JP5465651B2 - リスト生成方法、リスト生成装置及びリスト生成プログラム - Google Patents

リスト生成方法、リスト生成装置及びリスト生成プログラム Download PDF

Info

Publication number
JP5465651B2
JP5465651B2 JP2010267224A JP2010267224A JP5465651B2 JP 5465651 B2 JP5465651 B2 JP 5465651B2 JP 2010267224 A JP2010267224 A JP 2010267224A JP 2010267224 A JP2010267224 A JP 2010267224A JP 5465651 B2 JP5465651 B2 JP 5465651B2
Authority
JP
Japan
Prior art keywords
url
character string
malicious
partial
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010267224A
Other languages
English (en)
Other versions
JP2012118713A (ja
Inventor
満昭 秋山
光恭 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010267224A priority Critical patent/JP5465651B2/ja
Publication of JP2012118713A publication Critical patent/JP2012118713A/ja
Application granted granted Critical
Publication of JP5465651B2 publication Critical patent/JP5465651B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、リスト生成方法、リスト生成装置及びリスト生成プログラムに関する。
従来、WWW(World Wide Web)に存在する多数のWebサイトの中には、悪質なWebサイトや悪質なWebコンテンツが存在している。そこで、このような悪質なWebサイトや悪質なWebコンテンツからWWWを利用するユーザを保護するために、フィルタリングが実施されている。
フィルタリングは、任意に設定される基準に合わせて情報を選択的に受信することであり、例えば、DNS(Domain Name System)サーバやWebプロキシサーバなどのネットワーク装置やクライアント端末などにおいて実行される。ここで、フィルタリングには、任意に設定される基準として、悪質なWebサイトや悪質なWebコンテンツをリスト化したブラックリストなどが利用される。
例えば、ブラックリストを利用したフィルタリングとして、ユーザが指定したWebページとブラックリストに含まれるページとの関連度によってレイティングを実行し、当該レイティングに基づいてユーザが指定したWebページを取得するか否かを判定するフィルタリング方法が知られている。なお、レイティングとは、任意に設定される基準に基づいて情報に格付けすることである。
すなわち、ブラックリストはフィルタリングを支える重要な情報源であり、悪質なWebサイトや悪質なWebコンテンツに対する対策の効果は、ブラックリストの品質に依存する。このようなフィルタリングに利用されるブラックリストは、アンチウィルスベンダ、セキュリティSI(System Integration)事業者、通信事業組織などの営利組織や、大学などの非営利組織など様々な組織によって独自の観点で作成及び運用されている。
特許第4021681号公報
しかしながら、上述した従来技術では、ブラックリストを維持管理することが容易ではないという課題がある。具体的には、Webを対象としてフィルタリングを行なう場合には、Webコンテンツを単位とするURL(Uniform Resource Locator)フィルタリングが適しているが、URLフィルタリングに用いられるブラックリストのURLに存在するWebサイトやWebコンテンツは、時間経過と共に消失する場合がある。また、悪質なWebサイトや悪質なWebコンテンツが新規に生成された場合には、ブラックリストは、新規の情報が追加される必要がある。
すなわち、効果的なフィルタリングを実行するためには、URLフィルタリングに用いられるブラックリストを、常に新しい情報を含んだものに維持管理する必要がある。ここで、ブラックリストの維持管理を行なう場合には、新規に生成された悪質なWebサイトや悪質なWebコンテンツのURLをWeb空間から検出して、検出した情報を追加する必要があるが、Web空間には、数百億ページのWebページが存在する。また、Webコンテンツは、日々、更新され続けている。従って、Web空間の中から悪質なWebサイトやWebコンテンツのURLを検出することには膨大なコストがかかるため、ブラックリストを新しい状態に維持管理することが容易ではない。
そこで、本願に開示する技術は、上述した従来技術の問題に鑑みてなされたものであって、ブラックリストを維持管理することを容易にすることを可能とするリスト生成方法、リスト生成装置及びリスト生成プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、開示の方法は、コンピュータが、悪質な資源情報の格納先を示す悪性統一資源位置指定子に含まれる任意の文字列を組み合わせた部分文字列を生成する部分文字列生成ステップと、前記部分文字列生成ステップによって生成された前記部分文字列を含む統一資源位置指定子をネットワーク上から抽出する抽出ステップと、前記抽出ステップによって抽出された統一資源位置指定子が指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該統一資源位置指定子を新規の悪性統一資源位置指定子として前記悪性統一資源位置指定子のリストに反映すると決定する決定ステップとを含んだことを特徴とする。
開示の方法は、ブラックリストの維持管理を容易にすることを可能にする。
図1は、実施例1に係るリスト生成装置の構成の一例を説明するための図である。 図2は、実施例2に係るリスト生成装置の構成の一例を説明するための図である。 図3は、ブラックリスト記憶部によって記憶されるブラックリストの一例を説明するための図である。 図4は、判定基準記憶部によって記憶される判定基準の一例を説明するための図である。 図5は、部分URL生成部によるURLの分解及び連結処理を説明するための図である。 図6は、部分URL生成部による処理の一例を説明するための図である。 図7は、近隣URL抽出部による処理の一例を説明するための図である。 図8は、実施例2に係るリスト生成装置によるリスト生成処理の手順を示すフローチャートである。 図9は、近隣URL抽出部によるクエリ生成の一例を説明するための図である。 図10は、複数の検索エンジンを用いた場合の近隣探索の一例を説明するための図である。 図11は、本実施例に係るリスト生成プログラムを実行するコンピュータを示す図である。
以下に添付図面を参照して、本願の開示するリスト生成方法、リスト生成装置及びリスト生成プログラムの実施例を詳細に説明する。なお、本願の開示するリスト生成方法、リスト生成装置及びリスト生成プログラムは、以下の実施例により限定されるものではない。
[実施例1に係るリスト生成装置の構成]
実施例1に係るリスト生成装置の構成について説明する。図1は、実施例1に係るリスト生成装置1の構成の一例を説明するための図である。図1に示すように、実施例1に係るリスト生成装置1は、部分URL生成部2と、近隣URL抽出部3と、悪性URL決定部4とを有し、ネットワーク5と接続されている。そして、実施例1に係るリスト生成装置1は、悪質な資源情報の格納先を示す悪性統一資源位置指定子に基づいて、新規の悪性統一資源位置指定子を決定してリストに反映する。なお、資源情報の格納先を示す統一資源位置指定子としては、URLが挙げられる。
具体的には、実施例1に係るリスト生成装置1は、図1に示すように、既存のブラックリストを用いて新規の悪性URLを決定し、決定した新規の悪性URLをブラックリストに反映する。ここで、ブラックリストとは、悪質なWebサイトや悪質なWebコンテンツのURLを悪性URLとしてリスト化したものである。また、新規の悪性URLとは、攻撃者などによって新たに生成された悪質なWebサイトや悪質なWebコンテンツのURLである。
部分URL生成部2は、悪性URLに含まれる任意の文字列を組み合わせた部分URLを生成する。具体的には、部分URL生成部2は、ブラックリストに含まれる悪性URLをスキーム(scheme)ごとに定義された書式に沿って文字列に分解し、分解した文字列を上位概念から順に連結した部分URLを生成する。
ここで、URLの上位概念について説明する。URLには、情報資源を格納するホストが所属する所属ドメイン空間を示す「ドメイン」とホスト内で情報資源が配置される位置を示す「パス」とが含まれている。「ドメイン」及び「パス」は、それぞれ階層構造を有している。例えば、「ドメイン」には、最上位の「トップレベルドメイン(TLD:Top Level Domain)」から順に「セカンドレベルドメイン」、「サードレベルドメイン」が含まれている。また、「パス」には、最上位の「トップディレクトリ」から順に下位の「ディレクトリ」が含まれている。
すなわち、部分URL生成部2は、悪性URLのドメインをTLDから順に連結した部分URLと、FQDN(Fully Qualified Domain Name)にトップディレクトリから順にディレクトリを連結した部分URLとを順次生成する。
近隣URL抽出部3は、部分URL生成部2によって生成された部分URLを含むURLをネットワーク5から抽出する。具体的には、近隣URL抽出部3は、まず、部分URL生成部2によって生成された部分URLの先頭に検索コマンドを付与したクエリ(query)を生成する。そして、近隣URL抽出部3は、生成したクエリを用いた検索エンジンによる検索により、部分URLを含むURLである近隣URLを抽出する。なお、クエリとは、システムなどに対する処理要求を文字列にしたものである。
悪性URL決定部4は、近隣URL抽出部3によって抽出された近隣URLに存在する情報が悪性か否かを判定し、悪性であった場合に当該近隣URLを新規の悪性URLと決定する。具体的には、悪性URL決定部4は、アンチウィルスソフトやクライアント型ハニーポット(Honeypot)などを利用することにより、近隣URLに存在するWebサイトやWebコンテンツが悪性か否かを判定する。例えば、悪性URL決定部4は、近隣URLから受信した情報にアンチウィルスソフトに含まれるシグネチャと同様のものが存在した場合に、当該近隣URLのWebサイトやWebコンテンツが悪性であると判定する。なお、アンチウィルスソフトが有するシグネチャは、攻撃コードやマルウェアの実行ファイルなどの特徴などを基に作成されたものである。
また、例えば、悪性URL決定部4は、クライアント型ハニーポットとして動作することにより、近隣URLに存在するWebサイトやWebコンテンツが悪性か否かを判定する。なお、ハニーポットとは、セキュリティパッチを適用せず脆弱性を残したまま攻撃を受け、悪質なWebサイトや悪質なWebコンテンツの情報を収集する囮システムである。クライアント型ハニーポットとは、Webブラウザに脆弱性を持たせたハニーポットである。
そして、悪性URL決定部4は、悪性であると判定した近隣URLを新規の悪性URLとして決定し、ブラックリストに反映する。
上述したように、実施例1に係るリスト生成装置1は、悪性URLに含まれる文字列を用いて当該悪性URLの近隣URLを生成し、生成した近隣URLに存在するWebサイトが悪性か否かを判定し、悪性であった場合に、ブラックリストに反映する。一般に、ブラックリストを用いたフィルタリングでは、対象となるURLがブラックリストに含まれるURLと完全一致する場合に、フィルタリングが実行される。従って、攻撃者は、悪性URLを部分的に変更することにより完全一致のフィルタリングを回避しようとする。
例えば、攻撃者は、新規ドメインを取得することでURLのドメイン部を変更したり、URLのパス部やサブドメイン部などを部分的に変更したりする。ここで、攻撃者にとっては、新規ドメインを確保するよりは、新たなパス部やサブドメイン部を生成する方がコストを低減できる。このため、攻撃者は、URLのパス部やサブドメイン部の部分変更により、フィルタリングを回避することが多いと考えられる。例えば、攻撃者が悪質なWebサイトや悪質なWebコンテンツのURLのドメイン管理者である場合には、該当するドメインに対する任意のサブドメイン部を生成することで、フィルタリングを回避する。また、攻撃者がサイトの管理権限を持つ場合には、攻撃者は、悪性コンテンツの再配置によりURLのパス部を任意に変更することで、フィルタリングを回避する。
従って、実施例1に係るリスト生成装置1は、攻撃者によって部分的に変更されたURLを悪性URLとして効率的に検出することができ、ブラックリストの維持管理を容易にすることを可能にする。
[実施例2に係るリスト生成装置の構成]
まず、実施例2に係るリスト生成装置の構成について説明する。図2は、実施例2に係るリスト生成装置100の構成の一例を説明するための図である。図2に示すように、実施例2に係るリスト生成装置100、入出力制御I/F部10と、入力部20と、表示部30と、通信部40と、ブラックリスト記憶部51と、判定基準記憶部52と、近隣URL記憶部53と、制御部60とを有している。そして、リスト生成装置100は、図2に示すように、インターネット200と接続されている。
なお、リスト生成装置100は、例えば、PC(Personal Computer)、ワークステーション又は解析用の専用装置である。また、ブラックリスト記憶部51、判定基準記憶部52及び近隣URL記憶部53は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。また、制御部60は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路、または、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。
入出力制御I/F部10は、入力部20、表示部30、通信部40と制御部60との間での各種情報のやり取りを制御するインタフェースである。入力部20は、例えば、操作者による種々の情報の入力処理を受付ける。例えば、入力部20は、キーボードやタッチパネルなどである。表示部30は、例えば、操作者に対して処理結果を表示出力する。例えば、表示部30は、ディスプレイなどである。通信部40は、リスト生成装置100とインターネット200に接続された所定のサイトやコンテンツなどの接続先との間の通信を制御する。なお、接続先としては、例えば、悪性又は正規のサイトやコンテンツなどである。例を挙げると、悪性のサイトやコンテンツとは、マルウェア(Malware)などを含むサイトやコンテンツである。また、正規のサイトやコンテンツとは、検索エンジンなどを含むサイトやコンテンツである。
ブラックリスト記憶部51は、悪質なWebサイトや悪質なWebコンテンツの格納先を示す統一資源位置指定子であるURLを悪性URLとしてリスト化したブラックリストを記憶する。具体的には、ブラックリスト記憶部51は、後述する制御部60やリスト生成装置100の管理者、或いは、他の装置などによって収集されたブラックリストを記憶する。図3は、ブラックリスト記憶部51によって記憶されるブラックリストの一例を説明するための図である。
例えば、ブラックリスト記憶部51は、図3に示すように、「URL:http://www.example.co.jp/test/index.html」や「URL:http://www.example.co.jp/test1/index.html」などを記憶する。すなわち、図3に示す「URL:http://www.example.co.jp/test/index.html」や「URL:http://www.example.co.jp/test1/index.html」は、悪質なWebサイトや悪質なWebコンテンツのURLである。
図2に戻って、判定基準記憶部52は、後述する制御部60やリスト生成装置100の管理者などによって収集された判定基準を記憶する。ここで、判定基準とは、トップレベルドメイン(TLD:Top Level Domain)やパブリックサフィックス(public suffix)をリスト化したものである。なお、トップレベルドメインとは、ドット「.」で区切られ階層構造となっているドメイン名のうち最後尾のコードを意味している。また、パブリックサフィックスとは、一般的なドメイン名を示す接尾辞を意味している。
図4は、判定基準記憶部52によって記憶される判定基準の一例を説明するための図である。例えば、判定基準記憶部52は、図4に示すように、「トップレベルドメイン」として、「gTLD」の「.aero」や「.com」など、「ccTLD」の「.ac」や「.jp」など、「sTLD」の「.aero」や「.museum」などを記憶する。なお、「gTLD」とは、ジェネリック(generic)TLDである。また、「ccTLD」とは、国別コード(country code)TLDである。また、「sTLD」とは、スポンサー付(sponsored)TLDである。また、判定基準記憶部52は、図4に示すように、「パブリックサフィックス」として、「co.jp」や「ne.jp」などを記憶する。
図2に戻って、近隣URL記憶部53は、後述する制御部60によって抽出された近隣URLを記憶する。具体的には、近隣URL記憶部53は、後述する制御部60がブラックリスト記憶部51によって記憶されたブラックリストに含まれるURLの文字列に基づいて抽出した近隣URLを記憶する。なお、近隣URL記憶部53によって記憶される近隣URL及びその抽出方法については、後に詳述する。
制御部60は、図2に示すように、情報収集部61と、部分URL生成部62と、近隣URL抽出部63と、悪性URL決定部64とを有し、ブラックリスト記憶部51によって記憶されたブラックリストに基づいて新規の悪性URLを検出し、ブラックリストの更新を行う。
情報収集部61は、ブラックリストを収集し、収集したブラックリストをブラックリスト記憶部51に格納する。具体的には、情報収集部61は、ブラックリストの作成を行なっている組織がインターネット200上で公開しているブラックリストを、通信部40を介して収集し、収集したブラックリストをブラックリスト記憶部51に格納する。なお、悪性URLの作成を行なっている組織としては、アンチウィルスベンダ、セキュリティSI事業者、通信事業組織などの営利組織や、大学などの非営利組織などが挙げられる。
例えば、情報収集部61は、ネットワーク上から「http://www.example.co.jp/test/index.html」や「http://www.example.co.jp/test1/index.html」などのURLが含まれるブラックリストを取得する。そして、情報収集部61は、図3に示すように、取得したブラックリストをブラックリスト記憶部51に格納する。なお、情報収集部61によるブラックリストの収集は、定期的に行われる場合であってもよい。
また、情報収集部61は、TLDやパブリックサフィックスなどの判定基準を、通信部40を介してインターネット200上から取得し、取得した判定基準を判定基準記憶部52に格納する。具体的には、情報収集部61は、TLDを管理している組織や、パブリックサフィックスの作成を行っている組織などがインターネット200上で公開しているTLDやパブリックサフィックスを、通信部40を介して収集する。そして、情報収集部61は、収集したTLDやパブリックサフィックスを判定基準として判定基準記憶部52に格納する。なお、TLDは、IANA(Internet Assigned Number Authority)によって一元管理されている。また、パブリックサフィックスは、Mozilla Projectによってリスト化されている(RFC1035 DOMAIN NAME-IMPLEMENTATION AND SPECIFICATION 参照)。
例えば、情報収集部61は、ネットワーク上から「gTLD」、「ccTLD」、「sTLD」などのTLDとパブリックサフィックスとを収集する。そして、情報収集部61は、収集したTLDとパブリックサフィックスとを、図4に示すように、判定基準記憶部52に格納する。
部分URL生成部62は、ブラックリスト記憶部51によって記憶されたブラックリストに含まれるURLを読み出し、読み出したURLに含まれる文字列を任意に組み合わせた部分URLを生成する。ここで、部分URL生成部62による処理について、図5を用いて説明する。図5は、部分URL生成部62によるURLの分解及び連結処理を説明するための図である。なお、以下では、HTTP(Hypertext Transfer Protocol)スキームで定義された書式のURL(RFC1738 Uniform Resource Locators (URL) 参照)から部分URLを生成する場合について説明する。また、以下では、情報資源を格納するホスト(ウェブサーバ)が所属する所属ドメイン空間を示すURLの文字列を「ドメイン部」と定義する。また、以下では、ホスト内で情報資源が配置される位置を示すURLの文字列を「パス部」と定義する。
部分URL生成部62は、まず、ブラックリスト記憶部51によって記憶されたURLを読み出す。そして、部分URL生成部62は、読み出したURLをドメイン部とパス部に分離し、ドメイン部及びパス部それぞれについて文字列ごとの分解を行う。例えば、部分URL生成部62は、図5に示すように、ブラックリスト記憶部51から「http://www.example .co.jp/path1/path2/index.html」を読み出し、シードURLとする。そして、部分URL生成部62は、図5に示すように、読み出したシードURL「http://www.example .co.jp/path1/path2/index.html」のドメイン部「www.example .co.jp」とパス部「/path1/path2/index.html」とを分離して、それぞれの文字列分解を実行する。
ここで、部分URL生成部62は、ドメイン部とパス部とで異なる区切り文字を用いて文字列分解を実行する。具体的には、部分URL生成部62は、ドメイン部に対してドット「.」を区切り文字とした文字列分解を実行する。例えば、部分URL生成部62は、図5に示すように、ドメイン部「www.example .co.jp」をドット「.」を区切り文字として、「www」、「example」、「co」、「jp」に分解する。
また、部分URL生成部62は、パス部に対してスラッシュ「/」を区切り文字とした文字列分解を実行する。例えば、部分URL生成部62は、図5に示すように、パス部「/path1/path2/index.html」をスラッシュ「/」を区切り文字として、「path1」、「path2」、「index.html」に分解する。
そして、部分URL生成部62は、文字列分解を実行したドメイン部とパス部とを上位概念から順に文字列連結を行い、部分URLを生成する。すなわち、部分URL生成部62は、ドメインを単位とした接尾辞と、ディレクトリを単位とした接頭辞とをそれぞれ生成し、文字列連結を行う。例えば、部分URL生成部62は、図5に示すように、文字列連結を実行することで、接尾辞「jp」、「co.jp」、「example .co.jp」のみの部分URLを生成する。また、部分URL生成部62は、図5に示すように、FQDN(Fully Qualified Domain Name)「www.example .co.jp」とパス部の接頭辞「path1」又は「path1/path2」とを連結した部分URLを生成する。なお、部分URL生成部62は、文字列連結を実行する場合に、ドメイン部及びパス部それぞれにおける文字列間にドット「.」及びスラッシュ「/」をそれぞれ付与する。
ここで、部分URL生成部62は、生成した部分URLにおいて、TLD或いはパブリックサフィックスのみの部分URLを削除する。すなわち、部分URL生成部62は、判定基準記憶部52によって記憶された判定基準を参照し、TLD或いはパブリックサフィックスのみの部分URLを削除する。
図6は、部分URL生成部62よる処理の一例を説明するための図である。例えば、部分URL生成部62は、ブラックリスト記憶部51によって記憶されたURL「http://www.example.co.jp/test/index.html」をシードURLとして読み出し、URL分解処理を実行することにより、部分URL「example.co.jp」、「www.example.co.jp」及び「www.example.co.jp/test/」を生成する。
図2に戻って、近隣URL抽出部63は、部分URL生成部62によって生成された部分URLを含むURLをインターネット200から抽出する。具体的には、近隣URL抽出部63は、まず、部分URL生成部62によって生成された部分URLを範囲指定で検索するためのクエリを生成する。そして、近隣URL抽出部63は、検索エンジンを用いて、生成したクエリの検索を実行し、検索結果として取得されたURLをシードURLの近隣URLとして近隣URL記憶部53に格納する。なお、近隣URLとは、悪性URLの文字列の構成に類似するURLであって、つまり悪性URLであると推定し得るURLである。また、検索エンジンによるクエリの検索は、検索エンジンごとにユーザに提供されている検索用のAPI(Application Program Interface)を用いて実行される。
図7は、近隣URL抽出部63による処理の一例を説明するための図である。例えば、近隣URL抽出部63は、図7に示すように、まず、部分URL「example.co.jp」、「www.example.co.jp」及び「www.example.co.jp/test/」の先頭に、範囲指定検索コマンドである「site:」を付与したクエリ「site:example.co.jp」、「site:www.example.co.jp」及び「site:www.example.co.jp/test/」を生成する。そして、近隣URL抽出部63は、検索エンジンによるクエリの近隣探索により、近隣URLとして「http://example.com/...」などを抽出し、抽出した近隣URLを近隣URL記憶部53に格納する。すなわち、近隣URL抽出部63は、部分URLを範囲指定で検索することで、部分URL配下のURLを抽出することができる。
図2に戻って、悪性URL決定部64は、近隣URL抽出部63によって抽出された近隣URLの中から悪性URLを決定し、決定した悪性URLをブラックリスト記憶部51に格納する。なお、近隣URLが悪性であるか否かを決定する方法は、任意の方法が用いられてよく、その一例としてアンチウィルスソフトやクライアント型ハニーポットが挙げられる。以下では、悪性URL決定部64による悪性URLの決定方法について上記2つの例について説明する。
まず、悪性URL決定部64がアンチウィルスソフトを利用して悪性URLを決定する場合について説明する。かかる場合には、悪性URL決定部64は、アンチウィルスソフトが有する不正プログラムの攻撃コードやマルウェアの実行ファイルなどの特徴を基にしたシグネチャに基づいて近隣URLが悪性URLであるか否かを判定する。例えば、悪性URL決定部64は、近隣URL記憶部53によって記憶された近隣URLにアクセスしてファイルを取得する。そして、悪性URL決定部64は、取得したファイルとシグネチャとのパターンマッチングを実行することにより、ファイルの取得先URL(近隣URL)が悪性URLであるか否かを判定する。すなわち、悪性URL決定部64は、ファイルとシグネチャとのパターンが一致した場合に、近隣URLを新規の悪性URLであると決定し、当該近隣URLをブラックリスト記憶部51に格納する。
次に、悪性URL決定部64がクライアント型ハニーポットとして機能することにより悪性URLを決定する場合について説明する。悪性URL決定部64が利用するクライアント型ハニーポットの技術としては、以下に示す「参考文献」に記載の技術が挙げられる。
「参考文献:Mitsuaki Akiyama, Kazufumi Aoki, Yuhei Kawakoya, Makoto Iwamura, and Mitsuataka Itoh, Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks, IEICE Transactions on Communication, Vol.E93-B No.5 pp.1131-1139, May. 2010.」
クライアント型ハニーポットとして機能する場合には、悪性URL決定部64は、Webブラウザとして動作する。そして、悪性URL決定部64は、近隣URL記憶部53によって記憶された近隣URLにアクセスし、攻撃を受けたアクセス先の近隣URLを悪性URLとして決定する。具体的には、悪性URL決定部64は、アクセス先の近隣URLから受信したファイルからのWebブラウザやプラグインの脆弱性に対する攻撃を検知する。そして、悪性URL決定部64は、攻撃を検知した場合に、アクセス先の近隣URLを新規の悪性URLとして決定し、ブラックリスト記憶部51に格納する。
ここで、攻撃を受ける際には、悪性サイトにアクセスするとリンクで別のサイトに次々と飛ばされ、その過程で、例えば、マルウェアに感染することもあり、どこに真の悪性サイトが潜んでいるのかわからない場合がある。そこで、悪性URL決定部64は、攻撃を受けるまでWeb空間を巡回し、真の悪性サイトに到達するまでの経路に位置する踏み台となるサイト全てのURLも悪性URLとして決定し、ブラックリスト記憶部51に格納することも可能である。
上述したように、実施例2に係るリスト生成装置100は、既存のブラックリストに含まれる悪性URLを文字列に分解し、分解した文字列を組み合わせた近隣URLを用いて新規の悪性URLを検出し、ブラックリストを更新する。リスト生成装置100は、ブラックリストに含まれる全ての悪性URLに対して上述した処理を実行して、ブラックリストを更新する。
ここで、ブラックリストを更新する際には、全ての悪性URLに対して処理を実行して、検出しうる全ての新規の悪性URLを決定した後に、決定した新規の悪性URLをブラックリスト記憶部51に格納することが可能である。また、ブラックリストに含まれる悪性URLそれぞれに処理を実行したことを示すフラグを対応付けて記憶させ、未処理の悪性URLをブラックリスト記憶部51から読み出して処理を実行するように制御させることも可能である。
リスト生成装置100は、上述したブラックリストの更新を定期的に実行することで、ブラックリストを常に新しい情報を含む状態に維持管理することができる。すなわち、リスト生成装置100によって定期的に更新されるブラックリストをフィルタリングに用いることで、効果的なフィルタリングを実行させることが可能になる。なお、ブラックリストの更新頻度は、管理者によって任意に決定することができる。
[実施例2に係るリスト生成装置によるリスト生成処理の手順]
次に、実施例2に係るリスト生成装置100による処理の手順について、図8を用いて説明する。なお、図8においては、情報収集部61によってブラックリスト及び判定基準が収集され、それぞれブラックリスト記憶部51及び判定基準記憶部52に格納された後の手順について示している。図8は、実施例2に係るリスト生成装置100によるリスト生成処理の手順を示すシーケンス図である。
図8に示すように、実施例2に係るリスト生成装置100においては、リスト生成の開始コマンドが実行されると(ステップS101肯定)、部分URL生成部62が、ブラックリスト記憶部51によって記憶されたブラックリストに含まれるURLを読み出し、読み出したURLから部分URLを生成する(ステップS102)。
そして、近隣URL抽出部63が、部分URL生成部62によって生成された部分URLを範囲指定で検索するためのクエリを生成する(ステップS103)。さらに、近隣URL抽出部63は、生成したクエリを検索エンジンに実行させることで、近隣URLを抽出する(ステップS104)。
その後、悪性URL決定部64が、近隣URL抽出部63によって抽出され、近隣URL記憶部53によって記憶された近隣URLの中から悪性URLを決定し(ステップS105)、決定した悪性URLをブラックリスト記憶部51に格納して(ステップS106)、処理を終了する。なお、リスト生成装置100は、開始コマンドが実行されるまで待機状態である(ステップS101否定)。
[実施例2の効果]
上述したように、実施例2によれば、部分URL生成部62が、悪質な資源情報の格納先を示す悪性URLに含まれる任意の文字列を組み合わせた部分URLを生成する。そして、近隣URL抽出部63が、部分URL生成部62によって生成された部分URLを含む近隣URLをネットワーク上から抽出する。そして、悪性URL決定部64が、近隣URL抽出部63によって抽出された近隣URLが指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該近隣URLを新規の悪性URLとしてブラックリストに反映すると決定する。従って、実施例2に係るリスト生成装置100は、攻撃者によって部分的に変更されたURLを悪性URLとして効率的に検出することができ、ブラックリストを維持管理することを容易にすることを可能にする。
また、実施例2によれば、部分URL生成部62が、悪性URLのドメイン部及びパス部それぞれにおいて、階層構造の上位層から順に段階的に連結した複数の部分URLを生成する。そして、近隣URL抽出部63が、部分URL生成部62によって生成された複数の部分URLそれぞれが、対応する階層に配置された近隣URLを抽出する。従って、実施例2に係るリスト生成装置100は、検索範囲を細分化することができ、上位一定数のURLのみしか取得することができないという検索エンジンの機能的制約による検索結果の取りこぼしを抑制することを可能とする。
また、実施例2に係るリスト生成装置100は、上位層から順に段階的に連結した部分URLを生成し、生成した部分URLが、対応する階層に配置された近隣URLを抽出することで、適切な近隣探索を可能にする。例えば、悪性URLのドメイン部が「www.example.co.jp」であった場合に、前方から「www.example」を部分URLとして抽出すると、検索エンジンに「site:www.example」というクエリで検索を行うこととなる。この場合には、検索エンジンは「exampleというトップレベルドメインで、かつwwwというセカンドレベルドメインの配下を対象として検索する」と解釈するため、本来の「www.example.co.jp」というドメインとは全く異なる範囲を検索することとなる。
また、例えば、部分URLが「example.com」であった場合に、単に部分URLが含まれるURLを抽出すると、「http://test.com/?url=example.com」や「http://example.com.test.com/」などが抽出されることとなる。「http://test.com/?url=example.com」は、URLパラメータに文字列として「example.com」が記述されているが、「example.com」のドメインとは関係ない。また、「http://example.com.test.com/」は、「test.com」のドメインの配下に「com」というサブドメインがあり、さらにそのサブドメインに「example」があるが、「example.com」のドメインとは関係ない。
実施例2に係るリスト生成装置100は、上位層から順に段階的に連結した部分URLを生成し、生成した部分URLが、対応する階層に配置された近隣URLを抽出することで、上述した例のような誤検索を抑止し、適切な近隣探索を可能にする。例えば、部分URLが「example.com」であった場合に、実施例2に係るリスト生成装置100は、「http://example.com/index.html」や「http://example.com/path/index.php」、「http://www.example.com/index.htm」などのURLを近隣URLとして抽出することを可能にする。
また、実施例2によれば、部分URL生成部62は、悪性URLのドメイン部のみの部分URLを生成する場合に、当該部分URLにトップレベルドメイン又はパブリックサフィックスに加えて少なくとも1つ以上の文字列を含ませる。従って、実施例2に係るリスト生成装置100は、近隣URLとして不特定多数のURLが取得されることを抑止することを可能にする。
これまでいくつかの実施例を説明したが、本願が開示する技術はこれらの実施例に限定されるものではない。すなわち、これらの実施例は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。
(1)クエリ生成
上述した実施例2では、検索コマンドとして「site:」のみを用いてクエリを生成する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、他の検索コマンドと組み合わせたクエリを生成する場合であってもよい。図9は、近隣URL抽出部63によるクエリ生成の一例を説明するための図である。
例えば、図9に示すように、近隣URL抽出部63は、部分URL「example.co.jp」からクエリ「site:example.co.jp inurl:text」を生成して、検索エンジンにより近隣探索を実行する。検索コマンド「inurl:」は、「inurl:」に続く文字列を含むURLのみを検索させる検索コマンドである。すなわち、クエリ「site:example.co.jp inurl:text」によって近隣探索を実行することによって、「example.co.jp」の配下であり、かつ、「http://example.co.jp/test/」や「http://example.co.jp/str/test/」の配下のURLを抽出することが可能になる。言い換えると、開示の技術は、複数の検索コマンドを任意に組み合わせることで、検索する近隣URLの対象範囲を絞り込むことが可能である。なお、「http://example.co.jp/str/test/」に含まれる文字列「str」は、任意の文字列を意味している。
(2)検索エンジン
上述した実施例2では、1つの検索エンジンに近隣探索を実行させる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、複数の検索エンジンにより近隣探索を実行する場合であってもよい。図10は、複数の検索エンジンを用いた場合の近隣探索の一例を説明するための図である。
例えば、近隣URL抽出部63は、図10に示すように、部分URLから生成したクエリを検索エンジンA〜Cに実行させ、検索エンジンA〜Cそれぞれから取得した近隣URLの中からユニークな近隣URLを抽出する。検索エンジンは、それぞれ独自の手法によりWeb空間のクロール(crawl)とインデックス化を行っていることから、このように複数の検索エンジンを利用することにより、近隣探索の網羅性を向上させることが可能である。
(3)ドメイン内の文字列検索コマンド
上述した実施例2では、ドメイン内の文字列検索コマンドの一例として「site:」を用いる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、検索エンジンごとの固有の検索コマンドを用いる場合であってもよい。例を挙げると、サブドメインのレベルに関係なく、指定したドメイン名が含まれるURLを検索範囲とする検索コマンドを用いる場合であってもよい。このような検索コマンドとしては、例えば、「domain:」などが知られている。
(4)対象とする悪性URL
上述した実施例2では、近隣URLがマルウェアなどを含むサイトであるか否かにより悪性URLを決定する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、近隣URLがフィッシングサイトや有害サイトであるか否かにより悪性URLを決定する場合であってもよい。
(5)適用範囲
上述した実施例1及び2では、リストを生成する専用装置を例に挙げて説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、プロキシサーバなどに搭載されたフィルタリング装置に組み込む場合であってもよい。かかる場合には、部分URL生成部62、近隣URL抽出部63及び悪性URL決定部64をフィルタリング装置に組み込み、フィルタリング装置が有するブラックリストを更新する。
(6)クライアント型ハニーポット
上述した実施例2では、悪性URL決定部64がクライアント型ハニーポットとして機能することで悪性URLを決定する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、悪性URL決定部64が、インターネット200に接続された他のクライアント型ハニーポットに近隣URLを転送して、検査を実行させた結果に基づいて、悪性URLを決定する場合であってもよい。
(7)URLのスキーム
上述した実施例2では、URLのスキームがHTTPである場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、URLのスキームがHTTPSやFTP(File Transfer Protocol)である場合であってもよい。
(8)システム構成等
例えば、各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、ブラックリスト記憶部51と判定基準記憶部52とを一つの記憶部として統合してもよく、一方、近隣URL抽出部63を、クエリを生成するクエリ生成部と、検索エンジンに近隣探索を実行させる探索実行部とに分散してもよい。
また、制御部60をリスト生成装置100の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、部分URL生成部62、近隣URL抽出部63を別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したリスト生成装置100の機能を実現するようにしてもよい。
(9)リスト生成プログラム
上記実施例で説明したリスト生成装置100は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示したリスト生成装置100と同様の機能を実現するリスト生成プログラムを実行するコンピュータの一例を説明する。
図11は、本実施例に係るリスト生成プログラムを実行するコンピュータ1000を示す図である。図11に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図11に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。本実施例に係るリスト生成プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。具体的には、上記実施例で説明した部分URL生成部62と同様の情報処理を実行する部分文字列生成手順と、近隣URL抽出部63と同様の情報処理を実行する抽出手順と、悪性URL決定部64と同様の情報処理を実行する決定手順とが記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、上記実施例で説明したブラックリスト記憶部51に記憶されるデータのように、リスト生成プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出して、部分文字列生成手順と、抽出手順と、決定手順とを実行する。
なお、情報送受信プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、情報送受信プログラムに係るプログラムモジュールやプログラムデータは、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1、100 リスト生成装置
2、62 部分URL生成部
3、63 近隣URL抽出部
4、64 悪性URL決定部

Claims (7)

  1. 質な資源情報の格納先を示す悪性統一資源位置指定子に含まれる任意の文字列を組み合わせた部分文字列を生成する部分文字列生成ステップと、
    前記部分文字列生成ステップによって生成された前記部分文字列を含む統一資源位置指定子をネットワーク上から抽出する抽出ステップと、
    前記抽出ステップによって抽出された統一資源位置指定子が指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該統一資源位置指定子を新規の悪性統一資源位置指定子として前記悪性統一資源位置指定子のリストに反映すると決定する決定ステップと、
    を含み、コンピュータで実行されることを特徴とするリスト生成方法。
  2. 前記部分文字列生成ステップは、前記統一資源位置指定子としてURLを対象とし、悪性URLのドメイン部及びパス部それぞれにおいて、階層構造の上位層の文字列から順に段階的に連結した複数の部分文字列を生成し、
    前記抽出ステップは、URLの階層構造に基づいて、前記部分文字列生成ステップによって生成された複数の部分文字列それぞれが対応する階層に配置されたURLを抽出することを特徴とする請求項1に記載のリスト生成方法。
  3. 前記部分文字列生成ステップは、前記悪性URLのドメイン部のみの部分文字列を生成する場合に、当該部分文字列にトップレベルドメイン又はパブリックサフィックスに加えて少なくとも1つ以上の文字列を含ませることを特徴とする請求項2に記載のリスト生成方法。
  4. 前記抽出ステップは、前記部分文字列に対して1つ又は複数の検索コマンドを付与したクエリを生成し、生成したクエリを検索エンジンに実行させることにより、当該部分文字列が対応する階層に配置されたURLを抽出することを特徴とする請求項1又は2に記載のリスト生成方法。
  5. 前記抽出ステップは、前記クエリを複数の検索エンジンに実行させることにより、前記部分文字列が対応する階層に配置されたURLを抽出することを特徴とする請求項4に記載のリスト生成方法。
  6. 悪質な資源情報の格納先を示す悪性統一資源位置指定子に含まれる任意の文字列を組み合わせた部分文字列を生成する部分文字列生成部と、
    前記部分文字列生成部によって生成された前記部分文字列を含む統一資源位置指定子をネットワーク上から抽出する抽出部と、
    前記抽出部によって抽出された統一資源位置指定子が指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該統一資源位置指定子を新規の悪性統一資源位置指定子として前記悪性統一資源位置指定子のリストに反映すると決定する決定部と、
    を有することを特徴とするリスト生成装置。
  7. コンピュータに請求項1〜5のいずれか1つに記載のリスト生成方法を実行させるためのリスト生成プログラム。
JP2010267224A 2010-11-30 2010-11-30 リスト生成方法、リスト生成装置及びリスト生成プログラム Active JP5465651B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010267224A JP5465651B2 (ja) 2010-11-30 2010-11-30 リスト生成方法、リスト生成装置及びリスト生成プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010267224A JP5465651B2 (ja) 2010-11-30 2010-11-30 リスト生成方法、リスト生成装置及びリスト生成プログラム

Publications (2)

Publication Number Publication Date
JP2012118713A JP2012118713A (ja) 2012-06-21
JP5465651B2 true JP5465651B2 (ja) 2014-04-09

Family

ID=46501473

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010267224A Active JP5465651B2 (ja) 2010-11-30 2010-11-30 リスト生成方法、リスト生成装置及びリスト生成プログラム

Country Status (1)

Country Link
JP (1) JP5465651B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015087835A1 (ja) 2013-12-10 2015-06-18 日本電信電話株式会社 Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム
JP6039826B2 (ja) * 2014-01-31 2016-12-07 株式会社日立製作所 不正アクセスの検知方法および検知システム
EP3101580B1 (en) 2014-03-19 2019-02-27 Nippon Telegraph and Telephone Corporation Website information extraction device, system, website information extraction method, and website information extraction program
AU2015266653A1 (en) * 2014-05-30 2016-09-15 Beestripe Llc Method of redirecting search queries
CN107251037B (zh) 2015-02-20 2021-02-12 日本电信电话株式会社 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质
JP6378808B2 (ja) * 2017-06-28 2018-08-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 接続先情報判定装置、接続先情報判定方法、及びプログラム
JP2023067463A (ja) 2021-11-01 2023-05-16 富士通株式会社 ドメイン検索プログラム、ドメイン検索方法および情報処理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4021681B2 (ja) * 2002-02-22 2007-12-12 日本電信電話株式会社 ページレイティング/フィルタリング方法および装置とページレイティング/フィルタリングプログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体
JP2005293123A (ja) * 2004-03-31 2005-10-20 Nippon Telegraph & Telephone West Corp コンテンツフィルタリングシステム、その方法およびプログラム
JP2007249584A (ja) * 2006-03-15 2007-09-27 Softec:Kk クライアントデータベース構築方法、データ検索方法、データ検索システム、データ検索フィルタリングシステム、クライアントデータベース構築プログラム、データ検索プログラム、データ検索フィルタリングプログラム及びプログラムを格納したコンピュータで読み取り可能な記録媒体並びに記録した機器
JP5415390B2 (ja) * 2010-10-28 2014-02-12 日本電信電話株式会社 フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム

Also Published As

Publication number Publication date
JP2012118713A (ja) 2012-06-21

Similar Documents

Publication Publication Date Title
JP5465651B2 (ja) リスト生成方法、リスト生成装置及びリスト生成プログラム
JP5989919B2 (ja) Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム
US10740363B2 (en) Domain classification based on domain name system (DNS) traffic
JP5415390B2 (ja) フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム
EP3547635A1 (en) Method and device for detecting webshell
JP6315640B2 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
WO2014116857A1 (en) Domain classification based on client request behavior
JP5813810B2 (ja) ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
JP6030272B2 (ja) ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム
JP5389739B2 (ja) 解析システム、解析装置、解析方法及び解析プログラム
JPWO2018163464A1 (ja) 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム
Kondracki et al. Catching transparent phish: Analyzing and detecting mitm phishing toolkits
Marnerides et al. Identifying infected energy systems in the wild
US8392421B1 (en) System and method for internet endpoint profiling
CN109241483B (zh) 一种基于域名推荐的网站发现方法和系统
Akiyama et al. Improved blacklisting: inspecting the structural neighborhood of malicious URLs
Pletinckx et al. Certifiably vulnerable: Using certificate transparency logs for target reconnaissance
Arya et al. A client-side anti-pharming (CSAP) approach
JP2009230662A (ja) ウェブサイト判定装置及びウェブサイト判定プログラム
Quinkert et al. Dorkpot: A honeypotbased analysis of google dorks
JP6478730B2 (ja) 悪性url候補取得装置、悪性url候補取得方法、及びプログラム
Vilches et al. Aztarna, a footprinting tool for robots
Bennett Search Engines That Scan For Internet-Connected Services: Classification and Empirical Study
Wang et al. Design and Implementation of Web Honeypot Detection System Based on Search Engine

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140122

R150 Certificate of patent or registration of utility model

Ref document number: 5465651

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150