JP4145582B2 - コンピュータウィルス検査装置およびメールゲートウェイシステム - Google Patents
コンピュータウィルス検査装置およびメールゲートウェイシステム Download PDFInfo
- Publication number
- JP4145582B2 JP4145582B2 JP2002190707A JP2002190707A JP4145582B2 JP 4145582 B2 JP4145582 B2 JP 4145582B2 JP 2002190707 A JP2002190707 A JP 2002190707A JP 2002190707 A JP2002190707 A JP 2002190707A JP 4145582 B2 JP4145582 B2 JP 4145582B2
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- virus
- file
- computer virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、電子メールの添付ファイルなどのコンピュータウィルス検査を行うコンピュータウィルス検査装置、並びにメールゲートウェイシステムに関する。
【0002】
【従来の技術】
近年、インターネットの普及により電子メールが広く利用されているが、電子メールの添付ファイルによりコンピュータウィルス(以下、単にウィルスと称する)が媒介され多くのコンピュータに感染しており、このことが社会問題となっている。このためにウィルス対策ベンダーから、既知ウィルスの検出用のパターンファイルが提供されている。このパターンファイルには、ウイルス特有のコード、例えば通信ポートのフックコードなどのファンクションコールと呼ばれるものが定義されている。そして、パターンファイルに定義されているコードと添付ファイルのバイナリコードを比較して一致した場合にウィルスと判断することができる。この検査手法は、スタティックヒューリスティック検査と呼ばれている。しかし、ウィルス対策ベンダーから対応済みのパターンファイルがリリースされる前に、急速に広がりをみせるウィルスが多く現れており、このような未知のウィルスへの対策が強く望まれている。
【0003】
このような背景の中、ダイナミックヒューリスティック検査と呼ばれる手法によって未知のウィルスを検知する技術が、例えば「竹内大輔,千石靖,服部進実,“仮想マシンを用いた実行形式型ウィルスの検出”,コンピュータセキュリティシンポジウム 2001,pp.179-184,Oct.2001」に記載されている。ダイナミックヒューリスティック検査とは、コンピュータシステムのメモリ上でウィルスの疑いのあるファイルを仮想的に実行して、ウィルス特有のファンクションコールが有った場合にウィルスと判断する手法である。この手法を用いて、ユーザのコンピュータのメモリ上で電子メールの添付ファイルを仮想的に実行すれば、パターンファイルにない未知のウィルスを検出することが可能である。
【0004】
【発明が解決しようとする課題】
しかし、上述した従来のダイナミックヒューリスティック検査による手法では、予想される全てのファンクションコールに予め対応しておく必要があるために、容易にウィルス検査を行うことができないという問題がある。
【0005】
さらに、未対応のファンクションコールがあったり、あるいはファンクションコール定義ファイルの作成ミスがあると、検査に用いるコンピュータ自体がウィルスに感染してしまうという問題もある。
【0006】
ここで、検査用のコンピュータ(以下、実ホストと称する)へのウィルス感染を防ぐために、ホストエミュレータを用いて実ホストのメモリ上に仮想ホストを構築し、この仮想ホスト上で疑わしいファイルを実行して検査することが考えられる。ホストエミュレータは、例えば「VMware(登録商標)」と呼ばれるコンピュータプログラムを利用して実現することが可能である。これにより実ホストのメモリ上に仮想ホストを構築し、該仮想ホスト上で電子メールの添付ファイルを実行すれば、仮想ホストにウィルスが感染しても、実ホストへのウィルス感染を防ぐことが可能である。
【0007】
本発明は、このような事情を考慮してなされたもので、その目的は、仮想ホストを構築し、該仮想ホスト上で被検査ファイルを実行することにより実ホストへのウィルス感染を防止し、且つ容易にウィルス検査を行うことができるコンピュータウィルス検査装置を提供することにある。
【0008】
また、本発明は、そのコンピュータウィルス検査装置を備え、電子メールの添付ファイルを媒体として感染するコンピュータウィルスの拡散を防止することができるメールゲートウェイシステムを提供することも目的とする。
【0010】
【課題を解決するための手段】
上記の課題を解決するために、本発明に係るコンピュータウィルス検査装置は、実ホストのメモリ上に仮想ホストを構築するホストエミュレータと、入力された被検査ファイルを前記仮想ホスト上で実行させて前記仮想ホストの動作結果を監視し、この監視結果に基づいて前記被検査ファイルがコンピュータウィルスに感染しているか否かを判断する検査処理手段と、検査結果を通知する結果通知手段と、を具備し、前記仮想ホスト上の標準状態における所定ファイルの特徴値を予め求めておき、前記検査処理手段は、前記仮想ホスト上で前記被検査ファイルを実行後、前記所定ファイルの特徴値を求め、この特徴値と前記標準状態における特徴値とを比較し、不一致の場合に前記被検査ファイルがコンピュータウィルスに感染していると判断することを特徴とする。
この発明によれば、ホストエミュレータにより仮想ホストを構築し、検査処理手段が該仮想ホスト上で被検査ファイルを実行することにより実ホストへのウィルス感染を防止することができる。さらに、検査処理手段が仮想ホストの動作結果に基づいて被検査ファイルがコンピュータウィルスに感染しているか否かを判断するので、容易にウィルス検査を行うことができる。この発明によれば、検査処理手段が仮想ホストの動作結果として所定ファイルの内容の変化があったか否かを監視するので、所定ファイルを改ざんするコンピュータウィルスを検知することができる。
【0011】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段が特徴値を求めるファイルは、過去にコンピュータウィルスによって改ざんが行われたファイルと同じファイル拡張子を有するファイル、又は、コンピュータウィルスによる改ざんによってコンピュータシステム上の不具合が引き起こされる虞のあるファイルに限定されていることを特徴とする。
【0012】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、複数のアプリケーションプログラムを起動させた状態で被検査ファイルの実行を行うことを特徴とする。
【0013】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、メモリ使用量を変化させながら被検査ファイルを実行させることを特徴とする。
【0014】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、前記被検査ファイルが圧縮されている場合には、該圧縮の解凍を行いながら検査を行うことを特徴とする。
この発明によれば、検査処理手段が圧縮解凍するので、圧縮済みのファイルであっても検査可能である。
【0015】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、パターンマッチング検査機能とスタティックヒューリスティック検査機能を有し、これら検査によってコンピュータウィルスが未検知であった前記被検査ファイルのみを、前記仮想ホスト上で実行させて検査することを特徴とする。
この発明によれば、仮想ホストを用いた検査の対象となる被検査ファイルの数が削減されるので、能率よくウィルス検査を実施することができ、ウィルス検査全体の処理速度を向上させることができる。
【0016】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、前記仮想ホスト上で実行させて検査した結果、コンピュータウィルスを検知した場合に、当該コンピュータウィルスを分析して特徴を抽出し、この特徴をパターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映させることを特徴とする。
この発明によれば、仮想ホストを用いた検査によって検知された未知のウィルスの特徴が、パターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映されるので、ウィルス検査の精度を効率よく向上させることができる。
【0017】
本発明に係るコンピュータウィルス検査装置においては、前記結果通知手段は、前記被検査ファイルがコンピュータウィルス感染済みであった場合、該被検査ファイル実行時の動作状況または検査内容を結果通知用電子メールに記載して出力することを特徴とする。
この発明によれば、検知したコンピュータウィルスの内容を電子メールにより即時に通知することが可能となり、ウィルス拡散防止に寄与することができる。
【0018】
本発明に係るコンピュータウィルス検査装置においては、前記結果通知手段は、前記結果通知用電子メールに電子署名を施すことを特徴とする。
この発明によれば、電子署名により検査結果の内容の正当性が保証される。
【0019】
上記の課題を解決するために、本発明に係るメールゲートウェイシステムは、前述のコンピュータウィルス検査装置と、メールサービス利用者の端末と外部ネットワークとの間で相互に電子メールを転送するメール転送手段とから構成され、前記メール転送手段は、転送する電子メールの添付ファイルのコンピュータウィルス検査を前記コンピュータウィルス検査装置へ依頼し、前記コンピュータウィルス検査装置は、この検査によりコンピュータウィルスが未検知であった場合に前記電子メールの転送を許可し、コンピュータウィルスを検知した場合には前記電子メールの少なくとも添付ファイルの転送を許可しないことを特徴としている。
この発明によれば、コンピュータウィルス検査装置が、メール転送手段によって転送される電子メールの添付ファイルの検査結果に基づいて該電子メールの転送許可を行うので、電子メールの添付ファイルを媒体として感染するコンピュータウィルスの拡散を防止することができる。
【0020】
本発明に係るメールゲートウェイシステムにおいては、前記コンピュータウィルス検査装置は、少なくともコンピュータウィルスを検知した前記添付ファイルを一括保管及び管理することを特徴とする。
この発明によれば、コンピュータウィルスに感染済みの添付ファイルが隔離されるので、利用者がコンピュータウィルスに感染済み添付ファイルを誤って実行してしまうことを未然に防ぐことができる。
【0021】
本発明に係るメールゲートウェイシステムにおいては、前記コンピュータウィルス検査装置は、前記保管中の添付ファイルへアクセスするための通信アドレスを前記端末に通知することを特徴とする。
この発明によれば、保管中の添付ファイルへのアクセス用通信アドレスが通知されるので、利用者は必要に応じて保管中の添付ファイルへアクセスすることができる。これにより、利用者の不用意な添付ファイルの実行を抑制し、コンピュータウィルスの感染を防止することができる。
【0023】
上記の課題を解決するために、本発明に係るコンピュータプログラムは、実ホストのメモリ上に仮想ホストを構築する処理と、前記仮想ホスト上の標準状態における所定ファイルの特徴値を予め求める処理と、入力された被検査ファイルを前記仮想ホスト上で実行させる処理と、前記仮想ホストの動作結果を監視する処理と、この監視結果に基づいて、前記仮想ホスト上で前記被検査ファイルを実行後、前記所定ファイルの特徴値を求め、この特徴値と前記標準状態における特徴値とを比較し、不一致の場合に前記被検査ファイルがコンピュータウィルスに感染していると判断する処理と、検査結果を通知する処理とをコンピュータに実行させることを特徴としている。
この発明によれば、前記各処理をコンピュータにより実行することが可能となる。これにより、前述のコンピュータウィルス検査装置がコンピュータを利用して実現できるようになる。
【0024】
【発明の実施の形態】
以下、図面を参照し、本発明の一実施形態について説明する。
図1は、本発明の一実施形態によるウィルス検査サーバ(コンピュータウィルス検査装置)1の構成を示すブロック図である。ウィルス検査サーバ1は、CPUおよびメモリから構成される処理部と、該CPUで実行されるプログラムや各種データを記憶する記憶部(メモリやハードディスク等)などからなるコンピュータ(実ホスト)により構成される。図1には、該CPUが記憶部に記憶されているプログラムを実行して実現する機能を展開したブロック構成のうち、便宜上、本発明に係る構成部分を示している。
【0025】
図1において、ウィルス検査サーバ1は、実ホスト上で実現される検査処理部11と、実ホスト上で実現されるホストエミュレータ20によって実ホストのメモリ上に構築された仮想ホストA_21,仮想ホストB_22とを有する。検査処理部11は、実ホスト上で検査処理部11の機能を実現するためのプログラムを実行することにより実現される。ホストエミュレータ20は、例えば「VMware(登録商標)」と呼ばれるコンピュータプログラムを実ホスト上で実行することにより実現される。
【0026】
仮想ホストA_21,B_22は、ホストエミュレータ20により、それぞれ異なるオペレーティングシステム(OS)を実行するものとして構築される。例えば、「Windows(登録商標)系のOS」や「Linux」などのOSである。なお、本実施形態においては、仮想ホストとして異なるOSを実行する2つを設けるようにしたが、仮想ホストは1つであっても、あるいは3つ以上であってもよい。
【0027】
検査処理部11は、入力された被検査ファイルを仮想ホストA_21,B_22上でそれぞれ実行させる。そして、各仮想ホストA_21,B_22の動作結果を監視し、この監視結果に基づいて被検査ファイルがウィルスに感染しているか否かを判断する。以下に、このウィルス検査方法について説明する。
【0028】
検査処理部11が監視対象とする仮想ホストの動作結果としては、各種考えられるが、ここでは2つの例を説明する。
(1)メール送信の監視によりウィルスを検知する方法
この方法では、各仮想ホストA_21,B_22に電子メールの送信プログラムをインストールし、この送信プログラムを実行可能なようにしておく。また、電子メールの宛先に使用可能なように、ダミーの電子メールアドレスを設定しておく。
次いで、検査処理部11は、被検査ファイルを仮想ホストA_21,B_22上でそれぞれ実行させて、仮想ホストA_21,B_22が電子メールを送信するか否かを監視する。
次いで、検査処理部11は、電子メールの送信を行った仮想ホストがあった場合に、被検査ファイルがウィルスに感染していると判断する。
この方法によれば、電子メールの添付ファイルを被検査ファイルとすることにより、該添付ファイルを媒体として感染を拡散させるウィルスを検知することができる。
【0029】
(2)ファイルの改ざんの監視によりウィルスを検知する方法
この方法では、各仮想ホストA_21,B_22上の標準状態におけるファイルの特徴値を予め求めておく。この特徴値としてはハッシュ値が利用可能である。
次いで、検査処理部11は、被検査ファイルを仮想ホストA_21,B_22上でそれぞれ実行させる。
次いで、検査処理部11は、各仮想ホストA_21,B_22上のファイルの特徴値を求め、この特徴値と標準状態における特徴値を比較する。
次いで、検査処理部11は、この比較の結果が不一致の場合に、被検査ファイルがウィルスに感染していると判断する。
【0030】
但し、特徴値を求めるファイルは、過去にウィルスによって改ざんが行われたファイルのと同じファイル拡張子を有するものに限定する。あるいは、改ざんによってコンピュータシステム上の不具合が引き起こされる虞のあるファイルに限定する。これにより、ウィルスによるものではなく、正常な処理によって内容が変更されるファイルについては、改ざん監視対象から除外できるので、ウィルスの誤検出を防止することができる。また、全てのファイルの特徴値(ハッシュ値)を求める必要が無いので、処理速度が向上する。
【0031】
なお、被検査ファイルがウィルスに感染していた場合、上記ウィルス検査により、仮想ホストA_21またはB_22はウィルスに感染してしまう。しかし、ホストエミュレータ20を再起動して仮想ホストA_21,B_22を再構築することにより、実ホストへの影響なく、且つ短時間で検査可能な状態に復帰することができる。
【0032】
また、検査処理部11は、ウィルスの影響が顕在化するように、仮想ホストA_21,B_22上で被検査ファイルを実行する際の実行条件を変化させる。例えば、仮想ホスト上の日時やメモリ使用量を変化させながら被検査ファイルを実行させる。あるいは複数のアプリケーションプログラムを起動させた状態で被検査ファイルの実行を行う。これにより、特定の実行条件下(例えば特定の日時)でのみ発病するウィルスであっても検知することができる。
【0033】
また、検査処理部11は、被検査ファイルが圧縮されている場合には、該圧縮の解凍を行いながら検査を行う。これにより、例えば電子メールの添付ファイルは圧縮して転送されることがしばしばなされるが、このように圧縮ファイルによって媒介される場合においてもウィルスの検知を行うことができる。
【0034】
次に、上述した図1のウィルス検査サーバ1を備えたメールゲートウェイシステムの実施例を説明する。図2、図3はメールゲートウェイシステム30の動作を説明するためのシーケンス図である。図2、図3に示すメールゲートウェイシステム30は、ウィルス検査サーバ1とメールサーバ31(メール転送手段)から構成される。メールサーバ31は、メールサービス利用者の端末40と外部ネットワークとの間で相互に電子メール(以下、単にメールと称する)を転送する機能を有する。但し、この転送の際に、メールサーバ31は、転送するメールの添付ファイルのウィルス検査をウィルス検査サーバ1へ依頼し、この検査結果に基づくメールの転送可否判断の結果に従って動作する。
【0035】
初めに、図2を参照して、送信者が端末40により添付ファイル付きメールを送信した際のウィルス検査に係る動作を説明する。先ず、送信者が端末40により添付ファイル付きメール101を送信する(ステップS1)。メールサーバ31は、添付ファイル付きメール101を受け取ると、この添付ファイル付きメール101をウィルス検査サーバ1へ提供してウィルス検査を依頼する(ステップS2)。
【0036】
次いで、ウィルス検査サーバ1は、添付ファイル付きメール101の添付ファイルを被検査ファイルとしてウィルス検査を実行し、この検査結果をメールサーバ31及び端末40へ通知する(ステップS3)。この通知が検査正常であり、添付ファイルがウィルスに感染していない場合に、メールサーバ31は、添付ファイル付きメール101を外部ネットワークへ転送する(ステップS4)。
【0037】
これにより、添付ファイルを媒体として感染を拡散させるウィルスが外部ネットワークへ流出することを防止することができる。
【0038】
次に、図3を参照して、メールサーバ31が外部ネットワークから添付ファイル付きメールを受信した際のウィルス検査に係る動作を説明する。先ず、メールサーバ31は、外部ネットワークから添付ファイル付きメール110を受信すると(ステップS11)、添付ファイル付きメール110をウィルス検査サーバ1へ提供してウィルス検査を依頼する(ステップS12)。
【0039】
次いで、ウィルス検査サーバ1は、添付ファイル付きメール111の添付ファイルを被検査ファイルとしてウィルス検査を実行し、この検査結果をメールサーバ31へ通知する(ステップS13)。ここで、ウィルス検査サーバ1は添付ファイルを保存しておく。
【0040】
次いで、メールサーバ31は、ウィルス検査結果の通知内容を記載した検査結果メール120を作成して受信者の端末40へ送信する(ステップS14)。この検査結果メール120には、図5または図6に示すように、添付ファイル付きメール110のメールヘッダ112及び本文113と、添付ファイルの動作検査結果121と、添付ファイル取得用URL(Uniform Resource Locator)122とが記載される。また、図6に示すように、さらに電子署名123を記載するようにしてもよい。添付ファイルの動作検査結果121及び添付ファイル取得用URL122及び電子署名123については、ウィルス検査サーバ1が作成してメールサーバ31へ提供する。
【0041】
添付ファイルの動作検査結果121は、ウィルス検査サーバ1で添付ファイルを実行した時の動作状況や検査内容を示すものである。動作検査結果121には、添付ファイルがウィルス感染済みであると判断した場合に、添付ファイル実行時にウィルスの挙動としてどのような動作が行われたのか、またウィルスを検知した検査項目や使用パターンファイル名などが示される。一方、添付ファイルがウィルス未感染であると判断した場合には、どの検査を実施したのかが示される。なお、検査項目の詳細(パターンファイルを使用する検査等)については後述する。
【0042】
添付ファイル取得用URL122は、ウィルス検査サーバ1に保存してある添付ファイルを取得するためのアドレスである。受信者は、端末40により、この添付ファイル取得用URL122を使用してウィルス検査サーバ1にアクセスし、該当する添付ファイルを取得することができる(ステップS15)。
【0043】
電子署名123は、検査結果メール120の正当性を証明するためのものである。ウィルス検査サーバ1は、この電子署名123によって当該検査結果メール120の内容を保証する。
【0044】
これにより、添付ファイルを媒体として感染を拡散させるウィルスが外部ネットワークから流入することを防止することができる。
【0045】
次に、図4を参照して、上述した図2,図3のメールゲートウェイシステム30におけるウィルス検査サーバ1の動作を説明する。図4は、メールゲートウェイシステム30において、図1の検査処理部11が行うウィルス検査処理の流れを示すフローチャートである。この図4に示すウィルス検査は、パターンマッチング検査とスタティックヒューリスティック検査とダイナミックヒューリスティック検査の3つの検査項目からなる。
【0046】
パターンマッチング検査とは、メールヘッダなどから明らかにウィルスであると判定できる要素をパターンマッチングにより検出して、ウィルスの検知を行うものである。このパターンマッチング検査は従来から行われており、本実施形態においても従前の方法で行う。また、スタティックヒューリスティック検査についても、従前の方法で行う。これらパターンマッチング検査及びスタティックヒューリスティック検査で用いる各パターンファイルは、予めウィルス検査サーバ1に設定されている。
【0047】
ダイナミックヒューリスティック検査については、上記図1を参照して説明した本実施形態のウィルス検査方法(メール送信監視によるウィルス検知、又はファイル改ざん監視によるウィルス検知)を使用して行う。
【0048】
図4において、検査処理部11は、メールサーバ31から添付ファイル付きメールを受け取ると、添付ファイルを取り出して保存する(ステップS21)。次いで、検査処理部11は、該添付ファイルに対してパターンマッチング検査を実施する(ステップS22)。この検査の結果、ウィルスを検知し、ウィルス感染済みと判断した場合にはステップS34へ進む(ステップS23)。一方、ウィルスを検知せず、ウィルス未感染と判断した場合には、さらにスタティックヒューリスティック検査を実施する(ステップS24)。
【0049】
この検査の結果、ウィルスを検知し、ウィルス感染済みと判断した場合にはステップS34へ進む(ステップS25)。一方、ウィルスを検知せず、ウィルス未感染と判断した場合には、さらにダイナミックヒューリスティック検査を実施する(ステップS26)。
【0050】
この検査の結果、ウィルスを検知し、ウィルス感染済みと判断した場合にはステップS30へ進む(ステップS27)。一方、ウィルスを検知せず、ウィルス未感染と判断した場合には、当該添付メールが送信メールに添付されたものか否かを判断する(ステップS28)。この判断の結果、送信メールであった場合に、検査処理部11は、メールサーバ31へウィルス検査の結果が正常である旨を通知し、メールの送信を許可する(ステップS29)。一方、送信メールでなかった場合にはステップS34へ進む。
【0051】
ステップS30では、検査処理部11は、今回のダイナミックヒューリスティック検査で検知したウィルスが各パターンファイルに含まれていない未知のものであるので、当該ウィルスを分析しその特徴を抽出する。次いで、抽出した特徴をフィードバックすることにより各パターンファイルを更新する(ステップS31)。例えば、メールヘッダ中の件名(subject)を抽出して、パターンマッチング検査用のパターンファイルに追加する。また、当該添付ファイルのデータに基づいてスタティックヒューリスティック検査用のパターンファイルを更新する。
【0052】
次いで、ステップS32で、当該添付ファイルが送信メールに添付されたものか否かを判断し、この判断の結果、送信メールであった場合に、検査処理部11は、メールサーバ31へウィルス検査の結果が異常である旨を通知してメールの送信を中止させ、この旨を送信者の端末40へ通知する(ステップS33)。一方、送信メールでなかった場合にはステップS34へ進む。
【0053】
ステップS34では、検査処理部11は、添付ファイルがウィルスに感染済みである旨をメールサーバ31へ通知して、検査結果メールにより受信者の端末40へ通知させる(ステップS34)。
【0054】
上述したメールゲートウェイシステム30の実施例では、先ず、パターンマッチング検査とスタティックヒューリスティック検査を実施し、これら検査でウィルスを検知できなかった添付ファイルのみに対して本実施形態のダイナミックヒューリスティック検査を実施する。これにより、仮想ホストを用いた検査(本実施形態のダイナミックヒューリスティック検査)は処理量が多く時間がかかるが、該検査対象となる添付ファイル数を削減させて、能率よくウィルス検査を実施し、ウィルス検査全体の処理速度を向上させることができる。また、ウィルス検査サーバ1にかかる負荷が軽減されるので、メールゲートウェイシステム全体の処理能力の向上を図ることも可能となる。
【0055】
さらに、本実施形態のダイナミックヒューリスティック検査によって検知された未知のウィルスについてその特徴を抽出し、該特徴をパターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映するので、ウィルス検査の精度を効率よく向上させることができる。
【0056】
また、本実施例では、外部ネットワークから受信した添付ファイルをウィルス検査サーバ1で一括保管及び管理し、ウィルスに感染済みの添付ファイルを利用者に直接転送しないようにしている。これにより、ウィルスに感染済みの添付ファイルを隔離し、利用者がウィルスに感染済み添付ファイルを誤って実行してしまうことを未然に防ぐことができる。
なお、ウィルス検査サーバ1で一括保管及び管理する添付ファイルは、ウィルス感染済みのファイルのみとしてもよく、あるいは全ての添付ファイルであってもよい。また、ウィルス感染済みの添付ファイルについては、利用者からのアクセスに制限を設けるようにするのが、添付ファイルの誤実行によるウィルス感染の防止の点から好ましい。
【0057】
なお、ウィルス検査サーバ1が検査結果メールを作成し、この検査結果メールをメールサーバ31を介してメールサービス利用者の端末へ送信するようにしてもよい。
【0058】
また、ウィルス検査サーバ1が行う各処理を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりウィルス検査処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0059】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0060】
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0061】
【発明の効果】
以上説明したように、本発明によれば、ホストエミュレータにより仮想ホストを構築し、該仮想ホスト上で被検査ファイルを実行することにより実ホストへのウィルス感染を防止することができる。さらに、仮想ホストの動作結果に基づいて被検査ファイルがコンピュータウィルスに感染しているか否かを判断するので、容易にウィルス検査を行うことができる。
【0063】
本発明によれば、仮想ホストの動作結果として所定ファイルの内容の変化があったか否かを監視するので、所定ファイルを改ざんするコンピュータウィルスを検知することができる。
【0064】
本発明によれば、実行条件を変化させて検査するので、特定の実行条件下でのみ発病するコンピュータウィルスであっても顕在化させて検知することができる。
【0065】
本発明によれば、圧縮済みのファイルであっても検査可能である。
【0066】
本発明によれば、仮想ホストを用いた検査の対象となる被検査ファイルの数が削減されるので、能率よくウィルス検査を実施することができ、ウィルス検査全体の処理速度を向上させることができる。
【0067】
本発明によれば、仮想ホストを用いた検査によって検知された未知のウィルスの特徴が、パターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映されるので、ウィルス検査の精度を効率よく向上させることができる。
【0068】
本発明によれば、検知したコンピュータウィルスの内容を電子メールにより即時に通知することが可能となり、ウィルス拡散防止に寄与することができる。
本発明によれば、電子署名により検査結果の内容の正当性が保証される。
【0069】
本発明によれば、コンピュータウィルス検査装置が、メール転送手段によって転送される電子メールの添付ファイルの検査結果に基づいて該電子メールの転送許可を行うので、電子メールの添付ファイルを媒体として感染するコンピュータウィルスの拡散を防止することができる。
【0070】
本発明によれば、コンピュータウィルスに感染済みの添付ファイルが隔離されるので、利用者がコンピュータウィルスに感染済み添付ファイルを誤って実行してしまうことを未然に防ぐことができる。
【0071】
本発明によれば、保管中の添付ファイルへのアクセス用通信アドレスが通知されるので、利用者は必要に応じて保管中の添付ファイルへアクセスすることができる。これにより、利用者の不用意な添付ファイルの実行を抑制し、コンピュータウィルスの感染を防止することができる。
【図面の簡単な説明】
【図1】 本発明の一実施形態によるウィルス検査サーバ(コンピュータウィルス検査装置)1の構成を示すブロック図である。
【図2】 図1に示すウィルス検査サーバ1を備えたメールゲートウェイシステム30の動作を説明するための第1のシーケンス図である。
【図3】 図1に示すウィルス検査サーバ1を備えたメールゲートウェイシステム30の動作を説明するための第2のシーケンス図である。
【図4】 メールゲートウェイシステム30において、図1の検査処理部11が行うウィルス検査処理の流れを示すフローチャートである。
【図5】 検査結果メールの第1の構成例を示す図である。
【図6】 検査結果メールの第2の構成例を示す図である。
【符号の説明】
1…ウィルス検査サーバ(コンピュータウィルス検査装置)、11…検査処理部、20…ホストエミュレータ、21,22…仮想ホスト、30…メールゲートウェイシステム、31…メールサーバ、40…端末、101,110添付ファイル付きメール、111…添付ファイル、120,120a,120b…検査結果メール
【発明の属する技術分野】
本発明は、電子メールの添付ファイルなどのコンピュータウィルス検査を行うコンピュータウィルス検査装置、並びにメールゲートウェイシステムに関する。
【0002】
【従来の技術】
近年、インターネットの普及により電子メールが広く利用されているが、電子メールの添付ファイルによりコンピュータウィルス(以下、単にウィルスと称する)が媒介され多くのコンピュータに感染しており、このことが社会問題となっている。このためにウィルス対策ベンダーから、既知ウィルスの検出用のパターンファイルが提供されている。このパターンファイルには、ウイルス特有のコード、例えば通信ポートのフックコードなどのファンクションコールと呼ばれるものが定義されている。そして、パターンファイルに定義されているコードと添付ファイルのバイナリコードを比較して一致した場合にウィルスと判断することができる。この検査手法は、スタティックヒューリスティック検査と呼ばれている。しかし、ウィルス対策ベンダーから対応済みのパターンファイルがリリースされる前に、急速に広がりをみせるウィルスが多く現れており、このような未知のウィルスへの対策が強く望まれている。
【0003】
このような背景の中、ダイナミックヒューリスティック検査と呼ばれる手法によって未知のウィルスを検知する技術が、例えば「竹内大輔,千石靖,服部進実,“仮想マシンを用いた実行形式型ウィルスの検出”,コンピュータセキュリティシンポジウム 2001,pp.179-184,Oct.2001」に記載されている。ダイナミックヒューリスティック検査とは、コンピュータシステムのメモリ上でウィルスの疑いのあるファイルを仮想的に実行して、ウィルス特有のファンクションコールが有った場合にウィルスと判断する手法である。この手法を用いて、ユーザのコンピュータのメモリ上で電子メールの添付ファイルを仮想的に実行すれば、パターンファイルにない未知のウィルスを検出することが可能である。
【0004】
【発明が解決しようとする課題】
しかし、上述した従来のダイナミックヒューリスティック検査による手法では、予想される全てのファンクションコールに予め対応しておく必要があるために、容易にウィルス検査を行うことができないという問題がある。
【0005】
さらに、未対応のファンクションコールがあったり、あるいはファンクションコール定義ファイルの作成ミスがあると、検査に用いるコンピュータ自体がウィルスに感染してしまうという問題もある。
【0006】
ここで、検査用のコンピュータ(以下、実ホストと称する)へのウィルス感染を防ぐために、ホストエミュレータを用いて実ホストのメモリ上に仮想ホストを構築し、この仮想ホスト上で疑わしいファイルを実行して検査することが考えられる。ホストエミュレータは、例えば「VMware(登録商標)」と呼ばれるコンピュータプログラムを利用して実現することが可能である。これにより実ホストのメモリ上に仮想ホストを構築し、該仮想ホスト上で電子メールの添付ファイルを実行すれば、仮想ホストにウィルスが感染しても、実ホストへのウィルス感染を防ぐことが可能である。
【0007】
本発明は、このような事情を考慮してなされたもので、その目的は、仮想ホストを構築し、該仮想ホスト上で被検査ファイルを実行することにより実ホストへのウィルス感染を防止し、且つ容易にウィルス検査を行うことができるコンピュータウィルス検査装置を提供することにある。
【0008】
また、本発明は、そのコンピュータウィルス検査装置を備え、電子メールの添付ファイルを媒体として感染するコンピュータウィルスの拡散を防止することができるメールゲートウェイシステムを提供することも目的とする。
【0010】
【課題を解決するための手段】
上記の課題を解決するために、本発明に係るコンピュータウィルス検査装置は、実ホストのメモリ上に仮想ホストを構築するホストエミュレータと、入力された被検査ファイルを前記仮想ホスト上で実行させて前記仮想ホストの動作結果を監視し、この監視結果に基づいて前記被検査ファイルがコンピュータウィルスに感染しているか否かを判断する検査処理手段と、検査結果を通知する結果通知手段と、を具備し、前記仮想ホスト上の標準状態における所定ファイルの特徴値を予め求めておき、前記検査処理手段は、前記仮想ホスト上で前記被検査ファイルを実行後、前記所定ファイルの特徴値を求め、この特徴値と前記標準状態における特徴値とを比較し、不一致の場合に前記被検査ファイルがコンピュータウィルスに感染していると判断することを特徴とする。
この発明によれば、ホストエミュレータにより仮想ホストを構築し、検査処理手段が該仮想ホスト上で被検査ファイルを実行することにより実ホストへのウィルス感染を防止することができる。さらに、検査処理手段が仮想ホストの動作結果に基づいて被検査ファイルがコンピュータウィルスに感染しているか否かを判断するので、容易にウィルス検査を行うことができる。この発明によれば、検査処理手段が仮想ホストの動作結果として所定ファイルの内容の変化があったか否かを監視するので、所定ファイルを改ざんするコンピュータウィルスを検知することができる。
【0011】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段が特徴値を求めるファイルは、過去にコンピュータウィルスによって改ざんが行われたファイルと同じファイル拡張子を有するファイル、又は、コンピュータウィルスによる改ざんによってコンピュータシステム上の不具合が引き起こされる虞のあるファイルに限定されていることを特徴とする。
【0012】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、複数のアプリケーションプログラムを起動させた状態で被検査ファイルの実行を行うことを特徴とする。
【0013】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、メモリ使用量を変化させながら被検査ファイルを実行させることを特徴とする。
【0014】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、前記被検査ファイルが圧縮されている場合には、該圧縮の解凍を行いながら検査を行うことを特徴とする。
この発明によれば、検査処理手段が圧縮解凍するので、圧縮済みのファイルであっても検査可能である。
【0015】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、パターンマッチング検査機能とスタティックヒューリスティック検査機能を有し、これら検査によってコンピュータウィルスが未検知であった前記被検査ファイルのみを、前記仮想ホスト上で実行させて検査することを特徴とする。
この発明によれば、仮想ホストを用いた検査の対象となる被検査ファイルの数が削減されるので、能率よくウィルス検査を実施することができ、ウィルス検査全体の処理速度を向上させることができる。
【0016】
本発明に係るコンピュータウィルス検査装置においては、前記検査処理手段は、前記仮想ホスト上で実行させて検査した結果、コンピュータウィルスを検知した場合に、当該コンピュータウィルスを分析して特徴を抽出し、この特徴をパターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映させることを特徴とする。
この発明によれば、仮想ホストを用いた検査によって検知された未知のウィルスの特徴が、パターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映されるので、ウィルス検査の精度を効率よく向上させることができる。
【0017】
本発明に係るコンピュータウィルス検査装置においては、前記結果通知手段は、前記被検査ファイルがコンピュータウィルス感染済みであった場合、該被検査ファイル実行時の動作状況または検査内容を結果通知用電子メールに記載して出力することを特徴とする。
この発明によれば、検知したコンピュータウィルスの内容を電子メールにより即時に通知することが可能となり、ウィルス拡散防止に寄与することができる。
【0018】
本発明に係るコンピュータウィルス検査装置においては、前記結果通知手段は、前記結果通知用電子メールに電子署名を施すことを特徴とする。
この発明によれば、電子署名により検査結果の内容の正当性が保証される。
【0019】
上記の課題を解決するために、本発明に係るメールゲートウェイシステムは、前述のコンピュータウィルス検査装置と、メールサービス利用者の端末と外部ネットワークとの間で相互に電子メールを転送するメール転送手段とから構成され、前記メール転送手段は、転送する電子メールの添付ファイルのコンピュータウィルス検査を前記コンピュータウィルス検査装置へ依頼し、前記コンピュータウィルス検査装置は、この検査によりコンピュータウィルスが未検知であった場合に前記電子メールの転送を許可し、コンピュータウィルスを検知した場合には前記電子メールの少なくとも添付ファイルの転送を許可しないことを特徴としている。
この発明によれば、コンピュータウィルス検査装置が、メール転送手段によって転送される電子メールの添付ファイルの検査結果に基づいて該電子メールの転送許可を行うので、電子メールの添付ファイルを媒体として感染するコンピュータウィルスの拡散を防止することができる。
【0020】
本発明に係るメールゲートウェイシステムにおいては、前記コンピュータウィルス検査装置は、少なくともコンピュータウィルスを検知した前記添付ファイルを一括保管及び管理することを特徴とする。
この発明によれば、コンピュータウィルスに感染済みの添付ファイルが隔離されるので、利用者がコンピュータウィルスに感染済み添付ファイルを誤って実行してしまうことを未然に防ぐことができる。
【0021】
本発明に係るメールゲートウェイシステムにおいては、前記コンピュータウィルス検査装置は、前記保管中の添付ファイルへアクセスするための通信アドレスを前記端末に通知することを特徴とする。
この発明によれば、保管中の添付ファイルへのアクセス用通信アドレスが通知されるので、利用者は必要に応じて保管中の添付ファイルへアクセスすることができる。これにより、利用者の不用意な添付ファイルの実行を抑制し、コンピュータウィルスの感染を防止することができる。
【0023】
上記の課題を解決するために、本発明に係るコンピュータプログラムは、実ホストのメモリ上に仮想ホストを構築する処理と、前記仮想ホスト上の標準状態における所定ファイルの特徴値を予め求める処理と、入力された被検査ファイルを前記仮想ホスト上で実行させる処理と、前記仮想ホストの動作結果を監視する処理と、この監視結果に基づいて、前記仮想ホスト上で前記被検査ファイルを実行後、前記所定ファイルの特徴値を求め、この特徴値と前記標準状態における特徴値とを比較し、不一致の場合に前記被検査ファイルがコンピュータウィルスに感染していると判断する処理と、検査結果を通知する処理とをコンピュータに実行させることを特徴としている。
この発明によれば、前記各処理をコンピュータにより実行することが可能となる。これにより、前述のコンピュータウィルス検査装置がコンピュータを利用して実現できるようになる。
【0024】
【発明の実施の形態】
以下、図面を参照し、本発明の一実施形態について説明する。
図1は、本発明の一実施形態によるウィルス検査サーバ(コンピュータウィルス検査装置)1の構成を示すブロック図である。ウィルス検査サーバ1は、CPUおよびメモリから構成される処理部と、該CPUで実行されるプログラムや各種データを記憶する記憶部(メモリやハードディスク等)などからなるコンピュータ(実ホスト)により構成される。図1には、該CPUが記憶部に記憶されているプログラムを実行して実現する機能を展開したブロック構成のうち、便宜上、本発明に係る構成部分を示している。
【0025】
図1において、ウィルス検査サーバ1は、実ホスト上で実現される検査処理部11と、実ホスト上で実現されるホストエミュレータ20によって実ホストのメモリ上に構築された仮想ホストA_21,仮想ホストB_22とを有する。検査処理部11は、実ホスト上で検査処理部11の機能を実現するためのプログラムを実行することにより実現される。ホストエミュレータ20は、例えば「VMware(登録商標)」と呼ばれるコンピュータプログラムを実ホスト上で実行することにより実現される。
【0026】
仮想ホストA_21,B_22は、ホストエミュレータ20により、それぞれ異なるオペレーティングシステム(OS)を実行するものとして構築される。例えば、「Windows(登録商標)系のOS」や「Linux」などのOSである。なお、本実施形態においては、仮想ホストとして異なるOSを実行する2つを設けるようにしたが、仮想ホストは1つであっても、あるいは3つ以上であってもよい。
【0027】
検査処理部11は、入力された被検査ファイルを仮想ホストA_21,B_22上でそれぞれ実行させる。そして、各仮想ホストA_21,B_22の動作結果を監視し、この監視結果に基づいて被検査ファイルがウィルスに感染しているか否かを判断する。以下に、このウィルス検査方法について説明する。
【0028】
検査処理部11が監視対象とする仮想ホストの動作結果としては、各種考えられるが、ここでは2つの例を説明する。
(1)メール送信の監視によりウィルスを検知する方法
この方法では、各仮想ホストA_21,B_22に電子メールの送信プログラムをインストールし、この送信プログラムを実行可能なようにしておく。また、電子メールの宛先に使用可能なように、ダミーの電子メールアドレスを設定しておく。
次いで、検査処理部11は、被検査ファイルを仮想ホストA_21,B_22上でそれぞれ実行させて、仮想ホストA_21,B_22が電子メールを送信するか否かを監視する。
次いで、検査処理部11は、電子メールの送信を行った仮想ホストがあった場合に、被検査ファイルがウィルスに感染していると判断する。
この方法によれば、電子メールの添付ファイルを被検査ファイルとすることにより、該添付ファイルを媒体として感染を拡散させるウィルスを検知することができる。
【0029】
(2)ファイルの改ざんの監視によりウィルスを検知する方法
この方法では、各仮想ホストA_21,B_22上の標準状態におけるファイルの特徴値を予め求めておく。この特徴値としてはハッシュ値が利用可能である。
次いで、検査処理部11は、被検査ファイルを仮想ホストA_21,B_22上でそれぞれ実行させる。
次いで、検査処理部11は、各仮想ホストA_21,B_22上のファイルの特徴値を求め、この特徴値と標準状態における特徴値を比較する。
次いで、検査処理部11は、この比較の結果が不一致の場合に、被検査ファイルがウィルスに感染していると判断する。
【0030】
但し、特徴値を求めるファイルは、過去にウィルスによって改ざんが行われたファイルのと同じファイル拡張子を有するものに限定する。あるいは、改ざんによってコンピュータシステム上の不具合が引き起こされる虞のあるファイルに限定する。これにより、ウィルスによるものではなく、正常な処理によって内容が変更されるファイルについては、改ざん監視対象から除外できるので、ウィルスの誤検出を防止することができる。また、全てのファイルの特徴値(ハッシュ値)を求める必要が無いので、処理速度が向上する。
【0031】
なお、被検査ファイルがウィルスに感染していた場合、上記ウィルス検査により、仮想ホストA_21またはB_22はウィルスに感染してしまう。しかし、ホストエミュレータ20を再起動して仮想ホストA_21,B_22を再構築することにより、実ホストへの影響なく、且つ短時間で検査可能な状態に復帰することができる。
【0032】
また、検査処理部11は、ウィルスの影響が顕在化するように、仮想ホストA_21,B_22上で被検査ファイルを実行する際の実行条件を変化させる。例えば、仮想ホスト上の日時やメモリ使用量を変化させながら被検査ファイルを実行させる。あるいは複数のアプリケーションプログラムを起動させた状態で被検査ファイルの実行を行う。これにより、特定の実行条件下(例えば特定の日時)でのみ発病するウィルスであっても検知することができる。
【0033】
また、検査処理部11は、被検査ファイルが圧縮されている場合には、該圧縮の解凍を行いながら検査を行う。これにより、例えば電子メールの添付ファイルは圧縮して転送されることがしばしばなされるが、このように圧縮ファイルによって媒介される場合においてもウィルスの検知を行うことができる。
【0034】
次に、上述した図1のウィルス検査サーバ1を備えたメールゲートウェイシステムの実施例を説明する。図2、図3はメールゲートウェイシステム30の動作を説明するためのシーケンス図である。図2、図3に示すメールゲートウェイシステム30は、ウィルス検査サーバ1とメールサーバ31(メール転送手段)から構成される。メールサーバ31は、メールサービス利用者の端末40と外部ネットワークとの間で相互に電子メール(以下、単にメールと称する)を転送する機能を有する。但し、この転送の際に、メールサーバ31は、転送するメールの添付ファイルのウィルス検査をウィルス検査サーバ1へ依頼し、この検査結果に基づくメールの転送可否判断の結果に従って動作する。
【0035】
初めに、図2を参照して、送信者が端末40により添付ファイル付きメールを送信した際のウィルス検査に係る動作を説明する。先ず、送信者が端末40により添付ファイル付きメール101を送信する(ステップS1)。メールサーバ31は、添付ファイル付きメール101を受け取ると、この添付ファイル付きメール101をウィルス検査サーバ1へ提供してウィルス検査を依頼する(ステップS2)。
【0036】
次いで、ウィルス検査サーバ1は、添付ファイル付きメール101の添付ファイルを被検査ファイルとしてウィルス検査を実行し、この検査結果をメールサーバ31及び端末40へ通知する(ステップS3)。この通知が検査正常であり、添付ファイルがウィルスに感染していない場合に、メールサーバ31は、添付ファイル付きメール101を外部ネットワークへ転送する(ステップS4)。
【0037】
これにより、添付ファイルを媒体として感染を拡散させるウィルスが外部ネットワークへ流出することを防止することができる。
【0038】
次に、図3を参照して、メールサーバ31が外部ネットワークから添付ファイル付きメールを受信した際のウィルス検査に係る動作を説明する。先ず、メールサーバ31は、外部ネットワークから添付ファイル付きメール110を受信すると(ステップS11)、添付ファイル付きメール110をウィルス検査サーバ1へ提供してウィルス検査を依頼する(ステップS12)。
【0039】
次いで、ウィルス検査サーバ1は、添付ファイル付きメール111の添付ファイルを被検査ファイルとしてウィルス検査を実行し、この検査結果をメールサーバ31へ通知する(ステップS13)。ここで、ウィルス検査サーバ1は添付ファイルを保存しておく。
【0040】
次いで、メールサーバ31は、ウィルス検査結果の通知内容を記載した検査結果メール120を作成して受信者の端末40へ送信する(ステップS14)。この検査結果メール120には、図5または図6に示すように、添付ファイル付きメール110のメールヘッダ112及び本文113と、添付ファイルの動作検査結果121と、添付ファイル取得用URL(Uniform Resource Locator)122とが記載される。また、図6に示すように、さらに電子署名123を記載するようにしてもよい。添付ファイルの動作検査結果121及び添付ファイル取得用URL122及び電子署名123については、ウィルス検査サーバ1が作成してメールサーバ31へ提供する。
【0041】
添付ファイルの動作検査結果121は、ウィルス検査サーバ1で添付ファイルを実行した時の動作状況や検査内容を示すものである。動作検査結果121には、添付ファイルがウィルス感染済みであると判断した場合に、添付ファイル実行時にウィルスの挙動としてどのような動作が行われたのか、またウィルスを検知した検査項目や使用パターンファイル名などが示される。一方、添付ファイルがウィルス未感染であると判断した場合には、どの検査を実施したのかが示される。なお、検査項目の詳細(パターンファイルを使用する検査等)については後述する。
【0042】
添付ファイル取得用URL122は、ウィルス検査サーバ1に保存してある添付ファイルを取得するためのアドレスである。受信者は、端末40により、この添付ファイル取得用URL122を使用してウィルス検査サーバ1にアクセスし、該当する添付ファイルを取得することができる(ステップS15)。
【0043】
電子署名123は、検査結果メール120の正当性を証明するためのものである。ウィルス検査サーバ1は、この電子署名123によって当該検査結果メール120の内容を保証する。
【0044】
これにより、添付ファイルを媒体として感染を拡散させるウィルスが外部ネットワークから流入することを防止することができる。
【0045】
次に、図4を参照して、上述した図2,図3のメールゲートウェイシステム30におけるウィルス検査サーバ1の動作を説明する。図4は、メールゲートウェイシステム30において、図1の検査処理部11が行うウィルス検査処理の流れを示すフローチャートである。この図4に示すウィルス検査は、パターンマッチング検査とスタティックヒューリスティック検査とダイナミックヒューリスティック検査の3つの検査項目からなる。
【0046】
パターンマッチング検査とは、メールヘッダなどから明らかにウィルスであると判定できる要素をパターンマッチングにより検出して、ウィルスの検知を行うものである。このパターンマッチング検査は従来から行われており、本実施形態においても従前の方法で行う。また、スタティックヒューリスティック検査についても、従前の方法で行う。これらパターンマッチング検査及びスタティックヒューリスティック検査で用いる各パターンファイルは、予めウィルス検査サーバ1に設定されている。
【0047】
ダイナミックヒューリスティック検査については、上記図1を参照して説明した本実施形態のウィルス検査方法(メール送信監視によるウィルス検知、又はファイル改ざん監視によるウィルス検知)を使用して行う。
【0048】
図4において、検査処理部11は、メールサーバ31から添付ファイル付きメールを受け取ると、添付ファイルを取り出して保存する(ステップS21)。次いで、検査処理部11は、該添付ファイルに対してパターンマッチング検査を実施する(ステップS22)。この検査の結果、ウィルスを検知し、ウィルス感染済みと判断した場合にはステップS34へ進む(ステップS23)。一方、ウィルスを検知せず、ウィルス未感染と判断した場合には、さらにスタティックヒューリスティック検査を実施する(ステップS24)。
【0049】
この検査の結果、ウィルスを検知し、ウィルス感染済みと判断した場合にはステップS34へ進む(ステップS25)。一方、ウィルスを検知せず、ウィルス未感染と判断した場合には、さらにダイナミックヒューリスティック検査を実施する(ステップS26)。
【0050】
この検査の結果、ウィルスを検知し、ウィルス感染済みと判断した場合にはステップS30へ進む(ステップS27)。一方、ウィルスを検知せず、ウィルス未感染と判断した場合には、当該添付メールが送信メールに添付されたものか否かを判断する(ステップS28)。この判断の結果、送信メールであった場合に、検査処理部11は、メールサーバ31へウィルス検査の結果が正常である旨を通知し、メールの送信を許可する(ステップS29)。一方、送信メールでなかった場合にはステップS34へ進む。
【0051】
ステップS30では、検査処理部11は、今回のダイナミックヒューリスティック検査で検知したウィルスが各パターンファイルに含まれていない未知のものであるので、当該ウィルスを分析しその特徴を抽出する。次いで、抽出した特徴をフィードバックすることにより各パターンファイルを更新する(ステップS31)。例えば、メールヘッダ中の件名(subject)を抽出して、パターンマッチング検査用のパターンファイルに追加する。また、当該添付ファイルのデータに基づいてスタティックヒューリスティック検査用のパターンファイルを更新する。
【0052】
次いで、ステップS32で、当該添付ファイルが送信メールに添付されたものか否かを判断し、この判断の結果、送信メールであった場合に、検査処理部11は、メールサーバ31へウィルス検査の結果が異常である旨を通知してメールの送信を中止させ、この旨を送信者の端末40へ通知する(ステップS33)。一方、送信メールでなかった場合にはステップS34へ進む。
【0053】
ステップS34では、検査処理部11は、添付ファイルがウィルスに感染済みである旨をメールサーバ31へ通知して、検査結果メールにより受信者の端末40へ通知させる(ステップS34)。
【0054】
上述したメールゲートウェイシステム30の実施例では、先ず、パターンマッチング検査とスタティックヒューリスティック検査を実施し、これら検査でウィルスを検知できなかった添付ファイルのみに対して本実施形態のダイナミックヒューリスティック検査を実施する。これにより、仮想ホストを用いた検査(本実施形態のダイナミックヒューリスティック検査)は処理量が多く時間がかかるが、該検査対象となる添付ファイル数を削減させて、能率よくウィルス検査を実施し、ウィルス検査全体の処理速度を向上させることができる。また、ウィルス検査サーバ1にかかる負荷が軽減されるので、メールゲートウェイシステム全体の処理能力の向上を図ることも可能となる。
【0055】
さらに、本実施形態のダイナミックヒューリスティック検査によって検知された未知のウィルスについてその特徴を抽出し、該特徴をパターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映するので、ウィルス検査の精度を効率よく向上させることができる。
【0056】
また、本実施例では、外部ネットワークから受信した添付ファイルをウィルス検査サーバ1で一括保管及び管理し、ウィルスに感染済みの添付ファイルを利用者に直接転送しないようにしている。これにより、ウィルスに感染済みの添付ファイルを隔離し、利用者がウィルスに感染済み添付ファイルを誤って実行してしまうことを未然に防ぐことができる。
なお、ウィルス検査サーバ1で一括保管及び管理する添付ファイルは、ウィルス感染済みのファイルのみとしてもよく、あるいは全ての添付ファイルであってもよい。また、ウィルス感染済みの添付ファイルについては、利用者からのアクセスに制限を設けるようにするのが、添付ファイルの誤実行によるウィルス感染の防止の点から好ましい。
【0057】
なお、ウィルス検査サーバ1が検査結果メールを作成し、この検査結果メールをメールサーバ31を介してメールサービス利用者の端末へ送信するようにしてもよい。
【0058】
また、ウィルス検査サーバ1が行う各処理を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりウィルス検査処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0059】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0060】
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0061】
【発明の効果】
以上説明したように、本発明によれば、ホストエミュレータにより仮想ホストを構築し、該仮想ホスト上で被検査ファイルを実行することにより実ホストへのウィルス感染を防止することができる。さらに、仮想ホストの動作結果に基づいて被検査ファイルがコンピュータウィルスに感染しているか否かを判断するので、容易にウィルス検査を行うことができる。
【0063】
本発明によれば、仮想ホストの動作結果として所定ファイルの内容の変化があったか否かを監視するので、所定ファイルを改ざんするコンピュータウィルスを検知することができる。
【0064】
本発明によれば、実行条件を変化させて検査するので、特定の実行条件下でのみ発病するコンピュータウィルスであっても顕在化させて検知することができる。
【0065】
本発明によれば、圧縮済みのファイルであっても検査可能である。
【0066】
本発明によれば、仮想ホストを用いた検査の対象となる被検査ファイルの数が削減されるので、能率よくウィルス検査を実施することができ、ウィルス検査全体の処理速度を向上させることができる。
【0067】
本発明によれば、仮想ホストを用いた検査によって検知された未知のウィルスの特徴が、パターンマッチング検査用またはスタティックヒューリスティック検査用のパターンファイルに反映されるので、ウィルス検査の精度を効率よく向上させることができる。
【0068】
本発明によれば、検知したコンピュータウィルスの内容を電子メールにより即時に通知することが可能となり、ウィルス拡散防止に寄与することができる。
本発明によれば、電子署名により検査結果の内容の正当性が保証される。
【0069】
本発明によれば、コンピュータウィルス検査装置が、メール転送手段によって転送される電子メールの添付ファイルの検査結果に基づいて該電子メールの転送許可を行うので、電子メールの添付ファイルを媒体として感染するコンピュータウィルスの拡散を防止することができる。
【0070】
本発明によれば、コンピュータウィルスに感染済みの添付ファイルが隔離されるので、利用者がコンピュータウィルスに感染済み添付ファイルを誤って実行してしまうことを未然に防ぐことができる。
【0071】
本発明によれば、保管中の添付ファイルへのアクセス用通信アドレスが通知されるので、利用者は必要に応じて保管中の添付ファイルへアクセスすることができる。これにより、利用者の不用意な添付ファイルの実行を抑制し、コンピュータウィルスの感染を防止することができる。
【図面の簡単な説明】
【図1】 本発明の一実施形態によるウィルス検査サーバ(コンピュータウィルス検査装置)1の構成を示すブロック図である。
【図2】 図1に示すウィルス検査サーバ1を備えたメールゲートウェイシステム30の動作を説明するための第1のシーケンス図である。
【図3】 図1に示すウィルス検査サーバ1を備えたメールゲートウェイシステム30の動作を説明するための第2のシーケンス図である。
【図4】 メールゲートウェイシステム30において、図1の検査処理部11が行うウィルス検査処理の流れを示すフローチャートである。
【図5】 検査結果メールの第1の構成例を示す図である。
【図6】 検査結果メールの第2の構成例を示す図である。
【符号の説明】
1…ウィルス検査サーバ(コンピュータウィルス検査装置)、11…検査処理部、20…ホストエミュレータ、21,22…仮想ホスト、30…メールゲートウェイシステム、31…メールサーバ、40…端末、101,110添付ファイル付きメール、111…添付ファイル、120,120a,120b…検査結果メール
Claims (2)
- 実ホストのメモリ上に仮想ホストを構築するホストエミュレータと、
入力された被検査ファイルを前記仮想ホスト上で実行させて前記仮想ホストの動作結果を監視し、この監視結果に基づいて前記被検査ファイルがコンピュータウィルスに感染しているか否かを判断する検査処理手段と、
検査結果を通知する結果通知手段と、を具備し、
前記仮想ホスト上の標準状態における所定ファイルの特徴値を予め求めておき、
前記検査処理手段は、前記仮想ホスト上で前記被検査ファイルを実行後、前記所定ファイルの特徴値を求め、この特徴値と前記標準状態における特徴値とを比較し、不一致の場合に前記被検査ファイルがコンピュータウィルスに感染していると判断するものであり、
前記検査処理手段は、メモリ使用量を変化させながら被検査ファイルを実行させることを特徴とするコンピュータウィルス検査装置。 - 請求項1に記載のコンピュータウィルス検査装置と、
メールサービス利用者の端末と外部ネットワークとの間で相互に電子メールを転送するメール転送手段とから構成され、
前記メール転送手段は、転送する電子メールの添付ファイルのコンピュータウィルス検査を前記コンピュータウィルス検査装置へ依頼し、
前記コンピュータウィルス検査装置は、この検査によりコンピュータウィルスが未検知であった場合に前記電子メールの転送を許可し、コンピュータウィルスを検知した場合には前記電子メールの少なくとも添付ファイルの転送を許可しない
ことを特徴とするメールゲートウェイシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002190707A JP4145582B2 (ja) | 2002-06-28 | 2002-06-28 | コンピュータウィルス検査装置およびメールゲートウェイシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002190707A JP4145582B2 (ja) | 2002-06-28 | 2002-06-28 | コンピュータウィルス検査装置およびメールゲートウェイシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004038273A JP2004038273A (ja) | 2004-02-05 |
| JP4145582B2 true JP4145582B2 (ja) | 2008-09-03 |
Family
ID=31700558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002190707A Expired - Fee Related JP4145582B2 (ja) | 2002-06-28 | 2002-06-28 | コンピュータウィルス検査装置およびメールゲートウェイシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4145582B2 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7657935B2 (en) | 2001-08-16 | 2010-02-02 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
| US9306966B2 (en) | 2001-12-14 | 2016-04-05 | The Trustees Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
| US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
| KR100945247B1 (ko) * | 2007-10-04 | 2010-03-03 | 한국전자통신연구원 | 가상 환경을 이용한 비실행 파일 내의 악성 코드 분석 방법및 장치 |
| US8196203B2 (en) * | 2008-09-25 | 2012-06-05 | Symantec Corporation | Method and apparatus for determining software trustworthiness |
| JP5345492B2 (ja) * | 2009-09-29 | 2013-11-20 | 日本電信電話株式会社 | Dnsトラフィックデータを利用したボット感染者検知方法 |
| US8489534B2 (en) | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
| JP5177205B2 (ja) * | 2010-10-29 | 2013-04-03 | 富士通株式会社 | ソフトウェアの改竄防止装置及び改竄防止方法 |
| KR101262228B1 (ko) * | 2011-05-23 | 2013-05-15 | 한국전자통신연구원 | 문서기반 악성코드 탐지 장치 및 방법 |
| CN103034805B (zh) * | 2011-09-30 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 多引擎病毒查杀方法和装置 |
| TWI619038B (zh) | 2011-11-07 | 2018-03-21 | Admedec Co Ltd | Safety box |
| TWI543011B (zh) * | 2012-01-10 | 2016-07-21 | Verint Systems Ltd | Method and system for extracting digital fingerprints of malicious files |
| KR101244731B1 (ko) * | 2012-09-11 | 2013-03-18 | 주식회사 안랩 | 디버그 이벤트를 이용한 악성 쉘 코드 탐지 장치 및 방법 |
| KR101434179B1 (ko) * | 2012-11-13 | 2014-08-27 | 한국인터넷진흥원 | 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법 |
| US10181033B2 (en) | 2013-12-30 | 2019-01-15 | Nokia Technologies Oy | Method and apparatus for malware detection |
| US10032027B2 (en) | 2014-07-29 | 2018-07-24 | Digital Arts Inc. | Information processing apparatus and program for executing an electronic data in an execution environment |
| US11368472B2 (en) | 2016-12-28 | 2022-06-21 | Digital Arts Inc. | Information processing device and program |
| IL263181A (en) * | 2018-11-21 | 2020-05-31 | Kazuar Advanced Tech Ltd | A method and system for secure communication |
| US20240152615A1 (en) * | 2021-03-16 | 2024-05-09 | Nippon Telegraph And Telephone Corporation | Device for extracting trace of act, method for extracting trace of act, and program for extracting trace of act |
-
2002
- 2002-06-28 JP JP2002190707A patent/JP4145582B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004038273A (ja) | 2004-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4145582B2 (ja) | コンピュータウィルス検査装置およびメールゲートウェイシステム | |
| US11960605B2 (en) | Dynamic analysis techniques for applications | |
| US11604878B2 (en) | Dynamic analysis techniques for applications | |
| US10469512B1 (en) | Optimized resource allocation for virtual machines within a malware content detection system | |
| US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| US10474826B2 (en) | Methods and apparatuses for improved app security testing | |
| US8166544B2 (en) | Network-based infection detection using host slowdown | |
| US10505975B2 (en) | Automatic repair of corrupt files for a detonation engine | |
| US12026256B2 (en) | Context-based analysis of applications | |
| US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
| US11880458B2 (en) | Malware detection based on user interactions | |
| US10771477B2 (en) | Mitigating communications and control attempts | |
| WO2004075060A1 (ja) | コンピュータウィルス検出装置 | |
| Muhtadi et al. | Analysis of malware impact on network traffic using behavior-based detection technique | |
| CN108959917A (zh) | 一种电子邮件检测的方法、装置、设备及可读存储介质 | |
| US10970392B2 (en) | Grouping application components for classification and malware detection | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| JP2006011552A (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| JP2016115072A (ja) | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 | |
| Zeltser | Analyzing malicious software | |
| Zuhairi et al. | A Complete Behavioral Measurement and Reporting: Optimized for Mobile Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050420 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050421 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070221 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070410 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070611 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070906 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080318 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080610 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080618 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110627 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140627 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |