著者
澤村 隆志 ベッドB.ビスタ 高田 豊雄
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2012, no.11, pp.1-7, 2012-02-22

近年,マルウェア検知は,従来のパターンマッチング法の弱点を補うために,振る舞い検知を行うビヘイビア法の研究が盛んに行われている.これにより,未知のマルウェアに対しても対応することが可能である.しかし,これらの手法を利用しても 100% 検知可能ではなく,検知を免れる手法も考案されている.そこで,我々は,ビヘイビア法の補完として,従来のセキュリティツールを突破された後,ユーザの PC への被害から,マルウェアの存在を検知し,被害を最小限に抑えることが可能なのではないかと考えた.本稿では,数多くのマルウェアの中から,近年,被害が増加しているランサムウェアに注目し,このマルウェアが,PC 内に進入した後の挙動から,検知する手法を提案する.Recently, in order to cover a weak point of pattern matching method for malware detection, many researches have paid attention to behavior method. Though behavior method could be applicable to unknown malware, it cannot completely detect malwares. Additionaly, a number of techniques to evade behavior method are proposed and actually employed. We focus on actual behavior of malwares after evading conventional anti-virus software for supplementing conventional behavior method, in order to reduce actual damages by such malwares as small as possible. In this paper, specifically, we consider ransomware detection, whose damage are increasing considerably, by observing their activity after intruding PCs.
著者
奥野 智孝 市野 将嗣 久保山 哲二 吉浦 裕
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011, no.2, pp.1-8, 2011-11-28

近年,多様な個人情報がネットワーク上に流通している.同一人物に関する複数の情報を入手することで,単独の情報からでは分からなかった情報が明らかになり,予期せぬプライバシー侵害につながる懸念がある.本研究ではこの危険性を明らかにするために,問題の代表例としてバックグラウンドチェックと呼ばれる雇用前の身辺調査を例に挙げ,ソーシャルメディアのプロフィールが匿名化されていても,履歴書の情報を基にソーシャルメディアのコンテンツの特徴を分析することで,採用希望者のアカウントを特定できることを示した.これにより,履歴書の情報とソーシャルメディアで開示された情報を統合し,個人の言動を調査することができる.Various types of personal information about individuals are accessible through the Web medias. Linking of the personal information obtained through multiple medias can lead to a serious violation of privacy. To address this problem, we developed a method to identify the author of the short messages of Twitter, known as tweets, by using the information from other medias.
著者
齊藤 壮馬 岩村 惠市
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013, no.16, pp.1-8, 2013-05-02

ワイヤレスセンサネットワークを構成するセンサノードは小さい電池容量であり、リソースも少ないため効率的な利用が求められてくる.LEACH (Low Energy Adaptive Clustering Hierarchy) はクラスタヘッドを周期的に選択することで、各ノードの消費電力を平均化するプロトコルである.このプロトコルに対するセキュリティ対策はいくつか提案されているが、電力消費が大きく、クラスタヘッドと通信できない孤立ノードを発生される可能性がある.そこで、階層型鍵共有方式を適用することで消費電力が小さく孤立ノードが発生しない方式を提案し、消費電力などをシミュレーションにより評価する.Sensor nodes costructing wireless sensor network have small electrical power and low resource so we need to use them efficiently in terms of energy consumption. LEACH(Low Energy Adaptive Clustering Hierarchy), the protocol that changes cluster head periodically leads to average each nodes' power consumption. At this time, some researchers have suggested security systems of LEACH but they induce high energy consumption and have a possibility that some nodes don't connect with others in the network. In this paper, we propose the new LEACH protocol that improves these problems using hierarchical-structured preshared key scheme. And we estimate its necessary energy and so on.
著者
鈴木 徳一郎 山本 匠 西垣 正勝
出版者
情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2010, no.16, pp.1-8, 2010-02-25
参考文献数
18

