プログラム       セッション表       招待講演      

 

プログラム ―Program―

一般講演は1件あたり20分(講演時間15分、質疑応答5分)です。

登壇者(SCIS論文賞対象者)、 登壇者

発表題目または著者をクリックすることでWEB概要が開きます

全てのWEB概要の一括開閉を行いたい場合は下のOPEN/CLOSEボタンをご利用ください

 

1A1 耐量子計算機暗号 (1) 1月28日(火) 15:00~16:40
座長:青野 良範 (情報通信研究機構)
1A1-1
LPN問題とDual-LPN問題に基づいたノイズ付き鍵共有の提案
◎矢田 拓巳(電気通信大学) 、サントソ バグス(電気通信大学)
Learning Parity with Noise(LPN)問題は,NP困難問題の一つであり,量子計算機に対する耐性を持つと期待されている。しかし,純粋なLPN問題に基づいた安全性が証明された鍵交換プロトコルはまだ提案されていない。本論文では,LPN問題に基づいた新たなノイズ付き鍵交換方式を構成し,新たに定義したノイズ付き鍵交換に対する安全性モデル上で安全性を満たすことを証明した。
1A1-2
Karatsuba’s Algorithm を用いた Ring-LWE における多項式乗算の並列計算
◎廣澤 佑亮(東京大学) 、松浦 幹太(東京大学)
Ring-LWE 問題は耐量子計算機暗号に多く用いられており,その重要性が高まっている.Ring-LWE においてはその計算の過程に多項式乗算が用いられており,それを高速に行うことが重要とされる.多項式乗算を高速化するアルゴリズムとしては,NTT や Karatsuba's Algorithm などが知られており,またそれらをさらに高速化する手法も見られる.多項式乗算を高速化する従来の手法としては,並列計算により NTT の回数を削減するものがあるが,特定の剰余の値の場合にしか回数の削減効果が期待できないという課題があった.本研究では,剰余の値によらずに削減効果を期待できる手法として,並列計算を Karatsuba's Algorithm,ないし NTT と Karatsuba's Algorithm のハイブリッドアルゴリズムと組み合わせることにより,剰余の値によらず幅広い場合に適用可能な,多項式乗算の高速化手法を提案する.
1A1-3
Comparision Among Post-Quantum Oblivious Transfer Implementations
◎Peihao Li(Kyoto University) 、Octavio Pérez Kempner(NTT Social Informatics Laboratories) 、Mehdi Tibouchi(NTT Social Informatics Laboratories & Kyoto University) 、Masayuki Abe(NTT Social Informatics Laboratories & Kyoto University)
Oblivious transfer (OT) is a fundamental component of multi-party computation protocols. Recently, Dong et al. introduced Saber OT and claimed superior performance over other efficient post-quantum OT implementations, including the Endemic OT proposed by Masny and Rindal (CCS'19). However, their benchmark uses an outdated Kyber-based Endemic OT implementation, due to updates to the underlying Kyber library, which diminishes the strength of their claim. In this work, we provide the most efficient Kyber-based Endemic OT implementation using the latest version of Kyber. We then compare the performance of this updated implementation with other efficient post-quantum OT protocols in our benchmark.
1A1-4
暗号検出と暗号インベントリ作成自動化(ACDI)ツール実現に向けた課題整理
◎山室 宏貴(KDDI総合研究所) 、上村 周作(KDDI総合研究所) 、福島 和英(KDDI総合研究所) 、清本 晋作(KDDI総合研究所)
暗号技術は情報の秘匿や通信相手の認証など幅広い目的で利用されている。近年の暗号解読可能量子コンピュータ(CRQC)の進展により、現在使われている暗号技術が破られる危険性が高まっており、CRQCに対して脆弱な暗号技術を耐量子計算機暗号(PQC)に移行することが求められている。PQC移行に向けた課題の一つとして、現在使われている暗号技術を検出し、移行対象を特定するために暗号技術の詳細な情報をリスト化した暗号インベントリの作成が挙げられる。サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA)はPQC移行を支援する目的で自動的に暗号技術検出から暗号インベントリ作成を担う暗号検出と暗号インベントリ作成自動化(ACDI)ツール活用に向けた戦略を発表した。本論文では、ACDIツール実現に向けて、活用できる情報ソースと各情報における検出方法を整理し、暗号技術検出時や暗号インベントリ作成時に生じる課題を中心に考察する。
1A1-5
格子ベース鍵カプセル化メカニズムに対する故障選択平文攻撃
上野 嶺(京都大学) 、◎Tasso Élise(東北大学) 、草川 恵太(Technology Innovation Institute) 、本間 尚文(東北大学)
本稿では,格子に基づく鍵カプセル化メカニズム (KEM) に対する故障注入を用いた鍵回復攻撃を提案する.提案攻撃では,現在のほとんどの KEM が再暗号化,あるいはその亜種に基づくことに着目し,再暗号化部へ故障を注入することで平文判定 (PC) オラクルを実装する.通常の選択平文攻撃同様,攻撃者は,暗号化オラクル(鍵カプセル化オラクル)にアクセスできると仮定する.さらに,この暗号化オラクルの実行は攻撃者自身が行うため,攻撃者は暗号化オラクルへのアクセスの際に任意の故障を論理的に注入できる.言い換えれば,攻撃者は,任意の故障モデルと任意のメッセージに対して,故障付き(再)暗号化をシミュレートできる.攻撃者は,この故障暗号化オラクルを用いて,選択暗号文攻撃で用いられるノイズ入り暗号文をオフラインで生成する.そして,オンラインフェーズでは,生成したノイズ入り暗号文を復号オラクル(鍵デカプセルオラクル)にクエリする,このとき,再暗号化部に,暗号化オラクルへのアクセスしたときに論理的に注入した(シミュレートした)故障を,物理的に攻撃対象デバイスへ注入する.もし暗号文がもとの平文に復号されており,かつ,暗号化のときと同じ故障が再暗号化時に注入できていれば,再暗号化結果は入力暗号文と等しくなるため,暗号文は受理される.一方,暗号文が平文の復号に失敗された場合,再暗号化時に故障を注入しても暗号文は拒否される.このようにして,攻撃者は PC オラクルを実装し,その結果から鍵回復攻撃を実行する.本稿では,基本コンセプトの提案に加えて,鍵回復に必要なクエリ数を示し,既存手法との比較を行うことで提案手法の優位性を確認する.

1B1 共通鍵暗号 (1) 1月28日(火) 15:00~16:40
座長:大東 俊博 (東海大学)
1B1-1
HERAに対する代数攻撃の改良
◎山本 大輔(東京科学大学) 、劉 富康(東京科学大学) 、尾形 わかは(東京科学大学)
HERA は完全準同型暗号向けの共通鍵暗号として、ASIACRYPT2021 にて提案された方式である。ランダムなラウンド鍵の使用はHERAの特徴である。HERA に対する最も有効な攻撃は、最後のラウンド鍵における衝突を利用して、最後のラウンドの S-box をそぎ落とすことによって効率化されていた。この攻撃によって、192 ビットと 256 ビットの安全性においては、ガウス消去法の定数パラメータが ω = 2 のときは、想定されていたいくつかのパラメータにおける安全性が破られ、ガウス消去法のパラメータが ω ∈ {2.8, 3} のときは安全性マージンを 1 ラウンドだけ下げられた。しかし、ラウンド鍵の衝突を探し出すコストが大きいために 80 ビットと 128 ビットの安全性には影響は与えられなかった。本論文では XL アルゴリズムを利用することによって、ラウンド鍵の衝突を探し出すコストを削減することによって、この攻撃を改良する方法を提案する。
1B1-2
SIMONに対するKolmogorov-Arnold Networksを用いた平文予測攻撃
◎石川 風雅(東京理科大学) 、五十嵐 保隆(東京理科大学)
Kolmogorov-Arnold Networks (KAN) は、2024年にZiming Liuらが提案した新たなニューラルネットワーク構造である。コロモゴロフ・アーノルド表現定理に基づいて設計され、従来のニューラルネットワークとは異なる特徴を持つが、これまで暗号解析に応用された事例はなく、性能評価も行われていない。そのため本研究では、軽量暗号SIMONを対象に、従来モデルであるMulti-Layer Perceptron (MLP) とKANを用いた平文予測攻撃を行うことで、KANの暗号解析における有用性を評価する。具体的には、複数のラウンド設定においてMLPとの比較を行い、KANの性能の強みや弱点を明らかにする。また、平文予測攻撃における精度や計算効率に注目し、KANの暗号解析分野への適応可能性を示す。
1B1-3
軽量ブロック暗号Piccoloの新しい積分特性
○芝山 直喜(東京理科大学) 、五十嵐 保隆(東京理科大学)
Piccoloは2011年に渋谷らによって提案された64ビットブロック暗号である.既存研究として,計算機探索によってPiccoloには6ラウンドの32階差分特性が見つかっており,これを拡張した7ラウンドの48階差分特性が示されている.また,この特性を利用することによって,鍵長が80,128ビットのとき,それぞれ9,11ラウンドのPiccoloに対して高階差分攻撃が可能であることが報告されている.高階差分攻撃に類似した攻撃法として積分攻撃があり,これまでに積分特性の探索を効率的に行う手法が提案されている.混合整数線形計画法(MILP)を用いたBit-based Division Property(BDP)による積分特性の調査から7ラウンドの63階差分特性の存在,さらに,充足可能性問題(SAT)を用いたBDPの探索によって同ラウンドの56階差分特性が見つかっている.本稿では,Piccoloの新しい積分特性について報告する.MILPを用いたBDPによる詳細な探索から,既存の48階差分特性に一致する特性,そして,60階差分で新たな出力パターンの7ラウンドの特性を持つことが明らかになった.
1B1-4
Midori64のPairwise Independence解析
◎小山 朝陽(名古屋大学) 、藤堂 洋介(NTT社会情報研究所) 、岩田 哲(名古屋大学)
t-wise independence解析は差分攻撃,線形攻撃を含むいくつかの攻撃に対する安全性を保証する技術である.Liuらは線形層にMDS行列を用いるSPN構造のt-wise independenceを解析し,これをAESの解析に応用した.本論文では線形層にMDS行列を用いない軽量ブロック暗号であるMirodi64に着目する.ランダムな秘密のS-boxを用いるMidori64*と,ほとんどの線形層を削除したCensored Midori64について,t=2としたpairwise independenceとラウンド数との関係を明らかにする.これにより,MDS行列を用いないブロック暗号に対してもpairwise independence解析が可能であることを実証する.
1B1-5
Grouping Methodを用いたSPONGENTへのリバウンド攻撃
◎遠山 慶太(兵庫県立大学) 、阪本 光星(三菱電機(株)) 、五十部 孝典(兵庫県立大学)
SPONGENT は,スポンジ構造を持ち, PRESENT 型のラウンド関数により構成される軽量ハッシュ関数である.SPONGENT は軽量暗号のISO 標準に指定されているが, 第三者による衝突耐性の評価は未だなされていない. これは, 鍵なし置換における差分特性を満たす内部状態のペアを識別することの難しさに起因している. 本論文では鍵なし置換に対し, 差分特性を満たす内部状態のペアを効率的に識別するための新たな方法を提案する. 既存の問題に対処するために, 入力値変数を他の入力値変数とは独立に値を決定できるグループや, 特定の値に制限されるグループ, 相互依存関係を持つグループなどのカテゴリに分類するGrouping Method を導入する. Grouping Method では, 各グループ内の有効な値の数を個別に数え上げることで, 自由度の効率的な計算が可能になる. この方法を縮小したSPONGENT に適用し, 各バリアントにおける衝突攻撃とSemi-free-srart 衝突攻撃を初めて実証する.

1C1 暗号理論 (1) 1月28日(火) 15:00~16:40
座長:大原 一真 (産業技術総合研究所)
1C1-1
鍵検証を含む非対称パスワード認証鍵交換における安全性緩和のバリエーション
◎花井 秀矢(東京科学大学) 、田中 圭介(東京科学大学) 、手塚 真徹(東京科学大学) 、吉田 雄祐(東京科学大学)
パスワード認証鍵交換(PAKE)の実用性を高めた変種として,非対称パスワード認証鍵交換(aPAKE)がある.aPAKEの安全性定義は,Gentry,MacKenzie,Ramzan(CRYPTO'06)によって汎用的結合可能性の枠組みを用いて定義されたものがよく用いられる.この安全性に対して,我々はSCN'24において緩和した安全性を定義し,この緩和によっていくつかのaPAKEプロトコルの安全性を適切に証明できることを示した.本研究では,この緩和した安全性に対して,似た安全性を持つと考えられる変種をいくつか提案し,それらの特徴について考察する.
1C1-2
再訪:秘密分散におけるフレーム不正とその対策 -起源と現状と課題-
○櫻井 幸一(九州大学)
暗号学者Yvo Desmedtは、秘密分散における安全性課題としてフレーム不正を提起した[IEEE Trans on Information Forensics and Security(2021) ]。秘密分散における参加者が複数結託し、他の参加者の断片秘密を復元し、あたかもその当人が、その秘密を利用して権限を行使したかのように、罪を"なすりつける”(framing)という不正行為である。これは、秘密分散の社会応用におけるフォレンジックを背景とする。現在主流であるShamir型秘密分散の実応用でも問題となるが、直接の解決策がない内在的課題である。 発表者は ISEC2024.3月札幌サミットで、この分野の現状と課題を論じた。しかし、それからの調査で、フレーム問題は、1990年代のグループ署名の研究[Chen and Pederson, Eurocrypt'94]に起源を持ち、格子系の耐量子型署名[Libert et al Asiacrypt2016]でも議論されていることが判明した。 本稿では、この一連のフレーム問題の起源を補足し、組織型暗号系における現状と課題を再考する。
1C1-3
主張可能集約署名の提案
○山下 恭佑(大阪大学/産業技術総合研究所) 、岩花 一輝(NTT/大阪大学)
署名方式における主張可能性(Claimability)とは,署名者本人が署名を作成したのちにその事実を主張できる性質である.この性質は,リング署名のように署名者が匿名性を有する署名方式において特に有効であると考えられる.近年様々な集約署名方式に対して,鍵代替攻撃という,ある署名者のグループが作成した集約署名に対して別のグループがその所有権を主張する攻撃が可能であることが示されている.これは集約署名においても,本来望まれていない匿名性が成り立つことを意味する.そこで本稿では,集約署名における主張可能性について検討する.本稿の主な貢献は,集約署名における主張可能性の定式化と,主張可能性を持つ集約署名,すなわち主張可能集約署名の一般的構成である.さらに,この一般的構成を主要な集約署名方式であるBoneh-Gentry-Lynn-Sharcham署名に適用した具体的構成を示す.
1C1-4
量子秘密パラメータモデルにおけるQCMAに対する古典証明者非対話ゼロ知識証明
◎河井 亮真(三重大学) 、河内 亮周(三重大学)
クラスQMA(Quantum Merlin-Arthur)は,入力がYESであることを量子計算機で効率的に検証可能な量子証拠が存在する問題の集合であり,クラスNPの量子版として考えられている.暗号理論において,NPに対するゼロ知識証明に関する多くの結果が得られている.同様に量子暗号理論において,QMAに対しても古典検証者非対話ゼロ知識証明を含むいくつかの結果が得られている.しかし,QMAでは証拠が量子的であることから,これらの結果において証明者は量子計算機による処理を含んでいる. 一方,量子計算機で効率的に検証可能な古典証拠が存在する問題の集合としてクラスQCMA(Quantum Classical Merlin-Arthur)が定義されている.これはQMAとNPの間に位置するクラスであるが,著者らの調査の限りではQCMAに対するゼロ知識証明は知られていない. 本稿では,量子秘密パラメータモデルの下において,効率的な古典証明者と量子検証者によるQCMAに対する非対話ゼロ知識証明の構成を提案する.本プロトコルは証明者の処理が古典的であるNPに対するゼロ知識証明と量子検証可能な問題を扱うQMAに対するゼロ知識証明の両方の特徴をもつ.
1C1-5
多項式時間制限通信路に対する公開鍵誤り訂正方式の構成法
◎角田 道映(東京科学大学) 、安永 憲司(東京科学大学)
多項式時間制限通信路に対する誤り訂正符号として,Lipton (1994) は共通鍵方式を提案した.また,Guruswami, Smith (2016) は通信路の計算能力がある多項式時間以下という仮定のもとで構成を与えたが,復号には通信路よりも高い計算能力が必要であった.本研究では,任意の多項式時間制限通信路に対する公開鍵誤り訂正方式の構成を目指し,特に,受信者が秘密鍵を保有し,誰もが公開鍵を用いて符号化できる方式を考える.誤り訂正能力の高く,かつ符号語が擬似ランダムである符号方式の存在を仮定することで,最適な符号化レートを達成する方式の構成法を与える.

1D1 数論応用 (1) 1月28日(火) 15:00~16:40
座長:林 卓也 (Acompany)
1D1-1
有限体上のChebyshev曲線の有理点の個数について
○伯田 恵輔(名城大学理工学部数学科)
本稿では, 有限体上のChebyshev曲線の有理点の個数について考察する.
1D1-2
同種写像暗号 CSIDH に対する類体論応用の検討
◎靑栁 光太郎(三菱電機株式会社 情報技術総合研究所)
本稿では,類体論において定義される Artin 写像とその性質を用いた,同種写像鍵交換方式であるCSIDH に適用可能な群作用計算手法を提案する.CSIDH の公開パラメータを用いて,Hilbert 類体とその整数環を計算し,Artin 写像の計算で必要となるイデアルの情報を計算することで,Artin 写像の具体的な適用手法を示す.提案手法に対して,計算に用いるイデアルの単項化の処理をどの様に扱うべきかという課題が現れることを考察する.このことは,提案手法の計算量に直結する重要な課題である.計算量概算の結果,提案手法は,従来手法である Square-Root V´elu と比較すると計算速度が向上している.
1D1-3
Applying Lagrange Interpolation to Polynomial Expressions of Human-Computable Functions
○Yasuyuki Kachi(The University of Aizu) 、Giovanni Viglietta(The University of Aizu) 、Kouichi Sakurai(Kyushu University)
A human-memorable password is vulnerable to dictionary attacks, whereas a jumbled mix of letters is deemed a strong random password but is not human-memorable. Against such backdrop, a “human-computable password” is “the best of both worlds”. Hailed as number-crunchable without a computer, the authors of [Blocki,Blum,Datta,Vempala: Towards Human Computable Passwords. Arxiv2014/ITCS2017] showcased the “human computable” function 𝑓 (𝑥0, 𝑥1,⋯, 𝑥13) = 𝑥 𝑗 + 𝑥12 + 𝑥13 𝑚𝑜𝑑 10, 𝑗 = 𝑥10 + 𝑥11 𝑚𝑜𝑑 10 as the capstone of their new password authentication protocol. They performed its security evaluation using combinatorics, with the caveat they shied away from disscecting the function f purely mathematically. We apply the Lagrange interpolation method in positive characteristic and thereby express the function f and its variants as polynomials over the prime field of characteristic p.
1D1-4
Schoofアルゴリズムによる超特異楕円曲線の自己準同型写像のトレース計算の高速化
◎小峰 和樹(立教大学) 、片山 瑛(立教大学) 、安田 雅哉(立教大学)
(超特異楕円曲線上の)同種写像暗号は耐量子計算機暗号の一つで,その安全性は同種写像問題の計算量的困難性に基づく.超特異楕円曲線におけるDeuring対応により,同種写像問題は自己準同型環の計算問題に帰着できる.自己準同型環の計算においては,Schoofアルゴリズムを用いて自己準同型写像のトレースを求める必要があるが,自己準同型写像の次数が大きいと計算コストが膨大になる.本稿では,次数が大きい超特異楕円曲線の自己準同型写像に対し実用的な時間で実行可能とするSchoofアルゴリズムの高速化を行う.一般に,Schoofアルゴリズムでは異なる素数を法としたトレースの剰余を計算するが,各素数を位数にもつ楕円曲線のねじれ点を見つける計算コストが大きい.位数計算のための元来のSchoofアルゴリズムの高速化手法の一つとして,Elkiesによる核多項式を利用したねじれ点の生成法がある.本稿では,超特異楕円曲線の性質を利用したねじれ点のサンプリング法を述べると共に,核多項式を用いた従来の高速化手法と併用したハイブリッド型の高速版Schoofアルゴリズムを提案する.
1D1-5
同種写像問題に対する攻撃法の比較:自己準同型環計算による攻撃 vs. 中間一致攻撃
◎神戸 祐太(三菱電機株式会社) 、片山 瑛(立教大学) 、相川 勇輔(東京大学) 、石原 侑樹(日本大学) 、安田 雅哉(立教大学) 、横山 和弘(立教大学)
超特異同種写像暗号の安全性は, 同種な二つの超特異楕円曲線環の同種写像を計算する同種写像問題の計算量的困難性に依存する. 同種写像問題の暗号学的な求解法として, 計算する同種写像の始点と終点のそれぞれから同種写像パスを伸ばし, そのパスの衝突点を探索する中間一致攻撃が知られている. 一方, 同種写像問題の数論アルゴリズムを用いた求解法として, 超特異楕円曲線のDeuring対応を通じた, 自己準同型環計算問題への多項式時間帰着が知られている. そこで, 本論文では同種写像問題に対して, 自己準同型環計算による攻撃と中間一致攻撃の計算時間とメモリ消費量の観点で比較実験を行う.

1E1 IoTセキュリティ (1) 1月28日(火) 15:00~16:40
座長:林 優一 (奈良先端科学技術大学院大学)
1E1-1
マニュアル,スマホアプリ,WebUI,サポートページを介したIoT機器メーカからユーザへのセキュリティアドバイスの実態調査
◎大森 健勇(横浜国立大学大学院環境情報学府) 、本多 凌大(横浜国立大学理工学部) 、櫛引 淳之介(横浜国立大学大学院環境情報学府) 、佐々木 貴之(横浜国立大学先端科学高等研究院) 、秋山 満昭(NTT社会情報研究所/横浜国立大学先端科学高等研究院) 、吉岡 克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院)
IoT機器を安全に使うため,メーカは様々なチャネル,具体的には,機器のマニュアル,サポートページ,WebUI,機器付属のスマホアプリなどを通じて,ユーザにリスク説明や対策推奨などのセキュリティアドバイスを行っている.それぞれの利点として,WebUIやスマホアプリはインタラクティブに情報を提供できる点,マニュアルやサポートページは情報量が多い点があり,それぞれの特性に合わせたアドバイスがされていると考えられる.しかし,機器メーカが各チャネルでどのように情報を提供しているのか,チャネルの特性を踏まえた調査は行われていない.そこで本研究では,11社11機種のホームルータを対象に,パスワードの更新と形式,ファームウェアの更新機能について,上記4つのチャネルでどのように情報が提供されているか調査した.その結果,マニュアルやサポートページと比べ,アプリやWebUIでは具体的なリスクの説明や,対策の推奨をしている機器が多いことがわかった.一方で,WebUIを使用しファームウェアの更新やパスワードの設定を行う際に,ユーザに十分な情報を提供していないメーカが存在していた.
1E1-2
IoTデバイスのUIを対象とした脆弱性検査のためのLLMによる入力値生成手法
◎中西 響(早稲田大学) 、長谷川 健人(株式会社KDDI総合研究所) 、披田野 清良(株式会社KDDI総合研究所) 、福島 和英(株式会社KDDI総合研究所) 、橋本 和夫(早稲田大学) 、戸川 望(早稲田大学)
近年,IoTデバイスの普及に伴い,その脆弱性を突いた悪意のある攻撃が増加している.IoTデバイスのリソース制約やサードパーティコンポーネントへの依存性から,製品をブラックボックスに検査できるファジングが有効な脆弱性検査手法の一つとされている.しかし,IoTデバイスにはセキュリティ確保の観点からHTTPヘッダにハッシュ値を使用するものがあり,IoTデバイスのUIを介した通信のみが許容され,多くのファジングツールによる入力は拒否される.本稿では,上記の課題に対し,IoTデバイスのUIを対象とした脆弱性検査のためのLLMによる入力値生成手法を提案する.提案手法を2種類のIoTデバイスに適用した結果,両デバイスに対して検査入力値の生成,エラーメッセージに基づく値の修正,および送信の一連のプロセスを自動化することに成功した.さらに複数のLLMモデルを提案手法に適用し有効性を評価した.その結果,提案手法は特定のLLMに依存せず有効性があることを実証した.
1E1-3
ドキュメント評価と実機テストにもとづくLLMを用いたセキュリティ適合性評価の自動化
◎池上 裕香(早稲田大学) 、長谷川 健人(株式会社KDDI総合研究所) 、披田野 清良(株式会社KDDI総合研究所) 、福島 和英(株式会社KDDI総合研究所) 、橋本 和夫(早稲田大学) 、戸川 望(早稲田大学)
近年,IoTデバイスの普及に伴い,セキュリティ対策が不十分なデバイスが市場に多く流通し,その脆弱性を狙った悪意のある攻撃が多発している.そのため,IoTデバイスのセキュリティ確保が国際的に求められている.日本における取り組みとして,経済産業省が示すセキュリティ適合性評価制度があるが,評価者の知識への依存や手動評価による時間と労力の増加が課題として想定される.さらに,評価で使用する各種ツールはスキャン技術や出力形式が異なるため,評価結果に差異が生じやすく,統一的な管理と解釈が難しい.本稿では,大規模言語モデル (LLM)を用いて,セキュリティ適合性評価制度のうち「☆1」として定められる項目の評価を自動化する手法を提案する.提案手法では,検査対象デバイスのユーザマニュアルや管理画面から取得した関連情報,デバイスに対するスキャン結果等をLLMに渡すことで,ドキュメント評価および実機テストを自動化する.評価実験の結果,ドキュメント評価においては平均正解率が83%となり,ベストケースでは95%を達成した.また,対象の実機テスト項目全8項目のうち5項目を自動化することに成功した.
1E1-4
グラフ学習を用いたハードウェアトロイ識別に対する複数の学習済みモデルを用いた補正処理
◎吉見 尚(早稲田大学基幹理工学部情報理工学科) 、池上 裕香(早稲田大学大学院基幹理工学研究科情報理工・情報通信専攻) 、戸川 望(早稲田大学大学院基幹理工学研究科情報理工・情報通信専攻)
近年,IoT(Internet of Things)が注目を集め,日常生活にIC製品が普及している.ICの需要増加に伴い,ICの設計・製造過程に外部企業が介入し,その際にハードウェアトロイ(HT)と呼ばれる悪意のある回路が挿入されるリスクが高まっている.設計過程において,HTを検知する手法の1つとして,回路の設計情報を対象としたグラフ学習を用いたHT検出手法が提案され,比較的高いHT識別精度が報告されている.本稿では,グラフ学習を用いたHT識別結果に対し識別精度を向上させるため,学習済みのグラフ学習モデルを複数使用した補正処理を提案する.提案手法は,複数の学習済みモデルを使用して,補正対象となる識別においてトロイノードと識別されたノードと近傍2以内のノードを各モデルの多数決によって再識別する.評価実験により提案手法の有効性を評価する.
1E1-5
IoTシステムのための低計算負荷ユーザ認証の安全性に関する考察
◎西村 悠生(広島市立大学) 、上土井 陽子(Hiroshima City University) 、若林 真一(広島市立大学)
IoTとユーザ間のセッションキーを確立するためのユーザ認証においては高速に認証を実行するため,計算コストの大きい暗号処理をなるべく用いない低負荷なプロトコルや,クラウドなどの第三者の支援により計算負荷を軽減するプロトコルが数多く開発されている。本研究ではそれらの手法を比較し,既存の低負荷な認証プロトコルの安全性の課題を指摘する。さらに,指摘した課題を解決する低負荷なプロトコルを提案する。

1F1 ネットワークセキュリティ (1) 1月28日(火) 15:00~16:40
座長:満保 雅浩 (金沢大学)
1F1-1
LLM-based Analysis of Cyber Threat Intelligence Report
◎Khang Mai(Japan Advanced Institute of Science and Technology (JAIST)) 、Razvan Beuran(Japan Advanced Institute of Science and Technology (JAIST)) 、Naoya Inoue(Japan Advanced Institute of Science and Technology (JAIST))
Large language models (LLMs) exhibit strong generalization capability and excel in various language-related tasks. This capacity allows LLM to replace the role of experts in downstream tasks where training data is insufficient, especially report analysis. In this paper, we introduce a novel approach for automatic analysis of cyber threat intelligence (CTI) reports using LLM. This method does not require specialized expertise to generate training data or extensive input data pre-processing, in contrast to traditional deep learning (DL) approaches. We gather and augment CTI knowledge from the MITRE ATT&CK framework to create the training dataset. After a fine-tuning process, the LLM becomes proficient in identifying the technique ID from the input text. We segment CTI reports into smaller, action-centric text fragments and employ the LLM technique recognizer to detect malicious activities. Our preliminary evaluation suggests that this methodology can attain an F1 score of 0.716, demonstrating comparability with another report analysis framework known as RAF-AG with 0.784 F1 score.
1F1-2
Basic認証要求応答に着目した機器推定へのChatGPT searchの適用
◎大塚 瑠莉(三菱電機,横浜国立大学大学院環境情報学府/先端科学高等研究院) 、インミン パパ(横浜国立大学先端科学高等研究院) 、吉岡 克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院)
IoT機器から汎用的なWebサーバまで,インターネット上で幅広く使用されている認証方式の1つにBasic認証がある.Basic認証は,保護領域に対してアクセスされた際にクライアントへ認証要求応答をするが,その応答内には接続機器の推定へ至る情報を含むものが存在する.本研究では,HTTP/1.0,HTTP/1.1それぞれについて,Basic認証の要求応答から接続機器が推定可能かどうかを調査した.人による推定,OpenAIのLLMによる推定,生成AI ChatGPT searchによる推定を行い,それぞれの結果を比較した.その結果,人による推定結果に対し,OpenAIのLLMではHTTP/1.0において最大81%,ChatGPT searchではHTTP/1.0において最大90%の一致結果となり,これらを適用した機器推定の有用性を確認できた.
1F1-3
大規模ネットワークにおけるボットの通信挙動に基づく機械学習によるC&Cサーバ検知手法の提案
○中原 正隆(KDDI総合研究所) 、村上 洸介(KDDI総合研究所) 、窪田 歩(KDDI総合研究所)
マルウェア感染した端末群によるサイバー攻撃の対策として、感染端末への攻撃指令を行うCommand and Control(C&C) サーバを早期に発見することが重要である。本稿では大規模な通信網から得られるフ ローデータを分析し、C&C サーバを検出する手法を提案する。大規模な通信網においては、正常な通信が 大半であり、その中からC&C サーバと感染端末の通信を発見することは難しい。そこで、既知のC&C サーバの通信に基づくヒューリスティック分析と機械学習を組み合わせた検知手法を提案する。提案手法 では、ヒューリスティック分析による検知対象の絞り込みと、機械学習によるフローデータの特徴を組み 合わせることで、大規模フローデータから高精度にC&C サーバを検知することができる。実際の大規模 フローデータと既知C&C サーバ情報を用いた実験により、提案手法の有効性を評価した。
1F1-4
地図サービスの Oblivious HTTP 通信解析
◎馬場 舜介(東京科学大学) 、石井 将大(東京科学大学) 、田中 圭介(東京科学大学)
インターネット利用者のプライバシー保護を目的としたプロトコル策定の動きが活発化している.その中でOblivious HTTP(OHTTP)はRFC 9458として公開された.OHTTPはリレーを介したHTTP通信によりウェブサービス利用者とHTTPメッセージが容易には関連付けられない仕組みを提供する.しかしこれに対し,リレーが通信の量やタイミングのパターンをもとに通信内容を推測する危険性(通信解析)がある.RFCではOHTTPを利用するウェブサーバーが通信解析について説明責任を負うと記述されており,サービス毎に対策を行う必要がある.本研究ではOHTTPを利用する地図サービスを対象とし,現在のウェブ地図の方式で単にOHTTPを使用した場合では通信解析による通信内容の推測が成功し得ることを実験で示し,その対策方法を説明する.実験では予め地図タイルの情報を収集してデータベースを作成し,その後OHTTPを通してランダムな地点の地図を表示した通信を収集し,データベースを用いて表示した地点を推測する.
1F1-5
信頼できるネットワークについての調査研究
○山澤 昌夫(中央大学研究開発機構) 、鈴木 伸治(中央大学研究開発機構) 、藤田 亮(中央大学研究開発機構) 、辻井 重男(中央大学研究開発機構)
サイバーセキュリティについての話題は尽きない.メールアプリを開けばフィッシングメールを見かけない日は無い.日々サイバー攻撃の報道が絶えない.インターネットはその上での自由な活動を可能にするようデザインされており,そのおかげ利便性を享受できているわけであるが,その影も深い.インターネットの利便性を拡張するには影の部分に対抗する活動が必至である.ここでは各所で推進されている対抗活動について調査し,対抗策としての``信頼できるネットワーク"への要件を整理していきたい.

1G1 セキュリティ評価・モデル (1) 1月28日(火) 15:00~16:40
座長:国井 裕樹 (セコム IS研究所)
1G1-1
脆弱性トリアージのためのグローバルセキュリティアラートの提案
○坂井 武(情報セキュリティ大学院大学) 、藤本 正代(情報セキュリティ大学院大学)
近年,CVE-IDベースで1年間に判明する脆弱性の数は2万件以上に達しており,その全てに対応することは組織の人的・金銭的リソースの観点から現実的でない状況である.その一方,実際に攻撃に利用される脆弱性は全体の約5.5%に留まるという調査結果も存在することから,「悪用される可能性の高い脆弱性」に注力して対応することが重要である.本研究では,多数の脆弱性の中から悪用される可能性の高い脆弱性をトリアージするための新たな指標として,各国のNational CSIRT/CERTが公開するセキュリティアラートを集約した「グローバルセキュリティアラート」を提案する.さらに,本指標について現在デファクト・スタンダードとなっているCVSS値を用いたトリアージ手法と比較検証を実施し,その有効性を確認した.
1G1-2
サイバー攻撃リスク分析評価の揺らぎを削減する手法の提案
○伊藤 吉也(東京電機大学) 、加藤 孝史(フォーティネットジャパン合同会社) 、竹原 直実(フォーティネットジャパン合同会社) 、佐々木 良一(東京電機大学) 、齊藤 泰一(東京電機大学)
IPA制御システムのセキュリティリスク分析ガイドは、重要インフラ向けシステムだけでなく、一般企業におけるサイバー攻撃リスクの分析にも広く活用されている。このガイドは業界標準に準拠し、手順が確立されている一方で、リスク値の算出に使用する各種パラメータが定性的な評価に依存しているため、分析者の経験や理解度などによって結果にばらつきが生じる可能性がある。本稿では,脅威レベルの評価に脅威ライブラリであるMITRE ATT&CKのCAPECを活用することで、このばらつきを低減する方法を提案する。さらに,対策レベルの評価算定にあたり、CIS Controls、MITRE ATT&CK、IPAリスク分析を関連付け、資産ごとのリスク分析結果に応じてCIS Controlsのセキュリティ対策選定にマッピングさせる方法も提案する。その結果をもとに優先的に実施すべきセキュリティ対策を特定し、企業毎のセキュリティ対策の成熟度に応じた対策のロードマップの策定が実現できる手法を試みる。
1G1-3
サイバー攻撃ルート図の自動生成方式の提案
○岸本 衣緒(日本電気株式会社) 、柳生 智彦(日本電気株式会社) 、水島 諒(日本電気株式会社) 、植田 啓文(日本電気株式会社)
近年,益々サイバー攻撃は増え,ランサムウェアによる被害も多く報告されている.組織がこれらの増大する脅威から資産情報やシステムを保護するためには,セキュリティリスクを適切に管理する必要がある.リスクアセスメントにより,システムにおける脅威の発生可能性と,脅威が発生した場合に受容してしまうリスクとなる脆弱性の状態を正しく把握することが可能である.組織は検出したリスクに対して事業被害を把握し,対策立案する.IPAの制御システムのセキュリティリスク分析ガイドでは,侵入口から攻撃目標までの攻撃ルートを調査する事業被害ベースのアセスメント手法が提唱されている.これはリスクの対処に迫られる組織にとって有用である.しかし,リスク分析ガイドでは表形式で攻撃ルートを表現するため,攻撃ルート全体を俯瞰して行う適切な対策箇所の検討が困難である.本論文では,事業被害ベースのリスクアセスメント結果に対して,効果的な対策立案がしやすい概略攻撃ルート図を自動生成する手法を提案する.複数の実案件でセキュリティ専門家が作成した概要図と同等の攻撃ルート図を作成できることを確認した.
1G1-4
固有表現抽出に基づくサイバー脅威情報レポートの要約
○三本 知明(KDDI総合研究所) 、北 健太朗(KDDI総合研究所) 、源平 祐太(KDDI総合研究所) 、磯原 隆将(KDDI総合研究所) 、清本 晋作(KDDI総合研究所) 、田中 俊昭(兵庫県立大学)
文書要約は自然言語のタスクとして古くから研究されており,数多くの手法が提案されている.特にTransformerの出現により汎用データに対する高精度な要約モデルが利用可能となったが,専門領域においてはモデルのファインチューニングが必要となる場合があり,その学習データの収集にコストがかかる.本稿では固有表現抽出タスクを活用した文書要約フレームワークを提案する.我々はサイバー脅威情報に着目し,公開データのみによる高い精度の文書要約が実現可能であることを示す.さらに提案フレームワークはChatGPT等の生成AIを組み込むことが可能であり,Zero-shotプロンプティングと比較して効果的な要約が生成できることを示す.
1G1-5
蓄積された作成知見を活かしたコンパクトなセキュリティレポート要約
◎川口 雄己(NTT社会情報研究所) 、大湊 健一郎(NTT社会情報研究所) 、中津留 毅(NTT社会情報研究所)
現在、各種情報源から自然文の形式で様々なセキュリティ情報が公開されており,こうした情報の分析は実態の把握に有益である。また、昨今LLMを使い様々な文書要約の試みが行われており、セキュリティ情報の要約を含め応用が行われている。こうした応用では人間によるレポートをLLMに与えることで、精度向上を図るものや、情報としての網羅性を評価する試みが行われている。しかしながら、実際にレポートを作成する際には、修正時のコメント等、完成稿以外にもノウハウに関連する情報が多く発生するが、これらのLLMへの有効な与え方は明確ではない。また、情報を展開する際にはに素早く情報を伝えるため、短い文書の中に情報を過不足なくまとめるニーズが存在する。 本研究ではこうした課題に対処するため、レポート修正の履歴情報をLLMに与え、セキュリティレポート生成を行う方法を提案する。具体的には過去のレポートにおけるまとめる上で重要な観点を修正履歴から抽出させ、新たなレポート作成に適用させた。そして実験により、この方法が単純に修正の履歴情報を与える場合に比べ、人間が作成したレポートに近い文書が生成可能なことを示した。

1A2 量子暗号・量子計算 (1) 1月28日(火) 17:00~18:20
座長:安永 憲司 (東京科学大学)
1A2-1
Cryptographic Characterization of Quantum Advantage
Tomoyuki Morimae(Kyoto University) 、◎Yuki Shirakawa(Kyoto University) 、Takashi Yamakawa(NTT, Kyoto University)
Quantum computational advantage refers to an existence of computational tasks that are easy for quantum computing but hard for classical one. Unconditionally showing quantum advantage is beyond our current understanding of complexity theory, and therefore some computational assumptions are needed. Which complexity assumption is necessary and sufficient for quantum advantage? In this paper, we show that inefficient-verifier proofs of quantumness (IV-PoQ) exist if and only if classically-secure one-way puzzles (OWPuzzs) exist. As far as we know, this is the first time that a complete cryptographic characterization of quantum advantage is obtained. Previous work [Morimae and Yamakawa, Crypto 2024] showed that IV-PoQ can be constructed from OWFs, but a construction of IV-PoQ from weaker assumptions was left open. Our result solves the open problem. OWPuzzs are one of the most fundamental quantum cryptographic primitives implied by many quantum cryptographic primitives weaker than one-way functions (OWFs). The equivalence between IV-PoQ and classically-secure OWPuzzs therefore highlights that if there is no quantum advantage, then these fundamental primitives do not exist.
1A2-2
深さ制限付き量子回路を用いた One-Time Memory の提案
◎関井 恭介(筑波大学) 、西出 隆志(筑波大学)
2008年にGoldwasserらはOne-Time Memory(OTM)と呼ばれる特殊なハードウェアの存在を仮定することで、ただ1つの入力に対してのみ実行できるプログラム(One-Time Program)が構成できることを示した。OTMは2つの値が保存されたメモリであり、一方の値を読み取るともう一方の値を読み取ることができなくなる性質を持つ。古典及び量子計算機においてOTMの構成にはハードウェアの仮定が必要なことが知られており、どのような仮定のもとでOTMを構成するかが課題となっている。Liu (ITCS'23)は敵が計算能力が制限された量子計算機を使用できることを仮定し、Wiesner状態とよばれる量子状態を用いてOTMを構成する手法を提案した。本稿ではLiuが用いた量子計算仮定のもとで、Wichsら(FOCS'17)及びChenら(CRYPTO'23)の難読化手法を導入し、それらを改善することでより高速かつ実用的なOTMの構成手法を提案する。
1A2-3
(古典)完全準同型暗号を用いた依頼量子計算法の改良
◎川野 公誠(北陸先端科学技術大学院大学) 、藤﨑 英一郎(北陸先端科学技術大学院大学)
MahadevはFOCS 2018 で、古典計算機であるクライアントが古典通信路を通して量子計算機サーバに秘匿量子計算を依頼するプロトコルを提案した。Mahadev の方式では、クリフォードゲートセットと非クリフォードゲートであるToffoliゲートに対して、(古典)完全準同型暗号を使い、巧妙に秘匿量子計算を実現する。クリフォードとToffoli ゲートで、ユニバーサルゲートを構成するので、結局、(古典)クライアントは任意の量子計算に対して安全に量子計算を依頼できる。本稿では、Mahadevのプロトコルで使われるToffoli ゲートをより簡単な非クリフォードゲートであるTゲートに置き換えることが可能なことを示すことで、Mahadevの方式の効率を改良する。

1B2 共通鍵暗号 (2) 1月28日(火) 17:00~18:20
座長:阪本 光星 (三菱電機)
1B2-1
充足可能問題解法機によるsboxの探索
○青木 和麻呂(文教大学)
近年、全数探索が困難な共通鍵暗号に関する問題についてSAT solverを利用した探索が進んでいる。4ビットの全単射sboxについては(2^4)!=2^44.25であることからgolden sboxが探索されたが、5ビットでは(2^5)!=2^117.7により、そのようなsboxが探索されていない。今回、SAT solverを利用することで、5ビットのgolden sboxの探索にどこまで近づけるか検討する。
1B2-2
LeMacに対するCommitting攻撃
◎竹内 龍之介(名古屋大学) 、岩田 哲(名古屋大学)
近年,認証暗号に対するCommitting (CMT)安全性解析が盛んに行われる中,MACに対してもCMT安全性が必要とされている.また,CMT安全性を拡張した安全性としてContext Discovery (CDY)安全性が提案されている.ToSC~2024(2)/FSE~2025でBariantらによりAESラウンド関数を用いた高速なユニバーサルハッシュ関数が提案された.また,提案されたユニバーサルハッシュ関数からEWCDM (Encrypted Wegman-Carter with Davies-Meyer)構造を用いてMACを構成した方式として,LeMacとPetitMacが提案された.本論文ではEWCDM構造とLeMacに対するCMT攻撃とCDY攻撃を示す.また,LeMacに対するCMT攻撃の実例を示す.本実例におけるactive S-box数は25であり,LeMacの主張する最小active S-box数26を下回る.
1B2-3
軽量暗号SAND-128に対する不能差分識別子の探索
○杉尾 信行(北海道科学大学)
SAND はChen らによって提案されたAND-RX 型軽量ブロック暗号である.SAND は構造の違いからSAND-64,SAND-128の2 種類が存在する.本稿では,SAND-128に対して不能差分特性の探索を行い,複数の14段不能差分特性が存在することを明らかにした.

1C2 署名・鍵管理 (1) 1月28日(火) 17:00~18:20
座長:岩花 一輝 (NTT社会情報研究所)
1C2-1
マルチパーティ計算によるMercurial署名
◎南里 昌哉(京都大学) 、ペレス・ケンプナー オクタビオ(NTT社会情報研究所) 、ティブシ メディ(NTT社会情報研究所 兼 京都大学) 、阿部 正幸(NTT社会情報研究所 兼 京都大学)
群構造維持署名に対してプライバシ保護への需要により署名や鍵の変換を可能にしたMercurial 署名 (MS) には,署名を匿名化しても完全な署名鍵を保有する悪意ある署名者や攻撃者によって署名が 追跡可能となってしまうという署名や鍵の変換に際した非連結性 (Unlinkability) の弱さが存在する.こ れに対し,本研究では MS について署名鍵を秘密分散し一般的なマルチパーティ計算を用いて署名参加 者のうち半数までが Corruption されることを認める閾値署名化することで問題を解決することを提案し た.これにより先行研究よりも署名匿名化におけるプライバシ保護と署名生成における可用性を向上さ せた.また提案方式について実装の上,署名生成の実行速度を計測している.
1C2-2
A Tightly Secure Signature in the Multi-User Setting with Corruptions Based on Discrete-Logarithm Assumption
Keitaro Hashimoto(National Institute of Advanced Industrial Science and Technology) 、○Wakaha Ogata(Institute of Science Tokyo) 、Yusuke Sakai(National Institute of Advanced Industrial Science and Technology)
We construct the first tightly secure signature schemes in the multi-user setting with adaptive corruptions from discrete logarithm (DL) assumption. In contrast to our scheme, the previous tightly secure schemes are based on the decisional assumption (e.g., DDH) or interactive search assumptions (e.g., one more CDH). The security of our schemes is independent of the number of users, signing queries, and RO queries, and forging our signatures is as hard as solving the DL problem. Our starting point is an identification scheme with multiple secret keys per public key (e.g., Okamoto identification (CRYPTO'92)). This property allows a reduction to solve a search problem while answering corruption queries for all users in the signature security game. To convert such an identification scheme into a signature scheme tightly, we employ randomized Fischlin's transformation introduced by Kondi and shelat (Asiacrypt 2022) that provides straight-line extraction. Intuitively, the properties of transformation guarantee the tight security of our signature scheme in the programmable random oracle model, but we successfully prove its tight security in the non-programmable random oracle model.
1C2-3
集約署名と多重署名に対する鍵代替攻撃について
◎藤田 祐輝(大阪大学) 、坂井 祐介(産業技術総合研究所) 、山下 恭佑(大阪大学 / 産業技術総合研究所) 、花岡 悟一郎(産業技術総合研究所)
鍵代替攻撃とは,正直な署名者が生成した署名に対し,悪意を持ったパーティが元とは異なるが検証で受理されるような鍵とメッセージを生成することで署名の所有権を主張して横取りする攻撃である.本稿では,様々な集約署名や多重署名の鍵代替攻撃に対する安全性を議論する.まず,我々は逐次集約署名 (Sequential Aggregate Signature)と多重署名 (Multi Signature)の鍵代替攻撃に関し,攻撃対象の署名を攻撃者が選べる場合と署名が挑戦者から与えられる場合で二段階の安全性を定式化する.これらの定義に基づき,Lysyanskayaらによる落とし戸付き一方向性置換に基づく逐次集約署名,BellareとNevenによる多重署名MS-BN,NickらによるMuSig2の三つの署名方式が安全性を満たすか検討し,Lysyanskayaらの逐次集約署名が強い安全性を,MS-BNとMuSig2が弱い安全性を満たすことを示す.更に,MS-BNとMuSig2を強い安全性を満たすように修正した方式を提案する.

1D2 デジタルアイデンティティ・認証 (1) 1月28日(火) 17:00~18:20
座長:佐古 和恵 (早稲田大学)
1D2-1
Usability Testing for the Implementation of One-Time Password as a Connection Requirement for Wired Home Networks
◎NATHANIEL KOFI ADJADEH(Iwate Prefectural University. Graduate School of Software and Information Science) 、Yuta Kanai(Iwate Prefectural University. Graduate School of Software and Information Science) 、Masaki Narita(Iwate Prefectural University. Graduate School of Software and Information Science)
This phase focuses on usability testing for the implementation of One-Time Passwords (OTP) as a connection requirement for wired home networks. The study aims to gather user feedback to assess the system’s functionality, usability, and intuitiveness. A randomly selected group of users will test the system and provide feedback on features they find valuable and areas that may pose challenges. This input will help identify improvements needed to ensure the OTP authentication system remains secure while being user-friendly and accessible.
1D2-2
応答性の高いRemote AttestationのためのTEEを用いた検証委任システム
◎矢川 嵩(筑波大学, 産業技術総合研究所) 、照屋 唯紀(産業技術総合研究所) 、須崎 有康(情報セキュリティ大学院大学) 、阿部 洋丈(筑波大学)
クラウドプラットフォーム上のTrusted Execution Environment (TEE) について,ユーザーはRemote Attestation (RA) を利用することで,その信頼性を遠隔から検証することができる.RAでは,クラウドプラットフォームが提供する証拠情報を専用のサービスやツールを用いて検証する仕組みが一般的である.しかし,IoTデバイスの急増やマイクロサービスの普及に伴い,現行のRA検証サービスではそのような新たな利用形態に十分対応できない点が課題となっている.そこで本研究では,TEEを活用し,安全かつ容易に検証サービスを展開可能な検証委任システムを提案する.これにより,エッジコンピューティングやFunction as a Serviceなどにも適した,低遅延かつスケーラブルな応答性の高いRAを実現する.本稿では,提案システムをIntel Software Guard Extensions (SGX) を用いて実装した.評価の結果,検証の委任処理,及び検証処理はいずれも1秒未満で完了し,本システムによる検証サービスのスケーリングと高い応答性が期待できることが示された.
1D2-3
ECサイトにおけるクレジットカード決済方法に関する一考察
糸井 正幸(株式会社セフティーアングル) 、○多田 充(千葉大学)
商品やサービスの選択・注文・支払いがすべてインターネットを通じて行われるECサイトは,近年益々利用が拡大されてきており,今後もその傾向は続くものと思われる。現在クレジットカードは,ECサイトにおいて最も利用されることの多い決済手段であるが,その不正利用による被害額は年々増加しており,特に番号盗用による被害の割合が高くなっている。3Dセキュアは,従来のカード情報以外にPWの入力などの追加認証を行う方法であり,クレジットカード決済の安全性を向上させる1つの手法であるとはいうものの,従来の方法と比べ手間がかかるなど,利便性に課題がある。本論文では,3Dセキュアとは異なる視点で,クレジットカードによる決済を,利便性を保ちつつ安全に行うための複数所有物による認証を示す。
1D2-4
楕円曲線に基づく匿名公開鍵証明書の実装評価
○大石 和臣(静岡理工科大学)
楕円曲線に基づく匿名公開鍵証明書が提案されている.匿名公開鍵証明書は,認証局が対象エンティティに対して任意のタイミングで非対話的に発行可能な匿名の公開鍵証明書であり,証明書発行時におけるエンティティの計算量が少ないため低コストで使い捨て用途に適する.本稿はECDSAに基づく匿名公開鍵証明書を実装評価した結果を報告する.ECDSAに基づく匿名公開鍵証明書の生成処理と検証処理をOpenSSLを用いて実装した.Linux上でIPsecを実装したオープンソースソフトウェアのstrongSwanを前記匿名公開鍵証明書を扱えるように改造して通信実験を行い,IKEv2とIPsecが実行されていることを確認できた.

1E2 ハードウェアセキュリティ (1) 1月28日(火) 17:00~18:20
座長:本間 尚文 (東北大学)
1E2-1
スペクトラム拡散された漏えい電磁波を用いたTEMPESTの検討
◎池内 陸(奈良先端科学技術大学院大学) 、北澤 太基(奈良先端科学技術大学院大学) 、林 優一(奈良先端科学技術大学院大学)
隣接する部屋や建物の映像機器から放射される電磁波を計測することで画面情報を取得するTEMPEST攻撃の脅威は、HDMIケーブルなどから発生する電磁波が主な原因であるため、ケーブル内の信号をHDCPにより暗号化することで、対策可能である。一方、モニタやPC内部の信号はHDCPの適用範囲外でありるため暗号化されておらず、これらの信号に起因する漏えい電磁波を計測することで、情報が取得される恐れがある。しかし、これらの内部信号は、電磁波の放射強度を低減させるためにスペクトラム拡散技術が適用され、HDMIケーブルからの電磁波の放射強度に比べ、その強度は弱く、離れた距離からの攻撃は困難とされている。 そこで、本研究では、漏えい源にスペクトラム拡散が適用されている場合でも、攻撃者が映像機器から十分離れた距離で情報を復元する手法を提案する。具体的には、従来の画像再構築手法の前段に周波数復調の信号処理を加え、スペクトラム拡散による漏えい電磁波の周波数変動を追従し、受信時のSNRを向上させる。本手法を用いることで、壁を介して約5m以上離れた商用モニタの画面情報の復元が可能であることを確認した。
1E2-2
ケーブル幾何構造の操作により構成されるハードウェアトロージャンにより引き起こされる電磁情報漏えい評価
◎井出 隼人(NAIST) 、松本 匠平(NAIST) 、北澤 太基(NAIST) 、鍛治 秀伍(NAIST) 、藤本 大介(NAIST) 、春日 貴志(長野高専) 、林 優一(NAIST)
電磁波の放射強度が低いために従来はTEMPESTの脅威対象外とされていた機器に対し、MOSFETと配線からなるハードウェアトロージャン(HT)を実装し、外部から特定の周波数の電磁波を照射することで情報漏えいを引き起こす手法が報告されている。しかし、同手法は追加の回路実装や電磁波照射が必要であり、機器の電気定数を測定することで攻撃を検知できる可能性が指摘されている。そこで本研究では、追加の回路や外部からの電磁波照射を必要とせず、ケーブルの幾何構造を操作するだけで電磁波の放射強度を増大させ、TEMPESTの脅威を高める新たなHTの可能性を検討した。具体的には、HDMIケーブルのツイストペア線の撚りピッチを変化させたり、撚りを解除することでケーブルのインピーダンスを局所的に変化させ、インピーダンスの不連続点を発生させる。実験の結果、従来のケーブルと比較してTEMPEST攻撃の実行可能距離が約20倍に拡大することを確認した。
1E2-3
半導体レーザーを用いた自己混合干渉による音響盗聴攻撃
◎土井 康平(個人) 、大井 邦彦(電気通信大学) 、菅原 健(電気通信大学)
本稿は ASHES2024 で発表済みの内容に基づく.レーザーマイクは,ターゲットにレーザーを照射し,その反射光を解析することで振動を遠隔から復元する. 2022 年に Laser Meager Listener がレーザー振動計 (LDV) を用いたレーザーマイクによる盗聴攻撃の優位性を示したが, 高価な LDV を用意する攻撃コストの高さや,LDV の計測設定の不自由さが課題だった. 本稿では,一つのレーザーダイオードとシンプルな電子回路で LDV を実現できる自己混合干渉法 (SMI) を利用し, この課題を解決する. 本稿で構成した SMI ベースのレーザーマイクを, 攻撃者がガラス窓を通して 3 m 離れた対象物から音を盗聴することを想定したシナリオで評価した. 5 つの対象物から計測した音の明瞭度を 3 つの条件下で評価した結果, 提案手法は高価な LDV を用いた従来の攻撃と同等の性能を達成した. 提案手法は赤外レーザーを用いた不可視攻撃にも拡張でき, さらに回路を自作することで攻撃コストをさらに削減できる. 最後に,攻撃距離を制限する物理的なパラメータについて議論する.

1F2 ネットワークセキュリティ (2) 1月28日(火) 17:00~18:20
座長:齊藤 泰一 (東京電機大学)
1F2-1
ヘテロジニアス無線通信環境におけるビザンチンロバストなAP選択手法の検討
◎村田 陸(創価大学) 、篠宮 紀彦(創価大学)
通信技術の進展により,通信速度や帯域幅が拡充する一方,モバイル端末の増加や高品質な通信を要求するアプリケーションの普及により,人が集中する場所では通信が繋がりにくいと感じることがある.この課題に対して,ネットワーク資源を効率的に活用する手法が提案されている.現在,各端末が通信品質の最も良いアクセスポイントに接続する方式が主流だが,ネットワーク全体の通信品質を最適化することで,ユーザが体感する通信品質が大幅に向上することが示されている.しかし,このような動的ネットワーク環境において,通信品質の全体最適化という合意を形成する過程で移動ビザンチン合意問題が生じる.この問題は,利己的なユーザの存在,通信障害,ユーザの移動によるエリアの出入りなどにより,一定数の故障ノードが常に存在する状況を想定する必要があるため,実用上の重要な課題の一つである.本研究では,ビザンチン故障を想定したシナリオに基づき,ユーザが体感する通信品質をシミュレーションし,故障許容ノード数を評価する.また,ビザンチン障害が発生するモバイル環境下で,高信頼性を確保する基地局選択手法を検討する.
1F2-2
Wi-Fi Probe Requestに含まれるESSIDによるプライバシーリスクおよび要因調査
◎木田 伍(立命館大学) 、川崎 秀昌(立命館大学) 、穐山 空道(立命館大学) 、上原 哲太郎(立命館大学)
Wi-Fi機能を有するスマートフォンやノートパソコンなどの持ち運び可能な情報通信端末(以下,端末)は広く普及している.Wi-Fi機能を有効にしている端末は,Wi-Fiのアクセスポイント(以下,AP)を探索するためにProbe Requestと呼ばれるパケットを定期的に発信する.Probe Requestパケットに含まれるESSIDには,端末が過去に接続したAPのESSIDを含む場合があり,その実装は端末のベンダー依存であるためその挙動はさまざまである. 本研究ではまず,実世界で収集したProbe Requestパケットに含まれる約1500種類のESSIDについて分析し,プライバシーリスクについて検証する.また,端末が発信するProbe Requestパケットに端末付近にないAPのESSIDを含む要因について明らかにするため,オープンソースであるLinuxを対象に調査を実施する.さらに,Wi-FiチップセットやWi-Fiドライバの実装によるProbe Requestパケットへの影響を明らかにするため,市販のUSB Wi-Fiアダプタを異なるOS上で用いて検証する.
1F2-3
暗号移行に関する実務報告(1) ~SHA-1移行の最終章のはじまり~
○伊藤 忠彦(セコム株式会社)
本稿は、ランダム文字列生成用途におけるハッシュアルゴリズムの移行に関する実務報告である。 デジタル署名等の衝突困難性を必要とする用途において、SHA-1は80ビット以下の暗号強度しか持たない。そのため、そのような暗号アプリケーションにおけるSHA-1は、原則としてその利用が廃止されており、例外的に継続利用かつ特段の事情が存在する場合に限定して利用されている。他方で、ランダム文字列生成用途としてのSHA-1は、128ビット程度の安全性を持つとされており、現在でも多くの場面で利用されている。IETF RFC 5019におけるCertIDはそのような用途でのSHA-1の利用がなされており、安全面からの懸念は指摘されていない。それにもかかわらず、筆者らは、IETF RFC 5019の更新作業において、暗号アルゴリズムの安全性以外の観点を理由としてSHA-1を廃止した。本稿では、そのような判断に至った経緯や理由について解説する。
1F2-4
暗号移行に関する実務報告(2) ~PQC移行とクリプトアジリティ~
○伊藤 忠彦(セコム株式会社)
昨今、耐量子計算機暗号への暗号移行の議論において、クリプトグラフィック・アジリティの重要性が高まりつつある。クリプトグラフィック・アジリティは、文脈によって捕捉範囲が異なり、それに伴って異なる意味合いを持つことがあるが、それらに通底しているのは、暗号アルゴリズムをより迅速に変更できる性質を指摘する点が挙げられる。例えば、暗号移行をより迅速にできるようにすることは、「クリプトグラフィック・アジリティを向上させる」と表現される。一方で、所定の環境において要求されるクリプトグラフィック・アジリティと、その実現に要するコストとのバランスをどのようにして確保するのかといった判断プロセスや考慮要素について検討する資料は見当たらない。本稿では、今後、そのような検討が必要となることを見据えて、いくつかの考察を行うものである。

1G2 セキュリティ評価・モデル (2) 1月28日(火) 17:00~18:20
座長:金岡 晃 (東邦大学)
1G2-1
異種冗長的なリソースを持つシステムにおけるデータフローへの攻撃影響評価
◎下田 康世(京都大学情報学研究科) 、小谷 大祐(京都大学学術情報メディアセンター) 、岡部 寿男(京都大学学術情報メディアセンター)
異種冗長的なリソースで構成されるシステムは、ハードウェアやソフトウェアのリソース、通信方式などにおける異種性を持つ。異種性がシステム全体のセキュリティに与える影響について、これまでの研究では汎用的な攻撃コストや異種性の程度を評価する手法がある。しかし特定の脅威クラス(例: 改ざん、データ削除、遅延など)を踏まえたデータフローへの具体的な影響評価を行う手法は確立されていない。そこで本研究では、ノード単位の攻撃能力とデータフローの防御策をそれぞれ表現するネットワークモデルに基づく評価フレームワークを提案する。まず、ネットワーク構造、データフロー、ノードの状態を階層化グラフによる形式モデルで表現する。次に、このモデル上で、脅威クラスと防御策の対応マッピングを用いて、攻撃者がデータフローに与える影響を評価するメトリック及びその計算手順を示す。提案するフレームワークは、異種性を持つシステムにおいて、データフローおよび攻撃者の状態を基にデータフローへの攻撃影響を評価し、脅威クラスに基づくセキュリティ要件の達成を評価可能にする。
1G2-2
Framework for Validating and Improving Python Code using Large Language Models
◎Jongmin Lee(Japan Advanced Institute of Science and Technology) 、Khang Mai (Japan Advanced Institute of Science and Technology) 、Nakul Ghate(NEC Corporation) 、Razvan Beuran(Japan Advanced Institute of Science and Technology)
This paper introduces a framework that integrates Large Language Models (LLMs) with static code analysis tools to enhance the quality and security of LLM-Generated Python code. The framework generates code snippets and iteratively refines them to address syntax errors, security vulnerabilities, and functional correctness, ensuring alignment with functional and security standards. By leveraging LLMs alongside tools such as Pylint and Bandit, the framework validates and improves code through a unified pipeline. During evaluation on the LLMSecEval dataset derived from the MITRE CWE Top 25, the framework identified vulnerabilities in 64 code snippets and resolved 83 percents of the 72 detected issues through refinement. It also enhanced functional correctness in 38 cases, improving compliance and functionality. Furthermore, the refined code snippets showed substantial similarity to expert-curated secure code examples, achieving an F1 Score of 0.8024. These results highlight the potential of combining rule-based analysis with LLM-driven insights to produce robust, secure, and functional code. By reducing human intervention, the framework bridges the gap between static analysis and the contextual understanding of LLMs, advancing AI-assisted coding toward real-world applicability.
1G2-3
静的コード解析による偽の概念実証コード検知手法の検討
○北 健太朗(KDDI総合研究所) 、源平 祐太(KDDI総合研究所) 、三本 知明(KDDI総合研究所) 、磯原 隆将(KDDI総合研究所) 、清本 晋作(KDDI総合研究所) 、田中 俊昭(兵庫県立大学大学院)
脆弱性に対する概念実証コードはGitHubなどで広く公開されており,脆弱性検証や攻撃検知ルール作成などのセキュリティ対策に利用できる.しかし,マルウェア実行などの悪意のある機能を含む,偽の概念実証コードが公開・拡散される事例が報告されている.これらのコードを誤って実行した場合,情報漏洩やマルウェア感染などの被害が引き起こされる.既存研究でも偽の概念実証コードに関する調査が行われているが,偽の概念実証コードか否かの判定作業の多くを人手で行うなど,検知の自動化についての検討が不足している.これに対して,本稿では静的コード解析技術の一つであるテイント解析により偽の概念実証コードを検知する手法を検討する.具体的には,IPアドレスやBase64エンコード文字列などの潜在的に不審なデータを検出した場合,それらのデータフローをテイント解析により特定することで,不審な外部通信や難読化コードのローカル実行などの不審な動作を行うコードを検知する.提案手法をGitHub上の概念実証コードに適用することで,既存手法よりも誤検知を抑制しながら偽の概念実証コードを検知できることを示す.

2A1 量子暗号・量子計算 (2) 1月29日(水) 9:00~10:40
座長:河内 亮周 (三重大学)
2A1-1
Noise Reduction from decomposition of Relative Toffoli for Shor's factoring Algorithms
◎BAEGEUN PARK(Degree Programs in Systems and Information Engineering, University of Tsukuba) 、NOBORU KUNIHIRO(University of Tsukuba) 、JUMPEI YAMAGUCHI(Fujitsu) 、TETSUYA IZU(Fujitsu)
RSA ciphers serve as a cornerstone of modern cryptographic systems, relying on the computational intractability of the prime factorization problem. However, the emergence of quantum algorithms, such as Shor's algorithm, has introduced efficient methods to solve this problem, potentially undermining the security of RSA ciphers. Despite these advances, the performance of quantum computers is currently limited by quantum error for each gate and other computational constraints, which prevent them from achieving optimal outcomes. In this study, we implement Shor's algorithm in a quantum simulation environment where quantum errors exist, design a quantum circuit to verify the results, and compare them against idealized outcomes using KL Divergence. By focusing on circuit modifications, particularly the decomposition of the Toffoli gate, we explore strategies to mitigate noise and achieve results closer to the ideal case, providing a comparative analysis of performance and noise reduction.
2A1-2
乗算を行う定数深さ量子回路の具体的な構成
◎西垣 貴裕(筑波大学大学院システム情報工学研究群) 、國廣 昇(筑波大学システム情報系)
公開鍵暗号の安全性の根拠の一つである離散対数問題は,量子アルゴリズムによって多項式時間で解かれることが知られている.現在使われている大きさのパラメータを持つ離散対数問題を解くには,大規模な量子回路が必要であるため,規模の小さい量子回路で実現できるかの研究が進んでいる.現在の量子計算機はゲートのエラー率が高く,量子回路の深さが大きくなるとエラーが積み重なるため,深さの浅い量子回路の構成が必要である.深さの浅い量子回路の一つに,深さが入力のビット数に依存しない定数深さの量子回路がある.先行研究では,量子ファンアウトゲートを使用した定数深さ量子回路により,しきい値関数が計算可能であることが示されている.さらに,重み付きのしきい値関数を利用して,乗算を行う古典回路の構成法が知られている.そのため,理論上は,乗算を定数深さ量子回路で行うことが可能である.乗算は,離散対数問題を解く量子アルゴリズムの中で多く使用されており,乗算の効率的な構成方法を与えることは重要である.本論文では,実際に,乗算を定数深さ量子回路で構成できることを示し,その具体的な構成を与える.
2A1-3
MarkoffグラフCGLハッシュ関数の安全性評価
◎佐々木 崇斗(早稲田大学) 、高島 克幸(早稲田大学)
Fuchs et al.により提案されたMarkoffグラフCGLハッシュ関数は耐量子ハッシュ関数の候補として見込まれていた. しかし, SilvermanはMarkoffグラフの道探索を行うアルゴリズムが, 古典では準指数時間, 量子では多項式時間で実行可能であることを示した. このアルゴリズムでは1つの素因数分解問題と, 3つの素体上の離散対数問題を解く必要がある. これらの問題に関して, 2023年に, Regevは新たな素因数分解量子アルゴリズムを提案し, それを基づいて同年に, Ekerå, Gärtnerは離散対数問題を解く量子アルゴリズムを提案した. そこで我々は, これらのアルゴリズムをSilvermanによる道探索アルゴリズムに適用することにより, MarkoffグラフCGLハッシュ関数の安全性の評価を行う.
2A1-4
パウリ操作検知符号の弱安全性について
◎市川 景也(東京科学大学) 、安永 憲司(東京科学大学)
パウリ操作検知符号とは、古典の代数的操作検知符号を量子状態に拡張したもので、任意の量子状態を符号化したものに恒等写像でない任意のパウリ操作を行ったことを検知することができる。ほぼ半分の符号状態が消失しても元の状態を復元することができる近似量子消失訂正符号の構成や、特定の量子チャネル上における量子改ざん検出符号への活用が知られている。一方で、パウリ操作検知符号には代数的操作検知符号での知見がまだ十分には生かされていない。本研究では、代数的操作検知符号と同様にパウリ操作検知符号の安全性を弱めたものを考え、それがヒルベルト=シュミットノルムで表現できることを示す。
2A1-5
安全な量子鍵貸与のためのシンプルなフレームワーク
北川 冬航(NTT社会情報研究所) 、森前 智行(京都大学) 、○山川 高志(NTT社会情報研究所)
安全な鍵貸与(鍵削除可能暗号とも呼ばれる)は、秘密鍵を量子状態として貸与し、その鍵を後に検証可能な形で取り消すことを可能にする技術である。本研究では、安全な鍵貸与を実現するためのシンプルなフレームワークを提案する。このフレームワークに基づき、以下の方式を得た。 公開鍵暗号:任意のIND-CPA安全な公開鍵暗号に基づく、安全な鍵貸与を備えた公開鍵暗号方式。提案方式においては古典的削除検証が可能である。従来の方式は量子的削除検証を用いているか、LWE問題の量子困難性といったより強い仮定に依存していた。 擬似ランダム関数:任意の一方向性関数を基づく、安全な鍵貸与を備えた擬似ランダム関数。従来の方式はLWE問題の量子困難性といったより強い仮定に依存していた。 電子署名:SIS問題の量子困難性に基づく、安全な鍵貸与を備えた電子署名方式。提案方式においては、署名鍵が静的であり、署名の前後で署名鍵の状態がほとんど変化しない。従来の方式では、静的な署名鍵を実現するためには、耐量子識別不可性難読化という非常に強い仮定に依存していた。 さらに、本研究で提案する方式は、攻撃者が削除証明を提出した後に削除検証鍵が漏洩した場合でも安全性を維持する初の方式である。加えて、本研究の安全性証明は既存研究と比較してはるかにシンプルである。

2B1 高機能暗号 (1) 1月29日(水) 9:00~10:40
座長:一色 寿幸 (NEC)
2B1-1
マッチメイキング公開鍵暗号と公開鍵検索可能認証暗号との関係性について
◎吉田 岳史(金沢大学) 、江村 恵太(金沢大学)
Atenieseら (CRYPTO2019) により提案されたマッチメイキング暗号のIDベース版として, IDベースマッチメイキング暗号 (IB-ME: Identity-based Matchmaking Encryption) が知られている. IB-MEでは, 暗号化時に自身のID ($\sigma$) に対応する秘密鍵に加え受信者のID ($\rcv$) を, 復号時に自身のID ($\rho$) に対応する秘密鍵に加え送信者のID ($\snd$) を指定, 送信者と受信者が一致した場合, すなわち $(\sigma,\rho)=(\snd,\rcv)$ の場合に暗号文が復号できる. 本論文では, 公開鍵検索可能認証暗号 (PAEKS: Public Key Encryption and Public Key Authenticated Encryption with Keyword Search, Huang-Li (Information Sciences 2017)) の検索機能がIB-MEにおける一致マッチングに類似していることに着目した. IB-MEの公開鍵暗号版であるマッチメイキング公開鍵暗号 (PK-ME: Matchmaking Public Key Encryption) を定式化し, PAEKSからPK-MEが一般的に構成できることを示す. PK-MEはIB-MEと同様に一致マッチング機能を有し, かつ提案構成にPAEKSの一般的構成 (Li-Boyen, IACR CiC 2024) から得られるPAEKS方式を適用することで, ペアリングまたは格子からの標準モデルで安全なPK-MEの構成が得られる. さらにPK-MEのIB-MEに対するメリット/デメリットについて考察する.
2B1-2
Gaoらの検索者指定型公開鍵転置インデックス検索可能暗号方式に対する安全性評価
◎林 瑞貴(金沢大学) 、江村 恵太(金沢大学)
Gaoら (IEEE Internet of Things Journal 2024) は公開鍵検索可能暗号の拡張として, 検索者指定型公開鍵転置インデックス検索可能暗号 (Public-Key Inverted-Index Keyword Search with Designated Tester) を提案している. 検索者指定型のため, 検索時にトラップドアに加えて検索者の秘密鍵を必要とする方式である. 本論文では, Gaoらがトラップドアからキーワードに関する情報が漏れていないことの証明のためにDecisional Diffie-Hellman (DDH) 問題の困難性を仮定しているにも関わらず, DDH-solverである対称ペアリングを用いていることに着目, 実際に攻撃が可能かどうかを検討した. その結果として, 検索者であればトラップドアからキーワードに関する情報が得られることを示した. 具体的に, 検索者の秘密鍵と攻撃対象のトラップドアのみを用いて (つまり検索対象の暗号文や攻撃対象以外のトラップドアを一切入手せずに), ペアリング計算2回で攻撃が可能である. なおGaoらの安全性モデルでは攻撃者に検索者の秘密鍵を与えていないことから, モデル外の攻撃であることに注意されたい. そこで指定検索者の役割を精査し, 我々の攻撃の妥当性についても議論する.
2B1-3
効率的な鍵更新機能を有する証明書不要検索可能暗号
◎山田 真生(千葉大学) 、岸本 渡(千葉大学)
クラウドサービスの発展により、機密情報を外部に保存する機会が増えた。検索可能公開鍵暗号(PEKS)の登場により、クラウドに保存したデータを暗号文のまま検索することが可能になり、利便性が向上したが、これにはいくつかの問題がある。一つ目は、鍵の証明書問題である。PEKSでは公開鍵の正当性を証明するために第三者からの認証を受ける必要があるが、この第三者が不正を行うことを防ぐことができない。二つ目はキーワード推測攻撃に対する脆弱性である。PEKSにおいては検索の際に、キーワードを暗号化したtagと呼ばれるものを用いるが、このtagはだれでも生成することができる。この性質を利用して暗号文の内容を推測しようとする攻撃をキーワード推測攻撃という。三つ目は鍵更新問題である。鍵更新には、更新の際の計算量の問題や新しい鍵での復号問題などがある。Karatiらによる方式KDCLEKSは上記の問題のうち鍵の証明書問題とキーワード推測攻撃に対する脆弱性を解決している。本研究では、この方式をもとに、独自の鍵更新手法を用いて上記三つの問題を解決する方式を提案し、その安全性の分析を行った。
2B1-4
検索可能暗号の安全性定義間の関係性の再考
◎佐藤 和樹(電気通信大学) 、甘田 拓海(電気通信大学) 、淺野 京一(電気通信大学 / 産業技術総合研究所) 、渡邉 洋平(電気通信大学 / 産業技術総合研究所) 、岩本 貢(電気通信大学) 、太田 和夫(電気通信大学 / 産業技術総合研究所)
検索可能暗号(Searchable Symmetric Encryption: SSE)は,信頼できないサーバ上の暗号化データに対して暗号化したまま検索を行う暗号技術であり,安全性を損なわない範囲での漏洩を許容することで,実用的な検索効率を実現している.Curtmolaら(ACM CCS 2006)はSSEのモデル,及びシミュレーションベースの安全性(Semantic Security: SS)と識別不可能性ベースの安全性(Indistinguishability: IND)を定式化し,それらの関係性を導出した.しかし,SS安全性がIND安全性を包含することは示した一方で,IND安全性がSS安全性を包含するか,すなわち両安全性が等価であるかどうかは示されていない.Curtmolaらは標準的な漏洩を許した状況下のみ考慮していたが,近年アルゴリズム及び漏洩情報のモデル化が洗練され,様々な漏洩を許すSSEが提案されていることから,本稿ではそれらの進展を踏まえた新たな結果を明らかにする.具体的には,Curtmolaらの想定より多くの漏洩を許す状況下ではSS安全性とIND安全性が等価であることを示す.
2B1-5
検索可能暗号に対するSubgraph攻撃の類似度最大化を用いた改良
◎並木 拓海(電気通信大学) 、岩本 貢(電気通信大学) 、渡邉 洋平(電気通信大学)
検索可能暗号は効率的な検索処理のために,安全性を損なわないと考えられる情報の漏洩を許容する.漏洩を許容した情報が本当に漏洩しても安全性を損なわないものかどうかは綿密に議論される必要があり,その議論を攻撃の観点で行う研究が盛んに進められている.このような攻撃研究は漏洩悪用攻撃と呼ばれ,検索可能暗号の漏洩情報を用いてクエリ復元等を試みるものである.もし漏洩情報を用いて攻撃ができるのであれば,その漏洩情報は本来漏洩してはならないものであるといえる.標準的な漏洩情報を用いた攻撃の中では非常に優れた性能を達成する攻撃の1つとしてSubgraph攻撃(Blackstone et al, NDSS 2020)が知られている.一般に,漏洩悪用攻撃では漏洩情報とは別に補助情報も必要とするが,Subgraph攻撃は他の攻撃と比較して必要とする補助情報が少ない.本研究では,Subgraph攻撃を基に,漏洩情報と補助情報の類似度を最大化する方法を用いる新たな攻撃アルゴリズムを提案する.また,実装実験を通じ,提案攻撃アルゴリズムがSubgraph攻撃よりも多くのクエリを復元できることを示す.

2C1 暗号理論 (2) 1月29日(水) 9:00~10:40
座長:田中 圭介 (東京科学大学)
2C1-1
公開鍵暗号のMulti-Key FuncCPA安全性からCCA1安全性への帰着について
◎中嶋 恵理(大阪大学) 、原 啓祐(産業技術総合研究所) 、山下 恭佑(大阪大学/産業技術総合研究所)
FuncCPA 安全性とは,Akavia ら(TCC 2022)によって,準同型暗号におけるブートストラッピングを背景に提案された安全性であり,攻撃者が任意の暗号文に対し再暗号化されたフレッシュな暗号文を受け取れる状況を想定している.Dodisら(TCC 2023)は,FuncCPA安全性が通常の公開鍵暗号にも適用できる安全性であると指摘したほか,Nakajimaら(VCRIS 2024)は,FuncCPA安全性を複数鍵に拡張したMulti-Key FuncCPA (MKfunc) 安全性を提案し,さらに,Key Dependent Message (KDM) 安全性へ帰着できることを示した.本稿では,MKfunc安全性が,KDM安全性よりさらに標準的な安全性であるCCA1安全性に帰着できることを示す.これにより,従来知られていたよりも幅広い公開鍵暗号方式がMKfunc安全性を満たすことが言える.
2C1-2
A security proof of FO-PKC in the quantum random oracle model
◎Naoki Hasegawa(Japan Advanced Institute of Science and Technology) 、Eiichiro Fujisaki(Japan Advanced Institute of Science and Technology)
The Fujisaki-Okamoto (FO) transformation is a generic method for converting any weak public-key encryption scheme into an IND-CCA secure public-key encryption scheme in the random oracle model. It exists in two versions: PKC and CRYPTO. The original proposed method has its security proven in the classical Random Oracle Model. In recent years, the security of the FO-CRYPTO version, including the Hofheinz-Hövelmanns-Kiltz version, has been proven in the Quantum Random Oracle Model. However, to the best of our knowledge, no such proof exists for the FO-PKC version. In this paper, we provide a security proof for the FO-PKC version in the Quantum Random Oracle Model.
2C1-3
逆像オラクル付きランダム関数の和の一方向性
◎儀保 駿(電気通信大学) 、渡邉 洋平(電気通信大学/産業技術総合研究所) 、岩本 貢(電気通信大学)
一方向性関数とは順方向の計算は容易だが逆像計算が困難な関数であり,暗号理論を含む理論計算機科学において重要な関数である.Ghosal と Sahai (GS) は二つのランダム関数 f, g : {0, 1}^n → {0, 1}^mがそれぞれ逆像オラクルを持つ場合に,f + g が一方向性をもつためには m − n = ω(log n) であれば十分であることを,強識別不可能性の枠組みで示した.儀保らはこの条件を拡張し,GS とあわせて|m − n| = ω(log n) であれば十分であることを明らかにした.本研究では,強識別不可能性を示すときに逆像オラクルの模倣をより精密に行うことで,n と m に関する条件を全て取り除き,任意の n と m に対して f + g が一方向性を持つことを示す.
2C1-4
照合可能暗号とアフィン線形暗号に関する考察
○木原 眞紀(甲南大学)
照合可能暗号と呼ばれる暗号化したまま2つの平文の距離を導出可能な暗号系のクラスが2019年に木原,入山によって提案されている.いくつかの暗号系が照合可能暗号に属することはわかっているが,照合可能暗号に属する暗号系や照合可能暗号で扱うことができる距離関数の条件など,照合可能暗号に関する数学的な性質や構造がわかっていない.本論文では,照合可能暗号の数学的性質の解明を目的として,リー距離とアフィン線形性をもつ暗号系に対して,照合可能暗号に属することの十分条件を与える.
2C1-5
変造不可能ファジー抽出器の安全性に関する考察
◎津田 昂樹(東京科学大学) 、安永 憲司(東京科学大学)
ファジー抽出器は生体情報などの情報源から一様乱数に近い乱数を手に入れる技術であり,公開情報の改ざん耐性を実現したものは堅牢な (robust) ファジー抽出器と呼ばれる.堅牢性の実現限界を回避するために堅牢性を変造不可能性へと弱めた概念が Francati と Venturi (ACNS 2024) により提案されている.本研究では,変造不可能ファジー抽出器の安全性ならびに構成可能性について検討を行う.

2D1 フォーマルメソッド 1月29日(水) 9:00~10:40
座長:花谷 嘉一 (東芝)
2D1-1
Tamarin Proverの Heuristic Oracleを利用した OW-CCA2の安全性検証
○三重野 武彦(エプソンアヴァシス株式会社, 信州大学大学院総合医理工学研究科) 、岡崎 裕之(信州大学大学院総合理工学研究科) 、荒井 研一(長崎大学 情報データ科学部) 、布田 裕一(東京工科大学コンピュータサイエンス学部)
暗号プロトコルの安全性検証に,形式手法の有効性が近年広く報告されている. 多くの自動検証ツールが存在するが,最も多く利用されている自動検証ツールとして,定理証明器の Tamarin proverや,モデル検査器の ProVerifがある. これらの検証ツールは,自動検証時に攻撃できる可能性が見つかれば,攻撃の導出手順を出力するなど,幅広いセキュリティプロトコルの高度に詳細なモデルの解析に使用されている. 著者らは FAIS2024での発表で, Tamarin proverの検証対象(環境)として, Tamarin proverの Heuristic Oracleがどのように扱われるか調査し, 共通鍵暗号を使用したOW-CPA (OW: Onewayness, CPA: Chosen Plaintext Attack)モデルの安全性検証を実施した. 本稿ではこのフレームワークを利用し,公開鍵暗号を使用した,適応的選択暗号文攻撃 OW-CCA2 (CCA2: Adaptive Chosen Ciphertext Attack)を検証した. Tamarin proverの Interactive Mode(対話モード)を使用し,手作業で証明のGoalを選ぶよりも, Heuristic Oracleを用いて,満たしたい安全性の性質を早く証明できる場合が多い.安全性検証の過程と検証結果を詳細に説明し,その妥当性について論じる.
2D1-2
Formal Verification of IND-CPA Security of HQC in EasyCrypt
◎Yamato Umemura(Kobe University) 、Masanori Hirotomo(Saga University) 、Makoto Takita(Kobe University) 、Shohei Kakei(Nagoya Institute of Technology) 、Hiroki Kuzuno(Kobe University) 、Masami Mohri(Kindai University) 、Yoshiaki Shiraishi(Kobe University)
As quantum computing emerges, conventional public-key cryptosystems based on factorization or discrete logarithm problems are expected to become vulnerable in the near future. In response, NIST has initiated a standardization effort for post-quantum cryptography (PQC), leading to the selection of schemes such as CRYSTALS-KYBER and SPHINCS+. HQC (Hamming Quasi-Cyclic), currently a finalist in this process, requires thorough security verification to ensure its long-term reliability. However, proving the security of complex cryptographic schemes is challenging and prone to human error. To address this, formal verification methods have gained prominence, with theorem-proving tools like EasyCrypt increasingly adopted to establish rigorous cryptographic proofs. This research focuses on formally verifying the IND-CPA security of the HQC public-key encryption (HQC.PKE) scheme using EasyCrypt. We formalize the underlying mathematical assumptions and systematically construct a game-based proof framework that captures the essence of IND-CPA security. By representing attacks as a sequence of games and deriving inequalities that bound an adversary's advantage, we ensure a machine-checkable, mathematically sound proof within the EasyCrypt environment.
2D1-3
形式検証ツールProVerifを用いたThe Messaging Layer Security Protocolの安全性検証
◎濱田 元介(信州大学) 、三重野 武彦(信州大学, エプソンアヴァシス株式会社) 、岡崎 裕之(信州大学) 、荒井 研一(長崎大学) 、布田 裕一(東京工科大学)
未定現在通信内容の暗号化技術として広く利用されているTLSは,エンドツーエンドの通信においてデータの秘匿性を保証する暗号通信プロトコルである. これは1対1での通信においては高速かつ安全な通信を提供するが,多対多の通信においては通信先ごとに暗号化を行う必要があり,通信先クライアント数の増加に伴い鍵の管理の複雑化および通信の遅延が問題となる. この問題を解決するために新たに提案されたのが,MLS(The Messaging Layer Security Protocol)である. MLSはTLSと同様にデータの秘匿性を保証する暗号通信プロトコルであるが, Ratchet Tree 構造による鍵管理アルゴリズムにより,複数人に同じメッセージを送信する際に暗号化を行う回数の大幅削減が可能となる. またグループ全体での鍵更新アルゴリズムが確立されており,通信内容の前方秘匿性および後方秘匿性を保証することができる. 本稿でははじめにMLSのプロトコル概要について説明し,その後暗号プロトコルの形式検証ツールであるProVerifを用いてMLSの安全性検証を行った結果について報告する.
2D1-4
ProVerifを用いたブロックチェーンのReorgの形式検証
◎根津 翔也(信州大学) 、三重野 武彦(信州大学, エプソンアヴァシス株式会社) 、岡崎 裕之(信州大学) 、荒井 研一(長崎大学) 、布田 裕一(東京工科大学)
ブロックチェーン技術は, その分散性と高いセキュリティ性から金融システムやサプライチェーン管理をはじめとするさまざまな分野で活用が進んでいる. しかし, ブロックチェーンの安全性には依然として未解決の課題が存在する. その中でも, ブロックチェーンが同時に複数のブロックを生成するフォークが発生した後に一つのチェーンに再編成(Reorg)される際の整合性に関しては, 懸念が残る. 実際, この問題を起因とする攻撃や事件が発生しており, 取引の取り消しや二重支払いといったリスクが指摘されている. 本研究では, 形式検証ツールであるProVerifを用いて, フォークを伴うブロックチェーンの形式化手法を提案し, Reorg時におけるブロックチェーンのファイナリティが保証されるかを検証した. なお, 提案手法ではブロックチェーンプラットフォームにおけるコンセンサスアルゴリズムの違いを考慮しない汎用的なモデルを採用している.
2D1-5
Labyrinth Encrypted Message Storage Protocolの形式検証
◎渡部 翔(茨城大学) 、米山 一樹(茨城大学)
Messengerは米国を中心に世界中で利用されるメッセージングアプリであり、2024年4月時点で10億1千万人の月間アクティブユーザ数を持つ。Labyrinth Encrypted Message Storage Protocolは、Messengerのエンドツーエンド暗号化において単一のアカウントに紐づけられた複数のデバイス間でメッセージ履歴を安全に共有するためのプロトコルである。しかしながら、Labyrinthの安全性証明はこれまで知られておらず、さらに仕様の主張する安全性の定義は現実に考えられる脅威をすべて考慮したものではない。本稿ではLabyrinthの初めての形式検証を行い、検証結果として次の2点を示す:(1)仕様の主張する安全性をすべて満たすこと、(2)アカウントから失効したデバイスが悪用されることで起こり得る脅威とそれを実現する具体的手順。

2E1 IoTセキュリティ (2) 1月29日(水) 9:00~10:40
座長:高橋 順子 (NTT社会情報研究所)
2E1-1
クラウド環境のフローログを用いたIoT デバイスの異常通信検知に関する一検討
○飯澤 優太朗(株式会社 ARISE analytics) 、秋元 裕介(株式会社 ARISE analytics) 、福嶋 昌太郎(株式会社 ARISE analytics) 、奥井 宣広(株式会社KDDI総合研究所) 、窪田 歩(株式会社KDDI総合研究所) 、吉田 琢也(トヨタ自動車株式会社)
IoTデバイスへのサイバー攻撃の対策技術として、ネットワークベースの異常検知に関する研究が行われている。特に、増大する通信量に対応するためにIPFIX等のフローデータを対象とした異常通信検知の研究が増えている。これらの研究では、IoTデバイスが送受信する通信データからフローデータを取得する必要があるが、IoTのシステムがクラウド環境で構築済みの場合に、追加で通信データを取得することが困難な場合がある。そこで本研究では、AWSで取得可能なVPC Flow Logsを対象とした異常通信検知の検討を行った。VPC Flow Logsは、単方向のパケット数やバイト数のみの情報、時間窓に応じたセッション情報の分割などフローデータと比べて情報量が少ないなど複数の課題がある。本研究では、VPC Flow Logsを用いた異常通信検知の精度向上を目的として、複数のVPC Flow Logsを適切に双方向形式のデータに変換する手法を提案する。公開データセットを用いた精度評価を行い、本提案手法によるROC-AUCの向上が確認できた。
2E1-2
Bluetooth Low EnergyのRPAを用いたデバイスに対する中間者攻撃に関する検討
◎小笹 靖泰(京都産業大学情報理工学部) 、辻 匠吾(京都産業大学情報理工学部) 、家平 和輝(京都産業大学大学院先端情報学研究科) 、井上 博之(京都産業大学情報理工学部)
Bluetooth Low Energy(BLE)は省電力・省コストに特化した短距離無線通信規格として,IoT機器やウェアラブルデバイス,スマートロックなどの小型デバイスに搭載されている.BLEにはセキュリティ機能として,プライバシー保護機能や暗号化機能,認証機能などが提供されている.本研究では,プライバシー機能の一つであるResolvable Private Address(RPA)を使用している機器に対し,アドレスキャリーオーバーアルゴリズムと呼ばれるアドレス追跡手法を使用し,アドレスを追跡したアドレス偽装中間者攻撃の可能性とその対策を検討する.市販のBLE評価ボードで実験を行った結果,攻撃対象のデバイスは攻撃者のデバイスを正規のデバイスと誤認し,攻撃者のデバイスに接続することで攻撃者との通信が確立し中間者攻撃が成立することを確認した.また,本攻撃手法の対策を考察する.
2E1-3
Session Root-of-Trust for IoT Device Identification
○Hiroshi Watanabe(National Yang Ming Chiao Tung University)
Device identification is necessary for secure operation of IoT systems, but how to use it determines its applicability. We propose “Session Root-of-Trust” to use device identification on sessions for this purpose. A leading solution, TPM2.0, has been adopted in Windows11, but secure boot and TPM requirement can be bypassed in the registry for booting Windows11 in an old PC without TPM2.0. The same is possible on any PC. A hacker can also such manual processes. IoT devices are much smaller than PCs and the number of IoT devices will be much greater than the number of PCs. Quite often, it may be difficult to know who an administrator is or whether he is trustworthy, whether there is an administrator, or it is impossible to manage too many IoT devices. In other words, it must be indispensable to make device identification automatic or unmanned. Though device identification should be under central management, the identification process must be made secure and unmanned. Anyone should be able to easily censor records of past identification processes by using digests with the least possibility of manipulation. Enabling it can improve general use of IoT devices. It can grow up IoT systems to spread being a social infrastructure.
2E1-4
リソース制約のある IoT デバイス向けセキュア・プロトコルスタックの自社検証
○鈴木 隆元(株式会社ミックウェアオートモーティブ) 、倉地 亮(名古屋大学大学院情報学研究科)
省リソースが特徴である組込み機器は, HW/SW 制約から高度なセキュリティ対策を導入することが難しく, セキュリティ攻撃の対象となる事案が増えている. 筆者らは, リソース制約の厳しい組込み機器でもセキュアに通信を行うための要件の提案と, 実装リファレンスとして独自のプロトコルスタック expist IoTA (IoTA) を実装し, 性能を示したが, セキュリティ観点での検証は課題であった. 本研究において, IoTA の採用する軽量暗号 SPECK の検証, ProVerif を用いたプロトコル検証を行うと共に, 検証観点の導出と, 手法について整理した.
2E1-5
敵対的映像攻撃がvSLAMの位置推定とドローン制御に及ぼす影響評価
◎海老根 佑雅(早稲田大学) 、野本 一輝(早稲田大学/デロイトトーマツ サイバー合同会社) 、田中 優奈(早稲田大学) 、小林 竜之介(早稲田大学) 、鶴岡 豪(早稲田大学) 、森 達哉(早稲田大学/NICT/理研AIP)
Visual SLAM (vSLAM) は,自動運転やロボットのナビゲーションなど,様々なシーンにお いて重要な役割を果たしており,自律飛行ドローンにおいてもその重要性は増してきている. 一方で,従 来の研究では信頼性と精度の高い vSLAM システムの構築に焦点が当てられており,既存の vSLAM シ ステムの脆弱性に関する研究はほとんど行われていない. 本研究では,vSLAM 技術の一種である ORB SLAM3 を用いた自律飛行ドローンに対する新たな攻撃手法「Phantom Path (PP) 攻撃」を提案する. 本手法は,スクリーンに投影した敵対的映像を用いて,自己位置推定を本来の結果から誤った方向へ誘 導し,ドローンの進路を意図的に操作するものである.本稿では,敵対的映像が自己位置推定に与える 影響をシミュレータ上のカメラ及び商用のカメラで評価し,PP 攻撃が ORB SLAM3 の自己位置推定に 最大で約 130 m の誤認識を引き起こすことを明らかにした.また,敵対的映像がドローンの自律飛行機 構に与える影響をシミュレータを用いて End-to-End で評価し,PP 攻撃により意図的にドローンを墜落 させることが可能であることを示した.

2F1 マルウェア対策 (1) 1月29日(水) 9:00~10:40
座長:田中 恭之 (NTT社会情報研究所)
2F1-1
20年前のx86マルウェアがx86_64マルウェアとして蘇る可能性の分析
◎奥住 七海(神奈川工科大学) 、武田 知樹(神奈川工科大学) 、岡本 剛(神奈川工科大学)
x86_64用のWindowsマルウェアの検知率が、x86用のWindowsマルウェアと比べて、低い可能性が指摘されている。本研究は、過去のx86マルウェアがx86_64用にビルドされ、新たな脅威として蘇る可能性を検証した。具体的には、20年前のx86マルウェアのソースコードをx86_64用にビルドし、正しく動作したマルウェアに対して検知率を評価した。ビルドした結果、x86_64用にビルドするにはマルウェアごとにソースコードの修正が必要であり、短期間に大量のx86マルウェアがx86_64マルウェアとして蘇る可能性は低いことを明らかにした。しかし、マルウェア開発経験者であればビルドできると考えられるため、正しく動作するようにソースコードを修正・ビルドしてマルウェアの検知率を評価した。評価の結果、検知可能なx86マルウェアに対してx86_64マルウェアの検知率は60%にとどまり、40%のマルウェアが蘇るリスクがあることを明らかにした。本研究の知見と評価に用いた検体をウイルス対策ソフトベンダーへ提供して、検知率が改善することを確認した。
2F1-2
IoTマルウェアにおける関数呼び出し分析の阻害要因の除去
◎馬 権聖(九州大学) 、韓 燦洙(国立研究開発法人情報通信研究機構) 、田中 智(国立研究開発法人情報通信研究機構) 、高橋 健志(国立研究開発法人情報通信研究機構) 、竹内 純一(九州大学)
IoTマルウェアは一般に公開されているソースコードを改変することで作成される.このように機能を改変して作成されたマルウェアが増加しており,改変されたマルウェアの持つ機能の人力によらない分析手法の開発が急がれている.先行研究では,マルウェアの持つ機能を推定するため,内部で呼び出す関数の時系列情報を有向グラフとして表したFunction Call Sequence Graph(FCSG)を提案した.しかし,同一ソースファイルから作成したFCSGであってもCPUアーキテクチャやコンパイラ最適化レベルの変化によってグラフ構造が変化し,横断的な解析の妨げになることがわかった.本稿では,初期ルーチンやアーキテクチャ固有の関数など,解析の妨げになると考えられる関数の除去手法を提案した.良性のテストソースコードから作成したFCSGと提案手法を適用したグラフを比較し,解析の妨げになる関数を大幅に除去できることを確認した.また,インライン展開される関数や関数呼び出し順序の変化について考察を行った.
2F1-3
機械語命令フックによる耐解析機能の特性を利用したマルウェア対策
◎小松 蒼樹(立命館大学) 、毛利 公一(立命館大学) 、瀧本 栄二(立命館大学, 奈良女子大学)
マルウェアによる感染経路の多様化により,端末を保護するエンドポイントセキュリティが不可欠である.マルウェアには,デバッガや仮想環境などの解析環境特有の特徴を検知する耐解析機能が実装されている.マルウェアの耐解析機能は,解析環境であると検知した場合,自己動作を停止させる性質を持つ.そこで端末保護手法として,マルウェアにおける耐解析機能の性質に着目した活動抑止手法が提案されている.この手法は,耐解析機能に解析環境を示す偽情報を与え,耐解析機能による実行環境の誤検知を発生させることで,マルウェアの活動を抑止する.耐解析機能は複数手法が存在するが,我々は,既存手法では扱われていない特定の機械語命令の実行結果を用いる耐解析機能に着目した. 本論文で提案する手法は,カスタムデバッガを用いてターゲットプロセスをデバッグ対象とし,ターゲットプロセス上の特定の機械語命令にブレークポイントを設置する.これにより,カスタムデバッガが処理をフックし,返り値となるレジスタの値を改ざんすることで耐解析機能を逆用する.さらに,本手法のプロトタイプ実装とその有効性に関する評価結果とオーバヘッドについて報告する.
2F1-4
WMIを用いたVM検知機能の動的バイナリ計装による無効化
◎猪飼 人大(大阪工業大学大学院) 、福澤 寧子(大阪工業大学大学院)
動的解析はマルウェア解析における有効な手段の一つである.しかし,昨今のマルウェアの多くは解析者やセキュリティ製品による動的解析を妨害するために解析環境検知機能(耐解析機能)を実装している.WMI(Windows Management Instrumentation)はWindowsOSのシステム情報を取得・管理する機能であり,耐解析機能を有するマルウェアの中には,WMIの機能を介して取得した情報から,自身がVM(Virtual Machine)上で実行されていることを検知し,解析作業を妨害するものがある.そこで,仮想関数テーブルを介してアクセスするWMIを,動的バイナリ計装を用いて検知し,引数や戻り値を変更することによりマルウェアの耐解析機能を無効化する.本稿では,VM検知機能を実装した疑似マルウェアおよび実際のマルウェア検体に対して実験を行い,耐解析機能を無効化できることを示す.
2F1-5
ストライドを考慮したファイル分割による De-Randomized Smoothed MalConv の精度向上
◎吉田 祐太(静岡大学) 、西垣 正勝(静岡大学) 、大木 哲史(静岡大学 / 理化学研究所 革新知能統合研究センター)
近年,マルウェア検知モデルに対するAdversarial Examples攻撃が報告されており,この課題への対策としてCertified Defenseが注目されている.その中でも,De-Randomized SmoothingベースのCertified Defenseは,入力を特定の方法によって分割し,それぞれを個別に学習・推論することでロバスト性を理論的に保証する. Sahaらの研究では,入力ファイルを固定長ごとに分割する手法が用いられており,このため入力ファイル長が不定のマルウェアに対して保証精度が安定しない課題が存在する.そこで,本研究では,入力ファイルを特定の数に分割する手法を提案・検討した.公開データセットを用いた実験結果から,分割数の増加がロバスト性を向上させる一方で,標準精度の低下を招くトレードオフを明らかにした.この結果をふまえ,ストライドを考慮したファイル分割手法を提案することで,特定の条件下にて標準精度を維持しつつ保証精度を向上させることに成功した.

2G1 AIセキュリティ (1) 1月29日(水) 9:00~10:40
座長:大塚 玲 (情報セキュリティ大学院大学)
2G1-1
差分プライバシ型連合学習に対するモデル反転攻撃の評価
◎金田 康平(名城大学) 、竹本 修(名城大学) 、野崎 佑典(名城大学) 、吉川 雅弥(名城大学)
近年, 連合学習の社会実装の報告が増加している一方で,学習モデルの内部情報が窃取されるリスクの高まりが指摘されている.そのため, 連合学習システムの安全性評価が不可欠となっている.本研究では, 参加者のデータセット量に応じて重み付けを行うFedAvgアルゴリズムを実装し, これに差分プライバシーを適用することでセキュアな学習環境を構築する. その上で, 悪意のある参加者が学習に参加した場合を想定し, 更新されるグローバルモデルからどの程度学習データを解析できるかをモデル反転攻撃により評価する. この評価を通じて, 連合学習における差分プライバシーの有効性と潜在的な脆弱性を明らかにする.
2G1-2
特徴量が欠損しているサンプルのデータの中間表現を補完し活用する垂直連合学習
◎深見 匠(NTT社会情報研究所) 、山﨑 雄輔(NTT社会情報研究所) 、磯貝 奈穂(NTT社会情報研究所)
近年, データの分散化とプライバシー保護の重要性が高まる中, 連合学習は, データをローカルに保持しつつ, 複数のデータ保持者が協調してAIモデルを学習する手法として注目されている. 特に,垂直連合学習(Vertical Federated Learning, VFL)は, 患者や商品などの同一の対象(サンプル)に関連するデータが特徴量ごとに垂直的に分割され複数のデータ保持者が各データを保持する場合に適用され, 医療やマーケティング分野での活用が期待されている.しかし, 実際には, 異なるデータ保持者間で同一のサンプルに関する特徴量が欠損している場合も多く, 特徴量が欠損しているサンプルを学習に活用しないと潜在的に有用なサンプルを活用しきれず, モデルの性能が向上しないという課題がある. 本研究では, この問題を解決するため, 特徴量が欠損していないサンプルが参加者間で少ない場合でも,特徴量が一部欠損しているサンプルを活用して精度を向上させる新しい学習アルゴリズムを提案する.
2G1-3
勾配の符号推論モデルを用いた垂直分割連合学習における敵対的サンプル生成攻撃の検討
◎吉田 康太(立命館大学) 、藤野 毅(立命館大学)
垂直分割連合学習は複数のクライアントと一つのサーバが共同で1つの深層学習モデルを訓練する手法である.クライアントとサーバはモデルを分割して保持し,分割面でお互いに特徴量や勾配を通信し推論モデルを作成する.入力データやラベルを直接共有しないため,データの機密性を保ちつつモデルを訓練できる.本稿では,訓練後もクライアントとサーバが共同で推論を行うシナリオにおいて,クライアントの一人である悪意ある攻撃者が,敵対的サンプル(AEs)として機能するようにサーバに送信する特徴量を改ざんし,推論結果を誤らせる攻撃について検討する.攻撃者はある推論データに対するAEsを生成するために必要な勾配情報を得るために,訓練フェーズにおいて,通常の推論に使用するモデルとは別に,特徴量から勾配を推論するモデルを訓練する.推論フェーズでは本モデルを用いて推論サンプルの特徴量から勾配の符号を求め,fast gradient sign method (FGSM)を使ってAEsを生成する.実験の結果,特徴量にランダムノイズが加算される場合と比較して同じ改ざん量でも敵対的サンプル生成攻撃が推論精度を大きく低下させた.
2G1-4
水平連合学習における集約モデル情報を用いたマシンアンラーニング手法の評価
◎上田 澪(立命館大学) 、川井 聖也(立命館大学) 、吉田 康太(立命館大学) 、藤野 毅(立命館大学)
水平連合学習とは深層学習モデルの学習を複数のクライアントで独立に実行し,学習後のモデルのみをサーバで集約することで単一の深層学習モデルを訓練する手法である.ここで,各クライアントから送付されるモデルはそのクライアントで学習したデータの情報を一部記憶している.近年,データを忘れられる権利等の観点から,特定の学習データの情報を忘れさせる技術であるマシンアンラーニングが研究されている.水平連合学習の分野では,あるクライアントの学習データを全て忘れさせるマシンアンラーニングが扱われることが多い.既存手法の一つとして,集約後モデルから忘れさせるクライアントのモデル寄与を減算する手法がある.しかしながら,この手法では減算後のモデル精度低下が大きく,その回復に膨大な追加データによる訓練が必要である.そこで本稿では,忘れさせるクライアント以外から送付されたモデルの初期値と最終値を加重平均した集約モデル情報を用いた手法を提案する.提案手法はメンバーシップ推論攻撃とバックドア攻撃を用いた評価において,既存手法よりも少ない追加データ数では同等以上の性能を,同等のデータ数では高い性能を示した.
2G1-5
複数鍵準同型暗号による連合学習システム保護の強化について
○安田 聖(三菱電機株式会社) 、靑栁 光太郎(三菱電機株式会社) 、西田 悠太郎(三菱電機株式会社)
連合学習(Federated Learning)は、分散データのプライバシーを保ちながら、機械学習モデルを共同でトレーニングする技術として注目されている。しかし、連合学習を用いたとしても、モデル更新情報のやり取りから学習データの復元などの攻撃・リスクは存在する。準同型暗号(Homomorphic Encryption)や複数鍵準同型暗号(Multi-Key Homomorphic Encryption)は、暗号化されたデータ上での直接計算を可能にし、学習時のリスクを軽減する手法として注目されている。 本研究では、複数鍵準同型暗号方式を用いた連合学習システムをNvidia Flareと呼ばれる連合学習システム上で実装し、実際の連合学習環境における適用可能性を評価した。また、複数鍵準同型暗号の暗号文を復号する際に、モデルの集約サーバに対してグローバルモデルが開示されてしまうという課題に対する、保護手法を新たに提案する。

2A2 ブロックチェーン (1) 1月29日(水) 11:00~12:40
座長:福岡 尊 (富士通)
2A2-1
Bitcoinにおけるランサムウェアアドレス周辺のトランザクションに着目した悪性アドレスラベルの拡張手法の提案
◎奥村 祐紀(兵庫県立大学大学院情報科学研究科) 、田中 俊昭(兵庫県立大学大学院情報科学研究科) 、神薗 雅紀(デロイト トーマツ サイバー合同会社) 、熊谷 裕志(デロイト トーマツ サイバー合同会社) 、森 博志(デロイト トーマツ サイバー合同会社)
ブロックチェーン技術を使用した暗号資産であるBitcoinは高い匿名性を有している。この匿名性の高さからBitcoinは、マネーロンダリング、投資詐欺、ランサムウェア攻撃などの違法取引に使用されている。この中でもランサムウェア攻撃に対して、数年にわたる多量のBitcoinの取引情報を用いて、ランサムウェア攻撃などに使用されるBitcoinアドレスを判別する手法が提案されてきた。本論文では、1日分のBitcoinの取引情報からランサムウェア攻撃に使用されるBitcoinアドレスを判別する機械学習モデルを構築する。この際、ランサムウェア攻撃で使用されるBitcoinアドレスの正解ラベルを拡充する手法を考案し、機械学習モデルを検証することにより本手法の妥当性を示す。
2A2-2
IoT向けブロックチェーンTree-Chainの問題点について
◎富田 龍(東京科学大学) 、石井 将大(東京科学大学) 、小田 拓也(北九州市立大学 / 東京科学大学) 、田中 圭介(東京科学大学) 、田村 康将(北海道大学 / 東京科学大学) 、Defago Xavier(東京科学大学) 、仲 琢矢(三菱電機) 、中井 敦子(三菱電機) 、森 一之(三菱電機)
Tree-Chainは,DorriとJurdakが提案したブロックチェーンであり,複数のバリデータ間でトランザクションを分散処理し並列的にブロックを生成することで,リソースが制限されたIoT環境でも効率的に動作するように設計されている.本研究では,Tree-Chainの方式を理論的に検討するとともに,その実用化に向けて実装を行い,仮想環境での動作テストを実施した.その結果,理論的検討からは方式の仮定および方式自体の問題点を,動作テストからは合意形成における課題を発見した.さらに,動作テストで発見された課題を考察したところ,現行方式では,トランザクション発生頻度と比較して伝送遅延や同期のズレが大きい状況,あるいはメインバリデータが故障する状況において,合意形成が高確率で失敗することが明らかになった.
2A2-3
Decentralized Storage Network in the Extended UTXO Model
◎Yuma Tamagawa(Department of Mathematical and Computing Sciences, School of Computing, Institute of Science Tokyo) 、Xiangyu Su(Department of Mathematical and Computing Sciences, School of Computing, Institute of Science Tokyo) 、Mario Larangeira(Department of Mathematical and Computing Sciences, School of Computing, Institute of Science Tokyo. Input Output, Global.) 、Keisuke Tanaka(Department of Mathematical and Computing Sciences, School of Computing, Institute of Science Tokyo)
Distributed storage networks (DSN) provide a decentralized and secure framework for data storage. Existing systems, such as the Filecoin Project, employ the proof of replication (PoRep) scheme (EuroCrypt ’19) to ensure verifiable data storage and retrieval. Typically, these systems are implemented atop of Ethereum-type smart contract-enabled blockchain protocols. However, the high operational costs associated with such smart contracts highlight the need for alternative approaches. To address this issue, our work adopts the extended UTXO (EUTXO) model and designs a DSN system within its framework. Concretely, we divide a DSN system into three phases: off-chain data delegation, periodically-challenged PoRep, and final data extraction. Due to the potential huge size of stored data, our EUTXO-baed blockchain is designed to only keep the evidence for these phases. The replication security yields directly from PoRep. Additionally, we consider fairness, like in Fairswap (CCS '18), for the final extraction and achieve it by using adaptor signatures under the rational setting.
2A2-4
Web3メタバースユーザのセキュリティ・プライバシー意識調査
◎丹治 開(早稲田大学) 、秋山 満昭(NTT社会情報研究所) 、森 達哉(早稲田大学/NICT/理研AIP)
Web3メタバースは,従来のメタバースにNFTなどのWeb3技術を組み込んだ分散型プラットフォームであり,中央集権的な管理者を持たない点が特徴である.また,Web3メタバースではユーザーが自由に空間を構築できる一方,この自由度が攻撃者による悪用を助長するリスクもある.特に,詐欺が横行するWeb3の現状を踏まえると,Web3メタバースユーザーに求められるセキュリティ・プライバシーに関するリテラシーが重要であると考えられる.しかしながら,Web3メタバースユーザーの行動や認識に関する調査研究が不足している現状にある.本研究では,この課題を解決するため,代表的なWeb3メタバースであるDecentralandを含む4つの分散型アプリケーション (DApps)を対象に調査を行った.まず,調査対象のDApps上でユーザにとって脅威となりうるシナリオを16個設計した.我々は,これらのシナリオを活用したビネットスタディを行うことで,Web3メタバースユーザーのセキュリティ・プライバシー意識を包括的に分析した.さらに,調査結果を踏まえ,今後想定される攻撃シナリオを検討し,それに対する対策を提案した.
2A2-5
IDベース署名を用いたバニティアドレス生成手法の検討
◎村崎 翔梧(金沢大学) 、面 和成(筑波大学) 、江村 恵太(金沢大学)
Ethereumにてトランザクションを発行する際, ユーザは自身のECDSA署名鍵にてトランザクションに署名する. このユーザのブロックチェーン上の識別子として, ECDSA検証鍵のハッシュ値から生成されるアドレスが用いられている. このとき任意の文字列を含むことができるアドレスをバニティアドレスと呼び, 例えば名前をアドレスに含めるなどの利用がされている. 本論文では, 任意の値を検証鍵に指定可能なIDベース署名を用いたバニティアドレス生成について検討する. まずトランザクション発行にすでに利用されているECDSA署名をIDベース署名に置き換えることは現実的ではなく, 仮に置き換えが可能だとしてもそのコストがバニティアドレス生成の容易さとの対価として妥当ではないと考えた. そこで本論文ではIDベース署名方式が通常の署名方式の組み合わせで構成できることに着目, Ethereumで実利用されている検証鍵リカバリ型ECDSAのみを用いてIDベース署名を構成した. この場合, 直接バニティアドレスは生成できない一方で, アドレスに対し付加的な情報を与えることが可能となることを示す. Solidityによる実装評価を行い, アドレスに紐ついたIDに任意の値を設定する場合においてもECDSA署名検証にかかるガスコストと比較してほぼ同等のガスコストで署名検証が可能であることを示す.

2B2 高機能暗号 (2) 1月29日(水) 11:00~12:40
座長:松田 隆宏 (産業技術総合研究所)
2B2-1
TFHEとB/FV-big-numberを用いた秘匿計算に向けた暗号方式間相互変換手続きの提案
◎永井 寿弥(京都大学) 、松岡 航太郎(京都大学) 、佐藤 高史(京都大学)
企業はサイバー攻撃に日夜さらされており,情報保護は大きな問題と認識されている. 現在,メモリ内の値に対する暗号化技術は実装されている. しかし,保持している情報を秘匿していたとしても,平文でプログラムを実行しては,サイドチャネル攻撃等により,情報漏えいのリスクが生じる. 準同型暗号は,このような攻撃者やクラウドサービスプロバイダからデータを秘匿するソリューションとして注目されている. 準同型暗号には複数の方式があるが,その中でもTFHEは非線形演算の速さで知られている. しかし,線形演算においては他方式に劣ることが分かっている. そのため他の方式との相補的な利用を考えるSheme Switchingという技術が考案されてきた. しかし,既存の手法は機械学習を念頭においており,1つ1つの演算の精度よりも大量の情報を高速に処理することを目標としている. 本論文では,金融計算などの,少数の値に対する複雑な演算を念頭に置き,高精度なscalar演算に適したB/FV-big-numberとの変換を提案する. 提案された方法はC++で実装をし,TFHE単体の回路で乗算を行った場合と比較を行った.
2B2-2
効率の良いFull Domain 関数型ブートストラッピングの構成
◎雨宮 岳(北陸先端科学技術大学院大学) 、藤﨑 英一郎(北陸先端科学技術大学院大学)
本論文ではトーラス型完全準同型暗号(TFHE)のFull Domain Functional Bootstrapping(FDFB)を2回のBlind Rotationと1回のKey Switchingで実現する手法について提案する.
2B2-3
Secure RAG Search Using HE
◎Rikuhiro Kojima(Fujitsu Limited)
RAG is a semantically searchable information retrieval scheme, but it is vulnerable to privacy concerns, such as model leaks and user query leaks. In contrast, searchable encryption is widely recognized as an information retrieval scheme that ensures privacy. Consequently, it appears feasible to construct a secure RAG search by utilizing the embedding (vectorized) data of RAG as an alternative to the index in searchable encryption. However, since embeddings are not guaranteed to be irreversible, attackers may attempt to reconstruct the original data from the vectors. In this paper, we propose SRAG as a Secure RAG scheme. In SRAG, we construct an encrypted index using homomorphic encryption. However, the naive configuration imposes a significant computational cost on the data searcher during decryption. To address this, we propose an algorithm that reduces the computational cost while maintaining the same accuracy as the naive method. This is achieved by performing vector clustering in advance and extracting only the clusters most relevant to the user's query vector. Finally, we compare SRAG with the prior application Wally, proposed by Asi et al. [ABG+2024].
2B2-4
乱数長の短い否認可能完全準同型暗号
◎豊岡 叶望(電気通信大学) 、渡邉 洋平(電気通信大学/産業技術総合研究所) 、岩本 貢(電気通信大学)
完全準同型暗号とは,暗号文上の演算により,中身の平文に対する任意の演算を復号せずに行うことのできる暗号方式のことであり,プライバシー保護技術への関心の高まりとともに注目を集めている.同様の観点から否認可能暗号も重要な暗号技術であり,これは,公開された暗号文に対応する平文を開示するよう強制されたあるユーザが,暗号文の中身について嘘をつくことを可能にする.Agrawalら(CRYPTO 2021)は完全準同型暗号と否認可能暗号を組み合わせた否認可能完全準同型暗号のモデルとその構成法を提案し,豊岡ら(CSS 2024)は公開鍵型TFHE (Joye, CT-RSA 2024)を用いて,Agrawalらの構成よりも高速な構成を提案した.しかし,双方の構成では嘘をつくために,使用した乱数すべてを保存しておく必要がある.そこで本稿では,より短い乱数を用いたとしても同じ否認可能性を達成することができ,さらにJoye (CT-RSA 2024)によって提案された暗号文の圧縮技術を用いて一部の乱数を圧縮できることを示すことで,既存の構成よりも使用する乱数長の短い否認可能完全準同型暗号の構成を提案する.
2B2-5
完全準同型暗号の方式変換の鍵サイズ・演算量削減
◎上村 周作(KDDI総合研究所) 、福島 和英(KDDI総合研究所)
完全準同型暗号は復号を行うことなく演算ができる暗号手法であり, 機密情報の分析などへの応用が期待されている.現在までに提案されている完全準同型暗号手法は小数を扱えることや任意の関数評価が行えるなどの特長がある. これらの特長を組み合わせて利用するための手段として, 異なる方式間の暗号文を互いに変換を行うことができる方式変換という手法が提案されている.しかしながら方式変換では必要な計算量や鍵は大きいため, 一つの方式で近似する手法を用いるよりも効率的ではない.方式変換では変換の過程でGSW暗号文を用いた演算を行うが, XiangらはCRYPTO23にてNTRUベースのGSW暗号文によるBlind Rotationを用いた高速化手法を提案している.この手法はGSW暗号文の代わりにNTRUベースのGSW暗号文を用いることで効率化を実現しており, GSW暗号文を用いている手法に対して適用可能である. 本研究ではXiangらによって提案された方式変換に適用した際の効果について議論する.この適用により, 理論的にはLook-up Table評価に必要な鍵サイズが約42%の削減, 整数の乗算回数が約92%の削減となることを確認した.

2C2 暗号プロトコル (1) 1月29日(水) 11:00~12:40
座長:尾形 わかは (東京科学大学)
2C2-1
マルチクエリをサポートした検証可能秘匿情報検索技術
○林田 淳一郎(デロイトトーマツサイバー合同会社) 、林 リウヤ(東京大学/ 産業技術総合研究所) 、原 啓祐(産業技術総合研究所) 、野村 健太(デロイトトーマツサイバー合同会社) 、神薗 雅紀(デロイトトーマツサイバー合同会社) 、花岡 悟一郎(産業技術総合研究所)
秘匿情報検索技術(PIR)は、クライアントが(サーバ内に保存されている)データベースからデータを取得する際に、そのインデックスをサーバに明かすことなく取得可能とする技術である。これまでの研究によって、一台のサーバモデルにおいて、(通常の)秘匿情報検索技術は選択的障害攻撃に対して脆弱であることが知られている。選択的障害攻撃は、(悪意のある)サーバがクライアントの復号結果を利用してインデックスに関する情報を取得しようとする攻撃である。この問題に対する解決策の一つとして、Ben-David ら(TCC 2022)は検証可能秘匿情報検索技術(Verifiable PIR (vPIR))を提案した。vPIRは追加の機能要件として、クライアントが問い合わせたデータベースが特定の性質を満たしていることを検証する機能を提供する。しかしながら、既存の検証可能秘匿情報検索技術は、特にクライアントが複数のクエリをサーバに対して並列または連続的に送るマルチクエリ設定を考慮した場合に、実用的な効率性を持たなかった。この課題を解決するために、Hayashi ら (CANS 2024) は、マルチクエリをサポートした検証可能秘匿情報検索技術 (multi-query vPIR (mvPIR)) を初めて提案した。本研究では、耐量子安全性を持つ初めての mvPIR 方式の構成を提案する。具体的には、認証付き秘匿情報検索技術(APIR)と検証者指定型の簡潔非対話型知識証明(DV-SNARKs)に基づく新たな一般的構成を与えることで、格子上の計算量仮定に基づいた実現が可能であることを示す。また、(m)vPIR の実社会における有用性を見るために、オンライン証明書状態プロトコル(OCSP)における具体的な応用例の考察も与える。
2C2-2
ロケットチャットのエンドツーエンド暗号化に対する安全性解析
◎木村 隼人(兵庫県立大学) 、伊藤 竜馬(国立研究開発法人情報通信研究機構) 、峯松 一彦(日本電気株式会社 / 横浜国立大学) 、五十部 孝典(兵庫県立大学)
ロケットチャットは,世界150カ国以上で1500万人を超えるユーザーに利用されているグループチャットプラットフォームである.本研究では,ロケットチャットが提供するエンドツーエンド暗号化プロトコルに注目し,暗号学的観点から安全性評価を実施する.具体的には,ロケットチャットテクノロジー社が公開しているエンドツーエンド暗号化プロトコルの仕様書を基に,ProVerifを用いてDolev-Yao攻撃者モデルに基づく解析を行う.さらに手動での仕様と公式のオープンソース実装の詳細の解析を通して,実装上の問題点と一部の明文化されていない仕様を特定し整理する.その結果,プロトコル設計上の問題を特定し,これらの一部が実用的な攻撃につながる可能性があることを示す.また,設計上の問題と実装上の脆弱性を組み合わせることで,グループチャットの機密性および完全性が現実的な時間内で侵害される可能性があることを明らかにする.最後に,これらの設計上の問題や脆弱性が実環境に与える影響を考察し,緩和策を提案する.解析は2024年5月25日時点の仕様と実装に対して行われ,発見した問題と脆弱性は事前にロケットチャットテクノロジー社に報告済みである.
2C2-3
An Improved TreeKEM protocol with stronger PCS
○Otsuru Tomoko(Japan Advanced Institute of Science and Technology) 、Fujisaki Eiichiro(Japan Advanced Institute of Science and Technology)
Secure Messaging protocols enable end-to-end secure communication over untrusted network and server infrastructure. They are used in major application services that provide secure message exchange between users, such as Signal, Facebook Messenger, etc. Their sessions may be long-lived and users may be offline, so they should guarantee Forward Secrecy (FS) , where the security of all past session keys remains safe even if a user’s secret key is compromised at some point, and Post Compromise Security (PCS) , where the session keys become secure again once the user updates their compromised private keys. TreeKEM is at the core of the Secure Group Messaging protocol proposed by MLS working, which has been launched by the IETF, and its security is analyzed by Alwen et al. with CGKA syntax. We see its security more focused on TreeKEM and propose a simple modification to it. Our protocol provides better security in terms of secret key compromise by node. It is more difficult to compute update secrets for an adversary and easier to recover from compromise for users.
2C2-4
証明可能安全なロジックロッキング方式の効率的な実現
○渡邉 洋平(電気通信大学 / 産業技術総合研究所) 、小野 知樹(電気通信大学) 、平田 遼(電気通信大学) 、淺野 京一(電気通信大学 / 産業技術総合研究所) 、楊 明宇(東京科学大学) 、原 祐子(東京科学大学) 、岩本 貢(電気通信大学)
ロジックロッキング技術とは,回路を鍵で “ロック” した鍵付き回路へと変換し,鍵付きICチップをファウンドリに製造してもらうことで,回路のIP保護とICチップ製造の外部委託を両立する暗号技術である.鍵を知らない限り,鍵付き回路から元の回路情報を得ることができない一方,設計者が鍵付きICチップを鍵で “アンロック” することで元の回路と同じ機能性を復元できる.しかし,そのような性質を正確に定義することは難しく,多くのロジックロッキング研究において,安全性が証明されないまま提案されては破られるといったいたちごっこを繰り返している.そのような状況の中,Beerelら(TCHES, 2022)は,ロジックロッキングの安全性を定式化し,理想的な安全性を満たす証明可能安全な構成法を提案した.彼らの構成は元の回路情報を一切漏らさないことを保証する一方,実際にはASICではなくFPGAで実現せざるを得ないことも表している.FPGA設計であればそもそもチップ製造外部委託の動機が失われることから,本稿では,eASIC等で実現可能かつ証明可能安全なロジックロッキング方式の定式化及び構成法を提案し,その性能評価を行う.
2C2-5
高度に並列動作する認証メモリ暗号機構
古川 潤(日本電気株式会社) 、五島 正裕(国立情報学研究所) 、○大畑 幸矢(株式会社Byerlis) 、高前田 伸也(東京大学)
仮想マシン全体を隔離するタイプのTrusted Execution Environments (TEE) が注目されているが,その隔離は充分とは言い難いアクセス制御に強く依存しており,様々な攻撃を受けている.認証メモリ暗号 (Authenticated Memory Encryption, AME) は,強力な隔離を実現する要素技術ではあるが,性能が低すぎると考えられており,製品への採用が進んでいない. 我々は,AMEの低性能の原因が,AMEユニットの不十分な並列動作にあることを発見した. 本稿では,Parallelizable Authentication Tree (PAT) をベースとした,高度に並列動作可能なAME機構の設計を示す. サイクルアキュレートなアーキテクチャシミュレータgem5を用いて, DAXPYおよびSPECspeed 2017ベンチマークで評価を行った. 8-way out-of-order RISC-V 32 コアでDAXPYを実行した場合,AMEなしの場合に対する実行時間を12.0倍から1.24倍にまで削減できることが確認された.

2D2 数論応用 (2) 1月29日(水) 11:00~12:40
座長:高島 克幸 (早稲田大学)
2D2-1
自己双対型PotBKZ基底簡約の提案とBKZとの比較
◎佐藤 新(立教大学) 、安田 雅哉(立教大学)
基底簡約は最短ベクトル問題や最近ベクトル問題などの格子問題を解く際には必須の技術である.その基底簡約の中でも,BKZ簡約は格子ベースの暗号の安全性解析にも用いられる強い簡約アルゴリズムであるが,その停止性は保証されていない.本稿では,停止性を保証する新しいBKZの変種を提案する.基底のポテンシャルと呼ばれる量に着目し,そのアルゴリズムをPotBKZと命名する.特に基底に挿入することでポテンシャル量を減少させるベクトルを数え上げるPotENUMや,双対型のアルゴリズムである双対型PotENUMを開発する.PotBKZの中では厳密SVPアルゴリズムの代替としてPotENUMを全ての局所射影ブロック格子に対して呼び出し,基底のポテンシャル量を単調に減少させる.また,その双対型である双対型PotBKZの中でも,双対基底を求めることなく全ての局所射影ブロック格子に対して双対型PotENUMを呼び出し,基底のポテンシャル量を単調に減少させる.自己双対型PotBKZでは,ツアー毎にPotBKZと双対型PotBKZを交互に呼び出すことで,ポテンシャル量を単調に減少させ,有限回のツアーで停止させる.
2D2-2
双対格子への格子簡約適用によるENUMの計算量削減についての考察
◎岸本 共生(大阪公立大学) 、川添 充(大阪公立大学) 、吉冨 賢太郎(大阪公立大学)
NIST による耐量子計算機暗号の標準化では格子暗号が多く選ばれている.格子暗号の安全性の根拠は最短ベクトル問題(SVP)の困難性に帰着されるが,SVP の求解に用いられるアルゴリズムとして列挙法(ENUM)や基底簡約アルゴリズムであるBKZ アルゴリズムが知られている.ENUM の計算量(ノード数)削減について,2022年にYamamuraらは基底の並べ替えによる効果は通常の基底で行うよりも双対格子上での方が高いことを示した.本研究では双対格子上で基底の並べ替えではなく基底簡約を利用することでノード数が削減できないかを検討した.具体的なアイデアはBKZ 内の基底簡約部分でノード数もしくは基底内の最短ベクトルノルムが減少する場合に双対格子上で基底簡約を行うというものである.数値実験の結果,80次元までのサイズでは,この手法によるノード数削減効果は次元が上がるほどよくなることが示された.
2D2-3
LWE問題に対する整数計画法を用いた求解実験
◎青山 諒仁(信州大学) 、三重野 武彦(信州大学,エプソンアヴァシス株式会社) 、岡崎 裕之(信州大学) 、布田 裕一(東京工科大学)
LWE問題はRegevが提案した誤差付きの線形近似方程式の解を求める問題であり,格子暗号の安全性の根拠として広く応用されている.したがってLWE問題の求解の研究が格子暗号の安全性検証に直結する.LWE問題の求解手法としては,埋め込み法と格子基底簡約アルゴリズムを用いて最短ベクトル問題(SVP)といった別の格子問題に帰着させるものがよく知られている.一方で,格子問題を整数計画法で解く研究も存在する.例としてSVPを整数計画問題として求解するものや,LWE暗号の弱鍵となるような行列の生成法を提案するものがある.本研究では,LWE問題を整数計画法により求解する手法を用いて求解実験を行い,その実用性を評価した.特に,埋め込み法を活用した整数計画問題に焦点を当て,問題の規模や埋め込み方法の違いによる求解効率や精度に与える影響などを比較した.
2D2-4
Macaulay行列を利用した連立代数方程式求解について
○中村 周平(茨城大学)
連立代数方程式を解く問題は素朴で, 幅広い分野で現れる. 特に暗号では, 連立代数方程式問題の困難性に安全性が依存する多変数多項式暗号が耐量子計算機暗号の候補として活発に調べられている. 本講演では, 有限個の解を持つ連立代数方程式を解くために, Macaulay 行列を利用するようなアルゴリズムの基礎的な事実について述べる. 具体的には, 暗号等で想定される入力に対して, グレブナー基底や解探索を行うXLアルゴリズムの原始形となるアルゴリズムについて知られている基本的な理論背景を述べる. また, 近年活発に調べられている多重次数に対するXLアルゴリズムの理論背景について説明する. 本研究では新しいアルゴリズムやその実装の提案または解析結果はなく, 実際の実装や応用のためには, より改良したアルゴリズムまたは別の手法で解くことが効率的である場合があることに注意する.
2D2-5
有限群の一様分解にまつわる諸問題
○品川 和雅(茨城大学/産業技術総合研究所) 、金井 和貴(呉工業高等専門学校) 、宮本 賢伍(茨城大学) 、縫田 光司(九州大学/産業技術総合研究所)
本稿では著者らが2023年に提案した有限群の一様分解の諸問題について考察する。一様分解とは、有限群のある種の分解であり、カードベース暗号においては、ある群が一様分解をもつならば、その群のシャッフルを部分群のシャッフルに置き換えられるため、より効率的なシャッフルを実現する。本研究の主な成果は、一様分解とその特別なクラスである完全分解と巡回分解にまつわる以下の三つの結果である。(1)一様分解は存在するが完全分解は存在しないような群の具体例を与えたこと。(2)一様分解の最小長さはkだが完全分解の最小長さはk+1であるような群の具体例を与えたこと。(3)散在型単純群に対する一様分解/完全分解/巡回分解の現状について整理したこと。

2E2 サイドチャネル攻撃 (1) 1月29日(水) 11:00~12:40
座長:上野 嶺 (京都大学)
2E2-1
深層学習サイドチャネル攻撃の低コスト予測を目的とした漏洩波形の重回帰モデリング
◎坂上 達哉(岡山大学) 、日室 雅貴(岡山大学) 、五百旗頭 健吾(岡山大学) 、豊田 啓孝(岡山大学)
深層学習サイドチャネル攻撃(DL-SCA)が代表的なサイドチャネル攻撃(SCA)対策であるMaskingに対して攻撃が可能であるため,情報漏洩の脅威となっている.DL-SCA耐性評価を攻撃成功率(SR)で評価する場合,複数の波形セットが必要であるため,測定時間が膨大となる.本検討では,評価コスト削減を目的として,漏洩波形を模擬することでSR算出に必要な測定回数を削減する方法を提案する.複数の暗号処理の中間値を説明変数とした重回帰モデルで漏洩波形を表す.評価時には少数の漏洩波形を測定し,重回帰モデルの偏回帰係数とノイズの分散を重回帰分析により同定する.そして,偏回帰係数とノイズの分散から,SR算出に必要な数の漏洩波形を模擬する.さらに,アセンブラから説明変数を決定することで精度を向上させる.今回,Masking対策AESを実装したマイコンを対象として、本手法を検討した.その結果,模擬波形による評価では全バイトの回復を確認した.さらに,全バイトのSRを算出すると実測の評価とおおよそ一致した.
2E2-2
耐量子計算機暗号KYBERに対する高効率な深層学習サイドチャネル攻撃
◎大西 健斗(三菱電機株式会社) 、中井 綱人(三菱電機株式会社)
近年,量子計算機の規模の拡大が進んでおり,量子計算機でも解読困難な耐量子計算機暗号は極めて重要である.以上を踏まえ,アメリカ国立標準技術研究所(NIST)によって,耐量子計算機暗号の標準化が進められ,鍵交換方式1件と電子署名方式2件の仕様書が出版された.しかし,これらの耐量子計算機暗号については,量子計算機に対してだけではなく,物理的な観測量を利用するサイドチャネル攻撃の脅威が存在する.本稿では,特に,Module-Latticeを利用した鍵交換方式であるCRYSTALS-KYBERについて,サイドチャネル攻撃に対する安全性を評価する.既存のサイドチャネル攻撃では,鍵交換の際に利用する一時的な平文を加工することで,鍵交換方式そのものの秘密鍵の抽出に成功している.しかし,この抽出方法では,多くの情報を切り捨てているため,非効率である.そこで,本研究では,深層学習によってより詳細な情報が取得できると仮定した場合に効率的なサイドチャネル攻撃手法に関する検討を行う.
2E2-3
サイドチャネル攻撃評価に用いる説明可能AIツールの開発
○飯島 涼(産業技術総合研究所 / 早稲田大学) 、野崎 華恵(産業技術総合研究所) 、川村 信一(産業技術総合研究所)
ディープラーニング (DL) モデルが注目するデータ箇所を探す試みとして,説明可能AI (XAI)が,画像・音声の分野で注目されている.本研究では,DL-SCA攻撃のリーク検知 (Leakage Detection)評価にXAI技術を用いるツール Leakage eXplorer AI (LXAI)を開発し,その有効性を評価する.具体的には,DL-SCAのモデル・データをXAI技術で評価するための要件を定義し,要件に従ったツール開発を行った後,実データによってその有効性を評価する.従来のXAI技術応用では,注目してほしい箇所があらかじめわかっている場合にしか用いることができなかったが,本研究で開発したツールによって, 波形からサイドチャネル漏洩箇所を特定できない場合でも,XAIから得られた結果を正解鍵のランクと関連付けて評価を行える仕組みを実現した.
2E2-4
ケーブルからのサイドチャネル情報漏洩評価におけるトリガ用プローブ接続の影響
◎濱本 大輔(岡山大学) 、日室 雅貴(岡山大学) 、五百旗頭 健吾(岡山大学) 、豊田 啓孝(岡山大学) 、川西 紀昭(株式会社ゴフェルテック)
暗号モジュールに接続されたケーブル上でのサイドチャネル情報漏洩はアタックサーフェスを増大させるため、暗号セキュリティへの脅威となる.ケーブル上のサイドチャネル漏洩評価は再現性を得るのが困難な場合があり,その要因の一つにトリガ用プローブの接続が挙げられる.トリガ用のGPIO信号が暗号処理に同期するとGPIOのスイッチングによってIO系にサイドチャネル漏洩が重畳され,プローブを経由して電源ケーブルに伝搬される.ただし,実際の攻撃時にはトリガ用信号は用いられないため,この評価環境で得られた結果は実攻撃の結果とは異なる可能性がある.筆者らは工業用汎用組み込み基板である ArmFrogs-ALICE を用いてコモンモード電流へのサイドチャネル攻撃耐性評価を行い,トリガ信号用プローブの影響を調べた.その結果,暗号処理の過渡応答が収束した後にトリガパルスを出力することで,トリガ用プローブ接続の影響を受けないことを確認した
2E2-5
Screaming ChannelsとElectromagnetic Radiationのメモリアクセスにおける情報漏洩の調査
◎川名 真弘(電気通信大学) 、崎山 一男(電気通信大学) 、宮原 大輝(電気通信大学) 、李 陽(電気通信大学)
Screaming Channelsは,ミックスドシグナルチップで発生する漏洩が,無線電波によって遠距離に伝搬されるサイドチャネルである.既存研究では,Screaming Channelsの漏洩を調査する際に,AESの鍵復元攻撃においてMSB4モデルが提案された.MSB4モデルは,Flashメモリに実装されたS-boxテーブルの入力に基づく漏洩モデルであるが,RAMに実装される場合同じような漏洩モデルが見えなくなることが明らかになっている.本研究では,BLE Nano V2を用い,FlashメモリやRAMにアクセスした際のScreaming Channelsや電磁波によるメモリアドレスやデータの漏洩を調査した.その結果,Screaming Channelsにおいて,Flashメモリにアクセスした場合,メモリアドレスとデータの漏洩が確認できた.一方で,RAMにアクセスした場合にはFlashメモリに比べて漏洩が小さいことが明らかになった.

2F2 マルウェア対策 (2) 1月29日(水) 11:00~12:40
座長:岡本 剛 (神奈川工科大学)
2F2-1
ランサムウェアによるデコイファイル回避とその対策
◎福澤 惇希(金沢大学) 、満保 雅浩(金沢大学)
ランサムウェアは被害端末上のファイルやシステムを使用できない状態にしたのちに、被害からの復旧と引き換えに身代金を要求するマルウェアである。身代金の支払いの有無の被害に関わらず、業務への支障や社会的信用への影響など、その被害は大きい。既存研究では、ランサムウェアを早期に検知するために、デコイファイルをファイルシステムに配置する欺瞞技術が提案されている。デコイファイルへの操作を監視することで、ランサムウェアがファイルを暗号化するふるまいを検知する仕組みである。本研究では既存研究で提案されているデコイファイルに対する回避手法を提案する。2つのシナリオに基づき生成配置されたデコイファイルに対して、回避可能なことを実装して検証した。また、デコイファイルを回避されないための対策についても議論する。
2F2-2
大規模言語モデルの Self-Refine を活用したマルウェア挙動の分析
○湯屋 博生(警察大学校) 、大塚 玲(情報セキュリティ大学院大学)
マルウェア解析においては,バイナリデータから様々な手法を使用して挙動を解析するほか,マルウェア自動解析ソフトウェアの出力レポートからマルウェアの挙動を分析する作業やマルウェア流行状況の把握など多岐にわたるため,良質な解析結果を得るために必要となるドメイン知識は膨大な量となる. 本研究は,マルウェア自動解析ソフトウェアの出力レポートを解析者が読み解く作業に着目して,出力レポートに対して大規模言語モデル (LLM) を活用してマルウェア挙動を分析する手法を提案する.マルウェア挙動の基準として Malware Behavior Catalog(MBC) を採用し,自己推敲機構 (Self-Refine) で出力レポート中のエビデンスを検証させることで,ハルシネーションを抑制した詳細なマルウェアの挙動について信頼できる分析結果を得られることが確認できた.
2F2-3
大規模言語モデルにおけるマルウェアのコード理解に関する調査
◎竹内 亮貴(警察大学校) 、大塚 玲(情報セキュリティ大学院大学)
GeminiやChatGPT等の大規模言語モデル(LLM)の出現により,さまざまな分野でLLMが活用されており,それはサイバーセキュリティの分野においても例外ではない.また,マルウェアの静的解析は,その多くが人手により行われることから,高度な技術と多くの時間を要することが知られている.本研究は,LLMを用いた静的解析の効率化における前段として,現状のLLMにおけるマルウェアのコードに対する理解に着目して調査を行った.まず,Gemini 1.5 Pro及びGPT-4-Turboにおいて,MITRE ATT&CK® Techniqueの手法に該当する関数の名前や同関数の動作に関する説明を抽出し,それらに関連する4種類の調査を実施した結果,本稿で定義した独自の指標において,それぞれ82%の精度でATT&CK Techniqueを検出できることを確認した.本研究を通じて,LLMにおけるマルウェアのコード理解の実態を明らかにするとともに,LLMがマルウェアの静的解析を効率化する手段として,マルウェアにおいて用いられているATT&CK Techniqueの検出に寄与できる可能性を示した.
2F2-4
GPT-4によるマルウェアコード解釈における網羅的調査結果
○田中 恭之(NTT社会情報研究所) 、松田 亘(NTT社会情報研究所) 、中津留 毅(NTT社会情報研究所)
LLM特にGPT4のコード解釈能力は眼を見張るものがある。その一方で、確認が困難な誤りも含まれる点が課題である。これはマルウェアのコード解析の際にも同様で、定量的かつ網羅的な評価がなされていない。本稿では、多くのマルウェアで用いられる挙動を一通り網羅するデータセットを作成し、実験によりGPT4におけるマルウェアコード解釈性能を定量的かつ網羅的に明らかにした。35カテゴリ、233個の典型的なマルウェア挙動について対応する関数のディスアセンブリコード、デコンパイルコードを得て、GPT4にコード解釈させ、各挙動を特定できたか否かを分析した。結果、デコンパイルコードの70%、ディスアセンブリコードの8%の挙動が特定可能であった。それぞれ、具体的に特定できた挙動・特定できなかった挙動を解説する。各挙動を、手法やロジック、Windows仕様、アルゴリズムの3つのカテゴリに分類し分析することで得られた8つの知見を示し今後の課題を議論する。

2G2 AIセキュリティ (2) 1月29日(水) 11:00~12:40
座長:野島 良 (立命館大学)
2G2-1
秘密情報の流用を特定する類似文章検出手法
◎三谷 日姫(富士通株式会社) 、辻 拓人(富士通株式会社) 、堀井 基史(富士通株式会社) 、坂巻 慶行(富士通株式会社) 、小牧 大治郎(富士通株式会社)
情報漏洩は,企業活動の存続を脅かす深刻なリスクである.ずさんな情報管理に起因する秘密情報の漏洩,特に,無断での秘密情報の二次利用は重大な問題である. 我々は,自然言語処理で用いられる文埋め込みモデルを利用し,ベクトル化された文章間のコサイン類似度に基づき,情報の二次利用を検出する手法を研究開発している.しかし,コサイン類似度のみに依存する従来の手法では,文章が含む情報量や数値情報の差異を適切に捉えられないという課題があった.そこで,本稿では,単語数差と数値表現に着目した重み付けを導入することで類似度を補正し,検出精度を向上させる手法を提案する.提案手法の有効性を検証するため,オープンデータと社内文書データを用いた実験を行った.その結果,F1値の向上,および誤判定の軽減を確認した.本手法は,文埋め込みモデルを用いた類似文章検出の判定精度の向上に寄与し,無断での二次利用による情報漏洩リスクの低減に貢献する.今後は,さらなる検出精度の向上により,類似文章検出の活用範囲の拡大を目指す.
2G2-2
DP-GANにより生成したデータは生成元学習データに関するプライバシーリスク低減に有効か
◎東 拓矢(三菱電機株式会社) 、中井 綱人(三菱電機株式会社)
機械学習モデルの学習には大量の学習データが必要であり,特定のタスクドメインに適応する際にはデータ収集が困難となる場合がある.この課題を解決する手段として敵対的生成ネットワーク(GAN)が注目されている.GANは,敵対的に訓練された2つのニューラルネットワークを使用し,学習データをもとに疑似データを生成することでデータ拡充ができる.学習データにはプライベート情報が含まれる場合があり,学習したモデルからプライベート情報を漏洩するリスクが知られている.その対策の1つとして,学習に差分プライバシーを適用することが提案されており,GANに対しても差分プライバシーの適用(DP-GAN)が検討されている. DP-GANはGANモデルのプライバシー保護を目的とするため,生成した疑似データで学習したモデルにおける生成に使用した学習データのプライバシーが保護できるかは明らかになっていない.本稿では,尤度比による強力なメンバーシップ推論攻撃を用いて,DP-GANの疑似データで学習したモデルにおける生成元学習データのプライバシーリスク評価を行った.
2G2-3
大規模言語モデルに対する文脈結合を用いたプライバシーデータ抽出攻撃とマシンアンラーニングによる防御
○中井 綱人(三菱電機株式会社) 、Wang Ye(Mitsubishi Electric Research Laboratories) 、Liu Jing(Mitsubishi Electric Research Laboratories) 、Koike-Akino Toshiaki(Mitsubishi Electric Research Laboratories) 、大西 健斗(三菱電機株式会社) 、東 拓矢(三菱電機株式会社)
大規模言語モデルのプライバシーリスクは重要な懸念事項であり,様々な攻撃手法や防御手法が研究されている.その中で,機械学習と計算神経科学に関する国際会議NeurIPS 2024にて,大規模言語モデルにおけるプライバシーリスクの特定とプライバシー保護技術の開発を目的としたコンペンションLLM Privacy Challenge (LLMPC)が開催された.本稿では,LLMPCを題材に,大規模言語モデルに対するプライバシーデータ抽出攻撃手法とその防御手法を提案する.提案の両手法は,LLMPCの評価プロセスにより,LLMPCのベースラインと比較して優れた攻撃・防御性能を示すことを確認した.
2G2-4
日本語における大規模言語モデルに対する教師データ抽出攻撃のリスク調査
若井 雄紀(京都大学) 、○芝原 俊樹(NTT社会情報研究所) 、岡田 莉奈(NTT社会情報研究所) 、三浦 尭之(NTT社会情報研究所) 、木下 洋輝(NTT社会情報研究所)
大規模言語モデルは多くのタスクで高性能を発揮する一方,その教師データに対するプライバシーリスクが懸念されている.本稿では,日本語を対象にした教師データ抽出攻撃を実施し,英語を対象とした先行研究と比較することで,同様の傾向および異なる傾向を明らかにした.実験では,日本語対応モデルを用い,事前学習に使用された日本語データセットにおける攻撃成功率を評価した.その結果,英語と共通する結果として,長いprefixの入力やgreedyサンプリングが攻撃成功率を高め,instruction-tuningが攻撃成功率を低下させることを確認した.一方で,日本語では攻撃成功率が全体的に高くなる傾向が見られた.原因の1つとして,文章構造が類似する複数のデータが教師データに含まれていることを特定した.これらの結果から,日本語でのプライバシーリスク評価のためには,高品質な評価用データセットの構築と,日本語の特性に対応した攻撃成功を判定する評価指標の確立が必要であることを指摘した.
2G2-5
Esports Playstyle Recognition in a Competitive 2D Fighting Game through Deep Recurrent Neural Networks
○Mhd Irvan(The University of Tokyo) 、Franziska Zimmer(The University of Tokyo) 、Ryosuke Kobayashi(The University of Tokyo) 、Maharage Nisansala Sevwandi Perera(The University of Tokyo) 、Rie Shigetomi Yamaguchi(The University of Tokyo)
The growing popularity of esports has highlighted the need for advanced methods of player identification to address issues such as account sharing and cheating. This study explores a machine learning approach to identifying esports players through unique behavioral signatures in gameplay. By analyzing a dataset of professional players, we apply deep recurrent neural networks to capture and analyze key features such as movement patterns and combo executions. The results reveal that players exhibit consistent and distinct behavioral traits, enabling accurate identification over time. Additionally, we explore the impact of more subtle player strategies, including decision-making under pressure and defensive vs. offensive patterns. Our findings suggest that behavioral biometric signatures can provide a reliable and scalable solution for player identification, offering significant potential for enhancing security and fairness in competitive esports.

2A3 ブロックチェーン (2) 1月29日(水) 13:30~15:10
座長:長谷川 佳祐 (セコム IS研究所)
2A3-1
スマートコントラクトと証明者限定署名を用いた委譲不可署名検証システム
◎西野 陽大(金沢大学) 、面 和成(筑波大学) 、江村 恵太(金沢大学)
署名を検証する人物を指定可能な署名方式として, 証明者限定署名 (Nominative Signature) が提案されている. 例えば第三者による署名検証を防ぐ移譲不可署名検証システムを構成, 予期しない状況で金銭のやり取り証明などの検証を防ぐことができる. ここで証明者限定署名単体では, 本当に金銭の移動が行われる / 行われたのかを確認することはできないことに注意されたい. 本論文では, 証明者限定署名とスマートコントラクトを用いた移譲不可署名検証システムを提案する. 証明者限定署名が持つInvisibilityという安全性により, ブロックチェーン上に署名を公開することが可能であることに着目した. 本システムでは署名検証可能な人物を指定可能であることに加え, 暗号資産の移動に関しても確認することができる. さらにSchuldtとHanaoka (ACNS 2011, IEICE Trans. 2016) による証明者限定署名を採用し, その場合のスマートコントラクト実行時のガスコストを算出した.
2A3-2
複数のブロックチェーンを用いる分散マイニングプール
◎櫻井 晶(京都大学) 、首藤 一幸(京都大学)
Proof of Workに基づくブロックチェーンシステムの安全性はマイニングによって維持される。マイニングには収益が安定しないという問題があり、多くのマイナーは協力してマイニングプールを構成している。しかしすでにあるほとんどのマイニングプールは中央集権的な運用がなされており、ブロックチェーンの分権性を損なっている。 上記の問題を解決する実用的な手段として分散マイニングプールがある。広く知られているものとしてP2PoolとSmartPoolがあるが、P2Poolにはスケーラビリティとブートストラップ時の安全性の問題が、SmartPoolには予算均衡でないこととスマートコントラクトによる手数料の問題がある。本研究で、我々は上記の問題を解決する分散マイニングプールFiberPoolを提案する。FiberPoolはメインチェーン上のスマートコントラクト、シェアの検証に必要な情報を共有するサイドチェーン、およびPlasmaチェーンからなる。FiberPoolではシェアの検証に伴う計算コストやデータをメインチェーンから除き、Plasmaチェーンを介すことで手数料を下げる。また我々はFiberPoolが採用する報酬分配方式FiberPool Proportionalにおける公平性、予算均衡、報酬の安定性、誘引両立性を示す。
2A3-3
Cold (and Hot) Staking in Proof of Stake
○Larangeira Mario(Institute of Science Tokyo/IOG)
The stake delegation technique is what turns the general Proof of Stake (PoS) into a practical protocol for a large number of participants, ensuring the security of the distributed system, in what is known as Delegated PoS. Karakostas et al. (SCN’20) formalized the delegation method paving the way for a whole industry of stake pools by proposing a formal definition for wallet as a universal composable (UC) functionality and introducing a corresponding protocol. On the other hand, a widely used technique named Hot/Cold Wallet was formally studied by Das et al. (CCS’19 and ’21), and Groth and Shoup (Eurocrypt’22) for different key derivation methods in the Proof of Work (PoW) setting. Briefly, while hot wallets are exposed to the risks of the network, the cold wallet if kept offline, thus more secure. However this may impair some capabilities given that the cold wallet is kept indefinitely offline. It is straightforward to observe that this ``double wallet'' design are not naturally portable to the setting where delegation is paramount, i.e., DPoS. This work discusses challenges for implementing PoS Hot/Cold Wallet, and proposes a secure protocol.
2A3-4
スマートコントラクトの脆弱性の検知プログラムの提案
○金 御眞(創価大学) 、篠宮 紀彦(創価大学)
近年、暗号通貨の需要の増加とともに、取引に使用されるスマートコントラクトの重要性が高まっている。スマートコントラクトは、あらかじめプログラムされた条件に従って、自動的に契約を執行する仕組みであるが、その脆弱性による金銭的な被害も増えている。本研究では、スマートコントラクトのセキュリティ向上を目指し、新たな脆弱性検出手法を提案する。 本論文は、まず、検出対象となる複数の脆弱性について述べ、プログラムの実行を伴わず、ソースコードを解析してバグや脆弱性を検出する「静的解析」と、プログラムを実際に動かして、その動作を確認することで、バグや脆弱性を検出する「動的解析」を組み合わせた手法を提案し、その仕組みを解説する。特に、これら二つの手法を組み合わせる仕組みによる検知性能の向上を、本研究の新規性として示す。最後に、用意したサンプルに対して実施した検知実験の結果と、本研究の有効性について結論付ける。
2A3-5
2者間ECDSAアダプター署名を用いたオフチェーン分散台帳処理
○張 一凡(NTT,東京大学) 、松浦 幹太(東京大学)
Web3 の普及に従い注目を集める分散台帳は台帳としての記録のみならず,スマートコント ラクト処理を用いた処理基盤として利用されつつある.しかし,スマートコントラクトでは処理が公開 実施されるため,プライバシー確保の難しさや演算・検証リソースへの高額な対価が課題となり,まだ 広く利用されていない.これらの課題を打開する手法として原子性を担保しつつ,処理結果のみ台帳に 記録する Scriptless Script が提案された.本稿では Scriptless Script が有効な利用シーンの検討・整理を 行った.特に,Scriptless Script における 2 者間で実施するアダプター署名の詳細な手法を定義・検証す る.これにより,簡易なデータの受け渡し管理や秘匿性が求められる売買において,用いるべき処理系の 選定やシステム設計の一助としたい.

2B3 ID ベース暗号・属性ベース暗号・関数暗号 1月29日(水) 13:30~15:10
座長:藤岡 淳 (神奈川大学)
2B3-1
IDベース暗号に対する受信者アナモルフィック暗号
○淺野 京一(電気通信大学/産業技術総合研究所) 、橋本 啓太郎(産業技術総合研究所) 、原 啓祐(産業技術総合研究所/横浜国立大学)
Persianoら (EUROCRYPT' 22) が提案した (受信者) アナモルフィック暗号 (Anamorphic Encryption; AE) は, 独裁者による監視・検閲が存在する状況下でも秘密通信が可能な暗号技術である. これまで, 公開鍵暗号 (Public Key Encryption; PKE) に対する受信者AEの研究がされてきたが, この設定において独裁者は受信者毎に秘密鍵を要求する必要があり, 監視にコストがかかる. 一方, IDベース暗号 (Identity-Based Encryption; IBE) では鍵生成局は任意のユーザの秘密鍵が生成可能であり, 独裁者が鍵生成局となることでPKEの設定と比べて監視能力が強まる. 従って, IBEにおいてAEを導入することは, より厳しい統制下において秘密通信を実現する上で重要である. 本稿では, IBEに対する受信者AEの定式化を行い, また, Banfiら (EUROCRYPT' 24) が定義した頑強性を再考する. 更に, Banfiらの構成法の拡張及び藤崎・岡本変換を基にしたIBEに対する受信者アナモルフィック暗号を提案する.
2B3-2
Middle-Product LWE仮定に基づく属性ベース暗号の構成
◎西村 拓海(東京大学) 、高安 敦(東京大学)
LWE仮定の派生としてMiddle-Product LWE (MPLWE)仮定があり,LWEベースIDベース暗号方式と比べてMPLWEベース方式はマスタ公開鍵や秘密鍵を多項式とすることでサイズを削減できることがわかっている.一方,MPLWEベース属性ベース暗号 (attribute-based encryption, ABE)方式はこれまで提案されていない.本稿ではBonehらのLWEベースABE方式に倣い初めてのMPLWEベースABE方式を提案する.Bonehらの方式では行列乗算を用いて算術回路を計算するが,素朴にMPLWEで同様の方針に従うと秘密鍵が多項式であるという制約により演算後に次数が下がる特殊な多項式乗算が必要であり,複数回の演算ができずABE方式の構成は自明ではない.そのため,提案ABE方式では秘密鍵をベクトルとすることでこの問題を解決し,マスタ公開鍵サイズのみを削減する.さらに,演算が1回のみならば秘密鍵を多項式としたまま算術回路を計算できる点に着目し,BonehらのLWEベース方式からマスタ公開鍵と秘密鍵のサイズを削減するMPLWEベース内積述語暗号方式を提案する.
2B3-3
耐量子IDベース暗号に対する藤崎・岡本変換とその匿名性について
◎土屋 有偉(横浜国立大学大学院) 、冨田 斗威(横浜国立大学) 、四方 順司(横浜国立大学)
藤崎-岡本(FO)変換は公開鍵暗号方式の安全性強化手法としてよく知られており、近年では耐量子計算機安全な公開鍵暗号方式に対しても適用可能なFO変換の変形(耐量子FO変換)が広く研究されている。耐量子FO変換は暗号化方式に対する汎用的な手法ではあるが、同じことがIDベース暗号方式にも当てはまるかどうかはまだ知られていない。そこで本研究ではこの問題に取り組み、以下の結果を示す。(1)耐量子FO変換はIDベース暗号の場合にも一般的に有効であるが、わずかに修正することによって帰着効率を改善される。(2)基となる(決定性)IDベース暗号方式が強分離的模倣可能(strong disjoint-simulatable)であれば、変換後のIDベース暗号方式は匿名性を満たす。(3)Gentry-Peikert-Vaikuntanathan(GPV)のIDベース暗号方式は(タイトに)強分離的模倣可能である。このことから、GPVのIDベース暗号方式に対して我々の耐量子FO変換を適用することによって、匿名性を持つ強安全な耐量子IDベース暗号方式が得られることを示す。
2B3-4
Unlimited Update Updatable Public Key Encryption based on Lattice
○Kaiming Chen(Osaka University) 、Atsuko Miyaji(Osaka University) 、Jiageng Chen(Central China Normal University)
Updatable Public Key Encryption (UPKE) is a cryptographic method designed for updating public and private keys in secure communication protocols. This concept was initially introduced by Jost et al. at EUROCRYPT 2019. Later, Alwen et al. (CRYPTO 2020) proposed an IND-CPA secure UPKE scheme. Haidar et al. advanced this by achieving a Learning with Errors (LWE)-based UPKE without requiring noise-flooding, though their scheme still suffers from limitations on the number of updates. In this paper, we propose a novel UPKE scheme based on Module Learning with Errors (MLWE) reconciliations. Rather than continuously adding randomness to the private key, we update it at each epoch by adding a new random value and a hash derived from both this random value and the previous public key to the initial private key.

2C3 暗号プロトコル (2) 1月29日(水) 13:30~15:10
座長:渡邊 洋平 (電気通信大学)
2C3-1
On Variations of Multi-round Special Soundness and Their Fiat-Shamir Transform
◎Zehua Shang(Kyoto University) 、Miyako Ohkubo(NICT) 、Mehdi Tibouchi(NTT Social Informatics Laboratories) 、Masayuki Abe(NTT Social Informatics Laboratories)
The Fiat-Shamir transformation is a general paradigm to construct efficient non-interactive zero-knowledge proofs from any public-coin interactive proofs in the random oracle. Recently, multi-round protocols have seen a major surge of popularity in the research community, due to their active performance in the design of zk-SNARKs. In this paper, we conduct a survey on recent variants of multi-round special soundness definitions. We compare their constructions of Fiat-Shamir knowledge extractors and ranges of applications. Additionally, we show that the Fiat-Shamir transformation of any statistical special-sound interactive proof (proposed by Abe et al. in CRYPTO 2024) is knowledge sound.
2C3-2
標準モデルで安全なプライバシー保護付き認証鍵交換のラウンド数削減
◎神崎 翔午(東京科学大学) 、橋本 啓太郎(産業技術総合研究所) 、尾形 わかは(東京科学大学)
プライバシー保護型認証鍵交換は,鍵交換をした当事者以外は誰が鍵交換したのかを判別できない方式である.そのため,パケットに送受信者の情報が含まれず当事者以外の応答によるトラフィック量増大の問題があった.ASIACRYPT2022でLyuらは,秘密鍵を用いてパケットを処理することでそのパケットが自分宛か否かを判別できるというrobustnessを用いてこの問題を解決した.しかし,彼らの鍵交換方式は鍵交換に3回の通信が必要である.そこで本研究では,3ラウンド目に送っていた個人を識別する情報や署名の暗号文を1ラウンド目に送ることにより,その鍵交換方式と同様の性質(相互認証,鍵の秘匿性,ユーザのプライバシー保護)を満たす2ラウンドで鍵交換が完了する方式を提案する.
2C3-3
Full Forward Privacyを持ち冗長な通信が不要な認証鍵交換
◎松井 航輝(東京科学大学) 、橋本 啓太郎(産業技術総合研究所) 、尾形 わかは(東京科学大学)
プライバシー保護型認証鍵交換は,鍵交換をした当事者以外は誰が鍵交換したのかを判別できない方式である.そのため,パケットに送受信者の情報が含まれず当事者以外の応答によるトラフィック量増大の問題があった.ASIACRYPT2022でLyuらは,秘密鍵を用いてパケットを処理することでそのパケットが自分宛か否かを判別できるというrobustnessを用いてトラフィック量を削減した.しかし仮にユーザの秘密鍵が攻撃者に漏洩した場合,攻撃者がその秘密鍵を用いることで過去のパケットが当該ユーザ宛か否か判明するため,Lyuらの鍵交換方式はfull forward privacyを持たない.そのためLyuらの論文の中で,robustnessとfull forward privacyを持つ,プライバシー保護型認証鍵交換方式の実現は原理的に不可能とされていた.これに対し,本研究ではプロトコル実行後にユーザの秘密鍵を更新することにより,robustnessとfull forward privacyを両立できることを示す.
2C3-4
同種写像問題に基づくプライバシ保護認証鍵交換
◎三田 拓夢(茨城大学) 、米山 一樹(茨城大学)
プライバシ保護認証鍵交換(PPAKE)は、セッション鍵の秘匿性に加えてユーザのプライバシを保証するためのプロトコルである。ASIACRYPT 2022においてLyuらは標準モデルにおいてフォワードプライバシを満たす3-move PPAKEのIK-CCA安全なKEMに基づく一般構成を提案した。彼らの構成では符号ベースや格子ベースのKEMを用いることで耐量子安全性を達成可能である。 しかし、IK-CCA安全な同種写像ベースKEMは知られていないため、同種写像ベースのPPAKEは知られていない。 本稿では、初めての同種写像ベースのフォワードプライバシを満たす耐量子PPAKE方式を提案する。主なアイディアは、一般構成においてKEMに要求される安全性をIK-CCA安全性からIK-CPA安全性に弱めることであり、実現には2つの技術的なポイントがある:1つ目はランダムオラクルモデルの導入であり、2つ目はレスポンダの非明示的認証を明示的認証の代わりに許容することである。また、同種写像ベースのIK-CPA安全なKEMの構成のため、公開鍵と暗号文が独立しているKEM(PKIC-KEM)を用いる。我々は、IND-CPA安全なPKIC-KEMがIK-CPA安全であることを示す。これにより、同種写像問題に基づく初めてのフォワードプライバシを満たす(非明示的認証の)3-move PPAKEをランダムオラクルモデルにおいて実現可能である。
2C3-5
UC Framework Modelling for Mechanized Verification of Proofs
○Jourenko Maxim(Institute of Science Tokyo)
Designing cryptographic systems and protocols and proving these rigorously secure is an arduous and challenging task. Among the methods commonly used to prove security of cryptographic protocols, formalizing a protocol in Canneti's Universal Composability (UC) framework offers several benefits: (1) Modular protocol design, (2) security of protocols remain under arbitrary composition and concurrent execution, (3) security against any computationally polynomially bound adversary within the by the prover's defined setting. However, working within the UC framework can be cumbersome, requires a long time commitment by the prover and is prone to errors. While utilization for proof assistants in Cryptography and IT Security is a prominent research area, proof assistants for UC are still in their infancy. Here we show our ongoing work to not only create a proof assistant for the UC framework, but automate the proof process. We (1) define a domain specific language (DSL) for UC, (2) translation of a UC program into a stochastic model, more specifically a Markov Decision Process (MDP) and (3) verification of the UC program using existing probabilistic model checker. To our knowledge our work represents the first attempt at utilizing model checking to verify UC programs.

2D3 バイオメトリクス 1月29日(水) 13:30~15:10
座長:西垣 正勝 (静岡大学)
2D3-1
安心・安全な遠隔生体認証(SSRBA)
○才所 敏明((株)IT企画) 、辻井 重男(中央大学研究開発機構) 、櫻井 幸一(九州大学大学院システム情報科学研究院)
サイバー社会の急速な発展が期待され,ネット経由の利用者の確実な本人確認(遠隔認証)が必要なサービスも急増することが想定される.ネット経由の利用者の本人確認方法としては,現在は知識や所有物の確認による本人確認が主流であるが,今後,利用者の生体そのもの確認,生体認証の活用が期待されている.本稿では,ネット経由の利用者の本人確認への生体認証を利用した遠隔生体認証,サービス提供者の管理下に無い,利用者の手元で生体認証を実施しつつも,その生体認証の結果の信頼性をサービス提供者が確認できる,遠隔生体認証方式であるSSRBA(Secure and Safe Remote Biometric Authentication)を提案する.SSRBAは,四半世紀前に考案した遠隔生体認証方式BioRAIN/ACBioを,現在のIT利用環境下での社会実装を想定して新たに策定した構想である.本稿では,構想概要および具体的な実装方式を示すと共に,SSRBAのセキュリティに関する考案結果を報告する.
2D3-2
格子型 Fuzzy Extractor および Fuzzy Signature を用いた生体認証に対する効率的な精度評価方法の提案
◎中村 渉(株式会社日立製作所) 、高橋 健太(株式会社日立製作所)
Fuzzy Extractor (FE) や Fuzzy Signature (FS) はテンプレート保護型生体認証の実現に有力な技術であり,認証精度向上のため格子を用いた構成方法(格子型 FE/FS)が知られる.これらを生体認証に適用する際,認証精度に影響を与える「格子スケール」を適切に定める必要があり,そのためにさまざまなスケールでの精度評価が必要である.しかし各特徴量ペアに対する照合に最近傍格子点求解を要するため,スケールを変え各ペアに対する照合を繰り返すのは効率的でない.本稿では,各ペアに対し「格子距離」を計算することで,最近傍格子点求解を行わずほとんどすべてのスケールに対する精度を求める行う方法を提案する.また三角格子に対し格子距離の線形時間計算アルゴリズムを与えるとともに,単純方式により1つのスケールに対する精度を求めるよりも短い時間で,提案方式によりほとんどすべてのスケールに対する精度を求められることを実験により示す.
2D3-3
三角格子における最近傍ベクトル探索の高速化とその評価
◎杉崎 行優(日本電気株式会社) 、大槻 紗季(日本電気株式会社) 、田宮 寛人(日本電気株式会社) 、中島 明(日本電気株式会社) 、一色 寿幸(日本電気株式会社)
生体特徴量などのサンプリングのたびに誤差を含む情報から一意の乱数を抽出する手法として fuzzy extractor が知られている.精度の観点から,ユークリッド距離に基づく fuzzy extractor の構成が望まれるが,効率的な構成方法が知られていない.そこで,三角格子における特徴量の最近傍ベクトルを利用することで,ユークリッド距離に基づく本人性の確認を高精度に近似可能な fuzzy extractor を構成できることが示された.本稿では,高橋らの方式で用いられる格子上の最近傍ベクトル探索処理を効率化する方法を提案する.特徴量の次元数を n としたとき,高橋らの方式の最近傍ベクトル探索処理は計算量が O(n log n) であったのに対し,提案方式は O(n) となる.さらに提案方式を実装評価し,顔認証等で用いられる次元数において提案方式の有効性を示す. 生体特徴量などのサンプリングのたびに誤差を含む情報から一意の乱数を抽出する手法として fuzzy extractor が知られている.精度の観点からユークリッド距離に基づく fuzzy extractor の構成が望まれるが,効率的な構成方法が知られていない.そこで,三角格子における特徴量の最近傍ベクトルを利用することで,ユークリッド距離に基づく本人性の確認を高精度に近似可能な fuzzy extractor を構成できることが示されている.本稿では,高橋らの方式で用いられる格子上の最近傍ベクトル探索処理を効率化する方法を提案する.特徴量の次元数を n としたとき,高橋らの方式の最近傍ベクトル探索処理は計算量 O (n log n) であったのに対し,提案方式は O(n) で処理できる.さらに提案方式を実装評価し,顔認証等で用いられる次元数において提案方式の有効性を示す.
2D3-4
眼電位を用いた継続認証方式の検討
◎松原 史恩(兵庫県立大学大学院情報科学研究科) 、田中 俊昭(兵庫県立大学大学院情報科学研究科) 、栗原 淳(兵庫県立大学大学院情報科学研究科) 、神薗 雅紀(デロイト トーマツ サイバー合同会社)
「継続認証」は,特定のデバイスやユーザの継続的なインタラクションを通じて定期的に個人認証を繰り返す手法である.このことにより,一度認証された後のなりすましを防止可能であることより,近年注目を浴びている.現在までに提案されている継続認証手法は,高価・特殊な生体情報の計測装置を用いる,あるいは常にユーザの能動的な動作を必要としているため,利用状況が限定される課題がある.そこで本研究では,安価で,日常利用を想定して開発された眼鏡型ウェアラブルデバイスを用い,それによって計測される「眼電位」による新たな継続認証方式を提案する.提案方式は,認証システムへのユーザ登録時・継続認証時に,日常的に発生する無意識な瞬目「周期性瞬目」による眼電位を用いることで,ユーザの能動的な操作を不要とする.加えて,生体情報の長期的な経年変化への対応と,認証精度の維持を可能とするため,認証に用いる機械学習モデルを逐次更新するオンライン学習方式を用いている.本提案方式をシステムとして実装し,十分な認証精度が継続的に維持できることを実証実験により確認する.
2D3-5
時間・空間の観点からの検討する協力的なりすましを検知する個人認証技術に求められる要件
○小林 良輔(東京大学) 、Mhd Irvan(東京大学) 、Zimmer Franziska(東京大学) 、Perera Maharage Nisansala Sevwandi(東京大学) 、山口 利恵(東京大学)
ICTの発展により,人は直接的に他人と交流する必要がなくなってきている.インターネットを通して他人と関わっていくが,ネットワークの先にいるのがこちらが想定している人物であるかどうかには注意する必要がある.正当な人物でない場合は,サービスの不正利用やプライバシー漏洩などの恐れがあるからである.従来はオンライン個人認証技術を用いて正当な人物であるかどうかを検証していた.しかしながら正当者と不正者が認証情報を共有する協力的なりすましにおいては,従来の個人認証技術で検知することができない.そこで本紙ではこの事実について指摘をし,協力的なりすましを検知する認証技術にはどのような要件が求められるかを,時間的観点および空間的観点から整理する.また協力的なりすましを検知するための解決案の一つとして,サービス利用ログを活用した認証手法の概念を提案する.

2E3 サイドチャネル攻撃 (2) 1月29日(水) 13:30~15:10
座長:藤本 大介 (奈良先端科学技術大学院大学)
2E3-1
超伝導量子コンピュータへのサイドチャネル攻撃の検討
◎石田 妃南子(千葉工業大学) 、駒野 雄一(千葉工業大学)
量子コンピュータは、「量子重ね合わせ」や「量子もつれ」などの量子力学の現象を情報処理技術に適用することで、古典コンピュータでは解くことができない複雑な問題を高速に解くことができる。実用化に向けた研究開発が加速しており、配送や材料開発など最適化問題への応用検討も進められている。そのような応用の中には、個人情報や知的財産権に関わる情報など安全に取り扱われるべき情報が含まれ得る。本論文では、代表的な量子コンピュータである超電導量子コンピュータを対象として、それが実用化された際にセキュリティ上の脅威となり得るサイドチャネル攻撃について考察する。具体的には、超伝導量子コンピュータの構成要素や物理資源等の特徴を整理し、各構成要素に対してサイドチャネル攻撃やフォールト攻撃を行った場合に漏洩しうる情報と、それらの攻撃を防ぐ対策技術を考察する。
2E3-2
センサへの複数のレーザーを用いたシグナルインジェクション攻撃
◎牧野 杜碩(千葉工業大学) 、駒野 雄一(千葉工業大学/産業技術総合研究所) 、坂本 純一(産業技術総合研究所) 、川村 信一(産業技術総合研究所)
Cyber-Physical System (CPS) では、機器に搭載されたセンサが物理空間から情報を収集し、仮想空間で情報を処理して機器の最適な制御などに活用される。しかし、センサが収集するデータに誤りがあると、適切に機器を制御できないだけでなく機器同士の衝突などの事故につながる恐れもある。近年、センサに対してレーザーを照射して誤った情報を収集させるシグナルインジェクション攻撃の脅威評価が進められている。田中-菅原は SCIS2023 において、PC マウスのセンサ部にレーザーポインターのレーザーを照射し、マウスポインタを誤作動させる攻撃を実証した。本稿は、複数のレーザーポインターを用いたシグナルインジェクション攻撃を提案し、レーザーポインターを一つだけ用いる攻撃との脅威を比較する。我々の実験により、複数のレーザーポインターを用いることで従来よりも遠距離から攻撃が可能となることが確認できた。
2E3-3
ゼロ値攻撃対策による実装コストを低減する効率的なM&M-AESの設計
◎平田 遼(電気通信大学) 、宮原 大輝(電気通信大学) 、原 祐子(東京科学大学) 、崎山 一男(電気通信大学) 、李 陽(電気通信大学)
Masks and Macs(M&M)はTCHES 2019で提案された手法であり,マスキングと情報理論的MACタグを組み合わせた回路の冗長化によって物理攻撃に対抗する.具体的には,マスキングによってサイドチャネル解析に,回路の冗長化によって故障利用解析に対応している.SCIS 2022にて,M&Mで保護されたAES暗号がゼロ値攻撃に脆弱であることを報告した.本稿では,この脆弱性を解消するためにM&Mを拡張し,故障の有無を逐一検知可能な新しい対策手法を報告する.この手法では故障検知用の回路を追加するため,回路面積や乱数使用量の増加が避けられない.そこで,新たな試みとして,M&M技術と同等の安全性を維持しつつ,マスキングのシェア数を削減した効率的な実装を検討する.本稿では特に置換回路(S-box)に焦点を当て,安全性と実装コストの比較結果を報告する.
2E3-4
マスキング実装における擬似乱数生成器の安全性への影響について
○上野 嶺(京都大学) 、本間 尚文(東北大学) 、井上 明子(NEC) 、峯松 一彦(NEC)
未定本稿では,マスキング実装における擬似乱数生成器 (PRG) の安全性へ与える影響について述べる.マ スキングと PRG の安全性は長い間独立に研究が行われてきたものの,これまでマスキングにおいてどのように 乱数が生成されるべきかに関する議論はほとんどなされなかった.マスク生成器の実現方法に関する解析の不足 により,現実のマスキング実装の安全性が不明になるだけでなく,設計者や実装者,評価者がどの PRG をマスキ ング実装に利用すればよいか分からないという実用上の問題もあった.本稿では,マスキング実装における PRG を解析するための新たな三つのモデルを提案することで,マスク生成器に必要となる性質を解析する.ここで, 三つのモデルは,漏えい検査,漏えい耐性評価(すなわち,高次サイドチャネル攻撃の成功確率評価および暗号 鍵寿命評価),そして実運用に対応しており,それぞれのシナリオにおけるマスク生成器に必要な性質を明らかに する.本報告の主要な貢献の一つとして,これまで証明なしで(一部で)用いられてきた仮説「マスク生成器に は暗号学的安全性は不要」を証明し,統計的一様性のみで十分であることを示す.さらに,これまでの研究では マスキング実装に対する適応的プロービング攻撃は現実的に極めて困難とされてきたが,マスク生成器に対して は現実的な脅威であることを述べる.その上で,代表的な PRG のマスキング実装における安全性を網羅的に調 査する.最後に,解析の結果から,マスク生成器として推奨される PRG について述べるととともに,漏えい耐性 と性能を両立する,段階的実装に基づくマスク生成手法を提案する.

2F3 ネットワーク攻撃検知・対策 1月29日(水) 13:30~15:10
座長:石井 将大 (東京科学大学)
2F3-1
LANにおけるワイヤータッピング攻撃とその検知方法
◎今岡 通博(SecHack365/今岡工学事務所)
2022年にBlackhat USAのArsenalでLANケーブルの簡単な細工と安価に作製できるプローブでLAN内のパケットを傍受できることがMichihiro Imaokaらにより報告された。しかもこの攻撃手法はプロミスキャスモードで接続していることを他から検出されることはない。ただ、ケーブルの抵抗値を測ることによりLANケーブルに傍受をするための機器が接続していることを検知できる。これに対抗して攻撃者がEthernetコントローラの終端抵抗を除去したNICを傍受に用いた場合、抵抗値の測定では検知はできなくなる。Blackhatではそこまでであったが、今回はそのような攻撃手法においても検知できる可能性にたどり着いた。 それは無線愛好家の間でよく使われている安価なベクトル・ネットワーク・アナライザー(VNA)を用いる方法である。本来VNAは自作アンテナの調整等によく用いられる測定器であるが、これでLAN上で行われているワイヤータッピング等の攻撃を検知できるかその可能性について議論したい。
2F3-2
サイバーセキュリティ初学者のためのパケット可視化手法に対する有効性評価
◎金井 佑太(岩手県立大学大学院 ソフトウェア情報学研究科) 、Adjadeh Nathaniel Kofi(岩手県立大学大学院 ソフトウェア情報学研究科) 、成田 匡輝(岩手県立大学大学院 ソフトウェア情報学研究科)
近年,サイバー攻撃の脅威が増大しており,さらにセキュリティ人材の深刻な不足という状況においては,パケット解析の専門知識を有する人材の育成が急務である.しかし,パケット解析はネットワークセキュリティに関する知識が乏しい初学者にはハードルが高いと考えられる.実際のパケット解析では,通常大量のデータを扱うため,個々のパケットを眺めるだけではその意味を理解することは困難である. そこで,知識が乏しい初学者であっても,ネットワーク上の通信を図やグラフで可視化し,迅速な問題解決をサポートするパケット可視化技術が必要と考える.Wiresharkをはじめとするパケット解析ツールでも,パケットの可視化は可能であるが,複雑な操作や表示される膨大な情報により,初学者にとってこうした既存のパケット解析ツールを使いこなすことは容易ではない.そこで,本研究では直感的に操作することが可能かつ表示される情報を集約したパケット可視化手法の提案を行う.
2F3-3
説明可能AI を用いたNIDSにおけるサイバー攻撃検出要因の調査
◎川中 翔太(九州大学,情報通信研究機構) 、宮本 耕平(情報通信研究機構) 、韓 燦洙(情報通信研究機構) 、班 涛(情報通信研究機構) 、高橋 健志(情報通信研究機構) 、竹内 純一(九州大学)
サイバー攻撃による被害は,攻撃発生からすぐに検知し,対処することで軽減することができる.検知にはNIDS(Network Intrusion Detection System)が用いられており,機械学習を用いて性能向上を図っていることも多い.しかし,機械学習モデルは一般的にはブラックボックスであり,モデルによる判断の基準がわからないため,アラートの信頼性の点で問題がある.これに対する解決策として,説明可能AI(eXplainable AI; XAI)によって判断基準を可視化することが試みられている.攻撃の特性とは無関係な情報に依存することを防ぐため,機械学習NIDSの判断基準は攻撃の特性に基づいていることが望ましいと考えられる.本稿では,まず,機械学習NIDSの実験に使用しているデータセットに含まれているサイバー攻撃の特性を,パケットを調べることによって調査した.また,説明可能AIを機械学習NIDSに適用する実験を行った.ただ,生成された説明は有用なものとはならず,改善の余地があることがわかった.
2F3-4
Snail Load を利用したIoT 機器向け異常通信検知システムの検討
○八代 理紗(セコム株式会社 IS研究所)
IoT機器へのセキュリティリスクの1つとしてマルウェアが挙げられる. 実際にマルウェアに感染し、踏み台としてIoT機器が利用された事例としてMiraiなどが報告されている. マルウェア対策としてはIDSやIPSなどの未然に防ぐ手法やEPPやEDRといった侵入や感染後への対策手法が知られている. しかし,IoT機器に実装されているメモリやOSなどのリソースが制限されており,これらの対策手法を実装することが困難なIoT機器が存在する. 本稿では,Snail LoadをIoT機器の異常通信を検知するシステムに利用できないか検討する. Snail Loadは,遠隔から被害者のウェブアクティビティを推定可能だと指摘されている脆弱性の呼称である. このSnail Loadを利用することで,遠隔からIoT機器が異常通信を行うか監視できると考える. そのため,検知機構をネットワーク外に構築することができ,リソース制限がかかったIoT機器に対しても有効だと想定される. ここでは初期検討として異常通信検知システムのシナリオの整理および現実性について議論する.
2F3-5
Kerberosチケットのライフタイムに着目した不正チケットの検知
○松田 亘(NTT社会情報研究所) 、藤本 万里子(東洋大学 情報連携学部) 、満永 拓邦(東洋大学 情報連携学部)
Active Directory環境では主にKerberos認証が用いられており、クライアントとドメインコントローラ間でTicket Granting Ticket(TGT)やService Ticketなどのチケットを用いて認証や認可が行われる。攻撃者がドメインコントローラやファイルサーバなどの主要なサーバを侵害した場合、Golden TicketやSilver Ticketのような不正なKerberosチケットを作成することができる。これらの不正なチケットを用いることで、攻撃者は任意のアカウントになりすまし、長期的に侵害することが可能となる。本研究では、これらの不正なチケットを検知するため、TGTやService Ticketなどのライフタイムに着目し、これらのライフタイムを変更することで不正なチケットを検知できることを検証した。ライフタイムの変更は比較的容易であり、ミラーポートなどのキャプチャ環境があれば実現できるため、実装に伴うコストが小さいことも利点の一つである。

2G3 プライバシ保護 (1) 1月29日(水) 13:30~15:10
座長:千田 浩司 (群馬大学)
2G3-1
画像データの有用性を維持したノイズ付与メカニズムの提案
◎岡田 健汰(大阪大学大学院) 、Pengxuan Wei(大阪大学大学院) 、宮地 充子(大阪大学)
近年, 機械学習の分野では, 利用者のプライバシーを保護しながらモデルの有用性を維持することが重要な課題となっている. 画像データを利用するときにも,同様にプライバシを保護する必要があるが,プライバシ保護をすると有用性が劣化する課題がある.既存研究では学習パラメータにノイズを付与する機械学習モデルが中心に研究されている.本研究では, 画像データのプライバシー保護と機械学習での有用性を考慮した画像機械学習フレームワークを提案する. さらに,本提案フレームワークの有用性を, MNISTを用いて,ランダムフォレストとサポートベクターマシン(SVM)を用いて, 評価した.比較の為に,既存のメカニズムを用いた場合のランダムフォレストの有用性も評価した.本実験結果では,1ピクセルあたりのプライバシバジェットがε=1.0の時に,精度80%の有用性を達成することを示した.実験結果から, 提案手法はデータのプライバシー保護を実現しつつ, 機械学習モデルのパフォーマンスを高い水準で維持することを確認した.
2G3-2
機械学習のための離散データを用いたプライバシーモデルの提案
◎辻本 悠人(大阪大学) 、宮地 充子(大阪大学)
局所差分プライバシー(Local Differential Privacy, LDP)は,データ送信者がデータをランダム化することで,プライバシーを保護しながらデータを収集する技術である.LDPを満たす機械学習手法として,SUPMというフレームワークが提案された.このフレームワークは、弱匿名化を用いることで,データ型に依存しない統一的な処理を可能にしてる.弱匿名化は,カテゴリデータと数値データを離散値として扱う方法である.しかし,従来の手法では,弱匿名化の際に離散化の区間や離散化数を事前に決定する必要があった.本研究では,カテゴリデータや数値データの離散化数および離散化方法を,LDPを満たす頻度推定に基づいて属性ごとに決定する手法を提案する.また,Adultデータセットを用いて提案手法の有用性を検証した.
2G3-3
Randomized Response の簡易な安全性評価法について
◎中川 遼(立命館大学) 、野島 良(立命館大学) 、王 立華(NICT)
近年, 機械学習やビックデータの発達により, 個人のデータを収集し, 活用することでユーザに対し, 新たなサービスやモノが提供される時代となっており, その中でプライバシーを保護することは不可欠である. それに加えて, 医療情報や閲覧履歴などの機微情報に関しての保護が求められている. ただし, 機械学習を用いた分析や予測に対する精度と匿名性を両立することは容易ではない. そのため, データを活用しつつ, プライバシーを保護するための技術として近年, 差分プライバシーや局所差分プライバシー(LDP: Local Differentian Privacy)が注目されている. 本研究では回答の選択肢が複数である場合における局所差分プライバシーを満たす手法の一つであるRandomized Response に着目し, そのPlausible Deniability としての簡易な評価手法を提案する.
2G3-4
局所差分プライバシを用いた統計情報取得に関する安全性調査
◎上田 祥多(立命館大学) 、王 立華(NICT) 、野島 良(立命館大学)
近年, インターネット上でのデータ収集とプライバシ保護の両立が求められている中, 局所差分プライバシ(LDP)を満たす技術は大規模データ処理における効率性とプライバシー保護を両立するものとして注目されている. 局所差分プライバシを活用し, 個人特定のリスクを軽減しつつ, 有用な統計情報を抽出可能にする. 本研究では, 局所差分プライバシを満たす技術により情報収集をする際の安全性について調査を行った.

2A4 ブロックチェーン (3) 1月29日(水) 15:30~16:30
座長:面 和成 (筑波大学)
2A4-1
プライバシー保護のための選択的オフチェーンデータ取込手法
◎芦澤 奈実(NTT社会情報研究所) 、水上 昌大(情報セキュリティ大学院大学) 、張 一凡(NTT社会情報研究所)
ブロックチェーン上にチェーン外データを取り込む際、そのデータの完全性(integrity)を保証することは重要な課題である。権威ある第三者による署名付与で完全性を担保することができるが、署名を分割できないためにデータは常に一括で取り込む必要があり、任意の部分的利用が困難であった。本研究では、BBS+署名を用いることで、元の署名を維持しつつデータの一部のみを選択的にチェーンへ取り込み可能なプロトコルを提案する。これにより、プライバシー要件やビッグデータの段階的利用など多様なユースケースにおいて、追加的な署名の再生成を必要とせずデータの完全性を確認できる。さらに本手法は、TEEやゼロ知識証明など他のセキュリティ技術との併用により、より高い安全性や拡張性を実現する可能性を有する。今後は安全性証明や実験を通した実用性評価などを通して手法の有効性を示していくことで、ブロックチェーンの応用領域拡大に貢献することが期待される。
2A4-2
zkVMの効率化に向けた課題と展望
◎堤 真聖(早稲田大学) 、佐古 和恵(早稲田大学)
イーサリアムでは、スマートコントラクトを再実行せずにトランザクションの実行結果を効率的に検証するため、zkVM(Zero-Knowledge Virtual Machine)が注目されている。zkVMは、プログラムの命令ステップごとのVM状態遷移をSNARKで証明し、任意のプログラムの計算結果を検証できる。しかし、現行のzkVMでは証明生成コストが実行トレース長に比例して増大する課題がある。本研究では、実行トレース長が増加しても任意のプログラムの実行結果を効率的に証明できることを目指し、まず、既存のzkVM(SP1、Jolt、Nexus、Ceno)でn番目のフィボナッチ数を計算するプログラムの証明を生成し、CPU・メモリに負荷を与える計算を分析した。 その結果、各手法のボトルネックが明らかになるとともに、バッチ証明生成のマルチコア並列化により、トレース長が増加しても効率化できることが分かった。ただし、トレース長に応じてCPUコア数やメモリ容量の拡張が必須となる。さらに、バッチ証明生成を複数のコンピュータに分散することで、コンピュータ1台あたりのCPU・メモリ負荷低減について検討した。
2A4-3
モデル更新の貢献度に応じて報酬配分を行うブロックチェーンを活用した分散型連合学習
◎村形 皇映(東北大学) 、栗林 稔(東北大学) 、酒井 正夫(東北大学) 、磯辺 秀司(東北大学) 、小泉 英介(東北大学)
連合学習とは,複数ノードにデータが分散された状態を維持しながら,ノード同士が連携してAIモデルを学習する機械学習アルゴリズムである.一般的な連合学習では,ノード間を仲介する中央サーバの存在を仮定しているため,中央集権的かつ不透明であり,単一障害点となることが課題である.この課題に対して,非中央集権的な分散型連合学習も提案されている.分散型連合学習では,中央サーバの役割をノード間協調で代替することで,中央サーバの存在に起因する課題を解決できる.一方で,分散型連合学習によりAIモデルを適切に学習させるためには,ノード群が正しく動作することが重要であり,そのためのメカニズムが必要となる.本研究では,ノードのモデル更新への貢献度を評価し,その評価に基づいた報酬分配メカニズムを導入したブロックチェーンベースの分散型連合学習の手法を提案する.提案手法では,ブロックチェーン上のスマートコントラクトによるノード間の合意形成により,ネットワークで適切なAIモデルの学習を行い,モデルに貢献したノードに対してインセンティブを付与する.本研究では,シミュレーションにより,その有効性の検証も行う.

2B4 共通鍵暗号 (3) 1月29日(水) 15:30~16:30
座長:伊藤 竜馬 (情報通信研究機構)
2B4-1
ストリーム暗号 ChaCha における線形式の考察
◎長井 厚樹(大阪大学大学院工学研究科) 、宮地 充子(大阪大学大学院工学研究科)
ChaChaはTLS1.3に採用されている唯一のストリーム暗号であり,標準化されている暗号化通信プロトコルである. 現在,ChaChaの差分線形解析において,既存の線形式の理論値と実験値の乖離や計算量の改善という課題が存在している. 本研究では,すでに線形バイアスの理論値と実験値に乖離が存在している既存の線形式に対して,線形バイアスに関連する線形式への分割を行い, それぞれの線形式における線形バイアスの理論値と実験値を比較し,値の乖離を示している線形式を提示した. また,分割した線形式の理論値と実験値の乖離の原因の一端を示し,その証明を行うことにより, ChaChaの既存の線形式の理論値が向上する可能性を示した.
2B4-2
Collision-Resistant and Pseudorandom Hashing Modes of Compression Functions
○Shoichi Hirose(University of Fukui) 、Hidenori Kuwakado(Kansai University)
This paper presents two novel keyed hashing modes, KHC1 and KHC2, designed to construct hash functions that guarantee collision resistance and pseudorandomness. These modes employ compression functions alongside unique encoding schemes, enabling efficient handling of variable-length inputs. The proposed constructions achieve collision resistance, provided that the underlying compression function satisfies the extended notion of collision resistance, which ensures it is intractable to find distinct input pairs whose output difference falls within a small set. They are also proven to be secure pseudorandom functions (PRFs) under the assumption that the underlying compression function is a PRF secure against related-key attacks. In addition, both constructions accept a 256-bit key as input and guarantee 128-bit security against quantum key recovery using Grover's algorithm when instantiated with the SHA-256 compression function.
2B4-3
Docked Double Deckerに対する量子識別,偽造,平文回復攻撃
◎白田 裕也(名古屋大学) 、岩田 哲(名古屋大学)
Docked Double Deckerは2024年にDobraunigらによって提案されたTweakableワイドブロック暗号方式である(ePrint 2024/084,NIST Accordion Cipher Mode Workshop 2024).ハッシュ関数と擬似ランダム関数で構成され,任意ビット長の入力を取ることができ,古典攻撃に対し,バースデーバウンドを超える安全性が証明されている.本論文では,Docked Double Deckerに対してSimonのアルゴリズムを利用して周期を求めることで,量子識別攻撃が可能であることを示す.さらにその攻撃を応用することで量子偽造攻撃及び量子平文回復攻撃が可能であることを示す.

2C4 署名・鍵管理 (2) 1月29日(水) 15:30~16:30
座長:林田 淳一郎 (デロイトトーマツサイバー合同会社)
2C4-1
格子問題ベース分散署名プロトコルの効率改善に関する検討
◎片岡 優蔵(京都大学) 、ティブシ メディ(NTT社会情報研究所・京都大学) 、阿部 正幸(NTT社会情報研究所・京都大学)
近年,ブロックチェーンなどの新しい技術への応用が期待され,分散署名プロトコルへの関心が高まっている.しかし,ポスト量子暗号に基づく分散署名プロトコルの構築,実装に関する研究には未着手の部分が多く残されている.また,現状提案されているMLWEおよびMSIS問題ベースのTwo-round n-out-of-n分散署名プロトコル(以下,DS2)はMLWEおよびMSIS問題の仮定を用いてセキュリティ証明が行われているが,実際の運用を考えるとパラメータ選定など効率面での課題が残っている.そこで,今回はDS2における制約条件を整理した上で最適なパラメータを選定し,署名内の各コストを整理・計測した.また,Mod-NTRU仮定を用いたより効率的なトラップドアコミットメントスキームの提案を行う.
2C4-2
MPC-in-the-Head署名のBUFF安全性
Kulkarni Mukul(Technology Innovation Institute) 、○草川 恵太(Technology Innovation Institute)
2022年, 米国国立標準技術研究所 (NIST) は耐量子計算機電子署名の追加募集を開始した. 要件として適応的選択文書攻撃下での存在的偽造不可能性(EUF-CMA安全性)が求められている. また追加要件として, 近年研究が進められているBeyond UnForgeability Features (BUFF) 安全性を求めている. \\ 本論文では, MPC-in-the-Head署名 (MPCitH署名) と呼ばれる構成を採用するRound1候補の9件について, 量子ランダムオラクルモデルでのBUFF安全性(MS-UEO, MBS, wNR)を調査した. 結果, MiRitHおよびBiscuitはMS-UEOと呼ばれる安全性を満たさないことが分かった. wNRと呼ばれる安全性についても同様である. MBSと呼ばれる安全性については全ての方式が達成する.
2C4-3
分散型ファジー署名を用いたデジタルウォレットの鍵管理
◎大槻 紗季(NEC) 、田宮  寛人(NEC) 、森  健吾(NEC) 、一色  寿幸(NEC) 、松尾 真一郎(ジョージタウン大学) 、尾花 賢(法政大学)
ユーザーによるガバナンスを実現するために,ノンカストディアル型ウォレットが普及しつつある.しかしノンカストディアル型ウォレットの鍵管理方法は未成熟であり,鍵の紛失やユーザの死亡などの事態に効果的に対処することが難しい.マルチシグやMPCウォレットは鍵の冗長性を提供し,バックアップや相続を可能にするが,ユーザの鍵管理の負担は依然として残る.田宮らが提案した 分散型ファジー署名(Distributed Fuzzy Signature, DFS) は,分散鍵の一つとして生体情報を使用することで鍵管理を簡素化する.本稿では,安全で利便性の高い鍵管理とバックアップを提供するDFSベースのウォレットを提案する.提案方法は,署名鍵を復元せずに異なる分散鍵ペアを生成することにより,鍵漏洩リスクを最小限に抑え,暗号通貨の相続を容易にできる.

2D4 デジタルアイデンティティ・認証 (2) 1月29日(水) 15:30~16:30
座長:大木 哲史 (静岡大学)
2D4-1
日本における携帯回線契約時の本人確認制度の考察
◎福田 優司(早稲田大学) 、佐古 和恵(早稲田大学)
本論文では、携帯回線契約の場面に特化し、本人確認制度の在り方を検討する。まず、従来の本人確認制度の問題点を整理し、令和6年に示された見直し方針が不正契約に対してどのように有効であるかを確認する。見直し方針はマイナンバーカードをはじめとしたICチップ付書類の利用を軸とするため、不正契約に対して有効である。その一方、ICチップ付書類を持たない人の契約手段をどのように確保するかは、明確な方針が定まっていない。そこで、だれもが携帯回線を契約できる制度を維持するために、どのような書類を用いた本人確認を今後も認めるべきかを検討する。加えて、今後起こる可能性がある社会的変化に本人確認制度はどのように対応すべきかを、諸外国の制度を参考に考察を行う。これらの議論を通し、不正に契約された携帯回線の流通を防ぎ、犯罪被害の減少を目指す。
2D4-2
Remote Attestationを用いた超小型人工衛星の信頼性検証手法の提案
◎中川 雄太(デロイトトーマツサイバー合同会社) 、森 啓華(デロイトトーマツサイバー合同会社) 、古川 凌也(デロイトトーマツサイバー合同会社) 、斎藤 宏太朗(デロイトトーマツサイバー合同会社) 、山本 悠介(デロイトトーマツサイバー合同会社) 、ファハルドタピア イサイ(デロイトトーマツサイバー合同会社) 、ロドリゲスレオン ラファエル(デロイトトーマツサイバー合同会社) 、鈴木 将吾(デロイトトーマツサイバー合同会社) 、渡邊 拓弥(デロイトトーマツサイバー合同会社) 、熊谷 裕志(デロイトトーマツサイバー合同会社) 、神薗 雅紀(デロイトトーマツサイバー合同会社)
超小型人工衛星はそのコストと手軽さから教育,商業など多様な用途で普及している.その一方で,衛星システムを標的としたサイバー攻撃への対策が喫緊の課題となっている.特に,衛星に搭載される様々なソフトウェアの適正な動作は,衛星が安定して運用されミッションを遂行する上で必要不可欠であるが,サイバー攻撃に対する衛星ソフトウェアのセキュリティに関する議論は十分ではない. 本稿では,悪意ある攻撃者により衛星ソフトウェアが改ざん,侵害される脅威を想定し,リソース制約が厳しい超小型人工衛星においても侵害を検知,対応するためのRemote Attestationを用いたシステム設計及び検証手法を提案する.提案手法では,起動時に検証を行うInitial Attestationと地上からの要求に応じて検証を行うChallenge-Responseの2種類の形式を採用した.衛星システムを構成する各サブシステムに署名鍵を割り当て,段階的にAttestationを実施することで,システム全体の信頼性を検証している.また,侵害が検出された場合の対応や,セキュアなソフトウェア更新の必要性,実用化に向けた課題についても議論している. なお,本稿は第68回宇宙科学技術連合講演会で発表した内容に加筆修正を行ったものである.
2D4-3
Anonymous Authentication in the Metaverse: Requirements, Technologies, and Challenges
◎Weiyu WANG(The University of Aizu) 、Zhuotao LIAN(Kyushu University) 、Weizheng WANG(City University of Hong Kong) 、Kouichi SAKURAI(Kyushu University) 、Chunhua SU(The University of Aizu)
As the metaverse evolves, ensuring the security and privacy of user identities has become a critical issue. This paper examines the key requirements for anonymous authentication in the metaverse, focusing on user privacy protection, identity management, and cross-platform interoperability. It evaluates the strengths and limitations of various technological solutions, including zero-knowledge proofs, group signatures, and blockchain, and compares their suitability for different use cases. Finally, the paper discusses the main challenges in terms of technology, application, and regulation, while exploring future development trends.

2E4 ハードウェアセキュリティ (2) 1月29日(水) 15:30~16:30
座長:須崎 有康 (情報セキュリティ大学院大学)
2E4-1
LUTベースのLogic Locking回路のSAT攻撃に対する簡易な安全性評価
◎瀧野 雄斗(電気通信大学) 、原田 優咲(電気通信大学) 、宮原 大輝(電気通信大学) 、李 陽(電気通信大学) 、原 祐子(東京科学大学) 、﨑山 一男(電気通信大学)
IC製造のコストを削減するため,多くの企業では上流設計のみを行い,製造は外部委託することが主流となっている.その結果,設計情報である知的財産が盗用され,違法なICの過剰生産や非正規品の流通といった,ICのサプライチェーンの根幹を脅かす問題に直面している.これらの問題を解決する技術の一つであるLogic Lockingは,回路に鍵モジュールを挿入し,正解鍵が入力された場合のみ正しく動作するように設計するものである.しかし,多くのLogic Locking手法はSAT攻撃に対して脆弱であり,正解鍵が容易に特定されてしまう.また,SAT攻撃への耐性評価は,鍵の導出に要する時間の評価のみであり,設計者がLogic Locking手法の有効性を十分に理解するのは難しい.本稿では,全てのロジックゲートをLUTで置き換えた回路に対してSAT攻撃を行い,LUTの個数やサイズがSAT攻撃の耐性に与える影響を定量的に評価する.これにより,Logic Lockingの設計における新たな指標を提供し,SAT攻撃耐性の向上に寄与する.
2E4-2
2ビットランダムフォールトを用いたAsconに対する鍵復元攻撃モデルの提案と検証
◎中村 早希(電気通信大学) 、宮原 大輝(電気通信大学) 、李 陽(電気通信大学) 、﨑山 一男(電気通信大学)
計算資源が限られたIoT機器において,認証性と秘匿性を担保する軽量暗号アルゴリズムは不可欠となっている.認証付き軽量暗号Asconは,こういった市場の要求を満たす解として,その重要性を増している.しかしながら,Asconに対する物理攻撃の一つであるフォールト攻撃は秘密鍵復元に直結するため,IoTシステムの安全性を脅かす深刻な脅威となりうる.そこで本研究では,フォールト攻撃の中でも特に差分故障解析に着目し,Ascon認証暗号化スキームの安全性をフォールト攻撃の観点から検討し,安全性の定量的評価を実施する.より具体的には,終了処理のpermutationの11ラウンド目非線形処理において,5-bit S-Boxの入力2ビットにランダムなフォールトを複数回注入し,ステート全体の情報の特定を試みる攻撃モデルを提案する.新たに提案するフォールトモデルを用い,Asconの秘密鍵復元を目的とした鍵復元攻撃のシミュレーションを実施する.この結果,提案モデルに基づく攻撃により秘密鍵を復元できるメカニズムが明らかとなり,攻撃効果を最大化する最適な故障注入位置が明らかとなった.
2E4-3
命令スキップによる脆弱性の自動検知とそのTPM 2.0実装への応用
○ウリマウル ヴィッレ(セキュアアイシー株式会社) 、ギエ シルヴァン(セキュアアイシーS.A.S.)
近年,セキュリティ機能を提供するデバイスTrusted Platform Module (TPM) 2.0の導入が加速してきている. その一方,TPM 2.0デバイスに対する物理的攻撃の検討が進み,特に故障注入攻撃が多く報告されている. しかし,TPMの機能を使用する際に実行されるTPMコマンドに関する先行研究はあまりない.特に,TPMコマンド認証に対する攻撃の検討は不十分である.そこで本稿では,故障注入による命令スキップの影響を自動分析するソフトウェアツールを提案し,TPM 2.0のリファレンス実装に対し命令スキップを実行させ,認証バイパスの可能性を評価する.その結果,対象とする実装のプログラムメモリのなかで,命令スキップ攻撃に脆弱な箇所を26箇所発見した.最後に,リファレンス実装のソースコードを解析し,脆弱性の原因について考察した結果を示す.

2F4 ネットワークセキュリティ (3) 1月29日(水) 15:30~16:30
座長:笠間 貴弘 (情報通信研究機構)
2F4-1
Deceiving Machine Learning-Based NIDS via Transferable Targeted Evasion Attacks
◎Mariama Mbow(Kyushu university) 、Miyamoto Kohei(National Institute of Information and Communications Technology) 、Takeshi Takahashi(National Institute of Information and Communications Technology) 、Kouichi Sakurai(Kyushu University)
The security of artificial intelligence (AI) systems has become a critical concern due to their susceptibility to adversarial examples. This study investigates the robustness of machine learning-based network intrusion detection systems (NIDS) against targeted evasion attacks. We propose an attack algorithm that generates adversarial network traffic flows designed to deceive NIDS models into misclassifying malicious traffic as benign. Experimental evaluations reveal significant vulnerabilities of various NIDS architectures. For instance, in a non-adversarial environment, the MLP-based NIDS model, built with the CICIDS2017 dataset, detected 99% of brute force attacks and 99% of DDoS attacks. However, under adversarial attacks, the model misclassified 50% of brute force attacks and 41% of DDoS attacks as benign. These findings demonstrate that adversaries can exploit such vulnerabilities to bypass the system, emphasizing the need to develop robust defense mechanisms to counter these threats.
2F4-2
NDNを用いた公開鍵検証について
船本 侑希(金沢大学) 、◎柴田 啓太郎(金沢大学) 、満保 雅浩(金沢大学)
インターネット上の通信においてセキュリティを強化する方法として、信頼できる認証局が発行する公開鍵証明書を用いた認証方式であるTLSが利用されている。TLSで用いる公開鍵証明書が安全であり、かつ失効していないか検証する方法の1つとしてOnline Certificate Status Protcol(OCSP)が挙げられる。OCSPは通信のオーバーヘッドが小さいという利点を持つ一方で、接続が集中するサーバーに対して証明書を発行する認証局はOCSPリクエストに応答するための大きな通信帯域を要するという欠点を持つ。本論文では、OCSP に対してNamed Data Networking(NDN)を応用した手法を提案し、その有効性についてネットワークシミュレータを用いて評価する。そして、提案手法を用いることで、既存のOCSPと比較して通信帯域の減少や応答時間の改善がみられることを示す。
2F4-3
Feasibility of integration of LLM as the role of security experts in access control models
◎Nakul Ghate(NEC Corporation) 、Trong Khang Mai(JAIST) 、Jongmin Lee(JAIST) 、Razvan Beuran(JAIST)
Large Language Models (LLM) have brought a whole new paradigm in the automation of language based tasks. Since access control policies are often written in natural language, there is a promising potential to automate the creation of these policies through LLM. In this study, we integrated LLM with our in-house ABAC model to output firewall rules for a target Industrial Control System. We perform quantitative and qualitative analysis of LLM generated policies and report the current capabilities of LLM in access control integration.

2G4 セキュリティ評価・モデル (3) 1月29日(水) 15:30~16:30
座長:江田 智尊 (富士通)
2G4-1
SNSにおける脆弱性関連投稿に含まれる外部リンクの調査
◎源平 祐太(KDDI総合研究所) 、北 健太朗(KDDI総合研究所) 、三本 知明(KDDI総合研究所) 、磯原 隆将(KDDI総合研究所) 、清本 晋作(KDDI総合研究所) 、田中 俊昭(兵庫県立大学大学院)
近年,サイバーセキュリティにおける外部公開情報の利活用が重要性を増している .そのような外部公開情報の流通するプラットフォームの一つとしてソーシャルネットワーキングサービス(SNS)がある.SNSは情報共有やコミュニケーションの用途で多くのユーザに利用され続けており,サイバーセキュリティ分野においても,製品ベンダー・研究者・運用者など様々な発信者によって,脆弱性対策情報やIoC情報などの脅威情報がSNSに投稿されている. 本稿では主要SNSであるX(旧Twitter)に投稿された脆弱性に関するポストをサンプリングした上で収集し,各ポストに含まれるCVE IDを基に整理した上で,ポスト内でリファレンスされている外部サイトへのリンクについて調査・分析を行った調査結果について報告する.
2G4-2
AI利用全般におけるリスク低減手法としてのゼロ知識証明・Verifiable Computationに関する考察
○長谷川 佳祐(セコム株式会社IS研究所)
ゼロ知識証明(ZKP)やVerifiable Computation(VC)は,理論的な発展に伴い近年ではCNNなどの機械学習(ML)の分野への適用を目的とした研究が数多く提案されている.従来のML利用におけるリスクに対する低減手法として,学習や推論の実行に対してZKPやVCを適用させており,その手法におけるボトルネックとなっていた計算時間や計算リソースに関しても徐々に改善され,実用性が向上しつつある.しかし,生成AIの普及に伴いこれまで重視されてこなかった別のリスクや課題が問題となってきた.そこで本稿では,「ML利用」にとどまらない,「AI利用全般」におけるリスクの低減手法という観点からZKP・VCを考察する.具体的には,AI利用全般におけるリスクに対する低減手法として,ZKP・VCの適用可能性について既存研究を基に評価した.さらに,公開されているライブラリの処理性能を検証することで将来の実現可能性を検討した.その結果,AI利用全般におけるリスクのうち,ZKP・VCがその低減手法として有用であるものを特定し,またその性能改善の方向性について示唆を得た.
2G4-3
VR/AR環境におけるセキュリティ脅威と攻撃対象領域の体系的分析
○金岡 晃(東邦大学) 、森 亮太(東海大学) 、大塚 航世(東邦大学) 、倉﨑 翔大(東邦大学) 、大木 哲史(静岡大学) 、大東 俊博(東海大学) 、磯原 隆将(KDDI総合研究所)
VR (Virtual Reality) およびAR (Augmented Reality) 技術は、エンターテインメント用途にとどまらず、医療、教育、製造業などの幅広い産業分野へ急速に応用が広がっている。しかし、これらの技術の普及に伴い、VR/AR環境に特有、あるいはVR/AR環境で深化するセキュリティおよびプライバシーの課題が顕在化しており、その対策が喫緊の課題となっている。現在、VR/ARのセキュリティに関する議論は始まりつつあるものの、脅威や攻撃対象領域についての体系的な分析はまだ十分に行われていない。 本研究では、この課題を解決するために、VR/AR環境におけるセキュリティ脅威を体系的に整理する。そしてその分析を基に、VR/AR技術に固有の攻撃対象領域を分類し、潜在的な攻撃の攻撃対象領域を明確化する。さらに、これらを実現する攻撃者のモデルを構築し、その能力および手法を体系的に検討する。

3A1 耐量子計算機暗号 (2) 1月30日(木) 9:00~10:40
座長:秋山 浩一郎 (東芝)
3A1-1
QR-UOVにおけるExpand処理の高速化
◎伊藤 歩未(NTTテクノクロス株式会社) 、小林 鉄太郎(NTTテクノクロス株式会社) 、星野 文学(長崎県立大学)
2024年10月、QR-UOVはNISTによる耐量子署名の標準化コンペティションの第2ラウンドに進出した。QR-UOVは古江らによって提案された耐量子署名であり、多変数多項式に基づく署名方式の中では公開鍵や秘密鍵のサイズが小さいという長所があるが、それと引きかえに実行時間が増大している。この問題に対し、部分的にExpand処理を省略することによって署名生成を高速化する手法が星野らによって提案されている。一方、鍵生成と署名検証に対して有効な高速化手法は提案されていなかった。 本稿では、Expand処理を高速化する2つの手法を提案する。Expand処理を高速化することによって、署名生成だけでなく鍵生成や署名検証の高速化も行うことができる。さらに、実装による実験を行い、提案手法の双方について高速化の効果があることを確認する。また、両者を組み合わせた場合、片方だけを使用した場合よりも高い効果があり、公開鍵のExpand処理を最大7.34倍高速化することが可能であることを示す。
3A1-2
Toom-Cook型多項式乗算に基づく高効率なQR-UOV署名ソフトウェア実装
◎天笠 博(東北大学) 、上野 嶺(京都大学) 、本間 尚文(東北大学)
本稿では,有限体F_q^L上の乗算に補間による乗算(Toom-Cook法)を適用するQR-UOV署名のソフトウェア実装の効率化について述べる.従来手法では,QR-UOVの有限体パラメータ(q,L)に対して,筆算乗算に基づいてL-1次式の乗算をF_q上のL^2回の乗算で行っていた.これに対して,提案手法では,2L-1回の乗算で行うことが可能となる.QR-UOVの主要な演算は行列乗算であるため,Toom-Cook法に伴うオーバーヘッド(前処理と後処理)の計算量は相対的に小さい.鍵生成におけるF_q上の乗算数は,L=3の場合に約2/3,L=10の場合に約1/3に削減できる.F_7^10の場合は評価点が不足するため補間による乗算を直接適用できないが,提案手法では同型な有限体F_7^2^5に変換し,カラツバ法と組み合わせることで27回の乗算で実行できる.さらに,要素ごとの乗算はF_q上の行列演算となるため,SIMD内積命令を活用することで効率的に実行できる.上記の提案手法により,QR-UOVの鍵生成において従来比約2倍の高速化を達成した.
3A1-3
Rectangular MinRank 攻撃とSingular point 攻撃の一般化によるUOVとその変種に対する鍵復元攻撃について
◎鈴木 俊博(東京都立大学) 、古江 弘樹(NTT社会情報研究所) 、伊藤 琢真(情報通信研究機構) 、中村 周平(茨城大学) 、内山 成憲(東京都立大学)
UOV は非線形な多変数多項式からなる連立方程式の求解が困難であることなどに安全性の根拠を置く署名方式である. 現在, NIST の耐量子計算機暗号標準化計画における追加デジタル署名方式プロジェクトの第 2 ラウンドに, UOV とその変種である MAYO, QR-UOV, SNOVA の合計 4 つが進出しており, 活発に研究が行われている. UOV やその変種に対する鍵復元攻撃の一つに Rectangular MinRank攻撃がある. この攻撃は公開鍵の表現行列に対してある種の変換を施した後, 目標のランクとなるような行列の線形結合を見つける攻撃である. 本研究では, Pebereau による特異点を利用した攻撃の議論を一般化し, UOV 系から帰着される Rectangular MinRank 問題が現在攻撃で利用される目標のランクより小さいランクも対象とできる場合があることを見る. 結果的に, Rectangular MinRank 攻撃と Pebereauの攻撃を一般化した攻撃を提案し, この攻撃における UOV 系の安全性を解析する.
3A1-4
QR-UOVの定数時間実装の提案
◎秋山 梨佳(NTT社会情報研究所) 、金城 皓羽(NTT社会情報研究所) 、ティブシ メディー(NTT社会情報研究所)
QR-UOVの定数時間アルゴリズムの提案とその実装評価を行う. QR-UOVはNISTの耐量子計算機暗号標準化コンペティションに提出されており, 既存の有力方式UOVと比べ公開鍵サイズを約50%削減している点を評価され, 2024年10月にコンペティションの第2ラウンドへ進出している. 本稿では, QR-UOVのタイミングリーク状況を分析し, その結果を踏まえ一部対策を加えた定数時間アルゴリズムを提案する. また, 提案手法の実装評価も行いタイミングリークのリスクを抑えられていることを確認する.
3A1-5
QR-UOVのマスキング実装に関する提案
◎中邑 聡史(NTT社会情報研究所) 、金城 皓羽(NTT社会情報研究所) 、古江 弘樹(NTT社会情報研究所)
NISTでは署名方式に関して2022年より構造付き格子を利用しない方式を求めて追加公募を開始しており,現在では14方式が第2ラウンドに進出している.本稿では,第2ラウンドに進出した方式の1つであるQR-UOVに関して,安全な実装方式であるマスキング実装を提案する.マスキング実装は秘密情報を分散したままで演算を行う手法であり,暗号が実装されたハードウェアに物理的に干渉するサイドチャネル攻撃の対策としてしられている.既に先行してNISTの標準化方式に選ばれた格子暗号方式では様々なマスキング実装が提案されているが,QR-UOVに関しては本提案が初めてである.

3B1 共通鍵暗号 (4) 1月30日(木) 9:00~10:40
座長:青木 和麻呂 (文教大学)
3B1-1
UtC*変換で構成された認証暗号方式のNonce-Misuse耐性解析
◎永井 日菜(名古屋大学) 、岩田 哲(名古屋大学)
認証暗号には基本的な安全性である機密性と認証性が要求され,それらに加えていくつかの高度な安全性概念が検討されている.認証暗号を利用するアプリケーションによっては複数の高度な安全性を同時に満たす方式が使用されることが望ましく,任意の認証暗号方式を複数の安全性を満たす方式へ変換する方法が必要となる.これを踏まえてStruckとWeishäuplは,Committing安全性とLeakage耐性を同時に達成する認証暗号方式の構成方法であるUtC*変換を提案した(ToSC 2024-1).そこで本研究ではUtC*変換がこれらの安全性に加えて誤用耐性を有するか否かを解析するため,Nonce-Misuse耐性に注目する.Nonce-Misuse耐性にはNMR安全性とこれを緩和したNML安全性が定義されており,それぞれについて解析を行う.
3B1-2
標準認証暗号の誤用安全性解析
◎井上 明子(NEC) 、岩田 哲(名古屋大学) 、峯松 一彦(NEC)
認証暗号は秘匿と改ざん検知を同時に実現する共通鍵暗号方式であり, 実世界で広く用いられている. しかしながらその適用範囲の広さ故に, 設計者の想定しない使われ方をされ安全性を損なう場合がある. このような側面から, ナンス誤用や未検証平文漏洩といった誤用設定下での認証暗号の安全性は重要なトピックであり, 広く研究されてきた. 本稿では, 標準認証暗号である GCM, CCM, OCB3の誤用安全性を解析し, 既存研究では知られていなかったいくつかの誤用安全性が証明できることを示す. 特に, GCMとCCMは未検証平文漏洩設定下においても改ざん検知の安全性を有しており, 加えてCCMはナンス誤用の場合でもその安全性を保つ. また, CCMは弱いナンス誤用設定下における秘匿の安全性を有する. 加えて我々は, CCMにおけるブロック暗号呼び出しを1つ省略した場合においても, これらの誤用安全性が保たれることを示している. 本研究と既存の分析とを統合することで, これらの標準認証暗号の誤用安全性に関する包括的な全体像を明らかにする.
3B1-3
AEAD-to-CBC Downgrade Attack on Format Oracle
◎Ken Takayama(SECOM CO., LTD.)
While Authenticated Encryption with Associated Data (AEAD) ciphers provide confidentiality, integrity and authentication for data, AEAD-to-CBC Downgrade Attack reveals the secret inside the plaintext message by turning AEAD algorithm into non-AEAD algorithm AES-CBC. It assumes ciphertext receiver acts as a Decryption Oracle that it replies with the decrypted plaintext to the sender when it fails a format check. In this paper, we present a variant of this attack, using another oracle, Format Oracle. It also leaks enough hints for the attacker to estimate the secret, while providing less information than Decryption Oracles. We have confirmed that existing mitigation techniques deriving different encryption/decryption keys for different algorithms also prevent this attack and have proposed it to IETF CBOR Object Signing and Encryption (COSE) standards. Additionally, we have proposed patches to COSE libraries supporting non-AEAD ciphers including AES-CBC, disabling them by default to prevent library users from unintentional use of them.
3B1-4
LightMAC-DM及びLightMAC_Plus-DMの鍵制御安全性
◎平松 友紀(名古屋大学) 、岩田 哲(名古屋大学)
鍵導出関数は1つのマスター鍵からセッション鍵やユーザ鍵を導出する関数である.NIST SP 800-108r1には擬似ランダム関数に基づいた鍵導出関数の構成方法が定義されている.鍵制御安全性は鍵導出関数に考えられる安全性の一つであり,出力で得られる鍵の値が制御できないことを要求している.擬似ランダム関数部分にLightMACやLightMAC_Plusを用いた鍵導出関数は鍵制御安全性を満たさないことが知られている.Davies-Meyer構造はハッシュ関数を設計する際に用いる圧縮関数の構成方法として提案された構造であり,preimage耐性を持つことが示されている.本稿では,LightMACおよびLightMAC_Plusに用いられている最終処理のブロック暗号にDavies-Meyer構造を組み込むことで,鍵制御安全性が向上することを証明する.
3B1-5
Polyhash, ECBC-Hash, f9-Hashを用いたDbHtSに基づく鍵導出関数の鍵制御安全性
◎中野 佑斗(名古屋大学) 、平松 友紀(名古屋大学) 、岩田 哲(名古屋大学)
鍵導出関数(KDF)は1つのマスター鍵からユーザー鍵やセッション鍵を導出する関数であり,擬似ランダム関数を用いて構成できる.KDFに対する安全性の1つとして鍵制御安全性が知られている.一方,識別攻撃に対しバースデー限界を超える安全性であるBeyond Birthday Boundの安全性が注目されており,その構成法としてDouble-block Hash-then-Sum(DbHtS)が知られている.これは入力にハッシュ関数を2度並列に適用し,得られたハッシュ値を加算する擬似ランダム関数である.本論文ではハッシュ関数をPolyhash,ECBC-Hash,f9-HashとしたDbHtSを擬似ランダム関数として用いた鍵導出関数の鍵制御安全性を考察する.3つのハッシュ関数すべてにおいて鍵制御安全性を満たさないことを示す.

3C1 暗号プロトコル (3) 1月30日(木) 9:00~10:40
座長:大畑 幸矢 (Byerlis)
3C1-1
組込み機器向け擬似ランダム相関生成器のハードウェアアクセラレータ
◎角 颯太(東京科学大学) 、大原 一真(産業技術総合研究所) 、原 祐子(東京科学大学)
秘密計算は,複数の参加者が自身の入力を秘匿しながら,種々の関数を協調計算することを可能とする暗号プロトコルである.特に,主要な構成法の一つに,事前計算で生成可能な使い捨ての相関乱数を利用する方式がある.この相関乱数の生成にかかる通信コスト削減のため,疑似ランダム相関生成器(Pseudorandom Correlation Generator; PCG)が近年研究されている.しかし,計算能力の乏しい組み込み機器においてはPCGの計算負荷が課題となる.本研究では,CRYPTO2022で発表されたBoyleらのPCGプロトコルに対し,計算負荷の高い処理を代行するハードウェアアクセラレータを実装・評価した.実装にはFPGAと組込みプロセッサが同一チップに搭載されたSoCを使用し,(1) SoC上のプロセッサのみを用いた実装,(2) AES回路によるPRFを用いた実装,(3) Boyleらの論文において導入されたUnpredictable Punctured Function (UPF) を回路化した実装,の3つの環境を構築し,処理時間と必要資源量を比較評価した.
3C1-2
大規模なシステムに適した二段階秘密計算プロトコル
◎杉本 航太(電気通信大学 / 情報通信研究機構) 、大原 一真(産業技術総合研究所) 、渡邉 洋平(電気通信大学) 、岩本 貢(電気通信大学)
秘密計算(Multi-Party Computation: MPC)プロトコルとは,複数の参加者が自身の入力を互いに秘匿しながら,ある関数の計算結果を出力できるような暗号技術である.MPCプロトコルは一般に,各参加者の通信量が参加者数の2乗のオーダで増加し,また,プロトコル実行中は全参加者で互いに通信可能な状態を維持し続ける必要がある.そのため,参加者数が大きくなるにつれプロトコル実行が困難になる.本稿では上記の課題に対して,参加者が複数のグループに分割され,各グループに対応するサーバが一つずつ存在するという設定の下で新たなMPCプロトコルを提案する.提案方式は各グループ毎に独立に計算を実行し,その結果を暗号化して中間値として出力する「グループステージ」と,各サーバが受け取った中間値を用いて全参加者の入力に対する関数の計算結果を求める「サーバステージ」の二つのステージによる構造を採用することで,大規模な参加者数における効率的なMPCプロトコルを実現する.
3C1-3
(多人数)秘匿差集合計算の実現に向けて
◎笠島 悠吾(電気通信大学) 、杉本 航太(電気通信大学) 、渡邉 洋平(電気通信大学/産業技術総合研究所) 、岩本 貢(電気通信大学)
各参加者のもつ集合を入力とし,積集合や和集合を入力を明かすことなく計算するプロトコルとして,秘匿積集合計算(Private Set Intersection: PSI)や秘匿和集合計算(Private Set Union: PSU)が盛んに研究されている.しかし,その他の代表的な集合演算として差集合が知られている一方で,その秘密計算を行う秘匿差集合計算(Private Set Difference: PSD)は著者の知る限り知られておらず,PSIやPSU,またその亜種を含めて計算可能な秘匿集合演算計算プロトコル(Private Set Operation: PSO)でも扱われていない.これは,参加者が2名の場合においては積集合の計算が差集合の計算と一致することからPSIで十分であるためだと考えられるが,参加者が2名より多い場合はPSI, PSU, PSOではPSDを実現することはできない.PSDが実現できれば,自身だけが有する要素を他の参加者に知られることなく把握することが可能となる.本稿では,PSDの実現の難しさについて議論し,PSDを実現するための基本的なプロトコル及び特殊な場合におけるPSDプロトコルを提案する.
3C1-4
スマートコントラクトにおけるVerkle Treeの実装評価
○金廣 理央(電気通信大学) 、渡邉 洋平(電気通信大学 / 産業技術総合研究所) 、岩本 貢(電気通信大学)
Verkle Trees, proposed in 2018, are a type of vector commitment scheme that enables one to commit to a sequence of values in a tree-like structure, with the ability to later open one or more values at a certain position, along with proof that proves their consistency with the original commitment. Although Verkle trees share a similar tree-like structure with Merkle trees, the key difference is the use of the KZG commitment scheme instead of hash functions for deriving parent nodes. This makes Verkle tree efficient in terms of proof size and verification time compared to Merkle trees as KZG commitment scheme enables constant proof size and verification time. However, verifying KZG proofs is computationally intensive, particularly on blockchain platforms, as it involves elliptic curve operations. This could result in slower and more expensive verifier depending on the data committed. In this work, we implement Verkle trees with tree construction and proof generation conducted outside of blockchain, while verification is conducted on the blockchain in a smart contract. We then evaluate the on-chain verification cost and compare its performance with other vector commitment schemes, such as Merkle trees.
3C1-5
検出回避攻撃者に対する定数ラウンドコンセンサスプロトコル
◎園部 凌平(東京科学大学 情報理工学院) 、大友 駿也(東京科学大学 情報理工学院) 、安永 憲司(東京科学大学 情報理工学院)
コンセンサスプロトコルは分散コンピューティングの基本的プロトコルである。n 人の各参加者が入力を持ち、高々 t 人が攻撃者に支配されたとしても、(1) 支配されてない参加者は同じ値を出力すること、(2) 支配されていない参加者が同じ値を入力とするならばその値を出力すること、がプロトコルの要件である。コンセンサスプロトコルは t < n/2 の場合のみを考え、一般的には支配数 t に比例したラウンド数が必要なことが知られている。本研究では、署名が利用可能な認証付き設定において,攻撃検出の回避を行う攻撃者に対し 、任意の t < n/2 に対し、定数ラウンドで実行可能なコンセンサスプロトコルを提案する。

3D1 カードベース暗号・物理暗号 (1) 1月30日(木) 9:00~10:40
座長:須賀 祐治 (インターネットイニシアティブ)
3D1-1
2n枚の部分的二重対称関数プロトコル
◎池田 昇太(茨城大学) 、高橋 由紘(茨城大学) 、品川 和雅(茨城大学/産業技術総合研究所)
カードベース暗号において対称関数に関する研究は盛んに行われてきた。その中で、Ruangwises-Itoh(TCS 2021)は対称関数のサブクラスとして二重対称関数という関数クラスを定義し、2n枚有限時間の二重対称関数プロトコルを構成した。また、Shikataら(APKC 2023)は二重対称関数のクラスを拡張した部分的二重対称関数という関数クラスを定義し、2n+1枚Las Vegasの部分的二重対称関数プロトコルを提案した。現在までのところ、2n枚で部分的二重対称関数プロトコルが構成できるのかは未解明である。本稿では、2n枚Las Vegasの部分的二重対称関数プロトコルと、n ≧ 8に対して$2n$枚有限時間の部分的二重対称関数プロトコルを構成した。また、Ruangwises(ICTAC 2023)が提案したk Mod 3関数プロトコルを一般化し、入力の和がmを法としてkと合同のとき1を返し、それ以外の場合は0を返すk Mod m関数プロトコルを2n枚で構成した。
3D1-2
効率的な全加算プロトコルとその加算プロトコルへの応用
◎島津 大(茨城大学) 、品川 和雅(茨城大学/産業技術総合研究所)
カードベース暗号とは物理的なカード組を用いて秘密計算を行う研究分野である。この分野 では、プロトコルのカード枚数とシャッフル回数は効率性に関する重要な指標であると考えられている。 本稿では全加算プロトコルおよび多入力の加算プロトコルのシャッフル回数について述べる。追加カード 4枚という設定において、Mizukiら(UCNC2013)はランダム二等分割カット(RBC)6回の全加算プロ トコルを構成した。本稿では、同じく追加カード4枚という設定において、RBC3回の全加算プロトコ ルを提案する。さらに、n入力の加算プロトコルについて、RBC回数がO(n)である方式も提案する。
3D1-3
シャッフル回数の少ないコミット型対称関数プロトコル
◎高橋 由紘(茨城大学) 、品川 和雅(茨城大学/産業技術総合研究所)
カードを用いて秘密計算やゼロ知識証明などを行う分野をカードベース暗号と呼ぶ。対称関数f: {0,1}^n -> {0,1}はAND関数やXOR関数を含む重要な関数クラスである。2015年にNishidaらは2n+2枚のコミット型対称関数プロトコルを提案した。さらに2022年にShikata らはn >= 8の場合に2n枚(最小枚数)のコミット型対称関数プロトコルを構成した。これらのプロトコルはカード枚数については十分効率的であるが、シャッフル回数はいずれもO(n log n) 回であり、シャッフル回数の削減に焦点を当てた研究はこれまで存在しなかった。本稿では、シャッフル回数の少ないコミット型対称関数プロトコルとして、シャッフルO(n)回のプロトコルを二つ提案する。具体的には、シャッフル回数がn + 1回の3n + 1枚のプロトコルと、シャッフル回数が\lfloor \frac{5n - 1}{4} \rfloor + 2回の2n + 4枚のプロトコルを提案する。
3D1-4
バッチング技術に用いるカード枚数の削減
◎石崎 悠斗(茨城大学) 、品川 和雅(茨城大学/産業技術総合研究所) 、縫田 光司(九州大学/産業技術総合研究所)
物理的なカードを用いて秘密計算を実現する技術をカードベース暗号と呼ぶ。カードベースプロトコルにおいて、カード枚数とシャッフル回数は重要な評価指標である。シャッフル回数の削減を目的とした技術として、複数のシャッフルを単一のシャッフルにまとめるバッチング技術がある。石崎と品川(SCIS 2024)は、バッチング技術の新手法として、一般化パイルスクランブルシャッフルを用いる手法とブランチングシャッフルを用いる手法を提案した。本稿では、これら二つの手法を合わせた新しいバッチング技術を提案する。提案バッチング技術を用いた場合、m個のランダム二等分割カットをm\log_2 m枚の追加カードにより1回のシャッフルまとめることができ、通常のバッチング技術よりカード枚数を半分に減らすことが出来る。提案バッチング技術の応用として、追加カードなしのn入力コミット型XORプロトコルのシャッフル回数の評価を行う。
3D1-5
部分開示操作を用いた効率的な3入力/4入力のANDプロトコル
◎本多 由昂(茨城大学) 、品川 和雅(茨城大学/産業技術総合研究所)
カードベースプロトコルとは、物理的なカード組を用いて秘密計算を行う暗号プロトコルである。本論文ではカードベースプロトコルのうち、一般的に市販されているトランプカードを使用するプロトコルを扱う。部分開示操作とは、伏せられたトランプカードの一部分のみを開示する操作である。この操作はMiyahara-Mizuki(IJTCS-FAW 2022)によってスートのみを開示する操作として導入され、著者ら(IWSEC 2024)によって任意の位置を開示する操作として一般化された。Miyahara-Mizukiは、部分開示操作を用いてランダムカット1回の4枚2入力ANDプロトコルを提案した。本論文では、部分開示操作を用いてランダムカット2回の6枚3入力ANDプロトコルと、ランダムカット3回の8枚4入力ANDプロトコルを提案する。

3E1 サイドチャネル攻撃 (3) 1月30日(木) 9:00~10:40
座長:駒野 雄一 (千葉工業大学)
3E1-1
TRNG On-the-fly Testを実装したPLL-TRNGに対する振幅変調波を用いた周波数注入攻撃
◎西山 輝(産業技術総合研究所) 、藤本 大介(奈良先端科学技術大学院大学) 、川村 信一(産業技術総合研究所) 、林 優一(奈良先端科学技術大学院大学)
位相同期回路(PLL)を用いた真性乱数生成器(PLL-TRNG)に対し、PLLの入力クロックに妨害波を印加することで乱数性を低下させる物理攻撃が報告されている。一方で、乱数性の低下をリアルタイムに検出し、低品質な乱数を棄却するTRNG On-the-flyテストが提案されている。しかし、本テストは入力ビット列全体の統計的特徴量に基づいて乱数性の低下を判定するため、特徴量の閾値を超えない範囲でビット列を操作された場合、テストが無効化される可能性がある。そこで本稿では、PLL-TRNGに印加する妨害波の振幅値に応じてPLL-TRNGの乱数性が変化することに着目し、振幅変調した妨害波の印加によりテストを無効化しつつ乱数性が低いビット列を出力させる攻撃の成立可能性を示す。
3E1-2
HAWKの鍵生成に対するサイドチャネル攻撃
◎伊藤 駿佑(金沢大学) 、満保 雅浩(金沢大学)
現在、NISTの耐量子計算機暗号標準化プロセスにおける追加デジタル署名スキームのラウンド2が進行中である。HAWKは格子ベースの署名方式としてラウンド2に進んだ唯一の候補であり、その性能や安全性が議論されている。HAWKに対する攻撃として、Guerreauらは署名生成時の離散ガウスサンプリングに着目し、現在の実装に対してテンプレート攻撃とSPAを実行することでサンプリングされた秘密情報を完全に復元することができると報告している。本論文では、秘密鍵生成時の処理に対して同様のサイドチャネル攻撃を適用し、脆弱性を解析する。また、その解析により明らかになった脆弱性について考察し、安全性を評価する。
3E1-3
Crowhammer: A Key-recovery attack on Falcon
◎Calvin ABOU HAIDAR(NTT Social Informatics) 、Mehdi TIBOUCHI(NTT Social Informatics)
In this paper, we show that FALCON, the hash-and-sign signature scheme over NTRU lattices selected by NIST for standardization, is vulnerable to an attack using Rowhammer. FALCON's Gaussian sampler is the core component of its security, as it allows to provably decorrelate the short basis used for signing and the outputed signatures. Other schemes, lacking this guarantee (such as NTRUSign, GGH or more recently PEREGRINE) were proven insecure. However, performing efficient and secure Gaussian sampling has proved to be a difficult task, providing numerous potential vulnerabilities to be exploited. To avoid timing attacks, a common technique is to use distribution tables that are traversed to output a sample. The official FALCON implementation for the NIST uses this technique, employing a hardcoded reverse cumulative distribution table (RCDT). Using Rowhammer, we target FALCON's RCDT to trigger a very small number of targeted bitflips and prove that the resulting distribution is sufficiently skewed to perform a key-recovery attack. Namely, we show that a mere two-bitflip suffice to recover the key. In the process, we also study the effects of those perturbations on the distribution of the complex sampler used in FALCON.
3E1-4
ハードウェア実装 AESに対するSDRを用いたサイドチャネル攻撃
○今中 良史(株式会社 ECSEC Laboratory) 、山屋 賢司(株式会社 ECSEC Laboratory)
新しいラジオ受信機であるSDR(Software Defined Radio)は低価格にもかかわらず、広帯域をカバーし、高分解能を有し、実時間でデータ採取できるため、サイドチャネル攻撃における波形採取に適していると考えられる。前回、ソフトウェア実装AESに対してSDRを用いて波形採取を行い、AES鍵の抽出に成功した。今回、処理速度が速いハードウェア実装AESに対して同様なサイドチャネル攻撃実験を行うことにした。AESコプロ内蔵のMCUに電流プローブや電磁波プローブを用いてSDRによって波形採取して解析した結果、AES鍵の抽出に成功し、SDRの有用性を確認できた。
3E1-5
AES暗号実装したハードウェアに対する故障利用解析の検証と評価
◎玉川 未蘭(東京工科大学大学院 バイオ・情報メディア研究科 コンピュータサイエンス専攻) 、布田 裕一(東京工科大学 コンピュータサイエンス学部) 、三重野 武彦(エプソンアヴァシス株式会社) 、岡崎 裕之(信州大学 学術研究院 (工学系))
Quisquaterらは,ブロック暗号のSPN構造に対する故障利用解析手法を提案した.提案された解析手順は,故障モデルを満たす故障暗号文と正常暗号文の比較によって最終ラウンド鍵を特定したが,シミュレーションのみの検証だった.Trevorらは,Quisquaterらの解析手法をもとにした新たな増分故障解析を提案し,AES暗号をハードウェア実装した環境でオーバークロックによって故障を発生させた.本研究では,一般製品であるマイコンボードをAES暗号実装装置としてソフトウェア実装した環境において,異常クロックを利用した故障利用解析を実施する.故障注入手法として,DDSを用いて正常クロックとそれ以外の周波数を高速で切り替えた異常クロックを生成し,故障の発生に効果的な異常クロックを選定した.また,Quisquaterらの研究における1バイトの故障発生方法に加え,4バイトの故障を発生させる新たな故障発生方法を提案し,攻撃者の意図する位置に対する故障の発生を検証した.実験結果や故障暗号文から故障要因を分析し,故障が発生する原因を推察する.

3F1 マルウェア対策 (3) 1月30日(木) 9:00~10:40
座長:中田 亮太郎 (一橋大学)
3F1-1
感染拡大を行うマルウェアの悪性通信特徴に基づく検知手法
◎青野 健(東京情報大学大学院) 、石田 裕貴(東京情報大学大学院) 、早稲田 篤志(東京情報大学 総合情報学部) 、花田 真樹(東京情報大学 総合情報学部)
近年,組織内のネットワークに侵入し,脆弱なホストに対して感染拡大(ラテラルムーブメント)を行うマルウェアが増加している.その被害を防止するため,マルウェアの攻撃通信に着目した検知技術の研究が行われているが,マルウェアには多種多様な亜種や新種が存在しているため,攻撃通信のみでは亜種や新種に対する対策としては十分とは言えない. 本研究では組織内ネットワークでのラテラルムーブメントを行うマルウェアの悪性通信の検知手法の提案を行う.特徴として,マルウェアが組織内ネットワーク侵入後に発生させるスキャン等を含む汎用的な検知手法の提案を行う.具体的にはラテラルムーブメントを行うマルウェア3検体の通信について調査を行い,マルウェアによって発生する悪意のある通信に関する特徴の抽出を行った.そして,抽出した特徴を基に攻撃段階に移行する前のスキャン活動などの感染初期段階を含めた検知手法を提案する.最後に提案した検知手法の評価を行い,ラテラルムーブメントを行う別種のマルウェアに対しても検知が可能であることを示す.
3F1-2
レジストリ操作ログの取得による永続化マルウェア追跡手法
◎荒木 辰哉(立命館大学) 、高橋 佑典(日本電気株式会社) 、木津 由也(日本電気株式会社) 、細見 格(日本電気株式会社) 、毛利 公一(立命館大学)
マルウェアが引き起こすインシデントへの対応では,その影響範囲を明らかにするために,自動化されたログ解析ツールを用いて端末に残されたログ同士を関連付けながら解析することが多い.既存のログ解析ツールでは,一般的にプロセス間の親子関係から不審なプロセスの生成の流れを遡ることが可能である.しかし,高度化したマルウェアの中には,OSの自動実行機能を悪用により,プロセス間の親子関係が再起動によって途切れるため,影響範囲の追跡が困難になる.既存のログ解析ツールは,自動実行機能によるプロセス生成の流れまでを追跡する機能を持たないため,解析者が手作業で調査する必要があり,困難で手間がかかる作業が求められる.そこで本論文では,マルウェアが悪用することが多いWindowsシステムの自動実行機能であるRun レジストリキー,サービス,タスクスケジューラを対象に,プロセスのレジストリ操作ログとプロセス生成ログを用いて,自動実行機能に登録されたプロセスから再起動後に生成されたプロセスを自動で追跡する手法を提案する.この手法により,自動実行機能を利用したプロセス生成の流れを容易に追跡することができるようになった.
3F1-3
RATの鮮度とRATオペレータの活動観測成功率の関連性調査
◎河原 晃平(立命館大学) 、津田 侑(Turnt Up Technologies 株式会社 / 立命館大学) 、毛利 公一(立命館大学)
感染端末の遠隔操作により攻撃を展開するRATの実態を把握するためには,RATオペレータが端末に侵入した後の活動を観測・分析することが重要になる.そのためマルウェア解析者は,VirusTotalに代表されるマルウェア検査サービスに投稿されたRATの中から,マルウェアファミリやマルウェア投稿元などの基準に合うRATを入手・解析するが,解析により必ずRATオペレータの活動を観測できる訳ではない.効率的な解析のためには,いわゆる「新鮮な検体」であればRATオペレータを誘引しやすいと考えられているが,鮮度を定義する要素は解析者の暗黙知となっており,その要素は明らかになっていない.そこで本論文では,RATの鮮度に着目し,RATオペレータの活動観測に成功しやすいと考えられる新鮮な検体を調査した.具体的には,投稿からの経過時間を第1の鮮度の要素としてRemcosRATを収集し,経過時間別に分け,動的解析した.調査の結果,第1の要素に加え,バージョン情報やC&Cサーバの稼働状況が第2第3の鮮度の要素となり,バージョンが高く,投稿されて間もないRemcosRATはC&Cサーバの稼働率が高く,RTAオペレータの活動観測に成功しやすいことがわかった.
3F1-4
CNNマルウェア検知器における文字列追加攻撃による説明可能性の向上
◎小林 竜士(筑波大学) 、大山 恵弘(筑波大学)
機械学習を用いたマルウェア検知器の普及に伴い,マルウェアのバイナリを改変した敵対的攻撃による機械学習モデルの脆弱性が問題視されている.マルウェア検知器に対するバイナリ改変の敵対的攻撃の研究は数多く行われてきたが,それらにおけるバイナリの変更部分は複雑でランダムなバイト列で構成され,その仕組みを理解をすることが難しいという課題がある.そこで,本研究では理解可能な可読文字列に着目し,マルウェア検体に対して文字列を追加する敵対的攻撃手法を提案する.文字列追加攻撃を行うことで,検知器がどの文字列に着目したかを明確にし,説明可能性を向上させることができる.本手法では,1次元CNNをベースとしたマルウェア検知器であるMalConvを対象とし,検知確率の高いマルウェア検体に対して,一般的な単語をファイル内で最初に位置するセクションの前の領域に512文字分挿入して改変した検体を作成した.改変された検体をMalConvに入力し,どの文字列が検知確率の低下に寄与するかを評価した結果,特定の文字列が検知確率を効果的に低下させることが確認され,それらの文字列には一定の規則性が存在することが示された.

3G1 AIセキュリティ (3) 1月30日(木) 9:00~10:40
座長:岸本 衣緒 (NEC)
3G1-1
AIセーフティにおけるベンチマークデータセット調査
◎芦澤 奈実(NTT社会情報研究所)
近年、AIセーフティの観点から、サービス提供前にモデル安全性を評価する必要性が指摘されており、さまざまなベンチマークが提案されているが、実際にどのベンチマークを活用すれば確実な評価ができるのかについては未整備である。本研究は、日本の「AIセーフティに関する評価観点ガイド」を基盤に、LLM向けベンチマークデータセットをGithub、Hugging Face、Paper with Codeから収集し、各評価観点別に分類を行った。その結果、「有害情報出力制御」「偽誤情報防止」「公平性」「プライバシー保護」「ロバスト性」については比較的多くのベンチマークが存在する一方、「包摂性」「ハイリスク利用対処」「説明可能性」「データ品質」「検証可能性」を網羅するデータセットはほとんど提案されていないことが明らかになった。また、単純な入出力評価で対処困難な観点や、システム全体の考慮が求められる観点も浮き彫りとなった。さらなる研究では、これら未整備領域に焦点を当て、システム全体を考慮した安全性評価手法や、新たなデータセットの創出が求められる。本研究は今後のAIセキュリティ分野に重要な示唆を与える。
3G1-2
AIセキュリティの対策アプローチにおける傾向分析
○石川 朝久(東京海上ホールディングス株式会社) 、櫻井 幸一(九州大学)
多くの企業や組織がAIの利活用を積極的に推進している中、AIに対するセキュリティ(Security for AI)の重要性が増している。また、AIの活用に伴い、AIガバナンスやAIセーフティへの対応が求められ、検討すべき課題は多岐にわたる。AIセーフティでは、ソフトウェア工学やSTAMP/STPAなどの安全解析手法の応用が提案されているが、AIセキュリティの対策はまだ十分に確立されていない。現在は、既存のサイバーセキュリティ対策を応用しているものの、その具体的な適用方法には試行錯誤が見られる。本発表では、AIセキュリティの現状とその対策手法について、関連分野との比較を行いながら動向を報告する。
3G1-3
AIセキュリティ影響分析技術のAI倫理・AI品質への拡張
○矢嶋 純(富士通株式会社) 、井出 勝(富士通株式会社) 、田中 宏(富士通株式会社) 、志賀 聡子(富士通株式会社) 、大橋 恭子(富士通株式会社) 、小野寺 佐知子(富士通株式会社)
人工知能(AI)には様々なリスクが存在することが指摘されている.AI開発企業がAIを搭載したシステム(AIシステム)を提供する場合,そのシステムに潜む様々なリスクを事前に知り,対策を行っておくことが重要である.このリスクを知る技術としてリスク分析技術がある.ISO31000などに見られるように,リスク分析にはリスクの起こりやすさを知るための分析技術(起こりやすさ分析)と,リスクが生じた際の影響を分析する技術(影響分析)が存在する.本論文では,AIセキュリティ向けの影響分析技術をAI倫理,AI品質のリスクも分析できるように拡張する.拡張の結果,これまでのAIセキュリティに加えて,AI倫理とAI品質の観点でも影響分析ができるようになったことを報告する.
3G1-4
AIプロジェクトのリスク分析を効率化するためのリスクレベル判定方式
○井出 勝(富士通株式会社) 、矢嶋 純(富士通株式会社) 、田中 宏(富士通株式会社) 、志賀 聡子(富士通株式会社) 、大橋 恭子(富士通株式会社) 、小野寺 佐知子(富士通株式会社)
普及が進んでいるAI技術は,高度な推論や認識などを可能とする一方で,AIに特有なリスクに対する対応が求められている.顧客にサービスを提供する開発現場では,企画段階でAIシステムに潜むリスクを明らかにし,そのリスクを分析することが必要である.しかしながら,詳細な分析は精密にリスク分析を可能とする一方で,ある程度の工数がかかってしまう.そこで,明らかに詳細分析が不要となる案件を対象外とすることができれば,その分の分析工数を削減でき,分析の効率化ができると考えられる.本論では,リスクによる影響の大きさ(リスクレベル)により,工数をかけて詳細を分析するのか,簡易的な分析で十分かといった判断が可能なリスクレベル判定方式を提案する.本方式を用いることで,明らかにローリスクで分析を省けると判断できる場合は,現場の負担を軽減することが可能である.本方式の有効性は,2つのユースケースでの試行によって実証された.
3G1-5
要求分析に基づく生成AIリスクの分類と対策の導出
○田中 宏(富士通株式会社) 、井出 勝(富士通株式会社) 、矢嶋 純(富士通株式会社) 、小野寺 佐知子(富士通株式会社) 、宗像 一樹(富士通株式会社) 、吉岡 信和(早稲田大学)
生成AIの優れた機能性と汎用性は人間社会への貢献が期待されるが、一方で偽情報生成や攻撃の高度化などのセキュリティリスクや、誤情報の拡散や偏見の助長などの倫理的・社会的リスクの増大が懸念されており、生成AIを安全に利用するためのリスク対策が必要である。生成AIのリスクについては多くの研究が発表されているが、これらは利用者に注意を促すことを目的としており、リスク対策を導出する方法を示していない。リスクと対策を結びつけるためには、要求工学に基づくリスク分析手法が存在する。このような手法を適用するため、生成AIリスクを要素(リスク要因・ハザード・影響)に分解してリスク発生メカニズムをリスクモデルで表現し、リスク対策を導出する手順を提案する。本稿では、まず、先行研究の論文から生成AIリスクの一覧を作成する。次にリスクを要素に分解し、リスク発生メカニズムを表す。次に、リスク要素から要件工学に基づくリスク分析手法を用いて対策を導出する。最後に、ケーススタディにより、提案手法の有効性を示す。

3A2 耐量子計算機暗号 (3) 1月30日(木) 11:00~12:40
座長:勝又 秀一 (PQShield)
3A2-1
QR-UOV に対する部分鍵導出攻撃の改良
◎瀬戸 友暁(東京大学) 、高安 敦(東京大学)
多変数多項式署名方式UOVやその派生であるMAYOやQR-UOVは,NISTの耐量子計算機署名追加公募の Round 2 候補に選出されるなど注目を集めている.Esserら(CRYPTO'22)は秘密鍵の一部のビットが得られる消失モデルや誤りを含む秘密鍵が得られる誤りモデルにおいて耐量子計算機暗号方式に対する部分鍵導出攻撃を提案した.Esserらが攻撃対象としたUOVの派生であるRainbowは後に致命的な攻撃が報告されたため,瀬戸ら(ISEC'24)はEsserらに倣いUOV, MAYO, QR-UOVに対する部分鍵導出攻撃を提案した.瀬戸らの攻撃は様々なUOVの派生に対する汎用的な手法だが,本稿で我々は有限体の標数が奇数のときは消失モデル・誤りモデルいずれの場合にも改良可能であることを示す.提案攻撃の改良は,秘密鍵がビット表現で保持されるため,奇標数ならば消失・誤りがあったとしてもその訂正・検出が可能な場合があることに起因する.我々は奇標数であるQR-UOVに対する攻撃を解析し,パラメータによっては消失確率0.27以下,誤り確率0.10以下で瀬戸らの攻撃を改良することを確認する.
3A2-2
NIST PQC Additional Signatures Second Round Candidate: QR-UOV
◎Hiroki Furue(NTT Social Informatics Laboratories) 、Yasuhiko Ikematsu(Kyushu University) 、Fumitaka Hoshino(University of Nagasaki) 、Tsuyoshi Takagi(The University of Tokyo) 、Haruhisa Kosuge(NTT Social Informatics Laboratories) 、Kimihiro Yamakoshi(NTT Social Informatics Laboratories) 、Rika Akiyama(NTT Social Informatics Laboratories) 、Satoshi Nakamura(NTT Social Informatics Laboratories) 、Shingo Orihara(NTT Social Informatics Laboratories) 、Koha Kinjo(NTT Social Informatics Laboratories)
The multivariate-based unbalanced oil and vinegar signature scheme (UOV) is one of the candidates for post-quantum cryptography (PQC). UOV is a well-established signature scheme owing to its short signature and fast performance, but its public key is much larger than that of other PQC candidates. At ASIACRYPT 2021, Furue et al. proposed quotient ring UOV (QR-UOV) as a new variant of UOV, which reduces the public key size compared to the plain UOV. This QR-UOV has been submitted to the NIST PQC standardization of additional digital signature schemes and recently selected as a second round candidate. In this work, we discuss the security points mentioned in the first round report of NIST. Furthermore, we provide a new method of the key recovery attacks on QR-UOV over the base fields utilizing the QR structure. We show that this proposed method is corresponding to existing attacks performed over the extension fields and does not reduce the security of QR-UOV compared with the previous estimation.
3A2-3
On the Reference Implementation of QR-UOV and its Revised Version
○Fumitaka Hoshino(University of Nagasaki) 、Hiroki Furue(NTT Social Informatics Laboratories) 、Yasuhiko Ikematsu(Kyushu University) 、Tsuyoshi Takagi(The University of Tokyo) 、Haruhisa Kosuge(NTT Social Informatics Laboratories) 、Kimihiro Yamakoshi(NTT Social Informatics Laboratories) 、Rika Akiyama(NTT Social Informatics Laboratories) 、Satoshi Nakamura(NTT Social Informatics Laboratories) 、Shingo Orihara(NTT Social Informatics Laboratories) 、Koha Kinjo(NTT Social Informatics Laboratories)
Furue et al. proposed a post-quantum signature scheme called QR-UOV, and submitted it to the post-quantum cryptography standardization process for additional digital signature schemes. Recently NIST announced that 14 candidates, including QR-UOV, have advanced to the second round of the process, and encouraged the designers of QR-UOV to further optimize their implementation. In response to this encouragement, the designers decided to tweak the specification of QR-UOV and revise their implementation. In this talk, we illustrate the details of this update and evaluate its effect.
3A2-4
The Security of ML-DSA against Fault Attacks
○Haruhisa Kosuge(NTT Social Informatics Laboratories) 、Keita Xagawa(Technology Innovation Institute)
ML-DSA (FIPS204) is based on Fiat-Shamir with aborts and supports deterministic and hedged signature generation. The concept of hedged Fiat-Shamir and its security model were introduced by Aronha et al. (EUROCRYPT 2020). The EUF-fCMNA (existential unforgeability under faults, chosen message and nonce attacks) security model extends the standard EUF-CMA model to incorporate fault injection on the signing procedure. The EUF-fCMNA model assumes adversarial capabilities to inject faults into a certain intermediate bit value. Hedging enhances security against fault attacks by introducing additional randomness and has been proven EUF-fCMNA-secure for some critical fault injections in the random oracle model (ROM). Subsequently, Grilo et al. (ASIACRYPT 2021) extended this result to the quantum random oracle model (QROM). Despite these advancements, the EUF-fCMNA security of ML-DSA has not been formally analyzed. As a result, the extent to which hedging in ML-DSA mitigates fault attacks remains unclear. To address this gap, we analyze the EUF-fCMNSA security of ML-DSA by modifying the EUF-fCMNA model to account for its loop iteration and unique per-signature randomness generation. This analysis specifies the types of faults for which the EUF-fCMNSA security of ML-DSA can be proven.
3A2-5
不定方程式の求解問題に基づくデジタル署名
○秋山 浩一郎(株式会社 東芝)
多項式環上で定義された非線形不定方程式の求解問題に基づくデジタル署名方式を提案する。同問題は量子計算機による効率的な解法が知られておらず、非線形問題であることから、線形問題に基づく格子署名や符号署名と比較して署名サイズを大幅に削減できる可能性を有する。本稿では、不定方程式署名の構成上の特徴について述べ、提案方式のアルゴリズムを示すとともに、安全性解析に基づいて得られたパラメータについてデジタル署名長や鍵長を示す。

3B2 共通鍵暗号 (5) 1月30日(木) 11:00~12:40
座長:井上 明子 (NEC)
3B2-1
Correlation Matrixを用いたSPNブロック暗号における弱鍵に関する考察
石塚 慶太(三菱電機株式会社) 、阪本 光星(三菱電機株式会社 / 兵庫県立大学) 、◎芝 廉太朗(三菱電機株式会社 / 名古屋大学)
線形解読法に対する共通鍵暗号の安全性評価の古典的な解析手法にCorrelation matrixによるものがある.近年,Beyneらの研究により,線形解読法以外の攻撃の安全性評価においてもCorrelation matrixは有用であることが示されている.しかしながら,先行研究は固定鍵仮定に基づいて行われており,秘密鍵が共通鍵暗号の安全性に与える影響は十分に考察されてはいない.本研究では,秘密鍵の値がSPN型ブロック暗号の安全性に与える影響をCorrelation matrixを用いて評価する.具体的には,秘密鍵の値が特定の仮定を満たす場合,線形層の攪拌処理の影響を無視でき,暗号全体の線形相関が非常に高い値になることを示す.さらに,この仮定においてワード単位の演算で構成されるSPNブロック暗号についてテンソル積を用いることでCorrelation matrixを簡易的に表現できることを示す.
3B2-2
関連鍵差分攻撃に耐性をもつAES-256の鍵スケジュールの設計
◎川上 翔馬(兵庫県立大学) 、田中 篤(兵庫県立大学) 、石川 達也(兵庫県立大学) 、髙 和真(NICT) 、五十部 孝典(兵庫県立大学)
本稿ではAES-256の鍵スケジュールを改良し,関連鍵差分攻撃に対して高い安全性をもつ新たな構成を示す.具体的には,AES-NIを用いたソフトウェア実装の処理を解析し,特定の演算を削減した鍵スケジュールの構成が,より多くの非線形演算を含む構成と等価であることを示す.この構成を採用することで,ソフトウェアの処理速度の向上とともに安全性を大幅に向上可能であるとこを明らかにする.さらに,特定の関数の引数を変更することによっても,安全性の向上が可能であることを示す.この構成は,ソフトウェアおよびハードウェア実装において同等の性能を維持しながら,安全性を向上させることが可能である.
3B2-3
AESベースのラウンド関数の改良とその評価
◎名古屋 太一(兵庫県立大学) 、田中 篤(兵庫県立大学) 、白矢 琢朗(兵庫県立大学) 、石川 達也(兵庫県立大学) 、五十部 孝典(兵庫県立大学)
本論文では、AESベースのラウンド関数の改良案を提案する。具体的には、AEGIS等のラウンド関数のパイプライン処理について詳細に解析することにとより、演算を実行してない待ち時間が複数あることを明らかにする。この待ち時間にXORの演算を組み込むことで、従来の速度を担保したまま、安全性を向上させるアプローチをとる。結果として、AEGISについては、速度を維持したまま差分攻撃に対する安全性を向上可能な構成を示す 。
3B2-4
Integral識別子の多項式表現に基づいた代数的理解に向けて
◎神戸 祐太(三菱電機株式会社) 、相川 勇輔(東京大学) 、阪本 光星(三菱電機株式会社) 、芝 廉太朗(三菱電機株式会社)
近年, 準同型暗号やゼロ知識証明, マルチパーティ計算の効率的な実装を目標として, 従来とは異なる代数構造の上に最適化されたArithmetization Oriented (AO) 暗号と呼ばれるブロック暗号の設計方針が注目されている. AO暗号に共通した問題として, 従来のブロック暗号に対する安全性評価手法がAO暗号に直接的に適用できないため, 一般的な安全性の指標が得られていないことが挙げられる. AO暗号は効率化のために単純な代数構造をもつことが多く, そのことに着目した様々な代数攻撃が考案されている. 他方では, 共通鍵暗号に対する代表的な安全性評価手法であるIntegral攻撃が, いくつかのAO暗号において安全性評価手法として用いられている. しかしながら, これらの安全性評価手法が, どのような代数構造に由来して可能となっているのかは分かっておらず, 個々の方式に強く依存した散発的な議論が繰り返されているのが現状である. そこで, 本研究では代数的手法に基づきAO暗号の安全性の一般的性質を取り扱うため, 近年与えられたWang-TangのIntegral攻撃の定式化に則り, Integral攻撃を代数的問題として捉えなおし, 考察を行う. その結果, 任意の有限体上において成立する, Integral識別子の構成要素の個数が満たすべき条件を導いた.
3B2-5
DNDK-GCMのKey-Committing安全性解析
◎鳥羽 凌史(名古屋大学) 、岩田 哲(名古屋大学)
AES-GCMはNIST標準の認証暗号方式であり,現在最も広範に利用されている方式の1つである.しかし,AES-GCMにはナンスが短くランダムナンスの利用に適さない,Key-Committing安全性を満たさない等の制限がある.これらの制限を解決する方式として,DNDK-GCMがGueronによりNIST Accordion Cipher Mode Workshop 2024にて提案された.これは192ビットのランダムナンスをサポートし,Key-Committing安全性の有無を選択できる方式である.DNDK-GCMのKey-Committing安全性は256ビットのKey Commitの値に依存しており,攻撃には$2^{128}$の計算量がかかることが期待される.本論文では,256ビットのKey Commitを利用するDNDK-GCMのKey-Committing安全性を解析する.

3C2 多機能署名 (1) 1月30日(木) 11:00~12:40
座長:吉野 雅之 (日立製作所)
3C2-1
メッセージ依存開示可能グループ署名を用いたタイムリリース暗号の構成
◎井村 優斗(金沢大学) 、江村 恵太(金沢大学)
グループ署名とは, グループに所属していることを匿名で証明可能な電子署名の一種であり, その拡張方式としてメッセージ依存開示可能グループ署名(GS-MDO: Group Signatures with Message-Dependent Opening)がSakaiら (Pairing 2012) により提案されている. 本論文では, GS-MDOからタイムリリース暗号(TRE: Timed-Release Encryption)が一般的に構成できることを示す. なおSakaiらはGS-MDOからIDベース暗号 (IBE: Identity-Based Encryption) の一般的構成を与えており, さらにNakaiら (IWSEC 2009), Matsudaら (Pairing 2010) によりIBEからのTREの一般的構成が与えられている. すなわち我々は実現可能性の視点からは新たな結果を与えたわけではない. しかしこれらTREのIBEからの一般的構成を通すことなくGS-MDOから "直接" TREが構成できるということ, さらに提案TRE方式の暗号文はグループ署名であるため, 通常のTRE方式ではサポートされない公開検証可能性も付加されることから, 我々の結果はそれだけGS-MDOが強い暗号要素技術であることを示したものであると言える.
3C2-2
グループ署名の追跡可能性について
○江村 恵太(金沢大学)
匿名性と追跡可能性をみたす暗号技術としてグループ署名が知られている. グループ署名と他の暗号技術との関係性に関して, 多数の結果が報告されているが, いずれも (様々なレベルの) 匿名性に着目したものである. 例えば完全匿名性を満たすグループ署名から公開鍵暗号が構成できることや, セルフレス匿名性を満たすグループ署名は一方向性関数と非対話ゼロ知識証明から構成できることなどが示されている. 本論文では, グループ署名の追跡可能性に着目する. Bellare-Micciancio-Warinschi (BMW) モデルから追跡可能性における攻撃成功条件の一つである "攻撃者は正当かつその開示結果がコラプトされていないユーザとなるグループ署名を出力する" ことを除いた場合, グループ署名が公開鍵暗号のみから構成できることを示す. なおこの構成は検証アルゴリズムが常に1を出力するという実用上意味のないものであることに注意されたい. この結果より, " コラプトされていないユーザが存在すること" が追跡可能性において核となる条件であることがわかる. さらにグループ署名から公開鍵暗号を構成した際の公開検証可能性について, BUFF (Beyond UnForgeability Features) 安全性を参考にした新たな定義を与える. この安全性定義では, 公開検証に通る暗号文の復号結果が公開鍵にて規定される平文空間の値となることを保証する. さらに完全追跡可能性を満たすグループ署名から公開検証可能公開鍵暗号が構成できることを示す.
3C2-3
NymCreds: 仮名クレデンシャルシステムの安全性と構成
○山本 暖(株式会社インターネットイニシアティブ) 、須賀 祐治(株式会社インターネットイニシアティブ) 、佐古 和恵(早稲田大学)
匿名クレデンシャルシステム (Anonymous Credential System, ACS) は,ユーザが匿名性を保ちながら属性を第三者に証明できるシステムである.ユーザは自身の属性に発行者の署名が付与されたクレデンシャルを受け取り,その一部を隠しつつ第三者に真正性を示すことができる.ACSの一部には,異なるコンテキスト間ではリンク不能だが,同一コンテキスト内ではリンク可能なコンテキスト特化型仮名を併用した提案もある.これはSybil攻撃の防止や秘密鍵の不正コピーの検知に有用であるにもかかわらず,あくまでACSの一追加機能という位置付けであり,仮名についての厳密な安全性定義は議論されていなかった.本稿では,コンテキスト特化型仮名の利用を前提とした新たなACSとして 仮名クレデンシャルシステム (Pseudonymous Credential System, NymCreds) を定式化し,Linkable Indistinguishable Tag,タグベース署名,非対話ゼロ知識証明を用いた一般的構成と,BBS署名を基にした具体的構成を提示する.提案構成では,クレデンシャルごとの追加の秘密保持を不要とし,従来のACSよりもユーザの秘密管理負担を軽減できることも示す.
3C2-4
Predicate Aggregate Signatureの格子からの実現可能性
穴田 啓晃(明治学院大学) 、○福光 正幸(長崎県立大学) 、長谷川 真吾(福島大学)
Qui, Tangは, Asiacrypt 2023にてPredicate Aggregate Signatureという新たな集約署名の概念を提唱した. これは, 複数の異なる各文書に対し複数人が署名を生成していた状況において, これらの署名を集約する署名技術であり, さらに, 各文書に対する全署名に関する情報について, 事前に指定された述語を満たす事実以外は知られないようにできる. 彼らはペアリングベースの実例を提案したが, これは量子コンピュータへの耐性がない. そこで本稿では, 量子コンピュータへの耐性を考慮し, Predicate Aggregate Signatureの格子からの構成の実現可能性について議論する.
3C2-5
リング署名の部分体双線形衝突問題に基づく構成に向けて
○穴田 啓晃(明治学院大学) 、福光 正幸(長崎県立大学) 、長谷川 真吾(福島大学)
本稿では部分体双線形衝突問題の計算量的困難性に基づき安全なリング署名スキームを構成する.その構成はMPC-in-the-Headの正直検証者ゼロ知識証明プロトコルの構成を経由する.

3D2 カードベース暗号・物理暗号 (2) 1月30日(木) 11:00~12:40
座長:中井 雄士 (豊橋技術科学大学)
3D2-1
Mizuki-Shizuyaモデルとその周辺
○品川 和雅(茨城大学/産業技術総合研究所) 、縫田 光司(九州大学/産業技術総合研究所)
カードベース暗号とはカード組を用いて暗号技術を実現する研究分野である。Mizuki-Shizuyaモデルはカードベースプロトコルの計算モデルであり、この分野における標準的なモデルである。一方、Mizuki-Shizuyaモデルに含まれないプロトコルもこれまでに提案されてきている。既存のモデルを大きく二つに分類すると、プロトコル中に公開操作のみ行うモデルと、秘匿操作を許すモデルに分けられる。Mizuki-Shizuyaモデルは前者であり、秘密情報を保持する主体としてのプレイヤはプロトコルの定義に現れない。本稿では、Mizuki-Shizuyaモデルと同じく公開操作のみ行うモデルたちを分類・整理する。本稿で扱う具体的なモデルとしては、上下カード、正多角形カード、偏光板カード、不可視インクカード、部分開示操作、天秤プロトコル、公開型PEZプロトコル、コインプロトコルがある。
3D2-2
カードベース暗号における効率的な平方根計算と相関分析への応用
◎小高 駿(千葉工業大学) 、駒野 雄一(千葉工業大学)
カードベース暗号は、整数を$\blk$と$\red$の二種類のカードで符号化して表現し、入力を秘匿したまま秘密計算などの暗号プロトコルを実現する技術である。加減乗除算を伴う秘密計算においては、整数をバイナリ整数コミットメントを用いて二進数として符号化し、ビット演算を組み合わせて計算することが一般的であるが、ビット演算ごとにシャッフルなどのカード操作が必要であった。我々はCSS2024およびSecITC2024において、整数コミットメントを用いて整数を符号化し、乗除算を効率よく計算する秘密計算アルゴリズムを提案し、平均やクロス集計などを計算する統計処理へのカードベース暗号への応用を議論した。本論文では、新たに整数の平方根を計算する秘密計算アルゴリズムを提案し、カードベース暗号を相関分析にまで応用可能とする。また、相関係数を計算するために新たに整数の絶対値を計算するアルゴリズムを提案するとともに、従来の秘匿乗算アルゴリズムの改良手法も提案する。
3D2-3
カードを用いる桁表記された整数コミットメントと加算プロトコル
◎猪狩 紫雲(千葉工業大学) 、小高 駿(千葉工業大学) 、駒野 雄一(千葉工業大学) 、水木 敬明(東北大学)
カードベース暗号は、整数を黒と赤の二種類のカードで符号化して表現し、入力を秘匿したまま秘密計算などの暗号プロトコルを実現する技術である。整数の秘匿加算に関しては、整数コミットメントを利用して少ないシャッフル数で和を計算するプロトコルが知られているが、加算結果よりも大きな数の枚数のカードを用意する必要がある。本論文は、より少ない枚数のカードで整数を表現できるように整数コミットメントを拡張し、拡張したカード表現における秘匿加算プロトコルを提案する。また、拡張した整数コミットメントを巡回セールスマン問題の物理的ゼロ知識証明プロトコルに適用し、その性能を評価する。
3D2-4
辺を用いたグラフ自己同型シャッフルについて
◎佐々木 翼(茨城大学工学部) 、宮本 賢伍(茨城大学学術研究院応用理工学野)
秘密暗号は個々のデータを暗号化したまま計算処理を実行する暗号技術である。カードベース暗号は秘密計算を物理カード組を用いて実現する暗号の研究分野である。Miyamoto-Shinagawaはグラフの自己同型写像が引き起こす頂点間の並び替えによるシャッフルを実現するグラフ自己同型シャッフルを提案した。 しかし、グラフの自己同型写像は有向辺の間にも置換をもたらす。本稿では、頂点に対してカードを配置するのではなく、有向辺にカードを配置するような新たなグラフ自己同型シャッフルを提案する。有向辺に対してカードを配置し、補助カードを利用してカードの並べ方を工夫し、カードにパイルスクランブルシャッフルを用いることで、頂点数がn、辺の数がmのグラフに対して2m+n枚のカードで3回のパイルスクランブルシャフルで動作を終えることができるようなプロトコルを作成した。今回提案したプロトコルによって始点と終点が同じ辺に対してもシャッフルを施すことができる。
3D2-5
2枚の追加カードを用いた多入力AND秘密計算における非閉シャッフルの回数
◎河又 彰吾(東北大学) 、水木 敬明(東北大学)
カードベース暗号分野では最近,追加カードを2枚に固定したn入力ANDプロトコルについて,シャッフル回数の削減が進んでいる.この問題の自明なシャッフル回数の上界はn-1である.CANS 2023にてYoshidaらは,Mizuki-SoneのANDプロトコルにShinagawa-Nuidaのバッチング技術を応用することで,n-1よりも少ないシャッフル回数のプロトコルを示した.次いで,SCIS 2024にて石崎と品川は,一般化パイルスクランブルシャッフルやブランチング技術を用いるとシャッフル回数を更に削減できることを示した.また,小泉らはCSS 2024にて,コミットメント半減プロトコルの使用によるシャッフル回数の削減可能性を示唆している.これらの既存研究ではパイルスクランブルシャッフルが用いられているが,本稿では非閉シャッフルの使用を許容するとし,どこまでシャッフル回数を減らせるかに取り組む.具体的には,Kuzumaらのシングル非閉シャッフルプロトコルをベースとして,本問題の設定におけるシャッフル回数を求める.これにより,カードベース暗号プロトコルの計算限界の解明の一助とする.

3E2 制御システムセキュリティ・組み込みセキュリティ (1) 1月30日(木) 11:00~12:40
座長:澤田 賢治 (電気通信大学)
3E2-1
SARIMAによる基準波形に基づくIoTデバイス異常動作検知手法
◎江田 琉聖(早稲田大学) 、戸川 望(早稲田大学)
近年,Internet of Things(IoT)デバイスの普及に伴い,ハードウェアデバイスのセキュリティ課題が増加している.ハードウェアデバイスの異常動作を検知する手法として,消費電力を解析する手法がいくつか提案されている.IoTデバイスは通常同じ動作を繰り返し実行するため,消費電力波形が周期的になると想定され,定常的な時系列データの解析に使用されるSARIMAがその異常動作の検知に有効と考えられる.本稿では,SARIMAによる基準波形に基づくIoTデバイス異常動作検知手法を提案する.提案手法は,オートエンコーダを用いて測定した消費電力波形からアプリケーション電力波形を抽出する.その後,得たアプリケーション電力波形よりSARIMAを用いて基準波形を生成し,比較することで異常動作を検知する.提案手法をRaspberry Pi4を用いて実装したIoTデバイスに適用した結果,SARIMAにより精度の高いアプリケーション電力波形の基準波形を生成し,異常動作の検知に成功した.
3E2-2
組み込み機器に対するソフトウェア印加の要求仕様策定に向けた 脅威分析と課題提起
○橋本 啓太郎(産業技術総合研究所) 、井手口 恒太(産業技術総合研究所) 、伊東 真理(産業技術総合研究所) 、小川 知之(産業技術総合研究所) 、佐藤 眞司(産業技術総合研究所) 、辛 星漢(産業技術総合研究所) 、吉田 博隆(産業技術総合研究所)
機器の製造段階において初めてソフトウェアをハードウェアに書き込むことを印加と呼び、我々は印加におけるセキュリティ要求仕様書の作成を進めている。スマートカードでは、ICチップの製造段階から始まる印加に対するセキュリティ要求仕様書が存在し、これを利用したセキュアな印加が行われている。一方で、組み込み機器では最終製品の製造段階でセキュリティが十分考慮されずに印加が行われている場合がある。後者の印加に対し公的に利用可能なセキュリティ要求仕様書を我々は把握できておらず、本稿ではこれを検討の対象とする。まず、組み込み機器の最終製品製造段階における印加のフローを書き起こし、印加時の脅威分析を行う。特に、組み込み機器のICチップ周りで起こりうる脅威のみならず、製造サイトで起こりうる脅威も分析する。分析の結果をふまえ、組み込み機器の最終製品製造段階での印加における課題を提起する。
3E2-3
セキュリティ分析のための制御システムプロトコルのパケット解釈技術
○大庭 達海(パナソニック ホールディングス) 、岡田 裕幸(パナソニック ホールディングス)
産業制御システム(ICS)環境では多様かつ複雑な通信プロトコルが利用されており,セキュリティインシデントを監視,分析,対処するセキュリティオペレーションセンター(SOC)のアナリストにとってプロトコルの理解は大きな課題となっている.従来の監視ツールや技術では,ICS プロトコルのパケットを解釈しユーザにわかりやすく伝えることが難しい.そこで本稿では大規模言語モデル(LLM)を活用した ICS プロトコルのパケットの要約生成手法を提案する.提案手法では ICS プロトコルのパケットに対し「パケットのコマンド種別に応じた情報を提供するデータベース」と「ICS プロトコルの仕様書情報を用いた Retreaval-Augmented Generation (RAG) 」を効果的に組み合わせることで要約に適したコンテキストを抽出する.抽出されたパケットの生データとコンテキストが LLM への入力として使用され,ユーザー向けに簡潔なパケットの要約情報が生成される.実験ではこの技術を ICS プロトコルのBACnet/IP や OCPP に適用し、要約の生成と生成された要約の評価を実施し,ナイーブな手法と比較して提案手法が優れたパフォーマンスを発揮することを検証した.
3E2-4
充電制御プロトコルOCPPにおける攻撃シミュレーション機能の検討
◎田崎 元(パナソニックホールディングス株式会社) 、大庭 達海(パナソニックホールディングス株式会社) 、山口 高弘(パナソニックホールディングス株式会社)
OCPPはEVの充電ステーションにおいて充電管理システムが多様なベンダーの充電設備との通信を規定したプロトコルの1種である.特にOCPP v1.6は多くの充電器で採用されている規格であるが,暗号化や認証の規定が無く,ネットワーク内に侵入した攻撃者にとっては改竄や挿入攻撃が容易である.OCPPに対する攻撃手段について検討された論文は複数存在するが,検討された攻撃の実機に対する効果の検証や,検知ロジックの性能評価を実施できる環境は一般に普及していない.本稿では検討された攻撃パターンを再現するOCPPの攻撃シミュレーション機能の要件に関する検討と,この機能の活用による開発の展望を示す.
3E2-5
攻撃通信の合成による制御システムのセキュリティ対策の擬似評価
◎戸田 康介(株式会社東芝) 、前田 智紀(株式会社東芝) 、青木 慧(株式会社東芝) 、小椋 直樹(株式会社東芝) 、中西 福友(株式会社東芝)
近年,産業制御システムがサイバー攻撃の標的となっており,特に重要インフラを保有する事業者においては侵入検知システムのように不正アクセスを監視するようなセキュリティ対策の導入が要請されている.実環境にセキュリティ対策を導入する上では,検知ルールや閾値を適切に設定し,セキュリティ対策に期待される検知性能を担保することが重要である.本研究では,運用上実際の攻撃を伴う試験が困難なシステムに対して導入したセキュリティ対策の実機評価をすることを目的とし,通信パケットなどのサイバー攻撃の痕跡のみを用いて擬似的に攻撃通信を再現してセキュリティ対策の動作を検証する攻撃痕跡生成技術を提案した.制御システムを模擬したシステムに対して4種類のIDSを導入して7件の攻撃を実際に行った際の検知結果と提案手法を適用して生成した擬似的な痕跡を用いてテストしたときの検知結果を比較する実験を行い,正解率が 0.905,適合率 0.704 という結果を得,IDS の実機評価のために提案手法を活用できる見込みを得た.

3F2 ウェブセキュリティ 1月30日(木) 11:00~12:40
座長:成田 匡輝 (岩手県立大学)
3F2-1
「電子現金」に関する技術面からの一考察
○田村 裕子(日本銀行) 、阿部 正幸(NTT社会情報研究所) 、奥田 哲矢(NTT社会情報研究所) 、津川 天祐(NTT社会情報研究所) 、宮澤 俊之(NTTサービスイノベーション総合研究所) 、山村 和輝(NTT社会情報研究所) 、赤羽 喜治(NTTデータ) 、田口 智貴(NTTデータ) 、平栗 勇人(NTTデータ) 、増田 博人(NTTデータ) 、山田 健斗(NTTデータ)
本稿では,1990年代に盛んに研究開発が行われた「電子現金」について,その技術的側面から考察を行う.電子現金は,現金に見立てた電子データの送受信によって決済を行う手段であり,台帳を用いた現行の決済サービスとは一線を画す.1990年代にはいくつかの実証実験が行われたが,当時の技術水準ではユーザビリティを確保することが難しく,実現には至らなかった.そこで,本稿では,この間の技術進展および社会ニーズを踏まえて電子現金方式の再整理を行うとともに,スマートフォンを用いた実機検証を通して,ユーザビリティの高い電子現金サービスを提供できる可能性があることを示す.また、電子現金のさらなるユーザビリティ向上とプライバシ強化に向けた方式についても考察を行う.なお,本稿はあくまで電子現金にかかる技術面からの考察を行うものであり,法律や制度,実運用等,社会実装に向けた実現可能性は検討の対象外であることには留意されたい.
3F2-2
Google検索エンジンに登録されているGoogleドメインURLの悪用に関する調査
◎宮地 麟(東京電機大学大学院) 、齊藤 泰一(東京電機大学)
近年,Google検索エンジンに悪性サイトへ誘導するURLが登録されており, フィッシングサイトなどへの誘導事例が報告されている.その中でGoogle が保有するドメインを持つURLが登録され,悪性サイトへ誘導されていることを発見した.www.google.com/supported_domainに記載されているドメイン(例えば.google.com)のサブドメインとしてadserviceを追加したFQDN(例えばadservice.google.com)を,site演算子を用いて検索すると検索結果に悪性サイトにリダイレクトされるリンクが大量に現れる.これらを収集してRobotic Process Automationを用いてアクセスし,最終ページに至る遷移経路を観測した.また,最終ページが悪性であるかどうかは,Symantec社のWebPulseサイト評価リクエストを用いて判定した.その結果,収集した最終ページの約62.6%で悪性であると判定された.本稿は,これらのGoogleに登録されたURLを調査し,どのような攻撃キャンペーンが行われているかを調査し報告することを目的とする.
3F2-3
高精度大規模言語モデルとの組み合わせによる低精度大規模言語モデルの解析精度改善
○浅井 俊晴(NTT社会情報研究所) 、松田 亘(NTT社会情報研究所) 、中津留 毅(NTT社会情報研究所)
近年,ChatGPTをはじめとする大規模言語モデル(LLM)が急速に進化し,その実用性が様々な分野で注目を集めている.LLMの高度なテキスト処理能力を活用し,生成,翻訳,分類といった幅広いタスクに応用されており,サイバーセキュリティ分野においても,マルウェアの解析や悪意のあるWebサイトの判定といったタスクへの適用の研究が活発に行われ,良い精度が示されている. 一方で,このような解析タスクに高精度なLLMを用いた場合,ソースコードのような長大な情報を扱う際には相当のコストを要し,低精度のLLMを用いる場合は解析の精度が低く,ハルシネーションが発生する危険性がある. これに対し,本研究では,低精度LLMと高精度LLMの組み合わせにより低コストで良い精度を得る手法を提案する. 本手法では,実解析を低精度LLMによって行い,その結果の精査,及び追加確認等を高精度LLMから行うことで,高精度LLMに大きなコストかけずに低精度LLMによる解析精度を改善する. 実験では悪性なWebサイトの判定の精度を検証し,本手法によって精度が改善されることを示した.
3F2-4
安全なリモート署名の構成方法に向けて
○満保 雅浩(金沢大学) 、櫻井 幸一(九州大学)
デジタル署名は電子商取引や電子契約、記録文書、更には、資格確認など様々な場面で利用される技術であり、それらの署名生成処理を遠隔の機関がサポートするサービスが普及していくと予想されている。これを受けて、欧州を中心にデジタル署名に係る新しい枠組みとしてリモート署名が検討されている。日本においてはデジタル化を促進する効果も期待される。既存のリモート署名の多くは実用化重視であり、標準化と実装の開発が先行して行われている。例えば、署名者の鍵をクラウドに代表される遠隔の機関に預け、遠隔機関が署名者の代わりに署名を行うという仕組みなどが検討されている。しかし、秘密鍵の取り扱いを含めた安全なリモート署名の構成方法についての議論は十分ではない。本論文では、暗号学術系での技術蓄積のあるプロキシ暗号技術やプログラム難読化などとの係り合いの観点から、リモート署名の構成に係る課題について議論を行う。
3F2-5
模擬オンラインバンキングサイトを用いたテクニカルサポート詐欺の攻撃手法の分析及び攻撃者口座情報の収集
○山田 歩(国立研究開発法人情報通信研究機構) 、高田 賢一(一般社団法人日本サイバー犯罪対策センター) 、千葉 俊明(一般社団法人日本サイバー犯罪対策センター) 、影山 徹哉(一般社団法人日本サイバー犯罪対策センター、株式会社ラック) 、青木 太一(一般社団法人日本サイバー犯罪対策センター、富士通ディフェンス&ナショナルセキュリティ株式会社) 、笠間 貴弘(国立研究開発法人情報通信研究機構)
我々はテクニカルサポート詐欺の攻撃手法解明や攻撃者の特定に資する情報を収集するための研究開発を実施している.本稿では,攻撃者が採用する多様な金銭詐取の手法の一つとしてオンラインバンキングの利用に着目し,被害者環境を模した解析環境内に実際のオンラインバンキングを模したWebサイトを構築することで,攻撃者がオンラインバンキングを通じて金銭を詐取する攻撃手法の解析と攻撃者口座情報の収集を試みた結果について報告する.構築した解析環境を用いて2024年9月から11月の間,計4回にわたってテクニカルサポート詐欺の攻撃者とやり取りを行った結果,攻撃者が使用する口座情報及び攻撃者が詐取しようとした金額などのデータを収集できた.収集したデータを分析した結果,ギフトカードでの金銭詐取を行う際とは攻撃者の言動等が異なることが明らかになったほか,オンラインバンキングを利用する際には攻撃者自らが振込操作を実施して攻撃者口座に数百万円もの高額を振り込むなどの手法が取られていることが確認でき,このような攻撃者の手法の影響が近年のテクニカルサポート詐欺の1回当りの被害金額を増加させている要因であることが強く示唆された.

3G2 プライバシ保護 (2) 1月30日(木) 11:00~12:40
座長:菊池 浩明 (明治大学)
3G2-1
2値行列データに対する$k^m$-匿名化手法の有用性実験
◎小林 雅弥(神奈川大学大学院) 、藤岡 淳(神奈川大学) 、千田 浩司(群馬大学) 、永井 彰(NTT社会情報研究所) 、安田 幹(NTT社会情報研究所)
本稿では,小林らが提案した$k^m$-匿名化手法(KFC匿名化手法)において,各種パラメータ(テーブルのレコード数や要素の生成確率など)の変更による匿名化成功確率の変化を調査する. 深層学習やデータマイニングの研究・開発が進む中,個人情報を含んだビッグデータの利用需要が高まってきている一方,直接利用時に伴う当人のプライバシ侵害が発生する懸念がある. そこで,ビッグデータにおいて個人特定を防ぐための安全性としてTerrovitisが$k^m$-匿名性を提案し,様々な匿名化手法が現在まで考案されてきた.これらの手法は基本的に一般化を用いていることから,2値データに使用することが出来なかったが,KFC匿名化手法の提案により,直接的な書き換えを用いることで2値データの匿名化の実施を行えるようになった.しかし,この手法は,一部データに対して匿名化が失敗してしまう場合がある. そのため,各種パラメータの変更を用い,KFC匿名化手法における匿名化成功確率を検証することで,より汎用的に$k^m$-匿名化手法を扱えるよう調査する.
3G2-2
プライバシー保護連合学習のための継続学習モデルの提案
◎北野 優斗(神戸大学) 、井上 広明(神戸大学) 、王 立華(情報通信研究機構) 、小澤 誠一(神戸大学)
現代において、複数の組織で日々生成される分散データを有効活用するために、プライバシー保護連合学習の枠組みで継続的な学習を実現することは重要な課題である。本研究では、この課題に対応するため、データが継続的に与えられる環境に適応可能な新たな継続学習型連合学習モデルを提案する。提案モデルでは、忘却を抑制するため、勾配が大きいデータを優先的にリサンプリングし、次の学習で活用する。しかし、勾配をそのまま組織間で共有すると、モデル反転攻撃に対して脆弱であることが判明した。そこで、勾配のヒストグラムを共有する仕組みを導入し、プライバシーを保護しつつ安全にリプレイデータを選択可能にした。またこの手法に対する評価を行った結果、モデル反転攻撃によるデータ漏洩のリスクが低減され、プライバシー保護と継続学習性能を両立できることが示された。
3G2-3
プライバシーとレイテンシを考慮したダイナミックスプリットコンピューティング
◎伊勢 賢史朗(東京科学大学 工学院 情報通信系 学士4年) 、原 祐子(東京科学大学 工学院 情報通信系 准教授)
近年、Deep Neural Network(DNN)では様々な画像認識タスクにおいて優れた能力を発揮している。しかしDNNモデルの大規模化により、計算資源やメモリの制約があるエッジデバイスで要求された時間内にDNNモデルを実行することは難しくなっている。この課題を解決するため、DNNモデルを制約のあるエッジデバイスと計算資源の多いサーバで分割し、協調的に処理を行うことで推論時間の最小化を目指すSplit Computing(SC)や、通信条件に応じてSCの最適な分割点を動的に決定するDynamic SC(DSC)という技術が提案され注目されている。SCやDSCでは、エッジデバイスからサーバに分割点の中間出力を送る必要がある。これまで中間出力は入力に比べてプライバシ性が高いと考えられていたが、中間出力から入力を推測するモデル逆攻撃が近年提案された。そのため、SCやDSCの分割点の決定には、プライバシおよび通信時間を含めた総推論時間の両者を考慮する必要がある。本研究では上記の問題を解決するため、SC向け差分プライバシをDSC向けに拡張する手法を提案する。提案手法はDSCの設計方法によらず適用可能であり、中間出力に対して初めてプライバシを考慮したDSC手法である。
3G2-4
Privacy-Preserving Inference of Machine Learning Models without Retraining
◎Sato Guilherme(Institute of Science Tokyo) 、Wakaha Ogata(Institute of Science Tokyo)
This work investigates the application of fully homomorphic encryption (FHE) to privacy-preserving machine learning, specifically focusing on reproducing traditional models and reusing existing parameters. Machine Learning as a Service (MLaaS) allows businesses to outsource machine learning tasks. However, ensuring data privacy in this context remains a significant challenge. Although many works propose a solution to this problem, none of them simultaneously meet our goal of security, privacy, consistency with existing architectures, and backward compatibility with existing training parameters. To tackle this issue, this research proposes a non-interactive, fully homomorphic encryption-based system for executing convolutional neural networks (CNN) privately, ensuring that data remains encrypted throughout the entire process. The proposed system effectively manages homomorphic operations' restrictions and computational overhead. Experimental results demonstrate the robustness of the proposed system, achieving a high agreement with the plaintext model with only a minimal drop in accuracy on the CIFAR-10 and ImageNet datasets. This highlights the minimal impact of encryption noise on model performance.
3G2-5
LLMを用いたプライバシーポリシー自動要約の有効性評価
◎新田 耕大(広島市立大学大学院) 、稲村 勝樹(広島市立大学大学院情報科学研究科/ 東京電機大学サイバーセキュリティ研究所)
プライバシーポリシーは,Webサイトユーザにプライバシーの権利を通知する重要な手段である.しかし,これらの文書は多くの場合,長文で複雑な構造を持ち,一般のユーザが理解するのは困難である.その結果,多くのユーザは内容を十分に理解しないまま同意してしまう傾向がある.本研究では,大規模言語モデル(LLM)を用いてWebサイトのプライバシーポリシーを自動要約する際の有効性を調査した.具体的には,TOS;DRプロジェクトのアノテーション情報からデータセットを作成し,LLMが生成した要約文の品質を重要情報の保持および可読性の観点から分析した.これにより,LLMによるプライバシーポリシー要約の可能性と課題を明らかにすることを目指す.

3A3 耐量子計算機暗号 (4) 1月30日(木) 13:30~15:10
座長:池松 泰彦 (九州大学)
3A3-1
改良BJMM法とその拡張によるNIST PQC符号暗号の高信頼な安全性評価
○成定 真太郎(KDDI総合研究所) 、上村 周作(KDDI総合研究所) 、岡田 大樹(KDDI総合研究所, 東京大学) 、相川 勇輔(東京大学) 、福島 和英(KDDI総合研究所)
シンドローム復号(SD: Syndrome Decoding)問題は符号暗号の安全性の基盤であり,Information Set Decoding (ISD)がSD問題の解読手法として広く知られている.符号暗号の安全性評価には,SD問題の実時間の計算量解析が不可欠である.本稿では,符号の次元がkである準巡回SD問題に対して,実用的なISDである改良BJMM法 (成定ら,ISC '24)を√k倍高速化する拡張を提案する.また,この手法を用いて,NIST PQC標準化の第4ラウンドにおける全ての符号暗号について実環境で計算量解析を行う.具体的には,(i) CryptographicEstimators (Esserら,ASIA CCS '24)に基づくビット計算量の評価,(ii) 暗号解読コンテストの記録に基づく評価,(iii) 各暗号方式と同サイズのSD問題の求解実験に基づく評価を実施する.その結果,実装可能なメモリ制限下(12GB)において,Classic McElieceのカテゴリ3の安全性が18ビット不足することを確認した.加えて,Decoding Challengeの未解読問題であるQC-3366の解読に成功したことを報告する.
3A3-2
固定重み最近傍探索問題に対する量子回路設計に向けて
◎狩野 智紀(芝浦工業大学) 、成定 真太郎(KDDI総合研究所) 、齋藤 和広(KDDI総合研究所) 、渡部 昌平(芝浦工業大学)
符号ベース暗号は, シンドローム復号問題を安全性の根拠としている. このシンドローム復号問題の効率的な求解アルゴリズムとして,Information Set Decoding (ISD)が知られている. Both・May(PQCrypto ’18)は, 最近傍探索を用いて, 既知のISDの中で最も漸近計算量が小さいBoth–May (BM) 法を提案した. Esser (IMACC ’23) は, BM法を正しく解析することで,漸近計算量を 2^{0.0885n} から 2^{0.0951n} に修正した. また, BM 法に対して固定重み最近傍探索問題を導入することで, 漸近計算量の改善の可能性を示唆した.本研究では, 固定重み最近傍探索問題に対して, Groverのアルゴリズムを用いた量子アルゴリズムを提案する. さらに, 具体的な量子回路の構成を明らかにするとともに, 提案手法の回路計算量を導出する. 我々の提案手法におけるオラクル呼び出し回数の最悪時計算量は O(2^{n/2}) であり, 全探索のO(2^{2 n})と比較して 4 乗加速となる.
3A3-3
Efficient Time-Memory Trade-Offs for Both-May Information Set Decoding Algorithm
◎Hiroki Furue(NTT Social Informatics Laboratories) 、Yusuke Aikawa(The University of Tokyo)
Code-based cryptography is based on the difficulty of the syndrome decoding problem (SDP) and is one of the promising candidates for post-quantum cryptography. Information set decoding (ISD) is known as one of the most efficient frameworks for solving SDP. For the evaluation of the security of code-based schemes, it is important to estimate the time complexity in the situation where the amount of memory consumption is limited. In this work, we propose a new variant of the Both-May algorithm which is known as the fastest ISD. The proposed algorithm achieves more efficient asymptotic time-memory trade-offs compared with the original Both-May algorithm and existing time-memory trade-off versions of other ISDs.
3A3-4
三元体上の高ハミング重みシンドローム復号問題に対するRepresentation法の性能評価
◎若尾 武史(東京大学) 、相川 勇輔(東京大学) 、成定 真太郎(KDDI総合研究所) 、高木 剛(東京大学)
シンドローム復号問題 (SDP) の困難性は符号暗号の安全性の根拠である.SDPを解く手法としてInformation Set Decoding (ISD) があり,重要な研究対象と見なされている.その研究の中で,分割統治法,多段化,Representation法などのテクニックが開発された.実際,これらの手法を取り入れることで,二元体上の低ハミング重みSDPに対するISDの漸近計算量が改善するという事実が知られている. 一方で近年になり,高ハミング重みSDPに関しては,ディジタル署名 Wave方式で利用され,符号暗号の解読チャレンジのカテゴリになるなど,注目を集めている.高ハミング重みSDPに対する解読手法の研究論文は多くはないが,2019年のBricout et al. では三元体の高ハミング重みSDPに対してRepresentation法を用いることを提案している.しかし,そこでは計算量の詳細な解析がなされておらず,数値実験の結果も示されていない.そこで本研究では,三元体の高ハミング重みSDPに対するRepresentation法の成功確率を計算し,それとともに数値実験を行うことで,Representation法を従来通り用いても高ハミング重みSDPに対して効果的ではないことを示す.
3A3-5
シンドローム復号問題に対する実用的な計算量解析
◎若杉 飛鳥(EAGLYS 株式会社) 、多田 充(千葉大学)
符号ベース暗号は,耐量子計算機暗号の1つと考えられている.多くの符号ベース暗号方式は,シンドローム復号問題 (SDP) という計算問題を安全性の根拠としている.SDP では,パリティ検査行列およびシンドロームと呼ばれる,それぞれ有限体上の行列とベクトルが与えられる.SDP に対して,現状最善と考えられているアルゴリズムが Information Set Decoding (ISD) アルゴリズムである.ISD アルゴリズムの多くは,サブルーチンとして,ガウスの消去法を用いる.本稿では,SDP の具体的なインスタンスが与えられたとき,ISD アルゴリズムを用いて,SDP の解の個数を算出する.また,次の3つの場合の Information Set の分布を明らかにする.1つ目が,ガウスの消去法で階段行列を生成できない場合,2つ目が,SDP の重み条件を満たさない場合,3つ目が,SDP の解となる場合である.さらに,シンドロームとパリティ検査行列を変化させた場合でも同様の考察を行い,これらの構成と SDP の解の個数の関連を議論する.

3B3 数論応用 (3) 1月30日(木) 13:30~15:10
座長:安田 雅哉 (立教大学)
3B3-1
NTRU 格子ベース Hash-and-Sign 署名方式に対する Cold Boot 攻撃の検討
◎海原 央翔(京都大学) 、ティブシ メディ(NTT社会情報研究所) 、阿部 正幸(NTT社会情報研究所)
NISTによる耐量子暗号標準化計画において,4つの耐量子暗号アルゴリズムが標準化対象として選定されており,うち3つは格子暗号に基づくものである.将来のセキュリティの基盤技術となりうる格子暗号に対しては特に,あらゆる手段を使って脆弱性を突く攻撃者の存在を想定した上で安全性を評価していくことが重要となる.本論文では,過去に提案された格子ベースの署名アルゴリズムDLPに対しての攻撃を検討する.DLPには秘密鍵の情報を冗長な形式で保持する特徴があり,一定の割合の情報が損失しても全体を復元できる可能性がある.そこで,本研究ではDLPに対して電源を切った後のコンピュータメモリ上に残る情報から機密情報を復元する手法である Cold boot 攻撃を試みた.これは浮動小数点数で表現された格子暗号のトラップドアに対する初めての効果的な攻撃手法の提案であり,結果として2つの行列からなる秘密鍵のうち少なくとも一方の情報が取得できれば高い確率で元の鍵を復元できることを示した.本研究の知見は,標準化対象の耐量子署名アルゴリズムFALCONへの攻撃の足掛かりとしても1つの可能性を示すものである.
3B3-2
Module-LWE問題に対する量子多標的BDD列挙法
◎西村 佑介(東京大学) 、高安 敦(東京大学)
最短ベクトル問題を解く量子列挙法はAonoら (Asiacrypt'18)によって提案され,その量子回路やコストがBaiら (Asiacrypt'23)やBindelら (Crypto'24)によって解析されるなど近年注目を集めている.KyberなどのNISTが標準化を決定した方式は,LWE問題に代数構造を入れたModule-LWE問題をベースとしており,櫻井と高安(ISEC'23)は代数構造を利用して標的ベクトルを増やした高速化解法である多標的BDD列挙法を提案した.本研究では,Baiらの手法をもとに量子多標的BDD列挙法を提案する.具体的には,どの標的ベクトルも同じ格子基底に対する探索であることを利用して共通する計算を省略し,また探索木を集約することで計算量を削減している.さらに,Kyberのパラメータにおける計算量を見積もり,代数構造を利用しない量子BDD列挙法や素朴な量子多標的BDD列挙法よりも提案手法が効率的であることを確認する.例として,Kyber512, Kyber768のパラメータにおいて,提案手法は代数構造を利用しない量子BDD列挙法の32倍程度の高速化を達成する.
3B3-3
有限環上のLCD符号から得られる格子の同型問題について
◎西村 優作(早稲田大学大学院数学応用数理専攻) 、高島 克幸(早稲田大学 教育・総合科学学術院) 、三枝崎 剛(早稲田大学 理工学術院)
近年、格子同型問題に基づく耐量子計算機暗号が提案されている。Ducas-Gibbonsによって、LCD符号から構成法Aで得られる格子に対し、hull攻撃と呼ばれる格子同型問題解法が考案された。 この手法により、それらの格子の同型問題がZ^n格子の同型問題およびグラフ同型問題へと帰着できることが示された。 Ducas-Gibbonsの研究では有限体上の符号から得られる格子のみが対象とされていたが、 本稿では、より一般的な場合として、整数kに対して有限環Z/kZ上の符号から得られる格子に対するhull攻撃法を考察する。 特に、kが素数の冪で表される場合において、格子同型問題をZ^n格子の同型問題およびグラフ同型問題へと帰着できることが判明したため、その結果を紹介する。
3B3-4
Study of Accelerating Lattice-Based Cryptography with Ascend AI Processor
○Ye Yuan(Huawei International Pte Ltd) 、Lanhe Gao(Huawei International Pte Ltd)
In lattice-based cryptography, including schemes that are constructed based on hard problems over algebraic structured or unstructured lattices, the main algebraic operations are matrix multiplication or number theoretic transformation (NTT). These calculations are widely recognized as performance bottlenecks, given most software and hardware implementations focus on optimizing them. Generally, optimized implementation necessitates devices with powerful vectorization and parallelization computing capabilities. We've noticed that some AI inference and training devices are equipped with dedicated hardware units for matrix multiplication, which can achieve high-performance mixed precision multiply-accumulate operations. In this paper, we present methods for performing efficient large-integer matrix multiplication and NTT by using such matrix computation units. We implemented large-integer matrix multiplication of FrodoKEM and Scloud+ (which is a new lattice-based KEM), and NTT with different dimensions and moduli on Atlas 800 AI server. The test results show that our methods offer superior performance, particularly for large-dimensional data. For single-operator execution, our implementation still demonstrates better performance compared to the state-of-the-art approaches on CPUs.
3B3-5
近傍グラフを用いたLattice Sieveの提案と理論解析
◎安達 瞭(東京大学) 、相川 勇輔(東京大学) 、高木 剛(東京大学)
格子の最短ベクトル問題(SVP)に基づく格子暗号は,CRYSTALS-Kyberが暗号化,CRYSTALS-Dilithium, FALCONがディジタル署名としてNISTが定める標準化方式に選ばれているように,耐量子計算機暗号の重要な研究対象である.SVPを解く効率的な手法として,2008年にNguyen, VidickはNV Sieveを発表した.NV Sieveをハッシュに基づく最近傍法(Hash-based NNS)で高速化した手法としてBeckerらによって提案されたLD Sieveがあり,現在漸近的に最も高速にSVPを解くアルゴリズムである.さらに,2021年にKirshanova, Laarhovenは,Hash-based NNSによるNV Sieveの改良の中では,LD Sieveがtime-memory trade-offとして最適であることを示した.本稿では,近年NNSの手法として研究が盛んになっているグラフに基づく最近傍法(Graph-based NNS)を用いたSieveの高速化について検討する.2018年にLaarhovenによってGraph-based NNSを用いたSieveの高速化の可能性は提案されているが,グラフの構築の時間を無視している問題点があった.本研究では近似版$k$-近傍グラフ(approx k-NN Graph)を用いることでその問題点を解消し,理論的計算量を導出した.また,実用的に速い手法であると期待されているMunozらによる階層クラスタリングに基づくNNSの手法をSieveに導入し、計算量の更なる削減の可能性について議論した.

3C3 多機能署名 (2) 1月30日(木) 13:30~15:10
座長:穴田 啓晃 (明治学院大学)
3C3-1
リングアダプタ署名とその安全性
○梶田 海成(東京大学/NHK) 、高安 敦(東京大学/産業技術総合研究所)
アダプタ署名は,2017 年に Andrew Poelstra らが Scriptless Script のコンセプトの下で提案し,後に Aumayr らによって独立の暗号プリミティブとして定式化された署名技術であり,paymentchannel network (PCN),atomic swap などのブロックチェーンアプリケーションのビルディングブロックとして機能している.各アプリケーションで要求される追加の性質を満たすために,これまでに検証可能性や匿名性などの性質を持つ高機能なアダプタ署名がいくつか提案されている.しかし,Gerhart らはEUROCRYPT 2024 において,アダプタ署名はアプリケーションによって満たすべき安全性が異なることを指摘している.そこで本稿では,匿名性を考慮した atomic swapのためのリングアダプタ署名の構成はこれまでに存在しない点に着目し,N to N atomic swap と呼ばれるアプリケーションへ応用可能なリングアダプタ署名を考察する.我々は署名者のプライバシー保護を可能とするリングアダプタ署名の一般的構成を示し,満たすべき安全性を定義する.そして,提案リングアダプタ署名を用いることで匿名性を保証可能な N to N atomic swap を構成可能であることを示す.
3C3-2
複数検証者指定リング署名の一般的構成
◎藤田 祐輝(大阪大学) 、原 啓祐(産業技術総合研究所 / 横浜国立大学) 、橋本 啓太郎(産業技術総合研究所) 、山下 恭佑(大阪大学 / 産業技術総合研究所)
複数検証者指定リング署名(Multi Designated Verifier Ring Signature, MDVRS)とは,指定された複数の検証者だけが検証を行える複数検証者指定署名に匿名性を付与した方式であり,近年Kolbyら(IACR CIC 2024)によって提案された.KolbyらはMDVRSに必要な5つの性質を定式化し,それらを満たす方式を離散対数仮定に基づいて構成した. 本稿では,まず,Kolbyらの定義したMDVRSの性質のいくつかが弱いことを指摘し, より理想的な攻撃状況を捉えた定義を与える. 次に, リング署名,公開鍵暗号,非対話ゼロ知識証明というよく知られたプリミティブを用いて, 新たなMDVRSの一般的構成を示す. この構成はKolbyらの定義した安全性よりも強い安全性を満たすことを証明する.本稿の結果により,これらの標準的なプリミティブを得られる様々な計算量仮定から直ちにMDVRSの構成が可能になる.
3C3-3
監査ログシステムに適した指定確認者墨塗署名
◎廣瀬 温貴(千葉工業大学) 、駒野 雄一(千葉工業大学)
企業経営が正しく行われていることを社会やステークホルダーに対して示すために、監査は 必要不可欠である。近年、ブロックチェーンを利用した監査ログシステムも検討されているが、第三者 が閲覧可能なブロックチェーン上に不必要な情報を開示すると企業の不利益につながるため、情報の開 示範囲の適切な制御が必要である。一方、監査内容に疑義が生じた場合には裁判所などの信頼できる第 三者が非開示とされた情報を確認できることが望ましい。そこで本論文は、一部の情報を秘匿しつつ監 査文書の正当性を保証し、問題が発生した場合には信頼できる第三者がその情報を確認できる指定確認 者墨塗署名方式を提案する。さらに、本論文は方式の安全性を定式化するとともに、方式の一般的構成 を与えて安全性を証明する。本方式を監査ログシステムに適用した場合には、情報の開示範囲の制御が 可能となることに加えて、後の確認を抑止力として監査文書の信頼性を向上することができる。
3C3-4
キーエスクロー問題に対応した格子に基づくIDベース署名
◎中村 祐輝(横浜国立大学大学院) 、原 啓祐(横浜国立大学大学院) 、佐藤 慎悟(横浜国立大学大学院) 、四方 順司(横浜国立大学大学院)
デジタル署名は、なりすましやコンテンツの改ざんを防ぐための暗号技術として広く使われている。ID ベース署名(IBS)は、鍵生成局 (KGC) がユーザに紐づいた任意のIDに対する署名鍵を発行することにより、そのIDを検証鍵として検証に使用できる代表的な高機能なデジタル署名技術である。IBS を実社会に導入するにあたって解決すべき課題の1つとして、キーエスクロー問題が挙げられる。キーエスクロー問題とは、IBS において KGC が全てのIDに対応する秘密鍵を生成するモデル上、KGCが潜在的に全ての署名を偽造することができてしまうという問題である。 本論文では、キーエスクロー問題を解決した新たな IBS として、ID 認証局 (ICA) と呼ばれる新たなエンティティを導入することで KGC に対して匿名での鍵生成を実現した定式化と格子に基づいた構成を提案する。我々の定式化は、ID ベース暗号 においてキーエスクロー問題を解決した Emuraら (ESORICS 2019) の定式化に基づいており、その構成は Lyubashevsky (EUROCRYPT2012) のSIS仮定の下での署名方式に基づいたものである。
3C3-5
鍵準同型擬似ランダム関数を用いた鍵準同型署名の構成に向けて
◎渡邉 耀仁(東京科学大学)
鍵準同型署名とは、ある秘密鍵で生成された署名を別の秘密鍵を用いて生成した署名に変換可能な方式であり、二つの鍵の差分を知っていれば変換可能である。生体情報を用いた署名方式であるファジー署名や複数ユーザーが共同で署名するマルチ署名などの構成要素として使われている。鍵準同型署名はSchonorr署名やBLS署名など具体的な構成法は知られているが、一般的な構成法が知られていない。本稿では、鍵準同型擬似ランダム関数と識別不可能難読化器を用いた構成法を与える。

3D3 デジタルアイデンティティ・認証 (3) 1月30日(木) 13:30~15:10
座長:高橋 健太 (日立製作所)
3D3-1
連結かつ譲渡不可能な選択開示手法
○岩花 一輝(NTT社会情報研究所) 、菊池 亮(NTT社会情報研究所)
近年, 新たなデジタル証明書としてVerifiable Credential (VC) が注目を集めている. 従来の証明書とは異なり, VC では, VC 保有者のプライバシを保護するために, 発行されたVC を提示する際に必要な情報のみを選択して開示する選択的開示が可能となる. この選択的開示では, VC 保有者が2 回以上選択開示した際に各属性が紐づけられない連結不可能性と, 本来の保有者ではない人が選択的開示できない非譲渡性を満たすことが必要不可欠である. しかし, これら2 つの性質を同時に満たすことは単純には難しい. 例えば, VC 提示者が本来の保有者であるかを本人認証することで非譲渡性は満たされるが, 2回以上提示してしまうと連結不可能性を満たすことができない. 本稿では, 連結不可能性と非譲渡性を両立した新たな選択的開示方式を提案する. 具体的には, 選択的開示時に, ランダマイズ化したVC 提示者の識別子を開示し, 本来の識別子とVC に記載されている識別子が同じであるというゼロ知識証明を行う. 代表的な署名方式BBS+署名を元に, 本提案手法の性能を実験的に示す.
3D3-2
Revisiting the Comparison of Digital Signature Algorithms for Unlinkable Selective Disclosure
◎Takumi Otsuka(Waseda University) 、Shigeo Mizuno(Waseda University) 、Ken Watanabe(Waseda University) 、Masato Tsutsumi(Waseda University) 、Kazue Sako(Waseda University)
This study revisits the comparative analysis of digital signature algorithms for unlinkable selective disclosure, integrating the BBS and Protego signature schemes into the evaluation. Building on prior research that examined CL, BBS+, and PS signatures, this work provides an updated perspective on their computational efficiency, key and signature sizes, and zero-knowledge proof performance. By evaluating the practical feasibility and efficiency of these additions, this study offers new insights for designing scalable solutions in verifiable credentials and anonymous authentication.
3D3-3
Issuer-Hiding Verifiable Credentialsの実装と考察
◎水野 重弦(早稲田大学) 、渡邉 健(早稲田大学) 、山本 暖(株式会社インターネットイニシアティブ) 、佐古 和恵(早稲田大学)
Verifiable Credentials (VC)において連結不可能な選択的開示は,ユーザのプライバシーを保護する概念として重要な技術である.しかし,現在標準化されているVerifiable Presentation (VP)ではIssuerを隠すことができないために,Issuerの情報でユーザが秘匿したい属性が推測される場合,ユーザのプライバシーを十分に保護できないことがある.そこで, Issuerの情報を隠したままVPを行うIssuer-Hidingの方式が複数提案されている.本論文では、Issuer-Hidingの方式のうち、Verifierが信頼できるIssuerのリストをHolderに提示し,Holderがその中にVCのIssuerがいることを証明するVerifier's Trusted Issuer List型の方式で使用するVCおよびVPのフォーマットを提案する.また,Issuer-hidingの方式を実装し,今後実用にあたっての課題について検討する.
3D3-4
Verifiable Credentialsの保有者向け秘密鍵管理デバイスにおけるBBS署名のゼロ知識証明生成の効率化と実装
◎渡邉 健(早稲田大学) 、山本 暖(株式会社インターネットイニシアティブ) 、佐古 和恵(早稲田大学)
Verifiable Credentials(VC)では、発行者の署名により第三者がVCに記載された内容の完全性を検証できる。 そして、VCが確かに特定の主体に発行されたことを保証する仕組みとして、バインディングと呼ばれる仕組みがある。バインディングの一例として、発行時にVCとその保有者の秘密鍵を紐づける方式が挙げられる。我々の先行研究では、このバインディングの方式を実現するための秘密鍵管理デバイスを開発した。具体的には、秘密鍵を格納するUSBデバイスに実装を行ったが、搭載されているCPU性能が低く、メモリ容量が小さいため、BBS署名を用いたゼロ知識証明の生成にかかる処理時間が実用的な範囲を超える問題があった。本研究では、秘密鍵に関連する演算のみをデバイス内部で処理し、その他の計算をデバイスを利用する計算資源の豊富なクライアントで分担し、全体のゼロ知識証明生成時間を大幅に短縮するプロトコルを提案し、実装を通して評価を行う。
3D3-5
「格子に基づく実用的な匿名認証フレームワーク」の実態
◎森下 慶也(早稲田大学) 、大塚 巧巳(早稲田大学) 、佐古 和恵(早稲田大学)
J.Bootleらは実用的かつ量子耐性を持つAnonymous Credentialとして格子上の問題に基づいた方式を提案した。この提案の中で証明サイズが非常にコンパクトであることは示されているが、その実行速度に関しては属性数に比例することにしか触れられていない。本論文ではJ.Bootleらの提案による、格子に基づいた実用的かつ量子耐性を持つAnonymous Credentialを一部実装、実行時間を測定し、実装していない部分に関してはパラメータから実行時間を推定することで、プロトコル全体の実行速度の推定を行った。また、得られた結果から現状の課題を分析し、社会実装における問題点を明らかにする。

3E3 制御システムセキュリティ・組み込みセキュリティ (2) 1月30日(木) 13:30~15:10
座長:大庭 達海 (パナソニックホールディングス)
3E3-1
Formal and Experimental Verification of Robot Control Protocols for Smart Buildings
○Jingting Wu(Japan Advanced Institute of Science and Technology) 、Razvan Beuran(Japan Advanced Institute of Science and Technology)
With the increasing complexity of IoT systems, assuring the IoT system trustworthiness has become a critical work. Based on the IoT System Trustworthiness Levels (TALs) classified by Beuran, this paper reports a case study on assuring robot control protocols of a smart building to meet high trustworthiness levels through formal verification and experimental verification. Our formal verification focuses on model checking, ensuring the safety and liveness properties of protocols hold. Our experimental verification focuses on simulation and fuzzing, identifying unexpected problems. We comparatively analyzed the two results, identified eight types of problems, proposed improvement plans, and reverified to meet high trustworthiness levels. The results show that the two methods have a certain complementarity. This paper also reports a idea that combines simulation and model checking.
3E3-2
制御システムに対する尤度比検定の2次漸近解析に基づく攻撃検知
◎西内 達哉(電気通信大学) 、田中 崇資(電気通信大学) 、渡邉 洋平(電気通信大学) 、岩本 貢(電気通信大学) 、澤田 賢治(電気通信大学) 、新 誠一(キャノンメディカルシステムズ株式会社)
機械学習を用いた制御システムの通信攻撃検知では,相対エントロピーが閾値設定の基準として広く利用されている.多くの場合,誤検知率(第1種誤り確率)や検知漏れ確率(第2種誤り確率)を小さくするために,試行錯誤的に閾値補正が行われている.これに対し,著者らは誤り確率を最小化する理論的な閾値設定方法について調査を進めてきた.標本長さが十分に大きい場合には,実機評価における攻撃検知の性能限界がSteinの補題に近づく閾値設定方法を提案した.一方,標本長さが十分でない場合には,実機評価においてSteinの補題が示す性能限界よりも良い結果が得られる可能性を示した.本稿では,検知漏れ確率に対して2次漸近解析を適用し,標本長さと閾値設定の関係を詳細に解析する.この解析により,Steinの補題が示す検知漏れ確率の2次モーメント以降の情報を取り出し,標本長さに対する検知漏れ確率特性をより厳密に評価する.実験では,制御系通信(Modbus TCP通信)の遅延時間に影響がある攻撃を対象とした尤度比検定を考える.2次モーメント情報を含めて閾値設定を行った尤度比検定の検知器の,標本長さに対する検知性能を実機評価する.
3E3-3
制御システムのデータ駆動モデルと数理モデルによる脆弱性評価
○岡村 望夢(電気通信大学) 、澤田 賢治(電気通信大学) 、久野 倫義(三菱電機) 、宮内 茂人(三菱電機)
制御システムへのサイバー攻撃が増加する中,攻撃を前提とした制御システムの安全性確保が一層求められている.安全性を確保するためには脆弱性の早期発見が重要であり,制御システムの脆弱性は情報的特性と物理的統制の両面から発見する必要がある.本研究では制御システムのデータ駆動モデルと数理モデルを用いることで,多面的な脆弱性の評価を目指す.各モデル生成にはブーリアンネットワークを用いる.データ駆動モデルでは制御プログラムのタグデータとセンサデータから生成する.数理モデルは制御プログラムとセンサの入出力関係に注目したブール関数から生成する.各モデルの状態遷移系列を比較することで想定していない状態遷移系列やデッドロックなどを検出し,制御システムの脆弱性を評価する.本論文では各モデルの生成手順とモデル間の評価手法について,鉄道制御の模擬システムを例に報告する.
3E3-4
ロボットミドルウェアを用いたロボットネットワークセキュリティの最適化
◎磯野 玄光(SecHack365 / 神奈川工科大学) 、今岡 通博(SecHack365 / 今岡工学事務所) 、横山 輝明(SecHack365 / 国立研究開発法人情報通信研究機構) 、三枝 亮(神奈川工科大学)
近年,ロボットの適用範囲は産業分野から医療福祉や飲食業などのサービス分野へ拡大し,様々な環境や場面でのロボットの活用が期待されている.ロボットの業界ではROS(Robot Operating System)が標準的なミドルウェアシステムとして普及しており,2017年にROS2が公開されてノード間の認証や通信の暗号化に関する機能が追加された.しかしながら,セキュリティの強度はノードごとの機能や目的に対応して設定されていないため,ロボットの行動制御で重要な実時間性を損なう可能性がある.本研究では,ロボットの行動目的や取り扱うデータの重要度に応じてロボットネットワークのセキュリティ強度を最適化する方法を提案する.最適化の指標としてノードごとにフレームレートを導入し,フレームレートを満たすようにセキュリティ強度を制御する.これにより,ロボットのセキュリティと行動制御の実時間性を両立させることができる.また,人環境で活動するロボットへの実装を目的として,人との衝突リスクを考慮した運動制御に関する指標や,人から採取した個人情報のデータ管理に関する指標を含めたセキュリティの最適化についても検討する.
3E3-5
eASICを用いたハードウェアIP保護手法:RISC-Vへの適用事例
◎小棚木 凜太朗(東京科学大学) 、一岡 知佑(東京科学大学) 、楊 明宇(東京科学大学) 、原 祐子(東京科学大学)
近年,半導体の集積度はますます高まり,それに伴い製造コストも高騰している.このような状況を受けて,IC企業は設計のみを行い,製造は第三者ファウンドリに委託するケースが増えているが,ファウンドリによる過剰生産や海賊版の製造などが深刻な問題となっている.この対策として,ICカモフラージュやロジックロッキングといった保護手法が提案されたが,SAT攻撃の登場により多くの保護手法が突破された.それ以来,SAT攻撃に対して耐性を持った保護手法が数多く提案されてきた.本研究ではeASICを使ったIC保護手法に注目した.eASICは,ASICの一般的な論理ゲートに加え,回路を製造した後でも論理を再構成できる回路素子であるLUTも用いるICである.元となるASICの一部をLUTに置換すれば,LUT構成を適切に設定しない限り,回路は正常動作しない.さらにLUTを組み込む際に回路中にダミーのループ構造を作ることで,SAT攻撃はさらに難しくなる.本研究では,LUTとループ構造を組み合わせたeASICを応用することでSAT攻撃耐性を高めるIC保護手法を,RISC-Vプロセッサに適用し,回路面積や遅延とセキュリティのトレードオフの関係を評価した.

3F3 教育・心理学 (1) 1月30日(木) 13:30~15:10
座長:竹村 敏彦 (城西大学)
3F3-1
選択理論に基づく詐欺マニュアルの分析と防御策の考案
◎松田 美慧(情報通信研究機構,横浜国立大学) 、角尾 幸保(東京通信大学)
本稿は,詐欺罪で逮捕された犯罪者が情報商材として販売していた詐欺マニュアルを題材に,詐欺のコミュニケーション戦略について,選択理論に基づく分析を行ったものである.当該マニュアルは,特定の標的(「おぢ」と呼称される中高年男性)に対し,金銭的な支援を自発的に申し出るように促す言動や人物像の設定などについて,具体的な例示を有する.本研究では,詐欺を働く攻撃者が標的との信頼関係を構築する方法と,信頼関係を構築した後に金銭的な要求をする方法に焦点を当て,分析を行う.具体的には当該マニュアルから両方法に関する例文を抽出し,(1)詐欺を働く攻撃者の行為,(2)標的の全行動(思考/行為/感情/生理反応)を構造化データとして対応付け,標的に知覚された世界や行為の目的等の考察を与える.本研究の成果は,詐欺行為に関する理解を深め,詐欺の防止や注意喚起への寄与が期待される.
3F3-2
電子投票における参加者の戦略選択に基づくセキュリティリスクに関する一考察
○上繁 義史(長崎大学) 、櫻井 幸一(九州大学)
AIBC2024で著者らは強制者が支配下にある投票者の行動を監視することを想定した場合,既存研究の電子投票において,耐強制性が保証できないことを明らかにし,現行の投票所における相互監視の機能を盛り込む必要性について議論した。本稿では,この考察を進め,強制者,投票者,投票所の管理者において,AIの支援の有無による影響を想定した場合の戦略選択によって,電子投票システムのセキュリティリスクがどのように変化するかを考察する。
3F3-3
情報セキュリティ教育におけるビジュアルノベルのモチベーション向上効果の一検証
◎原野 恒太(長崎県立大学) 、寺田 剛陽(長崎県立大学) 、桑村 雅之(エムオーテックス株式会社) 、花見 太樹(エムオーテックス株式会社) 、中本 琢也(エムオーテックス株式会社)
近年、私たちの生活では情報化が進み、あらゆるものがインターネットに繋り、企業だけでなく一般人にもセキュリティ教育が必要な時代となっている。そのため、セキュリティ教育の必要性が年々増してゆく今日、現在では様々な手段で学習が可能になっている。しかし、専門用語が数多く存在するため、学習効果に関係するモチベーションの確保が困難になると考えた。2010年以降、ゲームの要素を応用して様々な分野に活かすゲーミフィケーションが注目・導入されており、事例として『Minecraft』や『KIPS』、シリアスゲームなどがある。しかし、環境を構築するのにコストがかかり、モチベーションを保つことが困難であるなど課題は様々である。そこで、物語の中でプレイヤー自身が選択肢を選ぶことで、物語の展開・結末が変化するノベルゲームに注目し、教育ツールとして自作ノベルゲーム『SECURITY QUEST』を作成した。そして、比較対象としてeラーニング形式の教材も用意し、様々な属性を持った社会人と学生を対象に、教育効果やモチベーションなど様々な観点から評価し、情報セキュリティ教育としてノベルゲームが優れているか検証した。
3F3-4
DNSおよびBGPネットワークを含めた情報セキュリティ演習システムの試作
○砂原 悟(公立千歳科学技術大学) 、中田 亮太郎(一橋大学)
インターネットを支えるBorder Gateway Protocol には経路情報の正当性を検証する仕組みがなく、経路ハイジャックなどの脆弱性が深刻な問題となっている。本研究では、BGPネットワークのセキュリティ演習を実現するため、コンテナ仮想化技術を用いた演習システムを構築した。この演習環境は、任意のAS番号やIPアドレスの割り当て、脆弱性のPoC再現、DNS機能の提供を可能とし、ブラウザ経由で簡易にアクセスできる設計となっている。検証の結果、仮想環境がBGP経路ハイジャックや脆弱性攻撃のシミュレーションを正常に再現できることを確認した。
3F3-5
スマートホームセキュリティ演習システムの赤外線通信仮想化の試み
仲間 大祐(琉球大学) 、○城間 政司(琉球大学) 、仲地 孝之(琉球大学) 、名嘉村 盛和(琉球大学) 、田久保 順(株式会社マストトップ) 、荻野 司(ゼロワン研究所/情報セキュリティ大学院大学)
IoT機器に対するサイバー攻撃の脅威が高まっており、IoT分野におけるセキュリティ人材の育成が喫緊の課題となっている。我々は、スマートホーム環境を模擬的に構築し、その環境でセキュリティ検証を行うためのツールを含む演習システムを開発してきた。しかし、この演習システムは特定のハードウェアに依存して動作するため、調達コストや演習シナリオの柔軟性に課題がある。この課題に対し、我々はこれまでにWi-Fi通信やアプリケーションの仮想化を設計・実装してきた。本稿では、演習システムの仮想化における課題であった赤外線通信および関連機器の仮想化について、その設計と実装を述べる。

3G3 AIセキュリティ (4) 1月30日(木) 13:30~15:10
座長:三浦 尭之 (NTT社会情報研究所)
3G3-1
表情認識システムに対する 一画素攻撃の欺瞞力強化
Kumar Pramod ( PDPM Indian Institute of Information Technology, Design and Manufacturing, Jabalpur) 、Gamini Gayatri ( PDPM Indian Institute of Information Technology, Design and Manufacturing, Jabalpur) 、Seal Ayan ( PDPM Indian Institute of Information Technology, Design and Manufacturing, Jabalpur) 、Mohanty Sraban Kumar ( PDPM Indian Institute of Information Technology, Design and Manufacturing, Jabalpur) 、張  海波(九州工業大学) 、○櫻井 幸一(九州大学)
表情認識 (Facial Expression Recognition, FER) は、人間の顔に描かれた感情表現を識別および分類することを目的とした画像処理タスクである。目や口などのさまざまな顔の特徴を分析し、それらを怒り、恐怖、驚きなどの一連の感情に対応付けることにより、感情を判断する処理を自動化することを目的とする。FER は、顔の監視、健康管理、データ駆動型動画など、実世界での多様な応用により、最近の研究トピックとして注目を集めている。 敵対的攻撃は 10 年以上前に発見され、すでに多数の研究が行われている。しかし、FER システムを標的とした攻撃に関する研究はまだ初期段階にある。 元祖一画素攻撃では、差分進化 (Differential Evolution, DE) を利用して顔画像を検索し、最も関連性の高い画素を見つけ、深層学習モデルを欺くために撹乱画像を生成する。ただし、画像全体の検索には時間のかかる作業である。また、顔の無関係な領域から画素を選択すると、ブラックボックス攻撃の場合は成功率が低下する可能性もある。 本研究では、既存の差分進化手法を改良して検索時間を短縮し、標的型攻撃と非標的型攻撃の 2つの攻撃シナリオでの成功率を向上させる手法を提案する。さらにFER システムでの実験結果を報告する。
3G3-2
顔なりすまし攻撃検知手法に対するバックドアポイズニング攻撃の検討
◎岩松 翔太(東北大学 大学院情報科学研究科) 、伊藤 康一(東北大学 大学院情報科学研究科) 、青木 孝文(東北大学 大学院情報科学研究科)
高性能な顔認証は,環境変化やノイズに強い耐性を有するため,ユーザの顔写真などを提示すると,そのユーザになりすまして不正に認証されてしまう可能性がある.なりすまし攻撃を防ぐためには顔認証を行う前に入力画像がなりすましであるかを検知する必要がある.現在までに提案されている検知手法は,深層学習を用いているため,膨大な数の学習データが必要である.そのため,学習データの一部に誤検知を引き起こすデータが混入されると,なりすまし攻撃を誤検知する可能性がある.顔認証に対するなりすまし攻撃検知において,以上のようなバックドアポイズニングの危険性があることを示すために,本稿では,なりすまし攻撃に用いられる顔画像から抽出された特徴量を本物の顔画像に埋め込むことで,特定のなりすまし攻撃を検知させないバックドア攻撃を提案する.顔画像の見た目を変えることなく,別人の特徴量を埋め込んでポイズニングデータを作成するため,システム管理者などがバックドア攻撃に気づくことは困難である.公開データセットを用いた提案手法の性能評価実験を通して,顔認証のなりすまし攻撃検知に対するバックドアポイズニングが脅威になり得ることを示す.
3G3-3
物体検出モデルに対する転移性を用いたゼロクエリブラックボックス攻撃
◎川澄 浩平(茨城大学) 、米山 一樹(茨城大学)
物体検出モデルにおいて冗長な検出結果をフィルタリングするためにNon-Maximum Suppression(NMS)が一般的に用いられている。NMSを回避して検出される偽のバウンディングボックスの数を増加させることによって誤検出を誘発させるホワイトボックス敵対的攻撃が知られている。本稿では、より実現可能性の高いブラックボックス環境下の脅威モデルにおける敵対的攻撃を目的とする。具体的には、ホワイトボックスアクセス可能な複数のサロゲートモデルでアンサンブルを行うことで普遍的な摂動(Universal Adversarial Perturbation, UAP)を作成し、そのUAPを用いてブラックボックス環境下のターゲットモデルに対して攻撃を行うことで、転移性を利用したゼロクエリ攻撃を提案する。我々の攻撃において、サロゲートモデルに用いるモデル数を増やすことで、ターゲットモデルの誤検出率を最大約84%まで増加させることができることを示す。
3G3-4
物体検出器YOLOv8に対する敵対的パッチ生成攻撃とマルチスペクトル画像を用いた緩和手法の評価
◎奥田 将登(立命館大学) 、吉田 康太(立命館大学) 、藤野 毅(立命館大学)
敵対的パッチとは,物体検出モデルの誤認識を引き起こすために設計された視覚的パターンで,特に監視カメラや自動運転車などの実世界の応用において深刻な脅威となる.YOLOv7までの物体検出モデルに対するパッチ生成では,モデルから出力される物体らしさの尤度を下げるようにパッチを生成していた.YOLOv8 からはこの尤度が出力から除かれているため,クラス確信度を下げるような攻撃手法を実装し約40%の歩行者を非検出にできた.一方,本攻撃を防止する手法として,可視光に加えて遠赤外線を利用して物体を検出するシステムを検討した.遠赤外線は夜間の人物認識精度向上が期待できることから車載システムでも実用化が行われているが,本稿では,敵対的パッチの対策にもなりうることを期待している.すなわち,可視画像をターゲットとして印刷物等で作成されたパッチは,通常赤外線では認識されないため,これらを併用するマルチスペクトルシステムはパッチ攻撃に対して堅牢であることが期待される.実験では,可視画像と遠赤外画像を同時に入力すると攻撃成功率を約20%まで下げることができ,敵対的パッチに対する耐性が向上することが示された.
3G3-5
物体検出DNNに対するイメージセンサインターフェースMIPIへのフォルト注入によってトリガするクリーンラベルバックドア攻撃
◎田窪 拓海(立命館大学) 、大山 達哉(立命館大学) 、吉田 康太(立命館大学) 、大倉 俊介(立命館大学) 、藤野 毅(立命館大学)
物体の位置やクラスを推定する物体検出DNNに対する脅威として,学習データに悪意ある(ポイズン)データを混入させることで誤動作を誘発するバックドア攻撃がある.一般的なバックドア攻撃では,攻撃者が学習データの一部に特定の模様(トリガマーク)を追加し,誤ったラベルを付けてポイズンデータを作成する.このようなデータで学習したDNNモデルでは,トリガマーク部を新たな特定クラスの物体として認識したり(物体生成攻撃),特定のクラスの物体を消失させたりする(物体消失攻撃)ことが可能になる.一方,学習データのラベルを改ざんせずにトリガマークを追加するだけでポイズンデータを作成するクリーンラベルバックドア攻撃が報告されており,攻撃のステルス性を向上させる手段として注目されている.本稿では,イメージセンサのインターフェースであるMIPIに対する電気的フォルト注入を用いてトリガマークを挿入する.本手法を用いて,クリーンラベルポイズンデータで,物体生成攻撃や物体消失攻撃を実行できることを実験的に確認した.

3A4 耐量子計算機暗号 (5) 1月30日(木) 15:30~17:10
座長: 伊藤 琢真 (情報通信研究機構)
3A4-1
小有限体上のMQ問題のための計算量評価方法の考察
○坂田 康亮(東京大学) 、高木 剛(東京大学)
多変数多項式暗号は耐量子計算機暗号の一つであり,多変数連立二次方程式の求解(MQ問題)の困難性を安全性の根拠としている.2023年に,Sakata-TakagiはHilbert-drivenアルゴリズムとF4を組み合わせることにより,MQ問題をより高速に解く新しいグレブナ基底アルゴリズムHDF4を提案し,2024年にそのアルゴリズムの計算量評価方法を提案している.多変数多項式暗号では有限体上の多項式環を用いるため,MQ問題の解法においてその特徴を用いて解くことが可能である.それは,グレブナ基底計算の際に定義多項式を用いて計算を進めることが可能であるということであり,有限体の要素数が小さい場合に計算に影響する.また,Sakata-Takagiのアルゴリズムとその計算量評価方法では,その影響は考慮されていない.この発表では,小有限体上のMQ問題を対象とした場合に,Sakata-Takagiのアルゴリズムとその計算量評価方法がどのようになるか考察したので報告する.
3A4-2
劣決定系MQ問題の多項式時間解法について
◎浅沼 英樹(東京大学) 、坂田 康亮(東京大学) 、高木 剛(東京大学)
多変数多項式暗号は耐量子計算機暗号の 1 つであり,その安全性は有限体上において n 個の変数と m 個の多項式の共通根を求める MQ 問題の困難性を基にしている.しかし,変数の個数 n が多項式の個数 m の二次式程度となる場合の劣決定系 MQ 問題に対する多項式時間アルゴリズムが提案されている.1999 年に Kipnis らは適用範囲が n ≥ m(m + 1) となる多項式時間の解法を初めて提案し,2014年には Cheng らは深さ k を導入することで適用範囲を n ≥ m(m + 1)/2 − k(k − 1)/2 まで拡張している.本稿では,Cheng らの手法に対して深さ k の総当たりを適用することにより,適用範囲を拡張する多項式時間アルゴリズムを提案する.提案手法は,適用範囲を n ≥ m(m + 1)/2 − k(k + 3)/2 にまで拡張することが可能となり,Cheng らの手法と比較して深さ k を揃えた場合 2k だけ条件を緩和している.
3A4-3
斉次イデアルに対するGröbner基底の最大次数上界の改善と計算量評価
○工藤 桃成(福岡工業大学) 、横山 和弘(立教大学)
Gröbner基底は,多変数多項式暗号への攻撃をはじめ,有限体上の代数方程式求解に基づく暗号解読に応用されており,その計算量の評価は非常に重要である.一般に,Gröbner基底の計算量は求解次数を用いて評価されるが,入力多項式集合が斉次であって項順序が次数付き逆辞書式の場合だと求解次数は簡約Gröbner基底の最大総次数に一致する.この場合の簡約Gröbner基底の最大総次数の上界は純粋数学において研究がなされ,Lazard(Macaulay)上界がよく知られている.本講演では,斉次な多項式イデアルに対するGröbner基底の最大次数上界について,ある種の半正則仮定の下で,ホモロジー代数的な手法によって従来のLazard上界を改善する.また,半正則斉次多項式列の概念を剰余環のKrull次元が1の場合に一般化し,一般化された半正則斉次多項式列に対するGröbner基底の計算量評価式を示す.さらに,一般化された半正則斉次多項式列のgeneric性に関してFröberg予想の亜種を提示し,固定パラメータに対して我々の予想が正しいかを検証する方法を与えるとともに,一般化された半正則性をGröbner基底の計算量評価のための仮定として用いることの有用性を議論する.
3A4-4
量子計算を用いた素因数分解について
○伊豆 哲也(富士通) 、山口 純平(富士通) 、國廣 昇(筑波大学)
RSA の安全性は巨大合成数を素因数分解する問題の難しさに依存しているため, 素因数分解法の提案・検討・実装・実験状況を整理分析し, どの程度の大きさの合成数が分解できたか/分解できそうかを把握することは重要である. 本稿は, 量子計算を用いた素因数分解に関する近年の状況をまとめる. 特に新しい素因数分解法として注目されている組み合わせ最適化計算を用いた素因数分解の現状について報告する.
3A4-5
IEEE量子通信とネットワークと計算に関する国際会議(QCNC2024)参加報告
○櫻井 幸一(九大)
IEEE量子通信とネットワークと計算に関する国際会議(QCNC2024)参加報告 2024年7月1〜3日に金沢で開催された第1回IEEE量子通信とネットワークと計算に関する国際会議(QCNC2024)から量子通信や耐量子技術を中心に参加報告を行う。日本は金沢での開催であったが、実質の日本からの参加者は、数名であった。

3B4 公開鍵暗号 1月30日(木) 15:30~17:10
座長:藤崎 英一郎 (北陸先端科学技術大学院大学)
3B4-1
IND-CPA Security and Implementation of Finsler Encryption
○Tetsuya Nagano(University of Nagasaki) 、Hiroaki Anada(Meiji Gakuin University)
Finsler Encryption was discussed on its mathematical structure in detail at ICISC2023, and in particular, the proof of the indistinguishability against chosen-plaintext attacks (IND-CPA) was presented for the first time. In this paper, we reexamine and provide a concise description from the point of view of the IND-CPA security. In addition, we report on implementation using Python, and provide the execution data such as the time required for encryption and decryption of 1MB plaintext.
3B4-2
The Security of Hash-and-Sign with Retry against Superposition Attacks
○Haruhisa Kosuge(NTT Social Informatics Laboratories) 、Keita Xagawa(Technology Innovation Institute)
Considering security against quantum adversaries, while it is important to consider the traditional existential unforgeability (EUF-CMA security), it is desirable to consider security against adversaries making quantum queries to the signing oracle: Plus-one security (PO security) and blind unforgeability (BU security) proposed by Boneh and Zhandry (Crypto 2013) and Alagic et al. (EUROCRYPT 2020), respectively. Hash-and-sign is one of the most common paradigms for constructing EUF-CMA-secure signatures in the quantum random oracle model, employing a trapdoor function and a hash function. It is known that its derandomized version is PO- and BU-secure. A variant of hash-and-sign, known as hash-and-sign with retry (HSwR), formulated by Kosuge and Xagawa (PKC 2024), is widespread since it allows for weakening the security assumptions. Unfortunately, it has not been known whether HSwR can achieve PO- and BU-secure even with derandomization. In this paper, we apply a derandomization with bounded loops to HSwR. We demonstrate that HSwR can achieve PO and BU security through this approach. Furthermore, we show that HSwR taking this approach achieves EUF-CMA security with a tighter security bound than the original one. Our results support its wider adoption.
3B4-3
Diffie-Hellmanプロトコルの一般化とその性質について
◎神保 洸貴(東京理科大学)
鍵共有とは2人の通信者間でメッセージのやり取りを複数あるいは1回行い,共通の秘密鍵を生成する手法の一つである.Diffie-Hellman(D-H)プロトコルとは,両者は同一の計算規則に従ってメッセージの生成を行い,一回ずつメッセージのやり取りを行う鍵共有方式全般を指すことが多い.具体的なD-Hアルゴリズムとして,有限体上の指数関数を用いたもの,ある楕円曲線から構成される有理点群上の演算を用いたものが最も代表的なであり,インターネット等の通信の安全性を維持するために重要な役割を担っている.多くのD-Hアルゴリズムに共通する問題点は計算効率である.一定の安全性を保つために必要な計算コストは,計算機科学の発展とともに上昇しており,この傾向は小型デバイスや老朽化したデバイスを用いた通信に大きな影響を与えかねない.本研究では,性能の低いデバイスを用いた通信環境下での鍵共有の効率化を目的とする.具体的には,ある構造のD-Hプロトコルを非対称化,すなわちAlice・Bobで計算規則が異なるプロトコルに変換し,演算の並列化を行うことで,性能の低いデバイスでの計算量(1並列処理あたり)を削減する.
3B4-4
秘密モデュロ変換の比の導出攻撃における縮小基底の線型結合における係数の大きさの分布について
○境 隆一(大阪電気通信大学) 、村上 恭通(大阪電気通信大学)
本稿では、ナップザック暗号のような秘密のモデュロ変換の秘密の比を算出する攻撃において、格子基底縮小アルゴリズムで得られた縮小基底の小さな係数の線型結合が問題の解となる場合において、その小さな係数の最大値等が多数の問題の縮小基底においてどのような分布になるかを観察する。

3C4 秘密計算 (1) 1月30日(木) 15:30~17:10
座長:米山 一樹 (茨城大学)
3C4-1
秘密計算を用いた情報理論的に安全な本人認証と暗号通信
○岩村 恵市(東京理科大) 、Ahmad Akmal Aminuddin MOHD KAMAL(東京理科大)
本論文では秘密分散による秘密計算を用いて情報理論的安全性をもつ本人認証と暗号通信を提案する。まず、毎回変化する情報を用いて情報理論的安全性をもつ本人認証を実現する。次に、同様に秘密分散を用いた秘密計算によって、情報理論的安全性をもつ暗号通信が大量の真正乱数の共有なしで実現できることを示す。これらは軽い処理によって実現できるのでIoTデバイスに適しているが、それを実装によって実用的に適用できることを示す。
3C4-2
非対称秘密分散方式の安全性向上とその新たな応用
○岩村 恵市(東京理科大) 、Ahmad Akmal Aminuddin Mohd Kamal2(東京理科大)
従来の秘密分散法が正当な復元者や攻撃者に関わらずサーバにあるk個の分散値を集めれば秘密情報を復元できるのに対して、非対称秘密分散法は攻撃者がサーバの全ての分散値を集めても秘密情報を復元できず、正当な復者だけがサーバにある分散値と復元者が生成する疑似乱数を分散値とすることで秘密情報を復元できるという非対称な構造をもつ。しかし、非対称秘密分散法は情報理論的安全性を持たず計算量的安全性となるとされている。そこで、真性乱数を導入することによって非対称秘密分散法の安全性をがある条件の下で情報理論的安全性とをできる実現できることを示す。提案手法は分散値を保存するクラウドの全データが漏洩した場合でも秘密情報が漏洩しない安全性なデータ管理や、IoT通信を含む通信にも用いられるなど従来の秘密分散では実現できなかった新たな応用を実現できる。
3C4-3
金銭的公平な6ラウンドのシェア復元プロトコルとそのラウンド最適性
○中井 雄士(豊橋技術科学大学) 、品川 和雅(茨城大学/産業技術総合研究所)
金銭的公平な秘密計算とは,出力値を得てアボートした攻撃者に対し金銭的なペナルティを課す仕組みで公平性を達成する秘密計算である.金銭的公平な秘密計算プロトコルは,所望の出力値を秘密分散したシェアに対する金銭的公平な復元プロトコルに帰着できる.BentovとKumaresan (CRYPTO2014)は,ビットコインで実装できる基礎的な条件付き送金の理想機能に基づき,2nラウンドと2n-2ブロードキャストで構成される金銭的公平なシェア復元プロトコルを提案した(nは参加者数を表す).その後,NakaiとShinagawa (TCS2023)は,8ラウンドと3n-4ブロードキャストで同プロトコルを実現できることを示した.本研究では,6ラウンドと3n-3ブロードキャストで金銭的公平なシェア復元プロトコルを実現できることを示す.さらに,Bentov-Kumaresan方式のブロードキャスト回数に関する最適性および提案方式のラウンド数に関する最適性を示す証明を与える.
3C4-4
定数通信ラウンドの秘匿関数合成プロトコル
○戸澤 一成(東京大学) 、定兼 邦彦(東京大学)
秘匿関数合成は,具体的な構造が秘匿された二つの関数を合成する処理である.本稿では,定数通信ラウンドの秘匿置換操作が利用可能な計算モデルにおいて,通信効率に優れた秘匿関数合成プロトコルを提案する.特に秘密分散法に基づくマルチパーティ計算では,n 項集合間の関数を秘匿合成するのに必要な通信ラウンド数がO(1),通信量がO(nlog n) ビットとなる.また,提案方式は入出力が同じ形式であるため,関数適用を繰り返し利用する処理への応用が期待される.具体例として,配列長nのList Ranking 問題をO(log n)通信ラウンドで秘匿計算する方法と,逐次的なn回の秘匿並列配列アクセスをO(log n)通信ラウンドで処理する方法を紹介する.
3C4-5
線形秘密分散法において通信無しで計算不可能な関数クラスについて
◎高寺 俊喜(東京⼤学⼤学院情報理⼯学系研究科数理情報学専攻) 、定兼 邦彦(東京⼤学⼤学院情報理⼯学系研究科数理情報学専攻) 、戸澤 一成(東京⼤学⼤学院情報理⼯学系研究科数理情報学専攻)
線形秘密分散法においてd元乗法可能となる必要条件をBarkolら(J. Cryptol. 2010)が導出している。Barkol らは、ある(n,t)-線形秘密分散法でd元の乗法演算を通信無しで計算可能となる必要条件として、n>td を示した。だが、この結果を用いて、通信無しで計算可能か判別できる関数は多項式で表される関数のみである。 本論文では、Barkol らの結果を一般化し、定義域Gと値域Hともに任意の有限可換群の場合において、関数がどのような線形秘密分散法であっても通信無しで計算可能にならない条件を導出した。本論文の主定理は次の命題である:ある(n,t)-線形秘密分散法において通信無しで計算可能となる関数f:G→Hは、Hの定数及びn>td となるdに対してd変数ℤ-多重線形関数に同じ値を入れた関数g:G→G^d→Hの和で表される関数と同値である。 また、主定理及び初等的な代数の結果から得られる通信無しで計算可能、計算不可能となる具体的な関数についても議論を行う。

3D4 認証・トラスト 1月30日(木) 15:30~17:10
座長:小林 良輔 (東京大学)
3D4-1
分散構成の機密コンピューティングにおけるトラストモデルの考察
○武藤 健一郎(NTT社会情報研究所) 、工藤 史堯(NTT社会情報研究所) 、横関 大子郎 (NTT社会情報研究所) 、須崎 有康(情報セキュリティ大学院大学) 、後藤 厚宏(情報セキュリティ大学院大学) 、桑名 栄二(情報セキュリティ大学院大学)
セキュリティやプライバシーを保護しながらデータ処理を行う技術として、Confidential Computing(CC)が注目を集めている。CCでは、中核技術としてハードウェアを信頼の基点とするTrusted Execution Environment(TEE)が利用されており、クラウドを信頼する従来型のモデルではなく、TEEを信頼する新たなモデルのもとで、トラストを考える必要がある。しかし、CCを利用したサービスを提供しようとした場合、そのサービスを構成するコンポーネントとステークホルダが複雑化し、システムやステークホルダ、及びそれらの信頼関係が不明確になりやすい課題がある。本検討では、AMD SEV-SNPとAzure Confidential VMを参考に、分散構成のCCの環境上に分散アプリケーションを構築してサービスを提供する場合のコンポーネントの関係をモデル化し、ステークホルダとのその関係を明確化することで、分散構成のCCにおけるシステムとトラストに関するモデルの提案と課題の考察を行う。
3D4-2
信頼できるデータ流通の実現に向けたデータ品質に基づくトラスト要求分析
◎和田 紘帆(株式会社 東芝) 、花谷 嘉一(株式会社 東芝)
資源の枯渇等の社会課題解決を目的に、企業や業界等を横断してデータを流通・活用するためのデータ流通基盤の構築が国内外で進められている。データ流通には様々なステークホルダーが関与するため従来よりも不確実性が高まるが、そのような中でも円滑に物事を進めるためにトラストの重要性が増している。従来のデータのトラスト要件は、改ざん検証などのセキュリティの側面が中心であり、データの最新性などの非セキュリティの側面の議論が十分ではない。セキュリティ要件と非セキュリティ要件の双方を検証可能とすることで、データのトラストをより高めることができる。本稿では、データ品質に基づいて非セキュリティの側面からもデータ提供者に対するトラスト要求を定義し、ステークホルダー間でトラスト要件とその実現方法を合意する検討手法を提案する。さらに、簡易的なデータ流通サービスを想定し、提案手法を適用試行することで有効性と課題を考察した。その結果、一定の有効性を確認するとともに、検証に使用する外部情報の取扱いなどの課題を明らかにした。
3D4-3
TEEを用いたサーバ型ウォレットによるVerifiable Credential管理手法
安部 芳紀(セコム株式会社 IS研究所) 、石橋 拓哉(セコム株式会社 IS研究所) 、◎髙田 祐喜(セコム株式会社 IS研究所) 、西平 侑磨(セコム株式会社 IS研究所) 、長谷川 佳祐(セコム株式会社 IS研究所) 、国井 裕樹(セコム株式会社 IS研究所) 、宮澤 慎一(セコム株式会社 IS研究所) 、松永 昌浩(セコム株式会社 IS研究所)
Verifiable Credential (VC)がデジタルアイデンティティの新たな形態として注目されている.VCによる属性認証では,なりすまし攻撃を防ぐためにVC保有者が署名鍵を保持することが想定されている.この際,署名鍵を格納した端末が紛失または故障した場合や,複数端末からVCを利用したい場合において,署名鍵の管理が煩雑になってしまう.本稿では,この課題を解決するためにTrusted Execution Environment (TEE) を用いて構成された外部のウォレットサーバに,VCおよび署名鍵を保管する手法を提案する.VC保有者は,サーバ上のセキュアな領域であるTEEに実装されるウォレットサーバに自身の端末を紐づけることで,端末の紛失や故障に対応でき,1つのVCを複数の端末で使用できるようにもなる.また,TEEの具体例としてIntel® SGXを用いてウォレットサーバを実装し,本提案方式の性能評価をした結果,VCを提示する際に使用するVerifiable Presentation (VP)を約2msで生成できることを確認した.
3D4-4
検証可能な連合学習方式の一提案
○福岡 尊(富士通株式会社)
連合学習は、パラメータのみのやりとりでモデルを構築できる分散学習のプロセスであり、データを直接的にやり取りする必要がないことから、企業間をまたいだモデル構築においてその有用性が認められている。本研究では、連合学習のプロセスで通信されるパラメータの真正性、ひいてはモデルの真正性をどう担保するかというトラストにまつわる課題に取り組む。特に垂直学習において、パラメータのトラストをどのように担保するかについて考察し、ゼロ知識証明を用いた一つの方式を提案する。先行研究において、学習済みモデルへのクエリに対してモデルのパラメータをコミットし、入出力が特定の学習済モデルによるものであることを、モデルを明かすことなく証明する仕組みが提案されている。この方式により、ローカルモデルからグローバルモデルへの通信におけるパラメータ真正性を担保は可能だが、本研究では逆伝搬についての算術回路についてゼロ知識証明を考察し、グローバルモデルからローカルモデルへの通信においてパラメータの真正性を担保する方法を提案する。
3D4-5
医療データを活用した民間保険契約における検証可能な分散型告知システムに関する検討
○塩谷 麻紀子(早稲田大学) 、肥後 直樹(NTT) 、松本 存史(NTT)
本論文では、民間保険契約における告知において、告知者の恣意的な健康情報の隠蔽や、告知事項の誤認などの故意でない告知漏れを防ぐための検証システムを検討する。まず、全国の医療機関が保有する医療データを根拠に告知内容を検証でき、データを集約せず、保険会社に提供される情報は現在と同程度という要件を設定した。提案方式では、医療機関ごとにレセプト単位の医療記録を患者に対してVCとして発行し、VCにはVCごとの識別子を埋め込む。その際、識別子はブロックチェーン上で公開し記録する。識別子と医療記録が全単射関係のため、識別子を照合することで参照されるべき医療記録が網羅されていることが担保できる。また、検証性と保険会社に提供される情報の最小化を両立するために、VCのデータ集合の一部に選択的開示を導入した。医療データ提供元を厚労省が推進する医療データ連携基盤である全国医療情報プラットフォームに置き換えた場合と比較すると、提案方式では自身の医療データ全体を把握できるのが患者のみである点でプライバシーに優れるものの、識別子に誤記録があると検証が破綻するなど運用面での課題が存在することなどを明らかにした。

3E4 自動車セキュリティ (1) 1月30日(木) 15:30~17:10
座長:倉地 亮 (名古屋大学)
3E4-1
大規模言語モデルによる脆弱性文書からのリスク要因情報抽出
◎秋本 慎弥(パナソニック ホールディングス株式会社) 、佐々木 崇光(パナソニック ホールディングス株式会社)
本稿では,Web記事などのサイバーセキュリティ文書から脆弱性リスク評価に必要なリスク要因情報を抽出するリスク要因情報抽出アルゴリズムについて述べる.自然言語で記述されるサイバーセキュリティ文書は,リスク要因情報以外のノイズ情報が多く含まれているためリスク要因情報の抽出が困難であり,抽出精度の向上が課題である.この課題に対し,文書中のノイズ情報を除去し要約する要約モデルと,要約文書からリスク要因情報を抽出する抽出モデルを組み合わせたリスク要因情報抽出アルゴリズムを提案する.要約モデルにより,抽出モデルの入力となる文章の品質が向上し,抽出モデルの精度が高まることが期待できる.本稿では,まずサイバーセキュリティ文書からリスク要因情報を抽出する際の課題を述べる.次に,アルゴリズムの基盤となる大規模言語モデル(LLM)や深層学習モデルに対して,各モデルの適性を評価する.最後に,アルゴリズムの詳細と性能評価結果を述べる.
3E4-2
MILSアーキテクチャの車両システム適用に関するセキュリティリスク評価
○竹内 章人(パナソニック オートモーティブシステムズ株式会社) 、永井 拓丸(パナソニック オートモーティブシステムズ株式会社) 、瀬崎 朋久(パナソニック オートモーティブシステムズ株式会社) 、芳賀 智之(パナソニック オートモーティブシステムズ株式会社) 、安齋 潤(パナソニック オートモーティブシステムズ株式会社)
本論文では、自動車業界における急速な技術進化とCASE(Connected, Autonomous, Shared, Electric)技術の進展に伴う車両アーキテクチャの統合化、ならびにそれに伴うセキュリティリスクの増大への対策について検討する。従来のゲートウェイアーキテクチャに代わり、ドメインアーキテクチャやハイパフォーマンスコンピューティング(HPC)を中心としたゾーンアーキテクチャが進展しており、これによりセキュリティアーキテクチャの再考が求められている。本論文では、古典的でありながら現在も発展を続けるMultiple Independent Levels of Security(MILS)アーキテクチャを車載システム、特にソフトウェア・デファインド・ビークル(SDV)に適用する有用性について論じる。さらに、MILSアーキテクチャをSDVに適用する際のセキュリティ上の課題を、セキュリティリスク評価を通じて明らかにする。その結果、特定された課題に対して、MILSアーキテクチャのポリシーを考慮した具体的な対策を提案する。
3E4-3
脅威分析・脆弱性分析に基づくセキュリティ評価仕様の生成手法の提案
◎岡崎 大暉(パナソニック オートモーティブシステムズ株式会社) 、今本 吉治(パナソニック オートモーティブシステムズ株式会社) 、田邉 正人(パナソニック オートモーティブシステムズ株式会社)
近年,自動車の機能進化やECU統合化,Software Defined Vehicle(SDV)の導入に伴い,車載システムのセキュリティリスク対応が重要性を増している.ISO/SAE 21434に準拠するためには,TARA(Threat Analysis and Risk Assessment),VARA(Vulnerability Analysis and Risk Assessment),セキュリティ評価を統合的に行うことが求められるが,これらのプロセスの連携が不十分であるため,評価項目の抜け漏れや作業量の増加が課題となっている.本論文では,セキュリティ評価仕様書の自動生成を通じて作業量の削減を図り,各プロセスを連携させることで評価項目の抜け漏れを防ぎ,網羅的な試験を実現する手法を提案する.これにより,車載領域における各プロセスのトレーサビリティの課題を解決し,システム全体のセキュリティを向上させることができる.また,評価結果をTARAおよびVARAにフィードバックし,リスクの検証および対策要件の修正に繋げる手法も提案する.
3E4-4
総合判定によるファジングテストの自動影響評価手法の開発と実証
◎尾崎 純平(パナソニックオートモーティブシステムズ株式会社) 、岡崎 大暉(パナソニックオートモーティブシステムズ株式会社) 、今本 吉治(パナソニックオートモーティブシステムズ株式会社) 、田邊 正人(パナソニックオートモーティブシステムズ株式会社)
近年、自動車の機能の急速な進化やECU(Electronic Control Unit)統合化、SDV(Software Defined Vehicle)の導入により、自動車に対するセキュリティリスクへの対応はより重要になってきている。特に、様々な通信インターフェースを持つ自動車のセキュリティ評価は、出荷前の最終検証フェーズとしてその重要性が一層増している。しかし、自動車のセキュリティリスクの増加に伴いセキュリティ評価における項目数も増加傾向にあり、結果として評価工数は増加を続けている。また、セキュリティ評価には評価内容に対する専門知識や製品の仕様の理解が必要であり、事前知識がなければ判定は難しい。本研究では、セキュリティ評価のテスト項目の1つとして、予期しない入力を送信し異常な動作や脆弱性を検出するファジングテスト手法を対象に自動で影響評価を実施する手法を提案する。具体的には、評価実施時のログとユーザ設定から抽出した情報を基にワード検出による一次解析と生成AIによる二次解析を実施し、2つの解析結果を総合することで結果を自動判定する。この手法により、評価工数の削減による効率化や専門知識を不用にすることによる実施難易度の低減が期待できる。
3E4-5
車載システムにおけるサイバーレジリエンスの提案と評価
◎三ツ木 知愛(パナソニック オートモーティブシステムズ株式会社) 、白石 一真(パナソニック オートモーティブシステムズ株式会社) 、平野 亮(パナソニック オートモーティブシステムズ株式会社) 、芳賀 智之(パナソニック オートモーティブシステムズ株式会社) 、今本 吉治(パナソニック オートモーティブシステムズ株式会社)
自動車がネットワークに接続されることに伴い、サイバー攻撃に対する対策がますます重要となっている。サイバー攻撃への耐性を高めるためには、サイバーレジリエンスという考え方を取り込んでいく必要がある。サイバーレジリエンスとは、サイバー攻撃を受けてもシステムがその機能を維持し、攻撃の影響を迅速に除去して正常に復旧する能力を意味する。ITセキュリティ分野では、サイバーレジリエンスを主眼に置いた検知、対応、回復技術に関する研究が盛んである。車載セキュリティ分野において、サイバー攻撃を受けても車両の安全機能を維持するための一つの方策としてサイバーレジリエンスの考え方を取り込むことが考えられるが、車載システムにサイバーレジリエンスを適用する方法やその能力を評価する方法の研究が不十分である。本研究は、車載システムのサイバーレジリエンスを強化することを目的とした評価軸を提案する。この評価軸を用いて車載システムのサイバーレジリエンス性能を評価し、攻撃時の対応における課題を明確化する。さらに、車載システムのサイバーレジリエンス性能を向上させるために必要な構成や開発すべき技術を評価する。

3F4 教育・心理学 (2) 1月30日(木) 15:30~17:10
座長:寺田 剛陽 (長崎県立大学)
3F4-1
個人のAIによる一任型資産運用サービスの選択に影響を与える要因の分析
○竹村 敏彦(城西大学) 、島 成佳(長崎県立大学) 、小川 隆一(独立行政法人情報処理推進機構) 、佐川 陽一(独立行政法人情報処理推進機構) 、銭谷 謙吾(独立行政法人情報処理推進機構)
近年,投資初心者や若者世代を中心として,AIが投資のアドバイスや運用を行ってくれるサービスである「ロボアドバイザー」が注目を浴びている.ロボアドバイザーは,従来,資産運用の専門家が行っていた作業をAIに任せるといったものになる.本研究では,2024年3月に実施したアンケート調査によって収集した個票データを用いた分析を通じて,個人が資産運用サービスを利用する際,AIに任せたいのか,資産運用の専門家に任せたいのか,という選択問題に注目し,その選択に影響を与えている要因との関係について分析を行う.
3F4-2
AIセキュリティの脅威・リスク調査から見たAI導入に影響する要因分析
○小山 明美(独立行政法人情報処理推進機構) 、竹村 敏彦(城西大学)
業務効率化やサービス向上のためにAIの利用は有効であると考えられ,今後,促進されることが期待される.しかしながら, 2024年に独立行政法人情報処理推進機構(IPA)が企業・組織のIT実務担当者を対象に実施した「AI利用時のセキュリティ脅威・リスク調査」によると,業務でのAI利用は22.5%にとどまっていることが明らかになった.そこで,本稿では,AIを利用している(予定を含む)企業・組織と,そうではない企業・組織との間にどのような特性等の違いが確認できるかを検討することにした.具体的には,上述の調査の事前調査結果を用いて,3つのカテゴリ(顧客向けサービス改善,社内業務効率化,その他)のAIを利用している企業・組織(していない企業・組織)の属性分析を行う.分析の結果,以下のことが明らかになった.1種類でもAIサービスを利用(予定含む)している企業は(業種では)金融業・保険業,通信業,製造業の順に多く,企業規模が大きく,AI知識水準も高いといった特徴があることが確認された.他方,未利用企業は企業規模が小さく,AI知識水準も低く,業種としてはサービス業が多いといった特徴があることがわかった.上記のカテゴリ別に分析した結果や個別AIサービスごとに分析した結果についても同様の傾向が確認された.
3F4-3
セキュリティ教育用ビデオゲームに向けた大規模言語モデルを活用した分析手法
◎新井 美音(大阪大学) 、矢内 直人(パナソニック) 、猪俣 敦夫(大阪大学) 、花岡 悟一郎(産業技術総合研究所)
近年の情報セキュリティ教育では, ユーザの関心を得やすい方法としてビデオゲームが注目されている. 効果の高いセキュリティ教育ゲームの設計を明らかにするためにはゲームの設計を分析する手法が必要であるが, セキュリティ教育ゲームの設計を分析する手法はまだ確立されていない. 本稿では, 大規模言語モデル(LLM)を用いてビデオゲームのテーマを分析する方法を提案する. 大まかには, LLMを用いてゲームの紹介文からキーワードを生成し帰納的コーディングを行うことで, ゲームのテーマを客観的に分析できる. 提案手法の効果を明らかにするためにSteamにて公開されているビデオゲームの紹介文を用いて複数の調査も行った. 調査を通じて, LLMにより生成されたキーワードが人間の直観とおおむね一致すること, 異なるモデルのLLMを使用した場合においても同様のテーマが生成されること, また, ゲームの紹介文の文量はLLM によるテーマの生成にとくに影響しないことを確認した. これらの知見により, LLM を通じてセキュリティ教育用ビデオゲームに関する分析調査が期待できる.
3F4-4
耐誘導コミュニケーション研究のための「誘導のシナリオ」と会話文生成
○角尾 幸保(東京通信大学) 、松田 美慧(情報通信研究機構,横浜国立大学)
本稿では,耐誘導コミュニケーション研究に必要なデータを確保するため,「誘導のシナリオ」を設定し疑似的な会話文を生成する手法を提案し,生成AIを用いて行った一実験例を示す.耐誘導コミュニケーションとは,特殊詐欺などに代表されるような,攻撃者の誘導により標的に不利益な行動を選択させる攻撃において,攻撃者の誘導から標的を防御するための情報交換のことである.これまでの研究では,カウンセリングの手法を応用し,攻撃者が標的を誘導する情報交換に焦点を当てることで,標的が攻撃者の誘導を受容する瞬間や過程を特定できることを示し,また,分析対象とする会話データを作成するために,生成AIを用いた会話文の自動生成や人間が介在する半自動生成の手法を提案している.本稿では,発話者が相手の合意を得ながら発話者が目指した結論に導く「誘導のシナリオ」を導入し,会話例の多様さと自然さの改善を試みた.その過程で,生成AI同士による自動生成と,人間とAIが共同で会話を構築する半自動生成の方法を実行し,出力を比較した.

3G4 AIセキュリティ (5) 1月30日(木) 15:30~17:10
座長:吉田 康太 (立命館大学)
3G4-1
敵対的背景を用いた歩行者検出妨害攻撃の提案と評価
◎斧田 洋人(早稲田大学) 、鶴岡 豪(早稲田大学) 、田中 優奈(早稲田大学) 、小林 竜之輔(早稲田大学) 、大西 健斗(三菱電機) 、東 拓矢(三菱電機) 、小関 義博(三菱電機) 、中井 綱人(三菱電機) 、森 達哉(早稲田大学/NICT/理研AIP)
人物検出技術は, 自動運転車や監視システムなど多くの分野で活用されており, その安全性は社会にとって重要な課題である. これらのシステムは機械学習モデルが活用されており,高い精度とリアルタイム性を誇る.しかしながら,これらのモデルは敵対的攻撃に対して脆弱であることが知られている. 人物検出に対する敵対的攻撃には, 人物そのものにパッチを適用する方法や, 周囲の背景の一部にパッチを適用する方法がある. 人物にパッチを貼る攻撃は, 攻撃者が第三者にパッチを貼る必要があり, 攻撃実現性に制約がある. 一方で周囲の背景にパッチを適用する攻撃は, 攻撃実現性に優れるが, Object Seeker などの防御技術によって防がれてしまう. このような制約を解決するために,本研究では, 新たな攻撃手法として「敵対的背景攻撃」を提案する. この攻撃は, 壁や掲示板など人の背後に悪意ある背景を貼り, 人物検出を妨害する.これにより実現可能性と防御に対する頑健性を持つことが期待される. 評価実験でデジタル環境および物理環境での検証を行い. デジタル環境では90%以上の攻撃成功率, 物理環境ではモニターを用いた評価で80%の攻撃成功率を示した.
3G4-2
指定した確率操作を伴う敵対的攻撃を用いたDNNモデルの所有権検証
◎佐野 光希(東北大学) 、栗林 稔(東北大学) 、酒井 正夫(東北大学) 、磯邉 秀司(東北大学) 、小泉 英介(東北大学)
学習済みディープニューラルネットワーク(DNN)は, 多大な開発コストと社会的価値を有するため, 権利保護の重要性が高い. 対策法の一つとしてモデルに透かし情報を埋め込む技術が研究されているが,タスクに対する性能の低下や透かし情報の有無を解析する攻撃の問題が指摘されている. 本研究では, 電子透かしを用いずにモデル間の同一性を第三者によって検証可能とする新しい手法を提案する. 想定する環境は, 画像分類型CNNモデルを対象に, 不正利用者がオリジナルモデルの内部構造を完全に再現したコピーモデルを保有し, クラスごとの確率分布を出力として観測可能なgray-box型とする. 提案手法では, 特定のクラスの指定された確率値に出力を制御するwhite-box型敵対的サンプル攻撃を適用し, 指定された確率値と出力結果の誤差から同一性の判定を行う. 実験により, 確率値の誤差の距離から, 偽陽性および偽陰性を低く抑えられることを確認した.
3G4-3
対照損失および防御ノイズ付与を伴うファインチューニングによるFew-shot画像分類モデルの保証付き頑健性の向上
◎加藤 広野(KDDI総合研究所) 、披田野 清良(KDDI総合研究所) 、村上 隆夫(統計数理研究所) 、日野 英逸(統計数理研究所)
Few-Shot Learning(FSL)は、少量のデータから汎用的な情報を取得可能な学習手法であり,データ拡張を伴うファインチューニング(FT)がFSLモデルの分類性能の向上に効果的であることが報告されている. 一方で,敵対的サンプルに対するFSLモデルの頑健性を理論保証する手法が提案されているが,FT後のモデルの保証付き頑健性は劣化する可能性がある. そこで,本稿ではFT適用後の保証付き頑健性を向上させる手法を提案する. 提案手法では、頑健性の理論保証のために利用される防御ノイズが付与されたデータの分布に合わせるために,FTの時点で防御ノイズを付与する. さらに、FT時のデータ拡張処理と防御ノイズ付与の影響を軽減するために、教師あり対照損失と教師なし対照損失を導入する. 教師あり対照損失は同一ラベルのデータの埋め込み表現を近づけることに寄与し,教師なし対照損失はラベルの利用によって無視される可能性のある情報の学習を促進する. 複数のデータセットを用いた実験により、提案手法がFT後のモデルの保証付き頑健性を改善できることを示す. 特に、FTが必要なクロスドメインのシナリオにおいて,提案手法が効果的であることを確認した.
3G4-4
Dimpled Manifold Modelに基づく敵対的サンプルへの防御手法の理論基盤
○前嶋 啓彰(情報セキュリティ大学院大学, NTT テクノクロス株式会社) 、大塚 玲(情報セキュリティ大学院大学)
敵対的サンプル(Adversarial Examples) は機械学習に対する攻撃手法であり、視覚的には弁別できないが機械学習の推論結果として異なる結果を出力させる攻撃である。敵対的サンプルに対しては新たな防御手法に対してその手法を無効化するような攻撃手法が考案されることが繰り返されているため、攻撃手法、防御手法に対して理論的な基盤を与えることが重要である。攻撃手法の理論基盤として、Shamir らによりDimpled Manifold Model が提唱されている。これは、入力データは入力空間において多様体上に分布しており、敵対的サンプルは多様体外に作られるというモデルである。このモデルに基づくと、入力データの次元削減は有効な防御手法となりうるが、識別器の性能劣化を引き起こす可能性があった。本研究においては、次元削減が、特定の条件下において本来の推論結果に対する劣化を及ぼさないことをガウス過程での推論に対して理論的に示した。ガウス過程はニューラルネットワークの理論研究のために用いられる手法であり、本研究の成果はニューラルネットワークにおいても適用可能である。
3G4-5
高次元データの局所差分プライバシーの適用について
○菊池 浩明(明治大学)
高次元データにおける局所差分プライバシーの適用には,次元に比例してプライバシー費用が増加するという課題があった.この問題に対して,ZhangらはCALM( (Consistent Adaptive Local Marginal) を提案している.しかしながら,CALMの適用には必要条件があり,定義域の大きさに依っては適用できないことを示す.この問題に対して,擬似逆行列,列独立のランダマイズを適用する.

4A1 耐量子計算機暗号 (6) 1月31日(金) 9:00~10:40
座長:神戸 祐太 (三菱電機)
4A1-1
Galois 共役と 2-同種な楕円曲線に対する 3-Radical Isogenies の公式
◎柴田 昌臣(東京大学大学院) 、小貫 啓史(東京大学大学院) 、高木 剛(東京大学大学院)
同種写像暗号は, 量子計算機でも計算困難とされる同種写像問題に基づく暗号方式である.平方因子のない自然数 d に対して,Galois 共役と d-同種な超特異楕円曲線間の同種写像は,d = 1 の場合には鍵共有方式 CSIDH や攻撃手法 Delfs-Galbraith 法に利用される.また,Chenu, Smith (MathCrypt2021) は,d > 1 の場合に CSIDH や Delfs-Galbraith 法を一般化できることを示した.一方,同種写像暗号の高速化手法の一つとして,ℓ-同種写像列を ℓ 乗根により計算する radical isogenies が知られている.上で述べた Galois 共役と d-同種な超特異楕円曲線間の ℓ-同種写像計算に radical isogenies を適用した場合,ℓ 乗根の選択方法が問題となる.ここで,d = 1 の場合には決定的な選択方法が知られているが,d > 1 の場合については未解決であった.本研究では,d = 2, ℓ = 3 の場合について,有限体のノルム条件に着目し ℓ 乗根の取り方を決定的に選択する方法を導出し,ℓ 乗根を効率的に計算する radicalisogenies を提案した.さらに,計算量を有限体の乗算回数の平均値で評価したところ,提案手法は既存の radical isogenies よりも効率的となる結果を得た.
4A1-2
楕円曲線の直積を定義域とする高次数同種写像計算の効率化
◎吉住 崚(九州大学)
同種写像暗号は同種写像問題という数学的問題の困難性に基づいた暗号方式の総称であり, 耐量子計算機暗号の候補の一つとなっている. 近年, 多くの同種写像暗号の方式において1次元の同種写像だけでなく, 2次元をはじめとした高次元の同種写像を用いたものが提案されている. 本論文では, $(\ell,\ell)$-同種写像と呼ばれる2次元の同種写像に着目し, 定義域が楕円曲線の直積の場合におけるアルゴリズムの効率化の結果を述べる.
4A1-3
効率的なバックトラック判定による高速な同種写像CGL ハッシュ関数
◎井上 翔太(東京大学) 、相川 勇輔(東京大学) 、高木 剛(東京大学)
CGLハッシュ関数は同種写像問題の困難性に基づく暗号学的ハッシュ関数であり, 超特異同種写像グラフ上で バックトラックしないパスを計算してハッシュ値を計算する. SAC’22で提案されたCGLハッシュ関数を計算するアルゴリズムはpを楕円曲線の定義体の標数として, 2^n-同種写像(n=Θ(log p))を用いることで, 漸近的な高速化を達成した. このアルゴリズムでは安全性のためにバックトラックするパスを計算することを防ぐためのチェックが必要である. これをバックトラック判定と呼ぶ. 本研究では, SAC’22で提案されたアルゴリズムのバックトラック判定を効率化することで, より高速なアルゴリズムを提案する. また, SAC’22ではアルゴリズムの実装が与えられなかったが, 本研究ではそのアルゴリズムと提案法を含む複数の主なアルゴリズムの実装を行い, 素体上での演算回数を実際に数えることで計算量を評価する. 提案法は128~768ビットセキュリティを達成するpにおいて4.9~7.6%の計算量を削減し, 現状で最も高速なCGL ハッシュ関数を計算するアルゴリズムとなる.
4A1-4
CDSハッシュ関数に対する効率的な衝突攻撃
○大橋 亮(東京大学) 、小貫 啓史(東京大学)
Castryck-Decru-Smithは2020年に超特別アーベル曲面間の(2,2)-同種写像グラフを用いた暗号学的ハッシュ関数(CDSハッシュ関数)を提案した. このハッシュ関数では予め設定された初期曲面を始点として,入力に応じた同種写像グラフ上の経路を辿り到達した頂点の不変量を出力する. 彼らの構成において,初期曲面は自己準同型環が知られている超特異楕円曲線の積から「近い」頂点に設定されており,本稿ではその性質を用いた衝突発見アルゴリズムを与える. いくつかのヒューリスティックな仮定の下で,衝突を発見するまでに要する時間計算量と空間計算量は基礎体の標数pに対してO~(p^{3/10})と見積もられ,これは既存の攻撃手法よりも効率的である. さらにpが特殊な形であれば,我々の手法は多項式時間かつ多項式空間アルゴリズムとなる. これを計算機代数システムMagmaで実装の上,提案者が192bit安全と主張したパラメータ設定下における衝突を64並列処理を利用して3時間程度で発見することに成功した. 最後に,我々の手法を適用しても衝突困難性が保たれるための対応策についても考察する.

4B1 数論応用 (4) 1月31日(金) 9:00~10:40
座長:有田 正剛 (情報セキュリティ大学院大学)
4B1-1
ガロア群の群環作用下の曲線の体系的な種数評価を用いた被覆攻撃の対象となる偶標数有限体上楕円曲線および種数2超楕円曲線の分類
◎上里 優介(中央大学) 、志村 真帆呂(東海大学) 、趙 晋輝(中央大学)
有限体の拡大体上に定義される楕円・超楕円曲線の離散対数問題に基づく暗号系に対する攻撃として被覆攻撃が提案されている.被覆攻撃は多数の曲線に対し脅威となりうるため,攻撃の対象となる楕円・超楕円曲線の分類が重要な課題とされている.奇標数有限体上の種数3以下の楕円・超楕円曲線は飯島らによって完全分類がなされており,偶標数有限体上の楕円・超楕円曲線については,百瀬らによって同種条件下の曲線の分類が与えられた.さらに最近,同種条件を満たさない偶標数有限体上の一部の楕円・超楕円曲線の分類が行われた.本研究では,被覆群の指数2部分群に対応する曲線の種数評価方法をガロア群の群環作用を用いて体系化し,その評価方法に基づく効率的な分類手法を提案する.また,本手法を計算機上に実装し,より一般の偶標数有限体上の楕円曲線および種数2超楕円曲線の分類を行った.
4B1-2
超特異QMアーベル曲面から構成される同種写像グラフのラマヌジャン性
◎大江 優希(京都大学) 、伊藤 哲史(京都大学)
Charlesらは超特異同種写像グラフのRamanujan 性を利用してハッシュ関数を構成した. このハッシュ関数の安全性は同種写像問題の計算量的困難性に基づき,その後の同種写像暗号の発展の基礎となった. 一方で,理論的興味によりCastryckらはCharlesらの構成を2次元の超特別アーベル多様体に拡張したが,超特別アーベル多様体の同種写像グラフにおいてはRamanujan 性を満たさない例がJordanらによって知られている.また,相川らによって任意次元の超特別アーベル多様体の同種写像グラフがエクスパンダー族であることが証明された. 本論文では曲面の場合に適切な部分グラフがRamanujan 性を持つことを証明した. その証明には超特異QMアーベル曲面へのDeuring 対応の一般化が鍵になっている. この構成に基づく超特異QMアーベル曲面による新たな暗号方式設計の可能性についても考察を行う.
4B1-3
被覆攻撃の対象となる奇標数有限体上楕円・超楕円曲線に対する被覆曲線構成法の拡張
◎奥村 祐太(中央大学) 、上里 優介(中央大学) 、志村 真帆呂(東海大学) 、趙 晋輝(中央大学)
被覆攻撃とは,有限体kのd次拡大体k_d上に定義された楕円・超楕円曲線C_0の離散対数問題を,被覆曲線と呼ばれるk上代数曲線Cの離散対数問題に移して解く攻撃手法である.近年,攻撃の対象となる奇標数有限体上の種数3以下の楕円・超楕円曲線の完全分類が行われた.厳密な安全性評価は実際に被覆攻撃を行うことで初めて可能となるが,攻撃の前段階として被覆曲線の構成が必要である.従来の研究で用いられた手法では,楕円・超楕円曲線C_0が特定の条件を満たしている場合のみ,被覆曲線Cの定義方程式を得ることができた.本研究では,Diemの手法が一般のC_0に対して適用可能であることを示し,今まで構成することができなかった曲線を含めた任意の奇標数有限体上楕円曲線に対して被覆曲線を構成する方式を提案した.加えてC_0への被覆を持つk上曲線C‘の離散対数問題に移す攻撃の実現可能性について考察し,Cからの次数2以上の被覆を持つk上代数曲線C’がC_0への被覆を持たないことを示した.
4B1-4
Key Recovery Attacks with less signatures for Threshold ECDSA
○YIYING LI(Degree Programs in Systems and Information Engineering-University of Tsukuba) 、NOBORU KUNIHIRO(University of Tsukuba)
Threshold signatures enable a group of parties to collaboratively generate a signature without exposing their individual secret shares. Among these, threshold ECDSA protocols have gained prominence for securing cryptocurrency wallets, which protect hundreds of billions of dollars in assets. However, constructing threshold ECDSA is challenging due to the non-linear nature of the ECDSA signing process. The GG20 protocol marked a significant milestone as the first efficient threshold-ECDSA signature utilizing the MtA protocol for distributed signing. Recently, a new key-extraction attack has been proposed against GG20 threshold ECDSA. This attack reveals a vulnerability in the GG20's MtA protocol by exploiting a tampered Paillier public key, which allows a single corrupted party to recover a full secret share. In this paper, we analyze the relationship between the number of signatures and the brute-force attempts required to achieve a desired probability of success in this attack. We demonstrate that this attack can be performed practically with fewer signatures than 16, which was previously considered necessary.

4C1 秘密計算 (2) 1月31日(金) 9:00~10:40
座長:瀧本 篤志 (ZenmuTech)
4C1-1
秘匿マルチインデックス二分探索
◎三田 翔平(茨城大学) 、米山 一樹(茨城大学)
ノードへのアクセスを秘匿しながら二分木構造のデータを探索する秘匿二分探索方式が知られているが、検索したKEYが無かった場合に他のKEYのデータが出力されてしまい、検索が失敗したかどうか分からないという問題があった。また、既存方式では各データに1つのKEYが付与されている場合しか考慮していなかった。本稿では、検索に失敗した場合に固定値($[0]$)を返すことで失敗したことが分かる秘匿二分探索方式を提案する。加えて、複数のKEYをデータに付与することで複数の条件による検索を可能とする秘匿マルチインデックス二分探索を提案する。単純な実現法ではKEYを増やした分の比較プロトコルを実行しなければならないため、通信コストが増えてしまう。我々の方式では、一括比較プロトコルを用いることで通信コストを抑えることができる。
4C1-2
MPCを利用した応用システムにおける軽量暗号・軽量MACの性能比較
◎中川 寛大(東海大学) 、小川 一人(情報通信研究機構) 、北山 武輝(東海大学) 、渡部 颯斗(東海大学/情報通信研究機構) 、大東 俊博(東海大学/情報通信研究機構)
ISEC研究会において中川らはMPCを利用した応用システムの例としてHCI2019にてOgawaらにより提案されたMPCを利用した有料テレビサービスのためのプライバシー保護システムに対し,複数ブロックのデータを統合して通信する手法を適応した軽量暗号 SIMON,軽量MAC LightMACを組み合わせて実装および評価を行った.その結果,どちらもブロック数の増加に対した処理時間の増加が緩やかになっていることが確認できた.そこで,本研究ではデータを統合して通信する手法を2023年2月にNISTで選定された軽量暗号 ASCON-128,軽量ハッシュ ASCON-XOFやASCON-128を搭載した軽量MAC LightMACに適応し,既存研究との比較を行った.その結果,ASCONで使われているスポンジ構造では内部状態がブロックサイズと比べて増加することによってMPCの乗算のための通信量が増加する傾向が大きいことが分かった.
4C1-3
濃度付き秘匿結合&計算プロトコルの秘匿集合和演算からのブラックボックス構築
○紀伊 真昇(NTT社会情報研究所) 、市川 敦謙(NTT社会情報研究所) 、濱田 浩気(NTT社会情報研究所)
我々は簡潔で拡張可能性が高い秘匿結合&計算 (Private Join and Compute) プロトコルについて研究した。秘匿結合&計算プロトコルは連想配列(キーと値の組からなる集合、別名:辞書、マップ)を持つ二人の参加者が、両者の連想配列に共通しているキーに対応する値について何らかの計算をするための二者間秘密計算プロトコルである。異組織間におけるデータ連携の実現に用いれば、両組織は単独では知り得ない(仮想的な)大データベースについての集計値を、互いに自身が持つデータの情報を漏らすことなく、安全に得られる。この秘匿結合&計算プロトコルは社会における有用性が高いと期待されるものの、プロトコルの複雑さ故か研究が非常に少ない。我々は研究が活発な秘匿和集合計算プロトコルを用いることで、重み付き和を計算できる秘匿結合&計算プロトコルを簡潔に構成した。本研究では実装と実験も行い、その実用性を確認した。
4C1-4
セキュアマッチングプロトコルの多者間拡張に向けた提案と実装評価
○長谷川 慶太(日本電信電話株式会社) 、紀伊 真昇(日本電信電話株式会社) 、太田 賢治(日本電信電話株式会社) 、岸 寿春(日本電信電話株式会社)
近年,データを活用した意思決定が一般化している.一方で,特に企業間でのデータ連携にはデータ漏洩リスクが伴うため,安全性が課題となっている.この課題を解決するため,準同型暗号や差分プライバシー技術を組み合わせたデータ連携プロトコル(セキュアマッチングプロトコル)が提案されているが,既存研究は二者間(一対一)の連携を対象としている.単独で大規模なデータを保有する企業は限られることから,複数者のデータを足し合わせて利用するデータ活用シーンが想定されるが,二者間セキュアマッチングプロトコルの三者以上の多者間連携への単純な拡張は困難である.例えば既存の二者間セキュアマッチングプロトコルを繰り返し行うことで多者間の集計を実現する場合には,出力データの安全性を保証するために用いられるノイズが重畳し,出力データの有用性低下が課題となる.本稿では,二者間のセキュアマッチング技術を拡張し,暗号状態で複数者のデータの集計及び差分プライバシーに基づくノイズ付加を実現することで,データの有用性低下を防ぐことができる一対多の多者間連携を実現するプロトコルを提案し,実装評価により処理性能が実用的であることを報告する.
4C1-5
FaF-安全な複製型秘密分散ベースマルチパーティ計算
○土田 光(埼玉工業大学) 、西出 隆志(筑波大学)
マルチパーティ計算(MPC)は,複数の参加者の入力を秘匿したまま,任意の関数を安全に計算可能な技術である.近年,Alonら(CRYPTO'20)により,FaF-安全性という新たな安全性が提案された.FaF-安全性は,従来の安全性を拡張したものである.FaF-安全性は,理想/現実シミュレーションパラダイムにおいて,マリシャスな攻撃者およびセミオネストな攻撃者が乗っ取った参加者の連結ビューを考慮する.著者らが知る限り,無制限の計算能力を持つ攻撃者に対する安全性であるperfect securityとFaF-安全性を同時に達成できる方式は,Alonらが有限体上で構成した方式のみである.本稿では,perfect securityとFaF-安全性を同時に達成するMPCを提案する.提案方式は有限巡回群上で構成されているため,Alonらの方式よりも代数的構造に関する制約が緩和されている.また,提案方式は攻撃者が乗っ取る参加者の割合を変更することで,達成する安全性を先行研究よりも柔軟に変更できる.

4D1 カードベース暗号・物理暗号 (3) 1月31日(金) 9:00~10:40
座長:稲村 勝樹 (広島市立大学)
4D1-1
天秤ベースゼロ知識証明の推進
◎金子 尚平(電気通信大学) 、宮原 大輝(電気通信大学) 、﨑山 一男(電気通信大学)
カード組を用いた数独に対するゼロ知識証明プロトコルを代表とし、多くのペンシルパズルに対してカードベースゼロ知識証明プロトコルが提案されている。提案されたプロトコルに必要なカード枚数やシャッフル回数を削減し、効率の改善を目指す研究も行われている。著者らは、カード組以外にゼロ知識証明を実現可能な物理媒体として、新たに天秤を用いるゼロ知識証明プロトコルを構成し、クイックソートの応用による効率化の成果をISC 2024において発表した。本稿では、この既存の天秤ベースゼロ知識証明プロトコルに対し、比較の順序を洗練させることで、天秤の使用回数を削減できることを示す。この工夫においてはソーティングの変種を計算する必要があり、この変種自体も独自に興味が引かれ得る。このような発表を通して、天秤ベースゼロ知識証明にはアルゴリズムの観点から独自性があることを示し、学術的な推進のきっかけを作ることが大目的である。カード組以外の物理道具にも焦点を当て、日常的な道具を用いるゼロ知識証明などの暗号プロトコルの実現を追求していきたい。
4D1-2
新しい装置による数独用物理ゼロ知識証明プロトコルの提案
◎田中 雄翔(早稲田大学) 、佐古 和恵(早稲田大学)
数独に対するゼロ知識証明とは、解の内容を一切明かさずに、ある数独パズルが正しく解かれていることを第三者に証明するものである。2007年にGradwholらが初めて数独に対する物理ゼロ知識証明プロトコルを提案し、それ以降いくつかのプロトコルが提案されてきた。本研究では、カードに代わる新たな装置を設計し、これを3Dプリンターで出力した装置を用いた物理ゼロ知識証明プロトコルを提案する。カードを用いていた時に必要であった、カード束を一様ランダムに並べ替えるパイルスクランブルシャッフルが不要になり、実行にかかる時間を削減できた。
4D1-3
シャカシャカに対する物理的ゼロ知識証明
◎初貝 恭祐(電気通信大学) 、渡邉 洋平(電気通信大学 / 産業技術総合研究所) 、岩本 貢(電気通信大学)
物理的ゼロ知識証明では,命題が真であることをその証拠について一切を教えることなく証明する暗号技術である.特に,カードや封筒などの物理的な道具を使って行われる物理的ゼロ知識証明ではパズルを対象として,与えられたパズルの解答を知っていることを答えそのものを教えず証明する.本研究では,シャカシャカというパズルに対する物理的ゼロ知識証明プロトコルを提案する.シャカシャカは盤面中の白いセルを複数個のパターンのいずれかで黒く塗りつぶすことで,盤面中に塗りつぶされずに残った部分を全て長方形にするパズルである.また,盤面中に数字が割り当てられたセルについて,その数だけ隣接するセルを塗りつぶさなければならない.提案プロトコルでは,盤面が条件を満たすように塗りつぶされたことを,塗りつぶしたセルの位置及び塗りつぶしのパターンを開示することなく証明する.特に,塗りつぶされなかった部分の形状を検証する手順では,加算の秘密計算を実現するカードプロトコルを用いることで,長方形が存在することをそのサイズを開示せずに証明する.
4D1-4
カードベース暗号の手品としての高専祭での活用
○小泉 康一(福島工業高等専門学校) 、阿部 港(福島工業高等専門学校) 、柴宮 颯(福島工業高等専門学校) 、鈴木 一朗(福島工業高等専門学校) 、常盤 海玖(福島工業高等専門学校) 、栁沼 孝太(福島工業高等専門学校) 、水木 敬明(東北大学)
カード組を利用して秘密計算を実現できるカードベース暗号プロトコルは,日常生活における活用の可能性を秘めている.プロトコルは自分で手を動かして実行するため,秘密計算の仕組みや安全性についての直感的な理解を促すツールとして有用であり,理解のしやすさから教育的な価値も高い.これまでには,高校生向けAND計算の体験,小中学生向けの授業等,教育的な実践が実施されている.本稿では,わかりやすいプロトコルの一つであるMizuki-SoneのXORプロトコルを応用し,2種類のカードのうち相手に秘密裏に選んでもらったカードを確実に当てるデモンストレーション用プロトコルを考案した.これはあたかも手品のように動作し,一般市民の興味を引く内容になっており,福島工業高等専門学校の高専祭に来場した100人以上の参加者に体験していただいた.本稿では,プロトコルの原理,実施内容,実施後に得られた知見など,一連の報告を行う.このことより,カードベース暗号の教育的活用への可能性を高めることが期待される.
4D1-5
グレースケール画像に対する確率的視覚暗号のコントラスト最適化
○水谷 俊介(名古屋大学) 、楫 勇一(名古屋大学)
視覚暗号 (VCS) は秘密分散技術の一種であり, 人間の視覚を用いて復号を行うことを最大の特徴とする. しきい値型の (k, n)-VCS では 1 枚の秘密画像からシェア画像と呼ばれる分散情報が n 枚生成される. これらのシェア画像は 1 枚ずつ透明なシートに印刷され, 任意の k 枚 以上のシェアを集めて重ね合わせたときのみ, 元の秘密画像を復元することが可能となる. 確率的VCS(PVCS) は, 従来の多くの VCS とは異なり, 画素数の拡大を必要としない VCS であり, 復元画像における黒画素の出現確率を制御することにより原画像を再現する. PVCS を具体的に構築するためには, 各種の条件を満たす確率分布を原画像の色の数だけ定義する必要がある. 本研究では, 白黒2値画像を対象とする Wu らの方式を拡張し, グレースケール画像に対して機能する PVCS の構成方法を提案する. 具体的には, 復元画像におけるコントラストの制約関係を等式と不等式により与え, ソルバを用いて線形計画問題を解くことにより,最適なコントラストを持つ PVCS の確率分布が構成可能であることを示す.

4E1 自動車セキュリティ (2) 1月31日(金) 9:00~10:40
座長:矢嶋 純 (富士通)
4E1-1
自動車コネクティッドサービスにおけるプライバシー脅威分析
○小野 華(株式会社アイシン) 、佐々木 あかり(名古屋大学) 、土居 元紀(株式会社アイシン) 、前田 和輝(株式会社アイシン) 、倉地 亮(名古屋大学)
自動車が人とつながり, サービスが提供される場面が増え, 自動車においても個人情報やプライバシを適切に取り扱う必要性が出る.このような背景から, 自動車やその関連サービスにおけるプライバシ脅威分析に着目する.本研究では, 近年, 提唱された LINDDUN 手法について考察する.車載端末を含む仮想システムにおいて個人情報を取り扱うユースケースを想定し, 脅威分析に LINDDUN を組み合わせた手法を適用し, その有用性についてまとめた.
4E1-2
車載システムにおける CWE ビューを活用した弱点特定
○前田 和輝(株式会社アイシン) 、倉地 亮(名古屋大学) 、土居 元紀(株式会社アイシン) 、小野 華(株式会社アイシン)
近年, 車載システムのコネクティッド化が進み, 車外と通信をする機能が増加している. そのため, 車外からの車載システムに対するサイバー攻撃が危惧されており, 製品開発時に弱点を特定し, 特定された弱点から脆弱性分析することにより脆弱性の対策や対応方法を決定しておくことが必要とされる. しかしながら, 脆弱性分析では分析者の知識に依存し, 網羅性が損なわれてしまう課題がある. その課題に対して公開データベースを活用することにより脆弱性分析をする手法が提案されている.既存研究ではキーワードを用いた検索によりデータベースを活用している一方, キーワードの網羅性に課題がある. そこで, 本研究では公開データベースのビューを活用することにより, 導出される弱点の網羅性を向上する方法を検討する. また, これらの検証を行い, 車載システムの弱点特定における公開データベース活用の課題を示す.
4E1-3
攻撃対象ECUの自動判別方法の検討
○倉地 亮(名古屋大学) 、高田 広章(名古屋大学) 、上田 浩史(株式会社オートネットワーク技術研究所) 、宮下 之宏(株式会社オートネットワーク技術研究所)
これまでの自動車セキュリティにおける侵入検知システムでは不正なCANメッセージを見つける手法の研究が主流であった.その一方で,攻撃対象となっているECUを見つける方法については十分議論されていないことが問題である.このため,筆者らの先行研究である善良性と公平性を用いたECUの乗っ取り検知手法を応用し,攻撃対象ECUを検出する方法を提案する.より具体的には,筆者らの先行研究では閾値を用いて異常を検知していたが,他にも統計的な異常検知等が考えられる.このため,本論では攻撃対象ECUの自動判別に向けて幾つかの検知方法の比較を行い考察した.
4E1-4
LLMを使った自動車の脅威シナリオ生成と脅威分析の効率化
○倉地 亮(名古屋大学) 、佐々木 崇光(パナソニック ホールディングス株式会社) 、氏家 良浩(パナソニック ホールディングス株式会社)
近年,自動車のサイバーセキュリティ強化が必須となっており,開発プロセスについても脅威分析が要求されている.しかしながら,実際に自動車に対して発生した脅威事例は少なく,脅威分析において参考になる脅威シナリオが少ないことが課題である.このため,本研究では自動車における開発の初期段階にて潜在的な脅威シナリオをより多く導出するため,大規模言語モデルを用いた脅威シナリオの生成手法を検討した.より具体的には,攻撃者の行動を予測するためにサイバーキルチェーンの段階を考慮し,公開される脅威情報から該当する車載システムへの脅威を導出する方法を検討した.導出された脅威シナリオは人手による評価により,その有用性と効果を検証した.
4E1-5
低遅延CANメッセージフィルタリング技術Gated-CANにおけるバス切断メカニズム
○前川 陽介(トヨタ自動車株式会社 / 横浜国立大学) 、Gay Camille(トヨタ自動車株式会社) 、吉岡 克成(横浜国立大学) 、松本 勉(横浜国立大学)
低遅延CANメッセージフィルタリング技術Gated-CANは,バスを電気的に一瞬切断してCANメッセージの伝送方向を識別し,不正なメッセージを認識した際にはその通過を阻止するために再びバスを電気的に切断する.伝送方向を識別するためのバス切断がバス機能に影響を与えないようにできることは既に報告している.本稿では,不正なCANメッセージの通過を阻止するためのバス切断がバス機能に与えうる影響の詳細を示し,これを最小化するメカニズムを提案する.

4F1 システムセキュリティ (1) 1月31日(金) 9:00~10:40
座長:中西 透 (広島大学)
4F1-1
Bluetooth省電力モードを用いた音声盗聴攻撃と防御
◎木村 圭一朗(神戸大学) 、葛野 弘樹(神戸大学) 、白石 善明(神戸大学) 、森井 昌克(神戸大学)
Bluetoothの導入以降,Bluetoothをサポートするデバイスの需要は増加の傾向にある.また,需要増加の背景で,様々なデバイスが省電力モードをサポートする.我々は,Bluetooth省電力モードへの移行後の状態の脆弱性を分析し,省電力モードの一つのSleepモードを用いて被害者デバイスの操作を不正に制御する攻撃(以降,従来攻撃)を提案した.また,攻撃を再現するツールBreaktoothを開発した.従来攻撃は,Sleepモードをサポートし,かつ通信先のデバイスにデータを送信するBluetoothデバイス(e.g., キーボード,マウス)に対して攻撃を評価した.しかし,従来攻撃は通信先のデバイスからデータを受信するBluetoothデバイス(e.g., イヤホン)へ攻撃を評価していない.本論文は,SleepモードをサポートするBluetoothイヤホン計4種類に対して従来攻撃を評価し,被害者デバイスの音声データの盗聴を実証する.さらに,従来攻撃の脅威を軽減するための防御手法を提案し,LinuxのBluetoothプロトコルスタックへの実装を通じて防御手法の有効性を示す.
4F1-2
Wi-Fi Directの脆弱性を利用したAndroid端末での無線LANパスワードの奪取
◎井上 雄登(神戸大学大学院) 、白石 善明(神戸大学大学院) 、森井 昌克(神戸大学大学院)
Androidのセキュリティパッチレベル2021-02-05以前にはWi-Fi Directにおいて境界外書き込みの脆弱性が存在する.この脆弱性を利用することでAndroid端末内で動作しているwpa_supplicantプロセスにおいてSegmentation Faultを発生させ,プロセスを強制終了させることが可能である.このように無線LANの可用性を阻害する攻撃は報告されているが,機密性を阻害する攻撃は報告されていない.そこで脆弱性を利用し,Android端末のメモリ内に格納されている無線LANのパスワードを奪取する攻撃を提案する.Wi-Fi Directではデバイス名をビーコンに含めて発信する.提案する攻撃ではRCEによりデバイス名をパスワードに強制変更させる.結果,電波の届く範囲にいる第三者がパスワードを確認できるようになる.本論文では攻撃の具体的な実装および,攻撃の実現可能性について議論する.
4F1-3
ReForger: Advanced Protection of Dynamic Library Imports via LLVM IR Transformation
◎Andras Mumm(Bachelor Student of Environment and Information Science, Keio University) 、Kawashima Hideyuki(Associate Professor, Faculty of Environment and Information Studies Graduate school of Media and Governance, Keio University)
Reverse engineering software typically involves analyzing strings and imported functions inside of compiled binaries to understand program behavior and determine points of interest. While compile-time string encryption and lazy importing can hide some information, these techniques are insufficient against dynamic analysis methods like function hooking, which can reveal usage locations of imports at runtime through (call)stack analysis. This paper investigates the feasibility of a novel technique that enhances software protection by dynamically lifting individual functions from loaded libraries (DLLs in Windows) into LLVM Intermediate Representation (IR) during runtime. Obfuscation techniques are then applied to the IR, and the functions are recompiled into machine code and embedded into a new code section within the executable. This process results in internal, obfuscated copies of dynamic library functions that are more resistant to detection through standard static and dynamic analysis techniques. By combining this approach with lazy importing, we aim to maximize the concealment of critical information from reverse engineers.
4F1-4
GGPinReal: LWEを用いたGarbled CircuitとTFHEによる検証可能論理回路秘匿演算基盤
◎松岡 航太郎(京都大学) 、辺 松(北京航空航天大学) 、佐藤 高史(京都大学)
Fully Homomorphic Encryption over the Torus (TFHE)は完全準同型暗号と呼ばれる暗号のまま計算を行うことができる暗号の一種であり, 特に論理回路の計算に適する. これを用いると機密情報を扱う統計処理などを外部サーバへ委託可能である. しかし, TFHEは結果が委託した計算を実行したものか検証できない. 完全準同型暗号に計算検証機能をもたせる方法としてGennaro-Gentry-Parno (GGP) プロトコルがある. GGPはGarbled Circuit (GC)という, 論理ゲート評価を暗号復号に置換することで計算を検証可能にする方法を, 完全準同型暗号上で実行することで暗号上計算を検証可能にする. しかしGGPは完全準同型暗号が平文に比べて非常に遅いこと等から, 実装されたことはなかった. 本研究ではGCで用いる暗号をLearning With Errors (LWE)暗号にすることにより, 復号をTFHE上で高速に実行する方法を提案し, その実装・評価を行った. 提案法はAESを用いた場合に比して20倍程度の高速化を達成した.
4F1-5
Optimistic Fair Exchange from Adaptor Signatures
◎Haoliang Tang(Kyoto University) 、Mehdi Tibouchi(NTT Social Informatics Laboratories, Kyoto University) 、Masayuki Abe(NTT Social Informatics Laboratories, Kyoto University)
In this paper, we propose a novel optimistic fair exchange protocol from Adaptor Signatures. Transactions without a trusted third party, such as blockchain-based systems, typically rely on either (1) smart contracts or (2) cryptographic techniques like adaptor signatures. Adaptor signatures embed secrets in digital signatures, enabling fair exchange without the on-chain costs of smart contracts. Fair exchange protocols are categorized as pessimistic or optimistic. Pessimistic protocols verify the seller's data before payment, ensuring correctness but incurring computational overhead. Optimistic protocols skip pre-verification, offering greater efficiency but requiring mechanisms to address incorrect data. Existing adaptor signature-based fair exchange protocols are predominantly pessimistic, demanding substantial computational resources. This raises the question: can a more lightweight, optimistic protocol be designed using adaptor signatures? In response, this paper proposes an innovative optimistic fair exchange protocol based on adaptor signatures.

4G1 AIセキュリティ (6) 1月31日(金) 9:00~10:40
座長:三本 知明 (KDDI総合研究所)
4G1-1
M:Nチューリングテスト:サイバネティックアバターと発話文合成・分解LLMを用いた高度標的型ソーシャルエンジニアリング攻撃とその対策の検討
◎小桐 斗馬(静岡大学) 、髙岩 拓海(静岡大学) 、梶原 聖矢(静岡大学) 、原田 竜之介(静岡大学) 、畠山 渉(静岡大学) 、佐藤 靖治(静岡大学) 、大木 哲史(静岡大学) 、西垣 正勝(静岡大学)
現在既に,仮想空間において無体物アバターが広く使われており、人間は身体や空間の制約を超えて様々な体験をすることができるようになっている.将来的には,有体物アバターの開発によって,物理的な身体変容や能力拡張さえも可能となるだろう.このようなアバター共生社会では身体の融合・分離も可能となり,1人の人間が1体のアバターを操作する「1:1操作」だけでなく,複数の人間が1体のアバターを操作する「M:1操作」や,1人の人間が複数体のアバターを操作する「1:N操作」によるサイバネティックヒューマンも誕生する.しかし,アバターの「M:N操作」によってもたらされる身体拡張は,我々正規ユーザだけでなく,攻撃者の能力をも増幅させる諸刃の剣となる.攻撃者がM:1操作や1:N操作を悪用することによって,ソーシャルエンジニアリング(SE)攻撃も高度化する.例えば、M:1操作を用いることによって,複数の攻撃者が1人の「攻撃能力の高い攻撃者」を装うことが可能である.また、1:N操作を用いることによって,1人の攻撃者が複数の人物を装って劇場型の特殊詐欺を実行することが可能となる.以上を鑑みるに,アバター共生社会特有のセキュリティ要件として,対話相手がM:N操作されたアバターか否かを確認する仕組みが必要となる.そこで本研究では,ユーザが対峙しているアバターがM:1操作されているかを判定する「M:1チューリングテスト」,並びに,1:N操作されているかを判定する「1:Nチューリングテスト」を提案し,両者の定式化を試みる.従来のチューリングテストが「対話相手がAIか人間か」を判定するのに対し,本テストでは「対話相手がM:N操作者か1:1操作者か」を判定する.
4G1-2
チャルディーニの法則を用いた標的型メールのAIに対する影響に関する調査
◎畠山 渉(静岡大学) 、髙岩 拓海(静岡大学) 、梶原 聖矢(静岡大学) 、原田 竜之介(静岡大学) 、佐藤 靖治(静岡大学) 、山本 匠(三菱電機株式会社) 、山中 忠和(三菱電機株式会社) 、大木 哲史(静岡大学) 、西垣 正勝(静岡大学)
ソーシャルエンジニアリング攻撃の被害は依然増加傾向にある.近年では,AIエージェントが多くの業務を担うようになり,ソーシャルエンジニアリング攻撃の対象が人間からAIエージェントに拡大する危険性がある.AIエージェントは使用者が使いやすいように,使用者の性格特性に合わせた性格特性チューニングが施されることが考えられる.そのため,AIエージェントも人間の有するような「性格」を持つことになる.西川らの研究では,「標的型メールの文面に用いられるチャルディーニの法則」と「個人の性格因子および行動特性」には関係があり,人の性格特性によって効果的なチャルディーニの法則が異なることが確認されている.同様に,チャルディーニの法則を用いた標的型メール攻撃に対するAIエージェントの反応も,その性格特性によって異なる可能性があると考えられる.今回は,性格特性チューニングを施した大規模言語モデル(LLM)をターゲットとし,性格特性の違いによってチャルディーニの法則が含まれたフィッシングメールを提示した際の反応の違いを調査する.これにより,チャルディーニの法則に対して,同じ性格特性を有する人間とAIエージェント間でどのような反応の違いがあるのかを明らかにする.
4G1-3
生成AIを活用した産業制御システム向けセキュリティ対策支援システムの設計
◎阪田 恒晟(株式会社 日立製作所 / 東京科学大学) 、田中 真愉子(株式会社 日立製作所) 、松本 典剛(株式会社 日立製作所) 、安藤 英里子(株式会社 日立製作所) 、武本 敏(株式会社 日立製作所)
産業制御システム(Industrial Control System, ICS)におけるセキュリティリスクが増大する中,法規や標準規格に基づく迅速かつ柔軟な対策が求められている.しかし,これらの要件と具体的な脅威や対策を結び付ける作業は多くの場合手作業に依存しており,効率性と精度の向上が課題となっている.本研究では,生成AIと潜在的ディリクレ配分法(Latent Dirichlet Allocation, LDA)を活用し,法規や規格の要件を脅威情報と関連付け,最適な対策を自動提示するシステムを提案する.提案システムは,法規(Cyber Resilience Act,CRA),規格(IEC 62443),脅威情報(MITRE ATT&CK for ICS)を統合し,LDAによって要件間の関係性を明確化したアカウンタブルデータベースを基盤とする.このデータベースを参照するRetrieval-Augmented Generation (RAG)を活用し,生成AIがリアルタイムで適切な対策を提示する.評価の結果,アカウンタブルデータベースを学習した生成AIは未学習の生成AIと比較してF1スコアが法規-規格間で+50.3ポイント,規格-対策間では+84.0ポイントの改善が確認された.これにより,セキュリティ要件と脅威の効率的な関連付けが可能となり,ICS環境のセキュリティ対応力を大幅に向上させる成果が得られた.
4G1-4
MLLMを用いた図面活用による資産管理手法の提案
◎金子 武史(パナソニックホールディングス株式会社) 、安達 貴洋(パナソニックホールディングス株式会社) 、岡田 裕幸(パナソニックホールディングス株式会社)
OT分野のセキュリティオペレーションセンター(SOC)での監視業務には、システムやネットワーク異常の迅速な検知と適切な対応が必要である。よって、監視対象の資産情報に対する正確な把握と管理が重要だが、これは人的・時間的リソースを大きく消費する。特に、IoTやOT分野では可用性の制約からIT向け資産管理ツールの導入が難しく、資産の詳細情報はベンダー提供の図面に依存するため、手動で整理する必要がある。従来、LLMは文書による半自動化支援がメインで、画像処理の手法が少ない。特に、ネットワーク構成図等の情報量が多い画像を処理できない課題を持つ。本研究では、ネットワーク構成図を有効に処理するため、Segment Anything Modelによるセグメンテーションとk-meansクラスタリングを用い画像を効果的に分割し、マルチモーダルLLMで資産情報抽出を行う。本手法は、MLLM画像前処理時の解像度低下を軽減し、過多な画像情報の効果的な分割を行える。実験では、通常入力や単純な格子状分割と比較し、提案手法の高いF1精度と再現率を確認した。これにより、SOC業務効率化と負担軽減への寄与が期待される。
4G1-5
LLMとの対話によるSOC分析官向け資産情報抽出システムの提案
◎金子 武史(パナソニックホールディングス株式会社) 、安達 貴洋(パナソニックホールディングス株式会社) 、岡田 裕幸(パナソニックホールディングス株式会社)
近年、セキュリティ分野の様々な領域で、テキスト情報を処理する大規模言語モデル(LLM)が活用されている。セキュリティオペレーションセンター(SOC)では、分析官がアラート分析やリスクアセスメントの際資産情報を活用する。しかし、資産情報の粒度が異なるため、SOC分析官が必要な情報を迅速に得ることは難しい。 本課題を解決するため、Retrieval-Augmented Generation(RAG)を用いた画像情報検索システムを提案する。従来の本分野でのRAGはセキュリティ文書を対象とし、画像情報検索に課題を持つ。構成図の場合、視覚的特徴より画像内文字情報が重要であり、CLIPによる画像のベクトル化手法は効果が限定的だった。本研究は、OCR(光学文字認識)技術を用い画像内の文字情報を抽出しベクトル化して検索を行い、より正確な質問応答を目指す。実験では、人工データベースでの提案手法の有効性を検証し、画像のみと比較したVQA(Visual Question Answering)の精度向上を確認した。 本研究の成果は、SOC業務画像情報の検索効率化に寄与し、人的・時間的リソースを削減できる。

4A2 耐量子計算機暗号 (7) 1月31日(金) 11:00~13:00
座長:高木 剛 (東京大学)
4A2-1
FALCONにおける鍵サンプリングに関する考察
◎粟木原 正和(岡山大学大学院環境生命自然科学研究科) 、神澤 昇大(株式会社日本総合研究所) 、中川 直樹(株式会社日本総合研究所) 、野上 保之(岡山大学大学院環境生命自然科学研究科) 、小寺 雄太(岡山大学大学院環境生命自然科学研究科)
量子計算機の発展による現代暗号の危殆化に先駆け,耐量子計算機暗号の研究が盛んに行われている.量子計算機の性能が飛躍的に向上すれば,従来の公開鍵暗号で広く用いられるRSAやECCの安全性の根拠となっている問題が多項式時間で解かれる危険性がある.このため,より安全な耐量子暗号の開発が急務となっている.2024年8月には米国標準化技術研究所(NIST)が,耐量子暗号の標準化コンペティションにて3つのアルゴリズムを標準化方式として採択した.FALCONはNTRU格子暗号をベースとした署名アルゴリズムの一つであり,その安全性はNTRU問題の計算困難性に依存している.NTRUを用いた暗号方式におけるパラメータの生成においては,従来の再帰的な計算によって導出する手法に対して行列変換を用いてパラメータを生成する手法が提案されている.本研究では,この手法に着目し,行列変換を用いて生成される鍵の特徴量を考える.
4A2-2
SQIsign2DPush: 2次元同種写像を用いたより高速で安全な署名方式
◎中川 皓平(NTT社会情報研究所) 、小貫 啓史(東京大学)
同種写像暗号は, 同種写像問題と呼ばれる数学的問題の困難性を安全性の根拠とする暗号方式の総称であり, 耐量子暗号の候補の一つとして注目されている. 代表的な同種写像暗号として, NISTの署名再公募に応募された署名方式SQIsignがある. SQIsignはNISTの署名再公募の中でも署名長および鍵長が非常に短く, 注目されている. また近年, 高次元の同種写像を利用した新たな方式が多数提案されておいる. 中でも署名方式SQIsignHDは, 検証の際に4次元または8次元の同種写像計算を用いる方式であり, SQIsignよりもさらに短い署名長を持つ. さらに, 検証を2次元の同種写像計算のみで実現できるよう改良した方式がSQIsign2D-EastおよびSQIsign2D-Westである. これらの方式は計算効率と安全性に関してトレードオフの関係にあり, SQIsign2D-EastはSQIsign2D-Westよりも署名作成の計算効率が高い反面, 安全性を満たすための仮定が強い. 本稿ではSQIsignHDをベースに構成した新たな署名方式SQIsign2DPushを提案する. SQIsign2D-PushはSQIsign2D-Eastと比べ, 署名コストがより小さいうえに, 安全性仮定も弱くなっている.
4A2-3
同種写像暗号方式FESTAに対するZero-value Point攻撃
◎竹本 綾雅(豊橋技術科学大学) 、南出 大樹(東京工業高等専門学校) 、中井 雄士(豊橋技術科学大学) 、鈴木 幸太郎(豊橋技術科学大学)
2022年に同種写像暗号方式SIDHへの鍵復元攻撃が提案された. FESTAはこの攻撃アルゴリズムをトラップドアとして利用して構成された同種写像暗号方式である.Zero-value Point攻撃は,Zero-value Pointと呼ばれる点が復号アルゴリズムの過程で生じた際に現れる,特徴的な電力波形を利用したサイドチャネル攻撃である.この攻撃はSIDHやCSIDHなどの同種写像暗号方式へ適用できることが知られているが,FESTAへ適用可能であるかは明らかでなかった.本研究では,唯一公開されているFESTAの実装に対するZero-value Point攻撃を提案する.具体的には,対象の実装が楕円スカラー倍算にMontgomery ladderと呼ばれるアルゴリズムを用いているところに着目し,Zero-value Pointを発生させるような暗号文の算出方法を示す.Montgomery ladderに基づく復号アルゴリズムでは,秘密鍵のi-bit目の値を固定すると,その他のbit値に関わらず計算過程で必ず現れる値が存在する性質がある.提案手法はこの性質を利用して実現される.
4A2-4
FALCONを用いた量子耐性ブロックチェーンのトランザクションサイズ削減に関する検討
◎中西 陽路(豊橋技術科学大学) 、橋本 俊甫(兵庫県立大学) 、中山 崇嗣(立命館大学) 、井上 博之(京都産業大学) 、猪俣 敦夫(大阪大学)
近年,量子コンピュータの進展に伴い,従来の公開鍵暗号に基づくブロックチェーンのセキュリティが脅威に曝されるリスクが高まっている.この問題に対応するため,耐量子暗号(PQC)の暗号方式の導入が進められている.しかし,PQCアルゴリズムの多くは,耐量子性の確保のために公開鍵や署名サイズが大きいので,トランザクションサイズが増加する.このため,リソース制約のある環境下での実用性が制限されるという問題がある.そのような問題を解決するために本研究では,FALCONとゼロ知識証明(ZKP)を組み合わせることで,トランザクションサイズを削減することを可能にする新しいアプローチを提案する.FALCONとZKPを組み合わせることで,署名の完全性を保持しながら,トランザクションデータを小さくし,ブロックチェーン上でのトランザクションサイズを最適化する.FALCON単体との比較において,トランザクションサイズが22%削減できた.
4A2-5
FALCONの安全性証明に向けたマスキング実装の改良
◎片山 瑛(立教大学) 、中邑 聡史(NTT社会情報研究所) 、安田 雅哉(立教大学)
米国標準技術研究所NISTによる耐量子計算機暗号の標準化プロジェクトにおいて, NTRU問題の計算困難性を安全性の根拠としたFALCONが標準化方式の一つとして選ばれた.近年, 暗号実装の面において, ハードウェアに対して物理的観測・解析を行うことで秘匿情報を復元するサイドチャネル攻撃の脅威が指摘されている.そのため対策技術であるマスキング実装の必要性が高まっており,実際にNISTの標準化方式に関してもマスキング実装が提案されている. しかし,標準化方式の中で唯一FALCONだけは,一部しかマスキング実装の提案がなされてない状態であり,本稿では, FALCONの署名生成のプロセスにおけるマスキング実装のアルゴリズムとその安全性証明を議論する. 特に, 署名生成の部分プロセスであるFFT変換, サンプルベクトル生成, ノルム計算に対してのマスキング実装を提案し, そのうちのFFT変換,ノルム計算に対して安全性証明を与える.

4B2 高機能暗号 (3) 1月31日(金) 11:00~13:00
座長:草川 恵太 (Technology Innovation Institute)
4B2-1
楕円曲線演算のバッチ処理アルゴリズムとAVX-512を用いた実装評価
○光成 滋生(サイボウズ・ラボ)
楕円曲線を用いた暗号技術は公開鍵暗号方式・署名・準同型暗号など多数に渡り長年研究されている.ブロックチェーン登場後はzk-SNARKなどのゼロ知識証明・秘密計算・秘密分散などへの応用も広がっている. それらの用途では,楕円曲線の複数の点を活用する場面が多く見られ,まとめて演算するバッチ処理の高速化が重要である.本論文ではアフィン座標への変換・スカラー倍算などのバッチ処理,複数の点のスカラー倍算の和を求めるMSM (Multi Scalar Multiplication) などの処理について考察し,SIMD (Single Instruction, Multiple Data) 向けアルゴリズムを検討した.そして,BLS12-381曲線に対してAVX-512 IFMAを用いた実装を行い,個別にスカラー倍算を行う場合に対してバッチ処理で3.2倍,MSMは最大1.6倍の高速化を達成した.
4B2-2
送信者アナモルフィック暗号の安全性定義の再考
◎谷下 友一(東京大学 / 産業技術総合研究所) 、松田 隆宏(産業技術総合研究所) 、松浦 幹太(東京大学)
送信者アナモルフィック暗号(Sender-Anamorphic Encryption)は,暗号化されたメッセージとは異なるメッセージを暗号文に埋め込む技術であり,権力者等によって送信者の意に反するメッセージの送信が強制されても,送信者が真に送りたいメッセージを権力者等に知られずに送ることが可能となる.ここで想定される具体的な状況は,権力者等が送信者に暗号文の生成に用いた公開鍵,平文,内部乱数の提出を求め,強制されたメッセージの暗号化を正しく行ったことを説明させるというものである.Persianoら(Eurocrypt 2022)は,この状況を捉えた送信者アナモルフィック暗号の安全性の定式化を行い,これを基にWangら(Asiacrypt 2023)は$\ell$-送信者アナモルフィック暗号とその安全性の定式化を行った.しかし,これら既存研究での安全性定義では攻撃者にチャレンジ暗号文生成に用いる乱数が渡されないため,想定される脅威を十分に捉えられていない.そこで本研究では,攻撃者にチャレンジ暗号文の生成に用いる乱数が渡るよう安全性の再定義を行い,既存方式の安全性を調査する.
4B2-3
構造化暗号方式における補助情報の分布差異に基づく漏洩乱用攻撃の復元率の評価
◎赤田 真悟(筑波大学大学院システム情報工学研究群) 、下江 直輝(筑波大学大学院システム情報工学研究群) 、國廣 昇(筑波大学システム情報系) 、長沼 健(日立製作所) 、吉野 雅之(日立製作所)
漏洩乱用攻撃は,暗号化されたデータベースシステムから漏洩する補助的な情報を使用して,機密データやクエリ内容を推測する攻撃手法である.漏洩乱用攻撃にはデータの部分知識を使用するものや補助情報の分布を利用するものがあるが,これらの攻撃パラダイムは重要性が高いにもかかわらず,個別に研究されてきたため,包括的な理解や比較分析が不十分である.本研究では,構造化暗号方式(Structured Encryption)に対する,Hooverら(USENIX Security '24)が提案した補助情報の分布を利用した漏洩乱用攻撃に,Kullback–Leibler ダイバージェンスを活用した評価指標を導入する.この評価指標によって,実際のデータ分布と敵対者が想定または利用する補助的分布の差を定量化することで,部分知識を使用する攻撃と補助情報の分布を利用する攻撃を関連づける.さらに,この評価指標が,Hooverらの SQL SELECT Query Recovery 攻撃の復元率にどのように影響を与えるか理論的に分析する.ついで,実験によりその有効性を確認する.
4B2-4
複数テーブルのJOINクエリに対する平文復元攻撃
◎下江 直輝(筑波大学大学院システム情報工学研究群) 、赤田 真悟(筑波大学大学院システム情報工学研究群) 、國廣 昇(筑波大学システム情報系) 、長沼 健(日立製作所) 、吉野 雅之(日立製作所)
構造化暗号方式(Structured Encryption)はクラウド上のデータを暗号化して管理しつつ,暗号化されたデータに対して基本的なSQL操作を可能にする.SQLのクエリの中でもequi-JOINクエリは複数のテーブルを扱うために重要であり,構造化暗号化方式でも実現されている.複数テーブルのequi-JOINクエリは2つのテーブルのequi-JOINクエリに分解することができ,分解後のクエリのことはサブクエリと呼ばれる.我々は敵対者が各サブクエリについて漏洩情報が手に入る場合のequi-JOINクエリの平文復元攻撃を提案する.さらに,サブクエリについて漏洩情報が手に入らない場合の攻撃手法も提案し,サブクエリからの情報漏洩を防ぐことが安全性の向上に寄与することを確認する.後者の攻撃手法では,2つのテーブルに対する攻撃手法で使うアルゴリズムPOAA(USENIX Secutity'24)を任意の数のテーブルに一般化して,攻撃に利用する.
4B2-5
FuncCPA安全性とReEncCPA安全性の分離
○篠﨑 拓実(東京科学大学) 、岡本 龍明(NTT社会情報研究所) 、田中 圭介(東京科学大学) 、手塚 真徹(東京科学大学) 、吉田 雄祐(東京科学大学)
FuncCPA安全性とは、Akavia,Gentry,Halevi,Vald (TCC 2022)によって提案された公開鍵暗号の安全性である.この安全性はIND-CPAゲームに、関数適用可能な再暗号化オラクルを付与することで定義される.ReEncCPA安全性とはFuncCPAにおいて,関数適用を含まない再暗号化オラクルに置き換えた安全性である.これらの安全性は、サーバが計算の一部をクライアントに委任することが許可されている秘密計算に対して重要である.本研究では,FuncCPAはReEncCPAより真に強い安全性であることを示す.また,それぞれの安全性の強い定義であるFuncCPA+とReEncCPA+についても同様の結果を示す.
4B2-6
選択暗号文攻撃に対し安全な公開鍵暗号と外部者に対するゼロ知識性を満たす検証者指定型非対話ゼロ知識証明の関係について
○松田 隆宏(産業技術総合研究所)
選択平文攻撃に対して安全(CPA安全)な公開鍵暗号(PKE)と、再利用可能性と呼ばれる性質を満たす検証者指定型非対話ゼロ知識証明(Reusable DV-NIZK)を組み合わせることで、選択暗号文攻撃に対し安全(CCA安全)なPKEを構成できることが知られているが、Reusable DV-NIZKをCCA安全なPKEのみから構成できるかは知られていない。SCIS2024において、我々は、Reusable DV-NIZKに対し既存のゼロ知識性の定義を弱めた「外部者に対するゼロ知識性」の定義を導入し、CCA安全なPKEのみから、同安全性を満たすDV-NIZKを構成可能であると示したが、その構成は別の中間的な要素技術を経由する複雑な構成であった。本稿では、前者から後者の非常に簡素で直接的な構成を示し、上記二つの概念が非常に近しい関係を持つことを示す。

4C2 秘密計算 (3) 1月31日(金) 11:00~13:00
座長:戸澤 一成 (東京大学)
4C2-1
QueryAheadArray: 秘密計算プラットフォーム上の行列演算ライブラリ
○瀧本 篤志(株式会社ZenmuTech / 産業技術総合研究所) 、福田 浩平(株式会社ZenmuTech) 、花岡 悟一郎(産業技術総合研究所)
本論文では,我々が開発している秘密計算プラットフォーム QueryAhead 上で利用できる行列演算ライブラリの設計と実装について述べる.QueryAhead 開発当初のターゲットは大規模データの前処理であったため,その計算モデルはデータベース操作を基礎として設計された.一方で,近年は機械学習を秘密計算で実行する需要が高まっており,開発者がテーブル管理を意識することなく行列演算を直観的に記述できるインターフェースが重要となる.我々は,これまで開発してきた QueryAhead を活用しつつ行列演算に適したインターフェースを提供するために,今回新たに QueryAheadArray というライブラリを開発した.
4C2-2
Homomorphic Linear Transformationを用いた任意二変数関数計算の平文空間拡張について
○中島 明(NEC) 、林 卓也(NEC) 、杉崎 行優(NEC) 、森 健吾(NEC)
比較的大きな平文整数に対して任意二変数関数計算を行う先行研究として,前田らの方式(WAHC'22)がある.WAHC'24において著者らは,Homomorphic Linear Transformation処理に基づくテーブルルックアップを行うことで,前田らの手法と比較してより高速な任意二変数関数計算手法を構成した.ただしこの手法は,RLWE次元$N$に対して,平文空間が$\{0, 1, \ldots, N-1\} \times \{0, 1, \ldots, N-1\}$へ制限される.本稿では,平文空間を素体へ分解できるときのBFV方式の法$t (> 2N)$について,WAHC'24方式の定義域を$\mathbb{F}_t \times \mathbb{F}_t$へ拡張する手法を述べる.
4C2-3
準同型暗号CKKS方式の行列積実装の高速化
◎眞鍋 拓朗(岡山大学大学院 環境生命自然科学研究科) 、若杉 飛鳥(EAGLYS株式会社) 、服部 大地(EAGLYS株式会社) 、小寺 雄太(岡山大学大学院 環境生命自然科学研究科) 、野上 保之(岡山大学大学院 環境生命自然科学研究科)
準同型暗号は,データを暗号化した状態で直接計算を行うことを可能にする技術であり,プライバシーを保護しながら安全な計算環境を提供する.しかしながら,複数回の加算と乗算を要する行列積計算アルゴリズムでは,計算コストや精度低下が課題とされている.本稿では,ACM SIGSAC 2018 の研究で紹介された,単一の暗号文に単一および複数の行列を暗号化する行列積の,2つの高速化手法に着目する.また,先行研究の手法に対して,詳細な実装設計を与える.加えて,行列積1回あたりの実行時間を測定し,及び,当該論文では行われていなかった,平文との誤差の検証を行う.具体的には,要素ごとに暗号化を行なった行列積と,先行研究の2つの高速化アルゴリズムの実行時間を比較し,先行研究の高速化の効果について確認する.また,上記全てにおいて平文との誤差の最大値を求め,精度を確認する.
4C2-4
準同型暗号CKKS方式における暗号文のランダム逆行列の考察
◎礒川 楽丸(岡山大学大学院 環境生命自然科学研究科) 、若杉 飛鳥(EAGLYS株式会社) 、服部 大地(EAGLYS株式会社) 、小寺 雄太(岡山大学大学院 環境生命自然科学研究科) 、野上 保之(岡山大学大学院 環境生命自然科学研究科)
データの漏洩リスクを低減し,プライバシーを確保しつつ機密情報を解析する方法の1つとして,準同型暗号が注目されている.準同型暗号では,いくつかの方式が実現されており,その内の1つにCKKS方式が知られている.いくつかの機械学習アルゴリズムでは,与えられた正定値対称行列に対して,逆行列を求めるサブルーチンが用いられる.平文状態で逆行列を求めるアルゴリズムとして,ガウス消去法が知られているが,加算と乗算のみを扱える準同型暗号文状態では,同様のアルゴリズムを実現することは難しい.本稿では,ガウス消去法ではなくニュートン法をベースとして,準同型暗号CKKS方式における暗号文の逆行列の算出アルゴリズム及びプロトコルを提案する.これらの実装を行なったのち,ランダム行列の逆行列を計算した際の実行時間を計測する.また,平文状態の逆行列との誤差評価を行なった結果として,誤差が大きい場合がみられた.よって,実際には,ランダム行列にはいくつかの制約が存在すると考えられるため,本稿では,それらの議論を展開する.
4C2-5
準同型暗号 CKKS 方式を用いたガウス過程回帰の構成
◎河原 直翔(岡山大学大学院 環境生命自然科学研究科) 、若杉 飛鳥(EAGLYS株式会社) 、服部 大地(EAGLYS株式会社) 、小寺 雄太(岡山大学大学院 環境生命自然科学研究科) 、野上 保之(岡山大学大学院 環境生命自然科学研究科)
準同型暗号とは,暗号化されたデータに対して計算を行うことができる技術である.これは1970年代から研究されているテーマであり,2009年に Gentry によって完全準同型暗号の構成が提案され,以降1世代から4世代まで分類される.そして,実数を扱うことができる CKKS 方式が4世代の方式である.準同型暗号を用いることで,個人情報のような機密性の高いデータに対して,機械学習アルゴリズムを適用することができる.いくつかのアルゴリズムは CKKS 方式で実装されているが,ガウス過程回帰アルゴリズムに関する研究は知られていない. 本稿では,そのアルゴリズムの構成及び実装を与える.また,広く利用されているデータセットを対象に, CKKS 方式を用いたガウス過程回帰の訓練及び,予測アルゴリズムに対する実行時間を計測する.そして,暗号文での訓練及び,予測後の出力値に対して,平文で scikit-learn モジュールを用いて実行した場合とで誤差を算出する.さらに,データセットに対する精度を測定し,その誤差も評価する.
4C2-6
能動的かつ欠落的コラプト下における一般攻撃構造に対する期待定数ラウンドビザンチン合意
◎下位 伊織(茨城大学) 、米山 一樹(茨城大学)
欠落的コラプトは,ビザンチン合意プロトコルにおける現実的なコラプトモデルの1つであり,攻撃者はコラプトした参加者の任意の送受信メッセージを欠落させることが可能となる.Eldefrawyらは,$t_{byz}$の能動的コラプト,$t_{snd}$の送信欠落的コラプト,$t_{rcv}$の受信欠落的コラプトに対して,$n>t_{snd}+2t_{rcv}+2t_{byz}$を許容する期待定数ラウンド方式を提案した。また,Brazitikosらは,PKIセットアップを用いない能動的かつ欠落的コラプト下における一般攻撃構造に対する多項式ラウンド方式を提案した.しかし,能動的かつ欠落的コラプト下における一般攻撃構造に対する(期待)定数ラウンドプロトコルは知られておらず,許容攻撃構造が限定的であるという問題がある. 本稿では,PKIセットアップを用いることで,Brazitikosらの方式よりも許容攻撃構造が広い期待定数ラウンド方式を提案する.我々の方式では,電子署名による送信者認証を行うことで広い攻撃構造を許容することができ,King Consensusの代わりに偏りの無いコイン投げを部品プロトコルとして導入することで期待定数ラウンドを実現している.

4D2 カードベース暗号・物理暗号 (4) 1月31日(金) 11:00~13:00
座長:水木 敬明 (東北大学)
4D2-1
ランダムカットのみの4枚XORプロトコルに対する形式検証と不可能性証明
◎藤田 和弘(茨城大学) 、池田 昇太(茨城大学) 、品川 和雅(茨城大学/産業技術総合研究所) 、米山 一樹(茨城大学)
物理的なカードを用いて秘密計算を行うカードベース暗号において,カード枚数やシャッフル回数の下界を明らかにすることは重要な研究課題である.プロトコルの構成不可能性を示す手法としては,人手による証明と形式検証の2つがある.既存研究の多くは,シャッフルを一様/閉/一様閉に分類し,それぞれのシャッフルのみを用いる設定における不可能性を示しているが,ランダムカットのみを用いる設定においてはまだ多くの未解決問題が残されている.特にコミット型XORプロトコルについては,カード枚数5枚以下のプロトコルの構成可能性は未解決である.本稿では,ランダムカットのみを用いた4枚のコミット型XORプロトコルの不可能性について,形式検証と人手による証明の2つの手法によって明らかにする.形式検証では,KochらによるANDプロトコルの検証手法を応用しXORプロトコルの不可能性検証を行う.検証結果として,カードを並び替える・めくるなどの操作が4回以下のプロトコルは構成不可能であることを示す.人手による証明では,任意の操作回数を許す場合でもプロトコルは構成不可能であることを示す.
4D2-2
秘匿置換を用いたトランプベース 𝒏 入力非コミット型AND, ORプロトコル
◎中澤 龍一朗(千葉大学大学院融合理工学府) 、岸本 渡(千葉大学大学院融合理工学府)
カードベース暗号では,♣ や ♡ などのスートのみが印刷されたカードを用いることが一般的であるが,このようなカードは一般に流通しておらず,手軽に行えないという問題点がある.そこで,トランプカードを用いたプロトコルが提案されている.パブリックモデルではカード枚数の下界である,4枚のカードを用いたANDプロトコルが提案されるなど,様々なプロトコルが提案されている.一方,プライベートモデルではトランプカードを用いたプロトコルの提案は少なく,パブリックモデルのカード枚数の下界を下回るようなプロトコルはつい最近まで知られていなかった.SCIS2023で岩成らが,プライベートモデルでトランプカードを用いて3枚のカードで実装できる2入力AND, ORプロトコルと3入力多数決プロトコルを提案し,初めてパブリックモデルのカード枚数の下界を下回るようなプロトコルを示した.本稿ではそれに続いて,プライベートモデルでトランプカードを用いて 𝑛+1 枚のカードで実装できる 𝑛 入力AND, ORプロトコルを提案する.なお,本プロトコルは入力値に依存した確定的な操作のみで実装される.
4D2-3
n枚ANDプロトコルの不可能性
◎飯野 静流(電気通信大学) 、李 陽(電気通信大学) 、﨑山 一男(電気通信大学) 、宮原 大輝(電気通信大学)
1989年に黒と赤の2色のデッキを用いて論理積を秘密計算するANDプロトコルが発案されて以降,カードベース暗号の研究領域は拡大し続けている.本稿ではANDプロトコルの最適性に着目し,2色デッキを使用する場合と1色デッキを使用する場合の両方について,ANDプロトコルの不可能性を示す.具体的には,2色デッキについては,追加カードを用いない場合,手で簡単に実行可能なシャッフル操作をプロトコル中で2回用いなければプロトコルを構成できないことを証明する.その証明では,全てのシャッフル方法を漏れなく検討することでプロトコルの不可能性を示すが,全てのシャッフル方法に対して逐一検討するのではなく,本質的に共通する部分を抜き出すことで証明の簡略化を狙う.ただしこの証明は,CSS 2024における池田らの結果とは独立して得られた成果である.また1色デッキについては,ANDプロトコルを構成するために追加カードが必要であること,すなわち,入力を表すカードのみで論理積を計算することは不可能であることを証明する.さらにこの証明は,入力ビット数が2以上の場合にも成立することを示す.
4D2-4
四則演算に対する効率的なカードベースプロトコル
○江利口 礼央(産業技術総合研究所) 、品川 和雅(茨城大学/産業技術総合研究所)
カードベース暗号は物理的なカードを用いることで暗号技術の機能や安全性を視覚的に表現するものである。本研究では四則演算(加算、減算、乗算、除算)に対する秘密計算を実現する効率的なカードベースプロトコルを提案する。$\ell$ビット整数同士の四則演算に対する既存プロトコルは、操作回数が$\ell$に関して指数的であるか、または追加カードの枚数が$\Omega(\ell)$以上必要であった。本研究の提案プロトコルは、操作回数が$\ell$に関して多項式であると同時に定数枚の追加カードのみを必要とし、既存プロトコルの欠点を同時に解決する初めてのプロトコルである。提案プロトコルは四則演算それぞれに対する筆算のアルゴリズムに基づいて構成される。本研究の技術的新規性は、筆算の過程において不要になった中間値に対応するカードを解放することで追加カードの枚数を定数に収められることを示した点である。
4D2-5
ババ抜きランダムカットを用いたデッキ分割法の効率的実装
○須賀 祐治(株式会社インターネットイニシアティブ)
デッキ分割法は2者間カードプロトコルにおいて入力カードのm枚目同士の2枚を一つのデッキとしパイルスクランブルシャッフルを行う操作である.このとき2枚のカードの表面を合わせてスリットに入れる操作が想定されており,この操作の実装困難性に関して評価されていないが,意図しない入力漏洩の可能性があるなどの課題が存在する.論理的には十分軽いはずの実装方法が,実際に人力で動かす際には上記のような問題を持つことから,より簡便なシャッフルが求められている.例えば8以上のデッキを実際に実装する際にはフォールトが起きやすい状況が分かっており,論理的に動作することは分かっていても,人手によるフォールトを減少させることが望まれていた. 本稿では,2種類の裏面絵柄を持つカードを用い,ランダムカットだけで,デッキ分割法を実現する方法を提案する.少々大きさの異なるカードでも十分実装可能であり,例えば水木標準カードとUNOの2種類を用いるなど,カード種A,BをそれぞれユーザA,Bが同数のカード枚数を持ち,それぞれ2種類のスートを持つ(同じスートの表面は表裏ともに同じ絵柄を持つ)と仮定してデッキ分割法をランダムカットのみで実現する方式を検討した. まず$C_n$のアクセス構造を持つカードプロトコルを通常のトランプカード1セットで実現できる方式を起点として議論する.さらに具体的には$K_n, C_n, C_n^{#}$のアクセス構造を持つカードプロトコルについては確定的,かつ効率的な開示プロトコルを与える($C_n^{#}$は距離ではなくグラフの連結性のみを考慮したアクセス構造を持つことを意味する).また,一般のグラフアクセス構造を持つカードプロトコルについても,再帰的にランダムカットを繰り返すことでプロトコルを実現することができることを示す.
4D2-6
上下カードによる有限時間コミットメント型ANDプロトコルの必要カード枚数の下限
○岩﨑 淳(佐賀大学)
表面には上下の区別があり,裏面は180度の回転対称性を持つ上下カードでは,カードの向きにより1枚のカードで1ビットの情報を保持できる.このため,カードベース暗号において,最もよく研究されている2色のカードを用いる体系に比べ,計算に必要なカードの枚数が削減される.上下カードを用いたカードベース暗号では通常のシャッフルに加え,カードの上下を(決定論的または確率的に)入れ替える”回転”の操作が行える.先行研究においては,シャッフルと回転の連動操作を用いることにより,3枚の上下カードによる有限時間コミットメント型のANDプロトコルが示されている.しかしながら,連動操作は実装面でのハードルが高い.本発表では,上下カード4枚で実行可能な連動操作を用いない有限時間コミットメント型ANDプロトコルを示し,かつ,この条件下では4枚が最小枚数であることを証明する.

4E2 自動車セキュリティ (3) 1月31日(金) 11:00~13:00
座長:芳賀 智之 (パナソニック オートモーティブシステムズ)
4E2-1
自動車の安全論証におけるAIセキュリティの動向について
○溝口 誠一郎(DNVビジネスアシュアランスジャパン株式会社) 、櫻井 幸一(九州大学)
本稿では,自動運転車に代表される,AI/ML技術を利用するシステムの安全論証において,法規動向や国際標準動向を踏まえAIセキュリティがどのような位置づけとなっているかを考察する.また,現時点でのAI利用システムの安全論証の方針について考察する.
4E2-2
Adversarial Trajectory Attack Targeting Autonomous Driving Planner
◎JIADONG LIU(Waseda University) 、Tatsuya Mori(Waseda University/NICT/RIKEN AIP)
Security concerns have become increasingly prominent with the rapid advancement of autonomous driving technology. The planner, a crucial component of autonomous vehicles, directly impacts the vehicle’s trajectory and safety. This paper introduces AVATAR, an adversarial vehicle trajectory attack that targets vulnerabilities in autonomous driving planning modules. By manipulating surrounding traffic participants to follow a specific trajectory, this method can disrupt the planner, diverting the vehicle from its intended path and potentially leading it into hazardous areas. Experiment results show that AVATAR is effective against various planning algorithms, demonstrating the vulnerability of planning modules in real-world scenarios. The proposed method achieves an attack success rate of nearly 60% against reinforcement learning methods and approximately 80% against imitation learning methods. It also reduces the traffic efficiency of the IDM to 57%. This study reveals the susceptibility of autonomous driving planners to adversarial trajectory attacks, necessitating consideration of corresponding defense mechanisms in future research and development.
4E2-3
Robustness of Deep Reinforcement-Learning-Based Autonomous Driving to Adversarial inputs
◎Ziling He(Waseda University/RIKEN AIP) 、Jiadong Liu(Waseda University) 、Tatsuya Mori(Waseda University/NICT/RIKEN AIP)
This paper investigates the robustness of Deep Reinforcement Learning (DRL)-based autonomous driving systems against adversarial attacks that manipulate sensor inputs and action outputs. Focusing on Proximal Policy Optimization (PPO) algorithms, we design two specific attack methods: (1) {Adversarial Sensor Input Perturbation}, where adversarial perturbations are introduced to the vehicle's sensor inputs under specific trigger conditions to mislead perception and decision-making; and (2) {Direct Action Output Manipulation}, where the attacker directly alters the action outputs of the DRL model during certain conditions, modifying control commands like steering angle and acceleration without affecting sensor inputs. We trained PPO models across different driving scenarios and evaluated their performance under these attacks. Our findings show that reducing the trigger threshold significantly increases the effectiveness of both attack methods, resulting in higher collision rates and greater deviations from intended paths. Larger perturbations in sensor inputs and action outputs correlate with increased attack success rates, highlighting critical vulnerabilities in DRL-based autonomous driving systems.
4E2-4
車載向けOTA更新における差分更新アルゴリズムの比較評価
○川崎 雄也(株式会社クレスコ) 、小木曽 伸次(株式会社クレスコ) 、和田 宣浩(株式会社クレスコ) 、李 睿彬(株式会社クレスコ) 、高田 光隆(大学院情報学研究科) 、倉地 亮(大学院情報学研究科)
近年,車両のソフトウェア更新はConnected, Autonomous, Shared Services, Electric (CASE) や Software Defined Vehicle (SDV) と呼ばれる新しいモビリティのトレンドに伴い,その重要性が増し ている.そのような中で無線によるソフトウェアの更新技術である Over The Air (OTA) は,車両の安 全性や機能の向上に寄与している.しかし,従来の全書き換え方式には通信コストの増大や更新時間の 長さといった課題が存在し,差分更新技術の必要性が高まっている.本研究では,OTA ソフトウェアの SWUpdate を用いて,全書き換え方式と差分更新アルゴリズムである librsync,zchunk の比較評価を行 い更新ユースケースにおける特性を明らかにした.結果として,librsync は OTA サーバーで差分計算を 行う特性を持ち,少ないデータでの更新が可能であった.zchunk は ECU 側で差分計算を行う特性を持 ち,正確な更新作業を行うための完全性を保ちながら,複数の車両に対して効率的な更新ができること を確認した.
4E2-5
自動運転車におけるセンサ・フォレンジックの必要性と実装要件の検討
◎福永 真士(三菱電機) 、菅原 健(電気通信大学)
自動運転車に搭載されるセンサ(LiDAR、カメラ、IMU等)に対するフォレンジック要件を提案する。近年、デジタル・フォレンジックの観点から自動車のフォレンジック機能が求められている。一方で、自動運転車の場合、複数センサやセンサフュージョンアルゴリズム等、より高度な技術が必要になる。そこで、将来的にセンサ・フォレンジックが必要になることを規約や判例から示す。本研究では、研究対象としてRos RobotのJackalを利用して、事故を想定したスケール実験を行った。この結果からセンサ・フォレンジックのための要件を導き、検討した内容を報告する。
4E2-6
10BASE-T1S適用ネットワークにおけるなりすまし攻撃の実現性評価と防御方式の検討
◎高橋 優太(京都産業大学情報理工学部) 、藤堂 恭行(京都産業大学情報理工学部) 、加藤 瑞生(京都産業大学情報理工学部) 、家平 和輝(京都産業大学大学院先端情報学研究科) 、井上 博之(京都産業大学情報理工学部)
Ethernetの新規格である10BASE-T1Sは,マルチドロップ型のトポロジへの対応や通信時の衝突回避機能などにより,CANに代わる車載ネットワークとして注目されている.しかし,なりすまし攻撃やDoS攻撃が可能であるという報告があり,特になりすまし攻撃に対しては脆弱な部分が存在し,セキュリティ的な安全性に懸念がある.本研究では,10BASE-T1S環境下におけるなりすまし攻撃が可能であることを確認し,その防御方式を検討する.提案する防御方式では,正規メッセージの揺らぎを誤検知しないための対策や,攻撃メッセージを確率的に判断できるという特徴がある.また,正規メッセージの周期の揺らぎを攻撃と誤認する誤検知に対応したことで,周期監視の精度が向上することが期待できる.評価実験では,実験室で10BASE-T1SネットワークをPCで構成し,周期監視により観測を行うことで,高い確率で攻撃メッセージを特定できることを確認した.

4F2 システムセキュリティ (2) 1月31日(金) 11:00~13:00
座長:今岡 通博 (SecHack365)
4F2-1
SBOMを活用したコンテナイメージの脆弱性管理
◎竹下 真武(早稲田大学) 、佐古 和恵(早稲田大学)
近年、コンテナ型仮想化技術は、その軽量性と迅速な動作特性により、クラウドやオンプレミス環境での普及が進んでいる。しかし、セキュリティに関する懸念が企業による採用の障壁となっている。特に、Sariらの研究によれば、未検証または信頼性の低いコンテナイメージの使用が多くのセキュリティ問題を引き起こすことが確認されている。コンテナイメージはアプリケーションやライブラリなどのソフトウェアコンポーネントを含むため、これらの脆弱性管理においては、ソフトウェアの脆弱性やライセンス管理を支援するSoftware Bill of Materials(以下SBOM)の活用が有効であると考えられる。本研究では、コンテナイメージに対してSBOMを用いて脆弱性管理を行う際の課題と、それに対するアプローチを提案する。また、コンテナイメージの脆弱性管理におけるSBOM活用を支援するための実践的なガイドラインに記載すべき内容を提示する。
4F2-2
継続的脆弱性監視のためのLLMを利用したCPE推定手法の提案
○樋口 宗明(三菱重工業株式会社)
近年、アプリケーションに組み込まれるOSS(Open Source Software)の脆弱性を狙ったサ イバー攻撃が増⼤しており、SBOM(Software Bill of Materials)を⽤いたOSS の脆弱性管理 の必要性が増⼤している。脆弱性監視のためのSBOM にはOSS と脆弱性情報を紐付ける ための情報であるCPE(Common Platform Enumeration)が必要であるが、命名時の表記ゆ れ等の問題により⼿動での特定が困難である。そこで本論⽂では⽣成AI を利⽤したCPE 推定技術を開発し、評価⽤データ100 件に対して⽣成AI に与える情報などが異なる4 つの テストケースにて評価試験を⾏った結果、正解率92〜95%でCPE を推定できることを確 認した。
4F2-3
機器のソフトウェアやモジュールの通信動作の可視化データを用いた脆弱性リスク判定手法
○和田 泰典(日本電信電話株式会社 NTT社会情報研究所) 、荒川 玲佳(日本電信電話株式会社 NTT社会情報研究所) 、鐘本 楊(日本電信電話株式会社 NTT社会情報研究所) 、上原 貴之(日本電信電話株式会社 NTT社会情報研究所)
近年サプライチェーンセキュリティリスクが高まっており,その対策としてSBOMを用いたソフトウェア構成管理や脆弱性管理が注目されている.SBOMを運用に導入することで,従来と比べて正確にソフトウェアコンポーネントの管理が可能となる。しかし,それに付随して脆弱性は広範囲に検知されるようになる.これはセキュリティ管理の面ではメリットがある一方で,影響確認や対処要否の判断を行う必要のある脆弱性の件数が増えるため,運用目線では負担となる.実際に影響を判断する場面で用いられる情報の1つに通信情報があり,機器の設置環境の構成や通信相手によっては,脆弱性のリスクが低く,対処優先度が低いと判断される場合もある.そこで本研究では機器の通信動作に着目し,動作したソフトウェアおよびソフトウェアが呼び出すモジュールを通信先と紐づけて可視化したデータを生成し,そのデータを用いることで脆弱性のリスクを自動的に判定する方式を提案する.実験環境で提案方式を検証した結果,検証サーバで検出された脆弱性のうち攻撃元区分がネットワークである脆弱性について,リスクが高く優先的に確認すべき脆弱性を絞り込めることを確認した.
4F2-4
深層学習を用いたランサムウェア検知システムに対する振る舞い変化を用いた回避攻撃とその対策
◎河合 柊哉(豊田工業高等専門学校 専攻科 情報科学専攻) 、元川 魁人(豊田工業高等専門学校 情報工学科) 、平野 学(豊田工業高等専門学校 情報工学科) 、小林 良太郎(工学院大学 情報学部)
ランサムウェアは組織のコンピュータにあるファイルを暗号化して身代金を要求するマルウェアであり被害が増加し続けている.対策として我々の先行研究ではハイパーバイザでストレージ装置とメモリのアクセスパターンを収集し,深層学習モデルでランサムウェアを検知するシステムを提案し,既知のランサムウェアをFスコア0.98で検知できた.一方,Diamantopoulosらは我々の先行研究で用いたのと同じストレージ特徴量を生成するエミュレータWannaLaughを提案した.WannaLaughはランサムウェア検知研究への利用が想定されており,6種のランサムウェアのストレージ装置の入出力パターンを生成でき,暗号化の割合,暗号アルゴリズム,暗号化速度などの振る舞いを変更できる.本研究ではこの振る舞いの変更機能が深層学習を用いたランサムウェア検知システムに対する回避攻撃に悪用される危険性があると考えた.本稿ではWannaLaughのようにストレージ装置への入出力パターンをエミュレータで再現するのではなく,ランサムウェア自体の振る舞いを変化させてデータセットを構築し,そのような回避攻撃が可能かを検証した.本稿では最後に特に振る舞いを変化させることによる回避攻撃への防御策について最新の関連研究を示しながら考察した.
4F2-5
IEEE通信とネットワークのセキュリティ国際会議2024参加報告
○櫻井 幸一(九州大学)
2024年9月30日-10月3日に台北で開催された第12回IEEE通信とネットワークのセキュリティ国際会議の参加報告を行う。日本からの参加は、基調講演者と本報告者の下名の2名のみであった。下名はパネル討論「生成AIのセキュリティとプライバシー」で登壇した。本報告でも特に、AIのセキュリティ系を選別する。また、併設の サイバーフィジカル系セキュリティとサイバーレジリエンスと次世代モバイルネットワークのセキュリティ・プライバシー・レジリエンスの3つの合同ワークショップも報告する。
4F2-6
ハイパーバイザで収集したメモリ,ストレージ,ネットワークの振る舞い特徴量を用いた二重脅迫型ランサムウェア検知システム
◎吹野 悠太(豊田工業高等専門学校 専攻科 情報科学専攻) 、大杉 英太郎(豊田工業高等専門学校 情報工学科) 、山口 大仁(豊田工業高等専門学校 情報工学科) 、平野 学(豊田工業高等専門学校 情報工学科) 、小林 良太郎(工学院大学 情報学部)
近年,二重脅迫型ランサムウェアによるデータ流出が社会問題化している.二重脅迫型ランサムウェアとは被害組織のコンピュータのファイルを暗号化する前に,機密性の高いファイルをクラウドストレージなどへ転送し,流出サイトで公開することに対して身代金を要求するマルウェアである.一方,ランサムウェアの脅威に対して先行研究ではオープンソースのハイパーバイザである BitVisor を拡張して仮想化層での暗号化フェーズの振る舞い(メモリとストレージのアクセスパターン)を収集し,それらの特徴量で深層学習モデルを訓練してランサムウェアを検知する研究をおこなった.しかし先行研究のハイパーバイザによる監視システムではネットワーク通信を収集できなかったため,二重脅迫型ランサムウェアのデータ流出フェーズを検知できなかった.そこで本研究では先行研究で開発したハイパーバイザによる監視システムにネットワーク通信を収集する機能を追加し,仮想化層で得たメモリ,ストレージ,ネットワークの特徴量を深層学習させることで二重脅迫型ランサムウェアのデータ流出フェーズを検知できるかを検証する.

4G2 AIセキュリティ (7) 1月31日(金) 11:00~13:00
座長:岡田 裕幸 (パナソニックホールディングス)
4G2-1
Text-to-Imageモデルに対するデータ汚染攻撃の多言語評価
◎掛林 諒平(早稲田大学) 、森 達哉(早稲田大学/NICT/理研AIP)
Text-to-Imageモデルはデータ汚染攻撃に脆弱であることが知られており,多くのデータ汚染攻撃手法が提案されている.しかし,これらの攻撃の評価には,英語のプロンプトを使用することが前提とされている.世界中でText-to-Imageモデルが使用されている現状を考慮すると,英語のみで攻撃を評価することは不十分である.そこで,本研究では,英語によるデータ汚染攻撃を受けたText-to-Imageモデルに対して,英語以外の言語のプロンプトを用いて攻撃の評価を行った.その結果,英語以外の言語で攻撃成功率が高くなり,少ない汚染データで攻撃が成功していることを明らかにした.汚染データが250個混入されたときの攻撃成功率は,英語で7.9%であるのに対し,日本語では57.5%と大幅に増加している.この理由として,Text-to-Imageモデルやテキストエンコーダの訓練データが英語に偏っていることで,他言語の学習がうまく行われていないことを確認した.最後に,すべての言語で攻撃成功率を低下させるための対策について議論する.
4G2-2
質疑応答タスクにおけるLLMを使用した攻撃手法の検討
◎鈴木 悠真(茨城大学大学院) 、大瀧 保広(茨城大学)
質疑応答タスクに対する従来の敵対的攻撃手法では、AddSentアルゴリズムがGloveやWordNetを用いて単語を置換していたが、未学習の単語に対する置換が困難であるという課題があった。また、偽回答の生成にはあらかじめ設定された単語が使用され、敵対的文の生成にはルールベースの手法が採用されていた。本研究では、これらの課題を解決するため、単語の置換、偽回答の生成、敵対的文の生成すべてにLLMを活用する新しいアルゴリズムを提案する。単語置換にはプロンプトを用いて柔軟に対応し、偽回答はLLMによって動的に生成する。また、敵対的文の生成においてもLLMを用いてルールベースを必要としない敵対的文の生成を可能にした。さらに、従来の研究がLSTMベースモデルを対象としていたのに対し、本研究ではTransformerベースモデルに対する攻撃の有効性を調査し、日本語データへの適用可能性についても評価した。本提案手法は、現代の質問応答システムに対する多様かつ効果的な敵対的サンプルを生成できることを示した。
4G2-3
大規模言語モデルを用いた検索拡張生成における敵対的入力攻撃の検討
◎長谷川 健人(KDDI総合研究所) 、披田野 清良(KDDI総合研究所) 、福島 和英(KDDI総合研究所)
検索拡張生成(RAG)は,データベースに含まれる知識と大規模言語モデル(LLM)とを活用することで,質問に対して知識にもとづいて応答を生成する技術である.しかしながらLLMやRAGの発展に伴い,悪意の攻撃によって意図しない応答が生成されてしまう可能性が指摘されている.LLMやRAGをより安全に利用するため,攻撃手法の検討を通じてシステムの弱点を把握するのが重要である.本稿では,RAGを対象としたUntargetedの敵対的入力攻撃手法を提案する.提案手法では,RAGへ入力するプロンプトに対して敵対的文字列を追加する.RAGの情報検索において,敵対的文字列を追加したプロンプトとRAGのデータベースに含まれる関連情報との類似度を最小化するように敵対的文字列を最適化することで,応答の正解率を低下させる.加えて,敵対的文字列を追加した文章をRAGのデータベースに注入するポイズニング攻撃を適用することで,さらに正解率を低下させる.評価実験を通じて,複数のモデルやデータセットにおいて,提案する敵対的入力攻撃とポイズニング攻撃が成功することを確認した.
4G2-4
インコンテキスト学習による Jailbreak に対するバックドアを利用した防御手法の一検討
◎武内 祐哉(大阪大学) 、岩花 一輝(NTT社会情報研究所) 、三浦 尭之(NTT社会情報研究所) 、芝原 俊樹(NTT社会情報研究所) 、山下 恭佑(大阪大学)
大規模言語モデル(LLM)に有害な応答をさせるJailbreakにおいて, インコンテキスト攻撃(ICA)と呼ばれるコンテキスト内に有害な例を複数与えLLMにクエリする手法は高い攻撃成功率を達成しており, その対策の確立は重要な課題である. Jailbreakの対策手法として, Jailbreakのクエリに対しても安全な応答を返すようにバックドアを埋め込む手法が高い性能を示している. しかし, 1事例のJailbreakに対する性能しか示されておらず, インコンテキスト学習のような複数事例を用いたJailbreakに対する性能は明らかでない. 本稿ではICAの防御手法の確立に向けて, バックドアを用いた既存の防御手法がICAに有効かどうかを明らかにする. 複数のLLM, データセットを用いた実験評価を行い, いずれの場合もICAで有害な例を増やすにつれて, 攻撃成功率が上昇していくことを確認した. すなわち, バックドアを用いて安全な応答を返すようにLLMが訓練されていたとしても, 事例を増やすにつれてバックドアの影響が小さくなっていることを示している.
4G2-5
大規模言語モデルに対する無害な応答を用いたバックドアによるJailbreak攻撃
◎木下 洋輝(日本電信電話) 、芝原 俊樹(日本電信電話) 、三浦 尭之(日本電信電話) 、廣見 紗妃(日本電信電話) 、山田 真徳(日本電信電話) 、岩花 一輝(日本電信電話)
大規模言語モデル(LLM)は多様な分野で有用性が示されている一方,jailbreak攻撃により本来想定されていない不適切な生成をする脆弱性が課題となっている.先行研究では,トリガー含むプロンプトと,有害な応答とを含む毒性データを用いたバックドアによるJailbreak攻撃に対する脆弱性が示されている.しかしながら,既存手法では学習データに有害な応答が含まれるため,学習データが汚染されていることを検知される可能性が高くなる.そこで本研究では,学習データに無害な応答からなる毒性データを注入する,新たなバックドア攻撃を用いたjailbreak攻撃手法を提案する.これにより,学習時に毒性データの有害性が検知されにくいという特徴をもちつつ,推論時に特定のトリガーワードを用いてモデルが有害な応答を生成するよう誘導する.実験により本手法を用いることで,モデル全体の性能に与える影響を最小限に抑えつつ,高い攻撃成功率を達成することが確認できた.
4G2-6
大規模言語モデルに対するモデル合成を用いたJailbreak攻撃耐性向上
◎廣見 紗妃(NTT) 、木下 洋輝(NTT) 、山田 真徳(NTT)
モデル合成は, 低コストで複数のモデルの能力を統合する手法として注目されている. また, 大規模言語モデルの脆弱性として, Jailbreak攻撃等により不適切な応答を生成することが知られている.本研究では, モデル合成を用いた大規模言語モデルのJailbreak耐性を向上する手法を提案する. 具体的には, Jailbreak耐性を持つようにfine-tuningしたモデルを作成し, その他のモデルと合成することでJailbreak攻撃耐性を向上させる. つまりセキュリティパッチを当てるような運用を可能とする. 実験結果から, 合成モデルはJailbreak耐性が向上することを確認した. また合成により一般性能顕著に低下しないことの確認も行った. この結果は, モデル合成を活用した安全性向上の新たな可能性を示唆すると考えられる.

 

PAGE UP

(C) 2024 SCIS2025 Organizing Committee. All Rights Reserved.