ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

第154回DPS・第60回CSEC合同研究会報告

情報処理学会 第154回DPS・第60回CSEC 合同研究発表会
日時: 2013年3月14日(木)〜15日(金)
場所: 東京電機大学 千住キャンパス
所感: 発表総数は58件で、CSECが36件、DPSが22件であった。企業からの発表が25件、大学および学術機関からの発表が33件であった。発表数が非常に多く、DPSとCSECが実質平行して開催される形となった。CSECの参加者は、概算で70~80人であった。
時節柄、卒業研究をベースにした発表がいくつかあったが、着想が興味深いものが多かった。東京電機大の発表「時間経過に着目したHDDのデータ復元に関する実験と解析」などは、端末上でファイルを削除した後、x時間後に復旧可能かどうかを実験するというもので、フォレンジクスに深く関係するものだが、あまり実際に行われていない実験であり興味深かった。データ復旧までの作業内容等の条件を揃えればもっとはっきりした主張ができたと思う。

Session 1A アクセス制御
座長:細井琢朗(東京大学)
■個人用セキュリティアプライアンスの提案
野田敏達,海野雪絵,金谷延幸,大久保隆夫(富士通研)
-従来の端末では、端末毎にセキュリティ機能を実装していたが、クラウド時代ではこのコンセプトは困難
-PSER(Pocketable Security Enforcement Router)の提案。当該端末に認証情報等を集約、ゲイトウェイ(プロキシ)として機能
-PSERの要件として、Tamper-resistance, remote-wipeを備える必要がある(現状未実装)
Q.不明 Android上への実装ということだが、専用OSを作ったりはしないのか?
A.プロトタイプなのでAndroid上に実装したが、本当にAndroidでよいのか(十分なのか)は検討が必要
Q.不明 障害時が問題となるが、対応は? バッテリ切れの対応は?
A.バックアップ機能は検討し、パスフレーズで管理するようにしている。バッテリは現状プロトを実装しているAndroid端末に完全に依存している

■Webアプリから利用者端末内情報へのコンテキストアウェアなアクセス制
御手法の提案
海野雪絵,野田敏達,大久保隆夫,金谷延幸(富士通研)
-ユーザが使用中のWebアプリに応じて(コンテクストアウェアネス)、Webアプリがアクセス可能な機微情報を制限する
-コンテクスト定義のための規則定義
CGrule(Context Generation rule):コンテクスト内容の定義
CACrule(Context based Access Control rule):特定コンテクストでのアクセス制御内容の定義
-PSER(前発表)への実装作業中
Q.静大 可児氏 コンテクストの定義作業の実施者は?
A.ユーザ個人で定義する場合や、BYODでは企業が定義し配布する場合が考えられる
Q.座長 PSERに実装する場合、PSERにユーザの活動情報が集約され、攻撃の対象となる懸念がある。
A.PSERの安全性についてはより重要になると考える

■近傍デバイスを利用したコンテキスト依存セキュリティシステムの提案
大久保隆夫,海野雪絵,野田敏達,金谷延幸(富士通研)
-サービス提供者側から見た、セキュリティを実現するためのコンテクストアウェア
-PSER(信頼できるデバイスと前提)でセンサ情報を取得しコンテクスト生成
Q.不明 サービス提供側の(コンテクスト情報に移行する)インセンティブは?
A.現状インセンティブは薄いが、個人情報保護法対応などで、プライバシ
Q.IIJ須賀氏 遠隔操作による端末からの情報漏洩などの脅威に対応できないのか? 対応のアイデアは?
A.遠隔操作による横流しの問題などはコンテクストアウェア技術のスコープ外とせざるを得ないと考えている

■AndroidにおけるWebViewの脆弱性を利用した攻撃を防止するアクセス制御
方式の提案
于競,山内利宏(岡山大)
-AndroidプラットフォームのWebKitが提供するWebViewクラスに起因する脆弱性を利用した攻撃からの防御のためのアクセス制御方式の提案
-JavascriptからAndroid端末内の利用者情報奪取、データ改竄攻撃
addJavaScriptInterfaceAPIで登録されたJava obj.を利用した攻撃
-実行ファイルからdexdump、上記APIを検出、解析後、提示アプリを用い、ユーザ承認を得る
Q.不明氏 逆アセンブルはAndroid端末で実行できるのか?
A.dexdumpで可能である
Q.不明氏 性能評価時に使ったアプリケーションは?
A.小さいアプリの代表”HelloWebView”は、我々の実装。大きい(一般の)サイズの代表”LivingSocial”は参考文献4より
Q.IIJ須賀氏 dexdumpを計量化したということだが、どこに手を入れている
A.解析に影響しない部分をdumpしないよう改造している。高速化の余地はあると考えている

Ssession 2B (10:50-12:30) フォレンジックと生体認証
座長:山口利恵(産業技術総合研究所)
■汚染解析実施後のサニタイザ適切配置支援に関する考察
小黒博昭,橋本卓哉(NTTデータ)
-Webアプリケーションの脆弱性について、インジェクションとクロスサイトスクリプティングの脆弱性がOWASP集計の上位を占めている
-静的解析: 汚染情報のソースとシンクの間にサニタイズ処理が行われていれば安全とみなす
-サニタイズ処理は全てのパスに配置する必要があるが、just onceでなくてはならない =>Livshitsらのノードベースアプローチ
-最遅配置が望ましいが、既に配置されたサニタイザを活かして(試験工数の勘案等のため)追加するノードを判定
Q.不明氏 サニタイズされた処理を元に戻した場合は問題が生じないか?
A.そのようなケースは想定する必要がある
Q.不明氏 サニタイジングの順序問題に対応できるか?
A.本モデルでは現状、順序関係は対応できない

■ファイルのエントロピー測定による類似度評価の新手法に関する提案
高田慎也,元田敏浩,中原慎一(NTT)
-マルウェア解析等のため、ファイルの類似度評価技術としてファジーハッシュ(ファイルを分割しチャンク毎にハッシュ)、エントロピー値比較などがある。
-フォレンジック分野で用いられているWeighted entropyの問題を克服するため、区分エントロピー比較法(ファイルを分割しチャンク毎にエントロピー値計算)を提案
-区分エントロピー値0.22に類似/非類似の閾値が存在
Q.不明氏 マルウェアの亜種判定への適用方法については
A.ファイルサイズが大きく異なるものには適用できないが、処理を少々追加したような亜種判定には利用できると考えている
Q.不明氏 ファイル分割サイズの妥当性は?
A.固定長分割ではなく、64個程度に均等割することを考えている

■時間経過に着目したHDDのデータ復元に関する実験と解析
林健,佐々木良一(東電大)
-ファイルを誤って削除したものが、いつまで残っているのかの実験
-ファイル復元処理には時間を要する(ツールにも依るが、数時間要する)
-Forensic Toolkit, Recuvaを用い実験
-Cドライブのファイルを用いた実験の結果、削除直後でも復旧不能な場合がある。6H経過後の普及確率は更に落ち、1日後は全く復旧不能。
-Dドライブでは数日経過後も復旧可能。1ヶ月以上経過した場合は復旧不能。
Q.NEC芦野氏 復旧迄のファイル書き込み量が重要と考える
A.参考にさせていただく
Q.岡山大 山内氏 ファイルシステムのブロック確保アルゴリズム等によって変わってくると考えるが
A.調査した範囲では分からなかった。今後の課題としたい。

■タッチパネルによる手指の行動的特徴を用いた生体認証に関する一考察
居城秀明,金岡晃,岡本栄司,金山直樹(筑波大)
-タッチパネル操作を元にした生体認証の先行研究としてSae-Baeの研究がある。これを元に検証を行う。
-認証高速化を可能とするため計測点の間引きを行った場合の検証
-実験の結果、間引き率50%程度に最適値が存在。認証時間は44%削減
Q.不明氏 iOS上での実装上の問題点は?
A.計測点の取得のばらつき発生を抑える必要があった
Q.IIJ須賀氏 ジェスチャ間でαを(間引き率を)揃える必要はあるのか?
A.ユーザが決定したジェスチャで認証するようにしたいため、汎用のαを求めたかったため

■仮想計算機モニタを利用したコンピュータフォレンジックスのための補助記憶装置のデータの保全と回復のシステム
小川拡,平野学(豊田工業高専)
-フォレンジックスのためのログ改竄を防止し、自由に遡って分析可能とするための研究。
-O_DIRECTオプションを用いdomUとdom0で二重にキャッシュされるのを防ぐ
Q.NEC芦野氏 スナップショットの保存に近いものか?
A.スナップショットをリアルタイムで取り続ける技術になる。現状ディスク容量を考慮してログのみ対象にする事を考えている。
Q.岡山大 山内氏 ログを対象にするとのことだが、ログを識別する方法は?
A.ログは専用のディスクに保存することにして、指定されたディスクへの書き込みを対象としている

Session 3B  サイバー攻撃への対応
座長:齋藤彰一(名工大)
東京工業大
■おとりを用いた標的型攻撃の検知手法について
北澤繁樹,桜井鐘治(三菱電機)
-標的型攻撃の概要。攻撃の4段階。この内第三段階(システム調査段階)には対策が確立していないことから、当該段階の防御を研究対象とする。
-既存研究: HoneyToken(ファイル内容使用が明るみに出た時に検知), HoneyFiles(ファイルへのアクセス時に検知)
-DB内におとりとなるデータを配置(ランダムに出没)、挙動パターンDBと照合し、おとりデータへのアクセスを検知
-おとりの実効性を高めるため、類似語時点を用いてファイル名を付与
Q.座長 攻撃者のファイルに触るパタンが高度(通常のパタンに類似させる)になった場合には?
A.あやしい挙動パタンにはユーザに警告を上げ、どの程度怪しいのか提示する

■イベントツリー分析法に基づくサイバー攻撃の分析・評価ツールの開発と適用
金子紀之,佐々木良一(東電大)
-サイバー攻撃対策を、イベントツリー分析(ETA)を用いてリスク定量化
-制約条件として、対策による派生リスクを考慮
…プライバシ負担度、利便性負担度
Q.富士通研 ?? 過去の標的型攻撃の事例は全て公開されている訳ではなく、リスク定量化は困難では?
A.公開されているものをベースにするしかないが、攻撃方法の変更などを類推することはできる。

■悪性文書ファイルへのRATの埋め込み方式の調査
三村 守(情報セキュリティ大学院大学),大坪雄平(NISC),田中英彦(情報セキュリティ大学院大学)
-文書ファイルへの攻撃コード(RAT)埋め込み手法の分類: 換字、転地、固有それぞれの手法の更に細かい分類
-埋込ファイルの解読手法: 総当たり、繰返し文字列検出、文字コード頻度分析
-繰返し文字列検出が最も検出率が高いが完全ではなく、他手法との併用が必要
Q.座長 RATをストリーム暗号で埋め込むような方式は検出できる?
A.現状では不可能である

■IaaS クラウドの帯域外リモート管理における情報漏洩の防止
江川友寿,西村直樹,光来 健一(九工大)
-IaaSにおけるリモート管理のため、管理VMを設ける手法があるが、セキュリティ上懸念がある(管理VM内のVNCサーバ改竄による情報漏洩等)
-FBCrypt: VNCクライアント-ユーザVM間の入出力を、ユーザVMには透過に暗号処理。
-実装上の留意点として
VMMでキー入力復号化時にコード変換も行う必要
VMMで画面暗号化時に、VNCクライアントから画面更新要求と同期をとる必要
Q.座長 マウス暗号化の是非について
A.マウスの動きは煩雑なので、遅延が問題となる
Q.岡山大 山内氏 複数のユーザVMが存在する場合の評価は?
A.現在ユーザVM一つしか評価していないが、多数のユーザVMインスタンスに同時に負荷をかけた場合は遅延増大が予想される

■Androidアプリケーションにおける暗号処理検証技術の実装及び評価
山本匠,河内清人,桜井鐘治(三菱電機)
-OWASP Mobile Security Projectリスク評価レポート
-暗号処理が適切に行われているかの(鍵が外部入力されているか否かを基に)検証
-鍵管理情報の解析
-自作アプリを解析。公開されているアプリについての評価は今後の課題
Q.不明 対象とするアプリケーションは?
A.悪意を持っているのではなく、不用意に漏洩させてしまうもの

Session 4B  脆弱性・攻撃監視
座長:山内利宏(岡山大学)
■静的解析を用いたWebアプリケーション脆弱性対策方法
植田武,桜井鐘治(三菱電機)
-Webの脆弱性: SQLインジェクション、クロスサイトスクリプティングの検証技術
-汎用ライブラリの利用解析、およびそれらライブラリに渡される入力データ解析データ/インタプリタ構造の解析から構成
Q.NTTデータ 不明氏 開発言語は?
A.開発は今後実施するが、JavaかC#を対象とすることを考えている。
Q.座長 実行時の対処ではなく、事前にコードを改修させるような方法はとれないか?
A.セキュアライブラリの呼び出しをコーダに意識させる必要性を無くすことを目指している。
Q.座長 性能的なオーバヘッドの見積もりは?
A.見積もりできていないが、それほど大きくならないと考えている

■待ち行列長推定に基づくパケットロス攻撃検知の輻輳強度依存性
細井琢朗,松浦幹太(東大)
-NW経路上のルータが攻撃され、任意のパケットが廃棄される攻撃を検知する手法についての研究
-通常のパケットロスとの区別は困難であり、トラヒック量が低い状況での廃棄を攻撃とみなすなどの研究は芳しい成績をあげていない一方、待ち行列長に基づく手法が有望視されている。
-先行研究:待ち行列長推定のため、対象ルータの直上/直下ルータの情報を収集
-上記手法のシミュレーション実験による検証
-輻輳が小さい、ない状況では正しく検知。輻輳発生時は誤検知発生。
Q.三菱 北澤氏 パケットロス攻撃は、輻輳させた結果廃棄されるのか? ただ廃棄させるのか?
A.ルータを乗っ取ってパケットを廃棄させる攻撃である。攻撃事例は把握していない。

■Drive By Download攻撃におけるHTTPヘッダ情報に基づく検知手法の提案
酒井裕亮,佐々木良一(東電大)
-Drive by downloadの問題。ユーザ側での対策が必要。
-コード難読化により、既存対策の多くが困難となっている=>コード文字列に依存しない検出手法が必要
-HTTPヘッダの内、本来秘匿すべき情報を含むX-Powered-Bヘッダを乗せたファイルは危険性が高い。しかし当該ヘッダだけでは偽陽性が高いため、危険なファイル種類(Content-Type)との組み合せで判断。
Q.東大 細井氏 正規のWebサイトがX-Powered-Byヘッダを含む割合は?
A.一般のWebサイト上位100サイトの6%, 300サイトの9%が含んでいる
Q.座長 Webサイトというより、Webサーバの設定情報を利用していると考えられる。

■管理VM監視のためのメモリアクセス監視機構の開発
猪飼淳,齋藤彰一(名工大), 毛利公一(立命館大),松尾啓志(名工大)
-IaaS型クラウドでは管理者権限が強すぎるため、管理者からの攻撃を防ぐのは困難である。これに対しユーザVM暗号化があるが、メモリの覗き見の検知が不可能などの問題がある。
-当該問題に対し、メモリアクセス通知機構、メモリアクセス制御機構を提案
-メモリアクセス通知の実装のため、管理VMからユーザVMのメモリマップのハイパーコールのフックにXSM(Xen Security Moule)を使用
-メモリアクセス制御の実装のため、アクセス制御リストをVMM-ユーザVM間の共有メモリで実現、ユーザプログラムからの追加・削除I/Fを追加
Q.九工大 光来氏 指定した箇所のみ暗号化するとのことだが、指定方法は?
A.現状粗い指定しかできない
Q.座長 暗号化指定した領域のサイズは?
A.評価に用いたのは2.5M程度
Q.不明氏 アクセス不可指定した領域は暗号化しなくてよいのでは?
A.サスペンドさせた場合に問題になるので、暗号化している
Q.九工大 光来氏 不正なアクセスも正常なアクセスもロギングするのでは、不正なアクセスのログが流れてしまわないか?
A.ログはリングバッファで管理しており仰る通りだが、ユーザのログ読み取りは十分な速さを想定している

■パッチ情報を用いたIDSシグニチャ検証手法の検討
河内清人,桜井鐘治(三菱電機)
-IDSにおけるシグネチャが攻撃を漏れなく検知可能かをユーザが検証するのは困難であるのに対し、攻撃トラヒックを用いずシグネチャを検証する手法の研究
-プログラムの修正情報を元に、攻撃データのパタンを特定し、IDSシグネチャが想定するパタンと攻撃トラヒックのパタンを比較する、全攻撃パタンが網羅されているかを検証する手法
-シグネチャの正規表現を有限オートマトンに変換し処理
-攻撃データパタンと検知対象外データパタンのintersectをとり、空であれば適切な設定。
Q.座長 抽出の成否の実験は?
A.実験は今後のAIである。
Q.座長 検証の自動化により短時間での検証が可能になるのか?
A.それを望んでおり、また攻撃データをユーザが収集するのも困難であるため、その点でも有効と考えている。

Session 5B (9:20-10:40) セキュリティ管理・教育とセキュリティ応用
座長:猪俣敦夫(奈良先端科学技術大学院大学)
■セキュリティ標準に基づいたセキュリティレベル評価技術の検討
芦野佑樹,小泉純,岡村利彦(NEC)
-セキュリティ標準をシステム設計書レビューに利用する技術についての研究
-セキュリティ要件に対する実現方法(パケット制御->ファイアウォール、等)
とパラメータの明確化
-セキュリティ標準の4階層でのナレッジ化
セキュリティ要件、実現方式、付随機能要素(パラメータ等)、判定ルール
-2つのモデル: システムモデルとセキュリティモデル
Q.東芝 不明氏 NECで過去に展示会等で展示されていたセキュリティ評価エキスパートシステムとの関係は?
A.直接の関係はない。
Q.同じ氏 資源の重要性に応じたリスクアセスメントを盛り込む必要があるのでは?
A.ナレッジはそれぞれの組織毎にカスタマイズすることになると考えている
Q.トレンドマイクロ岩本氏 NIST SP800等をガイドラインのベースとして用いることは
A.現状取り組めていないが、視野には入っている。

■承認コンテキスト類似性を用いた承認誤りリスク判断手法の提案
本多聡美,綿口吉郎,大久保隆夫,金谷延幸(富士通研究所)
-承認誤りリスクの定量的評価についての研究。メールに書類を添付して承認を依頼するといった、フローが明示的/形式的でない場合を想定。
-承認依頼の文面の類似性による分類
-申請書の雛形ファイル、承認結果を収容するDBを設けることで分類の精度を確保
Q.三菱電気 北澤氏 送信元(送信先)に関する情報は判断に含まないのか?
A.現在ファイルの内容のみを判断材料にしている。
Q.不明氏 添付ファイルが暗号化されている場合には
A.依頼者が判定システムをインストールし(送信前に?)判断を行うので、暗号前のファイルを処理することになる。

■CloudCom 2012会議参加報告
松本晋一(九州先端科学技術研究所),光来健一(九州工業大学)
Q.今年大幅に投稿数が増加した要因は何か考えられるか?
A.本当の理由は分からないが、レセプションの席で、実行委員の方が参加者の卓を回ってグラスを注ぎ「また来年会いましょう」と挨拶していた。実行委員の盛り上げ方、ホスピタリティは優れていると感じた。
Q.三菱電気 北澤氏 クラウドに関してどんな研究が盛り上がっているか
A.複数クラウドの連携、またOpenFlowといった技術をどう活用するか
Q.座長 クラウドの分野でセキュリティに関するトピックは?
A.暗号技術との関係ではファイルの暗号処理の研究は多い。またトラストの問題は不可避と考える

Session 6B (10:50-12:30) ネットワークセキュリティ
座長:北澤繁樹(三菱電機)
■P2P型ネットワークにおけるハッシュ木の構築について
樋口太平,浅枝智之, 双紙正和(広島市立大学)
-P2PシステムChordにおける分散ハッシュテーブルを基に、ハッシュツリーを
構築する方法についての研究
=2パスハッシュツリー構成法を用いたプロトコル
=ステップ数(CPU処理負荷)重視型プロトコル
=メッセージ数(NWトラヒック負荷)重視型プロトコル
-評価の結果、2パスハッシュ〜方式はステップ数が大幅に増加
-1ノードが複数ノードを集約することで、メッセージ数、ステップ数共に大幅に改善可能との見通し
Q.IIJ須賀氏 (NW負荷を見るという点では)メッセージ長での評価は?
A.システム全体への負荷を見るという意味でメッセージ数を見た

■DHTにおけるノード検証手法と匿名通信への適用
中井俊作,野々山正峰,齋藤彰一,松尾啓志(名工大)
-DHTに対する攻撃、Cybil Attack, DHT Attackのうち後者への対策に関する研究
-ノード検証において、検証対象ノードが、自身のnCertと近隣ノードのnCertを原告ノードに示す。
-匿名通信(Telescoping)に適用し、安全性の高い匿名通信システムを構築
Q.東海大菊池氏 異常ノード検出方法について、身元証明発行ではだめか?
A.認証を受けた後に、悪意を持って行動することが考えられる

■偽装した名前解決レスポンスを用いた不正サイトへのアクセス防御法の提案
宮本久仁男(NTTデータ)
-Webアクセス時の名前解決妨害によるWebアクセス制御方式: DNSクエリに対し偽装レスポンスを返す
-Proxyではなく、パケットをキャプチャし、応答を割り込ませる形で動作
Q.静岡大西垣氏 ブラックリストを保持するので、冒頭で指摘した問題は残っているのではないか?
A.本方式で全ての課題を解決できてはいない。別グループの研究と連携している
Q.同 キャプチャのためのノードを埋め込むのか? であればアクセスをブロックできるのでは?
A.ポートのミラーリングなどを想定。アクセスのブロックにはノードの性能で律速されてしまうので避けた
Q.座長 ブラックリスティングの一種としてWeb reputationの活用について
A.reputationについては外とやり取りが好まれない状況では難が有る

■ショートホップトレースバック方式の提案
古川真之,双紙正和(広島市立大)
-DDoS攻撃対策であるIPトレースバック方式の改善の提案
-ログをとったルータまでの短いトレースバックを繰り返すことで発信元を特定
-IDフィールド(16bit)では長いトレースバックは困難なため、短いトレースバックを実行
-シミュレーションによる評価。RIHT方式より偽陽性、偽陰性改善
Q.東海大 菊池氏 フラッディングによる探索は、トラヒック負荷がかかるのでは?
A.現状、そこまで考慮できていない。攻撃を受けている状況ではフラッディングも困難であることは認識している

Session 7B Webセキュリティ
座長:大久保隆夫(富士通研究所)
■実運用を考慮した電子メール誤送信対策
堀田知宏,橋本正樹,辻秀典,田中英彦(情報セキュリティ大学院大学)
-メール誤送信防止の研究、ソリューションの問題点
=機密情報リストの運用負荷
=利用者によるメール誤送信確認の負荷
=組織によって異なる機密情報
=自動的なメール内容判断の限界
-禁止推奨情報リスト(機密情報候補を表示するリスト)の導入
機密メール、非機密メールをベイジアンネットワークにかけ、用語の重みを計算し上記リストを更新
Q.富士通研 本田氏 英語その他日本語でない言語のメールについて同様に対応できるか?
A.現状検証できていないが、英語などはより容易になる可能性はある。ただ英語の熟語への対応は今後の検証課題になる

■企業間におけるデータ交換方式の提案
大越冬彦,桜井鐘治(三菱電機)
-電子メールへの添付に変わるデータ交換サービスの方式に関し、暗号化してもパスワード交換の問題、承認者を設ける場合は承認者による覗き見の問題がある。
-データ交換の利便性と安全性の両立のため、関数型暗号を用いる方式の提案。
-社外にデータを送信する際には、相手が所属する組織の暗号鍵と相手の属性情報が必要とする
Q.東芝ソリューション加藤氏 送信者が相手を間違えた場合に対処できるか?
A.組織内のメンバを登録する時点である程度リスクが低減できると考えている。

■ContentProviderを用いた利用者情報送信の動的解析技術に関する検討
名雲孝昭,秋山満昭,針生剛男(NTT)
-Taint解析: 既存研究はTaintが付加される情報の網羅性が低い=>DBへのTaintが必要
-Taint状態DBの導入により、Taint付与範囲の拡大
Q.富士通研 森川氏 使用される状況について
A. ユーザ端末に組み込むのが利用だが
Q.同
A.動的解析のコードカバレッジを広げる方法と、静的解析との組み合せを考えている。
Q.岡山大 山内氏 DB操作でテイントが変化するものは?
A.今回そのような検体は存在しなかった。
Q.同 複数アプリで連携する場合も検知可能か?
A.検知可能だが、どちらもJavaコードである必要がある。

■SaaF:Sandbox as a Fileの提案
可児潤也,米山裕太,加藤岳久(静岡大),間形文彦(NTT),勅使河原可海
(創価大),佐々木良一(東電大), 西垣正勝(静岡大)
-現状、標的型攻撃に対する対策として、ファイル毎にサンドボックスを割り当て、使い捨てる方式を提案。
-添付されたファイルを開くのにVMを割り当てる。仮にゲストOSが感染しても、ホストOSは感染しない
Q.立命館 森氏 ファイルを一つ開くのにVMを設けるのは重いのではないかという懸念がある。Windowsには無いが、BSDのJail等の軽量VMを使えるのではないか
A.ハードウェアのパフォーマンス向上で解決できるという期待が有る。軽量VMについては検討させていただきたい
Q.IIJ須賀氏 ホストを共有するゲストOS間でのアイソレーションは完全ではないだろう
Q.東大 松浦氏 VM自体の保護について検討が必要だろう

Session 8B プライバシー保護
座長:須賀祐治(IIJ)
■Privacy-preserving Publishing of a Pseudonym-based Trajectory
Location Data Set
真野健(NTT),南和宏(情報・システム研究機構),丸山宏(統計数理研)
-位置情報の匿名化(プライバシ保護)、ただし移動の軌跡情報は保持する技術についての研究
-位置データの有効性を確保しつつ、プライバシを保護: 仮名交換
-あみだくじ類似のモデル化可能、制約情報を追加

■Android OSにおけるマスカレーディングポインタを用いたプライバシー
保護(その2)
上松晴信,可児潤也,米山裕太(静岡大学),川端秀明,磯原隆将,竹森
敬祐(KDDI研),西垣正勝(静岡大)
-機密情報の管理を担う機構をOS内に設け、アプリには機密情報の代わりに参照ポインタを渡す。
-アプリが情報を送信する際にはユーザにプロンプトを出し、承認を得る。
-Javaのリフレクションを用いる局面に対処するため、スタックトレースを用いる
Q.NTT南雲氏 機密情報取得APIは網羅されているのか? 外部送信にNW送信、ローカルストレージへの書き込みは含まれるか?
A.今回実装できていないが、実装可能である。
Q.不明氏 アプリ実装側は意識する必要はないのか?
A.その通りである。

■マルチユーザ利用を考慮したスマートデバイス向けデータ保護方式の提案
栗原優樹,市原尚久(NTTデータ)
-スマートデバイス内に保存したデータファイルをより安全に利用可能にする技術(NWアクセスせず、キーストアを端末内に持たない)の研究
-シードから生成した鍵から、ユーザが閲覧可能なファイル全ての暗号化/復号化可能にする: ElGamal暗号の使用
Q.座長 シード1が漏れないことが前提なのに、攻撃モデルとの整合がおかしい
A.検討する