JP2016136745A - 情報処理装置、処理方法およびプログラム - Google Patents
情報処理装置、処理方法およびプログラム Download PDFInfo
- Publication number
- JP2016136745A JP2016136745A JP2016032737A JP2016032737A JP2016136745A JP 2016136745 A JP2016136745 A JP 2016136745A JP 2016032737 A JP2016032737 A JP 2016032737A JP 2016032737 A JP2016032737 A JP 2016032737A JP 2016136745 A JP2016136745 A JP 2016136745A
- Authority
- JP
- Japan
- Prior art keywords
- website
- access
- malware
- client terminal
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】コンピュータから主体的にマルウェアを取得させる仕組みに対する防御手段を提供する。【解決手段】ネットワークの一例としてのLAN100に接続された情報処理装置の一例としてのプロキシサーバ20は、LAN100内のクライアント端末10のアクセス要求を受け付けてマルウェア等のコンテンツを配信する可能性のあるウェブサイト等のアクセス対象にアクセスする。そして、このアクセス対象との間の通信の少なくとも一部に、このアクセス対象が既にマルウェアを送信したクライアント端末10を識別する識別情報を付加することにより、このアクセス対象が既にマルウェアを送信したクライアント端末10であるかのように偽装する。【選択図】図1
Description
本発明は、ネットワークを介して行われるマルウェア(悪意のあるソフトウェア)の侵入を防止する装置、処理方法およびプログラムに関する。
コンピュータ・ウィルス等のマルウェアは、コンピュータ・システムに侵入して動作し、侵入したコンピュータ・システム自体やこのシステムに接続された他のシステムに、様々な被害を発生させる。マルウェアによる被害の発生を防止する方策として、コンピュータ・システムに侵入しようとするマルウェアを検出して侵入を防止することや、既にコンピュータ・システムに侵入したマルウェアを検出して除去することが行われる。マルウェアを検出する手法としては、一般に、既知のマルウェアに関する情報を集めたリスト(ブラックリスト)を用いたリストマッチングが行われる(例えば、特許文献1を参照)。
また、未知のマルウェアを検出したり、マルウェアの送信元を特定したりすることも行われる。例えば、ネットワーク上にマルウェアが侵入可能な囮端末(いわゆるハニーポット等)を設け、侵入したマルウェアの動作を検証したり、マルウェアの送信元を特定したりすることが行われている(例えば、特許文献2を参照)。
近年、マルウェアの侵入方法は高度化かつ巧妙化し、コンピュータへの侵入を未然に防ぐことが困難となっている。例えば、外部からコンピュータへマルウェアを送りつけて侵入させるのではなく、コンピュータから主体的にマルウェアを取得(ダウンロード)するような工夫が行われる場合がある。これには、ウェブページ等に設けられた仕掛けによって、コンピュータ等のユーザが、マルウェアを取得(ダウンロード)するようにコンピュータ等を操作することを誘導するような場合も含まれる。
本発明の目的は、上記のようなコンピュータから主体的にマルウェアを取得させる仕組みに対する防御手段を提供することにある。
上記の目的を達成するため、本発明は、次のような装置として実現される。この装置は、ネットワークに接続された情報処理装置であって、ネットワークを介して所定のアクセス対象にアクセスするアクセス制御手段と、このアクセス制御手段によりアクセス対象との間で送信または受信されたコンテンツに関する識別情報を、このアクセス対象との間で行われる通信の少なくとも一部に付加する編集手段と、を備える。
より好ましくは、編集手段は、アクセス対象との間で行われる通信に、コンテンツに関するこの識別情報とは異なる他の識別情報が付加されている場合に、かかる通信におけるかかる他の識別情報をコンテンツに関するこの識別情報に書き換える。
また、本発明は、次のような方法としても実現される。この方法は、ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、ネットワークを介して所定のアクセス対象にアクセスするステップと、このアクセス対象との間で送信または受信されたコンテンツに関する識別情報を、このアクセス対象との間で行われる通信の少なくとも一部に付加するステップと、を含む。
さらに本発明は、コンピュータを制御して上述した装置の各機能を実現するプログラム、またはコンピュータに上記の処理方法における各ステップに対応する処理を実行させるプログラムとしても実現される。このプログラムは、磁気ディスクや光ディスク、半導体メモリ、その他の記録媒体に格納して配布したり、ネットワークを介して配信したりすることにより、提供することができる。
本発明によれば、コンピュータから主体的にマルウェアを取得させる仕組みに対する防御を実現し、コンピュータを保護することができる。
以下、添付図面を参照して、本発明の実施形態について詳細に説明する。
<システム構成例>
まず、本実施形態が適用されるネットワーク・システムについて説明する。
図1は、このようなネットワーク・システムの全体構成例を示した図である。
図示するように、このネットワーク・システムは、クライアント端末10と、プロキシサーバ20とがLAN(Local Area Network)100に接続されて構成されている。また、LAN100に接続された各装置は、プロキシサーバ20を介してインターネット200に接続される。すなわち、LAN100内の装置から外部ネットワークへの通信は、必ずプロキシサーバ20を介して行われる。
<システム構成例>
まず、本実施形態が適用されるネットワーク・システムについて説明する。
図1は、このようなネットワーク・システムの全体構成例を示した図である。
図示するように、このネットワーク・システムは、クライアント端末10と、プロキシサーバ20とがLAN(Local Area Network)100に接続されて構成されている。また、LAN100に接続された各装置は、プロキシサーバ20を介してインターネット200に接続される。すなわち、LAN100内の装置から外部ネットワークへの通信は、必ずプロキシサーバ20を介して行われる。
クライアント端末10は、ユーザが使用するコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。上記のように、クライアント端末10は、LAN100に接続されており、プロキシサーバ20を介してインターネット200上のサーバ(図示せず)にアクセスする。なお、図1には4台のクライアント端末10が記載されているが、LAN100に接続されるクライアント端末10の台数は図示の4台には限定されない。
インターネット200上のサーバは、インターネット200においてウェブページ等によりサービスを提供するウェブサイトを構築する。以下の説明では、クライアント端末10およびプロキシサーバ20によるアクセス先やインターネット200上での動作(データ送信等の)主体として、サーバではなくウェブサイトを適宜用いる。なお、このサーバとウェブサイトとは、必ずしも1対1で対応していない。単一のサーバが複数のウェブサイトを提供する場合もあるし、複数のサーバに格納されたウェブページ等により一つのウェブサイトが構成される場合もある。
プロキシサーバ20は、LAN100内のクライアント端末10とインターネット200上のサーバとの間の通信を中継するサーバ・コンピュータである。上記のように、クライアント端末10は、必ずプロキシサーバ20を介してインターネット200にアクセスする。プロキシサーバ20は、基本的な機能である中継機能の他、ファイア・ウォールや通信データのキャッシュ機能等、既存のプロキシサーバが備える一般的な機能を備えても良い。
本実施形態のプロキシサーバ20は、上記の通常のプロキシサーバ20としての機能に加え、所定のアクセス先リストに基づいて、インターネット200上のウェブサイトを、自ら巡回アクセスする機能を有する。本実施形態におけるプロキシサーバ20の機能および動作、またアクセス先リストの詳細については後述する。
LAN100は、クライアント端末10やネットワーク・プリンタ(図示せず)等の端末装置を各種回線で接続し、これらの間でデータを送受信できるようにしたネットワークである。インターネット200は、TCP/IPを用いて全世界のネットワークを相互に接続した巨大なネットワークである。
<マルウェアを侵入させる仕組み>
ここで、本実施形態が対象とする、マルウェアを侵入させる仕組みについて説明する。
図2は、インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。
図2において、インターネット200上に設けられたウェブサイト210は、マルウェアを配信するウェブサイト(マルウェア配信サイト)である。図2に示す仕組みでは、まず、クライアント端末10からウェブサイト210へアクセス要求が行われる。そして、クライアント端末10からウェブサイト210へのアクセス要求が行われると、ウェブサイト210は、アクセス要求を行ったクライアント端末10へマルウェアを送信する。
ここで、本実施形態が対象とする、マルウェアを侵入させる仕組みについて説明する。
図2は、インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。
図2において、インターネット200上に設けられたウェブサイト210は、マルウェアを配信するウェブサイト(マルウェア配信サイト)である。図2に示す仕組みでは、まず、クライアント端末10からウェブサイト210へアクセス要求が行われる。そして、クライアント端末10からウェブサイト210へのアクセス要求が行われると、ウェブサイト210は、アクセス要求を行ったクライアント端末10へマルウェアを送信する。
インターネット200上では、クライアント端末10からウェブサイト210へのアクセス要求を行わせるための様々な仕掛けがなされている。例えば、他のウェブサイト(図示せず)のウェブページに、ウェブサイト210へアクセスするスクリプトを記述しておき、クライアント端末10がそのウェブページをダウンロードした際に自動的にウェブサイト210へアクセスさせる仕組みがある。また、他のウェブサイト(図示せず)のウェブページ上に、ウェブサイト210へアクセスするためのリンクを設けておき、そのウェブページを閲覧したユーザが自らウェブサイト210へアクセスするように仕向けることもある。
従来、このような手法に対するセキュリティ上の対応策として、囮となるクライアント端末10(囮端末)を用いて、このようなマルウェアの配信サイトを発見することが行われている。具体的には、クライアント端末10からのアクセスを受け付けてマルウェアをダウンロードさせている可能性のあるウェブサイト210へ囮端末からアクセスし、そのウェブサイト210がマルウェアを送信するか否かを確認することが行われていた。
これに対し、そのような調査による発見を回避するため、マルウェア配信サイトであるウェブサイト210は、所定の条件を満たす場合にのみ、アクセス要求を行ったクライアント端末10に対してマルウェアを送信することがあった。具体的には、マルウェアをダウンロードさせたクライアント端末10を記憶しておき、例えば一定期間以内に、同じクライアント端末10からのアクセス要求があった場合には、そのクライアント端末10に対してマルウェアを送信しないウェブサイト210があった。
マルウェア配信サイトであるウェブサイト210を提供するサーバがクライアント端末10を識別する手法としては、種々の手法が考えられるが、代表的な手法として、IPアドレスを用いる手法とクッキー(Cookie)を用いる手法が挙げられる。前者の手法では、ウェブサイト210のサーバは、アクセス要求元のIPアドレスに基づいて、そのアクセス要求を行ったクライアント端末10を特定する。後者の手法では、ウェブサイト210のサーバが、アクセス要求を受け付けた際に、クッキーを作成して、アクセス要求元のクライアント端末10に対して送信する。そして、次にクライアント端末10からアクセス要求を受け付けた際に、ウェブサイト210のサーバは、アクセス要求に付されたクッキーに基づいて、そのアクセス要求を行ったクライアント端末10を特定する。
<プロキシサーバによる巡回アクセスおよび偽装>
本実施形態では、上記のように、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象として、プロキシサーバ20による巡回アクセスを行う。そして、プロキシサーバ20がウェブサイト210からマルウェアをダウンロードする。また、プロキシサーバ20は、自身が設けられたLAN100内のクライアント端末10からウェブサイト210へのアクセス要求を、2回目以降のアクセス要求であるかのように偽装する。このようなプロキシサーバ20を備えたLAN100では、予めプロキシサーバ20がウェブサイト210にアクセスしてマルウェアをダウンロードするため、その後、クライアント端末10がウェブサイト210にアクセスしてもマルウェアをダウンロードすることがない。
本実施形態では、上記のように、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象として、プロキシサーバ20による巡回アクセスを行う。そして、プロキシサーバ20がウェブサイト210からマルウェアをダウンロードする。また、プロキシサーバ20は、自身が設けられたLAN100内のクライアント端末10からウェブサイト210へのアクセス要求を、2回目以降のアクセス要求であるかのように偽装する。このようなプロキシサーバ20を備えたLAN100では、予めプロキシサーバ20がウェブサイト210にアクセスしてマルウェアをダウンロードするため、その後、クライアント端末10がウェブサイト210にアクセスしてもマルウェアをダウンロードすることがない。
上記のように、ウェブサイト210を提供するサーバがクライアント端末10を識別するための代表的な手法として、IPアドレスを用いる手法とクッキーを用いる手法が考えられる。そこで、以下では、各々の場合に分けて、本実施形態におけるプロキシサーバ20の機能構成および動作について説明する。
<第1の構成例>
まず、ウェブサイト210のサーバがIPアドレスを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
まず、ウェブサイト210のサーバがIPアドレスを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
<プロキシサーバの機能構成>
図3は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図3に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25とを備える。なお、図3においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図3に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
図3は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図3に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25とを備える。なお、図3においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図3に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
アクセス中継部21は、LAN100に接続されたクライアント端末10とインターネット200上のウェブサイト210(サーバ)との間の通信を中継する。すなわち、クライアント端末10から送信されたデータを受け付けて送信先のウェブサイト210へ送信し、ウェブサイト210から送信されたデータを受け付けて送信先のクライアント端末10へ送信する。
リスト保持部22は、プロキシサーバ20がアクセスすべきアクセス先のリストを保持する情報保持手段である。本実施形態におけるプロキシサーバ20のアクセス先は、アクセス元のクライアント端末10に対してマルウェアを送信しているウェブサイト210またはその疑いのあるウェブサイト210である。特に、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象とする。このアクセス先リストは、例えば、情報セキュリティのサービス提供者等から取得したり、公開されたマルウェア配信サイトの情報を利用したりすることができる。
なお、アクセス先リストに登録されるウェブサイト210は、実際にマルウェアを送信するウェブサイト210の他、マルウェアを送信している可能性があると認識されたウェブサイト210、そのようなウェブサイト210へ自動的に遷移するウェブサイト210等を含むものとする。
アクセス制御部23は、リスト保持部22に保持されているアクセス先リストに基づき、ウェブサイト210にアクセスするアクセス制御手段である。ウェブサイト210へのアクセスは、予め定められたタイミングで行われる。例えば、定期的に(一日に一度、予め定められた時刻等)行っても良いし、システムが特定の状態になったことを契機として行っても良い。具体例を挙げると、時間帯によってLAN100に接続されているクライアント端末10が全て停止するようなシステムでは、全てのクライアント端末10が停止した後、いずれかのクライアント端末10が起動した際に、プロキシサーバ20がウェブサイト210へアクセスすることが考えられる。また、アクセス先リストに登録された各ウェブサイト210に関して、LAN100に接続されているいずれかのクライアント端末10がそのウェブサイト210に最後にアクセスしてから一定時間が経過した場合に、プロキシサーバ20がウェブサイト210へアクセスすることも考えられる。
ソフトウェア解析部24は、アクセス制御部23の制御によるウェブサイト210へのアクセスでダウンロードされたソフトウェアを解析し、マルウェアか否かを判断する。この判断は、例えば、ブラックリストを用いたリストマッチング等の既存の手法を用いて良い。この場合、ブラックリストには、予め処理対象であるマルウェアとして定められたソフトウェアが登録されている。
ソフトウェア処理部25は、ソフトウェア解析部24によりマルウェアと判断されたソフトウェアを処理し、そのソフトウェアが実行されない状態とする。具体的には、対象のソフトウェアを削除したり、特別のフォルダに格納(隔離)して実行できないようにしたりする。
<第1の構成例におけるプロキシサーバの動作>
図4は、本実施形態によるプロキシサーバ20の動作を示すフローチャートである。
上記のように構成されたシステムにおいて、プロキシサーバ20は、アクセス制御部23の制御により、リスト保持部22に保持されているアクセス先リストにしたがって、所定のタイミングで(時間要件を満たす場合に)ウェブサイト210にアクセスする(ステップ401、402)。そして、ウェブサイト210からソフトウェアを取得(ダウンロード)したならば、ソフトウェア解析部24が、取得したソフトウェアを解析する(ステップ403、404)。ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、次にソフトウェア処理部25が、そのソフトウェアを処理(削除、隔離等)する(ステップ405、406)。
図4は、本実施形態によるプロキシサーバ20の動作を示すフローチャートである。
上記のように構成されたシステムにおいて、プロキシサーバ20は、アクセス制御部23の制御により、リスト保持部22に保持されているアクセス先リストにしたがって、所定のタイミングで(時間要件を満たす場合に)ウェブサイト210にアクセスする(ステップ401、402)。そして、ウェブサイト210からソフトウェアを取得(ダウンロード)したならば、ソフトウェア解析部24が、取得したソフトウェアを解析する(ステップ403、404)。ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、次にソフトウェア処理部25が、そのソフトウェアを処理(削除、隔離等)する(ステップ405、406)。
以上のようにして、本実施形態によれば、プロキシサーバ20が、アクセス先リストに基づき、マルウェアの配信サイトであるウェブサイト210(またはその可能性のあるウェブサイト210)に、所定のタイミングでアクセスする。プロキシサーバ20が設けられたLAN100の特性上、LAN100に接続された端末装置(クライアント端末10を含む)からアクセス要求が行われた場合、プロキシサーバ20により中継された時点で、アクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。このため、ウェブサイト210において、プロキシサーバ20によってアクセスされた後、このLAN100内のクライアント端末10からのアクセスは、全て同じIPアドレス(同じ端末装置)からのアクセスと判断される。
ここで、ウェブサイト210が、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないものとする。すると、このウェブサイト210は、プロキシサーバ20がアクセスした後、一定期間は、LAN100内のクライアント端末10からのアクセス要求があっても、アクセス要求の送信元へマルウェアを送信しない。
<第1の構成の変形例>
上記のように、プロキシサーバ20が設けられたLAN100では、LAN100に接続された各端末装置からのアクセス要求におけるアクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。したがって、上記構成例におけるプロキシサーバ20のアクセス制御部23の機能を、プロキシサーバ20ではなく、LAN100に接続された特定のクライアント端末10に設けても良い。
上記のように、プロキシサーバ20が設けられたLAN100では、LAN100に接続された各端末装置からのアクセス要求におけるアクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。したがって、上記構成例におけるプロキシサーバ20のアクセス制御部23の機能を、プロキシサーバ20ではなく、LAN100に接続された特定のクライアント端末10に設けても良い。
この場合、この特定のクライアント端末10が、上記のリスト保持部22に保持されたものと同様のアクセス先リストを保持する。そして、このアクセス先リストに基づいて、所定のタイミングでウェブサイト210にアクセスする。
<第2の構成例>
次に、ウェブサイト210のサーバがクッキーを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
次に、ウェブサイト210のサーバがクッキーを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
第2の構成例において、ウェブサイト210は、アクセス要求を行ったクライアント端末10に対して応答する際に送信データにクッキーを付加するものとする。クッキーを受け取ったクライアント端末10は、次回、同じウェブサイト210にアクセスする際に、アクセス要求や送信データに受け取ったクッキーを付加して送信する。ウェブサイト210は、受信したアクセス要求や送信データに自身が発行したクッキーが付加されていた場合、このクッキーに基づいて、アクセス要求の送信元のクライアント端末10やその状態を識別する。
したがって、ウェブサイト210は、クライアント端末10にマルウェアを送信する際、マルウェアの送信時に固有のクッキーを付加して送信すれば、その後に同じクライアント端末10から受けたアクセス要求に付加されたクッキーに基づき、このクライアント端末10にはマルウェアを既に送信済みであることを認識することができる。そこで、第2の構成例では、クライアント端末10とウェブサイト210との間のデータ交換において、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを、マルウェア送信時のクッキーに書き換える。これにより、アクセス要求の送信元であるクライアント端末10に対して既にマルウェアを送信していると、ウェブサイト210が認識するように偽装する。
<プロキシサーバの機能構成>
図5は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図5に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25と、情報編集部26とを備える。ここで、アクセス中継部21、リスト保持部22、アクセス制御部23、ソフトウェア解析部24およびソフトウェア処理部25は、図3に示した第1の構成例におけるプロキシサーバ20の構成と同様である。したがって、同一の符号を付して説明を省略する。なお、図5においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図5に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
図5は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図5に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25と、情報編集部26とを備える。ここで、アクセス中継部21、リスト保持部22、アクセス制御部23、ソフトウェア解析部24およびソフトウェア処理部25は、図3に示した第1の構成例におけるプロキシサーバ20の構成と同様である。したがって、同一の符号を付して説明を省略する。なお、図5においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図5に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
図5に示す本構成例のプロキシサーバ20において、情報編集部26は、ウェブサイト210からLAN100内のクライアント端末10へ送信されたデータに付加されているクッキーの抽出および書き換えを行う。すなわち、情報編集部26は、ウェブサイト210からの受信データからクッキーを抽出する抽出手段であり、受信データに付加されているクッキーを書き換える編集手段である。以下、情報編集部26によるクッキーの書き換え処理の内容について、詳細に説明する。
前提として、図5に示す第2の構成例によるプロキシサーバ20は、図3及び図4を参照して説明した第1の構成例によるプロキシサーバ20と同様に、リスト保持部22に保持されたアクセス先リストに基づき、所定のタイミングでウェブサイト210にアクセスする。そして、ソフトウェア解析部24によりウェブサイト210からダウンロードされたソフトウェアを解析し、そのソフトウェアがマルウェアであった場合は、ソフトウェア処理部25により処理(削除、隔離等)する。
ここで、ウェブサイト210からダウンロードしたソフトウェアがマルウェアであると判断された場合、本構成のプロキシサーバ20では、情報編集部26が、そのソフトウェアに付加されたクッキーのデータを抽出する。抽出されたクッキーのデータは、送信元のウェブサイト210を特定する情報に関連付けられて、所定の記憶手段に保持される。
そして、LAN100内のクライアント端末10からウェブサイト210へのアクセス要求がなされ、ウェブサイト210からの応答があった場合に、情報編集部26は、ウェブサイト210からの応答に付加されているクッキーを、保持しているクッキー(すなわち、マルウェアの送信時に付加されたクッキー)に書き換える。
<第2の構成例におけるプロキシサーバの動作>
図6および図7は、本実施形態のプロキシサーバ20によるクッキーに関する処理を示すフローチャートである。図6はクッキーの取得時の動作を示し、図7はクッキーの書き換え時の動作を示す。
図6に示す動作において、プロキシサーバ20がアクセス先リストに基づいてウェブサイト210にアクセスし、ダウンロードしたソフトウェアを解析するまでの動作(ステップ601〜604)は、図4に示した第1の構成例によるステップ401〜404までの動作と同様である。
図6および図7は、本実施形態のプロキシサーバ20によるクッキーに関する処理を示すフローチャートである。図6はクッキーの取得時の動作を示し、図7はクッキーの書き換え時の動作を示す。
図6に示す動作において、プロキシサーバ20がアクセス先リストに基づいてウェブサイト210にアクセスし、ダウンロードしたソフトウェアを解析するまでの動作(ステップ601〜604)は、図4に示した第1の構成例によるステップ401〜404までの動作と同様である。
本構成例におけるプロキシサーバ20は、ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、そのソフトウェアを処理(削除、隔離等)し、さらにそのソフトウェアに付加されたクッキーを取得する(ステップ605、606)。すなわち、このときに取得されたクッキーは、ウェブサイト210がマルウェアを送信する際に付加するクッキーである。
次に、図7を参照する。まず、プロキシサーバ20のアクセス中継部21が、LAN100内のクライアント端末10からのアクセス要求に対するウェブサイト210からの応答を受信する(ステップ701)。すると、情報編集部26が、事前にこのウェブサイト210にアクセスして取得したクッキー(図6のステップ606で取得したクッキー)を保持しているか調べる(ステップ702)。そして、このウェブサイト210から取得したクッキーが保持されている場合、情報編集部26は、ステップ701で受信した応答に付加されているクッキーを、ステップ702で検出したクッキーに書き換える(ステップ703)。そして、アクセス中継部21は、情報編集部26によりクッキーが書き換えられた応答を、このアクセス要求の送信元であるクライアント端末10に送信する(ステップ704)。
この後、クライアント端末10は、再度ウェブサイト210にアクセスする場合、ステップ703でプロキシサーバ20により付加されたクッキーをアクセス要求に付加する。このため、このアクセス要求を受信したウェブサイト210は、クッキーに基づき、受信したアクセス要求が既にマルウェアを送信したクライアント端末10からのアクセス要求であると判断する。
ここで、ウェブサイト210が、既にマルウェアを送信したクライアント端末10に対して、一定期間はマルウェアを再送しないものとする。すると、このウェブサイト210は、上記のクッキーが付加されたアクセス要求の送信元であるクライアント端末10にはマルウェアを送信しない。
なお、上記の動作例では、プロキシサーバ20がウェブサイト210からの応答を受信した時点で、情報編集部26がクッキーを書き換えることとした。これに対し、LAN100内のクライアント端末10がアクセス先リストに登録されているウェブサイト210をアクセス先としてアクセス要求を行った場合に、そのアクセス要求に付加されているクッキーを情報編集部26が保持しているクッキーに書き換える手順としても良い。
また、上記の動作例では、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換える(すなわち、既に付加されているクッキーを削除してマルウェア送信時のクッキーを付加する)こととした。これに対し、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求にクッキーが付加されていない場合に、情報編集部26がクッキーを単に付加する構成も考えられる。
<第2の構成の変形例>
上記の構成例では、プロキシサーバ20がLAN100内のクライアント端末10に先立ってウェブサイト210にアクセスし、マルウェアの送信時に付加されるクッキーを取得した。これに対し、アクセス先リストに登録されているウェブサイト210がマルウェアを送信する際に付加するクッキーを予め他の手段で取得し、プロキシサーバ20に保持しておく構成としても良い。この場合、クッキーは、例えばアクセス先リストと共に情報セキュリティサービス提供者が提供することが考えられる。ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換えたり、付加したりする手法および手順については、上記の構成例と同様である。
上記の構成例では、プロキシサーバ20がLAN100内のクライアント端末10に先立ってウェブサイト210にアクセスし、マルウェアの送信時に付加されるクッキーを取得した。これに対し、アクセス先リストに登録されているウェブサイト210がマルウェアを送信する際に付加するクッキーを予め他の手段で取得し、プロキシサーバ20に保持しておく構成としても良い。この場合、クッキーは、例えばアクセス先リストと共に情報セキュリティサービス提供者が提供することが考えられる。ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換えたり、付加したりする手法および手順については、上記の構成例と同様である。
<ハードウェアの構成例>
最後に、本実施形態のプロキシサーバ20を実現するのに好適なコンピュータのハードウェア構成について説明する。
図8は、このようなコンピュータのハードウェア構成の一例を示す図である。
図8に示すコンピュータは、演算手段であるCPU(Central Processing Unit)300aと、主記憶手段であるメモリ300cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)300g、ネットワーク・インターフェイス300f、表示機構300d、音声機構300h、キーボードやマウス等の入力デバイス300i等を備える。
最後に、本実施形態のプロキシサーバ20を実現するのに好適なコンピュータのハードウェア構成について説明する。
図8は、このようなコンピュータのハードウェア構成の一例を示す図である。
図8に示すコンピュータは、演算手段であるCPU(Central Processing Unit)300aと、主記憶手段であるメモリ300cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)300g、ネットワーク・インターフェイス300f、表示機構300d、音声機構300h、キーボードやマウス等の入力デバイス300i等を備える。
図8に示す構成例では、メモリ300cおよび表示機構300dは、システム・コントローラ300bを介してCPU300aに接続されている。また、ネットワーク・インターフェイス300f、磁気ディスク装置300g、音声機構300hおよび入力デバイス300iは、I/Oコントローラ300eを介してシステム・コントローラ300bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。
なお、図8は、本実施形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施形態は、ネットワーク・トラフィック等から得られるデータファイルを解析する情報処理システムに広く適用できるものであり、図示の構成においてのみ本実施例が実現されるのではない。
図8において、磁気ディスク装置300gにはOSやアプリケーション・ソフトのプログラムが格納されている。そして、これらのプログラムがメモリ300cに読み込まれてCPU300aに実行されることにより、図3および図5に示したアクセス中継部21、アクセス制御部23、ソフトウェア解析部24、ソフトウェア処理部25および情報編集部26を含む各種の機能が実現される。また、磁気ディスク装置300gやメモリ300c等の記憶手段により、リスト保持部22や、情報編集部26により抽出されたクッキーの保持手段が実現される。
なお、本実施形態の各構成例では、第1の構成の変形例を除き、プロキシサーバ20がアクセス先リストに基づくウェブサイト210の巡回アクセスを行ったが、実際のシステムにおいては、かかる構成に限定されない。すなわち、LAN100とインターネット200との間の通信経路上に設けられる各種のゲートウェイ装置によりウェブサイト210のアクセスを行う構成とすることができる。さらに、アクセス先リストに基づいてウェブサイト210を巡回アクセスする専用の情報処理装置をLAN100内に設け、プロキシサーバ20等のゲートウェイを介してインターネット200上のウェブサイト210にアクセスするように構成しても良い。
10…クライアント端末、20…プロキシサーバ、21…アクセス中継部、22…リスト保持部、23…アクセス制御部、24…ソフトウェア解析部、25…ソフトウェア処理部、26…情報編集部、100…LAN(Local Area Network)、200…インターネット
Claims (4)
- ネットワークに接続された情報処理装置であって、
ネットワークを介して所定のアクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段により前記アクセス対象との間で送信または受信されたコンテンツに関する識別情報を、当該アクセス対象との間で行われる通信の少なくとも一部に付加する編集手段と、
を備える、情報処理装置。 - 前記編集手段は、前記アクセス対象との間で行われる通信に、コンテンツに関する前記識別情報とは異なる他の識別情報が付加されている場合に、当該通信における当該他の識別情報をコンテンツに関する前記識別情報に書き換える、請求項1に記載の情報処理装置。
- ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、
ネットワークを介して所定のアクセス対象にアクセスするステップと、
前記アクセス対象との間で送信または受信されたコンテンツに関する識別情報を、当該アクセス対象との間で行われる通信の少なくとも一部に付加するステップと、
を含む、処理方法。 - ネットワークに接続されたコンピュータを制御するプログラムにおいて、
ネットワークを介して所定のアクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段により前記アクセス対象との間で送信または受信されたコンテンツに関する識別情報を、当該アクセス対象との間で行われる通信の少なくとも一部に付加する編集手段と、
前記コンピュータを機能させる、プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016032737A JP5986695B2 (ja) | 2016-02-24 | 2016-02-24 | 情報処理装置、処理方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016032737A JP5986695B2 (ja) | 2016-02-24 | 2016-02-24 | 情報処理装置、処理方法およびプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015086445A Division JP5893787B2 (ja) | 2015-04-21 | 2015-04-21 | 情報処理装置、処理方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016136745A true JP2016136745A (ja) | 2016-07-28 |
| JP5986695B2 JP5986695B2 (ja) | 2016-09-06 |
Family
ID=56512159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016032737A Active JP5986695B2 (ja) | 2016-02-24 | 2016-02-24 | 情報処理装置、処理方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5986695B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008226015A (ja) * | 2007-03-14 | 2008-09-25 | Fujitsu Ltd | セッション権限管理方法 |
| JP2011034290A (ja) * | 2009-07-31 | 2011-02-17 | Fujitsu Ltd | 中継装置、中継方法、および中継プログラム |
-
2016
- 2016-02-24 JP JP2016032737A patent/JP5986695B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008226015A (ja) * | 2007-03-14 | 2008-09-25 | Fujitsu Ltd | セッション権限管理方法 |
| JP2011034290A (ja) * | 2009-07-31 | 2011-02-17 | Fujitsu Ltd | 中継装置、中継方法、および中継プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5986695B2 (ja) | 2016-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666686B1 (en) | Virtualized exploit detection system | |
| US10637880B1 (en) | Classifying sets of malicious indicators for detecting command and control communications associated with malware | |
| US10021129B2 (en) | Systems and methods for malware detection and scanning | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US10395031B2 (en) | Systems and methods for malware detection and scanning | |
| EP3871392B1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| US8161538B2 (en) | Stateful application firewall | |
| US11861008B2 (en) | Using browser context in evasive web-based malware detection | |
| CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
| JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| RU2738337C1 (ru) | Система и способ обнаружения интеллектуальных ботов и защиты от них | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| KR102125966B1 (ko) | 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템 | |
| Miller et al. | Detection of anonymising proxies using machine learning | |
| CN112491836A (zh) | 通信系统、方法、装置及电子设备 | |
| JP5738042B2 (ja) | ゲートウェイ装置、情報処理装置、処理方法およびプログラム | |
| JP5986695B2 (ja) | 情報処理装置、処理方法およびプログラム | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| JP5893787B2 (ja) | 情報処理装置、処理方法およびプログラム | |
| JP6563872B2 (ja) | 通信システム、および、通信方法 | |
| JP6286314B2 (ja) | マルウェア通信制御装置 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| US11949707B1 (en) | Isolating suspicious links in email messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160629 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160719 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160805 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5986695 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |