SCIS2011

情報セキュリティ研究室 > 学会/セミナー報告 > SCIS2011
###	参加報告:2011年 暗号と情報セキュリティシンポジウム		###
###            (SCIS2011)						###

【会 議 名】2011年 暗号と情報セキュリティシンポジウム(SCIS2011)
【開催日時】2011年1月25日(火)〜1月28日(金)
【場    所】リーガロイヤルホテル小倉
【  URL   】http://www.scis2011.jp/index.html
【主    催】電子情報通信学会 情報セキュリティ研究専門委員会(ISEC研)
【参 加 者】約600名
       6つの会場で並列にセッションが行われ、72セッションで328の論文が発表された。
       各会場での聴講者は30〜150名
【報 告 者】江藤研究員

以下、江藤研究員の聴講分報告(但し、1月26日は不参加の為、報告無し)

<1月25日(火)>
+++++++++++++++++++++++++++++++++++++++
  特別講演	(13:02〜13:58, 聴講者:参加者:約350~450名)
+++++++++++++++++++++++++++++++++++++++
■重要インフラと制御システムのセキュリティ
  [矢島秀浩 (独立行政法人情報処理推進機構 セキュリティセンター長)]

概要:
  情報セキュリティに関し、日本政府の取り組みの歴史と重要インフラと制御システムの
セキュリティに対する現状の解説。後者に関しては、北米と欧州での取組の事例を紹介し、
推進組織、ガイド・ツール、脆弱性の評価・検証のための手法、データベース、認証と着々と
推進されている。日本では着手はされているが、推進と各機関の連携がやや遅れている。
今後の共通課題としては、脆弱性自体の削減、スマートグリッド/スマートメータ、クラウド、
セキュリティ産業。セキュリティ産業は、日本の強みを活かした戦 略(サービス性と顧客対)
と人材の確保・育成が日本の課題とする。最後に、使用環境の不備、管理の不適切からも
もたらされるとし、ユーザの使用時において網羅的なセキュリティレベル維持の重要性と、
開発者は使用者・使用状況の考慮が必要とする。

Q.Dependabilityは重要。掘り下げた(学術的ではなく)研究はどうか? 
  JSTの社会技術センタで数億円かけてシミュレーションした事例がある。
  外にどれだけ成果を出したか? そのような掘り下げた研究はどうか?
A.各国を調べたところ、学術的よりは実用面での研究が多い。
 カナダのDBの例は、ブリティッシュコロンビア大で研究反映を目的に開始された。
  日本ではまだ弱く、今後の課題。
※電中研や情報システム学会(CIIP:Critical Information Infrasturcture Pretectionのあり方)の取組みを事例紹介。

所感:
  共通課題の一つ、そもそもの脆弱性の削減に関連し、「開発者向け脆弱性 実習ツール
AppGoat(仮称)の開発・公開」がアナウンスされた。開発サイドでも、標準開発手法の
ひとつとして意識すべき時代と認識する。さらに、開発者がユーザ環境やユーザ使用
状況を考慮して開発すべきはやや理想論と感じる。コストとのトレードオフとなる。
ユーザの無防備と無意識によるインシデントが情報システムで起こりえたとすれば、
上流工程の努力がどれだけ活かされるのか疑問を感じる。明らかにユーザ側の不備を
開発側でいかに考慮かは、開発者、サービス提供者、ユーザが一体となって状況を
改善すべく取り組んだ上での議論とするべきと考える。


+++++++++++++++++++++++++++++++++++++++
1B1 暗号理論(1) [座長:横国大)吉岡先生](14:31〜15:35)	参加者:約45~55名
+++++++++++++++++++++++++++++++++++++++
◆1B1-1		(14:32-14:51)
Cross Site Request Forgery攻撃に対するクライアント側対策の提案
◎久野祐輔 (東京電機大学) 
 齊藤泰一 (東京電機大学) 

概要:
 CSS攻撃への対策として、Cookie内のセッションID設定に着目. 
CSS攻撃時のHTTPリクエストの場合は、Cookie内にセッションIDを設定しないことを提案. 
HTTPリクエスト生成時にリクエスト元とリクエスト先のドメインを判定し、リクエスト元
URLとリクエスト元URLが同一ドメインかを、リクエスト元URLのホスト部分とリクエスト先
URLのドメイン属性の比較により、一致ならCookieを含め、不一致ならば含めないことに
より対応とする.

Q.クライアント側でのCSS攻撃対応は初めて。後方一致しない場合はダメと思う、
 OpenIDや他の例等。様々なサイトアクセスで動かない場合があると思う。Internet上の
 サービスを制限するのでサーバ側でやる. ユーザビリティの限界があるのでは? 
 実Internetでの制限ないかを調査してもらいたい。
A.実験例のみ。ご意見を認識した。
Q.false positiveが多いのではと危惧する。
 実装、技術的に、Webのタグ切替時、HTTP切替時の判断をどうやって実現するのか?
A.1つを記録。限界あるかも。


◆1B1-2 	(14:52-15:13)
脆弱型電子透かしによるウェブページの完全性確保手法
◎Peng Gao (九州大学大学院システム情報科学府) 
 Seiichiro Mizoguchi (九州大学大学院システム情報科学府) 
 Takashi Nishide (九州大学大学院システム情報科学研究院) 
 Yoshiaki Hori (九州大学大学院システム情報科学研究院) 
 Kouichi Sakurai (九州大学大学院システム情報科学研究院) 

概要:
In this paper, we present a design of an Integrity As A Service(IaaS) framework
 to enforce integrity protection in Web pages, which is based on a novel fragile
 watermarking chain scheme and covers both models of the traditional Host-target
 and the new In-flight-target Webpage attacks. Our simulations show that our
 proposed framework can not only offer a one stop service of Webpage integrity
 protection to the Web sites and users, but also significantly reduce the cost
 in system development for the small and medium enterprises(SMEs).
 具体的には、各page情報をkey情報化したデータSiを作成し、次pageのヘッダに付与。

Q.検証のページサイズは約5Kbで小さい。より大きなサイズで検証すべき。
  5Kb以上でも提案手法は動作可能か?
A.By case study, 300Kb以上でも大丈夫。200Kb平均でもOK.
  source codeをsmall codeへ分割可能で、単純に実行可能であるから。
Q.localizeを誰がmodifyしたいと考えるか?
 Ownerはオリジナルを所有しているからあなたが比較できなのでは?
A.Web site Owner。Webページで比較。。(後で、議論しましょう、で中断)


◆1B1-3 	(15:14-15:35)
ユーザの判断能力に基づいたフィッシングサイト検知技術における一考察
◎宮本大輔 (独立行政法人 情報通信研究機構) 
 櫨山寛章 (奈良先端科学技術大学院大学) 
 門林雄基 (奈良先端科学技術大学院大学) 

概要:
  ユーザの過去の判断(Past Trust Decision, PTD) の記録を活用したフィッシング
サイト検知についての考察.ウェブサイトを見たユーザの「正規サイト」「フィッシ
ングサイト」の判断結果を,既存のヒューリスティクスを用いたフィッシングサイト
検知手法に取り入れることを提案. 今回、309人にWebに関する公開アンケートを実施
し"ユーザの事前知識"、"ユーザの判断基準"、"ユーザの基本的な情報"を調査. 正しい
判断を行う5つの要素(利用経験、URLに基づく判断等)と5つの要素でのユーザのクラス
タリング(ウェブサイトの利用経験があるサイトの正答率等)の考察により、「事前知識
を検知に役立てることができる」「ページの内容に頼った判断を行っていない」等の
ユーザの判断をフィッシングサイト検知に利用可能とする。

Q.5つのクラスタ分割。顕著に差がでているのか?
 課題の各クラスタの細分化が適切かへの考慮は?
A.誤り率の改善図1: 各クラスタの誤り率を0に近づけていくことは大変。
 その改善を目指している。妥当かどうかをいうのは難しい。
Q.HumanBoostを人と人の結果、クラスタリングと個人との関係は? 
 個人の正解率で基づくことはできないか?
A.能力に基づいて変わってくると推測。過去の履歴結果から対象外とする。
Q.ユーザ判断の精神状態を考慮すべきで、Web判断を求めているアンケートと
 実運用では判断結果も異なるのでは?
A.インディアナ大のアミール先生の論文を参考に、今回はフィッシングサイト研究の
アンケートであることをオープンにした。公開のパターンも考えたが今回は未実施。


+++++++++++++++++++++++++++++++++++++++
1B2  Webセキュリティ(2) [座長:IIJ)須賀氏](16:25〜17:55)	参加者:約50~70名
+++++++++++++++++++++++++++++++++++++++
◆1B2-1		(16:25-16:48)
A Prevention System for Automatic Google Hacking
◎Jingyu Hua (Kyushu University) 
 Kouichi Sakurai (Kyushu University)

概要:
  Google Hacking解析の為のHoney pot用のhoney pageを応答するシステム提案。
攻撃者からのhoney potへのアクセスに対し、honey potが実サーバへアクセスし、
応答を基に偽の応答ページを攻撃者に返す。

Q. How can google/web detect malicious attack ?
A. Tagging Vulnerable Pages can detect malicious page from many tagged pages.
Q. Many web-manager use own honey pot. How can do implement ?
A. Honey potはGoogleで実施すべき。我々ではない。
Q. Googleは提案を使うか? Cost of computationでGoogleは採用しないと思う。
  が、提案自体は面白い。
A. Google proxyを利用した実験。Hi qualityで提供可能。。。


◆1B2-2		(16:48-17:12)
携帯電話向けWebにおけるセッション管理の脆弱性
○高木 浩光 (産業技術総合研究所 情報セキュリティ研究センター)

概要:
  日本独自の発展を遂げたいわゆる"ガラケー"においては、ケイタイIDを全サイトへ
自動送信するという、ケイタイIDを用いた利用者認証、簡単ログイン、が急速に普及
している。2009年まで携帯でのCookie使用不可(docomo)が背景にあるが、なりすまし
ログインの危険性が高い。危惧される脆弱性と攻撃を解説し、ケイタイIDのリスクを
警鐘し、問題認識の共有と回避策の実現を(キャリアへ)促す提言。

Q.この独自方式で安全性を高める方法は? OpenIDに乗っ取るべきということ?
A.SSLを使用するならば無理と考える。Yes. CookieないのでOpenIDも動かないので。
Q.Cookieを利用してとすると相乗りを考える業者がでてくる、と推測。
 値を共有するとひとつもれれば全て漏れるのでは? 
 攻撃者がCookieの中身を書き換えて 。。。(座長コメント、「後で」)
A.Cookieはブラウザで区別されている。FirstPartyのCookieとThirdPartyのCookieがある。
  FirstとThirdの紐付けの話しはある。漏れても送った先で送信元と該当者の紐付けが 出来ていないと動作しない。


◆1B2-3		(17:12-17:34)
ドメイン名の秘匿によるOpenSocialアプリケーション配信サーバの保護
◎田邉正人 (横浜国立大学) 
 橋本遼太 (横浜国立大学) 
 吉岡克成 (横浜国立大学) 
 松本勉 (横浜国立大学)

概要:
 SNS上での人気の提供アプリは、アプリ配信サーバへの直接的な不正アクセスが容易となり、
不正侵入の危険性が増加。そこで、代理接続により、アプリ配信サーバのドメイン名を秘匿
する方式を提案。具体的には、
1.OpenSocialコンテナによる代理接続方式、及び、
2.外部プロキシサーバによる代理接続方式。
今回は、2.の方式を実装し、直接接続型アプリと比較し、正常動作を確認。

Q.SNSを介して配信サーバの攻撃回避というが、SNS直接攻撃が効率的では?
  SNSはプロキシしか見えないが安心できるのか?(ユーザは高まるがSNSは安心?)
  プロキシ方式の場合、プロキシへの情報集中はSNSプロバイダにとってよいのか?
A.アプリによっては課金情報が配信サーバにあると考えられる。
  アプリ配信サーバは配信者自身が管理・設定を行うため脆弱性が高く、
  守る必要があると考える。(長考。。)
  (吉岡先生フォロー)アプリ配信かProxyだけ。現状もアプリ配信サーバの信頼性は不明。


◆1B2-4		(17:35-17:55)
Webユーザ情報に基づくDBアクセス制御手法の提案 -既存Webアプリケーションの脆弱性対策-
○武藤幸一 (情報セキュリティ大学院大学) 
 小柳和子 (情報セキュリティ大学院大学)

概要:
  極力Web アプリケーション側の言語やDBMS に依存せず高度なアクセス制御を行う手法を提案。
具体的には、SQL 文自体にセキュリティコンテキスト情報を含めてDB に送信する形にすることで
環境への依存を排除する。また、アクセスルール記述も、既存DB に存在する情報を元に階層型の
RBAC 定義を作り出す形式とし、簡易かつメンテナンスフリーな記述を可能とする。
実現構成としては、WebアプリとDBMSの間に、DBフィルタを設置。Webアプリでセキュリティコン
テキストを付与し、DBフィルタは、SQL文書変換(実行ユーザに許容する条件を付与)を実施する。

Q.正直にユーザIDを送信するところがミソと考える。ログイン時は?
A.ログイン時はユーザID、PWD制限するとログインできない。正規表現を用いて
 ログインテーブルはアクセスせず、ログインパターンは許容としている。
Q.ユーザIDをSQLに追加する処理について。SQL送信時のユーザ識別子付与でIDを
 エスケープしていないのでそこからIDが漏れないか?
A.ご指摘の通り、改善を検討する。



<1月27日(木)>
+++++++++++++++++++++++++++++++++++++++
3F1  クラウドセキュリティ(1) [座長:東電大)斉藤先生](9:00〜10:40)	参加者:約80~150名
+++++++++++++++++++++++++++++++++++++++
◆3F1-1		(9:01-9:21)
Hierarchical Design and Security Proofs for Functional Encryption
Tatsuaki Okamoto (NTT)
○Katsuyuki Takashima (Mitsubishi Electric)

概要:
 CRYPTO2010で提案した、のFE(Functional Encryption)方式に関し、高次元ベクトル
空間上の基本的な計算困難問題である3つの柱となるテクニック、双対基底計算問題、
ベクトル分割問題、部分空間判定問題を用いた提案。階層的な暗号設計と安全性証明、
方法を導入し、上位概念の仮定は、階層的にプリミ ティブ概念に関する単純な仮定
(DLIN)に計算帰着されるとしている。

Q(座長).アクセス構造とはどんなもの?
 IDの代わりにΨ、のシークレット鍵利用。何が効いてはいけないか?
A.行列を利用したスパム(スター?)プログラム。
 通常のシークレットシェアリングとは異なる。
  チャレンジパラメータΨに対し、Υが効かない仕組み。


◆3F1-2		(9:22-9:41)
関係データベースでの統制された比較が可能な暗号
○古川潤(日本電気株式会社) 
 一色寿幸(日本電気株式会社) 
 側高幸治(日本電気株式会社)

概要:
 データベースが, 利用者の要求に応じて暗号化したまま表の自然結合, 和, 差, 共通
部分等の主要な関係代数演算を実行できる暗号として, 統制された比較可能暗号を提案. 
本方法は, 同様の機能を検索可能暗号を用いて実現するよりも安全性が高く, 計算量も
高々データ数に比例. 鍵生成の巡回群で、Diffie-Hellman判別問題が難しい行列を仮定.

Q.DBでの必要性の検索重要性は解決。検索の計算量はペアリング利用により実用には耐え得るのか? 
 通常と比較して。
A.ペアリングなので重い。実装はアクセスレタを使うことを想定。通常の100倍くらい。
Q(座長).レコードの数に対してリニアの説明を。
A.射影鍵生成の射影鍵pkeyを用い、鍵とラベルに関して処理及び比較していく。


◆3F1-3		(9:42-10:02)
準同型な共通鍵暗号から準同型な公開鍵暗号への変換法
○國廣 昇 (東京大学)

概要:
 環準同型な共通鍵暗号から環準同型な公開鍵暗号を構成する方法を提案.
この変換法は,群準同型暗号の場合でも有効である.実現例として,van Dijk らの方式
およびPohlig-Hellman 暗号からの変換を示す.クラウドコンピューティングにおいて、
環準同型暗号は重要、既存の環準同型な公開鍵暗号方式は複雑であるとして、
共通鍵暗号から、公開鍵暗号を構成する変換を提案.

Q. 秘密鍵sを用いないといわれたが、mを公開情報だけで復号ならば、共通鍵方式が
   公開鍵方式に見えるが。特殊な構造は公開鍵と同じに見える。
A.公開鍵の中にsを含んでいる(という意味?) 暗号化時は使わず、復号時は使用。


◆3F1-4		(10:02-10:20)
クラウド環境に適した秘密分散共有法の初期検討
○須賀祐治 (株式会社インターネットイニシアティブ)

概要:
 クラウドにデータを置くが頻繁にアクセスするのではなく,バックアップなどの用途において,
複数の異なるクラウド事業者にデータを秘密分散して格納するケースを対象.
その際には,クラウド業者内で複製されたり,階層的にデータが秘密分散されたりするケースも考えられる.
このような状況の下,復元を効率的に行う方式を定式化,実際の実用方法についての初期検討.
論文差替え	"http://www.suga.org/scis2011.pdf"

Q & A. (nothing)


◆3F1-5		(10:21-10:40)
ゲートウェイによるクラウド間のデータ秘匿集計技術
◎牛田芽生恵 ((株)富士通研究所) 
 伊藤孝一 ((株)富士通研究所) 
 片山佳則 ((株)富士通研究所) 
 小櫻文彦 ((株)富士通研究所) 
 津田宏 ((株)富士通研究所)

概要:
クラウド利用するユーザのニーズを考え, 以下の3 点の特徴を持つ秘匿集計技術を提案.
(1) クラウドや各ユーザは他のユーザの秘密情報(クラウドで扱うデータの機密情報や
    秘匿復元処理に必要な秘密鍵情報)を一切得ることなく集計処理を行う. 
  万一不正なユーザやクラウド管理者がいても、情報漏洩につながらない. 
(2) 集計結果の精度を, 閲覧するユーザの種別によって変更可能.
(3) ユーザに意識させることなく, また, クラウド上のアプリケーションを改修せずに,
    データの秘匿復元処理を実施.

Q.表データ以外の文書等の一般データの場合は、乱数テーブル利用可能か?
A.他の方式の検討が必要。鍵はクラウドに置かない、を条件に。
Q.乱数テーブルの決め方は? 階層化の複数化は可能か?
A.縦横の合計が0となる、が基本。後は利用用途に依存。
  可能、階層の属性毎に合計値を0とする入れ子構造とする。


+++++++++++++++++++++++++++++++++++++++
3F2  クラウドセキュリティ(2) [座長:筑波大)金岡先生](10:55〜12:20)	参加者:約80~150名
+++++++++++++++++++++++++++++++++++++++
◆3F2-1		(10:55-11:16)
属性暗号技術を用いたアウトソースデータに対する柔軟できめ細かなアクセス制御方式の提案
◎趙方明 ((株)東芝研究開発センター) 
 西出隆志 (九州大学) 
 櫻井幸一 (九州大学)

概要:
  クラウド環境でのserver strageでの利用の為の、CP-ABE(Ciphertext-Policy Attributed Based Encryption)
の提案。鍵を管理するTA Trust Authorityにて、暗号鍵を作成、管理。ユーザは自身の属性に対して生成のkeyで
復号(但し、属性がAccess Treeを満たすことが条件). 
クラウドサーバがReader/WriterのABS(Attributed Based Signature)検証を実施。

Q.比較表の対象は、属性ベースか?
 比較表の前のコスト。増えていないか? 試算は? かなり・少ない?
 クラウドプロバイダはデータを見ないが署名の検証は実施が前提か?
A.IDベース3件と属性ベース3件と比較。
  属性ベースの暗号は属性数により線形で増加。削減可能
  暗号化、+ ABS署名すると時間はかかる。
  Yes. プロバイダは署名者もその属性/ファイルの鍵も判らない。


◆3F2-2		(11:17-11:37)
ソースコード自動分割による外部委託型アプリケーションの保護
◎本多聡美(横浜国立大学) 
 吉岡克成(横浜国立大学) 
 松本勉(横浜国立大学)

概要:
 Cloudで処理実行を委託するアプリ・外部実行型アプリ自体がサービス事業者により
盗用される恐れに対する、外部実行型アプリの保護手法の提案. 具体的には、アプリを
自動的に複数分割し、通信機能を追加.さらに連係動作する分割アプリを作成し、
異なる委託先で実行することで、
 1)復元困難性、
 2)許容範囲内でのパフォーマンス低下
の2つの要件を満たすとする.

Q.DBアクセス部分はサブアプリ対象、メインアプリはプロバイダ。
 DBの内容が秘匿性高いと考えると、サブにおいてこそ秘匿性が重要では?
 サービス事業者側でDB処理すべき。
A.今後の課題。
Q.掲示版アプリについて。Javaのオブジェクト言語だが、
 提案はインスタンスを自由にできない。他アプリへの適用制限されないか?
A.今後の課題。
Q.想定の脅威は? IaaS上でのデータ/アプリ盗用か? 
 使用後の削除ではなくアプリを見せないことと理解。
 データのローカリティ、コンプライアンスを考慮している。
 コンプライアンス問題あるデータはクラウドに置かない考えはどうか?
A.自前アプリを外部実行時の盗用。今後の課題。


◆3F2-3		(11:37-11:59)
クラウド環境に適したオンラインデータ分散管理方式
◎恩田泰則(中央大学理工学研究科) 
 辛星漢(産業技術総合研究所情報セキュリティ研究センター) 
 古原和邦 (産業技術総合研究所情報セキュリティ研究センター) 
 今井秀樹 (中央大学理工学研究科, 産業技術総合研究所情報セキュリティ研究センター)

概要:
オンラインデータ分散管理方式(Secure On-line Distributed-data-management and
 Acqui-sition systems, SODA) に関し、LR-AKE(Leakage-Resilient Authenticated Key
Exchange) を用いた3 ノード構成のオンラインデータ分散管理方式をクラウド環境で
用いた場合に問題となる点を解決し、クラウド環境でもデータの機密性及び可用性を保つ
ことのできるように改良した方式の提案. クラウド環境での問題点は以下の2点であるとし、
 1.サーバ同士が結託すると元のデータ鍵がもとめられてしまう問題
 2.サーバまで出向くことが難しい問題*
それぞれ対策として、"A,B間でのLR-ARKでのパスワード長を長くする", "別のデバイスC'を準備"を提案.
*一部サーバが障害の場合、他サーバをクライアント利用してデータ鍵復元の必要ある為

Q.クラウド側で結託、崩壊、いずれもAB間のLR-AKE使用していないのでは?
 C'だけでなくAB間連携も必要ということか?
A.実装による(データ鍵復元の図を使い、説明続くが良く判らず)。Yes.
C.AB間のデータ利用しているのでC'からデータ鍵復元が可能


◆3F2-4		(11:59-12:20)
クラウドコンピューティングセキュリティの経済分析による一考察
◎笠松宏平 (中央大学理工学部) 
 田沼均 (産業技術総合研究所情報セキュリティ研究センター) 
 木村元 (中央大学研究開発機構) 
 今井秀樹 (中央大学 理工学部 ,産業技術総合研究所情報セキュリティ研究センター)

概要:
 クラウド環境において、利用者がコンピュータリソースを共有して使うマルチテナント環境は
基盤を共有している利用者間に事故の相関が生じる恐れがあることに注目し、基盤の共有を考慮
してプロバイダのセキュリティ投資に関する行動を分析するためにシンプルなモデルをつくり、
解析解を得ることを目的としている。
低品質サービスの事故確率が高品質なサービスの事故確率に与える影響を表した値:分離度Sにより、
低品質サービスユーザの事故確率を検証することにより、最適投資額や最適利益の最適化問題の
解を得るとする.

Q.N高品質ユーザ、n低品質ユーザ、分離度の大小を使用しているの認識でよいか?
 セキュリティ事故の数、有無の影響はあるのか?
A.ご指摘の通り。事故の有無による影響を見るのは困難。利用者数が着目しやすい。
Q.ユーザが高低のいずれを選ぶかは与えられるものではなく、関数で与えられるべきでは?
A.ご指摘の通り。今回は、従来ないシンプルなモデル提供を優先した。
Q.詳細を考えると分離度が判らなくなる。高くなるもの、低くなるもののイメージは?
A.低品質で事故発生時に、高品質の発生を見えている。具体的にはSは決められない。
 単純化している他のパラメタも変数化する必要がある。


+++++++++++++++++++++++++++++++++++++++
3B3  マルウェア対策(1) [座長:NICT)井上氏](14:00〜15:46)	参加者:約70~100名
+++++++++++++++++++++++++++++++++++++++
◆3B3-1		(14:01-14:22)
An Enhanced Security Policy Framework for Android
◎Yi Jae Park (KAIST, Korea) Doyoung Chung (KAIST, Korea) 
  Made Harta Dwijaksara (KAIST, Korea) 
  Jangseong Kim (KAIST, Korea) 
  Kwangjo Kim (KAIST, Korea)

概要:
 Android OSにおいて、アプリケーションレベルではなく、OS内部を改造しての検知提案。
具体的には、 ApplicationとApplication Frameworkの間に、EDAPA、pAPA、Modify permissionsの
コンポーネントを追加し、アプリのpermissionを得て、dynamic verificationの機能を提供する
フレームワークを提案。

Q.Complete permission, Maneger's permission of application is hard work, 
  managing it is not easy work, complicated for user. 
  How can you implement ?
A.I can understand, question....
Q.Does your framework modify Android, does'nt it?
  Google can not modify OS. ....
A(Ph.D KIM).Answer is NO. We can show specific example of exmaple.
Q.Android is NEW, Why does not Google support in Android OSlike your proposal ?
  (Let't dicsuss later.)
A(Ph.D KIM). Now, We focus on open platform OS. We can try to modify Android OS future.


◆3B3-2 & 3B3-3		(14:22-15:04)
Android 向けアプリケーションの挙動に注目したマルウェア検知
Android携帯電話上での情報漏洩検知
◎磯原隆将 (KDDI研究所) 
○竹森敬祐 (KDDI研究所) 
  窪田 歩 (KDDI研究所) 
  高野 智秋 (KDDI)

概要:
 同研究グループの2名による合同発表。3B3-1と異なりアプリ層での検知を対象。
前者は、アプリの安全性基準の内、root権限奪取する攻撃型マルウェア、及び、root権利用する
特権利用型マルウェアに対し、Android端末を評価者が操作してLogCatツールを用いてシステム
メッセージを収集し、正規表現を用いたシグネチャを適用して未知のアプリケーションの良性・
悪性を判定する技術を提案。
後者は、アプリの安全性基準の内、情報漏洩型マルウェアに対し、検知シグネチャとして、
通信と重要情報の組み合せシグネチャ(及び広告シグネチャ:講演では言及なし)を提案.
おわりに、Marketプレイスの安全化と、アプリ開発者への提言「ストーリ中で情報送信の承認を
ユーザから得るべき」と、ユーザへの提言「安全性審査をへたアプリ利用.
情報アクセスパーミッソンのアプリはインストールしない判断も有効」を強調。

Q.動的解析が人手はわかるが、自動化は可能か?
 正規の中にも同様のアプリある。事前審査の別案で、興味あるひとにモニタしてもらう  という方法もあるのでは?
A.人手かかるが、自動化は困難。例えば、"モンキー"あるが評価にならない。
  現状は人手必要。APL起動後、即終了のアプリあるので時間を考慮する方法ある。
  情報収集面で有効と考える、参考とさせていただく。
Q.検知後の対応は、停止・削除は可能か?
A.今回は検知まで。検知したら削除を促すことは可能
Q.「情報アクセスパーミッソンのアプリはインストールしない判断も有効」はサービス提供側の敗北宣言にも見える。
  サンドボックスのような従来技術は使わないのか?
A.コンテントプロバイダでは、誰に迄公開するか、というフレームワークある。
  情報管理のアプリに依存するので、ユーザより開発者側の担務と考える。
  ユーザ向けの安全サービスとして、au one Marketセキュアアプリ検証を受けたアプリに完全マークを付与している。
Q. このようなOSで製品、サービス提供は開発者としてどうか。
  Androidならではのセキュリティ的に有効な仕組みはないか。現状ではPCと同じというか問題がある。
  Androidならではの仕組みの提案。福島氏のアプリロックのような仕組むを想定した。
A.開発者認証も課題だし、PCライクも同様。日本市場向け。企業向けのガチガチのモデルをKDDIとしてアナウンスし、
  トライしようとしている。
Q.LogCatの信頼度は?
A.管理者権限でroot機能レベルで回避されると厳しい。


◆3B3-4		(15:04-15:25)
Boostingを用いたマルウェアトラヒックの検知手法に関する一考察
◎森悠樹 (早稲田大学理工学術院) 
  市野将嗣 (早稲田大学メディアネットワークセンター) 
  畑田充弘 (NTTコミュニケーションズ株式会社) 
  小松尚久 (早稲田大学理工学術院)

概要:
 マルウェア感染時の異常なトラヒックデータを正常時のトラヒックデータと比較することで
感染の検知を行うシステムを検討.感染検知をするにあたってトラヒックデータから特徴量を抽出し, 
それらに対して識別器を用いた判定を行う.マルウェアトラヒックを検知するための識別器設計の
方針として、特に弱い識別器にBoosting アルゴリズムを用いて、繰り返すことで検知精度の向上を
図っている.

Q.学習とテストの利用データは別物か? 
  未知トラヒックへの対応の課題は? 閾値のTPR、TNRの分析は?
A.Yes、今回はランダムに学習とテスト。
  今回は未実施、学習条件でFalse Negativewの小さくすることめざす。
Q.Boostingの適用理由。
 高度な識別器を使い、学習をすることよりも今回の提案を採用の理由は?
A.ある程度の精度のある弱い識別器を繰り返し利用で徐々に切り出し可能と考えた。
 弱いがシンプルなので処理が軽い。実装上の観点を考慮。


◆3B3-5		(15:25-15:46)
マルウェア解析の効率化を目指した自己書換え動作の可視化方法
◎織井達憲 (横浜国立大学) 
  吉岡克成 (横浜国立大学) 
  四方順司 (横浜国立大学)
 松本 勉 (横浜国立大学)

概要:
 マルウェア実行開始時のメモリアクセス,特に命令の実行とデータの書き込みの関係を
可視化することにより,解析者によるオリジナルコードの判定を支援する手法について検討.
また,提案手法を実装したメモリアクセス可視化システムを構築し,様々なパッカーを用いて
パッキングしたサンプルプログラムや,ハニーポットで収集したマルウェアのメモリアクセス
について可視化.具体的には、オリジナルコードの特定、自己書き換え動作の特徴をすばやく検知の為、
マルウェア実行時の自己書き換え動作の可視化を実施。階層的なメモリマップを導入している点が特徴。

Q.動作環境は? VMwareとわかると判ってしまうのでは。
 関連研究同様にEtherの上でやってはどうか?
A.VMウェア+Windows。
 今後の課題。(吉岡先生フォロー).可視化に着目。今回は検知されやすい環境で実施
Q.可視化後のツール、組合せツール等の検討は?
A.現状は未実施。ファイルとしての保存やユーザインタフェースの拡張を検討中。
Q.オリジナルコードを人がみてわかるか? 又は機械的に言えるか?
A.人が見て判るかはノウハウに依存。上の階層の方が直感的にあやしい、のような
 アプローチで短時間で判明等がある。機械的判定は、シグネチャ登録で特定パッカー
 についての特定は可能。
Q.時系列の情報の利用用途は?
A.処理の流れ、ブロックからブロックの流れやタイミング。
  またブロックの上書きはオリジナルコード特定に役立つと考える。


+++++++++++++++++++++++++++++++++++++++
3B4  マルウェア対策(2)  [座長:KDDI)竹森氏](16:15〜17:45)	参加者:約60~100名
+++++++++++++++++++++++++++++++++++++++
◆3B4-1		(16:15-16:35)
マルウェアの挙動情報を用いたマルウェア分類システムの提案と実装
◎正力達也 (神戸大学大学院) 
 伊沢亮一 (神戸大学大学院/株式会社クリプト) 
★森井昌克 (神戸大学大学院) ★発表代行

概要:
 マルウェアを適切に分類するために必要な指標を求めることを最終的な目標とし、
その第一歩として,挙動情報やAPIログなど複数の検体情報をまとめて扱うことで,
マルウェアの分類を行うシステムを提案.提案方式では数量化IV 類による次元縮退
を行うことで,これら多次元の指標を低次元の指標に落とし込み,検体同士の距離
を定めるシステムとして実装している.また,得られた検体同士の距離関係を基に
ユークリッド空間に検体を配置することで,分類の過程を視覚的に確認する.

Q.挙動は何をみているか?
 直感的指標の自動化は?
 直感的判断をデータ化すれば、。。
A.レジストリの作成、ファイルの削除等。
 尺度が明確化になるまでは、有識者が見る方が有効という考え。
 OK
Q.各工程の時間は? U類W類の選択基準は?
A.検体数に依存。万の単位の検体なので時間の単位。
  W類はマルウェアではないが他の分野で有効性示されており、ツールもあるから。
Q.産総研森. 先ほどのパッカーと関連して。パッカーによる分類への影響は?
A.現状はパッカーは意識していない。NICT提供データにパッカーの意識ないので。今後の課題。
Q.3つに分けた理由は?
A.APIと挙動が一体化していればAPIのみでよい。一体化して居ない場合を想定して、APIと挙動を分離している。


◆3B4-2		(16:35-16:56)
メモリ展開されたマルウェアバイナリコードにおけるコード領域抽出手法
◎鳥居明久 (神戸大学大学院) 
 伊沢亮一 (神戸大学大学院/株式会社クリプト) 
 森井昌克 (神戸大学大学院)

概要:
 マルウェアの多くは解析を妨害する為の難読化により,オリジナルコード取得が困難.
難読化されたマルウェアをデバッグ環境下で実行し,メモリアクセスを監視することで,
オリジナルコードの候補を取得する手法が提案されているが、この手法では実行されない
コードは取得できない.そこで解析対象の実行後にコミットされたメモリ領域をメモリ
ダンプし,得られたバイナリコードの逆アセンブル結果よりオペコードの出現傾向に着目
したオリジナルコード判別手法を提案.オペコードの出現傾向からコードの種類を,
傾向の変化から領域の境界を判別することが目標.

Q.ここからプログラムという情報は何か? 困難か、必要ないか? 2つの山の関係は?
A.大体を検討付けて、人手で解析、を考えている
  展開用プログラムと実効プログラム。NTT岩村氏研究とシミュレーション比較したい。
Q.NTT岩村氏との研究の優位性は?
A.プログラムコード中の相対アドレス指定の分キ命令に基づく。
 逆アセンブルによる完全性が必要。エントリポイントとバイナリ難読化が課題。
 そこまでの条件が必要ないことが優位性。
Q.1byteずれると意味異なる場合もあるのでは?
A.逆アセンブルのポイントにより意味変わるのは事実。実施により同期とれると想定。
Q.メモリダンプの頻度高いと推測。メモリダンプの取り方は?
A.メモリダンプの取り方は考慮対象外。今回は展開先自明のデータを利用した。


◆3B4-3		(16:57-17:20)
バイナリコード静的解析によるマルウェア解析とその応用
○森彰 (産業技術総合研究所) 
 泉田大宗 (産業技術総合研究所)

概要:
 エミュレーター上での仮想実行とバイナリコードの静的解析を組み合わせたマルウェアの
振る舞い解析手法。特に、静的解析について展開型静的解析という手法を提案。
具体的には、1.静的解析を開始、2.動的解析を開始、3.静的解析を再開、4.プログラム終了
まで繰り返し、と静的解析と動的解析のハイブリッド型と理解する。

Q.ジャンプ命令の解析と応用。ジャンプ命令に着目の理由は?
A.Control Flow Graphは巨大な木。木の間の距離を測る。その距離を基にクラスタリング すればが容易かつ正確に見える。
Q.静的解析。実際のマルウェアへは。
A.パッカーの場合、いずれは静的解析はじまる。
Q. ページ単位で書き変えの場合は?
A.ページ単位で書き変え発生したら、ページ単位なので検出して再解析する。
Q. SCOPE:NW攻撃自動制御について。
A.ハニーポットの適用制御に、囮サーバ、バイナリコード解析器を利用


◆3B4-4		(17:20-17:45)
コードに基づいたマルウェアの機能推定に関する研究
◎東結香 (奈良先端科学技術大学院大学情報科学研究科) 
 中津留勇 (社団法人JPCERTコーディネーションセンター) 
 真鍋敬士 (社団法人JPCERTコーディネーションセンター) 
 猪俣敦夫 (奈良先端科学技術大学院大学情報科学研究科) 
 藤川和利 (奈良先端科学技術大学院大学情報科学研究科) 
 砂原秀樹 (慶應義塾大学メディアデザイン研究科/奈良先端科学技術大学院大学情報科学研究科)

概要:
 マルウェア検知に関し、コードという静的な情報と機能を紐付けし、マルウェアの挙動や
引き起こす被害を予想する事を目的とする。具体的には、マルウェアを逆アセンブルした結果
を機能という観点から関数単位で分割し、関数間の類似度を統計的に処理した結果を用いて
分類を行い、同一グループからその機能を持ったマルウェアの特徴を求める。
大局的視点から考察して、下位偏り型、飛び石型、分散型の3つの傾向に分析。
事例では、前二者には、機能的に類似性は見られなかったが、分散型には、
"機能的に類似性は見られるが、マルウェアの構造が違う"、及び、"マルウェア構造が似ている"
の類似性を報告。

Q.構造とは何か?
A.大まかな機能的構成
Q.ある関数だけを入れ替えたマルウェアを想定すると、
 機能推定は高くなるか? 逆アセンブル環境でないと難しいということか?
A.検体1と検体10の例で考えると、閾値の関連あるが可能性はある。Yes.
Q.前2発表と比較してのアドバンテージは?
A.コード比較で直接実施している点、と考える。



<1月28日(金)>
+++++++++++++++++++++++++++++++++++++++
4E1  コンテンツ保護(3) [座長:東京理科大)岩村先生](9:00〜10:22)	参加者:約30~60名
+++++++++++++++++++++++++++++++++++++++
◆4E1-1		(9:00-9:20)
Hybrid Tracing Algorithm for Probabilistic Fingerprinting Code
○Minoru Kuribayashi (Kobe University)

概要:
 Under the assumption that the distortion is modeled as AWGN, two kinds of 
tracing algorithm have been proposed and those traceability have been
 theoretically and experimentally evaluated. In this study, a hybrid version of
 such tracing algorithms is theoretically designed considering the characteristic
 of underlying two methods. The proposed method adaptively classifies elements
 of pirated codeword depending on the amount of noise added to them,
 and it selects one suitable method for respective elements.
 "two method"とは、Hard DecisionとSoft Desicsion。雑音程度に対し、高い場合はHD、 
 低い場合はSDに切り替える"hybrid"方式の提案及び理論的解析。

Q.Sの意味は?  検出のC=10の時の攻撃は?
  多数決攻撃の結果が良かった?
A.FingerPrintのシグナル マジョリティアタック:多数派攻撃(ユーザ 1000, 結託者10) 
  多数決、少数決も結果はおなじ。アベレージは検出能力は下がらない。
Q.Hybridでビット毎。工数的には増加しないか?
 ガウス分布以外の雑音分布が判れば適用可能?
A.雑音の推定作業、閾値T設定のオーバヘッドはあるが大きな影響ない。
  Yes.


◆4E1-2 	(9:20-9:41)
一定サイズの暗号文を持つ追跡と無効化が可能な放送型暗号
◎張瑩 (中央大学大学院 理工学研究科 電気電子情報通信工学専攻) 
  ナッタポン アッタラパドゥン (産業技術総合研究所情報セキュリティ研究センター) 
  北川 隆 (中央大学 研究開発機構) 
  今井 秀樹 (中央大学大学院 理工学研究科,産業技術総合研究所情報セキュリティ研究センター)

概要:
  デジタルコンテンツを利用した有料コンテンツ配信システム普及に伴う, 有料コンテンツ
配信システムの不正利用ユーザの問題. 暗号文サイズが一定になる,不正使用者追跡機能と
無効化機能を持つ放送型暗号を提案. 提案方式では, Boneh, Gentry, Watersによって提案された
放送型暗号と結託耐性符号を利用することで, 不正ユーザの追跡および無効化ができる放送型暗号
を実現. 暗号文サイズが一定とCPA安全を強調.

Q.公開鍵を小さくしたと思うが、説明を。
A.BGW放送型の鍵を利用し、鍵サイズは大きくなった。が、鍵の再利用で減らした。
Q.鍵は小さくなったが、暗号文は大きくなっていないか? 
 他方式との比較を表化した方が良い。
A.従来は暗号文サイズは一定ではない。


◆4E1-3 	(9:41-10:01)
Fully Collusion Resistant Traitor Tracing with Constant-Size Private Keys
○Kazuto OGAWA (NHK) 
  Nuttapong ATTRAPADUNG (AIST) 
  Goichiro HANAOKA (AIST) 
  Hideki IMAI (AIST)

概要:
  A traitor tracing scheme enables a contents provider to trace one of the
 private keys used to create a pirate decoder. We provide a fully collusion
 resistant traitor tracing scheme with constant size of private keys.
 The scheme generate private keys of size O(1). Sizes of ciphertexts and
 public key are O(N2), where N is the number of users.

Q.最後のR.Wとの比較。復号鍵の点で有利と理解。
 復号鍵のモチベーションは?
A.復号鍵、暗号文をともに小さくしたい。今回は、復号鍵。最終的には両方。
Q.BN方式で暗号文のサイズ以外のメリットは? 完全版ではなく中途版?
A.前の質問回答と同じだが、復号鍵と暗号文の双方を小さくしたい。
  両方対象とする方式はない。従来無い方式を目指している。Yes
Q.今はメモリは使える。通信量(暗号文)が問題では?
A.NHK 4000万、インターネットは15億。通信だけでなく、メモリも。


◆4E1-4		(10:01-10:22)
3分木に基づく効率的なブラックボックス不正者追跡方式
(Efficient Traitor Tracing Based on Ternary Tree)
◎福島和英 (株式会社KDDI研究所) 
  清本晋作 (株式会社KDDI研究所)
  三宅優 (株式会社KDDI研究所) 
  田中俊昭 (株式会社KDDI研究所) 
  櫻井幸一 (九州大学)

概要:
  We propose a traitor tracing scheme based on a broadcast encryption scheme
 with a ternary tree. The computational overhead imposed on devices is feasible in
 a traitor tracing scheme based on a tree structure. The complete subtree (CS)
 method and the subset difference (SD) method provide traitor tracing algorithms. 
 However, the communication overhead for broadcasting is high in the CS method, 
 and the tracing algorithm is inefficient in the SD method. Our tracing algorithm
 is as efficient as the CS method, while keeping communication  overhead at a
 feasible level, lower than that of the SD method.
ブロードキャスト暗号の暗号鍵に関し、より効率的な、3分木のSDであるT-SD法 (Ternary
 Subset Difference Method)の提案.


Q.課題の2。サブセットの分割は複雑化するのでは?
 ラベルの割当法は?
A.Yes.加えて、2分木から3分木への拡張で結託攻撃に対するラベル割当てが難しかった。  
  新たに考案。一部のラベルを一方向性関数で処理している。
Q.SD法選択の理由は? ウルトラ3Gはダメか? 
 ヘッダは削減、オーバヘッドは大きいが、見通しは?
A.端末の計算量を小さくしたい。公開鍵ではなく共通鍵を選択。
 携帯の電池の持ちを考慮し計算量を小さくと考えた。
 4分木の場合は3分木より増え、多分木はさらに増えている。



+++++++++++++++++++++++++++++++++++++++
4D2  ネットワーク攻撃検知・対策 [座長:奈良先端大)猪俣先生](10:35〜12:36)	参加者:約40~50名
+++++++++++++++++++++++++++++++++++++++
◆4D2-1		(10:35-10:55)
インターネット定点観測における日周期変動を用いた分析手法
○岡田智明 (警察庁情報通信局情報技術解析課) 
 松浦幹太 (東京大学生産技術研究所)

概要:
  インターネット上の各種の不正な活動の傾向を,インターネット定点観測によって得られる
日周期変動を用いる分析手法を提案.本提案手法では,観測データから日周期パターンと時差
情報を分離して抽出し,既知の活動パターンとの比較を行う.提案手法により,観測した活動の
推定が可能であることに加え,IP アドレスが観測できない状況でも国の推定が可能である点,
比較する観測データの時間分解能が異なる状況にも適用できる点について,警察庁が運用している
定点観測の観測結果を用いて提案手法の有効性を示す.
インシデント固定、タイムゾーンの各評価においても、新規インシデントや複数インシデント
発生時を除き、一定の観測レベルを確認と報告.

Q.雑音成分は無視するでは新攻撃は見つけられないのでは? 既存を分析して得られるものは? 
  新しい攻撃に備える必要は? Outputの最終目標は、定常的状況把握した上でどうするか?
A.既存分を取り出して、それを除いて新たな攻撃に対応することも可能。高周波の雑音もかなり多い。
  定常と異なることがわかれば、解析者はそこから開始できる。
Q.パターンのわかりにくい場合は? 土日もあるが明確な違いの有無による差分は?
 細部で切り分けできていないことはないか?
A.攻撃者が土日活動するか否かと推測。それ自体も重要な情報。
 これをベースに詳細解析を開始する。
Q. IDSとの違いは?
A.未使用のIPアドレスを使用。IDSでも同様の利用は可能。
C.時間間隔だけでなくパケット間隔で観測も有効と考える。


◆4D2-2		(10:55-11:13)
IPトレースバックにおける出国印方式の拡張と評価
◎村上真教 (東京電機大学大学院未来科学研究科) 
  甲斐俊文 (東京電機大学大学院未来科学研究科) 
  入江博 (東京電機大学未来科学部) 
  佐々木良一 (東京電機大学大学院未来科学研究科)

概要:
 DoS(Denial of Service)攻撃やDDoS(Distributed DoS)攻撃の対策のためのIP トレースバック方式関連.
既存方式の問題点を解決した出国印方式がもっとも有望と考えられるが、この方式にも欠点がある. 
本論文では,この出国印方式をさらに改良し,追跡性を向上させた3つの方式の提案とその評価結果の報告
を行っている.具体的には、MAC印鑑方式、MAC挿入方式、芸名印方式の3方式で、さらにIPヘッダの
"Identification"フィールドへの設定データパターンにより提案する8方式を評価し、発信者識別子を10bit
とする、MAC挿入Bの方式を最適とする.

Q.出国印方式。他フィールドでもよいのでは? IP-IPフィールドエッジルータの出国印付与、しかしスプーフ
には気づかない、の仮定が甘いのでは? 
C.詐称パケットは通常ブロードバンドルータは落とされる。かなりの技術ないと外部NWにはさせない。
  よって、確かに上記のギャップはある。
A.他フィールドだと上書きの可能性がある。今後の検討としたい。
Q.DDoS想定。どこが出すよりもパケットを落とすことが重要。どう連携するか?
A.全ての攻撃パケットは落ちないと思うが、、再考する。
Q的採用の場合の効果は?
A.マーキング等は全てでの採用が必要。本提案はエッジルータ管理者が採用すれば可能。

◆4D2-3		(11:13-11:33)
スパース構造学習を用いたボットネット検知法の提案とダークネットデータへの適用
◎濱崎浩輝 (九州先端科学技術研究所(ISIT)) 
  川喜田雅則 (九州先端科学技術研究所(ISIT)) 
  竹内純一 (九州先端科学技術研究所(ISIT)) 
  衛藤将史 (情報通信研究機構(NICT)) 
  井上大介 (情報通信研究機構(NICT)) 
  中尾康二 (情報通信研究機構(NICT))

概要:
 ボットネット検知手法. ダークネットに届くパケットデータに基づいてボットネットの協調関係を
捉える検出手法を提案.ボットネット以外のマルウェア同士は一般に協調動作するとは考えられないため,
協調動作を行い始めたホストを特定することでボットネットが検出可能とする目的に適した手法として,
多数の確率変数間の協調関係を推定する共分散推定アルゴリズムglassoを利用.glassoによって協調関係を
スパースに推定してグラフ作成により協調関係を逐次的に推定し,その変化をKL(Kulback-Leibler)情報量
で算出することによりボットネットの出現を検知する方法を提案.これをダークネットで観測した実データに
適用したところ,ボットの活動が確認されている時点を,高いリアルタイム性を保ちつつ検知することに成功.

Q.アクティブホストに着目した場合、グラフの変化は?
A.アクティブホストを併せる必要がある
Q.4件のfalse positiveとなったのか?
A.グラフの変化時にアラート検出。その変化の内容は詳細解析が必要。
Q.GGMの分布の妥当性はどのくらいか?
A.確かに妥当性に依存。
Q.検出できたボットネットのサイズは? 
 この方法でなければ検知出来なかったのか否かを知りたい。
A.今はわからない。


◆4D2-4		(11:33-11:54)
ネットワークセキュリティにおけるインサイダー脅威対策
○堀良彰 (九州大学/九州先端研) 
  西出隆志 (九州大学/九州先端研) 
  櫻井幸一 (九州大学/九州先端研)

概要:
 ネットワークセキュリティの観点からインサイダー対策のために必要な枠組みならびに機構に関し議論を行う。
特に、インサイダー脅威の検出とそれに基づいて動的に配置するアクセス制御機構について研究を行う。
今回は一種のポジショントーク。NWトラヒックからNWアプリの通常業務モデルを算出し、それとの比較により
異常(業務外振舞)を検出、及び、異常検知の場合、動的遮断ルールをしかるべきポイントに挿入しアクセス制御を
有効と考える.

Q.正当権限ももち、通常業務内でのインサイダー行動は切り分け困難では? 顧客データ。無関係の人間が変なことには係わない。
A.出すチャネルはどういう例が多いか? NW外からだと枠組みから追い切れない部分がある。
 通常業務で得たものの取扱いは、ポリシの範囲なのでNW以外と考える。漏洩には対策を打つべき。例えば、USB利用等。
Q.自身はヒューマンファクターからアプローチしている。NWトラヒックから攻撃者の心情が伺うことは可能か? 
 NWからのアプローチに期待。
A.ユーザIF的には異なる分布があるかもしれない。NWもU/IF依存あるので、心理的なつながりの可能性はある。
 躊躇をどう表現するかが課題。


◆4D2-5		(11:54-12:16)
C&Cサーバ通信の情報共有によるハーダ追跡フレームワーク
◎溝口誠一郎 (九州大学) 竹森 敬祐 (KDDI研究所) 
 三宅優 (KDDI研究所) 
 堀良彰 (九州大学) 
 櫻井幸一 (九州大学)

概要:
 ボットネットのハーダを追跡.本稿では,ボットやC&C サーバを出入りする通信のモデルを考え,
どの通信に着目すればハーダを追跡できるかを議論し、追跡を容易にするために,C&C サーバとなったPC の
管理者と協力してボットのハーダを追跡するフレームワークを提案.追跡のためにはC&C サーバに出入りする
トラフィックを集約する必要がある為.トラフィック観測ツールをC&C サーバの管理者に配布することによって
データを取得する方法を提案.ツール開発での問題は,どのような通信に着目すればハーダを追跡できるか
である為、正常な通信や攻撃通信以外の通信が,ボット制御用の通信であると仮定し,それらの通信のモデル化を実施.

Q.コミュニティのイメージが見えない。どのくらいのユーザを想定。
 端末のコスト管理は?
A.大学NW管理者を想定。ISPも候補だが業務との兼ね合い。
  データ
Q.NTT秋山さん、C&Cに関し、衛星の回線ももっている。
 奈良先端大の出身で情報あるはず。
A.ありがとうございます。
Q.トラフィック観測ツールをC&C サーバの管理者の協力者等に配布において、攻撃者、又は
 その攻撃者の排除等は想定しているか?
A.基本は性善説。排除までは考えていない。


◆4D2-6		(12:16-12:36)
セキュリティインシデント発生時中におけるセキュリティ攻撃・防御戦略の意思決定支援モデル
=>セキュリティ攻撃・防御戦略のリアルタイム意思決定支援モデル

◎鈴木亜矢子 (情報セキュリティ大学院大学) 
★佐藤直 (情報セキュリティ大学院大学)	★発表代行

概要:
 セキュリティインシデント発生時中における対策選択を支援するような評価手法は積極的には
検討されていない.また,インシデントレスポンスは逐次変化するため,マニュアルとして書く
ことも非常に難しい.このような,逐次選択を行わなければならない状態における意思決定支援検討として,
情報システム内部のセキュリティ関連のセンシング情報とあらかじめ入力されている人間の重み付け
データなどの比較情報を元に,時系列に,攻撃・防御の利得を算出しながら,リアルタイムに技術的な
セキュリティ対策を実施するための意思決定支援モデルを提案.

Q.参考文献の著者。現時点で提案はどのような点に適用可能か?
A.現状では問題あり。将来の話し。
Q.二人関係ではなく、三人以上の拡張があると考えるが。防御者が増えるとか警察あれば、とか創造する
A.攻撃の発展性はある。
Q.防御側増となり攻撃コスト増えれば攻撃しない。そのモデル示されれば面白い。



以上
+++++++++++++++++++++++++++++++++++++++


ページトップへ戻る

Copyright © 2004-2011 Institute of Systems, Information Technologies and Nanotechnologies. All Rights Reserved.