JP2015127843A - 通信制御装置、通信制御方法、および通信制御プログラム - Google Patents

通信制御装置、通信制御方法、および通信制御プログラム Download PDF

Info

Publication number
JP2015127843A
JP2015127843A JP2013248713A JP2013248713A JP2015127843A JP 2015127843 A JP2015127843 A JP 2015127843A JP 2013248713 A JP2013248713 A JP 2013248713A JP 2013248713 A JP2013248713 A JP 2013248713A JP 2015127843 A JP2015127843 A JP 2015127843A
Authority
JP
Japan
Prior art keywords
communication
information
server
communication control
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013248713A
Other languages
English (en)
Other versions
JP6092759B2 (ja
Inventor
貴広 濱田
Takahiro Hamada
貴広 濱田
五十嵐 弓将
Yumimasa Igarashi
弓将 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013248713A priority Critical patent/JP6092759B2/ja
Publication of JP2015127843A publication Critical patent/JP2015127843A/ja
Application granted granted Critical
Publication of JP6092759B2 publication Critical patent/JP6092759B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】水飲み場型攻撃等によってWebサイトに仕込まれたマルウェアによる被害の拡大を抑えることを可能にする。
【解決手段】通信制御装置20は、ユーザNW2に属するユーザ端末26から、当該ユーザNW2の外部のネットワーク上のWebサイトへのアクセスにおいて、アクセス元のユーザ端末26の識別情報およびアクセス先のWebサイトの識別情報を含む通信ログを記憶する通信ログ記憶部201と、改竄されたWebサイトの識別情報を含む改竄情報を受け付ける改竄情報受付部203と、改竄情報受付部203が改竄情報を受け付けた場合に、通信ログ記憶部201内の通信ログを参照して、改竄情報に含まれるWebサイトにアクセスしたユーザ端末26を特定し、ユーザ端末26の通信経路を制御するSDNコントローラ25に指示して、特定したユーザ端末26の通信を制限させる通信制御部202とを備える。
【選択図】図1

Description

本発明は、通信制御装置、通信制御方法、および通信制御プログラムに関する。
下記の特許文献1には、通信を発生させた端末のURLやアドレスの構造から特徴ベクトルを抽出し、得られた特徴に対して教師付き機械学習の手法を適用することにより、通信が通常かあるいは悪意があるかという、通信の悪意性の種別を推定的に判定する技術が開示されている。このような技術により、過去に観測されなかった未知のアドレスにも対応可能なアドレスの評価判定が可能となり、結果として悪意のある通信を検出することができる。
また、標的となるユーザがよく利用する正規のWebサイトを不正に改竄してマルウェア等を仕込み、そのWebサイトにアクセスしてきたユーザのユーザ端末にマルウェアをダウンロードさせて感染させるドライブ・バイ・ダウンロード型攻撃の一つである水飲み場型攻撃が知られている。
特開2012−175296号公報
ところで、上記の特許文献1の技術では、通信データの送信元のアドレスに基づいて送信元の悪意性を推定するが、正規のWebサイトが改竄された場合には、Webサイト自体は正規のものであるため、送信元のWebサーバのアドレスからは悪意性が推定されない。そのため、特許文献1の技術は、水飲み場型攻撃に対しては有効な対策とはならない。
また、ブラウザプログラムやOS、その他アプリケーション等に脆弱性が発見されても、その脆弱性を修正する修正パッチが適用されていれば、その脆弱性を突く攻撃を受けることはない。しかし、脆弱性が発見されてから修正パッチが提供されるまでの間に、その脆弱性を突くいわゆるゼロデイ攻撃を防ぐことはできない。そのため、ゼロデイ攻撃によりマルウェアを仕込まれたユーザ端末が他のユーザ端末やサーバへマルウェア等の不正プログラムを拡散させることで、マルウェアによる被害が拡大する場合があった。
そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、水飲み場型攻撃等によって仕込まれたマルウェアによる被害の拡大を抑えることを目的とする。
上述した課題を解決し、目的を達成するため、本願に係る通信制御装置は、ユーザネットワークに属する通信装置から、当該ユーザネットワークの外部のネットワーク上の外部サービス装置へのアクセスにおいて、アクセス元の通信装置の識別情報およびアクセス先の外部サービス装置の識別情報を含む通信ログを記憶する記憶部と、改竄された外部サービス装置の識別情報を含む改竄情報を受け付ける受付部と、前記受付部が前記改竄情報を受け付けた場合に、前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる外部サービス装置にアクセスした通信装置を制限対象の通信装置として特定し、前記通信装置の通信経路を制御する経路制御装置に指示して、前記制限対象の通信装置の通信を制限させる通信制御部とを備える。
本願に係る通信制御装置、通信制御方法、および通信制御プログラムは、水飲み場型攻撃等によって仕込まれたマルウェアによる被害の拡大を抑えることを可能とする。
図1は、実施形態における通信システムの一例を示すシステム構成図である。 図2は、ユーザNWに設けられたSDN−SWの設定の一例を説明するための説明図である。 図3は、データセンタに設けられたSDN−SWの設定の一例を説明するための説明図である。 図4は、通信ログ記憶部が記憶する外部アクセスログの一例を示す図である。 図5は、通信ログ記憶部が記憶する内部アクセスログの一例を示す図である。 図6は、Webサイトの改竄から修正プログラムの提供までの過程の一例を説明するための説明図である。 図7は、通信制御装置の動作の一例を示すフローチャートである。 図8は、通信制御装置の機能を実現するコンピュータの構成の一例を示す図である。 図9は、他の実施形態における通信システムの一例を示すシステム構成図である。
以下、本発明の一実施形態について、図面を参照しながら説明する。
図1は、実施形態における通信システム1の構成の一例を示すシステム構成図である。通信システム1は、例えば図1に示すように、ユーザの拠点内に構築されたユーザNW(ネットワーク)2と、データセンタ3とを有する。
ユーザNW2には、例えば図1に示すように、通信制御装置20、トンネリング装置21、SDN−SW(Software-Defined Network - SWitch)22、Webプロキシサーバ23、ルータ24、およびSDNコントローラ25が設けられる。通信制御装置20は、通信ログ収集部200、通信ログ記憶部201、通信制御部202、および改竄情報受付部203を有する。SDN−SW22には、LAN28が接続され、LAN28には、複数のユーザ端末26−1、26−2、・・・と、1つ以上のサーバ27が接続される。なお、以下では、ユーザ端末26−1、26−2、・・・を区別することなく総称する場合に、「ユーザ端末26」と記載する。ユーザ端末26およびサーバ27は、通信装置の一例である。
データセンタ3には、例えば図1に示すように、ルータ30、トンネリング装置31、SDN−SW32、検査サーバ33、および1つ以上のDC(Data Center)サーバ36−1、36−2、・・・が設けられる。SDN−SW32には、隔離ネットワーク34およびLAN35が接続される。隔離ネットワーク34には、検査サーバ33が接続される。LAN35には、DCサーバ36−1、36−2、・・・がそれぞれ接続される。なお、以下では、DCサーバ36−1、36−2、・・・を区別することなく総称する場合に、「DCサーバ36」と記載する。
ユーザNW2内のトンネリング装置21は、データセンタ3内のトンネリング装置31との間で、例えばL2−VPN(Layer 2 − Virtual Private Network)等の技術を用いて仮想的な通信路を設定する。そして、SDN−SW22から通信データを受け取った場合に、当該通信データについてカプセル化および暗号化の処理を施す。そして、トンネリング装置21は、処理後の通信データの送信元のIPアドレスをトンネリング装置21のアドレスとし、宛先のIPアドレスをトンネリング装置31としてルータ24へ送る。また、トンネリング装置21は、ルータ24からカプセル化された通信データを受け取った場合に、当該通信データについてデカプセル化および復号の処理を施し、処理後の通信データをSDN−SW22へ送る。
Webプロキシサーバ23は、SDN−SW22から通信データを受け取った場合に、受け取った通信データに基づいて外部アクセスログを作成し、作成した外部アクセスログを通信ログとして、SDN−SW22を介して通信制御装置20へ送る。なお、Webプロキシサーバ23は、SDN−SW22を介さずに、通信ログを通信制御装置20へ送ってもよい。外部アクセスログには、通信データの送信元のユーザ端末26またはサーバ27の情報(アクセス元情報)、通信データの送信先のWebサーバ11の情報(アクセス先情報)、および、当該通信データの送信時刻(アクセス時刻)が含まれる。Webサーバ11は、外部サービス装置の一例である。
アクセス元情報には、通信データの送信元のユーザ端末26またはサーバ27の識別情報と、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報とが含まれる。ユーザ端末26およびサーバ27の識別情報としては、例えばMACアドレス、IPアドレス、およびホスト名等を用いることができる。また、ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報としては、プログラム名やバージョンの情報等を用いることができる。ブラウザプログラムの情報は、HTTP(HyperText Transfer Protocol)を用いた通信であれば、例えば通信データのヘッダに含まれているユーザエージェント(User Agent)情報から取得することができる。アクセス先情報には、通信データの宛先となるWebサイトのURL(Uniform Resource Locator)や、当該Webサイトを提供しているWebサーバ11のIPアドレス等を用いることができる。
Webプロキシサーバ23は、例えば、SDN−SW22から受け取った通信データの送信元のIPアドレスをWebプロキシサーバ23のアドレスに書き換えてルータ24へ送る。また、Webプロキシサーバ23は、例えば、ルータ24から受け取った通信データの宛先を、当該通信データの要求元のユーザ端末26のアドレスに書き換えてSDN−SW22へ送る。なお、透過型プロキシ機能を備えるWebプロキシサーバを設置する場合は、この限りではなく、IPアドレスを書き換えない場合もある。
ルータ24は、トンネリング装置21から受け取った通信データを、インターネット等の通信回線12を介してデータセンタ3へ送り、Webプロキシサーバ23から受け取った通信データを、通信回線12を介して宛先のWebサーバ11へ送信する。また、ルータ24は、通信回線12を介して通信データを受信した場合に、受信した通信データを、宛先のIPアドレスに応じてトンネリング装置21またはWebプロキシサーバ23へ送る。
SDN−SW22は、フローテーブルおよび複数の入出力ポートを有し、それぞれのポートにおいて通信データを受信した場合に、受信した通信データを、フローテーブルに設定された条件に従って処理する。具体的なフローテーブルの例を、図2を用いて説明する。図2は、ユーザNW2に設けられたSDN−SW22の設定の一例を説明するための説明図である。図2(a)は、SDN−SW22に設けられた各ポートとその接続先を示している。図2(b)は、SDN−SW22内のフローテーブル220に設定されるデータの一例を示している。
なお、SDN−SW22およびSDN−SW32は、例えばOpenflow対応スイッチ(Openvswitch: http://openvswitch.org/)を用いて実現することができる。また、SDNコントローラ25は、例えばOpenflow(https://www.opennetworking.org/)対応コントローラを用いて実現することができる。
図2(a)に例示するように、SDN−SW22のポート01はLAN28を介してユーザ端末26およびサーバ27にそれぞれ接続され、ポート02はトンネリング装置21に接続され、ポート03はWebプロキシサーバ23に接続され、ポート04は通信制御装置20に接続されている。なお、SDN−SW22とSDNコントローラ25は、SDN用のチャネルで通信が確立している。
SDN−SW22内のフローテーブル220には、例えば図2(b)に示すように、通信データを受信した入力ポートの情報に対応付けて、当該入力ポートで受信した通信データの条件と、その条件を満たした通信データを送出する出力ポートの情報とが格納されている。図2(b)の例では、通信データの送信元MACアドレスおよび宛先のMACアドレスが条件として指定される。
なお、図2(b)に例示したフローテーブル220において、各行はフローエントリと呼ばれ、左側の3列は、SDN−SW22が通信データを受信したときに、受信した通信データと比較される条件項目であり、一番右側の1列は、受信した通信データが条件項目にマッチしたときに、SDN−SW22がその通信データに対して実行する命令である。また、図2(b)に例示したフローテーブル220において、「−」は、任意のMACアドレスを示し、「***」は、SDNコントローラ25によって指定されたMACアドレスが随時登録または削除されることを示している。また、SDN−SW22は、受信した通信データについて、フローテーブル220の最上段のレコードから最下段のレコードに向かって順に条件判定を行う。また、SDN−SW22は、いずれのレコードにも該当しない通信データについては、対処をSDNコントローラ25に問い合わせたり、ドロップさせたりする。なお、図1および図2では、Webサイトへのアクセスに着目したシステム構成が図示されている。Webサイトとの通信以外の通信では、通信データは、Webプロキシサーバ23を経由せずに、SDN−SW22とルータ24の間の図示しない接続を介してやり取りされる。
図2(b)に例示したフローテーブル220において、例えば最上段のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスがSDNコントローラ25によって指定されたアドレスであれば、宛先MACアドレスにかかわらず、その通信データを「02」のポートから出力することを示している。その結果、ユーザ端末26またはサーバ27から出力された通信データは、トンネリング装置21によってカプセル化および暗号化されてデータセンタ3内のトンネリング装置31へ送られる。そして、その通信データは、SDN−SW32によって隔離ネットワーク34内に出力される。
また、例えば上から2段目のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがWebプロキシサーバ23のMACアドレスであれば、その通信データを「03」のポートから出力することを示している。この結果、ユーザ端末26またはサーバ27から出力された通信データは、Webプロキシサーバ23へ送られ、Webプロキシサーバ23によって宛先のWebサーバ11へ送信される。または、通信データの宛先IPアドレスが外部のネットワークであって、かつ、宛先ポートがWebサービス系を示す80番、8080番、443番等である場合のみ、Webプロキシサーバ23へ送るようSDN−SW22を制御してもよい。
また、例えば上から3段目のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがDCサーバ36のMACアドレスであれば、その通信データを「02」のポートから出力することを示している。その結果、ユーザ端末26またはサーバ27から出力された通信データは、トンネリング装置21によってカプセル化および暗号化されてデータセンタ3内のトンネリング装置31へ送られ、SDN−SW32によって、LAN35内のDCサーバ36へ出力される。
また、例えば上から4段目のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「01」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、互いに通信データを送受信することができる。
なお、SDN−SW22は、それぞれのユーザ端末26およびサーバ27が、LAN28内において他のユーザ端末26またはサーバ27へ通信データを送信した場合、および、データセンタ3内のDCサーバ36へ通信データを送信した場合に、当該通信データ内の情報から内部アクセスログを作成する。そして、SDN−SW22は、作成した内部アクセスログを通信ログとして通信制御装置20へ出力する。内部アクセスログには、通信データの送信元のユーザ端末26の情報(アクセス元情報)、通信データの送信先の他のユーザ端末26、サーバ27、またはDCサーバ36の情報(アクセス先情報)、および、当該通信データの送信時刻(アクセス時刻)が含まれる。
内部アクセスログにおけるアクセス元情報には、通信データの送信元のユーザ端末26またはサーバ27の識別情報と、SDN−SW22にアプリケーションレベルのレイヤの通信をキャプチャする機能が備わっている場合は、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報とが含まれる。また、内部アクセスログにおけるアクセス先情報には、通信データの宛先のユーザ端末26またはサーバ27の識別情報が含まれる。また、SDN−SW32も同様の構成をとることとしてもよい。
また、図2(b)に例示したフローテーブル220において、例えば上から5段目のレコードは、「02」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「01」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、隔離ネットワーク34内の検査サーバ33またはLAN35内のDCサーバ36からの通信データを受信することができる。
また、例えば上から6段目のレコードは、「02」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが通信制御装置20のMACアドレスであれば、その通信データを「04」のポートから出力することを示している。その結果、通信制御装置20は、検査サーバ33からの通信データを受信することができる。
また、例えば上から7段目のレコードは、「03」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「01」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、Webプロキシサーバ23を介して、Webサーバ11から通信データを受信することができる。
また、例えば上から8段目のレコードは、「04」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが検査サーバ33のMACアドレスであれば、その通信データを、「02」のポートから出力することを示している。その結果、通信制御装置20は、検査サーバ33へ通信データを送信することができる。なお、図示しないが、図2(b)の設定と矛盾がない範囲でSDN−SW22には、一般的なスイッチング機能を実施するフローエントリが設定されているものとする。
また、図示しない通信路を経由して、SDNコントローラ25は、SDN−SW32内のフローテーブル320への設定情報をSDN−SW32へ送信することができる。例えば、SDNコントローラ25とトンネリング装置21とが直接接続され、L2−VPN経由で通信する場合があげられる。または、SDNコントローラ25とSDN−SW32とをSSL等によって直接接続してもよい。
図1に戻って説明を続ける。データセンタ3内のトンネリング装置31は、ユーザNW2内のトンネリング装置21との間で、例えばL2−VPN等の技術を用いて仮想的な通信路を設定する。そして、SDN−SW32から通信データを受け取った場合に、当該通信データについてカプセル化および暗号化の処理を施す。そして、トンネリング装置31は、処理後の通信データの送信元のIPアドレスをトンネリング装置31のアドレスとし、宛先のIPアドレスをトンネリング装置21としてルータ30へ送る。また、トンネリング装置31は、ルータ30からカプセル化された通信データを受け取った場合に、当該通信データについてデカプセル化および復号化の処理を施し、処理後の通信データをSDN−SW32へ送る。
ルータ30は、トンネリング装置31から受け取った通信データを、通信回線12を介してユーザNW2へ送り、通信回線12を介して受信した通信データをトンネリング装置31へ送る。
SDN−SW32は、フローテーブルおよび複数の入出力ポートを有し、それぞれのポートにおいて通信データを受信した場合に、受信した通信データを、フローテーブルに設定された条件に従って処理する。具体的なフローテーブルの例を、図3を用いて説明する。図3は、データセンタ3に設けられたSDN−SW32の設定の一例を説明するための説明図である。図3(a)は、SDN−SW32に設けられた各ポートとその接続先を示している。図3(b)は、SDN−SW32内のフローテーブル320に設定されるデータの一例を示している。
図3(a)に例示するように、SDN−SW32のポート11はトンネリング装置31に接続され、ポート12は隔離ネットワーク34を介して検査サーバ33に接続され、ポート13はLAN35を介してDC上のサーバであるDCサーバ36にそれぞれ接続されている。SDN−SW32内のフローテーブル320には、例えば図3(b)に示すように、通信データを受信した入力ポートの情報に対応付けて、当該入力ポートで受信した通信データの条件と、その条件を満たした通信データを送出する出力ポートの情報とが格納されている。図3(b)の例では、通信データの送信元MACアドレスおよび宛先のMACアドレスが条件として指定される。
なお、図3(b)に例示したフローテーブル320においても、図2(b)に例示したフローテーブル220と同様に、「−」は任意のMACアドレスを示し、「***」はSDNコントローラ25によって指定されたMACアドレスが随時設定されることを示している。また、SDN−SW32は、受信した通信データについて、フローテーブル320の最上段のレコードから最下段のレコードに向かって順に条件判定を行う。また、SDN−SW32も、SDN−SW22と同様に、いずれのレコードにも該当しない通信データについては、その対処をSDNコントローラ25に問い合わせたり、ドロップさせたりする。
図3(b)に例示したフローテーブル320において、例えば最上段のレコードは、「11」のポートから入力された通信データについては、通信データの送信元MACアドレスがSDNコントローラ25によって指定されたアドレスであれば、宛先MACアドレスにかかわらず、その通信データを「12」のポートから出力することを示している。その結果、SDNコントローラ25によって指定されたMACアドレスに該当するユーザ端末26およびサーバ27から出力された通信データは、隔離ネットワーク34へ送出される。
また、例えば上から2段目のレコードは、「11」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが検査サーバ33のアドレスであれば、その通信データを「12」のポートから出力することを示している。その結果、それぞれのユーザ端末26、サーバ27、および通信制御装置20は、検査サーバ33に通信データを送信することができる。
また、例えば上から3段目のレコードは、「11」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがDCサーバ36のアドレスであれば、その通信データを「13」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、それぞれのDCサーバ36に通信データを送信することができる。
また、例えば上から4段目のレコードは、「12」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26、サーバ27、または通信制御装置20のアドレスであれば、その通信データを、「11」のポートから出力することを示している。その結果、ユーザ端末26、サーバ27、および通信制御装置20は、検査サーバ33からの通信データを受信することができる。
また、例えば上から5段目のレコードは、「13」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが
ユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「11」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、DCサーバ36からの通信データを受信することができる。なお、図示しないが、図3(b)の設定と矛盾がない範囲で、SDN−SW32には、一般的なスイッチング機能を実施するフローエントリが設定されているものとする。
再び図1に戻って説明を続ける。データセンタ3内の検査サーバ33は、通信回線12を介して修正プログラム、マルウェア駆除用のパターンファイル、およびマルウェアの駆除ツールを備えている、または収集する。そして、SDN−SW32を介して検査対象となるユーザ端末26およびサーバ27の情報を含む検査要求を通信制御装置20から受信した場合、検査サーバ33は、当該ユーザ端末26およびサーバ27のそれぞれと通信して、マルウェアに感染しているか否かを検査する。
そして、ユーザ端末26およびサーバ27がマルウェアに感染していない場合、検査サーバ33は、必要に応じてユーザ端末26およびサーバ27のそれぞれに修正プログラムを適用する。そして、検査サーバ33は、修正プログラムの適用が完了したユーザ端末26およびサーバ27の情報を含む検査完了通知を、SDN−SW32へ出力する。当該検査完了通知は、SDN−SW32、トンネリング装置31、ルータ30、通信回線12、ルータ24、トンネリング装置21、およびSDN−SW22を介して、通信制御装置20へ送信される。
一方、ユーザ端末26およびサーバ27がマルウェアに感染している場合、検査サーバ33は、マルウェアの駆除ツールを用いてユーザ端末26およびサーバ27に感染しているマルウェアを駆除した後にそれぞれに修正プログラムを適用する。そして、検査サーバ33は、マルウェアの駆除および修正プログラムの適用が完了したユーザ端末26およびサーバ27の情報を含む検査完了通知を、SDN−SW32へ出力する。そして、検査完了通知は、SDN−SW32を介して通信制御装置20へ送られる。
検査完了通知を受信した通信制御装置20は、隔離を解除する制御命令をSDN−SW22および32へ送信する。なお、通信制御装置20は検査サーバ33への検査要求の送信を省略してもよい。この場合、通信制御装置20が、隔離ネットワーク34に隔離しているユーザ端末26およびサーバ27の情報を管理し、検査サーバ33は、隔離ネットワーク34内に流れてきた通信データの送信元のユーザ端末26およびサーバ27を検査・処理し、検査が完了した後に、検査完了を通信制御装置20へ通知する。そして、通信制御装置20は、SDNコントローラ25を経由して、検査完了通知の受信をトリガーとして、隔離を解除する制御命令をSDN−SW22および32へ送信するようにしてもよい。
ユーザNW2に設けられた通信制御装置20内の通信ログ収集部200は、SDN−SW22を介してWebプロキシサーバ23から通信ログとして外部アクセスログを受信した場合に、受信した外部アクセスログを、通信ログ記憶部201に記憶させる。また、通信ログ収集部200は、SDN−SW22から通信ログとして内部アクセスログを受信した場合に、受信した内部アクセスログを、通信ログ記憶部201に記憶させる。
通信ログ記憶部201は、通信ログとして外部アクセスログおよび内部アクセスログを記憶する。図4は、通信ログ記憶部201が記憶する外部アクセスログ2010の一例を示す図である。外部アクセスログ2010には、例えば図4に示すように、アクセス元情報2011、アクセス先情報2012、およびアクセス時刻2013が含まれる。
アクセス元情報2011には、通信データの送信元のユーザ端末26またはサーバ27の識別情報(例えば、MACアドレス、IPアドレス、およびホスト名等)と、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報(プログラム名やバージョンの情報等)とが含まれる。アクセス先情報2012には、例えば通信データの送信先のWebサイトのURLや、当該Webサイトを提供しているWebサーバ11のIPアドレス等が含まれる。
なお、ユーザNW2が同一L2セグメントのNWである場合、通信データからユーザ端末26やサーバ27のMACアドレスを取得できれば、ユーザ端末26やサーバ27を一意に識別できるため、IPアドレスやホスト名等は外部アクセスログに含まれていなくてもよい。一方、ユーザNW2が異なるL2セグメントのNWで構成されている場合は、MACアドレスでユーザ端末26やサーバ27を識別するのは困難であるため、IPアドレス等の情報を用いて識別することになる。また、本実施形態では、トンネリング装置21およびWebプロキシサーバ23のSDN−SW22側まではレイヤ2接続されていることを前提としているが、レイヤ3接続されている場合には、通信データからはユーザ端末26やサーバ27のMACアドレスを収集できない場合がある。その場合には、通信データに含まれているIPアドレスやホスト名を用いて各ユーザ端末26やサーバ27を識別する。ただし、IPアドレスの割り当てが動的に変わるDHCP環境の場合には、DHCPサーバからMACアドレスとIPアドレスの対応表を取得して、通信データに含まれているIPアドレスに対応するMACアドレスを特定する。
図5は、通信ログ記憶部201が記憶する内部アクセスログ2015の一例を示す図である。内部アクセスログ2015には、例えば図5に示すように、アクセス元情報2016、アクセス先情報2017、およびアクセス時刻2018が含まれる。
アクセス元情報2016には、通信データの送信元のユーザ端末26またはサーバ27の識別情報(例えば、MACアドレス、IPアドレス、およびホスト名等)と、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報とが含まれる。アクセス先情報2017には、通信データの送信先のWebサーバ11の識別情報が含まれる。
再び図1に戻って説明を続ける。通信制御装置20内の改竄情報受付部203は、ユーザNW2の管理者等から、改竄されたWebサイトの情報を含む改竄情報の入力を受け付けた場合に、受け付けた改竄情報を通信制御部202へ送る。改竄情報とは、改竄されたWebサイトの識別情報(例えばURLやIPアドレス)、改竄内容の調査結果、および/または修正プログラム等を含む情報である。
なお、改竄情報受付部203は、ユーザNW2の管理者等から改竄情報の入力を受け付ける機能に加えて、または、これに代えて、セキュリティベンダ等からの改竄情報の通知を受け、その内容を自動的に解釈し、通信制御部202へ渡す機能を有してもよい。また、改竄情報受付部203は、Webを自動クロールしてセキュリティに関する情報を収集して解析し、Webサイトへの攻撃情報を抽出して、通信制御部202へ渡す機能を有してもよい。
ここで、Webサイトが改竄された場合、例えば図6のような経過をたどる。図6は、Webサイトの改竄から修正プログラムの提供までの過程の一例を説明するための説明図である。例えば時刻t1においてWebサイトが改竄された場合、改竄の事実は改竄直後に発覚することは少なく、それからしばらく時間が経過した時刻t2において発覚する。そして、改竄の事実が、Webサイトの運営者によって公表される。
時刻t2において改竄の事実を知ったユーザNW2の管理者は、改竄されたWebサイトの識別情報を含む改竄情報を改竄情報受付部203に入力する。この時点では、改竄が行われた時刻や、改竄により仕込まれたマルウェアによって影響を受けるブラウザプログラム等の情報が得られていないが、改竄されたWebサイトにアクセスしたことのあるユーザ端末26であれば、改竄により仕込まれたマルウェアに感染している可能性がある。そのため、改竄内容の調査結果が公表されるまでは、マルウェアによる感染の拡大を防ぐために、改竄されたWebサイトにアクセスしたことのあるユーザ端末26を隔離することが好ましい。
また、ユーザ端末26が改竄されたWebサイトにアクセスした後に、他のユーザ端末26やサーバ27にアクセスした場合、改竄されたWebサイトに仕込まれたマルウェアが、当該他のユーザ端末26やサーバ27に感染(二次感染)した可能性がある。そのため、感染の有無が確認されるまでは、当該他のユーザ端末26やサーバ27も隔離されることが好ましい。
そして、例えば、改竄が行われた時刻、仕込まれたマルウェアが突く脆弱性を有するブラザプログラムの種別、そのマルウェアが突くブラウザプログラムの脆弱性等が調査され、例えば時刻t3において調査結果が公開される。時刻t3において、ユーザNW2の管理者は、改竄されたWebサイトの識別情報と、改竄内容の調査結果とを含む改竄情報を改竄情報受付部203に入力する。
この時点では、公開された調査結果を参照することにより、改竄されたWebサイトにアクセスしたことのあるユーザ端末26やサーバ27の中で、調査結果に該当するユーザ端末26やサーバ27を特定する。これにより、改竄されたWebサイトに仕込まれたマルウェアに感染している可能性のあるユーザ端末26やサーバ27をある程度絞り込むことができる。
具体的には、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれたマルウェアが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27に絞り込むことができる。そして、改竄されたWebサイトにアクセスしたことのあるユーザ端末26やサーバ27の中で、調査結果に該当しないユーザ端末26やサーバ27については、隔離を解除することができる。
そして、改竄によりWebサイトにマルウェアが仕込まれていたことが判明した場合、そのマルウェアの駆除ツールや、そのマルウェアが突くブラウザプログラムの脆弱性を修正する修正プログラムの作成が進められ、例えば時刻t4において駆除ツールや修正プログラムの提供が開始される。隔離されたユーザ端末26やサーバ27は、マルウェアに感染していれば、提供された駆除ツールによりマルウェアが駆除され、提供された修正プログラムが適用された後に、隔離を解除される。
なお、時刻t2において改竄の事実が発覚しても、その時点ではWebサイトの閉鎖にとどめ、調査の結果が出てから例えば時刻t3において調査結果と共に改竄の事実が公表される場合がある。その場合、ユーザNW2の管理者は、時刻t2以前ではWebサイトの改竄の事実を知ることはできず、時刻t3において、初めて、改竄されたWebサイトの識別情報と、改竄内容の調査結果とを含む改竄情報を改竄情報受付部203に入力することになる。
また、調査結果を公表することにより、公表した脆弱性を利用した新たなマルウェアの発生も懸念されることから、修正プログラムが作成された時刻t4において、調査結果および改竄の事実が初めて公表される場合もある。その場合も、ユーザNW2の管理者は、時刻t4において、初めて、改竄されたWebサイトの識別情報と、改竄内容の調査結果とを含む改竄情報を改竄情報受付部203に入力することになる。
再び図1に戻って説明を続ける。通信制御装置20内の通信制御部202は、改竄情報受付部203から改竄情報を受け取った場合に、受け取った改竄情報に改竄内容の調査結果が含まれているか否かを判定する。調査結果が含まれていない場合、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、改竄されたWebサイトにアクセスしたことがあるユーザ端末26およびサーバ27(一次感染)を特定する。
そして、通信制御部202は、外部アクセスログを参照して特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27(すなわち、二次感染の可能性のある他のユーザ端末26およびサーバ27)を、通信ログ記憶部201内の内部アクセスログを参照して特定する。
なお、通信制御部202は、内部アクセスログを参照して特定した他のユーザ端末26およびサーバ27が、外部アクセスログを参照して特定したユーザ端末26およびサーバ27が改竄されたWebサイトにアクセスした時刻以降に、アクセスしたさらに他のユーザ端末26およびサーバ27(すなわち、三次感染の可能性のある他のユーザ端末26およびサーバ27)を、通信ログ記憶部201内の内部アクセスログを参照して特定してもよい。また、三次以降の感染の可能性について、どこまでのユーザ端末26およびサーバ27を隔離対象とするかは、ユーザNW2の管理者等によって予め決められて通信制御部202に設定される。
また、通信制御部202は、改竄されたWebサイトにアクセスしたユーザ端末26およびサーバ27(一次感染装置)と、一次感染装置が改竄されたWebサイトにアクセスした時刻以降に通信した他のユーザ端末26およびサーバ27の中で、一次感染装置が同時刻以降にアクセスしたWebサイトと同じWebサイトにアクセスしたユーザ端末26およびサーバ27を二次感染の可能性のある二次感染装置として特定してもよい。このとき、通信制御部202は、改竄されたWebサイトにアクセスした時刻以降に一次感染装置がアクセスした全Webサイトの中の所定割合のWebサイトにアクセスしたユーザ端末26およびサーバ27や、当該所定割合のWebサイトへのアクセス順序が一次感染装置のアクセス順序と一部同一または類似しているユーザ端末26およびサーバ27を二次感染装置として特定してもよい。
また、通信制御部202は、一次感染装置が改竄されたWebサイトにアクセスした後に、当該一次感染装置と通信した他のユーザ端末26およびサーバ27の中で、当該一次感染装置から所定量以上の通信データを受信した他のユーザ端末26およびサーバ27を、二次感染の可能性のある二次感染装置として特定してもよい。この場合、例えば、LAN28に接続されたユーザ端末26間ならびにユーザ端末26およびサーバ27間の通信データをキャプチャし、通信データの送信元、宛先、およびデータサイズを収集する装置をLAN28内に設ける。そして、通信ログ収集部200は、当該装置から送信元、宛先、およびデータサイズの情報を収集して、内部アクセスログに組み込んで通信ログ記憶部201に記憶させる。
一次感染または二次感染の可能性のあるユーザ端末26およびサーバ27を特定した後に、通信制御部202は、特定したユーザ端末26およびサーバ27のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、これらのユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限する。なお、通信制御部202は、一次感染または二次感染の可能性のあるユーザ端末26およびサーバ27の通信を、SDNコントローラ25に指示して遮断させることにより、これらのユーザ端末26およびサーバ27の通信を制限してもよい。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求をSDN−SW22へ送る。当該検査要求は、SDN−SW22のポート04に入力され、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32によって検査サーバ33へ送られる。
また、改竄情報受付部203から受け取った改竄情報に改竄内容の調査結果が含まれている場合、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、調査結果に該当するユーザ端末26およびサーバ27を特定する。具体的には、通信制御部202は、外部アクセスログを参照して、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれたマルウェアが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27を特定する。
そして、通信制御部202は、外部アクセスログを参照して特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27(すなわち、二次感染の可能性のある他のユーザ端末26およびサーバ27)を、通信ログ記憶部201内の内部アクセスログを参照して特定する。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27(二次感染の可能性があるユーザ端末26およびサーバ27を含む)のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、これらのユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限する。そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求をSDN−SW22へ送る。当該検査要求は、SDN−SW22のポート04に入力され、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32によって検査サーバ33へ送られる。
なお、改竄内容の調査結果が含まれていない改竄情報に基づいてユーザ端末26およびサーバ27を隔離した後に、改竄内容の調査結果が含まれている改竄情報に基づいてユーザ端末26およびサーバ27を特定した場合、先に隔離したユーザ端末26およびサーバ27の中で、後に特定したユーザ端末26およびサーバ27以外のユーザ端末26およびサーバ27については、感染の可能性が低いため隔離を解除することが好ましい。そのため、通信制御部202は、これらのユーザ端末26およびサーバ27のMACアドレスを含む隔離解除指示をSDNコントローラ25へ送る。また、通信制御部202は、これらのユーザ端末26およびサーバ27の識別情報を含む検査取消要求を検査サーバ33へ送る。
また、SDN−SW22を介して、検査サーバ33から検査完了通知を受け取った場合、通信制御部202は、通信ログ記憶部201から、当該検査完了通知に含まれているユーザ端末26またはサーバ27の識別情報を抽出する。そして、通信制御部202は、抽出した識別情報に対応するユーザ端末26またはサーバ27のMACアドレスを含む隔離解除指示を作成し、作成した隔離解除指示をSDNコントローラ25へ送る。
SDNコントローラ25は、通信制御部202から隔離指示を受け取った場合に、隔離指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW22へ送り、図2(b)に例示したフローテーブル220の最上段の送信元MACアドレスに設定させる。また、SDNコントローラ25は、隔離指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW32へ送り、図3(b)に例示したフローテーブル320の最上段の送信元MACアドレスに設定させる。
一方、通信制御部202から隔離解除指示を受け取った場合、SDNコントローラ25は、隔離解除指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW22へ送り、図2(b)に例示したフローテーブル220の最上段の送信元MACアドレスから削除させる。また、SDNコントローラ25は、隔離解除指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW32へ送り、図3(b)に例示したフローテーブル320の最上段の送信元MACアドレスから削除させる。
図7は、通信制御装置20の動作の一例を示すフローチャートである。通信制御装置20は、例えば起動後に本フローチャートに示す動作を開始する。
まず、通信ログ収集部200は、SDN−SW22を介してWebプロキシサーバ23から外部アクセスログを受信したか否かを判定する(S100)。Webプロキシサーバ23から外部アクセスログを受信した場合(S100:Yes)、通信ログ収集部200は、受信した外部アクセスログを通信ログ記憶部201に格納し(S101)、再びステップS100に示した処理を実行する。
Webプロキシサーバ23から外部アクセスログを受信していない場合(S100:No)、通信ログ収集部200は、SDN−SW22から内部アクセスログを受信したか否かを判定する(S102)。SDN−SW22から内部アクセスログを受信した場合(S102:Yes)、受信した内部アクセスログを通信ログ記憶部201に格納し(S101)、再びステップS100に示した処理を実行する。
SDN−SW22から内部アクセスログを受信していない場合(S102:No)、改竄情報受付部203は、改竄情報を受け付けたか否かを判定する(S103)。改竄情報を受け付けていない場合(S103:No)、通信制御部202は、SDN−SW22を介して、検査サーバ33から検査完了通知を受け取ったか否かを判定する(S111)。検査サーバ33から検査完了通知を受け取っていない場合(S111:No)、通信ログ収集部200は、再びステップS100に示した処理を実行する。
このように、通信制御装置20は、ステップS100:No、ステップS102:No、ステップS103:No、ステップS111:Noの処理を繰り返すことで、外部アクセスログ、内部アクセスログ、改竄情報、または検査完了通知の受信を待ち受け、いずれかの情報を受信した場合に、受信した情報に対応する処理を実行し、再び待ち受けの状態に戻る。
改竄情報を受け付けた場合(S103:Yes)、改竄情報受付部203は、受け付けた改竄情報を通信制御部202へ送る。通信制御部202は、受け取った改竄情報に改竄内容の調査結果が含まれているか否かを判定する(S104)。
改竄情報に改竄内容の調査結果が含まれていない場合(S104:No)、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、改竄されたWebサイトにアクセスしたことがあるユーザ端末26およびサーバ27(一次感染装置)を特定する(S105)。そして、通信制御部202は、特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27(二次感染装置)を、通信ログ記憶部201内の外部アクセスログおよび内部アクセスログを参照して特定する(S106)。
次に、通信制御部202は、ステップS105およびS106において特定したユーザ端末26およびサーバ27のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、SDN−SW22に、当該ユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限させる(S109)。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求を、SDNコントローラ25を介して、または介さずに直接検査サーバ33へ送ることにより、当該ユーザ端末26およびサーバ27がマルウェアに感染しているか否かの検査を検査サーバ33に依頼する(S110)。そして、通信ログ収集部200は、再びステップS100に示した処理を実行する。
一方、改竄情報に改竄内容の調査結果が含まれている場合(S104:Yes)、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、調査結果に該当するユーザ端末26およびサーバ27(一次感染装置)を特定する(S107)。具体的には、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれたマルウェアが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27を特定する。
次に、通信制御部202は、特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27の中で、調査結果に該当するユーザ端末26およびサーバ27(二次感染装置)を、通信ログ記憶部201内の内部アクセスログを参照して特定する(S108)。
次に、通信制御部202は、ステップS107およびS108において特定したユーザ端末26およびサーバ27のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、SDN−SW22に、当該ユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限させる(S109)。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求を、SDNコントローラ25を介して検査サーバ33へ送ることにより、当該ユーザ端末26およびサーバ27がマルウェアに感染しているか否かの検査を検査サーバ33に依頼する(S110)。そして、通信ログ収集部200は、再びステップS100に示した処理を実行する。
検査サーバ33から検査完了通知を受け取った場合(S111:Yes)、通信制御部202は、検査完了通知に含まれているユーザ端末26またはサーバ27の識別情報を抽出する。そして、通信制御部202は、抽出したユーザ端末26またはサーバ27の識別情報を含む隔離解除指示を作成する。そして通信制御部202は、作成した隔離解除指示をSDNコントローラ25へ送ることにより、検査が完了したユーザ端末26またはサーバ27の通信制限を解除させる(S112)。そして、通信ログ収集部200は、再びステップS100に示した処理を実行する。
図8は、通信制御装置20の機能を実現するコンピュータ1000の構成の一例を示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図8に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図8に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図8に例示するように、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、図8に例示するように、例えばマウス1051やキーボード1052が接続される。ビデオアダプタ1060には、図8に例示するように、例えばディスプレイ1061が接続される。
ここで、図8に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、コンピュータ1000を通信制御装置20として機能させるプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記した実施形態において説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理ステップを実行する。
なお、コンピュータ1000を通信制御装置20として機能させるプログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されて実行されてもよい。あるいは、当該プログラムモジュール1093やプログラムデータ1094は、通信回線12を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されて実行されてもよい。
以上、本発明の一実施形態について説明した。
上記説明から明らかなように、本実施形態の通信システム1によれば、水飲み場型攻撃等によって仕込まれたマルウェアによる被害の拡大を抑えることが可能となる。
なお、本発明は、上記した実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
図9は、他の実施形態における通信システム1’の一例を示すシステム構成図である。他の実施形態における通信システム1’では、例えば図9に示すように、通信制御装置20、Webプロキシサーバ37およびSDNコントローラ38がデータセンタ3’内に設けられる。
そして、図9に例示した通信システム1’では、ユーザNW2’内のユーザ端末26およびサーバ27から外部のWebサーバ11への通信データは、例えば図9の実線矢印61に示すように、SDN−SW22から、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32によってWebプロキシサーバ37へ送られて、ルータ30を介してWebサーバ11へ送信される。そして、Webプロキシサーバ37は、外部アクセスログを通信制御装置20へ送る。
また、Webサーバ11からユーザNW2’内のユーザ端末26およびサーバ27への通信データは、例えば図9の実線矢印61に示すように、通信回線12およびルータ30を介してWebプロキシサーバ37へ送られ、SDN−SW32から、トンネリング装置31、ルータ30、通信回線12、ルータ24、トンネリング装置21、SDN−SW22へ送られ、SDN−SW22によって宛先のユーザ端末26またはサーバ27へ送られる。
また、ユーザ端末26間の通信およびユーザ端末26とサーバ27間の通信では、ユーザ端末26またはサーバ27から送信された通信データは、例えば図9の破線矢印60に示すように、SDN−SW22から、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32から、トンネリング装置31、ルータ30、通信回線12、ルータ24、トンネリング装置21、SDN−SW22へ送られ、SDN−SW22によって宛先のユーザ端末26またはサーバ27へ送られる。そして、SDN−SW22およびSDN−SW32は、内部アクセスログを通信制御装置20へ送る。
図9に示した他の実施形態における通信システム1’においても、改竄情報に基づいて、改竄されたWebサイトにアクセスしたユーザ端末26およびサーバ27と、これらが改竄されたWebサイトにアクセスした時刻以降にこれらからアクセスされた他のユーザ端末26およびサーバ27とを、隔離ネットワーク34内に隔離してマルウェアによる被害の拡大を抑えることができる。
上記した実施形態では、データセンタ3内に隔離ネットワーク34および検査サーバ33が設けられたが、本発明はこれに限られず、隔離ネットワーク34および検査サーバ33は、ユーザNW2内に設けられてもよい。この場合、データセンタ3は必須ではなくなる。
また、上記した実施形態において、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれた不正プログラムが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27の通信を制限させるが、通信を制限させる対象となるユーザ端末26やサーバ27は、これに限られない。
例えば、通信制御部202は、改竄されたWebサイトに仕込まれた不正プログラムが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27(一次感染装置)の通信を制限させてもよい。また、通信制御部202は、改竄されたWebサイトにユーザ端末26やサーバ27がアクセスした時刻以降に、当該ユーザ端末26やサーバ27からアクセスされた他のユーザ端末26やサーバ27(二次感染装置)の通信を制限させてもよい。また、これらの他のユーザ端末26やサーバ27のうち、通信ログ記憶部201を参照して同種の脆弱性を有する装置のみを二次感染装置とみなして通信を制限させてもよい。また、通信制御部202は、改竄されたWebサイトにアクセスしたユーザ端末26やサーバ27から所定量以上の通信データを受信した他のユーザ端末26やサーバ27の通信を制限させてもよい。
また、上記した実施形態では、Webサイトへのアクセスを例に説明したが、本発明はこれに限られず、メールサービスにおいても本発明を適用することができる。この場合、アクセス元情報には、例えば送信元メールアドレスを用いることができ、アクセス先情報には、例えば宛先メールアドレスを用いることができる。また、プログラムの情報としては、例えば、ユーザエージェント情報から取得可能な、OS、メールクライアントソフト、レンダリングエンジンの種類やバージョン等の情報を用いることができる。
また、上記した実施形態では、Webプロキシサーバ23を用いたWebアクセスを例に説明したが、本発明はこれに限られない。Webサイトとの通信ログの情報が取得できればよいため、例えば、図1において、Webプロキシサーバ23に代えて、SDN−SW22とルータ24との間をミラーリングする機能を有する装置を介して接続し、SDN−SW22とルータ24との間の通信データを当該装置から取得するように構成してもよい。
また、上記した実施形態において、改竄されたWebサイトにアクセスした一次感染装置や、当該一次感染装置からアクセスされた二次感染装置が複数存在する場合、隔離ネットワーク34に隔離されたユーザ端末26およびサーバ27の通信は、検査サーバ33との通信のみに制限しなくてもよい。例えば、隔離ネットワーク34内の通信であれば、隔離されたこれらのユーザ端末26およびサーバ27の間の通信は許可することとしてもよい。この場合、例えば、通信制御装置20がSDNコントローラ25に指示して、SDN−SW22およびSDN−SW32に、これらの装置間の通信のみを通すように制御させればよい。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に多様な変更または改良を加えることが可能であることが当業者には明らかである。また、そのような変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
1 通信システム
11 Webサーバ
12 通信回線
2 ユーザNW
20 通信制御装置
200 通信ログ収集部
201 通信ログ記憶部
202 通信制御部
203 改竄情報受付部
21 トンネリング装置
22 SDN−SW
23 Webプロキシサーバ
24 ルータ
25 SDNコントローラ
26 ユーザ端末
27 サーバ
28 LAN
3 データセンタ
30 ルータ
31 トンネリング装置
32 SDN−SW
33 検査サーバ
34 隔離ネットワーク
35 LAN
36 DCサーバ
37 Webプロキシサーバ
38 SDNコントローラ

Claims (8)

  1. ユーザネットワークに属する通信装置から、当該ユーザネットワークの外部のネットワーク上の外部サービス装置へのアクセスにおいて、アクセス元の通信装置の識別情報およびアクセス先の外部サービス装置の識別情報を含む通信ログを記憶する記憶部と、
    改竄された外部サービス装置の識別情報を含む改竄情報を受け付ける受付部と、
    前記受付部が前記改竄情報を受け付けた場合に、前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる外部サービス装置にアクセスした通信装置を制限対象の通信装置として特定し、前記通信装置の通信経路を制御する経路制御装置に指示して、前記制限対象の通信装置の通信を制限させる通信制御部と
    を備えることを特徴とする通信制御装置。
  2. 前記通信制御部は、
    前記経路制御装置に指示して、前記制限対象の通信装置の通信を、前記ユーザネットワークおよび前記外部のネットワークから隔離した隔離ネットワークのみへの通信に制限させることを特徴とする請求項1に記載の通信制御装置。
  3. 前記記憶部内の通信ログには、
    前記通信装置が前記外部サービス装置へアクセスした時刻の情報が含まれており、
    前記改竄情報には、
    当該改竄情報に含まれる外部サービス装置が改竄された時刻が含まれており、
    前記通信制御部は、
    前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる時刻以降に、当該改竄情報に含まれる外部サービス装置にアクセスした通信装置を、前記制限対象の通信装置として特定することを特徴とする請求項1または2に記載の通信制御装置。
  4. 前記記憶部内の通信ログには、
    前記通信装置が前記外部サービス装置へのアクセスする際に使用したプログラムの情報がさらに含まれており、
    前記改竄情報には、
    当該改竄情報に含まれる外部サービス装置に埋め込まれた不正プログラムが突くプログラムの脆弱性の情報が含まれており、
    前記通信制御部は、
    前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる外部サービス装置にアクセスした通信装置の中で、前記改竄情報に含まれる脆弱性を有するプログラムを用いて当該改竄情報に含まれる外部サービス装置にアクセスした通信装置を、前記制限対象の通信装置として特定することを特徴とする請求項1から3のいずれか一項に記載の通信制御装置。
  5. 前記記憶部内の通信ログには、
    前記通信装置が前記外部サービス装置へアクセスした時刻の情報と、
    前記通信装置からアクセスされた前記ユーザネットワーク内の他の通信装置の情報と
    が含まれており、
    前記通信制御部は、
    前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる外部サービス装置に通信装置がアクセスした時刻以降に、当該通信装置からアクセスされた前記他の通信装置を、前記制限対象の通信装置として特定することを特徴とする請求項1から4のいずれか一項に記載の通信制御装置。
  6. 前記記憶部内の通信ログには、
    前記通信装置からアクセスされた前記ユーザネットワーク内の他の通信装置の情報と、
    アクセス元の前記通信装置から、アクセス先の前記他の通信装置へ送信された通信データのデータ量と
    が含まれており、
    前記通信制御部は、
    前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる外部サービス装置にアクセスした通信装置から所定量以上の通信データを受信した前記他の通信装置を、前記制限対象の通信装置として特定することを特徴とする請求項1から5のいずれか一項に記載の通信制御装置。
  7. 通信制御装置において実行される通信制御方法であって、
    ユーザネットワークに属する通信装置から、当該ユーザネットワークの外部のネットワーク上の外部サービス装置へのアクセスにおいて、アクセス元の通信装置の識別情報およびアクセス先の外部サービス装置の識別情報を含む通信ログを記憶部に記憶させる工程と、
    改竄された外部サービス装置の識別情報を含む改竄情報を受け付ける受付工程と、
    前記受付工程において前記改竄情報を受け付けた場合に、前記記憶部内の前記通信ログを参照して、前記改竄情報に含まれる外部サービス装置にアクセスした通信装置を制限対象の通信装置として特定し、前記通信装置の通信経路を制御する経路制御装置に指示して、前記制限対象の通信装置の通信を制限させる通信制御工程と
    を含んだことを特徴とする通信制御方法。
  8. コンピュータを、請求項1〜6のいずれか一つに記載の通信制御装置として機能させるための通信制御プログラム。
JP2013248713A 2013-11-28 2013-11-29 通信制御装置、通信制御方法、および通信制御プログラム Active JP6092759B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013248713A JP6092759B2 (ja) 2013-11-28 2013-11-29 通信制御装置、通信制御方法、および通信制御プログラム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013246788 2013-11-28
JP2013246788 2013-11-28
JP2013248713A JP6092759B2 (ja) 2013-11-28 2013-11-29 通信制御装置、通信制御方法、および通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2015127843A true JP2015127843A (ja) 2015-07-09
JP6092759B2 JP6092759B2 (ja) 2017-03-08

Family

ID=53837833

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013248713A Active JP6092759B2 (ja) 2013-11-28 2013-11-29 通信制御装置、通信制御方法、および通信制御プログラム

Country Status (1)

Country Link
JP (1) JP6092759B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ
JP2019160126A (ja) * 2018-03-16 2019-09-19 デジタルア−ツ株式会社 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法
US10666651B2 (en) 2017-05-02 2020-05-26 Allied Telesis Holdings K.K. Access control system
JP2021507375A (ja) * 2017-12-14 2021-02-22 フォアスカウト テクノロジーズ インコーポレイテッド コンテキストリスク監視

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008116998A (ja) * 2006-10-31 2008-05-22 Fujitsu Ltd 端末装置管理システム、データ中継装置、ネットワーク間接続装置、および端末装置の検疫方法
JP2011227884A (ja) * 2010-03-31 2011-11-10 Broadband Security Inc ファイルのアップロード遮断システム及びファイルのアップロード遮断方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008116998A (ja) * 2006-10-31 2008-05-22 Fujitsu Ltd 端末装置管理システム、データ中継装置、ネットワーク間接続装置、および端末装置の検疫方法
JP2011227884A (ja) * 2010-03-31 2011-11-10 Broadband Security Inc ファイルのアップロード遮断システム及びファイルのアップロード遮断方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ
JP2017204722A (ja) * 2016-05-11 2017-11-16 アライドテレシスホールディングス株式会社 Sdnコントローラ
US20170331842A1 (en) * 2016-05-11 2017-11-16 Allied Telesis Holdings K.K. Sdn controller
US10616246B2 (en) 2016-05-11 2020-04-07 Allied Telesis Holdings K.K. SDN controller
US10666651B2 (en) 2017-05-02 2020-05-26 Allied Telesis Holdings K.K. Access control system
JP2021507375A (ja) * 2017-12-14 2021-02-22 フォアスカウト テクノロジーズ インコーポレイテッド コンテキストリスク監視
JP7212688B2 (ja) 2017-12-14 2023-01-25 フォアスカウト テクノロジーズ インコーポレイテッド コンテキストリスク監視
JP2019160126A (ja) * 2018-03-16 2019-09-19 デジタルア−ツ株式会社 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法

Also Published As

Publication number Publication date
JP6092759B2 (ja) 2017-03-08

Similar Documents

Publication Publication Date Title
US10021129B2 (en) Systems and methods for malware detection and scanning
US20140096246A1 (en) Protecting users from undesirable content
US20120005743A1 (en) Internal network management system, internal network management method, and program
US10757135B2 (en) Bot characteristic detection method and apparatus
US20150143454A1 (en) Security management apparatus and method
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
US9444830B2 (en) Web server/web application server security management apparatus and method
JP6050162B2 (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
JP5752642B2 (ja) 監視装置および監視方法
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
KR101606088B1 (ko) 악성 코드 탐지 방법 및 장치
JP6911723B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
KR101619371B1 (ko) 패킷 처리 방법 및 장치
CN103947158A (zh) 信息包数据提取装置、信息包数据提取装置的控制方法、控制程序、计算机可读取的记录介质
JP5893787B2 (ja) 情報処理装置、処理方法およびプログラム

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170209

R150 Certificate of patent or registration of utility model

Ref document number: 6092759

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150