JP6001781B2 - 不正アクセス検知システム及び不正アクセス検知方法 - Google Patents

不正アクセス検知システム及び不正アクセス検知方法 Download PDF

Info

Publication number
JP6001781B2
JP6001781B2 JP2015525135A JP2015525135A JP6001781B2 JP 6001781 B2 JP6001781 B2 JP 6001781B2 JP 2015525135 A JP2015525135 A JP 2015525135A JP 2015525135 A JP2015525135 A JP 2015525135A JP 6001781 B2 JP6001781 B2 JP 6001781B2
Authority
JP
Japan
Prior art keywords
authentication information
unauthorized access
program
analysis
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015525135A
Other languages
English (en)
Other versions
JPWO2015001969A1 (ja
Inventor
満昭 秋山
満昭 秋山
毅 八木
毅 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Application granted granted Critical
Publication of JP6001781B2 publication Critical patent/JP6001781B2/ja
Publication of JPWO2015001969A1 publication Critical patent/JPWO2015001969A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Description

本発明は、不正アクセス検知システム及び不正アクセス検知方法に関する。
近年、悪意のあるソフトウェアであるマルウェアにコンピュータ端末やサーバ(ここでは、両者を区別せずに、以下ホストと記載する)が感染することで、ホスト内部の情報の破壊やホスト自体を踏み台とした新たな攻撃に悪用される事例が発生している。また、マルウェアは、ホスト内の情報を無断で外部に漏えいすることも可能である。個人情報だけでなく、会社や政府もしくは軍事機関等の機密情報が漏えいする可能性もあることから、マルウェア感染による情報漏えいが問題となっている。
このマルウェアは様々な感染経路からの感染方法が確認されており、例えばメール添付ファイルを装うことでユーザが誤ってクリックおよびインストールする事による感染や、Webサイトで配布している一般のソフトウェアを装ったマルウェアや、P2Pファイルを装ったマルウェア、脆弱性のあるWebブラウザで攻撃コードが含まれるWebサイトを閲覧した場合に自動的にマルウェアをダウンロードおよびインストールしてしまう事による感染等である。
また、インターネット上で提供されている様々なサービスへの不正アクセスが発生している。不正アクセスの多くは、認証情報(例えば、アカウント名やパスワード)をブルートフォース(攻撃者が可能な組み合わせのアカウント名とパスワードを総当たりで試行するログイン)で突破することで行われる場合と、あらかじめユーザから何らかの方法で盗んだ正規の認証情報を用いて行われる場合がある。認証情報をブルートフォースで突破する場合には、連続的なログインの施行が発生するため、単位時間当たりのログイン試行回数の閾値に基づいてIPS(Intrusion Prevention System:侵入防止システム)等によって検知および防御が可能である(例えば、非特許文献1参照)。
また、これらマルウェア感染に対して、アンチウィルスベンダはマルウェアのシグネチャを作成し、ホストがマルウェアに感染する事を防いでいる。ただし、シグネチャはマルウェアの詳細な解析が必要とされるため、シグネチャ作成のための時間的コストがかかる。
従来の情報漏えい対策としては、ユーザに対して情報に対するアクセス権限を設定して機密データの流出を防ぐものが多い。この際に、アクセス権限を持つユーザが故意に外部へ情報を漏えいする場合は対象外である。また、そのユーザが情報をコピーした場合は、コピー後のデータに対する保護は対象外である。
一方、情報中心の制御による情報漏えい防止方法としてDLP(Data Loss PreventionもしくはData Leak Prevention)という技術が近年用いられている(例えば、非特許文献2〜4参照)。DLPは、機密性のある情報について、それに対するアクセスや送信を監視し、特に外部へ送信する場合は防止する。この際に、ホスト上で情報の制御を行う方法と、ネットワーク上で通信の内容を監視することで制御する方法がある。
前者のホスト上で情報の制御を行う方法として、ユーザが利用するホスト上にインストールされているエージェントプログラムを用いて、機密情報へのアクセスを監視する方法が知られている。例えば、ファイルサーバから機密情報をダウロードしてUSBメモリ等の外部ストレージへコピーしようとした場合は、画面に警告文等を表示して防御する。メールの添付ファイルとして外部に送信しようとした場合も同様の処理により防御される。
後者のネットワーク上で通信の内容を監視する方法としては、ネットワーク上の通信を分析するアプライアンスを用いて、ネットワーク上で通信の内容を監視する方法が知られている。例えば、メールの添付ファイルとして機密情報を外部に送信しようとした場合は、アプライアンスが通信内容を確認しブロックする。
"Suricata Downloads"、[online]、[平成25年5月15日検索]、インターネット<http://www.openinfosecfoundation.org/index.php/download-suricata> "Trend Micro Data Loss Prevention"、[online]、[平成25年5月1日検索]、インターネット<http://jp.trendmicro.com/jp/products/enterprise/tmdlp/> "RSA DLP (Data Loss Prevention)Suite"、[online]、[平成25年5月1日検索]、インターネット<http://japan.rsa.com/node.aspx?id=3426> "McAfee Data Loss Prevention Endpoint"、[online]、[平成25年5月1日検索]、インターネット<http://www.mcafee.com/japan/products/data_loss_prevention.asp>
しかしながら、従来の技術では、不正アクセスの特定、または、不正アクセスを行うプログラムの特定を適切に行うことができない場合があるという課題があった。
例えば、ユーザから何らかの方法で盗んだ正規の認証情報を用いて不正アクセスが行われた場合には、攻撃者が正しい認証情報を用いてログインを行うため、正規のユーザによるアクセスと攻撃者によるアクセスの判別が困難である。よって、漏えいした認証情報を用いた不正アクセスの検知を適切に行うことが課題となっている。
また、例えば、上記したエージェントプログラムを用いて、ホスト上で情報の制御を行う方法では、マルウェアに感染した場合に、このエージェントプログラムを停止させた上で動作する事が考えられる。このため、完全にホスト上で情報漏えい動作を防御することは困難である。
また、例えば、上記したネットワーク上で通信の内容を監視する方法では、マルウェアが通信内容を暗号化した場合に、通信内容だけでは実際にどのような種類の情報が送信されているかを特定する事が困難である。
また、例えば、インターネットには多種多様なプログラムが存在するが、このようなプログラムが情報漏えいを行うマルウェアであるかどうかを判別するためには、プログラムの詳細な解析が必要になる。ただし、マルウェアには一般的にコードの難読化やアンチデバッグなどの耐解析機能が具備されており、また通信内容自体も暗号化されている事が多いことから、情報漏えいを行うかどうかを特定することが困難である。
そこで、この発明は、不正アクセスの特定、または、不正アクセスを行うプログラムの特定を適切に行うことを目的とする。
上述した課題を解決し、目的を達成するため、不正アクセス検知システムは、外部に漏えいさせる認証情報を生成する生成部と、前記生成部によって生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、前記認証情報を用いたコンテンツへのアクセスを検知する検知部と、前記検知部によって前記認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する特定部と、を備えたことを特徴とする。
また、不正アクセス検知方法は、不正アクセス検知システムによって実行される不正アクセス検知方法であって、外部に漏えいさせる認証情報を生成する生成工程と、前記生成工程によって生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、前記認証情報を用いたコンテンツへのアクセスを検知する検知工程と、前記検知工程によって前記認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する特定工程と、を含んだことを特徴とする。
また、不正アクセス検知システムは、認証情報を生成する生成部と、前記生成部によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、前記認証情報を用いたコンテンツへの不正アクセスを検知する検知部と、前記検知部によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する特定部と、を備えたことを特徴とする。
また、不正アクセス検知方法は、不正アクセス検知システムによって実行される不正アクセス検知方法であって、認証情報を生成する生成工程と、前記生成工程によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、前記認証情報を用いたコンテンツへの不正アクセスを検知する検知工程と、前記検知工程によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する特定工程と、を含んだことを特徴とする。
本願に開示する不正アクセス検知システム及び不正アクセス検知方法は、不正アクセスの特定、または、不正アクセスを行うプログラムの特定を適切に行うことが可能である。
図1は、第一の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。 図2は、第一の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。 図3は、第一の実施形態に係る認証情報管理装置の構成を示すブロック図である。 図4は、第一の実施形態に係る解析ホストの構成を示すブロック図である。 図5は、第一の実施形態に係るサーバの構成を示すブロック図である。 図6は、第一の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。 図7は、第一の実施形態に係る不正アクセス情報管理装置の構成を示すブロック図である。 図8は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを行う攻撃者のホストをフィルタリングする際の処理を説明する図である。 図9は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを防止する処理を説明する図である。 図10は、第一の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。 図11は、第二の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。 図12は、第二の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。 図13は、第二の実施形態に係る認証情報管理装置の構成を示すブロック図である。 図14は、解析用認証情報記憶部に記憶されたテーブルの一例を示す図である。 図15は、第二の実施形態に係る解析ホストの構成を示すブロック図である。 図16は、単一および複数の認証情報を用いた解析処理を説明する図である。 図17は、第二の実施形態に係るサーバの構成を示すブロック図である。 図18は、第二の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。 図19は、第二の実施形態に係る不正アクセス検知システムにおいて、情報漏えいを行うマルウェアの特定処理を説明する図である。 図20は、第二の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。 図21は、不正アクセス検知プログラムを実行するコンピュータを示す図である。
以下に図面を参照して、この発明に係る不正アクセス検知システム及び不正アクセス検知方法の実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
[第一の実施形態]
以下の実施形態では、第一の実施形態に係る不正アクセス検知システム及び不正アクセス検知方法による処理の流れを順に説明し、最後に第一の実施形態による効果を説明する。
[システムの構成]
まず、第一の実施形態に係る不正アクセス検知システム100の構成の一例を説明する。図1は、第一の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。図1に示すように、不正アクセス検知システム100は、認証情報管理装置10、解析ホスト20およびサーバ群30A〜30C、不正アクセス情報管理装置40を有する。また、不正アクセス検知システム100では、認証情報管理装置10と、解析ホスト20と、サーバ群30A〜30Cとが、インターネット50を介してそれぞれ接続される。なお、サーバ群30A〜30Cについて、特に区別なく一台のサーバについて説明する場合には、サーバ30と記載する。
認証情報管理装置10は、解析用の認証情報を生成し、生成した認証情報と認証情報を設定するプログラムとの対応関係を管理する。また、認証情報管理装置10は、解析ホスト20に送信する。この際、生成される認証情報は、各サーバ30A〜30Cに対応するものであり、認証情報として、サービスのサイト情報、アカウント名およびパスワードが生成される。サービスのサイト情報とは、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバの情報であり、例えば、サーバ群30A〜30CのIPアドレスもしくはFQDNである。また、アカウント名およびパスワードは、ランダムに生成され、実際には使われていないものが生成される。
解析ホスト20は、解析ホスト20上にある特定のサービスの認証情報を設定し、解析対象プログラムを動作させる。この時、解析ホスト20は、インターネット50に接続しておく。プログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする。
サーバ群30A〜30Cは、Webサイトのコンテンツを管理するサーバであって、攻撃者にわざと漏えいさせた認証情報で不正にアクセスさせるためのサーバである。例えば、サーバ群30A〜30Cは、漏えいさせた認証情報が利用されたアクセスがあった場合には、それが不正アクセスであると特定し、該不正アクセスを行った攻撃者のホスト情報(例えば、IPアドレス)を取得し、不正アクセス情報管理装置40に送信する。
不正アクセス管理装置40は、不正アクセスを行った攻撃者のホスト情報を管理し、サーバ群30A〜30Cに対して、ホスト情報を送信する。これにより、サーバ群30A〜30Cについて不正アクセスを行った攻撃者のホストを各種サービスにおいてフィルタリング対象とする。
不正アクセス検知システム100では、前提として、解析用の認証情報をあえて漏えいさせ、不正アクセスを監視する処理を行っている。ここで、図2を用いて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。図2は、第一の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。
図2に示すように、まず、解析ホスト20は、認証情報管理装置10によって生成された認証情報を、解析ホスト上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする(図2の(1)参照)。そして、解析ホスト20は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする(図2の(2)参照)。
次に、ある特定のサービスを提供するサーバ群30A〜30Cを動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は(図2の(3)参照)、サーバ群30A〜30Cは、それは不正アクセスであると判断する(図2の(4)参照)。
このように、解析用の認証情報をあえて漏えいさせることで、漏えいさせた同一の認証情報が利用された時点において、それが不正アクセスであるものと特定することができる。そして、不正アクセスを行った攻撃者のホスト情報を取得し、該ホスト情報を各種サービスでフィルタリングすることで、不正アクセスを検知し、未然に防止することができる。
[認証情報管理装置の構成]
次に、図3に示した認証情報管理装置10の構成を説明する。図3は、第一の実施形態に係る認証情報管理装置の構成を示すブロック図である。図3に示すように、認証情報管理装置10は、通信処理部11、制御部12および記憶部13を有する。
通信処理部11は、接続される解析ホスト20、サーバ郡30A〜30C等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、解析ホスト20に対して生成した認証情報を送信する。また、例えば、通信処理部11は、サーバ郡30A〜30Cから不正アクセスに利用された認証情報を受信する。
記憶部13は、図3に示すように、解析用認証情報記憶部13aを有する。記憶部13は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
解析用認証情報記憶部13aは、後述する生成部12aによって生成された解析用の認証情報と、該認証情報が設定されたプログラムとの対応関係が規定されたテーブルを記憶する。
ここで、例えば、解析に利用する認証情報として、解析用認証情報記憶部13aは、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群30A〜30Cに関する情報であり、例えばIPアドレスもしくはFQDN(Fully Qualified Domain Name)である。
また、解析用認証情報記憶部13aは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部13aは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。
図3に戻って、制御部12は、生成部12aと、管理部12bとを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
生成部12aは、外部に漏えいさせる認証情報を生成する。例えば、生成部12aは、攻撃者にあえて漏えいさせる解析用の認証情報として、サーバ群30A〜30CのIPアドレスもしくはFQDNと、ランダムに生成されたアカウント名およびパスワードの組み合わせである。なお、生成される認証情報は様々な種類のサービスに対応するものであってよく、例えばSSH(Secure SHell)、FTP(File Transfer Protocol)、POP(Post Office Protocol)などである。
なお、サービスを提供するサーバ30において当該サービスに対するブルートフォースのログイン(攻撃者が可能な組み合わせのアカウント名とパスワードを総当たりで試行するログイン)と漏えいした認証情報を用いたログインとを正確に区別するため、生成される解析用認証情報は、ランダムに生成される十分に長いユニークな文字列であることが望ましい。
管理部12bは、生成部12aによって生成された認証情報を解析ホスト20に送信する。ここで送信された認証情報は、解析ホスト20上に設定され、解析対象のプログラムを実行する。また、管理部12bは、解析ホスト20が実行したプログラムと対応する認証情報の組を受信し、認証情報と、プログラムと対応する認証情報の組とを対応付けて解析用認証情報記憶部13aに格納する。
[解析ホストの構成]
次に、図4に示した解析ホスト20の構成を説明する。図4は、第一の実施形態に係る解析ホストの構成を示すブロック図である。図4に示すように、解析ホスト20は、通信処理部21、制御部22および記憶部23を有する。
通信処理部21は、接続される認証情報管理装置10、サーバ群30A〜30C等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部21は、認証情報管理装置10から認証情報を受信する。また、例えば、通信処理部21は、外部の攻撃者に認証情報を送信する。なお、認証情報管理装置10から認証情報を受信した場合には、後述する解析用認証情報記憶部23aに受信した認証情報が格納される。
記憶部23は、図4に示すように、解析用認証情報記憶部23aを有する。記憶部23は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
解析用認証情報記憶部23aは、前述した認証情報管理装置10によって生成された解析用の認証情報を記憶する。例えば、解析用認証情報記憶部23aは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群30A〜30Cに関する情報であり、例えばIPアドレスもしくはFQDN(Fully Qualified Domain Name)である。
また、解析用認証情報記憶部23aは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部23aは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。
図4に戻って、制御部22は、設定部22aと、動作部22bとを有する。ここで、制御部22は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
設定部22aは、認証情報管理装置10の生成部12aによって生成された認証情報を特定のサービスの認証情報として設定する。例えば、設定部22aは、解析用認証情報記憶部23aから認証情報を取得し、取得した認証情報を特定のサービスの認証情報として設定する。
動作部22bは、設定部22aにより認証情報が設定された解析ホスト20上で解析対象プログラムとして、サービスのクライアントアプリケーション(SSH、FTP、POP等)を動作させる。そして、動作部22bは、実行したプログラムと対応する認証情報の組を通知する。ここで、動作させたプログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいすることとなる。漏えいさせる認証情報は、どのような種類のサービスであってもよく、サービスを提供するサーバ30側で漏えいさせた認証情報のログインがあったかどうかを確認できればよい。また、サービスは解析用に用意してもいいし、実際のサービスを用いてもよい。
[サーバの構成]
次に、図5に示したサーバ30の構成を説明する。図5は、第一の実施形態に係るサーバの構成を示すブロック図である。図5に示すように、サーバ30は、通信処理部31、制御部32および記憶部33を有する。
通信処理部31は、接続される認証情報管理装置10、解析ホスト20等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部31は、認証情報管理装置10に対して不正アクセスに利用された認証情報を送信する。また、通信処理部31は、認証情報管理装置10から解析用認証情報を受信する。ここで受信した解析用認証情報は、解析用認証情報記憶部33aに記憶される。
記憶部33は、図5に示すように、解析用認証情報記憶部33aおよび不正ホスト情報記憶部33bを有する。記憶部33は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
解析用認証情報記憶部33aは、前述した認証情報管理装置10によって生成された解析用の認証情報のリストを記憶する。解析用認証情報記憶部33aに記憶される認証情報のリストは、後述する検知部32aによってログインが不正アクセスであるか否かを判定するために使用される。
例えば、解析用認証情報記憶部33aは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ30に関する情報であり、例えばIPアドレスもしくはFQDN(Fully Qualified Domain Name)である。
また、解析用認証情報記憶部33aは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部33aは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。
不正ホスト情報記憶部33bは、不正アクセスを行ったホストの情報を記憶する。例えば、不正ホスト情報記憶部33bは、不正アクセスを行ったホストの情報として、IPアドレスを記憶する。
図5に戻って、制御部32は、検知部32aと、特定部32bと、格納部32cと、アクセス防止部32dとを有する。ここで、制御部32は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
検知部32aは、認証情報管理装置10の生成部12aによって生成された認証情報を用いたコンテンツへのアクセスを検知する。具体的には、検知部32aは、コンテンツへのアクセスに用いられた認証情報が解析用認証情報記憶部33aに記憶された認証情報と一致するか判定する。
特定部32bは、検知部32aによって認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する。例えば、特定部32bは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生した場合には、該ログインに用いられた認証情報が解析用認証情報記憶部33aに記憶された解析用認証情報に含まれるか判定する。
この結果、特定部32bは、ログインに用いられた認証情報が解析用認証情報記憶部33aに記憶された解析用認証情報のリストに含まれる場合には、ログインを不正アクセスであると特定し、不正アクセスに利用された認証情報を認証情報管理装置10に対して送信する。
格納部32cは、特定部32bによって不正アクセスとして特定されたアクセスを行ったホストの情報を取得して不正ホスト情報記憶部33bに格納する。また、格納部32cは、取得したホストの情報を不正アクセス情報管理装置40に送信する。
アクセス防止部32dは、不正ホスト情報記憶部33bに記憶されたホストの情報により特定されるホストからのアクセスを検出し、該ホストからのアクセスを防止する。例えば、アクセス防止部32dは、ログインを試みるホストが攻撃者ホスト情報に含まれているか否かを判定し、判定の結果、含まれている場合には、攻撃者によるログインと判断し、ログインを遮断する。
ここで、図6を用いて、第一の実施形態に係る不正アクセス検知システム100において、認証情報を用いた情報漏えい検知処理を説明する。図6は、第一の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。図6に示すように、不正アクセス検知システム100の認証情報管理装置10は、プログラムの解析の度に毎回、ユニークな解析用認証情報(サービスを提供するサーバ名、アカウント名とパスワード情報の組)を生成する(図6の(1)参照)。
そして、生成した解析用認証情報をプログラムを実行する解析ホスト20上に設定し(図6の(2)参照)、解析対象のプログラムを実行する(図6の(3)参照)。また、解析ホスト20は、実行したプログラムと対応する認証情報の組を認証情報管理装置10に通知する(図6の(4)参照)。そして、認証情報管理装置10は、生成した解析用認証情報を、サービスを提供するサーバ30に対して生成して通知する(図6の(5)参照)。
その後、解析ホスト20は、解析対象のプログラムを実行した後、該プログラムが情報漏えいをするマルウェアの場合は設定された解析用認証情報を攻撃者に送信する(図6の(6)参照)。この時点で、プログラムが情報漏えいを行ったかどうかを識別する必要は無い。攻撃者は、漏えいした認証情報を利用して、当該サービスに対して不正アクセスを行って、ログインを試みる(図6の(7)参照)。当該サービスを提供するサーバ30は、ログインに対して、解析用認証情報を用いたログインであるかどうかを識別し、解析用認証情報を用いたログインである場合は、不正アクセスであると検知する(図6の(8)参照)。この際に不正アクセスを行ったホストの情報を取得して記憶することで、そのホストの情報を各種サービスにおいてフィルタリング対象とする。
[不正アクセス情報管理装置の構成]
次に、図7に示した不正アクセス情報管理装置40の構成を説明する。図7は、第一の実施形態に係る不正アクセス情報管理装置の構成を示すブロック図である。図7に示すように、不正アクセス情報管理装置40は、通信処理部41、制御部42および記憶部43を有する。
通信処理部41は、接続される認証情報管理装置10、解析ホスト20、サーバ30等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部31は、サーバ30から不正アクセスを行ったホストの情報を受信する。また、通信処理部41は、不正アクセスを行ったホストの情報を、サーバ群30A〜30Cに送信する。
記憶部43は、図7に示すように、不正ホスト情報記憶部43aおよびサーバ情報記憶部43bを有する。記憶部43は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
不正ホスト情報記憶部43aは、不正アクセスを行ったホスト情報のリスト(以下、攻撃者ホスト情報リストと記載する場合がある)を記憶する。例えば、不正ホスト情報記憶部43aは、不正アクセスを行ったホスト情報のリストとして、IPアドレスを記憶する。ここで記憶される情報は、サーバ群30A〜30Cから収集されたホスト情報のリストである。
サーバ情報記憶部43bは、不正アクセスを行ったホストの情報を通知するサーバのアドレス情報等を記憶する。ここで記憶される情報は、後述する送信部42bが、不正アクセスを行ったホストの情報をサーバ30に送信する際に参照される。
図7に戻って、制御部42は、格納部42aおよび送信部42bを有する。ここで、制御部42は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
格納部42aは、サーバ30から送信された不正アクセスを行ったホストの情報を受信し、不正アクセスを行ったホストの情報を不正ホスト情報記憶部43aに格納する。例えば、格納部42aは、不正アクセスを行ったホストの情報として、IPアドレスを不正ホスト情報記憶部43aに格納し、攻撃者ホスト情報リストを更新する。
解析用認証情報を利用してあるサービスにおいて不正アクセスであると判別した際に収集できる攻撃者ホスト情報リストは、実際のさまざまな認証情報を用いるサービスに適用できる。社内システムや利用ユーザが限定されているサービスであれば、ホストのIPアドレスなどを限定することで、アカウント情報漏えいによる不正アクセスをある程度は防御できる。例えば、社内システムであれば、社内のIPアドレスからしかログインさせないことで防御ができる。しかし、不特定多数のユーザが利用するサービスは、ログインするホストが膨大に存在し、またIPアドレスも分散しているため、あらかじめ利用者のIPアドレスを制限することによる対策ができない。本実施形態では、後者の不特定多数が利用するサービスに対して適用してもよく、例えばメールサービス、インターネットショッピングサービス、ソーシャルネットワークサービス、ブログサービス、などが例としてあげられる。
送信部42bは、不正アクセスを行ったホストの情報を各サーバ30A〜30Cに送信する。例えば、送信部42bは、サーバ情報記憶部43bに記憶されたサーバ30のアドレス情報を参照し、不正アクセスを行ったホストの情報を各サーバ30A〜30Cに送信する。
図8を用いて、不正アクセスを行う攻撃者のホストをフィルタリングする際の処理を説明する。図8は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを行う攻撃者のホストをフィルタリングする際の処理を説明する図である。図8に示すように、サービスを提供するサーバ30Aが解析用認証情報を用いた不正アクセスを検知した場合は(図8の(1)参照)、その攻撃者のホスト情報を不正アクセス管理装置40に送信する(図8の(2)参照)。
そして、不正アクセス管理装置40は、他のサーバ(サーバ30B、サーバ30C)に対して不正アクセスを行う攻撃者のホスト情報を送信する(図8の(3)参照)。攻撃者の情報を受け取った各サーバ30A〜30Cは、不正アクセスを受けた際に(図8の(4)参照)、その情報を基にログイン時のホスト情報と比較することで攻撃者のホストを識別し、不正アクセスを防止する(図8の(5)参照)。なお、サービスを提供するサーバ30は、複数種類存在してもよいし、単一のサーバでもよい。
ここで、図9を用いて、第一の実施形態に係る不正アクセス検知システム100において、不正アクセスを防止する処理を説明する。図9は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを防止する処理を説明する図である。
図9に示すように、解析ホスト20は、認証情報管理装置10によって生成された認証情報を、解析ホスト20上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする(図9の(1)参照)。そして、解析ホスト20は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする(図9の(2)参照)。
次に、ある特定のサービスを提供するサーバ30を動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は(図9の(3)参照)、サーバ30は、それは不正アクセスであると判断する(図9の(4)参照)。そして、不正アクセスを行ったホスト情報を、他のサービスのアクセスフィルタリングに活用することで、不正アクセスを防止することができる。
[サーバによる処理]
次に、図10を用いて、第一の実施形態に係るサーバ30による処理を説明する。図10は、第一の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。
図10に示すように、サーバ30の通信処理部31は、認証情報管理装置10から解析用認証情報を受信したか判定する(ステップS101)。この結果、通信処理部31は、認証情報管理装置10から解析用認証情報を受信していない場合には(ステップS101否定)、ステップS103の処理に進む。また、通信処理部31は、認証情報管理装置10から解析用認証情報を受信した場合には(ステップS101肯定)、解析用認証情報記憶部33aに記憶された比較用の解析用認証情報のリストを更新する(ステップS102)。
そして、格納部32cは、不正アクセス情報管理装置40から攻撃者のホスト情報を受信したかを判定する(ステップS103)。この結果、格納部32cは、不正アクセス情報管理装置40から攻撃者のホスト情報を受信していない場合には(ステップS103否定)、ステップS105の処理に進む。また、格納部32cは、不正アクセス情報管理装置40から攻撃者のホスト情報を受信した場合には(ステップS103肯定)、ホスト情報を不正ホスト情報記憶部33bに格納することで、比較用の攻撃者ホスト情報リストを更新する(ステップS104)。
そして、検知部32aは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生したか否かを判定する(ステップS105)。この結果、ログインイベントが発生しなかった場合には(ステップS105否定)、ステップS101の処理に戻る。また、検知部32aは、ログインイベントが発生した場合には(ステップS105肯定)、該ログインに用いられた認証情報が解析用認証情報記憶部33aに記憶された解析用認証情報に含まれるか判定する(ステップS106)。
この結果、特定部32bは、ログインに用いられた認証情報が解析用認証情報記憶部33aに記憶された解析用認証情報に含まれる場合には(ステップS106肯定)、ログインを不正アクセスと判定する(ステップS107)。続いて、特定部32bは、不正アクセスに利用された認証情報を認証情報管理装置10に通知し(ステップS108)、ステップS112の処理に進む。
また、ステップS106において、ログインに用いられた認証情報が解析用認証情報記憶部33aに記憶された解析用認証情報に含まれていない場合には(ステップS106否定)、アクセス防止部32dは、ログインを試みるホストが攻撃者ホスト情報に含まれるか判定する(ステップS109)。この結果、アクセス防止部32dは、ログインを試みるホストが攻撃者ホスト情報に含まれていないと判定した場合には(ステップS109否定)、ログインを正常アクセスと判定して(ステップS110)、ステップS112の処理に進む。また、アクセス防止部32dは、ログインを試みるホストが攻撃者ホスト情報に含まれていると判定した場合には(ステップS109肯定)、攻撃者によるログインと判断し、ログインを遮断し(ステップS111)、ステップS112の処理に進む。
ステップS112では、検知部32aは、不正アクセスの監視を継続するか否かを判定する(ステップS112)。この結果、検知部32aは、不正アクセスの監視を継続すると判定した場合には(ステップS112肯定)、ステップS101に戻る。また、検知部32aは、不正アクセスの監視を継続しないと判定した場合には(ステップS112否定)、処理を終了する。
[第一の実施形態の効果]
上述してきたように、第一の実施形態にかかる不正アクセス検知システム100では、外部に漏えいさせる認証情報を生成し、生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる。そして、不正アクセス検知システム100では、認証情報を用いたコンテンツへのアクセスを検知し、認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する。このため、漏えいした認証情報を用いた不正アクセスの検知および防御を適切に行うことが可能である。
また、攻撃者が情報漏えいによって取得した認証情報を用いて各種サービスに対して不正アクセスを行った場合は、正規のユーザと攻撃者の判別が侵入検知システムでは困難であったが、不正アクセス検知システム100では、漏えいさせた情報自体が解析用であり、一般ユーザが利用することがないため、それが利用された時点で不正アクセスであると判別でき、またその不正アクセスを行った攻撃者のホストを特定できる。この攻撃者のホストは他の各種サービスでも不正アクセスを行っている可能性が高いため、このホスト情報(例えばIPアドレス)を他の各種サービスでフィルタリングすることで不正アクセスを検知し、未然に防止できる。
[第二の実施形態]
上記の第一の実施形態では、漏えいした認証情報を用いた不正アクセスを検知する場合について説明したが、本実施形態はこれに限定されるものではない。例えば、情報漏えいを行うマルウェアを特定するようにしてもよい。そこで、以下では、第二の実施形態として、不正アクセス検知システムが、認証情報を用いたコンテンツへの不正アクセスを検知し、認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する場合の例について説明する。
[システムの構成]
まず、第二の実施形態に係る不正アクセス検知システム200の構成の一例を説明する。図11は、第二の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。図11に示すように、不正アクセス検知システム200は、認証情報管理装置210、解析ホスト220およびサーバ群230A〜230Cを有する。また、不正アクセス検知システム200では、認証情報管理装置210と、解析ホスト220と、サーバ群230A〜230Cとが、インターネット240を介してそれぞれ接続される。なお、サーバ群230A〜230Cについて、特に区別なく一台のサーバについて説明する場合には、サーバ230と記載する。
認証情報管理装置210は、解析用の認証情報を生成し、生成した認証情報と認証情報を設定するプログラムとの対応関係を管理する。また、認証情報管理装置210は、解析ホスト220に送信する。この際、生成される認証情報は、各サーバ230A〜230Cに対応するものであり、認証情報として、サービスのサイト情報、アカウント名およびパスワードが生成される。サービスのサイト情報とは、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバの情報であり、例えば、サーバ群230A〜230CのIPアドレスもしくはFQDNである。また、アカウント名およびパスワードは、ランダムに生成され、実際には使われていないものが生成される。
また、認証情報管理装置210は、サーバ群230A〜230Cから不正アクセスに利用された認証情報を受信した場合には、受信した認証情報に対応するプログラムを、情報漏えいを行うプログラムとして特定する。
解析ホスト220は、解析ホスト220上にある特定のサービスの認証情報を設定し、解析対象プログラムを動作させる。この時、解析ホスト220は、インターネット240に接続しておく。プログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする。
サーバ群230A〜230Cは、Webサイトのコンテンツを管理するサーバであって、攻撃者にわざと漏えいさせた認証情報で不正にアクセスさせるためのサーバである。例えば、サーバ群230A〜230Cは、漏えいさせた認証情報が利用されたアクセスがあった場合には、それが不正アクセスであると特定し、利用された認証情報を認証情報管理装置210に通知する。
不正アクセス検知システム200では、前提として、解析用の認証情報をあえて漏えいさせ、不正アクセスを監視する処理を行っている。ここで、図12を用いて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する。図12は、第二の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。
図12に示すように、まず、解析ホスト220は、認証情報管理装置210によって生成された認証情報を、解析ホスト上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする(図12の(1)参照)。そして、解析ホスト220は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする(図12の(2)参照)。
次に、ある特定のサービスを提供するサーバ群230A〜230Cを動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は(図12の(3)参照)、サーバ群230A〜230Cは、それは不正アクセスであると判断する(図12の(4)参照)。
このように、解析用の認証情報をあえて漏えいさせることで、漏えいさせた同一の認証情報が利用された時点において、それが不正アクセスであるものと特定することができる。そして、不正アクセスに利用された認証情報に対応するプログラムを、情報の漏えいを行うプログラムとして特定する。
[認証情報管理装置の構成]
次に、図13に示した認証情報管理装置210の構成を説明する。図13は、第二の実施形態に係る認証情報管理装置の構成を示すブロック図である。図13に示すように、認証情報管理装置210は、通信処理部211、制御部212および記憶部213を有する。
通信処理部211は、接続される解析ホスト220、サーバ群230A〜230C等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部211は、解析ホスト220に対して生成した認証情報を送信する。また、例えば、通信処理部211は、サーバ群230A〜230Cから不正アクセスに利用された認証情報を受信する。
記憶部213は、図13に示すように、解析用認証情報記憶部213aと、悪性プログラム記憶部213bとを有する。記憶部213は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
解析用認証情報記憶部213aは、後述する生成部212aによって生成された解析用の認証情報と、該認証情報が設定されたプログラムとの対応関係が規定されたテーブルを記憶する。例えば、解析用認証情報記憶部213aは、図14に例示するように、解析対象のプログラムを識別する情報である「解析プログラム」と、解析ホスト220上で動作するアプリケーションの種別を示す「クライアントアプリケーション」と、生成した認証情報を識別する情報である「認証情報」とを対応付けて記憶する。
ここで、例えば、解析に利用する認証情報として、解析用認証情報記憶部213aは、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群230A〜230Cに関する情報であり、例えばIPアドレスもしくはFQDN(Fully Qualified Domain Name)である。
また、解析用認証情報記憶部213aは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部213aは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。
悪性プログラム記憶部213bは、情報を漏えいする悪性プログラムを識別する情報を記憶する。具体的には、悪性プログラム記憶部213bは、後述する特定部212cによって特定された悪性プログラムを識別する情報を記憶する。
図13に戻って、制御部212は、生成部212aと、管理部212bと、特定部212cと、収集部212dとを有する。ここで、制御部212は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
生成部212aは、外部に漏えいさせる認証情報を生成する。例えば、生成部212aは、攻撃者にあえて漏えいさせる解析用の認証情報として、サーバ群230A〜230CのIPアドレスもしくはFQDNと、ランダムに生成されたアカウント名およびパスワードの組み合わせである。なお、生成される認証情報は様々な種類のサービスに対応するものであってよく、例えばSSH(Secure SHell)、FTP(File Transfer Protocol)、POP(Post Office Protocol)などである。
なお、サービスを提供するサーバ230において当該サービスに対するブルートフォースのログイン(攻撃者が可能な組み合わせのアカウント名とパスワードを総当たりで試行するログイン)と漏えいした認証情報を用いたログインとを正確に区別するため、生成される解析用認証情報は、ランダムに生成される十分に長いユニークな文字列であることが望ましい。
管理部212bは、生成部212aによって生成された認証情報を解析ホスト220に送信する。ここで送信された認証情報は、解析ホスト220上に設定され、解析対象のプログラムを実行する。また、管理部212bは、解析ホスト220が実行したプログラムと対応する認証情報の組を受信し、認証情報と、プログラムと対応する認証情報の組を対応付けて解析用認証情報記憶部213aに格納する。
特定部212cは、後述するサーバ230の検知部232aによって認証情報を不正アクセスが検知された場合に、該認証情報が設定された解析ホスト220上で動作するプログラムを、情報漏えいを行うプログラムとして特定する。例えば、特定部212cは、サーバ群230A〜230Cから不正アクセスで利用された認証情報を受信すると、解析用認証情報記憶部233aに記憶されたテーブルを参照して、該認証情報に対応するプログラムを取得し、該プログラムを、情報漏えいを行うプログラムとして特定する。
収集部212dは、特定部212cによって特定されたプログラムと同一プログラムを、ウェブ空間から収集する。例えば、収集部212dは、既存技術であるWebクライアントハニーポットを用いて、Web空間を巡回することで収集してもよい。Webクライアントハニーポットは、Webブラウザの脆弱性を攻撃されることで自動的にダウンロードおよびインストールされるプログラムの収集だけでなく、ポップアップ等でユーザがダイアログをクリックする必要があるプログラムのダウンロードおよびインストールを行う必要があるプログラムであっても、ユーザインタラクションを模擬することで収集できる。特に、このようなユーザがダイアログをクリックする必要があるプログラムのダウンロードおよびインストールを行う必要があるプログラムの場合は、プログラムが正規のものと悪意をもったものが混在するため、情報漏えいを行うかどうかに基づいてマルウェアかどうかを判別できる。
[解析ホストの構成]
次に、図15に示した解析ホスト220の構成を説明する。図15は、第二の実施形態に係る解析ホストの構成を示すブロック図である。図15に示すように、解析ホスト220は、通信処理部221、制御部222および記憶部223を有する。
通信処理部221は、接続される認証情報管理装置210、サーバ群230A〜230C等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部221は、認証情報管理装置210から認証情報を受信する。また、例えば、通信処理部221は、外部の攻撃者に認証情報を送信する。なお、認証情報管理装置210から認証情報を受信した場合には、後述する解析用認証情報記憶部223aに受信した認証情報が格納される。
記憶部223は、図15に示すように、解析用認証情報記憶部223aを有する。記憶部223は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
解析用認証情報記憶部223aは、前述した認証情報管理装置210によって生成された解析用の認証情報を記憶する。例えば、解析用認証情報記憶部223aは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群230A〜230Cに関する情報であり、例えばIPアドレスもしくはFQDN(Fully Qualified Domain Name)である。
また、解析用認証情報記憶部223aは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部223aは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。
図15に戻って、制御部222は、設定部222aと、動作部222bとを有する。ここで、制御部222は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
設定部222aは、認証情報管理装置210の生成部212aによって生成された認証情報を特定のサービスの認証情報として設定する。例えば、設定部222aは、解析用認証情報記憶部223aから認証情報を取得し、取得した認証情報を特定のサービスの認証情報として設定する。
動作部222bは、設定部222aにより認証情報が設定された解析ホスト220上で解析対象プログラムとして、サービスのクライアントアプリケーション(SSH、FTP、POP等)を動作させる。そして、動作部222bは、実行したプログラムと対応する認証情報の組を通知する。ここで、動作させたプログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいすることとなる。漏えいさせる認証情報は、どのような種類のサービスであってもよく、サービスを提供するサーバ230側で漏えいさせた認証情報のログインがあったかどうかを確認できればよい。また、サービスは解析用に用意してもよいし、実際のサービスを用いてもよい。
また、解析ホスト220上では、サービスのクライアントアプリケーションが動作する場合には、これらクライアントアプリケーションが認証情報をファイルやレジストリに書き込むことが想定される。この設定用ファイルやレジストリは各クライアントアプリケーションによって格納されるパスや形式があらかじめ決まっているため、それに従って認証情報をファイルやレジストリに書き込む。
解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスし、その情報を外部に送信する。認証情報の設定については、ホスト毎に単一の特定のクライアントアプリケーションのファイルやレジストリに設定してもよいし、同時に複数のクライアントアプリケーションのファイルやレジストリに設定してもよい。なお、同時に複数のクライアントアプリケーションに解析情報を設定する場合は、設定するクライアントアプリケーションの種類だけ解析用認証情報を生成しておく必要がある。
例えば、図16に例示するように、単一の特定のクライアントアプリケーションのファイルやレジストリに認証情報を設定する例として、解析ホスト220が、「解析用認証情報A」を「SSHクライアントアプリケーションの設定ファイル」に設定して「プログラム1」を動作させる。または、異なる解析ホスト220が、「解析用認証情報B」を「FTPクライアントアプリケーションの設定ファイル」に設定して「プログラム2」を動作させる。
また、図16に例示するように、同時に複数のクライアントアプリケーションのファイルやレジストリに解析用認証情報を設定する例として、解析ホスト220が、「解析用認証情報C」を「SSHクライアントアプリケーションの設定ファイル」に設定し、かつ、「解析用認証情報D」を「FTPクライアントアプリケーションの設定ファイル」に設定し、かつ、「解析用認証情報E」を「POPクライアントアプリケーションの設定レジストリ」に設定して「プログラム3」を動作させる。
[サーバの構成]
次に、図17に示したサーバ230の構成を説明する。図17は、第二の実施形態に係るサーバの構成を示すブロック図である。図17に示すように、サーバ230は、通信処理部231、制御部232および記憶部233を有する。
通信処理部231は、接続される認証情報管理装置210、解析ホスト220等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部231は、認証情報管理装置210に対して不正アクセスに利用された認証情報を送信する。また、通信処理部231は、認証情報管理装置210から解析用認証情報を受信する。ここで受信した解析用認証情報は、解析用認証情報記憶部233aに記憶される。
記憶部233は、図17に示すように、解析用認証情報記憶部233aを有する。記憶部233は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
解析用認証情報記憶部233aは、前述した認証情報管理装置210によって生成された解析用の認証情報のリストを記憶する。解析用認証情報記憶部233aに記憶される認証情報のリストは、後述する検知部232aによってログインが不正アクセスであるか否かを判定するために使用される。
例えば、解析用認証情報記憶部233aは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ230に関する情報であり、例えばIPアドレスもしくはFQDN(Fully Qualified Domain Name)である。
また、解析用認証情報記憶部233aは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部233aは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。
図17に戻って、制御部232は、検知部232aと、削除部232bとを有する。ここで、制御部232は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
検知部232aは、認証情報管理装置210の生成部212aによって生成された認証情報を用いたコンテンツへの不正アクセスを検知する。具体的には、検知部232aは、コンテンツへのアクセスに用いられた認証情報が解析用認証情報記憶部233aに記憶された認証情報と一致するか判定し、一致する場合には、不正アクセスとして検知する。
例えば、検知部232aは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生した場合には、該ログインに用いられた認証情報が解析用認証情報記憶部233aに記憶された解析用認証情報に含まれるか判定する。
この結果、検知部232aは、ログインに用いられた認証情報が解析用認証情報記憶部233aに記憶された解析用認証情報のリストに含まれる場合には、ログインを不正アクセスであると判定し、不正アクセスに利用された認証情報を認証情報管理装置210に対して送信する。また、検知部232aは、ログインに用いられた認証情報が解析用認証情報記憶部233aに記憶された解析用認証情報のリストに含まれない場合には、ログインを正常アクセスであると判定する。
削除部232bは、認証情報管理装置210の特定部212cによって特定されたプログラムを検出し、該プログラムを検出した場合には、該プログラムを削除する。また、例えば、削除部232bは、認証情報管理装置210から情報漏えいするプログラムを識別する情報を受信すると、情報漏えいを行うプログラムから、実際のホストを情報漏えいの被害から防ぐ方法として、当該プログラムのホスト上での実行禁止ができる。ホストベースの侵入検知システムやアンチウィルスソフトのファイルシグネチャとして当該プログラムを登録しておき、ホスト上にファイルが存在した場合やまたそれを実行しようとした場合に禁止、および削除する。
また、実際のホストを情報漏えいの被害から防ぐ方法として、当該プログラムのネットワークからのダウンロード禁止ができる。ネットワークベースの侵入検知システムやWebプロキシ、メールサーバなどで監視を行い、外部ネットワークからダウンロードされるファイルを検査し、当該プログラムが含まれる場合はダウンロードを禁止する。
ここで、図18を用いて、第二の実施形態に係る不正アクセス検知システム200において、認証情報を用いた情報漏えい検知処理を説明する。図18は、第二の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。図18に示すように、不正アクセス検知システム200の認証情報管理装置210は、プログラムの解析の度に毎回、ユニークな解析用認証情報(サービスを提供するサーバ名、アカウント名とパスワード情報の組み)を生成して、通知する(図18の(1)参照)。
そして、生成した解析用認証情報をプログラムを実行する解析ホスト220上に設定し(図18の(2)参照)、解析対象のプログラムを実行する(図18の(3)参照)。また、解析用ホスト220は、実行したプログラムと対応する認証情報の組を認証情報管理装置210に通知する(図18の(4)参照)。そして、認証情報管理装置210は、生成した解析用認証情報をサービスを提供するサーバ230に対して生成して通知する(図18の(5)参照)。
その後、解析ホスト220は、解析対象のプログラムを実行した後、該プログラムが情報漏えいをするマルウェアの場合は設定された解析用認証情報を攻撃者に送信する(図18の(6)参照)。この時点で、プログラムが情報漏えいを行ったかどうかを識別する必要は無い。攻撃者は、漏えいした認証情報を利用して、当該サービスに対して不正アクセスを行って、ログインを試みる(図18の(7)参照)。当該サービスを提供するサーバ230は、ログインに対して、解析用認証情報を用いたログインであるかどうかを識別し、解析用認証情報を用いたログインである場合は、不正アクセスであると検知する(図18の(8)参照)。この際に利用された解析用認証情報から、解析を行ったプログラムを特定できるため、当該プログラムが情報漏えいを行うプログラムであることが分かる。
ここで、図19を用いて、第二の実施形態に係る不正アクセス検知システム200において、情報漏えいを行うマルウェアの特定処理を説明する。図19は、第二の実施形態に係る不正アクセス検知システムにおいて、情報漏えいを行うマルウェアの特定処理を説明する図である。
図19に示すように、解析ホスト220は、認証情報管理装置210によって生成された認証情報を、解析ホスト220上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする(図19の(1)参照)。そして、解析ホスト220は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする(図19の(2)参照)。
次に、ある特定のサービスを提供するサーバ230を動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は(図19の(3)参照)、サーバ230は、それは不正アクセスであると判断する(図19の(4)参照)。そして、不正アクセスに利用された認証情報から、その認証情報を設定して解析したプログラムを特定でき、さらにこのプログラムが情報漏えいを行ったと断定できる。このため、情報漏えいを行うマルウェアを正確に特定することができる。
[サーバによる処理]
次に、図20を用いて、第二の実施形態に係るサーバ230による処理を説明する。図20は、第二の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。
図20に示すように、サーバ230の通信処理部231は、認証情報管理装置210から解析用認証情報を受信したか判定する(ステップS201)。この結果、通信処理部231は、認証情報管理装置210から解析用認証情報を受信していない場合には(ステップS201否定)、ステップS203の処理に進む。また、通信処理部231は、認証情報管理装置210から解析用認証情報を受信した場合には(ステップS201肯定)、解析用認証情報記憶部233aに記憶された比較用の解析用認証情報のリストを更新する(ステップS202)。
そして、検知部232aは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生したか否かを判定する(ステップS203)。この結果、ログインイベントが発生しなかった場合には(ステップS203否定)、ステップS201の処理に戻る。また、検知部232aは、ログインイベントが発生した場合には(ステップS203肯定)、該ログインに用いられた認証情報が解析用認証情報記憶部233aに記憶された解析用認証情報に含まれるか判定する(ステップS204)。
この結果、検知部232aは、ログインに用いられた認証情報が解析用認証情報記憶部233aに記憶された解析用認証情報に含まれていない場合には(ステップS204否定)、ログインを正常アクセスと判定して(ステップS206)、後述するステップS208の処理を行う。また、検知部232aは、ログインに用いられた認証情報が解析用認証情報記憶部233aに記憶された解析用認証情報に含まれる場合には(ステップS204肯定)、ログインを不正アクセスと判定する(ステップS205)。
続いて、検知部232aは、不正アクセスに利用された認証情報を認証情報管理装置210に通知し(ステップS207)、不正アクセスの監視を継続するか否かを判定する(ステップS208)。この結果、検知部232aは、不正アクセスの監視を継続すると判定した場合には(ステップS208肯定)、ステップS201に戻る。また、検知部232aは、不正アクセスの監視を継続しないと判定した場合には(ステップS208否定)、処理を終了する。
[第二の実施形態の効果]
上述してきたように、第二の実施形態にかかる不正アクセス検知システム200では、認証情報を生成し、生成された認証情報を解析ホスト220上で設定し、該解析ホスト220上で解析対象プログラムを動作させる。そして、認証情報を用いたコンテンツへの不正アクセスを検知し、認証情報を用いた認証情報を不正アクセスが検知された場合に、該認証情報が設定された解析ホスト220上で動作するプログラムを情報漏えいを行うプログラムとして特定する。このため、情報漏えいを行うマルウェアを正確に特定することが可能である。
また、不正アクセス検知システム200では、プログラム、特にマルウェアは耐解析機能を持っておりプログラムコードの解析や挙動の解析、通信内容の解析が一般的に困難である。本実施形態では、情報漏えいを行うコードの特定、プログラムの挙動、もしくはプログラムが外部に送信する通信の内容を解析することなく、情報漏えいを行うプログラム(マルウェア)を正確に特定できる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、生成部12aと管理部12bとを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した不正アクセス検知システム100、200における各装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係る不正アクセス検知システム100または第二の実施形態に係る不正アクセス検知システム200における各装置が実行する処理をコンピュータが実行可能な言語で記述した不正アクセス検知プログラムを作成することもできる。この場合、コンピュータが不正アクセス検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる不正アクセス検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された不正アクセス検知プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態または第二の実施形態と同様の処理を実現してもよい。
図21は、不正アクセス検知プログラムを実行するコンピュータ1000を示す図である。図21に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図21に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図21に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図21に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインタフェース1050は、図21に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図21に例示するように、例えばディスプレイ1061に接続される。
ここで、図21に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の不正アクセス検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、不正アクセス検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、不正アクセス検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10、210 認証情報管理装置
11、21、31、41、211、221、231 通信処理部
12、22、32、42、212、222、232 制御部
12a、212a 生成部
12b、212b 管理部
13、23、33、43、213、223、233 記憶部
13a、23a、33a、213a、223a、233a 解析用認証情報記憶部
20、220 解析ホスト
22a、222a 設定部
22b、222b 動作部
30、230 サーバ
32a、232a 検知部
32b 特定部
32c、42a 格納部
32d アクセス防止部
33b、43a 不正ホスト情報記憶部
40 不正アクセス情報管理装置
42b 送信部
43b サーバ情報記憶部
50、240 インターネット
100、200 不正アクセス検知システム
212c 特定部
212d 収集部
213b 悪性プログラム記憶部
232b 削除部

Claims (6)

  1. 外部に漏えいさせる認証情報を生成する生成部と、
    前記生成部によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、
    前記認証情報を用いたコンテンツへの不正アクセスを検知する検知部と、
    前記検知部によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、前記認証情報の漏えいを行うプログラムとして特定する特定部と、
    前記特定部によって特定されたプログラムと同一プログラムを、ウェブ空間から収集する収集部と、
    を備えたことを特徴とする不正アクセス検知システム。
  2. 前記生成部によって生成された認証情報を記憶する記憶部を更に備え、
    前記検知部は、前記コンテンツへのアクセスに用いられた認証情報が前記記憶部に記憶された認証情報と一致するか判定し、一致する場合には、不正アクセスとして検知することを特徴とする請求項に記載の不正アクセス検知システム。
  3. 前記特定部によって特定されたプログラムを検出し、該プログラムを検出した場合には、該プログラムを削除する削除部をさらに備えることを特徴とする請求項またはに記載の不正アクセス検知システム。
  4. 不正アクセス検知システムによって実行される不正アクセス検知方法であって、
    外部に漏えいさせる認証情報を生成する生成工程と、
    前記生成工程によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、
    前記認証情報を用いたコンテンツへの不正アクセスを検知する検知工程と、
    前記検知工程によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、前記認証情報の漏えいを行うプログラムとして特定する特定工程と、
    前記特定工程によって特定されたプログラムと同一プログラムを、ウェブ空間から収集する収集工程と、
    を含んだことを特徴とする不正アクセス検知方法。
  5. 前記生成工程によって生成された認証情報を記憶部に格納する格納工程をさらに含み、
    前記検知工程は、前記コンテンツへのアクセスに用いられた認証情報が前記記憶部に記憶された認証情報と一致するか判定し、一致する場合には、不正アクセスとして検知することを特徴とする請求項に記載の不正アクセス検知方法。
  6. 前記特定工程によって特定されたプログラムを検出し、該プログラムを検出した場合には、該プログラムを削除する削除工程をさらに含んだことを特徴とする請求項またはに記載の不正アクセス検知方法。
JP2015525135A 2013-07-05 2014-06-19 不正アクセス検知システム及び不正アクセス検知方法 Active JP6001781B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2013141772 2013-07-05
JP2013141770 2013-07-05
JP2013141772 2013-07-05
JP2013141770 2013-07-05
PCT/JP2014/066272 WO2015001969A1 (ja) 2013-07-05 2014-06-19 不正アクセス検知システム及び不正アクセス検知方法

Publications (2)

Publication Number Publication Date
JP6001781B2 true JP6001781B2 (ja) 2016-10-05
JPWO2015001969A1 JPWO2015001969A1 (ja) 2017-02-23

Family

ID=52143547

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015525135A Active JP6001781B2 (ja) 2013-07-05 2014-06-19 不正アクセス検知システム及び不正アクセス検知方法

Country Status (5)

Country Link
US (1) US10142343B2 (ja)
EP (1) EP2998901B1 (ja)
JP (1) JP6001781B2 (ja)
CN (1) CN105359156B (ja)
WO (1) WO2015001969A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3232360B1 (en) * 2015-01-28 2020-01-15 Nippon Telegraph and Telephone Corporation Malware analysis system, malware analysis method, and malware analysis program
US9553885B2 (en) 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
CN106933880B (zh) * 2015-12-31 2020-08-11 阿里巴巴集团控股有限公司 一种标签数据泄漏渠道检测方法及装置
US10270808B1 (en) 2018-03-12 2019-04-23 Capital One Services, Llc Auto-generated synthetic identities for simulating population dynamics to detect fraudulent activity
CN110661714B (zh) * 2018-06-30 2022-06-28 华为技术有限公司 发送bgp消息的方法、接收bgp消息的方法以及设备
US10333976B1 (en) 2018-07-23 2019-06-25 Illusive Networks Ltd. Open source intelligence deceptions
US10404747B1 (en) 2018-07-24 2019-09-03 Illusive Networks Ltd. Detecting malicious activity by using endemic network hosts as decoys
US10382483B1 (en) 2018-08-02 2019-08-13 Illusive Networks Ltd. User-customized deceptions and their deployment in networks
US10333977B1 (en) 2018-08-23 2019-06-25 Illusive Networks Ltd. Deceiving an attacker who is harvesting credentials
US10432665B1 (en) 2018-09-03 2019-10-01 Illusive Networks Ltd. Creating, managing and deploying deceptions on mobile devices
US11151576B2 (en) 2019-04-05 2021-10-19 At&T Intellectual Property I, L.P. Authorizing transactions using negative pin messages

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10124457A (ja) * 1996-10-25 1998-05-15 Hitachi Ltd ユーザ認証方法
JP2006099590A (ja) * 2004-09-30 2006-04-13 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
US20070261112A1 (en) * 2006-05-08 2007-11-08 Electro Guard Corp. Network Security Device
JP2012083849A (ja) * 2010-10-07 2012-04-26 Hitachi Ltd マルウェア検知装置、及びその方法とプログラム
JP2014110046A (ja) * 2012-11-30 2014-06-12 Nhn Business Platform Corp 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7093291B2 (en) * 2002-01-28 2006-08-15 Bailey Ronn H Method and system for detecting and preventing an intrusion in multiple platform computing environments
US9678967B2 (en) * 2003-05-22 2017-06-13 Callahan Cellular L.L.C. Information source agent systems and methods for distributed data storage and management using content signatures
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US8321910B1 (en) * 2005-01-21 2012-11-27 Trend Micro, Inc. Determining the source of malware
US7665134B1 (en) * 2005-01-26 2010-02-16 Symantec Corporation Profiling users based on artificially constructed deceptive content
US8819825B2 (en) * 2006-05-31 2014-08-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for generating bait information for trap-based defenses
US7814549B2 (en) * 2006-08-03 2010-10-12 Symantec Corporation Direct process access
US8220049B2 (en) * 2006-12-28 2012-07-10 Intel Corporation Hardware-based detection and containment of an infected host computing device
WO2009032379A1 (en) 2007-06-12 2009-03-12 The Trustees Of Columbia University In The City Of New York Methods and systems for providing trap-based defenses
US9009829B2 (en) * 2007-06-12 2015-04-14 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for baiting inside attackers
CN101960465A (zh) * 2008-03-03 2011-01-26 日本电气株式会社 机密信息泄漏防止系统和机密信息泄漏防止方法
US9130986B2 (en) * 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US9015842B2 (en) * 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US8695094B2 (en) * 2008-06-24 2014-04-08 International Business Machines Corporation Detecting secondary infections in virus scanning
US8181250B2 (en) * 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
US8650630B2 (en) * 2008-09-18 2014-02-11 Alcatel Lucent System and method for exposing malicious sources using mobile IP messages
US9043919B2 (en) * 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US9047458B2 (en) * 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
JP2011053893A (ja) * 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
US8528091B2 (en) * 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US8949988B2 (en) * 2010-02-26 2015-02-03 Juniper Networks, Inc. Methods for proactively securing a web application and apparatuses thereof
US8549643B1 (en) * 2010-04-02 2013-10-01 Symantec Corporation Using decoys by a data loss prevention system to protect against unscripted activity
US8839433B2 (en) * 2010-11-18 2014-09-16 Comcast Cable Communications, Llc Secure notification on networked devices
US8707437B1 (en) * 2011-04-18 2014-04-22 Trend Micro Incorporated Techniques for detecting keyloggers in computer systems
KR101380966B1 (ko) 2011-08-24 2014-05-02 주식회사 팬택 휴대 단말 시스템에서의 보안 장치
CN102315992A (zh) 2011-10-21 2012-01-11 北京海西赛虎信息安全技术有限公司 非法外联检测方法
US20130103944A1 (en) * 2011-10-24 2013-04-25 Research In Motion Limited Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
US20130263226A1 (en) * 2012-01-22 2013-10-03 Frank W. Sudia False Banking, Credit Card, and Ecommerce System
EP2817760A4 (en) * 2012-02-21 2015-09-02 Logos Technologies Llc SYSTEM FOR DETECTING, ANALYZING AND CONTROLLING INFILTRATION OF COMPUTER SYSTEMS AND NETWORK
US9674258B2 (en) * 2012-02-23 2017-06-06 Yottaa Inc. System and method for context specific website optimization
US9152784B2 (en) * 2012-04-18 2015-10-06 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications
US8990944B1 (en) * 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9565202B1 (en) * 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US10185584B2 (en) * 2013-08-20 2019-01-22 Teleputers, Llc System and method for self-protecting data
US9473520B2 (en) * 2013-12-17 2016-10-18 Verisign, Inc. Systems and methods for incubating malware in a virtual organization
US9609019B2 (en) * 2014-05-07 2017-03-28 Attivo Networks Inc. System and method for directing malicous activity to a monitoring system
US9667637B2 (en) * 2014-06-09 2017-05-30 Guardicore Ltd. Network-based detection of authentication failures
US9740877B2 (en) * 2015-09-22 2017-08-22 Google Inc. Systems and methods for data loss prevention while preserving privacy
US9942270B2 (en) * 2015-12-10 2018-04-10 Attivo Networks Inc. Database deception in directory services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10124457A (ja) * 1996-10-25 1998-05-15 Hitachi Ltd ユーザ認証方法
JP2006099590A (ja) * 2004-09-30 2006-04-13 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
US20070261112A1 (en) * 2006-05-08 2007-11-08 Electro Guard Corp. Network Security Device
JP2012083849A (ja) * 2010-10-07 2012-04-26 Hitachi Ltd マルウェア検知装置、及びその方法とプログラム
JP2014110046A (ja) * 2012-11-30 2014-06-12 Nhn Business Platform Corp 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6014038916; 八木 毅: '攻撃空間の探索範囲を拡大するFTPハニーポットの設計' CSS2012コンピュータセキュリティシンポジウム2012論文集[CD-ROM] Vol.2012,No.3, 20121023, 第823〜827頁, 一般社団法人情報処理学会 コンピュータセキュリティ *
JPN6014038918; 八木 毅: 'マルウェアを用いたWebサイト改ざん手法の分析' 電子情報通信学会技術研究報告 Vol.111,No.82, 20110609, 第75〜80頁, 社団法人電子情報通信学会 *

Also Published As

Publication number Publication date
JPWO2015001969A1 (ja) 2017-02-23
CN105359156A (zh) 2016-02-24
CN105359156B (zh) 2018-06-12
EP2998901A4 (en) 2016-12-21
US20160373447A1 (en) 2016-12-22
WO2015001969A1 (ja) 2015-01-08
EP2998901B1 (en) 2020-06-17
US10142343B2 (en) 2018-11-27
EP2998901A1 (en) 2016-03-23

Similar Documents

Publication Publication Date Title
JP6001781B2 (ja) 不正アクセス検知システム及び不正アクセス検知方法
US20230216869A1 (en) Method and system for detecting restricted content associated with retrieved content
JP7084778B2 (ja) 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法
US9917864B2 (en) Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
US9531740B2 (en) Software program identification based on program behavior
US9390268B1 (en) Software program identification based on program behavior
Sukwong et al. Commercial antivirus software effectiveness: an empirical study
US9710646B1 (en) Malware detection using clustering with malware source information
JP2010079901A (ja) アプリケーションの評判に応じて段階的に制限を実施する方法およびそのコンピュータプログラム
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
Sharp An introduction to malware
US20240045954A1 (en) Analysis of historical network traffic to identify network vulnerabilities
US20230007013A1 (en) Visualization tool for real-time network risk assessment
Aneja et al. Research trends in malware detection on Android devices
Kaur et al. An empirical analysis of crypto-ransomware behavior
US20230283632A1 (en) Detecting malicious url redirection chains
Anand et al. Comparative study of ransomwares
Kumar et al. A review on 0-day vulnerability testing in web application
Blåfield Different types of keyloggers: Mitigation and risk relevancy in modern society
Jamuradovich SEARCHING FOR WAYS TO IMPROVE THE EFFECTIVENESS OF TOOLS FOR DETECTING INFECTED FILES OF COMPUTER SYSTEMS
Fresia Macos X Malware Analysis
Deep et al. Security In Smartphone: A Comparison of Viruses and Security Breaches in Phones and Computers
Aliabbas INFORMATION AND WEB TECHNOLOGIES
JP6296915B2 (ja) 解析装置及び解析方法及びプログラム
Patel et al. Malware Detection Using Yara Rules in SIEM

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160830

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160901

R150 Certificate of patent or registration of utility model

Ref document number: 6001781

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150