JP2019075131A - ファイル・アクセス監視方法、プログラム、および、システム - Google Patents
ファイル・アクセス監視方法、プログラム、および、システム Download PDFInfo
- Publication number
- JP2019075131A JP2019075131A JP2018220425A JP2018220425A JP2019075131A JP 2019075131 A JP2019075131 A JP 2019075131A JP 2018220425 A JP2018220425 A JP 2018220425A JP 2018220425 A JP2018220425 A JP 2018220425A JP 2019075131 A JP2019075131 A JP 2019075131A
- Authority
- JP
- Japan
- Prior art keywords
- file access
- ransomware
- file
- record
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
【課題】従来型のファイル・アクセス制御では防止できないランサムウェアによる被害を最小化することができるファイル・アクセス監視方法、プログラム及びシステムを提供する。【解決手段】ファイル・アクセス・ログを定期的に監視する。許可されたファイル・アクセスのレコードのうち、ランサムウェアが典型的に行なうファイル・アクセスの頻度が所定の閾値を超えた場合には、ランサムウェアによる攻撃の可能性があると判定し、対策を取る。対策には、ファイル・アクセス制御手段に指令を送り、ファイル・アクセスを遮断することが含まれる。【選択図】図4
Description
本願発明は、情報システムにおけるファイル・アクセスの監視、特に、ランサムウェアによる不正アクセスの監視の方法、プログラム、および、システムに関する。
ランサムウェアと呼ばれるタイプのマルウェア(悪意のソフトウェア)の被害が増加している。典型的ランサムウェアは、感染したコンピューター上、および、当該コンピューターからアクセス可能なファイル・サーバー上の多数のファイルを連続的に不正に暗号化して利用不可能とし、復号化のために必要な鍵の提供に対して、身代金(ransom)をビットコインなどの暗号通貨で支払うことを要求する。被害者は業務を継続するためにやむを得ず身代金を支払わざるを得なくなることも多い。
従来型のマルウェアと比較して、ランサムウェアの対策は困難な点が多い。特許文献1および特許文献2には、ファイルごとにアクセスが許可されたプログラム名やユーザー名等を保持したポリシー・ファイルとファイル・アクセス要求中のパラメーターとを比較してアクセスの可否を決定することで不正アクセスに対応する技術が開示されているが、ランサムウェアによるファイル・アクセスは、システム・レベルでは権限を持つユーザーによる不正ではない通常のファイル・アクセスに見えることから、当該技術、および、オペレーティング・システムに標準的に備えられているアクセス制御機能によるランサムウェア対策は困難である。
ランサムウェアは業務メールを偽装したメールの添付ファイルとして組織内に送り込まれることが多いため、ウィルス検知ソフトウェアで、ランサムウェアを含むメール添付ファイルを識別し、排除できることが望ましいが、現実的には、システム・ソフトウェアの脆弱性に対する修正プログラムが提供される前の攻撃(いわゆるゼロデイ攻撃)を目的としたランサムウェア、および、巧妙に偽装しているランサムウェアに対してはそのような対策が不可能であることが多い。また、ファイル・サーバー側にもウィルス検知ソフトウェアがインストールされていることも多いが、ネットワーク上のPCがランサムウェアに感染してファイル・サーバー内のファイルを暗号化する場合では、ファイル・サーバー内のファイルがマルウェアに感染するわけではなく、単にファイルが暗号化されるだけであるため、ファイル・サーバーのウィルス検知ソフトウェアによってその暗号化処理を防ぐことは不可能である。
ユーザー教育による対応にも限界がある。不審なメールの添付ファイルを開かないというルールが常識化しつつあるが、それでも一部のユーザーが不注意で添付ファイルを開いてしまうことがあるのが実情である。特に、近年、メールによるサイバー攻撃は巧妙化しており、実在の企業や実在の個人名を使用するなどによる実際の業務メールが巧妙に偽装されていることもある。さらには、標的型攻撃と呼ばれるサイバー攻撃手法により、特定の組織にターゲットを絞り、その組織が実際にやり取りしている相手先からのメールであるかのような偽装が行なわれることもある。このような場合には、ランサムウェアを含むメールの添付ファイルをユーザーが不用意に開いてしまうリスクを排除することはできない。
ファイアーウォールによる対策にも限界がある。情報を外部に送信するタイプのマルウェアであれば、アウトバウンド通信をファイアーウォールで検知し、ブロックすることができるが、通常、ランサムウェアは外部に情報を送ることはないので、ファイアーウォールによる検知も困難である。
従来型のマルウェア対策ソフトウェアやアクセス制御機能を補完し、より効果的なランサムウェア対策を行なうための技術が求められているが、今までにそのような技術は存在しておらず、ランサムウェアの被害が社会問題化していた。
ランサムウェアの効果的な対策となるファイル・アクセス監視方法、プログラム、および、システムを提供する。
本願発明は、コンピューターにより実行されるランサムウェア検知方法であって、
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法を提供することで上記課題を解決する。
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法を提供することで上記課題を解決する。
また、本願発明は、前記第三のステップは、前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントするステップと、前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定するステップとを含む含む段落0010に記載のランサムウェア検知方法を提供することで上記課題を解決する。
また、本願発明は、前記第三のステップは、所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なうステップをさらに含む段落0010、または、段落0011に記載のランサムウェア検知方法を提供することで上記課題を解決する。
また、本願発明は、前記第四のステップは、ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信するステップを含む段落0010、段落0011、または、段落0012に記載のランサムウェア検知方法を提供することで上記課題を解決する。
また、本願発明は、所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一の命令群と、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二の命令群と、前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三の命令群と、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四の命令群とを含むランサムウェア検知プログラムを提供することで上記課題を解決する。
また、本願発明は、前記第三の命令群は、前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントする命令群と、前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定する命令群とを含む段落0014に記載のランサムウェア検知方法を提供することで上記課題を解決する。
また、本願発明は、前記第三の命令群は、所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう命令群を含む段落0014、または、段落0015に記載のランサムウェア検知プログラムを提供することで上記課題を解決する。
また、本願発明は、前記第四の命令群は、ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する命令群を含む段落0014、段落0015、または、段落0016に記載のランサムウェア検知プログラムを提供することで上記課題を解決する。
また、本願発明は、ファイル・アクセス制御手段とファイル・アクセス・ログ保存手段とを備えた情報システムと共に使用される、ファイル・アクセス・ログ監視手段と不正ファイル・アクセス・パターン保存手段とを備えたランサムウェア検知システムであって、
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システムを提供することで上記課題を解決する。
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システムを提供することで上記課題を解決する。
また、本願発明は、前記予め保存された条件は監視対象ファイル・アクセス種別とその所定期間内の件数の閾値であり、前記ファイル・アクセス・ログ監視手段は、前記許可されたファイル・アクセスのレコード中の前記監視対象ファイル・アクセス種別を含むレコードの件数が前記閾値を越えた場合に、ランサムウェアによる攻撃があると判定する段落0018に記載のランサムウェア検知システムを提供することで上記課題を解決する。
また、本願発明は、前記ファイル・アクセス・ログ監視手段は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう段落0018、または、段落0019に記載のランサムウェア検知システムを提供することで上記課題を解決する。
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう段落0018、または、段落0019に記載のランサムウェア検知システムを提供することで上記課題を解決する。
また、本願発明は、前記ファイル・アクセス・ログ監視手段は、さらに、ランサムウェアによる攻撃があると判定された場合に、前記ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する段落0018、段落0019、または、段落0020に記載のランサムウェア検知システムを提供することで上記課題を解決する。
ランサムウェアの効果的な対策となるファイル・アクセス監視方法、プログラム、および、システムが提供される。
以下に図を参照しながら本願発明の実施例について説明する。
図1に本願発明に係るランサムウェア監視システムの実施例を含むシステムの全体図を示す。インターネット(101)は組織外のネットワークであり、社内ネットワーク(102)とファイアーウォール(103)経由で接続されている。ユーザー端末(104)は、組織内外のデータにアクセスし、業務処理を行なうためのコンピューター群であり、典型的にはパーソナル・コンピューター、タブレット端末、スマートフォン等である。ファイル・サーバー(105)は業務上必要とされるデータを保存するための手段であり、サーバー・コンピューター、ストレージ機器、および、関連するコンピューター・プログラムで実現されていてよい。ファイル・アクセス・ログ(106)は、ファイル・サーバー(105)上のファイルのアクセスの履歴を取得し、保存するための手段であり、サーバー・コンピューター、ストレージ機器、および、関連するコンピューター・プログラムで実現されていてよい。ファイル・アクセス・ログ(106)は物理的にはファイル・サーバー(105)の一機能であっても独立したサーバー機器であってもよい。ファイル・アクセス・ログ(106)はランサムウェア対策専用ではなく、一般的な監査や性能管理等を目的とするログの機能を兼用していてもよい。
ファイル・アクセス監視サーバー(107)は、ファイル・アクセス・ログ(106)の内容を定期的に読み出すことで、ファイル・サーバー(105)に対するファイル・アクセスを監視する手段であり、サーバー・コンピューター、および、関連するコンピューター・プログラムで実現されていてよい。不正アクセス・パターン・ファイル(108)は、ファイル・アクセス監視サーバー(107)が、ランサムウェア等による不正アクセスを判断する基準となるファイル・アクセスのパターンを保存する手段であり、ファイル・アクセス監視サーバー(107)からアクセス可能なストレージ装置で実現されていてよい。不正アクセス・ログ(109)は、ランサムウェアによる不正ファイル・アクセス、または、そのおそれがあるファイル・アクセスの履歴を保存するための手段であり、ファイル・アクセス監視サーバー(107)からアクセス可能なストレージ装置で実現されていてよい。管理者端末(110)は、ランサムウェアが検知された場合、または、検知が疑われる場合の警告メッセージを表示する、および、システム管理者が不正アクセス・パターン・ファイル(108)の内容を変更する場合等に使用される端末機器であり、典型的にはパーソナル・コンピューター、タブレット端末、スマートフォン等である。管理者端末(110)は専用機器である必要はなく、システム管理者が所定のIDでユーザー端末(104)からログインすることで、管理者用画面を呼び出し、管理者端末(110)として機能させられる構成であってもよい。
ファイル・サーバー(105)、ファイル・アクセス・ログ(106)、ファイル・アクセス監視サーバー(107)、不正アクセス・パターン・ファイル(108)、および、不正アクセス・ログ(109)は組織内に存在するサーバー・コンピューター等の物理的装置で実現されていてもよいが、組織外にホスティングされて、ユーザー端末(103)および管理者端末(110)からアクセス可能に設定されている機器群で実現されてもよい。また、クラウド・サービス上で提供されている仮想サーバー等により実現されていてもよい。同様に、ユーザー端末(104)および管理者端末(110)も組織内に物理的に存在する必要はなく、VPN(仮想プライベートネットワーク)等を経由してファイル・サーバー(105)等にアクセス可能であって、物理的には組織外に存在する機器であってもよい。
一般に、ランサムウェアは電子メールの添付ファイルとしてインターネット(101)からファイアーウォール(103)と社内ネットワーク(102)を経由して、一つ以上のユーザー端末(104)に送られ、感染させ、不正なアクセスを実行する(USBメモリー等を介してユーザー端末(104)が直接感染させられることもある)。1台のユーザー端末(104)を踏み台にして組織内の他のユーザー端末(104)を感染させることもある。ランサムウェアがユーザー端末(104)に感染すると、典型的ケースではファイル・サーバー(105)上のファイルを網羅的に暗号化し、業務に使用できなくする。多数のファイルを暗号化した後に、感染したユーザー端末(104)にメッセージを表示し、ファイル復号鍵を提供する代償としてビットコインなどの暗号通貨による身代金支払いを要求することが多い。
ここで、ランサムウェアによるファイル・サーバー(105)上のファイルの暗号化のアクセスは、システム的な観点では、正規のユーザーによる正規のアクセスに見える。したがって、ランサムウェアの被害をシステム・ソフトウェアやファイル・サーバー等が提供するアクセス制御機能により防止することはできない。なお、本願明細書におけるランサムウェアとは必ずしも「ランサム」(身代金)を要求するマルウェアに限定されるものでなく、システムが提供するアクセス制御の観点では正常に見えるファイル・アクセス(たとえば、暗号化)によってファイルを使用不能とすることで、正常な業務の遂行を妨害するマルウェア一般を表すものとする(たとえば、身代金目的ではなくサボタージュ目的である場合も含むものとする)。
本願発明に係るランサムウェア監視方法は、従来のファイル・アクセス制御方式を置き換えるものではなく、従来のファイル・アクセス制御では防ぐことができなかったランサムウェア等による被害を最小化するための「最後の砦」として機能することを目的としている。
図2に本願発明に係るランサムウェア監視システムの実施例の構成要素の一部の機能概要を示す。ファイル・サーバー(105)は、ネットワーク接続機能(201)、ファイルI/O機能(202)、アクセス制御機能(203)、アクセス・ログ書き出し機能(204)を含んでいてよい。ネットワーク接続機能(201)は、典型的には社内ネットワーク(102)に接続するための機能である。ファイルI/O機能(202)はユーザー端末(104)からのアクセス要求にしたがってファイルの読み書き等を行なう機能である。アクセス制御機能(203)は、ファイルのアクセス要求を行ったユーザーのID等に基づいてファイル・アクセスの可否を決定する機能であり、外部からの指令に応じてファイル・アクセスを遮断する機能も備えていることが望ましい。アクセス・ログ書き出し機能(204)は、ファイル・アクセスの記録をファイル・アクセス・ログ(106)に書き出す機能である。
ファイル・アクセス監視サーバー(107)は、ネットワーク接続機能(205)、アクセス・ログ読み取り機能(206)、不正アクセス・パターン・ファイル保守機能(207)、ランサムウェア判定機能(208)、アラート送信機能(209)を含んでいてよい。ネットワーク接続機能(205)は、典型的には社内ネットワーク(102)に接続するための機能である。アクセス・ログ読み取り機能(206)は所定の間隔ごと、または、定常的にファイル・アクセス・ログ(106)を読み取る機能である。不正アクセス・パターン・ファイル保守機能(207)は、システム管理者が必要に応じて不正アクセス・パターン・ファイル(108)の内容を変更するための機能である。ランサムウェア判定機能(208)は読み取ったファイル・アクセス・ログ(106)の内容に基づいてシステムがランサムウェアに攻撃されているか否かを判定する手段である(判定の具体的方法については後述する)。アラート送信機能(209)は、ランサムウェアによる攻撃の可能性が高い場合に必要な対応を行なう機能である。
なお、ここで示した各機能の各構成要素への割り当ては一例であってシステムの設計事項として決定してよい。たとえば、一部の機能がユーザー端末(104)で稼働していてもよいし、組織外で稼働するクラウド等によって実現されていてもよい。
図3に本願発明に係るランサムウェア監視システムの実施例におけるファイル・アクセス・ログ(106)の内容の例を示す。タイムスタンプは、ファイルへのアクセス要求が実行された日付と時刻であり、アクセス要求の開始時間と完了時間の両方が保存されていてもよい。アクセス種別は、READ(読み取り)、WRITE(書き込み)、CREATE(ファイル作成)、RENAME(ファイル名変更)、DELETE(ファイル削除)等の、要求されたファイル・アクセスの種類である。パラメーターは、要求を行なったユーザーのID、要求元のPCのIPアドレスやID、データの先頭位置と長さ、作成・変更されるファイルの名称等のファイル・アクセス要求ごとの付加情報である。戻りコードは、ファイル・アクセス要求に対してファイル・サーバーから返される値であり、ファイル・アクセスの処理が成功したか否かなどの情報を表す。なお、ここで示したファイルの内容は一例であり、他の実現方法を使用してもよい。たとえば、一部の情報がユーザー端末(104)や組織外のクラウドに存在していてもよい。ファイル・アクセス・ログ(106)は、フラット・ファイルとして実現しても、DBMS(データベース管理システム)のような構造を有するデータ保存形式で実現しても、メモリー上の一時領域として実現してもよい。
図3に本願発明に係るランサムウェア監視システムの実施例における不正アクセス・パターン・ファイル(108)の内容の例を示す。不正アクセス・パターン・ファイル(108)には、ランサムウェア判定処理における監視対象となるファイル・アクセスの種別(以下、監視対象アクセス種別、または、アクセス種別と呼ぶ)を保管しておくことが好ましい。典型的監視対象アクセス種別はファイル全体を対象としたWRITE(書き込み)とRENAME(名称変更)であるが、これらをプログラム中にハードコードするのではなく不正アクセス・パターン・ファイル(108)中に保存しておき、システム管理者が変更可能にしておくことが望ましい。これにより、たとえば、新たな攻撃パターンのランサムウェアが将来的に登場した場合も効果的に対応可能である。合わせて、ランサムウェア判定の基準となる監視対象アクセス種別の頻度の閾値(たとえば、毎秒10回)を保存しておき、システム管理者が後で変更可能にしておくことが望ましい。
上記に加えて、不正アクセス・パターン・ファイル(108)には、ユーザーごとの標準的なファイル・アクセスのプロファイル(時刻、対象ディレクトリ等)を保存しておいてもよい。ランサムウェア攻撃の判定ロジックにおいてこのプロファイルから逸脱したファイル・アクセスが存在する場合には、ランサムウェア攻撃の存在を肯定する材料としてよい。代替の構成として、定常時にはあり得ないファイル・アクセスのプロファイルを保存する構成であってもよい。
図4に本願発明に係るランサムウェア監視プログラムの実施例のフローチャートを示す。ファイル・アクセス監視サーバー(107)のランサムウェア判定機能(208)に相当するランサムウェア監視プログラムは、一定間隔ごとまたは定常的にファイル・アクセス・ログ(106)からレコードを読み取る(S401)。そして、ファイル・アクセスが許可されたレコードのみを選択する(S402)。ファイル・アクセスが許可されたレコードが、ファイル・アクセス・ログ(106)に書き込まれず別のログに保存される実装である場合には、S402のステップを省略することが好ましい。そして、不正アクセス・パターン・ファイル(108)の内容と選択したレコードとを比較し、マッチする情報がないかを判断する(S403)。マッチする情報があった場合、すなわち、ランサムウェアの存在が疑われる場合には必要な対策を取る(S404)。この対策は、実際にランサムウェアによりファイルが不正アクセスされた後になるため、ランサムウェアによる被害を完全に防げるわけではない。しかし、監視の間隔を十分に短くすることで被害を最小化し、たとえば、バックアップまで含めてすべてのファイルが暗号化され、アクセスできなくなってしまうといった最悪の事態を避けることができる(近年のランサムウェアは一層巧妙化しておりファイルの復元のためのシステム情報を削除するものもある)。
以下に、上記のS403のランサムウェア判定処理について詳述する。ファイル・アクセス監視サーバー(107)上で稼働するプログラムは、一定時間内に一つのユーザー端末(104)から行なわれる監視対象アクセス種別の頻度が不正アクセス・パターン・ファイル(108)に事前に保存されている閾値(たとえば、毎秒10回)を越えた場合には、ランサムウェアが存在すると判定して、後述のランサムウェア対応処理を行なってよい。加えて、一つのユーザー端末(104)だけではなく、複数の端末からの監視対象ファイル操作を合計してランサムウェア存在判定の材料としてもよい。ランサムウェアが複数のユーザー端末(104)に感染して同時多発的に暗号化処理を行う可能性もあるからである。この場合において、ユーザー端末(104)ごとの閾値と、複数のユーザー端末(104)の合計の閾値を別に保存しておいてもよい。
ファイル・アクセス・ログ(106)に記録された(あるいは、その他のログに記録された)拒否されたファイル・アクセスの一定時間内の件数が事前に設定した閾値(たとえば、毎秒10操作)を越えた場合には、ランサムウェアの存在を判定する入力として使用してもよい。たとえば、通常ユーザー権限を取得したランサムウェアがシステム・ファイルの暗号化を連続的に試みて失敗に終わる場合もあるからである。ファイル・アクセス制御機能によるファイル・アクセスの拒否は本願発明の主眼ではないが、拒絶されたという情報はランサムウェア攻撃の判定に有効な情報として使用することができる。判定においては、特に、拒絶された監視対象アクセス種別(たとえば、書き込みや名称変更)をそれ以外のファイル操作(たとえば、読み取り)よりも重視することが好ましい。
組織内にインストール済のウィルス検知ソフトウェアやファイアーウォールがマルウェアを検知したときには、ランサムウェア攻撃の判定に有効な情報として使用してもよい。組織に対して複数のタイプのランサムウェア攻撃が同時に行われ、その一部は検知されたものの、他の一部が検知されずに活動を開始してしまう可能性もあるからである。また、一部のユーザーが適切なウィルス検知ソフトウェアを設定していなかったために、社内システムにランサムウェアが侵入してしまう可能性もあるからである。
不正アクセス・パターン・ファイル(108)に、ユーザーID、アクセス元の端末のID、アクセス元の端末のIPアドレス、アクセスの日時等のプロファイルを予め保存しておき、アクセス・ログの内容がそのプロファイルから大きく逸脱する場合にはランサムウェアの存在を判定する入力として使用してもよい。たとえば、システム管理者のユーザーIDを使用したユーザーが、ファイル・サーバーの保守作業のために多数のファイルを一括して名称変更する操作を行なうことは考えられるが、一般ユーザーIDを使用したユーザーがそのような操作を行なった場合には、ランサムウェアの存在が疑わしいものとして判断を行なってよい。
前述の諸条件、すなわち、(1)所定時間内の監視対象アクセス種別のファイル・アクセス件数、(2)所定時間内のファイル・アクセス操作拒否件数、(3)他のソフトウェア構成要素によるマルウェアの検知、(4)保存された標準的プロファイルと異なるファイル・アクセスの件数、および、その他の条件を組み合わせて、ランサムウェア攻撃判定の基準としてよい。なお、その場合でも、(1)を最も重要な基準として扱うことが好ましい。たとえば、各条件に重み付けをしてスコアリングを行ない、スコアが閾値を超えた場合にはランサムウェアによる攻撃を受けていると判定してよい。また、たとえば、所定期間内の監視対象アクセス種別のファイル・アクセス件数が第一の閾値(たとえば、毎秒10件)を超え、かつ、所定時間内のファイル・アクセス操作拒絶件数が第二の閾値(たとえば、毎秒5件)を超えた場合にランサムウェアによる攻撃を受けていると判定するなどの、所定のロジックを採用してもよい。さらに、上記入力を組み合わせてニューラル・ネットワークの入力として、機械学習によってランサムウェアによる攻撃の判断を行なえるように学習させてもよい。
以下に、図4のS404のランサムウェア対応処理について詳述する。ランサムウェアによる攻撃が疑われた場合には以下の項目の一つ以上の組み合わせを実行してよい。
(1)アクセス元のユーザー端末(104)からのファイル・アクセス遮断。これは、ファイル・サーバー(105)のアクセス制御機能(203)に指令を送ることで実現可能である。ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。この場合に、指令を受けたエージェント・ソフトウェアはユーザー端末(104)を社内ネットワーク(103)から切り離すことでファイル・アクセスを遮断してよい。
(2)アクセス元のユーザー端末(104)画面へのメッセージ表示。これは、ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。
(3)システム管理者の端末画面へのメッセージ表示。通常、システム管理者は、システムの状況を監視するための管理ソフトウェアを稼働しており、そのような管理ソフトウェアはコンソールにメッセージを表示するためのインターフェースを開放しているので、当該インターフェースを介してメッセージが表示可能である。
(4)システム管理者へのメール送付。
(5)オンラインになっているバックアップファイルの切り離し。
(6)不正アクセス・ログ(109)へのランサムウェア攻撃情報の保存。
(1)アクセス元のユーザー端末(104)からのファイル・アクセス遮断。これは、ファイル・サーバー(105)のアクセス制御機能(203)に指令を送ることで実現可能である。ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。この場合に、指令を受けたエージェント・ソフトウェアはユーザー端末(104)を社内ネットワーク(103)から切り離すことでファイル・アクセスを遮断してよい。
(2)アクセス元のユーザー端末(104)画面へのメッセージ表示。これは、ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。
(3)システム管理者の端末画面へのメッセージ表示。通常、システム管理者は、システムの状況を監視するための管理ソフトウェアを稼働しており、そのような管理ソフトウェアはコンソールにメッセージを表示するためのインターフェースを開放しているので、当該インターフェースを介してメッセージが表示可能である。
(4)システム管理者へのメール送付。
(5)オンラインになっているバックアップファイルの切り離し。
(6)不正アクセス・ログ(109)へのランサムウェア攻撃情報の保存。
図5に本願発明に係るランサムウェア監視プログラムの実施例の管理画面の例を示す。管理画面は管理者端末(110)に表示されることが望ましい。図5-aは、ランサムウェアによる攻撃を受けている際の監視ダッシュボードの画面例である。監視対象のファイル・サーバーにおいて現在発生中の攻撃の検知日時、攻撃の時間(連続カウント)、攻撃元のユーザーID(アカウントID)、攻撃元のPCのIPアドレスとID(接続元)が表示されている。この画面から当該PCからのファイル・アクセスを遮断する等の様々な対策処理が実行可能になっていることが望ましい。また、同画面から不正アクセス・ログ(109)に保存された過去の攻撃の履歴も参照可能になっていることが望ましい。
図5-bは、攻撃検知の設定を行なうためのポップアップ画面例である。この例では、ランサムウェアによる攻撃が検知された時の通知先(イベントに記録(不正アクセス・ログ(109)等への記録)、管理者への通知、任意のメールアドレス)、ランサムウェア検知処理(図4に示した処理)の実行間隔、および、監視対象ファイル・アクセスの閾値(この例では、あるユーザーから30分ごとに10,000回以上の書き込み操作があった場合にはランサムウェアによる攻撃と判断することが設定されている)が設定可能となっている。これ以外の情報が追加されていてもよい。
図6に、本願発明に係るランサムウェア監視システムをスタンドアローンPC上で実行した場合の構成例を示す。図1に示した構成は企業内で複数のPCと複数のサーバーが使用される場合の例であるが、本願発明は1台のPCから構成されるシステム上でも実行可能である。具体的には、個人が使用しているPC、あるいは、企業内で使用している場合であっても、1台のPC上で業務処理が完結するようなケースである。
パーソナル・コンピューター(601)は、業務処理を行なうコンピューター機器であり、タブレット端末やスマートフォンであってもよい。業務プログラム(602)は、たとえば、ワードプロセッサーなどであり、ユーザーの目的に合致した多様な処理を行なうプログラムである。業務ファイル(603)は、ユーザーが使用するデータを保存するファイルである。監視プログラム(604)は、図1で言えばファイル・アクセス・ログ(106)、ファイル・アクセス監視サーバー(107)、不正アクセス・パターン・ファイル(108)、および、不正アクセス・ログ(109)に相当する機能を実行する。監視プログラム(604)は、従来型のウィルス検知ソフトウェアの一機能として実行されてよい。監視プログラム(604)が一定間隔で、あるいは、定常的に図4に相当するランサムウェア検知処理を実行することは図1の実施例と同等である。ランサムウェアによる攻撃が検知された場合には、業務プログラム(602)による業務ファイル(603)のアクセスの遮断、および、ユーザーへのメッセージ表示を行なうことが望ましい。加えて、ネットワーク経由でシステム管理者にアラートを送信することが望ましい。
(本願発明による技術的に顕著な優位性)
本願発明は、従来型のファイル・アクセス制御では防ぐことができなかったランサムウェアの被害を最小限に食い止めることができる点で技術的に顕著な優位性を有する。
本願発明は、従来型のファイル・アクセス制御では防ぐことができなかったランサムウェアの被害を最小限に食い止めることができる点で技術的に顕著な優位性を有する。
Claims (12)
- コンピューターにより実行されるランサムウェア検知方法であって、
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、
前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法。 - 前記第三のステップは、
前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントするステップと、
前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定するステップとを含む
請求項1に記載のランサムウェア検知方法。 - 前記第三のステップは、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なうステップをさらに含む
請求項1、または、請求項2に記載のランサムウェア検知方法。 - 前記第四のステップは、
ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信するステップを含む
請求項1、請求項2、または、請求項3に記載のランサムウェア検知方法。 - 所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一の命令群と、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二の命令群と、
前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三の命令群と、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四の命令群とを含むランサムウェア検知プログラム。 - 前記第三の命令群は、
前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントする命令群と、
前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定する命令群とを含む
請求項5に記載のランサムウェア検知プログラム。 - 前記第三の命令群は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう命令群を含む
請求項5、または、請求項6に記載のランサムウェア検知プログラム。 - 前記第四の命令群は、
ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する命令群を含む
請求項5、請求項6、または、請求項7に記載のランサムウェア検知プログラム。 - ファイル・アクセス制御手段とファイル・アクセス・ログ保存手段とを備えた情報システムと共に使用される、ファイル・アクセス・ログ監視手段と不正ファイル・アクセス・パターン保存手段とを備えたランサムウェア検知システムであって、
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、
前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システム。 - 前記予め保存された条件は監視対象ファイル・アクセス種別とその所定期間内の件数の閾値であり、
前記ファイル・アクセス・ログ監視手段は、前記許可されたファイル・アクセスのレコード中の前記監視対象ファイル・アクセス種別を含むレコードの件数が前記閾値を越えた場合に、ランサムウェアによる攻撃があると判定する請求項9に記載のランサムウェア検知システム。 - 前記ファイル・アクセス・ログ監視手段は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう
請求項9、または、請求項10に記載のランサムウェア検知システム。 - 前記ファイル・アクセス・ログ監視手段は、さらに、
ランサムウェアによる攻撃があると判定された場合に、前記ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する
請求項9、請求項10、または、請求項11に記載のランサムウェア検知システム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017198080 | 2017-10-11 | ||
| JP2017198080 | 2017-10-11 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018556001A Division JP6442649B1 (ja) | 2017-10-11 | 2018-09-04 | ファイル・アクセス監視方法、プログラム、および、システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019075131A true JP2019075131A (ja) | 2019-05-16 |
| JP2019075131A5 JP2019075131A5 (ja) | 2021-10-14 |
| JP7123488B2 JP7123488B2 (ja) | 2022-08-23 |
Family
ID=66101552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018220425A Active JP7123488B2 (ja) | 2017-10-11 | 2018-11-26 | ファイル・アクセス監視方法、プログラム、および、システム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7123488B2 (ja) |
| WO (1) | WO2019073720A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111444503B (zh) * | 2020-03-25 | 2023-11-07 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
| CN111626860B (zh) * | 2020-07-24 | 2020-11-20 | 成都寻道数财科技有限公司 | 结合历史和实时财务数据判断高频交易的系统及方法 |
| CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
| US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
| US20160378988A1 (en) * | 2015-06-26 | 2016-12-29 | Quick Heal Technologies Private Limited | Anti-ransomware |
| JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
| JP2018128910A (ja) * | 2017-02-09 | 2018-08-16 | Sky株式会社 | アクセス監視システム |
-
2018
- 2018-09-04 WO PCT/JP2018/032766 patent/WO2019073720A1/ja active Application Filing
- 2018-11-26 JP JP2018220425A patent/JP7123488B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
| US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
| US20160378988A1 (en) * | 2015-06-26 | 2016-12-29 | Quick Heal Technologies Private Limited | Anti-ransomware |
| JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
| JP2018128910A (ja) * | 2017-02-09 | 2018-08-16 | Sky株式会社 | アクセス監視システム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019073720A1 (ja) | 2019-04-18 |
| JP7123488B2 (ja) | 2022-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766699B (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
| US9213836B2 (en) | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages | |
| US20030159070A1 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
| EP2345977B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
| US20040034794A1 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
| WO2001092981A2 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US9485271B1 (en) | Systems and methods for anomaly-based detection of compromised IT administration accounts | |
| KR20170024428A (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| JP6442649B1 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
| Belmabrouk | Cyber Criminals and Data Privacy Measures | |
| GB2404262A (en) | Protection for computers against malicious programs using a security system which performs automatic segregation of programs | |
| CN113239349B (zh) | 一种电力监控系统网络安全测试方法 | |
| Powers et al. | Whitelist malware defense for embedded control system devices | |
| Iordache | Database–Web Interface Vulnerabilities | |
| Egerton et al. | Applying zero trust security principles to defence mechanisms against data exfiltration attacks | |
| Ruha | Cybersecurity of computer networks | |
| Pill | 10 Database Attacks | |
| Waziri et al. | Data loss prevention and challenges faced in their deployments | |
| Victor et al. | Data loss prevention and challenges faced in their deployments | |
| Droppa et al. | Cyber security state in real environment | |
| Yazbek | Hackers and Their Companion Viruses Are An Increasing Problem, Especially on the Internet. What Are the Most Important Measurers for a Firm to Take to Protect Itself from This? Is Full Protection Feasible? Why or Why Not? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210902 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210902 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20210910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220809 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220809 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7123488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |