JP6564137B2 - 検知装置、検知方法、検知システム、および検知プログラム - Google Patents
検知装置、検知方法、検知システム、および検知プログラム Download PDFInfo
- Publication number
- JP6564137B2 JP6564137B2 JP2018520857A JP2018520857A JP6564137B2 JP 6564137 B2 JP6564137 B2 JP 6564137B2 JP 2018520857 A JP2018520857 A JP 2018520857A JP 2018520857 A JP2018520857 A JP 2018520857A JP 6564137 B2 JP6564137 B2 JP 6564137B2
- Authority
- JP
- Japan
- Prior art keywords
- account
- attack
- detection
- login
- login attempt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、検知装置、検知方法、検知システム、および検知プログラムに関する。
一般に、インターネット上のサービスには、アカウント名およびパスワードを用いたアカウント認証が用いられる。すなわち、予め登録されたアカウント名およびパスワードを用いて認証された利用者に対してサービスが提供される。
ここで、利用者の多くは、複数のサービスに共通のアカウント名およびパスワードを登録して利用している。このような背景から、近年、登録されたアカウント名およびパスワードのリストを不正に取得した攻撃者が、他の様々なサイトにリストを用いてログイン試行を繰り返して不正にログインする、いわゆるリスト型攻撃が多発している。
従来、このようなリスト型攻撃に対して、一定時間内における認証失敗数が一定値を超えた場合に、攻撃として検知する手法が知られている(非特許文献1参照)。あるいは、過去にログインに成功した端末の特徴と比較することにより、攻撃を検知する手法も知られている(非特許文献2参照)。
「リスト型アカウントハッキングによる不正ログインへの対応方策について」、[online]、2013年12月、総務省、[2016年4月27日検索]、インターネット<URL:http://www.soumu.go.jp/main_content/000265403.pdf>
「オンライン本人認証方式の実態調査 報告書」、[online]、2014年8月、IPA、[2016年4月27日検索]、インターネット<URL:https://www.ipa.go.jp/files/000040778.pdf>
しかしながら、従来の技術では、攻撃者がログイン試行を複数の異なるIPアドレスから行ったり頻度を低下させて行ったりすれば、一定時間内における認証失敗数によって攻撃者のログイン試行を攻撃として検知することはできない。また、過去にログインに成功した端末の特徴との比較を行う手法によれば、正当な利用者が異なる端末や異なる環境からログイン試行した場合にも、正当な利用者のログイン試行を攻撃と誤検知してしまう場合があり、利用者の利便性を阻害している。
本発明は、上記を鑑み、正当な利用者の利便性を阻害せずに精度高くリスト型攻撃を検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得部と、前記取得部が取得したアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析部と、前記分析部により攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知部と、を備えることを特徴とする。
本発明によれば、正当な利用者の利便性を阻害せずに精度高くリスト型攻撃を検知することができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[検知システムの構成]
図1は、本実施形態に係る検知装置10をふくむ検知システム1の概略構成を例示する図である。図1に例示するように、検知装置10による検知処理の対象とするシステムは、利用者が使用する端末Uと、複数のWebサーバsとが、インターネット等のネットワークに接続されて構成される。各Webサーバs上には、1または複数のWebサイトが構築されている。
図1は、本実施形態に係る検知装置10をふくむ検知システム1の概略構成を例示する図である。図1に例示するように、検知装置10による検知処理の対象とするシステムは、利用者が使用する端末Uと、複数のWebサーバsとが、インターネット等のネットワークに接続されて構成される。各Webサーバs上には、1または複数のWebサイトが構築されている。
端末Uは、各Webサイトにアカウントを使用してログイン試行を行う。各Webサーバsは、ワークステーション等の汎用のコンピュータで実現され、各Webサイトに対応するアプリケーションを実行する。また、各Webサイトは、端末Uのログイン試行に使用されたアカウントの認証を行い、認証が成功した場合に、このアカウントによるアプリケーションへのログインを許可する。
本実施形態の検知装置10は、各WebサイトとLAN(Local Area Network)やインターネットなどの電気通信回線を介して接続される。検知装置10は、後述する検知処理を実行し、各Webサイトにおけるログイン試行の履歴情報を表すログイン履歴を参照し、一定期間に多数のWebサイト20に対して共通のアカウントを用いて行われたログイン試行を攻撃として検知する。
[検知装置の構成]
図2は、本実施形態に係る検知装置の概略構成を示す模式図である。図2に例示するように、検知装置10は、ワークステーションやパソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
図2は、本実施形態に係る検知装置の概略構成を示す模式図である。図2に例示するように、検知装置10は、ワークステーションやパソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置、情報通信装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LANやインターネットなどの電気通信回線を介したWebサーバs等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。記憶部14には、アカウント情報14aおよびアカウント分析情報14bが格納されている。アカウント情報14aおよびアカウント分析情報14bは、後述する検知処理において生成され、記憶部14に格納される。
図3は、アカウント情報14aのデータ構成を例示する図である。図3に例示するように、アカウント情報14aには、時刻、アカウント名およびWebサイト名が含まれる。
ここで、アカウント情報14aは、後述する取得部15aの処理において生成される。時刻とは、各Webサイト20への該当のアカウントを使用したログイン試行の時刻を意味する。アカウント名とは、ログイン試行に使用されたアカウントを識別する名称を意味する。Webサイト名とは、ログイン試行の対象のWebサイト20を識別する名称を意味する。図3(5行目)には、例えば、2015年1月3日03時02分00秒に、Webサイト「A.com」にアカウント「user3」を使用したログイン試行があったことが示されている。
図4は、アカウント分析情報14bのデータ構成を例示する図である。図4に例示するように、アカウント分析情報14bには、アカウント名、最終分析時刻、期間(D)、スコア(S)および攻撃判定が含まれる。
ここで、アカウント分析情報14bは、後述する分析部15bの処理において生成される。最終分析時刻とは、分析部15bによる直近の処理の時刻を意味する。期間(D)とは、後述する分析部15bによる処理の対象とした所定の期間を意味する。スコア(S)は、後述するが、アカウント名に対応するアカウントの使用の度合いすなわちアカウントの共起性を表す。攻撃判定とは、後述する分析部15bにより攻撃と判定されたか否かを意味する。図4(1行目)には、例えば、分析部15bが、2015年1月4日00時00分00秒に、1週間でのアカウント「user1」のスコアSを0.75と算出し、攻撃と判定した(攻撃判定=Yes)分析結果が示されている。
図2の説明に戻る。制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図2に例示するように、取得部15a、分析部15bおよび検知部15cとして機能して、後述する検知処理を実行する。
取得部15aは、複数のWebサイト20(WebサイトA20a、WebサイトB20b,WebサイトC20c、…)へのログイン試行に使用されたアカウントの情報を取得する。具体的に、取得部15aは、各Webサイト20へのログイン試行の履歴情報を参照し、不審なログイン試行に使用されたアカウントの情報を抽出してアカウント情報14aを生成する。すなわち、取得部15aは、各Webサイト20のログイン履歴を参照し、不審なログイン試行に使用されたアカウントについて、時刻、アカウント名およびWebサイト名を抽出してアカウント情報14aを生成し、記憶部14に格納する。
ここで、不審なログイン試行には、例えば、当該Webサイト20に登録されていないアカウントへのログイン試行が該当する。あるいは、あるIPアドレスから大量のアカウントへのログイン試行かつ認証失敗のケースが不審なログイン試行に該当する。または、あるIPアドレスから少量のカウントへのログイン試行かつ認証失敗があり、その後所定の時間が経過しても該当のアカウントへのログイン試行および認証成功がないケースが不審なログイン試行に該当する。その他、Webサイトの管理者等が不審と判断したログイン試行が不審なログイン試行に該当する。
分析部15bは、取得部15aが取得したアカウントのうち、所定の期間に異なるWebサイト20へのログイン試行に共通して使用された各アカウントの使用の度合いを算出する。また、分析部15bは、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する。
具体的に、分析部15bは、アカウント情報14aの各アカウントについて、所定の期間Dにおいて、複数のWebサイト20へのログイン試行に共通して使用された度合いを意味する共起性を算出する。
各アカウントの共起性は、例えば、取得部15aがアカウント情報の取得の対象としたWebサイト20上の全サイト数M(M>1)に対する、各アカウントを使用してログイン試行されたWebサイト数Nの割合として算出される。すなわち、共起性を表すスコアSは、次式(1)で算出される。
S=N/M …(1)
次に、分析部15bは、算出したスコアSが所定のしきい値Tを超えた場合に、このアカウントが使用されたログイン試行を攻撃と判定する(攻撃判定=Yes)。また、分析部15bは、スコアSがしきい値Tを超えない場合には、このアカウントが使用されたログイン試行が正当であり攻撃ではないと判定する(攻撃判定=No)。そして、分析部15bは、各アカウントについて、アカウント名、最終分析時刻、期間(D)、スコア(S)および攻撃判定の情報を用いて、アカウント分析情報14bを生成し、記憶部14に格納する。
なお、図4に例示したアカウント分析情報14bにおいて、スコアSの算出の対象とした所定の期間Dは1週間、スコアSの攻撃判定のしきい値Tは0.5、また全サイト数M=4とされている。そして、例えば、アカウント「user1」から「A.com」、「B.com」および「C.com」の3サイトに対してログイン試行されている(N=3)ことから、アカウント「user1」のスコアSは0.75と算出され、攻撃と判定されている。
さらに、分析部15bは、攻撃と判定したログイン試行を行った端末Uから所定の期間に行われたログイン試行に使用された他のアカウントについて、共起性を表すスコアSを算出する。
具体的に、図5を参照して説明する。例えば、分析部15bは、図5に例示するように、あるWebサイトAのログイン履歴を参照して、先に攻撃と判定した、アカウント「user1」を使用してログイン試行を行った端末UのIPアドレス「ip4」を特定する。
そして、分析部15bは、所定の期間D2にIPアドレス「ip4」から行われたログイン試行に使用された、「user1」以外のアカウント「user4」を抽出し、アカウント情報14aに追加する。この場合に、分析部15bは、上述した処理と同様に、アカウント「user4」についても共起性を表すスコアSを算出し、アカウント分析情報14bに追加する。これにより、分析部15bは、不審なアカウントの情報を効率よく収集でき、攻撃を見逃す恐れが低減する。
なお、先に攻撃と判定したログイン試行を行った端末Uの特定は、IPアドレスに限定されず、例えば、UA(ユーザエージェント)等を用いてもよい。
さらに、取得部15aが、攻撃に使用される蓋然性が高いアカウントの情報を取得し、分析部15bが、算出した該アカウントのスコアSに対して所定の重み付けを行ってもよい。具体的に、まず、取得部15aは、攻撃に使用される蓋然性が高いアカウントを意味するリークアカウントの情報を取得して、アカウント情報14aに追加する。
ここで、リークアカウントの情報は、例えば、漏洩アカウントを監視して取得する。攻撃者は攻撃等で得られた正当な利用者のアカウントに関する情報を、PastebinやGist等のメッセージ投稿サイトに公開する場合がある。そこで、このような投稿サイト等を監視することによって、漏洩アカウントの情報を取得することができる(参照文献:http://japan.cnet.com/news/service/35016862/)。
投稿サイトの監視手法として、例えば、対象の投稿サイトを定期的にクロールして、ユーザアカウントと思われるEメールアドレスやパスワードのハッシュ値が大量に存在しないかをチェックする(参照文献:http://raidersec.blogspot.jp/2013/03/introducing-dumpmon-twitter-bot-that.html)。
あるいは、リークアカウントの情報は、Twitter等の公開されたSNSサイトのユーザの挙動を外部から観測することにより取得する。アカウントがリークしユーザの挙動が大きく変化した場合に、そのアカウントの情報を取得する。アカウントがリークしたか否かは、例えば、メッセージの間隔、言語、メッセージに含まれるURL等を用いて検知することができる(参照文献:COMPA:Detecting Compromised Accounts on Social Networks,http://www.internetsociety.org/doc/compa-detecting-compromised-accounts-social-networks)。
アカウント情報14aにリークアカウントの情報が追加された場合に、分析部15bは、上述した処理と同様に、追加されたリークアカウントについても、共起性を表すスコアSを算出し、アカウント分析情報14bに追加する。さらに、リークアカウントは漏洩したアカウントであり、攻撃に利用されやすい特性から、分析部15bは、算出したスコアSに所定の重みWで重み付けを行う。
この場合、アカウント分析情報14bに、各アカウントに対するスコアSの重みWの項目が追加される。また、分析部15bは、重みW×スコアSが攻撃判定のしきい値Tを超えた場合に、このアカウントが使用されたログイン試行を攻撃と判定する(攻撃判定=Yes)。また、分析部15bは、重みW×スコアSがしきい値Tを超えない場合に、このアカウントが使用されたログイン試行が正当であり攻撃ではないと判定する(攻撃判定=No)。これにより、攻撃の早い段階でアカウントの共起性が低くても、攻撃と判定される。
図6は、リークアカウントの情報がアカウント情報14aに追加された場合に生成されるアカウント分析情報14bを例示する図である。図6に示す例では、リークアカウント「user2」が追加され、リークアカウントについての重みW=4.0、その他のアカウントについての重みW=1.0とされている。リークアカウント「user2」について、スコアSは0.25でありしきい値T=0.5より小さいものの、重みW=4で重み付けを行った結果、重みW×スコアSがしきい値Tを超えることから、攻撃と判定されている。
図2の説明に戻る。検知部15cは、分析部15bが攻撃と判定したログイン試行に使用されたアカウントと同一のアカウントを使用したWebサイト20へのログイン試行を攻撃として検知する。具体的に、検知部15cは、検知対象のWebサイト20のログイン履歴を参照し、アカウント分析情報14bで攻撃と判定された(攻撃判定=Yes)アカウントを使用したログイン試行を攻撃として検知する。また、検知部15cは、検知結果を出力部12に出力する。
図7は、検知部15cによる検知結果を例示する図である。検知部15cは、アカウント分析情報14bを参照し、攻撃と判定された(攻撃判定=Yes)アカウントを特定する。例えば、図5に例示したアカウント分析情報14bを参照して、アカウント「user1」およびアカウント「user4」を特定する。そして、検知部15cは、図7に例示するように、検知対象のWebサイト20のログイン履歴について、アカウント「user1」およびアカウント「user4」が使用されたログイン試行を攻撃と検知する。なお、図7に示す例では、攻撃と検知された場合に検知結果は「Attack」、攻撃ではないと検知された場合に検知結果は「Normal」とされている。
[検知処理]
次に、図8を参照して、本実施形態に係る検知装置10による検知処理について説明する。図8は、検知処理手順を示すフローチャートである。図8のフローチャートは、例えば、処理の開始を指示する操作入力があったタイミングで開始される。
次に、図8を参照して、本実施形態に係る検知装置10による検知処理について説明する。図8は、検知処理手順を示すフローチャートである。図8のフローチャートは、例えば、処理の開始を指示する操作入力があったタイミングで開始される。
取得部15aは、各Webサイト20のログイン履歴を参照し、不審なログイン試行に使用されたアカウントの情報を取得してアカウント情報14aを生成し、記憶部14に保存する(ステップS1)。
分析部15bは、一定期間Dに取得されたアカウント情報14aの各アカウントについて、異なるWebサイト20に共通して使用された度合いを意味する共起性を算出し、このログイン試行が攻撃か否かを判定し、アカウント分析情報14bに保存する(ステップS2)。
検知部15cは、アカウント分析情報14bの攻撃と判定されたアカウントと、各Webサイト20のログイン履歴とを照合し、攻撃と判定されたアカウントと一致したアカウントを用いたログイン試行を攻撃と検知する(ステップS3)。
また、分析部15bは、各Webサイト20のログイン履歴を参照して、攻撃と判定したログイン試行が行われた端末のIPアドレスまたはUAを特定する。そして、分析部15bは、特定したIPアドレスまたはUAから、一定期間D2に他の未検知のアカウントを使用したログイン試行の有無を確認する(ステップS4)。
特定したIPアドレスまたはUAから他の未検知のアカウントを使用したログイン試行があった場合に(ステップS4,Yes)、分析部15bは、そのログイン試行のアカウントをアカウント情報14aに追加して(ステップS5)、ステップS2に処理を戻す。
一方、特定したIPアドレスまたはUAから他の未検知のアカウントを使用したログイン試行がなかった場合に(ステップS4,No)、分析部15bは、所定の一定期間待機し(ステップS6)、処理終了を指示するユーザ入力がなければ(ステップS7,No)、ステップS1に処理を戻す。また、分析部15bは、処理終了を指示するユーザ入力があった場合(ステップS7,Yes)に、一連の検知処理を終了させる。
以上、説明したように、本実施形態の検知装置10は、取得部15aが、複数のWebサイト20へのログイン試行に使用されたアカウントの情報を取得する。また、分析部15bが、取得部15aが取得したアカウントのうち、所定の期間に異なるWebサイト20へのログイン試行に共通して使用された各アカウントの使用の度合いを意味する共起性を算出し、該共起性が所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する。また、検知部15cが、分析部15bが攻撃と判定したログイン試行に使用されたアカウントと同一のアカウントを使用したWebサイト20へのログイン試行を攻撃として検知する。
例えば、分析部15bは、各アカウントの共起性を、取得部15aがアカウント情報の取得の対象としたWebサイト20上の全サイト数Mに対する、各アカウントを使用してログイン試行されたWebサイト数Nの割合として算出する。
これにより、検知装置10は、ログイン試行の頻度ではなく、ログイン試行に利用されるアカウントに着目することで、攻撃者がログイン試行を複数の異なるIPアドレスから行ったり頻度を低下させて行ったりしても、有効にリスト型攻撃を検知できる。また、正当な利用者が異なる端末や異なる環境からログイン試行した場合にも、攻撃と誤検知することを回避できる。このように、検知装置10は、正当な利用者の利便性を阻害せずに精度高くリスト型攻撃を検知することができる。
また、検知装置10は、分析部15bは、攻撃と判定したログイン試行を行った端末Uから所定の期間に行われたログイン試行に使用された他のアカウントについても、共起性を算出する。これにより、検知装置10は、不審なアカウントの情報を効率よく収集でき、攻撃を見逃す恐れを低減させることができる。
また、取得部15aが、攻撃に使用される蓋然性が高いアカウントの情報を取得し、分析部15bが、算出した該アカウントのスコアSに対して所定の重み付けを行う。これにより、攻撃の早い段階でアカウントの共起性が低くても、リスト型攻撃を検知することができる。
また、検知部15cは、攻撃と検知したログイン試行のアカウントをWebサイト20に対応するWebサーバsに通知してもよい。この場合に、Webサーバsは、通知されたログイン試行のアカウントを防御する防御部を備えて構成することができる。例えば、防御部は、攻撃と検知されたログイン試行のアカウントを一時的にロックしてもよい。あるいは、防御部は、このアカウントに対して2段階認証等の追加認証を行ってもよい。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置10は、Webサイトのログイン履歴を入力とし、検知結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置10は、Webサイトのログイン履歴を入力とし、検知結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
図9に示すように、検知プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、図9に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1 検知システム
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a アカウント情報
14b アカウント分析情報
15 制御部
15a 取得部
15b 分析部
15c 検知部
20 Webサイト
s Webサーバ
U 端末
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a アカウント情報
14b アカウント分析情報
15 制御部
15a 取得部
15b 分析部
15c 検知部
20 Webサイト
s Webサーバ
U 端末
Claims (7)
- 複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得部と、
前記取得部が取得したアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析部と、
前記分析部により攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知部と、
を備えることを特徴とする検知装置。 - 前記分析部は、前記各アカウントの使用の度合いを、前記取得部がアカウント情報の取得の対象とした全サイト数に対する該各アカウントを使用してログイン試行されたサイト数の割合として算出することを特徴とする請求項1に記載の検知装置。
- さらに、前記分析部は、前記攻撃と判定されたログイン試行を行った端末から所定の期間に行われたログイン試行に使用された他のアカウントについて、前記使用の度合いを算出することを特徴とする請求項1に記載の検知装置。
- さらに、前記取得部は、攻撃に使用される蓋然性が高いアカウントの情報を取得し、前記分析部は、算出した該アカウントの使用の度合いに対して所定の重み付けを行うことを特徴とする請求項1に記載の検知装置。
- 検知装置で実行される検知方法であって、
複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得工程と、
前記取得工程において取得されたアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析工程と、
前記分析工程において攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知工程と、
を含んだことを特徴とする検知方法。 - 利用者が使用する端末と複数のサーバと検知装置とを備え、該サーバ上に構築された各サイトが、前記端末によるログイン試行に使用されたアカウントの認証を行い、該認証が成功した場合に、該アカウントによるログインを許可する検知システムにおいて、
前記検知装置は、
複数の前記サイトへのログイン試行に使用されたアカウントの情報を取得する取得部と、
前記取得部が取得したアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析部と、
前記分析部により攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知して、該サイトに対応する前記サーバに通知する検知部と、を備え、
前記サーバは、通知されたログイン試行のアカウントを防御する防御部を備える、
ことを特徴とする検知システム。 - 複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得ステップと、
前記取得ステップにおいて取得されたアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析ステップと、
前記分析ステップにおいて攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知ステップと、
をコンピュータに実行させるための検知プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016110454 | 2016-06-01 | ||
JP2016110454 | 2016-06-01 | ||
PCT/JP2017/019593 WO2017208969A1 (ja) | 2016-06-01 | 2017-05-25 | 検知装置、検知方法、検知システム、および検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2017208969A1 JPWO2017208969A1 (ja) | 2018-11-22 |
JP6564137B2 true JP6564137B2 (ja) | 2019-08-21 |
Family
ID=60477438
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018520857A Active JP6564137B2 (ja) | 2016-06-01 | 2017-05-25 | 検知装置、検知方法、検知システム、および検知プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11012450B2 (ja) |
JP (1) | JP6564137B2 (ja) |
WO (1) | WO2017208969A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6564841B2 (ja) * | 2017-12-23 | 2019-08-21 | 株式会社カウリス | 照合サーバ、照合方法及びコンピュータプログラム |
JP6928302B2 (ja) * | 2018-06-29 | 2021-09-01 | 株式会社オプティム | コンピュータシステム、IoT機器監視方法及びプログラム |
CN110336838B (zh) * | 2019-08-07 | 2022-07-08 | 腾讯科技(武汉)有限公司 | 账号异常检测方法、装置、终端及存储介质 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7421733B2 (en) * | 2002-02-06 | 2008-09-02 | Hewlett-Packard Development Company, L.P. | System and method for providing multi-class processing of login requests |
US7272728B2 (en) | 2004-06-14 | 2007-09-18 | Iovation, Inc. | Network security and fraud detection system and method |
US7571471B2 (en) * | 2006-05-05 | 2009-08-04 | Tricipher, Inc. | Secure login using a multifactor split asymmetric crypto-key with persistent key security |
US9558339B2 (en) * | 2010-11-29 | 2017-01-31 | Biocatch Ltd. | Method, device, and system of protecting a log-in process of a computerized service |
WO2015001970A1 (ja) * | 2013-07-05 | 2015-01-08 | 日本電信電話株式会社 | 不正アクセス検知システム及び不正アクセス検知方法 |
AU2015279922B2 (en) * | 2014-06-24 | 2018-03-15 | Virsec Systems, Inc. | Automated code lockdown to reduce attack surface for software |
WO2016068007A1 (ja) * | 2014-10-28 | 2016-05-06 | 日本電信電話株式会社 | 分析装置、分析システム、分析方法、および、分析プログラム |
JP6392985B2 (ja) * | 2015-06-05 | 2018-09-19 | 日本電信電話株式会社 | 検知システム、検知装置、検知方法及び検知プログラム |
US10264001B2 (en) * | 2015-08-12 | 2019-04-16 | Wizard Tower TechnoServices Ltd. | Method and system for network resource attack detection using a client identifier |
US9930047B2 (en) * | 2015-09-24 | 2018-03-27 | Mcafee, Llc | Transparent overlay and headless browser execution for welcome flow |
JP2017076185A (ja) | 2015-10-13 | 2017-04-20 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
US9514294B1 (en) * | 2015-11-12 | 2016-12-06 | International Business Machines Corporation | Accessing a computing resource |
US10129298B2 (en) * | 2016-06-30 | 2018-11-13 | Microsoft Technology Licensing, Llc | Detecting attacks using compromised credentials via internal network monitoring |
US10362055B2 (en) * | 2017-08-10 | 2019-07-23 | Blue Jeans Network, Inc. | System and methods for active brute force attack protection |
US11637844B2 (en) * | 2017-09-28 | 2023-04-25 | Oracle International Corporation | Cloud-based threat detection |
US11089036B2 (en) * | 2018-12-27 | 2021-08-10 | Sap Se | Identifying security risks and fraud attacks using authentication from a network of websites |
-
2017
- 2017-05-25 JP JP2018520857A patent/JP6564137B2/ja active Active
- 2017-05-25 WO PCT/JP2017/019593 patent/WO2017208969A1/ja active Application Filing
- 2017-05-25 US US16/302,742 patent/US11012450B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11012450B2 (en) | 2021-05-18 |
WO2017208969A1 (ja) | 2017-12-07 |
JPWO2017208969A1 (ja) | 2018-11-22 |
US20190222592A1 (en) | 2019-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10554639B2 (en) | Systems and methods for managing resetting of user online identities or accounts | |
US10673896B2 (en) | Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks | |
US11256812B2 (en) | End user social network protection portal | |
US9900346B2 (en) | Identification of and countermeasures against forged websites | |
US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
US9191411B2 (en) | Protecting against suspect social entities | |
US10630676B2 (en) | Protecting against malicious discovery of account existence | |
US20140337973A1 (en) | Social risk management | |
TWI718291B (zh) | 服務提供系統、服務提供方法、及電腦程式 | |
US8898777B1 (en) | Systems and methods for detecting user activities to identify deceptive activity | |
US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
JP6564841B2 (ja) | 照合サーバ、照合方法及びコンピュータプログラム | |
JP6564137B2 (ja) | 検知装置、検知方法、検知システム、および検知プログラム | |
WO2020131220A2 (en) | Detecting and responding to attempts to gain unauthorized access to user accounts in an online system | |
US9577948B2 (en) | Method and apparatus for connecting to server using trusted IP address of domain | |
US20210006592A1 (en) | Phishing Detection based on Interaction with End User | |
GB2555384A (en) | Preventing phishing attacks | |
US20230283632A1 (en) | Detecting malicious url redirection chains | |
Rahamathunnisa et al. | Preventing from phishing attack by implementing url pattern matching technique in web | |
JP2016200869A (ja) | 認証サーバ、認証システム及び認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180614 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190723 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190725 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6564137 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |