JP2022060950A - 欺瞞システム、欺瞞方法および欺瞞プログラム - Google Patents
欺瞞システム、欺瞞方法および欺瞞プログラム Download PDFInfo
- Publication number
- JP2022060950A JP2022060950A JP2020168731A JP2020168731A JP2022060950A JP 2022060950 A JP2022060950 A JP 2022060950A JP 2020168731 A JP2020168731 A JP 2020168731A JP 2020168731 A JP2020168731 A JP 2020168731A JP 2022060950 A JP2022060950 A JP 2022060950A
- Authority
- JP
- Japan
- Prior art keywords
- directory
- dummy
- regular
- icon image
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 36
- 238000012544 monitoring process Methods 0.000 claims abstract description 28
- 238000012790 confirmation Methods 0.000 claims description 29
- 238000001514 detection method Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 13
- 230000005764 inhibitory process Effects 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】正規ユーザの利便性を保ちながら攻撃者の活動を阻害できるようにする。【解決手段】管理装置300は、正規ディレクトリとダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する。そして、ファイルサーバ200は、決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する。【選択図】図1
Description
本開示は、サイバー攻撃を阻害する欺瞞機構に関するものである。
攻撃者は、様々な手法によって標的人物にメールを開かせることでコンピュータをマルウェアに感染させる。その後、攻撃者は、マルウェアを通して組織内部を探索し、情報窃取または破壊活動のような目的を達成する。多層防御の考え方に基づき、攻撃者に侵入された後でも、攻撃者の活動を阻害する技術が求められる。
非特許文献1は、正規の環境に欺瞞機構を搭載する手法を提案している。
欺瞞機構は、監視対象の環境を模擬し、配置した餌情報(bait information)を監視する。これにより、欺瞞機構は、攻撃者が餌情報に引っ掛かった際に、攻撃者の活動を検知することができる。欺瞞機構により、マルウェアの活動をプロアクティブに検知すること、および、攻撃者の活動を阻害すること、が可能になる。
欺瞞機構は、監視対象の環境を模擬し、配置した餌情報(bait information)を監視する。これにより、欺瞞機構は、攻撃者が餌情報に引っ掛かった際に、攻撃者の活動を検知することができる。欺瞞機構により、マルウェアの活動をプロアクティブに検知すること、および、攻撃者の活動を阻害すること、が可能になる。
非特許文献1の手法では、正規ユーザの利便性向上を目的として、欺瞞機構が、正規ユーザによって操作されているシステム上では欺瞞機能をオフにする。
青池優, 神薗雅紀, 衛藤将史, 松本倫子, & 吉田紀彦. (2019). 欺瞞機構に伴う利便性低下を防止するためのおとりファイル非表示化. コンピュータセキュリティシンポジウム 2019 論文集, 2019, 691-696.
非特許文献1の手法では、正規ユーザを「GUIを利用するユーザ」と定義し、攻撃者を「CUIを利用するユーザ」と定義する。
そして、正規ユーザの利用中はダミーファイルが表示されず、正規ユーザの利便性が損なわれない。
しかし、正規ユーザの利用中は、CUI上でもダミーファイルが表示されない。そのため、CUIを用いる攻撃者は、正規ユーザの利用時間を特定することで、どのファイルが正規ファイルであるかを推定することが可能である。
また、正規ユーザが利用するOSにおいては、正規プログラムも稼働している。
そのため、非特許文献1のように、単純に「CUIを利用するユーザ」を攻撃者と定義する手法の場合は、正規プログラムの動作も阻害されてしまう。
そして、正規ユーザの利用中はダミーファイルが表示されず、正規ユーザの利便性が損なわれない。
しかし、正規ユーザの利用中は、CUI上でもダミーファイルが表示されない。そのため、CUIを用いる攻撃者は、正規ユーザの利用時間を特定することで、どのファイルが正規ファイルであるかを推定することが可能である。
また、正規ユーザが利用するOSにおいては、正規プログラムも稼働している。
そのため、非特許文献1のように、単純に「CUIを利用するユーザ」を攻撃者と定義する手法の場合は、正規プログラムの動作も阻害されてしまう。
本開示は、正規ユーザの利便性を保ちながら攻撃者の活動を阻害できるようにすることを目的とする。
本開示の欺瞞システムは、
グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインインタフェースを使ってアクセスするサイバー攻撃に対処するためのシステムである。
前記欺瞞システムは、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、を備える。
グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインインタフェースを使ってアクセスするサイバー攻撃に対処するためのシステムである。
前記欺瞞システムは、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、を備える。
本開示によれば、ダミーディレクトリの存在によって攻撃者の活動が阻害される。さらに、正規ユーザはアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザの利便性が保たれる。つまり、正規ユーザの利便性を保ちながら攻撃者の活動を阻害することが可能となる。
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
欺瞞システム100について、図1から図14に基づいて説明する。
欺瞞システム100について、図1から図14に基づいて説明する。
***構成の説明***
図1に基づいて、欺瞞システム100の構成を説明する。
欺瞞システム100は、GUIを使って正規ユーザ101からアクセスされるディレクトリにCUIを使ってアクセスするサイバー攻撃に対処するためのシステムである。
GUIは、グラフィカルユーザインタフェースの略称である。
CUIは、キャラクタユーザインタフェースの略称である。キャラクタユーザインタフェースは、キャラクタベースユーザインタフェース(CUI)、コンソールユーザインタフェース(CUI)またはコマンドラインインタフェース(CLI)ともいう。
図1に基づいて、欺瞞システム100の構成を説明する。
欺瞞システム100は、GUIを使って正規ユーザ101からアクセスされるディレクトリにCUIを使ってアクセスするサイバー攻撃に対処するためのシステムである。
GUIは、グラフィカルユーザインタフェースの略称である。
CUIは、キャラクタユーザインタフェースの略称である。キャラクタユーザインタフェースは、キャラクタベースユーザインタフェース(CUI)、コンソールユーザインタフェース(CUI)またはコマンドラインインタフェース(CLI)ともいう。
欺瞞システム100は、ファイルサーバ200と、管理装置300と、を備える。
ファイルサーバ200は、ディレクトリおよびファイルを管理するコンピュータである。
管理装置300は、サイバー攻撃によるファイルサーバ200へのアクセスに対処するためのコンピュータである。
正規ユーザ101は、ファイルサーバ200へのアクセスが許可されたユーザである。例えば、正規ユーザ101は、ファイルサーバ200を管理する組織に属する人である。正規ユーザ101は、GUIを使ってファイルサーバ200にアクセスする。例えば、正規ユーザ101は、ユーザ端末に表示されるアイコン画像をクリックすることによって、ディレクトリまたはファイルを開く。
正規プログラム102は、ファイルサーバ200へのアクセスが許可されたプログラムである。例えば、正規プログラム102は、正規ユーザ101のユーザ端末にインストールされたアンチウィルスソフトウェアである。正規プログラム102は、CUIを使ってファイルサーバ200にアクセスする。
攻撃者103は、サイバー攻撃を行う者である。攻撃者103は、不正プログラム104を使ってファイルサーバ200にアクセスする。
不正プログラム104は、サイバー攻撃のためのプログラムである。例えば、不正プログラム104は、正規ユーザ101のユーザ端末にインストールされたマルウェアである。不正プログラム104は、CUIを使ってファイルサーバ200にアクセスする。
ファイルサーバ200は、ディレクトリおよびファイルを管理するコンピュータである。
管理装置300は、サイバー攻撃によるファイルサーバ200へのアクセスに対処するためのコンピュータである。
正規ユーザ101は、ファイルサーバ200へのアクセスが許可されたユーザである。例えば、正規ユーザ101は、ファイルサーバ200を管理する組織に属する人である。正規ユーザ101は、GUIを使ってファイルサーバ200にアクセスする。例えば、正規ユーザ101は、ユーザ端末に表示されるアイコン画像をクリックすることによって、ディレクトリまたはファイルを開く。
正規プログラム102は、ファイルサーバ200へのアクセスが許可されたプログラムである。例えば、正規プログラム102は、正規ユーザ101のユーザ端末にインストールされたアンチウィルスソフトウェアである。正規プログラム102は、CUIを使ってファイルサーバ200にアクセスする。
攻撃者103は、サイバー攻撃を行う者である。攻撃者103は、不正プログラム104を使ってファイルサーバ200にアクセスする。
不正プログラム104は、サイバー攻撃のためのプログラムである。例えば、不正プログラム104は、正規ユーザ101のユーザ端末にインストールされたマルウェアである。不正プログラム104は、CUIを使ってファイルサーバ200にアクセスする。
図2に基づいて、ファイルサーバ200の構成を説明する。
ファイルサーバ200は、プロセッサ201とメモリ202と補助記憶装置203と通信装置204と入出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
ファイルサーバ200は、プロセッサ201とメモリ202と補助記憶装置203と通信装置204と入出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ201は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ201は、CPU、DSPまたはGPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
DSPは、Digital Signal Processorの略称である。
GPUは、Graphics Processing Unitの略称である。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
DSPは、Digital Signal Processorの略称である。
GPUは、Graphics Processing Unitの略称である。
メモリ202は揮発性または不揮発性の記憶装置である。メモリ202は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ202はRAMである。メモリ202に記憶されたデータは必要に応じて補助記憶装置203に保存される。
RAMは、Random Access Memoryの略称である。
RAMは、Random Access Memoryの略称である。
補助記憶装置203は不揮発性の記憶装置である。例えば、補助記憶装置203は、ROM、HDDまたはフラッシュメモリである。補助記憶装置203に記憶されたデータは必要に応じてメモリ202にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
通信装置204はレシーバ及びトランスミッタである。例えば、通信装置204は通信チップまたはNICである。
NICは、Network Interface Cardの略称である。
NICは、Network Interface Cardの略称である。
入出力インタフェース205は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース205はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
USBは、Universal Serial Busの略称である。
USBは、Universal Serial Busの略称である。
ファイルサーバ200は、構成通知部211と監視対象生成部212とアクセスログ記録部213といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置203には、監視対象ディレクトリ220が記憶される。
補助記憶装置203には、構成通知部211と監視対象生成部212とアクセスログ記録部213としてコンピュータを機能させるためのファイルサーバプログラムが記憶されている。ファイルサーバプログラムは、メモリ202にロードされて、プロセッサ201によって実行される。
補助記憶装置203には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
プロセッサ201は、OSを実行しながら、ファイルサーバプログラムを実行する。
OSは、Operating Systemの略称である。
補助記憶装置203には、構成通知部211と監視対象生成部212とアクセスログ記録部213としてコンピュータを機能させるためのファイルサーバプログラムが記憶されている。ファイルサーバプログラムは、メモリ202にロードされて、プロセッサ201によって実行される。
補助記憶装置203には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
プロセッサ201は、OSを実行しながら、ファイルサーバプログラムを実行する。
OSは、Operating Systemの略称である。
ファイルサーバプログラムの入出力データは記憶部に記憶される。
メモリ202は記憶部として機能する。但し、補助記憶装置203、プロセッサ201内のレジスタおよびプロセッサ201内のキャッシュメモリなどの記憶装置が、メモリ202の代わりに、又は、メモリ202と共に、記憶部として機能してもよい。
メモリ202は記憶部として機能する。但し、補助記憶装置203、プロセッサ201内のレジスタおよびプロセッサ201内のキャッシュメモリなどの記憶装置が、メモリ202の代わりに、又は、メモリ202と共に、記憶部として機能してもよい。
ファイルサーバ200は、プロセッサ201を代替する複数のプロセッサを備えてもよい。
ファイルサーバプログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
図3に基づいて、管理装置300の構成を説明する。
管理装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
管理装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ301は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ301はCPU、DSPまたはGPUである。
メモリ302は揮発性または不揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。
入出力インタフェース305は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
メモリ302は揮発性または不揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。
入出力インタフェース305は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
管理装置300は、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置303には、ログデータベース320が記憶される。
補助記憶装置303には、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314としてコンピュータを機能させるための管理プログラムが記憶されている。管理プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
補助記憶装置303には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
プロセッサ301は、OSを実行しながら、管理プログラムを実行する。
補助記憶装置303には、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314としてコンピュータを機能させるための管理プログラムが記憶されている。管理プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
補助記憶装置303には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
プロセッサ301は、OSを実行しながら、管理プログラムを実行する。
管理プログラムの入出力データは記憶部390に記憶される。
メモリ302は記憶部390として機能する。但し、補助記憶装置303、プロセッサ301内のレジスタおよびプロセッサ301内のキャッシュメモリなどの記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
メモリ302は記憶部390として機能する。但し、補助記憶装置303、プロセッサ301内のレジスタおよびプロセッサ301内のキャッシュメモリなどの記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
管理装置300は、プロセッサ301を代替する複数のプロセッサを備えてもよい。
管理プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
***動作の説明***
欺瞞システム100の動作の手順は欺瞞方法に相当する。また、欺瞞システム100の動作の手順は欺瞞プログラムによる処理の手順に相当する。欺瞞プログラムは、ファイルサーバプログラムと管理プログラムとを含む。
欺瞞システム100の動作の手順は欺瞞方法に相当する。また、欺瞞システム100の動作の手順は欺瞞プログラムによる処理の手順に相当する。欺瞞プログラムは、ファイルサーバプログラムと管理プログラムとを含む。
図4に基づいて、欺瞞方法の準備段階について説明する。
ステップS110において、欺瞞指示部311は、生成指示を送信する。
生成指示は、監視対象ディレクトリ220の生成の指示を示すデータである。
ステップS110において、欺瞞指示部311は、生成指示を送信する。
生成指示は、監視対象ディレクトリ220の生成の指示を示すデータである。
ステップS120において、監視対象生成部212は、正規ディレクトリを監視対象ディレクトリ220に置き換える。
正規ディレクトリは、ダミーの生成の対象となるディレクトリであり、ファイルサーバ200に予め存在する。
正規ディレクトリのダミーとなるディレクトリを「ダミーディレクトリ」と称する。
監視対象ディレクトリ220は、正規ディレクトリとダミーディレクトリとを含むディレクトリ群である。
ステップS120の詳細について後述する。
正規ディレクトリは、ダミーの生成の対象となるディレクトリであり、ファイルサーバ200に予め存在する。
正規ディレクトリのダミーとなるディレクトリを「ダミーディレクトリ」と称する。
監視対象ディレクトリ220は、正規ディレクトリとダミーディレクトリとを含むディレクトリ群である。
ステップS120の詳細について後述する。
ステップS130において、監視対象生成部212は、監視対象ディレクトリ220の中の各ディレクトリのアイコン画像を変更する。
つまり、監視対象生成部212は、正規ディレクトリとダミーディレクトリとのそれぞれのアイコン画像を変更する。
ステップS130の詳細について後述する。
つまり、監視対象生成部212は、正規ディレクトリとダミーディレクトリとのそれぞれのアイコン画像を変更する。
ステップS130の詳細について後述する。
図5に基づいて、ステップS120の手順を説明する。
ステップS121において、構成通知部211は、生成指示を受信する。
そして、構成通知部211は、正規ディレクトリの構成情報を得る。ディレクトリの構成情報はディレクトリの中の構成(内部構成)を示す情報である。例えば、構成通知部211は、正規ディレクトリの構成情報をOSから取得する。
ステップS121において、構成通知部211は、生成指示を受信する。
そして、構成通知部211は、正規ディレクトリの構成情報を得る。ディレクトリの構成情報はディレクトリの中の構成(内部構成)を示す情報である。例えば、構成通知部211は、正規ディレクトリの構成情報をOSから取得する。
ステップS122において、構成通知部211は、正規構成通知を送信する。
正規構成通知は、正規ディレクトリの構成情報を示すデータである。
正規構成通知は、正規ディレクトリの構成情報を示すデータである。
ステップS123において、構成管理部312は、正規構成通知を受信する。
次に、構成管理部312は、正規構成通知に示される正規ディレクトリの内部構成に基づいて、監視対象ディレクトリ220の内部構成を決定する。
そして、構成管理部312は、内部構成リストを生成する。内部構成リストは、監視対象ディレクトリ220の内部構成を示す。例えば、内部構成リストは、監視対象ディレクトリ220の中の各ディレクトリの名称およびパスを示す。
また、構成管理部312は、内部構成リストを記憶部390に保存する。これにより、ファイルサーバ200において、内部構成リストを参照して各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
次に、構成管理部312は、正規構成通知に示される正規ディレクトリの内部構成に基づいて、監視対象ディレクトリ220の内部構成を決定する。
そして、構成管理部312は、内部構成リストを生成する。内部構成リストは、監視対象ディレクトリ220の内部構成を示す。例えば、内部構成リストは、監視対象ディレクトリ220の中の各ディレクトリの名称およびパスを示す。
また、構成管理部312は、内部構成リストを記憶部390に保存する。これにより、ファイルサーバ200において、内部構成リストを参照して各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
ステップS124において、構成管理部312は、内部構成リストを送信する。
ステップS125において、監視対象生成部212は、内部構成リストを受信する。
そして、監視対象生成部212は、内部構成リストに示される内部構成を有するディレクトリを生成する。生成されるディレクトリが監視対象ディレクトリ220である。このとき、正規ディレクトリは監視対象ディレクトリ220に統合される。
その後、監視対象生成部212は、内部構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
そして、監視対象生成部212は、内部構成リストに示される内部構成を有するディレクトリを生成する。生成されるディレクトリが監視対象ディレクトリ220である。このとき、正規ディレクトリは監視対象ディレクトリ220に統合される。
その後、監視対象生成部212は、内部構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
図6に、正規ディレクトリ221と監視対象ディレクトリ220とのそれぞれの構成の例を示す。
正規ディレクトリ221は、ディレクトリA、ディレクトリBおよびディレクトリCで構成されている。ディレクトリA、ディレクトリBおよびディレクトリCは、rootディレクトリの下に配置されている。ディレクトリA、ディレクトリBおよびディレクトリCは階層を成している。
監視対象ディレクトリ220は、正規ディレクトリ221と、正規ディレクトリ221に対するダミーディレクトリと、を含んでいる。
ディレクトリA1は、正規ディレクトリ221であるディレクトリAに相当する。
ディレクトリA1の下において、ディレクトリB1は正規ディレクトリ221であるディレクトリBに相当し、ディレクトリB1の下のディレクトリC1は正規ディレクトリ221であるディレクトリCに相当する。
正規ディレクトリ221は、ディレクトリA、ディレクトリBおよびディレクトリCで構成されている。ディレクトリA、ディレクトリBおよびディレクトリCは、rootディレクトリの下に配置されている。ディレクトリA、ディレクトリBおよびディレクトリCは階層を成している。
監視対象ディレクトリ220は、正規ディレクトリ221と、正規ディレクトリ221に対するダミーディレクトリと、を含んでいる。
ディレクトリA1は、正規ディレクトリ221であるディレクトリAに相当する。
ディレクトリA1の下において、ディレクトリB1は正規ディレクトリ221であるディレクトリBに相当し、ディレクトリB1の下のディレクトリC1は正規ディレクトリ221であるディレクトリCに相当する。
監視対象ディレクトリ220において、その他のディレクトリは全てダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB1の下のディレクトリC2は、ディレクトリB1の下のディレクトリC1に対するダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB2は、ディレクトリB1に対するダミーディレクトリであり、ディレクトリB1と同じ構成を有している。
ディレクトリA2は、ディレクトリA1に対するダミーディレクトリであり、ディレクトリA1と同じ構成を有している。
このように、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれと同じ構成を有するダミーディレクトリを含む。これにより、攻撃者103が正規ディレクトリ221にアクセスする手間を増やし、攻撃者103の攻撃コストを増大させることができる。
ディレクトリA1の下において、ディレクトリB1の下のディレクトリC2は、ディレクトリB1の下のディレクトリC1に対するダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB2は、ディレクトリB1に対するダミーディレクトリであり、ディレクトリB1と同じ構成を有している。
ディレクトリA2は、ディレクトリA1に対するダミーディレクトリであり、ディレクトリA1と同じ構成を有している。
このように、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれと同じ構成を有するダミーディレクトリを含む。これにより、攻撃者103が正規ディレクトリ221にアクセスする手間を増やし、攻撃者103の攻撃コストを増大させることができる。
図7に、正規ディレクトリ221と監視対象ディレクトリ220とのそれぞれの構成の例を示す。
正規ディレクトリ221は、ディレクトリA、ディレクトリB、ディレクトリCおよびディレクトリDで構成されている。
監視対象ディレクトリ220において、ディレクトリA1の下のディレクトリD1は、正規ディレクトリ221であるディレクトリDに相当する。ディレクトリD2は、ディレクトリD1に対するダミーディレクトリである。
攻撃者103は、監視対象ディレクトリ220の中の正規ディレクトリ221にアクセスするために、常に2択を迫られる。
正規ディレクトリ221は、ディレクトリA、ディレクトリB、ディレクトリCおよびディレクトリDで構成されている。
監視対象ディレクトリ220において、ディレクトリA1の下のディレクトリD1は、正規ディレクトリ221であるディレクトリDに相当する。ディレクトリD2は、ディレクトリD1に対するダミーディレクトリである。
攻撃者103は、監視対象ディレクトリ220の中の正規ディレクトリ221にアクセスするために、常に2択を迫られる。
監視対象ディレクトリ220の構成は、図6または図7に示すような構成に限られない。例えば、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれに対して2つ以上のダミーディレクトリを含んでもよい。
図8に、監視対象ディレクトリ220の内部構成リストを生成するためのプログラムコードの例を示す。
「dir」は、プログラムコードの入力を表す。入力dirは、例えば、辞書形式で与えられる。具体的には、入力dirはハッシュテーブルである。
「dir」は、プログラムコードの入力を表す。入力dirは、例えば、辞書形式で与えられる。具体的には、入力dirはハッシュテーブルである。
図7の場合、入力dirは以下のように表される。
dir = {“root”:[“A”],“A”:[“B”,“D”],“B”:[“C”],“C”:[],“D”:[]}
“X”のXは、ディレクトリ名を表す。
“X”:[“Y”]は、ディレクトリYがディレクトリXの下のディレクトリであることを意味する。
dir = {“root”:[“A”],“A”:[“B”,“D”],“B”:[“C”],“C”:[],“D”:[]}
“X”のXは、ディレクトリ名を表す。
“X”:[“Y”]は、ディレクトリYがディレクトリXの下のディレクトリであることを意味する。
上記の入力dirに対してプログラムコードが実行されることにより、以下のような出力が得られる。
{‘root’:[‘A1’,‘A2’],‘A1:[‘B1’,‘B2’,‘D1’,‘D2’],‘A2’:[‘B1’,‘B2’,‘D1’,‘D2’],‘B1’:[‘C1’,‘C2’],‘B2’:[‘C1’,‘C2’],‘C1’:[],‘C2’:[],‘D1’:[],‘D2’:[]}
‘X’のXは、ディレクトリ名を表す。
ディレクトリ名の末尾が「1」であるディレクトリが正規ディレクトリ221である。つまり、A1/B1/C1およびA1/D1が正規ディレクトリ221である。X/Yは、ディレクトリXおよびディレクトリXの下のディレクトリYを表す。
{‘root’:[‘A1’,‘A2’],‘A1:[‘B1’,‘B2’,‘D1’,‘D2’],‘A2’:[‘B1’,‘B2’,‘D1’,‘D2’],‘B1’:[‘C1’,‘C2’],‘B2’:[‘C1’,‘C2’],‘C1’:[],‘C2’:[],‘D1’:[],‘D2’:[]}
‘X’のXは、ディレクトリ名を表す。
ディレクトリ名の末尾が「1」であるディレクトリが正規ディレクトリ221である。つまり、A1/B1/C1およびA1/D1が正規ディレクトリ221である。X/Yは、ディレクトリXおよびディレクトリXの下のディレクトリYを表す。
なお、正規ディレクトリ221の中にファイルが存在する場合、ダミーディレクトリの中にダミーファイルが生成される。正規ディレクトリ221の中のファイルを「正規ファイル」と称する。
ダミーファイルの名称およびアイコン画像は、正規ファイルの名称およびアイコン画像と同じである。
ダミーファイルの中身は、正規ファイルの中身と異なる。具体的には、ダミーファイルを特定する情報がダミーファイルに記載される。例えば、ダミーファイルには「dummy」という単語が記載される。これにより、正規ユーザ101がダミーファイルを開いた場合に、正規ユーザ101は、誤ってダミーファイルを開いたことに気づくことができる。
ダミーファイルのサイズは、正規ファイルのサイズと同じにする。これにより、攻撃者103は、ファイルサイズの情報を参照して正規ファイルとダミーファイルとを識別できない。
ダミーファイルの名称およびアイコン画像は、正規ファイルの名称およびアイコン画像と同じである。
ダミーファイルの中身は、正規ファイルの中身と異なる。具体的には、ダミーファイルを特定する情報がダミーファイルに記載される。例えば、ダミーファイルには「dummy」という単語が記載される。これにより、正規ユーザ101がダミーファイルを開いた場合に、正規ユーザ101は、誤ってダミーファイルを開いたことに気づくことができる。
ダミーファイルのサイズは、正規ファイルのサイズと同じにする。これにより、攻撃者103は、ファイルサイズの情報を参照して正規ファイルとダミーファイルとを識別できない。
図9に基づいて、ステップS130の手順を説明する。
ステップS131において、構成管理部312は、監視対象ディレクトリ220の中の各ディレクトリのためのアイコン画像を得る。
つまり、構成管理部312は、正規ディレクトリのためのアイコン画像と、ダミーディレクトリのためのアイコン画像と、を得る。
正規ディレクトリのためのアイコン画像を「正規アイコン画像」と称する。正規アイコン画像は正規ディレクトリを表す。
ダミーディレクトリのためのアイコン画像を「ダミーアイコン画像」と称する。ダミーアイコン画像はダミーディレクトリを表す。
ステップS131において、構成管理部312は、監視対象ディレクトリ220の中の各ディレクトリのためのアイコン画像を得る。
つまり、構成管理部312は、正規ディレクトリのためのアイコン画像と、ダミーディレクトリのためのアイコン画像と、を得る。
正規ディレクトリのためのアイコン画像を「正規アイコン画像」と称する。正規アイコン画像は正規ディレクトリを表す。
ダミーディレクトリのためのアイコン画像を「ダミーアイコン画像」と称する。ダミーアイコン画像はダミーディレクトリを表す。
図10に、正規アイコン画像223とダミーアイコン画像224とのそれぞれの例を示す。
正規アイコン画像223には丸印が記されている。正規アイコン画像223のようなアイコン画像が使用されることにより、正規ユーザ101は、正規ディレクトリを一目で識別することができる。
ダミーアイコン画像224にはバツ印が記されている。ダミーアイコン画像224のようなアイコン画像が使用されることにより、正規ユーザ101は、ダミーディレクトリを一目で識別することができる。
正規アイコン画像223とダミーアイコン画像224は、記憶部390に予め記憶される。
構成管理部312は、正規ディレクトリの数と同じ数だけ正規アイコン画像223を複製する。
構成管理部312は、ダミーディレクトリの数と同じ数だけダミーアイコン画像224を複製する。
正規アイコン画像223には丸印が記されている。正規アイコン画像223のようなアイコン画像が使用されることにより、正規ユーザ101は、正規ディレクトリを一目で識別することができる。
ダミーアイコン画像224にはバツ印が記されている。ダミーアイコン画像224のようなアイコン画像が使用されることにより、正規ユーザ101は、ダミーディレクトリを一目で識別することができる。
正規アイコン画像223とダミーアイコン画像224は、記憶部390に予め記憶される。
構成管理部312は、正規ディレクトリの数と同じ数だけ正規アイコン画像223を複製する。
構成管理部312は、ダミーディレクトリの数と同じ数だけダミーアイコン画像224を複製する。
図9に戻り、ステップS132から説明を続ける。
ステップS132において、構成管理部312は、各アイコン画像の名称を生成する。つまり、構成管理部312は、正規アイコン画像の名称と、ダミーアイコン画像の名称と、を生成する。
正規アイコン画像の名称を「正規アイコン名」と称する。
ダミーアイコン画像の名称を「ダミーアイコン名」と称する。
ステップS132において、構成管理部312は、各アイコン画像の名称を生成する。つまり、構成管理部312は、正規アイコン画像の名称と、ダミーアイコン画像の名称と、を生成する。
正規アイコン画像の名称を「正規アイコン名」と称する。
ダミーアイコン画像の名称を「ダミーアイコン名」と称する。
正規アイコン名およびダミーアイコン名は以下のように生成される。
まず、構成管理部312は、正規アイコン画像のための識別子と、ダミーアイコン画像のための識別子と、をランダムに生成する。
正規アイコン画像のための識別子を「正規識別子」と称する。ダミーアイコン画像のための識別子を「ダミー識別子」と称する。
具体的には、構成管理部312は、ランダムに文字列を生成する。生成される文字列を「ランダム文字列」と称する。そして、構成管理部312は、正規ディレクトリ用の記号をランダム文字列に付加して正規識別子を生成し、ダミーディレクトリ用の記号をランダム文字列に付加してダミー識別子を生成する。
例えば、「g」が正規ディレクトリ用の記号であり、「d」がダミーディレクトリ用の記号である場合、「g_ランダム文字列」が正規識別子となり、「d_ランダム文字列」がダミー識別子となる。
そして、構成管理部312は、正規識別子を暗号化して暗号化正規識別子を生成する。暗号化正規識別子が正規アイコン名として使用される。また、構成管理部312は、ダミー識別子を暗号化して暗号化ダミー識別子を生成する。暗号化ダミー識別子がダミーアイコン名として使用される。
暗号化または復号に用いられる鍵(暗号鍵)は記憶部390に予め登録される。例えば、共通鍵が暗号鍵として用いられる。そして、共通鍵暗号によって正規識別子とダミー識別子とのそれぞれが暗号化される。また、正規アイコン名が正規識別子に復号され、ダミ
ーアイコン名がダミー識別子に復号される。
まず、構成管理部312は、正規アイコン画像のための識別子と、ダミーアイコン画像のための識別子と、をランダムに生成する。
正規アイコン画像のための識別子を「正規識別子」と称する。ダミーアイコン画像のための識別子を「ダミー識別子」と称する。
具体的には、構成管理部312は、ランダムに文字列を生成する。生成される文字列を「ランダム文字列」と称する。そして、構成管理部312は、正規ディレクトリ用の記号をランダム文字列に付加して正規識別子を生成し、ダミーディレクトリ用の記号をランダム文字列に付加してダミー識別子を生成する。
例えば、「g」が正規ディレクトリ用の記号であり、「d」がダミーディレクトリ用の記号である場合、「g_ランダム文字列」が正規識別子となり、「d_ランダム文字列」がダミー識別子となる。
そして、構成管理部312は、正規識別子を暗号化して暗号化正規識別子を生成する。暗号化正規識別子が正規アイコン名として使用される。また、構成管理部312は、ダミー識別子を暗号化して暗号化ダミー識別子を生成する。暗号化ダミー識別子がダミーアイコン名として使用される。
暗号化または復号に用いられる鍵(暗号鍵)は記憶部390に予め登録される。例えば、共通鍵が暗号鍵として用いられる。そして、共通鍵暗号によって正規識別子とダミー識別子とのそれぞれが暗号化される。また、正規アイコン名が正規識別子に復号され、ダミ
ーアイコン名がダミー識別子に復号される。
ステップS133において、構成管理部312は、内部構成リストと正規アイコン画像と正規アイコン名とダミーアイコン画像とダミーアイコン名とを用いて、対象構成リストを生成する。
対象構成リストは、内部構成リストの内容を示し、監視対象ディレクトリ220の中の各ディレクトリに対応付けてアイコン画像と名称とを示す。例えば、対象構成リストは表形式で生成される。
対象構成リストは、内部構成リストの内容を示し、監視対象ディレクトリ220の中の各ディレクトリに対応付けてアイコン画像と名称とを示す。例えば、対象構成リストは表形式で生成される。
また、構成管理部312は、対象構成リストを記憶部390に保存する。これにより、管理装置300において、対象構成リストを参照して監視対象ディレクトリ220の中の各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
対象構成リストと内部構成リストとの両方が管理されてもよいし、内部構成リストが対象構成リストに統合されてもよい。
対象構成リストと内部構成リストとの両方が管理されてもよいし、内部構成リストが対象構成リストに統合されてもよい。
ステップS134において、構成管理部312は、対象構成リストを送信する。
対象構成リストによって、監視対象ディレクトリ220の各ディレクトリに対するアイコン画像および名称が指定される。
対象構成リストによって、監視対象ディレクトリ220の各ディレクトリに対するアイコン画像および名称が指定される。
ステップS135において、監視対象生成部212は、対象構成リストを受信する。
そして、監視対象生成部212は、対象構成リストを参照し、監視対象ディレクトリ220の中の各ディレクトリに対象構成リストに示されるアイコン画像を設定する。
つまり、監視対象生成部212は、正規ディレクトリに正規アイコン画像を設定し、ダミーディレクトリにダミーアイコン画像を設定する。
そして、監視対象生成部212は、対象構成リストを参照し、監視対象ディレクトリ220の中の各ディレクトリに対象構成リストに示されるアイコン画像を設定する。
つまり、監視対象生成部212は、正規ディレクトリに正規アイコン画像を設定し、ダミーディレクトリにダミーアイコン画像を設定する。
ステップS136において、監視対象生成部212は、対象構成リストを参照し、各アイコン画像に対象構成リストに示される名称を設定する。
つまり、監視対象生成部212は、正規アイコン画像に正規アイコン名を設定し、ダミーアイコン画像にダミーアイコン名を設定する。
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各アイコン画像の名称を参照して各アイコン画像が正規アイコン画像とダミーアイコン画像とのいずれであるか特定されない。
つまり、監視対象生成部212は、正規アイコン画像に正規アイコン名を設定し、ダミーアイコン画像にダミーアイコン名を設定する。
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各アイコン画像の名称を参照して各アイコン画像が正規アイコン画像とダミーアイコン画像とのいずれであるか特定されない。
図11に、アイコン画像群の例を示す。
正規アイコン画像223のそれぞれには、正規アイコン名が設定されている。
ダミーアイコン画像224のそれぞれには、ダミーアイコン名が設定されている。
正規アイコン名とダミーアイコン名とのそれぞれは、暗号化された識別子である。そのため、アイコン画像の名称を参照しても、アイコン画像が正規ディレクトリとダミーディレクトリとのいずれのものであるか判定することはできない。
これにより、不正プログラム104は、正規ディレクトリとダミーディレクトリとを判別することができない。
正規アイコン画像223のそれぞれには、正規アイコン名が設定されている。
ダミーアイコン画像224のそれぞれには、ダミーアイコン名が設定されている。
正規アイコン名とダミーアイコン名とのそれぞれは、暗号化された識別子である。そのため、アイコン画像の名称を参照しても、アイコン画像が正規ディレクトリとダミーディレクトリとのいずれのものであるか判定することはできない。
これにより、不正プログラム104は、正規ディレクトリとダミーディレクトリとを判別することができない。
一方、正規プログラム102は、暗号鍵を用いてアイコン画像の名称からディレクトリの識別子を復号し、ディレクトリの識別子を参照することによって正規ディレクトリとダミーディレクトリとを判別することができる。暗号鍵は、ダミーアクセス検知部313が所持する。
以降において、欺瞞方法の運用段階について説明する。
図12に基づいて、欺瞞方法におけるアクセスログの記録について説明する。
ステップS141において、アクセスログ記録部213は、監視対象ディレクトリ220へのアクセスを監視する。
例えば、アクセスログ記録部213は、OSのイベントログを参照する。
図12に基づいて、欺瞞方法におけるアクセスログの記録について説明する。
ステップS141において、アクセスログ記録部213は、監視対象ディレクトリ220へのアクセスを監視する。
例えば、アクセスログ記録部213は、OSのイベントログを参照する。
ステップS142において、アクセスログ記録部213は、監視対象ログを得る。
監視対象ログは、監視対象ディレクトリ220へのアクセスを示すアクセスログである。アクセスログは、アクセス元名称およびアクセス先名称などを示す。
例えば、アクセスログ記録部213は、OSのイベントログから監視対象ログを抽出する。
監視対象ログは、監視対象ディレクトリ220へのアクセスを示すアクセスログである。アクセスログは、アクセス元名称およびアクセス先名称などを示す。
例えば、アクセスログ記録部213は、OSのイベントログから監視対象ログを抽出する。
ステップS143において、アクセスログ記録部213は、管理装置300と通信することによって、監視対象ログをログデータベース320に記録する。
図13に基づいて、欺瞞方法における不正なアクセスの検知について説明する。
ステップS151において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
具体的には、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスを示すアクセスログがログデータベース320に記録されているか判定する。
アクセスログに示されるアクセス先名称が対象構成リスト(または内部構成リスト)に示されるダミーディレクトリ名またはダミーアイコン名と一致する場合、そのアクセスログはダミーディレクトリへのアクセスを示している。
ステップS151において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
具体的には、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスを示すアクセスログがログデータベース320に記録されているか判定する。
アクセスログに示されるアクセス先名称が対象構成リスト(または内部構成リスト)に示されるダミーディレクトリ名またはダミーアイコン名と一致する場合、そのアクセスログはダミーディレクトリへのアクセスを示している。
ステップS152において、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスが正規プログラム102によるアクセスであるか判定する。
具体的には、ダミーアクセス検知部313は、アクセスログに示されるアクセス元名称がホワイトリストに記されているか判定する。
ホワイトリストは、正規プログラム102のリストであり、記憶部390に予め記憶される。正規プログラム102は、正規ユーザ101が利用するOSにおいて稼働している。つまり、ホワイトリストには、正規ユーザ101が利用するOSにおいて稼働している正規プログラム102が記されている。そして、ホワイトリストは、正規プログラム102と不正プログラム104とを切り分けるために使用される。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、不正プログラム104によるダミーディレクトリへのアクセスは検知されず、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、不正プログラム104によるダミーディレクトリへのアクセスが検知され、処理はステップS153に進む。
具体的には、ダミーアクセス検知部313は、アクセスログに示されるアクセス元名称がホワイトリストに記されているか判定する。
ホワイトリストは、正規プログラム102のリストであり、記憶部390に予め記憶される。正規プログラム102は、正規ユーザ101が利用するOSにおいて稼働している。つまり、ホワイトリストには、正規ユーザ101が利用するOSにおいて稼働している正規プログラム102が記されている。そして、ホワイトリストは、正規プログラム102と不正プログラム104とを切り分けるために使用される。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、不正プログラム104によるダミーディレクトリへのアクセスは検知されず、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、不正プログラム104によるダミーディレクトリへのアクセスが検知され、処理はステップS153に進む。
ステップS153において、アラート発生部314は、アラートを発生させる。
例えば、アラート発生部314は、アラートをディスプレイに表示する。
例えば、アラート発生部314は、アラートをディスプレイに表示する。
図14に基づいて、欺瞞方法における監視対象ディレクトリ220の更新について説明する。
ステップS161において、欺瞞指示部311は、定期的に更新指示を送信する。例えば、欺瞞指示部311は、1日に1回、更新指示を送信する。
更新指示は、監視対象ディレクトリ220の更新の指示を示すデータである。
ステップS161において、欺瞞指示部311は、定期的に更新指示を送信する。例えば、欺瞞指示部311は、1日に1回、更新指示を送信する。
更新指示は、監視対象ディレクトリ220の更新の指示を示すデータである。
ステップS162において、構成通知部211は、更新指示を受信する。
そして、構成通知部211は、監視対象ディレクトリ220の構成情報を得る。例えば、構成通知部211は、監視対象ディレクトリ220の構成情報をOSから取得する。
そして、構成通知部211は、監視対象ディレクトリ220の構成情報を得る。例えば、構成通知部211は、監視対象ディレクトリ220の構成情報をOSから取得する。
ステップS163において、構成通知部211は、対象構成通知を送信する。
対象構成通知は、監視対象ディレクトリ220の構成情報を示すデータである。
対象構成通知は、監視対象ディレクトリ220の構成情報を示すデータである。
ステップS164において、構成管理部312は、対象構成通知を受信する。
そして、構成管理部312は、対象構成通知に示される監視対象ディレクトリ220の内部構成に基づいて、対象構成リストを更新する。
具体的には、構成管理部312は、多重化されていない正規ディレクトリに対するダミーディレクトリ、つまり、ダミーディレクトリが存在しない正規ディレクトリに対するダミーディレクトリ、を監視対象ディレクトリ220に追加する。また、構成管理部312は、追加されるダミーディレクトリにダミーアイコン画像とダミーアイコン名とを対応付ける。
多重化されていない正規ディレクトリは、監視対象ディレクトリ220の構成情報を参照して特定される。多重化されていない正規ディレクトリは、ステップS162において構成通知部211によって特定されてもよいし、ステップS164において構成管理部312によって特定されてもよい。
そして、構成管理部312は、対象構成通知に示される監視対象ディレクトリ220の内部構成に基づいて、対象構成リストを更新する。
具体的には、構成管理部312は、多重化されていない正規ディレクトリに対するダミーディレクトリ、つまり、ダミーディレクトリが存在しない正規ディレクトリに対するダミーディレクトリ、を監視対象ディレクトリ220に追加する。また、構成管理部312は、追加されるダミーディレクトリにダミーアイコン画像とダミーアイコン名とを対応付ける。
多重化されていない正規ディレクトリは、監視対象ディレクトリ220の構成情報を参照して特定される。多重化されていない正規ディレクトリは、ステップS162において構成通知部211によって特定されてもよいし、ステップS164において構成管理部312によって特定されてもよい。
ステップS165において、構成管理部312は、更新後の対象構成リストを送信する。
ステップS166において、監視対象生成部212は、更新後の対象構成リストを受信する。
そして、監視対象生成部212は、更新後の対象構成リストに従って、監視対象ディレクトリ220を更新する。つまり、監視対象生成部212は、ダミーディレクトリが存在しない正規ディレクトリにダミーディレクトリを追加し、
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
そして、監視対象生成部212は、更新後の対象構成リストに従って、監視対象ディレクトリ220を更新する。つまり、監視対象生成部212は、ダミーディレクトリが存在しない正規ディレクトリにダミーディレクトリを追加し、
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
***実施の形態1の効果***
実施の形態1により、ダミーディレクトリの存在によって攻撃者103の活動が阻害される。さらに、正規ユーザ101はアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザ101利便性が保たれる。つまり、正規ユーザ101の利便性を保ちながら攻撃者103の活動を阻害することが可能となる。
実施の形態1により、ダミーディレクトリの存在によって攻撃者103の活動が阻害される。さらに、正規ユーザ101はアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザ101利便性が保たれる。つまり、正規ユーザ101の利便性を保ちながら攻撃者103の活動を阻害することが可能となる。
各ディレクトリのアイコン画像は、例えば、OSの機能を利用すれば変更することが可能である。
アイコン画像が変更された場合、プロパティ情報を参照することにより、指定されたアイコン画像のパスが判明する。そのため、正規ディレクトリ用のアイコン画像とダミーディレクトリ用のアイコン画像との二種類のアイコン画像だけが用意された場合、次のようなことが懸念される。攻撃者103は、いずれかのダミーディレクトリを1つ見付けてしまえば、当該ダミーディレクトリのプロパティ情報を参照してアイコン画像を特定し、特定したアイコン画像を使用しているディレクトリがすべてダミーディレクトリであると判断することができる。そのため、CUIが使用される場合であっても、どのディレクトリが正規ディレクトリであるか確認することができてしまう。
そこで、欺瞞システム100は、個々のディレクトリに対して個別のアイコン画像を用意する。ここで、正規ディレクトリが使用するアイコン画像はすべて同じ絵柄である。同様に、ダミーディレクトリが使用するアイコン画像はすべて同じ絵柄である。正規ディレクトリのアイコン画像の名称もダミーディレクトリのアイコン画像の名称も暗号化識別子
となっており、すべてのアイコン画像の名称は異なる。
正規ユーザ101はGUIを使用する。そのため、正規ユーザ101は、アイコン画像を見て正規ディレクトリとダミーディレクトリとを判別することができる。一方、攻撃者103はCUIを使用する。しかし、攻撃者103はアイコン画像の名称を見て正規ディレクトリとダミーディレクトリとを判別することができない。
アイコン画像が変更された場合、プロパティ情報を参照することにより、指定されたアイコン画像のパスが判明する。そのため、正規ディレクトリ用のアイコン画像とダミーディレクトリ用のアイコン画像との二種類のアイコン画像だけが用意された場合、次のようなことが懸念される。攻撃者103は、いずれかのダミーディレクトリを1つ見付けてしまえば、当該ダミーディレクトリのプロパティ情報を参照してアイコン画像を特定し、特定したアイコン画像を使用しているディレクトリがすべてダミーディレクトリであると判断することができる。そのため、CUIが使用される場合であっても、どのディレクトリが正規ディレクトリであるか確認することができてしまう。
そこで、欺瞞システム100は、個々のディレクトリに対して個別のアイコン画像を用意する。ここで、正規ディレクトリが使用するアイコン画像はすべて同じ絵柄である。同様に、ダミーディレクトリが使用するアイコン画像はすべて同じ絵柄である。正規ディレクトリのアイコン画像の名称もダミーディレクトリのアイコン画像の名称も暗号化識別子
となっており、すべてのアイコン画像の名称は異なる。
正規ユーザ101はGUIを使用する。そのため、正規ユーザ101は、アイコン画像を見て正規ディレクトリとダミーディレクトリとを判別することができる。一方、攻撃者103はCUIを使用する。しかし、攻撃者103はアイコン画像の名称を見て正規ディレクトリとダミーディレクトリとを判別することができない。
欺瞞システム100において、全てのディレクトリおよびファイルが多重化される。そのため、ディレクトリの階層ごとに、ダミーを含む二つ以上の選択肢が存在することとなる。また、ダミーディレクトリへのアクセスが発生した際に攻撃者103に対する通知はない。そのため、攻撃者103は、ダミーファイルを開くまでは、自身がダミーディレクトリを探索していた事実に気づくことはない。また、検索ツールを利用しても、名前が同じディレクトリが複数見つかり、ディレクトリを絞り込むことができない。そのため、検索ツールは攻撃者103にとっての有効な手段にはならない。また、ダミーディレクトリへのアクセスは攻撃検知アラートの出力のきっかけとなる。そのため、攻撃者103は、何か1つのファイルを探索するにも、ダミーディレクトリへのアクセスを避けながら行う必要がある。よって、攻撃者に負担を与えることができる。
正規ユーザ101がダミーディレクトリを含むディレクトリ構成上でファイルブラウジングを実施することを考える。この時、正規ユーザ101であっても、ダミーディレクトリを誤って選択する可能性がある。しかし、最下層以外のダミーディレクトリが選択された場合、表示されるディレクトリは全てダミーディレクトリであるため、全てのアイコン画像にバツ印が記されている。そして、表示されている全てのアイコン画像がダミーディレクトリのアイコン画像であるため、正規ユーザ101は、ダミーディレクトリを誤って選択してしまったことに気づくことができる。また、最下層のダミーディレクトリが選択された場合、ダミーディレクトリにはファイルしか存在しないので、ダミーディレクトリのアイコン画像は表示されない。この場合、正規ユーザ101はダミーディレクトリの中のファイル(ダミーファイル)を開くことになる。しかし、ダミーファイルの中にはダミーファイルを特定する情報が記されている。そのため、正規ユーザ101は、ダミーファイルを開いた時点で、ダミーディレクトリを誤って選択してしまったことに気づくことができる。
正規プログラム102によるダミーディレクトリへのアクセスについては、ホワイトリストを使って正規プログラム102によるアクセスを除外することで、アラートの発生を防ぐことができる。具体的には、ダミーディレクトリにアクセスしたプログラムがホワイトリストに記されているプログラム(正規プログラム102)である場合にアラートを発生させないようにすることができる。このように、ホワイトリストを使用することにより、正規プログラム102と不正プログラム104とを切り分けることができる。
上記の理由から、欺瞞システム100によって、正規ユーザ101および正規プログラム102の利便性を保ちながら、不正プログラム104によるアクセスの誤検知を減らすことができる。
さらに、サイバー攻撃が発覚した後に、ダミーディレクトリへのアクセス状況を把握することができるため、攻撃者103の活動を把握し、インシデントレスポンスを行うことが可能となる。
さらに、サイバー攻撃が発覚した後に、ダミーディレクトリへのアクセス状況を把握することができるため、攻撃者103の活動を把握し、インシデントレスポンスを行うことが可能となる。
実施の形態2.
不正なアクセスの誤検知を低減する形態について、主に実施の形態1と異なる点を図15および図16に基づいて説明する。
不正なアクセスの誤検知を低減する形態について、主に実施の形態1と異なる点を図15および図16に基づいて説明する。
***構成の説明***
欺瞞システム100の構成は、実施の形態1における構成と同じである(図1を参照)。但し、管理装置300の構成の一部が実施の形態1における構成と異なる。
欺瞞システム100の構成は、実施の形態1における構成と同じである(図1を参照)。但し、管理装置300の構成の一部が実施の形態1における構成と異なる。
図15に基づいて、管理装置300の構成を説明する。
管理装置300は、さらに、アクセス確認部315とアクセス確認ログ記録部316といった要素を備える。
管理プログラムは、さらに、アクセス確認部315とアクセス確認ログ記録部316としてコンピュータを機能させる。
管理装置300は、さらに、アクセス確認部315とアクセス確認ログ記録部316といった要素を備える。
管理プログラムは、さらに、アクセス確認部315とアクセス確認ログ記録部316としてコンピュータを機能させる。
***動作の説明***
欺瞞方法の準備段階については、実施の形態1における動作と同じである(図4を参照)。
欺瞞方法の運用段階において、記録および更新については、実施の形態1における動作と同じである(図12および図14を参照)。
欺瞞方法の準備段階については、実施の形態1における動作と同じである(図4を参照)。
欺瞞方法の運用段階において、記録および更新については、実施の形態1における動作と同じである(図12および図14を参照)。
図16に基づいて、欺瞞方法における不正なアクセスの検知について説明する。
ステップS251において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
ステップS251は、実施の形態1におけるステップS151と同じである。
ステップS251は、実施の形態1におけるステップS151と同じである。
ステップS252において、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスが正規プログラム102によるアクセスであるか判定する。
ステップS252は、実施の形態1におけるステップS152と同じである。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、処理はステップS253に進む。
ステップS252は、実施の形態1におけるステップS152と同じである。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、処理はステップS253に進む。
ステップS253において、アクセス確認部315は、正規ユーザ101のユーザ端末と通信することによって、正規ユーザ101のユーザ端末にアクセス確認画面を表示させる。
アクセス確認画面は、ダミーディレクトリへのアクセスが正規ユーザ101の操作によるものであるか確認するための画面である。アクセス確認画面は、ディレクトリ名、パスの情報およびアクセス時間など、ダミーディレクトリへのアクセスについて正規ユーザ101の判断に必要な情報を提示する。
アクセス確認画面の具体的な形態は「ポップアップ」である。
アクセス確認画面は、ダミーディレクトリへのアクセスが正規ユーザ101の操作によるものであるか確認するための画面である。アクセス確認画面は、ディレクトリ名、パスの情報およびアクセス時間など、ダミーディレクトリへのアクセスについて正規ユーザ101の判断に必要な情報を提示する。
アクセス確認画面の具体的な形態は「ポップアップ」である。
ステップS254において、アクセス確認ログ記録部316は、一定時間、アクセス確認画面に対する回答を受け付ける。
ステップS255において、アクセス確認ログ記録部316は、アクセス確認画面に対する回答結果を含んだアクセス確認ログを生成する。
アクセス確認画面に対する回答結果は次のような情報を示す。一定時間に回答が得られなかった(未回答)。正規ユーザ101がダミーディレクトリにアクセスした。正規ユーザ101がダミーディレクトリにアクセスしていない。アクセス確認画面に対する回答が人間の操作によるものではない。アクセス確認画面に対する回答が人間の操作によるものであるか否かは、CAPCHAと呼ばれるツールなどを用いて判定することができる。
そして、アクセス確認ログ記録部316は、アクセス確認ログをログデータベース320に記録する。
アクセス確認画面に対する回答結果は次のような情報を示す。一定時間に回答が得られなかった(未回答)。正規ユーザ101がダミーディレクトリにアクセスした。正規ユーザ101がダミーディレクトリにアクセスしていない。アクセス確認画面に対する回答が人間の操作によるものではない。アクセス確認画面に対する回答が人間の操作によるものであるか否かは、CAPCHAと呼ばれるツールなどを用いて判定することができる。
そして、アクセス確認ログ記録部316は、アクセス確認ログをログデータベース320に記録する。
ステップS256において、アラート発生部314は、ログデータベース320の中のアクセス確認ログを参照し、アクセス確認画面に対する回答結果に基づいてアラートの要否を判定する。
攻撃者103および不正プログラム104によってダミーディレクトリへのアクセスが発生した場合には、アラートの発生が必要である。
例えば、アクセス確認画面に対する回答が得られなかった場合、アラート発生部314はアラートが必要であると判定する。また、正規ユーザ101がダミーディレクトリにアクセスしていないという回答が得られた場合、アラート発生部314はアラートが必要であると判定する。また、アクセス確認画面に対する回答が人間の操作によるものではない場合、アラート発生部314はアラートが必要であると判定する。
アラートが必要である場合、処理はステップS257に進む。
アラートが必要でない場合、処理は終了する。
攻撃者103および不正プログラム104によってダミーディレクトリへのアクセスが発生した場合には、アラートの発生が必要である。
例えば、アクセス確認画面に対する回答が得られなかった場合、アラート発生部314はアラートが必要であると判定する。また、正規ユーザ101がダミーディレクトリにアクセスしていないという回答が得られた場合、アラート発生部314はアラートが必要であると判定する。また、アクセス確認画面に対する回答が人間の操作によるものではない場合、アラート発生部314はアラートが必要であると判定する。
アラートが必要である場合、処理はステップS257に進む。
アラートが必要でない場合、処理は終了する。
ステップS257において、アラート発生部314は、アラートを発生させる。
ステップS257は、実施の形態1におけるステップS153と同じである。
ステップS257は、実施の形態1におけるステップS153と同じである。
***実施の形態2の効果***
欺瞞システム100は、ダミーディレクトリへのアクセスを検知した際に、正規ユーザ101に対してポップアップ(アクセス確認画面の一例)を表示する。正規ユーザ101はGUIを使用するので、正規ユーザ101はポップアップに対応することが可能である。そのため、ダミーディレクトリへのアクセスが正規ユーザ101によるものか、CUIを使用する攻撃者103によるものか判断することができる。これにより、不正なアクセスの誤検知を低減することができる。
欺瞞システム100は、ダミーディレクトリへのアクセスを検知した際に、正規ユーザ101に対してポップアップ(アクセス確認画面の一例)を表示する。正規ユーザ101はGUIを使用するので、正規ユーザ101はポップアップに対応することが可能である。そのため、ダミーディレクトリへのアクセスが正規ユーザ101によるものか、CUIを使用する攻撃者103によるものか判断することができる。これにより、不正なアクセスの誤検知を低減することができる。
つまり、欺瞞システム100は、ダミーディレクトリへのアクセスに対してポップアップ承認を行うことができる。GUIを使用している正規ユーザ101であれば、正しく承認を行うことができる。そのため、正規ユーザ101の誤操作によるダミーディレクトリへのアクセスについてのログを除外し、不正なアクセスの誤検知を減らすことができる。一方、CUIを使用する攻撃者103は、ポップアップ承認を通過することができない。正規ユーザ101は、自身が行った記憶がないアクセスに対してポップアップ承認が要求されるため、サイバー攻撃にいち早く気づくことができる。
***実施の形態の補足***
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
欺瞞システム100は、1台の装置(コンピュータ)または3台以上の装置によって実現されてもよい。ファイルサーバ200と管理装置300とのそれぞれは、2台以上の装置によって実現されてもよい。
欺瞞システム100の要素である「部」は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
欺瞞システム100の要素である「部」は、「処理」または「工程」と読み替えてもよい。
欺瞞システム100の要素である「部」は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
欺瞞システム100の要素である「部」は、「処理」または「工程」と読み替えてもよい。
100 欺瞞システム、101 正規ユーザ、102 正規プログラム、103 攻撃者、104 不正プログラム、200 ファイルサーバ、201 プロセッサ、202
メモリ、203、補助記憶装置、204 通信装置、205 入出力インタフェース、211 構成通知部、212 監視対象生成部、213 アクセスログ記録部、220 監視対象ディレクトリ、221 正規ディレクトリ、223 正規アイコン画像、224 ダミーアイコン画像、300 管理装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 通信装置、305 入出力インタフェース、311 欺瞞指示部、312 構成管理部、313 ダミーアクセス検知部、314 アラート発生部、315 アクセス確認部、316 アクセス確認ログ記録部、320 ログデータベース、390 記憶部。
メモリ、203、補助記憶装置、204 通信装置、205 入出力インタフェース、211 構成通知部、212 監視対象生成部、213 アクセスログ記録部、220 監視対象ディレクトリ、221 正規ディレクトリ、223 正規アイコン画像、224 ダミーアイコン画像、300 管理装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 通信装置、305 入出力インタフェース、311 欺瞞指示部、312 構成管理部、313 ダミーアクセス検知部、314 アラート発生部、315 アクセス確認部、316 アクセス確認ログ記録部、320 ログデータベース、390 記憶部。
Claims (9)
- グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインインタフェースを使ってアクセスするサイバー攻撃に対処するための欺瞞システムであって、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、
を備える欺瞞システム。 - 前記構成管理部は、前記正規アイコン画像のための識別子である正規識別子を生成し、前記正規識別子を暗号化して暗号化正規識別子を生成し、前記ダミーアイコン画像のための識別子であるダミー識別子を生成し、前記ダミー識別子を暗号化して暗号化ダミー識別子を生成し、
前記監視対象生成部は、前記暗号化正規識別子を前記正規アイコン画像の名称として前記正規アイコン画像に設定し、前記暗号化ダミー識別子を前記ダミーアイコン画像の名称として前記ダミーアイコン画像に設定する
請求項1に記載の欺瞞システム。 - 前記監視対象ディレクトリへのアクセスを監視し、アクセスログをログデータベースに記録するアクセスログ記録部と、
前記ログデータベースと前記内部構成リストとを参照して前記ダミーディレクトリへのアクセスを検知し、正規プログラムのリストであるホワイトリストを参照して不正プログラムによる前記ダミーディレクトリへのアクセスを検知するダミーアクセス検知部と、
前記不正プログラムによる前記ダミーディレクトリへのアクセスが検知された場合にアラートを発生させるアラート発生部と、
を備える
請求項1または請求項2に記載の欺瞞システム。 - 前記監視対象ディレクトリへのアクセスを監視し、アクセスログをログデータベースに記録するアクセスログ記録部と、
前記ログデータベースと前記内部構成リストとを参照して前記ダミーディレクトリへのアクセスを検知し、正規プログラムのリストであるホワイトリストを参照して前記ダミーディレクトリへのアクセスが正規プログラムによるアクセスであるか判定するダミーアクセス検知部と、
前記ダミーディレクトリへのアクセスが正規プログラムによるアクセスでない場合に、前記正規ユーザのユーザ端末に、前記ダミーディレクトリへのアクセスが前記正規ユーザの操作によるものであるか確認するためのアクセス確認画面を表示させるアクセス確認部と、
前記アクセス確認画面に対する回答結果に基づいてアラートの要否を判定し、アラートが必要であると判定した場合にアラートを発生させるアラート発生部と、
を備える
請求項1または請求項2に記載の欺瞞システム。 - 前記欺瞞システムは、
前記監視対象ディレクトリの生成を指示する生成指示を送信する欺瞞指示部と、
前記生成指示を受信し、前記正規ディレクトリの内部構成を示す正規構成通知を送信する構成通知部と、
を備え、
前記構成管理部は、前記正規構成通知を受信し、前記正規構成通知に示される前記正規ディレクトリの前記内部構成に基づいて前記監視対象ディレクトリの前記内部構成を決定し、前記内部構成リストを送信し、
前記監視対象生成部は、前記内部構成リストを受信し、前記内部構成リストに基づいて前記監視対象ディレクトリを生成する
請求項1から請求項4のいずれか1項に記載の欺瞞システム。 - 前記構成管理部は、前記監視対象ディレクトリの前記内部構成を示し、前記正規ディレクトリに対応付けて前記正規アイコン画像を示し、前記ダミーディレクトリに対応付けて前記ダミーアイコン画像を示す対象構成リストを生成し、前記対象構成リストを送信し、
前記監視対象生成部は、前記対象構成リストを受信し、前記対象構成リストを参照し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する
請求項5に記載の欺瞞システム。 - 前記欺瞞指示部は、前記監視対象ディレクトリの更新を指示する更新指示を定期的に送信し、
前記構成通知部は、前記更新指示を受信し、前記監視対象ディレクトリの内部構成を示す対象構成通知を送信し、
前記構成管理部は、前記対象構成通知を受信し、前記対象構成通知に示される前記監視対象ディレクトリの前記内部構成に基づいて前記対象構成リストを更新し、更新後の対象構成リストを送信し、
前記監視対象生成部は、前記更新後の対象構成リストを受信し、前記更新後の対象構成リストに従って前記監視対象ディレクトリを更新する
請求項6に記載の欺瞞システム。 - グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインインタフェースを使ってアクセスするサイバー攻撃に対処するための欺瞞方法であって、
構成管理部が、前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定し、
監視対象生成部が、決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する
欺瞞方法。 - グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインインタフェースを使ってアクセスするサイバー攻撃に対処するための欺瞞プログラムであって、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理処理と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに
前記ダミーアイコン画像を設定する監視対象生成処理と、
をコンピュータに実行させるための欺瞞プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020168731A JP7499669B2 (ja) | 2020-10-05 | 2020-10-05 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020168731A JP7499669B2 (ja) | 2020-10-05 | 2020-10-05 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022060950A true JP2022060950A (ja) | 2022-04-15 |
| JP7499669B2 JP7499669B2 (ja) | 2024-06-14 |
Family
ID=81125172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020168731A Active JP7499669B2 (ja) | 2020-10-05 | 2020-10-05 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7499669B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7361997B1 (ja) * | 2022-12-06 | 2023-10-16 | 三菱電機株式会社 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4683518B2 (ja) | 2001-07-24 | 2011-05-18 | Kddi株式会社 | 不正侵入防止システム |
| US20110302655A1 (en) | 2010-06-08 | 2011-12-08 | F-Secure Corporation | Anti-virus application and method |
| JP2016033690A (ja) | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| JP6069685B1 (ja) | 2016-02-05 | 2017-02-01 | 株式会社ラック | アイコン表示装置、アイコン表示方法およびプログラム |
-
2020
- 2020-10-05 JP JP2020168731A patent/JP7499669B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7361997B1 (ja) * | 2022-12-06 | 2023-10-16 | 三菱電機株式会社 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7499669B2 (ja) | 2024-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220284094A1 (en) | Methods and apparatus for malware threat research | |
| JP4828199B2 (ja) | アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法 | |
| JP6370747B2 (ja) | バーチャルマシーンモニタベースのアンチマルウェアセキュリティのためのシステム及び方法 | |
| US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| JP6789308B2 (ja) | トリップワイヤファイルを生成するためのシステム及び方法 | |
| JP6001781B2 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
| JP2019082989A (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
| CN110647744A (zh) | 使用特定于对象的文件系统视图识别和提取关键危害取证指标 | |
| JP2010182019A (ja) | 異常検知装置およびプログラム | |
| US20220083673A1 (en) | System, Method, and Apparatus for Enhanced Whitelisting | |
| US20220083672A1 (en) | System, Method, and Apparatus for Enhanced Whitelisting | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| JP2022553061A (ja) | ランサムウェア防止 | |
| Lemmou et al. | Infection, self-reproduction and overinfection in ransomware: the case of teslacrypt | |
| JP7499669B2 (ja) | 欺瞞システム、欺瞞方法および欺瞞プログラム | |
| US11275828B1 (en) | System, method, and apparatus for enhanced whitelisting | |
| Lemmou et al. | Inside gandcrab ransomware | |
| US20240126882A1 (en) | Instructions to process files in virtual machines | |
| JP2010182020A (ja) | 不正検知装置およびプログラム | |
| US9037608B1 (en) | Monitoring application behavior by detecting file access category changes | |
| CN116611058A (zh) | 一种勒索病毒检测方法及相关系统 | |
| JP7566230B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
| KR102309695B1 (ko) | 호스트 침입 탐지를 위한 파일 기반 제어방법 및 장치 | |
| JP2019008568A (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 | |
| WO2022149233A1 (ja) | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20201015 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20201015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230729 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240221 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240305 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240401 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240604 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7499669 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |