ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

第25回USENIX Security参加報告

第25回USENIX Security参加報告

 

  • 会議名: 25th USENIX SECURITY SYMPOSIUM
  • 開催日: 2016年8月8日~12日(ワークショップ前2日,本会議後3日間)
  • 開催場所: Hyatt Regency Austin(米テキサス州)
  • 参加者数: 事前登録者575名+当日登録者
  • 主催者: USENIX Association
  • プログラム: Technical Sessions(予稿は本ページから入手可能)
  • 報告者: 松本研究員

[概要]

歴史あるUSENIX  Securityは今回で25回目を数える.Program Co-Chairによれば[PDF],投稿数は468件,採択数は72件で共に歴代最多である.採択率は15.4%となりこれは昨年の16%から更に狭き門となったことになる.発表国別では米国が最多で過半の38件,次いでドイツが8件だが,今回特にオランダからの発表が6件あるのが目立った.

本会議テクニカルセッションは3トラックに分かれて催されたが,うち1トラックは招待講演やパネルであり,論文発表は2トラックである.当然参加者は全てのセッションには参加できないが,朝一にLightning Talksセッションを設けるという工夫が施されている.これは当日の全発表について発表者自身が作成した短い動画で紹介するというもので,工夫が凝らされたものが多かった.因みに,Lightning Talksは2014年から導入されたが,その際は3日間の会期分をまとめて紹介するというものだった).

参加者は上記の事前登録者数を考えると600名は超えたものと推測される.日本からも10名以上の参加者を集めた.次回開催は8月16日~18日,バンクーバーとアナウンスされている.

[表彰関係]

  • Best Student Paper Award: “ZKBoo: Faster Zero-Knowledge for Boolean Circuits”, I.Giacomelli, J.Madsen, and C.Orlandi, Aarhus Univ.
  • Best Paper Award: “Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks”, W.Melicher, B.Ur, S.M. Segreti, S.Komanduri, L.Bauer, N.Christin, and L.F.Cranor, CMU.
  • 同上: “The Million-Key Question—Investigating the Origins of RSA Public Keys”,
    P.Švenda, M.Nemec, P.Sekan, R.Kvašňovský, D.Formánek, D.Komárek, and V.Matyáš, Masaryk Univ.
  • Internet Defense Prize: “Post-quantum Key Exchange—A New Hope”, E.Alkim, Ege Univ; L.Ducas, Centrum voor Wiskunde en Informatica; T.Pöppelmann, Infineon Technologies AG; P.Schwabe, Radboud Univ.
  • Test of Time Award:   N.Provos, M.Friedl, and P.Honeyan  for Preventing Privilege Escalation

[テクニカルセッション発表抜粋]

幾つか興味深かった発表を紹介する.なお,予稿はプログラムのページから入手できる

■”Investigating Commercial Pay-Per-Install and the Distribution of Unwanted Software”, Kurt Thomas (Google) et al,

■”Measuring PUP Prevalence and PUP Distribution through Pay-Per-Install Services”, Platon Kotzias (IMDEA Software Institute and  Universidad Politecnica de Madrid) et al,

二つの論文は,それぞれユーザの錯誤あるいはミスを誘導することなどでインストールさせ,インストールさせることで金銭の授受が行われる(PPI: Pay-Per-Install)ソフトウェアを扱っている.正規の(benignな)ソフトウェアとも,マルウェアとも言い難いグレイな領域に属するこの類のソフトウェアは,これまであまり論文で取り上げられられた記憶はなかった.

発表ではPPIソフトウェアについて分類を行い,stakeholder間の金銭の流れ,ユーザへの影響,特にマルウェアとの関係の一部について明らかにしている.

同じようなテーマの論文が同時に採択されるのは珍しいが,PPIソフトウェアについての研究が今後盛り上がりを見せる契機となるかもしれないと思わされた.

 

■”Lock It and Still Lose It -on the (In)Security of Automotive  Remote Keyless Entry Systems”, Flavio D. Garcia (Univ of Birmingham)  et al,

自動車のキーレスエントリーシステムに対する攻撃を扱った研究.これまで同種のシステムに対する攻撃を扱った研究はいくつかあったが,今回多数の自動車に影響を及ぼし得る攻撃研究である.デモでは小型マイコンボードArduinoを使ったシステムで実際のクルマのドアロック開閉が可能な様子を示していた.

攻撃対象となる車は,大別するとVW社のものとアルファロメオ,シトロエン,フォードなどNXP Hitag2を採用したものに分けられる.これらはXTEAなど標準アルゴリズムを用いているものもあるが,鍵管理により脆弱なものとなっている.まとめの”Poor crypt is bad, bu poor key management is worse”という言葉が印象的であった.

 

■”Hey, You Have a Problem: On the Feasibility of Large-Scale Web  Vulnerability Notification”, Ben Stock (Saarland Univ) et al,

■”You’ve Got Vulnerability: Exploring Effective Vulnerability Notifications”, Frank Li (UCB) et al,

この2本も酷似したテーマを扱っている.Webの脆弱性を解析する研究は多数あるが,これら2本はどちらも,仮に脆弱性を発見したとして,これをいかにWebサイト管理者に適切に伝えて修整させるかという点にフォーカスしている.

まずWebサイト上に脆弱性が発見されたとして,誰に伝えるべきか,即ち適切なメールアドレスをいかにして得るかという問題がある.これにはWhoisやCERTを使う方法などが考えられる.またいかに伝えるか(通知文面の工夫など)という問題がある.これらの問題を考慮し,通知からどの程度の期間で脆弱性がfixされるか(あるいはされないか)を調査している.Frankらの論文は更に,Web管理者に対し通知についてんおインタビュー/アンケートを採っている点も興味深い.ほぼポジティブと言っていい返答だったが,実際いきなり”Hey, You Have a Problem”と言われて戸惑わない人の方が少ないだろう.

 

■”Harvesting Inconsistent Security Configurations in Custom  Android ROMs via Differential Analysis”, Yousra Aafer (Syracuse  Univ)

AndroidはGoogleが開発しOSSとして提供しているが,端末メーカー各社によるモディファイにより,結果種々の異なる版に細分化されている.本研究は,端末メーカーが施したカスタマイズによりセキュリティが損なわれている実態を明らかにしている.

研究では,カスタマイズによる変更点を探索する,DroidDiffと呼ぶツールを用い,収集した591ものROMイメージを対象に差分の解析を行っている.解析の結果,パーミッションシステムに加えられた変更,ブロードキャストやコンテンツプロバイダへの変更などによりセキュリティがデグレードされている実態があきらかになった.

会場となったHyatt Regency Austin

会場となったHyatt Regency Austin

本会議のもよう

本会議の様子

人が多すぎてなんだか分かりませんがbanquetのもよう

人が多すぎてなんだか分かりませんがbanquetの様子