JP2015225500A - 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム - Google Patents
認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム Download PDFInfo
- Publication number
- JP2015225500A JP2015225500A JP2014109914A JP2014109914A JP2015225500A JP 2015225500 A JP2015225500 A JP 2015225500A JP 2014109914 A JP2014109914 A JP 2014109914A JP 2014109914 A JP2014109914 A JP 2014109914A JP 2015225500 A JP2015225500 A JP 2015225500A
- Authority
- JP
- Japan
- Prior art keywords
- information
- login
- authentication information
- attack
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2135—Metering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
【課題】ログイン要求元の情報を手掛かりにアクセスログから認証用情報が窃取されたことを検知可能とする。
【解決手段】ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を情報処理装置が検知する方法であって、情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、通信装置に対する攻撃元の情報を通信装置が存するネットワークの管理装置から受信し、攻撃元の情報と一致するログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が攻撃元に窃取されたと判定し、窃取されたと判定した認証用情報を出力することを含む。
【選択図】図4
【解決手段】ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を情報処理装置が検知する方法であって、情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、通信装置に対する攻撃元の情報を通信装置が存するネットワークの管理装置から受信し、攻撃元の情報と一致するログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が攻撃元に窃取されたと判定し、窃取されたと判定した認証用情報を出力することを含む。
【選択図】図4
Description
本開示は、認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラムに関する。
従来、ネットワーク管理者(NW管理者)が管理するネットワークに接続された通信装置(例えば、サーバ)をユーザ(ネットワークユーザ(NWユーザ)と称する)に貸与することが行われている。NWユーザは、貸与された通信装置を用いてエンドユーザに対し所定のサービス(Webサービス、メールサービス、クラウドサービス等)を提供する。
典型的には、ネットワークサービスプロバイダ(NSP)がNW管理者として管理するネットワーク上のサーバを企業や学校のような各種の団体或いは個人であるNWユーザに貸与する「レンタルサーバ」がある。NWユーザは、貸与されたサーバを用いてWebサイト(Webサービス)やメールサービス等を運営する。エンドユーザは、各種の団体の所属員であったり、そのような制限のない一般であったりする。
各エンドユーザは、サービスの利用に当たり、予め登録した認証用情報(典型的には、エンドユーザ名及びパスワード)を用いてNWユーザのシステムにログインする。エンドユーザのログイン記録(アクセスログ)は、例えば、サービスを提供するサーバにて記録される。アクセスログは、各NWユーザによって管理されるため、NW管理者はアクセスログにアクセスすることはできない。
近年、エンドユーザの認証用情報がサイバー攻撃により窃取され、攻撃者がエンドユーザになりすましてシステムに不正ログインする事象が発生している。このため、NWユーザからは、エンドユーザ保護の観点で、認証用情報(特にエンドユーザ名)が窃取されていないか否かを知りたいとの要望がある。
しかしながら、NWユーザは、サービスへのアクセスログの内容から認証用情報の窃取を判定することは困難であった。これは以下の理由による。典型的なアクセスログは、ログイン要求元(エンドユーザ)のIPアドレス(送信元IPアドレス)と、ログインに用いたエンドユーザ名及びパスワードと、ログインの成否とを1つのレコードとして記録する。
エンドユーザ名及びパスワードが窃取されている場合、ログインが不正か否かを判定するレコード中の情報要素はIPアドレスとなる。しかしながら、エンドユーザのIPアドレスは、通常、Dynamic Host Configuration Protocol(DHCP)サーバによって貸し
出されるものであるので、必ずしも同じIPアドレスとはならない。また、エンドユーザが、複数の端末を使い分けたり、ログインを試行する場所を変えたりすることなどによっても、ログイン要求元のIPアドレスは異なる結果となる。
従って、アクセスログ中の或るレコードが窃取されたエンドユーザ名及びパスワードを用いた不正ログインのレコードであったとしても、NWユーザは当該レコードのIPアドレスから当該ログインが不正ログインか否かを判断することができなかった。
出されるものであるので、必ずしも同じIPアドレスとはならない。また、エンドユーザが、複数の端末を使い分けたり、ログインを試行する場所を変えたりすることなどによっても、ログイン要求元のIPアドレスは異なる結果となる。
従って、アクセスログ中の或るレコードが窃取されたエンドユーザ名及びパスワードを用いた不正ログインのレコードであったとしても、NWユーザは当該レコードのIPアドレスから当該ログインが不正ログインか否かを判断することができなかった。
本発明の1つの側面では、ログイン要求元の情報を手掛かりにアクセスログを用いて認証用情報が窃取されたことを検知可能な技術を提供することを目的とする。
1つの側面は、ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を情報処理装置が検知する方法であって、
前記情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信し、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定し、
前記攻撃元に窃取されたと判定した認証用情報を出力する
ことを含む認証用情報の窃取検知方法である。
前記情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信し、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定し、
前記攻撃元に窃取されたと判定した認証用情報を出力する
ことを含む認証用情報の窃取検知方法である。
1つの側面では、ログイン要求元の情報を手掛かりにアクセスログを用いて認証用情報が窃取されたことを検知することが可能となる。
以下、図面を参照して本発明の実施形態について説明する。実施形態の構成は例示であり、本発明は、実施形態の構成に限定されない。
<システム構成例>
図1は、本実施形態に係るネットワーク管理方法(認証用情報の窃取検知方法)が適用
されるネットワークシステムの一例を示す図である。図2は、認証用情報の窃取検知方法の説明図である。
図1は、本実施形態に係るネットワーク管理方法(認証用情報の窃取検知方法)が適用
されるネットワークシステムの一例を示す図である。図2は、認証用情報の窃取検知方法の説明図である。
図1において、ネットワーク1は、ネットワーク管理者(NW管理者)によって管理されるネットワークである。ネットワーク1は、例えば、通信装置がInternet Protocol(
IP)パケット(以下単に「パケット」と表記)を用いてデータを送受信するIP網である。例えば、ネットワーク1は、ネットワークサービスプロバイダ(NSP)によって管理されるプロバイダ網である。但し、NW管理者は、NSPに制限されない。
IP)パケット(以下単に「パケット」と表記)を用いてデータを送受信するIP網である。例えば、ネットワーク1は、ネットワークサービスプロバイダ(NSP)によって管理されるプロバイダ網である。但し、NW管理者は、NSPに制限されない。
ネットワーク1には、複数の通信装置が接続されている。図1では、複数の通信装置の一例として、サーバ装置(以下単に「サーバ」と表記)2A,2B及び2Cがネットワーク1内に存在している。以下の説明において、サーバ2A,2B,2Cを区別しない場合には、サーバ2と表記する。
各サーバ2A,2B,2Cのそれぞれは、NW管理者からネットワークユーザ(NWユーザ)に貸与されている。例えば、サーバ2Aは、企業であるNWユーザAに貸与されている。サーバ2Bは、大学であるNWユーザBに貸与されている。サーバ2Cは、或る団体であるNWユーザCに貸与されている。但し、NWユーザは、企業、学校、企業や学校以外の団体、個人のいずれであっても良い。
各NWユーザA,B,Cのそれぞれは、貸与されたサーバ2を用いて、エンドユーザに向けたネットワークサービスを提供する。サーバ2A,サーバ2B,サーバ2Cのそれぞれは、各NWユーザA,B,Cのサービス提供システムとして動作する。例えば、各サーバ2A,2B,2Cは、各NWユーザA,B,Cがそれぞれ運営するWebサイトを提供するWebサービス提供システムとして動作する。エンドユーザは、「ユーザ」の一例である。
サーバ2Aで運営されるWebサイトに係るサービス提供システム(「システムA」と称する)は、企業の所属員である複数の(n人(nは正の整数)の)エンドユーザによって利用される。システムAの各エンドユーザは、自身が使用する端末3を用いてサーバ2A(システムA)にアクセスし、Webサイトの閲覧を通じて、テキスト、画像、サウンド,ビデオのような様々な情報の提供を受けることができる。
サーバ2Bで運営されるWebサイトに係るサービス提供システム(「システムB」と称する)は、大学の学生や職員である複数の(n人の)エンドユーザによって利用される。システムBの各エンドユーザは、自身が使用する端末3を用いてサーバ2B(システムB)にアクセスし、Webサイトを閲覧することができる。
サーバ2Cで運営されるWebサイトに係るサービス提供システム(「システムC」と称する)は、団体の所属員である複数の(n人の)エンドユーザによって利用される。システムCの各エンドユーザは、自身が使用する端末3を用いてサーバ2C(システムC)にアクセスし、Webサイトを閲覧することができる。
NWユーザが提供するネットワークサービスは、Webサイト以外のメール,クラウドのような様々なサービスを含み、提供されるサービスの内容に制限はない。但し、各エンドユーザは、サービス利用に当たり、予め登録された認証用情報(本実施形態ではエンドユーザ名及びパスワード)を用いてシステムにログインする。
サービス提供システムとして動作する各サーバ2A,2B,2Cのそれぞれは、エンドユーザが端末3を用いて当該システムへのログインを試行した記録をアクセスログとして
記憶する。すなわち、サーバ2Aは、システムAへのアクセスログを記憶し、サーバ2Bは、システムBへのアクセスログを記憶し、サーバ2Cは、システムCへのアクセスログを記憶する。各アクセスログは、少なくとも、アクセス者(ログイン要求元)のIPアドレス,認証用情報(エンドユーザ名及びパスワード),ログインの成否を示す情報を含む1以上のレコードを記憶する。エンドユーザ名は、「ユーザ識別子」、「ユーザID」の一例である。
記憶する。すなわち、サーバ2Aは、システムAへのアクセスログを記憶し、サーバ2Bは、システムBへのアクセスログを記憶し、サーバ2Cは、システムCへのアクセスログを記憶する。各アクセスログは、少なくとも、アクセス者(ログイン要求元)のIPアドレス,認証用情報(エンドユーザ名及びパスワード),ログインの成否を示す情報を含む1以上のレコードを記憶する。エンドユーザ名は、「ユーザ識別子」、「ユーザID」の一例である。
ネットワーク1は、外部ネットワーク(外部NW)4と接続されている。外部ネットワーク4は、例えば、インターネット(公衆網),イントラネットに代表されるIP網である。ネットワーク1に接続された端末3は、パケットの送受信によって、外部ネットワーク4に接続された端末との間で通信を行うことができる。
各サーバ2A,2B,2Cのそれぞれは、外部ネットワーク4に接続された攻撃者の端末5からパケットを用いたサイバー攻撃(図1において破線矢印で示す)を受ける虞がある。このため、NW管理者は、ネットワーク1と外部ネットワーク4との間に、ネットワーク管理装置(以下「管理装置」と表記する)6を設けている。管理装置6は、外部ネットワーク4からネットワーク1へ入るパケットの経路上に設置されている。
管理装置6は、サイバー攻撃の監視のための侵入検知システム(Intrusion Detection System(IDS)装置7(図2参照)と呼ばれるセキュリティ装置を含む。IDS装置7は、外部ネットワーク4からネットワーク1に入る複数のパケットがサーバ攻撃などの特異事象のパターンを示すか否かを判定する。
複数のパケットが特異事象のパターンを示す場合には、IDS装置7はログ(IDSログ)への記録を行う。IDS装置7は、パケットがサーバ攻撃などの特異事象のパターンであるか否かを判定する際には、予め登録してある特異事象のパターンと合致するかに基いて判定したり、過去のパターンとの比較に基づいて判定したりする。
管理装置6は、更に、IDS装置7から出力されるログを分析するIDSログ分析装置8(以下「分析装置8」と表記する)を含んでいる(図2参照)。分析装置8は、IDS装置から出力されたIDSログの解析を行い、攻撃目的でサーバ2へアクセスしたIPアドレス(以下、「攻撃元IP」と表記することもある)を出力する(図2<1>)。出力された攻撃元IPは、攻撃対象となったサーバ2へ送信される。
サーバ2(各サーバ2A,2B,2C:図2ではサーバ2Aを例示)は、アクセスログ検証装置9(以下「検証装置9」と表記する)を含んでいる(図2参照)。検証装置9は、管理装置6の分析装置8から攻撃元IPを受け取ると、アクセスログを参照し、攻撃元IPによるログインが成功していたか否かを判定する(図2<2>)。
すなわち、検証装置9は、ログイン要求元のIPアドレスが攻撃元IPであり(すなわち、ログイン要求元情報と攻撃元情報とが一致し)、且つログイン成功の情報を含むレコードがアクセスログに記憶されているか否かを判定する。このとき、該当するレコードがアクセスログから発見された場合(図2<2>,YES)には、検証装置9は以下の処理を行う。すなわち、検証装置9は、当該レコード中のエンドユーザ名を「被窃取ユーザ名」と判断する(図2<3>)。「被窃取ユーザ名」とは、攻撃者によって窃取されたエンドユーザ名を示す。
検証装置9は、被窃取ユーザ名を出力する(図2<4>)。被窃取ユーザ名は、例えばリストに登録される。NWユーザAは、リストの参照によって被窃取ユーザ名を知ると、当該被窃取ユーザ名でのログインを拒絶するようにシステムAの設定を変更することがで
きる。また、NWユーザAは、被窃取ユーザ名を有するエンドユーザに対し、エンドユーザ名の変更を依頼することができる。このとき、NWユーザAは、パスワードの変更も依頼し得る。
きる。また、NWユーザAは、被窃取ユーザ名を有するエンドユーザに対し、エンドユーザ名の変更を依頼することができる。このとき、NWユーザAは、パスワードの変更も依頼し得る。
<情報処理装置の構成例>
図3は、サーバ2及び管理装置6のそれぞれに適用可能な情報処理装置(コンピュータ)の構成例を示す図である。図3において、情報処理装置10は、バスBを介して接続されたCentral Processing Unit(CPU)11と、メモリ(主記憶装置)12と、補助記
憶装置13と、通信インタフェース(通信IF)14と、入出力装置15とを含む。CPU11は、「プロセッサ」、或いは「制御装置」の一例である。
図3は、サーバ2及び管理装置6のそれぞれに適用可能な情報処理装置(コンピュータ)の構成例を示す図である。図3において、情報処理装置10は、バスBを介して接続されたCentral Processing Unit(CPU)11と、メモリ(主記憶装置)12と、補助記
憶装置13と、通信インタフェース(通信IF)14と、入出力装置15とを含む。CPU11は、「プロセッサ」、或いは「制御装置」の一例である。
メモリ12は、不揮発性記憶媒体と、揮発性記憶媒体とを含む。不揮発性記憶媒体は、例えば、Read Only Memory(ROM)である、揮発性記憶媒体は、例えば、Random Access Memory(RAM)である。メモリ12は、CPU11の作業領域として使用される。
補助記憶装置13は、例えば、ハードディスク,Solid State Drive(SSD),Electrically Erasable Programmable Read-Only Memory(EEPROM),フラッシュメモリなどの少なくとも1つである。補助記憶装置13は、CPU11によって実行されるプログラムや、プログラムの実行に際して使用されるデータを記憶する。メモリ12,補助記憶装置13のそれぞれは、「記憶装置」、「記憶媒体」の一例である。
通信IF14は、通信に係る信号変換、プロトコル変換を司る装置である。通信IF14として、例えば、ネットワークカード、或いはネットワークインタフェースカード(NIC)と呼ばれる通信インタフェース装置が適用される。通信IF14は、「送信装置」、「受信装置」の一例である。
入出力装置15は、入力装置と出力装置とを含む。入力装置は、キー,ボタン,マウス等のポインティングデバイス,タッチパネルなどの少なくとも1つを含み、情報の入力に使用される。出力装置は、例えばディスプレイ装置(表示装置)であり、情報の表示に使用される。入出力装置15は、マイクロフォンのような音声入力装置、スピーカのような音声出力装置を含むこともある。
CPU11は、補助記憶装置13に記憶されたプログラムをメモリ12にロードして実行する。これによって、情報処理装置10は、管理装置6として動作したり、サーバ2として動作したりすることができる。
<機能的構成>
図4は、管理装置6に備えられたIDS装置7及びIDSログの分析装置8、並びにサーバ2(各サーバ2A,2B,2C)に備えられた検証装置9の機能的な構成を模式的に示す図である。
図4は、管理装置6に備えられたIDS装置7及びIDSログの分析装置8、並びにサーバ2(各サーバ2A,2B,2C)に備えられた検証装置9の機能的な構成を模式的に示す図である。
<<管理装置>>
IDS装置7は、攻撃検知部71と、IDSログデータベース(IDSログDB)72とを含む。分析装置8は、被攻撃先群分析部81と、攻撃元分析部82と、攻撃元情報送信部83とを含む。
IDS装置7は、攻撃検知部71と、IDSログデータベース(IDSログDB)72とを含む。分析装置8は、被攻撃先群分析部81と、攻撃元分析部82と、攻撃元情報送信部83とを含む。
管理装置6として動作する情報処理装置10のCPU11は、プログラムを実行することによって、攻撃検知部71,被攻撃先群分析部81,攻撃元分析部82,及び攻撃元情報送信部83として動作する。IDSログDB72は、管理装置6として動作する情報処理装置10の補助記憶装置13,或いはメモリ12に記憶される。
[IDS装置]
IDS装置7は、サイバー攻撃の監視のための侵入検知システム(IDS)を運用する装置である。IDS装置7は、一例として、攻撃元からのブルートフォース攻撃を検知する。ブルートフォース攻撃とは、考えられる全ての鍵をリストアップすることで暗号文の復号を試みる攻撃である。効率的な攻撃の実施のために、辞書に収集されている単語を候補として検索する辞書攻撃や、システムに初期設定される値を用いた攻撃も存在する。ブルートフォース攻撃には、或るシステムから漏洩したと考えられる大量の識別子(ID)及びパスワードを別のシステムへのログインに使用する攻撃も含まれる。
IDS装置7は、サイバー攻撃の監視のための侵入検知システム(IDS)を運用する装置である。IDS装置7は、一例として、攻撃元からのブルートフォース攻撃を検知する。ブルートフォース攻撃とは、考えられる全ての鍵をリストアップすることで暗号文の復号を試みる攻撃である。効率的な攻撃の実施のために、辞書に収集されている単語を候補として検索する辞書攻撃や、システムに初期設定される値を用いた攻撃も存在する。ブルートフォース攻撃には、或るシステムから漏洩したと考えられる大量の識別子(ID)及びパスワードを別のシステムへのログインに使用する攻撃も含まれる。
IDS装置7は、ブルートフォース攻撃を検知し、特定のIPアドレスを有する通信装置に向けてのアクセスを重点的に監視するような対策のために用いられる。IDS装置7は、攻撃元のIPアドレスを特定する機能を有する。IDSで特定された攻撃元IPに対し、管理装置6は、当該攻撃元IPからの通信を遮断するなどの防御を行い得る。
IDS装置7の攻撃検知部71は、外部ネットワーク4からネットワーク1へ流れるパケットのうち、ブルートフォース攻撃に関わるパケットを検知し、異常を知らせるイベントを分析装置8向けに発行する。攻撃検知部71は、検知したブルートフォース攻撃に関わるパケットに関する情報をIDSログDB72に格納する。
図5は、IDSログDB72のデータ構造例を示す図である。図5において、IDSログDB72は、1以上のレコードで形成されるテーブルを有している。1つのレコードは、 “Hacker(ハッカー)”,“Victim(ビクティム)”,“検知時刻”,“攻撃回数”,“Port(ポート番号)”を情報要素として含んでいる。
“Hacker”は、「攻撃元」を示す。攻撃元とは、サーバ2を用いて提供されるシステムに対して攻撃(本実施形態ではブルートフォース攻撃)を仕掛ける通信の発信元の通信装置を指す。本実施形態では、攻撃元は発信元のIPアドレスで特定される。
“Victim”は、「被攻撃先」を示す。被攻撃先とは、ブルートフォース攻撃を受ける通信装置を指す。本実施形態では、被攻撃先は、攻撃される通信装置(サーバ2)に割り当てられたIPアドレスで特定される。
“検知時刻”は、侵入検知システム(IDS)がブルートフォース攻撃を検知した時刻を示す。“攻撃回数”は、攻撃元がログインを試行した回数を示す。攻撃回数は「ログイン試行回数」とも呼ばれる。攻撃回数は、或る検知時刻を含む或る連続的期間において、攻撃元から被攻撃先へログインを試行するブルートフォース攻撃が検知された回数であり得る。ブルートフォース攻撃は、未知のエンドユーザ名及びパスワードを窃取するために、当てずっぽうのエンドユーザ名及びパスワードでのログインを繰り返し試行するためである。
例えば、或る時刻から5分間に亘って、或る被攻撃先が攻撃元から攻撃を受けた場合、当該5分間における攻撃の総数を攻撃回数としても良い。攻撃回数は、単位時間当たりのブルートフォース攻撃が検知された回数であっても良い。或いは、或る時間帯(例えば5分)における単位時間(例えば1分)あたりの攻撃回数の平均であっても良い。
“Port”は、攻撃が検知された被攻撃先の通信装置(サーバ2)のポート番号である。攻撃検知部71は、例えば、外部ネットワーク4からネットワーク1へ流れるパケットの送信元IPアドレス及び宛先IPアドレスを参照し、或る送信元から或る宛先へのパケットの送信パターンがブルートフォース攻撃のパターンに合致する場合に、IDSログDB
72にレコードを書き込む。
72にレコードを書き込む。
図5に示すレコードの内容からは、以下のことが分かる。例えば、図5に示すテーブルの1番目(上側)のレコードは、以下を示している。すなわち、IPアドレス“11.22.33.44”の攻撃元から、IPアドレス“55.66.77.88”の被攻撃先のポート番号“22”に対しブルートフォース攻撃が行われている。ブルートフォース攻撃の検知時刻は「2013年4月1日0時0分」であり、攻撃回数は30回である。
[分析装置]
図4に戻って、分析装置8の被攻撃先群分析部(分析部)81は、IDSログDB72に格納されたデータ(IDSログ:図5)に基づいて、ブルートフォース攻撃の被攻撃先と考えられる通信装置のIPアドレスを特定する。本実施形態では、攻撃を受けたサーバ2のIPアドレスが被攻撃先のIPアドレスとして特定される。
図4に戻って、分析装置8の被攻撃先群分析部(分析部)81は、IDSログDB72に格納されたデータ(IDSログ:図5)に基づいて、ブルートフォース攻撃の被攻撃先と考えられる通信装置のIPアドレスを特定する。本実施形態では、攻撃を受けたサーバ2のIPアドレスが被攻撃先のIPアドレスとして特定される。
被攻撃先群分析部81は、例えば、周期的にIDSログを取得して分析を開始することができる。或いは、被攻撃先群分析部81は、IDS装置7で発行されたイベント受信を契機として分析を開始することができる。
具体的には、被攻撃先群分析部81は、IDSログDB72に格納されたデータ(IDSログ)に基づいて、攻撃回数及び検知時刻について、複数の被攻撃先(Victim)の相関係数を計算する。
攻撃回数及び検知時刻のそれぞれに関する相関係数の計算方法としては、たとえば、最大クリーク法を用いることができる。そして、相関係数の高い通信装置(Victim)を選択し、被攻撃先群(Victim群、通信装置群)として特定する。被攻撃先群分析部81が参照する記憶領域(補助記憶装置13又はメモリ12の記憶領域)には、分析設定DB(図示せず)が記憶されている。分析設定DBには、被攻撃先群を特定するための相関係数の閾値と、分析に使用したIDSログデータの期間(分析の間隔)とを少なくとも含む。被攻撃先群分析部81は、分析の間隔に合致するデータをIDSログから得て、相関係数の計算結果が閾値を超える被攻撃先を選択(特定)する。
例えば、相関係数Rは、通信装置viが受けたブルートフォース攻撃の回数をxi、検知時刻をtiとして、以下の式で定義することができる。
図6は、被攻撃先群分析部81における処理の説明図である。ブルートフォース攻撃は、或る攻撃元から複数の被攻撃先(被攻撃先群)へ向けて行われることがある。また、ブルートフォース攻撃は、検知時刻によって毎回異なる攻撃元から特定の複数の被攻撃先群へ向けて行われることがある。例えば、或る時刻t1では、攻撃元H1から被攻撃先V1、V2、…、Vm(mは正の整数)へブルートフォース攻撃を行い、時刻t2では、攻撃元H2から被攻撃先V1、V2、…、Vmへブルートフォース攻撃を行うことがある。
上記のように、被攻撃先群に対するブルートフォース攻撃が行われる場合、或る1つの攻撃元から、ほぼ同時刻に、ほぼ同じ回数だけ複数の被攻撃先に対して攻撃が行われた形跡がIDSログに残る。
被攻撃先群分析部81は、複数の通信装置に関して、或る送信元IPアドレスからのアクセス時刻(検知時刻)及びログイン試行回数(攻撃回数)の相関係数を計算する。被攻撃先群分析部81は、検知時刻及び攻撃回数の相関係数が閾値以上又は閾値を上回るときに、当該或る送信元IPアドレスを攻撃元IPとして特定し、複数の通信装置を被攻撃先群として特定する。
図6に示す例において、例えば、検知時刻“10/1 0:01”において、IPアドレスH1
(Hi(iは正の整数))からIPアドレスV1,V2,V3に対してそれぞれ50回のログイン試行回数が記録されている。このように、被攻撃先群分析部81は、或るIPアドレスから、ほぼ同時刻で、ほぼ同じ回数のログイン試行回数が認められた複数のIPアドレス(V1,V2,V3)が、被攻撃先群のIPアドレスとして特定する。また、被攻撃先群分析部81は、ログインを試行したIPアドレス(H1)を攻撃元IPとして特定する。
(Hi(iは正の整数))からIPアドレスV1,V2,V3に対してそれぞれ50回のログイン試行回数が記録されている。このように、被攻撃先群分析部81は、或るIPアドレスから、ほぼ同時刻で、ほぼ同じ回数のログイン試行回数が認められた複数のIPアドレス(V1,V2,V3)が、被攻撃先群のIPアドレスとして特定する。また、被攻撃先群分析部81は、ログインを試行したIPアドレス(H1)を攻撃元IPとして特定する。
図6に示す例では、被攻撃先群分析部81は、上述した処理によって、IPアドレスH1,H2,及びH3のそれぞれを攻撃元IPとして特定する。これに対し、IPアドレスH4の検知時刻では、IPアドレスV2及びV3に対するログイン試行回数(攻撃回数)は記録されていない。このため、IPアドレスH4は、攻撃元IPとして特定されない。
各IPアドレスV1,V2,V3が、サーバ2A,2B,2CのそれぞれのIPアドレスであると仮定すると、被攻撃先群分析部81は、被攻撃先群であるサーバ2A,2B,2Cに対する攻撃元IPを特定することができる。
分析装置8の攻撃元分析部(分析部)82は、IDSログDB72からIDSログの情報を得るとともに、被攻撃先群分析部81から被攻撃先群の情報を得る。攻撃元分析部82は、各被攻撃先のIPアドレス(Victim)を含むレコードをIDSログから特定し、特定したレコード中の攻撃先(Hacker)のIPアドレスを攻撃元IPとして特定する。
攻撃元情報送信部(送信部)83は、被攻撃先群のIPアドレスへ向けて、攻撃元IPを含む攻撃元情報を送信する処理を行う。すなわち、攻撃元情報送信部83は、攻撃元情報を含むパケットを生成する。このとき、パケットの宛先IPアドレスには、被攻撃先のIPアドレスが設定される。
管理装置6として動作する情報処理装置10の通信IF14は、パケットを被攻撃先(サーバ2)へ向けて送信する。これによって、被攻撃先群であるサーバ2A,2B,2Cのそれぞれに対し、攻撃元情報(攻撃元IP)が受信される。
攻撃元情報の送信は、攻撃元情報が得られたことを契機として開始されるようにしても良い。或いは、攻撃元情報が補助記憶装置13又はメモリ12の所定の記憶領域に記憶され、検証装置9からの要求に応じて攻撃元情報送信部83が送信処理を実行するようにしても良い。
<<サーバ>>
図4に示すように、サーバ2が備える検証装置9は、アクセスログ検証部(検証部)91と、アクセスログDB92と、被窃取ユーザ名リスト(リスト)93と、インタフェー
ス部94とを含む。サーバ2として動作する情報処理装置10のCPU11は、プログラムを実行することによって、アクセスログ検証部91として動作する。サーバ2は、「通信装置」の一例であり、検証装置9は、「情報処理装置」の一例である。
図4に示すように、サーバ2が備える検証装置9は、アクセスログ検証部(検証部)91と、アクセスログDB92と、被窃取ユーザ名リスト(リスト)93と、インタフェー
ス部94とを含む。サーバ2として動作する情報処理装置10のCPU11は、プログラムを実行することによって、アクセスログ検証部91として動作する。サーバ2は、「通信装置」の一例であり、検証装置9は、「情報処理装置」の一例である。
アクセスログDB92及び被窃取ユーザ名リスト93は、サーバ2として動作する情報処理装置10の補助記憶装置13又はメモリ12に記憶される。サーバ2の入出力装置15に含まれる出力装置(ディスプレイ装置)は、インタフェース部94として動作する。
サーバ2として動作する情報処理装置10のCPU11は、補助記憶装置13に記憶されたプログラムを実行することによって、Webサービスの提供システムとして動作する。すなわち、サーバ2は、Webクライアントであるエンドユーザの端末3にWebページの情報を提供するWebサーバとして動作する。サーバ2がWebサーバとして動作するためのプログラム及びデータは、予め補助記憶装置13に記憶されている。
CPU11は、エンドユーザの端末3からサーバ2へ送信されたWebサイトへのログイン要求を通信IF14を介して受信する。すると、CPU11は、ログイン画面のWebページの情報を補助記憶装置13から読み出し、端末3へ送信する。Webページの情報は、予め補助記憶装置13に記憶されている。
端末3を用いるエンドユーザは、ログイン画面を用いて、認証用情報(認証コードともいう)、すなわちエンドユーザ名及びパスワードを入力する。認証用情報は、端末3からサーバ2の通信IF14で受信され、CPU11に渡される。
CPU11は、補助記憶装置13に予め記憶された認証用情報を用いて認証用情報が正当か否かを判定する。認証用情報が正当であれば、CPU11は、ログイン“OK(Yes)”と判定し、次のWebページの情報を端末3へ送信する処理を行う。これに対し、認証用情報が不正であれば、CPU11は、ログイン“NG(No)”と判定し、エラーメッセージを端末3へ送る処理を行う。
認証用情報が不正の場合として、例えば、エンドユーザ名が認証用情報として登録されていない場合や、パスワードが認証用情報として登録されたパスワードに一致しない場合が挙げられる。
CPU11は、認証の成否(すなわち、ログインの成否)を含むレコードをアクセスログDB92に記憶する。このとき、レコードに含まれる情報要素(パラメータ)として、少なくとも、ログイン要求の送信元の通信装置のIPアドレスと、認証用情報(エンドユーザ名及びパスワード)と、ログインの成否を示す情報とが含まれる。
図7は、アクセスログDB92のデータ構造例を示す図である。アクセスログDB92は、上記したように、ログイン要求元のIPアドレスと、エンドユーザ名と、パスワードと、ログインの成功/失敗(Yes/No)を示す情報とを含む1以上のレコードを記憶する。ログイン要求元のIPアドレスは、「ログイン要求元の情報」の一例である。
CPU11は、アクセスログDB92へのレコード登録を、ログイン要求に基づく認証処理を実行する毎に行う。このようなアクセスログDB92のレコード(ログ)には、正当なエンドユーザの端末3からのログイン要求に対する結果のログと、ブルートフォース攻撃による攻撃元の端末5からのログイン要求に対する結果のログとが含まれ得る。
図8は、アクセスログ検証部91(CPU11)の動作(処理)例を示すフローチャートである。図8に示す処理は、例えば、周期的又は定期的に実行される。或いは、図8に
示す処理は、周期的又は定期的に攻撃元情報の受信(到着)をチェックし、攻撃元情報が到着している場合に開始されるようにしても良い。或いは、図8に示す処理は、攻撃元情報の受信を契機として開始されるようにしても良い。
示す処理は、周期的又は定期的に攻撃元情報の受信(到着)をチェックし、攻撃元情報が到着している場合に開始されるようにしても良い。或いは、図8に示す処理は、攻撃元情報の受信を契機として開始されるようにしても良い。
図8において、アクセスログ検証部91は、アクセスログDB92からログデータ(各レコード)を取得する(01)。続いて、アクセスログ検証部91は、分析装置8から攻撃元情報(攻撃元IP)を取得する(02)。図8の例では、以下を仮定している。すなわち、アクセスログ検証部91(サーバ2)が分析装置8(管理装置6)へ攻撃元情報の提供要求のメッセージを送信する。提供要求を受信した分析装置8(攻撃元情報送信部83)は、提供要求に応じて攻撃元情報を提供要求の送信元のサーバ2へ送る。
次に、アクセスログ検証部91は、ログデータから攻撃元IPが含まれるレコードを抽出する(03)。次に、アクセスログ検証部91は、抽出されたレコード中にログイン成功を示す情報を含んだレコードが存在するか否かを判定する(04)。
このとき、該当するレコードが存在しない場合(04,No)には、図8の処理が終了する。これに対し、該当するレコードが存在する場合(04,Yes)には、アクセスログ検証部91は、当該レコードに含まれるエンドユーザ名を被窃取ユーザ名リスト93に登録する(05)。その後、図8の処理が終了する。
なお、図8における01の処理と02の処理とは逆でも良い。また、03以降の処理は、図8の例では、複数の攻撃元IPが得られた場合において、各攻撃元IPに関して並列に実行される。但し、各攻撃元IPに関して03〜05の処理が繰り返し実行されるようにしても良い。
図9は、アクセスログ検証部91の処理の説明図である。図9では、図9に示す内容のアクセスログに関して、攻撃元IPとしてH1,H2及びH3が得られた様子が図示されている。アクセスログ検証部91は、攻撃元IP“H1”,“H2”を含むレコードを抽出する。このとき、上から2番目のレコード(「レコード2」と称する)と上から3番目のレコード(「レコード3」と称する)とが抽出される。
アクセスログ検証部91は、レコード2及びレコード3のそれぞれにおける“ログイン成功/失敗”の情報(ステータス)を参照する。このとき、レコード2及びレコード3のそれぞれのステータスは“Yes(ログイン成功)”を示す。このため、アクセスログ検証部91は、レコード2及びレコード3中の認証用情報が攻撃元に窃取されたと判定する。レコード2の認証用情報は、エンドユーザ名“Alice”及びパスワード“1234”であり
、レコード3の認証用情報は、エンドユーザ名“Bob”及びパスワード“aaaa”である。
アクセスログ検証部91は、レコード2及びレコード3の各エンドユーザ名(“Alice”
及び“Bob”)を被窃取ユーザ名リスト93に登録する。
、レコード3の認証用情報は、エンドユーザ名“Bob”及びパスワード“aaaa”である。
アクセスログ検証部91は、レコード2及びレコード3の各エンドユーザ名(“Alice”
及び“Bob”)を被窃取ユーザ名リスト93に登録する。
図10は、被窃取ユーザ名リスト93(以下、「リスト93」と表記)のデータ構造例を示す図である。図10に示すように、リスト93は、窃取されたと判定された(推定された)エンドユーザ名と、追加日(追加日時)とを含む1以上のレコードを記憶する。リスト93には、さらにパスワードが記憶されるようにしても良い。
インタフェース部94は、アクセスログ検証部91によって特定された被攻撃先に関する情報を表示する。図11は、インタフェース部94(入出力装置15に含まれるディスプレイ装置)が出力する表示画面の例を示す。図11に示すように、インタフェース部94は、一例として、被窃取ユーザ名リスト93の登録内容を表示画面に表示する。サーバ2(例えばサーバ2A)を利用するNWユーザAは、表示画面を参照することで、エンド
ユーザ名“Alice”及び“Bob”が攻撃元に窃取されたことを知ることができる。
ユーザ名“Alice”及び“Bob”が攻撃元に窃取されたことを知ることができる。
上述したように、攻撃元情報(攻撃元IP)は、被攻撃先群として特定された各サーバ2A,2B,2Cにおける検証装置9のそれぞれに送信される。従って、各サーバ2の検証装置9が上記した処理を行う。これにより、NWユーザAだけでなく、サーバ2Bを利用するNWユーザB,サーバ2Cを利用するNWユーザCも、対応する被窃取ユーザ名リスト93を参照することで、攻撃元に窃取されたエンドユーザ名を知ることができる。
NWユーザAは、例えば、エンドユーザ名“Alice”及び“Bob”を用いたログインがパスワードの如何に拘わらず拒絶されるようにシステムAの設定変更を行う。このような設定変更は、マニュアルで実施することができる。或いは、所定のアルゴリズム(プログラム)を用いて、例えば、被窃取ユーザ名リスト93にエンドユーザ名が追加されたことを契機として自動的に実行されるようにすることもできる。これによって、攻撃元による不正ログイン(なりすまし)を回避することが可能となる。
また、NWユーザAは、“Alice”及び“Bob”をそれぞれ有するエンドユーザに対し、エンドユーザ名の変更を依頼する。エンドユーザ名の変更によって、攻撃元のなりすましが不可能となる。また、窃取されたエンドユーザ名でのログインが拒絶される設定となっている場合には、エンドユーザ名変更によって、正規のエンドユーザがシステムAにログイン可能な環境を得ることができる。変更依頼は、メール,郵送等適宜の手法を用いてエンドユーザに与えられる。
<実施形態の作用効果>
実施形態によれば、検証装置9がアクセスログ及び攻撃元IPを用いて認証用情報(エンドユーザ名)が窃取されたことを検知し、被窃取ユーザ名リスト93に登録する。NWユーザは、出力された被窃取ユーザ名リスト93を参照して、窃取に対する対策を採ることができる。
実施形態によれば、検証装置9がアクセスログ及び攻撃元IPを用いて認証用情報(エンドユーザ名)が窃取されたことを検知し、被窃取ユーザ名リスト93に登録する。NWユーザは、出力された被窃取ユーザ名リスト93を参照して、窃取に対する対策を採ることができる。
サーバ2(検証装置9)は、NW管理者の運用する管理装置6(IDS装置7及び分析装置8)によって得られた攻撃元情報(攻撃元IP)を受信することで、既存のアクセスログを用いて窃取を検知することができる。このため、NWユーザがアクセスログから認証用情報の窃取を知るための導入コストが小さくて済む。
また、本実施形態による攻撃元IPの特定方法によれば、比較的短い期間で得られたIDSログを用いて攻撃元IPを特定することができる。このため、既存のレピュテーションサービスのように、アクセスログ中のIPアドレスが悪性か否かを判断するための十分な評価材料を得るために、長い期間のアクセスログを要するという欠点がない。
また、本実施形態による攻撃元IPの特定方法では、管理装置6で或る時刻で通信装置(サーバ2)を含む被攻撃先群に実質的に同数と認め得る回数の攻撃(ログイン試行)を行ったIPアドレスが検証装置9に供給する攻撃元IPとして特定される。このため、比較的少ない攻撃回数(ログイン試行回数)であっても、攻撃元IPを特定することができる。
このため、例えば、大量のログイン試行失敗の後に1回ログインに成功した記録がアクセスログにあるという特徴を不正ログイン成功と判断するような構成に比べて、大量のログイン試行失敗を要しない点で、攻撃元IP特定が容易化される。
さらに、例えば、IPアドレスとエンドユーザ名とを紐づけ、普段と異なるIPアドレスでログイン成功した場合に、当該ログインが不正ログインであると判断する手法がある
。このような手法では、エンドユーザが複数の端末3を使い分ける場合に不正ログインを誤検知する可能性がある。また、1つのエンドユーザ名を複数人で共有する場合にも誤検知が発生し得る。
。このような手法では、エンドユーザが複数の端末3を使い分ける場合に不正ログインを誤検知する可能性がある。また、1つのエンドユーザ名を複数人で共有する場合にも誤検知が発生し得る。
本実施形態による攻撃元IPの特定方法では、攻撃元IPとして特定する条件が満たされる限り、複数のIPアドレスのそれぞれが攻撃元IPとして検知される。よって、上記紐づけによる手法で生じる欠点(誤検知)は発生しない。また、本実兄対の攻撃元IPの特定手法では、複数のIPアドレスを用いたブルートフォース攻撃に対して、それぞれの攻撃元IPを検知することができる。
<変形例>
本実施形態では、IDS装置7及び分析装置8を用い、図6を用いて説明した手法で攻撃元IPを特定する。但し、当該攻撃元IPの特定方法は例示である。すなわち、検証装置9に供給(受信)される攻撃元IP(攻撃元情報)の特定方法は、実施形態で説明した手法に限定されない。すなわち、既存のIDSを用いたブルートフォース攻撃の攻撃元IPの特定方法を含むあらゆる攻撃元IPの特定方法を適用可能である。このため、攻撃元IPの特定のために被攻撃先群が特定されることは必須要件ではなく、単一の通信装置(サーバ)に対する攻撃元IPが検知される手法が適用されても良い。
本実施形態では、IDS装置7及び分析装置8を用い、図6を用いて説明した手法で攻撃元IPを特定する。但し、当該攻撃元IPの特定方法は例示である。すなわち、検証装置9に供給(受信)される攻撃元IP(攻撃元情報)の特定方法は、実施形態で説明した手法に限定されない。すなわち、既存のIDSを用いたブルートフォース攻撃の攻撃元IPの特定方法を含むあらゆる攻撃元IPの特定方法を適用可能である。このため、攻撃元IPの特定のために被攻撃先群が特定されることは必須要件ではなく、単一の通信装置(サーバ)に対する攻撃元IPが検知される手法が適用されても良い。
また、本実施形態では、攻撃元情報としてIPアドレスが使用される。このため、攻撃元の通信装置に依存しない管理を行うことができ、また、ログイン要求元(送信元)のIPアドレスを記録する既存のアクセスログとの対応(紐づけ)が容易である。但し、攻撃元情報がIPアドレスであることは必須条件ではなく、アクセスログにて攻撃元情報と一致するログイン要求元情報が特定される限り、IPアドレス以外の情報を攻撃元情報として適用しても良い。アクセスログに記録されるログイン要求元の情報も、送信元IPアドレスに限られない。
また、本実施形態では、IDS装置7と分析装置8とが一つの情報処理装置10(管理装置6)上で動作する例について説明している。但し、IDS装置7と分析装置8とが個別の情報処理装置上で動作し、情報処理装置間の通信によりIDS装置7で得られたIDSログが分析装置8へ送信されるようにしても良い。
また、本実施形態では、「情報処理装置」の一例である検証装置9が「通信装置」の一例であるサーバ2に含まれている例を示している。当該構成に代えて、検証装置9がサーバ2と通信可能なサーバ2から独立した情報処理装置に実装されるようにしても良い。この場合、既存のサーバ(サービス提供システム)について、アクセスログを検証装置9に供給する構成を追加するだけで良く、サーバに対する改変度合いを小さくすることができる。また、Webサーバとして動作する情報処理装置とアクセスログDBを記憶する情報処理装置とが別の装置であっても良い。
上述した実施形態は、以下の付記を開示する。以下の付記は適宜組み合わせることが可能である。
(付記1) ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を情報処理装置が検知する方法であって、
前記情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信し、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレ
コードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定し、
窃取されたと判定した認証用情報を出力する
ことを含む認証用情報の窃取検知方法。(1)
(付記1) ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を情報処理装置が検知する方法であって、
前記情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信し、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレ
コードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定し、
窃取されたと判定した認証用情報を出力する
ことを含む認証用情報の窃取検知方法。(1)
(付記2) 前記情報処理装置は、或る攻撃元が或る時刻で前記通信装置を含む被攻撃先群に実質的に同数と認め得る回数の攻撃を行ったことを示す情報が前記管理装置で得られたときにおける前記或る攻撃元の情報を受信する
付記1に記載の認証用情報の窃取検知方法。(2)
付記1に記載の認証用情報の窃取検知方法。(2)
(付記3) 前記情報処理装置は、或る攻撃元からの攻撃の検知時刻及び攻撃回数のそれぞれの相関係数が閾値以上である被攻撃先群の1つが前記通信装置であることを検知した前記管理装置から前記或る攻撃元の情報を受信する
付記1に記載の認証用情報の窃取検知方法。
付記1に記載の認証用情報の窃取検知方法。
(付記4) 前記攻撃元の情報及び前記ログイン要求元の情報がIPアドレスである
付記1から3のいずれか1項に記載の認証用情報の窃取検知方法。
付記1から3のいずれか1項に記載の認証用情報の窃取検知方法。
(付記5) 前記認証用情報は、ユーザ識別子を含む
付記1から4のいずれか1項に記載の認証用情報の窃取検知方法。
付記1から4のいずれか1項に記載の認証用情報の窃取検知方法。
(付記6) ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を検知する認証用情報窃取検知装置であって、
ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶する記憶装置と、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信する受信装置と、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定する判定部と、
窃取されたと判定した認証用情報を出力する出力装置と、
を含む認証用情報の窃取検知装置。(3)
ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶する記憶装置と、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信する受信装置と、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定する判定部と、
窃取されたと判定した認証用情報を出力する出力装置と、
を含む認証用情報の窃取検知装置。(3)
(付記7) ログイン成功により所定サービスをユーザに提供する通信装置(図4の2)に関して、ユーザがログインに用いる認証用情報(エンドユーザ名)の窃取を検知する処理をコンピュータに実行させるプログラムであって、
ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶するステップと、
前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信するステップと、
前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定するステップと、
前記攻撃元に窃取されたと判定した認証用情報を出力するステップと
をコンピュータに実行させるプログラム。
ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶するステップと、
前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信するステップと、
前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定するステップと、
前記攻撃元に窃取されたと判定した認証用情報を出力するステップと
をコンピュータに実行させるプログラム。
1・・・ネットワーク
2・・・サーバ
3,5・・・端末
4・・・外部ネットワーク
6・・・ネットワーク管理装置
7・・・IDS装置
8・・・IDSログ分析装置
9・・・アクセスログ検証装置
10・・・情報処理装置
11・・・CPU
12・・・メモリ
13・・・補助記憶装置
14・・・通信インタフェース
15・・・入出力装置
2・・・サーバ
3,5・・・端末
4・・・外部ネットワーク
6・・・ネットワーク管理装置
7・・・IDS装置
8・・・IDSログ分析装置
9・・・アクセスログ検証装置
10・・・情報処理装置
11・・・CPU
12・・・メモリ
13・・・補助記憶装置
14・・・通信インタフェース
15・・・入出力装置
Claims (4)
- ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を情報処理装置が検知する方法であって、
前記情報処理装置が、ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶し、
前記情報処理装置が、前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信し、
前記情報処理装置が、前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定し、
前記攻撃元に窃取されたと判定した認証用情報を出力する
ことを含む認証用情報の窃取検知方法。 - 前記情報処理装置は、或る攻撃元が或る時刻で前記通信装置を含む被攻撃先群に実質的に同数と認め得る回数の攻撃を行ったことを示す情報が前記管理装置で得られているときに前記或る攻撃元の情報を受信する
請求項1に記載の認証用情報の窃取検知方法。 - ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を検知する装置であって、
ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶する記憶装置と、
前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信する受信装置と、
前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定する制御装置と、
前記攻撃元に窃取されたと判定した認証用情報を出力する出力装置と
を含む認証用情報の窃取検知装置。 - ログイン成功により所定サービスをユーザに提供する通信装置に関して、ユーザがログインに用いる認証用情報の窃取を検知する処理をコンピュータに実行させるプログラムであって、
ログイン要求元の情報と、ログイン要求元がログインに際して前記通信装置に提示した認証用情報と、当該認証用情報を用いたログインの成否を示す情報とを含むログイン要求毎のレコードを記憶するステップと、
前記通信装置に対する攻撃元の情報を前記通信装置が存するネットワークの管理装置から受信するステップと、
前記攻撃元の情報と一致する前記ログイン要求元の情報を含むレコードにログインの成功を示す情報が記憶されているときに当該レコード中の認証用情報が前記攻撃元に窃取されたと判定するステップと、
前記攻撃元に窃取されたと判定した認証用情報を出力するステップと
をコンピュータに実行させるプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014109914A JP2015225500A (ja) | 2014-05-28 | 2014-05-28 | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム |
| US14/711,290 US20150350193A1 (en) | 2014-05-28 | 2015-05-13 | Authentication information theft detection method, authentication information theft detection device, and computer-readable recording medium storing program for the same |
| EP15168361.2A EP2950228A1 (en) | 2014-05-28 | 2015-05-20 | Authentication information theft detection method, authentication information theft detection device, and program for the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014109914A JP2015225500A (ja) | 2014-05-28 | 2014-05-28 | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015225500A true JP2015225500A (ja) | 2015-12-14 |
Family
ID=53396177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014109914A Pending JP2015225500A (ja) | 2014-05-28 | 2014-05-28 | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20150350193A1 (ja) |
| EP (1) | EP2950228A1 (ja) |
| JP (1) | JP2015225500A (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017107450A (ja) * | 2015-12-10 | 2017-06-15 | 富士通株式会社 | アクセス監視プログラム、アクセス監視方法およびアクセス監視装置 |
| CN107608679A (zh) * | 2017-08-30 | 2018-01-19 | 深圳市芯智科技有限公司 | 一种通过Socket高效烧写机顶盒数据的方法 |
| US10630676B2 (en) | 2017-11-24 | 2020-04-21 | Microsoft Technology Licensing, Llc | Protecting against malicious discovery of account existence |
| JP6824151B2 (ja) * | 2017-12-26 | 2021-02-03 | 三菱電機株式会社 | インシデント対応支援装置 |
| CN110545250B (zh) * | 2018-05-29 | 2021-12-21 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
| US11108818B2 (en) * | 2019-02-17 | 2021-08-31 | Microsoft Technology Licensing, Llc | Credential spray attack detection |
| US11159542B2 (en) * | 2019-03-21 | 2021-10-26 | Microsoft Technology Licensing, Llc | Cloud view detection of virtual machine brute force attacks |
| US11936664B2 (en) | 2020-03-14 | 2024-03-19 | Microsoft Technology Licensing, Llc | Identity attack detection and blocking |
| CN111600901A (zh) * | 2020-05-26 | 2020-08-28 | 牛津(海南)区块链研究院有限公司 | 一种应用鉴权方法、装置、设备及计算机可读存储介质 |
| US11843624B1 (en) | 2022-07-12 | 2023-12-12 | Netskope, Inc. | Trained model to detect malicious command and control traffic |
| US11736513B1 (en) | 2022-07-12 | 2023-08-22 | Netskope, Inc. | Detecting malicious command and control cloud traffic |
| US11616799B1 (en) * | 2022-07-12 | 2023-03-28 | Netskope, Inc. | Training a model to detect malicious command and control cloud |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6006334A (en) * | 1997-05-01 | 1999-12-21 | International Business Machines Corp. | Method and system for authentication over a distributed service to limit password compromise |
| US7013395B1 (en) * | 2001-03-13 | 2006-03-14 | Sandra Corporation | Method and tool for network vulnerability analysis |
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| JP2004220373A (ja) | 2003-01-15 | 2004-08-05 | Mitsubishi Electric Corp | 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム |
| JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| JP2005234729A (ja) | 2004-02-18 | 2005-09-02 | Hitachi Omron Terminal Solutions Corp | 不正アクセス防御システム及びその方法 |
| JP2005332152A (ja) | 2004-05-19 | 2005-12-02 | Ntt Communications Kk | 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム |
| WO2006019451A1 (en) * | 2004-07-15 | 2006-02-23 | Anakam L.L.C. | System and method for blocking unauthorized network log in using stolen password |
| US7681234B2 (en) * | 2005-06-30 | 2010-03-16 | Microsoft Corporation | Preventing phishing attacks |
| JP4713524B2 (ja) | 2007-03-13 | 2011-06-29 | 株式会社Kddi研究所 | Ipアドレス視覚化装置、プログラム、および記録媒体 |
| US8695097B1 (en) * | 2007-08-28 | 2014-04-08 | Wells Fargo Bank, N.A. | System and method for detection and prevention of computer fraud |
| JP2010239392A (ja) | 2009-03-31 | 2010-10-21 | Nec Corp | サービス不能攻撃制御システム、装置、および、プログラム |
| US8572746B2 (en) * | 2010-01-21 | 2013-10-29 | The Regents Of The University Of California | Predictive blacklisting using implicit recommendation |
| JP5541215B2 (ja) | 2011-03-31 | 2014-07-09 | ダイキン工業株式会社 | 不正利用検知システム |
| US9379896B1 (en) * | 2011-10-24 | 2016-06-28 | Google Inc. | Compromised password mitigation |
-
2014
- 2014-05-28 JP JP2014109914A patent/JP2015225500A/ja active Pending
-
2015
- 2015-05-13 US US14/711,290 patent/US20150350193A1/en not_active Abandoned
- 2015-05-20 EP EP15168361.2A patent/EP2950228A1/en not_active Withdrawn
Non-Patent Citations (2)
| Title |
|---|
| SHINOGI: "不正ログイン対策の整理", マクニカネットワークスセキュリティ研究センターブログ, JPN6017031051, 30 October 2013 (2013-10-30), JP * |
| 本多 聡美、海野 由紀、丸橋 弘治、武仲 正彦、鳥居 悟: "使い捨てIPによるブルートフォース攻撃検出手法の評価", 2014年 暗号と情報セキュリティシンポジウム SCIS2014 [CD−ROM] 2014年 暗号, JPN6017031052, 21 January 2014 (2014-01-21), JP, pages 1-8 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2950228A1 (en) | 2015-12-02 |
| US20150350193A1 (en) | 2015-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2015225500A (ja) | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム | |
| US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
| US10264104B2 (en) | Systems and methods for malicious code detection accuracy assurance | |
| US9866566B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
| CN108370381B (zh) | 用于使用客户端蜜标检测先进攻击者的系统以及方法 | |
| US11089036B2 (en) | Identifying security risks and fraud attacks using authentication from a network of websites | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| Wu et al. | Effective defense schemes for phishing attacks on mobile computing platforms | |
| Ludl et al. | On the effectiveness of techniques to detect phishing sites | |
| US10630676B2 (en) | Protecting against malicious discovery of account existence | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| US20080295169A1 (en) | Detecting and defending against man-in-the-middle attacks | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| JP5987627B2 (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
| WO2019095856A1 (zh) | 一种网络身份认证方法、系统及其使用的用户代理设备 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN112714093A (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
| US9516059B1 (en) | Using mock tokens to protect against malicious activity | |
| CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
| JP2016143320A (ja) | ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム | |
| Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| US20150172310A1 (en) | Method and system to identify key logging activities | |
| WO2017068714A1 (ja) | 不正通信制御装置および方法 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170822 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171023 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20171114 |