JP5851311B2 - アプリケーション検査装置 - Google Patents
アプリケーション検査装置 Download PDFInfo
- Publication number
- JP5851311B2 JP5851311B2 JP2012081426A JP2012081426A JP5851311B2 JP 5851311 B2 JP5851311 B2 JP 5851311B2 JP 2012081426 A JP2012081426 A JP 2012081426A JP 2012081426 A JP2012081426 A JP 2012081426A JP 5851311 B2 JP5851311 B2 JP 5851311B2
- Authority
- JP
- Japan
- Prior art keywords
- record
- risk
- application
- information
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 title claims description 63
- 238000012545 processing Methods 0.000 claims description 62
- 230000005540 biological transmission Effects 0.000 claims description 61
- 238000011156 evaluation Methods 0.000 claims description 54
- 230000006854 communication Effects 0.000 claims description 45
- 238000004891 communication Methods 0.000 claims description 43
- 238000000034 method Methods 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 41
- 238000000605 extraction Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 3
- 230000006870 function Effects 0.000 description 7
- 238000012360 testing method Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、携帯端末上で動作するアプリケーションを検査するアプリケーション検査装置に関する。
スマートフォンや携帯情報端末、携帯電話等の携帯端末には、利用者の電話番号やメールアドレス等の情報をはじめ、位置情報、アドレス帳、スケジュールなど、さまざまな個人情報が記憶されている。一方、これらの携帯端末には、さまざまなベンダーが開発したメールソフト、ゲームソフト、便利ツール等の携帯端末用のアプリケーションプログラム(以下、単にアプリケーションと称する)が利用者によって自由にインストールされ、使用される。
ところで、アプリケーションによっては、利用者に許可を求めることなく、その携帯端末に記憶された個人情報を外部に送信してしまうものが存在する。これは、アプリケーションの利用者が意図した目的に関する情報送信ばかりでなく、利用者の意図する目的とは無関係に、情報収集業者がマーケット情報を収集することを目的とした送信が含まれているからである。このように、アプリケーションによっては、利用者の意図とは関係なく、個人情報が送信されてしまうなどの潜在的なリスクがある。
しかしながら、利用者は、利用者の意図と関係なく個人情報等が外部に送信されるなどの潜在的なリスクに注意を払うことが少ない。また、利用者が意図した情報送信であるのか、利用者の意図と関係のない潜在リスクとしての情報送信なのかの判断は、利用者にとって非常に困難である。このため、利用者は、このような潜在リスクの存在を意識せず、又は意識しても対応できずに、アプリケーションをインストールして利用している。
しかしながら、利用者は、利用者の意図と関係なく個人情報等が外部に送信されるなどの潜在的なリスクに注意を払うことが少ない。また、利用者が意図した情報送信であるのか、利用者の意図と関係のない潜在リスクとしての情報送信なのかの判断は、利用者にとって非常に困難である。このため、利用者は、このような潜在リスクの存在を意識せず、又は意識しても対応できずに、アプリケーションをインストールして利用している。
ところで、利用者の意図とは無関係に情報を収集することを目的としたアプリケーションとして、マルウェアやスパイウェアとよばれる悪性プログラムがある。ただし、マルウェア等は、アプリケーションの本来目的が悪質なもので、利用者はマルウェア等と知りながらインストールすることは基本的にあり得ない。しかし、誤ってマルウェア等をインストールされないように、またはインストールされた後に、アプリケーションがマルウェア等でないかを検査する検査システムが提案されている。
例えば、特許文献1に記載のプログラム分析装置は、悪性プログラムが持つファイル属性および悪性プログラムの動作した際に生じることがある事象を加算条件として、プログラムを分類する。つまり、プログラム分析装置は、仮想オペレーティングシステム上にてプログラムを実行させて、その動作履歴を取得する。取得した動作履歴及びファイル属性が、加算用条件に合致するとポイント加算することにより、「マクロウィルス」「ボット」「P2Pワーム」「スパイウェア」「トロイの木馬」「非悪性プログラム」として分類している。
アプリケーションには、利用者にとって有用な機能をもって動作することに留まらず、利用者が意図していない動作をする機能が含まれているものがある。本明細書では、かかるアプリケーションをグレーウェアと呼ぶ。従来の方法では、起動している仮想OSにて、検査対象となるアプリケーションを起動させる。その後の生存期間内にアプリケーションの動作があるとその動作履歴を記憶し、かかる動作履歴およびファイル属性に基づきアプリケーションを分類している。
そこで、本発明は、このようなグレーウェアについて、潜在的なリスクがどの程度あるのか、セキュリティの観点でどのような影響を受ける可能性があるかを検査する検査装置の実現を目的とする。
かかる課題を解決するために、本発明は、アプリケーションの潜在リスクを検査するアプリケーション検査装置であって、一通りの動作中における前記アプリケーションの処理ごとに少なくとも処理種別とその発生時刻を含むレコードを動作ログとして記憶している記憶部と、前記動作ログから前記処理種別が操作であるレコードと一体的な所定関係を有していないレコードを評価対象レコードとして抽出する非意図処理抽出手段と、前記評価対象レコードに基づいて潜在リスクの指標であるインパクト度を求めるリスク評価手段を有し、前記リスク評価手段の求めたインパクト度を検査結果とするアプリケーション検査装置を提供する。利用者の意図を示す操作の処理に対して行われた処理の間には一体的な所定関係ができるが、利用者の意図しない処理にはこの一体的な所定関係を有する操作の処理が存在しない。これにより、利用者の意図しない処理をアプリケーションの潜在リスクとしてインパクト度という指標で評価することができ、利用者はアプリケーションによって影響を受ける可能性を判断することができる。
かかるアプリケーション検査装置において、前記記憶部は、前記処理種別と対応して既に判明しているリスク情報である既知リスクを更に記憶しており、前記非意図処理抽出手段は、前記既知リスクの処理種別のレコードから評価対象レコードを抽出することが好ましい。これにより、既知のリスクの情報を併用して、利用者の意図しない処理を抽出することができる。
また、かかるアプリケーション検査装置において、前記記憶部は、一通りの動作中における通信処理とその発生時刻を含むレコードを通信ログとして記憶しており、前記非意図処理抽出手段は、前記通信ログの前記処理種別が送信であるレコードから前記処理種別が操作であるレコードと一体的な所定関係を有していないレコードを評価対象レコードとして抽出することが好ましい。これにより、利用者が意図しない送信により情報漏えいが発生する潜在リスクを評価することができる。
また、かかるアプリケーション検査装置において、前記非意図処理抽出手段は、前記所定関係として各レコードの発生時刻と操作の発生時刻の関係が所定時間以内の関係とすることが好ましい。これにより、利用者の意図した処理が利用者の操作を受けて速やかに行われる性質を利用して、利用者の意図しない処理を抽出することができる。
また、かかるアプリケーション検査装置において、前記リスク評価手段は、前記評価対象レコードが既知リスクに該当しているとインパクト度を高めることが好ましい。これにより、利用者の意図しない処理が既知のリスクのときには、利用者に対し、アプリケーションによって影響を受ける度合いを大きく示すことができる。
本発明によれば、グレーウェアについても、利用者が端末でアプリケーションを動作させるとセキュリティの観点でどのような影響を受ける可能性があるかの潜在リスクを示すことができる。
以下、本発明に係るアプリケーション検査システムの実施の形態について、図を参照しつつ説明する。 図1は、アプリケーション検査システムの全体構成図である。図1に示すアプリケーション検査システム1は、アプリケーション検査装置2と外部サーバ4がネットワーク3を介して接続されて構成される。
アプリケーション検査装置2は、通信機能を有する携帯端末にインストールされた状態で機能するアプリケーションであって、検査対象のアプリケーションに潜在リスクが潜んでいるかを検査する装置である。ここで、検査アプリケーションの潜在リスクの程度を示す指標をインパクト度と定義する。なお、インパクト度は、本実施の形態のように多値にて表現してもよいが、潜在リスクが存在するか否かの二値で表現してもよい。本実施の形態では、アプリケーション検査装置2を携帯端末にインストールしたものとして説明するが、検査対象のアプリケーションをインストールして動作可能なものであればよく、インストール先としてはノートパソコン、携帯端末をエミュレートしてアプリケーションを実行するパーソナルコンピュータやサーバであってもよい。アプリケーション検査装置2は、記憶部21と、制御部22と、通信部23と、表示操作部24を有している。
記憶部21は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、検査対象のアプリケーションである検査アプリケーション211、携帯端末の固有情報212、ネットワークを介して外部と通信した際の通信履歴である通信ログ213、と動作ログ214と既知リスク215と検査結果216を記憶する記憶領域を持つ。
固有情報212は、携帯端末を識別するために付与される端末固有番号や各種端末識別情報、緯度経度による現在位置を示す位置情報、アドレス帳、メール情報、スケジュール情報等である。
通信ログ213は、検査アプリケーション211がネットワーク3を介して外部と情報の送受信をした外部通信の履歴である。通信ログの例を図2に示す。通信ログ213は、1回の通信が発生するごとに、発生日時2132、処理種別2133、送信先又は受信先2134、送信内容又は受信内容2135を1レコードとして記憶したものである。
例えば、最上段に記載したレコードでは、レコード識別子2131が#1、処理種別として「送信」、発生日時として「2012/01/10 18:30:02」、送信先として「X」、送信内容として「位置情報(緯度a,経度b),利用者ID,端末識別情報,Start」となっている。これらの内容は、通信が行われる都度順次記録されている。
例えば、最上段に記載したレコードでは、レコード識別子2131が#1、処理種別として「送信」、発生日時として「2012/01/10 18:30:02」、送信先として「X」、送信内容として「位置情報(緯度a,経度b),利用者ID,端末識別情報,Start」となっている。これらの内容は、通信が行われる都度順次記録されている。
動作ログ214は、検査者が携帯端末を操作した記録である操作履歴、表示操作部24に表示した内容の履歴である画面表示履歴、固有情報212にアクセスした履歴である情報取得履歴、アプリケーションが生成又はダウンロードしたファイルの保存処理をした履歴であるファイル保存履歴等が含まれている。動作ログ214の例を図3に示す。動作ログ214は、動作が実行される都度、発生日時2142、処理種別2143、処理内容2144を1レコードとして記憶したものである。
例えば、上から5段目に記載したレコードでは、レコード識別子2141が#5、発生日時2142として「2012/01/10 18:35:00」、処理種別2143として「画面表示」、処理内容として「地図情報を取得しますか?はいor終了」が記憶されている。
ここで、処理種別2143としては、起動、画面表示、操作、情報取得、ファイル保存がある。なお、この他の種々の処理を処理種別とできることは言うまでもない。
例えば、上から5段目に記載したレコードでは、レコード識別子2141が#5、発生日時2142として「2012/01/10 18:35:00」、処理種別2143として「画面表示」、処理内容として「地図情報を取得しますか?はいor終了」が記憶されている。
ここで、処理種別2143としては、起動、画面表示、操作、情報取得、ファイル保存がある。なお、この他の種々の処理を処理種別とできることは言うまでもない。
既知リスク215は、既に知られているリスク情報である。通信ログ213及び動作ログ214が、既知リスク215に該当するか否かを判定するのに使用する。既知リスク215の例を図4に示す。既知リスク215は、リスク識別番号2151とリスク情報2152およびリスク係数2153から成っている。リスク識別番号2151は、リスク情報2152が設定されると自動的に付与される。リスク情報2152は、通信ログ213の処理種別2133若しくは動作ログ214の処理種別2143と、通信ログ213の送信先/送信元2134若しくは送信内容/受信内容2135、または動作ログ214の処理内容2144から構成されており、既にリスクが高いことが判明している情報が登録されている。
図4には、送信先Xは、過去に情報を不当に収集していたということが分かっているので、リスク識別番号2151が#1は、Xを送信先とした送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
同様に、送信先Yは、過去に情報を不当に収集していたということが分かっているので、リスク識別番号#2は、Yを送信先とした送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
同様に、送信先Zは、過去に情報を不当に収集していたということが分かっているので、リスク識別番号#3は、Zを送信先とした送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
また、送信された内容に位置情報、利用者ID及び端末識別情報の全てを含んでいることはリスクであるので、リスク識別番号#4は、送信内容が位置情報、利用者ID及び端末識別情報の送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
また、端末識別情報に利用者への確認もなくアクセスをしたこと(情報取得)はリスクであるので、リスク識別番号#5は、処理種別が情報取得と処理内容に端末識別情報を登録し、後述するインパクト度を算出するリスク係数として「0.1」としている。
また、ファイル保存をする際に暗号化をしないことは情報漏えいの観点からリスクであるので、リスク識別番号#6は、処理種別がファイル保存と処理内容に暗号化を登録し、後述するインパクト度を算出するリスク係数として「0.1」としている。
また、ファイル保存をする際に保存先が検査アプリケーション211のアプリIDに基づき自動設定されるパーミッションにより、他のアプリケーションからのアクセス制限がされたフォルダ(フォルダF)でないことは、他のアプリケーションを介して情報漏えいする可能性がありリスクとなるので、リスク識別番号#7は、処理種別がファイル保存と処理内容にフォルダFを登録し、後述するインパクト度を算出するリスク係数として「0.1」としている。
本実施の形態では、図4に示す既存リスク215を説明のために用いているが、これに限られるものではなく、既にリスクと判明している処理等が適宜登録される。
同様に、送信先Yは、過去に情報を不当に収集していたということが分かっているので、リスク識別番号#2は、Yを送信先とした送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
同様に、送信先Zは、過去に情報を不当に収集していたということが分かっているので、リスク識別番号#3は、Zを送信先とした送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
また、送信された内容に位置情報、利用者ID及び端末識別情報の全てを含んでいることはリスクであるので、リスク識別番号#4は、送信内容が位置情報、利用者ID及び端末識別情報の送信処理を登録し、後述するインパクト度を算出するリスク係数として「0.2」としている。
また、端末識別情報に利用者への確認もなくアクセスをしたこと(情報取得)はリスクであるので、リスク識別番号#5は、処理種別が情報取得と処理内容に端末識別情報を登録し、後述するインパクト度を算出するリスク係数として「0.1」としている。
また、ファイル保存をする際に暗号化をしないことは情報漏えいの観点からリスクであるので、リスク識別番号#6は、処理種別がファイル保存と処理内容に暗号化を登録し、後述するインパクト度を算出するリスク係数として「0.1」としている。
また、ファイル保存をする際に保存先が検査アプリケーション211のアプリIDに基づき自動設定されるパーミッションにより、他のアプリケーションからのアクセス制限がされたフォルダ(フォルダF)でないことは、他のアプリケーションを介して情報漏えいする可能性がありリスクとなるので、リスク識別番号#7は、処理種別がファイル保存と処理内容にフォルダFを登録し、後述するインパクト度を算出するリスク係数として「0.1」としている。
本実施の形態では、図4に示す既存リスク215を説明のために用いているが、これに限られるものではなく、既にリスクと判明している処理等が適宜登録される。
検査結果216は、アプリケーション検査装置2にて検査アプリケーション211を評価した結果であり、検査アプリケーション211のインパクト度などである。
ここで、インパクト度について説明する。検査対象のアプリケーションが潜在的に持っているリスクの程度を示す指標をインパクト度として定義する。インパクト度は、アプリケーションの利用者が意図しないのに行なわれる各種処理の存在を潜在リスクとし、検査対象のアプリケーションの検査結果とする。
図5に、検査結果216の例を示している。本実施形態では、評価項目2161、結果2162を検査結果として記憶している。ここで、評価項目には、非意図送信の有無、非意図送信の送信先数、非意図送信の回数、評価対象レコード数、およびインパクト度がある。
ここで、インパクト度について説明する。検査対象のアプリケーションが潜在的に持っているリスクの程度を示す指標をインパクト度として定義する。インパクト度は、アプリケーションの利用者が意図しないのに行なわれる各種処理の存在を潜在リスクとし、検査対象のアプリケーションの検査結果とする。
図5に、検査結果216の例を示している。本実施形態では、評価項目2161、結果2162を検査結果として記憶している。ここで、評価項目には、非意図送信の有無、非意図送信の送信先数、非意図送信の回数、評価対象レコード数、およびインパクト度がある。
制御部22は、CPUやMPU等から構成され、アプリケーション検査装置2の制御全般についてプログラムに従って処理を行い、通信ログ取得手段221、動作ログ取得手段222、非意図処理抽出手段223、リスク評価手段224を有する。
通信ログ取得手段221は、検査アプリケーション211の起動から終了までに、ネットワーク3を介して外部サーバ4と各種データの送信又は受信した際の通信ログを取得し、記憶部21の通信ログ213に記憶させる。
動作ログ取得手段222は、検査アプリケーション211の起動から終了までに処理の履歴を取得する手段であって、検査アプリケーション211の「起動」、検査者が行った「操作」、「情報取得」、「画面表示」、「ファイル保存」などの処理種別を処理内容、処理日時とともに記憶部21の動作ログ214に記憶させる。
非意図処理抽出手段223は、通信ログ213と動作ログ214から利用者の意図しない処理に関するレコードを抽出する。以下、「利用者の意図しない処理」を「非意図処理」と称する。非意図処理の抽出方法については、図6を参照して後述する。
リスク評価手段224は、非意図処理抽出手段223にて抽出されたレコードについて、そのレコード数や既知リスク215に該当するかなどから潜在リスクの評価を行う。そして、評価した検査結果を記憶部13の検査結果216として記憶させるとともに、表示操作部24に表示させる。
通信部23は、ネットワーク3を介して外部サーバ4との通信を行なうインタフェースであり、接続するネットワークに対応している。
表示操作部24は、タッチパネル付き液晶ディスプレイなどで構成された入出力インタフェースであり、アプリケーション実行時の画面表示や確認操作の受付を行う。なお、表示操作部24は、表示機能だけもつ表示用デバイスと、操作ボタン等の入力デバイスを別々に設けた構成としてもよい。
ネットワーク3は、アプリケーション検査装置2及び外部サーバ4に接続され、インターネット等の広域通信網あるいは閉域通信網などのネットワークである。一般電話回線網であってもよい。
外部サーバ4は、ネットワーク3を介してアプリケーションが主目的として提供する機能・サービスを提供する際のサーバやアプリケーションが端末内の個人情報を勝手に外部へ送信する際の情報収集を行うサーバである。
図6を参照し、アプリケーション検査装置2が検査アプリケーション211を検査する際の処理フローを説明する。なお、以下に説明する処理フローは、制御部22で実行されるプログラムによって制御される。
本実施の形態では、検査アプリケーション211を携帯端末2の現在位置を示す地図情報を外部サーバ4の一つである送信先Aから取得し、表示することを目的としたアプリケーションとして説明する。
検査を始めるに当たって、先ず検査者は、初期設定状態の検査アプリケーション211の機能を一通り動作させて、図2に示す通信ログ213と図3に示す動作ログ214を記憶部21に記憶させる。
すなわち、検査者が、検査対象のアプリケーションを起動させると、「地図情報を取得しますか?はいor終了」と表示操作部24に表示される。検査者は、この表示操作部24の画面表示にしたがって「はい」をタッチする。携帯端末2の現在位置をマークが付いた地図情報、および、「地図情報を取得しますか?はいor終了」が表示操作部24に表示される。次に、検査者は、表示操作部24にて「終了」をタッチし、検査アプリケーション211の一通りの動作が終了する。
かかる一連の動作中の処理が、通信ログ取得手段221が動作して図2に示す通信ログ213、および、動作ログ取得手段222が動作して図3に示す動作ログ214として記憶部21に記憶されているのものとする。
そして、検査アプリケーション211の検査を開始する指示を受けると図6の処理を開始する。記憶部21から通信ログ213と動作ログ214を取得する(ステップS1)。
検査を始めるに当たって、先ず検査者は、初期設定状態の検査アプリケーション211の機能を一通り動作させて、図2に示す通信ログ213と図3に示す動作ログ214を記憶部21に記憶させる。
すなわち、検査者が、検査対象のアプリケーションを起動させると、「地図情報を取得しますか?はいor終了」と表示操作部24に表示される。検査者は、この表示操作部24の画面表示にしたがって「はい」をタッチする。携帯端末2の現在位置をマークが付いた地図情報、および、「地図情報を取得しますか?はいor終了」が表示操作部24に表示される。次に、検査者は、表示操作部24にて「終了」をタッチし、検査アプリケーション211の一通りの動作が終了する。
かかる一連の動作中の処理が、通信ログ取得手段221が動作して図2に示す通信ログ213、および、動作ログ取得手段222が動作して図3に示す動作ログ214として記憶部21に記憶されているのものとする。
そして、検査アプリケーション211の検査を開始する指示を受けると図6の処理を開始する。記憶部21から通信ログ213と動作ログ214を取得する(ステップS1)。
図2は、ステップS1にて取得した通信ログ213を示している。図2に示すように、通信ログ213は、#1〜#6のレコードが記録されている。すなわち、#1は、2012年01月10日の18:30:02に、Xを送信先として、送信内容{位置情報(緯度a,経度b),利用者ID,端末識別情報,Start}を送信したことを示すレコードである。#2は、2012年01月10日の18:30:03に、Yを送信先として、送信内容{位置情報(緯度a,経度b),端末識別情報}を送信したことを示すレコードである。#3は、2012年01月10日の18:30:04に、Zを送信先として、送信内容{位置情報(緯度a,経度b),利用者ID}を送信したことを示すレコードである。#4は、2012年01月10日の18:35:06に、Aを送信先として、送信内容{位置情報(緯度a,経度b)}を送信している。#5は、2012年01月10日の18:35:07に、Aを送信元として、受信内容{地図情報(緯度a,経度bに現在位置マークを表示)}を受信したことを示すレコードである。そして、#6は、2012年01月10日の18:38:30に、Xを送信先として、送信内容{位置情報(緯度a,経度b),利用者ID,端末識別情報,Finish}を送信したことを示すレコードである。
図3は、ステップS1にて取得した動作ログ214を示している。図3に示すように、動作ログ214は、#1〜#12のレコードが記録されている。すなわち、#1は、2012年01月10日の18:30:00に、検査アプリケーション211が起動されたことを示すレコードである。#2は、2012年01月10日の18:30:01に、GPSから現在の自己位置を示す位置情報を取得したことを示すレコードである。#3は、2012年01月10日の18:30:01に、記憶部21の固有情報212から利用者IDを取得したことを示すレコードである。#4は、2012年01月10日の18:30:01に、記憶部21の固有情報212から端末識別情報を取得したことを示すレコードである。#5は、2012年01月10日の18:35:00に、表示操作部24に「地図情報を取得しますか?はいor終了」を表示させたことを示すレコードである。#6は、2012年01月10日の18:35:05に、表示操作部24が「はい」操作をされたことを示すレコードである。#7は、2012年01月10日の18:35:07に、GPSから現在の自己位置を示す位置情報を取得したことを示すレコードである。#8は、2012年01月10日の18:35:16に、表示操作部24に「地図情報の緯度a,経度bに現在位置マーク」を表示させ、更に「地図情報を取得しますか?はいor終了」も合わせて表示させたことを示すレコードである。#9は、2012年01月10日の18:38:05に、表示操作部24が「終了」操作をされたことを示すレコードである。#10は、2012年01月10日の18:38:09に、GPSから現在の自己位置を示す位置情報を取得したことを示すレコードである。#11は、2012年01月10日の18:40:00に、フォルダFに201201011830.logを暗号化して保存したことを示すレコードである。#12は、2012年01月10日の18:45:30に、検査アプリケーション211が終了されたことを示すレコードである。
図6にもどって、ステップS1にて取得した通信ログ213および動作ログ214の各レコードに対して、 ステップS2では、非意図処理抽出手段223が、既知リスク215においてリスク情報とされている処理種別である「送信」「情報取得」「ファイル保存」を処理種別に持つレコードを抽出する。
そして、抽出された各レコードに対し、ステップS3〜ステップS6の処理を行なう。
具体的には、ステップS3にて、動作ログ214の各レコードにおける処理種別2143が「操作」となっているレコードと、評価対象のレコードと関連付くことができるか比較する。具体的には、「操作」となっているレコードの発生日時2142と注目しているレコードの発生日時2132または2142が関連すると考えられる程度に近接していれば関連する処理とする。関連する処理は、操作に基づいて行われた処理として、操作の処理のレコードと注目している処理のレコードが一体的であるといえる関係を有している。本実施例では、操作後の2秒以内であれば関連する処理としている。この時間は、任意に決定すればよく、また処理種別ごとに異ならせてもよい。なお、本実施の形態では、非意図処理抽出手段223は、操作処理後の発生時刻を用いて非意図処理であるレコードを抽出したが、これに限られるものではなく、処理種別が操作であるレコードの処理内容と関連性が低いレコードを非意図処理のレコードとしてもよい。例えば、図3の動作ログ214のレコード#9にある操作「終了」とは、「送信」「情報取得」の処理とは関連性が低い。これらの操作と関連性が低いレコードを予め定めて、非意図処理のレコードの抽出を行なってもよい。
そして、ステップS4にて、関連付けの成否を判定し、関連付けに成功しなかったレコードは、その数をカウントするとともに(ステップS5)、評価対象とする(ステップS6)。
そして、抽出された各レコードに対し、ステップS3〜ステップS6の処理を行なう。
具体的には、ステップS3にて、動作ログ214の各レコードにおける処理種別2143が「操作」となっているレコードと、評価対象のレコードと関連付くことができるか比較する。具体的には、「操作」となっているレコードの発生日時2142と注目しているレコードの発生日時2132または2142が関連すると考えられる程度に近接していれば関連する処理とする。関連する処理は、操作に基づいて行われた処理として、操作の処理のレコードと注目している処理のレコードが一体的であるといえる関係を有している。本実施例では、操作後の2秒以内であれば関連する処理としている。この時間は、任意に決定すればよく、また処理種別ごとに異ならせてもよい。なお、本実施の形態では、非意図処理抽出手段223は、操作処理後の発生時刻を用いて非意図処理であるレコードを抽出したが、これに限られるものではなく、処理種別が操作であるレコードの処理内容と関連性が低いレコードを非意図処理のレコードとしてもよい。例えば、図3の動作ログ214のレコード#9にある操作「終了」とは、「送信」「情報取得」の処理とは関連性が低い。これらの操作と関連性が低いレコードを予め定めて、非意図処理のレコードの抽出を行なってもよい。
そして、ステップS4にて、関連付けの成否を判定し、関連付けに成功しなかったレコードは、その数をカウントするとともに(ステップS5)、評価対象とする(ステップS6)。
図2の通信ログ213では、レコード#4が関連付けに成功し、レコード#1#2#3#6が関連付けに成功していない。図3の動作ログ214では、レコード#7が関連付けに成功し、レコード#2#3#4#10#11が関連付けに成功しない。したがって、評価対象のレコード数は、「9」となる。また、評価対象のレコードは、通信ログ213のレコードでは#1#2#3#6、動作ログ214のレコードでは#2#3#4#10#11である。
ここで、評価対象となったレコードは、利用者が意図しないで、検査アプリケーション211が処理をした結果のレコードである。このレコードの数と潜在リスクの大きさには相関がある。
ここで、評価対象となったレコードは、利用者が意図しないで、検査アプリケーション211が処理をした結果のレコードである。このレコードの数と潜在リスクの大きさには相関がある。
次に、ステップS7では、リスク評価手段224が、インパクト度の算出処理を行なう。すなわち、インパクト度=評価対象レコード数/既知リスク処理レコード数として、インパクト度を算出する。本実施の形態では、インパクト度=9/11=0.8となる。なお、インパクト度は、潜在リスクの大きさを示す指標なので、単に評価対象レコード数をインパクト度としてもよい。
次に、リスク評価手段224は、評価対象レコードに対して、ステップS8〜ステップS12の処理を繰り返し行なう。この処理は、ステップS7にて算出したインパクト度を既に判明しているリスク情報にて精度を高めるために行なう。
まず、ステップS8では、各評価対象レコードを、図4に示す既知リスク215のリスク情報と照合する処理である。具体的には、評価対象レコードが、通信ログ213のレコードであれば、リスク情報2152にある送信先が、X,Y,Zの何れかに合致するレコードか(既知リスク#1、#2、#3)と、送信内容が「位置情報、利用者ID、端末識別情報」であるレコードか(既知リスク#4)を照合する。また、評価対象レコードが動作ログ214であれば、端末識別情報を取得した処理のレコードか(既知リスク#5)、ファイルを保存したときに当該ファイルを暗号化したレコードか(既知リスク#6)、あるいはファイルの保存先がフォルダFであるレコードか(既知リスク#7)を照合する。
そして、既知リスク#1〜#4に該当する場合(ステップS9:一致)は、ステップS10に進み、ステップS7で求めて基準とするインパクト度に対応するリスク係数「0.2」を加える。他方、既知リスク#1〜#4に該当しない場合(ステップS9:不一致)は、ステップS11に進む。ステップS11にて、既知リスク#5〜#7に一致していればステップS12にて基準のインパクト度に対応するリスク係数「0.1」を加える。ステップS11にて、既知リスク#5〜#7に一致しなければ、既知リスクとしてインパクト度を上げるほどのレコードではないという判断となり、リスク係数を加えることはない。
そして、既知リスク#1〜#4に該当する場合(ステップS9:一致)は、ステップS10に進み、ステップS7で求めて基準とするインパクト度に対応するリスク係数「0.2」を加える。他方、既知リスク#1〜#4に該当しない場合(ステップS9:不一致)は、ステップS11に進む。ステップS11にて、既知リスク#5〜#7に一致していればステップS12にて基準のインパクト度に対応するリスク係数「0.1」を加える。ステップS11にて、既知リスク#5〜#7に一致しなければ、既知リスクとしてインパクト度を上げるほどのレコードではないという判断となり、リスク係数を加えることはない。
本実施の形態では、通信ログ213の評価対象レコードのうち、#1、#2、#3、#6は、既知リスクとして認識されているので、それぞれリスク係数「0.2」をステップS7にて求めた基準のインパクト度に加える。また動作ログ214の評価対象レコードのうち、#2、#3、#10、#11は、既知リスクとしてのインパクト度を上げるほどのレコードではないとされ、基準のインパクト度にリスク係数を加えることはない。その他、動作ログ214の評価対象レコードの#4は、ステップS11にて一致と判定されて、それぞれリスク係数「0.1」をステップS7にて求めたインパクト度に加える。なお、動作ログ214の評価対象レコードの#11は、「ファイル保存」において暗号化されフォルダFに保存されており、記述と逆の状態の場合がリスクであるリスク情報で登録記述される既知リスク#6〜#7と照合しても、ステップS11で不一致と判定されている。
本実施例では、インパクト度=0.8(ステップS7)+0.8(ステップS9にて一致したレコード)+0.1(ステップS11にて一致したレコード)=1.7が算出される。
本実施例では、インパクト度=0.8(ステップS7)+0.8(ステップS9にて一致したレコード)+0.1(ステップS11にて一致したレコード)=1.7が算出される。
このようにして、算出されたインパクト度を図5に示す検査結果216として、記憶部21に記憶させるとともに、表示操作部24に表示させる。ここで、図5に記載している結果を出す方法について説明する。
評価項目の「非意図送信の有無:結果(有)」は、ステップS2にて、評価対象レコードに通信ログ213のレコードが含まれていれば「有」となり、含まれていなければ「無」となる。この評価項目は、非意図送信があったということは、それだけでも潜在リスクが存在している可能性を示す結果となる。
評価項目の「非意図送信の送信先数」は、ステップS2にて、評価対象レコードのうち通信ログ213のレコードの送信先2134を参照し、送信先とされた数である。この数は、多いほどいろいろな送信先に情報を送信していることとなり、潜在リスクが高い可能性を示す結果である。
評価項目の「非意図送信の回数」は、ステップS2にて評価対象レコードのうち通信ログ213のレコードをカウントした数となる。非意図送信の回数が多いほど、潜在リスクが高い可能性を示す結果である。
評価項目の「評価対象レコード数」は、ステップS2にて評価対象レコードをカウントした数となる。評価対象となったレコードの数が多いほど、潜在リスクが高い可能性を示す結果である。
評価項目の「インパクト度」は、既知リスクを考慮した指標となっており、数字が大きいほど潜在リスクが高い可能性を示す結果である。なお、図5に示す他の評価項目のような潜在リスクと関係が深い情報をインパクト度としてもよい。評価項目は、その他にも、例えば、「非意図送信のうち送信を避けるべき送信先数」や「非意図送信のうち送信を避けるべき送信回数」のように、既知リスク#1〜#4に一致した評価対象レコードについてカウントした数にし、ある特定の送信先への非意図送信に着目してもよい。また、送信内容に着目して、送信内容の中の情報種別を特定し、いろいろな情報を送信しているほど潜在リスクが高い可能性を示す「非意図送信の送信内容の種別数」という評価項目を設けてもよい。また、評価対象レコードのうち処理種別「ファイル保存」の頻度に着目して、例えば、クレデンシャル情報が含まれているにもかかわらず暗号化されていないときの回数、容易にアクセスできるところに保存しているときの回数を計数する評価項目を設けてもよい。また、評価対象レコードのうち処理種別「情報取得」の頻度に着目し、例えば、情報取得する回数、情報取得する種類の数とその内訳を計数する評価項目を設けてもよい。
評価項目の「非意図送信の有無:結果(有)」は、ステップS2にて、評価対象レコードに通信ログ213のレコードが含まれていれば「有」となり、含まれていなければ「無」となる。この評価項目は、非意図送信があったということは、それだけでも潜在リスクが存在している可能性を示す結果となる。
評価項目の「非意図送信の送信先数」は、ステップS2にて、評価対象レコードのうち通信ログ213のレコードの送信先2134を参照し、送信先とされた数である。この数は、多いほどいろいろな送信先に情報を送信していることとなり、潜在リスクが高い可能性を示す結果である。
評価項目の「非意図送信の回数」は、ステップS2にて評価対象レコードのうち通信ログ213のレコードをカウントした数となる。非意図送信の回数が多いほど、潜在リスクが高い可能性を示す結果である。
評価項目の「評価対象レコード数」は、ステップS2にて評価対象レコードをカウントした数となる。評価対象となったレコードの数が多いほど、潜在リスクが高い可能性を示す結果である。
評価項目の「インパクト度」は、既知リスクを考慮した指標となっており、数字が大きいほど潜在リスクが高い可能性を示す結果である。なお、図5に示す他の評価項目のような潜在リスクと関係が深い情報をインパクト度としてもよい。評価項目は、その他にも、例えば、「非意図送信のうち送信を避けるべき送信先数」や「非意図送信のうち送信を避けるべき送信回数」のように、既知リスク#1〜#4に一致した評価対象レコードについてカウントした数にし、ある特定の送信先への非意図送信に着目してもよい。また、送信内容に着目して、送信内容の中の情報種別を特定し、いろいろな情報を送信しているほど潜在リスクが高い可能性を示す「非意図送信の送信内容の種別数」という評価項目を設けてもよい。また、評価対象レコードのうち処理種別「ファイル保存」の頻度に着目して、例えば、クレデンシャル情報が含まれているにもかかわらず暗号化されていないときの回数、容易にアクセスできるところに保存しているときの回数を計数する評価項目を設けてもよい。また、評価対象レコードのうち処理種別「情報取得」の頻度に着目し、例えば、情報取得する回数、情報取得する種類の数とその内訳を計数する評価項目を設けてもよい。
これにより、利用者は、アプリケーションのインパクト度の評価結果を参照し、アプリケーションの利用可否をアプリケーション実行前に検討可能とすることができ、グレーウェアによるセキュリティリスクを軽減して、アプリケーションによる利用者の意図しない端末上の利用者に関する情報の送信の未然防止や、利用者のクレデンシャル情報・プライバシー情報を不適切に管理するアプリケーションの利用を防止することが可能である。
本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。例えば、図6において、リスク評価手段224が評価対象レコードに対して、ステップS8〜ステップS12の処理を繰り返し行なう場合を説明したが、この処理は、ステップS7にて算出したインパクト度を既に判明しているリスク情報にて精度を高めるために行なうため、インパクト度の精度が求められないときは省略して、検査結果を出力してもよい。
1・・・アプリケーション検査システム
2・・・アプリケーション検査装置
21・・・記憶部
211・・・検査アプリケーション
212・・・固有情報
213・・・通信ログ
214・・・動作ログ
215・・・既知リスク
216・・・検査結果
22・・・制御部
221・・・通信ログ取得手段
222・・・動作ログ取得手段
223・・・非意図処理抽出手段
224・・・リスク評価手段
23・・・通信部
24・・・表示操作部
3・・・ネットワーク
4・・・外部サーバ
2・・・アプリケーション検査装置
21・・・記憶部
211・・・検査アプリケーション
212・・・固有情報
213・・・通信ログ
214・・・動作ログ
215・・・既知リスク
216・・・検査結果
22・・・制御部
221・・・通信ログ取得手段
222・・・動作ログ取得手段
223・・・非意図処理抽出手段
224・・・リスク評価手段
23・・・通信部
24・・・表示操作部
3・・・ネットワーク
4・・・外部サーバ
Claims (4)
- アプリケーションの潜在リスクを検査するアプリケーション検査装置であって、
一通りの動作中における前記アプリケーションの処理ごとに少なくとも処理種別とその発生時刻を含むレコードを示す動作ログと、前記処理種別と当該処理種別に対して既に判明しているリスクの大きさに応じたリスク係数とを対応付けた既知リスクと、を記憶している記憶部と、
前記動作ログから前記処理種別が操作であるレコードと一体的な所定関係を有していないレコードを評価対象レコードとして抽出する非意図処理抽出手段と、
抽出された前記評価対象レコードの数に応じて潜在リスクの指標であるインパクト度を求め、当該インパクト度に前記評価対象レコードの処理種別に対応する前記リスク係数を加算するリスク評価手段を有し、
前記リスク評価手段の求めたインパクト度を検査結果とすることを特徴としたアプリケーション検査装置。
- 前記非意図処理抽出手段は、前記既知リスクの処理種別と一致する処理種別を持つレコードから前記評価対象レコードを抽出することを特徴とする請求項1に記載のアプリケーション検査装置。
- 前記記憶部は、一通りの動作中における通信処理とその発生時刻を含むレコードを通信ログとして記憶しており、
前記非意図処理抽出手段は、前記通信ログの前記処理種別が送信であるレコードから前記処理種別が操作であるレコードと一体的な所定関係を有していないレコードを評価対象レコードとして抽出することを特徴とする請求項1または請求項2に記載のアプリケーション検査装置。
- 前記非意図処理抽出手段は、前記所定関係として各レコードの発生時刻と操作の発生時刻の関係が所定時間以内の関係としたことを特徴とする請求項1〜請求項3の何れか一項に記載のアプリケーション検査装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012081426A JP5851311B2 (ja) | 2012-03-30 | 2012-03-30 | アプリケーション検査装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012081426A JP5851311B2 (ja) | 2012-03-30 | 2012-03-30 | アプリケーション検査装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013210891A JP2013210891A (ja) | 2013-10-10 |
| JP5851311B2 true JP5851311B2 (ja) | 2016-02-03 |
Family
ID=49528647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012081426A Active JP5851311B2 (ja) | 2012-03-30 | 2012-03-30 | アプリケーション検査装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5851311B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107644340A (zh) | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 风险识别方法、客户端设备及风险识别系统 |
| JP6978662B2 (ja) * | 2017-03-23 | 2021-12-08 | 富士通株式会社 | 出力プログラム、情報処理装置、及び出力方法 |
| JP7285185B2 (ja) * | 2019-09-26 | 2023-06-01 | 株式会社ジェーシービー | プログラム、情報処理装置、及び情報処理方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4159100B2 (ja) * | 2006-04-06 | 2008-10-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置による通信を制御する方法およびプログラム |
| JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
| JP2009211293A (ja) * | 2008-03-03 | 2009-09-17 | Nec Corp | 通信制御システム、通信制御方法、及び通信制御用プログラム |
| JP5478381B2 (ja) * | 2010-06-21 | 2014-04-23 | Kddi株式会社 | アプリケーション判定システムおよびプログラム |
| JP2012008732A (ja) * | 2010-06-23 | 2012-01-12 | Kddi Corp | インストール制御装置およびプログラム |
| JP5478384B2 (ja) * | 2010-06-24 | 2014-04-23 | Kddi株式会社 | アプリケーション判定システムおよびプログラム |
| JP5828457B2 (ja) * | 2012-01-16 | 2015-12-09 | Kddi株式会社 | Api実行制御装置およびプログラム |
-
2012
- 2012-03-30 JP JP2012081426A patent/JP5851311B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013210891A (ja) | 2013-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
| Moonsamy et al. | Mining permission patterns for contrasting clean and malicious android applications | |
| JP6100898B2 (ja) | メッセージを処理するための方法およびデバイス | |
| CN104346566A (zh) | 检测隐私权限风险的方法、装置、终端、服务器及系统 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| US20170048698A1 (en) | Systems and methods for detection and control of information leaks in network traffic | |
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| CN111125688B (zh) | 一种进程控制方法、装置及电子设备和存储介质 | |
| CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
| CN115552401A (zh) | 一种快应用检测方法、装置、设备及存储介质 | |
| Liccardi et al. | Improving mobile app selection through transparency and better permission analysis | |
| JP5851311B2 (ja) | アプリケーション検査装置 | |
| US20160295396A1 (en) | User onboarding for newly enrolled devices | |
| EP2728472B1 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
| CN106507300A (zh) | 一种找回丢失终端的方法、装置及终端 | |
| KR20160031589A (ko) | 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램 | |
| CN109818972A (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| Heid et al. | Android Data Storage Locations and What App Developers Do with It from a Security and Privacy Perspective. | |
| JP5197681B2 (ja) | ログインシール管理システム及び管理サーバ | |
| US10242191B2 (en) | Dynamically-loaded code analysis device, dynamically-loaded code analysis method, and dynamically-loaded code analysis program | |
| US7778660B2 (en) | Mobile communications terminal, information transmitting system and information receiving method | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| JP5952852B2 (ja) | 情報生成装置及び受信装置を備えたシステム | |
| KR101392624B1 (ko) | 네트워크 통신에 기반을 둔 모바일 포렌식 방법 | |
| CN109933990B (zh) | 基于多模式匹配的安全漏洞发现方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150812 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150908 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151202 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5851311 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |