JP2016115072A - 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 - Google Patents
被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 Download PDFInfo
- Publication number
- JP2016115072A JP2016115072A JP2014252205A JP2014252205A JP2016115072A JP 2016115072 A JP2016115072 A JP 2016115072A JP 2014252205 A JP2014252205 A JP 2014252205A JP 2014252205 A JP2014252205 A JP 2014252205A JP 2016115072 A JP2016115072 A JP 2016115072A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- suspicious file
- file
- inspection target
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】検査対象装置にマルウェア診断ソフトがインストールされているか否かによらず、検査対象装置がマルウェア診断装置に接続できない状況においても、検査対象装置がマルウェアに感染した可能性を検知できるようにする。
【解決手段】検査対象装置に接続可能な被疑ファイル収集装置28は、検査対象装置により起動されるプログラムを用いて、検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段29と、被疑ファイルを記憶する記憶手段30と、被疑ファイルを実行した結果を監視する監視装置に対して、記憶手段に蓄積された被疑ファイルを送出する送出手段31と、を備えている。
【選択図】図1
【解決手段】検査対象装置に接続可能な被疑ファイル収集装置28は、検査対象装置により起動されるプログラムを用いて、検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段29と、被疑ファイルを記憶する記憶手段30と、被疑ファイルを実行した結果を監視する監視装置に対して、記憶手段に蓄積された被疑ファイルを送出する送出手段31と、を備えている。
【選択図】図1
Description
本発明は、被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法に関し、特に、検査対象装置の記憶部から被疑ファイルを収集する被疑ファイル収集装置、収集した被疑ファイルを監視する監視装置と被疑ファイル収集装置を備えたマルウェア検知システム、および、マルウェアへの感染可能性を検知するマルウェア検知方法に関する。
マルウェア感染が疑われる際の診断として、一般に、次の方法が採用されている。すなわち、マルウェア診断ソフトや駆除ソフトをインストールした検査対象装置のハードディスクドライブ(HDD:Hard Disk Drive)等の記憶媒体を完全スキャンして情報収集を行い、予めウイルス対策ソフトウェアメーカが作成したウイルス定義ファイルをもとに検知を実施する。ここで、HDDとは、パーソナルコンピュータ(PC:Personal Computer)等のIT(Information Technology)機器の記憶媒体として使用される装置をいう。
関連技術として、特許文献1には、ユーザPC内で発見されたマルウェアである可能性があるファイル(擬陽性ファイル)を検体としてマルウェア解析システムに送信し、マルウェア解析システムで受信した検体を解析する技術が記載されている。
また、特許文献2には、仮想化技術を用いてコンピューティングプラットフォームの残りの部分とは隔離されたサンドボックス仮想マシンを作り出し、疑わしいファイルやアプリケーションプログラムに攻撃コードが含まれている場合にも、攻撃がサンドボックスに内包されるようにする技術が記載されている。
さらに、特許文献3には、計測器のハードディスクの内容をサーバ装置にバックアップデータとして保管しておき、パーソナルコンピュータ上でバックアップデータを用いてウイルス感染の有無を検査することで、計測器が存在しない状況でもウイルスの検査を可能とする技術が記載されている。
上記特許文献1ないし3の全開示内容は、本書に引用をもって繰り込み記載されているものとする。以下の分析は、本発明者によってなされたものである。
上述のように、一般に、マルウェア診断ソフトや駆除ソフトをインストールした検査対象装置で、インストールされたマルウェア診断ソフトや駆除ソフトにより、マルウェアに感染しているか否かの診断が行われる。
かかる方法によると、最新のウイルス等のプログラムのパターンファイルをインターネットを介して逐次入手して更新していたとしても、検査対象装置をターゲットにしたような世の中に出回っていないマルウェアの解析や検出には限界があり、マルウェアへの感染を見逃すおそれがある。すなわち、近年のマルウェアは、顧客毎にカスタマイズされて作成されているため、従来型のウイルス対策ソフトウェア(シグネチャマッチング型)によると、検体を確保してシグネチャ(定義ファイル)化されるまで、マルウェアを検出することができないという問題がある。
また、マルウェア診断ソフトや駆除ソフトをインストールした検査対象装置を用いて、検査対象装置に入り込んだ可能性のあるマルウェアを検出した場合、検査対象装置にインストールされているプログラムやOS(Operating System)の動作の影響により、マルウェアの動作を見逃すおそれもある。
従来型のウイルス対策ソフトウェアで検出できないマルウェアの動作および被害状況を確認するには、セキュリティに関する高度な知識を有するエンジニアが検査対象装置(被疑端末)または検査対象装置のハードディスク(HDD)イメージを入手し、数週間かけて解析する必要がある。しかし、かかる方法によると、検査対象装置のマルウェアへの感染の可能性を迅速に検知することができないという問題がある。
特許文献1ないし3に記載された技術によると、検査対象装置とは別個に設けられた装置(システム)またはサンドボックス仮想マシンを用いてマルウェア解析を行うことで、検査対象装置の動作の影響を排除するとともに、検査対象装置を危険にさらすことなくマルウェア解析を行うことが可能となる。
しかしながら、特許文献1ないし3に記載された技術によると、予め検査対象装置にマルウェア診断ソフトをインストールするか、または、検査対象装置の記憶装置の内容または被疑ファイルを、検査対象装置にネットワークを介して接続されたマルウェア診断装置に送付して、マルウェア診断装置上でマルウェア診断を行う必要がある。すなわち、これらの技術によると、検査対象装置にマルウェア診断ソフトがインストールされておらず、かつ、検査対象装置が遠隔に設けられたマルウェア診断装置に対してネットワークを介して接続できない場合には、検査対象装置に対するマルウェア感染の検査を実施できないという問題がある。
そこで、検査対象装置にマルウェア診断ソフトがインストールされているか否かによらず、検査対象装置がマルウェア診断装置に接続できない状況においても、検査対象装置がマルウェアに感染した可能性を検知できるようにすることが課題となる。
本発明の目的は、かかる課題解決に寄与する被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法を提供することにある。なお、その他の課題および解決手段は、以下の実施形態の記載において明らかにされる。
本発明の第1の態様によると、検査対象装置に接続可能な被疑ファイル収集装置が提供される。被疑ファイル収集装置は、検査対象装置により起動されるプログラムを用いて、検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段を備えている。また、被疑ファイル収集装置は、被疑ファイルを記憶する記憶手段を備えている。さらに、被疑ファイル収集装置は、被疑ファイルを実行した結果を監視する監視装置に対して、記憶手段に蓄積された被疑ファイルを送出する送出手段を備えている、
本発明の第2の態様によると、検査対象装置に接続可能な被疑ファイル収集装置と、被疑ファイル収集装置からアクセス可能な監視装置と、を備えたマルウェア検知システムが提供される。被疑ファイル収集装置は、検査対象装置により起動されるプログラムを用いて、検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段を有する。また、被疑ファイル収集手段は、被疑ファイルを記憶する記憶手段を有する。さらに、被疑ファイル収集手段は、記憶手段に蓄積された被疑ファイルを監視装置に送出する送出手段を有する。また、監視装置は、被疑ファイル収集装置から受信した被疑ファイルを実行した結果を監視する。
本発明の第3の態様によると、検査対象装置に接続可能な被疑ファイル収集装置によるマルウェア検知方法が提供される。マルウェア検知方法は、被疑ファイル収集装置が、検査対象装置により起動されるプログラムを用いて、検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集するステップを有する。また、マルウェア検知方法は、被疑ファイル収集装置が、被疑ファイルを記憶手段に記憶するステップを有する。さらに、マルウェア検知方法は、被疑ファイル収集装置が、被疑ファイルを実行した結果を監視する監視装置に対して、記憶手段に蓄積された被疑ファイルを送出するステップを含む。
本発明に係る被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法によると、検査対象装置にマルウェア診断ソフトがインストールされているか否かによらず、検査対象装置がマルウェア診断装置に接続できない状況においても、検査対象装置がマルウェアに感染した可能性を検知することができる。
はじめに、一実施形態の概要について説明する。なお、この概要に付記する図面参照符号は、専ら理解を助けるための例示であり、本発明を図示の態様に限定することを意図するものではない。
図1は、一実施形態に係る被疑ファイル収集装置28の構成を例示するブロック図である。図1を参照すると、被疑ファイル収集装置28は、検査対象装置に接続可能な装置であって、検査対象装置により起動されるプログラムを用いて、検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段29と、被疑ファイルを記憶する記憶手段30と、被疑ファイルを実行した結果を監視する監視装置に対して、記憶手段30に蓄積された被疑ファイルを送出する送出手段31とを備えている。
かかる被疑ファイル収集装置28によると、検査対象装置にマルウェア診断ソフトがインストールされているか否かによらず、検査対象装置がマルウェア診断装置に接続できない状況においても、検査対象装置がマルウェアに感染した可能性を検知することが可能となる。なぜなら、被疑ファイル収集装置28は、検査対象装置に接続可能であり、検査対象装置により起動されるプログラムを用いて、検査対象装置の記憶部からマルウェアへの感染が疑われる被疑ファイルを収集し、収集した被疑ファイルを、被疑ファイルを実行した結果を監視する監視装置に対して送出するように構成されるからである。
ここで、収集手段29が被疑ファイルの収集を行う対象とする所定の領域は、検査対象装置の記憶部のうちのマルウェアの動作に関連する領域としてもよい。また、所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域としてもよい。さらに、収集手段29は、所定の領域から所定の拡張子を有するファイルを被疑ファイルとして収集してもよい。
かかる被疑ファイル収集装置28によると、マルウェアの検出精度を劣化させることなく、マルウェアへの感染可能性の検出を迅速に行うことが可能となる。なぜなら、収集手段28は、被疑ファイルの収集を行う領域をマルウェアの動作に関連する領域に限定し、さらに、被疑ファイルの候補を特定の拡張子を有するファイルに限定することにより、マルウェアへの感染の可能性の高い被疑ファイルを漏らすことなく、被疑ファイルとして収集されるファイルの個数を削減できるからである。
また、監視装置は、実行された被疑ファイルが行う通信を監視してもよい。監視装置は、例えば、実行された被疑ファイルが送出した情報、および/または、実行された被疑ファイルの通信先を示す情報を監視してもよい。
かかる構成によると、マルウェアへの感染可能性の検出を、さらに迅速化することが可能となる。なぜなら、監視装置が、被疑ファイルがマルウェアに感染しているかどうかを診断する代わりに、被疑ファイルを実行したときの被疑ファイルによる通信を監視し、その結果を出力等することで、感染の有無を詳細に診断する場合と比較して迅速な検査が可能となるからである。
次に、一実施形態に係るマルウェア検知システムの概略構成について、図面を参照して説明する。図2は、マルウェア検知システムの構成を例示するブロック図である。図2を参照すると、マルウェア検知システムは、被疑ファイル収集装置28および監視装置3を備えている。図2には、検査対象装置1の構成も併せて示す。また、被疑ファイル収集装置28は、記憶装置2を有する。
一実施形態に係るマルウェア検知システムは、例えば、顧客先にて、マルウェア感染が疑われる事象が発生した場合、記憶装置2および監視装置3を客先に携行して、マルウェア感染が疑われる検査対象装置1から、マルウェアの感染が疑われる被疑ファイルを、検査対象装置1外の記憶装置2にコピーし、コピーした被疑ファイルを、監視装置3にて診断を実施し、診断結果をその場で顧客に報告する態様として、利用することができる。
すなわち、一実施形態のマルウェア検知システムは、検査対象装置1にインストールされたマルウェア確認プログラムで検査する代わりに、検査対象装置1の予め決めた領域に含まれるファイルを、検査対象装置1とは別個の監視装置3や仮想化された診断用仮想マシンで検査するものである。
ここで、感染が疑われる事象として、検査対象装置1(例えば、パーソナルコンピュータ(PC:Personal Computer)、サーバ等)の異常動作や、通常の動作とは異なる動作(すなわち、マルウェアに感染していない状態では起こらない動作。例えば、通常は起こらない通信先への通信、通常は起こらないメッセージが表示される等の事象)が考えられる。また、マルウェアとは、コンピュータウイルス等のコンピュータの動作に障害を与えるソフトウェアを指し、ウイルス、ワーム、スパイウェア、トロイの木馬等のコンピュータの動作に害を与える悪意をもったソフトウェアを含む。さらに、記憶装置2として、例えば、USB(Universal Serial Bus)メモリ、SD(Secure Disk, Secure Digitalともいう。)カード(登録商標)等のフラッシュメモリ媒体とそのリーダ/ライタ、外付けハードディスク(HDD:Hard Disc Drive)、検査対象装置に接続した他のコンピュータのハードディスク等の記憶装置やメモリを使用することができる。
このように、一実施形態のマルウェア検知システムは、市販のコンピュータウイルスチェックソフトウェアを検査対象装置1にインストールして、ウイルスチェックと駆除を行う技術とはまったく異なるものである。すなわち、一実施形態のマルウェア検知システムは、既知のマルウェア、および、解析しなければ分からない未知のマルウェアを、検査対象装置1を動作させる代わりに、マルウェア診断プログラム(公知あるいは市販のウイルスチェックソフトウェアを使用してもよい。動作については、後述の実施形態において説明する。)がインストールされた別の装置、例えば、監視装置3や診断用サーバや仮想化された診断用仮想マシンで簡易的に迅速に調査し、顧客に報告するものである。
なお、詳細については、後段の実施形態において詳述するが、特に、仮想化された診断用仮想マシンを用いて、マルウェアの動作を確認することが好ましい。かかる構成によると、仮想化された診断用仮想マシンは、マルウェアの動作の影響を実マシン(例えば、サーバ装置)に及ぼさないため、マルウェアの動作内容、結果を正しく通知することが可能となる。なお、診断用仮想マシンは、マルウェアの存在を断定しなくてもよく、動作を正確に通知するのに留めてもよい。
図2を参照すると、記憶装置2は、マルウェア感染の疑いのあるファイルを検査対象装置1から収集して監視装置3に送出する。ここで、記憶装置2として、USB(Universal Serial Bus)メモリ等の外部記憶手段を用いることができる。また、監視装置3は、受信した被疑ファイルを実行し、被疑ファイルの挙動を監視する。
被疑ファイル収集ツール8は、検査対象装置1の記憶部7のうちの、予め決めておいた、自動起動するプログラムやアプリケーションが記憶された領域に存在するファイルを、被疑ファイルとして被疑ファイル保存領域9に複製する。また、送出部27は、複製ファイルを監視装置3に送出する。監視装置3(仮想化された診断仮想マシンでもよい)は、検査対象装置1とは別個に設けられ、検査対象装置をターゲットにした世の中に出回っていないようなマルウェアの解析・検出用マルウェア診断プログラムを有し、かかるプログラムを用いて、被疑ファイルを実行したときの動作を解析および監視する。
ここで、被疑ファイル収集ツール8は、マルウェア感染の疑いのある被疑ファイルとして、検査対象装置1の記憶部7のうちの所定の領域のファイルをコピーしてもよい。また、所定の領域を、マルウェアの挙動から解析した領域としてもよい。さらに、所定の領域を、マルウェアの挙動に基づいて、マルウェアの動作に関係する領域(例えば、マルウェアがアクセスする領域、マルウェアが何らかの設定を行う領域等)としてもよい。
かかる構成を備えたマルウェア検知システムによると、マルウェアの解析、検出精度が向上し、さらに、マルウェアの情報収集、かつ、動作解析に要する時間を短縮し、被害拡大防止に役立つ情報を抽出するまでの時間を短縮することができる。これにより、マルウェアへの感染が疑われる初動段階で、診断結果を素早く顧客に提供することが可能となる。
近年のマルウェアは、インターネット上のサーバから指示を受け取り、動作するものが主流となっており、かかるマルウェアはインターネットに通信を試みる。そこで、監視装置3は、マルウェアを実行し、挙動を確認することで、マルウェアが行う通信の試みを抽出する。ここで、監視装置3は、迅速な情報提供を目的として、マルウェアによる通信の試みが正常であるか否か、または、マルウェアによるものか否かの診断を省略してもよい。このように、監視装置3がマルウェアの動作および被害状況に関する情報のうちの、被害拡大の防止につながる情報(被疑ファイルが通信を試みるインターネット上のサーバに関する情報)のみを提供することで、客先における迅速な初動対応が可能となる。
さらに、一実施形態に係るマルウェア検知システムにおいて、被疑ファイル収集ツール8は、検査対象装置1の記憶部7の所定の領域や所定のフォルダのファイルや、所定の拡張子を持つファイル等を、被疑ファイル保存領域9にコピーしてもよい。また、監視装置3は、被疑ファイル保存領域9に蓄積された所定のファイルの動作を確認し、その動作や動作の結果を出力ないし通知してもよい。ここで、所定のファイルとして、拡張子がexe、dll、bin、scr等のいずれかのファイル、または、ブラウザのプラグイン、JAVA(登録商標)のプログラムのいずれかのファイル等としてもよい。
また、被疑ファイル保存領域9として、外部記憶装置、記憶媒体、外部メモリ、ネットワークに接続されたパソコンやサーバ等の記憶装置の共有フォルダ等を用いることができる。さらに、監視装置3は、所定のファイルが通信動作を行った場合、通信の成否に関わらず、通信あるいは接続先や通信内容等、例えば、被疑ファイルが送出した情報、通信を試みたアドレス等を検査してもよい。具体的には、監視装置3は、被疑ファイルが送出したDNS(Domain Name System)クエリ、通信を試みたFQDN(Fully Qualified Domain Name)、IP(Internet Protocol)アドレス、URL(Uniform Resource Locator)等を検査してもよい。また、監視装置3による出力ないし通知方法として、表示、印刷、所定の記憶部への格納、所定の端末に送信等の方法を用いることができる。
さらに、一実施形態に係るマルウェア検知システムにおいて、以下のような様々な変形が可能である。
一実施形態に係るマルウェア検知システムは、マルウェアの感染が疑われる検査対象装置1において、マルウェアの感染が疑われる被疑ファイルを、検査対象装置1外の記憶装置2にコピーする被疑ファイル収集ツール8を実行する。これにより、Windows(登録商標)等のオペレーティングシステム(OS:Operating System)下で自動起動するプログラムやアプリケーションが記憶された領域等にあるファイルを複製する。ここで、記憶装置2として、例えば、USB(Universal Serial Bus)メモリ、外付けハードディスク、検査対象装置に接続した他のコンピュータのハードディスク等の記憶装置やメモリ等を用いることができる。また、被疑ファイル収集ツール8とは、所定の領域や指定の領域のファイルを検査対象装置1外の記憶装置2にコピーするソフトウェアである。
ここで、ファイルの複製先として、USBメモリ、外付けHDD(Hard Disk Drive、ハードディスクドライブ)、または、内蔵HDDもしくは内蔵メモリの所定領域を外部からアクセス可能な共有フォルダにしたサーバ装置もしくは監視装置等のIT(Information Technology)機器の所定領域等を用いることができる。
また、被疑ファイル収集ツール8が収集対象とするファイルを、マルウェア等のプログラムが存在する可能性の高い予め決めた領域、予め決めたファイル、または、予め決めた拡張子を持つファイル等としてもよい。具体的には、ファイルの拡張子がexe、dll、bin、scr等のいずれかのファイル、ブラウザのプラグイン、JAVAのプログラムのいずれかのファイルとしてもよい。これにより、収集対象とするファイルを一部のファイルに絞ることができ、マルウェアを探索する(スキャン)時間を大幅に削減することが可能となる。さらに、収集対象のファイルを、予め決めた領域、予め決めたファイル、および、予め決めた拡張子を持つファイルのうちの2つ以上の組み合せとしてもよい。以下では、被疑ファイル収集ツール8によって収集して複製されたファイルを、被疑ファイルという。
記憶装置2は、被疑ファイル群(複数の被疑ファイル)を、監視装置3にコピーし、監視装置3にインストールされたマルウェア診断プログラムで、被疑ファイル群のそれぞれの動作を監視する。ここで、監視装置3は、被疑ファイルの動作として、予め設定されたサーバ以外に情報を送信する等の動作を監視してもよい。これ以外に、監視装置3は、予め定めたファイルにアクセスする、もしくは、アクセスを試みる、または、ファイル等の生成、ファイル等の削除、ファイル等の書き換え、ファイル等の移動を監視してもよい。さらに、監視装置3は、生成等されたファイルや、書き換え等の対象になったファイルの属性や内容を確認してもよい。また、監視装置3は、所定のプログラム(Windows等のOS(Operating System)のプログラムや常駐プログラム)が被疑ファイルにアクセスした結果生じる動作も監視の対象としてもよい。
また、監視装置3が用いるマルウェア診断プログラムは、監視装置3や診断用仮想マシン上に、被疑ファイルを複製して実行し、監視装置3や診断用仮想マシン上での、被疑ファイルの動作や、被疑ファイルの動作によって出力された情報(例えば、パケット)を監視する。マルウェア診断プログラムは、収集して複製された被疑ファイルを仮想マシン上で実行し、挙動を観察するサンドボックス(Sandbox)機能を有するプログラムであればよく、市販されているものでもよい。
監視装置3は、予め決めておいた、マルウェアの動作と同様な動作が行われたかどうか検出し、被疑ファイルの動作結果(通信の成否に関わらず、通信あるいは接続先や通信内容)を、出力ないし通知(表示、印刷、所定の端末に送信、内容を保存等)する。ここで、マルウェアと同様な動作として、例えば、予め設定されたサーバ以外に、情報を送信する動作、または、情報を送信しようとする動作としてもよい。監視装置3は、調査結果のうち、被疑ファイルが送出した情報、通信を試みたアドレス等を通知してもよい。具体的には、監視装置3は、被疑ファイルが送出したDNS(Domain Name System)クエリ、通信を試みたFQDN(Fully Qualified Domain Name)、IP(Internet Protocol)アドレス、URL(Uniform Resource Locator)等を通知等(端末に表示、印刷、所定端末等へ送信、通知内容をファイルに保存等)する。
ここで、用語について補足する。DNS(Domain Name System)とは、FQDN(Fully Qualified Domain Name、完全修飾ドメイン名とも言う。)とIP(Internet Protocol)アドレスの紐付け情報を提供するシステムをいう。また、FQDNは、通常「ホスト名.ドメイン名」の形式で表記され、TLD(Top Level Domain)まで完全に指定されたホスト名をいう。さらに、TLDとは、「.」で区切られたドメイン名の最後の項目をいう。また、URL(Uniform Resource Locator)とは、スキーム://FQDN/パス、で表現されるものをいう。さらに、スキームとは、URL中の接続するために使用するプロトコルを指定する部分をいう。また、パスとは、URLで指定されたサーバ内でのコンテンツが保存されているディレクトリやフォルダを指定する項目をいう。
ここで、監視装置3は、被疑ファイルに関する上記の情報や動作に基づいて、被疑ファイルがマルウェアに感染しているか否かの判断を省略してもよい。すなわち、監視装置3は、マルウェア感染が疑われる可能性を通知するに留め、実際にマルウェアに感染しているかどうかについては、別途判断するようにしてもよい。例えば、ユーザが通常の利用状況と照らし合わせて、感染の有無を判断してもよい。このとき、マルウェアへの感染の可能性に関して、迅速に情報提供を行うことが可能となる。なお、感染の可能性の通知は、具体的には、上記の情報や動作のみの通知であってもよい。
かかる構成を備えた一実施形態のマルウェア検知システムによると、次の効果がもたらされる。関連技術によると、マルウェア感染等のセキュリティ事故が発生した場合、顧客のPC(Personal Computer)等を調査会社が預かり、または、ハードディスクやメモリの情報を複製して調査会社に持ち帰り、動作していたプロセスの情報、変更された設定情報、消去されたファイルの情報、送信されたファイルの情報を、典型的な場合には2週間程度かけて調査する。一方、一実施形態のマルウェア検知システムによると、マルウェアが通信を試みた通信先の情報に調査範囲を絞って診断を行う等の方法により、マルウェア感染情報を客先で迅速に提供することが可能となる。
マルウェアへの感染が疑われる場合、顧客の側には、実際には何が起きているのかといった情報や、被害の拡大を防ぐ方法はあるのかといった情報をできるだけ早く取得したいというニーズがある。上記一実施形態のマルウェア検知システムによると、簡易診断ではあるものの、診断の時間を短縮することで、被害の拡大を防ぐメリットも生じる。また、かかるシステムによると、初動時において、被害拡大防止に役立つ情報を迅速に顧客に提供することができる。
なお、情報提供までに要する時間と、ハードディスクドライブ内の検索領域の網羅性にはトレードオフがある。一実施形態に係るマルウェア検知システムでは、ハードディスクドライブ内の検索領域を限定し、複製して調査することにより、被害拡大防止に役立つ情報を提供するのに要する時間を大幅に短縮することが可能となる。また、ハードディスクドライブ内の検索領域を限定することで、被疑ファイルのコピーに要する時間も短縮することができる。したがって、かかるシステムによると、被害拡大を防ぐと同時に、顧客の不安を速やかに解消することが可能となる。
<実施形態1>
次に、第1の実施形態に係るマルウェア検知システムについて、図面を参照して説明する。
次に、第1の実施形態に係るマルウェア検知システムについて、図面を参照して説明する。
[構成]
図2は、本実施形態に係るマルウェア検知システムの構成を例示するブロック図である。図2を参照すると、本実施形態のマルウェア検知システムは、被疑ファイル収集装置28である記憶装置2と、監視装置3とを備えている。図2には、マルウェア検知システムにより検査対象とされる検査対象装置1も併せて示す。検査対象装置1と監視装置3は、被疑ファイル収集装置28(すなわち、記憶装置2)を介して、データの移動や交換を行う。
図2は、本実施形態に係るマルウェア検知システムの構成を例示するブロック図である。図2を参照すると、本実施形態のマルウェア検知システムは、被疑ファイル収集装置28である記憶装置2と、監視装置3とを備えている。図2には、マルウェア検知システムにより検査対象とされる検査対象装置1も併せて示す。検査対象装置1と監視装置3は、被疑ファイル収集装置28(すなわち、記憶装置2)を介して、データの移動や交換を行う。
検査対象装置1は、接続部4と制御部5と入力部6と記憶部7とを備えている。接続部4には、外部記憶媒体である記憶装置2を接続する。
検査対象装置1は、マルウェアへの感染が疑われる端末(例えば、顧客のパーソナルコンピュータ(PC:Personal Computer)等)である。
本実施形態に係るマルウェア検知システムのユーザ(例えば、顧客のPCの保守を行う技術者)は、検査対象装置1の接続部4に記憶装置2を接続する。また、ユーザは検査対象装置1の入力部6を操作し、被疑ファイル収集ツール8を動作させ、被疑ファイル収集ツール8を実行する。
被疑ファイル収集ツール8が実行されると、検査対象装置1の制御部5は、検査対象装置1の記憶部7から予め定められた設定に従い、単数または複数の予め定めた拡張子等を持つファイル(例えば、拡張子が、exe、dll、bin、scr等のいずれかのファイル、ブラウザのプラグイン、JAVAのプログラムのいずれかのファイル等)を記憶装置2の被疑ファイル保存領域9に複製する。
記憶装置2は、被疑ファイル収集ツール(プログラム)8を保持すると共に、被疑ファイル収集ツール8が複製した被疑ファイルを保管する被疑ファイル保存領域9と、被疑ファイル保存領域9に蓄積された被疑ファイルを外部に送出する送出部27を備えている。被疑ファイル収集ツール8は、検査対象装置1の制御部5により動作させる。
なお、記憶装置2は、USB(Universal Serial Bus)メモリやメモリカード等の可搬媒体でもよいし、書き換え可能ディスクである、CD−RW(Compact Disc Rewritable)やDVD−RW(Digital Versatile Disc Rewritable)やDVD−RAM(Digital Versatile Disc Random Access Memory)を、検査対象装置1の内蔵ドライブ装置に挿入したものでもよい。さらに、記憶装置2は、書き換え可能ディスクであるCD−RWやDVD−RWやDVD−RAMが挿入されたドライブ装置をUSB接続したものでもよいし、ネットワークに接続されたファイルサーバ等の共有フォルダ等の記憶領域であってもよい。
監視装置3は、接続部10(USB端子等のインターフェース)と、仮想環境上で動作する診断ツール仮想マシン11と、サンドボックス仮想マシン12と、入力部13と、出力部14とを備えている。ここで、サンドボックスとは、保護された領域内でプログラムを動作させることで、その外へ悪影響が及ぶのを防止する技術をいう。
仮想環境は、例えば、VMware社(コンピュータの仮想化用ソフトウェアを製造・販売する企業)の製品等の公知のプログラムでもよい。
診断ツール仮想マシン11は、仮想化された制御部15と、仮想化された記憶部16とを備えている。記憶部16は、診断ツール(プログラム)17、および、レポート生成ツール(プログラム)18がインストールされ、被疑ファイル保存領域19を備えている。
診断ツール17は、サンドボックス仮想マシン12で被疑ファイルを実行させ、サンドボックス仮想マシン12で被疑ファイルを実行した結果の診断を行う。診断ツール17がレポート生成機能を有していてもよい。診断ツール17は、診断結果を出力部14に出力する。
レポート生成ツール18は、サンドボックス仮想マシン12が出力する通信を監視しており、監視結果を診断結果として出力部14に出力する。
ここで、診断とは、以下の情報入手と入手した情報の通知等をいい、いずれか1つもしくは複数、または、すべての組み合わせでもよい。
・動作したプロセス情報
・ファイルの変更情報
・アクセス権の情報
・レジストリの変更情報
・通信を試みたIP(Internet Protocol)アドレスもしくはFQDN(Fully Qualified Domain Name)またはURL(Uniform Resource Locator)
・名前解決を試みたDNS(Domain Name System)クエリ
・ファイルの変更情報
・アクセス権の情報
・レジストリの変更情報
・通信を試みたIP(Internet Protocol)アドレスもしくはFQDN(Fully Qualified Domain Name)またはURL(Uniform Resource Locator)
・名前解決を試みたDNS(Domain Name System)クエリ
ここで、用語について補足すると、レジストリとは、例えば、Windowsの設定情報を格納している場所をいう。また、名前解決とは、コンピュータ名やFQDNからIPアドレスを調べる動作をいう。さらに、名前解決とは、コンピュータ名やFQDNからIPアドレスを調べる動作をいう。また、DNSクエリとは、DNSサーバに対し名前解決を求める問い合わせのことをいう。さらに、IPアドレスとは、インターネットプロトコルで通信相手を特定する番号をいう。また、URLとは、スキーム://FQDN/パスで表現されるものをいう。さらに、スキームとは、URL中の接続するために使用するプロトコルを指定する部分のことをいう。
ユーザは、監視装置3の接続部10(例えば、USB端子等のインターフェース)に記憶装置2を接続する。ユーザが監視装置3の入力部6を操作することにより、診断ツール仮想マシン11の制御部15は記憶装置2の被疑ファイル保存領域9に保存された被疑ファイルを診断ツール仮想マシン11の記憶部16に複製する。
ユーザが監視装置3の入力部13を操作することにより、診断ツール仮想マシン11の制御部15は診断ツール17を起動する。なお、診断ツール17の起動は、診断ツール仮想マシン11の起動に合わせて、自動で行ってもよい。診断ツール仮想マシン11の制御部15は、診断ツール仮想マシン11の被疑ファイル保存領域19に、診断対象の被疑ファイルが存在すると、被疑ファイルをサンドボックス仮想マシン12の記憶部21に複製する。さらに、制御部15はサンドボックス仮想マシン12の制御部20に指示を出し、サンドボックス仮想マシン12の記憶部21に複製された被疑ファイルを実行する。
監視装置3は、診断後、マルウェア感染を防ぐため、クリアインストールすることが望ましい。すなわち、監視装置3のOS(Operating System)や各種アプリケーションを、すべて再インストールするか、または、診断前のバックアップデータから復元することが好ましい。これにより、監視装置3において、すべての生成ファイルは消去され、設定が初期に戻る。
レポート生成ツール18は、診断ツール17の結果を、監視装置3の出力部14に出力する。出力部14は、ディスプレイに表示であっても、印刷であっても、PDF(Portable Document Format)形式のような電子データの出力であってもよい。ここで、PDFとは、電子文書のためのフォーマットであり、レイアウトソフト等で作成した文書を電子的に配布することができ、相手のコンピュータの機種や環境によらず、オリジナルのイメージをかなりの程度正確に再生することができるものをいう。
[動作]
次に、本実施形態に係るマルウェア検知システムの動作について、図面を参照して詳細に説明する。図3および図4は、本実施形態のマルウェア検知システムの動作を例示するシーケンス図である。
次に、本実施形態に係るマルウェア検知システムの動作について、図面を参照して詳細に説明する。図3および図4は、本実施形態のマルウェア検知システムの動作を例示するシーケンス図である。
図3を参照すると、記憶装置2には、予め被疑ファイル収集ツール8を保存しておく(ステップA1)。なお、保存作業を予め行う代わりに、作業実施時に行ってもよい。
ユーザが顧客から指定を受けた検査対象装置1の入力部6を操作し、検査対象装置1の制御部5はハードディスク(HDD:Hard Disk Drive)やリムーバブルメディア等の接続状況を確認する(ステップA2)。ここで、リムーバブルメディアとは、取り外し可能な記憶媒体のことをいう。
次に、ユーザは記憶装置2を検査対象装置1の接続部4に接続する(ステップA3)。記憶装置2が使用可能であれば、記憶装置2の接続先はいずれであってもよい。ここで、記憶装置2は、USB(Universal Serial Bus)メモリやメモリカード等の可搬媒体、または、ファイルサーバ等の共有フォルダであってもよい。
ユーザが検査対象装置1の入力部6を操作し、検査対象装置1の制御部5は被疑ファイル収集ツール8を実行する(ステップA4)。被疑ファイル収集ツール8の実行方法として、アイコンをダブルクリックする方法、コマンドプロンプトから実行する方法、バッチファイルから実行する方法等を用いることができる。なお、被疑ファイル収集ツール8を実行できれば、いずれの方法であってもよい。ここで、コマンドプロンプトとは、例えば、Microsoft社のWindows等に搭載されているCUI(Character User Interface)である。
検査対象装置1の制御部5は、予め定められた設定に従って検査対象装置1の情報を確認(すなわち、検査対象装置1にインストールされたソフトウェアの設定情報を確認)し、複製する被疑ファイルを決定する(ステップA5)。
検査対象装置1の制御部5は、決定した情報から、該当するファイルやフォルダ等を複製し、かつ/または、マルウェアが潜んでいる可能性のある予め決めたフォルダ、および/または、予め決めた拡張子を有するファイルを複製する(ステップA6)。複製する被疑ファイルの候補は、マルウェアが潜んでいる可能性があるファイルであればいずれのファイルでもよい。
検査対象装置1の制御部5は、これら被疑フォルダ、および/または、被疑ファイルを、記憶装置2の被疑ファイル保存領域9に保存する(ステップA7)。なお、複製したフォルダおよびファイルの保存先は、監視装置3に複製可能な領域であれば、いずれの領域であってもよい。
検査対象装置1の制御部5は、検査対象装置1の出力部(非図示)に実行完了を出力する(ステップA8)。
次に、ユーザは検査対象装置1から記憶装置2を取り外す。なお、取り外し作業が不要な記憶装置2であれば、取り外し作業を省略してもよい。
また、検査対象装置1が複数台存在する場合、並行して被疑ファイル収集ツール8を実行してもよい。
次に、ユーザは監視装置3の入力部13を操作し、仮想環境を起動する(ステップA9)。
さらに、ユーザは監視装置3の入力部13を操作し、診断ツール仮想マシン11を起動する(ステップA10)。
次に、ユーザは監視装置3の入力部13を操作し、サンドボックス仮想マシン12を起動する(ステップA11)。起動するサンドボックスとして、顧客の環境に似たものを起動する必要があるが、予め準備されているすべてのサンドボックスを起動してもよい。
ユーザが監視装置3の入力部13を操作し、診断ツール仮想マシン11の制御部15は診断ツール17を起動する(ステップA12)。ここで、診断ツール17として、市販されているもの等の公知のマルウェア検出診断ツールを用いることができる。診断ツール17は、検査対象装置1内の記憶領域を検査対象装置1内にインストールしたマルウェア検出ツールを用いて探索する代わりに、一旦、外部記録媒体等に、被疑フォルダ、および/または、被疑ファイルを複製し、これらの複製ファイルを探索する。これにより、検査対象装置1に動作異常がある場合でも、マルウェアの可能性が有るファイルを正しく探索して通知したり、マルウェアを動作させてその挙動を確認したりすることが可能となる。
次に、ユーザは、記憶装置2を監視装置3の接続部10に接続する(ステップA13)。記憶装置2が使用可能であれば、監視装置3の接続部10はいずれであってもよい。なお、記憶装置2は、USBメモリやメモリカード等の可搬媒体、または、ファイルサーバ等における共有フォルダ等であってもよい。
次に、ユーザが監視装置3の入力部13を操作し、診断ツール仮想マシン11の制御部15は記憶装置2の被疑ファイル保存領域9に保存された被疑ファイルを診断ツール仮想マシン11の被疑ファイル保存領域19に複製する(ステップA14)。被疑ファイルの複製方法として、バッチファイルから実行する方法等を用いることができる。ただし、被疑ファイルが複製できれば、いずれの方法であってもよい。
診断ツール仮想マシン11の制御部15は、定期的に診断ツール仮想マシン11の被疑ファイル保存領域19を確認する(ステップA15)。
図4を参照すると、診断ツール仮想マシン11の制御部15は、診断ツール仮想マシン11の被疑ファイル保存領域19に更新されたファイルを発見すると、被疑ファイルをサンドボックス仮想マシン12の記憶部21に複製する(ステップA16)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12の制御部20に指示を出し、サンドボックス仮想マシン12の制御部20は被疑ファイルを実行する(ステップA17)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12が出力する通信、サンドボックス仮想マシン12での設定変更を確認する(ステップA18)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12の出力の確認結果に基づいてレポートを生成する(ステップA19)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12が出力する通信を診断する(ステップA20)。
診断ツール仮想マシン11の制御部15は、診断結果を出力部14に出力する(ステップA21)。制御部15は、例えば、IPアドレス、URL等を確認し、被害拡大防止に役立つ情報を抽出して出力部14に出力する。出力部14による出力方法は、ディスプレイへの表示、印刷、または、PDF形式のような電子データの出力であってもよい。
[効果]
次に、本実施形態に係るマルウェア検知システムの効果について説明する。
次に、本実施形態に係るマルウェア検知システムの効果について説明する。
本実施形態のマルウェア検知システムによると、検査対象装置1にマルウェア診断ソフトがインストールされているか否かによらず、検査対象装置1が監視装置3に接続できない状況においても、検査対象装置がマルウェアに感染した可能性を検知することが可能となる。なぜなら、被疑ファイル収集装置28(記憶装置2)は、検査対象装置1に接続可能であり、検査対象装置1により起動されるプログラムを用いて、検査対象装置1の記憶部7からマルウェアへの感染が疑われる被疑ファイルを収集し、収集した被疑ファイルを、被疑ファイルを実行した結果を監視する監視装置3に対して送出可能だからである。
ところで、情報提供までに要する時間と、ハードディスクドライブ内の検索領域の網羅性との間にはトレードオフの関係がある。本実施形態では、ハードディスクドライブ内の検索領域、および、対象ファイルを限定した上で、これらを複製して調査する構成を採用した。これにより、本実施形態のマルウェア検知システムによると、マルウェアへの感染の可能性を迅速に調査して顧客に報告することができる。
また、本実施形態のマルウェア検知システムによると、顧客の都合により、検査対象装置1が保持する情報を持ち出せない場合でも、マルウェアへの感染可能性の調査を行うことができる。なぜなら、本実施形態のマルウェア感知システム、すなわち、記憶装置2および監視装置3を、検査対象装置1の設置箇所に持ち込んだ上で、オンサイトで調査を実施できるからである。
(実施形態1の変形例)
図2に示すように、本実施形態では、診断ツール17、レポート生成ツール18、および、被疑ファイル保存領域19を、一例として、監視装置3内の診断ツール仮想マシン11内のOSにインストールする場合について説明した。ただし、かかる構成の変形例として、診断ツール17、レポート生成ツール18、および、被疑ファイル保存領域19を、監視装置3のOSにインストールしてもよい。なお、この場合においても、被疑ファイルを動作させたことによる影響が外部に及ぶことを防ぐため、監視装置3において起動したサンドボックス仮想マシン12内で被疑ファイルを動作させて、その動作を監視することが好ましい。
図2に示すように、本実施形態では、診断ツール17、レポート生成ツール18、および、被疑ファイル保存領域19を、一例として、監視装置3内の診断ツール仮想マシン11内のOSにインストールする場合について説明した。ただし、かかる構成の変形例として、診断ツール17、レポート生成ツール18、および、被疑ファイル保存領域19を、監視装置3のOSにインストールしてもよい。なお、この場合においても、被疑ファイルを動作させたことによる影響が外部に及ぶことを防ぐため、監視装置3において起動したサンドボックス仮想マシン12内で被疑ファイルを動作させて、その動作を監視することが好ましい。
<実施形態2>
次に、第2の実施形態に係るマルウェア検知システムについて、図面を参照して説明する。
次に、第2の実施形態に係るマルウェア検知システムについて、図面を参照して説明する。
図5は、本実施形態に係るマルウェア検知システムの構成を例示するブロック図である。図5を参照すると、本実施形態のマルウェア検知システムは、被疑ファイル収集装置である記憶装置2および通信端末22と、監視装置3とを備えている。図5には、マルウェア検知システムにより検査対象とされる検査対象装置1も併せて示す。検査対象装置1と監視装置3は、被疑ファイル収集装置28(すなわち、記憶装置2および通信端末22)とインターネット23を介して、データの移動や交換を行う。
なお、通信端末22は、記憶装置2を含む構成としてもよい。この場合、検査対象装置1と通信端末22は、ネットワーク等を介して接続する。
検査対象装置1は、接続部4と制御部5と入力部6と記憶部7とを備えている。接続部4には、外部記憶媒体である記憶装置2が接続される。
検査対象装置1は、マルウェアへの感染が疑われる端末(例えば、顧客のパーソナルコンピュータ(PC:Personal Computer)等)である。ここで、マルウェアとは、悪意のある動作をするようにプログラムされたソフトウェアの総称であり、例えば、コンピュータウイルスやワーム、スパイウェア等である。
本実施形態に係るマルウェア検知システムのユーザ(例えば、顧客のPCの保守を行う技術者)は、検査対象装置1の接続部4に記憶装置2を接続する。また、ユーザは検査対象装置1の入力部6を操作し、検査対象装置1の制御部5が被疑ファイル収集ツール8を動作させ、被疑ファイル収集ツール8を実行する。ここで、被疑ファイル収集ツール8とは、予め決めた領域、および/または、予め決めたファイルや予め決めた拡張子を有するファイルをコピーするプログラムである。
通信端末22が記憶装置2を含む場合、ユーザは検査対象装置1と通信端末22をネットワークで接続する。
被疑ファイル収集ツール8が実行されると、検査対象装置1の制御部5は、検査対象装置1の記憶部7から予め定められた設定に従い、単数または複数の予め定めた拡張子を有するファイル等(例えば、拡張子が、exe、dll、bin、scr、等いずれか1つ以上のファイル、ブラウザのプラグイン、JAVAのプログラムのいずれかのファイル等)を記憶装置2の被疑ファイル保存領域9に複製する。
記憶装置2は、被疑ファイル収集ツール(プログラム)8を保持すると共に、被疑ファイル収集ツール8が複製した被疑ファイルを保管する被疑ファイル保存領域9と、被疑ファイル保存領域9に蓄積された被疑ファイルを外部に送出する送出部27を備えている。被疑ファイル収集ツール8は、検査対象装置1の制御部5により動作させる。
なお、記憶装置2は、USB(Universal Serial Bus)メモリやメモリカード等の可搬媒体でもよいし、書き換え可能ディスクであるCD−RW(Compact Disc Rewritable)やDVD−RW(Digital Versatile Disc Rewritable)やDVD−RAM(Digital Versatile Disc Random Access Memory)を検査対象装置1の内蔵ドライブ装置に挿入したものでもよい。また、記憶装置2は、書き換え可能ディスクであるCD−RWやDVD−RWやDVD−RAMが挿入されたドライブ装置をUSB接続したものでもよいし、ネットワークに接続されたファイルサーバ等の共有フォルダ等の記憶領域であってもよい。
通信端末22は、接続部24(USB端子等のインターフェースとインターネットに接続可能な通信装置)と入力部25と制御部26とを備えている。
ユーザは、通信端末22の接続部24(USB端子等のインターフェース)に記憶装置2を接続する。また、ユーザは通信端末22の入力部25を操作し、記憶装置2の被疑ファイル保存領域9に保存された被疑ファイルを、インターネット23を介して診断ツール仮想マシン11の記憶部16に複製する。
通信端末22が記憶装置2を含む場合、ユーザは検査対象装置1と通信端末22をネットワークで接続する。
監視装置3は、接続部10(インターネット23に接続可能な通信装置)と、仮想環境上で動作する診断ツール仮想マシン11と、サンドボックス仮想マシン12と、入力部13と、出力部14とを備えている。ここで、サンドボックスとは、保護された領域内でプログラムを動作させることで、その外へ悪影響が及ぶのを防止する技術をいう。
仮想環境は、例えば、VMware社(コンピュータの仮想化用ソフトウェアを製造・販売する企業)の製品等の公知のプログラムでもよい
診断ツール仮想マシン11は、仮想化された制御部15と仮想化された記憶部16を備えている。記憶部16は、診断ツール17(プログラム)およびレポート生成ツール18(プログラム)がインストールされ、被疑ファイル保存領域19を備えている。
診断ツール17は、サンドボックス仮想マシン12で被疑ファイルを実行させ、サンドボックス仮想マシン12で被疑ファイルを実行した結果の診断を行う。診断ツール17がレポート生成機能を有していてもよい。診断ツール17は、診断結果を出力部14に出力する。
レポート生成ツール18は、サンドボックス仮想マシン12が出力する通信を監視しており、監視結果を診断結果として出力部14に出力する。ここで、レポート生成ツール18とは、サンドボックス仮想マシン12で被疑ファイルを動作させ、被疑ファイルが動作して出力するパケットの挙動を検査し、結果を作成するツールである。また、パケットとは、データを分割した小さなデータの集合の単位をいう。
ここで、診断とは、以下の情報入手と入手した情報の通知等をいい、いずれか1つもしくは複数、または、すべての組み合わせでもよい。
・動作したプロセス情報
・ファイルの変更情報
・アクセス権の情報
・レジストリの変更情報
・通信を試みたIP(Internet Protocol)アドレスもしくはFQDN(Fully Qualified Domain Name)またはURL(Uniform Resource Locator)
・名前解決を試みたDNS(Domain Name System)クエリ
・ファイルの変更情報
・アクセス権の情報
・レジストリの変更情報
・通信を試みたIP(Internet Protocol)アドレスもしくはFQDN(Fully Qualified Domain Name)またはURL(Uniform Resource Locator)
・名前解決を試みたDNS(Domain Name System)クエリ
ここで、用語について補足すると、IP(Internet Protocol)アドレスとは、インターネットプロトコルで通信相手を特定する番号をいう。また、URL(Uniform Resource Locator)とは、スキーム://FQDN/パスで表現されるものをいう。さらに、スキームとは、URL中の接続するために使用するプロトコルを指定する部分のことをいう。また、名前解決とは、コンピュータ名やFQDNからIPアドレスを調べる動作をいう。また、DNSクエリとは、DNSサーバに対し名前解決を求める問い合わせのことをいう。
ユーザは、監視装置3(インターネット23に接続可能な通信装置)の接続部10に、診断ツール仮想マシン11の記憶部16を接続する。ユーザが通信端末22の入力部25を操作することにより、診断ツール仮想マシン11の制御部15は記憶装置2の被疑ファイル保存領域9に保存された被疑ファイルを、診断ツール仮想マシン11の被疑ファイル保存領域19に複製する。
ユーザが監視装置3の入力部13を操作することにより、診断ツール仮想マシン11の制御部15は診断ツール17を起動する。なお、診断ツール17は、診断ツール仮想マシン11の起動に合わせて自動で起動してもよい。診断ツール仮想マシン11の制御部15は、診断ツール仮想マシン11の被疑ファイル保存領域19に、診断対象の被疑ファイルが存在すると、被疑ファイルをサンドボックス仮想マシン12の記憶部21に複製する。さらに、制御部15はサンドボックス仮想マシン12の制御部20に指示を出し、サンドボックス仮想マシン12の記憶部21に複製された被疑ファイルを実行する。
監視装置3は、診断後、マルウェア感染を防ぐため、クリアインストールすることが望ましい。すなわち、監視装置3のOS(Operating System)や各種アプリケーションを、再インストールするか、または、診断前のバックアップデータから復元することが好ましい。これにより、監視装置3において、すべての生成ファイルは消去され、設定が初期に戻る。
レポート生成ツール18は、診断ツール17の結果を、監視装置3の出力部14に出力する。出力部14は、ディスプレイに表示であっても、印刷であっても、PDF(Portable Document Format)形式のような電子データの出力であってもよい。
[動作]
次に、本実施形態に係るマルウェア検知システムの動作について、図面を参照して詳細に説明する。図6および図7は、本実施形態のマルウェア検知システムの動作を例示するシーケンス図である。
次に、本実施形態に係るマルウェア検知システムの動作について、図面を参照して詳細に説明する。図6および図7は、本実施形態のマルウェア検知システムの動作を例示するシーケンス図である。
図6を参照すると、ユーザは監視装置3の入力部13を操作し、仮想環境を起動する。なお、監視装置3の仮想環境は、予め起動していてもよい(ステップB1)。
次に、ユーザは監視装置3の入力部13を操作し、診断ツール仮想マシン11を起動する。なお、診断ツール仮想マシン11は、予め起動しておいてもよい(ステップB2)。
次に、ユーザは監視装置3の入力部13を操作し、サンドボックス仮想マシン12を起動する。なお、サンドボックス仮想マシン12は、予め起動しておいてもよい(ステップB3)。
次に、ユーザは監視装置3の入力部13を操作し、診断ツール17を起動する。なお、診断ツール仮想マシン11の診断ツール17は、予め起動していてもよい(ステップB4)。ここで、診断ツール11として、市販されているもの等の公知のマルウェア検出診断ツールを用いることができる。
マルウェア診断プログラムは、監視装置3や診断用仮想マシン上に、被疑ファイルを複製して実行し、監視装置3や診断用仮想マシン上での、被疑ファイルの動作や、被疑ファイルの動作によって出力された情報(例えば、パケット)を監視する。マルウェア診断プログラムは、収集して複製された被疑ファイルを仮想マシン上で実行し、挙動を観察する機能サンドボックス(Sandbox)機能を有するプログラムであればよく、市販されているものでもよい。
診断ツール17は、検査対象装置1内の記憶領域を、検査対象装置1内にインストールしたマルウェア検出ツールを用いて探索する代わりに、一旦、外部記録媒体等に、被疑フォルダ、および/または、被疑ファイルを複製し、これら複製ファイルを探索する。これにより、検査対象装置1に動作異常がある場合でも、マルウェアの可能性が有るファイルを正しく探索して通知したり、マルウェアを動作させてその挙動を確認したりすることが可能となる。
記憶装置2には、予め被疑ファイル収集ツール8を保存しておく(ステップB5)。なお、保存作業を予め行う代わりに、作業実施時に行ってもよい。
ユーザが顧客から指定を受けた検査対象装置1の入力部6を操作し、検査対象装置1の制御部5はHDDやリムーバブルメディア等の接続状況を確認する(ステップB6)。ここで、リムーバブルメディアとは、取り外し可能な記憶媒体のことをいう。
次に、ユーザは記憶装置2を検査対象装置1の接続部4に接続する(ステップB7)。記憶装置2が使用可能であれば、記憶装置2の接続先はいずれであってもよい。なお、記憶装置2はUSBメモリやメモリカード等の可搬媒体、または、ファイルサーバ等における共有フォルダ等であってもよい。
ユーザが検査対象装置1の入力部6を操作し、検査対象装置1の制御部5は被疑ファイル収集ツール8を実行する(ステップB8)。被疑ファイル収集ツール8の実行方法として、アイコンをダブルクリックする方法、コマンドプロンプトから実行する方法、バッチファイルから実行する方法等を用いることができる。なお、被疑ファイル収集ツール8を実行できれば、いずれの方法であってもよい。ここで、コマンドプロンプトとは、例えば、Microsoft社のWindows等に搭載されているCUI(Character User Interface)である。
検査対象装置1の制御部5は、予め定められた設定に従って検査対象装置1の情報を確認(すなわち、制御部5は、検査対象装置1にインストールされたソフトウェアの設定情報を確認)し、複製する被疑ファイルを決定する(ステップB9)。
被疑ファイル収集ツール8は、制御部5が決定した情報から、該当するファイルやフォルダ等を複製し、かつ/または、マルウェアが潜んでいる可能性のある予め決めたフォルダ、および/または、予め決めた拡張子を有するファイルを複製する(ステップB10)。複製する被疑ファイルの候補は、マルウェアが潜んでいる可能性があるファイルであればいずれのファイルであってもよい。
検査対象装置1の制御部5は、これら被疑フォルダ、および/または、被疑ファイルを、記憶装置2の被疑ファイル保存領域9に保存する(ステップB11)。なお、複製したフォルダおよびファイルの保存先は、監視装置3に複製可能な領域であれば、いずれの領域であってもよい。
検査対象装置1の制御部5は、被疑ファイル収集ツール8に実行完了を出力する(ステップB12)。
次に、ユーザは検査対象装置1から記憶装置2を取り外す。なお、取り外し作業が不要な記憶装置2であれば、取り外し作業を省略してもよい。
なお、検査対象装置1が複数台存在する場合、並行して被疑ファイル収集ツール8を実行してもよい。
次に、ユーザは、記憶装置2を通信端末22の接続部24に接続する(ステップB13)。記憶装置2が使用可能であれば、接続部24はいずれであってもよい。なお、記憶装置2は、USBメモリやメモリカード等の可搬媒体、または、ファイルサーバ等における共有フォルダ等であってもよい。また、通信端末22が記憶装置2を含む場合、この作業は省略可能である。
次に、ユーザが通信端末22の入力部25を操作し、通信端末22の制御部26は通信端末22の接続部24と監視装置3の接続部10を、インターネット23を介して接続する(ステップB14)。
図7を参照すると、ユーザが通信端末22の入力部25を操作し、通信端末22の制御部26は記憶装置2の被疑ファイル保存領域9に保存された被疑ファイルを、診断ツール仮想マシン11の被疑ファイル保存領域19に複製する(ステップB15)。被疑ファイルの複製方法として、バッチファイルから実行する方法等を用いることができる。ただし、被疑ファイルが複製できれば、いずれの方法であってもよい。
診断ツール仮想マシン11の制御部15は、定期的に診断ツール仮想マシン11の被疑ファイル保存領域19を確認する(ステップB16)。
診断ツール仮想マシン11の制御部15は、診断ツール仮想マシン11の被疑ファイル保存領域19に更新されたファイルを発見すると、被疑ファイルをサンドボックス仮想マシン12の記憶部21に複製する(ステップB17)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12の制御部20に指示を出し、サンドボックス仮想マシン12の制御部20は被疑ファイルを実行する(ステップB18)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12が出力する通信、サンドボックス仮想マシンでの設定変更を確認する(ステップB19)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12の出力の確認結果に基づいてレポートを生成する(ステップB20)。
診断ツール仮想マシン11の制御部15は、サンドボックス仮想マシン12が出力する通信を診断する(ステップB21)。
レポート生成ツール18は、検査結果を監視装置3の出力部13に出力する(ステップB22)。レポート生成ツール18は、例えば、IPアドレス、URL等を確認し、被害拡大防止に役立つ情報を抽出して出力部13に出力する。出力部13による出力方法は、ディスプレイへの表示、印刷、または、PDF形式のような電子データの出力であってもよい。ここで、PDFとは、電子文書のためのフォーマットの1つである。PDFによると、レイアウトソフトウェア等で作成した文書を、電子文書として電子的に配布することができ、相手のコンピュータの機種や環境によらず、元のイメージ(文書や図面等の、配置や表示、等)をほぼ正確に表示することができる。
次に、本実施形態に係るマルウェア検知システムの効果について説明する。
本実施形態のマルウェア検知システムによると、第1の実施形態に係るマルウェア検知システムと同様の効果がもたらされる。すなわち、検査対象装置1にマルウェア診断ソフトがインストールされているか否かによらず、検査対象装置1が監視装置3に接続できない状況においても、検査対象装置がマルウェアに感染した可能性を検知することが可能となる。また、マルウェアへの感染の可能性を迅速に調査して顧客に報告することができ、顧客の都合により、検査対象装置1が保持する情報を持ち出せない場合でも、マルウェアへの感染可能性の調査を行うことができる。さらに、本実施形態によると、監視装置3を客先に携行できない場合においても、記憶装置2および通信端末22を客先に携行することで、マルウェアへの感染可能性を検査することが可能となる。
なお、本発明において、下記の形態が可能である。
[形態1]
上記第1の態様に係る被疑ファイル収集装置のとおりである。
[形態2]
前記被疑ファイル収集装置において、前記所定の領域は、マルウェアの動作に関連する領域であってもよい。
[形態3]
前記被疑ファイル収集装置において、前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域であってもよい。
[形態4]
前記被疑ファイル収集装置において、前記収集手段は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集してもよい。
[形態5]
前記被疑ファイル収集装置において、前記監視装置は、前記実行された被疑ファイルが行う通信を監視してもよい。
[形態6]
前記被疑ファイル収集装置において、前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視してもよい。
[形態7]
上記第2の態様に係るマルウェア検知システムのとおりである。
[形態8]
前記載のマルウェア検知システムにおいて、前記所定の領域は、マルウェアの動作に関連する領域であってもよい。
[形態9]
前記マルウェア検知システムにおいて、前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域であってもよい。
[形態10]
前記マルウェア検知システムにおいて、前記収集手段は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集してもよい。
[形態11]
前記マルウェア検知システムにおいて、前記監視装置は、前記実行された被疑ファイルが行う通信を監視してもよい。
[形態12]
前記マルウェア検知システムにおいて、前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視してもよい。
[形態13]
上記第3の態様に係るマルウェア検知方法のとおりである。
[形態14]
前記マルウェア検知方法において、前記所定の領域は、マルウェアの動作に関連する領域であってもよい。
[形態15]
前記マルウェア検知方法において、前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域であってもよい。
[形態16]
前記マルウェア検知方法において、前記被疑ファイル収集装置は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集してもよい。
[形態17]
前記マルウェア検知方法において、前記監視装置は、前記実行された被疑ファイルが行う通信を監視してもよい。
[形態18]
前記マルウェア検知方法において、前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視してもよい。
[形態1]
上記第1の態様に係る被疑ファイル収集装置のとおりである。
[形態2]
前記被疑ファイル収集装置において、前記所定の領域は、マルウェアの動作に関連する領域であってもよい。
[形態3]
前記被疑ファイル収集装置において、前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域であってもよい。
[形態4]
前記被疑ファイル収集装置において、前記収集手段は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集してもよい。
[形態5]
前記被疑ファイル収集装置において、前記監視装置は、前記実行された被疑ファイルが行う通信を監視してもよい。
[形態6]
前記被疑ファイル収集装置において、前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視してもよい。
[形態7]
上記第2の態様に係るマルウェア検知システムのとおりである。
[形態8]
前記載のマルウェア検知システムにおいて、前記所定の領域は、マルウェアの動作に関連する領域であってもよい。
[形態9]
前記マルウェア検知システムにおいて、前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域であってもよい。
[形態10]
前記マルウェア検知システムにおいて、前記収集手段は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集してもよい。
[形態11]
前記マルウェア検知システムにおいて、前記監視装置は、前記実行された被疑ファイルが行う通信を監視してもよい。
[形態12]
前記マルウェア検知システムにおいて、前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視してもよい。
[形態13]
上記第3の態様に係るマルウェア検知方法のとおりである。
[形態14]
前記マルウェア検知方法において、前記所定の領域は、マルウェアの動作に関連する領域であってもよい。
[形態15]
前記マルウェア検知方法において、前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域であってもよい。
[形態16]
前記マルウェア検知方法において、前記被疑ファイル収集装置は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集してもよい。
[形態17]
前記マルウェア検知方法において、前記監視装置は、前記実行された被疑ファイルが行う通信を監視してもよい。
[形態18]
前記マルウェア検知方法において、前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視してもよい。
なお、上記特許文献の全開示内容は、本書に引用をもって繰り込み記載されているものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
1 検査対象装置
2 記憶装置
3 監視装置
4 接続部
5 制御部
6 入力部
7 記憶部
8 被疑ファイル収集ツール
9 被疑ファイル保存領域
10 接続部
11 診断ツール仮想マシン
12 サンドボックス仮想マシン
13 入力部
14 出力部
15 制御部
16 記憶部
17 診断ツール
18 レポート作成ツール
19 被疑ファイル保存領域
20 制御部
21 記憶部
22 通信端末
23 インターネット
24 接続部
25 入力部
26 制御部
27 送出部
28 被疑ファイル収集装置
29 収集手段
30 記憶手段
31 送出手段
2 記憶装置
3 監視装置
4 接続部
5 制御部
6 入力部
7 記憶部
8 被疑ファイル収集ツール
9 被疑ファイル保存領域
10 接続部
11 診断ツール仮想マシン
12 サンドボックス仮想マシン
13 入力部
14 出力部
15 制御部
16 記憶部
17 診断ツール
18 レポート作成ツール
19 被疑ファイル保存領域
20 制御部
21 記憶部
22 通信端末
23 インターネット
24 接続部
25 入力部
26 制御部
27 送出部
28 被疑ファイル収集装置
29 収集手段
30 記憶手段
31 送出手段
Claims (10)
- 検査対象装置に接続可能な被疑ファイル収集装置であって、
前記検査対象装置により起動されるプログラムを用いて、前記検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段と、
前記被疑ファイルを記憶する記憶手段と、
前記被疑ファイルを実行した結果を監視する監視装置に対して、前記記憶手段に蓄積された被疑ファイルを送出する送出手段と、を備える、
ことを特徴とする被疑ファイル収集装置。 - 前記所定の領域は、マルウェアの動作に関連する領域である、
請求項1に記載の被疑ファイル収集装置。 - 前記所定の領域は、マルウェアがアクセスする領域、または、マルウェアが設定を行う領域である、
請求項2に記載の被疑ファイル収集装置。 - 前記収集手段は、前記所定の領域から所定の拡張子を有するファイルを前記被疑ファイルとして収集する、
請求項2または3に記載の被疑ファイル収集装置。 - 前記監視装置は、前記実行された被疑ファイルが行う通信を監視する、
請求項1ないし4のいずれか1項に記載の被疑ファイル収集装置。 - 前記監視装置は、前記実行された被疑ファイルが送出した情報、および/または、前記実行された被疑ファイルの通信先を示す情報を監視する、
請求項5に記載の被疑ファイル収集装置。 - 検査対象装置に接続可能な被疑ファイル収集装置と、
前記被疑ファイル収集装置からアクセス可能な監視装置と、を備え、
前記被疑ファイル収集装置は、
前記検査対象装置により起動されるプログラムを用いて、前記検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集する収集手段と、
前記被疑ファイルを記憶する記憶手段と、
前記記憶手段に蓄積された被疑ファイルを前記監視装置に送出する送出手段と、を有し、
前記監視装置は、前記被疑ファイル収集装置から受信した被疑ファイルを実行した結果を監視する、
ことを特徴とするマルウェア検知システム。 - 前記所定の領域は、マルウェアの動作に関連する領域である、
請求項7に記載のマルウェア検知システム。 - 検査対象装置に接続可能な被疑ファイル収集装置が、前記検査対象装置により起動されるプログラムを用いて、前記検査対象装置が有する記憶部のうちの所定の領域からマルウェアへの感染が疑われる被疑ファイルを収集するステップと、
前記被疑ファイルを記憶手段に記憶するステップと、
前記被疑ファイルを実行した結果を監視する監視装置に対して、前記記憶手段に蓄積された被疑ファイルを送出するステップと、を含む、
ことを特徴とするマルウェア検知方法。 - 前記所定の領域は、マルウェアの動作に関連する領域である、
請求項9に記載のマルウェア検知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014252205A JP2016115072A (ja) | 2014-12-12 | 2014-12-12 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014252205A JP2016115072A (ja) | 2014-12-12 | 2014-12-12 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016115072A true JP2016115072A (ja) | 2016-06-23 |
Family
ID=56141930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014252205A Pending JP2016115072A (ja) | 2014-12-12 | 2014-12-12 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016115072A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020003845A (ja) * | 2018-06-25 | 2020-01-09 | コニカミノルタ株式会社 | 情報処理装置、ウィルスチェック方法及びプログラム |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1185503A (ja) * | 1997-09-05 | 1999-03-30 | Fujitsu Ltd | ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体 |
| JPH11513153A (ja) * | 1995-09-26 | 1999-11-09 | トレンド・マイクロ,インコーポレイテッド | コンピュータ・ネットワークの、ウイルス検出及び除去装置 |
| WO2004084063A1 (ja) * | 2003-03-17 | 2004-09-30 | Seiko Epson Corporation | ウィルスの感染を阻止する方法およびシステム |
| JP2005056243A (ja) * | 2003-08-06 | 2005-03-03 | Seiko Epson Corp | ワームの感染防止システム |
| JP2010198054A (ja) * | 2009-02-23 | 2010-09-09 | National Institute Of Information & Communication Technology | コンピュータ検査システム、コンピュータ検査方法 |
| JP2011013917A (ja) * | 2009-07-01 | 2011-01-20 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法、及び解析プログラム |
| JP2011221745A (ja) * | 2010-04-08 | 2011-11-04 | Kddi Corp | マルウェア判定システムおよびプログラム |
| JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
| JP2012014320A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
| JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
-
2014
- 2014-12-12 JP JP2014252205A patent/JP2016115072A/ja active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11513153A (ja) * | 1995-09-26 | 1999-11-09 | トレンド・マイクロ,インコーポレイテッド | コンピュータ・ネットワークの、ウイルス検出及び除去装置 |
| JPH1185503A (ja) * | 1997-09-05 | 1999-03-30 | Fujitsu Ltd | ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体 |
| WO2004084063A1 (ja) * | 2003-03-17 | 2004-09-30 | Seiko Epson Corporation | ウィルスの感染を阻止する方法およびシステム |
| JP2005056243A (ja) * | 2003-08-06 | 2005-03-03 | Seiko Epson Corp | ワームの感染防止システム |
| JP2010198054A (ja) * | 2009-02-23 | 2010-09-09 | National Institute Of Information & Communication Technology | コンピュータ検査システム、コンピュータ検査方法 |
| JP2011013917A (ja) * | 2009-07-01 | 2011-01-20 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法、及び解析プログラム |
| JP2011221745A (ja) * | 2010-04-08 | 2011-11-04 | Kddi Corp | マルウェア判定システムおよびプログラム |
| JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
| JP2012014320A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
| JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020003845A (ja) * | 2018-06-25 | 2020-01-09 | コニカミノルタ株式会社 | 情報処理装置、ウィルスチェック方法及びプログラム |
| JP7155657B2 (ja) | 2018-06-25 | 2022-10-19 | コニカミノルタ株式会社 | 情報処理装置及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| JP5557623B2 (ja) | 感染検査システム及び感染検査方法及び記録媒体及びプログラム | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| Lindorfer et al. | Detecting environment-sensitive malware | |
| JP5793764B2 (ja) | マルウェアの誤検出を低減する方法及び装置 | |
| JP4938576B2 (ja) | 情報収集システムおよび情報収集方法 | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| US9009841B2 (en) | Testing web applications for file upload vulnerabilities | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| JP2010092469A (ja) | ソフトウェアの信頼性を測定する方法及び装置 | |
| EP1331540B1 (en) | Apparatus, method, and system for virus detection | |
| US20080016572A1 (en) | Malicious software detection via memory analysis | |
| US20130160124A1 (en) | Disinfection of a File System | |
| JP4145582B2 (ja) | コンピュータウィルス検査装置およびメールゲートウェイシステム | |
| JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| EP4205004A1 (en) | Automated application vulnerability and risk assessment | |
| US11971994B2 (en) | End-point visibility | |
| JP6116524B2 (ja) | プログラム解析装置、プログラム解析方法及びプログラム解析システム | |
| TWI515599B (zh) | Computer program products and methods for monitoring and defending security | |
| Seo et al. | A study on memory dump analysis based on digital forensic tools | |
| JP2016115072A (ja) | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 | |
| US20180020012A1 (en) | Malware analysis system, malware analysis method, and malware analysis program | |
| JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| JP6998002B1 (ja) | 脆弱性診断装置 | |
| CN114697057B (zh) | 获取编排剧本信息的方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171106 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180731 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190305 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190314 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190903 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191118 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20191118 |
|
| C11 | Written invitation by the commissioner to file amendments |
Free format text: JAPANESE INTERMEDIATE CODE: C11 Effective date: 20191203 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20191205 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20191210 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20200110 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20200121 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20200707 |
|
| C30 | Protocol of an oral hearing |
Free format text: JAPANESE INTERMEDIATE CODE: C30 Effective date: 20201014 |
|
| C302 | Record of communication |
Free format text: JAPANESE INTERMEDIATE CODE: C302 Effective date: 20201021 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20210105 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20210209 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20210209 |