JP2023503760A - ランサムウェアまたはフィッシング攻撃遮断方法及びシステム - Google Patents

ランサムウェアまたはフィッシング攻撃遮断方法及びシステム Download PDF

Info

Publication number
JP2023503760A
JP2023503760A JP2021577491A JP2021577491A JP2023503760A JP 2023503760 A JP2023503760 A JP 2023503760A JP 2021577491 A JP2021577491 A JP 2021577491A JP 2021577491 A JP2021577491 A JP 2021577491A JP 2023503760 A JP2023503760 A JP 2023503760A
Authority
JP
Japan
Prior art keywords
storage device
backup
data
server
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021577491A
Other languages
English (en)
Other versions
JP7489672B2 (ja
Inventor
ヒュン ウ,ジョン
Original Assignee
ナムソフト カンパニー,リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ナムソフト カンパニー,リミテッド filed Critical ナムソフト カンパニー,リミテッド
Publication of JP2023503760A publication Critical patent/JP2023503760A/ja
Priority to JP2024001772A priority Critical patent/JP2024038306A/ja
Application granted granted Critical
Publication of JP7489672B2 publication Critical patent/JP7489672B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/80Database-specific techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/825Indexing scheme relating to error detection, to error correction, and to monitoring the problem or solution involving locking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含むランサムウェア攻撃を遮断するためのサーバー用システムが提供される。本発明の実施例によると、前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理することができる。

Description

本発明はランサムウェア(ransomware)またはフィッシング(phishing)攻撃を遮断する方法及びシステムに関する。
ハッカーが配布するフィッシングとランサムウェアが多様化されながら段々使用者のデータが脅かされている。一般に、フィッシングとは、使用者の端末機に格納されたデータを流出する攻撃であって、使用者端末機に存在するアカウント情報やデジタル証明書、主要データなどを奪取する攻撃を意味する。また、ランサムウェアとは、使用者の端末機に格納されていたり繋がったネットワーク格納場所に保管されたデータを使用者がアクセスできないように暗号化した後、金銭を要求する攻撃技法を言う。最近はデータを流出した後、使用者が使用できないようにすることから端末機のディスクパーティションを操作してPC端末機を使用できないようにすることまで、その方法と形式が多様化されている。
このようなフィッシング攻撃に対応する既存方法ではPC内の格納空間を暗号化して該当特定格納空間に近付くプロセスが事前に指定されたプロセスであるか否かを確認する技術が利用されたが、該当格納空間を暗号化しても暗号化された格納空間を構成したファイルを奪取して復呼化する場合が発生している。
また、ランサムウェア攻撃に対応する既存方法ではPC内の資料を安全な格納領域で周期的にバックアップして、PCがランサムウェア攻撃を受けてもバックアップされた資料を持ってきて使う方法がある。しかし、この方式によっても最近作業したファイルに対する損失は避けられない問題点がある。他の既存方法ではファイルサーバーにアクセスするプロセスを事前に登録しておいてPC内で認可されたプロセスのみ資料に接近可能とすることで、事前に登録されていないプロセスがデータへアクセスする時、これを遮断してランサムウェアプロセスが資料にアクセスできないようにする方法がある。しかし、この方式は認可されたプロセスを事前に登録しなければならない不便さが発生し、随時プログラムが設置される場合、毎回プロセスを煩わしく登録することができない限界点もある。
また、最近はランサムウェア自体がPC内で格納されたデータのみを暗号化することではなく、PC全体を暗号化したり、PCにマウントされたディスク全体を暗号化してランサムマネーを要求する事例まで発生しているところ、データ暗号化を防ぐことだけでは十分ではない状況が発生している。
さらに、PCのみならずリナックスやユニックスサービスサーバーに格納されている全体データまでに一気に暗号化する攻撃まで発生していて、根本的な代案が必要な状況である。したがって、フィッシングを予防するためにPCやサービスサーバーに生成した暗号化された格納空間が奪取されないようにしながら、ランサムウェアがPCやサービスサーバーで駆動されるとしても、これによる攻撃を遮断することができる新しい技術が必要である。
本発明は別途サーバー管理人力がいなくても安価で、且つ便利な方法でサーバーに保管されたデータ及びバックアップされたデータをランサムウェアから安全に管理することができるサーバー用ランサムウェア攻撃遮断方法及びシステムを提供するためのものである。
本発明は使用者端末またはサービスサーバーのデータを流出するための外部からのフィッシング攻撃を予防及び遮断することができる方法及びシステムを提供するためのものである。
本発明の一側面によると、ランサムウェア攻撃を遮断するためのサーバー用システムであって、
サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含み、
前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、
前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して、該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理する、ランサムウェア攻撃遮断システムが提供される。
一実施例において、前記バックアップ用ストレージ装置へのデータバックアップは、
前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることができる。
一実施例において、前記バックアップ用ストレージ装置は、
前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令であると確認された場合、該当データ修正命令を拒否処理することができる。
一実施例において、前記バックアップ用ストレージ装置は、
前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違うストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理することができる。
一実施例において、前記バックアップ用ストレージ装置は、
前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチまたはソフトウェアスイッチを含み、
前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチの動作切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理することができる。
一実施例において、前記バックアップ用ストレージ装置は、
前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正が可能な状態に切替処理することができる。
一実施例において、前記ロック解除状態への切替は、前記バックアップ用ストレージ装置内にバックアップされたデータ全体に対して行われる一括解除方式及び要請されたバックアップデータに限って行われる選択解除方式の中でいずれか一つが選択可能である。
本発明の他の側面によると、フィッシング防止ストレージ装置;使用者端末またはサービスサーバーに取り付けられ、前記使用者端末またはサービスサーバーが前記フィッシング防止ストレージ装置とネットワークを通じてつながって前記フィッシング防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、前記フィッシング防止ストレージ装置との連動動作を遂行するエージェントプログラム;を含むフィッシング攻撃防止システムが提供される。
ここで、前記使用者端末またはサービスサーバーから前記フィッシング防止ストレージ装置に保管されたファイルに対してオープン要請がある場合、前記フィッシング防止ストレージ装置は、ストレージ動作モードをチェックして、前記ストレージ動作モードがリストオンリーモード(List‐only mode)にあたる場合、オープン要請された原本ファイルではなく偽のファイル(fake file)を生成して、前記使用者端末またはサービスサーバーに偽のファイルが返還されるようにすることができる。
一実施例において、前記偽のファイルは、オープン要請された原本ファイルとファイルの容量は同一であるが、ファイル本文がナル値(null value)または未知値(unknown value)で満たされたものである。
一実施例において、前記エージェントプログラムは、前記使用者端末またはサービスサーバーにネットワークドライブ形態でマウントされる前記フィッシング防止ストレージ装置内の保管フォルダまたはファイルに関して使用者が編集モードに切替及び終了を選択できるようにする選択情報を提供し、前記ファイルオープン要請が前記編集モードに切替による編集モードで開く要請にあたる場合、前記フィッシング防止ストレージ装置へ前記リストオンリーモードの解除を要請することができる。
このとき、前記フィッシング防止ストレージ装置は、前記編集モードで開く要請によって前記リストオンリーモードを解除し、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにする。
一実施例において、前記エージェントプログラムは、前記使用者端末またはサービスサーバーから事前に登録された方式による前記リストオンリーモードの解除要請がある場合、前記フィッシング防止ストレージ装置へ前記リストオンリーモードの解除を要請することができる。
このとき、前記フィッシング防止ストレージ装置は、前記リストオンリーモードの解除要請によって、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにする。
ここで、前記リストオンリーモードの解除は、使用者から事前に登録処理された認証装置を通じる権限者認証を通じて実行されることができる。
本発明の実施例によるサーバー用ランサムウェア攻撃遮断方法及びシステムによると、別途サーバー管理人力がいなくても安価で、且つ便利な方法でサーバーに保管されたデータ及びバックアップされたデータをランサムウェアから安全に保護することができる効果がある。
本発明の実施例によるフィッシング攻撃防止方法及びシステムによると、使用者端末またはサービスサーバーとネットワークでつながって、物理的には独立された別の格納装置として保安政策によってリストオンリーモード(List‐only Mode)で動作可能なフィッシング防止用ストレージ装置を利用することで外部からのフィッシング攻撃を予防及び遮断することができる効果がある。
本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がサーバーにストレージマウントされる過程を示す図面。 本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がデータバックアップ及びロック処理される過程を示す図面。 本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がロック処理が解除される過程を示す図面。 本発明の実施例によるフィッシング攻撃防止方法及びシステムによる基本プロセスとしてリストオンリーモードを説明するための図面。 本発明の実施例によるリストオンリーモードを解除してファイルを編集可能な状態で開くための方法を説明するための図面。 本発明の実施例によるリストオンリーモードを解除する過程で追加認証を遂行する方法を説明するための図面。 ウィンドウズ探索機でフィッシング攻撃防止用ストレージ装置の格納空間がネットワークドライブにマウントされた後、使用者が特定ファイルを「編集モードで開く」または「編集モードに切替」しようとする場合に対する画面例示。 図7の編集モードを解除されるようにする時、編集モード終了命令を伝送させる実施画面例示。
本発明の第1技術的目的として、ランサムウェア攻撃を遮断するサーバー用システムについて以下で説明する(図1~図3参照)。
以下、図1~図3を参照して本発明の一実施例によるランサムウェア攻撃を遮断するサーバー用システムを説明する前に、本発明を理解しやすくするために、本発明の方式と他の方式との間の差を説明すると、以下のとおりである。
従来の先行技術の中で「プログラム基盤の読み取り専用ストレージ」具現方式があるが、これはファイル保護政策上、認可されたプログラムであるか否かを判断して、認可されたプログラムであればファイルの修正ができるようにし、そうでない場合は読み取り専用モードのみで動作されるようにする技術である。このようなプログラム基盤の読み取り専用ストレージ具現方式は基本的にファイル単位で命令及び応答が行われるので、ファイル単位の読み取り専用でファイルを提供するようになる。しかし、このようなプログラム基盤の読み取り専用ストレージ具現方式は次のような弱点を持つ。
例えば、リナックス運営体制の場合、管理者アカウント(Admin account)が奪取されると、バックアップサーバーに伝達される全ての命令またはトラフィックをハッカー側で閲覧できるようになるので、ハッカーがバックアップサーバーに伝達される命令を見ている途中で認可されたプログラムの指紋価などを奪取してリプレイアタック(すなわち、ハッキングプログラムをその認可されたプログラム名と同一にして、奪取した指紋価をバックアップサーバーに伝達して、まるで正常プログラムのように偽装する攻撃)を実施すれば、前記技術の保安方式が無力化される弱点を持つ。
一方、本発明によると、前述したように管理者アカウントが奪取された場合でもハッカーによるランサムウェア攻撃などを遮断させることができる。これに対しては、後述する本発明に関する説明から明確に理解されることができる。
他の方式として、「ファイル生成時間による読み取り専用ストレージ」具現方式がある。これは自社で出願した韓国特許出願第10‐2018‐0029490号による方式であって、ファイルを読む専用のみで提供することを基本にするが、新規ファイルの生成が必要な場合に限って該当ファイルの生成要請時点を基準にして所定時間(すなわち、ファイル生成有効時間範囲)内で該当ファイルの生成を許容する技術であり、これもファイル単位を基本単位にして動作する。
ただし、上述したファイル生成時間基盤の読み取り専用ストレージ具現方式の場合も場合によって次のような保安上弱点が表れる。すなわち、ファイル生成過程でアップロードされるファイルのサイズ(容量)が小さいファイルは問題にならないが、サイズが大きいファイルのバックアップの場合、前記ファイル生成有効時間の範囲を長く与えなければならないが、このように時間を長い間開いておくと、その間外部攻撃へ露出される可能性が大きくなる。例えば、バックアップの場合、格納の効率を高めるために一つのファイル単位でバックアップするのではなく、TarやZIPフォーマットで一つのファイルにしてバックアップするようになるが、ファイルのサイズが大きすぎるとファイルの修正可能時間を充分長く与えなければならないためである。
上述した問題点を改善するために、本発明の実施例では「命令語基盤の読み取り専用ストレージ」具現方式を提案する。このような命令語基盤の読み取り専用ストレージ具現方式は、バックアップ命令、ロック命令、ロック解除命令によって実行され、この時のバックアップ/ロック/ロック解除はファイル単位でも動作されることはもちろん、フォルダ単位でも動作されることができる。したがって、特定ファイルに対する修正要請がある場合も該当ファイルの経路にしたがって該当ファイルを保管しているフォルダ(該当フォルダの上位フォルダまで拡張される)がロック状態である場合は、該当ファイルに関する修正要請が拒否される。
このようなバックアップ/ロック/ロック解除命令はリナックス運営体制による時、次のような命令語にしたがう命令構造が活用されることができる。
バックアップ命令の例
User>mount 192.10.1.1 localhost\backup
(Mkdir \backup\websource_backup_20190805)
Copy/Backup ‘\websource’ ‘\backup\websource_backup_20190805’
ロック命令の例
freeze \backup\websource_backup_20190805
ロック解除命令の例
Melt \backup\websource_backup_20190805 (OTP 201023)
上述したように、ロック解除命令の場合、ワンタイムパスワード(OTP)による認証をさらに要求することもできる。
上述したように、本発明の方式によると、バックアップされた資料をとても単純なコンソールコマンド(Console command)で特定フォルダ以下の全てのファイル及びフォルダをロック処理して読み取り専用モードに変えることができる。
本発明の実施例による命令語基盤の読み取り専用ストレージ具現方式によると、一般的にマウントされているドライブにファイルを要請する場合、該当要請にファイルを保管するフォルダの経路も含まれるが、このようにファイル及びフォルダ経路を基準にして修正要請を制限すると非常に効率的な保安管理が可能となり、またフォルダを基準にして保安管理をするようになると個別ファイル別に不要なメタデータ管理(前述した生成時間基盤の読み取り専用ストレージ具現方式の場合、生成時間対比現在要請時間の差、前述したプログラム基盤の読み取り専用ストレージ具現方式の場合、該当プログラムの属性情報、指紋価など)を省略することができる利点がある。
以下、図1~図3を参照して、本発明の実施例を順次説明する。
本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムは、サーバーと物理的に独立された別個の格納装置であって、前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含むバックアップ用ストレージ装置(図1~図3の「Mega Storage」参照、以下同一である);及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント(図1~図3の「Mega connector」参照、以下同一である);を含む。
本発明のランサムウェア攻撃を遮断するためのサーバー用システムにおいて、前記バックアップ用ストレージ装置は、ネットワーク及び直接連結可能な一般的なストレージと同じ環境を提供する。すなわち、NAS、DAS、SANなどでつながった一般的なストレージのようにmount/unmountを提供し、運営体制のI/Oをそのまま提供することでrsyncのような多様なバックアップユーティリティ及びツールが動作するに問題ないように具現される。
また、サービスエージェントは、その設置段階で運営体制のサービスレベルで駆動されることができたり、運営体制のプログラム実行環境パスを登録させて、どの位置でも駆動されることができるように取り付けられることができる。
本発明の実施例によると、前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理するようになるが、これに関しては以下で詳しく説明する。
本発明の実施例によると、前記バックアップ用ストレージ装置へのデータバックアップは、前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることができる。以下、これに関して図1を参照して説明する。ここで、図1は本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がサーバーにストレージマウントされる過程を示す図面である。
図1を参照すると、バックアップ用ストレージ装置(Mega Storage)は実際に格納装置を内蔵してHybrid WORMプログラムを搭載したデバイスまたはサーバー装置を意味し、サービスエージェント(Mega Connector)は顧客サービスサーバーに取り付けられてバックアップ用ストレージ装置(Mega Storage)と通信するモジュールである。
使用者が自社サービスサーバーの資料をバックアップするためには、バックアップ用ストレージ装置(Mega Storage)を自社サービスサーバーにマウント(mount)しなければならない。使用者のマウント(mount)要請はサービスエージェント(Mega Connector)が受けて処理し、ストレージマウント(mount)に係わる運営体制の各種I/Oはサービスエージェント(Mega Connector)がバックアップ用ストレージ装置(Mega Storage)を通じて処理した後、結果を運営体制に返還する方式で処理される。
図1の例では/mediaというフォルダの下にbackupという新しいフォルダにバックアップ用ストレージ装置(Mega Storage)がマウントされる例を示す。
また、図2はバックアップ用ストレージ装置がデータバックアップ及びロック処理される過程を示す図面である。
本発明の実施例において、前記バックアップ用ストレージ装置は、前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令と確認された場合、該当データ修正命令を拒否処理する。
図2を参照すれば、使用者が/websourceの資料を/media/backup/websource/20180101にバックアップした後(図2の(a)参照)、ロック(lock、これはサービスエージェント(Mega Connector)が提供)を要請すると、バックアップ用ストレージ装置(Mega Storage)は該当フォルダをロック処理することで、以後は読み取り専用モード(read only mode)のみで動作されるようにする(図2の(b)及び(c)参照)。
この時、/media/backup/websource/20180101フォルダは、リナックス運営体制の場合mkdirのような命令で生成することができる。
また、ロック処理されたフォルダの情報はバックアップ用ストレージ装置(Mega Storage)の非揮発性メモリ(データベースなど)に格納されて、バックアップ用ストレージ装置(Mega Storage)への電源供給が中断されてもデータが維持される。
以後、使用者またはランサムウェア(Ransomware)を含む任意のプロセッサによって/media/backup/websource/20180101に対するデータ修正要請(例えば、write file、modify file、move file、delete fileなど)はいずれも拒否処理される。
また、他の実施例によると、前記バックアップ用ストレージ装置は、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違う他のストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理することができる。
すなわち、ロック処理されたフォルダの情報はバックアップ用ストレージ装置(Mega Storage)の格納場所基準経路で設定(図1の例では/websource/20180101)になるし、バックアップ用ストレージ装置(Mega Storage)が他の装置に違う経路(例えば、/media/data)にマウントされても/media/data/websource/20180101は依然として読み取り専用のみでアクセスできるように具現されることができる。
図3はバックアップ用ストレージ装置がロック処理解除される過程を示す図面である。
本発明の実施例において、前記バックアップ用ストレージ装置は、前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチ(例えば、バックアップ用ストレージ装置に備えられたロック設定及び解除用ハードウェアボタンなど)またはソフトウェアスイッチを含むことができる。これによって、前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチ動作の切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理することができる(図3の(d)参照)。
これによって、前記バックアップ用ストレージ装置は、前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正可能な状態に切替処理することができる(図3の(e)及び(f)参照)。
この時、前記ロック解除状態への切替は、前記バックアップ用ストレージ装置内にバックアップされたデータ全体に対して行われる一括解除方式及び要請されたバックアップデータに限って行われる選択解除方式の中でいずれか一つが選択可能である。
上述したように、本発明では、基本的に一度ロック処理されたフォルダ及びそれ以下のファイル及びフォルダに対しては読み取り専用のみで接近可能であり、使用者による任意のロック解除は不可能となるように具現されることができる。しかし、ロック処理されたフォルダが増加すると、バックアップ用ストレージ装置(Mega Storage)の書き込み可能な領域は減り続ける。したがって、ストレージを再度使用できるようにロック解除することができる機能を備えておかなければならないが、本発明のバックアップ用ストレージ装置(Mega Storage)ではハードウェアスイッチ(physical switch(the protect switch))またはソフトウェアスイッチをオフ(off)する動作によってロック解除が処理される。このように該当スイッチ(The protect switch)がオフ(off)されている間は特定フォルダをロック解除処理したり、バックアップ用ストレージ装置(Mega Storage)全体をロック解除処理することが可能である。もちろんハードウェアスイッチ及びソフトウェアスイッチのオン/オフ方式以外にもOTP(one time password)を利用したオン/オフ(すなわち、ロック及びロック解除)方式も適用可能である。
上述したようなロック及びロック解除方式と係わって、次のような多様な方式がさらに存在することができる。以下、これに関する多様な実施例を説明する。
本発明の一実施例によると、バックアップ用ストレージ装置のロック処理は事前に指定されたロック命令(ex.freeze命令語を利用したロック命令)が受動入力されないと実行できない(すなわち、読み取り専用に変更する)方式によることもできるが、所定条件によって自動で実行されるようにすることもできる。一例として、使用者端末に設置されたクライアントプログラムから該当ネットワークドライブに入ってくるファイルイベントがファイル/フォルダ生成イベント(ex.createイベント)である場合は該当ファイルの生成を許容し、該当ファイル/フォルダの終了イベント(ex.closeイベント)が入ってくると自動で該当ファイル/フォルダに関するロック処理を実行する方式が適用されることもできる。
ここで、ファイルハンドル(File handle)をクローズ(close)するI/O eventを発生させるC関数では、ウィンドウズOSによると、以下の2つのC関数が代表的に利用されることができる。
int fclose(FILE *stream)
BOOL CloseHandle(HANDLE hObject)
また、ここで、ファイルハンドル(File handle)をクローズ(close)するI/O eventを発生させるC関数では、Linux/Unix OSによると、以下のようなC関数が代表的に利用されることができる。
int close(int fd)
前記のようにファイルハンドル(File handle)を閉じるAPIをプログラムが呼び出すと、ファイルハンドル(File handle)をクローズ(close)するI/O eventが発生し、このイベント(event)はファイルシステム(File System)に伝達される。この場合、WindowsはCallback File System(File System Driver)によってこのI/Oが感知され、Linuxはヒューズ(FUSE)を通じてこのI/Oが感知されることができる。
また、特定アプリケーション(Application)がファイルハンドル(File Handle)を開いたまま終了すると、一般的にOSによって強制的にオープンされたファイルハンドル(File Handle)がクローズされ、この時も同じevent I/Oが発生する。
前記説明した関数は、C言語で使用するものであり、各言語別にファイルハンドルを閉じる関数が別に存在する。該当関数は全てファイルシステム(File System)でファイルハンドル(File handle)をクローズ(Close)するイベント(Event)を発生させる。
また、以上ではハードウェアスイッチなどを利用したオン/オフ選択を通じてバックアップ用ストレージ装置に保管されたデータをフォルダ単位で読み取り専用化したり、読み取り専用を解除する方式を主に説明したが、システム設計方式によって上述したようにファイルの終了イベントを感知して自動で読み取り専用モードに変更する方式を採用し、ハードウェアスイッチなどがオンになった状態では該当ディスクの初期化命令がある場合もディスク初期化が動作されない方式が適用されることもできる。
本発明の第2技術的目的として、フィッシング攻撃を遮断するシステムについて以下で説明する(図4~図8参照)。
以下、図4~図8を参照して本発明の他の実施例によるフィッシング攻撃を遮断するサーバー用システムを説明する前に、本発明を理解しやすくするために、本発明の方式と他の方式の間の差を説明すると、以下のとおりである。
従来の先行技術によると、ハッカーによる悪性プログラムが知らず知らずのうちに設置されることによってPCなどの使用者端末、サービスサーバーに保管されたデータの流出及び改作を防ぐために、ファイル保安政策上、保安が必要なファイルを保安格納領域に別途保管する方式を利用したり、認可されたプログラムに限ってファイルを編集できるように許容する方式を利用したり、または読み取り専用ストレージで構成して読み取り専用モードのみでファイルを開くことができるように許容する方式などが利用されてきた。
しかし、保安格納領域に別途保管する方式と、認可されたプログラムに限ってファイル編集を許容する方式は、運営体制の管理者アカウント(Admin account)が奪取されると同時に無力化される脆弱性を持つ。前記のように管理者アカウントが奪取される場合、入出力される全ての命令またはトラフィックをハッカー側で閲覧することができるようになるので、ハッカーが該当入出力命令を見ている途中で認可されたプログラムの指紋価などを奪取してリプレイアタック(すなわち、ハッキングプログラムをその認可されたプログラム名と同一にして、奪取した指紋価をバックアップサーバーに伝達して、まるで正常なプログラムのように偽装する攻撃)などを実施すれば、前記技術の保安方式が無力化される。
また、読み取り専用ストレージで構成して読み取り専用モードのみでファイルを開くことができるように許容する方式の場合も、ランサムウェア攻撃(ransomware attack)には強いが、読み取り専用で開かれたファイルの内容をキャプチャーするなどの方式でデータ流出が可能であるため、フィッシング攻撃に無力化される可能性がある。
上述した問題点を改善するために、本発明の実施例では「リストオンリーモード(List‐only Mode)」として基本動作する物理的に独立された別のストレージ装置(以下、フィッシング攻撃防止ストレージ装置と命名する)を利用することで上述したような脆弱性問題を改善し、フィッシング攻撃によるデータ流出を防ぐことができる方法を提案する。
以下、添付された図面を参照して本発明の実施例を順次詳しく説明する。
図4は、本発明の実施例によるフィッシング攻撃防止方法及びシステムによる基本プロセスとしてリストオンリーモードを説明するための図面である。
本明細書では説明の便宜及び集中のために、PCのような使用者端末がフィッシング攻撃防止ストレージ装置とネットワークでつながってフィッシング攻撃防止ストレージ装置全体の格納領域または特定格納領域が使用者端末にネットワークドライブ形態でマウントされる場合を中心として説明する。ただし、本発明はリナックスやユニックスシステム基盤のサービスサーバーが前記フィッシング攻撃防止ストレージ装置の格納領域をマウントして使用する場合も同様に適用されることができることは自明である。
図4を参照すれば、使用者がList‐only状態のファイルをファイル探索機を通じて開くことを試みると、ファイル探索機は該当ファイルの拡張子を処理する基本プログラム(例えば、docx拡張子を処理する基本プログラムWINWORD.EXE)を実行した後、ファイル情報を伝達する。基本プログラムは運営体制を通じてファイルの読み取りを要請し、これはファイルシステムドライバー(File system driver)として動作するエージェントプログラム(以下、これをファイリングボックスミニアプリケーションと称する)を経てフィッシング攻撃防止ストレージ装置(以下、これをファイリングボックスミニ装置と称する)に伝達される。
ファイリングボックスミニ装置は要請されたファイルのList‐Onlyモードをチェックして(List‐Onlyモードの場合)偽の資料を返還し、これは基本プログラムに提供される。これによって使用者は最終的に偽の資料を持つ文書を見たり、偽の資料によって基本プログラムが発生させた誤謬を確認するようになる。
前記偽のファイルは、オープン要請された原本ファイルとファイル容量は同一であるが、ファイル本文がナル値(null value)または何の意味も分からない未知値(unknown value)で満たされることができる。
図5は、本発明の実施例によるリストオンリーモードを解除してファイルを編集可能な状態で開くための方法を説明するための図面である。
図5を参照すれば、使用者がファイル探索機で特定ファイルを選択した後、マウスの右ボタンをクリックしてファイル探索機のシェルエクステンション(Shell Extension)のContext Menuをポップアップした後「編集モードで開く」メニューを選択すると、ファイル探索機はファイリングボックスミニアプリケーションに該当ファイルのList‐Onlyモード解除を要請し、ファイリングボックスミニアプリケーションはこの要請をファイリングボックスミニ装置に遂行させる。該当ファイルのList‐Onlyモードが正常に解除されると、ファイル探索機は該当ファイルの拡張子を処理する基本プログラムを実行した後でファイル情報を伝達し、基本プログラムは運営体制、ファイリングボックスミニアプリケーションを経てファイリングボックスミニ装置から原本資料を読み込んで処理する。
図6は、本発明の実施例によるリストオンリーモードを解除する過程で追加認証を遂行する方法を説明するための図面である。
図6を参照すれば、使用者が特定ファイルを使用可能な形態で開こうとする時、追加OTP認証を経て該当ファイルのList‐Onlyモードを解除する過程である。
使用者は自分のOTP装置(モバイルなど)をファイリングボックスミニ装置に最初一回登録しなければならない。
使用者はファイリングボックスミニアプリケーションを通じて自分のIDとともに装置登録を要請し、要請を伝達してもらったファイリングボックスミニ装置は内部の装置認証部に該当使用者IDで使用する新規TOTP Parameterの生成及び登録を要請する。正常に装置認証部に登録されたTOTP Parameterはファイリングボックスミニアプリケーションに伝達されて使用者に露出される。使用者は該当TOTP Parameterを自分のOTP装置に登録すれば初期OTP装置登録過程が完了される。
以後、使用者がファイル探索機で特定ファイルを選択した後、マウスの右ボタンをクリックしてファイル探索機(Shell Extension)のContext Menuをポップアップした後「編集モードで開く」メニューを選択すると、ファイリングボックスミニアプリケーションはファイリングボックスミニ装置から認証政策を照会してOTP認証が必要であることを認知して使用者にTOTP値を要請する。使用者は自分のOTP装置からTOTP値を得てファイリングボックスミニ装置に提供し、この値を伝達してもらったファイリングボックスミニ装置は内部の装置認証部に認証を要求する。認証が成功的に行われると、ファイリングボックスミニ装置は該当ファイルのList‐Onlyモードを解除して使用可能な状態に変更する。
ここで、図7はウィンドウズ探索機でフィッシング攻撃防止用ストレージ装置の格納空間がネットワークドライブにマウントされた後、使用者が特定ファイルを「編集モードで開く」または「編集モードに切替」しようとする場合に関する画面の例示で、図8は図7の編集モードが解除されるようにする時、編集モード終了命令を伝送することができるようにする実施画面の例示である。
また、上述した編集モードに切替または/及び編集モード終了の処理は単位ファイル単位で行われることもできるが、場合によってはファイル駆動上必要な範囲内で、あるいは設定された範囲内で複数のファイルで同時に行われることもできる。一例として、CADやソフトウェア開発ツールの場合のように、下位フォルダを持っている参照ファイルを同時にアクセスして使わなければならない必要がある場合は、いずれか一つのファイルに関する編集モードに切替/終了操作によっても、これと係わる該当下位フォルダ全体または下位フォルダ内の参照ファイルを一緒に編集モードに切替/終了処理することもできる。
以上、本発明の実施例を参照して説明したが、該当技術分野で通常の知識を有する者であれば下記の特許請求の範囲に記載された本発明の思想及び領域から脱しない範囲内で本発明を多様に修正及び変更させることができることを容易に理解することができる。

Claims (11)

  1. ランサムウェア攻撃を遮断するためのサーバー用システムであって、
    サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含み、
    前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、
    前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して、該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理する、ランサムウェア攻撃遮断システム。
  2. 前記バックアップ用ストレージ装置へのデータバックアップは、
    前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることを特徴とする、請求項1に記載のランサムウェア攻撃遮断システム。
  3. 前記バックアップ用ストレージ装置は、
    前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令であると確認された場合、該当データ修正命令を拒否処理する、請求項1に記載のランサムウェア攻撃遮断システム。
  4. 前記バックアップ用ストレージ装置は、
    前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違う他のストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理する、請求項3に記載のランサムウェア攻撃遮断システム。
  5. 前記バックアップ用ストレージ装置は、
    前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチまたはソフトウェアスイッチを含み、
    前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチ動作の切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理する、請求項1に記載のランサムウェア攻撃遮断システム。
  6. 前記バックアップ用ストレージ装置は、
    前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正が可能な状態に切替処理する、請求項5に記載のランサムウェア攻撃遮断システム。
  7. 前記ロック解除状態への切替は、前記バックアップ用ストレージ装置内にバックアップされたデータ全体に対して行われる一括解除方式及び要請されたバックアップデータに限って行われる選択解除方式の中でいずれか一つが選択できたことを特徴とする、請求項6に記載のランサムウェア攻撃遮断システム。
  8. フィッシング攻撃防止システムであって、
    フィッシング攻撃防止ストレージ装置;
    使用者端末またはサービスサーバーに取り付けられ、前記使用者端末またはサービスサーバーが前記フィッシング攻撃防止ストレージ装置とネットワークを通じてつながって前記フィッシング攻撃防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、前記フィッシング攻撃防止ストレージ装置との連動動作を遂行するエージェントプログラム;を含み、
    前記使用者端末またはサービスサーバーから前記フィッシング攻撃防止ストレージ装置に保管されたファイルに関するオープン要請がある場合、
    前記フィッシング攻撃防止ストレージ装置は、ストレージ動作モードをチェックして、前記ストレージ動作モードがリストオンリーモード(List‐only mode)にあたる場合、オープン要請された原本ファイルではなく偽のファイル(fake file)を生成して、前記使用者端末またはサービスサーバーに偽のファイルが返還されるようにすることを特徴とする、フィッシング攻撃防止システム。
  9. 前記偽のファイルは、オープン要請された原本ファイルとファイル容量は同一であるが、ファイル本文がナル値(null value)または未知値(unknown value)で満たされることを特徴とする、請求項8に記載のフィッシング攻撃防止システム。
  10. 前記エージェントプログラムは、
    前記使用者端末またはサービスサーバーにネットワークドライブ形態でマウントされる前記フィッシング攻撃防止ストレージ装置内の保管フォルダまたはファイルに関して使用者が編集モードに切替及び終了を選択できるようにする選択情報を提供し、
    前記ファイルオープン要請が前記編集モードに切替による編集モードで開く要請に当たる場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
    前記フィッシング攻撃防止ストレージ装置は、
    前記編集モードで開く要請によって前記リストオンリーモードを解除し、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにすることを特徴とする、請求項9に記載のフィッシング攻撃防止システム。
  11. 前記エージェントプログラムは、前記使用者端末またはサービスサーバーから事前に登録された方式による前記リストオンリーモードの解除要請がある場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
    前記フィッシング攻撃防止ストレージ装置は、前記リストオンリーモードの解除要請にしたがって、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにし、
    前記リストオンリーモードの解除は、使用者から事前に登録処理された認証装置を通じる権限者認証を通じて実行されることを特徴とする、請求項9に記載のフィッシング攻撃防止システム。

JP2021577491A 2019-11-27 2019-11-27 ランサムウェアまたはフィッシング攻撃遮断方法及びシステム Active JP7489672B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2024001772A JP2024038306A (ja) 2019-11-27 2024-01-10 ランサムウェアまたはフィッシング攻撃遮断方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2019/016426 WO2021107177A1 (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2024001772A Division JP2024038306A (ja) 2019-11-27 2024-01-10 ランサムウェアまたはフィッシング攻撃遮断方法及びシステム

Publications (2)

Publication Number Publication Date
JP2023503760A true JP2023503760A (ja) 2023-02-01
JP7489672B2 JP7489672B2 (ja) 2024-05-24

Family

ID=

Also Published As

Publication number Publication date
KR20210156309A (ko) 2021-12-24
US20240031384A1 (en) 2024-01-25
KR20210068388A (ko) 2021-06-09
JP2024038306A (ja) 2024-03-19
US11811790B2 (en) 2023-11-07
CN114080782A (zh) 2022-02-22
US20230132303A1 (en) 2023-04-27
CN114080782B (zh) 2024-04-26
WO2021107177A1 (ko) 2021-06-03
US20210336970A1 (en) 2021-10-28

Similar Documents

Publication Publication Date Title
US11528142B2 (en) Methods, systems and computer program products for data protection by policing processes accessing encrypted data
US8103883B2 (en) Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption
US10645091B2 (en) Methods and systems for a portable data locker
CN102948114B (zh) 用于访问加密数据的单次使用认证方法及系统
CA2759612C (en) Method and system for securing data
US20230132303A1 (en) System for blocking a ransomware attack
JP6785967B2 (ja) フィッシング又はランサムウェア攻撃を遮断する方法及びシステム
KR101373542B1 (ko) 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템
KR20010109271A (ko) 데이터보안 제공을 위한 시스템과 방법
GB2496841A (en) Method of securing a computing device
CN109684866B (zh) 一种支持多用户数据保护的安全优盘系统
CN115329389A (zh) 一种基于数据沙箱的文件保护系统及方法
EP3438864B1 (en) Method and system for protecting a computer file against possible malware encryption
KR20200013013A (ko) 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
KR20060058546A (ko) 데이터베이스 암호화 및 접근 제어 방법 및 장치
KR102340604B1 (ko) 서버용 랜섬웨어 공격 차단 방법 및 시스템
KR102554875B1 (ko) 원격 업무 환경 제공 장치 및 방법
JP7489672B2 (ja) ランサムウェアまたはフィッシング攻撃遮断方法及びシステム
KR101552688B1 (ko) 엔드포인트 단의 사용자 정책 설정에 따른 데이터 보안 방법 및 시스템
Arai et al. A proposal for an effective information flow control model for sharing and protecting sensitive information

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220526

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230711

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20231010

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20231208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240502