JP2019029939A - アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置 - Google Patents
アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置 Download PDFInfo
- Publication number
- JP2019029939A JP2019029939A JP2017150162A JP2017150162A JP2019029939A JP 2019029939 A JP2019029939 A JP 2019029939A JP 2017150162 A JP2017150162 A JP 2017150162A JP 2017150162 A JP2017150162 A JP 2017150162A JP 2019029939 A JP2019029939 A JP 2019029939A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- infected
- address
- infected terminal
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】感染端末を適切に隔離する。【解決手段】DHCPサーバ10は、セキュリティ装置20によってマルウェアの感染が検知された感染端末70Aのアドレス情報を取得する。そして、DHCPサーバ10は、取得した感染端末70Aのアドレス情報を用いて、感染端末70Aに対してアドレス情報の変更を通知する。続いて、DHCPサーバ10は、アドレス情報の変更を通知した感染端末70Aに対して、新しいアドレス情報を払い出す。【選択図】図1
Description
本発明は、アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置に関する。
近年、ワーム型のマルウェアはネットワーク内で増殖するため、脅威となっている。このようなマルウェアはネットワーク内で増殖する為、迅速に検知および対処を行うことが重要になる。従来、マルウェアを検知する為に企業ネットワーク内にセキュリティ装置を配備し、マルウェアを検知している。
また、感染端末を検知した際には通信をすぐに遮断することが感染拡大を防止する為に重要となる。迅速に対処する手法として、感染端末が収容されているスイッチに対してログインし、遠隔で対象装置を切り離す手法がある。
企業ネットワークでは末端の端末を収容しているスイッチは設定機能を持たない安価なスイッチが使用されている事が多い。このため、集約スイッチ(設定機能を持つスイッチ)を通過する感染通信に対しては対処を行う事が出来るが、安価なスイッチに収容されている端末に対しては対処を行う事が出来ず、この集約スイッチ配下で継続して感染が行われるケースがある。
また、遠隔で端末通信を遮断する手法としてARP(Address Resolution Protocol)パケットを偽装する手法がある。具体的にはワーム遮断装置が感染端末へ偽装したARPパケットをユニキャストで送信することで、MACテーブルを書き換えて感染端末の通信を遮断する手法である。つまり、宛先MACアドレスを偽ったARPパケットを送信することで感染端末のARPテーブルを書き換え、感染端末から正常端末への通信をワーム遮断装置で引き込む事が出来る。
松谷健史、"ARPを利用したローカルエリアネットワークにおける不正接続の排除"、情報処理学会シンポジウム論文集 2004年12月1日、2004巻、15号、p.221-225
しかしながら、従来の技術では、感染端末を適切に隔離することが出来ない場合があるという課題があった。例えば、従来のARPパケットを偽装する手法は、ARPスプーフィングと同様の手法であり、攻撃にも利用されるため、セキュリティ対策としてスイッチがARPスプーフィングを禁止している場合が多く、使用できないケースがある。
上述した課題を解決し、目的を達成するために、本発明のアドレス変更方法は、サーバ装置によって実行されるアドレス変更方法であって、マルウェアの感染が検知された感染端末のアドレス情報を取得する取得工程と、前記取得工程によって取得された感染端末のアドレス情報を用いて、前記感染端末に対してアドレス情報の変更を通知する通知工程と、前記通知工程によってアドレス情報の変更を通知した感染端末に対して、新しいアドレス情報を払い出すアドレス払出工程とを含むことを特徴とする。
また、本発明のルート変更方法は、セキュリティ装置によって実行されるルート変更方法であって、マルウェアに感染した感染端末を検知する検知工程と、前記検知工程によって検知された感染端末のアドレス情報を用いて、前記感染端末と同一セグメントの正常端末を特定する特定工程と、前記特定工程によって特定された正常端末または前記感染端末に対して遠隔ログインし、前記正常端末と前記感染端末とが通信ができないようにスタティックルートを変更する変更工程とを含むことを特徴とする。
本発明によれば、感染端末を適切に隔離することができるという効果を奏する。
以下に、本願に係るアドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るアドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置が限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、DHCPサーバの構成、通信システムにおける全体の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、DHCPサーバの構成、通信システムにおける全体の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[通信システムの構成]
まず、図1を用いて、第一の実施の形態に係る通信システムについて説明する。図1は、第一の実施の形態に係る通信システムの構成の一例を示す図である。第一の実施の形態に係る通信システム1は、企業ネットワークに配置されたDHCPサーバ10、セキュリティ装置20、ルータ30、プロキシサーバ40、集約スイッチ50、複数のスイッチ60A〜60D、および複数の端末70A〜70Eを有する。企業ネットワークは、例えば企業内のLAN(Local Area Network)である。なお、本発明の対象となるネットワークは、企業ネットワークに限定されるものではない。
まず、図1を用いて、第一の実施の形態に係る通信システムについて説明する。図1は、第一の実施の形態に係る通信システムの構成の一例を示す図である。第一の実施の形態に係る通信システム1は、企業ネットワークに配置されたDHCPサーバ10、セキュリティ装置20、ルータ30、プロキシサーバ40、集約スイッチ50、複数のスイッチ60A〜60D、および複数の端末70A〜70Eを有する。企業ネットワークは、例えば企業内のLAN(Local Area Network)である。なお、本発明の対象となるネットワークは、企業ネットワークに限定されるものではない。
また、複数の端末70A〜70Eのうち、端末70Aは、マルウェアに感染している端末であり、適宜「感染端末」と記載する。また、端末70B〜70Eは、マルウェアに感染していない端末であり、適宜「正常端末」と記載する。なお、各スイッチ60A〜60Dおよび各端末70A〜70Eは、それぞれ同様の構成を有しており、特に区別なく説明する場合には、スイッチ60、端末70と記載する。また、図1に示す各装置の数は、あくまで一例であり、これに限られるものではない。
DHCPサーバ10は、端末70A〜70EにIPアドレス等の情報を発行するサーバ装置である。また、第一の実施の形態に係るDHCPサーバ10は、マルウェアの感染が検知された感染端末70AのIPアドレスを取得し、感染端末のIPアドレスを用いて、感染端末70Aに対してIPアドレスの変更を通知するためにForce renewを送信し、IPアドレスの変更を通知した感染端末70Aに対して、新しいIPアドレスを払い出す。
セキュリティ装置20は、マルウェアに感染した端末70を検知する装置である。セキュリティ装置20は、マルウェアに感染した感染端末70Aの送信元IPアドレスをDHCPサーバ10に通知する。
ルータ30は、端末70において送受信されるパケットを中継する中継装置である。また、ルータ30は、端末70のIPアドレスとMACアドレスとを対応付けて示した情報であるARPテーブルを有する。
プロキシサーバ40は、端末70のインターネット上のサーバ等へのWebアクセスを中継するサーバである。集約スイッチ50は、端末70の送受信パケットを中継する通信機器である。スイッチ60A〜60Dは、配下の端末70の送受信パケットを中継する通信機器である。なお、集約スイッチ50が、感染通信に対して対処ができるように、接続を許可する条件を設定することができる設定機能を有しており、スイッチ60が、集約スイッチ50に比して安価なスイッチであり、設定機能を有していないものとする。
複数の端末70A〜70Eは、企業ネットワークにおける部署Aネットワークに配置された、企業における従業員等が使用するPC(Personal Computer)等の端末である。また、図1の例では、端末70A〜70Cが、スイッチ60Bに収容されており、端末70Dがスイッチ60Cに収容されており、端末70Eがスイッチ60Dに収容されている。
[DHCPサーバの構成]
次に、図2を用いて、図1に示したDHCPサーバ10の構成を説明する。図2は、第一の実施の形態に係るDHCPサーバ10の構成を示すブロック図である。図2に示すように、このDHCPサーバ10は、送信部11、受信部12、記憶部13、および制御部14を有する。以下にこれらの各部の処理を説明する。
次に、図2を用いて、図1に示したDHCPサーバ10の構成を説明する。図2は、第一の実施の形態に係るDHCPサーバ10の構成を示すブロック図である。図2に示すように、このDHCPサーバ10は、送信部11、受信部12、記憶部13、および制御部14を有する。以下にこれらの各部の処理を説明する。
送信部11は、他の装置にデータを送信する。また、受信部12は、他の装置からデータを受信する。例えば、送信部11及び受信部12は、NIC(Network Interface Card)である。例えば、送信部11は、端末70に対してForce renewを送信する。また、例えば、受信部12は、セキュリティ装置20から感染端末のIPアドレスを受信する。
記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、制御部14で実行されるOSや各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部13は、感染端末アドレスデータ131およびARPテーブル132を記憶する。
記憶部13は、マルウェアに感染した端末70のIPアドレスを示す感染端末アドレスデータ131を記憶する。図3は、感染端末アドレスデータのデータ構成の一例を示す図である。図3に例示するように、感染端末アドレスデータ131では、マルウェアに感染した端末70を一意に識別する情報を示す「感染端末」と、感染端末のIPアドレスを示す「アドレス」とを対応付けて記憶されている。図3の例では、例えば、感染端末アドレスデータ131は、感染端末「端末A」と、アドレス「192.168.1.1」とが対応付けて記憶されている。
また、記憶部13は、ルータ30から受信したARPテーブル132を記憶する。図4は、ARPテーブルのデータ構成の一例を示す図である。図4に例示するように、ARPテーブル132では、各端末70のIPアドレスを示す「アドレス」と、各端末のインタフェースの通信規格を示す「インタフェース」を対応付けて記憶されている。図4の例では、例えば、ARPテーブル132は、アドレス「192.168.1.2」と、インタフェース「FastEthernet0」とが対応付けて記憶されている。
制御部14は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。制御部14は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部141、通知部142およびアドレス払出部143を有する。
取得部141は、マルウェアの感染が検知された感染端末のIPアドレスを取得する。例えば、取得部141は、マルウェアに感染した感染端末のIPアドレスと感染端末の識別情報とをセキュリティ装置20から取得し、取得したIPアドレスおよび識別情報を感染端末アドレスデータとして、記憶部13に格納する。
通知部142は、取得された感染端末のIPアドレスを用いて、感染端末に対してIPアドレスの変更を通知する。具体的には、通知部142は、感染端末のIPアドレスの再設定を指示するForce renewを通知する。Force renewは、DHCPサーバ10から端末70へのIPアドレスの再構成要求メッセージであり、DHCPサーバ10から端末70へIPアドレスの再設定を指示できるメッセージである。
アドレス払出部143は、IPアドレスの変更を通知した感染端末に対して、新しいIPアドレスを払い出す。具体的には、アドレス払出部143は、感染端末の新しいIPアドレスが他の正常端末のIPアドレスと別セグメントとなるように、新しいIPアドレスを払い出す。
そして、アドレス払出部143は、ルータ30のARPテーブルを更新するとともに、更新したARPテーブルを確認する確認信号をルータ30に送信する。その後、アドレス払出部143は、ARPテーブルをルータ30から受信すると、記憶部13に格納する。そして、アドレス払出部143は、自身が払い出したアドレスが正しく感染端末に反映され、ルータ30のARPテーブルから感染端末のIPアドレスが削除されたかを確認する。
ここで、図5および図6の例を用いて、第一の実施の形態に係るDHCPサーバ10におけるアドレス変更処理を説明する。図5および図6は、第一の実施の形態に係るDHCPサーバのアドレス変更処理を説明する図である。図5に例示するように、まず、セキュリティ装置20は、マルウェアに感染した感染端末70Aを検知すると、感染端末70Aの送信元IPアドレス「192.168.1.1」をDHCPサーバ10に通知する(図5の(1)参照)。そして、DHCPサーバ10は、感染端末70Aの送信元IPアドレス「192.168.1.1」を受信すると、感染端末70Aに対してアドレス変更のための、DHCP Forcerenewを送信する(図5の(2)参照)。
続いて、図6に例示するように、感染端末70Aは、DHCP Forcerenewを受信して端末のIPアドレスを「192.168.1.1」から「172.30.203.1」へ変更する(図6の(3)参照)。そして、DHCPサーバ10は、ルータ30のARPテーブルを更新するとともに、更新したARPテーブルを確認する確認信号をルータ30に送信する(図6の(4)参照)。
その後、DHCPサーバ10は、ARPテーブルをルータ30から受信すると、自身が新しく払い出したIPアドレスが正しく感染端末70Aに反映され、ルータ30のARPテーブルから感染端末70AのIPアドレスが削除されたかを確認する(図6の(5)参照)。つまり、DHCPサーバ10は、自身が払出したIPアドレスがルータ30のARPテーブルから消失することで、感染端末70Aに新しく払い出したIPアドレスが正しく反映されたことを確認する。図6の例では、DHCPサーバ10は、感染端末70AのIPアドレス「192.168.1.1」がARPテーブルから削除されたか否かを判定し、削除されていることを確認できた場合には、感染端末70Aに新しく払い出したIPアドレスが正しく反映されたものとして処理を終了する。
このように、第一の実施の形態に係るDHCPサーバ10では、セキュリティ装置20と連携して、強制的に感染端末70AのIPアドレスを変更することで、ARPスプーフィングを行うことなく、感染端末70Aの通信を遮断することが可能である。
[通信システムの処理の流れ]
次に、図7を用いて、第一の実施の形態に係る通信システム1の処理の流れを説明する。図7は、第一の実施の形態に係る通信システムによる処理を説明するシーケンス図である。
次に、図7を用いて、第一の実施の形態に係る通信システム1の処理の流れを説明する。図7は、第一の実施の形態に係る通信システムによる処理を説明するシーケンス図である。
図7に示すように、セキュリティ装置20は、マルウェアに感染した感染端末70Aを検知すると(ステップS101)、感染端末70Aの送信元IPアドレスをDHCPサーバ10に通知する(ステップS102)。
そして、DHCPサーバ10は、感染端末70Aの送信元IPアドレスを受信すると、感染端末70Aに対してアドレス変更のための、Force renewを送信する(ステップS103)。
感染端末70Aは、Force renewを受信すると、IPアドレスの取得要求であるDHCP RequestをDHCPサーバ10に送信する。そして、DHCPサーバ10は、感染端末70Aへの取得拒否(エラー)メッセージであるDHCP NACKを感染端末70Aに応答する。そして、感染端末70Aは、DHCPサーバ10の探索メッセージであるDHCP Discoverを送信する(ステップS106)。
そして、DHCPサーバ10は、DHCP Discoverを受信すると、その応答として、DHCP Offerを返信する(ステップS107)。そして、感染端末70Aは、DHCP Offerを受信すると、応答として、DHCP RequestをDHCPサーバ10に送信する。その後、DHCPサーバ10は、DHCP Requestの応答として、DHCP Ackを感染端末70Aに送信する。このように、ステップS103〜S109の一連の処理により、感染端末70Aへ新しいIPアドレスが払い出される。
そして、感染端末70Aは、IPアドレスの変更を行う(ステップS110)。また、DHCPサーバ10は、ルータ30のARPテーブルを更新するとともに、更新したARPテーブルを確認する確認信号をルータ30に送信する(ステップS111)。
その後、DHCPサーバ10は、ARPテーブルをルータ30から受信すると、感染端末70AのIPアドレス「192.168.1.1」がARPテーブルから削除されたか否かを判定し、削除されていることを確認できた場合には、感染端末70Aに新しく払い出したIPアドレスが正しく反映されたものとして処理を終了する(ステップS112)。
[第一の実施の形態の効果]
このように、第一の実施の形態に係るDHCPサーバ10は、マルウェアの感染が検知された感染端末のアドレス情報を取得し、感染端末のアドレス情報を用いて、感染端末に対してアドレス情報の変更を通知し、アドレス情報の変更を通知した感染端末に対して、新しいアドレス情報を払い出す。このように、DHCPサーバ10は、強制的にアドレスを変更することで感染端末を適切に隔離することが可能である。
このように、第一の実施の形態に係るDHCPサーバ10は、マルウェアの感染が検知された感染端末のアドレス情報を取得し、感染端末のアドレス情報を用いて、感染端末に対してアドレス情報の変更を通知し、アドレス情報の変更を通知した感染端末に対して、新しいアドレス情報を払い出す。このように、DHCPサーバ10は、強制的にアドレスを変更することで感染端末を適切に隔離することが可能である。
[第二の実施の形態]
上述した第一の実施の形態では、強制的にアドレスを変更することで感染端末を隔離する場合を説明したが、これに限定されるものではない。例えば、端末70のルーティングを変更することで感染端末を隔離するようにしてもよい。
上述した第一の実施の形態では、強制的にアドレスを変更することで感染端末を隔離する場合を説明したが、これに限定されるものではない。例えば、端末70のルーティングを変更することで感染端末を隔離するようにしてもよい。
そこで、以下では、第二の実施の形態に係るセキュリティ装置20Aが、正常端末または感染端末に対して遠隔ログインし、正常端末と感染端末とが通信ができないようにスタティックルートを変更する場合について説明する。なお、第一の実施の形態に係る通信システムと同様の構成や処理については説明を適宜省略する。
図8は、第二の実施の形態に係るセキュリティ装置の構成を示すブロック図である。図8に示すように、第二の実施の形態に係るセキュリティ装置20Aは、送信部21、受信部22、記憶部23、および制御部24を有する。以下にこれらの各部の処理を説明する。
送信部21は、他の装置にデータを送信する。また、受信部22は、他の装置からデータを受信する。例えば、送信部21および受信部22は、NICである。記憶部23は、HDD、SSD、光ディスク等の記憶装置である。また、記憶部23は、感染端末アドレスデータ231を記憶する。
制御部24は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。制御部24は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、検知部241、特定部242および変更部243を有する。
検知部241は、マルウェアに感染した感染端末を検知する。マルウェアの感染が検知された感染端末のIPアドレスを取得する。具体的には、検知部241は、マルウェアに感染した感染端末を検知し、検知した感染端末のIPアドレスおよび感染端末の識別情報を感染端末アドレスデータとして、記憶部23に格納する。
特定部242は、検知部241によって検知された感染端末のIPアドレスを用いて、感染端末と同一セグメントの正常端末を特定する。なお、DHCPサーバ10は、各端末70のIPアドレスをDB(Data Base)に管理している(図示略)。セキュリティ装置20Aは、DHCPサーバ10AのDBを確認することで同一セグメントの端末70を把握できるものとする。
変更部243は、特定部242によって特定された正常端末または感染端末に対して遠隔ログインし、正常端末と感染端末とが通信ができないようにスタティックルートを変更する。例えば、変更部243は、特定部242によって特定された正常端末または感染端末に対してTelnetを用いて遠隔ログインする。
ここで、変更部243は、正常端末または感染端末のいずれかに対して遠隔ログインし、正常端末と感染端末とが通信ができないようにスタティックルートを変更すればよい。なお、変更部243は、正常端末および感染端末のどちらに対して遠隔ログインを行うかは、例えば、ユーザの設定により選べるようにしてもよいし、初期設定の段階でどちらを遠隔ログインするかが予め決まっていてもよい。以下の説明では、正常端末に対して遠隔ログインを行う場合と、感染端末に対して遠隔ログインを行う場合とについて、それぞれ説明する。
ここで、図9および図10の例を用いて、第二の実施の形態に係るセキュリティ装置20Aにおけるルート変更処理を説明する。図9および図10は、第二の実施の形態に係るセキュリティ装置のルート変更処理を説明する図である。図9が、正常端末に対して遠隔ログインを行う場合の例を示す図であり、図10が、異常端末に対して遠隔ログインを行う場合の例を示す図である。
図9に例示するように、まず、セキュリティ装置20Aは、マルウェアに感染した感染端末70Aを検知すると(図9の(1)参照)、感染端末70Aと同一セグメントの正常端末70B、70CのIPアドレスをDHCPサーバ10AのDBから確認する(図9の(2)参照)。
続いて、セキュリティ装置20Aは、同一セグメント内の正常端末70B、70Cへ遠隔ログインを実施する((図9の(3)参照)。例えば、セキュリティ装置20Aは、正常端末70B、70Cに対してTelnetを用いて遠隔ログインする。そして、セキュリティ装置20Aは、感染端末70AへのReplyを存在しないネットワークへ送信するようにスタティックルートを記述する((図9の(4)参照)。例えば、セキュリティ装置20Aは、Route addコマンドにより、存在しないネットワークのIPアドレス「172.30.203.1」をスタティックルートに記述し、存在しないネットワークを経由して感染端末70Aと通信を行うように設定する。つまり、セキュリティ装置20Aは、正常端末70B、70Cに対して感染端末70Aへの応答を返さないように強制的にスタティックルートを記述する。
また、図10に示すように、セキュリティ装置20Aは、マルウェアに感染した感染端末70Aを検知すると(図10の(1)参照)、感染端末70Aの送信元IPアドレス「192.168.1.1」をDHCPサーバ10Aに通知する(図10の(1)参照)。そして、セキュリティ装置20Aは、感染端末70AのIPアドレスへ遠隔ログインを実施する(図10の(2)参照)。例えば、DHCPサーバ10Aは、感染端末70Aに対してTelnetを用いて遠隔ログインする。
その後、セキュリティ装置20Aは、同一セグメントの正常端末70B、70CへのRequestを存在しないネットワークへ送信するようにスタティックルートを記述する((図10の(3)参照)。例えば、セキュリティ装置20Aは、Route addコマンドにより、存在しないネットワークのIPアドレス「172.30.203.1」をスタティックルートに記述し、存在しないネットワークを経由して正常端末70B、70Cと通信を行うように設定する。つまり、セキュリティ装置20Aは、感染端末70Aが同一セグメントの正常端末70B、70Cと通信を実施できないようにスタティックルートを記述する。
続いて、図11および図12を用いて、第二の実施の形態に係る通信システムによる処理を説明する。図11および図12は、第二の実施の形態に係る通信システムによる処理を説明するシーケンス図である。図11が、正常端末に対して遠隔ログインを行う場合の処理の流れを説明するシーケンス図であり、図12が、異常端末に対して遠隔ログインを行う場合の処理の流れを説明するシーケンス図である。
図11に示すように、セキュリティ装置20Aは、マルウェアに感染した感染端末を検知すると(ステップS201)、感染端末と同一セグメントの正常端末70B、70CのIPアドレスをDHCPサーバ10Aに確認する(ステップS202)。
そして、セキュリティ装置20Aは、同一セグメントの正常端末70B、70CのIPアドレスを確認すると、同一セグメント内の正常端末70Cへ遠隔ログインを実施し(ステップS203)、感染端末70AへのReplyを存在しないネットワークへ送信するようにスタティックルートを設定する(ステップS204)。さらに、セキュリティ装置20Aは、同一セグメント内の正常端末70Bへ遠隔ログインを実施し(ステップS205)、感染端末70AへのReplyを存在しないネットワークへ送信するようにスタティックルートを設定する(ステップS206)。
また、図12に示すように、セキュリティ装置20Aは、マルウェアに感染した感染端末を検知すると(ステップS301)、感染端末70Aに対して遠隔ログインを実施する(ステップS302)。そして、セキュリティ装置20Aは、同一セグメントの正常端末70B、70CへのRequestを存在しないネットワークへ送信するようにスタティックルートを設定する(ステップS303)。
[第二の実施の形態の効果]
このように、第二の実施の形態に係るセキュリティ装置20Aは、マルウェアに感染した感染端末を検知し、感染端末のIPアドレスを用いて、感染端末と同一セグメントの正常端末を特定し、正常端末または感染端末に対して遠隔ログインし、正常端末と感染端末とが通信ができないようにスタティックルートを変更する。このように、セキュリティ装置20Aは、正常端末または感染端末のルーティングを強制的に変更することで感染端末を適切に隔離することが可能である。
このように、第二の実施の形態に係るセキュリティ装置20Aは、マルウェアに感染した感染端末を検知し、感染端末のIPアドレスを用いて、感染端末と同一セグメントの正常端末を特定し、正常端末または感染端末に対して遠隔ログインし、正常端末と感染端末とが通信ができないようにスタティックルートを変更する。このように、セキュリティ装置20Aは、正常端末または感染端末のルーティングを強制的に変更することで感染端末を適切に隔離することが可能である。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図13は、アドレス変更プログラムまたはルート変更プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図13は、アドレス変更プログラムまたはルート変更プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、DHCPサーバ10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10、10A DHCPサーバ
11、21 送信部
12、22 受信部
13、23 記憶部
14、24 制御部
20、20A セキュリティ装置
30 ルータ
40 プロキシサーバ
50 集約スイッチ
60A〜60D スイッチ
70A〜70E 端末
131 感染端末アドレスデータ
132 ARPテーブル
141 取得部
142 通知部
143 アドレス払出部
241 検知部
242 特定部
243 変更部
11、21 送信部
12、22 受信部
13、23 記憶部
14、24 制御部
20、20A セキュリティ装置
30 ルータ
40 プロキシサーバ
50 集約スイッチ
60A〜60D スイッチ
70A〜70E 端末
131 感染端末アドレスデータ
132 ARPテーブル
141 取得部
142 通知部
143 アドレス払出部
241 検知部
242 特定部
243 変更部
Claims (7)
- サーバ装置によって実行されるアドレス変更方法であって、
マルウェアの感染が検知された感染端末のアドレス情報を取得する取得工程と、
前記取得工程によって取得された感染端末のアドレス情報を用いて、前記感染端末に対してアドレス情報の変更を通知する通知工程と、
前記通知工程によってアドレス情報の変更を通知した感染端末に対して、新しいアドレス情報を払い出すアドレス払出工程と
を含むことを特徴とするアドレス変更方法。 - 前記通知工程は、前記感染端末のIPアドレスの再設定を指示するForce renewを通知することを特徴とする請求項1に記載のアドレス変更方法。
- 前記アドレス払出工程は、前記感染端末の新しいIPアドレスが他の正常端末のIPアドレスと別セグメントとなるように、新しいアドレス情報を払い出すことを特徴とする請求項1に記載のアドレス変更方法。
- セキュリティ装置によって実行されるルート変更方法であって、
マルウェアに感染した感染端末を検知する検知工程と、
前記検知工程によって検知された感染端末のアドレス情報を用いて、前記感染端末と同一セグメントの正常端末を特定する特定工程と、
前記特定工程によって特定された正常端末または前記感染端末に対して遠隔ログインし、前記正常端末と前記感染端末とが通信ができないようにスタティックルートを変更する変更工程と
を含むことを特徴とするルート変更方法。 - 前記変更工程は、前記特定工程によって特定された前記正常端末または前記感染端末に対してTelnetを用いて遠隔ログインすることを特徴とする請求項4に記載のルート変更方法。
- マルウェアの感染が検知された感染端末のアドレス情報を取得する取得部と、
前記取得部によって取得された感染端末のアドレス情報を用いて、前記感染端末に対してアドレス情報の変更を通知する通知部と、
前記通知部によってアドレス情報の変更を通知した感染端末に対して、新しいアドレス情報を払い出すアドレス払出部と
を有することを特徴とするサーバ装置。 - マルウェアに感染した感染端末を検知する検知部と、
前記検知部によって検知された感染端末のアドレス情報を用いて、前記感染端末と同一セグメントの正常端末を特定する特定部と、
前記特定部によって特定された正常端末または前記感染端末に対して遠隔ログインし、前記正常端末と前記感染端末とが通信ができないようにスタティックルートを変更する変更部と
を有することを特徴とするセキュリティ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017150162A JP2019029939A (ja) | 2017-08-02 | 2017-08-02 | アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017150162A JP2019029939A (ja) | 2017-08-02 | 2017-08-02 | アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2019029939A true JP2019029939A (ja) | 2019-02-21 |
Family
ID=65476744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017150162A Pending JP2019029939A (ja) | 2017-08-02 | 2017-08-02 | アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2019029939A (ja) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000357137A (ja) * | 1999-06-16 | 2000-12-26 | Nec Corp | ネットワークの排他制御方法 |
| JP2004289260A (ja) * | 2003-03-19 | 2004-10-14 | Nec Corp | 動的アドレス付与サーバを利用したクライアントの安全性検診システム |
| JP2005101894A (ja) * | 2003-09-25 | 2005-04-14 | Sharp Corp | ネットワークの管理装置、管理方法、管理プログラム、管理システム |
| JP2007266931A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 通信遮断装置、通信遮断プログラム |
| JP2010268145A (ja) * | 2009-05-13 | 2010-11-25 | Nec Corp | 通信装置及びアドレス配布方法 |
| JP2011199749A (ja) * | 2010-03-23 | 2011-10-06 | Nec Corp | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
| JP2013046176A (ja) * | 2011-08-23 | 2013-03-04 | Nippon Telegr & Teleph Corp <Ntt> | 通信システム、ルータ装置及びルータ切替方法 |
-
2017
- 2017-08-02 JP JP2017150162A patent/JP2019029939A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000357137A (ja) * | 1999-06-16 | 2000-12-26 | Nec Corp | ネットワークの排他制御方法 |
| JP2004289260A (ja) * | 2003-03-19 | 2004-10-14 | Nec Corp | 動的アドレス付与サーバを利用したクライアントの安全性検診システム |
| JP2005101894A (ja) * | 2003-09-25 | 2005-04-14 | Sharp Corp | ネットワークの管理装置、管理方法、管理プログラム、管理システム |
| JP2007266931A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 通信遮断装置、通信遮断プログラム |
| JP2010268145A (ja) * | 2009-05-13 | 2010-11-25 | Nec Corp | 通信装置及びアドレス配布方法 |
| JP2011199749A (ja) * | 2010-03-23 | 2011-10-06 | Nec Corp | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
| JP2013046176A (ja) * | 2011-08-23 | 2013-03-04 | Nippon Telegr & Teleph Corp <Ntt> | 通信システム、ルータ装置及びルータ切替方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US8250647B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US9118716B2 (en) | Computer system, controller and network monitoring method | |
| US7474655B2 (en) | Restricting communication service | |
| US9198118B2 (en) | Rogue wireless access point detection | |
| US20040047356A1 (en) | Network traffic monitoring | |
| US20100027551A1 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| US10375099B2 (en) | Network device spoofing detection for information security | |
| JP2008092465A (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
| JP6052692B1 (ja) | セキュリティ管理方法、プログラム、およびセキュリティ管理システム | |
| US10462141B2 (en) | Network device information validation for access control and information security | |
| US9686311B2 (en) | Interdicting undesired service | |
| US20200228491A1 (en) | System And Method For Remotely Filtering Network Traffic Of A Customer Premise Device | |
| US8112803B1 (en) | IPv6 malicious code blocking system and method | |
| US9591025B2 (en) | IP-free end-point management appliance | |
| US20110216770A1 (en) | Method and apparatus for routing network packets and related packet processing circuit | |
| JP2019029939A (ja) | アドレス変更方法、ルート変更方法、サーバ装置およびセキュリティ装置 | |
| US10015179B2 (en) | Interrogating malware | |
| US20210044568A1 (en) | Specifying system and specifying method | |
| WO2024116666A1 (ja) | 検知システム、検知方法、および、プログラム | |
| US20230269236A1 (en) | Automatic proxy system, automatic proxy method and non-transitory computer readable medium | |
| US20240114039A1 (en) | Detecting identity theft or identity change in managed systems | |
| KR102609368B1 (ko) | 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| CN115720174B (zh) | 黑名单例外的设置方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190625 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200525 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200707 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210105 |