サイバーセキュリティ先端研究所2025年12月
PinchKey: A Highly Accurate and Usable Behavioral Biometric Authentication Method for VR Users
学会・研究会:情報処理学会論文誌
著者:Mei Suzuki (Waseda University/DTCY), Ryo Iijima (Waseda University/AIST), Kazuki Nomoto (Waseda University/DTCY), Tetsushi Ohki (Shizuoka University/RIKEN), Tatsuya Mori (Waseda University/RIKEN/NICT)
概要:This study introduces PinchKey, a highly accurate and user-friendly behavioral biometric authentication method for VR users. Authentication is performed using the natural and intuitive ‘pinch’ gesture used when operating VR devices. Since this two-finger action is a natural and intuitive gesture used when operating VR devices, we expect that the use of the pinch gesture will provide enhanced usability compared to traditional VR device authentication methods such as pattern lock or PIN entry. The system analyzes the three-dimensional trajectory of the user's finger movements during the pinch gesture and applies a supervised machine learning model to perform authentication. We implemented PinchKey on the Meta Quest 2 platform and conducted a comprehensive evaluation with 29 users, focusing on key parameters such as authentication accuracy, time, and overall usability. We conducted an offline evaluation using the pre-collected user pinch data. The results revealed high authentication accuracy, with an average area under the curve (AUC) of 99.7% and an average equal error rate (EER) of 1.7% in the initial phase. Based on the above results, we conducted real-time authentication trials on a Meta Quest 2 equipped with PinchKey. The tests emphasized the system's ability to provide efficient and fast authentication, with an average authentication accuracy of 93.8% and a fast average authentication time of 1.65s. PinchKey achieved a commendable median system usability scale (SUS) score of 86.25, which is the highest A rating on the SUS. In addition, we evaluated PinchKey's practicality in real-world applications, including system resilience in the presence of potential attackers.
2025年11月
超小型衛星ミッションにおけるセキュリティ機能の実装と放射線耐性評価
学会・研究会:第69回宇宙科学技術連合講演会
著者:中川 雄太, 山本 悠介, ファハルドタピア イサイ, ロドリゲスレオン ラファエル, 熊谷 裕志 (DTCY), 神薗 雅紀 (DTCY/DTSI)
概要:With the recent growth of satellite development and operations, ensuring cybersecurity in satellite systems has become an urgent issue. One potential solution is the implementation of security functions such as encryption and authentication using commercial off-the-shelf (COTS) components. However, when deploying COTS products in the space environment, it is essential to evaluate their radiation tolerance on the ground to ensure the reliability of satellite missions. In this study, we conduct radiation testing on consumer-grade secure elements and micro-controllers, and report the results along with considerations for implementing appropriate security functions.
https://smartconf.jp/content/sstc69/(外部サイト)
2025年11月
複数COTSセキュアエレメントを同時評価する放射線試験治具・自動計測システムの開発
学会・研究会:第69回宇宙科学技術連合講演会
著者:山本 悠介, 中川 雄太, ファハルドタピア イサイ, ロドリゲスレオン ラファエル, 熊谷 裕志 (DTCY), 神薗 雅紀 (DTCY/DTSI)
概要:The adoption of commercial off-the-shelf (COTS) device is promising for small satellites due to their accessibility and costeffectiveness. However, ensuring reliability in the harsh space environment necessitates pre-radiation testing. To improve statistical accuracy and reproducibility, it is essential to evaluate a large number of devices. In this study, we developed a dedicated PCB jig and automated measurement software capable of simultaneously irradiating multiple types and quantities of devices with gamma rays while monitoring their operational status. This paper presents the system design and reports on the improved testing efficiency and cost reduction achieved through the developed solution.
https://smartconf.jp/content/sstc69/(外部サイト)
2025年11月
A Trojan Detection Method for IoT Devices Using Binary Fuzzing and Behavioral Comparison with Benign Programs
学会・研究会:IWSEC 2025
著者:Takeshi Kaneshiro (Okayama University), Yuta Takata, Hiroshi Kumagai, Masaki Kamizono (DTCY), Toshihiro Yamauchi (Okayama University)
https://www.iwsec.org/2025/accepted_posters.html(外部サイト)
2025年10月
ヘッドライト光の反射を悪用した標識認識への攻撃: 商用車両を用いた影響評価と対策の提案
受賞:CSS2025 優秀論文賞
学会・研究会:コンピュータセキュリティシンポジウム (CSS) 2025
著者:鶴岡 豪 (早稲田大学/産総研), 佐藤 貴海 (慶應義塾大学), Qi Alfred Chen (カリフォルニア大学アーバイン校), 野本 一輝 (早稲田大学/DTCY), 小林 竜之輔 (早稲田大学), 田中 優奈 (早稲田大学/DTCY), 森 達哉 (早稲田大学/NICT/RIKEN AIP)
概要:標識認識システム (TSR) は自動運転車の安全において重要であるが,近年の研究では,TSRが敵対的攻撃に対して脆弱であることが知られ,様々な攻撃が提案されてきた.しかし既存の攻撃はステルス性 と実現可能性に制約があり,それらを解消する新しい攻撃ベクトルとして,我々は再帰反射素材を利用し た夜間のヘッドライト照射時のみ動作する敵対的再帰反射パッチ(ARP)攻撃を提案した.これまで我々 は研究用の TSR に対する評価を行ってきたが,現実的な脅威評価及び有効な防御の開発が課題として残さ れていた.本研究では,(1) 商用 TSR への脅威評価,(2) 様々な速度での攻撃有効性評価,(3)ARP 攻撃 への防御手法の開発という課題に取り組んだ.その結果として,実車両を用いた動的環境評価では,速度 5-25 km/h の範囲で 93.4%以上の攻撃成功率を達成し,速度変化に対する頑健性を実証した.また,2024 年製の商用車両に搭載された TSR に対して評価を行い,SpeedLimit サインへの攻撃で 60-75%の成功率 を達成し,ARP 攻撃が商用の TSR に対しても脅威であることを明らかにした.また ARP 攻撃の防御と して,反射の物理を利用した防御手法である DPR Shield を設計し,75%以上の防御成功率を達成した.
https://www.iwsec.org/css/2025/index.html(外部サイト)
2025年10月
敵対的映像攻撃が自律飛行ドローンの位置推定・制御に及ぼす影響の評価
受賞:CSS2025 学生論文賞
学会・研究会:コンピュータセキュリティシンポジウム (CSS) 2025
著者:海老根 佑雅 (早稲田大学), 野本 一輝 (早稲田大学/DTCY), 鶴岡 豪 (早稲田大学), 田中 優奈 (早稲田大学/DTCY), 森 達哉 (早稲田大学/NICT/RIKEN AIP)
概要:Visual SLAM (vSLAM) は,自動運転やロボットのナビゲーションなど,様々なシーンにおいて重要 な役割を果たしており,自律飛行ドローンにおいてもその重要性は増してきている. 一方で,従来の研究で は信頼性と精度の高い vSLAM システムの構築に焦点が当てられており,既存の vSLAM システムの脆弱 性に関する研究はほとんど行われていない. 本研究では,vSLAM 技術の一種である ORB SLAM3 を用い た自律飛行ドローンに対する新たな攻撃手法「敵対的映像攻撃」を提案する. 本手法は,スクリーンに投影 した敵対的映像を用いて,自己位置推定を本来の結果から誤った方向へ誘導し,ドローンの進路を意図的 に操作するものである.本稿では,敵対的映像が自己位置推定に与える影響をシミュレータ上のカメラ及 び商用のカメラで評価し,敵対的映像攻撃が ORB SLAM3 の自己位置推定に最大で約 252 m の誤認識を引 き起こすことを明らかにした.また,敵対的映像がドローンの自律飛行機構に与える影響をシミュレータ 及び商用ドローンを用いて End-to-End で評価し,シミュレータ上,実世界上どちらにおいても,敵対的映 像攻撃により,意図的にドローンを誘導し,墜落させることが可能であることを示した.
https://www.iwsec.org/css/2025/index.html(外部サイト)
2025年10月
バイナリファジングを用いた正常なプログラムとの挙動比較によるネットワークIoT機器のトロイ化検出手法
受賞:CSS2025 学生論文賞
学会・研究会:コンピュータセキュリティシンポジウム (CSS) 2025
著者:金城 豪志 (岡山大学), 高田 雄太, 熊谷 裕志, 神薗 雅紀 (DTCY), 山内 利宏 (岡山大学)
概要:IoT 機器の普及に伴い,IoT 機器を標的とした攻撃が増加している.特に外部ネットワークやサプライチェーン攻撃を通じて不正なコードが組み込まれるトロイ化は検出が困難である.過去に我々は,正常なIoT 機器と検査対象 IoT 機器に同一のテストデータを用いたバイナリファジングを行い,得られたシステムコールの発行順序を比較することで,トロイ化を検出する手法を提案した.本研究では本手法のさらなる実践的な有用性を検証するため,バックドアデータセット ROSARUM のうち,実在するトロイ化バイナリを含む authentic を用いた評価を行う.提案手法で使用する AFL++によるファジングは標準入力を使用するため,環境変数の設定や共有ライブラリの使用に加え,strace のオプション設定により authenticに含まれるソケット通信が必要なバイナリにも対応できるよう本手法を拡張した.その結果,提案手法は実在するトロイ化も検出できるとともに,既存手法 ROSA と比較して誤検出を抑制できることを示す.
https://www.iwsec.org/css/2025/index.html(外部サイト)
2025年10月
匿名性を持つ属性証明書発行シーケンスの形式検証
学会・研究会:コンピュータセキュリティシンポジウム (CSS) 2025
著者:児保 亮樹 (茨城大学), 渡部 翔 (茨城大学), 米山 一樹 (茨城大学), 石井 龍, 林田 淳一郎, 永井 達也, 野村 健太, 齋藤 恆和, 高田 雄太, 神薗 雅紀 (DTCY)
概要:属性認証とは,ユーザの年齢や性別などの属性情報に基づきシステムのアクセス制御などを行う認 証方式である.石井ら(ICSS 研究会2025 年3 月) は属性情報を発行機関に対し秘匿した状態で属性証明書 を発行するためのブラインド署名・ハッシュ木を用いた証明書発行シーケンスを提案し,OpenSSL 3.4.0 による概念実証を行った.しかし,形式的な安全性評価は行われていない.本稿では,彼らの方式のうち ブラインド署名を用いた証明書申請・発行シーケンスの安全性について,暗号プロトコルの自動検証ツー ルProVerif により形式検証を行う.我々は属性管理機関が証明書発行機関以外から属性証明書を発行され ないこと,証明書発行機関が属性管理機関以外に対して属性証明書を発行しないこと(なりすまし攻撃耐 性),および悪意のある証明書発行機関に対して属性情報を明らかにしないこと(秘匿性)を検証する.検 証結果として,石井らの方式は上記の安全性要件をすべて満たすことを示す.
https://www.iwsec.org/css/2025/index.html(外部サイト)
2025年10月
SNS プラットフォームにおける暗号資産詐欺の実態調査
学会・研究会:コンピュータセキュリティシンポジウム (CSS) 2025
著者:伊藤 大貴, 渡邉 卓弥, 高田 雄太, 熊谷 裕志, 神薗 雅紀 (DTCY)
概要:暗号資産のエアドロップでは,保有者を増やすための紹介リンク共有や認知度を上げるためのハッシュタグ付き投稿が参加条件として設定されることが多く,SNSプラットフォームが重要な役割を担っている.暗号資産を狙った詐欺でも同様に,攻撃者はエアドロップを騙る投稿や返信を通じて詐欺サイトのURLを拡散している. 本研究では,SNS上のエアドロップを騙る詐欺の実態を調査する.具体的には,X上で観測されたエアドロップ関連投稿455,842件を収集し,アカウント,投稿内容,タイムライン,スマートコントラクト(SC)アドレスの観点から特徴と傾向を分析する.その結果,既存アカウントを用いた詐欺投稿や,短命なインフラを用いた詐欺サイトの構築により,現行の対策が回避されていることを示す.加えて,本調査結果から複数の詐欺サイトにおいて同一のSCアドレスが利用されていることを示す.この特徴を踏まえて,SCアドレスを用いることによる詐欺サイトの検知率向上や,新たな詐欺サイトの収集可能性ついて議論する.
https://www.iwsec.org/css/2025/index.html(外部サイト)
2025年10月
ブロックチェーンネーミングサービスにおける名前衝突が引き起こす誤送金リスクの評価
受賞:CSS2025 奨励賞
学会・研究会:コンピュータセキュリティシンポジウム (CSS) 2025
著者:小林 蒼一朗, 伊藤 大貴, 渡邉 卓弥, 高田 雄太, 熊谷 裕志, 神薗 雅紀 (DTCY)
概要:暗号資産の取引におけるブロックチェーンネーミングサービス(BNS)の利用が進んでいる.BNSを用いることで,ウォレットアドレスの代わりに可読性の高いブロックチェーン上の名前(BN)を利用できるため,誤送金の防止が期待できる.一方で,異なるBNS間の名前衝突という問題が知られており,同一のBNでも意図しないウォレットアドレスに変換されてしまう事象が確認されている.そこで本研究では,BNS間の名前衝突による誤送金リスクを検証し,その影響を明らかにする.具体的には,複数のBNSに同じBNを登録して意図的に名前衝突を発生させた状況下で,ウォレットアプリおよびBNSプロバイダが提供する拡張機能を用いて名前解決の挙動を調査した.その結果,接続ブロックチェーンに依存しない名前解決や,名前解決後のアドレスの省略表示といった問題を特定し,現実的な誤送金リスクがあることを明らかにした.そして,誤送金を誘発する現実的な脅威モデルについて,SNSアカウントのなりすましや偽装アドレスの作成という観点から検討した.本研究の結果を踏まえ,誤送金のリスクを低減させるためにウォレット開発者,BNSプロバイダおよびユーザに向けて対策を提言する.
https://www.iwsec.org/css/2025/index.html(外部サイト)