JP6081386B2 - 情報共有装置、情報共有方法、および、情報共有プログラム - Google Patents

情報共有装置、情報共有方法、および、情報共有プログラム Download PDF

Info

Publication number
JP6081386B2
JP6081386B2 JP2014015553A JP2014015553A JP6081386B2 JP 6081386 B2 JP6081386 B2 JP 6081386B2 JP 2014015553 A JP2014015553 A JP 2014015553A JP 2014015553 A JP2014015553 A JP 2014015553A JP 6081386 B2 JP6081386 B2 JP 6081386B2
Authority
JP
Japan
Prior art keywords
information
attack
terminal
service
sharing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014015553A
Other languages
English (en)
Other versions
JP2015142324A (ja
Inventor
博 胡
博 胡
邦夫 波戸
邦夫 波戸
祐一 村田
祐一 村田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014015553A priority Critical patent/JP6081386B2/ja
Publication of JP2015142324A publication Critical patent/JP2015142324A/ja
Application granted granted Critical
Publication of JP6081386B2 publication Critical patent/JP6081386B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、情報共有装置、情報共有方法、および、情報共有プログラムに関する。
携帯端末の高機能化とネットワークの多様化により、携帯端末がサイバー攻撃の攻撃元の端末として利用されてしまうことがある(非特許文献1,2参照)。
Adrienne Porter Felt他、"A Survey of Mobile Malware in the Wild"、2011年 Aubrey-Derrick Schmidt他、"Smartphone Malware Evolution Revisited: Android Next Target?"、2009年
このような攻撃が発生した場合、攻撃元の情報として攻撃元の端末のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等のネットワーク空間の識別情報しか特定できない。このため、当該端末で利用しているアプリケーションが攻撃の原因だった場合、原因の特定が困難であるという問題があった。そこで本発明は、前記した問題を解決し、サイバー攻撃の原因を迅速に特定することを目的とする。
前記した課題を解決するために、本発明は、攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力部と、端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、自身の情報共有装置の属するシステムである自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報と、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報とを記憶する記憶部と、前記攻撃元の端末の識別情報および前記所属システム情報を参照して、当該端末が収容されるシステムを特定する所属システム特定部と、前記特定されたシステムが自システムであるとき、前記システム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断部と、前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定部と、前記決定された共有先へ、前記攻撃情報を送信する共有情報送信部と、前記入力部経由で、他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記攻撃情報と前記提供サービス情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析部とを備えることを特徴とする。
本発明によれば、サイバー攻撃の原因を迅速に特定することができる。
図1は、通信システムの構成例を示す図である。 図2は、図1の通信システムの処理の一例を示す図である。 図3は、図1の通信システムの処理の一例を示す図である。 図4は、図1の情報共有装置の機能ブロック図である。 図5は、図4の所属システム情報の一例を示す図である。 図6は、図4のサービス提供元システム情報の一例を示す図である。 図7は、図4のシステム相互接続情報の一例を示す図である。 図8は、図4の識別情報変換テーブルの一例を示す図である。 図9は、図4の提供サービス情報の一例を示す図である。 図10は、図4の情報共有装置の処理手順を示すフローチャートである。 図11は、図10の情報共有判断処理の処理手順を示すフローチャートである。 図12は、図10の情報共有先決定処理の処理手順を示すフローチャートである。 図13は、原因分析処理の処理手順を示すフローチャートである。 図14は、原因分析処理の具体例を説明するための図である。 図15は、情報共有プログラムを実行するコンピュータを示す図である。
以下、図面を参照しながら、本発明の実施形態を説明する。なお、この実施形態によりこの発明が限定されるものではない。
(第1の実施形態)
図1を用いて各実施形態の通信システムの構成を説明する。通信システムは、複数の事業者のシステムにより構成され、例えば、様々なWebサービスを提供するサービス事業者のシステムと、端末20(例えば、携帯電話機)に対し、移動通信網による通信サービスを提供する移動通信事業者のシステムと、端末20に対しアプリケーション(以下、適宜、アプリと略す)の配信等のサービスを提供するアプリケーション配信事業者のシステムとを備える。
サービス事業者のシステムは、例えば、サーバ30等のWebサーバを用いてサービスを提供したり、インターネット網を用いてインターネット接続サービスを提供したりするシステムである。このサービス事業者のシステムは、インターネット網や、インターネット網に接続されるサーバ30等を備える。
移動通信事業者のシステムは、3G(第3世代移動通信システム)や、LTE(Long Term Evolution)等の移動通信網を備え、この移動通信網により端末20(20A〜20C等)の通信サービスを提供する。
アプリケーション配信事業者のシステムは、端末20に対し、アプリケーションの配信等のサービスを提供するサーバ40を備える。このサーバ40は、例えば、端末20に対し各種アプリケーション(アプリA,アプリB等)を配信するアプリケーション配信サーバである。
これらのシステムはそれぞれ、監視装置60、セキュリティ管理装置50、情報共有装置10(10A〜10C)を備え、インターネット等のネットワークにより接続される。破線で示す制御装置70については、システムが装備する場合と装備しない場合とがあり、装備する場合については後記する。
監視装置60は、自システム内の装置やネットワークの監視を行い、攻撃を検知した場合、その攻撃内容を示す攻撃情報をセキュリティ管理装置50へ送信する。
セキュリティ管理装置50は、監視装置60から受信した攻撃情報を情報共有装置10へ送信する。また、このセキュリティ管理装置50は、監視装置60や、情報共有装置10から送信された攻撃情報を蓄積し、システムの管理者等の指示入力に基づき、これらの攻撃情報を出力するようにしてもよい。
情報共有装置10は、セキュリティ管理装置50経由で攻撃情報を受信する。前記したとおり攻撃情報は、サイバー攻撃の攻撃内容を示した情報であり、攻撃元の端末20の識別情報を含む。この攻撃情報は、攻撃先の端末20の識別情報や、攻撃の種別、攻撃の日時等を含んでいてもよい。そして、情報共有装置10は、受信した攻撃情報の内容から、当該攻撃情報を他のシステムの情報共有装置10と共有すべきかを否かを判断し、共有すべきと判断したとき、この攻撃情報を他のシステムへ送信する。
例えば、サービス事業者のシステムにおいてサーバ30に対するDDoS攻撃(Distributed Denial of Service attack)が検知された場合を考える。この場合、情報共有装置10Aは、受信した攻撃情報から、サーバ30への攻撃元の端末20が端末20A,20Bであり、これらの端末20A,20Bの属するシステム(移動通信事業者のシステム)を特定する。そして、情報共有装置10Aは、この攻撃情報を、移動通信事業者のシステムの情報共有装置10Bへ送信する。
情報共有装置10Aからの攻撃情報を受信した情報共有装置10Bは、攻撃元の端末20A,20Bが利用している他のシステムのサービス(アプリケーション)があるか否かを確認し、利用しているサービスがあれば、そのサービスの提供元のシステムに対し、攻撃情報を送信する。例えば、端末20A,20Bが、アプリケーション配信事業者のサービス(サーバ40によるアプリケーション配信)を利用していた場合、このアプリケーション配信事業者のシステムの情報共有装置10Cへ攻撃情報を送信する。
情報共有装置10Bからの攻撃情報を受信した情報共有装置10Cは、攻撃情報に含まれる攻撃元の端末20A,20Bの識別情報から、これらの端末20へ配信したアプリケーション(例えば、アプリA)を特定する。そして、このアプリケーションの配信停止等を行う。
以上の処理を、具体例を交えながら、詳細に説明する。例えば、図2に示すように、アプリケーション配信事業者のサーバ40からマルウェアを含むアプリAが端末20A,20Bに配信され((1)アプリA(マルウェア)配信)、これが原因となりサービス事業者のシステムのサーバ30への攻撃が行われた場合を考える((2)攻撃)。この場合、攻撃を検知したサービス事業者のシステムの情報共有装置10Aは、端末20A,20Bが収容される移動通信事業者のシステムへ攻撃情報を送信する((3)攻撃情報)。この攻撃情報は、例えば、攻撃先アドレス(サーバ30のアドレス)および攻撃元アドレス(端末20A,20Bのアドレス)を含む。
移動通信事業者のシステムの情報共有装置10Bは、受信した攻撃情報に含まれる攻撃元アドレス(例えば、端末20A,20BのIPアドレス)から、攻撃元の端末20A,20Bの端末番号(例えば、携帯電話機の番号)を特定する((4)番号を特定)。そして、情報共有装置10Bは、この端末番号から、端末20A,20Bが利用しているアプリケーションの提供事業者のシステムを特定し、この特定したシステムに対し、端末20A,20Bの番号情報(端末番号)を送信する((5)番号情報)。
アプリケーション配信事業者のシステムの情報共有装置10Cは、受信した番号情報から、端末20A,20Bへ配信したアプリ(アプリA)を特定する((6)アプリを特定)。
その後、例えば、図3に示すようにアプリケーション配信事業者のシステムにおいて、サーバ40から、アプリAを削除したり、移動通信事業者のシステムにおいて、端末20A,20Bからの通信を遮断(攻撃遮断)したり、端末20A,20Bに対するアプリAの削除指示をしたりする等の対応策がとられる。
このようにすることで、端末20へ提供されたサービス(例えば、アプリケーションの配信等)が原因となってサイバー攻撃が発生した場合でも、攻撃原因となったサービスや端末20に対し、迅速かつ効率的な対応をすることができる。
次に、図4を用いて、各システムの情報共有装置10について説明する。
情報共有装置10は、入出力部(入力部および出力部)11と、記憶部12と、制御部13とを備える。
入出力部11は、情報共有装置10への各種情報の入力および情報共有装置10からの各種情報の出力を司る。例えば、入出力部11は、システム内のセキュリティ管理装置50から攻撃情報の入力を受け付けたり、他の情報共有装置10への攻撃情報を出力したりする。この入出力部11は、外部装置との間で情報の入出力や通信を行うためのインタフェースにより実現される。
記憶部12は、所属システム情報と、サービス提供元システム情報と、システム相互接続情報と、識別情報変換テーブルと、提供サービス情報とを記憶する。この記憶部12は、RAM(Random Access Memory)やHDD(Hard Disk Drive、ハードディスクドライブ)等の記憶手段により実現される。
所属システム情報は、端末20の識別情報(例えば、IPアドレス)ごとに、当該端末が収容されるシステムの識別情報を示した情報である。この所属システム情報は、自システム(自身の情報共有装置10の属するシステム)の端末20の識別情報のみならず、自システムに接続される他のシステムの端末20の識別情報も含む。例えば、図5に示す所属システム情報において、IPアドレスが「aaa」である端末20が収容される(所属する)システムは「サービス事業者(ISP)A」のシステムであり、IPアドレスが「bbb」である端末20が収容されるシステムは「移動通信事業者B」のシステムであることを示す。
サービス提供元システム情報は、自システムで収容する端末20が他のシステムのサービスを利用している場合、当該サービスの提供元のシステムの識別情報を示した情報である。例えば、図6に示すサービス提供元システム情報において、IPアドレスが「bbb」である端末20が利用しているサービス(例えば、アプリケーション)の提供元は「アプリケーション配信事業者C」のシステムであり、IPアドレスが「ccc」である端末20が利用しているサービスの提供元は「アプリケーション配信事業者D」のシステムであることを示す。
システム相互接続情報は、自システムの端末20に対しサービスを提供するシステム、および、自システムに接続される他のシステムを示した情報である。例えば、図7の符号102に示すシステム相互接続情報は、サービス事業者Aのシステム(例えば、インターネット網)と、移動通信事業者Bのシステム(例えば、移動通信網)とが相互に接続されることを示す。また、移動通信事業者Bのシステムと、アプリ配信事業者Cのシステム(例えば、アプリ配信サーバ)とが相互に接続されていることを示す。
なお、図7に例示するシステム相互接続情報において、相互接続されるシステムがそれぞれ同じレイヤのサービスを提供している場合、それぞれのシステムを同じ高さに配し、異なるレイヤのサービスを提供している場合は、それぞれのシステムを異なる高さに配する。例えば、図7においてサービス事業者Aのシステムと、移動通信事業者Bのシステムとは同じレイヤのサービス(通信サービス)を提供していることを示す。また、アプリ配信事業者Cのシステムは、移動通信事業者Bのシステムからみて上位レイヤのサービス(アプリケーション配信サービス)を提供していることを示す。
識別情報変換テーブルは、自システムで収容する端末20の識別情報と、当該端末20の他のシステムにおける識別情報とを対応付けて示した情報である。例えば、自システムにおいて用いられる端末20の識別情報がIPアドレスであり、他のシステムで用いられる端末20の識別情報が端末番号である場合を考える。このような場合、識別情報変換テーブルは、図8に示すように、自システムで収容する端末20のIPアドレスごとに、当該IPアドレスに対応する端末番号を示す情報となる。図8に示す識別情報変換テーブルは、IPアドレスが「bbb」である端末20の端末番号は「ddd」であることを示す。このような識別情報変換テーブルを備えることで、例えば、端末20が携帯電話機である場合、ISP等のIPで通信を行うサービス事業者のシステムでは、端末20の識別情報としてIPアドレスが用いられ、移動通信事業者のシステムでは、端末番号(電話番号等)が用いられる場合でも、識別情報の変換を行うことができる。
提供サービス情報は、端末20の識別情報ごとに、当該端末20に提供しているサービスの識別情報を示した情報である。例えば、図9に示す提供サービス情報は、自システムで提供しているサービスがアプリケーションの配信である場合の提供サービス情報を示す。図9に示す提供サービス情報は、端末20の端末番号ごとに、当該端末20に提供しているサービスの識別情報(配信したアプリケーションの識別情報)を示す。例えば、図9に示す提供サービス情報は、端末番号「ddd」の端末20に対し、「アプリA」が配信されたことを示す。
次に、図4の制御部13を説明する。制御部13は、所属システム特定部130と、情報共有判断部(判断部)131と、共有先決定部132と、共有情報送信部133と、変換部134と、原因分析部135とを備える。破線で示す共有情報決定部136については、制御部13が装備する場合と装備しない場合とがあり、装備する場合について後記する。この制御部13は、情報共有装置10の備えるCPU(Central Processing Unit)によるプログラム実行処理や専用のハードウェアにより実現される。
所属システム特定部130は、攻撃元の端末20の識別情報をもとに、当該端末20が収容されるシステムを特定する。具体的には、所属システム特定部130は、入出力部11経由で受信した攻撃情報に含まれる攻撃元の端末20の識別情報と所属システム情報(図5参照)とを参照して、当該端末20が収容されるシステムを特定する。例えば、所属システム特定部130は、攻撃元の端末20のIPアドレスをもとに所属システム情報(図5参照)を参照して、当該端末20がどのシステムに収容されるかを特定する。
情報共有判断部131は、受信した攻撃情報を他のシステムの情報共有装置10と共有するか否かを判断する。具体的には、情報共有判断部131は、まず、所属システム特定部130により特定されたシステムが自システムであるか否かを判断する。そして、特定されたシステムが他のシステムである場合、および、特定されたシステムが自システムであるが、攻撃元の端末20が他のシステムのサービスを利用している場合、他のシステムの情報共有装置10との情報共有をする、つまり攻撃情報を送信すると判断する。なお、攻撃元の端末20が他のシステムのサービスを利用しているか否かは、例えば、システム相互接続情報(図7参照)やサービス提供元システム情報(図6参照)を参照して判断される。
共有先決定部132は、攻撃情報の共有先を決定する。具体的には、共有先決定部132は、所属システム特定部130により特定されたシステムが自システムではないとき、当該システムを攻撃情報の共有先として決定する。つまり、攻撃元の端末20が自システムの端末20ではないとき、共有先決定部132は、攻撃元の端末20の収容されるシステムを攻撃情報の共有先として決定する。一方、所属システム特定部130により特定されたシステムが自システムである場合において、当該端末20が他のシステムのサービスを利用しているとき、共有先決定部132は、当該サービスの提供元のシステムを攻撃情報の共有先として決定する。なお、当該端末20が利用しているサービスの提供元のシステムは、サービス提供元システム情報(図6参照)を参照して特定する。
共有情報送信部133は、共有先決定部132により決定された共有先へ、入出力部11経由で攻撃情報を送信する。
変換部134は、必要に応じて、攻撃情報に示される攻撃元の端末20の識別情報の変換を行う。例えば、入出力部11経由で他のシステムから受け付けた攻撃情報に含まれる攻撃元の端末20の識別情報が、自システムで用いる識別情報ではない場合、識別情報変換テーブル(図8参照)を用いて、識別情報の変換を行う。具体例を挙げると、自システムでは端末20の識別情報として端末番号を用いるが、受け付けた攻撃情報には端末20のIPアドレスが記載されていた場合、識別情報変換テーブルを用いて、攻撃情報における攻撃元の端末20の識別情報(IPアドレス)を端末番号に変換する。そして、変換後の攻撃元の端末20の識別情報(端末番号)を含む攻撃情報を所属システム特定部130へ出力する。
また、共有情報送信部133において他のシステムの情報共有装置10へ攻撃情報を送信する場合において、当該他のシステムにおいて用いられる端末20の識別情報が、自システムで用いられる識別情報と異なることが分かっている場合、攻撃情報における攻撃元の端末20の識別情報を他のシステムの端末20の識別情報に変換して、共有情報送信部133へ出力してもよい。例えば、自システムで用いる端末20の識別情報はIPアドレスであるが、他のシステムで用いる端末20の識別情報が端末番号である場合、識別情報変換テーブル(図8参照)を用いて、攻撃情報における攻撃元の端末20の識別情報(IPアドレス)を端末番号に変換する。そして、変換後の攻撃元の端末20の識別情報(端末番号)を含む攻撃情報を共有情報送信部133へ出力する。
なお、情報共有装置10が他のシステムとの間で端末20の識別情報の変換を行う必要がない場合、変換部134および識別情報変換テーブルを備える必要はない。
原因分析部135は、入力された攻撃情報と提供サービス情報(図9参照)とを参照して、サイバー攻撃の原因となっているサービス(例えば、アプリケーション)の分析を行う。例えば、原因分析部135は、入出力部11経由で入力された攻撃情報に示される攻撃元の端末20の識別情報(例えば、端末番号)と、提供サービス情報(図9参照)とを参照して、攻撃元の端末20に提供されているアプリケーションを特定する。そして、原因分析部135は、当該アプリケーションを攻撃の原因として特定する。特定したアプリケーションの情報は、例えば、セキュリティ管理装置50へ送信したり、システムの管理者の端末装置(図示省略)へ送信したりする。このようにすることでシステムの管理者等は、どのアプリケーションが原因となって攻撃を引き起こしたかを知ることができ、攻撃に対する対策を迅速にとることができる。
次に、図10を用いて情報共有装置10の処理手順を説明する。まず、情報共有装置10は入出力部11経由で攻撃情報の入力を受け付けると、所属システム特定部130は、所属システム情報(図5参照)を参照して、この攻撃情報に含まれる攻撃元の端末20のシステムを特定する(S1:所属システム特定)。
次に、情報共有判断部131は、S1で特定されたシステムがどのシステムかにより、他のシステムとの間で攻撃情報を共有するか否かを判断する(S2:情報共有判断処理)。この情報共有判断処理の詳細は後記する。
S2の処理の結果、情報共有判断部131が、他のシステムとの間で攻撃情報を共有すると判断した場合(S3で「共有する」)、共有先決定部132において攻撃情報の共有先を決定する(S4:情報共有先決定処理)。この情報共有先決定処理についても詳細は後記する。
S4の後、共有情報送信部133において、S4で決定した共有先へ攻撃情報を送信する(S5)。そして処理を終了する。
一方、S2の処理の結果、情報共有判断部131が、攻撃情報を他のシステムとの間で共有しないと判断した場合(S3で「共有しない」)、原因分析部135は、入力された攻撃情報と提供サービス情報(図9参照)とを参照して、サイバー攻撃の原因となっているサービス(例えば、アプリケーション)の分析を行う(S6:原因分析)。例えば、原因分析部135は、攻撃元の端末20で利用されているアプリケーションを特定する。そして、原因分析部135は、特定したアプリケーションの情報を出力する等して処理を終了する。
このように各システムの情報共有装置10は、攻撃情報について他のシステムとの間で共有すべき場合は、当該他のシステムへ攻撃情報を送信し、共有する必要がない場合には、自システムにおいて攻撃情報に基づく攻撃原因の分析を行う。
次に、図11を用いて図10の情報共有判断処理を詳細に説明する。情報共有判断部131は、図10のS1で特定された攻撃元の端末20が収容されるシステムは、自システムではない場合(S11でNo)、攻撃情報を他のシステムとの間で共有すると判断する(S12)。一方、攻撃元の端末20が収容されるシステムが、自システムである場合(S11でYes)、情報共有判断部131は、システム相互接続情報(図7参照)を参照して、攻撃元の端末20が他のシステムのサービスを利用しているか否かを判断する(S13)。ここで、情報共有判断部131は、攻撃元の端末20が他のシステムのサービスを利用している場合(S13でYes)、情報共有判断部131は、攻撃情報を他のシステムとの間で共有すると判断する(S12)。一方、攻撃元の端末20が他のシステムのサービスを利用していない場合(S13でNo)、情報共有判断部131は、攻撃情報を他のシステムとの間で共有しないと判断する(S14)。
つまり、情報共有判断部131は、(1)攻撃元の端末20が他のシステムに属する場合、および、(2)攻撃元の端末20は自システムに属するが、他のシステムのサービスを利用している場合、攻撃情報を他のシステムとの間で共有すると判断する。
次に、図12を用いて図10の情報共有先決定処理を詳細に説明する。まず、共有先決定部132は、システム相互接続情報(図7参照)を参照し、攻撃情報の共有先が自システムと同一レイヤのシステムか、上位レイヤのシステムかを判断する(S21)。具体的には、共有先決定部132は、所属システム特定部130により特定された攻撃元の端末20の収容されるシステムが自システムと同一レイヤのシステムか、それとも、上位レイヤのシステムのサービスを利用しているシステムかを判断する。
S21で共有先決定部132が、攻撃情報の共有先が同一レイヤのシステムであると判断した場合(S21で「同一レイヤ」)、所属システム特定部130により特定されたシステムを攻撃情報の共有先として選択する(S22)。一方、共有先決定部132が、攻撃情報の共有先が上位レイヤのシステムであると判断した場合(S21で「上位レイヤ」)、サービス提供元システム情報(図6参照)を参照して、攻撃元の端末20が利用しているサービスの提供元のシステムを攻撃情報の共有先として選択する(S23)。
つまり、共有先決定部132は、攻撃元の端末20が収容されるシステムや、攻撃元の端末20が利用しているサービスの提供元のシステムを、攻撃情報の共有先として決定する。そして、共有情報送信部133は、この決定された共有先のシステム(具体的には、当該システムの情報共有装置10)へ攻撃情報を送信する。このようにすることで、攻撃の原因となっている端末20を収容するシステムや、当該端末20へサービスを提供している(例えば、アプリケーションを配信している)システムに攻撃情報が到達するので、攻撃の原因を迅速かつ効率的に特定することができる。
(第2の実施形態)
なお、情報共有装置10の原因分析部135において、攻撃の原因となっているアプリケーションを分析する際、各アプリケーションが(攻撃元の端末20で利用されている割合)/(通信システム内のすべての端末20で利用されている割合)の値(乖離度)を用いてもよい。この場合の原因分析部135の処理を、図13を用いて説明する。なお、乖離度の計算にあたり、情報共有装置10は、過去に通信システム内で発生した攻撃に関する攻撃情報を蓄積しておくものとする。
原因分析部135は、蓄積された攻撃情報に含まれる攻撃元の端末20の識別情報と、提供サービス情報(図9参照)とを参照して、各攻撃元の端末20が利用しているアプリケーションを抽出する(S31)。
S31の後、原因分析部135は、この特定したアプリケーションそれぞれについて、各攻撃元の端末20で利用されている割合と、すべての端末20で利用されている割合で乖離度を計算する(S32)。つまり、原因分析部135は、アプリケーションごとに(攻撃元の端末20で利用されている割合)/(攻撃元の端末20を含む各端末20で利用されている割合)の値(乖離度)を計算する。そして、原因分析部135は、乖離度が最も高いアプリケーションを攻撃の原因として特定する(S33)。
このようにすることで、通信システム内の端末20全体で利用されている割合に対し、攻撃元の端末20において利用されている割合が高いアプリケーションを、攻撃の原因として特定できる。
このような原因分析処理の具体例を、図14を用いて説明する。ここでは、例えば、通信システムにおいて攻撃元の端末20と判断された端末20の台数は100台であり、このうち、アプリBは80台の端末20により利用され、アプリCは60台の端末20により利用されている場合を考える。また、通信システム全体の端末20の台数は10万台であり、このうち、アプリBは5万台の端末20に利用され、アプリCは500台の端末20に利用されているものとする。
このような場合、アプリBが攻撃元の端末20で利用されている割合は80台/100台=80%であり、アプリBが通信システム内のすべての端末20で利用されている割合は5万台/10万台=50%である。よって、アプリBの乖離度は、80%/50%=1.6である。
また、アプリCが攻撃元の端末20で利用されている割合は60台/100台=60%であり、アプリCが通信システム内のすべての端末20で利用されている割合は500台/10万台=0.5%である。よって、アプリCの乖離度は、60%/0.5%=120である。
よって、原因分析部135は、通信システム全体としての利用の割合に対し、乖離度が最も高いアプリCを攻撃の原因として特定する。
なお、原因分析部135は、乖離度が最も高いアプリケーション以外にも、乖離度が所定の閾値以上となっているアプリケーションを攻撃の原因として特定してもよい。また、原因分析部135は、乖離度以外の値を用いて、攻撃元の端末20で共通して用いられている度合いが高いアプリケーションを特定するようにしてもよい。
(その他の実施形態)
なお、前記した各実施形態の共有情報送信部133は、他のシステムの情報共有装置10から受信した攻撃情報を、自システムのセキュリティ管理装置50へ送信するようにしてもよい。このようにすることで、セキュリティ管理装置50において、自システムの端末20が原因となった攻撃に関するセキュリティ情報を蓄積することができる。
なお、各実施形態の情報共有装置10は、図4の破線で示す共有情報決定部136をさらに備えていてもよい。この、共有情報決定部136は、他のシステムの情報共有装置10との間で共有する攻撃情報の内容を決定する。具体的には、共有情報決定部136は、入力された攻撃情報から、攻撃先の端末20の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかの項目に関する情報を選択する。そして、共有情報送信部133は、共有情報決定部136により選択された情報を含む攻撃情報を、共有先のシステムへ送信する。なお、共有情報決定部136が攻撃情報のどの項目に関する情報を他のシステムの情報共有装置10との間で共有するかは、例えば、各システムの管理者等が設定しておくものとする。
このようにすることで、他のシステムとの間で共有する攻撃情報の内容を各システムの管理者等が選択することができる。例えば、他のシステムと共有する攻撃情報として攻撃元の端末20の識別情報のみならず、攻撃先の端末20の識別情報、攻撃の種別、および、攻撃の日時に関する情報を含めるようにすることで、より多くの情報からなる攻撃情報を他のシステムへ提供することができる。また、他のシステムの情報共有装置10において、より多くの情報に基づく攻撃原因の分析を行わせることができ、また、セキュリティ管理装置50により多くの情報を蓄積させることができる。
なお、各実施形態において各情報共有装置10が保持するシステム相互接続情報(図7参照)は、図7の符号102に例示するような、通信システム間のすべてのシステム間の接続関係を示した情報に限定されない。例えば、自システムに隣接するシステムとの接続関係を示す情報のみを保持するようにしてもよい。具体例を挙げると、図7に示すシステム相互接続情報のうち、情報共有装置10Aは符号101に示す情報を保持し、情報共有装置10Bは符号102に示す情報を保持し、情報共有装置10Cは符号103に示す情報を保持するようにしてもよい。
さらに、各実施形態のシステムは、図1の制御装置70を備えるようにしてもよい。この制御装置70は、セキュリティ管理装置50からの指示に基づき、自システム内の装置(例えば、端末20)に対する接続制御等を行う。例えば、移動通信事業者のシステムのセキュリティ管理装置50は、情報共有装置10Bが受信した攻撃情報に基づき、攻撃元の端末20が端末20A,20Bであるという情報を得た場合を考える。この場合、セキュリティ管理装置50は、制御装置70に対し、端末20A,20Bの接続制御を指示する。この指示に基づき制御装置70は、端末20A,20Bに対し移動通信網経由で外部に接続できないような接続制御を行う(図3の「攻撃遮断」参照)。このようにすることで、攻撃元の端末20による攻撃の被害が拡大することを防止できる。
また、各実施形態の情報共有装置10は、攻撃の原因となるアプリケーションを特定したとき、このアプリケーションの配信を行うサーバ(例えば、サーバ40)に対し、当該アプリケーションの削除を指示するようにしてもよい。このようにすることでも、攻撃元の端末20による攻撃の被害が拡大することを防止できる。
なお、各実施形態において、システム相互接続情報とサービス提供元システム情報とは別個の情報として説明したが、サービス提供元システム情報の内容を、システム相互接続情報に含めるようにしてもよい。この場合、各システム内の端末20が利用しているサービスの提供元のシステムは、システム相互接続情報を参照して特定される。
(プログラム)
また、上記実施形態に係る情報共有装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、情報共有装置10と同様の機能を実現する情報共有プログラムを実行するコンピュータの一例を説明する。
図15に示すように、情報共有プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図15に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、情報共有プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した情報共有装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、情報共有プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、情報共有プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、情報共有プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 情報共有装置
11 入出力部
12 記憶部
13 制御部
20 端末
30,40 サーバ
50 セキュリティ管理装置
60 監視装置
70 制御装置
130 所属システム特定部
131 情報共有判断部
132 共有先決定部
133 共有情報送信部
134 変換部
135 原因分析部
136 共有情報決定部

Claims (7)

  1. 攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力部と、
    端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、自身の情報共有装置の属するシステムである自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報と、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報とを記憶する記憶部と、
    前記攻撃元の端末の識別情報および前記所属システム情報を参照して、当該端末が収容されるシステムを特定する所属システム特定部と、
    前記特定されたシステムが自システムであるとき、前記システム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断部と、
    前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、
    前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定部と、
    前記決定された共有先へ、前記攻撃情報を送信する共有情報送信部と、
    前記入力部経由で、他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記攻撃情報と前記提供サービス情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析部と、
    を備えることを特徴とする情報共有装置。
  2. 前記記憶部は、さらに、
    自システムの端末の識別情報ごとに、当該端末の自システムに接続される他のシステムで用いられる識別情報を示した識別情報変換テーブルをさらに備え、
    前記情報共有装置は、さらに、
    前記攻撃元の端末が自システムの端末である場合において、前記他のシステムからの前記攻撃情報の入力を受け付けた際、前記識別情報変換テーブルを参照して、前記攻撃元の端末の識別情報を自システムで用いる識別情報へ変換する変換部を備えることを特徴とする請求項1に記載の情報共有装置。
  3. 前記原因分析部が、前記攻撃の原因となっているサービスを特定するとき、
    前記攻撃情報と前記提供サービス情報とを参照して、前記サービスが、前記攻撃元の端末に提供されている割合と、前記攻撃元の端末を含む各端末に提供されている割合とを計算し、前記計算したそれぞれの割合に基づき、前記攻撃の原因となっているサービスを特定することを特徴とする請求項1または請求項2に記載の情報共有装置。
  4. 前記攻撃情報は、さらに、攻撃先の端末の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかを含み、
    前記共有情報送信部は、さらに、前記攻撃情報を、自システムのセキュリティ情報を蓄積するセキュリティ管理装置へ送信することを特徴とする請求項1ないし請求項3のいずれか1項に記載の情報共有装置。
  5. 前記情報共有装置は、さらに、
    前記攻撃情報のうち、攻撃先の端末の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかの項目に関する情報を選択する共有情報決定部を備え、
    前記共有情報送信部は、前記攻撃元の端末の識別情報と、前記選択された項目の情報とを含む攻撃情報を、前記共有先へ送信することを特徴とする請求項4に記載の情報共有装置。
  6. 攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力ステップと、
    端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、前記攻撃元の端末の識別情報とを参照して、当該端末が収容されるシステムを特定する所属システム特定ステップと、
    前記特定されたシステムが自身の情報共有装置の属するシステムである自システムであるとき、自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断ステップと、
    前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定ステップと、
    前記決定された共有先へ、前記攻撃情報を送信する共有情報送信ステップと、
    他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報と前記攻撃情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析ステップと、
    をコンピュータが実行することを特徴とする情報共有方法。
  7. 攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力ステップと、
    端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、前記攻撃元の端末の識別情報とを参照して、当該端末が収容されるシステムを特定する所属システム特定ステップと、
    前記特定されたシステムが自身の情報共有装置の属するシステムである自システムであるとき、自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断ステップと、
    前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定ステップと、
    前記決定された共有先へ、前記攻撃情報を送信する共有情報送信ステップと、
    他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報と前記攻撃情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析ステップと、
    をコンピュータに実行させることを特徴とする情報共有プログラム。
JP2014015553A 2014-01-30 2014-01-30 情報共有装置、情報共有方法、および、情報共有プログラム Active JP6081386B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014015553A JP6081386B2 (ja) 2014-01-30 2014-01-30 情報共有装置、情報共有方法、および、情報共有プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014015553A JP6081386B2 (ja) 2014-01-30 2014-01-30 情報共有装置、情報共有方法、および、情報共有プログラム

Publications (2)

Publication Number Publication Date
JP2015142324A JP2015142324A (ja) 2015-08-03
JP6081386B2 true JP6081386B2 (ja) 2017-02-15

Family

ID=53772392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014015553A Active JP6081386B2 (ja) 2014-01-30 2014-01-30 情報共有装置、情報共有方法、および、情報共有プログラム

Country Status (1)

Country Link
JP (1) JP6081386B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106921637B (zh) * 2015-12-28 2020-02-14 华为技术有限公司 网络流量中的应用信息的识别方法和装置
US10536478B2 (en) * 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
JP6715751B2 (ja) * 2016-11-30 2020-07-01 Kddi株式会社 通信監視装置、通信監視方法及び通信監視プログラム
JP6698507B2 (ja) * 2016-12-05 2020-05-27 Kddi株式会社 通信監視装置、通信監視方法及び通信監視プログラム
JP6915457B2 (ja) * 2017-08-28 2021-08-04 富士通株式会社 サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
FR3086821A1 (fr) * 2018-09-28 2020-04-03 Orange Procedes de collaboration et de demande de collaboration entre services de protection associes a au moins un domaine, agents et programme d’ordinateur correspondants.
WO2021144978A1 (ja) * 2020-01-17 2021-07-22 三菱電機株式会社 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4135094B2 (ja) * 2003-11-28 2008-08-20 横河電機株式会社 パケット経路追跡システム
JP2005275683A (ja) * 2004-03-24 2005-10-06 Mitsubishi Electric Corp 侵入経路追跡システム
JP4670690B2 (ja) * 2006-03-14 2011-04-13 日本電気株式会社 アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム

Also Published As

Publication number Publication date
JP2015142324A (ja) 2015-08-03

Similar Documents

Publication Publication Date Title
JP6081386B2 (ja) 情報共有装置、情報共有方法、および、情報共有プログラム
US10348740B2 (en) Systems and methods for threat analysis of computer data
US10554691B2 (en) Security policy based on risk
KR102175193B1 (ko) 자동 장치 탐지를 위한 시스템 및 방법
EP3646549B1 (en) Firewall configuration manager
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
WO2016160595A1 (en) System and method for threat-driven security policy controls
WO2016160599A1 (en) System and method for threat-driven security policy controls
US11316861B2 (en) Automatic device selection for private network security
US12039043B2 (en) Customer premises equipment implementation of dynamic residential threat detection
JP2024526115A (ja) コンテナ化されたクロスドメインソリューション
JP6649296B2 (ja) セキュリティ対処案設計装置及びセキュリティ対処案設計方法
CN105592049A (zh) 一种攻击防御规则的开启方法和装置
US10887218B2 (en) Enhanced dynamic encryption packet segmentation
US12063232B2 (en) Hybrid customer premises equipment and cloud-based implementation of dynamic residential threat detection
CN113922972B (zh) 基于md5标识码的数据转发方法和装置
CN111492621B (zh) 用于控制分组传输的服务器和方法
US11523293B1 (en) Wireless network monitoring system
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
US12088618B2 (en) Methods and systems for asset risk determination and utilization for threat mitigation
US20230412631A1 (en) Methods and systems for system vulnerability determination and utilization for threat mitigation
RU2776349C1 (ru) Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных
KR20130085502A (ko) 복수의 호스트와 서버간의 패킷의 전송을 제어하는 방법 및 부하 분산 장치, 그리고 부하 분산 장치로부터 패킷을 수신하는 방법 및 서버
CN115150129A (zh) 容器安全控制及容器处理方法、电子设备及存储介质
KR20170009073A (ko) 공유기 보안 침해 점검 방법 및 이를 수행하는 시스템

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170118

R150 Certificate of patent or registration of utility model

Ref document number: 6081386

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150