JP3914757B2 - ウィルス検査のための装置と方法とシステム - Google Patents

ウィルス検査のための装置と方法とシステム Download PDF

Info

Publication number
JP3914757B2
JP3914757B2 JP2001366884A JP2001366884A JP3914757B2 JP 3914757 B2 JP3914757 B2 JP 3914757B2 JP 2001366884 A JP2001366884 A JP 2001366884A JP 2001366884 A JP2001366884 A JP 2001366884A JP 3914757 B2 JP3914757 B2 JP 3914757B2
Authority
JP
Japan
Prior art keywords
virus
mail
mail server
port
inspection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001366884A
Other languages
English (en)
Other versions
JP2003169096A (ja
Inventor
貢 名古屋
充司 松本
Original Assignee
デュアキシズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デュアキシズ株式会社 filed Critical デュアキシズ株式会社
Priority to JP2001366884A priority Critical patent/JP3914757B2/ja
Priority to US10/302,943 priority patent/US7484244B2/en
Priority to CA002413606A priority patent/CA2413606A1/en
Priority to KR1020020074401A priority patent/KR100606478B1/ko
Priority to DE60224497T priority patent/DE60224497T2/de
Priority to EP02258247A priority patent/EP1331540B1/en
Publication of JP2003169096A publication Critical patent/JP2003169096A/ja
Application granted granted Critical
Publication of JP3914757B2 publication Critical patent/JP3914757B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Description

【0001】
【発明の属する技術分野】
本発明は、電子メールに添付されたファイルに含まれるマクロウィルスを検出するための装置と方法とシステムに関する。
【0002】
【従来の技術】
近年、パソコンおよびインターネットの普及により、電子メールによる情報交換が盛んに行われている。ところが、悪意を持った者が電子メールの添付ファイルにウィルスを潜ませて、これを知らないユーザが添付ファイルを開くことにより、ウィルスのパソコン内への侵入を許してしまうケースが多く発生するようになった。このようなウィルスは、特定のアプリケーションソフトに付着して、このソフトの手順を実行することにより感染するもので、マクロウィルスと呼ばれている。パソコン内にマクロウィルスが侵入すると、文書ファイルの内容が勝手に改ざんされたり、システム起動時に意図しない画面が表示されたりする。企業内パソコンのように多数のパソコンがLANにより接続されている場合には、一度に多数のパソコンがウィルスの攻撃に曝されることになる。
【0003】
このようなコンピュータウィルスからコンピュータシステムを保護する方法として、いわゆるワクチンを用いる方法が知られている。ワクチンは専用ソフトウェアの一種で、これまで発見され報告されたウィルスのパターンを定義したデータベースを備え、ウィルスが侵入した場合にそのウィルスのパターンを、データベースに格納されたウィルスのパターンと照合することにより、侵入したウィルスを特定するものである。
【0004】
【発明が解決しょうとする課題】
しかしながら、上記ワクチンソフトによるウィルスの検査は、既知のウィルスに対しては有効であるが、未知のウィルスに対してはほとんど役に立たない。また、新種のウィルスが発見、報告される度にデータベースを書き換える必要があり、ワクチンユーザはワクチンソフトを絶えずアップデートしてデータを更新する必要がある。また、このようなワクチンソフトは、コンピュータのOS(オペレーティングシステム)に依存しており、OSが異なると使用できないという問題があった。
【0005】
本発明は、このような従来の問題を解決するものであり、未知のウィルスでも容易に発見することができ、かつOSに依存することのないウィルス検査のための装置と方法とシステムを提供することを目的とする。
【0006】
【課題を解決するための手段】
本発明のウイルス検出装置は、電子メールを受信するメールサーバと、 前記メールサーバとは別に接続され、受信した電子メールをメールサーバ から受け取る検査コンピュータと、検査コンピュータに設けられ前記メー ルサーバから転送した電子メールの添付ファイルを開くファイルオープン 手段と、前記検査コンピュータと周辺機器とをインターフェイス接続する I/Oポートと、前記ファイルオープン手段により開いた添付ファイルの データにより前記I/Oポートへアクセスが行われているかどうかの有無 を検出することによりウィルスの侵入を検査するウィルス検査手段と、前 記I/Oポートへのアクセスが検出された場合に前記ウィルス検査手段か ら警告信号を出力する警告手段とを備えたものである。ウィルスは各種周 辺装置を通して外部に伝染したり、内部メモリや外部入出力装置の内容を 書き換えたり、他のサーバーに不要なメールを送りつけたりする機能を有 する為、I/Oポートにマッピングされている各種周辺装置を駆動する事 になるので、I/Oポートを監視しI/Oポートへのアクセスを検出する ことにより、新種のウィルスでも容易に発見することができ、かつOSに 依存することのないウィルス検査装置を実現することができる。
【0007】
また、本発明のウィルス検査装置は、前記警告手段により、ユーザは直ちにウィルスが侵入したことを知ることができ、ウィルスの伝染防止措置を講じることができる。
【0008】
また、本発明のウィルス検査装置は、ウィルス検査手段が、バウンダリスキャン通信をサポートし、前記添付ファイルのデータによりI/Oポートへアクセスが行われているかどうかのアクセス情報を取得してメールサーバに送出するものである。この構成により、侵入したウィルスがI/Oポートのどのポートに対してアクセスしたかを知ることができる。
【0009】
また、本発明のウィルス検査装置は、ウイルス検出手段で取得した添付ファイルによI/Oポートへアクセスが行われているかどうかの有無の判定をウイルス検出手段とメールサーバとの間で通信により行い、該通信を、メールサーバに備えられたプリンタポート、パラレル入出力装置、シリアル入出力装置、及びバウンダリスキャン通信装置のうち何れかを経由して通信を行うものである。この構成により、検査コンピュータとは独立したルートおよびクロックで前記I/Oポートへのアクセス情報を送受信することができる。
【0010】
また、本発明のウィルス検査装置は、添付ファイルのデータにより周辺機器であるメモリまたは外部入出力装置に対するアクセスが行われているかどうかの有無を検出する手段を備えたものである。この構成により、ウィルスが内部メモリまたはOSなどの特定ファイルにアクセスしようとした場合にもウィルスを検出することができる。
前記添付ファイルのデータから周辺機器であるメモリまたは外部入出力装置に対するアクセスの有無を検出する手段を備えた
【0011】
また、本発明のウィルス検査装置は、検査コンピュータのメモリアクセスを禁止設定する手段を備えたものである。この構成により、ウィルスのメモリへのアクセスを禁止してメモリ内のデータ破壊を防止することができる。
【0012】
また、本発明のウィルス検査方法は、メールサーバから転送された電子メールの添付ファイルを検査コンピュータ内で開き、添付ファイルのマクロを動作させ、添付ファイルのデータにより検査コンピュータと周辺機器とをインターフェース接続するI/Oポートへアクセスが行われているかどうかの有無をI/Oポートチェックボードにより判定するものであり、この方法により、新種のウィルスでも容易に発見することができ、かつOSに依存することのないウィルス検査方法を実現することができる。
【0013】
また、本発明のウィルス検査方法は、I/Oポートへの書き込みアクセスの有無をI/Oポートチェックボードにより判定し、判定した結果をメールサーバに転送するものである。この方法により、メールサーバ側においてウィルスの付着した添付ファイルを修復することができる。
【0014】
また、本発明のウィルス検査方法は、添付ファイルのデータによりパソコンに備えられている周辺機器であるメモリまたはハードディスクへアクセスが行われているかどうかの有無を検査するものである。この方法により、ウィルスが内部メモリまたはOSなどの特定ファイルにアクセスしようとした場合にもウィルスを検出することができる。
【0015】
また、本発明のウィルス検査システムは、電子メールを受信するメールサーバと、メールサーバとは別に接続され、受信した電子メールをメールサーバから受け取る検査コンピュータと、検査コンピュータに設けられメールサーバから転送した電子メールの添付ファイルを開くファイルオープン手段と、検査コンピュータとパソコンに備えられている周辺機器とをインターフェース接続するI/Oポートと、ファイルオープン手段により開いた添付ファイルのデータによりI/Oポートへアクセスが行われているかどうかの有無を検出することによりウィルスの侵入を検査するI/Oポートチェックボードとからなるウィルス検査システムであって、ファイルオープン手段がメールサーバから転送されてきた電子メールの添付ファイルを開とともに、I/Oポートチェックボードが、前記添付ファイルによりI/Oポートへアクセスが行われているかどうかの有無を検査、判定し、アクセスがあった時に前記メールサーバへアクセスがあった旨の情報を送出し、ウィルス感染の有無を判定させるものである。この構成により、電子メールの添付ファイルに付着した未知のウィルスを簡単なシステム構成により検査することができる。
【0016】
また、本発明のウィルス検査システムは、メールサーバが、ウィルス感染の有無を判定した結果、ウィルスに感染している可能性のある場合には、該当する添付ファイルからウィルスを除去した後に、正規の宛先へ前記添付ファイルを有する電子メールを送信するものである。この構成により、添付ファイルからウィルスを除去した安全な電子メールをユーザに送信することができる。
【0017】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して説明する。
(実施の形態1)
図1は本発明の実施の形態1におけるウィルス検査装置の構成を示している。図1において、検査コンピュータ1には、MPU2と、入出力インターフェイス3と、メール受信手段4aおよびメールオープン手段4bを備えたメール受信部4と、I/Oポートチェックボード5と、I/Oポート6と、LED7等が備えられており、これらは、それぞれPCIバス8によって接続されている。
【0018】
MPU2には検査コンピュータ1と周辺機器とを接続するI/Oポート6が備えられている。I/Oポート6は、RS232C、キーボード、マウス、ディスプレイ、ディスク装置、GP−IB(ジェネラル・パーパス・インターフェイス・バス)、NIC(ネットワーク・インターフェイス・カード)、RTC(リアル・タイム・クロック)等(図示しない)に接続するためのインターフェイスであり、それぞれアドレスが割り当てられているものである。また、MPU2には、各種演算を行って装置全体を制御するCPUと、OSやアプリケーションプログラムを格納したROMと、データを一時的に保持するSRAMと、CPUの動作を制御する命令または他のデータを格納するフラッシュメモリ(EEPROM)等が備えられている。なお、検査コンピュータ1のOSはウィンドウズ(登録商標)2000等の所定の基本ソフトが採用される。
【0019】
メール受信部4のメール受信手段4aは、入出力インターフェイス3を通じてメールサーバ10からファイル付きの電子メールまたは添付ファイルのみを受信するものであり、メールオープン手段4bは、受信した添付ファイルを開くことにより添付ファイルのマクロを実行させるものであり、これらはMPU2の制御の下に行われる。
【0020】
I/Oポートチェックボード5はMPU2内に備えられたI/Oポート6への特定の書き込みアクセスを検出してウィルスの侵入を検査するものである。特定の書き込みアクセスがI/Oポートチェックボード5で検出された場合には、ウィルスの疑いがあることを示す信号が、I/Oポートチェックボード5からLED7へと出力される。これにより、LED7が点灯した際にユーザはウィルスに感染した疑いがあることを容易に確認することができる。また、I/Oポート6への書き込みアクセスの判定結果、すなわち、ウイルスの有無の検査結果については、I/Oポートチェックボード5からメールサーバ10に転送され、ウイルスの有無を検査する。また他のCPU、例えばLANでつながれたCPU100にもウィルスに感染する恐れがあることを知らせる信号が転送される。
【0021】
次に、本実施の形態1に用いるウィルス検査装置の動作について図2のフロー図を参照して説明する。
【0022】
本実施の形態では、ウイルスに感染した添付ファイル付きの電子メールを受信した場合について説明する。図2において、まず電源をオンにして検査コンピュータ1を立ち上げ(ステップS1)、メールサーバ10からメールを受信し(ステップS2)、受信した添付ファイルの拡張子により起動アプリケーションを決定し、添付ファイルを開く(ステップS3)。添付ファイルがウイルスに感染していれば、この添付ファイルを開いたときに、ウイルスのマクロが実行されるとともにI/Oポート6への書き込みアクセスが行なわれる。するとI/Oポートチェックボード5は、添付ファイルのマクロがI/Oポート6への書き込みアクセスを行ったかどうかを検出し(ステップS4)、書き込みアクセスがあった場合には、その旨を示す信号をメールサーバ10と他のLANで接続された他のCPU100に通知するとともに、LED7を点灯させてウィルスに感染した疑いがあることをユーザに知らせる(ステップS5)。この間、タイマーによる監視を行い、一定時間経過後に起動したアプリケーションを終了し(タイマー設定時間前にアプリケーションが終了した場合はタイマーをキャンセルする。)、オブジェクトの開放を行う。そして、最後に、マクロを実行したことにより検査コンピュータがウィルスに感染している場合があるので、この場合には汚染されたアプリケーションまたは必要な全てのファイルを再インストールしてファイルを修復する(ステップS6)。
【0023】
なお、本実施の形態では、ウイルスに感染した場合を想定して説明したが、ウイルスに感染していない正規のプログラムが含まれた添付ファイルを受信してメール受信部のメールオープン手段4bで開いた場合にもLED7は点灯し、ウイルスに感染した疑いがあることをユーザに知らせる。そして、この場合はその後の処理でウイルス感染しているか否かを検査することにより、正規のプログラムであると判定される。
【0024】
また、本実施の形態で用いる、検査コンピュータ1によりウィルスチェックを行うために起動させるアプリケーションプログラムには、マイクロソフト社製のワードとエクセルに限定するものとする。また、未来スケジュール型のウィルスに対処するために、システム時刻を所定時間進めて設定しておくものとする。
【0025】
このように、本実施の形態1によれば、検査コンピュータ内にメールサーバから受信した電子メールの添付ファイルを開いてマクロを実行するメール受信部と、開いたファイルのデータからI/Oポートへの書き込みアクセスを検出することによりウィルスの侵入を検査するI/Oポートチェックボードと、I/Oポートへの書き込みアクセスが検出された場合に警告を出力するLEDとを備えているので、新種のウィルスでも容易に発見することができ、かつOSに依存することのないウィルス検査装置を実現することができる。
【0026】
(実施の形態2)
図3は本発明の実施の形態2におけるウィルス検査システムの構成を示している。図3において、メールサーバ10はインターネット30に接続されており、MPU11と、通信部12と、入出力インターフェイス13と、メール送受信部14と、チェック結果判定部15と、プリンタポート16と、ログファイル17と、モニター18等を備えており、それぞれPCIバス19に接続されている。MPU11は、各種演算を行って装置全体を制御するCPUと、OSやアプリケーションプログラムを格納したROMと、データを一時的に保持するSRAMと、CPUの動作を制御する命令または他のデータを格納するフラッシュメモリ(EEPROM)等から構成されている。なお、本実施の形態2では、メールサーバ10のOSとしてLINUXを採用している。通信部12はインターネット30にアクセス可能な通信プロトコルを備えている。メール送受信部14は、通信部12を通じて電子メールを送受信するものである。チェック結果判定部15は、添付ファイルがウイルスに感染しているものか否かを判定するものであり、その判定結果をモニター18に表示するとともにログファイル17に格納する。プリンタポート16は、電子メールの添付ファイルにウイルスが感染している恐れがある場合にI/Oポートチェックボード24との間で通信を行うものであり、プリンタドライバインターフェイスを備えている。なお、本実施の形態ではメールサーバにプリンタポートを用いたが、パラレル入出力装置やシリアル入出力装置、バウンダリスキャン通信装置等を用いても同様の効果が得られる。
【0027】
一方、検査コンピュータ20には、MPU21と、入出力インターフェイス22と、メール受信手段23aおよびメールオープン手段23bを備えたメール受信部23と、バウンダリスキャンテスト対応のI/Oポートチェックボード24と、I/Oポート25と、LED26、プリンタポート27等が備えられており、それぞれPCIバス28によって接続されている。MPU21には検査コンピュータ20と周辺機器とを接続するI/Oポート25が備えられている。I/Oポート25は、RS232C、キーボード、マウス、ディスプレイ、ディスク装置、GP−IB(ジェネラル・パーパス・インターフェイス・バス)、NIC(ネットワーク・インターフェイス・カード)、RTC(リアル・タイム・クロック)等に接続するためのインターフェイスであり、それぞれアドレスが割り当てられているものである。また、MPU21には、各種演算を行って装置全体を制御するCPUと、OSやアプリケーションプログラムを格納したROMと、データを一時的に保持するSRAMと、CPUの動作を制御する命令または他のデータを格納するフラッシュメモリ(EEPROM)等が備えられている。なお、本実施の形態でも検査コンピュータ20のOSとしてウィンドウズ(登録商標)2000等の所定の基本ソフトが採用される。
【0028】
メール受信部23のメール受信手段23aは、入出力インターフェイス22を通じてメールサーバからファイル付きの電子メールまたは添付ファイルのみを受信するものであり、また、メールオープン手段23bは、受信した添付ファイルを開くことによりマクロを実行させるものであり、これらはMPU21の制御の下に行われる。
【0029】
I/Oポートチェックボード24はMPU21内に備えられたI/Oポート25への特定の書き込みアクセスを検出してウィルスの侵入を検査するものである。特定の書き込みアクセスがI/Oポートチェックボード24で検出された場合は、ウィルスの疑いがあることを示す信号が、I/Oポートチェックボード24からLED26へと出力される。これにより、LED26が点灯した際にユーザはウィルスに感染した疑いがあることを容易に確認することができる。また、I/Oポート25への書き込みアクセスの判定結果、すなわち、ウイルスの有無の検査結果については、I/Oポートチェックボード24からメールサーバ10に転送され、ウイルスの有無を検査する。また他のCPU、例えばLANでつながれたCPU(図1参照)にもウィルスに感染する恐れがあることを知らせる信号が転送される。また、プリンタポート27は、プリンタポート16との間で通信を行うものであり、プリンタドライバインターフェイスを備えている。
【0030】
次に、本実施の形態2におけるウィルス検査システムの動作について図4のフロー図を参照して説明する。また、未来スケジュール型のウイルスに対処するために、システム時刻を所定時間進めて設定しておくものとする。まず、メールサーバ20がインターネット10から通信部12を介して受信した電子メールについて、メールにファイルが添付されていればこれを取得し、MPU11内のメモリに格納する。次いで、入出力インターフェイス13が検査コンピュータ20の入出力インターフェイス22との間で通信手順のやり取りを行い、メールサーバ10から送信された添付ファイルデータを検査コンピュータ20のメール受信部23で受信する(ステップS11)。ファイルデータの受信終了後、検査コンピュータ20は、メール受信部23のメールオープン手段23bが、受信した添付ファイルの拡張子により起動アプリケーションを決定し、マクロを実行して添付ファイルを開く(ステップS12)。次いで、I/Oポートチェックボード24で添付ファイルがI/Oポート25にアクセスしたかどうかをチェックし(ステップS13)、そのチェック結果はプリンタポート27を通じてメールサーバ10のプリンタポート16に送出される。同時に、セレクト情報が存在する場合には、ウィルスに感染した可能性があるので、その旨をディスプレイに表示したり、LED26を点灯してユーザに警告する(ステップS14)。この間、タイマーによる監視を行い、一定時間経過後に起動したアプリケーションを終了し(タイマー設定時間前にアプリケーションが終了した場合はタイマーをキャンセルする。)そして、最後に、マクロを実行したことにより検査コンピュータ20がウィルスに感染している場合があるので、この場合には汚染されたアプリケーションまたは必要な全てのファイルを再インストールしてファイルを修復する(ステップS15)。
【0031】
検査コンピュータ20からチェック結果がメールサーバ10に送信される際に、メールサーバ10側においてタイマーによる監視を行い、所定時間内にチェック結果を受信できない場合は、検査コンピュータ20にアラーム通知を行うとともに、所定回数のリトライを最初から繰り返す。メールサーバ10のチェック結果判定部15は、受信したチェック結果の中のI/Oポートチェックボード24で取得したI/Oポート25へのアクセス情報を基に、ウィルスがI/Oポート25にアクセスしたか否か、またアクセスした場合にはウィルスがI/Oポート25の中のどのポートにアクセスしたかを判定して、検査コンピュータ20に対しチェック終了通知を行う(ステップS21)。メールサーバ10は、判定結果をログファイル17に格納するとともに、モニター18の画面に「添付ファイル×××はウィルスに感染している可能性があります。修復ソフトを起動して下さい」等のメッセージを表示する。そして修復ソフトを立ち上げて、ガイダンスに従って添付ファイルを修復した後(ステップS22)、回復した添付ファイルを含む電子メールを正規の宛先に送信する(ステップS23)。
【0032】
チェック判定結果を格納するログファイル17には、ログ出力日付、ログID、ログタイプ(障害、警告、通常)、ログ種別(システム、アプリケーション)、緊急度(1、2、3、4、5)、メッセージ、メール情報(メールID、差出人、宛先、送信日時、コンテンツタイプ、検証結果(0:検出なし、1:検出あり))などの情報が格納される。
【0033】
このように、本実施の形態2によれば、検査コンピュータ内にメールサーバから受信した電子メールの添付ファイルを開いてマクロを実行するメール受信部と、開いたファイルのデータからI/Oポートへの書き込みアクセスを検出することによりウィルスの侵入を検査するI/Oポートチェックボードと、I/Oポートへの書き込みアクセスの判定結果をプリンタポートを介してメールサーバに送信するとともに、メールサーバのチェック結果判定部によりウイルスの感染の有無を判定し、ウィルスに感染している場合には、その該当する添付ファイルからウィルスを除去した後に、正規の宛先に電子メールを送信するようにしたので、新種のウィルスでも容易に発見することができ、かつOSに依存することのないウィルス検査システムを実現することができる。さらに、I/Oポートへのアクセス情報をプリンタポートを通じて検査コンピュータからメールサーバに送信するようにしたものである。
【0034】
なお、上記各実施の形態において、検査コンピュータにおけるウィルス感染の恐れがある場合に警告手段としてLEDを用いているが、他の光や音、文字による警告でもよく、これらの組み合わせでもよい。また、実施の形態2におけるI/Oポートチェックボードで取得したI/Oポートへのアクセス情報のメールサーバへの送信は、プリンタポートを使用するのではなく、パラレル入出力装置やシリアル入出力装置やバウンダリスキャン通信装置を使用してもよい。
【0035】
【発明の効果】
以上説明したように、本発明のウィルス検査装置は、メールサーバに接続された検査コンピュータ内に、メールサーバから受信した電子メールの添付ファイルを開くファイルオープン手段と、開いたファイルのデータによりI/Oポートへアクセスが行われているかどうかの有無を検出することによりウィルスの侵入を検査するウィルス検査手段と、I/Oポートへのアクセスが検出された場合に警告を出力する警告手段とを備えているので、I/Oポートへのアクセスを検出することにより、新種のウィルスでも容易に発見することができ、かつOSに依存することのないウィルス検査装置を実現することができる。
【0036】
また、本発明のウィルス検査方法は、メールサーバから受信した電子メールの添付ファイルを開くことにより添付ファイルのマクロを動作させ、添付ファイルのデータからI/Oポートチェックボードにより、特定のI/Oポートへの書き込みアクセスを判定するので、新種のウィルスでも容易に発見することができ、かつOSに依存することのないウィルス検査方法を実現することができる。
【0037】
また、本発明のウィルス検査システムは、メールサーバから受信した電子メールの添付ファイルを開いてマクロを実行するとともに、I/Oポートチェックボードによる特定のI/Oポートへのアクセスを検査し、検査結果をメールサーバへ送信する検査コンピュータと、検査コンピュータから検査結果を受信して、ウィルス感染の有無を判定するメールサーバとを備えているので、電子メールの添付ファイルに付着した未知のウィルスを簡単なシステム構成により検査でき、ウィルスを除去した安全な添付ファイルを正規の宛先に送信することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態1におけるウィルス検査装置の構成を示すブロック図
【図2】本発明の実施の形態1におけるウィルス検査装置の動作を示すフロー図
【図3】本発明の実施の形態2におけるウィルス検査システムの構成を示すブロック図
【図4】本発明の実施の形態2におけるウィルス検査システムの動作を示すフロー図
【符号の説明】
1,20 検査コンピュータ
2,21 MPU
3,22 入出力インターフェイス
4,23 メール受信部
4b,23b メールオープン手段
5,24 I/Oポートチェックボード
6,25 I/Oポート
7,26 LED
8,28 PCIバス
10 メールサーバ
11 MPU
12 通信部
13 入出力インターフェイス
14 メール送受信部
15 チェック結果判定部
16 プリンタポート
17 ログファイル
18 モニター
27 プリンタポート

Claims (11)

  1. 電子メールを受信するメールサーバと、
    前記メールサーバとは別に接続され、受信した電子メールをメールサーバから受け取る検査コンピュータと、
    該検査コンピュータに設けられ前記メールサーバから転送した電子メールの添付ファイルを開くファイルオープン手段と、
    前記検査コンピュータと周辺機器とをインターフェイス接続するI/Oポートと、
    前記ファイルオープン手段により開いた添付ファイルのデータにより前記I/Oポートへアクセスが行われているかどうかの有無を検出することによりウィルスの侵入を検査するウィルス検査手段と、
    前記I/Oポートへのアクセスが検出された場合に前記ウィルス検査手段から警告信号を出力する警告手段と
    を備えたことを特徴とするウィルス検査装置。
  2. 前記メールサーバから前記検査コンピュータに電子メールの添付ファイルを転送する転送手段を有することを特徴とした請求項1に記載のウィルス検査装置。
  3. 前記ウィルス検査手段が、バウンダリスキャン通信をサポートし、前記添付ファイルのデータにより前記I/Oポートへアクセスが行われているかどうかのアクセス情報を取得して前記メールサーバに送出することを特徴とする請求項1または2に記載のウィルス検査装置。
  4. 前記ウイルス検出手段で取得した添付ファイルによ前記I/Oポートへアクセスが行われているかどうかの有無の判定を前記ウイルス検出手段と前記メールサーバとの間で通信により行い、該通信を、前記メールサーバに備えられたプリンタポート、パラレル入出力装置、シリアル入出力装置、及びバウンダリスキャン通信装置のうち何れかを経由して行うことを特徴とする請求項3に記載のウィルス検査装置。
  5. 前記添付ファイルのデータにより周辺機器であるメモリまたは外部入出力装置に対するアクセスが行われているかどうかの有無を検出する手段を備えた請求項1から4のいずれかに記載のウィルス検査装置。
  6. 前記検査コンピュータのメモリアクセスを禁止設定する手段を備えた請求項5記載のウィルス検査装置。
  7. メールサーバから転送された電子メールの添付ファイルを検査コンピュータ内で開き、前記添付ファイルのマクロを動作させ、前記添付ファイルのデータにより前記検査コンピュータと周辺機器とをインターフェース接続するI/Oポートへアクセスが行われているかどうかの有無をI/Oポートチェックボードにより判定するウィルス検査方法。
  8. 前記I/Oポートへの書き込みアクセスの有無をI/Oポートチェックボードにより判定し、判定した結果を前記メールサーバに転送することを特徴とする請求項7に記載のウィルス検査方法。
  9. 前記添付ファイルのデータにより周辺機器であるメモリまたはハードディスクへアクセスが行われているかどうかの有無を検査する請求項7または8に記載のウィルス検査方法。
  10. 電子メールを受信するメールサーバと、
    前記メールサーバとは別に接続され、受信した電子メールをメールサーバから受け取る検査コンピュータと、
    該検査コンピュータに設けられ前記メールサーバから転送した電子メールの添付ファイルを開くファイルオープン手段と、
    前記検査コンピュータと周辺機器とをインターフェース接続するI/Oポートと、
    前記ファイルオープン手段により開いた添付ファイルのデータにより前記I/Oポートへアクセスが行われているかどうかの有無を検出することによりウィルスの侵入を検査するI/Oポートチェックボードとからなるウィルス検査システムであって、
    前記ファイルオープン手段が前記メールサーバから転送されてきた電子メールの添付ファイルを開くとともに、前記I/Oポートチェックボードが、前記添付ファイルにより前記I/Oポートへアクセスが行われているかどうかの有無を検査、判定し、アクセスがあった時に前記メールサーバへアクセスがあった旨の情報を送出し、ウィルス感染の有無を判定させることを特徴とするウィルス検査システム。
  11. 前記メールサーバが、前記ウィルス感染の有無を判定した結果、ウィルスに感染している可能性のある場合には、該当する添付ファイルからウィルスを除去した後に、正規の宛先へ前記添付ファイルを有する電子メールを送信することを特徴とする請求項10記載のウィルス検査システム。
JP2001366884A 2001-11-30 2001-11-30 ウィルス検査のための装置と方法とシステム Expired - Fee Related JP3914757B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2001366884A JP3914757B2 (ja) 2001-11-30 2001-11-30 ウィルス検査のための装置と方法とシステム
US10/302,943 US7484244B2 (en) 2001-11-30 2002-11-25 Apparatus, method, and system for virus detection
CA002413606A CA2413606A1 (en) 2001-11-30 2002-11-27 Apparatus, method, and system for virus detection
KR1020020074401A KR100606478B1 (ko) 2001-11-30 2002-11-27 바이러스 검출 장치, 바이러스 검출 방법, 및 바이러스검출 시스템
DE60224497T DE60224497T2 (de) 2001-11-30 2002-11-29 Vorrichtung, Verfahren und System zur Viruserkennug
EP02258247A EP1331540B1 (en) 2001-11-30 2002-11-29 Apparatus, method, and system for virus detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001366884A JP3914757B2 (ja) 2001-11-30 2001-11-30 ウィルス検査のための装置と方法とシステム

Publications (2)

Publication Number Publication Date
JP2003169096A JP2003169096A (ja) 2003-06-13
JP3914757B2 true JP3914757B2 (ja) 2007-05-16

Family

ID=19176719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001366884A Expired - Fee Related JP3914757B2 (ja) 2001-11-30 2001-11-30 ウィルス検査のための装置と方法とシステム

Country Status (6)

Country Link
US (1) US7484244B2 (ja)
EP (1) EP1331540B1 (ja)
JP (1) JP3914757B2 (ja)
KR (1) KR100606478B1 (ja)
CA (1) CA2413606A1 (ja)
DE (1) DE60224497T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105793103A (zh) * 2013-12-06 2016-07-20 日本发条株式会社 车辆用座席

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IN172208B (ja) * 1990-04-02 1993-05-01 Sint Sa
KR100684986B1 (ko) * 1999-12-31 2007-02-22 주식회사 잉카인터넷 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법
FI113499B (fi) * 2002-09-12 2004-04-30 Jarmo Talvitie Turvajärjestelmä, menetelmä ja laite tietokonevirusten torjumiseksi sekä tiedon eristämiseksi
US20060101277A1 (en) * 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
US20060156397A1 (en) * 2005-01-13 2006-07-13 Steven Dai A New Anti-spy method without using scan
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
JP2007053699A (ja) * 2005-08-19 2007-03-01 Brother Ind Ltd メール受信システム及びインターネットファクシミリ
US20070094731A1 (en) * 2005-10-25 2007-04-26 Microsoft Corporation Integrated functionality for detecting and treating undesirable activities
US20080222728A1 (en) * 2007-03-05 2008-09-11 Paula Natasha Chavez Methods and interfaces for executable code analysis
KR100974886B1 (ko) * 2007-12-10 2010-08-11 한국전자통신연구원 파일에 삽입된 악성 코드 제거 장치 및 방법
US9544273B2 (en) * 2012-07-31 2017-01-10 Trend Micro Incorporated Network traffic processing system
FR2997529B1 (fr) * 2012-10-29 2015-12-25 Pradeo Security Systems Procede et systeme de verification de la securite d’une application en vue de son utilisation sur un appareil utilisateur.
US10713356B2 (en) * 2013-03-04 2020-07-14 Crowdstrike, Inc. Deception-based responses to security attacks
JP5606599B1 (ja) * 2013-07-29 2014-10-15 デジタルア−ツ株式会社 情報処理装置、プログラム及び情報処理方法
CN103955645B (zh) * 2014-04-28 2017-03-08 百度在线网络技术(北京)有限公司 恶意进程行为的检测方法、装置及系统
US10032027B2 (en) * 2014-07-29 2018-07-24 Digital Arts Inc. Information processing apparatus and program for executing an electronic data in an execution environment
WO2018123061A1 (ja) 2016-12-28 2018-07-05 デジタルア-ツ株式会社 情報処理装置及びプログラム
CN109165506B (zh) * 2018-07-05 2021-07-20 河南中烟工业有限责任公司 一种工控容错服务器在线病毒查杀和病毒防护的方法
CN111885069B (zh) * 2020-07-28 2021-11-02 上海易帆数据科技有限公司 一种计算机网络安全系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69511556D1 (de) 1994-06-01 1999-09-23 Quantum Leap Innovations Inc Computervirenfalle
US5832208A (en) 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
IL120632A0 (en) 1997-04-08 1997-08-14 Zuta Marc Multiprocessor system and method
JPH11134190A (ja) 1997-10-31 1999-05-21 Hitachi Ltd ウイルス検出通知システム、方法、および該方法に係るプログラムを格納した記憶媒体
JPH11252158A (ja) * 1998-02-27 1999-09-17 Seiko Epson Corp 電子メール情報管理方法及び装置並びに電子メール情報管理処理プログラムを記録した記録媒体
JP2001111824A (ja) 1999-10-06 2001-04-20 Canon Inc 記録装置
TW452733B (en) * 1999-11-26 2001-09-01 Inventec Corp Method for preventing BIOS from viruses infection
KR100392879B1 (ko) * 2000-06-02 2003-08-06 주식회사 인터넷엑스퍼트시스템 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템
US6901519B1 (en) * 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US7107618B1 (en) * 2001-09-25 2006-09-12 Mcafee, Inc. System and method for certifying that data received over a computer network has been checked for viruses

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105793103A (zh) * 2013-12-06 2016-07-20 日本发条株式会社 车辆用座席

Also Published As

Publication number Publication date
KR20030044817A (ko) 2003-06-09
EP1331540B1 (en) 2008-01-09
JP2003169096A (ja) 2003-06-13
DE60224497T2 (de) 2009-01-08
CA2413606A1 (en) 2003-05-30
DE60224497D1 (de) 2008-02-21
US7484244B2 (en) 2009-01-27
EP1331540A2 (en) 2003-07-30
US20030105975A1 (en) 2003-06-05
EP1331540A3 (en) 2004-10-20
KR100606478B1 (ko) 2006-07-31

Similar Documents

Publication Publication Date Title
JP3914757B2 (ja) ウィルス検査のための装置と方法とシステム
US11947674B2 (en) Systems and methods for providing security services during power management mode
US10757120B1 (en) Malicious network content detection
US7607171B1 (en) Virus detection by executing e-mail code in a virtual machine
US20040088565A1 (en) Method of identifying software vulnerabilities on a computer system
US9886576B2 (en) Security box
US20050278178A1 (en) System and method for intrusion decision-making in autonomic computing environments
US20080229416A1 (en) Computer Network Virus Protection System and Method
US10121005B2 (en) Virus detection by executing electronic message code in a virtual machine
JPWO2006092931A1 (ja) ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム
US7673343B1 (en) Anti-virus scanning co-processor
CN106663176A (zh) 检测装置、检测方法以及检测程序
US20060015939A1 (en) Method and system to protect a file system from viral infections
GB2469322A (en) Detecting malware at a client device
JP2011008730A (ja) コンピュータシステム、コンピュータ装置、ファイルオープン方法、及びプログラム
US8458797B1 (en) System and method for securing computers against computer viruses
JP2009053824A (ja) 情報処理装置及びメッセージ認証方法及びプログラム
JP6984114B2 (ja) 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム
JP2007226365A (ja) ウィルス検出システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041007

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061003

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070205

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S303 Written request for registration of pledge or change of pledge

Free format text: JAPANESE INTERMEDIATE CODE: R316303

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100209

Year of fee payment: 3

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S303 Written request for registration of pledge or change of pledge

Free format text: JAPANESE INTERMEDIATE CODE: R316303

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100209

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees