2 0 0 0 SaaR:Sandbox as a Requestの実装と評価
- 著者
- 可児 潤也 加藤 岳久 間形 文彦 勅使河原 可海 佐々木 良一 西垣 正勝
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
- 巻号頁・発行日
- vol.2014, no.19, pp.1-8, 2014-02-27
近年,不正者によるサーバ攻撃が多発しており,我々はサーバ攻撃への対策として,SaaR(Sandbox as a Request) というコンセプトを提案した.本提案方式は,各クライアントからのサーバに対するリクエストごとに仮想サーバ (仮想マシンによって実装されるサーバ) をワンタイムで提供する方式となっている.正規のクライアントからのアクセスに対しても,不正なクライアントからのアクセスに対しても,サーバの 「複製」 がその都度サーバ内のサンドボックスの中に生成され,複製サーバのサービスがクライアントに提供される.複製された仮想サーバはクライアントからのリクエストに応じたサービスを終えた時点で使い捨てられる.もし不正者がサーバの脆弱性をつきサーバ内のデータの改ざんに成功したとしても,それは不正者に一時的に提供されたサーバの複製であり,サーバ本体は無傷を保つことになる.本稿では,Web サーバの形態で SaaR を実装し,実現可能性と適用範囲に関する評価と考察を行った.We proposed a method that provides a disposable virtual server to each request for a real server from a client-user, as countermeasure of attack to server(s) by malicious users. Namely, the proposed scheme, Sandbox as a Request (SaaR), generates one-time virtual machine against each access request from any client-user, regardless of legitimate user or malicious user, and then creates a copy of a real server in the sandbox. The copied virtual server provides a service to each client-user, and is cleared out when it is finished providing service appropriate to the request by the user. Even if a malicious client-user succeeds in tampering data of the copied virtual server, the real server is working without fault. This paper implements this system in the form of Web-Server, evaluates and discusses about the feasibility and the applicability.
2 0 0 0 OA Android OSにおける機能や情報へのアクセス制御機構の提案
- 著者
- 川端 秀明 磯原 隆将 竹森 敬佑 窪田 歩 可児 潤也 上松 晴信 西垣 正勝
- 雑誌
- コンピュータセキュリティシンポジウム2011 論文集
- 巻号頁・発行日
- vol.2011, no.3, pp.161-166, 2011-10-12
Android OSを搭載した端末では,アプリケーション(以下,アプリ)をインストールする際に,アプリが利用する機能や情報をパーミッションという単位でユーザに通知して,インストールの可否を仰いでいる.しかしながら,一度ユーザがアプリのパーミッションを許可してしまうと,そのアプリがパーミッションをどのように利用しているのか把握することができず,制御が効かない問題がある.そこで本稿では,実行中のアプリに対して,利用する機能や情報へのアクセスをリアルタイムで制御するフレームワークを提案する.危険を伴うパーミッションに付随するAPIに割り込み処理を実装し,パフォーマンス評価を行い有効性を示す.
1 0 0 0 セカンドアプリ内包型Androidマルウェアの検知
1 0 0 0 4コマ漫画CAPTCHA
- 著者
- 可児 潤也 鈴木 徳一郎 上原 章敬 山本 匠 西垣 正勝
- 雑誌
- 情報処理学会論文誌 (ISSN:18827764)
- 巻号頁・発行日
- vol.54, no.9, pp.2232-2243, 2013-09-15
近年,既存のCAPTCHAにおける脆弱性が多くの研究者によって指摘されており,人間の「より高度な知識処理」を利用してCAPTCHAを強化する方法が検討されている.また,人間である正規ユーザにとって,CAPTCHAに解答することは本来不要の「煩わしい手間」であるため,CAPTCHAの利便性についても考慮しなければならない.そこで本論文では,人間の「ユーモアを解する能力」に注目し,4コマ漫画を用いたCAPTCHA方式を提案する.ユーモアを解する能力は人間の究極的な認知処理能力の1つであると考えられており,高いマルウェア耐性が期待できるとともに,4コマ漫画のエンタテイメント性が「正規ユーザに心地良さを与えるCAPTCHA」の実現に寄与すると考えられる.評価実験およびアンケート調査を通じ,4コマ漫画CAPTCHAの可用性について論ずる.As many researchers have already reported, conventional CAPTCHA could be overcome by state-of-the-art malware since the capabilities of computers are approaching those of humans. Therefore, CAPTCHA should be based on even more advanced human cognitive processing abilities. In addition, it is also important to keep in mind that answering CAPTCHA is an added annoyance for users, who feel troublesome to prove that they are human at every Web access. So, CAPTCHA should be enjoyable for users. To cope with these issues, we have focused on the human ability to understand humor which is considered as one of the most advanced human cognitive processing abilities, and proposed the concept of a new type of Turing test that uses four-panel cartoons, which would make CAPTCHA test fun and enjoyable. This paper carries out experimental study to confirm the usability of the proposed CAPTCHA.
- 著者
- 竹森 敬祐 磯原 隆将 川端 秀明 窪田 歩 高野 智秋 可児 潤也 西垣 正勝
- 出版者
- 一般社団法人電子情報通信学会
- 雑誌
- 電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
- 巻号頁・発行日
- vol.113, no.135, pp.425-432, 2013-07-11
情報収集モジュールなどを組み込んだスマホアプリからの勝手な情報送信が問題となる中、利用者に送信情報を説明するアプリ向けのプライバシーポリシー(以後、アプリプラポリ)の策定が求められている。我々は、情報送信を伴うアプリとアプリプラポリの実態調査を行い、63%のアプリが情報送信を行い、うち9割がアプリプラポリを持たないか、持っていたとしても送信情報を正しく記載していないことがわかった。そこで本研究では、Marketがアプリの第三者検証機関として審査役を担い、正確で解りやすいアプリプラポリを生成・提示することで、利用者判断を仰ぐフレームワークを提案する。特徴として、アプリ解析力のある技術検証機構を持つことで、誤った申告とアプリプラポリの生成を予防できる。ここで、アプリのダウンロードや利用実績に応じた報酬を支払うレベニューシェアを適用する。これにより、過剰な情報送信や目的が判然としないアプリは利用者から倦厭され、報酬が低下する経済論を働かせる。本手法をアプリMarketに実装・運用した結果、16%のアプリしか情報送信を行わないこと、アプリの趣旨に沿った必要最低限の情報送信に限られることを確認する。