mahak Pancholi(Aarhus University), ◎Akira Takahashi(Aarhus University), Daniel Tschudi(Concordium): Bulletproofs (Bünz et al. IEEE S&P 2018) are a celebrated ZK proof system that allows for short and efficient proofs, and have been implemented and deployed in several real-world systems. In practice, they are most often implemented in their non-interactive version obtained using the Fiat-Shamir transform, despite the lack of a formal proof of security for this setting. Prior to this work, there was no evidence that malleability attacks were not possible against Fiat-Shamir Bulletproofs. Malleability attacks can lead to very severe vulnerabilities, as they allow an adversary to forge proofs re-using or modifying parts of the proofs provided by the honest parties.In this paper, we show for the first time that Bulletproofs (or any other similar multi-round proof system satisfying some form of weak unique response property) achieve simulation-extractability in the algebraic group model. This implies that Fiat-Shamir Bulletproofs are non-malleable.

[ 2E3-1:WEB概要版PDF ]

2E3-2

A Quantum Search-to-Decision Reduction for the LPN Problem A Quantum Search-to-Decision Reduction for the LPN Problem ◎数藤恭平(東京工業大学), 手塚真徹(東京工業大学), 原啓祐(東京工業大学. 産業技術総合研究所), 吉田雄祐(東京工業大学), 田中圭介(東京工業大学): The learning parity with noise (LPN) problem has found many cryptographic applications as the hardness assumption. There are two variants of the problem, decisional LPN problem and search LPN problem.It is known that the decisional LPN problem is polynomially equivalent to the search LPN problem.The most recent proposed reduction is the one proposed by Katz and Shin (EUROCRYPT 2006).In this work, we propose a quantum reduction from the search LPN problem to the decisional LPN problem.Our reduction is inspired by the quantum Goldreich-Levin theorem by Adcock and Cleve (STACS 2002).Specifically, we construct a predicator which predicates inner product of a and s, where a is its input and s is the secret string of the LPN problem, using the distinguisher of the decisional LPN problem. In a similar way to the discussion of the quantum Goldreich-Levin theorem, this predicator can be used to construct a solver of the search LPN problem.The efficiency of our reduction is incomparable to the classical one by Katz and Shin.Then, we investigate the conditions under which our reduction works more efficiently than the classical one.

[ 2E3-2:WEB概要版PDF ]

2E3-3

Cryptographic hash functions based on Triplet and Sextet graphs Cryptographic hash functions based on Triplet and Sextet graphs Hyungrok Jo(Yokohama National University. IAS), ◎Shohei Satake(Kumamoto University): A hash function is one of most important concepts as a primitive in cryptography. Especially, many attempts to close to idealistic hash functions based on sophisticated mathematical backgrounds are encouraging in these days. One of the most successful suggestions for cryptographic hash functions is a hash function based on expander graphs which are proposed by Charles et al. (2006). It became the key ingredient of constructing one of main Isogeny-based cryptography such as SIDH (Supersingular Isogeny Diffie-Hellman) key exchange.In this talk we provide cryptographic hash functions based on triplet and sextet graphs which are cubic high-girth graphs introduced by Biggs (1988) and Biggs-Hoare (1983), respectively. Since both of graphs can be generated from 2 by 2 matrix over a finite field, we follow up the way to construct hash functions by Ze'mor (1991) and Charles et al. (2009). Triplet and sextet graphs are good candidates of underlying graphs of hash functions because of the following reasons. First these graphs have large girth, which implies the collision resistance of the corresponding hash function. Next these graphs have expansion property, which intuitively means that every vertex-subset (of appropriate size) has large neighbour. This fact affects to the property of the corresponding hash function as preimage resistance.

[ 2E3-3:WEB概要版PDF ]

2E4-1

状態更新を含むプロトコルに対するTamarin Proverを用いたリプレイ攻撃の検証に向けて Towards Verification of Replay Attacks against Protocols Containing State Updates using Tamarin Prover ◎佐藤瑞己(茨城大学), 米山一樹(茨城大学): Noguchiらは、ステートフルなプロトコルとして、IEEE802.21のグループ鍵共有（GKM）プロトコルとGroup Domain of Interpretation（GDOI）の形式化を行い、自動検証ツールProVerifを用いて秘匿性やリプレイ攻撃を含む認証性の検証を行った。しかし、ProVerifはステートフルなプロトコルの記述をサポートしていないため、リプレイ攻撃については特定の回数の実行の場合しか検証できていないという問題があった。本稿では、Tamarin Proverの自動化モードによる自動検証を用いてそれらの状態更新を含むプロトコルにおける一般のリプレイ攻撃に対する安全性検証を行う。我々は、GKMプロトコルについてYubikeyプロトコルの形式化手法を応用し、グループ管理木の深さ2と3の場合におけるシーケンス番号の更新を形式化する。GDOIについてはカウンタ更新に加え、一部の鍵の更新を形式化する。結果として、それぞれのプロトコルが一般的なリプレイ攻撃に対して安全であることを示す。

[ 2E4-1:WEB概要版PDF ]

2E4-2

ユーザの持つメモリが定数な検証可能な動的検索可能暗号 Verifiable Dynamic Symmetric Searchable Encryption with Constant User Memory ◎小澤響平(信州大学), 山本博章(信州大学), 藤原洋志(信州大学): 近年、クラウドサービスの普及によって、クライアントが自分のデータをサーバに保存する機会が増えている。このとき、データを暗号化したまま検索ができることが望まれるが、そのようなシステムのことを検索可能暗号と呼ぶ。我々はデータの検索、更新、検証結果の検証が行える検索可能暗号を開発した。この手法はデータを二分木構造で管理することにより並列化が可能であり、データの更新に関する安全性であるForward安全とBackward安全を満たしている。しかしユーザは多くのデータを持つ必要があったため、本論文では同様の安全性を満たし、ユーザの持つデータ量を削減した手法を提案する。

[ 2E4-2:WEB概要版PDF ]

2E4-3

Malicious Private Key Generators in Identity-Based Authenticated Key Exchange Malicious Private Key Generators in Identity-Based Authenticated Key Exchange ◎Kazuma Wariki(Kanagawa University Graduate School), Atsushi Fujioka(Kanagawa University), Taroh Sasaki(Kanagawa University), Kazuki Yoneyama(Ibaraki University), Yuki Okano(NTT Social Informatics Laboratories), Akira Nagai(NTT Social Informatics Laboratories), Koutarou Suzuki(Toyohashi University of Technology): This paper proposes two security models in identity-based authenticated key exchange (IBAKE): the id-neCK security model captures a malicious act where an adversary can obtain the random string to generate a pair of master public and secret keys, and the id-reCK one does an act where an adversary can replace the master public key generated by the honest private key generator.Then, we prove that both security notions are stronger than or equal to the id-eCK security one, and that the id-reCK security notion is strictly stronger than the id-neCK security one. The latter means that the id-reCK security notion is the strictly strongest among three.In addition, we prove that there exists an id-reCK secure IBAKE protocol under the asymmetric gap Bilinear Diffie--Hellman (BDH) assumption in the random oracle model (ROM). Also, we show that there exists an id-eCK secure IBAKE protocol under the asymmetric gap BDH assumption in the ROM, and that it is not id-neCK secure. These support that the id-neCK security notion is strictly stronger than the id-eCK security one under the mathematical assumption.

[ 2E4-3:WEB概要版PDF ]

2E4-4

強フォワード秘匿性を満たす匿名一方向認証鍵交換 Anonymous One-Sided Authenticated Key Exchange with Strong Forward Secrecy ◎石橋錬(茨城大学大学院理工学研究科), 米山一樹(茨城大学): 認証鍵交換（AKE）は複数のパーティ間で共通のセッション鍵を共有するための暗号プロトコルである。通常のAKEではセッション鍵の秘匿と相互認証が求められる。しかし，Tor やRiffle のような匿名ネットワークのように相互認証が望ましくない場合や，インターネットのようにユーザレベルでの証明書管理が不十分であるために相互認証の実現が困難な場合が存在する。Goldbergらは，クライアントだけがサーバを認証することでクライアントの匿名性を保証する一方向安全なAKEを定式化（GSUモデル）し，IshibashiとYoneyamaはGSUモデルで安全な一方向匿名AKEの一般構成とその具体的方式を提案した。しかし，GSUモデルは弱いフォワード秘匿性しか捉えていないため，既存の一方向匿名AKE方式は弱フォワード秘匿性を満たす方式しか知られていない。本稿では，GSUモデルを強フォワード秘匿性を満たすモデルに拡張し，ランダムオラクルモデルと標準モデルにおける一方向匿名AKEの一般構成をそれぞれ提案する。一般的構成の具体的な構成として，強フォワード秘匿性を満たす標準モデル安全な方式や耐量子安全な方式を実現することができる。

[ 2E4-4:WEB概要版PDF ]

2E5-1

拡張したMean King問題を応用した量子鍵配送の安全性の検討Ⅱ：識別可能性と情報攪乱 Study on Security of Quantum Key Distribution using Extended Mean King's Problem : Distinguishability and Information Disturbance ◎米田昌矢(大阪産業大学), 吉田雅一(大阪産業大学): Mean multi-kings 問題を用いた量子鍵配送プロトコルを用いると，送信者は複数の受信者と秘密鍵を共有することができる．本稿では，同プロトコルにおいて，盗聴者による情報搾取と正規ユーザが共有する情報の撹乱の関係性を考察した．代表的な量子鍵配送であるBB84プロトコルでは，このような関係性はいわゆる情報撹乱定理として知られている．ここでは，送信者と2 人の受信者が秘密鍵を共有する場合を考え，盗聴者が補助量子系と正規ユーザの量子ビット系を相互作用させて秘密鍵に関する情報を搾取する設定に注目した．このとき，秘密鍵に関する盗聴者の識別可能性と正規ユーザが共有する情報に誤りが発生する確率に成り立つトレードオフ不等式を導出した．この不等式より，盗聴者が秘密鍵に関する情報を搾取すればするほど，必然的に量子系に撹乱が起こり，正規ユーザが共有する情報に誤りが発生する確率が高まることがわかった．

[ 2E5-1:WEB概要版PDF ]

2E5-2

Advantage of the key relay protocol over secure network coding Advantage of the key relay protocol over secure network coding 〇加藤豪(NTTコミュニケーション科学基礎研究所), 藤原幹生(NICT), 鶴丸豊広(三菱電機株式会社): The key relay protocol (KRP) plays an important role in improving the performance and the security of quantum key distribution (QKD) networks. On the other hand, there is also an existing research field called secure network coding (SNC), which has similar goal and structure. We here analyze differencesand similarities between the KRP and SNC rigorously. We found, rather surprisingly, that there is a definite gap in security between the KRP and SNC; that is, certain KRPs achieve better securitythan any SNC schemes on the same graph. We also found that this gap can be closed if we generalize the notion of SNC by adding free public channels; that is, KRPs are equivalent to SNC schemes augmented with free public channels.

[ 2E5-2:WEB概要版PDF ]

2E5-3

QMAに対するCertified Everlastingゼロ知識証明 Certified Everlasting Zero-Knowledge Proof for QMA ◎廣岡大河(京都大学基礎物理学研究所), 森前智行(京都大学基礎物理学研究所), 西巻陵(NTT社会情報研究所), 山川高志(NTT社会情報研究所): ゼロ知識性と健全性の両方を統計的に満たしたNP問題に対するゼロ知識証明は構成できないと考えられている。本稿ではCertified Everlastingゼロ知識性という、統計的ゼロ知識性を緩和した、新しい安全性を提案する。Certified Everlastingゼロ知識性において、検証者はプロトコルの実行中に受け取った量子情報を消去したことを証明する証明書を発行できる。証明書が有効な場合には、統計的ゼロ知識性が成り立つ。この安全性は古典的な情報処理のみでは達成できず、量子性を用いることで初めて達成できる安全性であると考えられる。本稿では統計的健全性を満たしCertified Everlastingゼロ知識性を満たしたQMAに対するゼロ知識証明を構成する。これを構成するために、我々は新しい量子コミットメントを構成する。このコミットメントは統計的拘束性を満たし、量子ランダムオラクルモデルの下でCertified Everlasting秘匿性を満たす。このコミットメントはゼロ知識証明とは独立して有用性があり、ゼロ知識証明以外にも有用なアプリケーションがあると考えられる。

[ 2E5-3:WEB概要版PDF ]

2E5-4

Quantum-Accessible Security of Stateless Hash-based Signature Schemes Quantum-Accessible Security of Stateless Hash-based Signature Schemes ◎Quan YUAN(Kyoto University), Mehdi TIBOUCHI(NTT Laboratories. Kyoto University), Masayuki ABE(NTT Laboratories. Kyoto University): In post-quantum cryptography, hash-based signatures are considered as attractive choices since their security is only based on security notions of hash functions. Most existing stateless hash-based signature schemes are proved to be secure in post-quantum security models, where the adversaries are able to execute quantum computations and query to a signing oracle. Note that the signing oracle is classical but quantum, meaning that an adversary can only query a single message with its classical state and receive the corresponding signature. In 2013, Boneh and Zhandry proposed a stronger security model, where the signing oracle also permits quantum queries. The security in quantum-accessible security model of hash-based signature schemes is lack of research, especially of stateless ones. In this paper, we reprove the security of stateless hash-based signature schemes and analyze the security level in quantum-accessible security models.

[ 2E5-4:WEB概要版PDF ]

3E1-1

秘密分散法による5ラウンド決定木評価 Secret Sharing-based 5-Round Private Decision Tree Evaluation Naman Gupta(IIT Delhi), Aikaterini Mitrokotsa(University of St.Gallen), 森田啓(University of St.Gallen), ◎戸澤一成(東京大学): 機械学習では正確な分類モデルを構築するために、決定木やランダムフォレストが利用されている。クラウドを利用したシステムでは、クラウドサーバがクライアントのデータを利活用し、遠隔にてデータの分類を行うことが可能である。そうした中，クライアントの入力情報が漏洩しないことを保証する秘匿決定木評価の必要性が増している。本論文では、3者間複製秘密分散法に基づく、情報理論的に安全な5ラウンド秘匿決定木評価プロトコルを提案する。これにより、入力や学習された決定木モデルを漏洩することなく、入力データを安全に分類することができる。WAN環境でのオンライン実行時間（またはオンラインラウンド数）において、本プロトコルは、Tsuchida et al.（ProvSec’20）が提案した3者秘密分散法に基づく最先端の秘匿決定木評価プロトコルと比較して5倍高速であり、ガーブルド回路や準同型暗号に基づくプロトコルと比較しても遜色ないほどの通信効率性を持っている。さらに、本プロトコルの有効性を実証するため、実世界の分類データセットを用いて評価を行った。評価の結果、本プロトコルは既存技術に比べ、高速かつ効率的な通信量で実行可能であることがわかった。

[ 3E1-1:WEB概要版PDF ]

3E1-2

実数に対する四捨五入を利用した秘密分散法による秘匿計算方式の提案 Proposal of Secure Computation Methods using Secret Sharing with Rounding off Real Numbers ◎納所勇之介(東京理科大学大学院), 岩村惠市(東京理科大学大学院), 稲村勝樹(広島市立大学大学院): 近年，電子機器のIoT化が急速に普及し始め，それらから得られる各種データを，多面的かつ時系列に蓄積し，処理・解析するビッグデータの活用技術に注目が集まっている．その技術の一つとして秘匿計算の研究がある．秘匿計算では素数pを法とした演算が行われるため，実数を扱う場合，指数と仮数部に分けて秘匿計算を行う場合が多い．そこで本論文では，TUS方式で用いられている秘密情報に乱数を掛けるというアプローチのもと，実数上で直接計算を行うことができる秘匿計算法の提案を行う．なお，より詳細な性能評価や実装などは今後の課題である．

[ 3E1-2:WEB概要版PDF ]

3E1-3

秘密分散を用いた秘匿浮動小数点数除算・平方根計算の改良 Improvements of Secure Floating-Point Division and Square Root Computation Using Secret Sharing ◎仁平貴大(東京大学大学院情報理工学系研究科数理情報学専攻), 縫田光司(九州大学/産業技術総合研究所): 秘密分散を用いた秘密計算の分野では，2013年のAliasgariらの研究以来，浮動小数点数演算に対応したプロトコルを構成する取り組みがなされ，近年までいくつかの成果がみられている．しかし，それらの成果には演算結果が確率的に変動するプロトコルが多く，正確な演算結果が保証されたプロトコルは未だ少ない．本研究では，加法的秘密分散を用いて，浮動小数点数表現の規格であるIEEE 754-2019に定められた2つの丸め方式（roundTowardZero型とroundTiesToEven型）に従って丸めを行う除算プロトコルと平方根計算プロトコルを構成した．roundTowardZero型の平方根計算プロトコルについてはAliasgariらが既に構成しているが，本研究では反復計算に用いる初期近似値を区分的線形関数によって計算することでその近似精度を向上し，これにより通信ラウンド数を7割ほど削減した．除算プロトコルとroundTiesToEven型の平方根計算プロトコルについては，規格に従って厳密に計算するプロトコルはなく，本研究で新たに構成したものである．

[ 3E1-3:WEB概要版PDF ]

3E1-4

秘密計算ライブラリMEVAL3における乗算の高速化実装について A fast implementation of multiplication in the secure computation library MEVAL3 〇橋本順子(NTT社会情報研究所), 五十嵐大(NTT社会情報研究所), 菊池亮(NTT社会情報研究所): 秘密計算は平文に比べ複雑な処理や通信を行うため、性能が課題となる。しかし秘密計算ライブラリMEVAL3では、このようなハンデがあるにも関わらず、アルゴリズムの改善に加えて高速化実装を行うことで、例えば秘密計算があまり得意でないソート処理においても平文比一桁差の性能を達成している。本稿では、MEVAL3ではどのように高速化実装を行っているのか、乗算を例に説明する。乗算のアルゴリズム自体はシンプルだが、サーバ間の通信処理も含めて全体を高速化するためには、様々なレイヤでの高速化技術が必要であり、それらが全体としてどのように組み合わさって高速な秘密計算が実現されているのかを明らかにする。

[ 3E1-4:WEB概要版PDF ]

3E2-1

分散台帳技術におけるユーザの同意に基づくアクセス制御フレームワーク An Access Control Framework Based on User Consent in Distributed Ledger Technology 〇掛井将平(名古屋工業大学), 今村光良(野村アセットマネジメント株式会社), 白石善明(神戸大学), 廣友雅徳(佐賀大学), 齋藤彰一(名古屋工業大学): 許可型の分散台帳技術（DLT）では，ユーザ自身でスマートコントラクトを実行できず，サービス提供者にその実行を委託することとなる．サービス提供組織のDLTネットワークへの参加が増えるほど，信頼点の分散に伴う耐障害性の向上が期待できるが，スマートコントラクトの不正利用のリスクが増加する．本稿では，スマートコントラクトの実行権限と台帳内のユーザ所有のデータへのアクセス権限の分離を行い，ユーザの同意のもとでスマートコントラクトを実行するフレームワークを提案する．ユーザの同意の提示にはOpenID Connect（OIDC）で発行されるトークンを用い，サービス提供者はこの同意とともにスマートコントラクトを実行する．同意の有効性の検証をサービス提供者でなくスマートコントラクトで直接検証することで，スマートコントラクトの実行がユーザの意思に基づくことをDLTネットワークの参加者間で合意形成できる．本提案では，サービス提供者による同意の不正利用のリスクを整理したうえで提案フレームワークを設計する．そして，設計した提案フレームワークをOIDC準拠のIDプロバイダーであるKeycloakと許可型のDLTであるHyperledger Fabricを用いて実装，評価を行う．

[ 3E2-1:WEB概要版PDF ]

3E2-2

Comparison of transaction cost on different fair exchange protocols Comparison of transaction cost on different fair exchange protocols ◎HUAN ZHANG(Kyoto university), Mehdi Tibouchi(NTT Corporation. Kyoto university), Miguel Ambrona(NTT Corporation), Masayuki Abe(NTT Corporation. Kyoto university): The fair exchange between two parties is when one exchanges digital goods for payment from another party. It is hard to achieve fairness without a third party. The smart contract acts as a self-executed trustful third party and is deployed to a decentralized blockchain. Therefore, fairness is guaranteed. We propose an optimistic fair exchange smart contract based on the untrust issues. In this smart contract, we use proof of misbehavior when they disagree to reduce the cost for optimistic cases where two parties are honest and compare the transaction cost among the proposed protocol and previous protocols (Fairswap, Optiswap, zk-contingent payment protocol).

[ 3E2-2:WEB概要版PDF ]

3E2-3

トークン型電子現金方式のCentral Bank Digital Currency(CBDC) への適用可能性に関する初期検討 Preliminary study on the applicability of token-type electronic cash system to Central Bank Digital Currency (CBDC) ◎荒川幸寛(京都大学大学院), 奥田哲矢(ＮＴＴ社会情報研究所), 齋藤恆和(ＮＴＴ社会情報研究所), ティブシ・メディ(ＮＴＴ社会情報研究所), 阿部正幸(ＮＴＴ社会情報研究所): 　現在，通貨のディジタル化に対する需要が高まっており，世界各国でCentral Bank Digital Currency(CBDC)を発行する計画が進められている. EUでは2021年からCBDCの実証実験が行われており, 中国では2020年から実証実験が行われている．日本でも2021年から2022年にかけて様々な電子現金方式のCBDCの実験が行われる予定である. 　その中で，トークン型電子現金方式のCBDCは，オフライン決済が可能で利便性が高いとして期待されている．一方，環収済みの通貨を発行銀行が長期間保管する必要があるなど，スケーラビリティの懸念がある．　本研究では，社会実験でしか本来得られない結果を元にCBDCに適した電子現金方式を策定するために、自律的なエージェントによる相互作用の結果が得られるMulti-Agent Simulationという手法でトークン型電子現金方式のシミュレーションを行った．その結果、通貨が発行されてから環収されるまでに要する期間や通貨のデータサイズの推移などのデータが得られた．これらのデータを元に，主にスケーラビリティの観点からトークン型電子現金方式を評価した．

[ 3E2-3:WEB概要版PDF ]

3E3-1

大規模データにも対応した秘密計算階層型クラスタリング Privacy Preserving Hierarchical Clustering for Large Scale Data 〇三品気吹(NTT社会情報研究所), 五十嵐大(NTT社会情報研究所), 濱田浩気(NTT社会情報研究所), 菊池亮(NTT社会情報研究所): 秘密計算ではデータを暗号化したまま計算するため，プライバシーを保護したまま安全にデータ分析を行う方法として注目されており，中でも近年のデータ分析手法の主流である「機械学習」を秘密計算上で実現する研究は活発に行われている．本稿では教師無し学習に分類される手法の一つである「階層型クラスタリング」の秘密計算上での実現に取り組む．筆者らの以前の実装では，処理速度の都合により100件程度までのクラスタリングが現実的な範囲であったが，本稿では5000件程度までのクラスタリングが行えるようになった．100件のクラスタリングは約44秒かかっていたものが7秒で処理できるようになり6倍程度の高速化を実現し，秘密計算階層型クラスタリングがさらに実用的になった．

[ 3E3-1:WEB概要版PDF ]

3E3-2

秘匿SQL Window関数プロトコルの提案 Secure SQL Window Functions ◎須藤弘貴(NTT社会情報研究所), 菊池亮(NTT社会情報研究所): 近年，様々なデータを収集できるようになり，機械学習技術等の分析技術の発展もあり，データ利活用に対する期待が高まっている．その一方で，機密情報保護リスクから，安易に情報を扱うことはできず，利活用とセキュリティの両立をどのように実現するかが問題となっている．この問題の解決に向けて期待されているのが，秘密計算技術である．秘密計算技術は暗号化したまま計算を行う技術の総称である．秘密計算技術によりデータを暗号化してクラウドに預け，暗号化を解くことなく秘匿したまま計算を行うことができる．秘密計算は通常の計算と比べオーバーヘッドが大きいことが課題であったが，近年では高速化なフレームワークが提案されている他，秘密計算上でJOINやGROUP BYなどのデータベース操作を効率的に行う手法も提案されている．本稿ではデータベース操作の中でも，SQL Window関数の代表的な集約関数(max/min, sum)を秘密計算上で実現する手法を提案する．Window関数は「窓枠」を指定して所定の集約関数等により集計を行うことができるSQL SELECT機能の一つである．

[ 3E3-2:WEB概要版PDF ]

3E3-3

データベースの等結合後に加重合計を求める秘密計算プロトコル A Secure Protocol for Computing Weighted-Sum after Equijoin of Databases 〇富田潤一(NTT), 紀伊真昇(NTT), 濱田浩気(NTT), 市川敦謙(NTT), 千田浩司(NTT): 共通のID集合に属するID列を主キーとするデータベースを持つ２つのパーティが、そのID列を用いてそれらのデータベースの等結合を行い、なんらかの合意された集計結果を計算するという秘密計算は様々な場面で需要があると考えられる。本稿では、IDに付随するデータが整数値であり、データベースの等結合後に片方の整数を重みとして、もう片方の数値列に対する加重合計を計算する効率的なプロトコルを提案する。すなわち、等結合後にそれぞれの整数値列をベクトルとみて内積を計算するということである。そのような計算ができると、二者間が持つデータベースを等結合して得られるデータベース上でクロス集計表を計算することが可能である。

[ 3E3-3:WEB概要版PDF ]

3E3-4

プライバシを保護したRNNによる非対話型文書分類 One round classification of encrypted text data using RNN ◎齋藤拓巳(東京工業大学), 岡響(アイマトリックス研究所株式会社), 中橋彬(アイマトリックス研究所株式会社), 尾形わかは(東京工業大学): 近年, 機械学習が急速に発展し, クラウド上で機械学習を提供するサービス(MLaaS)が登場している. クライアントの機密性やプライバシ上の懸念から, プライバシを守りながらMLaaSを行う研究が行われており, Secure Multiparty ComputationやHomomorphic Encryption(HE)などを用いた手法が提案されている. HEは暗号化した状態で計算が可能な暗号方式であり, これを用いて画像分類を行った研究が知られている. 画像と同様, 文書も機密性やプライバシ上の懸念がある場合が多い. 連続的なデータを処理することに適しているRNNは, より高度な処理が可能なLSTM, GRUなどの発展を持つ, NLPの重要なモデルである. 本論文では, クライアントとサーバの通信を1回のみの非対話型で, プライバシを保護したRNNによる文書分類を考える. 本研究で利用するHEはTFHEに基づくものである. 任意の関数をLookup-Table(LUT)として評価可能なBootstrapping(PBT)を利用した活性化関数にて, 精度を保つアプローチを示す.

