プログラム｜SCIS2024 暗号と情報セキュリティシンポジウム

1A1-1

ハイブリッドStreaming法によるCRYSTALS-Dilithiumのリソース最適化 ◎高橋康(パナソニックホールディングス株式会社) 、西田直央(パナソニックホールディングス株式会社) 、海上勇二(パナソニックホールディングス株式会社) 、豊永三朗(パナソニックホールディングス株式会社) 、池松泰彦(九州大学) 、縫田光司(九州大学) 、安田雅哉(立教大学): IoT機器向けCPUに対して，耐量子計算機暗号CRYSTALS-Dilithiumを実装する際の時間・メモリリソース最適化技術を提案する．2020年Greconiciらは，Cortex-M4などのIoT機器向けCPU上でDilithiumの署名生成処理を行う際のRAMとStackの使用量を削減するため，署名生成に必要な中間パラメータを毎回計算する方式（Streaming法）を提案した．しかし，Streaming法はパラメータが必要になる度に計算を行うため，Stack使用量が小さくなる代わりに処理時間が大きくなっていた．そこで本研究では，従来実装とStreaming法のハイブリッド，つまりStreaming法で計算するパラメータの量を可変にする手法を提案し，この手法で実装したDilithiumのCortex-M33上での動作実験を行った．これにより，使用するCPUや状況に応じて使用するメモリと時間リソースの最適化を可能とする．

1A1-2

FALCONにおけるSplitfftの効率的な実装の提案と評価 ◎粟木原正和(岡山大学大学院環境生命自然科学研究科) 、吉本慶次(株式会社日本総合研究所) 、神澤昇大(株式会社日本総合研究所) 、三好茜音(岡山大学大学院環境生命自然科学研究科) 、野上保之(岡山大学大学院環境生命自然科学研究科) 、小寺雄太(岡山大学大学院環境生命自然科学研究科): 近年，量子計算機の発展による既存暗号の危殆化を見据えた耐量子計算機暗号（PQC）の研究が盛んにおこなわれている．NISTによるPQCの標準化も最終段階に差し掛かり，2024年には昨年先行して選定された4つのアルゴリズムの標準化が終了するとされている．本研究では前述のアルゴリズムの1つであり，NTRU問題に基づくデジタル署名アルゴリズムFALCONに着目し性能向上を図る．FALCONはアルゴリズムの中でフーリエ変換された多項式を多く処理しており，本研究では多項式の次数を1/2ずつ下げていく処理（splitfft）を1/4ずつ下げるような処理（本研究ではsplit4fftと表現）に改良し，性能評価を行う．結果としてsplitfftの処理時間を短縮することができた．

1A1-3

Peregrine格子ベース署名方式に対する暗号解析の改良 ◎鈴木萌斗(京都大学) 、ティブシメディ(NTT社会情報研究所・京都大学) 、阿部正幸(NTT社会情報研究所・京都大学): 統計学的な手法を用いた暗号解析による攻撃の出力は秘密情報の近似，すなわち誤差を含むことが多く，十分に正確な近似を得るには膨大なコストがかかるケースがある．結果としてより優れた誤差訂正手法はしばしば大きな改善をもたらし，攻撃の実行可能性を高める． PKC'23において，MITAKA(Eurocrypt'22)へのサイドチャネル攻撃の一環として，Prestは新しい誤差訂正手法を提案した．これは，鍵復元攻撃において半分のみ復元できれば，残りの半分を復元できるものであり，本質的にGPVフレームワークに基づくHash-And-Sign署名方式全てに有効である．さらに2023年，LinらはPeregrine(KpqC)に対する攻撃において予想のステップを改善する提案をした．本研究では，Linらの未解決問題の1つを分析し，Prestの手法を適用可能範囲の観点でさらに改善する．より正確には、推測ステップと残りの半分を復元するステップの間に、正しい確率の高い係数の誤差を修正するステップを追加することを提案する．特定の条件において，この追加ステップは疎なLWE問題に還元されることを示す．

1A1-4

Improved Lattice Analysis on Correlation Power Analysis of CRYSTALS-Kyber ◎Yen-Ting Kuo(The University Of Tokyo) 、Atsushi Takayasu(The University Of Tokyo, National Institute Of Advanced Industrial Science And Technology): Kuo and Takayasu (ICISC 2023) proposed a two-step attack on CRYSTALS-Kyber. At first, they recovered some portions of secret keys using correlation power analysis. Next, they showed that the remaining secrets can be recovered by solving the learning with errors (LWE) problem. They used the standard Kannan's embedding in the second step and concluded that 200 traces in the first step were sufficient for recovering whole secret keys. In this paper, we improve their second step and show that 100 traces are sufficient in the first step. The core observation is that in addition to some portions of secret keys, the first step can recover more portions of noisy secret keys which Kuo and Takayasu did not use in the second step. In particular, the additional portions correspond to either positive or negative values of correct secret keys with high confidence although we cannot determine whether positive or negative. Then, the second step of our attack solves the LWE problem with a special secret distribution, where some secrets are either 1 or -1 indicating that the additional portions are positive or negative. To capture the special secret distribution, we use the half-twisted embedding, a combination of Kannan's and Bai-Galbraith's embeddings, to tackle and solve the LWE problem.

1A1-5

FALCON におけるマスキング実装の提案 ◎片山瑛(立教大学) 、中邑聡史(NTT社会情報研究所) 、上野真奈(NTT社会情報研究所) 、安田雅哉(立教大学): 米国標準技術研究所NISTによる耐量子計算機暗号の標準化プロジェクトにおいて,NTRU問題の計算困難性を安全性の根拠としたFALCONが標準化方式の一つとして選ばれた.暗号実装が行われたハードウェアに対して物理的な観測・解析を行うことで秘匿情報を盗み取るサイドチャネル攻撃の研究が進んでおり,標準化がなされている暗号方式ではこの対策技術であるマスキング実装の研究が望まれている.本稿では,FALCONのマスキング実装に関して,鍵生成,署名生成のプロセスをFALCON特有の性質であるFFT 空間や FALCON木構造などを用いながらマスキングの適用の手法を提案する.

1A2-1

シンドローム復号に対するSieving法の省メモリ環境下における高速化 ◎𠮷口直輝(東京大学) 、相川勇輔(東京大学) 、高木剛(東京大学): 符号ベース暗号は耐量子計算機暗号の一種であり，その安全性はシンドローム復号問題の困難性に基づいている．シンドローム復号問題を解く方法として，Information Set Decoding (ISD)が知られているが，この方法は1962年にPrangeによって提案されたアルゴリズムを原型としている．1989年にSternは，Prangeの方式にZero Windowと呼ばれる分割法を導入し，ISDの高速化を実現した．一方，2023年にGuo-Johansson-Nguyenは，最短ベクトル問題の高速解法として知られるSieving法をISDに対して適用する手法を提案した．本研究では，Sieving法を用いるISDに対して，SternのZero Windowを導入する方式を提案し，その計算量を評価する．提案手法は，Classic McEliece暗号の128bit安全なパラメータに対し，Guo-Johansson-NguyenのSieving法と比較して，省メモリ環境下において時間計算量を最大で約10bit削減する．

1A2-2

シンドローム復号問題に対するMMT法の高効率化とMcEliece-1409の解読 ◎成定真太郎(KDDI総合研究所) 、古江弘樹(東京大学) 、相川勇輔(東京大学) 、福島和英(KDDI総合研究所): May--Meurer--Thomae (MMT)法は，符号暗号の安全性の根拠であるシンドローム復号問題 (SDP: Syndrome Decoding Problem)を効率的に求解する手法として知られる．MMT法の漸近計算量の解析はMay・Meurer・Thomae (Asiacrypt'11)によってなされていたが，最近Esser・Zweydinger (Eurocrypt'23)によって空間計算量の改善がなされた．一方で，実計算量(指定されたサイズのSDPを求解するのに必要な計算量)の解析はEsser・Bellini (PKC'22)によってなされている．本稿では，MMT法の厳密な実計算量の解析を行い，MMT法より実計算量の小さいMMT$^+$法を提案するとともに，MMT$^+$法がBecker–Joux–May–Meurer (BJMM)法の一般化であることを示す．さらに，MMT$^+$法によるNIST-PQC第4ラウンド候補の解読計算量を導出し，MMT$^+$法の計算量が既存手法と比較して最小となることを示す．また，MMT$^+$法を用いて，符号暗号解読コンテストDecoding Challengeにおける未解読問題McEliece-1409の解読に成功したことを報告する．

1A2-3

QC-MDPC符号に基づくMcEliece暗号に対する鍵回復攻撃について ◎大塚志成(防衛大学校) 、石丸隆浩(防衛大学校) 、月江悠太(航空自衛隊) 、久木田真吾(防衛大学校) 、渡辺宏太郎(防衛大学校): 量子計算機が実現した場合，計算量的困難性によって安全性を確保している暗号技術は，量子計算機によって，もはや安全ではなくなるとされている．そのため，NISTによる耐量子計算機暗号標準化の取り組みなど，いくつかの大規模なプロジェクトが進行中である．NISTの候補の1つとして，QC-MDPC符号に基づくMcEliece暗号がある．最近では，QC-MDPC McEliece暗号への攻撃に関する研究が広く行われている．そのなかで，Guoらによって提案された攻撃は，復号誤り率の統計情報を利用して秘密鍵を再構成するものである．この攻撃は復号方式によるところが大きく，BF復号はこの攻撃に対して脆弱であるとされている．Guoらは統計情報から秘密鍵を再構成する際に再帰を用いた探索を行っており，秘密鍵の再構成に膨大な時間を要する欠点がある．本研究では，秘密鍵の再構成に必要な時間を短縮する方法を提案し，Guoらによって提案された秘密鍵の再構成アルゴリズムと比較する．数値実験により，我々の提案した手法が効果的に再構成時間を短縮することが示されている．

1A2-4

Further Security Analysis for Multivariate Polynomial Signature Scheme QR-UOV ◎Hiroki Furue(The University Of Tokyo) 、Yasuhiko Ikematsu(Kyushu University) 、Fumitaka Hoshino(University Of Nagasaki) 、Tsuyoshi Takagi(The University Of Tokyo) 、Kan Yasuda(Ntt Social Informatics Laboratories) 、Toshiyuki Miyazawa(Ntt Social Informatics Laboratories) 、Akira Nagai(Ntt Social Informatics Laboratories) 、Rika Akiyama(Ntt Social Informatics Laboratories) 、Koha Kinjo(Ntt Social Informatics Laboratories): The multivariate-based unbalanced oil and vinegar signature scheme (UOV) is expected to be one of the candidates for post-quantum cryptography (PQC). UOV is a well-established signature scheme owing to its short signature and execution time. However, its public key is much larger than that of other PQC candidates. At ASIACRYPT 2021, Furue et al. proposed quotient ring UOV (QR-UOV) as a new variant of UOV, which reduces the public key size compared to the plain UOV. This QR-UOV has been submitted to the NIST additional call for digital signature schemes. For the QR-UOV scheme, there have been proposed two methods of recovering the secret key by using the quotient ring structure. In this paper, we show that these two methods are essentially the same and the key recovery attacks using the quotient ring structure are more efficient than the plain key recovery attacks.

1A2-5

More Efficient Software Implementation of QR-UOV ○Fumitaka Hoshino(University Of Nagasaki) 、Hiroki Furue(The University Of Tokyo) 、Yasuhiko Ikematsu(Kyushu University) 、Tsuyoshi Takagi(The University Of Tokyo) 、Kan Yasuda(Ntt Social Informatics Laboratories) 、Toshiyuki Miyazawa(Ntt Social Informatics Laboratories) 、Akira Nagai(Ntt Social Informatics Laboratories) 、Rika Akiyama(Ntt Social Informatics Laboratories) 、Koha Kinjo(Ntt Social Informatics Laboratories): Furue et al. proposed a post-quantum signature scheme called QR-UOV, and submitted it to the post-quantum cryptography standardization process of NIST in response to call for additional digital signature schemes. In this submission, they present a software implementation and evaluate its performance. Their implementation has extremely small private key format which slow down the signing process instead. While it would be more preferable to keep secrets as small as possible, redundant private key format can greatly speed up the signing process. In fact, other UOV-type signatures submitted to NIST use such key format. In this work, we present a software implementation of QR-UOV which has redundant private key format, and evaluate its performance on some x86 environments.

1A2-6

SIMD演算によるQR-UOV署名ソフトウェアの高速化 ◎天笠博(東北大学　電気通信研究所/大学院工学研究科) 、上野嶺(東北大学　電気通信研究所/大学院工学研究科) 、本間尚文(東北大学　電気通信研究所/大学院工学研究科): 本稿ではQR-UOV署名のソフトウェア実装について，SIMD (Single Instruction, Multiple Data)演算による高速化について述べる．QR-UOVは素数q = 7, 31, 127によるFq[x]/(f(x))剰余多項式環上の多項式演算が計算の大部分を占める．既存手法は，同多項式乗算に64ビット乗算を利用しており，計算機のSIMD並列性を活用できなかった．提案手法は行列演算の並列性に注目し，SIMD演算の語長に応じて32並列または64並列で内積演算を行う．本手法によって演算後に都度剰余を取る必要がなくなり，かつ近年のCPUに実装された内積演算命令を活用することができる．本手法による行列演算は既存手法と比較し約5倍から8倍高速となることを示す．また，本手法を適用したQR-UOV実装は，全カテゴリの鍵生成や署名において2倍程度の高速化を達成できることを示す．

1B1-1

SeMA：脱馴化を促す刺激を利用したセキュリティアップデート通知手法の提案 ◎前田壮志(静岡大学) 、小嶋柊偉(静岡大学) 、相場智也(静岡大学) 、佐藤佑哉(静岡大学) 、グエンディエンビエン(静岡大学) 、佐野絢音(KDDI総合研究所 / 静岡大学) 、澤谷雪子(KDDI総合研究所) 、磯原隆将(KDDI総合研究所) 、西垣正勝(静岡大学) 、大木哲史(静岡大学 / 理研AIP): ユーザは，定期的にセキュリティアップデート（以下，アップデート）が通知されるにも関わらず，アップデートを見送ることが確認されている．アップデートの見送りは，デバイスの脆弱性の放置，ひいては重大なインシデントに繋がる．人が視覚的警告を認知し行動に移るまでをモデル化したC-HIPモデルでは，ユーザの警告に対する慣れ（馴化）や経験に基づいた知識が行動に影響を及ぼし，ユーザが警告を無視する要因になることが示されている．本稿では，C-HIPモデルが示す警告無視の要因を解決することでユーザのアップデート行動を促すアップデート通知手法としてSecurity MAgnitude（SeMA）を提案する．SeMAは，アンカリング効果による認知バイアスを用いて事前情報に偏った予測をさせた後，その予測と異なる結果を提示することで刺激による脱馴化を発生させる．SeMAの実現に向け質問紙調査を実施し，調査結果からアンカリング効果や脱馴化を促す刺激がユーザのアップデート行動を促すことを確認した．

1B1-2

適切な意思決定を支援する秘密計算紹介動画の作製およびユーザ調査 ◎新井美音(大阪大学/産業技術総合研究所) 、矢内直人(大阪大学/産業技術総合研究所) 、花岡悟一郎(産業技術総合研究所): 秘密計算の機能と安全性が一般的な利用者にとっては複雑であるため, 潜在的なユーザがその導入を検討する以前に, 無意識に理解する努力を拒んでしまう. このため, 秘密計算の利用における適切な意思決定を支援するために, 秘密計算を容易に理解できる資料が必要である. 本稿では, 現実世界のものを用いて説明を行うことが秘密計算の理解と興味の促進に役立つという仮説の下, 物理媒体を用いてドラマ形式で秘密計算を紹介する動画を作製した(https://www.youtube.com/watch?v=vikGJElU5UU). 作製した動画と専門家による秘密計算の講義を用いて, どちらが理解を促せるかという観点から大学生15名を対象にユーザ調査を行った結果, ユーザは作製した動画の方が, 秘密計算を実装しやすいと感じることが分かった. 実装しやすいと感じさせるためには, 物理媒体を用いて派手な印象を与えること, 現実の例か問わずとも秘密計算の計算の流れを一つの具体例の文脈で説明することがよい.

1B1-3

情報セキュリティ演習における LLM を用いた定量的採点手法の検討 ○中田亮太郎(一橋大学) 、砂原悟(公立千歳科学技術大学) 、米田智紀(株式会社ラック) 、大塚玲(情報セキュリティ大学院大学): 情報セキュリティ教育では，サイバーレンジによる仮想環境上での演習などにより，実際の攻撃手法や脆弱性を体験することで効果的に知識や技術を習得する．高等教育機関でも専門の学科やコースを持つ組織の他，情報セキュリティ教育の取り組みなどで広く演習が実施されており，環境の構築やシナリオの生成など，演習を実施するためのフレームワークに関する研究も盛んである．しかし，これまで演習の採点・効果測定に関する手法は研究が進んでおらず，実践報告やヒアリング・アンケート調査による定性的評価に留まっている．そこで本稿では，シナリオの有効性や受講者の操作・行動を定量的に評価するため，演習結果から得られる各ユーザのログをLLMによって要約した行動データと，演習シナリオをMITRE ATT&CK Matrixにマッピングさせて得られるシナリオデータを，TF-IDFを用いた類似度比較により定量的に採点する手法を検討した．その結果，想定した攻撃や適切な防御行動を行った受講者は高い類似度=高得点を得られ，関係のない行動やコマンド操作の多い受講者の類似度は低くなるなど，採点手法として一定の有効性が得られた．

1B1-4

紙ベースの投票における不正行為防止の仕組みを電子投票に展伸させるための一考察 ○上繁義史(長崎大学) 、櫻井幸一(九州大学): 電子投票の研究が理論面，実装面から検討が行われている．理論的な検討としてはMixnetやブロックチェーン技術をはじめとするセキュリティ技術に基づく方式がある．実装については，エストニアの投票のように，在宅での投票を可能とするシステムが構築されている．これらの検討の中で，秘密投票の実現が大きな課題であり，その一つに耐強制性確保の問題がある．現行の紙ベースでの投票においては，投票所の仕組みによって，強制を含む不正行為の抑止をはかる効果が期待されている．そのポイントは投票所内での投票者や立会人などの有権者同士による相互監視である．電子投票の理論研究においては，Voting boothでの投票機能について言及されるケースはあるが，それ以外の不正行為を抑止する仕組みに関する言及は少ない．分権的かつ安全な電子選挙を考える上では，電子投票のVoting boothにおける不正抑止の仕組みが必要と考えられる．本研究では，既存研究におけるVoting boothでの不正行為への耐性について検討を行い，紙ベースの投票所の仕組みを参考に，耐性を実現するための要件について考察を行う．

1B1-5

耐誘導コミュニケーション研究のための生成AIを用いた会話生成 ○角尾幸保(東京通信大学) 、松田美慧(国立研究開発法人情報通信研究機構) 、藤部果帆(東京通信大学): 本稿は，耐誘導コミュニケーションの会話文の数量と多様性を確保するため，生成AIの導入を検討する研究である．耐誘導コミュニケーションとは，特殊詐欺などに代表されるような，攻撃者の誘導により標的に不利益な行動を選択させる攻撃において，攻撃者の誘導から標的を防御するための情報交換のことである．これまでの研究は，攻撃者が標的を誘導する情報に焦点を当て，カウンセリングの手法を応用し，標的が攻撃者の誘導を受容する瞬間や過程の特定を試行していた．しかし，これらの検討に使用したデータは実際の詐欺事例の会話データではあるものの，データの数量と多様性が十分でなく，有効性の検証に制限があった．本稿では，生成AIを用い，より多様な詐欺の会話データを作成し，これらのデータを分析することで，多様な誘導の理解を深めることを目指している．実験では詐欺の会話とカウンセリングの会話を生成し，生成した会話例の多様さと自然さを検討した．これに当たり，生成AI同士で会話する自動生成とともに，人間とAIが共同で会話データを生成する半自動生成を行う方法について検討した．

1B2-1

Differentially Private Frequency Tables Based on Random Sampling ◎Takumi Sugiyama(中央大学経済学研究科) 、Minami Kazuhiro(統計数理研究所データ科学研究系): Previous research proposes a random sampling-based technique to produce differentially private k-anonymized data based on random sampling. However, their approach considers all variables in an original dataset as quasi- identifiers with full domain transformation to guarantee differential privacy. Since all the equivalence classes in anonymized data contain identical records with the same set of attribute values, that anonymized data is not useful for the analysis of microdata. However, we consider random sampling a promising approach to guaranteeing differential privacy on frequency tables since k-anonymized data in which all variables are treated as quasi-identifiers is equivalent to a frequency table. In this paper, we evaluate the feasibility of producing deferentially private frequency tables based on random sampling. Our experiments show that we can produce frequency tables of high data utility when we set small ε to choose a low sampling rate for a dataset with a large number of records.

1B2-2

顔タグによる匿名化手法の差分プライバシー安全性評価 ◎蒋程㬢(神奈川大学大学院) 、王天澄(神奈川大学) 、森田光(神奈川大学大学院): 本稿では，プライバシー保護技術としてのデータ匿名化手法を扱う．匿名化されたデータベースであっても複数の準識別子を組み合わせれば個人を特定する可能性が残り，k人未満には絞り込めないとするk-匿名化技術が提案されている．また，絞り込まれた個人のレコードが同一の属性を持つのなら，例え匿名であってもその属性が漏れるので，絞り込まれたレコードの属性が互いに異なるl-多様性も重要視されている．そこで，著者らは，レコードの属性に当たる要配慮情報を顔画像タグ(以下顔タグと呼ぶ)に置き換えれることを提案してきた．顔タグで属性部分を高次元化すれば，直接検索し難くなる一方，例え同じ要配慮情報であったとしても，顔タグのベースとなる顔画像を異なるものとすれば顔タグ自体に多様性が与えられるからである．本稿では，顔タグを導入したデータ匿名化手法の安全性評価について報告する．具体的には，差分プライバシーの観点から評価を行った．顔タグ自体は画像からなる高次情報なので，顔タグを低次のレコードの属性情報に戻したデータベースとオリジナルのデータベースとを，差分プライバシーの指標で比較するのである．顔タグの手法を導入した場合，データベースを提供された側に属性解釈の余地を残し，それが更に多様性を与えるが，ここでは，属性解釈の部分は機械学習CNNを利用した．正解値で学習させる解釈なので，暗号における既知平文攻撃に類似した評価にあたる．すでに統計的な指標では，データベースにおいて元と再解釈された結果は同一傾向にあることがわかっている．また，定量的な差分プライバシーのε分析を現在検証中である．

1B2-3

サンプリング時における差分プライバシと$k^m$-匿名性の関係 ◎小林雅弥(神奈川大学大学院) 、藤岡淳(神奈川大学) 、千田浩司(群馬大学) 、永井彰(NTT社会情報研究所) 、安田幹(NTT社会情報研究所): これまで匿名性を評価するための様々なモデルが提案されてきた．その中の代表的な匿名性として$k$-匿名性が広く知られている．しかし，高次元データに対して$k$-匿名性を満たす有用性の高い匿名化データを作成することは，次元の呪いにより困難であることが分かっている．この問題を解決するために，$k^m$-匿名性や$Pk$-匿名性など$k$-匿名性を緩和するアプローチがいくつか提案されている．一方，差分プライバシは，Dworkらによって開発されたプライバシ保護指標であり，近年GoogleやAppleなどの技術に導入されている．しかし，差分プライバシにおいて，どの程度のノイズであれば，所望のプライバシを満たせるのかという保護指標は全て解明されていない．そこで，本稿では$k^m$-匿名性と差分プライバシのそれぞれが持つパラメータの関係を示す．

1B2-4

$f$-Divergence Differential Privacy ○Shota Saito(Gunma University) 、Koji Chida(Gunma University) 、Osamu Takaki(Gunma University): The notion of the $(\epsilon, \alpha)$-R\'enyi differential privacy ($(\epsilon, \alpha)$-RDP), which is based on the R\'enyi divergence, has been proposed as a relaxation of $\epsilon$-differential privacy ($\epsilon$-DP). This paper introduces $(f, \epsilon)$-differential privacy ($(f, \epsilon)$-DP) based on $f$-divergence. We show a probability preservation inequality, a composition of two $(f, \epsilon)$-DP, and a relationship between $\epsilon$-DP and $(f, \epsilon)$-DP. Using these results, we prove a novel composition theorem of an adaptive composition of $n$ mechanisms all satisfying $\epsilon$-DP. Numerical examples show that the proposed composition theorem via the $(f, \epsilon)$-DP can be tighter than the previous one via the $(\epsilon, \alpha)$-RDP.

1B2-5

PSI-Cardinalityによるセントラル差分プライベート等結合プロトコル ○千田浩司(群馬大学) 、紀伊真昇(NTT社会情報研究所) 、三浦尭之(NTT社会情報研究所) 、市川敦謙(NTT社会情報研究所) 、山本充子(NTT社会情報研究所): 複数の識別子付きパーソナルデータセットの匿名性を保ちつつ，同一識別子で連結 (等結合) された匿名化データを作成するプロトコルを提案する．先行研究として，ローカル差分プライバシー(LDP) に基づきノイズ付加した等結合データを作成する手法があるが，個々のパーソナルデータにノイズ付加するため有用性に課題があった．別のアプローチとして，集計表にノイズ付加するセントラル差分プライバシー (CDP) に基づく手法を実現できれば，有用性の向上が期待できる．しかし集計表は識別子が失われるため，一般に等結合ができないジレンマがある．本稿では，元の識別子とダミー識別子を不可逆にランダム化したデータを用いて，ノイズ付加した共通集合の要素数のみを導出する，新しいPSI(Private Set Intersection)-Cardinality プロトコルを提案する．提案手法により，匿名性を保ちつつ，CDP に基づきノイズ付加した有用性の高い等結合データの作成が可能となる．

1C1-1

ブロック暗号LBC-3に対するMILPを用いた積分攻撃 ○芝山直喜(東京理科大学) 、五十嵐保隆(東京理科大学): LBC-3は2022年にNyssanbayevaらによって提案された64ビットブロック暗号であり，鍵長は80ビット，ラウンド数は20である．既存研究として，LBC-3には18ラウンドの高階差分特性が存在し，この特性を利用することによって，フルラウンドのLBC-3に対する高階差分攻撃が可能であることが示されている．高階差分攻撃に類似した攻撃法として，データの集合のXOR総和の性質に着目した積分攻撃があり，これまでに積分特性の探索を効率的に行う手法が提案されている．本稿では，LBC-3に対する積分攻撃について報告する．まず，混合整数線形計画法（MILP）を用いたBit-Based Division Propertyによって積分特性を調査した．その結果，63階差分を用いた特性の網羅的な調査から，最良の特性として既存の60階差分特性を上回る特性が存在しないことがわかった．また，新しい16ラウンドの48階差分特性を発見し，これを利用したフルラウンドのLBC-3に対する攻撃の高速化により，必要な選択平文数及び計算量は従来に比べて約$1/2^{11}$に削減できることを示す．

1C1-2

軽量ブロック暗号μ2に対するMILPを用いた線形攻撃 ○山中琴音(東京理科大学) 、五十嵐保隆(東京理科大学): μ2は2019年にWei-Zhu Yeohらによって提案された軽量ブロック暗号である。ブロック長は64ビット、段数15段、鍵長は80ビットである。線形攻撃耐性評価については提案者による簡単な見積もりしかなく、第三者による評価はなされていない。よって本稿では、軽量ブロック暗号μ2についての線形特性をMILP (Mixed Integer Linear Programming)を用いて探索し、その結果を示す。加えて、発見した線形特性を利用することにより鍵回復に必要な平文-暗号文組数、計算量を算出した。

1C1-3

軽量ブロック暗号DLBCAに対するSTP及びMILPを用いた差分攻撃 ○須貝遥(東京理科大学大学院　理工学研究科　電気工学専攻) 、五十嵐保隆(東京理科大学大学院　理工学研究科　電気工学専攻): DLBCAは２０１７年にS.AlDabbaghによって提案されたブロック長32ビット、鍵長80ビット、15段の軽量ブロック暗号である。提案論文には差分パスの評価は３段までとなっており、差分攻撃には脅威はないと主張している。また、提案者以外の差分パス評価は確認できなかった。差分攻撃は、２つの入力の変化量と暗号化された２つの出力の変化量の間に存在する相関を元に鍵を推定する解読法である。差分攻撃を行うには、差分確率及び最大差分特性確率を求める必要があり、求めた最大差分特性確率をとる差分パスの導出も必要不可欠である。これらを導出する手段として、混合整数線形計画法(MILP)及びSMTソルバがある。本稿では混合整数線形計画法(MILP)を解くことができるGurobi及びSMTソルバの１つであるSTPを用い差分パスを解析し、１０段で鍵回復を行い、総当たり攻撃より効率的に攻撃できる事を発見した。

1C1-4

軽量ブロック暗号MGFNに対する差分攻撃 ◎葛田圭吾(東京理科大学) 、五十嵐保隆(東京理科大学): Modified Generalized Feistel Network Block Cipher は2023年に Isma Norshahila Mohammad Shah らによって提案されたIoT機器搭載用の軽量ブロック暗号である。ブロック長は64bit、鍵長は128bitとなっており、提案者による差分攻撃耐性評価は行われておらず、独自のアバランシェ効果テストとランダムテストで安全性評価をしている。本稿ではMILPを用いた差分特性探索を行った。結果として、6段分で差分パスがループし、フルラウンド(24段)で2^(-40)の差分特性確率が得られた。

1C1-5

軽量ブロック暗号 HISEC に対する MILP aided Bit-Based Division Property を用いた Integral攻撃 ◎木暮大樹(東京理科大学) 、五十嵐保隆(東京理科大学): HISEC は 2014 年に S. AlDabbaghらによって提案された、ブロック長 64 ビット、段数 15 段、鍵長 80 ビットの軽量ブロック暗号である. 提案論文におけるIntegral攻撃に対しての安全性評価は簡易的な検証に留まり、第三者による安全性評価は行われていない。そのため本稿では、HISECに対しMILP (Mixed Integer Linear Programming)を利用したIntegral攻撃を行い、その安全性について評価する。

1C2-1

ChatGPTを用いた暗号解析プログラムの実装に関する一考察 ○杉尾信行(北海道科学大学): 大規模言語モデルは膨大な量のテキストデータを用いて学習された深層学習モデルであり，大規模言語モデルを用いる事で文章や画像，プログラムコード等を作成可能である．先行研究として，ChatGPTを用いて共通鍵ブロック暗号AESやASCONのプログラム実装が可能である事が知られている．そこで本研究では，ChatGPT用いて軽量ブロック暗号に対する暗号解析プログラムの実装を試みる．また，作成したプログラムを評価し，暗号解析に利用可能か明らかにする．

1C2-2

深層学習ベースの出力予測攻撃が共通鍵暗号設計に及ぼす効果 ◎渡部颯斗(東海大学) 、伊藤竜馬(情報通信研究機構) 、大東俊博(東海大学): 木村らは深層学習ベースの出力予測攻撃を提案し，提案手法を軽量ブロック暗号PRESENTに適用することで，深層学習が差分・線形特性確率の変化に追随できることを示した．しかしながら，既存研究ではPRESENTで検証した結果を示しているのみであり，全ての共通鍵暗号において同様の性質が得られるとは限らない．本研究では，深層学習ベースの出力予測攻撃が共通鍵暗号設計に及ぼす効果について考察するために，PRESENTとは異なる種類の軽量ブロック暗号であるSIMONを対象とした．まず，SIMON-32の内部パラメータを変更した複数の派生型SIMON-32を作成し，ラウンド数に応じて変化する差分・線形特性確率の上昇率が異なる方式という観点でグループ分けし，それぞれのグループに対して既存手法を適用した．結果として，既存研究と同様，多くの派生型SIMON-32において深層学習が差分・線形特性確率の変化に追随できることを確認するとともに，これらの確率変化に依存しない未知の特性を深層学習が検知できることを明らかにした．加えて，SIMONのtoy modelであるSIMON-16に対して同様の検証を行った結果，差分・線形特性確率の変化に依存しない強力な攻撃が実行可能であることを明らかにした．

1C2-3

機械学習に基づく軽量ブロック暗号TWINEに対する暗号解析 ◎小泉哲哉(千葉大学大学院　融合理工学府) 、岸本渡(千葉大学大学院　融合理工学府): TWINEは軽量ブロック暗号の一つで、ハード・ソフトウェアともにトップクラスの実装性とAESと同等の安全性を併せ持つ暗号方式とされている。現在まで、Gohrによる先行研究などで、機械学習による軽量ブロック暗号の解析は従来の差分/線形解読などの手法より良い精度で暗号解析ができる可能性が示唆されてきた。しかし、機械学習による暗号解析はその仕組みがブラックボックス化していて不透明であり、より深く研究されるべき状況にある。本研究では、暗号文と全く無関係なランダムに生成されたデータとを有意な確率で識別できるアルゴリズムの存在を証明するという攻撃であるDistinguishing attackの方針に基づき、2つの暗号文からなる暗号文ペアを入力されると、ペアの暗号文それぞれの平文の差分がある特定のものであるか、それ以外のランダムな差分であるかを有意な確率で識別できるような機械学習モデルを構築し、2〜3ラウンド版TWINEに対してDistinguishing attackを行った結果、実際にモデルが有効であることを確認できた。

1C2-4

IoTデバイスのための軽量ブロック暗号”Shakey”に対する中間一致攻撃 ○矢田宏帆(東京理科大学) 、五十嵐保隆(東京理科大学): 本論文では、IoTデバイスのための軽量ブロック暗号“Shakey”に対して中間一致攻撃を適用する。 Shakeyは、2023年にAnushka Sivakumar・Asmi Sriwastawaによって提案された軽量ブロック暗号である。秘密鍵長128 bits、ラウンド数は32段、ブロック長 64 bitsである。構造はFeistel構造、ARX操作によって成り立っている。提案者論文では、差分特性の評価は行われているものの、中間一致攻撃による評価は行われていなかった。中間一致攻撃は1977年にDiffieとHellmanが提案した共通鍵暗号に対する攻撃方法である。本研究では軽量ブロック暗号Shakeyに対して中間一致攻撃を適用し、10段まで、2^126.54計算回数で攻撃できることを示す。

1C2-5

BihamらによるDESの差分解読法の解析 ○青木和麻呂(文教大学): 1992年にBihamとShamirはfull DESに対する差分解読法を発表した。必要となる選択平文数が2^47ブロック必要であることから当時は理論的な興味に過ぎなかったが、現在の計算能力では計算可能である。本発表では、計算機実験を行い、理論と現実の違いを評価する。その結果、使われている差分特性の確率は当時の見積りより大きい一方structureから生成されるpairは独立でない可能性が高く、攻撃に必要とされる選択平文がより多く必要と見積もられることが分かった。

1D1-1

SecureSSI: A Model-Driven Security Analysis Framework for Self-Sovereign Identity as a Service ◎Yepeng Ding(The University Of Tokyo) 、Hiroyuki Sato(The University Of Tokyo): Self-sovereign identity (SSI) is an emerging identity model. Architectural patterns derived from the best practices in existing SSI systems conceptualize Self-Sovereign Identity as a Service (SSIaaS). Nevertheless, the security aspects of SSIaaS remain insufficiently explored. In this paper, we introduce SecureSSI, a model-driven security analysis framework for analyzing SSIaaS against a threat model built on our investigation of real-world security concerns. SecureSSI adopts a modeling language to formalize architectural patterns and threats, alongside security properties articulated in temporal logic. Besides, SecureSSI automates the verification via model checking. Furthermore, we present typical vulnerable patterns verified by SecureSSI to demonstrate its effectiveness and applicability.

1D1-2

次期公的個人認証サービスの暗号化・復号機能で利用する公開鍵の取り扱いの検討 ◎五十嵐研二(東京工業大学工学院情報通信系情報通信コース) 、李中淳(東京工業大学科学技術創成研究院) 、小尾高史(東京工業大学科学技術創成研究院): 次期マイナンバーカードの議論が始まっており,その中で,公的個人認証サービス（JPKI）の楕円曲線暗号への移行や暗号化・復号機能の追加が検討されている.暗号化・復号機能の追加により,従来難しかった,自治体や医療機関からの機微な情報を含む電子文書の電子的送付が可能であるが,現在の法制度では検証者がJPKIの電子証明書を扱うためには主務大臣の認定を受ける必要があり,認定事業者以外が証明書に含まれる公開鍵などをデータベース化することが認められていない.このため暗号化・復号機能が追加された場合でも民間企業等が暗号化に必要となるJPKIの公開鍵を容易に扱えないことが予想される. そこで本論文では公開鍵の取扱いが認められていない送信者においても電子文章の暗号化機能を利用できる手法を提案した.提案法では,中間に電子私書箱を置いた三者モデルを想定し,電子私書箱が受信者の公開鍵を送信者毎に異なる鍵に変換することで,JPKIの公開鍵を取り扱えない問題を解決している.また,電子文章の暗号化・復号にはCRYPTREC暗号リストで推奨候補暗号リストとなっているPSEC-KEM-DEMを利用した.

1D1-3

指名者による本人特定機能付きVerifiable Presentationの実装と応用 ◎渡邉健(早稲田大学) 、森田航平(早稲田大学) 、山本暖(株式会社インターネットイニシアティブ) 、佐古和恵(早稲田大学): W3C (World Wide Web Consortium) で標準化されているVC(Verifiable Credential)のシステムは，Issuer(発行者), Holder(所有者), Verifier(検証者)の3者間で構成される．VCのHolderはVerifierに対して, 属性の一部を隠す連結不可能選択的開示を用いて，匿名での認証を行うことができる．過去に提案した論文では，以上の3者に加え「Opener」と呼ばれるプレイヤーを導入し，後日問題が起こったときなどにVerifierが持つ認証ログから本人を特定できる機能を提案した．本論文では，実装を行なった本人特定機能付きVerifiable Presentationのライブラリについて述べる．本ライブラリではBLS12-381曲線を用いて，エルガマル暗号と連結不可能選択的開示の特性を持つBBS＋署名の実装をした．また，このVPによる認証を用いた，物理的なドアの開錠のデモアプリケーションを通して，実際の環境で機能することを確認する．その際に，Decentralized Web Node(DWN)と呼ばれる，VCなどのデータを送信して保管でき，必要なときに取り出せる機能を持った，個人用のデータストレージを用いる．

1D1-4

Verifiable Credentialsを活用したSSIに基づく委任方法に関する一考察 ◎片山堅斗(日立製作所) 、鈴木麻奈美(日立製作所) 、安細康介(日立製作所): ある個人 (委任者) が自身の権限に基づき代理行為を行う権限 (代理権) を別の個人 (受任者) に対して付与することを委任という．委任の方法として，日本ではPublic Key Infrastructure (PKI) に基づいた電子委任状を用いる方法がある．この方法は委任を電子的に行うことができるため，ユーザの利便性が高い．その一方で，代理行為における相手方が電子委任状の取得・検証を行う際に，委任者・受任者の情報が第三者に渡されることからプライバシの観点で懸念がある．そこで本稿では，自分自身が主権的にアイデンティティを管理するSelf-Sovereign Identity (SSI) モデルに基づいたVerifiable Credentials (VC) を用いる委任方法を提案する．提案方法により，委任者および受任者のプライバシを第三者から保護しつつ信頼性の高い委任が行えることを示す.

1D1-5

手ぶら SSI のための属性情報秘匿 Anonymous Credential System における通信量効率化 ◎中村渉(株式会社日立製作所) 、高橋健太(株式会社日立製作所): 自身のアイデンティティ情報を自身でコントロールできるべきという自己主権型アイデンティティ(Self-sovereign Identity)の考え方が近年注目されている．我々は2023年3月のISEC研究会において，スマートフォン等の個人デバイスを持たない者でも取り残されないSSIの仕組みを実現するため，証明書をオンライン上のレポジトリに保存し店舗等に設置された共用端末を用いて提示処理を行うシステムモデルを扱い，提示のための共用端末から属性情報を秘匿しつつ検証者に対し属性情報の必要部分を検証可能かつ匿名に提示する「属性情報秘匿 ACS」を提案した．しかしこの従来方式には提示処理における通信量に関する課題があった．そこで本稿では，属性情報秘匿 ACS に対し通信効率性要件を導入するとともに，従来方式に対し通信効率化のための改良を行うことにより，通信効率性要件を満たす方式を提案する．

1D2-1

決済プロトコルの形式検証の動向と課題 ○櫻田英樹(日本電信電話株式会社 / 九州大学) 、櫻井幸一(九州大学 / 国際電気通信基礎技術研究所): 消費者が小売店などから物やサービスを購入する際の支払い手段として、現金、クレジットカード、デビッドカード、プリペイドカード、バーコード・二次元コードなど、多岐にわたる決済手段が利用されている。また、クレジットカードを用いた店頭での決済だけを見ても、かつてはクレジットカードの磁気テープに書き込まれたカード番号を店頭の端末が読み取るという単純な方法で行われていたが、偽造などの対策のため、今日ではICチップと店頭端末が通信により支払いを認証し、通信の媒体も接触型の通信手段だけでなく、非接触の通信手段いわゆるタッチ決済も用いられている。これらの通信で行われる、カードや取引の認証、および、暗証番号による本人確認などのプロトコルも、複雑さを増しており、プロトコルの欠陥も発見されている。これらのプロトコルの安全性を解析・検証し、欠陥を未然に発見する方法として、形式検証による方法がある。本講演では、主にクレジットカードを用いた決済プロトコルの安全性を形式検証により検証する研究の動向を取り上げるとともに、今後の課題についても議論する。

1D2-2

EMV 3-D セキュアにおけるChallenge Flowの形式検証 ◎渡部翔(茨城大学) 、米山一樹(茨城大学): EMV 3-D セキュアは，インターネット上のクレジットカード決済における，本人確認を主たる目的とした認証サービスである．3-D セキュアの安全性評価に関する既存研究として，旧仕様（3-D セキュア1.0）に対するCasper/FDR2を用いた形式検証，現行仕様であるEMV 3-D セキュア（3-D セキュア 2.0）のリスク評価指標に関するリバースエンジニアリングを用いたなりすまし攻撃などが知られている．しかし，EMV 3-D セキュアに対する形式手法による安全性検証は知られていない．本稿では，暗号プロトコルの検証ツールProVerifを用いてEMV 3-D セキュアの安全性検証を行う．我々はEMV 3-D セキュアにおける主たる利用形態である本人確認利用を想定して，電子決済時に秘密情報による認証が必要となるChallenge Flowを形式化し，中間者攻撃に加えて中継サーバによる結託攻撃を捉えた攻撃者モデルに対する秘密情報の秘匿性と辞書攻撃耐性，カード所有者の認証性とリプレイ攻撃耐性を検証する．検証結果として，Challenge Flowは上記の安全性を全て満たすことを示す．

1D2-3

ProVerifによるSSEのQ-INDとSSE-INDに関する検証と形式モデルの議論 ◎鈴木孝誠(信州大学) 、岡崎裕之(信州大学) 、三重野武彦(エプソンアヴァシス株式会社、信州大学) 、山本博章(信州大学) 、荒井研一(長崎大学) 、布田裕一(東京工科大学): 情報セキュリティにおいて、暗号プロトコルの安全性を形式的に検証する技術は、安全性を担保する上で重要な技術である。その中で、ProVerif は暗号プロトコルの安全性自動検証ツールの一つであり、広く研究されている。安全性を考慮した検索システムとして、暗号化したデータを暗号化したキーワードで検索できる検索可能暗号という技術がある。これはクライアント・サーバ間の暗号プロトコルとして記述できる。検索可能暗号の安全性要件として、SSEにおけるIND(SSE-IND)とQ-INDが存在する。SSE-INDとは、平文の内容を一切明らかにしないトラップドア・インデックス・暗号文が生成可能であること、Q-INDとは検索に伴うアクセス・サーチパターンの漏洩により統計的な手段で検索キーワードを入手するクエリ回復攻撃に対する安全性である。本研究では、検索可能暗号の基本的な手法として知られているCurtmolaの手法に対し、ProVerifを用いてどこまでSSE-INDおよびQ-INDの要件を形式化することができ、検証可能であるかを議論する。

1D2-4

非接触充電標準Qi v1.3の複数オプションを考慮したプライバシ検証 ◎藤田和弘(茨城大学) 、米山一樹(茨城大学): ワイヤレス（非接触）充電標準であるQiは，デバイスと充電器のそれぞれに埋め込まれたコイルが電磁誘導により電力を送受信する給電技術であり，デバイスを充電器の上に置くだけで充電できるという利便性から，モバイルデバイスを中心に近年急速に普及している．一方で，スマートフォンやスマートウォッチなど所有者が常に携帯しているようなデバイスを中心に対応が進んでいるため，プライバシの侵害が懸念される．例えば，充電器からデバイスの識別が可能である場合，利用状況からデバイスを追跡されるおそれがある．我々はSCIS2023において，Qiの認証機能オプションであるQi Authenticationについて秘匿性や認証性の形式検証を行ったが，Qi全体の検証やプライバシの検証は行っていない．本研究では，Qiのプロトコル全体におけるプライバシについて自動検証ツールProVerifを用いた形式検証を行う． Qiには認証機能の有無などのオプションが複数定義されており，実行フローの組み合わせが多数存在する．我々はこれらのフローの全ての組み合わせを考慮し網羅的な検証を行う．検証結果として，プライバシへの非自明な攻撃が存在しないことを示す．

1D2-5

攻撃決定図の自動生成によるTamarin Proverの脅威モデリング支援 ◎中林美郷(総合研究大学院大学/NTT社会情報研究所) 、関山太朗(国立情報学研究所) 、蓮尾一郎(国立情報学研究所) 、石川裕(国立情報学研究所): 情報セキュリティ分野ではシステムやプロトコルの安全性を示すことは重要であり，近年のそれらの複雑化に伴いその安全性検証に形式検証ツールが用いられている．形式検証ツールを正しく利用するためには，検証対象のシステムやプロトコルの記述に加え，脅威モデルを正しく記述する必要がある．しかし，入力として目に見える検証対象とは異なり，十分な脅威モデルを考えられているのか，そしてそれを過不足なく記述できているのかをツールの入力や出力から判断することは難しい．本研究では上記の課題を解決するために，検証対象がどのような脅威の下で安全性が満たされなくなるのかをAND-ORツリーを用いて可視化する手法を提案する．網羅的なAND-ORツリーを生成するためには，脅威のパターン全てに対して検証結果を得る必要があるため大量の検証コードと検証回数が必要になるが，本研究では安全性の単調性を用いることで検証回数の削減を行い，さらに一つの検証コードから各脅威のパターンに対応する検証コードを自動で作成する．提案手法の有効性を確認するために，形式検証ツールであるTamarin Proverを用いて実装評価を行った．

1D2-6

ProVerifと Tamarin proverを開発支援プロセスへ導入するための考察 ○三重野武彦(エプソンアヴァシス株式会社, 信州大学大学院総合医理工学研究科) 、岡崎裕之(信州大学大学院総合理工学研究科) 、荒井研一(長崎大学大学院工学研究科) 、布田裕一(東京工科大学コンピュータサイエンス学部): 近年,セキュリティプロトコルの解析や検証する手法として,形式手法が有効である研究報告が増加している. その中でも,暗号プロトコルの安全性自動検証ツールである ProVerifや Tamarin proverは,形式検証の分野で幅広く利用されている. ProVerifは,モデルによって“cannot be proved”,すなわち,ProVerifでは検証結果が判断できないので,検証者に攻撃導出手順の判断を委ねることがある. この場合に, Tamarin proverを用いて検証することで,厳密にモデルのセキュリティ特性や弱点を判断することができる可能性があるため, 本稿では,両ツールを用いて, ProVerifが観測等価性の同値性が成立しない場合:“Observational equivalence cannot be proved.”を出力するモデルの検証を実施した. この仮説を基に,セキュア・プロトコルを開発支援する初期段階で, ProVerifによる検証を行い,その後検証結果に基づいて,更に詳細な検証やセキュリティ特性の証明を, Tamarin proverで検証することを検討する. それぞれのツールの使い所を考察した上で,バグの少ないセキュア・プロトコルの設計に役立つとことを議論する.

1E1-1

PC操作と生体データに基づく疲労検知手法の研究 ◎池田聡太(法政大学理工学研究科応用情報工学専攻) 、呉謙(法政大学理工学部応用情報工学科) 、金井敦(法政大学理工学研究科応用情報工学専攻) 、畑島隆(NTT社会情報研究所) 、谷本茂明(千葉工業大学): 仕事のオンライン化が進み，社外においてもセキュリティを意識する必要性が増している．このように過度なセキュリティ意識の高まりによって蓄積される疲労をセキュリティ疲労と呼ぶ．セキュリティ疲労に限らず，疲労が蓄積されると不注意が多くなり情報漏洩などのセキュリティインシデントの発生につながる．このようなインシデントを防ぐためには，疲労を考慮したセキュリティ対策を考案する必要がある．本研究ではその前段階としてPC環境を用いた疲労の検知を行う．検知に用いるパラメータには，テレワークやオフィスワークの主な業務であるPC作業時において簡単に取得できるものを用いる．教師データには脳波を用い，取得したパラメータと教師データでデータ分析を行い，パラメータから疲労を検知できるかの検証を行う．

1E1-2

自然言語処理を用いた脆弱性情報の自動解析による複数端末脆弱性管理システムの試作 ○水野鷹也(長崎県立大学 / 島津製作所) 、上原優衣香(長崎県立大学) 、加藤雅彦(長崎県立大学): NVDによれば脆弱性の報告数が年々増加傾向にある．また，情報セキュリティ10大脅威2023からも「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」や「脆弱性対策の公開に伴う悪用増加」が3年にわたって挙がっており，脆弱性に対する脅威が高まっている．米国ではSCAPにより，セキュリティ対策の自動化と標準化に務めている．しかし過去の脆弱性に対する網羅性や新規脆弱性への対応の安定性，インストール処理を必要としないソフトウェアへの対応に問題があることが分かっている．本稿では，公開されている脆弱性情報(CVE， CPE)をもとに脆弱性を確認するための検査ファイルを自動的に作成する手法とともに，exeファイルからソフトウェアに関する情報を網羅的に取得する手法を提案する．PC5台から取得したソフトウェア情報に対して提案手法の評価を行った結果，再現率0.484，適合率0.291，Ｆ値0.360であった．また，フリーソフトやプラグインのような個人により制作されたものや仮想化環境構築ソフトウェア等，バージョン情報に識別子が含まれるものには対応が難しいこと等の様々な課題を発見した．

1E1-3

攻撃到達の可能性及びSBOM連携を考慮したSSVC決定木の提案 ○花野勝則(PwCコンサルティング合同会社) 、河原直翔(岡山大学) 、村上純一(PwCコンサルティング合同会社) 、野上保之(岡山大学): サイバーセキュリティにおいてソフトウェアの脆弱性を管理するために脆弱性対応プロセスを整備する事は重要である. 脆弱性の対応要否判断は, 脆弱性評価システムCVSSに基づいて実施する事が一般的であり, ユーザーは脆弱性のCVSS基本値を組織で決定した閾値と照らし合わせて対応要否判断を実施していることが多い. しかし, CVSSでは意思決定を行うステークホルダーによる立場やリスク選好度の違いを取り扱う事ができていない. この課題を解決するための手法としてSSVCが提案されており注目を集めている. SSVCでは決定木を用いて具体的な判断を導出する. 脆弱性への攻撃経路について検討した結果, 決定木の構成要素に追加すべき要素を発見した. 本研究では決定木にAttack VectorとNetwork以外のExposureに関する要素の追加及びSBOM(Software Bill of Materials)との連携に関する提案をする. 提案した決定木を用いてシミュレーションを行い, より適切な脆弱性への対応が導出されている事を示す.

1E1-4

脅威情報レポートから攻撃手順の知識グラフを作成する手法の設計に関する一考察 ◎北健太朗(KDDI総合研究所) 、源平祐太(KDDI総合研究所) 、三本知明(KDDI総合研究所) 、磯原隆将(KDDI総合研究所) 、清本晋作(KDDI総合研究所) 、田中俊昭(兵庫県立大学): 巧妙化，多様化するサイバー攻撃にプロアクティブに対処するために，ベンダなどが公開する脅威情報レポートを収集・分析し，攻撃手順の特定や対策の導入を早期に実施することが有効である．しかし，自然言語で記述された，大量の脅威情報レポートから攻撃手順を抽出する作業を人手で行うことは，新たな攻撃手法への対応速度とコストの観点で現実的でない．本稿では，自然言語処理技術を用いて，脅威情報レポートから攻撃手順を表現する知識グラフを自動生成する手法を設計する．具体的には，脅威情報レポート内の各センテンスの構文木を，単語間の係り受け関係にもとづき解析することで，攻撃関連のエンティティを示すフレーズ，エンティティの関連性を示すフレーズをそれぞれノード，エッジとする知識グラフを作成する．一方，この手法の課題として，同じエンティティを代名詞などの異なる単語で表現するセンテンスに対してグラフ内のノードが集約されず，攻撃手順を適切に表現できない場合があることが挙げられる．この課題に対して，名詞の共参照解決を行うことで，同じエンティティを指すノードを集約し，知識グラフを集約する手法を設計する．

1E1-5

脆弱性に関する知識グラフの自動生成における課題と対策の検討 ◎源平祐太(KDDI総合研究所) 、三本知明(KDDI総合研究所) 、磯原隆将(KDDI総合研究所) 、清本晋作(KDDI総合研究所) 、田中俊昭(兵庫県立大学大学院): サイバー攻撃による被害は年々増加しており,それに伴いサイバー脅威に関する情報が多数公開されている.公開されるセキュリティ関連文書は膨大かつ自然言語で記述されているケースが多いため,その解析と利用には時間を要する.その対策として非構造化文書を機械的に取り扱えるように構造的フォーマットに変換することが有用である.そのような構造的フォーマットの1つに知識グラフ形式が存在する．知識グラフとは人・モノなどのエンティティをノード,エンティティ間の関係をグラフの辺で表現するデータベースである.固有表現抽出や関係抽出タスクを利用し,非構造化データであるテキストから知識グラフを自動構成する研究がサイバーセキュリティドメインにおいても行われている．一方で自動構成で構成された知識グラフは同義語の表記ゆれにより本来関連があるノード同士が結合しない問題や,抽象度の高い概念で結びついてしまい本来関連が薄いノード同士が結合してしまう問題が想定される. 本稿では自動生成した知識グラフにおける2つの課題に対処する方法を検討し，脆弱性関連テキストからから自動生成した知識グラフに検討手法を適用した実験について報告する．

1E2-1

LLMを用いた中小企業向け自動セキュリティリスク評価とレポート作成手法の提案 ◎内藤猛(東洋大学) 、渡邊玲(東洋大学) 、根岸流香(東洋大学) 、渡曾航生(東洋大学) 、岡田怜士(東洋大学) 、満永拓邦(東洋大学): サイバー攻撃を取り巻く環境がますます複雑化する時代においては, 効率的かつ包括的なセキュリティリスク評価と対策が重要となる. セキュリティリスクは企業の規模によらず注意が必要があり, 情報処理推進機構は中小企業における情報セキュリティ対策の向上を目指し「中小企業の情報セキュリティ対策ガイドライン」を公開した. 中小企業はこのガイドラインを参考にしながら，社会的に求められるレベルのセキュリティ対策を講じることが求められる. しかしながら, リソースと専門知識が限られた中小企業では, 変化していくセキュリティリスクに対応することが難しい面がある. セキュリティ業務の自動化ができれば，時間とコストを節約し, セキュリティ対策の向上が期待できる. 本研究では, LLM(大規模言語モデル)であるChatGPTを利用して, 資産管理情報と脆弱性情報の分析を自動で行い, ガイドラインの適用状況や評価プロセスについて自動でレポートを作成する手法を提案する. 自動化されたレポート作成により最新の状況を日々更新し, 効果的なセキュリティ対策の推進に繋げることが可能となる.

1E2-2

システム安全解析手法STAMP/STPAを用いた組織事故解析のためのガイドワードの提案 ◎馬野智充(大阪工業大学大学院) 、福澤寧子(大阪工業大学大学院): STAMP/STPAは，システム理論に基づくアクシデントモデルをベースとしたシステム安全解析手法であり，システムや人，組織等の相互作用の不備を識別し，その要因を抽出する手法である．要因の抽出にはガイドワードを用いるが，近年，増加しているヒューマンファクタに起因する組織事故を対象とした解析においては，ヒューマンファクタの専門家と共同で解析することが推奨されており，組織管理の仕組みや管理者に由来する組織的要因を抽出するためのガイドワードが望まれる．一方，専門家ではなくても使いこなせるガイドワードとしてヒントワードも提案されているが，これも組織的要因を抽出するには至らない．そこで，ヒューマンファクタにおける事故防止のフレームワークであるHFACSを参考に，組織的要因を抽出するのに適したガイドワードを専門的知識がなくても使いこなせるガイドワードとして提案する．また，日本年金機構の情報漏洩事件を組織事故の例として，提案するガイドワードの有効性を確認するとともにガイドワードの利用手順を示す．

1E2-3

失敗学を活用した情報セキュリティでの失敗原因洗い出しの高度化手法に関する研究 ◎佐伯徹(情報セキュリティ大学院大学) 、藤本正代(情報セキュリティ大学院大学): 近年，世界中の企業や個人は常に情報セキュリティの脅威が叫ばれており，多くの企業では多額のコストを費やし対策を行っている．情報セキュリティの事故・失敗は，これまでに想定されていない新しい事象によるものもあるが，過去から発生している情報セキュリティの事故や失敗の繰り返しも多い．このような状況となった背景として，事故・失敗に対し場当たり的に直接的原因へ対処を行うことで満足してしまうことや，情報セキュリティ分野での失敗事象・経験が浅いことから，脅威分析であるアタックツリー（Attack Trees Analysis）だけでは究明出来ない要因があり，何度も同じ事故・失敗を繰り返してしまうのではないか．そこで本研究では，機械工学の分野において古くから失敗事象・経験を失敗学として培ってきた失敗原因発見手法（失敗マンダラ）を情報セキュリティの分野に取り込むことで，「情報セキュリティ版失敗原因マンダラ図」を作成し、失敗原因洗い出しの高度化（これまでに原因として洗い出されていた要因発見への省力化および新たな失敗要因の発見）手法の研究を行うことを目的とする．

1E2-4

超小型人工衛星のファームウェアアップデートにおける脅威分析と対策の検討 ◎中川雄太(デロイトトーマツサイバー合同会社) 、森啓華(デロイトトーマツサイバー合同会社) 、古川凌也(デロイトトーマツサイバー合同会社) 、熊谷裕志(デロイトトーマツサイバー合同会社) 、神薗雅紀(デロイトトーマツサイバー合同会社): 近年，宇宙産業は国家や行政主導から，民間主体による人工衛星の小型化，低コスト化が進み，人工衛星の打ち上げ数は爆発的な増加を続けている．さらに，地上局シェアサービスの台頭や地上局設備のコスト低下により，これまで以上に人工衛星へのアクセスが易化しており，人工衛星へのサイバー攻撃の脅威が増々顕現すると考えられる．人工衛星が安心・安全な社会インフラとして機能していくにあたり，サイバー攻撃の分析とその対策の検討は重要である．人工衛星のセキュリティを担保するための重要な機能の一つとして，人工衛星上で動作するファームウェアのアップデート機能が挙げられる．アップデート機能は，衛星の打ち上げ後も，脆弱性やバグの迅速な修正が期待できる一方で，安易な実装は悪意ある第三者による不正なファームウェアの更新や改ざん，更新処理の中断による誤作動など，様々なリスクにつながる恐れがある．本稿では，近年普及が進む超小型人工衛星にファームウェアアップデートの機能を導入することを念頭に，考えられる脅威やリスクを分析，評価する．さらに，アップデート機能の実装に向けたセキュリティ要件を整理する．

1E2-5

Attack Defense Treesを用いた脅威分析効率化支援手法の提案 ○大久保隆夫(情報セキュリティ大学院大学) 、山本渓太(情報セキュリティ大学院大学) 、海谷治彦(神奈川大学): ソフトウェアやシステム開発において，脅威分析，特にどういう手順で攻撃されるかを分析するシナリオ分析には高度な専門性と長時間の作業が求められるが，この要求はアジャイルやDevOpsなど，短期間での開発においては困難になってきている．また，システムの需要増加によりセキュリティの専門家ではない者が脅威分析をする必要性が出てきた．本稿では，セキュリティ初心者でも十分な分析ができる脅威分析ツールの提案を目的とし，知識ベースからAttack Defense Trees(ADTrees)を自動生成し，分析を行う者がツリー生成に利用できるADTrees作成ツールCOTTAGEを開発した．COTTAGEを数名に実際に利用してもらい，評価を行った結果，有効性を確認できた．またDevOpsにおいてもCOTTAGEが有効に機能することを確認した．

1E2-6

生成AIによる人間への攻撃に関するリスクアセスメントのための改良MRC-EDC法の開発と試適用 ○佐々木良一(東京電機大学) 、寺田真敏(東京電機大学): 機械学習などのAIとセキュリティの関係が注目を浴びており,著者らはその関係を（ａ）Attack using AI，（ｂ）Attack by AI，（ｃ）Attack to AI，（ｄ）Measure using AIの４つに分類すべきであることを示した．その後，ChatGPTが利用可能となり，ChatGPTをはじめとする生成AIが広く使われるようになった．そこで，生成AIの誕生がAIとセキュリティの関係にどのような影響を及ぼすかを検討した結果，Attack by AIとAttack using AIへの影響が大きく,特にAttack by AIは世の中の検討が進んでいないためその必要性が高いことを明確にした。そこで，Attack by AIに対応するため，(a)「ターミネータ」型や「2001年宇宙の旅」型，「マッドサイエンティスト」型にわけてのAIによる人間への攻撃や,それらに対応する対策案の検討を行った.対策案の最適な組み合わせを求めるためには、著者らはMRC-EDC法（Multiple Risk Communicator – Event Tree and Defense Tree Combined Method）を開発してきたが,この方法は定量的アプローチであり,本対象のように対策コストやリスク低減効果の厳密な推定が困難なものには向かないと判断し準定量アプローチである改良MRC-EDC法を開発し,プログラム開発を行い, Attack by AI問題に試適用した.その結果、コスト・効果の良い5つの対策を示すとともに方式の有効性を確認することができた.

1F1-1

SGX-EIM: Intel SGX Enclave を用いた秘匿 ID マッチング ◎櫻井碧(株式会社Acompany): 昨今のプライバシーに対する関心の高まりや，個人情報関連の法整備といった背景により，所有者のプライバシーを保護したままデータを利用する需要が高まってきている．本論文では，そのようなプライバシー保護データ利用を実現する，SGX-EIM を提案する．SGX-EIM は，Intel SGX が提供するユーザプログラマブルな保護領域である「Enclave」を利用する事により，信頼可能な計算領域を可能な限り最小化して攻撃対象領域を最小化しつつ，高速に 2 つの事業者間の非識別情報化したデータのマッチングを行い，データ横結合やクロス集計表の生成を実現する．また，この SGX-EIM についての動作実験を行い，1000 万件同士のデータのマッチング本処理を 30 秒未満で完了させられる事を確認し，実際に安全かつ高速な秘匿 ID マッチングシステムとして機能している事を実証している．

1F1-2

組み込み機器向けファームウェア更新における脅威抽出と課題提起 ○橋本啓太郎(産業技術総合研究所) 、伊東真理(産業技術総合研究所) 、小川知之(産業技術総合研究所) 、佐藤眞司(産業技術総合研究所) 、辛星漢(産業技術総合研究所) 、吉田博隆(産業技術総合研究所): 国内では2001年にセキュリティ評価・認証制度JISECが創設され、本制度の運用により、スマートカードなどの高保証のITセキュリティ製品やセキュリティ要求仕様に対し、セキュリティ機能の適切性・正確性をセキュリティ評価基準Common Criteria (ISO/IEC 15408)に基づき評価認証が行われてきた。一方、昨今のIoTの急速な普及の中で、組込み機器のセキュリティが重要になっている。組込み機器においては、ソフトウェア（アプリケーションやファームウェア）の更新のセキュリティに関する様々な議論が国際的に行われている。本稿では、まず、組込み機器のソフトウェア更新に関する技術・標準化動向の我々の調査結果を報告する。調査対象は、Platform Security Architecture （PSA） Certifiedスキームに関するファームウェア更新のためのAPI仕様とアーキテクチャの公開事例、また、IETFに関するファームウェア更新アーキテクチャ等の文書のうち、RFC9019に記載のプロトコル等である。次に、我々は、PSAについてセキュア更新のためのフローを検討し、５つの公開ユースケースに関する脅威抽出のうちの1例に対する攻撃シナリオを検討した。これらの検討と分析の結果をふまえ、産業界を含め様々なステークホルダーが存在し、多様な形態で共同作業を行っているエコシステムにおいて、組込機器のソフトウェア更新のセキュリティをどのように担保するか、等の課題を提起する。

1F1-3

All光演算に向けたS-box光回路の動作検証 ○高橋順子(NTT社会情報研究所) 、北翔太(NTT物性科学基礎研究所) 、新家昭彦(NTT物性科学基礎研究所) 、青木和麻呂(文教大学) 、千田浩司(群馬大学) 、星野文学(長崎県立大学): 本稿では、光演算素子の一種で入出力が光信号であるY-branch素子を用いたS-box実装方式の提案と、提案方式を基に作製した光回路の動作検証に関して述べる。近年、光で演算を行う光情報処理基盤に関する研究が盛んに行われているが、その安全性を確保するためには暗号および認証機能が必要である。既存研究では入力が電気信号であるマッハツェンダー干渉型光スイッチを用いた共通鍵暗号のS-box回路の光回路実装が提案されているが、将来的に演算全てを光で実装するためには入出力を光で実装することが望ましい。そこで本稿では、軽量暗号PRESENTについて、Y-branch素子を多段に接続した入出力が光信号であるS-box回路の実装方式を提案する。本回路ではS-boxの4ビットの入力を16個の光ポートに変換するdual-rail logicによるデコード回路とS-box定義に基づく光配線から構成した。また、この提案方式を基に、S-boxの光回路を作製した。本回路の動作検証で設計通り動作することが確認できた。これらにより、将来的に演算全てを光で実装するための足掛かりとすることができた。

1F1-4

SoC FPGAの主記憶に存在するAES鍵のライブフォレンジック ◎澤豊文(情報セキュリティ大学院大学) 、須崎有康(情報セキュリティ大学院大学): SoC FPGAはCPUとFPGAが1チップに実装されたアーキテクチャであり，これらが主記憶を共有することから，FPGAを用いたメモリフォレンジックを行うことができる．本稿では，CPUで実行するOS上のアプリケーションが主記憶に配置したAESの鍵をFPGAによって取得するライブフォレンジック手法を提案する．提案手法は，ソフトウェア実装されたAESに対して有効であり，短時間でビット誤りのない暗号鍵を取得できる点，暗号鍵が主記憶に存在することを一定間隔でリアルタイムに観測できる点で優れる．SoC FPGA評価ボードを用いた実証実験では，約3.3秒で4GBの主記憶を繰り返しスキャンし，1周のスキャンで最大29個のAESの鍵を取得することができた．SSH通信のセッション鍵を取得する実験では，SSH通信中に取得したセッション鍵がSSHセッション終了後に，別のアドレスに移動し，しばらくの間，主記憶上に残り続ける挙動を観測した．これはユーザの期待に反する動作であり，対策の検討と併せて報告する．

1F1-5

同種写像暗号実装に向けたRNSモンゴメリ剰余乗算器の高エネルギー効率な設計法 ◎芳賀陸雄(奈良先端科学技術大学院大学) 、藤本大介(奈良先端科学技術大学院大学) 、林優一(奈良先端科学技術大学院大学): 耐量子計算機暗号の普及のためには、従来の暗号方式より大きい法での剰余乗算器の性能を高めることが求められる。運用に重要なエネルギー効率を高めるには回路面積の削減と演算時間の短縮を両立する必要がある。エネルギー効率の良い剰余乗算器としてResidue Number System(RNS)の基底拡張の行列演算を効率化したDual Mode Multiplier(DMM)が提案されているが、法が大きくなるとDMMはエネルギー効率が悪くなることが課題であった。本論文では、DMMでボトルネックとなる乗算器サイズを、複数サイクル演算を許容することで緩和するMulti-cycle DMM(MDMM)を提案する。耐量子計算機暗号の候補の１つである同種写像暗号で必要な1024 bit法において提案したMDMMがエネルギー遅延積においてDMMを用いた場合よりも34%改善することを示す。

1F2-1

機械学習を用いたハードウェアトロイ識別におけるトロイクラスタ法による補正処理 ◎根岸良太郎(早稲田大学) 、戸川望(早稲田大学): IoT (Internet-of-Things)機器は，私たちの日常生活に広く普及しており，コスト削減のための設計・製造の外注が一般的になっている．一方，信頼性の乏しいベンダーによりハードウェアトロイ (HT)と呼ばれる悪意のある回路が挿入されるリスクが指摘されている．このようなHTの脅威の低減のために，近年ICの設計段階を対象として，効率的に学習・検知ができる機械学習を用いたHT検出手法が提案されている．本稿ではゲートレベルネットリストにおける機械学習を用いたHT識別を対象に，識別段階においてHTの検出精度を向上させえるトロイクラスタ法を提案する．提案手法は，機械学習により得た評価値を元に，HTの局所性と連結情報をもとに評価値を補正し，再識別を行う．評価実験の結果，提案手法を適用することによりF1値において最大2.894%向上した．

1F2-2

LSTMを用いた定常状態を含む消費電力波形予測に基づくIoTデバイス異常動作検知手法の評価 ◎久古幸汰(早稲田大学) 、江田琉聖(早稲田大学) 、木田良一(株式会社ラック) 、金子博一(株式会社ラック) 、戸川望(早稲田大学): 近年，Internet of Things (IoT)デバイスの普及に伴い，ハードウェアデバイスのセキュリティ課題が増加している．OS上でアプリケーションが実行されるIoTデバイスでは，OSによる定常的な電力消費とアプリケーションによる電力消費が重なり，複雑な消費電力波形になる．消費電力波形を用いて異常動作検知する従来の手法では，消費電力波形に複数の信号源がある場合，それらからアプリケーション動作波形のみを抽出する必要がある．アプリケーション動作波形の抽出を必要としない手法として，LSTMを用いることで複数の信号源が含まれている消費電力波形を学習させ，予測する波形と実際の波形との差分を見ることで異常動作を検知する手法が提案されている．本稿では，2種類のデバイスにLSTMを用いた異常動作検知手法を適用し，その有効性を評価する．実験の結果，シングルボードコンピュータとFPGAの両方において，LSTMを用いた異常動作検知手法で異常動作の検知に成功した．

1F2-3

ハイパーパラメータチューニングを導入した生成電力波形によるIoT異常動作検知手法とFPGAチップへの適用 ◎江田琉聖(早稲田大学) 、久古幸汰(早稲田大学) 、戸川望(早稲田大学): 近年，Internet of Things(IoT)デバイスの普及に伴い，ハードウェアデバイスのセキュリティ課題が増加している．OS上でアプリケーションが実行されるIoTデバイスでは，OSやハードウェアによる定常的な消費電力とアプリケーションによる消費電力が重なり，複雑な消費電力波形になる．消費電力波形を用いて異常動作を検知するには，測定した電力波形から定常的な消費電力を差し引き，アプリケーション電力波形のみを抽出する必要がある．従来，測定したデータに大きなノイズが含まれていた場合，定常的な消費電力波形をうまく生成できず，アプリケーション電力波形を得られない可能性があった．本稿では，ハイパーパラメータチューニングを導入した生成電力波形によるIoT異常動作検知手法を提案する．提案手法は，測定したデータに大きなノイズが含まれていたとしても，ハイパーパラメータチューニングによって定常状態電力波形の周期を調整することで高い精度の定常的な消費電力波形とアプリケーション電力波形を生成し，異常動作を検知する．実験評価の結果，FPGAチップに実装したハードウェアトロイを含むAES暗号化回路から，異常動作を検知することに成功した．

1F2-4

LLMを用いた初期シード生成によるIoTデバイスのファジングの自動化に向けて ◎中西響(早稲田大学) 、久古幸汰(早稲田大学) 、長谷川健人(KDDI総合研究所) 、披田野清良(KDDI総合研究所) 、福島和英(KDDI総合研究所) 、橋本和夫(早稲田大学) 、戸川望(早稲田大学): 近年，Internet of Things(IoT)の普及によりデバイス間で多くの個人情報が共有されることに伴い，IoTデバイスのセキュリティ対策が重要となっている．IoTデバイスの未知の脆弱性の発見には，ファジングが有効である．IoTデバイスのファジングでは，デバイスに対する大量のテストケースを生成・送信して動作を監視し，IoTデバイスがクラッシュした場合，当該デバイスの脆弱性が発見されたことになる．従来のファジング手法は手動で初期シードを生成するものが多いが，効率的にデバイスのクラッシュを検出する初期シードを生成することは困難である．本稿では，テスト対象のIoTデバイスに対しファジングの初期シードを，大規模言語モデル(LLM)を用いて生成する手法を提案する．提案手法は，テスト対象のIoTデバイスの仕様と，検査する脆弱性の名称のみをLLMに入力することで，ファジングを効率的に行う初期シードを生成する．実験の結果，LLMを用いて生成した初期シードでファジングを行うことで，手動で生成した初期シードによるファジングでは検出できなかったクラッシュの検出に成功した．

1F2-5

IoTデバイスのドキュメントに基づくLLMを用いた脆弱性検査項目の該非判定 ◎池上裕香(早稲田大学) 、根岸良太郎(早稲田大学) 、長谷川健人(KDDI総合研究所) 、披田野清良(KDDI総合研究所) 、福島和英(KDDI総合研究所) 、橋本和夫(早稲田大学) 、戸川望(早稲田大学): 近年，IoTデバイスの急速な需要の増加に伴い，IoTデバイスの脆弱性を狙った悪意のある攻撃が多発している．そのためIoTデバイスの脆弱性検査によりIoTデバイスから脆弱性を取り除くことが期待される．ところがIoTデバイスは規格化されておらず多種多様なものが存在し，IoTデバイスごとに機械的に脆弱性検査項目を設定することは難しく，IoTデバイスの脆弱性検査の自動化の大きな障害となっている．本稿では，大規模言語モデル (LLM)を利用することで，個々のIoTデバイスごとに適した脆弱性検査項目の該非判定を行う手法を提案する．提案手法は，ユーザマニュアル等のドキュメントから取得した検査対象デバイスの仕様をLLMに渡すことで，セキュリティチェックリストの各検査項目に対し個別のIoTデバイスごとに適合度を算出する．適合度は個別のIoTデバイスごとの脆弱性検査項目の該非を表す．適合度に基づきセキュリティ検査を実施すれば，検査の網羅性を維持しながらも時間的効率性を改善できることが期待される．評価実験の結果，提案手法は検査対象デバイスの仕様に適した検査項目の該非を判定することを確認した．

2A1-1

左右ケイリー複体に基づく暗号学的ハッシュ関数 ○相川勇輔(東京大学) 、Jo Hyungrok(横浜国立大学) 、佐竹翔平(熊本大学): エクスパンダー性を持つケイリーグラフ上のウォークを用いることでZ\'emorは，その安全性を群のワード問題の計算量的困難性に帰着できるハッシュ関数の構成法を提案した．このように構成されたハッシュ関数の中には解かれたインスタンスも多いが，入力文字列がランダムというモデルの下で出力の分布の一様性を数学的に証明できる点が興味深い．ところで，2022年にDinurらによってケイリーグラフの高次元化にあたる左右ケイリー複体が提案された．今回，我々はエクスパンダー性を持つ左右ケイリー複体上のランダムウォークの急速攪拌性を証明することで，左右ケイリー複体を用いた新たなハッシュ関数の構成法を提案する．また群に関する計算問題として，ワード問題のマルチインスタンス化にあたる同時ワード問題を定義し，その計算量的困難性と我々の方式の安全性の関係について議論する．

2A1-2

有限体上の多項式同型群の部分群に関連する置換群の性質 ○伯田恵輔(名城大学理工学部数学科): 本稿では, 有限体上の多項式同型群の部分群に関連する置換群の性質について考察する.

2A1-3

部分体を用いた Ideal-SVP 量子アルゴリズム ○高島克幸(早稲田大学): NISTにより標準化される格子暗号ML-KEM，ML-DSA，FALCON は円分体を用いた構造化格子に基づいて構成されており，関連するイデアル格子上の最短ベクトル探索問題（Ideal-SVP）の計算困難性評価は重要である．これまでIdeal-SVPに対してCDW量子アルゴリズムとBEFHY古典アルゴリズムが知られているが，本稿ではそれらのハイブリッド方式を提案してその利点と今後の課題について論じる．

2A2-1

許容パラメータ判定公式を用いたCrossbredの計算量解析 ◎小川純弥(茨城大学) 、中村周平(茨城大学) 、品川和雅(茨城大学/産業技術総合研究所) 、米山一樹(茨城大学) 、秋山梨佳(NTT 社会情報研究所) 、金城皓羽(NTT 社会情報研究所) 、永井彰(NTT 社会情報研究所): Crossbredは2017年にJouxとVitseにより提案された連立多変数二次多項式求解問題(MQ問題)の求解アルゴリズムの1つであり、2017年にChenらによって同アルゴリズムの計算量見積もりの枠組みが与えられた。2023年にNakamuraによってアルゴリズムの許容するパラメータを判定する2つの公式が提案されているが、判定公式に基づくCrossbredの漸近的な計算量解析やその他のアルゴリズムとの比較は行われていなかった。本稿ではNakamuraの判定公式を用いてCrossbredの計算量を算出し、MQ問題求解アルゴリズムであるFES(Fast Exhaustive Search)およびHybrid-F5との漸近的な比較を行う。これにより、体の位数が十分小さい場合において漸近的にCrossbredはFESとHybrid-F5の計算量を下回る結果が得られた。

2A2-2

複合的な多項式選択法を用いたグレブナー基底計算によるMQ問題の求解 ◎鈴木俊博(東京都立大学) 、伊藤琢真(情報通信研究機構) 、黒川貴司(情報通信研究機構) 、篠原直行(情報通信研究機構) 、内山成憲(東京都立大学): 多変数公開鍵暗号はMQ問題を安全性の根拠におく耐量子計算機暗号の候補である. 多変数公開鍵暗号に対する攻撃としてグレブナー基底を計算する方法が知られている. そのため, グレブナー基底の計算効率は多変数公開鍵暗号の安全性評価において重要である. グレブナー基底の計算において多項式のペアの選択の仕方は計算効率に影響を与えるため, 効率よく基底を計算するためのペアの選択方法が研究されている. これまでの研究では, ペア選択方法を固定したときのグレブナー基底計算の効率性について焦点が当てられていた. 本研究ではグレブナー基底計算の振る舞いが前半と後半で異なることに着目し, 計算中にペア選択方法を組み合わせる実験を行った. また, 後半でのみ有効な新しいペア選択方法を提案し, 既存の方法と比較した. その結果と考察について報告する.

2A2-3

Gröbner基底計算における第二先頭単項式の有用性 ◎伊藤琢真(情報通信研究機構) 、黒川貴司(情報通信研究機構) 、篠原直行(情報通信研究機構) 、内山成憲(東京都立大学): 多変数公開鍵暗号は耐量子計算機暗号の候補である. 多変数公開鍵暗号では有限体上の二次多項式がよく用いられるため, 連立二次多変数代数方程式の解を見つける問題(MQ問題)を効率よく解けるかは多変数公開鍵暗号の安全性に影響する. MQ問題を解く手法としてGröbner基底の計算があり, S多項式を構成するための多項式のペアの選び方はその基底計算の効率に影響することが知られている. 署名方式に関連するMQ問題を解く場合, 第二先頭単項式を利用したペアの選び方は通常の選択方法よりも効率が良いことが実験で示されていた. 本稿では, なぜ効率が良くなるのかについて議論する. 結果としては通常の選択方法を使用したときに起こる無駄な計算が自然に省かれているということが分かった.

2A2-4

Hilbert級数を用いたMQ問題の高速求解アルゴリズムHDF4の計算量評価 ○坂田康亮(東京大学) 、高木剛(東京大学): 多変数多項式公開鍵暗号は耐量子計算機暗号の一つであり，多変数連立二次代数方程式の求解(MQ問題)の困難性を安全性の根拠としている．2023年，Sakata-TakagiはHilbert-drivenアルゴリズムとF4を組み合わせることにより，MQ問題をより高速に解く新しいアルゴリズムHDF4を提案した．Groebner基底計算ではS多項式とそれらの簡約により行列を生成し計算するが，HDF4は計算するS多項式の次数が上昇する際にHilbert級数を利用して，行列サイズを削減することにより高速化している．その結果，HDF4はMQ問題の解読コンテストMQ Challengeにおいて世界記録を達成している．この論文では，HDF4の計算量を評価する手法に関して2つの提案をおこなう．１つ目は，計算する際に現れる行列サイズを特定することにより，支配的計算量となる行列の乗算回数を評価する手法である．２つ目は，次数が減少する際の計算量が，Hilbert級数により簡易な計算で評価できる手法であり，MQ問題の規模が大きい場合にも適用可能である．

2A3-1

不正者過半数における秘密計算可能な関数の特徴付けに関する検討 ◎日高雄太(東京農工大学) 、渡辺峻(東京農工大学): マルチパーティ計算とは, n人のパーティがそれぞれ入力値を持つとき, それぞれの入力値を秘匿しつつパーティ間で協調してnパーティ関数を計算するプロトコルである. マルチパーティ計算において, 情報理論的に安全に計算できる受動的攻撃者の人数のしきい値によって任意の関数を分類することは, 基本的な問題である. 攻撃者が半数未満であるときには, 任意の関数において秘密計算可能であることが知られているほか, 2パーティ関数については, forbidden matrixと呼ばれる概念によって任意の関数に対する分類が与えられる. また, nパーティ関数については, 関数の値域の要素数が3値以下である場合に限って分類が知られており, 4値以上の関数については未解決である. 本研究では, 2パーティ関数におけるforbidden matrixを拡張し, nパーティ関数におけるforbidden setと呼ばれる概念を導入することで, n パーティ関数の構造に forbidden set を含むときは, (n-1)人の受動的攻撃者に対して安全に計算するプロトコルが存在しないことを示した. なお, 本研究は, Benny Chor, Yuval Ishaiによる研究結果の一般化となっている.秘密計算可能な関数の分類問題を解決する上で未解決な小問題についても提示する.

2A3-2

信頼できる銀行に基づく公平なマルチパーティ計算プロトコル ○中井雄士(豊橋技術科学大学) 、品川和雅(茨城大学／産業技術総合研究所): 秘密計算における公平性は通常のモデルではHonest Majorityを満たさなければ達成できない．一方で，攻撃者に金銭的ペナルティを与えることで公平性を達成する研究の流れが存在する．Lindell(CT-RSA 2008)は信頼できる銀行に基づいて達成されるこのような公平性を「強制力による公平性」として定式化した．しかし，彼の定式化および方式は，参加者数が2の場合に限定されたものである．また，信頼できる銀行の機能は参加者が提出する電子小切手に基づいて口座を更新するものであるが，Lindellによる定式化では小切手に使用期限がなく，参加者らは公平性を享受するために小切手を永久的に保持しなければならない．本研究では，Lindellの研究に基づき，任意の参加者数に適用可能な法的強制力による公平性を定式化し，これを達成するマルチパーティプロトコルを提案する．さらに，小切手を永久的に保持しなければならない問題を解決するため，使用期限を付与した小切手に基づく銀行を新たに導入し，これに基づく構成を提案する．

2A3-3

標準的な(Ring-)LWEに基づくシミュレーション安全なしきい値公開鍵暗号 ◎岡田大樹(KDDI総合研究所 / 東京大学) 、高木剛(東京大学): しきい値公開鍵暗号 (ThPKE) は，N 人のパーティの内 t 人以上が参加することにより復号が可能となる公開鍵暗号方式である．その中でも，learning with errors 問題 (LWE) に基づく ThPKE は，しきい値完全準同型暗号 (ThFHE) へ拡張可能であるため特に重要である．ThPKE 及び ThFHE はマルチパーティ計算 (MPC) における要素技術であり，2023 年に NIST はこれらの標準化に向けた意見公募を開始している (NIST IR 8214C)．MPC は多くの場合においてシミュレーションベースでの安全性 (SS: Simulation Security) が必要とされるため，SS を満たす ThPKE (SS-ThPKE) の構成は重要である．最近，Micciancio, Suhl (ePrint 2023/1728) によって，多項式サイズの法 q の LWE から帰着が得られる SS-ThPKE の構成が示された．しかし，この方式には以下の 2 点の課題がある: 1) LWE に基づく構成では 10 数 bit 程度のセキュリティロスが生じる 2) Ring-LWE に基づく構成が示されていない．本論文において，この両方の課題を解決する: 課題 1) のようなロスが生じない，多項式サイズの法 q の (ring-)LWE に基づく SS-ThPKE の効率的な構成を提案する．また，その構成の副次的な効果として，提案方式の暗号文はコンパクト (長さがパーティ数 N に非依存) となる．

2A3-4

実用的な定数ラウンド秘密分散ベース秘匿除算の構成に向けて ○森田啓(オーフス大学，コペンハーゲン大学): 秘密計算により，暗号化したデータに対して入出力および中間情報を秘匿したままデータ処理することが可能である．秘密分散法を用いた方法では，計算量や通信量の少ないアルゴリズムを構成しやすい一方，秘密計算に参加するサーバー間での通信ラウンド数の多さがネックになりうる．特に，整数の除算を秘密計算する際には，精度を保つために入力長に対して対数オーダーの通信ラウンドが必要となるアルゴリズムがよく知られている．本稿では，通信ラウンド数を定数におさえた効率の良い方式の構成に向けたアイディアを提示し，事前計算や通信量がどのような影響を受けるか報告する．

2A3-5

秘密計算のsemi-honest安全性定義について ○縫田光司(九州大学／産業技術総合研究所): 秘密計算プロトコル（本稿では2パーティの場合に限定する）の受動的（semi-honest）な攻撃者に対する安全性は、直感的には「攻撃パーティの入出力から相手パーティの入力の情報が漏れない」と説明される。一方、シミュレータと識別者を用いたこの安全性の標準的な定式化では、識別者の入力として、攻撃パーティの出力だけでなく相手パーティの出力をも含めるとされている。本稿では、この安全性の定義がone-time padの完全秘匿性と整合的でないように見える具体例を与え、この点を解消できる安全性定義の変更案を提示し、その性質および従来の安全性定義との関係性を論じる。

2A4-1

可変長符号を用いたデータ圧縮の秘匿化 ◎瀬戸友暁(東京大学大学院情報理工学系研究科) 、定兼邦彦(東京大学大学院情報理工学系研究科) 、戸澤一成(東京大学大学院情報理工学系研究科): ハフマン符号をはじめとする可変長符号は，データ圧縮技術の基礎として広く用いられている．そのため，データ圧縮の秘匿化にあたって，可変長符号の符号化と復号の秘匿化が重要な課題となる．可変長符号の処理で扱う可変長のビット列は，その長さが情報を持つがゆえ計算対象の情報を秘匿する秘密計算においては扱うことが難しく，通常の符号化・復号アルゴリズムをそのまま秘匿化することは困難である．本稿では，符号語を先頭から順に参照することで復号できる語頭符号について，符号化と復号を秘密計算で行う手法を説明する．本手法を 2 パーティ秘密分散法で実装する場合，符号化は文字集合 X に対して O(log|X|) ラウンド，復号は X の各文字の符号語長の上界 s と復号したい符号語列のビット列としての長さ len(w)，もとのメッセージ長 l_x に対して O(s + log l_x * log len(w)) ラウンドのプロトコルとなる．また，追加の情報を利用して語頭符号に限らない可変長符号の復号を行う手法についても説明する．さらに，いくつかの可変長符号について，それぞれに特化したプロトコルを提案する．

2A4-2

秘匿分割データのソートとその応用 ○戸澤一成(東京大学) 、諌山航太(東京大学) 、定兼邦彦(東京大学): 秘匿分割データは，秘匿された分割情報を伴った暗号文の配列である．秘匿分割データの利用により，分割の各部分に関する並列処理を効率的に秘匿計算できるため，データベースやグラフなど属性情報を持ったデータの秘匿データ処理を並列化するのに有用である．本稿では，秘匿分割データの各部分を並列にソートする秘匿計算プロトコルを提案する．提案プロトコルは，秘匿置換機能を加えた Arithmetic Black-Box モデルで構成される．秘密分散法を用いたマルチパーティ計算において，提案方式は通信効率に優れており，N個のWビット整数をキーとする秘匿分割データのソートに必要な通信量はO(WNlog N)ビット，通信ラウンド数はO(W)である．秘匿分割データのソートにより分割情報の動的な更新が可能となるため，現在の属性情報に応じて処理が切り替わるような状態付き計算の秘匿並列処理への応用が期待される．本稿では，具体的な応用例として，探索問題の秘匿並列処理と All Nearest Smaller Values 問題の秘匿計算を紹介する．

2A4-3

ツリーベース型マルチサーバORAMのラウンド数削減とその応用 ◎諌山航太(東京大学大学院情報理工学系研究科) 、定兼邦彦(東京大学大学院情報理工学系研究科) 、戸澤一成(東京大学大学院情報理工学系研究科): Oblivious RAM (ORAM) は外部委託したデータへのアクセスを安全に行うための手法であり，様々な方式のものが提案されている．それらの中でも，サーバが二分木の形でデータを保持するツリーベース型ORAMは，データ数の対数多項式の最悪通信コストを持ち，準同型暗号と組み合わせることで二分探索を効率的に行うことができるといったメリットがある．本稿ではツリーベース型ORAMのサーバを複数台にしたツリーベース型マルチサーバORAMを対象とする．この方式の既存研究では，データの読み取りに必要な通信回数と同じだけの通信回数Θ(logN)を要するデータの並び替え処理が発生していた (Nはデータ数)．本研究ではいくつかのマルチパーティ計算を用いることで，データの並び替え時の通信回数をΘ(loglogN)へと削減する手法を提案する．これはオーダー記法に隠れた定数倍も小さい．また，この手法はデータの並び替えがサーバ間で完結する（クライアントの補助を必要としない）というメリットがある．さらに，この提案手法を応用することで秘密分散法に基づいた二分探索を効率化できること，文字列検索を効率的に秘匿化できることを示す．

2A4-4

csclib: 秘密分散法に基づく秘匿計算ライブラリ ○定兼邦彦(東京大学): 秘密分散法に基づく秘匿計算ライブラリを作成中である．現在は整数列のソートアルゴリズムに必要な置換等の演算を実装済みであり，これらを用いると様々な秘匿計算が実現可能である．実装している演算とその実現方法について説明する．

2B1-1

否認可能検証者指定署名方式 ◎松浦巧(大阪大学大学院情報科学研究科) 、山下恭佑(大阪大学大学院情報科学研究科, 産業技術総合研究所) 、原啓祐(産業技術総合研究所): 検証者指定署名方式(Designated Verifier Signature, DVS)は，デジタル署名の拡張であり，署名の検証者を指定できるという特徴を持つ．この特徴は，大まかにいうと，指定した検証者に署名者と同等の署名権を付与することで，第三者による署名の検証を実質的に無効化するという方法で実現されている．しかしこの実現方法は，悪意のある検証者を指定した際，容易に署名の偽造が行われ得ることを意味する．第三者による署名の検証は無効化されているものの，現実社会でのDVSの利用を考えると，署名偽造の被害者の信用が貶められる可能性は十分に考えられる．このような問題に対処するには，偽造された署名に対し，被害者はその旨を主張できるという機能を追加することが望ましい．そこで本稿では，DVSを拡張し，そのような状況下の署名者が否認を行えるような方式として否認可能検証者指定署名方式(Repudiable DVS, RDVS)を提案する．更に，否認可能リング署名（ParkとSealfon, CRYPTO'19）からRDVSが一般に構成できることを示す．

2B1-2

3変数ブール関数に対するPSMプロトコルの通信量の上下界 ○品川和雅(茨城大学／産業技術総合研究所) 、縫田光司(九州大学／産業技術総合研究所): PSM（Private Simultaneous Messages）とは、1ラウンドの通信による情報理論的安全な秘密計算のモデルである。PSMプロトコルの研究において、通信量の上界と下界の改善は重要な研究課題である。一般の関数の場合、通信量の既知の上界は入力長について指数的であるのに対して、下界は入力長について線形であり、その指数的なギャップを埋めることは重要な未解決問題である。一方、具体的な関数の中には効率的なプロトコルが提案されているものもあり、特にすべての2変数ブール関数に対して最適な通信量が特定されている。本研究では、すべての3変数ブール関数に対してプロトコル構成および下界証明を行い、通信量の上下界の改善に取り組んだ。主な技術的貢献は、著者ら（INDOCRYPT 2023）によって提案された下界証明手法を発展させた直方体論法という新しい手法の提案である。この手法により、AND関数を含むいくつかの関数に対して下界を改善した。

2B1-3

一部が漏洩した共通鍵を持つ認証における攻撃成功確率の条件付きRényiエントロピーによる評価 ◎齋藤祐太(東京農工大学) 、渡辺峻(東京農工大学): 送信者から受信者へ安全でない通信路を通じてメッセージを送る状況を考える. 安全でない通信路では, 攻撃者によるなりすましや改ざんが行われる可能性がある.このような状況で敵対者による攻撃を検出し, 正当なメッセージを正当なものとして受け取るための仕組みが認証である. 先行研究となるIgawaの研究では, 各パーティーが秘密情報としてi.i.d.な相関系列を観測する状況で, なりすまし攻撃とすりかえ攻撃の成功確率の積の上界と下界について評価を行い, 特定の状況で上界と下界が漸近的に一致することを示した. またShikataの研究では, ある有限長の共通鍵を持つ場合の攻撃成功確率について, Rényiエントロピーによる評価を行った. 本研究では, Igawaの研究で未解決となっている, 送受信者がある有限長の同一の系列を観測する場合, すなわち, 一部が漏洩した共通鍵を持つ場合の認証に関して, 攻撃成功確率を条件付きRényiエントロピーで評価した. まず, Shikataの研究で述べられている攻撃成功確率の定義を本研究の場合へと拡張した. 次にこの確率について, 送受信者の系列のアルファベット数に着目して場合分けを行うことで, 条件付きRényiエントロピーによる評価を行った.

2B1-4

A General Framework of Meta-Meta-Reduction ◎Natsuki Sagara(Tokyo Institute Of Technology) 、Masayuki Tezuka(Tokyo Institute Of Technology) 、Yoshida Yusuke(Tokyo Institute Of Technology) 、Keisuke Tanaka(Tokyo Institute Of Technology): A meta-meta-reduction is a reduction that reduces a problem to a meta-reduction. By constructing a meta-meta-reduction, we can prove that the meta-reduction does not exist assuming the problem is hard. Fischlin and Fleischhacker (EUROCRYPT 2013) showed that the meta-reduction technique cannot help to rule out reductions reducing from arbitrary problems to breaking EUF-CMA of any signature. In order to consider more kinds of meta-reductions, we give a general framework of meta-meta-reductions. In this framework, we focus on the general properties of the problems that appear in meta-meta-reductions. Additionally, we show the following two results by using this framework. First, we show that the existence of a meta-meta-reduction does not imply the existence of a reduction. Second, we show that no non-interactive hard problem can imply the separation of the RSA problem and the factoring problem.

2B2-1

ブロックチェーン上で使用可能なLattice-based Key-Value Commitmentの提案 ◎前野優太(大坂大学大学院) 、宮地充子(大坂大学大学院): Key-Value Commitmentは特定の鍵(Key)とそれに紐づく値(Value)のリストをコンパクトにエンコーディングしつ, 将来的に改ざんされていないことを検証可能な暗号プロトコルである.既存の耐量子安全でないKey-Value Commitmentは, Keyの数に応じて検証用情報のサイズが増加しないコンパクトな暗号プロトコルである. したがって, ブロックチェーン上のアカウントベース仮想通貨において, アカウントのアドレス(Key)とアカウントの残高(Value)の検証用リソースを削減するプロトコルとして期待される.一方で, 既存の耐量子安全なKey-Value CommitmentはKeyの数に応じて検証用情報のサイズが増加する方式である. 本研究では既存の耐量子安全な方式よりも検証用情報のサイズがコンパクトな方式を提案する. これにより, 耐量子安全が要求されるブロックチェーン上システムへの適用を可能とし, アカウント情報の効率的かつ耐量子安全な管理を実現する. また, 本研究の方式は, 耐量子安全な方式として初めてnon-membership証明機能を持つ方式であり, アカウント管理における信頼性とプライバシーの向上を実現する.

2B2-2

任意の勝者数に対する保証金が一定なビットコインベース宝くじプロトコル ◎内薗駿(電気通信大学) 、中井雄士(豊橋技術科学大学) 、渡邉洋平(電気通信大学，産業技術総合研究所) 、岩本貢(電気通信大学): 宝くじプロトコルとは，複数人の参加者それぞれの掛け金に対し，賞金を受け取る勝者を，信頼できる第三者なしに一様ランダムに決定する暗号プロトコルである．ビットコインに基づき宝くじプロトコルを構成し，正直な参加者が不利にならないことを担保するための保証金の概念を導入することで，敗者から勝者への支払いを強制できることが知られている．Bartoletti と Zunino （FC 2017）は保証金額が参加者数に依存しない方式を初めて提案したが，勝者数は1人だけに限定されていた．我々は，SCIS2023において，保証金額を一定としたまま2名の勝者を決定できる方式へ拡張できることを示したが，任意の参加者数や勝者数を扱える方式については課題が残されていた．本稿では，保証金額が一定のまま，任意の数のプレイヤが参加可能かつその中の任意の数の勝者を決定できる宝くじプロトコルを提案する．具体的には，そのような宝くじプロトコルの厳密な安全性定義を与え，提案方式がその定義を満たすことを示す．

2B2-3

ブロックチェーンと高機能デジタル署名を利用した教育データ管理システムの設計 ◎畑雄大(九州大学) 、櫻井幸一(九州大学): SCIS2023で発表された「ブロックチェーンを用いた情報管理における個人データ保護に関する考察」ではブロックチェーンの利用の中、教育データの暗号化によりプライバシー保護を行いつつ、復号者である学生が復号データを改ざんすることを防ぐ様々なデジタル署名の利用を提案していた. そこではデジタル署名として変換可能否認不可署名や指定確認者署名を挙げていたが、対話式で検証を行うデジタル署名であるため、検証の際多くのパラメータを用いる必要がある. そのような情報をブロックチェーンで扱う際、不変な情報として保存されるため、一度の漏洩により長期間攻撃の手がかりとなり得る恐れがある. また、対話式での検証は非対話での検証と比べ、計算結果を送信する手間がかかるため非効率的である. そこで本論文では「変換可能限定検証者署名(Efficient Convertible Limited Verifier Signatures)」(Raylin et al. ISIT 2008)の利用を導入する. このデジタル署名では指定検証者による署名検証を非対話で行うことが出来る. 本研究では、様々なエンティティの役割を与えた3パターンの変換可能限定検証者署名の検証を提案する. そこでは検証者として指定され、検証を行う信頼できる第三者機関の必要性も新たに議論する.

2B2-4

Fair Exchange with Smart Contract Revisited: Combine ZKCP and FairSwap ◎Haoliang Tang(Kyoto University) 、Mehdi Tibouchi(Ntt Social Informatics Laboratories, Kyoto University) 、Masayuki Abe(Ntt Social Informatics Laboratories, Kyoto University): In this paper, we review the two main categories(optimistic and pessimistic) to conduct fair exchange. The first one is Zero-Knowledge Contingent Payment, which is a pessimistic protocol and the second one is FairSwap, which is an optimistic protocol. We analyze advantages and disadvantages of these two protocols. Then we introduce a new protocol by combining ZKCP and FairSwap together with an example of Sudoku problem. Our new protocol is an optimistic partial ZKCP with a complaint process for misbehavior. It's a trade-off between the computation of generating zero-knowledge proof and buyer's certitude of goods. The combined protocol is relatively more practical for real-world applications, striking a balance between computational efficiency and buyer confidence.

2B3-1

Expanding Challenge Space on Composing Generalized Sigma-Protocols ◎Zehua Shang(Kyoto University) 、Miyako Ohkubo(Nict) 、Mehdi Tibouchi(Ntt Social Informatics Laboratories) 、Masayuki Abe(Ntt Social Informatics Laboratories): Zero knowledge proofs have been vital building blocks in many cryptographic applications. Proof of partial knowledge demonstrates knowing certain subset of witnesses for a collection of statements. There has been a long line of research since the very first framework for the composition of sigma-protocols presented by Cramer et al. We revisit the classical parallel repetition solution to the inconsistency issue between the domain of secret sharing schemes and challenge space of sigma-protocols when the underlying sigma-protocols are generalized with k-special soundness. We present several methods to settle the problem based on different assumptions and relaxations such as 1-out-of-t partial collision resistant hash functions or statistical special soundness.

2B3-2

前処理型範囲証明 ◎澤井佑樹(株式会社デンソー / 電気通信大学) 、淺野京一(電気通信大学) 、渡邉洋平(電気通信大学) 、岩本貢(電気通信大学): 範囲証明はゼロ知識証明の1つであり, 証明者が持つ秘密の値がある範囲内に収まることを, その値を明かさずに検証者に納得させる技術である. ゼロ知識証明プロトコルにおいて, 一般的には前処理を導入することで効率化が図れることが知られているが, 範囲証明において前処理を前提とする構成法は知られていなかった. 本稿では, 前処理を前提とした新たな範囲証明の構成アプローチを提案する.

2B3-3

SNARKsのためのReed-Solomon符号語に基づくVector Oracleコンパイラ ◎赤田真悟(筑波大学情報学群情報科学類) 、國廣昇(筑波大学システム情報系): Bitanskyら(ICTS'12)はzk-SNARKsというNPに対する簡潔な非対話的論証を提案した．zk-SNARKsは近年効率化が進んだ一方，その設計手法は複雑化している．このzk-SNARKsの設計の複雑化に対処するため，Bünzら(EUROCRYPT 2020)はDARK多項式コミットメントスキームを用いた，Polynomial IOPをzk-SNARKsに変換する汎用的なコンパイラを提案し，Zhangら(CCS2022)はVector Oracleを用いたVOProofと呼ばれるワークフローを提案した．一方で，Ben-Sassonら(EUROCRYPT 2019)が提案したAuroraなど，Reed-Solomon符号語と親和性が高いzk-SNARKsが提案されている．そこで本稿では，Reed-Solomon符号語との親和性が高いzk-SNARKsの直観的な設計を可能にすることを目標とし，VOProofで提案されたコンパイラをもとに，Vector OracleプロトコルをPolynomial IOPに変換するReed-Solomon符号語を用いたコンパイラを提案する．

2B3-4

Proposed Isogeny Multi-signature ◎Mathieu De Goyon(Osaka University) 、Atsuko Miyaji(Osaka University): Multi-signatures are protocols used when multiple signers wish to produce a joint signature on the same message. They are used in fields such as blockchains. In this paper, we propose a multi-signature by extending the signature Commutative Supersingular Isogeny based Fiat-Shamir signature (CSI-FiSh), as well as its variant CSI-FiSh with Sharing-friendly Keys (CSI-SharK) to a multi-signature. The zero-knowledge proofs and commitments are used to guarantee the security of the protocol. We prove the resulting multi-signature protocol is actively secure in the random oracle model (ROM) by using the Double Forking Lemma Technique.

2B4-1

量子FLT逆元計算アルゴリズムの深さ削減 ○田口廉(東京大学) 、高安敦(東京大学，産業技術総合研究所): 楕円曲線上の離散対数問題(ECDLP)はShorの量子アルゴリズムによって多項式時間で解けることが知られており、実装に必要な量子リソースの見積りが行われている。特にバイナリ楕円曲線上のECDLPについては、最も支配的なF_2^n上の逆元計算についての研究が行われている。逆元計算の手法として量子FLT逆元計算と量子GCD逆元計算があり、前者は後者よりToffoliゲート数・深さが少ないが、量子ビット数が多いという問題があった。これに対して、田口-高安は量子ビット数を量子GCD逆元計算と同程度まで削減した量子FLT逆元計算アルゴリズムを提案した。その反面、彼らの手法は量子GCD逆元計算より多くの深さを要する。本研究では、量子FLT逆元計算アルゴリズムに汎用的に適用できる深さの少ない量子2冪乗算アルゴリズムを提案する。n = 571では、提案手法を適用することで、量子FLT逆元計算を用いる場合のShorのアルゴリズム全体での深さは既存手法と比べて20~50%減少する。さらに、NISTの推奨する全てのnについて、田口-高安の量子FLT逆元計算は量子GCD逆元計算より小さい深さを達成する。

2B4-2

近似最近ベクトル探索と埋め込み法を用いた格子による素因数分解法の実装報告 ◎佐藤新(立教大学) 、Auzemery Aurelien(University of Limoges) 、片山瑛(立教大学) 、安田雅哉(立教大学): RSA暗号の安全性を支える素因数分解問題に対して, 1991年以降Schnorrは格子を用いた素因数分解法を提案している．2022年, YanらはSchnorrの素因数分解法における格子の変形を提案し, 量子計算による最適化手法を用いた数値実験を報告している．2023年, 山口らは古典的なアニーリング計算を使用し, Yanらの方法を基に55ビット以下のRSA型の合成数の素因数分解に成功したと報告している．本稿では, 格子を用いた素因数分解法の古典計算機上での実装報告を行う．具体的には, YanらによるSchnorrの素因数分解法における格子の変形とパラメータ設定を基準に, 最近ベクトル問題の近似解の探索のために, 既存の格子アルゴリズムである最近ベクトルの数え上げ法と埋め込み法を適用する．90ビット以下のRSA型の合成数に対して, 30程度までの階数を持つ格子を用いた素因数分解に成功し, その処理時間や素因数分解で必要な関係式の探索の成功確率について報告する．

2B4-3

Schnorrの格子問題に基づく素因数分解アルゴリズムについての考察 ◎谷仁裕(北陸先端科学技術大学院大学) 、長谷川直樹(北陸先端科学技術大学院大学) 、藤崎英一郎(北陸先端科学技術大学院大学): Schnorrが2021年に発表したSVPアルゴリズムを用いた素因数分解アルゴリズムは、現在のところその有効性について十分な解析がなされていない。本論文では、微細な変更を加えたSchnorrのアルゴリズムを考え、その有効性を考察する。

2B4-4

複数Approximate Divisor Multiplesを解くアルゴリズムの提案とその応用 ◎下江直輝(筑波大学情報科学類) 、國廣昇(筑波大学システム情報系): Mayら（Eurocrypt2022）は，ある合成数の未知の因数を法とする一変数線形方程式を解く問題Approximate Divisor Multiples問題を導入し，その問題を解くアルゴリズムと求解の成功条件を示した．本研究では，この問題を連立方程式に一般化した複数Approximate Divisor Multiples問題（M-ADM問題）を導入し，この問題を解くアルゴリズムを提案する．さらに，求解の成否を判定する条件式を示す．M-ADM問題の応用として，クラウドストレージプラットフォームMEGAの旧バージョンのクライアントに対する安全性解析を行う．本研究では，Ryan-Heninger（PKC2023）のRSA秘密鍵復元攻撃の計算途中に出てくる値からM-ADM問題を構築することで，クライアントによる5回のログイン試行でRSA秘密鍵復元攻撃が可能であることを示す．この攻撃では，Albrechtら（Eurocrypt2023）のRSA秘密鍵復元攻撃と異なり，ECB暗号化オラクルを利用せずにRSA秘密鍵を復元できる．

2C1-1

サイバーセキュリティ教育のためのパケット可視化手法の提案 ◎金井佑太(岩手県立大学ソフトウェア情報学研究科) 、成田匡輝 (岩手県立大学ソフトウェア情報学研究科): 近年，サイバー攻撃の脅威が増大しており，ネットワークセキュリティに関する知識を有したエンジニアが必要とされている．しかし，日本のサイバーセキュリティ人材は不足しており，企業や教育機関での人材育成が急務である．このような状況の中，サイバーセキュリティ教育の一例として，パケット解析演習がある．パケット解析演習は，実際にネットワーク上で行われている通信やサイバー攻撃のデータを解析することで，プロトコルの仕組みやサイバー攻撃の攻撃手法を理解することを目的とする．しかし，既存の教育方法では，高次元かつ大量のパケットデータから特徴を抽出することや多機能かつ複雑なUIのパケット解析ツールの利用を前提としている．それゆえに，パケット解析に慣れていない初学者にとって，既存の教育方法によってパケットデータを分析することは容易ではない．そこで本研究では，パケットデータの特徴が容易に抽出可能で，パケット解析に慣れていない初学者が分析しやすいよう可視化することで，サイバーセキュリティ教育におけるパケット解析演習の負担を軽減するパケット可視化手法を提案する．

2C1-2

体験型サイバーセキュリティ演習システムの設計・構築及びその運用について ◎加藤志門(明治大学大学院) 、宇藤龍世(明治大学大学院) 、多川哲史(明治大学) 、小玉直樹(明治大学) 、齋藤孝道(明治大学): 本論文では，サイバーセキュリティの専門スキルを養成するための，体験型の演習システムの設計，及び，構築について提案をし，その運用を通して有効性を示す．演習は，情報セキュリティの初学者が受講することを想定し，限られた時間でのスキルの習得を狙って設計した．受講者は，高度標的型攻撃、及び，SQLインジェクション攻撃への対応を題材としたストーリー型の演習を通して，インシデントレスポンスの基礎的な技術スキルを学習できる．また，演習システムはクラウド上に構築されており，演習を行う時間や物理的な制約が少なく，受講者の数に応じて演習システムを拡大できる． 2023年7月までに，学生及び社会人合わせて745名が演習システムを用いた演習を受講した．演習システムの学習効果をテストやアンケートを用いて評価した結果，学習効果が確認できた．

2C1-3

プライバシーバジェット$\budget$の決定にデータ提供者の意思を反映させるにはどうすればいいか？：文献調査，問題整理と一提案 ○小野元(情報通信研究機構) 、紀伊真昇(NTT社会情報研究所): 差分プライバシーはデータ利用の場面でのプライバシー保護の強度を測る定義で,その脆弱性の水準をプライバシーバジェットと呼ばれる非負の実数値で管理する．近年,プライバシー保護の強度を差分プライバシーで管理する実例も増えつつある．こうした実例では利用と保護を両立できるとデータ利用者が考えるバジェットを選択している．しかし,どのようなバジェットを望むかは個々のデータ提供者ごとに異なるはずであり,リスクを被らない利用者がそれを決定するのは不健全である．我々は提供者自身によるバジェットの決定プロセスへの介入がこの問題の解決法だと考え,その実現への課題をリスクアセスメント,リスクマネジメント,リスクコミュニケーションそれぞれの観点から検討する．その後,リスクコミュニケーションのためのツールを別分野で普及しているツールと比較しながら検討する．研究者やエンジニア等の専門家だけでなく,非専門家のデータ提供者の意思もデータ利用の枠組みに組み込むことで,差分プライバシーが広く社会に受け入れられることを目指して問題提起と提案を行う．

2C1-4

資産運用サービスをAIに任せるか，人に任せるか？〜アンケート調査による考察〜 ○島成佳(長崎県立大学/独立行政法人情報処理推進機構) 、竹村敏彦(城西大学/独立行政法人情報処理推進機構) 、小川隆一(独立行政法人情報処理推進機構) 、佐川陽一(独立行政法人情報処理推進機構) 、前島肇(独立行政法人情報処理推進機構): 近年，投資初心者や若者世代を中心として，AIが投資のアドバイスや運用を行ってくれるサービスが注目を浴びている．このサービスは「ロボアドバイザー」と呼ばれ，個人の投資に対する考え方や年齢，収入等に関する情報を専門家が考えたAIアルゴリズムを使って分析し，その内容を反映した投資プランを個人に代わって資産運用を行うものもある．ロボアドバイザーは，従来，資産運用の専門家が行っていた作業をAIに任せるといったものになる．本研究では，2023年9月に実施したアンケート調査によって収集した個票データを用いた分析を通じて，個人が資産運用サービスを利用する際，AIに任せたいのか，資産運用の専門家に任せたいのか，という選択問題に注目し，その選択に影響を与えている要因との関係について分析した．その結果，「年齢」「株式等の保有（の有無）」「投資の考え方」「（AIに対する）ポジティブイメージ」が「資産運用サービスをAIに任せたい程度」に正の影響を，一方で「（AIに対する）ネガティブイメージ」が負の影響を与えていることがわかった．そして，「金融知識」の多寡は「資産運用サービスをAIに任せたい程度」に影響を与えないことも確認できた．

2C2-1

ランダム直交行列を用いた秘密鍵による音声のプライバシー保護法への攻撃に対する頑健性 ◎丹羽祥子(東京都立大学) 、塩田さやか(東京都立大学) 、貴家仁志(東京都立大学): 本論文では，ランダム直交行列に基づいた秘密鍵を用いたプライバシー保護手法の頑健性に関する研究を行う．近年，クラウドサーバー上に機械学習モデルや音声データを保存することが増えているが，サーバー上に保存されたデータは漏洩する危険性がある．したがって，音声データをクラウドサーバー上にアップロードする前にプライバシーを保護することが重要になっている．このような背景から，筆者らは畳み込みニューラルネットワークを含んだ音声分類タスクのためのランダム直交行列に基づいた秘密鍵を用いた音声のプライバシー保護手法を提案してきた．提案手法では音声に含まれる話者性や発話内容を秘匿することができるが，安全性評価が不十分であった．本稿では，提案手法の秘密鍵に対する安全性評価と暗号化された音声に対する位相復元攻撃に対する頑健性の調査を行っている．実験により，暗号化に用いる秘密鍵の鍵空間が大きいほど安定したプライバシー保護性能が得られることや，提案手法を用いて暗号化された音声情報から原音声にほぼ復元できないことが確認された．

2C2-2

決定木へのk-匿名性とl-多様性の適用 ◎伊藤優策(東京情報大学) 、王立華( 国立研究開発法人情報通信研究機構) 、野島良(立命館大学) 、早稲田篤志(東京情報大学): 我々は SCIS2023 において学習済みの決定木についてプライバシー保護の観点から評価を行い,情報の漏えいが生じることを示した．また,決定木に k-匿名化に相当する手法を適用することで，一部の情報漏えいを防げることを示した．本稿では決定木からの情報漏えい対策として k-匿名化に相当する操作に加え，l-多様性に相当する概念を決定木に導入し,その l-多様性をみたす決定木の作成方法を提案する.また, いくつかのデータセットを用いて実験を行い, l-多様性適用前に存在した情報の漏えいを防ぐことができることを示す．

2C2-3

プライバシー保護へ向けた適応的連合クラスタリングの提案 ◎柴寛人(金沢大学) 、満保雅浩(金沢大学): 近年、連合学習が様々な領域で用いられており、クライアントのデータからモデルを生成するが、クライアントが保有するデータ分布は不均一である場合が多い。このデータの不均一性に対応するため、連合学習に階層型クラスタリングを組み合わせるPACFLという手法が考案されている。 PACFLでは、各クライアントが保有するデータセットから得られるPrincipal anglesの類似度と、データセットごとに事前に定めたクラスタリング閾値によりクラスタ数を定めている。しかし、クラスタリング閾値はデータセットの種類や分布によって異なるため、データごとの最適なクラスタリング閾値を求める必要がある。そのため、本論文ではPACFLにおいてクラスタ数を適応的に推定することで、事前にクラスタリング閾値を定める必要がない手法とする。またPACFLでは、学習情報のプライバシが考慮されていないため、プライバシ保護のための手法を施す。

2C2-4

割当問題における中央サーバの不正とその検証に関する検討 ○中村徹(KDDI総合研究所) 、磯原隆将(KDDI総合研究所): リソース割当やマッチングなどの意思決定を支援するサービスが普及している．典型的には，中央サーバが存在し，参加者は自身の好みを中央サーバに申告し，中央サーバは割り当て結果やマッチング結果を出力する．参加者は中央サーバが公平性や合理性などの，望ましい性質を満足する結果を出力することを期待する．ここで，中央サーバが参加者が期待している性質を持つ結果を提供すると詐称し，実際にはそのような性質を持たない結果を出力する不正について考える．参加者がプライバシ上の観点から，自身の好みを他者に開示しない場合，不正を検証することは困難な場合がある．既存研究では，準同型暗号を用いた，プライバシを保護しながら不正を検証するフレームワークが提案され，双方向マッチングにおける安定性を題材として適用が検討された．本研究では，割当問題について注目する．割当問題では，公平性や合理性といった観点から，様々な望ましい性質が提案，および議論されている．ここで，割当問題に対し，プライバシを保護しながら不正を検証するフレームワークを適用する価値があるかどうかを検討したい．そこで，割当問題における既存の性質をいくつか取り上げ，中央サーバによる詐称が可能であるか，効率の良い検証アルゴリズムがあるか，といった観点から整理を行い，フレームワークを適用する価値のある性質を探索する．

2C3-1

大学のWebサイトで公開される電子文書から漏洩しうる情報の調査・分析 ◎長谷川太一(東京電機大学大学院) 、高木泉希(東京電機大学大学院) 、齊藤泰一(東京電機大学) 、佐々木良一(東京電機大学): IPAが公表する情報セキュリティ10大脅威において，組織への標的型攻撃が毎年のようにランクインしており，標的型攻撃は問題となっている．特定の組織を狙う標的型攻撃では，攻撃者は攻撃の足がかりにするための脆弱な箇所を知ろうと情報収集を行う．攻撃者は組織内に侵入することなくインターネット上から情報を取得することができる．攻撃者の情報収集の手段の一つに組織がWebサイトで公開する電子文書の利用がある．PDFやWordのような電子文書にはメタデータが存在する．公開するつもりではなかった氏名やメールアドレス，ソフトウェア情報などをメタデータとして含む状態で電子文書がインターネット上で公開される可能性がある．本稿では，我々は日本の大学，数十校を対象にPDFファイル，Microsoft Officeファイルを収集し，国公立／私立および学生数を基準としたグループごとにメタデータについて比較調査を行った．調査の結果，PDFファイルにおいてメタデータに文字列を含むファイルの割合が最も高いのは私立の中規模グループであった．Microsoft Officeファイルでは国公立の小規模グループが最も高かった．

2C3-2

WordPressプラグインで発生するrace condition脆弱性 ◎長島小楠(東京電機大学大学院) 、宮地麟(東京電機大学) 、髙木泉希(東京電機大学大学院) 、齊藤泰一(東京電機大学): WordPressは, 世界で最も利用されているコンテンツ管理システム（CMS）である. オープンソースソフトウェアとして開発が行われており, サイトの見た目を変更するためのテーマやプラグインが数多く提供されている. これらによる拡張性と自由度の高さが特徴となっている. しかし, それらのテーマやプラグインは, 誰でも開発を行うことが可能であり, セキュリティ的な問題を内包している場合が存在する. race condition脆弱性は, 複数の処理が共有資源にアクセスした際に, 競合状態になることで想定外の処理が起こる脆弱性である. これにより許可されていないデータへのアクセスやデータベースの不整合, ファイル内容の破壊などの問題が生じることが知られている. また, XSSやCSRFなどの著名な脆弱性に比べ, プラグイン開発者には知られておらず対策が十分にされていないことが推測される. それを踏まえ, 本稿では, WordPressプラグインのrace condition脆弱性を対象に調査を行った. 調査の結果, 確認された脆弱性の傾向とその原因および対策方法について議論する.

2C3-3

Proof of Workを用いた検証可能なデバイスフィンガープリントの一提案（その2） ◎天笠智哉(静岡大学) 、奥村紗名(静岡大学) 、榎本聖成(静岡大学) 、大木哲史(静岡大学) 、西垣正勝(静岡大学): デバイス内の静的・動的な特徴の組み合わせを用いることで，デバイスを識別するデバイスフィンガープリントという技術がある．認証・認可・アカウンティングなどの用途に供されるが，既存手法には改ざんが容易であるという課題が残る．そこで本稿では，Proof of Work (PoW)を利用したデバイスフィンガープリントを提案する．PoWとは「ある水準の作業をある一定の時間をかけて行ったことを明らかにするプロトコル」であり，PoWの実行時間を特徴量とすることで，攻撃者は「自身の所持するデバイスの性能を超える特徴量」を提示することができない．また，PoWは「求解は困難だが，その検証は容易である」という一方向性を有するため，フィンガープリントの真正性の検証が可能となる．提案手法は，マルチコアCPUのデバイスを対象として，各CPUコアにおけるPoWの実行時間と実行回数を特徴量としたフィンガープリントを実現する．ここで，PoWが確率的なアルゴリズムであることや，OSや他プロセスの動作状況に影響を受けることから，各コアのPoWの実行時間と実行回数は変動する．この問題に対し，PoW，OS，他プロセスを原因とする特徴量変動を抑制する対策をそれぞれ検討する．

2C3-4

Discord上のサイバー犯罪に対するChatGPTを利用した情報収集システム ◎川口大翔(横浜国立大学大学院環境情報学府) 、Yin Minn Pa Pa(横浜国立大学大学院先端科学高等研究院) 、吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院) 、松本勉(横浜国立大学大学院環境情報研究院/先端科学高等研究院): 近年，SNSを利用した詐欺や犯罪が増加している．特にDiscordというプラットフォームでは，多くのユーザと簡単に交流することができ，若い世代を中心に利用者数が増加している．しかし，認証情報や違法薬物の販売，詐欺といった犯罪が行われているケースがあり，Discord運営による利用規約違反のサーバの削除件数も増加している．だが，招待リンクがインターネット上の様々な場所に存在することや，非公開グループへのアクセスが複雑であること，メッセージ量が多く，スラングの使用により悪質なコンテンツの特定が難しいという問題があり，Discordで行われている悪質な活動の特定が難しい．これらの問題に対処するために，本研究ではDiscord上のサイバー犯罪に対する情報収集システムを提案する．このシステムは外部ソースから招待リンクを収集し，ChatGPTを利用して情報が収集対象であるかを判断し，メッセージを収集する．このシステムで収集した情報を分析することでDiscord内の犯罪の実態を調査する．

2C3-5

Webページの構造変化に対するロバストなWebスクレイピングの検討 ○片山貴大(株式会社日立製作所) 、西嶋克哉(株式会社日立製作所): インターネット空間に存在する多様な情報は，現代社会において必要不可欠となっており，OSINTやAIなどの分野においても重要な位置づけとなっている.このようなインターネット空間に対して, ウェブページから必要な情報を抽出するウェブスクレイピング技術が存在する. 当該技術は膨大な情報が存在するインターネット空間の情報を活用する上で重要であるが，同じウェブページを対象に継続的にウェブスクレイピングを実施する場合，ウェブページの構造に変化が発生するとその時点で抽出に失敗してしまう問題がある. 本稿では，継続的なウェブスクレイピングの課題であるウェブページの構造変化を対象とした調査および課題への検討結果を示す.1042サイトを対象とした調査を実施し，調査期間中にページの構造情報が全ウェブサイトにおいて変化が発生していること,および構造の半分以上が変化するウェブページが9.19%存在することを確認した. 加えて検討の中で継続的な収集が失敗される24要因を特定し，その中の12要因に対応可能な技術を提案する.これらのウェブサイトで発生していたの阻害要因に対して, 9割以上の精度で阻害要因が発生した場合においても収集が継続できることを示す.

2C4-1

フィッシングに用いられる手法の分類とそれに基づくフィッシングURL警告プラグインの提案 ◎小嶋彬彦(長崎県立大学) 、岩永有未(長崎県立大学) 、加藤雅彦(長崎県立大学): フィッシングメールによる個人情報や金銭の窃取といった被害は現代社会において非常に深刻な問題である．フィッシングメールには受信者が正規のものであるように誤認する事を意図した「フィッシングURL」が用いられている場合が多く，そのパターンは時間ともに多様化している．このフィッシングURLの多様化に迅速に対応することは現状では非常に困難である．この課題に対応するため本稿ではフィッシングURLに用いられる手法を分類し，それを基に作成した検知機構を開発する．また一方で検知した結果を利用者に伝達するフィッシングURL警告ツールにおいて，現状の製品にはユーザが必要な情報を十分に提供できていないという課題が存在する．この課題を解消するため，先の検知機構の結果よりユーザがフィッシングURLの危険性を理解するために必要な情報を簡潔に提供する警告プラグインを提案する．実際に作成したこれらのシステムに対してJPCERT/CCから提供されている「Phishurl-list」に含まれているURLを用いて評価を行い，フィッシングURLの検知とその情報がブラウザ上に表示される事を確認した．

2C4-2

視覚的類似性とホワイトリストに基づくフィッシング検知 ◎武藤圭汰(佐賀大学) 、廣友雅徳(佐賀大学) 、白石善明(神戸大学): フィッシングサイトの件数は増加傾向にある．その要因として，ダークウェブ上でのフィッシングキット販売やPhishing as a Service(PhaaS)の登場により，攻撃者が容易に正規サイトに類似したフィッシングサイトを作成できるようになったことが考えられる．フィッシング攻撃への対策として，フィッシングサイトとして報告されたURLをブラックリストに登録する，ホワイトリストを用いてアクセスできるサイトを制限すること等が挙げられる．しかし，ブラックリストを用いた対策はドメイン名を頻繁に変えることで回避され，ホワイトリストを用いた対策は一般のサイトへの自由なアクセスができない．本稿では，正規サイトとフィッシングサイトの視覚的類似性に着目し，アクセスしたサイトの画面をキャプチャ，登録された正規サイトの画面と比較を行うことで「正規サイトかフィッシングサイト」と「一般のサイト」に分類する．その後，前者のみをホワイトリストでフィルタリングすることでフィッシング攻撃を検知するシステムを提案する．

2C4-3

Cloak-Bench：大規模言語モデルによるセキュリティ分析の定量的評価方式 - フィッシングキットのクローキング検出への応用 ◎中野瑠人(神戸大学大学院) 、山田明(神戸大学大学院) 、班涛(国立研究開発法人　情報通信研究機構) 、高橋健志(国立研究開発法人　情報通信研究機構) 、小澤誠一(神戸大学大学院): 大規模言語モデル（LLM）の発展に伴い，セキュリティ分析へのLLMの応用が進んでいる．しかし，正解ラベルを持つデータセットが存在せず，分析結果を定量的に評価できないという課題がある．本稿では，フィッシングキットにおいて実装されるクローキングを対象に，LLMを用いた検出モデルの定量評価方式Cloak-Benchを提案する．提案方式は，独自に収集したフィッシングキットと公開ソースコードにクローキング種別ラベルを付与したデータセットを使用し，検出精度を適合率，再現率およびF値で評価する．また，検出モデルの説明能力についてもLLM-as-a-judgeというアプローチによる定量評価を行う．この評価では，記述的正確性，人間との一致度，関連性，論理的整合性の4つの基準を用いる．提案方式の有効性を検証するため，33件のフィッシングキットと37件の公開ソースコードを使用し，計11種のクローキング技術を評価した．その結果，プロンプトエンジニアリングを施した二つの異なるモデルに対する評価により，提案方式が複数のモデルに対して透明かつ一貫した評価基準で，検出精度と説明能力を定量的に評価できることを確認した．

2C4-4

大規模言語モデルを用いたフィッシング標的ブランド名の特定 ◎渡邉龍星(株式会社エヌ・エフ・ラボラトリーズ / 早稲田大学 / 株式会社gin) 、三村守(防衛大学校) 、松木隆宏(株式会社エヌ・エフ・ラボラトリーズ) 、森達哉(早稲田大学/NICT): フィッシング攻撃は情報セキュリティに対する重大な脅威として存在し続けている．これを阻止するために，多くのフィッシング検知，フィッシング標的ブランド名の特定手法が提案されている．標的ブランド名の特定は，フィッシング脅威動向の把握，検知器訓練用データセット作成などに活用可能であり，重要なテーマである．既存の多くの標的ブランド名の特定手法において，機械学習モデルが活用されている．しかしながら，それらのモデルはブランドリストに依存して最適化されるため，ブランドリスト変更時に再訓練が必要となり，運用コストが大きい．本研究では，大規模言語モデルをブランド名の抽出に特化させ，標的ブランド名の特定に応用するフレームワーク BrandSpotter を提案する．BrandSpotterの抽出タスクはブランドリストに依存せず，再訓練の必要がない．実験では，異なるブランドリストで構成されるデータセットを使用し，モデルの構築と標的ブランド名の特定の精度を評価した．実験の結果，BrandSpotterはブランドリストが訓練時と異なる場合も，95.8％の正解率で標的ブランド名の特定を行えることを確認した．

2D1-1

Anonymous Credentialsにおけるユーザ秘密鍵の更新 ○山本暖(株式会社インターネットイニシアティブ) 、須賀祐治(株式会社インターネットイニシアティブ) 、佐古和恵(早稲田大学): Anonymous Credentialsは、ユーザが特定の属性をもつことを匿名で証明可能とする技術である。ユーザは、自身の属性と秘密鍵に対して発行者の署名がなされたクレデンシャルを取得する。ゼロ知識証明を用いることで、クレデンシャル内の属性および署名を隠して匿名性を確保しながら、検証者による検証を可能とする。同時に、ユーザは秘密鍵の知識を証明することで、クレデンシャルの正当な所有者であることを示す。秘密鍵の漏洩は第三者による不正利用に繋がるため、ユーザは速やかに現行クレデンシャルを失効するとともに、秘密鍵とクレデンシャルの更新を行うことが求められる。Updatable Anonymous Credentials(CCS'19)はクレデンシャル内の属性を匿名で更新可能にするが、秘密鍵はその対象外となっていた。本稿では、秘密鍵の更新時にのみ使用される「更新鍵」の概念を導入し、更新鍵をもつユーザ本人のみが秘密鍵とクレデンシャルの更新を可能にする「ユーザ秘密鍵更新可能Anonymous Credentials」を提案する。

2D1-2

SezDis Sealing -- a Short, Efficient, and Zero-Storage Distributed Sealing Scheme ○Haochen Kotoi-Xie(Kotoi-Xie Consultancy, Inc.): We propose a distributed sealing scheme, dubbed "SezDis Sealing," that has a short seal size, is efficient in terms of computation, and requires no extra storage per seal. We use the term "sealing" to refer to the similar but different idea from digital signature. In a sealing scheme, only the "verifying party" (who may possess some privileged information) but not the general public (possessing zero privileged information) is required to be able to verify the validity and genuity of a seal. To be attributed as a "distributed sealing" scheme, we additionally required that more than one sealing party can operate autonomously (i.e., without communication) and that at least one verifying party can operate autonomously (i.e., without obtaining additional information) on a seal generated by a sealing party that may not be itself (i.e., who may not possess all privileged information of the verifying party). In this paper, we describe the generic construction of our distributed sealing scheme _SezDis Sealing_ and list its provable security properties. We then give a concrete construction that should provide more than 112-bit of security with a 416-bit seal, which can comfortably be printed or displayed as a 2D barcode.

2D1-3

連結不可能選択的開示のためのデジタル署名アルゴリズムの比較 ◎堤真聖(早稲田大学) 、渡邉健(早稲田大学) 、佐古和恵(早稲田大学): 連結不可能な選択的開示は, ユーザのプライバシーを保護する概念として, Verifiable Credentialや匿名認証(Anonymous Authentication)などの技術において重要となる. そして, 連結不可能な選択的開示を実現する署名アルゴリズムの代表例として, CL署名・BBS+署名・PS署名の3つが挙げられる. これらの署名アルゴリズムは, メッセージの集合に対して署名者が１つの署名を施す. 署名されたメッセージの全集合を開示しなくても, ゼロ知識証明を活用して開示された部分集合に署名が付与されていることが検証できる. この研究ではそれらのアルゴリズムに対して，鍵生成・署名・証明の計算コスト, 秘密鍵・公開鍵・署名・証明のデータサイズ, および実行時間を比較する. また, 署名するメッセージの要素数と, 開示するメッセージの要素数に応じて, ゼロ知識証明の生成や検証にかかる時間がどのように変化するかを測定し, 効率のよい運用について考察した.

2D1-4

デジタル署名の複数ユーザセキュリティにおける帰着ロスの下限について ◎吉岡啓史(東京工業大学) 、尾形わかは(東京工業大学) 、橋本啓太郎(産業技術総合研究所): 近年，デジタル署名の安全性について，複数ユーザセキュリティが注目され，盛んに研究が行われている．Baderら(EUROCRYPT'16)は鍵再ランダム化可能な署名方式は，タイト複数ユーザセキュリティを達成できないことを示した．この不可能性を回避するため，再ランダム化ができない複数の秘密鍵が，一つの公開鍵に対応するような構成にすることで，タイト複数ユーザセキュリティを実現する署名方式が提案されている．しかし，これらの方式はすべて判定問題(DDH等)の困難性に基づいており，より弱い探索問題(CDH等)の困難性に基づく方式は未だ存在していない．本研究では，探索問題の困難性にタイトに帰着する署名方式を構築する初めの一歩として，タイト複数ユーザセキュリティを達成することが不可能である署名方式の新たな性質を明らかにする．具体的には，署名アルゴリズム実行中に生成されるランダムオラクルクエリ列の分布と，出力される署名の分布が，利用される秘密鍵によらない性質である．この結果は，タイト複数ユーザセキュリティが不可能な方式の性質をより正確にとらえており，探索問題の困難性にタイトに帰着する署名方式を構成するための有用な知見を与える．

2D2-1

MLWEとMSIS仮定ベースのTwo-round n-out-of-n 署名プロトコルの実装 ◎片岡優蔵(京都大学大学院情報学研究科社会情報学コース情報セキュリティ分野阿部・ティブシ研究室) 、ティブシメディ(NTT社会情報研究所・京都大学) 、阿部正幸(NTT社会情報研究所・京都大学): 近年，ブロックチェーンなどの新しい技術への応用が期待され，分散署名プロトコルへの関心が高まっている．しかし，近年の研究では格子問題をはじめとするポスト量子暗号に基づく分散署名プロトコルの構築，実装はほとんど注目されていない．また，現状提案されているMLWEおよびMSIS問題ベースのTwo-round n-out-of-n分散署名プロトコル(以下，DS2)はMLWEおよびMSIS問題の仮定を用いてセキュリティ証明が行われているが，実際の運用を考えると効率面での課題を残している．そこで，今回は効率改善のための準備としてDS2の実装を行い，異なるパーティ数でのプロトコル実行時間の計測，比較を行った．

2D2-2

分散 Mercurial 署名による複数権限者での Unlinkability ◎南里昌哉(京都大学) 、オクタビオケンプナ(NTT社会情報研究所) 、ティブシメディ(NTT社会情報研究所・京都大学) 、阿部正幸(NTT社会情報研究所・京都大学): Mercurial 署名は等価クラスの中で構造を維持しながら，単純なメソッドで鍵や署名の生成や匿名化することを可能したデジタル署名方式であるが，その Unlinkability は署名を発行する側と受ける側で非対称的である．そこで本研究では，先行研究で１つの Authority が保持していた署名発行者の秘密情報を複数のエージェントに切り分け，エージェントが協働して署名を発行できる構成を取り入れた分散 Mercurial 署名によって，署名発行側から検証鍵の特定を通して署名を追跡することができなくなるという Unlinkability を実現した．これは署名を発行するエージェントたちの一部が攻撃者になり変わってもセキュリティが維持される．なお署名の構成にあたっては，Mercurial 署名から鍵生成，署名，署名鍵匿名化のメソッドのみを拡張することにし，従来の方式が保証している Unforgeability を始めとしたセキュリティを維持した.

2D2-3

鍵準同型性を有するデジタル署名に基づく分散型ファジー署名 ◎大槻紗季(NEC) 、田宮寛人(NEC) 、渡辺耀仁(東京工業大学) 、肥後春菜(NEC) 、森健吾(NEC) 、安永憲司(東京工業大学) 、一色寿幸(NEC): デジタルウォレットにおけるデジタル署名の安全性を高めるために，ユーザが管理する端末とクラウドによる分散署名の利用が提案されている．分散署名を用いる場合でも，ユーザは盗難や紛失を防ぐために分散鍵を適切に管理する必要がある．本稿では，ユーザの鍵管理を軽減するため，二者分散署名における分散鍵の一つを生体情報に置き換えた分散型ファジー署名 (Distributed Fuzzy Signature, DFS) を提案する．さらに，鍵準同型性を有するデジタル署名に基づくDFSの一般的な構成法を与える．本構成法の具体例として，BLS署名に基づく構成を提示し評価を行う．

2D2-4

二者署名生成プロトコルに基づく分散型ファジー署名 ○田宮寛人(NEC) 、肥後春菜(NEC) 、一色寿幸(NEC) 、森健吾(NEC) 、尾花賢(法政大学) 、大槻紗季(NEC): 二者分散署名におけるユーザの分散鍵の管理を容易にするために，分散鍵の一つを生体情報に置き換えた分散型ファジー署名 (Distributed Fuzzy Signature, DFS) が提案されている．既存研究では BLS 署名等の鍵準同型性を有するデジタル署名方式に基づく構成法が示されているが，鍵準同型性を有しないデジタル署名方式に基づく構成法は示されていない．本稿では，加法分散鍵を用いる二者分散署名プロトコルに基づく DFS の一般的な構成法を提案する．多くのデジタル署名方式で加法分散鍵を用いる二者分散署名プロトコルが提案されているため，様々なデジタル署名方式に基づく DFS を構成できる．具体例として，電子政府推奨暗号リストに記載のデジタル署名方式であり，ブロックチェーン等で広く利用されている ECDSA に基づく構成を示す．

2D3-1

ユーザのアクセス制御可能な秘密分散を用いた秘匿検索法の検討 アフマドアクマルアミヌディン(東京理科大学) 、◎岡田薫宗(東京理科大学) 、藤沢匡哉(東京理科大学): 秘匿検索，または，検索可能暗号とは，データを秘匿化したままの状態で検索を行うことができる技術のことである．共通鍵暗号方式と公開鍵暗号方式を用いる検索可能暗号は広く研究されているが，鍵暗号を用いた検索可能暗号は計算量が膨大で，ビッグデータなどのような大量のデータベースから検索をするには非効率と考えられる．それに対して，本論文では，CSS2019及びCSEC102で報告された軽い計算量を持つ秘密分散法を用いた秘匿検索法をベースにする．秘密分散法とは，ある秘密情報を複数に異なる値（分散値）に変換する手法である．CSS2019及びCSEC102で提案された秘匿検索法では，検索者に対するアクセス制御を考慮せず，検索者が無制限に検索処理を実行することができ，正当な検索キーワードを知らなくても，全探索により正当なデータを求めることができるという問題点があった．それに対して，本論文では，許可された検索者のみが検索を行うことができる手法を提案する．また，検索者の検索キーワードをオーナに対して秘匿化したまま，オーナが検索者にアクセス権限を承認可能な秘匿検索法を提案する．

2D3-2

暗号文の生成・更新に用いる乱数の漏洩に耐性を持つ更新可能暗号 ◎谷下友一(東京大学 / 産業技術総合研究所) 、林リウヤ(東京大学 / 産業技術総合研究所) 、石井龍(東京大学 / 産業技術総合研究所) 、松田隆宏(産業技術総合研究所) 、松浦幹太(東京大学): 更新可能暗号（Updatable Encryption, UE）は，第三者に平文や鍵を秘匿しながら暗号文の更新を委託可能な技術であり，鍵の漏洩への対処として有用である．UEの標準的な安全性は，鍵や更新トークンの漏洩が発生しても，鍵更新処理と暗号文更新処理によって平文の秘匿性が保持されることを捉えている．一般に，暗号化や暗号文更新処理に用いる乱数は，鍵と同様に秘匿される．一方で鍵の漏洩は既存の安全性で考慮されているが，乱数の漏洩は考慮されていない．本研究では，更新前暗号文の生成に用いる乱数の漏洩にも耐性をもつ更新可能暗号の安全性を新たに定義する．さらに，DDH仮定のもとで新たに定義した安全性を満たすUEの具体的な方式を示す．

2D3-3

整数型準同型暗号におけるHomomorphic Linear Transformationを用いた任意二変数関数計算 ○中島明(日本電気株式会社) 、林卓也(日本電気株式会社) 、土田光(日本電気株式会社) 、杉崎行優(日本電気株式会社) 、森健吾(日本電気株式会社) 、西出隆志(筑波大学): 本稿では，整数を平文とする準同型暗号方式における任意二変数関数計算の効率化を提案する．比較的大きな平文整数に対して任意二変数関数計算を行う先行研究として，前田らの方式（WAHC’22）がある．本研究では，前田らの方式において支配的な処理である多項式評価計算を回避し，より高速なHomomorphic Linear Transformation処理に基づくテーブルルックアップを行うことで効率化を実現する．提案方式についてPALISADEを用いたC++による実装を行い，その結果を報告する．

2D4-1

検索効率の優れたマルチユーザ動的検索可能暗号 ◎櫻井真平(豊橋技術科学大学) 、中井雄士(豊橋技術科学大学) 、鈴木幸太郎(豊橋技術科学大学): 動的検索可能暗号とは暗号化されたデータベースにおけるキーワード検索を可能にする暗号技術である．本研究で扱うマルチユーザ検索可能暗号では検索を行うユーザが複数存在し, オーナがユーザごとのアクセス権限を管理する機能を提供する．Chamaniら(TDSC 2021)はオーナがデータベースの更新を行える動的なマルチユーザ検索可能暗号を提案した．しかし, 彼らの方式は検索クエリのサイズがデータベースのサイズに依存して増加する課題がある．さらに彼らの定式化ではユーザのアクセス権限に関してサーバへの漏洩を許している．本稿では, 検索クエリのサイズがデータベースのサイズに依存しない検索効率に優れたマルチユーザ動的検索可能暗号を提案する．提案方式は, Chenら(ESORICS 2021)のBestieと呼ばれる方式を基に構成される．

2D4-2

安全な正規表現検索に向けた検索可能暗号 ◎外山歩(信州大学) 、山本博章(信州大学) 、藤原洋志(信州大学): 正規表現検索は，正規表現とテキスト文書が与えられたとき，そのテキストが正規表現にマッチする文字列を含むか否かを判定する検索である．正規表現検索に対し、多くのアルゴリズムが提案されてきたが、暗号化したデータに向けた検索法に関する研究がほとんどない．本論文は、暗号化データ上での正規表現検索に対し、安全性の高い検索法を提案する．

2D4-3

検索可能暗号に対する漏洩悪用攻撃の正確な性能評価に向けて ◎甘田拓海(電気通信大学) 、並木拓海(電気通信大学) 、岩本貢(電気通信大学) 、渡邉洋平(電気通信大学 / 情報通信研究機構): 検索可能暗号 (Searchable Encryption: SE) は, 暗号化されたデータに対して, 復号することなく検索を可能にする暗号技術である. SEの特徴は, 安全性を損なわないと考えられる情報の漏洩を許す代わりに, 効率的な検索処理を行うことである. 一方で, その漏洩を悪用してSEのデータベースや検索キーワードの復元を試みる漏洩悪用攻撃の研究が進められている. 漏洩悪用攻撃では, どんな漏洩を使用し, どんなクエリを対象とするか等を適切に設定する必要があり, より現実に即した状況設定が望ましい. しかし, いくつかの既存研究では, その状況設定が攻撃者にとって有利に定められており, それらの攻撃が本来の性能より高く評価されている可能性がある. そこで本稿では, 既存のNingら (CCS 2021) の攻撃及びBlackstoneら (NDSS 2020) の攻撃において, 彼らの論文で示された実験結果が, 実際の運用時の状況と大きく異なる不自然な状況設定に基づいていることに言及し, 様々なパラメータの下で再実験を行い, 復元率に大きな差が出ることを示す.

2D4-4

格子ベース公開鍵検索可能暗号の改良 ◎篠木寛鵬(日立製作所) 、佐藤尚宜(日立製作所) 、吉野雅之(日立製作所): 公開鍵検索可能暗号（PEKS）は暗号化した状態でキーワード検索が可能な公開鍵暗号方式である．認証付き公開鍵検索可能暗号（PAEKS）はPEKSの亜種であり，PEKSではみたすことのできないトラップドア安全性を達成できる暗号方式である．本稿では，新たな格子ベースPEKSおよび格子ベースPAEKSの提案を行う．PEKSは匿名IDベース暗号から一般的な変換によって得られることが知られており，格子ベースPEKSの構成はこの変換によるものしか知られていない．特に，標準モデルで安全なLWEベース方式はAgrawalらのIDベース暗号（EUROCRYPT 2010）やその改良方式を元に構成される．また，格子ベースPAEKSで理想的な安全性をみたす方式はChengらのもの（ESORICS 2022）が唯一である．これらそれぞれの方式に改良を加えることで，提案方式ではより簡潔かつ効率的な構成を実現している．

2E1-1

IIoTを支えるアカウンタブルセキュリティの効率的実装手法 ◎阪田恒晟((株)日立製作所研究開発グループ) 、小倉貴志((株)日立製作所研究開発グループ) 、松本典剛((株)日立製作所研究開発グループ) 、安藤英里子( Hitachi Europe Ltd., European Research & Development Centre) 、ロドリゲスヴェラクリスティーナ( Hitachi Europe Ltd., European Research & Development Centre) 、長山剛((株)日立製作所クラウドサービスプラットフォームビジネスユニット): IIoT(Industrial Internet of Things)へのサイバー攻撃の脅威が顕在している.これに伴い，IoT製品を取り扱う企業はセキュリティ法規への準拠とシステム，製品の性能等を両立した妥当な対策の実施，及びそれらの対外的な説明が求められる．対策が説明可能(アカウンタブル)であるためには，「システムを構成する製品へ実装する対策の妥当性」が重要となる．本研究では，法規の要求事項を，システム，製品の性能等を制約として捉えた「制約充足問題」として解くことで，考慮すべき条件を全て満した妥当性があり，且つ製品へ実装可能なセキュアな対策を導出した．対策の導出工数を評価するため，OSSを活用したプロトタイプを作成し，対策の絞り込みにかかる探索数を5%以下に削減できることを確認した．

2E1-2

ファジングによるメモリアクセスの重複に着目したベアメタルファームウェア向け細粒度メモリ破壊検知手法 ◎舟橋和哉(名古屋工業大学) 、掛井将平(名古屋工業大学) 、齋藤彰一(名古屋工業大学): IoTデバイスの普及に伴い，システム開発者やセキュリティ解析者によるファームウェアの脆弱性解析が重要性を増している．主な脆弱性であるメモリ破壊を検知する手段としてファジングが注目されている．しかし，ソースコードの欠落したベアメタルファームウェアへのファジングに対し，発生するメモリ破壊を正確に検知する手法は確立されていない．メモリアクセスとヒープ割り当ての追跡に基づく既存のメモリ破壊検知手法は，ヒープオブジェクト内部や静的領域上の，いわゆる細粒度メモリ破壊を検知できない．本論文では，ベアメタルファームウェアのヒープ領域と静的領域を対象とし，ファジングによるメモリアクセスの重複に着目した細粒度メモリ破壊検知手法を提案する．実行時情報の収集と動的テイント解析に基づく提案手法は，解析対象のファームウェア上に存在するメモリ破壊の発生箇所とPoCを特定する．提案手法を実装し，7種の人工的なメモリ破壊を3つの実プログラムにそれぞれ注入して評価した結果，提案手法はヒープオブジェクト内部のバッファオーバーフロー検知を始めとした，既存手法では検知できない細粒度メモリ破壊の検知能力を示した．

2E1-3

フローデータを用いた最適なIoTデバイス機種推定モデルはどれか？〜既存研究調査と比較実験〜 ○奥井宣広(KDDI総合研究所) 、中原正隆(KDDI総合研究所) 、窪田歩(KDDI総合研究所): IoTデバイスの普及が進むにつれて，脆弱性を持つ多数のデバイスがインターネットに接続され，セキュリティの脅威となる可能性がある．この脅威への対策として，接続されているIoTデバイスの機種を推定し，脆弱性があるIoTデバイスを検出することが有効なセキュリティ対策と考えられる．IoTデバイスの機種推定手法として，通信データであるフローデータを用いる手法が研究されている．機械学習や深層学習の発展に伴い，限定的な条件下ではあるが，高い推定精度が報告されている．しかし，これらの研究成果を導入する際には，最適な推定モデルの選定が必要となる．この選定には，2つの課題が存在する．第一に，研究の実装が公開されていない場合，論文から再現可能な実装を行うことは困難である．第二に，異なる特徴量を用い，異なるデータセットで実験が行われているため，論文の実験結果から最適な手法を選択することが困難である．本研究では，フローデータを用いたIoTデバイス機種推定に関する既存研究を調査し，再現可能な手法を選出した．さらに，特徴量などの条件を統一した上で複数のデータセットを用いて実験を行い，結果を議論した．

2E1-4

物理状況を考慮したセキュリティ対策に向けて　～サイバー・フィジカル連携型セキュリティ基盤の提案～ ◎中原正隆(KDDI総合研究所) 、杉山敬三(KDDI総合研究所) 、奥井宣広(KDDI総合研究所) 、小林靖明(KDDI総合研究所) 、窪田歩(KDDI総合研究所) 、清本晋作(KDDI総合研究所): Beyond 5G以降、サイバー・フィジカルの融合が進んでいくに伴い、サイバー攻撃がフィジカル空間に与える被害も大きくなっていくと考えられる。例えば、ネットワークから情報を受け取って自動走行するモビリティが攻撃を受けた場合、衝突などの事故につながる危険性がある。このように、サイバー攻撃によるフィジカル空間への影響は対象となるデバイスやその周辺状況、利用シーンを踏まえて評価する必要がある。そこで、著者らはデバイス近傍で得られる情報を用いてサイバー攻撃のフィジカル空間への影響を評価し、セキュリティ対策をサポートするアーキテクチャを提案している。提案アーキテクチャにおいては、近傍で得られる様々な情報をセキュリティ対策に活用する際のデータ変換が必要である。本稿では、近傍で得られる情報をセキュリティ対策に活用できる形へデータ変換する際の考え方を整理し、サイバー攻撃がフィジカル空間へ影響を与えるシナリオにおけるユースケースを通して基盤の有用性を検討する。

2E2-1

プロトコルファジングによるトロイ化IoT機器におけるトリガーベースの振る舞い検出手法 ◎戎恒司(岡山大学大学院自然科学研究科) 、中嶋彩乃(デロイトトーマツサイバー合同会社) 、高田雄太(デロイトトーマツサイバー合同会社) 、熊谷裕志(デロイトトーマツサイバー合同会社) 、神薗雅紀(デロイトトーマツサイバー合同会社) 、山内利宏(岡山大学学術研究院環境生命自然科学学域): トロイ化したIoT機器は，ネットワーク経由で受け付けた攻撃者からのコマンドにより，サイバー攻撃に加担したり，自らを停止，破壊したりする．正常なIoT機器に対して，このような特定の条件に基づく悪性な挙動（トリガーベースの振る舞い）を引き起こす機能が含まれていないか特定することは重要である．本研究では，トリガー条件を満たすためにプロトコルファジングをIoT機器に適用し，トリガーベースの振る舞いを検出する手法を提案する．具体的に提案手法は，IoT機器のポート状況や接続ネットワークを監視する環境を構築するとともに，その環境下で正常な機器とトロイ化した機器の二つに対してプロトコルファジングを適用し，ファジング結果を観測，比較することによりトリガーベースの振る舞いを検出する．本手法の評価では，1.異常通信，2.再起動，3.ポートの開閉の三種類のトリガーベースの振る舞いを模擬したコードをIoT機器に実装し，提案手法がこれら振る舞いを検出できることを示す．

2E2-2

Channel Key Regeneration Mechanism with Low Communication Overhead Based on Physical Layer Technologies ◎Hong Zhao(Aizu University) 、Chunhua Su(Aizu University): Securing wireless device communication in the Internet of Things (IoT) is crucial and widely acknowledged. Presently, using physical layer data to create lightweight channel keys is common. Yet, most methods focus on key establishment for single sessions, neglecting the complex needs of key generation and renewal in multiple sessions. This paper presents a new lightweight channel key update method, utilizing information from successful key generation. The design includes a linear feedback shift register to enhance the randomness and security of updated keys. This aims for a dynamic, secure channel key management framework in IoT communications.

2E2-3

IoTデバイス向け軽量電子証明書フォーマットの評価 ○磯部光平(セコム株式会社 IS研究所): 処理性能や通信環境に制約のあるIoTデバイスにおいても、暗号化や認証による通信やデータの保護が求められている。IoTデバイスに対する要求は、安全性のほかに優れたUXの確保や低速な通信帯域下での効率的なデータの送受信も存在する。これらの要求を両立するためには、暗号鍵を伝送するフォーマットである証明書の軽量性が求められる。本稿では、IETFで標準化されている4種類の電子署名付きメッセージフォーマットを対象に証明書として利用した際の軽量性や適合性の評価を与える。評価の結果、バイナリエンコーディングにCBOR形式を用いた証明書フォーマットが軽量性に優れることを確認した。IoTデバイス間の相互認証をユースケースとして、UXに影響を与えるBLE通信のフラグメントの発生条件と証明書サイズの検討を行い、フラグメント防止において、C509形式の証明書が適合することを確認した。

2E2-4

医療機器向けパッチ管理手法の提案 ◎山内克哉(株式会社日立製作所) 、山内知奈津(株式会社日立製作所) 、矢戸晃史(株式会社日立ハイテク) 、井手口恒太(株式会社日立製作所): 近年，医療分野では利便性や医療の質の向上を目的に，医療機器のネットワーク接続が進んでいる．一方，医療機器に対するサイバー攻撃は増加しており，米国を始めとする各国規制当局では，サイバー攻撃を防ぐため医療機器に対するサイバーセキュリティの要求事項を掲げている．日本では，2023年4月に厚生労働省により医療機器に関連する基準が改定され，医療機器の脆弱性を修正するパッチを管理および適用する技術の需要が急速に高まっている．医療機器はリリース時に薬事承認が必要であり，パッチが医療機器に影響を与える場合，追加の薬事承認が必要である．本研究では，薬事承認にかかる時間を削減するため，パッチが医療機器に影響を与えず追加の薬事承認なしで即時適用可能か，適用できる場合はどの医療機器に対して適用可能かを判定するパッチ管理手法を提案した．提案手法により，パッチを管理する医療機器メーカだけでなく，医療機器のユーザもパッチの適用判定が可能となる．提案手法を利用する場合と手動の場合で，適用判定で扱う情報の数や検索回数を変化させた際の所要時間を比較し，提案手法の有用性を示した．

2E3-1

CANリバースエンジニアリングにおける低計算量トークン化手法の提案 ◎金森健人(株式会社セキュアイノベーション) 、上村孔明(株式会社セキュアイノベーション) 、鉢嶺光(株式会社セキュアイノベーション) 、倉地亮(名古屋大学大学院情報学研究科): 車載ネットワークで一般的に使用されるプロトコルであるCANにおけるペイロードの値の格納方法は車種やOEM毎に異なる．そのため，汎用的な異常検知システムの構築やサードパーティ製の自動運転システム搭載のためにリバースエンジニアリングの研究が行われている．CANに対するリバースエンジニアリングはペイロード内に含まれる複数のシグナルを抽出するトークン化，各シグナルを具体的な意味のある情報に変換するトランスレーションの2段階に分かれる．トークン化では，シグナルが取り得る開始位置と終了位置の全てのパターンに統計計算を行い閾値を用いてシグナルを抽出する最適化手法と，ビットフリップレート(BFR:Bit Flip Rate)を基に抽出する手法が提案されている．最適化手法は計算量が高くなってしまい，BFRを基にした手法は時系列を考慮できないという課題がある．そこで，本研究では事前にシグナルの性質を調査し，性質毎に最適化手法とBFRを基にした手法を使い分けるアルゴリズムを提案する．正解率および処理時間の観点で評価を行い，それぞれの手法を単体で使うより対象毎に使い分けることでの有効性を確認した．

2E3-2

OBD-II 診断プロトコルを利用した相関分析によるCAN リバースエンジニアリングの完全自動化に向けた考察と検証 ◎上村孔明(株式会社セキュアイノベーション) 、金森健人(株式会社セキュアイノベーション) 、鉢嶺光(株式会社セキュアイノベーション) 、倉地亮(名古屋大学大学院情報学研究科): 自動運転車やコネクテッドカーの普及に伴って，ネットワークを介した車両に対するサイバー攻撃が数多く報告されている．そのため，OEM等，自動車製造に関わる企業だけではなく，車載向けサードパーティ製品の開発を行う関連会社に至るまで，サイバーセキュリティの脅威への対応に迫られている．車載セキュリティの強化のためには，必要に応じて車載ネットワーク上を流れるシグナルの解析が求められるが，一般的にシグナルの情報はOEMによって秘匿されており，サードパーティ製品の開発担当者や研究者は車載ネットワークをリバースエンジニアリングして情報を得る必要がある．本研究では，一般的に車載ネットワークに用いられる通信プロトコルであるCANを対象に，車両の診断を行う際に用いるOBD-II診断プロトコルを利用したリバースエンジニアリングを行う上で，相関分析を用いる手法に焦点を当てて，分析を正確に行うための条件を考察した．その結果，CANシグナルが取る値の種類の大きさが，相関分析の結果に大きく影響を及ぼすことを明らかにした．

2E3-3

車載器における耐タンパー技術技術探索 ○小野華(株式会社アイシン) 、倉地亮(名古屋大学) 、土居元紀(株式会社アイシン) 、前田和輝(株式会社アイシン): 近い将来として, SW更新によるSW流通拡大やOBD車検などにより, 自動車の持つデータやそのSWを堅牢に守れることが必要となってくる. このような背景から, 耐タンパー技術の車載器への適用を拡大する必要が出ている. 本研究では, 既存の耐タンパー技術や実装攻撃の分類を活用し, 車載器への適用状況を整理した. その上で, 車載器における制約や今後の車載器に求められる機能要件を整理した. 本研究を起点とし, 将来, 車載器に必要となる耐タンパー技術を見出す.

2E3-4

密度比推定アルゴリズムを用いたサイバー攻撃の予兆検知手法 ◎橋本龍一(パナソニックホールディングス株式会社) 、佐々木崇光(パナソニックホールディングス株式会社): コネクティッドカーに対するサイバー攻撃事例が報告されている。これを受け、自動車に対するサイバー攻撃を検知する手法が広く研究されている。しかし、従来の攻撃検知手法はサイバー攻撃の発生を検知するものであり、攻撃への対応はサイバー攻撃の発生後にしか行えなかった。一方、サイバー攻撃の発生前にその予兆を検知できれば、サイバー攻撃に対する事前対策を講じることができ、攻撃による被害の軽減が期待できる。そこで本稿では、密度比推定アルゴリズムを用いたサイバー攻撃の予兆検知手法を提案する。初めに、サイバー攻撃の予兆の一つとしてマルウェアの感染活動があることを示し、次に、通信観測データ分布に対して密度比推定アルゴリズムを適用することで、この感染活動の有無を判別できること、すなわち、マルウェアに起因するサイバー攻撃の予兆検知が可能であることを示す。次に、ダークネット上の通信観測データを用いた予兆検知手法の性能評価実験を行い、最後に、提案した予兆検知手法がマルウェア感染活動以外の予兆に対しても適用可能性があることを示す。

2E3-5

自動車のデジタル・フォレンジック・レディネス向上に向けた考察 ○片山隆成(警察大学校) 、倉地亮(名古屋大学) 、佐々木崇光(パナソニックホールディングス株式会社) 、黒﨑雄介(警察大学校): 電子機器に残存する電磁的記録について，その証拠的価値を損なうことなく取り扱う方法や手続をデジタル・フォレンジックと呼ぶ．自動車に対するセキュリティインシデントが発生した場合，その事実，手法等を明らかにするためには，自動車におけるデジタル・フォレンジックが必須であるところ，そもそもセキュリティインシデントを解明するための電磁的記録が残存している必要がある．さらに，電磁的記録の保全，抽出方法の確保等も必要となる．しかし，それらの指針を明確に示したものはない．今後，起こり得るセキュリティインシデントを見据え，記録されるべき情報の選定等の事前準備，すなわち，デジタル・フォレンジック・レディネスが必要である．そこで，本稿では，自動車におけるデジタル・フォレンジック・レディネス向上に向け検討を行った．まず，自動車に対するセキュリティインシデントに段階を設け，どの段階まで解明可能かを示す指標Verifiability Levelを定義した．次に，抽象化した車載システムモデルを設定し，攻撃プロセスを事象ごとに分析し，各事象で記録されるべき情報を明確化した．最後に，各Verifiability Levelを満たすために必要な情報を整理し，今後の課題を述べる．

2E4-1

ネットワークレイヤと物理的構成を考慮したソフトウェア定義型自動車を構成するゾーンアーキテクチャのリスク分析 ○川西康之(住友電気工業株式会社) 、西原秀明(産業技術総合研究所) 、吉田博隆(産業技術総合研究所) 、山本秀樹(住友電気工業株式会社) 、井上博之(京都産業大学): 今後自動車システムはソフトウェア定義型自動車(SDV)になると考えられる．ゾーンアーキテクチャにソフトウェア定義型ネットワーク(SDN)を適用し，ユースケースに応じた柔軟な運用が可能になる．Zone ECUやSDNコントローラ等のネットワーク機器が連携し，運転支援等の機能を実現する一方で新たな脅威が生まれてくる．従来のドメインアーキテクチャでは，各機能に携わるECU間でのみ通信路を共有していたが，SDVでは機能に依らず多くのECUが同じ通信路を共有するため，通信路への攻撃が多くのサービスに波及しうる．さらにOTA(Over The Air)のリスクも増大する．本論文ではSDVの分析対象モデルを考案し，ISO/SAE 21434 TARA準拠のリスク分析を行った． SDVにより，SDNコントローラ，Zone ECU，Central ECU等，攻撃による損害を受けた時の深刻度が重大になる機器が追加されたが，脅威は従来の自動車システムに対するものと同様と結論が出た．即ち，長距離無線通信， OTA，およびダイレクトアクセス攻撃のそれぞれを経由した重要資産に対する攻撃が，引き続き重要脅威となる．

2E4-2

車載システムにおけるCAPECの攻撃経路分析や攻撃可能性評価への活用 ◎前田和輝(株式会社アイシン) 、倉地亮(名古屋大学) 、土居元紀(株式会社アイシン) 、小野華(株式会社アイシン): 近年,車両システムに搭載される電子部品の増加や車外との通信により自動車に対するサイバー攻撃が危惧されている. そのため製品を脅威分析してセキュリティ対策を実施することが必要だが,車両システムの変化に伴い脅威の変化や増加をしており, 様々な脅威の想定が難しいといった課題がある.この課題に対して,CAPEC などの公開されている脅威情報のデータベースを活用することにより担当者のレベルになるべく依存しない脅威分析の方法が必要になる. そこで本研究では,CAPEC に記載されている情報を用いて, 攻撃経路分析では攻撃手段の前後関係を用いた経路の特定や優先順位づけを行う.また,攻撃可能性評価ではCAPECからCWEを介して繋がるCVE のCVSS 値による算出方法を提案する.これらの一連の提案手法の検証を行い、車載システムの脅威分析の課題を示す.

2E4-3

ISO/SAE 21434対応に向けた要求の曖昧さの定量化と具体化 ○倉地亮(名古屋大学) 、佐々木崇光(パナソニックホールディングス株式会社) 、氏家良浩(パナソニックホールディングス株式会社): 自動車のサイバーセキュリティ強化に向けて，国際標準規格 ISO/SAE 21434 への対応が求められている．ISO/SAE 21434 は自動車のサイバーセキュリティ強化を実現するために，様々な要求が定義されているものの，多岐に渡るステイクホルダが要求を正確に理解するには知識レベルや専門性に異があるため，解釈を間違える可能性があることが問題である．より具体的には，自動車の開発現場においては広く分業制が敷かれており，多様なステイクホルダが存在し大規模な分散開発が実施されている．このため，各開発者が国際標準規格 ISO/SAE 21434 の要求の解釈を間違えてしまわないようにすることこそ自動車開発におけるサイバーセキュリティ強化の成功の鍵を握ると考える．このため，本研究ではソフトウェア要求仕様書に対する品質特性を用いて，国際標準規格 ISO/SAE 21434 の曖昧さの定量化を行い，解釈が難しい要求がないかを第 3 者インスペクションにより点検した．その上で，解釈が難しいかもしれない曖昧な要求に対して幾つかの改善パターンを検討し，適用することで要求を具体化した．この結果，具体化された要求がその品質特性を改善することができた．

2E4-4

自動車の電子制御システムにおける信頼度モデル確立手法の提案 ○倉地亮(名古屋大学) 、高田広章(名古屋大学) 、上田浩史(株式会社オートネットワーク技術研究所): 自動車のサイバーセキュリティに対する脅威を検出するために，自動車内の電子制御ネットワーク上の異常検知手法の重要性が増してきている．特に重要とされるのは，自動車内に配置された制御用コンピュータであるECUが攻撃者により乗っ取られることで，様々な脅威が実現されている．しかしながらその一方で，乗っ取られたECUの異常を検出するための手法については十分議論されていないことが問題である．そこで本研究では，各ECUの信頼度モデルを用いたECUの乗っ取り検出手法について提案する．提案手法では，各ECUが互いに監視しあうことにより，その異常なふるまいを検出することを目的とする．本論文では提案手法が乗っ取られたECUやそのシステムの異常を検出できる能力があることを示す．

2F1-1

SuperSonicを用いたグリッチPUFの定量的評価 ◎竹本修(名城大学) 、濵口晃輔(名城大学) 、野崎佑典(名城大学) 、吉川雅弥(名城大学): 産業デバイスがインターネットに接続するスマートファクトリーでは，ネットワークを経由したサイバー攻撃や，物理的にアクセスすることによるサイドチャネル攻撃や不正デバイスとのすり替えなどの脅威が存在する．堅牢なシステム構築のためには，通信処理ごとの暗号化と定期的な認証が重要である．そこで，本研究では低遅延ブロック暗号をベースとした物理的複製不可能関数（PUF）を提案する．提案手法では，暗号アルゴリズムにSuperSonicを，PUFの機構にグリッチPUFを採用している．SuperSonicは，代表的な低遅延暗号PRINCEで指摘されている計算量的安全性と耐タンパ性の課題を解決し，セキュアで低レイテンシな暗号化処理を実現する．また，低遅延実装したSuperSonicの組合せ回路で生じるグリッチをPUFのID生成に利用することで，実装面積とレイテンシのオーバーヘッドを抑えて認証回路を実現する．

2F1-2

Arbiter PUFを用いた暗号鍵の生成(1) - マルチスレッショルド型アービターを用いたPUFレスポンスの安定化 - ◎是安祐希(立命館大学) 、大山達哉(立命館大学) 、渡辺壮柾(立命館大学) 、堀洋平(国立研究開発法人　産業技術総合研究所) 、片下敏宏(国立研究開発法人　産業技術総合研究所) 、藤野毅(立命館大学): IoT機器に固有の秘密鍵を生成する手段として，Physically Unclonable Function (PUF)のレスポンスを利用するシステムが提案されているが，鍵生成のためにはPUFの誤ったレスポンスの除去または訂正をする必要がある．本研究ではFPGA上に実装したArbiter PUFの不安定なレスポンスを除去するためのマルチスレッショルド型アービター手法を提案する．さらに出力にReed-Muller符号を用いた軽量なFuzzy Extractorを導入して誤り訂正をすることで，テストコストや回路面積の増加を抑えた鍵生成回路の実装ができることを示す．Arbiter PUFの出力を安定化するためには，2つのセレクタ経路から出力された遅延時間差が小さいレスポンスを除去することが必要である．この手段として，2つの経路をFPGA上で距離を置いて配置し，経路出力の中間の適切な位置にArbiter回路となるDFFを3つ配置した．3つのDFFの出力が一致するチャレンジのみを選択して，中央に配置したDFFの出力を使用することで安定なレスポンスを取得できる．提案手法を使用することで，128bit鍵を安定に生成するためのFEの誤り訂正能力を低減できたことを示す．

2F1-3

Arbiter PUFを用いた暗号鍵生成の検討(2) - Fuzzy Extractorに対するサイドチャネル攻撃の評価と対策 - ◎渡辺壮柾(立命館大学) 、福田悠太(立命館大学) 、大山達哉(立命館大学) 、吉田康太(立命館大学) 、藤野毅(立命館大学): IoT機器などのリソースに制限のあるデバイスに固有の秘密鍵を生成するために，Physically Unclonable Function（PUF）を用いた鍵生成回路が提案されている．IoT機器のセキュリティ脅威として，サイドチャネル攻撃が存在する．2018年と2022年のHWS研究会にて我々は，PUFレスポンスの誤りを訂正するFuzzy Extractor（FE）回路内のReed-Muller符号が処理する符号語によって消費電力傾向が異なることを示し，Zero-Value DPA( Differential Power Analysis )を行うことでPUFレスポンスの推定が可能であることを示した．本稿では，PUFレスポンスを用いて鍵生成を行うことを目的として，FPGA上にArbiter PUFおよびFEを実装した現実的な環境下においてサイドチャネル攻撃評価を行った結果を報告する．実験では，未対策回路に対しては10万波形ほどでレスポンス窃取可能であることを示す．また，FE回路へのサイドチャネル攻撃対策として提案されている符号語マスキング対策を施した回路に対しても攻撃評価を行いその結果を報告する．

2F1-4

Arbiter PUFを用いた暗号鍵生成の検討(3) - Reverse Fuzzy Extractorへのサイドチャネル攻撃の検討ｰ ◎大山達哉(立命館大学) 、福田悠太(立命館大学) 、渡辺壮柾(立命館大学) 、藤野毅(立命館大学): IoTデバイスに固有の鍵を生成するために，Physically Unclonable Function(PUF)のレスポンスを用いた鍵生成が提案されている．PUFのレスポンスの誤りを訂正して鍵を生成するFuzzy Extractor内の誤り訂正回路に対し，動作時の消費電力や漏洩電磁波等のサイドチャネル情報からレスポンスを推定するサイドチャネル攻撃がこれまで議論されてきた．本稿では，PUF側に誤り訂正回路を実装しないことでPUF側の回路コストを削減して誤り訂正を行うReverse Fuzzy Extractor(RFE)へのサイドチャネル攻撃の検討を行った．実験では，PUF側に実装されるヘルパーデータ生成回路をFPGAに実装しサイドチャネル攻撃の評価を行った．結果として，公開情報であるヘルパーデータごとに消費電力波形を分類することでレジスタ値の遷移によって発生するハミング距離リークが見られた．このリークによってヘルパーデータ上でレスポンスをマスクしている符号語を推定でき，RFEを用いた場合であってもサイドチャネル攻撃が脅威となることを示した．

2F2-1

色彩を指向した知覚不能な敵対的サンプルとその安全性評価 ◎熊谷瞭(名城大学) 、竹本修(名城大学) 、野崎佑典(名城大学) 、吉川雅弥(名城大学): 深層ニューラルネットワーク（Deep Neural Networks, DNN）を利用した人工知能（Artificial Intelligence, AI）システムは社会の至るところでその応用が進んでいる．しかし，AIシステムが普及する中で，その脆弱性が指摘されている．その1つに，入力に悪意のある加工を施すことでシステムに対し誤動作を誘発させる敵対的サンプル（Adversarial Examples, AE）がある．したがって，システムを安全に利用するにはAEに対する調査および評価が必要である．従来のAEの生成手法では画像の各画素におけるRGB値の変化を摂動としていた．したがって，AIに対して高い確率で判断を誤らせる強力なAEは，人間の目によって正常な画像との区別が可能であった．そこで本研究では，人間の目で知覚することが難しいAEを新たに導入し，その脅威について定量的に評価する事で，その対策を検討する．本手法では，人間の目が輝度の変化に対して鋭敏であり，色彩の変化に対して鈍感であるという特徴を利用する．画像のHSV色空間への投射を行い，摂動に対し人間の視覚の特性を反映した制限を設定することで，知覚することが難しいAEを生成する．

2F2-2

訓練データ汚染のみで垂直連合学習へのByzantine攻撃は可能か？ ◎大西健斗(三菱電機株式会社) 、中井綱人(三菱電機株式会社): 垂直連合学習は，収集する特徴量を複数のクライアント間で分担する連合学習の一種で，訓練データのプライバシー・セキュリティに配慮した学習手法として注目されている．一方で，垂直連合学習では，一部の悪意あるクライアントがAIモデルの学習を妨害し，本来得られるべき挙動を示さないAIモデルを出力させるByzantine攻撃の脅威がある．垂直連合学習に対する従来のByzantine攻撃は，学習時の中央サーバへの送信値の改ざんにより実現されるが，この攻撃は適切に送信値の改ざん検知を行うことで防止できる．本稿では，以上の条件下でも，訓練データ自体の改ざんは可能であることに着目し，攻撃者が訓練データ汚染のみで実行可能な攻撃方法の分類・整理を行った．特に，これらの攻撃の中で，訓練データの符号を反転するSign flipping attackが強力な効果を持つことを定性的に示すとともに，実際に強力な攻撃能力を持つことを実験により明らかにした．さらに，クライアントに割り当てられた特徴量に着目して比較することで，Byzantine攻撃の攻撃能力は，割り当てられた特徴量に大きく依存することを明らかにした．

2F2-3

大規模言語モデルのファインチューニング手法LoRAにおいて差分プライバシーは有効か? ◎東拓矢(三菱電機株式会社) 、中井綱人(三菱電機株式会社): 様々な産業で大規模言語モデルの活用が期待されている一方で，学習データに関する情報漏洩やプライバシーの問題が指摘されている．この問題の解決策の一つとして，差分プライバシーの適用が盛んに研究されている．最新の研究では，事前学習済みの大規模言語モデルをファインチューニングする段階で差分プライバシーを適用し，メンバーシップ推論攻撃(MIA)により学習データに関するプライバシーリスクが評価されている．昨今注目されているパラメータ効率のよいファインチューニング (PEFT)についても同様に差分プライバシーの適用が研究されているが，MIAによるプライバシーリスク評価はこれまで報告されていない．そこで，本稿では，代表的なPEFTであるLoRAにおいて，差分プライバシー適用時のMIA評価を行った．大規模言語モデルLoBERTaと代表的なベンチマークGLUEの４つのデータセットを用いた実験により，LoRAへの差分プライバシー適用がある程度有効であることをMIA評価により明らかにした．一方で，差分プライバシーの強度パラメータεを変更することによるMIA評価では，明確な差が見られなかった．以上より，LoRA等のPEFTにおける差分プライバシーの強度はMIA評価に寄与しない可能性を明らかにした．

2F2-4

グラフ対照学習に対する汎用的ポイズニング対策手法の提案と体系的評価 ◎加藤広野(KDDI総合研究所) 、長谷川健人(KDDI総合研究所) 、披田野清良(KDDI総合研究所) 、福島和英(KDDI総合研究所): グラフ対照学習（GCL）は，未知のノードの有用な埋め込み表現を取得可能な教師なしグラフ表現学習であるが，ポイズニング攻撃に対して脆弱である．そこで，本稿では，GCL に対する汎用的なポイズニング対策手法を提案する．提案手法では，GCLに対する最新のポイズニング攻撃が主に敵対的エッジを追加することで毒グラフを作成する傾向にあることに着目し，隣接行列に関する GCL の対照損失の勾配情報を用いて損失の最小化に寄与するエッジの剪定を行う．また，特徴が異なるノードが敵対的エッジによって接続されることで毒グラフが作成される傾向に着目し，隣接ノード間の特徴の類似度を剪定に利用する．6 つのデータセットを用いた実験により，提案手法は下流タスクにおけるノード分類の正解率を最先端の対策手法と比較して最大で約 5%向上できることを示す．

2F3-1

画像生成モデルの推定による汎用的なフェイク画像検出器の一考察 ◎瀬尾亮太(岡山大学大学院) 、浦晃暢(岡山大学大学院) 、舩曵信生(岡山大学) 、栗林稔(東北大学): 画像生成系AIにより作成された画像を識別する手段として，フェイクコンテンツの識別器を用いる方法が考えられる．画像の生成方法が既知であれば，学習用データセットを適切に与えて識別器を訓練させれば，高い識別精度を得ることが期待できる．一方で，この識別器における脆弱性の一つは，学習に使用した方法以外で生成された画像では，分類精度が低下することである．この対策として，本研究では画像生成方法を推定するEstimatorの導入を提案する．識別のプロセスは，最初に画像をEstimatorに入力し，その生成に使用された方法の推定を行う．その後，推定された画像生成方法に特化した識別器を用いて判定する．実験により，Estimatorは約85％ので実際に使われた画像生成方法を推定できることが確認された．さらに，信頼度の上位2つにまで拡張すると，推定精度は約94％まで向上することを確認した．識別器全体としては，約86％の識別精度でフェイク画像を識別できることを確認した．

2F3-2

悪意のある切り貼り操作による動画編集に対する防御手法の一考案 ◎笠井健太郎(岡山大学大学院環境生命自然科学研究科) 、栗林稔(東北大学データ駆動科学・AI教育研究センター) 、稲村勝樹(広島市立大学大学院情報科学研究科) 、舩曵信生(岡山大学学術研究院環境生命自然科学学域): 現在，深層学習技術を用いて精功に創造されるフェイク動画が問題となっている．その対策として，コンテンツに含まれる不自然な歪みから機械学習術を用いてフェイクかリアルかを二値判定する研究が盛んに行われている．一方，ダイジェスト版の作成に代表される正常な範囲内で動画を切り貼りするような編集において，本来の発言内容とは異なった編集動画が作成された場合には，従来の判定方法では対処できない．そこで本研究では，本来の発言内容から異なるように悪意を持って動画を切り貼りする操作に対する防御手段の考察を行う．公式な動画発信の際に特定の範囲内であれば切り取り操作を許可するような前処理を施すことで，動画の編集権は確保するが，悪意のある切り貼り操作を困難にすることを想定している．切り貼り操作によって作成された動画自体には不自然な歪みは存在しないことから，動画中の発言をテキストとして抽出し，抽出したテキストの文脈や意味関係を自動的に解釈することで防御手段の実現を目指す．生成系AIや自然言語処理モデルによるテキスト解析を用いて，動画の趣旨が変更されていないかを判定するアプローチの実現可能性を確かめた．

2F3-3

ストレージとメモリのアクセスパターンを用いた振る舞い型ランサムウェア検知システム：ハードウェアの違いが与える影響の分析 ◎河根範明(豊田工業高等専門学校専攻科情報科学専攻) 、平野学(豊田工業高等専門学校情報工学科) 、小林良太郎(工学院大学情報学部): ランサムウェアはファイルを暗号化して復号を条件に身代金を要求するマルウェアである．Berruetaらはランサムウェア検知ツールをその入力によって局所静的，局所動的，ネットワークのいずれかに分類できることを示した．我々の先行研究ではハイパーバイザから得たストレージアクセスパターンとメモリアクセスパターンを局所動的データとし，深層学習モデルでランサムウェアを検知するシステムを評価した．本稿では先行研究のデータセットを拡張し，12パターンのマシン環境でランサムウェアを実行させ，アクセスパターンを収集した．そして拡張したデータセットを用いてハードウェアの違い，すなわちCPU，メモリ周波数，メモリ容量が深層学習を用いたランサムウェア検知に与える影響を分析した．実験から深層学習の検知精度に最も影響する要素はCPUであり，一方，メモリ周波数とメモリ容量の違いによる影響は小さいことを確認した．特に性能が低いCPUのデータセットで訓練した深層学習モデルは，性能が高いCPUの振る舞いをテストデータとした時に検知精度が低下する傾向があることを確認した．本稿では最後に振る舞いを用いたランサムウェア検知システムおいてどのようにデータセットを構築すべきかを考察する．

2F3-4

敵対的生成ネットワークを用いた標的型回避攻撃の振る舞い型ランサムウェア検知システムへの適用 ◎河合柊哉(豊田工業高等専門学校専攻科情報科学専攻) 、平野学(豊田工業高等専門学校情報工学科) 、小林良太郎(工学院大学情報学部): 機械学習のサイバーセキュリティ分野への利用が進んでいるが，同時に機械学習モデルに対する回避攻撃，ポイズニング攻撃，メンバーシップ推論攻撃などの影響が懸念されている．例えば，Hu と Tan は機械学習を用いたブラックボックス検知器に回避攻撃を実行する敵対的生成ネットワークMalGANを提案した．MalGANはマルウェアが利用するAPIコールの有無を示すバイナリ特徴量を利用し，回避攻撃が可能なマルウェアの特徴量を自動的に生成するニューラルネットワークである．一方，我々の先行研究ではランサムウェアの振る舞いを集めたデータセットを構築し，機械学習モデルで既知のランサムウェアをFスコア0.99で検知した．本稿はこのデータセットで訓練した機械学習モデルに対して MalGAN による回避攻撃が可能かを検証する．本稿では新たに標的型回避攻撃，すなわち特定のランサムウェア検体の特徴量を，攻撃者が標的とする良性プログラム（例えば暗号化プログラム）の特徴量に近づける敵対的生成ネットワークを提案，評価する．最後にMalGANによる標的型回避攻撃の実現可能性と対策手法について考察する．

2F3-5

未経験を克服可能な対照学習に基づく自律的ネットワーク脆弱性検査の提案と体系的評価 ◎長谷川健人(KDDI総合研究所) 、披田野清良(KDDI総合研究所) 、福島和英(KDDI総合研究所): 脆弱性検査における機械学習応用として，強化学習を用いる手法が近年研究されている．強化学習を用いて脆弱性検査のエージェントの行動選択を最適化することで，脆弱性検査の行動の効率化が期待される．しかしながら，強化学習を用いた脆弱性検査では，エージェントと環境が相互作用するシナリオを設計する作業や，相互作用を通じた学習のための時間が必要のため，十分な数のサンプルを学習するのが難しい課題がある．そのため，比較的少ないサンプルであっても未経験のシナリオに対応できるよう汎用的な方策を獲得する方法が必要となる．本稿では，強化学習を用いた自律的な脆弱性検査における方策モデルの一部に対照学習を利用して事前学習することで，未経験を克服し汎用的な方策を獲得する手法を提案する．提案手法では，強化学習において環境の状態表現を獲得するための状態エンコーダを，あらかじめ対照学習を用いて最適化する．強化学習のためのシナリオとは独立して対照学習に用いるデータセットを生成することで，比較的短時間での準備が可能となる．対照学習により事前学習した状態エンコーダを，脆弱性検査の方策モデルに導入することで，モデル全体を最適化する．評価実験の結果，対照学習を用いない場合と比較して，提案手法は学習していないシナリオに対する脆弱性検査の効率性を改善し，最大90%以上ステップ数を削減できることを確認した．

2G1-1

シンプルな白色干渉計を用いたナノ人工物メトリックシステムにおける空間周波数フィルタリングの有効性 ◎宮本岩麒(横浜国立大学) 、岩橋虎(横浜国立大学) 、吉田直樹(横浜国立大学) 、吉岡克成(横浜国立大学) 、松本勉(国立研究開発法人産業技術総合研究所): 人工物メトリクスは，人工物固有の特徴を用いて当該人工物を認証する技術である．当該人工物の正当な製造者ですら再現困難な特徴を用いることが可能であるため，人工物メトリクスでは，贋物（クローン）の受理されにくさを示す「耐クローン性」を極めて高くできることが期待される．先行研究により，電子線リソグラフィにおける電子線レジスト・ピラーの倒壊現象を利用したナノメートルオーダーのランダムな凹凸構造をシンプルな（単純な構成の）白色干渉計を用いて計測するシステムにおいて，ハイエンドで高度な白色干渉計を用いたシステムと比較しても，照合精度と耐クローン性においてほとんど劣らないようにできることが実証された．また，白色干渉計を用いるシステムにおいて，空間周波数フィルタリングが耐クローン性向上に有効であることが示されている．本報告では，シンプルな白色干渉計を用いたシステムにおいて，空間周波数フィルタリングがシステムの照合精度と耐クローン性にどのような影響を与えるのかを検証し，特定の空間周波数フィルタリングを画像に前処理として施すことにより，システムの耐クローン性を向上できることを，実験的に示す．

2G1-2

歩行周期間におけるゆらぎ画像列を用いた歩行者年齢推定 ○上條元彌(法政大学) 、新村文郷(成蹊大学) 、村松大吾(成蹊大学) 、内田薫(法政大学): 歩容には個人性のある特徴が含まれており，生体認証の一つのモダリティとして多くの研究がなされ，実用化が進んでいる．歩容認証は画像認識に基づく技術で，対象となる人物の一歩行周期分のシルエットを用いる手法が主流である．しかし歩行は完全な周期運動ではないため，シルエットは周期間でゆらぎが生じる．著者は理学療法や歩行分析の観点から，このゆらぎが成長や加齢に伴う歩容の変化と関係があると考えた．そしてゆらぎは歩行シルエットに基づく年齢推定において，一つの特徴として活用できるのではないかと考えた．そこで本研究では，複数の歩行周期を利用し，周期間の歩き方の変動で生じる空間的なゆらぎを年齢推定に利用することを提案する．空間的ゆらぎは，二つの歩行周期間で得られる歩行シルエットの差分画像列として表現する．この差分シルエット画像列で学習した特徴抽出器を用いて年齢推定を行い，推定精度を評価する

2G1-3

ExpressionAuth: アバター表情ブレンドシェイプを用いたVR生体認証方式の提案 ◎Jitpanyoyos Tussoun(静岡大学) 、佐藤佑哉(静岡大学) 、前田壮志(静岡大学) 、西垣正勝(静岡大学) 、大木哲史(静岡大学 / 理研AIP): 近年，技術的な進歩によりヘッドマウントディスプレイ（HMD）が普及しつつある．一方で，HMD装着時のユーザ認証は，デバイスの信頼性において重要な役割を果たすにもかかわらず，多くの課題が残されている．ハンドコントローラーを用いた従来の認証はユーザビリティが低く，第三者からの覗き見攻撃に対し脆弱である．本研究では，HMD装着時の表情特徴を用いた行動的生体認証ExpressionAuthを提案する．ExpressionAuthは，HMD利用者のフェイストラッキング情報を取得することで，ユーザの表情変化の個人性を利用して認証を行う．本稿では，ExpressionAuthの第一歩として，笑顔を利用した認証手法を実現し，その有効性を評価する．提案手法は，ハンドコントローラーなどのデバイスの操作が不要であり，HMDは顔の上部を覆うため表情変化の全てを覗き見ることはできない．これらにより，ユーザビリティが高く，覗き見攻撃に対して頑健な認証の実現を目指す．

2G1-4

共分散pivot選択と平均順位インデックスを用いた1対多掌紋認証におけるＮ位認証率改善 ○松下雅仁(三菱電機株式会社) 、梶原聖矢(静岡大学) 、大木哲史(静岡大学) 、西垣正勝(静岡大学): 1対多型生体認証では，認証処理時間短縮に向けて様々な提案がなされている．その一手法であるpivot（基準データ）と順列インデックスを用いる1対多認証において，インデックス生成方法ならびにpivot選択方法の改良によりN位認証率を改善し，処理時間を短縮する手法を検討した．従来手法では順列インデックスについて，登録時に取得する複数の生体情報から生成した照合スコア順列のうち，他の照合スコア順列との距離の総和が最短となるものが本人特徴空間内で最も中心に近い照合スコア順列であると考え，これを当該登録者のインデックスとして選択していた．これに対し本稿では，より本人の中心に近い照合スコア順列を得るため，複数の照合スコア順列から各pivotに対する本人内平均順位を求め，その平均順位値をインデックスとする手法を提案した．また従来方法では，主成分分析により作成したpivot群のうち，第一主成分から上位一定数のpivotを認証に用いていた．これに対し本稿では，pivot群のうち，登録時に取得する複数の本人生体情報との照合スコア分散は小さく，かつ他人生体情報との照合スコア分散は大きいpivotを登録者毎に選択する手法を提案した．結果，N位認証率の改善が確認できた．

2G2-1

漏えい耐性を有する高次暗号鍵変換スキームの提案とその評価 ○上野嶺(東北大学) 、本間尚文(東北大学) 、井上明子(NEC) 、峯松一彦(NEC): 本稿では，サイドチャネル攻撃対策として，証明可能安全な漏えい耐性を有する高次暗号鍵変換 (Rekeying) スキームLR4を提案する．d次LR4は，d個のカウンタ値と一時秘密鍵をランダムオラクル (RO) でd回繰り返し評価することで一時鍵を導出する．LR4は，GGM PRF, 漏えい耐性PRFや漏えい耐性暗号化スキーム asakey (ACM CCS 2022)と同様に，出力値は決定木構造で表現される．一方で，LR4は，現実のサイドチャネル攻撃を表現した新たな漏えいモデルに基づいており，同モデルでは同一暗号鍵でm回まで共通鍵プリミティブを安全にコールできると仮定する．これにより，LR4は，暗号鍵変換の機能要件に特化しつつ証明可能安全性を達成する．結果として，LR4は，実装コストの観点から，既存の(LR-)PRFやasakeyと比較して極めて効率的（最大数千倍の遅延あるいはメモリ量削減）に暗号鍵変換を実現する．さらに本稿では，LR4への攻撃成功確率が与えられた値よりも小さくなることが保証される波形数 m を情報理論的に決定する方法を提案する．数値評価の結果から，LR4は，現実的な条件下で，安全にコール可能な暗号化回数を指数的に増大させることを確認する．

2G2-2

TI-AESに使用する擬似乱数生成器の物理安全性への影響 ◎原田優咲(電気通信大学) 、塚原麻輝(電気通信大学) 、宮原大輝(電気通信大学) 、李陽(電気通信大学) 、原祐子(東京工業大学) 、崎山一男(電気通信大学): 暗号ハードウェアへの物理攻撃のひとつに，暗号化処理中の物理情報を利用するサイドチャネル攻撃が存在する．この攻撃への対策として，乱数を導入することで中間値とサイドチャネル情報の相関をなくすThreshold Implementation (TI) が存在する．TIでは，サイドチャネル攻撃耐性を実現するために，暗号化処理中の毎クロックで多くの新鮮な乱数が必要であり，乱数生成コストが課題である．本研究では，TI-AESで使用する擬似乱数生成器の使い方，及びアルゴリズム自体を変更して，TVLAや相関電力解析を用いてサイドチャネル攻撃耐性を比較する．これにより，TI-AESに求められる乱数の要件や，適した擬似乱数生成アルゴリズムを検討する．

2G2-3

Implementation of Multiplicative Masked AES S-Box for M&M Scheme ◎Kaiyuan Li(The University Of Electro-Communications) 、Haruka Hirata(The University Of Electro-Communications) 、Daiki Miyahara(The University Of Electro-Communications) 、Kazuo Sakiyama(The University Of Electro-Communications) 、Yang Li(The University Of Electro-Communications): Masks & Macs (M&M) is a secure encryption scheme that combines masking and redundancy to defend against side-channel attacks (SCA) and differential fault analysis (DFA). However, the use of redundancy and the implementation with Boolean-masked AES incur an area overhead greater than 2.5 times, as well as a high requirement for randomness per round. In this paper, we employ a novel multiplicative masking scheme in the AES S-Box for the M&M scheme. According to an early-stage evaluation, a drastic reduction in both area and randomness overhead is observed in our S-Box implementation for the M&M-AES. This scheme, featuring the Kronecker delta function, effectively addresses the zero-input issue, a common vulnerability in multiplicative masking. It demonstrates the potential for significantly reducing overhead without introducing new vulnerabilities.

2G3-1

フォールトを用いたTEEバイパス攻撃への対策の実装評価 ○梨本翔永(三菱電機): 異常な信号挿入・照射により誤動作を引き起こすフォールト攻撃は，脆弱性のないアプリケーションに対してもセキュリティホールを作り出し，強制的に論理攻撃を成立させ得る．CHES2022 では，セキュアな実行環境 (Trusted Execution Environment: TEE)を，コンテキストスイッチで生じるソフトウェアによる TEE 設定変更を狙って攻撃する方法が報告された．さらに、このような TEE バイパス攻撃に対して完全な攻撃耐性を持つジャンプアドレスマスキング (JAM) と呼ばれる対策も、同文献で提案された．SCIS2023 では，本アイデアを具体化し，RISC-V Keystone に実装した．本稿では，TEE バイパス攻撃対策となり得るランダム遅延，冗長化，メモリ暗号化を実装し，JAM と比較評価した結果を示す．実験では，メモリ使用量の解析と，実機上での動作時間計測及び EM パルスによるフォールト攻撃耐性評価を行った．結論として，JAM の実行時間の増加は 170%程度に抑えられており，攻撃を完全に防ぐことが出来る対策としては現実的であることが分かった．ランダム遅延と冗長化は3～7%の確率で攻撃が成功することが，メモリ暗号化は実行時間が 630,000%以上増加することが欠点であることが分かった。

2G3-2

高シェア数状況下でのt検定による安全性評価の有効性について ◎胡宇暘(電気通信大学) 、宮原大輝(電気通信大学) 、崎山一男(電気通信大学) 、李陽(電気通信大学): ISO/IEC 17825に基づき，サイドチャネル攻撃への対応としてWelchのt検定が用いられている．しかし，Standaertらの先行研究では，シェア数を増やして分割した場合，t検定による安全性が実際よりも過大に見積もられる可能性があることが指摘されている．本稿では，シェア数が大きい場合のt検定において，有意差を検知するために必要な波形数が増加する問題について，シミュレーションを通して分析を行う．さらに，先行研究で提案された平均化処理が，高シェア数状況下でも同様の問題を引き起こすことを明らかにする．そして、新たな識別方法として外れ値を用いたアプローチを提案する．シミュレーションの結果，ノイズが小さい条件下においては，外れ値を用いることで，必要な波形数はシェア数に依存が少なく，少ないサンプル数でも識別が可能であることが明らかになった．

2G3-3

故障感度情報を用いたt検定によるAESハードウェアの安全性評価 ◎古野亨紀(電気通信大学) 、佐藤泰雅(電気通信大学) 、平田遼(電気通信大学) 、宮原大輝(電気通信大学) 、李陽(電気通信大学) 、崎山一男(電気通信大学): スマートフォンや IC カードに用いられる暗号ハードウェアに対する物理攻撃は，深刻な脅威である．物理攻撃には，クロックグリッチやレーザーなどを用いるフォールト攻撃や，電磁波や消費電力を観測することで行うサイドチャネル攻撃が知られている．電力解析攻撃に対する安全性として広く用いられているWelch のt検定（TVLA）は，フォールト攻撃に対する安全性評価には使われていない．そこで，本研究では，フォールト攻撃の安全性基準の確立や，設計者のフォールト攻撃に対する安全性評価の一手段として，故障感度情報を用いたTVLAを新たに提案する．ケーススタディとして，物理攻撃対策が施されたAES暗号ハードウェアを用いて，提案する評価手法の有効性を示す．

2G3-4

WL-CSPパッケージMOSFETへのレーザー照射の基礎評価 ◎箕田高己(電気通信大学) 、菅原健(電気通信大学): 小型化への要求により，半導体チップをプリント基板に直接実装する方式（WL-CSP: Wafer-Level Chip-Scale Package）が普及しつつある．そのような実装方式は，光を遮蔽するパッケージを持たないため，外部光の影響を受けて誤作動することがある．例えば，Raspberry Pi がカメラのフラッシュに反応して再起動を引き起こすXenon Death Flash現象が知られている．これを意図的に行えば，パッケージ開封を伴わないレーザーフォールト攻撃に発展する可能性がある．そこで，現象理解のための基礎実験を行った．トランジスタ（MOSFET）が単体で実装されたWL-CSPチップにレーザー照射を行い，光がトランジスタに与える基礎特性を計測した．

2G3-5

電気化学式センサへのレーザーを用いたシグナルインジェクション攻撃 ◎田中樹(電気通信大学) 、菅原健(電気通信大学): レーザー光を照射することで，種々のセンサに誤情報を挿入するシグナルインジェクション攻撃の脅威が指摘されている．従来の攻撃の対象は，専ら半導体かMEMSチップに限定されていた．それに対し本稿では，新たに，電気化学現象を利用したセンサも，レーザー照射に感度を持つことを示す．特に，一般に市販されている電気化学式センサであるストリップ型血糖値センサを対象にケーススタディを行う．この種のセンサは，使い捨てストリップを対象の溶液に浸して利用する．ストリップには酵素が塗られており，糖の酵素反応によって生じる電荷を介して溶液中の糖の濃度を計測する．溶液中に浸したストリップに対して青色レーザーを照射する実験を行い，センサに照射する光量によってセンサ読み取り値を操作できることを示す．上記の実験結果は，レーザーが電気化学反応を促進することを示している．

2G4-1

SDRを用いたMCUに対するサイドチャネル攻撃テスト ○今中良史(株式会社 ECSEC Laboratory) 、山屋賢司(株式会社 ECSEC Laboratory): サイドチャネル攻撃において、波形データ採取は通常オシロスコープが用いられる。広帯域で高分解能のオシロスコープは高価であり、さらにオシロスコープの制御や波形データ転送などのオーバーヘッドにより波形採取に時間を要していた。一方、新しいラジオ受信機であるSDR(Software Defined Radio)は低価格にもかかわらず、広帯域をカバーし、高感度で高分解能を有し、実時間で波形データを採取できるため、サイドチャネル攻撃に適していると考えられ、いくつかの実験事例もある。今回、SDRを用いたサイドチャネル攻撃の有用性を確認することを目的として、MCUにソフトウェア実装したAES暗号に対するサイドチャネル攻撃実験を行うことにした。MCU近傍にアンテナを設置してSDRで採取した波形データを解析した結果、AES鍵を抽出することに成功した。

2G4-2

Covert channel formation using Virtual memory Allocation/Free via laptop ◎Hyeonjun An(Kookmin University) 、Jaeseung Han(Kookmin University) 、Dong-Guk Han(Kookmin University): A covert channel is a channel that sends data in secret in a way that only certain receivers and senders know. Among the research on covert channels using electromagnetic waves, a study formed a covert channel by confirming that strong electromagnetic waves come out near the clock frequency of DRAM when allocating and releasing virtual memory. However, there is a disadvantage in that it is inconvenient to form a covert channel because strong electromagnetic waves come out only in a fixed place. In order to address the weaknesses of the previous paper, this paper proposes creating covert channels through virtual memory allocation or release via laptops. In addition, two new preprocessing techniques are proposed to match the characteristics of electromagnetic waves because the bit transmission success rate is lowered when using the preprocessing techniques of existing studies. To verify the proposed preprocessing technique the performance is verified by comparing the preprocessing of previous studies with the preprocessing method of this paper. As a result, the signal with a bit transmission success rate of 58.75% in the earlier studies was raised to a bit transmission success rate of 100% through the preprocessing technique proposed by this paper to verify its excellence.

2G4-3

スクリーミングチャネルから漏洩した情報を用いた物理認証システムの提案 野村麻友(電気通信大学) 、◎迫琉奈(電気通信大学) 、松川侑生(電気通信大学) 、宮原大輝(電気通信大学) 、李陽(電気通信大学) 、崎山一男(電気通信大学): 物理情報を用いた新たな認証方式として，暗号ハードウェアの漏洩電磁波を用いるサイドチャネル認証が提案されている．暗号演算中に変化する物理量はデバイスの持つ秘密鍵に依存するアナログデータであるため，リレー攻撃等のなりすまし攻撃対策として効果があると考えられている．一方で，先行研究で用いているサイドチャネルからの漏洩電磁波は，デバイスから数ミリメートル程度の範囲でしか取得できない．このため，サイドチャネル情報を用いた認証システムの応用範囲は限定的といわざるをえなかった．そこで本稿では，スクリーミングチャネルを用いて，暗号ハードウェアの遠距離からでも認証を可能とする新たな物理認証システムを提案する．スクリーミングチャネルは，ミックスドシグナルを処理する電子部品による情報漏洩経路である．暗号化処理中の電気的変化がスクリーミングチャネルを経由して，無線通信機能によって数メートル離れた場所でも確認できるとの報告がある．本稿では，これまで鍵復元攻撃に特化していたスクリーミングチャネル研究を認証システムに応用する．

3A1-1

同種写像グラフ上のサイクル探索による同種写像求解法の高効率化 ◎神戸祐太(三菱電機株式会社) 、片山瑛(立教大学) 、相川勇輔(東京大学) 、石原侑樹(東京理科大学) 、安田雅哉(立教大学) 、横山和弘(立教大学): 同種写像暗号の安全性は, 同種な二つの超特異楕円曲線間の同種写像を計算する同種写像問題の計算量的困難性に依存する. 超特異楕円曲線におけるDeuring対応により, 同種写像問題は自己準同型環計算問題への多項式時間帰着が知られている. 同種写像グラフ上のサイクル探索により自己準同型環を計算する手法がEisentragerらによって提案されている. 本発表では同種写像サイクル探索において, ランダムウォークの終了判定に用いるj不変量の集合の元の個数を標数や同種写像パスの次数に関する類数を用いて評価し, サイクル探索法の高効率化や発見サイクルの次数の最小化を通じて, 同種写像問題においてより効率的な求解が可能となる同種写像サイクルの探索手法や計算パラメータの最適化を提案する.

3A1-2

被覆攻撃の対象となる偶標数有限体上同種条件下の楕円・超楕円曲線の存在判定 ◎鐘ケ江柊子(中央大学理工学研究科情報工学専攻) 、志村真帆呂(東東海大学理工理系教育センター) 、趙晋輝(中央大学理工学研究科情報工学専攻): GHS 攻撃の一般化である被覆攻撃は, 有限体 k := F_q(q : 素数のベキ乗) の d 次拡大体 k_d := F_q^d 上定義される楕円・超楕円曲線 C_0 の離散対数問題を, k 上定義される被覆曲線 C の離散対数問題に変換する攻撃手法である. 被覆攻撃の解析は数学的に非常に難解であるため, その対象範囲は未だ完全に解明されていない.従って, この攻撃の対象となるような被覆曲線 C を持つ楕円・超楕円曲線 C_0 を完全分類し列挙することは楕円・超楕円暗号の安全性を確保するために重要な課題である.これまでに, 攻撃の対象となる奇標数拡大体上の種数 1, 2, 3 超楕円曲線暗号の完全分類が行われた. また百瀬らにより, 偶標数拡大体 k_d 上の種数 g(C_0) = 1, 2, 3 楕円・超楕円曲線 C_0 に対し, 同種条件 (g(C) = d · g(C_0)) 下での曲線の分類結果が発表された. さらに, 村井らによって分類の再検討が行われた. 本論文では, 村井らの再検討においても明らかになっていなかった曲線の存在判定と証明を与えた.

3A1-3

同種条件を満たさない被覆攻撃の対象となる偶標数有限体上の楕円・超楕円曲線の分類 ○登丸尚哉(中央大学理工学研究科情報工学専攻) 、志村真帆呂(東海大学理系教育センター) 、趙晋輝(中央大学理工学研究科情報工学専攻): 被覆攻撃とは、拡大体上定義される楕円・超楕円曲線暗号の離散対数問題を基礎体上定義される被覆曲線の離散対数問題に移す攻撃手法である。近年、攻撃の対象となる奇標数拡大体上の楕円・超楕円曲線暗号に用いられる曲線の完全分類が行われた。さらに、百瀬らによって偶標数拡大体上の楕円・超楕円曲線暗号に対して、同種条件下での曲線の完全分類が行われ、村井らによって再検討がなされた。本研究では、被覆攻撃の対象なる同種条件を満たさない偶標数拡大体上楕円・超楕円曲線のいくつかのクラスに対して分類を行った。

3A1-4

同種条件を満たさない被覆攻撃の対象となる偶標数有限体上Ordinary楕円曲線の分類 ◎上里優介(中央大学) 、志村真帆呂(東海大学) 、趙晋輝(中央大学): 有限体の拡大体上に定義された楕円・超楕円曲線を用いた暗号に対して被覆攻撃と呼ばれる攻撃手法が知られている．近年，百瀬，飯島らにより攻撃の対象となる奇標数有限体上の種数3以下の楕円・超楕円曲線の完全分類が行われた．また村井らにより百瀬らの成果を再検討し，偶標数有限体上の種数3以下の楕円・超楕円曲線に対し同種条件下の分類結果が発表されている．最近，鐘ケ江，登丸らにより同種条件を満たさない偶標数有限体上楕円曲線について，定義体の拡大次数などを限定した分類が行われた．本研究では，鐘ケ江，登丸らの分類手法を計算機上で実現し，定義体の拡大次数が9以下である，すべての同種条件を満たさない偶標数有限体上ordinary楕円曲線の分類を行った．

3A2-1

耐量子計算機暗号への移行へ向けた課題と社会実装への論点整理 ○伊藤忠彦(セコム株式会社　IS研究所): 現代社会においては，多様な情報が様々な暗号技術により保護されている．それらの暗号技術の中には，将来の量子コンピュータによって解読が可能とされる暗号，すなわち量子耐性を持たない暗号も存在する．そのような暗号技術は，暗号解読可能な量子コンピュータの登場前に，量子耐性を持つ暗号技術へ移行することが望まれる．一方で，一般に暗号アルゴリズムの移行には，時間や費用面で高いコストが要求される．特に量子耐性を持つ暗号への移行は，かつてない規模となることが想定され，入念な準備を整えた上で計画的に行うことが望まれる．本書では，それらの暗号技術への移行を効果的に行う上での課題，及び移行を助ける仕組みについて考察する．本稿は2023年11月に電子情報通信学会誌Vol.106 No.11 pp.1026-1030に掲載された記事に最新動向を加筆したものとなる．

3A2-2

Grover Searchの最適性のより簡潔な証明 ◎岡崎崚(北陸先端科学技術大学院大学) 、藤崎英一郎(北陸先端科学技術大学院大学): Grover searchの最適性の証明法の１つにZhandry's recording techniqueを用いたものがある．本論文では基底をフーリエ基底に変換したうえでZhandry's recording techniqueを用いると，証明がより簡潔になることを示す．

3A2-3

NISQを仮定した量子ワンタイムメモリの提案 ◎関井恭介(筑波大学) 、西出隆志(筑波大学): 2008年にGoldwasserらはワンタイムメモリ(OTM)と呼ばれる特殊なハードウェアの存在を仮定することで、ただ1つの入力に対してのみ実行できるプログラム(ワンタイムプログラム)が構成できることを示した。OTMは2つの値が保存されたメモリであり、一方の値を読み取るともう一方の値を読み取ることができなくなる性質を持つ。OTMはハードウェア仮定のような何らかの仮定なしには構成できないことが知られており、どのような仮定のもとでOTMを構成するかが課題となっている。Liu (ITCS'23)は敵がNISQのみを使用できることを仮定し、Wiesner状態とよばれる量子状態を用いてOTMを構成する手法を提案した。本稿ではLiuの手法を拡張し、Wiesner状態と親和性のよいWichs-Zirdelis(FOCS'17)の難読化手法を導入することでより使い勝手がよいと思われるOTMの構成手法を提案する。

3A2-4

格子によるタイトに適応的匿名性を持つコンパクトなIDベース暗号 ○冨田斗威(横浜国立大学) 、四方順司(横浜国立大学): 本稿では，格子に基づくコンパクトなIDベース暗号方式を提案する．提案方式は量子ランダムオラクルモデルでタイトに適応的匿名性を持つ．我々は，Yuらのコンパクトな近似トラップドアを用いてGentryらのフレームワークを具体化することによって提案方式を構成する．Katsumataらの証明テクニックとMeraらのイデアル格子に対する結果を組み合わせることによって，提案方式の利点を得ることができる．

3A3-1

Fp上の超特異楕円曲線グラフの全探索におけるTime-Memory Trade-off ◎柴田昌臣(東京大学大学院) 、小貫啓史(東京大学大学院) 、高木剛(東京大学大学院): 同種写像暗号は，量子計算機を用いても計算困難であるとされる同種写像問題を基にした暗号方式であり，NISTの耐量子計算機暗号標準化プロジェクトの署名方式の再公募に対して応募されたSQIsignなどがある．同種写像問題を解くための現時点で最速の古典的アルゴリズムがDelfs-Galbraith法であり，前半では二次拡大体上の超特異楕円曲線グラフの経路検索を素体Fp上に移し，後半では素体Fp上に限定したグラフにおける経路探索を行う．前半の処理についてはSantosらにより，漸近的記法を用いない形での計算量評価として，Fp上の乗算回数による見積もりが得られていた．しかし，後半については漸近記法を用いない形での時間計算量を考察した研究はない．本稿では，後半の処理について空間計算量が指数オーダーより少なくなる全探索の手法に着目した．特に，同種写像の計算回数に注目し，各次数における同種写像の計算回数の最大値に対する計算量の変化を考察した．時間計算量をFp上の乗算回数として，空間計算量を経路探索の出力の長さとして定め，それらのTrade-offの関係を評価した．その結果，SQIsignのパラメータ(NIST安全性レベルI)である254ビットの素数pに対して，空間計算量を最も小さくした場合の提案手法の時間計算量(Fp上の乗算回数)は，空間計算量に指数オーダーを許した全探索の時間計算量と比較して5倍程度となった．これにより，Delfs-Galbraith法の後半におけるFp上のグラフ探索は，254ビットの素数pに対してFpの元を80個程度保存することにより十分高速に実行できることが確かめられた．

3A3-2

B-SIDH に対する Castryck-Decru 攻撃の構成と実装 ◎吉住崚(九州大学) 、小貫啓史(東京大学) 、大橋亮 (東京大学) 、工藤桃成(福岡工業大学) 、縫田光司(九州大学/産業技術総合研究所 ): 同種写像問題に基づく鍵共有プロトコルB-SIDHは, 全体的な構造はSIDHと同じであるが, 基礎体の標数の条件が異なるため, 用いる同種写像の次数も異なる. 2022年に与えられたSIDHへの多項式時間攻撃は理論的にはB-SIDHにも適用できる.しかし, 攻撃に用いるアーベル曲面間の比較的大きな素数次数の同種写像について, 単一の写像の実装はなされていたが, それらの合成の効率的な実装は与えられていなかった.本研究では, 計算する点像の個数を削減し効率化した写像合成のアルゴリズムを構成し, 構成したアルゴリズムに基づくB-SIDHに対する攻撃を計算機代数システムMagma上で実装した.

3A3-3

超特別3次元アーベル多様体を用いたハッシュ関数の構成 ◎大橋亮(東京大学) 、小貫啓史(東京大学): Charles-Lauter-Gorenは2006年に超特異楕円曲線間の2-同種写像グラフを用いた暗号学的ハッシュ関数を提案した. またCastryck-Decru-Smithは2020年に, 超特別アーベル曲面間の(2,2)-同種写像グラフを用いたハッシュ関数を提案した. このように次元が2以下の場合には2冪次数の同種写像を計算するアルゴリズムが知られているのに対して, 一方で3次元アーベル多様体間の(2,2,2)-同種写像の計算方法は具体的に与えられていなかった. 本研究ではまず, このアルゴリズムをテータ関数を利用して具体的に与える. 次にこのアルゴリズムから, 超特別3次元アーベル多様体間の(2,2,2)-同種写像グラフによる暗号学的ハッシュ関数を構成する. このハッシュ関数は高次元アーベル多様体間の同種写像問題に対して現在最良の攻撃とされているCostello-Smith法を考慮しても, 次元が2以下の場合よりパラメータサイズを小さくできる. 最後に, このハッシュ関数を計算代数システムMagmaで実装した上, 各ハッシュ関数に対する単位ビットあたりの計算時間を比較する実験を行う.

3A3-4

SQIsign2D: 2次元の同種写像を用いた新たな署名方式 ◎中川皓平(NTT 社会情報研究所) 、小貫啓史(東京大学): 同種写像暗号は, 同種写像問題と呼ばれる数学的問題の困難性を安全性の根拠とする暗号方式の総称であり, 耐量子暗号の候補の一つとして注目されている. 代表的な同種写像暗号として, NISTの署名再公募に応募された署名方式SQIsignがある. SQIsignはNISTの署名再公募の中でも署名長および鍵長が非常に短く, 注目されている. 今年に入って, 超特異楕円曲線上の同種写像と高次元の同種写像を併用した新たな方式が多数提案されている. 中でも署名方式SQIsignHDは, SQIsignよりもさらに短い署名長を持つ. しかし, 署名検証の際に4次元の同種写像計算を行う必要がある. 本稿では, 検証を2次元の同種写像計算のみで行うことで, 検証にかかる計算コストを抑えた新たな署名方式SQIsign2Dを提案する. まず我々は, RandIsogImgと呼ばれるsmoothでない次数の同種写像計算を行うアルゴリズムの一般化を行う. そして, この一般化されたRandIsogImgを用いることで, 新たな署名方式SQIsign2Dを構成する.

3A4-1

計算機実験におけるQR-UOVの安全性評価に関する考察 ◎内田元気(防衛大学校) 、田中秀磨(防衛大学校): QR-UOV は任意の剰余環を用いた UOV の variant である．剰余環を用いることで，UOV より公開鍵サイズを小さくできる特徴がある．安全性の根拠は，連立二次多変数多項式求解問題が NP 完全であることに基づいている．これは，多変数多項式暗号における一般的な安全性根拠であるが，剰余環を用いたことによる安全性の評価は不十分である．本研究では，同じパラメータサイズで QR-UOV とUOV に対して Thomae-Wolf アルゴリズムと Hybrid approach を組み合わせた Direct attack の計算機実験を行った．実験の結果，Hybrid approach において，計算量は同等であったが，Thomae-Wolf アルゴリズムにおいて，QR-UOV は UOV より成功確率が高くなった．その結果，QR-UOV は UOV と比較して安全性が低くなることを確認した．

3A4-2

摂動の適用によるRainbowの改良方式Rainbow$^{\hat{+}}$の提案 ◎片山晴太郎(大阪公立大学) 、川添充(大阪公立大学) 、吉冨賢太郎(大阪公立大学): 多変数多項式暗号は主に電子署名方式に応用される暗号の一種であり, 耐量子計算機暗号・署名方式の一つとして期待されている. 代表的な電子署名方式にUOVやその改良方式であるRainbowがあるが, UOVやRainbowの構造上の特性を突く攻撃方法もさまざまに提案されている. 一方, 2022年にFaugereらは, UOVや多変数多項式暗号HFEにperturbationと呼ばれる摂動機構を追加することにより安全性が向上することを示した. 本研究では, 既存の攻撃に対するRainbowの安全性向上をねらいとして,Faugereらのperturbation追加の手法をRainbowに適用する方法を検討し, Rainbowの改良版としてperturbation付きRainbowを提案する.

3A4-3

UOV 多項式系に対する Rectangular MinRank 攻撃の計算量評価についての考察 ○池松泰彦(九州大学) 、古江弘樹(東京大学): 多変数多項式暗号(MPKC)は多変数連立二次方程式の求解困難性を利用した耐量子計算機暗号(PQC)である。特に, MPKCの一方式であるRainbow署名方式はNIST PQC標準化計画の最終ラウンドまで進んだ方式として注目を集めた。しかし, BeullensのSimple攻撃によりRainbowの提案パラメータが破られ, 標準化方式には採択されなかった。BeullensはSimple攻撃以外にもRectangular MinRank攻撃と呼ばれるRainbowの行列構造を利用したMinRank攻撃の一種を提案した。この攻撃はNISTの署名方式追加公募に提案されたMAYOやQR-UOVにも適用できることが古江らによって示されている。しかし計算量評価において従来手法を使った予測値と実験値にはズレがあり, 得られた計算量評価は実際の計算量の下限評価となるが, 正確な評価となるかは不明であった。そこでこの論文では, Rectangular MinRank攻撃の正確な計算量評価について考察する。特に, 攻撃に現れる二次方程式系のsyzygyを具体的に構成し, 代数的な仮定の元で付随するHilbert級数を求め, 正確な計算量評価を考える。

3A4-4

摂動付加によるCubic UOVの安全性向上についての提案 ◎黄　慶貴(大阪公立大学) 、川添充(大阪公立大学) 、吉冨賢太郎(大阪公立大学): 多変数多項式を用いる電子署名方式UOVは2次多項式を用いて鍵が構成される. UOVの改良方式としてさまざまな方式が提案されているが, その１つにCubic-UOVがある. Cubic-UOVは3次の多項式を用いて構成されるが, 2017年にHashimotoによって署名を偽造する攻撃方法が存在することが指摘された. 一方、2022年にFaugereらは, 多変数多項式を用いる暗号や署名の安全性を向上させる新たな手法として,摂動(perturbation)を多項式に付加する手法を提案し, HFEやUOVに摂動を付加した改良方式も提案している. 本研究では, Faugereらの摂動付加をCubic-UOVに適用してHashimotoによる攻撃に対して耐性のある摂動付きCubic-UOVを提案する.

3A4-5

Revisiting the security analysis of SNOVA ○Yasuhiko Ikematsu(Kyushu University) 、Rika Akiyama(Ntt Social Informatics Laboratories): SNOVA is a multivariate signature scheme submitted to the additional NIST PQC standardization project in 2023. SNOVA is constructed by importing the structure of the matrix ring over a finite field into the UOV signature scheme, and the core part of its public key is the UOV public key whose coefficients consist of matrices. As a result, SNOVA dramatically reduces the public key size compared to UOV. In this paper, we recall the construction of SNOVA, and reconsider its security analysis. In particular, we investigate key recovery attacks applied to the core part of the public key of SNOVA.

3A5-1

選択暗号文攻撃に対し安全な公開鍵暗号と検証者指定型非対話ゼロ知識証明の関係について ○松田隆宏(産業技術総合研究所): 選択平文攻撃に対して安全(CPA安全)な公開鍵暗号(PKE)と、再利用可能性と呼ばれる性質を満たす検証者指定型非対話ゼロ知識証明(Reusable DV-NIZK)を組み合わせることで、選択暗号文攻撃に対し安全(CCA安全)なPKEを構成できることが知られているが、Reusable DV-NIZKをCCA安全なPKEのみから構成できるかは知られていない。本稿では、CPA安全なPKE、CCA安全なPKE、及びReusable DV-NIZKの関係について考察し、これらの要素技術の新たな関係性を明らかにする。より詳細には、Reusable DV-NIZKに対し既存のゼロ知識性の定義を弱めた「外部者に対するゼロ知識性」の定義を導入し、CCA安全なPKEのみから、同安全性を満たすDV-NIZKを構成可能であると示す。本稿の成果の系として、「CPA安全なPKEと外部者に対するゼロ知識性を満たすDV-NIZK」の存在性は、「CCA安全なPKE」の存在性と等価であることが導かれる。

3A5-2

FuncCPA安全性とFuncCPA+安全性の関係について ◎篠﨑拓実(東京工業大学) 、手塚真徹(東京工業大学) 、吉田雄祐(東京工業大学) 、田中圭介(東京工業大学): FuncCPAとは、Akavia, Gentry, Halevi, Vald (TCC 2022)によって、準同型暗号を背景に提案された公開鍵暗号の安全性である。この安全性はCCA2安全性の復号オラクルを、暗号文の列と関数を受け取り暗号文を復号した結果に対して関数を適用し、その出力を暗号化して返答するオラクルに置き換えて定義されている。 Dodis, Halevi, Wichs (TCC 2023)により、FuncCPAよりも強い安全性としてFuncCPA+が提案され、IND-CPAを満たす方式からFuncCPA+を満たす方式を構成できることが示された。 FuncCPA+を満たす方式はFuncCPAも満たすことは示されているが、その逆は未解決問題としてあげられている。本研究ではFuncCPAとFuncCPA+は等価であることを示す。

3A5-3

公開鍵暗号ハードウェアの高位合成実装の研究 ◎吉田琉夏(公立はこだて未来大学) 、白勢政明(公立はこだて未来大学): IoT機器の急速な普及に伴い，機械学習などの高コストな計算処理が不可欠となっている．最近では，エッジコンピューティングにおいて，IoT機器での画像推論などが注目され，FPGAを用いた推論回路の一般化が期待されている．情報の安全性確保のためには，データの暗号化や電子署名が不可欠であり，この目的に公開鍵暗号技術が活用されている． FPGA内での推論データの暗号化は，攻撃者の負担を増やし，安全性を向上させることが考えられる．従来はハードウェア記述言語での開発が主流であったが近年では，ソフトウェア開発言語からハードウェア記述言語を生成する高位合成手法が存在する．本研究では公開鍵暗号における重要な処理であるべき乗算や剰余乗算アルゴリズムを複数種類実装し，べき剰余演算や楕円曲線上のスカラー倍算の処理を高位合成で実装を行う．更にSliding window法の窓幅などのパラメータを変更し，ハードウェアとして実装し，処理速度や必要リソースなどを検証する．

3A5-4

奇数シフト型ナップザック暗号への等価秘密鍵導出について ○境隆一(大阪電気通信大学) 、村上恭通(大阪電気通信大学): 奇数シフト型ナップザック暗号は，村上，笠原によって提案された公開鍵から等価な秘密鍵を導出するShamirの攻撃が困難となるように，MHナップザック暗号のような超増加性が秘密鍵にないように構成された方式である．筆者らは，ISITA2012等において，この暗号の公開鍵に対してもShamirの攻撃と同様な攻撃が可能であることを示しており，攻撃において導出した秘密のモデュロ変換の乗数wに2のべき乗を乗じた値の乗法逆数と法Nの比 (1/(2^n w) mod N) /N を暗号文に乗じて1で割った余りである中間復号文を用いて暗号文を解読する手法をSCIS2018等で提案している．本攻撃の興味深い点は，秘密の比という小数値を用いて，中間復号文が奇数か偶数かを判別するところである．これは2で割って余りが0か1かを判別することであり，これを一般化して自然数mで割って余りが0〜m-1のいずれかを判別することも可能である．本稿では，その攻撃の詳細を示し，攻撃の実効性を明らかにする．公開鍵のa1,a2,a3から秘密の比 (1/(2^(n-3) w) mod N) /N に関連する情報が得られるが，その情報から等価秘密鍵となる秘密の比(1/(2^n w) mod N) /N を得る手順の詳細を示す．

3B1-1

eltooプロトコルを用いたEthereumライトニングネットワークの手数料削減手法 ○宮部泰世(九州工業大学大学院情報工学府) 、荒木俊輔(九州工業大学大学院情報工学研究院) 、中城元臣(Chaintope Inc.): ブロックチェーンは分散性、セキュリティ、スケーラビリティのうち2つまでしか同時に達成できない「ブロックチェーンのトリレンマ」をもつ。オフチェーン決済を可能にするLayer2技術は、分散性やセキュリティを犠牲としない、スケーラビリティ問題の改善手法として期待されている。そのひとつであるライトニングネットワークでは、参加者間でブロックチェーン上に預けた資金を元に、ブロックチェーン外で資金を繰り返し再分配する。これらの正しい処理には過去の状態でcommitさせない仕組みが重要であり、ペナルティメカニズムが採用されている。一方で、イーサリアムに対するRaiden Networkは異なる不正防止策を採用しているが、決済時に4回の手数料が生じる問題がある。我々は、この解決に向け、Raiden Networkに対し、eltooプロトコルの適用を考えた。しかし、基本構造の異なるBitcoin向けのeltooプロトコルの単純なイーサリアムへの適用は困難である。そこで、eltooプロトコルを部分的に統合する方法と、Account Abstractionを用いて根本的に再設計する方法を提案する。

3B1-2

ブロックチェーントリレンマの数理的定式化 ◎中井大志(京都大学) 、廣中詩織(京都大学) 、首藤一幸(京都大学): 「ブロックチェーンにおいて，分権性，スケーラビリティ，セキュリティの3要素を同時に達成できない」というトリレンマは，2017年にEthereumの創設者の1人であるVitalik Buterinのブログで初めて紹介され，今では広く知られている．このトリレンマはブロックチェーンの性能が多く分析される中で経験的に正しいと受け入れられるのみだったが，以前の我々の研究で我々はトリレンマを表す数式を発見した．本研究では，Proof of Workを採用するブロックチェーンがその数式に従うことをシミュレーションで検証する．また，分権性がその数式中にどう現れるかを詳細に分析する．結果，シミュレーションはトリレンマを裏付け，また，既存の分権性表現の1つHHIが式中の分権性と最も強い相関を示した．

3B1-3

複数ユーザにおける効率的なクロスチェーンコミュニケーションの提案 ◎宮地秀至(立命館大学) 、山本寛(立命館大学): ブロックチェーンは分散型台帳であり，中央集権的な権威を使用せずににユーザーの情報が実行できることが期待されている．ブロックチェーンの利用者の増加に伴い，ブロックチェーンに存在する制限問題を解決するための研究が進められてきた．その一つが，異なるブロックチェーン間で情報やトークンを交換する方法であるクロスチェーンコミュニケーションである．2021年に，Zamyatinらがクロスチェーンコミュニケーションの最初の正式な定義を提唱した．これにより，クロスチェーンコミュニケーションを利用したアプリケーションの開発が容易になった．一方で，既存のクロスチェーンコミュニケーションでは，例えば複数のユーザーが提示した価格の中で最も高い価値を選択したユーザーにトークンが割り当てられるといった条件下では，複数のユーザーの価値を集約することができない．本研究では，ブロックチェーン内の複数のユーザがクロスチェーンコミュニケーションを実行する際の効率的なクロスチェーンコミュニケーションの方法をキーバリューコミットメント方式を用いて初めて提案する．キーバリューコミットメント方式をクロスチェーンコミュニケーションに適用することで，複数のユーザの値を集約することが可能になり、既存のクロスチェーンコミュニケーションにおける問題を解決することができる．また，送信者と受信者のセキュリティもキーバリューコミットメント方式を用いて確保する．

3B1-4

ブロックチェーンにおけるPartial Proof of Workに基づくチェーン競合解消ルール ◎櫻井晶(東京工業大学) 、首藤一幸(京都大学): ブロックチェーンにおける攻撃者による意図的なフォークを抑制する手法が今まで数多く提案されてきてきた。その中でも最新のチェーンを選ぶチェーン競合解消ルール (以後last-generated rule)はブロックチェーンプロトコルの大幅な変更を要さずに意図的なフォークを抑制するという点から高い効果を持つ手法である。しかし既存の手法は信頼できる第三者を必要とするか、攻撃者が決めることができるタイムスタンプに手法の有効性がよっている。このような現状からBitcoinをはじめとする既存のシステムにlast-generated ruleを適用するのは困難であった。そこで我々は既存の Proof of Work 型のブロックチェーンシステムに容易に適用可能であり、上記の問題を解決した last-generated rule を提案する。我々の提案する手法は本来はブロックとして機能しない partial Proof of Work をより細かい粒度を持つ時間の基準として活用する。我々の手法は既存のシステムが既に満たす弱い同期性のみを要求する。

3B2-1

キャンセル可能かつ従来の投票と連携可能な日本における安全なインターネット投票方式の提案 ◎畠山泳清(東京工業大学工学院情報通信系情報通信コース) 、李中淳(東京工業大学科学技術創成研究院) 、小尾高史(東京工業大学科学技術創成研究院): 近年、各国でインターネット投票を導入する動きが広まりつつあり、日本においても在外邦人の国政選挙へのインターネット投票導入の機運が高まっている。一方でインターネット投票は未だにその安全性等に課題を抱えている。特にインターネット投票では投票所という物理的な安全性が担保されないため、投票者に対して特定の候補へ投票することや選挙を棄権することを強制する強要という問題があり、このことから国内選挙へのインターネット投票の導入検討は進んでいない。また、多くの先行研究において強要の問題を解決する仕組みの検討が行われているが、利便性を犠牲にしている方式や、現実的でない仮定に依存している方式が多い。そこで本研究では、一度投票した票を取り消すことで投票の強制への抵抗を可能とするインターネット投票方式を提案する。この方式では、棄権の強制に対抗するために投票した証拠が残らない投票方法も実現する。さらに日本の国政選挙での運用を想定し、本人認証にはマイナンバーカードと公的個人認証サービスを用いている。また実運用ではインターネット投票と投票所での投票が併存すると考えられるため、それらの両立を実現している。

3B2-2

Universally Composable Relaxed Asymmetric Password Authenticated Key Exchange ◎Shuya Hanai(Tokyo Institute Of Technology) 、Masayuki Tezuka(Tokyo Institute Of Technology) 、Yusuke Yoshida(Tokyo Institute Of Technology) 、Keisuke Tanaka(Tokyo Institute Of Technology): Password authenticated key exchange (PAKE) establishes a secure channel between two parties who share a password. Asymmetric PAKE is a variant of PAKE, where one party stores the password in encrypted form to preserve security under the situation that the party is compromised. The security of PAKE and asymmetric PAKE is often analyzed in the framework of universal composability (UC), which makes it easy to design combinations of cryptographic protocols and assess their security. Abdalla et al. (CRYPTO’20) relaxed the UC security of PAKE and showed that the relaxed security definition still guarantees reasonable properties. This relaxation makes it possible to prove the security in the UC framework for several PAKE protocols which are proven secure only in game-based security models. Following their approach, we propose a relaxed UC security definition of asymmetric PAKE, which we call lazy-extraction asymmetric PAKE. We prove that SPAKE2+, a popular asymmetric PAKE protocol, UC-realizes our proposed functionality.

3B2-3

ゲーム理論的に安全なブロードキャストプロトコルにおける誤検出の防止 ◎大友駿也(東京工業大学) 、安永憲司(東京工業大学): ブロードキャストプロトコルは，（不正者かもしれない）送信者のメッセージを他の参加者全員に伝えるプロトコルであり，秘匿計算において要素技術として用いられる．攻撃の検出を嫌がる攻撃者に対するゲーム理論的に安全なブロードキャストプロトコルは，Yamashita-Yasunaga (GameSec 2023) が提案しており，過半数が不正者であっても安全な決定性プロトコルの構成に成功している．しかし，過半数が不正者の場合，正当な参加者に対して攻撃の誤検出が生じるという問題があった．本研究では，誤検出を防止する仕組みを導入したブロードキャストプロトコルを提案する．

3B2-4

Blind Decryption and Private Information Delivery ○Akihiro Yamamura(Akita University): We analyze the privacy protection scheme given by Bao, Deng and Feng which is a cryptographic protocol similar to oblivious transfer and private information retrieval schemes. Their scheme is based on a commutative family of ciphers. We point out several security flaws caused by use of an inadequate commutative family of ciphers. Moreover, we remedy the defects by proposing a new scheme that is regarded as an extension of their scheme. We use an approach different from them; we formalize a double encryption and blind decryption scheme employing the ElGamal encryption algorithm and apply it to realize a private information delivery scheme which is an extension of the privacy protection scheme.

3B3-1

サンプル復元可能な Fuzzy Extractor の提案 ◎中村渉(株式会社日立製作所) 、高橋健太(株式会社日立製作所): オンライン生体認証システムでは生体情報漏洩リスク低減が重要である．実現のための有力な手段として，生体情報からFuzzy Extractor等により生成された秘密鍵を基にデジタル署名を生成するバイオメトリック署名 (BS : Biometric Signature) が挙げられる．一方で過去の登録/認証ユーザが本人かを事後検証したい場合等，過去の登録/認証処理で取得された生体情報を復元できると役立つ場面も存在する．このような生体情報の保護と利活用を両立するオンライン生体認証システム実現のため我々はAPSIPA ASC2023にて「サンプル復元可能な BS (SRBS : Sample Recoverable BS)」を提案した．SRBS は，鍵生成のための生体特徴に十分近い生体特徴があれば，過去に生成された検証鍵や署名から，過去の処理で取得された生体情報サンプルが復元可能な BS である．本稿では SRBS の構成方法のコアとなる処理部分に注目し，同様のサンプル復元可能性を持つ計算量的 FE として「サンプル復元可能な Fuzzy Extractor」を導入し構成方法を与える．

3B3-2

個人認証向けプライバシ保護連合学習に関する検討 加賀陽介(株式会社日立製作所) 、◎鈴木優聖(株式会社日立製作所) 、高橋健太(株式会社日立製作所): プライバシ保護に関する法令の整備に伴い，機械学習を行うために個人データを収集することが困難になっている．このような背景から，個人データを共有せずに分散学習を行う連合学習が提案されている．本論文では，個人認証向けの連合学習について調査を行い，既存の手法ではプライバシ保護と高い精度を両立させることが困難であることを示す．この課題を解決するため，特徴ベクトルへのランダム射影に基づきプライバシを保護するIPFed を提案し，従来の連合学習と等価な学習が可能であることを証明する．さらに，顔画像データセットを用いた実験により，IPFedは従来手法の精度を維持したまま個人データのプライバシを保護できることを示す．

3B3-3

安全な顔認証のためのIdentity Shift ○伊藤康一(東北大学) 、青木孝文(東北大学): 人間が日常生活において人物を同定するために，その人物の顔を確認することが一般的である．意識せずに顔を用いて個人認証を行っているため，顔が個人性を有しているにもかかわらず，顔を他人に見せることにほとんど抵抗がない．現在では，インターネット上に数多くの顔写真が公開されており，様々な人物の顔画像を容易に収集することができる．そのため，インターネット上に公開されている大量の顔写真が顔認証システムの攻撃に使われる可能性がある．これまでに，キャンセラブルバイオメトリクスやテンプレート保護などによる顔認証システムのセキュリティ強化が検討されている．多くの場合は，顔画像に対してユーザに固有な変形を加えたり，顔画像から抽出された特徴量を暗号化したりすることで，顔認証システムのセキュリティを向上させる．これに対して，本稿では，顔画像から抽出される顔特徴量を別の画像に埋め込むことで，キャンセラブルバイオメトリクスや非識別化を実現する Identity Shift という新しいフレームワークを提案する．顔画像の公開データセットを用いた実験を通して，Identity Shiftに基づくキャンセラブルバイオメトリクスと非識別化の有効性を示す．

3B4-1

トークンコントラクトを応用した競馬投票システムの検討 ◎上段浩輝(電気通信大学) 、李陽(電気通信大学) 、崎山一男(電気通信大学) 、宮原大輝(電気通信大学): オッズはJRAが中央集権的に管理しているため，購入者はオッズが正当かどうかを検証できない．他にも，購入履歴を保管するサーバがダウンしてデータを失ったり，オンライン投票システムが動作しなくなったりするリスクを抱えている．しかし，実際の競馬投票システムに対してブロックチェーンを利用した際のセキュリティ上の懸念点や運用の実現可能性などについては議論されてこなかった．本研究では，競馬投票システムにブロックチェーンを利用して非中央集権化を図った際の利点やセキュリティ上の懸念点などを議論する．具体的には，馬券の購入履歴などのデータがブロックチェーン上で管理され，誰もが閲覧できるようになるという透明性による恩恵と，プライバシ上の懸念点を議論し，ブロックチェーンベースの競馬投票システムが現実的であるかどうかを議論する．また，日本固有の問題としてギャンブルと税金にも触れ，税金管理がシステム上でどのように行われるべきかを検討する．さらに，実現可能性を確認するために，ブロックチェーンのテストネットワーク上にプロトタイプ実装を行い，運用コストとユーザビリティについても定量的に評価する．

3B4-2

安全に送金可能なコールドウォレットシステムの構築に向けて ◎小林紘也(筑波大学) 、面和成(筑波大学/情報通信研究機構): 暗号資産の普及に伴い，多くのユーザーが暗号資産を保管・管理するためのウォレットを利用している．その一つであるコールドウォレットはオフラインで秘密鍵を保持し，ユーザーの資産をセキュアに管理することができる．一般的に，オンラインで暗号資産の保管，取引などを行うホットウォレットに比べより安全であると考えられている．一般的なコールドウォレットは，オフラインで秘密鍵を管理するために物理的なデバイス(ハードウェアウォレット)を使用することが多いが，単体では取引ができないため，取引の際はインターネットに接続されたデバイスを用いる．その際，インターネットに接続されたデバイスにマルウェアが感染し，不正なトランザクション発行により，資金を奪われるということが考えられる．本研究では，暗号資産取引における不正なトランザクション発行を防ぐ新たなコールドウォレットシステムを提案する．我々は，トランザクションの内容に署名を付けて確認することでマルウェアの有無に関係なく，ユーザーが意図したトランザクションを発行することを可能にする．さらに，Raspberry Pi を用いて提案コールドウォレットを実装し，トランザクションの署名生成にかかる処理時間を計測する．

3B4-3

分散台帳を用いたデータ発行証明方式の一提案 ○福岡尊(富士通株式会社): W3Cが提唱しているVerifiable Credential (VC) とは，個人が主権的にコントロールできる電子個人情報の方式である．免許証等の資格の電子化が典型例として考えられるが，将来的には，顧客の購買履歴や行動履歴などを企業がVCとして発行する等の活用例も考えられる．このVCの方式の特徴の一つとして，VCの発行履歴は原則どこにも残されない，という所が挙げられる．この特徴は，個人情報の漏洩を防ぐ一方で，「VCを発行した」事実を客観的に証明することが，VCの所有者にしかできないといった制約も与えている．例えば企業が顧客にVCとして発行するケースにおいて，発行証明には，VCの所有者である顧客のレスポンスが必要となるため，顧客が応答しなかったり，VCを紛失した場合，企業による発行証明は原理上不可能である．本論文では，ブロックチェーンやゼロ知識証明を用いることで，この制約を取り除くための方式を提案する．VCの発行履歴を秘匿してチェーンに記録することで，プライバシーを保護しつつ，発行者による発行証明といった，従来のVCの方式で実現できなかった機能を実現する．

3B4-4

安心・安全な学修歴利活用基盤（SSARUF）の考察 ○才所敏明((株)IT企画) 、辻井重男(中央大学研究開発機構) 、櫻井幸一(九州大学大学院システム情報科学研究院): 1990年代に始まった学修歴証明書のデジタル化は、インターネットの発展、普及に伴い、また人材の流動化傾向により、インターネット上でのデジタルの学修歴証明書の発行・利用システムが各国の大学等で開発・運用が進められている。我が国でも複数の大学で学修歴証明書の開発・運用が始まっており、またインターネット上での学修歴証明書の発行・利用の将来像を目指した研究開発プロジェクトも進行中である。本稿では、筆者らが提案中のブロックチェーンサービス基盤（BSI）上で動作する、検証可能な学修歴証明書の発行から検証までをサポートする安心・安全な学修歴利活用基盤（SSARUF）、の構成案を提案する。 SSARUFは、W3Cで標準化が進められているDID/VC/VPを利用した仕組みにより、検証可能な学修歴証明書の利活用における自己制御性の実現を目指し、また、学修歴証明書の利活用にかかわる個人・法人の確実な認証の仕組み、個人（教育受講者）の匿名性および特定・追跡性の両立の仕組みにより、関係する個人・法人および社会の安心・安全を確保しつつ、学修歴証明書の利活用が可能な基盤を目指している。

3B4-5

乱数ビーコンサービスの現状と課題(集中管理対　分散型） ○櫻井幸一(九州大学): RealWorldCrypto2023が東京/お台場で開催された。下名は、翌日に開催された２つのワークショップにも参加したが、 Randomness Summit 2023には、日本からの参加がほとんどないようであった。ここで参加報告も含めて、主題である乱数ビーコンサービスの現状と課題を議論する。本報告は2023年8月セキュリティサミットCSECの続報である。

3B5-1

TEEを利用したRemote Attestationの検証委任プロセスの提案 ◎矢川嵩(筑波大学/産業技術総合研究所) 、照屋唯紀(産業技術総合研究所) 、須崎有康(情報セキュリティ大学院大学) 、阿部洋丈(筑波大学): 現在、クラウドプラットフォームやIoTデバイスを利用したサービスが普及している。これらは遠隔地に配置され、第三者によって保守されるため、リモートアクセスの際にはデバイスやサービスの真正性を確認するRemote Attestation (RA) が利用される。RAでは被検証側が証拠データを生成し、ユーザーがこれを検証する。しかし、IoTデバイスの増加やマイクロサービスの拡大に伴い、RAはスケーラビリティの向上が課題となっている。本研究では、信頼できないプラットフォームでも安全に検証できるようにするための検証委任プロセスを提案する。Trusted Execution Environment (TEE) の保護領域内での検証を保証することで、検証を実行するプラットフォームを容易に増やすことが可能になる。本論文ではTEEとしてIntel Software Guard Extensions (SGX)を使用した実装を想定し、検証委任プロセスによる追加オーバーヘッドについての考察とセキュリティ評価を行う。

3B5-2

Assuring Trust in Confidential Data Use by Identity Management ○Sven Wohlgemuth(Intelligent Systems Laboratory, Secom Co., Ltd.) 、Kazuo Takaragi(Hisafe, Ltd.) 、Takashi Kubota(Waseda University) 、Katsuyuki Umezawa(Shonan Institute Of Technology) 、Keisuke Hasegawa(Intelligent Systems Laboratory, Secom Co., Ltd.): An information market should support availability of information by trading usage rights within regulatory frameworks. Since its users are partners in a supply chain and competitors in others, evidence on privacy is required to reduce the risk of information leakage. Identity management is the basic security infrastructure to provide evidence for decision-making on privacy, but the necessary secondary use of identity lacks control. We introduce an adaptation of the risk management process of regulatory frameworks to this operational risk. As privacy evidence, secure delegation of rights realizes an early warning system on critical risks, which assures trust assumptions in identity.

3C1-1

離散対数問題に基づくID-NIKSの個人秘密鍵生成法の識別点を用いた高速化 ◎井上颯人(大阪電気通信大学) 、三木美月(大阪電気通信大学) 、境隆一(大阪電気通信大学) 、村上恭通(大阪電気通信大学): 1990年，村上と笠原は合成数を法とする離散対数問題を利用した予備通信不要なID鍵共有方式(MK方式)を提案した．MK方式は，Diffie-Hellman公開鍵配送方式の法を合成数nに拡張してnの素因数pとqを法とする離散対数を求めることにより，予備通信を不要にした鍵共有方式である．残念ながら，当時はコンピュータの性能不足のためMK方式を実現することはできなかった．2005年，小山らはp−1とq−1の素因数の大きさと個数を制限することにより，かろうじてMK方式の個人秘密鍵の計算に成功した．三木らは，SITA2022にてp−1とq−1の素因数が一般的なB-smoothである数を利用することを提案し，MK方式の個人秘密鍵をPari/GPを用いて離散対数問題を解くことにより実際に求めた．筆者らは，SITA2023において，高速性に定評のあるGMPライブラリを用いてC言語でMKを実装することにより高速化した．本研究では，識別点法及びモンゴメリ乗算を用いてMK方式の個人秘密鍵生成法をさらに高速化する．

3C1-2

内積暗号による複数属性レコードのクエリ実行 ◎松本茉倫(お茶の水女子大学) 、髙橋翼(LINEヤフー株式会社) 、小口正人(お茶の水女子大学): 本稿では，関数秘匿内積暗号(FHIPE)を用いたセキュアなクエリ処理を提案し，暗号化されたデータに対するクエリを可能にすることで，最小限の漏洩，低レイテンシ，スペース効率を実現する．暗号化されたデータに対してDB操作を行うには，セキュリティと性能のバランスを慎重に考慮した特殊な暗号化スキームが必要である．例えば，完全準同型暗号(FHE)は暗号化されたDBをクエリを実行可能であるが，FHEの暗号文は大きく，マシンのメモリを圧迫する． FHIPEでのクエリは，暗号化されたレコードと暗号化されたクエリ条件が一致するかどうかを内積を使ってDBサーバに示す．さらに，FHIPEはFHEよりも低レイテンシで，暗号化されたDBサイズも小さい．しかし，正しい結果を返すためには，クエリの条件式とレコード表現を注意深く考慮する必要がある．本稿では，FHIPEを用いた新しい暗号化クエリ方式IPEQを提案する． IPEQは，クエリの条件式とレコードに特別なエンコードを用いることで，暗号化されたデータに対して，多属性Equality，GROUP BY，JOINを正しく実行することができる． TPC-Hベンチマークのデータセットの評価では，IPEQとFHEを用いたDBについて実行時間とDBサイズを比較する．

3C1-3

BDH仮定に基づく高効率かつ強安全なIDベースマッチメイキング暗号 ◎知久奏斗(横浜国立大学) 、橋本啓太郎(産業技術総合研究所) 、原啓祐(産業技術総合研究所/横浜国立大学) 、四方順司(横浜国立大学): IDベースマッチメイキング暗号は, 送信者、受信者双方の匿名性を保ちつつ, データの秘匿性(privacy)と送信者認証(authenticity)を備えた通信を可能にするIDベース暗号の一種である．AtenieseらがランダムオラクルモデルにおいてBilinear Diffie-Hellman仮定に基づく構成を提案したが，効率性と安全性で課題があった．本研究では，同等の仮定において，Atenieseらの方式と比較して鍵長と暗号文長が短くかつ強い安全性を満たすIDベースマッチメイキング暗号を提案する．

3C1-4

ペアリングフリー検索可能公開鍵認証暗号 ○江村恵太(金沢大学) 、高安敦(東京大学/産業技術総合研究所): 本論文では, 公開鍵検索可能認証暗号 (PAEKS: Public Key Authenticated Encryption with Keyword Search)をペアリングフリーで構成する. 具体的にはCDH (Computational Diffie-Hellman) 仮定と共通鍵暗号から構成できることを示す. 提案方式はTwin ElGamal暗号方式 (Cash-Kiltz-Shoup, EUROCRYPT2008) をベースに, 公開鍵検索可能暗号 (PEKS: Public Key Encryption with Keyword Search) の一般的構成 (Abdallaら, JoC2008) における一貫性の付加手法を利用している. なおPEKSとIDベース暗号 (IBE: Identity-Based Encryption) は基本的に等価であり, かつ公開鍵暗号からIBEへのブラックボックス構成は存在しないことが知られている. そこでPAEKSがIBEより弱い暗号学的要素から構成できても矛盾しないことを確認する. さらに既存のペアリングフリーPAEKS方式に対し, 具体的な攻撃または安全性定義の不備を指摘する.

3C2-1

Oblivious Encryption: Toward an encryption scheme where decryption can be probabilistically controllable ○Taisei Takahashi(University Of Tsukuba) 、Akira Otsuka(Institute Of Information Security) 、Kazumasa Omote(University Of Tsukuba): This paper proposes a new encryption scheme called the Oblivious Encryption Scheme, in which decryption is probabilistically controllable. Sender Alice encrypts a message and sends it to the receiver(chooser), Bob. Bob can decrypt the ciphertext with pre-agreed probability but may not be able to decrypt the ciphertext depending on the probability. Furthermore, we present the prospect of a function where the receiver can not decrypt the ciphertext but only by a third-party regulator. We adopt Verifiable Secret Sharing (VSS) and Committed Oblivious Transfer (COT) protocol to construct our proposed scheme. As an application, our proposed method can be used to audit electronic currency. For example, conventionally, if the auditor audits an anonymous money transfer of more than $10,000, it is impossible to audit relatively high money transfers such as $9,999. However, our method makes it possible to audit with a probability of 9999/10000, which allows for more flexible auditing.

3C2-2

完全準同型暗号をランダムフォレストに適用できるか？ネットワークデータへの応用を例に ◎上村周作(KDDI総合研究所) 、福島和英(KDDI総合研究所): ランダムフォレストは説明可能性の高い機械学習モデルであり, 様々な分野のデータ分析に利用されている. データ分析におけるプライバシー保護のため, 暗号した状態での演算を可能にする完全準同型暗号（FHE）を用いたランダムフォレストの手法はいくつか提案されている. 本論文ではネットワークデータにFHEを適用したランダムフォレストの実用可能性に焦点をあて, IoTデバイス分類のタスクに対して, 3種類のビットと9種類の深さについてFHEを用いたランダムフォレストの実験を行った. この結果に対する指数回帰により, 計算時間と深さとの関係を得た. これらの結果により, さらに深いモデルの計算時間を推定することが可能となる.

3C2-3

属性ベース鍵付き完全準同型暗号の一般的構成 江村恵太(金沢大学) 、佐藤慎悟(横浜国立大学) 、○高安敦(東京大学，産業技術総合研究所): 準同型暗号は暗号文を復号せずに演算が可能であるが，原理的にCCA2安全性を達成できない．そのため，準同型性とCCA2安全性を両立する概念として鍵付き準同型暗号がある．準同型性が任意の演算を扱えるように拡張した鍵付き完全準同型暗号方式がこれまで提案されているが，標準モデルでLWE仮定のみに基づく方式は知られていない．江村ら（CSS 2023）は鍵付き準同型暗号に属性ベース暗号のアクセス制御を加えた属性ベース鍵付き準同型暗号方式を初めて提案したが，ペアリングを用いているため耐量子性がなく，完全準同型性を持たず乗法演算しか扱えない．本論文で我々は，属性ベース鍵付き完全準同型暗号の一般的構成を与える．技術的には，まずCanettiらのCCA1安全完全準同型暗号方式 (PKC 2017)を変形することで鍵付き完全準同型暗号の一般的構成を得る．本構成の要素技術は全て標準モデルでLWE仮定に基づいて具現化可能であるため，同様の性質を持つ初めての鍵付き完全準同型暗号方式を得る．さらに，本構成の要素技術を属性ベースとすることによって属性ベース鍵付き完全準同型暗号の一般的構成を得る．

3C2-4

Lifted-ElGamal暗号による，Argmaxとベクトルの内積近似計算の二者間秘匿計算プロトコルとその応用 ○光成滋生(サイボウズ・ラボ) 、上野真奈(NTT社会情報研究所): サーバ・クライアントの二者間秘匿計算は，完全準同型暗号やマルチパーティ計算プロトコルを用いた方法が一般的である．ここでは，縫田らがSCIS2020で提案したLifted-ElGamal暗号を用いた二者間秘匿計算プロトコルを用いた手法を考察する．具体的には，クライアントが1個のD次元ベクトルx, サーバがN個のD次元ベクトルy_1, ..., y_Nを持つときに，互いにその値を相手に教えることなく内積x y_iの近似値を計算し，その値の最大値max {x y_i}とargmax {x y_i}を計算するプロトコルを提案する．そして，画像と文章の関連性を学習し，文章をベクトル化して画像検索を可能にするCLIPにおいて，クエリの秘匿化を検討する．

3C3-1

Tweakableブロック暗号を用いたType-2一般化Feistel暗号の安全性の再検討 ◎辻健斗(名古屋大学) 、岩田哲(名古屋大学): NakayaらはToSC 2022(4)/FSE~2023においてtweakableブロック暗号を用いた一般化Feistel暗号(GFS)を定式化し，安全性証明を与えた．複数ある解析対象のうち特に$d$ラインtype-2 GFSにおいては，$d$段の構成について，選択暗号文攻撃に対する安全性証明がなされている． Tsujiらは2023年にこの証明に対する反例となる，$d$ライン$d$段type-2 GFSの定数回クエリでの識別アルゴリズムを示した．本稿ではtweakableブロック暗号を用いたtype-2 GFSについて，4ラインの構造を対象に，4段の構成の選択平文攻撃に対する安全性証明を与える．また，5段の構成の選択暗号文攻撃に対する安全性証明を与える．

3C3-2

LightMACの鍵制御安全性 ◎平松友紀(名古屋大学) 、岩田哲(名古屋大学): 鍵導出関数（KDF）は一つのマスター鍵からユーザ鍵やセッション鍵等を導出する関数であり，擬似ランダム関数を用いて構成できる．KDFの安全性として鍵制御安全性が考えられる．KDFを構成する擬似ランダム関数としてCMAC，PMAC，GMACを用いた場合は鍵制御安全性を満たさないことが知られている．一方，IoT向けの軽量暗号として開発され，2019年にISO標準に採択されたメッセージ認証技術としてLightMACが知られている．本論文では擬似ランダム関数としてLightMACを用いた場合の鍵制御安全性について考察する．LightMACのいずれの推奨パラメータを用いた場合でも，鍵制御安全性を満たさないことを示す．

3C3-3

EMEに対する古典偽造・平文回復攻撃と量子攻撃への応用 ○栗原昂汰(名古屋大学) 、辻健斗(名古屋大学) 、岩田哲(名古屋大学): EMEは2004年にHaleviとRogawayによって提案されたtweakable enciphering方式である(CT-RSA~2004)．ブロック長$n$に対し，$O(2^{n/2})$の安全性が証明されている．2005年にPhanとGoiによって$O(2^{n/2})$の古典識別攻撃(ICICS~2005)が，2021年にGhoshとSarkarによって$O(n)$の量子識別攻撃(DCC~2021)が示された．本論文ではEME内の部分情報を古典的に求めることで古典偽造・平文回復攻撃が可能であることを示す．さらにその攻撃を応用することにより量子偽造・平文回復攻撃も可能であることを示す．

3C3-4

NIST LWC最終候補方式のCommitting安全性解析 ◎竹内龍之介(名古屋大学) 、井上明子(NEC) 、峯松一彦(NEC) 、岩田哲(名古屋大学): 従来，認証暗号では秘匿と認証の安全性について解析が行われてきた．近年，認証暗号の安全性としてKey Committing安全性が注目されている．Key Committing安全性の拡張としてCommitting (CMT)安全性とContext Discoverability (CDY)が提案されている．Kr{\"{a}}merらによってNIST Lightweight Cryptographyの最終候補方式に対しCMT安全性とCDYの解析が行われた（ePrint~2023/1525）．Kr{\"{a}}merらはブロック暗号と暗号学的置換に基づく方式を対象としており，またprimary方式を考慮している．本論文ではストリーム暗号ベースの認証暗号方式であるGrain-128AEADのCDYについての安全性解析を行う．また，primaryではない方式であるRomulus-MのCDYとTinyJAMBU-256のCMT安全性についての解析を行う．

3C4-1

軽量ブロック暗号GFRXに対する差分攻撃耐性の評価 ◎江頭輝一(関東学院大学大学院工学研究科情報学専攻) 、塚田恭章(関東学院大学大学院工学研究科情報学専攻): GFRXは，Xing Zhangらが2023年に発表したハードウェア実装に最適化された軽量ブロック暗号であり，そのブロック長は64から256ビット，鍵長は96から256ビットまでの範囲で7種類の組み合わせに対応している．提案論文内では差分攻撃と線形攻撃に対しての安全性評価が行われているが，その評価はGFRXの設計の際に基となった暗号であるSIMONの安全性評価を用いており，GFRXとして厳密な安全性評価が行われておらず，また第三者による評価も報告されていない．よって本稿では軽量ブロック暗号GFRXについて，差分攻撃の評価に必要な最大差分特性確率の導出をSAT（充足可能性問題）ソルバーを用いて行った．その結果，GFRX64において9段まで，GFRX128において18段までとなる有効な差分特性を発見し，これによりGFRX64およびGFRX128は差分攻撃に対して耐性を持つことが分かった．

3C4-2

軽量ブロック暗号SLIMに対する不能差分識別子の探索 ○杉尾信行(北海道科学大学): SLIMはAboushoshaらによって提案された軽量ブロック暗号である．SLIMの入出力長は32-bit，秘密鍵長は80-bitである．本論文では，SATソルバーを用いてSLIMに対する不能差分識別子を探索した．その結果，単一鍵設定で8段，関連鍵設定で9段の不能差分識別子が存在する事を明らかにした．また，単一鍵設定で10段SLIMが選択平文数2^31，暗号化計算量2^79回，メモリ量2^13 byteで鍵回復攻撃が可能である事を示す．

3C4-3

分割統治法SATを用いたAESとCamelliaの最大差分/線形特性確率の導出 ◎髙和真(兵庫県立大学) 、阪本光星(三菱電機株式会社) 、伊藤竜馬(情報通信機構) 、芝廉太朗(三菱電機株式会社) 、内海潮音(兵庫県立大学) 、五十部孝典(兵庫県立大学): 本稿では SAT を用いた最大差分/線形特性確率を導出する手法に分割統治法を導入することで，既存の SAT を用いた手法では困難であった 8 ビット S-box や複雑な線形層を持つブロック暗号の評価を可能とする手法の提案を行う．この提案手法を用いて，ブロック暗号 AES 及び FL 関数を除いた Camellia について各ラウンドにおける最大差分/線形特性確率を導出する. 結果として，AES については，7/4 ラウンドでの最適な差分／線形特性確率を初めて示し，Camellia については 11/10 ラウンドにおける最適な差分／線形特性確率を初めて示す．特に，Camellia においては，既存研究で示されているラウンド数よりも 1 ラウンド少ないラウンド数で差分攻撃に対する安全であることを示す．線形攻撃に対する評価では，9 ラウンドにおいて計算量 2^117 で識別攻撃が可能であることを示し，既存の識別攻撃を 1 ラウンド更新する. また，提案手法が AES の最大差分特性確率の評価において，既存の Sun らの SAT を用いた手法と比較し最大で 10 倍程度高速であることを示す．

3C4-4

SNOW-V/SNOW-Vi/KCipher-2に対する差分攻撃 ◎倉原陸斗(兵庫県立大学) 、阪本光星(三菱電機株式会社) 、仲野有登(KDDI総合研究所) 、五十部孝典(兵庫県立大学): 本稿では，5Gモバイル通信システムの標準暗号化スキームに提案されたSNOW-VとSNOW-Vi，およびISO/IEC 18033-4で国際標準規格に採用されているKCipher-2の3つのストリーム暗号に対して差分攻撃耐性の評価を行う．具体的には, 初期化アルゴリズムにおける非線形変換で発生する差分確率を考慮した差分特性確率を求めることで評価を行う. また, 本稿ではSATソルバーを用いた安全性評価を行い, これによりビット単位による厳密な評価が可能となる. 結果として, 関連IV攻撃に対しての評価ではSNOW-V/SNOW-Vi/Kcipher-2は5/5/8ラウンドまで識別攻撃が可能であることを示し, 関連鍵攻撃に対しての評価では7/8/8ラウンドまで識別攻撃が可能であることを示す.

3C4-5

衝突攻撃評価自動化ツールの提案と Areion のハッシュモードへの適用 ◎泰山幸大(兵庫県立大学) 、阪本光星(三菱電機株式会社) 、芝廉太朗(三菱電機株式会社) 、五十部孝典(兵庫県立大学): Areion は，CHES2023 で提案されたラージブロック置換である．設計者評価において，Areion のハッシュ関数の利用モードに対するバイト単位での衝突攻撃評価が行われている．また，CSS2023 では Areion256-DM に対する SAT ソルバーを用いたビット単位での衝突攻撃評価が行われている．本研究では，リバウンド攻撃によるハッシュ関数の衝突攻撃評価を自動的に行うことができるツールの提案を行う．SATで探索した差分パスを基にリバウンド攻撃における inbound フェーズとそれに対応する outbound フェーズを深さ優先探索を用いて構築する．また，既存研究では行われていない Areion512-DM や Areion512-MD に対して本研究で提案した自動化ツールを適用し，衝突攻撃評価を行う．結果として，Areion512-DM の 6ラウンド，Areion512-MD の semifree collision の条件で 8 ラウンドまで攻撃が可能であることを示す．

3C5-1

A Hardware Implementation of AES Algorithm using a Composite Field ○Kexin Li(Okayama University) 、Samsul Huda(Okayama University) 、Md. Arshad Ali(Hajee Mohammad Danesh Science And Technology University) 、Yasuyuki Nogami(Okayama University) 、Yuta Kodera (Okayama University): In the Advanced Encryption Standard (AES) official document, SubBytes acts on the extension field GF(2^8), based on the irreducible polynomial p(x)=x^8+x^4+x^3+x+1, which outputs the transformed 8 bits value by looking up the table according to the 8 bits input value. In this context, field programmable logic gate array (FPGA) is used as the hardware acceleration platform. However, whether using a static substitution table approach or using polynomial computation to obtain the transform value, the use of Look-Up Tables (LUTs)resource consumption is still large. In this paper, the composite field GF(2^4)^2 is used to improve storage space consumption. Inverting an element is done by mapping a value on GF(2^8) to GF(2^4)^2 and selecting an irreducible polynomial on GF(2^4)^2. After testing, we evaluate the reduction of the consumption of LUTs based on S-box on composite field. On the other hand, using the elements on GF(2^4)^2, the inverse operation is performed. Splitting the 8 bit input character into high and low 4 bits and mapping them into GF(2^4) respectively makes the operation easier. In the final test of the results, the use of AND-OR gate in the composite field is compared to the use in GF(2^8).

3C5-2

省メモリかつ定数時間のRISC-V向けAESソフトウェア実装 ◎木下雅貴(電気通信大学) 、菅原健(電気通信大学): IoTデバイスの普及により通信の安全性の確保が重要になり，組込機器への暗号ソフトウェア実装が必要とされている．特に，メモリの使用量は製品のコストに影響を及ぼすため，省メモリなソフトウェア実装が要求されている．また，暗号実装においては，タイミング攻撃がセキュリティ上重大な脅威となる．この攻撃の対策のために，入力に応じて実行時間が変化しないことが必要である．本研究では， RISC-V 命令セットにおいて, 省メモリかつキャッシュアクセスに由来するタイミングリークを排除した AES のソフトウェア実装を提案する．

3C5-3

ARM NEONに基づいた高速なラージブロック暗号の設計 ◎田中篤(兵庫県立大学) 、芝廉太朗(三菱電機株式会社) 、阪本光星(三菱電機株式会社) 、五十部孝典(兵庫県立大学): 本稿では，ARM64環境にて高速なAESラウンド関数ベースのブロック暗号を提案する．提案構成はブロック長が256ビットまたは512ビット，鍵長が256ビットであり，ブロック暗号をモード利用したときの衝突耐性を128ビット以上にすることが可能である．また，提案構成は画像処理用に用意されたロード命令とストア命令をシャッフル命令として使用することにより，256ビットおよび512ビットを少ない命令数かつバイト単位でシャッフルすることが可能であることを示す．また，これらの命令に最適なAESラウンド関数の組み合わせを全探索し，古典攻撃である差分攻撃，不能差分攻撃，integral攻撃に対して安全性が高くかつ高速な命令セットを提案する．結果として，提案構成の256ビットブロック暗号は，ARM64環境において，既存のラージブロック暗号であるPholkos-256やGhidle-256よりもシーケンシャルおよびパラレルでの暗号化速度が高速であることを示す．また，AES-256のパラレルでの暗号化速度よりも高速であることを示す．

3C5-4

2つの鍵を用いるIterated Even-Mansour構造に対する量子鍵回復攻撃 ◎芝廉太朗(三菱電機株式会社) 、アナンドラビ(兵庫県立大学) 、ゴーシュシバーム(ハイファ大学) 、五十部孝典(兵庫県立大学): 量子計算機の発展により，ブロック暗号の量子安全性評価の重要性が増している．本稿では，ブロック暗号を抽象化した構造である，Iterated Even-Mansour構造の量子鍵回復攻撃に対する安全性を評価する．詳細には，4ラウンドで2つの鍵を交互に用いるIEMに対して，攻撃者が古典クエリが可能かつオフラインの量子計算が実行可能であるQ1モデルにおける，攻撃アルゴリズムを提案する．本稿で提案する方式は，クエリしたデータを保存するための膨大な量子ランダムアクセスメモリが必要であるが，Groverのアルゴリズムを用いた秘密鍵探索よりも少ない計算量で秘密鍵を特定することが可能である．更に，攻撃者が量子クエリ可能なQ2モデルの場合，同様の構成に対し，GroverのアルゴリズムとSimonのアルゴリズムを組み合わせた手法であるGrover-Meets-Simonを適用することで，Q1モデルよりも更に少ない計算量で秘密鍵を回復可能であることを示す．

3D1-1

追加カード 2 枚の多入力 AND 計算におけるシャッフル回数の新しい削減方法 ◎石崎悠斗(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): カードベース暗号とは、物理的なカード組を用いて秘密計算を行う研究分野である。カードベース暗号の分野で重要な指標の一つに、プロトコルのシャッフル回数がある。本稿では追加カード2枚のn入力コミット型 AND プロトコルについてシャッフル回数の削減を行う。シャッフル回数の自明な上界はn − 1回であり、これは Mizuki–Sone（FAW 2009）の6枚 AND プロトコルをn − 1回行うことにより実現できる。Yoshidaら（CANS 2023）はバッチング技術という複数のシャッフルを単一のシャッフルにまとめる技術を用いて、シャッフル回数の削減を行った。本稿では、新しい技術を二つ提案し、それらによりシャッフル回数のさらなる削減を行う。一つ目の技術は、一般化パイルスクランブルシャッフルという新しいシャッフルであり、従来のパイルスクランブルシャッフルと異なり各束のカード枚数が不均一であることを許すものである。もう一つの技術は、ブランチング技術というものであり、バッチング技術の際の追加カードとして表面を向いたカードを用いるというものである。それぞれの技術を用いることで、Yoshidaらよりもさらにシャッフル回数を削減できる。

3D1-2

効率的なコミット型閾値関数カードベースプロトコル ◎四方隼人(東北大学) 、水木敬明(東北大学): カードベース暗号とは，物理的なカード組を用いて秘密計算等の暗号機能を実現させる研究分野である．カードベース暗号における最も重要な問題の一つに，関数の秘密計算に必要な「追加カード枚数」と「シャッフル回数」の削減が挙げられ，これらを目的とした多くの研究が存在する．本稿では，二値出力の閾値論理関数の秘密計算をターゲットとして，追加カード枚数とシャッフル回数の少ない効率的なカードベース暗号プロトコルの構築を試みる．具体的には，$n$変数の閾値論理関数に対して，$2n+2$枚のカードと$n$回のシャッフル（ランダム二等分割カット）で動くプロトコルを提案する．既存研究には，2022年にHagaらが提案したソーティングプロトコルがあり，これを用いることで閾値関数を秘密計算できることが知られているが，そのようにして得られる手法と比較して，本稿の提案プロトコルは効率的である．また，提案プロトコルのアイデアを拡張することで，効率的なソーティングプロトコルが構成できると考えられる．

3D1-3

トランプカードによる背面処理を用いていくつかの関数を計算するカードベース秘密計算プロトコル ◎小林直紀(工学院大学) 、真鍋義文(工学院大学): 物理的なカード組を用いた秘密計算プロトコルは、コンピュータやネットワークを使用せずに、複数のプレイヤーによって実行される安全なマルチパーティ計算である。各プレイヤーが他プレイヤーから見えない場所で実行する背面処理を用いたプロトコルを示す。既存研究のほとんどは2種類のマークで構成された特殊なカード組が使用されているが、市販のトランプカードを使用することで利便性が増し手軽に実行可能とした。本稿では、既存のAND演算、XOR演算、COPYプロトコルを組み合わせ、3入力ブール関数、半加算器、全加算器、および対称関数をトランプカードを用いて計算する、使用カード枚数が最小の秘密計算プロトコルを示す。

3D1-4

カードベースガーブルド回路における入力ゲートに用いるカード枚数の削減 ◎小野知樹(電気通信大学) 、品川和雅(茨城大学／産業技術総合研究所) 、渡邉洋平(電気通信大学／産業技術総合研究所) 、岩本貢(電気通信大学): 物理的なカードを用いて秘密計算を実現する暗号技術をカードベース暗号と呼ぶ．カードベース暗号ではカード枚数とシャッフル回数が効率性の指標となる．Yaoのガーブルド回路を基にしてShinagawa-Nuida（DAM 2020）は任意の論理回路に対するシャッフル1回のプロトコルを構成し，Tozawaら（UCNC 2023）やOnoら (ICISC 2023) はそのカード枚数を削減した．特にOnoらは$2n+6q$枚（$n$は入力ビット数，$q$はゲート数）のプロトコルを構成しており，既存プロトコルとしては要するカード枚数が最小である．また，Kuzumaら（APKC 2022）のプロトコルは計算対象の論理回路を多入力AND関数と多入力XOR関数に制限しているが，Onoらと比較して計算に要するカード枚数が少ない．本稿では，KuzumaらのプロトコルをOnoらと組み合わせることで，回路への入力が枝分かれしない論理回路に対するシャッフル一回のプロトコルを$6q$枚のカードで構成する．

3D2-1

カードベース暗号に現れる語の組合せ論 ○品川和雅(茨城大学／産業技術総合研究所) 、縫田光司(九州大学／産業技術総合研究所): カードベース暗号とは物理的なカード組を用いて暗号技術を実現する研究分野である。近年は有限群論や代数的組合せ論との関連も見出されるなど、数学分野との連携が深まりつつある。このような流れにおいて、本研究では語の組合せ論とカードベース暗号の関連について論じる。語の組合せ論とは形式言語や文字列の性質を扱う数学分野である。本研究では二つの文字列が巡回的に等しいという性質に着目する。二つの文字列が巡回等化可能であるとは、文字の同時挿入（同じ箇所への同じ文字の挿入）を繰り返して巡回的に等しくできることと定める。本稿の主結果として、長さおよびハミング重みの等しい任意の二つのビット列は巡回等化可能であることを示す。これはランダムカット1回でフルオープンするプロトコル（five-card trickなど）の構成や不可能性証明の基礎となる結果である。

3D2-2

カードベース暗号を用いたセキュアな決定木評価 ○Yoshifumi Manabe(Kogakuin University) 、Naoki Kobayashi(Kogakuin University): Decision trees such as BDD (Binary Decision Diagrams) are commonly used for decision-making. The structure of the decision tree might be the know-how of the owner of the tree. Thus, when Alice provides a decision tree and Bob evaluates the tree, Alice wants to hide the structure of the decision tree from Bob. Though Bob can know the information about the nodes Bob traversed, the other node/edge information must be hidden. During the evaluation, Bob might use his private information. Thus, the traversed node/ledges and the final result need to be hidden from Alice. To achieve these requirements, we propose a card-based decision tree evaluation protocol.

3D2-3

2頂点の距離に基づく非コミットメント型カードプロトコルの新しい系列とDifference setを用いた開示フェーズの効率化 ○須賀祐治(株式会社インターネットイニシアティブ): 2者間非コミットメント型カードプロトコルにおいて，グラフをアクセス構造ととして取り扱う．与えられたグラフから1頂点を選択することを秘密の入力とし，入力を秘匿しつつ2点間の距離のみを出力する秘密計算を提案する．これは一致関数の拡張として考えることができる．特にJohnson association schemesを実現する2色カードを用いたナイーブなプロトコル実装を出発点として，与えられたグラフ上の距離で出力を表現する非コミットメント型カードプロトコルに関する複数の具体的な事例を提示する．これらの事例を考察することで，ランダムカットを用いた単純な新しいカード入力の制限方法を導入することにより，これまでに実現でされていなかったカードプロトコルの系列を実装できることを示す．さらに代数的組み合わせ的Difference setを活用して，出力結果の開示フェーズの効率向上が可能であることを報告する．

3D2-4

無向グラフとハイパーグラフに対するグラフシャッフルプロトコル ◎宮本賢伍(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): カードベース暗号とは物理的なカード組を用いて秘密計算やゼロ知識証明を実現する研究分野である. シャッフル操作はカード列をある確率分布に従って並べ替える操作であり，プロトコルの安全性の要である．最近，著者らは有向グラフの自己同型群によってカード列をランダムに並べ替えるグラフシャッフルと呼ばれる新しいクラスのシャッフルを提案し，それをパイルスクランブルシャッフルから実現するグラフシャッフルプロトコルを構成した. 有向グラフGがn個の頂点とm個の辺をもつとき，Gに対するグラフシャッフルプロトコルは2n+m枚の追加カードで構成できる. 無向グラフに対しては，一つの無向辺を二つの両向きの有向辺とみなすことにより，2n+2m枚の追加カードでグラフシャッフルプロトコルを構成できるが，有向グラフの場合よりm枚多くの追加カードを要する. 本研究では，無向グラフに対する追加カードn+2m枚のグラフシャッフルプロトコルを構成する. さらにその構成を拡張し，ハイパーグラフに対するグラフシャッフルプロトコルも構成する.

3D3-1

カードを用いた差分プライバシの物理的表現 ○江利口礼央(産業技術総合研究所) 、品川和雅(茨城大学/産業技術総合研究所) 、村上隆夫(統計数理研究所/産業技術総合研究所): カードベース暗号は物理的なカード組を用いることで暗号技術の機能や安全性を視覚的に表現するものである。本研究では、プロトコルの出力値によって生じるプライバシ侵害に関する安全性指標である差分プライバシに着目し、差分プライバシに基づくプライバシ保護手法のカードによる物理的表現を初めて提案する。具体的には入力の総和を近似的に計算する二種類のカードベースプロトコルを提案する。第一の方式は出力値に摂動を加えることで差分プライバシを実現するノイズ加算型手法に基づく。技術的新規性として、カード枚数が有限であるというカードベース暗号特有の制約のもとでノイズを生成するため、ノイズ加算型手法として初めて超幾何分布を用いたものを提案する。第二の方式は各参加者がベルヌーイ分布に基づき入力をランダム化することで差分プライバシを実現する手法であるRandomized Responseに基づく。ベルヌーイ分布に従う乱数の生成過程をカードを用いて近似的に表現し、十分なカード枚数のもとで差分プライバシを実現できることを示す。

3D3-2

部分開示操作を用いた4枚COPYプロトコル ◎本多由昂(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): カードベースプロトコルとは、物理的なカード組を用いて秘密計算を行う暗号プロトコルである。本論文では、一般的に市販されているトランプカードを用いるカードベースプロトコルを扱う。部分開示操作とは、2022年にMiyaharaとMizukiによって導入されたトランプカードのスートのみを開示する操作である。著者らは、CSS2023で部分開示操作の開示位置を一般化した操作を使用して、4枚コミット型ANDプロトコルと4枚コミット型XORプロトコルを提案している。本論文では、同様の部分開示操作を使用して、ランダムカット2回の4枚COPYプロトコルを提案する。また、提案プロトコルとCSS2023のプロトコルについて、使用できるカード組の組合せについて探索し、それらを列挙する。

3D3-3

カードベースANDプロトコルのインジェクション攻撃に対する脆弱性の検証 ◎中嶋光太(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): カードベース暗号におけるインジェクション攻撃とは、プレイヤがプロトコルへの入力として想定されていない不正なカード列を入力することにより、相手の入力値を推測することを試みる攻撃である。本稿では、Five-Card Trick、Mizuki-SoneのANDプロトコル、Mizuki-Kumamoto-SoneのANDプロトコルの三つのANDプロトコルについて、インジェクション攻撃に対する脆弱性を検証する。また、インジェクション攻撃の検出方法はMizuki-Shizuya（FUN 2014）によってランダム二等分割カットを用いるものが提案されているが、本稿ではインジェクション攻撃への新しい対策法としてシャッフルを用いない方法を提案する。

3D3-4

コインを用いた任意の論理関数に対する秘密計算プロトコル ◎南川侑太(茨城大学) 、品川和雅(茨城大学／産業技術総合研究所): 秘密計算とはデータを秘匿したまま計算することができる技術である。Komano-Mizuki（TPNC 2018）は、コインを用いて秘密計算を行う物理暗号プロトコルとしてコインベースプロトコルを提案した。その後、著者ら（CSS 2022）はハンド操作を必要としないコインベースプロトコルのモデル（ハンズフリーモデル）を提案し、そのモデルにおいてコミット型のプロトコルを提案した。これまでに提案されたプロトコルは特定の論理関数を計算するためのプロトコルであり、任意の論理関数を安全に計算するために十分なコイン枚数は解明されていない。本論文では、ハンズフリーモデルにおいて任意の論理関数を安全に計算するために十分なコイン枚数が2n+7枚であることを示す。

3D4-1

ルービックキューブの解法の物理的ゼロ知識証明 ◎木村佳和(東北大学) 、水木敬明(東北大学) 、駒野雄一(千葉工業大学): ルービックキューブは世界的に広く知られた立体的なパズルであり、一定の法則に則った置換の繰り返しによって立方体の各面のキューブの色をすべて揃えることを目的とするパズルである。本稿では、ルービックキューブの解法にゼロ知識証明の概念を適用することを考える。すなわち、ある不揃いな状態のルービックキューブが与えられたとき、ある回数の操作で全ての面の色を揃える解法を知るユーザ（証明者）が、その知識を漏らすことなく知っているという事実を別のユーザ（検証者）に納得させる物理的ゼロ知識証明プロトコルを提案する。なお、使用する物理的道具はカード組である。

3D4-2

ルービックキューブを秘匿したまま一様ランダムにスクランブルする方法 ○品川和雅(茨城大学／産業技術総合研究所) 、金井和貴(呉工業高等専門学校) 、宮本賢伍(茨城大学) 、縫田光司(九州大学／産業技術総合研究所): ルービックキューブ（あるいは15パズル）の早解き競技を考える。競技を公平に行うには、誰にも知られていない一様ランダムなインスタンス（初期配置）を作る必要があるが、どうすれば可能だろうか。この問題は本研究によって新しく提起されるものであり、これを置換パズルの秘匿ランダムインスタンス生成と呼ぶことにする。関連する著者らの最近の研究で、有限群の一様巡回群分解を定義し、カードベース暗号のシャッフルへの応用を示した。本研究では、一様巡回群分解に基づき、ルービックキューブと15パズルに対するランダムインスタンス生成に相当するカードプロトコルを構成した。これはルービックキューブでは43回、15パズルでは19回のパイルシフティングシャッフルで実現できる。

3D4-3

Card-Based Zero-Knowledge Proofs for Decomposition Puzzles ◎Suthee Ruangwises(The University Of Electro-Communications) 、Mitsugu Iwamoto(The University Of Electro-Communications): Decomposition puzzles are pencil-and-paper logic puzzles that involve partitioning a rectangular grid into several regions to satisfy certain rules. In this paper, we construct a generic card-based protocol called printing protocol, which can be used to physically verify solutions of decompositon puzzles. We apply the printing protocol to develop card-based zero-knowledge proof protocols for two such puzzles: Five Cells and Meadows.

3D4-4

二つのバラエティナンプレに対する物理的ゼロ知識証明 ◎高野主浩(千葉大学大学院融合理工学府) 、岸本渡(千葉大学融合理工学府): ゼロ知識証明とは，証明者Pが検証者Vに対して，ある知識wを知っていることを，その知識wの内容を知られることなく証明することである．また，カード等の物理的な道具を用いてゼロ知識証明を行うことを，物理的ゼロ知識証明という．本稿では，2WAYナンプレと不等号ナンプレという二つの数字パズルに対する物理的ゼロ知識証明のプロトコルを提案する.これらの提案プロトコルは，Gradwohlらによって提案された数独に対する物理的ゼロ知識証明のプロトコルの知見とパイルスクランブルという特殊なシャッフルを活用している．

3D4-5

2回あるいは1回のシャッフルを用いた数独に対する物理的ゼロ知識証明 ◎田中滉大(東北大学) 、水木敬明(東北大学): 数独に対するゼロ知識証明とは，数独の解を知る証明者がその解についての情報を一切明かすことなく，「解が存在し，証明者が解を知っていること」を検証者に納得させるというものである．2007年にGradwholらは数独に対する初のゼロ知識証明プロトコルを構築し，その後Sasakiらによって健全性エラーのないプロトコルが，Ruangwisesによってトランプカードを用いるプロトコルが考案された．2023年に著者らはUNOを用いた，シャッフル回数が16回であるプロトコルを提案した．そしてごく最近，CSS 2023において佐々木らはシャッフル回数が3回のプロトコルを提案した（カード枚数は324枚）．本稿では，さらにシャッフル回数を削減し，2回のシャッフルのプロトコルを提案する．このプロトコルで用いるシャッフルはパイルスクランブルシャッフルであり，カード枚数は324枚である．また，いくつかのパイルスクランブルシャッフルを合成することで，理論的には1回のシャッフルでプロトコルを構成できることを示す（243枚使用）．

3D5-1

桁上がりモジュールを用いた物理的ゼロ知識証明 ◎初貝恭祐(電気通信大学) 、安部芳紀(電気通信大学 / 産業技術総合研究所) 、渡邉洋平(電気通信大学 / 産業技術総合研究所) 、岩本貢(電気通信大学): 物理的ゼロ知識証明は，与えられたパズルに解答が存在することを，解答を明かさずに証明する技術である．著者らはCSS2023において，パズルが持つ一特徴を証明するモジュールを組み合わせることで全体の物理的ゼロ知識証明を構築するフレームワークを提案した．本稿では，新たに加算における桁上がりモジュールを提案し，覆面算・サムラインに対する物理的ゼロ知識証明を提案する．桁上がりモジュールによって，筆算における桁ごとの加算で入力を秘匿しながら計算結果と繰り上がりの有無を出力できる．2つのパズルのうち覆面算には多角形カードを用いる既存プロトコルが存在するが，既存研究に対して提案プロトコルはカード枚数が増加する代わりに，カードベース暗号で一般に用いられる二値カードのみで実装できる．

3D5-2

視覚復号型秘密分散暗号シートを用いた多値多入力秘密計算プロトコル ○小泉康一(福島工業高等専門学校) 、大槻正伸(福島工業高等専門学校) 、水木敬明 (東北大学) 、花岡悟一郎(産業技術総合研究所): 物理的な道具を利用して，各入力を秘密にしたまま何らかの関数の出力だけを得る秘密計算プロトコルに関する研究がさかんに行われている．物理的な道具としてはトランプのようなカード組を用いることが多いが，他の道具を用いたプロトコルも研究されている．本稿はその中でも視覚復号型秘密分散法による暗号シートに着目し，そのような物理的なシートを用いて，プレイヤーn人の入力が多値の場合の秘密計算プロトコルを新たに提案する．本方式を用いると例えば2人の金持ち比べプロトコルがシンプルな手順で構成できる．原理的には任意の関数に対応する秘密計算を実現できる．

3D5-3

部分ラテン方陣完成問題に基づいたカードベース対話証明プロトコル ◎谷口太一(電気通信大学) 、サントソバグス(電気通信大学) 、横田明卓(電気通信大学): カードベース対話証明プロトコルとはカードを用いて証明者が検証者にある計算問題の答えを知ってることを証明する物理的な二者対話プロトコルである. 2009年にGradwohlらは数独に基づいたカードベース対話証明プロトコルを提案した. Gradwohlらのプロトコルはゼロ知識性を満たしており, 数独問題の答えを明かさないままその答えを知ってることを証明できる. 本研究は数独よりシンプルな部分ラテン方陣完成問題に注目し, よりシンプルなゼロ知識性を満たしているカードベースプロトコルを目的とする．部分ラテン方陣完成問題は数独よりもシンプルかつ拡張性が高いでありながら, 数独と同様にNP完全性を満たしている. 本論文は部分ラテン方陣完成問題に基づいた新たな二つのカードベース対話証明プロトコルを提案する. 一つ目の方式は, ゼロ知識性を持つプロトコルである. 二つ目の方式は, 二つの部分ラテン方陣完成問題を用いて, その二つの問題のうちにどの問題に対して答えを知っているか明かさないまま, 少なくとも一つの問題の答えを知っていることを証明するプロトコルである.

3D5-4

カード枚数に関して効率的なカードベースソートプロトコル ◎加藤航汰(豊橋技術科学大学) 、中井雄士(豊橋技術科学大学) 、鈴木幸太郎(豊橋技術科学大学): カードベース暗号はトランプのような物理的なカードを用いて，人の手による操作で秘密計算を行う暗号技術である．ソートプロトコルとは複数の参加者でn個の要素からなる入力列を，値を秘匿したままソートする秘密計算プロトコルである．Hagaら(IWSEC2022)は，基数ソートに基づいてカードベースソートプロトコルを提案した．彼らは，シャッフル回数が有限回でないラスベガス方式と，必ず有限回で終わる2つの方式を提案した．後者の方式は入力のカード列に加えて，O(n^2+m)枚の追加カードが必要である(mは要素のビット長を表す)．本稿では，シャッフル回数が有限で追加カード枚数がO(m)のカードベースソートプロトコルを提案する．提案方式は，バイトニックソートに基づいており，内部で入力数が2の場合のHagaらの方式を利用して構成される．なお，nは2のべき乗でなければならない．これを満たさない場合はダミーを入れて入力数を調整する必要があり，この場合の追加カード枚数はO(nm)である．

3E1-1

道路交通標識を対象とした影挿入による敵対的攻撃 ◎戸本航平(名古屋大学大学院情報学研究科 ) 、倉地亮(名古屋大学大学院情報学研究科) 、松原豊(名古屋大学大学院情報学研究科) 、高田広章(名古屋大学大学院情報学研究科): 自動車における電子制御技術の活用が進む中で，自動車に対する悪意のある攻撃の機会や脅威は増加している．自動走行システムでは，カメラから取得した画像データに対して深層学習を適用し物体検出や道路標識の認識を行うことがある．一般に，深層学習は元画像に対してある摂動を加える敵対的攻撃に対して脆弱であることが知られており，自動走行システムへの脅威となりうる．このような背景を踏まえ，本研究では特定の道路標識の認識に焦点をあて，Adversarial Shadow Attackを提案する．この攻撃は，実世界で生じうる影によって道路標識の認識機構がクラス分類を誤ってしまう脅威を再現することを狙いとしている．より具体的には，深層学習モデルから得たClass Activation Mapにより分類タスクに大きな影響を与える箇所を特定し，その周辺を覆う影を画像中に挿入する．本論文では，攻撃手法を実装し，道路標識画像データセットとそれを学習した深層学習モデルを利用した実験を通じて，提案手法の脅威の実現性を検証する．

3E1-2

車載AIに対するモデル推定攻撃の対策手法と効果検証 ◎伊藤貴佳(パナソニックオートモーティブシステムズ株式会社) 、竹内章人(パナソニックオートモーティブシステムズ株式会社) 、横田薫(パナソニックオートモーティブシステムズ株式会社): 近年，様々な産業分野においてAI(Artificial Intelligence)の活用が進んでおり，自動車業界においても，カメラ映像の認識や先進運転支援システムなどの実現に活用されつつある．一方で，AIに対する攻撃も複数発見されており，本稿では学習済みのAIを窃取するモデル推定攻撃について取り上げる．開発者にとってAIモデルは保護すべき重要な知的財産であり，窃取された際の被害損失は大きい．また，窃取されたAIを解析に利用されることで敵対的サンプル攻撃などの攻撃が容易となり，更なる被害へ発展する可能性も高まる．本稿では，車載システムに搭載されたAIに対するモデル推定攻撃の対策手法を提案し，その有効性を実験により評価した．実験では分類AIモデルとセグメンテーションAIモデルの2つを対象に，それぞれ対策効果を測定する実験を行った．実験の結果，対策を行うことで攻撃者が再現可能なAIモデルの精度は未対策時に比べて低く抑えられることを示すことができ，本提案手法の有用性が確認された．

3E1-3

サイバーセキュリティ文書からの脅威カテゴリ抽出に対する大規模言語モデルの適用評価 ◎秋本慎弥(パナソニックホールディングス株式会社 ) 、佐々木崇光(パナソニックホールディングス株式会社 ): 近年，サイバーセキュリティ対策としてサイバー脅威インテリジェンス(CTI)を活用することが広く検討されている．CTIに関する既存研究として，インターネットなどから収集したサイバーセキュリティ文書に対するCTI抽出が行われており，特に固有表現抽出などを使ったキーワード抽出が広く行われてきた．しかし，CTIを広く活用するため，キーワードだけでなく，CTIの分類や傾向分析に応用できる脅威カテゴリの抽出が求められていた．脅威カテゴリはサイバーセキュリティ文書中に直接記載されていないことが多く，文書の要約やカテゴリの推論が必要であったため，キーワード抽出に比べ困難であったが，近年進展がめざましい大規模言語モデル(LLM)により容易になることが期待できる．そこで本論文では，サイバーセキュリティ文書からの脅威カテゴリ抽出に対してLLMが適用可能か評価する．まず，LLMを採用した脅威カテゴリ分類抽出プロセスの構成について述べ，次に，自動車サイバーセキュリティに関する脅威カテゴリの抽出を対象とした性能評価を行う．最後に，脅威カテゴリ抽出に対する現時点のLLMの課題について述べる．

3E1-4

自動車のAI/ML利用におけるサイバーセキュリティの論証について ○溝口誠一郎(DNV Business Assurance Japan K.K) 、櫻井幸一(九州大学): 本論文では、自動車でのAI/ML利用における、サイバーセキュリティ論証の戦略について考察する。

3E2-1

状態分離によるプライバシー保護型車群速度制御に関する研究 ◎兵藤剛士(電気通信大学) 、澤田賢治(電気通信大学): 車群制御ではサイバーセキュリティ対策の需要が高まっている．サイバーセキュリティ対策が必要となる環境として，V2X通信を用いた交通信号制御(TSC)システムが挙げられる．TSCシステムの環境下では車群状態を車群外の攻撃者により傍聴され，データスプーフィング攻撃を受ける可能性が挙げられる．データスプーフィング攻撃により偽の車両状態を車群内他車や信号制御システムに送信されることで，信号タイミングプランに乱れが生じ交差点の運用効率が低下する．著者らの先行研究では車群内の攻撃者による車群内他車の状態推定を防ぐため，車群状態にランダムノイズを付加するプライバシー保護型平均合意制御を車群速度制御に適用した．ランダムノイズの付加によるプライバシー保護では，車群内全車両の情報を傍聴可能な攻撃者による状態推定に対応することができない．本研究ではTSCシステムにおいて車群内全車両の情報を傍聴可能な車群外攻撃者による車群状態推定を防ぐため，状態分離によるプライバシー保護型平均合意制御(PPACSD)を車群速度制御に適用することを考える．具体的には車速応答が一次系になる車群に対して，車群速度制御上でPPACSDが実現されるためのゲイン設計条件を導出する．

3E2-2

サイバー攻撃下における協調型車間距離制御装置に対するフィルタリング機能の開発 ◎藤本拓磨(電気通信大学) 、澤田賢治(電気通信大学) 、山藤勝彦(日産自動車): 代表的な自動運転支援システムとしてアダプティブクルーズコントロール（ACC）が普及している．ACCはセンサから取得可能な先行車との距離や相対速度によって車両を制御するものである．本研究ではACCの高度化技術として他車との車々間通信により車間距離制御を行う協調型アダプティブクルーズコントロール（CACC）について取り上げる．近年自動運転システムに対するサイバー攻撃として，LiDARやセンサから取得する歩行者または先行車に関する情報を偽装している．また車群におけるV2V通信に対して遅延，偽装攻撃を行う研究がなされている．このようなサイバー攻撃が起こると他車や歩行者などの正確な環境情報が取得不可能になる．適用対象としているCACCシステムはV2V通信を介して前方車だけでなく後方車とも情報を取得することが可能である．そのため，サイバー攻撃を受けるとその影響が他車へと送信され，重大な事故に繋がりかねない．そこで本研究は，サイバー攻撃を受けているセンサ，V2V情報に対して攻撃影響を削減する協調型フィルタリング機能の開発を目的としている．本研究の成果はサイバー攻撃下に対して協調型フィルタリング機能により正確な一時停止が可能であることを示す．

3E2-3

サービス探索時にサーバなりすまし攻撃の検知を行うSOME/IP 向け通信保護方式 ◎家平和輝(京都産業大学大学院先端情報学研究科) 、井上博之(京都産業大学情報理工学部): 近年の自動車開発では消費者への納車後にOver The AirやPlug and Playによりソフトウェアやハードウェアを更新し，機能の追加や更新を行う要望が増加しており，この課題に対応するためにサービス指向アーキテクチャが注目されている．AUTOSARにより規定されているサービス指向通信ミドルウェアのSOME/IPではTCP/IPスタック上で通信を行う仕様となっており，SOME/IP自身では暗号化および認証の仕組みは持っていないため，なりすまし攻撃に脆弱である．本稿では，パケットSwitch上に異常検知アルゴリズムと通信保護アルゴリズムを実装することで，サービス探索時に攻撃者の存在の可能性を検知し，正規のServer-Client間の通信を保護する方式を提案する，SOME/IPプロトコルスタックのプロトタイプ実装であるvsomeipを用いた実機評価で，正規のServerによるサービス提供が無効化されない限りServerになりすます攻撃を100%検知できることを確認した．

3E2-4

A Study of the Reliability of Electronic Control Unit Fingerprinting Methods ○Camille Gay(Yokohama National University / Toyota Motor Corporation) 、Tsutomu Matsumoto(Yokohama National University): Modern vehicles rely on a network of Electronic Control Units (ECUs) connected with a communication protocol such as Controller Area Network (CAN). To protect ECU networks from cyber-attacks, researchers have proposed several countermeasures, a subset of which mainly relies on monitoring ECU clock skews using CAN message timestamps. In this paper, we evaluate the reliability of these countermeasures on two modern vehicles, and demonstrate several issues with them. We show that CAN message periods do not always depend only on the clock skew of an ECU, and that the message destination identification method and non-transmitting ECU detection method proposed by related work are not effective. As an alternative, we suggest analyzing the distribution of inter-arrival timestamp differences for noninterfered CAN frames, which are frames that started transmission when the CAN bus was in an idle state. We show as a proof of concept how this distribution can reveal anomalies with ECU software.

3E3-1

IoTセキュリティ人材育成のためのスマートホームセキュリティ演習システムの仮想化の試み 原田成斗(琉球大学工学部工学科知能情報コース) 、○城間政司(琉球大学工学部工学科知能情報コース): IoT機器に対するサイバー攻撃の脅威が増大しており、IoTの分野においてもセキュリティ人材の育成が課題となっている。そこで我々は、擬似的に構築されたスマートホーム環境とその環境に対してセキュリティ検証を行うツール装置を含むスマートホームセキュリティ演習システムを構築してきた。ただし、本システムは、動作環境が特定のハードウェアに依存しており、管理や運用に関するコストが高くなってしまう課題や演習内容の柔軟性に関する課題がある。そこで本研究では、同演習システムを仮想マシン上に実装することでハードウェアに依存する部分を減らし、IoTセキュリティに関する演習を幅広く提供できるようにしている。本発表では、演習システムの仮想化やそれによって生じる課題、解決方法について発表する。

3E3-2

船舶のGPS Spoofingにおける運航システムへの影響に関する基礎的研究 ○坂本彩乃(広島商船高等専門学校専攻科) 、野元梨乃(広島商船高等専門学校) 、仙田眞之(情報セキュリティ大学院大学) 、岸拓真(広島商船高等専門学校) 、須崎有康(情報セキュリティ大学院大学) 、長谷川長一(株式会社ラック): 2020年より、海運における運航の自動化・自律化の議論や実証実験が進んできている。一方でサイバー攻撃の大きな対象ともなりうる話である。本研究は、電子海図表示装置（ECDIS・ECS）を活用した運航において、最も脅威となるGPS電波のSpoofingによる自船位置の変更について、その運航システムへの影響について明らかにする。また、spoofing後の対応についてレスポンスチャートを提案し、その効果について、日本で教育を受けた日本人海技者を対象に運航シミュレーションを通じて、明らかにする。本研究の結果、サイバー攻撃の知識が十分でない日本人海技者は、spoofingに対して、反応できない・把握できないとしながらも、GPSに依存しない運航に躊躇なく移行できたこと、そして安全な運航を継続できることが明らかになった。しかし、一方で、レスポンスチャートを把握していない状態で、かつ電子海図表示装置に依存していた日本人海技者は、状況を把握できずに安全でない運航を行った事例等も確認もした。これらの結果から、レスポンスチャートの有効性を確認することができた。今回のレスポンスチャートは、今後自動化の進む船舶の運航について運航者に求められる重要な施策であると考えられる。

3E3-3

画面のスペクトル分布を用いた新たなQR コードの提案 ◎須長淳也(電気通信大学) 、嶋野裕一郎(電気通信大学) 、宮原大輝(電気通信大学) 、李陽(電気通信大学) 、崎山一男(電気通信大学): 現在，多くのWebサービスにおいて，2段階認証が推奨されている．例えば，スマートフォンのショートメッセージによるワンタイムパスワードの送信がよく用いられる．しかしながらその利用には手間がかかりすぎるなど，問題がある．そこで本研究では新たにディスプレイのスペクトル分布とQR コードを利用した2段階認証の方式を提案し，その実現可能性を論じる．ディスプレイの発光スペクトル分布に関する情報を事前にQR コードリーダーと共有しQRコードによる認証の補助情報とする．論文では，実現可能性を実験を通して論議する．

3E3-4

Basic認証を標的としたサイバー攻撃に関する調査 ◎大塚瑠莉(三菱電機株式会社) 、九鬼琉(横浜国立大学理工学部数物・電子情報系学科) 、吉岡克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院): Basic認証は，IoT機器からWebサーバまで，サービスの種類を問わず幅広く利用されている認証方式である．Basic認証は実装が容易かつほぼ全てのWebサービスに対応可能という利点がある一方で，認証時の通信を平文でやり取りしていることから，第三者に盗聴された時に簡単に復号されてしまうというセキュリティ上の欠点がある．インターネットに接続されている機器を対象とした検索サービスでは，実際にBasic認証がはたらいているサービスを1,000種類以上確認することができた．Basic認証を搭載しインターネット上に晒されているサービスについての実態調査をし，さらに，サービスの応答を模擬するハニーポットを構築し観測をすることで，Basic認証搭載機器を標的としたサイバー攻撃の有無や内容について調べた．本発表では調査結果の報告を行うとともに，世界でよく晒されている機器の共通点についても述べる．

3E4-1

サイバー攻撃下での階層的スーパーバイザ制御によるモデル再構築 ○小川寛太(電気通信大学) 、澤田賢治(電気通信大学): IoT化が進む制御システムはサイバー攻撃を前提としたシステム設計や運用が求められる．つまり，サイバー攻撃を受けたのちの安全な運用が求められている．本研究の目的は，攻撃モデルと縮退運用モデルを設計することである．攻撃された状況での課題はプラントの制御可能な部分が通常の制御と攻撃下の制御とで異なる．このため攻撃下のプラントでは通常制御が行えない可能性が存在する．この問題に対処するため，本研究では階層的スーパーバイザ制御を用いる．スーパーバイザ制御理論により通常制御視点と攻撃者視点で可制御性の違いを明確にすることができる．攻撃者の可制御性を元に防御策を検討する．これにより攻撃者の可制御性を考慮したプラントモデルを再構築し，縮退運転モデルを設計する．この縮退運転モデルはサイバー攻撃時の攻撃者の可制御性に基づいて防御策を設計できることを示す．さらに強化学習を用いたスーパーバイザ制御理論により導出された防御策が可制御であることをシミュレーションにより示す．

3E4-2

制御システムの攻撃検知における尤度比検定を用いた誤検知・検知漏れの一評価 ◎西内達哉(電気通信大学) 、安部芳紀(電気通信大学) 、渡邉洋平(電気通信大学) 、岩本貢(電気通信大学) 、澤田賢治(電気通信大学) 、新誠一(キャノンメディカルシステムズ株式会社): 制御システムのネットワーク攻撃検知種法として相対エントロピーが利用される．既存研究の多くは検知率を上げる閾値設定を第一種誤り（誤検知）と第二種誤り（検知漏れ）を小さくするように試行錯誤的に与えている．一方，情報理論は尤度比検定における閾値と誤り確率の理論的な関係を明らかにしている．閾値の理論的な設定のために，著者らは制御用通信（Modbus TCP）のDoS攻撃や中間者攻撃の実験データ用いて相対エントロピーと尤度比検定の関係を調査してきた．本稿では，通信の確率モデルと尤度比検定に基づいた閾値設定方法の提案と実験的評価を行う．Modbus TCP通信のレスポンスとACKの遅延時間を既知として，誤検知と検知漏れのトレードオフ性を考慮した検知器を構築し，この検知器が実機実験において理想的な検知性能を達成するかを評価する．Neyman-Pearsonの補題とSteinの補題から，誤検知率を一定未満に抑えた場合の検知漏れ確率をこれ以上小さくできないという意味で最適化する相対エントロピーに基づいた閾値設定について考察する．

3E4-3

デジタルツインによる鉄道制御系の脆弱性評価と強靭化の検討 ○岡村望夢(電気通信大学) 、澤田賢治(電気通信大学) 、尾崎紀之(三菱電機) 、宮内茂人(三菱電機): 重要インフラへのサイバー攻撃リスクが高まる中，鉄道システムへのサイバー攻撃の成功は人的被害が重大となる．そうならないとしても，機能停止が続けば経済損失は計り知れない．本研究では制御系の物理的な振る舞いとの情報的振る舞いを相互評価すること(デジタルツイン)により，鉄道制御系の脆弱性評価と強靭化について検討する．鉄道制御系のデジタルツイン表現として，制御系に流れる制御信号や観測情報をグラフ表現にまとめる．まず，制御プログラムはその制御フローグラフを，鉄道はその物理的な振る舞いをモデル化する．つぎに，2つのモデルより得られる可達グラフから制御系の状態遷移図を表現し，脆弱な状態の特徴付けとその状態の強靱化を行う．本発表では，鉄道模型を例に，センサインシデントにより車間距離制御に不具合が発生したときに合流地点で衝突事故が起きる「脆弱な状態」と事故が起きない「強靭な状態」を可達グラフにより分析する．それにより，前者の状態を後者の状態にするような対策や，センサインシデントが発生した後の対応（インシデントレスポンス）のケーススタディを報告する．

3E4-4

分散型電源に関するセキュリティガイドライン ○山口高弘(パナソニックホールディングス株式会社) 、田崎元(パナソニックホールディングス株式会社) 、上西和人(パナソニックホールディングス株式会社) 、麻生忠臣(パナソニックホールディングス株式会社) 、坂本智彦(パナソニックホールディングス株式会社) 、氏家良浩(パナソニックホールディングス株式会社): 脱炭素社会実現に向けて再生可能エネルギーの活用が推進されている。これまで専用回線を用いることで一定のセキュリティが担保されていたが、再生可能エネルギー等の発電・蓄積に利用される分散型電源はIP通信で遠隔制御されると考えられており、サイバー攻撃のリスクが高まる。各国で進められているIP通信を前提とする分散型電源のセキュリティガイドラインに関する動向を調査する。

3E4-5

OCPPプロトコルに対する攻撃シナリオとセキュリティ対策に関する一考察 ◎田崎元(パナソニックホールディングス株式会社) 、山口高弘(パナソニックホールディングス株式会社) 、上西和登(パナソニックホールディングス株式会社) 、麻生忠臣(パナソニックホールディングス株式会社) 、坂本智彦(パナソニックホールディングス株式会社) 、氏家良浩(パナソニックホールディングス株式会社): 脱炭素社会の実現に向けて，太陽光発電や風力発電などの再生可能エネルギーの活用が進められており，再生可能エネルギーから発電・蓄電する分散型電源の活用が期待されている．その中でもバッテリを搭載し充放電可能な電気自動車（EV）は市場普及が拡大しており，分散型電源としての活用が見込まれている．EV充電において，EV充電器と電力制御を行うサーバー間の制御通信にはOpen Charge Point Protocol（OCPP）が広く利用されているが，その脆弱性も指摘されている．そこで，本論文ではOCPPプロトコルに着目し，通信プロトコル仕様をもとに想定される攻撃シナリオについて検討し，セキュリティ対策について考察を行う．

3E5-1

レガシー機器向けサーバ・クライアント構成型データ転送システム ◎越出和磨(株式会社日立製作所) 、熊谷洋子(株式会社日立製作所): 近年、生産効率向上等を目的とした製造現場のDX化が進められており、現場データをIT環境に集約・高度分析を行うニーズが高まっている。一方で、製造現場にはネットワーク(NW)に接続できないレガシー機器が存在し、DXの足かせとなっている。このようなレガシー機器からのデータ収集自動化に向け、専用のゲートウェイ(GW)を接続した上で、GW上で必要なセキュリティ処理を実施することにより、NWへの接続を可能とする手法が用いられている。しかしながら、ポリシー変化に伴うセキュリティ処理の変更や、ウィルス定義ファイル更新に対し、GW上で全て対応するにはスケーラビリティに欠けるという課題がある。そこで本稿では、セキュリティ処理を担う機能をそれぞれサーバとして構築し、GWをクライアントとして分離した、サーバ・クライアント構成型のデータ転送システムを提案する。サーバとしてセキュリティ機能を分離することにより、セキュリティ機能の追加、変更が容易となる。検討に伴い、オンデマンドに適用セキュリティ処理を変更可能なルーティング手法を検討した上で、プロトシステムを構築、フィージビリティ検証を実施した結果、提案システムの有効性を確認した。

3E5-2

鉄道システム向け脆弱性試験設計手法 ○河内尚(日立製作所): 近年、OTシステムを対象としたサイバー攻撃は増加傾向にあり、鉄道システムにおいても影響がでる事例が海外で報告されている。国交省「鉄道分野における情報セキュリティ確保に係る安全ガイドライン、TS50701(ptIEC63452)では、製品に脆弱性が無いかどうかを確認する脆弱性試験が要求されている。本報告では、セキュリティ知識やテスト経験の少ない人材であっても、鉄道システムに使用されている汎用技術の既知脆弱性に関する試験項目を抽出し試験環境を特定し、優先度を評価できる手法を報告する。テスト設計手法の評価のため、将来的なセキュリティ認証化が予想されており、セキュリティ要求への対応が今後求められる可能性が高いことと、外部情報に基づき鉄道制御を行う重要システムのため高いセキュリティ性が求められることから、本報告での試験設計の対象は、FRMCS（Future Railways Mobile Communications　System）のアーキテクチャを用いた。FRMCSのセキュリティ分析結果を用いて、攻撃経路上の汎用技術項目を特定し、特定した汎用技術項目から試験項目を立案し、各試験項目でCVSS値のリスク評価と試験に必要な設備、技術、期間で実現可能性評価を実施した。

3E5-3

宇宙ロケット用セキュア通信のためのGNSS測位情報を用いた鍵同期方式 ○森岡澄夫(インターステラテクノロジズ) 、尾花賢(法政大学) 、吉田真紀(情報通信研究機構): NewSpaceと呼ばれる民間主導の宇宙開発が世界で活発化している．この動きを受けて宇宙活動法が平成30年11月15日に施行された．その関連ガイドラインには，人工衛星の打上げ用ロケットにおいて，重要なシステム等に関する信号の送受信について適切な暗号化等の措置が求められる旨が記載されている．筆者らは，宇宙機と地上局間の無線通信において情報理論的安全性を低コストで確立することを目指し，セキュリティ要件の整理，プロトコルの設計と安全性評価，民生部品を用いた処理系実装などを行い，宇宙ロケットMOMOによる実証実験を進めてきた．提案方式では他の情報理論的安全な方式と同様，送信側と受信側が鍵を事前共有し使い捨てていくため，両者が同時に同じ鍵を使わなければならない（鍵の同期）．既存のセキュア通信における同期方式では, 送受信者で状態変数の共有・更新の通信があり，宇宙機の通信環境に適さない．具体的には，ソフトエラーなど宇宙機特有のハードウェア障害の影響を低減する必要がある．そこで，GNSS時刻を用いて状態変数の利用を最小化する鍵同期方式を検討してきたが，達成可能な通信速度が数十kbpsであった．本稿では，GNSS測位情報の併用によって通信速度を10Mbpsオーダに向上できることを報告する．

3E5-4

制御システムのサイバー攻撃対策を目的とした異常原因特定のための学習データ生成手法の拡張 ◎雛田浩生(住友電気工業株式会社) 、吉田圭吾(住友電気工業株式会社) 、増川京佑(住友電気工業株式会社) 、石塚周(住友電気工業株式会社) 、相馬大輔(住友電気工業株式会社、国立研究開発法人産業技術総合研究所住友電工―産総研サイバーセキュリティ連携研究室): 近年、国際的な法整備や標準化の進展によりサイバー攻撃の発生を関係機関に迅速に報告することが義務付けられている。迅速な報告を行うには、異常が発生した際に原因がサイバー攻撃か否かを短時間で特定する必要がある。短時間での原因特定を行うため、我々はセンサデータと機械学習によって異常原因を特定する支援技術の開発に取り組んでいる。特に、機械学習による原因特定に必要な異常データの不足を補うため、我々は正常動作および取得済みの異常動作のデータから、取得したデータと異なる異常動作のデータを生成する手法の開発に取り組んでいる。既存手法では、取得済みの異常データと同じ動作パラメータが異常の動作の学習データに限り、生成可能であった。本稿では、既存手法を拡張し、センサデータを反転や切貼りすることによって取得済みの異常データとは別の動作パラメータが異常のデータを生成する手法を提案する。本技術により、機械学習による異常原因特定のために取得が必要な異常時の学習データを削減できる。

3F1-1

オンデバイス学習エッジAIのセンサーに対する物理攻撃を用いたポイズニング攻撃の実証 ◎井野貴仁(立命館大学) 、吉田康太(立命館大学) 、松谷宏紀(慶應義塾大学) 、藤野毅(立命館大学): 本研究では，機械の故障等の異常を監視できる軽量なエッジAIデバイスのセキュリティ検討を行う．軽量なエッジAIデバイスは推論のみを行う場合が多いが，計測データが，配置された場所の環境に依存して変化する場合には精度が低下することが問題となる．この対策として，AIが自身の置かれた環境に合わせて学習モデルを更新するオンデバイス学習が提案されている．一方，エッジAIの学習モデルの窃取や改ざんがセキュリティ課題となっている．特に攻撃者による物理的な接触が可能であることを利用した新たなセキュリティリスクが懸念されているが，オンデバイス学習に特有の攻撃事例はほとんど報告されていない．本稿ではオンデバイス学習AIに対する物理的な攻撃を利用したデータポイズニング攻撃の実例を報告する．ファンに近接して設置した加速度センサの測定値を簡易なオートエンコーダを用いて異常振動を検知するシステムを評価対象とした．加速度センサに対して特定の周波数の音波を照射すると測定値が改ざんできるという攻撃を利用した．本手法で得られた改ざんデータを学習した異常検知器は，ファンの異常振動を正常に検知することができなくなるという結果が得られた．

3F1-2

垂直連合学習におけるラベル推論攻撃の対策手法の検討 ◎川井聖也(立命館大学) 、上田澪(立命館大学) 、吉田康太(立命館大学) 、中井綱人(三菱電機株式会社) 、藤野毅(立命館大学): 機密やプライバシに関わる情報は外部に公開できないことが多く，深層学習モデル等の訓練に利用することが困難である．これに対して，複数の組織（クライアント）が所持するプライバシ情報を直接的に共有することなく深層学習モデルを訓練する手法として垂直連合学習がある．これは複数のクライアントと1つのサーバが1つの深層学習モデルを分割して担当し，機密やプライバシにあたる入力データやラベルを共有する代わりにモデルから得られた中間特徴ベクトルと勾配ベクトルを共有する．しかしながら，悪意あるクライアントが事前知識を元に中間特徴ベクトルや勾配ベクトルを解析してラベルを推定する，ラベル推論攻撃の脅威が報告されている．我々は以前，学習完了後のクライアントのモデルが計算する中間特徴ベクトルと，学習開始直後(1エポック目)の勾配ベクトルがそれぞれ攻撃者にとって有利である(ラベルに関する情報を多く含む)ことを報告した．本稿では異なるタスクによる追加評価を行い，そちらでも同様の結果が得られたことを報告する．更に，以前の考察を踏まえクライアントのモデルパラメータの更新手法を工夫した対策手法を実験的に検討した結果も報告する．

3F1-3

連合型ソースフリードメイン適応における重み付きローカル学習手法 ◎木原孝輔(NEC) 、森隼基(NEC) 、寺西勇(NEC): 近年、機械学習の発展とプライバシー保護への関心の上昇から、複数のユーザーがデータを開示せず、ローカルで学習したモデルのみを共有して高性能な機械学習モデルを共同で作成する、連合学習という手法が注目されている。さらに実社会での運用を考慮すると、各ユーザーが保有するデータのドメインが異なるケースがあり、複数のドメインに対応するためのドメイン適応を解決することが必要となる。中でも、適応元のソースとなるドメインで学習したモデルと、適応先のターゲットドメインのデータのみで適応を行う場合はソースフリードメイン適応（SFDA）と呼ばれ、ソースドメインのデータを用いない、よりプライバシー保護を考慮した課題である。我々は、連合型SFDAにおいて、ソースとターゲットのドメインの組み合わせによって、適応が進まず精度が上がらない場合があることに着目した。この問題に対し、各ユーザーのローカル学習時に、他のドメインの知識を残しながらターゲットドメインへの適応を進める学習手法を提案する。提案手法は、連合型SFDAに取り組む先行研究を上回る精度を達成し、精度の上がらないドメイン適応を改善する効果があることを確認した。

3F1-4

サンドボックスAI：秘匿すべき情報を出し合いながら人間の試行錯誤も行えるセキュアなAI構築基盤 ◎税所修(NTT社会情報研究所) 、柏木啓一郎(NTTソフトウェアイノベーションセンタ) 、岩花一輝(NTT社会情報研究所) 、神谷弘樹(NTT社会情報研究所): 秘密計算を代表にAIの学習や推論をセキュアに行う技術が盛んに研究されている．これらの技術は機微なデータの利活用に欠かせないが，学習データやAIモデル自体は既に存在し，定型的な機械処理を秘匿実行するだけであることが前提にある．医療などの機微なデータとAIの融合による新価値を生み出すには，その学習データやAIモデルの構築といった人間の作業を含めた機械学習パイプライン全体においてセキュリティ，プライバシを考慮した環境が必要である．本研究では，共有データやAIモデルを互いに公開することなく，効率的かつ共同で正確なAIモデルを構築，運用できる「サンドボックスAI」を提案，検証する．サンドボックスAIは，コンフィデンシャルコンピューティング基盤上でプライバシ保護合成データ生成技術とこれらの特性を活かした能動学習を活用する．これによりデータ提供者，アノテータ，AIモデル作成者，ユーザは互いに自身の持つ実データや情報を他のアクタに知られることなく，アノテーションから推論までの機械学習パイプラインを協力して実行できる．実験の結果，プライバシ侵害のある実データを用いた従来の学習と同程度のモデル精度を達成できることを示した．

3F2-1

大規模言語モデルの曖昧さの定量化とその実践的応用 ◎長谷川健人(KDDI総合研究所) 、披田野清良(KDDI総合研究所) 、福島和英(KDDI総合研究所): 大規模言語モデル(LLM)が加速度的に進歩しており，チャットボットなどのアプリケーションでは人間にとって自然な文章の生成が実現されている．ところが，学習したデータに存在しない事柄をさも当然のように生成する現象など，正解が明確に存在する質問に対してLLMが必ずしも正しい情報を返すとは限らないことが指摘されている．このような現象はLLM単体の信頼性を損なうだけでなく，LLMの出力を後段のタスクで利用する際に誤った結果をもたらす可能性がある．そこで本稿では，生成言語モデルの出力の不確かさを定量的に評価するフレームワークを提案する．提案するフレームワークでは，セキュリティタスクなどの特定分野のアプリケーションにおけるLLMの活用を想定して，モデルに事前知識を与える検索拡張生成(RAG)タスクを対象とする．提案するフレームワークを用いた評価実験を通じて，不確かさの定量的評価の有効性を確認するとともに，セキュリティタスクにおける実践的応用について考察する．

3F2-2

検証可能な AI の利用に向けた検討：性格特性を用いた大規模言語モデルの同一性検証 ○桐淵直人(NTT 社会情報研究所) 、芦澤奈実(NTT 社会情報研究所) 、大木哲史(静岡大学) 、西垣正勝(静岡大学): 安心してAIを利用できる世界の実現に向けて，著者らは利用者がAIに期待する様々な事柄を検証可能にする検討を続けている．その一環として本稿では，まず，同じ入力に対しても出力が確率的に変化する生成AIを想定したAIの識別手法を提案する．この手法は，利用者の期待に沿うAIに対して，同じ入力を与えた際の出力の分布を事前に取得し，利用しようとするAIの出力分布と同一かどうかを識別することで，期待する事柄の検証を可能にする．次に，提案手法の適用例として，現在特に注目を集める大規模言語モデルを対象に実験を行う．実験では，利用者が期待する事柄として，AIから読み取れる性格特性が，利用者が以前にやり取りしたAIと同一かを検証したいという想定で，Big Five性格特性を検査するTIPI-Jを複数の言語モデルに回答させ，得られた性格特性から同一性を検証する．提案手法を使うことで，チューニングによって内部パラメータが完全に同一でなかったとしても，人格として同一かを検証できるようになり， AIと人との自然なコミュニケーションを促進するだけでなく，AIへのなりすましや攻撃の検知にも活用が期待される．

3F2-3

強い宝くじ仮説に対するデータ再構成攻撃リスク ◎山﨑雄輔(NTT) 、千々和大輝(NTT) 、三浦堯之(NTT) 、深見匠(NTT) 、張一凡(NTT): 深層学習モデルは学習データを記憶することが知られており，モデルの情報から学習データが漏洩するリスクがある．実際上の脅威として，連続最適化の停留点条件に基づくデータ再構成攻撃手法があり，重み変数を連続最適化するNeural Network (NN)において広く脅威となる．強い宝くじ仮説に基づき，重み変数を固定しニューロン間の接続構造を最適化（枝刈り最適化）する学習手法もあるが，枝刈り最適化によるNNに対する停留点条件に基づくデータ再構成攻撃の有効性は未知である．枝刈り最適化では離散の二値で表されるニューロン間の接続構造を最適化するので，停留点条件に基づくデータ再構成攻撃に対し頑健性を示すと期待できる．本研究では，停留点条件に基づくデータ再構成攻撃手法が，枝刈り最適化によるNNに対して有効であるかを評価する．評価にあたり，停留点条件に基づくデータ再構成攻撃の脅威モデルを，枝刈り最適化によるNNへ拡張した．CIFAR10を用いた検証により，枝刈り最適化によるNNが，連続最適化の停留点条件に基づくデータ再構成攻撃の拡張した脅威モデルに対して頑健であることを明らかにした．本研究は，枝刈り最適化によるプライバシ保護に根ざすNN研究の道を拓く．

3F2-4

スペインのデジタルセキュリティ対策研究の動向 with AI ○櫻井幸一(九州大学): スペイン政府のデジタルセキュリティ対策の動向、大学におけるAIセキュリティの教育研究動向を紹介する。

3F3-1

セキュリティガイドラインに適合したアクセス制御ポリシーの自動生成方式 ◎水島諒(NEC) 、三谷昌平(NEC) 、井ノ口真樹(NEC) 、柳生智彦(NEC): 近年，サイバー攻撃が激化し，その被害を最小限に抑えるためには，ネットワークのアクセス範囲を制限することが重要である．多くのセキュリティガイドラインでも，ネットワークセグメンテーションは必須要件である．しかし，ガイドライン内の要件は一般的であり，独自のシステムにどのように適用すべきかを正確かつ網羅的に判断することは，システム運用とセキュリティリスクの知識を持つ専門家でなければ難しい．本研究では，システム構成情報と曖昧なアクセス制御ポリシーを含むセキュリティガイドラインから，具体的なアクセス制御ポリシーを自動生成する方法を提案する．評価実験では，典型的な制御システム構成を想定し，制御システム用のセキュリティガイドラインであるNIST SP800-82 rev2に基づいたアクセス制御ポリシーを生成した．生成されたポリシーには，ガイドラインが明示的に定義していないアクセス条件が含まれることが確認でき，ニーズとリスクに基づいて許可や拒否を判断するアクセス制御ポリシーが生成可能であることが示された．これにより，システム運用者やセキュリティリスクを理解する技術者がいない状況でも，効果的なアクセス制御ポリシーの策定が可能となる．

3F3-2

地方公共団体のセキュリティ対策のための準定量的リスクアセスメントとEDC手法による定量的リスクアセスメントの組み合わせの提案と適用 ○竹原直実(フォーティネットジャパン合同会社) 、伊藤吉也(フォーティネットジャパン合同会社) 、佐々木良一(東京電機大学): 日本の地方公共団体においては，省庁にてリスクアセスメントを実施した結果に基づいて方向づけされたガイドラインに沿ったセキュリティ対策方式を採用することが基本的である．しかし，状況によりガイドラインと異なる方式の採用する場合があるため，その場合は各地方公共団体にてリスクアセスメントを行う必要がある．地方公共団体が独自にリスクアセスメントを行うことを想定し，準定量的なリスクアセスメント法を用いて実際に利用するサービスや機能を想定した上でモデル環境でのリスクアセスメント法が用いられてきた．しかし，対策をすべて導入することはコストの面で不可能であり，リスクとコストを考慮した対策の選定が必要となる．そこで，イベントツリー分析とディフェンスツリーを併用しリスク低減効果を定量的に推定したうえでコスト効果の良い対策案の組み合わせを求めるEDC法と組み合わせる方法を考案した．この方法を地方公共団体のセキュリティ対策に適用することにより種々の条件下で最適な対策の組み合わせを得るとともに、方式の有効性を確認することができた．

3F3-3

暗号化通信におけるマイニング検知 ◎渋谷聡志(東京工業大学) 、石井将大( 東京工業大学) 、田中圭介(東京工業大学): 現在，暗号通貨が普及する一方で，第三者の計算資源を同意なしに自身のマイニングに利用し，不正に報酬を得る攻撃が存在する．これをクリプトジャッキングと呼ぶ．この攻撃に対し，ネットワークベースの検知手法を適用することで，軽量かつ管理コストの低い検知手法が提案されている．一方で，これらの手法は通信を暗号化することで，その検知が回避される恐れがある．本研究では，深層学習による暗号化されたマイニング通信の検知を行う．実験では，暗号化レイヤの異なるSSL/TLSやVPNで暗号化された通常通信とマイニング通信の収集を行い，データセットを作成する．その後，特徴量の抽出を行わず，これらの通信の生データをそのまま深層学習モデルに入力する．深層学習モデルには畳み込みニューラルネットワーク，オートエンコーダを基本とする4つのモデルを採用し，それらの精度を比較する．さらに，学習に用いる通信の位置やサイズを変更することで，測定タイミングや測定時間による精度の変化を調査する．

3F3-4

秘密分散ライブラリ実装時の性能検討 ○山澤昌夫(学校法人中央大学研究開発機構) 、米津武至(株式会社リーディングエッジ) 、五太子政史(横浜国立大学大学院環境情報研究院・先端科学高等研究院) 、山本博資(学校法人中央大学研究開発機構) 、藤田亮(学校法人中央大学研究開発機構) 、辻井重男(学校法人中央大学研究開発機構): 筆者らはDICOMO2021，DICOMO2022，SCIS2023，DICOMO2023 において，認証情報をセキュアに保存すること，および機微情報，機密情報を分散保管すると言う目的で，ISO/IEC19592-2 の秘密分散アルゴリズム，ならびに新方式である多重秘密分散法（MSSS：Proc. SITA2021，）を使うことを想定し，必要な機能をライブラリパッケージとする検討過程を紹介した．検討過程では，運用における要請，要求機能につき8 項目の論点について検討し，文献（SCIS2023, 2B2-4,）にて展開したようにプロトタイプ実装による動作時間比較を行った．先の標準方式ISO/IEC19592-2 によると，分散処理した場合，程度の差はあるが合計のデータ量が増加することが記されている．このため，大きなデータを扱う場合，分散保管のメモリ使用効率が低下する．この問題に対処する方式については，掲記標準にも一部触れられているランプ形のアルゴリズムがある．この課題に答えるため，筆者の一人により新たな秘密分散方式[12] が提案され，文献[13] において実用的実装が可能であることが示された．文献[12] の方式は秘密情報と分散片(シェア) のデータ量が同じになるように計らうことができる．しかし，秘密分散法の特徴である可用性対応が損なわれる．DICOMO2023 では，多重秘密分散法の高速演算性を保ちつつ可用性対応を行う方式について提案した．本論文ではその実装性能について所期の性能を確認したので報告する．

3F4-1

インテリジェンスサイクルに基づく脅威情報による潜在的脅威検出法の提案 ○森康輔(長崎県立大学情報セキュリティ学科) 、島成佳(長崎県立大学情報セキュリティ学科) 、熊谷友宏(NECセキュリティ株式会社): 組織は，巧妙化・複雑化するサイバー攻撃から情報資産を守るため，インターネットとイントラネット間を守る境界型防御に加え，イントラネットへの脅威の侵入も想定して，多層のセキュリティ対策を行っている．多くの組織では，セキュリティ対策を行う際，セキュリティ人材の不足や運用者の負担増大などの課題に直面することから，これらの課題を解決するためマネージドセキュリティサービス（MSS）を利用している．MSSでは，イントラネット内に既に脅威が潜伏することを前提とし，その脅威を検出する脅威ハンティングサービスを提供している．脅威ハンティングでは，明確な悪意ある活動を示す痕跡（悪性情報）を用いて，ログ等にその痕跡があるかどうかを確認する．しかし，攻撃者が脅威ハンティングなどの攻撃検知システムを警戒し，明確な痕跡の消去や改ざんを行う可能性がある．筆者らは，脅威ハンティングでの攻撃検出を少しでも補完できるように，脅威に係わる疑わしい情報も活用できると考え，これらの情報を活用するためのインテリジェンスサイクルを用いた脅威検出手法を提案する．

3F4-2

公開情報を利用したCVEとATT&CKの接続 ○三本知明(株式会社KDDI総合研究所) 、源平祐太(株式会社KDDI総合研究所) 、北健太朗(株式会社KDDI総合研究所) 、磯原隆将(株式会社KDDI総合研究所) 、清本晋作(株式会社KDDI総合研究所) 、田中俊昭(兵庫県立大学大学院): 急速なサイバー攻撃の高度化に対抗するため，迅速かつ効果的なサイバー脅威情報の収集と分析方法の確立が求められている．既知の脆弱性情報はNVD等のデータベースにおいてその概要や関連情報を確認することができるが，効果的なCTIとなるTTPsとの関連は専門家によって個々に分析する必要があり，多くはその関係が知られていない．本研究ではCVE-IDをキーとした脆弱性情報とTTPsの知識ベースとして知られるATT&CKとの接続を試みる．脆弱性情報とATT&CKのtechniqueをそれぞれ関連情報を用いて埋め込み表現に落とし込み，その類似性を評価することでCVE-IDに関連するtechniqueを推定する．本研究では表層Webから取得可能な情報のみを利用することで，サイバーセキュリティ分野におけるグランドトゥルースの不足による再現性の問題にも対処する．

3F4-3

Attack Path Extraction via Semi-Automatic Analysis of Cyber Threat Reports ○Khang Mai(Japan Advanced Institute Of Science And Technology (Jaist)) 、Razvan Beuran(Japan Advanced Institute Of Science And Technology (Jaist)) 、Ryosuke Hotchi(Nec) 、Sian En Ooi(Nec) 、Takayuki Kuroda(Nec) 、Yasuo Tan(Japan Advanced Institute Of Science And Technology (Jaist)): The increasing complexity and diversity of computer systems and cyber-attacks resulted in an increased focus on automatic analysis and response in the cybersecurity research community. This paper proposes a semi-automatic framework for the analysis of cyber threat reports based on expert knowledge integrated in the framework itself. The cybersecurity events and entities from the threat report text are extracted via a dependency tree and further refined via a labeling process. For this purpose, we developed a subsystem inspired by Weak Supervision to weakly assign each entity to a cybersecurity label. For information linking, each cyber threat report is transformed into a graph. We subsequently conduct fuzzy graph alignment to match adversarial techniques mentioned in the public knowledge base MITRE ATT&CK to the report content, and finally generate the attack path. The preliminary evaluation shows that our framework could generate acceptable attack paths when compared with AttacKG, a similar framework for automatic report analysis. The main contribution of the paper are the weak supervision subsystem for the automatic annotation of cybersecurity text, and the semi-automatic framework for extracting attack paths from cyber threat reports.

3F4-4

ソフトウェアベースモバイル基地局に対するRRCプロトコルファジングツールの開発 ○岡部貴之(富士通株式会社) 、鶴岡哲明(富士通株式会社) 、野田敏達(富士通株式会社) 、坂口昌隆(富士通株式会社) 、山崎浩一(富士通株式会社) 、堀井基史(富士通株式会社) 、藤井泰希(富士通株式会社) 、古川和快(富士通株式会社): 近年のモバイル通信システムは，ORANに代表される業界団体の主導のもとソフトウェアのオープン化が進み，効率的な開発が可能となる一方で、脆弱性の情報も得やすくなり攻撃へのリスクも高まっている．特に，これまでクローズドな世界で利用されてきた3GPPの固有プロトコルスタックのセキュリティ強化が急務と考えている．そこで、脆弱性を洗い出す手法としてファジング技術を活用して，セキュリティ強化に取り組むこととした．最初のターゲットとして，外部からの攻撃の敷居が低いと想定されるRRCプロトコルを選択した．これまで，様々なRRCプロトコルのファジング技術が提案されてきたが，我々は，より柔軟かつ多様なファズデータを生成できるファジング手法を考案し，それに基づいてRRCプロトコルファジングツールを開発した．本ツールを，OSSであるopenairinterface5Gのソフトウェア基地局に適用したところ，複数の脆弱性を検出し，その有効性を確認した.

3F4-5

攻撃通信検出におけるFederated Learningによる教師なし異常検知モデルの性能改善 ○西尾理志(東京工業大学) 、中原正隆(株式会社 KDDI 総合研究所) 、奥井宣広(株式会社 KDDI 総合研究所) 、窪田歩(株式会社 KDDI 総合研究所) 、小林靖明(株式会社 KDDI 総合研究所) 、杉山敬三(株式会社 KDDI 総合研究所) 、新熊亮一(芝浦工業大学): 本研究では、通信フローデータを用いたIoTマルウェアの検出タスクにおいて、ネットワークユーザ側で収集されたデータを用いて検出モデルを訓練する手法を検討する。特に、教師なし学習を用いた異常検知によるマルウェア検出を適用した際の異常値サンプルが訓練データに混入することによる検出精度低下を解消するため、Federated Learningを応用した訓練手法を提案する。数%のユーザがマルウェア感染し異常値が訓練データに混入する場合を想定し、TON IoTデータセットおよび一般家庭で取得したIoTデータセットを用いて、提案手法によるF1スコアの改善を実験的に示した。

3F5-1

アクティブスキャンによるIoTデバイスフィンガープリントを利用したマルウェア感染端末数の推定 ◎宮武和咲(神戸大学大学院) 、遠藤由紀子(国立研究開発法人　情報通信研究機構) 、山田明(神戸大学大学院) 、高橋健志(国立研究開発法人　情報通信研究機構) 、班涛(国立研究開発法人　情報通信研究機構) 、小澤誠一(神戸大学大学院): IoTデバイスの普及に伴い，それらを踏み台にしたサイバー攻撃が問題となっている．攻撃の動向を理解し適切な対策を講じるためには，攻撃者の制御下にある端末数を正確に把握することが重要である．従来，端末数の推定方法は，IPアドレスによる識別が行われていおり，DHCPによる付け替えや端末再起動による付け替えの影響によって実際値と乖離してしまう．そこで，本稿では，パケットヘッダなどのパッシブな情報だけでなく，アクティブスキャンによるデバイスフィンガープリントを提案する．さらに，ダークネット観測パケットを対象に提案方式を適用することによって，感染端末数を推定する．2023年の約1ヶ月分のダークネットにおけるMiraiに感染したパケットを用いて評価したところ，提案方式は，識別子として13.05bitのエントロピーを持つことが分かった．提案方式による端末識別によって，感染端末のIP付け替え頻度は，DHCPの付け替えのみを考慮した場合に比べて2.41倍であることが分かった．さらに，提案方式のIPアドレス付け替えを加味した結果，マルウェア感染端末数の推定精度を従来方式に比べて推定規模を11.4％改善した。

3F5-2

Webシステムの開発者と運用者が協働するログベースの連合学習フレームワーク ◎巻砂湧也(名古屋工業大学) 、掛井将平(名古屋工業大学) 、徳田祥太(名古屋工業大学) 、齋藤彰一(名古屋工業大学): システムのログを用いた異常検知手法の一つに機械学習を用いる手法が知られているが，学習に使うログの収集や学習データのラベル付けの課題がある．OSSの普及により，LinuxやApacheなどの特定のシステムの利用が事実上の標準となりつつあることを鑑みると，同一のシステムを運用する主体が協力してログの学習を行うことが望ましい．また，システム開発者のソフトウェアテストのログは運用者がシステムの正常動作を把握する上で有用である．そこで本研究では，Webシステムのログに注目して，Webシステムの開発者と運用者が協働して異常検知モデルを学習するログベースの連合学習フレームワークを提案する．提案フレームワークでは，開発者が正常ログから学習した正常検知モデルをもとに，複数の運用者が連合学習で異常検知モデルを学習する．一連の処理を分散台帳技術で実現することで開発者と運用者の協働を実現している．

3F5-3

ベクトル量子化を活用したフローデータの統計的・順序的特徴を考慮した教師なし異常通信検知手法 ◎福嶋昌太郎(株式会社 ARISE analytics) 、奥井宣広(株式会社 KDDI 総合研究所) 、窪田歩(株式会社 KDDI 総合研究所) 、吉田琢也(トヨタ自動車株式会社): IoTデバイスの普及に伴い，IoTデバイスを対象としたサイバー攻撃は増加傾向にあり，異常通信検知手法の更なる高度化が求められている．異常通信検知で用いるデータ形式は, スケーラビリティの観点からパケットデータをセッション単位の統計量に集約したフローデータが注目されているが，情報量が大きく減少するため，検知精度向上が課題である．近年では，自然言語処理技術を応用した異常通信検知手法が提案されており，フローデータの順序的な特徴を考慮し精度向上することが報告されている．しかし，先行研究の手法ではフローデータを単語と見做す際に行われる離散化により統計情報が失われ，統計的な違いが重要である異常通信を検知できない．本研究では，Vector Quantization VAE（VQ-VAE）による離散化とTransformerによる自己回帰学習を組み合わせた異常通信検知手法を提案する．本手法は，統計・順序の特徴を考慮した異常検知と離散化をEnd2Endで学習できる．複数のIoTデバイスから取得したデータセットを用いて実験を行い，従来手法と比べ精度が向上することを確認した．

3F5-4

LSTMを用いたZigBee機器の異常操作検知 ◎落合奎太(東洋大学) 、大熊百馨(東洋大学) 、渡會航生(東洋大学) 、岡田怜士(東洋大学) 、満永拓邦(東洋大学): ZigBeeは，IoTネットワークにおける無線通信規格の一つであり，その低消費電力での動作能力と多数のデバイスとの同時接続が可能な特性により，スマートホームや産業用途での利用が注目されている．しかし，電力や処理能力などのリソースの制限やネットワーク構成や通信の要求により，セキュリティ対策が適切に施されない場合がある．このような状況下であっても，ZigBeeネットワーク上を流れる通信に，異常な操作によるパケットが存在すれば，迅速に検出することが必要となる．本論文では，時系列データの分析と予測に適したLSTM（Long Short-Term Memory）ネットワークを用いて，ZigBeeデバイスの異常操作を検出するシステムを提案する．ZigBeeの通信データから得られる操作情報を分析し，機械学習によって正常な行動パターンを学習し，異常な操作を検知する．実験では，ZigBeeを用いたスマートライトを操作し，Wiresharkで得られたデータをもとに，定義された行動パターンに基づいて異常検知を行い，その結果，リプレイ攻撃などによる不正なデバイス操作を高精度に検出できることを確認した．

4A1-1

List Sieveの多面体的解釈による計算機実験 ◎安達瞭(東京大学大学院) 、相川勇輔(東京大学大学院) 、高木剛(東京大学大学院): 格子の最短ベクトル問題(SVP)に基づく暗号方式は，耐量子計算機暗号の有力な候補の一つである．そのような格子暗号の安全性は，SVPを解くアルゴリズムの計算量によって評価される． SVPの高速な解法としてSieveがあり，時間及び空間計算量が証明可能なもののうち最も高速な手法がMicciancio-VoulgarisによるList Sieveである．しかし，実験においてList Sieveは理論的な計算量の上界よりも速く動作することが知られている．本研究では，List Sieveの厳密な計算量評価を目的として，アルゴリズムの振る舞いを多面体により解釈する． List Sieveは長さに制約を付けた格子ベクトルからなるリストを持ち，新しい格子ベクトルをリストに追加していく．ここでは，リストに追加される可能性がある格子ベクトルの取りうる範囲を多面体と解釈し，平面での切断により原点に向かって体積が減少することで，最短ベクトルを求める方法を考察する．これにより，体積の減少の仕方を理論的に説明することはアルゴリズムの計算量を評価することに繋がる．今回，提案方法をランダムなGoldstein-Mayer格子で実験し，体積の減少の仕方に一定の規則性があることが分かった．具体的には，初期段階では切断による体積の減少率は高いが，リストのサイズが増えるごとに体積の減少率は下がる結果を得た．

4A1-2

Zhuang-Ziアルゴリズムを用いたLWE問題に対する代数的解法 ◎勝岡唯弘(京都大学) 、伊丹將人(京都大学) 、伊藤哲史(京都大学): Learning with Errors (LWE) 問題とは，Regevにより提案された誤差を含む線型方程式の解を求める問題であり，格子暗号において重要な役割を果たしている．LWE問題の代数的解法としては，有限体上の高次多変数連立方程式の求解問題に還元して解くArora-Geアルゴリズムや，グレブナ―基底を用いて改良したAlbrecht-Cid-Faugere-Fitzpatrick-Perret の結果が知られている．一方，Zhuang-Ziアルゴリズムとは，有限体上の高次多変数連立方程式の求解問題を拡大体上の一変数方程式の求解問題に帰着させて解くアルゴリズムであり，Ding-Gower-Schmidtにより提案された．本稿では，Zhuang-Ziアルゴリズムを用いたLWE問題の解法を提案し，実装評価を行う．

4A1-3

Module-LWE問題における格子の回転構造を利用した列挙法の計算量解析 ◎西村佑介(東京大学) 、高安敦(東京大学，産業技術総合研究所): Module-LWE問題は，LWE問題に代数構造を入れたもので，LWE問題よりも効率的な暗号方式を構成できる．Module-LWE問題はLWE問題に帰着させて解くことができるが，格子の回転構造を利用してLWE問題より効率的に解ける可能性がある．2023年，櫻井と高安によって回転構造を利用した列挙法が提案され，小さいパラメータの実験では，回転構造を利用したKannanの埋め込み法よりも効率的であることを示した．これは，列挙法はKannanの埋め込み法よりも非効率的だという従来の認識を覆す結果である．しかし，計算量は見積もっておらず，暗号で用いるパラメータでの結果は不明である．本研究では，Module-LWE問題における列挙法の計算量を解析する．そして，回転構造の利用による効果を正確に測り，回転構造の利用によりn倍以上高速化できないことを述べる．例として，Kyber512, Kyber768のパラメータにおいて，回転構造の利用による高速化は32倍程度となることを確認する．

4A1-4

LWE問題に関する整数計画問題の一考察 ○白勢政明(公立はこだて未来大学): (A,t)を探索LWE問題のインスタンスとする．但し，Aは行列，tはベクトルである．先行研究(ePrint/2023/1162)は，Aとtを使って目的関数が2次関数x_1^2+x_2^2+...+x_n^2，制約式が線形等式で与えられる整数計画問題を構成できることを示した．先行研究(CSS2023)は，小さな探索LWE問題のインスタンスを整数計画問題に変更してから整数計画ソルバーSCIPを用いて解いた．本稿はこの目的関数を1次式に変更できることを示す．従って，整数線形計画問題を解くことで探索LWE問題を解くことができる．但し，本稿の手法では変数と制約式が増加する．

4A2-1

ALTEQ, a NIST PQC candidate: overview and future research directions (on the computational aspect). Markus Bläser(Department Of Computer Science, Saarland University) 、Dung Hoang Duong(Ic2, School Of Computing And It, University Of Wollongong) 、Kazuhide Fukushima(Information Security Group, Kddi Research Inc) 、Anand Kumar Narayanan(Sandboxaq) 、Thomas Plantard(Nokia Bell Labs) 、○Arnaud Sipasseuth(Information Security Group, Kddi Research Inc) 、Gang Tang(University Of Sydney): In this short presentation we reintroduce ALTEQ, a NIST PQC candidate that was submitted to answer the call for additional signatures. ALTEQ is based on the ATFE (Alternate Trilinear Form Equivalence) problem using the FS (Fiat-Shamir) transformation over the GMW (Goldreich-Micali-Widgerson) protocol. We reintroduce the submission and discuss future research directions related to the submission.

4A2-2

Multi-roundのFiat-Shamir変換に対するQROMにおける安全性評価 ◎伊藤直也(東京大学) 、高木剛(東京大学): 現在NISTによるPQC標準化プロジェクトが進められており，任意の量子アルゴリズムを考慮するQROMにおける安全性評価が重要となっている． Donらはpublic coin型の対話型証明が3ラウンドのcommit-and-open型 (C&O)の場合，Fiat-Shamir変換によって構成される署名はQROMにおいて高い安全性を達成することを示した．しかしNISTのPQC標準化プロジェクトに提出されたmulti-party computation in the head (MPCitH)署名はC&Oだが3ラウンドではなく，5ラウンドや7ラウンドの対話型証明にFiat-Shamir変換したものである．そのためDonらの証明を直接適用することができず，MPCitH署名の多くはQROMにおける安全性評価が行われていない．本研究ではDonらの証明を参考にし，一般のラウンド数のC&O型の対話型証明に対するFiat-Shamir変換の安全性評価を行う．また実際にNISTのPQC標準化プロジェクトに提出されたMiRitHとMQOMに対してQROMにおける安全性評価を行う．

4A2-3

Quantum-access Security of Probablistic Fiat-Shamir Signature Schemes ○Quan Yuan(The University Of Tokyo) 、Tsuyoshi Takagi(The University Of Tokyo): Fiat-Shamir transformation is widely used in constructing signature schemes, say FS-SIG. The post-quantum security of FS-SIG has been proven secure in the QROM assuming the underlying ID scheme is secure honest-verifier zero-knowledge (HVZK). However, the quantum-access security of (textbook) Fiat-Shamir signature schemes is an open question. Quantum-access security is a stronger security model than post-quantum security for cryptographic schemes, where attackers can send quantum queries to the online oracles (such as signing oracle in signature schemes). In this paper, we revisit the quantum-access security of Fiat-Shamir signature schemes. First, we propose a (strictly) stronger notion than the regular HVZK, say quantum special HVZK (qsHVZK). Then, we prove that if the underlying ID scheme is secure and qsHVZK, the resulting FS-SIG is quantum-access-secure in QROM. Finally, we give a construction of (a weak version of) qsHVZK ID scheme based on the hardness of LWE.

4A2-4

量子ランダムオラクルモデルで空間緊密な安全性帰着をもつ署名方式 ○Keita Xagawa(Technology Innovation Institute): Memory tightness of reductions in cryptography, in addition to the standard tightness related to advantage and running time, is important when the underlying problem can be solved efficiently with large memory as discussed in Auerbach, Cash, Fersch, and Kiltz (CRYPTO 2017). Diemert, Geller, Jager, and Lyu (ASIACRYPT 2021) and Ghoshal, Ghosal, Jaeger, and Tessaro (EUROCRYPT 2022) gave memory-tight proofs for the multi-challenge security of digital signatures in the random oracle model. This paper studies the memory-tight reductions for _post-quantum_ signature schemes in the _quantum_ random oracle model. Concretely, we show that signature schemes from lossy identification are multi-challenge secure in the quantum random oracle model via memory-tight reductions. Moreover, we show that the signature schemes from lossy identification achieve more enhanced securities considering _quantum_ signing oracles proposed by Boneh and Zhandry (CRYPTO 2013) and Alagic, Majenz, Russel, and Song (EUROCRYPT 2020). We additionally show that signature schemes from preimage-sampleable functions achieve those securities via memory-tight reductions.

4A2-5

Key LeakageとCorruptionへの耐性を考慮したMulti-User Settingにおいて緊密な安全性を持つ耐量子計算機署名 ○福光正幸(長崎県立大学) 、長谷川真吾(東北大学): Multi-User settingにおいてTight安全な署名方式に関する研究が盛んにおこなわれている. その中で, Han, Liu, Guはこの環境下でCorruptionやKey Leackageへの耐性も考慮したMU-EUF-CMA-C&L (Multi-user Existential Unforgeability against Chosen-message Attack with Corruption and Key Leakage) 安全性をもつ署名方式の一般的構成法を示した. なお, この帰着は Almost Tightとなっている. しかし, この構成法は多くのBuilding Blockを必要とするため, 具体例はMatrix Decisional Diffie-Hellmann仮定を使用した方式のみであり, 耐量子計算機性を持つ方式は存在しない. そこで, 本稿ではTight ReductionによりMU-EUF-CMA-C&L安全性を証明できる耐量子計算機署名を構成する. 具体的には, Pan, WagnerのSequential OR Signatureに対するMU-EUF-CMA-Corr安全性の結果に対し, Key Leakage耐性を持たせる方法を議論することで達成する.

4B1-1

深層学習によるリーク波形の次元削減を活用したサイドチャネルリーク評価のための分散分析の改良 ◎福田悠太(立命館大学) 、吉田康太(立命館大学) 、藤野毅(立命館大学): サイドチャネル攻撃(SCA)に関する技術として分散分析を用いたSCAリーク評価が提案されている．これは3群以上の平均値に有意な差があるかどうかを検定する手法であり，ウェルチt検定よりも効率よくリーク検知が可能であるとされている．一方で，SCA対策が適用されているリーク波形に対して単純に分散分析を実施した場合，リークを検知することができない．本稿では，SCIS2023にて我々が提案したクラスタ解析に基づくSCA(CA-SCA)のアイデアを用いて分散分析を改良する．提案手法では，CA-SCAで用いられる深層学習モデルを用いて波形の次元削減を実施し，次元削減されたベクトルを用いて分散分析を行う．これにより，従来の分散分析ではリークの検知ができないマスキング対策実装に対して有効であることを期待している．実験では，ASCAD Databaseのリークを検知でき，さらに学習したDNNモデルがSCAリーク箇所に着目していることを確認した．また，ハードウェア実装におけるRSM対策に対する評価結果より，ハミング距離リーケージモデルに対しても本手法が有効であることを確認した．

4B1-2

差分深層学習攻撃におけるデータ拡張を用いた攻撃性能の改善 ◎島田誠也(立命館大学) 、福田悠太 (立命館大学) 、吉田康太(立命館大学) 、藤野毅(立命館大学): 深層学習を用いたサイドチャネル攻撃(DL-SCA)としては，プロファイル型攻撃が多く報告されてきた．プロファイル型DL-SCAにおいて学習段階で入力波形に人工的にノイズを付加するデータ拡張を用いることでモデルの汎化性能が向上し攻撃性能が改善される効果があることが報告されている．一方，2019年にTimonによって，非プロファイル型の深層学習サイドチャネル攻撃である差分深層学習攻撃(DDLA)が提案された．この攻撃手法ではターゲットデバイスから得られるサイドチャネル情報のみを用いて，候補鍵ごとに深層学習モデルを学習し，最も高い評価指標をもつモデルに使われた鍵を正解鍵と推定する．本稿では，DDLAにおいて，人工的なノイズの付加を行うデータ拡張の効果を確認した．実験では，マスキング対策されたAESデータセットであるASCAD Databaseに対して，人工的なノイズによるデータ拡張の有無でのDDLAの評価・比較を行った．一般には，波形データセットに対する単純なノイズの付加はサイドチャネル情報のSN比を低下させる．しかしながら適切な量のノイズを学習エポックごとに変化させて学習させることで，より少ない波形数で安定な攻撃を実現することができたので報告する．

4B1-3

条件付き変分オートエンコーダを用いた深層学習サイドチャネルコリジョン攻撃 ○中井綱人(三菱電機株式会社) 、大西健斗(三菱電機株式会社): 深層学習をサイドチャネル攻撃に利用することで，非常に強力な攻撃が容易に実行可能であることが知られている．例えば，高次マスキング対策に対する深層学習サイドチャネル攻撃では，マスク値に起因する多変量のサイドチャネル情報漏洩を自動的に特徴抽出し，秘密鍵との複雑な依存関係を学習により解き明かすことで，サイドチャネル情報から秘密鍵を導くことができる．その中でCHES2023において，Staibらは，ブラックボックスかつ非プロファイル設定で，コリジョンのサイドチャネル情報に着目した新たな深層学習サイドチャネル攻撃を提案した．この深層学習サイドチャネルコリジョン攻撃(DL-SCCA)は，リークモデルや基本的な実装に関する事前知識を必要としない攻撃であるため非常に脅威とされるが，コリジョンの検出能力，つまり攻撃性能はノイズの影響を強く受ける．そこで，本稿では，DL-SCCAの改良として，ノイズ耐性のある条件付き変分オートエンコーダを用いた新たな攻撃手法を提案する．マスキング対策された公開データセットASCADv1を用いた実験評価により，提案手法は，従来のDL-SCCAに比べて，高い攻撃性能を持つ可能性があることを示す．

4B2-1

漏洩モデルが不確かな実用マイクロコントローラに実装された AES に対する深層学習サイドチャネル攻撃評価 ◎河原直翔(岡山大学大学院環境生命自然科学研究科) 、日室雅貴(岡山大学大学院環境生命自然科学研究科) 、五百旗頭健吾(岡山大学大学院環境生命自然科学研究科) 、天沼佳幸(本田技研工業株式会社) 、野上保之(岡山大学大学院環境生命自然科学研究科) 、豊田啓孝(岡山大学大学院環境生命自然科学研究科): 一部の鍵バイトで漏洩モデルによる相関電力解析が不成立であるAESのソフトウェア実装に対して，ノンプロファイリング型深層学習サイドチャネル攻撃 (DL-SCA) を実行し，全鍵バイトの解読に成功した．市販の車載マイクロコントローラ(マイコン)にECBモードのAES-128をソフトウェア実装し，プリント回路基板上の電源供給回路で観測したサイドチャネル波形に対してハミング重み (HW) ，最下位ビット (LSB) を漏洩モデルとした相関電力解析を行った．その結果，LSBでは7バイト，HWでは8バイトに相関が出てその他のバイトでは相関がでないことが確認された．次に同一の波形セットに対して代表的なノンプロファイリング型DL-SCAであるDifferential Deep Learning Analysis (DDLA) を実行した．ニューラルネットワークの種類は多層パーセプトロンとして正解ラベルにはSubBytes出力のLSBを採用した．その結果全鍵バイトの解読に成功し，攻撃対象の暗号実装の漏洩モデルが不確かであってもDDLAによるSCAが成立し得ることを示した．

4B2-2

ハードウェア実装されたMidori128に対するプロファイリング深層学習サイドチャネル攻撃 ◎佐孝心(立命館大学) 、福田悠太(立命館大学) 、吉田康太(立命館大学) 、藤野毅(立命館大学): 実世界のセンシング情報を収集してサイバー空間で処理するために，軽量なIoTデバイス上でもデータの秘匿や完全性を確保する必要が高まっている．リアルタイム性や消費電力に優れた軽量暗号としてMidoriが開発されているが，サイドチャネル攻撃に対する耐タンパ性の評価が必要である．本研究ではハードウェア実装Midori128に対するプロファイリング深層学習サイドチャネル攻撃(DL-SCA)を評価する．DL-SCAはジッタ―対策やマスキング対策などのSCA対策に対しても有効であるため，AES暗号への適用事例が報告されてきたが，深層ニューラルネットワーク(DNN)の学習データセットや教師ラベルの選定には注意が必要である．AESを対象としたDL-SCAでは教師ラベルとして従来使用されてきたハミングディスタンスではなくMulti-bitラベルを用いることでクラス欠損・不均衡問題を解決し，効率よく攻撃可能であることが報告されている．一方で，Midori128ではMulti-bitラベルを使用してもクラス不均衡問題が発生することが明らかとなった．本稿では，この問題を解決するために，クラス不均衡対策手法を適用したMulti-bitラベルを用いて評価を行った．実験の結果，全ての部分鍵を窃取できたことを報告する．

4B2-3

Horizontal CPA on bit-slice block cipher_Case study Robin ◎Hyejin Park(Kookmin University) 、Ju-Hwan Kim(Kookmin University) 、Jaeseung Han(Kookmin University) 、Dong-Guk Han(Kookmin University): Correlation power analysis (CPA) is one of the classical side-channel attacks. The S-box of a bit-slice block cipher is stored and calculated in different registers for each bit. For this reason, the existing single-bit CPA for bit-slice block ciphers performed a bitwise analysis of the S-box output, enabling efficient CPA. However, the existing research has the limitation that it does not fully utilize the bitwise information of the S-Box output. Therefore, in this paper, we propose a technique to aggregate all bitwise information of S-box output leaked at different times when performing single-bit CPA. The proposed method utilizes more information than the existing single-bit CPA, so it is possible to analyze the secret key with less data. In the general bit-slice model, the proposed method can maintain the correlation coefficient ratio with 1/d times less trace (d: the number of times a trace is divided within the analysis interval). As a case study, Robin, a bit-slice Cipher, performs CPA with measured power consumption on the 32-bit MCU STM32F-03 using CW-Lite and CW308. The experiment verified the inference theory and succeeded in analyzing the secret key with higher analysis performance than the existing method.

4B2-4

Single Trace Analysis of Comparison Operation based Constant-time CDT Sampling and Its Countermeasure ◎Keon-Hee Choi(Kookmin University) 、Ju-Hwan Kim(Kookmin University) 、Jaeseung Han(Kookmin University) 、Jae-Won Huh(Kookmin University) 、Dong-Guk Han(Kookmin University): Lattice-based cryptosystems sample secret or significant values from the Gaussian distribution. The Cumulative Distribution Table (CDT) sampling is one of the methods using the table used to sample from the Gaussian distribution. In fact, it is implemented in various methods, such as FrodoKEM, Falcon, MITAKA, SOLMAE, and more. In the cases of FrodoKEM and Falcon, CDT sampling is implemented using subtraction-based method, which have been studied in side-channel analysis. However, the comparison operation based method utilized in MITAKA, SOLMAE, and similar approaches has yet to be explored. This paper suggests that a new Single Trace Analysis (STA) can recover the result value of comparison operation based constant-time CDT sampling. In an experimental setting, we measured the power traces of CDT sampling operating on an 8-bit AVR MicroController Unit (MCU) using Chipwhisperer-Lite. We observed that the same vulnerabilities persist across all optimization levels. We propose a countermeasure to remove the vulnerability when implementing constant-time CDT sampling based on comparison operation.

4B2-5

Side-Channel Attacks and Countermeasures on Digital Signature AIMer ◎Jaeseung Han(Kookmin University) 、Dong-Guk Han(Kookmin University): The NIST PQC round 1 additional signatures have commenced, with a total of 40 signature algorithms have been submitted. Among these, AIMer is an MPC-in-the-Head (MPCitH)-based digital signature algorithm that uses the MPCitH-friendly symmetric primitive AIM to perform signing and verification processes. While previous research has addressed side-channel attack(SCA) and countermeasures for Picnic, another MPCitH-based electronic signature algorithm, it is essential to investigate SCA for AIMer due to its distinct symmetric primitive structure. In this paper, we outline potential side-channel leakage points in AIMer's signing process and conduct correlation power analysis on one such point in an ARM Cortex-M4-based environment, demonstrating its vulnerability to SCA. In addition, we propose a masking technique to remove side-channel leakage for AIMer.

4B2-6

ECDSAのランダムなnonceに対するフーリエ解析ベース攻撃 ◎大﨑俊輔(筑波大学大学院システム情報工学研究群) 、國廣昇(筑波大学システム情報系): ECDSAは楕円曲線を用いたデジタル署名アルゴリズムである．ECDSAのnonceの上位ビットが漏洩した場合に秘密鍵を復元する研究が行われている．nonceが誤りなく漏洩し，漏洩ビット数が秘密鍵の長さに対して十分多い場合には格子ベース攻撃により秘密鍵の復元が可能である．一方，エラー付きで漏洩した場合や，漏洩ビット数が少ない場合には，秘密鍵の復元は困難であり，フーリエ解析ベース攻撃を用いることで秘密鍵の復元が可能となる．フーリエ解析ベース攻撃を用いた先行研究では，入力として与える署名に対応したnonceの漏洩上位ビットの値が偏っていることを仮定していた．本研究では，nonceに偏りがない場合でも漏洩により，nonceの上位ビットの値を知ることができれば，従来と同じアルゴリズムを用いて秘密鍵の復元が可能であることを示す．さらに，上位1ビットと上位2ビットが漏洩している場合の131-bit ECDSAに対して攻撃を行い，実際に秘密鍵の復元が可能であることを確認する．本研究により，nonceが一様ランダムで1ビット漏洩している場合では，半分の署名数で復元可能となった．

4C1-1

サイバー攻撃者のインテリジェンス収集のためのディープマルウェア解析技法の提案と試行 ○村上弘和(静岡大学　創造科学技術大学院) 、西垣正勝(静岡大学　創造科学技術大学院): 増加、深刻化を続けるサイバー攻撃の対策をするために、インテリジェンス情報が重要となりつつある。本研究は、サイバー攻撃において利用されるマルウェアについて、いくつかの着眼点を持って分析することで、マルウェアの作成者や使用者に関するインテリジェンス情報を抽出する方法を確立することを目的とする。本稿では、マルウェアに残されているサイバー攻撃者の痕跡について考察し、その情報を得るための分析に資する4つの観点の定義し、その観点に基づいた有用な分析方法を提案する。この方法により、サイバー攻撃を行う人および組織を調査、特定、追跡する上で有益なインテリジェンスを得ることができると考える。

4C1-2

サイバー攻撃とPKI：コード署名の悪用について ◎木村仁美(Trend Micro Inc.): Public Key Infrastructure(PKI)は公開鍵暗号方式を利用し、距離や時間が離れていても人や物、事柄などを電子的に信頼するために広く使われている。しかしこれを欺いて本来構築されていない信頼があるように見せかけ、それに基づいて成立した取引による利益を不正に獲得しようとする活動は継続して確認されている。本書では、PKIに関連するサイバー攻撃のうち、実在の一般企業向けに発行された証明書がマルウェアのコード署名に使用された事例を取り上げ、現在の問題点の整理と今後の発展についての予想と提案を行う。

4C1-3

n-gramをマップした画像による標的型マルウェアの検知 ◎小谷紗子(東京工科大学大学院　バイオ・情報メディア研究科) 、宇田隆哉(東京工科大学大学院　バイオ・情報メディア研究科): 標的端末でしか動作しない標的型マルウェアは検知が困難である．また，標的端末から取得される情報を復号鍵としてペイロードを暗号化することが可能であり，静的解析も困難としている．一方，標的端末から情報を取得するコードに注目すればマルウェアとして分類可能である点も示唆されている．本論文では，この点に着目し，n-gram をマップした画像と機械学習を用いて未知の標的型マルウェアを検出する方法を提案する．機械学習にはトレーニングのために多数の検体が必要であるが，検知が困難であることから，標的型マルウェアの実検体を多数入手することができない．そこで，本手法においては，16 個の実検体から大量の検体を作成する．一方，n-gram の処理には膨大な時間が掛かることが指摘されているため，本研究では接尾辞配列を用いてこれを高速化する既存手法を適用した．16 個の実検体で評価と考察を行った結果，1 個の検体のみ悪性と分類することができた．より類似度の高い擬似検体を作成することで分類の精度を向上させることができると考えられる．

4C1-4

機械翻訳を用いた難読化特徴の除去による難読化されたAndroidマルウェアの分類精度向上 ○浅井俊晴(NTT社会情報研究所) 、松田亘(NTT社会情報研究所): 近年，マルウェアによる脅威はますます深刻となっており，普及度合い，配布の容易さから，Android端末を狙ったマルウェアも盛んに開発・配布されている．Androidアプリには手軽に実行可能な難読化ツールが存在し，良性・悪性問わずAndroidアプリには難読化が施される場合が多く，難読化されている場合，既存のマルウェア検出手法やアンチウイルスソフトによるマルウェア検出の精度が下がる傾向が見られ，マルウェアの分析や対処に悪影響を及ぼす可能性がある．これに対し，本論文では，難読化されたマルウェアに対する分類度精度向上の手法を提案する．提案手法では，難読化されたアプリからデコンパイルしたアセンブリコードを，機械翻訳を用いて非難読化アプリのコードに近しいものに変換することにより，非難読化アプリ向けに作成された分類器への適用を可能とする．評価実験では，評価用に作成したマルウェア2値分類モデルを非難読化アプリから抽出したアセンブリコードによって学習し，非難読化，難読化，変換後のそれぞれのアセンブリコードの分類精度を比較した．その結果，難読化アプリの分類精度の向上を確認し，本手法の有効性を示した．

4C2-1

半教師あり学習による悪性ドメインの検出 ◎川上颯太(大阪公立大学大学院情報学研究科) 、青木茂樹(大阪公立大学大学院情報学研究科) 、宮本貴朗(大阪公立大学大学院情報学研究科): 近年，機械学習手法を用いた悪性ドメイン検出に関する研究が盛んに行われているが，教師あり学習手法での学習に十分な量の悪性ドメインを収集することは難しい．また，従来の研究で使用されている実験データには，正常ドメインは活動中のドメインのみで構成している一方，悪性ドメインには既に活動を停止しているドメインを含むことが多い．そのため，悪性と良性で取得可能な情報が異なるために，実環境での精度が十分に評価できていない可能性が考えられる．そこで本研究では，半教師あり学習手法を採用することによって，少ない教師データで悪性ドメインを高精度に検知する手法を提案する．本手法では，ニューラルネットワークを基に半教師あり学習手法を構成し，悪性ドメインを検知する．実験では，悪性と良性の両方について活動が確認されているデータのみを用いて，現実に近い環境での悪性ドメイン検知精度を評価した．実験の結果，教師あり学習手法で学習した場合と比較して，高い精度で悪性ドメインを検知できることを確認した．

4C2-2

動的解析と静的解析を連携したマルウェアのサンドボックス回避条件抽出 ◎本多恵佑(法政大学理工学研究科応用情報工学専攻) 、呉謙(法政大学理工学部応用情報工学科) 、金井敦(法政大学理工学研究科応用情報工学専攻): マルウェアは解析者によって日々解析が行われているが，中には解析されることを避けるために回避機能を搭載したマルウェアが数多く存在する．その一種として，サンドボックスと呼ばれる解析環境を検知してマルウェアの存在を隠ぺいするものがある．本研究では，こうしたマルウェアがどのようにしてサンドボックスを検出し，解析を逃れているのかという回避条件を簡単かつ短時間で抽出するための手法を提案する．提案手法として，動的解析である動的バイナリ計装と静的解析であるシンボリック実行を連携することで回避条件を機械的に抽出する．また，様々な回避機能を搭載した疑似的なマルウェアを用意し，それらに対し本研究で提案した手法を用いて回避条件の抽出を行うことで評価を行う．

4C2-3

クラウドストレージを攻撃対象としたランサムウェア検知技術の提案 ◎植木優輝(株式会社日立製作所) 、西嶋克哉(株式会社日立製作所) 、山岸伶(株式会社日立製作所) 、原田建樹(株式会社日立ソリューションズ): 近年猛威を振るうランサムウェアの攻撃対象は，今後クラウドストレージに拡大すると予想される．本稿では，クラウドストレージを攻撃対象とするランサムウェアの攻撃手法について説明し，APIを用いてクラウドストレージ上のファイルを暗号化する攻撃を検知，及び防御する技術を提案する．本提案方式では，クラウドストレージへアップロードされる通信をエンドポイントにおいて取得し，アップロードされるファイルの先端一部のデータから算出された乱数度，及びファイルヘッダ情報を用いることで，ファイルが暗号化されているかどうか判定する．これにより，クラウドストレージ上のファイルをランサムウェアによる暗号化から保護できる．評価実験の結果，断続的な暗号化を実施するBlackBastaを除く25種のファミリーによって暗号化されたファイルのアップロードを，犠牲となるファイルを出すことなく検知，遮断できることが分かった．また，一般的な業務で用いられるファイルタイプのファイルのアップロードでは誤検知が生じず，本提案方式を用いた場合の通信遅延はユーザエクスペリエンスに大きな影響を与えないことが分かった．

4C2-4

マルウェアの動的解析を支援するネットワークシミュレータの提案 ◎原淳一郎(立命館大学) 、毛利公一(立命館大学) 、金城聖(立命館大学) 、瀧本栄二(立命館大学, 奈良女子大学): C&Cサーバ等の外部サーバと通信するようなマルウェアの動的解析において，マルウェア本来の挙動を観測しようとするとインターネット接続が必要である．しかし，それをすると攻撃に加担する可能性がある．そのため，ファイアウォールを詳細に設定して攻撃を遮断する方法や，外部サーバを含むインターネット環境を実機や仮想化技術を用いて模擬する手法が採られる．ただし，これらの方法は，そういった環境の構築のコストが大きい．以上の背景から，本論文では，ネットワークシミュレータ内に模擬C&Cサーバや模擬DNSサーバなどを構築可能とする手法を提案する．これにより，マルウェアがインターネットと直接接続しなくても本来の挙動の観測ができる環境を，柔軟に低コストで構築できる．具体的には，マルウェアの全通信をネットワークシミュレータ内に取り込み，シミュレータ内に構成した模擬サーバが応答することでマルウェアを欺瞞し解析する．提案手法を用いて，実際にIoTマルウェアMiraiを動作させ，Miraiの挙動としてDoS攻撃と感染拡大活動の観測ができることを確認した．

4C2-5

ログ生成元プロセス情報によるレジストリとファイル操作ログの関連付け ◎荒木辰哉(立命館大学) 、蛭田将平(日本電気株式会社) 、木津由也(日本電気株式会社) 、細見格(日本電気株式会社) 、毛利公一(立命館大学): マルウェアによって引き起こされるインシデントへの対応では，サイバー攻撃の原因を特定するために端末のログを解析し，端末で起きた事象を確認する．しかし，これらのログの内容は，機能や目的毎に個別に生成・保存されている場合が多く，統一的に関連づけられていない．そのため，解析作業では，その関連性を解析者が見いだしていかねばならないなど，困難で手間のかかる作業が求められる．以上の背景から，ログの生成時にログから生成元プロセスを追跡できる情報も記録をしておき，関連付け作業を容易にする機構を提案する．本論文では，ログの生成時にログから生成元プロセスを追跡できる情報を追跡情報と表記し，特にレジストリとファイルの操作のログに関して，生成元プロセスの情報と共に追跡情報を収集する機能を実現した．これによって，レジストリとファイル操作についての，ログ同士の関連性を容易に追跡可能となった．

4D1-1

脆弱性情報のシステムに及ぼす影響の推論機構の試行 ○小松文子(ノートルダム清心女子大学) 、外村充(NECソリューションイノベータ) 、最所勝(NECソリューションイノベータ) 、青野英親(NECソリューションイノベータ): セキュリティ侵害の予防手段として，脆弱性情報への迅速な対応と適切な管理が重要である．しかし，脆弱性情報が増加し，またシステムが複雑であると，その影響範囲とその結果の経営的判断を補助する情報提供や効率化が必要とされている．本論文では，形式的オントロジーを活用し，ビジネスリスクと脆弱性との関連を推論する既存研究を参考に，SSVC（stakeholder-specific-vulnerability-categorization）の結果を取り入れ，脆弱性情報がシステムに及ぼす影響の推論メカニズムを試行したので，報告する

4D1-2

APIカテゴリ推定を用いた言語横断的な悪性OSS検出技術の提案 ○岡田裕幸(パナソニックホールディングス) 、大庭達海(パナソニックホールディングス) 、安達貴洋(パナソニックホールディングス): OSSサプライチェーン攻撃は，OSSに対し悪性コードを仕込むことでOSSの利用者に対して仕掛ける攻撃である．深刻化するOSSサプライチェーン攻撃への対策として，リポジトリ内の悪意のあるパッケージを検出する機械学習手法が提案されているが，既存手法の多くは特定の言語を対象とするため，新しく登場した言語等では学習に利用できるパッケージ数が少ない場合等，悪性OSS検知モデルの構築が困難である．一方，言語横断的に利用可能な悪性OSS検出器を構築する試みも存在するが，プログラムの文字数やパッケージ内のファイル数等のプログラムの構造的な特徴を利用し，使用されるAPI等の機能的な特徴は利用されないため，NW通信機能やファイル操作機能の悪用等を見逃し，悪性OSSを検知できない恐れがある．本稿では，各言語のプログラム内で使用される各APIを言語共通で利用可能なAPIのカテゴリレベルの特徴として推定して学習に用いて，言語横断的な識別器の精度向上を試みる．実験では，npmとpypi間で検知モデルの転用を行った場合の識別精度を評価し，APIのカテゴリ情報を用いない手法と比較してロバストな検知が可能なことを示す．

4D1-3

複数の既設センサを流用したサプライチェーンにおける商品偽装対策手法の提案 ◎中村元紀(富士通株式会社) 、萱場啓太(富士通株式会社) 、角田忠信(富士通株式会社) 、坂巻慶行(富士通株式会社): サプライチェーンにおける商品偽装が世界中で問題になるなかで，センサを用いた機械学習により商品の個体識別を行い，商品偽装を抑止する研究がある．機械学習による個体識別において，サプライチェーン上の各流通拠点で個体識別専用の同一センサを新規に導入することはコストがかかるため，各流通拠点がもともと別用途のために保有する既設のセンサを流用して機械学習を行い，個体識別をする方法がある．しかし，このような機械学習において，様々な組み合わせの既設センサから得られる特徴情報を利用した複数の識別モデルの作成が必要になり，モデル作成に手間がかかる．そこで，我々は，単一の特徴情報を利用した識別モデルの出力を論理演算や多数決で組み合わせて判定する手法を提案する．この手法によりモデル作成の手間を削減しつつ，あらゆる特徴情報の組み合わせに対して商品の個体識別を可能にし，商品偽装を抑止する．また，提案手法を用いた実際のシステムを構築していくために、使用できる特徴情報に対して識別モデルとその組み合わせ方法を動的に選択可能とするプログラムを試作し，既存のマンゴーの特徴情報のデータセットを用いた実験により動作を確認した．

4D1-4

研究ソフトウェア信頼性保証のためのソフトウェア認証機構 ○合田憲人(国立情報学研究所): データ駆動型科学の普及に伴い，インターネット上に分散した実験装置，観測装置，IoT機器から日々大量のデータが収集・蓄積・解析され，研究に用いられている．これらの研究では，様々なデータが収集されており，中には機密性の求められるデータも含まれるため，データを収集，蓄積，解析するためのソフトウェア（研究ソフトウェア）のセキュリティ対策は重要な課題である．そのため，ソフトウェアの開発者，システム管理者，ソフトウェア利用者は，セキュリティインシデントを回避するためにソフトウェアの信頼性を確認する必要がある．本稿では，ソフトウェアの信頼性を保証するためのソフトウェア認証機構を提案する．本ソフトウェア認証機構では，電子署名によってソフトウェアの完全性が証明され，かつ認定された第三者機関によってソフトウェアの脆弱性が適切に検査されている場合，ソフトウェアに信頼性があると定義する．本ソフトウェア認証機構により，ソフトウェア利用者は，ソフトウェア開発者によって作成された電子署名と，第三者機関によって発行された脆弱性検査結果を確認することで，ソフトウェアの信頼性を確認することが可能となる．

4D2-1

クラウドストレージを用いた秘密分散法の実装 ◎井上開斗(玉川大学) 、坂﨑尚生(玉川大学): データを保護する方法として秘密分散法がある。秘密分散法は暗号化よりも機密性が高い。一方、秘密分散法は暗号化ほど一般的な技術ではないため、利用される機会が比較的少ない。本稿では、クラウドストレージを用いた秘密分散法の実装方法について考察を述べるとともに一実装例を紹介する。

4D2-2

ランプ型秘密分散に基づく一括乗算とその応用 ◎三田翔平(茨城大学) 、米山一樹(茨城大学): Beaver tripleによる事前計算を用いた(n,n)-線形秘密分散に基づくnパーティ乗算プロトコルでは、L回の乗算を行うために要素数2Ln個のオンライン通信量を要することが知られている．本稿では、(n,L,n)-ランプ型線形秘密分散を用いたL回一括乗算プロトコルを提案する．ランプ型秘密分散によりL個の秘密情報を1つのシェアに埋め込むことで、提案方式では1 \leq l \leq Lにおいてn-l+1個のシェアから秘密情報の部分情報が漏れてしまうが、要素数2n個のオンライン通信量でl回の乗算が可能となる．また、提案一括乗算プロトコルの応用として、一括比較プロトコルとそれを用いたnパーティ秘匿並列計算の通信量削減を示す．

4D2-3

一般攻撃構造に対する非同期フォールバック保証付き完全安全同期MPCの通信複雑度の改善 ◎下位伊織(茨城大学) 、米山一樹(茨城大学): DISC 2023 において Appan らは，同期ネットワークと非同期ネットワークそれぞれにおける一般攻撃構造に対して，参加者がネットワークのタイプを事前に知らなくても単一のプロトコルで安全性を保証する非同期フォールバック保証付き同期マルチパーティ計算 (MPC) を提案した．彼らの方式では，単一の秘密情報に対する検証可能秘密分散（VSS）を提案し，L 個の秘密情報に対して並列に動作させることでシェアの分配を行っているが，一部の手順は一括で行うことが可能であると主張している．しかし，一括で行った場合の安全性証明は与えられていない．本稿では，彼らの VSS 方式を L入力の場合に拡張し，さらなる効率化が可能であることを示す．また，提案方式の安全性証明を与える．我々の VSS を用いることにより，非同期フォールバック保証付き同期 MPC の通信複雑度が改善できることを示す．

4D2-4

Function Secret Sharing を用いた秘匿全文検索 ◎内山智貴(早稲田大学) 、清水佳奈(早稲田大学): 本研究では，Function Secret Sharing (FSS)と秘密分散法を組み合わせた秘匿全文検索法を提案する．秘匿全文検索の従来研究では，索引構造に変換した文書を秘密分散法により参照する手法が提案されている．従来手法ではオンライン計算の通信量及びラウンド数がクエリ長Lのみに比例し，文書長Nに依存しない利点がある一方で，オンライン計算より前の準備段階ではO(LN)の計算量や通信量が必要となることから，巨大な文章への適用が難しかった．そこで我々は，O(logN)の事前計算量/通信量のみで一致判定等の非線形演算を1ラウンドで計算可能なFSSに基づく事前計算法に着目し，FSSと加法秘密分散法の併用によって，効率的に索引構造を参照する方法を考案した．また，提案法に基づき，オンライン計算の通信量及びラウンド数をO(L)に保ちながら，事前の計算量と通信量がO(LlogN)となる全文検索法を開発した．提案法を実装し，長さ2^14〜2^20の文章について，事前計算の通信量 (ストレージサイズ)を約1/100〜1/10000倍に削減しつつ，実用的に検索が可能なことを確認した．

4D2-5

前処理型多者間秘匿積集合計算プロトコル ◎奥山亮太郎(電気通信大学) 、杉本航太(電気通信大学) 、廣政良(三菱電機株式会社情報技術総合研究所) 、岩本貢(電気通信大学) 、渡邉洋平(電気通信大学): 秘匿積集合計算プロトコル（Private Set Intersection : PSI）とは，参加者の入力を秘匿したまま，その積集合を計算するプロトコルである．2者間で実行するPSIプロトコルに関する研究が盛んに行われており，特に近年，参加者が入力を与える前に実行可能な計算を済ませておくオフラインフェーズと，入力を与えて実際に積集合を計算するオンラインフェーズに分割する，前処理型PSIプロトコルの研究も進められている．前処理を行うことで，入力決定後の実行時間を削減することが可能である．一方，多者間で実行するPSI（Multiparty PSI : MPSI）についての研究も行われており，たとえばKolesnikovらによるOblivious Programmable Pseudorandom Function（OPPRF）を用いた効率的な構成が知られているが，前処理型のMPSIプロトコルは知られていない．そこで本稿では，前処理型MPSIプロトコルを初めて定式化し，前処理型OPPRFという新たな暗号要素技術をKolesnikovらのMPSI構成に適用することで前処理型MPSIプロトコルが構成できることを示す．前処理型OPPRFの構成法も示すと共に，提案前処理型MPSIプロトコルの実装評価を行い，その実効率性も明らかにする．

4E2-1

On Non-Interactive Blind Signatures for Random Messages ○山村和輝(NTT社会情報研究所) 、奥田哲矢(NTT社会情報研究所) 、藤﨑英一郎(JAIST): ブラインド署名は委託型の匿名署名であり、署名したいメッセージを持つユーザと秘密鍵を持つ署名者の対話により、メッセージを署名者に秘匿しながら署名生成を可能とする。すなわち本来であれば、ブラインド署名を実現するためには対話が不可欠であるが、Eurocrypt 2023で、署名対象のメッセージがランダムであれば、非対話によるブラインド署名が実現可能であることが示された(Non-Interactive Blind Signatures for Random Messages: 以下NIBSと略す)。具体的には２つの構成方法（構造維持署名SPS-EQを用いたランダムオラクルモデルでの構成方法とCRS及びランダムオラクルモデルによる一般的構成方法）でNIBSが構成可能であることが示されているが、本稿ではこのNIBSについて、CRS及びランダムオラクルを必要とせずに構成可能であるのかを中心に考察する。

4E2-2

標準モデル上で安全な格子ベースSynchronized Aggregate Signatureについて 穴田啓晃(青森大学) 、福光正幸(長崎県立大学) 、○長谷川真吾(東北大学): Synchronized Aggregate Signatureとは, 複数の個別署名を1つの署名に集約できるAggregate Signatureの中で, 集約対象の個別署名が同一時刻のものに制限された署名技術のことである. これまでにいくつかの集約署名について標準モデルで安全性証明可能な方式が提案されているが, これらはすべて耐量子計算機性を有していなかった. 本稿では, 標準モデルかつCertified-key Model上で安全性証明可能な格子ベースのSynchronized Aggregate Signatureについて議論する. 提案方式は, 近年Fleischhacker, Simkin, Zhangによって提案されたMulti-signatureをAggregate化することで実現する.

4E2-3

開封者の属性上で指定された追跡可能性を有するグループ署名の対称鍵要素からの構成 ○穴田啓晃(青森大学) 、福光正幸(長崎県立大学) 、長谷川真吾(東北大学): 匿名性と追跡可能性は両立するのが難しい二性質である．Group signatures with designated traceability は，署名者が追跡者（開封者）を，属性上のアクセス構造で指定可能なグループ署名スキームである．本稿では，対称鍵要素のみからこのスキームを，all-ANDのアクセス構造について構成する．ここで対称鍵要素は，擬似ランダム関数，ハッシュ関数及びコミットメントである．構成スキームは量子計算機の計算能力に対し安全であると期待される．

4E2-4

Auditable Attribute-Based Credentials Scheme and Its Application in Contact Tracing Pengfei Wang(Tokyo Institute of Technology) 、◎Xiangyu Su(Tokyo Institute Of Technology) 、Mario Larangeira(Tokyo Institute Of Technology, Iohk) 、Keisuke Tanaka(Tokyo Institute Of Technology): The limited functionality of existing privacy-preserving contact tracing systems highlights the need for new designs. Wang et al. proposed an environmental-adaptive framework (CSS '21) but failed to formalize the security. The similarity between their framework and attribute-based credentials (ABC) inspires us to reconsider contact tracing from the perspective of ABC schemes. In such schemes, users can obtain credentials on attributes from issuers and prove the credentials anonymously (i.e., hiding sensitive information of both user and issuer). This work first extends ABC schemes with auditability, which enables designated auditing authorities to revoke the anonymity of particular issuers. For this purpose, we propose an ``auditable public key (APK)'' mechanism that extends the updatable public key by Fauzi et al. (AsiaCrypt '19). We provide formal security definitions regarding auditability and build our ABC scheme by adding a DDH-based APK to Connolly et al.'s construction (PKC '22). The APK mechanism can be used as a plug-in for other cryptographic primitives and may be of independent interest. Finally, regarding contact tracing, we refine Wang et al.'s framework and present a formal treatment that includes security definitions and a detailed protocol construction.

4E2-5

On the Security of Multi-Designated Verifier Signature ○Keitaro Hashimoto(Aist) 、Kyosuke Yamashita(Osaka University/Aist) 、Keisuke Hara(Aist/Yokohama National University): Multi-designated verifier signature (MDVS) is a form of digital signature that empowers a signer to designate specific verifiers capable of verifying signatures. Furthermore, these designated verifiers possess the ability to simulate signatures that are indistinguishable from the signatures of the signer. Recently, Damgard et al. (TCC’20) and Chakraborty et al. (EUROCRYPT’23) have introduced a novel definition for MDVS that allows a subset of designated verifiers to simulate signatures in contrast to the traditional one that requires all designated verifiers. In this work, we delve into their new MDVS definition and offer a comprehensive map of it. We identify 12 distinct types of MDVS and prove that some of them are impossible. In addition, we propose a generic conversion from weaker security to stronger security among them. Moreover, we elucidate the relationship between MDVS and other cryptographic primitives. Notably, we demonstrate that MDVS schemes that meet the security notion of Chakraborty et al. imply IND-CCA secure public-key encryption schemes.

4E2-6

テキストデータに対する匿名加工プロセス保証方式の検討 ○冨樫由美子(株式会社日立製作所) 、佐藤尚宜(株式会社日立製作所): 機微データを含めたデータ利活用には，プライバシ保護技術の実装が重要であり，匿名加工技術の普及が期待されている．一方，データ利活用においては，データが不当に改ざんされていないこと（完全性）が重要であるが，一般的な匿名加工技術では完全性を保証できない．そこで，墨塗り署名技術を応用し，データが正しく匿名加工されていること（匿名処理の正当性）を保証する方式が提案されている．本稿では，複数データに対する匿名加工時の課題を整理し、複数のテキストデータに対して統一の匿名加工を実現するプロセス保証方式について報告する．

4F1-1

マルチタスク学習における隠れたタスクに対する敵対的攻撃 ◎永池礼(筑波大学) 、西山大輝(東京工業大学/理研AIP) 、秋本洋平(筑波大学/理研AIP) 、福地一斗(筑波大学/理研AIP) 、佐久間淳(東京工業大学/理研AIP): 深層学習は敵対的攻撃に脆弱であり、マルチタスク学習に対する敵対的攻撃も研究されている。一般的なマルチタスク学習のアーキテクチャはバックボーンネットワークに各タスクのヘッダが接続されている。また、様々なタスクの機械学習モデルに用いることが出来る学習済みモデルがインターネットで公開されていることがある。そこで、一般に公開された事前学習済みのバックボーンネットワークを採用したマルチタスクモデルを考える。このとき我々の脅威モデルでは、複数のタスクの内、敵対者が攻撃したいタスクについて、ヘッダの出力等の一切の情報が敵対者に隠されているとする。既存の敵対的攻撃では隠されたタスクへの攻撃は隠されていない場合と比較してその影響が著しく低下してしまう。そこで本研究では、公開されているバックボーンネットワークや隠されたタスク以外のタスクの知識を用いて隠れたタスクに攻撃する手法を提案する。また、ステルス性の観点からターゲットタスク以外のタスクへの影響を抑える工夫を施す。実験により、提案手法が既存手法と比較して隠されたタスクに有効に攻撃可能であり、かつ隠されたタスク以外のタスクへの影響が小さいことを示す。

4F1-2

18種類の転移学習モデルに対するモデル抽出攻撃の脅威評価 ◎小松みさき(東芝) 、花谷嘉一(東芝): 画像識別分野において、既存の汎用モデルを事前モデルとして使用する転移学習は頻繁に行われる。汎用モデルの多くは容易に入手可能であるため、転移学習に用いた際にはそのアーキテクチャや内部パラメータの一部が特定される可能性がある。モデル抽出攻撃では、標的モデルのアーキテクチャや訓練データセット等の詳細情報が特定できた場合に被害はより深刻化する。転移学習モデルが標的の場合、汎用モデルの内部パラメータを利用することで、より少ないクエリで高精度のモデルを抽出できると考えられる。先行研究では、特定のモデルに対する評価実験を行いこの仮説の可能性を示唆する結果をえたが、結論を導くには実験数が不十分であった。本研究では、18種類の画像分類モデルを転移学習し、これらに対する既存のモデル抽出攻撃を評価する。結果から標的が転移学習モデルである場合、使用されている事前モデル情報よりも追加データセットに関する情報が攻撃結果に影響を与えると考えられる。また、1000回程度の限られたクエリのみが許される状況では、クエリ方針による攻撃結果の差は数%程度であり、ランダムクエリによる攻撃のみで十分であることが示唆された。

4F1-3

勾配系の説明がついた3層ReLUネットワークに対するモデル抽出攻撃 ◎三浦尭之(NTT社会情報研究所 / 大阪大学) 、権英哲(東京大学) 、芝原俊樹(NTT社会情報研究所) 、矢内直人(大阪大学): 2層でbias項がないReLUネットワークは，Vanilla Gradientという最も基本的な説明を推論結果とともに出力する際，その入出力から重みパラメータを完全に復元可能であることがMilliらによって示されている．この証明は2層限定の手法であり，3層以上のモデルには適用できない．本研究では，Milliらの手法の拡張として，2点の新たな定理を証明した． 1つは，説明がIntegrated Gradientという実用的なもので，かつbias項があるような2層ReLUネットワークでも同様の盗み方が行えることの証明である．もう1つは，Vanilla GradientやIntegrated Gradientがついた3層のReLUネットワークに対しても，適切な仮定の下，重みパラメータを復元できることを示したことである．具体的には中間層の次元をそれぞれ$h_1,h_2$としたとき，$O(h_1h_2\log \frac{l}{\ep \eta})$のクエリオーダーで復元できることを示した．

4F1-4

モデル抽出攻撃に対するバウンディングボックス電子透かし ◎江田智尊(富士通株式会社) 、森川郁也(富士通株式会社): クラウドにAIサービスを展開することが一般的になっている．サービス利用者はAPI経由でデータをクエリし，AIモデルの出力を得ることができる．この形態は一方で，モデル抽出攻撃の脅威に晒される．攻撃者は大量のデータをモデルにクエリして出力を収集し，それを ground truth (GT) に用いて代理モデルを訓練する．代理モデルは攻撃対象モデルを複製するため，モデルの知的財産が脅かされる．本研究は，物体検知モデルに対する抽出攻撃の対策として，モデルの電子透かしを用いた方法を提案する．提案手法は，攻撃対象モデルがクエリ画像を受け取って物体検知を行う際に，物体の予測バウンディングボックスを意図的に改変する．この改変により，クエリ結果をGTに用いて訓練された代理モデルにバックドアを埋め込む．モデル所有者はこのバックドアを透かしとして利用する．つまり，複製が疑われるモデルが存在したとき，バックドアが存在していれば抽出攻撃で得られたモデルであるとみなす．数値実験では，提案手法が100%の精度でモデル所有権の検証ができることを示した．

4F2-1

大規模言語モデルを用いたクラウド環境における情報セキュリティ監査効率化の検討 ◎林本圭太郎(長崎県立大学) 、加藤雅彦(長崎県立大学): クラウド環境における情報セキュリティの確保のために，情報セキュリティ監査が有効である．しかし，現状の情報セキュリティ監査には監査証跡やその収集など，監査プロセスの一部で時間やコストを要している．そこで，本論文はクラウドサービスで稼働する情報システムの情報セキュリティ監査を効率化するための新たなアプローチを提案する．具体的には，大規模言語モデルChatGPTを活用して，自然言語で記述された情報セキュリティポリシーと人間には理解しにくい機械向けデータ形式で記述されたクラウドサービス設定との適合性を自動的に評価するWebアプリケーションを開発する．本論文においては，Amazon S3やAWS IAMといったクラウドサービスに対して，提案システムを用いて情報セキュリティポリシーとリソース設定との適合性レポートを出力させて，評価を行う．評価の結果，提案システムは情報セキュリティポリシーに即した適合性レポートを出力し，またリソース設定における情報セキュリティポリシーとの矛盾や不一致を適切に指摘しており，情報セキュリティ監査の効率化に資するものであると確認することができた．

4F2-2

Audio Adversarial Examplesで攻撃可能なシナリオの実現 ◎三上岳隼(東京工科大学大学院) 、宇田隆哉(東京工科大学大学院): 近年，Audio Adversarial Examplesの研究が進んでおり，商用のスマートスピーカーへの攻撃に成功した研究が公開されている．そのため有効な攻撃シナリオがあれば対策のされていない製品にとっては脅威となる．本研究では，実現可能なシナリオを提案，再現することで脅威を周知することを目的とする．具体的なシナリオは，車の走行音を使用してAAEを生成し，閑静な住宅街で各住宅に対してスピーカーでAAEを再生し，スマートスピーカーを攻撃するというものである．この時に課題となるのは家の外から再生するため距離が離れており，家の壁や窓ガラス等の障害物で攻撃音声が減衰することである．この課題に対してスマートスピーカーの閾値と距離減衰，障害物による減衰から必要な音圧を計算，減衰を減らすための摂動へのローパスフィルタ導入をおこなった．実験により，攻撃に必要な音圧の計算には問題があることが分かったが，音圧レベルを上げて再生することで距離や障害物で攻撃音声が減衰した場合でもスマートスピーカーを攻撃可能であることが明らかになった．

4F2-3

AI倫理における影響評価方式のAIセキュリティへの拡張 ○矢嶋純(富士通株式会社) 、志賀聡子(富士通株式会社) 、大橋恭子(富士通株式会社) 、井出勝(富士通株式会社) 、田中宏(富士通株式会社) 、小野寺佐知子(富士通株式会社): 近年，人工知能(AI)の活用が盛んになっている．AIはこれまでの技術でできなかった判断や分類などの処理を高精度に実施できるメリットがある一方で，AIセキュリティ，AI倫理，AI品質面での問題を生じることがある．AIセキュリティにおいてはAIへの攻撃によって，AIの意図的な誤判断，訓練データの漏洩，訓練済モデルの漏洩などの被害を生じる恐れがある．このような攻撃からAIシステムを守るためには，攻撃の起こりやすさと攻撃の被害の大きさを分析することが重要であり，著者らはこれら2種の分析手法を過去に提案している．一方で，AI倫理の分野においては，AIが倫理面の問題を引き起こす可能性があるかどうかを特定する方式として，AI倫理影響評価方式がある．本論文ではAI倫理影響評価をAIセキュリティとAI品質に拡張する．本拡張により，AIセキュリティとAI品質のリスクをより詳細に分析することができると考えられる．本論文ではAI倫理影響評価を紹介するとともに，AIセキュリティ部分の拡張方法，及び，分析事例を紹介する．

4F2-4

AIセキュリティ・コンティニュアム: 構想と課題 ○鷲崎弘宜(早稲田大学 / 国立情報学研究所 / システム情報 / エクスモーション) 、吉岡信和(早稲田大学): コンピューティング・コンティニュアム上でAIや機械学習に基づく高度および適応的なサービスを切れ目なく提供できることの裏返しとして，AIや機械学習の非決定性や不確実性を悪用し，いつでもどこからでも攻撃し続けられ，その影響がデータからシステム，業務さらには社会にまで広範に波及するAIセキュリティリスク・コンティニュアムに直面する．本稿では，それに持続的および体系的に対処するうえで必要な次元から構成される枠組みをAIセキュリティ・コンティニュアム（AI Security Continuum）として提案する．次元としてAIコンピューティング環境上の連続性，AIに対する技術活動上の連続性，AIを含むアーキテクチャ全体におけるレイヤ上の連続性，AI自動化の段階およびAIセキュリティ対策の段階を特定した．枠組みに基づきAIセキュリティリスクへの対応の度合いを多面的に分析評価し，その高度化に向けた道筋を総合的に特定できる．本稿ではさらに，各次元の段階が低い状態から高い状態へと，効率的かつ効果的に引き上げることを技術的に実現するエンジニアリング基盤を構想し，その実現に向けた研究課題や展望を示す．

プログラム ―Program―