JP4925109B2 - Electronic device, program, and recording medium - Google Patents
Electronic device, program, and recording medium Download PDFInfo
- Publication number
- JP4925109B2 JP4925109B2 JP2007006883A JP2007006883A JP4925109B2 JP 4925109 B2 JP4925109 B2 JP 4925109B2 JP 2007006883 A JP2007006883 A JP 2007006883A JP 2007006883 A JP2007006883 A JP 2007006883A JP 4925109 B2 JP4925109 B2 JP 4925109B2
- Authority
- JP
- Japan
- Prior art keywords
- pattern
- virus
- data
- embedding
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、データの漏洩の抑止を図った電子システムおよび電子機器に関する。また、本発明は、本電子機器としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。 The present invention relates to an electronic system and an electronic apparatus that are designed to prevent data leakage. The present invention also relates to a program for causing a computer to function as the electronic apparatus and a recording medium on which the program is recorded.
セキュリティが保たれた内部のネットワーク上のPC(Personal Computer)から、自宅や外出先で処理を行うために、機密情報を記録したデータファイル(以下、機密ファイルと記す)を私物のPCに持ち出す場面は多い。こうした機密ファイルは、個人の責任によって守られることになるが、コンピュータウィルス(以下、ウィルスと記す)への感染や、P2P(Peer to Peer)ソフトの設定ミス等の不注意による情報漏洩が後を絶たない。 Taking a data file (hereinafter referred to as a confidential file) that records confidential information from a PC (Personal Computer) on the internal network where security is maintained to a personal computer for processing at home or on the go There are many. Although such confidential files are protected by personal responsibility, information leakage due to inadvertent information such as infection with computer viruses (hereinafter referred to as viruses) or misconfiguration of P2P (Peer to Peer) software will be delayed. There is no end.
情報漏洩に対する既存の抑止方法として、以下の方法が提案されている。例えば、特許文献1には、内部の機密ファイルに電子署名を付与しておき、内部ネットワークから外部ネットワークへファイルを送信する際に、ゲートウェイにおいて、電子署名の付与されているファイルの送信を抑制する方法が記載されている。
しかし、特許文献1に記載された方法では、エンド・エンド間の暗号化通信によって機密ファイルが送信される場合に、ゲートウェイがファイルの中身を確認することができないため、機密ファイルが外部へ流出してしまい、情報漏洩を防止することができない。また、機密ファイルが、ネットワークを介さずに、USB(Universal Serial Bus)メモリ等の媒体に入れられて持ち出された場合には、情報漏洩を防止することができない。
However, in the method described in
本発明は、上述した課題に鑑みてなされたものであって、情報漏洩を防止することができる電子システム、電子機器、プログラム、および記録媒体を提供することを目的とする。 The present invention has been made in view of the above-described problems, and an object thereof is to provide an electronic system, an electronic device, a program, and a recording medium that can prevent information leakage.
本発明は、上記の課題を解決するためになされたもので、第1の電子機器(図1の端末2に対応)と第2の電子機器(図1の端末3に対応)を備えた電子システムにおいて、前記第1の電子機器は、データを記憶するデータ記憶手段と、コンピュータウィルスの検知に用いられるウィルスパターンを記憶する第1のウィルスパターン記憶手段と、前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段とを有し、前記第2の電子機器は、データを入力するデータ入力手段と、前記ウィルスパターンを記憶する第2のウィルスパターン記憶手段と、前記データ入力手段によって入力されたデータに対して、前記ウィルスパターン記憶手段が記憶する前記ウィルスパターンと同じパターンが埋め込まれている場合に、当該データを削除するデータ削除手段とを有することを特徴とする電子システムである。
The present invention has been made to solve the above-described problem, and an electronic device including a first electronic device (corresponding to the
また、本発明は、第1の電子機器(図1のウィルスパターン管理端末1に対応)と第2の電子機器(図1の端末2に対応)を備えた電子システムにおいて、前記第1の電子機器は、コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、選択された前記埋め込み用パターンを前記第2の電子機器へ送信する送信手段とを有し、前記第2の電子機器は、データを記憶する記憶手段と、前記埋め込み用パターンを前記第1の電子機器から受信する受信手段と、受信された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段とを有することを特徴とする電子システムである。
In addition, the present invention provides an electronic system including a first electronic device (corresponding to the virus
また、本発明は、データを記憶するデータ記憶手段と、コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段とを備えたことを特徴とする電子機器である。 According to the present invention, a data storage means for storing data, a virus pattern storage means for storing a virus pattern used for computer virus detection, and an embedding pattern embedded in the data are selected from the virus patterns. An electronic apparatus comprising pattern selection means and pattern embedding means for embedding the selected embedding pattern in the data.
また、本発明の電子機器は、データを入力するデータ入力手段と、前記データ入力手段によって入力されたデータに対して、前記ウィルスパターン記憶手段が記憶する前記ウィルスパターンと同じパターンが埋め込まれている場合に、当該データを削除するデータ削除手段とをさらに備えたことを特徴とする。 In the electronic device of the present invention, the same pattern as the virus pattern stored in the virus pattern storage unit is embedded in the data input unit for inputting data and the data input by the data input unit. In this case, the apparatus further includes data deleting means for deleting the data.
また、本発明の電子機器は、前記埋め込み用パターンを記憶する埋め込み用パターン記憶手段と、前記ウィルスパターン記憶手段が記憶する前記ウィルスパターンと同じ、かつ前記埋め込み用パターン記憶手段が記憶する前記埋め込み用パターンと異なるパターンが前記データに埋め込まれている場合に、当該データを削除するデータ削除手段とをさらに備えたことを特徴とする。 Further, the electronic device of the present invention is the same as the embedding pattern storage means for storing the embedding pattern and the embedding pattern storage means stored in the embedding pattern storage means, which is the same as the virus pattern stored in the virus pattern storage means. Data deletion means for deleting the data when a pattern different from the pattern is embedded in the data is further provided.
また、本発明の電子機器は、前記埋め込み用パターンが埋め込まれたデータを識別するデータ識別情報と前記埋め込み用パターンとを関連付けて記憶する埋め込み用パターン記憶手段と、前記埋め込み用パターン記憶手段が記憶する前記データ識別情報が示すデータとは異なるデータに対して、前記埋め込み用パターン記憶手段が記憶する前記埋め込み用パターンと同じパターンが埋め込まれている場合に、当該データを削除するデータ削除手段とをさらに備えたことを特徴とする。 In the electronic device according to the present invention, the embedding pattern storage unit stores data identification information for identifying data in which the embedding pattern is embedded and the embedding pattern in association with each other, and the embedding pattern storage unit stores the embedding pattern. Data deletion means for deleting the data when the same pattern as the embedding pattern stored in the embedding pattern storage means is embedded in data different from the data indicated by the data identification information It is further provided with a feature.
また、本発明の電子機器は、他の電子機器からデータを受信する受信手段と、前記受信手段によって受信されたデータに対して、前記ウィルスパターン記憶手段が記憶する前記ウィルスパターンと同じパターンが埋め込まれている場合に、当該データを識別するデータ識別情報、および当該データの送信元を識別する送信元識別情報の少なくともいずれかの情報と、当該データがコンピュータウィルスに感染していることを示す情報とを含む感染通知情報を生成する感染通知情報生成手段と、他の電子機器へ前記感染通知情報を送信する送信手段とをさらに備えたことを特徴とする。 The electronic device according to the present invention includes a receiving unit that receives data from another electronic device, and the same pattern as the virus pattern stored in the virus pattern storage unit is embedded in the data received by the receiving unit. Data identification information for identifying the data and transmission source identification information for identifying the transmission source of the data, and information indicating that the data is infected with a computer virus. Infection notification information generating means for generating infection notification information including: and transmission means for transmitting the infection notification information to another electronic device.
また、本発明の電子機器において、前記パターン選択手段は、前記ウィルスパターンから前記埋め込み用パターンをランダムに選択することを特徴とする。 In the electronic device of the present invention, the pattern selection means randomly selects the embedding pattern from the virus pattern.
また、本発明の電子機器において、前記ウィルスパターン記憶手段は、前記ウィルスパターンと、当該ウィルスパターンを前記コンピュータウィルスの検知に用いるアンチウィルスソフトを識別するソフト識別情報とを関連付けて記憶し、前記パターン選択手段は、異なる前記ソフト識別情報と関連付けられている複数の前記ウィルスパターンを前記埋め込み用パターンとして選択することを特徴とする。 In the electronic device of the present invention, the virus pattern storage means stores the virus pattern in association with software identification information that identifies the virus pattern and anti-virus software used for detection of the computer virus, and selects the pattern. The means selects a plurality of the virus patterns associated with the different software identification information as the embedding pattern.
また、本発明の電子機器において、前記ウィルスパターン記憶手段は、前記ウィルスパターンと、当該ウィルスパターンを前記コンピュータウィルスの検知に用いるアンチウィルスソフトを識別するソフト識別情報とを関連付けて記憶し、前記パターン選択手段は、異なる前記ソフト識別情報と関連付けられている同一の前記ウィルスパターンを前記埋め込み用パターンとして選択することを特徴とする。 In the electronic device of the present invention, the virus pattern storage means stores the virus pattern in association with software identification information that identifies the virus pattern and anti-virus software used for detection of the computer virus, and selects the pattern. The means is characterized in that the same virus pattern associated with the different software identification information is selected as the embedding pattern.
また、本発明は、上記の電子機器としてコンピュータを機能させるためのプログラムである。 Moreover, this invention is a program for functioning a computer as said electronic device.
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。 The present invention is a computer-readable recording medium on which the above program is recorded.
上記において、括弧で括った部分の記述は、後述する本発明の実施形態と本発明の構成要素とを便宜的に対応付けるためのものであり、この記述によって本発明の内容が限定されるわけではない。 In the above description, the description in parentheses is for the purpose of associating the embodiment of the present invention described later with the components of the present invention for convenience, and the contents of the present invention are not limited by this description. Absent.
本発明によれば、埋め込み用パターンの埋め込まれたデータが外部に流出した場合でも、アンチウィルスソフトの機能によりウィルスパターンを検知することが可能な外部の他の電子機器がそのデータを取得すれば、その電子機器において、埋め込み用パターンが検知される。その結果、埋め込み用パターンの埋め込まれたデータが、コンピュータウィルスに感染していると判定されて削除されるので、情報漏洩を防止することができる。 According to the present invention, even when the embedded data of the embedding pattern leaks to the outside, if another external electronic device capable of detecting the virus pattern by the function of the anti-virus software acquires the data, In the electronic device, an embedding pattern is detected. As a result, data embedded with the embedding pattern is determined to be infected with a computer virus and deleted, so that information leakage can be prevented.
以下、図面を参照し、本発明の実施形態を説明する。まず、以下の各実施形態に共通する技術思想を説明する。以下の各実施形態では、機密情報を含むデータファイルが何らかの原因により漏洩した場合でも、それを取得したコンピュータが自動的にデータファイルを削除するようになっている。データファイルに含まれるパターンを検査し、ウィルスに見られるパターンの有無を検出するツールとして、AV(Anti Virus System)がある。以下の各実施形態では、このAVの機能が利用される。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. First, technical ideas common to the following embodiments will be described. In each of the following embodiments, even if a data file including confidential information leaks for some reason, the computer that has acquired the data file automatically deletes the data file. AV (Anti Virus System) is a tool for inspecting patterns contained in data files and detecting the presence or absence of patterns found in viruses. In the following embodiments, this AV function is used.
まず、企業や大学等のセキュリティ管理者は、漏洩を抑制したい機密情報が含まれるデータファイルに擬似ウィルスパターンを埋め込んでおく。擬似ウィルスパターンは、実際のウィルスに含まれる特徴的なパターンと同じパターンであり、ウィルスの検知に用いられるデータファイルに記録されているウィルスパターンから生成される。 First, a security administrator of a company or a university embeds a pseudo virus pattern in a data file containing confidential information for which leakage is to be suppressed. The pseudo virus pattern is the same as a characteristic pattern included in an actual virus, and is generated from a virus pattern recorded in a data file used for virus detection.
擬似ウィルスパターンが埋め込まれたデータファイルが何らかの理由により持ち出され、外部のPCに保存されたとする。P2Pネットワークを利用するソフトウェアの設定ミス等をした場合、他のPCへデータファイルが漏洩する。漏洩先のPCにAVが導入されている場合、データファイルに埋め込まれた擬似ウィルスパターンをAVが検知し、データファイルが削除される。このようにして、データファイルの漏洩が防止される。 It is assumed that the data file in which the pseudo virus pattern is embedded is taken out for some reason and stored in an external PC. When a software misconfiguration is made using the P2P network, the data file leaks to another PC. When AV is introduced into the leakage destination PC, the AV detects a pseudo virus pattern embedded in the data file, and the data file is deleted. In this way, data file leakage is prevented.
(第1の実施形態)
次に、本発明の第1の実施形態を説明する。図1は、本実施形態による電子システムの構成を示している。本電子システムは、電子機器たるウィルスパターン管理端末1、端末2、および端末3を備え、これらがネットワーク4で接続されている。ネットワーク4には、図示していない端末も接続されているものとする。
(First embodiment)
Next, a first embodiment of the present invention will be described. FIG. 1 shows the configuration of the electronic system according to the present embodiment. The electronic system includes a virus
ウィルスパターン管理端末1は、本物のウィルスを検知するためのAV用のウィルスパターンを生成して管理する端末(PCやサーバ等)である。端末2,3は、ユーザが所持する端末(PC等)である。ネットワークは有線あるいは無線のLAN(Local Area Network)等の小ネットワーク、および小ネットワークどうしを結ぶ基幹ネットワークの集合体としてのネットワークである。
The virus
図2はウィルスパターン管理端末1の主要な機能構成を示している。データ通信部10は、ネットワーク4を介して端末2,3とデータ通信を行う。ウィルスパターン管理部11は、ウィルスの検知に利用されるウィルスパターンを管理する。
FIG. 2 shows the main functional configuration of the virus
ウィルスパターン管理部11において、ウィルスパターン生成部11aは、所定のウィルスパターンを生成し、ブラックリストとして記憶部12に格納する。ウィルスパターン配布部11bは、ブラックリストを端末2,3へ配布するため、記憶部12からブラックリストを読み出し、データ通信部10へ出力する。ウィルスパターン配布部11bからブラックリストが出力された場合、データ通信部10は、ネットワーク4を介してブラックリストを端末2,3へ送信する。
In the virus
記憶部12はハードディスクドライブ(HDD)や半導体メモリ等で構成されており、各種のデータをファイルとして記憶する。特に本実施形態では、記憶部12は上記のブラックリストを記憶する。
The
図3は端末2の主要な構成を示している。データ通信部20は、ネットワーク4を介してウィルスパターン管理端末1および端末3とデータ通信を行う。ウィルスパターン管理部21は、ウィルスパターン、およびこれに基づいて生成される擬似ウィルスパターンを管理する。
FIG. 3 shows the main configuration of the
ウィルスパターン管理部21において、ウィルスパターン取得部21aは、ウィルスパターン管理端末1からブラックリストが送信された場合に、データ通信部20によって受信されたブラックリストをデータ通信部20から受け取り、記憶部24に格納する。擬似ウィルスパターン生成部21bは、ブラックリストに基づいて擬似ウィルスパターンを生成する。生成された擬似ウィルスパターンは、ホワイトリストとして記憶部24に格納される。擬似ウィルスパターン埋め込み部21cは、生成された擬似ウィルスパターンをデータファイルに埋め込む。
In the virus
AV機能部22は、AVの機能を有するアンチウィルスソフトのプログラム実行時に動作し、データファイル内のウィルスの有無を検査する。AV機能部22において、ファイル検査部22aは、データファイルがウィルスに感染しているか否かを検査する。
The
この検査の際にファイル検査部22aは、ブラックリストに含まれるウィルスパターンとデータファイルを比較し、ウィルスパターンと一致するパターンがデータファイル内に含まれているか否かを判定する。また、ファイル検査部22aは、ホワイトリストに含まれる擬似ウィルスパターンとデータファイルを比較し、擬似ウィルスパターンと一致するパターンがデータファイル内に含まれているか否かを判定する。さらに、ファイル検査部22aは、これらのブラックリストおよびホワイトリストに基づいた判定の結果に基づいて、データファイルがウィルスに感染しているか否かを判定する。
At the time of this inspection, the
ファイル削除部22bは、データファイルがウィルスに感染しているとファイル検査部22aによって判定された場合に、そのデータファイルを削除する。
When the
記録媒体インタフェース部23は、記録媒体50からのデータの読み出しおよび記録媒体50へのデータの書き込みを行う。記憶部24はハードディスクドライブや半導体メモリ等で構成されており、各種のデータを記憶する。本実施形態では特に、記憶部24は、ブラックリスト、ホワイトリスト、および機密ファイル等のデータファイルを記憶する。記録媒体50は、端末2に対して着脱可能なハードディスクドライブ、USBメモリ、CD−ROM等の記録媒体である。
The recording
端末3の主要な構成は端末2と同一であるので、その説明を省略する。ただし、両者の構成は必ずしも同一でなくてよい。例えば、端末3がAV機能部22を有する一方で、端末2がAV機能部22を有していなくてもよい。また、端末2が擬似ウィルスパターン生成部21bと擬似ウィルスパターン埋め込み部21cを有する一方で、端末3が擬似ウィルスパターン生成部21bと擬似ウィルスパターン埋め込み部21cを有していなくてもよい。以下では、端末2,3の動作に関しては、端末2の動作を中心に説明する。
Since the main configuration of the
次に、擬似ウィルスパターンの生成方法と埋め込み方法を説明する。以下は、ウィルスパターン管理端末1のウィルスパターン生成部11aによって生成されたウィルスパターンの例を示している。各行において、先頭列の「Antinny.xx」等がウィルス名を示しており、2列目以後がウィルスパターンを示している。
Antinny.xx, mov %eax %ebx and movl $0xffff %eax
Worm.yy, asm addl %ebx %eax
Spyware.yy, mov al byte ptr foo
・・・
Next, a pseudo virus pattern generation method and an embedding method will be described. The following shows an example of a virus pattern generated by the virus pattern generation unit 11a of the virus
Antinny.xx, mov% eax% ebx and movl $ 0xffff% eax
Worm.yy, asm addl% ebx% eax
Spyware.yy, mov al byte ptr foo
...
図4は、ウィルスパターン管理端末1のウィルスパターン生成部11aによって生成されたブラックリストの例を示している。ブラックリストでは、各ウィルスパターンについて、ファイル種別(ワープロソフト用ファイル、表計算ソフト用ファイル、HTMLファイル等)を示す情報401とウィルスパターンの情報402とが関連付けられている。すなわち、ブラックリストによって、ファイル種別の単位でウィルスパターンが管理されている。
FIG. 4 shows an example of the black list generated by the virus pattern generation unit 11a of the virus
以下、図5を参照しながら、端末2による擬似ウィルスパターンの具体的な生成方法と埋め込み方法を説明する。ユーザが、図示せぬ操作部を操作することによって、擬似ウィルスパターンの埋め込み対象のデータファイルを指定すると共に、擬似ウィルスパターンの埋め込み処理の開始を指示すると、指定されたデータファイルに対する擬似ウィルスパターンの埋め込み処理が開始される。
Hereinafter, a specific method for generating and embedding a pseudo virus pattern by the
端末2の擬似ウィルスパターン埋め込み部21cは、ユーザによって指定されたデータファイルを記憶部24から読み出す(ステップS100)。さらに、擬似ウィルスパターン埋め込み部21cは、読み出したデータファイルのファイル種別を識別し、その情報を擬似ウィルスパターン生成部21bに通知する(ステップS101)。
The pseudo virus
擬似ウィルスパターン生成部21bは記憶部24からブラックリストを読み出し、擬似ウィルスパターン埋め込み部21cから通知されたファイル種別と関連付けられているウィルスパターンの中からいずれかのウィルスパターンを選択する(ステップS102)。選択されたウィルスパターンが擬似ウィルスパターンとなる。
The pseudo virus
データファイルに埋め込まれるウィルスパターンが常に同じである場合、データファイルが漏洩した先の端末3の所有者に、取得したデータファイルが機密情報を含んでいることを推測されてしまう恐れがある。そこで、常に同じ擬似ウィルスパターンをデータファイルに埋め込むのではなく、データファイル毎に異なる擬似ウィルスパターンを埋め込むことがより望ましい。ステップS102では、擬似ウィルスパターン生成部21bは、同じファイル種別と関連付けられているウィルスパターンの中から、例えばランダムにウィルスパターンを選択する。
If the virus pattern embedded in the data file is always the same, the owner of the
続いて、擬似ウィルスパターン生成部21bは、選択したウィルスパターンを擬似ウィルスパターン埋め込み部21cに通知する(ステップS103)。擬似ウィルスパターン埋め込み部21cは、擬似ウィルスパターン生成部21bから通知された擬似ウィルスパターンを、ステップS100で読み出したデータファイルに埋め込む(ステップS104)。
Subsequently, the pseudo virus
データファイルに擬似ウィルスパターンを埋め込む方法はいくつかある。特定のワープロソフトや表計算ソフトのファイルには、擬似ウィルスパターンをマクロウィルスとして埋め込むことが可能である。マクロは、ワープロソフトや表計算ソフトの操作を自動化する機能であり、そのマクロをファイルと関連付けて保存することで、そのマクロがアンチウィルスソフトによって検知されるようになる。 There are several ways to embed a pseudo virus pattern in a data file. It is possible to embed a pseudo virus pattern as a macro virus in a file of specific word processing software or spreadsheet software. A macro is a function that automates the operation of word processing software or spreadsheet software. By storing the macro in association with a file, the macro is detected by anti-virus software.
また、HTMLファイルには、文章の終わりを示すタグである</HTML>よりも後ろに擬似ウィルスパターンのファイルを埋め込むことが可能である。また、ユーザがウィルスパターンを視覚で捉えることができないように、背景と同じ色であるウィルスパターンの文字列を埋め込むことや、表示サイズが0cm×0cmのウィルスパターンを埋め込むことも可能である。 Also, in the HTML file, a pseudo virus pattern file can be embedded after </ HTML> which is a tag indicating the end of a sentence. It is also possible to embed a virus pattern character string having the same color as the background or to embed a virus pattern with a display size of 0 cm × 0 cm so that the user cannot visually perceive the virus pattern.
その他のファイルについては、ファイル名を、ウィルスが利用するファイル名に変えることがウィルスパターンの埋め込みと同じ意味を持つこともある。例えば、Antinnyウィルスは、圧縮ファイルであることを示す拡張子lzhが含まれるファイル名に対して、lzhの後ろに長い空白を挿入し、その後ろに本来の拡張子を付与する。具体的には、ファイル名が例えば「××××××.lzh .doc」となる。この場合、ブラックリストには、空白のパターンが登録されることになる。 For other files, changing the file name to a file name used by a virus may have the same meaning as embedding a virus pattern. For example, the Antinny virus inserts a long space after lzh and adds the original extension after the file name including the extension lzh indicating that it is a compressed file. Specifically, the file name is, for example, “xxxxxx.lzh.doc”. In this case, a blank pattern is registered in the black list.
ステップS103に続いて、擬似ウィルスパターン埋め込み部21cは、擬似ウィルスパターンを埋め込んだデータファイルを記憶部24に格納し、擬似ウィルスパターン生成部21bに埋め込みの終了を通知する(ステップS105)。
Subsequent to step S103, the pseudo virus
通知を受けた擬似ウィルスパターン生成部21bは、記憶部24からホワイトリストを読み出し、データファイルに埋め込まれた擬似ウィルスパターンの情報をホワイトリストに追加する。これによって、データファイルに埋め込まれた擬似ウィルスパターンがホワイトリストに登録される。擬似ウィルスパターン生成部21bは、新たな擬似ウィルスパターンの情報が追加されたホワイトリストを記憶部24に格納する(ステップS106)。
Upon receipt of the notification, the pseudo virus
図6はホワイトリストの内容例を示している。図6に示すように、ホワイトリストでは、ファイル種別を示す情報601とウィルスパターンの情報602と、そのウィルスパターンが埋め込まれているデータファイルの情報603とが関連付けられている。データファイルの情報603には、擬似ウィルスパターンの埋め込まれたデータファイルが記憶部24に保存された日時、データファイルのサイズ、擬似ウィルスパターンの埋め込み位置、ファイル名、ファイル種別(ファイルの拡張子等)、データファイルのハッシュ値等の情報が含まれている。このデータファイルの情報603は、後でデータファイルから擬似ウィルスパターンを削除するとき等に利用される。
FIG. 6 shows an example of the contents of the white list. As shown in FIG. 6, in the white list,
次に、ブラックリストとホワイトリストに基づいてデータファイルを検査する具体的な方法を説明する。まず、定期的に行われるファイル検査の方法を説明する。端末2のファイル検査部22aは、記憶部24に保存されているデータファイルに対して、ウィルスに感染しているか否かの検査を定期的に行う。
Next, a specific method for inspecting a data file based on a black list and a white list will be described. First, a file inspection method performed periodically will be described. The
以下、図7を参照しながら、この検査の手順を説明する。検査の開始後、ファイル検査部22aは記憶部24からブラックリストとデータファイルを読み出す(ステップS200)。続いて、ファイル検査部22aは、ブラックリストに含まれる各ウィルスパターンとデータファイルを比較し(ステップS201)、比較結果に基づいて、いずれかのウィルスパターンと一致するパターンがデータファイル内に含まれているか否かを判定する(ステップS202)。
Hereinafter, the procedure of this inspection will be described with reference to FIG. After the inspection is started, the
ブラックリストに基づいた検査の結果、ウィルスパターンと一致するパターンがデータファイル内に全く含まれていないと判定した場合には、ファイル検査部22aは、そのデータファイルがウィルスに感染していないと判定し(ステップS203)、ステップS200で読み出したデータファイルの検査を終了する。
As a result of the inspection based on the black list, if it is determined that no pattern matching the virus pattern is included in the data file, the
また、いずれかのウィルスパターンと一致するパターンがデータファイル内に含まれていると判定された場合には、通常のアンチウィルスソフトではデータファイルがウィルスに感染していると判定されるのだが、本実施形態ではさらにホワイトリストに基づいた検査が行われる。まず、ファイル検査部22aは記憶部24からホワイトリストを読み出す(ステップS204)。続いて、ファイル検査部22aは、データファイル内のパターンと一致したウィルスパターンとホワイトリスト内の各擬似ウィルスパターンを比較し(ステップS205)、比較結果に基づいて、ウィルスパターンがいずれかの擬似ウィルスパターンと一致するか否かを判定する(ステップS206)。
If it is determined that the data file contains a pattern that matches one of the virus patterns, the normal anti-virus software determines that the data file is infected with a virus. In the embodiment, an inspection based on a white list is further performed. First, the
ホワイトリストに基づいた検査の結果、ウィルスパターンとホワイトリスト内のいずれかの擬似ウィルスパターンが一致すると判定した場合には、ファイル検査部22aは、そのデータファイルがウィルスに感染していないと判定し(ステップS203)、ステップS200で読み出したデータファイルの検査を終了する。
As a result of the inspection based on the white list, if it is determined that the virus pattern matches any of the pseudo virus patterns in the white list, the
また、ウィルスパターンがホワイトリスト内のどの擬似ウィルスパターンとも一致しないと判定した場合には、ファイル検査部22aは、そのデータファイルがウィルスに感染していると判定し(ステップS207)、ファイル削除部22bに該当データファイルの削除を指示する(ステップS208)。指示を受けたファイル削除部22bは、ウィルスに感染していると判定されたデータファイルを記憶部24から削除する(ステップS209)。
If it is determined that the virus pattern does not match any pseudo virus pattern in the white list, the
上述した処理と同様の処理が端末3でも行われる。この処理によれば、ブラックリストに含まれるウィルスパターンとデータファイル内のパターンが一致した場合でも、そのウィルスパターンが擬似ウィルスパターンと一致する場合には、データファイルは削除されない。したがって、端末2では、自身が擬似ウィルスパターンを埋め込んだデータファイルが、ウィルスに感染していると判定されて削除されることはない。
Processing similar to the processing described above is also performed at the
上述した処理に対しては、各種の変形が可能である。例えば、ホワイトリストに基づいたファイル検査と、ブラックリストに基づいたファイル検査の順序を上記とは逆にしてもよい。ファイル検査の順序がいずれであっても、ブラックリストに含まれるウィルスパターンと同じ、かつホワイトリストに含まれる擬似ウィルスパターンと異なるパターンがデータファイルに含まれる場合にはデータファイルを削除し、それ以外の場合にはデータファイルを削除しないようにすればよい。 Various modifications can be made to the processing described above. For example, the order of the file inspection based on the white list and the file inspection based on the black list may be reversed. Regardless of the file inspection order, if the data file contains a pattern that is the same as the virus pattern included in the black list and different from the pseudo virus pattern included in the white list, the data file is deleted. In this case, the data file should not be deleted.
また、ステップS209において、ウィルスに感染していると判定されたデータファイルを一旦、隔離用のフォルダに隔離しておき、ユーザから指示を受けた場合にそのデータファイルを削除するようにしてもよい。さらに、削除したデータファイルについて、ファイル名に「ウィルス感染」という言葉が挿入された、中身のない代理ファイルを記憶部24に保存するようにしてもよい。
In step S209, the data file determined to be infected with a virus may be temporarily isolated in a folder for isolation, and the data file may be deleted when an instruction is received from the user. . Furthermore, for the deleted data file, a proxy file having no contents in which the word “virus infection” is inserted in the file name may be stored in the
また、データファイル内のパターンがホワイトリスト内の擬似ウィルスパターンと一致する場合(ステップS206でYESの場合)には、データファイルがウィルスに感染していないと判定されるが、もし、データファイル内のパターンが、擬似ウィルスパターンと一致する本物のウィルスパターンであった場合には、そのデータファイルを削除する必要がある。したがって、以下のようにすることがより望ましい。 If the pattern in the data file matches the pseudo virus pattern in the white list (YES in step S206), it is determined that the data file is not infected with a virus. If the pattern is a genuine virus pattern that matches the pseudo virus pattern, the data file must be deleted. Therefore, it is more desirable to do the following.
ステップS206において、ウィルスパターンとホワイトリスト内のいずれかの擬似ウィルスパターンが一致すると判定した場合、ファイル検査部22aはさらに、ウィルスパターンと一致した擬似ウィルスパターンと関連付けられているデータファイルのファイル名を参照する(図6のデータファイルの情報603)。ファイル検査部22aは、このファイル名と検査対象のデータファイルのファイル名を比較する。
If it is determined in step S206 that the virus pattern matches any one of the pseudo virus patterns in the white list, the
両者が一致した場合には、データファイル内のウィルスパターンが、端末2自身の擬似ウィルスパターン埋め込み部21cによって埋め込まれた擬似ウィルスパターンであると分かる。この場合には、ファイル検査部22aは、データファイルがウィルスに感染していないと判定する(ステップS203)。また、両者が一致しなかった場合には、データファイル内のウィルスパターンが本物のウィルスパターンであると分かる。この場合には、ファイル検査部22aは、データファイルがウィルスに感染していると判定する(ステップS207)。
If the two match, it is understood that the virus pattern in the data file is a pseudo virus pattern embedded by the pseudo virus
次に、データファイルの受信時に行われる検査の方法を説明する。端末2のファイル検査部22aは、新たなデータファイルが受信された場合に、そのデータファイルがウィルスに感染しているか否かの検査を行う。以下、図8を参照しながら、この検査の手順を説明する。
Next, an inspection method performed when receiving a data file will be described. When a new data file is received, the
データ通信部20は、ネットワーク4を介してデータファイルを受信し、AV機能部22へデータファイルを出力する(ステップS300)。データファイルが入力されたAV機能部22のファイル検査部22aは記憶部24からブラックリストを読み出す(ステップS301)。ファイル検査部22aは、ブラックリストに含まれる各ウィルスパターンとデータファイルを比較し(ステップS302)、比較結果に基づいて、いずれかのウィルスパターンと一致するパターンがデータファイル内に含まれているか否かを判定する(ステップS303)。
The
ブラックリストに基づいた検査の結果、いずれかのウィルスパターンと一致するパターンがデータファイル内に含まれていると判定した場合には、ファイル検査部22aは、そのデータファイルがウィルスに感染していると判定し(ステップS304)、ファイル削除部22bに該当データファイルの削除を指示する(ステップS305)。指示を受けたファイル削除部22bは、ウィルスに感染していると判定されたデータファイルを削除する(ステップS306)。
As a result of the inspection based on the black list, if it is determined that a pattern that matches any of the virus patterns is included in the data file, the
また、各ウィルスパターンと一致するパターンがデータファイル内に含まれていないと判定した場合には、ファイル検査部22aは、そのデータファイルがウィルスに感染していないと判定し(ステップS307)、データファイルを記憶部24に格納する(ステップS308)。
If it is determined that a pattern that matches each virus pattern is not included in the data file, the
上述した処理と同様の処理が端末3でも行われる。この処理によれば、受信されたデータファイルが、ブラックリストに含まれるウィルスパターンと一致するパターンを含んでいる場合には、そのデータファイルが削除される。したがって、端末2で擬似ウィルスパターンが埋め込まれたデータファイルが端末3で受信された場合でも、その擬似ウィルスパターンがブラックリスト中のウィルスパターンと一致したときには、データファイルが削除され、情報漏洩が防止される。
Processing similar to the processing described above is also performed at the
また、記録媒体50から端末2内にデータファイルが入力される場合にも、上述した処理と同様の処理が行われる。すなわち、記録媒体インタフェース部23は、記録媒体50からデータファイルを読み出して端末2に入力した場合に、データファイルをAV機能部22へ出力する。データファイルが入力されたAV機能部22の動作は上述した通りである。端末3でも同様の処理が行われるので、端末2で擬似ウィルスパターンが埋め込まれたデータファイルが記録媒体50に格納されて持ち出され、端末3に入力された場合でも、その擬似ウィルスパターンがブラックリスト中のウィルスパターンと一致したときには、データファイルが削除され、情報漏洩が防止される。
Also, when a data file is input from the
上述したように、本実施形態によれば、擬似ウィルスパターンの埋め込まれたデータファイルが端末2から例えば端末3に流出した場合でも、端末3において、アンチウィルスソフトの機能(AV機能部22)によって、擬似ウィルスパターンが検知される。その結果、擬似ウィルスパターンの埋め込まれたデータファイルが、コンピュータウィルスに感染していると判定されて削除される。これによって、端末2からの情報漏洩を防止することができる。
As described above, according to the present embodiment, even when a data file in which a pseudo virus pattern is embedded leaks from the
また、図7を参照して説明したように、ブラックリスト内のウィルスパターンと同じ、かつホワイトリスト内の擬似ウィルスパターンと異なるパターンがデータファイルに埋め込まれている場合に、データファイルが削除される。さらに、ブラックリスト内のウィルスパターンと同じ、かつホワイトリスト内の擬似ウィルスパターンと同じパターンがデータファイルに埋め込まれている場合には、データファイルは削除されない。したがって、端末2で擬似ウィルスパターンの埋め込まれたデータファイルが同じ端末2内で削除されることを防止することができる。
In addition, as described with reference to FIG. 7, when a pattern that is the same as the virus pattern in the black list and different from the pseudo virus pattern in the white list is embedded in the data file, the data file is deleted. . Furthermore, when the same pattern as the virus pattern in the black list and the same pattern as the pseudo virus pattern in the white list are embedded in the data file, the data file is not deleted. Therefore, it is possible to prevent the data file in which the pseudo virus pattern is embedded in the terminal 2 from being deleted in the
また、図7を参照して説明したように、ホワイトリスト内のファイル名と異なるファイル名を有するデータファイルに対して、ホワイトリスト内の擬似ウィルスパターンと同じパターンが埋め込まれている場合には、データファイルが削除される。すなわち、データファイル内のパターンが、擬似ウィルスパターンと一致する本物のウィルスパターンであった場合には、そのデータファイルが削除される。これによって、ウィルス感染を防止することができる。 In addition, as described with reference to FIG. 7, when the same pattern as the pseudo virus pattern in the white list is embedded in the data file having a file name different from the file name in the white list, The data file is deleted. That is, if the pattern in the data file is a genuine virus pattern that matches the pseudo virus pattern, the data file is deleted. Thereby, virus infection can be prevented.
また、データファイルに埋め込む擬似ウィルスパターンをブラックリストの中からランダムに選択することによって、仮にデータファイルが端末2から端末3に漏洩した場合でも、そのデータファイルが機密情報を含んでいることを端末3の所有者が推測しにくくすることができる。
Further, by randomly selecting a pseudo virus pattern to be embedded in the data file from the black list, even if the data file leaks from the
また、本実施形態によれば、擬似ウィルスパターンの埋め込まれたデータファイルが、暗号化通信路を形成するP2Pネットワーク上へ漏洩した場合でも、そのデータファイルを受信した端末がデータファイルを復号化し、アンチウィルスソフトの機能によってデータファイルを削除するので、情報漏洩は防止される。さらに、データファイルが途中で他の端末を中継した場合でも、その端末ではデータファイルを復号化できない限り、データファイル内の情報を読み取ることができないため、問題はない。 Further, according to the present embodiment, even when a data file in which a pseudo virus pattern is embedded leaks onto a P2P network that forms an encrypted communication path, a terminal that receives the data file decrypts the data file, Since the data file is deleted by the function of the anti-virus software, information leakage is prevented. Further, even if the data file is relayed to another terminal in the middle, there is no problem because the information in the data file cannot be read unless the data file can be decrypted by the terminal.
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。第1の実施形態で説明したAV機能部22を有していない端末(言い換えると、アンチウィルスソフトがインストールされていない端末)にデータファイルが入力された場合、たとえデータファイルに擬似ウィルスパターンが埋め込まれていても、データファイルは削除されない。このため、AV機能部22を有していない端末を介してデータファイルが漏洩する恐れがある。本実施形態では、このような情報漏洩を抑止する方法を説明する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described. When a data file is input to a terminal that does not have the
本実施形態でも、端末3の構成は端末2と同様であるので、代表して端末2の構成を説明し、端末3の構成の説明を省略する。図9は、本実施形態による端末2の構成を示している。本実施形態では、ウィルスに感染していると判定されたデータファイルの情報を管理する感染ファイル管理部22cがAV機能部22に設けられている。ウィルスに感染していると判定されたデータファイルの情報は、感染ファイルリストとして記憶部24に格納されている。
Also in this embodiment, since the configuration of the
ファイル検査部22aは、データ通信部20によって受信されたデータファイルがウィルスに感染していると判定した場合(言い換えると、そのデータファイルが、ファイル削除部22bによる削除の対象となった場合)に、そのデータファイルの情報を感染ファイル管理部22cに通知する。このデータファイルの情報には、ファイル名、データファイルの送信元の端末の識別情報(その端末のIPアドレス等)、および感染しているウィルスの情報(ウィルス名等)が含まれる。感染しているウィルスの情報として、単にウィルスに感染していることだけを示す情報が含まれていてもよい。感染ファイル管理部22cは記憶部24から感染ファイルリストを読み出し、ファイル検査部22aから通知されたデータファイルの情報を感染ファイルリストに追加し、感染ファイルリストを記憶部24に格納する。
When the
感染ファイル管理部22cは、定期的に、あるいは感染ファイルリストが上記のようにして更新される毎に、感染ファイルリストを記憶部24から読み出し、感染ファイルリストが示すデータファイルの情報を含むファイル(感染通知ファイル)を生成する。この感染通知ファイルは、受信したデータファイルがウィルスに感染していることを他の端末に通知するためのファイル(テキストファイル等)である。この他に、ウィルスに感染していると判定されたデータファイルの中身を消去し、ファイル名に「ウィルス感染」等の文字を追加することによって感染通知ファイルを生成してもよい。
The infected
感染ファイル管理部22cは、生成した感染通知ファイルをデータ通信部20へ出力する。データ通信部20は、端末2と通信可能な他の端末(端末3等)へ、ネットワーク4を介して感染通知ファイルを送信する。端末が感染通知ファイルを受信し、ユーザの指示に基づいて感染通知ファイルの内容を表示すると、ファイル名、データファイルの送信元の端末、および感染しているウィルスの情報等が表示される。
The infected
このような情報が表示されると、ウィルスに感染しているデータファイルを取得したくない、あるいはそのデータファイルを取得したとしても、そのデータファイルを破棄したいという気持ちがユーザに生まれることが期待できる。このような心理的な効果によって、ウィルスに感染しているデータファイルがネットワーク上を伝播することを抑制することができる。特に、AV機能部22を有していない端末を介して感染ファイルが伝播することを抑制することができる。
When such information is displayed, it can be expected that users do not want to acquire a data file infected with a virus or want to destroy the data file even if the data file is acquired. . With such a psychological effect, it is possible to prevent a data file infected with a virus from propagating on the network. In particular, it is possible to suppress the spread of an infected file via a terminal that does not have the
前述したように、擬似ウィルスパターンの埋め込まれたデータファイルが何らかの理由によりネットワーク上に漏洩し、端末2で受信された場合には、ファイル検査部22aによって、そのデータファイルがウィルスに感染していると判定される。したがって、上述した感染ファイル管理部22cの機能により、そのデータファイルに関する感染通知ファイルが他の端末へ送信されるので、機密情報を含むデータファイルが伝播することを抑制することができる。
As described above, when the data file in which the pseudo virus pattern is embedded leaks to the network for some reason and is received by the
感染通知ファイルに含まれる情報として、ファイル名の情報とデータファイルの送信元の端末の情報の両方が含まれている必要はなく、どちらか一方のみが含まれていてもよい。ファイル名の情報が少なくとも含まれていれば、同一のファイル名を有するデータファイルの伝播が抑制される。また、データファイルの送信元の端末の情報が少なくとも含まれていれば、その端末から漏洩するデータファイルの伝播が抑制される。 The information included in the infection notification file need not include both the file name information and the data file transmission source terminal information, and may include only one of them. If at least the file name information is included, the propagation of data files having the same file name is suppressed. Further, if at least information on the terminal of the data file transmission source is included, propagation of the data file leaking from the terminal is suppressed.