[ 3E3-4:WEB概要版PDF ]

3E3-5

多項式補間による整数型準同型大小比較/除算の改良 Improvement of integer-wise homomorphic comparison and division using polynomial interpolation ◎森村洸生(筑波大学), 西出隆志(筑波大学): 完全準同型暗号による、整数型の大小比較・除算演算の改善手法を提案する。完全準同型暗号には、平文をビット毎に暗号化するbit-wise型と平文を整数のまま暗号化するinteger-wise型の2種類がある。本研究では、integer-wise型の完全準同型暗号を対象とする。大小比較については、先行研究の手法に対し、多項式補間で導出する多項式を奇関数にすることで、準同型乗算の回数を半分にする方式を提案する。除算については、先行研究の手法に対し、準同型乗算の深さを変えずに、多項式評価の回数を約半分にする手法を適用することで、処理速度を改善し、事前計算や保存しておくべき多項式係数を削減できることを示す。また、提案手法をBGV方式を利用したFHEライブラリであるHElibで実装した。その結果、法が257の平文空間において処理速度が従来手法と比べて約半分になることを確認した。

[ 3E3-5:WEB概要版PDF ]

3E3-6

出力埋め込み可能な紛失擬似ランダム関数に基づく多者間秘匿積集合プロトコルの効率化 An Efficient Multi-Party Private Set Intersection Protocol Based on Oblivious Programmable PRFs ◎清水聖也(電気通信大学), 中井雄士(電気通信大学), 渡邉洋平(電気通信大学 / 産業技術総合研究所), 岩本貢(電気通信大学): 秘匿積集合 (Private Set Intersection, PSI) プロトコルとは，複数の参加者が自身の持つ集合を秘匿したまま，集合の共通部分のみを計算する秘密計算プロトコルである．KolesnikovらはOblivious Programmable Pseudorandom Function (OPPRF) プロトコルを導入し，Semi-Honestモデルにおいて任意の数の結託に対して安全な多者間PSIプロトコルを提案した．本研究では，Kolesnikovらと同じSemi-HonestモデルかつDishonest Majorityの設定の下，より効率的なOPPRFベース多者間PSIプロトコルを構成する．より具体的には，Kolesnikovらの方式には本来不要なOPPRFプロトコルの実行手順が含まれていることを示し，当該手順を軽量化することで効率的なPSIプロトコルを得られることを示す．

[ 3E3-6:WEB概要版PDF ]

4E1-1

軽量ブロック暗号CHAMに対するBit-based Division Property Using Three Subsetsを用いたIntegral攻撃 Integral Attack with Bit-based Division Property Using Three Subsets on lightweight block cipher CHAM ◎中曽根彰人(東京理科大学), 五十嵐保隆(東京理科大学): CHAMは2018年にKooらによって提案されたARX型の軽量ブロック暗号で、ブロック長/鍵長の値によってCHAM-64/128、CHAM-128/128、CHAM-128/256の3種類が存在する。提案論文では、(ブロック長/4)階差分で16段のCHAMにおいてIntegral特性を持つと評価されているが、鍵回復攻撃については言及されていない。本稿では、CHAM-128/128、CHAM-128/256に対して混合整数線形計画法(Mixed Integer Linear Programming: MILP)を用いたBit-based Division Property Using Three Subsetsによって詳細にIntegral特性を探索し、鍵回復攻撃を行った。その結果、114階差分で19段のCHAMにおいてIntegral特性を持つことが分かった。そしてこの特性を利用し平文-暗号文組を2^114組用いて、20段のCHAM-128/128に対して2^127.00、24段のCHAM-128/256に対して2^255.00の暗号化回数で鍵回復攻撃が成功することが分かった。

[ 4E1-1:WEB概要版PDF ]

4E1-2

PMACrx：ベクトル入力をサポートする高安全なメッセージ認証コード PMACrx: Highly Secure Message Authentication Code Supporting Vectorized Input ◎笠原颯登(名古屋大学), 岩田哲(名古屋大学): ListとNandiは，CT-RSA 2017において，tweakableブロック暗号を用いたメッセージ認証コード（MAC）であるPMAC2xを構成し，beyond-birthday-boundの安全性を示した．PMAC2xは単一のビット列を入力とするMACとして定義されている．本稿では，PMAC2xに基づき，データベースにおける複数の入力データの同時認証を目的とし，ベクトル入力をサポートするMACとしてPMACrxを提案する．提案方式の仕様を定義し，その安全性を証明する．

[ 4E1-2:WEB概要版PDF ]

4E1-3

単一鍵のTweakableブロック暗号を用いたブロック暗号の安全性 Security of Block Cipher Based on Single Key Tweakable Block Cipher ◎辻健斗(名古屋大学), 岩田哲(名古屋大学): CoronらはTCC 2010において，nビットブロックnビットtweakのtweakableブロック暗号を繰り返し構造にもつブロック暗号を提案した．また，PatarinはEurocrypt 1992において，単一の関数によって構成されたFeistel構造の安全性を解析した．本稿では，Coronらの構成について，tweakableブロック暗号で使用される鍵を単一の鍵に変更したブロック暗号の安全性を解析する．3段の場合について，Coefficient-H技法を用いてその安全性を示す．

[ 4E1-3:WEB概要版PDF ]

4E1-4

NIST軽量暗号最終候補におけるソフトウェア実装性能の評価 Performance Evaluation of Software Implementation for the NIST Lightweight Cryptography Finalists ◎北原知明(電気通信大学), 日良僚太 (電気通信大学), 原祐子 (東京工業大学), 宮原大輝(電気通信大学), 李陽(電気通信大学), 崎山一男(電気通信大学): メモリサイズや回路サイズなどに制限があるデバイス上でセキュリティ対策を行うため，軽量暗号アルゴリズムの必要性が高まっている．現在，米国標準技術研究所（NIST）によって軽量認証付き暗号の標準化が進められている．NISTで選定中の最終10候補について，使用されるデバイスやシナリオに合わせた暗号を選定するために，性能評価ならびに特徴分析を行う必要がある．本稿では，軽量暗号アルゴリズムのソフトウェア実装を行い，仕様書と照らし合わせることで各候補を比較し仕様と実装性能の関係を議論する. 本調査の結果，スタック使用量が多くなると，レイテンシも増える傾向にあった．レイテンシは入力データ長の影響を受けるが，スタックは入力データ長の影響をほとんど受けないことが分かった．

[ 4E1-4:WEB概要版PDF ]

4E2-1

整数型平文空間における非線形2変数準同型演算の高速化 An efficient algorithm for non-linear two-variate homomorphic evaluation on integer-wise plaintext space ◎前田大輔(筑波大学), 西出隆志(筑波大学): 完全準同型暗号での除算に代表される非線形2変数Integer-wise型演算を考える．Integer-wise型演算では平文はビット毎ではなく整数として暗号化される．先行研究として多項式評価を用いる岡田らの方式(WISTP18)がある．岡田らの方式はSIMD演算もサポートできる利点があるが，入力整数bit長に対し実行時間が指数関数的に増加するため，最大で257という比較的小さな平文空間のみを対象としていた．本論文ではBFV方式のパッキング手法を使いつつもSIMD演算を犠牲にすることでより大きな平文空間(2^15)を扱える手法を提案する．我々による岡田らの改良版方式(スロット数2^15)の実行時間見積りより，提案手法の方が効率的に実行可能なことをPALISADEでの実装により確認した．

[ 4E2-1:WEB概要版PDF ]

4E2-2

準同型暗号に基づく秘密計算の能動的攻撃者に対する秘匿性について On Privacy against Malicious Adversaries for Secure Computation Based on Homomorphic Encryption 〇縫田光司(九州大学/産業技術総合研究所): 準同型暗号に基づき、クライアントが鍵生成を行いサーバは暗号化されたデータのみを取り扱う種類の秘密計算プロトコルにおいて、AkaviaとVald（ePrint 2021/803）は暗号化方式がIND-CPA安全であってもmaliciousなサーバに対する情報の秘匿性が成り立たない具体例を示し、秘匿性を保証するための充分条件を提示した。本論文では、Akaviaらの議論ではmaliciousなサーバがクライアントに送るクエリ中に不正な暗号文が含まれる可能性が考慮されていないことを指摘し、Akaviaらの充分条件では秘匿性が必ずしも保証されない具体例を示すとともに、不正な暗号文の取り扱いも考慮した秘匿性のための充分条件を提示する。

[ 4E2-2:WEB概要版PDF ]

4E2-3

ブロック暗号RAGHAVの高階差分特性 Higher Order Differential Property of Block Cipher RAGHAV 〇芝山直喜(航空自衛隊), 五十嵐保隆(東京理科大学): RAGHAVは2021年にBansodによって提案された64ビットブロック暗号であり、鍵長は80ビット及び128ビットをサポートしている。なお、ラウンド数は31である。これまでに、安全性の自己評価において、線形攻撃、差分攻撃、Biclique攻撃及び零相関攻撃等は脅威とはならないだろうと述べられているが、高階差分攻撃に対する耐性は未知である。本稿では、RAGHAVの構造に着目することにより、フルラウンドの高階差分特性を発見した。これより、フルラウンドのRAGHAVに対する乱数識別攻撃が可能である。

[ 4E2-3:WEB概要版PDF ]

4E2-4

Google Adiantumに対する量子攻撃 Quantum Attacks against Google Adiantum ◎栗原昂汰(名古屋大学), 岩田哲(名古屋大学): Googleが安価なAndroid端末用に開発したディスクセクタ暗号であるAdiantumに対し，古典モデルではクエリ回数が2^{64}より大きいとき識別攻撃，偽造攻撃，平文回復攻撃が可能であることが示されている．本稿ではAdiantumに対する量子攻撃について，2^{20}回程度の量子クエリ回数で識別攻撃が可能であることを示す．さらに量子クエリ回数を2^{38}回程度に増やすと偽造攻撃，平文回復攻撃も可能であることも示す．

[ 4E2-4:WEB概要版PDF ]

4E2-5

WPA2/WPA3無線LAN機器に対する新たなDoS攻撃とその効果 New DoS attacks against WPA2/WPA3 wireless LAN devices and their effects ◎西井大智(神戸大学), 中嶋祥吾(神戸大学), 白石善明(神戸大学), 森井昌克(神戸大学): 2017年にWPA2には脆弱性が発見され，2019年にはWPA3に対する攻撃としてDragonbloodが提案された．このDragonbloodは早急なパッチという対策が取られたため実害がなかった．しかし，今後も脆弱性が見つかる可能性があり，その脆弱性が実害を及ぼす前にこれらのセキュリティープロトコルについて安全性の評価を行うことが必要となっている．2020年，窪田らはCSA(Channel Switch Announcement)を利用して,アクセスポイントとクライアントの通信を交互に遮断・接続させることによって，一部のOSに対して，クライアント全体および特定のクライアントに対して，通信を遮断できることを示した．特に特定のクライアントのみに攻撃できることは，攻撃の発見を困難にする極めて有効な攻撃方法と考えられる．本研究では，特定のクライアントに対して通信を遮断できるだけでなく，通信速度を制御し著しく通信速度の低下を促し，DoS攻撃の発見を困難にし，より継続性のあるかつ効果的な攻撃法を提案し，その実証を行った．

[ 4E2-5:WEB概要版PDF ]

1F1-1

RoccaとAEGISファミリーのラウンド関数の安全性評価 Security Evaluation for Round Functions of Rocca and AEGIS Families ◎竹内信幸(兵庫県立大学), 阪本光星(兵庫県立大学), 五十部孝典(兵庫県立大学): SAC 2013においてWuらはAES-NIを用いたソフトウェアで非常に高速な認証暗号AEGIS-128/128L/256を提案した．FSE 2016においてJeanらはAEGISの構成一般化を行い，いくつかの効率的な構成案を示した．ToSC 2021で，阪本らはJeanらの構成をさらに拡張し，Beyond 5G向け認証暗号Roccaを提案した．本稿では，混合整数線形計画法を用いて差分攻撃及びIntegral攻撃について，AEGISとRoccaの初期化関数について安全性評価を行う．差分攻撃に対しては，RoccaとAEGIS-128/128L/256はそれぞれ6ラウンド，4/3/6ラウンドでActive-Sbox評価で安全であることを示す．Integral攻撃に関しては，Roccaにおいては6ラウンド，AEGIS-128/128L/256においては6/5/7ラウンドのIntegral識別子を発見した．さらに，Roccaに加え，Jeanらのラウンド関数をベースにしたPermutationについての安全性解析も行う．

[ 1F1-1:WEB概要版PDF ]

1F1-2

倍ブロック長圧縮関数の量子衝突計算困難性について A Note on Quantum Collision Resistance of Double-Block-Length Compression Functions 〇廣瀬勝一(福井大学), 桑門秀典(関西大学): 2005年にNandiは$h^{\pi}(x):=(h(x),h(\pi(x)))$と定義される倍ブロック長圧縮関数のクラスを示した。ここで，$h$は出力長$n$ビットのランダムオラクルであり，$\pi$は置換である。 Nandiは，$\pi$が不動点を持たないとき，$h^{\pi}$の衝突計算困難性が最適であることを示した。本稿では$h^{\pi}(x)$の量子衝突計算困難性について考察する。最初に，$\pi$がインボリューションのとき，Grover探索を用いることにより，$O(2^{n/2})$回の反復で$h^{\pi}$の衝突入力組を見つけることができることを示す。次に，$h^{\pi}$の量子衝突計算困難性が最適となるための$\pi$に関する十分条件を示す。

[ 1F1-2:WEB概要版PDF ]

1F1-3

Fibonacci数列を利用したS-box及び転置関数によるAESへの有効性調査 A Study on the behavior of functions using Fibonaacci for AES 〇阿部友美(東京理科大学), 五十嵐保隆(東京理科大学): Rijndael がNIST によりAES として選定されて以来、様々な攻撃や改良が提案されている。その中で、Kamsiah MohamedらによりFibonacci数列を利用したAESの転置関数及びS-boxが提案され、AESの構成要素として有効であると報告されている。しかし、ショートカット攻撃耐性について評価をされていなかったため、本稿ではMILP(混合整数線形計画法)を用いてIntegral特性及び差分特性を調査した。その結果、4階差分において提案された転置関数を適用したAESはIntegral特性が悪化し、3ラウンドにおける差分特性も悪化していた。一方で、提案されたS-boxを適用したAESは8階、12階差分においてIntegral特性が改善されることがわかった。

[ 1F1-3:WEB概要版PDF ]

1F1-4

軽量ブロック暗号 DLBCA に対する MILP を用いた Integral 攻撃 Integral attack on lightweight block cipher DLBCA using MILP ◎廣見紗妃(東京理科大学理工学研究科電気工学専攻), 五十嵐保隆(東京理科大学理工学研究科電気工学専攻): DLBCAは2017年にS.AlDabbaghによって提案されたFeistel構造を持つ軽量ブロック暗号である。鍵長80ビット、ブロック長32ビット、段鍵32ビット、段数15段である。提案論文には差分攻撃については脅威を示さないと記載されていた。しかし、Integral攻撃については評価が記載されておらず、第三者による安全性評価も⾏われていない。そこで本稿では、Integral特性をMILP (Mixed Integer Linear Programming)を利用して探索し、得られた特性を用いて、8段に対しての鍵回復に必要な平文数、計算量を算出した。

[ 1F1-4:WEB概要版PDF ]

1F1-5

軽量ブロック暗号DoTに対するMILPを用いた線形攻撃 Linear attack on lightweight block cipher DoT using MILP ◎青柳光祐(東京理科大学), 五十嵐保隆(東京理科大学): DoTは、2019年にPatilらによって提案されたSPN構造を持つ軽量ブロック暗号である。ブロック長は64ビット、鍵長は128ビット、段数は31段である。DoTの線形特性は提案者による簡単な見積もりしかなく、第三者による評価はなされていない。本稿では、DoTの線形特性をMILP (Mixed Integer Linear Programming)を利用して探索した。得られた特性を用いて、DoT全段に対しての鍵回復に必要な平文数、計算量を算出した。

[ 1F1-5:WEB概要版PDF ]

1F2-1

軽量ブロック暗号LBC-IoTに対するMILPを用いた線形攻撃耐性評価 MILP-Based Linear Attack on Lightweight Block Cipher "LBC-IoT" ◎安士颯真(東京理科大学), 五十嵐保隆(東京理科大学): 軽量ブロック暗号LBC-IoTは、2021年にRabie A. Ramadanらによって提案されたIoTデバイス向けの暗号である。この暗号はIoTデバイス向けの暗号のため、エネルギー効率が高い暗号化方式で、ハードウェアの実装面積が小さく抑えられているのが特徴である。LBC-IoTのブロックサイズは32bits,鍵長80bits,ラウンド数32roundsのFeistel構造である。本稿では、MILPを用いた線形特性の探索により、23roundsを線形特性確率2^(-30)で伝搬する線形パスを発見した。これによりLBC-IoTにおいて26roundsで鍵回復が可能であることを示す。また、鍵回復に必要なデータ量は2^30、計算量は2^56.9となった。

[ 1F2-1:WEB概要版PDF ]

1F2-2

プロービング攻撃による漏洩情報を用いたAES鍵復元アルゴリズムの改良 An Improved AES Key Recovery Algorithm Using Key Leakage by Probing Attacks ◎植村友紀(電気通信大学), 渡邉洋平(電気通信大学/産業技術総合研究所), 李陽(電気通信大学), 三浦典之(大阪大学), 岩本貢(電気通信大学), 崎山一男(電気通信大学), 太田和夫(電気通信大学/産業技術総合研究所): ISITA2020において，AES暗号に対するプロービング攻撃の脅威を評価するため，Uemuraらはプロービング攻撃による漏洩情報を用いたAES鍵復元アルゴリズムを提案した．本研究では，Uemuraらの鍵復元アルゴリズムでは漏洩情報を十分に利用できていないことを指摘した上で，すべての漏洩情報を利用した鍵復元アルゴリズムを提案する．Uemuraらのアルゴリズムは，拡大フェイズと枝刈りフェイズを繰り返すことで8ラウンド鍵を復元し，直ちにAES秘密鍵を復元していたが，アルゴリズムの構造上，これらのフェイズで利用されない漏洩情報が存在していた．そこで，提案アルゴリズムでは検査フェイズを導入し，8ラウンド鍵を復元した後，すべての鍵スケジュール（秘密鍵と1-10ラウンド鍵）を復元し，全ての漏洩情報と矛盾がないか検査を行う．その結果，より効果的な鍵復元アルゴリズムを実現でき，プロービング攻撃の脅威をより正確に評価することができた．たとえば，鍵の漏洩割合が11%の場合においては，Uemuraらの実験ではほぼ0%の復元成功確率だったことに対し，本実験では約40%の確率で復元に成功した．

[ 1F2-2:WEB概要版PDF ]

1F2-3

Bernstein-Vazirani量子アルゴリズムに基づくランダムブール関数の隠れシフト問題の求解について Solving Boolean Hidden Shift Problem based on Bernstein-Vazirani Quantum Algorithm ◎八藤後彬(茨城大学大学院理工学研究科情報工学専攻), 米山一樹(茨城大学大学院理工学研究科情報工学専攻): 2つの関数間に隠れた唯一の秘密情報を発見する隠れシフト問題は，同種写像問題に基づく耐量子公開鍵暗号系や，ある種の共通鍵暗号系の安全性との関係が知られている．これらの関数を基として周期関数を構成することにより，周期発見問題を解くSimonの量子アルゴリズムを用いて，多項式時間で秘密情報を発見できることが知られている．本稿では，ランダムブール関数の隠れシフト問題に着目し，Bernstein-Vazirani量子アルゴリズムに基づく求解手法を提案する．また，提案手法，および既存手法であるSimonに基づく手法と量子サンプリングに基づく手法について，サブルーチンの呼出回数と実行時間の観点からシミュレーション評価を行い，その結果提案手法が既存手法と比較して，呼出回数または実行時間で優位性を持つことを示す．

[ 1F2-3:WEB概要版PDF ]

1F2-4

少命令セット組込みプロセッサにおけるARX型暗号アルゴリズムの実装と評価 Implementation and Evaluation of ARX-based Ciphers on a Simple Instruction-Set Embedded Processor ◎楊明宇(東京工業大学), 卯木あゆ美(東京工業大学), 李陽(電気通信大学), 﨑山一男(電気通信大学), 原祐子(東京工業大学): 近年、Internet of Things (IoT) 社会の発展により、IoTデバイス上の秘密情報の保護が注目されている。しかしながら、計算リソースが限られているIoTデバイスでは、複雑な暗号のリアルタイム処理は大きな課題である。本研究では、我々が既に開発した小型な組込みプロセッサSubRISC+を、Add-Rotation-XOR (ARX) 型軽量暗号アルゴリズムを対象に拡張し、効率的な暗号処理の実現に向けたプロセッサの実装と最適化について検討する。具体的には、ARX計算に基づくメッセージ認証符号に適した命令セットの定義、および、アーキテクチャ実装とその最適化を行う。実験では、ブロック暗号・ストリーム暗号のARX型アルゴリズムに対してRISC-V (Ibex) と提案プロセッサを比較評価し、提案アーキテクチャの有用性を示す。

[ 1F2-4:WEB概要版PDF ]

1F2-5

Elephantに対する鍵回復，識別及び偽造攻撃 Key Recovery, Distinguishing, and Forgery Attacks against Elephant ◎土生亮(名古屋大学), 岩田哲(名古屋大学): Elephantは暗号学的置換を利用した認証暗号方式であり，NIST Lightweight Cryptography Competitionの最終ラウンド方式の一つである．暗号学的置換のサイズに応じてDumbo, Jumbo, Deliriumのバリエーションがあり，それぞれ証明可能安全性バウンドが示されている．本論文では，これらのバウンドが厳密であることを鍵回復，識別及び偽造攻撃の手順を示すことにより明らかにする． Elephantに対して特定の入力を行った場合，Even-Mansour暗号と同等の処理とみなすことができ，提案する鍵回復の手法はJoan Daemenの手法を応用している．

[ 1F2-5:WEB概要版PDF ]

1F2-6

軽量ブロック暗号CRAFTのハッシュ関数への応用に関する考察 research on application of block cipher CRAFT for hash function ◎西尾明日駆(東京理科大学), 五十嵐保隆(東京理科大学): CRAFTはFSE2019で提案された軽量Tweakableブロック暗号である。CRAFTに関する他の論文では、差分攻撃や関連鍵攻撃[3]などに対する強度について分析が行われた。提案論文[1]では不能差分攻撃への強い耐性が主張されると同時に、ある単純な条件を満たす複数の鍵とtweakの組の集合は、平文と暗号文に対し同じ入出力関係を与えることが示されている。本論文では平文と暗号文に対し同じ入出力関係を与える複数の鍵とtweakの組の集合に関するより詳細な説明と、その危険性に関して記述する。

[ 1F2-6:WEB概要版PDF ]

1F3-1

プライバシー情報提供の可否に関する調査-経年変化に関する考察- A Study of Willingness for Private Information Providing - Estimating Change over the Year from 2010 to 2021- 〇金森祥子(国立研究開発法人情報通信研究機構), 佐藤広英(信州大学/国立研究開発法人情報通信研究機構), 太幡直也(愛知学院大学/国立研究開発法人情報通信研究機構), 野島良(国立研究開発法人情報通信研究機構): データ利活用は, インターネット及びデジタル機器の普及と技術の進歩により, ますます促進の方向に向かっている. ユーザのプライバシーを保護するために法制度が整備され, プライバシーポリシー提示と同意取得の仕組みが普及している. しかし, データ利活用とユーザのプライバシー保護の両立は, まだ現代社会における大きな課題の一つであると考えられ, その問題点が指摘されている. 利活用されるデータの主体であり, データを収集される側の立場にあるユーザのプライバシーに対する考え方が, どのように変化しているかを調査するために, 著者らはプライバシー情報提供の可否に関する調査を継続して実施している. 本稿では, 2021 年に実施した調査の結果を報告するとともに, 一般ユーザのプライバシーに関する意識がどのように変化してきているか, また, ユーザのプライバシーに対する意識の変化の要因について考察する.

[ 1F3-1:WEB概要版PDF ]

1F3-2

パーソナルデータの等結合に適した匿名化技術の考察 On Anonymization for Equi-Join of Personal Data 〇千田浩司(NTT), 紀伊真昇(NTT), 市川敦謙(NTT), 野澤一真(NTTドコモ), 長谷川慶太(NTTドコモ), 堂面拓也(NTTドコモ), 中川智尋(NTTドコモ), 青野博(NTTドコモ), 寺田雅之(NTTドコモ): 各組織が保有するパーソナルデータを等結合(連結)して組織横断で利活用し，社会課題の解決やサービスの質向上に資する機運が高まってきている．しかし国内外の現行法制度の下では本人同意なく等結合を行うことは難しく（ただし次世代医療基盤法や，個人情報保護法における仮名加工情報等の例外はある），パーソナルデータの組織横断的な利活用を促進する手段が望まれる．そこで本稿では，匿名性を保ちつつ等結合できる技術的アプローチについて，いくつかの手法を例示し特徴を考察する．

[ 1F3-2:WEB概要版PDF ]

1F3-3

Attested Execution Secure Processor-based Architecture for Self-Sovereign Identity Systems Preserving Privacy Attested Execution Secure Processor-based Architecture for Self-Sovereign Identity Systems Preserving Privacy 〇Koichi Moriyama(Institute of Information Security), Akira Otsuka(Institute of Information Security): The recent momentum of research and discussion regarding Self-Sovereign Identity (SSI) utilizing blockchain technology in academia and the tech industry has inspired us to realize a true SSI system. David Chaum addressed an approach in 1985 by utilizing pseudonyms, digital signatures, and card computers to avoid unexpected tracing by someone else like Big Brother. Our proposal in this paper is to incorporate the concept of that approach and build an SSI system by utilizing modern techniques of blockchain and cryptography, especially Rafael Pass et al.’s contribution of the formal abstraction of Attested Execution Secure Processors (AESPs) instead of the card computers. Our proposal of the AESP-based SSI architecture and system protocols, Pi^{G_att}, demonstrates the powerfulness of hardware-assisted security and the formal abstraction of AESPs that fit into building a true SSI system. Assuming AESPs and G_att, the protocols may eliminate the online distributed committee assumed in other research. Also, Pi^{G_att} allows not to rely on multi-party computation (MPC); thus, it brings drastic flexibility and efficiency when compared with the existing SSI systems.

[ 1F3-3:WEB概要版PDF ]

1F3-4

安全性と有用性を両立する半導体ウェハマップのデータマスキングの検討 Tward a secure and analyzable data masking method for wafer maps 〇花谷嘉一(株式会社東芝研究開発センター), 和田紘帆(東芝インフラシステムズ株式会社): 産業データが流通すると、データの新しい活用事例が増加し、産業が活性化すると期待される。ところが、産業データから様々な機微情報が推測できる場合があり、産業データ流通を阻害する一因となっている。本稿では、半導体チップの製造工程で得られる産業データを用いて不良原因を推測する分析方法を開発することで、生産効率を向上させた事例に焦点を当てる。産業データの分析方法を開発するプロセスにおいては、データを保護しながら活用する既存技術であるプライバシー保護や秘匿計算を単純適用すると、効果が見込めないと考えられる。和田らは、SCIS2020において半導体ウェハマップに対して、データの有用性を保ちながら機微情報の推測を困難にするデータマスキングを提案した。本稿では、和田らのデータマスキング方式を一般化するとともに、安全性定義を再考する。

[ 1F3-4:WEB概要版PDF ]

1F3-5

属性推定攻撃を考慮する匿名化データの安全性指標の提案 A Privacy Measure of Anonymized Data against Attribute Inference Attack 〇紀伊真昇(NTT 社会情報研究所), 市川敦謙(NTT 社会情報研究所), 三浦尭之(NTT 社会情報研究所), 芝原俊樹(NTT 社会情報研究所): 安全な匿名化データとは被害者への攻撃行動（差別等の不当な扱いや暴力）を行う動機を攻撃者に与えないデータである，という思想に基づく匿名化データの安全性指標を提案する。特に，提案する指標は属性推定攻撃を考慮したものである。定式化には統計的決定理論で用いられるベイズ因子を用いた。差分プライバシーと同じ攻撃の設定のもとで，差分プライバシーを達成する匿名化メカニズムは提案する指標での安全性も達成していることがわかっている。

[ 1F3-5:WEB概要版PDF ]

1F4-1

灯台とABCプレースの物理的ゼロ知識証明 Physical Zero-Knowledge Proofs for Lighthouses and ABC End View ◎深澤拓朗(工学院大学), 真鍋義文(工学院大学): ゼロ知識証明とは，証明者が検証者に対して，ある命題が真であることを，真であること以外の情報を漏らさずに証明する手法である．ゼロ知識証明は，カードなどの道具を用いることで，物理的に実装することができる．これまで，数独やカックロなどの様々なペンシルパズルの物理的ゼロ知識証明プロトコルが提案されてきた．本稿では，灯台とABCプレースという2つのペンシルパズルの物理的ゼロ知識証明プロトコルを提案する．

[ 1F4-1:WEB概要版PDF ]

1F4-2

秘匿置換を用いた効率的なn入力多数決カードプロトコル Efficient Card-Based Majority Voting Protocol with n Inputs Using Private Permutations ◎安部芳紀(電気通信大学), 中井雄士(電気通信大学), 渡邉洋平(電気通信大学/産業技術総合研究所), 岩本貢(電気通信大学), 太田和夫(電気通信大学/産業技術総合研究所): カードベース暗号とは，物理的なカードを用いて秘密計算を実現する暗号技術である．カードベース暗号プロトコルは，使用する操作により2種類に分類することができる．一つが，全てのカード操作を公開の場で行う「シャッフル」ベースのプロトコルであり，もう一つが，他のプレーヤから見えないプライベートな場所でカード操作を行う「秘匿置換」ベースのプロトコルである．入力数n（入力の合計bit数がn-bit）のプロトコルにおいて，n枚未満のカードしか使用しないプロトコルは金持ち比べプロトコルなど，一部の例を除き知られておらず，n入力多数決を計算できるプロトコルではn枚以上のカードが必要であった．本研究では，秘匿置換を用いて，n(>=3)入力多数決を$\lceil n/2 \rceil + 1$枚のカードで実現するプロトコルを提案する．特に，n(>3)入力の場合は入力数nを下回る約n/2枚のカードで多数決を計算可能である．本研究は，Watanabeらが提案した，3枚のカードで3入力多数決を行うプロトコルを元に，出力となるカードの位置に着目して分析を行い，n入力へと拡張している．

[ 1F4-2:WEB概要版PDF ]

1F4-3

最小のカード枚数による対称関数の秘密計算について Secure Computations of Symmetric Functions with Minimum Cards ◎四方隼人(東北大学), 豊田航大(東北大学), 宮原大輝(電気通信大学), 水木敬明(東北大学): カードベース暗号は様々な研究者により発展を繰り返し，実用的なプロトコルから理論的な興味に基づく研究まで幅広く研究されている．そのうち，最も重要な問題の一つに「最小枚数のカードによるプロトコルの構成」がある．具体的には，1ビットを2枚のカードで符号化し，n個のビットを示す2n枚のカード列だけが入力として与えられたときに，どのような論理関数が秘密計算できるか，という問題である．これまでANDやXOR等の基本的な関数や，3入力多数決関数等が最小枚数で秘密計算できることが知られているが，任意の関数に対して最小枚数で秘密計算できるかどうかは分かっていない．そこで本稿では，n変数の対称関数を対象とし，最小枚数のプロトコルの構築を試みる（既存研究では， 2n+2枚のプロトコルが提案されている）．本稿で提案するプロトコルでは，特殊なケースを用いたシャッフル操作を計算過程に含み，入力数nはある値以上である必要がある．今後本稿の成果を基に，これらの制約を取り除けるかどうかの検討が望まれる．

[ 1F4-3:WEB概要版PDF ]

2F1-1

情報理論的安全性を有する宇宙ロケット用セキュア通信方式の性能実証飛行 Performance Evaluation Flight of an Information Theoretically Secure Wireless Protocol for Space Launch Vehicles 〇森岡澄夫(インターステラテクノロジズ株式会社), 尾花賢(法政大学), 吉田真紀(情報通信研究機構): NewSpace（ニュースペース）と呼ばれる民間主導の宇宙開発が世界で活発化している．この動きを受けて宇宙活動法が平成30年11月15日に施行された．その関連ガイドラインには，民間事業者による小型衛星や小型ロケットの打ち上げに際して通信セキュリティの確保が必要である旨明記されている．筆者らは，これら小型宇宙機と地上局間の無線通信において情報理論的安全性を低コストで確立することを目指し，セキュリティ要件の整理，プロトコルの設計と安全性評価，民生部品を用いた低コスト処理系実装法の検討を行ったうえで，民間宇宙ロケットに搭載して通信実験と改良を繰り返してきた．令和3年7月31日に行われた宇宙ロケットMOMO 6号機の打上げにおいて，離昇から着水までの全飛行フェーズで512kbpsの実用速度（実効帯域．ビットレートは8Mbps）にて正常にダウンリンクを行えた．これにより提案方式の実用化に対する懸念は概ね解消されたと考えられる．本発表では本性能実証飛行の実施内容と結果について報告する．

[ 2F1-1:WEB概要版PDF ]

2F1-2

Distant Supervisionによるサイバーセキュリティ文書のマルチラベル分類 Multi-label Classification of Cybersecurity Text with Distant Supervision 〇石井将大(東京工業大学), 森健人(東京工業大学), 桑名亮一(東京工業大学), 松浦知史(東京工業大学): 近年の高度かつ複雑に進化するサイバーセキュリティ攻撃・脅威に対抗するために，セキュリティインテリジェンスを含む多様な形式の大規模なデータの詳細な分析が必須である．特に，自然言語で記述された非構造化データに対するサイバー攻撃・脅威の分類，あるいはセキュリティインテリジェンスの抽出を行う高精度なモデルが必要である．本研究では，インシデント対応のコスト低減を目指した，サイバーセキュリティ文書のマルチラベル分類を行う．セキュリティインシデントの詳細な分析にはセキュリティインテリジェンスの抽出とそれらの関連性を活用したイベント抽出タスクなどを行う統合的なモデルが必要である．本研究では前段階として標準的なサイバーセキュリティの攻撃・脅威モデルに対する文書レベルのマルチラベル分類を行う．さらに，モデルの高精度化のための大規模教師データの作成コストの低減は本質的な課題であるため，distant supervisionによる教師ラベル付与の自動化について様々な手法を適用し，分類モデルの高精度化とインシデント対応のコスト低減に寄与する特徴について議論する．

[ 2F1-2:WEB概要版PDF ]

2F1-3

Efficient Machine Learning Method for Protocol Fuzzing: Improvement of Sequence-to-Sequence Model and Refined Training Data Efficient Machine Learning Method for Protocol Fuzzing: Improvement of Sequence-to-Sequence Model and Refined Training Data 〇Bo Wang(JVCKENWOOD Corporation), Toshihiro Maruyama(JVCKENWOOD Corporation), Ako Suzuki(JVCKENWOOD Corporation), Yuichi KAJI(Nagoya University): Fuzz testing is one of software testing methods for finding software vulnerabilities and is used as a technology for finding unknown security vulnerabilities as a black-box test. Although many fuzz testing methods that are based on machine learning have been investigated, they cannot analyze and learn the real-time status of communication protocol. The authors focus on efficient machine learning for protocol fuzzing, present major problems of current fuzzing tools (fuzzers) that have not yet been solved, and introduce techniques to get around the problems.

[ 2F1-3:WEB概要版PDF ]

2F1-4

Android用ファジングツールの適用及びその性能評価 Application of fuzzing tool for Android and its performance evaluation ◎佐久間耀大朗(長崎県立大学), 高橋寿一(株式会社ロジギアジャパン), 加藤雅彦(長崎県立大学): 現在，世界規模でAndroidが広く普及し，2018年時点で約320万個以上のAndroidアプリが作成されている．それに伴いスマートフォンアプリ向けテストツール等を用いたテストが行われている．しかし現在行われているテストの多くはアプリが想定通りに動作するかが重要視され，入力値に着目したテスト方法は少ない．そのため，従来のテスト方法では発見できなかったバグを発見できる，入力値に着目したテスト方法が必要である．本研究では，ファジングを用いたAndroidアプリのテスト方法を提案する．既存のファジングツールを用いて予測不可能な入力データ（ファズ）を生成し，生成したファズを検査対象アプリに自動入力することでファジングを行う．また，脆弱なアプリとAndroidのプリインストールアプリを実際にファジングし，値の自動入力の可否とエラー検知の可否を検証する．結果，脆弱なアプリでは値の自動入力，エラーの検知，エラー内容とエラー発生時の入力値の表示に成功した．プリインストールアプリではエラーは発生しなかったが，値の自動入力は成功した．結果から，1項目の入力に2～3秒かかり，入力速度が遅いという課題が得られたため，今後は解決策として処理の並列化等を検討する．

[ 2F1-4:WEB概要版PDF ]

2F2-1

データに対する匿名加工を考慮したデジタル署名の検討 A Study on Digital Signature Considering Data Anonymization 肥後春菜(NEC), 一色寿幸(NEC), 森健吾(NEC), 田宮寛人, ◎土田光(NEC): 個人情報保護法の改正や次世代医療基盤法の施行により，匿名加工されたデータの第三者提供によるデータ利活用が活発になると考えられる．データの真正性を保証する技術としてデジタル署名が知られているが，加工されたデータの第三者提供を行う場合，デジタル署名を用いても真正性の検証に失敗することが知られている．また，データに対して真に正しい加工を行ったかという加工処理の正当性についても，デジタル署名では検証することができない．加工されたデータの第三者提供における，データの真正性や加工処理の正当性を保証する技術として，墨塗署名を用いた方式が提案されている．しかし，先行研究では署名生成時にデータに対する加工方法をあらかじめ指定する必要がある．このため，データに対する加工の柔軟性が失われ，所望のデータ加工を行えない場合があった．本稿では，匿名加工されたデータに対するカメレオンハッシュベースの墨塗署名の適用を検討する．検討する方式では，データの真正性を保証しつつ，対象となるデータに対して任意の加工を施すことができる．

[ 2F2-1:WEB概要版PDF ]

2F2-2

分散型ID（DID）/検証可能属性証明（VC）技術を利用した自己主権型アイデンティティ情報利活用基盤（SSIUF）に関する考察 Self-Sovereign Identity-information Utilization Framework using Decentralized Identifier/Verifiable Credential technologies 〇才所敏明(IT企画), 辻井重男(中央大学研究開発機構), 櫻井幸一(九州大学大学院システム情報科学研究院): 個人の様々の活動がインターネット上で展開される時代へと移行する中，活動の過程で求められるアイデンティティ情報もネット経由の提供へ移行することが想定される．筆者らが提案する自己主権型アイデンティティ情報利活用基盤（SSIUF）は，構成するエンティティ間での安全なアイデンティティ情報の流通およびアイデンティティ情報の検証を可能とする情報流通基盤である．本稿では，W3Cで議論・標準化が進められている分散型ID（DID）技術，検証可能属性証明（VC）技術を活用した利用者の匿名性と特定・追跡性の両立を可能とするSSIUFの構成を提案し，匿名性および特定・追跡性の観点からの実装時および運用時の要件を考察する．

[ 2F2-2:WEB概要版PDF ]

2F2-3

動的サンプリングを使用した勾配ブースティング決定木の連合追加学習 Federated Continuous Learning of Gradient Boosting Decision Trees Using Dynamic Sampling ◎三浦啓吾(神戸大学), 王立華(情報通信研究機構), 小澤誠一(神戸大学): 既存の学習器をインクリメンタルに更新する追加学習は，逐次的に新たなデータが与えられる環境においてのモデルの学習に効果的であるが，勾配ブースティング決定木（GBDT）モデルの追加学習では，学習が進むにつれて弱学習器の数が増えてしまいメモリを圧迫してしまう．また，昨今注目されている連合学習でも，前述したGBDTモデルの追加学習における課題は同様である．そこで本研究では，モデルの学習時に訓練データをサンプリングし，またイテレーション毎にサンプリング確率を更新することで，効率的に新たなデータに適応した弱学習器を生成するモデルを提案する．サンプリング手法に関しては，AdaBoostにおけるデータの重みと，勾配情報に基づく2通りの手法を実装し，単一組織での学習と連合学習に提案手法を導入して実験を行った．実験結果として，提案手法は従来のGBDTの追加学習と比較して少ない弱学習器で高い精度を出すことができ，従来の手法では精度が落ちた場面でも安定した性能をキープしていた．また，新たなデータのクラスタを追加した場合においても，過去の入出力関係を維持しつつテストデータに対する精度を向上させることができた．

[ 2F2-3:WEB概要版PDF ]

2F3-1

能力主義的公平なマッチングと効率的な判定アルゴリズム Meritocratic Fair Matching and Its Efficient Decision Algorithm 〇中村徹(KDDI総合研究所), 磯原隆将(KDDI総合研究所): マッチング問題における新たな公平性の概念として，能力や評価がより高い者はより希望通りになるという考え方に基づく公平性（能力主義的公平性）が提案された．これまでの議論においては，能力主義的公平性の定義が示されたが，これを満たすマッチングであるかどうかを判定する効率的なアルゴリズムの存在や構成については言及されなかった．本稿では，能力主義的公平なマッチングであるかどうかを判定する効率的なアルゴリズムを示す．

[ 2F3-1:WEB概要版PDF ]

2F3-2

テレワークにおけるBYOD利用時のセキュリティ等の不安に関する分析 An Analysis on Anxiety toward Security in Telework by BYOD 〇森淳子(独立行政法人情報処理推進機構), 小山明美(独立行政法人情報処理推進機構), 小川隆一(独立行政法人情報処理推進機構), 竹村敏彦(城西大学): 新型コロナウイルス感染拡大防止対策の手段のとして，多くの企業がテレワークを導入し，新しい働き方として定着したが，現時点では感染状況が落ちついており，通常勤務に戻した組織も多く見られる。しかし，変異株による感染拡大などの恐れは残っており、再度テレワークによる出勤率削減を行う組織もあると想定され, 特にＢＹＯＤを利用したテレワークの場合，一旦通常勤務に戻した後のテレワーク再開により，セキュリティ対策への不安を感じることが懸念される。本研究では，2020年11月に独立行政法人情報処理推進機構が2020年度に「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の一環として実施した個人を対象としたウェブアンケート調査の結果から，BYODを利用してテレワークを実施する上で個人が感じるセキュリティに関する不安（インシデントが発生した場合にどのような問題が発生するか）と回答者属性（個人属性及びその個人が所属している企業属性，ＢＹＯＤの利用状況など）の関係についてのデータ分析を行う。

[ 2F3-2:WEB概要版PDF ]

2F3-3

Web 上パスワード認証システムに関するUXデザインの実態調査：不親切なパスワード登録エラーメッセージ表示 A Survey of User Experience Design regarding Password Registration Error Message in Web-based Password Authentication System ◎藤田真浩(三菱電機株式会社), 山中忠和(三菱電機株式会社), 松田規(三菱電機株式会社), 金岡晃(東邦大学): 本論文では，パスワード認証におけるUXデザイン実態の一調査として，パスワード登録時のエラーメッセージの表示方法に関わる調査を実施する．具体的には，ユーザがパスワード構成ルールに準じていないパスワードを登録しようとした場面で表示されるエラーメッセージの表示方法を対象とし，実態調査を行う．既存のUI/UX設計のガイドラインから，本調査対象の場面でUXを低下させると思われる二つのResearch Questionsを策定し，それぞれの観点から実態調査を行い，考察を行った．この結果，策定した二つのRQについてどちらにおいても，既存の UI/UX 指針と異なった，すなわち，「不親切」と思われる表示方法を採用したWeb上パスワード認証システムが一定数見つかった．

[ 2F3-3:WEB概要版PDF ]

2F3-4

Become a Security Monopoly: Gamification to Learn Cyber Defense Matrix Become a Security Monopoly: Gamification to Learn Cyber Defense Matrix 〇Chen Chung-Kuan(CyCraft Technology), Kao Wei-Chia(CyCraft Technology), Cheng Chen-mou(Kanazawa University): The shortage of security professionals is the critical issue around the world. In worldwide, millions shortage need to be fulfilled. To bridge the gap of the shortage, security education is a indispensable issue. Therefore, in order to educate both student, blue team and even manager levels, we developed a Monopoly-style boardgame - CyberCans.CyberCans applies CDM(Cyber Defense Matrix),which is the industry-accepted framework for inventory their defense mechanisms, as the main concept. Based on the CDM, the participants play the role as the the decision maker, which need to design the strategy and deploy their defense mechanisms. Players should ensure their defense mechanisms could successful guard their enterprise against encountered attacks during the Monopoly-style game. The participants could learn the knowledge of diversity position of defense mechanisms, e.g. antivirus, firewall, SOC(Security Operation Center) and CTI(Cyber Threat Intelligence), according to the CDM.The proposed boardgame has the following contributions. First, we propose the first board game integrating with industry-accepted framework - CDM to ensure the technique soundness and completeness of CyberCans. Second, using in 10+ education events, CyberCans is proven to be effective across diverse education levels - from new entry students, security staffs, to even the CISO level. This indicates that CyberCan is not only the game, but a war-game for enterprise's security strategy. Third, the art design is usually overlook but the crucial factor for gamifications. We will share the art design guideline of CyberCans for tailor-made user experience. Last, the experiment is conducted with more than 100 participants. The score of multiple choice questions is rising from 41.85 to 69.23, while assay questions score is rising 0.04 to 11.15. These experiment highlight a substantial improvement to the participant's security knowledge.

[ 2F3-4:WEB概要版PDF ]

2F4-1

シャッフル1回のみの秘密計算に必要なカード枚数について A Note on the Number of Cards Required for Secure Computations with Single Shuffle ◎葛馬知紀(東北大学), 五十鈴川頼宗(東北大学), 豊田航大(東北大学), 宮原大輝(電気通信大学), 水木敬明(東北大学): カードベース暗号では，秘密計算を実現するプロトコルにおいて，「カード枚数」と「シャッフル回数」がその複雑さの尺度となり，これらの値は小さいほどよい．後者の尺度を最小とする既存研究として，ShinagawaとNuidaはGarbled Circuitのアイデアを基に，任意のn変数論理関数は1回のシャッフルで秘密計算できることを示した．必要なカード枚数は，計算したいn変数論理関数がq個のゲートで表現できるとき，2n+24q枚である．例えば，n変数のAND関数やXOR関数に適用すると，それらのゲート数はn-1なので，26n-24枚のカードを使うことになる．本稿では，これら2つの具体的な関数に着目すると，必要なカード枚数が削減できることを示す．具体的には，n変数AND関数は4n-2枚，XOR関数は2n枚のカードでシャッフル1回のみを用いて秘密計算できる．

[ 2F4-1:WEB概要版PDF ]

2F4-2

3値入力可能な可換半群の条件を満たす非コミットメント型AND演算拡張カードベースプロトコルの構成 Constructions of non-commitment card-based 3-inputs extended-AND protocols that satisfy the conditions of commutative semi-group 〇須賀祐治(株式会社インターネットイニシアティブ): 2者のAND演算によるマッチングはカードベースプロトコルにおける一般的なアプリケーションであり，気まずくならない告白ができることが知られている．2者間の秘密計算によってAND演算出力が0である場合，入力が0だったのか1だったのかを秘匿できる意味で，相手に入力がバレないことから気まずくならないとされている．本稿は0,1という2択の入力を持つ通常のAND演算を拡張し，0でも1でもない第3の値「不定」を入力可能な拡張ANDプロトコルを考える．ビルディングブロックとして2者間の拡張AND演算プロトコルを用い，複数のプロトコルを連続して実行することを想定すると，この拡張演算は推移律を満たす必要がある．さらにAND演算は可換であることから，位数3の半群がここで扱うべき対象となる．本稿は0,1,θを入力とする3元の半群としてどのようなバリエーションがあるか完全に分類を行う．また，その一部については既存の5 Card Trickをベースとしてプロトコルを構成することを試みた．簡便で十分実現可能な実装法として，裏面にして入力する際に裏面の識別不可能性を持つ同一カード束（名刺など）を用いれば，その上限の位置関係に応じた入力方式を提案する．

[ 2F4-2:WEB概要版PDF ]

2F4-3

一様で閉じたシャッフルの効率的な実装 How to Efficiently Implement Uniform Closed Shuffles ◎岩成慶太(電気通信大学), 中井雄士(電気通信大学), 渡邉洋平(電気通信大学/産業技術総合研究所), 栃窪孝也(日本大学), 岩本貢(電気通信大学): カードベース暗号とは物理的なカード組を用いて秘密計算を実現する暗号技術である．秘密計算を実現するための乱数は，テーブル上などの公開の場でシャッフル操作を行うことで生成される．カードをシャッフルするアクションは置換集合とその確率分布により定義され，その中でも置換集合が対称群の部分群かつ確率分布が一様なものを「一様で閉じたシャッフル」という．シャッフルの実装可能性も重要な点であり，任意の一様で閉じたシャッフルはサイクル分解し，各サイクルを同じ回数シフトすることでランダムカットのみから実装できることが知られている．また，この実装では各サイクルに異なる回数シフトするような攻撃に対して，追加カードにより不正検知も可能である．本稿では，ランダムカットによる一様で閉じたシャッフルの実装におけるカード枚数の効率化を行う．具体化には，既存手法を改良し，すでに巡回シフトが終了したカード組を再利用することで追加カード枚数を削減する手法を提案する．また，秘匿置換操作を許したモデルにおいても，番号付きの封筒を用いることで確率的な不正検知能力を持つ一様で閉じたシャッフルの実装手法を提案する．

[ 2F4-3:WEB概要版PDF ]

2F4-4

カードベース暗号を題材にした小中学生向け授業の報告 A Report on a Lecture for Elementary and Junior High School Using Card-based Cryptography 〇品川和雅(茨城大学 / 産総研): 情報技術の発展及び普及によって日常生活の様々な場面で利便性が向上している一方で，情報漏洩のリスクやサイバー犯罪の被害に合うリスクも年々高まっている．こうした背景から，情報セキュリティ教育は全ての人々にとって重要であると考えられる．カードベース暗号は，物理的なカード組を用いて秘密計算を実現する分野である．カードベース暗号では，実際にカードを並べて自分の手でプロトコルを実行することができるため，正当性や安全性を体験的に学ぶことができるという特徴があり，情報セキュリティ教育への応用が検討されている．本稿では，カードベース暗号を題材にした小中学生向け授業プラン「秘密計算を体験しよう」の授業実践の報告を行う．筆者はこの授業プランを2021年10月17日に小中学生32名に実践した．結果として「カードベース暗号なら小学生から秘密計算を楽しく学べる」ということに関して確信を強めることができた．

[ 2F4-4:WEB概要版PDF ]

2F5-1

手札に関する不正者を検出可能な新しい秘密計算カードプロトコルの提案 Proposition of New Secure Multiparty Computation Protocols for Unfair Player Using a Deck of Cards 〇小泉康一(福島工業高等専門学校), 大槻正伸(福島工業高等専門学校): 手札を持つようなカードゲームにおいて各プレイヤーの持つ手札の内容は非公開であるために、ゲームのルールによってはいくつかの不正が起こりうる。たとえばほとんどのゲームにおいて、あるカードを手札に持っていないことを示す際にはその事実のみを口頭で示せば良いが、不正なプレイヤーは、持っていないとうそをついてその後のゲーム展開を有利にするかもしれない。このような不正を低コスト、短時間で発見できる手法があると不正行為の抑止力となるだろう。そこで本稿では、このような不正を発見できるようなカードを用いた物理的秘密計算の手法を提案する。さらに本稿では既存の金持ち比べカードプロトコルを変更したものと先の提案手法を組み合わせて、単純なカードの数の大小比べのみでなくじゃんけんのようにカードの価値が相手の手によって変化するような対戦型カードゲームにおいても、相手の出す手を見ることなく勝敗が判定でき、さらに不正に出す手札を選択することができない新手法を提案する。提案手法の安全性は、両面が同一の絵柄のほぼ同じ大きさのカードが複数あったとしても、人間にはそれらを区別できない、という仮定に基づいている。

[ 2F5-1:WEB概要版PDF ]

2F5-2

パイルスクランブルシャッフルからのグラフ自己同型シャッフルの構成 Graph Automorphism Shuffles from Pile-Scramble Shuffles ◎宮本賢伍(茨城大学), 品川和雅(茨城大学 / 産総研): パイルスクランブルシャッフルはカードベース暗号において基本的なシャッフルである．実際，多くのカードベース暗号プロトコルはパイルスクランブルシャッフルから構成されている．本研究のモチベーションは，パイルスクランブルシャッフルから他のどのようなシャッフルが実現できるかを調べることである．具体的には，任意の有向グラフに対して，グラフ自己同型シャッフルと呼ばれるグラフから自然に定まるシャッフルがパイルスクランブルシャッフルのみから実現できることを示す．我々の方法は，有向グラフの頂点数を$n$，辺数を$m$としたとき，$2(n+m)$枚のカードを用いる．パイルスクランブルシャッフルの回数は$k+1$回であり，$k$は頂点が取りうる次数の種類の数である．重要な応用として，$n$枚のカードに対するランダムカットが$2n$枚のカードと$2$回のパイルスクランブルシャッフルから実現できることも示す．

[ 2F5-2:WEB概要版PDF ]

2F5-3

有限群の一様分解とその一様閉シャッフルへの応用 Uniform Decomposition of Finite Groups and Its Application to Uniform-closed Shuffles 金井和貴(新潟大学), 宮本賢伍(茨城大学), 〇品川和雅(茨城大学 / 産総研): カードベース暗号とは，物理的なカード列に対してシャッフル等を施して秘密計算を実現する研究分野である．ここで，シャッフルとはカード列を確率的に並べ替える操作である．特に，置換の集合が置換の演算について閉じており，確率分布が一様分布であるシャッフルは一様閉シャッフルと呼ばれる．本研究では，一様閉シャッフルの実現を群論的アプローチによって試みる．まず，有限群$G$に対して一様分解という分解を定義する．このとき，$G$の一様分解が存在すれば，$G$の一様閉シャッフルはより単純な群の一様シャッフルに還元される．上記の方法に従って，6枚以下の任意の一様閉シャッフルを実現した．我々の方法は既存研究のKochとWalzerの方法よりもランダムカットの回数に関して効率的である．

[ 2F5-3:WEB概要版PDF ]

2F5-4

ハイパースペクトルカメラによるカードベース暗号の安全性評価に向けた基礎的検討 Fundamental Study on Evaluating Security in Card-based Cryptography Using Hyperspectral Camera ◎嶌野雅久(電気通信大学), 宮原大輝(電気通信大学), 崎山一男(電気通信大学): カードベース暗号とは，物理的なカード組を用いて秘密計算に代表される暗号機能を実現する手法である．カードベース暗号に関する主な研究は，新たなプロトコルの提案や，カード枚数と手順の効率化といった理論研究である．これらほぼ全ての理論研究では，カードの区別が付かないという物理的な仮定が前提となっている．本研究ではこの物理仮定の妥当性を物理的に検証することで，カードベース暗号の安全性を高めることを目的とする．特に本研究では，高性能化が進むカメラに注目し，カードベース暗号における物理仮定を視覚の観点から検証する．その基礎検討として，本稿では高性能カメラ（光を波長ごとに分光して撮影するハイパースペクトルカメラ）とインクを用いる強力な攻撃者を想定し，カードを見分けることができるか実験を行なった．結果として，そのような攻撃者がカメラで撮影し画像を解析することで，インクの付着箇所を判別できることを確認した．また，本研究ではこのような強力な攻撃者が得ることのできる秘密情報を理論的に考察した．

[ 2F5-4:WEB概要版PDF ]

3F1-1

ドアを開け放したのは誰か？IoT機器のセキュリティ問題の改善に向けた根本原因調査 Who Left the Door Open? Investigating the Root Causes of IoT Devices' Insecurity for Effective Remediation ◎乃万誉也(横浜国立大学大学院環境情報学府), 佐々木貴之(横浜国立大学先端科学高等研究院), 神野亮(株式会社ゼロゼロワン), 萩原雄一(株式会社ゼロゼロワン), 志村俊也(横浜国立大学情報基盤センター), 吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院), 松本勉(横浜国立大学大学院環境情報研究院/先端科学高等研究院): 近年，IoT機器において動作しているTelnet等の脆弱なサービスがサイバー攻撃の対象となっていることが広く知られており，その原因としてIoT機器の杜撰なセキュリティ対策やユーザーの意識の低さが指摘されている．しかし，その実態や根本原因を分析した研究は我々が知る限り行われていない．そこで本研究では，大学ネットワーク内に存在するTelnetやFTPサービスが動作している機器をネットワークスキャンにより検知し，情報基盤センターの協力により，利用者を特定して注意喚起と機器の利用実態，利用者の意識に関するアンケートを実施した．さらに，特定された機器について製品マニュアルを取得し，当該サービスに関する記載やセキュリティ上の注意事項の記載有無等を調査した．

[ 3F1-1:WEB概要版PDF ]

3F1-2

Trust-awareなビジネス設計のためのビジネストラスト分析支援システム Business Trust Analysis Support System for Trust-aware Business Design 〇小牧大治郎(富士通株式会社), 笠波昌昭(富士通株式会社), 坂口昌隆(富士通株式会社), 山口俊輔(富士通株式会社), 野田敏達(富士通株式会社), 兒島尚(富士通株式会社): デジタル技術の発展により，企業が持つビジネス機能の分解（アンバンドリング）が進んでいる．これらを柔軟に再結合（リバンドリング）することにより，新たな価値提供が可能となる．しかし，このように実現されるビジネスは，複数の利害が異なるステークホルダーが関係するため，相互の信頼に関する不確実性が存在する．そのため，ビジネスの企画・設計段階から信頼を考慮に入れ，想定される様々な不確実性に対して，あらかじめ対処しておくことが重要となる．ビジネスにおける不確実性を抽出することを目的とした既存研究としてRosemannらの手法がある．この手法では，ビジネスプロセスを標準表記法BPMNで表記し，あらかじめ用意された質問リストに回答することで，不確実性を抽出するモデルを提案している．本稿では，Rosemannらの手法を実際のビジネス事例を対象に適用し，実践にあたっての課題を抽出する．そして，課題を解決するため手法を改良し，不確実性の分析を支援するシステムを提案する．本システムを用いることで，信頼やリスクに関する専門知識を持たない利用者であっても，信頼を考慮したビジネス設計が可能となる．

[ 3F1-2:WEB概要版PDF ]

3F1-3

ビジネストラスト分析のためのユースケース整理とパターン分析 Use Case Survey and Pattern Analysis for Business Trust Analysis 〇山口俊輔(富士通株式会社), 笠波昌昭(富士通株式会社), 小牧大治郎(富士通株式会社), 坂口昌隆(富士通株式会社), 野田敏達(富士通株式会社), 兒島尚(富士通株式会社): デジタル技術の発展により、企業が持つビジネス機能を分解し、これらを柔軟に再結合して新たな価値提供を可能にする、リバンドリングが注目されている。リバンドリングにおいては、複数の利害が異なるステークホルダーが関係するため、ステークホルダー間の信頼構築が重要である。相互の信頼には不確実性が存在し、ビジネスの企画・設計段階から不確実性の対処を考慮しておく必要があるが、このために想定されるリスクなどに関する知識や専門性が必要となる。本稿では、ステークホルダー間の信頼構築が重要と考えられるビジネスの事例を収集し、想定される不確実性と実施されている対処策について調査した。そして、ビジネスモデルの種類毎に、共通する不確実性と対処策を整理し、パターンとして分類した。本パターンを活用することにより、リスクに関する高度な知識や専門性を持たない一般のビジネス設計者でも、不確実性に対処したビジネス設計が可能となる。

[ 3F1-3:WEB概要版PDF ]

3F1-4

ステークホルダー信頼関係図を用いたビジネストラスト分析手法 Business Trust Analysis Method with a Trust Relationship Map of Stakeholders ◎笠波昌昭(富士通株式会社), 坂口昌隆(富士通株式会社), 小牧大治郎(富士通株式会社), 山口俊輔(富士通株式会社), 野田敏達(富士通株式会社), 兒島尚(富士通株式会社): デジタル化，ニューノーマルなど社会が大きく変化する昨今，企業は持続可能なビジネスのために，市場・産業の変化への柔軟な対応や，個人に寄り添った価値提供が求められる．そこで，企業がもつ生産手段などのリソースを分割し，それらを目的に合わせて柔軟に再構築するリバンドリングが提唱されている．リバンドリングでは利害の異なる複数のステークホルダー(企業や顧客)が関わるため，ビジネスの成功にはステークホルダー間の信頼構築が重要である．そのためには，あらかじめ想定される様々な不確実性(他社が自社リソースを悪用しないか？，低品質なリソースを提供しないか？など)を洗い出して対処する必要がある．そこで我々は，ステークホルダー間の信頼関係をシンプルな記法で表現できるステークホルダー信頼関係図を新たに考案し，本図を用いてビジネスの不確実性を分析する手法を提案する．本手法により，ビジネス検討の初期段階から，信頼の懸念があるステークホルダーの関係を特定し対処することで，ビジネス成功の確度を向上できる．

[ 3F1-4:WEB概要版PDF ]

3F2-1

Private Relayアクセスにおける端末識別の試み A Proposal for Identify Devices over Private Relay ◎渡名喜瑞稀(明治大学大学院), 神章洋(明治大学大学院), 利光能直(明治大学大学院), 髙山眞樹(明治大学大学院), 齋藤孝道(明治大学): Apple社の新サービスiCloud Private Relay(以降，Private Relay)では，Apple社デバイスから任意のサーバへのアクセスにおける接続元IPはすべてApple社専用ネットワークからの接続元IPに置き換えられ，オリジナルの接続元IPは秘匿される．そのため，接続元IPアドレスを利用するセキュリティサービスに影響が出ることが明らかになっている．本研究では，Private Relayを利用した59,239アクセスを実験に用いて，Private Relayを利用した2つのアクセスが同一端末か否かの識別を試みた．また，Private Relayを利用したブラウザフィンガープリントと利用していないブラウザフィンガープリント間での同一端末か否かの識別も試みた．結果，Private Relayを利用した2つのブラウザフィンガープリントではF1値0.65，Private Relayを利用したブラウザフィンガープリントと利用していないブラウザフィンガープリントではF1値0.64となった．また，実験の結果を分析し，どのような情報が識別に貢献するかを確認した．

[ 3F2-1:WEB概要版PDF ]

3F2-2

レスポンスの情報を用いたWebAPIのアクセスコントロールに関する脆弱性診断方式 A Vulnerability Assessment Method for WebAPI Access Control Using Response Information ◎田谷透(東京情報大学大学院総合情報学研究科), 花田真樹(東京情報大学総合情報学部), 村上洋一(東京情報大学総合情報学部), 早稲田篤志(東京情報大学総合情報学部), 石田裕貴(株式会社セキュアブレイン), 三村隆夫(株式会社セキュアブレイン), 布広永示(東京情報大学総合情報学部): 近年、Webサービスを外部から利用するためにWebAPIを公開するケースが増えている。一方、WebAPIの脆弱性を悪用した攻撃も報告されるようになっている。WebAPIの脆弱性を悪用した攻撃の被害を軽減するため、Open Web Application Security Project（OWASP）は、報告書（OWASP API Security TOP 10）にWebAPIのセキュリティリスクの高い10項目の脆弱性の内容を記述している。しかし、この報告書には、攻撃の具体的手法や、詳細な対策手法などが記述されていない。そのため、既存の脆弱性診断ツールによって検出が困難な脆弱性が存在しているという問題点がある。本研究では、Web上で最も脅威とされている脆弱性の1種であるアクセスコントロールに関連する脆弱性である、OWASPによる報告書のNo.1の脆弱性について注目し、レスポンスの情報を使用した脆弱性診断の手法を提案する。評価実験では、既存の脆弱性診断ツールで検出が困難であった、Ghost CMSのWebAPIを使用した脆弱性の検出を実施し、提案方式によって脆弱性の検出が可能であることを示す。

[ 3F2-2:WEB概要版PDF ]

3F2-3

WebAuthnを基にしたWebサービスにおける端末追加のためのプロトコルの評価 An Evaluation of a Protocol on Addition of New Devices Based on WebAuthn ◎網川澪(北海道情報大学), 福光正幸(北海道情報大学): 我々は，これまでに次世代認証API「WebAuthn」の仕組みとQRコードを応用した，仲介サーバなしの新規端末追加プロトコルを検討し，このプロトタイプを実装した．従来プロトコルでは，プロトコルの動作途中で端末追加に必要な信頼情報をインターネット通信を介してサーバに送信していた．本研究では，従来プロトコルについてさらに検討を行い評価する．具体的にはまず，サーバを介さずに信頼情報を送信する改良プロトコルを検討し，このプロトタイプを実装する．また，従来プロトコルと改良プロトコルに対し，利便性，安全性，導入容易性にまつわる評価を行う．

[ 3F2-3:WEB概要版PDF ]

3F2-4

セキュアチャネル上の認証プロトコルの形式検証 Formal Verification of Authentication Protocol on Secure Channel ◎中林美郷(NTT 社会情報研究所), 奥田哲矢(NTT 社会情報研究所): 一般的なセキュリティプロトコル検証ツールでは，公開通信路における秘匿性および認証を安全性要件として，公開通信路では攻撃者が盗聴・改ざんを行える想定として，安全性の検証を行う．一方，Webサービスのユーザ認証プロトコルにおいては，サーバ認証済のTLS（セキュアチャネル）を利用することが一般的である．そこで，本研究では，セキュアチャネルの存在を前提とした，セキュリティプロトコルの検証手法について検討を行った．第一かつ最重要点として，不正に認証を要求する端末を表現するために，端末内に公開通信路を仮想的に設定することで，不正な端末を形式的に表現可能とした．第二に，認証を要求する端末を，正規端末（認証前／認証済）と不正端末（認証前）に分類することで，認証前の端末が，認証済の他端末の通信の盗聴・改ざんが困難であることを表現した．第三に，サーバからのすべての通信に署名を付与することで，サーバ認証済のセキュアチャネルを表現した．本研究の提案により，TLSなどのセキュアチャネルを前提としたWebサービスの認証プロトコルに対する攻撃を検知可能な形式検証システムが実現可能になると期待される．

[ 3F2-4:WEB概要版PDF ]

3F2-5

MITB攻撃対象の傾向分析と脅威情報活用に関する考察 The trend analysis of MITB attack targets and consideration of utilizing the threat information. 〇高田一樹(株式会社セキュアブレイン), 太刀川剛(株式会社セキュアブレイン), 内田隆徳(ジェノアテクノロジーズ株式会社), 邦本理夫(株式会社セキュアブレイン): インターネットバンキングなどの金融機関サービス利用者をターゲットとしたサイバー攻撃による不正送金被害が発生している．なかでも、マルウェアを用いて感染PCのWebブラウザを侵害することで、不正送金やクレジットカード情報を詐取するMITB攻撃は対策が困難であり、社会問題となっている．我々は，これまでに，MITB攻撃を用いて不正送金などを行うマルウェア（金融系マルウェア）の対策のために金融系マルウェアの長期観測手法を提案してきた．この長期観測手法を用いることで，金融系マルウェアによる攻撃の動向を明らかにすることを可能としている．本論文では，長期観測手法を用いて，2019年から2021年にかけて観測した金融系マルウェアを用いたMITB攻撃の攻撃対象とされた日本国内の金融機関やサービスの傾向についての分析結果を報告する．また，収集した脅威情報を総務省とICT-ISACが実証事業で運用している情報共有基盤への情報投稿している．本論文での分析結果を用いて脅威情報をより有効活用する方法の検討結果についてもあわせて報告する．

[ 3F2-5:WEB概要版PDF ]

3F3-1

オンライン会議システム上の画面キャプチャによる情報漏洩の対策の一検討 A Study of Countermeasures against Information Leakage by Screen Capture on Online Meeting System 〇鎌苅康大(岡山大学), 栗林稔(岡山大学), 舩曵信生(岡山大学): コロナウイルスの感染拡大の影響でオンライン上でのミーティングの開催が増加しており，機密事項のパワーポイント資料やPDFファイルといった文書を通話アプリケーション内の画面共有機能によって参加者全員に公開する機会が多くなっている．このような状況下において，本来禁止されているはずの画面キャプチャ機能を利用して機密情報が密かに画像として保存されて，漏洩する脅威が高まっている．本研究では，オンライン会議システム上で配信される映像に施されるフィルタリング処理や非可逆圧縮に着目し，その歪みを特徴として畳み込みニューラルネットワークを用いた画像分類器によって画面キャプチャした画像を識別することを検討した．通話アプリケーションとしてzoomを想定してシミュレーションを行った．その結果，画面キャプチャされた画像か否かを高い精度で分類可能であることがわかった．また画面キャプチャされた画像の特徴を削除するために各種フィルタが施されたとしても，分類可能であることが確認できた．今後の課題としては，他のアプリケーションの運用や画像に施すフィルタの組み合わせを変えるなど様々な環境での実験を行うことが挙げられる．

[ 3F3-1:WEB概要版PDF ]

3F3-2

準同型暗号を用いたOpaque Predicateの提案 Constructing an Opaque Predicate using Homomorphic Encryption ◎平能耀介(茨城大学), 大瀧保広(茨城大学): プログラムの難読化は、ソフトウェアのリバースエンジニアリングを困難にする手段として知られている。難読化手法の一つである Opaque Predicate は、コンパイル時に真か偽どちらを取るかすでに決まっている述語であり、難読な条件分岐や到達不能コードを作り出すことにより、主に制御フローを複雑にすることで解析を困難にするものである。しかし、Opaque Predicate はすでに多くの検出手法が提案されており、実装方法によっては簡単に除去されることが知られている。また、近年マルウェアなどのソフトウェア解析においてCPU エミュレ―タやシンボリック実行を組み合わせたバイナリ解析フレームワークが利用されており、フレームワークに含まれる機能や SMT ソルバを使用すると、逆アセンブラのみを用いた静的解析と比較して Opaque Predicate の検出が容易になる。このことから、現在では Opaque Predicate のような制御フローを複雑にする難読化手法の効果は低下している。本研究では、準同型暗号を用いた Opaque Predicate を提案し、シンボリック実行を含む静的解析において真偽を判定することが困難であることを示す。また、実行時のオーバーヘッドと難読化の気づかれやすさの観点から評価した結果を示す。

[ 3F3-2:WEB概要版PDF ]

3F3-3

Intel SGXを用いたアルゴリズム変換型プロキシ再暗号化システムの実装・評価 Implementation and Evaluation on a Proxy Re-Encryption System for Conversion of the Cryptgraphical Algorithms using Intel SGX ◎西平侑磨(東海大学), 鈴木達也(筑波大学), 渡邉英伸(広島大学), 大東俊博(東海大学/情報通信研究機構): IOTS2018において岡部らは暗号アルゴリズムの変更が可能な共通鍵暗号型プロキシ再暗号化方式を提案した．この方式は単純に暗号文をダウンロードして再暗号化をする方法と比べて通信量を1/2倍まで削減可能であるが，暗号文サイズに依存した再暗号化鍵を送受信する必要があり，依然として通信コストが課題となる．本稿ではIntel SGXを用いてサーバ側で再暗号化鍵を生成することで，再暗号化のために必要な秘密情報のサイズを共通鍵長に依存したサイズまで削減する方式を提案する．さらに，提案方式のプロトタイプを実装し，岡部らの方式より有効になる暗号文サイズに関して考察する．

[ 3F3-3:WEB概要版PDF ]

3F3-4

Secure codes with two-stage traitor tracing Secure codes with two-stage traitor tracing 〇顧玉杰(九州大学): Traitor tracing is a mathematical approach of protecting copyright of digital content. In this paper we propose a new class of codes, called secure codes with two-stage traitor tracing. In comparison with the existing frameproof codes, we show that the newly proposed codes have the same traceability as frameproof codes, but much larger code rate than frameproof codes.

[ 3F3-4:WEB概要版PDF ]

4F1-1

現実的な攻撃モデルを通した主成分分析のプライバシー的観点からの考察 A Study of the Privacy Perspective on Principal Componet Analysis via a Realistic Attack Model ◎山城大海(筑波大学), 面和成(筑波大学): 次元削減手法の1つである主成分分析（PCA）にノイズ付与を組み合わせたPCAベースの匿名化手法はよく研究されている。これらは理論的な安全性を保証するものもあるが、ノイズを付与するためデータの有用性を低下させる。ChenらはPCA後のデータにノイズを付与しプライバシーを高める方法を提案しているが、安全性評価に用いる攻撃モデルとして、PCAに用いる変換行列を攻撃者が入手できるモデルを想定している。しかし、実際には攻撃者が変換行列を入手できるとは限らない。本研究では、攻撃者の得られる情報を制限したPCAに対する攻撃モデルを提案し、そのモデルの下でノイズ付与を行わない通常のPCAに対する攻撃を行う。このモデルでは、攻撃者は補助情報からPCAの変換行列を推定し、それを用いて復元する。オリジナルデータと同分布のデータを補助情報とした実験では、オリジナルの変換行列を用いたときに比べ、攻撃精度が著しく低下することが確認された。この結果をChenらの結果と比較し、従来なされてこなかった通常のPCAに対するプライバシー的観点からの考察を行う。

[ 4F1-1:WEB概要版PDF ]

4F1-2

コロナ禍におけるセキュリティ・インシデント被害等に対する株価の反応に関する分析 Analysis about Reactions of Security Incidents in Japanese Stock Market under COVID-19 Pandemic 竹村敏彦(城西大学), 〇小山明美(独立行政法人情報処理推進機構), 小川隆一(独立行政法人情報処理推進機構): 企業を狙ったサイバー攻撃は年々巧妙になっており，それに起因するセキュリティ・インシデントが多数報告されている．我々は，インシデントの発生に関する公表が株価の低下（企業価値の毀損）をもたらすこと，業種別，インシデント発覚から公表までの期間別，個人情報漏えいの原因別に，更なる分析を行ったところ，インシデントの発生に関する公表が株価に与える影響にもいくつかの特徴的な傾向があること等を明らかにしてきた．2019年末より新型コロナウイルス感染症（COVID-19）の世界的流行を受け，ビジネス環境は大きく変貌を遂げた（ニューノーマルと呼ばれる時代に突入した）．しかしながら，このコロナ禍におけるインシデント被害等が企業の株価に与える影響についての分析はほとんどされていない．それはインシデント被害が発生し株価が低下してもそれがインシデント被害によるものか，COVID-19の影響によるものかを区別することが容易ではないからである．本研究では，公表された事例をもとにイベント・スタディと呼ばれる手法を用いて，（コロナ禍である）2021年に発生したインシデント被害等の公表が株価に与える影響について分析を行い，そこからその特徴を明らかにする．

[ 4F1-2:WEB概要版PDF ]

4F1-3

情報モラル教育ゲームの開発（Part.2-2）（情報モラル指導モデルカリキュラム表：e3-1とe3-2の実装と評価） Development and Evaluation of Information Moral Education Game (Part.2-1) ; Implementation of e3-1 and e3-2 ◎澤田匡佑(工学院大学大学院工学研究科情報学専攻), 池原元(工学院大学大学院工学研究科情報学専攻), 藤川真樹(工学院大学情報学部): 小学校（高学年）がスマートフォンを街中で操作している光景を見かけることが珍しくなくなってきている．加えて，小学生によるデマの拡散や不特定多数への個人情報の公開といった事例が報告されている．小学校ではSNS事業者や教育出版会社が提供している教育教材を用いた情報モラル教育が行われているが，受動的な教育になりやすく実践的な対処方法を教授しにくい．能動的な授業態度を促す方法の1つとしてゲーミフィケーションがある．デジタルゲームにゲーミフィケーションを採り入れる利点として，「ゲーム内に現実世界を模した仮想空間を作ることが容易」であり現実世界で体験することが困難な内容を教授できる点がある．本稿では，ゲーミフィケーションを活用し，「情報の正確性を判断する能力」と「個人情報を正しく取り扱う能力」を養う学校教育に適したノベルゲーム型の教育ゲームを開発した．実証実験の結果，文部科学省が推奨している「子どもの発達段階ごとの特徴と重視すべき課題」の高学年の項目については満たすことができたが，「主体的・対話的で深い学び」の主体的学びについて課題が残った．

[ 4F1-3:WEB概要版PDF ]

4F1-4

顔認証システムの人種バイアスに影響を与える潜在的要因の調査 Research on Potential Factors Affecting Racial Bias in Face Recognition ◎佐藤佑哉(静岡大学情報学部), 土屋純(静岡大学大学院総合科学技術研究科), 成田惇(静岡大学大学院総合科学技術研究科), 西垣正勝(静岡大学大学院総合科学技術研究科), 大木哲史(静岡大学大学院総合科学技術研究科): 顔認証システムは非接触で対象の動作を必要とせず，使い勝手の良い生体認証であることから市場が広がっているが，多くの顔認証システムは人種間の認証精度に偏りが認められており，犯罪捜査に用いられた顔認証システムの誤認識を原因として有色人種の誤認逮捕が起きてしまうなど，人種差別に発展する問題が発生している．これまで，認証精度の偏りは，学習データにおけるセンシティブ属性の割合に起因すると考えられ，それらを軽減するための方法として，データセットにおける偏りの除去や，偏りを考慮したスコア正規化アルゴリズムの提案などが行われてきた．一方，認証システム全体に着目すれば，これらの対策を行った場合においても，取り除けない潜在的なバイアス要因が残存している可能性がある．本研究では，潜在的なセンシティブ情報の一調査として，顔画像の解像度，明度，彩度等の環境要因の変化が人種間の認証精度の偏りに与える影響の調査を行う．BFWデータセット等の人種割合の偏りがないデータセットを用いた場合においても，テストセットの環境要因を変化させることで人種間の認証精度に偏りが生じるか検証する．

[ 4F1-4:WEB概要版PDF ]

4F1-5

ブラックボックス型モデル反転攻撃におけるユーザ類似性を考慮した生成モデルの検討 Generative Model with User Similarity in Black-Box Model Inversion ◎井田天星(静岡大学), 竹内廉(静岡大学), ヴォゴックコイグエン(静岡大学), 西垣正勝(静岡大学), 大木哲史(静岡大学): 個人の識別タスクに利用される機械学習モデルはユーザの顔画像や音声といったセンシティブなデータを用いて訓練される．このことから，訓練済みモデルはパラメータという形でユーザのプライバシーに関わる機密情報を間接的に所有し，プライバシー面での懸念が存在する．このような訓練済みモデルに対する攻撃として，訓練に用いられたユーザの機密情報を推測するモデル反転（Model Inversion，MI）攻撃が存在する．本研究では，攻撃対象モデルがブラックボックス型の深層ニューラルネットワーク（DNN）で構築された顔画像識別器であるという前提の上で，公開データを用いて推定データの探索空間を構築するMI攻撃の事前学習プロセスに着目する．探索空間の構築方法が攻撃精度に与える影響を調べるために，Zhangらが提案した公開データと敵対的生成ネットワーク（GAN）を用いる攻撃手法における事前学習プロセスに攻撃対象ユーザとの類似度の概念を導入することで，攻撃対象ユーザに特化した探索空間を構築可能な手法を提案する．実験では復元した顔画像によるなりすまし精度を示すとともに，提案手法の有効性について考察する．

[ 4F1-5:WEB概要版PDF ]

4F2-1

デジタルフォレンジック調査選定に資するリスクコミュニケータの提案 A Proposal of Risk-Communicator for Cost-effective Selection of Digital Forensic Investigation ◎佐々木葵(静岡大学), 天笠智哉(静岡大学), 井坂佑介(静岡大学), 奥村紗名(静岡大学), 堀川博史(静岡大学), 村上弘和(CyCraft Japan), 大木哲史(静岡大学), 西垣正勝(静岡大学): セキュリティインシデントに的確に対処するためには，フォレンジック調査が必要となる．フォレンジック調査は多くの場合，専門の調査会社によって請け負われ，依頼者と調査会社の間でリスクコミュニケーションを通じて調査内容を検討する．しかし，依頼者と調査会社では有する知識やバックグラウンドが異なり，リスクコミュニケーションがうまくいかない現状がある．依頼者と調査会社には，共通の目標として「費用対効果が最良となる調査内容を選定する」ことがあるが，リスクコミュニケーションがうまくいかないことにより，目標が達成されないという問題がある．そこで，本稿では，フォレンジック調査選定を支援するリスクコミュニケータを提案する．本リスクコミュニケータは，依頼者と調査会社のやりとりを仲介・調停し，最も費用対効果が高い調査を自動的に選出するものである．また，リスクコミュニケータの実装に際して，フォレンジック調査選定を離散最適化問題として定式化する．そして，提案手法の利用可能性を机上検討により確認する．

[ 4F2-1:WEB概要版PDF ]

4F2-2

電子証明書を取り巻く仕組みの分析とその活用 Analysis of the mechanism surrounding digital certificates and its utilization ◎野村健太(デロイトトーマツサイバー合同会社), 高田雄太(デロイトトーマツサイバー合同会社), 熊谷裕志(デロイトトーマツサイバー合同会社), 神薗雅紀(デロイトトーマツサイバー合同会社), 白石善明(神戸大学): オンラインサービスの利便性向上のため，オンラインでできる手続きや取引の種類が拡大している．送金等の重要な取引では取引相手が実在し，氏名等が正しい情報であるかをオンライン上で確認する本人確認が求められる．法律改定によってオンライン上での身元確認の手法が規定された．その中でも画像送信による手法はユーザの利便性向上に大きく寄与する一方で、画像の一致性の精度やOCRの精度等，セキュリティ上の不安が指摘されている．対して、電子証明書を用いた電子署名による手法は失敗率の低さや安全性の観点で優れているが，画像送信による手法と比べるとその利用事例は少ない．そこで，本論文ではこれらの電子証明書を複数の観点で比較・分析することで，利用が進まない要因を考察する．設計思想による法律の規約内容，サービス事業者に求められる認定の有無や電子証明書内に格納される情報を比較することで，それぞれが適するユースケースや利用形態を整理する．更に，電子証明書の更なる活用に向けてオンラインサービスにおける電子証明書を用いたユーザ認証の仕組みを検討する．

[ 4F2-2:WEB概要版PDF ]

4F2-3

データ流通におけるトラスト管理モデルの技術的課題分析 Analysis of Trustworthiness in Data Trading and Its Technical Issues 〇磯原隆将(KDDI総合研究所), 中村徹(KDDI総合研究所), 清本晋作(KDDI総合研究所), 田中俊昭(兵庫県立大学大学院): 社会的課題の解決と経済的発展の両立を目指す社会として，データ駆動型社会の構築が進められている．このような社会基盤では，データの流通や利活用の場面における安心・安全は，実現すべき最優先課題の一つであり，その要件としては，セキュリティとプライバシの担保のみならず，データが流通するライフサイクルの全体を通じた，継続的な信頼性も確保する必要が指摘されている．データ自体とその流通における信頼性を対象とする研究開発に，ポリシーやレピュテーションに基づいて信頼性を管理する技術や，統計的な解析やデータの来歴の管理によって信頼性を評価する技術などがある．しかし，いずれの技術もデータ流通のライフサイクル全体を見通した設計や実装とはなっていない．そこで我々は，データの信頼性を確保する手法について，その最新の研究動向をサーベイする．そして，データの信頼性の定義と，データ流通の基本モデルの構築をおこない，これに従って，代表的なユースケースの分類を試みる．これらを通じて，データ駆動型社会に求められる信頼性の確保に向けた現状の課題を整理すると共に，今後の研究開発に求められる方向性を示す．

[ 4F2-3:WEB概要版PDF ]

4F2-4

Theoretical Security against adversarial examples on Gaussian Processes Theoretical Security against adversarial examples on Gaussian Processes ◎前嶋啓彰(情報セキュリティ大学院大学; NTTテクノクロス株式会社), 大塚玲(情報セキュリティ大学院大学): 敵対的サンプル(Adversarial Examples) とは，あるオリジナルの画像データに対して，視覚的に区別が難しいがニューラルネットワークに分類させるとオリジナル画像と異なった分類を出力する画像である．本論文においては，敵対的サンプルの安全性評価の理論基盤を構築するため，ガウス過程(Gaussian Processes)を用いる．ガウス過程はさまざまな推論モデルとの関連性があることが知られている手法である．本論文においては，ガウス過程を用いて，敵対的サンプルの攻撃の成功確率の上界を求めた．結果として，あるデータセットにおける敵対的サンプルの攻撃の成功確率の上界は，敵対的サンプルの作成時のノイズの大きさ，データセット内の最も近い2点の類似度およびガウス過程のカーネル関数のみから求められることを示すことができた．本研究の成果を応用することで，ニューラルネットワークにおいて，敵対的サンプルの攻撃の成功確率の理論的な上限を与えることができる．このことは，ニューラルネットワークにおける敵対的サンプルの安全性研究の理論基盤となると考える．

[ 4F2-4:WEB概要版PDF ]

4F2-5

機械学習ベースマルウェア検知モデルに対するclean-labelバックドア攻撃とその対策について Clean-label backdoor attack against machine learning-based malware detection models and countermeasures 〇鄭万嘉(筑波大学), 面和成(筑波大学): 近年機械学習技術が活用されている中，AIシステムのセキュリティについても注目されつつある．画像認識システムはもちろん，機械学習ベースのマルウェア検知システムにおけるセキュリティ関連の研究も多く行われている．従来より機械学習モデルの学習段階で加工されたポイズンニングデータを攻撃者が混入し，機械学習モデルを誤動作させるポイズンニング攻撃と呼ばれる攻撃手法が存在するが，そのうち，通常ではモデルが正常に動作されており，特定のバックドアデータに対してのみ誤動作が起るというバックドア攻撃は脅威である．最近，画像認識領域においてclean-labelバックドア攻撃と呼ばれる攻撃手法が多く研究されており，モデル学習時に混入させるポインティングデータを加工する際，データのラベルを変更しないのが特徴的である．しかし，マルウェア検知システムに対する研究はまだ少ないため，我々はマルウェア検知システムにおけるclean-labelバックドア攻撃に注目し，より現実的でリスクが高い機械学習モデルの知識を必要としないブラックボックスの前提で，新たにclean-labelバックドア攻撃を提案する．

[ 4F2-5:WEB概要版PDF ]

プログラム―Program―