JP4159100B2 - 情報処理装置による通信を制御する方法およびプログラム - Google Patents
情報処理装置による通信を制御する方法およびプログラム Download PDFInfo
- Publication number
- JP4159100B2 JP4159100B2 JP2006105044A JP2006105044A JP4159100B2 JP 4159100 B2 JP4159100 B2 JP 4159100B2 JP 2006105044 A JP2006105044 A JP 2006105044A JP 2006105044 A JP2006105044 A JP 2006105044A JP 4159100 B2 JP4159100 B2 JP 4159100B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information processing
- task
- detected
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 144
- 238000004891 communication Methods 0.000 title claims description 142
- 230000010365 information processing Effects 0.000 title claims description 62
- 230000008569 process Effects 0.000 claims description 137
- 238000001514 detection method Methods 0.000 claims description 95
- 238000012545 processing Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 8
- 230000000694 effects Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2147—Locking files
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- User Interface Of Digital Computer (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、情報処理装置による通信を制御する方法に関する。特に、本発明は、通信による情報漏洩を防止する方法に関する。
近年、利用者の意に反して情報処理装置に侵入し、利用者の望まない活動を行うマルウェアの存在が知られている。マルウェアの1種であるスパイウェアは、情報処理装置に進入して記憶装置から情報を読み出して外部に送信する。情報処理装置がスパイウェアに侵入されると、記憶装置に記憶された個人情報や機密情報が第三者に盗み出されて悪用されたり、不特定の利用者に公開されてしまう恐れがある。
従来、このようなマルウェアの活動を防止するセキュリティソフトウェアが開発されている(非特許文献1から3を参照。)。セキュリティソフトウェアは、マルウェアの実行ファイルを識別するためのシグネチャのリストを有している。シグネチャとは、例えば、実行ファイルから生成されたハッシュ値である。セキュリティソフトウェアは、疑わしい実行ファイルをシグネチャのリストと比較し、一致すればその実行ファイルをマルウェアと判断する。次々と開発されるマルウェアに対応するために、シグネチャのリストを定期的に更新することも行われている。
また、インターネットバンキングでは、予め顧客に配布した専用のソフトウェアによってのみサーバに対するアクセスを許可することが試みられている(非特許文献4を参照。)。これにより、ウェブブラウザなどの汎用のソフトウェアから情報を収集するマルウェアの活動を防止できる。また、近年では、個人情報漏洩防止のため、パーソナルファイアウォールが用いられている。パーソナルファイアウォールによれば、利用者は、通信を許可するアプリケーションプログラム、通信プロトコル、ポート番号、および、通信先のウェブサイトを設定できる。
Spybot. http://spybot.eon.net.au/
AD-AWARE. Lavesoft. http://www.lavasoftusa.com/
ノートン・パーソナル・セキュリティ 2005 . Symantec. http://www.symantec.com/region/jp/products/npf/features.html
ソフトウェアキーボードによるスパイウェア対策.ソニーバンク. http://www.sonybank.net/img/PR050801_sb.pdf
Information about W32/Antinny.K, Symantec.http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
しかしながら、セキュリティソフトウェアのシグネチャのリストを定期的に更新した場合であっても、全てのマルウェアについてのシグネチャを予め完全に準備するのは難しい。例えば、シグネチャのリストを更新する前に最新のマルウェアに侵入されても、それを適切に検出できない場合がある。更に、マルウェアがその実行コードを自ら変更する場合もある。このような場合には、シグネチャのリストを最新に保つだけでは適切にマルウェアを検出できない。
なお、最近では、P2P(ピア・ツー・ピア)システムの利用者から個人情報を盗み出して第三者に公開するマルウェアが問題となっている(非特許文献5を参照。)。P2Pシステムにおいて、利用者は、第三者に公開する公開フォルダを設定する。この公開フォルダに含まれるファイルは、他の利用者の要求に応じて自由に読み出されることとなる。ある種のマルウェアは、利用者の個人情報を情報処理装置全体から探し出し、探し出したこの個人情報をこの公開フォルダに記録してしまう。
このようなマルウェアは、それ自体で通信を行わない。このため、パーソナルファイアウォールや専用ソフトウェアを用いても、通信するソフトウェアがマルウェアではないので、情報漏洩を効果的に防止できない場合があった。
そこで本発明は、上記の課題を解決することのできる情報処理装置、方法およびプログラムを提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
上記課題を解決するために、本発明の第1の形態においては、入力デバイスと、通信デバイスとを有する情報処理装置であって、入力デバイスが受けた操作を検出する操作検出部と、当該情報処理装置内で動作するタスクから通信デバイスに対する通信要求を検出する要求検出部と、入力デバイスが操作を受けてから通信デバイスが通信要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、検出された操作と検出された通信要求とが関連すると判断する関連判断部と、検出された操作と検出された通信要求との関連が無いと判断されたことを条件に、通信要求に応じた通信デバイスによる通信を禁止する制御部とを備える情報処理装置を提供する。また、当該情報処理装置を制御する方法およびプログラムを提供する。 なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本発明によれば、スパイウェアなどによる個人情報や機密情報の漏洩を防止できる。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、情報処理装置10の全体構成を示す。情報処理装置10は、CPU周辺部と、入出力部と、レガシー入出力部とを備える。CPU周辺部は、ホストコントローラ1082により相互に接続されるCPU1000、RAM1020、及びグラフィックコントローラ1075を有する。入出力部は、入出力コントローラ1084によりホストコントローラ1082に接続される通信デバイス1030、入力デバイス1045、ハードディスクドライブ1040、及びCD−ROMドライブ1060を有する。レガシー入出力部は、入出力コントローラ1084に接続されるBIOS1010、フレキシブルディスクドライブ1050、及び入出力チップ1070を有する。
ホストコントローラ1082は、RAM1020と、高い転送レートでRAM1020をアクセスするCPU1000及びグラフィックコントローラ1075とを接続する。CPU1000は、BIOS1010及びRAM1020に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィックコントローラ1075は、CPU1000等がRAM1020内に設けたフレームバッファ上に生成する画像データを取得し、表示装置1080上に表示させる。表示装置1080は、本発明に係る表示部の一例であり、CPU1000による処理結果を表示する。具体的には、表示装置1080は、マルチ・ウィンドウシステムを実現するべく、それぞれが処理結果を表示すると共に操作の入力を受け付ける複数のウィンドウを表示してもよい。
入出力コントローラ1084は、ホストコントローラ1082と、比較的高速な入出力装置である通信デバイス1030、ハードディスクドライブ1040、入力デバイス1045、及びCD−ROMドライブ1060を接続する。通信デバイス1030は、ネットワークを介して外部の装置と通信する。ハードディスクドライブ1040は、本発明に係る記憶装置の一例であり、情報処理装置10が使用するプログラム及びデータを格納する。入力デバイス1045は、利用者から受けた操作に応じて操作内容を入出力チップ1070に通知する。例えば入力デバイス1045はキーボードやマウスであり、押下されたキーのIDやクリックされたマウスのボタンのIDなどを入出力チップ1070に通知してもよい。CD−ROMドライブ1060は、CD−ROM1095からプログラム又はデータを読み取り、RAM1020又はハードディスクドライブ1040に提供する。
入出力コントローラ1084には、BIOS1010と、フレキシブルディスクドライブ1050や入出力チップ1070等の比較的低速な入出力装置とが接続される。BIOS1010は、情報処理装置10の起動時にCPU1000が実行するブートプログラムや、情報処理装置10のハードウェアに依存するプログラム等を格納する。フレキシブルディスクドライブ1050は、フレキシブルディスク1090からプログラム又はデータを読み取り、入出力チップ1070を介してRAM1020またはハードディスクドライブ1040に提供する。
情報処理装置10に提供されるプログラムは、フレキシブルディスク1090、CD−ROM1095、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、入出力チップ1070及び/又は入出力コントローラ1084を介して、記録媒体から読み出され情報処理装置10にインストールされて実行される。プログラムが情報処理装置10等に働きかけて行わせる動作は、以降の図2から図6を参照して説明する。
以上に示したプログラムは、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク1090、CD−ROM1095の他に、DVDやPD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムを情報処理装置10に提供してもよい。
図2は、ハードディスクドライブ1040の構成例を示す。ハードディスクドライブ1040は、共有領域200と、許可情報記録領域210とを有する。共有領域200は、他の情報処理装置との間でデータの授受が可能に設定されている。例えば、共有領域200は、CPU1000上で動作するプロセスからアクセスを受ける。また、共有領域200は、通信デバイス1030を経由して外部に設けられた他の情報処理装置からアクセスを受ける。一例として、共有領域200は、ウィンドウズ(登録商標)の共有フォルダ機能によって他の情報処理装置からのアクセスを可能とした領域であってもよい。他の例として、共有領域200は、P2Pソフトウェア(例えばウィニー)などによって、不特定多数の情報処理装置からのアクセスを可能とした領域であってもよい。即ち、共有領域200に記録されたデータは、情報処理装置10の利用者による明示的な通信の指示が無くても、他の利用者に管理された他の情報処理装置に送信され得る。
許可情報記録領域210は、本発明に係る許可情報記録部として機能する。許可情報記録領域210は、入力デバイス1045が受けた操作との関連に関わらず通信デバイス1030を用いた通信を許可するプロセスの識別情報を記録する。また、許可情報記録領域210は、入力デバイス1045が受けた操作との関連に関わらずハードディスクドライブ1040に対するアクセスを許可するプロセスの識別情報を記録する。即ち後述する制御部350は、入力デバイス1045が操作を受けていないとしても、許可情報記録領域210に記録された識別情報のプロセスが発生させた通信要求に応じた通信を許可する。同様に、制御部350は、許可情報記録領域210に記録された識別情報のプロセスが発生させたアクセス要求に応じたアクセスを許可する。ここでプロセスの識別情報とは、例えば、そのプロセスによって実行させるプログラムを格納した実行ファイルをバイナリデータとみなした場合のハッシュ値であることが望ましい。これに代えて、プロセスの識別情報とは、例えばプロセス番号であってもよいし、そのプロセスを実行するための実行ファイルのパスであってもよいし、その実行ファイルを実行させるためのコマンド(コマンドに与えるオプションを含む)であってもよい。利用者は、例えば、自己の信頼できるプロセスの識別情報を予め許可情報記録領域210に記録しておくことで、そのプロセスを不正アクセス判断の対象から除外することができる。
図3は、CPU1000の機能構成を示す。CPU1000は、予めハードディスクドライブ1040などにインストールされたプログラムによって、プロセス30−1と、プロセス30−2と、オペレーティングシステム35と、第1操作検出部300と、第2操作検出部320と、第3操作検出部325−1〜2と、要求検出部330と、関連判断部340と、制御部350と、許可情報追加部360として機能する。プロセス30−1は、本発明に係る第1のタスクの一例であり、入力デバイス1045が受けた操作の内容を示すメッセージをオペレーティングシステム35から受信する。一方で、プロセス30−2は、本発明に係る第2のタスクの一例であり、オペレーティングシステム35を経由して通信要求を通信デバイス1030に送信する。また、プロセス30−1〜2は互いにプロセス間通信を行ってもよい。また、本発明に係るそれぞれのタスクはプロセスではなくスレッドであってもよい。なお、図3においてプロセス30−1およびプロセス30−2は別個のプロセスであるが、プロセス30−1およびプロセス30−2は同一であってもよい。
第1操作検出部300、第2操作検出部320、および、第3操作検出部325−1〜2は、本発明に係る操作検出部として機能し、入力デバイス1045が受けた操作、例えばキーボードのキー入力操作、または、マウスのクリックやドラッグ操作を検出する。具体的には、第1操作検出部300は、プロセス30−1が動作するメモリ空間内で動作し、入力デバイス1045が受けた操作の内容を示すメッセージをオペレーティングシステム35からプロセス30−1に転送される入力デバイス1045が受けた操作の内容を示すメッセージをフックすることにより実現される。操作の内容を示すメッセージとは、例えばウィンドウズ(登録商標)においては、入力デバイス1045であるキーボードのキーが押下されたことを示すWM_KEYDOWN、または、入力デバイス1045であるマウスの左ボタンが押下されたことを示すWM_LBUTTONDOWNなどである。
第1操作検出部300は、これらのメッセージがオペレーティングシステム35からプロセス30−1に送信される場合に動作を開始する。動作を開始すると、第1操作検出部300は、第2操作検出部320に対し入力デバイス1045が実際に利用者から操作を受けたことを検証させる。第2操作検出部320は、カーネル空間で動作するデバイスドライバによって実現される。第2操作検出部320は、入力デバイス1045が受けた操作の内容を示すメッセージがオペレーティングシステム35からプロセス30−1に送信される場合に、入力デバイス1045が実際に操作を受けたかを検出する。例えば第2操作検出部320は、擬似キーボードデバイスドライバによるキー操作エミュレーションによるキー操作は、入力デバイス1045が操作を受けたと判断しない。これを実現するために、例えば、第2操作検出部320は、キーボードやマウスなどの入力デバイス1045のデバイスドライバと同一階層に属する他のデバイスドライバを検出する。そして、第2操作検出部320は、検出されたデバイスドライバが予め定められた正規のデバイスドライバで無い場合には、入力デバイス1045が操作を受けたと判断しない。このように、デバイスドライバの階層を検査することで操作検出の精度を高めてもよい。
他の例として、第1操作検出部310および第2操作検出部320は、入力デバイス1045が操作を受けてから、当該操作の内容が何れかのプロセスに入力されるまでに経過した時間が予め定められた基準期間以下であることを条件に、入力デバイス1045が操作を受けたと判断してもよい。具体的には、第2操作検出部320は、まず、入力デバイス1045が実際に操作を受けた時刻を記憶装置に記憶する。そして、第1操作検出部310は、その操作内容を示すメッセージがプロセス30−1に入力された時刻と、記憶装置に記憶していた時刻との差分を計算することで、これらの時刻の間に経過した時間を計測する。そして、第1操作検出部310および第2操作検出部320は、計測したこの時間が予め定められた基準以下であることを条件に、入力デバイス1045が操作を受けたと判断する。これにより、メッセージの偽造などに関わらず、実際に受けた可能性の高い操作の内容のみをメッセージとしてプロセスに対し送信することができ、通信やアクセスが利用者の操作と関連あるかを精度良く判断できる。
第2操作検出部320は、入力デバイス1045が操作を受けることなくプロセス30−1に対して操作の内容を示すメッセージが入力されている場合には、入力デバイス1045が操作を受けたとは判断しない。例えば、キーボード操作をソフトウェアによってエミュレートする擬似キーボードデバイスドライバがプロセス30−1に対しメッセージを送信しようとしている場合には、第2操作検出部320は、入力デバイス1045が操作を受けたとは判断しない。入力デバイス1045が操作を受けたと判断された場合には、第1操作検出部300は、その操作の内容を示すメッセージをそのままプロセス30−1に送信する。また、第1操作検出部300は、そのメッセージを受信した時刻などの情報を関連判断部340に通知する。
第3操作検出部325−1は、プロセス30−1に対応して設けられ、第3操作検出部325−2は、プロセス30−2に対応して設けられる。第3操作検出部325−1〜2のそれぞれは、対応するプロセスからオペレーティングシステム35に対してキー操作をエミュレートする要求が発生した場合に動作する。第3操作検出部325−1〜2のそれぞれは、対応するプロセスからオペレーティングシステム35に対してキー操作のエミュレートを要求するAPI(Application Programming Interface)をフックすることにより実現される。これは、例えば、ウィンドウズ(登録商標)におけるSendInput関数のようなキー操作をエミュレートする関数をフックし、呼び出されていないことを確認することで実現できる。第3操作検出部325−1〜2のそれぞれは、オペレーティングシステム35に対するキー操作エミュレート要求を検出した場合、当該キー操作エミュレート要求を破棄する(API呼び出しを失敗させる)。ただし、遠隔操作を実現する予め定められたプロセスなどに限って当該要求を許可してもよい。即ち、第3操作検出部325−1〜2のそれぞれは、入力デバイス1045が操作を受けていない場合であっても、情報処理装置10の遠隔操作を制御する予め定められたプロセスの処理に基づき他のプロセスに当該操作の内容が入力された場合には、入力デバイス1045が操作を受けたと判断してよい。
要求検出部330、関連判断部340、制御部350および許可情報追加部360は、プロセス30−2が動作するメモリ空間で動作する。要求検出部330は、CPU1000によって実行される何れかのプロセス(たとえばプロセス30−2)から通信デバイス1030に対する通信要求を検出する。また、要求検出部330は、CPU1000によって実行される何れかのプロセス(たとえばプロセス30−2)からハードディスクドライブ1040に対するアクセス要求を検出する。具体的には、要求検出部330は、プロセス30−2が通信要求を送信するためのAPIおよびプロセス30−1がアクセス要求を送信するためのAPIをフックすることにより実現される。通信要求を送信するためのAPIとは、例えばウィンドウズ(登録商標)においては、UDPによるデータ送信を要求するsendto、TCPによるデータ送信を要求するsend、TCPによるデータ受信を要求するrecv、UDPによるデータ受信を要求するrecvfromなどである。また、アクセス要求を送信するためのAPIとは、例えばウィンドウズ(登録商標)においては、ファイルからのデータ読出を要求するReadFileまたはファイルの新規作成を要求するCreateFileなどである。
