JP3685062B2 - 不正アクセス監視方法および内部通信ネットワーク - Google Patents
不正アクセス監視方法および内部通信ネットワーク Download PDFInfo
- Publication number
- JP3685062B2 JP3685062B2 JP2000397385A JP2000397385A JP3685062B2 JP 3685062 B2 JP3685062 B2 JP 3685062B2 JP 2000397385 A JP2000397385 A JP 2000397385A JP 2000397385 A JP2000397385 A JP 2000397385A JP 3685062 B2 JP3685062 B2 JP 3685062B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- communication network
- external
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、外部通信ネットワークから組織内などに構築された内部通信ネットワークへの不正アクセスを監視する方法、および上記内部通信ネットワークに関する。
【0002】
【従来の技術】
パーソナルコンピュータの普及に伴って、日常業務のほとんどは、会社などの組織内の通信ネットワークに接続されたパーソナルコンピュータおよびワークステーションなどの端末装置、ならびに各種情報を提供するサーバを利用して行われるようになってきている。さらに、こうした組織内の通信ネットワーク(以下「内部通信ネットワーク」という)は、組織外との情報交換の利便性を求めて世界中に接続されているインターネットなどの外部通信ネットワークと接続されて利用されるのが通常である。こうした状況は、一方では、外部通信ネットワークのユーザからの内部通信ネットワークへの様々な不正アクセスの脅威にさらされることになり、これらの不正アクセスを水際で食い止める技術が重要になってきている。
【0003】
不正アクセスを監視するための技術としては、たとえば、次のようなものがある。内部通信ネットワークのゲートウエイは、外部通信ネットワークからの通信に対し、そのパケット制御情報(接続元IPアドレス、宛先IPアドレス、接続元ポート番号、宛先ポート番号など)に基づいて、通過の可否を判断している。すなわち、ゲートウエイは、上記パケット制御情報と事前に通過許可登録されているパケット制御情報とを照合する。パケット制御情報が一致しない場合、内部通信ネットワークのゲートウエイは、内部通信ネットワークへの被害を阻止するため、その通信を強制終了する。こうすることにより、不正アクセスを水際で食い止めている。
【0004】
【発明が解決しようとする課題】
しかしながら、上述の技術では、不正アクセスをしてきたユーザに関する情報を得ることができないとの問題があった。より詳述すれば、上述の通信は、通常、TCP/IPを利用している。TCP/IPでは、一般に、直接通信する端末に関する情報のみをパケット制御情報ととして送受している。したがって、不正アクセス端末からサーバなどを経由して内部通信ネットワークに侵入してくる場合、内部通信ネットワークのゲートウエイは、直前のサーバに関するパケット制御情報しか得ることができない。そのため、さらに上流側にある不正アクセス端末の端末情報を得ることができないという問題があった。
【0005】
そこで、この発明の目的は、内部通信ネットワークにおいて不正アクセス端末を特定できる不正アクセス監視方法を提供することである。
【0006】
また、この発明の他の目的は、不正アクセス端末を特定できる内部通信ネットワークを提供することである。
【0007】
【課題を解決するための手段】
上記目的を達成するためのこの発明は、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークと、この外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークとを有する通信ネットワークに用いられる不正アクセス監視方法であって、上記ゲートウエイにおいて、外部通信ネットワークの端末である外部端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する不正アクセス検出ステップと、不正アクセスであると検出された場合に、内部通信ネットワーク内の罠端末と外部通信ネットワークのアクセス元の外部端末との間で通信回線を接続する回線接続ステップと、通信回線接続中に、アクセス元の外部端末が予め定められた罠処理を実行することにより、当該アクセス元の外部端末の端末情報を内部通信ネットワーク内の管理端末に送信する情報送信ステップとを含むものである。
【0008】
また、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークと、この外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークとを有する通信ネットワークに用いられる不正アクセス監視方法であって、アクセス元の外部端末から回線接続が要求された外部端末において、リモート操作であるか否かを判別するリモート判別ステップと、リモート操作であると判別された場合に、アクセス元の外部端末の端末情報を取得し後段の外部端末に転送する情報取得・転送ステップと、後段の外部端末において上記アクセス元の外部端末の端末情報をさらに後段の外部端末に転送する情報転送ステップと、ゲートウエイにおいて、外部端末からアクセスがあった場合に、不正アクセスであるか否かを検出する不正アクセス検出ステップと、不正アクセスであると検出された場合に、上記アクセス元の端末の端末情報を内部通信ネットワーク内の管理端末に転送するステップとを含むものである。
【0009】
さらに、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークにおいて、外部通信ネットワークの端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する手段と、不正アクセスであると検出された場合に、上記アクセスが導かれる罠端末とを備え、上記罠端末は、上記アクセスが導かれた場合に、外部通信ネットワークのアクセス元の端末と通信回線を接続する手段と、通信回線接続中においてアクセス元の端末が所定の罠コマンドを実行するか否かを判別する手段と、上記罠コマンドが実行されたと判別された場合に、前段の端末の端末情報を取得し内部通信ネットワークに送信すること、および当該送信命令を前段の端末に対して転送することを規定した送信命令を外部通信ネットワークの端末に対して送出する手段とを含むものである。
【0010】
さらにまた、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークにおいて、外部通信ネットワークの端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する手段と、不正アクセスであると検出された場合に、上記アクセスが導かれる罠端末とを備え、上記罠端末は、上記アクセスが導かれた場合に、外部通信ネットワークのアクセス元の端末と通信回線を接続する手段と、予め定められたファイル操作プログラムにより起動され、起動端末の端末情報を収集し内部通信ネットワーク内の管理端末に送信するように規定された情報収集プログラムが埋め込まれた罠ファイルをダウンロード可能に記憶するデータベースとを含むものである。
【0011】
【発明の実施の形態】
以下では、この発明の実施の形態を、添付図面を参照して詳細に説明する。
【0012】
実施の形態1
図1は、この発明の実施の形態1に係る不正アクセス監視方法が用いられた通信ネットワークの全体構成を示す概念図である。この通信ネットワークは、インターネットなどの有線の外部通信ネットワーク1に企業内などに構築された有線の内部通信ネットワーク2が接続されたものであり、複数のコンピュータ端末(以下単に「端末」という)間においてTCP/IPなどの所定の通信プロトコルに従ってパケットを送受信するものである。
【0013】
より具体的には、この通信ネットワークは、外部通信ネットワーク1から内部通信ネットワーク2への不正アクセスを監視し、不正アクセスが検出された場合に、内部通信ネットワーク2内の正規の端末と異なる専用の端末を利用することにより、不正アクセス経路を追跡するとともに不正アクセス端末の端末情報を取得するように構成されたものである。
【0014】
ここに、内部通信ネットワーク2は、企業、大学、政府などの組織内に構築されている通信ネットワークに相当するものである。また、上記通信プロトコルは、TCP/IPに限定されることはなく、直接通信する隣接端末間の端末情報をパケット制御情報に含ませるようにしたものであればよい。パケット制御情報は、接続先MACアドレス、接続元MACアドレス、接続先IPアドレス、接続元IPアドレス、接続元ポート、接続先ポートおよびユーザ名などである。また、端末情報は、接続元MACアドレス、接続元IPアドレスおよびユーザ名である。
【0015】
なお、この通信ネットワークは、すべて有線通信ネットワークを前提としている。しかし、たとえば外部通信ネットワーク1および内部通信ネットワーク2のいずれか一方または両方が無線の通信ネットワークでもよいことはもちろんである。
【0016】
通信ネットワークの構成についてより詳述すれば、内部通信ネットワーク2は、ゲートウエイGWを介して外部通信ネットワーク1に接続されており、正規ネットワークNn、罠ネットワークNwおよび管理ネットワークNkを含む。ゲートウエイGWは、内部通信ネットワーク2と外部通信ネットワーク1とを接続するためのネットワーク間接続装置の一種であり、外部通信ネットワーク1からのアクセス監視など予め定められた処理を実行するものである。
【0017】
正規ネットワークNnは、ゲートウエイGWに接続され、内部通信ネットワーク2内の正規端末Tnが接続された正規の通信ネットワークに相当するものである。より具体的には、正規ネットワークNnは、たとえばLAN(Local Area Network)を介して接続された1または複数の正規端末Tnを含む。この正規端末Tnは、たとえば、オペレータにより操作可能なパーソナルコンピュータである。
【0018】
罠ネットワークNwは、ゲートウエイGWに接続され、外部通信ネットワーク1からの不正アクセスが導かれる通信ネットワークであり、1または複数台の罠端末Twを含む。罠端末Twは、不正アクセス元の端末情報を取得することを目的に設置されており、所定の不正アクセス追跡プログラムが予め格納されている。すなわち、罠端末Twは、不正アクセス追跡プログラムに従って不正アクセス元の端末情報を追跡する処理を自動的に実行するものであり、たとえばサーバにより構成される。
【0019】
管理ネットワークNkは、ゲートウエイGWに接続され、1または複数台の管理端末Tkを含む。管理端末Tkは、内部通信ネットワーク2にアクセスしてきた通信に関し予め定められた管理処理を自動的に実行するものであり、たとえばサーバである。管理処理は、たとえば、アクセスだけを拒否し、端末情報についてのみ正規ネットワークまで伝送するか否かを判断したりする処理である。
【0020】
外部通信ネットワーク1は、内部通信ネットワーク2以外のすべての通信ネットワークを含む概念のものであり、たとえばインターネットおよび/またはインターネットに接続された専用通信ネットワークからなる。外部通信ネットワーク1は、複数台の外部端末Tmを含んでいる。この複数台の外部端末Tmの中には、ユーザが操作するパーソナルコンピュータおよびワークステーションなどの他に、サーバおよびルータも含まれる。ある外部端末Tmのアクセスは、たとえば、複数台のサーバを経由して特定の端末に到達し、接続元の外部端末Tmと特定の端末との間でTCP/IP通信が行われる。上記特定の端末には、当然ながら内部通信ネットワーク2内の端末も含まれる。
【0021】
なお、この実施の形態1では、外部端末Tmの一つである不正アクセス端末TFが内部通信ネットワーク2内の正規端末Tnにアクセスする際に、4つの外部端末Tm、すなわち第1外部端末T1、第2外部端末T2、第3外部端末T3および第4外部端末T4を経由する場合を想定する。
【0022】
図2は、パケットの構成を示す概念図である。パケットは、ヘッダ部およびデータ部を含む。ヘッダ部は、パケット制御情報を格納するもので、接続元MACアドレス(MAC SA)、接続元IPアドレス(IPヘッダ)、ユーザ名および接続元ポート(Source Port)、ならびに接続先MACアドレス(MAC DA)、接続先IPアドレス(IPヘッダ)および接続先ポート(Destination Port)である。データ部は、通信データを格納するものである。MACアドレスは、たとえばLANカードに固有の製造番号のようなシリアル番号であり、通常、設定変更できないようになっている。
【0023】
図3は、罠端末Twの内部構成を示す機能ブロック図である。罠端末Twは、送受信部10、プログラム記憶部11および制御部12を含む。送受信部10は、ゲートウエイGWを介して外部通信ネットワーク1とパケットの送受信を行うものである。プログラム記憶部11は、不正アクセス追跡プログラムを予め記憶している。制御部12は、このプログラム記憶部11に記憶された不正アクセス追跡プログラムに従って、不正アクセス追跡処理を実行する。
【0024】
不正アクセス追跡プログラムは、所定の罠コマンドが実行された場合に、外部通信ネットワーク1の外部端末Tmに対して前段の外部端末Tmの端末情報を内部通信ネットワーク2の管理端末Tkに送信させる処理を規定するものである。より具体的には、不正アクセス追跡プログラムは、不正ユーザが実行する可能性の高いものとして予め設定された罠コマンドが実行された場合に、外部通信ネットワーク1のアクセス経路を構成するすべての外部端末T1〜T4およびTFに対して前段の外部端末の端末情報を内部通信ネットワーク2の管理端末Tkに送信させる処理を規定する。
【0025】
ここに、上記罠コマンドは、罠端末Tw内のファイルまたはプログラムの識別情報を表示させるコマンドである。より具体的には、上記罠コマンドは、罠端末Tw内のファイル名またはプログラム名を一覧表示させるコマンドであり、UNIX(登録商標)のコマンドであるls、psなどに相当する。なお、lsは、ファイル一覧を表示させるコマンドであり、psは稼動しているプロセス(プログラム)の一覧を表示させるコマンドである。
【0026】
罠端末Twは、この不正アクセス追跡プログラムの実行を開始すると、ゲートウエイGWの前段の外部端末である第4外部端末T4に送信命令パケットを送信する。送信命令パケットは、端末情報送信命令を含むものである。端末情報送信命令は、外部端末Tmに対して前段の外部端末Tmの端末情報を管理端末Tk宛に送信すること、および、当該端末情報送信命令を前段の外部端末Tmに転送することを命令するものである。
【0027】
したがって、第4外部端末T4は、第3外部端末T3の端末情報を管理端末Tk宛に送信するとともに、送信命令パケットを第3外部端末T3に転送する。すると、第3外部端末T3においても第4外部端末T4と同様の処理を行うことになる。以後の第2外部端末T2、第1外部端末T1および不正アクセス端末TFにおいても、第4外部端末T4と同様の処理を実行することになる。そのため、アクセス経路を構成するすべての外部端末T1〜T4およびTFの端末情報を管理端末Tkに通知することになる。
【0028】
図4は、外部端末Tmの内部構成を示す機能ブロック図である。外部端末Tmは、送受信部20および制御部21を含む。送受信部20は、他の端末から送信されてきたパケットを受信するとともに、他の端末に対してパケットを送信する。制御部21は、送受信部20により受信されたパケットを処理したり必要なパケットを生成したりする。
【0029】
より具体的には、制御部21は、送信要求部22、要求応答部23、情報送信部24および送信命令転送部25を備えている。送信要求部22は、送受信部20において送信命令パケットを受信した場合に、送信要求パケットを生成し、当該外部端末Tmの前段の外部端末Tmに送信するものである。送信要求パケットは、前段の外部端末Tmを宛先とし、かつ当該前段の外部端末Tmの端末情報の送信を要求するものである。
【0030】
要求応答部23は、後段の外部端末Tmから送信要求パケットを送受信部20において受信した場合に、自端末の端末情報を含む要求応答パケットを生成し、後段の外部端末Tmに送信するものである。要求応答パケットは、後段の外部端末Tmを宛先とし、かつ自端末の端末情報を含むものである。
【0031】
情報送信部24は、前段の外部端末Tmから要求応答パケットを送受信部20において受信された場合に、情報送信パケットを生成し、内部通信ネットワーク2の管理端末Tkに送信するものである。情報送信パケットは、内部通信ネットワーク2の管理端末Tkを宛先とし、要求応答パケットに含まれている端末情報をデータとして含むものである。
【0032】
送信命令転送部25は、後段の外部端末Tmから情報送信命令パケットを送受信部20において受信された場合に、当該情報送信命令パケットを前段の外部端末Tmにそのまま転送するものである。
【0033】
図5は、管理端末Tkの内部構成を示す機能ブロック図である。管理端末Tkは、送受信部30、制御部31、情報記憶部32および入出力部33を含む。送受信部30は、ゲートウエイGWを介して外部ネットワーク1の外部端末Tmや内部ネットワーク2内の正規端末Tn、罠端末Twとの間でパケットを送受信するものである。
【0034】
制御部31は、管理端末Tkの制御中枢として機能するもので、たとえばCPUを含む。制御部31は、送受信部30において受信されたパケットを処理したり、情報記憶部32の記憶内容を読み出して入出力部33に出力したり、情報記憶部32に対して情報を書き込んだりする。より具体的には、制御部31は、IPアドレス変更部34および記憶制御部35を備えている。IPアドレス変更部34は、ゲートウエイGWにて不正アクセスであるとして送信されてきたパケットの接続先IPアドレスを罠端末TwのIPアドレスに変更し、送受信部30を介してゲートウエイGWに返信するものである。ゲートウエイGWは、当該パケットを罠端末Twに送信する。これにより、不正アクセスを罠ネットワークNwに導くことができる。
【0035】
記憶制御部35は、外部ネットワーク1からゲートウエイGWを介して管理端末Tkに送信されてきた情報送信パケット中の端末情報を抽出し、情報記憶部32に記憶させる。また、記憶制御部35は、入出力部33からの指示により、情報記憶部32の記憶内容を入出力部33に出力する。入出力部33は、たとえばキーボードと、ディスプレイおよび/またはプリンタとを含むものである。したがって、キーボードから記憶内容の表示が指示された場合、記憶制御部35は情報記憶部32の記憶内容を読み出し、ディスプレイに表示させたりプリンタによりプリントアウトさせる。こうすることにより、オペレータは、たとえば、不正アクセス経路の全外部端末Tmの端末情報を視認することができる。
【0036】
図6は、この実施の形態1に係る不正アクセスを監視する際の通信シーケンス図である。不正アクセス端末TFは、内部通信ネットワーク2内に侵入する場合、宛先の正規端末TnのIPアドレス、MACアドレスおよびポートを指定したうえで、接続要求パケットを外部通信ネットワーク1上に送出する。この場合、上記接続要求パケットは、パケット制御情報として上記宛先のIPアドレスなどの他、自端末のIPアドレス、MACアドレスおよびポートを含む。この接続要求パケットは、外部通信ネットワーク1の第1外部端末T1、第2外部端末T2、第3外部端末T3および第4外部端末T4を経由して内部通信ネットワーク2のゲートウエイGWにて受信される。
【0037】
ゲートウエイGWは、受信されたパケットが正規ユーザによるアクセスか否かを判断する(S1)。具体的には、ゲートウエイGWは、当該接続要求パケットのパケット制御情報を通過許可登録されている情報と照合し、正規ユーザによるアクセスか否かを判断する。正規ユーザによるアクセスであれば(S1のYES)、ゲートウエイGWは、当該接続要求パケットを正規ネットワークNnの正規端末Tnに送出する。一方、正規ユーザでなければ(S1のNO)、すなわち不正ユーザであれば、ゲートウエイGWは、当該接続要求パケットを管理端末Tkに転送する。
【0038】
管理端末Tkは、当該接続要求パケットの接続先IPアドレスを元の正規端末のものから罠端末Twのものへと自動的に変更し(S2)、アドレス変更後の接続要求パケットを罠ネットワークNw内の罠端末Twに送信する。罠端末Twは、当該接続要求パケットを受信すると、不正アクセス端末TFとの間で通信回線を確立する。こうして、通信が開始される(S3)。
【0039】
ところで、罠端末Twから送信されるパケットの接続元IPアドレスは、ゲートウエイGWを通過する際に、代理応答変換により外部向けのIPアドレスに変換される。したがって、外部通信ネットワーク1から見た場合、パケットの接続元が正規端末Tnであるか罠端末Twであるかを識別することができない。
【0040】
これにより、不正ユーザに対してあたかも内部通信ネットワーク2に侵入し、正規端末Tnと通信が確立できたかの錯覚を与えることができる。この場合、正規端末Tnと通信としていると錯覚している不正ユーザは、罠端末Twにおいて様々な不正操作を行うことが予想され、その間に不正アクセス端末TFを特定する時間を確保することができる。
【0041】
より詳述すれば、罠端末Twは、この通信中に、罠コマンドを実行したか否かを判別する(S4)。罠コマンドが実行されれば(S4のYES)、罠端末Twは、端末情報送信命令を含む送信命令パケットを生成し、当該送信命令パケットをゲートウエイGWを介して外部通信ネットワーク1に送出する。当該送信命令パケットは、ゲートウエイGWと直接通信している第4外部端末T4にてまず受信される。
【0042】
第4外部端末T4は、当該送信命令パケットを受信すると、前段の第3外部端末T3に対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。前段の第3外部端末T3は、送信要求パケットを受信すると、自端末の端末情報(T3情報:MACアドレス、IPアドレスおよびユーザ名)を含む要求応答パケットを後段の第4外部端末T4に送信する。
【0043】
要求応答パケットを受信した第4外部端末T4は、当該要求応答パケットに含まれる端末情報をデータとした情報送信パケットを生成し、当該情報送信パケットを送出する。その結果、情報送信パケットは、ゲートウエイGWを介して管理端末Tkに送信され、管理端末Tkにおいて端末情報が記憶される。これにより、内部通信ネットワーク2において不正アクセス経路の一つである第3外部端末T3の端末情報を取得できる。
【0044】
また、第4外部端末T4から送信命令パケットが転送されてきた前段の第3外部端末T3は、第4外部端末T4の場合と同様に、前段の第2外部端末T2に対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。
【0045】
その結果、第2外部端末T2から端末情報(T2情報)を含む要求応答パケットが第3外部端末T3に送信され、第3外部端末T3においてT2情報を含む情報送信パケットが生成され、当該情報送信パケットが第4外部端末T4およびゲートウエイGWを介して管理端末Tkに送信される。こうして、内部通信ネットワーク2において第2外部端末T2の端末情報が取得される。
【0046】
また、第3外部端末T3から送信命令パケットが転送されてきた前段の第2外部端末T2は、第3外部端末T3の場合と同様に、前段の第1外部端末T1に対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。
【0047】
その結果、第1外部端末T1から端末情報(T1情報)を含む要求応答パケットが第2外部端末T2に送信され、第2外部端末T2においてT1情報を含む情報送信パケットが生成され、当該情報送信パケットが第3外部端末T3、第4外部端末T4およびゲートウエイGWを介して管理端末Tkに送信される。こうして、内部通信ネットワーク2において第1外部端末T1の端末情報が取得される。
【0048】
また、第2外部端末T2から送信命令パケットが転送されてきた前段の第1外部端末T1は、第2外部端末T2の場合と同様に、前段の不正アクセス端末TFに対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。
【0049】
その結果、不正アクセス端末TFから端末情報(TF情報)を含む要求応答パケットが第1外部端末T1に送信され、第1外部端末T1においてTF情報を含む情報送信パケットが生成され、当該情報送信パケットが第2外部端末T2、第3外部端末T3、第4外部端末T4およびゲートウエイGWを介して管理端末Tkに送信される。こうして、内部通信ネットワーク2において不正アクセス端末TFの端末情報が取得される。
【0050】
以上のようにこの実施の形態1によれば、不正アクセスであることを検出した場合に、不正アクセス端末TFと罠端末Twとの間で通信回線を接続させ、所定の罠コマンドの実行により、不正アクセス端末TFおよび不正アクセス経路を構成するすべての外部端末T1〜T4およびTFの端末情報を内部通信ネットワーク2に送信させる。したがって、不正アクセスから正規端末Tnを保護できるだけでなく、不正アクセス端末TFをも容易に特定できる。そのため、不正アクセスの芽を迅速に摘むことができ、セキュリティ効果の高いネットワーク構築を実現できる。
【0051】
また、正規端末Tnに不正アクセス追跡処理を行わせるのでなく専用の罠端末Twを別に備え、この罠端末Twにて不正アクセス追跡処理を行わせるようにしているので、正規端末Tnの保護を確実に図ることができる。
【0052】
さらに、不正アクセス経路を構成する各外部端末Tmの端末情報をも内部通信ネットワーク2に送信させているから、不正アクセス経路をも特定することができる。
【0053】
なお、上述の説明では、不正アクセス端末TFを特定するだけである。しかし、たとえば、その特定された不正アクセス端末TFに対して内部通信ネットワーク2から警告メッセージを送信するようにしてもよい。より具体的には、管理端末Tkは、不正アクセス端末TFの端末情報を記憶し終えると、その旨をゲートウエイGWを介して罠端末Twに通知する。罠端末Twは、この通知に応答してパケットのデータ部に警告メッセージを上書きする。警告メッセージは、たとえば、不正アクセスであること、および不正アクセス端末を特定済みであることを含む。その後、罠端末Twは、当該通信を強制切断する。
【0054】
こうすることにより、不正アクセス端末TFでは、警告メッセージがユーザに提示されることになる。そのため、不正ユーザに対して不正侵入をあきらめさせるのに役立つ。
【0055】
実施の形態2
図7は、この発明の実施の形態2に係る罠端末Twの内部構成を示す機能ブロック図である。図7において、図3と同じ機能部分については同一の参照符号を使用する。
【0056】
上記実施の形態1では、罠端末Twにて所定の罠コマンドを実行することを条件に、不正アクセス経路を構成するすべての外部端末Tmの端末情報を内部通信ネットワーク2に送信させている。これに対して、この実施の形態2では、罠端末Twから情報収集プログラムを含む罠ファイルをダウンロードさせ、不正アクセス端末TFにてその罠ファイルを開いた場合に、情報収集プログラムが自動的に実行されて不正アクセス端末TFの端末情報を調査し、当該端末情報を内部通信ネットワーク2に強制的に送信するようにしている。
【0057】
より詳述すれば、この実施の形態2に係る罠端末Twは、プログラム記憶部11の代わりに、1または複数の罠ファイルFを記憶しているデータベース40を有している。罠ファイルFは、たとえば、パスワードを記録したパスワードファイル、アクセスログファイル、各種サービスのコンフィギュレーションファイルである。この罠ファイルFは、不正ユーザがいかにも内容を参照したくなるようなファイルとしておく。もちろんこの罠ファイルFに記述されている内容は、正規の情報でなく適当な情報である。
【0058】
罠ファイルFの中には、所定の情報収集プログラムPが埋め込まれている。情報収集プログラムPは、予め定められたファイル操作プログラムにより起動し、起動端末の端末情報を調査し、管理端末Tkに自動的に通知するように規定されたものである。ここに、ファイル操作プログラムは、外部端末Tmにて使用されている高汎用性のものが選ばれる。たとえば、テキストエディタまたはテキストコマンドである。一方、罠端末Twは、このファイル操作プログラムの実行を禁止するように設定されている。これにより、罠ファイルFを罠端末Twにて実行することができないので、罠ファイルFを不正アクセス端末TFまでダウンロードさせ不正アクセス端末TFにて実行させるということを補償することができる。
【0059】
図8は、この実施の形態2において不正アクセスを監視する際の通信シーケンス図である。不正アクセス端末TFが複数の第1〜第4外部端末T1〜T4を経由して内部通信ネットワーク2にアクセスしてくると、ゲートウエイGWは、そのアクセスが正規ユーザからのものであるか否かをパケット制御情報および通過許可登録済の情報を照合することにより調べる(T1)。正規ユーザであれば(T1のYES)、ゲートウエイGWは、その接続要求パケットを正規端末Tnに転送する。一方、不正ユーザであれば(T1のNO)、ゲートウエイGWは、その接続要求パケットを管理端末Tkに転送する。管理端末Tkは、IPアドレスを罠端末Twのものに自動変更した後(T2)、当該接続要求パケットを罠端末Twに転送する。
【0060】
罠端末Twは、接続要求パケットを受信すると、不正アクセス端末TFとの間で通信回線を確立し、通信を開始する(T3)。この通信中において、不正アクセス端末TFは、罠ファイルFを発見すると、罠ファイルFを罠端末Twで開こうとすると予想される。しかし、罠端末Twではこの罠ファイルFを開くことができないので、次に、不正アクセス端末TFは、当該罠ファイルFをダウンロードすることになると予想される。
【0061】
上述したように、罠ファイルFテキストエディタなどで開くことができる。不正アクセス端末TFにより当該罠ファイルFがテキストエディタなどで開かれると(T4)、当該罠ファイルFに埋め込まれている情報収集プログラムの実行が開始される(T5)。
【0062】
より具体的には、情報収集プログラムは、起動端末である不正アクセス端末TFの端末情報(IPアドレス、MACアドレスおよびユーザ名)を調査し、当該端末情報を含むパケットを自動生成する。この場合、当該パケットの宛先は、管理端末Tkとする。情報収集プログラムは、当該パケットを起動端末から外部通信ネットワーク1中に送出する。
【0063】
その結果、不正アクセス端末TFの端末情報を含むパケットは、第1〜第4外部端末T1〜T4を経由してゲートウエイGWにて受信される。ゲートウエイGWは、このパケットを管理端末Tkに転送する。管理端末Tkは、このパケットを受信すると、当該パケットの中から端末情報を抽出し、当該端末情報を情報記憶部32に記憶する。
【0064】
以上のようにこの実施の形態2によれば、不正ユーザが内容を参照したくなるような罠ファイルFの中に起動端末の端末情報を自動的に調査し管理端末Tkに自動通知する情報収集プログラムPを埋め込んでいるから、不正アクセス端末TFの端末情報を取得することができる。そのため、不正アクセス端末TFを容易に特定できる。
【0065】
なお、上述の説明では、上記実施の形態1での説明と同様に、不正アクセス端末TFを特定するだけで終了している。しかし、この実施の形態2に係る構成に加えて、特定された不正アクセス端末TFに内部通信ネットワーク2から警告メッセージを送信するようにしてもよいことはもちろんである。
【0066】
実施の形態3
図9は、この発明の実施の形態3に係る外部端末Tmの内部構成を示す機能ブロック図である。図9において、図4と同じ機能部分については同一の参照符号を使用する。
【0067】
上記実施の形態1および2では、不正アクセス専用の罠端末Twを備え、この罠端末Twを使って不正アクセス端末TFの端末情報収集を行っている。これに対して、この実施の形態3では、内部通信ネットワーク2に罠ネットワークNwを備えずに、不正アクセス経路となっている複数の外部端末Tmにおいて前段の外部端末Tmの端末情報を記憶・通知する処理を順次実行させることにより、不正アクセス端末TFの端末情報を収集することとしている。
【0068】
より詳述すれば、この実施の形態3に係る外部端末Tmは、パケットを受信した場合にリモート操作を検出したときには、前段の外部端末Tmの端末情報をいったん記憶するとともに当該記憶された端末情報を後段の外部端末Tmに転送するように構成されている。
【0069】
より具体的には、外部端末Tmは、情報記憶部50を備えている。情報記憶部50は、前段の外部端末Tmの端末情報を記憶するものである。また、外部端末Tmの制御部51は、リモート操作を検出するリモート操作検出部52を備えている。リモート操作は、ある外部端末Tmから別の外部端末Tmに対してネットワーク経由でサービスを要求する操作のことである。リモート操作に対応するパケットは、リモート操作に固有のポート番号を有している。リモート操作検出部52は、受信されたパケットの中のポート番号を参照し、リモート操作か否かを検出する。
【0070】
また、外部端末の制御部51は、情報制御部53を備えている。情報制御部53は、リモート操作検出部52によりリモート操作であることが検出された場合に、前段の外部端末Tmに対して端末情報の送信要求を送受信部20を介して送出し、前段の外部端末Tmから送信されてきた端末情報を情報記憶部50に記憶する。また、情報制御部53は、リモート操作であると検出された場合に、前段の外部端末Tmから端末情報専用パケットが送信されているとき、当該端末情報専用パケットを後段の外部端末Tmに転送する。一方、端末情報専用パケットが送信されていないときには、情報記憶部50に記憶された端末情報を含む端末情報専用パケットを新たに生成し、当該端末情報専用パケットを後段の外部端末Tmに送信する。
【0071】
図10は、この実施の形態3において不正アクセスを監視する際の通信シーケンス図である。不正アクセス端末TFは、内部通信ネットワーク2の任意の正規端末Tnにアクセスする場合、自端末の端末情報を含む接続要求パケットを送出する。この場合、不正アクセス端末TFは、リモート操作であることを示すポート番号をパケット制御情報に含ませる。この接続要求パケットは、外部通信ネットワーク1内の第1外部端末T1にて受信される。
【0072】
第1外部端末T1内のリモート操作検出部52は、この接続要求パケットを受信すると、ポート番号を参照し、リモート操作であるか否かを検出する(U1)。リモート操作であれば、第1外部端末T1内の情報制御部53は、端末情報専用パケットを受信したか否かを判別する。この場合、端末情報専用パケットを受信していないから、情報制御部53は、端末情報の送信要求パケットを不正アクセス端末TFに送信する(U2)。不正アクセス端末TFは、これに応答して、MACアドレス、IPアドレスおよびユーザ名からなる端末情報(TF情報)を含む要求応答パケットを第1外部端末TFに送信する(U3)。
【0073】
第1外部端末T1は、この要求応答パケット内のTF情報を情報記憶部50に記憶するとともに(U4)、上記TF情報を含む端末情報専用パケットを新たに生成し、当該端末情報専用パケットを接続要求パケットとともに後段の第2外部端末T2に送信する(U5)。
【0074】
第2外部端末T2のリモート操作検出部52は、受信された接続要求パケット中のポート番号を参照し、リモート操作であるか否かを検出する(U6)。リモート操作である場合には、情報制御部53は、端末情報専用パケットを受信したか否かを判別する。この場合には端末情報専用パケットを受信しているから、情報制御部53は、受信されている端末情報専用パケット内のTF情報を情報記憶部50に記憶するとともに、上記端末情報専用パケットをそのまま後段の第3外部端末T3に転送する(U7)。また、情報制御部53は、受信された接続要求パケットも第3外部端末T3に転送する(U7)。
【0075】
その後、ゲートウエイGWに至るまでの第3外部端末T3および第4外部端末T4は、第2外部端末T2と同様に、リモート操作であることを検出した場合に(U8、U10)、TF情報を情報記憶部50に記憶し、端末情報専用パケットを転送していく(U9、U11)。その結果、端末情報専用パケットはゲートウエイGWに到達する。
【0076】
ゲートウエイGWは、接続要求パケットのパケット制御情報に基づいて、当該アクセスが正規ユーザからのものであるか否かを判別する(U12)。正規ユーザからのものであれば、ゲートウエイGWは、当該アクセスを正規端末Tnに導く。この場合、TF情報を破棄する。一方、不正ユーザであれば、ゲートウエイGWは、上記端末情報専用パケットを管理端末Tkに転送する(U13)。管理端末Tkは、端末情報専用パケットを受信すると、当該パケットからTF情報を抽出し、情報記憶部32に記憶させる。こうして、不正アクセス端末TFを特定することができる。
【0077】
管理端末Tkは、TF情報の記憶が完了すると、TF情報の記憶完了を示す完了パケットをゲートウエイGWに送信する(U14)。これに応答して、ゲートウエイGWは、当該不正アクセス端末TFからのアクセスを拒否する。
【0078】
以上のようにこの実施の形態3によれば、不正アクセス経路となる複数の外部端末Tmにおいて不正アクセス端末TFの端末情報を記憶・通知する処理を順次実行させている。したがって、罠ネットワークNwを備えなくても、不正アクセス端末TFの端末情報を収集することができる。そのため、不正アクセス端末TFを容易に特定することができる。
【0079】
また、不正アクセス端末TFの端末情報を記憶した後に不正アクセスを拒否している。すなわち、不正アクセスを迅速に排除しているから、内部通信ネットワーク2内の正規端末Tnを保護することができる。
【0080】
実施の形態4
図11は、この発明の実施の形態4に係る外部端末Tmの内部構成を示す機能ブロック図である。図11において、図9と同じ機能部分については同一の参照符号を使用する。
【0081】
上記実施の形態3では、不正アクセスである場合にTF情報を管理端末Tkにて記憶させることにより、不正アクセス端末TFを特定するようにしている。しかし、もしもTF情報が改ざんされていれば、TF情報を記憶しても不正アクセス端末TFを正確に特定できないことになる。そこで、この実施の形態4では、TF情報が改ざんされているか否かを検出し、その検出結果に応じた処理を行うようにしている。
【0082】
より詳述すれば、この実施の形態4に係る外部端末Tmの制御部60は、リモート操作検出部52および情報制御部53の他に、電子署名部61、暗号化部62、フィルタリング部63および改ざん検出部64を備えている。電子署名部61は、情報記憶部50に記憶されたTF情報を読み出して当該TF情報に対して電子署名を施すものである。暗号化部62は、電子署名が施されたTF情報に対して所定の秘密鍵を用いて暗号化を施すものである。このように、TF情報に対して電子署名を施し暗号化を施すのは、不正ユーザが容易に復号化して内容を把握することができないようにするためである。
【0083】
フィルタリング部63は、この暗号化されたTF情報を一方向関数などの所定関数でフィルタリングし、フィルタリング結果を求めるものである。この場合、フィルタリング結果は、演算対象となったTF情報に対応する結果となっている。フィルタリング部63は、求められたフィルタリング結果を改ざん検出部64に与える。
【0084】
改ざん検出部64は、他の外部端末Tmから別のフィルタリング結果が送信されてきたか否かを判別し、その判別結果に応じた処理を実行するものである。より具体的には、他の外部端末Tmから別のフィルタリング結果が送信されてきていない場合、改ざん検出部64は、上記フィルタリング結果を第1のフィルタリング結果(第1の演算結果データ)とし、上記TF情報とともに後段の外部端末Tmに送信する。
【0085】
一方、他の外部端末Tmから別のフィルタリング結果が送信されてきている場合、すなわち第1のフィルタリング結果が送信されてきている場合、改ざん検出部64は、上記第1のフィルタリング結果と、自端末のフィルタリング部63から与えられたフィルタリング結果(第2のフィルタリング結果:第2の演算結果データ)とを比較し、一致しているか否かを判別する。
【0086】
一致していれば、改ざん検出部64は、第1のフィルタリング結果を上記TF情報とともに後段の外部端末Tmに送信する。この場合、すべての外部端末T1〜T4において第1および第2のフィルタリング結果が一致していれば、当該アクセスは、ゲートウエイGWに到達する。ゲートウエイGWは、不正アクセスであるか否かにかかわらず、当該アクセスを管理端末Tkに導く。一方、一致していなければ、前段の外部端末TmにてTF情報が改ざんされたものと考えられるから、改ざん検出部64は、以降の外部端末Tmへのアクセスを禁止するとともに、当該アクセスを強制切断する。すなわち、TF情報が改ざんされていれば、当該アクセスを内部通信ネットワーク2にまで導いても、不正アクセス端末TFを特定することができないからである。
【0087】
図12は、この実施の形態4に係る管理端末Tkの内部構成を示す機能ブロック図である。図12において、図5と同じ機能部分についは同一の参照符号を使用する。管理端末Tkの制御部70は、IPアドレス変更部34および記憶制御部35の他に、電子署名部71、暗号化部72、フィルタリング部73および改ざん検出部74を備えている。電子署名部71、暗号化部72およびフィルタリング部73の構成は、外部端末Tmと同一である。
【0088】
改ざん検出部74は、自端末で求められたフィルタリング結果(第3のフィルタリング結果:第3の演算結果データ)と第1のフィルタリング結果とを比較する。一致していれば、管理端末TkにおいてTF情報が改ざんされていないと考えられるから、当該アクセスは正規アクセスであると判断することができる。一方、一致していなければ、管理端末Tkにまで不正アクセスが入り込んで管理端末TkにてTF情報の改ざんが行われたと考えられるから、管理端末Tkの改ざん検出部74は、ゲートウエイGWの直前の第4外部端末T4に対して、記憶されているTF情報の送信要求を示す送信要求パケットを送信する。その結果、第4外部端末T4からTF情報を含む要求応答パケットが管理端末Tk宛に返信されてくる。これにより、管理端末Tkは、真のTF情報を得ることができる。
【0089】
以上のようにこの実施の形態4によれば、各外部端末TmにおいてTF情報が改ざんされているか否かを検出し、改ざんされていればそれ以降のアクセスを拒否している。したがって、内部通信ネットワーク2においては、不正アクセス端末TFの無駄な特定作業を行わなくて済む。また、万が一不正アクセスが内部通信ネットワーク2に侵入し、内部ネットワーク2にてTF情報が改ざんされても、外部端末Tmから真のTF情報を取得するようにしているから、内部通信ネットワーク2において不正アクセス端末TFを容易に特定することができる。
【0090】
【発明の効果】
以上のようにこの発明によれば、不正アクセスを検出した場合に、罠端末と不正アクセス端末との回線を接続させ、不正アクセス端末において所定の罠処理が実行された場合に、不正アクセス端末の端末情報を内部通信ネットワークに送信するようにしている。したがって、内部通信ネットワークは、不正アクセス端末の端末情報を取得することができる。そのため、不正アクセス端末を容易に特定することができる。
【0091】
また、この発明によれば、外部端末においてリモート操作を検出した場合であって、アクセス元の端末の端末情報を受信した場合に、当該アクセス元の端末情報を後段の外部端末に転送するようにしている。したがって、内部通信ネットワークには、内部通信ネットワークの直前の外部端末からアクセス元の端末の端末情報が送信されることになる。そのため、不正アクセス元の外部端末を容易に特定することができる。
【図面の簡単な説明】
【図1】 この発明の実施の形態1に係る不正アクセス監視方法が用いられた通信ネットワークの全体構成を示す概念図である。
【図2】 パケットの構成を示す概念図である。
【図3】 罠端末の内部構成を示す機能ブロック図である。
【図4】 外部端末の内部構成を示す機能ブロック図である。
【図5】 管理端末の内部構成を示す機能ブロック図である。
【図6】 実施の形態1に係る不正アクセス端末を特定する際の通信シーケンス図である。
【図7】 この発明の実施の形態2に係る罠端末の内部構成を示す機能ブロック図である。
【図8】 実施の形態2に係る不正アクセス端末を特定する際の通信シーケンス図である。
【図9】 この発明の実施の形態3に係る外部端末の内部構成を示す機能ブロック図である。
【図10】 実施の形態3に係る不正アクセス端末を特定する際の通信シーケンス図である。
【図11】 実施の形態4に係る外部端末の内部構成を示す機能ブロック図である。
【図12】 実施の形態4に係る管理端末の内部構成を示す機能ブロック図である。
【符号の説明】
1 外部通信ネットワーク、2 内部通信ネットワーク、Tm 外部端末、Tw 罠端末、11 プログラム記憶部、22 送信要求部、23 要求応答部、24 情報送信部、25 送信命令転送部、34 IPアドレス変更部、35 記憶制御部、40 データベース、F 罠ファイル、P 情報収集プログラム、52 リモート操作検出部、53 情報制御部、61 電子署名部、62 暗号化部、63 フィルタリング部、64 改ざん検出部、71 電子署名部、72暗号化部、73 フィルタリング部、74 改ざん検出部。
【発明の属する技術分野】
この発明は、外部通信ネットワークから組織内などに構築された内部通信ネットワークへの不正アクセスを監視する方法、および上記内部通信ネットワークに関する。
【0002】
【従来の技術】
パーソナルコンピュータの普及に伴って、日常業務のほとんどは、会社などの組織内の通信ネットワークに接続されたパーソナルコンピュータおよびワークステーションなどの端末装置、ならびに各種情報を提供するサーバを利用して行われるようになってきている。さらに、こうした組織内の通信ネットワーク(以下「内部通信ネットワーク」という)は、組織外との情報交換の利便性を求めて世界中に接続されているインターネットなどの外部通信ネットワークと接続されて利用されるのが通常である。こうした状況は、一方では、外部通信ネットワークのユーザからの内部通信ネットワークへの様々な不正アクセスの脅威にさらされることになり、これらの不正アクセスを水際で食い止める技術が重要になってきている。
【0003】
不正アクセスを監視するための技術としては、たとえば、次のようなものがある。内部通信ネットワークのゲートウエイは、外部通信ネットワークからの通信に対し、そのパケット制御情報(接続元IPアドレス、宛先IPアドレス、接続元ポート番号、宛先ポート番号など)に基づいて、通過の可否を判断している。すなわち、ゲートウエイは、上記パケット制御情報と事前に通過許可登録されているパケット制御情報とを照合する。パケット制御情報が一致しない場合、内部通信ネットワークのゲートウエイは、内部通信ネットワークへの被害を阻止するため、その通信を強制終了する。こうすることにより、不正アクセスを水際で食い止めている。
【0004】
【発明が解決しようとする課題】
しかしながら、上述の技術では、不正アクセスをしてきたユーザに関する情報を得ることができないとの問題があった。より詳述すれば、上述の通信は、通常、TCP/IPを利用している。TCP/IPでは、一般に、直接通信する端末に関する情報のみをパケット制御情報ととして送受している。したがって、不正アクセス端末からサーバなどを経由して内部通信ネットワークに侵入してくる場合、内部通信ネットワークのゲートウエイは、直前のサーバに関するパケット制御情報しか得ることができない。そのため、さらに上流側にある不正アクセス端末の端末情報を得ることができないという問題があった。
【0005】
そこで、この発明の目的は、内部通信ネットワークにおいて不正アクセス端末を特定できる不正アクセス監視方法を提供することである。
【0006】
また、この発明の他の目的は、不正アクセス端末を特定できる内部通信ネットワークを提供することである。
【0007】
【課題を解決するための手段】
上記目的を達成するためのこの発明は、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークと、この外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークとを有する通信ネットワークに用いられる不正アクセス監視方法であって、上記ゲートウエイにおいて、外部通信ネットワークの端末である外部端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する不正アクセス検出ステップと、不正アクセスであると検出された場合に、内部通信ネットワーク内の罠端末と外部通信ネットワークのアクセス元の外部端末との間で通信回線を接続する回線接続ステップと、通信回線接続中に、アクセス元の外部端末が予め定められた罠処理を実行することにより、当該アクセス元の外部端末の端末情報を内部通信ネットワーク内の管理端末に送信する情報送信ステップとを含むものである。
【0008】
また、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークと、この外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークとを有する通信ネットワークに用いられる不正アクセス監視方法であって、アクセス元の外部端末から回線接続が要求された外部端末において、リモート操作であるか否かを判別するリモート判別ステップと、リモート操作であると判別された場合に、アクセス元の外部端末の端末情報を取得し後段の外部端末に転送する情報取得・転送ステップと、後段の外部端末において上記アクセス元の外部端末の端末情報をさらに後段の外部端末に転送する情報転送ステップと、ゲートウエイにおいて、外部端末からアクセスがあった場合に、不正アクセスであるか否かを検出する不正アクセス検出ステップと、不正アクセスであると検出された場合に、上記アクセス元の端末の端末情報を内部通信ネットワーク内の管理端末に転送するステップとを含むものである。
【0009】
さらに、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークにおいて、外部通信ネットワークの端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する手段と、不正アクセスであると検出された場合に、上記アクセスが導かれる罠端末とを備え、上記罠端末は、上記アクセスが導かれた場合に、外部通信ネットワークのアクセス元の端末と通信回線を接続する手段と、通信回線接続中においてアクセス元の端末が所定の罠コマンドを実行するか否かを判別する手段と、上記罠コマンドが実行されたと判別された場合に、前段の端末の端末情報を取得し内部通信ネットワークに送信すること、および当該送信命令を前段の端末に対して転送することを規定した送信命令を外部通信ネットワークの端末に対して送出する手段とを含むものである。
【0010】
さらにまた、直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークにおいて、外部通信ネットワークの端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する手段と、不正アクセスであると検出された場合に、上記アクセスが導かれる罠端末とを備え、上記罠端末は、上記アクセスが導かれた場合に、外部通信ネットワークのアクセス元の端末と通信回線を接続する手段と、予め定められたファイル操作プログラムにより起動され、起動端末の端末情報を収集し内部通信ネットワーク内の管理端末に送信するように規定された情報収集プログラムが埋め込まれた罠ファイルをダウンロード可能に記憶するデータベースとを含むものである。
【0011】
【発明の実施の形態】
以下では、この発明の実施の形態を、添付図面を参照して詳細に説明する。
【0012】
実施の形態1
図1は、この発明の実施の形態1に係る不正アクセス監視方法が用いられた通信ネットワークの全体構成を示す概念図である。この通信ネットワークは、インターネットなどの有線の外部通信ネットワーク1に企業内などに構築された有線の内部通信ネットワーク2が接続されたものであり、複数のコンピュータ端末(以下単に「端末」という)間においてTCP/IPなどの所定の通信プロトコルに従ってパケットを送受信するものである。
【0013】
より具体的には、この通信ネットワークは、外部通信ネットワーク1から内部通信ネットワーク2への不正アクセスを監視し、不正アクセスが検出された場合に、内部通信ネットワーク2内の正規の端末と異なる専用の端末を利用することにより、不正アクセス経路を追跡するとともに不正アクセス端末の端末情報を取得するように構成されたものである。
【0014】
ここに、内部通信ネットワーク2は、企業、大学、政府などの組織内に構築されている通信ネットワークに相当するものである。また、上記通信プロトコルは、TCP/IPに限定されることはなく、直接通信する隣接端末間の端末情報をパケット制御情報に含ませるようにしたものであればよい。パケット制御情報は、接続先MACアドレス、接続元MACアドレス、接続先IPアドレス、接続元IPアドレス、接続元ポート、接続先ポートおよびユーザ名などである。また、端末情報は、接続元MACアドレス、接続元IPアドレスおよびユーザ名である。
【0015】
なお、この通信ネットワークは、すべて有線通信ネットワークを前提としている。しかし、たとえば外部通信ネットワーク1および内部通信ネットワーク2のいずれか一方または両方が無線の通信ネットワークでもよいことはもちろんである。
【0016】
通信ネットワークの構成についてより詳述すれば、内部通信ネットワーク2は、ゲートウエイGWを介して外部通信ネットワーク1に接続されており、正規ネットワークNn、罠ネットワークNwおよび管理ネットワークNkを含む。ゲートウエイGWは、内部通信ネットワーク2と外部通信ネットワーク1とを接続するためのネットワーク間接続装置の一種であり、外部通信ネットワーク1からのアクセス監視など予め定められた処理を実行するものである。
【0017】
正規ネットワークNnは、ゲートウエイGWに接続され、内部通信ネットワーク2内の正規端末Tnが接続された正規の通信ネットワークに相当するものである。より具体的には、正規ネットワークNnは、たとえばLAN(Local Area Network)を介して接続された1または複数の正規端末Tnを含む。この正規端末Tnは、たとえば、オペレータにより操作可能なパーソナルコンピュータである。
【0018】
罠ネットワークNwは、ゲートウエイGWに接続され、外部通信ネットワーク1からの不正アクセスが導かれる通信ネットワークであり、1または複数台の罠端末Twを含む。罠端末Twは、不正アクセス元の端末情報を取得することを目的に設置されており、所定の不正アクセス追跡プログラムが予め格納されている。すなわち、罠端末Twは、不正アクセス追跡プログラムに従って不正アクセス元の端末情報を追跡する処理を自動的に実行するものであり、たとえばサーバにより構成される。
【0019】
管理ネットワークNkは、ゲートウエイGWに接続され、1または複数台の管理端末Tkを含む。管理端末Tkは、内部通信ネットワーク2にアクセスしてきた通信に関し予め定められた管理処理を自動的に実行するものであり、たとえばサーバである。管理処理は、たとえば、アクセスだけを拒否し、端末情報についてのみ正規ネットワークまで伝送するか否かを判断したりする処理である。
【0020】
外部通信ネットワーク1は、内部通信ネットワーク2以外のすべての通信ネットワークを含む概念のものであり、たとえばインターネットおよび/またはインターネットに接続された専用通信ネットワークからなる。外部通信ネットワーク1は、複数台の外部端末Tmを含んでいる。この複数台の外部端末Tmの中には、ユーザが操作するパーソナルコンピュータおよびワークステーションなどの他に、サーバおよびルータも含まれる。ある外部端末Tmのアクセスは、たとえば、複数台のサーバを経由して特定の端末に到達し、接続元の外部端末Tmと特定の端末との間でTCP/IP通信が行われる。上記特定の端末には、当然ながら内部通信ネットワーク2内の端末も含まれる。
【0021】
なお、この実施の形態1では、外部端末Tmの一つである不正アクセス端末TFが内部通信ネットワーク2内の正規端末Tnにアクセスする際に、4つの外部端末Tm、すなわち第1外部端末T1、第2外部端末T2、第3外部端末T3および第4外部端末T4を経由する場合を想定する。
【0022】
図2は、パケットの構成を示す概念図である。パケットは、ヘッダ部およびデータ部を含む。ヘッダ部は、パケット制御情報を格納するもので、接続元MACアドレス(MAC SA)、接続元IPアドレス(IPヘッダ)、ユーザ名および接続元ポート(Source Port)、ならびに接続先MACアドレス(MAC DA)、接続先IPアドレス(IPヘッダ)および接続先ポート(Destination Port)である。データ部は、通信データを格納するものである。MACアドレスは、たとえばLANカードに固有の製造番号のようなシリアル番号であり、通常、設定変更できないようになっている。
【0023】
図3は、罠端末Twの内部構成を示す機能ブロック図である。罠端末Twは、送受信部10、プログラム記憶部11および制御部12を含む。送受信部10は、ゲートウエイGWを介して外部通信ネットワーク1とパケットの送受信を行うものである。プログラム記憶部11は、不正アクセス追跡プログラムを予め記憶している。制御部12は、このプログラム記憶部11に記憶された不正アクセス追跡プログラムに従って、不正アクセス追跡処理を実行する。
【0024】
不正アクセス追跡プログラムは、所定の罠コマンドが実行された場合に、外部通信ネットワーク1の外部端末Tmに対して前段の外部端末Tmの端末情報を内部通信ネットワーク2の管理端末Tkに送信させる処理を規定するものである。より具体的には、不正アクセス追跡プログラムは、不正ユーザが実行する可能性の高いものとして予め設定された罠コマンドが実行された場合に、外部通信ネットワーク1のアクセス経路を構成するすべての外部端末T1〜T4およびTFに対して前段の外部端末の端末情報を内部通信ネットワーク2の管理端末Tkに送信させる処理を規定する。
【0025】
ここに、上記罠コマンドは、罠端末Tw内のファイルまたはプログラムの識別情報を表示させるコマンドである。より具体的には、上記罠コマンドは、罠端末Tw内のファイル名またはプログラム名を一覧表示させるコマンドであり、UNIX(登録商標)のコマンドであるls、psなどに相当する。なお、lsは、ファイル一覧を表示させるコマンドであり、psは稼動しているプロセス(プログラム)の一覧を表示させるコマンドである。
【0026】
罠端末Twは、この不正アクセス追跡プログラムの実行を開始すると、ゲートウエイGWの前段の外部端末である第4外部端末T4に送信命令パケットを送信する。送信命令パケットは、端末情報送信命令を含むものである。端末情報送信命令は、外部端末Tmに対して前段の外部端末Tmの端末情報を管理端末Tk宛に送信すること、および、当該端末情報送信命令を前段の外部端末Tmに転送することを命令するものである。
【0027】
したがって、第4外部端末T4は、第3外部端末T3の端末情報を管理端末Tk宛に送信するとともに、送信命令パケットを第3外部端末T3に転送する。すると、第3外部端末T3においても第4外部端末T4と同様の処理を行うことになる。以後の第2外部端末T2、第1外部端末T1および不正アクセス端末TFにおいても、第4外部端末T4と同様の処理を実行することになる。そのため、アクセス経路を構成するすべての外部端末T1〜T4およびTFの端末情報を管理端末Tkに通知することになる。
【0028】
図4は、外部端末Tmの内部構成を示す機能ブロック図である。外部端末Tmは、送受信部20および制御部21を含む。送受信部20は、他の端末から送信されてきたパケットを受信するとともに、他の端末に対してパケットを送信する。制御部21は、送受信部20により受信されたパケットを処理したり必要なパケットを生成したりする。
【0029】
より具体的には、制御部21は、送信要求部22、要求応答部23、情報送信部24および送信命令転送部25を備えている。送信要求部22は、送受信部20において送信命令パケットを受信した場合に、送信要求パケットを生成し、当該外部端末Tmの前段の外部端末Tmに送信するものである。送信要求パケットは、前段の外部端末Tmを宛先とし、かつ当該前段の外部端末Tmの端末情報の送信を要求するものである。
【0030】
要求応答部23は、後段の外部端末Tmから送信要求パケットを送受信部20において受信した場合に、自端末の端末情報を含む要求応答パケットを生成し、後段の外部端末Tmに送信するものである。要求応答パケットは、後段の外部端末Tmを宛先とし、かつ自端末の端末情報を含むものである。
【0031】
情報送信部24は、前段の外部端末Tmから要求応答パケットを送受信部20において受信された場合に、情報送信パケットを生成し、内部通信ネットワーク2の管理端末Tkに送信するものである。情報送信パケットは、内部通信ネットワーク2の管理端末Tkを宛先とし、要求応答パケットに含まれている端末情報をデータとして含むものである。
【0032】
送信命令転送部25は、後段の外部端末Tmから情報送信命令パケットを送受信部20において受信された場合に、当該情報送信命令パケットを前段の外部端末Tmにそのまま転送するものである。
【0033】
図5は、管理端末Tkの内部構成を示す機能ブロック図である。管理端末Tkは、送受信部30、制御部31、情報記憶部32および入出力部33を含む。送受信部30は、ゲートウエイGWを介して外部ネットワーク1の外部端末Tmや内部ネットワーク2内の正規端末Tn、罠端末Twとの間でパケットを送受信するものである。
【0034】
制御部31は、管理端末Tkの制御中枢として機能するもので、たとえばCPUを含む。制御部31は、送受信部30において受信されたパケットを処理したり、情報記憶部32の記憶内容を読み出して入出力部33に出力したり、情報記憶部32に対して情報を書き込んだりする。より具体的には、制御部31は、IPアドレス変更部34および記憶制御部35を備えている。IPアドレス変更部34は、ゲートウエイGWにて不正アクセスであるとして送信されてきたパケットの接続先IPアドレスを罠端末TwのIPアドレスに変更し、送受信部30を介してゲートウエイGWに返信するものである。ゲートウエイGWは、当該パケットを罠端末Twに送信する。これにより、不正アクセスを罠ネットワークNwに導くことができる。
【0035】
記憶制御部35は、外部ネットワーク1からゲートウエイGWを介して管理端末Tkに送信されてきた情報送信パケット中の端末情報を抽出し、情報記憶部32に記憶させる。また、記憶制御部35は、入出力部33からの指示により、情報記憶部32の記憶内容を入出力部33に出力する。入出力部33は、たとえばキーボードと、ディスプレイおよび/またはプリンタとを含むものである。したがって、キーボードから記憶内容の表示が指示された場合、記憶制御部35は情報記憶部32の記憶内容を読み出し、ディスプレイに表示させたりプリンタによりプリントアウトさせる。こうすることにより、オペレータは、たとえば、不正アクセス経路の全外部端末Tmの端末情報を視認することができる。
【0036】
図6は、この実施の形態1に係る不正アクセスを監視する際の通信シーケンス図である。不正アクセス端末TFは、内部通信ネットワーク2内に侵入する場合、宛先の正規端末TnのIPアドレス、MACアドレスおよびポートを指定したうえで、接続要求パケットを外部通信ネットワーク1上に送出する。この場合、上記接続要求パケットは、パケット制御情報として上記宛先のIPアドレスなどの他、自端末のIPアドレス、MACアドレスおよびポートを含む。この接続要求パケットは、外部通信ネットワーク1の第1外部端末T1、第2外部端末T2、第3外部端末T3および第4外部端末T4を経由して内部通信ネットワーク2のゲートウエイGWにて受信される。
【0037】
ゲートウエイGWは、受信されたパケットが正規ユーザによるアクセスか否かを判断する(S1)。具体的には、ゲートウエイGWは、当該接続要求パケットのパケット制御情報を通過許可登録されている情報と照合し、正規ユーザによるアクセスか否かを判断する。正規ユーザによるアクセスであれば(S1のYES)、ゲートウエイGWは、当該接続要求パケットを正規ネットワークNnの正規端末Tnに送出する。一方、正規ユーザでなければ(S1のNO)、すなわち不正ユーザであれば、ゲートウエイGWは、当該接続要求パケットを管理端末Tkに転送する。
【0038】
管理端末Tkは、当該接続要求パケットの接続先IPアドレスを元の正規端末のものから罠端末Twのものへと自動的に変更し(S2)、アドレス変更後の接続要求パケットを罠ネットワークNw内の罠端末Twに送信する。罠端末Twは、当該接続要求パケットを受信すると、不正アクセス端末TFとの間で通信回線を確立する。こうして、通信が開始される(S3)。
【0039】
ところで、罠端末Twから送信されるパケットの接続元IPアドレスは、ゲートウエイGWを通過する際に、代理応答変換により外部向けのIPアドレスに変換される。したがって、外部通信ネットワーク1から見た場合、パケットの接続元が正規端末Tnであるか罠端末Twであるかを識別することができない。
【0040】
これにより、不正ユーザに対してあたかも内部通信ネットワーク2に侵入し、正規端末Tnと通信が確立できたかの錯覚を与えることができる。この場合、正規端末Tnと通信としていると錯覚している不正ユーザは、罠端末Twにおいて様々な不正操作を行うことが予想され、その間に不正アクセス端末TFを特定する時間を確保することができる。
【0041】
より詳述すれば、罠端末Twは、この通信中に、罠コマンドを実行したか否かを判別する(S4)。罠コマンドが実行されれば(S4のYES)、罠端末Twは、端末情報送信命令を含む送信命令パケットを生成し、当該送信命令パケットをゲートウエイGWを介して外部通信ネットワーク1に送出する。当該送信命令パケットは、ゲートウエイGWと直接通信している第4外部端末T4にてまず受信される。
【0042】
第4外部端末T4は、当該送信命令パケットを受信すると、前段の第3外部端末T3に対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。前段の第3外部端末T3は、送信要求パケットを受信すると、自端末の端末情報(T3情報:MACアドレス、IPアドレスおよびユーザ名)を含む要求応答パケットを後段の第4外部端末T4に送信する。
【0043】
要求応答パケットを受信した第4外部端末T4は、当該要求応答パケットに含まれる端末情報をデータとした情報送信パケットを生成し、当該情報送信パケットを送出する。その結果、情報送信パケットは、ゲートウエイGWを介して管理端末Tkに送信され、管理端末Tkにおいて端末情報が記憶される。これにより、内部通信ネットワーク2において不正アクセス経路の一つである第3外部端末T3の端末情報を取得できる。
【0044】
また、第4外部端末T4から送信命令パケットが転送されてきた前段の第3外部端末T3は、第4外部端末T4の場合と同様に、前段の第2外部端末T2に対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。
【0045】
その結果、第2外部端末T2から端末情報(T2情報)を含む要求応答パケットが第3外部端末T3に送信され、第3外部端末T3においてT2情報を含む情報送信パケットが生成され、当該情報送信パケットが第4外部端末T4およびゲートウエイGWを介して管理端末Tkに送信される。こうして、内部通信ネットワーク2において第2外部端末T2の端末情報が取得される。
【0046】
また、第3外部端末T3から送信命令パケットが転送されてきた前段の第2外部端末T2は、第3外部端末T3の場合と同様に、前段の第1外部端末T1に対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。
【0047】
その結果、第1外部端末T1から端末情報(T1情報)を含む要求応答パケットが第2外部端末T2に送信され、第2外部端末T2においてT1情報を含む情報送信パケットが生成され、当該情報送信パケットが第3外部端末T3、第4外部端末T4およびゲートウエイGWを介して管理端末Tkに送信される。こうして、内部通信ネットワーク2において第1外部端末T1の端末情報が取得される。
【0048】
また、第2外部端末T2から送信命令パケットが転送されてきた前段の第1外部端末T1は、第2外部端末T2の場合と同様に、前段の不正アクセス端末TFに対して送信要求パケットを送信するとともに、上記送信命令パケットを転送する。
【0049】
その結果、不正アクセス端末TFから端末情報(TF情報)を含む要求応答パケットが第1外部端末T1に送信され、第1外部端末T1においてTF情報を含む情報送信パケットが生成され、当該情報送信パケットが第2外部端末T2、第3外部端末T3、第4外部端末T4およびゲートウエイGWを介して管理端末Tkに送信される。こうして、内部通信ネットワーク2において不正アクセス端末TFの端末情報が取得される。
【0050】
以上のようにこの実施の形態1によれば、不正アクセスであることを検出した場合に、不正アクセス端末TFと罠端末Twとの間で通信回線を接続させ、所定の罠コマンドの実行により、不正アクセス端末TFおよび不正アクセス経路を構成するすべての外部端末T1〜T4およびTFの端末情報を内部通信ネットワーク2に送信させる。したがって、不正アクセスから正規端末Tnを保護できるだけでなく、不正アクセス端末TFをも容易に特定できる。そのため、不正アクセスの芽を迅速に摘むことができ、セキュリティ効果の高いネットワーク構築を実現できる。
【0051】
また、正規端末Tnに不正アクセス追跡処理を行わせるのでなく専用の罠端末Twを別に備え、この罠端末Twにて不正アクセス追跡処理を行わせるようにしているので、正規端末Tnの保護を確実に図ることができる。
【0052】
さらに、不正アクセス経路を構成する各外部端末Tmの端末情報をも内部通信ネットワーク2に送信させているから、不正アクセス経路をも特定することができる。
【0053】
なお、上述の説明では、不正アクセス端末TFを特定するだけである。しかし、たとえば、その特定された不正アクセス端末TFに対して内部通信ネットワーク2から警告メッセージを送信するようにしてもよい。より具体的には、管理端末Tkは、不正アクセス端末TFの端末情報を記憶し終えると、その旨をゲートウエイGWを介して罠端末Twに通知する。罠端末Twは、この通知に応答してパケットのデータ部に警告メッセージを上書きする。警告メッセージは、たとえば、不正アクセスであること、および不正アクセス端末を特定済みであることを含む。その後、罠端末Twは、当該通信を強制切断する。
【0054】
こうすることにより、不正アクセス端末TFでは、警告メッセージがユーザに提示されることになる。そのため、不正ユーザに対して不正侵入をあきらめさせるのに役立つ。
【0055】
実施の形態2
図7は、この発明の実施の形態2に係る罠端末Twの内部構成を示す機能ブロック図である。図7において、図3と同じ機能部分については同一の参照符号を使用する。
【0056】
上記実施の形態1では、罠端末Twにて所定の罠コマンドを実行することを条件に、不正アクセス経路を構成するすべての外部端末Tmの端末情報を内部通信ネットワーク2に送信させている。これに対して、この実施の形態2では、罠端末Twから情報収集プログラムを含む罠ファイルをダウンロードさせ、不正アクセス端末TFにてその罠ファイルを開いた場合に、情報収集プログラムが自動的に実行されて不正アクセス端末TFの端末情報を調査し、当該端末情報を内部通信ネットワーク2に強制的に送信するようにしている。
【0057】
より詳述すれば、この実施の形態2に係る罠端末Twは、プログラム記憶部11の代わりに、1または複数の罠ファイルFを記憶しているデータベース40を有している。罠ファイルFは、たとえば、パスワードを記録したパスワードファイル、アクセスログファイル、各種サービスのコンフィギュレーションファイルである。この罠ファイルFは、不正ユーザがいかにも内容を参照したくなるようなファイルとしておく。もちろんこの罠ファイルFに記述されている内容は、正規の情報でなく適当な情報である。
【0058】
罠ファイルFの中には、所定の情報収集プログラムPが埋め込まれている。情報収集プログラムPは、予め定められたファイル操作プログラムにより起動し、起動端末の端末情報を調査し、管理端末Tkに自動的に通知するように規定されたものである。ここに、ファイル操作プログラムは、外部端末Tmにて使用されている高汎用性のものが選ばれる。たとえば、テキストエディタまたはテキストコマンドである。一方、罠端末Twは、このファイル操作プログラムの実行を禁止するように設定されている。これにより、罠ファイルFを罠端末Twにて実行することができないので、罠ファイルFを不正アクセス端末TFまでダウンロードさせ不正アクセス端末TFにて実行させるということを補償することができる。
【0059】
図8は、この実施の形態2において不正アクセスを監視する際の通信シーケンス図である。不正アクセス端末TFが複数の第1〜第4外部端末T1〜T4を経由して内部通信ネットワーク2にアクセスしてくると、ゲートウエイGWは、そのアクセスが正規ユーザからのものであるか否かをパケット制御情報および通過許可登録済の情報を照合することにより調べる(T1)。正規ユーザであれば(T1のYES)、ゲートウエイGWは、その接続要求パケットを正規端末Tnに転送する。一方、不正ユーザであれば(T1のNO)、ゲートウエイGWは、その接続要求パケットを管理端末Tkに転送する。管理端末Tkは、IPアドレスを罠端末Twのものに自動変更した後(T2)、当該接続要求パケットを罠端末Twに転送する。
【0060】
罠端末Twは、接続要求パケットを受信すると、不正アクセス端末TFとの間で通信回線を確立し、通信を開始する(T3)。この通信中において、不正アクセス端末TFは、罠ファイルFを発見すると、罠ファイルFを罠端末Twで開こうとすると予想される。しかし、罠端末Twではこの罠ファイルFを開くことができないので、次に、不正アクセス端末TFは、当該罠ファイルFをダウンロードすることになると予想される。
【0061】
上述したように、罠ファイルFテキストエディタなどで開くことができる。不正アクセス端末TFにより当該罠ファイルFがテキストエディタなどで開かれると(T4)、当該罠ファイルFに埋め込まれている情報収集プログラムの実行が開始される(T5)。
【0062】
より具体的には、情報収集プログラムは、起動端末である不正アクセス端末TFの端末情報(IPアドレス、MACアドレスおよびユーザ名)を調査し、当該端末情報を含むパケットを自動生成する。この場合、当該パケットの宛先は、管理端末Tkとする。情報収集プログラムは、当該パケットを起動端末から外部通信ネットワーク1中に送出する。
【0063】
その結果、不正アクセス端末TFの端末情報を含むパケットは、第1〜第4外部端末T1〜T4を経由してゲートウエイGWにて受信される。ゲートウエイGWは、このパケットを管理端末Tkに転送する。管理端末Tkは、このパケットを受信すると、当該パケットの中から端末情報を抽出し、当該端末情報を情報記憶部32に記憶する。
【0064】
以上のようにこの実施の形態2によれば、不正ユーザが内容を参照したくなるような罠ファイルFの中に起動端末の端末情報を自動的に調査し管理端末Tkに自動通知する情報収集プログラムPを埋め込んでいるから、不正アクセス端末TFの端末情報を取得することができる。そのため、不正アクセス端末TFを容易に特定できる。
【0065】
なお、上述の説明では、上記実施の形態1での説明と同様に、不正アクセス端末TFを特定するだけで終了している。しかし、この実施の形態2に係る構成に加えて、特定された不正アクセス端末TFに内部通信ネットワーク2から警告メッセージを送信するようにしてもよいことはもちろんである。
【0066】
実施の形態3
図9は、この発明の実施の形態3に係る外部端末Tmの内部構成を示す機能ブロック図である。図9において、図4と同じ機能部分については同一の参照符号を使用する。
【0067】
上記実施の形態1および2では、不正アクセス専用の罠端末Twを備え、この罠端末Twを使って不正アクセス端末TFの端末情報収集を行っている。これに対して、この実施の形態3では、内部通信ネットワーク2に罠ネットワークNwを備えずに、不正アクセス経路となっている複数の外部端末Tmにおいて前段の外部端末Tmの端末情報を記憶・通知する処理を順次実行させることにより、不正アクセス端末TFの端末情報を収集することとしている。
【0068】
より詳述すれば、この実施の形態3に係る外部端末Tmは、パケットを受信した場合にリモート操作を検出したときには、前段の外部端末Tmの端末情報をいったん記憶するとともに当該記憶された端末情報を後段の外部端末Tmに転送するように構成されている。
【0069】
より具体的には、外部端末Tmは、情報記憶部50を備えている。情報記憶部50は、前段の外部端末Tmの端末情報を記憶するものである。また、外部端末Tmの制御部51は、リモート操作を検出するリモート操作検出部52を備えている。リモート操作は、ある外部端末Tmから別の外部端末Tmに対してネットワーク経由でサービスを要求する操作のことである。リモート操作に対応するパケットは、リモート操作に固有のポート番号を有している。リモート操作検出部52は、受信されたパケットの中のポート番号を参照し、リモート操作か否かを検出する。
【0070】
また、外部端末の制御部51は、情報制御部53を備えている。情報制御部53は、リモート操作検出部52によりリモート操作であることが検出された場合に、前段の外部端末Tmに対して端末情報の送信要求を送受信部20を介して送出し、前段の外部端末Tmから送信されてきた端末情報を情報記憶部50に記憶する。また、情報制御部53は、リモート操作であると検出された場合に、前段の外部端末Tmから端末情報専用パケットが送信されているとき、当該端末情報専用パケットを後段の外部端末Tmに転送する。一方、端末情報専用パケットが送信されていないときには、情報記憶部50に記憶された端末情報を含む端末情報専用パケットを新たに生成し、当該端末情報専用パケットを後段の外部端末Tmに送信する。
【0071】
図10は、この実施の形態3において不正アクセスを監視する際の通信シーケンス図である。不正アクセス端末TFは、内部通信ネットワーク2の任意の正規端末Tnにアクセスする場合、自端末の端末情報を含む接続要求パケットを送出する。この場合、不正アクセス端末TFは、リモート操作であることを示すポート番号をパケット制御情報に含ませる。この接続要求パケットは、外部通信ネットワーク1内の第1外部端末T1にて受信される。
【0072】
第1外部端末T1内のリモート操作検出部52は、この接続要求パケットを受信すると、ポート番号を参照し、リモート操作であるか否かを検出する(U1)。リモート操作であれば、第1外部端末T1内の情報制御部53は、端末情報専用パケットを受信したか否かを判別する。この場合、端末情報専用パケットを受信していないから、情報制御部53は、端末情報の送信要求パケットを不正アクセス端末TFに送信する(U2)。不正アクセス端末TFは、これに応答して、MACアドレス、IPアドレスおよびユーザ名からなる端末情報(TF情報)を含む要求応答パケットを第1外部端末TFに送信する(U3)。
【0073】
第1外部端末T1は、この要求応答パケット内のTF情報を情報記憶部50に記憶するとともに(U4)、上記TF情報を含む端末情報専用パケットを新たに生成し、当該端末情報専用パケットを接続要求パケットとともに後段の第2外部端末T2に送信する(U5)。
【0074】
第2外部端末T2のリモート操作検出部52は、受信された接続要求パケット中のポート番号を参照し、リモート操作であるか否かを検出する(U6)。リモート操作である場合には、情報制御部53は、端末情報専用パケットを受信したか否かを判別する。この場合には端末情報専用パケットを受信しているから、情報制御部53は、受信されている端末情報専用パケット内のTF情報を情報記憶部50に記憶するとともに、上記端末情報専用パケットをそのまま後段の第3外部端末T3に転送する(U7)。また、情報制御部53は、受信された接続要求パケットも第3外部端末T3に転送する(U7)。
【0075】
その後、ゲートウエイGWに至るまでの第3外部端末T3および第4外部端末T4は、第2外部端末T2と同様に、リモート操作であることを検出した場合に(U8、U10)、TF情報を情報記憶部50に記憶し、端末情報専用パケットを転送していく(U9、U11)。その結果、端末情報専用パケットはゲートウエイGWに到達する。
【0076】
ゲートウエイGWは、接続要求パケットのパケット制御情報に基づいて、当該アクセスが正規ユーザからのものであるか否かを判別する(U12)。正規ユーザからのものであれば、ゲートウエイGWは、当該アクセスを正規端末Tnに導く。この場合、TF情報を破棄する。一方、不正ユーザであれば、ゲートウエイGWは、上記端末情報専用パケットを管理端末Tkに転送する(U13)。管理端末Tkは、端末情報専用パケットを受信すると、当該パケットからTF情報を抽出し、情報記憶部32に記憶させる。こうして、不正アクセス端末TFを特定することができる。
【0077】
管理端末Tkは、TF情報の記憶が完了すると、TF情報の記憶完了を示す完了パケットをゲートウエイGWに送信する(U14)。これに応答して、ゲートウエイGWは、当該不正アクセス端末TFからのアクセスを拒否する。
【0078】
以上のようにこの実施の形態3によれば、不正アクセス経路となる複数の外部端末Tmにおいて不正アクセス端末TFの端末情報を記憶・通知する処理を順次実行させている。したがって、罠ネットワークNwを備えなくても、不正アクセス端末TFの端末情報を収集することができる。そのため、不正アクセス端末TFを容易に特定することができる。
【0079】
また、不正アクセス端末TFの端末情報を記憶した後に不正アクセスを拒否している。すなわち、不正アクセスを迅速に排除しているから、内部通信ネットワーク2内の正規端末Tnを保護することができる。
【0080】
実施の形態4
図11は、この発明の実施の形態4に係る外部端末Tmの内部構成を示す機能ブロック図である。図11において、図9と同じ機能部分については同一の参照符号を使用する。
【0081】
上記実施の形態3では、不正アクセスである場合にTF情報を管理端末Tkにて記憶させることにより、不正アクセス端末TFを特定するようにしている。しかし、もしもTF情報が改ざんされていれば、TF情報を記憶しても不正アクセス端末TFを正確に特定できないことになる。そこで、この実施の形態4では、TF情報が改ざんされているか否かを検出し、その検出結果に応じた処理を行うようにしている。
【0082】
より詳述すれば、この実施の形態4に係る外部端末Tmの制御部60は、リモート操作検出部52および情報制御部53の他に、電子署名部61、暗号化部62、フィルタリング部63および改ざん検出部64を備えている。電子署名部61は、情報記憶部50に記憶されたTF情報を読み出して当該TF情報に対して電子署名を施すものである。暗号化部62は、電子署名が施されたTF情報に対して所定の秘密鍵を用いて暗号化を施すものである。このように、TF情報に対して電子署名を施し暗号化を施すのは、不正ユーザが容易に復号化して内容を把握することができないようにするためである。
【0083】
フィルタリング部63は、この暗号化されたTF情報を一方向関数などの所定関数でフィルタリングし、フィルタリング結果を求めるものである。この場合、フィルタリング結果は、演算対象となったTF情報に対応する結果となっている。フィルタリング部63は、求められたフィルタリング結果を改ざん検出部64に与える。
【0084】
改ざん検出部64は、他の外部端末Tmから別のフィルタリング結果が送信されてきたか否かを判別し、その判別結果に応じた処理を実行するものである。より具体的には、他の外部端末Tmから別のフィルタリング結果が送信されてきていない場合、改ざん検出部64は、上記フィルタリング結果を第1のフィルタリング結果(第1の演算結果データ)とし、上記TF情報とともに後段の外部端末Tmに送信する。
【0085】
一方、他の外部端末Tmから別のフィルタリング結果が送信されてきている場合、すなわち第1のフィルタリング結果が送信されてきている場合、改ざん検出部64は、上記第1のフィルタリング結果と、自端末のフィルタリング部63から与えられたフィルタリング結果(第2のフィルタリング結果:第2の演算結果データ)とを比較し、一致しているか否かを判別する。
【0086】
一致していれば、改ざん検出部64は、第1のフィルタリング結果を上記TF情報とともに後段の外部端末Tmに送信する。この場合、すべての外部端末T1〜T4において第1および第2のフィルタリング結果が一致していれば、当該アクセスは、ゲートウエイGWに到達する。ゲートウエイGWは、不正アクセスであるか否かにかかわらず、当該アクセスを管理端末Tkに導く。一方、一致していなければ、前段の外部端末TmにてTF情報が改ざんされたものと考えられるから、改ざん検出部64は、以降の外部端末Tmへのアクセスを禁止するとともに、当該アクセスを強制切断する。すなわち、TF情報が改ざんされていれば、当該アクセスを内部通信ネットワーク2にまで導いても、不正アクセス端末TFを特定することができないからである。
【0087】
図12は、この実施の形態4に係る管理端末Tkの内部構成を示す機能ブロック図である。図12において、図5と同じ機能部分についは同一の参照符号を使用する。管理端末Tkの制御部70は、IPアドレス変更部34および記憶制御部35の他に、電子署名部71、暗号化部72、フィルタリング部73および改ざん検出部74を備えている。電子署名部71、暗号化部72およびフィルタリング部73の構成は、外部端末Tmと同一である。
【0088】
改ざん検出部74は、自端末で求められたフィルタリング結果(第3のフィルタリング結果:第3の演算結果データ)と第1のフィルタリング結果とを比較する。一致していれば、管理端末TkにおいてTF情報が改ざんされていないと考えられるから、当該アクセスは正規アクセスであると判断することができる。一方、一致していなければ、管理端末Tkにまで不正アクセスが入り込んで管理端末TkにてTF情報の改ざんが行われたと考えられるから、管理端末Tkの改ざん検出部74は、ゲートウエイGWの直前の第4外部端末T4に対して、記憶されているTF情報の送信要求を示す送信要求パケットを送信する。その結果、第4外部端末T4からTF情報を含む要求応答パケットが管理端末Tk宛に返信されてくる。これにより、管理端末Tkは、真のTF情報を得ることができる。
【0089】
以上のようにこの実施の形態4によれば、各外部端末TmにおいてTF情報が改ざんされているか否かを検出し、改ざんされていればそれ以降のアクセスを拒否している。したがって、内部通信ネットワーク2においては、不正アクセス端末TFの無駄な特定作業を行わなくて済む。また、万が一不正アクセスが内部通信ネットワーク2に侵入し、内部ネットワーク2にてTF情報が改ざんされても、外部端末Tmから真のTF情報を取得するようにしているから、内部通信ネットワーク2において不正アクセス端末TFを容易に特定することができる。
【0090】
【発明の効果】
以上のようにこの発明によれば、不正アクセスを検出した場合に、罠端末と不正アクセス端末との回線を接続させ、不正アクセス端末において所定の罠処理が実行された場合に、不正アクセス端末の端末情報を内部通信ネットワークに送信するようにしている。したがって、内部通信ネットワークは、不正アクセス端末の端末情報を取得することができる。そのため、不正アクセス端末を容易に特定することができる。
【0091】
また、この発明によれば、外部端末においてリモート操作を検出した場合であって、アクセス元の端末の端末情報を受信した場合に、当該アクセス元の端末情報を後段の外部端末に転送するようにしている。したがって、内部通信ネットワークには、内部通信ネットワークの直前の外部端末からアクセス元の端末の端末情報が送信されることになる。そのため、不正アクセス元の外部端末を容易に特定することができる。
【図面の簡単な説明】
【図1】 この発明の実施の形態1に係る不正アクセス監視方法が用いられた通信ネットワークの全体構成を示す概念図である。
【図2】 パケットの構成を示す概念図である。
【図3】 罠端末の内部構成を示す機能ブロック図である。
【図4】 外部端末の内部構成を示す機能ブロック図である。
【図5】 管理端末の内部構成を示す機能ブロック図である。
【図6】 実施の形態1に係る不正アクセス端末を特定する際の通信シーケンス図である。
【図7】 この発明の実施の形態2に係る罠端末の内部構成を示す機能ブロック図である。
【図8】 実施の形態2に係る不正アクセス端末を特定する際の通信シーケンス図である。
【図9】 この発明の実施の形態3に係る外部端末の内部構成を示す機能ブロック図である。
【図10】 実施の形態3に係る不正アクセス端末を特定する際の通信シーケンス図である。
【図11】 実施の形態4に係る外部端末の内部構成を示す機能ブロック図である。
【図12】 実施の形態4に係る管理端末の内部構成を示す機能ブロック図である。
【符号の説明】
1 外部通信ネットワーク、2 内部通信ネットワーク、Tm 外部端末、Tw 罠端末、11 プログラム記憶部、22 送信要求部、23 要求応答部、24 情報送信部、25 送信命令転送部、34 IPアドレス変更部、35 記憶制御部、40 データベース、F 罠ファイル、P 情報収集プログラム、52 リモート操作検出部、53 情報制御部、61 電子署名部、62 暗号化部、63 フィルタリング部、64 改ざん検出部、71 電子署名部、72暗号化部、73 フィルタリング部、74 改ざん検出部。
Claims (13)
- 直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークと、この外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークとを有する通信ネットワークに用いられる不正アクセス監視方法であって、
上記ゲートウエイにおいて、外部通信ネットワークの端末である外部端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する不正アクセス検出ステップと、
不正アクセスであると検出された場合に、内部通信ネットワーク内の罠端末と外部通信ネットワークのアクセス元の外部端末との間で通信回線を接続する回線接続ステップと、
通信回線接続中に、アクセス元の外部端末が予め定められた罠処理を実行することにより、当該アクセス元の外部端末の端末情報を内部通信ネットワーク内の管理端末に送信する情報送信ステップとを含む不正アクセス監視方法。 - 請求項1において、情報送信ステップは、
通信回線接続中に、所定の罠コマンドが実行されたことに応答して罠端末から外部端末に対して情報送信命令を送信するステップと、
外部端末において情報送信命令を受信した場合に、当該外部端末の前段の外部端末の端末情報を取得し内部通信ネットワーク内の管理端末に送信するステップと、
外部端末において情報送信命令を受信した場合に、当該外部端末の前段の外部端末に対して上記情報送信命令を転送するステップとを含む不正アクセス監視方法。 - 請求項2において、端末情報を内部通信ネットワーク内の管理端末に送信するステップは、
外部端末において上記情報送信命令を受信した場合に、当該外部端末の前段の外部端末に対して端末情報の送信を要求するステップと、
前段の外部端末から端末情報が送信されてきた場合に、当該端末情報を内部通信ネットワーク内の管理端末に送信するステップとを含む不正アクセス監視方法。 - 請求項2または3において、罠コマンドは、上記罠端末内のファイルまたはプログラムの識別情報を表示させるコマンドである不正アクセス監視方法。
- 請求項1において、情報送信ステップは、通信回線接続後に、外部端末において内部通信ネットワーク内の罠端末からダウンロードされた情報収集プログラム内蔵の罠ファイルを予め定められたファイル操作プログラムにより起動された場合に、当該外部端末の端末情報を内部通信ネットワーク内の管理端末に送信させるものである不正アクセス監視方法。
- 請求項5において、ファイルは、パスワードファイル、アクセスログファイルおよび/またはコンフィギュレーションファイルである不正アクセス監視方法。
- 直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークと、この外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークとを有する通信ネットワークに用いられる不正アクセス監視方法であって、
アクセス元の外部端末から回線接続が要求された外部端末において、リモート操作であるか否かを判別するリモート判別ステップと、
リモート操作であると判別された場合に、アクセス元の外部端末の端末情報を取得し後段の外部端末に転送する情報取得・転送ステップと、
後段の外部端末において上記アクセス元の外部端末の端末情報をさらに後段の外部端末に転送する情報転送ステップと、
ゲートウエイにおいて、外部端末からアクセスがあった場合に、不正アクセスであるか否かを検出する不正アクセス検出ステップと、
不正アクセスであると検出された場合に、上記アクセス元の端末の端末情報を内部通信ネットワーク内の管理端末に転送するステップとを含む不正アクセス監視方法。 - 請求項7において、さらに、
管理端末においてアクセス元の端末情報を受信したか否かを判別するステップと、
アクセス元の端末情報を受信した場合に、アクセス元の端末との回線接続を強制終了するステップとを含む不正アクセス監視方法。 - 請求項7または8において、情報取得・転送ステップは、
アクセス元の端末から取得された端末情報を記憶するステップと、
記憶された端末情報に対して所定の暗号化処理を施すステップと、
上記記憶された端末情報に所定の関数でフィルタリングして上記端末情報に対応する第1の演算結果データを求めるステップと、
この求められた第1の演算結果データを上記暗号処理済の端末情報とともに後段の外部端末に転送するステップとを有するものであり、
第1の演算結果データおよび上記暗号処理済の端末情報を受信した後段の外部端末において、上記暗号処理済の端末情報に所定の関数でフィルタリングして上記端末情報に対応する第2の演算結果データを求めるステップと、
上記第1の演算結果データと上記第2の演算結果データとを比較することにより、上記端末情報の改ざんが行われたか否か判別するステップと、
上記端末情報の改ざんが行われたと判別された場合に、当該アクセスを強制切断するステップとをさらに含む不正アクセス監視方法。 - 請求項9において、さらに、
上記端末情報の改ざんが行われていないと判別された場合に、上記第1の演算結果データを上記アクセス元の端末情報と共にさらに後段の外部端末に転送するステップと、
不正アクセス検出ステップにおいて不正アクセスでないと検出された場合においても、上記第1の演算結果データおよびアクセス元の端末情報を含む当該アクセスを内部通信ネットワーク内の管理端末に導くステップと、
管理端末において受信されたアクセス元の端末情報に対して、所定の関数でフィルタリングして上記端末情報に対応する第3の演算結果データを求めるステップと、
上記第1の演算結果データと上記第3の演算結果データとを比較することにより、上記端末情報の改ざんが行われたか否かを判別するステップと、
改ざんが行われた場合に、記憶されているアクセス元の端末情報を管理端末に送信するように外部端末に命令するステップとを含む不正アクセス監視方法。 - 請求項1ないし10のいずれかにおいて、端末情報は、MACアドレス、IPアドレスおよびユーザ名を含むものである不正アクセス監視方法。
- 直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークにおいて、
外部通信ネットワークの端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する手段と、
不正アクセスであると検出された場合に、上記アクセスが導かれる罠端末とを備え、
上記罠端末は、上記アクセスが導かれた場合に、外部通信ネットワークのアクセス元の端末と通信回線を接続する手段と、通信回線接続中においてアクセス元の端末が所定の罠コマンドを実行するか否かを判別する手段と、上記罠コマンドが実行されたと判別された場合に、前段の端末の端末情報を取得し内部通信ネットワークに送信すること、および当該送信命令を前段の端末に対して転送することを規定した送信命令を外部通信ネットワークの端末に対して送出する手段とを含むものである内部通信ネットワーク。 - 直接通信する端末間のアドレスをパケット制御情報に含ませるようにした通信プロトコルに従ってパケットを送受する外部通信ネットワークにゲートウエイを介して接続された内部通信ネットワークにおいて、
外部通信ネットワークの端末からアクセスがあった場合に、そのアクセスが不正アクセスであるか否かを検出する手段と、
不正アクセスであると検出された場合に、上記アクセスが導かれる罠端末とを備え、
上記罠端末は、上記アクセスが導かれた場合に、外部通信ネットワークのアクセス元の端末と通信回線を接続する手段と、予め定められたファイル操作プログラムにより起動され、起動端末の端末情報を収集し内部通信ネットワーク内の管理端末に送信するように規定された情報収集プログラムが埋め込まれた罠ファイルをダウンロード可能に記憶するデータベースとを含むものである内部通信ネットワーク。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000397385A JP3685062B2 (ja) | 2000-12-27 | 2000-12-27 | 不正アクセス監視方法および内部通信ネットワーク |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000397385A JP3685062B2 (ja) | 2000-12-27 | 2000-12-27 | 不正アクセス監視方法および内部通信ネットワーク |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002199024A JP2002199024A (ja) | 2002-07-12 |
| JP3685062B2 true JP3685062B2 (ja) | 2005-08-17 |
Family
ID=18862513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000397385A Expired - Fee Related JP3685062B2 (ja) | 2000-12-27 | 2000-12-27 | 不正アクセス監視方法および内部通信ネットワーク |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3685062B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004153485A (ja) * | 2002-10-30 | 2004-05-27 | Jens Corp | 通信セキュリティシステム |
| JP4455600B2 (ja) * | 2004-11-05 | 2010-04-21 | 三菱電機株式会社 | アドホック・ネットワーク及びゲートウェイノード |
| JP2008124870A (ja) * | 2006-11-14 | 2008-05-29 | Kwok-Yan Leung | 末端機をセクション化するシステムと方法 |
| JP5412816B2 (ja) * | 2008-12-08 | 2014-02-12 | 株式会社リコー | 情報処理装置及びプログラム |
| JP5613855B1 (ja) | 2014-04-23 | 2014-10-29 | 株式会社 ディー・エヌ・エー | ユーザ認証システム |
-
2000
- 2000-12-27 JP JP2000397385A patent/JP3685062B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002199024A (ja) | 2002-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| CN101610264B (zh) | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 | |
| JP3618245B2 (ja) | ネットワーク監視システム | |
| CN100399750C (zh) | 便于在网络上识别计算机的系统与方法 | |
| JP5581141B2 (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| US7590844B1 (en) | Decryption system and method for network analyzers and security programs | |
| KR20120090574A (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| CN111314381A (zh) | 安全隔离网关 | |
| US7360250B2 (en) | Illegal access data handling apparatus and method for handling illegal access data | |
| JP2011522336A (ja) | 通信ネットワーク上の仮名にされたストリームの追跡および復活方法、およびデータトラフィックおよびそのアドレスを安全に保護することができる情報ストリームの送信方法 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| TW201421936A (zh) | 網點之判斷與阻擋之方法 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN110110536B (zh) | 一种云计算系统的数据共享方法 | |
| JP2006094258A (ja) | 端末装置、そのポリシー強制方法およびそのプログラム | |
| KR100595493B1 (ko) | P2p 유해 정보 차단 시스템 및 방법 | |
| JP3685062B2 (ja) | 不正アクセス監視方法および内部通信ネットワーク | |
| KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
| JP3483782B2 (ja) | 電子データの追跡システム及びデータ中継装置 | |
| US9178853B1 (en) | Securely determining internet connectivity | |
| JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
| JPH09266475A (ja) | アドレス情報管理装置およびネットワークシステム | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN115150137B (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| JP2001148715A (ja) | ネットワークシステム及び端末装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20040707 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040812 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040817 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041013 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050523 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080610 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090610 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100610 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |