JP6564137B2 - 検知装置、検知方法、検知システム、および検知プログラム - Google Patents

検知装置、検知方法、検知システム、および検知プログラム Download PDF

Info

Publication number
JP6564137B2
JP6564137B2 JP2018520857A JP2018520857A JP6564137B2 JP 6564137 B2 JP6564137 B2 JP 6564137B2 JP 2018520857 A JP2018520857 A JP 2018520857A JP 2018520857 A JP2018520857 A JP 2018520857A JP 6564137 B2 JP6564137 B2 JP 6564137B2
Authority
JP
Japan
Prior art keywords
account
attack
detection
login
login attempt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018520857A
Other languages
English (en)
Other versions
JPWO2017208969A1 (ja
Inventor
揚 鐘
揚 鐘
谷川 真樹
真樹 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2017208969A1 publication Critical patent/JPWO2017208969A1/ja
Application granted granted Critical
Publication of JP6564137B2 publication Critical patent/JP6564137B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、検知装置、検知方法、検知システム、および検知プログラムに関する。
一般に、インターネット上のサービスには、アカウント名およびパスワードを用いたアカウント認証が用いられる。すなわち、予め登録されたアカウント名およびパスワードを用いて認証された利用者に対してサービスが提供される。
ここで、利用者の多くは、複数のサービスに共通のアカウント名およびパスワードを登録して利用している。このような背景から、近年、登録されたアカウント名およびパスワードのリストを不正に取得した攻撃者が、他の様々なサイトにリストを用いてログイン試行を繰り返して不正にログインする、いわゆるリスト型攻撃が多発している。
従来、このようなリスト型攻撃に対して、一定時間内における認証失敗数が一定値を超えた場合に、攻撃として検知する手法が知られている(非特許文献1参照)。あるいは、過去にログインに成功した端末の特徴と比較することにより、攻撃を検知する手法も知られている(非特許文献2参照)。
「リスト型アカウントハッキングによる不正ログインへの対応方策について」、[online]、2013年12月、総務省、[2016年4月27日検索]、インターネット<URL:http://www.soumu.go.jp/main_content/000265403.pdf> 「オンライン本人認証方式の実態調査 報告書」、[online]、2014年8月、IPA、[2016年4月27日検索]、インターネット<URL:https://www.ipa.go.jp/files/000040778.pdf>
しかしながら、従来の技術では、攻撃者がログイン試行を複数の異なるIPアドレスから行ったり頻度を低下させて行ったりすれば、一定時間内における認証失敗数によって攻撃者のログイン試行を攻撃として検知することはできない。また、過去にログインに成功した端末の特徴との比較を行う手法によれば、正当な利用者が異なる端末や異なる環境からログイン試行した場合にも、正当な利用者のログイン試行を攻撃と誤検知してしまう場合があり、利用者の利便性を阻害している。
本発明は、上記を鑑み、正当な利用者の利便性を阻害せずに精度高くリスト型攻撃を検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得部と、前記取得部が取得したアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析部と、前記分析部により攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知部と、を備えることを特徴とする。
本発明によれば、正当な利用者の利便性を阻害せずに精度高くリスト型攻撃を検知することができる。
図1は、本発明の一実施形態に係る検知装置が対象とする検知システムの概略構成を示す模式図である。 図2は、本実施形態の検知装置の概略構成を示す模式図である。 図3は、アカウント情報のデータ構成を例示する図である。 図4は、アカウント分析情報のデータ構成を例示する図である。 図5は、分析部の処理を説明するための説明図である。 図6は、アカウント分析情報の他のデータ構成例を示す図である。 図7は、検知結果を例示する図である。 図8は、本実施形態の検知処理手順を示すフローチャートである。 図9は、検知プログラムを実行するコンピュータを例示する図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[検知システムの構成]
図1は、本実施形態に係る検知装置10をふくむ検知システム1の概略構成を例示する図である。図1に例示するように、検知装置10による検知処理の対象とするシステムは、利用者が使用する端末Uと、複数のWebサーバsとが、インターネット等のネットワークに接続されて構成される。各Webサーバs上には、1または複数のWebサイトが構築されている。
端末Uは、各Webサイトにアカウントを使用してログイン試行を行う。各Webサーバsは、ワークステーション等の汎用のコンピュータで実現され、各Webサイトに対応するアプリケーションを実行する。また、各Webサイトは、端末Uのログイン試行に使用されたアカウントの認証を行い、認証が成功した場合に、このアカウントによるアプリケーションへのログインを許可する。
本実施形態の検知装置10は、各WebサイトとLAN(Local Area Network)やインターネットなどの電気通信回線を介して接続される。検知装置10は、後述する検知処理を実行し、各Webサイトにおけるログイン試行の履歴情報を表すログイン履歴を参照し、一定期間に多数のWebサイト20に対して共通のアカウントを用いて行われたログイン試行を攻撃として検知する。
[検知装置の構成]
図2は、本実施形態に係る検知装置の概略構成を示す模式図である。図2に例示するように、検知装置10は、ワークステーションやパソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置、情報通信装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LANやインターネットなどの電気通信回線を介したWebサーバs等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。記憶部14には、アカウント情報14aおよびアカウント分析情報14bが格納されている。アカウント情報14aおよびアカウント分析情報14bは、後述する検知処理において生成され、記憶部14に格納される。
図3は、アカウント情報14aのデータ構成を例示する図である。図3に例示するように、アカウント情報14aには、時刻、アカウント名およびWebサイト名が含まれる。
ここで、アカウント情報14aは、後述する取得部15aの処理において生成される。時刻とは、各Webサイト20への該当のアカウントを使用したログイン試行の時刻を意味する。アカウント名とは、ログイン試行に使用されたアカウントを識別する名称を意味する。Webサイト名とは、ログイン試行の対象のWebサイト20を識別する名称を意味する。図3(5行目)には、例えば、2015年1月3日03時02分00秒に、Webサイト「A.com」にアカウント「user3」を使用したログイン試行があったことが示されている。
図4は、アカウント分析情報14bのデータ構成を例示する図である。図4に例示するように、アカウント分析情報14bには、アカウント名、最終分析時刻、期間(D)、スコア(S)および攻撃判定が含まれる。
ここで、アカウント分析情報14bは、後述する分析部15bの処理において生成される。最終分析時刻とは、分析部15bによる直近の処理の時刻を意味する。期間(D)とは、後述する分析部15bによる処理の対象とした所定の期間を意味する。スコア(S)は、後述するが、アカウント名に対応するアカウントの使用の度合いすなわちアカウントの共起性を表す。攻撃判定とは、後述する分析部15bにより攻撃と判定されたか否かを意味する。図4(1行目)には、例えば、分析部15bが、2015年1月4日00時00分00秒に、1週間でのアカウント「user1」のスコアSを0.75と算出し、攻撃と判定した(攻撃判定=Yes)分析結果が示されている。
図2の説明に戻る。制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図2に例示するように、取得部15a、分析部15bおよび検知部15cとして機能して、後述する検知処理を実行する。
取得部15aは、複数のWebサイト20(WebサイトA20a、WebサイトB20b,WebサイトC20c、…)へのログイン試行に使用されたアカウントの情報を取得する。具体的に、取得部15aは、各Webサイト20へのログイン試行の履歴情報を参照し、不審なログイン試行に使用されたアカウントの情報を抽出してアカウント情報14aを生成する。すなわち、取得部15aは、各Webサイト20のログイン履歴を参照し、不審なログイン試行に使用されたアカウントについて、時刻、アカウント名およびWebサイト名を抽出してアカウント情報14aを生成し、記憶部14に格納する。
ここで、不審なログイン試行には、例えば、当該Webサイト20に登録されていないアカウントへのログイン試行が該当する。あるいは、あるIPアドレスから大量のアカウントへのログイン試行かつ認証失敗のケースが不審なログイン試行に該当する。または、あるIPアドレスから少量のカウントへのログイン試行かつ認証失敗があり、その後所定の時間が経過しても該当のアカウントへのログイン試行および認証成功がないケースが不審なログイン試行に該当する。その他、Webサイトの管理者等が不審と判断したログイン試行が不審なログイン試行に該当する。
分析部15bは、取得部15aが取得したアカウントのうち、所定の期間に異なるWebサイト20へのログイン試行に共通して使用された各アカウントの使用の度合いを算出する。また、分析部15bは、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する。
具体的に、分析部15bは、アカウント情報14aの各アカウントについて、所定の期間Dにおいて、複数のWebサイト20へのログイン試行に共通して使用された度合いを意味する共起性を算出する。
各アカウントの共起性は、例えば、取得部15aがアカウント情報の取得の対象としたWebサイト20上の全サイト数M(M>1)に対する、各アカウントを使用してログイン試行されたWebサイト数Nの割合として算出される。すなわち、共起性を表すスコアSは、次式(1)で算出される。
S=N/M …(1)
次に、分析部15bは、算出したスコアSが所定のしきい値Tを超えた場合に、このアカウントが使用されたログイン試行を攻撃と判定する(攻撃判定=Yes)。また、分析部15bは、スコアSがしきい値Tを超えない場合には、このアカウントが使用されたログイン試行が正当であり攻撃ではないと判定する(攻撃判定=No)。そして、分析部15bは、各アカウントについて、アカウント名、最終分析時刻、期間(D)、スコア(S)および攻撃判定の情報を用いて、アカウント分析情報14bを生成し、記憶部14に格納する。
なお、図4に例示したアカウント分析情報14bにおいて、スコアSの算出の対象とした所定の期間Dは1週間、スコアSの攻撃判定のしきい値Tは0.5、また全サイト数M=4とされている。そして、例えば、アカウント「user1」から「A.com」、「B.com」および「C.com」の3サイトに対してログイン試行されている(N=3)ことから、アカウント「user1」のスコアSは0.75と算出され、攻撃と判定されている。
さらに、分析部15bは、攻撃と判定したログイン試行を行った端末Uから所定の期間に行われたログイン試行に使用された他のアカウントについて、共起性を表すスコアSを算出する。
具体的に、図5を参照して説明する。例えば、分析部15bは、図5に例示するように、あるWebサイトAのログイン履歴を参照して、先に攻撃と判定した、アカウント「user1」を使用してログイン試行を行った端末UのIPアドレス「ip4」を特定する。
そして、分析部15bは、所定の期間D2にIPアドレス「ip4」から行われたログイン試行に使用された、「user1」以外のアカウント「user4」を抽出し、アカウント情報14aに追加する。この場合に、分析部15bは、上述した処理と同様に、アカウント「user4」についても共起性を表すスコアSを算出し、アカウント分析情報14bに追加する。これにより、分析部15bは、不審なアカウントの情報を効率よく収集でき、攻撃を見逃す恐れが低減する。
なお、先に攻撃と判定したログイン試行を行った端末Uの特定は、IPアドレスに限定されず、例えば、UA(ユーザエージェント)等を用いてもよい。
さらに、取得部15aが、攻撃に使用される蓋然性が高いアカウントの情報を取得し、分析部15bが、算出した該アカウントのスコアSに対して所定の重み付けを行ってもよい。具体的に、まず、取得部15aは、攻撃に使用される蓋然性が高いアカウントを意味するリークアカウントの情報を取得して、アカウント情報14aに追加する。
ここで、リークアカウントの情報は、例えば、漏洩アカウントを監視して取得する。攻撃者は攻撃等で得られた正当な利用者のアカウントに関する情報を、PastebinやGist等のメッセージ投稿サイトに公開する場合がある。そこで、このような投稿サイト等を監視することによって、漏洩アカウントの情報を取得することができる(参照文献:http://japan.cnet.com/news/service/35016862/)。
投稿サイトの監視手法として、例えば、対象の投稿サイトを定期的にクロールして、ユーザアカウントと思われるEメールアドレスやパスワードのハッシュ値が大量に存在しないかをチェックする(参照文献:http://raidersec.blogspot.jp/2013/03/introducing-dumpmon-twitter-bot-that.html)。
あるいは、リークアカウントの情報は、Twitter等の公開されたSNSサイトのユーザの挙動を外部から観測することにより取得する。アカウントがリークしユーザの挙動が大きく変化した場合に、そのアカウントの情報を取得する。アカウントがリークしたか否かは、例えば、メッセージの間隔、言語、メッセージに含まれるURL等を用いて検知することができる(参照文献:COMPA:Detecting Compromised Accounts on Social Networks,http://www.internetsociety.org/doc/compa-detecting-compromised-accounts-social-networks)。
アカウント情報14aにリークアカウントの情報が追加された場合に、分析部15bは、上述した処理と同様に、追加されたリークアカウントについても、共起性を表すスコアSを算出し、アカウント分析情報14bに追加する。さらに、リークアカウントは漏洩したアカウントであり、攻撃に利用されやすい特性から、分析部15bは、算出したスコアSに所定の重みWで重み付けを行う。
この場合、アカウント分析情報14bに、各アカウントに対するスコアSの重みWの項目が追加される。また、分析部15bは、重みW×スコアSが攻撃判定のしきい値Tを超えた場合に、このアカウントが使用されたログイン試行を攻撃と判定する(攻撃判定=Yes)。また、分析部15bは、重みW×スコアSがしきい値Tを超えない場合に、このアカウントが使用されたログイン試行が正当であり攻撃ではないと判定する(攻撃判定=No)。これにより、攻撃の早い段階でアカウントの共起性が低くても、攻撃と判定される。
図6は、リークアカウントの情報がアカウント情報14aに追加された場合に生成されるアカウント分析情報14bを例示する図である。図6に示す例では、リークアカウント「user2」が追加され、リークアカウントについての重みW=4.0、その他のアカウントについての重みW=1.0とされている。リークアカウント「user2」について、スコアSは0.25でありしきい値T=0.5より小さいものの、重みW=4で重み付けを行った結果、重みW×スコアSがしきい値Tを超えることから、攻撃と判定されている。
図2の説明に戻る。検知部15cは、分析部15bが攻撃と判定したログイン試行に使用されたアカウントと同一のアカウントを使用したWebサイト20へのログイン試行を攻撃として検知する。具体的に、検知部15cは、検知対象のWebサイト20のログイン履歴を参照し、アカウント分析情報14bで攻撃と判定された(攻撃判定=Yes)アカウントを使用したログイン試行を攻撃として検知する。また、検知部15cは、検知結果を出力部12に出力する。
図7は、検知部15cによる検知結果を例示する図である。検知部15cは、アカウント分析情報14bを参照し、攻撃と判定された(攻撃判定=Yes)アカウントを特定する。例えば、図5に例示したアカウント分析情報14bを参照して、アカウント「user1」およびアカウント「user4」を特定する。そして、検知部15cは、図7に例示するように、検知対象のWebサイト20のログイン履歴について、アカウント「user1」およびアカウント「user4」が使用されたログイン試行を攻撃と検知する。なお、図7に示す例では、攻撃と検知された場合に検知結果は「Attack」、攻撃ではないと検知された場合に検知結果は「Normal」とされている。
[検知処理]
次に、図8を参照して、本実施形態に係る検知装置10による検知処理について説明する。図8は、検知処理手順を示すフローチャートである。図8のフローチャートは、例えば、処理の開始を指示する操作入力があったタイミングで開始される。
取得部15aは、各Webサイト20のログイン履歴を参照し、不審なログイン試行に使用されたアカウントの情報を取得してアカウント情報14aを生成し、記憶部14に保存する(ステップS1)。
分析部15bは、一定期間Dに取得されたアカウント情報14aの各アカウントについて、異なるWebサイト20に共通して使用された度合いを意味する共起性を算出し、このログイン試行が攻撃か否かを判定し、アカウント分析情報14bに保存する(ステップS2)。
検知部15cは、アカウント分析情報14bの攻撃と判定されたアカウントと、各Webサイト20のログイン履歴とを照合し、攻撃と判定されたアカウントと一致したアカウントを用いたログイン試行を攻撃と検知する(ステップS3)。
また、分析部15bは、各Webサイト20のログイン履歴を参照して、攻撃と判定したログイン試行が行われた端末のIPアドレスまたはUAを特定する。そして、分析部15bは、特定したIPアドレスまたはUAから、一定期間D2に他の未検知のアカウントを使用したログイン試行の有無を確認する(ステップS4)。
特定したIPアドレスまたはUAから他の未検知のアカウントを使用したログイン試行があった場合に(ステップS4,Yes)、分析部15bは、そのログイン試行のアカウントをアカウント情報14aに追加して(ステップS5)、ステップS2に処理を戻す。
一方、特定したIPアドレスまたはUAから他の未検知のアカウントを使用したログイン試行がなかった場合に(ステップS4,No)、分析部15bは、所定の一定期間待機し(ステップS6)、処理終了を指示するユーザ入力がなければ(ステップS7,No)、ステップS1に処理を戻す。また、分析部15bは、処理終了を指示するユーザ入力があった場合(ステップS7,Yes)に、一連の検知処理を終了させる。
以上、説明したように、本実施形態の検知装置10は、取得部15aが、複数のWebサイト20へのログイン試行に使用されたアカウントの情報を取得する。また、分析部15bが、取得部15aが取得したアカウントのうち、所定の期間に異なるWebサイト20へのログイン試行に共通して使用された各アカウントの使用の度合いを意味する共起性を算出し、該共起性が所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する。また、検知部15cが、分析部15bが攻撃と判定したログイン試行に使用されたアカウントと同一のアカウントを使用したWebサイト20へのログイン試行を攻撃として検知する。
例えば、分析部15bは、各アカウントの共起性を、取得部15aがアカウント情報の取得の対象としたWebサイト20上の全サイト数Mに対する、各アカウントを使用してログイン試行されたWebサイト数Nの割合として算出する。
これにより、検知装置10は、ログイン試行の頻度ではなく、ログイン試行に利用されるアカウントに着目することで、攻撃者がログイン試行を複数の異なるIPアドレスから行ったり頻度を低下させて行ったりしても、有効にリスト型攻撃を検知できる。また、正当な利用者が異なる端末や異なる環境からログイン試行した場合にも、攻撃と誤検知することを回避できる。このように、検知装置10は、正当な利用者の利便性を阻害せずに精度高くリスト型攻撃を検知することができる。
また、検知装置10は、分析部15bは、攻撃と判定したログイン試行を行った端末Uから所定の期間に行われたログイン試行に使用された他のアカウントについても、共起性を算出する。これにより、検知装置10は、不審なアカウントの情報を効率よく収集でき、攻撃を見逃す恐れを低減させることができる。
また、取得部15aが、攻撃に使用される蓋然性が高いアカウントの情報を取得し、分析部15bが、算出した該アカウントのスコアSに対して所定の重み付けを行う。これにより、攻撃の早い段階でアカウントの共起性が低くても、リスト型攻撃を検知することができる。
また、検知部15cは、攻撃と検知したログイン試行のアカウントをWebサイト20に対応するWebサーバsに通知してもよい。この場合に、Webサーバsは、通知されたログイン試行のアカウントを防御する防御部を備えて構成することができる。例えば、防御部は、攻撃と検知されたログイン試行のアカウントを一時的にロックしてもよい。あるいは、防御部は、このアカウントに対して2段階認証等の追加認証を行ってもよい。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置10は、Webサイトのログイン履歴を入力とし、検知結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
図9に示すように、検知プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、図9に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1 検知システム
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a アカウント情報
14b アカウント分析情報
15 制御部
15a 取得部
15b 分析部
15c 検知部
20 Webサイト
s Webサーバ
U 端末

Claims (7)

  1. 複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得部と、
    前記取得部が取得したアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析部と、
    前記分析部により攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知部と、
    を備えることを特徴とする検知装置。
  2. 前記分析部は、前記各アカウントの使用の度合いを、前記取得部がアカウント情報の取得の対象とした全サイト数に対する該各アカウントを使用してログイン試行されたサイト数の割合として算出することを特徴とする請求項1に記載の検知装置。
  3. さらに、前記分析部は、前記攻撃と判定されたログイン試行を行った端末から所定の期間に行われたログイン試行に使用された他のアカウントについて、前記使用の度合いを算出することを特徴とする請求項1に記載の検知装置。
  4. さらに、前記取得部は、攻撃に使用される蓋然性が高いアカウントの情報を取得し、前記分析部は、算出した該アカウントの使用の度合いに対して所定の重み付けを行うことを特徴とする請求項1に記載の検知装置。
  5. 検知装置で実行される検知方法であって、
    複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得工程と、
    前記取得工程において取得されたアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析工程と、
    前記分析工程において攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知工程と、
    を含んだことを特徴とする検知方法。
  6. 利用者が使用する端末と複数のサーバと検知装置とを備え、該サーバ上に構築された各サイトが、前記端末によるログイン試行に使用されたアカウントの認証を行い、該認証が成功した場合に、該アカウントによるログインを許可する検知システムにおいて、
    前記検知装置は、
    複数の前記サイトへのログイン試行に使用されたアカウントの情報を取得する取得部と、
    前記取得部が取得したアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析部と、
    前記分析部により攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知して、該サイトに対応する前記サーバに通知する検知部と、を備え、
    前記サーバは、通知されたログイン試行のアカウントを防御する防御部を備える、
    ことを特徴とする検知システム。
  7. 複数のサイトへのログイン試行に使用されたアカウントの情報を取得する取得ステップと、
    前記取得ステップにおいて取得されたアカウントのうち、所定の期間に異なる前記サイトへのログイン試行に共通して使用された各アカウントの使用の度合いを算出し、該使用の度合いが所定のしきい値を超えた場合に、該アカウントが使用されたログイン試行を攻撃と判定する分析ステップと、
    前記分析ステップにおいて攻撃と判定されたログイン試行に使用されたアカウントと同一のアカウントを使用したサイトへのログイン試行を攻撃として検知する検知ステップと、
    をコンピュータに実行させるための検知プログラム。
JP2018520857A 2016-06-01 2017-05-25 検知装置、検知方法、検知システム、および検知プログラム Active JP6564137B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016110454 2016-06-01
JP2016110454 2016-06-01
PCT/JP2017/019593 WO2017208969A1 (ja) 2016-06-01 2017-05-25 検知装置、検知方法、検知システム、および検知プログラム

Publications (2)

Publication Number Publication Date
JPWO2017208969A1 JPWO2017208969A1 (ja) 2018-11-22
JP6564137B2 true JP6564137B2 (ja) 2019-08-21

Family

ID=60477438

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018520857A Active JP6564137B2 (ja) 2016-06-01 2017-05-25 検知装置、検知方法、検知システム、および検知プログラム

Country Status (3)

Country Link
US (1) US11012450B2 (ja)
JP (1) JP6564137B2 (ja)
WO (1) WO2017208969A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6564841B2 (ja) * 2017-12-23 2019-08-21 株式会社カウリス 照合サーバ、照合方法及びコンピュータプログラム
JP6928302B2 (ja) * 2018-06-29 2021-09-01 株式会社オプティム コンピュータシステム、IoT機器監視方法及びプログラム
CN110336838B (zh) * 2019-08-07 2022-07-08 腾讯科技(武汉)有限公司 账号异常检测方法、装置、终端及存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7421733B2 (en) * 2002-02-06 2008-09-02 Hewlett-Packard Development Company, L.P. System and method for providing multi-class processing of login requests
US7272728B2 (en) 2004-06-14 2007-09-18 Iovation, Inc. Network security and fraud detection system and method
US7571471B2 (en) * 2006-05-05 2009-08-04 Tricipher, Inc. Secure login using a multifactor split asymmetric crypto-key with persistent key security
US9558339B2 (en) * 2010-11-29 2017-01-31 Biocatch Ltd. Method, device, and system of protecting a log-in process of a computerized service
WO2015001970A1 (ja) * 2013-07-05 2015-01-08 日本電信電話株式会社 不正アクセス検知システム及び不正アクセス検知方法
AU2015279922B2 (en) * 2014-06-24 2018-03-15 Virsec Systems, Inc. Automated code lockdown to reduce attack surface for software
WO2016068007A1 (ja) * 2014-10-28 2016-05-06 日本電信電話株式会社 分析装置、分析システム、分析方法、および、分析プログラム
JP6392985B2 (ja) * 2015-06-05 2018-09-19 日本電信電話株式会社 検知システム、検知装置、検知方法及び検知プログラム
US10264001B2 (en) * 2015-08-12 2019-04-16 Wizard Tower TechnoServices Ltd. Method and system for network resource attack detection using a client identifier
US9930047B2 (en) * 2015-09-24 2018-03-27 Mcafee, Llc Transparent overlay and headless browser execution for welcome flow
JP2017076185A (ja) 2015-10-13 2017-04-20 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
US9514294B1 (en) * 2015-11-12 2016-12-06 International Business Machines Corporation Accessing a computing resource
US10129298B2 (en) * 2016-06-30 2018-11-13 Microsoft Technology Licensing, Llc Detecting attacks using compromised credentials via internal network monitoring
US10362055B2 (en) * 2017-08-10 2019-07-23 Blue Jeans Network, Inc. System and methods for active brute force attack protection
US11637844B2 (en) * 2017-09-28 2023-04-25 Oracle International Corporation Cloud-based threat detection
US11089036B2 (en) * 2018-12-27 2021-08-10 Sap Se Identifying security risks and fraud attacks using authentication from a network of websites

Also Published As

Publication number Publication date
US11012450B2 (en) 2021-05-18
WO2017208969A1 (ja) 2017-12-07
JPWO2017208969A1 (ja) 2018-11-22
US20190222592A1 (en) 2019-07-18

Similar Documents

Publication Publication Date Title
US10554639B2 (en) Systems and methods for managing resetting of user online identities or accounts
US10673896B2 (en) Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks
US11256812B2 (en) End user social network protection portal
US9900346B2 (en) Identification of and countermeasures against forged websites
US9083733B2 (en) Anti-phishing domain advisor and method thereof
US9191411B2 (en) Protecting against suspect social entities
US10630676B2 (en) Protecting against malicious discovery of account existence
US20140337973A1 (en) Social risk management
TWI718291B (zh) 服務提供系統、服務提供方法、及電腦程式
US8898777B1 (en) Systems and methods for detecting user activities to identify deceptive activity
US11785044B2 (en) System and method for detection of malicious interactions in a computer network
JP6564841B2 (ja) 照合サーバ、照合方法及びコンピュータプログラム
JP6564137B2 (ja) 検知装置、検知方法、検知システム、および検知プログラム
WO2020131220A2 (en) Detecting and responding to attempts to gain unauthorized access to user accounts in an online system
US9577948B2 (en) Method and apparatus for connecting to server using trusted IP address of domain
US20210006592A1 (en) Phishing Detection based on Interaction with End User
GB2555384A (en) Preventing phishing attacks
US20230283632A1 (en) Detecting malicious url redirection chains
Rahamathunnisa et al. Preventing from phishing attack by implementing url pattern matching technique in web
JP2016200869A (ja) 認証サーバ、認証システム及び認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190725

R150 Certificate of patent or registration of utility model

Ref document number: 6564137

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150