JP2023503760A - ランサムウェアまたはフィッシング攻撃遮断方法及びシステム - Google Patents
ランサムウェアまたはフィッシング攻撃遮断方法及びシステム Download PDFInfo
- Publication number
- JP2023503760A JP2023503760A JP2021577491A JP2021577491A JP2023503760A JP 2023503760 A JP2023503760 A JP 2023503760A JP 2021577491 A JP2021577491 A JP 2021577491A JP 2021577491 A JP2021577491 A JP 2021577491A JP 2023503760 A JP2023503760 A JP 2023503760A
- Authority
- JP
- Japan
- Prior art keywords
- storage device
- backup
- data
- server
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 title claims description 81
- 238000004891 communication Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims description 24
- 230000002265 prevention Effects 0.000 claims description 19
- 238000012986 modification Methods 0.000 claims description 14
- 230000004048 modification Effects 0.000 claims description 14
- 238000012937 correction Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- YSMRWXYRXBRSND-UHFFFAOYSA-N TOTP Chemical compound CC1=CC=CC=C1OP(=O)(OC=1C(=CC=CC=1)C)OC1=CC=CC=C1C YSMRWXYRXBRSND-UHFFFAOYSA-N 0.000 description 5
- 230000009471 action Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/80—Database-specific techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/825—Indexing scheme relating to error detection, to error correction, and to monitoring the problem or solution involving locking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
Description
サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含み、
前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、
前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して、該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理する、ランサムウェア攻撃遮断システムが提供される。
前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることができる。
前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令であると確認された場合、該当データ修正命令を拒否処理することができる。
前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違うストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理することができる。
前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチまたはソフトウェアスイッチを含み、
前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチの動作切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理することができる。
前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正が可能な状態に切替処理することができる。
User>mount 192.10.1.1 localhost\backup
(Mkdir \backup\websource_backup_20190805)
Copy/Backup ‘\websource’ ‘\backup\websource_backup_20190805’
ロック命令の例
freeze \backup\websource_backup_20190805
ロック解除命令の例
Melt \backup\websource_backup_20190805 (OTP 201023)
上述したように、ロック解除命令の場合、ワンタイムパスワード(OTP)による認証をさらに要求することもできる。
int fclose(FILE *stream)
BOOL CloseHandle(HANDLE hObject)
また、ここで、ファイルハンドル(File handle)をクローズ(close)するI/O eventを発生させるC関数では、Linux/Unix OSによると、以下のようなC関数が代表的に利用されることができる。
int close(int fd)
前記のようにファイルハンドル(File handle)を閉じるAPIをプログラムが呼び出すと、ファイルハンドル(File handle)をクローズ(close)するI/O eventが発生し、このイベント(event)はファイルシステム(File System)に伝達される。この場合、WindowsはCallback File System(File System Driver)によってこのI/Oが感知され、Linuxはヒューズ(FUSE)を通じてこのI/Oが感知されることができる。
Claims (11)
- ランサムウェア攻撃を遮断するためのサーバー用システムであって、
サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含み、
前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、
前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して、該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理する、ランサムウェア攻撃遮断システム。 - 前記バックアップ用ストレージ装置へのデータバックアップは、
前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることを特徴とする、請求項1に記載のランサムウェア攻撃遮断システム。 - 前記バックアップ用ストレージ装置は、
前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令であると確認された場合、該当データ修正命令を拒否処理する、請求項1に記載のランサムウェア攻撃遮断システム。 - 前記バックアップ用ストレージ装置は、
前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違う他のストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理する、請求項3に記載のランサムウェア攻撃遮断システム。 - 前記バックアップ用ストレージ装置は、
前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチまたはソフトウェアスイッチを含み、
前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチ動作の切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理する、請求項1に記載のランサムウェア攻撃遮断システム。 - 前記バックアップ用ストレージ装置は、
前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正が可能な状態に切替処理する、請求項5に記載のランサムウェア攻撃遮断システム。 - 前記ロック解除状態への切替は、前記バックアップ用ストレージ装置内にバックアップされたデータ全体に対して行われる一括解除方式及び要請されたバックアップデータに限って行われる選択解除方式の中でいずれか一つが選択できたことを特徴とする、請求項6に記載のランサムウェア攻撃遮断システム。
- フィッシング攻撃防止システムであって、
フィッシング攻撃防止ストレージ装置;
使用者端末またはサービスサーバーに取り付けられ、前記使用者端末またはサービスサーバーが前記フィッシング攻撃防止ストレージ装置とネットワークを通じてつながって前記フィッシング攻撃防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、前記フィッシング攻撃防止ストレージ装置との連動動作を遂行するエージェントプログラム;を含み、
前記使用者端末またはサービスサーバーから前記フィッシング攻撃防止ストレージ装置に保管されたファイルに関するオープン要請がある場合、
前記フィッシング攻撃防止ストレージ装置は、ストレージ動作モードをチェックして、前記ストレージ動作モードがリストオンリーモード(List‐only mode)にあたる場合、オープン要請された原本ファイルではなく偽のファイル(fake file)を生成して、前記使用者端末またはサービスサーバーに偽のファイルが返還されるようにすることを特徴とする、フィッシング攻撃防止システム。 - 前記偽のファイルは、オープン要請された原本ファイルとファイル容量は同一であるが、ファイル本文がナル値(null value)または未知値(unknown value)で満たされることを特徴とする、請求項8に記載のフィッシング攻撃防止システム。
- 前記エージェントプログラムは、
前記使用者端末またはサービスサーバーにネットワークドライブ形態でマウントされる前記フィッシング攻撃防止ストレージ装置内の保管フォルダまたはファイルに関して使用者が編集モードに切替及び終了を選択できるようにする選択情報を提供し、
前記ファイルオープン要請が前記編集モードに切替による編集モードで開く要請に当たる場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
前記フィッシング攻撃防止ストレージ装置は、
前記編集モードで開く要請によって前記リストオンリーモードを解除し、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにすることを特徴とする、請求項9に記載のフィッシング攻撃防止システム。 - 前記エージェントプログラムは、前記使用者端末またはサービスサーバーから事前に登録された方式による前記リストオンリーモードの解除要請がある場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
前記フィッシング攻撃防止ストレージ装置は、前記リストオンリーモードの解除要請にしたがって、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにし、
前記リストオンリーモードの解除は、使用者から事前に登録処理された認証装置を通じる権限者認証を通じて実行されることを特徴とする、請求項9に記載のフィッシング攻撃防止システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2024001772A JP2024038306A (ja) | 2019-11-27 | 2024-01-10 | ランサムウェアまたはフィッシング攻撃遮断方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2019/016426 WO2021107177A1 (ko) | 2019-11-27 | 2019-11-27 | 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2024001772A Division JP2024038306A (ja) | 2019-11-27 | 2024-01-10 | ランサムウェアまたはフィッシング攻撃遮断方法及びシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023503760A true JP2023503760A (ja) | 2023-02-01 |
JP7489672B2 JP7489672B2 (ja) | 2024-05-24 |
Family
ID=
Also Published As
Publication number | Publication date |
---|---|
KR20210156309A (ko) | 2021-12-24 |
US20240031384A1 (en) | 2024-01-25 |
KR20210068388A (ko) | 2021-06-09 |
JP2024038306A (ja) | 2024-03-19 |
US11811790B2 (en) | 2023-11-07 |
CN114080782A (zh) | 2022-02-22 |
US20230132303A1 (en) | 2023-04-27 |
CN114080782B (zh) | 2024-04-26 |
WO2021107177A1 (ko) | 2021-06-03 |
US20210336970A1 (en) | 2021-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11528142B2 (en) | Methods, systems and computer program products for data protection by policing processes accessing encrypted data | |
US8103883B2 (en) | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption | |
US10645091B2 (en) | Methods and systems for a portable data locker | |
CN102948114B (zh) | 用于访问加密数据的单次使用认证方法及系统 | |
CA2759612C (en) | Method and system for securing data | |
US20230132303A1 (en) | System for blocking a ransomware attack | |
JP6785967B2 (ja) | フィッシング又はランサムウェア攻撃を遮断する方法及びシステム | |
KR101373542B1 (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
KR20010109271A (ko) | 데이터보안 제공을 위한 시스템과 방법 | |
GB2496841A (en) | Method of securing a computing device | |
CN109684866B (zh) | 一种支持多用户数据保护的安全优盘系统 | |
CN115329389A (zh) | 一种基于数据沙箱的文件保护系统及方法 | |
EP3438864B1 (en) | Method and system for protecting a computer file against possible malware encryption | |
KR20200013013A (ko) | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 | |
KR20060058546A (ko) | 데이터베이스 암호화 및 접근 제어 방법 및 장치 | |
KR102340604B1 (ko) | 서버용 랜섬웨어 공격 차단 방법 및 시스템 | |
KR102554875B1 (ko) | 원격 업무 환경 제공 장치 및 방법 | |
JP7489672B2 (ja) | ランサムウェアまたはフィッシング攻撃遮断方法及びシステム | |
KR101552688B1 (ko) | 엔드포인트 단의 사용자 정책 설정에 따른 데이터 보안 방법 및 시스템 | |
Arai et al. | A proposal for an effective information flow control model for sharing and protecting sensitive information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220526 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230630 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230711 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20231010 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20231208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240110 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240423 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240502 |