プログラム｜SCIS2023 暗号と情報セキュリティシンポジウム

1A1-1

多変数多項式求解問題に基づく効率的な閾値リング署名 ◎伊藤直也(東京大学大学院) 、加藤拓(東京大学大学院) 、古江弘樹(東京大学大学院) 、高木剛(東京大学大学院): 多変数多項式求解問題(MQ問題)に基づく多変数多項式暗号は耐量子暗号の有力な候補のひとつである．SakumotoらはMQ問題の困難性に安全性が直接帰着可能なidentification scheme (IDS)を提案した．このIDSを変換することにより構成されるディジタル署名 (DSS)としてMQDSS，SOFIAなどが提案されている．さらにPetzoldtらはSakumotoらのIDSを基にDSSを高機能化した閾値リング署名 (threshold ring signature)を構成している．一方Beullensはhelperという第三者を加えたIDSを導入し，実際にMQ問題に基づくhelper付きIDSにより署名長の短い効率的なDSSを構成した．本研究では，はじめにthreshold ring版のIDSにhelperを追加した方式 (helper付きthreshold ring IDS)を定義する．次にMQ問題に基づく具体的なhelper付きthreshold ring IDSを構成し，Beullensの変換手法を適用することで新たなthreshold ring signatureを提案する．この手法はPetzoldtらの手法と比較して，署名長を約48%,署名者グループ内の通信量を約17%削減している．

1A1-2

A MinRank attack against variants of UOV signature scheme ◎Hiroki Furue(The University of Tokyo) 、Yasuhiko Ikematsu(Kyushu University): Multivariate public-key cryptography (MPKC) is considered as one of the main candidates for post-quantum cryptography (PQC). In MPKC, the MinRank attacks, which try to solve the MinRank problem obtained from public key, are important since a lot of multivariate schemes are broken by these attacks. Among them, the rectangular MinRank attack was recently proposed for the Rainbow scheme by Beullens, and it tries to solve a new MinRank problem obtained by transforming the public key of Rainbow. Due to this attack, it is known that the security level of Rainbow is reduced. Rainbow is a multi-layered variant of the UOV scheme, which has a resistance to all MinRank attacks since UOV does not have a structure of MinRank problem. Recently, there have been proposed two new variants of UOV scheme having a small public key, MAYO and QR-UOV. In this paper, we show that the rectangular MinRank attack can be applied for MAYO and QR-UOV. Moreover, we estimate the complexity of the attack.

1A1-3

Rank符号ベース暗号への量子的な攻撃手法の提案とその安全性解析 ◎若杉飛鳥(千葉大学大学院融合理工学府) 、多田充(千葉大学大学院理学研究院): 多くの公開鍵暗号系の安全性の根拠となっている素因数分解問題や離散対数問題はShorの量子アルゴリズムによって多項式時間で解けることが知られているため，大規模な量子計算機が実現すると，現在最も広く利用されているRSA暗号方式はその安全性を失う．符号ベース暗号は量子計算機に耐性がある耐量子計算機暗号の1つと考えられている．本稿では，符号ベース暗号の中でも，rank距離を用いたrank符号ベース暗号に注目する．既存のrank符号ベース暗号の方式に対して，量子的な攻撃手法を提案し，それらの方式の安全性を考察する．

1A1-4

Secure Parameters for Multivariate Polynomial Signature Scheme QR-UOV ◎古江弘樹(東京大学大学院情報理工学系研究科) 、池松泰彦(九州大学マス・フォア・インダストリ研究所) 、星野文学(長崎県立大学) 、清村優太郎(NTT 社会情報研究所) 、齋藤恆和(NTT 社会情報研究所) 、高木剛(東京大学大学院情報理工学系研究科): The multivariate-based unbalanced oil and vinegar signature scheme (UOV) is expected to be one of the candidates for post-quantum cryptography (PQC). UOV is a well-established signature scheme owing to its short signature and execution time. However, its public key is much larger than that of other PQC candidates. At ASIACRYPT 2021, Furue et al.\ proposed quotient ring UOV (QR-UOV) as a new variant of UOV, which reduces the public key size compared to the plain UOV. However, there has not been a formal security proof and detailed parameter analysis for QR-UOV. In this paper, one of our contributions is that we present the formal definitions of two assumptions and prove the EUF-CMA security of QR-UOV based on these assumptions. Furthermore, we propose various parameter sets of QR-UOV with different security levels, the orders of the finite field, and the purposes, and estimate the public key and signature size of these parameters. By comparing the public key and signature size of these parameter sets with those of other PQC candidates, we discuss the (dis)advantages of each parameter set.

1A1-5

Efficient Software Implementation of Signature Scheme QR-UOV ○Fumitaka Hoshino(University of Nagasaki) 、Hiroki Furue(The University of Tokyo) 、Yasuhiko Ikematsu(Kyushu University) 、Tsunekazu Saito(NTT Social Informatics Laboratories) 、Yutaro Kiyomura(NTT Social Informatics Laboratories) 、Tsuyoshi Takagi(The University of Tokyo): In ASIACRYPT 2021, Furue et al. proposed a new post-quantum signature called QR-UOV, which is a variant of the multivariate signature schemes. In this work, we present an efficient software implementation of the QR-UOV on the x86 environments and evaluate its efficiency.

1A2-1

Threshold Signature Schemes based on Isogeny ○Wang Yusen(Osaka University) 、Miyaji Atsuko(Osaka University, Japan Advanced Institute of Science and Technology): A threshold HHS(Hard Homogeneous Spaces) signature scheme has been proposed by Luca De Feo et al. . In their proposition, CSI-FiSh and its ancestors can be easily adapted into this model, and thus one can construct the threshold versions. However, a trusted dealer is necessary for the threshold HHS signature scheme to generate secret keys and distribute secret shares. In this paper, we propose two dealer-less threshold signature schemes based on CSI-FiSh and CSI-SharK, respectively. In our proposals, all members communicate in broadcast channels and generate their own secret shares without a dealer. Thus, they are more suitable for scenarios where trusted third parties should not exist. We give the correctness and security analysis of both versions, and we compare their efficiencies theoretically.

1A2-2

近似イデアル分解問題に基づく不定方程式暗号 ○秋山浩一郎(株式会社　東芝) 、坂田康亮(東京大学): 一変数多項式環上で定義された不定方程式の求解問題に基づく不定方程式暗号に関して、近似イデアル分解問題と等価となる暗号スキームを提案する。同問題は量子計算機による効率的な解法が知られていない非線形問題であるため、線形問題に基づく格子暗号と比較して公開鍵、秘密鍵サイズを大幅な削減を可能とする。また、既存の不定方程式暗号と比較して暗号文長が約半分となる利点を持つ。

1A2-3

符号ベース暗号に対する分散復号方式 ◎高橋洸太(東京工業大学) 、尾形わかは(東京工業大学): 本論文では、符号ベース暗号によるIND-CCA安全である分散復号可能な公開鍵暗号方式(分散復号PKE)の三つの構成法を提案する。最初の構成法として、Classic McElieceのOW-CPA安全なKEMの復号アルゴリズムを計算する秘密分散法ベースの分散計算プロトコルを提案する。これで得られるOW-CPA安全な分散復号KEMに、Congらの変換を適用してIND-CCA安全な分散復号PKEを構成する。二つ目の構成法では、並列暗号に基づくDodis-Katzの変換手法を用いて、Classic McElieceのIND-CCA安全なKEMをIND-CCA安全な分散復号PKEに変換する。この構成は一つ目より暗号文サイズが大きくなるが、非対話で分散復号を実現できる。最後の構成法は、新たに提案する並列暗号に基づいた変換手法により、Classic McElieceのOW-CPA安全なKEMをOW-CPA安全な分散復号KEMに変換し、Congらの変換でIND-CCA安全性を実現する。この構成法は、一つ目よりも分散計算の計算量を抑えた上で、二つ目よりも暗号文サイズが小さい分散復号PKEを実現する。

1A2-4

Compact Broadcast Encryption from LWE ○Toi Tomita(Yokohama National University) 、Junji Shikata(Yokohama National University): We propose the first compact lattice-based broadcast encryption (BE) scheme. More generally, we present the first lattice-based ciphertext-policy attribute-based encryption (CP-ABE) scheme for the class of restricted degree 2 polynomials. Our CP-ABE scheme has the public key, ciphertext, and private key sizes of O(n), where n is the input length for the polynomial. From our CP-ABE scheme, we immediately derive a compact BE scheme for N parties with O(N^{1/2})-sized parameters. Our BE schemes achieve selective security and rely only on the learning with error assumption.

1A2-5

Revisiting Fiat-Shamir Signatures under Superposition Attacks ◎Quan Yuan(Graduate School of Information Science and Technology, The University of Tokyo) 、Tsuyoshi Takagi(Graduate School of Information Science and Technology, The University of Tokyo): Fiat-Shamir transformation is widely used to construct signature schemes from secure identification protocols, such as Schnorr signature, CRYSTAL-Dilithium , and Picnic. The security of Fiat-Shamir signatures has been proven under chosen message attacks (CMAs) in the quantum random oracle model. However, CMAs do not cover superposition attacks, where the adversary can send signing queries in quantum states. Researchers recently proposed a security notion called blind-unforgeability considering superposition attacks. In this work, we revisit the security of Fiat-Shamir signatures in this model. First, we show a separation result that a secure Fiat-Shamir signature under CMAs does not suffice to be blind-unforgeable (under superposition attacks). It implies that superposition attacks can be more threatening to Fiat-Shamir signatures than the classical attacks. Next, we attempt to show some positive results. We focus on a common variant called ``hedged'' Fiat-Shamir signatures, where the randomness of signing algorithm is replaced with a hash of the secret key, the message and a nonce. We prove that hedged Fiat-Shamir signatures are blind-unforgeable under superposition attacks in the quantum random oracle model if the underlying identification protocol is secure in the post-quantum settings.

1A3-1

On using``incomplete" primitives to construct new signature schemes. ○Sipasseuth Arnaud(KDDI Research, Inc.): This short paper presents a simple construction to build signature schemes from ``incomplete" mathematical primitives. Historically, cryptosystems have mostly been based from computational problems based on mathematical structures: number factoring, short vectors in lattices, error-decoding, roots of multivariate polynomials, and so on. It has always been hard to conceive mathematical primitives to build cryptosystems: while the academic literature is full of computationally hard problems in general (i.e, we can construct random instances which computational problems are hard to solve), constructing hard instances with a trapdoor seem to be historically difficult. We focus here on a method to use primitives that by themselves fail to be standalone signature schemes, in the sense that it is unclear within the message space which messages we can sign and which we can not. Currently, we are not aware of a primitive that we can use to make signatures that are competitive with most NIST submissions in terms of key and signature size, or even speed. However, we believe this approach can be used to make use of primitives we could otherwise not use, and present some (currently bad) usage examples.

1A3-2

Secure Multi-key Homomorphic Signatures against Insider Corruption ◎Ye Xu(University of Tsukuba) 、Takashi Nishide(University of Tsukuba): Homomorphic signature schemes (HS) enable an untrusted server to run some computation over the data signed under the same key and derive a short signature for authenticating the computation result. Recently, Fiore et al. (Asiacrypt '16) introduced multi-key homomorphic signatures (MKHS) to support the evaluation of signatures under different keys. Anyone can verify the signature by using corresponding public verification keys. However, even one leaked signing key enables the malicious server to forge a signature. To cope with the issue, we propose a new scheme building on the work of Fiore et al. (Asiacrypt '16) to achieve a stronger security guarantee. Moreover, our MKHS scheme is unforgeable even if an adversary holds all but one signing key.

1A3-3

再訪：否認不可署名　--- 応用と誤用 --- ○櫻井　幸一(九州大学): ビットコインにはじまり、ブロックチェーン、さらにはNFTへとWeb 3.0が進化している。発表者は、池辺ら[本シンポジウムで発表]とのNFTに関する共同研究をきっかけに、Chaumの否認不可署名[CRYPTO’89]以降の一連の研究を調査した。Chaumの否認不可署名は、署名の一人歩き問題を解決したと評価されている。しかし、その後の追従研究の中には、プロトコル設計のミスやゼロ知識証明の誤用により、署名が一人歩きする危険性のある方式を、発表者は発見した。本研究では、その報告を行うものである。この研究は、発表者の30年前の論文[On the Discrepancy between Serial and Parallel of Zero-Knowledge Protocols, CRYPTO 1992]を再考するきっかけとなった。

1A3-4

帰着ロスを考慮したパラメタの下でより効率的な2ラウンド多重署名方式 ◎竹牟禮　薫(電気通信大学/産業技術総合研究所) 、坂井　祐介(産業技術総合研究所) 、バグス　サントソ(電気通信大学) 、花岡　悟一郎(産業技術総合研究所) 、太田　和夫(電気通信大学/産業技術総合研究所): 多重署名方式は暗号通貨の発展に伴い注目を集め、様々な仮定から構成されている。特に離散対数ベースでは、鍵生成に無仮定なモデルでの安全性と鍵集約のサポートを達成した2ラウンド方式が複数提案された。これらの内、帰着ロスの大きい方式は128ビット安全性を達成可能な標準化楕円曲線を持たない。一方で帰着ロスのない方式は、標準化曲線P-256等で128ビット安全性を保証できるが、楕円曲線に理想的な計算モデルAlgebraic Group Model (AGM) を仮定する。AGMを用いない場合、どれ程帰着ロスの削減や効率性の向上が可能かは知られていない。本研究では、DDH仮定とランダムオラクルモデルから2ラウンド多重署名方式を構成した。帰着ロスが完全に排除できてはいないが、AGMを用いない既存方式と比べ削減でき、P-384の下で128ビット安全性を達成可能で、その場合の署名長は1152ビットであった。AGMを用いない方式の中で、唯一の128ビット安全性を達成可能な標準化曲線を持つ方式であり、最も短い署名長を達成している。署名生成や検証での必要計算時間の評価も行い、実用的な時間で動作することを確認した。

1A3-5

Two-round Tightly-Secure Multi-Signature with Key Aggregation Jacob Schuldt(産業技術総合研究所) 、◎小嶋陸大(富士通株式会社) 、花岡悟一郎(産業技術総合研究所): Multi-signatures have seen renewed interest due to their application to blockchains, e.g., BIP 340 (One of the Bitcoin improvement proposals), which has triggered the proposals of several new schemes with improved efficiency. However, many of these have a loose security reduction which makes the achieved level of security unclear when instantiated in groups typically used in practice or depending on strong idealized assumptions such as the AGM (Algebraic Group Model). When using a multi-signature with such loose security, it becomes unclear for the developers to understand how secure this scheme is if they choose any security parameters. Thus, it leads to whether we can construct a scheme with tight security based on standard assumptions. In this paper, we show a simple two-round tightly-secure pairing-based multi-signature scheme based on the computation Diffie-Hellman problem in the random oracle model. In comparison, existing tightly-secure schemes that do not rely on the AGM are three-round schemes either do not support key aggregation (which our scheme does) or rely on a decisional hardness assumption. Compared to existing non-tight schemes instantiated in groups typically considered in practice but compensating for the scheme's security loss, our scheme provides shorter signatures and public keys for the same bits security level.

1B1-1

顔画像非識別化によるプライバシ保護に関する検討 ◎塙剛生(東北大学) 、河合洋弥(東北大学) 、伊藤康一(東北大学) 、青木孝文(東北大学): SNS の利用拡大に伴ってインターネット上に大量の顔画像が公開されている．顔認証を用いることで，特定の人物の顔画像を容易に収集することができるため，なりすまし攻撃のような顔認証システムへの攻撃に利用される恐れがある．インターネット上に安全に顔画像を公開するためには，顔画像の見た目を変えずに顔認証を困難にする非識別化が必要である．本稿では，他人の顔特徴量を顔画像に埋め込むことで顔画像を非識別化する手法を提案する．提案手法では，畳み込みニューラルネットワークを用いて，顔画像の見た目を保持したまま他人と認識されるような顔画像に変換する．顔画像の公開データセットを用いた性能評価実験を通して，提案手法における埋め込み顔特徴量の選択方法について検討するとともに，従来手法と比較して提案手法が顔画像の見た目を保持できることと，未知の顔認証モデルに対して高い非識別化性能を有することを示す．

1B1-2

機能的局所差分プライバシの提案 ○三本知明(株式会社国際電気通信基礎技術研究所) 、松中隆志(株式会社国際電気通信基礎技術研究所) 、横山浩之(株式会社国際電気通信基礎技術研究所) 、中村徹(株式会社KDDI総合研究所) 、磯原隆将(株式会社KDDI総合研究所): 局所差分プライバシは個人のプライバシを定量的に保証するプライバシ指標であり，データの形式やユースケースに応じた局所差分プライバシを満たすメカニズムが数多く研究されている．一般に局所差分プライバシメカニズムはあるデータ空間を対象とし，その空間上のデータの識別不能性を提供するために十分な摂動を行う．そのため個々のデータには非常に大きなノイズがかかる傾向があり，比較的単純なタスクであってもメカニズムによるノイズを均すために多くのデータ数を必要とする．本稿では局所差分プライバシを拡張した機能的局所差分プライバシを定義し，局所差分プライバシ，および機能的局所差分プライバシを満たすメカニズムを提案する．機能的局所差分プライバシでは同一クラスタに含まれないデータのプライバシを保証しない代わりに，より小さいノイズで指標を満たすことが可能となる．本稿ではさらに機能的局所差分プライバシフレームワークを設計し，フレームワークに含まれるデータすべてに対して局所差分プライバシによるプライバシ保証を実現する．最後に画像データを用いた実験により，提案メカニズムの評価を実施する．

1B1-3

確率的な反復処理を用いた2値行列データに対するk^m-匿名化手法 ◎小林雅弥(神奈川大学) 、藤岡淳(神奈川大学) 、佐々木太良(神奈川大学) 、千田浩司(群馬大学): 人工知能やデータマイニングの研究・開発が進むにつれ，購買履歴データや位置データなどの個人情報を含んだビッグデータの需要は高まってきている．しかしこのようなデータはプライバシを侵害する可能性を含み，ビッグデータの活用には個人の特定を防ぐためにk-匿名化のような匿名化処理が必要不可欠である．本研究では，購買履歴データなどの高次元トランザクションデータにおけるk-匿名化を考える．Aggarwalらの研究により，高次元データにおけるk-匿名化手法は困難であると示されたことから，Terrovitisらはk-匿名性の制約を強めたk^m-匿名性を提案し，Poulisらは軌跡データのk^m-匿名化手法を提案したが，提案した手法は一般化による手法であったため2値行列データにおける有用性を満たしていなかった．そのため本稿では，2値行列データにおけるk^m-匿名化手法として一般化を用いない方法を提案し，その有用性を検証する．

1B1-4

決定木と(k-)匿名化の関係について ◎若林亮輔(東京情報大学) 、王立華(国立研究開発法人情報通信研究機構) 、野島良(国立研究開発法人情報通信研究機構) 、早稲田篤志(東京情報大学): 本稿では代表的な機械学習の手法の一つである決定木を対象として,学習後の決定木から学習に使われたデータに関する情報が漏えいする可能性について検証を行う.その結果として,k-匿名化をはじめとする匿名化技術への攻撃手法がある種の決定木にも適用可能であることを示す.また,いくつかのデータセットを用いて実験を行い,実際に攻撃が可能な場合が存在することを示す．

1B2-1

Shamir の秘密分散を用いた秘匿レーティング計算技術の評価 ○坂巻　慶行(富士通株式会社): 個人の交友関係や，市場における組織間の取引関係など，多種多様な社会的な関係が存在する．これらの関係により形成される社会的構造は社会的ネットワークと呼ばれ，数多くの分析や研究がなされている．中でも，社会的ネットワークにおけるノード（個人／組織）の評判や信頼性の指標は，ノード間の関係の形成や改善のための有用な情報である．さて，ネットワーク上の各ノードが関係のあるノードに対し主観的に点数で評価する状況を考える．このとき，ネットワークは Weighted Signed Network (WSN)と呼ばれる実数値の辺重み付き有向グラフにモデル化できる．これら主観的評価情報を用いることで，ネットワーク全体からみたノードの評判や信頼性の指標を計算するレーティング計算手法が研究されている．しかしながら，各ノードの主観的評価情報は，そのノードに対応する個人や組織にとっては機密な情報であり，他者に公開したくないことが多い．これまでに，我々は主観的評価情報及びその推定に結び付く情報を他者に知られないようにする秘匿レーティング計算手法を提案している．本稿では，提案する秘密計算プロトコルを計算機上でシミュレーション評価する．

1B2-2

秘匿接尾辞ソートとその応用 ○神保洸貴(東京大学大学院情報理工学系研究科) 、定兼邦彦(東京大学大学院情報理工学系研究科): 文字列の接尾辞ソーティングは，接尾辞配列の構築やBurrows-Wheeler Transformation(BW変換)を行うために用いられ，これらは文字列圧縮や文字列検索等の処理を容易にする．接尾辞配列やBW変換を基にしたデータ解析手法は機械学習や生命情報などを含む様々な分野で応用されており，特に生命情報の分野において，大規模データを効率的に処理できる特性から，ゲノム解析など先進的な研究分野にて非常に重要な役割を担っている．一方でこれらの分野において，ゲノム情報など重要な個人情報を取り扱う必要があり，解析技術の進歩とともに個人情報漏洩のリスクも日に日に高まっている．この問題に対する対応策として，Secure Multi Party Computation(MPC)と呼ばれる，秘密情報を複数台の計算サーバーを使用して秘匿したまま特定の情報処理を行う手法に関する研究が現在活発に行われている．本稿では，文字列の接尾辞ソーティングをMPCを用いて秘匿化することを目指す．さらに本稿で提案する秘匿化手法の，DNA解析等で用いられているデータ解析手法の一つへの応用を試みる．

1B2-3

秘密計算基数ソートの通信量の削減 ◎吉田勇輝(東京大学大学院情報理工学系研究科) 、戸澤一成(東京大学大学院情報理工学系研究科) 、定兼邦彦(東京大学大学院情報理工学系研究科): 対象のデータの情報を秘匿したまま計算を行う秘密計算において，特にソーティングは多くのデータ処理において必要かつボトルネックであり，その高速化は重要な課題である．本論文では，3パーティの秘密分散によるsemi-honest安全な秘密計算基数ソートについて，入力を得た後の通信量（オンライン通信量）の削減による高速化を行う．提案手法では，基数ソートのサブプロトコルである L ビット整数の計数ソートのオンライン通信量を改善する．既存手法では 2^L に比例するビット数のオンライン通信量を必要としていたが，各要素の単位ベクトルを生成する手法とShamirのシェアを用いた省通信化の手法を組み合わせることで，提案手法では L に比例する程度のオンライン通信量に抑える．これにより， L ビット計数ソートを用いて W ビット整数 N 個を安定ソートする秘密計算基数ソートにおいて，既存手法では事前計算の通信量とオンライン通信量共に O(2^LWN\log N/L)$であったのに対して，提案手法では同程度の事前計算でオンライン通信量 O(WN(1+log N/L)) を達成することを示す．そして， L が小さい場合も，提案手法は既存手法よりオンライン通信量及びラウンド数が改善していることを示す．

1B2-4

木関数の秘匿計算プロトコル ◎諌山　航太(東京大学大学院情報理工学系研究科) 、定兼　邦彦(東京大学大学院情報理工学系研究科): 本研究では，木に対して再帰的に定義される関数（以下，木関数）の複数者間計算(Multi-party computaion, MPC)による秘匿化を考える．MPCにおいて，木に関する計算の研究としては決定木の秘匿評価が盛んに行われてきた．一方で，それらは決定木の形が完全二分木であることを仮定していたり，完全二分木になるようにダミーのノードを挿入したり，もしくは最大の深さが公開情報とした元で考えられていたりと，一般的な木を木の形を完全に隠したまま計算する手法は提案されていない．また，決定木評価以外の木に関する計算の秘匿計算についての研究も知られていない．本稿では，木の基本的な関数である木関数を計算する，節点数のみを公開情報とした，２パーティのプロトコルを提案する．このプロトコルは N 節点の木に対して O(log N) ラウンドである．

1B2-5

一筆書きの秘匿計算 ○戸澤一成(東京大学) 、定兼邦彦(東京大学): 本稿では，頂点数や辺数，隣接関係などのグラフ構造を秘匿したまま，有向オイラーグラフのオイラー路を構成するプロトコルを提案する．オイラー路とはグラフ中の全ての辺を一度だけ通る一筆書きのことである．一筆書きはグラフ理論における基本的な問題の一つであるが，これを効率良く秘匿計算する方式は現在のところ知られていない．提案方式は，秘匿ソート・秘匿置換を基本演算として仮定した Arithmetic Black-box モデルの下で構成される．秘密分散法に基づくマルチパーティ計算を用いる場合，提案方式は高い通信効率を実現しており，グラフサイズをNとしたとき，O(log^2 N) 通信ラウンド，O(Nlog^3 N)ビットの通信量を達成している．

1B3-1

TFHEに基づくクライアント補助型閾値完全準同型暗号 林卓也(NEC) 、一色寿幸(NEC) 、森健吾(NEC) 、縫田光司(九州大学マス・フォア・インダストリ研究所) 、◎杉崎行優(NEC) 、土田光(NEC): Fully homomorphic encryption (FHE) とは，暗号文を復号せずに，暗号文上の計算により平文に対する加算や乗算を任意の回数だけ計算可能な暗号方式である．特に復号鍵を複数の参加者にシェアとして分散したまま復元せずに，復号鍵に対応する暗号化鍵の生成や暗号文の復号が可能なFHEをthreshold FHE (ThFHE) という．ThFHEでは，復号鍵のシェアが一定数集まらない限り復号鍵を復元できないため，複数の参加者からの入力を用いた秘密計算に有用である．代表的なFHEとして， TFHEが挙げられる．TFHEは，暗号文に蓄積されたノイズを低減するbootstrappingが高速であることや，TFHEを実装したオープンソースソフトウェアが充実していることから，注目を集めている．しかし，TFHEに基づくThFHEは，我々が知る限り提案されていない．本稿では，TFHEに基づくクライアント補助型のThFHEを提案する．提案方式は，TFHEと同じbootstrappingを実現しつつ，分散暗号化や分散復号が可能なため，複数の参加者からの入力を用いた秘密計算を実現できる．

1B3-2

ゲート数が少ないbinary adder treeとmulti-key TFHEを用いた性能評価 ◎伊藤直也(東京大学大学院) 、杉崎行優(NECセキュアシステム研究所) 、土田光(NECセキュアシステム研究所) 、高木剛(東京大学大学院): 準同型暗号とは，暗号文を復号せずに，平文に対する演算が可能な暗号方式である．平文に対する加算と乗算を任意の回数だけ計算可能な準同型暗号を，完全準同型暗号という．代表的な完全準同型暗号として，TFHE が挙げられる．さらに，複数の暗号化鍵が存在可能な一般化されたTFHEとして，multi-key TFHE (MK-TFHE) が提案されている．TFHE は関数を論理回路で表現し，論理ゲートごとに準同型演算を行うことで，入力を明かさずに任意の関数を計算できる．代表的な関数として，総和計算が挙げられる．特に各入力が 1 ビットの総和計算は，ハミング距離計算や二値化ニューラルネットワークの推論で用いられる．総和計算の回路表現として，binary adder tree (BAT) が挙げられる．TFHE により総和計算を含む関数を計算する場合，BAT の計算時間を削減することで，関数全体の計算時間も削減できる．よって，BAT を少ないゲート数で構成することが望まれる．本稿では既存の BAT よりもゲート数が少ない BAT を提案する．また，MK-TFHE により提案方式を用いたハミング距離計算を実装し，実行時間を評価する．

1B3-3

準同型暗号TFHE上の任意精度演算のための冗長表現による多並列化 ◎成定真太郎(KDDI Research, Inc.) 、福島和英(KDDI Research, Inc.) 、清本晋作(KDDI Research, Inc.) 、西出隆志(筑波大学): TFHEはLearning with Errors (LWE)問題に基づく完全準同型暗号であり，高速なBootsrappingによる任意深度演算を特徴とする． TFHEは1つの暗号文に数ビットの情報しか格納できないため，ビット数の大きいデータを処理するためには，データをエンコードしたものを分割して暗号化する必要がある．従来，このエンコードには基数分解が用いられてきたが，桁上げのため準同型加算を並列化できないという課題があった．最近，RNS(Residue Number System)や冗長表現(Redundant Representation)をエンコードに用いることで，TFHE上の準同型加算を並列化する手法が提案された．一方で，これらの手法の評価はCPU実装に留まっており，多並列環境下での最適化は未実施であった．本稿では，2022年にKlemsaらが提案した冗長表現に基づく並列演算を多並列化する．具体的に，冗長表現に基づくTFHE上の並列加算・定数乗算・乗算の多並列アルゴリズムを提案し，TFHEのライブラリであるconcreteを用いて実装評価を行う．実験の結果，32/64bitの準同型加算がそれぞれ75/76ms，準同型乗算が1.2/4.2sで実施可能となるなど，既存のTFHEの実装と比べて大きく高速化したことを報告する．

1B3-4

Integer-wise型TFHEの算術演算の高速化 ◎松岡航太郎(京都大学) 、星月優佑(株式会社アクセル) 、佐藤高史(京都大学) 、Song Bian(Beihang University): 本稿では, 完全準同型暗号(FHE)の一種であるTFHEを,平文に整数をとるように拡張したinteger-wise TFHEにおいて, 4-bitの符号付き・符号無し整数の乗算, 4-bit整数の除算, Full Domain Functional Bootstrapping (FDFB)のより計算量の少ない構成法を提案する. これらの演算の構成において最も重い操作はLook Up Table (LUT)の暗号上での評価を行う, Blind Rotate (BR)と呼ばれる準同型演算である. 我々の提案法の主なアイデアは, このLUTをそれぞれの演算に適した形で構成することでBRの数を削減することである. これにより提案法では、4-bit 符号無し乗算, 符号付き乗算, 除算, FDFBをそれぞれ4BR, 6BR, 7BR, と2BRで実現する.

1C1-1

暗号化と復号の実行速度が等しい耐量子ラージブロック暗号の構成 ◎芝廉太朗(三菱電機株式会社) 、中橋元輝(兵庫県立大学) 、Ravi Anand(兵庫県立大学) 、Mostafizar Rahman(兵庫県立大学) 、阪本光星(兵庫県立大学) 、劉富康(兵庫県立大学) 、五十部孝典(兵庫県立大学/情報通信研究機構): 本稿では，量子攻撃に対して安全かつ，暗号化と復号の実行速度が等しく高速なAESラウンド関数ベースのブロック暗号を提案する．提案構成はブロック長が256ビットまたは512 ビット，鍵長が256ビットであり，量子アルゴリズムを用いた秘密鍵の全探索に対しても128ビット安全性を確保する．また，提案構成では，3連続のAESラウンド関数と対合バイナリ行列の乗算から構成されるラウンド関数を採用することで，暗号化と復号の実装に必要な命令数を同一にし，既存のAESラウンド関数ベースの暗号プリミティブで生じる暗号化と復号の速度の非対称性を解消する．結果として，提案構成はx86環境において暗号化と復号の速度が同等になることを示す．また，既存構成Pholkosとの比較において，提案構成の暗号化はPholkosの暗号化と同程度の速度である一方で，復号性能においてはPholkosを大きく上回ることを示す．更に，提案構成の512ビットブロック暗号はNEONを用いた実装に必要な命令数が小さいため，arm64環境において暗号化・復号の両方でPholkos-512の性能を大きく上回ることを示す．

1C1-2

ごく短い入力での認証暗号について Alexandre Adomnicai(CryptoNext Security) 、○峯松　一彦(NEC, 横浜国立大学) 、四方　順司(横浜国立大学): 本稿はごく短い入力での認証暗号の性能に着目する。GCM, OCBなどの既存の一般的なブロック暗号ベースの認証暗号は平文入力長によらないオーバーヘッドを持つ。本稿ではこのオーバーヘッドよりも少ない計算量で動作する、短い入力に特化した認証暗号を提案する。

1C1-3

可変長ベクトルデータに対する高安全なメッセージ認証コード ◎古谷勇(NEC) 、井上明子(NEC) 、峯松一彦(NEC): メッセージ認証コード（MAC）は，データの改竄を検知するための暗号技術である．従来，MAC は入力として単一のビット列形式のデータのみを対象としてきたが，ベクトル形式など，他の形式のデータにも適用したいという要求がある． SCIS 2022 において，笠原らは，ベクトル形式のデータを対象とする MAC として，高安全性（使用する固定長暗号部品の入出力長 n に対して n-bit security）を保証する手法を提案したが，同手法は入力ベクトル長が固定であるという制約があった．そこで，本提案では，可変長ベクトルを入力として取り，かつ高安全な MAC を提案する．

1C1-4

単一のIdeal Cipherを用いた暗号学的置換の安全性 ◎辻健斗(名古屋大学) 、岩田哲(名古屋大学): CoronらはTCC 2010において，構成要素にnビットブロック，nビット鍵のIdeal Cipherを用いた暗号学的置換の構成法を提案した．本稿ではCoronらの構成の構成要素を，単一のIdeal Cipherに変更した構成の安全性を解析し，任意段数に対して定数回クエリでの識別が可能であることを示す．またIdeal Cipherの鍵にラウンド定数を導入した構成について，2段，3段，4段，5段の構成が定数回クエリによって識別が可能であることを示す．

1C1-5

奇数ラウンド Cascade Encryption の厳密なマルチユーザ安全性 ○内藤祐介(三菱電機株式会社) 、佐々木悠(NTT社会情報研究所) 、菅原健(電気通信大学): 奇数ラウンドの Cascade Encryption (CE) の厳密なマルチユーザ安全性を与える．CEはブロック暗号を繰り返すことで鍵長を伸ばすアルゴリズムであり，Triple DES といった重要なアルゴリズムを含む．CE の厳密な安全性評価は重要な研究課題であり，多くのCEの安全性評価の論文が発表されている．マルチユーザは, ユーザが複数居る現実的なシステムを反映した安全性モデルであり，既存の暗号アルゴリズムのマルチユーザ安全性の評価が活発に研究されている．CEの既存研究で，任意のラウンドのCEの厳密なシングルユーザの安全性と，2ラウンドCEの厳密なマルチユーザ安全性は評価されていたが，3ラウンド以上のCEの厳密なマルチユーザ安全性の評価は未解決問題である．本稿では，この重要な問題を解決する. まず，CEを従来の証明法より厳密に評価できる新しいツールRe-sampling法を提案する．この手法を用いることで，従来のCEの証明で行われていたcoefficient-H法でのgood transcriptに対する複雑な解の数のカウントを回避することができ，より正確に解の数をカウントすることができる．そして，この手法を用いて，奇数ラウンドのCEの厳密なマルチユーザ安全性を与える．最後に，この結果を用いてTDESのパラメーターに対するマルチユーザ安全性を示す．

1C2-1

Non-Interactive Proof of Knowledge from Fiat-Shamir and Correlation Intractable Hash ◎Zehua Shang(Kyoto University) 、Miyako Ohkubo(Security Fundamentals Laboratory, CSR, NICT) 、Mehdi Tibouchi(NTT Social Informatics Laboratories) 、Masayuki Abe(NTT Social Informatics Laboratories): Non-interactive zero-knowledge (NIZK) proofs are vital building blocks for a wide spread of non-interactive schemes such as public-key encryption and digital signature schemes. Constructions of Fiat-Shamir type NIZKs without random oracles have been a long time goal of the research community. The recent results such as Canetti et al. (STOC'19), Libert et al. (Asiacrypt'20) and Peikert and Shiehian (Crypto'19) only provide constructions of NIZKs with membership proofs. In this paper, we present a construction that achieves knowledge soundness with the Fiat-Shamir transform and correlation intractable hash families. Our construction requires several ingredients such as sigma-protocols, CPA-secure encryption schemes and correlation intractable hash functions. Our protocols avoid additional assumptions of trapdoor sigma-protocols or Omega-protocols.

1C2-2

更新可能な報告タグをもつフォワード安全なメッセージフランキング ◎山室宏貴(東京工業大学) 、原啓祐(国立研究開発法人産業技術総合研究所/横浜国立大学) 、手塚真徹(鶴岡工業高等専門学校) 、吉田雄祐(東京工業大学) 、田中圭介(東京工業大学): メッセージフランキングはエンドツーエンド暗号化されたメッセージサービスにおいてフェイスブックにより導入された技術である. メッセージフランキングでは報告タグと呼ばれる暗号学的な証拠を用いて特定の送信者が実際に不適切なメッセージを送信したか否かを検証することができる. 我々はICISC2021において, フォワード安全性を満たすメッセージフランキングを提案した. フォワード安全性は鍵を更新することで現在の鍵が漏洩した場合に過去の鍵で生成された暗号文や報告タグが安全であることを保証する. 本研究では報告タグの更新を導入することで鍵が更新された後に過去の不適切なメッセージを検証できるように拡張した.

1C2-3

虚偽の選好申告をする攻撃者に対するゲーム理論的に公平なコイン投げ ◎山田朋宏(東京工業大学) 、安永憲司(東京工業大学): 本研究では三者以上でのコイン投げを行うプロトコルを扱う。参加者がそれぞれ0または1の好み(選好)を持つ中で、コイン投げの結果として0,1を等確率で出力するプロトコルを作りたい。Wuら(EUROCRYPT 2022)は一部の不正な参加者が結託したとしてもゲーム理論的な公平性を保つプロトコルを示した。このプロトコルでは不正な参加者も自身の選好については正直な申告をする前提としていた。本研究では、不正な参加者が虚偽の選好申告をする可能性を考慮したプロトコルを構成した。

1C2-4

臆病な攻撃者に対するゲーム理論的に安全なブロードキャストプロトコル ◎山下啓伍(東京工業大学) 、安永憲司(東京工業大学): 本研究ではブロードキャストプロトコルに対するゲーム理論的安全性を考える．攻撃の検知を避ける臆病な攻撃者が合理的に振る舞う．Dolev-Strong (1983) により，決定性のプロトコルでは t 人の攻撃者がいる場合にラウンド数が t + 1 以上必要なことが示されている．本研究では，n人で実行するプロトコルとして，任意の t < n に対し，臆病な攻撃者が t 人いる場合にラウンド数が 5 の決定性のプロトコルを提案する．

1C2-5

保証金が一定なビットコインベース宝くじプロトコルの拡張 ◎内薗駿(電気通信大学) 、中井雄士(豊橋技術科学大学) 、渡邉洋平(電気通信大学 / 産業技術総合研究所) 、岩本貢(電気通信大学): 宝くじプロトコルとは，N人のプレイヤそれぞれの掛け金$1に対し，その合計$Nを受け取る勝者1名を，信頼できる第三者なしに一様ランダムに決定する暗号プロトコルである．ビットコインに基づき宝くじプロトコルを構成することで，敗者から勝者への支払いを強制できることが知られている．ビットコインベースの宝くじプロトコルでは，攻撃者の存在下でも正直なプレイヤが不利にならないことを担保するために保証金が利用される．既存方式の多くは保証金が参加者数に依存して増加する問題があったが，BartolettiとZunino（FC2017）はトーナメント構造に基づき宝くじプロトコルを構成することで，保証金が一定である方式を提案した．しかし，彼らの方式は，参加者数が$2^L$の場合のみに動作する限定的なものであり，安全性証明もこの場合に対してのみ示されている（Lはトーナメントの深さ）．そこで本稿では，彼らの方式を任意の参加者数に適用可能なプロトコルへの一般化を行う．また，一般化した方式においても安全性が証明できることを示す．さらに，保証金を一定としたまま勝者数を2名とした方式へ拡張できることを示す．

1C3-1

コンパクトな同種写像ベースパスワード認証鍵交換 ○石橋　錬(茨城大学大学院) 、米山　一樹(茨城大学): ASIACRYPT2020において，Alamatiらは同種写像に基づく方式を構成するための抽象化として群作用フレームワークを定式化した。CRYPTO2022において，Abdallaらは，Alamatiらの群作用フレームワークを楕円曲線のquardratic twistを含んだものに拡張し，bit-by-bitアプローチによる初めての証明可能安全かつtight安全な1ラウンドパスワード認証鍵交換（PAKE）方式（X-GA-PAKE）を提案した。しかし，X-GA-PAKEでは，パスワード長$\ell$に対して，各パーティごとの群作用回数は$5\ell$，通信量は$2\ell$必要であり，効率に問題がある。本稿では，X-GA-PAKEよりも群作用回数や通信量を削減した効率の良い1ラウンドPAKE方式を提案する。X-GA-PAKEではtwistを利用した攻撃を防ぐため$2\ell$個の要素を送受信する必要があったが，提案方式ではその内$\ell$個を共通参照情報（CRS）の個数分に削減することによって，群作用回数を$4\ell+2|CRS|$，通信量を$\ell+|CRS|$に効率化することができる。また，X-GA-PAKEと同様の仮定に基づき，1ラウンドPAKEの安全性モデルにおいて，tight安全性を示す。

1C3-2

標準モデルでtight安全なIDベース認証鍵交換に向けて ◎三田　拓夢(茨城大学) 、石橋　錬(茨城大学大学院) 、米山　一樹(茨城大学): CRYPTO2021において、Hanらはマルチユーザ安全性を満たすKEMと電子署名を部品として用いることで、標準モデルでtight安全性を満たすPKIベース認証鍵交換（AKE）方式を提案した。一方で、PKIを仮定せずメールアドレスなどのIDに基づいて認証を行うIDベースAKEにおいて、標準モデルでtight安全性を満たす方式は知られていない。本稿では、長期秘密鍵の途中漏洩（Corruptクエリ）を許さない制限付きの安全性モデルにおいて、標準モデルでtight安全性を満たすIDベースAKE方式を提案する。まず、HanらのPKIベースAKEの安全性モデルを、IDベースAKEにおけるdishonestなユーザを登録するEstablishクエリは許すがCorruptクエリを許さない制限付き安全性モデルに拡張する。次に、マルチユーザ安全性を満たすKEMとIDベース署名を部品とした新たなIDベースAKE方式を提案し、我々の安全性モデルを満たすことを示す。我々の方式のinstantiationとして、標準モデルでMDDH仮定に基づくtight安全な方式を実現できる。

1C3-3

Two Sheriffs Problemの一般化と鍵共有プロトコルへの応用 ◎杉本航太(電気通信大学) 、渡邉洋平(電気通信大学 / 産業技術総合研究所) 、岩本貢(電気通信大学): Two Sheriffs Problemとは以下のような条件を満たす通信プロトコルを作る問題である．事前に秘密情報を共有していない二人の保安官がそれぞれ容疑者のリストを持っており，両方のリストに含まれる人物が犯人である．二人は公開の通信路を用いて犯人を特定，すなわち両リストの積集合を計算したいが，通信をすべて傍受する盗聴者には特定した犯人が分からないようにしたい．この問題はBeaverらによって提案され，組合せ論的解法が示された．杉本らはCSS 2022にて，Two Sheriffs Problemについて定式化を与え，Beaverらの提案したプロトコルと比較して実行条件を弱めた上で，盗聴者の攻撃成功確率がより小さくなるプロトコルを提案した．本稿では，Two Sheriffs Problemにおけるプレイヤー数と共有対象について拡張したMulti-Sheriff Problemの定式化及び解法を示し，これを基にした鍵共有プロトコルを提案する．

1C3-4

Optimistic Signed Exchange Revisited ◎ZHANG HUAN(Kyoto university) 、Mehdi Tibouchi(NTT Corporation, Kyoto university) 、Miguel Ambrona(NTT Corporation) 、Masayuki Abe(NTT Corporation, Kyoto university): After proposing Optimistic Signed Exchange to solve the transaction fee problems left by FairSwap, OptiSwap, and Zk-contingent payment, this protocol gives a satisfying result on transaction fees in the previous paper. Furthermore, the computation overhead is smaller than the ZK-knowledge contingent payment. And the comparison between it and previous protocols has been shown in the last paper. In this paper, we update several changes to our protocol considering the availability of building blocks and give the formal security proof based on the IND-CPA and hash security. The transaction fee between Optimistic Signed Exchange and previous protocols needs to be compared again.In addition, the transaction fee for exchanging larger files is estimated, and the final result shows that it is problematic in practice.

1C3-5

Composition of Zero-knowledge Proof Protocols from MPC-in-the-Head with Pre-processing ○Zhiyu Peng(Kyoto University) 、Miyako Ohkubo(National Institute of Information and Communications Technology) 、Mehdi Tibouchi(NTT Social Informatics Laboratories) 、Masayuki Abe(NTT Social Informatics Laboratories): Katz, Kolesnikov, and Wang (KKW) built a powerful instantiation of the MPC-in-the-head paradigm. In particular, via a well-designed preprocessing phase, the KKW scheme greatly enlarges the space of applicable MPCs and corresponding relations, including various special relations that do not support logical formulas. However, applying logical formulas like composition is important in applications of the KKW scheme. Proof of partial knowledge proposed by Cramer, Damg?rd, and Schoenmakers (CDS) enables efficient composition of statements in zero-knowledge proof protocols by secret sharing the challenge into challenges for atomic protocols. Unfortunately, the CDS method works only when the atomic protocol is a special sound Σ-protocol, which deviates from the KKW protocol. Specifically, two challenge stages occur for the 5-round KKW protocol and may cause inconsistency in atomic protocols corresponding to transcripts at different stages, which hinders witness extraction. In this work, we apply a recent definition of special soundness for the multi-round protocol to the 5-round KKW protocol and extend the CDS protocol over it. In our method, the CDS style of secret sharing only happens at the first challenge stage to avoid potential inconsistency. Our result offers a statement-composable zero-knowledge proof system using the 5-round KKW protocol as the atomic protocol. Furthermore, it can be transformed into a NIZK using the Fiat-Shamir heuristic and be used to form practical signatures.

1D1-1

非中央集権型ストレージのデータ永続性を強化するインセンティブ機構の提案 ◎岡　達也(富士通株式会社) 、宮前　剛(富士通株式会社) 、山岡　裕司(富士通株式会社): 特定企業が管理する中央集権的なストレージサービスの場合, 近年ビッグテックが運営するSNS等で問題となっているように, 政治的な理由によりユーザのコンテンツが削除されてしまうなどの検閲の問題が発生してしまう. 一方, ブロックチェーンの技術をベースにした非中央集権的なストレージの場合, アーキテクチャによっては, データ永続性は保証されるが手数料が高騰してしまう課題が存在する. 本研究では, 代表的な非中央集権型ストレージのアーキテクチャを比較評価し, データ永続性と手数料に関してバランスの取れた理想的なアーキテクチャの検討を行った. 実際に, Arweaveのインセンティブ設計を改良し, データ多重度のばらつきを抑えて全てのデータが平均的なデータ多重度で管理されるようにユーザを誘導することにより, 分散ストレージのアーキテクチャを理想に近づける提案を行った.

1D1-2

ブロックチェーンサービス基盤に関する考察 ○才所敏明(（株）IT企画) 、辻井重男(中央大学研究開発機構): 個人や組織の様々の活動がインターネット上で展開される時代へと移行する中，活動の過程で求められる個人や組織のアイデンティティ情報もネット経由の提供へ移行することが想定される．筆者らが提案している自己主権型アイデンティティ情報利活用基盤（SSIUF：Self-Sovereign Identity-information Utilization Framework）は，インターネット上での個人や組織間での安全なアイデンティティ情報の流通およびアイデンティティ情報の検証を可能とする情報流通基盤である．本稿では，SSIUF構想を発展させ，様々のアプリケーションの安心・安全なサービスの基盤となることを目指したブロックチェーンサービス基盤（BSI：Blockchain Service Infrastructure）構想を提案する．BSIは，各国の個人や組織の認証基盤（NAF：National Authentication Framework），自己主権型アイデンティティ基盤（SSIF：Self-Sovereign Identity Framework），多様なアプリケーションサービス（ASF：Application Service Framework）から構成され、個人や組織間での情報の送受信にはW3C（World Wide Web Consortium）で標準化が進められている分散型ID（DID：Decentralized Identifier）/検証可能属性証明（VC：Verifiable Credential）関連技術の活用を想定している。また，日本で早期の実現が期待されているNAFjp（NAF in Japan）を利用した日本におけるブロックチェーンサービス基盤BSIjp（BSI in Japan）の構成案を示す。

1D1-3

様々な特性のデバイスに適した分散型台帳の階層構造の提案 ○髙橋良浩(京セラ株式会社) 、大村聡子(京セラ株式会社) 、須藤大貴(京セラ株式会社) 、小山亮(京セラ株式会社) 、山下裕之(京セラ株式会社) 、長谷川暢(慶應義塾大学) 、甲斐賢(慶應義塾大学) 、近藤賢郎(慶應義塾大学) 、手塚悟(慶應義塾大学): 近年、様々な分野で分散型台帳(以下、台帳と呼ぶ)技術の一種であるブロックチェーンが活用されている。その特徴は、ノード間の取引記録及び直前のブロックのハッシュ値といったデータをブロックに格納し、時系列順に鎖のように連結していくものであるため、取引の連続性及びトラストマージネス(以下、トラストと呼ぶ)を担保することができるようになっている。また、IoT 機器の普及も進んでおり、ブロックチェーンの活用が望まれるようになっている。しかし、IoT 機器は長い待機状態の特徴を持つものが多いが、待機状態にある機器が合意形成に参加できず、ブロックの生成効率が悪化する可能性がある。これを防ぐためには、IoT 機器とそれ以外のノードを別々の台帳で扱うことが考えられるが、異なる台帳のブロック同士はハッシュ値などで連結されていないため、先述した連続性の担保ができないという問題がある。そこで本稿では、台帳同士を上下に連結する階層構造を提案する。また、上位層のブロックのハッシュ値を下位層のブロックに含めるという仕組みとすることで、異なる台帳間での取引に対しても連続性およびトラストを担保できることも示す。

1D1-4

Bitcoinにおけるトランザクション間の流量を可視化するシステムの試作 ◎加藤志門(明治大学) 、市野雅暉(明治大学大学院) 、升田尚幸(明治大学大学院) 、渡名喜瑞稀(明治大学大学院) 、藤井達也(明治大学大学院) 、小玉直樹(明治大学) 、齋藤孝道(明治大学): Bitcoinを始めとする非中央集権の暗号資産は，ランサムウェアの身代金の送金や資金洗浄等の不法な取引にも利用されている．捜査機関はこの不法な取引を調べるためにBitcoinのトランザクションを分析，追跡を行っている．しかし，トランザクションは分散して個別に存在しているので，取引の全体像が把握しにくい．そこで本論文では，トランザクション及びアドレスの繋がりと取引量を同一グラフ内に可視化する手法を提案し実装を試みた．Bitcoinノードに蓄積されたトランザクションをデータベースに記録し，それを可視化に用いる．このシステムは起点となるトランザクションやアドレスを指定すると，関連する取引を金額に比例した太さの線で結び表示する．これにより，送金された金額と経路についての調査をサポートする．また表示までの性能評価のため，無作為に選んだアドレスについてシステムに対して問い合わせリクエストを送り，その応答時間の計測を行った．

1D1-5

データ所有証明を適用したEthereumを用いる非同期なデータ交換の実装手法の検討 ◎東　知哉(神戸大学) 、白石　善明(神戸大学) 、掛井　将平(名古屋工業大学) 、廣友　雅徳(佐賀大学) 、毛利　公美(近畿大学) 、森井　昌克(神戸大学): ユーザの持つ価値を交換できるプラットフォームは非同期的なデータのやり取りを可能とするクラウドストレージに支えられている．データ所有者がプラットフォーム上でデータが適切に存在していることの確認は，クラウドストレージ内のデータの完全性を検証可能とするProvable Data Possession(PDP)に基づいた監査システムを構築すれば可能となる．PDPでやりとりされるデータをブロックチェーンに記録することで，監査の透明性を保証する理論的な方式が提案されている．しかしながら，ブロックチェーンに記録されるデータをどのように取り扱うかの実装上の設計によってはその安全性が保証されない．本論文では，クラウドストレージを用いた透明性を持つ非同期なデータ交換にPDPを適用した監査システムにおける脅威について述べ，Ethereumのスマートコントラクトを実装する上での課題を整理し，具体的な実装手法を与え，監査システムの安全性について議論する．

1D2-1

ブロックチェーンの軽量ノードにおける情報検証技術に関する一考察 ○横山修造(九州工業大学) 、荒木俊輔(九州工業大学) 、硴崎賢一(九州工業大学): ブロックチェーンは強い改ざん耐性を持つデータベース技術である．取引情報の保存を過去の取引と紐づけて行うことで改ざんを困難にしている．しかし一度保存されたデータは削除できず，ブロックチェーンのデータサイズが増え続ける．そのため参加するコンピュータには高い性能が要求される．解決策としてデータサイズを抑えた軽量ノードが利用されているが，軽量ノード単体ではトランザクションの改ざん検証ができない．そこで本稿では，ラグランジュ補間を用いた情報要約技術により単体で改ざん検証が可能な軽量ノードの提案を目指す．主流のマークルツリーでトランザクションの改ざんを検証する手法は同ブロック内のすべてのトランザクションのハッシュを必要とするが，提案手法ではおよそ半分のデータサイズで検証可能である．しかし，提案手法は約4000個の要約でも処理時間が非常に長く，マークルツリーとの置き換えは困難とわかった．そのため本稿では，処理時間を抑えて提案手法の利用が可能なブロックチェーンモデルの考察も行う．

1D2-2

BFL-Boost: Blockchain-based Federated Learning for Gradient Boosting to Enhance Security in Model Training ◎Septiviana Savitri Asrori(Kobe University) 、Lihua Wang(National Institute of Information and Communications Technology) 、Seiichi Ozawa(Kobe University): Federated Learning (FL) is one of the techniques that allow collaborative machine learning in a privacy-preserving way. FL consists of several data owners and one central server, where each data owner shares only the model updates with a central server, then the central server will do the aggregation process to produce the global model. However, there are still challenges in FL implementation. First is the single-point-of-failure (SPOF) phenomenon, because the central server is the only party responsible for the model aggregation process. Second, there is still a chance when the data owner is dishonest and tries to poison the global model. Thus, we proposed BFL-Boost (Blockchain-based Federated Learning for Gradient Boosting), a framework run in a permissioned blockchain that ensures the security of the training process with a validation mechanism and secure aggregation mechanism. In addition, we provide the security measures on the proposed BFL-Boost based on three security aspects: Confidentiality, Integrity, and Availability (CIA).

1D2-3

BLS署名によるLPWAネットワーク上の分散台帳決済システムの通信データ長改善の評価 ◎江口力哉(早稲田大学) 、佐古和恵(早稲田大学) 、柴田巧一(株式会社 Skeed) 、佐藤俊雄(早稲田大学) 、佐藤拓朗(早稲田大学): 2022年のSCISで，分散台帳をIoTデバイスとLPWA(Low Power Wide Area netowrok)を用いてポイント交換を行う方法を提案した．同方式はポイント交換を分散台帳に記録する時間が長いことが課題である．その一因には，パケットに含まれる署名がLPWAネットワークの通信帯域を圧迫していることが挙げられる．特に，分散台帳の管理に参加するノードがそれぞれ署名つきのデータをLPWAを用いたP2Pネットワーク上でブロードキャストするため，その影響が大きくなっている．そこで，本稿では他ノードのデータを中継する際，BLS署名を用いて複数の署名を，署名１つ分と同じ長さの署名データに集約することにより，ネットワーク全体に流れる署名の長さを短くする方式を提案する．提案方式により，どの程度通信のデータ量が改善されるのかを評価する．

1D2-4

通貨選択アルゴリズムを最適化したトークン型電子現金方式のCBDCへの適用可能性検討 ○荒川幸寛(京都大学大学院) 、奥田哲矢(ＮＴＴ社会情報研究所) 、齋藤恆和(ＮＴＴ社会情報研究所) 、ティブシ・メディ(ＮＴＴ社会情報研究所) 、阿部正幸(ＮＴＴ社会情報研究所): 現在, 世界各国でCentral Bank Digital Currency(CBDC)を発行する計画が進められており, EUでは2021年からCBDCの実証実験が行われている. 日本でも2021年からクラウド上の実験環境で様々な電子現金方式のCBDCの実証実験が行われている. その中で, トークン型電子現金方式のCBDCは, 災害時でもオフライン決済が可能で利便性が高いとして期待されている. 一方, 転々流通により通貨に付加された電子署名の個数が増加し,取引時の署名検証時間が増大するなどスケーラビリティの懸念がある. 本研究では,社会実験でしか本来得られない結果を元にCBDCに適した電子現金方式を策定するために,自律的なエージェントによる相互作用の結果が得られるMulti-Agent Simulationという手法でトークン型電子現金方式のシミュレーションを行った. その結果, 送金時に財布から通貨を選択するアルゴリズムをエージェント毎に設定することで,送金する通貨の署名の合計数の低減や通貨の還収頻度の上昇などの効果が観測された. これらのデータを元に, 主にスケーラビリティの観点からトークン型電子現金方式を評価した.

1D2-5

Cross-Ledger Communication in Layer 2 ◎Maxim Jourenko(東京工業大学, IOG) 、Mario Larangeira(東京工業大学, IOG): In this presentation we show our ongoing work on interconnecting distributed ledgers on Layer 2. With the ever greater adaptation of blockchain systems, smart contract based ecosystems have formed to provide financial services and other utility. This results in an ever increasing demand for transactions on blockchains. Layer-2 systems attempt to improve scalability by taking transactions off-chain, with building blocks that are two party channels which are concatenated to form networks. Interaction between two parties requires (1) routing such a network, (2) interaction with and collateral from all intermediaries on the routed path and (3) interactions are often more limited compared to what can be done on the ledger. In contrast to that design, recent constructions such as Hydra Heads (FC'21) are both multi-party and isomorphic, allowing interactions to have the same expressiveness as on the ledger making it akin to a ledger located on Layer-2. Our follow up Interhead Construction (MARBLE'22) further extends the protocol to connect Hydra Heads into networks by means of a virtual Hydra Head construction. In this presentation we show an even greater generalization of the Interhead Protocol, allowing for interaction across different Layer-2 ledgers with a multitude of improvements.

1D3-1

量子計算によるLWE問題のSearch-to-Decision帰着 ◎数藤恭平(大阪大学) 、手塚真徹(鶴岡工業高等専門学校) 、原啓祐(AIST) 、吉田雄祐(東京工業大学): LWE問題は量子計算に対しても困難であると信じられ、多くの耐量子暗号技術の礎となっている。 LWE問題にはsearch-LWE問題とdecisional-LWE問題がある。 LWE問題のsearch-to-decision帰着とは困難性のよく知られたsearch-LWE問題からより応用に適したdecisional-LWE問題への帰着を指す。 LWE問題のsearch-to-decision帰着の効率はこの二つの問題の困難性の差とみなすことができる。まず与えられるインスタンス数を含むすべてのパラメータを保存する帰着（sample-preserving帰着）を与える。次に、この帰着アルゴリズムを用い、より高い成功確率をもつ帰着アルゴリズムを構成する方法を示す。最後に、効率について従来の古典計算による帰着との比較を行う。

1D3-2

ハッシュ時生成落し戸付きカメレオンハッシュの安全性について ◎濱田花風(東京工業大学) 、吉田雄祐(東京工業大学) 、田中圭介(東京工業大学): カメレオンハッシュとはハッシュ関数の引数として平文に加えて乱数をとるハッシュ関数であり，さらにトラップドア情報を使うことで任意のハッシュ値に対して異なる平文の衝突を見つけられる．ハッシュ時生成落し戸付きカメレオンハッシュとは，ハッシュを行う際に一時的なトラップドア情報を出力し，このトラップドア情報と通常のトラップドア情報を用いてハッシュの衝突を見つけられるカメレオンハッシュである．安全性にはカメレオンハッシュと同様に衝突耐性と識別不可能性がある．我々は既存の3つの識別不可能性の定義に対して，それぞれ新たにより簡潔な識別不可能性を定義し，既存の識別不可能性と簡潔な識別不可能性を加えた関係性について考察する．

1D3-3

判定問題が 128 ビット安全であるとは? 渡辺峻(東京農工大学) 、○安永憲司(東京工業大学): 暗号技術の安全性を定量的に評価するとき，128 ビット安全のような言い方をすることがある．ある素因数分解問題が128ビット安全であるとは，それを解くためにおよそ 2^128 回の演算が必要であることを主張するものである．暗号技術のセキュリティ強度を評価する際に使われる指標であり，そこから必要な鍵の長さが決まる．セキュリティ強度の評価対象となる問題はそのほとんどが探索問題である．暗号方式の選択平文攻撃に対する識別不可能性 (IND-CPA) や判定型 Diffie-Hellman (DDH) 問題などの判型問題に対しては，どのように評価すべきかさえ定まっていない．本稿では，判定問題のセキュリティ強度を評価するための既存の枠組みを紹介し，その関係性を明らかにする.

1D3-4

暗号化処理を制約する演算鍵付き準同型暗号 ◎鶴田拓矢(九州工業大学) 、荒木俊輔(九州工業大学) 、宮崎武(九州情報大学) 、上原聡(北九州市立大学) 、硴崎賢一(九州工業大学): 公開鍵暗号のひとつに準同型暗号という技術が存在する．これによって将来的には計算コストのかかる機械学習をクラウド上で実現できる可能性がある．具体的には，機械学習環境を提供するサーバに対して依頼主であるクライアントが自身で暗号化したデータを送り，サーバが学習してその結果を暗号文のまま返し，クライアントが復号するというモデルである．しかし，一般的に準同型暗号はIND-CCA2安全を満たさず，暗号文の改ざんが容易であるという問題がある．これを解決する手法としてEmuraらのKH-PKEがある．この手法は従来の公開する暗号化鍵，秘密の復号鍵に加えて，秘密の演算鍵を設定することで演算鍵の非保有者に対してはIND-CCA2安全を満たし，保有者に対してはIND-CCA1安全を満たすという手法である．しかし，この手法ではすべての人が暗号化でき，サーバ自身や第三者に悪意がある場合，演算結果を意図的に操作できる．これを防ぐために暗号化鍵を非公開にする手法を検討した．本稿では，演算鍵の非保有者は暗号化すらできず，保有者は任意の暗号文の生成ができない暗号方式とそのセキュリティ定義を提案する．

1D3-5

具体的な関数に対する秘匿同時通信プロトコルの通信量の上下界 ○品川和雅(茨城大学／産業技術総合研究所) 、縫田光司(九州大学／産業技術総合研究所): 秘匿同時通信（PSM）とは、情報理論的安全な秘密計算の一種であり、共有乱数かつ1ラウンド通信という特徴を持つものである。PSMプロトコルの研究において、通信量の上界及び下界を求めることは重要な問題である。一般の関数の場合、通信量の既存の上界は入力長について指数的である一方で、既存の下界は入力長について線形的であり、その指数的なギャップを埋めることは未解決問題である。本稿では、具体的な関数に対して通信量の上界と下界を与える。下界に関しては、PSMプロトコルを抽象単体複体とみなすことによる組合せ論的手法を提案し、これによって、AND関数、Equality関数、多数決関数、大小比較関数、有限群/環上の積演算に対して、通信量の下界が得られる。特に、3ビットEquality関数、3ビット多数決関数、2ビット入力1ビット出力の任意関数、有限群上の積演算に対しては、最適な通信量のプロトコルを構成または特定できる。

1E1-1

Statistical Model of Multiple Size Transistor SRAM PUF Mismatch Distribution after Hot Carrier Injection for Stability Enhancement ◎徐　舒帆(早稲田大学) 、劉　昆洋(早稲田大学) 、篠原　尋史(早稲田大学): Physically Unclonable Function (PUF) is an emerging hardware fingerprint security technology, which is based on uncontrollable variations introduced in the chip manufacturing process. The generated PUF data can be used for authentication and cryptography. SRAM PUF utilizes the polarity of physical mismatches of transistors in the symmetrical inverters, and the random start-up states in SRAM bitcells are used as PUF data. Under normal circumstances, the mismatch of the bitcells obeys a Gaussian distribution. If the mismatch value of a bitcell is very small, the polarity is easily changed and some bit errors happen. To meet the strict bit error rate (BER) requirement for cryptographic use, hot carrier injection (HCI) is one of the methods to increase the stability of SRAM PUF. It selectively enlarges the threshold voltage (V_TH) of one of the pair transistors to increase the mismatch of the bitcell. Due to the inconsistency of the mismatch shift distribution, the mismatches of some bitcells are still within small values after HCI and needed longer burn-in time to eliminate. This ‘tail’ degrades the stability of SRAM PUF and causes bit errors. This work proposes multiple-size transistor SRAM PUF to reduce the ‘tail’. Statistical model for bitcell mismatch distribution on SRAM PUF after HCI burn-in is created to predict the effect of multiple-size transistor for HCI. Distribution of mismatch shift by HCI was derived as a compound distribution of Poisson distribution (the number of injected hot electrons) and Gamma distribution (the mismatch shift caused by injected electrons). It is combined with the native mismatch of bitcells before HCI, which follows a Gaussian distribution. Mismatch distribution after HCI is established. This mismatch shift distribution model suggests the ‘tail’ can be reduced by increasing average injected electrons λ, because μ/σ of Poisson distribution decreases in proportional to 1/√λ. And a hypothesis is proposed that if the width of a transistor is k times larger, the number of injected electrons becomes k times larger, and the effect of one injected electron is reduced to 1/k. This helps narrow the mismatch shift distribution shape and reduce the ‘tail’. To predict the effect of multiple-size transistor on SRAM PUF stabilized by HCI, the statistical model for mismatch distribution after HCI is applied to normal-size transistor SRAM PUF and multiple-size transistor SRAM PUF. According to statistical model calculation, it is predicted that to achieve the low bit error rate (BER) requirement of within -20mV to 20mV mismatch range, the cumulative possibility is smaller than ?1E?^(-6), normal-size, double-size, and quadruple-size transistor PUF take 46-min, 25-min (0.54x) and 15-min (0.32x) burn-in time, respectively. By using quadruple-size transistor SRAM-PUF, HCI burn-in time is more than 3 times shorter than normal-size transistor.

1E1-2

A 5-Bit-Response Modeling Attack Resistant Strong Physically Unclonable Function ◎劉　昆洋(早稲田大学) 、篠原　尋史(早稲田大学): A Strong PUF for lightweight IoT authentication was designed with a 5-bit response architecture to reduce the CRP consumption and related latency/energy for one authentication. Meanwhile, it realizes improved attack resistance with an obfuscated substitution-permutation network and several innovative techniques. This is proved with 40M CRP-trained modeling attacks, modeling attack stress tests, and close-to-ideal statistical performance.

1E1-3

精度と速度の両面で優れたナノ人工物メトリクス照合方式の探求 ◎岩橋　虎(横浜国立大学) 、吉田　直樹(横浜国立大学) 、松本　勉(横浜国立大学): 人工物メトリクスは，各人工物に固有の特徴を用いて人工物を認証する技術である．製造者の技術的優位性をセキュリティの根拠としている従来の偽造防止技術とは異なり，人工物メトリクスは製造者ですら複製困難な特徴を用いるため，本物の個体と同等の値が測定される別の物体を作成することが極めて困難である「耐クローン性」を有することが期待されている．電子線リソグラフィにおける電子線レジスト・ピラーの倒壊現象を利用したナノメートルオーダのランダムな凹凸構造を白色干渉計によって撮像し認証を行うシステムでは，ZNCC(Zero-means Normalized Cross-Correration)を用いた照合精度実験により，Equal Error Rateが1億分の1より小さくなることが示されている．一方で，ZNCCは人工物の見切れや欠損といった測定エラーに極めて弱く，実用化に向けてそれらにロバストな方式を検討する必要がある．そこで本稿では，測定時のエラーにロバストである位相限定相関法を画像照合システムに適用し，ナノ人工物メトリックシステムの実用化に向けた新たな照合方式の可能性を示す．

1E1-4

安定レスポンスの事前選択手法によるCMOSイメージセンサPUFの信頼性向上 ◎龍野隼人(立命館大学) 、大山達哉(立命館大学) 、関岡悠羽(立命館大学) 、大倉俊介(立命館大学) 、白畑正芳(立命館大学) 、藤野毅(立命館大学): フィジカル空間のIoTデバイスに接続されたセンサが取得した情報をサイバー空間で処理し，その結果を反映するサイバーフィジカルシステムの発展が期待されている．この際にセンサが取得した情報の真正性保証がセキュリティ上の重要な課題となる．我々はCMOSイメージセンサ(CIS)の画素ばらつきを利用したPUF(Physically Unclonable Function)であるCIS-PUFを用いて鍵を生成し，画像情報にメッセージ認証符号を付与することで真正性を保証する手法を提案した．PUFのレスポンスから鍵を生成するには誤り訂正を用いる手法が一般的であり，その小面積実装方法としてReverse Fuzzy Extractor(RFE)が提案されている．一方，CIS-PUFではレスポンスの安定性指標となる画素間の読み出し電位差が取得できるため，CIS-PUFを接続するプロセッサ側にレスポンスの安定性を示す選択情報を事前に登録することで，CIS-PUF上で安定した鍵生成が可能となる．本稿では事前選択手法について提案を行い，RFEを用いた場合よりも低面積で信頼性の高い鍵生成が可能であることを報告する．

1E1-5

物理的複製困難な性質を用いたオンデマンド印刷の真贋判定システム ◎菅井和明(東京理科大学) 、金田北洋(東京理科大学) 、岩村惠市(東京理科大学): 現在のオンラインでの商取引において，食品，ブランド品，医薬品などの模倣しやすい偽造品の流通は，経済面や安全面で深刻な社会問題となっている．この問題に対して，オンデマンドプリンタで印刷された2次元コードの，ミクロスケールでのインクやトナーの配列が，複製困難な性質を利用した真贋判定システムを提案する．提案システムは，スマートフォンで撮影された画像に対して，高速に類似画像の検索を行うLocally Likely Arrangement Hashingと，高精度な特徴量マッチング手法Accelerated-KAZEを組み合わせることで，真贋判定を可能とした．また従来研究ではインクジェットプリンタで印刷された合計15000枚の大規模データセットでの検証を通じて，精度，識別性，速度などの様々な観点から，本システムの高い有効性を示した．そこで本論文では，同様の性質を粉状のトナーを用いて電子写真方式で印刷するレーザープリンタや，液状のトナーを同様に印刷するデジタルオフセット印刷で同条件での検証，インクジェット方式との比較を通じて本システムの産業利用への拡張性を示した．

1E2-1

光論理ゲートによるPRESENTの実装アルゴリズム ○青木和麻呂(文教大学) 、高橋順子(NTT) 、千田浩司(群馬大学) 、星野文学(長崎県立大学): 本稿では、光論理ゲートを用いた共通鍵暗号の実装アルゴリズムを検討する。近年、光信号のまま計算できる光回路の技術が成熟し、電子回路に比べて低遅延、低消費電力となることが期待されている。光回路技術を用いた暗号関連技術の実装もいくつか提案されているものの多くはアナログでの取扱であり、デジタルでの取扱ではない。アナログでの取扱は、どの程度の精度が見込めるかがさまざまな物理的条件により左右され明確ではなく、ちょっとした計算ミスが即座に解読につながる暗号技術一般での利用は難しい。そこで、まず光論理ゲートでの光信号の振舞を数学的に記述する。次に、共通鍵暗号実装に必要な論理回路を実現する光回路用のアルゴリズムを検討する。どの論理回路が必要かどうかについてはISO29192-2標準の軽量暗号PRESENTを具体例として考え、実装アルゴリズムを数学的に検討する。その結果、一旦電気信号に戻す光電変換は1段に1回程度まで削減することが出来た。

1E2-2

光暗号回路の提案とその動作検証 ○高橋順子(NTT社会情報研究所) 、北翔太(NTT物性科学基礎研究所) 、新家昭彦(NTT物性科学基礎研究所) 、青木和麻呂(文教大学) 、千田浩司(群馬大学) 、星野文学(長崎県立大学): 本稿では、光論理ゲートで構成する光暗号回路の実装方式の提案と、提案方式を基に作製した光回路チップの動作検証に関して述べる。近年、通信ネットワークから端末デバイスに至るまで光技術を利用した、低遅延・大容量通信と高速・高機能情報処理を低消費電力で実現する光情報基盤を目指す取組みが行われている。光情報基盤においても安全性確保が重要であり、暗号等のセキュリティ機能も光技術で実現すべきと考えるが、既存研究ではほとんど報告されていない。光技術で暗号が実現できれば、光による配線には抵抗が無いという特長から、低遅延・低消費電力の演算が可能と考える。そこで、光技術で暗号を実現する最初のステップとして、共通鍵暗号の非線形関数を対象に、マッハ・ツェンダー干渉型光スイッチを用いた光電融合型の光回路を提案する。これは、光スイッチの多段接続による入力値の光アドレスへの変換と光配線の組み合わせで演算を行う。提案方式を基に、軽量暗号PRESENTの非線形関数である4ビットS-boxの光回路チップを作製し、正しい動作であることを確認した。これら一連の取組みにより、光技術による共通鍵暗号の暗号関数を初めて具現化したことを示す。

1E2-3

サーバーアプリケーション向け高スループットFPGA剰余乗算器とそのペアリング暗号への応用 ○坂本純一(横浜国立大学/産業技術総合研究所) 、安西陸(横浜国立大学) 、吉田直樹(横浜国立大学) 、松本勉(横浜国立大学): 高機能暗号はデータ駆動社会において表出する様々な課題を解決するものとして期待されている．高機能暗号は楕円曲線上のペアリングと呼ばれる複雑な演算の上に構成されるものが多く，特に剰余乗算が計算量上で支配的な演算である．現代のサイバーフィジカルシステムに高機能暗号を適用することを考えた際，サーバー側には数百万単位のノードから送信された膨大なトランザクションに対する高スループットな暗号処理が要求される．FPGA（Field Programmable Logic Array）実装は暗号処理を高速化するための有望な選択肢の一つである．近年ではAlibaba, Amazonなどのクラウドベンダーがクラウド上でのFPGA利用環境を提供しており，クラウドアプリケーションにFPGAを組み込む下地が整いつつある．本稿では，クラウドサービス上で利用可能な大規模FPGA向けの高スループット剰余乗算アルゴリズムを提案する．また提案した剰余乗算アルゴリズムを利用したペアリング演算回路を実装し，その効率性を評価する．

1E2-4

Study on a Low-cost Privacy Conscious Surveillance System ○Yixuan He(Okayama University) 、Yuta Kodera(Okayama University) 、Takuya Kusaka(Okayama University) 、Yasuyuki Nogami(Okayama University): With the rapid development of IoT technology in recent years, more and more weak terminal devices, like surveillance cameras, have been able to acquire a large amount of private information. The problem of how to store those data securely and with great efficiency is becoming increasingly prominent. To tackle the issue, we devise a low-cost, secure surveillance system with a 4-layer model: device layer, data storage layer, authentication layer, and user layer. The device layer is designed by Yolov5 and DeepSort to detect and track objects. By using identity-based encryption algorithms to solve the authentication problem at the authentication layer. The key features of this system are using AES and secret sharing scheme to realize security data storage at the data storage layer. More precisely, cameras get the detection results and transfer them to the data storage layer. According to the level of privacy they contain, those data are split into four parts and encrypted using four different keys. Utilizing multiple levels of secret sharing scheme to accomplish encryption key management and user access control. As a result of an experiment, the proposal significantly reduced the cost of storage.

1E2-5

回路充足可能性問題へのイジング模型基底状態探索の応用について ○今福健太郎(国立研究開発法人　産業技術総合研究所) 、片下敏宏(国立研究開発法人　産業技術総合研究所): ハードウェアセキュリティの文脈に現れる（i）二つの回路の等価性判定，(ii)ハードウェアトロージャンのトリガーとなる入力の同定，(iii)鍵つき回路の鍵特定，などのいくつかの重要なトピックスと関連する回路充足可能性問題に対し，イジング模型の基底状態探索を適用する手法について概説を行い，その利点や注意点について議論する．

1E3-1

ドイツと欧州における自動車セキュリティ研究 ○Frank Kargl(Ulm University, Germany): In this paper and talk, we will provide an overview over the current research landscape on connected, automated & cooperative driving (CCAM) security and privacy. Starting from an overview over the past 20 years of research on automotive security, we will then discuss the challenges that CCAM provide and outline how subjective trust models can be used to model and analyze security in highly complex automotive CCAM systems-of-systems.

1E3-2

A Policy-driven Architecture for Security Incident Mitigation in Connected Vehicles ○Florian Fenzl(Fraunhofer SIT) 、Felix Gail(Fraunhofer SIT) 、Lukas Jäger(Fraunhofer SIT) 、Christian Plappert(Fraunhofer SIT) 、Roland Rieke(Fraunhofer SIT) 、Hussein Joumaa(Huawei) 、Ali Hariri(Huawei): With vehicle networks increasing more and more in complexity to enable more advanced features, such as autonomous driving, their cyberattack surface increases. In order to mitigate up- coming cyberattacks, more sophisticated and adaptable security approaches are required. Especially critical is the secure implementation of usage control systems within automotive networks since the in- creased communication with external entities provides attackers with new ways to infiltrate the vehicle network. Modern standard access management systems have difficulty dynamically adapting to new situations or responding to potential attacks. To improve security and adaptability of usage control systems, we propose means to integrate additional in-vehicle security measurement and verification mechanisms, e.g., based on an Intrusion Detection System or Hardware Trust Anchors like Trusted Platform Modules, with our policy driven usage control system. This allows us to incorporate runtime and boot-time security incidents into our policy decisions. In addition, we discuss the described system using some application scenarios for intrusions as an example.

1E3-3

Using TARA artefacts to generate and optimize test-suits ◎Anderson Ramon Ferraz de Lucena(DENSO automotive Deutschland gmbh) 、Markus Hoffmann(Freie Universitat Berlin) 、Florian Sommer(Karlsruhe University of Applied Sciences): As interconnected systems are exposed to attacks by nature, the security of those systems plays a big role in their development process. To mitigate those threats controls are chosen to lessen the feasibility of an attacker to trigger a threat scenario. To ensure the controls work as intended the systems should be tested. Creating tests by hand is work intensive and prone to overlook the overall coverage of the system. Therefore, we propose an automated way of creating generic testcases and also a way of checking the overall coverage of the security requirements. This enables the possibility to ensure that a system is well-tested with less afford then when testcases are created manually.

1E3-4

スマート交通信号システムにおけるプライバシーへの影響 ◎Artur Hermann(Ulm University) 、Michael Wolf(Ulm University) 、Ines Ben Jemaa(IRT SystemX) 、Anis Bkakria(IRT SystemX) 、Nataša Trkulja(Ulm University) 、Frank Kargl(Ulm University): Smart traffic lights systems (STLSs) are a promising approach to improve efficiency and safety at intersections. They rely on the information in the cooperative awareness messages (CAMs) sent by vehicles at the intersection which they are managing. Much work has been done on developing privacy mechanisms for STLSs given that they collect user data which allows for physical tracking of users. However, privacy mechanisms are also known to have an impact on the performance of STLSs. This paper analyzes the extent to which different privacy mechanisms affect the performance of two types STLS, phase-based and reservation-based STLS. It does this by first implementing the STLSs in SUMO and then running multiple simulations with various traffic scenarios. Time loss, waiting time, fuel consumption, and average velocity are the performance metrics that were analyzed. The analysis shows that the impact of privacy mechanisms on performance varies greatly depending on the STLS type. Finally, a hybrid STLS that is a combination of the two STLS types was proposed as potential solution for limiting the impact of privacy mechanisms.

1E3-5

自動車向けCAPECの検討と脅威シナリオ特定への活用 ○小野華(株式会社アイシン) 、倉地亮(名古屋大学) 、土居元紀(株式会社アイシン) 、岩原主(株式会社アイシン) 、前田和輝(株式会社アイシン) 、渡邊謙一郎(株式会社アイシン): 近年，世界での環境規制への高まりやユーザニーズの多様化等により，自動車を取り巻く環境が大きく変化してきている．これらの変化は，車両E/Eアーキテクチャレベルにも派生し，採用される通信規格にも変化が生じてきている．そういった中で，自動車やその製品部品を対象としたサイバーセキュリティ上の脅威も変化・拡大していると言えるだろう．自動車による安全・安心な移動を保証していくために，それらの新たな脅威を想定した製品開発が求められる．セキュリティ対策の導出に当たっては, 脅威分析における脅威シナリオ特定プロセスが重要となる。このプロセスでは，ISO/SAE 21434に記載の通り，ガイドワードであるSTRIDEがしばしば用いられるが，知見の限られた対象へ適用する際には，具体的な攻撃手法の想定が難しいといった課題がある．そこで，本研究では，このガイドワードに，IT機器などに対する脅威情報である CAPECの攻撃手法の情報を組み合わせた改良手法を提案する．また，この提案手法を車載Ethernet通信，Bluetooth通信を仮定したシステムに適用し，検証する．脅威シナリオの特定件数の増加や，シナリオの具体性向上といった結果から，本提案手法の有用性を示す．

1F1-1

エッジデバイスにおける連合学習に対して差分プライバシーを導入した際のメンバーシップ推論攻撃の評価 ◎上田澪(立命館大学) 、中井綱人(三菱電機株式会社情報技術総合研究所) 、吉田康太(立命館大学) 、藤野毅(立命館大学): プライバシー保護の観点から深層学習モデルの訓練に用いる学習データをサーバに集約するリスクが懸念されている．連合学習は学習データを持つエッジデバイス内でモデルの学習を行い，それらのパラメータのみをサーバで集約する手法である．そのため，連合学習はプライバシーの侵害リスクを軽減する手法として期待されている．しかし，連合学習を用いたとしてもプライバシー漏洩のリスクは残り，例えばメンバーシップ推論攻撃を行うことが可能である．この攻撃は，あるデータが標的モデルの学習に使用されたか否かを推定する攻撃である．この攻撃の緩和策として，差分プライバシーの導入が提案されている．差分プライバシーではモデルパラメータに対して一定のノイズを付加するが，その具体的な量と攻撃成功率の関係に関する定量的な報告は少ない．付加するノイズ量によって保護されるプライバシー情報とモデルの精度はトレードオフの関係にあるため，本稿では実際にメンバーシップ推論攻撃を用いてこの関係性を評価する．またエッジデバイスで学習する場合，計算リソースの節約を目的として半精度浮動小数点演算を使用することが多く，この条件においても評価を行った．

1F1-2

潜在空間のノイズから様々なパターンの敵対的サンプルを生成するAdvGANの検討 ◎野久雅人(立命館大学) 、吉田康太(立命館大学) 、藤野毅(立命館大学): 深層ニューラルネットワーク（DNN）に対する悪意ある攻撃の１つとして，敵対的サンプル（AEs）があり，DNN への入力画像に対して人間の知覚に影響しない程度の微小な摂動を加算することで意図的に推論結果を誤らせることができる．AEsを生成する手法として，敵対的生成ネットワーク(GAN)を用いたAdvGAN が提案されている．AdvGANは出力の確信度の入力画素の微小な摂動に対する勾配を逐次計算するPGDなどの手法と比較すると，AEsの生成を高速に行うことができ，ブラックボックス攻撃が可能であるなどの利点もある．ただし，1枚の画像に対して1種類の摂動を計算するよう構成されているため，出力したAEsが誤った推定結果を誘発できない場合がある．本稿では，1枚の画像に対して同じ摂動量で複数種類の摂動を生成する手法を提案する． AdvGANの構成を一部変更して，生成器の潜在変数に乱数を付加し，この乱数ごとに異なる摂動が生成されるような制約項をAdvGANの誤差関数に追加した．カラー画像分類タスクであるCIFAR-10に提案手法を適用したところ，生成したAEsが推定結果を誘発できない場合でも，同じ摂動量の制約下で異なる乱数を付与して生成した異なるAEsは誤動作を誘発できることが確認できた．

1F1-3

MIPIへのフォルト攻撃で生成されるAdversarial Examplesのロバスト性向上 ◎大山達哉(立命館大学) 、吉田康太(立命館大学) 、大倉俊介(立命館大学) 、藤野毅(立命館大学): DNN への攻撃として，画像に摂動を加えることで誤分類を引き起こす Adversarial Examples (AEs) が提案されている．AEsを実際に生成するには，撮影物へのステッカー等の添付で摂動を加える手法が一般的である．我々は，イメージセンサインターフェースである MIPI(Mobile Industry Processor Interface)へのフォルト攻撃による摂動付加で AEs を生成した．これまで，特定の1枚の画像に対して改ざん位置を計算してフォルト攻撃によるAEsを生成したが，画像の位置や角度が変化すると誤認識に失敗してしまう．本稿では，より現実的なシナリオとして画像の角度や位置が変化しても誤認識するロバストなAEsを生成した．一般的なロバストなAEsの計算手法のRP2では，複数の画像のLossの平均が小さくなるように摂動を更新するが，単純にその手法を用いると摂動量が増加する問題があった．そこで，より少ない改ざんで計算する手法を提案する．結果，フォルト攻撃によって生成されるAEsのロバスト性を向上でき，さらに，既存手法より改ざん量を少なくすることができた．

1F1-4

深層ニューラルネットワークを用いたグレースケール画像分類器に対するフラクタル画像をクエリするモデル抽出攻撃と考察 ◎吉田康太(立命館大学) 、藤野毅(立命館大学): モデル抽出攻撃は深層学習システムに対する脅威の1つである．クラウドサーバを用いた画像分類サービスを考えると，攻撃者はサーバ上の深層学習モデルに対する画像のクエリとレスポンスのペアを収集し，これらを用いて代替モデルを訓練する．攻撃者の目的は代替モデルがサーバ上のモデルと同等の分類精度を達成することである．これまでの先行研究ではクエリ画像の収集にかかるコストと必要なクエリ回数はトレードオフの関係にあり，より少ないクエリ数で高い精度の代替モデルを訓練できるような画像収集・生成手法に焦点が当てられてきた．本稿ではフラクタル幾何に基づいて数式から生成される画像をクエリするモデル抽出攻撃を評価する．クエリ画像は数式から生成されるため，画像収集コストは無視できる．また，フラクタル画像は自然画像のもつ特徴をよく表現することができるため，クエリ効率の改善が期待される．基礎検討としてグレースケール画像分類タスクを対象とした実験を行った結果，既存の生成画像を用いる攻撃に対して高いクエリ効率を持つことが示された．また，フラクタル画像がどのようにモデルから知識を抽出しているかについて実験的考察を行う．

1F1-5

モデル集約を用いた自己蒸留によるメンバーシップ推論攻撃の防御手法 ○中井綱人(三菱電機株式会社) 、吉田康太(立命館大学) 、藤野毅(立命館大学): メンバーシップ推論攻撃は，機械学習において，学習モデルからのプライバシー漏えいリスクを評価するための重要な尺度である．本発表では，メンバーシップ推論攻撃を緩和することを目的に，モデル集約を用いた自己蒸留による新たな防御手法を提案する．提案手法の特徴は，訓練データをいくつかに分割し，各データで訓練した学習モデルを，いくつかの組にモデル集約(学習モデルの加算平均)することにある．そして，集約した学習モデルと集約前の訓練で用いていない分割データで自己蒸留を行い，最終的な学習モデルを生成する．提案手法の直観的な効果は，連合学習で用いられるようなモデル集約により，学習モデルの精度を維持しつつ，学習モデルに含む訓練データの情報を複数の学習モデル間で平滑化することで，学習モデルにおける訓練データへの過剰適合を抑えることができる．提案手法は，主要なベンチマークデータ(Purchase100, Texas100, CIFAR100)を用いて実験し，(経験的）メンバーシッププライバシーと実用性(学習モデルの精度)の観点で，最新の防御手法と比べて，優れていることを示す．また，既存の防御手法より，モデル集約を活用することで，追加で必要な計算コストが小さいことも示す．

1F2-1

転移学習モデルに対するモデル抽出攻撃の脅威検討 ◎小松みさき(株式会社東芝) 、花谷嘉一(株式会社東芝): モデル抽出攻撃は、任意のデータとそれらをターゲットとする学習済みのモデルに問い合わせた結果を利用して、そのモデルの機能を模倣したモデルを作成する攻撃である。ターゲットモデルとの振る舞いの近さを示す忠実度が高いモデルを獲得できた場合、敵対的サンプルの作成やモデル反転攻撃へ流用できることが知られている。一方、画像識別分野では学習済みのモデルを用いた転移学習によるモデルの学習が主流になりつつある。転移学習モデルがモデル抽出攻撃のターゲットとなった場合、学習に関する情報が事前情報として攻撃者に与えられると、高い推論精度のモデルを獲得できることがHonggangらによって報告されているが、忠実度については評価されていない。本稿は、OSSを利用した転移学習で作成した画像分類タスクを行うモデルをターゲットとし、機械学習に関する知識を十分に持つ攻撃者によるモデル抽出攻撃を実施した。結果、転移学習に用いた学習済みモデルの情報を持たない攻撃者は10000回の問合せでも達成できる忠実度は20%程度にとどまるが、事前情報を持つ攻撃者は、1000回の問合せでも忠実度が70%を超えるモデルが獲得できることを確認した。

1F2-2

敵対的攻撃に対して頑健かつ軽量な深層学習モデルの自動探索 ◎小野　悠真(東京工業大学) 、Paniti Archararit(Princess Srisavangavadhana College of Medicine, Chulabhorn Royal Academy) 、原　祐子(東京工業大学): 近年，計算資源の少ないエッジデバイス上に軽量な深層学習モデルを搭載する需要が増加している．しかし深層学習モデルでは，入力データに意図的に摂動を加えることで，モデルに誤作動を引き起こさせる敵対的サンプルが作成できることを利用した敵対的攻撃に脆弱であることが問題となっている．この敵対的攻撃に対し最も頑健とされる防御手法は，摂動のないクリーンなデータと敵対的サンプルを混ぜて学習を行う敵対的学習であるが，パラメータ数の少ない軽量な深層学習モデルに対しては効果が低いことが報告されており，軽量な深層学習モデルに向けた新たな防御手法の確立は急務である．本研究では，多くのパラメータで定義された膨大な探索空間から，軽量かつ性能の良い深層学習モデルを自動で探索するEfficient Neural Architecture Searchを敵対的攻撃からの防御に拡張する手法を提案する．提案手法は，敵対的学習を行ったスーパーネットから敵対的攻撃に対して頑健かつ軽量なモデルな探索を可能にする．本実験では，提案手法によって，軽量性と敵対的攻撃に対する頑健性を両立した性能の良い深層学習モデルを探索できることを示す．

1F2-3

データ拡張を用いたGNNに対するバックドア攻撃 ◎屋敷真吾(豊橋技術科学大学) 、高橋茶子(山形大学) 、鈴木幸太郎(豊橋技術科学大学): Graph Neural Network (GNN) はグラフ構造データを扱うことのできるニューラルネットワークであり、多様な分野のグラフデータタスクにおいて高い性能を発揮している。その一方、GNNなどの多くの機械学習モデルが敵対的攻撃に対して脆弱であることが報告されている。中でもバックドア攻撃は、訓練データを汚染することで、特定の入力データを攻撃者が指定するクラスに誤分類させる攻撃である。GNNはバックドア攻撃に対して脆弱であることが報告されており、実用における大きな問題となっている。本研究では、データ拡張を用いて拡張されたグラフデータセットを用いて学習するGNNに対するバックドア攻撃に着目する。GNNの過学習や過平滑化を防ぐためのデータ拡張法はいくつか提案されているものの、そのような状況におけるバックドア攻撃の影響については調べられていない。グラフ分類を行うGNNに対するバックドア攻撃の影響を数値的に調べた結果、データ拡張を用いて学習したGNNはバックドア攻撃に対して脆弱であり、データ拡張を行わない場合に比べてバックドア攻撃により脆弱になってしまう場合があることを報告する。

1F2-4

バックドア支援型メンバーシップ推定攻撃 ◎後藤　勇芽輝(大阪大学) 、芦澤　奈実(NTT) 、芝原　俊樹(NTT) 、矢内　直人(大阪大学): 公開されている機械学習モデルに対して攻撃者が一定の特徴のあるデータを提供することで,モデル内の学習データについて情報が漏洩されることが近年に示された. 本稿では, 被害者モデルに対してトリガと呼ばれる特定の入力を通じて攻撃者が意図した出力を得るバックドア攻撃の後に, あるデータが訓練データに含まれていたか判別するメンバーシップ推定攻撃を用いることで, バックドア攻撃とメンバーシップ推定攻撃の関係を実験的に調査する. 具体的には, 検知耐性のない標的型バックドア攻撃と検知耐性のある非標的型バックドア攻撃をそれぞれ用いることで, どのようなバックドア攻撃がメンバーシップ推定攻撃を容易にするか明らかにする.

1F2-5

自律システムに対して有効な遠隔敵対的パッチ攻撃の基礎検討 ◎大西健斗(三菱電機株式会社) 、中井綱人(三菱電機株式会社): 本発表では，物体検知技術を利用した自律システムに対し，遠隔敵対的patchの生成方法の提案を行う．AIを利用した自律システムは，今後の社会発展にとって極めて重要な技術である．自律システムでは，その機能要件を満たすために様々な機能をAIで代替する必要がある．その中でも，特に，畳み込みニューラルネットワーク(CNN)を利用した物体検知技術は極めて重要である．しかし，CNNに対する強大な脅威の一つとして，敵対的な特徴を持つpatchを利用した攻撃方法がある．現実的な攻撃状況として，対象物の外側に配置された遠隔敵対的patchは，自律システムの物体検知を欺瞞しうる．しかし，自動運転のように，画像を取得するカメラが移動し，遠隔敵対的patchとの距離が変化する場合，遠隔敵対的patchの配置が変化し，効果が薄くなることが予想される．本発表では，以上の課題を踏まえ，自動運転技術に対する遠隔敵対的patchの生成方法を提案する．特に，自動運転シミュレータにおいて，生成された遠隔敵対的patchが自動運転技術への脅威となりうることを示す．

1F3-1

勾配ブースティング決定木モデルに対するバックドアポイズニングを利用した属性推定攻撃 ◎伊東邦大(日本電気株式会社) 、エンケタイワンバトニヤマ(日本電気株式会社) 、寺西勇(日本電気株式会社) 、佐久間淳(筑波大学): 近年、医療、金融、保険など幅広い分野において機械学習モデルを利用したデータマイニングが盛んに行われており、データを保有する複数の参加者が協働してAIモデルを訓練する連合学習の実用化も進んでいる。各参加者の保有するデータは、その秘密性を守るため、連合学習設定であっても他の参加者に共有されない。一方で、機械学習モデルのふるまいを巧妙に観察することで訓練に用いられたデータの情報を推測する脅威も報告されている。その典型例が属性推定攻撃であり、特に連合学習設定においては、攻撃者が訓練中のモデルにポイズニングと呼ばれる悪意的操作を実行することで属性推定を容易化できることも、肥田野らによって報告されている。本稿は、連合学習設定の勾配ブースティング決定木に対して、悪意にふるまう参加者の攻撃リスクを検討する初めての研究であり、肥田野らの論文では取り扱われていなかった連合学習設定の勾配ブースティング決定木モデルに対して、葉ノードの重みを操作するバックドアポイズニングに基づく属性推定攻撃を提案する。また攻撃成功の必要条件をある仮定の下で解析し、その仮定を緩めたときにおける攻撃成功も実験で検証する。

1F3-2

入力データの復元情報をAIの出力結果に埋め込めるか？ ◎岩花一輝(NTT社会情報研究所) 、税所修(NTT社会情報研究所) 、三浦尭之(NTT社会情報研究所) 、伊東燦(NTT社会情報研究所): AIサービスにおいて利用者データのプライバシを考慮しながら推論処理を行う需要が高まっている。その中でモデルの出力結果を用いたサービス提供者によるプライバシ攻撃が可能であり、従来の研究では出力結果から利用者データのセンシティブ属性のみを推論していた。本稿では出力結果から利用者データそのものを復元できる攻撃が存在することを示す。サービス提供者は推論精度を維持しつつ出力結果に利用者データの復元情報を埋め込むように推論モデルを訓練させる。同時に復元情報が埋め込まれた出力結果から利用者データと近しいデータを出力するように攻撃用モデルも訓練させる。複雑さが異なる6つの画像データセットの実験評価を通じて、複雑さに応じて復元度合いが異なることを確認し、画像の類似度指標LPIPSを用いて最小0.04で復元できることを確認した。一方で、推論精度は通常の学習時と同等程度維持されることも確認した。

1F3-3

敵対的生成ネットワークによって生成されたシンセティックメディア識別のための画像処理解析の検討 ◎浦　晃暢(岡山大学) 、栗林　稔(岡山大学) 、舩曵　信生(岡山大学): AIを構成する要素技術である深層学習技術の発展に伴い，ディープフェイクと呼ばれ人工的に想像された画像や動画が問題となっている．非常に高品質であり，人の視聴覚では偽物と見抜くことが極めて難しいことから，SNS上でのいじめや名誉棄損，脅迫，詐欺などの犯罪行為に利用される恐れが高まっている．このようなフェイクコンテンツの作成技術の一つとして，StyleGANによって生成されたフェイク画像と通常の画像を識別することを目的とする．画像識別器であるResNetをファインチューニングしたモデルを拡張する形で，識別性能の向上に効果的な画像処理を提案手法では検討した．分割した画像ブロックに重みを与える手法，画像の色空間を変換する手法，ハイパスフィルタを用いて画像の信号エネルギーが集中する低周波成分を除去する手法の3手法を提案し，それらの効果的な組み合わせ手法を含めて計算機シミュレーションにて，通常画像とフェイク画像の判別精度を評価した．

1F3-4

Stateful Detectionに対するラベルのみメンバーシップ推定攻撃 ◎鈴木健太(茨城大学) 、米山一樹(茨城大学): ACM CCS2021において、LiとZhangは機械学習モデルの出力がラベルのみの場合に訓練データについてのメンバーシップ推定を行うBoundary attackを提案した。 Boundary attackは、判定用のしきい値の決定とメンバーシップ推定にAE (Adversarial Examples)生成手法を内部で用いるが、各サンプルについて大量のクエリを行うため、実行時間の観点で攻撃効率に問題がある。また、AE生成のための連続したクエリを不正として検知するstateful detectionがモデルの防御として用いられている場合、このような大量のクエリを行うことは困難である。本研究では、stateful detectionにより防御されたモデルに対するメンバーシップ推定攻撃の有効性を評価する。まず、Boundary attack内のAE生成手法に対して、stateful detectionによって高い確率で検知できるクエリ回数を実験により明らかにする。次に、上記のクエリ回数未満に制限した場合のBoundary attackのAccuracyと実行時間を示す。さらに、攻撃効率を上げるため、AE生成手法を用いずにしきい値決定する新たなメンバーシップ推定攻撃を提案し、同様にクエリ制限下でのAccuracyと実行時間を評価する。結論として、Boundary attackと提案攻撃はクエリ制限下においてもベースとなるGap attackよりも高いAccuracyを達成できること、提案攻撃はBoundary attackよりも攻撃効率がよいことを示す。

1F3-5

毒を含んだ学習データセットを用いた顔認証システムへの攻撃 ○伊藤康一(東北大学) 、三浦幹太(東北大学) 、渡邉浩太(東北大学) 、青木孝文(東北大学) 、大木哲史(静岡大学): 深層学習の爆発的な進展に伴って画像認識などの性能が大幅に向上した．顔認証においても，畳み込みニューラルネットワークを用いることで，大幅に性能が向上し，顔認証システムの実用化が大きく進んだ．一方で，なりすまし攻撃に代表される顔認証システムへの攻撃が問題となっている．Adversarial Exampleなどの手法では，画像に何らかの変動を加えることで深層学習モデルを誤認識させる．そのため，加工された画像を人間が見ると違和感がある場合がある．例えば，人間が見てもわからない違いを学習データに含めることができれば，その学習データを使ってモデルを学習してしまう可能性がある．そこで，本論文では，顔画像にメガネフレームを合成するRandGlassを用いて学習データに誤りを含めることで，なりすまし攻撃の検知精度を低下させることができるかを実験的に調査し，学習データの正当性を保障することの重要性を示す．

2A1-1

新たなNP困難な Morphism of Polynomials 問題に基づいた本人確認方式 ◎横田　明卓(電気通信大学) 、竹牟禮　薫(電気通信大学, 産業技術総合研究所) 、Bagus Santoso(電気通信大学): 多変数２次多項式MQに基づいた計算問題を効率的に解く一般的な量子アルゴリズムは知られておらず，MQは耐量子暗号（Post Quantum Cryptography (PQC))における様々な方式を構成する基礎となる計算問題の候補となっている．1996年にPatarinによってMQに基づいた計算問題であるMorphism of Polynomials (MP) 問題が提案され，同論文でMP問題はNP困難であることが証明された．MP問題は，本質的には与えられた2つのMQ間の写像(s,t)を求める問題である．写像(s,t)が全単射に制限するとMP問題はNP困難性が失うと証明されており，この場合については，すでに方式構成と攻撃の両観点から研究が進んでいる．一方，NP困難性が失われないMP問題については大きな研究の進展はない．

2A1-2

QC-MDPC符号に基づくMcEliece暗号系に対するADMM復号法について ○渡辺　宏太郎(防衛大学校　情報工学科) 、大塚　志成(防衛大学校　情報工学科) 、月江　悠太(防衛大学校　情報工学科): QC-MDPC符号に基づく暗号システムは，NISTの耐量子計算機暗号標準化において代替候補として評価が続いている．しかしながら，復号に用いられるbit-flipping復号法およびその改良法は最適化に基づく復号法ではないため，非常に高速ではあるものの，復号性能には改善の余地が残っているように思われる．復号誤り率を改善することは，復号誤り率の情報を用いた攻撃法（GJS攻撃）が存在するという理由から，システムの安全上重要である．本講演では，近年最適化法の分野で発展しているADMM法（交互方向乗数法）を適用した結果について報告する．

2A1-3

空間計算量を考慮したM4GBアルゴリズム ◎伊藤琢真(情報通信研究機構) 、篠原直行(情報通信研究機構) 、内山成憲(東京都立大学): 多変数公開鍵暗号の安全性評価において, 連立二次多変数代数方程式の解を見つける問題(MQ問題)は重要な研究課題である. Groebner基底を計算するアルゴリズムはMQ問題を解くツールとしてよく利用され, そのようなアルゴリズムの中で計算効率が良いものとしてM4GBアルゴリズムが知られている. M4GBでは計算途中に現われる多項式をtail-reducedと呼ばれる扱いやすい多項式に変換して保存しておき, それらを利用することで計算効率を上げていると言われている. その一方で格納する多項式が多くなるほど計算に必要なメモリは増大する. 本稿ではM4GBアルゴリズムでMQ問題を解く際に, なるべく計算効率を低下させずに格納する多項式を減らす方法を提案し, それによる数値実験の結果と考察について述べる.

2A1-4

Towards a Fine-grained Analysis of the Syndrome Decoding Problem: An implementation and comparison of modern ISD algorithms ○Mohamed Abdelmonem(KDDI Research Inc) 、Shintaro Narisada(KDDI Research Inc) 、Kazuhide Fukushima(KDDI Research Inc): Code-based cryptography is one of the most promising candidates for public-key cryptosystems in the post-Quantum era. Originally, linear codes were used in signal processing, but as they are thought to be secure against a cryptanalytic attack by quantum computers, they have received a lot of attention recently and became one of the finalists of the NIST Post-Quantum Cryptography standardization process. The Syndrome Decoding problem (SDP) is proven to be NP-complete, and the best-known solvers are constructed from Information Set Decoding (ISD), which offer, with required parameters, a cryptographically hard problem. Many authors have studied the selection of these parameters on classical ISD algorithms and developed improved algorithms based on an estimation of their theoretical performance. We implemented these algorithms in Python to assess the practical hardness of these algorithms by solving several instances of the SDP and provide a comparison of our results with the theoretical results proposed by other authors.

2A2-1

Kyberの耐量子計算機匿名性（概要版） Varun Maram(ETH Zurich) 、○草川　恵太(NTT社会情報研究所): Grubbs, Maram, Paterson (EUROCRYPT 2022) は、KyberやSaberで採用されている藤崎岡本変換の変種について、量子ランダムオラクルモデルにおけるIND-CCA安全性の証明がなされていないことを指摘した。BernsteinによりZhandryの量子ランダムオラクルの量子識別不可能性を用いると証明が通るだろうと指摘されたが、具体的なバウンドは分かっていない。著者らはCSS 2022でKyberの量子ランダムオラクルモデルにおけるIND-CCA安全性を別の手法を用いて証明し、具体的な不等式を与えた。本稿では、同様の証明がKyberの強擬似ランダム性にも適用できることを示し、Kyberの匿名性を示す。またKyberの強スムース性（草川（EUROCRYPT 2022））を示し、適切な共通鍵暗号と組み合わせた場合の強擬似ランダム性および匿名性を示す。

2A2-2

Generating Falcon Trapdoors via Gibbs Sampler ◎Chao Sun(Kyoto University) 、Thomas Espitau(NTT Social Informatics Laboratories) 、Mehdi Tibouchi(NTT Social Informatics Laboratories, Kyoto University) 、Masayuki Abe(NTT Social Informatics Laboratories, Kyoto University): Falcon is one of the NIST standardization candidates for post-quantum signature schemes. The trapdoor generation of Falcon, essentially amounts to the problem of generating two polynomials $f,g$ that satisfy certain conditions to reach a quality parameter $\alpha$ as small as possible, because when $\alpha$ is smaller, it becomes harder to do signature forgery (thus having higher security level) and the signature becomes shorter. The original approach to sample Falcon trapdoors, proposed by Ducas, Lyubashevsky and Prest (Asiacrypt 2014), is based on rejection sampling, i.e, generating $f, g$ with small coefficients and testing whether they satisfy the condition or not (if not, then repeat). In practice, $\alpha$ is chosen as 1.17, mainly because it is the smallest one to keep a mild number of repetitions. In this paper, we propose a new approach to generate Falcon trapdoors using Gibbs sampler. From a high level point of view, the idea is that we start from a random point within the space that satisfies the desired quality and do random walks in that space. One interesting feature of this approach is that we can reach $\alpha$ arbitrarily close to 1 fairly efficiently. By comparison, reaching a quality parameter $\alpha = 1.1$ with rejection sampling requires millions of repetitions. As a result, by reaching smaller $\alpha$ and some other optimization techniques, we are able to increase a few bits of security for Falcon-512, reaching a standard NIST level one security. Besides, our approach removes the use of discrete Gaussian sampling, which is non-trivial to implement correctly. Actually, our approach only requires a uniform sampler over an interval.

2A2-3

耐量子計算機署名ModFalconの拡張命令セットAVXによる実装評価 ◎福原大毅(東京都立大学) 、高橋雄人(東京都立大学) 、山村和輝(NTT社会情報研究所) 、齋藤恆和(NTT社会情報研究所) 、横山俊一(東京都立大学): 耐量子計算機署名としてChuengsatiansupらによってModFalconが提案されている．ModFalconは，現在標準化が進められているFalconをベースとしており，module格子を組み込むことで，署名サイズを小さくすることができる．SCIS2022における先行研究では演算回数が多い多項式乗算に着目し，Toom-Cook法やRadix4 FFT法を組み込むことで高速化に成功した．本稿では環境を限定した実装に着目し，NISTのコンペティションで速度評価がなされているCortexM4実装評価，AVX実装評価，FPGA実装評価等の中でAVXを用いた実装の速度評価を行った．

2A2-4

Radix-4 NTTを適用したCRYSTALS-DilithiumのTLS通信における性能評価 ◎畑山海羽斗(岡山大学) 、杉本博英(株式会社日本総合研究所) 、高橋裕人(株式会社日本総合研究所) 、吉本慶次(株式会社日本総合研究所) 、長田繁幸(株式会社日本総合研究所) 、中川直樹(株式会社日本総合研究所) 、野上保之(岡山大学) 、小寺雄太(岡山大学): 近年、量子計算機の研究が進み、様々な分野での活用が期待される一方で、RSA暗号や楕円曲線暗号などの既存の暗号化技術が危殆化すると予測されている。そのため、量子計算機に対して耐性を持った耐量子暗号の研究が盛んにおこなわれている。本研究の対象であるCRYSTALS-Dilithiumは、NISTにより進められている耐量子暗号の標準化プロジェクトにおいて、先行して標準化候補に選定された４つのアルゴリズムの内の一つである。CRYSTALS-Dilithiumは格子問題の困難性に基づいたデジタル署名アルゴリズムであり、その処理の中では多くの多項式乗算が行われている。この多項式乗算の高速化手法の一つとして数論変換（NTT）がある。本研究では、効率化手法の一つであるRadix-4 NTTをCRYSTALS-Dilithiumに対して実装した。TLS通信環境での性能評価の結果からCRYSTALS-Dilithiumのベースの実装であるRadix-2 NTTよりも効率化を実現できることが確認できた。

2A3-1

短いバッチ型証明に基づく選択暗号文攻撃に対し安全性な公開鍵暗号の構成 ○松田　隆宏(産業技術総合研究所): 本稿では、選択暗号文攻撃に対して安全(CCA安全)な公開鍵暗号につながる一般的な暗号要素技術の仮定を新たに明らかにする。具体的には、選択平文攻撃に対して安全(CPA安全)な公開鍵暗号と証明サイズが短いバッチ型証明(BARG)を用いてCCA安全な公開鍵暗号方式を構成できることを示す。

2A3-2

乱数を混合した部分的にトラップドアを有する数列を用いた高密度ナップザック暗号の提案 ◎佐藤　南(大阪電気通信大学) 、村上　恭通(大阪電気通信大学): 多くの公開鍵暗号は量子コンピュータにより解読されることが証明されている．NP困難である部分和問題を利用するナップサック暗号は，耐量子暗号の一つとして期待されている．ナップザック暗号の主なトラップドアに超増加数列(SI:Super-Increasing)と奇数シフト数列(SO:Shifted-Odd)がある．これらの数列を単体で用いた暗号は，公開鍵から秘密鍵を求める攻撃法(CSK)が示されている．村上らは，SOとSIについてトラップドアを有する部分を半数にした数列（1/2トラップドア数列）を組み合わせたSOSI数列を提案した．筆者らは，SOSI数列の生成法を繰り上がりを防ぐように改良することで，高密度になる手法を提案した．これらの数列を用いたナップザック暗号に対してCSKはまだ知られていない．情報伝送速度を犠牲にし，部分的にトラップドアを有するSOSI数列の設計手法を利用すれば，より高密度な方式を実現することができる．また，CSKを防ぐには乱数を付加すればよい．本研究では，部分的にトラップドアを有する数列に乱数列を付加することにより，1を越える密度を実現可能なナップザック暗号を提案する．

2A3-3

Notes on the Strength of Finsler Encryption ○永野　哲也(長崎県立大学) 、穴田　啓晃(青森大学): Finsler encryption scheme was proposed at CSS2019, SCIS2020 and SECITC2020, and has been studied with improvements (CSEC95 and SCIS2022). In this paper, the strength of Finsler encryption is presented in detail, the ideas of which was introduced at CRISMATH2022. One of the improvements is to increase the number of parameters of the public key. When a public key has $n+2$ parameters where the Finsler space is of dimension $n$, new $(n+1)k$ parameters are introduced, where $k(\geq n)$ is a natural number. This means that, in the simultaneous algebraic equations derived from a public key and a ciphertext, the number of unknown variables are larger than the number of equations. The other point of our argument is that the number of elements of a secret key is increasing as depending on the dimension of Finsler space. The decryption uses simultaneous linear equations and energy equation as the norm of a vector from owing to special structure of Finsler space. The simultaneous linear equations are derived from $n^2 + n+ 1$ parameters, and the energy equation has $n + {}_n C_2$ parameters. As a result, the length of a secret key depends on the number of dimension.

2A3-4

Non-Committing暗号と紛失サンプル可能暗号の双対性 ○吉田雄祐(東京工業大学) 、田中圭介(東京工業大学): We revisit two security notions for public-key encryption (PKE): non-committing (NC) encryption and obliviously sampleability (OS). NC-PKE is the main tool to realize the secure message transmission functionality in adaptively secure multi-party computation. OS-PKE is a building block for various cryptographic primitives, including NC-PKE. In this work, we propose a normal form of definitions for OS-PKE and NC-PKE, which focus on the randomness used in the algorithms. Then we observe that the normal form of NC and OS are in a dual relation; not only do they have similar security definitions but also there exists an interconversion that transforms OS to NC and NC to OS. We also show that OS-PKE can be transformed into pseudorandom (PR) PKE, the simplest representative of OS-PKE. In summary, we previously knew that PR implies OS and OS implies NC, but actually, they are existentially equivalent under the normal form.

2A4-1

PQScale: A post-quantum signature aggregation algorithm Jen-Hsuan Hsiang(BTQ AG) 、Shiuan Fu(BTQ AG) 、Po-Chun Kuo(BTQ AG) 、○Chen-Mou Cheng(BTQ AG): In July 2022, NIST announced to standardize three post-quantum digital signature algorithms: CRYSTALS?Dilithium, FALCON, and SPHINCS+. Blockchain security is especially threatened by quantum computing, and all chains will need to transition to post-quantum cryptographic (PQC) standards just as they initially embraced classical standards. Unfortunately, this opens up a new problem, namely, PQC algorithms tend to be much more expensive than their classical counterparts in terms of size. This is particularly problematic for blockchains where each full node keeps an entire record of all activities on the blockchain. If Bitcoin and Ethereum were to adopt the newly standardized PQC algorithms today, the size of both chains would explode. Even with the most space-efficient FALCON algorithm, public keys and digital signatures would consume 21.2x and 24.3x more space in Bitcoin and Ethereum, with the size of their respective ledgers increasing by 2.2x and 2.22x. These performance issues have widespread implications, affecting transaction speed, gas prices, and perhaps even the decentralization of the entire network. Upgrading blockchain security is not as simple as dropping in a PQC algorithm as a replacement for current algorithms. Here we present PQScale, a post-quantum signature aggregation algorithm that can combine multiple FALCON signatures and reduce the aggregated signature size by a factor of more than 20x when aggregating a few thousand signatures. It also has the potential to generalize and apply to other lattice-based digital signature algorithms.

2A4-2

Quantum Random Oracle Model上でのSequential OR SignatureのMulti-user Security ○福光正幸(長崎県立大学) 、長谷川真吾(東北大学): Sequential OR Signatureは, Tight Reductionにより, MU-EUF-CMA (Multi-user Existential Unforgeability against Chosen-message Attack) with Corruptionを証明できることが知られている. PKC2022にてPan, Wagnerは, LatticeやIsogenyなどの耐量子計算機な方式にこの結果を拡張できることを示した. しかし, Pan, Wagnerの結果はClassical Random Oracle Model上での結果であり, Quantum Random Oracle Model上で同様の結果が成立するかどうかを未解決問題として残していた. そこで本稿では, Quantum Random Oracle Model上で, Sequential OR SignatureのMU-EUF-CMA with Corruptionを証明するTight Reductionを構成する.

2A4-3

Probabilistic Hash-and-sign with Retry in the Quantum Random Oracle Model ○小菅悠久(防衛省) 、草川恵太(NTT社会情報研究所): A hash-and-sign signature based on preimage-sampleable function (PSF) (Gentry et al. [STOC 2008]) is secure in the Quantum Random Oracle Model (QROM) if the PSF is collision-resistant (Boneh et al [ASIACRYPT 2011]) or one-way (Zhandry [CRYPTO 2012]). However, trapdoor functions (TDFs) in code-based and multivariate-quadratic-based (MQ-based) signatures are not PSFs; for example, underlying TDFs of the Courtois-Finiasz-Sendrier (CFS), Unbalanced Oil and Vinegar (UOV), and Hidden Field Equations (HFE) signatures are not surjection. Thus, such signature schemes adopt probabilistic hash-and-sign with retry. This paradigm is secure in the (classical) Random Oracle Model (ROM), assuming that the underlying TDF is non-invertible; that is, it is hard to find a preimage of a given random value in the range (e.g., Sakumoto et al. [PQCRYPTO 2011] for the modified UOV/HFE signatures). Unfortunately, there is no known security proof for the probabilistic hash-and-sign with retry in the QROM. We give the first security proof for the probabilistic hash-and-sign with retry in the QROM, assuming that the underlying non-PSF TDF is non-invertible. Our reduction from the non-invertibility is tighter than the existing ones that apply to only signature schemes based on PSFs. We apply the security proof to code-based and MQ-based signatures.

2B1-1

格子問題に基づく効率的な耐量子accumulatorの提案 ◎前野優太(大阪大学大学院) 、宮地秀至(大阪大学大学院) 、宮地充子(大阪大学大学院): accumulatorとは, 入力の集合を短い一定サイズの文字列に圧縮し, 圧縮された集合に特定の入力要素が含まれることを効率的に証明する能力を有する暗号プロトコルである. Strong RSA Assumptionに基づくaccumulatorは近年活発に研究が行われ, その実用的な特徴から, ゼロ知識証明, グループ署名, ブロックチェーンなど様々なプロトコルを効率化するために利用されている. しかし, 格子問題等に基づく耐量子安全なaccumulatorは, Strong RSA Assumptionに基づくものほど研究されていない. 現在提案されている耐量子安全なaccumulatorでは, 特定の入力要素が含まれることの検証アルゴリズムの計算量や, 集合内の要素の更新アルゴリズの計算量は, 圧縮された集合の要素数に依存している. 本論文では，格子問題に基づく効率的なaccumulatorを提案し, 集合の要素数に依存しない定数オーダーで検証や更新を行うことを初めて可能にする．したがって, ゼロ知識証明, グループ署名, ブロックチェーンに本提案のアキュムレータ方式を組み込むことで, より効率的なアプリケーションを実現することが可能となる.

2B1-2

zk-SPARQL: SPARQLクエリに対して検証とプライバシ保護が可能な結果を返すパーソナルRDFデータストア ○山本暖(株式会社インターネットイニシアティブ) 、須賀祐治(株式会社インターネットイニシアティブ) 、佐古和恵(早稲田大学): 社会活動のデジタル化が進むに連れ、プラットフォームによるパーソナルデータの不透明な扱いや、事業者によるデータ管理コストの増大が社会課題となっている。現状の中央集権的なデータ管理手段を代替もしくは補完するものとして、近年、より分散的で個人中心型のアプローチが注目を集めている。アイデンティティ・ウォレットやDecentralized Web Node(DWN)と呼ばれる仕組みは、データ発行者による署名が付与されたVerifiable Credential(VC)を保存でき、データ利用サービスからの要求に応じて必要なVCだけを提示する機能を備えた、個人利用データストアの一種である。ここで、データストアに対する要求は独自言語で表現され、クエリ表現の多様性や柔軟性に劣る点が課題であった。本稿では、W3C標準であるクエリ言語SPARQLを用いた柔軟なクエリを可能とし、かつクエリ結果の検証と開示データの最小化が可能なデータストアの構成法を提案する。構成には、BBS+署名等のAnonymous Credential向け署名方式と、Bulletproofs等の汎用ゼロ知識証明を利用する。

2B1-3

IoTゲートウェイと複数アプリケーション間の暗号化方式の考察 ◎松井航輝(東京工業大学) 、尾形わかは(東京工業大学): 近年，様々なものがインターネットに接続され，生活の中にIoT機器が増えている．IoT機器で取得した様々なデータを，IoTゲートウェイを通してそれぞれ複数アプリケーションに提供するシステムがある．この時アプリケーションごとに復号制御をしてデータの不正利用を防止することが望ましい．Pengら（ACM Trans. Internet Technol., 2021）はこの状況においてデータの安全性を保つための暗号化方式を提案した．Pengらの方式では登録されたアプリケーションに対して部分復号を行うエンティティを置くことで，アプリケーションごとにリアルタイムの復号制御を可能にしている．本研究ではIoTゲートウェイを用いたシステムにおける安全性をより状況に適した形で定義し，Pengらの方式の脆弱性を指摘し，新たな暗号化方式の提案を行う．

2B1-4

BBS+署名を用いたHolder-Binding機能付きVerifiable Credentialの認証方法 ◎渡邉健(早稲田大学基幹理工学部情報理工学科) 、佐古和恵(早稲田大学基幹理工学部情報理工学科) 、山本暖(株式会社インターネットイニシアティブ): Verifiable Credential (VC) は，VCの保有者の属性を検証可能な形で表現することができる技術である．Holder-Binding機能付きVCは，VCが保有者の秘密鍵に紐づいているという署名がついた状態で発行される．本稿では，VCの署名方式が様々ある中で，属性を保有者が選択して開示を行うことができ，効率的に署名の作成・検証ができるBBS+署名方式を利用したVCを元に検討する．W3C Credentials Community Groupで議論されている，VCをブラウザ上でやり取りするCredential Handler API (CHAPI) というプロトコルを用いて，ブラウザ上で，Holder-Binding機能付きVCの受領とVPの提示できるフローを提案する．また，提案するブラウザ上での受領と提示のフローの課題点についても述べる．

2B2-1

情報理論的完全性つき遠隔データ対一致判定プロトコル 加藤豪(NICT) 、藤原幹生(NICT) 、○鶴丸豊広(三菱電機): 遠隔地にいるユーザ2 人がそれぞれデータを保持しているときに、その一致を確認し、さらにそれ以降の変更を防ぐ機能がほしい場面がしばしば存在する。なおかつそれを情報理論的安全に実現したいとする。考えられる適用例として、最も身近なものはメッセージ認証である。またはAlice, Bobがそれぞれ別の場所で巨大なデータベースをミラーリングしており、そのデータの一致を確認したいという場面も考えられる。我々は、この機能を実現する枠組みとして「完全性つき遠隔データ一対致判定プロトコル」を定義する。そして実際に情報理論的な安全性を有し、かつ効率的に実装可能なプロトコルを具体的に提示する。

2B2-2

階層的秘密分散法と参加者の識別子割り当て問題の考察 ○島幸司(情報セキュリティ大学院大学) 、土井洋(情報セキュリティ大学院大学): 階層的秘密分散法(HSSS)では，アクセス構造を満たす復元可能な参加者集合にもかかわらず，参加者の組み合わせによっては復元できない問題が知られている．本研究では，SCIS2021で提案されたXORベースHSSSを考察し，しきい値k=3の識別子の割り当て問題を解決する新たなXORベースHSSSを提案する．

2B2-3

シェアの更新なしにしきい値を変更可能な階層型秘密分散法 ◎相澤　直樹(日本大学) 、栃窪　孝也(日本大学): 秘密分散法の一方式である(k, n)しきい値法は、秘密情報をシェアと呼ばれるn個の断片情報に分割し、k個以上のシェアから秘密情報を復元することができるが、k－1個以下では全く秘密情報に関する情報が得られない情報の分散管理に極めて有効な技術である。そのしきい値法を、より広いアクセス構造で実現した階層型秘密分散法は、シェアの管理者を権限に応じて分割する手法である。一方、しきい値法の実行後にシェアの再配布や更新を行わず、しきい値や、管理者数などのアクセス構造を柔軟に変更することが可能な手法についても研究が行われている。本研究では、階層型秘密分散法において、分散後のシェア再配布や配布済みシェアの更新を必要とせず、階層に対応するしきい値を安全に削減することが可能な手法を提案する。さらに、同じく再配布なしに階層に対応するしきい値を増加させることが可能な手法を提案する。

2B2-4

秘密分散ライブラリの実装における要件の実証検討 ○山澤昌夫(中央大学研究開発機構) 、米津武至(中央大学研究開発機構・株式会社リーディングエッジ) 、五太子政史(中央大学研究開発機構・横浜国立大学) 、山本博資(中央大学研究開発機構) 、藤田亮(中央大学研究開発機構) 、辻井重男(中央大学研究開発機構): 筆者らはDICOMO2021，DICOMO2022において，認証情報をセキュアに保存すること，および機微情報を分散保管すると言った目的で，ISO/IEC19592-2の秘密分散アルゴリズムを使うことを想定し，必要な機能をライブラリパッケージとする検討過程を紹介した．検討過程では，運用における要請，要求機能につき以下の観点を考慮した：(1)分散されるデータ規模，(2)分散数，(3)データ再構成で使われる分散片の運用形態，(4)秘密分散及び再構成に要求される処理時間(速度)，(5)乱数性などに要求されるセキュリティ強度，(6)運用時に想定されるエラーの内容，(7)ライブラリ機能，及びそれを使うアプリケーションに対して想定される攻撃，(8)商品としてユーザーに提供する場合に保証すべき安全性や機能，サポートすべき機能，及びユーザーの混乱やレスポンスの低下を防ぐためあえて限定，または削除すべき機能．である．このたび，検討結果をプロトタイプ実装により検証した．本報告では実装検証の一部を論じる．

2B3-1

MEVAL AI:様々な機械学習を記述可能な秘密計算AIライブラリ ○三品気吹(NTT社会情報研究所) 、五十嵐大(NTT社会情報研究所) 、濱田浩気(NTT社会情報研究所) 、菊池亮(NTT社会情報研究所): 秘密計算によるデータ分析の実用化研究において，データ分析者が利用しやすいインターフェースを作ることは重要な課題である．筆者らがこれまでに開発した秘密計算ライブラリ MEVAL は豊富な関数と高い処理性能を有しているが，一般的なデータ分析者が用いるものとは異なるインターフェースである．秘密計算はアーキテクチャや演算性能のバランスが平文と異なるため，ネイティブインターフェースを平文と同じにすることは必ずしも合理的ではないからである．しかしこれは習熟までの敷居を高くしてしまうという実用上の課題を引き起こす．本稿では，世界中のデータ分析者の間で広く用いられるプログラミング言語である Python 言語を用いて，MEVAL 上で様々な機械学習アルゴリズムを記述できるライブラリを実現した．このインターフェースでは，Scikit-learn や keras に似た仕様で，秘密計算上でのデータ前処理やディープラーニングのモデル設計・学習・推論を実装可能である．これにより，秘密計算の知識が無い一般的なデータ分析者でも，普段使っているデータ分析ライブラリと同じような使用感で，MEVAL のような秘密計算に最適化された高速かつ高精度なライブラリによる秘密計算AIを利用可能になった．

2B3-2

ラウンド効率に優れた階層型マルチサーバORAM ○市川敦謙(NTT社会情報研究所): Oblivious RAM (ORAM) は安全なデータアクセスを実現する暗号学的プリミティブである．特に複数台のサーバを用いることで効率化を図る方式はマルチサーバORAMと呼ばれ，通信効率に優れる方式が多数提案されている．しかし，これら既存手法は全体のラウンド数もΩ(log N)を必要とし，特に大規模データ(大きなN)を扱う場合にレイテンシが大きくなってしまう課題がある．本研究ではアクセスに掛かる全体のラウンド数を改善したアルゴリズムを提案する。

2B3-3

秘匿計算ライブラリの開発と検証可能秘匿計算法の実装 ◎工藤凌也(東京理科大学) 、ムハンマドカマルアフマドアクマルアミヌディン(東京理科大学) 、岩村惠市(東京理科大学) 、稲村勝樹(広島市立大学): TTPを想定することでn?kにおいても情報理論的に安全な秘匿計算が実行できるTUS４方式が提案されている．また，TTPとTEEを組み合わせることによって秘密分散法を用いても1台のサーバで秘匿計算を実現できて，鍵が安全に管理されていれば全計算過程を公開でき，通信が発生しないため高速な秘匿計算が実現できるTUS6方式も提案されている．今回、それらを実行する秘匿計算ライブラリの開発を行った．本論文ではそれらの実装結果とTUS6方式に結果の検証機能を加えたTUS7方式の実装も行い，その結果を示す．

2B3-4

木状相互通信パターンにおける秘密計算プロトコル ◎三宅　美歩(三重大学) 、縫田　光司(九州大学／産業技術総合研究所) 、河内　亮周　(三重大学): 秘密計算 (MPC) は, 互いに信用できないパーティが関数の出力以外何も明らかにすることなく彼らのプライベートな入力に対して関数を共同計算することを可能にする. MPCに関するほとんどの先行研究では, 全てのパーティがプロトコルの実行中, 常にオンランである必要があり, 現実的な設定ではない. Haleviら (ITCS 2016) は, MPCに相互通信パターンという概念を導入し, 任意の制限された相互通信パターンを持つMPCを研究するための統一的なフレームワークを提示した. 相互通信パターンは, メッセージの依存関係を表す有向非巡回グラフによって与えられる. また, 彼らは semi-honest な敵に対して, 対称関数に対する情報理論的に安全なチェーン型の相互通信パターンを持つプロトコルを構築した. 本研究では, 対称関数に対するチェーン型の相互通信パターンを持つプロトコルにおいて, ランダムネスと通信量を削減する. さらに, 木の相互通信パターンを持つ対称関数に対する情報理論的安全なプロトコルを提案する. また, 木の相互通信パターンを持つプロトコルの更なる拡張を検討する．

2B4-1

Efficient and Appropriate Key Generation Scheme in Different Internet of Tings Scenarios ◎Hong Zhao(University of Aizu) 、Chunhua Su(University of Aizu): Most Internet of Things (IoT) devices have limited computing power and resources. Therefore lightweight encryption protocols are essential to secure communications between IoT devices. As a promising technique, physical layer key generation has been widely used in IoT applications to secure communication between devices. In this paper, we propose an Efficient and Appropriate Key Generation Scheme (EAKGS) for various IoT scenarios. According to the characteristics of the channel data, we design the pre-judgment stage to classify the values. Considering the key generation requirements and measured values characteristics in different scenarios, we propose efficient key generation schemes for static and dynamic scenarios. Furthermore, we conduct real-world experimental analysis and validation of our scheme. We analyze the feasibility of the scheme from key generation rate, key error rate and randomness. Experimental results show that our EAKGS is qualified in terms of adaptability and key performance.

2B4-2

Providing Accountability for Secure Zero Touch Provisioning ○Danu Dwi Sanjoyo(Kanazawa Univerity) 、Masahiro Mambo(Kanazawa Univerity): Secure Zero Touch Provisioning (SZTP) is a provisioning technique for networking devices in a zero-touch fashion. SZTP provides the provisioning workflow from device enrollment between the Provider and Manufacturer until bootstrapping process. Unfortunately, implementing a single trust model of public key infrastructure scheme in zero-touch device provisioning is vulnerable to impersonation attacks using bogus certificates. This paper proposes a robust protocol for the bootstrapping process of edge devices by integrating the Attack Resilient Public Key Infrastructure (ARPKI) scheme with SZTP. ARPKI offers strong security as certificate management for SZTP. We adopt the security properties of ARPKI to construct an accountable bootstrapping scheme of a zero-touch provisioned edge device against threats, e.g., impersonation, incurred by insiders compromised by adversaries. We analyze our scheme's security properties by performing formal and informal analyses. We show that the combination of ARPKI and SZTP can detect malicious entities and mitigate misbehaving activities. Our provisioning scheme provides accountable bootstrapping for edge devices in a zero-touch fashion with integrity and confidentiality of bootstrapping data.

2B4-3

暗号鍵管理によるデータ保護効率の観点から見たトラストや暗号技術の発展とこれから ○伊藤忠彦(セコム株式会社) 、国井裕樹(セコム株式会社): 現在、暗号技術は情報を保護するための手段として広く利用されている。様々な暗号方式は各々異なる性質を持つが、その共通的特徴として1、保護対象となる情報をより効率的に守ることができるという性質がある。本書では、効率性の側面に注目し、暗号技術、暗号鍵管理技術、トラストの関係を整理する。また、過去の暗号技術の発展を振り返り、現状の暗号技術における幾つかの課題を示し、また今後の暗号技術の発展について考察を行う。

2C1-1

ブロック暗号に基づくMACの鍵制御安全性 ◎小関敬祐(名古屋大学) 、岩田哲(名古屋大学): ブロック暗号に基づくMACを用いた鍵導出関数（KDF）の安全性として，鍵制御安全性を考える．従来，CMACの鍵制御安全性に関する攻撃方法が知られている．本論文では， PMACとGMACの鍵制御安全性を評価する．CMACと同様の手法でPMAC，GMACへの攻撃が可能であることを示す．またGMACに対して，線形性を利用したより高効率の攻撃手法を示す．

2C1-2

XCBv2の部分鍵を利用した量子偽造・平文回復攻撃 ○栗原　昂汰(名古屋大学) 、岩田　哲(名古屋大学): XCBは2004年にMcGrawとFluhrerによって提案されたAES，ハッシュ関数，カウンタモードからなるtweakableブロック暗号である．XCBv2は2007年に提案されたXCBの改良版であり，安全性が証明されている．2021年にこのXCBv2の部分鍵を求めるような量子攻撃がGhoshとSarkarによって提案された（DCC~2021）．本論文ではこの求められた部分鍵を利用することで，XCBv2に対し偽造攻撃と平文回復攻撃が可能であることを示す．

2C1-3

Tweakableブロック暗号を用いたType-2 Feistel暗号の改良 ◎中家一輝(名古屋大学) 、岩田哲(名古屋大学): Type-2 Feistel暗号は，内部で擬似ランダム関数（PRF）を用いるブロック暗号の構成法であり，nビットPRFからdnビットブロック暗号を構成することができる（dは4以上の偶数）．Coronらは，Feistel暗号をtweakableブロック暗号（TBC）を用いて構成し，その証明可能安全性を示した（TCC 2010）．Type-2 Feistel暗号も同様に，TBCを用いて構成することができる．ただし，Type-2 Feistel暗号の課題点として，ブロック数のdが大きくなるほど拡散性が低下し，多くの繰り返し段数が必要となる．この課題点に対し，SuzakiとMinematsuは，Type-2 Feistel暗号の巡回シフトをblock shuffleに変更することで，拡散性を向上させ，より少ない段数での安全性を証明した（FSE 2010）．本稿では，nビットtweak，nビットブロックのTBCを用いたType-2 Feiatel暗号の巡回シフトをblock shuffleに変更した構成を定義し，Coefficient-H技法を用いて安全性証明を行う．

2C1-4

修正版Roccaに対するナンス再利用による汎用的偽造攻撃 ◎竹内龍之介(名古屋大学工学部) 、藤堂洋介(NTT社会情報研究所) 、岩田哲(名古屋大学大学院工学研究科): RoccaはToSC~2021(2)/FSE~2022で提案されたBeyond~5G/6G用のナンスベース認証暗号方式である．本論文では，初期処理後と最終処理前に秘密鍵をXORする修正版Roccaの安全性を解析する．HosoyamadaらがToSC~2022(3)/FSE~2023で示したRoccaに対する内部状態回復を利用し，ナンスを再利用する敵を考え，修正版Roccaに対し，時間計算量が2^160である汎用的偽造攻撃が可能であることを示す．

2C2-1

軽量ブロック暗号 M-PRESENT に対する Bit-based Division Property Using Three Subsets を用いた Integral 攻撃 ◎佐久間　諒(東京理科大学理工学研究科電気工学専攻五十嵐研究室) 、五十嵐　保隆(東京理科大学理工学研究科電気工学専攻五十嵐研究室): M-PRESENTは、2019年にYohan etalによって提案されたSPN(Substitution Permutation Network)構造を持つブロック暗号である。Integral攻撃に対する評価は提案者、第三者ともに行っていない。そのため本研究では、M-PRESENTに対し第三者の立場からIntegral攻撃を行った。

2C2-2

現実的な計算量で攻撃可能な共通鍵ブロック暗号MISTY1の弱鍵 ○多賀文吾(警察大学校) 、伊藤愼崇(警察大学校) 、岡野孝子(警察大学校): CRYPTRECの推奨候補暗号リストに掲載されている共通鍵ブロック暗号MISTY1について、新たな弱鍵の存在が判明したので、報告する。MISTY1の全段に対する解読手法は既に報告されており、関連鍵攻撃における弱鍵の存在や単一鍵におけるDivision属性を用いた積分攻撃が報告されている。しかしながら、これらの攻撃には現実的に実行困難な大きさのデータ量や時間計算量を必要とする。本稿で報告する弱鍵は、特定の差分関係にある別の弱鍵と併せて使用するという関連鍵攻撃において、現実に実行可能な大きさの計算量でランダム置換との識別及び鍵回復が可能であることが、我々の解析により判明した。攻撃に要する計算量は、ランダム置換との識別については選択平文2^5、鍵回復については選択平文2^8、メモリ2^27バイト及びデスクトップPCを用いた計算で数十秒程度であった。ただし、弱鍵の個数は3・2^74 と鍵空間全体のごく一部であることや攻撃には攻撃者にとって都合の良い関連鍵が必要であることから、通常の暗号化の用途において現実的な脅威にはならないと考えられる。

2C2-3

軽量ブロック暗号ALLPCに対する中間一致攻撃 ◎山﨑　寛斗(東京理科大学理工学研究科電気工学専攻五十嵐研究室) 、五十嵐　保隆(東京理科大学理工学研究科電気工学専攻五十嵐研究室): 　ALLPCは2021年にJunhua Chengらによって考案された, ブロック長64ビット、段数25段、鍵長128ビットのFeistel型軽量ブロック暗号である. 提案者論文では, 差分攻撃, 線形攻撃, 零相関攻撃に関しては定量的な安全性評価がなされているが, 中間一致攻撃については定量的な評価が行われていない. また, 第三者による中間一致攻撃の安全性評価も存在しない. 本稿では, ALLPCに対し中間一致攻撃を行い, その安全性について評価と考察を行う.

2C2-4

軽量ブロック暗号LiCiに対する中間一致攻撃 ◎松野健太(東京理科大学) 、五十嵐保隆(東京理科大学): 軽量ブロック暗号LiCiは2017年にJagdish Patil らによって提案された暗号器である。構造はFeistel構造である。ブロック長は64ビットで、ラウンド数は31ラウンドである。中間一致攻撃は1977年にDiffie と Hellman によって提案されたブロック暗号に対する既知平文攻撃である。提案者論文、第三者による中間一致攻撃は行われていなかった。本研究では秘密鍵128ビットの軽量ブロック暗号LiCiに対して中間一致攻撃を行った。

2C3-1

疑似乱数生成器CMRGの安全性再考察 ◎加藤和志(北陸先端科学技術大学院大学) 、藤崎英一郎(北陸先端科学技術大学院大学): 本研究では、L’Ecuyerによって提唱された擬似乱数生成器であるCMRGに対して攻撃と安全性を考察する。CMRGの出力を予測する方法としてMartinez (CT-RSA2020)による方法が知られており、この方法では乱数生成器のseedに関連する線形な合同方程式を立てて、その解を格子基底簡約を用いて求めている。この攻撃に必要な連続する出力数はGaussのヒューリスティックを用いて7つと考察されているが、seedのエントロピーと出力の大きさから、6つの連続する出力を得る事が出来れば復元可能であると考えられる。そこで、我々はこの方法を改良し、6つの連続する出力でseedを割り出すことがほぼ可能である事を示す。また、既存方式と提案方式いずれも、CMRGのseedの復元を格子問題の1つであるISIS問題を解く事に帰着させていることから、CMRGの内部変数を増やすことで攻撃難易度がどのように変化するのかを、格子次元の観点から考察することで安全性を評価する。

2C3-2

ROベースのTRNGに対する振幅確率分布を用いた乱数性評価手法 ◎尾崎慧一(奈良先端科学技術大学院大学) 、藤本大介(奈良先端科学技術大学院大学) 、大須賀彩希(産業技術総合研究所) 、川村信一(産業技術総合研究所) 、林優一(奈良先端科学技術大学院大学): リングオシレータ (RO) をエントロピー源に使用した真性乱数生成器 (TRNG) の乱数性評価には出力乱数列の取得が必要となる。しかし、このTRNGがデバイスに実装された場合、出力乱数列は中間値となるため、乱数列を直接評価することが困難である。著者らはこれまで、電磁妨害波の干渉影響の評価に用いられる振幅確率分布 (APD) を測定し、得られた特徴量から定性的であるものの、非侵襲に乱数性を評価可能な方法を提案した。本稿では、定量的に乱数性の低下を推定する手法を提案する。具体的には、定常状態の特徴量から乱数性の高い領域を定めるための閾値を決定する。続いて、印加する周波数を掃引しながら、周波数注入攻撃とAPD測定を実施し、特徴量を抽出する。その後、決定した閾値に基づいて設定された特徴量の範囲においては、攻撃による乱数性低下が生じないことを示す。

2C3-3

穴掘り法による迷路を用いた擬似乱数生成における迷路サイズと種類数に関する一考察 ○宮﨑　武(九州情報大学) 、荒木　俊輔(九州工業大学) 、上原　聡(北九州市立大学): 　本稿では、穴掘り法による迷路を用いた擬似乱数生成器を提案する。穴掘り法は、任意の奇数×奇数サイズの迷路を生成するアルゴリズムである。我々は、生成された迷路の壁と通路を0/1のビットに対応した系列がビット出現頻度バランスの良いビット系列となることに注目した。この系列を複数組み合わせて作成した擬似乱数ビット系列の乱数性について乱数検定を行って統計的な性質を明らかにする。また、同じサイズで何通りの迷路が作成可能かを全数探索し、その結果から迷路のサイズに対する生成系列の種類数について検討する

2C3-4

線形合同法における周期性とニューラルネットワークによる予測精度に関する考察 ◎野口亮祐(九州工業大学) 、荒木俊輔(九州工業大学) 、宮崎武(九州情報大学) 、上原聡(北九州市立大学) 、硴崎賢一(九州工業大学): 擬似乱数はそのランダムである特性から暗号技術やシミュレーションなど様々な分野において使用されている．しかし，擬似乱数がランダムであることの検証は難しく，また一般的に使用されるテストツールは統計的な性質を検証するものである．我々は，ランダムに振る舞う事象に適用が困難だと言われている機械学習を用いて乱数系列の予測を行うことで，予測不可能性の検証を目指す研究を行っている．本論文では，基礎的な決定論的アルゴリズムである線形合同法により生成された擬似乱数系列に対して，ニューラルネットワークの1つであるLSTMを用いて予測を行った．擬似乱数生成において生成された1つの要素は数十ビットの大きさを持ち，ビット毎に異なる周期性を持つ．先行する4つの要素をニューラルネットワークに与え，次に生成される要素の任意の1ビットを予測し，ビット毎の予測精度の変化を調査した．実験結果より，1周期分の教師データ数の有無を境に予測精度が下がる傾向があることがわかったが，1周期以下の教師データ数であっても予測精度の向上は可能であると予想される．加えて，ニューラルネットワークが周期性を学習していないことを追加実験にて確認した．

2C4-1

ブロックチェーン技術によるコンテンツの加工編集履歴を管理するコンテンツクレデンシャル機能の一考案 ◎笠井　健太郎(岡山大学) 、栗林　稔(岡山大学) 、舩曵　信生(岡山大学) 、越前　功(国立情報学研究所): 深層学習技術を用いた画像・映像・音声技術により，精功に創造されるフェイクコンテンツが問題となっている．既存のフェイクコンテンツの解析に関する研究では，コンテンツに含まれる不自然な形跡や信号成分の有無を機械学習技術を用いて，フェイクかリアルかを二値判別するアプローチが主に取られている．デファクトスタンドードして広がったコンテンツフォーマット及び編集ソフトウェアにおいては，このようなアプローチが必要となる．一方で，公的なコンテンツでは，予め防御対策を施してから公開するが必要であると考えられる．そこで，編集権を認める代わりに，その編集履歴を記録させて，不正な加工編集がなされていないことを誰でも検証できる枠組みが必要となる．本研究では，ブロックチェーン技術を用いて，コンテンツの加工編集履歴を管理するコンテンツクレデンシャル機能を提案する．また，加工編集後のコンテンツから元のコンテンツを確認できる仕組みを実現する．本論文では，コンテンツとして画像に対してのシミュレーションを行い，提案手法の実現可能性を確かめる．

2C4-2

3次元データを対象とした編集制御技術の提案 ◎泉信二郎(東京理科大学大学院) 、稲村勝樹(広島市立大学大学院) 、岩村恵市(東京理科大学大学院): 近年，インターネットや3Dプリンタの普及に伴い，ネット上でデジタルデータを購入し，3Dプリンタで造形し，ものを作ることが増えている．このようなデジタルデータは，インターネット上で簡単に入手でき，容易に編集できることからデジタルデータの偽造という問題が発生しており，デジタルデータに適した著作権保護技術が新しく必要となっている．デジタルデータを対象とした著作権保護技術として動画や画像といった2次元データに対して提案してきたが，3次元データでは2次元データとは異なる形の「追加」編集が行われ，「追加制御」が新規に必要になる．本論文では，追加制御を改めて提案し，3次元データを対象とした著作権保護技術を提案する．

2C4-3

OP-TEEにおけるTA内のバッファオーバフローを利用した攻撃に対する防御手法の設計と実装 ◎芝海人(岡山大学大学院自然科学研究科) 、葛野弘樹(神戸大学大学院工学研究科) 、山内利宏(岡山大学学術研究院自然科学学域): TEEシステムは，LinuxやAndroidなどのRich OSが動作するNormal WorldとこれらのOSから直接アクセスすることのできないSecure Worldを提供する．しかし，Secure World内に脆弱性がある場合，TEEシステムはNormal Worldからの攻撃により侵害されてしまう．特に，Secure World内において実装されているTrusted Application（以降，TA）は脆弱性が多く報告されており，問題となっている．そこで，本稿では，広く使われているTEEシステムの一つであるOP-TEEに着目し，TA内におけるスタックバッファオーバフローの脆弱性に対する防御手法を提案する．提案手法では，TAの関数内で定義されるローカル変数のサイズとNormal WorldからTAへ渡される値のサイズを比較することにより，TA内で発生しうるスタックバッファオーバフローの検知を行う．評価では，スタックバッファオーバフローの脆弱性を持つTAを実装し，提案手法によりスタックバッファオーバフローの脆弱性を持つTAへの攻撃を防御可能であることを示す．

2D1-1

LKMを介したシステムコールのアクセス制御におけるSeccompフィルタ生成手法の改善と評価 ◎柚木孝文(岡山大学自然科学研究科) 、吉元亮太(岡山大学自然科学研究科) 、山内利宏(岡山大学学術研究院自然科学学域): IoT機器で利用されるソフトウェアの脆弱性に起因するセキュリティ上の脅威が懸念されている．このため，ソフトウェアに脆弱性が見つかった場合の対策が重要である．そこで，Linuxカーネルやアプリケーションを改変することなく，脆弱性のあるアプリケーションの保護を目的として，発行できるシステムコールを制限するSeccompフィルタを用いたアクセス制御手法を提案した．この手法では，保護対象のアプリケーションを動作させた際のシステムコール発行ログをもとにSeccompフィルタを生成する．しかし，アプリケーションの処理に必要なシステムコールを網羅するためには，膨大な実行パスをすべて辿る必要があり，入力パターンの集合を作成することは困難である．そこで，本稿ではシステムコール発行ログ，および静的解析を用いてシステムコールを検出した結果をもとにしたSeccompフィルタ生成手法について述べる．評価では，提案手法によって，従来手法で検出できないシステムコールを新たに検出できるか比較評価した結果を述べる．また，攻撃に使用される可能性が高いシステムコールの実行を提案手法によって制限できるか評価した結果を述べる．

2D1-2

AIエッジデバイスのためのステルス動的プログラム解析システム構築への試み ○泉田大宗(株式会社インターネットイニシアティブ) 、北島武浩(株式会社インターネットイニシアティブ): 本稿では、ハイパーバイザーカーネルの仮想機械監視(Virtual Machine Introspection)機構を利用して対象プログラムから検知されにくくするステルス型の動的解析システムを、AIエッジデバイスなどの組込機器に向けてArmアーキテクチャに対応させるために行った調査並びに実験について解説する。

2D1-3

トークン型クレデンシャルに対するIoTデバイス向けハードウェアベース保護機構の適用に関する考察 ○磯部光平(セコム株式会社) 、八代理紗(セコム株式会社) 、国井裕樹(セコム株式会社): サーバと多数のデバイスが連携しデータの取得や転送を行うIoTにおいて、サーバはIoTデバイスからのアクセス制御のため認証を行う。RESTアーキテクチャやWeb技術を用いて構成されるサーバでは、文字列トークンをクレデンシャルとしてサーバへのアクセスを認可するトークン型のアクセス認可機構が用いられることが多い。正規のIoTデバイスにのみトークンを配布することでIoTデバイスの認証に用いることができる。しかしIoTデバイスからのトークン漏洩は、サーバのアクセス制御において脅威となる。IoTデバイス向けにはクレデンシャルや処理をハードウェアベースで保護する機構が多く提案されている。しかしこれら機構は暗号鍵型のクレデンシャルの保護を中心としており、トークン型クレデンシャルに対する適用について不明な点がある。本研究では、IoTデバイスで利用可能なハードウェアベース保護機構の適用を前提にOAuthのトークン型クレデンシャルであるアクセストークンをIoTデバイス上で安全に保持しながら利用する方法について考察を与える。

2D1-4

Automotive向けSTIXデータを活用したインシデント分析の自動化 ◎柳谷　諒(パナソニックホールディングス株式会社テクノロジー本部) 、芳賀　智之(パナソニックホールディングス株式会社テクノロジー本部) 、氏家　良浩(パナソニックホールディングス株式会社テクノロジー本部) 、安達　貴洋(パナソニックホールディングス株式会社テクノロジー本部) 、平石　力哉(パナソニックホールディングス株式会社テクノロジー本部) 、中岡　英明(パナソニックオートモーティブシステムズ株式会社) 、秋本　慎弥(パナソニックホールディングス株式会社テクノロジー本部): 近年、急激な増加を見せているIoT機器へのサイバー攻撃に対策するためにSecurity Operation Center(SOC)を設置する組織が非常に多い．SOCの運用には高度なセキュリティ知識や多大な運用コストを必要とする．本論文では，セキュリティ知識を有しないSOCオペレーターでも短時間でインシデント分析が可能となるようなアルゴリズムを提案する．サイバー脅威情報の記述のために開発された標準化言語であるStructured Threat Information eXpression(STIX)フォーマットでサイバー脅威インテリジェンス(CTI)を構築し，インシデント分析の際にCTIを活用した自動分析を行う．実環境をシミュレーションした概念実装として，車両への攻撃をSTIXフォーマットに当てはめ，インシデント分析の効率化を図る分析アルゴリズムの開発と精度評価を行った．

2D2-1

IoT向け連合学習フレームワークによるネットワーク異常検知への特徴量選択の適用 ◎谷崎　公亮(神戸大学) 、白石　善明(神戸大学) 、葛野　弘樹(神戸大学) 、森井　昌克(神戸大学): IoT分野における連合学習のオープンなプラットフォームの一つに，FedIoT（Federated Learning for Internet of Things）がある．本論文では，まず，FedIoTの評価で用いられていなかったデータセットを用いて実験した結果として，DDoS攻撃のトラフィックとは異なる統計的性質を持つ攻撃トラフィックでは検知性能が著しく低いことを指摘し，特徴量選択が有効であることを確認している．次に，選択した特徴量を単純にすべて使用する方法では検知性能は大きく向上することはないことを指摘し，攻撃の種類ごとにオートエンコーダを構築することが有効であることを確認している．すなわち，FedIoTのフレームワークにおいて，特徴量選択と特徴的な攻撃ごとに検知器を構築する手法を提案し，検知性能について議論している．本研究では，FedIoTに特徴量選択を適用しCICIDS2017の異常検知を行った結果，F1Scoreを7.21%から73.17%まで向上させることができた．

2D2-2

都市OSにおけるリングプロテクションモデルに基づいたエンティティの特定性の制御機構 ◎長谷川暢(慶應義塾大学) 、甲斐賢(慶應義塾大学) 、近藤賢郎(慶應義塾大学) 、手塚悟(慶應義塾大学): スマートシティを構成するサイバーフィジカルシステム(CPS)ではそのデータ流通を支える都市OS基盤を想定する。代表的な都市OS基盤の参照モデルにはCPSに接続する機器を特定するためのアセット管理の機能が含まれる。都市OS基盤上のアプリケーションの視点からCPSに接続された機器を特定することは処理対象のデータの真正性を保証するために必要であるが、それらの機器の管理者の視点から見たアプリケーション毎の信頼性(trustworthiness)は異なる。CPSに接続された機器の特定は機器の管理者に関するプライバシや機器自体のセキュリティ上のリスクを孕む懸念があるため、都市OS基盤ではアプリケーション毎の信頼性に応じて機器の特定性を区別する必要がある。本稿では、都市OS基盤のアセット管理機能が実現する機器の特定性をアプリケーション毎の信頼性によって区別するリングプロテクションモデルを提案する。このモデルでは機器にアテステーションされた鍵と機器の管理者の視点で付与した機器の識別子の二つの手段によって機器の特定性を区別し、アプリケーション毎の信頼性に応じて何れの特定性を用いるかを制御する。

2D2-3

セキュアなIoTメッセージプロトコルの現状調査とQUICの適用の検討 ○青木信雄(広島市立大学大学院): IoTの急速な発展、IoTとCPSの双方の分野肥大化に伴い、ますます低遅延かつセキュアなIoT通信の需要は高まりつつある。M2MやD2Dで培われてきたM2M/IoTプロトコルがIoT通信に適しているとされており、様々な研究が取り組まれている。そして、インターネット標準においては、半世紀ぶりにセキュアかつ汎用的な第3の通信プロトコルのQUICが標準化されました。本稿では、代表的なM2M/IoTプロトコルをレビューすることで、IoT通信へのQUICのクロスレイヤでの導入を議論する。また、クロスレイヤな手法であるM2M/IoT protocols over QUICだけでなく、セキュリティに関する機能と通信に関する機能を分離する手法についても触れ、低遅延かつセキュアなIoT通信を検討する。最後に、IoTメッセージングプロトコルに関する分野においての将来課題についても言及する。

2D2-4

IoT家電ハニーポットを用いたIoT家電のBasic認証に対する攻撃分析 ◎大塚瑠莉(三菱電機株式会社) 、吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院): IoT機器の普及に伴い，一般家庭においても IoT 家電としてIoT機器が取り入れられるようになった．普及に伴いIoT機器に対するサイバー攻撃も増加している一方，一般家庭などセキュリティの専門家がいない環境下で使用されるIoT家電のセキュリティは，IoT家電自身のセキュリティ能力に依存する部分が大きい．しかし，十分なセキュリティ能力をもっていない製品も市場には出回っている．また，IoT家電を使用する家庭やIoT家電に対して攻撃者がどのような攻撃をするのか，現在不明な部分も多い．そこで本研究では，応答機能として実際に市販されている家電を使用したIoT家電ハニーポットを使用し，攻撃の観測を行った．今回は家電のなかでも，特にBasic 認証がはたらいているIoT家電に着目した．Basic認証は昔からある認証方式であり，容易に実装できることから搭載しているIoT家電も多いが，どのような攻撃がされているのか明らかになっていない．IoT家電に搭載されたBasic認証に対してどのような攻撃がされているのか明らかにすることを目的とし，家庭を模擬したIoT家電ハニーポットで観測した攻撃パケットを分析する．そして得られた結果より，Basic認証を標的とした攻撃の実態および対策について述べる。

2D3-1

認証信号付きカルマンフィルタに対するレギュレーション性能と攻撃検知率の実験的評価 ◎関根悠司(電気通信大学) 、安部芳紀(電気通信大学) 、藤田真太郎(電気通信大学) 、渡邉洋平(電気通信大学) 、澤田賢治(電気通信大学) 、岩本貢(電気通信大学): 観測情報からノイズを除いて現在の制御対象の状態を推定するカルマンフィルタは，自動運転分野や航空宇宙分野のフィードバック制御に幅広く利用されている．カルマンフィルタは，状態推定に加えてフィードバック制御内の異常信号の検知にも利用できる．ただし，異常信号が過去の信号を利用するリプレイ攻撃により生成される場合，カルマンフィルタは目標値への収束速度や制御入力信号の大きさによって決まるレギュレーション性能の維持と異常検知を両立できない．Moらはこの事実を理論的に示した上で，レギュレーション性能の劣化をある程度許し，制御入力信号に認証信号を付加することで，リプレイ攻撃を検知する手法を提案した．しかし，Moらの論文ではこの性能劣化と攻撃検知性能の関係は明らかにされていない．本研究では，Moらの手法において認証信号の影響を強めると，レギュレーション性能が低下する代わりに攻撃検知率が上がることを実験的に示す．このトレードオフにはMoらの認証信号の設計においても重要な役割を果たし，情報理論的な認証理論においても本質的な量である相対エントロピーが関係することを明らかにする．

2D3-2

Modbus TCP通信のパケット解析と相対エントロピーによる攻撃検知に関する検討 ◎西内達哉(電気通信大学) 、藤田真太郎(電気通信大学) 、渡邉洋平(電気通信大学) 、岩本貢(電気通信大学) 、澤田賢治(電気通信大学): 平常時と攻撃発生時の通信パケットの分布の差に着目したセキュリティ対策として，相対エントロピーを用いた攻撃検知手法が研究されている．平常時と攻撃時の確率分布の違いを相対エントロピーで評価できるため，DoS（Denial of Service）攻撃等の平常時とトラフィックが変化する攻撃は検知が容易である．一方，通常時のトラフィックを模倣する高度な偽装攻撃では相対エントロピーの値が小さくなり得るため，防御者は相対エントロピーを改善する通信方法や観測方法が必要である．そこで我々は制御システムで用いられるModbus TCP通信を対象に，相対エントロピーによる攻撃検知や攻撃時に小さくなった相対エントロピーの改善方法について検討する．本稿ではまず，相対エントロピーを用いた制御システムにおけるDoS攻撃の検知を行う．次に，リプレイ攻撃に対して相対エントロピーによる攻撃の検知を行う．この２つの結果から，尤度比検定により理論的に達成できる検知性能と実際の検知性能の関係を考察する．また，仕様が公開されているModbus TCPのペイロード部分にダミー信号の追加を検討する．ダミー信号を生成する確率分布を攻撃者から秘匿し，相対エントロピーの値を改善する方法について考察する．

2D3-3

IoTアクチュエータにおけるゼロトラスト・セキュリティ方式の提案 ○小林信博(長崎県立大学シーボルト校): Society5.0 の実現に向けてサイバーフィジカルシステム（CPS：Cyber Physical System）の社会への導入が進む一方、CPSを構成するIoT機器のなかでも現実世界に物理的な変化をもたらすアクチュエータ機能を有する機器（IoTアクチュエータ）に対して、サイバー攻撃の脅威が増大している。プログラムの未知の脆弱性を悪用するゼロデイ攻撃など、日々進化するサイバー攻撃により発生するIoTアクチュエータに対する不正な制御への備えとして、今後の社会インフラとなるCPSの強靭化は喫緊の課題である。本稿では、特に、サイバー空間から物理空間へのフィードバックとして物理的な作用を発揮するIoTアクチュエータに求められるセキュリティ要件と、攻撃者が常に傍らに存在するというサイバー空間の変化を踏まえた、現実世界に変化を及ぼす制御に係るセキュリティのフレームワークについて検討し、ゼロトラスト(Zero Trust)と呼ばれるセキュリティの新しい概念を取り入れたIoTアクチュエータにおけるセキュリティ方式を提案する。

2D3-4

類似デバイス正則化による異常な新規通信リンクの検知性能改善 ○大庭　達海(パナソニックホールディングス) 、岡田　裕幸(パナソニックホールディングス): 制御システムネットワークのセキュリティ監視では，（送信元IP，プロトコル種別（TCP/UDP）とポート番号，宛先IP）の3つ組（通信リンク）のホワイトリストを使った手法が有効だとされてきたが，ホワイトリストベースの通信リンク監視手法は多くの誤検知を引き起こすため実用性に欠ける．そこでネットワーク内の通信状況をもとにグラフを生成し，グラフ内の未知リンクの発生確率を算出することでホワイトリストに載っていない通信リンクが発生する妥当性を定量化する手法が考えられた．本稿ではこの未知の通信リンクの妥当性を定量化する手法の改善のために，類似する特性を持つと考えられるデバイスのベクトル表現が近づくような正則化項を導入して，リンク存在性を予測するモデルの予測性能を向上させる方法を示す．提案手法の性能を複数の工場内のデータを用いてMRR（Mean Reciprocal Rank)で評価したところ，既存手法の性能を平均的に34%程度上回っており，より実用的な手法であることを確認できた．

2D4-1

制御系のサイバー攻撃からの安全復旧のための空間分割に基づく回復スーパーバイザ ◎池田佳輝(電気通信大学) 、澤田賢治(電気通信大学) 、小倉貴志(日立製作所) 、阪田恒晟(日立製作所): 本研究ではサイバー攻撃を受けた後の制御システムの速やかな復旧問題に焦点を当て，フィールド機器の異常な振る舞いから正常な振る舞いへの回復動作順序の自動設計を目指す．先行研究の中には，動作順序のフローチャートをグラフとして捉え，グラフ上の経路探索により回復動作順序を求める方法がある．この際，回復動作と通常動作の干渉や物理的な接触・衝突などの二次的被害を制限する必要があるが，グラフ探索的な手法ではそれらの考慮に限界がある．この回復時の動作安全性保証問題の1つ目の解決方法として，本研究ではスーパーバイザ制御理論から保証することを目指す．当該理論はフローチャートなどの制御仕様に基づき制御系の振る舞いを最適に制限する．2つ目の解決方法として，動作安全保証付きのスーパーバイザ制御理論に組み込むための非干渉・非接触な制御仕様の構築方法を与える．後者において接触判定と判定結果から制御仕様への変換が課題となる．そこで四分木空間分割による接触判定と接触時の状態遷移モデルに基づく振る舞い表現を提案する．本手法によりサイバー攻撃後の安全な回復動作順序の構築が可能であることを3Dシミュレータにより示す．

2D4-2

制御システムに対するサイバー攻撃検知・原因特定のための学習データ生成手法の提案 ◎雛田浩生(住友電気工業株式会社) 、吉田圭吾(住友電気工業株式会社) 、増川京佑(住友電気工業株式会社) 、相馬大輔(住友電工―産総研サイバーセキュリティ連携研究室): 近年、制御システムにおけるセキュリティインシデントの増加に伴い、サイバーセキュリティに関する法整備、標準化が国際的に進展している。特に、インシデント発生時の対応、復旧の観点では、関連機関への迅速な報告が求められている。現在、影響範囲および異常原因の分析は主に人手で行われているため、時間を要する。分析時間を短縮し迅速な報告を行うため、機械学習による原因特定支援技術の研究が進められているが、機械学習に必要な異常時の学習データを十分に準備することは難しい。本稿では、正常データおよび取得された一部の異常データを基に、取得していない異常データを生成する技術を提案する。産業用ロボットアームに取り付けた加速度センサのデータによる原因特定システムに本技術を適用した結果、生成した異常データにより学習したモデルと実際の異常データにより学習したモデルでの異常分類精度が同程度となり、提案手法の有効性を確認した。

2D4-3

サイバー攻撃シナリオの生成と成否評価を自動化する攻撃エミュレーション技術 ◎戸田康介(株式会社東芝) 、Jason Youzwak(Peraton Labs) 、Michael Hylkema(Peraton Labs) 、青木慧(株式会社東芝) 、小椋直樹(株式会社東芝) 、中西福友(株式会社東芝): 近年，情報システムや制御システムを標的とするサイバー攻撃の脅威が増してきている．制御システムのように攻撃による被害が大きいシステムでは，存在するリスクの中で実際の攻撃につながりうるものを評価し，対策を講じることが求められる．リスク評価には攻撃のシナリオの検討・実証を行うペネトレーションテストが有効だが，専門家の高度なスキルが必要であり，セキュリティ技術者の育成や依頼費用の面で課題がある．このうち攻撃シナリオの検討を自動化する技術としてBreach and Attack Simulationが提案されているが，実機を用いて攻撃の成否を評価することが困難であり，実際には攻撃に失敗するような攻撃シナリオが提示される場合がある．そこで，システムに対する攻撃シナリオの生成および実証を自動化する技術を開発した．模擬制御システムを用いた実験を行い，攻撃シナリオが正しく生成されること，攻撃シナリオを自動で実行して攻撃の成否の評価が可能であることを確認した．これにより，専門家不在の組織でも容易に実際の攻撃や被害につながりうる攻撃シナリオを検討することができ，セキュリティリスクの把握が可能になる．

2D4-4

強化学習を用いた制御システムのブロックリストの設計 ◎小川寛太(電気通信大学) 、澤田賢治(電気通信大学) 、小倉貴志(日立製作所) 、阪田恒晟(日立製作所): IoT化が進む制御システムでは，情報系に対する攻撃が物理系の損害として現れるため，物理系の振る舞いを考慮した攻撃検知と抑制が必要である．制御システムの情報を統合管理するSCADAに対するランサムウエア感染などの被害報告が増えていることを想定し，本研究ではSCADAに対するブロックリストを強化学習により設計することを目的とする．通常制御時，SCADAは制御仕様に沿うようにコントローラの振る舞いを管理するが，攻撃時は制御仕様に沿わない動作命令（攻撃命令）をコントローラに対して発信する可能性がある．SCADAからの攻撃命令をコントローラの振る舞いから検知する方法として，本研究ではスーパーバイザ制御理論を用いる．スーパーバイザ制御理論を利用することにより，通常命令と判別が付きにくい攻撃命令に対するブロックリストをシステム論的に定式化できることを示す．さらに，ブロックリストの設計方法として強化学習を利用する．具体的には，通常制御時の振る舞い（セーフリスト）に負の報酬を付与することで通常制御から逸脱した際のプラントの振る舞いモデルを学習し，ブロックリストを構成する．本稿では３Dシミュレータ上で再現したプラントでの検討を示す．

2E1-1

ハッシュ関数SHA-1, SHA-256に基づくMAC関数への偽造攻撃を目的とした代数的故障利用解析 ◎中村一貴(福井大学) 、飯沼浩仁(福井大学) 、廣瀬勝一(福井大学): SHA-1, SHA-256は米国立標準技術研究所（NIST）により標準化されたハッシュ関数である。本研究では，SHA-1，SHA-256を用いて構成されるメッセージ認証関数の鍵回復や偽造攻撃を目的とした代数的故障利用解析を行った。2014年にHaoらは，意図したラウンドの中間連鎖値の意図した位置に故障が注入できることを仮定して，65個の故障注入によりSHA-256圧縮関数への入力を復元できることを示した。さらに，2021年にHoriらは，18個の故障注入により高い確率で入力を復元できることを示した。本研究では，意図したラウンドの中間連鎖値のある位置に故障が注入できることを仮定して，40個の故障注入によりSHA-256圧縮関数への入力を高い確率で復元できることを示した。さらに，HMAC-SHA-1のメッセージスケジュールを考慮したSHA-1圧縮関数への代数的故障利用解析を行い，SHA-1圧縮関数の入力が回復できることを確認した。また，SHA-1，SHA-256圧縮関数について，入力メッセージブロックが既知であることを仮定して，代数的故障利用解析により入力連鎖値の回復を行った。

2E1-2

漏えいと妨害電磁波を用いた暗号モジュールに対する統計故障解析 ◎西山輝(奈良先端科学技術大学院大学) 、藤本大介(奈良先端科学技術大学院大学) 、林優一(奈良先端科学技術大学院大学): 暗号モジュールへの非同期・非侵襲な電磁波注入攻撃は、攻撃者による物理的な接近や自由な操作が困難な機器を対象とし、秘密鍵の取得に差分故障解析(DFA)を用いてきた。一方、DFAでは誤り暗号文と正しい暗号文のペアが必要であり、攻撃者による入力操作が攻撃の制約条件となっていた。これに対し、本稿では、統計故障解析(SFA)に着目し、攻撃者が入力を操作することなしに、非同期・非侵襲な電磁波注入攻撃時に生ずるサイドチャネル情報と誤り暗号文を用いて、秘密鍵が取得可能となる手法を提案した。そして、SASEBO-Gに実装したAESに提案手法を適用し、約1,200個の誤り暗号文から秘密鍵が取得可能であることを示した。

2E1-3

レーザーフォールト攻撃に対するリングオシレータ利用検知方式の限界 ◎林　俊吾(横浜国立大学) 、近野　真生(横浜国立大学) 、坂本　純一(産業技術総合研究所/横浜国立大学) 、松本　勉(横浜国立大学): 故障注入攻撃は動作中のデバイスに故障を注入する攻撃である．特にLaser Fault Injection(LFI)を用いたフォールト攻撃は時間制御性と空間制御性に優れた非常に強力である．これまでに1つのレーザースポットのみを利用するシングルスポットLFIに対して様々な対策が提案されてきた．しかし昨今では２つ以上のスポットを照射するマルチスポットLFI環境が提案されており，既存の対策は十分な防御を提供できなくなる可能性がある．本稿では，低コストで広範囲のLFIを検知することができるFPGA実装のROベースの対策を，シングルスポットLFIおよびマルチスポットLFIにより評価する．シングルスポットLFIのレーザースキャン実験の結果，リングオシレータのインバータ付近では信号遅延が減少し，配線付近では信号遅延が増加することを報告する．またこれを利用し，信号遅延が増加する領域と現象する領域に同時にレーザーを照射することで，リングオシレータの周波数の変動を相殺し，ROベースのレーザーセンサを無効化できることを報告する．

2E1-4

TEEバイパス攻撃対策のRISC-V Keystone実装評価 ○梨本　翔永(三菱電機) 、上野　嶺(東北大学) 、本間　尚文(東北大学): CHES2022において，セキュアな実行環境 (Trusted Execution Environment: TEE) をフォールト攻撃による命令スキップでバイパスする攻撃とともに，このようなTEEバイパス攻撃に対して完全な攻撃耐性を持つジャンプアドレスマスキングと呼ばれるソフトウェア対策が提案された．しかし，本対策は，ビルド時にジャンプアドレスが確定する組込み向けのTEEを主な対象としているため，Operating System (OS) とともに動作するTEEへの適用には課題があった．本稿では，こうした課題の解決方針を提案し，著名なRISC-V TEE実装であるKeystoneに対して対策を実装した．さらに，本対策を実機で動作させ，対策の攻撃耐性とオーバーヘッド評価を行った．評価結果から，本対策は，メモリ/実行速度のオーバヘッドの観点でリーズナブルにTEEバイパス攻撃を防ぐことができることが分かった．

2E2-1

Combined Power Analysis and Lattice Attack on CRYSTALS-Kyber ◎Yen-Ting Kuo(University of Tokyo) 、Atsushi Takayasu(University of Tokyo): CRYSTALS-Kyber is a key-encapsulation mechanism (KEM), whose security is based on the hardness of solving the learning-with-errors (LWE) problem over module lattices. As in its specification, Kyber prescribes the usage of the Number Theoretic Transform (NTT) for efficient polynomial multiplication. Side-channel assisted attacks against Post-Quantum Cryptography (PQC) algorithms like Kyber remain a concern in the ongoing standardization process of quantum-computer-resistant cryptosystems. Among the attacks, correlation power analysis (CPA) is emerging as a popular option because it does not require detailed knowledge about the attacked device and can reveal the secret key even if the recorded power traces are extremely noisy. In this article, we present a methodology to utilize CPA to recover a portion of the secret key from the power consumption of these polynomial multiplications in the decryption process. Then, using the information, we are able to fully recover the secret key by constructing an LWE problem with a smaller lattice rank and solving it with lattice reduction algorithms. The CPA can be further parallelized and experiment on simulated traces shows that the whole process can be done within 20 minutes on a 16-core machine.

2E2-2

暗号ICチップの裏面サイドチャネル攻撃とシミュレーション ◎長谷川陸宇(神戸大学大学院科学技術イノベーション研究科) 、弘原海拓也(神戸大学大学院科学技術イノベーション研究科) 、門田和樹(神戸大学大学院科学技術イノベーション研究科) 、三木拓司(神戸大学大学院科学技術イノベーション研究科) 、永田真(神戸大学大学院科学技術イノベーション研究科): 暗号モジュールには動作に起因するサイドチャネル情報より内部の秘匿情報を解読するサイドチャネル攻撃の脅威が存在する。また、フリップチップ実装されたICチップはシリコン基板面が露出する形で実装されており、ICチップのシリコン基板面に対する直接プロービングの可能性がある。本稿ではチップ裏面のシリコン基板面をアクティブプローブによって直接プロービングしたチップ裏面電圧をサイドチャネル情報として用いた相関電力解析（CPA）によりサイドチャネル漏洩評価を行った。それにより、サイドチャネル漏洩に対するシリコン基板厚みの効果を検討した。また同様の暗号ICチップに対して、シリコン基板電位を電源電流シミュレーションを用いて解析し、相関電力解析（CPA）によってサイドチャネル漏洩評価を行った。シミュレーションによるサイドチャネル漏洩評価が可能になれば暗号ICチップの設計段階からサイドチャネル情報の漏洩評価が可能となり、対策を施した設計の時間的、金銭的コストの低減が期待される。

2E2-3

誤り訂正符号によって生じるビット非独立なサイドチャネルリーク ◎浅野多聞(電気通信大学) 、菅原健(電気通信大学): 消費電力等のサイドチャネル情報から暗号鍵を推測するサイドチャネル攻撃は，その攻撃手法と共に対策手法の研究が進んでいる．なかでも暗号処理に用いる中間値を複数のシェアによって分散するマスキングはサイドチャネル攻撃対策として最も一般的であり，効率的な実装の研究が進んでいる．ある種のマスキングを施したソフトウェア実装は，ビット演算から生じるリークのビット独立性を求める．しかし，この仮定に反して，ALU 内のシフタや加算器からビット非独立なリークが CPU から生じることが知られている．本稿では，ALU ではなく単純なメモリアクセスからもビット非独立なサイドチャネルリークが生じることを示す．このリークは，ECC (Error Correction Code，誤り訂正符号)の副作用として生じる．本稿では，ECC から生じるビット非独立なリークを用いた実験で明らかにするとともに，これにより生じる脅威を，いくつかの具体的なマスキング実装手法を例に考察する．

2E2-4

相互補助相関電力解析の正解鍵順位と鍵復元率の調査 ◎西澤慧悟(電気通信大学) 、崎山一男(電気通信大学) 、原祐子(東京工業大学) 、李陽(電気通信大学): MA-CPA(Mutual Assistant Correlation Power Analysis)はS-boxの並列実装における非解析対象バイトのノイズ軽減によって鍵復元率を改善した。また、規則的な鍵候補の組み合わせによって、遺伝的アルゴリズムを用いた手法と比較して計算量を削減した。一方で、MA-CPAのアルゴリズムと評価は鍵列挙アルゴリズムを考慮することなく提案されたものである。鍵列挙アルゴリズムとは、各バイトが順位付けされた鍵候補の配列から、フルバイトの鍵を列挙する手法である。\par 本稿では、MA-CPAと鍵列挙アルゴリズムを組み合わせることで攻撃性能が改善されるかどうかを検証するため、MA-CPAの正解鍵順位と鍵復元率を調査した。調査を行うにあたって、まずはMA-CPAを鍵列挙アルゴリズムと組み合わせるのに適した手法へ変更し、シミュレーションによるMA-CPAの正解鍵順位と鍵復元率の調査を行った。シミュレーションの結果により、MA-CPAと鍵列挙アルゴリズムの組み合わせでより正確な鍵の復元が行える可能性について解析した。

2E3-1

自己混合干渉法による安価なレーザー振動計を用いた盗聴攻撃 ◎土井康平(電気通信大学) 、菅原健(電気通信大学): レーザードップラー振動計 (LDV) は，ガラス窓や壁などの物体にレーザーを照射し，その反射光から対象物の振動を取得する計測器である．Walker と Saxena は， EuroS&P 2022 において，LDV を用いた盗聴攻撃の脅威を示した．従来研究が用いた LDV は計測器グレードのものであり，(i) 高価であり入手が困難である, (ii) 可視光を用いており攻撃が露見しやすい, (iii) 装置が大型である可搬性が低い, などの課題があった．本稿では，自己混合干渉法による安価なレーザー振動計を用いることで，上記の課題を解決する．本手法を用いると，レーザーダイオード 1 つでレーザー振動計を実現できるため，安価・小型かつ，色（レーザー光の波長）を自由に選べる．本項では, 自己混合干渉法によるレーザー振動計を用いた盗聴攻撃の脅威と実現可能性を，実験により評価する．

2E3-2

定常電力波形予測に基づく電力解析によるIoTデバイス異常動作検知の比較・評価 ◎久古幸汰(早稲田大学) 、木田良一(株式会社ラック) 、金子博一(株式会社ラック) 、戸川望(早稲田大学): 近年，Internet of Things(IoT) デバイスの普及に伴い，ハードウェアデバイスのセキュリティ課題が増加している．ハードウェアデバイスの異常動作を検知する手法として，消費電力を解析し，動作の継続時間と消費電力量から異常動作を検知する手法がある．しかし，OS上でアプリケーションが実行されるIoTデバイスは，OSやハードウェアが常に消費する定常的な電力とアプリケーションによる消費電力が重なり，IoTデバイス全体の消費電力は複雑な波形となる．そこで，LSTM(long short-term memory)を用いてOSが消費する定常的な電力波形を推定し全体の消費電力から差し引くことで，アプリケーション電力波形のみを抽出し異常動作を検知する手法が提案されている．本稿では，LSTMを用いて定常状態を推定し異常動作を検知する手法を複数のデバイスに適用し，その結果を比較・評価する．評価の結果，3種類のデバイスにおいて異常動作の検知に成功した．

2E3-3

ドメイン汎化によりメンバシップ推論攻撃に耐性を持つグラフ学習を用いたゲートレベルハードウェアトロイ識別 ◎山下一樹(早稲田大学) 、長谷川健人(株式会社KDDI総合研究所) 、披田野清良(株式会社KDDI総合研究所) 、福島和英(株式会社KDDI総合研究所) 、戸川望(早稲田大学): ハードウェアトロイとは，ICの設計・製造工程で悪意ある第三者により挿入された不正回路であり，その検知にゲートレベルネットリストのグラフ学習に基づく手法が有効であると報告されている．一方で，グラフ学習を用いたハードウェアトロイ識別に対するメンバシップ推論攻撃の危険性が指摘されている．この攻撃手法は，ネットリストに含まれるハードウェアトロイのデータが，識別器の訓練データとして使用されたかを推論する攻撃手法である．攻撃が成功した場合，攻撃者は訓練データに含まれるハードウェアトロイの構造を明らかにできるため，対策の必要がある．本稿では，メンバシップ推論攻撃に耐性を持つハードウェアトロイ識別器の生成手法を提案する．提案手法は，ハードウェアトロイ部分の訓練時に勾配を計算し，勾配の大きな特徴量をマスクすることでドメイン汎化された識別器を生成するものである．提案手法により，訓練データとテストデータを予測した際の出力値の差異が小さくなり，攻撃に耐性を持つことが期待できる．評価実験の結果，提案手法によりハードウェアトロイの識別性能を向上させた上で攻撃に耐性を持つ識別器を生成可能であることを確認した．

2E3-4

アンサンブル学習によるネットリストレベルのハードウェアトロイ識別の評価 ◎根岸良太郎(早稲田大学) 、戸川望(早稲田大学): 情報テクノロジー機器に欠かせないICの設計・製造は年々需要が拡大しており，半導体開発ベンダは設計や製造の一部を外部に委託するようになってきている．一方，信頼性の乏しいベンダーの設計・製造によりハードウェアトロイの組み込みを招く危険性が指摘されている．ネットリストレベルでハードウェアトロイを検出に機械学習を用いる手法が提案されている．中でもアンサンブル学習モデルを用いる手法が効果が高いとされている．本稿では，ゲートレベルネットリストを対象に，アンサンブル学習をベースとする，さまざまな機械学習モデルーRandom Forest，XGBoost，LightGBM，CatBoostーを用いたハードウェアトロイ識別を行い，識別性能を評価する．特に，機械学習モデルごとにハードウェアトロイ特徴量を最適化し，IPコアネットリストを含む，さまざまなゲートレベルネットリストのハードウェアトロイ識別を試みる．

2E4-1

折り曲げ式マウスへのレーザーを用いたシグナルインジェクション攻撃 ◎田中樹(電気通信大学) 、菅原健(電気通信大学): 折り曲げ式マウスに対し，外部からレーザー照射することでマウスカーソルを操作する攻撃を提案する．ここで折り曲げ式マウスとは，平板状の筐体をアーチ状に折り曲げて使用する種類のマウスを指す．そのようなマウスでは，センサ部と机の間に空間ができるため，攻撃者はマウス下部に向けて光を照射し，マウスカーソルを操作することができる．この手法を用いてマウスカーソルを定期的に動かすと，無操作時に一定時間でロックされるPCのスリープを妨害するなどの脅威が生じる．本稿では，複数機種の折り曲げ式マウスに対し，青色レーザーポインタ・赤外レーザーを様々な角度から照射する実験を行い，そのような攻撃の実現可能性を検証する．

2E4-2

LiDAR欺瞞攻撃実験に基づくセンサ攻撃耐性シミュレータの構築 ◎福永　真士(三菱電機株式会社) 、永塚　智之(三菱電機エンジニアリング株式会社): 計測セキュリティの分野では, システムの安全性の大前提となるセンサデータの取得時点のセキュリティを確保するべくセンサへの物理攻撃とその対策の研究が進められている. 自動運転やUAVの分野で使われる近赤外線センサであるLiDARに対して、レーザを直接照射して物体検知を騙す欺瞞攻撃がある. このようなセンサへの攻撃は, センサ後段の信号処理の段階では正規の信号と区別することができず, 計測タイミングで攻撃を検知して取り除く対策が必要である. そこで, センサ攻撃の影響とその対策効果を評価するシミュレータを構築する. このシミュレータ上で, センサへの意図的な攻撃を再現し, その対策効果を可視化することによって攻撃耐性を評価する. 本研究では, この攻撃耐性シミュレータの目的を達成するため, 実験によって実世界での攻撃の制約やセンサ信号処理への攻撃の影響を算出し, シミュレータモデルに反映させた. これにより, LiDAR欺瞞攻撃に対する具体的な対策への指標を示した.

2E4-3

電磁リレーを含むシステムの磁気攻撃耐性を評価する方法 ◎大和田拓実(横浜国立大学) 、橘和樹(横浜国立大学) 、松本勉(横浜国立大学): 近年，家庭や工場などで数多くの電子機器が使われるようになり，電磁妨害の脅威が問題とされている．実際に核爆発などを利用した電磁波妨害や，それによって生じる大電流・大電圧などの攻撃が脅威として考えられていて，必要な規格なども整ってきている現状がある．しかし，電磁妨害の中でも磁気を用いた攻撃については十分な議論がされておらず，規格なども整備されていない．本稿では具体的な事例として，電磁リレーを含むシステムについて検討する。電磁リレーとは，電磁石によって接点を操作して回路の開閉を切り替える素子であり，家電やセンサ，自動車などのさまざまなシステムに組み込まれている．電磁リレーを含むシステムに対して，その外部から磁界を与えることで，その接点を不正に切り替え，システムの応答を不正に操作するような攻撃が行われ得ることを明確に示し，どの程度の耐性を持つかの評価を行う方法を示す．システムが想定される磁気攻撃に対して耐性を持つための要件やそれに基づく対策についても言及する．

2E4-4

光電センサに対するセキュリティ上の脅威分析 ◎小野寺啓太(横浜国立大学) 、吉田直樹(横浜国立大学) 、松本勉(横浜国立大学): システムが物理世界を認識する際にセンサが用いられる．システムを安全に運用する場合には，用いられるセンサのセキュリティについて十分に検討する必要がある．システムによく用いられるセンサの1つに，光を用いて物体の有無や表面状態の変化を検出する光電センサがある．光電センサは，測定光を出す投光部，測定光を受ける受光部で構成され，受光部での測定光の受光量の変化を見ることで事象を検出している．その単純な構造から，一般家庭や大型施設，工場に至るまで様々な場所で広く利用されている．そのため，光電センサに対してセキュリティの観点から検討を行う必要がある．本発表では，投光部，受光部の位置関係，測定光の経路により分けられる光電センサの計測方式それぞれに対し考えられる攻撃を検討し，その脅威を明らかにする．その際，光を用いて計測するという点で類似したセンサであり，既存研究が多くあるLiDARとの比較を行い，光電センサとの類似点，相違点を明確にする．加えて，実際の光電センサに対して攻撃実験を行い，検討した脅威を実際に確認する．

2F1-1

マルウェア検知器に対する敵対的パッチ攻撃におけるパッチ配置位置についての考察 ○小久保博崇(富士通株式会社) 、大山恵弘(筑波大学): マルウェアは増加の一途を辿っており，亜種マルウェアも含め日々大量のマルウェアが開発されている．このような現状に対抗するために，機械学習を使ったマルウェア検知器の研究が進んでいる．機械学習を使ったマルウェア検知器とは，表層解析，静的コード解析，動的コード解析，マルウェア画像化などによってマルウェアから特徴量を抽出し，機械学習モデルを訓練することで，入力がマルウェアかどうかを判別することができるプログラムである．このような機械学習技術を使うことで高速にマルウェア判別が可能となるが，一方で機械学習技術を狙った攻撃も存在する．その一つが敵対的パッチ攻撃であり，入力値に特殊な摂動（敵対的パッチ）を加えることで，機械学習モデルの判別を誤らせる攻撃である．本論文では，マルウェア画像を入力として受け取るマルウェア検知器を対象として，敵対的パッチ攻撃が成功することを示すとともに，攻撃者がマルウェアに敵対的パッチを挿入するとき，ファイル中のどの位置にパッチを挿入するとより攻撃の成功率があがるかを示した．結果として，PEファイル中に最初に登場するセクションの直前に敵対的パッチを挿入ことが最も効果的であることがわかった．

2F1-2

セクション情報を考慮したアンサンブル型マルウェア分類器の提案 ◎竹内廉(静岡大学大学院総合科学技術研究科) 、三橋力麻(静岡大学大学院総合科学技術研究科) 、西垣正勝(静岡大学大学院総合科学技術研究科) 、大木哲史(静岡大学大学院総合科学技術研究科): サイバー攻撃者とセキュリティアナリストの戦争が日々激化している．最近のマルウェアは巧妙化が進み，簡単に入手・作成可能なツールの存在から亜種や新種へと多様化し続けている．これにより，セキュリティアナリストの負担が増加し，迅速な解析の妨げとなっている．多様化されたマルウェアの効率的な解析には，マルウェアファミリーの特定が重要であり，近年では低コストかつ汎用的に分類可能な深層学習ベースの手法が多く提案されている．その中でも，特徴量としてバイナリを画像で表現したマルウェア画像が多く用いられている．しかし，これまでの検討ではマルウェア分類に特化したモデルやアーキテクチャの提案がなされていない．我々は過去にマルウェア画像のどの部分に識別性があるのか検証し，ファミリーの識別性が高いセクションの存在を確認した．そこで，識別性の高いセクションのみからなる画像の分類モデルを複数用意し，予測結果を組み合わせることで，各セクションの詳細な特徴を考慮したアーキテクチャを検討する．BIG2015データセットを用いた検証にて，元画像のみで学習したベースラインと比較して精度向上が見られ，提案手法の有意性を示した．

2F1-3

多層的なエントロピーを用いたマルウェア検知手法の提案 ◎岸端晃毅(岩手県立大学大学院ソフトウェア情報学研究科) 、成田匡輝(岩手県立大学大学院ソフトウェア情報学研究科): 依然として攻撃者は，マルウェアを攻撃の手段にしており，日々多くの新しい検体が検出されている．一部のマルウェアには耐解析機能を持つものがあり，マルウェア解析者に追加の人的・時間的コストを生じさせている．これまでのマルウェア検知の研究の多くは特定の抽象度の情報を説明変数としたものが多く，耐解析機能に対してロバストな性質を持っていない．また，検知手法によっては情報の順序入れ替えといった単純な耐解析機能の影響を受けやすいものがある．そこで，本稿では複数の抽象度の情報のエントロピーに着目し，それらを説明変数とするマルウェア検知手法を提案する．提案手法では複数の抽象度の情報を静的解析によって取得し，ランダムフォレストを用いた2値分類を行う．評価実験では，実際のマルウェアと良性のソフトウェアの検体を用意し解析を行い，データセットを作成した．それらの検体のデータセットは自己エントロピーとエントロピーに加えて，それぞれの最大，平均，最小値で構成する．また，データセット内の組み合わせを変化させて比較を行うことで，データセット間の有効な組み合わせを検討した．そして，本手法の有効性を評価実験の結果により示す．

2F1-4

コンポーネントグラフを用いたAndroid マルウェア検知手法の提案 ◎平山快(岩手県立大学ソフトウェア情報学研究科) 、高田豊雄(岩手県立大学ソフトウェア情報学研究科): 近年，Androidを標的としたマルウェアの脅威は増加し続けている．Androidを対象にしたマルウェア検知手法の一つとして，Androidアプリケーション(アプリ)をメソッドコールグラフとして表現し，Androidマルウェアを検知する手法がある．グラフとすることでアプリの挙動を抽象的に表現できるためメソッドコールグラフを用いた検知手法が提案されているが，解析対象に共通ライブラリが含まれる場合があり，それらもグラフとして反映させると本来のアプリとは関係ない挙動も表現してしまい検知精度に影響が出るという問題点がある．そこで本論文では，この問題点を改善するためにより抽象的なコンポーネントグラフの定義とコンポーネントグラフを用いたAndroidマルウェア検知手法の提案を行う．コンポーネントグラフがマルウェア検知に有効かを確認するために合計8,000体の検体を用いて，マルウェア検知精度を評価する実験を行なった．その結果，96.18%の精度でマルウェアを検知することに成功し，マルウェア検知に有効である可能性を示した．

2F2-1

APIコール順序情報によるマルウェアの攻撃目的推定の研究 ○山口祐佳(法政大学) 、金井敦(法政大学) 、呉謙(法政大学): サイバー攻撃は年々増加しており，被害規模も大きくなっている．サイバー攻撃には一般的にマルウェアがよく利用されるため，マルウェアの検出数も増加傾向にある．マルウェアを一つずつ解析していては対応が追いつかないため，できる限り人手を使わずに検知や分類を行う手法の研究が多く行われている．マルウェアの解析方法には大きく分けて動的解析と静的解析があるが，本研究では静的解析と比べて解析時間が比較的短く，多くのマルウェアを処理するのに適している動的解析に着目する．動的解析から得られる呼び出されたAPI関数名の情報を用いて攻撃の目的を推定することができれば被害状況の調査や復旧にも活かせるのではないかと考える．本研究では，動的解析によって得られたAPIコールの順序情報からマルウェアの攻撃目的を推定することを目的として分析を行う．結果として，APIコールの順序情報と攻撃目的の関係に特徴が見られることを示す．

2F2-2

地域性を有するマルウェアに対する動的解析システムの提案 ○藤井翔太(日立製作所) 、山岸伶(日立製作所) 、佐藤隆行(日立製作所): マルウェアを解析環境で実行することによって挙動を明らかにする動的解析は，そのスケール性から広く普及している．他方で，マルウェアには，動的解析を妨害するために，特定の条件を検知した際に挙動を変化させるものがある．この一種として，言語設定やIPアドレス等を検出して動作地域を推定し，特定の地域でのみ動作するマルウェア（以降，地域型マルウェア）がある．地域型マルウェアは，解析環境であることを隠蔽する従前の解析妨害への対策に依らず，攻撃対象の地域以外では動作が顕現しないことから，解析が困難である．そこで本稿では，地域型マルウェアの解析可能性を向上すると共に，地域型マルウェアの抽出と対象地域の推定を可能とするシステムを提案する．具体的には，複数の異なる地域の言語設定やIPアドレス等を模した環境を用意し，各環境で同時並列的に解析することにより，動作の顕現可能性向上を図る．また，各環境での動作の差異をスコアリングすることにより，地域型マルウェアの抽出，非対象地域に対する回避方法の推定，および対象地域の推定を可能とする．また，同システムを実装し，予備評価によって地域型マルウェアの解析と抽出可能性を示す．

2F2-3

ランサムウェアの分類とその解析について ◎林滉斗(神戸大学) 、池上雅人(キヤノンITソリューションズ株式会社) 、長谷川智久(キヤノンITソリューションズ株式会社) 、住田裕輔(キヤノンITソリューションズ株式会社) 、市原創(キヤノンITソリューションズ株式会社) 、岡庭素之(キヤノンITソリューションズ株式会社) 、白石善明(神戸大学) 、森井昌克(神戸大学): 現在，マルウェアの被害が拡大している．その中でも，ファイルを暗号化し，その復旧（復号）のために金銭を要求するランサムウェアが深刻な脅威となっている．本研究では多種多様なランサムウェアの分類，解析を行うものである．分類に関してはそのAPIを特徴量として，機械学習によって分類する．APIを特徴量とする分類手法はいくつか提案されているが，本研究ではそのAPI実行履歴の記述方法に特色がある．特にCNN（畳み込みニューラルネットワーク）を用いて，動的解析結果によって得られたランサムウェアのAPIコールの実行履歴からの各APIの出現順序に着目している．さらに分類結果からランサムウェアの持ち得る機能の違いについて解析を行う．

2F2-4

特定言語のマルウェア検出器の別言語プログラムへの応用に関する検討 ○岡田裕幸(パナソニックホールディングス株式会社) 、大庭達海(パナソニックホールディングス株式会社) 、安達貴洋(パナソニックホールディングス株式会社): オープンソースソフトウェア（OSS)サプライチェーン攻撃は，攻撃者がOSSのコードに対してマルウェアを仕掛ける攻撃である．侵害されたOSSを利用することで情報漏洩等の被害が起こるケースがあり，この問題への対処が喫緊の課題となっている．一方で，機械学習を用いてソースコードのマルウェア検知を行う手法が提案されている．ただし，既存手法は一つの言語を対象とした場合が多く，比較的新しい言語ではラベル（無害orマルウェア）が判明したソースコードのデータ数が十分で無いため検知モデルの構築が困難であり，マルウェアを検知できない恐れがある．本稿では，特定の言語で学習したマルウェア検知モデルを転用することで，データが少なくモデル構築が困難な別言語においてマルウェア検知が行えるか検討する．実験では，著者らが選定した2言語間で検知モデルの転用を行った場合の識別精度を評価し，転用先言語のラベルデータを一切使わずにROC-AUCとして0.7程度の性能が出ることを確認した．また，同一言語のラベルデータを学習に用いた場合の識別精度と比較して精度が下がった原因について仮説と検証を実施し，その結果を元に別言語への検知モデルの転用の実現性と課題を述べる．

2F3-1

複数種別のインディケータを入力としたマルウェア検索手法の提案 ◎安達貴洋(パナソニックホールディングス株式会社) 、大庭達海(パナソニックホールディングス株式会社) 、岡田裕幸(パナソニックホールディングス株式会社) 、芳賀智之(パナソニックホールディングス株式会社) 、氏家良浩(パナソニックホールディングス株式会社) 、柳谷諒(パナソニックホールディングス株式会社) 、平石力哉(パナソニックホールディングス株式会社): セキュリティアナリストはサイバー攻撃検知の指標となるIndicator of Compromise（IoC）情報をもとに、マルウェアや関わる脆弱性などについてCyber Threat Intelligence (CTI)を活用して調査する。しかし、マルウェアは攻撃テクニックを流用したり、わずかな変更を加えたりして作成されることが多く、１つのIoC情報で検索しても多くのマルウェアが該当して、セキュリティアナリストは複数の検索結果を精査するなど分析に時間がかかる。そのため、セキュリティアナリストが複数のIoC情報を入力して検索したときに、絞り込みができることが重要である。本稿ではCTIのSTIXデータに着目し、マルウェアに紐づくIoC情報と複数の検索クエリとの距離をもとに、検索クエリとマルウェアの関連性をはかる手法を提案する。STIXデータに登録されていないIoC情報と登録されているIoC情報が混在した検索クエリをもとに、検索クエリと関連性が高いマルウェアをランキングの上位に表示できるかレコメンドの評価指標で評価を行い、ベースラインと比較してデータの絞り込みに優れていることを示す。

2F3-2

metapath2vecによる脅威インテリジェンス情報の分析 ○湯屋　博生(警察大学校) 、大坪　雄平(警察大学校) 、大塚　玲(情報セキュリティ大学院大学): 脅威インテリジェンス(CTI)は，近年の高度化するサイバー攻撃に対応するための情報収集および分析に関する技術である．近年では，CTIを大規模に蓄積し分析するためのMISP等のプラットフォームが提案されている．しかしながら，CTIに含まれるサイバー攻撃に関する痕跡情報(IoC)などから，有益な情報を抽出することは単純ではなく，機械学習を用いてサイバー攻撃の複雑な痕跡情報を収集・分析する研究が提案されている．　本研究では，IoCに対して，異種グラフニューラルネットワーク(HGNN)を適用し，グラフの構造から本質的な特徴を取得する分析手法を提案する．HGNNの分析には，YizhouらによるMeta Pathを用いる方法が知られており，3種類のMeta pathをMISPに蓄積されたIoCに適用した結果，86%程度の精度でマルウェアファミリの推定ができることが分かった．

2F3-3

Probeheap: a fuzzing model accelerates test on linux heap allocator ◎Liu Peilin(東京大学) 、Miyamoto Daisuke(東京大学): With the development of memory security mechanisms, the attackers focus more on the heap vulnerabilities. The Heap allocator is crucial in this aspect because it directly interacts with the potential malicious user. The security test on the heap allocator has therefore become a critical topic. Besides, the number of vulnerabilities has increased exponentially in recent years, which automatically explores potential vulnerabilities in a rising field. Automated exploit generation, shorted as AEG, helps security-related engineers find vulnerabilities in any kind of system much faster than ever. It was created from the idea of making a tool that could automatically find, assess and even generate exploit code for all potential exploits. This paper introduces a new algorithm, called bin penetration, to help accelerate fuzzing tests on Linux heap allocator. Our evaluation shows that less time is spent generating the same exploits compared to other works. We also assess the other metrics, including the overfitting problem and completeness of the system.

2F3-4

USNジャーナルを用いた頻繁に自身のアップデートを行うマルウェアの検知手法 ◎藤城透(キヤノンITソリューションズ株式会社): 近年，マルウェアによる被害がますます深刻になっている．侵入の手口も高度化しており，感染を前提とした対策も重要となっている．マルウェアには侵入後に長期間潜伏し，セキュリティソフトの検知を避けるため頻繁に自身のアップデートを行うものが存在する．対して，一般的なプログラムでは頻繁にアップデートを行うことは多くないと考えられる．アップデート頻度の高いプログラムの分析は，マルウェアの早期発見やファストフォレンジックにおいて有用であるだけでなく，攻撃者にとっての痛みにもなり得る．この分析には，クライアントからメタデータを収集し分析するシステムを用いることが合理的であると考えられる．しかし，このようなシステムは導入や運用管理のハードルが高い傾向があり，容易に利用できない環境も存在する．そこで本研究では，WindowsのNTFSで利用されているUSNジャーナルを分析することで，頻繁に自身のアップデートを行うマルウェアを検知する手法を提案し有効性を検証する．実験では，Emotetに感染したPCから取得したUSNジャーナルを分析することで検知できることを示す．

2F4-1

Tor Hidden Serviceに対するTraffic Confirmation攻撃のためのオーバーレイ通信システム ○島田　要(警察大学校) 、松浦　幹太(東京大学): Hidden Serviceは匿名通信システムTorを使用して，いわゆるダークネットの一部である，Torネットワーク上でサーバのIPアドレスを秘匿しながらホストされたサービスである．Torの匿名性を低下させる攻撃の分類の一つに，ある特徴を持つ通信（信号）が攻撃者の観測点で検出されたことを確認することで通信経路を特定する，Traffic confirmation攻撃がある．先行研究では，Traffic confirmation攻撃によりHidden Serviceが使用するIPアドレスの特定が可能であることが報告されているが，同一手法を用いる多数の攻撃者が存在する場合，検出された信号の発信者が攻撃者自身であることを確認する必要がある．本論文では，Traffic confirmation攻撃において，信号の発信者を確認可能とするために，Torプロトコルの通信ユニットであるcellの送受信方向を変化させることによりメッセージの送受信を行う通信システムを提案する．

2F4-2

リスク分析における攻撃検討の非属人化に向けた攻撃カタログの提案 ◎石原大移紀(株式会社東芝) 、青木慧(株式会社東芝) 、藤井卓(株式会社東芝) 、大矢章晴(株式会社東芝) 、原田崇(株式会社東芝) 、中西福友(株式会社東芝): 近年、産業用制御システムに対するサイバー攻撃の脅威増大に伴い、リスクアセスメントや脅威分析などを用いてシステムに存在するセキュリティリスクを把握することの重要性が増している。セキュリティリスクを把握する手法は、システムに生じうる脅威（攻撃手法）を分析するリスク分析が一般的である。リスク分析は、システムの実装後であれば、攻撃シナリオの自動生成を行うBreach and Attack Simulation (BAS) 技術を活用できる。一方で、システムの設計段階では、実環境の情報がないことからBAS技術の適用は困難なため、専門家による攻撃検討が必要であり、専門家のスキルによって攻撃の網羅度が異なることや工数がかかることなどの課題がある。本研究では、リスク分析においてシステムに応じたサイバー攻撃手法を検討しやすくするため、世の中の攻撃手法を攻撃検討に必要な情報に着目して整理した攻撃カタログを提案する。模擬環境に対して提案した攻撃カタログを用いて攻撃を検討することで、攻撃の網羅性の向上と工数の削減を確認した。本提案により、非専門家でも攻撃を検討することが可能となり、リスク分析が容易となる。

2F4-3

感情を考慮した異常ログ生成手法についての検討 ◎鈴木伶哉(静岡大学) 、竹内廉(静岡大学) 、柳生航平(静岡大学) 、西垣正勝(静岡大学) 、大木哲史(静岡大学): システムが出力するログは，運用やセキュリティの面で重要であり，必要不可欠となっている．システムが故障した際にはログを確認して故障診断を行うが，システムの大規模化により，ログから異常な振る舞いを手動で検出するには多くの時間を要する．そのため，機械学習を利用した異常ログの自動検出が多く研究されている．しかし，異常ログは正常ログに比べると出現頻度が稀なため，学習データに不均衡が生じる．これを解消するために学習データを水増しするData augmentationが用いられるが，ターゲットシステムのログの形式や異常ログなどについての学習が必要である．そこで，本研究では，異常ログにFailなどのNegativeな単語が多く含まれることに着目した，システムに依存しない汎用的なData augmentation手法を提案する．具体的には，正常ログの感情をNegativeに変換して異常ログを擬似的に生成する．実験では，感情を考慮した提案手法と感情を考慮しない単純な手法をそれぞれ用いて少ない異常ログを水増しする．これにより学習した異常ログ検知器の検知精度を比較することで，提案手法の有効性について考察する．

2F4-4

ユーザ情報の管理を担うID管理手法の現状と課題 ○渡辺　龍(KDDI総合研究所) 、窪田　歩(KDDI総合研究所) 、櫻井　幸一(九州大学システム情報科学研究院): インターネット上のサービス利用において、各種情報を管理し認証認可を担うID管理の手法は広く利用されている。中央集権型のID管理手法では、IDプロバイダにより認証を一元化し、また、管理している情報へのアクセスを認可することで、第三者への属性情報の提供を実現する。しかしながら、中央集権型の認証認可では、単一障害点による個別サービスへのアクセス不能や、IDプロバイダでのデータ分析、また、情報漏洩などが懸念される。このため、近年では中央集権型ではなく利用者が主権を持つようなID管理手法の検討が進められている。その一つであるSelf-Sovereign Identity「自己主権型のアイデンティティ」は、自身の情報管理を自身が主権者となり実施するという概念であり、認証に関する情報も含め属性情報など、自身の情報全ての所持、及びその提供をコントロールするものである。本報告では個人にまつわる情報を管理するID管理技術の現状とその課題について報告する。

3A1-1

関数型暗号を用いた顔認証方式の鍵分散による安全性向上 ◎伊藤悠椰(筑波大学) 、西出隆志(筑波大学): 本論文では内積計算用の関数秘匿関数型暗号(Function-Hiding Functional Encryption,FHFE)によるプライバシ保護型顔認証システム(CANS'21)の改良を提案する。CANS'21方式では暗号用の鍵が漏洩することも安全性の低下につながるため、それを防止することが望ましいが、顔情報をキャプチャするデバイスからの暗号用の鍵の漏洩は考慮されていなかった。しかし実運用において顔認証時に顔情報をキャプチャするデバイスは複数個所に存在するため、そのデバイスへの敵の侵入による鍵漏洩も考えられる。本提案では暗号用の鍵を複数に分割することにより、デバイスに必要な信頼性を下げ、さらに顔情報の照合デバイスにTEEを導入することにより不正アクセスによる攻撃への耐性を高める方式の提案を行う。

3A1-2

無制限二次関数型暗号 ○富田潤一(NTT社会情報研究所): 関数型暗号は、平文 x の暗号文を関数 f の秘密鍵で復号した時、関数値 f(x) が復号され、それ以外に x に関する情報が漏れないという特徴を持つ暗号方式である。関数型暗号において、 f がどのような関数クラスのものを扱えるかは、重要な研究対象であり、二次関数を扱う関数型暗号がペアリングから構成できることは知られている。しかし、これまでの二次関数型暗号は全てセットアップ時に平文長が固定されるという性質があった。本稿では、セットアップ時に平文長が制限されない二次関数型暗号をペアリングから構成する。

3A1-3

適応的シミュレーション安全なIDベース内積関数型暗号の構成 ◎枝村　天真(東京大学) 、高安　敦(東京大学): Abdallaら（ASIACRYPT 2020）はIDベース暗号（IBE）と内積関数型暗号（IPFE）の利点を併せ持つIDベース内積関数型暗号（IB-IPFE）を提案した．これまで，AbdallaらやLaiら（EUROCRYPT 2021）によってペアリング仮定やLWE仮定のもとで適応的識別不可能性または選択的シミュレーション安全性を満たすIB-IPFE方式が提案されているが，より強い適応的シミュレーション（AD-SIM）安全性は達成されていない．本論文で，我々は二つのIB-IPFE方式を提案する．一つ目の方式はLWE仮定に基づき量子ランダムオラクルモデルでAD-SIM安全であり，二つ目の方式はDBDH仮定に基づきランダムオラクルモデルでAD-SIM安全である．提案方式は，既存のIBE方式にAgrawalら（PKC 2020）によるAD-SIM安全なIPFE方式の構成法を適用することで構成しており，基となるIBE方式の性質によって緊密な帰着を持つ．

3A1-4

Fine-grained Secure Computing for Hierarchical Organizations ◎Cheng-Yi Lee(金沢大学) 、Zi-Yuan Liu(金沢大学) 、Raylin Tso(政治大学) 、Masahiro Mambo(金沢大学): Considering that secure computing for multi-level users in enterprises, the notion of hierarchical identity-based inner product functional encryption scheme (HIB-IPFE) is proposed. This cryptosystem utilizes a hierarchical structure from the identity of the receiver while encrypting the vector x into ciphertext. A receiver can compute the inner product ?x, y? if they have the secret key for vector y. However, HIB-IPFE still lacks the flexibility of access control in cloud computing. In this paper, motivated by fine-grained revocation of decryption capacity, we propose a hierarchical identity- based puncturable scheme for inner product functional encryption (HIBP-IPFE). Our scheme allows users to puncture keys on tags, so that punctured keys with a specified key cannot be used to decrypt the ciphertext under those tags. For fine-grained access control, the high-level users can decide the decryption capacity for the low-level users. We formalize the formal definition and security models for HIBP-IPFE, and prove that the proposed scheme is secure under d-DBDHE assumption. In addition, we demonstrate that the theoretical analysis of our scheme satisfies desired features and is more practical in secure computing.

3A1-5

CCA安全な鍵更新可能公開鍵暗号の安全性解析と効率的な一般的構成法 ◎淺野京一(電気通信大学) 、渡邉洋平(電気通信大学 / 産業技術総合研究所): セキュアメッセージングへの応用を目的として，Jostら（EUROCRYPT'19）とAlwenら（CRYPTO'20）によって提案された鍵更新可能公開鍵暗号（Updatable Public Key Encryption; UPKE）は，前方秘匿暗号（Forward-Secure PKE）の拡張であり，任意の送信者が生成する更新暗号文を用いて復号鍵を更新することができる． CCA安全なUPKE方式は，これまでHaidarら（CCS'22）による具体的構成とDodisら（TCC'21）による一般的構成しか知られておらず，JostらのCPA安全なUPKE方式に比べ，効率性に改善の余地が残されている．本稿では，まず，Dodisらの構成法を適用したUPKE方式に対する攻撃を示し，彼らの一般的構成がCCA安全性を満たさないことを示す．更に，ランダムオラクルモデルにおけるUPKE方式の効率的かつCCA安全な一般的構成を新たに提案する．提案構成法をCPA安全なJostらのUPKE方式に適用することで，最も高い効率性を達成するCCA安全な方式を得ることが可能である．

3A2-1

単一局を想定した時限式IDベース暗号についての考察 ◎宮永英和(神奈川大学大学院) 、藤岡淳(神奈川大学) 、佐々木太良(神奈川大学) 、永井彰(NTT社会情報研究所) 、上野　真奈(NTT社会情報研究所) 、鈴木幸太郎(豊橋技術科学大学) 、米山一樹(茨城大学): 時限式IDベース暗号(TRIBE: Timed-Release Identity-Based Encryption)とは，復号できる時刻を暗号化の際に指定できるIDベース暗号である．鍵生成センタがIDに対する鍵を，時刻サーバが時刻に対する鍵を生成し，2つの鍵を用いることで時刻による復号タイミングの制御を実現している．本稿では，IDに対する鍵と時刻に対する鍵の生成を同一者が行うものとしたTRIBEである単一局時限式IDベース暗号(saTRIBE: single-authority Timed-Release Identity-Based Encrypton)を提案し，安全性定義を行う．また，鍵準同型性を満たすIBE (khIBE: key-homomorphic IBE)を用いた一般的構成法を示し，定義した安全性を満たすことを証明する．構成した(sa)TRIBEは，並列多重暗号を利用した一般的構成法に比べて暗号文サイズが小さくなる．

3A2-2

複数鍵生成局化への帰着が緊密となるIDベース暗号の考察 ◎鈴木裕大(神奈川大学大学院) 、藤岡淳(神奈川大学) 、佐々木太良(神奈川大学) 、永井彰(NTT社会情報研究所): 複数の鍵生成局を持つIDベース暗号(Identity-Based Encryption with Multiple Private-Key Generators: mPKG-IBE)は，ProvSec2018にて藤岡らによって提案され，従来からある鍵生成局が1つのIDベース暗号(Identity-Based Encryption: IBE)からmPKG-IBEへの一般的構成，ユーザ/鍵生成局に対する選択的/適応的安全性定義，それらに関する安全性証明が行われた(正確には，IDベース鍵カプセル化機構(Identity-Based Key Encapsulation Mechanism: IBKEM)が用いられている)．しかし藤岡らの構成においては，IBEから鍵生成局に対する適応的安全なmPKG-IBEへの帰着に関して攻撃者が選択する鍵生成局を予測するため，鍵生成局の数だけ安全性の低下が見受けられた．本研究では，mPKG-IBEへの帰着が緊密となる構成を目的として，攻撃者が選択する鍵生成局を予測を必要としないIBEの条件を考察する．

3A2-3

Hierarchical Identity-Based Encryption with Simulation-Based Receiver Selective Opening Security ◎Zi-Yuan Liu(Kanazawa University) 、Masahiro Mambo(Kanazawa University) 、Raylin Tso(National Chengchi University): Receiver selective opening (RSO) security considers the security of encryption cryptosystems under the scenario of one sender and multiple receivers, where an adversary is allowed to adaptively corrupt some receivers' secret keys. In particular, RSO security has been proven that be more securer than standard securities (i.e., indistinguishability-based chosen-plaintext/ciphertext attacks). Much research has focused on RSO security in terms of public-key encryption and identity-based encryption (IBE); however, hierarchical IBE, which is a generalization of IBE, is still lacking in the study, and how to obtain such construction remains an open problem. To fulfilling this research gap, we initiate the study of RSO security on HIBE in this work. Precisely, we first formalize the definition of simulation-based RSO against chosen-plaintext/ciphertext attacks (SIM-RSO-CPA/CCA) for HIBE. We then introduce two generic SIM-RSO-CPA and SIM-RSO-CCA secure HIBE constructions. More specially, we show that (i) a SIM-RSO-CPA HIBE can be obtained from an IND-ID-CPA HIBE; (ii) a SIM-RSO-CCA HIBE can be obtained from an IND-ID-CPA secure HIBE as well as a NIZK that satisfies unbounded simulation soundness and multi-theorem zero-knowledge. Through our general construction, we can derive various concrete schemes based on different hard assumptions (e.g., pairing-based and lattice-based SIM-RSO-CPA/CCA HIBE) according to usage requirements.

3A2-4

合成数を法とするB-smoothな離散対数問題に基づくID-NIKSのp－1法に対する安全性評価 ◎三木美月(大阪電気通信大学) 、村上恭通(大阪電気通信大学): 1990年，村上と笠原は合成数を法とする離散対数問題の難しさを利用した予備通信不要なID鍵共有方式（MK方式）を提案した．MK方式は，Diffie-Hellman公開鍵配送方式の法を合成数nに拡張してnの素因数pとqの離散対数を求めることにより予備通信を不要にした鍵共有方式である．残念ながら，当時はコンピュータの性能不足のためMK方式を実現することはできなかった．2005年，小山らは特殊な素数の積を法とすることによりMK方式を実現可能にする提案を行なった．筆者らは，より一般的にp-1及びq-1がB-smoothな素数の積nを法とする提案を行い，実際に秘密鍵を求められることを示した．本研究では，B-smoothな位数を有する離散対数問題に基づくMK方式のp-1法に対する安全性について計算機実験により評価する．

3A2-5

キーワード推測攻撃を想定した属性ベース検索可能暗号 ◎大坪勇太(千葉大学大学院) 、岸本渡(千葉大学大学院): 属性ベース検索可能暗号とは属性ベース暗号と検索可能暗号を組み合わせた暗号方式である．属性ベース暗号とは，ユーザーの属性情報をもとに文献データへのアクセスを制御することができる暗号方式であり，一方，検索可能暗号は，文献内の特定のキーワードに対するデータ検索を暗号化したままやりとりすることができる暗号方式である．これら二つの暗号方式を組み合わせた属性ベース検索可能暗号は，今日多くのクラウドサービスなどにおいて利用されており，個人や団体の文献データを安全に且つ効率よく扱うための基盤となっている．松本らの既存研究では，キーワード検索に使用されるキーワードの推測を行う攻撃に対して，脆弱性があることが知られていた．そこで本研究では，従来方式の検索可能暗号に改良を加え，キーワード推測攻撃が不可能となる属性ベース検索可能暗号の構築を検討してきた．本研究の方式では，攻撃者の任意のキーワードに対するトラップドア生成を防止し，トラップドアに対するキーワード推測攻撃を困難なものとするようにプロトコルを再構築する．

3A3-1

簡潔データ構造を用いた正規表現検索に対する検索可能暗号 ○山本博章(信州大学) 、福嶋潤(信州大学) 、藤原洋志(信州大学): 本論文は、正規表現とテキスト文書が与えられたとき、そのテキストが正規表現にマッチする文字列を含むか否かを判定する検索問題を考える。そのとき、この問題に対し、de Bruijnとして知られている文字列に対する簡潔データ構造を利用した安全性の高い検索可能暗号を提案する。

3A3-2

安全な更新処理を備えた検索可能暗号におけるデータベースサイズの効率化 ○劉　業軒(横浜国立大学) 、渡邉　洋平(電気通信大学) 、四方　順司(横浜国立大学): 検索可能暗号（Searchable Symmetric Encryption: SSE）とは，暗号化されたドキュメントがデータベースに格納された状態で，キーワード検索を実現させる暗号技術である．特に，データベースの更新処理が可能なものは動的検索可能暗号（Dynamic SSE: DSSE）という．更新処理に関連する安全性として，forward privacyとbackward privacyが知られており，盛んに研究されている．Forward privacyは，新しく追加するドキュメントと既存のドキュメントとの関連性をサーバーに秘匿することを保証する．一方，backward privacyは，削除されたドキュメントの情報をサーバーに秘匿することを保証する．本稿では，Sunらが提案したforward privacy及びbackward privacyを満たすDSSEであるAuraに基づき，同じレベルの安全性及び効率性を保ったまま，データベースサイズがより効率的なDSSE方式を提案する．更に，サーバーへのaccess patternの漏洩を防ぐよう提案方式を拡張できることも示す．

3A3-3

鍵更新機能付き検索可能暗号の安全性証明 ◎坂上司龍(電気通信大学) 、甘田拓海(電気通信大学) 、岩本貢(電気通信大学) 、渡邉洋平(電気通信大学): 検索可能暗号 (Searchable Symmetric Encryption : SSE) とは暗号化データを復号することなく検索出来る暗号技術であり，近年活発に研究されている．一般的に，暗号技術を運用するにあたって秘密鍵漏えいへの対策は重要であり，SSEも例外ではない．秘密鍵漏えいに対する一対策として，平野ら (SCIS 2021) は効率的な鍵更新機能付き検索可能暗号 (Key-Updatable SSE : KU-SSE) を提案した．KU-SSEは秘密鍵を更新可能であることに加え，新しい秘密鍵から古い秘密鍵を導出できるため，更新前に暗号化されたデータも検索することができる．しかしながら，平野らの方式には安全性証明が与えられておらず，方式が許す漏洩情報も不明瞭であった．本稿では，平野らのKU-SSE方式に安全性証明を与え，どのような漏洩を許す必要があるかを明らかにする．

3A3-4

マルチユーザ検索可能暗号の安全性と効率性の向上 ○平野　貴人(三菱電機株式会社) 、渡邉　洋平(電気通信大学) 、岩本　貢(電気通信大学) 、太田　和夫(電気通信大学): SCIS2018で提案されたマルチユーザ検索可能暗号方式の安全性と効率性の向上を行った。

3A3-5

効率的かつ安全な更新処理を備えた結果秘匿可能な検索可能暗号 ◎甘田拓海(電気通信大学) 、岩本貢(電気通信大学) 、渡邉洋平(電気通信大学 / 情報通信研究機構): 動的検索可能暗号 (Dynamic Searchable Symmetric Encryption: Dynamic SSE) は，動的に更新される暗号化データに対して，復号することなく検索を可能にする暗号技術である．Dynamic SSEにおける安全な更新処理は，フォワード安全性とバックワード安全性によって担保され，これらを満たす方式が近年多く研究されている．特に，Sunら (NDSS2021) は，フォワード安全なDynamic SSE方式を用いて，効率的かつ安全な更新処理を備えたDynamic SSE方式を提案している．一方で，安全な更新処理を備えた既存のDynamic SSE方式のうち，アクセスパターンを秘匿する結果秘匿方式については検索や更新の計算量に課題が残る．本稿では，Sunらの方式を拡張し，フォワード安全かつ結果秘匿方式を用いた安全な更新処理を備えた結果秘匿方式の一般的構成法を提案する．特に，甘田ら (CSS2022) のフォワード安全な結果秘匿方式を提案方式に適用することで，既存の方式よりも優れた時間計算量・空間計算量を達成可能である．

3A4-1

パスワード生成ルールはいくつ必要か？ ◎藤田真浩(三菱電機株式会社) 、吉村礼子(三菱電機株式会社) 、金岡晃(東邦大学): パスワード生成ツールには，「英字を含む」「数字を含む」「X文字」のように，パスワードを生成するためのルール（以下，パスワード生成ルール）が実装されている．パスワード生成ツールを利用してパスワードを生成する際に，利用者は，登録しようとしているサービスに適したパスワード生成ルールを選択する．パスワード生成ツールは，選択されたルールに基づいてランダムにパスワードを生成する．本研究は，パスワード生成ツールに実装するパスワード生成ルールの総数と利用者の負荷の間にはトレードオフが存在することに着目し，「パスワード生成ツールには，最小で何種類のパスワード生成ルールを実装しておけばよいのか？」という研究課題に対する検討を行う．

3A4-2

超多数・多種移動体による物流に向けたVerifiable Credentialを用いた移動体認証プロトコル設計 ◎丸山優祐(早稲田大学大学院基幹理工学研究科) 、江口力哉(早稲田大学大学院基幹理工学研究科) 、近藤大暉(早稲田大学大学院基幹理工学研究科) 、上野友輔(早稲田大学大学院基幹理工学研究科) 、渡邉健(早稲田大学基幹理工学部) 、佐古和恵(早稲田大学大学院基幹理工学研究科): Verifiable Credential（以下VC）とはW3Cが定義する物理的なクレデンシャルの表すことができる情報を表現しつつ，クレデンシャルの対象が持つ様々な属性を提示可能な規格である．VCにはデジタル署名技術が利用されている．VCの所有者（以下Holder）は，Verifiable Presentation（以下VP）を生成し，VPの検証者（以下Verifier）と共有することで特定の属性が記載されているVCを保有していることをVerifierに証明できる．本稿では，Verifiable Credentialを用いて超多数・多種移動体による物流のシナリオを実現するための認証プロトコルを設計する．具体的には，シナリオにおける登場人物や移動体の役割を明確化し，配送契約をVCを用いて表現した上で，荷物受け渡しの際のプロトコル要件を明確にした．その要件を満たす認証プロトコルを選択的開示を活用して設計した．また，本稿のプロトコルでは解決できないIssuerHidingをはじめとした問題についても触れる．

3A4-3

多点観測認証：単一クレデンシャルによる多要素認証の達成（その3） ◎野崎真之介(静岡大学) 、芹澤歩弥(静岡大学) 、吉平瑞穂(静岡大学) 、藤田真浩(三菱電機株式会社) 、吉村礼子(三菱電機株式会社) 、大木哲史(静岡大学) 、西垣正勝(静岡大学): 今やPCのマルウェア感染は日常茶飯事であり、パスワード等の正規クレデンシャルの提示のみをもって正規ユーザであると断定し切れないという状況にある。この問題に対する典型的な解決策が多要素認証であるが、認証の度に複数のクレデンシャルを提示する手間が生じる。現在、認証チケットを用いた利便性向上策はあるが、ユーザのPC内にマルウェアが感染している場合、認証チケットを自在に扱われてしまう。多要素認証が必要となる原因がPCへのマルウェア感染にあるならば、複数のクレデンシャルを確認せずとも、「人間が認証を行なった」という事実を確認すれば十分ではないだろうか。そこで我々は、「ユーザの認証意思の物理事象」を「多点で同時に確認」するというコンセプトに基づいた新たなユーザ認証方式として、多点観測認証を提案した。提案方式においては、ユーザの物理動作が多点で同時に観測されることで、「正規ユーザが実際に認証行為を行った」という事象発生の証左となり、これにより多要素認証と同等の効果が達成される。本稿では、基本方式および認証チケット使用方式の2つの多点観測認証の提案と評価、考察を行った。

3A4-4

デジタル ID と複数の電子証明書の紐付けによる様々な保証レベルに適合可能なトラストサービスモデル ◎林田淳一郎(デロイトトーマツグループ) 、野村健太(デロイトトーマツグループ) 、高田雄太(デロイトトーマツグループ) 、熊谷裕志(デロイトトーマツグループ) 、神薗雅紀(デロイトトーマツグループ) 、香野剛(デロイトトーマツグループ) 、前田善宏(デロイトトーマツグループ) 、福田尚久(日本通信株式会社): 健全な電子取引の実現に向けてeIDASやNIST SP800-63等の規則やガイドラインを踏まえたトラストサービスが加速している．サービス全体の保証レベルは，トラストサービス事業者，身元確認および当人確認の各保証レベルにより定まり，例えば法遵守した取引には保証レベルの高い電子証明書による当人確認が必要となる．一方，厳格な当人確認には個人情報が利用されるためプライバシーとトレードオフの関係がある．そのため，サービスに即した適切な保証レベルや法的要件を満たした電子証明書を使い分けられることが望ましい．しかし，複数の電子証明書を跨ぐサービス間連携ができない点や，管理の煩雑さなど利便性に問題がある．そこで本研究では，サービス構成要素を取り換え可能な形で定義することにより，様々な保証レベルに対応できるトラストサービスモデルを提案する．具体的には，利用者にデジタルIDおよび当IDに紐付けて保証レベルの異なる複数の電子証明書を発行することで，証明書の切り替えや柔軟なサービス間連携を可能としている．本モデルを用いた国内実証実験の実例紹介とともに，身元確認にパスポートを応用したサービスの拡張性を検証する．

3A4-5

検証可能証明書を用いたトラストモデルの構築 ○五味秀仁(ヤフー株式会社) 、佐藤周行(東京大学) 、大神渉(ヤフー株式会社) 、白石桃子(東京大学) 、橋田浩一(東京大学) 、丁曄澎(東京大学) 、古川善照(東京大学): 検証可能証明書（Verifiable Credentials）は、W3Cにおいて規定されるデータモデルに従い、発行者によって発行された証明書の内容を検証者が検証可能な仕組みを提供している。証明書には対象となる主体者の情報を記載することができるが、主体者のプライバシー保護に配慮し最小限でかつ信頼に足る十分な主体者情報を掲載するための仕組みが必要である。本稿では、検証可能証明書を用いたトラストモデルを提案する。これにより、分散型でかつ主体者をきめ細かく検証可能な信頼性の高い証明書を発行・運用できる。

3B1-1

不定方程式暗号Giophantus+に対する準同型演算 ◎中島　明(九州大学大学院数理学府) 、縫田　光司(九州大学/産業技術総合研究所): NISTの耐量子計算機暗号標準化の候補として不定方程式暗号の一種であるGiophantusが提案された． Giophantusの原論文では，環準同型性を持つことは示唆されているが，その準同型演算については詳しい解析は未だ為されていない．特に，乗算に関する準同型演算を素朴に実行した場合，ノイズが乗算回数に関して指数的に増大する点と，暗号文サイズ（暗号文の多項式としての次数）が増大する点が問題であった．本稿では，Giophantusの安全性強化版であるGiophantus+をもとに，ノイズの指数的な増大を防止する構成の改良と，増大した暗号文の次数を削減する新たな操作を提案する．

3B1-2

How to compute multiplication in FHE encoding integer plaintexts into polynomials ○王中琦(筑波大学) 、梨本健斗(筑波大学) 、西出隆志(筑波大学): Ring-LWE-based homomorphic encryption schemes such as BFV or BGV are popular because of their many good properties. Iliashenko et al. (PoPETs’22) proposed an efficient method to compute a BFV ciphertext of X^f (z) from a BFV ciphertext of X^z by encoding the input integer z as a polynomial X^z where f can be an arbitrary function. In this encoding, the homomorphic addition of a and b can be computed as X^(a+b) from the normal BFV homomorphic multiplication of X^a and X^b. A potential disadvantage of their scheme is that how to compute the homomorphic multiplication in that encoding (i.e., how to compute a BFV ciphertext of X^ab from BFV ciphertexts of X^a and X^b) is lacking, and in this work, we propose a method to compute the homomorphic multiplication.

3B1-3

実数に対する四捨五入を利用した秘匿計算方式の理論評価 ◎納所勇之介(東京理科大学大学院工学研究科電気工学専攻) 、岩村惠市(東京理科大学大学院工学研究科電気工学専攻) 、稲村勝樹(広島市立大学大学院情報科学研究科情報工学専攻): 実数を有限体上の値に対応させて行う秘匿計算方式は提案されているが，実数上で直接，実行可能な秘匿計算はほとんど提案されていない。特に実数の除算は有限体上の計算としては難しく，乗算による近似を繰り返すなど非効率な処理を用いることが多い。また，実数上で直接，秘匿計算を行う従来方式では誤差に関する評価まで行っているものはほとんどない．そこで，本論文では，実数を用いて除算を含む四則演算を直接計算できる秘匿計算法を提案する。提案手法は，秘密情報に乱数を乗じ，実数の丸め誤差を利用することで，実数を用いた安全な秘匿計算を実現する．また，従来方式では行われなかった計算誤差の評価をできるだけ詳細に行う。これによって，提案手法の原理や汎用性を理論的に解析できるようにする。

3B1-4

完全準同型暗号における整数型平文空間の一拡張手法とその演算 ◎前田大輔(筑波大学) 、森村洸生(筑波大学) 、成定真太郎(KDDI総合研究所) 、福島和英(KDDI総合研究所) 、西出隆志(筑波大学): 完全準同型暗号における平文空間の拡張手法及び各種演算を実行する手法を提案する．前田らはWAHC'22において，比較的大きな平文空間 t における任意の2変数関数を準同型評価する手法を示し，15bitまでの整数における性能評価を行った．本論文ではこの手法を拡張し，さらに大きなビット長の整数演算を扱う手法を構成する．本提案では整数の平文空間を Z_{t} からZ_{t^2} へ拡張し，法t^2での加算，減算，乗算，大小比較及び任意の1変数関数を実行する仕組みをWAHC'22の任意関数実行手法を利用する形で実現する．これにより1つの整数平文を2つのBFV暗号文として表すことで32bit平文空間における整数演算を可能とする．

3B2-1

online-optimalな2者間秘密計算における乱数長の下界について ○樋渡啓太郎(東京大学/産業技術総合研究所) 、縫田光司(九州大学/産業技術総合研究所): correlated randomness (以下CR) は効率的な２者間秘密計算プロトコルを構成するために広く使われる。定義域が[N]×[N]であるような任意の関数fに対して、CRを使用することでオンライン通信コストが最適であるような２者間秘密計算プロトロコルを構成できることが知られており、その構成ではO(N^2)ビットのCRが必要であるが、o(N^2)ビットのCRで実現できるかどうかはまだ知られていない。本発表では、一般にはo(N^2)ビットが達成できないことを示す。

3B2-2

金銭的ペナルティに基づく公平な秘密計算における補償金額の均等化 ○中井雄士(豊橋技術科学大学) 、品川和雅(茨城大学／産業技術総合研究所): ビットコインをベースとする秘密計算では，攻撃者に対し金銭的なペナルティを与えることで公平性を達成できる．このような秘密計算は，BentovとKumaresan（CRYPTO2014）によって「金銭的ペナルティに基づく秘密計算」として定式化された．著者らはTokenomics2021で，ビットコインで実装可能なClaim-or-Refund機能に基づき、O(1)-round，O(n)-broadcastを満たす方式を提案した（nはパーティ数）．しかし，この方式には，攻撃者へのペナルティが発生した際に正当なパーティが受け取る補償金が，パーティ毎に非等価である問題があった．本研究では，この方式をベースに，O(1)-round，O(n)-broadcastを維持したまま，補償金の非等価性を解消した方式を提案する．本提案にあたり，Claim-or-Refund機能の拡張であるClaim-Refund-or-Give機能を新たに導入し，ビットコインでの実現方法を示す．

3B2-3

Garbled Circuit構成用連結リストを用いた効率的な手順 ◎劉　広健(神奈川大学大学院　工学研究科) 、王　天澄(神奈川大学　工学部) 、森田　光(神奈川大学　工学部): YaoによるGarbled Circuitの提案以降，秘密回路に関する多くの構成法が提案されてきた．とりわけ，論理合成の観点からは，真理値表に対応する完全二分木で表現するよりも，BDDまたはZDDによるノード削減によるメモリ量低減できる．しかし，ZDDによる「0」を補う，Garbled Circuitへの適用では上位桁の扱いを補う問題が生じる．本稿では，構成における分岐に着目し，Garbled Circuitを連結リスト型のデータ表現を用いる手順を提案しその性能を考察する．4入力まで確かめたところ，BDDの構成法はZDDよりもメモリ量も遅延時間も少なくなる．また，この手法は，BDDおよびZDDのみならず完全二分木にも適用できる．

3B2-4

特徴量の2値ベクトル化による高速な秘匿1対N顔認証の提案 ◎西田直央(パナソニックホールディングス株式会社) 、大庭達海(パナソニックホールディングス株式会社) 、海上勇二(パナソニックホールディングス株式会社) 、手島宏貴(大阪大学) 、矢内直人(大阪大学) 、照屋唯紀(産業技術総合研究所) 、Nuttapong Attrapadung(産業技術総合研究所) 、花岡悟一郎(産業技術総合研究所): 顔画像認証は人の記憶力や物理媒体に依存しないため利便性が高く，多くの場面で利用されるようになってきた．認証される側のIDが必要となる1対1認証と異なり，IDを必要としない1対N認証は利便性がより高く，アミューズメント施設やオフィスの入退門ゲート，さらには電子決済の本人認証等，幅広い応用がなされている．一般にユーザーが顔認証サービスを利用する際には登録時や利用時に顔画像をサービス提供者に渡さなければならないが，顔画像はプライバシー情報であるため，情報漏えい等を防ぐためにも秘匿されることが望ましい．本稿ではユーザーのプライバシーを保護しつつ精度・速度面で良好な性能を示す1対N顔認証アルゴリズムを提案する．提案手法は局所性を保持するハッシュ法を用いて顔画像から抽出される特徴量を2値ベクトル化し，2値ベクトル間の距離計算において高い性能を発揮するXOR型秘密計算を用いることで，高速に認証結果の候補となる人物の絞り込みを行う．これにより，秘密計算を用いたシンプルな手法と比較して高速に認証処理を実行可能なことを示す．

3B2-5

味噌荘（インターネット雀荘） ○安田英幸(独立研究者): 　筆者は、現在の日本社会において時折話題となる、「課金ガチャ・ソシャゲ課金」について憂慮しています。　そして、課金ガチャの主要素である「確率と結果」を課金ガチャ運営者が一方的に決定し、ガチャ利用者に通告しているのが現状と、筆者は認識しました。　確率をガチャ運営者が一方的に決め、ガチャ利用者が無条件に受け入れる事実は、健全な課金ガチャ文化の範疇かと思います。　しかし、結果も運営者の一方的な通告によっており、ガチャ利用者が無条件に結果を受け入れざるを得ない事実は、看過できません。なぜなら、「ガチャの結果をガチャ運営者に都合の良いように操作している。」という、ガチャ利用者の切実な不安を払拭できないからです。　　そこで、「ガチャの結果には、いかなる不正もない。」とガチャ利用者に説く為に、暗号学の知見「Mental Poker」によって課金ガチャの結果を得ることが重要と、筆者は考えています。　そこで筆者は、「コイントス・サイコロ投げ」といったgameの結果を「Mental Poker」によって得て遊ぶ、「味噌荘」の技術を読者に解説します。

3B3-1

Me演算によるゼロ知識証明の考察 ○白勢　政明(公立はこだて未来大学): 有限体上楕円曲線上の演算Meによるスカラー倍には2つのタイプ，第1-Meスカラー倍と第2-Meスカラー倍があり，第1-Meスカラー倍はスカラー値に自然数の元をとり，2-Meスカラー倍はスカラー値に正の有理数の元をとる．各Meスカラー倍に対する離散対数問題(DLP)である第1-MeDLPと第2-MeDLPが定義される．第1-MeDLPと第2-MeDLPの困難さはECDLPの困難さと同等か以上であることが示されている．本稿は，第2-MeDLPを用いたゼロ知識証明を提案し議論する．

3B3-2

KSS36曲線上のペアリングにおける最終べきアルゴリズムの改良 ◎川田優太(岡山大学) 、池坂和真(岡山大学) 、小寺雄太(岡山大学) 、日下卓也(岡山大学) 、野上保之(岡山大学): ペアリングは楕円曲線上の2つの有理点を入力とする拡大体上の群への写像であり，Millerのアルゴリズムと最終べきの2つのステップにより構成される．最終べきは体上のべき乗算であり，さらに，このべき乗算は計算が比較的容易なEasy partと，それ以外のHard partに分割される．Hard partの分割法や分割結果をどのような手順で計算するかは最終べきの計算効率を大きく左右する．Hard partの分割法については，これまでにp-進数展開法，格子ベースの手法，理論的なアルゴリズムを用いた手法などが提案されてきた．また，最適な計算手順を探索する方法として，加算鎖を利用する方法や計算結果の再利用を行うことができるような関係式を見出す手法が知られている．本研究が対象とするKSS36曲線の最終べきの計算については，p-進数展開法を用いたアルゴリズムが提案されている．一方で，アルゴリズムを構成する際には，格子ベースの手法を用いてより加算鎖が短くなるような分割法を探索する方が計算効率のよいアルゴリズムを構成できる可能性がある．本研究ではこの可能性を検証し，計算量の理論値に基づいてKSS36曲線の最終べきのアルゴリズムの改善を行い，1.48%の計算コストが削減できることが分かった．

3B3-3

Type-II ONBを根にもつ既約多項式の導出と逐次拡大体上の元の原始性の検証 ◎三好茜音(岡山大学) 、疋田智矢(岡山大学) 、池坂和真(岡山大学) 、小寺雄太(岡山大学) 、日下卓也(岡山大学) 、野上保之(岡山大学): 拡大体上の乗算アルゴリズムとしてCyclic Vector Multiplication Algorithm(CVMA)が提案されている．Type-I CVMAはType-I ONB(Optimal Normal Basis)を基底としており，円周等分多項式を法多項式として用いている．また，Type-I ONBを根にもつ既約多項式も円周等分多項式であるため正規基底だけでなく擬似的な多項式基底も形成する．これに対して，Type-II CVMAはType-II ONBを基底としている．Type-II ONBもType-I ONBと同様に円周等分多項式を法多項式として用いるが，Type-II ONBを根にもつ既約多項式は明確に導出されていない．Type-II CVMAは既約多項式を導出せずとも拡大体上の乗算を行うことが出来るが，既約多項式を用いることにより基底変換の検討や拡大体上のより効率的な演算の検討が可能と予想される．また，この既約多項式を用いるとType-II ONBが構成する拡大体の次数を持つ既約多項式が簡便に導出されることになる．本稿では，これまで導出していなかったType-II ONBを根に持つ既約多項式を理論的に導出する．さらに，Type-II ONBにより表現される逐次拡大体上のある元について，その原始性を得られた既約多項式に基づいて議論するとともに，その数学的正当性について具体例や実装結果を交えつつ確認する．

3B3-4

標数2の素体における弱Derksenの定理の別証明 ○伯田恵輔(名城大学理工学部数学科): 本稿では，標数2の素体の場合における弱Derksenの定理の別証明について考察する．

3B3-5

超特異楕円曲線の自己準同型環計算の実装報告 ◎神戸祐太(三菱電機株式会社) 、片山瑛(立教大学) 、相川勇輔(三菱電機株式会社) 、石原侑樹(東京理科大学) 、安田雅哉(立教大学) 、横山和弘(立教大学): 同種写像暗号の安全性は、同種な二つの超特異楕円曲線間の同種写像を計算する問題の計算量的困難性に依存する。このような同種写像の求解は超特異楕円曲線の自己準同型環を計算する問題と関係しているため、自己準同型環の計算可能性を問うことは同種写像暗号の安全性評価の上で重要である。本発表では複数の次数の同種写像を辺とする超特異同種写像グラフ上のサイクル探索を用いた自己準同型環計算アルゴリズムの実装報告、および具体的な計算例の報告を行う。

3B4-1

種数3における分解 Richelot 同種写像計算アルゴリズムとその応用 ○守谷共起(東京大学情報理工学系研究科) 、工藤桃成(東京大学情報理工学系研究科): 同種写像暗号は耐量子暗号の候補の1つと考えられる暗号方式であり，その鍵長の短さなどから注目を集めている．同種写像暗号は通常種数1の曲線を用いて構成されるが，近年種数の高い曲線を用いた暗号プロトコルや攻撃方法が提案されており，種数が高い曲線の同種写像計算の重要度が増している．Richelot 同種写像とは，楕円曲線の2-同種写像の種数2以上への一般化である．種数2では Richelot 同種写像の理論や計算方法に関して多くがわかっているものの，種数3以上の場合は2021年に桂-高島により分解 Richelot 同種写像の特徴付けが得られたが，写像の具体的な計算などについて未解決な問題が残されていた．本講演では，桂-高島の理論に基づき，種数3の場合に分解 Richelot 同種写像を明示的に計算するアルゴリズムを提案する．超楕円の場合の計算量は定義体の2次拡大上の演算として定数時間であり，非超楕円の場合は定義体の適当な拡大体上の演算として定数時間である．応用として，種数3の超特別 Richelot 同種写像グラフの部分グラフを生成するアルゴリズムを与える．

3B4-2

C++用ライブラリを用いたCSIDHの高速実装 ◎吉田　琉夏(公立はこだて未来大学) 、白勢　政明(公立はこだて未来大学): 耐量子計算機暗号の方式の一つとして同種写像暗号が提案されている．格子暗号と比較して鍵長が小さくなるという特徴を持ち，高効率である．しかし，計算コストが比較的高いという課題もあるためさらなる高速化が期待されている．本稿では同種写像暗号の方式の一種であるCSIDHをC++用いて複数の多倍長整数演算ライブラリを用いて実装を行い，ライブラリや計算手法による違いを比較し，鍵共有に必要な処理時間等を検証する．

3B4-3

同種写像に基づく暗号アルゴリズムの高性能ハードウェア実装 ◎Hung Bui(The University of Tokyo) 、Makoto Ikeda(The University of Tokyo): Post-quantum cryptography (PQC) is gaining steady traction as the next-generation of public-key cryptography due to its inherent resistance towards quantum and classical attacks. Of the various algorithmic approaches, supersingular isogeny-based algorithms such as SIKE offer many advantages over the others, primary of which are small-size public-keys and cipher-texts. However, its main deficiencies lie in its relative maturity and overall speed. Regarding the latter, these algorithms have execution times (1s-10s in software; 10ms-100ms in hardware) several magnitudes higher than the other types. To alleviate this issue, this research benchmarked the full potential of supersingular isogeny-based algorithms and provides 3 hardware implementations that have execution times up to 10 times faster (500us-7.50ms) than existing designs using SIKE as the case study. These implementations are developed using a seldom used top-down approach, which starts with a fully-parallelized implementation and creates further implementations by strategically placing clocks from top-to-bottom in the operation hierarchy.

3B4-4

SIDHに対する攻撃の条件緩和について ◎中川皓平(NTT社会情報研究所): 同種写像暗号は, 同種写像問題と呼ばれる数学的問題の困難性を安全性の根拠とする暗号方式の総称であり, 耐量子暗号の候補の一つとして注目されている. 代表的な同種写像暗号として, SIDHやSIDHを基にしたカプセル化方式SIKEがあり, 特にSIKEはNISTの標準化公募において, Round3の代替候補に選ばれていた. しかしながら, 2022年にCastryckとDecruにより, SIDHに対する効率的な鍵暴露攻撃が提案された. この攻撃では, 楕円曲線E_0の非自明な自己準同型と, n-ねじれ点P, Q∈E_0[n]に対応する, 補助点と呼ばれる2点φ(P),φ(Q)∈E[n]を用いて, d-同種写像φ:E_0→Eを求めるアルゴリズムが用いられる. さらに同年, RobertによりE0の自己準同型を用いる必要のない攻撃手法が提案された. 本稿では, このRobertの攻撃手法を基に, 攻撃が成功するための条件を緩和する方法を二つ紹介する. 一つ目は, 補助点が1点しか与えられない場合での攻撃手法について扱い, 二つ目は, n, dに関する不等式条件 (n>d)を緩和する方法について扱う. またそれらに関連して, 次数付き同種写像問題を準指数時間で解く方法についても提案する.

3B4-5

モジュラー多項式の拡張 ○小貫啓史(東京大学): モジュラー多項式とは，レベル1のモジュライ空間の不変量であるj-不変量の間に同種写像が存在するかどうかを決定する多項式である．これは，同種写像ベースの鍵共有プロトコルや同種写像問題の求解アルゴリズムなどに応用されている．本研究では，これを高いレベルに拡張することを試みる．レベルNのモジュライ空間に対して，ある条件を満たす良いモデルと不変量が存在するならば，その不変量に関する位数がNと素なモジュラー多項式が存在することを証明する．また，そのような拡張されたモジュラー多項式を構成するアルゴリズムを与える．この理論が適用可能なモデルとしてMontgomery曲線とHesse曲線がある．これらについて具体的な計算例を与える．最後に同種写像問題の求解アルゴリズムへの拡張されたモジュラー多項式の応用について述べる．

3C1-1

スマートコントラクトにおけるセキュリティに関する調査 ◎五十嵐太一(東京大学) 、松浦幹太(東京大学): 近年のブロックチェーンの発展に伴い、ブロックチェーンシステムの中で実行されるコンピュータプログラムであるスマートコントラクトは、特に暗号資産に関する取引を行う際に重要な役割を担っている。しかし、スマートコントラクトは、しばしば悪性なユーザの攻撃対象となることや犯罪に利用される事例が発生しており、その安全性を高めることが急務である。本稿では、スマートコントラクトを利用した攻撃や犯罪と、それらに利用されるMalicious Smart Contract(MSC)についての研究を紹介する。従来の研究では、MSCはVulnerable Smart Contract とCriminal Smart contractの二種類に分類されており、これらに対する研究動向と全体的な課題を示す。特に、詐欺行為を行うような、二種類の分類では含まれない悪性なスマートコントラクトが存在するため、従来の分類ではこのようなMSCを精度良く検知することが困難である。よって、従来の分類にFraudulent Smart Contractを加えた三種類の分類の立場を新たに提案することで、課題を解決するための方針を示す。

3C1-2

NFTによるデジタルデータ著作権の登録制度の検討 ○近藤　健(中央大学研究開発機構) 、佐藤　直(中央大学研究開発機構) 、五太子政史(中央大学研究開発機構) 、山澤昌夫(中央大学研究開発機構) 、辻井重男(中央大学研究開発機構): NFT(Non Fungible Token)はデジタルオブジェクトに対してその唯一無二性の証明として機能するトークンであるためその活用方法として、デジタルデータ等に対する著作権等の知的財産権の保護に利用することが考えられる。本稿では、NFTを著作権の国際的登録制度に活用する可能性を検討するために、著作権及びその登録制度について調査した結果及び登録制度に利用できると思われるNFTを利用した既存のデジタルデータ取引システムの一例について調査・検討した結果を報告する。

3C1-3

非代替性トークン(NFT)における一意識別可能性の問題点に対する考察 ◎大城侑也(九州大学) 、池辺慶(九州大学) 、櫻井幸一(九州大学): 非代替性トークン(NFT)は、一般的にERC721に準拠してブロックチェーン上に記録されたデジタルコンテンツを一意に識別可能なデジタルデータである。しかし現状NFTマーケットプレイスでデジタルコンテンツを一意に識別することを困難にする攻撃、またそれに対する被害が後を絶たない。攻撃を引き起こす原因は何か、Brokerやブロックチェーン参加者としてどのような対策が必要かを考察した。さらに、NFTマーケットプレイスでの被害を抑える上で、Broker(NFTマーケットプレイス提供者)の介入が欠かせない。ブロックチェーンで分散型に管理されているが故にBrokerが信頼性の持った存在という前提で話が進められるが本当に脆弱性がないのだろうか考察した。結果的にはBrokerがブロックチェーン外で中央集権的な管理を行うことで、Brokerが信頼できない場合に新たな攻撃の糸口になってしまうことを示唆した。

3C1-4

フォークの影響を受けないNFTとプラットフォームのリンクを保証する相互参照方式の提案に向けて ◎木村圭吾(筑波大学) 、今村光良(筑波大学) 、面和成(筑波大学): 近年，ブロックチェーン技術はその発展に伴い，多くの分野において基盤技術として活用されている．その中でも特に注目を集めているユースケースとして，NFT技術を用いたデジタルコンテンツの取引が挙げられる．一方，NFT取引の流行の背景には，ブロックチェーンにおける一意性への過剰な期待がある．本来NFTはコンテンツ取引におけるタイムスタンプを保証しているに過ぎず，コンテンツの真正性を保証していない．したがって，贋作などの不正なコンテンツ取引がリスクとして挙げられる．さらに，2022年9月にEthereumで生じた大規模なハードフォークでは，フォーク後のチェーン間で1つのNFTの所有権が2つに分かれたことにより，コンテンツの一意性を揺るがす原因となった可能性がある．実際にEthereum MergeをきっかけにフォークしたPoWをサポートするEthereumは，ETHWという新たなトークンとして一部の取引所で取引されている．これはNFTの価値を揺るがしかねず，健全なNFT取引を保証する上で対処すべきリスクである．そこで本研究では，ブロックチェーンのハードフォークがNFT取引に与えうる影響を検討することでリスクを分析し，対策としてNFTの一意性をフォークによる影響から守る相互参照方式を提案する.

3C1-5

NFTの安心な利用のための電子透かしを用いた一方式の提案 ○東角芳樹(富士通株式会社) 、山岡裕司(富士通株式会社): 近年ブロックチェーンの世界では、NFT（Non-Fungible Token）と呼ばれるトークンが話題となっている。NFTは、代替不可能なトークンのことで、デジタルコンテンツに唯一性を与えることができることから、ゲームコンテンツやデジタルアートなどさまざまな分野で使われてきており、それらを販売するためのマーケットプレイスが数多く立ち上がっている。しかし、実際のマーケットプレイスでは、デジタルコンテンツの複製等の問題も起こっており、あるマーケットプレイスの登録NFTのコンテンツの80％がこのような偽物であるというデータがある。本稿では、NFTのこのような状況を改善するべく、電子透かしを用いたNFTコンテンツ管理のための一提案を行う。

3C2-1

PoDDL: A Provably Secure (Weight-Based) Blockchain Protocol via Proof-of-Useful-Work for Distributed Deep Learning ◎Xiangyu Su(Tokyo Institute of Technology) 、Mario Larangeira(Input Output HK, Tokyo Institute of Technology) 、Keisuke Tanaka(Tokyo Institute of Technology): Proof-of-useful-work (PoUW), an alternative to the widely used proof-of-work (PoW), aims to re-purpose the network's computing power. Namely, users evaluate meaningful computational problems, e.g., solving optimization problems, instead of computing numerous hash function values as in PoW. A very recent approach is to utilize the training process of deep learning as the ``useful work''. However, these works lack security analysis when deploying them with blockchain-based protocols, let alone the informal and over-complicated system design. This work proposes a proof-of-distributed-deep-learning (PoDDL) scheme concerning PoUW's security requirements. With a novel hash-training-hash structure and model-referencing mechanism, our scheme is the first deep learning-based PoUW scheme that enables training models distributively. Next, we demonstrate a transformation from the PoDDL scheme to a generic PoDDL blockchain protocol and introduce two concrete protocol constructions by instantiating chain selection rules with the ``longest-chain rule'' and the ``weight-based blockchain'' framework (LatinCrypt' 21). Finally, we analyze the security of our concrete protocols in terms of the robust ledger properties, i.e., the chain growth, chain quality, and common prefix property.

3C2-2

アカウントアブストラクションを利用したプライバシー保護コントラクトウォレットシステム ◎陳浩太(筑波大学、情報通信研究機構) 、江村恵太(情報通信研究機構) 、面和成(筑波大学、情報通信研究機構): ユーザがコントラクトウォレットを利用する際のガス代削減のため，コントラクトウォレットが直接トランザクションを発行するアカウントアブストラクション (Account Abstraction)が注目を集めている. 本論文ではアカウントアブストラクションがプライバシー保護にも有用であることに着目し, プライバシー保護コントラクトウォレットシステムを提案する. アカウントアブストラクションに加え, アカウンタブルリング署名 (Bootle ら, ESORICS 2015) を利用する. トランザクション発行ユーザを明かすことなくあるグループに属することをスマートコントラクトに対して証明するとともに, 誰がトランザクションを発行したのかを内部で把握することも可能となる. またアカウンタブルリング署名と通常の署名とを併用することも可能である. 例えば, あるユーザが必ず署名を作成していることに加え, あるグループから必ず 1 名は署名したことを署名者を明かすことなく証明できる. これは一般的なマルチシグを用いた検証の拡張となっており, 必ずトランザクション発行に同意する必要があるアドレスに対しては通常の署名を用い, それ以外のアドレスはアカウンタブルリング署名により署名者を秘匿することで実現できる. Bootleらのアカウンタブルリング署名を Node.js 及び Solidity 言語で実装し, zkSync システム上でその性能評価を行うとともに, 医療情報共有や資産運用への適用を検討する.

3C2-3

認証権限の譲渡が可能なブロックチェーンベースの効率的な認証方式の実現に向けて ○金秀樹(筑波大学) 、面和成(筑波大学，情報通信研究機構): ブロックチェーンシステムはアドレスに紐付いた公開鍵暗号技術が使われており、これを認証に用いることができる。さらに、ブロックチェーンシステムにおける認証においても、回数制限付きで認証権限の譲渡が必要な場合がある。しかし、ブロックチェーンにおける基本的な認証権限の譲渡にはアドレスに紐付いた秘密鍵を譲渡先に教えるしかないため、このままでは回数制限付きで認証権限を譲渡することは難しい。本研究では、ブロックチェーンシステムにおいて、ワンタイム鍵を用いて認証権限の譲渡回数を制限できるハッシュ関数ベースの効率的な認証方式を提案する。本方式は、スマートコントラクトにおける検証処理が効率的に行えるハッシュ関数のみで構成されており、ハッシュキャッシュテクニックを用いる。その結果、スマートコントラクトの計算量を少なくできるメリットが存在する。さらに、実現可能性を検証するため、Ethereumテストネットを用いて効率的に認証が行えることを確認する。

3C2-4

ブロックチェーンによる医療用IoT機器の改ざん防止システムの提案 ◎渡邊皓心(東京工科大学) 、布田裕一(東京工科大学): 近年，医師や看護師の不足から，業務負担軽減のため医療分野でのIoT 機器の利用が進められている．IoT 機器が増加するにつれて，それらを起点として行われるサイバー攻撃リスクも増大する．その対策としてソフトウェアハッシュ比較によるIoT 機器の完全性検証と，IoT 機器ごとの所有者履歴を保存して改ざん抑止を行う事の，2 点が有効である．クライアントサーバ方式における，信頼できる第三者機関によるソフトウェアハッシュと所有者履歴の管理では，単一障害点化，データの改ざんリスクが存在するため，本稿ではEthereumを利用してシステムを構築する．個人情報をスマートコントラクトによって医療機関が管理できるようにする事で，改ざんに対する抑止力を向上させる．加えて，ハッシュ値の検証がいつでも行える環境を構築し，IoT 機器の完全性を維持できるようにする．構築したシステムにより，従来手法と比較し責任追跡性，否認防止効果を向上させ，改ざん抑止効果を向上させる事ができる．

3C2-5

Keelung: A domain-specific language for developing ZK applications Ting-Gian Lua(BTQ AG) 、Tzu-Chi Lin(BTQ AG) 、Po-Chun Kuo(BTQ AG) 、○Chen-Mou Cheng(BTQ AG): Zero-knowledge (ZK) proof techniques are revolutionizing the world of blockchains and Web3. However, developing ZK applications is still a labor-intensive task and an error-prone process, partly because the development tools are still far from mature. We present Keelung, a domain-specific language and development toolkit for ZK applications. By raising the abstraction level, Keelung makes it easy for the programmer to focus on the business logic rather than the low-level nuts and bolts of the underlying ZK proving system. Last but not least, embedding Keelung into Haskell allows its programmers to leverage Haskell's extensive libraries and rich ecosystem, making ZK application development no more painful than it needs to be.

3C3-1

ブロックチェーンを用いた情報管理における個人データ保護に関する考察 ◎山下純一(九州工業大学) 、荒木俊輔(九州工業大学) 、硴崎賢一(九州工業大学): デジタル化の進行により, 様々な情報が紙をベースとした管理から脱却しつつある. 個人の成績などの教育情報も例外ではない. この種の情報は情報の作成者と, その所有者が異なる例である. これらの情報のデジタルデータとしての管理では, 長期にわたる保存, 改ざんに対する耐性, 他者による検証と, その無制限な利用による, プライバシーの侵害からの保護などが必要である. 本稿ではこの教育情報を例題として, 既存のデータベースと比べて耐改ざん性やデータのトレーサビリティに優れていて,長期間に渡る情報管理として注目されるブロックチェーン技術を用いた実現手法を検討する. さらにブロックチェーン上に載せる情報の単純な暗号化では,保証付きの情報の流出を引き起こしてしまう問題を示す.この問題を解決するために,否認不可署名や確認者指定署名を用いてブロックチェーンで情報を管理する手法を示し,有効性について議論する.

3C3-2

鍵紛失時における非常ボタン式資金退避手法の再実装 ○松崎　なつめ(長崎県立大学) 、喜多　義弘(長崎県立大学) 、福光　正幸(長崎県立大学): 本論文では，SCIS2022で検討した「非常ボタン式資産退避手法」の実装に関し再検討する．非常ボタン式資産退避手法は，暗号資産の秘密鍵紛失対策として提案されたものであり，事前に暗号資産を別アカウントに移動するスマートコントラクトを非常ボタンとして用意しておき，鍵を紛失した場合に，このスマートコントラクトを起動することで，暗号資産を救済する． SCIS2022の検討では平文で記録していた署名付きトランザクションを，今回の再検討では，暗号化して記録することで攻撃者の悪用を防ぐ．

3C3-3

Bitcoin Walletでの受領者未承認問題の解決法の実現の課題について ◎内藤　早紀(広島市立大学) 、上土井　陽子(広島市立大学) 、若林　真一(広島市立大学): 取引情報が公開されるブロックチェーン上での暗号通貨の取引では受領者未承認問題と呼ばれる、受領者が関与せず送金が完了してしまう問題が指摘されている。その解決案として、Bitcoinなどの取引で、その取引でしか受領アドレスとして利用できないアドレスを作成する手法が提案されている。しかし、この解決法では、そのアドレスを作成するにあたって、送金者と受領者間で情報交換が必要となり、やりとりを行う際に、ビットコインネットワークを介して情報を伝達するとアドレスが公開されてしまう問題点が存在する。本研究では、この問題を解決するために、2つの案を提案する。1つ目は、Bitcoin Wallet同士で接続し、通信する方法である。2つ目は、掲示板のようなシステムを利用し、データの受け渡しを行う方法である。Bitcoin Walletへ2つの方法を機能として追加することを検討する。

3C3-4

A Spendable Cold Wallet from QR Code Rafael Dowsley(Monash University) 、Mylene C.Q. Farias(University of Brasilia) 、◎Mario Larangeira(Tokyo Institute of Technology/IOG) 、Anderson Nascimento(University of Washington) 、Jot Virdee(University of Washington): Hot/cold wallet refers to a widely used paradigm to enhance the security level of cryptocurrency applications that was proposed on Bitcoin Improvement Proposal 32. In a nutshell, after performing an initial setup in which the hot wallet receives partial information of the cold wallet in order to hierarchically generate (transaction receiving) addresses, the cold wallet stays offline, whereas the hot wallet is kept online. The initial transferred information enables the hot wallet to generate receiving addresses for both wallets, but it can only spend its own funds, i.e., it cannot spend the funds in the cold wallet. This design conveniently mimics money storage in daily life: pocket money is kept in a less safe location, e.g., a regular wallet, while life savings are kept in a more safe environment, e.g., banking account. Note that the funds that land in offline addresses cannot be spent if the cold wallet is kept permanently offline. We propose a protocol and a technical solution to spend funds from a cold wallet without physically connecting it to any network. We designed and implemented a prototype for a system based on Optical Camera Communication (OCC) in a screen to camera setting, which can receive messages from a computer screen at the rate of over 150kB per second. Our system consists of a sequence of QR codes -- a QR video. Our solution minimizes the possible attack vectors, including malware, by relying on optical communication yet providing a larger bandwidth than regular QR code based solutions.

3C3-5

電子投票の研究動向：欧米編 --ブロックチェーン基盤の安全性とその限界-- ○櫻井　幸一(九州大学): 記録の改さんが困難なブロックチェーン基盤の登場で、電子投票への応用も期待されている。発表者も、それまでは物理的仮定だった投票集計盤が、ブロックチェーンにより、常識的基盤になった効果を論じた[ブロックチェーンを利用した電子投票システムの安全性(SCIS2020)]。しかし、果たして、電子投票システムはどこまでサイバー攻撃に耐えうるのか。米国ではMITのRivestらが否定的な限界を論じている[Going from Bad to Worse: From Internet Voting to Blockchain Voting (Draft/2020.Nov, Journal of Cybersecurity/2021.Feb.)]。その一方で、欧州は欧州研究集会e-Vote-IDが2007年以降、脈々と続いている。本発表では、こうした欧米の電子投票システムの研究動向を報告する。[392文字]

3C4-1

ProVerifによるQi Authenticationの形式検証 ◎藤田和弘(茨城大学) 、米山一樹(茨城大学): 粗悪な充電器に接続してしまいデバイスが損傷するリスクに対処するため，ワイヤレス充電規格の一つであるQiでは，デバイスが充電器を認証するためのプロトコルであるQi Authenticationが策定されている．しかし，Qi Authenticationに対する安全性検証は知られていない．本研究では，暗号プロトコルの自動検証ツールであるProVerifを用いてQi Authenticaionの安全性検証を行う． Qi Authenticationでは3つの操作（ダイジェスト取得，証明書取得，チャレンジ）を任意の組み合わせ・順序で実行することが許されているが，本研究では仕様書で実装例として示されている4つのフローを対象とする．それぞれのフローにおいて，キャッシュの有無および証明書の失効状況によって送受信されるリクエスト・レスポンスが異なるため，それらのパターンごとに網羅的に形式化する．検証する安全性は，秘密鍵の秘匿性，充電器の認証性とリプレイ攻撃耐性，充電器の証明書失効を含むフローの場合における証明書失効後の認証性である．検証結果として，Qi Authenticationは上記の秘匿性・認証性の全てを満たすことを示す．

3C4-2

差分プライベートな行列計算の型システムによる安全性検証 ◎山本充子(NTT社会情報研究所) 、中林美郷(NTT社会情報研究所) 、三浦尭之(NTT社会情報研究所): 差分プライバシーはデータのプライバシーを保護するための安全性指標である。プライバシー保護技術の社会実装が進む一方で、保護アルゴリズムの安全性検証は一般に複雑であり、これらを自動検証するプログラミング言語の研究が注目されている。Duetという言語は、敏感度やプライバシーコストの型システムを使った静的解析が可能であり、保護アルゴリズムの(ε,δ)-差分プライバシーを検証することができる。さらに深層学習を用いたアルゴリズムにフォーカスしており行列演算も扱うことができる。本研究では、より広範囲のアルゴリズムに対しても検証を可能にするため、固有値を求める関数やBingham分布を用いた指数メカニズムの型規則を追加しDuetの拡張とその実装を行った。ケーススタディとして、これらの型規則を用いる分散共分散行列の差分プライバシーアルゴリズムに対して検証を行い、拡張したシステムの出力が理論上の結果と一致することを確認した。

3C4-3

Tamarin-prover を用いたAEAD の形式的安全性検証 ○三重野武彦(エプソンアヴァシス株式会社、信州大学) 、岡崎裕之(信州大学) 、布田裕一(東京工科大学) 、荒井研一(長崎大学): Tamarin-proverは、David Basin らが開発したシンボリックモデルにもとづいて暗号プロトコルの安全性検証を自動で行うツールの1つであり、同様なツールにProVerif 等がある。以前より、著者らは ProVerif を用いてTLS 1.3 ハンドシェイクプロトコルを始め、種々の暗号プロトコルおよび暗号方式の形式的安全性検証を行ってきた。但し、Tamarin-prover はモデル検査器ではなく定理証明器であることから、安全性検証に使用するツールの優位性や使い分けなどを探っている。本稿では、Tamarin-prover を用い、TLS1.3 で採用されているAuthenticated Encryption with Associated Data (AEAD) の構造を主に形式化し、秘匿性と完全性について形式検証を行い、安全性検証の過程とその結果について考察した。更に、安全性要件の実行記述証明方法と観測等価性についても、Tamarin-prover のInteractive モードを用い、手動証明を用いた安全性の検証を行った。

3D1-1

テクニカルサポート詐欺におけるプッシュ通知悪用に関する調査 ◎長島小楠(東京電機大学大学院　情報通信工学専攻) 、高木泉希(東京電機大学大学院　情報通信工学専攻) 、三谷和也(東京電機大学大学院　情報通信工学専攻) 、齊藤泰一(東京電機大学　情報通信工学科): 近年, インターネットにおいてマルウェア等の感染を語り, 詐欺ページに誘導することで, 有償サポートやセキュリティソフト等の契約を迫るテクニカルサポート詐欺が増加している. このようなテクニカルサポート詐欺は, ウェブサイトの広告から誘導されるほか, プッシュ通知から誘導されるケースも確認されている.プッシュ通知が利用される場合, 画面上に表示された通知内容から詐欺ページに誘導され, 有償サポートやセキュリティソフト等の契約を迫られる. 本研究ではウェブプッシュ通知を利用したテクニカルサポート詐欺に着目し, 悪意あるプッシュ通知に関する調査を行った. 本稿では調査の結果判明したService Workerの悪用による通知の取得に関して報告する.

3D1-2

ブラウザ内Cookieデータベースを利用したCookie Bomb攻撃の検知手法 ◎金子竜雅(東京電機大学情報通信工学科) 、齊藤泰一(東京電機大学情報通信工学科): Cookie Bomb攻撃は、ユーザが正規のHTTPレスポンスをHTTPサーバから受け取れなくなるサービス拒否攻撃であり、HTTPリクエスト内のCookieの合計サイズが、送信先HTTPサーバの受け入れ可能な上限サイズを超えた場合に発生する。本稿では1つのWindowsマシンに複数のブラウザが導入されている場合を想定し、それらが生成するSQLiteデータベースを参照することでCookie Bomb攻撃の検知を行う。評価の結果、我々の手法は複数のブラウザに対して有効であることを確認した。優れている点として、 (1) データベースに直接アクセスしている点、 (2) 復号せずにCookieの合計サイズを計算している点が挙げられる。近年のブラウザはSQLiteデータベースを使ってCookiejarを実装している。Microsoft EdgeとGoogle ChromeはCookie値をAES-256のGCMモードで暗号化するが、暗号文の大きさは元の平文と等しくなるため、復号せずにCookieの合計サイズを計算することができる。

3D1-3

ブラウザフィンガープリントを用いたユーザー認証システムに関する考察 ◎塚崎崇至(東京工科大学大学院) 、布田裕一(東京工科大学) 、岡崎裕之(信州大学) 、鈴木智道(株式会社PitApp): Webユーザーの識別手段としてブラウザフィンガープリンティングがある．フィンガープリンティングとは，Webサイトにアクセスしてきたユーザーから端末に関する情報を採取し，その情報を基にユーザーを識別・追跡する技術である．端末から採取できる情報としては，画面解像度やブラウザのバージョン，送信元IPアドレスなどがある．端末から採取した様々な情報の組み合わせをフィンガープリントとすることでユーザーの識別・追跡が可能となる．フィンガープリンティングの用途としては，主に広告の配信や不正アクセスの検知などがある．本稿では，フィンガープリンティングを用いた不正アクセスの検知について着目し，ユーザーIDとパスワードを必要とするユーザー認証システムにリスクベース認証として応用した場合の考察を行う．具体的には，初回アクセスのユーザーを識別する識別精度を向上させた場合と複数回アクセスのある同一のユーザーを追跡する追跡精度を向上させた場合についての考察を行う．

3D1-4

ウェブブラウザの権限機構の横断的分析と脅威の評価 ◎野本一輝(早稲田大学) 、渡邉卓弥(NTT社会情報研究所) 、塩治榮太朗(NTT社会情報研究所) 、秋山満昭(NTT社会情報研究所) 、森達哉(早稲田大学/国立研究開発法人情報通信研究機構/RIKEN AIP): 今日のWebにおいて，権限(Permission)機構はユーザ体験の向上とユーザのプライバシーを保護するための最も重要なメカニズムの1つである．ウェブブラウザには，ユーザの合意に基づく権限機構が導入されている．本研究において，我々は，ブラウザが実装する権限機構の挙動を自動的に分析するウェブブラウザ分析フレームワークPERMIUMを開発した．PERMIUMを用いてモバイルOSとデスクトップOSを含む5種のOSと，それぞれのOSで動作する合計22のブラウザ実装について，権限機構の挙動を体系的に調査した．この結果，権限機構の実装や挙動は断片化し，同じブラウザであってもOSによって統一性がないこと，およびプライバシーリスクにつながる欠陥があることを明らかにした．実装の不整合に基づき，権限状態を用いてユーザを秘密裏に追跡する攻撃 Permission-based user tracking attack を提案し，実現可能性を評価した．最後に我々は，本研究が明らかにした脅威を緩和するために，標準化すべき項目の明確化，およびOS/ブラウザベンダに向けた提言を述べる．

3D1-5

ソーシャルエンジニアリングとマインドフルネスに関する研究 ◎宮原和大(工学院大学) 、藤川真樹(工学院大学): ソーシャルエンジニアリングとは，システムを運用する人間の心理的な脆弱性を狙った攻撃であり，代表的なものとして特殊詐欺や標的型攻撃メールがある．当該攻撃を見破ったり注意喚起のアラートを発したりするシステムがこれまでに提案されているが，著者はこれらとは別のアプローチを取る．マインドフルネスをベースとしたソーシャルエンジニアリング対策プログラムの構築可能性を検討することである．著者らは個人の心理的セキュリティレベルを低下させる3つの要因《①疑心（何かを疑う心）の低さ，②注意力の低さ，③ヒューリスティック》はマインドフルネスの実施により，脳科学的に改善できる可能性があると考えた．企業等では定期的な情報セキュリティの講習が行われているが，これにマインドフルネスの継続的な実践を加えることによって，企業全体の情報セキュリティレベルが向上するものと期待される．本研究では，①適切な疑心の獲得，②適切な注意力の獲得，③利用可能性ヒューリスティック傾向の抑制という3つの仮説を提唱する．

3D2-1

秘匿置換を用いた効率的なトランプベース秘密計算プロトコル ◎岩成慶太(電気通信大学) 、小野知樹(電気通信大学) 、安部芳紀(電気通信大学/産業技術総合研究所) 、中井雄士(豊橋技術科学大学) 、渡邉洋平(電気通信大学/産業技術総合研究所) 、岩本貢(電気通信大学): カードベース暗号とは物理的なカードを用いて秘密計算を実現する暗号技術であり，クローバーやハートなどのスートのみが印刷されたカードを用いることが一般的である．しかしこのようなカードは一般に流通しておらず，手軽に行えないという問題点がある．そこで，トランプカードを用いたプロトコルが提案されている．パブリックモデルではカード枚数の下界である，4枚のカードを用いたANDプロトコルが提案されるなど，様々なプロトコルが提案されている．一方，プライベートモデルではトランプカードを用いたプロトコルの提案は少なく，パブリックモデルのカード枚数の下界を下回るようなプロトコルは知られていない．そこで，本稿ではプライベートモデルでトランプカードを用いて3枚のカードで実装できる2入力AND，ORプロトコル，3入力多数決プロトコルを提案する．なお，本プロトコルではプライベートモデルの問題点の一つであるプレイヤーが秘密裏に生成した乱数に従う操作は行われず，乱数生成の必要がなく，入力値に依存した確定的な操作のみで実装される．

3D2-2

任意の論理回路に対する1ゲートあたり6枚のカードベースプロトコル ◎小野知樹(電気通信大学) 、品川和雅(茨城大学/産業技術総合研究所) 、中井雄士(豊橋技術科学大学) 、渡邉洋平(電気通信大学/産業技術総合研究所) 、岩本貢(電気通信大学): 物理的なカードを用いて秘密計算を実現する暗号技術をカードベースプロトコルと呼ぶ．カードベースプロトコルには，公開の場で操作を行うパブリックモデルと，秘匿置換などのプライベートな操作を許すプライベートモデルがある．パブリックモデルにおいて，Shinagawa--Nuida (DAM 2021) は，1回のシャッフルを用いて，任意の論理回路を入力1ビットあたり2枚と1ゲートあたり24枚の二値カードで計算するプロトコルを提案した．プライベートモデルにおいては，1回の通信（カードを手渡す操作）を用いて，任意の論理回路を1ゲートあたり6枚の二値カードで計算するプロトコルが小野ら (CSS 2022) によって提案されている．本稿では，パブリックモデルとプライベートモデルそれぞれにおいて新たなカードベースプロトコルを提案する．まず前者において，1回のシャッフルを用いて任意の論理回路を入力1ビットあたり2枚と1ゲートあたり6枚の二値カードで計算するプロトコルを提案する．次に後者において，二値カードの代わりに，トランプカードを用いても同様のプロトコルを構成できることを示す．

3D2-3

番号付きスリーブを活用した数独のゼロ知識証明 ◎田中滉大(東北大学) 、水木敬明(東北大学): 数独に対するゼロ知識証明とは，数独の解を知る証明者がその解についての情報を一切明かすことなく，「解が存在し，証明者が解を知っていること」を検証者に納得させるというものである．2007年にGradwholらは数字カードを用いた数独に対するゼロ知識証明プロトコルを構築し，その後Sasakiらによって健全性エラーのないプロトコルが提案され，最近RuangwisesとItohによってトランプカードを用いるプロトコルが考案された．そしてごく最近（2022年9月），著者らはUNOを2セットを用いたプロトコルを提案した．これは16回のシャッフルを用いるものである．本稿では，UNOを2セットを用いるプロトコルのシャッフル回数を削減するため，2020年にTakeshigeらによって提案された「番号付きスリーブ」を用いた新たなプロトコルを提案する．具体的には，27枚のスリーブを用いた11回のシャッフルで実現するプロトコルと，81枚のスリーブを用いた7回のシャッフルで実現するプロトコルを提案する．後者のプロトコルでは解の入力に必要な81枚のカードのみ使用し，追加カードを必要としない．

3D2-4

数コロに対する物理的ゼロ知識証明プロトコル ◎佐々木駿(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): パズルに対するゼロ知識証明プロトコルとは、パズルの解を知っている証明者が、答えに関する情報を明かすことなく、パズルに答えが存在することを検証者に納得させるようなプロトコルである。本稿で扱う数コロというパズルは、各マスに1から4までの数字を埋めるか空白のままにするかを選ぶパズルであり、それぞれの数字は隣接する数字マスの個数と一致するという条件と、同じ数字は隣接してはならないという条件を満たす必要がある。さらに、他のパズルにはない特殊なルールとして、全ての数字マスはひとつながりになっていなければならないという条件が課される。本稿では、これらの条件を検証する方法を与えることにより、数コロに対する物理的ゼロ知識証明を提案する。

3D2-5

天体ショーに対する物理的ゼロ知識証明 ◎初貝恭祐(電気通信大学) 、渡邉洋平(電気通信大学 / 産業技術総合研究所) 、岩本貢(電気通信大学): 天体ショーは，縦hマス，横wマスのhw個のマスからなるブロックと，マス上に配置されたいくつかの星に関するパズルであり，NP完全であることが知られている．天体ショーの目的は，ブロック中のマスを余すことなく用いたうえで，全ての星に対し，それぞれの星を中心に点対称となる図形を作成することである．本稿では，天体ショーに対する物理的ゼロ知識証明を初めて提案する．具体的には，カードのみを用いて，各図形にただひとつ星が含まれており，またその星を中心に点対称であることを，図形の形状を公開せずに示すプロトコルを提案する．

3D3-1

4種カードを用いた効率的な対称関数秘密計算 ◎四方隼人(東北大学) 、水木敬明(東北大学): 入力値を秘匿したまま出力のみを得る計算のことを秘密計算と呼び，これを物理的なカード組を用いて実現したものがカードベース暗号である．カードベース暗号の中で最も重要な問題の一つに，プロトコルで使用する「追加カード枚数の削減」が挙げられ，これを目的とする多くの研究が存在する．本稿では，多値出力の対称論理関数を秘密計算するカードベース暗号プロトコルに焦点を当てて，計算に必要な追加カードの削減を試みる．具体的には次のとおりである．2020年にRunguwisesとItohは，追加カード2枚で任意の多値出力の対称論理関数を秘密計算できることを示した．これに対し，2022年11月のISEC研究会において著者らは，カードベース暗号で典型的に用いられているハート，クローバーに加えてダイヤとスペードを許容することにより追加カード1枚で秘密計算できることを示した．本稿ではこのプロトコルをさらに改良し，追加カード無しで任意の多値出力の対称論理関数を秘密計算できることを示す．また，提案プロトコルは前述の著者らのプロトコルと同様に原理がシンプルで理解し易いという利点もある．

3D3-2

シャッフル1回の多入力ANDプロトコルのカード枚数削減 ○葛馬知紀(東北大学) 、水木敬明(東北大学): 秘密計算を実現するカードベース暗号プロトコルにおいて，「カード枚数」と「シャッフル回数」がその複雑さの尺度となり，これらの値は小さいほどよい．後者の「シャッフル回数」を最小とする重要な既存研究として，Shinagawa と Nuida は任意のn変数論理関数が1回のシャッフルで秘密計算できることを示した．そのアイデアと，既存の2入力ANDプロトコルであるMS-ANDプロトコルを用い，著者らはAPKC 2022において，n入力AND関数が4n-2枚のカードと1回のシャッフルで秘密計算できることを示した．本稿では，そこから必要なカード枚数を2枚削減し，4n-4枚でn入力AND関数が秘密計算できることを示す．具体的には，MS-ANDプロトコルと，既存の2入力のANDプロトコルであるMizuki-Kumamoto-Soneのプロトコルを併用することで，カード枚数削減を実現する．

3D3-3

カードベースプロトコルの部分開示操作におけるエラーと対策に関する考察 ◎五十鈴川頼宗(東北大学) 、水木敬明(東北大学): 物理的なカード組を用いて秘密計算を行うプロトコルをカードベース暗号プロトコルと呼ぶ。その中でも一般に市販されているトランプカードを用いたプロトコルはシャッフル回数が多かったが、2022年に考案された「部分開示操作」によって、シャッフル回数の少ない実用的なプロトコルの構築が可能となった。しかしながらこの部分開示操作は、第一著者の経験上通常の開示操作と比較して失敗しやすい。そこで本稿では、この部分開示操作を利用するプロトコルにおいて、部分開示操作に失敗した場合の影響を解析する。さらに、部分開示操作を行う直前までのカード開示状態に依存して、失敗時の情報漏えいに関してプレーヤー毎に差があることを指摘し、それをもとに部分開示操作の失敗の可能性を低くするための方策について考察する。

3D3-4

入力の非二進符号化に基づく効率的な大小比較カードプロトコル ○縫田光司(九州大学／産業技術総合研究所): 整数の大小比較（Yao's Millionaires' Problem）は秘密計算の故郷であり、カードベース暗号の分野でも主要な研究課題の一つである。宮原ら（Theoretical Computer Science, 2020）は、クラブとハートの2値カードに基づくカード枚数とシャッフル回数がともにかなり少ないプロトコルと、同プロトコルの番号カード（トランプのデッキの一般化）への拡張を与えた。本稿では、上記方式とは異なる設計方針で、2値カードと番号カードの両方について新たなプロトコルを提案する。2値カードの場合には、入力の整数を3進符号化すれば、上記従来方式よりもカード枚数とシャッフル回数がともに（漸近的に）減少する。また番号カードの場合には、カード枚数は増加するものの、2進符号化の時点で既にシャッフル回数が減少しており、q > 2に対するq進符号化を用いればさらにシャッフル回数を削減できる。

3D3-5

有限時間カードベースプロトコルから秘匿同時通信プロトコルへの一般的変換 ○品川和雅(茨城大学／産業技術総合研究所) 、縫田光司(九州大学／産業技術総合研究所): カードベース暗号とは、物理的なカード組を用いて暗号プロトコルを構成する研究分野である。一般に、暗号技術間の帰着関係を明らかにすることは重要な研究課題であるが、カードベースプロトコルを他の暗号技術へ変換するという類の研究はこれまでに全くなされていなかった。本稿では、有限時間カードベースプロトコルから秘匿同時通信プロトコルへの一般的変換を与える。我々の変換手法は、通常の二値カードだけでなく、上下カードや正多角形カードなども扱うことができる。変換先の秘匿同時通信プロトコルは、変換元のプロトコルと同じ関数を計算し、その通信量はnt\log_2 qビットである。ここで、nはプレイヤー数、qはカードのシンボル数、tは変換元のプロトコルにおいて起こり得るターン操作の総数である。また、既存カードベースプロトコルに対する変換の具体例もいくつか与える。

3D4-1

$m$値$n$入力関数を計算するprivate PEZプロトコルの初期文字列長の漸近評価 ○安部芳紀(電気通信大学/産業技術総合研究所) 、岩本貢(電気通信大学) 、太田和夫(電気通信大学/産業技術総合研究所): Private PEZプロトコルは秘密計算の実現手法の一つである．Baloghらは任意の2値入力関数を計算するprivate PEZプロトコルの構成方法を提案し，また，任意の多値入力関数も，各入力を複数のバイナリ入力に変換することにより同様のプロトコルで計算できることを示した．その後，安部らは任意の多値入力関数を入力の変換を経ず直接計算できるプロトコルの構成方法を提案し，Baloghらの手法と比べ，プロトコルの効率の指標の一つである初期文字列長を大幅に改善できることを指摘した．しかし，具体的なプロトコルや初期文字列長の評価は多値2入力の場合しか示されておらず，一般のm値n入力の場合は再帰的なプロトコルの構成方針を示すのみで，プロトコルの具体的な構成や初期文字列長の評価はなされていなかった．本研究では，一般のm値n入力関数を計算するプロトコルの再帰的な構成を具体的に示す．また，その再帰的な構成から初期文字列長に関して漸化式を導出し，初期文字列長の漸近的な評価を行う．そして，Baloghらの手法に対し，安部らの手法がmに関して漸近的な改善を与えていることを示す．

3D4-2

正多角形カードを用いた投票プロトコル ◎高橋由紘(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): カードベースプロトコルとは、物理的なカードを用いて秘密計算を行う暗号技術である。様々な関数を秘密計算するカードベースプロトコルが構成されているが、その中でも$v$人の投票者と$c$人の候補者による投票プロトコルは、身近な秘密計算としてカードベースプロトコルと親和性が高く、これまでにいくつかの既存プロトコルが提案されている。 Shinagawaら（ProvSec 2015）は正$n$角形カードを用いて、$v < n$の制限のもとで$c(v+2)$枚の投票プロトコルを提案した。本論文では、正$n$角形カードを用いた投票プロトコルにおいて、$v < n$かつ$c = n$の制限のもとで、カード枚数を$c(v+2)$枚から$(c+v+1)$枚に削減するプロトコルを提案する。また、カード枚数を$(\lceil \frac{v+1}{n} \rceil c + v + 1)$枚に増やすことによって、$v < n$という制限を取り除いたプロトコルも提案する。

3D4-3

天秤とコインを使った秘密計算 ◎吉田深月(電気通信大学) 、金子尚平(電気通信大学) 、李陽(電気通信大学) 、﨑山一男(電気通信大学) 、宮原大輝(電気通信大学/産業技術総合研究所): 近年、IT技術が進歩する一方、非専門家がITに触れる場面が多くなり、より一層情報セキュリティ対策は重要視されている。そこで現代暗号の仕組みを表現するカードベース暗号に続き、本研究では新たな物理媒体として天秤とコインを提唱する。この物理媒体には2つの使い方があると考える。1つ目は重さ順のラベルを貼り付けたコインを使用する方法である。ある鍵を使用しバラバラのラベルにしたコインを、天秤を用いて復元することができる。これは見方を変えると、天秤を、鍵を知っている人かどうかの、識別器としてとらえることができるため、新たな視野といえる。2つ目は、カードベース暗号と同様に秘密計算を実現できる。大抵のカードベース暗号では値をカードの枚数によって表現するが、我々の方式では値をコインの重量によって表現する。このことにより、ある特定の論理関数においてはカードベース暗号よりも簡便に秘密計算を行うことができる。具体的には、2入力論理積を計算するプロトコルを提案し、それを発展させ多入力論理積及び多数決関数をシンプルに計算できることを示す。今後は実際の天秤を使用することで、情報が漏れないかどうかの検証を行いたい。

3D4-4

視覚復号型秘密分散暗号シートを用いた秘密計算プロトコルの提案 ○小泉康一(福島工業高等専門学校) 、大槻正伸(福島工業高等専門学校): 物理的な道具を利用して，各入力を秘密にしたまま論理演算などの計算を行うことのできる手法を発見する研究がさかんに行われている．最も簡単な物理的な道具としてはカードを用いる事が多い．これとは別に，コンピュータによる演算を使用せずに取り扱うことができる物理的な暗号システムとして視覚復号型秘密分散法を用いた暗号（視覚暗号）が存在する．本稿ではカードの代わりに視覚暗号シートを用いてANDなどの論理演算ができる計算法の一例を提案する．計算方法はシンプルで，参加するプレイヤーは希望する入力に対応したシートを1枚提出するのみでよく，その後の演算ではシャッフル操作を必要とせずに提出された人数分のシートを重ね合わせるだけでよい．3入力演算程度であれば実用的な時間や手間で実施できることがわかった．メリットとしては，カードを用いる手法のように表面を隠すことや計算時にシャッフルをする必要はない点がある．デメリットとしては実施したい計算に合わせたシートセットをあらかじめ十分な数だけ作成しておかなくてはならない点である．

3E1-1

シミュレーションによるニューラルネットワークの乗算に対するサイドチャネル攻撃の考察 ◎天野龍乃如(電気通信大学) 、崎山一男(電気通信大学) 、原祐子(東京工業大学) 、李陽(電気通信大学): Batinaらは学習済みのニューラルネットワークに対してサイドチャネル攻撃を行い，ネットワークで使用されている活性化関数やニューロン数，重みの情報などを取得できることを実証した．本研究では，ニューラルネットワークの重みを復元することを想定し，シミュレーションにより乗算に対するサイドチャネル攻撃のアルゴリズムとその復元率を示した．具体的には，攻撃者の能力を仮定し，Float型の重みを想定したFloat型の乗算に対する攻撃と，量子化されたChar型の重みを想定したChar型の乗算に対する攻撃をシミュレーション上で行った．また，Float型復元の際の各バイトが他バイトに影響を与える可能性を示し，復元率改善の可能性を考察した．

3E1-2

部分鍵差分推測を用いたノンプロファイリング型深層学習サイドチャネル攻撃に関する検討 ○上野嶺(東北大学) 、田中陸真(東北大学) 、伊東燦(NTT社会情報研究所) 、本間尚文(東北大学): 本稿では，プロファイリングデバイスを用いない（すなわち，ノンプロファイリング型の）深層学習に基づく新たなサイドチャネル攻撃 (DL-SCA) を提案する．提案攻撃では，鍵値そのものではなく，部分鍵同士の差分を推測する．具体的には，攻撃対象実装の一ラウンド目のあるSboxに着目し，そのSbox計算時のリークから平文を推測するニューラルネットワーク (NN) を学習させる．そして，このNNを使って他のSbox計算時のリークから対応する平文を推測し，NNの学習に用いたSboxに対応する部分鍵と攻撃対象Sboxに対応する部分鍵の差分の候補値ごとに負の対数尤度を計算する．提案攻撃は，従来のプロファイリング型DL-SCAと同様に負の対数尤度を用いて秘密鍵（の差分）を推測するため，従来攻撃と同様の手続きで実行可能である．本稿では，提案攻撃の成立条件や最適識別器との関係について議論する．さらに，DL-SCA評価向け公開データセットASCADを用いて実験的にその妥当性を評価するとともに，提案手法と相関電力解析や既存のノンプロファイリング型深層学習サイドチャネル攻撃との比較を行う．

3E1-3

オートエンコーダの潜在変数のクラスタリングに基づく非プロファイル型深層学習サイドチャネル攻撃 ◎黒田訓宏(立命館大学) 、福田悠太(立命館大学) 、吉田康太(立命館大学) 、藤野毅(立命館大学): プロファイリング型の深層学習サイドチャネル攻撃（DL-SCA）は，サイドチャネル攻撃対策実装の一部を容易に攻撃できる手法として活発に研究されている．一方，非プロファイル型DL-SCAとして差分深層学習解析 (DDLA)が2019年に提案された．DDLAではバイトごとに全ての鍵候補に対応する深層学習モデルを訓練し，最も高い鍵推定を行うことができる学習モデルに対応する鍵を正解鍵として推定するため，128bitAES暗号の場合16×128個という多数の深層学習モデルの訓練を行う必要があった．本稿の提案では，最小で1個のオートエンコーダ(AE)に攻撃ターゲットデバイスからの消費電力や漏洩電磁波の波形を入力して訓練するだけで鍵を推定できる，新しい非プロファイル型DL-SCAを提案する．攻撃者は鍵候補と入力平文によって計算されるS-Box出力の中間値に基づいて，訓練したAEの潜在変数の分布を分類し，最もよくクラスタリングされている候補を正解鍵と推定する．実験では，ソフトウェア実装された未対策 AES に対して評価を実施し，すべてのバイト鍵を窃取したことを報告する．また，マスキング対策が施されたAESの公開波形データセットであるASCADに対しても攻撃が可能であることも報告する．

3E1-4

Attention-Based Non-Profiled SCA on ASCAD Database ○Enhao Xu(Dept. of Informatics, The University of Electro- Communications, Tokyo, Japan) 、Takeshi Sugawara(Dept. of Informatics, The University of Electro- Communications, Tokyo, Japan) 、Kazuo Sakiyama(Dept. of Informatics, The University of Electro- Communications, Tokyo, Japan) 、Yuko Hara-Azumi(Dept. of Communications & C.E., Tokyo Institute of Technology, Tokyo, Japan) 、Yang Li(Dept. of Informatics, The University of Electro- Communications, Tokyo, Japan): With the publication of attention in 2017, attention-based models occupy more than half of the top 10 in many fields’ major benchmarks, such as image classification and natural language processing (NLP). Therefore, compared with conventional DL-based techniques in non-profiled side-channel attacks (NP-SCA), such as convolutional neural network (CNN) based or multilayer perceptron (MLP) based, it is valuable to try using attention in the NP-SCA field. To our knowledge, only a few DL-based methods have been applied to NP-SCA. For example, the differential deep learning analysis (DDLA) based technique by Timon. Or the auto-encoder-based approach by Kwon et al.. In this paper, we first implemented NP-SCA on ASCAD fixed key database, a database consisting of one key byte’s leakage extracted by the proposer as a benchmark. The key byte was successfully recovered in 2000 traces, one-tenth of previous work. Furthermore, we tried to recover more key bytes using the raw ASCAD data. The result shows that our model has the generality to recover not only single key byte in the benchmark database but also multiple key bytes without adjusting the network's hyper-parameters.

3E1-5

Screaming channelsの漏洩モデルの実験的検証 ◎松川侑生(電気通信大学) 、崎山一男(電気通信大学) 、菅原健(電気通信大学) 、李陽(電気通信大学): 近年提案されたScreaming channelsは漏洩が長距離に伝搬するサイドチャネルであり，特定のミックスドシグナルチップの設計に大きな脅威をもたらした．従来の研究では，漏洩の特徴が明らかでないため，事前のプロファイリングが攻撃に必要だった．本研究では，先行研究と同様の環境であるBLE Nano V2上にtineyAESに対して行ったプロファイリングの観察によりscreaming channelsの漏洩の特徴がS-box入力の上位4bitに現れることを発見した．この特徴に基づき，tinyAESに対してプロファイルを必要としない攻撃を検証した．2ndラウンドに対して，各subkeyで181個の平文で鍵復元を達成した．

3E2-1

信号遷移数に基づくECDSAに対するテンプレート攻撃の成功率推定 ◎阿部浩太郎(東京大学) 、池田誠(東京大学): 暗号実装に対し，サイドチャネル攻撃が脅威となっている．実装が攻撃に対し耐性を持つか検証することが必要であり，本研究では検証を低コストおよび回路設計段階で可能とするために消費電流シミュレーションによる攻撃精度の推定を行う．想定する攻撃は強力なプロファイリング攻撃であるテンプレート攻撃，攻撃対象はECDSA，漏洩させる秘密情報は署名生成時に用いられるナンスである．論理シミュレーションにより得られた信号のトグル数をカウントしたものを消費電流波形とみなし，ノイズが多変量正規分布に従うと仮定したうえで，攻撃用波形がプロファイリングと正しくマッチする確率を導出する．また，プロファイリングに用いる波形数とSNRを変化させて精度推定を行うことで，これらの値によって攻撃精度がどのように変化するかを明らかにする．

3E2-2

ターゲット機器の内蔵A/Dコンバータを用いたプロファイリング型リモートサイドチャネル攻撃 ◎橘和樹(横浜国立大学) 、坂本純一(横浜国立大学) 、松本勉(横浜国立大学): SoCを搭載したデバイスがIoTアプリケーションで利用されるようになると，リモートアクセスでの攻撃が大きな問題となる．攻撃対象に物理的に接触する必要があったサイドチャネル攻撃がリモートでも行えるとしたらこれは重大な脅威である．また，センサネットワークなどのIoTアプリケーションで使用されているデバイスは，ソフトウェアを自由に書き換えし，解析が可能なデバイスであるオープンサンプルの入手が容易であることから，オープンサンプルをもとに事前にサイドチャネル情報を解析するプロファイリング型サイドチャネル攻撃が適用可能である．本発表では，事前にオープンサンプルを用いてプロファイリングをした後，攻撃対象にリモートアクセスして攻撃をするプロファイリング型リモートサイドチャネル攻撃を提案する．ターゲット機器の内蔵A/Dコンバータを用いて，複数台のマイコンボードを用意して実験をしたところ，特定の条件下においては攻撃対象としたボードで実行されていたAESの秘密鍵復元に成功したことなどを報告する．

3E2-3

電力サイドチャネル攻撃に対して堅牢なARX型暗号回路の高位合成 ◎稲垣沙耶(東京工業大学) 、楊明宇(東京工業大学) 、李陽(電気通信大学) 、﨑山一男(電気通信大学) 、原祐子(東京工業大学): 近年，IoT（Internet of Things）技術の発展に伴い，エッジデバイスは多様化しており，ハードウェア設計の効率化を目的として高位合成が用いられることが多い．しかし，高位合成の設計ツールは安全性について考慮していない．そのため，これを用いて設計された回路は，特にIoTで深刻な脅威となっている電力サイドチャネル攻撃に対して脆弱である．これまで，高位合成を用いた電力サイドチャネル攻撃対策はいくつか提案されているが，それらの手法の適用可能な範囲や効果は限定的である．本論文では，高位合成で暗号専用回路を設計する際の電力サイドチャネル攻撃への対策設計手法を提案する．本研究では特にAddition-Rotation-XOR（ARX）ベースの置換処理で構成される軽量暗号アルゴリズムに着目し，動作記述へのマスキング手法の適用と高位合成のスケジューリング最適化を組み合わせた．実験ではChaskey, Simon, Speckの3種のARXアルゴリズムの専用回路をFPGAに実装し，Welchのt検定を用いて安全性評価を行った．その結果，すべてのベンチマークに対して，提案手法が電力サイドチャネル攻撃に対する堅牢性を改善できることを実証した．

3E2-4

乱数の消費が少なく PINI を満たす 4 次マスキング ◎平賀幸仁(電気通信大学情報理工学域) 、菅原健(電気通信大学情報理工学域): サイドチャネル攻撃への対策として，probing modelに基づくマスキングが考案され，活発に研究されている．マスキングに関する 1 つの研究の流れとして，Composability がある．すなわち，probing modelにおいて安全な複数の回路の組み合わせは，必ずしも安全にならない．そこで，Cassiers らは Composability を満たし probing model において安全であることを含意する性質である PINI を見つけ出し，具体的なANDガジェットを示した.マスキングに関するもう 1 つの研究の流れとして，乱数の消費の低減がある．マスキングでは，AND計算をするたびに新鮮な乱数を消費し，これが，実装上の課題となるためである．Cassiers らによる PINI は，乱数の低減はされておらず，d+1シェアのマスキングに対し(d+1)d/2ビットの乱数を必要とする点が課題であった．本研究では，乱数を低減しながら PINI を満たす AND ガジェットを提案する．5シェアと乱数5ビットを用いる提案 AND ガジェットは，プローブ数4までの攻撃への耐性を有する．

3E2-5

TI技術により対策されたAES S-boxにおけるシェアに着目した故障感度の測定 ◎佐藤泰雅(電気通信大学) 、古野亨紀(電気通信大学) 、平田遼(電気通信大学) 、宮原大輝(電気通信大学) 、李陽(電気通信大学) 、﨑山一男(電気通信大学): 暗号ハードウェアに対する物理攻撃は脅威とされており，暗号化処理中の消費電力や処理時間を利用するサイドチャネル解析や，暗号化処理中に意図的に故障を誘発させ攻撃を行うフォールト解析などが知られている．故障感度解析はフォールト解析の一種であり，故障の起こりやすさを基に内部信号の解析を行い鍵の推定を行う．研究の目的は，故障感度がS-boxのシェアに依存しているのかを調査することである．本研究では，TI技術により対策されたAES暗号ハードウェアのS-boxに対し，S-box処理の入力シェアを取得し，シェアごとの故障感度を調べた．実験では，AES暗号を実装したASICおよびFPGAを用いた．また，故障感度の評価はAES暗号化処理の10ラウンド目のS-boxのシェアに対して行なった． ASICでは暗号化処理の中間値を送る機構が無いため，S-box処理のシェアを取得することができず，シェアごとの故障感度の調査を行えない．そこでFPGAを用いることで問題を解決した．まずFPGAでS-box処理のシェアを取得し，その後ASICで暗号化処理を行い故障を誘発した．ASICでの暗号化による故障の有無と，FPGAでの暗号化で取得したシェアを照らし合わせることによって，ASICによる暗号化処理でのシェアにおける故障の有無を確認した．

3E3-1

SOME/IPプロトコルスタックに対するグレーボックスファジングの評価 ◎金森健人(株式会社セキュアイノベーション) 、棚原斎稀(株式会社セキュアイノベーション) 、渡邉弘樹(株式会社セキュアイノベーション) 、平野雅巳(株式会社セキュアイノベーション) 、新垣奈美子(株式会社セキュアイノベーション) 、鉢嶺光(株式会社セキュアイノベーション) 、倉地亮(名古屋大学): 近年，車載ネットワークにおいて，様々なサービス形態に柔軟に対応可能なサービス指向プロトコルであるSOME/IP(Scalable service-Oriented MiddlewarE over IP)の導入が注目されている．一方で車載ネットワークは外部からの攻撃による危険性が多数報告されており，使用するプロトコルのセキュリティ評価は重要である．現在，SOME/IPのセキュリティに関する研究は始まったばかりで，特にプロトコルスタックについては十分なセキュリティ評価がされていない．本研究では，SOME/IPプロトコルスタックに対してSOME/IP-SDメッセージを対象に複数の方式によるグレーボックスファジングを実施し，カバレッジ等のファジング性能の比較評価および検出したクラッシュについて考察を行った．結果より，SOME/IP-SDのフォーマットを考慮したファジングを実施することで，クラッシュが検出でき，ソースコードの安全性を向上することが確認できた．

3E3-2

車載ソナー攻撃のモデル化とリスク評価 ○三ツ木知愛(パナソニックオートモーティブシステムズ株式会社) 、平野亮(パナソニックオートモーティブシステムズ株式会社) 、今本吉治(パナソニックオートモーティブシステムズ株式会社) 、横田薫(パナソニックオートモーティブシステムズ株式会社) 、安齋潤(パナソニックオートモーティブシステムズ株式会社): 自動車の運転支援システムはソナーやLiDARなどの様々なセンサーによりを実現されている。一方で、攻撃者にセンサーセンシング技術を介して運転支援システムが悪用された場合、車両の安全面への影響が懸念される。実際に、車両外にいる攻撃者からセンサーの計測値の改ざんや計測の妨害が可能な攻撃手法を実証した研究が盛んに報告されている。また、自動車サイバーセキュリティのガイドライン等においてもセンサーを保護対象として考慮すべきと指摘されており、自動車業界においてもセンサーに対するセキュリティ脅威への対策の導入を検討する必要性が高まってきている。　本研究では車載センサーに対するセキュリティ脅威への対策検討を目的として、車載センサー車載センサーに対する既存の攻撃についてシステム影響度や攻撃容易性という観点で定量的にリスク評価を行う。加えて、既存の近接攻撃者モデルと比較して、リスクの高い遠隔攻撃者モデルを提案し、実車を用いた車載ソナーへの攻撃実験を通じて攻撃原理を確認する。これらのリスク評価の結果から、特に普及率の高い車載ソナーセンサーに対するセキュリティ脅威への対策における指針や要件を考察する。

3E3-3

距離偽装攻撃をLiDARとステレオカメラの出力時系列に基づき検知する方法 ○久保中(横浜国立大学) 、深津勇貴(横浜国立大学) 、吉田直樹(横浜国立大学) 、松本勉(横浜国立大学): 自動運転には，LiDARやカメラ，レーダ等のさまざまなセンサからの情報が必要である．それらの情報をもとに走行環境を認識し，車両・歩行者検出や緊急自動ブレーキなどの機能が実現される．特に測距情報は環境認識のために重要である．一方で現在，測距センサであるLiDARやステレオカメラには攻撃者によって誤った測距結果を出力させる諸々の攻撃方法が指摘されている．そのような攻撃が行われると,測距情報を用いて処理や制御を行うシステムにも影響が出ることが考えられ，例えば車両や歩行者が正しく検出されず，衝突するなどの事故につながりかねない．そのため，これら攻撃に対する対策技術の研究が重要となる．本稿では，LiDARとステレオカメラの同じ方向の測距値の差分を利用して距離偽装攻撃を検知する手法を提案する．この検知手法にLiDARとステレオカメラからの出力の時系列情報を利用することで攻撃検知性能を向上できることを示す．また，走行データセットを用いていくつかの攻撃パターンをシミュレートし，提案手法の有効性を評価する．

3E3-4

センサ攻撃を受ける協調型車間距離制御装置に対するフィルタリング機能の検討 ◎藤本拓磨(電気通信大学) 、澤田賢治(電気通信大学) 、山藤勝彦(日産自動車): 代表的な自動運転支援システムとしてアダプティブクルーズコントロール（ACC）が普及している．ACCはセンサから取得可能な先行車との距離や相対速度によって車両を制御するものである．本研究ではACCの高度化技術として他車との車々間通信により車間距離制御を行う協調型アダプティブクルーズコントロール（CACC）について取り上げる．近年自動運転システムに対するサイバー攻撃が研究されており，LiDARやセンサから取得する歩行者または先行車に関する情報を偽装している．このようなサイバー攻撃が起こると先行車，歩行者の正確な情報が取得不可能になり，事故に繋がりかねない．そこで本研究は，サイバー攻撃を受けているセンサ情報をV2V情報を利用して攻撃影響を削減するフィルタリング機能の開発を目的としている．センサ情報のフィルタリング機能として予測ガバナを用いる．予測ガバナは誤差を含む参照信号を過去の真の情報により整形する信号整形機構である．本研究では研究の初端として，CACCにおいて最も車間距離が近づき危険となる一時停止状況において，車間距離や相対速度情報にオフセットが任意のタイミングで発生させられても，安全に一時停止が可能な事を示す．

3E3-5

SOME/IP-SDのセキュリティ拡張プロトコルの提案 ○倉地　亮(名古屋大学) 、高田　広章(名古屋大学) 、足立　直樹(株式会社オートネットワーク技術研究所) 、上田浩史(株式会社オートネットワーク技術研究所): 近年，自動車の電子制御システムにも徐々にEthernetが搭載されており，自動車の電子制御システムに向いたサービス志向通信プロトコルとしてSOME/IPプロトコルが搭載されてきている．SOME/IPプロトコルではサービスを探索するためのプロトコルとして，SOME/IP-SD(Service Discovery)プロトコルを実行した後，動的にサービスを受信することが可能となる．しかしながらその一方で，SOME/IPプロトコルのセキュリティ上の保護についてはあまり議論されていないことが課題である．このため，本研究ではSOME/IP-SDプロトコルに対する保護するための拡張プロトコルについて提案する．さらに，提案プロトコルを評価し，他のプロトコルよりも有意であることを示す．

3E4-1

UNR155 対応に向けた要求分析手法の検討 ○倉地　亮(名古屋大学) 、佐々木崇光(パナソニックホールディングス株式会社) 、氏家良浩(パナソニックホールディングス株式会社) 、松島秀樹(パナソニックホールディングス株式会社): 近年，自動車のサイバーセキュリティ強化に向けて UN-R155 や ISO/SAE 21434 など国際基準や標準が規定されている．一方，これらの国際基準や規格に対応するためには，具体的なプロセスおよびシステムに対する要求が必要になる．このため，本研究では UN-R155 の対応に向けた要求分析として，ISO/SAE 21434 との対応関係を整理し，要求項目を具体化する方法を検討した．この方法を用いて分析した結果より，具体化された要求が有効であることを示す．

3E4-2

自動車セキュリティインシデントの解明に向けたデジタル・フォレンジックの検証 ○片山隆成(警察大学校) 、倉地亮(名古屋大学) 、佐々木崇光(パナソニック　ホールディングス株式会社) 、黒崎雄介(警察大学校): 近年の自動車は多数の電子機器が搭載され，そのサイバーセキュリティについても関心が高まっている．電子機器に残存する電磁的記録(刑法7条の2)について，その証拠的価値を損なうことなく取り扱う方法や手続をデジタル・フォレンジックと呼び，自動車にセキュリティインシデントが発生した場合，その事実，手法及び影響を明らかにするためには，自動車におけるデジタル・フォレンジック技術の確立が求められる．筆者らは先行研究において，エアバッグコントロールユニット(以下「ACU」)及び車載インフォテインメントシステム(以下「IVIシステム」)に着目し，デジタル・フォレンジックを行う上でセキュリティインシデントの解明に必要と思われる電磁的記録を机上で検討し示した．しかし，それらの電磁的記録により実際にセキュリティインシデントを解明できるかについて検証が課題として残された．そこで本研究においては，ACUとIVIシステムを用いた実験環境を構築し，想定した攻撃シナリオに対して複数の電子機器から得られる電磁的記録を用いたデジタル・フォレンジックについて検証を行った．

3E4-3

車載システムにおけるAIに対するセキュリティリスク評価 ◎竹内章人(パナソニックオートモーティブシステムズ株式会社) 、伊藤貴佳(パナソニックオートモーティブシステムズ株式会社) 、横田薫(パナソニックオートモーティブシステムズ株式会社): 近年，様々な産業分野においてAI(Artificial Intelligence)の活用が進んでおり，自動車業界においても，カメラ映像の認識や先進運転支援システムなどの実現に活用されつつある．一方で，AIに対する攻撃も近年さかんに研究されている．車載システムに搭載されたAIに対してこれらの攻撃が成功すると，不正動作やAIモデルの解析によるノウハウ流出の危険性がある．従って，今後車載システム上のAIに対しても攻撃への対策が必要になってくると考えられる．AIに対しては様々な攻撃が提案されているが，どの攻撃を優先的に対策すべきかの指針について述べた研究は少ない．そこで本稿では，車載システムに搭載されたAIにおいて対策優先度の高い攻撃についての検討を行った．具体的には車載システムにおけるAIの典型的ユースケースであるADASを対象として，各種のAI攻撃を適用した場合のリスク評価を行った．そして，評価で得られたリスク値に応じて対策優先度の高い攻撃を抽出した．

3E4-4

車載システムにおけるAIに対するモデル推定攻撃 ◎伊藤　貴佳(パナソニックオートモーティブシステムズ株式会社) 、竹内　章人(パナソニックオートモーティブシステムズ株式会社) 、横田　薫(パナソニックオートモーティブシステムズ株式会社): 近年，様々な産業分野においてAI(Artificial Intelligence)の活用が進んでおり，自動車業界においても，カメラ映像の認識や先進運転支援システムなどの実現に活用されつつある．一方で，AIに対する攻撃も複数発見されており，本稿では学習済みのAIを窃取するモデル推定攻撃について取り上げる．開発者にとってAIモデルは保護すべき重要な資産であり，窃取された際の被害損失は大きい．また，窃取されたAIを利用されることで敵対的サンプル攻撃などの攻撃が容易となり，更なる被害へ発展する可能性も高まる．本稿では，車載システムに搭載されたAIに対するモデル推定攻撃の実行可能性について実験により検討を行った．実験では車載カメラ映像を学習した被攻撃AIモデルと，モデル推定攻撃により作成した盗用AIモデルを用意し．2つのモデルの分類精度を評価した．結果，Pixel Accuracyはそれぞれ86.5%と80.9%であり，被攻撃AIモデルに対して近しい精度で盗用AIモデルが作成できることを確認した．後半では，車載システム上のAIを保護するための対策について検討する．既存の対策方法は，クラウド上のAIでは効果はあるが，車載システム上のAIの対策としては不十分であることを述べ，適切な対策方法について紹介する．

3E4-5

深層学習を用いたインシデント被害抑制のための波及予測手法 ◎伊藤　貴佳(パナソニックオートモーティブシステムズ株式会社) 、鳥崎　唯之(パナソニックオートモーティブシステムズ株式会社) 、根本　祐輔(パナソニックオートモーティブシステムズ株式会社): 近年，自動車に対するサイバー攻撃のリスクが高まりつつある．それに伴い，UNR-155やISO/SAE 21434などのセキュリティに関する規格の整備が進んでいる．これらの規格では，車両設計，市場投入から廃棄に至るまでの間，脅威や脆弱性を監視・検出し，対応することが要求されている．そのため，監視や分析を行うSOC(Security Operation Center)や，インシデントの対応・復旧を行うSIRT(Security Incident Response Team)の運用が今後重要となってくる．SIRTは，脅威や脆弱性に対して早急に対応策を講じる必要性があるが，人員リソースには限りがあるため，各インシデントに対し，将来の被害規模に応じた優先度をつけて対応していくことが望ましい．しかし，優先度付けに必要な将来の被害規模の予測は，長い業務経験を有した人であっても安定して高い精度で行うことは困難である．そこで，属人化を防ぎ，安定した精度での予測を実現するために，過去のインシデント情報から将来の被害規模を自動的に推定する手法を提案し，その精度について評価実験を行った．実験の結果，30日先までの総インシデント発生件数の予測において，人による予測と同程度の精度と仮定した比較モデルに対して，提案手法は有意差をもって高い精度で予測できることを確認した．

3F1-1

AI開発エンジニア向け機械学習セキュリティ脅威分析技術の拡張 ○矢嶋純(富士通株式会社) 、乾真季(富士通株式会社) 、清水俊也(富士通株式会社) 、笠原史禎(富士通株式会社) 、辻健太郎(富士通株式会社) 、吉岡信和(早稲田大学): 近年，機械学習特有の攻撃について議論されている．機械学習特有の攻撃から機械学習システムを守るためにはどのような攻撃がシステムに適用されてしまうのかを見極める必要がある．このような脅威分析は，現状では専門知識を持った機械学習セキュリティの専門家のみが実施することができる一方で，AI開発エンジニアが単独で脅威分析をすることは困難である．このような課題に対し，著者らはSCIS2022においてAI開発エンジニアが単独で分析を行うことができる新しい脅威分析技術を提案した．今回，この脅威分析技術について，メンバシップ推測攻撃を分析可能にする改良，モデルインバージョン攻撃が攻撃可能と判定されやすい件についての精度向上，及び，物体検知AI/AutoMLを分析可能にする拡張を実施した．完成した技術について評価を行い，正しく動作していることを確認した．本技術は機械学習工学研究会(MLSE)より発行されている機械学習システムセキュリティガイドラインの最新版に含まれて今後公開されることを目指している．

3F1-2

外接矩形が小さい敵対的パッチを生成する手法 ◎笠原史禎(富士通株式会社) 、辻健太郎(富士通株式会社) 、矢嶋純(富士通株式会社) 、乾真季(富士通株式会社): 敵対的パッチ攻撃は画像分類システムに対する現実的な脅威のひとつである．本稿では，画像内の指定した領域内で，可能な限り小さいサイズの敵対的パッチを自動で生成する手法を提案する．既存の敵対的パッチ攻撃手法は，パッチの位置やサイズをあらかじめ決める必要があり，どの位置にどれほど小さいパッチを生成できるかを評価する場合は，総当たり的に位置やサイズを変えて攻撃を実行する必要があり，評価コストが非常に大きくなる．提案手法では，1. 誤判定に対する影響が大きい摂動がパッチの重心近くに集まるように摂動を生成する，2. 影響が小さい摂動領域を削除する，を繰り返すことで，影響が大きい位置に小さくまとまったパッチを生成する．実験により，既存手法で生成する敵対的パッチと比較し，摂動領域の面積を小さくしつつ，外接矩形の面積を約50%削減した敵対的パッチを生成できることを確認した．

3F1-3

KYCにおけるプライバシー保護強化型AI自然言語処理 - DAC/ZKRPによる範囲付き墨塗り文書へのLDA適用 - ○宝木和夫(産業技術総合研究所) 、久保田隆(早稲田大学) 、ウォルゲムトスベン(セコム) 、梅澤克之(湘南工科大学) 、長谷川佳祐(セコム) 、三科雄介(産業技術総合研究所): サプライチェーンにおいて、一方の取引者は身元証明など必要なデータを添えて他方の取引者に認証してもらう。その過程で、第三者、あるいは、当事者が、種々の属性証明書に署名する情報提供者となる。AI自然言語処理を適用する場合、偽情報を与えてAIに誤判断をさせるという攻撃に遭う恐れが生じている。本研究はプライバシーが強化された形で情報提供者の署名と認証を行う基本方法を開発した。具体的には、情報提供者が提供する文書のうちプライバシー保護上必要な箇所をペダーセンコミットメントに変換して、一種の墨塗り状態にする。得られた墨塗り文書に暗号（DACとZKRP)と自然言語処理(LDA)を適用する。これにより、情報提供者のIDのうち必要な属性のみを開示する形での匿名化、および、墨塗りした箇所を完全に隠すのではなくプライバシー上差し支えない範囲での不等式範囲証明を行う。それを受け取った相手は、AI自然言語処理を一定の精度で行う。コネクテッドカー仕様書のケーススタディについて、PC実装により検証したところ良好な結果を得た。

3F1-4

GANを用いた個人情報レコードの多様化 ◎蒋程曦(神奈川大学) 、王天澄(神奈川大学) 、森田光(神奈川大学): デジタル社会の推進に伴い、情報公開による個人情報漏えいの問題が深刻化している。したがって、個人情報漏えいを防ぐ上に、情報公開にあたって利用可能な情報量をできるだけ大きくするために、多様性などの匿名化指標が活用されている。個人情報保護に関する多くの先行研究では、個人情報保護のために既存データの内容変更や削除などの手法に着目し議論が行われている。しかし、それらの手法では個人情報保護に有効であるが、統計計算上の正確性が失われる可能性があると考えられている。そこで本研究では、個人情報を変更せずにその漏えいを防ぐために、GANで生成したデータを用いてデータベース内の個人情報を多様化する手法を提案する。

3F1-5

局所的特徴にもとづく強化学習とGNNを用いたネットワーク脆弱性検査の評価 ◎長谷川健人(KDDI総合研究所) 、披田野清良(KDDI総合研究所) 、福島和英(KDDI総合研究所): 強化学習を用いたペネトレーションテスト自動化に関する研究が進められている．強化学習のモデルとしてグラフニューラルネットワーク~(GNN)を用いることで，より汎用的に適用可能なモデルを構築できるが，学習が効果的に進まないことが課題となっている．本稿では，部分観測マルコフ決定過程における，強化学習を用いたペネトレーションテスト自動化のためのフレームワークを提案する．基準となるモデルとして，強化学習にGNNを導入するモデルを利用する．収束性を改善するため，Attention機構と時系列学習モデルを導入する．これにより，局所的な特徴抽出を可能にするとともに，部分観測マルコフ決定過程下での観測を可能とする．評価実験を通じて，汎用性のないモデルと同等の性能を得られることを確認した．

3F2-1

NPUにおけるMLモデル保護技術に関する一考察 ○渡辺大(株式会社日立製作所): ーザ端末で学習済みAIモデルを使った機能を提供する場合、AIモデルの盗難という課題が知られている。本稿では、Goldsteinらが提案した、NPUの処理性能を損わないAIモデルの難読化という盗難対策技術を取り上げ、彼らが提案した枠組みでは難読化されたAIモデルのパラメータを攻撃者(端末ユーザ)が自由に改ざんできることを指摘する。また、選択パラメータ攻撃の条件下における鍵推定攻撃の手法について検討した結果を報告する。

3F2-2

機械学習を用いた融資判定における公平性とセキュリティ ○宇根正志(日本銀行): 本稿では，金融機関が機械学習による判定結果に基づいて融資判定を行う場合に焦点を当て，判定の偏りが融資サービスにおける公平性に及ぼしうる影響や課題，対応のあり方を考察する．公平性に関するサービス要件の決定，公平性に配慮した機械学習利用システムの開発・運用について，機械学習品質マネジメントガイドライン等を引用しつつ説明するほか，セキュリティ上の課題として，顧客に融資判定結果の公平性を説明する際の偽造（fairwashing）の可能性について考察する．

3F2-3

AIパラメータ漏洩耐性評価のための浮動小数点演算に対する電力解析の検討 ○野﨑華恵(産業技術総合研究所) 、古原和邦(産業技術総合研究所): AIエッジデバイスに対する攻撃界面の一つであるサイドチャネル解析について，AIパラメータの漏洩耐性評価を目的としてニューラルネットワークの基本演算である乗算および加算に対する相関電力解析（CPA）を実施した．暗号処理に対する従来のCPAとは異なり，浮動小数点演算に対するCPAではIEEE 754表現の特性を考慮したアプローチが必要になることを実測波形および擬似消費電力に対する解析結果から示す．

3F2-4

AI Safety & Securityの研究・標準化動向：欧州編 (その２) ○櫻井　幸一(九州大学) 、溝口　誠一郎(DNVアシュアランス・ジャパン): CSS2022において、人工知能の安全性とセキュリティに関する欧州の研究と標準化動向を報告した。そこで会場/onlineより、欧州AI規則の詳細やGDPRに関して2つの質問を受けた。ここでは、その回答を、その後の調査や最新状況を交えて、報告する。

3F2-5

人工知能を利用する自律走行機能のセキュリティ論証戦略について ○溝口誠一郎(DNVビジネスアシュアランスジャパン株式会社) 、櫻井幸一(九州大学大学院システム情報科学研究院): 本稿では、AI/MLを搭載する自律走行機能に関するセキュリティ論証について、その論証戦略について検討する。

3F3-1

CS2BERT: サイバーセキュリティ文書のための事前学習言語モデル ◎冨田裕涼(岐阜大学) 、毛利公美(近畿大学) 、白石善明(神戸大学): セキュリティ文書から情報を抽出する際に固有表現抽出という基本的なタスクが行われる．時間経過に伴いデータの特性が変化していく現象がセキュリティ分野では起こり得る．例えば，新種のマルウェアが発生し，新語・未知語が含まれる場合である．固有表現抽出では事前学習言語モデルの利用が有力である．事前学習に用いられたコーパスによりタスクの結果が変わることから，セキュリティ分野の固有表現に有効な事前学習言語モデルが望まれる．本論文ではオープンなデータセットから事前学習言語モデルを構築するために，S2ORCの科学技術論文をコーパスとして利用した事前言語学習モデルCS2BERTの構築手法とその効果について議論している．

3F3-2

各種特徴ベクトルによるセキュリティレポート検索　～文書類似性モデル評価手法とテストコレクションによる評価～ ◎添田　綾香(神戸大学) 、白石　善明(神戸大学) 、毛利　公美(近畿大学) 、森井　昌克(神戸大学): 組織の被害を最小限にするために，現在起こっているインシデントに関する情報を収集することはセキュリティ管理者にとって不可欠である．本論文ではシステムに残ったIndicator of Compromise（IoC）情報をもとに脅威情報を収集するために我々が開発しているセキュリティレポート検索システムにおいて，複数の特徴ベクトルを利用するときの性能について議論している．具体的には，テストコレクションによる評価と，random Histogram Slope Analysis （rHSA）を用いた評価について述べている．

3F3-3

ネットワークトラフィックのグラフ表現とGNNによる異常検出 ○松下和希(大阪府立大学大学院) 、青木茂樹(大阪府立大学大学院) 、宮本貴朗(大阪府立大学大学院): 近年，サイバー攻撃の増加に伴い，ネットワーク上の不正な通信を検出する侵入検知システム(IDS: Intrusion Detection System)の研究が盛んに行われている．これまでに提案されている手法の中にグラフを利用した手法が存在している．これらの手法では，セッション単位のトラフィックの状態をグラフ表現して得られた特徴を利用することで，検知精度が向上することを示している．また，視覚的な情報を多く得られるグラフが，検出結果を解釈するために有効であることも示している．一方，グラフを入力データとする深層学習手法であるGNN(Graph Neural Network)をIDSに応用した手法も提案されている．本稿では，GNNを利用した大規模ネットワークにも適用可能な異常検出手法を提案する．まず，単位時間ごとにパケットのヘッダから特徴を抽出し，注目しているネットワーク全体のトラフィックの状態をグラフとして表現する．単位時間での処理であるため，特徴抽出にかかるコストを削減し，大規模ネットワークにも適用できる．次に，GNNを用いてグラフを学習することでネットワークの異常トラフィックを検出する．CICIDS2017データセットを用いて，攻撃通信を種類ごとに識別する実験を実施し，本手法の有効性を確認した．

3F3-4

管理フレーム保護が有効なWi-Fi無線LANにおける通信遮断・制限手法の検討 ◎千賀功平(三菱電機株式会社) 、梨本翔永(三菱電機株式会社): Wi-Fi 無線 LAN では電波が届けば通信可能であるため，有線 LAN とは異なり不正な無線機器を容易に設置でき，また設置された不正な無線機器の存在に気づきにくい．そのため，無線侵入防止システム (WIPS: Wireless Intrusion Prevention System) を用いて，不正な通信を遮断することが望ましい．WIPS では，通信遮断のために Wi-Fi における著名な DoS 攻撃である Deauthentication 攻撃を用いている．一方で，2018 年に Wi-Fi Alliance が発表したセキュリティ規格 WPA3 にて，管理フレーム保護 (PMF: Protected Management Frames) という仕組みが必須化されたため，WIPS は不正な無線機器による確立済の通信を遮断できなくなった．そのため，他の通信遮断手法が求められる．PMF を想定した WIPS の既存手法には，不正クライアントの場合のみにしか言及していないこと，通信できなくなった不正クライアントが再接続できることという 2 つの課題がある．そこで本稿では，PMF が有効な Wi-Fi 無線 LAN において，容易には再接続できない通信遮断・制限手段を，不正アクセスポイントを想定した場合も含め検討した．

3F3-5

教師なしGNNによるIoTデバイスの異常通信検知の検討 ◎近藤真暉(株式会社 ARISE analytics) 、奥井宣広(株式会社 KDDI総合研究所): 本稿では，IoTデバイスの通信データを対象とした異常通信検知を目的とするグラフベースの教師なし異常検知手法を提案する．本手法では，複数のIoTデバイスによる通信データをグラフとみなす．通信データがノードに格納されるようにグラフを構築し，得られたグラフに対し，ノードサンプリングによるサブグラフ抽出を行ったうえでGNNに入力する．GNNから適切な距離表現が得られるよう，Metric Learningを用いた特徴表現学習を導入することで，ラベル情報を必要としない教師なし学習による通信データの特徴表現獲得を実現した．公開データセットを用いた評価実験により，提案手法によって得られた特徴表現において正常通信と異常通信が分離されていること，異常通信においても異なる種別の異常通信間で分離されていることを確認した．また，異常通信検知への応用においては，本手法で得られた特徴表現に対し，kNN Anomaly Detectorを組み合わせることで既存手法と同等の性能が得られることが確認できた．

3F4-1

OSSにおけるベルヌーイ分布モデルおよびTransformerアルゴリズムを用いた脆弱性発見モデルの提案 ◎脇谷峡平(情報セキュリティ大学院大学): 近年,オープンソースソフトウェアの脆弱性に対するセキュリティについて多くの議論がされている.IPAによると,攻撃者がオープンソースソフトウェアにウイルスを仕込むケースが確認されており,多くの研究者が様々な技術を用いて対策を講じている.しかし,近年では脆弱性の種類が多く,対応が困難となっていることから対策には多方面の対応が要される.そこで本研究では,この問題点の解消方法として2つの実験を施行した.1つ目の実験として,代表的なオープンソースソフトウェアであるAnsibleの内部コマンドと脆弱性を含むコードに着目し,それらのテキストを2値ベクトル化することによって90%の精度で分類可能であることを示す.2つ目の実験としては,多方面での脆弱性対応手法として,正常なURLと過去に悪用されたURLに着目しTransformerベースのBERTを用いてベクトル化を行い,k平均法によるクラスタリング手法によって脆弱性のカテゴリ化を可能とした.その結果,特定の異常なコードを正しく分類分類できることを確認した.

3F4-2

Transferability of adversarial samples in machine learning based NIDS ○Mariama Mbow(Kyushu University) 、Hiroshi Koide(Kyushu University) 、Rodrigo Roman(University of Malaga) 、Kevin I-Kai Wang(University of Auckland) 、Kouichi Sakurai(Kyushu University): In this paper we study the vulnerability of machine learning based network intrusion detection system (NIDS). In recent years, traditional machine learning and deep learning techniques have been adopted in NIDS to improve the attacks detection rate and with promising results. However, recent researches have shown that deep learning algorithms are prone to adversarial attacks. But not many works have investigated the vulnerability of traditional machine learning. This paper evaluates the robustness of traditional machine learning based NIDS. We first craft adversarial samples from a deep learning in white box setting and adopt the transferability methods to evade the machine learning detector.

3F4-3

Doc2Vec を用いた組織内ネットワークの異常検知 ◎村井亨(大阪府立大学大学院) 、青木茂樹(大阪府立大学大学院) 、宮本貴朗(大阪府立大学大学院): 近年のサイバー攻撃の増加に伴ってIDS（Intrusion Detection System）の研究が盛んに行われている．一方，自然言語処理分野では，文書をベクトル表現する手法が発展しており，それを応用して，文書のベクトル表現手法をネットワークトラフィックの特徴抽出に用いたIDSを構成する研究が行われている．自然言語処理技術は，トラフィックの類似性に着目してベクトル化できるメリットがある．これまでの代表的な研究では，Doc2Vecでベクトル化したパケットの情報を用いて教師あり学習手法で異常検出する手法が提案されているが，教師あり学習ではゼロデイ攻撃などを検知できない．本研究では，トラフィックの類似性に着目した，ゼロデイ攻撃にも対応可能なIDSを提案する．まず，パケットをセッションごとに分割し，セッション内のパケットのヘッダから特徴量を単語として抽出して文書を構成する．次に，構成した文書に Doc2Vec を適用して，セッションごとにベクトルを抽出する．そして，学習期間中に観測されたベクトルを教師なし学習手法で学習して異常を検出する．実験ではMWSデータセットを用いて有効性を確認した．

3F4-4

Graph Neural Networkを用いた異常通信検知におけるフローデータのまとまりを考慮したグラフ構成手法 ○奥井宣広(株式会社KDDI総合研究所) 、秋元裕介(株式会社ARISE analytics) 、窪田歩(株式会社KDDI総合研究所) 、吉田琢也(トヨタ自動車株式会社): IoTデバイスの普及に伴い，IoTデバイスに対する，あるいはIoTデバイスを用いたサイバー攻撃への対策が課題となっている．Miraiなどに代表されるIoT向けマルウェアによる通信を検知する手法として，本研究ではデータ量を削減可能なフローデータを使用した異常通信検知に着目した．マルウェアによる通信を検知する手法において，DoS攻撃など通信の特徴が正常通信と大きく乖離する通信に対しては，深層学習を含む様々な検知手法が提案されており，近年ではGNN(Graph Neural Network)を用いた検知手法が注目されている．先行研究のGNNにおいては，通信ホストをノード，ホスト間の通信をエッジとしてグラフを構成する手法が一般的であるが，C&C通信など通信の特徴が正常通信と区別しにくい通信に対しては，これらの既存手法による検知が困難である．本研究では，このようなマルウェアによる通信を検知するため，連続するフローデータのまとまりをグラフとして表現する新しいグラフ構成手法を提案する．GNNによる既存の異常通信検知モデルに本手法を組み合わせて異常通信検知手法を構成し，KDDI-IoT-2019データセットを用いて評価実験を実施し，その有効性と課題について議論を行う．

4A1-1

不定方程式暗号のソフトウェア実装における高速化について ◎真島侑斗(九州大学大学院数理学府) 、池松泰彦(九州大学マス・フォア・インダストリ研究所) 、秋山浩一郎(株式会社東芝研究開発センター) 、縫田光司(九州大学マス・フォア・インダストリ研究所): NIST(米国国立標準技術研究所)は耐量子計算機暗号の標準暗号方式として格子暗号を選定した．格子暗号は処理性能に優れているが，鍵サイズが現行の公開鍵暗号より大きく，ローエンドデバイスへの搭載時の影響が懸念されている．そこで本稿では，鍵サイズがRSA暗号より短い不定方程式暗号に着目し，その高速化を実現するためKaratsuba法を多変数多項式乗算に適用した結果を報告する．本稿はCSS2022で報告した高速化の続報である．

4A1-2

Cryptanalysis of the randomized version of DRS scheme ◎Moeto Suzuki(Kyoto University) 、Mehdi Tibouchi(Kyoto University, NTT Social Informatics Laboratories) 、Masayuki Abe(Kyoto University, NTT Social Informatics Laboratories): As one of the main approaches to postquantum cryptography, lattice-based cryptosystems have attracted a lot of attention, and have been the subject of active research in the past decade. DRS v1 was one of the signature candidates for the NIST postquantum round 1 competition and touts itself as simple and efficient. However, it was broken at least in principle by the Ducas-Yu statistical attack. In an attempt to mitigate the attack, the authors of DRS developed DRS v2, which is supposed to make the attack impractical, although it still lacks a clear proof of security. In addition, a randomized version of DRS (both v1 and v2) was introduced to protect against certain classes of side-channel attacks. Li, Liu, Nitaj, and Pan presented an attack against DRS v1, which can successfully recover the absolute values of the coefficients of the secret key in a certain range of parameters. However, it fails to recover the signs (making it incomplete as a key recovery) and is also not analyzed against DRS v2. In this work, we improve and extend the analysis of Li et al., and propose attacks on the randomized versions of both DRS v1 and v2. For DRS v1, we show that recovering the signs of coefficients reduces to an easily solved low-density knapsack. We also show how the attack should be modified to target DRS v2. As a result, we are able to recover the entire secret key of randomized DRS v1 and v2. Moreover, our proposed method of recovering the signs of the coefficients also improves the Ducas-Yu attack, casting further doubt on the security of DRS.

4A1-3

MQ問題を解くための改良されたHybrid approachの計算量評価 ○坂田康亮(東京大学): 変数多項式公開暗号は耐量子計算機暗号であり，次世代暗号の候補の1つである．連立二次多変数代数方程式の求解(MQ問題)は多変数公開鍵暗号の安全性根拠となっており，その計算困難性を評価することは重要な研究課題である．Hybrid approachはMQ問題の解法の一つで，全探索法とGroebner基底計算を合わせた方法であり，MQ問題の変数の数nが多項式の数mより大きい場合にあらかじめ代入を行い，n

4A1-4

近似イデアル分解問題に基づく不定方程式暗号に対する鍵復元攻撃の計算量評価 ○坂田康亮(東京大学) 、秋山浩一郎(株式会社東芝): 近似イデアル分解問題に基づく不定方程式暗号に関して、支配的な攻撃手法となっている鍵復元攻撃の計算量評価を行った。鍵復元攻撃の計算量は同攻撃の過程で導出される２次多変数連立方程式の求解問題（ＭＱ問題）の計算量が支配的になる。本研究ではある条件の下で、このＭＱ問題がランダムなＭＱ問題のもつsemi-regularと呼ばれる特性を持つことが多くなることを確認した。そこで、鍵復元攻撃により導出されるＭＱ問題がsemi-regularであると仮定して同攻撃の計算量評価を行った。

4A1-5

Proposing a Trade-off SVP-solving Strategy by Improving pnj-BKZ Simulator ◎Leizhang Wang(Osaka University; Xidian University) 、Yuntao Wang(Osaka University) 、Baocang Wang(Xidian University): Sieving is one of the best-known (approximate) SVP-solving algorithms in lattice theory. Sieving runs in a minimum exponential time complexity and exponential space cost with respect to the dimension of the lattice. It is critical to decreasing the memory cost of sieving when solving higher dimensional SVP. In 2018, Thijs Laarhoven et al. proposed a so-called progressive sieving whose running time and memory cost are primarily affected by the quality of the input lattice basis. Currently, there are two main strategies for solving (approximate) SVP. One is the SVP solving strategy proposed in G6K, which has the least solving time cost but high memory cost requirements; another is to execute progressive BKZ (pBKZ) for preprocessing first, and then call the high-dimensional SVP-oracle to find the short vector on the original lattice. Due to the strong preprocessing on the lattice basis, the memory cost of the latter strategy is smaller than that of the former strategy, while the time cost of preprocessing in the latter strategy is relatively vast. In this paper, we revisit the pump-and-jump BKZ (pnj-BKZ) and optimize its simulator when the jump value is quite large. Then, based on the sharper pnj-BKZ simulator, we propose an SVP-solving strategy trade-off between G6K and pBKZ, which derives less time cost than pBKZ within less memory compared with G6K to solve higher-dimensional SVP instances. Experimental results show that when solving the TU Darmstadt SVP challenge, our algorithm can save 50%-66% of memory compared with G6K's default SVP-solving strategy. Furthermore, our algorithm speeds up the preprocessing stage by 7-30 times, and it saves 4-6 times the time cost compared with pBKZ default SVP-solving strategy. Finally, using our proposed strategy, we solved the 170-dimensional TU Darmstadt SVP challenge and up to the 172-dimensional ideal lattice challenge.

4A2-1

探索Module-LWE問題に対する格子攻撃の実験報告 ◎中邑聡史(NTT社会情報研究所) 、片山瑛(立教大学) 、安田雅哉(立教大学): 米国標準技術研究所NISTによる耐量子計算機暗号の標準化プロジェクトにおいて, Module-LWE問題の計算困難性を安全性の根拠としたCRYSTALS-Kyber/Dilithiumが標準化方式として選ばれた．本稿では, Module-LWE問題に対する格子攻撃の実験結果を報告する．具体的には, 探索Module-LWE問題を行列表示し, Module格子上のベクトル回転操作を活用した拡張版Kannanの埋め込み法とBKZ基底簡約アルゴリズムによる格子攻撃を適用する．また, 探索Module-LWE問題に対する格子攻撃の成功確率に関する実験結果を報告すると共に, Module-LWEの階数の違いによる攻撃成功確率について考察する．

4A2-2

符号付き整数に対する効率的な剰余乗算 ◎青木大地(NEC) 、峯松一彦(NEC) 、岡村利彦(NEC) 、高木剛(東京大学大学院情報理工学系研究科数理情報学専攻): 多項式環における乗算手法として数論変換 (Number Theoretic Transform, NTT) は実用的かつ理論的に確立された基本アルゴリズムである。NTTの高速化においては剰余演算の効率性が重要である．近年Plantardにより提案されたワードサイズの整数に対する効率的な剰余乗算を用いることで格子暗号におけるNTTの高速化が期待できる．ただし一般的に格子暗号におけるNTTでは符号付き整数を用いるがPlantardの手法は符号なし整数を想定しているため，単純に適用することはできない．本論文では符号付き整数を扱えるように拡張したPlantardの手法を提案する．また，NISTの耐量子計算機暗号標準化プロジェクト第3ラウンドの候補であった格子ベースKEM方式SABERの多項式乗算に提案手法を適用し速度評価を行った．

4A2-3

素因数分解問題に対するShorアルゴリズムの実装と量子計算機シミュレータを用いた実験 ○山口純平(富士通株式会社) 、伊豆哲也(富士通株式会社) 、國廣昇(筑波大学システム情報系): 一般のRSA型合成数の素因数分解を可能とするShorのアルゴリズムの汎用的な量子回路を実装し，富士通の量子計算機シミュレータを用いて7ビット以下の全てのRSA型合成数を素因数分解することに成功した．これまでの量子計算機を用いた実験では15や21の素因数分解には成功しているものの，Shorの実装には量子ビットや量子ゲートを可能な限り削減する簡易的な実装が使用されている．Shorの汎用的な実装を用いて最大で123の素因数分解に成功したことは世界初である．

4A2-4

バイナリECDLPに対するShorのアルゴリズムの量子ビット削減 ◎田口廉(東京大学大学院情報理工学系研究科) 、高安敦(東京大学大学院情報理工学系研究科): 楕円曲線上の離散対数問題（ECDLP）はShorの量子アルゴリズムによって多項式時間で解かれることが知られており，実装に係る量子リソース数の見積りと削減は重要な研究課題である．特に，量子リソースの中でも量子ビット数は重要であり，優先的に削減を行う研究が行われている．バイナリ楕円曲線上のECDLPにおいては，Banegasらによって量子GCD逆元計算アルゴリズムと量子FLT逆元計算アルゴリズムが提案され，量子GCD逆元計算アルゴリズムは最小の量子ビット数を達成した．本研究で，我々は量子FLT逆元計算アルゴリズムを改良し，その形に特化した楕円曲線加算アルゴリズムを用いることで，Shorのアルゴリズムに必要な量子ビット数を削減する．提案手法は，一般に暗号で用いられる次数n=163, 233, 283, 571においてBanegasらの量子GCD逆元計算アルゴリズムよりも小さい量子ビット数を達成する．さらに，他の重要な量子リソースであるToffoliゲートについても，Banegasらの量子GCD逆元計算アルゴリズムより大幅に削減する．

4B1-1

テキストデータに対する匿名加工プロセス保証方式の検討 ○冨樫由美子(株式会社日立製作所) 、佐藤尚宜(株式会社日立製作所) 、吉野雅之(株式会社日立製作所): AIをはじめとしたデータ利活用技術が進化する一方で，データのプライバシに対する対応も不可欠となっており、匿名加工されたデータ（匿名化データ）の利活用が今後一層進んでいくと考えられる．匿名化データの利活用において，データが不当に改変されていないこと（データの正当性）は、データの利活用結果の正当性を保証するためにも重要となる．電子データに対して、データが改変されていないことを検証可能な技術として、デジタル署名技術がある．しかし，単純にデジタル署名を適用した場合，データに匿名化処理を施すと，不正な加工とみなされ署名の検証に失敗する．そこで、匿名加工の正当性を検証可能とする方式が提案されているが、先行研究では、構造化データを対象としており、テキストデータに対しては未検討であった。本稿では，テキストデータに対する匿名化プロセス保証方式について報告する。

4B1-2

非代替性トークン(NFT)実現に向けての電子署名技術の応用と限界解明 ◎池邉慶(九州大学大学院システム情報科学府情報理工学専攻) 、中村徹(KDDI総合研究所) 、磯原隆将(KDDI総合研究所) 、櫻井幸一(九州大学システム情報科学研究院情報学部門): 非代替性トークン(Non-Fungible Token, NFT)は、ブロックチェーン上に記録されるデジタルデータを一意に識別可能とする識別情報と、ERC721規格は定義している。現在用いられているNFTは、ブロックチェーンデータの改ざん困難な特徴を利用することで、NFTと紐づいたコンテンツの唯一性を担保していると主張している。また、公開鍵暗号による電子署名はデジタルデータの改ざんを防ぐ代表的な技術であり、NFTへの応用も議論されている。本研究ではまず、ブロックチェーン技術を用いないNFTとして、対話型検証方式を用いた指定確認者署名の応用によるNFT実現を考える。データの唯一性を指定確認者署名で担保するNFTの発行プロトコルを設計し、安全性の評価を行う。さらに、提案方式とブロックチェーン実装との比較も議論する。

4B1-3

International Mutual Recognition, A description of trusted services in US, UK, EU and Japan and the Testbed "Hakoniwa" ○Satoshi KAI(Keio university) 、Takao KONDO(Keio university) 、Konstantinos Mersinas(Royal Holloway, University of London) 、Naghmeh Karimi(University of Maryland, Baltimore County) 、Satoru TEZUKA(Keio university): With the expected proliferation of digital transactions, trust is becoming increasingly important, as exemplified by Data Free Flow with Trust (DFFT). Digital signatures are often used to establish trust to prevent the spoofing or alteration of transmitted digital data. However, if the extent of trust guaranteed by the legally jurisdiction or technically trusted list or bridge Certificate Authority (CA ) is exceeded, the digital signature mechanism will not be able to prevent spoofing or tampering. For this reason, mutual recognition is known as mutual recognition, which means that trust recognized in one country must also be recognized in another country. Mutual recognition itself takes time to be established because of the laws, systems, and technologies involved. On the other hand, since electronic signatures consist of complex systems, early technical assistance can enhance mutual recognition. Therefore, the purpose of this study is to develop a testbed that can verify technical aspects of mutual recognition at hand. This paper describes the basic concept of the testbed “Hakoniwa”, the requirements for simulating trust services in EU, UK, US, and JP, and the planned mutual recognition experiments.

4B1-4

暗号のための脳機能拡張：信用できる計算機が不要な署名方式の提案（その２） ○尾形わかは(東京工業大学) 、冨田斗威(横浜国立大学) 、高橋健太((株)日立製作所) 、西垣正勝(静岡大学): 本稿では，完全に信用できる計算機が存在しないという状況において，端末を支配しているマルウェアやサーバを乗っ取るハッカーに対して安全にディジタル署名を生成する方法を提案する．ユーザは脳内に記憶できるパスワードから，部分的に信用できるサーバの助けを借りて鍵ペア生成と署名生成をする．パスワードの複雑性のみで署名の安全性を担保することは困難であるため，各ユーザの署名鍵を，サーバが分散共有している秘密情報とユーザのパスワードから導出することにより，パスワードに対するオフライン辞書攻撃を防止する．

4B1-5

The Sleeve Framework: Hidden Secure Fallback for Cryptocurrency Wallets David Chaum(XX Network) 、◎Mario Larangeira(Tokyo Institute of Technology/IOG) 、Mario Yaksetig(University of Porto/XX Network): We introduce a new key generation mechanism where users can generate a “back up key”, securely nested inside the secret key of a signature scheme. Our main motivation is that in case of leakage of the secret key, established techniques based on zero-knowledge proofs of knowledge are void since the key becomes public. On the other hand, the “back up key”, which is secret, can be used to generate a “proof of ownership”, i.e., only the real owner of this secret key can generate such a proof. To the best of our knowledge, this extra level of security is novel, and could have already been used in practice, if available, in digital wallets for cryptocurrencies that suffered massive leakage of account private keys. In this work, we formalize the notion of “Proof of Ownership” and “Fallback” as new properties. Then, we introduce our construction, which is compatible with major designs for wallets based on ECDSA, and adds a W-OTS+ signing key as a “back up key”. Thus offering a quantum secure fallback. This design allows the hiding of any quantum secure signature key pair, and is not exclusive to W-OTS+. Finally, we briefly discuss the construction of multiple generations of proofs of ownership.

4B2-1

結合可能リング署名の無条件匿名性に関する考察 ◎山村和輝(NTT社会情報研究所) 、奥田哲矢(NTT社会情報研究所) 、藤崎英一郎(北陸先端科学技術大学院大学): 結合可能リング署名は, 署名者が匿名化されるリング署名に二重署名がなされた場合は二重署名であることを検知できる機能が付加されたデジタル署名である. 通常のリング署名は無限の計算能力を持つ敵に対しても匿名性が保障されているが, 本論文では結合可能リング署名の匿名性も同様に無限の計算能力を持つ敵に対して保証できるのか考察する. 一般的に結合可能リング署名の匿名性は計算量的仮定の下で保障されているが, Liuらは2013年に無条件に匿名性が保障される（と主張する）結合可能リング署名を提案した。我々はまずLiuらの方式が真の意味で無条件な敵に対して匿名性が保障されていないことを指摘する. その上で, 無条件匿名性の要件を再定義し, 予め指定された署名回数以内であれば無条件匿名性を満たす方式を構成可能であることを示す. さらに署名回数に制限がない無条件匿名性を満たす方式は構成不可能であることも示す. すなわち, 我々が提案する方式は構成可能である無条件匿名性を満たす方式の中で最も強い匿名性を満たす方式である.

4B2-2

A Lattice-based Ring Signature Scheme Secure against Key Exposure ◎Yuntao Wang(Osaka University) 、Xiaoling Yu(Taiyuan University of Technology): A ring signature scheme allows a group member to generate a signature on behalf of the whole group, while the verifier can not tell who computed this signature. However, most predecessors do not guarantee security from the secret key leakage of signers. In 2002, Anderson proposed the forward security mechanism to reduce the effect of such leakage. In this paper, we construct the first lattice-based ring signature scheme with forward security. Our scheme combines the binary tree and lattice basis delegation technique to realize a key evolution mechanism, where secret keys are ephemeral and updated with generating nodes in the binary tree. Thus, the adversary cannot forge the past signature even if the users' present secret keys are revealed. Moreover, our scheme can offer unforgeability under standard models. Furthermore, our proposed scheme is expected to realize post-quantum security due to the underlying Short Integer Solution (SIS) problem in lattice-based cryptography.

4B2-3

Anonymous Reputation Systemの簡潔で自然な構成とその効率的な一般的構成法 ○林リウヤ(東京大学 / 産業技術総合研究所) 、勝又秀一(産業技術総合研究所 / PQShield Ltd) 、坂井祐介(産業技術総合研究所) 、松浦幹太(東京大学): Anonymous Reputation System (ARS) は，EC サイトにおいてユーザが購入した商品に対して匿名でレビューを付けられるシステムである．これは Blomer らによりグループ署名ベースのモデルで初めて定義され (FC’15)，その後 El Kaafarani らにより安全性の強化が行われた (FC’18)．本研究の貢献は以下の 3 つである．1 つめは，ARS の簡潔で自然なモデルの提案である．Blomer らのモデルは，管理者が2種類存在するモデルであったが，彼らのモデルではなりすましや偽造に対する安全性の考慮が不足していた．また，El Kaafarani らは1つの管理者のみを考えるモデルを提案したが，売買を管理者に委託するため信頼の一極化が生じ，また管理者はユーザの購入情報を見られるという問題が生じる．我々はこれらを防ぐ新たなモデルを提案する．2つめは，ARS の新たな安全性として Purchase Privacy を定義することである．これはグループ署名の安全性として Backes らにより提案されたものであり (CCS'19)， ARS においては購入情報を秘匿するという重要な安全性を担う．また，既存の複雑な安全性定義が簡潔に定義できることを発見した．3つめは，効率的な一般的構成法を示すことである．既存研究は全て特定の構成のみを提案しており，本稿は ARS の一般的構成法を示す初めての論文となる．

4B2-4

Collaborative but Controlled Tracing for Group Signatures ○Maharage Nisansala Sevwandi Perera(Advanced Telecommunications Research Institute International) 、Toru Nakamura(KDDI) 、Takashi Matsunaka(Advanced Telecommunications Research Institute International) 、Hiroyuki Yokoyama(Advanced Telecommunications Research Institute International) 、Kouichi Sakurai(Kyushu University): We propopse a controlled tracing for group signatures. In our proposal, instead of a single centralized tracing authority there are multiple tracers possessing attribute sets. The signer id is encrypted in the signature with an attribute set. Thus attribute satisfying tracer can identify the signer. When there is no single tracer satisfying attributes, then based on the group manager agreement tracers can collaborate to identify the signer. Thus malicious users who try to be anonynous is prevented. On the other hand, group manager gets authority over tracers action.

4C1-1

軽量ブロック暗号SHADOW-32に対するMILPを用いた差分攻撃 ◎松村　拓哉(東京理科大学理工学研究科電気工学専攻五十嵐研究室) 、五十嵐　保隆(東京理科大学): 2021年にYing Guoらによって提案された軽量ブロック暗号SHADOW-32に対してMILPを用いた差分パスの探索と鍵回復攻撃を行った。SHADOW-32はFeistel構造であり,フルラウンド16段,ブロック長32ビットの暗号である。SHADOW-32の提案者論文には、不能差分攻撃での定量的な安全性評価しかなされておらず、差分攻撃に関しては第三者評価もなされていない。本稿では、混合整数線形計画法(Mixed Integer Linear Programming：MILP)をもちいて差分特性を解析し、この差分特性用いて鍵回復を行った。

4C1-2

MILPを用いた軽量ブロック暗号SHADOW-32の線形攻撃耐性評価 ◎野畑開(東京理科大学五十嵐研究室) 、五十嵐保隆(東京理科大学): 軽量ブロック暗号SHADOW-32の線形攻撃耐性評価を行った。Shadow-32は2021年にYing Guoらによって提案されたFeistel構造を持つブロック暗号である。ブロック長は32ビット、段数16段、鍵長は64ビットである。Shadow-32の提案者論文には、不能差分攻撃については定量的な安全性評価が記載されているが線形特性については評価が行われていない。そこで、本稿ではShadow-32に対する線形特性について混合整数線形計画法(Mixed Integer Linear Programming：MILP)を用いて調査を行い、発見した線形特性を利用することにより鍵回復を行った。

4C1-3

Keccak-p Permutationの置換操作における非線形処理に関する考察 ◎石田哲朗(岡山大学大学院) 、日下卓也(岡山大学大学院) 、野上保之(岡山大学大学院) 、小寺雄太(岡山大学大学院): 量子コンピュータの実用化に備えて，NISTは鍵交換方式および署名方式において，耐量子計算機暗号の標準化を進めており，いくつかの方式はファイナリストに選出されている．これらの多くの方式では，擬似乱数生成器やFO変換として暗号学的ハッシュ関数SHA-3が使用されている．FO変換などでは，暗号鍵とランダムな値を結合したものを入力とすることも多いことから，ハッシュ関数が原像困難性を満たすことは非常に重要である．本研究では，先行研究内で言及されてはいるものの，実際には示されていなかったKeccak-p permutationの非線形処理について，逆写像の存在可能性および計算困難性について考察した．その結果，Keccak-p permutation内部において非線形処理を行っているχ Stepは，全単射の写像であることが判明した．

4C1-4

x^{-1}-Poseidon^\piに対する代数攻撃の評価 ◎大井脩平(茨城大学) 、米山一樹(茨城大学) 、品川和雅(茨城大学/産業技術総合研究所): ZK-SNARKsなどで必要となる素体上の算術回路演算に適した算術演算志向型ハッシュ関数の一つとして、GrassiらによりPoseidonが提案された。 Poseidonは部品となる一方向性置換Poseidon^\piの繰り返し構造で構成され、Poseidon^\piには内部のS-box（x \mapsto x^a）の構造によりa \in {-1,3,5}の3種類がある。 Poseidonの提案論文では、それぞれのaについてPoseidon^\piの代数攻撃に対する制約入出力（CICO）安全性の計算量見積もりが示されているが、具体的な実験による攻撃評価は行われていなかった。 Bariantらはx^{3}-Poseidon^\piのCICO安全性を一変数多項式の求根に帰着することで具体的な代数攻撃を示した。しかし、彼らの攻撃はaが小さいことを利用しており、x^{-1}-Poseidon^\piに単純に適用できるか明らかではない。本研究では、x^{-1}-Poseidon^\piに対して、Bariantらとは異なりグレブナー基底を用いた具体的な代数攻撃を示す。 FGLMやF4などの基底変換アルゴリズムの組み合わせに対して、実際の攻撃時間を計測し、Bariantらの攻撃を適用した場合との比較を行う。また、入力の分割と並列化による高速化が可能かどうかを実験により示す。

4C2-1

共通鍵ブロック暗号SLIMに対する高階差分攻撃 曽山　拓海(北海道科学大学) 、田畑　宏樹(北海道科学大学) 、○杉尾　信行(北海道科学大学): 共通鍵ブロック暗号はAboushoshaらによってRFIDシステム向けに設計された軽量暗号アルゴリズムである。本研究では、SLIMに対する高階差分特性を調査し，31階差分を用いた9段特性が存在することを発見した．また，得られた9段特性を用いて12段SLIMが2^31の選択暗号文・平文組数と，2^77.4 回の暗号化計算量で鍵回復攻撃できる事を示す．SLIMの標準仕様段数は32段である為，本論文で示した高階差分攻撃に対して安全である．

4C2-2

ブロック暗号LCBの高階差分特性 ○芝山直喜(航空自衛隊) 、五十嵐保隆(東京理科大学): LCBは2021年にRoyらによって提案された32ビットブロック暗号であり，鍵長は64ビット，ラウンド数は10である．これまでに安全性の自己評価において，線形攻撃，差分攻撃及び不能差分攻撃等は脅威にならないだろうと述べられているが，高階差分攻撃に対する耐性は未知である．本稿では，LCBの高階差分特性について報告する．LCBの構造に着目することによって，フルラウンドの高階差分特性を発見した．これより，フルラウンドのLCBに対する乱数識別攻撃が可能である．また，LCBは既知平文攻撃の条件下でも解読が可能であることを示す．さらに，この弱点を解析するため，LCBのラウンド関数の改良を試みた．結果として，改良したLCBでは高階差分特性の長さは短縮し，暗号アルゴリズムは強化されることがわかった．

4C2-3

軽量ブロック暗号LBC-3に対するMILPを用いた差分・線形攻撃耐性評価 ◎安士颯真(東京理科大学) 、五十嵐保隆(東京理科大学): LBC-3は2022年にSoule Nyssanbayeva らによって提案された軽量ブロック暗号である．提案論文にはavalanche effect の評価のみがなされており，各種攻撃に対する耐性についての評価は未記載であった．また，第三者の攻撃耐性評価も行われていない．よって，本稿では軽量ブロック暗号LBC-3についての差分・線形特性をMILP（混合整数線形計画問題）モデルを用いて探索し，その結果を示す．加えて，得られた特性から鍵回復に必要な平文-暗号文組数及び，暗号化計算量を示す．

4C2-4

軽量ブロック暗号BRISKに対するfull round integral攻撃 ○西尾明日駆(東京理科大学) 、五十嵐保隆(東京理科大学): BRISKはAshutosh Dhar Dwivediによって提案された軽量ブロック暗号である。提案論文[1]ではBRISKの差分攻撃と線形攻撃に対する耐性が評価されていた。この論文では、シミュレーションによるBRISKのintegral property の探索、および探索結果を用いた全段のBRISKに対する選択平文による鍵回復攻撃を行った。

4D1-1

公開インシデント調査にむけたセキュリティインシデントの同一性に基づく文書クラスタリング ◎川口雄己(NTT社会情報研究所) 、山嵜麿与(NTT社会情報研究所) 、今野俊一(NTT社会情報研究所): 各種メディア・ベンダから自然文の形式で種々のセキュリティインシデント情報が公開されており、こうした情報の分析は実態の把握に有益である。しかし、異なる情報源が同一のインシデントを報告した場合や、同一情報源であっても続報などによって複数回報告することによって本来同一であるセキュリティインシデントが複数文書にまたがって出現するために、集計や、検索において複数回報告・報道されるようなインシデント以外の情報を見つけることが難しいケースがある。そこで、本論文ではインシデントの発生日や被害組織に基づくインシデントの同一性を定義し、同一インシデントをクラスタリングする手法を考案する。従来の手法では文書ごとに特徴量を定めているためにインシデントが1文書中に複数存在する場合などに、同一性の判定が困難になってしまう。提案手法では特徴量を文書間ごとに定義することで、こうした問題に対処する。さらにこうした文書間ごとに定義された特徴量をもとにクラスタリングを行う手法として、2文書間の関係をもとに文書関係グラフを作成し、コミュニティ検出手法と組み合わせる手法を提案し、高精度なクラスタリングを実現した。

4D1-2

サイバー攻撃への多層防御を考慮した対策立案方式 ◎水島　諒(NEC) 、井ノ口真樹(NEC) 、柳生智彦(NEC): 近年，サイバー攻撃の脅威は，ICT(Information and Communication Technology) 分野にとどまらず，制御システム（Operational Technology, OT）やIoT（Internet of Things）の分野にも及んでおり，実際に被害事例も発生している．特に制御システムにおいては，電力システムや工場の停止など，重要インフラの稼働を脅かす事案も起こっている．このようなサイバー攻撃の脅威からシステムを守るためにはセキュリティリスクアセスメントを実施することが重要である．独立行政法人情報処理推進機構セキュリティセンター（IPA）が公開する「制御システムのセキュリティリスク分析ガイド」（以下，分析ガイド）は，セキュリティリスクアセスメントの実施手順が説明されており，セキュリティ実務者にとって有用なガイドである．しかし，リスク低減においては，攻撃手法，脆弱性情報，対策製品などの知識が必要であり，セキュリティ実務者が高度なセキュリティに関する知識を保持していなければ，適切な対策を実施することは難しい．そこで，本研究ではシステム構成情報や脆弱性情報を用いて生成した攻撃グラフもとに，対策立案する方法を提案する．これにより，セキュリティ実務者でなくとも対策立案を可能とする．また，IPAで提示されている実際例と比較し，本提案の対策立案手法が妥当であることを示す.

4D1-3

グループの最頻値に着目したダミーデータ付加による検索可能暗号の頻度分析対策 ◎藤井源(東京理科大学工学部情報工学科藤沢研究室) 、藤沢匡哉(東京理科大学工学部情報工学科藤沢研究室) 、ムハンマドカマルアフマドアクマルアミヌディン(東京理科大学工学部情報工学科藤沢研究室): 検索可能暗号は高機能暗号の代表的な一つで，登録された暗号化データを，暗号化したまま検索することができる．この技術はクラウドサービス上でデータの機密性を確保しつつ，大量のデータを検索することが可能になるため，医療現場や金融機関などでの活用を期待されている．本論文では検索可能暗号システムへの代表的な攻撃方法の1つである頻度分析の対策に焦点をあてる．頻度分析とは平文と暗号文に使用される文字や文字列の出現頻度を手がかりとして利用する暗号解読法である．対策として先行研究では，カテゴリのグループ数を決め，各項目の要素が出現した時，その要素と同グループの要素が入ったダミーデータを追加するというような方法が提案されているが，ダミーデータの数が膨大になり，ダミー追加に伴うストレージ・計算量・通信量のオーバーヘッドが避けられないというような問題があった．そこで提案方式では，項目ごとにグループ化し，各グループ内の最頻値に合わせデータを均一にすることで，ダミーデータの大幅削減に成功した．また，頻度分析攻撃を行われた際のキーワードの的中率も先行研究と変わらない，もしくは低い的中率になることが確認できた．

4D1-4

三止揚ーMELT-Upの概念構築と匿名性・SNS 誹謗中傷問題に関する考察 ○辻井重男(中央大学研究開発機構) 、宮地充子(大阪大学) 、才所敏明(中央大学研究開発機構) 、宮地秀至(大阪大学大学院): ITが齎す自由の拡大、個人の権利確保、公共基盤の整備という矛盾しがちな3つの理念の高度均衡化を三止揚、その具体的達成手段をMELT-Up(Management,Ethics, Lawand Technologyの協調・融合）と名付け、匿名性と追跡可能性の両立、及び、 SNSにおける表現の自由と誹謗中傷抑止などについて具体的手法を提案する。

4D1-5

メタバースのビジネス応用のためのリスクアセスメントの試行 ○瀬山稔哉(PwCコンサルティング合同会社) 、佐々木良一(東京電機大学): 近年，ゲームやビジネスにおいて利用が増加しつつあるメタバースには種々のメリットがある反面，セキュリティ問題などのリスクも憂慮されており，メタバースに関する適切なリスクアセスメントが必要とされている．一方，著者らは種々の対象に対するリスクアセスメント法の研究を行ってきており，先にメタバース利用ゲームに対するリスクアセスメントを実施しリスク要因を明確化してきた．しかしより高い安全性が要求されるメタバースビジネスアプリケーションにこの方法を適用した場合，リスク要因抽出の網羅性・効率性の面で問題があることが分かった．そこで従来どおりシステムの構成図に対する処理やデータの流れを可視化するだけでなく，バーチャル空間の状態および現実世界の周辺環境を図として可視化し，それぞれに対し並行してリスク要因をプロットするSVR (System-Virtual-Real) リスク要因抽出法と名付けた方式の開発を行った．併せて，本手法をVR (Virtual Reality) 会議等に適用した結果，システム構成図・フロー図のみからリスク要因を抽出する従来手法に比べ全体で約4倍，メタバースもしくはVR特有の要因に絞ると約10倍のリスク要因を抽出でき提案手法が有効である見通しが得られた．

4D2-1

PPAP 廃止のための RPA を用いた S/MIME 利用の自動化・効率化法の評価 ◎芹澤玲哉(東京電機大学) 、齊藤泰一(東京電機大学) 、佐々木良一(東京電機大学): 現在は様々な場面でメールが使用されており，機密な情報をメールを用いて送る際に，メールに，パスワードが必要な圧縮をした資料を添付し，別のメールでそのパスワードを送るPPAPが広く用いられている．しかしそれは安全性に欠けるうえに，使い勝手も悪いという問題がある．その代替案としてメール本文を暗号化し，認証する機能を持つS/MIMEがある．だが現在は，暗号化に使用する証明書の導入の困難性などから普及していない．本研究では，そのようなS/MIMEに対して利用しやすくする方法としてRPA（Robotic Process Automation）を用いて自動化の機能を実装し，評価実験を行ったのでその結果と残された課題について報告する．

4D2-2

トピックモデルと意思決定を組み込んだ強化学習によるアクセス制御 ◎苅谷優太(神奈川大学　大学院工学研究科) 、森住哲也(神奈川大学　工学部電気電子情報工学科) 、木下宏揚(神奈川大学　工学部電気電子情報工学科): クラウドに於けるアクセス制御では隠れチャネル，推論攻撃により生じる情報漏えい・情報改ざんの経路（Latent Channel）が問題になる．Latent channelを論理学的に評価するセキュリティ・モデルでは，文書のタイトルとアクセスオペレーションを述語として扱うのみでありlatent channelを効果的に表現できない．一方，文書内容を考慮したとしても文書の演繹推論によりlatent channelが生じる．本研究では，アクセス制御行列に於いて生起するlatent channelを，論理学的な空間と確率的な空間の随伴関係として捉えるアプローチを試みる．論理と確率の随伴関係は強化学習で評価し，情報フィルタとして実装する．Latent channelの情報量的な分析はトピックモデルで計算される文書のperplexityで表現され，強化学習の報酬パラメータの1つとなる．更に階層的意思決定支援によりperplexityを再評価し，強化学習のベルマン多項方程式の係数とする．文書のlatent channelを強化学習する情報フィルタの実装実験から効果を検証する．

4D2-3

ツイート傾向を活用した深刻度の高い脆弱性の早期検知の検討 ○源平祐太(KDDI総合研究所) 、中村徹(KDDI総合研究所) 、磯原隆将(KDDI総合研究所) 、清本晋作(KDDI総合研究所) 、田中俊昭(兵庫県立大学大学院): 近年のサイバー攻撃の高度化に伴い,セキュリティ運用における早期段階でのサイバー脅威情報の収集・分析は重要度が増してきている.サイバー脅威情報はSNSなどのソーシャルメディアなどで製品ベンダ・研究者・運用者など様々な発信者によって開示・拡散される.しかしながら、ソーシャルメディアにおいては誰しもが発信者になれることから,発信される情報の量が膨大で、その種類・質は多様である。.そのため早期段階で対応が必要な深刻度の高いサイバー脅威情報を収集するためには,発信される情報の中で，重要度の高い情報を効率的に抽出することが課題となる．そこで本研究では特にメジャーなSNSであるTwitterでのCVE番号の割り当てられた脆弱性情報のツイートを収集を行い，そのツイート傾向を活用して深刻度の高い脆弱性を検知する検討を行う.対象となる脆弱性のツイート遷移などの時系列データからCVSSスコアのラベルがCRITICALであるか予測する2値分類機械学習モデルを構築し，その有効性の評価を行った．

4D2-4

コードクローン調査からみたソフトウェアの暗黙的な関係の実態 ◎鐘本　楊(NTT社会情報研究所) 、山中友貴(NTT社会情報研究所) 、塩治榮太朗(NTT社会情報研究所) 、青木　一史(NTT社会情報研究所) 、秋山満昭(NTT社会情報研究所): ソフトウェアには依存関係があり，依存しているソフトウェアに脆弱性や不正コードの混入が発覚すると，自身にも影響が及ぶためソフトウェアの依存関係を把握することはセキュリティリスクを低減する重要な取組である．本研究ではソフトウェアの依存関係を新たに明示的依存関係と暗黙的依存関係に整理し，より発見しにくい暗黙的依存関係の1つであるコードクローンが存在するか，どれだけ存在するかについて調査を行った．既存のコードクローン検出手法であるCENTRISを利用して，暗黙的依存関係の実態を調査した．調査の結果，約8,060件のソフトウェアのうち，9%にあたる784件のソフトウェアにコードクローンに基づく暗黙的依存関係があることがわかった．ソフトウェアの暗黙的依存関係は明示的依存関係を利用する一般的なソフトウェア構成分析 (SCA) ツールには検出できない可能性があり，今後の対策について検討した．

4E1-1

情報セキュリティ教育におけるアナログゲームの利用可能性 ○河野和宏(関西大学社会安全学部): アナログ，デジタル問わず，ゲームを学習・教育に利用する動きは数多く存在する．情報セキュリティや情報モラル，情報リテラシーといったテーマに限定しても，ビデオシミュレーションゲームやアドベンチャーゲーム，ボードゲーム，カードゲームなど，多種多様なジャンルの学習・教育ゲームを産学官問わず見つけることができる．本稿では，これまでの各種デジタル・アナログゲームを概観したうえで，研究の対象になることが少ないアナログゲームに焦点を絞り，我々が開発したいくつかのアナログゲームを紹介する．これらは，すごろくや水平思考ゲーム，カードゲーム，TRPGなどを元に作成しており，情報セキュリティ・情報モラルの学習という同じ目標であっても，それぞれ特徴が異なる．そのため，各種アナログゲームの特性や実験結果を踏まえたうえで，情報セキュリティ教育におけるアナログゲームの利用可能性について検討する．

4E1-2

スクリーンリーダーを用いたセキュリティ教育～問題設定方式を活用して～ ○垣野内　将貴(筑波技術大学) 、面　和成(筑波大学): ICT利用者にとって情報セキュリティ対策は必須であり，音声を利用してICTを利用する視覚障害者にとってはさらに気を遣わなければいけない問題となっている．一方で，視覚障害者にスクリーンリーダーを用いた十分な対策を教育する機会がないことも明らかになっている．本稿では，視覚障害者に対して効果のあるセキュリティとユーザビリティの教育について議論する．具体的には，視覚障害者に対してスクリーンリーダーを中心としたセキュリティ教育を授業で扱い，問題設定という数学教育で活用されている手法を授業に用いた効果を検証する．さらに，学生がどのような思考を通じて理解を深めたかを定性的に評価する．その結果，問題設定活動がWebサイトの信頼性における重要性の理解を深めることが明らかになった．また，音声ユーザとして理想的なWebサイトに備わっていてほしい機能を明らかにした．

4E1-3

コロナ禍におけるセキュリティインシデントの公表は企業の株価に影響を与えるか? 竹村敏彦(城西大学) 、○小山明美(独立行政法人情報処理推進機構): 2022年4月に個人情報保護法が改正され，企業において個人情報の漏えいが発生した際の報告が義務化された．これにより，セキュリティインシデントの公表や企業のそれへの対応・姿勢が，今後一層注目されていくと考えられる．2019年末から新型コロナウイルス感染症（COVID-19）の世界的流行を受け，ビジネス環境は大きく変貌を遂げた．また，公表されたセキュリティインシデントの件数もコロナ前に比べると急増している．本研究では，コロナ禍である2020年7月から2021年末までに国内で発生した個人情報漏えい事故・被害の公開情報をもとに，セキュリティインシデントが発生した場合の影響をイベント・スタディと呼ばれる手法を使って検証している．なお、イベント・スタディで想定する推定ウィンドウとして2つのタイプを考え、セキュリティインシデントの公表の影響をその公表自体の影響とコロナの影響を切り分けることを試みている．全64件を対象としたケースに加えて、業種別、原因別の分析も行っている．その結果、インシデントの発生に関する公表にはいくつかの特徴的な傾向があることを明らかにしている．

4E1-4

User Perception of Value of Information in a Photo Privacy Tool ○Vanessa Bracamonte(KDDI Research, Inc.) 、Sebastian Pape(Goethe University Frankfurt) 、Sascha Loebner(Goethe University Frankfurt): Privacy tools for photos could help protect users of social network sites, but previous research indicates that there can be a higher level of privacy concern towards those tools than towards non-privacy tools. Previous research has examined the possible reasons for this higher level of privacy concern, for example, that the privacy purpose of the tool can lead to higher awareness of the negative privacy-related consequences of providing data to the tool. In this study, we examine this effect of higher awareness in relation to the factor of perceived value of information. We conducted an online experiment to compare the perception and opinion of participants about a hypothetical privacy and non-privacy app for social media photos. The results show that in the privacy tool condition, participants had a higher perceived value of the information they provide the tool and the value of the information that the tool infers from them, compared to the non-privacy tool condition. In both conditions, we found a similar number of participants who indicated that they thought that their information had value to other entities, and this number was higher than the number of participants who thought their information had value only to themselves. However, only in the privacy tool condition we could identify responses that indicate that the perception of the value of information is increased due to the purpose of the tool. We discuss how the influence of the privacy purpose may be a challenge for providing this type of privacy-enhancing solutions.

4E2-1

アンカリング効果を用いたフィッシング被害防止メッセージの効果検証 ○澤谷雪子(株式会社KDDI総合研究所) 、佐野絢音(株式会社KDDI総合研究所) 、磯原隆将(株式会社KDDI総合研究所) 、山田明(神戸大学) 、小松文子(長崎県立大学): フィッシング詐欺は増加しているが，その対策は，URLを安易にクリックしないなど，ユーザ自身の咄嗟の判断に委ねられることが多い．本稿では，ユーザの咄嗟の判断を支援するために，攻撃URLリンクの不用意なクリックを抑止する注意喚起メッセージを検討する．フィッシング詐欺に関する咄嗟の判断は，二重過程理論における直観的に早い判断を行う「システム1」に関係していると考えられ，判断の支援にはシステム1に基づき人の行動を変える手法の一つであるナッジが有効と考えられる．セキュリティ・プライバシの分野では様々な手法を用いたナッジの効果が検証されている．しかし，アンカリングによるナッジは，他分野での研究において効果が確認されているものの，セキュリティの領域における知見が乏しい．そこでアンカリング効果に主眼を置きその効果を検証する．

4E2-2

システムの利用意図に対する誤判断リスクの影響分析 ○島成佳(長崎県立大学) 、小川隆一(独立行政法人情報処理推進機構) 、佐川陽一(独立行政法人情報処理推進機構) 、竹村敏彦(城西大学): 筆者らは，常に誤判断リスクが存在するAIシステムの受容をAIシステムと利用者とのトラスト構築の問題ととらえ，AI誤判断リスクの受容の可否判断に係る評価手法や指標の創出を研究課題としている．このため、利用者がシステムを評価する品質（利用時品質）としてリスク回避性品質に注目し、AI誤判断リスクのある架空の2つのAIシステムのシナリオについて、それを利用したいと思う意図(利用意図)に対するリスク回避性の影響をみるアンケート調査を実施した．本論文ではこのアンケート調査結果と分析結果について述べる．

4E2-3

防護動機理論を援用したクレジットカード不正利用対策促進メッセージによるユーザの態度変容要因の抽出と分析 ◎橘　薫(長崎県立大学) 、島　成佳(長崎県立大学): クレジットカード情報を狙う攻撃が巧妙化・多様化していることから，不正利用対策を講じていても被害を完全に防ぐことは困難な状況にある．本論文では，クレジットカード不正利用対策に関して，利用者の知識が事前対策に偏っており，検知や事後対応について理解不足であるという仮説を立て，アンケート調査を実施して検証した．また，筆者らは整理したクレジットカード不正利用対策の情報に基づいて，カード利用者にクレジットカード不正利用対策を促す効果的なメッセージの作成を目的としている．本論文では，防護動機理論・集合的防護動機理論のアンケート調査を設計・実施して，結果に対して統計的な分析をし，リーフレットとコンテンツ作成のための対策促進メッセージに役立てる考察を行った．

4E2-4

心理操作テクニックを利用した標的型メール攻撃への対策 ◎大徳　塁(東京工科大学) 、布田　裕一(東京工科大学) 、谷澤　卓(株式会社ドットexp): 技術の発展に伴いSNSの投稿から個人情報の抜き取りや性格,職業などの把握が可能なツールが登場した.このようなツールの登場により,攻撃対象の性格や行動原理を把握しやすくなった.既存研究では心理操作テクニックを用いた,少ないコストで高い効果を発揮する標的型メール攻撃の存在を示唆した. 本研究の目的は既存研究で調査されなかった,10代から20代前半へ心理操作テクニックを用いた標的型メール攻撃の効果を明らかにすることである.また,組織と比べ意識に差のある個人においても比較的容易に取り入れることが可能な対策について検討していく. 本稿では要求のみを書いた文面を基準とし,チャルディーニの法則を中心に心理操作テクニックを用いた文面との反応の違いを比較する.その後,ウィルコクソンの順位和検定を用いて有意な差が出るか検証する. 調査の結果,返報性の法則を適用した文面に有意な差がみられた.これにより10代から20代前半にも効果があると認められた.また,心理操作テクニックの調査と並行してフィルタリングソフトに対する意識やSNSの登録に対する抵抗などを調査し,個人での対策として扱いやすいソフトの提案を行った.

4F1-1

脅威ハンティングに学術的・実務的な動向調査 ○石川　朝久(東京海上ホールディングス株式会社): 脅威ハンティング（Threat Hunting）とは、「既存のセキュリティ対策を回避する現在/過去の脅威を能動的・再帰的に調査し、その情報を利用してサイバーレジリエンスを向上させること」と定義され、企業では少しずつ利用が進んでいる。一方、脅威ハンティングの学術的動向・実務的動向については現在あまり整理が進んでいない。本論文では、脅威ハンティングの実務的・学術的動向について調査を行ったので報告する。

4F1-2

Cyber Hygiene Huntingに関する検討と提案 ○石川　朝久(東京海上ホールディングス株式会社): 適切なサイバーセキュリティ態勢を実現するためには、サイバー衛生（Cyber Hygiene）を実現することが重要な要素である。そのため、各社は様々なセキュリティプログラム、プロセス、ポリシーなどを準備し、セキュリティの運用を実現して行っている。しかし、その一方で、当該プロセスにおいて一つでも誤りやミスがあれば、その一つが単一障害点（Single Point of Failure）となり攻撃者の侵入を許してしまう可能性がある。そのため、セキュリティ態勢を能動的にチェックする手法が必要とあり、本論文ではCyber Hygiene Hunting（実効性確認）と呼ばれる手法を提案する。

4F1-3

WPA2に対する通信路暗号化無効攻撃の提案と評価 ◎中嶋祥吾(神戸大学大学院) 、井上雄登(神戸大学) 、白石善明(神戸大学大学院) 、森井昌克(神戸大学大学院): Wi-Fiの暗号化規格であるWPA2とその後継のWPA3は、盗聴やなりすましを防ぐために無線LANで使用される標準的な暗号化方式である。2020年、WPA2に対する新たな脆弱性としてESETによりKr00kが発表された。Kr00kはKRACK (Key Reinstallation Attack) という2017年に発見された脆弱性に類似しており、WPA2に関連するこの脆弱性が発見されたのを引き金にWPAがVersion2から３へと進化させることとなった深刻な脆弱性である。これは、通信に使用する暗号鍵の仕様を利用することで一部のパケットを復号できる状態で送信してしまうため、情報漏洩の危険性がある。しかし我々は先の研究で、実際の利用環境を想定するとKr00kにより情報が漏洩する確率は限りなく低く、Kr00kによる現実的な影響はないことを示した。そこで本研究では、Kr00kの脆弱性に対してCSA(Channel Switch Announcement)を用いることで、実際の利用環境下において高確率で情報漏洩を促すことが可能な新たな攻撃手法を提案する。この攻撃は、従来の攻撃より成功確率が高いだけでなく、ユーザーに認識されにくいという特性があるため、非常に危険な攻撃である。この攻撃はIPアドレスなどの重要な情報を傍受可能であり、DDoS攻撃やハッキングなどの被害に繋がる危険性がある。

4F1-4

無線LANにおけるWPA2/WPA3の暗号化を無効にする攻撃方法の提案と評価【続報】 ◎井上雄登(神戸大学工学部) 、中嶋祥吾(神戸大学大学院工学研究科) 、白石善明(神戸大学大学院工学研究科) 、森井昌克(神戸大学大学院工学研究科): 無線LAN暗号化においてはWEPに始まり，その脆弱性の指摘からWPA2へと更新され，更なる脆弱性の指摘を経て，現在WPA3の適用が推奨されている．本論文ではWPA2およびWPA3において，アクセスポイントが本来暗号化したうえで送信するはずのパケットを平文のまま送信するという新たな脆弱性を指摘する．この脆弱性を利用することによって，アクセスポイントに接続しているクライアントの通信先の情報が傍受可能となる．本脆弱性はアクセスポイント側にあるため，接続しているクライアントデバイスの種類に関係なく平文のパケットが送信され，通信路の機密性を阻害し得る．

4F2-1

説明動画再生時間に基づくカードベースプロトコルの評価 ◎吉田拓叶(一関工業高等専門学校　システム創造工学専攻) 、千田栄幸(一関工業高等専門学校) 、水木敬明(東北大学): カードベースプロトコルは、カードをめくる操作、シャッフルする操作、並べ替える操作に基づき抽象機械により定式化されており、使用するカード枚数や必要な各操作の回数でプロトコルを評価することができる。しかしながら、プロトコルを人間が実装することを考えると、単純な操作回数で評価するのでは不十分と考えられる場合がある。また、人間による操作時間を実際に計測して評価することも考えられるが、それなりの規模の実験が必要となる。そこで本稿では、非専門家にプロトコルを動画で説明することを想定し、説明に必要な再生時間でプロトコルを評価することを試みる（必要な再生時間が短いほど、効率的なプロトコルと考える）。具体的には、3入力ANDを秘密計算するいくつかの既存プロトコルについて、それぞれ説明動画を作成し、評価を行う。

4F2-2

Free-XOR in card-based garbled circuits ○Yoshifumi Manabe(Kogakuin University): This paper shows a free-XOR technique in card-based garbled circuits. Card-based cryptographic protocols were proposed as a secure multiparty computation using physical cards instead of computers. They can be used when users cannot trust software on computers. Shinagawa and Nuida proposed card-based garbled circuits that calculate any logical functions using a single shuffle. Their construction uses one garbled table for each logic gate. This paper introduces a free-XOR technique for standard garbled circuits to card-based garbled circuits. It is unnecessary to prepare a garbled table for XOR gates. Thus, the number of cards can be reduced. The card-based garbled circuits proposed by Shinagawa and Nuida have one restriction the output wires cannot be used for inputs to the other gates. This paper considers eliminating the restriction with two different techniques.

4F2-3

6段階リッカート尺度入力カードベースプロトコルの構成とアソシエーションスキーム・距離正則グラフとの関連性について ○須賀祐治(株式会社インターネットイニシアティブ): 6段階リッカート尺度入力カードベースプロトコルの構成を通してアソシエーションスキームや距離正則グラフとの関連性を説明する．CSS2022やCSEC-99にて提案した(2^n)-段階リッカート尺度入力カードベースプロトコルはハミングスキームでその代数的構造を説明できた．さて6段階の場合はどうだろうか．ひとつのアイデアとしては8段階での構成からそのサブセットを取ることで実現することはできる．しかしCSEC-96で指摘したように不正値入力問題という潜在的な攻撃手法への対策が必要となる．本発表は入力段階で6つのパターンしかないように制限することでこの問題を排除する2方式を提案する．それぞれ入力方法としては既存方式とは異なる新しい方式であることから，今後のこの分野での研究の広がりを期待する．

プログラム ―Program―