関連判断部340は、第1操作検出部300によって検出された操作と、要求検出部330によって検出された通信要求との関連を判断する。また、関連判断部340は、第1操作検出部300によって検出された操作と、要求検出部330によって検出されたアクセス要求との関連を判断する。例えば、関連判断部340は、入力デバイス1045が操作を受けてから通信デバイス1030が通信要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、検出されたその操作と検出されたその通信要求とが関連すると判断してもよい。同様に、関連判断部340は、入力デバイス1045が操作を受けてからハードディスクドライブ1040がアクセス要求を受けるまでの期間がこの基準期間よりも短いことを条件に、検出されたその操作と検出されたそのアクセス要求とが関連すると判断してもよい。
好ましくは、関連判断部340は、プロセス30−1とプロセス30−2との関係に更に基づいて、検出されたその操作と検出されたその通信要求またはアクセス要求との関連を判断する。具体的には、関連判断部340は、プロセス30−1とプロセス30−2とが同一であることを更に条件として、検出されたこの操作と検出されたこの通信要求またはアクセス要求とが関連すると判断してもよい。更に、関連判断部340は、プロセス30−1が、直接または間接に、プロセス30−2と通信していることを条件に、検出されたこの操作と検出されたこの通信要求とが関連すると判断してもよい。ここで、「プロセス30−1が間接にプロセス30−2と通信している」とは、プロセス30−1が他の仲介プロセスと通信し、当該他の仲介プロセスがプロセス30−2と通信している場合をいう。仲介プロセスは複数であってもよい。他の例として、関連判断部340は、プロセス30−1を直接にまたは間接に生成した祖先プロセスと、プロセス30−2を直接にまたは間接に生成した祖先プロセスとが共通することを条件に、検出された当該操作と検出された当該通信要求またはアクセス要求とが関連すると判断してもよい。ここで、「あるプロセスを直接または間接に生成する」とは、そのプロセスを子プロセスとして生成すること、または、そのプロセスを子孫プロセスとし、その子孫プロセスを直接または間接に生成する子プロセスを生成することをいう。例えば、関連判断部340は、プロセス30−1およびプロセス30−2の何れもが共通の親プロセスから生成されたことを更に条件として、検出された当該操作と検出された当該通信要求またはアクセス要求とが関連すると判断してもよい。
制御部350は、第1操作検出部300および第2操作検出部320によって検出された操作と、要求検出部330によって検出された通信要求との関連が無いことを条件に、その通信要求に応じた通信デバイス1030による通信を禁止し、関連があることを条件に、その通信要求に応じた通信を許可する。同様に、制御部350は、第1操作検出部300および第2操作検出部320によって検出された操作と、要求検出部330によって検出されたアクセス要求との関連が無いことを条件に、そのアクセス要求に応じたハードディスクドライブ1040に対するアクセスを禁止し、関連があることを条件に、そのアクセス要求に応じたアクセスを許可する。具体的には、関連があると判断されれば、制御部350は、要求検出部330においてフックしたAPIをそのまま実行させる。
但し、制御部350は、許可情報記録領域210に記録された識別情報のプロセスが発生させた通信要求またはアクセス要求については、操作との関連に関わらず、当該通信要求またはアクセス要求に基づく通信またはアクセスを許可する。また、制御部350は、操作との関連がないとして通信またはアクセスを禁止した場合には、情報処理装置10の利用者に対しその通信またはアクセスを許可してよいかを問合せてもよい。問い合わせは、例えば表示装置1080の画面上にダイアログボックスを表示することにより行われる。ダイアログボックスには、「プロセスXXから不正の恐れが高い通信が要求されました。この通信を許可してもよろしいですか?」といった注意を喚起するメッセージとともに、通信を許可すべきまたは禁止すべき旨を示すボタンが表示される。これにより、不正の恐れが高い通信については利用者の判断を仰ぐことができ、機密情報や個人情報の漏洩を未然に防止できる。
許可情報追加部360は、関連判断部340によって、操作が通信要求またはアクセス要求に関連すると判断されたことに応じ、当該通信要求またはアクセス要求を発生させたプロセスの識別情報を許可情報記録領域210に記録する。この結果、操作と関連するアクセスを行っていると一旦判断されたプロセスはその後の通信またはアクセスを自由に行うことができる。これにより、不正な処理を行う可能性の低いプロセスについてはその後の処理を省略してCPU1000の負荷を低減でき、また、ダイアログボックスを通じた利用者の操作負担を軽減できる。
以上、図3を参照してプロセス30−1が受けた操作とプロセス30−2が発した通信要求との関連を判断する例について説明したが、プロセス30−1およびプロセス30−2の一方は他方の役割を兼ねてもよい。即ち、プロセス30−1は操作を受けるのみならず通信要求を発し、プロセス30−2は通信要求を発するのみならず操作を受けてもよい。この場合には、第1操作検出部300とは別個にプロセス30−2に対応して第1操作検出部が設けられる。また、要求検出部330、関連判断部340、制御部350および許可情報追加部360とは別個にプロセス30−1に対応して要求検出部、関連判断部、制御部および許可情報追加部が設けられる。このような形態も本発明の特許請求の範囲に含まれることは明らかである。
図4は、入力デバイス1045に対する操作が検出される処理のフローチャートを示す。第1操作検出部300は、入力デバイス1045が受けた操作を検出する(S400)。好ましくは、第1操作検出部300は、入力デバイス1045に対するあらゆる操作を検出するのではなく、予め定められた操作のみを検出してもよい。この予め定められた操作とは、プロセス30−1などのプロセスに対し入力に基づく処理の開始を指示する操作である。例えば、この予め定められた操作は、表示装置1080が表示した文字入力欄に対するエンター(Enter)キーの入力操作である。他の例として、予め定められた操作は、表示装置1080が表示したアイコンに対するマウスのダブルクリック操作であってもよいし、予め定められたショートカットキーの操作であってもよい。このように特定の操作のみを検出することで、操作の検出に応じたその後の処理の回数を減少でき、CPU1000の処理負荷を低下させることができる。
第1操作検出部300、第2操作検出部320および第3操作検出部325−1〜2のそれぞれは、検出した操作が、単に操作内容を示すメッセージがプロセス30−1に入力されたのではなく入力デバイス1045が直接に操作されたかを判断する(S410)。直接に操作されていない場合には(S410:NO)、第1操作検出部300、第2操作検出部320および第3操作検出部325−1〜2は、情報処理装置10の遠隔操作を制御する予め定められたプロセスに当該メッセージが入力されたか否かを判断する(S420)。遠隔操作を制御する予め定められたプロセスとは、例えば、他の情報処理装置に対し情報処理装置10の表示画面のイメージを送信し、当該他の情報処理装置が受けた操作内容を示すメッセージを情報処理装置10内のプロセスに送信するプロセスである。一例としてこのプロセスはウィンドウズ(登録商標)においてターミナルサーバ機能を実現するためのプロセスであり、そのプロセスの実行ファイル名はsvchost.exeである。
入力デバイス1045が直接操作されておらず(S410:NO)、かつ、操作内容を示すメッセージが当該予め定められたプロセスから入力されたものでなければ(S420:NO)、第1操作検出部300、第2操作検出部320および第3操作検出部325−1〜2は本図の処理を終了する。このとき、第3操作検出部325−1〜2は、キー操作エミュレートなどの要求を破棄し、そのような要求を実現するAPI呼び出しを失敗させてもよい。一方、入力デバイス1045が直接操作され(S410:YES)、または、操作内容を示すメッセージが当該予め定められたプロセスから入力されたものであれば(S420:YES)、第1操作検出部300、第2操作検出部320および第3操作検出部325−1〜2は引き続き以下の処理を行う。まず、第1操作検出部300は、メッセージを受信するプロセス(即ちプロセス30−1)が表示装置1080の画面上に表示した何れかのウィンドウを保持しているかを判断する(S430)。このウィンドウは、プロセス30−1がその処理結果を表示し、または、プロセス30−1に対する入力を受け付けるためのものである。
ウィンドウを保持している場合には(S430:YES)、第1操作検出部300は、入力デバイス1045が操作を受け付けた時点でそのウィンドウがフォアグラウンドに設定されているかを判断する(S440)。フォアグラウンドのウィンドウとは、例えば、表示装置1080の画面上に表示された他のウィンドウを隠蔽するように最も手前側に表示されたウィンドウをいう。フォアグラウンドに設定されていない場合には、第1操作検出部300は、そのウィンドウが、入力デバイス1045であるマウスのドラッグ操作のドラッグ先のウィンドウであるか否かを判断する(S450)。このウィンドウがフォアグラウンドに設定されておらず(S440:NO))、かつ、ドラッグ先でもないことを条件に(S450:NO)、第1操作検出部300は、本図の処理を終了する。
一方、このウィンドウがフォアグラウンドに設定されており(S440:YES)、または、このウィンドウがドラッグ操作のドラッグ先であることを条件に(S450:YES)、第1操作検出部300は、入力デバイス1045が受けた操作を検出するべく次の処理を行う。まず、第1操作検出部300は、操作内容を示すメッセージを入力した当該プロセス(例えばプロセス30−1)の識別情報を一時的な記憶領域に記憶する(S460)。この識別情報はS650において後述するプロセス間の関係判断に用いられる。そして、第1操作検出部300は、入力デバイス1045が受けた操作を検出した検出時刻を一時的な記憶領域に記憶する(S470)。この検出時刻はS630において後述する経過時間の計算に用いられる。
図5は、プロセスから要求された通信またはアクセスが制御される処理のフローチャートを示す。要求検出部330は、CPU1000によって実行される何れかのプロセス(たとえばプロセス30−2)から通信デバイス1030に対する通信要求、または、プロセス30−2からハードディスクドライブ1040に対するアクセス要求を検出する(S500)。通信要求またはアクセス要求を検出したことに応じ(S500:YES)、制御部350は、これらの要求を発生させたプロセスが、通信またはアクセスの予め許可されたプロセスであるかを判断する(S510)。この判断は、このプロセスの識別情報が許可情報記録領域210に記録されているか否かによって行われる。許可されたプロセスであれば、制御部350はS550に処理を移して通信またはアクセスを許可する(S550)。
通信またはアクセスの許可されていないプロセスである場合には、関連判断部340は以下の処理を行う。まず、関連判断部340は、S400において検出された操作と、S500において検出された通信またはアクセスの要求との関連を判断する(S520)。関連が無いことを条件に(S530:NO)、制御部350は、通信要求に応じた通信、または、アクセス要求に応じたハードディスクドライブ1040に対するアクセスを禁止する(S560)。これに先立ち、制御部350は、通信またはアクセスを禁止するべきかを利用者に問い合わせ、利用者の同意を条件に通信またはアクセスを禁止してもよい。通信またはアクセスを禁止する場合には、更に、制御部350は、利用者に対し警告を発してもよいし、通信要求を送信するAPIを失敗状態で終了させてもよいし、通信要求を発生させたプロセスを強制的に停止させてもよい。これに加えて制御部350は、当該プロセスの実行ファイルをハードディスクドライブ1040から削除してもよい。
一方で、関連があることを条件に(S530:YES)、許可情報追加部360は、当該通信要求またはアクセス要求を発生させたプロセスの識別情報を許可情報記録領域210に記録する(S540)。そして、制御部350は、当該プロセスによる通信またはアクセスを許可する(S550)。
図6は、図5のS520における処理の詳細を示す。関連判断部340は、S400において操作が検出されてからS500において要求が検出されるまでに経過した期間を算出する(S630)。そして、関連判断部340は、算出されたこの期間が予め定められた基準期間内であるかを判断する(S640)。算出されたこの期間が基準期間内でなければ(S640:NO)、関連判断部340は、検出された操作と検出された要求とが関連しないと判断する(S670)。一方で、算出されたこの期間が基準期間内であれば(S640:YES)、関連判断部340は、操作内容を示すメッセージを受信するプロセス30−1と要求を発したプロセス30−2とが関連するかを判断する(S650)。
例えば、関連判断部340は、プロセス30−1とプロセス30−2とが同一であるかを判断してもよいし、プロセス30−1が、直接または間接に、プロセス30−2と通信しているかを判断してもよい。更に、関連判断部340は、プロセス30−1およびプロセス30−2の何れもが共通の親プロセスから生成されたかを判断してもよい。プロセス30−1とプロセス30−2とが関連することを条件に(S650:YES)、関連判断部340は、検出した操作と検出した要求とが関連すると判断する(S660)。一方、プロセス30−1とプロセス30−2とが関連しないことを条件に(S650:NO)、関連判断部340は、検出した操作と検出した要求とが関連しないと判断する(S670)。
以上、図1から図6を参照して説明したように、本実施形態に係る情報処理装置10によれば、利用者による操作と関連がある通信やディスクアクセスのみを許可することにより、データの不正な持ち出しなどを行うマルウェアの活動を効果的に防止できる。関連の判断には操作と通信要求との間の経過時間やプロセス間の関係を重畳的に用いることで、判断の精度を高めることができる。このような機能は従来のウィルス対策ソフトウェアの代替手段として、または、従来のウィルス対策ソフトウェアと組み合わせて利用でき、スパイウェアなどの活動を効果的に防止できる。また、不正な活動を行う恐れの低いソフトウェアは予め登録できるので、ディスクアクセスの毎に利用者の手を煩わせるようなことは無く、利用者の利便性と情報の安全性とを共に確保することができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
10 情報処理装置
30−1〜2 プロセス
35 オペレーティングシステム
200 共有領域
210 許可情報記録領域
300 第1操作検出部
320 第2操作検出部
325−1〜2 第3操作検出部
330 要求検出部
340 関連判断部
350 制御部
360 許可情報追加部
1030 通信デバイス
1040 ハードディスクドライブ
1045 入力デバイス
30−1〜2 プロセス
35 オペレーティングシステム
200 共有領域
210 許可情報記録領域
300 第1操作検出部
320 第2操作検出部
325−1〜2 第3操作検出部
330 要求検出部
340 関連判断部
350 制御部
360 許可情報追加部
1030 通信デバイス
1040 ハードディスクドライブ
1045 入力デバイス
Claims (15)
- 入力デバイスと、通信デバイスとを有する情報処理装置であって、
前記入力デバイスが受けた操作を検出する操作検出部と、
当該情報処理装置内で動作するタスクから前記通信デバイスに対する通信要求を検出する要求検出部と、
前記入力デバイスが前記操作を受けてから前記通信デバイスが前記通信要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、検出された前記操作と検出された前記通信要求とが関連すると判断する関連判断部と、
検出された前記操作と検出された前記通信要求との関連が無いと判断されたことを条件に、前記通信要求に応じた前記通信デバイスによる通信を禁止する制御部と
を備える情報処理装置。 - 他の装置との間でデータの授受が可能に設定された記憶装置を更に備え、
前記要求検出部は、当該情報処理装置内で動作するタスクから前記記憶装置に対するアクセス要求を更に検出し、
前記関連判断部は、前記入力デバイスが前記操作を受けてから前記記憶装置が前記アクセス要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、検出された前記操作と検出された前記アクセス要求とが関連すると更に判断し、
前記制御部は、検出された前記操作と検出された前記アクセス要求との関連が無いと判断されたことを条件に、前記アクセス要求に応じた前記記憶装置に対するアクセスを禁止する
請求項1に記載の情報処理装置。 - 前記情報処理装置は、前記入力デバイスが受けた前記操作の内容をオペレーティングシステムから受信する第1のタスクと、オペレーティングシステムを介して前記通信要求を前記通信デバイスに送信する第2のタスクとを動作させ、
前記関連判断部は、前記第1のタスクと前記第2のタスクとが同一であることを条件に、検出された前記操作と検出された前記通信要求とが関連すると判断する
請求項1に記載の情報処理装置。 - 前記情報処理装置は、前記入力デバイスが受けた前記操作の内容をオペレーティングシステムから受信する第1のタスクと、オペレーティングシステムを介して前記通信要求を前記通信デバイスに送信する第2のタスクとを動作させ、
前記関連判断部は、前記第1のタスクが、直接にまたは間接に、前記第2のタスクと通信していることを条件に、検出された前記操作と検出された前記通信要求とが関連すると判断する
請求項1に記載の情報処理装置。 - 前記情報処理装置は、前記入力デバイスが受けた前記操作の内容をオペレーティングシステムから受信する第1のタスクと、オペレーティングシステムを介して前記通信要求を前記通信デバイスに送信する第2のタスクとを動作させ、
前記関連判断部は、前記第1のタスクを直接にまたは間接に生成した祖先タスクと、前記第2のタスクを直接にまたは間接に生成した祖先タスクとが共通することを条件に、検出された前記操作と検出された前記通信要求とが関連すると判断する
請求項1に記載の情報処理装置。 - 前記情報処理装置は、前記入力デバイスが受けた前記操作の内容をオペレーティングシステムから受信する第1のタスクと、オペレーティングシステムを介して前記通信要求を前記通信デバイスに送信する第2のタスクとを動作させ、
処理結果を表示し、または、操作の入力を受け付けるウィンドウを表示する表示部を更に備え、
前記関連判断部は、前記第1のタスクが何れかの前記ウィンドウを保持し、かつ、前記操作を受け付けた時点で当該ウィンドウがフォアグラウンドに設定されていることを更に条件として、検出された前記操作と検出された前記通信要求とが関連すると判断する
請求項1に記載の情報処理装置。 - 前記操作検出部は、前記入力デバイスであるマウスのドラッグ操作を検出し、
前記関連判断部は、前記入力デバイスが受けた前記操作の内容を取得するタスクが保持するウィンドウが、前記ドラッグ操作のドラッグ先のウィンドウであることを更に条件として、検出された前記操作と検出された前記通信要求とが関連すると判断する
請求項1に記載の情報処理装置。 - 前記操作との関連に関わらず前記通信デバイスを用いた通信を許可するタスクの識別情報を記録した許可情報記録部を更に備え、
前記制御部は、前記許可情報記録部に記録された識別情報のタスクが発生させた通信要求に応じた通信を許可する
請求項1に記載の情報処理装置。 - 前記関連判断部によって、前記操作が前記通信要求に関連すると判断されたことに応じ、当該通信要求を発生させたタスクの識別情報を前記許可情報記録部に追加する許可情報追加部を更に備える請求項8に記載の情報処理装置。
- 前記操作検出部は、前記入力デバイスが操作を受けることなく何れかのタスクに操作の内容が入力された場合には、前記入力デバイスが操作を受けたと判断しない
請求項1に記載の情報処理装置。 - 前記操作検出部は、前記入力デバイスが操作を受けていない場合であっても、当該情報処理装置の遠隔操作を制御する予め定められたタスクの処理に基づき他のタスクに当該操作の内容が入力された場合には、前記入力デバイスが操作を受けたと判断する
請求項10に記載の情報処理装置。 - 前記操作検出部は、前記入力デバイスが操作を受けてから、当該操作の内容が何れかのタスクに入力されるまでに経過した時間が予め定められた基準期間以下であることを条件に、前記入力デバイスが操作を受けたと判断する
請求項1に記載の情報処理装置。 - 前記操作検出部は、タスクに対し入力に基づく処理の開始を指示する予め定められた操作を検出し、
前記関連判断部は、前記予め定められた操作を受けてから前記通信デバイスが前記通信要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、当該予め定められた操作と前記通信要求とが関連すると判断し、
前記制御部は、当該予め定められた操作と検出された前記通信要求との関連が無いと判断されたことを条件に、前記通信要求に応じた前記通信デバイスによる通信を禁止する
請求項1に記載の情報処理装置。 - 入力デバイスと、通信デバイスとを有する情報処理装置において前記通信デバイスによる通信を制御する方法であって、
前記入力デバイスが受けた操作を検出するステップと、
前記情報処理装置内で動作するタスクから前記通信デバイスに対する通信要求を検出するステップと、
前記入力デバイスが前記操作を受けてから前記通信デバイスが前記通信要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、検出された前記操作と検出された前記通信要求とが関連すると判断するステップと、
検出された前記操作と検出された前記通信要求との関連が無いと判断されたことを条件に、前記通信要求に応じた前記通信デバイスによる通信を禁止するステップと
を備える方法。 - 入力デバイスと、通信デバイスとを有する情報処理装置を、
前記入力デバイスが受けた操作を検出する操作検出部と、
前記情報処理装置内で動作するタスクから前記通信デバイスに対する通信要求を検出する要求検出部と、
前記入力デバイスが前記操作を受けてから前記通信デバイスが前記通信要求を受けるまでの期間が、予め定められた基準期間よりも短いことを条件に、検出された前記操作と検出された前記通信要求とが関連すると判断する関連判断部と、
検出された前記操作と検出された前記通信要求との関連が無いと判断されたことを条件に、前記通信要求に応じた前記通信デバイスによる通信を禁止する制御部と
して機能させるプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006105044A JP4159100B2 (ja) | 2006-04-06 | 2006-04-06 | 情報処理装置による通信を制御する方法およびプログラム |
| US11/682,422 US20070275694A1 (en) | 2006-04-06 | 2007-03-06 | Controlling Communications Performed by an Information Processing Apparatus |
| CNA200710089826XA CN101051911A (zh) | 2006-04-06 | 2007-04-05 | 控制信息处理装置进行的通信的信息处理装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006105044A JP4159100B2 (ja) | 2006-04-06 | 2006-04-06 | 情報処理装置による通信を制御する方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007280013A JP2007280013A (ja) | 2007-10-25 |
| JP4159100B2 true JP4159100B2 (ja) | 2008-10-01 |
Family
ID=38681406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006105044A Expired - Fee Related JP4159100B2 (ja) | 2006-04-06 | 2006-04-06 | 情報処理装置による通信を制御する方法およびプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070275694A1 (ja) |
| JP (1) | JP4159100B2 (ja) |
| CN (1) | CN101051911A (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252441B (zh) * | 2008-02-20 | 2010-06-02 | 深圳市永达电子股份有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| JP5116578B2 (ja) * | 2008-06-25 | 2013-01-09 | 株式会社Kddi研究所 | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| US8181251B2 (en) * | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
| JP5617260B2 (ja) * | 2010-01-29 | 2014-11-05 | セイコーエプソン株式会社 | 情報処理装置 |
| JP5610530B2 (ja) | 2010-12-27 | 2014-10-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | リソース保護処理プログラムとリソース保護処理装置とリソース保護処理方法 |
| JP5690689B2 (ja) * | 2011-09-16 | 2015-03-25 | Kddi株式会社 | アプリケーション解析装置およびプログラム |
| JP5828457B2 (ja) * | 2012-01-16 | 2015-12-09 | Kddi株式会社 | Api実行制御装置およびプログラム |
| JP5791548B2 (ja) * | 2012-03-15 | 2015-10-07 | 三菱電機株式会社 | アドレス抽出装置 |
| JP5851311B2 (ja) * | 2012-03-30 | 2016-02-03 | セコム株式会社 | アプリケーション検査装置 |
| JP5702352B2 (ja) * | 2012-10-31 | 2015-04-15 | 株式会社オプティム | ユーザ端末、信頼性管理サーバ、不正遠隔操作防止方法、及び不正遠隔操作防止プログラム |
| JP5727991B2 (ja) * | 2012-11-12 | 2015-06-03 | 株式会社オプティム | ユーザ端末、不正サイト情報管理サーバ、不正リクエスト遮断方法、及び不正リクエスト遮断プログラム |
| JP6007116B2 (ja) * | 2013-01-28 | 2016-10-12 | 株式会社アドバンス | データ通信システム |
| JP6386415B2 (ja) * | 2015-05-18 | 2018-09-05 | 日本電信電話株式会社 | ログ管理方法、および、ログ管理システム |
| JP2016224506A (ja) * | 2015-05-27 | 2016-12-28 | 西日本電信電話株式会社 | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム |
| RU2634173C1 (ru) | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997015885A1 (en) * | 1995-10-25 | 1997-05-01 | Open Market, Inc. | Managing transfers of information in a communications network |
| US7263721B2 (en) * | 2002-08-09 | 2007-08-28 | International Business Machines Corporation | Password protection |
| US8136155B2 (en) * | 2003-04-01 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology for interprocess communication control |
| US20040225877A1 (en) * | 2003-05-09 | 2004-11-11 | Zezhen Huang | Method and system for protecting computer system from malicious software operation |
-
2006
- 2006-04-06 JP JP2006105044A patent/JP4159100B2/ja not_active Expired - Fee Related
-
2007
- 2007-03-06 US US11/682,422 patent/US20070275694A1/en not_active Abandoned
- 2007-04-05 CN CNA200710089826XA patent/CN101051911A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20070275694A1 (en) | 2007-11-29 |
| CN101051911A (zh) | 2007-10-10 |
| JP2007280013A (ja) | 2007-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4159100B2 (ja) | 情報処理装置による通信を制御する方法およびプログラム | |
| KR102137773B1 (ko) | 보안 애플리케이션을 통해 안전한 데이터를 전송하기 위한 시스템 및 그에 관한 방법 | |
| US8856542B2 (en) | System and method for detecting malware that interferes with the user interface | |
| JP4629796B2 (ja) | 限定的プロセスでのファイル変換 | |
| US11797636B2 (en) | Intermediary server for providing secure access to web-based services | |
| CN101405705B (zh) | 用于外来代码检测的系统和方法 | |
| US20150205962A1 (en) | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption | |
| US8347380B1 (en) | Protecting users from accidentally disclosing personal information in an insecure environment | |
| US8984629B2 (en) | Apparatus and method for preemptively protecting against malicious code by selective virtualization | |
| US20120198553A1 (en) | Secure auditing system and secure auditing method | |
| US20070192580A1 (en) | Secure remote management of a TPM | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| GB2453652A (en) | Implementing secure online payments by switching to a dedicated operating system (OS) | |
| JP2007316637A (ja) | 個別アプリケーション・プログラム用のスクリーンセーバ | |
| EP3847568B1 (en) | Protecting selected disks on a computer system | |
| KR100710032B1 (ko) | 윈도우즈 운영체제에서 보안 입력 필터 드라이버와 인터넷 익스플로러 내부의 키보드 보안 입력 비에이치오를 통한 인터넷 익스플로러 사용자의 키보드 입력 정보 해킹 방지 방법 및 시스템 | |
| EP3353983B1 (en) | Method and system with a passive web application firewall | |
| KR100985076B1 (ko) | Usb 디바이스 보안 장치 및 방법 | |
| CN112805700A (zh) | 控制计算机系统上的未授权驱动程序的安装 | |
| TWI817062B (zh) | 使用進程資訊來檢測網頁後門的方法及系統 | |
| US8141153B1 (en) | Method and apparatus for detecting executable software in an alternate data stream | |
| US11736512B1 (en) | Methods for automatically preventing data exfiltration and devices thereof | |
| US10482273B2 (en) | System and method for activating a data entry mechanism for an application based on security requirements | |
| EP2750066B1 (en) | System and method for detecting malware that interferes with a user interface | |
| JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080116 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20080129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080430 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080520 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20080604 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080708 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20080709 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080714 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110725 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |