JP2009238153A - マルウェア対処システム、方法及びプログラム - Google Patents

マルウェア対処システム、方法及びプログラム Download PDF

Info

Publication number
JP2009238153A
JP2009238153A JP2008086626A JP2008086626A JP2009238153A JP 2009238153 A JP2009238153 A JP 2009238153A JP 2008086626 A JP2008086626 A JP 2008086626A JP 2008086626 A JP2008086626 A JP 2008086626A JP 2009238153 A JP2009238153 A JP 2009238153A
Authority
JP
Japan
Prior art keywords
malware
software
detection
unit
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008086626A
Other languages
English (en)
Inventor
Mitsuhiro Watanabe
光洋 渡邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008086626A priority Critical patent/JP2009238153A/ja
Publication of JP2009238153A publication Critical patent/JP2009238153A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】少ないメモリ容量でもマルウェアの検出を可能にすると共に、マルウェアを検出した場合は該マルウェアによる被害を及ぼす装置動作を制限できるマルウェア対処システム、方法及びプログラムを提供する。
【解決手段】システムコールフック部で検出したシステムコールを契機に第1のマルウェア検出部が簡易的にマルウェアを検出する。第2のマルウェア検出部は、マルウェアの検出処理を実行するための追加ソフトウェア及び第2のデータベースで保存するマルウェアの検出に用いるデータである追加パターンを取得してマルウェアを詳細に検出する。マルウェアが検出されると、第3のデータベースであるセキュリティ制御データベースが変更され、セキュリティ制御部は該第3のデータベースに基づいて装置動作を制御する。
【選択図】図2

Description

本発明は、マルウェアを検出して該マルウェアによる装置の不正動作を無効にするためのマルウェア対処システム、方法及びソフトウェアに関する。
マルウェア対処システムでは、マルウェアに含まれる特徴的なデータ列(以下、パターンデータと称す)をデータベース化し、マルウェアの感染が疑われるファイルとデータベースに格納されたパターンデータとを比較し、それらが一致しているか否かを判定することでマルウェアを検出する。
マルウェアの代表的な検出方法としては、マルウェアの検出に用いる検査用のソフトウェア及び上記データベースを検査対象の装置内に予め格納しておき、該装置がそれらを用いてマルウェアを検出するオフライン型の検出方法と、検査用のソフトウェア及びデータベースを予めサーバ装置に保存しておき、検査対象の装置は、検査実行時にサーバ装置から検査用のソフトウェア及びデータベースをダウンロードし、該装置がそれらを用いてマルウェアを検出するオンライン型の検出方法とがある。検査対象の装置は、マルウェアを検出すると、検出したマルウェアを削除あるいは隔離することでマルウェアによる不正な動作を無効化する。
また、従来のマルウェア対処システムとして、例えば、特許文献1には、携帯電話装置から検査対象のデータをウイルス検出装置に送信し、ウイルス検出装置が携帯電話装置から受信したデータのウイルス感染の有無を検査し、該検査結果を携帯電話装置に返信する構成が記載されている。
また、特許文献2には、サーバ装置が、移動通信端末に関する端末情報に基づいて多数のウイルスのパターンデータのなかから該移動通信端末に適合する特定のパターンデータを抽出し、抽出したパターンデータを該移動通信端末に送信し、移動通信端末はサーバ装置から送信されたパターンデータを用いて自装置のウイルス感染を検査する構成が記載されている。特許文献2に記載された構成では、端末情報に基づいて特定のパターンデータのみ移動通信端末に送信するため、移動通信端末で保持するパターンデータのデータ量を低減できる。
さらに、特許文献3には、コンピュータがファイルを受信すると、ホワイトリストサービスに接続して該ファイルの信頼性レベルを取得し、受信したファイルがマルウェアであるか否かを判定する構成が記載されている。特許文献3では、受信したファイルがマルウェアである場合、既定の手順にしたがって該マルウェアを処理する。ここで、既定の手順にしたがってマルウェアを処理するとは、ファイルの削除、ファイルの隔離またはファイルからのマルウェアの消去を指す。
特開2003−256229号公報 特開2003−216447号公報 特開2006−127497号公報
上述した背景技術のマルウェア対処システムのうち、特許文献1に記載された構成では、携帯電話装置のウイルスを検出するには常にウイルス検出装置と接続している必要があり、例えばウイルス検出装置がネットワークを介して接続される場合、オフラインではマルウェアを検出できない問題がある。
また、特許文献2に記載された構成では、端末情報に基づいて移動通信端末で保持するパターンデータのデータ量を低減しても、ウイルスは膨大に存在するため、移動通信端末は依然として多量のパターンデータを保持する必要がある。移動通信端末は、メモリ容量が限られているため、これら多量のパターンデータを保持するのは困難である。
また、特許文献3に記載された構成では、マルウェアであると確定していない信頼性レベルが低いソフトウェアも隔離されることがあるため、該ソフトウェアによる動作が不能になる問題がある。マルウェア対処システムでは、被害を及ぼすソフトウェアを拒否し、被害を及ぼさないソフトウェアを許可する等、マルウェアの疑いがあるソフトウェアであっても、その受け入れ可否を柔軟に設定できことが望ましい。
本発明は上記したような従来の技術が有する問題点を解決するためになされたものであり、少ないメモリ容量でもマルウェアの検出を可能にすると共に、マルウェアを検出した場合は該マルウェアによる被害を及ぼす装置動作を制限できるマルウェア対処システム、方法及びプログラムを提供することを目的とする。
上記目的を達成するため本発明のマルウェア検出システムは、ソフトウェアがマルウェアであるか否かを検査し、該マルウェアによる装置の不正動作を無効にするためのマルウェア対処システムであって、
前記検査対象となるプロセスが発行するシステムコールをトラップするシステムコールフック部と、
前記システムコールの発行を契機に、第1のデータベースを用いて前記ソフトウェアがマルウェアであるか否かを検出する第1のマルウェア検出部と、
第2のデータベースを用いて前記第1のマルウェア検出部よりも詳細に前記ソフトウェアがマルウェアであるか否かを検出する第2のマルウェア検出部と、
第3のデータベースを用いて前記システムコールによる動作を制限するセキュリティ制御部と、
前記第1のマルウェア検出部または前記第2のマルウェア検出部で前記マルウェアを検出すると、前記第3のデータベースを変更するセキュリティ制御データベース変更部と、
前記第2のマルウェア検出部に前記マルウェアの検出処理を実行させるための追加ソフトウェア及び前記第2のデータベースで保存する前記マルウェアの検出に用いるデータである追加パターンを取得する追加検出部更新部と、
を有する。
また、本発明のマルウェア対処方法は、ソフトウェアがマルウェアであるか否かを検査し、該マルウェアによる装置の不正動作を無効にするためのマルウェア対処方法であって、
前記検査対象となるプロセスが発行するシステムコールをトラップするシステムコールフックステップと、
前記システムコールの発行を契機に、第1のデータベースを用いて前記ソフトウェアがマルウェアであるか否かを検出する第1のマルウェア検出ステップと、
第2のデータベースを用いて前記第1のマルウェア検出ステップよりも詳細に前記ソフトウェアがマルウェアであるか否かを検出する第2のマルウェア検出ステップと、
第3のデータベースを用いて前記システムコールによる動作を制限するセキュリティ制御ステップと、
前記第1のマルウェア検出ステップまたは前記第2のマルウェア検出ステップで前記マルウェアを検出すると、前記第3のデータベースを変更するセキュリティ制御データベース変更ステップと、
前記第2のマルウェア検出ステップに前記マルウェアの検出処理を実行させる追加ソフトウェア及び前記第2のデータベースで保存する前記マルウェアの検出に用いるデータである追加パターンを取得する追加検出部更新ステップと、
を有する。
また、本発明のプログラムは、ソフトウェアがマルウェアであるか否かを検査し、該マルウェアによる装置の不正動作を無効にするための処理をコンピュータに実行させるためのプログラムであって、
前記検査対象となるプロセスが発行するシステムコールをトラップするシステムコールフックステップと、
前記システムコールの発行を契機に、第1のデータベースを用いて前記ソフトウェアがマルウェアであるか否かを検出する第1のマルウェア検出ステップと、
第2のデータベースを用いて前記第1のマルウェア検出ステップよりも詳細に前記ソフトウェアがマルウェアであるか否かを検出する第2のマルウェア検出ステップと、
第3のデータベースを用いて前記システムコールによる動作を制限するセキュリティ制御ステップと、
前記第1のマルウェア検出ステップまたは前記第2のマルウェア検出ステップで前記マルウェアを検出すると、前記第3のデータベースを変更するセキュリティ制御データベース変更ステップと、
前記第2のマルウェア検出ステップに前記マルウェアの検出処理を実行させる追加ソフトウェア及び前記第2のデータベースで保存する前記マルウェアの検出に用いるデータである追加パターンを取得する追加検出部更新ステップと、
をコンピュータに実行させるためのものである。
本発明によれば、少ないメモリ容量でもマルウェアの検出を可能にすると共に、マルウェアを検出した場合は該マルウェアによる被害を及ぼす装置動作を制限できる。
次に本発明について図面を用いて説明する。
(第1の実施の形態)
図1はマルウェア対処システムを適用する通信システムの一構成例を示すブロック図である。
図1に示す通信システムは、通信端末装置1及びサーバ装置2を備えた構成である。通信端末装置1とサーバ装置2とはネットワーク3を介して接続されている。
通信端末装置1は、演算処理を行うCPU(中央演算処理ユニット)部101、CPU部101の演算処理で必要なプログラムやデータを一時的に保持するメモリ部102、電源が供給されていないときでもプログラムやデータを保存できるストレージ部103、CPU部101に本発明のマルウェア対処方法を実行されるためのプログラムが記録された記録媒体107、通信端末装置1のユーザが情報や指示を入力するためのキーボード等から成る入力部104、ユーザにCPU部101の処理結果を示すための表示部105及びサーバ装置2や他の通信端末装置とデータを送受信するための通信部106を備えている。
CPU部101は、記録媒体107に格納されたプログラムを読み出し、後述する本発明のマルウェア対処方法の処理を実行する。記録媒体107は、磁気ディスク、半導体メモリ、光ディスクあるいはその他の記録媒体であってもよい。
サーバ装置2は、CPU部201、メモリ部202、ストレージ部203、記録媒体207、入力部204、表示部205及び通信部206を備えている。サーバ装置2は、メモリ部202、ストレージ部203及び記録媒体207に格納されるプログラムやデータが異なり、かつCPU部201の動作が異なることを除けば、通信端末装置1と同様の構成である。
図1に示した通信端末装置1は、後述する第1の実施の形態及び第2の実施の形態並びに第1実施例〜第4実施例で示す通信端末装置やPDAの実現例を示している。
図2は第1の実施の形態のマルウェア対処システムの構成を示すブロック図である。
図2に示すように、通信端末装置1は、マルウェアの検出対象であるソフトウェア(アプリケーションプログラム等)が格納されたプログラムファイル113、プログラムファイル113に格納されたソフトウェアをプロセスとして起動するプロセス起動部112、プログラムファイル113に格納されたソフトウェアによる処理の実行対象である制御対象オブジェクト114、通信端末装置1のOS部111、OS部111に含まれる、後述するセキュリティ制御DB(Data Base)1113の内容を変更するセキュリティ制御DB変更部115、マルウェアの有無を詳細に検査するための検査用の追加ソフトウェア(以下、単に追加ソフトウェアと称す)やパターンデータ等をダウンロードする追加検出部更新部116及び制御対象オブジェクト114のダミーである(制御対象オブジェクト114を模擬する)ダミーオブジェクト119を備えている。
OS部111は、プロセス起動部112で起動するソフトウェアや起動済みプロセス117により発行されるシステムコールをトラップするシステムコールフック部1111、所定の制御ルールにしたがって各プロセスの動作を制限するセキュリティ制御部1112、セキュリティ制御部1112で用いる制御ルールが格納されるセキュリティ制御DB1113、マルウェアを簡易な手法で検出するマルウェア検出部1114、マルウェアのパターンデータが格納される検出パターンDB1115、マルウェア検出部1114で誤ってマルウェアであると検出されたソフトウェアあるいはマルウェア検出部1114で検出できないマルウェアを詳細な手法で検出するマルウェア追加検出部1116、マルウェアの詳細なパターンデータ等が格納される追加検出パターンDB1117及びダミーオブジェクト119を作成するダミー作成部1118を備えている。
図2に示す各装置は、概略、以下のように動作する。
プロセス起動部112によってプログラムファイル113内の所要のプロセスの起動が要求されると、システムコールフック部1111は該プロセス起動時に発行されるシステムコールを検出する。
セキュリティ制御部1112は、システムコールフック部1111からシステムコールの検出が通知されると、セキュリティ制御DB1113に格納された制御ルールに基づいて起動するプロセスの動作を制限する。このとき、単純に動作を制限すると、例えば制御対象オブジェクト114からのデータの読み出し動作を禁止すると、動作禁止に起因するエラーが発行されるため、該当プロセスが動作不能になる可能性が高い。
そこで、ダミー作成部1118は、プロセスによりアクセスする制御対象オブジェクト114を模擬するダミーオブジェクト119を作成する。セキュリティ制御部1112は、起動するソフトウェアのマルウェアの検出処理が終了するまで、ダミーオブジェクト119に該プロセスがアクセスするよう、リンク先を書き換える。
一方、マルウェア検出部1114は、システムコールフック部1111から通知されるシステムコールを契機に検出パターンDB1115に格納されたパターンデータを用いて、起動するソフトウェアがマルウェアであるか否かを検出する。マルウェア検出部1114は、マルウェアを検出した場合、セキュリティ制御DB変更部115にマルウェアの検出を通知し、セキュリティ制御DB変更部115は、マルウェアの被害を防止するようにセキュリティ制御DB1113に格納された制御ルールを変更する。さらに、マルウェア検出部1114は、マルウェアの検出状態を示すマルウェア検出フラグを当該ソフトウェアに付与する。
マルウェア検出部1114は、メモリ容量やパターンデータを格納するストレージ容量が比較的少ない通信端末装置1でもマルウェアを検出できるように、簡易なパターンデータを用いた検出処理(以下、簡易検出と称す)を実行する。
なお、マルウェアを、簡易なパターンデータ、例えばパターンデータの一部のみを用いて検出すると、パターンデータ全体を用いて検出するよりも一致する割合が増加するため、マルウェアでないソフトウェアもマルウェアと判断することが予想される。
そこで、本実施形態では、起動済みプロセス117によってシステムコールが発行された場合もマルウェア追加検出部1116によりマルウェアの詳細な検出を実行する。このとき、システムコールフック部1111は、マルウェアによる被害の拡大要因と考えられる種類のシステムコール、例えば通信関連のシステムコールやファイル制御関連のシステムコール等を検出する。
マルウェア追加検出部1116は、システムコールフック部1111からシステムコールの検出が通知されたマルウェア検出部1114によって起動される。
マルウェア追加検出部1116は、マルウェアの詳細な検出に用いる追加ソフトウェアを、追加検出部更新部116を介してサーバ装置2からダウンロードすると共に、マルウェアのパターンデータやマルウェアによる装置動作の特徴を示す情報を含む追加パターンを追加検出パターンDB1117へダウンロードし、ダウンロードした追加パターンを用いてマルウェアを検出する(以下、詳細検出と称す)。
マルウェア追加検出部1116は、マルウェアを検出すると、マルウェア検出部1114にその旨を通知し、マルウェア検出部1114は、セキュリティ制御DB変更部115にマルウェアの検出を通知する。その後の動作はプロセスの起動時と同様である。
マルウェア追加検出部1116による詳細検出は、通信端末装置1の電池残量が多い場合、通信端末装置1がAC電源に接続されている場合、通信端末装置1がオンラインで動作している場合、あるいは通信端末装置1が待機(アイドル)状態のときに実行することが考えられる。
さらに、プロセスの起動時にマルウェア検出部1114によってマルウェアと判定されたソフトウェアが、マルウェア追加検出部1116によってマルウェアではないと判定された場合、マルウェア検出フラグに当該ソフトウェアが非マルウェアであることを示す値が付与される。この場合、マルウェア検出部1114は、該マルウェア検出フラグを確認すれば、マルウェアでないソフトウェアをプロセス起動毎に誤ってマルウェアであると検出する誤検出を回避できる。
セキュリティDB変更部115は、マルウェア検出部1114からのマルウェアの検出通知、あるいはマルウェア検出部1114による誤検出の通知を受け取ると、セキュリティ制御DB1113に格納された制御ルールを変更する。
次に、第1の実施の形態のマルウェア対処システムの処理手順について図3及び図4を用いて説明する。
図3は第1の実施の形態のマルウェア対処方法の処理手順を示すフローチャートであり、図4は図3に示したステップA9で実行するマルウェアの詳細検出の処理手順を示すシーケンス図である。
なお、以下に示すOS部111、プロセス起動部112、セキュリティ制御DB変更部115及び追加検出部更新部116の処理は、図1に示した通信端末装置1が備えるCPU部101により実現されるものとする。
図3に示すように、OS部111は、プロセス起動部112からプログラムファイル113の起動要求が発行されると(ステップA1)、システムコールフック部1111により該プロセスの起動で発行されるシステムコールをトラップし、該システムコールの検出をマルウェア検出部1114へ通知する。
マルウェア検出部1114は、システムコールフック部1111からシステムコールの検出が通知されると、検出パターンDB1115に格納されたマルウェアのパターンデータと起動が要求されたソフトウェアとを比較し、マルウェアの簡易検出を実行する(ステップA2)。
次に、OS部111は、マルウェア検出部1114がマルウェアを検出したか否かを判定し(ステップA3)、マルウェア検出部1114がマルウェアを検出した場合は、起動が要求されたソフトウェアのマルウェア検出フラグをON(ステップA4)にし、セキュリティ制御DB変更部115によりセキュリティ制御DB1113を変更すると共にダミー作成部1118によりダミーオブジェクト119を作成する(ステップA5)。ステップA4及びA5の処理はどちらを先に実行してもよい。ここで、セキュリティ制御DB1113の変更内容としては、起動が要求されたプロセスが制御対象オブジェクト114へアクセスする際に、該制御対象オブジェクト114に代わってダミーオブジェクト119へアクセスするように変更すること、またはアクセスを抑制することが考えられる。
セキュリティ制御DB1113の変更が終了すると、プロセス起動部112はセキュリティ制御部1112の動作制御にしたがって要求されたプロセスを起動する(ステップA6)。セキュリティ制御部1112は、セキュリティ制御DB1113に格納された制御ルールにしたがってアクセス制御やリソース量制御等の、通信端末装置1を安定して動作させるための制御を実行する。
ステップA3の処理でマルウェア検出部1114がマルウェアを検出しなかった場合、プロセス起動部112は、セキュリティ制御部1112の動作制御にしたがって要求されたプロセスを起動する(ステップA6)。
次に、OS部111は、プロセス起動部112で起動した起動済みプロセス117のマルウェア検出フラグがONであるか否かを判定し(ステップA7)、マルウェア検出フラグがONである場合、マルウェア追加検出部1116により起動済みプロセス117に対してマルウェアの詳細検出を実行する(ステップA9)。マルウェア検出フラグがOFFである場合、OS部111は、例えば通信端末装置1が待機(アイドル)状態にあるか否かを判定し(ステップA8)、通信端末装置1が待機(アイドル)状態になった時点でステップA9の処理に移行し、マルウェアの詳細検出を実行する。
OS部111は、マルウェア追加検出部1116がマルウェアを検出したか否かを判定し(ステップA10)、マルウェア追加検出部1116がマルウェアを検出した場合は起動済みプロセス117のマルウェア検出フラグがONであるか否かを確認する(ステップA14)。起動済みプロセス117のマルウェア検出フラグがONの場合、OS部111はマルウェアの検出処理を終了する(ステップA17)。起動済みプロセス117のマルウェア検出フラグがOFFの場合、OS部111は、セキュリティ制御DB変更部115にセキュリティ制御DB1113を変更させた後(ステップA16)、マルウェアの検出処理を終了する(ステップA17)。
また、OS部111は、ステップA10の処理にてマルウェア追加検出部1116がマルウェアを検出しなかった場合、起動済みプロセス117のマルウェア検出フラグがONであるか否かを判定する(ステップA15)。起動済みプロセス117のマルウェア検出フラグがONの場合、OS部111はマルウェアの検出処理を終了する(ステップA17)。起動済みプロセス117のマルウェア検出フラグがOFFの場合、OS部111は、セキュリティ制御DB変更部115にセキュリティ制御DB1113を変更させた後(ステップA16)、マルウェアの検出処理を終了する(ステップA17)。
次に上述したステップA9にて実行するマルウェアの詳細検出の処理手順について図4を用いて説明する。
マルウェアの詳細検出を実行する場合、図4に示すように、通信端末装置1は、まずサーバ装置2にマルウェアの詳細検出で用いる追加ソフトウェアを要求する(ステップB1)。サーバ装置2は、該追加ソフトウェアの要求を受け取ると、通信端末装置1の種類に対応する、マルウェアの詳細検出で用いる追加ソフトウェアを送信する(ステップB2)。通信端末装置1の種類は、通信端末装置1による追加ソフトウェアの要求時に、該通信端末装置1の端末情報も併せて送信させることで判別できる。
次に、通信端末装置1は、サーバ装置2にマルウェアの詳細検出で用いる、マルウェアの追加パターンを要求する(ステップB3)。サーバ装置2は、該パターンデータの要求を受け取ると、マルウェアの追加パターンを通信端末装置1に送信する(ステップB4)。
本実施形態によれば、検出パターンDB1115(第1のデータベース)を用いてソフトウェアがマルウェアであるか否かを検出するマルウェア検出部(第1のマルウェア検出部)1114と、追加検出パターンDB(第2のデータベース)1117を用いてマルウェア検出部1114よりも詳細にソフトウェアがマルウェアであるか否かを検出するマルウェア追加検出部(第2のマルウェア検出部)1116とを備えることで、マルウェア検出部1114はメモリ容量が比較的少なくて済む簡易なパターンデータを用いてマルウェアを検出できる。そのため、通信端末装置1は、少ないメモリ容量でもマルウェアを検出することができる。
また、ソフトウェアの起動時は検出パターンDB1115を用いてマルウェアを検出し、ネットワークへの接続時は追加検出パターンDB1117を用いてマルウェアをより詳細に検出するため、通信端末装置1をスタンドアロンあるいはネットワークに接続した状態のどちらでもマルウェアを検出できる。
また、ソフトウェアの起動時は簡易検出のみを実行し、通信端末装置1が待機状態等にある場合にマルウェアの詳細検出を実行するため、他のプロセスの動作パフォーマンスを低下させることなくマルウェアを検出できる。そのため、電池で動作する通信端末装置1に適したマルウェア検出が実行できる。
また、マルウェアの疑いのあるソフトウェアが検出された場合、該ソフトウェアによるプロセスでは制御対象オブジェクト114に代わってダミーオブジェクト119へアクセスさせるため、ダミーオブジェクト119以外へのマルウェアの感染を防止することが可能であり、マルウェアの削除や隔離を行わずにマルウェアによる被害を及ぼす装置動作を制限できる。
また、セキュリティ制御部1112により、予め指定したプロセス以外はダミーオブジェクト119へのアクセスを禁止するようにセキュリティ制御DB1113を設定しておけば、マルウェアに感染する可能性があるダミーオブジェクト119を他のプロセスが誤って利用するといった事態を避けることが可能である。
さらに、マルウェアの疑いのあるソフトウェアが検出された場合、ダミーオジェクト119にアクセスするようにリンク先を書き換えることで、制御対象オブジェクト114へのアクセスを禁止することによる動作の停止が発生しない。そのため、検査対象のソフトウェアの動作を停止させることなく、被害が拡大しない範囲内で該ソフトウェアを実行させることができる。
(第2の実施の形態)
次に第2の実施の形態のマルウェア対処システムについて図面を用いて説明する。
図5は第2の実施の形態のマルウェア対処システムの構成を示すブロック図である。
図5に示すように、第2の実施の形態のマルウェア対処システムは、第1の実施の形態で示した通信端末装置1に分割取得部118を追加した構成である。
分割取得部118は、サーバ装置1に格納された、マルウェアの詳細検出で用いる追加ソフトウェアや追加パターンを、通信端末装置1のCPU能力やメモリ容量に応じて分割してダウンロードするためのものである。その他の構成は第1の実施の形態と同様であるため、その説明は省略する。
図6は第2の実施の形態のマルウェア対処方法の処理手順を示すフローチャートである。図7及び図8は図6に示したマルウェア対処方法に含まれる詳細検出時の処理手順を示すシーケンス図である。
図6に示すステップA1からステップA9までの処理は、図3に示した第1の実施の形態のステップA1からステップA9までの処理と同様である。したがって、ここではステップA1からステップA9までの処理の説明を省略する。
図6において、プロセス起動部112が起動した起動済みプロセス117に対してマルウェア追加検出部1116がマルウェアの詳細検出を開始すると、OS部111は、マルウェア追加検出部1116がマルウェアを検出したか否かを判定する(ステップA10)。マルウェア追加検出部1116がマルウェアを検出した場合、OS部111は、起動済みプロセス117のマルウェア検出フラグがONであるか否かを確認する(ステップA14)。起動済みプロセス117のマルウェア検出フラグがONの場合、OS部111は、分割してダウンロードした追加ソフトウェアに残りがあるか否かを判定する(ステップA18)。残りの追加ソフトウェアがある場合、該追加ソフトウェアのダウンロードを分割取得部118に要求する(ステップA20)。
OS部111は、残りの追加ソフトウェアを取得すると(ステップA19)、ステップA9の処理に戻って起動済みプロセス117に対してマルウェア追加検出部1116によりマルウェアの詳細検出を再度実行する。
ステップA14の処理で起動済みプロセス117のマルウェア検出フラグがOFFである場合、OS部111は、セキュリティ制御DB変更部115にセキュリティ制御DB1113を変更させた後(ステップA16)、分割してダウンロードした追加ソフトウェアに残りがあるか否かを判定する(ステップA18)。
一方、ステップA10の処理でマルウェア追加検出部1116がマルウェアを検出しなかった場合、OS部111は、サーバ装置2に予め格納された全ての追加パターンを用いて詳細検出を実行したか否かを判定する(ステップA11)。
全ての追加パターンを用いたマルウェアの詳細検出が終了している場合は、起動済みプロセス117のマルウェア検出フラグがONであるか否かを確認し(ステップA15)、該マルウェア検出フラグがONの場合、OS部111は、セキュリティ制御DB変更部115にセキュリティ制御DB1113を変更させた後(ステップA16)、分割してダウンロードした追加ソフトウェアに残りがあるか否かを判定する(ステップA18)。
ステップA15の処理で起動済みプロセス117のマルウェア検出フラグがOFFの場合、OS部111は、分割してダウンロードした追加ソフトウェアに残りがあるか否かを判定する(ステップA18)。
ステップA11の処理でサーバ装置2に予め格納された全ての追加パターンを用いたマルウェアの詳細検出が完了していな場合は、残りの追加パターンのダウンロードを分割取得部118に要求する(ステップA12)。
OS部111は、残りの追加パターンを取得すると(ステップA13)、ステップA9の処理に戻って起動済みプロセス117に対しマルウェア追加検出部1116によりマルウェアの詳細検出を再度実行する。
ステップA18の処理で、残りの追加ソフトウェアが無い場合、マルウェアの検出処理を終了する(ステップA17)。
次に上述したステップA12にて残りの追加パターンを要求する場合の処理手順について図7を用いて説明する。
ステップA12にて追加パターンを要求する場合、図7に示すように、通信端末装置1は、まずサーバ装置2にマルウェアの詳細検出で用いる追加パターンを要求する(ステップC1)。サーバ装置2は、通信端末装置1から追加パターンの要求を受け取ると、分割した追加パターンを送信する(ステップC2)。
通信端末装置1は、全ての追加パターンの取得が完了していない場合、再度サーバ装置2に追加パターンを要求し(ステップC3)、サーバ装置2は分割した追加パターンを通信端末装置1に送信する(ステップC4)。
通信端末装置1は、全ての追加パターンを取得した場合(ステップC5)、処理を処理する。
次に上述したステップA20にて残りの追加ソフトウェアを要求する場合の処理手順について図8を用いて説明する。
ステップA20にて追加ソフトウェアを要求する場合、図8に示すように、通信端末装置1は、まずサーバ装置2にマルウェアの詳細検出で用いる追加ソフトウェアを要求する(ステップD1)。サーバ装置2は、通信端末装置1から追加ソフトウェアの要求を受け取ると、分割した追加ソフトウェアを送信する(ステップD2)。
通信端末装置1は、残りの追加ソフトウェアの取得が完了していない場合、再度サーバ装置2に追加ソフトウェアを要求し(ステップD3)、サーバ装置2は分割した追加ソフトウェアを通信端末装置1に送信する(ステップD4)。
通信端末装置1は、全ての追加ソフトウェアを取得した場合(ステップC5)、処理を処理する。
第2の実施の形態によれば、マルウェアの詳細検出で用いる追加ソフトウェア及び追加パターンを分割して取得するため、追加ソフトウェアや追加パターンのデータ量が多く、全ての追加ソフトウェアや追加パターンを通信端末装置1に格納できない場合でも、マルウェアの詳細検出を実行できる。
(実施例)
次に本発明の実施例について図面を用いて説明する。
(第1実施例)
図9は第1実施例のマルウェア対処システムの構成を示すブロック図である。
図9に示すように、第1実施例は、図2や図5に示した通信端末装置1として、無線LANに接続可能なPDA(Personal Digital Assistants)を用いる例である。
図9に示すように、PDA1aは、OS部111a、モジュール部118a、アプリケーションランチャー112a、アクセス制御DB変更部115a、詳細検出部ダウンロード部116a、プログラムファイル113a、制御対象オブジェクト114a、ハードウェア部120a及びダミーオブジェクト119bを備えている。
ハードウェア部120aは、入力デバイス、表示デバイス、通信デバイス等のプログラムファイル113aに格納されたアプリケーションプログラム(以下、単にアプリケーションと称す)によって動作する装置である。
制御対象オブジェクト114aは、ハードウェア部120aが備える各装置を動作させるデバイスドライバ及びハードウェア部120aが備える各装置で用いるデータが格納されるデータファイルを備えている。
ダミーオブジェクト119bは、制御対象オブジェクト114aが備えるデバイスドライバのダミーであるダミーデバイスドライバ及びデータファイルのダミーであるダミーデータファイルを備えている。
OS部111aは、システムコールフック部1111aを備え、例えばLinuxで動作する。
システムコールフック部1111aは、アプリケーションの起動を指示するシステムコール、プログラムファイル113aへのアクセス(データの読み出しや書き込み)、通信に用いるソケットの生成等、プログラムファイル113aに格納されたアプリケーションのプロセスが発行する各種のシステムコールをトラップする。
アプリケーションランチャー112aは、プログラムファイル113aに格納された所要のアプリケーションを起動する。
モジュール部119aは、アクセス制御部1112a、アクセス制御DB1113a、マルウェア簡易検出部1114a、簡易検出パターンDB1115a、マルウェア詳細検出部1116a、詳細検出パターンDB1117a及びダミー作成部1118aを備え、システムコールフック部1111aでトラップされたシステムコールをトリガにマルウェアの検出処理やマルウェアによる装置動作を制限する。
アクセス制御部1112aは、システムコール部1111aがトラップしたシステムコールを基に、アクセス制御DB1113aに格納された制御ルールにしたがってアプリケーションによる制御対象オブジェクト114aへのアクセスを制限する。
アクセス制御DB1113aは、アクセス制御部1112aの動作制御に用いる制御ルールを保存する。
簡易検出パターンDB1115aは、マルウェアの簡易検出で用いる、マルウェアのパターンデータを保存する。
マルウェア簡易検出部1114aは、システムコール部1111aがトラップしたシステムコールを基にマルウェアの簡易検出を実行する。
詳細検出パターンDB1117aは、マルウェアの詳細検出で用いる、追加パターンを保存する。
マルウェア詳細検出部1116aは、詳細検出パターンDB1117aで保存されたマルウェアの追加パターンを用いてマルウェアの詳細検出を実行する。
アクセス制御DB変更部115aは、マルウェアによる装置の不正動作や被害の拡大動作を制限するようにアクセス制御DB1113aに格納された制御ルールを変更する。また、アクセス制御DB変更部115aは、マルウェア簡易検出部1114aの判定結果がマルウェア詳細検出部1116aの詳細検出によって誤りであると判明した場合、アクセス制御DB1113aに格納された制御ルールを変更前の状態に戻す。
詳細検出部ダウンロード部116aは、マルウェアの詳細検出で用いる追加ソフトウェアや追加パターンをサーバ装置2aから取得する。
ダミー作成部1118aは、アプリケーションによるプロセスで制御対象オブジェクト114aに代わってアクセスさせる、ダミーオブジェクト119bを作成する。
次に、図10を用いて本実施例の動作について説明する。
図10は第1実施例のマルウェア対処方法の処理手順を示すフローチャートである。図11は図9に示した簡易検出パターンDBの一構成例を示す模式図であり、図12は図9に示した詳細検出パターンDBの一構成例を示す模式図である。
アプリケーションランチャー112aは、プログラムファイル113aに格納されたアプリケーションを実行領域にロードし、execシステムコールを発行することでロードしたアプリケーションを起動する(ステップE1)。
OS部111aは、システムコールフック部1111aによりexecシステムコールをトラップし、マルウェア簡易検出部1114aにexecシステムコールの発行を通知する。
マルウェア簡易検出部1114aは、execシステムコールの発行をトリガにして、起動するアプリケーションと簡易検出パターンDB1113aに保存されたパターンデータとを比較し(ステップE2)、該アプリケーションにマルウェアが存在するか否かを検出する(ステップE3)。このとき、マルウェア簡易検出部1114aは、マルウェアを、その名称順に検出してもよく、危険度の高いものから順に検出してもよい。簡易パターンDB1113aは、例えば図11に示すように、マルウェアの名称と、該マルウェアの危険度及びショートパターンとが関連付けられて保存される。なお、ショートパターンとは、マルウェアのパターンデータの一部を取り出した、該マルウェアの簡易検出で用いるパターンデータである。
マルウェア簡易検出部1114aは、マルウェアを検出すると、起動するアプリケーションのマルウェア検出フラグをONにし(ステップE4)、アクセス制御DB変更部115aにマルウェアの検出を通知する。
アクセス制御DB変更部115aは、マルウェアが検出されたアプリケーションの動作制御を行うようにアクセス制御DB1113aを変更する(ステップE5)。ここで、動作制御とは、マルウェアによる不正動作で発行されるシステムコールの実行を制御することである。例えば、マルウェアと判定されたアプリケーションによるシステムファイルまたはその関連ファイルへの書き出し時における書き込み対象オブジェクトをダミーファイルへ変更することや通信ポートの利用制限等がある。
アプリケーションランチャー112aは、アクセス制御DB1113aが変更されると、要求されたアプリケーションを起動する(ステップE6)。
アプリケーションが起動すると、システムコールフック部1111aは、起動済アプリケーション117aのプロセスが発行するシステムコールのうち、マルウェアの不正動作に関連するもの、例えばプログラムファイル113aへのアクセス(データのライトやリード)、あるいはネットワークへのアクセスに伴うソケットの生成や送信等をトラップし、マルウェア簡易検出部1114aに通知する。
マルウェア簡易検出部1114aは、トラップされたシステムコールがマルウェアの不正動作に関係するものである場合、対応する起動済アプリケーション117aのマルウェア検出フラグがONであるか否かを判定し(ステップE7)、マルウェア検出フラグがONの場合、マルウェア詳細検出部1116aを起動してマルウェアの詳細検出を行う(ステップE9)。マルウェア検出フラグがOFFである場合は、例えばPDA1aが待機(アイドル)状態にあるか否かを判定し(ステップE8)、PDA1aが待機(アイドル)状態になった時点でステップE9に移行し、マルウェアの詳細検出を実行する。
マルウェア詳細検出部1116aは、詳細検出パターンDB1117aに格納された追加パターンを用いて起動済みアプリケーション117aにマルウェアが存在するか否かを判定する(ステップE10)。
PDA1aのメモリ容量やストレージ容量が少なく、マルウェアの詳細検出で用いる追加ソフトウェアや追加パターンをPDA1aで全て保存できない場合、マルウェア詳細検出部1116aは該追加ソフトウェアや追加パターンをそれぞれ分割してサーバ装置2aから取得し、詳細検出の処理を複数回に分けて実行する。その場合、PDA1aは、追加ソフトウェアの一部と追加パターンの一部とをサーバ装置2aから取得し、それらをマルウェア詳細検出部1116a及び詳細検出パターンDB1117aに一時的に格納してマルウェアの詳細検出を行う。このとき、マルウェア詳細検出部1116aは、マルウェアを、その名称順に検出してもよく、危険度の高いものから順に検出してもよい。詳細検出パターンDB1117aは、例えば図12に示すように、マルウェアの名称と、該マルウェアの危険度及びロングパターンとが関連付けられて保存される。なお、ロングパターンとは、マルウェアのパターンデータそのものを指す。
メモリ容量やストレージ容量に余裕がある場合、PDA1aは、サーバ装置2aから取得した全ての追加ソフトウェアや追加パターンを保存してもよい。
マルウェア詳細検出部1116aは、マルウェアの詳細検出に用いる追加ソフトウェアをサーバ装置2aから取得することで、パターンデータを用いた検出処理だけでなく、マルウェアによって装置が動作するパターンに基づいてマルウェアであるか否かを判断できる。
ステップE10の処理でマルウェアを検出した場合、マルウェア詳細検出部1116aは、起動済アプリケーション117aのマルウェア検出フラグがONであるか否かを判定し(ステップE14)、マルウェア検出フラグがONの場合は、既にマルウェアによる動作を制限するようアクセス制御DB1113aが変更されているため、詳細検出に用いる残りの追加ソフトウェアが存在するか否かを確認する(ステップE18)。残りの追加ソフトウェアが存在する場合、マルウェア詳細検出部1116aは、該追加ソフトウェアをサーバ装置2aに要求する(ステップE20)。
サーバ装置2aは、追加ソフトウェアをPDA1aから要求されると、残りの追加ソフトウェアをPDA1aに送信する。
PDA1aは、サーバ装置2aから追加ソフトウェアを取得すると(ステップE19)、取得した追加ソフトウェアにしたがってマルウェアの詳細検出を再び実行する(ステップE9)。
ステップE14の処理にてマルウェア検出フラグがOFFの場合、OS部111aは、マルウェアが検出されたアプリケーションによる動作を制限できるようにアクセス制御DB変更部115aにアクセス制御DB1113aを変更させる(ステップE16)。
ステップE10の処理にてマルウェアを検出しなかった場合、マルウェア詳細検出部1116aは、追加パターンの全てを用いた詳細検出が終了しているか否かを判定する(ステップE11)。
追加パターンの全てを用いた詳細検出が終了している場合、マルウェア詳細検出部1116aは、起動済アプリケーション117aに付与されたマルウェア検出フラグがONであるか否かを判定し(ステップE15)、マルウェア検出フラグがONの場合は、マルウェア簡易検出部1114aによる簡易検出の結果が誤っていたと判断し、アクセス制御DB1113aに格納された制御ルールをマルウェア簡易検出部1114aによる変更前の状態に戻す(ステップE16)。
追加パターンの全てを用いた詳細検出が終了していない場合、マルウェア詳細検出部1116aは追加パターンをサーバ装置2aに要求する(ステップE12)。マルウェア詳細検出部1116aは、サーバ装置2aから追加パターンを取得すると(ステップE13)、取得した追加パターンを用いてマルウェアの詳細検出を再び実行する(ステップE9)。
ステップE15の処理にて起動済アプリケーション117aのマルウェア検出フラグがOFFである場合、マルウェア詳細検出部1116aは、詳細検出に用いる残りの追加ソフトウェアが存在するか否かを確認する(ステップE18)。
残りの追加ソフトウェアが存在しない場合、モジュール118aはマルウェアの検出処理を完了する(ステップE17)。
(第2実施例)
次に第2実施例のマルウェア対処システムについて説明する。
第2実施例のマルウェア対処システムの構成は、図9に示した第1実施例と同様であるため、その説明は省略する。
第2実施例の通信端末装置は、例えばビルトインソフトウェアなど、通信端末装置を開発したメーカによって十分に検証されたアプリケーション、ROM(リード・オンリー・メモリ)等の書き換え不能な記憶装置に書き込まれたアプリケーション、あるいはインストールされたアプリケーションの改竄の有無を検証するシステムに組み込まれたアプリケーションのように、マルウェアではないことが明らかなアプリケーションに対して、予めマルウェアではないことを示すフラグを付与する。
このようなフラグを設定することで、マルウェア簡易検出部1114aは、該フラグを確認するだけで、検査対象のアプリケーションをマルウェアではないと判定できる。
本実施例によれば、マルウェア簡易検出部1114aによるマルウェアの誤検出を低減できる。
(第3実施例)
次に第3実施例のマルウェア対処システムについて説明する。
第3実施例のマルウェア対処システムの構成は、図9に示した第1実施例と同様であるため、その説明は省略する。
第3実施例の通信端末装置は、マルウェア詳細検出部1116aが全てのアプリケーションを検査するのではなく、マルウェア簡易検出部1114aでマルウェアが検出されたアプリケーションのみを再検査する。
このようにすることで、全てのアプリケーションを詳細に検査する場合と比較して、検査対象となるアプリケーション数を低減できるため、マルウェアの検査時間を低減できる。
(第4実施例)
次に第4実施例のマルウェア対処システムについて説明する。
図13は第4実施例のマルウェア対処システムの構成を示すブロック図である。
図13に示すように、第4実施例は、図9に示した第1実施例のPDA1aに即時利用入力部121を追加した構成である。その他の構成は第1実施例と同様であるため、その説明は省略する。
上述したように、マルウェア簡易検出部1114aは、簡易なパターンデータを用いてマルウェアを検出するため、マルウェアではないアプリケーションもマルウェアであると判定する場合がある。一方、マルウェアではないアプリケーションは、アクセス制御部1112aにより動作を制限されることなく、直ぐに利用できることがPDA1aを利用するユーザにとって望ましい。
例えば、ユーザが詳細検出を実行することによる電力消費等を許可し、アプリケーションの即時利用を要求した場合、即時利用入力部121は、マルウェア簡易検出部1114bに対してマルウェアの詳細検出を行うよう要求する。
マルウェア簡易検出部1114bは、即時利用入力部121から即時利用が要求されると、マルウェア詳細検出部1116bを起動する。その場合、マルウェア詳細検出部1116bは、PDA1aのAC電源への接続時や待機(アイドル)状態等を待つことなく直ちにマルウェアの詳細検出を実行する。
したがって、マルウェアと疑われるアプリケーションに対するマルウェアの詳細検出を直ぐに実行し、マルウェアでないことが判明すれば、ユーザは該アプリケーションを直ぐに利用できる。
マルウェア対処システムを適用する通信システムの一構成例を示すブロック図である。 第1の実施の形態のマルウェア対処システムの構成を示すブロック図である。 第1の実施の形態のマルウェア対処方法の処理手順を示すフローチャートである。 図3に示したステップA9で実行するマルウェアの詳細検出の処理手順を示すシーケンス図である。 第2の実施の形態のマルウェア対処システムの構成を示すブロック図である。 第2の実施の形態のマルウェア対処方法の処理手順を示すフローチャートである。 図6に示したステップA9で実行するマルウェアの詳細検出の処理手順を示すシーケンス図である。 図6に示したステップA9で実行するマルウェアの詳細検出の処理手順を示すシーケンス図である。 第1実施例のマルウェア対処システムの構成を示すブロック図である。 第1実施例のマルウェア対処方法の処理手順を示すフローチャートである。 図9に示した簡易検出パターンDBの一構成例を示す模式図である。 図9に示した詳細検出パターンDBの一構成例を示す模式図である。 第4実施例のマルウェア対処システムの構成を示すブロック図である。
符号の説明
1 通信端末装置
2 サーバ装置
3 ネットワーク
101、201 CPU部
102、202 メモリ部
103、203 ストレージ部
104、204 入力部
105、205 表示部
106、206 通信部
107、207 記録媒体
111、111a OS部
112 プロセス起動部
112a アプリケーションランチャー
113、113a プログラムファイル
114、114a 制御対象オブジェクト
115 セキュリティ制御DB変更部
115a アクセス制御DB変更部
116 追加検出部更新部
116a 追加検出部ダウンロード部
118 分割取得部
119、119b ダミーオブジェクト
119a モジュール部
121 即時入力部
1111、1111a システムコールフック部
1112 セキュリティ制御部
1112a アクセス制御部
1113 セキュリティ制御DB
1113a アクセス制御DB
1114 マルウェア検出部
1114a マルウェア簡易検出部
1115 検出パターンDB
1115a 簡易検出パターンDB
1116 マルウェア追加検出部
1116a マルウェア詳細検出部
1117 追加検出パターンDB
1117a 詳細検出パターンDB
1118、1118a ダミー作成部

Claims (29)

  1. ソフトウェアがマルウェアであるか否かを検査し、該マルウェアによる装置の不正動作を無効にするためのマルウェア対処システムであって、
    前記検査対象となるプロセスが発行するシステムコールをトラップするシステムコールフック部と、
    前記システムコールの発行を契機に、第1のデータベースを用いて前記ソフトウェアがマルウェアであるか否かを検出する第1のマルウェア検出部と、
    第2のデータベースを用いて前記第1のマルウェア検出部よりも詳細に前記ソフトウェアがマルウェアであるか否かを検出する第2のマルウェア検出部と、
    第3のデータベースを用いて前記システムコールによる動作を制限するセキュリティ制御部と、
    前記第1のマルウェア検出部または前記第2のマルウェア検出部で前記マルウェアを検出すると、前記第3のデータベースを変更するセキュリティ制御データベース変更部と、
    前記第2のマルウェア検出部に前記マルウェアの検出処理を実行させるための追加ソフトウェア及び前記第2のデータベースで保存する前記マルウェアの検出に用いるデータである追加パターンを取得する追加検出部更新部と、
    を有するマルウェア対処システム。
  2. 前記第1のマルウェア検出部は、
    前記第1のデータベースに格納された前記マルウェアの特徴的なデータ列であるパターンデータの一部を用いて前記マルウェアを検出する請求項1記載のマルウェア対処システム。
  3. 前記追加パターンは、
    前記第2のデータベースに格納された前記マルウェアの特徴的なデータ列であるパターンデータ及び前記マルウェアによる装置動作の特徴を示す情報を含む請求項1または2記載のマルウェア対処システム。
  4. 前記追加ソフトウェア及び前記追加パターンを分割して取得するための分割取得部を有する請求項1から3のいずれか1項記載のマルウェア対処システム。
  5. 前記セキュリティ制御データベース変更部は、
    前記第1のマルウェア検出部または前記第2のマルウェア検出部が、前記検査対象となるソフトウェアをマルウェアと判定した場合、該マルウェアによる被害拡散を防止するように前記第3のデータベースを変更する請求項1から4のいずれか1項記載のマルウェア対処システム。
  6. 前記セキュリティ制御データベース変更部は、
    前記第1のマルウェア検出部が前記検査対象となるソフトウェアをマルウェアと判定し、前記第2のマルウェア検出部が該ソフトウェアをマルウェアでないと判定した場合、前記第1のマルウェア検出部の判定結果により変更された前記第3のデータベースを該変更前の状態に戻す請求項1から5のいずれか1項記載のマルウェア対処システム。
  7. 前記セキュリティ制御データベース変更部は、
    前記第1のマルウェア検出部が前記検査対象となるソフトウェアをマルウェアと判定し、前記第2のマルウェア検出部が該ソフトウェアをマルウェアでないと判定した場合、該ソフトウェアがマルウェアでないことを示す符号を付与し、
    前記前記第1のマルウェア検出部は、
    前記検査対象となるソフトウェアを前記符号に基づいてマルウェアでないと判定する請求項1から6のいずれか1項記載のマルウェア対処システム。
  8. 前記追加ソフトウェア及び前記追加パターンを保持し、前記追加検出部更新部からの要求にしたがって前記追加ソフトウェア及び前記追加パターンを提供するサーバ装置を有する請求項1から7のいずれか1項記載のマルウェア対処システム。
  9. 前記検査対象となるプロセスでアクセスする制御対象オブジェクトに代わって該プロセスでアクセスさせる、前記制御対象オブジェクトを模擬するダミーオブジェクトを有し、
    前記セキュリティ制御データベース変更部は、
    前記システムコールが発行されると、当該プロセスで前記ダミーオブジェクトにアクセスするように設定する請求項1から8のいずれか1項記載のマルウェア対処システム。
  10. 前記検査対象となるソフトウェアに対して利用者から即時の利用指示が入力されると、前記第1のマルウェア検出部に対して該利用指示を通知する即時利用入力部を有し、
    前記第1のマルウェア検出部は、
    前記即時利用入力部から前記利用指示が通知されると、前記第2のマルウェア検出部による前記マルウェアの検出を実行させる請求項1から9のいずれか1項記載のマルウェア対処システム。
  11. ソフトウェアがマルウェアであるか否かを検査し、該マルウェアによる装置の不正動作を無効にするためのマルウェア対処方法であって、
    前記検査対象となるプロセスが発行するシステムコールをトラップするシステムコールフックステップと、
    前記システムコールの発行を契機に、第1のデータベースを用いて前記ソフトウェアがマルウェアであるか否かを検出する第1のマルウェア検出ステップと、
    第2のデータベースを用いて前記第1のマルウェア検出ステップよりも詳細に前記ソフトウェアがマルウェアであるか否かを検出する第2のマルウェア検出ステップと、
    第3のデータベースを用いて前記システムコールによる動作を制限するセキュリティ制御ステップと、
    前記第1のマルウェア検出ステップまたは前記第2のマルウェア検出ステップで前記マルウェアを検出すると、前記第3のデータベースを変更するセキュリティ制御データベース変更ステップと、
    前記第2のマルウェア検出ステップに前記マルウェアの検出処理を実行させるための追加ソフトウェア及び前記第2のデータベースで保存する前記マルウェアの検出に用いるデータである追加パターンを取得する追加検出部更新ステップと、
    を有するマルウェア対処方法。
  12. 前記第1のマルウェア検出ステップは、
    前記第1のデータベースに格納された前記マルウェアの特徴的なデータ列であるパターンデータの一部を用いて前記マルウェアを検出する請求項11記載のマルウェア対処方法。
  13. 前記追加パターンは、
    前記第2のデータベースに格納された前記マルウェアの特徴的なデータ列であるパターンデータ及び前記マルウェアによる装置動作の特徴を示す情報を含む請求項11または12記載のマルウェア対処方法。
  14. 前記追加ソフトウェア及び前記追加パターンを分割して取得するための分割取得ステップを有する請求項11から13のいずれか1項記載のマルウェア対処方法。
  15. 前記セキュリティ制御データベース変更ステップは、
    前記第1のマルウェア検出ステップまたは前記第2のマルウェア検出ステップで前記検査対象となるソフトウェアをマルウェアと判定した場合、該マルウェアによる被害拡散を防止するように前記第3のデータベースを変更する請求項11から14のいずれか1項記載のマルウェア対処方法。
  16. 前記セキュリティ制御データベース変更ステップは、
    前記第1のマルウェア検出ステップで前記検査対象となるソフトウェアをマルウェアと判定し、前記第2のマルウェア検出ステップで該ソフトウェアをマルウェアでないと判定した場合、前記第1のマルウェア検出ステップの判定結果により変更された前記第3のデータベースを該変更前の状態に戻す請求項11から15のいずれか1項記載のマルウェア対処方法。
  17. 前記セキュリティ制御データベース変更ステップは、
    前記第1のマルウェア検出ステップで前記検査対象となるソフトウェアをマルウェアと判定し、前記第2のマルウェア検出ステップで該ソフトウェアをマルウェアでないと判定した場合、該ソフトウェアがマルウェアでないことを示す符号を付与し、
    前記前記第1のマルウェア検出ステップは、
    前記検査対象となるソフトウェアを前記符号に基づいてマルウェアでないと判定する請求項11から16のいずれか1項記載のマルウェア対処方法。
  18. サーバ装置が、前記追加検出部更新ステップで発行される要求にしたがって前記追加ソフトウェア及び前記追加パターンを提供する請求項11から17のいずれか1項記載のマルウェア対処方法。
  19. 前記検査対象となるプロセスでアクセスする制御対象オブジェクトに代わって該プロセスでアクセスさせる、前記制御対象オブジェクトを模擬するダミーオブジェクトを作成し、
    前記セキュリティ制御データベース変更ステップは、
    前記システムコールが発行されると、当該プロセスで前記ダミーオブジェクトにアクセスするように設定する請求項11から18のいずれか1項記載のマルウェア対処方法。
  20. 前記検査対象となるソフトウェアに対して利用者から即時の利用指示が入力されると、前記第1のマルウェア検出部に対して該利用指示を通知する即時利用入力ステップを有し、
    前記第1のマルウェア検出ステップは、
    前記即時利用入力部から前記利用指示が通知されると、前記第2のマルウェア検出ステップによる前記マルウェアの検出を実行させる請求項11から19のいずれか1項記載のマルウェア対処方法。
  21. ソフトウェアがマルウェアであるか否かを検査し、該マルウェアによる装置の不正動作を無効にするための処理をコンピュータに実行させるためのプログラムであって、
    前記検査対象となるプロセスが発行するシステムコールをトラップするシステムコールフックステップと、
    前記システムコールの発行を契機に、第1のデータベースを用いて前記ソフトウェアがマルウェアであるか否かを検出する第1のマルウェア検出ステップと、
    第2のデータベースを用いて前記第1のマルウェア検出ステップよりも詳細に前記ソフトウェアがマルウェアであるか否かを検出する第2のマルウェア検出ステップと、
    第3のデータベースを用いて前記システムコールによる動作を制限するセキュリティ制御ステップと、
    前記第1のマルウェア検出ステップまたは前記第2のマルウェア検出ステップで前記マルウェアを検出すると、前記第3のデータベースを変更するセキュリティ制御データベース変更ステップと、
    前記第2のマルウェア検出ステップに前記マルウェアの検出処理を実行させるための追加ソフトウェア及び前記第2のデータベースで保存する前記マルウェアの検出に用いるデータである追加パターンを取得する追加検出部更新ステップと、
    をコンピュータに実行させるためのプログラム。
  22. 前記第1のマルウェア検出ステップは、
    前記第1のデータベースに格納された前記マルウェアの特徴的なデータ列であるパターンデータの一部を用いて前記マルウェアを検出する請求項21記載のプログラム。
  23. 前記追加パターンは、
    前記第2のデータベースに格納された前記マルウェアの特徴的なデータ列であるパターンデータ及び前記マルウェアによる装置動作の特徴を示す情報を含む請求項21または22記載のプログラム。
  24. 前記追加ソフトウェア及び前記追加パターンを分割して取得するための分割取得ステップを有する請求項21から23のいずれか1項記載のプログラム。
  25. 前記セキュリティ制御データベース変更ステップは、
    前記第1のマルウェア検出ステップまたは前記第2のマルウェア検出ステップで前記検査対象となるソフトウェアをマルウェアと判定した場合、該マルウェアによる被害拡散を防止するように前記第3のデータベースを変更する請求項21から24のいずれか1項記載のプログラム。
  26. 前記セキュリティ制御データベース変更ステップは、
    前記第1のマルウェア検出ステップで前記検査対象となるソフトウェアをマルウェアと判定し、前記第2のマルウェア検出ステップで該ソフトウェアをマルウェアでないと判定した場合、前記第1のマルウェア検出ステップの判定結果により変更された前記第3のデータベースを該変更前の状態に戻す請求項21から25のいずれか1項記載のプログラム。
  27. 前記セキュリティ制御データベース変更ステップは、
    前記第1のマルウェア検出ステップで前記検査対象となるソフトウェアをマルウェアと判定し、前記第2のマルウェア検出ステップで該ソフトウェアをマルウェアでないと判定した場合、該ソフトウェアがマルウェアでないことを示す符号を付与し、
    前記前記第1のマルウェア検出ステップは、
    前記検査対象となるソフトウェアを前記符号に基づいてマルウェアでないと判定する請求項21から26のいずれか1項記載のプログラム。
  28. 前記検査対象となるプロセスでアクセスする制御対象オブジェクトに代わって該プロセスでアクセスさせる、前記制御対象オブジェクトを模擬するダミーオブジェクトを作成し、
    前記セキュリティ制御データベース変更ステップは、
    前記システムコールが発行されると、当該プロセスで前記ダミーオブジェクトにアクセスするように設定する請求項21から27のいずれか1項記載のプログラム。
  29. 前記検査対象となるソフトウェアに対して利用者から即時の利用指示が入力されると、前記第1のマルウェア検出部に対して該利用指示を通知する即時利用入力ステップを有し、
    前記第1のマルウェア検出ステップは、
    前記即時利用入力部から前記利用指示が通知されると、前記第2のマルウェア検出ステップによる前記マルウェアの検出を実行させる請求項21から28のいずれか1項記載のプログラム。
JP2008086626A 2008-03-28 2008-03-28 マルウェア対処システム、方法及びプログラム Pending JP2009238153A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008086626A JP2009238153A (ja) 2008-03-28 2008-03-28 マルウェア対処システム、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008086626A JP2009238153A (ja) 2008-03-28 2008-03-28 マルウェア対処システム、方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2009238153A true JP2009238153A (ja) 2009-10-15

Family

ID=41251967

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008086626A Pending JP2009238153A (ja) 2008-03-28 2008-03-28 マルウェア対処システム、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP2009238153A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198565A (ja) * 2009-02-27 2010-09-09 Hitachi Ltd 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置
WO2012147252A1 (ja) * 2011-04-27 2012-11-01 パナソニック株式会社 仮想計算機システム、仮想計算機制御方法、仮想計算機制御プログラム、及び半導体集積回路
JP2013168141A (ja) * 2012-01-31 2013-08-29 Trusteer Ltd マルウェアの検出方法
JP2015522874A (ja) * 2012-06-08 2015-08-06 クラウドストライク インコーポレイテッド カーネルレベル・セキュリティ・エージェント
JP2017516246A (ja) * 2014-05-15 2017-06-15 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. アイドルプロセスの発見および制約
JP2017538376A (ja) * 2014-10-31 2017-12-21 サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
US9858626B2 (en) 2012-06-29 2018-01-02 Crowdstrike, Inc. Social sharing of security information in a group
US10289405B2 (en) 2014-03-20 2019-05-14 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
US10339316B2 (en) 2015-07-28 2019-07-02 Crowdstrike, Inc. Integrity assurance through early loading in the boot phase
US10387228B2 (en) 2017-02-21 2019-08-20 Crowdstrike, Inc. Symmetric bridge component for communications between kernel mode and user mode
US10740459B2 (en) 2017-12-28 2020-08-11 Crowdstrike, Inc. Kernel- and user-level cooperative security processing
US10785259B2 (en) 2016-04-19 2020-09-22 Mitsubishi Electric Corporation Relay device

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198565A (ja) * 2009-02-27 2010-09-09 Hitachi Ltd 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置
WO2012147252A1 (ja) * 2011-04-27 2012-11-01 パナソニック株式会社 仮想計算機システム、仮想計算機制御方法、仮想計算機制御プログラム、及び半導体集積回路
CN102959555A (zh) * 2011-04-27 2013-03-06 松下电器产业株式会社 虚拟计算机系统、虚拟计算机控制方法、虚拟计算机控制程序及半导体集成电路
JP5852103B2 (ja) * 2011-04-27 2016-02-03 パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America 仮想計算機システム、仮想計算機制御方法、仮想計算機制御プログラム、及び半導体集積回路
US9460270B2 (en) 2011-04-27 2016-10-04 Panasonic Intellectual Property Corporation Of America Generating child virtual machine to execute authorized application with reduced risk of malware attack
JP2013168141A (ja) * 2012-01-31 2013-08-29 Trusteer Ltd マルウェアの検出方法
US9904784B2 (en) 2012-06-08 2018-02-27 Crowdstrike, Inc. Kernel-level security agent
JP2015522874A (ja) * 2012-06-08 2015-08-06 クラウドストライク インコーポレイテッド カーネルレベル・セキュリティ・エージェント
US10853491B2 (en) 2012-06-08 2020-12-01 Crowdstrike, Inc. Security agent
JP2017216018A (ja) * 2012-06-08 2017-12-07 クラウドストライク インコーポレイテッド カーネルレベル・セキュリティ・エージェント
US10002250B2 (en) 2012-06-08 2018-06-19 Crowdstrike, Inc. Security agent
US9858626B2 (en) 2012-06-29 2018-01-02 Crowdstrike, Inc. Social sharing of security information in a group
US10289405B2 (en) 2014-03-20 2019-05-14 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
US11340890B2 (en) 2014-03-20 2022-05-24 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
JP2017516246A (ja) * 2014-05-15 2017-06-15 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. アイドルプロセスの発見および制約
JP2017538376A (ja) * 2014-10-31 2017-12-21 サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
US10339316B2 (en) 2015-07-28 2019-07-02 Crowdstrike, Inc. Integrity assurance through early loading in the boot phase
US10785259B2 (en) 2016-04-19 2020-09-22 Mitsubishi Electric Corporation Relay device
US10387228B2 (en) 2017-02-21 2019-08-20 Crowdstrike, Inc. Symmetric bridge component for communications between kernel mode and user mode
US10740459B2 (en) 2017-12-28 2020-08-11 Crowdstrike, Inc. Kernel- and user-level cooperative security processing

Similar Documents

Publication Publication Date Title
JP2009238153A (ja) マルウェア対処システム、方法及びプログラム
US9910743B2 (en) Method, system and device for validating repair files and repairing corrupt software
CN104008340B (zh) 病毒查杀方法及装置
EP2696282B1 (en) System and method for updating authorized software
CN102799817B (zh) 用于使用虚拟化技术进行恶意软件保护的系统和方法
US20120017276A1 (en) System and method of identifying and removing malware on a computer system
CN103718165B (zh) Bios闪存攻击保护和通知
JP4628149B2 (ja) アクセス制御装置及びアクセス制御方法
JP4793733B2 (ja) 高インテグリティファームウェア
CN102651061B (zh) 用于检测复杂恶意软件的系统和方法
Bojinov et al. Address space randomization for mobile devices
JP5891414B2 (ja) 情報処理装置およびアプリケーション不正連携防止方法
US20070283444A1 (en) Apparatus And System For Preventing Virus
US10162965B2 (en) Portable media system with virus blocker and method of operation thereof
US20080148399A1 (en) Protection against stack buffer overrun exploitation
CN102867141B (zh) 对主引导记录恶意程序进行处理的方法及装置
Sellwood et al. Sleeping android: The danger of dormant permissions
KR101064164B1 (ko) 리눅스 커널 기반 스마트 플랫폼 내에서의 커널 무결성 검사 및 변조된 커널 데이터 복구 방법
CN102930201A (zh) 对主引导记录恶意程序进行处理的方法及装置
CN108959915B (zh) 一种rootkit检测方法、装置及服务器
KR20140139752A (ko) 루팅 검출방법 및 검출장치
CN103632086B (zh) 修复基本输入输出系统bios恶意程序的方法和装置
WO2009048158A1 (ja) ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法
CN115828246A (zh) 一种恶意程序监测方法、装置、介质及设备
JP2010009323A (ja) イメージ検査装置、os装置及びイメージ検査方法