JP2001236314A - 不正通信ソフトウェア検出方法 - Google Patents

不正通信ソフトウェア検出方法

Info

Publication number
JP2001236314A
JP2001236314A JP2000047220A JP2000047220A JP2001236314A JP 2001236314 A JP2001236314 A JP 2001236314A JP 2000047220 A JP2000047220 A JP 2000047220A JP 2000047220 A JP2000047220 A JP 2000047220A JP 2001236314 A JP2001236314 A JP 2001236314A
Authority
JP
Japan
Prior art keywords
background process
digital signature
unauthorized communication
daemon
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000047220A
Other languages
English (en)
Other versions
JP3748192B2 (ja
Inventor
Yosuke Kinoshita
洋輔 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2000047220A priority Critical patent/JP3748192B2/ja
Publication of JP2001236314A publication Critical patent/JP2001236314A/ja
Application granted granted Critical
Publication of JP3748192B2 publication Critical patent/JP3748192B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 不正通信を助けるバックドア53等のソフト
ウェアを効率的に検出することができる不正通信ソフト
ウェア検出方法を提供する。 【解決手段】 改竄不可能なディジタル署名されたハッ
シュ値をデーモン・プログラム毎に記録しておくことが
できるため、デーモン・プログラムが不正な通信を行う
バックドアに置きかえられた場合であっても、このバッ
クドアを簡易に検出することができる。ディジタル署名
は、デーモン・プログラム自体、デーモン・プログラム
が出力するログファイルまたはパケット、デーモン・プ
ログラムに固有の設定ファイルにすることもできる。デ
ーモン・プログラムがお互いに認証を終わり、TCP層
でのコネクションを張った後も、デーモン間で定期的に
ディジタル署名されたハッシュ値を交換し、常時デーモ
ン・プログラムを監視することができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、不正通信ソフトウ
ェア検出方法に関し、特に認証書と秘密鍵とを用いて署
名・検証を行う認証書システムを利用することにより不
正通信ソフトウェアを自動的に判別する不正通信ソフト
ウェア検出方法に関する。
【0002】
【従来の技術】図24は、従来の不正通信ソフトウェア
検出方法を示す。図24において、符号50は管理対象
のコンピュータであるパーソナル・コンピュータ(Pers
onal Computer : PC)またはワークステーション(Wo
rk Station : WS)(以下、「PC等」という)、5
1はPC等50内で生成されたバックグラウンド・プロ
セスのエフ・ティ・ピー・デーモン(ftpDaemon : 以
下、「ftpデーモン」という)、52はPC等50内で
生成されたバックグラウンド・プロセスのテルネット・
デーモン(telnetDaemon : 以下、「telnetデーモン」
という)、53はPC等50内に不正に仕掛けられた不
正通信ソフトウェアであるバックドア(BackDoor)、6
0はプロセスと各デーモンが出力するログ等とを逐一監
視し、ネットワークを管理するネットワーク管理者、7
0は正規にPC等50を利用する正規利用者、80はセ
キュリティ・ホール(security hole)等を利用してP
C等50内に侵入し、本来のデーモン51等をバックド
ア・デーモンに入れ替えたり、一度作成した抜け道を通
して正規利用者70に取って代わる不正通信を行なう侵
入者、400はPC等50、ネットワーク管理者60、
正規利用者70および侵入者80を接続するネットワー
クである。以下「ネットワーク」という場合、接続され
たPC等50も含めた全体を表現する場合にも用いる。
【0003】次に動作について説明する。従来、ネット
ワーク管理者60は、プロセスリストを表示させたとき
に経験から考えてプロセスが不審な実行のされ方をして
いることに偶然に気付いた場合、オペレーティング・シ
ステムが残す膨大なログファイルを定期的に監視するこ
とにより、不正通信ソフトウェアである証拠を押さえ、
それをもとにしてネットワーク400のどこかに隠され
ているバックドア53を探していた。
【0004】
【発明が解決しようとする課題】上述のように、不正通
信を助けるバックドア53はネットワーク400に巧妙
に隠されて仕掛けられているため、バックドア53の発
見は豊富な経験を持ったネットワーク管理者60の勘に
頼っていた。一方、下位のプロトコル層のネットワーク
通信サービスを提供するftpデーモン51等のデーモン
・プログラムまたはデーモン・ソフトウェア(以下、
「デーモン・プログラム」という)は、通常ファイルと
同様にユーザの権限に基づくアクセス制限によってのみ
セキュリティを確保されている。従って、ネットワーク
通信サービスを提供するデーモン・プログラムそのもの
を入れ替えられた場合、ログファイルの詳細な解析以外
にバックドア53を効率的に検出することは極めて困難
であるという問題があった。
【0005】そこで、本発明の目的は、上記問題を解決
するためになされたものであり、不正通信を助けるバッ
クドア53等のソフトウェアを効率的に検出することが
できる不正通信ソフトウェア検出方法を提供することに
ある。
【0006】
【課題を解決するための手段】この発明の不正通信ソフ
トウェア検出方法は、ネットワークを介して接続された
複数のコンピュータ間で不正な通信を行なうソフトウェ
アを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々バックグラウンド・プ
ロセスを生成する際に同時に、ディジタル署名の対象と
なるデータを各々ハッシュするハッシュステップと、前
記ハッシュステップによりハッシュされたデータを各コ
ンピュータの有する所定の秘密鍵で各々変換して各ディ
ジタル署名を生成するディジタル署名ステップと、前記
ディジタル署名ステップにより生成された各ディジタル
署名をネットワークを介して接続された記録装置に各々
記録するディジタル署名記録ステップと、バックグラウ
ンド・プロセスが他のコンピュータ上の対応する他のバ
ックグラウンド・プロセスと通信を行なう場合、前記記
録装置に記録された他のバックグラウンド・プロセスの
ディジタル署名を他のコンピュータの有する所定の秘密
鍵に対応する公開鍵で変換して検証することにより、該
他のバックグラウンド・プロセスが不正な通信を行うソ
フトウェアであるか否かを認証する認証ステップとを備
えたものである。
【0007】この発明の不正通信ソフトウェア検出方法
は、ネットワークを介して接続された複数のコンピュー
タ間で不正な通信を行なうソフトウェアを検出する不正
通信ソフトウェア検出方法であって、前記複数のコンピ
ュータ上で各々バックグラウンド・プロセスを生成する
際に、各バックグランド・プロセスに対し各々公開鍵演
算を施して秘密鍵と認証書とを生成する鍵ペア生成ステ
ップと、前記鍵ペア生成ステップにより生成された秘密
鍵で各バックグランド・プロセスを変換し、各ディジタ
ル署名を生成するディジタル署名ステップと、バックグ
ラウンド・プロセスが他のコンピュータ上の対応する他
のバックグラウンド・プロセスと通信を行なう場合、デ
ィジタル署名された他のバックグラウンド・プロセスを
読み込み他のバックグランド・プロセスの認証書で変換
して検証することにより、該他のバックグラウンド・プ
ロセスが不正な通信を行うソフトウェアであるか否かを
認証する認証ステップとを備えたものである。
【0008】ここで、この発明の不正通信ソフトウェア
検出方法は、前記認証ステップにおいて前記他のバック
グラウンド・プロセスが不正な通信を行うソフトウェア
ではないと認証された後に、前記記録装置に記録された
各ディジタル署名を所定の期間毎に相互に交換して検証
を行なう交換ステップをさらに備えることができるもの
である。
【0009】ここで、この発明の不正通信ソフトウェア
検出方法において、前記ディジタル署名ステップは、前
記鍵ペア生成ステップにより生成された秘密鍵で各バッ
クグランド・プロセスが出力する所定のデータを変換
し、各ディジタル署名を生成し、前記認証ステップは、
バックグラウンド・プロセスが他のコンピュータ上の対
応する他のバックグラウンド・プロセスと通信を行なう
場合、ディジタル署名された他のバックグラウンド・プ
ロセスの所定のデータを他のバックグランド・プロセス
の認証書で変換して検証することにより、該他のバック
グラウンド・プロセスが不正な通信を行うソフトウェア
であるか否かを認証することができるものである。
【0010】ここで、この発明の不正通信ソフトウェア
検出方法において、前記所定のデータは、バックグラウ
ンド・プロセスが出力するログ・ファイルとすることが
できるものである。
【0011】ここで、この発明の不正通信ソフトウェア
検出方法において、前記所定のデータは、バックグラウ
ンド・プロセスが出力するパケット・データとすること
ができるものである。
【0012】ここで、この発明の不正通信ソフトウェア
検出方法において、前記ディジタル署名記録ステップ
は、前記ディジタル署名ステップにより生成された各デ
ィジタル署名を前記バックグラウンド・プロセスに固有
の記録装置に各々記録することができるものである。
【0013】ここで、この発明の不正通信ソフトウェア
検出方法において、前記所定のデータは、バックグラウ
ンド・プロセスの構成を記録した設定ファイルであり、
前記認証ステップは、正規のユーザがバックグラウンド
・プロセスの利用を行なう場合、ディジタル署名された
該バックグラウンド・プロセスの設定ファイルを該バッ
クグランド・プロセスの認証書で変換して検証すること
により、該バックグラウンド・プロセスが不正な通信を
行うソフトウェアであるか否かを認証することができる
ものである。
【0014】ここで、この発明の不正通信ソフトウェア
検出方法において、前記ディジタル署名ステップは、前
記ハッシュステップによりハッシュされたデータを各コ
ンピュータに共通の秘密鍵で各々変換して各ディジタル
署名を生成し、前記ディジタル署名記録ステップは、前
記ディジタル署名ステップにより生成された各ディジタ
ル署名を前記バックグラウンド・プロセスに固有の記録
装置に各々記録し、前記認証ステップの後に、正規のユ
ーザがバックグラウンド・プロセスの実行設定を行なう
場合、前記認証ステップにより不正な通信を行うソフト
ウェアではないと認証されたバックグラウンド・プロセ
スに対して所定のコマンドを送り、該所定のコマンドに
対して各バックグラウンド・プロセスから返された結果
の多数決をとることにより、バックグラウンド・プロセ
スが不正な通信を行うソフトウェアであるか否かを認証
することができるものである。 〔発明の詳細な説明〕
【0015】
【発明の実施の形態】以下、図面を参照して、本発明の
実施の形態を詳細に説明する。
【0016】図1は、本発明の各実施の形態に共通する
概要を示す。図1において、符号10はサーバ・コンピ
ュータ1、15はサーバ・コンピュータ1(10)のロ
グファイル等、20はサーバ・コンピュータ2、25は
サーバ・コンピュータ2(20)のログファイル等、3
0はプリンタ・サーバ、32はPC、35はノートブッ
ク型のPC、37はサーバ・コンピュータ1(10)、
サーバ・コンピュータ2(20)、プリンタ・サーバ3
0、PC32およびノートブック型のPC35等を接続
するネットワークである。
【0017】図1に示されるように、サーバ・コンピュ
ータ1(10)またはサーバ・コンピュータ2(20)
は、各々ログファイル等15または25の中に、デーモ
ン・プログラムを生成した際にハッシュ・アルゴリズム
により得られた値を埋め込んでおく。具体的にはログフ
ァイル15の中の下線17またはログファイル25の中
の下線27で示されるsyslogd等が、定期的にお互いの
ハッシュ値を計算し、相手のデーモン・プログラムがバ
ックドアに置きかえられていなかどうかを検査する。こ
のため一般的にトロイの木馬(Trojan Horse)といわれ
る、ユーティリティに見せかけておいて取り込んで実行
するとシステムを破壊等するソフトウェアを仕込まれて
しまった場合でも、その検出を容易に行なうことができ
る。
【0018】実施の形態1.図2ないし4は、本発明の
実施の形態1における不正通信ソフトウェア検出方法を
示す。図2ないし4において、符号100は管理対象の
コンピュータであるPC等A、110はPC等A100
内で生成されたftpデーモン、120はPC等A110
内で生成されたtelnetデーモン、200は管理対象のコ
ンピュータであるPC等B、210はPC等B200内
で生成されたftpデーモン、220はPC等B200内
で生成されたtelnetデーモン、300はPC等A100
またはPC等B200がハッシュ値等のデータを記録す
る記録装置、310はtelnetデーモン120が記録装置
300に記録するディジタル署名されたハッシュ値(H
(A,telnet))、320はftpデーモン110が記録
装置300に記録するディジタル署名されたハッシュ値
(H(A,ftp))、330はtelnetデーモン220が
記録装置300に記録するディジタル署名されたハッシ
ュ値(H(B,telnet))、340はftpデーモン21
0が記録装置300に記録するディジタル署名されたハ
ッシュ値(H(B,ftp))、350は記録装置300
に記録されたその他の値、400はPC等A100、P
C等B200および記録装置300を接続するネットワ
ークである。
【0019】図2に示されるように、PC等A100ま
たはPC等B200においてネットワーク通信を行うデ
ーモン・プログラムをメイク(make)する際に、同時
に、ディジタル署名の対象となるデータをハッシュ(Ha
sh)してハッシュ値を作成する。次に、このハッシュ値
をPC等A100またはPC等B200が有する所定の
秘密鍵で各々変換してディジタル署名を生成し、このデ
ィジタル署名を記録装置300に各々記録する(ステッ
プS10、S12,S15、S17)。このハッシュ値
はデーモン・プログラム毎に固有に署名されているため
改竄される心配はない。格納場所は記録装置300だけ
ではなく任意に決められた場所であってもよい。
【0020】図3に示されるように、管理対象のPC等
B200内のftpデーモン210がPC等A100内の
対応するftpデーモン110と通信を行なう場合、記録
装置300に記録されたftpデーモン110が生成し記
録したディジタル署名320をPC等A100の有する
所定の秘密鍵に対応する公開鍵で変換して検証する(ス
テップS20)。この検証により、ftpデーモン110
が不正な通信を行うソフトウェアであるか否かを認証す
ることができる(ステップS30)。以上と同様の操作
をPC等A100側も行ない、お互いに認証が終わって
から、TCP層でのコネクションを張る(ステップS4
0)。
【0021】図4に示されるように、何らかのセキュリ
ティ・ホールを利用して侵入した正規でないユーザ13
0が、あるデーモン・プログラム、例えばftpデーモン
110を不正通信ソフトウェアであるバックドア115
と入れ替えた場合を考える。上述のように、改竄不可能
な、ftpデーモン110が生成し記録したディジタル署
名320はそのまま記録装置300内に残っている。し
たがって、ftpデーモン210とバックドア115とが
上述のように相互に認証を行った場合、バックドア11
5に置きかえられていることを検出することができる
(ステップS70)。最後に、バックドア115にはP
Cウィルスに類似の機能がある危険性を考えて、ftpデ
ーモン210はネットワーク管理者に通知を行い、バッ
クドア115とのコネクションを自動的に切断する(ス
テップS80)。
【0022】以上より、実施の形態1によれば、改竄不
可能なディジタル署名されたハッシュ値をデーモン・プ
ログラム毎に記録しておくことができるため、デーモン
・プログラムが不正な通信を行うバックドアに置きかえ
られた場合であっても、このバックドアを簡易に検出す
ることができる。
【0023】実施の形態2.図5ないし7は、本発明の
実施の形態2における不正通信ソフトウェア検出方法を
示す。図2ないし4で図2ないし4と同じ符号を付した
箇所は同じ機能を有するため説明は省略する。図5ない
し7において、符号500は秘密鍵510と認証書52
0とを生成するPC等B200のインストーラ、600
は秘密鍵610と認証書620とを生成するPC等A1
00のインストーラである。
【0024】図5に示されるように、PC等A100に
おいてネットワーク通信を行うデーモン・プログラムを
メイク(make)する際に、各デーモン110、120等
毎に各々公開鍵演算を施して秘密鍵610と認証書62
0とを生成する(ステップS100)。PC等B200
においても同様に、ネットワーク通信を行うデーモン・
プログラムをメイク(make)する際に、各デーモン21
0、220等毎に各々公開鍵演算を施して秘密鍵510
と認証書520とを生成する(ステップS200)。次
に、PC等A100において、生成された秘密鍵610
でftpデーモン110等を変換し、ディジタル署名を生
成する(ステップS120)。PC等B200において
も同様に、生成された秘密鍵510でftpデーモン21
0等を変換し、ディジタル署名を生成する(ステップS
220)。
【0025】図6に示されるように、PC等B200の
ftpデーモン210は、PC等A100の対応するftpデ
ーモン110のディジタル署名された実行形式のファイ
ルを読みこみ(ステップS300)、公開されている認
証書620で変換して検証することにより、ftpデーモ
ン110が不正な通信を行うバックドアであるか否かを
認証する(ステップS375)。以上の操作をPC等A
100側からも行ない、ftpデーモン210が不正な通
信を行うバックドアであるか否かを認証する(ステップ
S325、S350)。以上の検証を相互に行なった
後、TCP層でのコネクションを張る。
【0026】図7に示されるように、何らかのセキュリ
ティ・ホールを利用して侵入した正規でないユーザが、
あるデーモン・プログラム、例えばftpデーモン110
を不正通信ソフトウェアであるバックドア115と入れ
替えた場合を考える。上述のように、入れかえられたバ
ックドア115にはディジタル署名されていないため、
ftpデーモン210とバックドア115とが上述のよう
に相互に認証を行った場合、バックドア115に置きか
えられていることを検出することができる(ステップS
400、S420)。最後に、バックドア115にはP
Cウィルスに類似の機能がある危険性を考えて、ftpデ
ーモン210はネットワーク管理者に通知を行い、バッ
クドア115とのコネクションを自動的に切断する。
【0027】以上より、実施の形態2によれば、デーモ
ン・プログラムにディジタル署名しておくことができる
ため、デーモン・プログラムが不正な通信を行うバック
ドアに置きかえられた場合であっても、このバックドア
を簡易に検出することができる。
【0028】実施の形態3.図8ないし10は、本発明
の実施の形態3における不正通信ソフトウェア検出方法
を示す。図8ないし10で図5ないし7と同じ符号を付
した箇所は同じ機能を有するため説明は省略する。
【0029】図8に示されるように、PC等A100ま
たはPC等B200においてネットワーク通信を行うデ
ーモン・プログラムをメイク(make)する際に、同時
に、ディジタル署名の対象となるデータをハッシュ(Ha
sh)してハッシュ値を作成する。次に、このハッシュ値
をPC等A100またはPC等B200が有する所定の
秘密鍵で各々変換してディジタル署名を生成し、このデ
ィジタル署名を記録装置300に各々記録する(ステッ
プS500、S520、S530、S540)。このハ
ッシュ値はデーモン・プログラム毎に固有に署名されて
いるため改竄される心配はない。格納場所は記録装置3
00だけではなく任意に決められた場所であってもよ
い。
【0030】図9に示されるように、管理対象のPC等
B200内のftpデーモン210がPC等A100内の
対応するftpデーモン11と通信を行なう場合、記録装
置300に記録されたftpデーモン110が生成し記録
したディジタル署名320をPC等A100の有する所
定の秘密鍵に対応する公開鍵で変換して検証する(ステ
ップS600)。この検証により、ftpデーモン110
が不正な通信を行うソフトウェアであるか否かを認証す
ることができる(ステップS620)。以上と同様の操
作をPC等A100側も行ない、お互いに認証が終わっ
てから、TCP層でのコネクションを張る。次に、ftp
デーモン210と110とは定期的にディジタル署名さ
れたハッシュ値を交換し、常時デーモン・プログラムを
監視する(ステップS630)。元のデーモン・プログ
ラム110等が入れ替わる場合は、必ず1度はTCPコ
ネクションが自動的に切断される。
【0031】図10に示されるように、何らかのセキュ
リティ・ホールを利用して侵入した正規でないユーザ1
30が、あるデーモン・プログラム、例えばftpデーモ
ン110を不正通信ソフトウェアであるバックドア11
5と入れ替えた場合を考える。上述のように、元のデー
モン・プログラム110等が入れ替わる場合は、必ず1
度はTCPコネクションが自動的に切断されるため、ft
pデーモン210とバックドア115とが上述のように
相互に認証を行った場合、機能の一部をコピーしたバッ
クドア115に置きかえられていることを検出すること
ができる(ステップS700)。最後に、バックドア1
15にはPCウィルスに類似の機能がある危険性を考え
て、ftpデーモン210はネットワーク管理者に通知を
行い、バックドア115とのコネクションを自動的に切
断する(ステップS750)。
【0032】以上より、実施の形態3によれば、デーモ
ン・プログラムがお互いに認証を終わり、TCP層での
コネクションを張った後も、デーモン間で定期的にディ
ジタル署名されたハッシュ値を交換し、常時デーモン・
プログラムを監視することができるため、デーモン・プ
ログラムが不正な通信を行うバックドアに置きかえられ
た場合であっても、このバックドアを簡易に検出するこ
とができる。
【0033】実施の形態4.図11および12は、本発
明の実施の形態4における不正通信ソフトウェア検出方
法を示す。図11および12で図2ないし4と同じ符号
を付した箇所は同じ機能を有するため説明は省略する。
図11および12において、符号800はftpデーモン
110が出力するログファイル、700は正規利用者で
ある。
【0034】実施の形態2においては、生成された秘密
鍵610でftpデーモン110等を変換しディジタル署
名を生成したが、本実施の形態4においては実施の形態
2と異なり、生成された秘密鍵610でftpデーモン1
10が出力するログファイル800にディジタル署名を
行なうことができる(ステップS810)。正規利用者
700は、利用したいデーモン・プログラムが出力する
ログファイル800を公開された認証書620で検証
し、デーモン・プログラム110が正当なものであるか
否かを検証することができる(ステップS820)。こ
れにより、正規利用者700が正規のデーモン・プログ
ラム110等を正しく使っていることが保障される。他
は実施の形態2と同様である。
【0035】図12に示されるように、何らかのセキュ
リティ・ホールを利用して侵入した正規でないユーザ
が、あるデーモン・プログラム、例えばftpデーモン1
10を不正通信ソフトウェアであるバックドア115と
入れ替えた場合を考える。上述のように、入れかえられ
たバックドア115が出力したログファイル800には
ディジタル署名されていない。したがって、公開された
認証書620を用いることにより(ステップS90
0)、バックドア115に置きかえられていることを検
出することができる(ステップS910)。最後に、バ
ックドア115にはPCウィルスに類似の機能がある危
険性を考えて、ftpデーモン210はネットワーク管理
者に通知を行い、バックドア115とのアクセスが禁止
される(ステップS920)。
【0036】以上より、実施の形態4によれば、デーモ
ン・プログラムが出力するログファイルにディジタル署
名しておくことができるため、デーモン・プログラムが
不正な通信を行うバックドアに置きかえられた場合であ
っても、このバックドアを簡易に検出することができ
る。
【0037】実施の形態5.図13および14は、本発
明の実施の形態5における不正通信ソフトウェア検出方
法を示す。図13および14で図11および12と同じ
符号を付した箇所は同じ機能を有するため説明は省略す
る。
【0038】実施の形態4においては、生成された秘密
鍵610でftpデーモン110が出力するログファイル
800にディジタル署名を行なったが、本実施の形態5
においては実施の形態4と異なり、ftpデーモン110
が出力するパケット810に逐次署名を行なうことがで
きる(ステップS1000)。正規利用者700は、利
用したいデーモン・プログラムが出力するパケット81
0を公開された認証書620で検証し、デーモン固有の
パケットであるか否かを検証することができる(ステッ
プS1100、S1110)。これにより、正規利用者
700が正規のデーモン・プログラム110等を正しく
使っていることが保障される。他は実施の形態4と同様
である。
【0039】図14に示されるように、何らかのセキュ
リティ・ホールを利用して侵入した正規でないユーザ
が、あるデーモン・プログラム、例えばftpデーモン1
10を不正通信ソフトウェアであるバックドア115と
入れ替えた場合を考える。上述のように、入れかえられ
たバックドア115が出力したパケット810にはディ
ジタル署名されていない。したがって、公開された認証
書620を用いることにより(ステップS1200)、
ftpデーモン110に固有のパケットではないことを検
知し、バックドア115に置きかえられていることを検
出することができる(ステップS1210)。最後に、
バックドア115にはPCウィルスに類似の機能がある
危険性を考えて、ftpデーモン210はネットワーク管
理者に通知を行い、バックドア115とのアクセスが禁
止される(ステップS1220)。
【0040】以上より、実施の形態5によれば、デーモ
ン・プログラムが出力するパケットに逐次ディジタル署
名しておくことができるため、デーモン・プログラムが
不正な通信を行うバックドアに置きかえられた場合であ
っても、このバックドアを簡易に検出することができ
る。
【0041】実施の形態6.図15ないし17は、本発
明の実施の形態6における不正通信ソフトウェア検出方
法を示す。図15ないし17で図2ないし4と同じ符号
を付した箇所は同じ機能を有するため説明は省略する。
図15ないし17において、符号150はftpデーモン
110がディジタル署名等を出力する記録装置、250
はtelnetデーモン220がディジタル署名等を出力する
記録装置、1000は管理対象のコンピュータであるP
C等D、1110はPC等D1000内で生成されたte
lnetデーモン、1150はtelnetデーモン1110がデ
ィジタル署名等を出力する記録装置、1200は管理対
象のコンピュータであるPC等C、1220はPC等C
1200内で生成されたtelnetデーモン、1250はte
lnetデーモン1220がディジタル署名等を出力する記
録装置である。
【0042】図15に示されるように、PC等A10
0、PC等B200、PC等C1200およびPC等D
1000においてネットワーク通信を行うデーモン・プ
ログラムをメイク(make)する際に、同時に、ディジタ
ル署名の対象となるデータをハッシュ(Hash)してハッ
シュ値を作成する。次に、このハッシュ値をPC等A1
00、PC等B200、PC等C1200、PC等D1
000が各々有する所定の秘密鍵で変換してディジタル
署名を生成する。このディジタル署名を各々の記録装置
150、250、1250または1150に記録する
(ステップS1300、S1310、S1330、S1
320)。このハッシュ値はデーモン・プログラム毎に
固有に署名されているため改竄される心配はない。格納
場所は記録装置150等だけではなく任意に決められた
場所であってもよい。
【0043】図16に示されるように、例えば管理対象
のPC等A100内のtelnetデーモン110がPC等B
200内の対応するtelnetデーモン220と通信を行な
う場合、記録装置250に記録されたtelnetデーモン2
20が生成し記録したディジタル署名をPC等B200
の有する所定の秘密鍵に対応する公開鍵で変換して検証
する(ステップS1510)。この検証により、telnet
デーモン220が不正な通信を行うソフトウェアである
か否かを認証することができる。以上と同様の操作をP
C等B200側も行ない、お互いに認証が終わってか
ら、TCP層でのコネクションを張る(ステップS16
10)。telnetデーモン110が他のtelnetデーモン1
220または1110と通信を行なう場合にも、上述と
同様の認証を行なう。このようにして、互いに違うデー
モン・プログラムを相互に監視し合うことができる。
【0044】図17に示されるように、何らかのセキュ
リティ・ホールを利用して侵入した正規でないユーザ
が、あるデーモン・プログラム、例えばtelnetデーモン
1110を不正通信ソフトウェアであるバックドア11
5と入れ替えた場合を考える。上述のように、改竄不可
能な、telnetデーモン1110が生成し記録したディジ
タル署名はそのまま記録装置1150内に残っている。
したがって、例えばtelnetデーモン1220とバックド
ア115とが上述のように相互に認証を行った場合、バ
ックドア115に置きかえられていることを検出するこ
とができる(ステップS1700)。最後に、バックド
ア115にはPCウィルスに類似の機能がある危険性を
考えて、telnetデーモン1220はネットワーク管理者
に通知を行い、バックドア115とのコネクションを自
動的に切断する(ステップS1710)。
【0045】以上より、実施の形態6によれば、改竄不
可能なディジタル署名されたハッシュ値をデーモン・プ
ログラム毎に異なる記録装置に記録しておくことができ
るため、デーモン・プログラムが不正な通信を行うバッ
クドアに置きかえられた場合であっても、このバックド
アを簡易に検出することができる。
【0046】実施の形態7.図18および19は、本発
明の実施の形態7における不正通信ソフトウェア検出方
法を示す。図18および19で図11および12と同じ
符号を付した箇所は同じ機能を有するため説明は省略す
る。図18および19において、符号850はftpデー
モン110等の構成を記録した設定ファイルである。
【0047】実施の形態4においては、生成された秘密
鍵610でftpデーモン110が出力するログファイル
800にディジタル署名を行なったが、本実施の形態7
においては実施の形態4と異なり、設定ファイル850
に逐次署名を行なうことができる(ステップS181
0)。デーモン・プログラムを意図的に動かす上で設定
ファイル850は必要不可欠なものであるから、設定フ
ァイル850に署名を行い、改竄から守ることは重要で
ある。正規利用者700は、利用したいデーモン・プロ
グラムの設定ファイル850を公開された認証書620
で検証し、デーモン固有の設定ファイルであるか否かを
検証することができる(ステップS1820)。これに
より、正規利用者700が正規のデーモン・プログラム
110等を正しく使っていることが保障される。他は実
施の形態4と同様である。
【0048】図19に示されるように、何らかのセキュ
リティ・ホールを利用して侵入した正規でないユーザ
が、あるデーモン・プログラム、例えばftpデーモン1
10を不正通信ソフトウェアであるバックドア115と
入れ替えた場合を考える。上述のように、入れかえられ
たバックドア115の設定ファイル850にはディジタ
ル署名されていない。したがって、公開された認証書6
20を用いることにより(ステップS1900)、ftp
デーモン110に固有の設定ファイルではないことを検
知し、バックドア115に置きかえられていることを検
出することができる(ステップS1920)。最後に、
バックドア115にはPCウィルスに類似の機能がある
危険性を考えて、ftpデーモン210はネットワーク管
理者に通知を行い、バックドア115とのアクセスが禁
止される(ステップS1920)。
【0049】以上より、実施の形態7によれば、デーモ
ン・プログラムに固有の設定ファイルに逐次ディジタル
署名しておくことができるため、デーモン・プログラム
が不正な通信を行うバックドアに置きかえられた場合で
あっても、このバックドアを簡易に検出することができ
る。
【0050】実施の形態8.図20ないし23は、本発
明の実施の形態8における不正通信ソフトウェア検出方
法を示す。図20ないし23で図15ないし17と同じ
符号を付した箇所は同じ機能を有するため説明は省略す
る。記録装置150および1250は簡略化のため図2
0ないし22では省略する。
【0051】図20に示されるように、PC等A10
0、PC等B200およびPC等C1200においてネ
ットワーク通信を行うデーモン・プログラムをメイク
(make)する際に、同時に、ディジタル署名の対象とな
るデータをハッシュ(Hash)してハッシュ値を作成す
る。次に、このハッシュ値をPC等A100、PC等B
200、PC等C1200が共通に有する所定の秘密鍵
で変換してディジタル署名を生成する。この共通に作成
されたディジタル署名を、各記録装置150、250ま
たは1250に記録する(ステップS2000、S20
10、S2020)。このハッシュ値はデーモン・プロ
グラムに共通に署名されているため改竄される心配はな
い。格納場所は記録装置250等だけではなく任意に決
められた場所であってもよい。
【0052】図21に示されるように、例えば管理対象
のPC等A100内のtelnetデーモン110がPC等B
200内の対応するtelnetデーモン220と通信を行な
う場合、記録装置250に記録された共通に作成された
ディジタル署名を共通の秘密鍵に対応する公開鍵で変換
して検証する(ステップS2100)。この検証によ
り、telnetデーモン220が不正な通信を行うソフトウ
ェアであるか否かを認証することができる。以上と同様
の操作をPC等B200側も行ない、お互いに認証が終
わってから(ステップS2110)、TCP層でのコネ
クションを張る(ステップS2130)。telnetデーモ
ン110とtelnetデーモン1220との間、telnetデー
モン220とtelnetデーモン1220との間で通信を行
なう場合にも、上述と同様の認証を行なう(ステップS
2120、S2140、S2150)。
【0053】図22に示されるように、正規利用者70
00が、あるデーモン・プログラムを実行使用とした場
合(ステップS2200)、正規利用者700は同一サ
イト内に存在する認証が済んでTCPコネクションが張
られているデーモン・プログラムを探し出し、それらす
べてに対して、例えばディジタル署名を返送させるコマ
ンドを送る(ステップS2210、S2220)。その
コマンドの返答結果に対して多数決を取り、最も信用で
きるデーモン:プログラム群を決定する。
【0054】図23に示されるように、何らかのセキュ
リティ・ホールを利用して侵入した正規でないユーザ
が、あるデーモン・プログラム、例えばtelnetデーモン
2200を不正通信ソフトウェアであるバックドア21
5と入れ替えた場合を考える。上述のように、共通に生
成されたディジタル署名はそのまま記録装置150、1
250内に残っている。したがって、telnetデーモン1
10からの返答結果(ステップS2300)、telnetデ
ーモン1220からの返答結果(ステップS2310)
およびバックドア115からの返答結果(ステップS2
320)の多数決をとれば、バックドア115に置きか
えられていることを検出することができる。
【0055】以上より、実施の形態8によれば、共通に
生成されたディジタル署名を各々記録しておくことがで
き、各デーモン・プログラムからの返答結果の多数決を
とることができるため、仮に偶然によりディジタル署名
を複製することができた場合であっても、置きかえられ
た不正な通信を行うバックドアを簡易に検出することが
できる。
【0056】上述されたデーモン・プログラムは、デー
モン・プロセス(Daemon Process)と読み替えることも可
能である。上述の実施の形態においてはtelnetデーモン
およびftpデーモンを例に説明したが、本発明の不正ソ
フトウェア検出方法が適用される対象は、デーモン・プ
ログラムに限定されるものではなく、かつTCP/IP
に限らずあらゆる通信プロトコルを実装する通信サーバ
・ソフトウェアに対しても適用可能である。さらに、上
記全実施例は、侵入検知システム、不正コピー防止シス
テム等に対しても適用可能である。
【0057】
【発明の効果】以上説明したように、本発明の不正通信
ソフトウェア検出方法によれば、改竄不可能なディジタ
ル署名されたハッシュ値をデーモン・プログラム毎に記
録しておくことにより、不正通信を助けるバックドア5
3等のソフトウェアを効率的に検出することができる不
正通信ソフトウェア検出方法を提供することができる。
【図面の簡単な説明】
【図1】 本発明の各実施の形態に共通する概要を示す
図である。
【図2】 本発明の実施の形態1における不正通信ソフ
トウェア検出方法を示す図である。
【図3】 本発明の実施の形態1における不正通信ソフ
トウェア検出方法を示す図である。
【図4】 本発明の実施の形態1における不正通信ソフ
トウェア検出方法を示す図である。
【図5】 本発明の実施の形態2における不正通信ソフ
トウェア検出方法を示す図である。
【図6】 本発明の実施の形態2における不正通信ソフ
トウェア検出方法を示す図である。
【図7】 本発明の実施の形態2における不正通信ソフ
トウェア検出方法を示す図である。
【図8】 本発明の実施の形態3における不正通信ソフ
トウェア検出方法を示す図である。
【図9】 本発明の実施の形態3における不正通信ソフ
トウェア検出方法を示す図である。
【図10】 本発明の実施の形態3における不正通信ソ
フトウェア検出方法を示す図である。
【図11】 本発明の実施の形態4における不正通信ソ
フトウェア検出方法を示す図である。
【図12】 本発明の実施の形態4における不正通信ソ
フトウェア検出方法を示す図である。
【図13】 本発明の実施の形態5における不正通信ソ
フトウェア検出方法を示す図である。
【図14】 本発明の実施の形態5における不正通信ソ
フトウェア検出方法を示す図である。
【図15】 本発明の実施の形態6における不正通信ソ
フトウェア検出方法を示す図である。
【図16】 本発明の実施の形態6における不正通信ソ
フトウェア検出方法を示す図である。
【図17】 本発明の実施の形態6における不正通信ソ
フトウェア検出方法を示す図である。
【図18】 本発明の実施の形態7における不正通信ソ
フトウェア検出方法を示す図である。
【図19】 本発明の実施の形態7における不正通信ソ
フトウェア検出方法を示す図である。
【図20】 本発明の実施の形態8における不正通信ソ
フトウェア検出方法を示す図である。
【図21】 本発明の実施の形態8における不正通信ソ
フトウェア検出方法を示す図である。
【図22】 本発明の実施の形態8における不正通信ソ
フトウェア検出方法を示す図である。
【図23】 本発明の実施の形態8における不正通信ソ
フトウェア検出方法を示す図である。
【図24】 従来の不正通信ソフトウェア検出方法を示
す図である。
【符号の説明】
10 サーバ・コンピュータ1、 15、25 ログフ
ァイル等、 20 サーバ・コンピュータ2、 30
プリンタ・サーバ、 32、50、100、200、1
000、1200 PC等、 35 ノートブック型の
PC、 37、400 ネットワーク、 51、11
0、210 はftpデーモン、 52、120、22
0、1110、1220 telnetデーモン、 53 バ
ックドア、60 ネットワーク管理者、 70、700
正規利用者、 80 侵入者、150、250、30
0、1150、1250 記録装置、 310、32
0、330、340 ディジタル署名されたハッシュ値
(H(A,telnet))、 350 その他の値、 50
0、600 インストーラ、 510、610 秘密
鍵、 520、620 認証書、 800 ログファイ
ル、 50 設定ファイル。
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B076 FA13 5B085 AC11 AE13 AE23 AE29 5J104 AA09 LA03 LA05 LA06 NA12 PA07 5K030 GA15 HA08 HB19 HC01 JT06 LD19 MB18 9A001 LL03

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを介して接続された複数の
    コンピュータ間で不正な通信を行なうソフトウェアを検
    出する不正通信ソフトウェア検出方法であって、 前記複数のコンピュータ上で各々バックグラウンド・プ
    ロセスを生成する際に同時に、ディジタル署名の対象と
    なるデータを各々ハッシュするハッシュステップと、 前記ハッシュステップによりハッシュされたデータを各
    コンピュータの有する所定の秘密鍵で各々変換して各デ
    ィジタル署名を生成するディジタル署名ステップと、 前記ディジタル署名ステップにより生成された各ディジ
    タル署名をネットワークを介して接続された記録装置に
    各々記録するディジタル署名記録ステップと、 バックグラウンド・プロセスが他のコンピュータ上の対
    応する他のバックグラウンド・プロセスと通信を行なう
    場合、前記記録装置に記録された他のバックグラウンド
    ・プロセスのディジタル署名を他のコンピュータの有す
    る所定の秘密鍵に対応する公開鍵で変換して検証するこ
    とにより、該他のバックグラウンド・プロセスが不正な
    通信を行うソフトウェアであるか否かを認証する認証ス
    テップとを備えたことを特徴とする不正通信ソフトウェ
    ア検出方法。
  2. 【請求項2】 ネットワークを介して接続された複数の
    コンピュータ間で不正な通信を行なうソフトウェアを検
    出する不正通信ソフトウェア検出方法であって、 前記複数のコンピュータ上で各々バックグラウンド・プ
    ロセスを生成する際に、各バックグランド・プロセスに
    対し各々公開鍵演算を施して秘密鍵と認証書とを生成す
    る鍵ペア生成ステップと、 前記鍵ペア生成ステップにより生成された秘密鍵で各バ
    ックグランド・プロセスを変換し、各ディジタル署名を
    生成するディジタル署名ステップと、 バックグラウンド・プロセスが他のコンピュータ上の対
    応する他のバックグラウンド・プロセスと通信を行なう
    場合、ディジタル署名された他のバックグラウンド・プ
    ロセスを読み込み他のバックグランド・プロセスの認証
    書で変換して検証することにより、該他のバックグラウ
    ンド・プロセスが不正な通信を行うソフトウェアである
    か否かを認証する認証ステップとを備えたことを特徴と
    する不正通信ソフトウェア検出方法。
  3. 【請求項3】 前記認証ステップにおいて前記他のバッ
    クグラウンド・プロセスが不正な通信を行うソフトウェ
    アではないと認証された後に、前記記録装置に記録され
    た各ディジタル署名を所定の期間毎に相互に交換して検
    証を行なう交換ステップをさらに備えたことを特徴とす
    る請求項1記載の不正通信ソフトウェア検出方法。
  4. 【請求項4】 前記ディジタル署名ステップは、前記鍵
    ペア生成ステップにより生成された秘密鍵で各バックグ
    ランド・プロセスが出力する所定のデータを変換し、各
    ディジタル署名を生成し、 前記認証ステップは、バックグラウンド・プロセスが他
    のコンピュータ上の対応する他のバックグラウンド・プ
    ロセスと通信を行なう場合、ディジタル署名された他の
    バックグラウンド・プロセスの所定のデータを他のバッ
    クグランド・プロセスの認証書で変換して検証すること
    により、該他のバックグラウンド・プロセスが不正な通
    信を行うソフトウェアであるか否かを認証することを特
    徴とする請求項2記載の不正通信ソフトウェア検出方
    法。
  5. 【請求項5】 前記所定のデータは、バックグラウンド
    ・プロセスが出力するログ・ファイルであることを特徴
    とする請求項4記載の不正通信ソフトウェア検出方法。
  6. 【請求項6】 前記所定のデータは、バックグラウンド
    ・プロセスが出力するパケット・データであることを特
    徴とする請求項4記載の不正通信ソフトウェア検出方
    法。
  7. 【請求項7】 前記ディジタル署名記録ステップは、前
    記ディジタル署名ステップにより生成された各ディジタ
    ル署名を前記バックグラウンド・プロセスに固有の記録
    装置に各々記録することを特徴とする請求項1記載の正
    通信ソフトウェア検出方法。
  8. 【請求項8】 前記所定のデータは、バックグラウンド
    ・プロセスの構成を記録した設定ファイルであり、 前記認証ステップは、正規のユーザがバックグラウンド
    ・プロセスの利用を行なう場合、ディジタル署名された
    該バックグラウンド・プロセスの設定ファイルを該バッ
    クグランド・プロセスの認証書で変換して検証すること
    により、該バックグラウンド・プロセスが不正な通信を
    行うソフトウェアであるか否かを認証することを特徴と
    する請求項2記載の不正通信ソフトウェア検出方法。
  9. 【請求項9】 前記ディジタル署名ステップは、前記ハ
    ッシュステップによりハッシュされたデータを各コンピ
    ュータに共通の秘密鍵で各々変換して各ディジタル署名
    を生成し、 前記ディジタル署名記録ステップは、前記ディジタル署
    名ステップにより生成された各ディジタル署名を前記バ
    ックグラウンド・プロセスに固有の記録装置に各々記録
    し、 前記認証ステップの後に、正規のユーザがバックグラウ
    ンド・プロセスの実行設定を行なう場合、前記認証ステ
    ップにより不正な通信を行うソフトウェアではないと認
    証されたバックグラウンド・プロセスに対して所定のコ
    マンドを送り、該所定のコマンドに対して各バックグラ
    ウンド・プロセスから返された結果の多数決をとること
    により、バックグラウンド・プロセスが不正な通信を行
    うソフトウェアであるか否かを認証することを特徴とす
    る請求項1記載の不正通信ソフトウェア検出方法。
JP2000047220A 2000-02-24 2000-02-24 不正通信ソフトウェア検出方法 Expired - Fee Related JP3748192B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000047220A JP3748192B2 (ja) 2000-02-24 2000-02-24 不正通信ソフトウェア検出方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000047220A JP3748192B2 (ja) 2000-02-24 2000-02-24 不正通信ソフトウェア検出方法

Publications (2)

Publication Number Publication Date
JP2001236314A true JP2001236314A (ja) 2001-08-31
JP3748192B2 JP3748192B2 (ja) 2006-02-22

Family

ID=18569506

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000047220A Expired - Fee Related JP3748192B2 (ja) 2000-02-24 2000-02-24 不正通信ソフトウェア検出方法

Country Status (1)

Country Link
JP (1) JP3748192B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040003221A (ko) * 2002-07-02 2004-01-13 김상욱 유닉스 커널 모드에서의 커널 백도어 탐지 및 대응 장치및 그방법
JP2006203564A (ja) * 2005-01-20 2006-08-03 Nara Institute Of Science & Technology マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法
JP2007058639A (ja) * 2005-08-25 2007-03-08 Hitachi Electronics Service Co Ltd 不正アクセス検知システム
JP2010152877A (ja) * 2008-11-26 2010-07-08 Panasonic Corp ソフトウェア更新システム、管理装置、記録媒体及び集積回路

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107911355B (zh) * 2017-11-07 2020-05-01 杭州安恒信息技术股份有限公司 一种基于攻击链的网站后门利用事件识别方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040003221A (ko) * 2002-07-02 2004-01-13 김상욱 유닉스 커널 모드에서의 커널 백도어 탐지 및 대응 장치및 그방법
JP2006203564A (ja) * 2005-01-20 2006-08-03 Nara Institute Of Science & Technology マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法
JP2007058639A (ja) * 2005-08-25 2007-03-08 Hitachi Electronics Service Co Ltd 不正アクセス検知システム
JP2010152877A (ja) * 2008-11-26 2010-07-08 Panasonic Corp ソフトウェア更新システム、管理装置、記録媒体及び集積回路

Also Published As

Publication number Publication date
JP3748192B2 (ja) 2006-02-22

Similar Documents

Publication Publication Date Title
US7526654B2 (en) Method and system for detecting a secure state of a computer system
EP1204910B1 (en) Computer platforms and their methods of operation
JP4860856B2 (ja) コンピュータ装置
US7228434B2 (en) Method of protecting the integrity of a computer program
US7003672B2 (en) Authentication and verification for use of software
EP1861815B1 (en) Systems and methods for using machine attributes to deter software piracy in an enterprise environment
US7711951B2 (en) Method and system for establishing a trust framework based on smart key devices
US20040039921A1 (en) Method and system for detecting rogue software
JP3955906B1 (ja) ソフトウエア管理システムおよびソフトウエア管理プログラム
JP2009518762A (ja) インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法
JP2006511877A (ja) ソフトウェアの改ざんを事前に対処することによって検出するためのシステムおよび方法
EP1203278B1 (en) Enforcing restrictions on the use of stored data
US20050154898A1 (en) Method and system for protecting master secrets using smart key devices
Smith et al. Security issues in on-demand grid and cluster computing
JP2001236314A (ja) 不正通信ソフトウェア検出方法
Monteiro et al. An authentication and validation mechanism for analyzing syslogs forensically
Guan et al. A collaborative intrusion detection system using log server and neural networks
Brustoloni et al. Updates and Asynchronous Communication in Trusted Computing Systems
da Silveira Serafim et al. Restraining and repairing file system damage through file integrity control
Ford et al. Securing Network Servers
Ong et al. Improving the Security and Fault-Tolerance of Distributed Systems using Trusted Hardware
Ford et al. SECURITY IMPROVEMENT MODULE CMU/SEI-SIM-007
Openshaw A modular architecture for security tools (MAST)
Imran Internet Security Agent
Abbas Analysis and design of an Internet's security taxonomy

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050909

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051124

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091209

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees