JP5588845B2 - 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム - Google Patents

不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム Download PDF

Info

Publication number
JP5588845B2
JP5588845B2 JP2010264791A JP2010264791A JP5588845B2 JP 5588845 B2 JP5588845 B2 JP 5588845B2 JP 2010264791 A JP2010264791 A JP 2010264791A JP 2010264791 A JP2010264791 A JP 2010264791A JP 5588845 B2 JP5588845 B2 JP 5588845B2
Authority
JP
Japan
Prior art keywords
domain
related information
unit
character string
uri
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010264791A
Other languages
English (en)
Other versions
JP2012118577A (ja
Inventor
英和 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IRD CORP
Original Assignee
IRD CORP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IRD CORP filed Critical IRD CORP
Priority to JP2010264791A priority Critical patent/JP5588845B2/ja
Publication of JP2012118577A publication Critical patent/JP2012118577A/ja
Application granted granted Critical
Publication of JP5588845B2 publication Critical patent/JP5588845B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、ドメインの不正使用を検知する装置等に関するものである。
従来の技術として、利用者端末から送信される一又は複数のキーワードに基づき商標情報データベースに記憶されている商標情報データの中からデータを抽出するためのデータベース検索プログラム等が知られていた。(例えば、特許文献1参照)。
特開2001−161992号公報(第1頁、第1図等)
しかしながら、従来は、インターネット上のドメイン等に、ユーザの商標や、ユーザが取得済のドメイン名と似た文字列が不正に使用されている可能性があるか否かを適切に検知することができないという課題があった。
本発明の不正ドメイン検知装置は、監視対象の文字列である対象文字列を受け付ける受付部と、受付部が受け付けた対象文字列から、対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、2以上の各ドメイン関連情報を用いて、ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる問合部と、問合部における問い合わせの結果が、ドメインが存在するとの結果の場合、ドメイン関連情報である不正可能性ドメイン関連情報を取得する不正可能性ドメイン関連情報取得部と、不正可能性ドメイン関連情報取得部が取得した1以上のドメイン関連情報を出力する出力部とを具備する不正ドメイン検知装置である。
かかる構成により、対象文字列を含む不正なドメインが使用されている可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、ドメイン関連情報は、URIであり、ドメイン関連情報生成部は、受付部が受け付けた対象文字列から、対象文字列を含む2以上のURIを生成し、問合部は、2以上の各URIを用いて、URIで特定されるWebページが存在するか否かを問い合わせ、不正可能性ドメイン関連情報取得部は、問合部における問い合わせの結果、Webページが存在するURIである不正可能性URIを取得し、出力部は、不正可能性ドメイン関連情報取得部が取得した1以上のURIを出力する不正ドメイン検知装置である。
かかる構成により、対象文字列を含む不正なURIが使用されている可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、2以上の文字を格納し得る文字格納部をさらに具備し、ドメイン関連情報生成部は、文字格納部の1以上の文字列を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する文字列生成手段と、文字列生成手段が取得した1以上の文字列を、対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段と、検査対象ドメイン名取得手段が取得した1以上のドメイン名を含む2以上のURIを生成するURI生成手段とを具備する不正ドメイン検知装置である。
かかる構成により、対象文字列を含むドメイン関連情報を、文字を組み合わせて自動生成することで、通常は考えつかないような対象文字列を含むドメイン関連情報を用いて、不正なドメインが使用されている可能性を検知することができる。これにより、より確実に漏れがないように不正なドメインの使用可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、1以上の語句を格納し得る語句格納部をさらに具備し、ドメイン関連情報生成部は、語句格納部の1以上の語句のうち、1以上の語句を、対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段と、検査対象ドメイン名取得手段が取得した1以上のドメイン名を含む2以上のURIを生成するURI生成手段とを具備する不正ドメイン検知装置である。
かかる構成により、例えば、既存の語句を対象文字列に連結してドメイン関連情報をえることにより、不正使用時に考えつきそうなドメイン関連情報を効率的に作成することができ、不正なドメインが使用されている可能性を効率的に検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、ドメイン関連情報生成部は、対象文字列と語句とを連結する文字である1以上の連結文字を格納し得る連結文字格納手段をさらに具備し、検査対象ドメイン名取得手段は、対象文字列と1以上のいずれかの連結文字と語句格納部の1以上のいずれかの語句とを連結した文字列であり、連結文字を対象文字列と語句との間に有する文字列である検査対象のドメイン名を1以上取得する不正ドメイン検知装置である。
かかる構成により、対象文字列に語句や文字列を連結する際のバリエーションをより広く網羅できるようにして、より確実に漏れがないように不正なドメインの使用可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、トップレベルドメインまたは属性型ドメインを示す文字列である識別文字列を1以上格納し得る識別文字列格納部をさらに具備し、検査対象ドメイン名取得手段は、識別文字列格納部に格納されている1以上の各識別文字列を含むドメイン名を1以上取得する不正ドメイン検知装置である。
かかる構成により、トップレベルドメインまたは属性型ドメインが異なるドメイン名を生成することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、ドメイン関連情報生成部は、URIを構成する文字列であり、ドメイン名が挿入され得る文字列である1以上の雛形情報を格納し得る雛形情報格納手段を具備し、URI生成手段は、雛形情報格納手段が格納している1以上の各雛形情報に対して、検査対象ドメイン名取得手段が取得した1以上の各ドメイン名を挿入し、2以上のURIを生成する不正ドメイン検知装置である。
かかる構成により、対象文字列を含むURIを生成することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、ドメイン関連情報は、ドメイン名であり、ドメイン関連情報生成部は、受付部が受け付けた対象文字列から、対象文字列を含む2以上のドメイン名を生成し、問合部は、2以上の各ドメイン名を用いて、ドメイン名で特定されるドメインが存在するか否かを問い合わせ、不正可能性ドメイン関連情報取得部は、問合部における問い合わせの結果、ドメインが存在する不正可能性ドメインを取得し、出力部は、不正可能性ドメイン関連情報取得部が取得した1以上の不正可能性ドメインを出力する不正ドメイン検知装置である。
かかる構成により、対象文字列を含む不正なドメイン名が使用されている可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、2以上の文字を格納し得る文字格納部をさらに具備し、ドメイン関連情報生成部は、文字格納部の1以上の文字列を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する文字列生成手段と、文字列生成手段が取得した1以上の文字列を、対象文字列の後または前に付加して、検査対象のドメイン名を2以上取得する検査対象ドメイン名取得手段とを具備する不正ドメイン検知装置である。
かかる構成により、対象文字列を含むドメイン関連情報を、文字を組み合わせて自動生成することで、通常は考えつかないような対象文字列を含むドメイン関連情報を用いて、不正なドメインが使用されている可能性を検知することができる。これにより、より確実に漏れがないように不正なドメインの使用可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、1以上の語句を格納し得る語句格納部をさらに具備し、ドメイン関連情報生成部は、語句格納部の1以上の語句のうち、1以上の語句を、対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段とを具備する不正ドメイン検知装置である。
かかる構成により、例えば、既存の語句を対象文字列に連結してドメイン関連情報をえることにより、不正使用時に考えつきそうなドメイン関連情報を効率的に作成することができ、不正なドメインが使用されている可能性を効率的に検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、ドメイン関連情報生成部は、対象文字列と語句とを連結する文字である1以上の連結文字を格納し得る連結文字格納手段をさらに具備し、検査対象ドメイン名取得手段は、対象文字列と1以上のいずれかの連結文字と語句格納部の1以上のいずれかの語句とを連結した文字列であり、連結文字を対象文字列と語句との間に有する文字列である検査対象のドメイン名を1以上取得する不正ドメイン検知装置である。
かかる構成により、対象文字列に語句や文字列を連結する際のバリエーションをより広く網羅できるようにして、より確実に漏れがないように不正なドメインの使用可能性を検知することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、トップレベルドメインまたは属性型ドメインを示す文字列である識別文字列を1以上格納し得る識別文字列格納部をさらに具備し、検査対象ドメイン名取得手段は、識別文字列格納部に格納されている1以上の各識別文字列を含むドメイン名を1以上取得する不正ドメイン検知装置である。
かかる構成により、トップレベルドメインまたは属性型ドメインが異なるドメイン名を生成することができる。
また、本発明の不正ドメイン検知装置は、前記不正ドメイン検知装置において、除外するドメイン名、または除外するURIである除外情報を、1以上格納し得る除外情報格納部をさらに具備し、出力部は、除外情報をドメイン名として含むURI、または除外情報であるURIを出力しない不正ドメイン検知装置である。
かかる構成により、除外情報が示すドメイン名と一致するドメイン名や、このドメイン名を含むURIや、除外情報が示すURIが使用されていても、不正使用のドメイン名やURIとして出力しないようにことができる。これにより、不正使用でないと予め分かっているドメイン名やURIを登録しておくことで、これらの出力対象から除外することができる。
本発明による不正ドメイン検知装置によれば、不正なドメインが使用されている可能性を検知することができる。
本発明の実施の形態における不正ドメイン検知装置のブロック図 同動作について説明するフローチャート 同概念図 同語句管理表を示す図 同連結文字管理表を示す図 同識別文字列管理表を示す図 同対象文字列の入力画面を示す図 同取得した2個以下の語句の組合せを示す図 同取得した語句パターンを示す図を示す図 同連結された語句パターンを示す図を示す図 同取得したドメイン名を示す図 同雛形情報を示す図 同生成したURIを示す図 同不正可能性URIを示す図 同除外情報を示す図 同不正可能性URIの出力例を示す図 本実施の形態2における不正ドメイン検知装置2のブロック図 同動作について説明するフローチャート 同生成するドメイン名を示す図 同不正可能性ドメインを示す図 同除外情報管理表を示す図 同不正可能性ドメインの表示例を示す図 本発明の各実施の形態のコンピュータシステムの外観の一例を示す図 同コンピュータシステムの構成の一例を示す図
以下、不正ドメイン検知装置等の実施形態について図面を参照して説明する。なお、実施の形態において同じ符号を付した構成要素は同様の動作を行うので、再度の説明を省略する場合がある。
(実施の形態1)
図1は、本実施の形態における不正ドメイン検知装置1のブロック図である。
不正ドメイン検知装置1は、受付部101、文字格納部102、語句格納部103、識別文字列格納部104、ドメイン関連情報生成部105、問合部106、不正可能性ドメイン関連情報取得部107、除外情報格納部108、出力部109を備える。
ドメイン関連情報生成部105は、文字列生成手段10501、検査対象ドメイン名取得手段10502、雛形情報格納手段10503、URI生成手段10504、連結文字格納手段10505を備える。
受付部101は、監視対象の文字列である対象文字列を受け付ける。対象文字列は、例えば、後述するドメイン名やURI等に利用可能な文字列である。ドメイン名やURI等に利用可能な文字列は、通常は、1バイトのアルファベットで構成される文字列である。但し、アルファベット以外の文字列や、日本語等の2バイトの文字で構成される文字列を用いても良い。対象文字列は、後述する連結文字等を含む文字列であっても良い。ここでは、1文字でも文字列と考える。また、本実施の形態においては、文字は数字を含むと考えて良い。対象文字列は、例えば、ユーザがドメインによる不正使用を検知したいと考える所望の文字列である。例えば、ユーザが登録しているドメイン名のうちの、他のドメイン名に対して識別力を有する主要部の文字列(例えば、ドメイン名から後述する識別文字列を除いた部分の文字列)や、ユーザの登録商標や著名商標等の読み等である。
なお、受付部101は、更に、対象文字列に連結する語句数や、文字列数等を指定する情報を受け付けても良い。
受け付けとは、キーボードやマウス、タッチパネルなどの入力デバイスから入力された情報の受け付け、有線もしくは無線の通信回線を介して送信された情報の受信、光ディスクや磁気ディスク、半導体メモリなどの記録媒体から読み出された情報の受け付けなどを含む概念である。受付部101は、テンキーやキーボード等の入力手段のデバイスドライバーや、メニュー画面の制御ソフトウェア等で実現され得る。
文字格納部102には、2以上の文字が格納される。2以上の文字は、上述したようなドメイン名やURI等に利用可能な文字である。ただし、ドメイン名やURI等において予め指定された意味や役割等を有する文字(例えば、「.」や「/」)は除くことが好ましい。文字格納部102に格納される文字は、後述する連結文字を含まないと考えても良い。
文字格納部102は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
語句格納部103には、1以上の語句が格納される。1以上の語句は、上述したようなドメイン名やURI等に利用可能な文字で構成される語句である。1以上の語句は、例えば、国語辞書や英語辞書や専門用語辞書等の辞書や、コーパス等の言語データベース等に登録されている語句である。ただし、ドメイン名やURI等において予め指定された意味や役割等を有する文字列や予め指定された意味や役割等を有する文字を含む文字列等は格納しないようにすることが好ましい。
語句格納部103は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
識別文字列格納部104には、トップレベルドメインまたは属性型ドメインを示す文字列である識別文字列を1以上格納し得る。トップレベルドメインとは、例えば、「.com」や「.jp」等のホスト名やドメイン名をドットで分割した場合の最後の文字列を指す。また属性型ドメインは、国や組織や機関の種別等の属性を表す文字列で構成されるドメインであり、例えば、「.co.jp」や「.ac.jp」等である。識別文字列は、「.(ドット)」をその先頭に有しているようにすることが好ましい。
識別文字列格納部104は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
ドメイン関連情報生成部105は、受付部101が受け付けた対象文字列から、対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成する。ドメイン関連情報とは、例えば、対象文字列に1文字以上を加えた文字列である。ドメイン関連情報生成部105は、後述する識別文字列以外の部分が異なる2以上のドメイン関連情報を生成することが好ましい。例えば、不正なドメインの利用を検出する際に、識別文字列の部分だけが対象文字列を用いているドメインと異なるドメインを検出することは、識別文字列(.comや.co.jpや.net等)の数はそれほど多くないため、組み合わせが限られるため比較的容易であるが、識別文字列以外の部分が異なるドメインを検出することは、連結可能な文字列や語句が多いため非常に困難であるからである。
ドメイン関連情報は、例えば、URI(Uniform Resource Identifier)である。例えば、ドメイン関連情報生成部105は、受付部101が受け付けた対象文字列から、対象文字列を含む2以上のURIを生成する。URIとは、例えば、リソースを示す識別情報である。URIは、URL(Uniform Resource Locator)も含む概念である。URLは、例えば、リソースの格納されている場所等を示す情報である。URLは、例えば、「http://」や「https://」等のスキーム名の後に、ホスト名(ドメイン名)を加えたもの、もしくは更にその後にパス名を加えたものである。
また、ドメイン関連情報は、例えば、ドメイン名であっても良い。ドメイン名とは、ドメインの場所を示す情報である。ドメイン名は、例えば、ネットワーク上のコンピュータやサーバ等の場所を識別する名称である。
なお、本実施の形態においては、ドメイン関連情報生成部105がドメイン関連情報としてURIを生成する場合を一例に挙げて説明する。
ドメイン関連情報生成部105は、通常、MPUやメモリ等から実現され得る。ドメイン関連情報生成部105の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
文字列生成手段10501は、文字格納部102の1以上の文字列を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する。文字列生成手段10501は、例えば、n個の文字を順番に文字格納部102から取り出して並べることでn文字の文字列を取得する。文字列を取得する際に同じ文字を複数回取り出しても良い。
文字列生成手段10501は、通常、MPUやメモリ等から実現され得る。文字列生成手段10501の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
検査対象ドメイン名取得手段10502は、例えば、文字列生成手段10501が取得した1以上の文字列を、対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する。
また、検査対象ドメイン名取得手段10502は、例えば、対象文字列と1以上のいずれかの連結文字と文字列生成手段10501が取得した1以上の文字列とを連結した文字列であり、連結文字を対象文字列と文字列生成手段10501が取得した1以上の文字列との間に有する文字列である検査対象のドメイン名を1以上取得してもよい。
また、検査対象ドメイン名取得手段10502は、例えば、語句格納部103の1以上の語句のうち、1以上の語句を、対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得してもよい。
また、検査対象ドメイン名取得手段10502は、例えば、対象文字列と1以上のいずれかの連結文字と語句格納部103の1以上のいずれかの語句とを連結した文字列であり、連結文字を対象文字列と語句との間に有する文字列である検査対象のドメイン名を1以上取得してもよい。また、連結する際には、連結文字格納手段10505に格納されている連結文字の一以上を介して連結するようにしても良い。
また、検査対象ドメイン名取得手段10502は、例えば、文字列生成手段10501が取得した1以上の文字列と、語句格納部103の1以上の語句のうち、1以上の語句とを、それぞれ、対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得してもよい。
また、検査対象ドメイン名取得手段10502は、例えば、識別文字列格納部104に格納されている1以上の識別文字列を含むドメイン名を1以上取得する。例えば、対象文字列の後に、識別文字列格納部104に格納されている識別文字列を結合してドメイン名を取得してもよい。また、上述したように、対象文字列の前後に、文字列生成手段10501が生成した文字列や、語句格納部103に格納されている語句を連結して文字列を得る場合、得られた文字列の後に、識別文字列格納部104に格納されている識別文字列を連結してドメイン名を取得してもよい。この場合、対象文字列と連結する文字列との間には、連結文字の1以上を介在させるようにしても良いし、介在させないようにしても良い。
なお、検索対象ドメイン名取得手段10502は、文字列生成手段10501が生成した文字列、または、語句格納部103から取得した語句等の少なくとも一方を連結することで、識別文字列以外の部分が異なる2以上のドメイン関連情報を生成することが好ましい。
検査対象ドメイン名取得手段10502は、通常、MPUやメモリ等から実現され得る。検査対象ドメイン名取得手段10502の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
雛形情報格納手段10503は、URIを構成する文字列であって、ドメイン名が挿入され得る文字列である1以上の雛形情報を格納し得る。雛形情報は、例えば、予め指定された位置にドメイン名が配置されることでURIが構成される情報である。例えば、雛形情報は、URIのスキーム名と、ドメイン名が配置される位置を示す文字列、またはドメイン名と置換される文字列とを有する情報である。スキーム名とは、例えば、「http://」等の情報ソースの種類や処理方法を示す情報である。例えば、「(ドメイン名)」というがドメイン名と置換される文字列であるとすると、雛形情報は、「http://(ドメイン名)」や「https://(ドメイン名)」等の情報である。
雛形情報格納手段10503は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
URI生成手段10504は、検査対象ドメイン名取得手段10502が取得した1以上のドメイン名を含む2以上のURIを生成する。URI生成手段10504は、例えば、雛形情報格納手段10503に格納されている1以上の雛形情報のドメイン名を配置する位置に検査対象ドメイン名取得手段10502が取得したドメイン名を配置することでURIを生成する。また、URI生成手段10504は、例えば、検査対象ドメイン名取得手段10502が取得したドメイン名の前に、スキーム名等を加えてURIを生成する。スキーム名は、例えば図示しない記憶媒体等に予め格納されているものを適宜読み出すようにすればよい。
URI生成手段10504は、通常、MPUやメモリ等から実現され得る。URI生成手段10504の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
連結文字格納手段10505には、対象文字列と、文字列生成手段10501が生成した文字列、語句、または識別文字列情報の1以上とを連結する文字である1以上の連結文字が格納される。連結文字とは、例えば、URIやドメイン名で利用可能な「−」「.」などの文字である。なお、連結文字格納手段10505には、連結する際に連結文字を用いないことを示す情報として、例えば空白(ブランク)の連結文字等の情報が格納されてるようにしても良い。
連結文字格納手段10505は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
問合部106は、2以上の各ドメイン関連情報を用いて、ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる。問合部106は、通常、インターネットプロトコル等を用いてWebに問い合わせる。問合部106は、例えば、DNS等の1以上のサーバ装置に問い合わせても良い。存在するか否かを問い合わせるということは、存在するか否かを示す情報を要求することであってもよいし、存在するか否かを判断可能な情報を要求することであってもよい。ドメインが存在するか否かを問い合わせるということは、ドメイン関連情報生成部105が生成した2以上の各ドメイン関連情報(例えばURI)を用いて、URIで特定されるWebページが存在するか否かを問い合わせることも含む概念である。例えば、問合部106は、ドメイン関連情報生成部105が生成した2以上の各URI用いて、URIで特定されるWebページが存在するか否かを問い合わせる。この場合の問い合わせは、具体的には、URIを送信することである。この場合のURIは、このURIが示す情報(例えばWebページ)の送信を要求する情報と考えてもよい。この要求に応じてWebページを取得することができた場合、Webページが存在することを示す結果を得たこととなり、Webページが取得できなかった場合は、Webページが存在しないことを示す結果を得たこととなる。また、ドメインが存在するか否かを問い合わせるということは、例えば、問い合わせの結果を示す情報を取得する処理も含む処理であると考えてよい。URIを用いて、Webページの情報(例えばHTMLファイル等)を取得する処理は、例えば、C#の実装では、「System.Net.HttpWebRequest」と「System.Net.WebResponse」という二つのクラスを使うことで実現可能である。この2つのクラスは、Microsoft(登録商標)の「.NET Framework」というフレームワーク(ライブラリ)で用意されているものである。具体的には、「System.Net.HttpWebRequest」でURI(URL)からリクエストを作成し、「System.Net.WebResponse」でそのレスポンス(ストリーム)を取得する。そして、問合部106は、途中に、例外が発生し、Webページの情報を取得できない場合、Webサーバが存在しないドメインとして処理する。また、処理が最後まで進み、Webページの情報を取得できた場合、Webサーバが存在するドメインとして処理する。なお、URIを用いた問い合わせの具体的な処理は、Webブラウザ等が、URLで特定されるWebページの情報を取得する処理等として公知の技術であるのでここでは詳細な説明は省略する。なお、問合部106は、例えば、URIを送信してから予め指定された時間が経過するまでに、URIで特定されるWebページの情報を受信したか否かの判断を繰り返すようにし、受信できなかった場合に、URIで特定されるWebページが存在しないと判断して、URIが示すドメインが存在しないことを示す結果を得るようにすればよい。
問合部106は、通常、MPUやメモリ等から実現され得る。問合部106の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。また、問合部106は、ドメイン関連情報を送信したり、問い合わせの結果を受信するための通信手段を有していてもよい。
不正可能性ドメイン関連情報取得部107は、問合部106における問い合わせの結果が、ドメインが存在するとの結果の場合、不正可能性ドメイン関連情報を取得する。不正可能性ドメイン関連情報は、不正利用である可能性があるドメイン関連情報を示す情報である。不正可能性ドメイン関連情報取得部107は、例えば、ドメインが存在するとの結果の場合、問い合わせに用いたドメイン関連情報を不正可能性ドメイン関連情報として取得する。例えば、ドメイン関連情報がURIである場合、不正可能性ドメイン関連情報取得部107は、問合部106における問い合わせの結果、Webページが存在するURIである不正可能性URIを取得する。例えば、WEBページが存在する場合、問い合わせに用いたURIを不正可能性URIとして取得しても良いし、問い合わせに応じて返信されたWebページに付与されているURL等から不正可能性URIを取得しても良い。なお、問い合わせの結果が、ドメインが存在しないとの結果の場合は、不正可能性ドメイン関連情報取得部107は、不正可能性ドメイン関連情報を取得しなくてよい。
ドメインが存在するとの結果の場合とは、例えば、問合部106が、ドメインが存在することを示す情報を取得した場合である。また、問合部106が、問い合わせたドメインが示すWebページの情報等を取得した場合である。ドメインが存在するとの結果以外の場合とは、例えば、問合部106が、ドメインが存在しないことを示す情報を取得した場合や、問合部106が、問い合わせたドメインが示すWebページの情報等を取得できなかった場合である。なお、問い合わせに用いたURIが示すWebサーバに、このURIで指定されたWebページがない場合に、このWebサーバが送信する「404 Not Found」等のWebページを、URIにより特定されるWebページの情報と考えるようにしてもよい。そして、問合部106が、URIが示すWebサーバから送信されるこのような情報を受信した場合にも、ドメインが存在するという結果を得たと考えてよい。かかることは、URIで指定されたWebページアクセスが禁止されている場合に、このURIが示すWebサーバが送信する「403 Forbidden」を示すWebページ等についても同様である。このように、URIが示すWebサーバがWebページの情報を送信できない場合に送信するWebページの情報等を、URIで特定されるWebページの情報と考えて、このようなWebページの情報を問合部106が取得した場合も、ドメインが存在する結果を得たと考えて良い。あるいは、URIの送信に対して、何らかのWebページを受信した場合に、URIで特定されるWebページを受信したとして、ドメインが存在する結果を得たと判断するようにしてもよい。
不正可能性ドメイン関連情報取得部107は、通常、MPUやメモリ等から実現され得る。不正可能性ドメイン関連情報取得部107の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
除外情報格納部108には、除外するドメイン名、または除外するURIである除外情報を、1以上格納される。
除外情報格納部108は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
出力部109は、不正可能性ドメイン関連情報取得部107が取得した1以上のドメイン関連情報を出力する。例えば、出力部109は、不正可能性ドメイン関連情報取得部107が取得した1以上の不正可能性URIを出力する。
なお、出力部109は、除外情報格納部108に格納されている除外情報をドメイン名として含むURI、または除外情報であるURIを出力しないようにしてもよい。例えば、出力部109は、不正可能性ドメイン関連情報取得部107が取得した1以上のドメイン関連情報に、除外情報格納部108に格納されている除外情報であるドメイン名が含まれているか否かを判断し、含まれているドメイン関連情報は出力しない。また、例えば、出力部109は、不正可能性ドメイン関連情報取得部107が取得した1以上のドメイン関連情報が、除外情報格納部108に格納されている除外情報であるURIと一致するか否かを判断し、一致するドメイン関連情報は出力しない。
なお、出力部109が、除外情報をドメイン名として含むURI、または除外情報であるURIを出力しないようにする、ということは、除外情報をドメイン名として含むURI、または除外情報であるURIが、結果的に、出力部109から出力されないようにすることを意味するものであり、例えば、上記の他に、除外情報をドメイン名として含むURI、または除外情報であるURIを、問合部106が送信しないようにすることであっても良いし、除外情報をドメイン名として含むURI、または除外情報であるURIを、ドメイン関連情報生成部105が生成しない、もしくは生成したドメイン関連情報から除外すること等であっても良い。除外情報をドメイン名として含むURI、または除外情報であるURIを検出する処理は、上記と同様である。実際には、無駄な問い合わせ処理を省くため、除外情報をドメイン名として含むURI、または除外情報であるURIを、問合部106が送信しないようにすることが好適である。
ここで述べる出力とは、ディスプレイへの表示、プロジェクターを用いた投影、プリンタへの印字、外部の装置への送信、記録媒体への蓄積、他の処理装置や他のプログラムなどへの処理結果の引渡しなどを含む概念である。
出力部109は、ディスプレイ等の出力デバイスを含むと考えても含まないと考えても良い。出力部109は、出力デバイスのドライバーソフトまたは、出力デバイスのドライバーソフトと出力デバイス等で実現され得る。
次に、不正ドメイン検知装置1の動作について図2のフローチャートを用いて説明する。なお、ここでは、対象文字列に、語句格納部103に格納されている語句を連結してドメイン関連情報を生成する場合を例に挙げて説明する。
(ステップS101)受付部101は、対象文字列を受け付けたか否かを判断する。受け付けた場合、ステップS102に進み、受け付けていなければステップS101に戻る。
(ステップS102)受付部101は、対象文字列に連結する語句の上限数mを受け付けたか否かを判断する。受け付けた場合、ステップS103に進み、受け付けていない場合、ステップS102に戻る。なお、上限数が予めデフォルト等で決まっている場合には、この処理は省略して良い。
(ステップS103)検査対象ドメイン名取得手段10502は、語句格納部103に格納されている語句の中から、1からm個までの語句をそれぞれ取り出す場合の、取り出す組合せを取得する。例えば、取り出す語句数を1からmまで増加させながら、各語句数において考えられる語句の組合せを取得する。取り出す組合せは可能な全ての組合せであることが好ましいが、一部の組合せだけであっても良い。また、組合せを取得する際には、重複して語句を取得するようにしても良い。取得した組合せは、メモリ等の記憶媒体に一時記憶する。
(ステップS104)検査対象ドメイン名取得手段10502は、ステップS103で取り出した各組み合わせについて、組み合わせを構成する各語句と、対象文字列とを並べる場合の並びである順列をそれぞれ取得する。ここで取得した各順列を語句パターンと呼ぶ。順列や組合せを取得する処理については、以下の非特許文献等において公知であるので、詳細な説明は省略する(非特許文献「http://www.t3japan.gr.jp/pdf2002/yoshida.pdf」)。なお、語句の組み合わせを取り出す際に、語句の重複が可能である場合は、順列において、重複するものは削除するようにしても良い。取得した語句パターンは、メモリ等の記憶媒体に一時記憶する。
(ステップS105)検査対象ドメイン名取得手段10502は、カウンターpに1を代入する。
(ステップS106)検査対象ドメイン名取得手段10502は、ステップS104で取得した語句パターンの中に、p番目の語句パターンがあるか否かを判断する。ある場合、ステップS107に進み、ない場合、ステップS111に進む。
(ステップS107)検査対象ドメイン名取得手段10502は、p番目の語句パターンを構成する語句間の数qを取得する。なお、ここでは、語句パターンの語句には、対象文字列も含むと考える
(ステップS108)検査対象ドメイン名取得手段10502は、連結文字格納手段10505に格納されている1以上の連結文字の組の中から、q個の連結文字を取り出す場合の順列を取得する。連結文字を取り出す際に、重複して取り出すようにしても良い。この連結文字列の順列をここでは、連結パターンと呼ぶ。なお、ここでは、連結文字を用いずに語句を連結することを示す情報として、空白(ブランク)の連結文字を連結文字格納手段10505に格納しておくようにする。例えば、空白の連結文字がq個の連結文字の一つとして取り出された場合、この連結文字で結合される語句は、実際には連結文字を介さずに結合されることとなる。
(ステップS109)検査対象ドメイン名取得手段10502は、p番目の語句パターンを構成する語句間を、ステップS108で取得した各連結パターンが示すように連結した語句パターンをそれぞれ取得する。連結パターンが示すように連結とは、例えば、連結パターンの一の順番の連結文字が空白の連結文字でない場合、p番目の語句パターンのこの順番の語句間の前後の語句(及び対象文字列)同士を、この連結文字を挿入して連結することである。また、例えば、連結パターンの一の連結文字が、空白の連結文字である場合、p番目の語句パターンのこの順番の語句間の前後の語句(及び対象文字列)間を何も挿入せずに連結することである。連結した語句パターンは、図示しない記憶媒体等に一時記憶する。
(ステップS110)検査対象ドメイン名取得手段10502は、カウンターpの値を1インクリメントする。そして、ステップS106に戻る。
(ステップS111)検査対象ドメイン名取得手段10502は、ステップS109で連結した語句パターンのそれぞれの後に、識別文字列格納部104に格納されている1以上の識別文字列をそれぞれ連結したドメイン名を取得する。例えば、識別文字列格納部104に3つの識別文字列が格納されている場合、各連結した語句パターンからそれぞれ3つのドメイン名が取得できる。取得したドメイン名は、図示しない記憶媒体等に一時記憶する。
(ステップS112)URI生成手段10504は、ステップS111で取得した各ドメイン名を、雛形情報格納手段10503に格納されている各雛形情報の予め指定されている位置にそれぞれ配置して、URIを取得する。取得したURIは、図示しない記憶媒体等に一時記憶する。
(ステップS113)問合部106は、カウンターkに1を代入する。
(ステップS114)問合部106は、ステップS112で取得したURIの中に、k番目のURIがあるか否かを判断する。ある場合、ステップS115に進み、ない場合、ステップS119に進む。
(ステップS115)問合部106は、k番目のURIを用いて、このURIで特定されるWEBページがあるか否かを問い合わせる。具体的には、k番目のURIを送信して、このURIで特定されるWEBページの情報の送信を要求する。
(ステップS116)問合部106は、ステップS115の問い合わせの結果が、WEBページがあることを示すか否かを判断する。例えば、k番目のURIの送信に応じて、このURIが示すWEBページの情報を受信したか否かを判断する。受信できた場合、問い合わせの結果がWEBページがあることを示すと判断し、受信できなかった場合、問い合わせの結果がWEBページなしであることを示すと判断する。問い合わせの結果が、WEBページがあることを示す場合、ステップS117に進み、WEBページがないことを示す場合、ステップS118に進む。
(ステップS117)不正可能性ドメイン関連情報取得部107は、k番目のURIを不正可能性URIとして取得する。取得した不正可能性URIは、図示しない記憶媒体に一時記憶する。
(ステップS118)問合部106は、カウンターkの値を1インクリメントする。そして、ステップS114に戻る。
(ステップS119)出力部106は、ステップS117で1以上の不正可能性URIが取得されたか否かを判断する。取得された場合、ステップS120に進み、取得されていない場合、ステップS121に進む。
(ステップS120)出力部106は、除外情報をドメイン名として含む不正可能性URIと、除外情報と一致するURIと、を除外対象として検出する。
(ステップS121)出力部106は、ステップS117で取得して蓄積した不正可能性URIから、除外対象のURIをのぞいたURIを出力する。そして、処理を終了する。
(ステップS122)出力部106は、不正利用の可能性のあるURIが存在しないことを示す情報を出力する。そして、処理を終了する。
以下、本実施の形態における不正ドメイン検知装置1の具体的な動作について説明する。この具体例においては、文字格納部102に格納されている文字を利用せず、語句格納部103に格納されている語句を用いてドメイン関連情報を生成する場合について説明する。
不正ドメイン検知装置1の概念図は図3である。例えば、不正ドメイン検知装置1は、インターネット等のネットワークに接続されている。また、インターネット上には複数のWEBサーバやDNSサーバ等のサーバ20が接続されている。
図4は、語句格納部103に格納されている語句を管理する語句管理表を示す図である。
図5は、連結文字格納手段10505に格納されている連結文字を管理する連結文字管理表を示す図である。なお、連結文字管理表の最後のレコードの「(空白)」は、空白の連結文字があることを示す。あるいは、連結文字列がないことを示すと考えても良い。
図6は、識別文字列格納部104に格納されている識別文字列を管理する識別文字列管理表を示す図である。
まず、ユーザが不正ドメイン検知装置1に対して、監視対象の文字列を入力するための入力画面を出力させる操作を行うと、対象文字列の入力画面が表示される。
図7は、対象文字列の入力画面を示す図である。フィールド71は、対象文字列の入力フィールドであり、フィールド72は、対象文字列に連結する語句の上限数mの入力フィールドである。
次に、ユーザが、キーボード等を操作してフィールド71に対象文字列として「tenma」を、フィールド72に連結する語句の上限数mとして「2」を入力し、不正検知を開始するボタン73をクリックしたとする。
受付部101は、対象文字列「tenma」と連結する語句の上限数「2」を受け付ける。
検査対象ドメイン名取得手段10502は、まず、図4に示した語句管理表から、1個の語句を取り出す場合の語句の組合せを取得する。つまり、語句管理表で管理される各語句をそれぞれ取り出す。取り出した情報は、メモリ等の図示しない記憶媒体に一時記憶する。次に、検査対象ドメイン名取得手段10502は図4に示した語句管理表から、2個の語句の組合せを取り出す場合の語句の組合せを取得する。例えば、まず、1番目の行の「lead」という語句と、2番目以降のその他の語句をそれぞれ一つずつ含む語句の組合せを順次取得する。例えば、「lead」と「encode」の組合せ、「lead」と「destruct」の組合せ、「lead」と「consolidate」の組合せ等を順次取得する。次に、2番目の行の「encode」という語句と、3番目以降のその他の語句をそれぞれ一つずつ含む語句の組合せを順時取得する。このようにして、t番目の行の語句と、t+1番目以降の各行の語句との組合せを、tの値を順時ずつインクリメントして取得することで、語句の組み合わせが取得可能である。ただし、tは、「1」から、「語句管理表の語句数−1」までの値であるとする。また、ここでは、上限数が「2」であるので、2つの語句の組合せの取り出しが終了した時点で、組合せの取得は終了する。取得した語句の組合せは、図示しないメモリ等の記憶媒体値に一時記憶する。
図8は、検査対象ドメイン名取得手段10502が語句管理表から取得した2個以下の語句の組合せを示す図である。ここでは、複数の語句は、便宜上、「+」(プラス)で区切って示している。この「+」は、例えば語句の連結時等に除去される。
次に、検査対象ドメイン名取得手段10502は、図8の各レコードに含まれる1または2の語句と、対象文字列「tenma」との組合せを並べた場合の順列である語句パターンを順次取得する。例えば、1つの語句だけで構成されたレコード「lead」と対象文字列「tenma」との組合せから、「lead+tenma」と、「tenma+lead」という2つの語句パターン(順列)が得られる。同様に、他の1つの語句で構成されたレコードと対象文字列との組合せについても、同様にして、それぞれ2つの語句パターン(順列)を取得する。
また、例えば、2つの語句の組合せのレコードである「lead+encode」と、対象文字列「tenma」との組合せから、「lead+encode+tenma」と、「lead+tenma+encode」、「encode+lead+tenma」、「encode+tenma+lead」、「tenma+lead+encode」、及び「tenma+encode+lead」という6つの語句パターン(順列)が得られる。同様に、他の2つの語句で構成されたレコードと対象文字列との組合せについても、同様にして、それぞれ6つの語句パターン(順列)を取得する。
図9は、検査対象ドメイン名取得手段10502が取得した語句パターンを示す図である。
次に、検査対象ドメイン名取得手段10502は、図5に示した連結文字管理表から、図9に示した各レコードの語句パターンの語句間の数と一致する連結文字を取り出す場合の順列である連結パターンを取得する。このとき、連結文字は重複可能に取り出して良いものとする。また、「(空白)」も空白の連結文字として扱うものとする。
例えば、検査対象ドメイン名取得手段10502は、図9に示した1行目の語句パターンのように、2つの語句で構成される語句パターンについては、語句間が、1つであるため、図5に示した連結文字管理表で管理される3つの連結文字の中から重複を許可して1つの語句を取り出す場合の順列を連結パターンとして取得する。例えば、取得される順列は、「.」、「−」、「(空白)」の3つの連結パターンである。
そして、検査対象ドメイン名取得手段10502は、2つの語句で構成される語句パターンについては、このように取得した連結パターンをそれぞれ用いて、各語句を連結していく。例えば、図9の1行目の語句パターンは、「lead+tenma」であるため、1つ目の連結パターン「.」を用いた場合は、1つ目の語句間に、この連結パターンが含む一つ目の連結文字「.」を配置して、その前後の語句を連結する。これにより、「lead.tenma」という連結後の語句パターンが得られる。また、2つ目の連結パターンを用いて場合は、「lead−tenma」という連結後の語句パターンが得られる。また、3つ目の連結パターン「(空白)」を用いた場合、1つ目の語句間に、この3つ目連結パターンが含む一つ目の連結文字「(空白)」を配置して、その前後の語句を連結する。「(空白)」の場合は、文字を介さず語句が連結されるため、「leadtenma」という連結後の語句パターンが得られる。
同様にして、検査対象ドメイン名取得手段10502は、他の2つの語句で構成される語句パターンについても同様に語句を連結する処理が行われる。
また、検査対象ドメイン名取得手段10502は、例えば、図10に示した語句パターンのうちの3つの語句(対象文字列も含む)で構成される語句パターンについては、語句間が、2つであるため、図5に示した連結文字管理表で管理される3つの連結文字の中から重複を許可して2つの語句を取り出す場合の順列を連結パターンとして取得する。例えば、取得される順列は、「.」+「−」、「.」+「(空白)」、「.」+「.」、「−」+「.」、「−」+「(空白)」、「−」+「−」、「(空白)」+「.」、「(空白)」+「−」、「(空白)」+「(空白)」の9つの連結パターンである。
そして、検査対象ドメイン名取得手段10502は、3つの語句(対象文字列も含む)で構成される語句パターンについては、このように取得した連結パターンをそれぞれ用いて、各語句を連結していく。例えば、図9の3つの語句で構成される語句パターン「lead+encode+tenma」については、1つ目の連結パターン「.」+「−」を用いた場合は、1つ目の語句間(即ち、lead+encode間)には、この連結パターンが含む一つ目の連結文字「.」を配置して、その前後の語句を連結する。また、2つ目の語句間(即ち、encode+tenma間)には、この連結パターンが含む一つ目の連結文字「−」を配置して、その前後の語句を連結する。これにより、「lead.encode−tenma」という連結後の語句パターンが得られる。また、2つ目の連結パターン「.」+「(空白)」を用いた場合は、1つ目の語句間(即ち、lead+encode間)には、この連結パターンが含む一つ目の連結文字「.」を配置して、その前後の語句を連結する。また、2つ目の語句間(即ち、encode+tenma間)には、この連結パターンが含む一つ目の連結文字「(空白)」を配置して、その前後の語句を連結する。ただし、「(空白)」の場合は、文字を介さず語句が連結される。これにより、「lead.encodetenma」という連結後の語句パターンが得られる。同様に残りの連結パターンを用いて、語句パターン「lead+encode+tenma」の連結が行われる。
同様にして、他の3つの語句で構成される語句パターンについても同様に語句を連結する処理が行われる。検査対象ドメイン名取得手段10502は、連結した語句パターンを、図示しない記憶媒体等に一時記憶する。
図10は、連結パターンを用いて連結された語句パターンを示す図である。
次に、検査対象ドメイン名取得手段10502は、図10に示した連結後の各語句パターンの後に、図6に示した識別文字列管理表で管理される識別文字列をそれぞれ個別に連結してドメイン名を取得する。例えば、「lead.tenma」という連結後の語句パターンに対して、「.co.jp」、「.com」、「.au.jp」等をそれぞれ連結して、「lead.tenma.co.jp」、「lead.tenma.com」、「lead.tenma.au.jp」等のドメイン名を得る。他の連結語の語句パターンについても同様である。そして、検査対象ドメイン名取得手段10502は、取得したドメイン名を、図示しない記憶媒体に一時記憶する。
図11は、検査対象ドメイン名取得手段10502が取得したドメイン名を示す図である。
図12は、雛形情報格納手段10503に格納されている雛形情報を示す図である。この雛形情報においては、「(ドメイン名)」の部分が、ドメイン名を配置する位置を示すものとする。
次に、URI生成手段10504は、図12に示した各雛形情報を読み出し、図11に示した各ドメイン名を、読み出した各雛形情報の「(ドメイン名)」の部分に配置(即ち置換)していくことで、URIを取得する。例えば、雛形情報「http://(ドメイン名)」に、図11に示したドメイン名である「lead−tenma.co.jp」を配置することで、「http://lead−tenma.co.jp」というURIを得る。また、同様に雛形情報「https://(ドメイン名)」を用いて、「https://lead−tenma.co.jp」というURIを得る。
URI生成手段10504は、生成したURIを図示しない記憶媒体に蓄積する。
図13は、URI生成手段10504が生成したURIを示す図である。
次に、問合部106は、URI生成手段10504が生成した図13に示す各URIを用いて、URIによって特定されるWEBページの有無を問い合わせる。具体的には、URIによって特定されるWEBページの送信を要求する。例えば、図13に示すURIのうちの一のURIを、インターネットを通じて送信する。そして、URIによって特定されるWEBページがサーバ20の一つから送信されてきた場合、問合部106は、URIに対応するドメインが存在すると判断する。また、送られてこなかった場合、ドメインが存在しないと判断する。
問合部106が、ドメインが存在すると判断した場合、不正可能性ドメイン関連情報取得部107は、問い合わせに用いたURIを不正可能性URIとして取得し、図示しない記憶媒体等に一時記憶する。ドメインが存在すると判断されなかった場合、不正可能性URIは取得しない。このような処理を、図13に示した各URIについて順次行う。
例えば、図13に示すURIである「http://lead−tenma.co.jp」の送信に応じて、問合部106が、HTMLファイル等のWEBページの情報等を取得することができた場合、不正可能性ドメイン関連情報取得部107は、このURIを、不正可能性URIとして取得して図示しない記憶媒体に蓄積する。また、「http://lead−encode.tenma.co.jp」の送信に応じて、問合部106が、HTMLファイル等のWEBページの情報等を取得することができなかった場合、不正可能性ドメイン関連情報取得部107は、このURIを、不正可能性URIとして取得しない。
図14は、不正可能性ドメイン関連情報取得部107が取得した不正可能性URIを示す図である。
図15は、除外情報格納部108に格納されている除外情報を示す図である。なお、除外情報のうち、先頭が「http://」である除外情報は、URIに対応した除外情報であり、他の除外情報はドメイン名に対応した除外情報であるとする。
出力部109は、図15に示すような除外情報を読み出し、図14に示した不正可能性URIのうち、URIに対応した除外情報と完全一致するものを検出する。ここでは、具体的には、「http://leadtenma.co.jp」に完全一致するものを、除外対象のURIとして検出する。また、図14に示した不正可能性URIのうちの、ドメイン名に対応した除外情報と一致する文字列を含むものを検出する。ここでは、具体的には、「leadtenma.com」を含む不正可能性URIを、除外対象のURIとして検出する。
そして、出力部109は除外対象として検出したURIを除いた不正可能性URIを出力する。ここでは、モニタ等に表示する。
図16は、出力部109による不正可能性URIの出力例を示す図である。
なお、この具体例においては、説明の便宜上、出力部109が、出力時に除外対象の不正可能性URIを検出して、除外対象以外の不正可能性URIを出力する場合について説明したが、実際は、問合部106による、無駄な問い合わせ処理等を省くため、問合部106が、除外情報をドメイン名として含むURI、または除外情報であるURIを検出し、このURIを用いた問い合わせを行わないようにすることが好適である。
なお、不正可能性ドメイン関連情報取得部107が不正可能性URIを取得しなかった場合や、不正可能性ドメイン関連情報取得部107が取得した不正可能性URIの全てが除外対象のURIとして検出された場合等には、出力部109は、モニタ等に、例えば、不正利用の可能性があるドメイン名が検出できなかった旨等を表示する。
以上、本実施の形態によれば、対象文字列を用いて、この対象文字列を含むURIであるドメイン関連情報を生成し、このURIで特定されるWebページを問い合わせることで、不正可能性ドメイン関連情報である不正可能性URIを取得して出力するようにしたことにより、対象文字列を含むURIが使用されているか否かを検知することができ、不正なドメインが使用されている可能性を検知することができる。
なお、本実施の形態によれば、文字格納部102に格納されている文字を利用せず、語句格納部103に格納されている語句を用いてドメイン関連情報を生成する場合について説明したが、文字格納部102の文字も利用するようにしても良い。例えば、文字列生成手段10501が、文字格納部102に格納されている文字の中から、ユーザにより指定されているn個の文字の順列を取得するようにし、このn個の文字の順列で構成される各文字列を、上述した語句格納部103の語句と同様に用いるようにすればよい。例えば、文字格納部102にアルファベット26文字が格納されており、ユーザにより指定されているnの値が、2であるとすると、このアルファベット26文字の中から、重複を可能として2個の文字の順列を取得する。例えば、「aa」、「ab」、「ac」…「ba」、「bb」…「zy」、「zz」等の文字列が取得される。そして、このようにして得られた文字列を、語句格納部103の語句と同じように扱うようにすればよい。
(実施の形態2)
本実施の形態においては、上記実施の形態のように対象文字列を利用して生成したURIを用いてWebページが存在するか否かを判断する代わりに、対象文字列を利用してドメイン名を生成し、これを用いてドメイン名が存在するか否かを判断することで、ドメインの不正利用の可能性を検出するようにしたものである。
図17は、本実施の形態における不正ドメイン検知装置2のブロック図である。
不正ドメイン検知装置2は、受付部101、文字格納部102、語句格納部103、識別文字列格納部104、ドメイン関連情報生成部205、問合部206、不正可能性ドメイン関連情報取得部207、除外情報格納部108、出力部209を備える。
ドメイン関連情報生成部205は、文字列生成手段10501、検査対象ドメイン名取得手段20502、連結文字格納手段10505を備える。
ドメイン関連情報生成部205は、受付部101が受け付けた対象文字列から、対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成する。ドメイン関連情報とは、例えば、対象文字列に1文字以上を加えた文字列である。この実施の形態においては、ドメイン関連情報が、例えば、ドメイン名であり、ドメイン関連情報生成部205がドメイン関連情報としてドメイン名を生成する場合を一例に挙げて説明する。ドメイン名とは、ドメインの場所を示す情報である。ドメイン名は、例えば、ネットワーク上のコンピュータやサーバ等の場所を識別する名称である。例えば、ドメイン関連情報生成部205が生成するドメイン名は、検査対象ドメイン名取得手段20502が取得したドメイン名である。ドメイン関連情報生成部205は、上記実施の形態1のドメイン関連情報生成部105の処理から、URIを生成する処理を省略したものとしてもよい。
ドメイン関連情報生成部205は、通常、MPUやメモリ等から実現され得る。ドメイン関連情報生成部205の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
検査対象ドメイン名取得手段20502は、上記実施の形態1の検査対象ドメイン名取得手段10502と同様にドメイン名を取得する。検査対象ドメイン名取得手段20502の構成および動作等は、上記実施の形態1の検査対象ドメイン名取得手段10502と同様である。なお、検査対象ドメイン名取得手段20502は、文字列生成手段10501が文字格納部102の1以上の文字列を組み合わせて生成したn文字(nは1以上の整数)の文字列や、語句格納部20502に格納されている語句を対象文字列と連結してドメイン名を生成する際においては、語句やn文字の文字列は、連結文字である「.」を介して対象文字列と連結しないようにすることが好ましい。後述する問合部206の問い合わせ先の仕様等によっては、「.co.jp」や「.com」等の識別文字列の前に、「.」を介した2以上の文字列が配置されている場合、問い合わせエラーとなる場合があるからである。なお、例えば、連結文字格納手段10505には、連結文字「.」を格納しないようにしてもよい。
問合部206は、ドメイン関連情報生成部205が生成した2以上の各ドメイン関連情報を用いて、ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる。この実施の形態においては、問合部206は、ドメイン関連情報生成部205が生成した2以上の各ドメイン名を用いて、ドメイン名で特定されるドメインが存在するか否かを問い合わせる場合の例について説明する。問合部206は、例えば、ドメイン関連情報生成部205が生成した2以上のドメイン名と同じドメイン名がドメイン登録の管理機関に登録されているか否かを、ドメイン名の登録情報の検索サービスを提供するサーバ等に問い合わせる。ドメイン名の登録情報の検索サービス(ドメイン名登録情報検索サービス)とは、例えばWhoisサービスである。問合部206は、例えば、Whoisサービスを提供するサーバ等に、ドメイン関連情報生成部205が生成した2以上のドメイン名を送信することで、送信したドメイン名が登録されているか否かを問い合わせる。
また、問合部206は、ドメイン名登録情報検索サービスが、問い合わせの結果として送信する情報を受信する。問合部206は、この問い合せの結果を示す情報を用いてドメイン関連情報に対応するドメインが存在しているか否かを判断する。ドメイン関連情報に対応するドメインが存在するということは、例えば、ドメイン関連情報に対応するドメインが登録されていることである。例えば、Whoisサービス等のドメイン名登録情報検索サービスにおいては、通常、問い合せられたドメイン名と一致するドメイン名が登録されている場合、このドメイン名の登録情報を問い合せ元である不正ドメイン検知装置2に送信する。この情報を受信することで、問合部206は、問い合せたドメイン名が登録されているドメイン名であると判断し、ドメイン関連情報に対応するドメインが存在することを判断する。また、Whoisサービス等のドメイン名登録情報検索サービスにおいては、問い合せられたドメイン名と一致するドメイン名が登録されていない場合、問い合せられたドメイン名が登録されていないことを示す情報を不正ドメイン検知装置2に送信する。この情報を受信することで、問合部206は、問い合せたドメイン名が登録されていないドメイン名であると判断し、ドメイン関連情報に対応するドメインが存在していないと判断する。
問合部206は、通常、MPUやメモリ等から実現され得る。問合部206の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
不正可能性ドメイン関連情報取得部207は、問合部206における問い合わせの結果が、ドメインが存在するとの結果の場合、ドメイン関連情報である不正可能性ドメイン関連情報を取得する。この実施の形態においては、不正可能性ドメイン関連情報取得部207は、問合部206における問い合わせの結果、ドメインが存在する不正可能性ドメインを取得する。例えば、不正可能性ドメイン関連情報取得部207は、問合部206における問い合わせの結果が、ドメインが存在するとの結果の場合、この問い合せに用いたドメイン名を不正可能性ドメインとして取得する。あるいは、問い合わせによって得られた登録情報から不正可能性ドメインを取得してもよい。
不正可能性ドメイン関連情報取得部207は、通常、MPUやメモリ等から実現され得る。不正可能性ドメイン関連情報取得部207の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
出力部209は、不正可能性ドメイン関連情報取得部207が取得した1以上のドメイン関連情報を出力する。本実施の形態においては、出力部209は、不正可能性ドメイン関連情報取得部207が取得した1以上の不正可能性ドメインを出力する場合の例について説明する。
なお、出力部209は、除外情報格納部108に格納されている除外情報を含むドメイン名を出力しないようにしてもよい。例えば、出力部209は、不正可能性ドメイン関連情報取得部207が取得した1以上のドメイン関連情報に、除外情報格納部108に格納されている除外情報であるドメイン名が含まれているか否かを判断し、含まれているドメイン関連情報は出力しない。例えば、出力部209は、不正可能性ドメイン関連情報取得部207が取得した1以上の不正可能性ドメインが、除外情報格納部108に格納されている除外情報であるドメイン名と一致するか否かを判断し、一致する不正可能性ドメインは出力しない。なお、本実施の形態においては、出力部209はドメイン名を出力するため、除外情報格納部108には、除外情報としてURIを格納しないようにしてよい。なお、出力部209のその他の構成や処理等は、上述した出力部109と同様であるのでここでは詳細な説明を省略する。
次に、不正ドメイン検知装置2の動作について図18のフローチャートを用いて説明する。ここでは、語句格納部103に格納されている語句を用いて、ドメイン関連情報生成部205がドメイン名を生成する場合について説明する。なお、図18において、図2と同一符号は同一または相当するステップを示す。ただし、実施の形態1におけるドメイン関連情報生成部105の検査対象ドメイン名取得手段10502が行う処理は、ドメイン関連情報生成部205の検査対象ドメイン名取得手段20502が行うものとする。
(ステップS201)問合部206は、ステップS111で取得したドメイン名の中に、k番目のドメイン名があるか否かを判断する。ある場合、ステップS202に進み、ない場合、ステップS119に進む。
(ステップS202)問合部206は、k番目のドメイン名で、このドメイン名が登録されているか否かを、ドメイン名登録情報検索サービス等に問い合わせる。具体的には、k番目のドメイン名をドメイン名登録情報検索サービス等に送信して、このドメイン名が登録されているか否かの結果を示す情報を要求する。
(ステップS203)問合部206は、ステップS202の問い合わせの結果が、ドメイン名が登録されていることを示すか否かを判断する。問い合わせの結果が、登録されていることを示す場合、ステップS204に進み、登録されていないことを示す場合、ステップS205に進む。
(ステップS204)不正可能性ドメイン関連情報取得部207は、k番目のドメイン名を不正可能性ドメインとして取得する。取得した不正可能性ドメインは、図示しない記憶媒体に一時記憶する。
(ステップS205)問合部206は、カウンターkの値を1インクリメントする。そして、ステップS201に戻る。
(ステップS206)出力部209は、ステップS204で1以上の不正可能性ドメインが取得されたか否かを判断する。取得された場合、ステップS207に進み、取得されていない場合、ステップS209に進む。
(ステップS207)出力部209は、除外情報をドメイン名として含む、もしくは一致する不正可能性ドメインを除外対象として検出する。
(ステップS208)出力部209は、ステップS204で取得して蓄積した不正可能性ドメインから、除外対象のドメインを除いた不正可能性ドメインを出力する。そして、処理を終了する。
(ステップS209)出力部209は、不正利用の可能性のあるドメインが存在しない(例えば、登録されていない)ことを示す情報を出力する。そして、処理を終了する。
以下、本実施の形態における不正ドメイン検知装置2の具体的な動作について説明する。
不正ドメイン検知装置2の概念図は図3と同様である。また、検査対象ドメイン名取得手段20502が、対象文字列と語句とを用いて、図11に示すようなドメイン名を生成する処理までは上記実施の形態1の具体例と同様である。ここでは、検査対象ドメイン名取得手段20502が取得するドメイン名が、ドメイン関連情報である。ただし、ここでは、連結文字として「.」を用いないため、検査対象ドメイン名取得手段20502が生成するドメイン名は、図11ではなく、図19に示すようになる。なお、実施の形態1におけるドメイン関連情報生成部105の検査対象ドメイン名取得手段10502が行う処理等は、適宜、ドメイン関連情報生成部105の検査対象ドメイン名取得手段10502等の不正ドメイン検知装置2の相当する処理部等が行うものとする。
問合部206は、検査対象ドメイン名取得手段20502が取得したドメイン名を一つずつ取り出して、ここでは一例として、予め指定されたWhoisサービスを提供するサーバ等に送信する。そして、Whoisサービスのサーバが返す情報がドメイン名の登録情報であるか、登録されていないことを示す情報であるかによって、問合部206は、ドメイン名が登録されているか否かを判断する。
登録されている場合、不正可能性ドメイン関連情報取得部107は、問い合せに用いたドメイン名を不正可能性ドメインとして取得する。取得した不正可能性ドメインは、図示しない記憶媒体等に一時記憶する。
また、登録されていない場合、不正可能性ドメイン関連情報取得部107は、不正可能性ドメインを取得しない。
この処理を、他のドメイン名についても順次行う。
図20は、不正可能性ドメイン関連情報取得部107が取得した不正可能性ドメインである。
図21は、除外情報格納部108に格納されている除外情報を管理する除外情報管理表である。
出力部209は、図20に示した不正可能性ドメインから、図21に示した除外情報を含む、または一致する不正可能性ドメインを検出し、検出した不正可能性ドメイン以外の不正可能性ドメインを、図示しないモニタ等に表示する。
図22は、出力部209による不正可能性ドメインの表示例を示す図である。
不正可能性ドメインが取得されなかった場合の出力部209による表示等は、上記実施の形態1の具体例等と同様である。
以上、本実施の形態によれば、対象文字列を用いて、この対象文字列を含むドメイン名であるドメイン関連情報を生成し、このドメイン名が登録されているか否かを問い合わせることで、不正可能性ドメイン関連情報である不正可能性ドメインを取得して出力するようにしたことにより、対象文字列を含むドメイン名が使用されているか否かを検知することができ、不正なドメインが使用されている可能性を検知することができる。
なお、上記各実施の形態において、各処理(各機能)は、単一の装置(システム)によって集中処理されることによって実現されてもよく、あるいは、複数の装置によって分散処理されることによって実現されてもよい。
また、上記各実施の形態において、一の装置に存在する2以上の通信手段は、物理的に一の媒体で実現されても良いことは言うまでもない。
また、上記実施の形態において、各構成要素が実行する処理に関係する情報、例えば、各構成要素が受け付けたり、取得したり、選択したり、生成したり、送信したり、受信したりする情報や、各構成要素が処理で用いるしきい値や数式、アドレス等の情報等は、上記説明で明記していない場合であっても、図示しない記録媒体において、一時的に、あるいは長期にわたって保持されていてもよい。また、その図示しない記録媒体への情報の蓄積を、各構成要素、あるいは、図示しない蓄積部が行ってもよい。また、その図示しない記録媒体からの情報の読み出しを、各構成要素、あるいは、図示しない読み出し部が行ってもよい。
また、上記各実施の形態では、不正ドメイン検知装置がスタンドアロンである場合について説明したが、不正ドメイン検知装置は、スタンドアロンの装置であってもよく、サーバ・クライアントシステムにおけるサーバ装置であってもよい。後者の場合には、出力部や受付部は、通信回線を介して入力を受け付けたり、画面を出力したりすることになる。
なお、上記各実施の形態における不正ドメイン検知装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、監視対象の文字列である対象文字列を受け付ける受付部と、受付部が受け付けた対象文字列から、対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、2以上の各ドメイン関連情報を用いて、ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる問合部と、問合部における問い合わせの結果が、ドメインが存在するとの結果の場合、ドメイン関連情報である不正可能性ドメイン関連情報を取得する不正可能性ドメイン関連情報取得部と、不正可能性ドメイン関連情報取得部が取得した1以上のドメイン関連情報を出力する出力部として機能させるためのプログラムである。
なお、上記プログラムにおいて、上記プログラムが実現する機能には、ハードウェアでしか実現できない機能は含まれない。例えば、情報を取得する取得部や、情報を出力する出力部などにおけるモデムやインターフェースカードなどのハードウェアでしか実現できない機能は、上記プログラムが実現する機能には含まれない。
また、このプログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。
図23は、上記プログラムを実行して、上記実施の形態による不正ドメイン検知装置を実現するコンピュータの外観の一例を示す模式図である。上記実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムによって実現されうる。
図23において、コンピュータシステム900は、CD−ROM(Compact Disk Read Only Memory)ドライブ905、FD(Floppy(登録商標) Disk)ドライブ906を含むコンピュータ901と、キーボード902と、マウス903と、モニタ904とを備える。
図24は、コンピュータシステム900の内部構成を示す図である。図24において、コンピュータ901は、CD−ROMドライブ905、FDドライブ906に加えて、MPU(Micro Processing Unit)911と、ブートアッププログラム等のプログラムを記憶するためのROM912と、MPU911に接続され、アプリケーションプログラムの命令を一時的に記憶すると共に、一時記憶空間を提供するRAM(Random Access Memory)913と、アプリケーションプログラム、システムプログラム、及びデータを記憶するハードディスク914と、MPU911、ROM912等を相互に接続するバス915とを備える。なお、コンピュータ901は、LANへの接続を提供する図示しないネットワークカードを含んでいてもよい。
コンピュータシステム900に、上記実施の形態による不正ドメイン検知装置等の機能を実行させるプログラムは、CD−ROM921、またはFD922に記憶されて、CD−ROMドライブ905、またはFDドライブ906に挿入され、ハードディスク914に転送されてもよい。これに代えて、そのプログラムは、図示しないネットワークを介してコンピュータ901に送信され、ハードディスク914に記憶されてもよい。プログラムは実行の際にRAM913にロードされる。なお、プログラムは、CD−ROM921やFD922、またはネットワークから直接、ロードされてもよい。
プログラムは、コンピュータ901に、上記実施の形態による不正ドメイン検知装置の機能を実行させるオペレーティングシステム(OS)、またはサードパーティプログラム等を必ずしも含んでいなくてもよい。プログラムは、制御された態様で適切な機能(モジュール)を呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいてもよい。コンピュータシステム900がどのように動作するのかについては周知であり、詳細な説明は省略する。
本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
以上のように、本発明にかかる不正ドメイン検知装置は、不正なドメインが使用されている可能性を検知する装置等として適しており、特に、ユーザ等が指定した対象文字列を含む不正なドメインが使用されている可能性を検知する装置等として有用である。
1、2 不正ドメイン検知装置
20 サーバ
101 受付部
102 文字格納部
103、20502 語句格納部
104 識別文字列格納部
105、205 ドメイン関連情報生成部
106、206 問合部
107、207 不正可能性ドメイン関連情報取得部
108 除外情報格納部
109、209 出力部
10202 検索対象ドメイン名取得部
10501 文字列生成手段
10502、20502 検査対象ドメイン名取得手段
10503 雛形情報格納手段
10504 URI生成手段
10505 連結文字格納手段

Claims (14)

  1. 監視対象の文字列である対象文字列を受け付ける受付部と、
    2以上の文字を格納し得る文字格納部と、
    前記受付部が受け付けた対象文字列から、当該対象文字列を含むURIであるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、
    前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報であるURIで特定されるWebページが存在するか否かを問い合わせる問合部と、
    前記問合部における問い合わせの結果、Webページが存在するURIである不正可能性URIを取得する不正可能性ドメイン関連情報取得部と、
    前記不正可能性ドメイン関連情報取得部が取得した1以上のURIを出力する出力部とを具備し、
    前記ドメイン関連情報生成部は、
    前記文字格納部の1以上の文字を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する文字列生成手段と、
    前記文字列生成手段が取得した1以上の文字列を、前記対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段と、
    前記検査対象ドメイン名取得手段が取得した1以上のドメイン名を含む2以上のURIを生成するURI生成手段とを具備する不正ドメイン検知装置。
  2. 監視対象の文字列である対象文字列を受け付ける受付部と、
    1以上の語句を格納し得る語句格納部と、
    前記受付部が受け付けた対象文字列から、当該対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、
    前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる問合部と、
    前記問合部における問い合わせの結果が、前記ドメインが存在するとの結果の場合、当該ドメイン関連情報である不正可能性ドメイン関連情報を取得する不正可能性ドメイン関連情報取得部と、
    前記不正可能性ドメイン関連情報取得部が取得した1以上のドメイン関連情報を出力する出力部とを具備し、
    前記ドメイン関連情報生成部は、
    対象文字列と語句とを連結する文字である1以上の連結文字を格納し得る連結文字格納手段と、
    前記対象文字列と前記1以上のいずれかの連結文字と前記語句格納部の1以上のいずれかの語句とを連結した文字列であり、前記連結文字を前記対象文字列と前記語句との間に有する文字列である検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段と、
    前記検査対象ドメイン名取得手段が取得した1以上のドメイン名を含む2以上のURIを生成するURI生成手段とを具備する不正ドメイン検知装置。
  3. トップレベルドメインまたは属性型ドメインを示す文字列である識別文字列を1以上格納し得る識別文字列格納部をさらに具備し、
    前記検査対象ドメイン名取得手段は、
    前記識別文字列格納部に格納されている1以上の各識別文字列を含むドメイン名を1以上取得する請求項1または請求項記載の不正ドメイン検知装置。
  4. 前記ドメイン関連情報生成部は、
    URIを構成する文字列であり、ドメイン名が挿入され得る文字列である1以上の雛形情報を格納し得る雛形情報格納手段を具備し、
    前記URI生成手段は、
    前記雛形情報格納手段が格納している1以上の各雛形情報に対して、前記検査対象ドメイン名取得手段が取得した1以上の各ドメイン名を挿入し、2以上のURIを生成する請求項から請求項いずれか記載の不正ドメイン検知装置。
  5. 監視対象の文字列である対象文字列を受け付ける受付部と、
    前記受付部が受け付けた対象文字列から、当該対象文字列を含むドメイン名であるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、
    前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報であるドメイン名で特定されるドメインが存在するか否かを問い合わせる問合部と、
    前記問合部における問い合わせの結果、ドメインが存在する不正可能性ドメインを取得する不正可能性ドメイン関連情報取得部と、
    前記不正可能性ドメイン関連情報取得部が取得した1以上の不正可能性ドメインを出力する出力部とを具備する不正ドメイン検知装置。
  6. 2以上の文字を格納し得る文字格納部をさらに具備し、
    前記ドメイン関連情報生成部は、
    前記文字格納部の1以上の文字列を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する文字列生成手段と、
    前記文字列生成手段が取得した1以上の文字列を、前記対象文字列の後または前に付加して、検査対象のドメイン名を2以上取得する検査対象ドメイン名取得手段とを具備する請求項記載の不正ドメイン検知装置。
  7. 1以上の語句を格納し得る語句格納部をさらに具備し、
    前記ドメイン関連情報生成部は、
    前記語句格納部の1以上の語句のうち、1以上の語句を、前記対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段とを具備する請求項記載の不正ドメイン検知装置。
  8. 前記ドメイン関連情報生成部は、
    対象文字列と語句とを連結する文字である1以上の連結文字を格納し得る連結文字格納手段をさらに具備し、
    前記検査対象ドメイン名取得手段は、
    前記対象文字列と前記1以上のいずれかの連結文字と前記語句格納部の1以上のいずれかの語句とを連結した文字列であり、前記連結文字を前記対象文字列と前記語句との間に有する文字列である検査対象のドメイン名を1以上取得する請求項記載の不正ドメイン検知装置。
  9. 受付部と、2以上の文字を格納し得る文字格納部と、文字列生成手段、検査対象ドメイン名取得手段、及びURI生成手段を具備するドメイン関連情報生成部と、問合部と、不正可能性ドメイン関連情報取得部と、出力部とを用いて行われる不正ドメイン検知方法であって、
    前記受付部が、監視対象の文字列である対象文字列を受け付ける受付ステップと、
    前記ドメイン関連情報生成部が、前記受付ステップで受け付けた対象文字列から、当該対象文字列を含むURIであるドメイン関連情報を、2以上生成するドメイン関連情報生成ステップと、
    前記問合部が、前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報であるURIで特定されるWebページが存在するか否かを問い合わせる問合ステップと、
    前記不正可能性ドメイン関連情報取得部が、前記問合ステップにおける問い合わせの結果、Webページが存在するURIである不正可能性URIを取得する不正可能性ドメイン関連情報取得ステップと、
    前記出力部が、前記不正可能性ドメイン関連情報取得ステップで取得した1以上のURIを出力する出力ステップとを具備し、
    前記ドメイン関連情報生成ステップは、
    前記文字列生成手段が、前記文字格納部の1以上の文字を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する文字列生成ステップと、
    前記検査対象ドメイン名取得手段が、前記文字列生成ステップにより取得した1以上の文字列を、前記対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得ステップと、
    前記URI生成手段が、前記検査対象ドメイン名取得ステップで取得した1以上のドメイン名を含む2以上のURIを生成するURI生成ステップとを具備する不正ドメイン検知方法。
  10. 受付部と、1以上の語句を格納し得る語句格納部と、監視対象の文字列である対象文字列と語句とを連結する文字である1以上の連結文字を格納し得る連結文字格納手段、検査対象ドメイン名取得手段、及びURI生成手段を具備するドメイン関連情報生成部と、問合部と、不正可能性ドメイン関連情報取得部と、出力部とを用いて行われる不正ドメイン検知方法であって、
    前記受付部が、対象文字列を受け付ける受付ステップと、
    前記ドメイン関連情報生成部が、前記受付ステップにより受け付けた対象文字列から、当該対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成するドメイン関連情報生成ステップと、
    前記問合部が、前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる問合ステップと、
    前記不正可能性ドメイン関連情報取得部が、前記問合ステップにおける問い合わせの結果が、前記ドメインが存在するとの結果の場合、当該ドメイン関連情報である不正可能性ドメイン関連情報を取得する不正可能性ドメイン関連情報取得ステップと、
    前記出力部が、前記不正可能性ドメイン関連情報取得ステップにより取得した1以上のドメイン関連情報を出力する出力ステップとを具備し、
    前記ドメイン関連情報生成ステップは、
    前記検査対象ドメイン名取得手段が、前記対象文字列と前記1以上のいずれかの連結文字と前記語句格納部の1以上のいずれかの語句とを連結した文字列であり、前記連結文字を前記対象文字列と前記語句との間に有する文字列である検査対象のドメイン名を1以上取得する検査対象ドメイン名取得ステップと、
    前記URI生成手段が、前記検査対象ドメイン名取得ステップにより取得した1以上のドメイン名を含む2以上のURIを生成するURI生成ステップとを具備する不正ドメイン検知方法。
  11. 受付部と、ドメイン関連情報生成部と、問合部と、不正可能性ドメイン関連情報取得部と、出力部とを用いて行われる不正ドメイン検知方法であって、
    前記受付部が、監視対象の文字列である対象文字列を受け付ける受付ステップと、
    前記ドメイン関連情報生成部が、前記受付ステップにより受け付けた対象文字列から、当該対象文字列を含むドメイン名であるドメイン関連情報を、2以上生成するドメイン関連情報生成ステップと、
    前記問合部が、前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報であるドメイン名で特定されるドメインが存在するか否かを問い合わせる問合ステップと、
    前記不正可能性ドメイン関連情報取得部が、前記問合ステップによる問い合わせの結果、ドメインが存在する不正可能性ドメインを取得する不正可能性ドメイン関連情報取得ステップと、
    前記出力部が、前記不正可能性ドメイン関連情報取得ステップにより取得した1以上の不正可能性ドメインを出力する出力ステップとを具備する不正ドメイン検知方法。
  12. 2以上の文字を格納し得る文字格納部にアクセス可能なコンピュータを、
    監視対象の文字列である対象文字列を受け付ける受付部と、
    前記受付部が受け付けた対象文字列から、当該対象文字列を含むURIであるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、
    前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報であるURIで特定されるWebページが存在するか否かを問い合わせる問合部と、
    前記問合部における問い合わせの結果、Webページが存在するURIである不正可能性URIを取得する不正可能性ドメイン関連情報取得部と、
    前記不正可能性ドメイン関連情報取得部が取得した1以上のURIを出力する出力部として機能させ
    前記ドメイン関連情報生成部は、
    前記文字格納部の1以上の文字を組み合わせて、n文字(nは1以上の整数)の文字列を1以上取得する文字列生成手段と、
    前記文字列生成手段が取得した1以上の文字列を、前記対象文字列の後または前に付加して、検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段と、
    前記検査対象ドメイン名取得手段が取得した1以上のドメイン名を含む2以上のURIを生成するURI生成手段とを具備するプログラム。
  13. 1以上の語句を格納し得る語句格納部と、監視対象の文字列である対象文字列と語句とを連結する文字である1以上の連結文字を格納し得る連結文字格納手段とにアクセス可能なコンピュータを、
    対象文字列を受け付ける受付部と、
    前記受付部が受け付けた対象文字列から、当該対象文字列を含むドメインに関連する情報であるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、
    前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報に対応するドメインが存在するか否かを問い合わせる問合部と、
    前記問合部における問い合わせの結果が、前記ドメインが存在するとの結果の場合、当該ドメイン関連情報である不正可能性ドメイン関連情報を取得する不正可能性ドメイン関連情報取得部と、
    前記不正可能性ドメイン関連情報取得部が取得した1以上のドメイン関連情報を出力する出力部として機能させ、
    前記ドメイン関連情報生成部は、
    前記対象文字列と前記1以上のいずれかの連結文字と前記語句格納部の1以上のいずれかの語句とを連結した文字列であり、前記連結文字を前記対象文字列と前記語句との間に有する文字列である検査対象のドメイン名を1以上取得する検査対象ドメイン名取得手段と、
    前記検査対象ドメイン名取得手段が取得した1以上のドメイン名を含む2以上のURIを生成するURI生成手段とを具備するプログラム。
  14. コンピュータを、
    監視対象の文字列である対象文字列を受け付ける受付部と、
    前記受付部が受け付けた対象文字列から、当該対象文字列を含むドメイン名であるドメイン関連情報を、2以上生成するドメイン関連情報生成部と、
    前記2以上の各ドメイン関連情報を用いて、当該ドメイン関連情報であるドメイン名で特定されるドメインが存在するか否かを問い合わせる問合部と、
    前記問合部における問い合わせの結果、ドメインが存在する不正可能性ドメインを取得する不正可能性ドメイン関連情報取得部と、
    前記不正可能性ドメイン関連情報取得部が取得した1以上の不正可能性ドメインを出力する出力部として機能させるためのプログラム。
JP2010264791A 2010-11-29 2010-11-29 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム Expired - Fee Related JP5588845B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010264791A JP5588845B2 (ja) 2010-11-29 2010-11-29 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010264791A JP5588845B2 (ja) 2010-11-29 2010-11-29 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2012118577A JP2012118577A (ja) 2012-06-21
JP5588845B2 true JP5588845B2 (ja) 2014-09-10

Family

ID=46501366

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010264791A Expired - Fee Related JP5588845B2 (ja) 2010-11-29 2010-11-29 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP5588845B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014167516A1 (en) * 2013-04-11 2014-10-16 Brandshield Ltd. Device, system, and method of protecting brand names and domain names
US9560074B2 (en) * 2014-10-07 2017-01-31 Cloudmark, Inc. Systems and methods of identifying suspicious hostnames
CN112052163B (zh) * 2020-08-19 2023-11-10 北京天融信网络安全技术有限公司 高并发网页压力测试方法、装置、电子设备以及存储介质
JP2023067463A (ja) 2021-11-01 2023-05-16 富士通株式会社 ドメイン検索プログラム、ドメイン検索方法および情報処理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004088428A (ja) * 2002-08-27 2004-03-18 Canon Inc 通信装置、プログラム、記録媒体、及び、機器発見方法
JP2004104271A (ja) * 2002-09-06 2004-04-02 Hitachi Software Eng Co Ltd 迷惑メールサーバ探知方法および迷惑電子メール処理方法、システム、並びにプログラム
US7756987B2 (en) * 2007-04-04 2010-07-13 Microsoft Corporation Cybersquatter patrol
JP2010165231A (ja) * 2009-01-16 2010-07-29 Panasonic Corp サーバ認証方法及びクライアント端末

Also Published As

Publication number Publication date
JP2012118577A (ja) 2012-06-21

Similar Documents

Publication Publication Date Title
US11973799B2 (en) Domain name processing systems and methods
US9521161B2 (en) Method and apparatus for detecting computer fraud
CN100517324C (zh) 用于生成唯一的有效关键字的方法和系统
JP4470069B2 (ja) 入力補助装置、入力補助システム、入力補助方法、及び、入力補助プログラム
CN104869128B (zh) 一种上传表单附件的方法、系统和web服务器
CN107046586B (zh) 一种基于类自然语言特征的算法生成域名检测方法
KR101340036B1 (ko) 전자 컨텐트 가이드 생성 방법 및 그 장치
CN102105879A (zh) 联合团体搜索
CN109948334B (zh) 一种漏洞检测方法、系统及电子设备和存储介质
JP2006520940A (ja) インターネット検索エンジンにおける無効クリック検出方法および装置
KR100463208B1 (ko) 로컬 네임 서버 중심의 내부 도메인 시스템 구현 방법
CN105635064B (zh) Csrf攻击检测方法及装置
US10250632B2 (en) Web service testing
CN109948343A (zh) 漏洞检测方法、漏洞检测装置和计算机可读存储介质
JP5588845B2 (ja) 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム
US20170017695A1 (en) Question and answer information providing system, information processing device, and non-transitory computer-readable medium
US20130179421A1 (en) System and Method for Collecting URL Information Using Retrieval Service of Social Network Service
CN109417471A (zh) 密码生成设备和密码验证设备
JPWO2020021811A1 (ja) 解析装置、解析方法及び解析プログラム
CN109547294A (zh) 一种基于固件分析的联网设备型号探测方法、装置
CN111010456B (zh) 一种主域名获取和验证方法
KR20140037751A (ko) 컨텐츠 제공자-특이 url 키워드 검색 제공을 위한 방법 및 시스템
CN116319089B (zh) 一种动态弱密码检测方法、装置、计算机设备及介质
CN107222494A (zh) 一种sql注入攻击防御组件及方法
CN109241483B (zh) 一种基于域名推荐的网站发现方法和系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140722

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140728

R150 Certificate of patent or registration of utility model

Ref document number: 5588845

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees