JP2023012091A - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JP2023012091A JP2023012091A JP2021115530A JP2021115530A JP2023012091A JP 2023012091 A JP2023012091 A JP 2023012091A JP 2021115530 A JP2021115530 A JP 2021115530A JP 2021115530 A JP2021115530 A JP 2021115530A JP 2023012091 A JP2023012091 A JP 2023012091A
- Authority
- JP
- Japan
- Prior art keywords
- program
- browser
- website
- format
- fingerprint information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 35
- 238000013515 script Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000007704 transition Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000010367 cloning Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
この手法では、複製サイトで生成されたウェブサイトフィンガープリント情報が真正なサイトと異なることから、複製サイトからのサーバアクセスが失敗するため、複製サイトの生成が困難になる。
本実施形態の検知システムは、従来の難読化を施した、ウェブサイトフィンガープリント情報を生成するプログラムに代えて、都度異なる出力フォーマット及びプログラム構造を持ったワンタイムプログラムを生成し、これに短い有効期限を付与することで難読化の強度を飛躍的に向上させる。
検知システム1は、ウェブサーバ10と、インターネットを介してウェブサーバ10が提供するウェブサイトを閲覧するブラウザを備えた端末20とを備える。端末20は、真正サイトにアクセスしているユーザの端末の他、検知対象として、フィッシングサイトを構築する攻撃者のサーバ、又は動的に複製されたフィッシングサイトにアクセスしているユーザの端末等が想定される。
具体的には、制御部は、検知プログラムを実行することにより、フォーマット生成部11、プログラム生成部12、及び判定部13として機能する。これにより、ウェブサーバ10は、ウェブサイトを複製するための不正アクセス(自動操縦)を抑制するため、端末20のブラウザが生成したウェブサイトフィンガープリント情報の正当性をチェックする。
従来のウェブサイトフィンガープリント情報(A)は、表示中のウェブサイトに関するデータ、すなわち、アクセス先、接続プロトコル、URL、ウェブサイトのコンテンツの一部等から生成された複数のデータの並びである。
さらに、(A)のウェブサイトフィンガープリントデータにおける複数の要素の並び順が、決定されたフォーマットに従って入れ替えられる。
あるいは、フォーマット生成部11は、識別子をフォーマット指定データとして生成し、この識別子に対応付けて、並び順を算出可能なデータ及び有効期限を記憶部に記憶してもよい。
・アクセス先のURL
・アクセス先のURLのパス
・アクセス時の通信プロトコル
・ブラウザのユーザエージェント
・ブラウザの提供する特定スクリプト向け機能の有無
・ウェブサイトを構成するHTMLのDOM情報
・ウェブサイトフィンガープリント情報の生成直前までのユーザ操作履歴
・ユーザ操作時におけるHTMLのDOMイベントの発生状況
このとき、プログラム生成部12は、ワンタイムプログラムを、所定のアルゴリズム(最適化処理又は難読化処理等)により難読化して送信してもよい。
ここで、フォーマット指定データFは、x番目のデータをy番目に出力するデータ入れ替え方法C(x)=yを示すものとする。
PFは、0番目の位置に、フォーマット指定データを出力するプログラム部品である。
また、1番目のデータであるユーザエージェントを7番目に出力し、2番目のデータであるアクセス先URLを4番目に出力し、3番目のデータであるアクセス先パスを8番目に出力する、…という入れ替え方法C(1)=7,C(2)=4,C(3)=8,…にそれぞれ相当するプログラム部品P1(7),P2(4),P3(8),…が用意される。
用意された図3のプログラム部品P1(C(1))~Pk(C(k))を、C(x)の順に、又はランダムに入れ替えて配置し、さらに、これらを動作させるために必要な依存関係プログラムを付与することにより、ワンタイムプログラムPXAが生成される。
ここでは、出力位置の指定が省略されたプログラム部品PF及びP1~Pkが、指定の並び順に配置されている。
この例では、ウェブページAからBへの遷移に伴って、ウェブサーバ10が不正アクセスの有無を検知する。
ステップS2において、ウェブサーバ10は、要求されたウェブページAのデータ(HTML、スクリプト等)を端末20に返送する。
ステップS4において、端末20は、遷移要求に応じて、ウェブページAの記載に従い、ワンタイムプログラムPXAをウェブサーバ10に要求する。
ステップS5において、ウェブサーバ10は、フォーマット指定データFをランダムに決定し、決定したフォーマットに従って、ワンタイムプログラムPXAを生成して端末20へ返送する。
さらに、ランダムに決定されたウェブサイトフィンガープリントデータの出力フォーマットに対して、短い有効期限(例えば、10秒)を付与することで、限られた時間にワンタイムの出力フォーマットを偽装することを困難にし、この結果、検知システム1は、不正アクセスによるウェブサイトの複製を精度良く検知できる。
また、検知システム1は、ワンタイムプログラムを難読化して送信することで、さらに攻撃者による解読を困難にし、ウェブサイトフィンガープリント情報の偽装をより困難にできる。
また、検知システム1は、出力箇所を含まないプログラム部品を並び順に従って配置してワンタイムプログラムを生成してもよい。これにより、簡潔なプログラム部品を用いて容易にワンタイムプログラムを生成できる。
このように、検知システム1は、ブラウザが有する複数の機能に対応したデータを複数出力させることで、ウェブサイトフィンガープリントデータ全体を偽装することを極めて困難にできる。特に、ウェブサイトの構造情報(DOM)を取得することでサイトの複製を困難にし、操作履歴を取得することで、ユーザとロボット(自動操縦)との違いを適切に検知することができる。
10 ウェブサーバ
11 フォーマット生成部
12 プログラム生成部
13 判定部
20 端末
Claims (10)
- ウェブサイトの記載に従ったブラウザからのアクセスに応じて、当該ウェブサイトのフィンガープリント情報を構成する複数の要素の並び順をランダムに決定し、当該並び順、及び所定の有効期限を特定可能なフォーマット指定データを生成するフォーマット生成部と、
前記ブラウザに前記フォーマット指定データ、及び前記複数の要素を前記並び順に出力させるためのワンタイムプログラムを生成し、当該ブラウザに送信するプログラム生成部と、
前記ワンタイムプログラムにより生成された前記フィンガープリント情報を、前記ブラウザから前記有効期限までに受信した際に、当該フィンガープリント情報が所定の条件に合致している場合にのみ、前記アクセスを正常と判定する判定部と、を備える検知装置。 - 前記フォーマット生成部は、前記並び順を算出可能なデータ、及び前記有効期限を暗号化して、前記フォーマット指定データを生成する請求項1に記載の検知装置。
- 前記並び順を算出可能なデータ、及び前記有効期限を、識別子に対応付けて記憶する記憶部を備え、
前記フォーマット生成部は、前記識別子を前記フォーマット指定データとして生成する請求項1に記載の検知装置。 - 前記プログラム生成部は、前記ワンタイムプログラムを、所定のアルゴリズムにより難読化して送信する請求項1から請求項3のいずれかに記載の検知装置。
- 前記プログラム生成部は、前記要素それぞれの並び順に応じた出力箇所を指定したプログラム部品を、ランダムに配置して前記ワンタイムプログラムを生成する請求項1から請求項4のいずれかに記載の検知装置。
- 前記プログラム生成部は、前記要素それぞれの出力箇所を含まないプログラム部品を、前記並び順に従って配置して前記ワンタイムプログラムを生成する請求項1から請求項4のいずれかに記載の検知装置。
- 前記複数の要素は、アクセス先のURL、当該URLのパス、アクセス時の通信プロトコル、前記ブラウザのユーザエージェント、ブラウザの提供する特定スクリプト向け機能の有無、ウェブサイトを構成するHTMLのDOM情報、ユーザ操作履歴、ユーザ操作時におけるHTMLのDOMイベントの発生状況の少なくともいずれかを含む請求項1から請求項6のいずれかに記載の検知装置。
- 前記ウェブサイトは、前記フィンガープリント情報を前記ブラウザ上に表示させるものである請求項1から請求項7のいずれかに記載の検知装置。
- ウェブサイトの記載に従ったブラウザからのアクセスに応じて、当該ウェブサイトのフィンガープリント情報を構成する複数の要素の並び順をランダムに決定し、当該並び順、及び所定の有効期限を特定可能なフォーマット指定データを生成するフォーマット生成ステップと、
前記ブラウザに前記フォーマット指定データ、及び前記複数の要素を前記並び順に出力させるためのワンタイムプログラムを生成し、当該ブラウザに送信するプログラム生成ステップと、
前記ワンタイムプログラムにより生成された前記フィンガープリント情報を、前記ブラウザから前記有効期限までに受信した際に、当該フィンガープリント情報が所定の条件に合致している場合にのみ、前記アクセスを正常と判定する判定ステップと、をコンピュータが実行する検知方法。 - 請求項1から請求項8のいずれかに記載の検知装置としてコンピュータを機能させるための検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021115530A JP7451464B2 (ja) | 2021-07-13 | 2021-07-13 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021115530A JP7451464B2 (ja) | 2021-07-13 | 2021-07-13 | 検知装置、検知方法及び検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023012091A true JP2023012091A (ja) | 2023-01-25 |
JP7451464B2 JP7451464B2 (ja) | 2024-03-18 |
Family
ID=85381866
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021115530A Active JP7451464B2 (ja) | 2021-07-13 | 2021-07-13 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7451464B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001331374A (ja) | 2000-05-24 | 2001-11-30 | Ntt Comware Corp | ホームページ改ざん検出方法および装置 |
JP3892468B2 (ja) | 2005-06-07 | 2007-03-14 | エヌ・ティ・ティ・コムウェア株式会社 | ウェブページ真偽確認装置及びウェブページ真偽確認方法並びにそのプログラム |
US8578499B1 (en) | 2011-10-24 | 2013-11-05 | Trend Micro Incorporated | Script-based scan engine embedded in a webpage for protecting computers against web threats |
US9111090B2 (en) | 2012-04-02 | 2015-08-18 | Trusteer, Ltd. | Detection of phishing attempts |
JP6291441B2 (ja) | 2015-03-11 | 2018-03-14 | ネットムーブ株式会社 | ウェブシステム、ウェブクライアント装置および改ざん検査装置 |
CN111556036A (zh) | 2020-04-20 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种网络钓鱼攻击的检测方法、装置及设备 |
-
2021
- 2021-07-13 JP JP2021115530A patent/JP7451464B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP7451464B2 (ja) | 2024-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10212173B2 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
US9473568B2 (en) | Detecting code injections through cryptographic methods | |
US10554417B2 (en) | Script verification using a hash | |
CN103493061B (zh) | 用于应对恶意软件的方法和装置 | |
JP2022509104A (ja) | ブロックチェーンネットワークを介するデータの効率的且つセキュアな処理、アクセス、及び送信のためのシステム及び方法 | |
US10333716B2 (en) | Script verification using a digital signature | |
US20130055386A1 (en) | Apparatus and method for preventing falsification of client screen | |
US20110283174A1 (en) | Optimizing Security Seals on Web Pages | |
KR20050084888A (ko) | 재시작가능한 변조 방지 보안 시스템을 위해 자동으로발생된 암호 함수들 | |
Varadharajan | Security enhanced mobile agents | |
US20200210584A1 (en) | Deterministic Reproduction of Client/Server Computer State or Output Sent to One or More Client Computers | |
CN108075888A (zh) | 动态url生成方法及装置 | |
Gowtham et al. | PhishTackle—a web services architecture for anti-phishing | |
Cao et al. | Redefining web browser principals with a configurable origin policy | |
US20060047662A1 (en) | Capability support for web transactions | |
Varadharajan et al. | A security architecture for mobile agent based applications | |
JP7451464B2 (ja) | 検知装置、検知方法及び検知プログラム | |
CN110321702A (zh) | 检测网络资源的修改的系统和方法 | |
JP7157258B2 (ja) | 集約されたネットワーク測定における不正の防止 | |
JP2023524360A (ja) | プライバシーを守る活動集約メカニズム | |
JP2022536565A (ja) | クラウドソーシングを用いて偽情報に対処すること | |
Jayaraman et al. | Enforcing request integrity in web applications | |
JP6688782B2 (ja) | ネットワーク通信方法及びネットワーク通信システム | |
EP4211870B1 (en) | Secure attribution using attestation tokens | |
GB2557877A (en) | Changing URL generation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240306 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7451464 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |