SCIS2008

情報セキュリティ研究室 > 学会/セミナー報告 > SCIS2008
【会議名】2008年 暗号と情報セキュリティシンポジウム(SCIS2008)
【開催日時】2008年1月22日(火)〜1月25日(金)
【場所】フェニックス・シーガイア・リゾート
     (ワールドコンベンションセンターサミット)
【URL】http://scis2008.cs.dm.u-tokai.ac.jp/
【参加者】600名(?)程度(懇親会での発表)
     6つの会場で並列にセッションが行われた。
     各会場での聴講者は30〜50名

		  
以下 藤井研究員の聴講分報告

<1月22日>
+++++++++++++++++++++++++++++++++++++++
Webセキュリティ/スパムフィルタ(1)
+++++++++++++++++++++++++++++++++++++++

■Web 2.0 のための安全なブラウザモデル
吉濱佐知子(日本アイ・ビー・エム株式会社/横浜国立大学),松
本勉(横浜国立大学)

Ajaxにおける同一起源ポリシ(同じサーバからダウンロードされた
コンテンツはお互いに信用できる)には弱点がある。これらを突い
たXSS攻撃などを事前に防ぐために、情報フローに基づくアクセス制
御方式を用いた安全なブラウザモデルを提案。

Q:マッシュアップに引きずられて弱点ができる?
A:そうです。
Q:IBMはこれを研究している?
A:オープンソースとして考えている。

■数量化理論を利用したフィッシング対策システムの提案
小林義徳(東京電機大学),吉田憲弘(東京電機大学),佐々木良
一(東京電機大学)
フィッシング対策のために、正規サイトと偽サイトのデータを採取
し、数量化理論2類を用いて正規サイトかフィッシングサイトかを
判別する。その結果をユーザに警告することで注意喚起をする。

Q:サンプルに偏りがある?
A:あるとは思う。
Q:うまくいかなかった理由は?
A:フィッシング被害にあったサイトでの結果に引きずられたため
Q:そもそも数量化アルゴリズムは大丈夫?
A:確認します。

+++++++++++++++++++++++++++++++++++++++
攻撃検知/対策
+++++++++++++++++++++++++++++++++++++++

■IPアドレスを持たないネットワーク機器との通信手法について
清澤 勇貴(信州大学大学院 工学系研究科 情報工学専攻),岡崎
裕之(信州大学大学院 工学系研究科 情報工学専攻),荒井 研一(
信州大学大学院 総合工学系研究科 システム開発専攻),國宗 永佳
(信州大学 工学部 情報工学科),不破 泰(信州大学大学院 工学
系研究科 情報工学専攻)

IPアドレスを持たない機器と通信するために、パケットに目印をつ
ける。その目印が攻撃者に漏洩しても問題ないようにコマンドを暗
号化することで攻撃者が悪さできないようにする。制御パケットと
通常のパケットは目印があるかないかで判別する。

Q:提案方式はLINKレイヤでユニキャストか?
A:そうです。
C:通信にチャレンジを入れたほうが良い

■IPトレースバック技術に於ける誤探知率の扱いについて
細井 琢朗(東京大学),松浦 幹太(東京大学)

IPトレースバックの誤探知率について、いくつかある方式を現状比
較できない。そこで、ある技術を比較評価するための方式を検討し
た。

Q:?
A:?

■輻輳型DoS攻撃に対する能動的判別手法
武藤 展敬(情報セキュリティ大学院大学),安齋 孝志(大明株
式会社),佐藤 直(情報セキュリティ大学院大学)

Dos源を区別して帯域制御することでDosの影響を小さくするという
提案。

Q:影響が少なくなるのは帯域制御後だけか?
A:そうです。
Q:攻撃者の前提は?
A:TCPによるものです。
Q:DDosには対応できるか?
A:今後の課題です。


■不正行動の検知手法に関する考察
和田 耕介(株式会社NTTデータ/情報セキュリティ大学院大学),
小倉 久宜(株式会社NTTデータ),外川 政夫(NTTデータクリエイ
ション(株)/情報セキュリティ大学院大学),板倉 征男(情報セキ
ュリティ大学院大学)

人間行動に着目し、人による監視と閾値以下をマシンがチェックす
る巡視とによって不正行動ができないようにする。
巡視を導入することによって人に与えるプレッシャを減らす。

Q:従来の問題点からの改善は何?
A:人間行動に着目した検討はこれまでにない
Q:巡視でプレッシャ減る?
A:人が監視するよりマシ

■第3者の助けを借りた不正侵入検知モデルの一考察
藤井 雅和(財団法人 九州システム情報技術研究所),高橋 健
一(財団法人 九州システム情報技術研究所),堀 良彰(九州大
学 大学院システム情報科学研究院),櫻井 幸一(財団法人 九州
システム情報技術研究所)

不正侵入を第3者によって通知してもらうことで検知する。

Q:モラルハザードが発生した場合は?
A:モラルのある人に通知してもらう。

<1月23日>
+++++++++++++++++++++++++++++++++++++++
攻撃検知/対策
+++++++++++++++++++++++++++++++++++++++

■IPv6環境における攻撃検出回避とその対策
小柏伸夫(独立行政法人情報通信研究機構),衛藤将史(独立行政
法人情報通信研究機構),中尾康二(独立行政法人情報通信研究機
構)

IPv6になった場合、IPv4の攻撃検知手法が検知できなくなるかもし
れない。そこで、攻撃回避される可能性とその対策について検討さ
れた。

■Firewallルールの作成に適した通信パターンの視覚化と攻撃パタ
ーン検知
竹森 敬祐(KDDI研究所),三宅 優(KDDI研究所)

IPアドレスの各オクテットの情報とポート番号を視覚化することで
、攻撃パターンを認知し、ファイアウォールのルール作成に役立て
る。

+++++++++++++++++++++++++++++++++++++++
認証技術
+++++++++++++++++++++++++++++++++++++++
■ Stolen-Verifier attackに耐性があるワンタイムパスワード認証
方式の提案
中野 誠司(神戸大学),森井 昌克(神戸大学)

Stolen-Veri?er attack(SVアタック)に耐性があるワンタイムパス
ワード認証方式のSAS-X(2)はDenial-of-Service attackに対して脆
弱性があり,更に共通鍵暗号を利用することやユーザ側で乱数の生成
を必要とする。そのため実装時のオーバーヘッドが問題。
今回SVアタック及びその他の既知の攻撃すべてに耐性があるワンタイ
ムパスワード認証方式が提案された。提案方式は一方向性ハッシュ
関数のみを利用しユーザ側で乱数の生成を必要としないため,実装時
のオーバーヘッドが解決される。

Q:Dosアタックの定義は?
A:ユーザからの接続要求をサーバに拒否させる攻撃のこと。

■PINを用いるアルゴリズム的耐タンパ認証装置の再考
駒野 雄一((株)東芝 研究開発センター),三宅 秀享((株)東芝
研究開発センター),新保 淳((株)東芝 研究開発センター),太
田 和夫(電気通信大学 情報通信工学科)

PINを用いるアルゴリズムの耐タンパ認証装置は、認証の通算失敗回数
に依存する不正な認証要求を検出するカウンタを持っているが、通算
失敗回数の許容上限をある程度大きく設定する必要があるため、不正
探索をより多く試行されてしまう問題がある。そこで、カウンタの構
成を再考し、カウンタ値に対応し,一方向性関数の連鎖列として計算
される状態系列を二つ用いるのカウンタの構成を提案し,効率と安全
性が検討された。

■知識ベース認証における階層化導入の一考察
岡本 学(NTT情報流通プラットフォーム研究所),青柳真紀子(NTT情
報流通プラットフォーム研究所),伊藤宏樹(NTT情報流通プラットフォ
ーム研究所),坂本泰久(NTT情報流通プラットフォーム研究所)

知識ベース認証の利点は、パスワードを覚えなくてもよいこと。
しかし、辞書アタックなどに非常に弱い。そこで、情報を階層的にし、
アクセスできる権限を階層的にして情報管理を行うことを提案。
具体例として、コールセンタでの活用を紹介。

+++++++++++++++++++++++++++++++++++++++
セキュアOS/ソフトウェア保護
+++++++++++++++++++++++++++++++++++++++
■安全な協働のためのドメイン仮想化 アーキテクチャの設計
中江 政行(NEC),佐々木 貴之(NEC)

組織間の協働にあたり、情報の保護をどう扱うかというアーキテク
チャを提案。(1) 協働プロジェクトのメンバ・ポリシ・業務環境を
管理するプロジェクト管理機構,(2) アクセス制御に付随して求め
られる処理(責務)を実施するポリシ強制機構,(3) プロジェクト
管理機構からなり、その連携でポリシを適用し情報の保護をする。

Q:ポリシの言語は?
A:XACMLを使用してます。
Q:前提は悪意のある人がいるというものか?
A:うっかりミスも前提としている。


■確率的実行妨害によるソフトウェア耐タンパー化手法の提案
森山 修(横浜国立大学大学院環境情報学府/研究院),古江 岳大
(横浜国立大学大学院環境情報学府/研究院),遠山 毅(横浜国立
大学大学院環境情報学府/研究院),松本 勉(横浜国立大学大学院
環境情報学府/研究院)

耐タンパーの実行妨害機能を利用して解析される攻撃がある。
その対策として、実行妨害を確立的に発生させ、解析コストを増大
させる。

Q:対策されることを知られていても問題ないか?
A:問題ありません。
Q:パフォーマンスは落ちないのか?
A:従来とそんなにかわらない。

<1月24日>
+++++++++++++++++++++++++++++++++++++++
マクロ解析/可視化
+++++++++++++++++++++++++++++++++++++++

■不完全な定点観測から真の不正ホストの分布が分かるか?
菊池浩明(東海大学),◎小堀智弘(東海大学),寺田真敏(日
立製作所)

ベイズの定理を用いて不均一な定点観測点情報のゆがみを補正して
不正なホストの分布とポートスキャン数を予測する。
結果、ある程度はわかるという結果となった。

C:今後はクラスC(24ビットマスク)での対応をしたらよいと思う。
Q:タイトルどおり不正ホストはわかったか?
A:まだ、不完全。今後の課題。

■マクロ解析環境における全ポートアクセス監視を考慮した変化点
検出エンジンの拡張
山形 昌也(日本電気、情報通信研究機構),村田 康裕(日本ネ
ットシステム),井上 大介(情報通信研究機構),衛藤 将史(
情報通信研究機構),吉岡 克成(情報通信研究機構),中尾 康
二(情報通信研究機構)

インシデント分析のための変化点検出エンジンに特定ポートの監視
しかできないという問題がある。その改善のため、レンジをマクロ
的にすることで、全ポート監視を運用レベルにする検討を具体的な
ワームの観測データを元に説明された。

Q:精度の検討はされたか?
A:まだ未検証です。

+++++++++++++++++++++++++++++++++++++++
匿名認証技術
+++++++++++++++++++++++++++++++++++++++
■利用者発信情報を扱うWeb サービスにおける認証方式の実装
松岡 浩平(情報セキュリティ大学院大学 情報セキュリティ研究科
),土井 洋(情報セキュリティ大学院大学 情報セキュリティ研究
科)

利用者が秘密情報を第三者に渡さずにWeb サービスの利用を許可す
る方法を提案。OpenIDを拡張し、トークンを用いた認証方式を実装
した。その結果、実装規模が10分の1程度となった。

Q:本発表の趣旨は、実装のコスト減という提案?
A:そうです。

■否認可能リング署名を用いた匿名認証システム
加藤 岳久(東芝ソリューション株式会社),駒野 雄一(株式会
社 東芝)

否認可能なリング署名を利用した匿名認証システムを提案し,
グループ署名を用いた匿名認証システムとの比較をした。
比較では、署名生成時間、検証時間、署名サイズ、匿名性強度など
が考察された。結果、運用の視点では提案システムがよく,署名生
成時間や署名サイズの視点では既存システムが良いとのこと。

Q:グループ署名との比較だけだが、他の署名との比較はしたか?
A:必要なので、今後対応します。

+++++++++++++++++++++++++++++++++++++++
Webセキュリティ/スパムフィルタ(2)
+++++++++++++++++++++++++++++++++++++++

■セキュリティDBを利用した優先転送による迷惑メールトラフィッ
ク緩和について
岡田康義(IISEC),佐藤直(IISEC)

インターネットの社会精度が未成熟であることを説明し、インター
ネットの利用優先制度(免許制)を提案。セキュリティレベルの低
い人、PC、FW等のインターネット接続にQoSを設定する。

Q:端末のセキュリティレベルはどうやって判定する?
A:時間をかけて判定する。

■フィッシング防止のためのHTTPパスワード相互認証プロトコル
鈴木 博文(Yahoo Japan),大岩 寛(産業技術総合研究所 情報セ
キュリティ研究センター),高木 浩光(産業技術総合研究所 情報
セキュリティ研究センター),渡辺 創(産業技術総合研究所 情報
セキュリティ研究センター)

ISO/IEC 11770-4で定義されているPAKE (Password Authenticated
Key Exchange)の一種であるKey Agreement Mechanism 3 (KAM3)をベ
ースプロトコルとし、Web 向けに改良したものを提案。本プロトコ
ルでは、クライアントとサーバが同じパスワードを保持しているこ
とを相互に確認することで認証が成功する。

+++++++++++++++++++++++++++++++++++++++
セキュリティポリシー
+++++++++++++++++++++++++++++++++++++++

■個人情報活用のアーキテクチャーの提案
板倉征男(情報セキュリティ大学院大学),小島孝夫 (情報セキ
ュリティ大学院大学),宮木一郎(NTTソフトウェア株式会社/情報
セキュリティ大学院大学)

個人情報保護法の運用については個人情報の管理面が強調され,い
わゆる過剰反応しており、行き過ぎた個人情報保護の取扱いが社会
問題になっている。そこで、適切な活用ができるようにと講演され
た。

■プライバシーポリシー・マッチングエンジンの開発
小島 孝夫(情報セキュリティ大学院大学),板倉 征男(情報セキ
ュリティ大学院大学)

各社が出している個人情報ポリシーを読むのは時間がかかるので、
あらかじめユーザポリシーというものを準備し、そのポリシーと比
較することで、確認を容易にしようという提案。今回は、ポリシー
のマッチングをするエンジンについて検討した。

Q:ユーザが自身のポリシーをつくるのは難しいのでは?
A:簡易なユーザインタフェースを用意する。

<1月25日>
+++++++++++++++++++++++++++++++++++++++
セキュリティモデル
+++++++++++++++++++++++++++++++++++++++
■信頼の連鎖機能を利用したレピュテーションシステムにおける信
用できない評価をするピアの探索手法の提案
山中広明(大阪大学大学院情報科学研究科),岡村真吾(大阪大学
サイバーメディアセンター),加藤精一(兵庫医療大学),秋山豊
和(大阪大学サイバーメディアセンター),下條真司(大阪大学サ
イバーメディアセンター)

レピュテーションモデルにおける信頼できないノードの探索する手
法の提案。信用できない評価をするピアであるかどうかを判断す
は、貢献度と出現率の2 つを用いて行う。

Q:ノードが増えても問題ないアルゴリズムか?
A:?

■リスク分析を用いたセキュリティ運用管理用ポリシーおよびリス
クモデル
榊 啓(NEC 共通基盤ソフトウェア研究所),矢野尾 一男(NEC
共通基盤ソフトウェア研究所)

脅威と対策との関係を表すリスクモデルを用いたリスク分析による
対策立案を提案。リスクモデルは、汎用的に使用できるように標準
化をした。

Q:リスクをすべて洗い出したのか?
A:そうです。
Q:すべて洗い出せたか証明するのが難しいのでは?
A:コンサルの方などにもアドバイスもらう。

■セキュリティアスペクトの設計手法
大久保隆夫((株)富士通研究所、情報セキュリティ大学院大学),
田中英彦(情報セキュリティ大学院大学)

セキュリティの問題解決にアスペクト指向ソフトウェア開発の概念
を用いて行うことを研究。今回は3部作の2つ目となるとのこと。
プログラムのセキュリティ問題をプログラムで解決する。

Q:メリットは?
A:発見性、再利用性などが挙げられる。


ページトップへ戻る

Copyright © 2006 Institute of Systems & Information Technologies/KYUSHU. All Rights Reserved.