JP2021051481A - 制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システム - Google Patents
制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システム Download PDFInfo
- Publication number
- JP2021051481A JP2021051481A JP2019173362A JP2019173362A JP2021051481A JP 2021051481 A JP2021051481 A JP 2021051481A JP 2019173362 A JP2019173362 A JP 2019173362A JP 2019173362 A JP2019173362 A JP 2019173362A JP 2021051481 A JP2021051481 A JP 2021051481A
- Authority
- JP
- Japan
- Prior art keywords
- support
- address
- communication
- unauthorized
- fraudulent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 28
- 238000004891 communication Methods 0.000 claims abstract description 106
- 230000005540 biological transmission Effects 0.000 claims description 47
- 230000006870 function Effects 0.000 claims description 43
- 230000006399 behavior Effects 0.000 claims description 14
- 238000010187 selection method Methods 0.000 claims 2
- 238000001514 detection method Methods 0.000 description 16
- 230000010365 information processing Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 235000004642 Prosopis glandulosa Nutrition 0.000 description 3
- 240000001184 Prosopis glandulosa Species 0.000 description 3
- 238000012905 input function Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007616 round robin method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 不正装置からの攻撃に対する抑止力を備える制御装置を提供する。【解決手段】 本発明の制御装置は、少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積手段と、前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知手段とを備えることを特徴とする。これにより、上記不正装置からの攻撃に対する抑止力を発揮できる。【選択図】 図1
Description
本発明は、制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システムに関する。
近年、サービスの妨害や、営業秘密情報等を不正に取得することなどを目的とした、情報処理装置(情報処理システム)への不正アクセスが増加している。
上記のような不正アクセスへの防御手段として、例えば、特許文献1では、情報処理装置に対する不正アクセスを検出する検出部と、情報処理装置のモードを遷移させる制御部とを備えるシステムが開示されている。特許文献1において、コンピュータは、第1の仮想マシンおよび第2の仮想マシンを実行し、制御部は、正常に動作している場合において、第1の仮想マシンにより実現される情報処理装置を正常モードで動作させ、第2の仮想マシンにより実現される情報処理装置をスタンバイモードで動作させ、不正アクセスを検出した場合、第1の仮想マシンにより実現される情報処理装置をデコイモードに遷移させ、第2の仮想マシンにより実現される情報処理装置を正常モードに遷移させている。さらに、デコイモードに遷移した第1の仮想マシンは、ハニーポッドネットワークに接続される。
上記特許文献1のシステムでは、不正アクセスに対して、ハニーポッドネットワークへの隔離を行うことで防御する。
しかしながら、上記特許文献1のシステムでは、一旦は攻撃を防御できても、攻撃者は攻撃を再開したり、別のネットワークへの攻撃を継続することが可能である。つまり、不正アクセスによる攻撃を抑止することができない。
また、ハニーポッドネットワーク及びコンピュータの設備の保有及び運用の負担があり、不正サーバからの攻撃が大規模化した場合は、迅速に設備を拡張することが困難であり、また拡張したとしても更に負担が増大することになる。
そのため、不正装置からの攻撃に対する抑止力を備える制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システムが望まれている。
第1の本発明の制御装置は、(1)少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積手段と、(2)前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知手段とを備えることを特徴とする。
第2の本発明の支援装置は、制御装置の指令に基づいて、不正通信を行う不正装置に対抗するための支援を行う支援装置であって、(1)複数のアドレスから通信に使用するアドレスをランダムに選択するアドレス選択手段と、(2)前記不正装置のアドレスに向けて通信強制終了を示すコマンドを発信するリセット発信手段と、(3)前記不正装置のアドレスに向けて通信パケットを連続して発信して輻輳トラフィックを発生させる輻輳トラフィック発信手段と、(4)前記不正装置のアドレスに向けてプログラムの脆弱性に対応したコードを含んだ通信パケットを発信する脆弱性コード発信手段と、(5)前記不正装置のアドレスに向けて遠隔操作を可能にするためのプログラムを含む通信パケットを発信する遠隔操作プログラム発信手段とを備えることを特徴とする。
第3の本発明の制御プログラムは、制御装置に搭載されるコンピュータを、(1)少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積手段と、(2)前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知手段として機能させることを特徴とする。
第4の本発明の支援プログラムは、制御装置の指令に基づいて、不正通信を行う不正装置に対抗するための支援を行う支援装置に搭載されるコンピュータを、(1)複数のアドレスから通信に使用するアドレスをランダムに選択するアドレス選択手段と、(2)前記不正装置のアドレスに向けて通信強制終了を示すコマンドを発信するリセット発信手段と、(3)前記不正装置のアドレスに向けて通信パケットを連続して発信して輻輳トラフィックを発生させる輻輳トラフィック発信手段と、(4)前記不正装置のアドレスに向けてプログラムの脆弱性に対応したコードを含んだ通信パケットを発信する脆弱性コード発信手段と、(5)前記不正装置のアドレスに向けて遠隔操作を可能にするためのプログラムを含む通信パケットを発信する遠隔操作プログラム発信手段として機能させることを特徴とする。
第5の本発明は、制御装置の制御方法であって、前記制御装置は、(1)少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積ステップと、(2)前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知ステップとを備えることを特徴とする。
第6の本発明は、制御装置の指令に基づいて、不正通信を行う不正装置に対抗するための支援を行う支援装置の支援方法であって、前記支援装置は、(1)複数のアドレスから通信に使用するアドレスをランダムに選択するアドレス選択ステップと、(2)前記不正装置のアドレスに向けて通信強制終了を示すコマンドを発信するリセット発信ステップと、(3)前記不正装置のアドレスに向けて通信パケットを連続して発信して輻輳トラフィックを発生させる輻輳トラフィック発信ステップと、(4)前記不正装置のアドレスに向けてプログラムの脆弱性に対応したコードを含んだ通信パケットを発信する脆弱性コード発信ステップと、(5)前記不正装置のアドレスに向けて遠隔操作を可能にするためのプログラムを含む通信パケットを発信する遠隔操作プログラム発信ステップとを備えることを特徴とする。
第7の本発明は、制御装置と、複数の支援装置とを備える支援システムであって、前記制御装置には、第1の本発明の制御装置が適用され、前記各支援装置には第2の本発明の支援装置が適用されることを特徴とする。
本発明によれば、不正装置からの攻撃に対する抑止力を提供できる。
(A)主たる実施形態
以下、本発明による制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システムの一実施形態を、図面を参照しながら詳述する。
以下、本発明による制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システムの一実施形態を、図面を参照しながら詳述する。
(A−1)実施形態の構成
(A−1−1)全体構成
図1は、実施形態に係る不正サーバ検出及び対抗措置支援ネットワークシステムの構成例について示すブロック図である。不正サーバ検出及び対抗措置支援ネットワークシステム1では、IX(Internet eXchange)11、ASP(Application Service Provider)12、及びISP(Internet Service Provider)13(13−1〜13−3)、及びネットワーク20がインターネット10に接続されている。また、ISP13(13−1〜13−3)には支援サーバ14(14−1〜14−3)が各々接続されている。
(A−1−1)全体構成
図1は、実施形態に係る不正サーバ検出及び対抗措置支援ネットワークシステムの構成例について示すブロック図である。不正サーバ検出及び対抗措置支援ネットワークシステム1では、IX(Internet eXchange)11、ASP(Application Service Provider)12、及びISP(Internet Service Provider)13(13−1〜13−3)、及びネットワーク20がインターネット10に接続されている。また、ISP13(13−1〜13−3)には支援サーバ14(14−1〜14−3)が各々接続されている。
ISP13−1〜13−3は、インターネット10と、ローカルネットワークに配置される支援サーバ14−1〜14−3との間の通信を各々中継する中継装置である。
ネットワーク20に配置される不正サーバ100は、支援サーバ14内部への侵入を試みるアクセス権限を持たない装置である(図1では、不正通信Rを行う不正サーバ100−1〜100−Nが例示されている)。また、図1では、不正サーバ100は、ネットワーク20に配置されている例が示されているが、当該装置が配置される場所は限定されず、例えば、国内のネットワークでも、海外のネットワークでも良い。また、図1では、支援サーバ14への不正通信を行う装置として、サーバを例に挙げているが、不正通信を試みる装置であればサーバに限定されるものではない。
ASP12は、インターネット10上で不正通信を行う不正サーバ100の検出及び検出した不正サーバ100の攻撃を遮断、停止するための機能を提供する装置である。具体的に、ASP12は、不正サーバ100に対抗するための支援ネットワーク(不正サーバ100の検出及び検出した不正サーバ100への対抗措置を行う支援サーバ14のグループ)を形成し、各支援サーバ14に後述するデコイソフト30及び又は支援ソフト40を提供する。ASP12は、デコイソフト30を保持する各支援サーバ14から通知された不正サーバ100のIPアドレスを記憶・管理し、支援ソフト40を保持する各支援サーバ14に対して、不正サーバ100のIPアドレスの通知と、不正サーバ100のへの対抗措置の実施を指令(命令)する。
支援サーバ14は、ISP13を通じて、インターネット10にアクセス可能な情報処理装置であって、不正サーバ100に対抗するための支援ネットワークに参加し、ASP12からの指令(命令)に基づいて、デコイソフト30による不正サーバ100の検出、及び又は支援ソフト40による不正アクセスの発信元(不正サーバ100)への攻撃を行う(図1では、IPアドレス通知通信Iを行っている支援サーバ14−2、及び対抗措置通信A1、A2を行っている支援サーバ14−1、14−3が例示されている)。なお、この実施形態では、各支援サーバ14には、各ISP13から1又は2以上のグローバルIPアドレスが付与されているものとする。
また、支援サーバ14は、支援者となる企業や個人などが保有するコンピュータ装置であり、ラック搭載のサーバ装置に限らず、インターネット10にアクセスできればノートPC、スマートフォンのような情報処理装置でも良い。
(A−1−2)ASP12の詳細な構成
図1に示すように、ASP12は、対抗措置支援制御装置104、支援/デコイソフト配信装置105、不正サーバリストDB装置107、及び報酬支払装置106を備える。図1に示すASP12の各装置の機能は、ハードウェア及び又はソフトウェアとして構成して良い。
図1に示すように、ASP12は、対抗措置支援制御装置104、支援/デコイソフト配信装置105、不正サーバリストDB装置107、及び報酬支払装置106を備える。図1に示すASP12の各装置の機能は、ハードウェア及び又はソフトウェアとして構成して良い。
支援/デコイソフト配信装置105は、支援サーバ14から不正サーバ100に対抗するための支援ネットワークへの参加要求(不正サーバ100の検出支援、対抗措置支援)を受け付けると、支援サーバ14からの要求に応じて、デコイソフト30及び又は支援ソフト40を配信する。
なお、支援/デコイソフト配信装置105は、支援ネットワークへ参加中の各支援サーバ14の情報を管理するが、管理の仕方は限定されるものではなく、例えば、各支援サーバ14のIPアドレス、ユーザID、各支援サーバ14に配信したソフトウェアの情報、不正サーバ100のIPアドレスを通知したか否かの情報、不正サーバ100へ対抗措置を行ったか否かの情報、報酬を支払ったか否かの情報等の項目を備える表形式で管理しても良い。
対抗措置支援制御装置104は、不正サーバ100への対抗措置を実施する支援ソフトを備える支援サーバ14に対して、不正サーバ100(不正サーバ100−1〜100−Nのいずれか)のIPアドレスを通知し、対抗措置の実施を指令することで支援ソフト40を制御する。
ここで、対抗措置支援制御装置104が通知するIPアドレスの決定方法は限定されるものではなく、例えば、ラウンドロビン方式等、種々様々な手法を適用することができる。
不正サーバリストDB装置107は、デコイソフト30で取得した不正サーバ100のIPアドレスを蓄積するものである。蓄積する情報は、不正サーバ100のIPアドレスのIP情報に限らず、例えば、セッション情報も同時に蓄積しても良い。
報酬支払装置106は、IPアドレス通知を実施したデコイソフト30、及び対抗措置を実施した支援ソフトのユーザ(支援サーバ14)に対して、現金、暗号通貨、又は電子マネー等の報酬の支払処理を実施する。
(A−1−3)支援サーバ14の詳細な構成
支援サーバ14は、大別すると、図1に示すように、デコイソフト30及び又は支援ソフト40を備える。図1に示す支援サーバ14の各構成の機能は、ハードウェア及び又はソフトウェアとして構成して良い。
支援サーバ14は、大別すると、図1に示すように、デコイソフト30及び又は支援ソフト40を備える。図1に示す支援サーバ14の各構成の機能は、ハードウェア及び又はソフトウェアとして構成して良い。
図2は、実施形態に係るデコイソフトの機能的構成を示すブロック図である。
図2に示すように、デコイソフト30は、仮想化機能部31、デコイOS部32、デコイアプリケーション部33、通信挙動判定部34、及び不正サーバIPアドレス通知部35を備える。
仮想化機能部31は、支援サーバ14のハードウェア(後述するCPU51、メモリ52、通信IF部55等)をエミュレートし、デコイソフト30が必要とするメモリ空間を隔離する。仮想化機能部31は、デコイOS部32に対して、仮想CPU、仮想メモリ、仮想NICを具備し、ハードウェアの物理的なリソースを制御することで仮想マシンとしての機能を提供する。
デコイOS部32は、仮想マシン上で動作するOSであるが、TCP/IPで提供するWebサービスのポート番号である80番や443番だけでなく、通常は、セキュリティ上、閉じておくべきポート番号である、SSH(Secure Shell)の22番、Telnet(Teletype network)の23番、NETBIOS(Network Basic Input Output System)の139番、SMB(Server Message Block)の445番、リモートデスクトップの3389番などが開かれている。
デコイアプリケーション部33は、Web、Telnet、NETBIOS、SMB、リモートデスクトップなどの各種サービスの応答する機能を提供する。例えば、デコイアプリケーション部33は、予め任意のディレクトリに顧客リスト等のような機密情報を模した擬似的なデータ(おとり)を配置した上で応答する。
通信挙動判定部34は、デコイアプリケーション部33の通信を監視し、通信挙動が不正通信であれば、送信元のIPアドレスを取得する。例えば、通信挙動判定部34は、パターンマッチング等により、通信パケット内に脆弱性コードが確認されれば、不正通信であると判定しても良い。また、通信挙動判定部34は、上述の擬似的なデータへのアクセスがあった場合(例えば、所定時間内に複数回のアクセスがあった場合等)に、不正通信であると判定しても良い。
不正サーバIPアドレス通知部35は、通信挙動判定部34で取得したIPアドレスを不正サーバリストDB装置107に通知する。
図3は、実施形態に係る支援ソフトの機能的構成を示すブロック図である。
図3に示すように、支援ソフト40は、送信元IPアドレス選択機能部41、RST発信機能部42、輻輳トラフィック発信機能部43、脆弱性コード発信機能部44、及びRAT型プログラム発信機能部45を備える。
送信元IPアドレス選択機能部41は、RST(RESET)発信を除く対抗措置通信の送信元IPアドレスをランダムに選択するものである。例えば、送信元IPアドレス選択機能部41は、複数の選択可能なグローバルIPアドレスを保持している場合には、その内からランダムなIPアドレスを出力する所定の関数を利用しても良い。
RST発信機能部42は、TCPのRSTパケットを不正サーバ100に発信して不正通信を遮断する。
輻輳トラフィック発信機能部43は、TCPのSYNパケットやICMPパケットを連続して発信して輻輳トラフィックを発生させる。不正サーバ100のネットワークの回線やプロセッサの処理の負荷を上昇させて不正通信を抑制する。
脆弱性コード発信機能部44は、OS等の脆弱性に対応したコードを含んだパケットを発信することで、不正サーバ100をハングアップさせて処理を停止させる。
RAT型プログラム発信機能部45は、RAT(Remote Access Tool)型のプログラムを不正サーバ100に発信して、サーバ内でプロセスとして常駐させる。遠隔で不正サーバ100の処理やログの監視を行い、不正サーバ100の管理者や操作者を特定したり、不正通信の処理を終了させて停止させる。
(A−1−4)ハードウェアの詳細な構成
次に、支援サーバ14及びASP12の各装置のハードウェア構成の例について図4を用いて説明する。
次に、支援サーバ14及びASP12の各装置のハードウェア構成の例について図4を用いて説明する。
図4に示すように、支援サーバ14及びASP12の各装置は、CPU51、メモリ52、補助記憶部53、入力機能部54、通信IF部55、及び表示機能部56を有している。
CPU51は、プログラム(後述する補助記憶部53に記録されたOSやアプリケーションプログラム等)を実行するものである。
メモリ52は、CPU51がプログラムを実行する際に、当該プログラムや、当該プログラムを実行する過程で発生する各種データを一時的に保存するメモリである。
補助記憶部53は、CPU51が実行するプログラム(例えば、OSやアプリケーションプログラム等)や、各種設定データが記録される記憶部である。
入力機能部54は、ユーザが情報を入力することができるものであれば特に限定されないものであるが、例えば、キーボードやマウス等である。
通信IF部55は、インターネット10に接続するための通信インタフェース(NIC)である。
表示機能部56は、ユーザに対して情報を出力する装置であって、例えば、液晶ディスプレイ等である。
(A−2)実施形態の動作
次に、以上のような構成を有するこの実施形態に係る不正サーバ検出及び対抗措置支援ネットワークシステム1の動作を説明する。
次に、以上のような構成を有するこの実施形態に係る不正サーバ検出及び対抗措置支援ネットワークシステム1の動作を説明する。
図5は、実施形態に係る支援サーバが不正サーバ検出及び対抗措置支援ネットワークへ参加する手順を示すシーケンス図である。
まず、支援サーバ14は、支援/デコイソフト配信装置105に対して、不正サーバ検出及び又は対抗措置支援を実行するために、支援ネットワークへの参加要求(支援/デコイソフトのダウンロード要求)を行う(S101)。
支援/デコイソフト配信装置105は、参加要求のあった支援サーバ14の情報を記憶する(S102)。例えば、支援/デコイソフト配信装置105は、現在、不正サーバ検出及び対抗措置支援ネットワークへ参加している支援サーバ14を一元管理している表に参加要求のあった支援サーバ14の情報を新たに記憶する。
支援/デコイソフト配信装置105は、支援サーバ14が所望する支援に応じて、支援ソフト40及び又はデコイソフト30を配信する(S103)。
支援サーバ14は、ダウンロードしたデコイソフト30及び又は支援ソフト40を起動して、不正サーバ検出及び又は対抗措置支援処理を開始する(S104)。
図6は、実施形態に係る支援サーバへの支援ソフト及びデコイソフトの配信に関する通信(図5の具体例)を示す図である。図6の各構成は、図1と同一であるので、詳しい説明は省略する。
図6に示すように、対抗措置支援を所望する支援サーバ14−1は、支援/デコイソフト配信装置105にアクセスし、支援ソフト40をダウンロードする(ソフト配信通信T1)。また、不正サーバ検出支援を所望する支援サーバ14−2は、支援/デコイソフト配信装置105にアクセスし、デコイソフト30をダウンロードする(ソフト配信通信T2)。さらに、対抗措置支援及び不正サーバ検出支援を所望する支援サーバ14−3は、支援/デコイソフト配信装置105にアクセスし、デコイソフト30及び支援ソフト40をダウンロードする(ソフト配信通信T3)。
支援ソフト40は、支援サーバ14−1にて起動されると、対抗措置支援制御装置104にポーリング通信(ポーリング通信P1)を開始し、対抗措置支援制御装置104からの指令を待つ待機状態となる。一方、デコイソフト30は、支援サーバ14−2にて起動されると、インターネット10からの通信を受信して通信挙動を監視する状態となる。支援サーバ14−3でも上記同様に、支援ソフト40及びデコイソフト30が起動される。
図7は、実施形態に係る不正サーバ検出及び対抗措置支援ネットワークシステムの動作(不正サーバ検出支援処理及び対抗措置支援処理)を示すフローチャートである。
インターネット10上の不正サーバ100からの通信を受信したデコイソフト30は、デコイOS部32が受信したポート番号に従いデコイアプリケーション部33に通信を振り分ける(S201)。
通信を受信したデコイアプリケーション部33は、不正サーバ100への応答を行う(S202)。
通信挙動判定部34は、不正サーバ100との通信挙動を監視し、不正通信であれば、通信パケットから不正サーバ100のIPアドレスを取得して、不正サーバリストDB装置107に通知する(S204)。不正サーバリストDB装置107は、通知された不正サーバ100のIPアドレスを蓄積する。
報酬支払装置106は、IPアドレスを通知したデコイソフト30のユーザに対して報酬支払処理(図6のポーリング通信P2)を実施する(S205)。
対抗措置支援制御装置104は、不正サーバリストDB装置107から不正サーバ100のIPアドレスを取得して(S301)、待機している支援ソフト40からのポーリング通信に対して、不正サーバ100のIPアドレス及び対抗措置の指令を通知する(S302〜S304)。
ここで、対抗措置の指令は、支援ソフト40で実行される所定の対抗措置(RSTパケットを発信、輻輳トラフィック発信、脆弱性コード発信、及びRAT型プログラム発信の全部又は一部)である。また、対抗措置の指令には、支援ソフト40で、不正サーバ100に送信する対抗措置パケットの送信元IPアドレスをランダムに選択して設定するように、当該送信元IPアドレスが含まれていてもよい。
支援ソフト40は、不正サーバ100のIPアドレス及び対抗措置の指令を受信すると、以下の処理を実行する(S401)。以下のステップS402〜S404の処理は一例であって、実行する順番は以下に限らず、また全てを実施する必要もなく、一部の処理のみ実施しても良い。
支援ソフト40(RST発信機能部42)は、通知を受けたIPアドレスの不正サーバ100に対してRSTパケットを発信して不正通信を遮断する(S402)。
支援ソフト40(送信元IPアドレス選択機能部41)は、不正サーバ100に送信する対抗措置パケットの送信元IPアドレスをランダムに選択して設定するようにする(S403)。
支援ソフト40は、通知された対抗措置の指令に応じて、所定の対抗措置(輻輳トラフィック発信、脆弱性コード発信、及びRAT型プログラム発信の全部又は一部)を行う(S404)。
報酬支払装置106は、対抗措置を実施した支援ソフト40のユーザに対して報酬支払処理を実施する(S405)。
(A−3)実施形態の効果
以上のように、この実施形態によれば、以下の効果を奏する。
以上のように、この実施形態によれば、以下の効果を奏する。
インターネット10上では、攻撃者は、攻撃をしかける対象を常時走査しているが、囮となるデコイソフト30を導入することで、不正通信による攻撃を誘い込むことができ、攻撃者を効果的に検出することができる。そして、検出された攻撃者に対して、支援ソフト40により対抗措置を実施することで、攻撃者の不正通信による攻撃を停止させたり、以降の攻撃を中止させる抑止力となり、繰り返される攻撃への効果的な対策となる。
デコイソフト30は、コンピュータリソースを提供する支援者(ユーザー)が保有する支援サーバ14にて稼働する。これによりASP12は、不正サーバ100を検出するためのネットワークやコンピュータの設備を保有及び運用する負担が軽減される。
さらに、不正サーバ100からの攻撃が大規模化した場合でも、これに対応する設備をあらかじめ保有する必要が無く、支援者を募ることで支援サーバを増加させることができるため、効率的に拡張できる。また、デコイソフトで不正サーバ100を検出したユーザに報酬支払を可能とすることで、デコイソフトをダウンロードする動機が高まり、攻撃者を検出する能力の拡張が容易となる。
(B)他の実施形態
本発明は、上記実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
本発明は、上記実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(B−1)上記実施形態では、不正サーバ検支援及び対抗措置実施支援を行う例を示したが、不正サーバ100のIPアドレスを既に取得している場合には、対抗措置実施支援のみを実施する構成としても良い。
(B−2)上記実施形態では、支援サーバ14(支援ソフト40)の送信元IPアドレスが複数のグローバルIPアドレスからランダムなIPアドレスを選択する例を示したが、この機能は、ASP12の対抗措置支援制御装置104が保持し、制御下の支援サーバ14が、対抗措置通信を実施する度にランダムなグローバルIPアドレスを通知しても良い。支援サーバ14(支援ソフト40)は、通知されたグローバルIPアドレスを送信元アドレスとして対抗措置通信を実施することになる。
(B−3)上記実施形態では、支援サーバ14は、グローバルIPアドレスを用いる例を示したが、プライベート(ローカル)IPアドレスを用いても良い。この場合、支援ソフト40は、送信元IPアドレス選択機能部41及びRST発信機能部42の機能を実行しない。
(B−4)上記実施形態では、ASP12が、対抗措置支援制御装置104、不正サーバリストDB装置107、支援/デコイソフト配信装置105、及び報酬支払装置106の4つの装置を備える例を示したが、1個の情報処理装置に上記各装置の機能を実装しても良い。
(B−5)上記実施形態では、ASP12が報酬支払装置106を備える構成を示したが、変形例として、本装置を省略して良い。即ち、報酬を目的としたユーザ(支援サーバ14)の参加は無くなってしまうが、ボランティアとして参加する支援サーバ14による支援ネットワークを形成できる。
1…対抗措置支援ネットワークシステム、10…インターネット、12…ASP、13…ISP、14…支援サーバ、20…ネットワーク、30…デコイソフト、31…仮想化機能部、32…デコイOS部、33…デコイアプリケーション部、34…通信挙動判定部、35…不正サーバIPアドレス通知部、40…支援ソフト、41…送信元IPアドレス選択機能部、42…RST発信機能部、43…輻輳トラフィック発信機能部、44…脆弱性コード発信機能部、45…RAT型プログラム発信機能部、51…CPU、52…メモリ、53…補助記憶部、54…入力機能部、55…通信IF部、56…表示機能部、100…不正サーバ、104…対抗措置支援制御装置、105…支援/デコイソフト配信装置、106…報酬支払装置、107…不正サーバリストDB装置。
Claims (14)
- 少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積手段と、
前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知手段と
を備えることを特徴とする制御装置。 - 前記不正装置のアドレスの取得を行う及び又は前記不正装置への対抗措置を行う前記支援装置の情報を管理する支援装置情報管理手段と、
前記支援装置に対して、当該支援装置で前記不正装置のアドレスを取得するためのデコイ機能を提供するデコイソフト及び又は対抗措置の機能を提供する支援ソフトを配信するソフト配信手段と
をさらに備えることを特徴とする請求項1に記載の制御装置。 - 前記不正装置情報蓄積手段で蓄積される前記不正装置のアドレスは、前記デコイソフトを備える前記支援装置から通知されたアドレスであることを特徴とする請求項2に記載の制御装置。
- 前記不正装置情報通知手段により、前記不正装置のアドレスと対抗措置の指令とが通知される支援装置は、前記支援ソフトを備える支援装置であることを特徴とする請求項2又は3に記載の制御装置。
- 前記不正装置のアドレスの通知及び又は前記対抗措置を実施した前記支援装置を有するユーザに対して、報酬の支払いを実施する報酬支払手段をさらに備えることを特徴とする請求項1〜4のいずれかに記載の制御装置。
- 前記対抗措置の指令は、前記不正装置と前記不正装置から攻撃を受けている装置との間の通信を強制終了するリセット発信、輻輳トラフィック発信、脆弱性コード発信、及びRAT型プログラム発信の全部又は一部を含むことを特徴とする請求項1〜5のいずれかに記載の制御装置。
- 制御装置の指令に基づいて、不正通信を行う不正装置に対抗するための支援を行う支援装置であって、
複数のアドレスから通信に使用するアドレスをランダムに選択するアドレス選択手段と、
前記不正装置のアドレスに向けて通信強制終了を示すコマンドを発信するリセット発信手段と、
前記不正装置のアドレスに向けて通信パケットを連続して発信して輻輳トラフィックを発生させる輻輳トラフィック発信手段と、
前記不正装置のアドレスに向けてプログラムの脆弱性に対応したコードを含んだ通信パケットを発信する脆弱性コード発信手段と、
前記不正装置のアドレスに向けて遠隔操作を可能にするためのプログラムを含む通信パケットを発信する遠隔操作プログラム発信手段と
を備えることを特徴とする支援装置。 - 前記不正装置からの通信に応答し、通信挙動を監視する通信挙動判定手段と、
前記通信挙動が不正であると判定された前記不正装置のアドレスを取得し、該アドレスを含む前記不正装置に関する情報を前記制御装置に通知する不正装置情報通知部と
をさらに備えることを特徴とする請求項7に記載の支援装置。 - 前記通信挙動判定手段は、仮想化機能によりハードウェアをエミュレートし、支援サーバのメモリ空間を隔離して、囮となる
ことを特徴とする請求項8に記載の支援装置。 - 制御装置に搭載されるコンピュータを、
少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積手段と、
前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知手段と
して機能させることを特徴とする制御プログラム。 - 制御装置の指令に基づいて、不正通信を行う不正装置に対抗するための支援を行う支援装置に搭載されるコンピュータを、
複数のアドレスから通信に使用するアドレスをランダムに選択するアドレス選択手段と、
前記不正装置のアドレスに向けて通信強制終了を示すコマンドを発信するリセット発信手段と、
前記不正装置のアドレスに向けて通信パケットを連続して発信して輻輳トラフィックを発生させる輻輳トラフィック発信手段と、
前記不正装置のアドレスに向けてプログラムの脆弱性に対応したコードを含んだ通信パケットを発信する脆弱性コード発信手段と、
前記不正装置のアドレスに向けて遠隔操作を可能にするためのプログラムを含む通信パケットを発信する遠隔操作プログラム発信手段と
して機能させることを特徴とする支援プログラム。 - 制御装置の制御方法であって、
前記制御装置は、
少なくとも不正通信を行う不正装置のアドレスを蓄積する不正装置情報蓄積ステップと、
前記不正装置の不正通信に対抗するための対抗措置を行う支援装置に対して、少なくとも前記不正装置のアドレスと、対抗措置の指令とを通知する不正装置情報通知ステップと
を備えることを特徴とする制御方法。 - 制御装置の指令に基づいて、不正通信を行う不正装置に対抗するための支援を行う支援装置の支援方法であって、
前記支援装置は、
複数のアドレスから通信に使用するアドレスをランダムに選択するアドレス選択ステップと、
前記不正装置のアドレスに向けて通信強制終了を示すコマンドを発信するリセット発信ステップと、
前記不正装置のアドレスに向けて通信パケットを連続して発信して輻輳トラフィックを発生させる輻輳トラフィック発信ステップと、
前記不正装置のアドレスに向けてプログラムの脆弱性に対応したコードを含んだ通信パケットを発信する脆弱性コード発信ステップと、
前記不正装置のアドレスに向けて遠隔操作を可能にするためのプログラムを含む通信パケットを発信する遠隔操作プログラム発信ステップと
を備えることを特徴とする支援方法。 - 制御装置と、複数の支援装置とを備える支援システムであって、
前記制御装置には、請求項1〜6のいずれかに記載の制御装置が適用され、
前記各支援装置には請求項7〜9のいずれかに記載の支援装置が適用される
ことを特徴とする支援システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019173362A JP2021051481A (ja) | 2019-09-24 | 2019-09-24 | 制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019173362A JP2021051481A (ja) | 2019-09-24 | 2019-09-24 | 制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021051481A true JP2021051481A (ja) | 2021-04-01 |
Family
ID=75157948
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019173362A Pending JP2021051481A (ja) | 2019-09-24 | 2019-09-24 | 制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2021051481A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20240008479A (ko) * | 2022-07-12 | 2024-01-19 | (주)플레인비트 | 토렌트 기반 저작권 침해 콘텐츠 유통 방해 방법 및 이를 위한 장치 |
DE112022001736T5 (de) | 2021-03-25 | 2024-01-25 | Ntn Corporation | Lagervorrichtung mit montiertem absolutdrehgeber |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
JP2005332152A (ja) * | 2004-05-19 | 2005-12-02 | Ntt Communications Kk | 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム |
JP2009110334A (ja) * | 2007-10-31 | 2009-05-21 | Mitsubishi Electric Corp | 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法 |
JP2018029255A (ja) * | 2016-08-17 | 2018-02-22 | 日本電信電話株式会社 | 管理外の無線送信局の検出装置、検出方法および検出プログラム |
JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
-
2019
- 2019-09-24 JP JP2019173362A patent/JP2021051481A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
JP2005332152A (ja) * | 2004-05-19 | 2005-12-02 | Ntt Communications Kk | 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム |
JP2009110334A (ja) * | 2007-10-31 | 2009-05-21 | Mitsubishi Electric Corp | 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法 |
JP2018029255A (ja) * | 2016-08-17 | 2018-02-22 | 日本電信電話株式会社 | 管理外の無線送信局の検出装置、検出方法および検出プログラム |
JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112022001736T5 (de) | 2021-03-25 | 2024-01-25 | Ntn Corporation | Lagervorrichtung mit montiertem absolutdrehgeber |
KR20240008479A (ko) * | 2022-07-12 | 2024-01-19 | (주)플레인비트 | 토렌트 기반 저작권 침해 콘텐츠 유통 방해 방법 및 이를 위한 장치 |
KR102689553B1 (ko) * | 2022-07-12 | 2024-07-29 | (주)플레인비트 | 토렌트 기반 저작권 침해 콘텐츠 유통 방해 방법 및 이를 위한 장치 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
JP6924246B2 (ja) | ネットワークのエンドポイントをセキュアにするためのシステムおよび方法 | |
EP3481029B1 (en) | Internet defense method and authentication server | |
US10091238B2 (en) | Deception using distributed threat detection | |
Khan et al. | Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art | |
Kargl et al. | Protecting web servers from distributed denial of service attacks | |
US8549639B2 (en) | Method and apparatus for diagnosing and mitigating malicious events in a communication network | |
US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
JP2017537562A5 (ja) | ||
US8694993B1 (en) | Virtualization platform for secured communications between a user device and an application server | |
CN109639705B (zh) | 云平台安全检测方法 | |
KR101839647B1 (ko) | 프로세스별 네트워킹 기능 관리 기법 | |
CN108605264A (zh) | 网络管理 | |
WO2023193513A1 (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
Nam et al. | Mitigating ARP poisoning-based man-in-the-middle attacks in wired or wireless LAN | |
JP2021051481A (ja) | 制御装置、制御プログラム、制御方法、支援装置、支援プログラム、支援方法、及び支援システム | |
Xu et al. | Trampoline over the air: Breaking in iot devices through mqtt brokers | |
Khirwadkar | Defense against network attacks using game theory | |
Gierlings et al. | Isolated and exhausted: attacking operating systems via site isolation in the browser | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
Cherry | Distributed Denial of Service | |
KR20240122246A (ko) | 서버 주소 노출을 방지하기 위한 주소변이 및 포토변이 전용 게이트웨이 장치 및 이를 포함한 시스템, 이의 방법 | |
KR20110077834A (ko) | 디렉터리시스템를 이용한 보안강화 네트워크 서비스 구현 방법 및 시스템. | |
CN115694853A (zh) | 一种攻击防护方法、装置、电子设备及存储介质 | |
KR20130084578A (ko) | 클라우드 서버 및 클라이언트의 요청을 처리하는 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220510 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230131 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230725 |