通信上で情報をやり取りするとき、その情報の安全性を確保するために公開鍵暗号方式が利用されている。公開鍵暗号方式の中でも特に証明可能安全性を持つ暗号方式が広く利用されているが、それらの暗号方式の構成と安全性証明は複雑なものとなっており、暗号理論をあまり学んでいない人には理解しづらく、一般の人にとって暗号方式を正確かつ安全に実装することは難しい。 花岡ら(ICS'08)や山田ら(Provsec'10)はそのような暗号理論をこれから学ぶ人へ向けて暗号方式の構成や安全性証明が比較的単純な暗号方式を提案した。しかしながら、山田らが提案した暗号方式YHKの安全性証明において複雑な性質をもった関数を利用しており、一部複雑なものとなっている。本研究ではCashら(EUROCRYPT'08)によって提案されたStrong Twin DDH仮定を拡張した新たな仮定を用い、山田らが提案したIND-CCA安全な暗号方式YHKをベースとした新方式を構築して安全性証明を行った。これにより暗号方式の安全性証明がより理解しやすいものとなり、さらに暗号方式の暗号化・復号の計算コストも軽減できた。

Gennaro, Gertner, Katz, Trevisan (SIAM J. Comput. 2005) は、暗号方式（疑似乱数生成器・電子署名・共通鍵暗号・公開鍵暗号）を構成するために暗号プリミティブ（一方向性置換・落とし戸つき一方向性置換）をブラックボックスに用いた場合、ある一定の回数以上暗号プリミティブを呼び出す必要があることを示した。 本稿では、量子計算機を用いて暗号方式を暗号プリミティブからブラックボックスに構成したとしても、同様の下界が存在することを示す。

本稿では非対話ゼロ知識証明(NIZK)オラクルを用いたブラックボックス(BB)構成の限界を探求する．まず我々は耐選択平文攻撃公開鍵暗号(CPA-PKE)による暗号文の正当性を証明するNIZKオラクルを提案する．このオラクルの下でNaor-Yung/Sahaiの方式に従って耐適応的選択暗号文攻撃公開鍵暗号(CCA2-PKE)をBB構成することが不可能であることを示す．具体的にはNaor-Yung構成に おける，二つの暗号文が同じ平文から作成されたものであることを示す言語(これを等式言語と呼ぶ)に対するNIZKが，このオラクルからではBB構成不可能なことを示す．また，等式言語はその表記(description)に∧を含んでいるが，そのような言語に対するNIZKは，より発展的な暗号プリミティブ構成の文脈で近年多く見られるようになっている．従って本稿の結果は∧を含むような言語に対するNIZKのBB構成に関しても知見を深めるものとなっている．

Knowledge-of-exponent assumptions (KEAs) are a somewhat controversial but nevertheless commonly used type of cryptographic assumptions. While traditional cryptographic assumptions simply assert that certain tasks (like factoring integers or computing discrete logarithms) cannot be performed efficiently, KEAs assert that certain tasks can be performed efficiently, but only in certain ways. The controversy surrounding those assumptions is due to their non-falsifiability, which is due to the way this idea is formalised, and to the general idea that these assumptions are “strong”. Nevertheless, their relationship to existing assumptions has not received much attention thus far. In this paper, we show that the first KEA (KEA1), introduced by Damgard in 1991, implies that computing discrete logarithms is equivalent to solving the computational Diffie-Hellman (CDH) problem. Since showing this equivalence in the standard setting (i.e., without the assumption that KEA1 holds) is a longstanding open question, this indicates that KEA1 (and KEAs in general) are indeed quite strong assumptions.

近年、耐量子暗号の1つとして楕円曲線間の同種写像を用いた暗号が注目されている。同種写像計算とはある楕円曲線と点P，および写像の核である部分群の生成元が与えられたとき、Pの像および写像先の楕円曲線の係数を計算することを意味する。本研究では同種写像暗号の高速化を目指し、効率的な同種写像計算について考察する。

Private PEZプロトコルやカードベースプロトコルは，身近な道具を用いて秘密計算を実現する物理的暗号プロトコルである．これらのプロトコルは，計算機を用いた複雑なプロトコルに比べ，その仕組みを理解しやすい．Private PEZプロトコルでは，PEZ dispenserと呼ばれる容器に，予め決められた個数と種類のPEZ（キャンディ）を入れる．その後，各プレイヤーはそれぞれの入力値に応じて，秘密にPEZを取り出すことで秘密計算を行う．一方，カードベースプロトコルでは，各プレイヤーはそれぞれの入力値に応じたカード列をテーブルに置く．その後，それらのカード列に並べ替え操作やシャッフル操作をすることで秘密計算を行う．本稿では，これら2つのプロトコルの関係について考察する．具体的には，Private PEZプロトコルの計算の流れを，カードベースプロトコルで模倣できることを示す．さらには，カードベースプロトコルにおいて用いるカード組をPEZに置き換えることを考え，PEZを用いたカードベースプロトコルの実現可能性について議論する．

ゼロ知識証明とは，証明者が検証者に対し，ある命題が真であることを伝えるために，真であること以外の情報を一切漏らすことなく証明するやりとりの手法である．離散対数問題などを利用したゼロ知識証明プロトコルが存在するが，カード組などの物理的な道具を用いて手軽にゼロ知識証明を行うこともできる．この物理的プロトコルは，暗号に関する専門的知識を持たない高校生でも簡単に実行でき，その原理も理解しやすい．ここ数年，数独を始めとする，様々なペンシルパズルに対する物理的ゼロ知識証明プロトコルが考案されている．本稿では「縦横さん」と呼ばれるペンシルパズルに対する物理的ゼロ知識証明プロトコルを提案する．さらに本稿では「番号付きスリーブ」という道具を新たに導入し，提案プロトコル及び既存プロトコルの具体的な実装方法についても検討する．

セキュアメッセージ伝達 (Secure Message Transmission) とは，複数の通信路を利用して送信者から受信者にメッセージを送るプロトコルである．敵対者はいくつかの通信路を支配し，その内容を盗聴・改ざんすることができる．プロトコルとして，メッセージを正しく，かつ敵対者には秘密に送信することを目指す．情報理論的な安全性を非対話プロトコルで実現するには支配する通信路の数が全体の３分の１未満であることが必要十分条件であるなど，様々な限界が知られている． 本研究では，すべての通信路が敵対者に支配された場合に安全性を達成する方法を提案する．素朴に安全性を定義すると安全なプロトコルは構成できない．しかし，敵対者がある種の合理性をもって攻撃すると仮定することで，ゲーム理論的な安全性を達成できることを示す．これを実現するためのポイントは，敵対者は敵対的関係にある複数グループに分かれており，かつ目立つような攻撃はしないと仮定することである．

コミットメント方式は各種プロトコルの実現に必須の暗号プリミティブであり その構築は非常に重要である．近年，筆者らによって，低出力局所性をもつ ハッシュ関数を用いたコミットメント方式が提案されている． 出力局所性とは，各出力ビットに依存する入力ビット数のことである． 本稿では，Applebaum らの出力局所性が定数4になるハッシュ関数をもちいて， 出力局所性が定数4になるコミットメント方式を提案する． さらに，提案したコミットメント方式が束縛性と秘匿性を満たすことを証明する．

2台のサーバを用いたアクセスパターン秘匿技術である分散Oblivious RAM (分散ORAM)では、サーバ間の通信路がもう一方のサーバに盗聴されない（セキュアチャネル）ことを前提としている。本稿では、2台のサーバ間の通信路が盗聴可能（セキュアチャネルフリー）でも安全な分散ORAMを提案する。まず、既存の分散ORAMの安全性定義をセキュアチャネルフリーの定義に拡張する。次に、既存方式がセキュアチャネルフリー安全性を満たさないことを示す。最後に、提案方式を示し、セキュアチャネルフリー安全性の証明を与える。

スタンダードモデルで，Ring-SIS 仮定に基づき，PRFを用いない署名方式を開発したので報告する．提案方式は，DucasとMicciancioによって2014年に提案されたDM14方式をベースとし，以下の 4 つの点で改良した方式である．1 つ目は，DM14 に内在していた秘密鍵の漏洩の危険性を除去するために，署名にランダム性を持たせたこと．2 つ目は，タグを使用するが，DM14ではメッセージと無関係なランダムなタグ生成であったのに対し，メッセージと関連付けた生成法とし，このため，タグを署名の中に含める必要がなくなったこと．3 つ目は，タグ生成方法においてパラメータを最適化するとともにタグの衝突数を見直し，安全性の帰着効率を改善したこと．4 つ目は，EUF-CMA安全な署名方式を作る際に，EUF-XRMA安全な署名方式から変換することで，さらに安全性の帰着効率を改善したこと． これらの改良により，署名サイズが O(1)，帰着効率が DM14方式よりも良い署名方式を開発した．

暗号学的なハッシュ関数を利用して構成されるハッシュベース署名は，量子耐性の期待できる電子署名技術である．また，ワイヤレスセンサネットワークなどにおいては，署名者と検証者の非対称性などの特徴がある．本研究では，ハッシュベース署名として広く知られる Winternitz OTSをベースにした，前述の特徴を鑑みた改良方式を提案する．既存の改良法として，検証の計算量を抑えるために指紋の各桁の総和を定める仕組みと，署名長を抑えるために署名作成において鍵の一部を省略（パンクチャ）する仕組みが提案されており，これらを組み合わせて導入することで，より良い結果が得られたことを報告する．いくつかの数値例を通じ，提案方式の利用によって，署名のサイズと各種計算量が同時に削減できることを示す．

マルチ署名方式（Multisignature Scheme）は，複数人のユーザが単一の文書の署名を発行できる機能を持つ署名方式である．これまでにいくつものマルチ署名方式が提案されているが，量子ランダムオラクルモデルでの安全性証明については議論されていない．そこで，本稿では量子ランダムオラクルモデルで安全性証明可能なマルチ署名方式について議論する．特に，NISTでのPost-Quantum Standardの候補として選ばれている「Crystals-Dilithium」を基にしたマルチ署名方式の実現を目指す．

Since Keccak was selected as the SHA-3 standard, both its hash mode and keyed mode have attracted lots of third-party cryptanalysis. Especially in recent years, there is progress in analyzing the collision resistance and preimage resistance of reduced Keccak. However, for the preimage attacks on reduced Keccak-384/512, we found that the linear relations leaked by the hash value are not well exploited when utilizing the current linear structures. To make full use of the 448 and 320 linear relations leaked by the hash value of Keccak-512 and Keccak-384, respectively, we propose a dedicated algebraic attack by expressing the output as a quadratic Boolean equation system in terms of the input. Such a quadratic Boolean equation system can be efficiently solved with linearization techniques. Consequenetly, the preimage attacks on 2/3-round Keccak-512 and 3-round Keccak-384 are significantly improved.

符号ベース公開鍵暗号方式HQC[Aguilar Melchor et al., 2018]はNISTの耐量子公開鍵暗号標準化プロジェクトにおける第２ラウンド候補の一つである．この方式の復号誤り確率は各項の係数を独立に小さな確率eで1，確率1-eで0と取る二つの二元体上のランダム多項式X,Y \in F_2[t]/(t^n-1)の積のハミング重み（非ゼロ項の数）\sum_{k=0}^{n-1} \oplus_{i=0}^{n-1} X_i Y_{k-i mod n}によって定まるため，このハミング重みを解析する必要がある．しかしながらこのランダム多項式の積の各項は独立ではないため，Chernoff限界などの標準的な手法では解析困難である．実際，HQCの提案論文では各項が独立であると見なした理論的解析を与え，計算機実験によりその解析が妥当であることを主張している．本論文では，HQCの提案論文のパラメータ設定において，そのハミング重みが高い確率で期待値周辺に集中することを証明する．

Al-RiyamiとPatersonは公開鍵暗号基盤における証明書管理問題とIDベース署名における鍵預託問題を解決するためにcertificateless signatureを提案した．その後，Huらは任意のIDベース署名方式と電子署名方式からcertificateless signature方式を構成する一般的方法を提案した．しかし，安全性の帰着はタイトでなく，得られる方式の安全性はユーザ数に依存してしまう．本研究ではHuらの一般的構成法に対して新たにタイトな帰着を与える．また，具体例として安全性がDDH仮定にタイトに帰着する初めてのcertificateless signature 方式を示す．

Ring signature allows a user to sign messages as a member of a set of users, which is called the ring. This primitive ensures that nobody can detect which member in the ring signs the message. Libert, Peters, and Qian (ESORICS 2018) proposed the first tightly-secure ring signature scheme in the random oracle model. To our knowledge, a tightly-secure ring signature scheme has never been reported without depending on the random oracle methodology. In this paper, we propose the first tightly-secure ring signature scheme without random oracles. Our scheme is secure in the common reference string model and we can instantiate it under the decisional linear assumption over the pairing group.

SCN2018において，Ishidaらは完全匿名性を満たす検証者ローカル失効グループ署名方式 を初めて提案した．本研究では，この方式における公開鍵長がユーザ数および時間数に依存する問題を解決する．具体的にはIDベース署名方式とIDベース暗号方式を用いることにより，公開鍵長が定数である完全匿名な検証者ローカル失効グループ署名方式を提案する．

In this paper, we propose an attribute-based group signature called Collaborative Attribute-Based Group Signatures (C-ABGS) with collaborative sign function. Even though it is required to preserve coalition-resistance in group signatures and attribute-based group signatures, pooling users or combining attributes is needed in some cases. For instance, colluding attributes of different users may be desirable in some settings when no single user is possessing the required attributes. The difficulties of enabling the coalition are convincing the signature's validity to the verifier and tracing united users. On the other hand, a coalition of different groups should not be allowed. Thus, it is required to allow only users from the same group to merge their attributes while being anonymous to the verifier and traceable to the tracing authority. Again we need some authority to responsible for merging. The new C-ABGS scheme grants the group manager to combine attributes from different users and generate a valid signature on-behalf of the group. Moreover, we make sure that the users are anonymous even to the group manager and only traceable to the tracing authority.

AsiaCCS’19でZhaoにより、plain public-key (PK) model におけるペアリングを用いない集約署名方式が提案された。しかし、新規の強い仮定であるNMDL仮定を基に偽造不可能性を証明しており、署名長は署名者数に比例する。またCCS’06でBellareらは、強い接続性をもつ通信路での全署名者間の対話が必要な plain PK model における多重署名を提案した。ところで、署名者が信頼できる閉じたネットワークで実行する集約署名においては plain PK model を必ずしも考える必要はない。本稿では、そのような利用法に適したNMDL仮定より弱い仮定に基づくペアリングを用いない集約署名方式を2つ提案する。1つ目は、事前通信モデルにおける集約署名で、離散対数仮定の下で偽造不可能である。署名長は署名者数に比例するが、事前通信における強い接続性を必要としない。2つ目は、? One-More 離散対数仮定の下で偽造不可能な?-time 集約署名である。公開鍵長が?に依存するが、署名長は定数サイズであり、1度のセットアップで署名を?回生成できる。

放射線をもちいた乱数生成器は半世紀以上前から知られているが、それに対する安全性証明はこれまで与えられていなかった。我々はこの方式に対して、世界で初めて厳密な安全性証明を与える。この安全性証明に際して、放射線の空間反転（パリティ）対称性を利用する。

乱数の評価として，米NISTが提供するSP.800-22が広く利要されている．SP.800-22は系列のランダム性の検定（いわゆる乱数検定）の結果を集計して「乱数生成器の評価」としている．著者らは，この構成による生成器の評価に関して疑問を感じている．そして，乱数生成器（擬似乱数生成アルゴリズムを含む）を評価するという視点に立った統計的評価法の検討を行っている．当該生成器に対する評価法の構成にあたっては，系列のランダム性の検定（乱数検定）は採用せず，「生成器の無作為抽出性の検定」という概念の検定を用いることを検討している．また，SP.800-22を用いた評価は，最終的な合否判定を与えにくいという課題がある点に対して，明確かつ判りやすい最終判定が与えられるものを目指している．本稿では，乱数生成器の統計的評価法の構成についての一案を述べる．

著者らは，乱数生成器（擬似乱数生成アルゴリズムを含む）に対する統計的評価に関する研究を行っている．当研究では，ランダムビット列やランダムビット列生成器の定義，統計検定のロジック，等の基本事項を再確認しながら生成器に対する統計評価のあり方を検討している．本稿では，現時点までの調査／検討からの話題として，「ランダムビット列生成器」の再定義を与えたこと，当定義により，「生成器の無作為抽出性の検定」という概念が導かれること，について述べる．また，生成器の評価と系列の評価（乱数検定）はパラドキシカルな関係にあり，生成器の評価には系列の評価（乱数検定）は無関与であることを示す．本稿における一連の考察は，ランダムネスの定義の特殊性と，ランダム性を検定することの特殊性を，改めて露呈するものであり，乱数および乱数生成器に対する統計検定は，統計検定が扱う一般的な問題とは異なる特殊なロジックによって与えられていることを示す．

Maurer's universal statistical testは2値ビット列の非ランダム性を検出する統計検定であり，NIST SP 800-22に採用されている．Maurer's testでは，ビット列のエントロピーに基づく検定統計量を計算する．さらに検出力を高めるため，系列中の1を一定の確率で0に変換することによって，1の発生頻度がqであるように系列を変換し，変換後の系列に対して検定を行う手法が提案された．この手法では，p値の算出の際に参照分布の分散が必要であるが，一般のqに対する分散を計算する方法は提示されておらず，シミュレーションによって算出した値が使用されている．乱数の検定を行う上で，定数であるパラメータの算出という本質的でない部分に乱数を使用していることは好ましいとは言えない．そこで本研究では，参照分布の分散を理論的に導出する．

IoTの普及にはセキュリティー大量のキーの管理方法である「多次元インデックス法」（MDIM）に「整数ロジスティック写像法」（ILMAPM）を適用したときに生成したキーの衝突実験の結果について報告する．ILMAPMに対しては，擬似乱数生成法の内部状態のビット数を$n$，入出力ビット長をNとすると，n=Nが成立つのでIoT機器への組込みに適している．実験では，代表的な擬似乱数生成法として広く利用されているSHA1（n=160,N=44）を比較対象とし，それぞれをた．MDIMに適用して生成したキーの系列に対する衝突実験を行った．その結果，ILMAPMが生成したキー系列はSHA1よりよい統計的乱数性を有することが分かった．$n=N$のとき，生成するキーの数が擬似乱数生成器が有する最短周期よりも少ない場合に，決定論的な無衝突を確保することができる．

耐量子計算機暗号の１つである、ある種の環上で定義された不定方程式の最小解問題の計算困難性に基づく不定方程式暗号に関して、一方向性を仮定した１つのバリエーションを定義して考察する。本バリエーションでは秘密鍵やノイズに用いられる多項式の係数をその絶対値が最小となるように設定するとともに、公開鍵となる2変数多項式の係数の一部を固定することで、安全性を犠牲にせずに公開鍵サイズを従来の約2/3に削減できている。

多変数公開鍵暗号で用いられるMQ問題は極めて代数的な問題であるが，それに幾何的要素を付け加えた制約付きMQ問題は格子ベース暗号に近い多変数公開鍵暗号を提供する．著者が既に考案した制約付きMQ問題を基盤とした暗号方式にさらにノイズの要素を加えることで改良した暗号方式を提案する．

At SAC 2019, Szepieniec and Preneel proposed a new variant of the Unbalanced Oil and Vinegar signature scheme (UOV) called block-anti-circulant UOV (BAC-UOV). In this scheme, the matrices representing the quadratic parts of the public key are designed to be block-anti-circulant matrices, which drastically reduces its public key size compared to UOV that has a relatively large public key size. In this paper, we show that this block-anti-circulant property enables us to do a special linear transformation on variables in the public key polynomials. By executing the UOV attack on quadratic terms in partial variables of the resulting polynomial system, we obtain a polynomial system with less quadratic terms, which can be algebraically solved faster than the plain direct attack. Our proposed attack reduces the bit complexity of breaking BAC-UOV by about 20% compared with the previously known attacks. For example, the complexity of our proposed attack on 147-bit BAC-UOV parameter (claimed security level II in NIST PQC project by its authors) can be reduced only to 119bits.

多変数公開暗号(MPKC)は耐量子計算機暗号の候補の1つであり, MPKCの安全性は連立二次多変数代数方程式の求解(MQ 問題)の困難性に依存している. MQ問題の計算困難性を評価するために, Fukuoka MQ challenge というプロジェクトが幾つかのMQ問題を出題している. 一方でMQ問題を効率よく解くためにグレブナ基底を計算する方法がよく用いられる. グレブナ基底を計算する代表的なアルゴリズムに F4, M4GB などがある. 我々は F4-style アルゴリズムを用いて MQ問題を効率よく解く手法を提案し, その結果として Fukuoka MQ challenge の問題を解くことに成功した. 本稿では提案方法における S多項式の選び方や不要なペアの削除の仕方について説明する.

In this paper, we give a generic approach for a group key exchange (GKE) in dynamic setting, with a tree structure. Our construction is always feasible when the group can find the network topology with tree structure efficiently. In our construction, all group members are modelled as the node of the tree. From leaf node of the tree, a child node and his/her parent node run a two-party key exchange to make their common secret key until it reaches the root node. After that, root node can deliver the group secret key to all members as parent node sends the encrypted key to his/her child node. Then, by adopting NewHope protocol as a building block, we have implemented the first lattice-based GKE, to the best of our knowledge in the open literature. The communication complexity for our GKE protocol is $O(N)$ where $N$ is the number of participants.

The first fall degree is an indicator of the complexity of solving a system of polynomial equations and is defined by the lowest degree of its non-trivial syzygies. The security of a Multivariate Public Key Cryptosystem, say MPKC, is based on the hardness of solving the system of its public key polynomials and is measured by complexity indicators such as the first fall degree. While the first fall degree of the big field type MPKCs, such as HFE and GeMSS, is well-investigated, that of the small field type is not. In this paper, we propose a method for constructing non-trivial syzygies and give an upper bound of the first fall degree of small field type polynomial systems appearing in the IP problem and the Rainbow-Band-Separation attack. Furthermore, we introduce a certain power series in two variables that gives an upper bound of the complexity of the Rainbow-Band-Separation attack. By experiments, we see that our upper bound estimation gives a more precise one for the Rainbow-Band-Separation attack.

The hybrid attack was proposed by Howgrave-Graham in CRYPTO2007, which was originally designed for the cryptanalysis of NTRU cryptosystems. It hybridizes a lattice reduction algorithm and the Meet-in-the-Middle (MitM) attack, and outperforms either of the two attacks separately. Therefore, many lattice-based cryptoschemes use the hybrid attack when evaluating their parameters. In this paper, based on the Howgrave-Graham's attack model, we propose a simulator of hybrid attack against the unique Shortest Vector Problem (uSVP). By a dynamical computation, our algorithm can trade off the cost between reduction and MitM, while both of them run in exponential time. Further, we adapt our simulator to Giophantus, Giophantus+ and Giophantus- cryptosystems, proposed by Akiyama et al. in SAC2017, SCIS2019 and SCIS2020, respectively. Our analysis shows that by the hybrid attack, the security level is reduced by at most 19 bits for Giophantus' parameters proposed in NIST Post Quantum Cryptography (PQC) standardization 1st round submission. Moreover, the parameter sets of Giophantus+ and Giophantus- are secure against the hybrid attack.

NewHopeはRing Learning With Error (Ring-LWE) 問題を基にした格子暗号で、NISTによる耐量子暗号の標準化において大きな注目を集めている。実利用においてサーバとクライアントが共通鍵の交換を行う際に、同じ秘密鍵を一定時間サーバで使用するとサーバの秘密鍵が復元される鍵不一致攻撃が知られている。鍵不一致攻撃とは、攻撃者が選択した暗号文をサーバにクエリして、共通鍵の一致不一致を観察することにより、サーバの秘密鍵を復元する攻撃である。NewHopeに対する鍵不一致攻撃は、CT-RSA2019においてBauerらにより初めて提案され、ESORICS2019においてQinらにより約88万のクエリ数を用いて約96.9%の秘密鍵を復元する攻撃が提案されている。本論文では、QinらのNewHopeへの鍵不一致攻撃に対して以下の改良を行った。最初に、クエリの停止条件をサーバからの返答に適応させることにより、クエリ数を削減した。次に、秘密鍵となる多項式の係数の決定的な判定条件を考察することにより、秘密鍵の復元成功率を上昇させた。さらに、Qinらの攻撃における秘密鍵の検索範囲を、クエリ数を増やすことなく拡張した。以上の改良により、サーバへのクエリ数は約52万と約42%の削減に成功し、さらに復元成功率も100%を実現した。

2019年にDucas等はダルムシュタット工科大学が公開しているSVP ChallengeとLWE Challengeの未解読問題を解読し世界記録を更新した. 本稿はDucas等が解読に用いたステートフルマシンGeneral Sieve Kernel(G6K)と北陸先端科学技術大学院大学(JAIST)が提供している共有メモリ型スーパーコンピュータUV3000を用いてIdeal Lattice ChallengeとSVP Challengeを解読した結果を記す. Ideal Lattice Challengeの解読成果は未解読次元の136, 138, 140, 144, 148, 150次元を解読し,記録を更新した. SVP Challengeの解読成果は解読されていた次元のノルムよりもさらに短いノルムを得ることができ, 115, 119, 120, 127, 129, 137, 138, 139, 142, 146次元の記録を更新した.

フィンスラー空間が持つ非対称性に基づく新しい公開鍵暗号方式を提案する．フィンスラー空間は，2点を結ぶ測地が向きに依存するなどの非対称性をもつ空間である．永野等はCSS2019でその性質を利用して新しい公開鍵暗号方式を提案した．本稿では，識別不可能性の検討から改良が必要であることがわかり，その改良されたものを提案し，かつその識別不可能性の証明を与える

Non-Committing 暗号（Canetti, Feige, Goldreich and Naor, STOC ’96）とは，適応的安全な秘密計算において参加者間に安全な通信路を確立するための公開鍵暗号である．SCIS2019（及びASIACRYPT2019）にて我々は，DDH問題に基づいて暗号文拡大率（平文1bitあたりの暗号文のサイズ）がO(log lambda)である方式を提案した．本稿では，ワイヤタップチャネルモデルと呼ばれる通信路モデルにおいて用いられる符号（特殊な秘密分散法ともみなせる）を利用して暗号文拡大率を改良する．提案方式の暗号文拡大率は，共通参照情報を用いない標準モデルにおいて，初めて定数を達成する．

Receiver selective opening (RSO) attack for public key encryption (PKE) captures a situation where one sender sends messages to multiple receivers, an adversary can corrupt a part of receivers and get their messages and secret keys. Security against RSO attack for a PKE scheme ensures confidentiality of other uncorrupted receivers' ciphertexts. Among all of the RSO security notions, simulation-based RSO security against chosen ciphertext attack (SIM-RSO-CCA) is the strongest notion. In this paper, we explore constructions of SIM-RSO-CCA secure PKE from various computational assumptions. For this goal, we show that a SIM-RSO-CCA secure PKE scheme can be constructed based on an IND-CPA secure PKE scheme and a designated-verifier non-interactive zero-knowledge (DV-NIZK) argument system satisfying one-time simulation soundness. Recently, it is showed that DV-NIZK argument systems can be constructed under the computational Diffie-Hellman (CDH) assumption or the learning parity with noise (LPN) assumption. Combining these two results, we obtain the first SIM-RSO-CCA secure PKE scheme under the CDH or LPN assumption.

デジタル社会における電子認証による本人確認の重要性が増す中で、安全性に留意しつつ、マオナンバー、及び、STR(Short Tandem Repeat), 即ち、身体情報等の要配慮個人情報を含まないDNA情報であり、本人確認性が極めて高いデジタル情報を、公開鍵暗号の秘密鍵に、秘匿内臓させる方式を提案し、その本人同意の下での利用方法についての考察を、 ISEC2019-7月に続く第2報として報告する。 　第2報では、デジタルネットワークにおいて、顔認証などのアナログ生体認証のみでは解決できない要請について検討を深めると共に、零知識認証などを活用した、より効率性・安全性の高い方式を提案する。

Goyalら（CRYPTO 2019）により新たな暗号学的電子透かしの定義が提案された。この定義は、従来の定義を電子透かしに求められる要件を捉えたまま緩和したものである。Goyalらは加えてこの定義の下で多彩な電子透かし挿入可能公開鍵技術を構成した。本稿では、同様の定義の緩和を秘密鍵技術の文脈に導入し、復号回路に電子透かしを挿入可能な秘密鍵暗号を構成する手法を示す。提案方式は公開パラメータを生成する信頼できる第三者の存在を必要としない。秘密鍵暗号の秘密鍵の所有者は自身で電子透かしの入った復号回路を生成することができ、また誰もがその電子透かしを抽出することができる。提案方式は上述のように緩和された定義を採用している一方で、そのような信頼できる第三者の存在を必要としない初めての電子透かし挿入可能秘密鍵暗号方式である。提案方式は群の代数的構造を利用しており、提案方式の安全性は判定Diffie-Hellman問題の困難性に基づく。

ProVerifは，Blanchetらが開発した形式モデル（いわゆる，Dolev-Yaoモデル）での暗号プロトコルの自動検証ツールであり，暗号プロトコルに要求される秘匿，認証などの安全性要件を自動で検証することができる．一方で，MD5やSHA-1といった古典的なハッシュ関数は，Merkle-Damgard（MD）構造と呼ばれる（圧縮関数の）繰り返し構造を採用している．著者らは，SCIS2018において，ProVerif を用いてマークルハッシュ木におけるマークル検査証明を形式化するために，再帰のような繰り返し呼び出しを形式記述する方法を提案した．具体的には，ログ検証用の通信路としてプライベート通信路を用意することで再帰的な呼び出しを実現している．本稿では，ProVerifを用いてメッセージのブロック分割処理を形式記述し，さらに，プライベート通信路を用いて繰り返し処理を形式記述することで，MD変換を形式化する方法を提案する．

Group Domain of Interpretation（GDOI）は，RFC6407で定義されるグループ鍵管理プロトコルであり，Group Encrypted Transport Virtual Private Network（GETVPN）等のマルチキャスト通信の保護機能に用いられている。しかし，GDOIプロトコルの安全性証明は知られていない。本稿では，安全性自動検証ツールProVerifを用いてGDOIプロトコルの初めての形式化および安全性証明を行う。結果として，秘匿性・認証性に対する安全性を満たしていることを示す。

BackesらはCSF2012において、証明支援系ツールEasyCryptのプロトタイプであるバージョン0.2を用いて、 Merkle-Damgardハッシュの耐衝突性の厳密な証明を与えた。しかし、現在ではEasyCrypt0.2は 動作させることができず、彼らの証明を計算機上で実際に検証することができない。本稿では、 EasyCryptの最新バージョンである1.0を用いて、Merkle-Damgardハッシュの耐衝突性の厳密な証明を示す。

Zero Knowledge Contingent Payment (ZKCP) is a protocol for a fair exchange of digital goods and payments over the Bitcoin network. At CCS 2017, Campanelli et al. showed an attack on ZKCP caused by an inappropriate use of the underlying non-interactive zero knowledge (NIZK) protocol. In this paper, we formalize ZKCP and the underlying NIZK protocol and examine the Campanelli et al. attack by automated security verification tool ProVerif. Then, we can re-find their attack and show that a countermeasure to the attack correctly works.

ネットワークに接続されたサーバ・コンピュータがあるとき, そのコンピュータへのアクセスやデータの操作を特定の人に制限したいときがある. このように許可された人のみアクセスを許可する方法をアクセス制御という. アクセス制御はある情報に関してのアクセスを制限できるが, ビジネスロジック中にアクセス制御機構の実装を行うと状態管理が複雑になるためバグが入り込みやすく，アクセス制御のバグは情報漏えい等重大なインシデントに繋がりやすい. 本論文ではこのアクセス制御機構をセッション型を用いて設計・実装し, データベース(DB)アプリケーションに適用した. 本機構では, 認証用サーバではユーザの本人確認, およびDBに対してどのような操作ができるかを確認し, その操作のみ可能なチャネルをユーザに返す. また，ユーザとDBサーバ間ではそのチャネルを使いやり取りを行う. これにより認証用サーバとDBサーバのロジックを分離でき，ビジネスロジック中のアクセス制御に関する実装を無くすことが出来た.

Curve25519は擬メルセンヌ素数p=2^255-19におけるFp上Montgomery曲線E:y^2=x^3+486662x^2+xであり，E(Fp)の位数の最大素因数をlとするとlは2^n+kの形の擬メルセンヌ素数である．擬メルセンヌ素数は高速に剰余できることが知られており，近年，Curve25519は高速実装可能で安全な曲線として暗号実装に人気がある．しかしながら，2^n+kでの剰余は2^n-kでの剰余よりコストが高い．ECDSAではpを法とする剰余だけでなくlを法とする剰余も必要であることに注意されたい．本稿は，pとlが2^n-kの形の擬メルセンヌ素数でありECDSA実装に適した係数Aを持つFp上Montgomery曲線E:y^2=x^3+Ax^2+xを探索し，mod pとmod lのための明示的な暗号高速アルゴリズムを提案し，更にハードウェア実装について考察する．なお，本稿はIWIN2018での著者の先行研究の改良を含む．

ベクトル命令は様々なCPU に搭載されている. これは将来のトレンドであり, 楕円曲線暗号の高速実装にも適用可能である. Curve25519 もその一つであり, ベクトル命令を利用し, 楕円曲線Diffe-Hellman(DH) 鍵共有高速実装を可能にした. AVX2 はIntel のプロセッサーの開発コードネームHaswell」から搭載された拡張命令セットであり, 256 ビット長の整数ベクトル演算に対応しており, この特徴を用いて我々はCurve25519 の4-way ベクトル化を実現した. その結果, 以前の実装よりも高速なスカラー乗算をでき, さらに効率的な楕円曲線DH 鍵共有を実装できた. この論文では, 4-way ベクトルの楕円曲線DH 鍵共有実装方法やベクトル命令のメリットを紹介する.

Bilinear pairings are widely used for innovative protocols such as ID-based encryption and group signature authentication. To achieve an efficient and secure pairing, the authors focus on computing the pairing on elliptic curves of embedding degree $k = 15$ which results in one of the efficient and secure implementations at the current 128-bit security level. In this manuscript, the authors especially focus on arithmetic operations in the extension field of degree 5 used for the pairing on the elliptic curves of $k=15$ and propose to use a generalized type-II all-one polynomial extension field (AOPF) of degree 5. As a result, the proposal pairing achieved a more than 10\% improvement compared to the pairing with a typical extension field of degree 5 having a polynomial basis.

GHS攻撃は, 初め偶標数拡大体上の楕円曲線に適用され, その後, 奇標数を含む拡大体上のより一般的な代数曲線に拡張され, 更に被覆攻撃としても一般化されている. 被覆攻撃とは, 有限体k:=F_(q)のd次拡大体k_d:=F_(q^d)上定義される代数曲線C_0の離散対数問題をk上被覆曲線Cに変換して攻撃する手法である. 現在, 奇標数拡大体k_d上の楕円曲線および種数2超楕円曲線について被覆攻撃の対象となる曲線C_0の分類が完了している. 本論文では奇標数素数次拡大体k_d上種数3超楕円曲線C_0について完全分類を行う.

関数型暗号や秘匿検索の内部では、ペアリングフレンドリ曲線を用いたペアリング演算を処理している。本研究では、効率的なペアリングフレンドリ曲線としてBLS21曲線を提案し、その計算量を素体上の乗算回数に変換して評価する。

耐量子暗号の候補の1つである同種写像暗号は，楕円曲線間の同種写像を求めることの困難性に基づいており， 提案方式に応じて様々なタイプの同種写像問題が定義されてきた． 本稿では，いくつかの同種写像問題の間の計算帰着について考察し， ある条件の下で次数固定同種写像問題がそれらの問題の一部に帰着できることを示す． また，次数固定同種写像問題の解の一意性についても考察を行い， 解の一意性が成り立つための十分条件を与える． SIDHの設定では，この条件は満たされず，少数ではあるが一意性を満たさない例外が存在することが予想される． 実際，そのような例外があることをSIKEのパラメータで具体的な例を構成することで示す．

同種写像ベース暗号は耐量子暗号の候補として注目され、その安全性は同種写像問題の難しさに基づいている. 同種写像問題の求解などに利用される中間一致攻撃は、衝突を双方向から探索する方法であり、暗号解析の分野では強力なツールとなっている. 本稿では、同種写像問題の一つである同種写像パス探索問題に対する中間一致攻撃のハイブリッド手法を提案する. 具体的には、既存手法で双方向から同種写像パスを部分的に構成し、次いでMathCrypt 2019で提案されたモジュラー多項式を使った代数手法を用いて同種写像パスのペアを探索する. 我々が提案するハイブリッド手法は、中間一致攻撃で作成する探索テーブルのサイズが小さく、容易に代数手法部分の並列化ができるという利点を有する. また、既存手法とハイブリッド手法の実験結果も示して、両手法の探索テーブルのサイズと性能を比較する.

同種写像暗号CSIDHは耐量子暗号の候補の一つであり，超特異楕円曲線の同型類に対するイデアル類群の自由で推移的な作用により構成される．イデアル類群の作用の計算には，同種写像の核となる2次拡大体上で定義される点が必要となる．CSIDHは，Montgomery曲線を用いてこれらの点を素体の元で表示することにより，暗号演算の高速化を実現している．一方，楕円曲線暗号の高速化で利用されるEdwards曲線のw座標により類似の表示を試みた場合，4次拡大体上で定義される点まで考慮する必要があり，その表示から核となる点を素体上の演算のみで得ることは自明ではない．本講演では，Edwards曲線のw座標を用いたCSIDHの構成法と，その計算回数を従来のアルゴリズムと比較した結果を述べる．

同種写像暗号は,楕円曲線の同種写像問題の困難性に基づく暗号方式であり， 耐量子暗号の候補の1つと考えられている． 本稿では，同種写像暗号の１つである CSIDHの高速化手法について議論する． CSIDHとはAsiacrypt2018でCastryckらによって提案された鍵共有方式である． CSIDHでは秘密鍵として整数ベクトルを用い，それに対応するイデアル類を楕円曲線に作用させることで 公開鍵を得る． 鍵共有を高速に行うためには，このイデアル類による作用の計算アルゴリズムの高速化が重要な課題 であり， 近年盛んに研究されている． 作用計算の高速化には，同種写像計算の改良，アルゴリズム内の計算順序の変更， 秘密鍵空間の変更といった方針が考えられてきた． 本稿では，特に秘密鍵空間を変えることによって計算時間を小さくする 手法について，より一般的に議論する．

The security of public-key cryptosystems depend on the difficulty of some number-theoretic problems. A lot of papers have pointed out the importance of so called "tight security proof'', which gives small security loss between the cryptosystem and its underlying hard problem. At Crypto 2019, under the difficulity of the strong Diffie-Hellman problem, Cohn-Gordon et al. proposed authenticated key exchange (AKE) protocols having tight security proof in the random oracle model with optimal security losses. In this paper, we extend one of these protocols to a post-quantum AKE protocol from CSIDH, which is a Diffie-Hellman key exchange scheme based on isogenies between supersingular elliptic curves. Our proposed scheme has optimal security loss under the strong CSIDH problem in the random oracle model. Moreover, with small changes, we propose another AKE protocol secure in the quantum random oracle model, though its loss is slightly larger.

本稿では，確率的加算と確率的乗算を暗号文上で任意回評価可能な準同型暗号 (HE: Homomorphic Encryption) の構成について述べる．本稿で提案する確率的HE (PHE: Probabilistic HE) はストカスティック計算と呼ばれる確率的計算（ストカスティック加算とストカスティック乗算）を暗号文上で評価可能である．PHE は暗号化に加法HEを用いるため，加法HEと同等あるいはストカスティック数値のビット長に対して加法HEに線形な計算コスト・鍵長・暗号文長で実装可能である．PHE上のストカスティック乗算は加法HEにおける準同型評価のみで実現され，ストカスティック加算は入力暗号文ブロックの乱択で実現できる．したがって，PHEは任意回のストカスティック加算とストカスティック乗算をブートストラップ無しで実現可能である．一方で，ストカスティック計算は確率的な近似計算手法であるため，復号された計算結果はストカスティック計算に由来するノイズを含む．本稿では，まず，PHEの構成法について述べた後，ストカスティック計算に由来する確率的準同型評価のノイズに関する基礎評価を行う．その上で，加法HE，SHE，FHE，そしてPHE を演算の自由度と実装コストの観点から比較し，ストカスティック計算の誤差が許容できる場合においてはPHEが優位であることを示す．

本稿において，完全準同型暗号(FHE) TFHE を拡張し， bootstrapping処理中において任意の一変数関数 を実行でき，かつ平文に整数を取ることができる Integer-wise型 FHE方式を提案する．この方式の応用としていくつかの有用な基本的な準同型演算アルゴリズムを提案する: それらは，準同型統合演算，整数と2進数の準同型乗算，準同型除算アルゴリズムである．Integer-wise型のTFHEにおいては，準同型2値比較演算，統合演算は提案されていたが，整数と2進数の準同型乗算，準同型除算アルゴリズムは提案されておらずこれらは本稿において初めて構成を示される．準同型除算アルゴリズムを実装し，それが1秒以下で実行可能であり，現存する最速の準同型除算アルゴリズムよりもおよそ 3.4倍高速である結果を得た．

Ring-LWE 準同型暗号では, 有限環 Zq を係数環とする多項式に関する演算を主に扱う. 特に多項式乗算は準同型暗号のボトルネックとなっており, その高速化として Number-theoretic Transform (NTT) が用いられる. 本稿では Ring-LWE 準同型暗号の演算高速化を目的とした NTT 実装高速化の検討について報告する. NTT 内で用いる固定乗数の乗算には NTL で用いられている Shoup’s trick を, NTT 後の要素毎乗算で用いる剰余演算には Montgomery reduction を用い, NTT のバタフライ計算は Longa-Naehrig の計算 [CANS’16] を lazy reduction により高速化した Scott [IMACC’17] の計算法を準同型暗号のパラメータ用に変更した手法を実装した. これにより, オープンソースとして公開されている高速なライブラリである NFLlib [CT-RSA’16] と比較して実測値で 2 倍の高速化に成功した.

準同型暗号は、暗号化されたデータに対する演算処理を、暗号文を復号することなく実行可能な暗号技術である。 この性質から準同型暗号は、データを暗号化して収集し、収集したデータに対する計算を暗号化したまま行うデータアグリゲーション方式への応用が可能である。 しかし、単に準同型暗号を用いて計算を第三者へ委託した場合、計算結果を完全に信頼することは難しく、委託した計算が正しく実行されたか、誤った計算が実行されていないか検証する必要性が生じる。 このような問題に対処するため著者らはSCIS2019において、データを秘匿したまま第三者へ計算を委託可能かつ計算結果の正しさを復号時に検証可能な方式を検証可能準同型暗号（VHE）として定式化した。 本論文では、準同型暗号と準同型署名を用いたVHEの一般的構成を提案し、その安全性証明を行う。

Shamir, Rivest and Adleman introduced the problem of playing a fair game of poker with potentially dishonest players without a trusted third party, typically called mental poker in the literature. This paper study the player dropout problem in mental poker without a trusted third party. Castella-Roca et al. (TrustBus 2005) first proposed a protocol that achieves dropout-tolerant, but their protocol can be cheated by creating collusions between players. In this paper, we first present a trade-off between the number of people who can drop out and the size of the collusion for continuing the game. This trade-off indicates the impossibility about the dropout problem of the mental poker protocol. We also propose a protocol that achieves this trade-off optimally. In other words, we propose a protocol that achieves a tight upper bound against dropout. Our protocol is designed based on the protocol of David et al. (FC 2018) except a dropout-tolerant requirement. We also prove our protocol secure in the real/ideal simulation paradigm. In recent years, David et al. and Bentov et al. (ASIACRYPT 2017) proposed protocols that prevent intentional dropout by giving a monetary penalty, but these protocols are not resistant to accidental dropout. Our protocol is resistant to both accidental and intentional dropouts.

ノイズを重畳した一様乱数の送受信及び秘匿性の増強による鍵共有法を提案する。メッセージは共有した秘密鍵によるone-time padの暗号通信とする。乱数の送受信では誤り訂正符号化と，送受信者間で予め共有した共通鍵を使った置換を行う。本方法は共通鍵推定困難仮定の下で安全である。本方法ではノイズを重畳した一様乱数を秘密鍵の起源とするので隠れた周期性が存在せず，数学的困難性も利用しておらず，予期せぬ解読の脅威から解放される。その結果，安全性は単純な共通鍵解読計算量で評価でき，鍵長をNkとして計算量はO(2^Nk)である。

プロセス間通信 (Inter-Process Communication : IPC) においてIPC手法に対するセキュリティが問題になっている．本稿では，IPCにおける攻撃モデルと攻撃への対策手法について述べる．はじめに，IPCを行うプロセスと同ユーザセッション内でプロセスをユーザ権限で動作させることができる攻撃者を仮定した攻撃モデルを提案する．攻撃者はIPCを行う各プロセスになりすまし中間者攻撃を行うことで，IPCでやり取りしているデータを取得することができる．続いて，中間者攻撃への対策手法として既存のIPC手法を用いて安全にIPCを行うためのプロトコルを提案する．提案手法では，OSによるプロセスの実行順序の揺らぎを利用することで安全にIPCを行うことができる．

本稿は前方秘匿性を満たす証明書不要グループ鍵交換プロトコルの改良に関する研究である。従来方式では、グループメンバ全員がオンラインであることを前提にプロトコルが設計されていた。プロキシ再暗号付き証明書不要サインクリプション方式と、近年提案された公開鍵ベースの非同期グループ鍵交換プロトコルを利用することで，オフラインメンバが存在するような状況にも対応しつつ、さらにスケーラビリティを備えた方式を提案する。

IDを用いて相互認証鍵交換を行うIDベース認証鍵交換(IBAKE)方式が数多く提案されて きた．IBAKE方式は短期秘密鍵の漏洩も考慮するID-eCK安全性を満たし，かつ，プロトコルの実行に おいて必要となる楕円曲線上でのペアリングや，スカラー倍算などの計算処理コストが低いものが望まれ る．現在，ID-eCK安全性を満たし，計算処理コストの最も低い方式に富田らの方式がある．しかし，富 田らの方式は，短期公開鍵の生成に相手のIDを必要とするため，何らかの手段で事前に相手とIDを共 有しておく必要があった．この制約と，木下らの既存研究より，今後IoT機器のセキュア通信の手段と して期待されているTLS1.3の中で富田らのIBAKE方式を実行するには，TLSプロトコルの実行前に お互いのIDが共有されている必要があった．本稿では，富田らの方式よりも計算処理コストは高いが， 短期公開鍵の生成に相手のIDが不要でTLS1.3と相性の良い，ID-eCK安全なIBAKE方式を提案する．

AES鍵スケジュールにおいて，プローブなどを用いて鍵の一部が完全に漏洩する可能性がある．漏洩した部分鍵は攻撃者に完全に明らかになる一方で，漏洩しなかった部分鍵は攻撃者には一切知られないと仮定する．本研究では，このような鍵漏洩がある確率で発生する状況を考え，その状況の下での鍵復元アルゴリズムを提案する．アルゴリズムでは[Tsow, SAC2009]で提案されたcoldboot攻撃に対する鍵復元アルゴリズムを応用する．結果として，鍵の漏洩率が15％である場合には，計算時間10時間程度で，ほぼ確率1で鍵が復元出来ることを明らかにする．

μ2はYeohらによって考案され、2019年から公開されている変形Feistel構造を持つブロック暗号である．ブロック長は64ビット、段数15段、鍵長は80ビットである．μ2の提案者論文には、差分攻撃、線形攻撃、代数的攻撃については定量的な安全性評価が記載されているが、積分攻撃については定量的な評価が行われていない． 本稿では， μ2に対する積分攻撃について報告する．まず、混合整数線形計画法(Mixed Integer Linear Programming：MILP)を用いたBit-Based Division Propertyによって発見した9段分の積分特性を報告し、そして暗号文側に2段追加した11段分の鍵回復において必要な選択平文数が2^63および暗号化回数が2^64.58となることを示す．

SIT(Secure IoT)は2017年Usmanらによって提案された軽量ブロック暗号である．ブロック長、鍵長は共に64bitであり、Feistel構造とSPN構造が合わさった構造をしている．また、5段で構成されている．本稿では、SITに対して差分攻撃を行う．我々は、SITの差分パスを解析し、フルラウンドの差分パス特性を発見した．さらに、この特性を利用して差分攻撃を行うことにより、多くとも４組の平文組から秘密鍵を特定することが出来た．

CHAMは2018年にKooらによって提案されたARX型のブロック暗号であり,ブロック長64bitに対し鍵長128bit,ブロック長128bitに対し鍵長128bitまたは256bitである.CHAMの提案論文では,積分特性に関して16階差分を16ラウンドまでCHAMに対しBit-based Division PropertyとMILPを使ってさらに詳しく積分特性を調査し, ブロック長64bit におけるCHAMの評価を行った. その結果,59階差分において26ラウンドまで解読の可能性があることを示した.また,選択(平文-暗号文)対の集合が2の59乗ある場合において鍵回復の計算量が2の127.00乗となることを示した.

Neural cryptanalysis is the utilization of deep learning to attack cryptographic primitives. As computing power increases, deploying neural cryptanalysis becomes a more feasible option to attack more complex ciphers. After reviewing all recent neural cryptanalysis publications on the security of block ciphers including the detailed outcome of the attacks, we find that the types of neural cryptanalysis on block ciphers can be classified into key recovery, cipher emulation, and identification attacks. We evaluate whether the publications have used correct methodologies to analyze the attack results or not, discuss limitations of current neural cryptanalysis results, and suggest future direction of development of this field.

BIGは2019年にDemeriらによって提案された128ビットブロック暗号であり，鍵長は128ビットである．なお，ラウンド数は18（for high security）である．これまでに，BIGには15ラウンドの1階差分特性が存在し，この特性を利用することによって，フルラウンドBIGに対して高階差分攻撃が可能であることが報告されている．本稿では，前述のBIGの弱点を解析するため，線形層の改良を試みる．具体的には，BIGの軽量性を損なわない範囲として，16ビット単位の転置及び右巡回シフトの組み合わせの最適化を試みた．改良版BIGでは，1階差分特性の長さは11ラウンドまでに減じ，暗号アルゴリズムは強化される．しかし，攻撃手法の工夫によりフルラウンド攻撃が可能であり，簡易な改良では，BIGは高階差分攻撃に対し，耐性を持たないことがわかった．

FSE2019においてAlfaranoらはブロック暗号Midori128のワード置換がActive Sbox評価と拡散性能において最適であることを示した。またCSS2019において阪本らはMidori128のワード置換をビット置換に置き換えることでActive Sbox評価と拡散性能を更に改善できることを示した。本研究ではMidori128の置換操作にビット置換とニブル置換からなる2つの置換を適用することで最適な順方向の拡散性能を達成しActive Sbox評価を大幅に改善できることを示す。具体的には1,2ラウンドにビット置換を適用し、以降のラウンドにニブル置換を適用する。まず、この構成において2.5ラウンドの最適な拡散性能を満たすビット置換を示す。次にActive Sbox評価の観点で優れたニブル置換を示し、これらを組み合わせ2.5ラウンドの最適な順方向の拡散性能を持ち、Active Sbox評価において阪本らが示したビット置換を用いた構成の12ラウンドを上回る10ラウンドで安全なビット置換とニブル置換を示す。置換部の変更のみであるためMidori128とH/Wのサイズは同じである。

本稿では, ストリーム暗号KCipher-2とSNOW 3Gに対して混合整数線形計画ソルバーを用いたIntegral攻撃の安全性評価を行う. 具体的には, EUROCRYPT 2015で藤堂が提案したDivision Propertyを用いた安全性評価を行う. 厳密なDivision Propertyの伝搬評価のため, KCipher-2の動的フィードバック制御についてはSunらの手法を利用する. 結果として, KCipher-2に対しては2^3個の選択IVで実行可能な7段の識別子を示す. また, SNOW 3Gでは既存の最良結果である$2^8$個の選択IVよりも少ない2^7選択IVで攻撃可能な13段識別子を示す.

White-box cryptography is often used in embedded applications. Although white-box cryptography with provable security has been proposed recently, the circuit size is much larger than that of usual block ciphers. In order to solve this problem, we propose a white-box symmetric cipher using quantum memory. The size of the proposed quantum circuit is a polynomial in input-length and output-length of an underlying function. Furthermore, we show that the scheme is resistant to an illegal copy of a device by malicious users.

本稿ではAES命令を使ったARM64環境でCamelliaを実装した結果を報告する。すでにx86_64環境については、AES命令を利用したCamelliaの実装があり、ARM64環境でも同様に実装を試みた。AES命令はs-boxの一部としていわゆる逆元演算を含み、Camelliaも逆元演算を利用していることから、Camelliaの処理にAES命令を使うことが出来る。その結果、NEON intrinsicを使ったC言語実装で、16-way (16ブロック同時暗号化)では、漸近的に通常の32-bit表引き実装より1.7倍程度高速になった。また、本稿では、AESやCamelliaの基底表現についての変換についても詳細に解説する。

サイバーフィジカルシステムやクラウドコンピューティングのセキュリティ充実のため高機能暗号への期待が高まっている．暗号化したままデータベース検索が行える検索可能暗号や，複数のメッセージに対する署名検証を一括して行える集約署名は高機能暗号の具体例である．高機能暗号を実現するための主要構成要素は，計算コストが高い，ペアリング計算であり，パイプライン実装のモンゴメリ乗算器を用いたペアリング計算器により高速実装が可能となった．高機能暗号実装の高速化に向けては，ペアリング計算の高速実装に加えて，任意のデータを楕円曲線上の点にマッピングするMapToPointの高速実装も不可欠である．本報告では，複数のメッセージに対するMapToPoint計算をパイプライン型剰余乗算器を用いてVirtex-6上で計算することにより，ソフトウェア実装と比べ集約署名の検証を高速に実装できることを示す．

量子コンピュータの登場が予想されるなか，耐量子暗号はこれまでに数多く提案され，今後は既存の暗号に代わって耐量子暗号が広く使用されると見込まれている．Hardware Security Module(HSM)はその高い計算完全性や耐タンパ性から，高度な安全性を要求されるケースで使用されているが，その内部で実行されてきた暗号は非耐量子暗号であるため，これまで動作実績の無い耐量子暗号に変えた場合に，これまでと同様の性能が得られるか移行前に検討が必要とある． そこで本研究では，HSM環境で耐量子暗号を実装し，非耐量子暗号との性能比較を行った．また，その比較結果とHSMが使用されるユースケースを考慮し，HSM環境における耐量子暗号導入について考察する．

小型な機器が普及し，安全性が要求される場面も多くなってきた．そのため，機器に暗号を組み込む必要があるが，このとき，回路面積や消費電力を小さくすることが求められる．これに伴い，軽量暗号に関する研究が行われてきた．SAEAESは，NISTの軽量暗号プロジェクトに提出された認証暗号アルゴリズムの1つである．マイクロコントローラに暗号をソフトウェア実装するときは，ROM・RAMサイズを小型化すると，部品あたりのコストの削減に繋がるため重要である．そこで本稿では，組み込み向けに利用されるARMのCortex-M0にSAEAESを小型ソフトウェア実装し，その性能を評価した．

本稿では，BBB（Beyond Birthday Bound）安全性と更新容易性（インクリメンタル性）を兼ね備える新たな並列可能メッセージ認証コードスキームを提案する．提案スキームは，メモリ完全性検証のような大規模かつ高速性が要求される応用に対して軽量暗号の適用を可能とする．まず，インクリメンタル性を持つよう従来スキームを拡張した提案スキームについて述べ，そのセキュリティレベルが従来と同程度となることを示す．その上で，提案スキームのハードウェアアーキテクチャおよびそのFPGA実装とASIC実装による性能評価を示す．その評価結果から提案スキームは，軽量ブロック暗号の利用によりタグ生成/検証においてFPGA・ASIC実装共に従来比で1.5倍程度効率（スループット/面積）が向上し，タグ更新において効率（面積遅延積）がFPGAでは3倍以上，ASICでは4倍以上向上することを示す．

id-eCK安全なIBAKEプロトコルである非対称pairing版FSUについて考察する．非対称pairing版FSUでは，一時鍵の指数部が一致しているかを確認するために2回のpairingを要している．この指数部検査のためのpairingを行わない場合，id-eCK安全性は保たれるが，数学的仮定が変化することを示す．

対称ペアリングを用いて非対称ペアリングに似た性質を持つ暗号プリミティブ を構成できる事が知られている. 本発表では教科書的な各種の応用プロトコル にそのような暗号プリミティブを適用する際の様々な問題点を議論する.

関数型暗号では，復号アルゴリズムに入力される暗号文と秘密鍵は正しく作られていると暗に仮定されている．しかしながら，これらは悪意のある攻撃者により改ざんされる恐れがある．そのため，Badrinarayananら (ASIACRYPT 2016) は，誰でも暗号文と秘密鍵の妥当性を検証できるverifiable functional encryption (VFE) を提案した．さらにシミュレーションベース (SIMベース) VFEの実現不可能性を示し，識別不可能性ベース (INDベース) 安全であるVFEの構成を与えた．しかしながらSIMベース安全性がINDベース安全性よりも望ましい． 本論文では，SIMベース安全であるVFEを提案する．実現不可能性を回避するため，trusted setup仮定を導入する．この仮定は一見強すぎるように思えるが，ハードウェアベースの構成 (Fischら, CCS 2016) においては妥当な仮定であることを示す．また公開検証可能性を満たす公開鍵暗号方式 (Nietoら, SCN2012)，署名方式，ハードウェア方式によるハードウェアベースVFE (VFE-HW) の構成，及びIntel Software Guard Extensions (Intel SGX) を用いた実装評価を与える．

秘密鍵skがLビット漏洩しても安全な暗号方式を，L-leakage-resilientな暗号方式という． さらに，L=|sk|(1-o(1))でも安全な暗号方式を，optimally leakage-resilientな暗号方式であるという． ここで，|sk|は秘密鍵skのビット長である． 本論文では，選択暗号文攻撃に対してoptimally leakage-resilientである初めてのIDベース暗号方式を提案する． 本方式は，KurosawaとPhong (ACNS'13)の選択平文攻撃に対してoptimally leakage-resilientなIDベース暗号方式と，KiltzとWee (EUROCRYPT'15)のquasi-adaptive non-interactive zero-knowledge argumentを拡張したものを組み合わせることによって構成されている． 本方式においては，KurosawaとPhongのIDベース暗号方式と比較して，暗号文のサイズがわずかしか増加しない．

CRYPTO 2019において、KoppulaとWaters、及びKitagawaとMatsudaとTanakaは、選択平文攻撃に対して安全(CPA安全)な公開鍵暗号(PKE)と、他の追加要素技術との組み合わせにより、選択暗号文攻撃に対して安全(CCA安全)なPKEを構成した。両方式では、共通の構成技法として、「部分的な乱数による暗号文の正当性が検証可能なタグベース暗号(TBE)」が用いられている。 本稿では最初に、この特殊なTBEを"TBEPV"という要素技術として定式化し、さらにTBEPVがCPA安全なPKEのみから構成できることを示す。次に、TBEPVを特殊な安全性を満たす鍵カプセル化メカニズム(KEM)と組み合わせて"二層暗号化"を行うことで、CCA安全なPKEを構成できることを示す。また、この一般的構成に必要なKEMを、スタンダードモデルでのPlaintext-Awareness (sPA1安全性)を満たすPKEから構成できることを示す。本成果により、元来は"非適応的"CCA安全性(CCA1安全性)を満たすPKEの構成のための中間的な概念として導入されたsPA1安全性を満たすPKEの存在が、"適応的"CCA安全性を満たすPKEの存在の十分条件であることが示される。

属性ベース暗号は暗号文と秘密鍵に埋め込まれた属性によって復号制御を行うことができる 暗号である。この復号制御内容を規定する関係を述語と呼ぶ。すなわち、述語によってどのような復号 制御が可能かが定まる。本稿では、既存の属性ベース暗号に用いられている述語を無制限に組み合わせ ていくことでより表現力の高い述語を錬成し、その述語に対する適応的安全な属性ベース暗号を構成す るためのフレームワークを標準仮定（行列 DDH 仮定）だけを用いて実現する。本フレームワークの応用 として、初めての標準仮定に基づく完全に無制限な非単調属性ベース暗号や定数サイズ暗号文または秘 密鍵をもつ（非）単調属性ベース暗号などが得られる。

コミュニケーション方法の多様化により，メールやチャットなどの相手がオフラインでもデータを送ることができる非同期型のアプリを用いて多数のユーザ間で情報を共有することが一般的になっている．スノーデン事件などを受け，メッセージングアプリなどのサービスでは，暗号化データを想定されたユーザのみが復号できるようにするためのエンドツーエンド暗号化技術が導入されている．この暗号化を実現するためには想定されたユーザ間で鍵を共有する多者間鍵交換技術が必要であり，さらにそれを非同期型のアプリに適用するには非同期多者間鍵交換技術が必要である．しかし，従来の非同期多者間鍵交換技術では，グループの人数n に対し，受信者の計算コストがO(n) となりユーザが増加すると実用的な時間で処理できなくなる問題がある．加えて，公開鍵ベースのためユーザ と公開鍵の紐づけシステムが必要になり，構築や運用面で負荷が増大する．本稿では，これらの問題を解決する受信者の計算コストがO(1) でかつ紐づけシステムの不要なID ベースの非同期多者間鍵交換プロトコルを提案する．また，既存のeCK 安全性モデルを多者間かつID ベースのモデルに拡張し，その安全性について述べる．

本稿は失効機能を備えた匿名否認可能述語認証スキーム（rADPA）のシンタックスと安全性定義を提案する．また，本稿はrADPAの一般的構成方法を提案する．構成方法は S.Yamadaら（PKC2012）の匿名否認可能述語認証スキーム（ADPA）にK.Yamadaら（ESORICS2017）の失効可能属性ベース暗号スキーム（rABE）を組み込むものである．次いで，本稿は構成要素であるrABEの性質とrADPAの性質の関係を議論する．最後に，本稿は構成要素を具体的に選択したときのrADPAの構成例について述べる．

近年のクラウドコンピューティングやビッグデータの発展に伴う大量のデータ利用への需要の高まりに対し,IDベース暗号(IBE)などの従来の公開鍵暗号よりも利便性の高い暗号方式が提案されてきた.暗号化の際に指定した特定の属性を持つユーザのみが暗号文を復号することのできる属性ベース暗号(ABE)や時刻サーバが一定時刻ごとに時刻鍵を配信することで指定した時刻まで暗号文の復号を行えないようにするタイムリリース暗号(TRE)もその一例であり,量子計算機でも解くことが困難とされるLWE問題に基づいたIBEやABE,TREも多く存在している.一例として,2010年にはAgrawalらによって提案された,攻撃目標とするIDを適応的に選択することのできる攻撃(INDr-ID-CPA)に対して安全なLWE問題に基づいたIBEが提案されている.本稿では,このIBEをベースとしてLWE問題に基づく属性の多値表現が可能な時限機能付き属性ベース暗号方式(TRABE)の構成を行った.また,提案方式の安全性について,Agrawalらの方式で安全性が示された攻撃手法と同様の攻撃を行う攻撃者を想定したゲームを定義し,その証明の概要について述べる.

本論文では、SCIS2018で提案されたアクセス制御可能な共通鍵暗号ベース検索可能暗号方式の高安全化と高速化について議論する。特に、共通鍵暗号技術のみを用いて結託攻撃耐性や絞込検索可能な索引生成について議論する。

鍵更新機能付きの検索可能暗号は，機器の秘密鍵を更新することにより，機器からの鍵漏洩に対策可能な検索可能暗号である．著者らは，SCIS2019において，軽量実装が可能な「共通鍵型」の鍵更新機能付きの検索可能暗号（KU-SSE）を提示した．さらに，2019年7月のISEC研究会において，共通鍵型の隠れベクトル暗号（HVE）をベースを利用した一実現方式（KU-SSE-II）を提案した． 本稿では，KU-SSEの別の一実現方式として，擬似乱数を用いたSSE方式に，委譲可能擬似乱数関数を組み合わせた方式（KU-SSE-III）を提案し，実装評価する．この方法はKU-SSE-IIに比べ，より一般的な構成である．

検索可能暗号 (Searchable Symmetric Encryption: SSE) とは，暗号化したまま効率的な検索を可能とする暗号技術であり，実用的側面および理論的側面の両方から盛んに研究が進められている．中でも，検索データベースの動的な更新を許すものは動的検索可能暗号 (Dynamic SSE) と呼ばれる．Dynamic SSEは効率的な検索を実現するために多少の情報漏洩を許す必要がある．一方で，そのような漏洩情報を用いた様々な攻撃が知られており，それを避けるためにはDynamic SSEがフォワード安全性を満たす必要がある．(フォワード安全) Dynamic SSEの効率面の課題のひとつとして，検索コストの向上が挙げられる．特に，検索時の通信量が最適なフォワード安全Dynamic SSE方式は，公開鍵プリミティブを用いた構成か，追加の情報漏洩を許す構成しか知られていない．本稿では，そのような制約を必要としない，最適な検索時通信量を達成するフォワード安全Dynamic SSEの構成法を提案する．

IWSEC2016でKurosawaらは動的検索可能暗号における汎用結合可能（UC）安全性の定義を与え、ゲームベース定義との（弱）等価性を示した。しかし、KurosawaらのUC定義はフォワード安全性を保証していない。本稿では、KurosawaらのUC定義を拡張し、フォワード安全性のゲームベース定義との（弱）等価性を示す。また、SCIS2019において我々が提案した動的検索可能暗号方式がUC安全性を満たすことを示す。

検索可能暗号とは，暗号化データを暗号化したまま検索するための技術である。 その中で、任意の文字列が検索可能な検索可能暗号を部分文字列検索可能暗号と呼ぶ。 我々は、DAWGと呼ばれるデータ構造を改良した拡張型DAWGを考案し、それを用いた 部分文字列検索可能暗号を提案した。本論文はDAWGよりも空間効率の良いファクター オラクルを改良した拡張型ファクターオラクルを導入し、新たな部分文字列検索可能 暗号を提案する。

正規表現による検索は、通常の文字列検索を発展させたものであり、部分文字列検索 の一般形とみなせる。本論文は、正規表現とテキスト文書が与えられたとき、そのテキ ストが正規表現にマッチする文字列を含むか否かを判定する問題を考える。 そのとき、任意の正規表現に対し、それを安全に暗号化するための手法を与え、暗号化された テキストと正規表現を用いて、安全に正規表現を検索するための方式を提案する。

　 近年，クラウドコンピューティングの普及に伴い，個人や企業がデータをクラウドサーバに 保存する機会が増加している．そのため，検索可能暗号などデータを暗号化したまま操作できる暗号技 術が多く提案されている．検索可能暗号には完全一致検索だけでなく，部分一致検索や範囲検索など，よ り利便性の高い方式も存在する．さらに近年では，量子計算機を用いても容易に解けないLWE問題に基 づく検索可能暗号が多く提案されている． しかしそれらの多くは完全一致検索のみに焦点を当てており， より複雑な検索についてはあまり言及されていない．本稿では，部分一致検索の機能を持つLWE問題に 基づく公開鍵検索可能暗号 (PEKS) を構成し，提案方式の安全性の根拠を LWE 問題の困難性に帰着さ せることを目指す．部分一致検索の単純な手法としてキーワードの部分文字列をすべて暗号化するとい うものがあるが，この手法では文字数の 2 乗個程度の暗号文を生成する必要があり，非効率である．提 案方式ではキーワードを(文字数× 2)個の暗号文に分割し，複数の暗号文同士を比較することで 部分的な文字列を検索する．

ORやANDを使った論理式で指定された属性をもつユーザーだけが復号できる属性ベース暗号と，暗号化されたデータを暗号化されたキーワードで検索できる検索可能暗号を組み合わせた属性ベース検索可能暗号により，クラウド上に暗号化されたデータをより安全に効率よく利用することができる．属性ベース検索可能暗号にはアクセス行列を用いる方式と，アクセス木とラグランジュの補間多項式を用いる方式があるが，本稿では後者の方式の新たな構成法を提案する．

最短ベクトル問題(SVP)の困難性は，格子暗号技術の安全性の根拠となっている． 2010年に，MicciancioらによってSVPの高速求解アルゴリズムであるGauss Sieveアルゴリズムが提案された． 翌年，Schneiderらは，イデアル格子という特殊な格子の性質を用いた Ideal Gauss Sieveアルゴリズムを提案し，Gauss Sieveを高速化した． しかし，イデアル格子の性質を用いて高速化できる条件は限定的であり， 既約2項式で定義される特殊なイデアル格子に対してのみ有効であった． 2014年に，石黒らは，既約2項式の場合に加えて，既約3項式の場合においても イデアル格子の性質を用いた高速化ができることを示した． 本稿ではこれらを一般化し，任意の項数において イデアル格子の性質を用いた高速化ができることを示した． 例えば，これまでイデアル格子の適用がされていなかった 既約5項式の場合である$n=80$次元に対して， Gauss Sieveと比較しておよそ10倍の高速化を達成した． さらに，Ideal Gauss Sieveアルゴリズム自体を$1.5$倍程度 高速化したRotation-based Gauss Sieveアルゴリズムを提案する.

耐量子計算機暗号の有力な候補のひとつとして考えられている格子暗号は最短ベクトル問題等の格子問題の計算量的困難性を安全性の根拠としている．格子問題を解くための手法として基底簡約アルゴリズム，列挙アルゴリズム (Enumeration)，篩アルゴリズム(Sieving)等が盛んに研究されている．これらの手法で広く用いられる操作にユニモジュラ行列による格子基底のランダム化がある．ランダムユニモジュラ行列の生成方法はアプリケーションごとに差異があり，望ましい生成方法について研究した例は少ない．本発表では，ある手法で生成したユニモジュラ行列が特定のパラメータ範囲ではうまく格子基底をランダム化できないという筆者らの発見について考察を述べる．

Learning with Errors (LWE)問題は格子暗号の安全性を支える数学問題の１つで，Ring-LWE問題は円分体の整数環上のLWE問題の変種である．特に，NISTが現在進めている耐量子計算機暗号の標準化において、Ring-LWE問題はいくつかの候補方式の安全性を支えている．円分体上のトレース写像により，2冪のn次の円分体上の格子問題を(n/2)次の円分体上の問題に帰着できる可能性がある．本稿では，このトレース写像攻撃が可能となる特殊なRing-LWEサンプルの存在を明らかにする．さらに，トレース写像による攻撃効果を理論的かつ実験的に解析する．

LWE with Non-uniform binary-error distribution is a generalization of uniform binary-error LWE, in which errors are chosen in $\{0,1\}$ with some probability p. Arora and Ge showed that for the uniform Binary-Error case, LWE can be solved in polynomial time given a number of samples quadratic in the dimension n. With sample amplification method, sub-exponential time complexity can be achieved when the number of samples is $n^{1+\alpha}$, for $0<\alpha<1$. On the other hand, Micciancio and Peikert also shows that uniform Binary-Error LWE is as hard as lattice problems when given only slightly more than n samples. In this paper, we analyze the relation between error rate and hardness for LWE with Non-uniform binary-error distribution. In particular, we show that when error rate is very low, it is possible to attack in polynomial time with O(n) samples, and when error rate is slightly larger, we can attack in sub-exponential time with O(n) samples. Besides, we generalize the hardness proof for uniform error to non-uniform case.

格子上に定義される最短ベクトル問題は，量子計算機が実現したとしても多項式時間では解読されない問題であるとされ，格子暗号の安全性の根拠となる問題の1つとされている．しかし，十分な規模の量子計算機は今のところ開発されておらず，現時点で量子計算機に対する解読困難性を評価することはできない．一方で，近年，量子アニーリングに着想を得たデジタル回路を利用したアニーリング計算機の大規模化が進んでおり，これらの計算機に対して最短ベクトル問題の解読困難性を評価することが可能となってきている．そこで本稿では，汎用コンピュータを用いた解読法として効果的とされているlattice enumerationを参考としたハミルトニアンの構成法を2つ提案し，実際にアニーリング計算機を使って最短ベクトル問題が解読できることを示す．

標準公開鍵暗号の一つであるＲＳＡは、素因数分解の困難性を安全性の根拠としている。これまで一般数体篩法による素因数分解法が盛んに研究されてきたが、近年、アニーリングと呼ばれる物理現象に由来した新しい計算原理を用いた計算機理論及びそのハードウェアの開発が進められており、同時に、アニーリング計算による素因数分解手法の研究・実験も盛んに行われている。本稿は、富士通が2018年に開発したアニーリング専用計算チップ「DAU2」を用いた素因数分解実験についての結果を報告する。

We summarize the known collision-finding algorithms that computes collisions in LPS-type Ramanujan graphs. Moreover, we consider path-finding algorithms in LPS-type Ramanujan graphs comparing with the paths returned by Pinto and Christophe’s algorithm for LPS Ramanujan graphs in 2018, which is close to optimal for vertices corresponding to diagonal matrices. We expect these results to contribute to the problem of quantum circuit design for the future work.

Shannonのワンタイムパッド暗号方式は秘密鍵と平文が完全に独立である時、秘密鍵の分布が一様であることは完全秘匿性(Perfect Secrecy) を満たすための必要十分条件である。ところが、実世界では鍵の分布が常に一様であるという理想的な状況が得られるとは限らず、更に秘密鍵と平文が完全に独立であることも常に保証できるとは限らない。 本研究は、理想的でない状況におけるShannonのワンタイムパッド暗号方式についてどの程度の秘匿性が保証できるか又はある程度の秘匿性を得るためにはどの程度の条件が必要か考察する。

本稿では，標数2の有限体上定義されたDerksen群によって誘導される置換群の性質について考察する．

RNSとは整数の表現方法のひとつであり, 互いに素なn個の整数を基底として, 整数xを基底要素で割った余りn個の組で表す方法である. 著者らはSCIS2019で基底の逆数を級数展開で表現することで, RNS表現における効率の良い符号判定方式SDPSを提案した. ただこの方式は, 基底が十分に２のべき乗に近いことが必要な方式だった. 本稿では基底への制約がより弱い符号判定方式SDTRを提案する. 提案方式の計算量の期待値はオーダーｎで非常に効率的であり, n並列で処理すれば, 処理ステップ数の期待値はオーダー１となる. アルゴリズムで使用する参照テーブルサイズはRNSの範囲Mに対して, (n+3)倍程度であり, 暗号を含むほとんどの応用に対して現実的な規模に収まると考えられる. 提案方式の計算量は最適に極めて近いと考えられる根拠も示す.

本稿では，耐誘導コミュニケーション研究の一例を紹介する．耐誘導コミュニケーションとは，攻撃者の誘導により標的に不利益な行動を選択させる攻撃において，攻撃者の誘導から標的を防御するための情報交換のことである． 攻撃者と標的が，電話や電子メールを介した情報交換で情報漏洩や金銭窃取にあう事例等が研究対象になる．この種の状況下では，攻撃者から提供される情報により，標的は自らの意思決定の結果として，自らに利益をもたらす行動と（誤）認識しながら，自らに不利益な行動選択に誘導される．標的は、願望と現実と行動計画の３点が揃えば行動する。即ち、この3点の情報を攻撃者が発信し、標的が自分の情報として取り入れれば、標的は攻撃者の誘導に従った行動を選択する。ただし、この3点の情報を明示的に与えれば、攻撃者の誘導の意図が明確になるため、標的の誘導に失敗する可能性は高くなる。従って、攻撃者はより少ない情報で標的を誘導しようとする。情報が少なければ誘導の検知は難しくなる。本研究では、攻撃者が与える情報が3点に満たなくても誘導が成功する理由、および、過去の情報を分析することにより誘導を検出する手法について説明する。

匿名ネットワークのThe Onion Router(Tor)やThe Invisible Internet Project(I2P)を使用し通信元などを隠蔽して，検索エンジンによりインデックスされないダークウェブで，脆弱性情報，薬物，武器及びカード情報の売買などに関する情報のやり取りがされている．また，コミュニティでハッキング技術などの情報やマーケットなどによるマルウェアの売買に関する情報を共有がされているため，攻撃者がどのようなことに興味を持っているのか分析する必要がある．本研究では，ダークウェブ内のコミュニティであるフォーラムサイトに焦点を当て，ログイン認証のある英語で書かれたサイトとロシア語で書かれたサイトを対象とした．各サイトのスレッド名から特徴（興味の傾向）を語の共起関係によりキーワードを抽出する手法とトピックモデルである手法とを用いて特性を解明しようと試みた．分析対象のフォーラムの特徴として言語別にみた時に，英語ベースのサイトは，マルウェアなどの悪意のある攻撃的な議論のものが特徴的で，ロシア語ベースのサイトは，カードディング関係の議論が多いという特徴の違いがあった．

ユーザのセキュリティ対策実施率を改善するため，セキュリティ対策実施状況や経験要因等のユーザ要因に応じて適切なアプローチで働きかけることが重要である．そこで本論文では，行動経済学で用いられている行動変容段階モデルをもとに，セキュリティ対策における行動変容ステージ（セキュリティ行動変容ステージ）を定義する．さらに，セキュリティ対策行動としてパソコンのOSの月例更新に焦点を絞り，各セキュリティ行動変容ステージのユーザに効果のあるOS更新を促すポップアップメッセージを明らかにする．パソコン利用者に対してウェブアンケート形式の調査を実施し，9種類のメッセージの中からセキュリティ行動変容ステージ別に有効なメッセージを分析した．その結果，実行期と維持期に属しているユーザには，OSを更新しないことによって生じるセキュリティ被害（更新しないことで生じるデメリット）を示すメッセージの提示が有効であることを確認した．

ソーシャルメディアが災害時情報伝達に有用であることが認識されつつある．一方で，ソーシャルメディア上に氾濫する情報は玉石混交であり，雑多な情報の中から信頼性の高い必要な情報を取捨選択することは容易ではない．災害時には，いち早く正確な情報を収集し，迅速な対応をしなければならない．この課題に対し，我々はこれまでに，2層化したボランティアを活用したクラウドソーシングによる情報クレンジングを提案している．本方式では，身元確認に応じた一部の登録ボランティアに，他の匿名ボランティアの目付役を依頼する．ソーシャルメディアに流れる無数の情報の信憑性を多数の匿名ボランティアが確認し，匿名ボランティアの作業結果の正当性を少数の登録ボランティアが確認するという2層構造を設けることにより，身元確認のコストを抑えながら相応の情報クレンジングを実現することを狙っている．本論文では，このうち，身元確認情報の種類と虚偽報告発信に対する抑止力の間の関係性を探る．200名（有効回答は66名）規模のオンラインアンケートによる調査を通じて，プライバシ懸念と抑止力効果の両面から身元確認の際に用いる本人情報としては何が好適であるか分析する．

SGXはRAM上に形成した保護領域内でプログラムを安全に実行する新技術である．本研究ではSGXを用い，複数の提供者から集めたゲノムデータに対して，利用者がサーバー上で望みの解析を行って結果のみを得られるシステムを提案する．データの中身は利用者やサーバーに漏洩せず，解析手順はサーバーに漏洩しない．提案システムでは，利用者による解析の実行と解析手順の保護を実現するため，サーバー上に保護領域を作成し，その内部にインタプリタを配備する．インタプリタはJavaScriptを解釈し，ゲノム解析で頻出する統計検定などの関数を備える．このため，利用者は多様な解析手順を簡便に実装できる．また，サーバー上のゲノムデータは暗号化されており，保護領域内でのみ復号化される．この際，暗号化データから解析に必要な情報を高速かつ安全に保護領域内に展開するため，データの索引化とパス型ORAMを併用したデータアクセスを行う．提案システムを試験実装し，プライバシを保護しない解析プログラムと比較したところ，大規模な実データに対しても実行速度は２倍以下であった．本システムの実用性は高く，ゲノム情報活用への貢献が期待できる．

The number of online services, and their corresponding privacy policies, is ever increasing. However, although these policies contain important information, they are often too long and complex for users. Automated tools that can generate a short standard summary of any privacy policy have been proposed as a way to address this problem, but there is little research about their effectiveness and about user perception towards them. In this paper, we conduct a user study among Japanese people to evaluate whether the results presented by a privacy policy summarization tool can communicate risk and whether there would be interest in using such a tool. The results show that the tool partially achieves its purpose regarding risk communication, but there was limited interest. The qualitative responses indicate that although participants recognized the potential usefulness of the tool, they were concerned about its trustworthiness and about factors such as its performance, process and purpose. We discuss these concerns in the context of the development of privacy policy summarization tools.

ドキュメントの墨塗りおよび加工は，そのドキュメントが関係者あるいは一般に公開される場合に実施されることがある．裁判文書や医療情報，学校での事故レポートは，新薬開発や事故防止のための研究に用いられることがあるが，それらを公開する際は機密情報やセンシティブな情報はあらかじめ墨塗りをして公開するなどの対応が必要となる．本稿ではこれまであまり議論されてこなかったドキュメント，特に学校で発生した事故に関するドキュメントにおけるプライバシリスクについて議論を行い，攻撃者モデルやリスク評価指標の提案を行う．さらに本稿では実際の事故レポートの分析および評価実験を実施し，サニタイズ処理の課題の発見や提案する手法の有効性を確認する．事故レポートの分析と実験の結果を元に，実際の現場での利用を想定したドキュメントのリスク評価ツールを試作する．試作ツールを用いることで，従来人手で行っていたサニタイズ処理で残存するリスクを検知することに成功した．

近年、スマートフォンやパソコンなど多くの情報端末が普及している。そのため、こうした情報端末を利用する場面も多様化している。外出先や移動中での利用機会が増加している中、ユーザの一部はプライバシー保護のためディスプレイ上に覗き見防止のフィルタ又は同等の機能を持つソフトウェアを利用している。しかし、これらのフィルタにはディスプレイの視認性の低下や保護できない角度の存在、覗き見された被害に気付くことが困難といった有効性や使いやすさ、そしてユーザの被害認識についての問題がある。また近年流通している情報端末にはカメラが内蔵されているものが多い。そこで本稿では、ノートパソコンに内蔵されたカメラを利用し映像解析及び動体検出を行い、リアルタイムにユーザインタフェースの一部を透過することで上述した問題を解決する手法を提案する。本手法は少負荷で動作可能であり、多くの端末に適用可能である。また、この手法の有効性を検証すべくプロトタイプを実装し被験者による評価実験を行った。実験の結果、情報端末のプライバシー保護にUIのリアルタイム透過が非常に有効な手法であることが確認された。

IoT(Internet of Things)機器は，普及が進む一方，脆弱性対策が不十分であり，インシデントが多数発生している．これは，脆弱性に対するIoT機器の開発者・ユーザの認識不足に起因している. IoT機器に関するセキュリティ教育の重要性は高まっている．しかし，商用のサイバー演習システムは，導入・運用コストの負担や柔軟性を欠く演習シナリオであり利用は限られている. セキュリティ教育の普及を目的に，VirtualBoxおよびDockerを利用した低コストかつ柔軟性のあるサイバーセキュリティ演習システムCyExec（Cyber Security Exercise System）を開発した. CyExecの演習コンテンツは，基礎演習と応用演習から構成される． 本稿では，IoTセキュリティ演習コンテンツを開発しCyExecへ実装した．基礎演習コンテンツは，脆弱性診断学習プログラムWebGoatを実装しIoTに関係する脆弱性の検出と対策方法を学習する．また，応用演習コンテンツは，IoT機器を模したDockerコンテナに対し攻撃と防御の演習を行い実践レベルの技術と知識を学習する．

情報セキュリティ人材の育成には，実践的な演習が可能なサイバーレンジが使われている．しかし，高額な導入・維持費用などの問題により，教育機関での導入は一部にとどまっている．そのため，低コストで導入・運用が可能なサイバーレンジが必要とされており，動作が高速・軽量で密度の高い環境を低コストで構築可能な，コンテナ型仮想化を活用する研究が進められている．しかし，コンテナ型仮想化は他の仮想化方式と大きく性質が異なるため，サイバーレンジの環境に必要となる脆弱性の再現性能や，適切な利用範囲が明確ではない．本稿では，安価で容易に導入できるサイバーセキュリティ演習環境の普及のため，コンテナ型仮想化と他の仮想化方式との脆弱性の再現性能を網羅的に比較検証し，コンテナ型仮想化を用いたサイバーレンジ環境が遜色なく利用可能であることを確認した．情報セキュリティ教育の裾野を広げるため，安価で容易に導入可能なサイバーレンジ環境として普及を促す．

2015年度より、国立高専にてサイバーセキュリティに強い高専生を輩出するべく、サイバーセキュリティ人材育成事業（以下、K-SECと呼ぶ）を行っており、今年で5年目となる。この事業では、高専生向けのサイバーセキュリティ関連の教材を開発し、全国の国立高専で活用している。本論文では、K-SECの活動および開発した教材の紹介に加えて、この教材を使ったネットワーク演習の実践について報告する。

近年では、サイバー攻撃の多様化や複雑化に伴い、インシデント発生時における組織や個人のインシデント対応能力は、被害の拡大防止や軽減において非常に重要視されている。インシデント対応能力の向上を目的とした訓練として、机上演習等の演習が挙げられる。しかし、演習は準備等に手間や時間がかかるという点から、実施が難しいという課題があった。本研究では、演習で習得できるとされる非技術的な能力の向上を目的とした、演習よりも容易に実施できる訓練を提案する。提案訓練では、冷静に対処する必要性と攻撃に備えて準備をする必要性の認識を主な目的としており、目的を達成するために、プログラミングを利用してその必要性を体感させる。この訓練をアンケートを交えて実施し、アンケート結果と得られた意見について報告する。

従来のコンピュータと異なる原理で動作する非ノイマン型コンピュータの1種としてイジング計算機が注目されている. イジング計算機はイジングモデルの基底状態を得るハードウェアアクセラレータであり, 組合せ最適化問題をイジングモデルに変換して入力として与えることでヒューリスティックに準最適解が得られることが期待されている. イジング計算機はハードウェアコストが高いため通常の計算機上に実装されず, デバイスそのものを遠隔地に置きインターネットを経由してアクセスする形式が一般的である. イジング計算機の提供者が信頼できない場合に, イジングモデルからもとの組合せ最適化問題を復元し秘密情報が抜き取られる可能性がある. 本稿では組合せ最適化問題として数分割問題とグラフ分割問題に着目し, 組合せ最適化問題から生成されたイジングモデルを得た攻撃者がもとの組合せ最適化問題を復元する攻撃を検討する.

健康管理データ等の個人データ活用が活発に論じられている。このような、個人の機微データは個人の承認の下で移動、蓄積、データ処理がなされるべきである。筆者等はこの要請に添うシステム構築を試みた。このシステムでは、データ所有をPKI秘密鍵によってオーソライズされる仕組みとした。PKIでは、秘密鍵と公開鍵のペアを生成し、外向きには公開鍵を使い、内向きには秘密鍵を使う。公開鍵は本人所有であることをCAが証明するが、秘密鍵は本人管理にゆだねられる。本人を証明する「鍵」であるから、管理は厳重にすべきである。この管理のため、秘密分散技術を適用することを考える。

Private information retrieval (PIR) allows a client to retrieve data from a database without the database server learning what data is being retrieved. Although many PIR schemes have been proposed in the literature, almost all of these focus on retrieval of a single database element, and do not consider more flexible retrieval queries such as basic range queries. In addition to this, to the best of our knowledge, all PIR schemes that do support range queries, are not formally shown secure. In this paper, we formalize a security model for PIR schemes that supports range queries and construct a secure multi-server scheme based on function secret sharing.

Goyal and Kumar (STOC '18, CRYPTO '18) proposed the information-theoretical non-malleability for secret sharing. Recently, Faonio and Venturi (CRYPTO '19) proposed computational non-malleability. In this paper, first, we propose another definition of computational non-malleability in the public parameter model. Second, we propose a compiler for arbitrary secret-sharing schemes. This compiler outputs schemes with computational non-malleability against joint tampering. Our compiler preserves the statistical privacy of the underlying secret-sharing scheme. This compiler employs lossy encryption which satisfies IND-CCA security in the injective mode.

秘密分散法に検証可能性を加えた検証可能な秘密分散法が存在する．本稿では2008年にChunming とYao によって提案された検証可能な秘密分散を元にした提案手法を紹介する．

本稿では秘密計算における理論最適な単精度向け関数近似法を提案する. 提案手法では逆数,平方根, 平方根の逆数, 指数関数, 対数関数に関して, 実用的な近似区間において実数乗算3 回分の通信量/ラウンド数で単精度, すなわち23 ビットの精度を実現する8 次多項式を計算する. 上記関数群とそれぞれの近似区間において, 次数8 とそのための乗算回数3 は最適である.

本稿では同時発表の関数近似法を用いて, 逆数, 平方根, 平方根の逆数, 指数関数, 対数関数の効率的なアルゴリズムを提案・実装し性能を報告する. 逆数, 平方根, 平方根の逆数, 指数関数に関しては筆者のCSS2019 の結果よりも高速であること, CSS2019 で実装しなかった対数関数に関してはSharemindによる実装の約260 倍, そして全演算でM op/s を超える速度となったことを報告する.

本稿では同時発表の初等関数アルゴリズム群の有用性を評価する．暗号分野は実数演算に関しては比較的疎遠であり馴染みが薄いと言えるが，実数演算において逆数，平方根及びその逆数, 指数関数，対数関数等の初等関数は大変に応用が広い. 特に秘密計算においては統計や機械学習等のデータ分析が研究分野におけるゴールの一形態であり, これらの応用例において初等関数群の高速化が広範な効果を与えることを，実験的に示す．

Enc, Enc'を加法準同型暗号とする。 クライアントがEncの秘密鍵を持ち、サーバは平文mが未知である暗号文Enc(m)を持っているとする。 このとき任意の関数fに対し、サーバはsemi-honestなクライアントと1ラウンド通信することで サーバ、クライアントともにmの情報を得ることなくEnc'(f(m))を計算できるプロトコルを提案する。 悪意あるクライアントに対しては2ラウンド通信で同様のことができる。 提案プロトコルはlifted-ElGamalのような復号可能な暗号文空間が小さい準同型暗号に対しても適用できる。 また、このプロトコルを用いて構成した秘匿ゲノム編集距離計算とその高速化手法を紹介する。

本論文では，3者秘密計算の高速化を目的として，計算時の通信処理にData Plane Development Kit (DPDK)を用いた実装手法について論じる． 3者秘密計算は，データを秘匿したまま処理し，機密情報の漏えいを強固に防止する秘密計算の手法の１つであり，組織を横断したデータ分析や，生体認証等のユースケースにおいて，実用化が期待されている． 我々の目的は，3者秘密計算の実行要求から結果を返却するまでの計算時間を短縮することによって，実用上の性能要件を満足させることである． 3者秘密計算は，計算時にサーバ間で秘密分散されたシェア値の送受信を行う必要があるため，通信時間が3者秘密計算のターンアラウンドタイムにおけるボトルネックとなっている． DPDKは、オープンソースで提供される，高速パケット処理用のデータプレーンライブラリとネットワークインターフェイスコントローラードライバーのセットである。 我々は，通信による処理時間を短縮するためにDPDKを用い，3者秘密計算の高速化実装および評価を行った．

秘密分散による秘密計算の効率化は主に(1)乗算の効率化, (2)できるだけ乗算を並列実行するプロトコルの構成, という二通りに大別できる.　本研究では, 入出力を持たない補助的な計算パーティを用いることで乗算に基づかない新たなプロトコルを考案し, 秘密計算の効率化を図った. その結果, 例えば[Morita et al,. ESORICS 2018]では通信回数:5回, 通信量:O(|p|^3)ビット, であったZ_p上の秘匿大小比較を通信回数:2回, 通信量:O(|p|^2)ビット, にまで削減できた. また, 従来の秘密分散では難があった一般の論理回路を効率的に計算できる可能性があることを示した.

秘匿集合計算(PSO)プロトコルは、複数の参加者が各人の持つ集合を秘匿したままで、それらの集合の共通部分を求める(PSI)などの集合計算の結果のみを得ることができる安全なマルチパーティ計算プロトコルである。先行研究では、PSOプロトコルは、2者間においては効率的であるが、3者以上に拡張した場合、一般には計算量が大きくなり非効率的であることが知られている。2019年にWangらは、oblivious pseudorandom function (OPPRF)を利用し、集合計算の結果の集合の要素かどうかを判定する多項式を作ることで、3者間で効率的なPSOプロトコルを提案した。しかし、Wangらのプロトコルは、PSIに対しては多項式を与えることができているが、一部の計算に対しては、多項式を与えることができなかった。本研究では、Wangらが多項式を与えることができなかった集合計算に対して、有限体埋め込みを用いることで多項式を与える。これにより、n人の持つ集合に対して、それらの集合あるいは補集合の共通部分を求める秘匿集合計算が、多項式による判定を用いて実現される。

ビッグデータおよびIoT環境の進歩に伴い，個人に関する情報の活用が期待されている．ただし，個人情報の活用においては，その情報が漏洩すると個人のプライバシーに影響を与える可能性がある．秘匿計算はプライバシー情報や機密情報を含むビッグデータの利活用において，それらを保護しながら種々の処理が実現できるため，現在盛んに研究されている．秘匿計算を実現する手法は大きくて分けると，準同型暗号と(k,n)閾値秘密分散法を用いた手法がある．本論文では，(k,n)閾値秘密分散法を用いた秘匿計算を実現する．本来の(k,n)閾値秘密分散法におけるnはn?kを選択できるが，秘匿計算を実現する場合，一般にn<2k-1において無条件に安全な秘匿計算は不可能とされており，サーバ資源の増大無しに実現することができない．そのためDamg?rdらによるSPDZ 2方式やKellerらによるMASCOTなどでは準同型暗号や紛失通信などを用いてそれに対応している．そこで，本論文では(k,n)閾値秘密分散法におけるパラメータnとサーバ台数に対応するパラメータNを分け，k?N<2k-1において秘匿乗算が安全に行える手法を示す．また，著者らの研究グループが提案しているTUS方式における１の分散値集合生成も実現できることを示す．

一般に，(k,n)閾値秘密分散法を用いた秘匿計算では，n<2k-1において無条件に安全な秘匿計算は不可能とされている．そのため，著者らのグループではn<2k-1において安全に秘匿計算が実行できる条件を探索するというアプローチをとり，semi-honestな攻撃者に対して，(1) 秘匿乗算において秘密情報と乱数に0を含まない(2)攻撃者が知らない乱数を用いた1に対する分散値集合がある(3)演算の連続において各サーバが扱う分散値集合内の分散値の位置は固定される，という3つの条件の下安全な秘匿計算ができることを示した．この秘匿計算法は秘密情報をそのまま秘密分散せず，乱数を用いて秘匿した秘密情報を入力として秘密分散法による秘匿計算を実行することを特徴とする．本論文では上記条件(1)を解決する手法を示す．また，本論文では秘匿演算を事前処理と秘匿計算処理に分けて，通信を必要とする処理を事前処理に集中させ，演算を繰り返す必要がない場合，秘匿計算処理から通信を完全に排除できる手法を提案する．最後に，実装評価を行い，提案方式は従来方式に比べて最も高速であることを示す．

近年，データ分析技術の急速な発展により，様々な場面においてデータの需要が高まっている．一方，このようなデータは1つの機関だけでなくいくつかの機関により分散管理されている場合が多い．このような場合，データを紐づける突合属性は個人情報であることが多いため，信頼できる第三者機関などを用いずにこれを秘匿しながら効率よく突合データを得ることは非常に困難である．本研究では，このような場合に個人情報などを漏らすことなく突合データのみを効率よく計算・取得できるプロトコルを提案する．

秘密計算とは，入力に関する情報を一切漏らさずに何らかの計算結果のみを得ることをいう．その実現方法として，準同型暗号や秘密分散法などを用いる方式がこれまでに提案されている．その中でも，秘密分散法を用いる秘密計算方式は近年大幅に効率化され，急速に発展している．一方，本研究ではGmailやLINE，Dropboxなどの普及アプリケーションの存在を安全性の根拠とする暗号方式の構築を目的とする．今や社会インフラレベルになるまで普及しているアプリには，脆弱性や不具合が発見されたとしても直ちに改善されることが期待できるため，そのような普及アプリの安全性を仮定することは自然である．本稿では，DropboxやGoogle Driveなどに代表されるオンラインストレージを道具として用いる秘密計算方式を提案する．いくつかのオンラインストレージには，共有リンクからダウンロードできるファイルの合計容量が制限される「帯域幅制限」が存在し，提案プロトコルではこの機能を活用する．本稿では，そのようなオンラインストレージの機能を定義し，それを用いれば秘密計算が可能であることを示す．その後に，Dropboxがそのようなオンラインストレージとして合致することを確認する．

秘密計算はクライアントの持つ秘密情報に対して，その情報を外部に漏洩することなく，安全に関数を評価することを可能にする． しかし通常の秘密計算の場合関数の計算結果そのものが出力されるため，計算結果からクライアントの情報が推定される可能性があり，特に差分プライバシが達成されない． 従って，特定の分布に従うノイズを計算結果に加えることで，差分プライバシを満たすような結果を出力することが重要である． 本研究では，秘密分散を用いた秘密計算において，二項分布と離散ラプラス分布に従うノイズをシェアの形で生成するプロトコルを提案する． 二項分布に関しては，前処理を除けば通信を介さずにシェアを生成することができる． また，離散ラプラス分布に関しては，ラウンド数が差分プライバシのパラメータに依存しない定数であるようなプロトコルによってシェアを生成することができる． これにより，差分プライバシのパラメータに依存して通信量やラウンド数が増加するという既存手法の問題点を解決できる．

近年、個人でアイデンティティーやパーソナルデータを管理するための研究が進んでいる。特に、自分が誰から信頼され誰を信頼しているかという「信頼関係グラフ情報」は、機微なアイデンティティー情報の１つである。本稿では、DH鍵交換に基づくPSIプロトコルを利用することで、自分や他人の信頼関係グラフ情報を開示することなく、自分と対象との間に信頼関係が存在するかを示すことができる方式を提案する。

高知県では，広域災害に備え電子カルテなどの医療データを遠隔地にバックアップし，災害時の医療行為に活用しようという取り組みが行われている．災害時はネットワークや電源などのリソースが不足することが考えられ，医療データ全てを通信するには不安が残る．また，素速い医療行為のためには，投薬歴や個人情報などのデータがあれば必ずしも医療データ全てが必要とは限らない．そこで，部分復元可能な秘密分散システムが提案された．このシステムでは，分散したデータの一部分だけを復元することができる．しかし，データを検索する際に復元にかかる計算量が大きく，時間がかかることが想定される． 　本稿では，高速化を目的として，シェアの状態で検索を可能とする方法を提案している．提案方法は，(2,n)しきい値秘密分散したシェア間の係数の差を比較し，一致判定をすることで検索を可能としている．提案方法の評価として，検索にかかる時間を測定している．その結果，検索時間を約40％短縮できたが，さらなる高速化が必要であることを示している．

Private PEZプロトコルと呼ばれる，PEZを用いたマルチパーティ計算が知られている． 既に提案されているprivate PEZプロトコルは，入力がバイナリに限定されている．これは，任意の入力は2進数で表現することができるため，入力をバイナリ列として考えてprivate PEZプロトコル実行することで，入力が任意である関数であっても計算できるからである．本研究では，入力が任意である関数を直接計算可能なprivate PEZプロトコルを提案する． Private PEZプロトコルは全ての入力が互いに秘匿されるように構成される．したがって，1つの入力を複数のバイナリ入力だと考えて計算を行う場合，それぞれのバイナリ入力を互いに秘匿する必要が無いにも関わらず，それらの入力が互いに秘匿されるようにプロトコルが構成されてしまう．入力値に関する不要な秘匿性を省くことができるため，任意の始集合をもつ関数を直接計算するプロトコルでは，バイナリ入力のプロトコルを用いて計算する場合よりも，プロトコルの効率を大幅に改善することができる．

秘密計算とはデータを暗号化したまま分析できる暗号技術であり，これを使えば複数のデータ保持者から安全にデータを集めて横断的な分析が可能となる．特に近年では，計算機の進歩に加え秘密計算の理論・実装両面の飛躍的な進歩により，具体的な分析アプリケーションの発掘・創出が期待されるフェーズに移ってきている．しかし，秘密計算では暗号化していない場合の分析とは異なる専用のアルゴリズムを要することが多く，今後の実社会への浸透に向けては，有望なアプリケーションの秘密計算用アルゴリズムを設計することが急務である．本論文では横断的な分析の例として動線分析をあげ，そのための秘密計算用アルゴリズムを提案する．動線分析とは皆がどのような順序で店舗や交通機関などの施設を利用したかを把握するものであり，例えばマーケティングでは買い物客の嗜好の変化を捉え店舗レイアウト設計や品揃えに反映することができる．提案方式では，複数の店舗・施設が自身への来客履歴は暗号化して隠しつつ，どの店舗・施設からどこへの移動が多いかを明らかにできる．さらに提案方式を秘密計算ライブラリMEVAL3を利用して実装し，10万ユーザ，100万件の来店履歴の処理時間が12秒以内と，十分に実用的な時間で処理できることを示す．また，提案方式ではgroup-by（集約関数）を利用するため，これも併せて提案する． Group-byは性別などのグループごとに統計値を算出する基本的な演算であり，単独でも重要な結果である．

Oblivious RAM (ORAM)はクライアントが外部のサーバにデータを預け，また安全なアクセスを可能とするアルゴリズムであり，暗号化データベースやマルチパーティ計算上のデータ構造など様々な応用例がある．しかし多くの既存方式はクライアントに重い通信と計算を要求するため，現実的なモデルとは言い切れない．一方で，クライアントの負荷を軽減する既存手法は，サーバ側の処理が大きく増加してしまう問題がある．本稿ではこの問題に対し，クライアント・サーバともに低負荷で効率的なORAMを提案する．本稿ではまず，ORAMの重要な要素技術・秘匿ハッシュを理論上最適な効率で実行する新規方式を提案する．次にそれを効果的に用いて，サーバのみで効率よく実行できるORAMを提案する．これにより，クライアントの負荷が理論的に最小かつサーバ側の処理量が劣対数となる効率的な暗号化データベースの構築や，マルチパーティ計算における劣対数効率の秘匿検索などが実現できる．

マルチパーティ計算（MPC）とは，各参加者の入力を秘匿しながら，任意の関数を安全に計算可能な技術である．MPCにおける代表的な方式として，秘密分散ベースMPCが挙げられる．秘密分散ベースMPCでは，入力や計算過程の値を各参加者に分散し，分散データ（シェア）に対してローカルな演算と参加者間の通信を用いることで計算が実行される．特に複雑な関数を計算する際には，シェアに対する効率の良い型変換が求められる．型変換の中でも，$\mathbb{Z}_{2}$上のシェアを要素とする$k$次元ベクトルから$\mathbb{Z}_{2^k}$上のシェアを計算する処理は，ビット結合という．ビット結合に関する先行研究として，通信回数が定数で抑えられる方式が提案されている．しかし，既存の方式には，通信量に関して$O(k^2)$になるという問題があった．本稿では，入力を伴って実際に計算を行うOnlineフェーズにて効率の良いビット結合を提案する．提案方式は，ACM-CCS’16にてArakiらが提案した3者秘密計算をベースとし，通信回数について$O(1)$，通信量について$O(k)$を達成する初の方式である．

The BioSemantic System is presented to bridge complex biological/biomedical research prolems and computational solutions via semantic computing. Due to the diversities of problems in various research fields, the semantic description capability Language (SCDL) plays an important role as a common language and generic form for formalization. It is hoped that with the addition of new SCDL definitions, the BioSentic System will be able to address more and more complex as well as relevant biomedical research problems in which describing a functionality of logical data and secure computation is becoming a key feature of future information systems. Meanwhile, distributed network applications and cloud architectures are at danger because lots of personal consumer data is aggregated. Encryption is used to protect data against eavesdroppers who would otherwise intercept private communication. In concert with these demands, we present a logical data description. We combine the novel effective Homomorphic Encryption Protocol, and bridging the BioSemantic System and show synergy effect.

秘密計算の構成方法の一つであるgarbled circuitに関して暗号文数を減らす研究がおこなわれている. Lindellらはクリーネの3値論理を用いて4つの手法を提案し,それらの暗号文数について調べた. しかし,ボチュバルの3値論理については考えられていなかったことから, ISEC2019-56にてLindellらの4つの手法をそのまま用い, ボチュバルの3値論理においては3VLから2値の自然なエンコードで暗号文数が一番少なくなることを示した. 本研究では,ボチュバルの3値論理においてLindellらが提案した手法以外のエンコードで探索をおこない,ISEC2019-56における一番少ない暗号文数と同じ値となる別のエンコードを見つけた.

FPGA（Field Programmable Gate Array）を搭載した仮想サーバを用いて，機械学習のようなアプリケーションをアクセラレートすることが普及しつつある．しかし，クラウド上の仮想サーバにおいて，機密性の高い情報の処理を行う際のセキュリティについては，かねてより懸念がされてきた．そこで，データの復号・データ処理・結果の暗号化という一連の処理を FPGA 内部に閉じ込めることで，たとえサーバが乗っ取られたとしても情報が露出しない，秘匿計算と FPGA による高速化を両立するシステムが研究されている．本稿は，そのような方法の1つである，SCIS2019 に鈴木らが提案した方法の実装評価を行う．より具体的には，教師なしのクラスタ分析である k-means を，AES-GCM で保護しながら実行するシステムを実装し，その性能評価を行う．

本研究では，秘密計算で畳み込みニューラルネットワークの学習を実現するアルゴリズムを設計し，実装評価を行う．秘密計算で実現したニューラルネットワークの構成要素は全結合層，畳み込み層，最大プーリング層， ReLU 関数，ソフトマックス関数，バッチ正則化の各層と確率的最急降下法，Adam の各最適化アルゴリズムである．これらを組み合わせて複数のネットワークに対して秘密計算でMNIST データセットの学習を行ったところ，畳み込み層と最大プーリングを含むネットワーク構成でAdam により 10 エポック約 3 時間の学習で 99.34% の予測精度が得られた．また，別のネットワークでは 99% の予測精度を 3 エポック約 46 分の学習で達成し，これは先行研究よりも 13 倍程度高速である．

データ利活用時のプライバシーに関する問題が社会で注目されており，その問題の解決に資する技術として学術界および産業界において秘匿計算技術に期待が集まっている． 実行可能な計算の種類や処理速度の面でも，秘匿計算の実用化が近いことがうかがえる． 一方で，秘匿計算が社会で広く認知・普及しているかと言うと，まだ十分とは言えない． その一因として，一般の開発者が簡単に使用できる秘匿計算プラットフォームが存在していないことが挙げられる． 我々はその課題を解決すべく Query Ahead を開発中である． Query Ahead は DB 操作を主なターゲットとした秘匿計算プラットフォームで，秘匿計算の専門知識を持たない開発者が通常のプログラミング感覚で秘匿クエリーを発行可能にするシステムである． 本研究では，Query Ahead を構成する上で重要な要素であるクエリー記述に関する設計検討と実装を行う． クエリーは，一般に広く利用されている Python 上で容易に記述でき，実行時に解釈されて秘匿計算が実行される． 当該クエリー記法を Query Ahead 上に実装し，その有効性を確認する．

データを暗号化したまま計算する「秘密計算」は，重要なデータを安全に守ったまま分析等に利用するための技術として注目されており，特に近年では秘密計算で機械学習(AI)を行う「秘密計算AI」の研究が活発に行われている．しかしそれらは研究の範囲に留まっており，実際のデータ分析に利用できる秘密計算AIは未だ存在していない．特にディープラーニングは秘密計算AIの中でも最も盛んに研究されているが，これまで「処理時間」のみ注目され，実装した方式の実用性等は議論はされず，ディープラーニングの数ある手法の中で最も基本的かつ最小限の方式を達成したに過ぎなかった．しかしながら，実際のディープラーニングでは様々な方式で試行錯誤を行うため，現状の秘密計算ディープラーニグでは到底実用には足らない．そこで本稿では，試行錯誤できるだけの方式が，秘密計算では実現されていないことが課題であると考え，(1)オプティマイザの拡充(2)ドロップアウト(3)データの前処理を秘密計算で初めて実現した．これによって，秘密計算ディープラーニングの可能性が大きく広げた

　近年，ビッグデータに基づき高精度の予測が可能な技術である機械学習が様々な分野で利用されている．機械学習による予測は，訓練データから学習したモデルを用いて行われる．しかし，学習済みのモデルから訓練データの情報が洩れる危険性などが指摘されており，実社会への応用にはセキュリティの確保が一つの課題となっている．この問題を解決する方法の一つとして，データを秘匿した状態での計算を可能にする秘密計算技術の応用が研究されている． 　本研究では，精度と解釈性を両立する異種混合予測モデルのうち，Hierarchical Mixture of Experts (HME)モデルにおける予測を秘密分散ベースの秘密計算により実装し，固定小数点数・浮動小数点数両方の場合についてその実行速度・精度の評価を行った．その結果，データの次元3，木の高さ6のHMEモデルで10個の入力データに対し，固定小数点数で1秒程度、浮動小数点数で12秒程度の結果となった．

The top-k algorithm is to search for k smallest(largest) numbers in the given dataset. In some situations, the dataset is distributed to two or more parties to keep the privacy of the data. In previous research, privacy preserving algorithms are considered in low-latency networks, and the computation cost of the algorithms are more important than the communication cost in data transmission between different parties. In high-latency networks, both time complexity and round complexity should be taken into consideration. In this paper, we focus on privacy preserving algorithm in high-latency network such as wireless network. We proposed a kind of approximate method for privacy preserving top-k algorithm based on secure multi-party computation. This method has lower communication rounds than the previous methods and has better performance in high-latency networks.

匿名化はプライバシーを守りつつパーソナルデータを第三者に提供し活用するための技術である．昨今ではデータの活用に機械学習が使われることが多いため，匿名化前後で機械学習の精度が維持されることが匿名データの有用性の指標となりうる． しかし機械学習の精度はデータやモデルに依存する上，さらに匿名化の影響を評価することは難しく，匿名化と機械学習の精度の関係は一般に自明でない．一方で，匿名化による影響の大きさや匿名機械学習に適したデータの特徴がわかれば，匿名化手法の選択や機械学習での利用方法を判断する材料にできる． そこで本稿では，レコード数やクラス数などのデータの特徴に着目し，匿名化と機械学習の精度との関係を調査する．まず異なるデータセットを匿名化して機械学習を行い，精度の傾向を比較する．その後，データ操作によって特徴を変えながら機械学習を行うことで，それらの特徴がどの程度精度に影響しているかを実験により明らかにする．

自動車産業は「100年に1度の大変革」にあると言われており，MaaSやCASEをキーワードに，我々を取り巻く移動のあり方が大きく変わろうとしている．特にコネクテッドカーやMaaSプラットフォームにより，我々の移動履歴はより詳細に取得・蓄積され，更に今までとは異なる新たなデータホルダーが出現すると考えられる．本稿ではコネクテッドカーにより取得される移動履歴のデータの性質について，スマートフォンから取得される移動履歴と比較・考察する．更に，コネクテッドカーから取得・蓄積される移動履歴データベースに対し，そのデータの性質に適した匿名化方式を提案し，その安全性について簡単なユースケースを想定して考察した．

匿名加工を行うにあたっては，匿名加工実施者が適切な匿名加工手法を使用したか否かを評価する必要がある．本発表では，この評価にあたって，「なぜその匿名加工手法を選択したのか？」という匿名加工実施者の「意図」に着目した匿名加工手法評価システムを議論する．さらに，本システムの応用先や今後の課題などについて論ずる．

近年，Machine Learning as a Service (MLaaS)やML APIと呼ばれる，サーバ上のデータを用いてデータ分析を行うサービスが注目されている．しかし，センシティブなデータを扱う場合において，平文の状態で処理は避けたい．そこでShokriらはPrivacy-Preserving Deep Learning (PPDL)を提案した．その後，計算の効率化を目的として，Trusted Execution Environment (TEE)の1つであるIntel Software Guard Extensions (SGX) を活用したPPDL手法が研究，提案されている．しかし既知の問題点として，SGXにはメモリの大きさに制約があり，特に機械学習など大きなデータを扱う場合においてはオーバヘッドが問題になる．本研究では，そのような特に大きなデータを扱う場合において有効な，SGXを複数台用いた分散型PPDLを提案する．

最近では インターネット上で データの売買が可能となり , そのデータの市場において , デ ータを一度 , 売買するとデータはコピーが可能であ るため , データ利用者からのデータ返却は 一般的 に は できない 例え データ 提供者 からの データ返 却 許可 が 得 られ ても , データ利用者はデータ提供 者からの信用 を 落 として しまう . また , データ利用者 が 利用するデータ項目においてデータ歯抜け , 誤りなどのデータ品質の低いものを取得すると , 十分に , そのデータを活用できないという問題が生 じる これ ら を解決するため 必要とするデータ項目を品質の評価ルールとして要求し , まずは , 要 求したデータ項目における品質 情報を取得 する この品質情報より 利用目的を達成できるかどうかを 判断し , 可能であると判断 した 場合に データを取得する , U MA をベースとする 拡張 方 式を提案する . これにより , データ利用者は 利用目的 を満たす データを安心して購入 可能とな る

表データのセル秘匿問題は、行計・列計の線形式を内包する表データに対し、与えられた一次秘匿セルの集合の値の保護を拘束条件とし、情報損失を最小化する二次秘匿セルの集合を決定する最適化問題である。この問題に対する既存のアルゴリズムは、一次秘匿セルが取りうる可能値の区間が、与えられたしきい値より大きな幅をもつことを保証し、機密セルの安全性を担保する。しかし、決定論的なセル秘匿アルゴリズムを用いる場合、そのアルゴリズムを取得した攻撃者により、秘匿セルを推測値で補完した表データに同じアルゴリズムを適用し、その秘匿箇所を攻撃対象である表データの秘匿パターンと比較することで、秘匿セルの候補値を絞り込むマッチング攻撃が存在する。本論文では、マッチング攻撃に対する防御策として、単純な非決定論的セル秘匿アルゴリズムを検討し、その有効性を実証的に評価した。

Named Data Networking (NDN), where addressable content name is used, rather than an IP address, is considered as a candidate of next-generation Internet architectures. NDN routers use In-Network caches to replicate and store passing packets to deliver the content very quickly to consumer. Although NDN provides efficient data retrieval, it still needs to be improved. For example, honest-but-curious parties in the network such as ISP accessing to NDN routers can analyze what kind of data content the consumer is requesting. This indicates that the privacy protection of name plays an essential role in NDN. In this paper, we discuss about name privacy in NDN and apply Public Key Encryption with Keyword Search (PEKS) to protect the name privacy.

2020年に行われるアメリカの国勢調査（2020 Decennial Census）では，差分プライバシーという安全性指標に基づいた秘匿処理方式（Disclosure Avoidance System）が用いられる．これは過去に例がない差分プライバシーの大規模な社会実装であり，公的統計やプライバシー保護の分野に多くの示唆を与えると考えられる．そのリハーサルとして実施されたEnd to Endテスト（2018年）では，新しい方式のプライバシー保護が用いられており，その具体的なアルゴリズムが公開されている．この方式は2020年の国勢調査でも用いられると考えられる．本稿では，このアメリカ国勢調査におけるプライバシー保護方式のメッシュ人口統計への適用方法について議論するとともに，2014年に寺田らが提案した方式との類似性や相違点について考察する．

サービス提供者がユーザのパーソナルデータを収集する際には, プライバシーポリシーを提示し, 事前にユーザの同意を得るという仕組みは世の中に普及していると言われて久しい. 一方で, ユーザはプライバシーポリシーを読んでいない, またはプライバシーポリシーはユーザにとって難解であるという指摘もされている. 近年では, ユーザにとってプライバシーポリシーのユーザビリティも重要であるという指摘もされている. さらに, サービスを提供する企業側がユーザの同意を得る際に説明不足である場合, 形式上得た同意が意味をなさなくなる危険性も起こっている. そこで, 現在国内外の企業が提供しているウェブサイトのプライバシーポリシーの実態を把握するために, プライバシーポリシーの固有表現の曖昧性と情報量により分類した結果を報告する. 分類により得られた結果より, 今後プライバシーポリシーが求められる要件について検討する．

インターネットでの通信の際，接続元を匿名化するTorと呼ばれるネットワークシステムがある．Torブラウザは，Torを使って匿名通信を可能とするWebブラウザである．また，Torブラウザでは，端末を識別するブラウザフィンガープリンティングの対策も様々行っている．そこで，本論文では，TorブラウザからWebサーバへのアクセスについてパッシブフィンガープリンティングを用いることで，Torブラウザを識別できないかを試みた．実験の結果，限定的な環境下であるが，Torブラウザの識別を高精度でできることを確認できた．

昨今、情報銀行やSociety5.0など、個人の属性情報や行動データを活用して嗜好・ニーズに寄り添ったデータ利活用の動きが活性化してきている。今後、企業は自社保有データのみでの事業は難しく、他組織との融通が必須となるが、データ価値の統一的な算定手法は未確立であり、決算書や賠償事例などからの概算が主流である。 本論文では、データ価値算定について近年の動向を調査・分類し、傾向をまとめた。結果、知財やリスクアセスメントの知見が活かせることや、活用用途が決まっていればアプローチが存在することなどがわかった。

近年インターネットに繋がるモノ、通称IoT (Internet of Things)機器の数が増加しており、今後も増え続けると言われている。一般にIoT機器は脆弱であるため、ベンダーはファームウェアを更新し、配布を行っている。ファームウェアの配布時には、膨大な数のIoT機器からの接続が想定されるため、ブロックチェーンとP2Pファイル共有プロトコルを組み合わせた手法や、ブロックチェーンベースの分散型ネットワークにベンダー以外のノードが参加するインセンティブを考慮した手法が存在する。しかし、これらの手法では、配布を手伝うノードが、ファームウェアの更新毎に発生するトランザクションのgasコストを支払う必要がある。本稿では、gasコストを抑えるために、スマートコントラクトとアップデート記録に基づいたアクセス制御を組み合わせた、第三者が配布に協力するインセンティブを与えるファームウェア配布手法を提案し、Raspberry Pi とラップトップを用いて実装・評価を行った。評価の結果、更新毎のgasコストを既存研究よりも安く抑える事に成功した。

ビットコインのペイメントチャネルで使用される，タイムロックを使用してトランザクションを置換する手法は，タイムロックの影響によりトランザクションを作成してからそれが有効になるまで時間差があるという特徴を持つ．チャネルを非協力的に終了する場合，過去のトランザクションを置換した最新のトランザクションがブロックに追加されることが期待される．しかし，トランザクション作成後にビットコインネットワークが混雑し手数料相場が上昇すると，相対的に低い手数料を持つ最新のトランザクションは優先的にブロックに追加されず，タイムロックを使用したトランザクションの置換が失敗する可能性がある．この問題は最新のトランザクションに手数料を追加することで解決することができるが，非協力的な終了により，追加する手数料をチャネルに参加しているユーザー間で分担することが難しい．本稿では，一方のユーザーが単独で，2者間で公平に負担される手数料を追加することができるプロトコルを提案する．

IoT機器の普及に伴い，あらゆる物の利便性が高くなることが期待されるが，同時にそれらのセキュリティについても考える必要がある．過去には不正なIoT機器によるアクセスで意図しない操作を受けた事例がある．IoT機器の認証手法に関して，IoT機器のリソースが少ないという性質や，今後それらの数が数十億と増えることを考慮すると，既存のセキュリティ手法を当てはめることは難しく，機器の認証に膨大な時間やコストがかかると考えられる．本論文ではスマートコントラクトを用いたIoT機器の効率的な認証の手法を提案する．コントラクト上で認証されたIoT機器のリストを所有し，RasberryPiを介してコントラクトを操作することにより，IoT機器のリソースの多くを使うことなく，かつ膨大な数の認証を効率的に行う．

我々はCSS2019において，一定の匿名性を保った状態で信頼性付与，失効が可能で，さらに第三者機関による信頼性付与者の監査が可能な信頼性付与手法について考察を行い、アカウンタブルリング署名を利用した手法を提案した．この手法は特定の暗号通貨に限らず汎用的に利用が可能である．また信頼性付与に一定の匿名性をもたせることで信頼性付与側のプライバシーに配慮しており，また監査機関による追跡を可能にすることで信頼性付与側の不正にも対処をしている．ただし，この手法では信頼性の付与と失効を行った者が同一であることが確認できず，また署名メッセージに付与先の情報が含まれていないため送信機関によって付与先を変えられてしまう危険性があった．そのため本論文では前述の点を改良し，実装・評価を行った結果を報告する．

近年、ブロックチェーン、および仮想通貨においてプライバシーと透明性の両立のためにゼロ知識証明技術、特にzk-SNARKの利用が検討されている. 2018年Gennaro et al.\ はLWE暗号方式をベースとするzk-SNARKを提案した. この方式はブール回路を対象としているため、ブロックチェーンで利用されている算術回路(Zcash, libsnarkなどの回路)に対するゼロ知識証明に対応していない. 本稿では、算術回路に対するzk-SNARKを3方式提案し、それぞれの特徴と実機による性能評価結果を述べる.

Casper the Friendly Finality Gadget (FFG) is a finality layer to construct a blockchain consensus protocol. Casper FFG overlays a proposal mechanism that produces blockchains, and clients commit blocks based on the votes by consensus nodes called validators. We present a variant of Casper the FFG called Casper the Subjective Finality Gadget (SFG), which allows clients to commit blocks subjectively, i.e., with their local assumptions on faults and network, extending Flexible BFT (Malkhi et al., 2019). We present two client commit rules of Casper SFG and prove their safety. The first rule works in a network that can suffer from temporal network failure, such as large message delay, and clients can parameterize the fault threshold for safety. The second rule works in a more optimistic setting where messages are guaranteed to be delivered within a known bound and allows clients to commit in lower latency than the first commit rule. Our work is in-progress since the liveness property is not yet proved. Instead, we present the problems around liveness, including concrete attack strategies we found in designing our protocol, which can also be applied for Casper FFG. We introduce our potential solutions to those problems towards our future work to complete the protocol.

Blockchains show promise to be applied in a wide variety of contexts, and as such can be considered a rich trove of data. Their potential application areas range from finance over data storage to even videogames. However, the size of distributed ledgers (e.g. the Bitcoin blockchain is 250GB with 475 million transactions) is prohibitive for interactive, exploratory data analysis. To combat this problem and to allow for interactive visualizations I devised bottom-up and top-down hybrid approach for blockchain data processing. Through graph pruning and aggregation as well as progressive loading our system permits gaining insight into the Bitcoin transaction graph through exploratory data analysis. Leveraging graph motif search and pruning of elements that provide no information to the visualization, my system is able to reduce the graph size by approximately 80%. Through progressive loading the delay of data processing is kept short and, therefore, the system is perceived as responsive by the users. Apart from benchmarks, domain experts have validated the system's efficacy and praised its usefulness for further research on distributed ledger technologies.

By design, smart contracts data and computations are public to all participants. In this paper we study how to create smart contracts with parameters that need to stay secret. We propose a way to keep some of the parameters off-chain, while guaranteeing correctness of the computation, using a combination of a commitment scheme and a zero-knowledge proof system. We describe our implementation of our construction, based on ethereum smart contracts, and zk-SNARKS. We provide a small example and do a cost analysis of our approach.

Sharding is an approach to designing a highly scalable blockchain. A sharded blockchain achieves parallelism by dividing consensus nodes (validators) into groups called shards and making them process different transactions in each shard. In this paper, we economically analyze users' behavior on sharded blockchains and identify a phenomenon that users' accounts and smart contracts eventually get concentrated in a few shards, making shard loads unfair. This phenomenon leads to bad user experiences, such as delays in transaction inclusions and increased transaction fees. To solve the above problem, we propose a load balancing framework in sharded blockchains in which accounts and contracts are frequently reassigned into shards to reduce the difference of loads between shards. We formulate the reassignment as an optimization problem and present the algorithm to solve it. Further, we apply the framework to an existing sharding design (Ethereum 2.0) and modify the protocol to do load balancing. Finally, we simulate the protocol and observe smaller transaction delays and fees.

Bitcoin has gained popularity as the first successful electronic currency. However, the fundamental technology realizing Bitcoin, the blockchain and consensus protocol, currently faces a severe limitation on the number of transactions which can be processed per unit time. Payment channel networks (PCNs) are the most prominent solution to this scalability issue, i.e., a large amount of transactions between parties are carried without interacting with the whole Bitcoin network. Thus, by relying on PCN, the number of transactions on the blockchain can potentially be drastically reduced. Unfortunately, at the same time, several security and privacy issues from the underlying currency emerge and must be addressed properly in such design. In this work, we introduce a new construction for a privacy-preserving multi-hop payment for Bitcoin. We analyze the construction in the universal composable (UC) setting. Our construction is more efficient with respect to computation time than previous works.

IoTの発展に伴いIoTデバイスを狙った攻撃が年々増え続けている。そのため、近年ではIoTセキュリティに関する研究が活発に行われている。しかしこれらの研究は、パケットやログを利用したものが多いため検知できる攻撃が限定されてしまう。そこで本研究ではIoTマルウェアを多角的に検知するため、パケットやログ以外の新しい検知特徴の提案を行う。検知方法としてはメモリ帯域幅に負荷をかけてCPU使用率を監視しその変化でマルウェアを検知する。CPU使用率の計測にはIoTデバイスを想定して、パフォーマンスカウンタが無くても計測できるTopコマンドを利用する。

IoTデバイスの数が年々増加するとともに，IoT デバイスに対する，あるいはそれらを用いたサイバー攻撃への対策が課題となっている．既存技術においては，ペイロードを含めた全パケットを用いた分析など，比較的高負荷な処理が行われている．しかし，IoT デバイスのようにホームネットワークで利用される機器において，高負荷な処理を前提としたシステム構成は現実的ではない．そこで本稿では，ホームネットワーク内のパケットを集約するホームゲートウェイの限られた 処理能力の中で，マルウェア感染前後のIoT デバイスの挙動変化に着目し，マルウェア感染を検知する手法を提案する．具体的には，ホームゲートウェイを通過するパケットを統計データ化し，解析サーバへと送ることで，ホームゲートウェイの処理負荷を低減する．解析サーバにおいては，統計データを用いた機械学習により，マルウェア感染前のIoT デバイスの挙動を学習し，マルウェア感染することによる挙動変化を異常として検知する．本稿では，Isolation Forest を用いた異常検知の性能を評価し，統計データという限られた情報のみで異常検知が行えることを示す．

IoT機器が急速に普及している一方で，IoT機器を狙ったマルウェアの感染が後を絶たず，感染機器におけるマルウェアの駆除が重要な課題となっている．マルウェア駆除に対する有効な取り組みの1つとして，ISP事業者と連携して感染機器の所有者を特定し通知を実施することで，マルウェアの駆除を促す方法が挙げられる．一方で所有者への通知は通知プロセスにおける様々な作業コストが予想されるが，こうしたコストに対して通知の効果がどの程度期待できるのかについては，これまで定量的な評価がなされてこなかった．本稿では，通知のプロセスと通知に対する所有者のビヘイビアのモデルを提案し実観測データでシミュレーション実験を行うことで，作業コストに対する通知効果の定量的な評価を行う．評価実験の結果，実験に用いた実観測データにおいて作業コストの軽減を考慮した通知モデルが従来のモデルと同等の効果を維持しながら，作業コストを大幅に削減することができた．

Society 5.0 やIndustrie 4.0 など、様々な機器をネットワークに接続し、収集された情報の分析結果に基づいて全体最適化を行うことで、社会を効率化する取り組みが進められている。一方で、様々な機器がネットワークに接続されるためサイバー攻撃の対象となる機器の数が増加し、セキュリティリスクが高まることが懸念される。特にIoT 機器においては計算資源に制約があること、セキュリティ対策による遅延が許されないことが多いことが理由となり、セキュリティ対策がなされていないことが多い。さらに、工場やスマートシティで稼働するIoT 機器は長期稼働することが多く、動作中も安全性を担保する必要がある。この問題を解決し、上記取り組みを安全に実現するため、本論文ではホワイトリストを用いたハッシュ値ベースの改ざん検知技術の普及を目指し、(1) 開発・導入フェーズのコスト最小化を実現するホワイトリスト生成機能、(2) 復旧フェーズのコスト最小化を実現するIoT 機器レベルでの自動復旧機能、(3) 実行パスの検査を備える改ざん検知機能を有する信頼の証明技術を提案する。

近年，IoT機器の急速な普及と同時に，そのような機器を狙うマルウェア（以降，IoTマルウェア）が急増してきている． IoTマルウェアには，ソースコードが公開されているものがあり，それゆえ少しずつ機能を変化させた様々な亜種が存在する． それら亜種間での機能の差分を自動的に抽出することが可能となれば，攻撃手法や伝播手法の変遷の確認が容易になる事が期待出来る． 本研究は，静的解析を用いて，IoTマルウェアの亜種間の機能差分を自動的に抽出することが最終目標である． その目標を達成するために，IoTマルウェアを逆アセンブルした結果から実行順序を考慮した上で関数呼び出し命令を抽出し，有向グラフ化した． それらを比較することで，検体間における関数呼び出しシーケンスの追加や変更，削除を可視化出来ることを確認した．

近年，IoT機器の普及によりネットワークに接続される組込みシステムが増加し，同時に組込みシステムにおけるネットワークセキュリティの重要性が高まっている．一方でIoT機器の用途は多様であり，通信のリアルタイム性や消費電力，処理性能などの面で様々な制限が存在する．このため機密性や完全性といったセキュリティ要件を満たした上で高速かつ軽量な通信が求められる．また，QUICという従来のTCP（+TLS）通信の問題点を解決しセキュアで効率的な通信を行うトランスポートプロトコルの標準化が進められている． そこで本研究では，QUICのオープンソース実装であるpicoquicを組込みシステム環境へ移植し，QUICが動作するアプリケーションプログラムを開発する．そして，プロトコルスタックの観点でTCP+TLS通信と性能を比較する．

重要インフラ向けCPSに対するサイバー攻撃対策として、サイバーレジリンスの考え方が導入されつつある。サイバーレジリエンスは攻撃に対して、入口の防止対策に加えて同対策が突破され攻撃が限定的に成功した場合を想定したうえで、被害範囲を局所化し早期に回復するコンセプトである。オペレータを伴うIT端末と異なり、CPSシステムにおけるIoTセンサノードは物理的に分散配置されることが多く、ネットワークを経由した遠隔操作による対応処置が、迅速な回復の鍵となる。しかしながら、深刻なサイバー攻撃の代表である任意コード実行の脆弱性による侵入が行われた場合、センサノード上で本来の計測・通信FWに代わって攻撃者が送り込んだマルウェアが実行される。そこでは測定の妨害やデータの汚染による被害に加えて、回復に必要な遠隔操作の妨害が行われる脅威が想定されなければならない。本稿では、このような環境下においても管理サーバとセンサノードとが連係動作して通常運用へと復帰可能な手順を提案、あわせて小規模なセンサーノード向けMCUに適したセキュリティ機能セットの検討結果を報告する。

IoTが急速に普及し，家庭用製品だけでなく重要施設の遠隔監視制御を目的とするシステムへのIoT機器の導入が進んでいる．このような機器の管理WebUIに施設名等が明記された上で，誰もが閲覧可能な状態のまま運用されている事例が報告されている．しかし，同様の機器がどの程度存在するかは明らかになっておらず，その調査が急務となっている．本研究ではWebUIのテキスト上の特徴を基にクラスタリングを行い，同種機器が凝集したクラスタ内でのHTMLソースの差分情報を抽出することで，施設名等が明記された重要IoT機器の管理WebUIを半自動的に発見する手法を提案する．また，発見された重要IoT機器の管理WebUIから特徴的な文字列を抽出し，これに基づきIPv4空間のスキャン結果を検索可能なサービスを利用することで，広域ネットワークを対象として重要IoT機器が多く存在すると予想されるIPアドレス帯の検出を行う．当該IPアドレス帯の検出と，当該IPアドレス帯への重点的な調査を繰り返すことにより，再帰的に重要IoT機器を発見する手法を検討し，評価実験を行う．

IoT機器を長期間・安全に運用するためには，機器のセットアップからネットワークへの接続，ファームウェア更新まで，ライフサイクル全体を遠隔から管理するための技術が必要となる．このようなIoT機器のリモート管理技術は従来，各社独自の仕様で実装されることが多かった．これに対して，インターネット技術の標準を策定するIETFでは，ファームウェア更新（SUIT），信頼できる実行環境へのプロビジョニング（TEEP），機器の健全性検証（RATS），通信ポリシーの適用（MUD）といった技術の標準化が進められている．本稿では，これらのリモート管理技術の標準化動向について述べる．また，MUDを利用したアプリケーションとして，ローカル環境でブラウザからIoT機器に安全に接続する技術に応用することで，そのセットアップを自動化する方式も提案する．

フィンガープリンティングとは、通信で発生するパケット情報などを用いて送信元の機器やソフトウェアなどを識別する技術である。従来行われているIoT(Internet of Things)機器のフィンガープリンティングは、機器登録後のTCP/IP通信パケットを検証する事で識別をする為、ネットワーク内通信を行う前に識別をすることができない。そこで本研究では、IoT機器のフィンガープリンティングを機器登録時に実施する事で、早期段階での機器識別を目的とした検知手法と、識別後の対応を含めた検知システムの実現を提案する。

インターネット上での企業間取引が主流となる将来，直接見えない取引相手を如何にして信頼するかが重要となる．従来，企業の信頼度を測る方法として，企業間の取引関係の繋がりを抽出し，その繋がりの数を利用する方式がある．しかしながら，従来方式では本当に相手の能力を信頼して繋がっているのかを把握できないという問題がある．本稿で提案する方式は，評価対象企業と接続する各企業との繋がりを評価し，繋がりの数では表せない企業の能力への信頼を把握することを可能にする．

本稿では、物体指紋技術を用い、ブロックチェーン上に記載されている商品データが、まさに目の前の商品に関するデータであることを確認できるサプライチェーン管理手法を提案する。従来、ブロックチェーン技術は電子データを扱うため、台帳上の電子データが生成された時点から変更されていないことは確認できても、その電子データが特定の物理的な物体に関するものであるかは検証することができない。そこで、電子データと物理的な物体を結びつけるための物体指紋技術を活用する手法を提案する。

IT システム・サービスに関する業務の一部を系列企業やビジネスパートナーなどに外部委託し, その業務委託が, さらに委託先から再委託先, 再々委託先へと連鎖する委託形態（「IT サプライチェーン」と呼ばれる）は一般的なものとなりつつある. このIT サプライチェーン上においてインシデントが発生すれば, その影響は1 つの企業だけではなく, そのサプライチェーン上の他の企業にも波及することが容易に想像できる. 本研究では, ITサプライチェーン上でインシデントが発生したとき, そのことがサプライチェーン上の企業の株価のリターンに与える影響について検証を試みる. 具体的には, イベントスタディの手法を用いて, 公開情報から収集したIT サプライチェーン上で発生した国内の主なインシデント事例をもとに, 2012～2017 年におけるインシデントの公表の効果に関する分析を行った. その結果, インシデントの発生は委託先企業よりも委託元企業の企業価値を低下させてしまうことや, 原因が不正アクセスの場合は継続的に企業価値が低下し続けることなどを明らかにした.

ITシステムや提供する製品・サービスに関して，単一の企業だけでなく，ビジネスパートナーや委託先も含めたITサプライチェーンに対するセキュリティ対策の必要性について議論が始まっている．その中で，業務委託（受託）契約において個々の情報セキュリティ要求事項に係る責任範囲を取り決めておくべきか否か，またそれを契約書などに明記しておくべきか否かなどについて議論が繰り広げられている．本研究では，2018年11 月から2019年2月にかけて独立行政法人情報処理推進機構（IPA）が実施した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」（郵送アンケート調査形式）によって収集された結果を用いて，情報セキュリティ要求事項に関する責任範囲の取り決めに対する考え方に差異が生じるかなどについて2群比較および多重比較による分析を行った．その結果，委託元企業と委託先企業グループ間で情報セキュリティ要求事項の責任範囲の取り決めに対する考え方に差異があること，また，両者を比較すると，前者よりも後者の方が情報セキュリティ要求事項の責任範囲の取り決めに対する考え方の水準が高いことを明らかにした．

This paper assesses the impacts of security composability theory on risk management and practical design and tries to identify the greatest threat. Our proposal is to contrast Trojan insertion risks at the two ends of the spectrum in early design phase: first at the highest abstraction level, the RTL description, and second at the layout level, in GDSII. A key question for the future is how to develop security architectures that are Trojan tolerant, meaning that other layers of protective controls exist to protect the overall system from malfunctioning at a level commensurate with the risk tolerance of the system.

本発表では、サプライチェーン（ＳC）における信頼の構築を目指して、ＳＩＰ第２期「ＩｏT社会に対応したサイバー・フィジカル・セキュリティ」で開発中のサイバーフィジカルセキュリティ対策基盤の基本検討結果を報告する。はじめに、SCの事故事例を分析する。次に分析結果に基づいて、ＳCの信頼構築を実現する基本的考え方として、組織間の「信頼の創出」と、ＳC全体の「信頼チェーンの構築」の2つを提示する。次に、この基本的考え方を実現する信頼構築技術の技術プロセスを構成する。前者は、価値創造プロセス（ＶCＰ）と呼ぶ業務プロセスのプロセスモデルと、ＶCＰの実行ログ情報とを照合するＶCＰ適合性検証処理により実現される。後者は、ＶCＰ適合性検証結果の証明書の連鎖によって実現される。次に上述のSC事故事例に対して、本提案の信頼構築技術を適用した場合の効果と課題について考察する。さらに、我々の信頼構築の基本的考え方と、従来のＩＴ分野の技術規格における「信頼」の概念との整合性について述べる。

戦略的イノベーション創造プログラム「IoT社会に対応したサイバー・フィジカル・セキュリティ」においてサプライチェーン全体における信頼性を確保する仕組みの検討を行っている。本稿では経済産業省が定めるサイバー・フィジカル・セキュリティ対策フレームワークが定義する、サプライチェーンを構成する要素のうち「ヒト」に着目し、信頼性を確保する仕組みについて論じる。特に、ヒトの適格性を判断する過程において、判断の基準となる情報及びそれを利用する際に生じるプライバシの課題に関する我々の考察を述べる。

戦略的イノベーション創造プログラム(SIP)第2期「IoT社会に対応したサイバー・フィジカル・セキュリティ」において，近年顕在化しつつあるサプライチェーンリスクに対して、各工程ごとに信頼性の創出及び証明を繰り返すことによる信頼チェーン構築により全体のセキュリティを確保するフレームワークが検討されている．本論文では，サプライチェーン上で処理する要素がデータであるときを対象とし，そのデータの取り扱いが規定された要件(プロファイル)に従っていたかどうか確認する機能の実現について検討を行う．特に，プロファイル，環境パラメータ取得，適合性検証，及びトラストストアの要件と実現方針について議論する．

サイバー・フィジカルのバリュークリエイションプロセス (VCP) が高度に連携するSociety5.0において，サプライチェーンは動的かつ複雑に構築される．このようなサプライチェーンでは，各VCPで発生した事象がサプライチェーン全体に波及するため，今まで以上の信頼性の確保が課題となる．これに対し，戦略的イノベーション創造プログラム(SIP)「IoT社会に対応したサイバー・フィジカル・セキュリティ」にて，VCPの信頼性を共通の枠組みに基づいて確保する技術の検討を開始した．本稿では，まず，様々な分野で実施されるVCPに対し，あるべき姿を共通的に定義可能なVCPモデル設計について報告する．続いて，実際に行われたプロセスがVCPモデルに適合するか否かを検証する技術について，システム構成の観点から報告する．そのシステムは，ヒト，データ，プロシージャなどの多様な要素を検証する個別システムと連携し，それらの結果を統合する．最後に，プロシージャの適合性検証の関連技術として，我々独自の成果である作業解析技術について述べる．

サイバー・フィジカルのバリュークリエイションプロセス（VCP）が高度に連携するSociety 5.0において、サプライチェーンは動的かつ複雑に構築される。このようなサプライチェーンでは、サイバーのみならずフィジカルへサイバー攻撃の脅威が波及し、想定外のビジネスインパクトが懸念される。本課題に対して戦略的イノベーション創造プログラム第2期にて、分野・業種をまたがった信頼チェーンを構築・運用する技術の検討を開始した。本発表では、異なる分野・業種間の信頼チェーンを構築するためのフレームワークとして、既存のセキュリティ評価・認証制度ISO/IEC 15408を参考に、信頼基準の作成・評価・運用方法を検討した結果について報告する。具体的には、VCPのValueの評価基準は各分野・業種の基準に任せて、提案フレームワークでは、Value創出過程の適合性をターゲットとしてその適合性を検証するための要件を共通化し、定義された共通の書式で仕様定義し、Value創出過程のデジタルエビデンスを残し、適合性検証結果を証明書として発行する。信頼チェーンの社会実装に向けて提案フレームワークを活用する。

　新たなシステム安全（セキュリティ）解析手法STAMP/STPAが，今後のIoT/CPS等の複雑化したシステムの解析に適した手法と注目され始めている．本手法は，従来手法では見出せない，構成要素の物理的な故障ではないソフトウェア異常や要素間のインターラクション異常等のシステム特性に関する異常も特定できる手法といわれている．一方IoT/CPSでは，従来独立していた物理的な機器やサブシステムがICT機能の組込みによりネットワーク接続されるため，従来の安全性観点に加えて，セキュリティ観点のハザード分析を補強することが重要になってきている．しかしながら，各々個別観点の分析手法はあるが両観点を含む統合分析手法は一般的にも未だ確立されていない．そこで，筆者らは，STAMP/STPAが両観点を含むことができる共通的なインターラクション異常を扱う手法であることに着目し，手法を拡張した統合分析方式を提案している．本論では，提案統合分析方式の有効性を，想定した自動運転列車の事例適用により評価した結果を報告する．

産業機器／システムから収集したデータを蓄積して利活用することで、生産効率を向上させた事例などが知られている。蓄積したデータを複数の外部機関に提供し、データ分析技術の研究開発を競わせることで、データ利活用の促進が期待できる。しかし、データをそのまま外部機関に提供すると、データから生産技術や事業戦略などの機微情報を推測される恐れがある。ランダムデータへの置換等により機微情報を秘匿することが可能だが、この方法では元のデータの情報が完全に失われるため、外部機関による新たなデータ分析手法の開発が困難になる。一方で、データを分割して複数の外部機関に分散することで、データ全体に対する機微情報を秘匿しつつ、外部機関によるデータ分析手法開発が可能となる。しかし、この方法では、複数の外部機関が結託するとデータ全体を得ることが可能となるため、結託を想定した場合には機微情報を保護することはできない。本稿では、産業機器／システムを通じて得た半導体ウェハの品質検査結果データを対象に、外部機関の結託も想定しつつ、機微情報を秘匿できデータ分析手法の開発に利用可能なレベルの有用性も維持したデータ加工法を提案する。

産業機器／システムから収集したデータを蓄積して利活用することで、生産効率を向上させた事例などが知られている。蓄積したデータを複数の外部機関に提供し、データ分析技術の研究開発を競わせることで、データ利活用の促進が期待できる。しかし、データをそのまま外部機関に提供すると、データから生産技術や事業戦略などの機微情報を推測される恐れがある。ランダムデータへの置換等により機微情報を秘匿することが可能だが、この方法では元のデータの情報が完全に失われるため、外部機関による新たなデータ分析手法の開発が困難になる。しかし、元のデータと似た傾向を持つ擬似データを用いることで、元データに含まれる機微情報を秘匿しながらも、分析手法の開発に利用可能なレベルの有用性を維持できる可能性がある。本稿では、産業機器／システムを通じて得た半導体ウェハの品質検査結果データを対象に、元データから抽出した統計量を用いて、分析手法の開発に用いるための擬似データを生成する方法を提案する。

サイバー攻撃下の産業制御システムを安全に稼働させるためには縮退制御が必要になる．本研究の目的は制御用と縮退用のPLCからなる第三者監視システムを提案することにある．制御用PLCはフィールド機器を制御し，縮退用PLCは制御用PLCが攻撃を受けた後，制御を引き継ぐ．著者らは先行研究において，ロボットアーム制御システムを対象に３つの検知機能を有する第三者監視システムを構築した．縮退用PLCは制御用PLCの異常を検知可能だが，制御引き継ぎのためのフィールド機器の制御状態が検知不可能である．そこで，本稿では縮退用PLCがフィールド機器の制御状態を検知するための第三者監視システムのモデル化方法を提案する．モデル化では３つの検知機能を有限時間オートマトンモデルで記述し，モデル合成から第三者監視システムモデルを作成する．モデル合成は各機能の取り得る状態の全組み合わせであり，その中から不要な状態を取り除く必要がある．本稿では不要な状態の組み合わせを除去可能なスーパーバイザ制御理論を用いて，適切な第三者監視システムのモデルを構築する．本モデルを縮退用PLCに搭載することにより，インシデント発生時における速やかな縮退制御移行を目指す．

遠隔制御可能なロボットは，サイバー攻撃による事故を防止するために，ネットワーク認証等のセキュリティ対策が実施されている．一方，そのような対策は，既知攻撃に対しては有効だが，未知攻撃を防ぐことができるとは限らない．そこで本稿では，攻撃者に侵入されたとしてもロボットの行動や状態データをセキュアに保持する組み込み機器向けのセキュアロギングシステムを提案する．提案するロギングシステムはロギング処理のロバスト性を有し，さらにログデータの信頼性を保証することを特徴としている．その特徴により，攻撃発生時もロギング処理を継続し状況証拠を残すことができる．

サイバー攻撃などの脅威から産業用制御システムを守るために，異常検知が必要である．正常な状態を正しく定義できれば，正常な状態から逸脱したものを異常として検出することが可能である．本研究では，次の２つの手順により精度の高い異常検知技術を提案する．1つ目は運転状態の分離である．制御システムのいくつかのセンサデータからk-means法によりふるまいの似たものごとに分離し，このまとまりを運転状態モデルとする．２つ目はAuto EncoderとOne-Class SVMによる異常検知である．それぞれの運転状態モデルに対して，これらの機械学習手法により異常検知モデルを作成する．異常が含まれた検証データに対して運転状態モデルにより運転状態の推定を行い，この推定結果に対して異常検知モデルにより異常の検知を行う．本手法では運転状態ごとに異常検知モデルを作成することで，全データによる異常検知モデルよりも精度の高い異常検知が可能であると考えられる．

制御システムにおいても、システム全体のセキュリティ向上・維持が求められており、その1つとして脆弱性評価対策がある。しかし、制御システムにおける脆弱性対策にはいくつかの課題がある。本稿では、制御システムでの脆弱性対策における課題を明らかにするとともに、その解決策を示す。そして、制御システムに合わせた脆弱性対策手法の提案を行う。

制御システムを対象としたサイバー攻撃が年々増加し，その対策が必要となっている．制御システムでは通信のリアルタイム性，動作の周期性，そして保守の不定期性からホワイトリストによる異常検知技術の研究が行われている．本稿では，制御システムの動作の周期性とそれに伴う通信パケットの順序制約に着目し，順序制約を取り入れたネットワークホワイトリストを提案する．順序制約が登録されたホワイトリストは正常な通信コマンドの乗っ取りに対しても高精度な異常検知を期待できる．本稿では，実機に対して順序制約を考慮したホワイトリストを実装した時の検証結果を考察する．具体的には，模擬サーバー攻撃を実施し，異常検知の有無と負荷について既存のホワイトリストと比較する．

SCIS2018で先崎らがBlack-box攻撃における決定的なAdversarial Examples生成手法の提案をしたが、他の手法との性能比較を行っておらず、またtargeted攻撃に未対応であった。本稿では、まず先崎らの手法を拡張し、攻撃成功確率を高めた手法とtargeted攻撃への適用を提案する。さらに既存の決定的/確率的Black-box攻撃手法と提案手法の実装評価をし、クエリ回数と攻撃成功確率の比較を行う。比較の結果、データセットによってはクエリ回数が一定以下の場合においては決定的攻撃手法の方が確率的攻撃手法よりも高い成功確率を得られること、またクエリ回数が一定以上の場合においては提案手法が先崎らの手法よりも高い成功確率を達成することを示す。

近年，深層学習を用いた画像認識システムが普及している．一方，入力画像に意図的に生成された微小な摂動を加えることで，画像認識システムの誤認識を誘発させるAdversarial Examples(AE)が問題となっている．特にブラックボックス攻撃は攻撃者が深層学習モデルの内部情報を知らなくても攻撃ができるため，より脅威である．代表的なブラックボックス攻撃の一種として，入力を微小に変化させたときの出力確率の変化からAEを生成するものがある．この攻撃は出力確率の量子化が対策の候補になるといわれている．本論文では画像劣化指標を用いて量子化の効果を定量的に評価するとともに，量子化に対して頑健なブラックボックス攻撃の手法を提案する．実験によって，既存の攻撃では，出力確率を量子化することで，AEが元画像から大きく劣化することやAEを作ることができなくなることを確かめた．また，既存の方法ではAEが作れなくなるほど出力確率を量子化した場合でも，提案手法を用いることで元画像からの劣化が小さいAEを生成できることを確かめた．この結果より出力確率を量子化するだけではAEを防ぐことができないことが示された．

ディープラーニング技術は自動運転車の歩行者検出，標識認識などに幅広く応用，実用化されている．一方でAE(Adversarial Example) などAIの誤検知を目的としたディープラーニングに対する攻撃方法も提案されている．これまでAI技術はクラウドやサーバーで処理されることが多かったが，プライバシー保護やリアルタイム性への要求からその実行環境をエッジデバイスに移しつつある．エッジデバイスは攻撃者が物理的にアクセス可能であるため，サイドチャネル攻撃，フォールト攻撃といった物理攻撃がAIに対する新たな攻撃方法として懸念される．エッジAIデバイスに対するフォールト攻撃はAE同様AIの画像認識結果を改ざんし，自動運転車の判断を誤らせ重大な事故につながる可能性がある．本論文では，8bit マイコン上に多層パーセプトロンを用いて実装した学習済み分類器に対して，クロックグリッチによるフォールト攻撃を行った．ニューラルネットワークの積和演算，Softmax関数に対してクロックグリッチを注入することで，特定のクラスに分類する攻撃や，正解クラスに分類させない攻撃が可能であることを示す．

学習済み深層学習(DNN)モデルは重要な知的財産である．DNNモデルを窃取されることは，機械学習システムの信頼性にとって重要な脅威となる．エッジデバイスで実行されるDNNアプリケーションは，システムに攻撃者が物理的に接触可能であることから，攻撃手法が多様化し特に危険である．エッジデバイスに保存されているDNNモデルパラメータを暗号化することはメモリバス等への攻撃対策となるが，パラメータが復号・処理されている演算回路は安全ではない．本稿では，DNNアクセラレータにおける演算回路として広く用いられているシストリックアレイ(SA)回路を攻撃対象とし，DNNモデルのリバースエンジニアリングを行う．SA回路は行列のドット積を高速に計算できるVLSIアーキテクチャである．実験では，3x3のSA回路をFPGAに実装した．入力とDNNモデルの重みパラメータは3x3の行列として与えられ，8bitに量子化されている．SA回路が動作している時の消費電力波形をオシロスコープで観測し，相関電力解析を用いて解析した結果，ターゲットであるDNNモデルパラメータ9個全てを導出することができた．

近年，機械学習のアルゴリズムに対する攻撃に加え，実装に対する攻撃が指摘され始めた．しかし，その対象は深層学習であり，同じく代表的な機械学習のランダムフォレストについては脅威が未解明である．そこで，本稿では，ランダムフォレストに対する実装攻撃の脅威の立証を試みた．具体的には，実装に対する攻撃の中でも攻撃者が実行しやすいタイミング攻撃で，機械学習に対する代表的な脅威の敵対的サンプルを生成する手法を提案し，その脅威を実験的に評価した．手法の検討の際は，タイミングからランダムフォレストが予測に要した条件分岐の数を窺い知れることに着目し，タイミングによる敵対的サンプル生成をタイミングの最適化問題に帰着した．さらに，タイミングが持つ測定誤差を考慮し，最適化には進化戦略を応用した．予測モデルや予測の信頼度が秘匿されるがタイミング情報は取得可能な条件での実験の結果，既存のアルゴリズムに対する攻撃手法より提案手法の方が，攻撃の試行回数が限られる条件で，正常なサンプルとほぼ弁別できない敵対的サンプルを高確率で生成した．この結果は，ランダムフォレストに対するタイミング攻撃の脅威を示唆するものである．

グローバル化が進む昨今，機械翻訳は世界中の人々をつなぐための重要な役割を担っている．しかしながら，その一方で，近年，機械翻訳を利用したフェイクレビューや剽窃などが社会問題化しつつあり，当該技術が悪意あるユーザにより不正に利用されることへの懸念が高まっている．そこで，本稿では，逆翻訳とBERT モデルを組み合わせることで，機械翻訳を用いて不正に生成された文章（以下，機械翻訳文章）を高精度に検知する新たな手法を提案する．本手法では，まず，テスト文章に対して，異なる複数の言語を用いて逆翻訳を施し，テスト文章とそれぞれの逆翻訳文章との間の類似度を計算する．そして，それらの類似度に基づき，機械翻訳を行う際に用いられた言語を推定する．最後に，その言語に対応した識別器を用いて，テスト文章が人間の文章/機械翻訳文章であるかを判別する．また，本稿では，約12K 個のイタリア語の文章を用いた評価実験を通して，提案手法により逆翻訳/順翻訳を用いて生 成された文章の検知性能が大幅に向上することを示す．さらに，機械翻訳に用いられた言語が不明な場合においても，提案手法により高い精度で機械翻訳文章を検知できることを明らかにする．

CAPTCHAは人間と計算機械とを区別するチューリングテストの一つであるが，機械学習分類器を用いた画像認識によって，容易に解読できるようになった．本稿では，Adversarial Example（以下，A.E.）を用いることによって，機械学習分類器による解読耐性を付与したCAPTCHAを提案する．A.E.は機械学習分類器を誤認識させる攻撃手法であるが，これに対抗した各種防御手法が存在する．防御手法のうち，簡易かつ強力な手法の一つである，フィルタ操作への対策に焦点を当てた既存研究を発展させ，低周波領域のみに摂動を加えるA.E.作成手法を適用することで，摂動除去に対する耐性を保ちつつ，CAPTCHA画像の画質劣化を低減する手法を提案する．提案手法により作成したAdversarial CAPTCHAを用いて，複数の機械学習分類器を対象として，解読耐性を評価した．また，二重刺激方式を用いた品質評価実験により，既存手法との画質比較を行った．2つの評価実験により，CAPTCHAとして人間が解読できる量の摂動で，機械学習分類器を誤認識させられることが結論づけられた．

　機械学習の学習フェーズにおいて，訓練データをクラウドなどに提供し，モデル構築を依頼する場合が考えられる．この場合，クラウド側が正しく処理を実行したかどうかをクライアントは検証できないため，悪意を持ったクラウドによって不正なモデルが構築される懸念がある．SCIS 2019 で仲野らは，線形回帰の学習フェーズに検証可能計算の一種であるSum-checkプロトコルを導入し，サーバが正しく学習フェーズを実行したことをクライアントが確認可能な手法を示した．本稿では，仲野らの提案手法を複数の学習データへ適用し処理時間の評価を行った．結果として，学習データの属性数が少ない程，高速に動作することを明らかにした．IoTデバイスは一般的に属性数が少ないため，提案手法は大量のIoTデバイスでデータを取得し，サーバで解析するSociety 5.0では有効であることを示す．

本稿では，データポイズニングに耐性のある推薦システムについて考える．推薦システムに対するデータポイズニング攻撃では，攻撃者は不正にユーザアカウントを作成し，意図的にアイテムを評価する．データポイズニング攻撃が成功した場合，推薦アイテムを意図的に操作される恐れがある．既存の対策手法の多くは，正常ユーザもしくは悪性ユーザの評価データについての事前知識を必要とする．また，事前知識を必要としない手法は，高度な攻撃に対して脆弱であることが知られている．本稿では，トリム学習を用いることで事前知識なしで高精度に悪性ユーザを排除可能な推薦システムを提案する．

IC製品の需要増加に伴い，外部委託によって第三者が設計・製造工程に関与することが増えてきている． 各工程中では，ハードウェアトロイと呼ばれる悪意ある機能を持つ回路を第三者に挿入される脅威が高まっている． 有効性が確認されている対策手法の1つに，回路設計情報から抽出した特徴量を利用し，ニューラルネットワークなどの機械学習を用いてハードウェアトロイを識別する手法がある． 一方で，入力に特殊な改変を加えて機械学習による識別結果を操作してしまう攻撃(敵対的サンプル攻撃)も存在している． 本稿では，ニューラルネットワークを用いてハードウェアトロイを識別する手法に対する敵対的サンプル攻撃として，順序回路に適した改変を提案する． 実験評価では，以前導入した改変パターンのみでは識別性能の低下幅が小さかったベンチマーク回路に対しても，より大幅なTrue Positive Rate (TPR)の低下を確認した．

近年、敵対的サンプルをはじめとして機械学習に特有な攻撃が発見され、機械学習を用いたシステムのセキュリティに関する研究の重要性が増している。モデルの訓練に対する攻撃や推論に対する攻撃などセキュリティモデルによって考慮すべき攻撃は多種多様であるが、ポイズニングと呼ばれる攻撃は、訓練データ中に少量の異常なデータを挿入する(もしくは変化させる)ことによりモデルを汚染する攻撃をさす。特に、ユーザからデータを集めつつ逐次的にモデルを更新する学習システムでは、そのデータがモデルに悪影響を及ぼさないか検査することが非常に重要である。一方で、単にデータの異常性という意味では、測定時のノイズや欠損などによる異常も見られるため、攻撃意図を含むデータと区別することが必要である。本稿では、ポイズニング攻撃のうち、精度劣化を目的とした攻撃に着目し、攻撃意図を含むデータを検知する手法を提案し、実験結果について述べる。提案する手法の特徴は、異常検知による指標と、データがモデルの精度に与える指標の2つを組み合わせることで、異常データの中でも攻撃意図を含むデータの検知を可能にする点である。

近年、機械学習を様々なシステムに取り入れようとする動きが多くみられる。しかしながら、機械学習には従来のシステムにないセキュリティ・プライバシーの問題がいくつか発見されており、従来のシステムに対するセキュリティ・プライバシーの対策に加えて機械学習固有の対策を講じる必要がある。本稿では、いくつか知られている機械学習に対する攻撃のうち機械学習モデルから教師データを推定する攻撃である教師データ推定攻撃に注目する。教師データ推定攻撃については対策の議論に必要な攻撃手法の研究が十分に行われているとは言えないため、特に画像の分類を行う機械学習モデルに対して従来手法より有効な教師データ推定攻撃手法を提案する。このとき、極力自然な攻撃者を設定するため、仮定する事前知識はインターネット等から容易に入手可能な情報のみとし、また攻撃対象のシステムがクラウド運用等をされている場合を想定してBlack-box Attackを仮定する。実験では、提案手法が従来手法より安定した推定を行うことができ、Black-box Attackにおいてクエリ数を削減できることを確認した。また、最後に提案手法を利用した機械学習モデルの教師データ推定攻撃耐性評価の手法も提案する。

深層学習(DNN)システムにおけるセキュリティ課題として，バックドア攻撃が知られている．バックドア攻撃では，攻撃者はDNNモデルの学習データセットに，特定位置へのドットの付与などの目立たない加工を施した少量の異常データ（ポイズニングデータ）を混入させる．このデータセットを用いて学習を行ったDNNモデルは，正常な入力に対しては正常に推論を行うが，ポイズニングデータと同様の入力画像に対しては攻撃者が意図した異常な推論をしてしまう．この攻撃は，(1)学習データセットのラベル付けを外注するサービスの普及により，攻撃者がデータセットへアクセスする経路が増加している，(2)一般にDNNモデルの学習データセットは膨大であり，人間がデータセットを確認して異常データを発見・除外することが困難である，ことから深層学習における脅威となっている．本稿では，大量の学習データセットに含まれるポイズンデータを特定することなく，学習モデルのバックドアを排除できる提案を行う．具体的には，ラベルなし正常データを用いてバックドアを含む学習モデルの蒸留を行うことで，バックドアを除去することができることを示す．

近年，クラウドを介した機械学習サービスが様々な分野にて活用されはじめてきた一方で，誰もが簡単にクラウド上の学習済みモデルを利用可能となるため悪意のある利用者(攻撃者)による攻撃が指摘されている．攻撃の一例として，攻撃対象の学習済みモデルの仕組みを解析することで adversarial example と呼ばれるデータを生成し，学習済みモデルと人間の認識に意図的な乖離を生じさせるものがある．攻撃者はクラウド上の学習済みモデルの仕組みを一切知ることができないにも関わらず，従来研究では攻撃対象モデルの仕組み一部を知っている状況を仮定している．本研究では，攻撃対象モデルの仕組みの情報が一切与えられない状況下で adversarial example の作成のリスク評価を行う．本稿ではこの目的を達成するために，ガウス過程と呼ばれる回帰モデルを利用した効率的な攻撃手法を提案した．実験では，提案手法がナイーブな手法よりも高い攻撃成功率(約$85$\%)となることを確認した．また，提案手法は単純な防御手法では防御できないことも示し，以前より増して防御策検討の必要性があることを明らかにした．

2019年９ 月に Luxemburg で開催された欧州最大の計算機セキュリティ国際会議 Esorics2019。 この会議は、世界的な暗号学者の Adi Shamir による人工知能の信頼性限界における最前線の現状と課題に関する基調講演で始まった。ここでは、Shamirの研究成果(深層学習の限界解明に、 計算幾何学理論を用いる)の紹介と、敵対的機械学習の性能限界や課題を論じる。

インターネットにおいて，ブラウザベースの暗号通貨マイニングに関する攻撃を行うウェブサイトが見つかっている．攻撃者はウェブサイトを訪れたユーザーのマシンでマイニングを行い，その成功報酬を得る．このような攻撃はクリプトジャッキングと呼ばれる．マシンの計算能力はユーザーの許可無く利用されるため，ユーザーが自らのマシンが悪用されていることを認識できるように，クリプトジャッキングが検出されることが望ましい． 本論文では，クリプトジャッキング攻撃の検出方法として，マイニングプールとの通信に焦点を当てる．マイニングプールとは，複数人が暗号通貨マイニングを協力して行うコミュニティである．我々は畳み込みニューラルネットワークと積層オートエンコーダが，マイニングプールとの通信を識別できるか否かを実験した．その結果，どちらも高い精度で識別することができた．

Bitcoin以来，ブロックチェーン技術に基づく多くの暗号資産が出現し活発に取引されているが，ブロックチェーン技術の大きな課題の一つにスケーラビリティ問題がある．この課題の克服が期待される技術の一つにDAG（Directed Acyclic Graph）技術があり，DAG技術ベースの暗号資産も既に数多く提案され取引されつつある．我々は，このようなDAG技術ベースの暗号資産であるIOTA，Obyte，Nano，Hedera Hashgraphの匿名性について調査を実施した．調査には，ブロックチェーン系暗号資産に対し提案した5項目の匿名性要件を適用した．その結果，タングル型のDAG系暗号資産（IOTA，Obyte）はBitcoinと同程度の匿名性であること，ラティス型のDAG系暗号資産（Nano，Hedera Hashgraph）はBitcoinよりも匿名性が低いことを確認した．暗号資産の高い匿名性への期待は大きく，スケーラビリティとは分権化/分散化とともにトリレンマの関係にある匿名性を強化したDAG系暗号資産も，今後増加するものと考えられる．

本稿では、まず、ブロックチェーンを応用した暗号資産の匿名性に関する評価指標の意味と関係を整理する。 特に、関連付け困難性(unlinkability)の評価指標としての汎用性を示す。 次に、暗号資産の関連付け困難性をフェアに評価するために、暗号資産の特徴に基づいて四つの関連付け攻撃モデルおよびそれぞれの攻撃モデルに対応する安全性を定義する。 最後に、代表的な匿名暗号資産に対して本稿で定義した関連付け攻撃安全性評価を行い、それらの匿名暗号資産の匿名性を比較評価する。

商品を購入したりサービスを利用するとき、支払い金の見返りが付与されるポイント（ロイヤリティポイント）還元制度がある。ロイヤリティポイントを付与する際、顧客情報が現場から直接入力され、かつ、サービス事業者に大量の個人情報が蓄積される。大規模のプライバシー侵害につながる恐れがあり、防御のため設備と運用の負担は大きくなりがちである。本文ではブロクチェーンと匿名クレデンシャルを用いることでその軽減策を検討する。匿名での属性証明や、内容証明郵便に相当する検証可能暗号通信等の履歴を記録するハイパー台帳を用意し、プロプライアトリーのアプリケーションがそれらをサブルーチンコールする仕組みを設定する。不必要に個人情報を漏らすことなく取引を行い、かつ、トラブル発生時には取引履歴の証拠を調停者に提示することができる。さらに、Groth署名を用いる証明書発行者の委任や証明書失効処理が有効であることを示す。結果として、ロイヤリティポイントのサービスにおいて個人情報の不用意な流出を効率よく阻止できることを示す。

IoTサプライチェーンのためのブロックチェーンの安全性に関する現状と課題を論じる。 We discuss current environment of digital supply chain system with applying the Internet of Thing technology for improving system's performance and properties, and using blockchain technology to propose some potential ideas or solutions for existing or future security issues and challenges. This paper introduces the general histories and backgrounds, in terms of information science, of the supply chain and relevant technologies which have been applied or are potential to be applied on supply chain with purpose of lowering cost, facilitating its security and convenience. It provides a comprehensive review of current relative research work and industrial cases from several famous companies. It also illustrates how IoT works and existing security issues of current digital supply chain system, and blockchain's role and research tasks in this kind of digital system. Finally, this paper concludes several potential or existing security issues and challenges which supply chain management is facing.

　本研究では, universal sampler を用いない Proof of Human work（PoH）の構成方法と, それを用いた分散コンセンサスプロトコルを提案する. PoHは, Blockiらによって提案された概念であり, コンピュータには難しく人間には適度に簡単なパズルを解いたことに対する作業証明を生成する. Blockiらは, CAPTCHAをuniversal samplerを用いて生成することで PoH を構成できることを示した. しかしこの構成は現実的で無いため, 本稿では universal sampler を用いない PoH の構成を提案する. PoH の応用として, Blockiらは PoW と同様に暗号通貨へ応用することなどを提案している. 本稿では, 本研究で提案する PoH を Proof of Stake（PoS）と組み合わせて暗号通貨へ応用することで, PoS の既存の問題が解決できることを示す.

近年、Society 5.0の推進などにより、IoTデバイスが生成するデータを収集し、AIを使った分析などにより新しい価値を生み出すことが提案されている。これにはデータの信頼性を担保することが重要であり、その実現方法の1つとしてブロックチェーンを用いた来歴管理方法が挙げられる。ParkとKimはIoTデバイスにTEEを搭載することで、IoTデバイスからブロックチェーンに書き込まれる情報の信頼性を担保している。Guanらの方式は、TEEでPUF搭載IoTデバイスを認証し、かつ、生成されたデータを仲介することでその信頼性を担保している。前者の方式はIoTデバイス自身が署名を付与する必要があるという課題があり、後者はIoTデバイスとTEE間の通信の安全性に関する議論が不足しているという課題がある。本稿では、我々は特にリソースに制約があり、署名が付与できないIoTデバイスが生成する情報を共通鍵暗号で保護し、TEEを介してブロックチェーンに反映する方式を提案する。この方式により、IoTデバイスが生成する情報の信頼性を、通信規格に依存せずに担保できることを示す。

高速・広帯域移動通信、IoT、 ロボット、自動運転等スマート社会に必要な多様な無線通信の需要拡大により、無線通信に必要な電波周波数のひっ迫が問題となっており、この解決のために無線通信システム間の周波数共用が検討されている。周波数共用においては、安全、公平、正確、柔軟、透明性等を持つシステムによる共用運営が必要である。このような条件を満足するシステムとして、ブロックチェーンによる周波数共用システムが考えられる。本稿では、ブロックチェーンによる周波数共用の原理的な例と、そのシステムに伴う今後の検討課題を示す。

Bitcoinの中核技術であるブロックチェーンはデータを改竄されずに保存できる方法として注目され、もともとの仮想通貨以外にもデータ流通分野などへの活用や活用のための検討が進んでいる。 改竄困難なデータ流通分野のユースケースとして、広告配信履歴記録システムがある。広告配信会社が動画広告の配信履歴をブロックチェーンを介して広告主が検証できることを目指す。この時ブロックチェーンに書き込む前の視聴履歴データの改竄を防ぐために、視聴者が広告視聴の確証を作成することで実現できると考える。しかしながら、視聴者数と広告視聴頻度を考えると、必要トランザクションスループットは、Ethereumなどの現在のパーミッションレス・ブロックチェーンの処理可能スループットを超えてしまう。 そこで、本論文では、スループット問題の解決に寄与するオフチェーンプロトコルを導入することによる広告配信履歴記録システムの提案を行い、実装および評価を行う。

従来のステガノグラフィでは，カバーメディアを変形してステゴメディアを生成していた．これに対し，著者らは，候補を復号後の結果が目的とする埋め込み情報と一致するものをステゴメディアとして選択する方法を提案した．ここでは，ハッシュ関数を復号の手段として採用した．通常のセキュアハッシュ関数では，改ざんや伝送ノイズが入った場合，埋め込み情報を正しく復号できないロバスト性に問題があったため，誤り検出などの対策を施す提案をした．本稿では，ロバスト性のあるPerceptual hashをハッシュ関数として用いロバスト性を改善する方法について提案・評価し，その有効性を数値的に確かめた．

モバイル端末を使った金融決済サービスが注目を集めるなど、ITシステム上で取り扱う情報の価値が高くなっており、これに伴い、攻撃のリスクが高まっている。これを受け、本研究ではマルウェアに感染した端末で安全な暗号処理を行うための技術開発を行っている。 本報告では、RAM暗号化機能を保護対象のソフトウェアに埋め込む ツールの設計と試作、評価を行った。 これにより、ツール化が原理的に可能であることを確認できた。 同時に、RAM暗号化を埋め込むことが難しいソフトウェアの存在や、性能面での課題が明確になった。

世の中のソフトウェアを保護する手法の一つにプログラム難読化技術がある．プログラムの難読化とは，解析が困難になるようプログラムを変換する技術であり，様々な難読化ツールが提案されている．しかし，開発者にとって，多くの難読化ツールのうちどのツールを選べば良いかの基準は明確ではない．そこで本稿では， JVM プラットフォーム向けの既存の難読化ツールに焦点を当て，保護性能により難読化ツールを比較する．この結果が，開発者にツール選択の判断基準となるであろう．難読化ツールの保護性能の評価の足掛かりとして，適用ツールの発見の困難さ評価を試みる．難読化はソフトウェアが解析されないために適用される．一方，攻撃者の視点から見れば，適用された難読化の逆変換を施し，できるだけ平易なプログラムを解析しようと試みると考えられる．そこで我々は，適用された難読化ツールの特定に着目して研究を進めている．この研究により，もし難読化ツールが特定された場合，当該ツールの利用には注意が必要であると言える．これまで，オペコード列を手掛かりにして適用ツールの特定を試み，特定できるツール，できないツールを明らかにした．本稿では，これまでの研究で用いた手掛かりに加え，難読化された名前にも着目して特定を試みる.これにより，これまで判定が困難であった ProGuard と yGuard の判別が可能となった．

電子透かしはプログラムや動画などの電子データに対し、元の機能性を変化させることなくマークを埋め込む技術である。埋め込まれたマークは、対象の機能性を壊すことなく取り外すことができない。Goyalら (CRYPTO ’19) は署名回路への暗号学的電子透かしの新たな定義を提案し、マークを誰でも抽出可能な設定における署名回路に対する電子透かし方式を構成した。本論文では、Goyalらの電子透かし署名の定義を考察し整理する。また、署名回路に埋め込まれたマークを秘匿できる電子透かし方式の構成を示す。

近年低コストの3Dプリンターの普及により誰でも簡単に高品質なコピーを作成することが可能になりつつある。 これは従来では高度な技術が必要であった精密なオブジェクトの複製を一般家庭でも行えるという点で非常に便利な反面、適切な著作権保護技術が無ければ多数の無断複製品を製造されてしまうリスクがある。既存の著作権保護技術として３Ｄデータに情報を埋め込む手法、オブジェクト内部に空洞を作成する手法が存在しているがこれらはオブジェクトの外部形状をそのままコピーする攻撃に対して耐性がない。そこで本研究ではオブジェクトの著作権保護に応用することを目的として、メタデータなどの外部情報を用いないでオブジェクトの外部形状に情報を埋め込む手法を提案する。提案手法がオブジェクトの外部形状をそのままコピーする攻撃に対する耐性があることを確認するため、型取りによって複製する攻撃と3Dスキャナーを使用して電子的に複製する攻撃を行って埋め込み情報を抽出する実験を行った。実験の結果、提案手法が型取りを用いた複製攻撃に対して耐性があることを確認した。

近年，スマートフォンやタブレットなどの携帯端末が普及しており，その中に個人情報が多く記録されている．現在それにアクセスするためにPINやパターンロック，指紋認証などの個人認証が用いられているが，それらは覗き見攻撃と盗難によって個人情報が漏洩する可能性がある．そこで本研究では，ユーザが常時身につけており，盗難の可能性が低いスマートウォッチ上でスマートフォンの認証を行うことができる認証方式の提案を目指す．それにあたって，画面をタッチすることなく認証を行えるジェスチャを用いた方式に着目した．現在まで，スマートフォンを持ちスマートウォッチと連動したジェスチャを行う方式が複数提案されているが，スマートウォッチを身につけている腕と同じ手にスマートフォンを持つ必要があり，ユーザビリティに課題が残っている．そこで本論文では， 3×３のアイコン上の複数位置を登録し，認証時にランダムに配置されたアイコン上のジェスチャをスマートウォッチで行うことで位置を指定する方式を提案する．実験として，ユーザビリティと慣れによる操作感の変化を確認する実験を行い，また覗き見実験によってその耐性を評価する．

一度認証を行った対象者の入れ替わり・なりすまし対策として，認証を繰り返し行う「継続認証」が求められている．継続認証の実現には，対象者に負担を課さないことや，攻撃者に気づかれないようにすることなどの目的から，無意識的に計測する生体信号の利用が望ましいと考えられている．継続・無意識的に計測可能な生体信号として，心電図や呼吸波形を利用する手法が提案されているが，対象者の姿勢や計測部位，計測機器の位置の制限などの課題がある．以上の課題を解決するため，我々は光電容積脈波 (PPG: Photoplethysmogram) 計測を利用した継続認証手法を提案する．PPG計測は，心臓の拍動 (心拍) に伴う血管の挙動をフォトダイオードやカメラなどの光学センサを用いて電気信号として計測する手法であり，指先や手首など身体の様々な部位に適用できる．PPGには，心拍に加えて呼吸に由来する成分も含まれるため，提案手法では，PPGから心拍・呼吸両方に由来する成分を分離し，各々から特徴量を抽出して認証に利用する．本発表では，提案手法の有効性を示すため，公開データセット中のPPGに対して心拍・呼吸由来の成分を分離して特徴量を抽出し，個人識別が可能かどうか検証した結果を説明する．

顔認証および深層学習に関する技術の進展により，遠方からカメラで撮影された画像から個人を識別できるようになりつつある．一方で，顔認証には，登録者の顔を撮影した写真や動画を提示することで，第三者が登録者になりすませてしまう問題がある．画像に比べて多くの特徴を抽出できる動画像を入力とするなりすまし検知はあまり検討されていない．そこで，本論文では，少ないフレーム数の動画像のみからなりすましを検知する手法を提案する．提案手法では，3D Convolutional Neural Network (3D CNN) を用いて動画像から抽出された特徴量を用いる．また，検知精度の改善のために，メトリックラーニングを用いた学習を行う．大規模ななりすまし攻撃データセットを用いた性能評価実験を通して，提案手法の有効性を実証する.

スマートフォンのキー入力盗取に関するサイドチャネル攻撃として，タップ音響からその入力内容が傍受可能であるという脅威が存在する．Iliaらは，正規ユーザのスマートフォン(タブレット端末)の内臓マイクによって盗聴したタップ音から，キー入力を61%の精度で推測可能であることを報告している．Liらは，攻撃者のスマートフォンの内臓スピーカからソナー音を放射し，タップ入力の際の正規ユーザの指からの反射波を分析することによって， キー入力を90%の精度で推測可能であることを報告している．しかし，Iliaらの方法は，攻撃対象のスマートフォンに事前侵入をする必要があるという点で，妥当性を欠く攻撃シナリオとなっている（攻撃対象のスマートフォンに侵入できたのならば，不正者はキーロガー等を用いて正規ユーザのキー入力を直接取得できる）． また，Liらの方法は，攻撃者が正規ユーザの端末に対して積極的に干渉するタイプのサイドチャネル攻撃となっており，能動的な攻撃シナリオであると言える．そこで本稿では，正規ユーザがスマートフォンにキー入力をする際のタップ音を，攻撃者が外部のマイクで単純に盗聴するという受動的な攻撃シナリオにおいて，正規ユーザのキー入力に関する情報が攻撃者にどの程度漏れるのかを検証する．今回は，本研究の第一歩として，キー入力をPIN入力に限定して調査を行った．タップ音の音声データのメル周波数ケプストラム係数を画像データとして表現し，畳み込みニューラルネットワークを用いてキー入力の推定を行った結果，高い精度で入力の識別が可能であることが判明した．

Over four thousand digital currencies have been issued by private sector actors since the release of Bitcoin in 2009. Private sector issuance of distributed ledger technology (DLT)-based digital currencies such as Bitcoin and other altcoins threatens the stability ofnancial market infrastructures (FMIs) and preservation of monetary policy (MP). Facing the threat of disruption of MP and FMIs by the private sector digital currency issuances, many central banks and monetary authorities have delved into research on central bank-issued digital currencies (CBDCs). In this paper, we present a survey of selected DLT-based wholesale CBDC (W-CBDC) experiments with completed proof-of-concepts to enable the understanding of the practices, motivations and technologies for W-CBDC experiments. Ultimately, our paper organizes all the relevant DLT-based W-CBDC experiments-to-date in one place to serve as a reference point for CBs, MAs and researchers studying about DLT-based CBDCs.

フォワード安全公開鍵暗号は，攻撃者が秘密鍵を入手しても過去の暗号文を復号することが できない公開鍵暗号方式である。フォワード安全公開鍵暗号に限らず非対話型の暗号方式においてフォ ワード安全性を満たす従来方式は，インターバル毎または暗号文ごとに過去の暗号文を復号できない新 しい秘密鍵 sk^(i+1) を現在の秘密鍵 sk^(i) から生成し，古い秘密鍵 sk^(i) を削除することでフォワード安全 性を実現している。また近年，Goyal ら（TCC'17）やChoudhuri ら（Eurocrypt'19）によって 一定の性質を満たすブロックチェーンを様々な暗号方式の実現を可能にさせる構成要素として応用でき ることが示されている。本稿では，一定の条件を満たすProof-of-Stake ベースのブロックチェーンの存 在を仮定すれば，公開鍵及び秘密鍵の更新を必要としないフォワード安全公開鍵暗号方式を構成できる ことを示す。

電子投票の歴史（ブロックチェーン以前の中央管理方式）と現状を紹介し、ブロックチェーンを利用した電子投票の実証実験やオープンソースを調査する。さらに提案されている方式の分類を行い、種々の特性、特に票売買や強制投票の問題点を論じる。 E voting was invented to provide better service in terms of convenience, security, and efficiency to overcome the shortcoming s of traditional voting systems. In this article, we study the influence of Blockchain architecture on e voting systems. The main focus is on the following points of e voting systems an existing gap in security properties achievable using Blockchain and without using it; the need for physical assumption and bulletin board in Blockchain based e voting systems. The Contribution of this paper is three fold: First, this paper presents a gap between e voting (using Blockchain) and (without using Blockchain). Second, Blockchain Based on E voting, whether still needed physical and bulletin board, then classified security properties based on CIA principles. Third, to present that the voter free to vote anywhere with using physical (polling station).

近年,来日する外国人が増加していく中,それに伴い我が国で発生する外国人犯罪件数も増加している.外国人被疑者取調べにおいて通訳人を介し調書を作成しており,通訳人を信頼できる第三者として通訳の正確性を保証している.現在,調書作成にかかる時間が問題となっており,時間の短縮が求められる.そのため,通訳人到着までの時間を有効に活用するため,本研究は,将来的に外国人被疑者取調べにおける通訳のシステム化を目指すこととして,既存の耐改ざん手法であるブロックチェーン及びヒステリシス署名,電子署名を利用したシステム的な情報の保全と信頼できる第三者である通訳人を介した通訳の正確性を組み合わせることで,音声情報並びに音声情報から派生した情報を証拠として保全する手法を考案し,通訳人到着までの調書作成を補助するための通訳システムのプロトタイプを開発,評価を行った.この結果,もう少し音声認識精度の改善が望まれるものの,基本的な機能は実装でき,その改ざんの正確でコスト効果の良い検知のためには,ブロックチェーンとヒステリシス署名を使う方式が最も望ましいことを明らかにした．

Blockchain is a distributed system that combines the P2P network, consensus protocol, encryption algorithm to complete the first reliable cryptocurrency system. According to the high security and convenient access to this technology, more people tend to trade on the Blockchain. Simultaneously, this situation also promotes a lot of applications based on Blockchain appear, such as smart contracts, distributed cloud storage, et cetera. In this paper, we propose a scheme called Covert Communication Based on Bitcoin Regtest Self-built Network(CCBBRSN), which takes Blockchain as a communication channel and embeds encrypted messages into Blockchain’s addresses to transmit. Then we combine this scheme with Bitcoin’s Regtest network to establish a practical model. In this model, users can transmit messages via Blockchain mutually. Finally, we examine our model in an actual environment successfully

センサ情報を利用した自律システムにおいては，センサ入力への攻撃が脅威となる．しかし，センサ攻撃に関する研究は，センサ及びそのセンサを含む機器単体を攻撃を対象とするケースが多い．このため、機器を組み込んだシステム全体に与える影響は把握し難いという課題がある．我々はセンサ攻撃がシステム全体に与える影響を俯瞰的に分析することを目的として，システムの動作シナリオを含むモデルベースデザインに，センサ攻撃に関するモデルを組み込むアプローチでシミュレータのプロトタイプを開発した．本稿ではシミュレータのコンセプトとレーダ及びカメラを用いた自律システムに対する具体的なシミュレータの構成を示す．

センサの計測値が信頼できることは、その計測値に依存して制御を行うシステムの安全性の大前提である。FMCW (Frequency Modulated Continuous Wave) レーダは、距離や速度を計測するレーダの一種である。ミリ波帯を利用したFMCW レーダは、小型で高精度なことから、屋内や市街地でも使える商用レーダとして期待されている。近年の計測セキュリティへの関心の高まりの中で、FMCWレーダについても安全性評価が進められており、実機実験やシミュレーションにより様々な攻撃や対策が提案、評価されてきている。しかし、そうした安全性評価には、レーダの計測結果による攻撃の影響評価に留まっているという課題がある。 そこで、本研究では、コントローラとアクチュエータを含めたシステムのレベルでFMCW レーダへの攻撃の影響を評価することを目的とする。本稿では、システムレベルのシミュレータの構築を行い、コントローラが受け取るレーダの対象検出結果について評価した結果を述べる。

非破壊検査とは、対象物に放射線を入射し、対象物を破壊することなく内部構造を調べ、その真正性などを検証する技術である。これは製品の信頼性向上などに用いられるが、内部構造が秘密情報を含む場合、情報漏洩の懸念がある。本稿では、上記のジレンマを解決するため、ゼロ知識非破壊検査という概念を提案する。これは、内部構造を一切漏らさずに、対象物がある性質を満たすことを証明する技術である。Glaserら(Nature 2014)は、中性子線と気泡検出器を用いて、二つの対象物の内部構造の同一性を証明するプロトコルを提案した。気泡検出器とは、中性子線を照射すると気泡が生じ、気泡は一度生じたら消えないため、気泡数を数えることで中性子線の合計照射量を測定できる測定器である。非破壊検査自体はさまざまな性質を検証できるが、我々の知る限り気泡検出器を用いた同一性検証以外のプロトコルは知られていない。本研究では、まず気泡検出器を用いた操作を定式化し、それに基づくゼロ知識非破壊検査のモデルを与える。この定義に基づき、線形性、大小性、最大値についてのゼロ知識非破壊検査の効率的な構成を与える。また、任意の命題についてのゼロ知識非破壊検査の構成も与える。

IoTの普及に伴い、組込機器もインターネットに接続されるようになり、セキュリティ攻撃の危機にさらされている。 組込機器がセキュリティ攻撃を受けた際、機器内部で受けた攻撃の種類を分類・特定し、その攻撃に合わせた適切な対応をとることで、攻撃による被害を最小限に留めることができる。しかし複合的な手段による攻撃を受けた場合、どの攻撃に合わせた対応を優先的に行うかを決める必要がある。 そこで我々は、攻撃遷移図による攻撃分類手法を提案する。本手法では、攻撃の進行を不可逆な状態遷移と捉えることで、複合的な攻撃の中で最も進行している攻撃を抽出することができるため、優先的に行う対応を決定することができる。 我々は車載ECUを想定したハードウェア上にこの手法を実装し、検証を行った。結果、想定通りに攻撃を検知し、分類・特定できることを確認した。

スマートキーは従来の物理鍵とは異なり、電子データの信頼性をもって担保し鍵を解錠するデバイスである。これらのデバイスからは物理的な鍵穴に差し込む手間などが軽減されることや、複数人での鍵管理の容易さなどの利便性から普及しつつある。さらに、既設のドアに工事なしで設置できる製品が登場しより身近なものとなると予想される。一方で、スマートキーの実装においては満たすべき基準があいまいであり、様々なセキュリティレベルの製品が存在する。本稿では、スマートキーのモーター制御機構に着目し、モータードライバのプロトコルによっては電磁波照射により非接触で強制的な開錠が可能であることを示す。

本稿では，AESやECCなどのガロア体算術演算回路に基づく暗号ハードウェアを対象として，機能改変を伴うハードウェアトロイ(HT)を100％検知する新たな形式的検証手法を提案する．提案手法では，暗号ハードウェアの機能（仕様）がガロア体上の方程式として記述可能なことを利用して，回路構造（ネットリスト）が表現する連立代数方程式から仕様を導出できるかを調べることで検証を行う．特に，方程式表現にゼロサプレス型２値決定グラフ(Zero-suppressed binary Decision Diagram: ZDD)を用いることで効率的かつ完全な検証を可能とする．さらに，ネットリストと仕様との間の残差を表すZDDから，HTのトリガー条件まで特定できる．実験を通して，提案手法により，ECCで使用される実用的規模の乗算器であっても，1分ほどで検証およびトリガー条件の特定が可能なことを示す．さらに，一般的なAESハードウェアの場合，1秒未満で検証およびトリガー条件の特定が可能なことも示す．

近年，IoTデバイスの普及に伴い，日常の様々なものに組み込みハードウェアが利用されている．組込み機器の需要増加により設計や製造の一部を第三者に外部委託するようになっている．これにより悪意ある第三者により回路中に悪意ある機能をもつ回路，ハードウェアトロイが挿入される危険性が増大している．本稿では，ゲートレベルネットリスト中の各ネットがハードウェアトロイを構成するネットか否かを識別することを目的に，Neural Network (NN)とRandom Forest (RF)によるハードウェアトロイ識別手法について，ゲートレベルのIntellectual Property (IP)コアを用いて評価する．まず，ネットリスト中の各ネットに対してトロイネットを特徴づける11個の特徴量を算出する．次に抽出した特徴量をNNとRFで学習し，生成した識別器にもとづいてノーマルネットとトロイネットを識別する．実験の結果，平均TPR 84.6%，平均TNR 95.1%を示し，IPコアに対しても従来手法の結果と同様の性能を得ることを確認した．

近年IoTデバイスが急速に広まり，身近な場所で数多くのハードウェアデバイスが利用されている． 一方で，ハードウェアデバイスにおけるセキュリティ課題が顕在化している． 電力解析はハードウェアデバイスの異常動作を検知する手法の一つであるが，複数のソフトウェアが動作するIoTデバイスへの適用は難しく，いかに適用するかは課題となっている． 本稿では，シングルボードコンピュータを対象とした電力解析にもとづく異常動作検知を目的として，複数のアプリケーションが動作しているIoTデバイスの電力波形から，各アプリケーション固有の電力変化を抽出する手法を提案する． まず，デバイスでアプリケーションを実行しない定常状態の周期的な電力波形を計測し，定常状態の平均的な波形を求める． 次に，複数のアプリケーションを実行した場合の電力波形から定常状態の波形を除去することで，アプリケーション固有の電力変化を抽出する． 実験では，3種類の動作状態をもつアプリケーションをIoTデバイス上に実装し提案手法を適用する． 実験の結果，提案手法によりアプリケーション固有の電力波形を抽出し，3種類の動作状態の判別に成功した．

我々の周囲では多種多様なIoTデバイスが普及している． 特にシングルボードコンピュータの普及により，デジタルサイネージを始めとする様々な場面でIoT機器が利用されている． このような背景のもと，IoT機器におけるセキュリティ脅威が懸念されており，この課題の解決が喫緊の課題となっている． 本稿では，電力解析にもとづく異常動作の検知を対象として，シングルボードコンピュータにおける電力振る舞いを調査し，その結果を利用した電力解析にもとづき異常動作検知で実験的に評価する． まず，シングルボードコンピュータにおける基本的な電力プロファイルを取り，電力の振る舞いとアプリケーション動作との相関を調査する． 次に，シングルボードコンピュータにアプリケーションを実装し，電力解析にもとづきアプリケーションの動作を推定し，異常な動作か否か判定する． 実験の結果，シングルボード上に実装したアプリケーションの動作を電力解析にもとづき推定し，異常動作の検知に成功した．

IoTデバイスが普及する昨今，IoTデバイスにおけるセキュリティリスクが懸念されている． 特にハードウェアレベルで挿入される悪意のある機能の脅威も指摘されており，こうした脅威に対抗する手法が必要となっている． 本稿では，電力解析にもとづき，検査対象となるハードウェアデバイスの異常動作を検知する装置を提案する． 提案装置を既存のハードウェアデバイスの電源ラインに接続することで，電力の振る舞いを監視する． 提案装置では，電流が大きい場合の微小な変化を検知するため，オフセット機能を導入して電流測定の精度を向上させる． また，電力の振る舞いを監視し，異常検知とそれに対処するための機能を実装する． 実験の結果，最小誤差0.58%で消費電力を計測することを確認した． さらに，マイコンボードに実装したアプリケーションを対象として，電力解析により異常な動作の検知に成功した．

サイバー攻撃の動向調査において，攻撃手法，攻撃ツール等を収集する手法としてハニーポットは広く使用されている．ハニーポットの作成には，ターゲットとされるシステムの仕様の理解が求められ，同等の振る舞いを行うことが必要となる．しかしながら，産業制御システム（ICS）で使用される機器には多くの種類があり，工場，プラントごとに異なる機器で構成されている.また独自プロトコルで通信を行うこと,汎用プロトコルにおいてもメーカによって実装方法が異なることから，全てに対応することは困難である．そこで，本論文では，ハニーポットの応答を設計する上で核となるリクエストパケットの領域（本論文では「Essence領域」と呼ぶ）の候補を,正常通信パケットから自動的に生成する手法等を用いて実際にPLCを対象とするハニーポットを作成した．精度検証を実施した結果，一部の機器を模擬した装置ではOPCサーバとの通信ができる等，一定の精度が得られることを確認した．

近年のセキュリティ強化の流れから、ローエンドプロセッサにおいてもセキュリティ対応の重要性が増しいている。特にIoT時代には、大規模システムの末端の機器に使用されるプロセッサの脆弱性がシステム全体のセキュリティに影響を与える。一方、ローエンドプロセッサの設計では、性能をある程度絞ってゲート規模および電力を抑えることが重要である。このような背景から、我々は汎用プロセッサ向けオープン命令セットとして注目度が高まっているRISC-Vのセキュリティ拡張がゲート規模に与える影響を評価した。特に、セキュリティ拡張のための物理メモリ保護（Physical Memory Protection、PMP）機構のゲート規模はメモリ管理機構（Memory Management Unit、MMU）に匹敵するため、MMUの有無がゲート規模を左右するような規模のプロセッサでは、セキュリティ拡張の影響は大きい。

2018年に無線LANの新たなセキュリティプロトコルであるWPA3が発表された．WPA3では安全性に関わる多くの仕様が新たに組み込まれている．しかし，2019年にDragonbloodと呼ばれるWPA3に対する攻撃が提案された．これはWPA3の特定のプロトコルの脆弱性を利用した攻撃であり，DoS攻撃やサイドチャネル攻撃などが提案されている．幸いDragonbloodでは大きな影響はなかったが，今後も新たな攻撃が提案される可能性が高く，その安全性を評価することが不可欠である．本稿ではWPA3の安全性評価のために無線LANのチャネル（周波数）切り替えに利用するパケットを用いた無線LAN機器に対する新たなDoS攻撃を提案し，評価した．攻撃を実装したところ，WPA3に対応した端末であっても通信不可能となり，接続が切断されたことが確認できた．一部のOSでは攻撃のタイミングを制御することでより被害が大きくなるような挙動が確認された．既存のDoS攻撃と比較して実行が容易である点からも提案攻撃は注意が必要である．さらに，本稿では攻撃で利用した実装の問題点を整理し，攻撃への対策案についての考察も行った．

近年，発展が著しい自動運転システム技術には，多種多様なセンサから得られる外部情報が用いられ，それらが自動ブレーキや人の検知といった人命に関わる機能を含めたシステム全体を支えている． このため，センサが取得する情報の安全性，正確性を担保する計測セキュリティの向上は必須の課題であり，センサへの攻撃手法の洗い出しやその対策及びセキュリティ基準についての研究が盛んに行われている．しかし時間や資源の有限性からこのような研究の実験をシミュレートできる環境があるのが望ましい． 本稿では，空間上での音の伝播及び波動性をシミュレートする手法である時間領域差分法（FDTD法）に着目し，二次元開空間での超音波の振る舞いを再現する超音波センサシミュレータを作成した。そして，超音波センサに対する代表的な攻撃手法を上記の空間上に再現し検証を行う．

ハードウェアによる隔離実行を提供するTrusted Execution Environment(TEE)が幾つかのCPUで採用されて研究対象となっているが，その実装に多く違いがあり，誤解を招いている．本論では主に3つのTEE(ARM TrustZone, Intel SGX, RISC-V Keystone)を取り上げ，それぞれの実装を比較することで相違を明確にする．また，ハードウェア，ソフトウェアの機能を提供側からの視点のみで比較するばかりでなく，TEEの活用が想定されている利用形態側からも比較することで，必要なハードウェア，ソフトウェアの機能について明確化を試みる．

ブロック長を短くすることは，軽量なブロック暗号の設計における一般的な設計方針であり，これまで多くの 64 ビット軽量ブロック暗号が提案されてきた．このような 64 ビット軽量ブロック暗号を認証暗号として用いる場合，バースデーバウンドによりデータ安全性レベルが 32 ビットになってしまい，現実的な攻撃が可能になってしまうことが課題であった．それに対し本稿では安全性を損なうことなく短ブロック長の利点を活かすことを目的として設計した軽量な認証暗号である PFB を提案する．PFB は Tweakable ブロック暗号を利用しており，バースデーバウンドを超える安全性を有する．PFB は，Tweakable ランダム関数を用いる従来法 iCOFB の拡張である: PFB は iCOFB と異なり，固定 Tweak 長 の Tweakable ブロック暗号を利用可能であり，かつ任意長メッセージを処理できる．さらに，データ 長と独立となるように安全性を改善したことで，鍵の寿命を延長できる．また，一般化した安全性証明により，PFB は iCOFB よりも広いクラスのフィードバック関数を利用することができる．PFB は，Threshold Implementation によるサイドチャネル攻撃対策を行ったハードウェア実装において顕著な性能を示す.

　個人情報保護法やEU一般データ保護規則の施行に伴い，サービス提供者は個人情報等の機微情報を安全に保持・管理する義務がある．一般的には，ハードウェア的に安全な領域で，データの暗号化・復号や鍵管理を行うハードウェアセキュリティモジュールが用いられる．本研究では新たな解決策として，スペースハード暗号技術を利用した方式を提案する．提案方式では，スペースハード暗号の圧縮困難性とネットワークモニタリングにより，特別なハードウェアを利用せず，データの流出を防ぐことが可能である．

Bitcoinではハッシュ関数で記述された方程式がプルーフ・オブ・ワークの計算問題である（ハッシュマイニング）．このケースではブロックチェーン上のブロックの総数は時間の関数としてポアソン過程で近似され，ブロックが生成されてから次のブロックが生成されるまでの時間（ブロック到着時間）は指数分布に従う．指数分布はブロック到着時間の期待値が固定されるとブロック到着時間の分散が期待値の2乗に固定されるという性質を導く．この性質は現実的観点から必ずしも好ましくない．本稿では，ハッシュマイニングのケースにおいてブロック到着時間の分散を小さくする方法を提案する．提案方法はオリジナルのハッシュマイニングをn回シリアル連接したものを1回のハッシュマイニングとする．この方法に対し中心極限定理が働き分散は1/nとなる．

近年，Arbiter PUFに対してDeep Learning (DL)を用いたクローニング攻撃を行う研究が盛んに行われている．Arbiter PUFの1種であるRG-DTM PUFは出力されるレスポンスの偏りを減らすために提案され，Support Vector Machine (SVM) やLogistic Regression (LR)を使用した機械学習攻撃に対して耐性があることが報告されている．本稿では，RG-DTM PUFに対してDLを用いたクローニング攻撃を行い，先行研究の結果と比較を行った．その結果，分割数が4以上の全ての場合において，先行研究であるLRの結果よりもDLの方が少ない学習データ数で攻撃可能なことがわかった．特に16分割のRG-DTM PUFは，LRを用いた場合は100万データを用いても予測精度が95％に達しなかったが，DLを用いた場合は20万学習データを用いて予測精度95％を達成した．

現在，Physically Unclonable Function(PUF)の国際標準化のためにこれまで明確に定められていなかったPUFの評価指標に関する議論が行われている．PUFの評価指標にはユニーク性を示すInter-HD とPUFの再現性を示すIntra-HDがあり，これらは，レスポンスbit長，レスポンス取得回数，PUFの個体数を用いた評価式が使われている．理想的なPUFの場合では，この評価式から算出される値はレスポンスbit長に依存しない．しかし，実際のPUF評価では依存性が報告されているため，CMOSイメージセンサの画素ばらつきを利用したCIS-PUFでレスポンスbit長依存性の評価を行った．結果として，Inter-HDの評価値はレスポンスbit長に依存せず一定となった．一方，Intra-HDの評価値はレスポンスbit長に依存する結果となり，その原因がIntra-HDの平均がデバイスごとに異なっているためであることを明らかにした．そこで，Intra-HDの平均がデバイスごとに異なる場合の影響を考察した．

製造時のばらつきを用いた個体の識別を行う技術は，模倣品判断等への応用利用が期待されている．我々は身近に普及しているLEDに着目し，これまで波高値制御方式でのLEDの分光スペクトルを用いた個体識別法を提案してきた．これまでの手法では，連続的に電圧を変化させてある一定の範囲で計測を行った一連の分光スペクトルデータのピーク波長の遷移を用いる手法をとっていた．遷移を取得する方法は一回の計測が長いことが課題である．また，変更できるのは電圧のみである．そこで本研究ではLEDの調光機能として利用されているPWM変調を用いて，複数のパラメータを用いた時の分光スペクトルによって個体識別が可能か実験により検証した．

人工物の個体に固有の物理的特徴を活用するナノ人工物メトリクスは，物理的特徴の測定がその形成に比べて高精度で行えることを利用して，耐クローン性（コピー困難性）をもたらすことを狙った技術である．耐クローン性は情報・物理セキュリティ分野において重要な性質であり，ナノ人工物メトリクスは数多の応用がある．測定センサに白色干渉計を利用するナノ人工物メトリック・システムでは，従来のセンサに比べて測定コストが大幅に改善され，取得できる干渉画像は相関係数により識別できる可能性が示されている．認証方式には1対1認証（Verification）と1対N認証（Identification）があるが，後者の認証方式において，膨大なテンプレート数に対して相関係数で全数探索を行うのは計算コストが高く，解決すべき課題である．そこで本稿では，認証の高速化の手段として白色干渉画像の局所特徴量を用いる方法を検討する．電子線リソグラフィにおける電子線レジスト・ピラーの倒壊現象を利用したナノメートルオーダーのランダムな凹凸構造を認証するシステムでその評価を行った．

本稿では，物理複製困難関数 (PUF) から高効率に暗号鍵を生成する手法について述べる．提案手法では棄却サンプリングに基づいてPUFから確率的にレスポンスを抽出する．これにより，バイアスのあるPUFからであっても効率的に一様なレスポンスを抽出することができるため，結果として小さいPUFサイズから高安全・高効率な暗号鍵を生成することが可能となる．さらに本稿では，提案手法に基づくファジー抽出器 (FE) の構成法を提案し，既存のFEと128ビット暗号鍵に必要となるPUFサイズの観点からその効率を評価する． 様々なバイアスやエラー率を有するPUFから128ビット暗号鍵を生成するのに必要なPUFサイズをシミュレーションで評価した結果，提案手法は従来手法と比較して最大55%PUFサイズを削減できることを確認する．

Re-keying方式は、マスタ秘密鍵と、暗号装置内部で生成した乱数とから派生される一時鍵を用いてデータを暗号化することで、サイドチャネル攻撃（SCA）への対策を図る。内部乱数を用いるため、暗号装置に対する（高次）SCAは困難であるが、システムとして見た場合には復号装置が脆弱となりうる。本稿は、Re-keying方式の高次サイドチャネル攻撃耐性について議論する。

暗号ハードウェアへの攻撃法としてサイドチャネル攻撃が知られている．暗号機器を搭載した製品を作製するにあたり，サイドチャネル攻撃に対する十分な耐性が認められる必要がある．その際,サイドチャネル攻撃耐性に加えて,実装する暗号回路の設計にかかるコストも抑制する必要がある．我々は暗号回路設計指標に転用可能な耐性評価指標の提案を目的としてSNRに着目している.SNRから暗号鍵推定に必要な漏洩波形数を予測できれば,SNRを暗号回路設計指標とできる．SNRと相関係数の関係式の妥当性が実験的に検証されている．そこで本研究では相関電力解析の相関係数と暗号鍵推定に要する波形数の解析的な関係式を実験により検証した.まず,実験で得た予測鍵を誤った場合と正しい場合の相関係数の頻度分布をそれぞれ算出し,相関係数の標本分布が正規分布するかどうかを検証した.サイドチャネル波形に対する相関電力解析により算出された相関係数をそれぞれの標本に対して取得し,正規性の検定によりそれらの統計量が正規分布することを確認した.これらの結果より,相関係数と鍵推定に必要な波形数の関係式の妥当性を示した.

暗号処理中のデバイスに対して誤りを注入し，計算結果を誤らせることで秘密情報を特定するフォールト攻撃は広く知られた攻撃手法である． 特にレーザー照射によりプロセッサで実行する機械語命令の任意の1bitを操作して別の命令に改変する攻撃が報告されているが，その対策については十分に検討がなされていない． 本稿ではそのような攻撃を命令改変攻撃と呼び，これに対してセキュアに検算をコーディングする手法を提案する．既存のフォールト攻撃対策としてソフトウェアレベルでは検算によって計算のインテグリティを検証する方法が提案されており，既存の検算処理を機械語レベルで修正することで命令改変攻撃に対しても耐性を持たせることを目指す．本稿では提案手法をthumb命令セット上で実装し，その有効性を評価する．我々はシングルスポットレーザーによる現実的な命令改変攻撃をモデル化し，そのモデルによる攻撃をシミュレートする環境を構築した．その環境を用いて対策実装のものと対策未実装のものに対して攻撃をシミュレートし，対策の有効性を示す．

本発表では，Arduino Uno上に実装された楕円曲線署名方式Ed25519に対するサイドチャネル攻撃について議論を行う．近年，IoTの台頭により，様々なデバイスにおいて暗号システムが利用されている．上記で用いられる暗号方式への脅威の一つに，サイドチャネル攻撃がある．サイドチャネル攻撃では，暗号方式の各処理から放出される物理情報を用いた秘密鍵復元を行う．秘密鍵復元を行うためには，秘密鍵を用いた処理全体について，物理情報を高いサンプリングレートで測定する必要がある．しかし，IoTデバイスでは，利用されるCPUの処理能力が低く，秘密鍵を用いた処理時間が長いため，物理情報を高いサンプリングレートで測定できない．本発表では，楕円曲線署名方式Ed25519が同じ平文に対して同じ署名生成処理を行うことに着目し，秘密鍵を用いた処理を分割測定することにより，高いサンプリングレートで物理情報の測定を行う．さらに，上記を踏まえた秘密鍵抽出手法について述べる．

Nowadays, Side-Channel Attacks research papers have increased significantly due to their effectiveness in leaking information from secure systems. Side-Channel Attacks have become the window for the attackers to look inside the security system just by measuring the physical properties of the processor like power consumption, electromagnetic radiation, and execution timings. In this paper, we survey the recent attacks that exploit the timing features in secure processors. Furthermore, existing countermeasures also discussed in this paper.

AESに対する物理攻撃が脅威となっている．AESにおける後半の4ラウンドを用いた物理攻撃の例はあるが，5ラウンドを用いた物理攻撃はあまり知られていない．これは，5ラウンドの理論攻撃に必要な計算量が大きいためである．しかし，近年，5ラウンドの理論攻撃に必要な計算量が，2^32から2^22.25へ改善された．本稿では，複雑度が下がった5ラウンドの理論攻撃を，物理攻撃へ応用する手法を提案する．まず，必要な攻撃者の能力について検討する．また，物理攻撃において，前半の5ラウンドへ理論攻撃を応用する場合，発生するノイズが攻撃へ与える影響をシミュレーションし，定量的に評価した．その結果，ノイズを一定条件へ抑えられれば，2^24の計算量で攻撃可能であることが示された．以上より，5ラウンドの理論攻撃を用いた物理攻撃可能性を示した．

暗号ハードウェアに故障を注入するLaser Fault Injection攻撃の対策として，Bulk Built-In Current Sensorを用いた故障注入対策を施したAES暗号チップが提案されている．対策では，レーザー照射によって回路に生じる電流を検知し，アラーム信号を出力する．先行研究では，外部ピンに出力したアラーム信号からサイドチャネル情報が漏洩し，相関電力解析によって鍵復元が可能であることが示されている．本稿では，レーザー検知回路が搭載されたAES暗号ハードウェアのどの部分にサイドチャネル情報を漏洩する要因があるのかを考察する．最後に，脆弱性への対策と実現可能性について議論する．

これまで、電磁波を通じた情報漏えいの脅威では、機器外部に情報を含む電磁波を放射する機器を対象としてきた。一方、こうした漏えいが観測されない機器もあり、そうしたデバイスは脅威の対象外となっていた。本発表では、情報を含む電磁波を放射しないデバイスに対し、機器外部から特定の電磁波を照射することで強制的な情報漏えいを誘発可能であることを示す。具体的には、USBキーボードを評価対象機器として用い、特定周波数の電磁波照射により機器内部に伝搬した電磁波が、キーボードの打鍵時に生ずる電圧変動によって振幅変調され、機器外部に打鍵情報を漏えいさせる可能性について示す。また、本攻撃が成立する条件について検討する。

リングオシレータ（RO）をエントロピー源に使用した真性乱数生成器（TRNG）は論理ゲートのみで構成可能なことから、多くのデバイスで使用されている。TRNGが出力する乱数はセッション鍵やノンス、マスキング等の様々な用途に利用される。TRNGの乱数性には一様性、再現不可能性、予測不可能性が求められ、乱数の品質は暗号プロトコルに大きく影響する。なかでも、TRNGの予測不可能性が低下し、暗号プロトコル中で使用されるTRNGの出力ビットが推定できた場合、システム全体のセキュリティが大きく低下する可能性がある。一方、暗号ハードウェアに対して、機器の動作時に生じるサイドチャネル情報を取得することで暗号鍵等の秘密情報を取得する攻撃が知られている。仮にTRNGに対してもサイドチャネル情報から出力ビットに応じた機器の動作の変化が取得できた場合、TRNGの予測不可能性が低下し、TRNGの出力を推定できる可能性がある。本稿では、TERO-based TRNGの出力するビットに応じて、回路の充放電が変化することを利用し、その変化をサイドチャネル情報として取得することでTRNGの出力ビットを推定可能であることを示す。また、こうした攻撃に対する対策手法についても提案を行う。

IoT機器の多くは，BluetoothやWi-Fiなどで無線通信を行いながら, 通信データの暗号化を行っている. Camuratiらは，これらのIoT機器が送信している無線通信信号に暗号化処理演算に依存したサイドチャネル情報が伝播することを示した. 実証実験では, 10メートル離れた位置から無線通信信号を収集し秘密鍵の特定が可能であることが示された. 本稿では, Camuratiらが提案した鍵復元方法よりも効率の良い攻撃を提案する. 具体的には、Camuratiらがテンプレート攻撃に用いたPOI(Point of Interest)の設定を最適化することにより, 鍵復元効率が向上した.

深層ニューラルネットワーク(DNN)は画像認識の分野において急速に発展しており、高い分類精度を持っている。このDNNの高い分類精度をサイドチャネル攻撃に応用した深層学習サイドチャネル攻撃(DL-SCA)という攻撃方法に注目が集まっている。DL-SCAは同様の攻撃シナリオであるテンプレート攻撃と異なり、PoI選定や波形の位置合わせが不要となり、攻撃者は暗号・信号処理等に対する高度な知識や経験がなくとも End-End で攻撃ができると考えられている。本稿では未対策，ミスアライメント対策，マスキング AND オペレーション(MAO)対策AES回路をターゲットとして、DL-SCAによる攻撃結果を報告する．攻撃において、学習済みの分類器が波形のどの部分に注目しているのかを、画像認識で用いられるサリエンシーマップを使って明示する。またDL-SCAにおいてはDNNが正しくリーク情報を学習しているか確認することが解析を成功させるための重要な点だが、MAOへの攻撃実験を通して、学習時の評価指標として再現率(Recall)と適合率（Precision）の両方を観測することが重要であることを述べる。

RISC-V は最新のオープンISA (Instruction Set Architecture) であり、ライセンス料が掛からないことや既存ISA の問題点に学んだ無駄を省いた設計から注目を浴びている。RISC-V のもう一つの特徴に、ISA 設計からセキュリティが考慮されていることがある。そのために、PMP (Physical Memory Protection) と呼ばれるメモリアクセスを監視する機構と特権命令が提供される。これらを用いてプロセスごとの資源分離を行うTEE (Trusted Execution Environment) の実装も進んできている。一方で、組込み機器には物理的なアクセスを伴う攻撃の危険性があることが指摘されている。故障注入攻撃はそのような物理攻撃の一つであり、機器に異常な電力やクロック信号を供給することで機器のデータ誤りや計算誤りを誘発する攻撃であり、セキュアブートやリードプロテクト等のセキュリティ機構をバイパスできることが報告されている。 そこで、本研究では、RISC-V のセキュリティ機構に対する故障注入攻撃への耐性を評価することを目的とする。本稿では、PMP によるアクセス制御に基づくプロセス分離に着目し、故障注入攻撃によりバイパスする攻撃の検討を行った。TEE の一実装を対象としたケーススタディにより、PMP の設定切り替えを狙った攻撃の有効性を検討した結果について述べる。

ESP32はIoT向けの高性能なプロセッサとして知られている。本稿ではESP32に実装した楕円曲線暗号（ECC)に対してサイドチャネル攻撃を行った。先ず、PythonによりECCを実装しSPAやRPAが可能なことを確認した。さらに、オープンソースのMicro-ECCについて対策が施されておりSPA、DPAができないことが分かった。一方RPAは可能であり、対策が必要であることが明らかになった。本稿ではMicro-ECCに対しRPA対策を実装し、対策の有効性確認と性能評価を行った。

深層学習を活用したAI(Artificial Intelligence)の発展が目覚ましく，リアルタイム処理や分散処理を目的に，機器へAIを実装したエッジAIデバイスが注目されている．一方で，深層学習の入力に僅かなかく乱情報を加えることで誤判断を引き起こすAdversarial Examples(AE)を用いた攻撃の脅威が知られている．その中でも，深層学習の入力に応じた処理時間の差を用いてAEを生成するタイミング攻撃は，攻撃者が手元で容易に処理時間の計測・解析をできるエッジAIデバイスの場合，非常に脅威である．そこで，本論文では，エッジAIデバイスとしてマイコン実装した深層学習に対して，タイミング攻撃の評価を行った．また，タイミング攻撃対策を実装し，その効果を検証した．実験結果により，タイミング攻撃は，マイコン実装の深層学習に対して，効果的なAEを生成できることを示した．さらに，深層学習における活性化関数の実装を，入力によらず処理時間を一定にすることで，タイミング攻撃の対策として，効果があることを明らかにした．

IoTデバイスは、MCUとRTOS (Real-Time Operating System) によってネットワークに接続しつつ、機器を実時間制御する。DDoSのようなネットワークトラフィックを異常に増大させる攻撃によって、リアルタイム制御の性能が阻害されると、ロボットがバランスを失って転倒したり、自動車のブレーキが間に合わずに衝突するようなリスクが懸念される。RTOSでは、物理制御を行う重要なタスクには高い優先度を与えることで、実時間性を確保するが、ネットワークのようなやはり実時間制御を要求されるタスクが並行実行する場合に、物理制御タスクが安定して実行できるかは明らかではない。タスク実行開始のレイテンシをμ秒オーダで計測する手法を考案し、タスクの実行周期を変えながら、ネットワーク負荷環境を変えて計測したところ、高ネットワーク負荷環境では1-2μ秒程度の遅延の増大が観測されたが、大きな実行周期の乱れはないことがわかった。

この 10 年間で急速に普及したスマートフォンは、プライバシーに関わる情報や金銭に関わるような情 報なぞ、利用者にとって重要な情報の処理を担うようになった。このためスマートフォンは、OS やアプリケー ションに対する改ざんや乗っ取り、あるいは保存されているデータや処理過程の覗き見なぞの攻撃の危険に、常 にさらされている。一方、スマートフォンの OS やアプリケーションは年々複雑性を増しており、バグや仕様ミ スによる脆弱性が混入する可能性が高くなっており、さまざまな攻撃から完全に防御することが困難になってき ている。このような背景から、スマートフォンでは利用者の認証処理や決済処理なぞ重要な処理を複雑な OS か ら分離された環境の小さなコードとして実行している。この分離された環境は、ハードウェアの機能とファーム ウェアの機能の組み合わせ(プラットフォーム)によって実現されている。この技術は、1970 年代から脈々と研 究されてきた技術が組み合わさったものであり、スマートカードやコンピュータープラットフォームのセキュリ ティの研究の影響を受けている。また、今後普及が見込まれている IoT プラットフォームにおけるセキュリティ 技術としても注目されている。このため、この技術の一連の歴史を知ることは、IoT セキュリティを研究する上 で大変重要である。本稿は、スマートカード、コンピュータープラットフォーム、モバイルプラットフォームに おけるセキュリティ技術、そして IoT プラットフォームにおけるセキュリティについてぞのような変遷を辿って いるのか考察したものである。

平成30年11月15日に人工衛星等の打上げ及び人工衛星の管理に関する法律が施行された．同法律の関連ガイドラインには，民間事業者による小型衛星や小型ロケットの打ち上げに際して通信セキュリティの確保が必要である旨明記されている．筆者らは，これら小型宇宙機と地上局間の通信において，低コスト民生電子部品を使用しつつ情報理論的安全性を確立することを目指し，セキュリティ要件の整理，プロトコルの検討，およびプロトタイプ処理系の作成を行ってきた．民間小型ロケットMOMOの打上げにおいて評価実験を行った結果，鍵の同期方法や鍵ストレージの構成など，実用化のために検討すべき実装上の課題が判明しつつある．本稿ではそれらの課題と対策の方向性について述べる．

タイムロックパズルは定められた計算時間が経過するまでメッセージを秘匿することができるパズルを生成する技術である。今までタイムロックパズルの安全性として識別不可能ベースのものが使われてきたが、それがタイムロックパズルの本来満たすべき安全性要件を直接的に満たすかどうかは不明である。本論文ではタイムロックパズルの安全性要件をより直接的にとらえる安全性（強秘匿性）を定義する。また、これらの安全性の関係を攻撃者の計算能力に着目して整理する。

今日企業は多くのサイバー攻撃を受けている．例えば，2018年には443件の個人情報漏洩インシデントが発生し，約561万件の個人情報が漏洩した．この脅威に対して，企業は各種のセキュリティ対策を導入して，セキュリティリスクアセスメントを行なっている．しかしながら，認証取得にかかるコストとインシデント削減効果の関係は明らかではなく，信頼できるリスクの基準が求められている． 　そこで，本研究では、JNSAが収集した2005-2016年のインシデント情報を用いて，企業規模や業種などの異なる組織のリスクを算出する確率モデルを提案する。提案モデルの特徴は，負の二項分布に基づき，与えられた任意の条件の企業におけるインシデントの発生確率を定式化することである．提案モデルに基づき，セキュリティ対策の異なる企業間でインシデント発生確率の差を示し，その原因について考察を与える．

Access management using the Web seems to be heading for failure. While the Web offers a lot of convenience, the negative aspects of the shadow are increasing, such as fake news, slander, flaming, fraud, and kidnapping that exploits the irresponsible anonymity of the Internet. In this paper, as a solution, we examine a method of constructing a social graph from the access history of information recorded on the hyper ledger based on anonymous credentials and blockchain. In this scheme, information is delivered through many "friends" while securing authentication and authorization at the network layer level with a certified cryptographic protocol. The final decision is made by a human who has gained AI support while viewing the social graph. In the process, it is also revealed which “friend” owns which information. With this scheme, the true value of the Web can be brought closer to the original ideal while achieving the effect of “People get their personal information back from the digital giants” that the MIT project Solid of Sir Tim Berners-Lee is aiming.

チャレンジレスポンス型のエンティティ認証は，メッセージ認証を利用して実現することができる。 多数のエンティティを同時に認証する場合，各エンティティからのレスポンスを集約して圧縮し， それに基づいて全エンティティを一斉に認証することが可能であれば， 例えば，中継器にて各エンティティからのレスポンスを集約した後に 各エンティティの秘密鍵を管理するサーバに送信すれば，通信量を削減する効果が期待できる。 これを動機として，本稿では，まず， このような集団検査機能をもつ集約エンティティ認証方式とその安全性を定式化する。 次に，集団検査機能をもつ集約メッセージ認証方式を用いた構成法を提案し， 構成要素である集約メッセージ認証の安全性に基づいて，提案法の安全性が保証されることを確認する。

Webサービスの機能をAPIとして公開する需要がますます高まっている．APIを用いることで，例えば，あるWebサービスのユーザが所持するデータを，ユーザの同意のもと，サードパーティアプリケーションと連携させることが出来る．このようなユースケースにおいて，サードパーティアプリケーションに適切な権限を委譲するためにOAuth 2.0が開発された．OAuth 2.0 は複数の技術仕様から構成されるが，中心となる技術仕様は柔軟性のある記述が多く，安全にOAuth 2.0を利用するためには，拡張仕様を参照する必要がある．現在は多数の拡張仕様が公開されており，全ての開発者がそれらの仕様を正確に理解することは難しいとの指摘もある．その結果，あるチェック処理の漏れがOAuth 2.0の安全な利用に対してどの程度の影響があるか，開発者が把握出来なくなるなど，脆弱な実装を生み出す要因となっている．本稿では，開発者視点で安全なOAuth 2.0の利用方法を提示することを目指し，OAuth 2.0のベストプラクティスの分析を行い，どの対策がどの程度に重要であるかを体系化して明らかにした．

アグリゲート認証方式は複数のデバイスから送信されるそれぞれ異なる送信情報とその認証タグに対して，認証タグを1つのアグリゲート認証タグに集約する認証技術である． また，異常なデバイスを特定できるアグリゲート認証方式を追跡機能付きアグリゲート認証方式という． 本稿では，陪直交符号を応用したアグリゲート認証方式の構成について，補助情報を用いた検証アルゴリズムに関する異常位置の特定精度を向上させる手法を示す．

ソフトウェアの規模が拡大し続ける一方で，リリース後に脆弱性を見逃したことが発覚するケースがある。しかし，複雑化した大規模ソフトウェアの中から脆弱性を見つけるのは工数や開発者の負担といった点で容易ではない。静的コード解析ではコーディング時にソースコード内の脆弱性を見つけることができるので，修正にかかる工数の削減や開発者の負担の軽減が可能である。既存の静的コード解析ツールには，モデル検査やデータフロー解析などを用いたものが多い。本論文では，ソースコード静的解析によるバッファオーバーフロー脆弱性検査を深層学習（Deep Neural Network: DNN）を用いて試みた。ソースコードを検査器に入力する際，学習に不要な部分を削減することを目的として，プログラムスライシングの技術を用いてソースコードを細分化する。既存手法ではプログラムスライシングする方法としてLLVMを利用するものがあるがコンパイルしなければならない。そこで，本論文ではコンパイル不要のスライシング手法を導入した。我々が実装した検査器による脆弱性診断結果として，Micro平均で85%以上の精度を得られた。

データ流通におけるデータ提供の阻害要因として「心理的障壁によるデータ提供の委縮」を一因と考え，その心理的障壁を低くする為のテキストマイニングによる脅威類推手法を提案する．また，本手法による実験結果についても報告する．

モデルベースを用いた開発が現場で普及しつつある。我々は、その開発において設計情報を入力し、その情報にセキュリティ機能を適切に導入する方式を検討している。この方式は2つのフェーズで実施する。第1のフェーズは脅威分析、第2のフェーズは脅威分析を根拠にした対策の抽出である。SCIS2018では、この対策機能を支援するDBの開発を手動で行っていた。この手動による課題は作成コストだけでなく、脅威と対策、対策と規格・標準の関連付けを定性的に行わなければならず、作成後のセキュリティ専門家のレビューを必要とする。そこで、情報と情報の関連付けを定量的に実施するため、機械学習であるSCDV(Sparse Composite Document Vectors)を用いて数値化する。提案方式は、このSCDVで訓練する情報にCWE(Common WeaknessEnumeration)の脅威情報と対策情報を結合させ、その情報から適当な訓練パラメータを導出することで脅威と対策の関連付けをベクトルで表現する。さらに、この表現を応用したトレーサビリティを表現する方式についても述べる。

マルウェアはサイバー攻撃に利用され情報漏洩などの被害をもたらし，時に世界規模で感染拡大することもある．マルウェア攻撃を未然に防ぐ方法のひとつに過去に起きた事例から分析し攻撃の兆候をいち早く察知する方法がある．本研究ではマルウェア検出情報に関する時系列データからマルウェアの分布に関する情報を抽出し統計的に解析を行う．まず国ごとに発生傾向によるクラスタリングを行い，時間に影響されないマルウェアの地域性について示しそのクラスタごとの特徴を各国の様々な指標を用いて考察する．次に，時系列上で見た時のマルウェアの感染分布の変化に着目した．マルウェアは一部地域で流行した後に感染活動が活発化し流行が始まると考えられる．この時マルウェアが流行するまでに辿る経路には傾向があると考え，本稿ではマルウェアの感染分布の時系列的変化からマルウェアの感染経路を抽出し，クラスタ分析により主要な感染パターンを抽出する．そして，マルウェア時系列データにおいてその主要感染パターンがマルウェアの発生する地域を正しく表していることを示す．

LinuxにはSECCOMPなどバイナリが使うシステムコールを制限する技術があるが、バイナリが使うシステムコールを明確にすることは難しい。 多くはstraceなど動的解析から求めているが、カバレッジが100%である保証がないものが多い。静的解析もあるが、ld_open()などを使ったダイナミックリンクがあると解析が難しい。 本論文では全てのバイナリが静的リンクされたLinuxディストリビューションであるstaliのバイナリを対象に、静的解析方法の考案と実装を行った。 実際に解析を行った結果、一つのシステムコール呼び出し命令に対して少なくとも一つの対応するシステムコールが見つかり、バイナリを実行するのに必要十分なシステムコールを列挙することができた。 また各バイナリを異なる最適化オプションでビルドしたところ、呼び出されるシステムコール毎の数に変化が見られた。 本発表では、静的解析のためのプログラムの設計および実装、得られた解析結果について説明する。

IoTシステムのリスク評価は，セキュリティだけでなく，セーフティも含めて評価する必要があるといわれてきた．報告者らはIoTシステムを対象とするためには，さらにリモートメンテナンス機能によってもたらされるメンテナビリティも含めてリスク評価できるようにすべきだと考え，そのための手法を開発してきた．今回，リモートメンテナンスを導入するとIoTシステムの管理者とリモートメンテナンス業者の間で扱うべき個人情報が異なることから，アクセス制御やフロー制御により得られるプライバシーを含めたMSSP（Maintainability, Safety, Security and Privacy）コンセプトに基づきリスク評価を行うことが必要と考えそのための方式を開発した．この方式は対策前のリスクの大きさを明確にするだけでなく，対策案の最適な組み合わせを求める機能を持つ．本方式並びにそれを支援するプログラムMSSPPを医療用の敷布型マルチバイタルIoTモニタシステムに適用した結果，対策案の最適な組み合わせを具体的に求めることができた．これにより，本方式はIoTシステムに対しては，MSSPコンセプトに基づく対策案の最適な組み合わせを求めることができるとの見通しを得た．

近年，"Mirai"などのマルウェアによる，IoTデバイスを標的としたサイバー攻撃が増加している．IoTデバイスに含まれるOSSの脆弱性を利用し，"Mirai"亜種の実行ファイルをダウンロードしBotnet化するものも確認された．デバイスには商用ソフトウェアおよびOSSを使用して構成されており，OSSの脆弱性管理の重要性は高まっている．IoTデバイスに含まれるソフトウェアを把握する重要性を米国NTIAや，経済産業省のサイバーフィジカルセキュリティ対策フレームワークでも議論されている．本研究では，スマート家電を提供している企業のOSS利用公開情報からソフトウェアBOMを作成し，スマート家電に含まれている各OSSと脆弱性情報を紐付けリスクの推測を行う．

近年，サイバー攻撃の脅威は，ICT(Information and Communication Technology) 分野にとどまらず， 制御システム（Operational Technology, OT）やIoT（Internet of Things）の分野にも及んでおり，実際に被害事例も発生している． 特に制御システムにおいては，電力システムや工場の停止など，重要インフラの稼働を脅かす事案も起こっている． このようなサイバー攻撃の脅威からシステムを守るためにはセキュリティリスクアセスメントを実施することが重要である． 独立行政法人情報処理推進機構セキュリティセンター（IPA）が公開する「制御システムのセキュリティリスク分析ガイド」（以下，分析ガイド）は， セキュリティリスクアセスメントの実施手順が説明されており，セキュリティ実務者にとって有用なガイドである． しかし，脅威に対する評価指標の算定においては，攻撃手法，脆弱性情報，対策製品などの知識が必要であり， セキュリティ実務者が高度なセキュリティに関する知識を保持していなければ，適切な指標を算出することは難しい． そこで，本研究ではシステム構成情報や脆弱性情報を用いて生成した攻撃グラフから，分析ガイドで必要とされる評価指標を算定する方法を提案する． これにより，セキュリティ実務者でなくともセキュリティリスクアセスメントを可能とする． また，実際のペネトレーションテストで見つかった攻撃ルートと比較し，本提案の評価指標が妥当であることを示す.

セキュリティ担保のテストの一つとしてファジングが盛んに用いられている。ファジングはテスト対象に対しファズと呼ばれる多くの予期せぬテストケースを与え、テスト対象の振る舞いを監視することにより脆弱性を発見するテスト手法である。 しかし通信プロトコルに対するファジングにおいては、通信主体が内部的に状態を持つため、ランダムに生成したテストケースの入力では通信がコネクションの時点でアボートしてしまう、ファイルファジングと比べてテストケースが煩雑化しやすいといった問題点を抱えており、ファズ生成がヒューリスティックに頼らざるを得ない側面も大きい。 本研究では、プロトコルファジング特有の問題について考察を行い、Bluetoothプロトコルを題材としてファズを生成する手法を提案する。提案法では、プロトコル正規の通信を構造化し、遺伝的アルゴリズムを活用することでアボートを回避しつつ検証者が想定しないファズを生成することを試みる。

近年，能動的なセキュリティ対策のための自動テスト手法として，ファジング（fuzzing）が注目されている．しかし，現在のファジング関連の研究はその多くがシンプルなベンチマークにより評価されており，実際の開発における利用方法の議論が不足していることが問題となっている．そこで本研究では，より複雑なミドルウェアに対し開発者が効果的にファジングを適用するための手法を提案する．ケーススタディとして，オープンソースの組込み向け TCP/IP スタック lightweight IP（lwIP）に対して提案手法を適用する．さらに，提案手法に基づいたファジング結果と，既存のファジング結果を，コードカバレッジと検出されたクラッシュ数を指標として比較する．結果として，提案手法を適用することでファジングによる探索範囲を拡大し，より多くのクラッシュの検出に成功した．

本論文では、フィッシング事業者による経済活動としてのフィッシング攻撃についてのべる。経済活動として重要な要素として、Return on Investment(RoI)とTotal Cost of Ownership(TCO)、および確実性がある。本書では、これらの指標をもとに、昨今の証明書業界を例として、フィッシング事業者対策について考察する。

暗号プロトコルTLSのハンドシェークは、通信データ量に関して必ずしも最適化されていない。暗号通信が増える中、TLSの通信を効率化することの意義は大きい。本発表では、セッションを効率的に再利用し、TLSの通信データ量を低減する技術を報告する。 TLS1.2には、セッションを再利用する方法としてセッション再開がある。セッション再開では、マスターシークレットを含むセッション情報をサーバーとクライアントがキャッシュしておき、このセッション情報を再利用してセッションを開始する。多数のセッションが確立され、サーバーのセッションキャッシュの容量をセッション情報の総量が超えた場合、溢れたセッション情報はキャッシュから削除される。クライアントが削除されたセッション情報でセッション再開を要求した場合、サーバー側でキャッシュミスヒットが起き、セッション再開でなく通信量の大きなフルハンドシェークが行われる。我々は、サーバーがクライアントの接続実績をもとにセッション情報のキャッシュ優先度を決め、優先度が高いセッションをキャッシュに残すことにより、キャッシュヒット率を向上させる技術を開発した。技術仕様と実装評価結果を報告する。

The Internationalized Domain Name (IDN) homograph attack is defined as a web security problem, in which case the attackers deceive the computer users about what websites they access by homologous domain names. Recently the growth of IDN homograph attack has become severe problems with a significant probability of criminality like frauds for ordinary users. Although various prevention methods were applied, like presenting the Uniform Resource Locator (URL) by Punycode instead of Unicode, a general IDN homograph attack detection method is essential for ordinary users. Based on the original idea of IDN homographs classification with the Structural Similarity Index (SSIM) by T. Thao et al. (IFIP Sec'19), we propose an improved classification method in this paper. The original method includes image generation for each pair of homograph candidates, calculation of SSIM values, and training of classification models with machine learning techniques. The initial approach seemed promising, and we wanted to improve the strategy for better performance. Therefore, we propose a new method by making utilization of average and sum SSIM values of different characters in each candidate pairs, instead of SSIM of all pairs of characters in the domain strings as the training feature. The criteria of performance evaluation mainly focus on accuracy and false positive rate of prediction models. Compared to the original approach, the experiment results showed that the improved classification method could increase the accuracy from 95.07\% to 96.18\% and decrease the false positive rate from 3.92\% to 3.23\%. We also conducted conduct an empirical analysis of the IDN homograph data and training processes of the SSIM classification approach for discussion.

近年，フィッシングによる個人情報の詐取が増加しており対策が急務となっている．次々とドメイン名等を変更しながら行われるフィッシング攻撃は，URLブラックリストによる対策が困難であるが，同一の攻撃で用いられるサイト群は，その構造が類似している場合が多い．筆者らはWebサイトの構造の類似するフィッシングサイト群を検知するために，サイトを構成するリソースの種類・総数・サイズの情報により定義されるリソース統計情報の一致性を用いたフィッシングサイト検知手法を提案した．前回の報告では，Webサイトの見た目の類似性を重視する観点から，サイズ情報の取得を画像の場合に限定していたが，画像以外のリソースの種類・総数の類似性に基づいて未知フィッシングサイトを検知できる事例が多数あることが判明した．そこで本稿では，リソース統計情報を全リソースのサイズを要素に持つ集合と再定義し，集合間の類似度を用いることで，同一の攻撃で利用されているサイト間のある程度の変化を許容しながら類似サイトを検知する手法を提案する．実データを用いた評価の結果，提案手法は従来手法より多くの未知フィッシングサイトを検知できることが分かった．

　電子メールを媒体とした，模倣品ショッピングサイトやフィッシングサイトへ誘導するオンライン詐欺が後を絶たない．フィッシングサイトは年々増加傾向にあり，2019年第1四半期に検出されたフィッシングサイトは約18万件にのぼる．当該サイトへの対策は，セキュリティソフトのほか，Webブラウザの拡張機能などで提供されており，それぞれが独自の検知機能やブラックリストにより安全性を判断している．我々は以前より，短縮URLの安全性について，複数の安全性評価サービスの検査結果を分類する手法を検討している．今までに，SVMやロジスティック回帰などの分類器を作成し，提案手法の有用性を確認した．本稿では，評価用データにフィッシングサイトを用いた場合の分類器の汎化性能の再評価と，単体の安全性評価サービスによる検査結果と提案手法による統合結果との比較をもとに提案手法の有効性を検討する．

Androidにおいて，リダイレクトにより利用者の意図しないWebサイト（以降，悪性Webサイト）へ誘導する攻撃が存在する．この攻撃への対策として，我々は，アクセシビリティサービスを用いたURLバーの切り替わり間隔に着目した悪性Webサイトへの遷移を検知する手法を提案した．提案手法は，悪性Webサイトの情報を事前に収集することなく，ブラウザアプリのURLバーの切り替わり間隔のみを用いて，悪性Webサイトへの遷移を検知できる．しかし，悪性Webサイトへの遷移と判定するURLバーの切り替わる回数や経過時間を適切に設定するための評価が十分ではない．本稿では，提案手法を用いる際の悪性Webサイトへの遷移と判定するURLバーの切り替わる回数や経過時間の閾値を決定するため，実際のAndroid端末の利用を想定した環境において実施した評価について述べる．また，評価結果をもとに，良性Webサイトへの遷移を誤検知することを抑制できる提案手法の閾値について，検討した結果とその閾値を用いた際の検知精度について述べる．

スマートフォンの普及に伴い，不正利用による個人情報の閲覧・流出の危険性が懸念されている．現行の個人認証手法である知識による認証にはトレードオフ，身体的特徴による認証には不変なデータであるが故の複製等の問題があるため，不変なデータを利用せず，安全性を保持した認証が必要である．本研究では，行動履歴であるブラウザの閲覧履歴を利用してWebページのスクリーンショットを取得し，それらを秘密情報とした画像認証を提案した．利用者がブラウザで閲覧したWebページを正解画像，未閲覧のWebページを不正解画像として混在させて提示することにより，利用者のみが知りえる情報を利用した秘密情報を更新可能な認証が可能となる．本稿では，日常利用を想定した実験と推測攻撃に対する耐性の検証を行った．日常利用を想定した実験の結果，ブラウジングから1時間後，5時間後，24時間後以降の間隔の認証は高い認証成功率で認証可能であることを示した．推測攻撃は，利用者の情報を利用しない場合と利用する場合の両方を行い，どちらの場合も攻撃者による正解画像の推測は困難であることがわかった．

Androidアプリの多くはインターネットに接続することで多彩な機能を提供している．このような通信に対する盗聴や改ざん，なりすましなどへの脅威の対策としてSSL/TLS(Secure Sockets Layer / Transport Layer Security)が一般に利用されるが，その仕様や実装による脆弱性がJVN iPediaなどの脆弱性データベースで多く公表されている．これまでの調査では，SSL / TLSを取り扱うライブラリやミドルウェアの問題の他に，開発者の実装に問題があることが指摘されている．本稿では，日本のGoogle Playストアで公開されているアプリの一部について証明書検証不備とホスト名検証不備の脆弱性を調査した結果を報告する．

Webページの閲覧によるマルウェア感染などのWebを媒介とするサイバー攻撃が問題となっている．Web媒介型攻撃は，ユーザ端末のWebブラウザを狙った攻撃であるため，攻撃の実態を把握することが難しい．また，攻撃に利用される悪性Webサイトは，観測を避けて攻撃の特徴を隠蔽することや，短い時間に活動を止めてしまう特徴がある．筆者らは，この課題を解決するためにユーザ参加による攻撃観測システムを提案および開発してきた．このシステムでは，ユーザ端末からWebブラウザの履歴を収集することによって，ユーザが遭遇する攻撃を直接観測する．これまでPC端末のWebブラウザを対象にしたシステムの研究開発・実証実験を行ってきたが，Web媒介型攻撃が近年スマートフォンに拡大している．そこで，スマートフォンを対象にした改良システムを提案する．提案システムは，スマートフォンのWebアクセス履歴だけでなく，アプリの表示履歴も収集する．また，ユーザの長期間の実証実験参加を促すために，定期的な問いかけによる興味関心を維持する仕組みを導入する．本稿では，提案システムの設計および実装について説明する．

SQLインジェクションは未だに多発しており，個人情報の漏洩といった重大な被害に繋がっている．SQLインジェクションの検知にはWAF (Web Application Firewall) が用いられる．WAFはSQLインジェクションを検知することは可能であるが，その攻撃がどのような被害をもたらすかといった分析まではできていない．そのため，被害の分析は人手で行う必要があり時間を要する．本稿では，分析時間の短縮を目的として，SQLインジェクションによる被害を識別する手法を提案する．提案手法では，HTTPリクエスト中に含まれる部分的なSQL文のみを解析対象として，構文解析によってSQL文の木構造を推定し，木構造をもとにSQL文を部分的に実行し挙動を把握する動的意味解析を行った結果から被害を識別する．識別精度の評価によって，人工データセットに対して83.1%，実環境のデータセットに対して71.9%の精度で正しく被害を識別できたことを示す．

サイバー攻撃を検知する手段として，侵入検知システム（IDS）が広く知られている．IDSはネットワークの状態を監視して，異常があった場合に管理者にアラートを発するシステムである．しかし，一般的にIDSは大量のアラートを発するため，運用管理が難しいという問題があった． そこで，IDSから発せられたアラートを時系列データの処理に適しているRecurrent Neural Networks(RNN)で学習し， そのアラート数の予測値を用いてIDSを効率的に運用する手法を提案する．実験では学習データとして観測されたアラートを用いて，1時間先のアラート数の予測値を繰り返し利用する繰り返し予測手法と，RNN Encoder Decoderを用いて48時間先のアラート数を一度に算出する一括予測手法を提案し，それらの予測精度と計算時間を比較した． 結果として，両手法ともに高い精度で予測が可能であり，計算時間は繰り返し予測手法が優れていることが明らかになった． 提案手法により，将来発生するであろうアラート数を事前に捉えることができるため，IDSの運用管理の効率性を飛躍的に高めることが期待できる．

Advanced Persistent Threat 攻撃による被害状況を調査するため，監査ログに記録された情報から攻撃の痕跡を追跡する手法が提案されている．既存手法は監査ログにOSレベルの情報が全て記録されていることを前提としている．しかし，この前提を満たすことは現実的には困難である．本論文ではまず，何故この前提を満たすことが困難なのかを明らかにする．次に，この前提を満たさない場合でも攻撃の痕跡を追跡可能とする手法を示す．我々のアイデアは既知の攻撃手法に関する情報(Tactics，Techniques，and Procedures)を用いることにある．これらの情報を用いることで，OSレベルの情報が全て記録されていない場合においても断片的な情報から攻撃を推測し，攻撃の痕跡を追跡可能とする．最後に，実環境で取得した監査ログを用いて提案手法と既存手法の比較評価を実施したので，その結果を示す．

標的型攻撃では，攻撃者は組織内に侵入した後，正規のアカウントを窃取して、リモートから管理操作やファイル操作を行って諜報活動を行う．我々の開発する高速フォレンジック技術は，通信データからフローを再構築し，悪用された正規アカウントの情報と攻撃者が実行したリモート操作・ファイル操作を抽出する．この技術を利用して，動的活動観測BOS(Behavior Observable System)，攻撃誘引基盤STARDUST 等から，実際の標的型攻撃の証跡を収集した．本稿では，これらの証跡を元に攻撃者の挙動分析を行った結果について述べる．

近年サイバー攻撃が高度化・巧妙化しており，従来のセキュリティ製品の防御機能だけで内部ネットワークを守ることが難しくなっている．サイバー攻撃に対して既存製品では防ぎきれない未知の攻撃の侵入を検知するため，各組織のCSIRT部隊が製品のログを分析して調査している．しかし，ログの量は膨大なため，調査すべき対象のログを絞り込む手段が必要である．従来，ログを絞り込む手段としてAIを活用する方法があるが，誤検知アラート数が多い課題がある．そこで本稿では，誤検知を抑制するために，CSIRTと共同開発している2段階の異常判定を用いたサイバー攻撃監視支援システムを紹介する．本システムは，2段階目の異常判定に教師あり学習を用いており，検知結果の正誤をCSIRTにフィードバックしてもらうことで，日々の運用の中で性能を向上させることができる．本システムの評価のため，社内ネットワークを模擬した仮想環境でマルウェア検体の攻撃ログを取得し，実環境ログに混入させて検知率および評価データ全体での異常判別数を検証した．

近年，産業用制御システム（ICS）へのサイバー攻撃が増加傾向にある． ICSへ導入されるセキュリティシステムは，既存の製造機器やネットワーク環境に影響を与えないよう， パッシブなネットワークベースの侵入検知手法を利用することが多い． ネットワークベースの侵入検知手法には大きく分けて，アノマリ型，シグネチャ型が存在する． 各手法ではそれぞれ検知可能な攻撃対象が異なっており， 実環境に導入する際はそれぞれを組み合わせて使用する必要がある． サイバー攻撃を網羅的に検知するためには， 各侵入検知手法のカバレッジを理解して組み合わせることが重要である． 本研究では，アノマリ型の侵入検知のうち，フローベース手法を対象にし，攻撃種別ごと，攻撃のパケットレートごとの検知性能の評価を行う． 実験として，実際のICS の環境で取得したデータに複数の攻撃データを混入し作成したテストデータに対して， フローベース手法を適用し評価を行う． 実験の結果得られたICSデータに対するフローベース手法の検知性能を評価するとともに， 使用した従来手法を元に，ICS の環境へ適用する際の問題点を述べ，改善案を提案する．

大学などの多くの機密知財情報を持つ機関に対するサイバー攻撃の傾向を調べることは重要である。本研究では、茨城大学に割り当てられているクラスBのIPアドレス空間のうち、ファイアウォールを通さないダークネットの複数IPにおいて、ハニーポットを用いてTCP3ウェイハンドシェイク後の通信の観測と分析を行う。加えて、商用で広く利用されているアマゾンウェブサービス（AWS）にも同一のハニーポットを単一IPに設置して、観測結果の比較を行う。IP、ポート、入力されたスクリプト・コマンド、ユーザ名・パスワード、送られてきたマルウェア等を比較した結果、特にポートにおいては、大学設置のハニーポットへはTCP/22へのアクセスが多いが、AWS設置のハニーポットへはTCP/445、TCP/1433へのアクセスが96%を占めた。

近年,DRDoS攻撃(Distributed Reflection Denial-of-Service Attacks)による被害が増えている. リフレクションサーバは,普段使用しているDNSやNTPといったサービスを提供している.また,送信したデータに対して受信するデータの方が大きいという特徴が挙げられる. 攻撃者は標的コンピュータになりすまし, DNSやNTPといったサーバに対して, 大量のデータ送信を要求するような問い合わせを行うことで攻撃者自身のIPアドレスを隠しながら攻撃を行うことが可能である. これまでの研究では主に,インターネット上に観測機器を置き,DRDoS攻撃を観測していた.しかし,インターネット上にあるたDRDoS攻撃以外のデータも観測され,DRDoS攻撃だけの特徴抽出は難しかったと考えられる.そこで,本稿では意図的にDRDoS攻撃を発生させ,DRDoS攻撃の効果的な対策及びDRDoS攻撃の検証を行うための仮想環境の構築を行う. さらに,鈴木らの研究で示された通り,外部からのDDoS攻撃ではまずUTMが停止する.そのため,本稿ではUTMとして,Snortを用いてその挙動を検証する.

工場やプラントなどの制御システムは,従来インターネットには接続されていないクローズドな環境であったため,セキュリティ上の脅威に対してあまり考慮されていなかった.しかし,近年のデータ公開に対するニーズの高まりや利便性を求め,制御システムにおいても汎用製品,TCP/IP通信プロトコルなどが導入されてきている.よって,それらの技術に対しての攻撃が制御システムにおいても発生するリスクが高まってきている. 制御システムにおける異常検知手法として，田村らの研究では，マルコフ連鎖を用いる検知手法にパケット類似度を利用する手法が提案されている．しかし，評価では深刻な攻撃が行われる前のポート開放を確認する攻撃のみで評価されていた． そこで本研究では，パケット遷移を利用する検知手法において，ポートスキャンだけでなく，DoS攻撃，偽装コマンドの実行等の事前調査以外の攻撃シナリオにおいても検知精度の比較評価を行う．そのために，IPパケットのLengthおよび制御に関わるデータを利用する．さらに，想定ネットワークの一時的な変化に対応するための方法の提案と評価も行う．

DRDoS攻撃はDNSやNTPなどのプロトコルを悪用し，効果的に大量の通信を発生させ，攻撃対象の通信帯域を圧迫する攻撃手法である．大規模な攻撃では数百Gbps規模の攻撃が発生し大きな被害を及ぼすことから，対策が希求されている． DRDoS攻撃の対策においては，大量の通信が届いている被害者側での対処は困難であり，攻撃の踏み台となる不適切な設定の機器の撲滅は，サーバ以外にも一般ユーザのルータや家庭用IoT機器にも及ぶため難しい． 一方，ネットワーク経路上での対策に，ISPによるネットワークフロー監視と異常トラフィックの検出があるが，脆弱なIoT機器に感染したボットネットによる攻撃リソースの増加に従い攻撃の規模は増大しており，単独のISPのみによる対処は益々困難になると考えられる． そこで本研究では，ネットワークごとにDRDoS攻撃の兆候を判定し，それらの情報を集約することでDRDoS攻撃を検知し，異なるネットワーク上のルータが協調して攻撃パケットを選択的に破棄するDRDoS攻撃対策手法を提案する．また，提案手法の有効性をDNSを用いた実際のDRDoS攻撃時のトラフィックデータを用いて評価する．

ＱＲコードは独立したデータ空間を一つ有し，誰でもが読み取れる公開データ領域となっている．一方，特定の読み取り者のみが読み取れる秘匿データ領域があると，その応用範囲を拡大することが可能となる．また，ＱＲコードは誰でもが作成することが可能であり，なりすましや偽造が容易に実行可能である．その対策の一つとして，シンボルに電子署名を実装することがある．秘匿データの受渡しおよび安全なデータの受渡しの両方を実現するためには，公開データ領域，秘匿データ領域，電子署名領域の三つの独立したデータ領域が必要となる．これらを収容するシンボルとして，中央サブセル部と格子サブセル部を有する菱形サブセル構造のＱＲシンボルを採用する．中央サブセル部に公開データを，格子サブセル部に電子署名を収容する．また，中央サブセル部と格子サブセル部の黒（暗色）サブセルを二重符号化した記憶領域に秘匿データを収容する．秘匿データは，受領者の楕円関数公開鍵を用いて暗号化し，収容する．電子署名は公開データ及び暗号化秘匿データの両方を対象に作成する．これにより，公開データに加えて秘匿データを，安全に受渡しすること可能にする．

CAN (Controller Area Network)は自動車で用いられる主要なネットワーク方式の一つで，車載器，特に電子制御コントローラ装置すなわちECU(Electronic Control Unit)相互の接続を容易にし，センサ情報や制御情報等を交換するのに使用されている．CANのプロトコルは非常に簡単で認証や暗号化の仕組みもないため，攻撃によりCANに接続されるECUが不正な値を送信することや，他のECUになりすまして自動車の制御を妨害することが可能である．そのような状態を検知するために車載IDS (Intrusion Detection System)の研究・開発が行われているが，不正検知後のセキュリティ侵害の発生したECUをどのように措置するべきかについての議論はまだ始まったばかりといえる．筆者らは車載IDSと連動して動作する，任意のECUを切り離すケーブルからなるIPS (Intrusion Prevention System)の提案を行っており，本論文では，そのスマートCANケーブルのPoC実装と実車に適用した実験結果を報告する．

近年，自動車を対象にしたサイバーセキュリティの議論が活発に行なわれている．その一つに車載ネットワークへの不正機器の取付け（タッピング）がある．不正な機器が取付けられ，攻撃された場合，ゲートウェイ(GW）などのセキュリティ機器を介さない攻撃となるため，重大な被害が想定される．これを防ぐために，主要な車載ネットワークであるController Area Network (CAN）において，物理的な接続診断により攻撃前に不正機器の取付けを検知する手法が既に提案されている．しかし，診断用の信号が必要など幾つかの問題があった．本論では，正規のElectronic Control Unit (ECU）が発信するCAN信号を診断信号として利用する診断手法を提案する．自作のバスを用いて提案手法の実証実験を行い，有効性を確認した．さらに，タッピング位置が検出精度へ与える影響を調査した．

近年の自動車業界ではコネクティッド化や運転支援システムなど自動運転に向けた車載ネットワーク通信の高速化の要求が高まっており，大容量通信ネットワークとして車載Ethernet プロトコルが注目されている．一方でコネクティッド車両は外部との接続により，サイバー攻撃にさらされる可能性が高く問題視されている．車両の運用面でのセキュリティ対策では，侵入検知システムの導入が重要である．そこで本論では今後導入が検討されている車載プロトコルSOME/IP(Scalable service-Oriented MiddlewarE over IP)に対する攻撃を検証し，侵入検知手法について検討を行う．

自動車のサイバーセキュリティ対策において，多くの侵入検知アルゴリズムが提案されている．しかしながらその一方で，提案されている侵入検知アルゴリズムの正当性や妥当性に関して，十分に評価できないことが課題となっている．このため，著者らは侵入検知システムを評価するための評価データセットを開発し，幾つかのアルゴリズムを評価した．この評価結果より，本論文では，IDPS評価プラットフォームを提案する．本論文で提案するIDPS評価プラットフォームは，アルゴリズムの評価から実機でのブラックボックス評価までをターゲットとする．

カーシェアリングでは，不特定多数の利用者が1台の自動車を利用するため，車載ネットワークに不正な機器を物理的に接続し，自動車走行を不正に操作される脅威への対策が必要である．この脅威に対し，ステップ波を印加し，反射波を観測するTDR (Time Domain Reflectometry)技術を用いて車載ネットワークのインピーダンスを測定し，不正な機器の接続を検知する技術が提案されている．本稿では，提案方式を車載評価基板上に実装し，車載ケーブルを用いて有効性を評価した．評価結果より，車載器の接続箇所に依らず97.2%の検知成功率があることがわかった．但し，今回の評価は1つの条件でのみ実施したものであるため，今後，異なる車載ネットワーク構成など，様々な条件での評価を行い，提案方式の有効性を確かめる必要がある．

自動車の電子制御プロトコルとして広く用いられるController Area Network(CAN)に対する攻撃手法や対策についてはこれまで数多く報告されている．一方，トラック，トレーラーなどの商用車両や，農業・建設機械といった特殊車両の電子制御でもCANを拡張したSAE J1939が標準規格として採用されている．近年では商用車両や特殊車両においても，自動化及びコネクテッド化が進んでおり，自動車同様のサイバー攻撃の対象となる可能性がある．これらの車両に対しては，自動車と同様のCANに対する攻撃に加え，SAE J1939特有の拡張仕様に対する新たな攻撃の可能性も考えられる． そこで本稿では，SAE J1939特有の拡張仕様に対する脆弱性を明らかにする．具体的には，SAE J1939の拡張仕様であるアドレスクレームプロトコルを悪用したECUなりすまし攻撃の可能性を検討し，実機を用いた評価実験により攻撃の実現可能性を示す．そして，前記なりすまし攻撃への対策手法を考察する．

トラック、トレーラーなどの商用車両や、農業機器、建設機械のような特殊車両の電子制御では、 Controller Area Network(CAN)を拡張したSAE J1939が標準規格として採用されている。 近年、SAE J1939搭載車両に対するセキュリティリスクが指摘され始めており、筆者らはSAE J1939の 拡張仕様であるアドレスクレームプロトコルを悪用したECUなりすまし攻撃の可能性について検討し、 実際のECUに対して攻撃が可能であることの実証を行った。 ECUなりすまし攻撃への対策手段はMurvayらによって提案されているが、通信に遅延が発生するなど、 実用上の課題がある。そこで本稿では、ECUなりすまし攻撃に対する新たな検知方式を提案する。 また、他の検知方式との性能比較を行い、ECUなりすまし攻撃において使用すべき検知方式を考察する。

現在，自動車の制御ネットワークとしてCAN（Controller Area Network）が広く利用されている．しかし，自動車システムのさらなる高度化や自動運転，セキュリティ対策を実現するためにはCANの通信速度では不十分であり，CAN FD（CAN with Flexible Data-Rate）などのより高速なネットワークに移行すると考えられる．CAN FDはデータレートを高速化可能などの違いはあるが，CANをベースに拡張したプロトコルである．そのため，CANに対して有効な攻撃である電気的データ改ざんが，CAN FDに対しても有効であると考えられる．この攻撃は，攻撃ツールがバスの電位差を直接操作することで，送信側と受信側のバスの信号をサンプリングするタイミングの違いを利用し，送信ECUに検知されることなく改ざんされたメッセージをバス上のECUに受信させる攻撃である．本論文では，データレートを2Mbpsに高速化したCAN FDフレームに対して電気的データ改ざんが可能であることを実験用のバスを用いて実証する．

この10年の間に，自動車の制御システムに対するセキュリティ攻撃事例が多数指摘されており，今後はセキュリティ強化が必須となってきている．直近では，メッセージ認証などのセキュリティ強化手法が適用されているものの，包括的なセキュリティ強化には至っていないことが課題である．特に，車両外から発生する不正アクセスに対して強化することが重要になっている．このため，本論文では車両外部からの不正アクセスに対する強制アクセス制御方式について提案する．

近年，コネクテッドカーの普及に伴い，自動車のサイバーセキュリティ対策が注目されている．特に，車載ネットワークとして広く採用されるCANに対する攻撃検知手法の研究が行われている．これまで，CANデータに対する攻撃検知手法として，CANデータから正常モデルを生成し，正常モデルから逸脱したデータを攻撃と検知する手法が提案されてきた．しかしながら，正常走行を模倣した攻撃データは正常モデルの範疇に収まるため，従来の手法では，このような攻撃を検知できない問題があった．これに対し筆者らは，自動車の正常モデルが走行路に応じて異なることに着目した．例えば一般道路と高速道路では正常な速度域が異なるため，異なる正常モデルを生成する必要がある．そこで本稿では，自動車の位置情報に基づいてCANデータに対する複数の正常モデルを生成し，この複数の正常モデルを活用した走行路適用型の攻撃検知手法を提案する．また，実車データを用いた性能評価実験で，従来手法で検知できなかった正常走行を模倣した攻撃データに対する検知率が向上したことを示す．

コネクテッドカーへのサイバー攻撃のリスクが高まっており、自動車のセキュリティ状態を遠隔監視するシステムの研究が行われている。この監視システムでは、車載通信プロトコルCANに対する攻撃検知が求められること、監視対象数が大規模であることが特徴である。そのため、監視システムにおける演算や通信に関わる監視コストを削減する必要があった。これまで筆者らは、監視コストを削減するため、サンプリングしたCANデータを監視するシステムを提案してきた。しかしながら、CANデータのサンプリング手法についての考察は十分でなく、どのようなサンプリング手法が攻撃検知に適しているか明らかではなかった。そこで本稿では、攻撃検知に適したCANサンプリング手法を提案することを目的とする。まず、複数の攻撃検知手法からサンプリングしたCANデータに有効な検知手法を明らかにした上で、攻撃検知手法に適したデータのサンプリングパターンを複数考案する。そして、実車データを使った攻撃検知実験により、最も攻撃検知に適したサンプリング手法を明らかにする。

Driving to the research trend to the Internet of Vehicle(IoV), the issues of privacy and security of each internet-connected car become popular. We focus on the certificate management on public key infrastructure (PKI)of the vehicle network. In this paper, we used the blockchain technology to address to distribute and manage the Certificate Revocation List (CRL).Our proposed scheme used the time and range expiration key of the certificate intend to reduce the verification cost and to naturally remove the certificate of inactive car.

車載ECUの脆弱性を利用した自動車への攻撃を未然に防ぐために，ファジングという脆弱性評価手法が注目されている．ファジングとは，通常のテストで用いられるデータとは異なる，開発者が想定しないようなランダムなデータをテスト対象に送信し，そのデータに対する応答から未知の脆弱性を検出する手法である．ECUの多くは，データを受信・処理し，応答メッセージを返さないこともあるため，テストデータに対する応答を観測することが難しく，一般的な手法でファジングを行うことが困難である．本稿では，ECUからの電磁波サイドチャネル情報を利用した機械学習によって，ECUの異常動作を検知する手法を提案する．サイドチャネル情報を利用することで，応答が観測できない場合でも，異常処理を検出できる．車載ECUを想定したデバイスを対象に，正常動作時の電磁波波形を学習した畳み込みオートエンコーダ（CAE）を用いてファジング時の電磁波波形を入力し，CAEの再構成誤差をファジングにおけるECUの異常動作を検出するための指標として利用する．実験の結果，バッファオーバーフローに起因する異常動作を検知することができた．

コネクティッドカーや自動運転車両などへの関心が高まる一方，自動車へのサイバーセキュリティ対策は不可欠となっている．サイバー攻撃があったことを検知する具体的な技術としてFingerprint技術がある．Fingerprint技術は，車載ネットワークにおいて各Electric Control Unit（ECU）がもつ固有の特性を利用して，メッセージを送信したECUを特定し，期待する送信元かどうかを識別する技術である．本論文では，CANプロトコルにおいて周期メッセージの通信周期が持つ位相回転特性を用いて，ECUを識別するソフトウェアベースのFingerprint技術を2種類提案する．

自動車の代表的な車載ネットワークであるCANにおける攻撃検知について検討する．CANの攻撃検知はルールベースの検知と機械学習ベースの検知に大別される．ルールベースの検知は，CANメッセージに含まれるデータの平常時の振る舞いを事前調査し，運用時にデータが平常状態から逸脱していたら攻撃として検知する．この事前調査はCANメッセージ内の各データの開始位置やデータ長（データ形式）を意識して行う必要があるが，データ形式は一般的に非公開であり検知者が推定する必要がある．機械学習ベースの検知では，メッセージをデータ形式に従って区切って学習させた場合と，データ形式を考慮しないで区切って学習させた場合とでは，前者の方が検知精度が高いと予測される．したがってデータ形式の推定は重要であると考えられる．本論文ではCSS2019で発表したデータ形式推定方式を改良し，より高精度な形式推定を実現する．提案方式の推定結果に従ってメッセージを分割したデータと，結果を考慮せずに分割したデータを複数準備し，それぞれ機械学習ベースの検知を行ったところ，今回の実験では推定結果に従って分割した方が予想通り検知精度が高くなった．

本稿では、インターネット通信機能を搭載した自動車において、IT 関連サービスやシステムの脆弱性により引き起こされるリスクの可能性を述べる。近年、スマートフォンを利用して、遠隔からの自動車のドアの開閉、車庫入れ及び各種車両状態を確認する、といったサービスが普及し始めている。一方で、それらの実装不備により、正規ユーザ以外の第三者が意図的に遠隔から自動車を操作する等の攻撃が行われる可能性がある。そこで本稿では、ある実車を例に、自動車とスマートフォンの通信接続やアプリケーションに対してセキュリティの観点から攻撃のリスクに関する検討を行った。その結果、スマートフォン利用サービスの実装形態を利用して、通信内容の盗聴や、正規ユーザへのなりすましによる遠隔からのドアの開閉等のボディ系の不正操作が一時的に可能となるリスクがあることを示す。また、車両の通信機能を司るモジュールに対し、不正なコマンドを送信し続けることにより、車内でのスマートフォン等のインターネット接続が一時的に不可能になるリスクがあることを示す。本稿がコネクティッドサービスのセキュリティ観点での設計や実装に貢献することを期待する。

近年，コネクテッドカーなど，複数の内部機器間および外部の設備等間で情報交換を行いつつ，統合的な制御を行うシステムが主流である．そのためこの複雑なシステムに対するセキュアな設計手法の確立が急務であり，自動車業界ではJASO TP15002のようなセキュリティガイドラインが公刊されるなど，開発段階からセキュリティを実装する設計手法が提案されている．本論文では，上記TP15002のガイドラインに沿ったセキュリティ設計手法の最終フェーズである，セキュリティ対策方針からコモン・クライテリアセキュリティ要件を選定する手順において，課題である作業者の属人性を減らし作業量を軽減させる運用手法を検討した．具体的にはセキュリティ対策方針からセキュリティ機能要件を選定するプロセスにおいて，形態素解析とデータベースを組み合わせて文章を比較することで，属人性に依らずある程度の確度でセキュリティ機能要件の選定ができることを確認できた．

近年、自動車に対する攻撃事例の増加、コネクティッド化による攻撃機会の拡大、運転支援技術の高度化による攻撃影響の深刻化といった、自動車の製品セキュリティに対する必要性は高まっている。しかし、開発製品に対するセキュリティ上の分析リソースは限られており、開発期間の延伸も困難である。そこで、自動車の制御部品であるECUのソフトウェアを対象に，自動かつ現実的な時間で予め明らかにした脅威の顕在化の可能性を分析して，エクスプロイト可能な脆弱性を発見することを可能とする手法を提案する。また，例題を用いて評価した結果を示し，本提案の機能的および時間的な妥当性を考察する．

With the recent trends and standards in the automotive industry, security testing of automotive components has become an integral step of the development lifecycle. In this paper, we focus on embedded software security testing namely static application security testing (SAST), software composition analysis (SCA) and fuzz testing. These security testing approaches are commonplace in the software industry to detect vulnerabilities in proprietary code, vulnerabilities in open-source components and to detect unknown vulnerabilities. However, unlike the software industry where one typically has full control of the software to be tested, automotive systems often require hardware to be tested properly. This presents several challenges: 1) Requires physical ECU as SUT (system under test) and therefore occurs late in the development lifecycle; 2) No easy way to enable correct states of the SUT and monitor and detect exceptions on the SUT (e.g., requires a HIL system to provide physical input signals and monitor the behavior of the SUT to detect exceptions); 3) Physical speed limitations on ECU and automotive protocols resulting on long test times. To overcome these challenges, we propose to use a virtual platform for security testing of automotive components. This allows to test earlier on virtual ECUs without the need for hardware, improves scalability as multiple virtual systems can be used in parallel and processing speeds can be increased, and achieves better coverage and exception detection since instrumentation can be done more easily on the virtual ECUs (to generate virtual input and measure behavior of the virtual ECU). As a result, this virtual platform can be used for continuous testing since there is no dependence on hardware and the software can be tested as soon as it is developed, thus allowing to shift left in the development lifecycle to test and detect issues earlier.

Fuzzingテストの有効性は認識されているが，自動車向けには効率の悪さが課題になっている．効率改善のために文法ベースFuzzingテストが提案されているが現状ではパケットフォーマットで仕様に従うレベルである．各パケットのフォーマット異常は，プラットフォーム内でリジェクトされるのが一般的なため，自動車制御に関わるアプリケーション層に到達することが保証されるのみであり，アプリケーションに対するテスト効率は考慮されていない．本研究では，アプリケーションレベルでのテストをおこなうために，車載ネットワーク上に送信されるパケット間の関係から正規文法を導出し，導出された文法違反パケットをFuzzデータとして利用する手法を提案する．また，攻撃を検知しやすいプロトコル設計手法についても明らかにする．

The current malware detection method is limited to two kinds of methods, static and dynamic. Static method is easy to use but difficult to detect new kinds of malware. On the other hand, dynamic method is strong against a new malware but needs an expert skill to manipulate it. For the last decades, machine learning has advanced rapidly as a new malware detection method. The goal of this paper is to propose a modified feature learning method for malware detection, which is based on Deep Abstraction and Weighted Feature Selection proposed (D-FeS) for Intrusion Detection System by Aminanto et al. The methodology consists of a combination between Stacked Autoencoder (SAE) for feature extraction and weight based Artificial Neural Network (ANN) for feature selection and classification. In order to correspond with zero-day malware environment, we evaluate only the selected features, and remove features that is highly related to static malware detection. We use malware dataset created by Tek that consists of malware files from Virus Share and benign files from windows binaries. Our experimental result shows that the our work achieves 97.245% detection rate, 2.007% false alarm rate, and 6 time faster compared to D-FeS. To the best of our knowledge, this is the first paper that combines SAE and ANN as a feature learning method for malware detection.

　2015年から増加傾向にあるPowerShell型マルウェアは従来のバイナリ型マルウェアと異なり，被害PCに自身のファイルを作成しないファイルレス型のものが多く，多種多様な難読化を施すことが可能であることから，検知が困難であるといった課題がある． 　本稿では，難読化されたファイルレスのPowerShell型マルウェアに対処するため，PowerShellスクリプトの特徴を表すイベントロググラフを用いた検知アプローチを提案する．提案方式は，PowerShellスクリプトの特徴を表すグラフをイベントログから生成することでファイルレス機能に対処する．また，すでに流布しているPowerShellスクリプトとの類似度から悪性スクリプトの検知を試みるというものである． 　評価実験では異なるスクリプト間のイベントロググラフの差異と，同一スクリプトの難読化前後のイベントロググラフの差異をそれぞれスコア化し，そのスコア分布から提案方式の有効性を評価する．また，イベントロググラフが各種難読化によってどのような影響を受けるのかなどと共に，分類精度の向上について考察する．

ルウェアの駆除を行うためには，マルウェア解析が必要である． 手動解析は解析者に大きな負担を与えるため，検体を解析環境上で実行し，その振る舞いから解析を行う動的解析が有効である． 一方で，動的解析を妨害するために，解析環境では無害な挙動をとる回避型マルウェアも増加している． 回避型マルウェアの対策手法は数多く提案される一方で，マルウェアによる解析回避方法も複雑さが増している． この様な状況では，マルウェアが実行する回避コードを分析し，対策手法を継続的に改良していく事が必要不可欠である．そこで，本研究では，回避型マルウェアの多様な回避技術を特定することを目的として，動的解析・静的解析を組み合わせた回避コードの抽出手法を提案する． 具体的には，回避型マルウェアの「解析環境では無害挙動をとる」特性に注目し，回避コードの疑いがある基本ブロックを自動で抽出する手法を提案する． この基本ブロックを解析することで，回避技術を調査することができる． プロトタイプを実装し，擬似検体を用いて評価した結果，脅威モデルに沿っていれば，50%から66.7%の回避コードを抽出することができた．

　ランサムウェアの大流行により，さまざまな場面で被害が報告された.ランサムウェアはデバイス上のデータを暗号化，読み取りを不可能にして、復号を条件に身代金を請求する.そのため,業務パソコンにランサムウェア感染して業務が停止してしまう被害などが発生した． 　ランサムウェアの中には身代金を払わなくても復号の手法が存在するものがある.だが,それらの手法を用いるには種別の特定，PCに関する相応のスキルなどが必要とされ専門的な知識のない人には難しい.本研究では感染したランサムウェアの種類を特定し，復号を自動で行うツールの開発をおこなう.さらに，復号手法が存在しないランサムウェアのに対して，メモリーダンプから暗号鍵を取得し，復号をおこなう手法の提案をする． 実験では，ランサムウェアが感染したVM環境を用いて本ツールが自動でランサムウェアの特定から復号ができるかを確認した．その結果，自動で感染したランサムウェアを特定し復号ができた.また，復号手法の発見されていないランサムウェアから暗号鍵を取得し，暗号化されたファイルの復号ができた．

近年ではダークウェブ上でのマルウェア作成ツールの普及によって容易にマルウェアの作成が可能になり，人力では解析しきれないほどにマルウェアの種類が急激に増加し，マルウェア解析の自動化の必要性が高まっている． 中でもファイルレスや難読化などの高度な機能を持ったマルウェアが著しい増加傾向にあり，これらに対して有効であるとされる動的解析とメモリ分析を組み合わせた解析手法の研究が盛んに行われている． しかし，従来の自動化された解析手法ではトリガーのタイミングやメモリの取得方法，マルウェアのどの情報を抽出するかと行った議論が中心に行われており，対解析機能を持ったマルウェアの機能を十分に明らかにはできないといった問題点がある． そこで本研究では，マルウェア解析の自動化において，メモリ分析を活用したマルウェアの実行パスの探索を行い，対解析機能が適用される実行パスとは異なる実行パスを通るように制御してモニタリングすることで，ファイルレスや難読化機能を持ったマルウェアの機能を明らかにする手法を提案する． さらにこの手法を用いたマルウェアの自動解析システムを構築し，その有効性を評価する．

近年、IoT機器やネットワーク機器などの機能が複雑化しており、機器の製造は１つの企業内で完結するのではなく、外部から部品を調達し、社内外のリソースを用いて製造されている。加えて、機器の集合であるシステムの構築においても、自社の機器や外部から調達した機器を用いてシステムが構築される。このような外部から調達した部品や機器を利用する場合、バックドアの混入が問題となる。一方、現在のシステムは、端末がネットワーク経由でシステムに接続して動作したり、システム同士がネットワークを経由して連携したりする。この際、不正な機器がシステムに接続されないように、接続相手を検証する技術として、リモートアテステーションがある。しかし、リモートアテステーションは、ハッシュ値をベースに、改ざんの有無を検証するだけであり、上述したバックドアなどの不正機能があるか無いかを判断し、接続の可否を決定することはできない。この問題を解決するために、本論文では、バックドアの検査に基づいたネットワークアクセス制御のアーキテクチャを提案する。

標的型攻撃において，外部から侵入してきた攻撃者はできるだけ攻撃の痕跡を残さないようにネットワーク内を移動し機密情報を探し出す．例えば攻撃者はコンピュータ間での移動時に，正規の資格情報とリモートログオンのツールを用いたログオンを行う．このような攻撃の場合，正常か異常かの区別をつけることは難しく，普段正常に利用されるリモートログオンに関する情報とセキュリティ専門家による高度な解析が必要となる．そこで本研究ではログオンを行う前後の入力デバイスの状態に着目して，外部の攻撃者が正規の資格情報を用いた場合のログオンを検知する手法を提案する．提案手法により，正常なネットワークログオンに関する情報に依存しない不正ログオンの検知が可能になり，さらにリアルタイムでの検知も可能である．実験では提案手法を実装し，ログオンを行った時とそれ以外の入力デバイスの動作の判定精度を評価し，一定の効果があることを示した．

近年, インターネット需要の大幅な増加に伴い,多種多様なインターネットサービスが公開されるようになり, サーバとクライアントを繋ぐネットワークシステムの重要性が高まっている. ネットワークシステムの中でもDNSはドメイン名とIPアドレスを相互に変換する役割を担い, 今日のインターネット通信において必要不可欠である. しかし, DNSはインシデントや脆弱性が数多く報告されており, DNSの利用にはリスクを伴う. このようなDNSにおける既存セキュリティ対策としてDNSSECが挙げられるが, 運用管理の複雑さや可用性の観点から普及が進んでおらず, 確固とした対策が確立されていない. そこで, 本稿ではDNSSECで生じるネットワークシステムの運用上の課題を解決することを目的に, ブロックチェーンに用いられる要素技術を使用して複数のキャッシュサーバ間が協調することでDNSキャッシュポイズニングを検知するシステムを提案し, 検証フェーズで本手法の有用性を議論する. また, 本手法を実ネットワーク上に適用することを想定し, その際にモデルケースとなるネットワーク構成の例についても述べる.

標的型攻撃やゼロデイ攻撃などの，従来の境界型防御と呼ばれる手法では防御が難しい攻撃に対して，攻撃者を騙すことで内部ネットワーク環境を守る欺瞞的防御システムに関する研究が進んでいる． 将来的には欺瞞的防御システムは通信量の多い企業の大規模なネットワークやIoTネットワークで有効に利用できることが望まれる．そのため，高速かつ効率的にパケットの応答が可能な欺瞞的防御システムの構築が必須である． 本研究では，Linuxに標準で用意されたeXpress Data Path（XDP）を用いて，高速なパケット処理を可能とする欺瞞的防御システムの設計と実装を行った． さらに，実装結果から明らかになったXDPの制約と欺瞞的防御システムの課題点について報告する．

従来のオンプレミス型サービス／アプリケーションの運用方式に代わり、クラウド上でコンテナを利用してアプリケーションを運用する方式の人気が高まっている。本稿ではコンテナプラットフォームとしてKubernetesを使用したクラウド環境を対象とし、Kubernetesクラスタ上のコンテナへの外部操作およびそれに付随して起こるファイル変更をアプリケーションごとの事前定義等を行うことなく検出する手法を提案し、当該手法の検証とその結果を報告する。