上述した方法はより一般的な方法であるが、以下ではP2Pソフト(例えばWinny)を例として、具体的な方法を説明する。以下の方法は、P2Pソフトのファイル検索機能に着目し、アンチウィルスソフトがインストールされていない端末を所持するユーザに対しても、機密情報を含むデータファイルのダウンロードを躊躇させることによって、機密情報の漏洩に対する抑止効果を高める方法である。 Although the above-described method is a more general method, a specific method will be described below using P2P software (for example, Winny) as an example. The following method focuses on the file search function of P2P software and leaks confidential information by letting a user who owns a terminal without anti-virus software to download data files containing confidential information. It is a method to increase the deterrent effect against
P2Pネットワーク上には多数のファイルがアップロードされており、P2Pソフトのユーザは、「キー」と呼ばれるファイルの要約情報を入手している場合に、当該ファイルのダウンロードが可能となる。P2Pソフトがインストールされている端末は周囲の端末と定期的にキーの交換を行っており、それぞれの端末には常に数千〜数万個のキーが蓄えられている。ユーザは、この大量のキーの中から、自分が入手したいファイルのキーを選び、そのファイルをダウンロードする。すなわち、ユーザは、入手したいファイルのキーを、予め端末に蓄えられているキーの中から検索する必要がある。そこで、ユーザがファイルのキー検索を行う場合に、当該ファイルをダウンロードすることをユーザに躊躇させるような仕組みを採り入れる。 A large number of files are uploaded on the P2P network, and when the user of the P2P software obtains summary information of a file called a “key”, the file can be downloaded. A terminal in which P2P software is installed regularly exchanges keys with surrounding terminals, and each terminal always stores thousands to tens of thousands of keys. The user selects the key of the file he wants to obtain from the large number of keys, and downloads the file. That is, the user needs to search for a key of a file to be obtained from keys stored in advance in the terminal. Therefore, when the user performs a key search for a file, a mechanism that makes the user hesitate to download the file is adopted.
具体的には、アンチウィルスソフトの機能を拡張し、P2Pソフトの機能により端末がダウンロードした「A」というファイル名のファイルがウィルスに感染していると判定された場合に、当該ファイルを隔離・削除するのと同時に、「Aはウィルスです.txt」等のファイル名を持つ警告ファイルをP2Pネットワークにアップロードする機能を追加する。例えば、機密情報を含むファイル「Confidential.pdf」がP2Pネットワーク上に漏洩してしまったと仮定する。ここで、事前に組織内の管理者の端末において、ファイル「Confidential.pdf」に対して擬似ウィルスパターンが埋め込まれているものとする。 Specifically, the function of the anti-virus software is expanded, and if it is determined that the file with the file name “A” downloaded by the terminal by the P2P software function is infected with a virus, the file is quarantined / deleted At the same time, a function for uploading a warning file having a file name such as “A is a virus.txt” to the P2P network is added. For example, assume that a file “Confidential.pdf” containing confidential information has leaked onto the P2P network. Here, it is assumed that a pseudo virus pattern is embedded in the file “Confidential.pdf” in advance in the administrator's terminal in the organization.
上記のような機能を追加したアンチウィルスソフトを使用しているユーザの端末がファイル「Confidential.pdf」をダウンロードした場合には、ファイル「Confidential.pdf」がそのユーザの端末から削除されると共に、「Confidential.pdfはウィルスです.txt」という警告ファイルがP2Pネットワークにアップロードされる。その結果、P2Pネットワークには「Confidential.pdf」というファイルのキーだけでなく、「Confidential.pdfはウィルスです.txt」というファイルのキーも拡散していくことになる。 When a user's terminal using anti-virus software with the above functions added downloads the file `` Confidential.pdf '', the file `` Confidential.pdf '' is deleted from the user's terminal and `` A warning file "Confidential.pdf is a virus.txt" is uploaded to the P2P network. As a result, not only the key of the file “Confidential.pdf” but also the key of the file “Confidential.pdf is a virus.txt” spreads in the P2P network.
すなわち、それ以降、そのP2Pネットワークに参加しているユーザの端末には、「Confidential.pdf」と「Confidential.pdfはウィルスです.txt」という2つのキーが一緒に蓄えられていく。よって、その後、ユーザが自分の端末内のキーの中からファイル名を頼りに「Confidential.pdf」というファイル名を検索した際には、「Confidential.pdf」というファイルと共に、「Confidential.pdfはウィルスです.txt」という警告ファイルも見つかることとなる。 That is, thereafter, two keys “Confidential.pdf” and “Confidential.pdf is a virus.txt” are stored together in the terminals of the users participating in the P2P network. Therefore, when the user searches for the file name “Confidential.pdf” from the keys in his terminal, and then searches for the file name “Confidential.pdf”, along with the file “Confidential.pdf” You will also find a warning file called ".txt".
当然ながら、上記の機能が追加されたアンチウィルスソフトがインストールされた端末は、機密ファイルを発見したときにのみ警告ファイルをアップロードするのではなく、本物のウィルスファイルを発見した際にも警告ファイルをアップロードする。P2Pネットワーク上には、不正なファイルも数多く流れているため、キーの検索によって「Confidential.pdfはウィルスです.txt」という警告ファイルが見つかったということは、ファイル「Confidential.pdf」は(機密ファイルであるかもしれないが、恐らく)本物のウィルスに感染しているファイルである可能性が高い。このため、キー検索によって警告ファイルが発見された場合、多くのユーザはファイル「Confidential.pdf」のダウンロードを躊躇すると考えられる。 Of course, a device with anti-virus software installed with the above functions will not upload a warning file only when a confidential file is found, but will also upload a warning file when a genuine virus file is found. To do. Since there are many malicious files on the P2P network, the warning file "Confidential.pdf is a virus.txt" was found by key search. The file "Confidential.pdf" It is likely that the file is infected with a real virus. For this reason, if a warning file is found by key search, many users will hesitate to download the file “Confidential.pdf”.
上述した仕組みを運用することによって、P2Pネットワークに参加しているユーザの多くがアンチウィルスソフトを利用していれば、アンチウィルスソフトを利用していないユーザに対しても、漏洩した機密ファイルのダウンロードを躊躇させることができると期待される。 By operating the mechanism described above, if many users participating in the P2P network use anti-virus software, users who do not use anti-virus software can download the leaked confidential files. It is expected to be able to.
(第3の実施形態)
次に、本発明の第3の実施形態を説明する。図10は、本実施形態によるウィルスパターン管理端末1の構成を示している。本実施形態では、ウィルスパターン管理部11が擬似ウィルスパターン生成部11cを備えている。擬似ウィルスパターン生成部11cは、記憶部12に格納されているブラックリストに基づいて擬似ウィルスパターンを生成する。また、記憶部12は、擬似ウィルスパターン生成部11cによって生成された擬似ウィルスパターンをホワイトリストとして記憶する。
(Third embodiment)
Next, a third embodiment of the present invention will be described. FIG. 10 shows the configuration of the virus
本実施形態によるウィルスパターン管理端末1は以下のように動作する。ウィルスパターン管理部11のウィルスパターン生成部11aは、所定のウィルスパターンを生成し、ブラックリストとして記憶部12に格納する。擬似ウィルスパターン生成部11cは、ブラックリストに基づいて擬似ウィルスパターンを生成し、ホワイトリストとして記憶部12に格納する。
The virus
擬似ウィルスパターンの埋め込まれたデータファイルが漏洩先の端末でより確実に削除されるようにするため、擬似ウィルスパターンが各種のアンチウィルスソフトで検知可能であることが望ましい。そこで、本実施形態の擬似ウィルスパターン生成部11cは以下のように動作する。
It is desirable that the pseudo virus pattern can be detected by various anti-virus software so that the data file in which the pseudo virus pattern is embedded is more reliably deleted at the leakage destination terminal. Therefore, the pseudo virus
記憶部12に格納されたブラックリストでは、図4に示したように、各ウィルスパターンについて、ファイル種別を示す情報401とウィルスパターンの情報402とが関連付けられている。ウィルスパターンの情報402の中には、ウィルスパターンをウィルスの検知に用いるアンチウィルスソフトの種類を示す情報が含まれている。
In the black list stored in the
擬似ウィルスパターン生成部11cは、記憶部12からブラックリストを読み出し、ブラックリスト内のウィルスパターンの中から、異なる種類のアンチウィルスソフトのウィルスパターンを複数選択する。例えば、擬似ウィルスパターン生成部11cは、アンチウィルスソフトAで使用されるウィルスパターンaと、アンチウィルスソフトBで使用されるウィルスパターンbと、アンチウィルスソフトCで使用されるウィルスパターンcとを選択する。
The pseudo virus
続いて、擬似ウィルスパターン生成部11cは、選択した複数のウィルスパターンを結合して1つの擬似ウィルスパターンとする。この擬似ウィルスパターンが埋め込まれたデータファイルは、複数のアンチウィルスソフトでウィルス感染ファイルとして検出されるようになる。
Subsequently, the pseudo virus
また、以下のようにして擬似ウィルスパターンを生成してもよい。擬似ウィルスパターン生成部11cは、記憶部12からブラックリストを読み出し、ブラックリスト内のウィルスパターンの中から、異なる種類のアンチウィルスソフトと関連付けられている同一のウィルスパターンを選択する。例えば、ウィルスパターンdが、アンチウィルスソフトA,B,Cのいずれでも使用されるウィルスパターンである場合に、擬似ウィルスパターン生成部11cはこのウィルスパターンdを擬似ウィルスパターンとして選択する。この擬似ウィルスパターンが埋め込まれたデータファイルも、複数のアンチウィルスソフトでウィルス感染ファイルとして検出されるようになる。
Further, a pseudo virus pattern may be generated as follows. The pseudo virus
擬似ウィルスパターンの生成に続いて、ウィルスパターン配布部11bは、ホワイトリストを端末2へ配布するため、記憶部12からホワイトリストを読み出し、データ通信部10へ出力する。ウィルスパターン配布部11bからホワイトリストが出力された場合、データ通信部10は、ネットワーク4を介してホワイトリストを端末2へ送信する。これと同様に、ブラックリストも適宜、端末2へ送信される。ホワイトリストの送信は暗号化通信で行うことがより望ましい。
Following the generation of the pseudo virus pattern, the virus
図11は、本実施形態による端末2の構成を示している。本実施形態のウィルスパターン管理部21は擬似ウィルスパターンの生成機能を有していない。この端末2は以下のように動作する。ウィルスパターン取得部21aは、ウィルスパターン管理端末1からホワイトリストまたはブラックリストが送信された場合に、データ通信部20によって受信されたホワイトリストまたはブラックリストをデータ通信部20から受け取り、記憶部24に格納する。
FIG. 11 shows the configuration of the
擬似ウィルスパターンの埋め込み処理の開始が指示された場合、擬似ウィルスパターン埋め込み部21cは、記憶部24からホワイトリストを読み出す。擬似ウィルスパターン埋め込み部21cは、ホワイトリスト内の擬似ウィルスパターンの中から、擬似ウィルスパターン埋め込み部21cから通知されたファイル種別と関連付けられている擬似ウィルスパターンを選択し、その擬似ウィルスパターンをデータファイルに埋め込む。また、AV機能部22の動作は第1の実施形態と同様である。
When the start of the pseudo virus pattern embedding process is instructed, the pseudo virus
本実施形態の擬似ウィルスパターンは、複数種類のアンチウィルスソフトで検出可能なパターンである。したがって、擬似ウィルスパターンの埋め込まれたデータファイルが端末2から例えば端末3に流出した場合に、端末3において、アンチウィルスソフトの機能(AV機能部22)によって、擬似ウィルスパターンがより確実に検知されるようになる。すなわち、端末2からの情報漏洩をより確実に防止することができる。
The pseudo virus pattern of the present embodiment is a pattern that can be detected by a plurality of types of anti-virus software. Therefore, when the data file in which the pseudo virus pattern is embedded flows out from the
本実施形態では、ウィルスパターン管理端末1と端末2が企業等の同一の組織内に属していることを想定しているが、組織内で複数の端末が存在し、機密情報を含むデータファイルをそれらの端末で利用可能とする場合には、それらの端末に対してウィルスパターン管理端末1からホワイトリストが配布される。また、本実施形態の擬似ウィルスパターン生成部11cの機能(各種のアンチウィルスソフトで検知可能な擬似ウィルスパターンを生成する機能)をウィルスパターン管理端末1ではなく端末2が有していてもよい。
In this embodiment, it is assumed that the virus
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の各実施形態に登場する個々の要素を適宜組み合わせて実施してもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, the individual elements appearing in each of the above embodiments may be appropriately combined and implemented.
また、本発明をゲートウェイに適用してもよく、ゲートウェイが暗号化通信の終端となる機能を設けておくことで、擬似ウィルスパターンの埋め込まれたデータファイルの送受信を監視することが可能となる。これを実現するためには、ネットワーク内部の端末とネットワーク外部の端末の間でエンド・エンドとなる暗号化通信パスを構築させない通信ポリシーを用意して、ゲートウェイにVPN(Virtual Private Network)機能を持たせればよい。 In addition, the present invention may be applied to a gateway, and by providing a function for the gateway to terminate encrypted communication, it is possible to monitor transmission / reception of a data file in which a pseudo virus pattern is embedded. To achieve this, prepare a communication policy that does not establish an end-to-end encrypted communication path between a terminal inside the network and a terminal outside the network, and the gateway has a VPN (Virtual Private Network) function. You can do it.
また、上述した各実施形態によるウィルスパターン管理端末1や端末2,3の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
Further, a program for realizing the operations and functions of the virus
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
1・・・ウィルスパターン管理端末、2,3・・・端末、10,20・・・データ通信部(データ入力手段、受信手段、送信手段)、12,24・・・記憶部(データ記憶手段、ウィルスパターン記憶手段、埋め込み用パターン記憶手段)、11c,21b・・・擬似ウィルスパターン生成部(パターン選択手段)、21c・・・擬似ウィルスパターン埋め込み部(パターン埋め込み手段)、23・・・記録媒体インタフェース部(データ入力手段)、22b・・・ファイル削除部(データ削除手段)、22c・・・感染ファイル管理部(感染通知情報生成手段)
DESCRIPTION OF
Claims (7)
コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、
前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、
選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段と、
前記埋め込み用パターンを記憶する埋め込み用パターン記憶手段と、
前記ウィルスパターン記憶手段が記憶する前記ウィルスパターンと同じ、かつ前記埋め込み用パターン記憶手段が記憶する前記埋め込み用パターンと異なるパターンが前記データに埋め込まれている場合に、当該データを削除するデータ削除手段と、
を備えたことを特徴とする電子機器。 Data storage means for storing data;
Virus pattern storage means for storing a virus pattern used for detecting a computer virus;
Pattern selecting means for selecting an embedding pattern embedded in the data from the virus pattern;
Pattern embedding means for embedding the selected embedding pattern in the data;
An embedding pattern storage means for storing the embedding pattern;
Data deletion means for deleting the data when the same pattern as the virus pattern stored in the virus pattern storage means and different from the embedding pattern stored in the embedding pattern storage means is embedded in the data When,
An electronic device characterized by comprising:
コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、
前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、
選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段と、
前記埋め込み用パターンが埋め込まれたデータを識別するデータ識別情報と前記埋め込み用パターンとを関連付けて記憶する埋め込み用パターン記憶手段と、
前記埋め込み用パターン記憶手段が記憶する前記データ識別情報が示すデータとは異なるデータに対して、前記埋め込み用パターン記憶手段が記憶する前記埋め込み用パターンと同じパターンが埋め込まれている場合に、当該データを削除するデータ削除手段と、
を備えたことを特徴とする電子機器。 Data storage means for storing data;
Virus pattern storage means for storing a virus pattern used for detecting a computer virus;
Pattern selecting means for selecting an embedding pattern embedded in the data from the virus pattern;
Pattern embedding means for embedding the selected embedding pattern in the data;
Embedding pattern storage means for associating and storing data identification information for identifying data in which the embedding pattern is embedded and the embedding pattern;
When the same pattern as the embedding pattern stored by the embedding pattern storage unit is embedded in data different from the data indicated by the data identification information stored by the embedding pattern storage unit, the data Data deletion means for deleting
An electronic device characterized by comprising:
コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、
前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、
選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段と、
他の電子機器からデータを受信する受信手段と、
前記受信手段によって受信されたデータに対して、前記ウィルスパターン記憶手段が記憶する前記ウィルスパターンと同じパターンが埋め込まれている場合に、当該データを識別するデータ識別情報、および当該データの送信元を識別する送信元識別情報の少なくともいずれかの情報と、当該データがコンピュータウィルスに感染していることを示す情報とを含む感染通知情報を生成する感染通知情報生成手段と、
他の電子機器へ前記感染通知情報を送信する送信手段と、
を備えたことを特徴とする電子機器。 Data storage means for storing data;
Virus pattern storage means for storing a virus pattern used for detecting a computer virus;
Pattern selecting means for selecting an embedding pattern embedded in the data from the virus pattern;
Pattern embedding means for embedding the selected embedding pattern in the data;
Receiving means for receiving data from other electronic devices;
When the same pattern as the virus pattern stored in the virus pattern storage unit is embedded in the data received by the receiving unit, the data identification information for identifying the data and the transmission source of the data are Infection notification information generating means for generating infection notification information including at least one piece of information of the sender identification information to be identified and information indicating that the data is infected with a computer virus;
Transmitting means for transmitting the infection notification information to another electronic device;
An electronic device characterized by comprising:
コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、
前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、
選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段と、
を備え、
前記ウィルスパターン記憶手段は、前記ウィルスパターンと、当該ウィルスパターンを前記コンピュータウィルスの検知に用いるアンチウィルスソフトを識別するソフト識別情報とを関連付けて記憶し、
前記パターン選択手段は、異なる前記ソフト識別情報と関連付けられている複数の前記ウィルスパターンを前記埋め込み用パターンとして選択する
ことを特徴とする電子機器。 Data storage means for storing data;
Virus pattern storage means for storing a virus pattern used for detecting a computer virus;
Pattern selecting means for selecting an embedding pattern embedded in the data from the virus pattern;
Pattern embedding means for embedding the selected embedding pattern in the data;
With
The virus pattern storage means stores the virus pattern in association with software identification information for identifying the anti-virus software used for detecting the computer virus.
The electronic device characterized in that the pattern selection means selects a plurality of the virus patterns associated with different soft identification information as the embedding pattern.
コンピュータウィルスの検知に用いられるウィルスパターンを記憶するウィルスパターン記憶手段と、
前記データに埋め込まれる埋め込み用パターンを前記ウィルスパターンの中から選択するパターン選択手段と、
選択された前記埋め込み用パターンを前記データに埋め込むパターン埋め込み手段と、
を備え、
前記ウィルスパターン記憶手段は、前記ウィルスパターンと、当該ウィルスパターンを前記コンピュータウィルスの検知に用いるアンチウィルスソフトを識別するソフト識別情報とを関連付けて記憶し、
前記パターン選択手段は、異なる前記ソフト識別情報と関連付けられている同一の前記ウィルスパターンを前記埋め込み用パターンとして選択する
ことを特徴とする電子機器。 Data storage means for storing data;
Virus pattern storage means for storing a virus pattern used for detecting a computer virus;
Pattern selecting means for selecting an embedding pattern embedded in the data from the virus pattern;
Pattern embedding means for embedding the selected embedding pattern in the data;
With
The virus pattern storage means stores the virus pattern in association with software identification information for identifying the anti-virus software used for detecting the computer virus.
The electronic device characterized in that the pattern selection means selects the same virus pattern associated with different software identification information as the embedding pattern.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007006883A JP4925109B2 (en) | 2007-01-16 | 2007-01-16 | Electronic device, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007006883A JP4925109B2 (en) | 2007-01-16 | 2007-01-16 | Electronic device, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008176377A JP2008176377A (en) | 2008-07-31 |
JP4925109B2 true JP4925109B2 (en) | 2012-04-25 |
Family
ID=39703376
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007006883A Expired - Fee Related JP4925109B2 (en) | 2007-01-16 | 2007-01-16 | Electronic device, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4925109B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010198565A (en) * | 2009-02-27 | 2010-09-09 | Hitachi Ltd | Method of detecting illegal program, program for detecting illegal program, and information processing apparatus |
KR101284754B1 (en) * | 2011-11-11 | 2013-08-23 | 단국대학교 산학협력단 | Method and system for preventing automatic online propagations of software-development documents scanned illegally |
JP2014112322A (en) * | 2012-12-05 | 2014-06-19 | Hitachi Ltd | Information control system and method of security check |
US9202065B2 (en) * | 2013-05-28 | 2015-12-01 | Globalfoundries Inc. | Detecting sensitive data access by reporting presence of benign pseudo virus signatures |
JP5793251B2 (en) | 2013-06-21 | 2015-10-14 | 株式会社野村総合研究所 | Information processing apparatus, e-mail browsing restriction method, computer program, and information processing system |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6205551B1 (en) * | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
JP2008071177A (en) * | 2006-09-14 | 2008-03-27 | Fujitsu Ltd | Information processor, control method, and program for making computer execute same method |
-
2007
- 2007-01-16 JP JP2007006883A patent/JP4925109B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008176377A (en) | 2008-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7832012B2 (en) | Method and system for isolating suspicious email | |
US9565200B2 (en) | Method and system for forensic data tracking | |
US10331889B2 (en) | Providing a fastlane for disarming malicious content in received input content | |
US8255926B2 (en) | Virus notification based on social groups | |
JP5917573B2 (en) | Real-time data awareness and file tracking system and method | |
US9003531B2 (en) | Comprehensive password management arrangment facilitating security | |
JP5607130B2 (en) | Safety box | |
JP5404030B2 (en) | Electronic file transmission method | |
CN101960460A (en) | Secure file transmission and reputation are searched | |
JP4925109B2 (en) | Electronic device, program, and recording medium | |
JP2016063443A (en) | Mail monitoring device and method | |
JP6943094B2 (en) | Email monitoring system, email monitoring device and email monitoring program | |
JP5322288B2 (en) | COMMUNICATION PROCESSING DEVICE, COMMUNICATION PROCESSING METHOD, AND PROGRAM | |
Thakur et al. | Ransomware: Threats, identification and prevention | |
Loshin | Practical anonymity: Hiding in plain sight online | |
Guri et al. | Using malware for the greater good: Mitigating data leakage | |
JP2007065953A (en) | Data management system and quenching program for data management | |
JP2008276580A (en) | Electronic system, electronic equipment, virus pattern management device, program, and recording medium | |
KR102412298B1 (en) | System for multimedia file security, operating method thereof and recording medium | |
Guri et al. | Limiting access to unintentionally leaked sensitive documents using malware signatures | |
JP2008123176A (en) | History management system, information terminal equipment and program for computer | |
TWI647585B (en) | Malicious virus protection method | |
Valatsos | Spyware technologies | |
KR101543338B1 (en) | System and method for disinfection pocessing the inputing files | |
Christie Jr | What Should an Ethical Lawyer Know about Technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090710 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110728 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110802 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110927 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120201 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150217 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4925109 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |