JP2021117589A - 情報処理装置、情報処理装置の処理方法およびプログラム - Google Patents

情報処理装置、情報処理装置の処理方法およびプログラム Download PDF

Info

Publication number
JP2021117589A
JP2021117589A JP2020009198A JP2020009198A JP2021117589A JP 2021117589 A JP2021117589 A JP 2021117589A JP 2020009198 A JP2020009198 A JP 2020009198A JP 2020009198 A JP2020009198 A JP 2020009198A JP 2021117589 A JP2021117589 A JP 2021117589A
Authority
JP
Japan
Prior art keywords
setting data
program
data
tampering
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020009198A
Other languages
English (en)
Inventor
典嗣 岡山
Noritsugu Okayama
典嗣 岡山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2020009198A priority Critical patent/JP2021117589A/ja
Publication of JP2021117589A publication Critical patent/JP2021117589A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】プログラムの改ざん前の設定データと同様の設定データを復元する情報処理装置、情報処理装置の処理方法およびプログラムを提供する。【解決手段】情報処理装置(画像形成装置)は、設定データを基に設定データのバックアップデータを生成する生成手段と、プログラムの改ざんの検知の有無を判定しS601、プログラムの改ざんを検知したと判定した場合には、プログラムを更新しS602、設定データのバックアップデータを新たな設定データとして上書きするS604。【選択図】図6

Description

本発明は、情報処理装置、情報処理装置の処理方法およびプログラムに関する。
ソフトウェアの脆弱性をついてソフトウェアを改ざんし、コンピュータを悪用する攻撃が問題となっている。そういった攻撃の対策として、プログラムに署名を施して保存しておき、起動するたびにプログラムの署名を検証することで、改ざんの有無を検知する方法が知られている。また、プログラムを部分的に交換可能にするためにモジュール化し、各モジュールに対して署名を検証する処理や検証するのに必要な鍵情報を内包して格納する方法や、起動時に各プログラムの正解値が一致するか検証する方法が知られている(特許文献1参照)。
さらに、画像形成装置の稼働中にランタイムで改ざん検知を行うための方法として、ホワイトリスト方式を用いた改ざん検知手法が知られている。ホワイトリスト方式は、使用可能なファームウェアの個々のファイルの検証データを予め保管し、ファームウェアの使用時に検証データを用いて当該ファームウェアの改ざんを検証し、正しいファームウェアだけを使用可能とする方法である。ここでいう検証データとは、ファームウェアの一意性を確認するために、ファームウェアが格納された個々のファイルのバイナリデータから、ハッシュ関数を用いて作成されたハッシュ値を用いるのが一般的である。ハッシュ関数を用いることは、ある値からハッシュ値を作成した際に、ハッシュ値を変更せずに元の値を改変することが不可能であるという特徴があり、正しいファームウェアであるかどうかの改ざん検証に使用することが可能である。
近年、ネットワーク経由でプログラム配信サーバに接続される画像形成装置が増加し、ファームウェアのアップデートの際には、サーバ側に登録された多数のファームウェアの中から、適用可能なファームウェアを自動的に選択して受信することが可能になっている。また、定期的に最新のファームウェアをサーバに問い合わせて、自動的にアップデート処理を実行する方法が知られている(特許文献2参照)。
特開2019−75000号公報 特開2013−240946号公報
起動時にプログラムの改ざんを検知した場合、悪意のある動作を防ぐために各プログラムの動作を停止させ、操作部には改ざんが検知されたことをユーザに知らせるため、エラーコードなどを表示する。改ざんされたプログラムの復旧には、正常なプログラムへの書き換えが必要となる。さらには、プログラムの改ざんにより、各プログラムにて使用される各種設定データ、例えばネットワーク設定やファックス設定やアドレス帳の設定が悪意のある設定に改ざんされている可能性がある。そのため、ユーザによる各種設定データの再設定や初期化が必要となり、復旧作業に時間がかかる。
本発明の目的は、プログラムの改ざん前の設定データと同様の設定データを復元することができるようにすることである。
本発明の情報処理装置は、設定データを基に設定データのバックアップデータを生成する生成手段と、プログラムの改ざんの検知の有無を判定する第1の判定手段と、前記第1の判定手段によりプログラムの改ざんを検知したと判定された場合には、前記プログラムを更新し、前記設定データのバックアップデータを新たな設定データとして上書きする更新手段とを有する。
本発明によれば、プログラムの改ざん前の設定データと同様の設定データを復元することができる。
画像形成装置のハードウェア構成例を示す図である。 画像形成装置の機能構成例を示す図である。 画像形成装置の機能構成例を示す図である。 改ざん検知処理を示す図である。 設定データのバックアップ処理を示すフローチャートである。 改ざん検知時の復旧処理を示すフローチャートである。 設定データのバックアップ処理を示すフローチャートである。 設定データのバックアップ情報を示す図である。 改ざん検知時の復旧処理を示すフローチャートである。
以下、本発明を実施するための形態について図面を用いて説明する。なお、以下の実施形態は特許請求の範囲に係る発明を限定するものでなく、また実施形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
(第1の実施形態)
図1は、第1の実施形態による画像形成装置100のハードウェア構成例を示すブロック図である。画像形成装置100は、情報処理装置の一例である。画像形成装置100は、メインコントローラ110と、操作部ユニット130と、プリンタユニット140と、スキャナユニット150を有する。メインコントローラ110は、CPU111と、ROM112と、RAM113と、フラッシュメモリ114と、HDD115と、埋め込みコントローラ116を有する。さらに、メインコントローラ110は、操作部I/F119と、プリンタI/F121と、USB−HostI/F122と、ネットワークI/F123を有する。
CPU111は、ROM112やフラッシュメモリ114に記憶されたメインコントローラ110用のプログラムをRAM113に読み出して実行する。ROM112は、リードオンリーメモリであり、メインコントローラ110のブートプログラム、BIOSおよび固定パラメータ等を格納している。RAM113は、ランダムアクセスメモリであり、CPU111がメインコントローラ110を制御する際に、プログラムや一時的なデータなどを格納する。
フラッシュメモリ114は、ローダー、カーネルおよびアプリケーションを格納する。また、フラッシュメモリ114には、実行プログラムの他に、画像形成装置100の機能を有効にするためのライセンス情報、プログラムの改ざん検知の検証のために使用する署名および公開鍵が記憶されている。HDD115は、ハードディスクドライブであり、一部のアプリケーション、各種データ、および、ネットワークI/F123を介してPC190から受信した印刷データを記憶する。
埋め込みコントローラ116は、CPU117とRAM118を有する。CPU117は、埋め込みコントローラ116のプログラムを実行し、メインコントローラ110の中の一部の制御を行う。RAM118は、埋め込みコントローラ116内のランダムアクセスメモリであり、CPU117がメインコントローラ110を制御する際に、プログラムや一時的なデータなどを格納する。
フラッシュメモリ114から読み出されCPU111により実行されるプログラムには、プリント用アプリケーションプログラムが含まれる。そして、このプリント用アプリケーションプログラムにより、HDD115に記憶された印刷データは、プリンタユニット140によるプリントが可能な画像データに変換される。それらの画像データは、HDD115に記憶される。
また、フラッシュメモリ114から読み出されCPU111により実行されるファームウェアには、スキャン用アプリケーションプログラムが含まれる。そして、このスキャン用アプリケーションプログラムにより、スキャナユニット150により画像データが読み取られるとともに、読み取られた画像データがHDD115に転送される。そして、HDD115には、読み取られた画像データが記憶される。
操作部I/F119は、操作部ユニット130を介して画像形成装置100の使用者により入力される指示をCPU111に伝達するためのインターフェースである。また、操作部I/F119は、操作部ユニット130に表示する内容を切り替えるための処理内容をCPU111から受信して操作部ユニット130に伝達する。なお、操作部ユニット130は、タッチパネル機能を有する液晶表示部やキーボードなどを有し、画像形成装置100の状態や操作メニューを表示し、使用者の指示を受け付ける。
プリンタI/F120は、メインコントローラ110とプリンタユニット140を接続するためのインターフェースである。ここで、プリンタユニット140は、プリンタI/F120を介してHDD115から転送される画像データに基づいて記録媒体上にプリントを行う。
スキャナI/F121は、メインコントローラ110とスキャナユニット150を接続するためのインターフェースである。ここで、スキャナユニット150は、CCD(ChargeCoupledDevice)等により構成されるラインセンサを用いて、原稿上の画像を画像データとして読み取る。そして、スキャナユニット150は、読み取った画像データをスキャナI/F121を介してHDD115へ転送する。HDD115へ転送され、記憶された画像データは、前述したプリンタユニット140によりプリントすることが可能である。スキャナユニット150により読み取った画像データをプリンタユニット140によりプリントすることにより、複写(コピー)処理が可能となる。
USB−HostI/F122は、メインコントローラ110と外部USBデバイス170を接続するためのインターフェースである。ここで、外部USBデバイス170の例としては、ファックス(FAX)ユニットが挙げられる。FAXユニットは、USB−HostI/F122を介してHDD115から転送される画像データに基づいてFAX送信を行う。また、FAXユニットは、受信するデータに基づいて画像データを生成し、USB−HostI/F122を介してHDD115に画像データを転送する。なお、HDD115に記憶された画像データは、前述したようにプリンタユニット140により記憶媒体へプリントされる。外部USBデバイス170は、USBメモリやUSBキーボードなども例として挙げられる。USBメモリは、ファームウェアアップデートに必要な更新ファイルの転送も可能である。
ネットワークI/F123は、メインコントローラ110をLAN160に接続し、LAN160上のPC190との通信を行う。PC190は、パーソナルコンピュータであり、画像形成装置100とLAN160で接続され、画像形成装置100に対して、印刷データの送信、WEBブラウザ経由での機器の操作、ファームウェアファイルの転送等が可能である。
さらに、画像形成装置100は、LAN160を介して、サーバ装置180に接続され、ファームウェアアップデートに必要な更新ファイルをダウンロードすることができる。ここでの更新ファイルのダウンロードの手段は、HTTP、FTPの他、プロトコルは限定されない。
サーバ装置180は、出荷された製品に対してアップデートが必要な最新のファームウェアが常にアップロードされており、画像形成装置100から問い合わせを行うことで、必要なファームウェアを取得することができる。ただし、画像形成装置100の設置環境によっては、サーバ装置180には接続しないケースもある。
図2は、画像形成装置100のプログラムの改ざん検知時の機能構成例を示す図である。メインコントローラ110は、ROM112と、フラッシュメモリ114と、HDD115を有する。ROM112は、ブートプログラム210と、BIOS220を記憶する。フラッシュメモリ114は、ローダー230と、カーネル240と、Nativeプログラム250と、設定データのバックアップデータ252を記憶する。HDD115は、Java(登録商標)プログラム260と、設定データ261を記憶する。
ブートプログラム210は、画像形成装置100の電源を入れると、埋め込みコントローラ116のCPU117により実行されるプログラムであり、起動に関わる処理を行う他に、BIOS220の改ざん検知を行うBIOS改ざん検知処理部211を有する。
BIOS220は、ブートプログラム210の実行後にCPU111により実行されるプログラムであり、起動に関わる処理を行う他に、ローダー230の改ざん検知を行うローダー改ざん検知処理部221を有する。
ローダー230は、BIOS220の処理が終わった後にCPU111により実行されるプログラムであり、起動に関わる処理を行う他に、カーネル240の改ざん検知を行うカーネル改ざん検知処理部231を有する。
カーネル240は、ローダー230の処理が終わった後にCPU111により実行されるプログラムであり、起動に関わる処理を行う他に、Nativeプログラム250の改ざん検知を行うNativeプログラム改ざん検知処理部241を有する。
Nativeプログラム250は、CPU111により実行されるプログラムであり、Javaプログラム260と連携して各機能を提供する複数のプログラムからなる。例えば、Nativeプログラム250は、プリンタI/F120やスキャナI/F121を制御するプログラム、およびメインコントローラ110の起動処理を実行するプログラムなどを含む。カーネル240によってNativeプログラム250の中から起動プログラムが呼び出され、その起動プログラムがメインコントローラ110の起動処理を行う。また、Nativeプログラム250は、プログラムの中の一つとして、Javaプログラム260の改ざん検知を行うJavaプログラム改ざん検知処理部251を有する。
Javaプログラム260は、CPU111により実行されるプログラムであり、Nativeプログラム250と連携して各機能を提供するプログラムである。例えば、Javaプログラム260は、サーバ装置180やPC190と通信して画像形成装置100の機能を活用するアプリケーションプログラムである。
設定データ261は、操作部ユニット130および操作部I/F119を介してユーザが編集可能なデータであり、Nativeプログラム250およびJavaプログラム260により参照される。設定データ261の変更により、画像形成装置100の動作をユーザの好みに合わせてカスタマイズすることが可能となっている。例えば、画像形成装置100における設定データ261は、コピー機能やプリント機能にかかわる設定データ、ネットワーク設定データ、FAX設定データ、アドレス帳の設定データ、およびセキュリティポリシーの設定データなどを含む。設定データ261の具体的な例としては、コピー機能にかかわるコピー設定データには、プリンタユニット140に設置された用紙のサイズや種類を登録するための用紙設定データなどが含まれる。プリンタユニット140は、登録された用紙設定データに合わせた印字動作を行う。また、プリント機能にかかわるプリンタ設定データには、デフォルトで用紙をプリントする部数の設定データ、白黒印字するかカラー印字するかを自動的選択するための設定データなどが含まれる。また、ネットワーク設定データは、具体的には、Ipv4やIpv6のIPアドレスの設定データなどを含み、ネットワークI/F123での制御に使われる。FAX設定データには、FAX着信時の呼び出し回数の設定データと、送信時に相手機に通知される発信人名称の設定データなどが含まれる。また、アドレス帳には、画像形成装置100を使ってFAXや電子メールを送信する際の宛先が登録される。ユーザは、事前にアドレス帳に宛先を登録しておくことで、FAXや電子メール送信時の宛先の入力を省略することができる。また、セキュリティポリシーの設定データには、ユーザが使用するパスワードの文字数やパスワードに使用する文字を制限するパスワード設定データなどが含まれる。
設定データのバックアップデータ252は、設定データ261のバックアップデータである。設定データ261が何らかの理由によって破損したり誤って更新された場合に、画像形成装置100は、設定データのバックアップデータ252から設定データ261をリストアすることができる。
図3は、画像形成装置100のファームウェアアップデート時の機能構成例を示す図である。フラッシュメモリ114は、Nativeプログラム250と、設定データのバックアップデータ252を記憶する。HDD115は、Javaプログラム260と、設定データ261を記憶する。
Nativeプログラム250は、起動制御部311と、操作部制御部312と、プリンタ制御部313と、スキャナ制御部314と、USB制御部315と、通信制御部316を有する。さらに、Nativeプログラム250は、エラー通知制御部317と、改ざん検知箇所特定部318と、設定データ管理モジュール319を有する。Javaプログラム260は、プログラム更新処理部320と、プログラム配信制御部321を有する。
起動制御部311は、画像形成装置100の起動時の処理を制御するプログラムであり、メインコントローラ110のOS(オペレーションシステム)を起動させ、各種プログラムを動作させるための基本システムの立ち上げを行う。
操作部制御部312は、操作部I/F119を介して、操作部ユニット130の制御を行うためのプログラムである。
プリンタ制御部313は、プリンタI/F120を介したプリンタユニット140の制御を行うためのプログラムである。スキャナ制御部314は、スキャナI/F121を介したスキャナユニット150の制御を行うためのプログラムである。
USB制御部315は、USB−HostI/F122を介して、外部USBデバイス170の制御を行うためのプログラムである。外部USBデバイス170がUSBメモリである場合、USBメモリからファームウェアアップデートに必要な更新ファイルおよび更新情報の転送処理に関する制御を行う。転送されたファイルは、HDD115に保存される。
通信制御部316は、ネットワークI/F123を介して、PC190やサーバ装置180との通信を行い、LAN160を介して、ファームウェアアップデートに必要な更新ファイルおよび更新情報の転送処理を行う。転送されたファイルは、HDD115に保存される。
エラー通知制御部317は、後に図4で説明する改ざん検知処理によりプログラムの改ざんが検知された際に、操作部ユニット130や、LAN160で接続された外部機器に対して通知するエラーの内容の制御を行う。
改ざん検知箇所特定部318は、後に図4で説明する改ざん検知処理によりプログラムの改ざんが検知された際に、改ざん検知箇所を特定し、検知された箇所がファームウェアアップデートにより復旧可能か否かを判定する。例えば、改ざん検知箇所特定部318は、改ざんされた箇所が外部記憶装置との通信制御部316や、プログラムの更新に関連する部分である場合は、その後のアップデート処理の動作が保証できないため、復旧できないと判定する。一方、改ざん検知箇所特定部318は、改ざんされた箇所がアップデート処理に影響しないプログラムであった場合は、正しいプログラムの更新により復旧が可能な場合があるので、ファームウェアアップデートによる復旧可能であると判定する。
プログラム配信制御部321は、USB制御部315や通信制御部316と連携して、外部記憶装置からの更新データの転送の制御を行う。ファームウェアアップデート時の更新データの転送処理は、メインコントローラ110内の各プログラムのバージョンと、アップデート対象のプログラムのバージョンを比較し、差異のあるものだけを配信することで、転送時間を削減することが可能になる。そのため、プログラム配信制御部321は、バージョンの差異のあるプログラムを特定して、差異のあるプログラムのみに対して外部記憶装置からの転送処理を実行する。ただし、改ざん検知時の復旧の際には、既存のプログラムの書き換えの他にも、マルウェアと呼ばれるような不正なプログラムが追加されているケースも想定されるため、差異のあるプログラムのアップデートだけでは復旧できない可能性がある。そのため、プログラム配信制御部321は、改ざん検知からの復旧のアップデートの際は、メインコントローラ110のプログラムをすべて上書きできるように、更新に必要なデータをすべて転送するように制御する。
プログラム更新処理部320は、操作部ユニット130を介してユーザからファームウェアのアップデートの実行の指示があった際や、画像形成装置100の時刻が予め設定された時刻に到達した際に、プログラムの更新処理を行う。具体的には、プログラム更新処理部320は、プログラム配信制御部321により転送されたデータを用いて、メインコントローラ110内の各プログラムの更新処理を行う。
プログラム配信制御部321およびプログラム更新処理部320によるファームウェアのアップデート処理は、具体的には下記の3つの処理に分けられる。
(1)外部USBデバイス170やサーバ装置180からのプログラムの転送処理
(2)フラッシュメモリ114に記憶された旧プログラムのバックアップ処理
(3)フラッシュメモリ114に記憶されたプログラムの更新処理
旧プログラムのバックアップ処理を実行するのは、プログラムの更新処理の間に電源の不良や記憶領域の書き込みエラー等により更新処理が正常に実行できなかった場合に、アップデート前の旧プログラムへロールバックするためのものである。改ざん検知からの復旧時の更新処理の際は、不正なプログラムがバックアップされてしまうため、旧プログラムのバックアップは実行しない。
また、プログラム配信制御部321およびプログラム更新処理部320は、Javaプログラム260の一部として構成されている例を示しているが、Nativeプログラム250の一部として構成されていてもよい。
設定データ管理モジュール319は、Javaプログラム260および設定データ管理モジュール319以外のNativeプログラム250からの設定データ261への読み書きの要求を処理する。また、設定データ管理モジュール319は、設定データ261から設定データのバックアップデータ252を生成する制御や設定データのバックアップデータ252から設定データ261をリストアする制御を行う。設定データ261のバックアップおよびリストアの制御については、図5以降で説明する。
また、設定データ管理モジュール319は、設定データ261の初期値322を含む。画像形成装置100の初回起動時などで設定データ261が存在しない場合、設定データ管理モジュール319は、この初期値322を基に設定データ261を生成する。また、設定データ管理モジュール319は、操作部ユニット130などから出荷時状態へのクリア要求を受け付けた場合、初期値322を基に設定データ261の初期化を行うことができる。
図4(a)は、画像形成装置100が改ざん検知を行わずに起動する手順を示す図である。ブートプログラム210がBIOS220を起動し、BIOS220がローダー230を起動し、ローダー230がカーネル240を起動し、カーネル240がNativeプログラム250の中の起動プログラムを起動する。その起動プログラムがJavaプログラム260を起動し、以降はNativeプログラム250とJavaプログラム260が連携して画像形成装置100の機能を提供する。
図4(b)は、画像形成装置100が改ざん検知を行いながら起動する手順を示す図である。ROM112は、ブートプログラム210と、BIOS220を記憶する。フラッシュメモリ114は、ローダー230と、カーネル240と、Nativeプログラム250を記憶する。HDD115は、Javaプログラム260を記憶する。以下、デジタル署名を署名という。
ブートプログラム210は、BIOS220の署名検証用の公開鍵401を含む。BIOS220は、BIOS220の署名402と、ローダー230の署名検証用の公開鍵403を含む。ローダー230は、ローダー230の署名404と、カーネル240の署名検証用の公開鍵405を含む。カーネル240は、カーネル240の署名406と、Nativeプログラム250の署名検証用の公開鍵407を含む。Nativeプログラム250は、Nativeプログラム250の署名408と、Javaプログラム260の署名検証用の公開鍵409を含む。Javaプログラム260は、Javaプログラム260の署名410を含む。これらの公開鍵と署名は、あらかじめ画像形成装置100の出荷前にプログラムに対して付与されるものであるとともに、ファームウェアのアップデート時には適切に更新される。
ブートプログラム210内のBIOS改ざん検知処理部211は、BIOS220の署名検証用の公開鍵401を用いて、BIOS220の署名402の検証を行うことにより、BIOS220の改ざんの検知を行う。CPU111は、BIOS220の改ざんが検知されない場合には、BIOS220を起動する。
BIOS220内のローダー改ざん検知処理部221は、ローダー230の署名検証用の公開鍵403を用いて、ローダー230の署名404の検証を行うことにより、ローダー230の改ざんの検知を行う。CPU111は、ローダー230の改ざんが検知されない場合には、ローダー230を起動する。
ローダー230内のカーネル改ざん検知処理部231は、カーネル240の署名検証用の公開鍵405を用いて、カーネル240の署名406の検証を行うことにより、カーネル240の改ざんの検知を行う。CPU111は、カーネル240の改ざんが検知されない場合には、カーネル240を起動する。
カーネル240は、Nativeプログラム改ざん検知処理部241を含む。Nativeプログラム改ざん検知処理部241は、Nativeプログラム250の署名検証用の公開鍵407を用いて、Nativeプログラム250の署名408の検証を行うことにより、Nativeプログラム250の改ざんの検知を行う。CPU111は、Nativeプログラム250の改ざんが検知されない場合には、Nativeプログラム250を起動する。
Nativeプログラム250は、Javaプログラム改ざん検知処理部251を含む。Javaプログラム改ざん検知処理部251は、Javaプログラム260の署名検証用の公開鍵409を用いて、Javaプログラム260の署名410の検証を行うことにより、Javaプログラム260の改ざんの検知を行う。CPU111は、Javaプログラム260の改ざんが検知されない場合には、Javaプログラム260を起動する。
以上のように、改ざん検知処理部211、221、231、241、251は、それぞれ、複数のプログラムの改ざんの検証を順に行う。
図5は、画像形成装置100の処理方法を示すフローチャートであり、設定データ261のバックアップ処理を示す。画像形成装置100は、画像形成装置100の電源オフ時やあらかじめ決められたスケジュールに従って、図5の処理を定期的に行う。
ステップS501では、改ざん検知処理部211、221、231、241および251は、BIOS220、ローダー230、カーネル240、Nativeプログラム250およびJavaプログラム260の改ざんの検知の有無を判定する。この際、改ざん検知処理部211、221、231、241、251は、判定部として機能する。改ざん検知処理部211、221、231、241および251のすべてが改ざんを検知していないと判定した場合には、CPU111は、ステップS504に進む。改ざん検知処理部211、221、231、241および251の少なくとも1個が改ざんを検知したと判定した場合には、CPU111は、ステップS502に進む。
ステップS504では、設定データ管理モジュール319は、生成部として機能し、設定データ261を基に、設定データのバックアップデータ252を生成し、図5の処理を終了する。
ステップS502では、改ざん検知箇所特定部318は、改ざん検知箇所の特定を行い、設定データ管理モジュール319が改ざんされているか否かを判定する。設定データ管理モジュール319は、設定データ261を書き換える可能性があるプログラムである。なお、改ざん検知箇所特定部318は、設定データ管理モジュール319に限定されず、設定データ261を書き換える可能性がある複数のプログラムが改ざんされているか否かを判定してもよい。改ざん検知箇所特定部318は、設定データ管理モジュール319が改ざんされていないと判定した場合には、ステップS503に進み、設定データ管理モジュール319が改ざんされていると判定した場合には、図5の処理を終了する。
ステップS503では、設定データ管理モジュール319は、生成部として機能し、設定データ261を基に、設定データのバックアップデータ252を生成し、図5の処理を終了する。
図6は、画像形成装置100の処理方法を示すフローチャートであり、画像形成装置100の改ざん検知時の復旧処理を示す。例えば、画像形成装置100は、画像形成装置100の電源オン時に、図6の処理を行う。
ステップS601では、改ざん検知処理部211、221、231、241、251は、ブートプログラム210、BIOS220、ローダー230、カーネル240、Nativeプログラム250、Javaプログラム260の改ざんの検知の有無を判定する。この際、改ざん検知処理部211、221、231、241、251は、判定部として機能する。例えば、画像形成装置100は、図4(b)に示す検証および起動を行う。改ざん検知処理部211、221、231、241、251のすべてが改ざんを検知していないと判定した場合には、CPU111は、図6の処理を終了する。改ざん検知処理部211、221、231、241、251の少なくとも1個が改ざんを検知したと判定した場合には、CPU111は、ステップS602に進む。
ステップS602では、プログラム配信制御部321およびプログラム更新処理部320は、ファームウェアの更新を行う。ファームウェアは、プログラムであり、ブートプログラム210、BIOS220、ローダー230、カーネル240、Nativeプログラム250、Javaプログラム260を含む。具体的には、プログラム配信制御部321およびプログラム更新処理部320は、図3にて説明したように、外部USBデバイス170やサーバ装置180からファームウェアを取得し、メインコントローラ110内のファームウェアの更新を行う。
次に、ステップS603では、設定データ管理モジュール319は、設定データのバックアップデータ252が存在するか否かを判定する。ここでの設定データのバックアップデータ252は、図5の処理により作成されるものである。設定データ管理モジュール319は、設定データのバックアップデータ252が存在する場合には、ステップS604に進み、設定データのバックアップデータ252が存在しない場合には、ステップS605に進む。
ステップS604では、設定データ管理モジュール319は、設定データのバックアップデータ252を新たな設定データ261として上書きし(リストアし)、図6の処理を終了する。設定データ管理モジュール319は、HDD115に格納されている設定データ261に対して、設定データのバックアップデータ252を上書きする。
ステップS605では、設定データ管理モジュール319は、設定データ261の初期値322を基に、設定データ261の初期化を行い、図6の処理を終了する。設定データ管理モジュール319は、設定データ261の初期値322を含む。設定データ管理モジュール319は、HDD115に格納されている設定データ261に対して、設定データ261の初期値322を上書きすることにより、初期化を行う。設定データ261は、例えば、図2で述べたコピー設定データ、およびネットワーク設定データなどを含む。
画像形成装置100は、ステップS604のリストアまたはステップS605の初期化により、改ざんされたファームウェアにより書き換えられた可能性のある設定データ261の使用を防ぐことができる。
画像形成装置100は、図6の処理により、復旧までの間のダウンタイムを削減することができる。また、画像形成装置100は、改ざん前と同様の設定データ261により、動作できるようになるため、改ざん検知前と同じ使い勝手をユーザに提供することができる。
(第2の実施形態)
次に、第2の実施形態による画像形成装置100について説明する。第2の実施形態の画像形成装置100の構成は、第1の実施形態の画像形成装置100の構成と同様である。
図7は、第2の実施形態による画像形成装置100の処理方法を示すフローチャートであり、設定データ261のバックアップ処理を示す。図7の処理は、図5の処理の代わりに行われる。図7の処理では、図5の処理とは異なり、ステップS501の改ざん検知の有無の判定が行われない。
ステップS701では、設定データ管理モジュール319は、生成部として機能し、設定データ261を基に、設定データのバックアップデータ252を生成する。次に、ステップS702では、設定データ管理モジュール319は、図8のテーブルに対して、設定データのバックアップデータ252を生成した時刻と、設定データのバックアップデータ252のパスを記録する。
図9は、第2の実施形態による画像形成装置100の処理方法を示すフローチャートであり、画像形成装置100の改ざん検知時の復旧処理を示す。図9の処理は、図6の処理の代わりに行われる。
ステップS901では、改ざん検知処理部211、221、231、241、251は、ブートプログラム210、BIOS220、ローダー230、カーネル240、Nativeプログラム250、Javaプログラム260の改ざんの検知の有無を判定する。この際、改ざん検知処理部211、221、231、241、251は、判定部として機能する。改ざん検知処理部211、221、231、241、251のすべてが改ざんを検知していないと判定した場合には、CPU111は、ステップS902に進む。改ざん検知処理部211、221、231、241、251の少なくとも1個が改ざんを検知したと判定した場合には、CPU111は、ステップS903に進む。
ステップS902では、CPU101は、記録部として機能し、Javaプログラム改ざん検知処理部251が改ざんを検知していない時刻を記録し、図9の処理を終了する。
ステップS903では、プログラム配信制御部321およびプログラム更新処理部320は、更新部として機能し、ファームウェアの更新を行う。ファームウェアは、プログラムであり、ブートプログラム210、BIOS220、ローダー230、カーネル240、Nativeプログラム250、Javaプログラム260を含む。具体的には、プログラム配信制御部321およびプログラム更新処理部320は、図3にて説明したように、外部USBデバイス170やサーバ装置180からファームウェアを取得し、メインコントローラ110内のファームウェアの更新を行う。
次に、ステップS904では、設定データ管理モジュール319は、図8のテーブルを参照し、改ざん検知前の設定データのバックアップデータ252が存在するか否かを判定する。設定データのバックアップデータ252は、図7の処理により生成される。設定データ管理モジュール319は、図8のテーブルを参照し、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252が存在する否かを判定する。例えば、図8のように設定データのバックアップデータ252が生成されている状況について説明する。ステップS902にて記録された時刻が“2018/9/25 2:00”より前である場合、設定データ管理モジュール319は、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252が存在しないと判定する。逆に、ステップS902で記録された時刻が“2018/9/25 2:00”より後である場合、設定データ管理モジュール319は、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252が存在すると判定する。設定データ管理モジュール319は、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252が存在すると判定した場合には、ステップS905に進む。また、設定データ管理モジュール319は、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252が存在しないと判定した場合には、ステップS907に進む。
ステップS905では、設定データ管理モジュール319は、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252を取得する。例えば、ステップS902で記録された時刻が“2018/10/30 0:00”であり、図8の設定データのバックアップデータ252の場合を説明する。その場合、ステップS902で記録された時刻より前の時刻に生成された設定データのバックアップデータ252は、“/var/backup/settings_db-001.back”と“/var/backup/settings_db-002.back”の2つである。その場合、設定データ管理モジュール319は、その2つの設定データのバックアップデータ252のうちの生成時刻が最新のバックアップデータ“/var/backup/settings_db-002.back”を取得する。
次に、ステップS906では、設定データ管理モジュール319は、ステップS905にて取得した設定データのバックアップデータ252を新たな設定データ261として上書きする(リストアする)。具体的には、設定データ管理モジュール319は、HDD115に格納されている設定データ261に対して、設定データのバックアップデータ252を上書きし、図9の処理を終了する。
ステップS907では、設定データ管理モジュール319は、設定データ261の初期値322を基に、設定データ261の初期化を行い、図9の処理を終了する。設定データ管理モジュール319は、設定データ261の初期値322を含む。設定データ管理モジュール319は、HDD115に格納されている設定データ261に対して、設定データ261の初期値322を上書きすることにより、初期化を行う。設定データ261は、例えば、図2で述べたコピー設定データ、およびネットワーク設定データなどを含む。
画像形成装置100は、ステップS906のリストアまたはステップS907の初期化により、改ざんされたファームウェアにより書き換えられた可能性のある設定データ261の使用を防ぐことができる。
画像形成装置100は、図9の処理により、復旧までの間のダウンタイムを削減することができる。また、画像形成装置100は、改ざん前と同様の設定データ261により、動作できるようになるため、改ざん検知前と同じ使い勝手をユーザに提供することができる。
(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
以上、本発明の実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 画像形成装置、252 設定データのバックアップデータ、261 設定データ、318 改ざん検知箇所特定部、319 設定データ管理モジュール、320 プログラム更新処理部

Claims (10)

  1. 設定データを基に設定データのバックアップデータを生成する生成手段と、
    プログラムの改ざんの検知の有無を判定する第1の判定手段と、
    前記第1の判定手段によりプログラムの改ざんを検知したと判定された場合には、前記プログラムを更新し、前記設定データのバックアップデータを新たな設定データとして上書きする更新手段と
    を有することを特徴とする情報処理装置。
  2. 前記第1の判定手段は、複数のプログラムの改ざんの検証を順に行い、
    前記更新手段は、前記第1の判定手段により少なくとも1個のプログラムの改ざんを検知したと判定された場合には、前記プログラムを更新し、前記設定データのバックアップデータを新たな設定データとして上書きすることを特徴とする請求項1に記載の情報処理装置。
  3. 前記プログラムの改ざんの検知の有無を判定する第2の判定手段をさらに有し、
    前記生成手段は、前記第2の判定手段によりプログラムの改ざんを検知していないと判定された場合には、前記設定データのバックアップデータを生成することを特徴とする請求項1または2に記載の情報処理装置。
  4. 前記第2の判定手段は、複数のプログラムの改ざんの検知の有無を判定し、
    前記生成手段は、前記第2の判定手段により前記複数のプログラムのうちの前記設定データを書き換える可能性があるプログラムの改ざんを検知していないと判定された場合には、前記設定データのバックアップデータを生成することを特徴とする請求項3に記載の情報処理装置。
  5. 前記更新手段は、前記設定データのバックアップデータが存在する場合には、前記設定データのバックアップデータを新たな設定データとして上書きし、前記設定データのバックアップデータが存在しない場合には、前記設定データの初期値を基に前記設定データを初期化することを特徴とする請求項3または4に記載の情報処理装置。
  6. 前記第1の判定手段によりプログラムの改ざんを検知していないと判定された場合には、前記改ざんを検知していない時刻を記録する記録手段をさらに有し、
    前記生成手段は、前記設定データのバックアップデータを生成した時刻を記録し、
    前記更新手段は、前記改ざんを検知していない時刻より前の時刻に生成された設定データのバックアップデータが存在する場合には、前記改ざんを検知していない時刻より前の時刻に生成された設定データのバックアップデータを新たな設定データとして上書きすることを特徴とする請求項1または2に記載の情報処理装置。
  7. 前記更新手段は、前記改ざんを検知していない時刻より前の時刻に生成された設定データのバックアップデータが存在する場合には、前記改ざんを検知していない時刻より前の時刻に生成された設定データのバックアップデータのうちの最新のバックアップデータを新たな設定データとして上書きすることを特徴とする請求項6に記載の情報処理装置。
  8. 前記更新手段は、前記改ざんを検知していない時刻より前の時刻に生成された設定データのバックアップデータが存在しない場合には、前記設定データの初期値を基に前記設定データを初期化することを特徴とする請求項6または7に記載の情報処理装置。
  9. 設定データを基に設定データのバックアップデータを生成する生成ステップと、
    プログラムの改ざんの検知の有無を判定する第1の判定ステップと、
    前記第1の判定ステップでプログラムの改ざんを検知したと判定された場合には、前記プログラムを更新し、前記設定データのバックアップデータを新たな設定データとして上書きする更新ステップと
    を有することを特徴とする情報処理装置の処理方法。
  10. コンピュータを、請求項1〜8のいずれか1項に記載された情報処理装置の各手段として機能させるためのプログラム。
JP2020009198A 2020-01-23 2020-01-23 情報処理装置、情報処理装置の処理方法およびプログラム Pending JP2021117589A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020009198A JP2021117589A (ja) 2020-01-23 2020-01-23 情報処理装置、情報処理装置の処理方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020009198A JP2021117589A (ja) 2020-01-23 2020-01-23 情報処理装置、情報処理装置の処理方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2021117589A true JP2021117589A (ja) 2021-08-10

Family

ID=77174853

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020009198A Pending JP2021117589A (ja) 2020-01-23 2020-01-23 情報処理装置、情報処理装置の処理方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2021117589A (ja)

Similar Documents

Publication Publication Date Title
US11669609B2 (en) Information processing apparatus, control method of the same, and storage medium
US9576132B2 (en) Information processing apparatus and information processing method
JP2019075000A (ja) 情報処理装置、その制御方法、及びプログラム
US11010153B2 (en) Information processing apparatus that detects falsification of a program, method of controlling the same, and storage medium
JP2019212114A (ja) 情報処理装置、その制御方法およびプログラム
US20080294845A1 (en) Information processing apparatus, information processing method, and information processing program product
JP2020160747A (ja) 情報処理装置、その制御方法、及びプログラム
US20220284103A1 (en) Information processing apparatus, information processing method, and storage medium
US20210144014A1 (en) Information processing apparatus, method for ensuring files and storage medium
JP2019191698A (ja) 情報処理装置、制御方法、およびそのプログラム
JP2023101738A (ja) 情報処理装置、情報処理方法およびプログラム
JP2021117589A (ja) 情報処理装置、情報処理装置の処理方法およびプログラム
US11947948B2 (en) Information processing apparatus, information processing method, and storage medium
JP7374780B2 (ja) 情報処理装置および情報処理装置の制御方法
JP2020082441A (ja) 画像形成装置、その制御方法、及びプログラム
JP7182966B2 (ja) 情報処理装置、情報処理装置の起動方法、及びプログラム
JP2008171041A (ja) 画像形成装置、画像形成装置の起動方法、制御装置及び拡張ユニットの起動方法
JP2023172570A (ja) 情報処理装置及び情報処理装置の制御方法
JP2021117523A (ja) 情報処理装置、情報処理装置の処理方法およびプログラム
JP2003084982A (ja) プログラムを画像処理装置にインストールする方法及びそのシステム、並びにプログラム書き換え機能を有する画像処理装置及び画像処理装置のプログラム書き換え方法
US11928217B2 (en) Information processing apparatus, control method of information processing apparatus, and storage medium
JP2020154601A (ja) 情報処理装置とその制御方法、及びプログラム
JP2020053002A (ja) 情報処理装置とその制御方法、及びプログラム
US11907049B2 (en) Information processing apparatus, method of controlling the same, and storage medium with features for updating code and data areas of non-volatile memory
US20220113990A1 (en) Information processing apparatus, information processing method, and storage medium