近年,CAPTCHA を攻撃する不正者は,CAPTCHA の解読に自動プログラムを使うのではなく,ネット上の一般ユーザを労力として活用するようになってきている.この攻撃は,リレーアタックと呼ばれ,不正者が正規サイトの CAPTCHA 画像をコピーし,不正者自身が運営するサイトに転載することによって,不正者のサイトを訪問する閲覧者に CAPTCHA を解かせている.リレーアタックにおいては,CAPTCHA を不正に (不正だと知らずに) 解読するのは人間であるため,自動プログラムに対するいかなる難読化技術も役に立たない.そこで,本稿は正規サイトへのアクセスを行っている不正者サイトの IP アドレスと CAPTCHA の解答を行っている一般ユーザが操作する PC の IP アドレスの差異を用いたリレーアタック検知方式を提案する.It has been recently reported that malicious users who attack CAPTCHAs are gradually changing their strategy from using automated programs to using human solvers. Such malicious users try to bring net-surfers around the world together by hosting some attractive web site. The malicious web site accesses a victim web site to obtain a CAPTCHA test on the victim site. Then, the malicious site relays the CAPTCHA test to net-surfers who are visiting the malicious web site. The CAPTCHA test will be solved by the net-surfers, and thus the malicious web site can send the CAPTCHA response to the victim site. This is how the malicious web site can use those net-surfers as human resources to solve CPTCHA test on victim web sites. These kinds of attacks are called relay attacks. So far, many researches have studied to improve CAPTCHAs' tolerability against a various attacks conducted by automated programs (malwares). Those countermeasures will, however, not work at all, since the attackers are human beings in the relay attacks. Therefore, we urgently have to tackle the relay attacks. This paper focuses on the difference in PC between the entity who accesses the victim site and the entity who solves the CAPTCHA test under the circumstance relay attacks are conducted. Based on the observation, we propose a relay attack detecting scheme by comparing the IP addresses of the accessing entity with that of the solving entity.
著者
園田 道夫 松田 健 小泉 大城 平澤 茂一
出版者
情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21862583)
巻号頁・発行日
vol.2011, no.49, pp.1-7, 2011-03-03

従来の研究においては,SQL インジェクション攻撃の検出は構文解析や過去の攻撃手法をブラックリスト化したものが広く使われている.しかし,これらのアプローチでは,多様化する攻撃の偽装工作への対応が困難になってきている.そこで本研究では,入力文字列のサンプルとして攻撃と正常の二種類用意した.そして,攻撃を特徴づける文字が入力された文字列の中に占める割合をもとに両方の誤検出率を小さくし, かつ高速なアルゴリズムを提案し,評価を行った.In the conventional study, the parsing and the blacklist of the past attack methods are widely used in the detection of the SQL injection attack. However, the diversified camouflage technique makes detecting attacks difficult in such approaches. Then, in our study, we prepared the attack strings group and the normality strings group as samples of the input string, and we proposed high-speed algorithm, based on the ratio that occupied it to the character string where the character that characterize the attack was input, to reduce both misdetection rates, and we evaluated it.
著者
Xuping Huang Akira Nishimura Isao Echizen
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011, no.8, pp.1-8, 2011-11-28

We propose and implement a content-based tampering detective steganography scheme using acoustic data with probative value in this paper. The purpose is to verify and identify malicious modification. Content-based hash function SHA-1 is adapted to detect tampering. After transforming data from time-domain to frequency domain using integer Discrete Cosine Transform (int-DCT), the amplitude of the highest frequency domain is expanded to reserve embedding capacity which is necessary for hiding hash value and index table for hiding. Lossless embedding and extraction algorithm ensure this scheme a reversible alternative scheme to meet the requirements of acoustic media with probative value. Hash digest is applied to data units after the original data is divided to frames to detect tampering in frame unit and to ensure the reversibility of the rest data even tampering occurs partially. The numerical simulation experiments on detection precise and acoustic degradation indicate that the proposed scheme satisfied highly variability and reversibility, while the acoustic degradation of stego data is imperceptible on the basis of the ITU-R BS.1387 (PEAQ) standard.We propose and implement a content-based tampering detective steganography scheme using acoustic data with probative value in this paper. The purpose is to verify and identify malicious modification. Content-based hash function SHA-1 is adapted to detect tampering. After transforming data from time-domain to frequency domain using integer Discrete Cosine Transform (int-DCT), the amplitude of the highest frequency domain is expanded to reserve embedding capacity which is necessary for hiding hash value and index table for hiding. Lossless embedding and extraction algorithm ensure this scheme a reversible alternative scheme to meet the requirements of acoustic media with probative value. Hash digest is applied to data units after the original data is divided to frames to detect tampering in frame unit and to ensure the reversibility of the rest data even tampering occurs partially. The numerical simulation experiments on detection precise and acoustic degradation indicate that the proposed scheme satisfied highly variability and reversibility, while the acoustic degradation of stego data is imperceptible on the basis of the ITU-R BS.1387 (PEAQ) standard.
著者
可児 潤也 加藤 岳久 間形 文彦 勅使河原 可海 佐々木 良一 西垣 正勝
出版者
一般社団法人情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2014, no.19, pp.1-8, 2014-02-27

近年,不正者によるサーバ攻撃が多発しており,我々はサーバ攻撃への対策として,SaaR(Sandbox as a Request) というコンセプトを提案した.本提案方式は,各クライアントからのサーバに対するリクエストごとに仮想サーバ (仮想マシンによって実装されるサーバ) をワンタイムで提供する方式となっている.正規のクライアントからのアクセスに対しても,不正なクライアントからのアクセスに対しても,サーバの 「複製」 がその都度サーバ内のサンドボックスの中に生成され,複製サーバのサービスがクライアントに提供される.複製された仮想サーバはクライアントからのリクエストに応じたサービスを終えた時点で使い捨てられる.もし不正者がサーバの脆弱性をつきサーバ内のデータの改ざんに成功したとしても,それは不正者に一時的に提供されたサーバの複製であり,サーバ本体は無傷を保つことになる.本稿では,Web サーバの形態で SaaR を実装し,実現可能性と適用範囲に関する評価と考察を行った.We proposed a method that provides a disposable virtual server to each request for a real server from a client-user, as countermeasure of attack to server(s) by malicious users. Namely, the proposed scheme, Sandbox as a Request (SaaR), generates one-time virtual machine against each access request from any client-user, regardless of legitimate user or malicious user, and then creates a copy of a real server in the sandbox. The copied virtual server provides a service to each client-user, and is cleared out when it is finished providing service appropriate to the request by the user. Even if a malicious client-user succeeds in tampering data of the copied virtual server, the real server is working without fault. This paper implements this system in the form of Web-Server, evaluates and discusses about the feasibility and the applicability.
著者
岩橋 正実 満田 成紀 鰺坂 恒夫 中島 毅
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2009-CSEC-45, no.11, pp.1-8, 2009-05-21

機器組込みソフトウェア開発の生産性と品質を向上させるためのオブジェクト指向の開発方手法の提案とその有効性について述べる。組込みシステムにオブジェクト指向を適用する際には、要求からクラスの抽出方法、状態の抽出方法が開発者によりバラツキがある。要求から設計/実装の双方向のトレーサビリティの確保と動的分析、時間制約などのリアルタイム制御システム特有の問題を解決することで生産性と品質の確保を可能にした。本稿で提案する手法論は、1998年に発表した自律オブジェクト指向技術を更に研究を進めたものである。その中で特に本稿では分析手法と設計手法を中心に述べる。
著者
若井 一樹 佐々木 良一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-67, no.2, pp.1-8, 2014-11-28

Twitter におけるスパム行為となりすまし行為の検知手法を提案する.これらの検知手法はスパム行為となりすまし行為の様々な特徴から検知対象であるか判定する項目を複数個作成し,それら項目を数量化理論の適用によって最適な項目組み合わせを選定することによって検知するものである.またこれら手法を実装するとともに,検知結果をユーザにわかりやすく提示するよう Twitter の表示系を強化したアプリケーション LookUpper の開発と評価を行った.この結果,本検知手法ではスパム行為となりすまし行為どちらも 90% 以上の的中率で検知することが可能であった.LookUpper の開発と評価について,本検知手法を実装し検知結果をわかりやすく表示する機能を開発し,被験者 10 人によってなされた LookUpper のユーザビリティに関する実験結果から全体的に高い評価を得るとともに,今後 LookUpper の改良を行っていくためのアイディアを導く種々のコメントが寄せられた.
著者
北原基貴 穴田啓晃 川本淳平 櫻井幸一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-65, no.3, pp.1-6, 2014-05-15

公開鍵暗号では,ユーザの公開した公開鍵に対するなりすましを防ぐため,公開鍵の正当性を保証する証明書が信頼できる認証局によって添付される.この仕組みは公開鍵基盤と呼ばれる.公開鍵と証明書は誰もが参照できる公開鍵ディレクトリに保存される.送信者はこれらの情報を用いて認証・暗号化を行う.この証明書を必要としない暗号として,ID ベース暗号がある.ID ベース暗号ではユーザの ID が公開鍵として扱われる.秘密鍵は,秘密情報を持つ鍵配付センターから,自身の証明を行うことで受け取る.これまでの ID ベース暗号には鍵配付センターがユーザの使う秘密鍵を知ってしまうという鍵供託問題が存在する.本論文では,所有者情報と証明書を RSA 暗号の公開鍵に埋め込むことで,鍵供託問題のない ID ベース暗号に相当するシステムを提案する.提案システムでは,正当な ID を持つユーザ以外は ID を埋め込み不可にするため,公開鍵への所有者情報の改ざんが行われた場合にそれを検知できる.また,証明書添付の必要がない.更に,提案システムの著作権管理システムへの適用を提案する.コンテンツ提供者の公開鍵に証明書を埋め込むことにより,著作権管理システムを,コンテンツの盗作販売を検出可能なものにすることができる.
著者
岩本 一樹 神薗 雅紀 津田 侑 遠峰 隆史 井上 大介 中尾 康二
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-65, no.13, pp.1-6, 2014-05-15

アプリケーションの脆弱性を攻撃する電子文書型マルウェアを動的に解析するためには,該当する脆弱性をもつアプリケーションを準備する必要がある.しかし脆弱性の種類を特定することは困難な場合があり,またアプリケーションが入手できない可能性もある.一方,脆弱性を攻撃した後に動作する不正なプログラム (シェルコード) は脆弱性やアプリケーションに関係なく独立して動作することが多い.そこで本研究では脆弱性の種類を特定することなく,またアプリケーションが無くても電子文書型マルウェアの動的解析が行えるようにするために,電子文書型マルウェアに含まれるシェルコードを特定して実行する方法を提案する.
著者
宮地 隆雄 長谷川 まどか 田中 雄一 加藤 茂夫
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011, no.31, pp.1-6, 2011-07-05

画像認証方式は,覗き見攻撃に弱い傾向があり,近年,これに対して様々な対策が研究されている.これまで我々は,画像の高周波成分は離れた位置からの認識が困難という性質に着目した重畳画像認証方式を提案し,その有効性を検証してきた.しかし,本方式は重畳する画像によっては,認証に適さない画像となる可能性があった.そこで本稿では,前景および背景画像の構造に着目し,それらの高周波成分に応じて前景画像の補正を行う手法について検討を行ったので報告する.Although graphical passwords are easy to memorize, they are vulnerable against an observation attack. To solve this problem, we propose a graphical password method which is difficult for observers to recognize pass-images. And we have conducted a user study about usability and robustness against shoulder-surfing. This method uses hybrid image, but a hybrid image which is not suitable for authentication may be used in this method. In this paper, we study on improvement of our method by considering image structure.
著者
辻井 重男 山口 浩 只木 孝太郎 五太子 政史 藤田 亮
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013, no.42, pp.1-8, 2013-07-11

受信暗号文の各部分 (各章) を,受信側組織の代表者・管理者が,総合的・適応的で,非定常的・臨機応変的な判断により,それぞれ適切な担当者達に暗号化状態のまま配信し得るような組織間機密通信方式を提案する.例えば,職員の職務のみでなく,人柄・適性や仕事量,あるいは勤務状況なども勘案して,上司が適任の部下を選ぶ,と言うような状況を想定している.本提案では,階層型組織やフラット型組織などの組織形態に応じて,多変数公開鍵暗号,及び,楕円エルガマル暗号等を活用しつつ,このような組織間機密通信システムを構成する.As to the application of public key cryptosystem to social organizations, Attribute Based Encryption and Functional Encryption are extensively being developed. In such encryption systems, a sending organization has to identify or decide the qualified receiver in the receiving organization by embedding the capacity of decryption of sending information in the encrypted data or the encryption key. As an example, it is easy for broadcast companies to embed the capacity of viewing of charged television. However, it is often difficult for sending organization to decide the qualified receiver. In such cases, secret communication systems proposed in this presentation seems to be crucial. Although there are various types of social organizations, typically they are divided types; one has hierarchical structure and the other has flat structure. In this paper we propose the Multivariate Public Key Cryptosystem (MPKC) for organizations with hierarchical structure and the elliptic curve cryptosystem for organizations with flat structure. As to MPKC, the structure with Perturbed TSK-MPKC and PQ type TSK-MPKC proposed in Third international conference on Symbolic Computation and Cryptography (SCC 2012, in Castro Urdiales, Spain) can be used.
著者
中田 謙二郎 松浦 幹太
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2015-CSEC-70, no.19, pp.1-8, 2015-06-25

匿名通信システム Tor は送信者と受信者のつながりの匿名性を保証する.しかしながら,その匿名性を破る攻撃も発見されつつあり,中でも指紋攻撃は攻撃に必要な資源が少なく現実的な脅威となりうるものとして注目されている.そこで我々は,指紋攻撃に対する防御の糸口としてウルフウェブサイトを提案する.ここでウルフウェブサイトとは,トラフィック上他のウェブサイトになりすましやすいウェブサイトと定義する.それぞれのトラフィックをウルフウェブサイトに擬態させることで,通信量のオーバーヘッドを最小限に抑えたまま指紋攻撃の攻撃成功率を大きく下げることができると考える.本稿では,本提案に向けた基礎実験について記述する.
著者
今井 正樹 上原 哲太郎 侯 書会 津田 侑 喜多 一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011, no.4, pp.1-6, 2011-05-05

情報漏洩対策機能としてユーザを特定可能な ID を電子透かしで文書に埋め込む電子文書管理システムがある.情報漏洩発生時に文書の流出元特定を容易にすることで,情報漏洩を心理的に抑止する.しかし,従来の方式で ID を符号化した場合,異なる ID を持つ文書を比較することにより ID の改竄が可能である.そこで本稿では結託耐性符号で符号化したユーザ ID を文書に埋め込む電子文書管理システムを提案する.文書形式として最も広く利用されている OOXML (Office Open XML) 形式の文書を対象として,相当量の情報が埋め込み可能な電子透かし手法を示し,ユーザ ID の消去を困難にした電子文書管理システムを設計する.There is a document management system witch prevent information leakages by embeding user identification in documents with digital watermark. It prevent users from information leakages by facilitating specification of the leakage source. But A comparation of same documents witch embeded different user IDs is enabled to attackeres to falsify the ID. This paper propose the document management system witch embeding user ID encoreded with anticollusion codes in documents. This system targeted OOXML (Office Open XML) documets because it is the most widely used in the world. This paper introduce the new large capacity watermark available in OOXML, and design the document management system enhaced preventation effect on information leakages.
著者
金子 雄介 長田 繁幸 安土 茂亨 岡田 仁志 山崎 重一郎
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2018-CSEC-82, no.24, pp.1-6, 2018-07-18

ブロックチェーン技術による分散台帳を利用する仮想通貨は,二重使用を防止するために,すべての取引で入金額の和と出金額の和が一致すること,すなわち,通貨価値の総量保存則が成り立つことを監査している.仮想通貨を金融業務で用いるには,利息による負債額の時間的増加や返済による負債額の減少を表現できる必要があるが,仮想通貨の安全な運用とは両立しない.本稿は,通貨価値の総量保存則を維持しつつ,利息や返済などの処理を合理的に記述する方法を提案する.提案法では,利息を考慮した融資額を意味する正の仮想通貨と,対となる同量の負債額を意味する負の仮想通貨を同時に発行し,これら 2 種類の仮想通貨の発行者のみが正負の仮想通貨を相殺する.
著者
金井 文宏 庄田 祐樹 吉岡 克成 松本 勉
出版者
一般社団法人情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2014, no.46, pp.1-7, 2014-06-26

スマートフォン向け OS として Android が広く用いられている一方で,それを狙ったマルウェアの数も増加している.Android マルウェアの中には,リパッケージと呼ばれる手法を用いて,正規アプリの中に悪性コードを追加することで作成されたものが多く存在する.攻撃者がリパッケージマルウェアを大量に作成する際には,リパッケージ処理の自動化が必須であると考えられるが,自動リパッケージの実態や対策については,十分な調査・検討が行われていない.そこで我々は,既存の正規アプリが自動リパッケージに対して,どの程度の耐性を有するかを検証する.まず,実際のリパッケージマルウェアの解析を行うことで,リパッケージの方法を特定し,自動リパッケージを再現するスクリプトを作成する.次に,このスクリプトによって,複数の正規アプリに対して,外部と通信を行う機能だけを持つ検証用コードを挿入する.作成したリパッケージ済みアプリを動的解析して,挿入した検証用コードが正常に動作するかどうかを検証する.その結果,評価対象としたアプリの約 75% において,挿入した検証用コードと元の正規アプリのコードの両方が正常に動作することを示す.この実験において挿入した検証用コードを,悪性のコードに変更した場合でも,同様の方法で自動リパッケージが可能であることが予想される.以上より,現状の Android アプリの多くは自動リパッケージヘの耐性が不十分であり,耐ダンパー技術等を用いたリパッケージ対策が必要であることがわかる.Android is widely used as a smartphone OS. On the other hand, malware targeting the Android devices is increasing. Sometimes, attackers insert malicious code to benign application to create malware. It is called repackage malware. Attackers may automate the process of repackaging when they create a large amount of repackage malware. However, difficulty and cost of automated repackage have not been well-investigated. In this paper, we evaluate resistance of Android apps to automated repackaging. For reproduction of automated repackage, we insert a test code to benign apps by methods which have been used in actual repackage malware. After repackaging, we check whether the inserted code properly works or not by dynamic analysis. As a result of the experiment, we successfully insert the test code into 75% of all tested popular apps without influencing the functionalities of the original apps. As there is no technical difficulty to replace the test code to malicious code, we conclude that many Android apps are lack of resistance to automated repackage and must consider measures such as Tamper resistant software technology.
著者
内匠 真也 奥野 航平 大月 勇人 瀧本 栄二 毛利 公一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2015-CSEC-68, no.12, pp.1-8, 2015-02-26

情報漏洩の多くは人為的なミスにより発生している.そこで,人為的ミスによる情報漏洩を防止するために,ファイルごとに設定可能なデータの機密度に基づいて,データの出力処理を制御するセキュアシステム DF-Salvia の開発を行っている.DF-Salvia では,コンパイラと OS が連携し,プロセス内部のデータフローを追跡する.本論文では,そのデータフロー追跡手法について述べる.具体的には,コンパイラによってデータフローの静的解析情報を生成するとともに,実行時に動的解析を可能とするためのデータフロー追跡用コードを挿入する.OS は,それらの情報をもとに動的にデータフローを解析する.本手法をアプリケーションに適用させた結果,データフローを追跡し,情報漏洩を防止できることを確認した.
著者
神宮 武志 古田 英之 岩村 惠市
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-67, no.5, pp.1-6, 2014-11-28

本稿では,秘密分散法の分散情報の更新手法について考える.著者らは [4] において,新しい分散情報の更新法を提案したが,従来,この問題に対してはプロアクティブ秘密分散法が提案されている.そこで,本稿では [4] の手法とプロアクティブ秘密分散法との比較を行い,[4] の手法にプロアクティブ秘密分散法と同等の機能を持たせるように拡張を行う.そのために,[4] の手法に検証鍵を追加し,更新情報の検証を可能にした.また通信量,計算量の比較を行った.
著者
井口 誠 植松 太郎 藤井 達朗
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2018-CSEC-81, no.10, pp.1-8, 2018-05-10

昨今,ビッグデータ利活用促進のための取組みとして,個人データの流通が重要な役割を果たすようになっている.この流れを受け,日本でも 2017 年 5 月に改正個人情報保護法が全面施行された.結果,匿名加工情報制度の創設など,プライバシー保護を図りつつ個人データを第三者に提供可能とする環境整備が整いつつある.しかし,環境整備は整ったものの,具体的な個人データの第三者提供ルールはまだ策定されていない状態にある.一例として匿名加工情報を見た場合,一律の基準は存在せず具体的な加工方法は明確にはなっていない.本稿では,リスクベースアプローチを用いて実用的な個人データの第三者提供ルールを策定する手法を検討する.特に米国の HIPAA (Health Insurance Portability and Accountability Act of 1996) 法を例に分析を行い,リスクベースアプローチが直感的な個人データの第三者提供ルールの策定に活用されていることを示す.また分析結果を踏まえ,他分野における第三者提供ルール策定へ向けた方法論を考察する.