JP2013543624A - コンピュータシステムの分析方法および装置 - Google Patents

コンピュータシステムの分析方法および装置 Download PDF

Info

Publication number
JP2013543624A
JP2013543624A JP2013534222A JP2013534222A JP2013543624A JP 2013543624 A JP2013543624 A JP 2013543624A JP 2013534222 A JP2013534222 A JP 2013534222A JP 2013534222 A JP2013534222 A JP 2013534222A JP 2013543624 A JP2013543624 A JP 2013543624A
Authority
JP
Japan
Prior art keywords
application
dependency network
local
application dependency
objects
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013534222A
Other languages
English (en)
Other versions
JP5963008B2 (ja
Inventor
パーヴェル トゥルビン,
Original Assignee
エフ−セキュア コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エフ−セキュア コーポレーション filed Critical エフ−セキュア コーポレーション
Publication of JP2013543624A publication Critical patent/JP2013543624A/ja
Application granted granted Critical
Publication of JP5963008B2 publication Critical patent/JP5963008B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Stored Programmes (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

相互関連オブジェクトのセットをそれぞれが備える複数のアプリケーションがインストールされているコンピュータを分析する方法。方法は、最初に1つまたは複数の前記アプリケーションそれぞれに対してローカル依存関係ネットワークを識別することを備え、ローカル依存関係ネットワークは、少なくともオブジェクトパスおよびオブジェクト間の関係のセットを備える。次いで、当該(または各)ローカルアプリケーション依存関係ネットワークは、ローカル依存関係ネットワークに関連付けられたアプリケーションが既知であるかどうかを判断するために既知のアプリケーション依存関係ネットワークのデータベースと比較される。次いで、比較の結果は、マルウェアおよび/またはオーファンオブジェクトを識別するために使用される。

Description

本発明は、コンピュータシステムを分析するための方法および装置、特にコンピュータシステムにインストールされているアプリケーションを分析するためのものに関する。具体的には、必ずしもそうではないが、本発明は、マルウェアの検出および除去、ならびにシステムの最適化で前記分析を利用するための方法および装置に関する。
マルウェアは、悪意のあるソフトウェアの略であり、所有者の同意を得ることなくコンピュータシステムに潜入するか、または損害を与えるように設計された任意のソフトウェアを参照するための用語として使用される。マルウェアは、コンピュータウイルス、ワーム、トロイの木馬、ルートキット、およびスパイウェアを含むことができる。マルウェアの感染に関連する問題を防止するために、多くのエンドユーザーは、マルウェアを検出するとともにできる限り除去するアンチウイルスソフトウェアを使用している。
ユーザーのシステムへのインストール後に、マルウェアは、多くの場合人気のある、および/またはありふれた既存の正規のソフトウェアのファイル名を模倣することにより検出を回避する。この例としては、Troj/Torpid−Cダウンローダのトロイの木馬があり、Microsoft Wordの典型的なプロセス名である名前「winword.exe」を使用している。したがって、トロイの木馬のプロセスがタスクマネージャ上で目立たなくなる。検出を回避するマルウェアが使用する別の技術は、その実行可能ファイルに対してランダムな名前を生成することである。ランダムな名前は曖昧であり、アンチウイルスソフトウェアがファイル名のパターンを使用してマルウェアを検出することを妨げる場合がある。同様のステルス手法は、レジストリのパスおよびキーにも当てはまる。マルウェアは、ランダムおよび共通の「RUN」キーの値を選択する。
パターン認識に基づくアンチウイルスエンジン(すなわち、マルウェアの「指紋」を探索するエンジン)のために常に適切な環境があるべきである一方、マルウェアを示すパターンが既知またはアンチウイルスエンジンにより予測可能でなければならないので、相変わらず低速であり、事前対応性(proactive)というよりも事後対応性(reactive)であろう。
本発明の一目的は、コンピュータシステム上のマルウェアを検出するためのメカニズムを提供することであり、システム上でのオブジェクトのネットワークの検出に依存し、オブジェクトのネットワークはプログラム、アプリケーション、ファイル等に関連付けられている、または関連付けられていてもよい。これらのプログラム、アプリケーション、ファイル等のいくつかは、既知で信頼できる場合があり、いくつかは既知で信頼できない場合があり、いくつかは不明の場合がある。
本発明の第1の態様によれば、相互関連オブジェクトのセットをそれぞれが備える複数のアプリケーションがインストールされているコンピュータを分析する方法が提供される。この方法は、最初に前記アプリケーションの1つまたは複数ごとのローカル依存関係ネットワークを識別することを備え、ローカル依存関係ネットワークは少なくともオブジェクトパスおよびオブジェクト間の関係のセットを備える。次いで、当該(または各)ローカルアプリケーション依存関係ネットワークは、ローカル依存関係ネットワークに関連付けられたアプリケーションが既知であるかどうかを判定するために既知のアプリケーション依存関係ネットワークのデータベースと比較される。次いで、比較の結果は、マルウェアおよび/またはオーファンオブジェクトを識別するために使用される。
本発明の実施形態は、マルウェアのためにコンピュータをスキャンするより高速な方法を提供してもよく、従来のスキャン方法よりも大幅に少ない処理能力を必要としてもよい。加えて、本発明の実施形態は、コンピュータからマルウェアを除去するための改善された方法を提供してもよい。マルウェアアプリケーションのために依存関係ネットワーク全体が識別され、したがって、削除中に悪意のあるアプリケーションのコンポーネントのすべてが除去されることを確保することができる。
相互関連オブジェクトは、1つまたは複数の実行可能ファイル、データファイル、レジストリキー、レジストリ値、レジストリデータ、または起動ポイントであってもよい。
この方法は、ローカルアプリケーション依存関係ネットワークのオブジェクトのパスを識別すること、およびパスをシステムから非依存にするために正規化することをさらに備えていてもよい。
ローカルアプリケーション依存関係ネットワークのオブジェクトパスは、アプリケーションのインストールプログラムが起動されたときに活動を追跡することにより、またはアプリケーションのインストール前後にシステムスナップショットを取り、2つのスナップショット間の違いを識別することにより識別してもよい。あるいは、ローカルアプリケーション依存関係ネットワークは:
特定の入力オブジェクトに対して、この入力オブジェクトに依存する他のオブジェクトのすべての検索を行うこと、
入力オブジェクトのパスおよび検索で見つかった他のオブジェクトのすべて、およびそれらのオブジェクト間の関係を結果ファイルに格納すること、
それ以上の依存オブジェクトが見つからなくなるまで、それぞれの他のオブジェクトに対してこれらのステップを再帰的に繰り返すこと、および、
結果ファイル内のオブジェクトパスを正規化すること、
により識別されてもよい。
既知のアプリケーション依存関係ネットワークのデータベースは、それらの依存関係ネットワークをキャプチャするために既知のアプリケーションのインストールを監視することにより、または代わりに分散クライアントベースのローカルシステムからアプリケーション依存関係ネットワークを収集することにより事前設定されてもよい。
この方法は、クライアントコンピュータで1つまたは複数の前記アプリケーションごとのローカル依存関係ネットワークを識別する前記ステップを実行すること、および中央サーバーで当該または各ローカルアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較する前記ステップを実行することを備えていてもよい。
この方法は、不明であるアプリケーション依存関係ネットワークに対して、未知のアプリケーション依存関係ネットワークに属するオブジェクトのさらなるマルウェアスキャンを行うことをさらに備えてもよい。このさらなるマルウェアスキャンは、従来のアンチウイルススキャン技術、例えば:
アプリケーションバイナリ証明書のチェックを行うこと、および
未知のローカルアプリケーション依存関係ネットワークで識別されたオブジェクトに対してヒューリスティック分析を実行すること
のいずれか、または両方をさらに備えていてもよい。
未知のローカルアプリケーション依存関係ネットワークで識別されたオブジェクトは、多分他の既知のアプリケーション依存関係ネットワークと共有されるオブジェクトを除いて、アプリケーションが悪意のあることが判明した場合、クライアントコンピュータから除去されるか、または別の方法で安全にされてもよい。
前記さらなるマルウェアスキャンの後に正規品であることが判明した未知のローカルアプリケーションのアプリケーション依存関係ネットワークは、既知のアプリケーション依存関係ネットワークのデータベースに入力されてもよい。
本発明の第2の態様によれば、本発明の第1の態様の方法をコンピュータに行わせるためのコンピュータプログラムが提供される。
本発明の第3の態様によれば、クライアントコンピュータが提供される。クライアントコンピュータは、クライアントコンピュータにインストールされた1つまたは複数のアプリケーションごとにローカル依存関係ネットワークを識別するためのシステムスキャナを備え、ローカルアプリケーション依存関係ネットワークは、少なくともオブジェクトパスおよびオブジェクト間の関係のセットを備える。クライアントコンピュータはまた、ローカルアプリケーション依存関係ネットワークに関連付けられたアプリケーションが既知であるかどうかを判定するために、当該または各ローカルアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較した結果を得るための結果ハンドラを備える。クライアントコンピュータは、マルウェアおよび/またはオーファンオブジェクトを識別するために比較の結果を使用するためのポリシングユニットをさらに備える。
本発明の第4の態様によれば、多数のクライアントコンピュータにサービスを提供するためのサーバー・コンピュータ・システムが提供される。サーバー・コンピュータ・システムは、既知のアプリケーション依存関係ネットワークのデータベースを備え、各アプリケーション依存関係ネットワークは、少なくともオブジェクトパスおよびオブジェクト間の関係のセットを備える。サーバーコンピュータはまた、前記クライアントコンピュータの1つまたは複数からローカルアプリケーション依存関係ネットワークを受信するための受信機を備える。関連付けられているローカルアプリケーションが既知であるかどうかを判定するために、受信したローカルアプリケーション依存関係ネットワークをデータベース内の既知のアプリケーション依存関係ネットワークと比較するように依存関係ネットワークコンパレータが提供される。サーバーコンピュータはまた、それぞれのクライアントコンピュータに比較の結果を送信するための送信機を備える。
本発明の一実施形態による、アプリケーション依存関係ネットワークを識別するプロセスを示すフロー図である。 本発明の一実施形態による、悪意のあるソフトウェアの検出および除去を行うプロセスを示すフロー図である。 本発明の一実施形態による、失われたフラグメントを検出および除去をもする、悪意のあるソフトウェアの検出および除去を行う強化されたプロセスを示すフロー図である。 本発明の一実施形態によるコンピュータシステムを概略的に示す。
本明細書で説明するマルウェアスキャンのアプローチは、1つまたは複数の中央サーバーおよび多数のクライアントコンピュータを備えたコンピュータシステムの文脈で提示される。クライアントコンピュータは、インターネットを介して中央サーバー(複数可)と通信する。アプローチを採用され得る他のコンピュータ・システム・アーキテクチャは、当業者に容易に明らかであろう。
クライアントコンピュータ上のアプリケーションは、少なくともデータファイル、ディレクトリおよびレジストリ情報(後者はアプリケーションの構成や設定を含む)を含む関連するオブジェクトのセットから通常成る − アプリケーションの実行可能ファイルへのデスクトップ・ショートカット・ポイント;アプリケーションの実行可能ファイルは他のアプリケーションファイルおよびライブラリが置かれているディレクトリに格納される;アプリケーションを実行するのに必要なデータファイルおよび他の実行可能ファイルの場所へのアプリケーション・レジストリ・ポイント。関連するオブジェクトおよびその関係のセットは、アプリケーションのための「依存関係ネットワーク」と考えることができる。
オブジェクト名、絶対パス等に関係なく、特定のアプリケーションが、インストール時に、それがインストールされるクライアントコンピュータの構成に関係なく、特定のアプリケーション依存関係ネットワークを構築することが理解されるであろう(様々なクライアントコンピュータ上で同じオペレーティングシステムが使用されていると仮定して)。換言すれば、アプリケーションのためのアプリケーション依存関係ネットワークは、コンピュータに依存しない。したがって、アプリケーション依存関係ネットワークは、アンチウイルス・スキャン・エンジンでマルウェアを識別するのに有用であり得る。
特定のアプリケーションのための依存関係ネットワークを識別するためのいくつもの方法がある。アプリケーションのインストール中に使用することができるこのような2つの方法が最初に提示される。
第1の方法は、クライアントコンピュータ上でインストーラの活動を追跡することである。これを行うために、インストールプログラムは、フィルタドライバが任意の活動を監視し、インストーラまたはその子プロセスにより作成されたファイル、ディレクトリ、レジストリ情報など、オブジェクトのすべてを追跡できるように、管理対象環境内で起動される。フィルタドライバは、例えばファイル・システム・ドライバなどの低レベルコンポーネントであり、ファイルまたはディレクトリの作成およびファイルの修正または名称変更などのファイル操作をキャプチャおよび記録することができる。
第2の方法は、システムスナップショットの「差分抽出(diffing)」を使用することである。この第2の方法では、システムスナップショットはアプリケーションのインストール前後にクライアントコンピュータ上で取得される。スナップショットは、ファイル、ディレクトリ、およびレジストリ情報を含むであろう。 2つのスナップショット間の差分を識別することにより、インストールプロセス中にインストーラにより作成されたオブジェクトを識別することができる。新しくインストールされたオブジェクトが一旦識別されると、これを行うために採用される方法に関係なく、オブジェクト間の関係、例えばオブジェクトAがオブジェクトBを指し示すなどを判断することが必要である。オブジェクトパスは、オブジェクト間の関係と共に、アプリケーション依存関係ネットワークを定義する。
アプリケーション依存関係ネットワークを識別するためのすべての方法は、少なくとも、インストーラにより作成されるオブジェクトパスのリストを返す。パスをコンピュータに不明確にするために、他のコンピュータが異なる構成を有していてもよいように、それらがまず正規化されなければならない。正規化プロセスは、アプリケーション・インストール・フォルダ、tempディレクトリ、ユーザー・プロファイル・ディレクトリ、システムディレクタ等に対するディレクトリを固定キーワードと置換する。例えば:
%INSTALL_DIR% − は、アプリケーションがインストールされている正規化されたパスである。特定のコンピュータ上では、実際のインストールディレクトリ、例えば「c:\Program Files\Mozilla Firefox」に変換することができる。
正規化後、アプリケーション依存関係ネットワークは次のようなオブジェクトパスを含む:
%INSTALL_DIR%\firefox.exe
%INSTALL_DIR%\xul.dll
%INSTALL_DIR%\AccessibleMarshal.dll
%INSTALL_DIR%\application.ini
%USER_PROFILE%\Application Data\Mozilla\Firefox\
さらに、以下のような、レジストリキー、起動ポイント、および値に関連する正規化されたオブジェクトパスを備えることができる:
HKEY_CLASSES_ROOT\.htm\OpenWithList\firefox.exe
HKEY_CLASSES_ROOT\.xht
HKEY_CLASSES_ROOT\Applications\firefox.exe\s hell\open\command
(デフォルト値)、REG_SZ、 ”%INSTALL_DIR%\firefox.exe −requestPending −osint −url ”%1”
上記に示したように、オブジェクトはアプリケーション依存関係ネットワークを定義するのにも寄与する、それらの間の関係を有する。これらの関係を識別するために、オブジェクト依存関係情報が使用される。例えば、上記のオブジェクトの例を使用して、拡張子.xhtを持つファイルをユーザーがクリックするといつでもfirefox.exeが起動される。これはファイルがfirefox.exeに依存しているためである。したがってオブジェクト間の関係は、オブジェクト”%INSTALL_DIR%\firefox.exeおよびレジストリ・キー・オブジェクトHKEY_CLASSES_ROOT\.xhtとの間で識別することができる。%INSTALL_DIR%\firefox.exeを含むがHKEY_CLASSES_ROOT\.xhtと対応関係のないコンピュータ上のアプリケーション依存関係ネットワークがある場合、アプリケーションが正規のFirefoxアプリケーションを模倣しようとしていることを、または正規のFirefoxアプリケーションが正しくインストールまたはアンインストールされていないことを意味する場合がある。
アプリケーション依存関係ネットワークを識別するための上記の方法は、新しいアプリケーションがインストールされているときに、クライアントコンピュータ上でアンチウイルス・スキャン・エンジンがインストールされ実行される場合には、もちろん使用されることができる。以前にインストールしたアプリケーションをスキャンするためには、すなわち、スキャンエンジンをインストールする前にインストールした場合、またはアンチウイルススキャンを起動することなく巧く自分自身をインストールしたマルウェアを識別するためには、別のアプローチが必要であり、これは以前に作成されたアプリケーション依存関係ネットワークを判断することができる。また、この別のアプローチは、現在クライアントコンピュータ上でのオブジェクトのすべておよび関係を判断するために、クライアントコンピュータ上でシステムの完全スキャンを実行するようにアンチウイルス・スキャン・エンジンを有効にする(enable)ことができる。このシステムの完全スキャンは、完全なアプリケーション依存関係ネットワークの一部ではない、残りのオブジェクトおよびオブジェクト間の関係だけでなく、クライアントコンピュータに既にインストールされているすべてのアプリケーションのためのアプリケーション依存関係ネットワーク(ローカルアプリケーション依存関係ネットワーク)を返す。
図1は、この別の方法を示すフロー図である。この方法の主なステップは次のとおりである:
A1.クライアントコンピュータは、(オブジェクトパスにより定義されている)入力オブジェクトで始まる。これはシステム上の任意のオブジェクト、または知的な方法で選択されたオブジェクト、例えば、a.exeファイルである場合がある。
A2.クライアントコンピュータは、入力オブジェクトに依存する他のオブジェクトのすべての検索を実行する。例えば、上記の特定の例を使用して、Firefoxアプリケーションパス上で実行される検索は、.xht拡張子レジストリキーがFirefoxアプリケーションに依存していることがわかるであろう。
A3.クライアントコンピュータは検索から結果があるかどうかを判定する。
A4.結果が得られた場合、クライアントコンピュータは、これら他のオブジェクトのパスおよびそれらのオブジェクト間の関係を結果ファイルに格納する。次いで、それ以上の依存オブジェクトが見つからなくなるまで、それぞれの他のオブジェクトに対するA1からA4のステップが、再帰的に繰り返される。したがって、依存関係ネットワーク内のオブジェクトのすべてが見つかるまで検索は、分岐する。依存オブジェクトの検索は、通常一連の規則に従う、例えば:
Figure 2013543624
A5.ステップA3でそれ以上の結果が返されない場合、クライアントコンピュータは結果ファイル内のオブジェクトパスを正規化する(前述のとおり)。この結果ファイルの内容は、アプリケーション依存関係ネットワークである。この内容は、完全なアプリケーション依存関係ネットワークの一部ではない正規化されたオブジェクトパスおよびオブジェクト間の関係であってもよいが、この段階ではローカルアプリケーション依存関係ネットワークとして識別されることになる。
システム全体のスキャン中、関心となるオブジェクトのすべてが少なくとも1つの依存関係ネットワークに追加されるまで、この方法のステップは繰り返される(図1の破線の矢印で示されるとおり)。もちろん、いくつかのアプリケーション依存関係ネットワークは1つだけまたは少数のオブジェクト(パス)を含んでいてもよく、例えば、これらのオブジェクトは不完全なアンインストール操作後に残っているフラグメントである。
図2は、アンチウイルススキャン方法の第2段階を示すフロー図である。行われるステップは次のとおりであり、図2の左側のステップはクライアントコンピュータで実行され、図2の右側のものは中央サーバーで実行される:
B1.第2段階は、クライアントコンピュータが中央サーバーに送信する、段階1で識別されたローカルアプリケーション依存関係ネットワークの最初を選択することにより開始する。
B2.中央サーバーは、ローカルアプリケーション依存関係ネットワークに一致するエントリを既知の信頼できるアプリケーション依存関係ネットワークのデータベースで検索し、それに応じてローカルアプリケーション依存関係ネットワークが既知の信頼できる、または不明であるかどうかの通知をクライアントコンピュータに返信する。
B3.クライアントコンピュータが「既知の信頼できる」通知を受信した場合、段階1で規定されるように、アンチウイルス・スキャン・エンジンは、さらに選択したローカルアプリケーション依存関係ネットワークのための方法をステップB1で再び開始することができる(図2の破線の矢印で示される)。
B4.クライアントコンピュータが「未知の」通知を受信した場合、アンチウイルス・スキャン・エンジンはステップB5に進む。
B5.次いで、アンチウイルス・スキャン・エンジンは、従来のアンチウイルススキャン(例えば、アプリケーション・バイナリ・チェックおよび/またはヒューリスティック分析を採用する)をローカルアプリケーション依存関係ネットワークが対応しているアプリケーション上で開始する。
B6.アンチウイルス・スキャン・エンジンは、アプリケーションが正規品であるかどうかをステップB5における従来のアンチウイルススキャンから判定する。
B7.次いで、アプリケーションが正規品であると判断された場合、クライアントコンピュータは、既知の信頼できるアプリケーション依存関係ネットワークのデータベースのエントリとして未知のアプリケーション依存関係ネットワークが順番に追加される(または、中央サーバーでのさらなる分析に基づいて、および/またはすべてのユーザーから集められたレスポンスに基づいて、それが含まれると考慮する)メッセージを中央サーバーに送信する。
B8.アプリケーションがステップB5において正規品と判断されない場合、アンチウイルス・スキャン・エンジンは、ローカルアプリケーション依存関係ネットワーク内のオブジェクトパスのいずれかが他のローカルアプリケーション依存関係ネットワークで共有されているかどうかを判定する。
B9.共有オブジェクトのパスが存在しない場合、アンチウイルス・スキャン・エンジンは、アプリケーション依存関係ネットワーク内のパスにより識別されるオブジェクトのすべてをクライアントコンピュータから除去する、またはその他の方法により安全にする。
B10.共有オブジェクトのパスが存在する場合、アンチウイルス・スキャン・エンジンは、共有されていないアプリケーション依存関係ネットワーク内のパスにより識別されるオブジェクトのすべてをクライアントコンピュータから除去する、またはその他の方法により安全にし、共有されるオブジェクトを残す。
上記のように第2段階でアンチウイルス・スキャン・エンジンにより使用される方法は、かなり多くの従来のアプリケーション・バイナリ・チェックを実行するために、およびヒューリスティック分析技術を実行するために要する時間を顕著に削減する。ここで、アンチウイルス・スキャン・エンジンはアプリケーション上で完全な従来のアンチウイルススキャンが必要かどうかを最初に迅速に判断することができ、それが既知の信頼できるアプリケーションが原因でない場合、その後、速やかに別のアプリケーションに移動することができる。この方法はまた、その依存関係ネットワークにより識別される悪意のあるアプリケーション全体がシステムから除去される高品質な除去プロセスを提供すし、悪意のあるアプリケーションのすべてのコンポーネントが削除されていることを確実にする。
方法の第2段階(図2)では、中央サーバーが、クライアントコンピュータから送信されたローカルアプリケーション依存関係ネットワークと一致するエントリを既知の信頼できないアプリケーション依存関係ネットワークのデータベースで検索を開始するステップを含んでいてもよい。一致するエントリが見つかった場合、その後、サーバーはローカルアプリケーション依存関係ネットワークを既知の信頼できないものとして識別する通知をクライアントコンピュータに送信する。次いで、アンチウイルス・スキャン・エンジンは、上記のようにステップB8からB10に従ってアプリケーションを除去することができる。一致するエントリが既知の信頼できないアプリケーション依存関係ネットワークのデータベースで見つからない場合、その後サーバーはローカルアプリケーション依存関係ネットワークを不明として識別する通知をクライアントコンピュータに送信する。次いで、アンチウイルス・スキャン・エンジンは、ローカルアプリケーション依存関係ネットワークが対応しているアプリケーション上で従来のアンチウイルススキャン(例えば、アプリケーションのバイナリチェックおよび/またはヒューリスティック分析を使用する)を開始する。アンチウイルス・スキャン・エンジンが、アプリケーションが正規品でないことを従来のアンチウイルススキャンから判断した場合、クライアントコンピュータは、既知の信頼できないアプリケーション依存関係ネットワークのデータベースにエントリとして未知のアプリケーション依存関係ネットワークを順番に追加することを考慮するメッセージを中央サーバーに送信する。次いで、アンチウイルスエンジンは、ステップB8からB10に従って上記のようにアプリケーションを除去することができる。
このさらなる実施形態は、ステップB1からB10で説明した第2段階の方法の代替として、またはそれと合せて使用することができる。これはアプリケーションのバイナリ証明書をチェックし、ヒューリスティック分析技術を実行するより多くの従来の方法を実行するのに要する時間をさらに削減するようにB1からB10の方法と合せて使用することが好ましいであろう。
悪意のあるソフトウェアと同様に、コンピュータシステムに影響を与える別の問題は、「失われたフラグメント」である。時にはオーファンファイルとして知られている失われたフラグメントは、データファイル、ダウンロードされたアップデート、およびアプリケーションがコンピュータシステムからアンインストールされた後、またはアプリケーションが正しくインストールされていない場合に後に残ることがあるアプリケーションの他のフラグメントである。これらの失われたフラグメントは時間をかけて増大することがあり、大量のディスク領域を占有することがあり、ユーザーが利用できる有用なストレージ容量を削減することがある。失われたフラグメントは、しばしばどのアプリケーションに属しているかが明確ではないので、常に検出することが容易ではない。さらに、最初は1つのアンインストールされたアプリケーションからの失われたフラグメントであると見えるかもしれないものが、実際にはまだコンピュータシステムにインストールされている1つまたは複数の他のアプリケーションと共有されているオブジェクトである場合がある。このことは、ユーザーが、別のアプリケーションが動作を停止する可能性がある何かを除去するのを恐れてフラグメントを削除したくない場合があるので、失われたフラグメントを削除することを困難にする。
クライアントコンピュータ上での失われたフラグメントは、上記のように第1段階でアンチウイルス・スキャン・エンジンにより拾い上げられた完全なアプリケーション依存関係ネットワークの一部ではない残りのオブジェクトのパスおよびオブジェクト間の関係に対応する。第1段階の終わりに、それらは通常のローカルアプリケーション依存関係ネットワークとして識別される。
図3は、失われたフラグメントをも検出し除去する、悪意のあるソフトウェアの検出と除去を行う強化されたプロセスを示すフロー図である。行われるステップは上述したB1からB10と同じであるが、ステップB3はC2により置換され、追加のステップC1およびC3が、ステップB2の後に導入される。追加のステップは以下のように行われる:
C1.サーバーが一致するエントリを(ステップB2で)見つけた後に、サーバーは、データベース内の既知のアプリケーション依存関係ネットワーク内で識別されるすべての予測されるアプリケーションの実行可能ファイルおよびモジュールがローカルアプリケーション依存関係ネットワークに存在するかどうかを判断するために検証チェックを行う。次いで、サーバーは、ローカルアプリケーション依存関係ネットワークが「既知の信頼できる、および完全な」、または「既知の信頼できる、しかし不完全な」かどうかの通知をクライアントコンピュータに返信する。
C2.クライアントコンピュータが「既知の信頼できる、および完全な」通知を受信した場合、段階1で規定されるようにアンチウイルス・スキャン・エンジンは、さらに選択したローカルアプリケーション依存関係ネットワークのための方法をステップB1で再び開始することができる(図3の破線の矢印で示されるように)。
C3.クライアントコンピュータが「既知の信頼できる、しかし不完全な」通知を受信した場合、上述したようにアンチウイルス・スキャン・エンジンは、ステップB8からB10に従って失われたフラグメントを除去することができる。
あるいは、ステップC3の後、ユーザーはステップB8からB10に進む前に、失われたフラグメントが削除される、またはされないかどうかの最終判断を下すことを求められる場合がある。
図4は、本発明の実施形態によるコンピュータシステムを概略的に示す。コンピュータシステムは、インターネットまたはLANなどのネットワーク3を介して中央サーバー2に接続される少なくとも1つのクライアントコンピュータ1を備える。このクライアントコンピュータ1は、コンピュータのハードウェアおよびソフトウェアの組み合わせとして実装することができる。クライアントコンピュータ1は、メモリ4、プロセッサ5、およびトランシーバ6を備える。メモリ4は、プロセッサ5により実行される各種プログラム/実行可能ファイルを格納し、また任意の必要なデータのためのストレージユニット7を提供する。メモリ4に格納されるとともにプロセッサ5により実行されるプログラム/実行可能ファイルは、システムスキャナ8、結果ハンドラ9、およびポリシングユニット10を含み、それらすべてがアンチウイルス・スキャン・エンジン11のサブユニットであり得る。トランシーバ6は、ネットワーク3を介して中央のアンチウィルスサーバー2と通信するのに使用される。一般に、クライアントコンピュータ1は、デスクトップ・パーソナル・コンピュータ(PC)、ラップトップ、パーソナル・データ・アシスタント(PDA)またはモバイル電話、または任意の他の適切なデバイスのいずれであってもよい。
中央サーバー2は、典型的にはクライアントコンピュータ1上で走るアンチウイルス・スキャン・エンジン11のプロバイダーにより運営される。あるいは、中央サーバー2は、ネットワーク管理者またはスーパーバイザーのそれであってもよく、クライアントコンピュータ1は、スーパーバイザーが担当するネットワークの一部である。中央サーバー2は、コンピュータのハードウェアおよびソフトウェアとの組み合わせとして実装することができる。中央サーバー2は、メモリ19、プロセッサ12、トランシーバ13およびデータベース14を備える。メモリ19は、プロセッサ12により実行される各種プログラム/実行可能ファイルを格納し、また任意の必要なデータのためのストレージユニット18を提供する。メモリ19に格納されるとともに、プロセッサ12により実行されるプログラム/実行可能ファイルは、システムスキャナ16および依存関係ネットワークコンパレータ17を含み、それらのどちらもアンチウイルスユニット15のサブユニットであり得る。これらのプログラム/ユニットは、クライアントコンピュータ1で実装されるそれらのプログラムと同じであってもよく、またはクライアントコンピュータ1で実装されるプログラムとインターフェースおよび協働することのできる異なるプログラムであってもよい。トランシーバ13は、ネットワーク3を介してクライアントコンピュータ1との通信に使用される。
データベース14は、既知のアプリケーション依存関係ネットワークを格納し、さらにマルウェア定義データ、ヒューリスティック分析ルール、ホワイトリスト、ブラックリストなどを格納してもよい。データベース14は、クライアントコンピュータ上の第1段階で上記のようにアプリケーション依存関係ネットワークを識別する方法を使用しているサーバーにより既知のアプリケーション依存関係ネットワークを事前設定することができる。これらの方法は非常に正確であるが、実用的なサイズにまでデータベースを構築するために必要なインストーラの数を見つけるだけでなく、対応するアプリケーションの依存関係ネットワークをキャプチャするために、それぞれのインストーラを介して実行する大量の労力を必要とするであろう。あるいは、データベース14は、情報を「クラウドソーシング」することにより既知のアプリケーション依存関係ネットワークを事前設定できる。多数の分散クライアントがクライアントコンピュータからローカルアプリケーション依存関係ネットワークを提示する場合は、「クラウドソーシング」を使用することができる。サーバー2は、トランシーバ13を介してローカルアプリケーション依存関係ネットワークを受信し、メモリ11にそれを格納して多数の分散クライアントから提示された複数の同一ネットワークをグループ化する。いずれかの特定のアプリケーションの提示の数があらかじめ定義された数に達すると、サーバー2は、ローカルアプリケーション依存関係ネットワークが有効であることを示し、それを既知のアプリケーション依存関係ネットワークのデータベース14に入力する。データベース14はこれらの方法の組み合わせを使用して事前設定されることが所期される。
様々な修正が、本発明の範囲から逸脱することなく、上述した実施形態になされ得ることが当業者には理解されるであろう。

Claims (16)

  1. 各々が相互関連オブジェクトのセットを備える複数のアプリケーションがインストールされるコンピュータを分析する方法であって、
    1つまたは複数の前記アプリケーションそれぞれのローカル依存関係ネットワークを識別するステップであって、前記ローカル依存関係ネットワークは少なくともオブジェクトパスおよびオブジェクト間の関係のセットを備える、ステップと、
    前記ローカル依存関係ネットワークに関連付けられた前記アプリケーションが既知であるかどうかを判断するために、前記または各ローカルアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較するステップと、
    マルウェアおよび/またはオーファンオブジェクトを識別するために前記比較の結果を使用するステップと
    を備える方法。
  2. 前記相互関連オブジェクトは、実行可能ファイル、データファイル、レジストリキー、レジストリ値、レジストリデータ、および起動ポイントのうちの1つまたは複数である請求項1に記載の方法。
  3. 前記ローカルアプリケーション依存関係ネットワークの前記オブジェクトのパスを識別するステップと、前記パスをシステム非依存にするために正規化するステップとを備える請求項1または2に記載の方法。
  4. 前記ローカルアプリケーション依存関係ネットワークの前記オブジェクトパスは、アプリケーションのインストールプログラムが起動されたときに活動を追跡することにより識別される請求項1〜3のいずれか1項に記載の方法。
  5. 前記ローカルアプリケーション依存関係ネットワークの前記オブジェクトパスは、前記アプリケーションのインストール前後にシステムのスナップショットを取得し、前記2つのスナップショット間の違いを識別することにより識別される請求項1〜3のいずれか1項に記載の方法。
  6. 前記ローカルアプリケーション依存関係ネットワークは、
    1)特定の入力オブジェクトに対して、前記入力オブジェクトに依存する他のすべてのオブジェクトの検索を行うステップと、
    2)前記入力オブジェクトの前記パスおよび前記検索で見つかった他のすべてのオブジェクト、およびそれらのオブジェクト間の関係を結果ファイルに格納するステップと、
    3)それ以上の依存オブジェクトが見つからなくなるまで、それぞれの他のオブジェクトに対して再帰的に前記ステップ1)および前記ステップ2)を繰り返すステップと、
    4)前記結果ファイル内の前記オブジェクトパスを正規化するステップと
    により識別される請求項1〜5のいずれか1項に記載の方法。
  7. 前記既知のアプリケーション依存関係ネットワークのデータベースは、これら依存関係ネットワークをキャプチャするために、既知のアプリケーションのインストールを監視することにより事前設定される請求項1〜6のいずれか1項に記載の方法。
  8. 前記既知のアプリケーション依存関係ネットワークのデータベースは、分散クライアントベースのローカルシステムからアプリケーション依存関係ネットワークを収集することにより事前設定される請求項1〜6のいずれか1項に記載の方法。
  9. クライアントコンピュータで前記アプリケーションの1つまたは複数のそれぞれのローカル依存関係ネットワークを識別する前記ステップを実行することと、中央サーバーで前記または各ローカルアプリケーション依存関係ネットワークを前記既知のアプリケーション依存関係ネットワークのデータベースと比較する前記ステップを実行することとを含む請求項1〜8のいずれか1項に記載の方法。
  10. 未知のアプリケーション依存関係ネットワークに対して、前記未知のアプリケーション依存関係ネットワークに属するオブジェクトのさらなるマルウェアのスキャンを行うステップを含む請求項1〜9のいずれか1項に記載の方法。
  11. 前記さらなるマルウェアのスキャンは、
    アプリケーションバイナリ証明書のチェックを行うステップ、および
    前記未知のローカルアプリケーション依存関係ネットワークで識別されたオブジェクトに対してヒューリスティック分析を実行するステップ
    のいずれかまたは両方のステップと、
    前記アプリケーションが悪意のあることが判明した場合、前記未知のローカルアプリケーション依存関係ネットワークで識別された前記オブジェクトを前記クライアントコンピュータから除去する、または別な方法で安全にするステップと
    を含む請求項10に記載の方法。
  12. 前記さらなるマルウェアのスキャンの後に正規品であることが判明した未知のローカルアプリケーションの前記アプリケーション依存関係ネットワークは、前記既知のアプリケーション依存関係ネットワークのデータベースに入力される請求項10または11に記載の方法。
  13. 前記さらなるマルウェアのスキャンは、
    アプリケーションバイナリ証明書のチェックを行うステップ、および
    前記未知のローカルアプリケーション依存関係ネットワークで識別されたオブジェクトに対してヒューリスティック分析を実行するステップ
    のいずれかまたは両方のステップと、
    他の既知のアプリケーション依存関係ネットワークと共有されたオブジェクトを除いて、前記アプリケーションが悪意のあることが判明した場合、前記未知のローカルアプリケーション依存関係ネットワークで識別された前記オブジェクトを前記クライアントコンピュータから除去する、または別な方法で安全にするステップと
    を備える請求項10に記載の方法。
  14. 請求項1〜13のいずれか1項に記載の方法をコンピュータに実行させるためのコンピュータプログラム。
  15. クライアントコンピュータであって、
    前記クライアントコンピュータにインストールされた1つまたは複数のアプリケーションごとにローカル依存関係ネットワークを識別するためのシステムスキャナであって、前記ローカルアプリケーション依存関係ネットワークは少なくともオブジェクトパスおよびオブジェクト間の関係のセットを備える、システムスキャナと、
    前記ローカルアプリケーション依存関係ネットワークに関連付けられた前記アプリケーションが既知であるかどうかを判断するために、前記または各ローカルアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較した結果を得るための結果ハンドラと、
    マルウェアおよび/またはオーファンオブジェクトを識別するために前記比較の前記結果を使用するためのポリシングユニットと
    を備えるクライアントコンピュータ。
  16. 多数のクライアントコンピュータにサービスを提供するためのサーバー・コンピュータ・システムであって、
    既知のアプリケーション依存関係ネットワークのデータベースであって、各アプリケーション依存関係ネットワークがオブジェクトパスおよびオブジェクト間の関係を含む、データベースと、
    前記クライアントコンピュータの1つまたは複数からローカルアプリケーション依存関係ネットワークを受信するための受信機と、
    関連するローカルアプリケーションが既知であるかどうかを判断するために、前記データベース内の前記既知のアプリケーション依存関係ネットワークに対して、前記受信したローカルアプリケーション依存関係ネットワークを比較するための依存関係ネットワークコンパレータと、
    前記クライアントコンピュータそれぞれに前記比較の結果を送信するための送信機と
    を備えるサーバー・コンピュータ・システム。
JP2013534222A 2010-10-21 2011-09-07 コンピュータシステムの分析方法および装置 Active JP5963008B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/925,482 US20120102569A1 (en) 2010-10-21 2010-10-21 Computer system analysis method and apparatus
US12/925,482 2010-10-21
PCT/EP2011/065479 WO2012052221A1 (en) 2010-10-21 2011-09-07 Computer system analysis method and apparatus

Publications (2)

Publication Number Publication Date
JP2013543624A true JP2013543624A (ja) 2013-12-05
JP5963008B2 JP5963008B2 (ja) 2016-08-03

Family

ID=44583060

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013534222A Active JP5963008B2 (ja) 2010-10-21 2011-09-07 コンピュータシステムの分析方法および装置

Country Status (7)

Country Link
US (1) US20120102569A1 (ja)
EP (1) EP2630604A1 (ja)
JP (1) JP5963008B2 (ja)
CN (1) CN103180863B (ja)
AU (1) AU2011317734B2 (ja)
BR (1) BR112013009440A2 (ja)
WO (1) WO2012052221A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017514205A (ja) * 2014-03-11 2017-06-01 シマンテック コーポレーションSymantec Corporation インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法
JP2019501436A (ja) * 2015-10-06 2019-01-17 ネットフリックス,インコーポレイティド アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法
US11036564B2 (en) 2017-01-05 2021-06-15 Fujitsu Limited Non-transitory computer-readable storage medium, information processing apparatus and method for detecting malware
US11048799B2 (en) 2017-01-05 2021-06-29 Fujitsu Limited Dynamic malware analysis based on shared library call information

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776235B2 (en) * 2012-01-10 2014-07-08 International Business Machines Corporation Storage device with internalized anti-virus protection
US9043914B2 (en) 2012-08-22 2015-05-26 International Business Machines Corporation File scanning
US9135140B2 (en) * 2012-11-30 2015-09-15 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Identifying software responsible for a change in system stability
US9143519B2 (en) 2013-03-15 2015-09-22 Mcafee, Inc. Remote malware remediation
US9311480B2 (en) 2013-03-15 2016-04-12 Mcafee, Inc. Server-assisted anti-malware client
WO2014142986A1 (en) * 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware client
US20150222508A1 (en) * 2013-09-23 2015-08-06 Empire Technology Development, Llc Ubiquitous computing (ubicomp) service detection by network tomography
CN103902902A (zh) * 2013-10-24 2014-07-02 哈尔滨安天科技股份有限公司 一种基于嵌入式系统的Rootkit检测方法及系统
US20170249229A1 (en) * 2014-11-20 2017-08-31 Hewlett Packard Enterprise Development Lp Query a hardware component for an analysis rule
RU2606883C2 (ru) * 2015-03-31 2017-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ открытия файлов, созданных уязвимыми приложениями
US10769113B2 (en) * 2016-03-25 2020-09-08 Microsoft Technology Licensing, Llc Attribute-based dependency identification for operation ordering
KR101804139B1 (ko) * 2017-02-15 2017-12-05 김진원 키워드 기반 데이터 관리 시스템 및 방법
US10365910B2 (en) * 2017-07-06 2019-07-30 Citrix Systems, Inc. Systems and methods for uninstalling or upgrading software if package cache is removed or corrupted
US11449605B2 (en) * 2020-04-13 2022-09-20 Capital One Services, Llc Systems and methods for detecting a prior compromise of a security status of a computer system
CN112527543A (zh) * 2020-10-27 2021-03-19 百果园技术(新加坡)有限公司 客户端启动异常处理方法、装置、电子设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007003916A2 (en) * 2005-06-30 2007-01-11 Prevx Limited Methods and apparatus for dealing with malware
WO2009158239A1 (en) * 2008-06-23 2009-12-30 Symantec Corporation Methods and systems for determining file classifications
EP2169583A1 (en) * 2008-09-26 2010-03-31 Symantec Corporation Method and apparatus for reducing false positive detection of malware

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8458805B2 (en) * 2003-06-23 2013-06-04 Architecture Technology Corporation Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data
US7478237B2 (en) * 2004-11-08 2009-01-13 Microsoft Corporation System and method of allowing user mode applications with access to file data
US8307355B2 (en) * 2005-07-22 2012-11-06 International Business Machines Corporation Method and apparatus for populating a software catalogue with software knowledge gathering
US20080201705A1 (en) * 2007-02-15 2008-08-21 Sun Microsystems, Inc. Apparatus and method for generating a software dependency map
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007003916A2 (en) * 2005-06-30 2007-01-11 Prevx Limited Methods and apparatus for dealing with malware
US20070016953A1 (en) * 2005-06-30 2007-01-18 Prevx Limited Methods and apparatus for dealing with malware
JP2009500706A (ja) * 2005-06-30 2009-01-08 プレヴィクス リミテッド マルウェアに対処する方法及び装置
WO2009158239A1 (en) * 2008-06-23 2009-12-30 Symantec Corporation Methods and systems for determining file classifications
US20100017877A1 (en) * 2008-06-23 2010-01-21 Symantec Corporation Methods and systems for determining file classifications
JP2012501009A (ja) * 2008-06-23 2012-01-12 シマンテック・コーポレーション ファイル分類を特定する方法およびシステム
EP2169583A1 (en) * 2008-09-26 2010-03-31 Symantec Corporation Method and apparatus for reducing false positive detection of malware
JP2010079906A (ja) * 2008-09-26 2010-04-08 Symantec Corp マルウェアの誤検出を低減する方法及び装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017514205A (ja) * 2014-03-11 2017-06-01 シマンテック コーポレーションSymantec Corporation インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法
JP2019501436A (ja) * 2015-10-06 2019-01-17 ネットフリックス,インコーポレイティド アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法
US11036564B2 (en) 2017-01-05 2021-06-15 Fujitsu Limited Non-transitory computer-readable storage medium, information processing apparatus and method for detecting malware
US11048799B2 (en) 2017-01-05 2021-06-29 Fujitsu Limited Dynamic malware analysis based on shared library call information

Also Published As

Publication number Publication date
JP5963008B2 (ja) 2016-08-03
BR112013009440A2 (pt) 2017-03-07
EP2630604A1 (en) 2013-08-28
US20120102569A1 (en) 2012-04-26
CN103180863B (zh) 2016-10-12
WO2012052221A1 (en) 2012-04-26
AU2011317734A1 (en) 2013-04-04
CN103180863A (zh) 2013-06-26
AU2011317734B2 (en) 2014-09-25

Similar Documents

Publication Publication Date Title
JP5963008B2 (ja) コンピュータシステムの分析方法および装置
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
EP3814961B1 (en) Analysis of malware
CN109684832B (zh) 检测恶意文件的系统和方法
US11068591B2 (en) Cybersecurity systems and techniques
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
JP6644001B2 (ja) ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
US8590045B2 (en) Malware detection by application monitoring
US7926111B2 (en) Determination of related entities
US20060236393A1 (en) System and method for protecting a limited resource computer from malware
WO2012107255A1 (en) Detecting a trojan horse
WO2015007224A1 (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
US8925085B2 (en) Dynamic selection and loading of anti-malware signatures
US8656494B2 (en) System and method for optimization of antivirus processing of disk files
US8448243B1 (en) Systems and methods for detecting unknown malware in an executable file
US9787699B2 (en) Malware detection
US8726377B2 (en) Malware determination
US11275836B2 (en) System and method of determining a trust level of a file
EP3758330B1 (en) System and method of determining a trust level of a file
US11188644B2 (en) Application behaviour control
WO2012143594A1 (en) Anti-virus scanning

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140821

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150804

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20151030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160615

R150 Certificate of patent or registration of utility model

Ref document number: 5963008

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350