パスワードを忘れた? アカウント作成
12870261 journal
日記

aitoの日記: 2016年7月14日~15日 EMM研究会@山口

日記 by aito

7月14日(木) 午後 セッションA-1 EMM
座長: 新見 道治(九工大)
13:00 - 15:05
(1) 雑音特性を考慮した電子透かし方式への誤り訂正符号の適用と考察
○重本章吾・栗林 稔・舩曵信生(岡山大)
スペクトル拡散+軟判定とQIM+硬判定処理のシミュレーションによる比較。誤り訂正はLDPC。

(2) ケルクホフスの原理に基づく電子透かし方式の安全性において特徴選出および信号処理の重要性 ○山下晃一郎・栗林 稔・舩曵信生(岡山大)
ケルクホフスの原理その2「暗号方式は秘密であることを必要としてはならない」という言明を透かしに適用した場合、「秘密鍵を除く透かし方式が公開されていても安全性に問題ない」ということになるが、栗林先生のところで推しているDCT-OFDM方式では方式がわかると結託攻撃を受ける。これへの耐性を挙げたICIP2015方式について、方式の中の各処理が結託攻撃にどう有効なのかを調べた。その結果、最初にホスト信号にPN系列を乗算する処理は不要であることがわかった。

(3) クリアインクを用いた難視性パターンからの情報抽出に関する研究 ○松江勇輝(東京理科大)・金田北洋(阪府大)・岩村恵市(東京理科大)・越前 功(NII)
ここで用いている難視性パターンは18x18ピクセル領域の中心に点を打つか打たないかによって紙文書背景に0/1を埋め込む方式。前景に文字があると抽出の誤りが多い。今回の提案法では、同じ処理をクリアインク(透明な光沢を持ったインク)で行ってさらに知覚しにくくする。提案法では51x51pixelの中央25x25pixelにクリアインクを打ったり打たなかったりする。また、畳み込み符号によって誤りを減少。

(4) 内壁の構造化による3Dプリンター造形物への情報埋め込み技術 ○中村耕介・鈴木雅洋・高沢渓吾(神奈川工科大)・高嶋洋一(NTT)・鳥井秀幸・上平員丈(神奈川工科大)
一連の3Dプリント造形物への情報埋め込み。今回は内部が空洞の造形物について、内側に凹凸をつけて、熱伝導の違いによってサーモグラフィで情報を読み出す。パターンドットの大きさが2mm角だと読み出し可能だが、1mm角ではエラーが多かった。

(5) ジグソーパズル解法に対するブロックスクランブル画像暗号化法の評価 ○中満達也・栗原健太・貴家仁志(首都大東京)
ブロックスクランブル画像暗号化は、画像をブロックに区切った上でランダムに並べ替え、ブロックの方向を回転・反転させて色成分もシャッフルしたもの。通常の暗号とは違い、暗号化した画像を圧縮したり雑音付加した場合も元に戻すことが可能。一方安全性については、総当たりについては十分安全ではあるが、ブロック間に相関があるため本当の安全性はもっと低いはず。そこで、GAを使ったジグソーパズル解法を適用して安全性を測る。結果としてブロックサイズが大きい場合(28x28pixelとか)には比較的復元されてしまうが、ブロックが小さくなると復元が難しくなる。また、JPEG圧縮による量子化雑音が混ざると復元しにくくなる。

7月14日(木) 午後 セッションB-2 CSEC(1)/SPT
座長: 島岡 政基(セコム)
(15) 金融業界において注目されている情報セキュリティ上の研究課題:認証技術に焦点を当てて
  ○中村 啓佑・宇根 正志(日本銀行)
日銀の金融研究所が毎年行っている情報セキュリティシンポジウムについて。
・顧客アンケートによれば、インターネットバンキングでの不正取引、顧客端末(PC,スマホ)への攻撃、情報流出についての興味が高かった。
2016年のテーマは認証技術について。
・FIDO(ネットワーク認証で生体認証等を利用する手段を定めた技術使用)について。
・安全性評価(フィッシング、マルウェア、生体認証なりすまし)
 生体認証の安全性の評価(物体作成によるなりすましの評価など)。
・暗号ハードウェアに対するセキュリティ評価
・異常検知(異常な取引、侵入検知)

(16) サイバーセキュリティ脅威対策のためのビジネスリスク評価システムの提案
  ○磯部 義明・杉本 暁彦・仲小路 博史(日立製作所)
経営者がセキュリティリスクをビジネス的に判断できる指標の提案。インシデントを想定損失額として提示したり、セキュリティ対策の効果を金額で提示したりする。
関連研究としてISO31000と関連規格がある。また、ALE(年間損害推定額)によるリスク分析の指標も関連。CVSS(共通脆弱性スコアリングシステム)は脆弱性の評価基準。
提案システムでは、システムのリスク評価をする既存システムから、データ・サービス・ビジネスの異なる層においてリスク評価を伝搬させながら評価を行う。可用性、秘匿性、完全性および人件費について想定損失を計算し、事前対策の費用効果dROSIを算出。

(17) マルウェア対策のための研究用データセット ~MWS Datasets 2016~
  ○高田 雄太(NTTセキュアプラットフォーム研)・寺田 真敏(日立製作所)・村上 純一(FFRI)・笠間 貴弘(NICT)・吉岡 克成(横浜国大)・畑田 充弘(エヌ・ティ・ティ・コミュニケーションズ)
マルウェア研究コミュニティMWSが提供するデータセット。内容はマルウェア検体、マルウェア観測データ、挙動通信データ、DRDoS通信観測データ、マルウェア動的解析ログなど。
またMWSではデータ提供だけでなく、ワークショップ(MWS20xx)およびコンテスト(MWS Cup)も開催。

(18) 第一回IEEE European Symposium on Security and Privacy参加報告
  ○松本 晋一(九州先端科学技術研究所)・松浦 幹太(東京大学生産技術研究所)
標記の会議報告。ドイツのザールブリュッケンで開催。採択率17%で29件の発表。
・基調講演はShamirによるIoTデバイスへの攻撃について。いくつかあるIoTデバイスへの攻撃の中で、デバイスをハックして別な機能を勝手に持たせるなど。スマートLEDをハックして光通信チャネルを作り、それを天体望遠鏡で観測して100mの光通信を実現。
・ZeTA: Zero Trust Authentication(信頼できない環境での認証)。
・Taint Trackingのセマンティクス
・オンラインゲームによる偽装通信
・Translingual Obfuscation: プログラミング言語を別言語に翻訳することで難読化する。CをPrologに変換するなど
・欧州のBGP網の実体の解析

7月15日(金) 午前 セッションB-3 CSEC(2)
座長: 畑田 充弘(NTTコミュニケーションズ)
09:55 - 11:10 [変更あり]
(24) HTMLハイブリッドアプリケーションの静的解析によるCSP自動適用手法
  ○竹内 俊輝・齋藤 彰一(名古屋工業大学大学院)
HTML,JS,CSSを組み合わせたWebアプリに対するクロスサイトスクリプティングを防ぐためにContent Sectity Policyを利用するが、適切に適用するためにはすべてのHTMLのmetaタグを適切に設定すると同時に、すべてのJavaScriptソースで変なことをしてないことを確かめなければならない。そこで、HTMLとJSを自動解析して適切なCSPタグを自動付与し、ポリシーに合わない操作を自動削除する。実際にいくつかのアプリに適用したが、完全自動はなかなか難しいようだ。

(25) プロセス情報不可視化のための仮想計算機モニタによるメモリアクセス制御機能の評価
  ○佐藤 将也・山内 利宏・谷口 秀夫(岡山大学)
マルウェアが別の正常なプロセスになりすますのを防ぐために、プロセス情報の書き換えにアクセス制御を導入する。

(26) ナイーブベイズ分類器を用いたDNS Water Torture攻撃のフィルタリング手法に関する検討
  ○吉田 琢朗(豊橋技術科学大学)・竹内 優也(カーネル・ソフト・エンジニアリング)・小林 良太郎(豊橋技術科学大学)・加藤 雅彦(長崎県立大学)・岸本 裕之(コムワース)
DNS Water Torture(DNS水攻め)攻撃とは、DNSへのDDoS攻撃の一種。オープンリゾルバを介して、攻撃対象のDNSサーバに存在しないサブドメインのクエリを投げまくる。そこで、water tortureのクエリを権威サーバの前でフィルタリングするシステムを提案する。このとき、問い合わせされたサブドメインがランダム生成されたものかどうかをナイーブベイズ分類器で自動識別する。識別率97%ぐらい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...