第28回CSEC研究会(@大阪大学)
セッションの参加報告(一日目)
●セッション1-B:侵入検知システム(1) [10:20-12:00]
参加人数:20名ほど
座長:稲村 雄(NTTドコモ)
(5) ワーム拡散の遅延を目的とした検知・遮断機構の提案
大宅 裕史,櫨山 寛章,門林 雄基(奈良先端大)
概要:
ワームの拡散速度を遅くする方式、未知のワーム
を検知する方式を提案する。その方法とは、ワームの
通信の特徴からワームを検知する方式である。
未使用のIPアドレスに対する通信が増加することを
利用する。
質疑応答:
Q.遮断は人がやると考えてよいのか?
A.スイッチなどに本システムを導入すると
自動化可能である。
Q.近傍とは?
A.同じサブネットマスクに属するもの。
Q.全てか?
A.選択を行う。
Q.(静岡大学)引き伸ばしでなく、遮断でよいのでは?
A.引き伸ばしのほうが遅延によいという数式
モデルによる結果があったので遅延を採用した。
実装は行っていない。
Q.(座長)未使用IPをトリガーとして選択した理由は?
A.バースト的なものでは誤検知が発生する。この方式は
誤検知発生の確立が少ないと考えられた。
(6) デモジュレーションを使った等価検証の自己改変型コード検出への適用
安藤類央,武藤佳恭(慶大)
概要:
自己改変型コードの検出を行う方式を提案する。
その方式は、検出対象となるコードを支持集合に加え、
等価代入を繰り返すことで助長性が付加される前の
コードとのあいだのコードとの間に節矛盾を生じ
させるここと検出を行う。
質疑応答:
Q.(静岡大学、西崎)
導入するにはどのようにするのか?
A.会社に問い合わせたところできるとのこと
(7) TCP ポートに対するスキャン検出手法の提案
小原 正芳,堀 良彰,櫻井 幸一(九大)
概要:
ポートスキャンの高速検知手法を行う手法を提案する。
その際、ポートスキャンの特徴に基づく評価基準を
用いることでポートスキャンを効率よく検知できる
手法である。
質疑応答:
Q.見逃しを減らす方法については
今後行うつもりなのか?
A.ゆっくりおこなうポートスキャンは難しい
と思う。今のところ対策は考えていない。
Q.(座長)この方式は異常なポートスキャンへの
対応は?
A.シグネチャーベースとの併用がよいと考えられる。
(8) 動的VLAN制御による統合ワーム対策システムの提案
馬場 達也,角 将高,稲田 勉(NTTデータ)
概要:
検疫システムをクライアントPCに頼らず、
ネットワークで対策を行う方式を提案する。
そのように行うことで、あらかじめアンチ
ウイルス対策ソフトを入れる必要がなくなる。
●セッション2:招待講演(1) [13:00-14:00]
座長:東野輝夫(阪大)
講演タイトル:生物界に学ぶ情報技術創出へのアプローチ
― 21世紀COEプログラム ―
講演者: 大阪大学大学院情報科学研究科長 西尾 章治郎
概要:
多くの人間または人間集団が、豊かで持続的に共生
可能なネットワーク社会を実現する情報環境の
構築が急務である。それを実現するために、
生物界に学ぶ。たとえば、大腸菌のネットワークに
学ぶことができる。
Q.始める前にどれほどの勝算があったのか?
A.玉砕されてもいいという感じでいった。
●セッション3-A:侵入検知システム(2) [14:10-15:25]
参加人数:30~40名ほど
座長:菊池浩明(東海大)
(14) データ改ざん検出によるバッファオーバフロー検知システムの提案
長野 文昭,鑪 講平,田端 利宏,櫻井 幸一(九大)
Q.ハッシュよりも軽い関数がいいのでは(宇田、東京工科大)
A.考慮する
Q.カーネルが安全なら、カーネルにすべての変数を登録すれば
いいのではないのか?
A.カーネルのメモリ使用量を減らすため。
Q.関数の呼び出し毎にハッシュの再計算をするとオーバヘッド
が大きすぎ?
A.今後の課題
Q.リターンアドレス以外の値が書き換えられるだけの場合は?
A.検証可能することはできるが、その際のオーバヘッドは増大する。
C.
XORを使った方がいいのでは?
途中が抜けた場合でもうまくいくし,計算量が少ない
交換則が成り立つので,すべて再計算する必要がない
C.
変更があるたびにすべて再計算になるのでオーバヘッドが大
きい
(15) ネットワーク間プロファイル比較による攻撃異常検知
竹森 敬祐,三宅 優,田中 俊昭(KDDI研)
概要:
個々のネットワークの長期的な頻度を基準に正規化することで、
ネットワーク間の攻撃の偏りの程度を定量的に算出する手法を
提案する。
質疑応答
Q.急に人気のサイトが開設されアクセス集中が起こったり
した場合御見地をしないのか?
A.マネージメントの点からあえて誤検知がおこるように
している。
●セッション4-C:暗号・電子署名 [15:35-16:50]
参加人数:20名ほど
座長:土井洋(情報セキュリティ大学院大学)
(28) 結託耐性符号と非結託者識別符号の複合方式の提案と評価
後藤青竜,若山公威,岩田彰(名工大)
概要:
結託耐性符号に、非結託者を識別する符号を組み合わせる
手法と、結託耐性符号を多段構成にすることで冗長性を
減らす手法を提案する。
質疑応答:
Q.(芝浦工業大学)反転するといわれていたが、何を
反転するのか。
A.画像の場合は、画像をランダムに選んで反転する。
Q.(座長)最終的な評価は、今回提案された二つの
方式をまとめたものか。
A.そうではない。
(29) 耐性を極大化した電子透かしシステムの構成と評価
大関和夫,中島道紀(芝浦工大)
概要:
個人レベルでは電子透かしによる著作権の主張
をすることが困難であるという問題を解決する
ために、公開ソフトを難度化することでその
問題を解決する。
質疑応答:
Q.(静岡大学)プログラムの完全性ではなく、鍵の
還元性をチェックする必要があると思うが。
A.枠組み全体を壊す攻撃に対して耐性を保つため
Q.難度化したプログラムが正しいという保証は?
(30) 細粒度権限管理実現のための一手法の提案
稲村 雄,竹下 敦(NTTドコモ)
概要:
動的な権限管理を便利に行うために、
暗号技術を利用した細粒度権限管理を
提案する。
質疑応答:
Q.(静岡大学)鍵のワンタイム性は?
A.オブジェクトにて対応する。
セッションの参加報告(二日目)
●セッション6-A:認証・アクセス制御(2) [11:10-12:25]
座長:中西 透(岡山大)
(40) 代理アクセスを利用した匿名認証方式
千田浩司,谷口展郎,塩野入理,金井敦(NTT)
概要:
インターネットなどでの不正ユーザ追跡をもつ匿名
認証方式を提案する。その際、代理アクセスを利用
する。これにより、プライバシーを保護しつつ、
不正ユーザを識別することができる。
質疑応答:
Q.ブラックリストの使用法は?
A.中継者によって行う。
Q.(座長)中継者はかなり信頼できる必要がある?
A.そのとうり
Q.(東京工科大学)中継者にウイルスなどが蔓延した
場合はこのシステムは破綻しないのか?
A.信頼できるサーバがあるなどの仮定が必要
(41) センサネットワークにおける高信頼ブロードキャストメッセージ認証方式
八百 健嗣,松村 靖子,福永 茂(沖電気)
概要:
サーバが発信したデータが正しくノードに到着した
ことと、サーバの成りすましを防御するシステムに
ついて提案をおこなう。
質疑応答:
Q.提案方式では、それぞれのノードに秘密情報を
割り振ると考えていいか?
A.わりふる
Q.用途は?
A.住宅の中など
Q.(?)もしディープノードであったら、だまされてしまうのか?
A.そのとうりである
Q.(静岡大学、西垣)可換則の暗号の使用の考慮はしているのか?
A.今後考慮したい
(42) 電磁的記録の時刻認証に適した電子文書墨塗り応用方式
佐藤亮太,藤村明子,千田浩司,塩野入理,金井敦(NTT)
概要:
電磁的記録の作成・保存・利用の要件についてまとめ、
その用件の中の電磁的記録の完全性の確保と柔軟性の
確保を行うための電子文書の確保を行うための電子文書
墨塗り技術の応用方式について提案する。
質疑応答:
Q.(東海大、菊池)墨塗り者が書き換える可能性は?
A.署名があるので、検証が可能。
Q.(東海大、菊池)文書作成が意図しない書き換えは可能か?
A.可能ではあるが、書き換えたことを検知することはできる
Q.墨塗りの履歴も残るのか?
A.いつ、何をやったかということが残る。
Q.裁判にやくたつのか?
A.補助になる
●セッション7:招待講演(2) [13:15-14:15]
座長:寺田真敏(日立)
講演タイトル:
「 ISP(通信事業者)として何を守るべきか」
インターネットで発生しているインシデントの実態とTelecom-ISAC Japanの
取組みについて
講演者: Telecom-ISAC Japan (https://www.telecom-isac.jp/)
小山覚
質疑応答:
Q.エンドホストのセキュリティの考えは?
A.はいってしまっては仕方ないので、それへの対策
が必要と考える。
Q.パケット課金への動きはあるのか?
A.他の人がやらないかなぁと思っている。
Q.どこに重きをおいて観察しているのかを情報公開
してほしい。
A.それは重要だと考えている。
Q.不正なアクセスと区別できないものは?
A.防ぎようがないものがある。エンドユーザへの
対策が必要と考えている。
Q.(東京大学、松浦)評価の限界点を教えていただきたい
A.実装はむずかしい
Q.ISP間の足並みは?
A.現在はそろっている
●セッション8-C:侵入検知システム(3)[14:15-15:30]
座長:竹森 敬祐(KDDI研)
(55) 感染プロセスに着目したワーム検知方式の提案
前田 秀介,馬場 達也,大谷 尚通,角 将高,稲田 勉(NTTデータ)
概要:
ワームが感染の際に必要とする挙動とその順序
に着目することにより、ご見地を抑えつつ、効果的
にワームを検知する方法を提案する。
質疑応答:
Q.(富士通)この方法の裏を書くような方式への対応は?
A.この方法は必ず必要な作業である。
Q.(座長)必ずそうであるのか?
A.クライアントの対策としては必ずそうだと思う。
Q.(NEC 松田)どこにこのシステムを置くのか?
A.NATをはさまないものを考えているが、詳細は
今後の課題
(56) 改良例外ハンドラによる実時間オーバーフロー防御システム
安藤類央,武藤佳恭(慶大)
概要:
例外ハンドらを改良し、オーバフローをおこした
プロセスを検出し、実時間で停止する手法を提案する。
本方式の利点は、最コンパイルが必要にないことが
あげられる。
質疑応答:
Q.(東大)関数ポインタを不正に書き換えるものは可能なのか?
A.無理
Q.(東大)誤検知があるようにおもえるが?
A.あると思う。
Q.(NTT docomo)適切なタイミングとは?
A.とんだ直後
Q.IA32以外では使用可能か?
A.インテル以外のアーキテクチャを知らないので
わからない
(57) DDoS攻撃に対するAS間発信源探査方式の提案
甲斐俊文,長嶋昭人,中谷浩茂,清水弘(松下電工),
高橋輝壮(工学院大), 鈴木彩子(NTTアドバンステクノロジ)
概要:
異なる探査方式が導入されたネットワーク間での
探査を可能にするような方式を提案する。その際、
RIDを用いる。
●セッション9-B: 情報漏洩対策 [15:40-16:55]
座長:寺田雅之(NTTドコモ)
(61) 不審な挙動の検知による内部犯対策
丸岡弘和,西垣正勝(静岡大)
概要:
内部犯を特定するために、
ユーザが不正を行う際に不振な挙動が現れる
ことに着目し、内部不正者のリアルタイム検知
を行う。
質疑応答:
Q.(座長)監視者は誰?
A.学生
C.(KDDI)音とアクティブウインドウへの関係を
調べると面白いかも。
Q.(座長)心拍数、発汗数以外で考えていることは?
A.慣れてしまえば、これらの装置は気になくなる。
(62) 署名鍵漏洩対策におけるMACを付与した電子署名の実装方式
松崎 孝大,松浦 幹太(東大)
概要:
実装に適したMAC付き電子署名の署名トークンの分析を
行い、規定した署名トークンを利用した場合にMAM付き電子
署名のシステムが満たすべき条件を明確にする。
質疑応答:
Q.(東海大学 菊池)TTPのIDはどこにはいるのか?
A.受信者識別子を用いる。
Q.そこで1対1対応できるのか?
A.そこは検討していなかった。
Q.署名鍵が漏洩した場合はMAC鍵も漏洩するのではないか?
それでいいのか?
A.用途が違うので、MAC鍵は漏洩しないことを仮定している。
(63) 属性の伝播を利用した電子文書の柔軟な利用制御方式の提案
鷲尾知暁,除補由紀子,大嶋嘉人(NTT)
概要:
情報漏えいを防止しつつ、業務に支障を
きたしにくい方式について提案する。
具体的には、複製されたデータを追跡可能
にすることで実現する。そのさい、クリップボード
などの制限はない。
質疑応答:
Q.(大阪市立大)スクリーンキャプチャーへの対応は?
A.プロセスの情報を参考にすることで対応を行う。
Q.(大阪市立大)dllを改ざんされた場合は?
A.ありえる話である。
Q.複数のファイルを開く場合は?
A.問題である。officeへの対応はレジストリをいじる
ことで可能になる。