JP5274227B2 - ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム - Google Patents
ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム Download PDFInfo
- Publication number
- JP5274227B2 JP5274227B2 JP2008314952A JP2008314952A JP5274227B2 JP 5274227 B2 JP5274227 B2 JP 5274227B2 JP 2008314952 A JP2008314952 A JP 2008314952A JP 2008314952 A JP2008314952 A JP 2008314952A JP 5274227 B2 JP5274227 B2 JP 5274227B2
- Authority
- JP
- Japan
- Prior art keywords
- web page
- virtual machine
- information
- url
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
これに対して、ここ最近急激に増加しているのが、ウェブサイトを利用した「受動的な攻撃」型のマルウェアである。このようなマルウェアは、例えば、ウェブサーバの脆弱性を突いて書き換えられたウェブページを閲覧しただけで感染するように仕掛けられている。安全なはずの一般企業のウェブページが書き換えられることもあるため、「怪しいウェブサイト」に近付かないように気を付けていてもマルウェアに感染する事例は増えている。
しかしながら、特許文献1の技術において、自動巡回ロボットは、ウェブ検索サービス機能を持ったウェブサイトで稼働するプログラムのように、複数のウェブサイト/ページを自動的に渡り歩いているに過ぎず、ウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があるかどうかを検査する対象として指定されたウェブページを渡り歩いて検査することはできないという問題点があった。
その場合、この装置は、第一に、アクセス手段によるウェブページへのアクセスの際の通信のログを保存する第1の保存手段を更に備え、生成手段は、第1の保存手段により保存された通信のログを更に含む表示情報を生成する、ものであってよく、第1の保存手段は、ウェブページにアクセスした際にダウンロードされたデータを更に保存し、生成手段は、第1の保存手段により保存されたデータにアクセスするための記述を更に含む表示情報を生成する、ものであってよい。そして、受信手段、送信手段、第1の保存手段は、実マシン上で動作する、ものであってよい。
また、この装置は、第二に、検出手段により検出された状態の変化のログを保存する第2の保存手段を更に備え、生成手段は、第2の保存手段により保存された状態の変化のログを更に含む表示情報を生成する、ものであってよい。そして、受信手段、送信手段は、実マシン上で動作し、第2の保存手段は、仮想マシン上で動作し、生成手段は、検出手段による状態の変化の検出に応じた仮想マシンの再構築に先立ち、第2の保存手段により保存された状態の変化のログを実マシンに出力し、実マシンに出力された状態の変化のログを用いて表示情報を生成する、ものであってよい。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムは、クライアント10a,10bと、サーバ20とが、ネットワーク80を介して接続されている。
ネットワーク80は、情報の送受信に用いる通信回線である。このネットワーク80としては、インターネットやLAN(Local Area Network)が例示される。
図2は、サーバ20の機能構成例を示したブロック図である。
上述したように、サーバ20では、実マシン上に仮想マシンが構築されているので、図示するように、実マシン上で動作するOS(以下、「ホストOS」という)30と、仮想マシン上で動作するOS(以下、「ゲストOS」という)40とが動作している。そして、サーバ20は、ホストOS30上で動作する機能として、通信部31と、URLリスト生成部32と、URLリスト記憶部33と、通信情報記憶部34と、巡回情報記憶部35と、状態変化情報記憶部36と、再起動部37と、ページ生成部38とを備えている。また、ゲストOS40上で動作する機能として、URL読出し部41と、ブラウザ部42と、状態変化監視部43と、状態変化ログ記憶部44と、情報出力部45とを備えている。
通信部31は、クライアント10からURLリストを含むファイルを受信したり、URLリスト内のURLのページの検査結果をクライアント10に送信したりする。また、ゲストOS40と外部との間の通信も行い、このときの通信ログを採取して通信情報記憶部34に記憶する。本実施の形態では、ウェブページ特定情報の一例として、URLを用いており、ウェブページ特定情報を他の装置から受信する受信手段の一例として、また、ウェブページの検査結果を他の装置に送信する送信手段の一例として、通信部31を設けている。
まず、URLへのアクセス時の通信を集約して処理するため、例えばPerlスクリプトで作成したプロキシを用意し、かつ、仮想マシンとの間にHost−Onlyの仮想ネットワークを作成する。そして、URLへのアクセス時の通信は全てこのプロキシを経由させ、将来的な拡張、例えばアクセス先のコンテンツに含まれるリンク先の収集といった機能を具備することを可能とする。このような状態で、プロキシのネットワーク80側のネットワークインターフェイスにtcpdumpをバインドさせ、通信ログを記録させる。
URLリスト記憶部33は、URLリスト生成部32が生成したURLリストを記憶する。
巡回情報記憶部35は、ゲストOS40上で動作するブラウザ部42がURLリストに基づいてページを巡回した際に得られるURLごとの情報(以下、「巡回情報」という)を記憶する。
状態変化情報記憶部36は、ゲストOS40上で動作するブラウザ部42がURLリストに基づいてページを巡回した際のゲストOS40上のシステムの状態の変化に関する情報(以下、「状態変化情報」という)を記憶する。本実施の形態では、状態の変化のログを保存する第2の保存手段の一例として、状態変化情報記憶部36を設けている。
ページ生成部38は、URLリスト記憶部33に記憶されたURLリスト、巡回情報記憶部35に記憶された巡回情報、通信情報記憶部34に記憶された通信情報、状態変化情報記憶部36に記憶された状態変化情報に基づいて、クライアント10に表示するページを生成する。本実施の形態では、表示情報を生成する生成手段の一例として、ページ生成部38を設けている。
URL読出し部41は、URLリスト記憶部33からURLを読み出す。このURL読出し部41は、例えば、仮想マシンにおいて事前に読み込まれているカーネルドライバによって実現すればよく、ホストOS30は、URLリストに含まれるURLを、事前に定義した制御チャネルを通じてURL読出し部41に通知する。また、URL読出し部41は、URLを読み出すと、ブラウザ部42を起動し、読み出したURLにアクセスさせる。このような一連の動作を繰り返し行うことで、サーバ20は、URLリストで指定されたページを巡回する。
ブラウザ部42は、URL読出し部41が読み出したURLに基づいてページにアクセスする。ゲストOS40としてWindows(登録商標)を用いたとすると、このブラウザ部42としては、例えば、Internet Explorer(登録商標)を用いることができる。本実施の形態では、ウェブページにアクセスするアクセス手段の一例として、ブラウザ部42を設けている。
まず、プロセスの監視である。
下記(1),(2)のAPIを利用することでカーネルによるプロセス生成処理に対する通知処理を登録する。これによりカーネルによるプロセス生成処理に併せて独自のプロセスエントリを生成し、状態変化監視部43が管理する。また、その情報をロギング機能により状態変化ログ記憶部44に記録する。
(1)PsSetCreateProcessNotifyRoutine
カーネルによるプロセス生成処理時に対象プロセスの親プロセスのコンテキストにおいて実行される通知処理を登録するためのAPI
(2)PsSetLoadImageNotifyRoutine
カーネルによるプロセス生成処理時に対象プロセスのコンテキストにおいて、対象プロセスにロードされる実行モジュールがロードされる際に実行される通知処理を登録するためのAPI
これにより、あらゆるプロセス並びにスレッドの新規生成を記録するようにした。
SSDT(System Service Description Table)フッキングにより下記(3),(4)のAPIのフィルタリングを行う。これによりファイル生成時のファイルハンドルを記録し、そのファイルハンドルが開放された直後に対象ファイルのバックアップを行う。また、その情報をロギング機能により状態変化ログ記憶部44に記録する。
(3)ZwCreateFile
ファイルの生成処理を行うためのAPI
(4)ZwClose
ハンドルの開放を行うためのAPI
尚、この処理では、ブラウザ部42が使用する一時ディレクトリ以外の全てのディレクトリに含まれるファイルを対象とした。これにより、極力全てのプロセスとマルウェア検体の収集を図るものとした。
情報出力部45は、状態変化ログ記憶部44における状態変化ログの記録の状況に基づいて、仮想マシンがマルウェアに感染したと判定する。そして、一定時間後に発生するホストOS30からの問い合わせに対して感染を報告し、URL読出し部41から受け取った情報を巡回情報記憶部35及び状態変化情報記憶部36に記録し、状態変化ログ記憶部44に記録された状態変化ログを状態変化情報記憶部36にコピーし、マルウェアの検体をホストOS30の管理下にある記憶領域(図示せず)にコピーする。本実施の形態では、仮想マシン内の状態の変化を検出する検出手段の一例として、情報出力部45を設けている。
また、仮想マシンで収集されたマルウェアの検体の回収は、VIX APIを使用したスクリプトによって実現可能である。VMWare(登録商標)に標準で用意されているVIX APIを使用することで、仮想マシンの操作を自動化することや、仮想マシン内でスクリプトを実行すること、或いは仮想マシン間でファイルを転送することが可能となる。
まず、本実施の形態においてクライアント10に表示される初期ページについて説明する。
図3は、クライアント10に表示される初期ページの一例を示した図である。尚、この初期ページは、例えば、HTML文書として作成されている。
図示するように、この初期ページは、メールアドレス記述101と、登録フォーム102と、新規登録ボタン105とを含んでいる。
また、登録フォーム102は、検査対象のURLを一般的なファイルの形式でサーバ20に伝えるために用いられるものである。タグをファイル名とし、URLを内容とするファイルを参照ボタン103で指定し、登録ボタン104でサーバ20にアップロードすれば、ファイルに記述されたURLのページの検査がサーバ20にて行われ、クライアント10は、その検査結果をタグで検索可能な形式で受信することになる。
更に、新規登録ボタン105は、検査対象のURLを手入力によりサーバ20に伝えるために用いられるものである。新規登録ボタン105を押下して表示された入力画面にタグ及びURLを入力してサーバ20に送信すれば、入力されたURLのページの検査がサーバ20にて行われ、クライアント10は、その検査結果をタグで検索可能な形式で受信することになる。
図4は、このときのサーバ20のホストOS30上の各機能の動作例を示したフローチャートである。尚、この動作例において、ファイルの1行には1つのURLが記述されているものとする。
クライアント10からファイルが送信されると、サーバ20では、まず、通信部31が、ファイルを受信し、URLリスト生成部32に受け渡す(ステップ301)。
すると、URLリスト生成部32は、受け渡されたファイルからファイル名を取得する(ステップ302)。
その結果、EOFでなければ、URLリスト生成部32は、ステップ302で取得したファイル名を、URLリスト記憶部33内のタグ欄に記憶する(ステップ305)。また、ステップ303で読み出した1行のURLをURLリスト記憶部33内のURL欄に記憶する(ステップ306)。更に、URLリスト記憶部33内の巡回済フラグ欄には、巡回済でないことを示す「OFF」を記憶する(ステップ307)。
その後、ステップ303〜307の処理を繰り返すが、ファイル内のURLを全て読み出すと、ステップ304でEOFと判定されるので、処理は終了する。
図5は、URLリストの具体的な内容を示した図である。
図示するように、URLリストは、タグと、URLと、巡回済フラグとを対応付けたものとなっている。
URLは、ユーザがサーバ20に送信したURLリストに含まれる個々のURLである。
巡回済フラグは、対応するURLのページを巡回したかどうかを示すフラグである。URLリストにURLが登録されたばかりで未巡回の場合は「OFF」に設定され、その後、ページを巡回すると、そのページのURLの巡回済フラグは「ON」に書き換えられる。
図6は、このときのサーバ20のゲストOS40上の各機能の動作例を示したフローチャートである。
まず、URL読出し部41は、URLリスト記憶部33に記憶されたURLリストから1行を読み出し(ステップ401)、EOFであるかどうかを判定する(ステップ402)。
その結果、EOFでなければ、URL読出し部41は、ステップ401で読み出した行に含まれるURLをブラウザ部42に渡し、ブラウザ部42が、渡されたURLを用いてページにアクセスする(ステップ403)。このとき、ブラウザ部42から外部のページへのアクセスは、ホストOS30上の通信部31を介して行われ、そのときの通信のログが通信情報記憶部34に記憶される。また、このとき、ブラウザ部42は、例えば、ページへのアクセスのための一連の通信が終了した日時を巡回日時とし、ページへのアクセスが完了した旨と巡回日時とをURL読出し部41に伝える。すると、URL読出し部41は、URLリスト記憶部33内の巡回済フラグを「ON」に書き換える(ステップ404)。そして、URL読出し部41は、ステップ401で読み出した行に含まれるタグ及びURLと、ステップ403で取得した巡回日時とを情報出力部45に渡し、情報出力部45は、タグ、URL、巡回日時、巡回が完了したことを示すステータス「Done」を、それぞれ、ホストOS30上の巡回情報記憶部35内のタグ欄、URL欄、巡回日時欄、ステータス欄に記憶する(ステップ405)。
その結果、状態変化ログ記憶部44に状態変化ログが記録されていると判定されれば、情報出力部45は、ステップ401で読み出した行に含まれるURLが悪性URLであることを示す判定「exploit」と、状態変化ログ記憶部44に記憶された状態変化ログとをホストOS30上に保存する(ステップ407)。具体的には、巡回情報記憶部35において、ステップ405で記憶したURL及び巡回日時の組み合わせに対する判定欄に「exploit」を記憶する。また、ステップ405で巡回情報記憶部35に記憶したURL及び巡回日時の組み合わせと、状態変化ログ記憶部44に記憶されたイベント発生日時、イベントID、プロセスID、イベントタイプ、検体活動情報とを、状態変化情報記憶部36に記憶する。更に、状態変化ログ記憶部44に記憶されたマルウェアの検体を記憶領域(図示せず)に保存し、通信情報記憶部34において、ステップ405で記憶したURL及び巡回日時の組み合わせに対する検体欄にその記憶領域のアドレス情報を記憶する。そして、情報出力部45は、仮想マシンの再起動を再起動部37に指示する(ステップ408)。これにより、仮想マシンは再起動され、仮想マシン内の状態の変化はクリアされることになる。
図7は、通信情報の具体的な内容を示した図である。
図示するように、通信情報は、URLと、巡回日時と、通信日時と、通信時間と、IPアドレス/ポート番号と、プロトコルと、データ量と、通信内容と、検体とを対応付けたものとなっている。
URLは、既述の通り、ユーザがサーバ20に送信したURLリストに含まれる個々のURLである。
巡回日時は、対応するURLのページを巡回した日時である。
通信日時は、対応するURLのページにアクセスするために発生した個々の通信の日時である。
通信時間は、対応するURLのページにアクセスするために発生した個々の通信に要した時間である。
IPアドレス/ポート番号は、対応するURLのページにアクセスするために発生した個々の通信における送信元及び送信先のIPアドレス及びポート番号である。
プロトコルは、対応するURLのページにアクセスするために発生した個々の通信で用いられたプロトコルである。
データ量は、対応するURLのページにアクセスするために発生した個々の通信でやり取りされたデータの容量である。
通信内容は、対応するURLのページにアクセスするために発生した個々の通信でやり取りされた実際のデータである。或いは、実際のデータは、別の記憶領域に記憶しておき、その記憶領域のアドレス情報を記憶するようにしてもよい。
検体は、仮想マシンにて捕捉されたマルウェアの検体を保存した記憶領域のアドレス情報を意味する。
図8は、巡回情報の具体的な内容を示した図である。
図示するように、巡回情報は、タグと、URLと、巡回日時と、ステータスと、判定とを対応付けたものとなっている。
タグ、URL、巡回日時については、既に述べたので、ここでの説明は省略する。
ステータスは、対応するURLのページの巡回が完了したかどうかを示す情報である。巡回が完了したURLに対して「Done」が書き込まれる。
判定は、対応するURLがアクセスするとマルウェアに感染する可能性のある悪性URLであるかどうかを示す情報である。悪性URLに対して「exploit」が書き込まれる。
図9は、状態変化情報の具体的な内容を示した図である。
図示するように、状態変化情報は、URLと、巡回日時と、イベント発生日時、イベントID、プロセスID、イベントタイプ、検体活動情報とを対応付けたものとなっている。
URL、巡回日時については、既に述べたので、ここでの説明は省略する。
イベント発生日時は、状態の変化を生じさせたイベントが発生した日時である。
イベントIDは、状態の変化を生じさせたイベントを一意に識別するための情報である。
プロセスIDは、状態の変化を生じさせたプロセスを一意に識別するための情報である。
イベントタイプは、状態の変化を生じさせたイベントの種類を示す情報である。例えば、プロセスを生成するイベントであれば「CREATE_PROCESS」が記憶され、ファイルを生成するイベントであれば「CREATE_FILE」が記憶される。
検体活動情報は、状態の変化を生じさせたイベントの対象となるプロセスやファイルを示す情報である。
図10は、このときのページ生成部38の動作例を示したフローチャートである。
まず、ページ生成部38は、悪性URL数、累積検体数、巡回待ちURL数を取得し、トップページにセットする(ステップ321)。ここで、悪性URL数としては、巡回情報記憶部35に記憶されたURLのうち、判定「exploit」が対応付けられたURLの数を取得すればよい。また、累積検体数としては、通信情報記憶部34に記憶された通信情報内の検体のアドレス情報を用いて、これまでに捕捉した検体の種類の数を求めて記憶しておき、その求めた数を取得すればよい。更に、巡回待ちURL数としては、URLリスト記憶部33に記憶されたURLのうち、巡回済フラグ「OFF」が対応付けられたURLの数を取得すればよい。
その結果、EOFでなければ、ページ生成部38は、ステップ322で読み出した1行分の情報をトップページにセットする(ステップ324)。具体的には、URL、ステータス、判定、タグ、巡回日時をセットする。
その結果、EOFでなければ、ページ生成部38は、ステップ325で読み出した1行分の情報をトップページにリンクされたリンク先ページBにセットする(ステップ327)。トップページには4つのリンク先ページA,B,C,Dがリンクされており、ここでは、そのうちのリンク先ページBに情報をセットするものとする。詳細は後述する。具体的には、通信日時、通信時間、IPアドレス/ポート番号、プロトコル、データ量、通信内容及び検体へのリンク記述をセットする。
その後、ステップ325〜327の処理を繰り返すが、通信情報記憶部34内の目的のURL及び巡回日時の組み合わせに対応する通信情報を全て読み出すと、ステップ326でEOFと判定されるので、状態変化情報に関する処理に移行する。
その結果、EOFでなければ、ページ生成部38は、ステップ328で読み出した1行分の情報をトップページにリンクされたリンク先ページCにセットする(ステップ330)。上述したように、トップページには4つのリンク先ページA,B,C,Dがリンクされているが、ここでは、そのうちのリンク先ページCに情報をセットするものとする。詳細は後述する。具体的には、イベント発生日時、イベントID、プロセスID、イベントタイプ、検体活動情報をセットする。
その後、ステップ328〜330の処理を繰り返すが、状態変化情報記憶部36内の目的のURL及び巡回日時の組み合わせに対応する状態変化情報を全て読み出すと、ステップ329でEOFと判定される。そこで、ステップ322に戻り、次の巡回情報について同様の処理を繰り返す。そして、巡回情報記憶部35から巡回情報を全て読み出すと、ステップ323でEOFと判定されるので、ページ生成部38は、生成されたページを通信部31に受け渡す。すると、通信部31は、受け取ったページをクライアント10に送信する(ステップ331)。
図11〜14は、クライアント10に表示されるページの一例を示した図である。
まず、図11は、トップページ(巡回情報ページ)を示している。尚、この巡回情報ページは、例えば、HTML文書として作成されている。
この巡回情報ページは、図3の初期ページに表示されたURLリストのアップロードのための記述の下に、巡回情報が表示されたものとなっている。尚、この巡回情報は、図10のステップ324でセットされたものである。
ここで、巡回情報にはタグが含まれ、前述した通り、検索ボタン111を用いてタグを検索キーとした検索が行えるようになっている。
また、巡回情報の各行の右端には、履歴ボタン112、編集ボタン113、削除ボタン114、表示ボタン115が設けられている。このうち、編集ボタン113は、対応する行のURLを編集するためのボタンであり、削除ボタン114は、対応する行を削除するためのボタンであり、表示ボタン115は、対応する行のURLに関するより詳細な情報を表示するためのボタンである。また、履歴ボタン112は、対応する行のURLに関する各種履歴等を表示するためのボタンである。
図13は、リンク先ページB(通信情報ページ)を示している。尚、この通信情報ページも、例えば、HTML文書として作成されている。ここでは、URL「http://drmyy.cn/」に対応する通信ログボタン122を押下することにより表示された通信情報ページを想定しているので、そのURLの行の下に、通信情報が表示されたものとなっている。具体的には、左から、シーケンシャル番号、通信日時、通信時間、IPアドレス/ポート番号(左側が送信元、右側が送信先)、プロトコル、データ量、通信内容及び検体へのリンク記述となっている。図では、記述131(「as_html」)が、通信内容を表すHTML文書へのリンク記述であり、記述132(「session__0004.part_01.data」)が、検体(そのURLのページからダウンロードされたデータ)へのリンク記述である。尚、この通信情報は、図10のステップ327でセットされたものである。
図14は、リンク先ページC(状態変化情報ページ)を示している。尚、この状態変化情報ページも、例えば、HTML文書として作成されている。ここでは、URL「http://drmyy.cn/」に対応する通信ログボタン122を押下することにより表示された状態変化情報ページを想定しているので、そのURLの行の下に、状態変化情報が表示されたものとなっている。具体的には、左から、イベント発生日時、イベントID、プロセスID、イベントタイプ、検体活動情報となっている。尚、この状態変化情報は、図10のステップ330でセットされたものである。
ところで、本実施の形態では、通信部31、URLリスト生成部32、URLリスト記憶部33、通信情報記憶部34、巡回情報記憶部35、状態変化情報記憶部36、ページ生成部38をホストOS30上で動作するものとしたが、これらをゲストOS40上で動作するものとしてもよい。その場合、仮想マシンのマルウェアへの感染に応じた仮想マシンの再起動に先立ち、仮想マシンの再起動後に使用するデータ(例えば、URLリスト)は、ゲストOS40に出力して保全しておく必要がある。
Claims (11)
- 実マシン上に仮想的なマシン環境である仮想マシンが構築された装置において、
ウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があるかどうかを検査する対象の当該ウェブページを特定するウェブページ特定情報を他の装置から受信する受信手段と、
前記仮想マシン上で動作し、前記受信手段により受信した前記ウェブページ特定情報で特定されるウェブページにアクセスするアクセス手段と、
前記アクセス手段による前記ウェブページへのアクセスの際の通信のログを保存する通信ログ保存手段と、
前記仮想マシン上で動作し、当該仮想マシン内の状態の変化を検出する検出手段と、
前記検出手段により前記状態の変化が検出された場合に、前記アクセス手段による前記ウェブページへのアクセスの際に前記仮想マシンの管理下にある第1の記憶領域にダウンロードされたマルウェアの検体を、前記実マシンの管理下にある第2の記憶領域に複写する複写手段と、
前記検出手段により前記状態の変化が検出された場合に、前記受信手段により受信した前記ウェブページ特定情報で特定されるウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があることを示す当該ウェブページの検査結果を表示するための表示情報であって、前記通信ログ保存手段により保存された前記通信のログから前記第2の記憶領域へのリンク記述を含む表示情報を前記他の装置に送信する送信手段と
を備えたことを特徴とするウェブページ検査装置。 - 前記受信手段は、前記ウェブページ特定情報を、当該ウェブページ特定情報の記述を含むファイルとして受信することを特徴とする請求項1記載のウェブページ検査装置。
- 前記送信手段は、前記ウェブページの検査結果を含む複数の検査結果を表示するための表示情報であって、前記ファイルのファイル名を検索キーとして当該複数の検査結果の中から当該ウェブページの検査結果を検索可能な表示情報を、前記他の装置に送信することを特徴とする請求項2記載のウェブページ検査装置。
- 前記受信手段は、前記ウェブページ特定情報を、当該ウェブページ特定情報の記述を含む電子メールとして受信することを特徴とする請求項1記載のウェブページ検査装置。
- 前記送信手段は、前記ウェブページの検査結果を含む複数の検査結果を表示するための表示情報であって、前記電子メールの表題を検索キーとして当該複数の検査結果の中から当該ウェブページの検査結果を検索可能な表示情報を、前記他の装置に送信することを特徴とする請求項4記載のウェブページ検査装置。
- 前記受信手段、前記通信ログ保存手段及び前記送信手段は、前記実マシン上で動作することを特徴とする請求項1記載のウェブページ検査装置。
- 前記検出手段により検出された前記状態の変化を示す状態変化情報を保存する状態変化情報保存手段を更に備え、
前記送信手段は、前記状態変化情報保存手段により保存された前記状態変化情報を更に含む前記表示情報を前記他の装置に送信することを特徴とする請求項1記載のウェブページ検査装置。 - 前記複写手段は、前記検出手段による前記状態の変化の検出に応じた前記仮想マシンの再構築に先立ち、前記第1の記憶領域にダウンロードされた前記マルウェアの検体を前記第2の記憶領域に複写することを特徴とする請求項1記載のウェブページ検査装置。
- クライアントコンピュータと、実マシン上に仮想的なマシン環境である仮想マシンが構築されたサーバコンピュータとが通信回線を介して接続されてなるコンピュータシステムであって、
前記クライアントコンピュータは、
ウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があるかどうかを検査する対象の当該ウェブページを特定するウェブページ特定情報を前記通信回線を介して前記サーバコンピュータに送信する送信手段を備え、
前記サーバコンピュータは、
前記ウェブページ特定情報を前記クライアントコンピュータから前記通信回線を介して受信する受信手段と、
前記仮想マシン上で動作し、前記受信手段により受信した前記ウェブページ特定情報で特定されるウェブページにアクセスするアクセス手段と、
前記アクセス手段による前記ウェブページへのアクセスの際の通信のログを保存する通信ログ保存手段と、
前記仮想マシン上で動作し、当該仮想マシン内の状態の変化を検出する検出手段と、
前記検出手段により前記状態の変化が検出された場合に、前記アクセス手段による前記ウェブページへのアクセスの際に前記仮想マシンの管理下にある第1の記憶領域にダウンロードされたマルウェアの検体を、前記実マシンの管理下にある第2の記憶領域に複写する複写手段と、
前記検出手段により前記状態の変化が検出された場合に、前記受信手段により受信した前記ウェブページ特定情報で特定されるウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があることを示す当該ウェブページの検査結果を表示するための表示情報であって、前記通信ログ保存手段により保存された前記通信のログから前記第2の記憶領域へのリンク記述を含む表示情報を前記通信回線を介して前記クライアントコンピュータに送信する送信手段とを備え、
前記クライアントコンピュータは、
前記表示情報を前記サーバコンピュータから前記通信回線を介して受信する受信手段を更に備えたことを特徴とするコンピュータシステム。 - 実マシン上に仮想的なマシン環境である仮想マシンが構築された装置において、
ウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があるかどうかを検査する対象の当該ウェブページを特定するウェブページ特定情報を他の装置から受信するステップと、
前記仮想マシン上で実行され、前記ウェブページ特定情報で特定されるウェブページにアクセスするステップと、
前記アクセスするステップにおける前記ウェブページへのアクセスの際の通信のログを保存するステップと、
前記仮想マシン上で実行され、当該仮想マシン内の状態の変化を検出するステップと、
前記状態の変化が検出された場合に、前記アクセスするステップにおける前記ウェブページへのアクセスの際に前記仮想マシンの管理下にある第1の記憶領域にダウンロードされたマルウェアの検体を、前記実マシンの管理下にある第2の記憶領域に複写するステップと、
前記状態の変化が検出された場合に、前記ウェブページ特定情報で特定されるウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があることを示す当該ウェブページの検査結果を表示するための表示情報であって、保存された前記通信のログから前記第2の記憶領域へのリンク記述を含む表示情報を前記他の装置に送信するステップと
を含むことを特徴とするウェブページ検査方法。 - 実マシン上に仮想的なマシン環境である仮想マシンが構築されたコンピュータにおける当該仮想マシンに、
ウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があるかどうかを検査する対象の当該ウェブページを特定するウェブページ特定情報を他の装置から受信する機能と、
前記仮想マシン上で動作するブラウザを、前記ウェブページ特定情報で特定されるウェブページにアクセスさせる機能と、
前記ブラウザによる前記ウェブページへのアクセスの際の通信のログを保存する機能と、
前記仮想マシン内の状態の変化を検出する機能と、
前記状態の変化が検出された場合に、前記ブラウザによる前記ウェブページへのアクセスの際に前記仮想マシンの管理下にある第1の記憶領域にダウンロードされたマルウェアの検体を、前記実マシンの管理下にある第2の記憶領域に複写する機能と、
前記状態の変化が検出された場合に、前記実マシンに対して、前記ウェブページ特定情報で特定されるウェブページにアクセスしたコンピュータがマルウェアに感染する可能性があることを示す当該ウェブページの検査結果を表示するための表示情報であって、保存された前記通信のログから前記第2の記憶領域へのリンク記述を含む表示情報を前記他の装置に送信させる機能と
を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008314952A JP5274227B2 (ja) | 2008-12-10 | 2008-12-10 | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008314952A JP5274227B2 (ja) | 2008-12-10 | 2008-12-10 | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010140196A JP2010140196A (ja) | 2010-06-24 |
JP5274227B2 true JP5274227B2 (ja) | 2013-08-28 |
Family
ID=42350297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008314952A Active JP5274227B2 (ja) | 2008-12-10 | 2008-12-10 | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5274227B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9106694B2 (en) * | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8863282B2 (en) * | 2009-10-15 | 2014-10-14 | Mcafee Inc. | Detecting and responding to malware using link files |
CN104766006B (zh) * | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
JP6527111B2 (ja) * | 2016-06-15 | 2019-06-05 | 日本電信電話株式会社 | 解析装置、解析方法および解析プログラム |
CN110390198B (zh) * | 2019-07-31 | 2023-09-29 | 创新先进技术有限公司 | 一种对小程序的风险巡检方法、装置及电子设备 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
JP4254988B2 (ja) * | 2001-03-16 | 2009-04-15 | 株式会社日立製作所 | セキュリティ診断システムおよびセキュリティ診断方法 |
JP3404032B1 (ja) * | 2002-04-09 | 2003-05-06 | さくら情報システム株式会社 | コンピュータウィルス対策システム及びコンピュータウィルス対策方法 |
US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
JP4050253B2 (ja) * | 2004-06-22 | 2008-02-20 | 株式会社ラック | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
US20060136374A1 (en) * | 2004-12-17 | 2006-06-22 | Microsoft Corporation | System and method for utilizing a search engine to prevent contamination |
-
2008
- 2008-12-10 JP JP2008314952A patent/JP5274227B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2010140196A (ja) | 2010-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6549767B2 (ja) | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム | |
US10021129B2 (en) | Systems and methods for malware detection and scanning | |
CN106302337B (zh) | 漏洞检测方法和装置 | |
US9294486B1 (en) | Malware detection and analysis | |
US7865953B1 (en) | Methods and arrangement for active malicious web pages discovery | |
US8176556B1 (en) | Methods and systems for tracing web-based attacks | |
WO2007000751A2 (en) | A method for increasing the security level of a user machine browsing web pages | |
JP5274227B2 (ja) | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム | |
US9754028B2 (en) | Automatic crawling of encoded dynamic URLs | |
US11036714B2 (en) | Systems and methods for locating application specific data | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
JPWO2018131199A1 (ja) | 結合装置、結合方法および結合プログラム | |
US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
Shaaban et al. | Practical windows forensics | |
JP2010140277A (ja) | 電子ファイル処理装置、コンピュータシステム、電子ファイル処理方法、及びコンピュータプログラム | |
JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
JP6333763B2 (ja) | マルウェア解析装置およびマルウェア解析方法 | |
EP3906475A1 (en) | Context based authorized external device copy detection | |
Kävrestad et al. | Collecting Data | |
Kowalczyk et al. | Web Page Harvesting for Automatized Large-scale Digital Images Anomaly Detection | |
Brunner | Detecting privacy leaks in the private browsing mode of modern web browsers through process monitoring | |
Mendoza et al. | Tracking Malware using Internet Activity Data | |
Wang | Fight against spyware on two laptops | |
CA2838908A1 (en) | Security scan using entity history |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111117 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130403 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130423 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130514 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5274227 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |