JP2006011552A - コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム - Google Patents
コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム Download PDFInfo
- Publication number
- JP2006011552A JP2006011552A JP2004184030A JP2004184030A JP2006011552A JP 2006011552 A JP2006011552 A JP 2006011552A JP 2004184030 A JP2004184030 A JP 2004184030A JP 2004184030 A JP2004184030 A JP 2004184030A JP 2006011552 A JP2006011552 A JP 2006011552A
- Authority
- JP
- Japan
- Prior art keywords
- operating system
- computer virus
- computer
- hash value
- virtual operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 ホストOSに影響を与えることなく、ゲストOSを囮としてコンピュータウィルスを捕捉しその情報を収集することにある。
【解決手段】 ホストOS11上で、ホストOS11とは論理的に遮断された環境であるゲストOS12が動作するコンピュータにより実現される。ゲストOS12による制御の下、ゲストOS12がコンピュータウィルスに感染したことを検知する検知部13と、感染が検知されたコンピュータウィルスに関する情報(コンピュータウィルスの実行ファイルのハッシュ値や本体データ)をホストOS11に通知する通知部14とが動作する。一方、ホストOS11による制御の下、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う処理部15と、この処理の完了後にゲストOS12を感染前の状態に復旧する復旧部16とが動作する。
【選択図】 図2
【解決手段】 ホストOS11上で、ホストOS11とは論理的に遮断された環境であるゲストOS12が動作するコンピュータにより実現される。ゲストOS12による制御の下、ゲストOS12がコンピュータウィルスに感染したことを検知する検知部13と、感染が検知されたコンピュータウィルスに関する情報(コンピュータウィルスの実行ファイルのハッシュ値や本体データ)をホストOS11に通知する通知部14とが動作する。一方、ホストOS11による制御の下、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う処理部15と、この処理の完了後にゲストOS12を感染前の状態に復旧する復旧部16とが動作する。
【選択図】 図2
Description
本発明は、コンピュータウィルスに関する情報を収集するコンピュータウィルス情報収集装置等に関する。尚、本明細書において、コンピュータウィルスとは、平成12年12月28日の通商産業省告示第952号「コンピュータウィルス対策基準」における定義に倣い、「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能の一つ以上有するもの」をいうものとする。
近年のインターネットの爆発的な普及に伴い、ネットワーク上に存在する脅威は無視できないものとなっている。そのようなネットワーク上の脅威として、コンピュータウィルスが挙げられる。コンピュータウィルスは、悪意のプログラマによって開発され、例えば、既知又は未知のソフトウェア上の欠陥を悪用することで他のコンピュータへと感染を拡大していくものである。現在、ソフトウェア上の欠陥が発見されてからコンピュータウィルスが開発されるまでの期間は短くなってきており、コンピュータウィルスの脅威は増大している。
かかる事情に鑑み、今日、コンピュータウィルスを検査する装置が多く提案されている(例えば、特許文献1参照。)。特許文献1では、ウィルス検査サーバで仮想ホストを実現し、実ホスト上で実現される検査処理部が、入力された被検査ファイルを仮想ホストで実行させ、その動作結果を監視し、この監視結果に基づいて被検査ファイルがウィルスに感染しているかどうかを判断している。
しかしながら、特許文献1のような検査方法には、次のような問題点があった。
第一に、特許文献1では、仮想ホストを、コンピュータウィルスの挙動を安全に監視するための環境として捉え、実ホスト上で実現される検査処理部が、そのような仮想ホストで被検査ファイルを実行しているに過ぎないので、実ホストから隔離された仮想ホストを囮としてコンピュータウィルスを捕捉しその情報を収集することはできないという問題点である。
第二に、特許文献1では、実ホスト上で実現される検査処理部が、仮想ホストの動作結果を監視しているので、監視対象に制限が出て来てしまうという問題点である。即ち、ダイナミックヒューリスティック検査として可能なのは、(1)メール送信の監視によりウィルスを検知する方法、(2)ファイルの改ざんの監視によりウィルスを検知する方法等であり、実ホストから把握できない、仮想ホスト上のファイルの作成、設定の変更等については、検査することができない。
第一に、特許文献1では、仮想ホストを、コンピュータウィルスの挙動を安全に監視するための環境として捉え、実ホスト上で実現される検査処理部が、そのような仮想ホストで被検査ファイルを実行しているに過ぎないので、実ホストから隔離された仮想ホストを囮としてコンピュータウィルスを捕捉しその情報を収集することはできないという問題点である。
第二に、特許文献1では、実ホスト上で実現される検査処理部が、仮想ホストの動作結果を監視しているので、監視対象に制限が出て来てしまうという問題点である。即ち、ダイナミックヒューリスティック検査として可能なのは、(1)メール送信の監視によりウィルスを検知する方法、(2)ファイルの改ざんの監視によりウィルスを検知する方法等であり、実ホストから把握できない、仮想ホスト上のファイルの作成、設定の変更等については、検査することができない。
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的は、実オペレーティングシステム(実ホスト)に影響を与えることなく、仮想オペレーティングシステム(仮想ホスト)を囮としてコンピュータウィルスを捕捉しその情報を収集することにある。
また、本発明の他の目的は、仮想オペレーティングシステム上で実オペレーティングシステムからは把握できない変化を生じさせるコンピュータウィルスについても検知できるようにすることにある。
また、本発明の他の目的は、仮想オペレーティングシステム上で実オペレーティングシステムからは把握できない変化を生じさせるコンピュータウィルスについても検知できるようにすることにある。
かかる目的のもと、本発明は、実オペレーティングシステムから論理的に遮断された環境である仮想オペレーティングシステムを囮としてコンピュータウィルスを捕捉しその情報を収集するようにしている。即ち、本発明のコンピュータウィルス情報収集装置は、実オペレーティングシステム上に仮想オペレーティングシステムが構築されたコンピュータにおいて、仮想オペレーティングシステム上で動作し、仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する検知部と、仮想オペレーティングシステム上で動作し、検知部により感染が検知されたコンピュータウィルスに関する情報を実オペレーティングシステムに通知する通知部と、実オペレーティングシステム上で動作し、通知部により通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う処理部とを備えている。
また、本発明は、仮想オペレーティングシステム上で実オペレーティングシステムからは把握できない変化を生じさせるコンピュータウィルスについても検知できるような構成としている。即ち、検知部は、仮想オペレーティングシステム上でのファイルの追加、又は、仮想オペレーティングシステム上での設定の変更を検出することにより、仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知することとしている。
更に、本発明は、コンピュータウィルスに関する情報を収集する方法として捉えることもできる。その場合、本発明のコンピュータウィルス情報収集方法は、実オペレーティングシステム上に、実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータを用いて、仮想オペレーティングシステムが感染したコンピュータウィルスに関する情報を収集する方法であって、仮想オペレーティングシステムによる制御の下で、コンピュータウィルスの実行ファイルのハッシュ値を算出するステップと、算出したハッシュ値を、仮想オペレーティングシステムから実オペレーティングシステムへ通知するステップと、実オペレーティングシステムによる制御の下で、通知されたハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在するかどうかを判定するステップと、通知されたハッシュ値がデータベースに登録されたハッシュ値の中に存在しない場合に、仮想オペレーティングシステムが感染したコンピュータウィルスの実行ファイルの本体データを、仮想オペレーティングシステムから実オペレーティングシステムへ送付するステップとを含んでいる。
一方、本発明は、仮想オペレーティングシステム上での所定の機能をコンピュータに実現させるためのコンピュータプログラムとして捉えることもできる。その場合、プログラムが実行されるコンピュータは、実オペレーティングシステム上に、実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータであり、また、実行されるプログラムは、仮想オペレーティングシステム上の機能であって、仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する機能と、仮想オペレーティングシステム上の機能であって、感染が検知されたコンピュータウィルスの実行ファイルのハッシュ値を実オペレーティングシステムに通知する機能と、仮想オペレーティングシステム上の機能であって、感染が検知されたコンピュータウィルスの実行ファイルの本体データを、実オペレーティングシステムから要求があった場合に実オペレーティングシステムに送付する機能とをコンピュータに実現させるものである。
また、本発明は、実オペレーティングシステム上での所定の機能をコンピュータに実現させるためのコンピュータプログラムとして捉えることもできる。その場合、プログラムが実行されるコンピュータは、実オペレーティングシステム上に、実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータであり、また、実行されるプログラムは、実オペレーティングシステム上の機能であって、仮想オペレーティングシステムから通知されたコンピュータウィルスの実行ファイルのハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在するかどうかを判定する機能と、実オペレーティングシステム上の機能であって、通知されたハッシュ値がデータベースに登録されたハッシュ値の中に存在しない場合に、仮想オペレーティングシステムが感染したコンピュータウィルスの実行ファイルの本体データの送付を、仮想オペレーティングシステムに要求する機能と、実オペレーティングシステム上の機能であって、仮想オペレーティングシステムから送付されたコンピュータウィルスの実行ファイルの本体データを保存する機能とをコンピュータに実現させるものである。
本発明によれば、実オペレーティングシステムに影響を与えることなく、仮想オペレーティングシステムを囮としてコンピュータウィルスを捕捉しその情報を収集することが可能になる。
以下、添付図面を参照して、本発明を実施するための最良の形態(以下、「実施の形態」という)について詳細に説明する。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、本発明のコンピュータウィルス情報収集装置10と、利用者端末21〜2nとが、コンピュータネットワーク30を介して接続することにより構成されている。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、本発明のコンピュータウィルス情報収集装置10と、利用者端末21〜2nとが、コンピュータネットワーク30を介して接続することにより構成されている。
コンピュータウィルス情報収集装置10は、コンピュータネットワーク30に接続されたコンピュータに対し、本発明のコンピュータウィルス情報収集機能を設けたものである。具体的なハードウェア構成は、通常のコンピュータと同様であり、中央処理装置(CPU)、主記憶装置、外部記憶装置(例えば、磁気ディスク装置)、通信制御装置等を有している。
利用者端末21〜2nは、コンピュータウィルス情報収集装置10との間でコンピュータネットワーク30を介して通信可能な端末である。例えば、パーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話等の情報端末機器によって実現される。具体的なハードウェア構成は、通常の情報端末機器と同様であり、中央処理装置(CPU)、主記憶装置、外部記憶装置(例えば、磁気ディスク装置)、通信制御装置等を有している。
尚、利用者端末21〜2nのいずれかが、コンピュータウィルスに感染することも考えられ、その感染した利用者端末からコンピュータウィルス情報収集装置10へコンピュータウィルスが送り込まれることにより、本実施の形態の動作が開始することもある。
一方、コンピュータネットワーク30は、例えば、インターネットである。
尚、利用者端末21〜2nのいずれかが、コンピュータウィルスに感染することも考えられ、その感染した利用者端末からコンピュータウィルス情報収集装置10へコンピュータウィルスが送り込まれることにより、本実施の形態の動作が開始することもある。
一方、コンピュータネットワーク30は、例えば、インターネットである。
次に、本実施の形態におけるコンピュータウィルス情報収集装置10のソフトウェア構成について説明する。
本実施の形態では、図2に示すように、コンピュータウィルス情報収集装置10において、実オペレーティングシステム(以下、「ホストOS」という)11上で、仮想オペレーティングシステム(以下、「ゲストOS」という)12を動作させる。即ち、コンピュータウィルスの感染対象となる囮サーバをゲストOS12上に構築し、ゲストOS12上で動作するコンピュータウィルスの情報をホストOS11に記録する。尚、このようなゲストOS12上のサーバの構築は、例えば、VMware(登録商標)等の既存ソフトウェアを用いることにより実現可能である。このように構築されたゲストOS12はホストOS11からは論理的に遮断された環境であるため、ゲストOS12が感染したコンピュータウィルスによってホストOS11が影響を受けることはない。
本実施の形態では、図2に示すように、コンピュータウィルス情報収集装置10において、実オペレーティングシステム(以下、「ホストOS」という)11上で、仮想オペレーティングシステム(以下、「ゲストOS」という)12を動作させる。即ち、コンピュータウィルスの感染対象となる囮サーバをゲストOS12上に構築し、ゲストOS12上で動作するコンピュータウィルスの情報をホストOS11に記録する。尚、このようなゲストOS12上のサーバの構築は、例えば、VMware(登録商標)等の既存ソフトウェアを用いることにより実現可能である。このように構築されたゲストOS12はホストOS11からは論理的に遮断された環境であるため、ゲストOS12が感染したコンピュータウィルスによってホストOS11が影響を受けることはない。
ところで、コンピュータウィルスは、サーバコンピュータ(商用のサーバコンピュータ等)に感染する場合と、クライアントコンピュータ(一般ユーザのPC等)に感染する場合とがある。従って、本実施の形態では、ゲストOS12を、サーバコンピュータを模倣した囮として構成する場合と、クライアントコンピュータを模倣した囮として構成する場合とがあるものとする。また、囮として模倣する環境は、広く用いられているプログラムであって、ある程度の脆弱性があるためにコンピュータウィルスに狙われ易いプログラムを稼動させておくものとする。
また、本実施の形態では、ゲストOS12上で、検知部13と、通知部14とが機能し、ホストOS11上で、処理部15と、復旧部16とが機能する。
検知部13は、ゲストOS12がコンピュータウィルスに感染したことを検知する機能であり、通知部14は、感染が検知されたコンピュータウィルスに関する情報をホストOS11に通知する機能である。一方、処理部15は、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う機能である。ここで、所定の処理には、後述するように、ゲストOS12で検知されたコンピュータウィルスの実行ファイルのハッシュ値とハッシュ値データベース(以下、「ハッシュ値DB」という)に登録された既知のコンピュータウィルスの実行ファイルのハッシュ値との比較処理、コンピュータウィルスの感染状況を管理する管理情報の更新処理、コンピュータウィルスの感染を所定の報知先に報知する報知処理等がある。また、復旧部16は、処理部15による処理の完了後にゲストOS12を感染前の状態に復旧する機能である。
検知部13は、ゲストOS12がコンピュータウィルスに感染したことを検知する機能であり、通知部14は、感染が検知されたコンピュータウィルスに関する情報をホストOS11に通知する機能である。一方、処理部15は、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う機能である。ここで、所定の処理には、後述するように、ゲストOS12で検知されたコンピュータウィルスの実行ファイルのハッシュ値とハッシュ値データベース(以下、「ハッシュ値DB」という)に登録された既知のコンピュータウィルスの実行ファイルのハッシュ値との比較処理、コンピュータウィルスの感染状況を管理する管理情報の更新処理、コンピュータウィルスの感染を所定の報知先に報知する報知処理等がある。また、復旧部16は、処理部15による処理の完了後にゲストOS12を感染前の状態に復旧する機能である。
尚、本来的には、検知部13及び通知部14は、ゲストOS12による制御の下で動作するプログラムであり、処理部15及び復旧部16は、ホストOS11による制御の下で動作するプログラムである。プログラムは、コンピュータウィルス情報収集装置10の図示しない外部記憶装置に対し、出荷時に記憶されたものでもよいし、出荷後に記録媒体からロードされ、又は、ネットワークからダウンロードされ記憶されたものであってもよい。そして、コンピュータウィルス情報収集装置10の図示しないCPUがこれらのプログラムを主記憶装置に読み込んで実行する。但し、このような実行状態においては、これらの各部は、プログラムとしてではなく、コンピュータウィルス情報収集装置10の所定の機能として捉えることができる。
ここで、処理部15にて用いられるハッシュ値DBについて説明しておく。
図3に、ハッシュ値DBの記憶内容の一例を示す。ここでは、コンピュータウィルス「A」、「B」、「C」について、ハッシュ値が記憶されている。これらのコンピュータウィルスは、既知のコンピュータウィルスであり、そのバイナリデータを既に解析済みのものであるとする。尚、ここでいうハッシュ値とは、コンピュータウィルスの実行ファイルのバイナリデータにハッシュ関数を施して得られる値のことである。ハッシュ関数の代表的なものには、「SHA−1」、「MD5」等がある。このうち、前者は、2の64乗ビット以下のデータから160ビットのハッシュ値を生成するアルゴリズムであり、後者は、任意のビット長のデータから128ビットのハッシュ値を生成するアルゴリズムである。
図3に、ハッシュ値DBの記憶内容の一例を示す。ここでは、コンピュータウィルス「A」、「B」、「C」について、ハッシュ値が記憶されている。これらのコンピュータウィルスは、既知のコンピュータウィルスであり、そのバイナリデータを既に解析済みのものであるとする。尚、ここでいうハッシュ値とは、コンピュータウィルスの実行ファイルのバイナリデータにハッシュ関数を施して得られる値のことである。ハッシュ関数の代表的なものには、「SHA−1」、「MD5」等がある。このうち、前者は、2の64乗ビット以下のデータから160ビットのハッシュ値を生成するアルゴリズムであり、後者は、任意のビット長のデータから128ビットのハッシュ値を生成するアルゴリズムである。
次に、かかる構成を有するコンピュータウィルス情報収集装置10の動作について詳細に説明する。
図4は、ゲストOS12上で動作する検知部13及び通知部14の動作を示すフローチャートであり、図5は、ホストOS11上で動作する処理部15及び復旧部16の動作を示すフローチャートである。
まず、図4に示すように、ゲストOS12がコンピュータウィルスに感染したことを検知部13が検知する(ステップ101)。
図4は、ゲストOS12上で動作する検知部13及び通知部14の動作を示すフローチャートであり、図5は、ホストOS11上で動作する処理部15及び復旧部16の動作を示すフローチャートである。
まず、図4に示すように、ゲストOS12がコンピュータウィルスに感染したことを検知部13が検知する(ステップ101)。
尚、ここでのコンピュータウィルスに感染したことの検知は、例えば、ゲストOS12上のファイルの作成や設定の変更等を検出することによって行われる。
具体的には、コンピュータウィルスに感染した場合に起こり得ることが経験的に判明しているファイルの作成や設定の変更のパターンを定義しておき、ファイルが作成された場合や設定が変更された場合に、この定義されたパターンと照合することにより、コンピュータウィルスに感染したのかどうかを判断することができる。尚、ファイルの作成のパターンは、例えば、作成されるファイルのパス、ファイル名、サイズ等によって定義され、設定の変更のパターンは、例えば、設定項目、設定値等によって定義される。
但し、かかる検知方法は、コンピュータウィルスの実行ファイルが電子メールに添付されて届けられる場合を想定していない。コンピュータウィルスの実行ファイルが電子メールに添付されて届けられた場合の検知も可能とするためには、電子メールの添付ファイルをゲストOS12上で自動実行するよう設定しておき、その自動実行後のゲストOS12上の変更を監視する等の処理が必要になる。
具体的には、コンピュータウィルスに感染した場合に起こり得ることが経験的に判明しているファイルの作成や設定の変更のパターンを定義しておき、ファイルが作成された場合や設定が変更された場合に、この定義されたパターンと照合することにより、コンピュータウィルスに感染したのかどうかを判断することができる。尚、ファイルの作成のパターンは、例えば、作成されるファイルのパス、ファイル名、サイズ等によって定義され、設定の変更のパターンは、例えば、設定項目、設定値等によって定義される。
但し、かかる検知方法は、コンピュータウィルスの実行ファイルが電子メールに添付されて届けられる場合を想定していない。コンピュータウィルスの実行ファイルが電子メールに添付されて届けられた場合の検知も可能とするためには、電子メールの添付ファイルをゲストOS12上で自動実行するよう設定しておき、その自動実行後のゲストOS12上の変更を監視する等の処理が必要になる。
次に、通知部14が、コンピュータウィルスの実行ファイルのハッシュ値を算出し(ステップ102)、そのハッシュ値をホストOS11に伝える(ステップ103)。
尚、ここでのコンピュータウィルスの実行ファイルの特定は、次のように行うことができる。即ち、ファイルが新たに作成された場合であれば、その新たに作成されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。また、システムの設定が変更された場合であれば、そのシステムの設定において新たに指定されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。例えば、システムが起動される度にあるプログラムが自動実行されるような設定になっているのであれば、その自動実行されるプログラムがコンピュータウィルスの実行ファイルである。
尚、ここでのコンピュータウィルスの実行ファイルの特定は、次のように行うことができる。即ち、ファイルが新たに作成された場合であれば、その新たに作成されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。また、システムの設定が変更された場合であれば、そのシステムの設定において新たに指定されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。例えば、システムが起動される度にあるプログラムが自動実行されるような設定になっているのであれば、その自動実行されるプログラムがコンピュータウィルスの実行ファイルである。
これにより、ホストOS11上では、図5に示す動作が開始される。
即ち、まず、処理部15が、コンピュータウィルスの実行ファイルのハッシュ値をゲストOS12から取得し(ステップ201)、ハッシュ値DBに記憶されたハッシュ値と比較する(ステップ202)。その結果、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがあれば(ステップ203でYes)、そのハッシュ値に対応するコンピュータウィルスの種類を特定する(ステップ204)。一方、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがなければ(ステップ203でNo)、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を送付するよう、ゲストOS12に要求する(ステップ205)。
即ち、まず、処理部15が、コンピュータウィルスの実行ファイルのハッシュ値をゲストOS12から取得し(ステップ201)、ハッシュ値DBに記憶されたハッシュ値と比較する(ステップ202)。その結果、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがあれば(ステップ203でYes)、そのハッシュ値に対応するコンピュータウィルスの種類を特定する(ステップ204)。一方、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがなければ(ステップ203でNo)、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を送付するよう、ゲストOS12に要求する(ステップ205)。
これに対するゲストOS12上の動作を再び図4に戻って説明すると、通知部14は、コンピュータウィルスの実行ファイルの本体データの送付が要求されたかどうか判定し(ステップ104)、本体データの送付が要求されなければ、そのまま処理は終了するが、ここでは、本体データの送付が要求されたので、本体データをホストOS11に送付する(ステップ105)。
これにより、ホストOS11上では、処理部15が、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を取得し(ステップ206)、所定の記憶領域に保存する(ステップ207)。
これにより、ホストOS11上では、処理部15が、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を取得し(ステップ206)、所定の記憶領域に保存する(ステップ207)。
尚、コンピュータウィルスによる被害の拡大を最小限に抑えるためには、コンピュータウィルスがインターネット上に出回り始めた初期の段階でその検体を収集し、解析することが望まれる。これによりコンピュータウィルスへの対策、復旧手段を明らかにすることができ、更には、IDS(侵入検知システム)のための検知用シグネチャの作成も可能となるからである。そこで、本実施の形態では、ハッシュ値DBにハッシュ値が登録されていないコンピュータウィルス、つまり、未知のコンピュータウィルスについては、その検体を収集することとしているのである。
さて、その後、ホストOS11では、図5に示すような処理が行われる。
即ち、処理部15は、コンピュータウィルスの感染状況を管理する管理情報を更新する(ステップ208)。この場合、例えば、ステップ204で特定されたコンピュータウィルスの種類に対する管理情報を、又は、ステップ203でNoと判定された場合であれば、未知のコンピュータウィルスに対する管理情報を更新することができる。かかる管理情報の例を、図6−1(a)に示す。図6−1(a)では、時期ごと、コンピュータウィルスの種類ごとに感染数を計測している。ここでは、ハッシュ値DBに登録されていたコンピュータウィルス「A」、「B」、「C」と、未登録であったコンピュータウィルス(未知のコンピュータウィルス)とについて、その感染数を計測している。
尚、この管理情報は、ある時点において、例えば、図6−1(b)や図6−2(c)に示すようなグラフとして出力することも可能である。
即ち、処理部15は、コンピュータウィルスの感染状況を管理する管理情報を更新する(ステップ208)。この場合、例えば、ステップ204で特定されたコンピュータウィルスの種類に対する管理情報を、又は、ステップ203でNoと判定された場合であれば、未知のコンピュータウィルスに対する管理情報を更新することができる。かかる管理情報の例を、図6−1(a)に示す。図6−1(a)では、時期ごと、コンピュータウィルスの種類ごとに感染数を計測している。ここでは、ハッシュ値DBに登録されていたコンピュータウィルス「A」、「B」、「C」と、未登録であったコンピュータウィルス(未知のコンピュータウィルス)とについて、その感染数を計測している。
尚、この管理情報は、ある時点において、例えば、図6−1(b)や図6−2(c)に示すようなグラフとして出力することも可能である。
また、ゲストOS12がコンピュータウィルスに感染したことを、処理部15は、所定の電子メールアドレス、ポケットベル、システムに接続された外部デバイス等に報知する(ステップ209)。
そして、これらのコンピュータウィルスの解析に必要な処理が完了すると、復旧部16は、ゲストOS12の再起動を行う(ステップ210)。例えば、ゲストOS12を実現するファイルを感染前の状態に戻す処理を行う。ゲストOS12は、ソフトウェアによって構築された仮想的な環境であるため、容易にコンピュータウィルス感染前の状態へと復旧することが可能である。
そして、これらのコンピュータウィルスの解析に必要な処理が完了すると、復旧部16は、ゲストOS12の再起動を行う(ステップ210)。例えば、ゲストOS12を実現するファイルを感染前の状態に戻す処理を行う。ゲストOS12は、ソフトウェアによって構築された仮想的な環境であるため、容易にコンピュータウィルス感染前の状態へと復旧することが可能である。
以上述べてきたように、本実施の形態では、ゲストOS12がコンピュータウィルスに感染した場合におけるコンピュータウィルスに関する情報のホストOS11への通知を、ゲストOS12上で動作するプログラムにより行う構成を採用した。かかる構成により、ホストOS11にはコンピュータウィルスの影響を与えることなく、ゲストOS12を囮としてコンピュータウィルスを捕捉しその情報を収集できるようになっている。
また、ゲストOS12がコンピュータウィルスに感染したことの検知を、ゲストOS12上で動作するプログラムにより行う構成を採用した。かかる構成により、ホストOS11が把握できないゲストOS12上の変更に基づく感染の検知も行えるようになっている。
また、ゲストOS12がコンピュータウィルスに感染したことの検知を、ゲストOS12上で動作するプログラムにより行う構成を採用した。かかる構成により、ホストOS11が把握できないゲストOS12上の変更に基づく感染の検知も行えるようになっている。
更に、ゲストOS12が未知のコンピュータウィルスに感染した場合は解析のためにその検体を収集することになるが、最初はコンピュータウィルスの実行ファイルのハッシュ値を通知し、その後、そのコンピュータウィルスが未知のものであることが判明してから実行ファイルの本体データを送付するようにした。これにより、ゲストOS12とホストOS11との間で無駄な情報の交換を行うことなく、効率的にコンピュータウィルスに関する情報の収集を行うことができるようになっている。
10…コンピュータウィルス情報収集装置、11…ホストOS、12…ゲストOS、13…検知部、14…通知部、15…処理部、16…復旧部
Claims (10)
- 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータにおいて、
前記仮想オペレーティングシステム上で動作し、当該仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する検知部と、
前記仮想オペレーティングシステム上で動作し、前記検知部により感染が検知された前記コンピュータウィルスに関する情報を前記実オペレーティングシステムに通知する通知部と、
前記実オペレーティングシステム上で動作し、前記通知部により通知された前記コンピュータウィルスに関する情報を用いて所定の処理を行う処理部と
を備えたことを特徴とするコンピュータウィルス情報収集装置。 - 前記検知部は、前記仮想オペレーティングシステム上でのファイルの追加、又は、当該仮想オペレーティングシステム上での設定の変更を検出することにより、当該仮想オペレーティングシステムが前記コンピュータウィルスに感染したことを検知することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 前記通知部は、前記コンピュータウィルスに関する情報として、当該コンピュータウィルスの実行ファイルのハッシュ値を通知し、
前記処理部は、前記通知部により通知された前記ハッシュ値を、既知のコンピュータウィルスの実行ファイルのハッシュ値と比較することにより、感染が検知された前記コンピュータウィルスが前記既知のコンピュータウィルスであるかどうかを判定することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。 - 前記通知部は、前記コンピュータウィルスに関する情報として、当該コンピュータウィルスの実行ファイルの本体データを通知し、
前記処理部は、前記通知部により通知された前記本体データを保存することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。 - 前記通知部は、前記コンピュータウィルスに関する情報として、当該コンピュータウィルスの実行ファイルのハッシュ値を通知し、その後、前記処理部から要求された場合に、当該コンピュータウィルスの実行ファイルの本体データを通知し、
前記処理部は、前記通知部により通知された前記ハッシュ値が、予め登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在しない場合に、当該通知部に対し、感染が検知された前記コンピュータウィルスの実行ファイルの本体データの通知を要求することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。 - 前記処理部は、前記コンピュータウィルスの感染状況を管理する管理情報を更新し、又は、当該コンピュータウィルスの感染を所定の報知先に報知することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 前記処理部による処理の完了後、前記仮想オペレーティングシステムを、前記コンピュータウィルスに感染する前の状態に復旧する復旧部を更に備えたことを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータを用いて、当該仮想オペレーティングシステムが感染したコンピュータウィルスに関する情報を収集するコンピュータウィルス情報収集方法であって、
前記仮想オペレーティングシステムによる制御の下で、前記コンピュータウィルスの実行ファイルのハッシュ値を算出するステップと、
算出したハッシュ値を、前記仮想オペレーティングシステムから前記実オペレーティングシステムへ通知するステップと、
前記実オペレーティングシステムによる制御の下で、通知された前記ハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在するかどうかを判定するステップと、
前記通知されたハッシュ値が前記データベースに登録されたハッシュ値の中に存在しない場合に、前記仮想オペレーティングシステムが感染した前記コンピュータウィルスの実行ファイルの本体データを、当該仮想オペレーティングシステムから前記実オペレーティングシステムへ送付するステップと
を含むことを特徴とするコンピュータウィルス情報収集方法。 - 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータに、
前記仮想オペレーティングシステム上の機能であって、当該仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する機能と、
前記仮想オペレーティングシステム上の機能であって、感染が検知された前記コンピュータウィルスの実行ファイルのハッシュ値を前記実オペレーティングシステムに通知する機能と、
前記仮想オペレーティングシステム上の機能であって、感染が検知された前記コンピュータウィルスの実行ファイルの本体データを、前記実オペレーティングシステムから要求があった場合に当該実オペレーティングシステムに送付する機能と
を実現させるためのプログラム。 - 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータに、
前記実オペレーティングシステム上の機能であって、前記仮想オペレーティングシステムから通知されたコンピュータウィルスの実行ファイルのハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在するかどうかを判定する機能と、
前記実オペレーティングシステム上の機能であって、前記通知されたハッシュ値が前記データベースに登録されたハッシュ値の中に存在しない場合に、前記仮想オペレーティングシステムが感染した前記コンピュータウィルスの実行ファイルの本体データの送付を、当該仮想オペレーティングシステムに要求する機能と、
前記実オペレーティングシステム上の機能であって、前記仮想オペレーティングシステムから送付された前記コンピュータウィルスの実行ファイルの本体データを保存する機能と
を実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004184030A JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004184030A JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2006011552A true JP2006011552A (ja) | 2006-01-12 |
| JP2006011552A5 JP2006011552A5 (ja) | 2007-07-26 |
| JP4050253B2 JP4050253B2 (ja) | 2008-02-20 |
Family
ID=35778785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004184030A Expired - Fee Related JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4050253B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008152776A (ja) * | 2006-12-12 | 2008-07-03 | Secunet Security Networks Ag | 安全オペレーティングシステムを持つコンピュータシステム上の安全データ処理方法 |
| JP2009031859A (ja) * | 2007-07-24 | 2009-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システムおよび情報収集方法 |
| JP2010140196A (ja) * | 2008-12-10 | 2010-06-24 | Lac Co Ltd | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
| JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
| KR101512456B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 배양기반 악성코드 분석시스템의 네트워크를 통한 os재로딩 방법 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002084459A1 (en) * | 2001-04-10 | 2002-10-24 | International Business Machines Corporation | Detection of computer viruses on a network using a bait server |
-
2004
- 2004-06-22 JP JP2004184030A patent/JP4050253B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002084459A1 (en) * | 2001-04-10 | 2002-10-24 | International Business Machines Corporation | Detection of computer viruses on a network using a bait server |
| JP2004531812A (ja) * | 2001-04-10 | 2004-10-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | おとりとして無差別システムを使用してネットワーク上の特定のコンピュータ・ウィルスを検出、通知、除去する方法および装置 |
Non-Patent Citations (10)
| Title |
|---|
| "シマンテックのウイルス研究所SARCの正体", アスキーNT 第3巻 第12号 ASCII NETWORK TECHNOLOGY, vol. 第3巻, CSND199900339025, 1 December 1998 (1998-12-01), JP, pages 216 - 219, ISSN: 0000879867 * |
| "シマンテックのウイルス研究所SARCの正体", アスキーNT 第3巻 第12号 ASCII NETWORK TECHNOLOGY, vol. 第3巻, JPN6007003787, 1 December 1998 (1998-12-01), JP, pages 216 - 219, ISSN: 0000914348 * |
| F. POUGET, PROC. OF AUSCERT ASIA PACIFIC INFORMATION TECHNOLOGY SECURITY CONFERENCE 2004. (AUSCERT2004), JPN4007015212, May 2004 (2004-05-01), ISSN: 0000879864 * |
| F. POUGET, PROC. OF AUSCERT ASIA PACIFIC INFORMATION TECHNOLOGY SECURITY CONFERENCE 2004. (AUSCERT2004), JPN6007003784, May 2004 (2004-05-01), ISSN: 0000914345 * |
| 三宅 崇之 TAKASHI MIYAKE: "仮想サーバを使った未知ウイルス検知システムの提案 A Method to Detect Unknown Computer Virus Using Vi", 情報処理学会研究報告 VOL.2002 NO.68 IPSJ SIG NOTES, vol. 第2002巻, CSNG200400078008, 19 July 2002 (2002-07-19), JP, pages 45 - 52, XP008185878, ISSN: 0000879865 * |
| 三宅 崇之 TAKASHI MIYAKE: "仮想サーバを使った未知ウイルス検知システムの提案 A Method to Detect Unknown Computer Virus Using Vi", 情報処理学会研究報告 VOL.2002 NO.68 IPSJ SIG NOTES, vol. 第2002巻, JPN6007003785, 19 July 2002 (2002-07-19), JP, pages 45 - 52, XP008185878, ISSN: 0000914346 * |
| 平野谷 信勝: "最新のアンチウイルスソフトとガードテクニックで鉄壁の守りを実現コンピュータウイルスから愛機を防衛せよ", OH!PC 第17巻 第10号, vol. 第17巻, CSND199900489013, 1 February 1999 (1999-02-01), JP, pages 143 - 149, ISSN: 0000879868 * |
| 平野谷 信勝: "最新のアンチウイルスソフトとガードテクニックで鉄壁の守りを実現コンピュータウイルスから愛機を防衛せよ", OH!PC 第17巻 第10号, vol. 第17巻, JPN6007003788, 1 February 1999 (1999-02-01), JP, pages 143 - 149, ISSN: 0000914349 * |
| 池田 秀司: "手順と検出方法をじっくり解説 不正侵入対策虎の巻 第1回", NETWORK WORLD VOL.8 NO.5, vol. 第8巻, CSND200400477014, 1 May 2003 (2003-05-01), JP, pages 144 - 146, ISSN: 0000879866 * |
| 池田 秀司: "手順と検出方法をじっくり解説 不正侵入対策虎の巻 第1回", NETWORK WORLD VOL.8 NO.5, vol. 第8巻, JPN6007003786, 1 May 2003 (2003-05-01), JP, pages 144 - 146, ISSN: 0000914347 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008152776A (ja) * | 2006-12-12 | 2008-07-03 | Secunet Security Networks Ag | 安全オペレーティングシステムを持つコンピュータシステム上の安全データ処理方法 |
| JP2009031859A (ja) * | 2007-07-24 | 2009-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システムおよび情報収集方法 |
| JP2010140196A (ja) * | 2008-12-10 | 2010-06-24 | Lac Co Ltd | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
| JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
| KR101512456B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 배양기반 악성코드 분석시스템의 네트워크를 통한 os재로딩 방법 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4050253B2 (ja) | 2008-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3506139B1 (en) | Malware detection in event loops | |
| US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
| US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| JP5631988B2 (ja) | ウイルス対策スキャン | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| US9294486B1 (en) | Malware detection and analysis | |
| EP3420489B1 (en) | Cybersecurity systems and techniques | |
| US7716736B2 (en) | Apparatus, methods and articles of manufacture for computer virus testing | |
| US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
| US10372909B2 (en) | Determining whether process is infected with malware | |
| Moser et al. | Hunting in the enterprise: Forensic triage and incident response | |
| US20130247190A1 (en) | System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity | |
| US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| US20130185800A1 (en) | Anti-virus protection for mobile devices | |
| US9792436B1 (en) | Techniques for remediating an infected file | |
| JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
| EP3531329A1 (en) | Anomaly-based-malicious-behavior detection | |
| JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| Liu et al. | A system call analysis method with mapreduce for malware detection | |
| JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| WO2022156293A1 (zh) | 处理告警日志的方法、装置及存储介质 | |
| KR100632204B1 (ko) | 네트워크 상의 공격 탐지 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070606 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070606 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20070607 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20070727 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070807 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071001 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071106 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071128 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |