JP2010198565A - 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 - Google Patents

不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 Download PDF

Info

Publication number
JP2010198565A
JP2010198565A JP2009045887A JP2009045887A JP2010198565A JP 2010198565 A JP2010198565 A JP 2010198565A JP 2009045887 A JP2009045887 A JP 2009045887A JP 2009045887 A JP2009045887 A JP 2009045887A JP 2010198565 A JP2010198565 A JP 2010198565A
Authority
JP
Japan
Prior art keywords
file
icon
program
list
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009045887A
Other languages
English (en)
Inventor
Tetsuo Kito
哲郎 鬼頭
Masatoshi Terada
真敏 寺田
Kazuya Okochi
一弥 大河内
Hiroshi Nakakoji
博史 仲小路
Michihiro Shigemoto
倫宏 重本
Nobutaka Kawaguchi
信隆 川口
Tomoaki Yamada
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009045887A priority Critical patent/JP2010198565A/ja
Publication of JP2010198565A publication Critical patent/JP2010198565A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】偽装したアイコンを持つコンピュータウイルス(不正プログラム)の存在を検知する。
【解決手段】本発明は、情報処理装置に、不正でないと判明しているプログラムのリストである許可プログラムリストと実行ファイルが保持していてはいけないアイコンを表示するためのアイコンデータのリストであるアイコンブラックリストとを設ける。情報処理装置は、ファイルのアイコンデータを抽出し、そのファイルが許可プログラムリストに含まれないとき、抽出したアイコンデータがアイコンブラックリストに含まれるかを判定し、抽出したアイコンデータがアイコンブラックリストに含まれるならば、そのファイルを不正プログラムとして検知する。
【選択図】図6

Description

本発明は、コンピュータウイルスなどの不正なプログラムが情報処理装置内に存在することを検知する技術に関する。
コンピュータウイルスなどの不正なプログラムは日々新種が出現しており、これらから情報処理装置を守るために様々な技術を用いる必要がある。
コンピュータウイルスなどの不正なプログラムの多くは実行ファイル形式で流通している。実行ファイルは自身の存在をユーザへ見せるために、実行ファイルの存在を示すアイコンをその内部(ファイルデータ及びファイルのメタデータのいずれか)に持っていることが多い。コンピュータウイルスの中には、自身の存在を示すアイコンをフォルダや音楽ファイルなどの、他のものを表すアイコンに設定して(あたかも正当なフォルダやファイルのアイコンに偽装して)、ユーザの誤実行を誘発する目的を持ったものがある。
このようなアイコンを偽装した実行ファイルを見つけ出すための技術として、アイコンがユーザに対して表示される際に、そのファイルが実行ファイルである場合に、実行ファイルである旨を表す情報を強制的にオーバレイするソフトウェアがある(非特許文献1)。
偽装解除http://fos.qp.land.to/static/fos_soft/ols_exv.html (2008年12月22日 確認)
情報処理装置がコンピュータウイルスに感染すると、その情報処理装置のデータの破壊や盗用、漏えいといった被害が発生するので、コンピュータウイルスであるファイルを検知することは重要である。
上記従来技術ではファイルが実行ファイルかどうかを見分けることが可能だが、その実行ファイルがコンピュータウイルスであるかどうかの判断はできない。また、アイコンに実行ファイルである旨の情報が付与されていても、ユーザがそれに気付かず実行することは避けられない。
本発明は、上記課題を解決するために、次のような態様の不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置である。情報処理装置に、不正でないと判明しているプログラムのリストである許可プログラムリストと実行ファイルが保持していてはいけないアイコンを表示するためのアイコンデータのリストであるアイコンブラックリストとを設ける。情報処理装置は、ファイルのアイコンデータを抽出し、そのファイルが許可プログラムリストに含まれないとき、抽出したアイコンデータがアイコンブラックリストに含まれるかを判定し、抽出したアイコンデータがアイコンブラックリストに含まれるならば、そのファイルを不正プログラムとして検知する。
本発明の他の態様は、抽出したアイコンデータがアイコンブラックリストに含まれないならば、抽出したアイコンデータとアイコンブラックリストに含まれるアイコンデータとの類似度を求め、類似度が予め定めた閾値以上のとき、そのファイルを不正プログラムの疑いがあるとして検知する。
本発明のさらに他の態様は、ファイルを不正プログラムの疑いがあるとして検知したとき、検知結果を表示装置に表示し、検知結果の表示に対応して、入力装置からファイルの削除の指示を入力したとき、そのファイルを削除する。
本発明のさらに他の態様は、ファイルの削除に応じて、抽出したアイコンデータをアイコンブラックリストに追加する。
本発明のさらに他の態様は、ファイルを不正プログラムの疑いがあるとして検知したとき、検知結果を表示装置に表示し、検知結果の表示に対応して、入力装置からそのファイルを削除しないとの指示を入力したとき、そのファイルの許可プログラムリストへの追加の問い合わせを表示装置に表示し、問い合わせの表示に対応して、入力装置からそのファイルの追加の指示を入力したとき、そのファイルを許可プログラムリストへ追加する。
本発明のさらに他の態様は、類似度が予め定めた閾値未満のとき、そのファイルを不正プログラムではないとして検知する。
本発明のさらに他の態様は、類似度は、アイコンブラックリストに含まれるアイコンデータによるピクセルに一致する抽出したアイコンデータによるピクセル数の割合である。
本発明のさらに他の態様は、前述のファイルは、ショートカットファイルの参照先に格納された実行ファイルである。
本発明のさらに他の態様は、前述のファイルは、情報処理装置内にあって、利用者により選択されたファイルである。
本発明によれば、正当なフォルダやファイルのアイコンに偽装したアイコンを持つコンピュータウイルス(不正プログラム)の存在を検知できる。
情報処理装置のハードウェア構成例である。 不正プログラム検知プログラムの構成例である。 許可プログラムリストの一例である。 アイコンブラックリストの一例である。 実施例1における不正プログラム検知プログラムの処理フローチャートである。 実施例1におけるファイル検査部の処理フローチャートである。 検査結果通知部の処理フローチャートである。 不正プログラムの疑いのあるファイルを検知したときの利用者への通知画面である。 不正プログラムを検知したときの利用者への通知画面である。 利用者へファイル削除完了を通知する画面である。 許可ファイルリストにファイルを追加するかどうかを利用者へ問い合わせる画面である。 実施例2におけるファイル検査部の処理フローチャートである。 実施例3における不正プログラム検知プログラムの構成例である。 ログの一例である。 実施例3における不正プログラム検知プログラムの処理フローチャートである。 スキャン結果通知部の処理フローチャートである。 利用者へのスキャン結果通知画面である。
以下、本発明の実施の形態について、図面を用いて説明する。なお以降の説明は本発明の実施形態を示すものであり、本発明の構成や機能その他を制限するものではない。
実施例1では、自身の存在を示すアイコンをフォルダなどの正当なものと同一にすることで、利用者の目を欺こうとするコンピュータウイルスなどの不正プログラムを検知する実施形態について説明する。
図1は、不正プログラム検知プログラムを実行する情報処理装置101のハードウェア構成例である。情報処理装置101は、演算装置102、メモリ103、ハードディスク等の記憶装置104、ネットワークカードなどの通信装置105、キーボードやマウス等の入力装置106、LCD(Liquid Crystal Display)等の表示装置107を備える。演算装置102は、記憶装置104に格納されたプログラムを実行し、各部の制御を行う。記憶装置104は、演算装置102が実行するプログラムおよび演算装置102が使用するデータ等を格納する。通信装置105は、ネットワークを介して他の機器からデータを受信して演算装置102へ送ると共に、演算装置102が生成したデータを、ネットワークを介して他の機器へ送信する。演算装置102は、キーボードやマウス等の入力装置106、LCD等の表示装置107を制御する。演算装置102は、キーボードやマウス等の入力装置106からデータを取得する。また、演算装置102は、生成したデータを、LCD等の表示装置107へ出力する。記憶装置104にはプログラムが格納されており、当該プログラムは記憶装置104から読みだされて、メモリ102にロードされ、演算装置102によって実行される。情報処理装置101は、これらのプログラムを記憶装置104から読み取って実行するが、他の例として、CD、DVD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等の記録媒体から当該プログラムを取得してもよい。また他の例として、他の装置から、通信媒体を介して、これらのプログラムを取得してもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を指す。
図2に、コンピュータウイルスなどの不正プログラムを検知する不正プログラム検知プログラムの構成の一例を示す。不正プログラム検知プログラム201は、ファイルを入力として、入力したファイルが不正なプログラムであるかを判断するファイル検査部202と、ファイル検査部からの判断結果の出力に応じて利用者への通知を行う検査結果通知部203と、不正なプログラムでないと判明しているプログラムのリストである許可プログラムリスト204と、実行ファイルが内部に保持していてはいけないアイコンを表示するためのアイコンデータのリストであるアイコンブラックリスト205とで構成される。
図3に、許可プログラムリスト204の一例を示す。許可プログラムリスト204はファイルハッシュ値301で構成される。ファイルハッシュ値301は、不正なプログラムでないと判明しているプログラムの実行ファイルのMD5によるハッシュ値である。ファイルハッシュ値301として格納する値はMD5によるハッシュ値に限らず、他の例として、SHA1によるハッシュ値、または実行ファイルのデータそのものなど、ファイルを一意に特定できる情報であればよい。
図4に、アイコンブラックリスト205の一例を示す。アイコンブラックリスト205はアイコンデータ401、説明402で構成される。アイコンデータ401は、実行ファイルが内部に保持していてはいけないアイコンのデータであり、説明402は当該アイコンブラックリストのアイコンデータ401が何を表すアイコンであるかを示すものである。実行ファイルが内部に保持していてはいけないアイコンとは、偽装されてはいけない正当なフォルダやファイルのアイコンである。アイコンブラックリスト205に格納されているアイコンのサイズは不正プログラム検知プログラム201の動作するオペレーティングシステムによって変化してもよい。また、オペレーティングシステムによっては使用可能なアイコンのサイズが複数ある場合があり、そのような場合には同じアイコンでありながら、サイズの異なるアイコンデータが複数存在する構成になっていてもよい。
図5に、不正プログラム検知プログラム201の処理フローチャートの一例を示す。不正プログラム検知プログラム201は、実行を開始すると、不正プログラム検知プログラムが201動作している情報処理装置101内でのファイルアクセスを監視する(ステップ501)。ファイルアクセスを検知し(ステップ502)、当該ファイルアクセスが書き込みアクセスであるかを判定する(ステップ503)。情報処理装置101内でのファイルの新規作成、ファイルのコピー、ファイルの上書き保存、インターネットからのファイルのダウンロードや圧縮ファイルの展開といったメモリ102から記憶装置104などへのファイルの書き込みを伴う動作は書き込みアクセスとして検知されるため、ステップ503での書き込みアクセスの判定は、上記動作のいずれかであるかの判定と同じ意味を持つ。当該ファイルアクセスが書き込みアクセス以外のアクセスである場合には、ステップ501へ戻り、ファイルアクセスの監視を継続する。当該ファイルアクセスが書き込みアクセスである場合には、当該ファイルアクセスの対象のファイルに関する情報(ファイルデータ及びファイルの属性や各の場所などを示すメタデータ)を入力として、ファイル検査部202を呼び出す(ステップ504)。ファイル検査部202から得られた結果を入力として、検査結果通知部203を呼び出す(ステップ505)。その後、ステップ501へ戻り、ファイルアクセスの監視を継続する。
図6に、ファイル検査部202の処理フローチャートの一例を示す。入力として与えられたファイルの情報を取得する(ステップ601)。当該ファイルがアイコンデータを内部に含む実行ファイルであるかどうかを判定する(ステップ602)。実行ファイルがPE(Portable Executable)フォーマットのファイルである場合、ファイル内のリソースセクションにアイコンのデータは含まれている。当該ファイルがアイコンデータを内部に含む実行ファイルでない場合には、当該ファイルは不正プログラムではないということを示す「OK」を結果として不正プログラム検知プログラム201に返し(ステップ603)、処理を終了する。
当該ファイルがアイコンデータを内部に含む実行ファイルである場合には、当該ファイルのハッシュ値を計算する(ステップ604)。ここで計算するハッシュ値は許可プログラムリスト204のファイルハッシュ値301と同じアルゴリズムを用いる。許可プログラムリスト204を参照し(ステップ605)、計算したハッシュ値が許可プログラムリストに含まれているか、すなわち、当該ファイルが、不正なプログラムでないと判明している許可プログラムであるかを判定する(ステップ606)。計算したハッシュ値が許可プログラムリスト204に含まれている場合、ステップ603へ移り、当該ファイルは不正プログラムではないということを示す「OK」を結果として不正プログラム検知プログラム201に返し、処理を終了する。
計算したハッシュ値が許可プログラムリスト204に含まれていない場合、当該ファイルに含まれているアイコンデータを抽出する(ステップ607)。アイコンブラックリスト205を参照し(ステップ608)、アイコンブラックリスト205のアイコンの中に、抽出したアイコンデータと一致するものがあるかを判定する(ステップ609)。抽出したアイコンデータと一致するものがアイコンブラックリスト205にある場合には、当該ファイルが不正プログラムであることを示す「NG」を結果として不正プログラム検知プログラム201に返し(ステップ610)、終了する。
当該ファイルから抽出したアイコンデータと一致するものがアイコンブラックリスト205にない場合には、抽出したアイコンデータとアイコンブラックリスト205内の各アイコンデータ401との類似度を計算する(ステップ611)。類似度は、一例として、アイコン画像の全ピクセルのうち一致したピクセルの割合を計算することにより求める。このとき、抽出したアイコンデータによるピクセル数を基準(全ピクセル数)とし、アイコンブラックリスト205内のアイコンデータによるピクセルに一致する数の割合を求めても良いし、逆にアイコンブラックリスト205内のアイコンデータによるピクセル数を基準としても良い。また、画像の類似度を計算する手法は数多く存在し、それらのうちどのような手法を用いてもよい。計算した類似度が閾値を超えているか判定する(ステップ612)。この閾値は事前に設定した値でもよいし、任意の学習アルゴリズムによって変化する値であってもよい。類似度が閾値を超えている場合、当該ファイルが不正なプログラムである疑いがあることを示す「GRAY」を結果として不正プログラム検知プログラム201に返し(ステップ613)、終了する。類似度が閾値を超えていない場合、ステップ603へ進み、当該ファイルが不正なプログラムでないことを示す「OK」を結果として不正プログラム検知プログラム201に返し、処理を終了する。
ファイル検査部202の処理フローチャートのステップ609では、検査対象のファイルから抽出したアイコンデータがアイコンブラックリスト205のいずれかのアイコンデータ401と一致するかを判定するが、ここでの一致判定には、アイコンデータの全てを用いる方式だけでなく、他の方式として、アイコンの一部のデータのみを比較し、当該部分のデータが一致するかで判定する方式を用いてもよい。その場合、アイコンブラックリスト205内のアイコンデータ401は、比較に用いる部分のみのデータを格納しておいてもよい。
図7に、検査結果通知部203の処理フローチャートの一例を示す。入力として与えれられた検査結果を取得し(ステップ701)、検査結果が「OK」であるかを判定する(ステップ702)。検査結果が「OK」である場合、処理を終了する。検査結果が「OK」でない場合、検査結果が「GRAY」であるかを判定する(ステップ703)。検査結果が「GRAY」である場合、ステップ704へ進み、不正プログラムの疑いがあるファイルが存在する旨を利用者へ通知し、当該ファイルを削除するかを利用者に問い合わせ(ステップ704)、利用者からの回答を取得する(ステップ705)。回答が「削除する」であるかを判定する(ステップ706)。回答が「削除する」である場合には、当該ファイルから抽出したアイコンデータをアイコンブラックリスト205へ追加する(ステップ707)。当該ファイルから抽出したアイコンデータは、ファイル検査部202で抽出したものを不正プログラム検知プログラム201経由で取得しても良いし、新たに抽出しても良い。これにより、利用者が「不正プログラムなので削除する」と判断したファイルのアイコンデータがアイコンブラックリスト205に追加され、後に、同じファイルが検知された場合には、ファイル検査部202の結果が「GRAY」ではなく、「NG」となる。当該ファイルを削除し(ステップ708、)、当該ファイルを削除した旨を利用者へ提示し(ステップ709)、処理を終了する。
利用者からの回答が「削除する」でない場合には、利用者に、当該ファイルを許可ファイルリスト204に追加するかを問い合わせ(ステップ710)、利用者からの回答を取得する(ステップ711)。利用者からの回答が「追加する」であるかを判定する(ステップ712)。回答が「追加する」である場合には、当該ファイルのハッシュ値を許可ファイルリスト204に追加し(ステップ713)、処理を終了する。これにより、後に、同じファイルが検知された場合にはファイル検査部202の結果が「OK」になる。回答が「追加する」でない場合には、処理を終了する。
ステップ703の判定で、検査結果が「GRAY」でない場合には、不正プログラムが存在する旨を利用者へと通知し、当該ファイルを削除するかを利用者へ問い合わせ(ステップ714)、利用者からの回答を取得する(ステップ715)。回答が「削除する」であるかを判定する(ステップ716)。回答が「削除する」である場合には、ステップ708へ進み、回答が「削除する」でない場合には、処理を終了する。
図8に、検査結果通知部203の処理フローチャートのステップ704で不正プログラムの疑いのあるファイルを検知したときの利用者へ通知する、表示装置107の画面の一例を示す。利用者へ提示する画面801は、タイトル部802、利用者へのメッセージ部803、「削除する」ボタン804、「削除しない」ボタン805で構成される。利用者へのメッセージ部803には不正プログラムの疑いがあるファイルが検知された旨と当該ファイルのオペレーティングシステム内での配置場所が記述され、当該ファイルを削除するか利用者に問い合わせる。
図9に、検査結果通知部203の処理フローチャートのステップ714で不正プログラムを検知したときの利用者へ通知する、表示装置107の画面の一例を示す。利用者へ提示する画面901は、タイトル部902、利用者へのメッセージ部903、「削除する」ボタン904、「削除しない」ボタン905で構成される。利用者へのメッセージ部903には不正プログラムが検知された旨と当該ファイルの記憶装置104内の格納場所(当該ファイルへアクセスするときのパス名)が記述され、当該ファイルを削除するか利用者に問い合わせる。
図10に、検査結果通知部203の処理フローチャートのステップ709で利用者へファイル削除完了を通知する、表示装置107の画面の一例を示す。利用者へ提示する画面1001は、タイトル部1002、利用者へのメッセージ部1003、確認ボタン1004で構成される。
図11に、検査結果通知部203の処理フローチャートのステップ710で利用者へ許可ファイルリストにファイルを追加するかどうかを問い合わせる、表示装置107の画面の一例を示す。利用者へ提示する画面1101は、タイトル部1102、利用者へのメッセージ部1103、「追加する」ボタン1104、「追加しない」ボタン1105で構成される。
許可プログラムリスト204、およびアイコンブラックリスト205はメモリ103上、もしくは記憶装置104上に格納される他に、情報処理装置101とネットワークで接続された他の情報処理装置上の記憶装置などに格納されていてもよい。その場合、ファイル検査部202の処理フローチャートのステップ605およびステップ608と、検査結果通知部203の処理フローのステップ707およびステップ713とでは、各リストへのアクセスを通信装置105を介して実行する。
ところで、情報処理装置101のオペレーティングシステムの中には、どのアイコンがどのような機能やファイル形式に対応付けられているかを設定情報として保持しているものがある。本実施例では、アイコンブラックリスト205は不正プログラム検知プログラム201の実行時にメモリ103もしくは記憶装置104上に格納されているとしている。他の例として、オペレーティングシステムが保持しているアイコンと機能やファイル形式との対応情報をブラックリストとして使用することとして、ファイル検査部202の処理フローチャートのステップ608でアイコンブラックリスト205を参照する代わりに、オペレーティングシステムが保持しているアイコンと機能やファイル形式との対応情報を参照してもよい。この場合、検査結果通知部203の処理フローチャートのステップ707でのアイコンブラックリスト205への追加を省略するか、もしくは、検査結果通知部203の処理フローチャートのステップ707での追加用に別途アイコンブラックリスト205をメモリ103上もしくは記憶装置104上に設ける。後者の場合、ファイル検査部202の処理フローチャートのステップ608で参照する先は、オペレーティングシステムが保持しているアイコンと機能やファイル形式との対応情報、および、アイコンブラックリスト205の両方となる。
本実施例によれば、アイコンを偽装した不正プログラムがコンピュータ内に流入した場合に、それを検知することが可能となる。
本実施例では、ファイル自体はアイコンデータを含まず、どこに格納されているアイコンデータを用いるかを示す参照先情報をファイルが格納している場合の実施形態について説明する。
本実施例の実施例1との相違は、ファイル検査部202の処理フローチャートにある。実施例1と共通する内容に関しては、説明を省略する。
図12に、本実施例におけるファイル検査部202の処理フローチャートの一例を示す。入力として与えられたファイルの情報を取得する(ステップ1201)。当該ファイルがアイコン参照先情報を内部に含む実行ファイルであるかどうかを判定する(ステップ1202)。当該ファイルがアイコン参照先情報を内部に含む実行ファイルでない場合には(ステップ1202)、当該ファイルがアイコン参照先情報を内部に含むショートカットファイルかを判定する(ステップ1203)。当該ファイルがアイコン参照先情報を内部に含むショートカットファイルである場合には、ショートカット先ファイルの情報を取得し、ショートカット先ファイルのハッシュ値を計算し(ステップ1205)、ステップ1207へと進む。
ステップ1203の判定で、当該ファイルがアイコン参照先情報を内部に含むショートカットファイルでない場合には、当該ファイルは不正プログラムではないということを示す「OK」を結果として不正プログラム検知プログラム201に返し、処理を終了する。
ステップ1202の判定で、当該ファイルがアイコン参照先情報を内部に含む実行ファイルである場合には、当該ファイルのハッシュ値を計算する(ステップ1206)。ステップ1205およびステップ1206で計算するハッシュ値は、許可プログラムリスト204のファイルハッシュ値301と同じアルゴリズムを用いる。
以下のステップ1207〜1215の各ステップは、実施例1のファイル検査部202の処理フローチャート(図6)のステップ605〜613の各ステップと処理が同様であるので、説明を省略する。
本実施例によれば、実行ファイルのアイコンを偽装するのではなくショートカットファイルのアイコンを偽装している不正プログラムがコンピュータに流入してきた場合に、それを検知することが可能となる。
本実施例では、情報処理装置101内の少なくとも一部のファイルを検査し、不正プログラムが情報処理装置101内に含まれていないか確認する実施形態について説明する。
図13に、不正プログラム検知プログラム1301の構成の一例を示す。不正プログラム検知プログラム1301は、ファイルを入力として、当該ファイルが不正なプログラムであるかを判断するファイル検査部202と、情報処理装置101内の少なくとも一部のファイルの検査結果を利用者へ通知するスキャン結果通知部1302と、不正なプログラムでないと判明しているプログラムのリストである許可プログラムリスト204と、実行ファイルが内部に保持していてはいけないアイコンのリストであるアイコンブラックリスト205と、情報処理装置101内の少なくとも一部のファイルの検査結果を保持するログ1303とで構成される。本実施例におけるファイル検査部202、許可プログラムリスト204、アイコンブラックリスト205は、実施例1もしくは実施例2のものと同様である。
図14に、ログ1303の一例を示す。ログ1303はファイル名1401、検査結果1402で構成される。ファイル名1401はファイル検査部202によって「NG」もしくは「GRAY」と判定されたファイル(ファイルへのパス名)を表し、検査結果1402は当該ファイルが「NG」と判定されたか「GRAY」と判定されたかを表す。
図15に、不正プログラム検知プログラム1301の処理フローチャートの一例を示す。入力として与えられたスキャン対象リストを取得する(ステップ1501)。スキャン対象リストは情報処理装置101内の少なくとも一部のファイルのリストであり、利用者によって入力装置106を介して指定される。利用者は、ファイル名称の指定、又はファイルを格納しているフォルダや記憶装置の指定により、スキャン対象のファイルを選択する。
スキャン対象リストから1ファイル取り出し(ステップ1502)、取り出したファイルに関する情報を入力としてファイル検査部202を呼び出す(ステップ1503)。ファイル検査部202による結果が「NG」であるか判定する(ステップ1504)。判定の結果が「NG」である場合には、当該ファイルが「NG」と判定された旨をログ情報としてログ1303に追加し(ステップ1505)、ステップ1506へ移る。
判定の結果が「NG」でない場合は、判定の結果が「GRAY」であるか判定する(ステップ1507)。判定の結果が「GRAY」である場合には、当該ファイルが「GRAY」と判定された旨をログ1303にログ情報として追加し(ステップ1508)、ステップ1506へ移る。判定の結果が「GRAY」でない場合には、ステップ1506へ移る。
スキャン対象リストにファイルが残っているかを判定し(ステップ1506)、残っている場合はステップ1501へ戻り、残っていない場合はスキャン結果通知部1302を呼び出して(ステップ1509)、処理を終了する。
図16に、スキャン結果通知部1302の処理フローチャートの一例を示す。ログ1303に格納されているログ情報(スキャン結果)を利用者へと提示する(ステップ1601)。表示装置107を用いて利用者へ提示する画面を図17に示す。
図17は、利用者へログ情報(スキャン結果)を通知する画面1701であり、タイトル部1702、ログ表示部1703、「チェックしたファイルを削除」ボタン1704、「終了」ボタン1705で構成される。ログ表示部1703は、ファイルを削除するかどうかを示すチェックボックス1704、不正プログラムであると検知されたファイル名1705、検査結果1706、同一もしくは類似していたアイコンの説明1707で構成されている。
図16の説明に戻る。利用者のボタン押下を待つ(ステップ1602)。ボタンが押下されたら、押されたボタンが「チェックしたファイルを削除」ボタンかを判定し(ステップ1603)、押されたボタンが「チェックしたファイルを削除」ボタンである場合には、チェックボックスにチェックが入っているファイルを削除し(ステップ1604)、ステップ1602へ戻る。
押されたボタンが「チェックしたファイルを削除」ボタンでない場合には、押されたボタンが「終了」ボタンであるか判定し(ステップ1605)、「終了」ボタンである場合は処理を終了する。「終了」ボタンでない場合はステップ1602へ戻り、利用者のボタン押下を待つ。
本実施例によれば、アイコンを偽装した不正プログラムが既にコンピュータ内に存在していた場合に、それを検知することが可能となる。
以上説明した実施形態によれば、正当なフォルダやファイルのアイコンに偽装したアイコンを持つコンピュータウイルス(不正プログラム)の存在を検知できるので、情報の破壊や盗用、漏えいなどの被害を事前に防ぐことができる。
101:情報処理装置、102:演算装置、103:メモリ、104:記憶装置、105:通信装置、106:入力装置、107:表示装置、201:不正プログラム検知プログラム、202:ファイル検査部、203:検査結果通知部、204:許可プログラムリスト、205:アイコンブラックリスト、1301:不正プログラム検知プログラム、1302:スキャン結果通知部、1303:ログ。

Claims (20)

  1. 情報処理装置内の不正なプログラムを検知する不正プログラム検知方法であって、前記情報処理装置は、不正でないと判明しているプログラムのリストである許可プログラムリストと実行ファイルが保持していてはいけないアイコンを表示するためのアイコンデータのリストであるアイコンブラックリストとを設け、前記情報処理装置は、ファイルのアイコンデータを抽出し、前記ファイルが前記許可プログラムリストに含まれないとき、前記抽出したアイコンデータが前記アイコンブラックリストに含まれるかを判定し、前記判定の結果、前記抽出したアイコンデータが前記アイコンブラックリストに含まれるならば、前記ファイルを不正プログラムとして検知することを特徴とする不正プログラム検知方法。
  2. 前記判定の結果、前記抽出したアイコンデータが前記アイコンブラックリストに含まれないならば、前記抽出したアイコンデータと前記アイコンブラックリストに含まれる前記アイコンデータとの類似度を求め、
    前記類似度が予め定めた閾値以上のとき、前記ファイルを不正プログラムの疑いがあるとして検知することを特徴とする請求項1記載の不正プログラム検知方法。
  3. 前記ファイルを不正プログラムの疑いがあるとして検知したとき、前記検知結果を表示装置に表示し、
    前記検知結果の表示に対応して、入力装置から前記ファイルの削除の指示を入力したとき、前記ファイルを削除することを特徴とする請求項2記載の不正プログラム検知方法。
  4. 前記ファイルの削除に応じて、前記抽出したアイコンデータを前記アイコンブラックリストに追加することを特徴とする請求項3記載の不正プログラム検知方法。
  5. 前記ファイルを不正プログラムの疑いがあるとして検知したとき、前記検知結果を表示装置に表示し、前記検知結果の表示に対応して、入力装置から前記ファイルを削除しないとの指示を入力したとき、前記ファイルの前記許可プログラムリストへの追加の問い合わせを前記表示装置に表示し、前記問い合わせの表示に対応して、前記入力装置から前記ファイルの追加の指示を入力したとき、前記ファイルを前記許可プログラムリストへ追加することを特徴とする請求項2記載の不正プログラム検知方法。
  6. 前記類似度が予め定めた閾値未満のとき、前記ファイルを不正プログラムではないとして検知することを特徴とする請求項2記載の不正プログラム検知方法。
  7. 前記類似度は、前記アイコンブラックリストに含まれる前記アイコンデータによるピクセルに一致する前記抽出したアイコンデータによるピクセル数の割合であることを特徴とする請求項2記載の不正プログラム検知方法。
  8. 前記ファイルは、ショートカットファイルの参照先に格納された実行ファイルであることを特徴とする請求項1記載の不正プログラム検知方法。
  9. 前記ファイルは、前記情報処理装置内にあって、利用者により選択されたファイルであることを特徴とする請求項1記載の不正プログラム検知方法。
  10. 情報処理装置に、不正でないと判明しているプログラムのリストである許可プログラムリストと実行ファイルが保持していてはいけないアイコンを表示するためのアイコンデータのリストであるアイコンブラックリストとを設け、ファイルのアイコンデータを抽出し、前記ファイルが前記許可プログラムリストに含まれないとき、前記抽出したアイコンデータが前記アイコンブラックリストに含まれるかを判定し、前記判定の結果、前記抽出したアイコンデータが前記アイコンブラックリストに含まれるならば、前記ファイルを不正プログラムとして検知するステップを前記情報処理装置に実行させることを特徴とする不正プログラム検知プログラム。
  11. 前記判定の結果、前記抽出したアイコンデータが前記アイコンブラックリストに含まれないならば、前記抽出したアイコンデータと前記アイコンブラックリストに含まれる前記アイコンデータとの類似度を求め、
    前記類似度が予め定めた閾値以上のとき、前記ファイルを不正プログラムの疑いがあるとして検知するステップを前記情報処理装置に実行させることを特徴とする請求項10記載の不正プログラム検知プログラム。
  12. 前記類似度が予め定めた閾値未満のとき、前記ファイルを不正プログラムではないとして検知するステップを前記情報処理装置に実行させることを特徴とする請求項11記載の不正プログラム検知プログラム。
  13. 前記ファイルは、ショートカットファイルの参照先に格納された実行ファイルであることを特徴とする請求項10記載の不正プログラム検知プログラム。
  14. 前記ファイルは、前記情報処理装置内にあって、利用者により選択されたファイルであることを特徴とする請求項10記載の不正プログラム検知プログラム。
  15. 不正でないと判明しているプログラムのリストである許可プログラムリストと、
    実行ファイルが保持していてはいけないアイコンを表示するためのアイコンデータのリストであるアイコンブラックリストと、
    ファイルのアイコンデータを抽出し、前記ファイルが前記許可プログラムリストに含まれないとき、前記抽出したアイコンデータが前記アイコンブラックリストに含まれるかを判定し、前記判定の結果、前記抽出したアイコンデータが前記アイコンブラックリストに含まれるならば、前記ファイルを不正プログラムとして検知するファイル検査部とを有することを特徴とする情報処理装置。
  16. 前記ファイル検査部は、前記判定の結果、前記抽出したアイコンデータが前記アイコンブラックリストに含まれないならば、前記抽出したアイコンデータと前記アイコンブラックリストに含まれる前記アイコンデータとの類似度を求め、
    前記類似度が予め定めた閾値以上のとき、前記ファイルを不正プログラムの疑いがあるとして検知することを特徴とする請求項15記載の情報処理装置。
  17. 前記ファイル検査部は、前記類似度が予め定めた閾値未満のとき、前記ファイルを不正プログラムではないとして検知することを特徴とする請求項16記載の情報処理装置。
  18. 前記類似度は、前記アイコンブラックリストに含まれる前記アイコンデータによるピクセルに一致する前記抽出したアイコンデータによるピクセル数の割合であることを特徴とする請求項16記載の情報処理装置。
  19. 前記ファイルは、ショートカットファイルの参照先に格納された実行ファイルであることを特徴とする請求項15記載の情報処理装置。
  20. 前記ファイルは、前記情報処理装置内にあって、利用者により選択されたファイルであることを特徴とする請求項15記載の情報処理装置。
JP2009045887A 2009-02-27 2009-02-27 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 Pending JP2010198565A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009045887A JP2010198565A (ja) 2009-02-27 2009-02-27 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009045887A JP2010198565A (ja) 2009-02-27 2009-02-27 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置

Publications (1)

Publication Number Publication Date
JP2010198565A true JP2010198565A (ja) 2010-09-09

Family

ID=42823194

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009045887A Pending JP2010198565A (ja) 2009-02-27 2009-02-27 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置

Country Status (1)

Country Link
JP (1) JP2010198565A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015191458A (ja) * 2014-03-28 2015-11-02 エヌ・ティ・ティ・ソフトウェア株式会社 ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム
KR101624276B1 (ko) 2014-05-21 2016-05-26 주식회사 안랩 모바일 어플리케이션의 아이콘 도용 여부를 탐지하는 방법 및 그 장치
JP5954915B1 (ja) * 2016-02-05 2016-07-20 株式会社ラック アイコン診断装置、アイコン診断方法およびプログラム
JP6068711B1 (ja) * 2016-06-10 2017-01-25 株式会社ラック アイコン診断装置、アイコン診断方法およびプログラム
WO2017135249A1 (ja) * 2016-02-05 2017-08-10 株式会社ラック アイコン診断装置、アイコン診断方法およびプログラム
JP2019514119A (ja) * 2016-04-06 2019-05-30 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. ハイブリッドプログラムバイナリ特徴の抽出及び比較
JP2020003845A (ja) * 2018-06-25 2020-01-09 コニカミノルタ株式会社 情報処理装置、ウィルスチェック方法及びプログラム

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP2007148805A (ja) * 2005-11-28 2007-06-14 Nomura Research Institute Ltd 情報処理装置、情報処理方法およびプログラム
JP2008176377A (ja) * 2007-01-16 2008-07-31 Kddi Corp 電子システム、電子機器、プログラム、および記録媒体
JP2008234066A (ja) * 2007-03-16 2008-10-02 Fujitsu Ltd ソフトウェア管理システム及び管理方法及び管理制御プログラム
JP2008289157A (ja) * 2008-05-16 2008-11-27 Fujitsu Ltd メッセージングウィルス対処プログラム等
WO2009042915A2 (en) * 2007-09-26 2009-04-02 Microsoft Corporation Whitelist and blacklist identification data
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP2007148805A (ja) * 2005-11-28 2007-06-14 Nomura Research Institute Ltd 情報処理装置、情報処理方法およびプログラム
JP2008176377A (ja) * 2007-01-16 2008-07-31 Kddi Corp 電子システム、電子機器、プログラム、および記録媒体
JP2008234066A (ja) * 2007-03-16 2008-10-02 Fujitsu Ltd ソフトウェア管理システム及び管理方法及び管理制御プログラム
WO2009042915A2 (en) * 2007-09-26 2009-04-02 Microsoft Corporation Whitelist and blacklist identification data
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム
JP2008289157A (ja) * 2008-05-16 2008-11-27 Fujitsu Ltd メッセージングウィルス対処プログラム等

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSNG200800940014; 寺田 真敏, 宮川 雄一, 松岡 正明, 松木 隆宏, 鬼頭 哲郎, 仲小路 博史: 'P2Pファイル交換ソフトウェア環境における情報流通対策向けデータベースの検討' 電子情報通信学会技術研究報告 Vol. 108, No. 161, 20080717, pp. 123-128 *
JPN6013008324; Sung, A.H., Xu, J., Chavez, P., and Mukkamala, S.: 'Static Analyzer of Vicious Executables (SAVE)' Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC '04) , 200412, pp. 326-334 *
JPN6013008325; 寺田 真敏, 宮川 雄一, 松岡 正明, 松木 隆宏, 鬼頭 哲郎, 仲小路 博史: 'P2Pファイル交換ソフトウェア環境における情報流通対策向けデータベースの検討' 電子情報通信学会技術研究報告 Vol. 108, No. 161, 20080717, pp. 123-128 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015191458A (ja) * 2014-03-28 2015-11-02 エヌ・ティ・ティ・ソフトウェア株式会社 ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム
KR101624276B1 (ko) 2014-05-21 2016-05-26 주식회사 안랩 모바일 어플리케이션의 아이콘 도용 여부를 탐지하는 방법 및 그 장치
JP5954915B1 (ja) * 2016-02-05 2016-07-20 株式会社ラック アイコン診断装置、アイコン診断方法およびプログラム
WO2017135249A1 (ja) * 2016-02-05 2017-08-10 株式会社ラック アイコン診断装置、アイコン診断方法およびプログラム
TWI622932B (zh) * 2016-02-05 2018-05-01 Lac股份有限公司 圖符診斷裝置、圖符診斷方法及程式
JP2019514119A (ja) * 2016-04-06 2019-05-30 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. ハイブリッドプログラムバイナリ特徴の抽出及び比較
JP6068711B1 (ja) * 2016-06-10 2017-01-25 株式会社ラック アイコン診断装置、アイコン診断方法およびプログラム
JP2020003845A (ja) * 2018-06-25 2020-01-09 コニカミノルタ株式会社 情報処理装置、ウィルスチェック方法及びプログラム
JP7155657B2 (ja) 2018-06-25 2022-10-19 コニカミノルタ株式会社 情報処理装置及びプログラム

Similar Documents

Publication Publication Date Title
JP6352332B2 (ja) 変更されたデータを復元するシステム及び方法
US11321464B2 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
US7721333B2 (en) Method and system for detecting a keylogger on a computer
US9953162B2 (en) Rapid malware inspection of mobile applications
KR101928908B1 (ko) 멀웨어 스캐닝을 용이하게 하기 위하여 명성 표시자를 사용하기 위한 시스템 및 그 방법
US8719928B2 (en) Method and system for detecting malware using a remote server
US10116690B2 (en) System and method for the protection of computers and computer networks against cyber threats
US8918878B2 (en) Restoration of file damage caused by malware
US8943546B1 (en) Method and system for detecting and protecting against potential data loss from unknown applications
US20130160126A1 (en) Malware remediation system and method for modern applications
EP3756121B1 (en) Anti-ransomware systems and methods using a sinkhole at an electronic device
US8225394B2 (en) Method and system for detecting malware using a secure operating system mode
KR100992434B1 (ko) 확장자를 위장한 파일을 탐지하는 방법 및 그 장치
JP2010198565A (ja) 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置
US10873588B2 (en) System, method, and apparatus for computer security
Faghihi et al. RansomCare: Data-centric detection and mitigation against smartphone crypto-ransomware
KR20070118074A (ko) 외래 코드 검출을 위한 시스템 및 방법
US20130276116A1 (en) Environmental imaging
US11487868B2 (en) System, method, and apparatus for computer security
US8479289B1 (en) Method and system for minimizing the effects of rogue security software
US11580248B2 (en) Data loss prevention
US20130247182A1 (en) System, method, and computer program product for identifying hidden or modified data objects
JP2019095882A (ja) プログラム及び情報処理装置
JP4627266B2 (ja) 未知のマルウェアによる情報漏洩防止システム
CN116415240A (zh) 一种勒索病毒检测方法以及相关系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130226

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130702