JP2016181191A - 管理プログラム、管理装置及び管理方法 - Google Patents

管理プログラム、管理装置及び管理方法 Download PDF

Info

Publication number
JP2016181191A
JP2016181191A JP2015061887A JP2015061887A JP2016181191A JP 2016181191 A JP2016181191 A JP 2016181191A JP 2015061887 A JP2015061887 A JP 2015061887A JP 2015061887 A JP2015061887 A JP 2015061887A JP 2016181191 A JP2016181191 A JP 2016181191A
Authority
JP
Japan
Prior art keywords
information
terminal
management
malware
target terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015061887A
Other languages
English (en)
Inventor
章夫 石井
Akio Ishii
章夫 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015061887A priority Critical patent/JP2016181191A/ja
Priority to US15/055,389 priority patent/US20160285898A1/en
Publication of JP2016181191A publication Critical patent/JP2016181191A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

【課題】マルウェアの活動の検出後に、監視対象端末の特定を行う管理プログラム、管理装置及び管理方法を提供する。
【解決手段】管理対象端末が他の管理対象端末と接続した接続情報を取得して記憶部に蓄積し、管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、記憶部に蓄積された第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する。
【選択図】図9

Description

本発明は、管理プログラム、管理装置及び管理方法に関する。
企業や組織におけるセキュリティ管理者(以下、単に管理者とも呼ぶ)は、ウィルス定義ファイルによるコンピュータウィルスの検知、検疫及び駆除だけでなく、コンピュータウィルス以外のマルウェアによる活動を検知し、拡散の防止等を行う。
マルウェアは、コンピュータウィルスを含む悪意のあるソフトウェアの総称である。具体的に、マルウェアは、例えば、企業や組織で使用される端末(以下、管理対象端末とも呼ぶ)に感染し、外部からの不正アクセス等を可能にさせるための活動を行う。
そして、近年では、企業や組織(以下、単に攻撃対象とも呼ぶ)で使用される端末に感染した後、すぐに活動を行わない潜伏性質を持つマルウェアが登場している。そのため、管理者は、マルウェアに感染した端末の存在を検知した場合、マルウェアが潜伏している他の端末(まだマルウェアが活動を開始していない端末)を特定し、駆除等の対策を行う必要がある(例えば、特許文献1及び2参照)。
特開2006−040196号公報 特開2009−110270号公報
マルウェアが潜伏している端末を特定する場合、管理者は、マルウェアが検知された端末からアクセスされた他の端末を示す情報や、他の端末にアクセスする際に用いられたユーザID等の情報(以下、これらの情報を単にログとも呼ぶ)を参照する。
しかしながら、マルウェアには、潜伏期間が半年を超えるものがある。そのため、管理者は、マルウェアが潜伏している端末を特定するために、長期間に渡るログを保存する必要がある。
また、マルウェアに感染した端末を検知した場合、マルウェアの感染拡大を防止する必要があるため、管理者は、可能な限り短期間でマルウェアに感染している他の端末(マルウェアが潜伏している端末)を特定する必要がある。
しかしながら、保存されているログが、マルウェアに感染した端末を特定するため以外にも使用されるものである場合、管理者は、マルウェアに感染した他の端末の特定を行う際に、保存されているログの変換や解析等を行う必要がある。そのため、管理者は、マルウェアの感染が拡大する前に、マルウェアに感染している他の端末を特定し、特定した端末に対する対策を行うことができない場合がある。
そこで、一つの側面では、マルウェアの活動の検出後に、監視対象端末の特定を行う管理プログラム、管理装置及び管理方法を提供することを目的とする。
実施の形態の一つの態様によれば、管理対象端末が他の管理対象端末と接続した接続情報を取得して記憶部に蓄積し、
前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する。
一つの側面によれば、マルウェアの活動の検出後に、監視対象端末の特定を行う。
情報処理システム10の全体構成を説明する図である。 管理対象端末2へのマルウェアの感染の具体例を説明する図である。 管理対象端末2へのマルウェアの感染の具体例を説明する図である。 管理対象端末2へのマルウェアの感染の具体例を説明する図である。 管理装置1のハードウエア構成を説明する図である。 図5の管理装置1の機能ブロック図である。 第1の実施の形態における端末特定処理の概略を説明するフローチャート図である。 第1の実施の形態における端末特定処理の概略を説明するフローチャート図である。 第1の実施の形態における端末特定処理の概略を説明する図である。 第1の実施の形態における端末特定処理の概略を説明する図である。 第1の実施の形態における端末特定処理の詳細を説明するフローチャート図である。 第1の実施の形態における端末特定処理の詳細を説明するフローチャート図である。 第1の実施の形態における端末特定処理の詳細を説明するフローチャート図である。 第1の実施の形態における端末特定処理の詳細を説明するフローチャート図である。 管理装置1が管理対象端末2aから取得した接続情報131の具体例を説明する図である。 管理装置1が管理対象端末2bから取得した接続情報131の具体例を説明する図である。 管理装置1が管理対象端末2cから取得した接続情報131の具体例を説明する図である。 接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。 接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。 接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。 集計情報の具体例を説明する図である。 管理表の具体例を説明する図である。 接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。 接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。 接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。 集計情報の具体例を説明する図である。 管理表の具体例を説明する図である。 管理装置1が管理対象端末2aから取得した接続情報131の具体例を説明する図である。
[情報処理システムの構成]
図1は、情報処理システム10の全体構成を説明する図である。図1に示す情報処理システム10は、管理装置1と、管理対象端末2a、2b、2c、2d(以下、これらを総称して管理対象端末2とも呼ぶ)と、ファイアーウォール装置6とを有する。
管理装置1は、管理対象端末2が出力したログの収集を行う。また、管理装置1は、管理対象端末2の使用権限(例えば、ユーザID及びパスワード)の管理を行う。
管理対象端末2は、企業や組織において業務を行う事業者(以下、単に事業者とも呼ぶ)が業務を行うために使用する端末であり、管理装置1がマルウェアの検出等を行う管理対象の端末である。なお、図1に示す情報処理システム10は、4台の管理対象端末2(管理対象端末2a、2b、2c、2d)を有しているが、3台以下の管理対象端末2または5台以上の管理対象端末2を有するものであってもよい。
ファイアーウォール装置6は、ネットワークNWと接続した外部端末11と、管理装置1及び管理対象端末2との間の通信を制御する。すなわち、ファイアーウォール装置6は、例えば、外部端末11による管理装置1や管理対象端末2への不正アクセス等を防御する。なお、ネットワークNWは、例えば、インターネット網である。
[管理対象端末へのマルウェアの感染]
次に、管理対象端末2へのマルウェアの感染について説明する。図2から図4は、管理対象端末2へのマルウェアの感染の具体例を説明する図である。
近年、マルウェアの種類は増加の一途を辿っており、メールの添付ファイルに含まれるマルウェア等、一見すると問題がないように見えるものも存在する。そのため、図1で説明したファイアーウォール装置6は、管理対象端末2に対して送信されたメールに添付されたマルウェアを認識することができない場合、そのメールの送信を許可する。そして、この場合、メールを受信した管理対象端末2は、受信したメールに添付されているファイルを開いた際に、ファイルに含まれるマルウェアに感染する。
また、上記のようなマルウェアには、管理対象端末2に感染した後、すぐに活動を行わない潜伏性質を持つマルウェアが存在する。そして、このようなマルウェアは、予め定められた潜伏期間を経過した場合に活動を開始する。すなわち、マルウェアは、例えば、攻撃対象が最も被害を蒙るタイミングで活動を開始する。
なお、以下、管理対象端末2において潜伏中のマルウェアを発病前のマルウェアとも呼び、管理対象端末2において既に活動を開始しているマルウェアを発病後のマルウェアとも呼ぶ。また、上記のようにマルウェアを含むメール等によって特定の企業や組織(攻撃対象)を狙う攻撃を標的型攻撃とも呼ぶ。さらに、攻撃対象において最初に感染した管理対象端末2を一次感染端末とも呼び、一次感染端末を経由してマルウェアに感染した管理対象端末2を二次感染端末とも呼ぶ。
図2に示す例において、悪意のある者(攻撃対象に対して攻撃を行う者)は、例えば、外部端末11を介して情報処理システム10に含まれる管理対象端末2に標的型攻撃を行う。具体的に、外部端末11は、図2に示すように、マルウェアを含むファイルが添付されたメールを、情報処理システム10に含まれる管理対象端末2aに送信する。その後、管理対象端末2を使用する事業者が、外部端末11から送信されたメールに添付されたファイルを開いた場合に、管理対象端末2aはマルウェアに感染(一次感染)する。そして、管理対象端末2aに感染したマルウェアは、例えば、管理対象端末2a内において活動を開始することなく、予め定められた期間が経過するまで潜伏する。
次に、管理対象端末2a(管理対象端末2aに感染したマルウェア)は、図3に示すように、例えば、情報処理システム10に含まれる他の管理対象端末2に対して、マルウェアを含むファイルを添付したメールを送信する。そして、他の管理対象端末2を使用する事業者が、管理対象端末2aから送信されたメールに添付されたファイルを開いた場合に、他の管理対象端末2は、管理対象端末2aが感染したものと同じマルウェアに感染(二次感染)する。なお、図3に示す例においては、管理対象端末2b、2cが新たにマルウェアに感染している。
その後、管理対象端末2a、2b及び2cに感染したマルウェアは、図4に示すように、それぞれの潜伏期間が経過した際に活動を開始する。なお、図4に示す例は、管理対象端末2a及び2bに感染したマルウェアが活動を開始した場合を示している。
ここで、管理者は、マルウェアの感染を検知するために、例えば、感染検知製品を利用する。感染検知製品は、例えば、管理装置1にインストールされたソフトウェアである。そして、感染検知製品は、管理対象のネットワーク上を流れる有害と思われる通信の監視を行うことにより、管理対象端末2におけるマルウェアの感染を検知する。
しかしながら、管理対象端末2に感染したマルウェアが潜伏している場合、マルウェアは、他の管理対象端末2に対する通信を行わない。そのため、感染検知製品は、管理対象端末2に感染したマルウェアが活動を開始するまで、マルウェアによる管理対象端末2の感染を検知することができない。具体的に、図3に示す例において、感染検知製品は、マルウェアに感染済であるが潜伏中である管理対象端末2a、2b及び2cと、マルウェアに感染していない管理対象端末2dとを区別することができない。
そこで、管理者は、マルウェアが潜伏している管理対象端末2を特定する場合、マルウェアが検知された管理対象端末2からアクセスされた他の管理対象端末2を示す情報や、他の管理対象端末2にアクセスする際に用いられたユーザID等の情報を参照する。これにより、管理者は、マルウェアに感染済であるが潜伏中である可能性がある管理対象端末2を特定することが可能になる。そして、管理者は、マルウェアが感染した可能性がある管理対象端末2に対して詳細な調査を行い、例えば、マルウェアの駆除等の対策を行うことが可能になる。
しかしながら、マルウェアには、潜伏期間が半年を超えるものがある。そのため、マルウェアが潜伏している管理対象端末2を特定するためには、長期間に渡るログを保存する必要がある。
また、マルウェアの活動を検知した場合、マルウェアの感染拡大を防止する必要があるため、管理者は、可能な限り短期間でマルウェアに感染している管理対象端末2(マルウェアが潜伏している管理対象端末2)を特定する必要がある。
しかしながら、保存されているログが、マルウェアに感染した管理対象端末2を特定するため以外にも使用されるものである場合、管理者は、マルウェアに感染した管理対象端末2の特定を行う際に、保存されているログの変換や解析等を行う必要がある。そのため、管理者は、マルウェアの感染が拡大する前に、マルウェアに感染している管理対象端末2を特定し、特定した管理対象端末2に対して対策を行うことができない場合がある。
そこで、本実施の形態では、管理装置1は、管理対象端末2のそれぞれと、他の管理対象端末2との接続情報を取得して蓄積する。そして、管理装置1は、管理対象端末2に含まれる管理対象端末(以下、第1管理対象端末とも呼ぶ)でのマルウェアの検出に応じて、マルウェアに感染している可能性がある他の管理対象端末2(以下、監視対象端末2とも呼ぶ)を接続情報により特定する。
これにより、管理装置1は、第1管理対象端末においてマルウェアを検出した後、監視対象端末2の特定を短期間で行うことが可能になる。そのため、管理装置1は、監視対象端末2に対する対策(例えば、マルウェアの駆除)を迅速に行うことが可能になり、マルウェアの感染に伴う被害の拡大を抑制することが可能になる。
[管理装置のハードウエア構成]
次に、情報処理システム10の構成について説明する。図5は、管理装置1のハードウエア構成を説明する図である。
管理装置1は、プロセッサであるCPU101と、メモリ102と、外部インターフェース(I/Oユニット)103と、記憶媒体104とを有する。各部は、バス105を介して互いに接続される。
記憶媒体104は、記憶媒体104内のプログラム格納領域(図示しない)に、マルウェアの検出を行う必要がある管理対象端末2を特定するための処理(以下、端末特定処理とも呼ぶ)等を行うためのプログラム110(以下、管理プログラム110とも呼ぶ)を記憶する。
CPU101は、図5に示すように、プログラム110の実行時に、プログラム110を記憶媒体104からメモリ102にロードし、プログラム110と協働して端末特定処理等を行う。
記憶媒体104は、例えば、端末特定処理等を行う際に用いられる情報を記憶する情報格納領域130(以下、記憶部130とも呼ぶ)を有する。
また、外部インターフェース103は、管理対象端末2と通信を行う。また、外部インターフェース103は、ファイアーウォール装置6を介してネットワークNWと通信を行う。
[管理装置のソフトウェア構成]
次に、管理装置1のソフトウェア構成について説明する。図6は、図5の管理装置1の機能ブロック図である。CPU101は、プログラム110と協働することにより、接続情報取得部111と、接続情報管理部112と、端末特定部113と、権限管理部114と、検出判定部115として機能する。また、情報格納領域130(以下、記憶部130とも呼ぶ)には、接続情報131と、権限情報132と、マルウェア情報133とが記憶されている。
接続情報取得部111は、各管理対象端末2から接続情報131を取得する。接続情報131は、各管理対象端末2が他の管理対象端末2と接続した際の履歴情報である。
具体的に、接続情報取得部111は、例えば、定期的なタイミング(1時間毎等)で、各管理対象端末2にアクセスして接続情報131を取得する。この場合、接続情報取得部111は、例えば、管理対象端末2を特定するための端末情報(図示しない)を参照することにより、各管理対象端末2にアクセスする。接続情報131の具体例については後述する。
接続情報管理部112は、接続情報取得部111が取得した接続情報131を情報格納領域130に記憶する。
端末特定部113は、管理対象端末2のうち、マルウェアが検出された管理対象端末(第1管理対象端末)の存在を検知した際に、情報格納領域130に記憶(蓄積)された接続情報131を参照する。そして、端末特定部113は、マルウェアの検出確認を行う必要がある管理対象端末2(監視対象端末2)の特定を行う。
具体的に、端末特定部113は、例えば、情報格納領域130に記憶された接続情報131のうち、各管理対象端末2が他の管理対象端末2と接続を行った際に用いられたユーザ情報を抽出する。ユーザ情報は、例えば、事業者が管理対象端末2において作業を行う際に用いるユーザID及びパスワードである。そして、端末特定部113は、抽出したユーザ情報により、マルウェアの検出確認を行う必要がある管理対象端末2を特定する。これにより、管理者は、マルウェアが検出される可能性がある管理対象端末2(マルウェアに感染している可能性がある管理対象端末2)を特定することが可能になり、マルウェアの駆除等の対策を取ることが可能になる。端末特定部113が行う処理の具体例については後述する。
権限管理部114は、権限情報132の管理を行う。権限情報132は、事業者が各管理対象端末2において使用可能なユーザ情報を含む情報である。そして、権限管理部114は、第1管理対象端末の存在を検知した場合、全ての管理対象端末2に対し、第1管理対象端末が他の管理対象端末2と接続する際に使用していたユーザ情報(以下、第1ユーザ情報)の使用を禁止する。具体的に、権限管理部114は、各事業者が第1ユーザ情報の使用ができなくなるように権限情報132を更新する。
検出判定部115は、端末特定部113がマルウェアの検出確認する管理対象端末2を特定した場合、情報格納領域130に記憶されたマルウェア情報133を参照する。マルウェア情報133は、第1管理対象端末から検出されたマルウェアに関する情報である。具体的に、マルウェア情報133は、例えば、第1管理対象端末に感染したマルウェアの感染方法や、感染源となったファイルのファイル名やファイルサイズ、フィンガープリントを含むものである。
そして、検出判定部115は、マルウェア情報133を参照することにより、端末特定部113が特定した管理対象端末2から、第1管理対象端末から検出されたマルウェアと同じマルウェアが検出されるか否かを判定する。
[第1の実施の形態の概略]
次に、第1の実施の形態の概略について説明する。図7及び図8は、第1の実施の形態における端末特定処理の概略を説明するフローチャート図である。また、図9及び図10は、第1の実施の形態における端末特定処理の概略を説明する図である。図9及び図10を参照しながら図7及び図8の端末特定処理の概略を説明する。
[接続情報を蓄積する際の処理]
管理装置1は、図7に示すように、接続情報取得タイミングまで待機する(S1のNO)。接続情報取得タイミングは、例えば、定期的なタイミング(1時間毎等)である。
そして、接続情報取得タイミングになった場合(S1のYES)、管理装置1は、図9の破線矢印が示すように、例えば、各管理対象端末2が出力した接続情報131を取得する(S2)。管理装置1は、各管理対象端末2が送信した接続情報131を受信することにより、接続情報131の取得を行うものであってもよい。
その後、管理装置1は、図9に示すように、取得した接続情報131を記憶部130に蓄積する(S3)。
ここで、管理装置1は、例えば、各管理対象端末2から取得した接続情報131のうち、各管理対象端末2が接続した他の管理対象端末2を特定するために最低限必要な情報のみを抽出し、接続情報131として記憶部130に蓄積する。すなわち、管理装置1は、管理対象端末2から取得した接続情報131に含まれる情報のうち、各管理対象端末2が接続した他の管理対象端末2を特定するために必要のない情報を除外した情報のみの蓄積を行う。
これにより、管理装置1は、接続情報131を長期間(例えば、半年以上)記憶しておく必要がある場合であっても、図5で説明した記憶媒体104の容量を抑えることが可能になる。
また、管理装置1は、マルウェアが検出された管理対象端末2(第1管理対象端末)の存在を検知した後、マルウェアの検出確認を行う必要がある管理対象端末2(監視対象端末2)の特定を行う場合に、蓄積した情報に対して解析等を行う必要がなくなる。そのため、管理装置1は、マルウェアが潜伏している管理対象端末2の特定を迅速に行うことが可能になり、マルウェアの駆除等の対策を迅速に行うことが可能になる。したがって、管理装置1は、マルウェアの感染による被害の拡大を抑制することが可能になる。
なお、管理装置1は、各管理対象端末2が接続した他の管理対象端末2を特定するために最低限必要な情報のみを各管理対象端末2から取得し、取得した情報を接続情報131として記憶部130に蓄積するものであってもよい。
[検出確認を行う管理対象端末を特定する際の処理]
一方、管理装置1は、図8に示すように、マルウェアが検出された管理対象端末2の存在を検知するまで待機する(S11のNO)。具体的に、管理装置1は、例えば、マルウェアに感染した管理対象端末2が発生した旨の入力を管理者が行うことにより、マルウェアが検出された管理対象端末2(第1管理対象端末)の存在を検知するものであってよい。
そして、マルウェアが検出された管理対象端末2の存在を検知した場合(S11のYES)、管理装置1は、図10に示すように、記憶部130に蓄積された接続情報131により、マルウェアの検出確認を行う管理対象端末2(監視対象端末2)を特定する(S12)。
このように、第1の実施の形態によれば、管理装置1は、管理対象端末2が他の管理対象端末2と接続した際の接続情報131を取得して記憶部130に蓄積する。そして、管理装置1は、管理対象端末2に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、記憶部130に蓄積された第1管理対象端末の接続情報131に基づき、監視を行う必要がある監視対象端末2を特定する。
これにより、管理装置1は、マルウェアの活動の検出後、マルウェアが検出される可能性がある管理対象端末2の特定を短期間で行うことができる。
[第1の実施の形態の詳細]
次に、第1の実施の形態の詳細について説明する。図11から図14は、第1の実施の形態における端末特定処理の詳細を説明するフローチャート図である。また、図15から図28は、第1の実施の形態における端末特定処理の詳細を説明する図である。図15から図28を参照しながら、図11から図14の端末特定処理を説明する。
なお、以下、情報処理システム10は、管理対象端末2a、2b、2c、2d、2e、2f、2g、2h及び2iの9台を有するものとして説明を行う。また、このうち、管理対象端末2a、2b及び2cの3台は、同一のマルウェアによって感染し、感染したマルウェアが既に活動を開始しているものとして説明を行う。
[接続情報を蓄積する際の処理]
初めに、管理装置1の接続情報取得部111は、図11に示すように、接続情報取得タイミングまで待機する(S21のNO)。そして、接続情報取得タイミングになった場合(S1のYES)、管理装置1の接続情報取得部111は、例えば、各管理対象端末2から出力された接続情報131を取得する(S22)。以下、接続情報131の具体例を説明する。
図15は、管理装置1が管理対象端末2aから取得した接続情報131の具体例を説明する図である。また、図16は、管理装置1が管理対象端末2bから取得した接続情報131の具体例を説明する図である。また、図17は、管理装置1が管理対象端末2cから取得した接続情報131の具体例を説明する図である。
図15から図17に示す接続情報131は、それぞれ、出力された各情報を識別するための「ID」と、各管理対象端末2で作業を行う際に用いられたユーザ情報を示す「ユーザ情報」と、各情報の発生日時を示す「日時情報」とを項目として有する。
さらに、図15から図17に示す接続情報131は、それぞれ、各情報の重要性を示す「レベル」を項目として有している。この「レベル」には、例えば、管理者による対応を要しない情報であることを示す「情報」や、管理者による対応を要しないが注意する必要がある情報であることを示す「ワーニング」が設定される。また、「レベル」には、例えば、管理対象端末2における異常発生時に出力されるものであり、管理者による対応を要する情報であることを示す「エラー」が設定される。
そして、図15から図17に示す接続情報131は、出力された各情報のカテゴリを示す「カテゴリ」と、他の管理対象端末2への接続があった場合における接続先を特定するための情報である「接続先情報」とを項目として有する。この「接続先情報」には、例えば、接続先のIP(Internet Protocol)アドレスが設定される。
具体的に、図15の接続情報131において、「ID」が「1」である情報には、「ユーザ情報」として「User#1」が設定され、「日時情報」として「2014−11−10 13:52:04」が設定され、「レベル」として「情報」が設定されている。さらに、図15の接続情報131のうち、「ID」が「1」である情報には、「カテゴリ」として「ログイン」が設定され、「接続先情報」はブランクになっている。
また、図16の接続情報131において、「ID」が「3」である情報には、「ユーザ情報」として「User#4」が設定され、「日時情報」として「2014−11−10 15:44:51」が設定され、「レベル」として「情報」が設定されている。さらに、図16の接続情報131のうち、「ID」が「3」である情報には、例えば、「カテゴリ」として「ファイル転送」が設定され、「接続先情報」として「管理装置1」が設定されている。
さらに、図17の接続情報131において、例えば、「ID」が「6」である情報には、「ユーザ情報」として「User#7」が設定され、「日時情報」として「2014−11−12 13:40:19」が設定され、「レベル」として「情報」が設定されている。さらに、図17の接続情報131のうち、「ID」が「6」である情報には、例えば、「カテゴリ」として「ファイル転送」が設定され、「接続先情報」として「管理対象端末2g」が設定されている。図15から図17の他の情報については説明を省略する。
すなわち、管理装置1は、後述するように、マルウェアが検出された管理対象端末2(第1管理対象端末)のそれぞれから接続情報131を取得し、取得した各接続情報131について横断的に分析を行うことにより、マルウェアが潜伏している可能性のある管理対象端末2の特定を行う。
図11に戻り、管理装置1の接続情報管理部112は、S22で接続情報取得部111が取得した接続情報131から、ユーザ情報を含む情報を抽出する(S23)。そして、接続情報管理部112は、例えば、S23で抽出した情報(以下、抽出情報とも呼ぶ)を接続情報131として情報格納領域130に蓄積する(S24)。以下、抽出情報の具体例を説明する。
図18から図20は、接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。図18に示す抽出情報は、接続情報管理部112が、図15に示す接続情報131に含まれる「ユーザ情報」、「日時情報」及び「接続先情報」の項目に対応する情報のうち、「カテゴリ」の項目にタイプする情報が「ファイル転送」または「ファイル共有」である情報を抽出したものである。
具体的に、図18に示す抽出情報は、図15に示す接続情報131にうち、「ユーザ情報」、「日時情報」及び「接続先情報」に対応する項目の情報のみが抽出されている。また、図18に示す抽出情報は、図15に示す接続情報131にうち、「カテゴリ」の項目に対応する情報が「ファイル転送」または「ファイル共有」である情報(図15に示す接続情報131のうち、「ID」が「2」、「6」及び「7」である情報)のみが抽出されている。
同様に、図19に示す抽出情報は、接続情報管理部112が、図16に示す接続情報131に含まれる「ユーザ情報」、「日時情報」及び「接続先情報」の項目にタイプする情報のうち、「カテゴリ」の項目に対応する情報が「ファイル転送」または「ファイル共有」である情報を抽出したものである。
さらに、図20に示す抽出情報は、接続情報管理部112が、図17に示す接続情報131に含まれる「ユーザ情報」、「日時情報」及び「接続先情報」の項目に対応する情報のうち、「カテゴリ」の項目に対応する情報が「ファイル転送」または「ファイル共有」である情報を抽出したものである。
なお、以下、説明の便宜上、図18から図20に示す抽出情報は、「ユーザ情報」、「日時情報」及び「接続先情報」の項目の情報に加えて、「ID」の項目の情報を含むものとして説明を行う。また、図19及び図20に示す抽出情報については、図18で説明した抽出情報と同じ内容であるため、詳細な説明を省略する。
すなわち、図18から図20に示す抽出情報には、マルウェアが検出された管理対象端末2(第1管理対象端末)の存在が検知された場合に、同一マルウェアの検出確認を行うことができる最低限の情報のみが含まれている。そのため、図18から図20に示す抽出情報には、図15から図17に示す接続情報131にそれぞれ含まれる情報のうち、「レベル」及び「カテゴリ」の項目に対応する情報が含まれていない。さらに、図18から図20に示す抽出情報には、図15から図17に示す接続情報131にそれぞれ含まれる情報のうち、「カテゴリ」の項目の情報が「ログイン」である情報が含まれていない。
これにより、管理装置1は、接続情報131を長期間(例えば、半年以上)記憶しておく必要がある場合であっても、管理対象端末2から取得した接続情報131の全てを記憶する場合と比較して、情報格納領域130(記憶媒体104)の容量を抑えることが可能になる。また、管理装置1は、各管理対象端末2が接続した他の管理対象端末2を特定するために必要な情報のみを記憶しておくことにより、マルウェアが検出された管理対象端末2の存在を検知した場合に、接続情報131に基づく解析や新たな情報の集計等を行う必要がなくなる。そのため、管理装置1は、マルウェアが潜伏している管理対象端末2の特定を迅速に行うことが可能になる。
なお、例えば、接続情報管理部112は、管理者がマルウェアの検出確認を行うために必要な情報が「ユーザ情報」のみであると判断した場合、図15から図17に示す接続情報131に含まれる「ユーザ情報」に対応する情報のみを抽出するものであってもよい。そして、接続情報管理部112は、抽出した「ユーザ情報」に対応する情報のみを接続情報131として情報格納領域130に記憶するものであってもよい。
また、接続情報管理部112は、図18から図20で説明した管理対象端末2毎の抽出情報を集計した情報(以下、集計情報とも呼ぶ)を作成するものであってもよい。そして、この場合、接続情報管理部112は、集計情報のみを情報格納領域130に蓄積するものであってもよい。以下、集計情報の具体例を説明する。
図21は、集計情報の具体例を説明する図である。図21に示す集計情報は、図18から図20で説明した抽出情報が有する「ID」、「ユーザ情報」、「日時情報」及び「接続先情報」に加えて、各情報に対応する管理対象端末2を特定する情報である「管理対象端末」を項目として有する。
具体的に、図21に示す集計情報において、「管理対象端末」が「2a」である情報(「ID」が「1」から「3」である情報)は、図18で説明した抽出情報に含まれる情報と同じ情報が設定されている。そして、図21に示す集計情報において、「管理対象端末」が「2b」である情報(「ID」が「4」から「8」である情報)は、図19で説明した抽出情報に含まれる情報と同じ情報が設定されている。さらに、図21に示す集計情報において、「管理対象端末」が「2c」である情報(「ID」が「9」から「13」である情報)は、図20で説明した抽出情報に含まれる情報と同じ情報が設定されている。
すなわち、接続情報管理部112は、この場合、集計情報を参照することで、集計情報に含まれる各情報が対応する管理対象端末2を特定することが可能になる。これにより、接続情報管理部112は、図18から図20で説明した抽出情報のように、複数の情報を情報格納領域130において管理する必要がなくなる。
[検出確認を行う管理対象端末を特定する際の処理]
一方、管理装置1の端末特定部113は、図12に示すように、マルウェアが検出された管理対象端末2(第1管理対象端末)の存在を検知するまで待機する(S31のNO)。
そして、マルウェアが検出された管理対象端末2の存在を検知した場合(S31のYES)、管理装置1の端末特定部113は、第1管理対象端末のうちの所定割合(以下、第1閾値とも呼ぶ)以上の管理対象端末2と対応して情報格納領域130に蓄積されたユーザ情報(第1ユーザ情報)を抽出する(S32)。
すなわち、同一のマルウェアによって感染した第1管理端末装置が複数存在する場合、各第1管理端末装置は、同一のユーザ情報によってファイル転送等の動作を行う可能性が高いことが明らかになっている場合がある。このような場合において、端末特定部113は、第1管理対象端末のうちの第1閾値以上の管理対象端末2によって使用された第1ユーザ情報を抽出する。これにより、端末特定部113は、第1管理対象端末が動作する際に使用された可能性が高いユーザ情報(第1ユーザ情報)を特定することが可能になる。以下、図13を参照しながらS32の処理の具体例について説明する。
[S32の処理の具体例]
端末特定部113は、図13に示すように、例えば、情報格納領域130に記憶された接続情報131(図18から図20で説明した抽出情報、または、図21で説明した集計情報)を参照する。そして、端末特定部113は、抽出情報または集計情報に含まれるユーザ情報をそれぞれ抽出する(S41)。
具体的に、端末特定部113は、例えば、図18に示す情報に含まれる「ユーザ情報」である「User#1」及び「User#7」を抽出する。また、端末特定部113は、例えば、図19に示す情報に含まれる「ユーザ情報」である「User#4」及び「User#7」を抽出する。さらに、端末特定部113は、例えば、図20に示す情報に含まれる「ユーザ情報」である「User#2」、「User#3」及び「User#7」を抽出する。
そして、端末特定部113は、例えば、S41で抽出したユーザ情報に基づいて管理表を作成する(S42)。以下、管理表の具体例について説明する。
図22は、管理表の具体例を説明する図である。端末特定部113は、図22に示すように、例えば、S41で抽出したユーザ情報より、「管理対象端末2a」と、「User#1」及び「User#7」とが対応する欄、及び「管理対象端末2b」と「User#4」及び「User#7」とが対応する欄に「〇」を設定する。また、端末特定部113は、例えば、S41で抽出したユーザ情報より、「管理対象端末2c」と、「User#2」、「User#3」及び「User#7」とが対応する欄に「〇」を設定する。
その後、端末特定部113は、S42で作成した管理表を参照し、S41で抽出したユーザ情報毎に、管理対象端末2a、2b及び2cのうち、各ユーザ情報を用いていた管理対象端末2の割合を算出する(S43)。
具体的に、図22で示す例において、「User#7」は、第1管理対象端末に含まれる全ての管理対象端末2によって用いられている。そのため、端末特定部113は、「User#7」を用いている第1管理対象端末の割合として、「100%」を算出する。同様に、図22に示す例において、「User#2」、「User#3」及び「User#4」は、第1管理対象端末のうち、それぞれ1台のみの管理対象端末によって用いられている。そのため、端末特定部113は、「User#2」、「User#3」及び「User#4」のそれぞれを用いている第1管理対象端末の割合として、「33%」(有効数字2桁)を算出する。
そして、端末特定部113は、S43で算出した割合のうち、第1閾値を超える割合に対応するユーザ情報を第1ユーザ情報として情報格納領域130から抽出する(S44)。
具体的に、例えば、第1閾値が「60%」である場合、端末特定部113は、第1ユーザ情報として、S43で算出した割合が「100%」である「User#7」を抽出する。すなわち、端末特定部113は、S32の処理を行うことにより、マルウェアによって用いられていた可能性があるユーザ情報が「User#7」であると特定する。
なお、接続情報管理部112は、図15から図17に示す接続情報131に含まれる「ユーザ情報」、「日時情報」及び「接続先情報」に対応する情報の全てを抽出することにより、抽出情報を作成するものであってもよい(S41)。以下、この場合に作成される抽出情報について説明する。
図23から図25は、接続情報管理部112が接続情報131から抽出した抽出情報の具体例を説明する図である。具体的に、接続情報管理部112は、図23から図25に示すように、S23において、「カテゴリ」の項目の情報が「ファイル転送」または「ファイル共有」である情報のみでなく、「カテゴリ」の項目の情報が「ログイン」である情報を含めて抽出情報の作成を行う。これにより、接続情報管理部112は、マルウェアが他の管理対象端末2に対して接続を行わず、ログインのみを行うという動きをする場合も含めて、抽出情報の作成を行うことが可能になる。図23から図25の抽出情報の詳細な情報については説明を省略する。
また、この場合、接続情報管理部112は、図23から図25の抽出情報に基づいて集計情報を作成するものであってよい。以下、この場合に作成される集計情報について説明する。
図26は、集計情報の具体例を説明する図である。具体的に、接続情報管理部112は、この場合、図18から図20で説明した抽出情報に代えて、図23から図25で説明した抽出情報に基づいて集計情報の作成を行う、これにより、接続情報管理部112は、マルウェアが他の管理対象端末2に対して接続を行わず、ログインのみを行うという動きをする場合も含めて、集計情報の作成を行うことが可能になる。図26の集計情報の詳細な情報については説明を省略する。
さらに、端末特定部113は、図23から図25で説明した抽出情報、または、図26で説明した集計情報に基づくことにより、第1管理対象端末でログインのみを行ったユーザ情報を含める形で管理表を作成するものであってもよい(S42)。以下、この場合に作成される管理表について説明を行う。
図27は、管理表の具体例を説明する図である。具体的に、端末特定部113は、例えば、「管理対象端末2a」と、「User#1」、「User#5」、「User#6」及び「User#7」とが対応する欄に「〇」を設定する。また、端末特定部113は、例えば、「管理対象端末2b」と、「User#1」、「User#4」及び「User#7」とが対応する欄に「〇」を設定する。さらに、端末特定部113は、例えば、「管理対象端末2c」と、「User#2」、「User#3」及び「User#7」とが対応する欄に「〇」を設定する。
そのため、端末特定部113は、この場合、第1管理対象端末のうち、User#1を用いていた管理対象端末の割合として、「67%」(有効数字2桁)を算出する。すなわち、端末特定部113は、この場合、第1ユーザ情報として、「User#7」だけでなく「User#1」を抽出する。そして、端末特定部113は、マルウェアによって用いられていた可能性があるユーザ情報が「User#1」及び「User#7」であると特定する。
これにより、管理装置1は、マルウェアが他の管理対象端末2に対して接続を行わず、ログインのみを行うという動きをする場合も含めて、第1ユーザ情報の抽出を行うことが可能になる。
図12に戻り、権限管理部114は、全ての管理対象端末2に対し、第1ユーザ情報による他の管理対象端末2への接続を禁止する(S33)。
すなわち、第1管理対象端末においてマルウェアを検出した場合において、そのマルウェアは、他の管理対象端末2に対する感染を継続している可能性がある。そのため、権限管理部114は、マルウェアによって用いられた可能性のあるユーザ情報の使用を禁止する。これにより、管理装置1は、マルウェアによる更なる活動(感染の拡大)を抑制することが可能になる。
そして、端末特定部113は、第1管理対象端末のいずれかが、S32で抽出した第1ユーザ情報を用いて接続した他の管理対象端末2を、マルウェアの検出確認を行う管理対象端末2として特定する(S34)。以下、S34の具体例について説明する。
[S34の処理の具体例]
端末特定部113は、例えば、図18から図20で説明した抽出情報を参照する。そして、端末特定部113は、図18から図20の情報に含まれる抽出情報のうち、S32で抽出された第1ユーザ情報に対応する「接続先情報」によって特定される管理対象端末2を抽出する。以下、S32で抽出された第1ユーザ情報が「User#7」である場合について説明する。
具体的に、端末特定部113は、図18を参照し、「ユーザ情報」が「User#7」である情報に対応する「接続先情報」として、「管理対象端末2b」及び「管理対象端末2c」を抽出する。同様に、端末特定部113は、図19を参照し、「ユーザ情報」が「User#7」である情報に対応する「接続先情報」として、「管理対象端末2a」、「管理対象端末2d」、「管理対象端末2c」及び「管理対象端末2f」を抽出する。また、端末特定部113は、図20を参照し、「ユーザ情報」が「User#7」である情報に対応する「接続先情報」として、「管理対象端末2g」、「管理対象端末2a」及び「管理対象端末2h」を抽出する。
そして、端末特定部113は、既にマルウェアが検出されている管理対象端末2a、2b及び2cを除き、マルウェアが検出される可能性がある管理対象端末2として管理対象端末2d、2f、2g及び2hを特定する。
一方、端末特定部113は、図18から図20の抽出情報において、「ユーザ情報」が「User#7」である情報に対応する「接続先情報」に設定されていない管理対象端末2e及び2iについては、マルウェアが検出されない管理対象端末2であると判定する。これにより、端末特定部113は、マルウェアが検出される可能性がある管理対象端末2を特定することが可能になる。
図12に戻り、検出判定部115は、S34において特定した管理対象端末2が、第1管理対象端末で検出されたマルウェアが検出されるか否かを判定する(S35)。
具体的に、第1管理対象端末においてマルウェアが検出された場合、検出判定部115は、例えば、マルウェア情報133を参照する。そして、検出判定部115は、例えば、マルウェア情報133から、第1管理対象端末がマルウェアに感染した際に作成されたファイル(例えば、感染源の可能性があるファイル)のファイル名やファイルサイズ、フィンガープリントを取得する。
続いて、検出判定部115は、例えば、端末特定部113が特定した管理対象端末2に、第1管理対象端末がマルウェアに感染した際に作成されたファイルが存在するか否かを確認する。そして、端末特定部113が特定した管理対象端末2に同じファイルが存在する場合、検出判定部115は、端末特定部113が特定した管理対象端末2が、第1管理対象端末が感染しているマルウェアに感染している管理対象端末2であると判定する。
[S24の処理の詳細]
次に、図14を参照しながら、図11で説明したS24の処理の詳細を説明する。
接続情報管理部112は、図11で説明した場合と同様に、S23で抽出したユーザ情報を情報格納領域130に蓄積する(S51)。
続いて、接続情報管理部112は、接続情報131のうち、所定期間が経過した日時情報(以下、第1日時情報とも呼ぶ)が存在するか否かを判定する(S52)。所定期間は、例えば、3か月等である。そして、所定期間が経過した日時情報が存在する場合(S52のYES)、接続情報管理部112は、管理対象端末2が他の管理対象端末2に接続した日付や時間を特定する情報を情報格納領域130から消去する(S53)。
すなわち、情報格納領域130に記憶された日時情報のうち、所定期間を経過した情報に含まれる詳細情報については、端末特定部113がマルウェアの検出確認を行う管理対象端末2を特定する際に使用されない場合がある。そのため、接続情報管理部112は、例えば、所定期間を経過した日時情報については、日付及び時間を特定する情報を削除するものであってよい。そして、この場合、情報格納領域130には、図28に示すように、接続情報131に含まれる各情報が記憶された年と月を特定する情報のみが、日時情報として引き続き記憶される。これにより、接続情報管理部112は、接続情報131を記憶するために要する記憶媒体104の容量を、さらに抑えることが可能になる。
一方、所定期間が経過した日時情報が存在しない場合(S52のNO)、接続情報管理部112は、S53の処理を実行しない。
このように、第1の実施の形態によれば、管理装置1は、管理対象端末2が他の管理対象端末2と接続した際の接続情報131を取得して記憶部130に蓄積する。そして、管理装置1は、管理対象端末2に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、記憶部130に蓄積された第1管理対象端末の接続情報131に基づき、監視を行う必要がある監視対象端末2を特定する。
これにより、管理装置1は、マルウェアの活動の検出後、マルウェアが検出される可能性がある管理対象端末2の特定を短期間で行うことができる。
以上の実施の形態をまとめると、以下の付記のとおりである。
(付記1)
コンピュータが、
管理対象端末が他の管理対象端末と接続した接続情報を取得して記憶部に蓄積し、
前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する、
処理を実行することを特徴とする管理プログラム。
(付記2)
付記1において、
前記接続情報は、前記管理対象端末が他の管理対象端末と接続を行った場合に用いられたユーザ情報を含み、
前記監視対象端末を特定する処理では、前記記憶部に蓄積された前記ユーザ情報により、前記監視対象端末を特定する、
ことを特徴とする管理プログラム。
(付記3)
付記2において、
前記接続情報は、さらに、前記管理対象端末が他の管理対象端末と接続した日時情報と、前記管理対象端末が接続した他の管理対象端末のアドレス情報とを含む、
ことを特徴とする管理プログラム。
(付記4)
付記2において、
前記監視対象端末を特定する処理では、
前記記憶部に蓄積された前記ユーザ情報から、前記第1管理対象端末のうちの所定割合以上の第1管理対象端末と対応して前記記憶部に蓄積された第1ユーザ情報を抽出し、
前記第1管理対象端末のいずれかが前記第1ユーザ情報を用いて接続した他の管理対象端末を、前記監視対象端末として特定する、
ことを特徴とする管理プログラム。
(付記5)
付記4において、さらに、
前記第1ユーザ情報を抽出する処理の後、全ての前記管理対象端末に対し、前記第1ユーザ情報による他の管理対象端末への接続を禁止する、
処理をコンピュータに実行させることを特徴とする管理プログラム。
(付記6)
付記3において、さらに、
前記記憶部に記憶された前記日時情報に、所定期間が経過した第1日時情報が存在する場合、前記第1日時情報に含まれる情報のうち、前記管理対象端末のいずれかが他の管理対象端末と接続した日付及び時間を特定する情報を前記記憶部から消去する、
処理をコンピュータに実行させることを特徴とする管理プログラム。
(付記7)
付記1において、さらに、
前記監視対象端末を特定する処理の後、前記第1管理対象端末から検出されたマルウェアの情報により、前記第1管理対象端末から検出されたマルウェアが前記監視対象端末から検出されるか否かを判定する、
処理をコンピュータに実行させることを特徴とする管理プログラム。
(付記8)
管理対象端末が他の管理対象端末と接続した接続情報を取得して蓄積する記憶部と、
前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する端末特定部と、を有する、
ことを特徴とする管理装置。
(付記9)
付記8において、
前記接続情報は、前記管理対象端末が他の管理対象端末と接続を行った場合に用いられたユーザ情報を含み、
前記端末特定部は、前記記憶部に蓄積された前記ユーザ情報により、前記監視対象端末を特定する、
ことを特徴とする管理装置。
(付記10)
付記9において、
前記端末特定部は、
前記記憶部に蓄積された前記ユーザ情報から、前記第1管理対象端末のうちの所定割合の第1管理対象端末と対応して前記記憶部に蓄積された第1ユーザ情報を抽出し、
前記第1管理対象端末のいずれかが前記第1ユーザ情報を用いて接続した他の管理対象端末を、前記監視対象端末として特定する、
ことを特徴とする管理装置。
(付記11)
付記10において、さらに、
前記第1ユーザ情報を抽出する処理の後、全ての前記管理対象端末に対し、前記第1ユーザ情報による他の管理対象端末への接続を禁止する権限管理部を有する、
ことを特徴とする管理装置。
(付記12)
管理対象端末が他の管理対象端末と接続した接続情報を取得して記憶部に蓄積し、
前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する、
ことを特徴とする管理方法。
(付記13)
付記12において、
前記接続情報は、前記管理対象端末が他の管理対象端末と接続を行った場合に用いられたユーザ情報を含み、
前記監視対象端末を特定する工程では、前記記憶部に蓄積された前記ユーザ情報により、前記監視対象端末を特定する、
ことを特徴とする管理方法。
(付記14)
付記13において、
前記端末を特定する工程では、
前記記憶部に蓄積された前記ユーザ情報から、前記第1管理対象端末のうちの所定割合の第1管理対象端末と対応して前記記憶部に蓄積された第1ユーザ情報を抽出し、
前記第1管理対象端末のいずれかが前記第1ユーザ情報を用いて接続した他の管理対象端末を、前記監視対象端末として特定する、
ことを特徴とする管理方法。
(付記15)
付記14において、さらに、
前記ユーザ情報を抽出する工程の後、前記第1ユーザ情報を抽出する処理の後、全ての前記管理対象端末に対し、前記第1ユーザ情報による他の管理対象端末への接続を禁止する、
ことを特徴とする管理方法。
1:管理装置 2:管理対象端末
6:ファイアーウォール装置 11:外部端末
NW:ネットワーク

Claims (6)

  1. コンピュータが、
    管理対象端末が他の管理対象端末と接続した接続情報を取得して記憶部に蓄積し、
    前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する、
    処理を実行することを特徴とする管理プログラム。
  2. 請求項1において、
    前記接続情報は、前記管理対象端末が他の管理対象端末と接続を行った場合に用いられたユーザ情報を含み、
    前記監視対象端末を特定する処理では、前記記憶部に蓄積された前記ユーザ情報により、前記監視対象端末を特定する、
    ことを特徴とする管理プログラム。
  3. 請求項2において、
    前記監視対象端末を特定する処理では、
    前記記憶部に蓄積された前記ユーザ情報から、前記第1管理対象端末のうちの所定割合以上の第1管理対象端末と対応して前記記憶部に蓄積された第1ユーザ情報を抽出し、
    前記第1管理対象端末のいずれかが前記第1ユーザ情報を用いて接続した他の管理対象端末を、前記監視対象端末として特定する、
    ことを特徴とする管理プログラム。
  4. 請求項3において、さらに、
    前記第1ユーザ情報を抽出する処理の後、全ての前記管理対象端末に対し、前記第1ユーザ情報による他の管理対象端末への接続を禁止する、
    処理をコンピュータに実行させることを特徴とする管理プログラム。
  5. 管理対象端末が他の管理対象端末と接続した接続情報を取得して蓄積する記憶部と、
    前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する端末特定部と、を有する、
    ことを特徴とする管理装置。
  6. 管理対象端末が他の管理対象端末と接続した接続情報を取得して記憶部に蓄積し、
    前記管理対象端末に含まれる第1管理対象端末における、有害動作を行うマルウェアの検出に応じて、前記記憶部に蓄積された前記第1管理対象端末の接続情報に基づき、監視を行う必要がある監視対象端末を特定する、
    ことを特徴とする管理方法。
JP2015061887A 2015-03-25 2015-03-25 管理プログラム、管理装置及び管理方法 Pending JP2016181191A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015061887A JP2016181191A (ja) 2015-03-25 2015-03-25 管理プログラム、管理装置及び管理方法
US15/055,389 US20160285898A1 (en) 2015-03-25 2016-02-26 Management program, management apparatus, and management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015061887A JP2016181191A (ja) 2015-03-25 2015-03-25 管理プログラム、管理装置及び管理方法

Publications (1)

Publication Number Publication Date
JP2016181191A true JP2016181191A (ja) 2016-10-13

Family

ID=56974413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015061887A Pending JP2016181191A (ja) 2015-03-25 2015-03-25 管理プログラム、管理装置及び管理方法

Country Status (2)

Country Link
US (1) US20160285898A1 (ja)
JP (1) JP2016181191A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220155823A (ko) 2021-05-17 2022-11-24 주식회사 케이티 영상을 제공하는 장치, 방법 및 미디어 재생 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109831415B (zh) * 2018-12-27 2021-12-21 北京奇艺世纪科技有限公司 一种对象处理方法、装置、系统及计算机可读存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004531812A (ja) * 2001-04-10 2004-10-14 インターナショナル・ビジネス・マシーンズ・コーポレーション おとりとして無差別システムを使用してネットワーク上の特定のコンピュータ・ウィルスを検出、通知、除去する方法および装置
JP2005056243A (ja) * 2003-08-06 2005-03-03 Seiko Epson Corp ワームの感染防止システム
JP2006330926A (ja) * 2005-05-24 2006-12-07 Mitsubishi Electric Corp ウィルス感染検知装置
JP2009176132A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
JP2010009187A (ja) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc 情報処理装置、情報処理システム、プログラム、および記録媒体
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ
WO2014087597A1 (ja) * 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020194490A1 (en) * 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
JP3999188B2 (ja) * 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
ATE361627T1 (de) * 2004-07-16 2007-05-15 Alcatel Lucent Verfahren zur sicherung der kommunikation in einer lokalnetz-vermittlungsstelle
WO2006043310A1 (ja) * 2004-10-19 2006-04-27 Fujitsu Limited 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム
US9467462B2 (en) * 2005-09-15 2016-10-11 Hewlett Packard Enterprise Development Lp Traffic anomaly analysis for the detection of aberrant network code
JP4777366B2 (ja) * 2006-02-08 2011-09-21 富士通株式会社 ワーム対策プログラム、ワーム対策装置、ワーム対策方法
JP2008172457A (ja) * 2007-01-10 2008-07-24 Fujitsu Ltd 端末特定プログラム、端末特定装置およびメールシステム
JP5050781B2 (ja) * 2007-10-30 2012-10-17 富士通株式会社 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US10290053B2 (en) * 2009-06-12 2019-05-14 Guardian Analytics, Inc. Fraud detection and analysis
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004531812A (ja) * 2001-04-10 2004-10-14 インターナショナル・ビジネス・マシーンズ・コーポレーション おとりとして無差別システムを使用してネットワーク上の特定のコンピュータ・ウィルスを検出、通知、除去する方法および装置
JP2005056243A (ja) * 2003-08-06 2005-03-03 Seiko Epson Corp ワームの感染防止システム
JP2006330926A (ja) * 2005-05-24 2006-12-07 Mitsubishi Electric Corp ウィルス感染検知装置
JP2009176132A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
JP2010009187A (ja) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc 情報処理装置、情報処理システム、プログラム、および記録媒体
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ
WO2014087597A1 (ja) * 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220155823A (ko) 2021-05-17 2022-11-24 주식회사 케이티 영상을 제공하는 장치, 방법 및 미디어 재생 장치

Also Published As

Publication number Publication date
US20160285898A1 (en) 2016-09-29

Similar Documents

Publication Publication Date Title
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US11165812B2 (en) Containment of security threats within a computing environment
JP6408395B2 (ja) ブラックリストの管理方法
EP3337106B1 (en) Identification system, identification device and identification method
CN104509034A (zh) 模式合并以识别恶意行为
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
JP6298680B2 (ja) セキュリティ対処支援システム
JP2018196054A (ja) 評価プログラム、評価方法および情報処理装置
JP2013152497A (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
JP2017167695A (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
JP2016181191A (ja) 管理プログラム、管理装置及び管理方法
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
US11509680B2 (en) Classification of cyber-alerts into security incidents
US20170085586A1 (en) Information processing device, communication history analysis method, and medium
KR20220086402A (ko) 클라우드 기반 통합 보안서비스 제공 시스템
US11503060B2 (en) Information processing apparatus, information processing system, security assessment method, and security assessment program
JP2017173940A (ja) セキュリティ対処サーバ及びシステム
WO2019180989A1 (ja) ヒアリングシステム、脅威対応システム、方法およびプログラム
JP2016157311A (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP6900328B2 (ja) 攻撃種別判定装置、攻撃種別判定方法、及びプログラム
CN114697057B (zh) 获取编排剧本信息的方法、装置及存储介质
JP6254401B2 (ja) 情報処理装置、情報処理方法、情報処理システム
JP6760884B2 (ja) 生成システム、生成方法及び生成プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181129

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190514