SecureComm 2018 に参加してきました

共著の論文が通ったので、2018/08/08-10 にシンガポールで開催された SecureComm 2018 に参加してきました。

概要

• 108 submissions, accepted 33 full papers and 19 short papers (full paper の採択率は30%、全体だと48%)
• Best Paper Award は Mission-oriented Security Model, Incorporating Security Risk, Cost and Payout

参加者数は発表はありませんでしたが、2桁台の後半ぐらいでした。 理論寄りの話よりシステム系の話が多かったです。

Keynote

A User Centric Approach to Secure Mobile Systems and Applications

Robert Deng (Singapore Management University)

Singapore Management University の Secure Mobile Center の紹介。End-to-end security in mobile security をテーマに National Research Foundation (NRF) からの funding で 2014年10月に設立されて活動しているとのことです。

Secure Mobile Center で行われている4つのプロジェクトのこれまでの実績の紹介がありました。

• Fortifying Mobile Platforms with a User-Centric Trust Anchor: セキュリティ用の tiny hypervisor をユーザからのリクエストに応じて ARM の TrustZone 経由で起動させることで User からの ondemand な要求と Hypervisor の真正性を両立させる的なことをしているらしい
• Analyzing, Detecting, and Containing Mobile Malware: Mobile の Malware (特に Android) の分析技術など
• System for Scalable Access Control of Encrypted Data in Untrusted Servers: いわゆる秘匿計算や属性ベース暗号の応用の話
• Secure & Usable Authentication Systems in Mobile Computing: 多様な認証技術、例えば顔認証、2FA など

Uncovering Server Side Vulnerabilities via Mobile App Analysis

Zhiqiang Lin (Ohio State University)

モバイルアプリのバックエンドのサーバ側の脆弱性の調査の話。特に、認証や認可のところが正しく作り込まれているかテストするためにアプリの通信からどのようにテストを作っていくかという話がされていました。例えば、

• ログインの試行回数の制限がかかっているか
• テストデータを作るためのパラメータのリバースエンジニアリング
• トークンと認可の範囲の整合性

あたり。実際にはいろいろ不適切な例が見つかったそうです。

一般発表

気になったものと共著の論文だけ紹介します。

Securing the Smart Home via a Two-Mode Security Framework

Sisodia, Devkishen (University of Oregon); Mergendahl, Samuel (University of Oregon); Li, Jun (University of Oregon); Cam, Hasan (United States Army Research Lab)

いわゆる IoT のセキュリティの論文。IoT デバイスは計算リソースが少なくてこれまでのセキュリティ対策が使えない、さてどうしよう、というよくある問題意識。

この論文では TWINKLE というフレームワークを提案しています。TWINKLE は2つのモード (regular mode, vigilant mode) からなっていて、普段は処理が軽い regular mode で動作し、怪しいかもしれない動きを見つけたら vigilant mode で詳細に分析するという動きをするそうです。既存の仕組み (D-WARD, SVELTE)を TWINKLE のフレームワークで設計・実装するとどうなるのか、というあたりで評価をしていました。

IoT の文脈で使えるかどうかは別として、セキュリティシステムを検出の精度や負荷などに従って多段階で設計するというのは今後必要になってくるかも、と思いました。

Understanding Android Obfuscation Techniques: A Large-Scale Investigation in the Wild

Dong, Shuaike (The Chinese University of Hong Kong); Li, Menghao (Institute of Information Engineering, Chinese Academy of Sciences); Diao, Wenrui (Jinan University); Liu, Xiangyu (Alibaba Inc.); Liu, Jian (Institute of Information Engineering, Chinese Academy of Sciences); Li, Zhou (ACM Member); Xu, Fenghao (The Chinese University of Hong Kong); Chen, Kai (Institute of Information Engineering, Chinese Academy of Sciences); Wang, Xiaofeng (Indiana University Bloomington); Zhang, Kehuan (The Chinese University of Hong Kong)

Android の難読化にどのような手法が使われているのか調査した論文。 難読化の手法として

• identifier renaming
• string encryption
• Java reflection

の3つに着目して、それぞれがどれぐらい使われているのかを調査していました。あるアプリケーションがどのような難読化の手法を使っているかを判別するための機械学習を利用したとのこと。また、マルウェアはより複雑な難読化の手法を使っていることが調査の結果示されたとのこと。

こういう survey は感覚的には結果が分かっていても根拠がないことを定量的に示してくれるので大事だと思います。

Understanding the Hidden Cost of Software Vulnerabilities: Measurements and Predictions

Anwar, Afsah (University of Central Florida); Khormali, Aminollah (University of Central Florida); Nyang, DaeHun (Inha University); Mohaisen, Aziz (University of Central Florida)

ソフトウェアの脆弱性が発見・公表されたときにソフトウェアベンダの株価がどうなる傾向にあるのかを調べた論文。脆弱性ハンドリングやインシデントハンドリングに関わるdirect/indirect cost以外にも影響はあるよね、という話。

ANN を使った株価予測を元に、National Vulnerability Database (NVD)で脆弱性が公表された日から3日間の株価がどうなったかを業界別に調査していました。結果としては、CVSS で Critical と評価される脆弱性や、unauthorized access を許すような脆弱性は株価に negative な影響を与えているとのことでした。

こういう調査も面白いなと思う一方、脆弱性以外の株価を変動させる要素を排除できているのかいまいちよく分からなくて、個人的な印象はいまいち。

Shuffler: Mitigate Cross-VM Side-channel Attacks via Hypervisor Scheduling

Liu, Li (George Mason University); Wang, An (George Mason University); Zang, Wanyu (TAMU at San Antonio); Yu, Meng (University of Texas at San Antonio); Xiao, Mengbai (George Mason University); Chen, Songqing (George Mason University)

クラウドにおける Cross-VM のサイドチャネル攻撃をどう避けるかという論文。特に CPU のキャッシュを共有していることで起こる攻撃。

結局、VM が同時に CPU のキャッシュを共有しているコアで動いているのが問題ということで、2つのVMが同じコアで動いている時間を少なくするようにスケジューリングして、サイドチャネル攻撃が成功する確率を下げよう、ということが提案されていました。

SDN-Assisted Network-Based Mitigation of Slow DDoS Attacks

Lukaseder, Thomas (Ulm University); Maile, Lisa (Ulm University); Erb, Benjamin (Ulm University); Kargl, Frank (Ulm University)

SDN を使って Slow DDoS 攻撃を緩和しようという論文。

どこか Slow DDoS を識別するところに SDN を使ってトラフィックを引き込んで、そこで攻撃元と判定されたIPアドレスを Block すると同時に、TCP の RST を送ってセッションを強制的に切断させる、という内容。

あまり SDN-Assisted の部分で研究的な要素がなくて個人的には残念な感じでした。結局コアなのは Slow DDoS の通信を判別するところで、そこは SDN 関係ないじゃないか...という感じ。

A Metapolicy Framework for Enhancing Domain Expressiveness on the Internet

Varshney, Gaurav (SUTD); Szalachowski, Pawel (SUTD)

ドメインに関するポリシーが今は様々な形で表現されている (メールに関しては SPF, DKIM, DMARC, HTTPS に関しては HSTS など) が、ばらばらにやっているとポリシーの管理が大変だったり、完全性の担保、ユーザサイドのポリシーの確認や実装のレベルがばらばらになってしまってよくないので、ドメインのポリシーに関するフォーマットや公表する方法を記述するための meta framework を作ろうという論文。

フォーマット自体は、Policy + Signature で、それを DNS に載せる、Signature は DNSSEC を使う場合は DNSSEC で、そのほかに TLS の証明書を使って署名するのも可、ということでした。

たくさん乱立するとこういうものを作りたくなる気持ちは分かるし、統一されたフォーマットの上に乗ることで何か使えそうな気はするのですが、発表を聞いていた限りでは具体的な benefit が今の段階では足りないかなぁと思いました。

Mission-oriented Security Model, Incorporating Security Risk, Cost and Payout

Saghaian N. E., SayedM (The Pennsylvania State University); La Porta, Tom (The Pennsylvania State University); Jaeger, Trent (The Pennsylvania State University); Celik, Z.Berkay (The Pennsylvania State University); McDaniel, Patrick (The Pennsylvania State University)

セキュリティ対策にかけられる限られたコストを、リスク等を勘案してどこにどれだけかけていくのがよいかを最適化問題で解くという論文。

本来の目的を達成するためのリソース、リスク (発生確率, 被害)、リスクを低減させるためのセキュリティ対策のためのリソースをそれぞれ入力し、本来の目的を達成することを目的関数として定式化し、MINLP で解く、という話でした。

実際のサービスには依存関係がありますしリスクの推定の誤りや攻撃者は対策されていないところを狙ってくることを考えるとモデル化が単純すぎる気はしましたが、多様な対策が出てきている今ではこのような設計手法に関する研究も大事ではないかなと思いました。

Xilara: An XSS Filter Based on HTML Template Restoration

Yamazaki, Keitaro (Kyoto University); Kotani, Daisuke (Kyoto University); Okabe, Yasuo (Kyoto University)

共著の論文。

Stored XSS や攻撃コードが複雑で WAF などではなかなか検知できない XSS をどのようにすれば見つけられるだろうか、という論文。

Web アプリケーションはよくテンプレートエンジンを使って html を生成しているから html の文章構造は多くの出力で似たようなものになるはずで、XSS が成功すると構造が変わるはずだから、その構造が変わるのを発見して XSS の痕跡にしよう、という話です。

感想

参加者は数十人程度と少ないものの、北米・欧州・アジアからバランスよく発表や参加があり、また発表のレベルが低いこともなく、(トップカンファレンスほどではないものの)ときどき示唆に富む発表があり、引き続き投稿してもよいかなと思える会議でした。Social Event が2日目の夜の Banquet (しかもホテルの中のレストラン) しかなかったのが残念ですが...