JP6527111B2 - 解析装置、解析方法および解析プログラム - Google Patents
解析装置、解析方法および解析プログラム Download PDFInfo
- Publication number
- JP6527111B2 JP6527111B2 JP2016118978A JP2016118978A JP6527111B2 JP 6527111 B2 JP6527111 B2 JP 6527111B2 JP 2016118978 A JP2016118978 A JP 2016118978A JP 2016118978 A JP2016118978 A JP 2016118978A JP 6527111 B2 JP6527111 B2 JP 6527111B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- url
- access
- client environment
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、解析装置、解析方法および解析プログラムに関する。
従来、インシデント対応組織(例えば、CERT、CSIRT等)は、監視対象の組織内で発生したセキュリティインシデントに対して、その全容を解明することで、発生原因や被害影響範囲を特定するとともに、再発防止に向けて関係各所へ情報共有する取り組みを実施している。インシデント対応組織が扱うインシデントの中でも、特にウェブを通じてクライアントをマルウェアに感染させるドライブバイダウンロード攻撃(Drive−By Download攻撃)は多くの組織で観測されており、主要な脅威の一つとなっている(非特許文献1参照)。
ドライブバイダウンロード攻撃は、攻撃の起点となるウェブサイト(以下、入口URLと呼ぶ。)にアクセスしたクライアントを、主にHTMLタグやJavaScript(登録商標)を用いて複数のウェブサイト(以下、踏台URLと呼ぶ。)へ転送した後、攻撃コードを実行する悪性なウェブサイト(以下、攻撃URLと呼ぶ。)へ転送する。クライアントが攻撃URLにアクセスすると、ブラウザやブラウザのプラグイン(以下、プラグインと呼ぶ。)の脆弱性を悪用する攻撃コードが実行され、クライアントは特定のウェブサイト(以下、マルウェア配布URLと呼ぶ。)からコンピュータウィルスなどの悪性プログラム(マルウェア)をダウンロードや、インストールしてしまう。
攻撃URLで使用される攻撃コードは、幅広いアプリケーション(例えば、ブラウザはInternet Explorer、Firefox、Operaなど、プラグインはAdobe Acrobat、Adobe Flash Player、Oracle Java(登録商標) Runtime Environmentなど)の脆弱性を悪用する。悪用される脆弱性の種類は、OSやブラウザ、プラグインの種類やバージョン(以下、クライアント環境と呼ぶ。)ごとに細分化しており、多岐にわたる。そのため攻撃者は、主に踏台URLにおいてアクセスしてきたクライアント環境の構成を特定するブラウザフィンガープリンティング(Browser Fingerprinting)を用いることで、攻撃対象となるクライアント環境のみを攻撃URLへ転送する攻撃(以下、環境依存攻撃と呼ぶ。)を行うことで、攻撃の成功率を向上させている(非特許文献2参照)。
ドライブバイダウンロード攻撃を検知する手法は、マルウェア配布URLからマルウェアをダウンロードすることにより生じるファイルシステムの変化を検知する手法(例えば、非特許文献3)やJavaScriptをブラウザのエミュレータ(以下、ブラウザエミュレータと呼ぶ。)で実行し、実行結果を解析することで悪性なJavaScriptを検知する手法(例えば、非特許文献4)等が知られている。
また、環境依存攻撃を解析する手法は、ブラウザフィンガープリンティングで取得した環境情報がプログラム中の条件分岐文に使用されたことを検知し、転送先URLとなり得るURLを網羅的に抽出する手法が知られている(非特許文献2参照)。
IBM,"2015年下半期 Tokyo SOC 情報分析レポート 公開"[平成28年3月14日検索],インターネット<https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/tokyo_soc_report2015_h2?lang=ja>
C. Kolbitsch, B. Livshits, B. Zorn, and C. Seifert,"Rozzle: De-Cloaking Internet Malware,"IEEE S&P, 2012.
L. Lu, V. Yegneswaran, P. Porras, and W. Lee, "BLADE: An Attack-Agnostic Approach for Preventing Drive-By Malware Infections,"ACM CCS, 2010.[平成28年3月14日検索],インターネット<http://www.csl.sri.com/users/vinod/papers/blade.pdf>
M. Cova, C. Krugel, and G. Vigna, "Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code,"WWW 2010.[平成28年3月14日検索],インターネット<http://www.cs.ucsb.edu/~vigna/publications/2010_cova_kruegel_vigna_Wepawet.pdf>
しかしながら、上記した従来の技術では、悪性URLの検知や悪性URLの抽出はできるものの、悪性URLへの転送対象となるクライアント環境を特定できないという課題があった。つまり、従来の技術では、どのようなクライアント環境でアクセスすると、どのようなURLへ転送され、攻撃が実行されるかを特定することができなかった。
上述した課題を解決し、目的を達成するために、本発明の解析装置は、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセス部と、前記アクセス部によってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理部と、前記登録処理部によって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析部とを備えることを特徴とする。
また、本発明の解析方法は、解析装置で実行される解析方法であって、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセス工程と、前記アクセス工程によってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理工程と、前記登録処理工程によって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析工程とを含んだことを特徴とする。
また、本発明の解析プログラムは、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセスステップと、前記アクセスステップによってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理ステップと、前記登録処理ステップによって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、悪性URLへの転送対象となるクライアント環境を適切に特定できるという効果を奏する。
以下に、本願に係る解析装置、解析方法および解析プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る解析装置、解析方法および解析プログラムが限定されるものではない。
まず、図1を用いて本実施形態のシステム構成例を説明する。図1は、本実施形態のシステム構成例を示すブロック図である。システムは、例えば、図1に示すようにネットワーク1とネットワーク2とを備える。ネットワーク1とネットワーク2とはパケット転送装置50により接続される。
ネットワーク1は、解析対象ウェブサイト60および脆弱性情報掲載ウェブサイト70を備える。ネットワーク1は、インターネットのように広域なネットワークであってもよいし、法人ネットワークのように中小規模なネットワークである場合やクラウド環境やホスティング環境のネットワークであってもよい。
解析対象ウェブサイト60は、ブラウザエミュレータマネージャ(解析装置)10による解析対象ウェブサイトである。この解析対象ウェブサイト60は、例えば、公開されている悪性ウェブサイトのブラックリストに掲載されているウェブサイトや検索エンジンから収集できるウェブサイト等である。
脆弱性情報掲載ウェブサイト70は、脆弱性情報を収集し、掲載しているウェブサイトである。この脆弱性情報掲載ウェブサイト70は、例えば、共通脆弱性識別子CVEを採番しているウェブサイトや独自に脆弱性情報を収集して掲載しているウェブサイトが適用できるが、これらに限るものではない。
また、ネットワーク2は、ブラウザエミュレータマネージャ10と、脆弱性情報収集装置20と、脆弱性情報データベース30と、解析情報データベース40とを備える。ネットワーク2は、ローカルエリアネットワークのように小規模なネットワークであってもよいし、法人ネットワークのように中小規模なネットワークである場合やクラウド環境やホスティング環境のネットワークであってもよい。
ブラウザエミュレータマネージャ10は、1以上のブラウザエミュレータ11を管理し、このブラウザエミュレータ11に所定のウェブサイト(解析対象ウェブサイト60)へアクセスさせる。そして、ブラウザエミュレータマネージャ10は、ブラウザエミュレータ11がアクセスしたウェブサイトのURLや、当該ウェブサイトから取得したコンテンツやスクリプトの解析により得られた情報を解析情報データベース40へ蓄積する。
ブラウザエミュレータ11は、ブラウザの動作を模擬する装置である。このブラウザエミュレータ11は、例えば、ハニーネットプロジェクトが提供しているブラウザエミュレータや、オープンソースとして開発されたHtmlUnitやPhantom JSが適用できるが、これらに限るものではない。このブラウザエミュレータ11の詳細は後記する。なお、図1においてブラウザエミュレータ11は、ブラウザエミュレータマネージャ10内に構築されるように描かれているが、ブラウザエミュレータマネージャ10外に構築されてもよい。
脆弱性情報収集装置20は、パケット転送装置50を通じて、脆弱性情報掲載ウェブサイト70から脆弱性情報を収集し、収集した脆弱性情報を脆弱性情報データベース30に記憶させる。脆弱性情報収集装置20は、例えば、脆弱性情報掲載ウェブサイト70がHTMLで記述されたウェブサイトであれば、例えばオープンソースとして開発されたHTMLパーサやXMLパーサが適用できる。
脆弱性情報データベース30は、脆弱性情報収集装置20がパケット転送装置50を通じて、脆弱性情報掲載ウェブサイト70から取得した脆弱性情報を蓄積する。この脆弱性情報データベース30における情報の保存は、RDBMS(Relational DataBase Management System)を用いてもよいし、テキスト形式で保存してもよい。この脆弱性情報データベース30の詳細は後記する。
解析情報データベース40は、ブラウザエミュレータ11がアクセスしたウェブサイトのURLや、当該ウェブサイトから取得したコンテンツの解釈により発生した転送に関する情報等を蓄積する。この解析情報データベース40における情報の保存は、RDBMSを用いてもよいし、テキスト形式で保存してもよい。この解析情報データベース40の詳細は後記する。
なお、本実施形態では、ブラウザエミュレータマネージャ10、ブラウザエミュレータ11および解析情報データベース40を同じネットワークに配置しているが、それぞれ別のネットワークに配置してもよい。また、各構成をセキュアに接続するため、既存の暗号技術を適用して通信情報を暗号化したり、各機能が配置されたネットワーク間または各機能間をVPN(Virtual Private Network)で接続したりしてもよい。
次に、図2を用いてブラウザエミュレータマネージャ10およびブラウザエミュレータ11を詳細に説明する。図2は、ブラウザエミュレータマネージャの構成例を示すブロック図である。ブラウザエミュレータマネージャ10は、ブラウザエミュレータ11、制御部13を備える。制御部13は、ブラウザエミュレータマネージャ10の備えるホストシステム12上でブラウザエミュレータ11を動作させる。このホストシステム12は、例えば、ブラウザエミュレータマネージャ10が備えるOSを用いる。制御部13の詳細は後記する。
(ブラウザエミュレータ)
次に、ブラウザエミュレータ11を説明する。ブラウザエミュレータ11は、クライアント環境模擬部11aと、アクセス部11bと、スクリプト動的解析部11cとを備える。
次に、ブラウザエミュレータ11を説明する。ブラウザエミュレータ11は、クライアント環境模擬部11aと、アクセス部11bと、スクリプト動的解析部11cとを備える。
クライアント環境模擬部11aは、後述のクライアント環境構成部13dから取得したクライアント環境情報(例えば、OS、ブラウザ、プラグイン等)を基に、ブラウザエミュレータ11で模擬するクライアント環境を設定する。
例えば、図3に示すように、OSおよびブラウザの模擬は、HTTPヘッダのUser−Agentフィールドに構成したいOS情報、ブラウザ情報を設定し、プラグイン模擬は、JavaScriptのnavigatorオブジェクトに構成したいプラグイン情報を設定することでクライアント環境を模擬する。図3は、ブラウザエミュレータが模擬するクライアント環境の構成関係を説明する図である。
図3の例の場合、クライアント環境としてWindows7(登録商標)のInternet Explorer 9.0を使用しており、ブラウザにAdobe Acrobat9.1とAdobe Flash Player 10.0がインストールされていることを意味する。ただし、クライアント環境は、図3に示す種類、バージョンに限るものではない。
アクセス部11bは、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行する。例えば、アクセス部11bは、解析対象ウェブサイト60と、HTTP(Hypertext Transfer Protocol)またはHTTPS(Hypertext Transfer Protocol Secure)による通信を行い、当該HTTP通信時にHTTPヘッダ情報およびHTTPボディ情報(コンテンツ)を取得する。また取得したコンテンツを解釈する過程で、異なるウェブサイトへ転送された場合に、再帰的に当該転送先URLのコンテンツを同様に取得する。このアクセス部11bには、例えば、フリーソフトウェアとして開発されたcURLを用いる。
また、アクセス部11bは、ウェブサイトのアクセス結果をアクセスログに記録する。例えば、アクセス部11bは、アクセスしたウェブサイトのURLや、アクセスした日時をアクセスログに記録する。
スクリプト動的解析部11cは、アクセス部11bによってアクセスされたウェブサイトに含まれるスクリプトを監視してクライアント環境を特定するブラウザフィンガープリンティングを検知し、該ブラウザフィンガープリンティングにより取得されたクライアント環境の情報の種別を特定する。具体的には、スクリプト動的解析部11cは、アクセス部11bが取得したウェブサイトに含まれるスクリプト(JavaScript)を実行する際に、スクリプトの関数呼び出しやプロパティ代入を監視する。この時、関数の引数やプロパティへの代入変数にクライアント環境模擬部11aが設定したブラウザやプラグインの種類、バージョンの値が使用されたかどうかを検知する。
例えば、図4に示すコード(ウェブサイトに含まれるスクリプト)は、アクセスするクライアント環境に応じて転送先URLを変更する。図4は、クライアント環境に応じて転送先URLを変更するコードの例を示す図である。図4のコードは、図3に示した「Adobe Flash Player 10.0.0.589」をインストールしたクライアント環境であれば、「http://malicious.example/」へ転送するが、それ以外のクライアント環境は「http://benign.example/」へ転送する。
この時、図4内4行目では、クライアント環境模擬部11aが設定した値を参照しており、8行目では、その値に基づき条件分岐する。環境依存攻撃では、ブラウザフィンガープリンティングで取得した情報を何らかの関数を用いて文字列分割したり、文字列判定したりする。
例えば、図4の場合、スクリプト動的解析部11cは、Stringオブジェクトのinclude関数を監視することで、ブラウザフィンガープリンティングにより、クライアント環境の情報の種別として「Adobe Flash」に関する情報が取得されたことを特定する。具体的には、3行目で「navigator.plugins」にAdobe Flash Playerがプラグインとしてインストールされていることを確認し、4行目でAdobe Flash Playerの情報を変数「flash_description」に格納する。そして、8行目で変数「flash_description」にAdobe Flash Playerのバージョン「10.0 r0」が含まれているかどうかをStringオブジェクトのinclude関数で監視している。
また、スクリプト動的解析部11cは、ブラウザフィンガープリンティングを検知すると同時に、その結果をアクセスログに記録する。例えば、スクリプト動的解析部11cは、ブラウザフィンガープリンティングを取得するウェブサイトのURLや、取得された情報のクライアント環境情報をアクセスログに記録する。
(制御部)
次に、制御部13を説明する。制御部13は、URLリスト作成部13aと、アクセス指示部13bと、登録処理部13cと、クライアント環境構成部13dと、ログ解析部13eとを備える。
次に、制御部13を説明する。制御部13は、URLリスト作成部13aと、アクセス指示部13bと、登録処理部13cと、クライアント環境構成部13dと、ログ解析部13eとを備える。
URLリスト作成部13aは、各ブラウザエミュレータが巡回するウェブサイト(解析対象ウェブサイト60)のURLリストである巡回対象URLリストを作成する。例えば、URLリスト作成部13aは、公開されている悪性ウェブサイトのブラックリストに掲載されているウェブサイトのURLをもとに巡回対象URLリストを作成する。
アクセス指示部13bは、各ブラウザエミュレータ11のアクセス部11bへ巡回対象URLリスト(URLリスト)に示されるURLへのアクセスを指示する。
登録処理部13cは、アクセス部11bによってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて解析情報データベース40に登録する。例えば、登録処理部13cは、各ブラウザエミュレータ11のアクセスログを取得し、解析情報データベース40に登録する。
クライアント環境構成部13dは、ブラウザエミュレータ11が模擬するクライアント環境を決定する。例えば、クライアント環境構成部13dは、クライアント環境が有する既知の脆弱性に関する情報を取得し、該脆弱性に関する情報を用いて、脆弱性を有するクライアント環境のリストを作成し、該リストのクライアント環境をそれぞれ設定する。クライアント環境は、図5に示すとおり、単一種類、単一バージョンのOS、単一種類、単一バージョンのブラウザを選択でき、ブラウザのプラグインは複数種類もしくは0種類で、それぞれ単一のバージョンを選択できる。図5は、ブラウザエミュレータが模擬するクライアント環境の構成関係を説明する図である。ただし、OSやブラウザ、プラグインは、図5に示す種類に限るものではない。
クライアント環境構成部13dは、悪性ウェブサイトからの攻撃によるクライアント環境の影響範囲を特定するため、複数のクライアント環境を構成する。しかし、単純にすべての組み合わせを構成すると膨大な数になってしまう。そこで、既知の脆弱性情報や攻撃対象情報を活用し、ウェブサイト解析の試行回数をより少なくするようクライアント環境を構成する。例えば、クライアント環境構成部13dは、脆弱性に関する情報を用いて、同じ脆弱性を有するクライアント環境同士を集約してリストを作成し、該リストのクライアント環境をそれぞれ設定する。
図6に脆弱性情報の例を示す。図6は、集約前の脆弱性情報の一例を示す図である。当該情報は、脆弱性情報データベース30から取得した脆弱性情報であり、脆弱性情報掲載ウェブサイトから収集した情報である。この脆弱性情報データベース30については後記する。例えばバージョン1.0.0は、CVE-2016-AAAAの脆弱性を保有していることがわかる。この時、図6の例では、バージョン1.2.0と1.2.1が影響を受けるCVE番号は同一であるため、クライアント環境はいずれかのバージョンで解析を行えば、当該バージョンが保有するCVE番号を網羅したと言える。また、CVE-2016-CCCCとCVE-2016-DDDDは、影響を及ぼすバージョン範囲が同一であるため、脆弱性情報を集約できる。
このように、既知の脆弱性情報を活用し、情報の重複を削除することで、クライアント環境に設定するバージョンを絞ることができる(図6中の列を減らす)。また、調査対象の脆弱性が予め決まっている場合(すなわち、調査したい脆弱性やクライアント環境等目的が決まっている場合)は、活用する脆弱性情報を絞ることでさらにウェブサイト解析の試行回数を減らすことができる(図6中の行を減らす)。
図7に図6の脆弱性情報を集約した結果を例示する。図7は、集約した後の脆弱性情報の一例を示す図である。図7に例示するように、図6の脆弱性情報と比較して、解析に使用するバージョンを6つから4つに減らしている。また、CVE-2016-CCCCとCVE-2016-DDDDとは、影響を及ぼすバージョン範囲が同一であるため、一つの項目に集約されている。
ログ解析部13eは、登録処理部13cによって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する。例えば、ログ解析部13eは、登録処理部13cによって登録されたアクセス先のURL(入口URL)が互いに同一である複数のレコードを解析情報データベースから取得し、該複数のレコードのなかから悪性なウェブサイトのURLを転送先のURLに含むレコードを特定し、該レコードに対応付けられたクライアント環境の情報と他のレコードのクライアント環境の情報とを比較し、該複数のクライアント環境の情報の差異から悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する。
また、例えば、ログ解析部13eは、スクリプト動的解析部11cによりブラウザフィンガープリンティングにより取得されたクライアント環境の情報の種別が特定された場合に、該クライアント環境の情報の種別について、悪性なウェブサイトのURLを転送先のURLに含むレコードに対応付けられたクライアント環境と他のレコードのクライアント環境とを比較し、該複数のクライアント環境の情報の差異から悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する。
具体的には、ログ解析部13eは、解析情報データベース40に蓄積されたアクセスログを基に、ウェブサイトの解析により得られた転送情報を結合し、解析対象ウェブサイト60へのアクセスに起因して発生した転送の差異や既知の悪性URL情報との突合結果(例えば、シグネチャマッチング)を出力する。なお、解析情報データベース40を用いた突合の具体例は後記する。
(脆弱性情報データベース)
図8に、図1における脆弱性情報データベース30に登録する項目例を示す。図8は、脆弱性情報データベースに記憶された脆弱性情報の一例を示す図である。図8の情報は、脆弱性情報掲載ウェブサイト70から取得した脆弱性情報を蓄積する脆弱性情報データベース30の項目例である。
図8に、図1における脆弱性情報データベース30に登録する項目例を示す。図8は、脆弱性情報データベースに記憶された脆弱性情報の一例を示す図である。図8の情報は、脆弱性情報掲載ウェブサイト70から取得した脆弱性情報を蓄積する脆弱性情報データベース30の項目例である。
図9、図10、図11は、それぞれOS情報、ブラウザ情報、プラグイン情報の一例を示すものであり、図2中のクライアント環境模擬部11aに設定するクライアント環境情報として使用される。図9は、脆弱性情報データベースに記憶されたOS情報の一例を示す図である。図10は、脆弱性情報データベースに記憶されたブラウザ情報の一例を示す図である。図11は、脆弱性情報データベースに記憶されたプラグイン情報の一例を示す図である。例えば、図8の脆弱性情報における脆弱性ID「102」の「CVE-2016-EEEE」は、プラグインIDとして「102」、「103」が登録されており、Adobe Flashのバージョン「19.0.0.226」、「19.0.0.207」に影響する脆弱性であることを示している。
図8の情報は、取得先の脆弱性情報掲載ウェブサイト70によって異なり、記録される項目は図8に示すものに限るものではない。また、図8の情報は、図1における脆弱性情報掲載ウェブサイト70からの取得を想定しているが、クライアント環境情報が掲載されているウェブサイトであれば、目的に応じて脆弱性情報掲載ウェブサイト70以外の任意のウェブサイトから情報を取得できるものとする。
(解析情報データベース)
図12および図13に、図1における解析情報データベース40に登録する項目例を示す。図12は、解析情報データベースに記憶されたアクセスログの一例を示す図である。図13は、解析情報データベースに記憶された転送情報の一例を示す図である。図12に例示するアクセスログは、解析対象のウェブサイトURLとウェブサイト解析に使用したクライアント環境情報(例えば、脆弱性情報データベース30におけるOS、ブラウザ、プラグインの情報)、アクセスした際のタイムスタンプである。
図12および図13に、図1における解析情報データベース40に登録する項目例を示す。図12は、解析情報データベースに記憶されたアクセスログの一例を示す図である。図13は、解析情報データベースに記憶された転送情報の一例を示す図である。図12に例示するアクセスログは、解析対象のウェブサイトURLとウェブサイト解析に使用したクライアント環境情報(例えば、脆弱性情報データベース30におけるOS、ブラウザ、プラグインの情報)、アクセスした際のタイムスタンプである。
図13に例示する転送情報は、アクセスログに記録された解析対象ウェブサイトURLにアクセスした際に転送されたURLと、当該URLにアクセスした際に取得されたフィンガープリント情報、アクセスした際のタイムスタンプである。なお、図12のアクセスログと図13の転送情報とは、互いにIDで対応づけられている。
例えば、図12のID「1」の内容は、URL「http://a.example/」にクライアント環境として「Win 7,IE 8,PDF 8.1.0」を用いてアクセスしたことを意味する。そして、同様に図13のID「1」を参照すると、URL「http://a.example/」へのアクセスに伴い、URL「http://b.example/red.html」、「http://b.example/fp.js」へアクセスしたことを意味する。この時、URL「http://b.example/fp.js」にて、フィンガープリンティングによりAdobe Readerの情報を取得されたことを意味する。なお、図12の例では、フィンガープリンティングの情報として「PDF」と記憶されている。
一方、図12のID「11」の内容は、URL「http://a.example/」にクライアント環境として「Win 7,IE 8,PDF 9.0.0」を用いてアクセスしたことを意味する。そして、同様に図13のID「11」を参照すると、URL「http://a.example/」へのアクセスに伴い、URL「http://b.example/red.html」、「http://b.example/fp.js」、「http://c.example/mal」へアクセスしたことを意味する。この時、URL「http://b.example/fp.js」にて、フィンガープリンティングによりAdobe Readerの情報を取得されたことを意味する。
図12のアクセスID「1」と「11」の図13の転送情報を突合すると、クライアント環境の差が「Adobe Readerのバージョン」であり、転送情報の差が「http://c.example/mal」であることがわかる。フィンガープリンティングにより、Adobe Readerの情報が取得されたことからも、Adobe Readerのバージョンの差異により、転送先URLに変化が生じたと推測できる。このように、クライアント環境の違いによって生じる、ウェブサイト解析時に取得した情報の差異を明らかにする。
この取得情報の差異を用いると、差異が生じる原因となったクライアント環境を特定できるとともに、どのバージョンによって転送先URLが変化するか特定できる。また、既知の悪性URL情報を用いてドライブバイダウンロード攻撃を検知することで、例えば、「http://c.example/mal」が悪性URLであった場合に、「PDF 8.1.0」は対象ではなく、「PDF 9.0.0」が対象の脆弱性(CVE)が悪用されたことを図12のアクセスログ、図13の転送情報より推測できる。
このように、悪性URLの検知により悪性URLを含むレコードを特定し、当該レコードのクライアント環境情報に基づき、環境依存攻撃の対象範囲を特定することができる。なお、図12および図13に示した項目例や項目内容は、ウェブサイト解析時に使用したクライアント環境に依存して解析結果の変化を特定する上で必要な情報を取得するものとし、図12および図13に示した項目例や項目内容に限るものではない。
(処理手順)
次に、図14を用いて、ブラウザエミュレータ11によるウェブサイト解析の処理手順の例を説明する。図14は、ブラウザエミュレータによるウェブサイト解析の処理手順の例を示すフローチャートである。
次に、図14を用いて、ブラウザエミュレータ11によるウェブサイト解析の処理手順の例を説明する。図14は、ブラウザエミュレータによるウェブサイト解析の処理手順の例を示すフローチャートである。
まず、URLリスト作成部13aは、巡回対象URLリストを作成する(ステップS1)。例えば、URLリスト作成部13aは、公開されている悪性ウェブサイトのブラックリストや検索エンジンで収集できるウェブサイト等をもとに巡回対象URLリストを作成する。
そして、クライアント環境構成部13dは、脆弱性情報データベース30から取得した脆弱性情報に基づき、使用するOSやブラウザ、プラグイン情報を取得し、クライアント環境情報リストを作成する(ステップS2)。このクライアント環境情報リストの作成の詳細は後記する。
続いて、クライアント環境模擬部11aは、作成したクライアント環境情報リストに従い、ブラウザエミュレータ11が模擬するクライアント環境情報を設定する(ステップS3)。
そして、アクセス指示部13bは、ブラウザエミュレータ11に巡回対象URLリストのURLを入力、ブラウザエミュレータ11はアクセス部11bで入力されたURLにアクセスし、当該入力されたURLおよびブラウザエミュレータ11で模擬したクライアント環境情報をアクセスログとして出力する(ステップS4)。アクセス部11bは、ブラウザの動作に基づきウェブサイトのコンテンツ(例えば、HTMLやJavaScript)を解析する(ステップS5)。また、巡回対象URLへのアクセスにより転送されたウェブサイトについても、同様にコンテンツを取得し、解析を実施する。このウェブサイト挙動解析の詳細は後記する。
なお、ステップS4においてアクセス指示部13bは、1つのブラウザエミュレータ11に複数URLへアクセスさせてもよいし、複数のブラウザエミュレータ11にそれぞれ異なるURLへアクセスさせるようにしてもよい。ステップS5の処理中に出力されたアクセスログおよび転送情報は、登録処理部13cにて整形され、解析情報データベース40に蓄積される(ステップS6)。
この時、ブラウザエミュレータ11に設定されたクライアント環境情報と出力したログとは一意に関連付けられるよう管理され、入口URLとしてアクセスしたURLとクライアント環境情報を図12に例示したアクセスログとして、巡回の結果アクセスしたURLと各URLにおけるブラウザフィンガープリンティング情報を図13に例示した転送情報として、解析情報データベース40へそれぞれ蓄積する。
そして、巡回対象URLリストに次の巡回URLが存在すれば(ステップS7でYes)、ステップS4の処理へ戻る。一方、巡回対象URLリストに次の巡回URLが存在しなければ(ステップS7でNo)、ステップS8の処理へ進む。
ステップS8において、クライアント環境情報リストに次のクライアント環境情報が存在すれば(ステップS8でYes)、ステップS3の処理へ戻る。一方、クライアント環境情報リストに次のクライアント環境情報が存在しなければ(ステップS8でNo)、処理を終了する。
上記のようにして、解析情報データベース40にデータが蓄積されると、ログ解析部13eは、アクセスログおよび転送情報を解析し、例えば、同一URLにおける転送情報に差異を検知し、アクセスしたクライアント環境の差異を特定するとともに、悪用された脆弱性や影響のあるクライアント環境を特定する。
次に、図15を用いて、上記のステップ2におけるクライアント環境情報リストの作成の処理手順の例を説明する。図15は、クライアント環境情報作成の処理手順の例を示すフローチャートである。
まず、ブラウザエミュレータ11は、任意のクライアント環境を模擬し(ステップS9)、ステップS1で取得した巡回対象URLリストに含まれるURLにアクセスする(ステップS10)。
そして、ステップS5の処理と同様に、アクセス部11bは、ブラウザの動作に基づきウェブサイトのコンテンツを解析し、アクセスログおよび転送情報を取得する(ステップS11)。
続いて、ステップS12において、巡回対象URLリストに次の巡回URLが存在すれば(ステップS12でYes)、ステップS10の処理へ戻る。一方、巡回対象URLリストに次の巡回URLが存在しなければ(ステップS12でNo)、ステップS13の処理へ進む。
次に、クライアント環境構成部13dは、予め定めた解析対象情報やステップS11で得たウェブサイト解析結果を基に脆弱性情報を脆弱性情報データベースから取得する(ステップS13)。具体的には、解析したい脆弱性やクライアント環境を予め定めることで、脆弱性情報データベース30から取得するデータを削減したり、ステップS11で得た転送情報を基にフィンガープリンティング対象となるクライアント環境に絞り、脆弱性情報データベース30から取得するデータを削減したりする。ただし、解析対象情報やウェブサイト解析結果を基に脆弱性情報を取得せずに、すべての脆弱性情報を対象としてもよい。したがって、この場合、ステップS9〜S12の処理を省略してもよい。
ステップS13で取得した脆弱性情報を基に、行を脆弱性情報、列をクライアント環境のバージョン値とする図6Aに示すような行列表(マトリックス)を作成する(ステップS14)。
ステップS14で作成した行列表の内、クライアント環境の情報を示す列の内容に重複が存在した場合、当該重複を集約(削除)する(ステップS15)。なお、ステップS15で作成した行列表の内、脆弱性情報を示す行の内容に重複が存在した場合、当該重複を集約(削除)してもよく、その場合、例えば図7に示すような表となる。
ステップS15で重複を集約した行列表から、クライアント環境のバージョンをそれぞれ列から取得し、集約されたクライアント環境のバージョン値の内、最も古いバージョン値を用いてクライアント環境情報リストを構成する(ステップS16)。例えば、図7の場合、ブラウザのバージョン値「1.0.0、1.1.0、1.2.0、1.3.0」がリストに挙げられ、バージョン値「1.0.0、1.1.0、1.2.0、1.3.0」の値を用いてクライアント環境情報を構成する。
なお、ステップS16において、集約されたクライアント環境のバージョン値の内、最も古いバージョン値を用いてクライアント環境情報リストを構成するとしたが、最も新しいバージョン値等、任意のバージョンを取得してもよい。
次に、図16を用いて、ウェブサイト挙動解析の処理手順の例を説明する。図16は、ウェブサイト挙動解析の処理手順の例を示すフローチャートである。
まず、クライアント環境模擬部11aは、ステップS3またはステップS9において設定したクライアント環境情報を文字列(クライアント環境情報文字列)として記録する(ステップS17)。
そして、アクセス部11bは、ブラウザ動作に基づきステップS4で指定されたURLにアクセスし、ウェブコンテンツを取得し(ステップS18)、アクセスしたURLを転送情報として出力する(ステップS19)。
続いて、取得したウェブコンテンツにJavaScriptが含まれている場合(ステップS20でYes)に、スクリプト動的解析部11cでJavaScriptを実行し、含まれていない場合(ステップS20でNo)は、ステップS23の処理へ進む。
スクリプト動的解析部11cは、JavaScriptの実行を監視し、関数引数やプロパティ代入値等にステップS17で記録したクライアント環境情報文字列(フィンガープリンティング情報)が含まれているか確認する。クライアント環境情報文字列が含まれている場合(ステップS21でYes)は、当該文字列がクライアント環境のOS、ブラウザ、プラグインのいずれかであることを特定し、当該JavaScriptを含むURLとフィンガープリンティング情報を転送情報として出力し(ステップS22)、含まれていない場合(ステップS21でNo)は、ステップS23の処理へ進む。
ステップS23において、コンテンツ内にアクセスしていないURLを含む場合(ステップS23でYes)、つまり、取得したウェブコンテンツを解釈する過程で、異なるウェブサイトへ転送された場合に、ステップS18の処理に戻って、再帰的に当該転送先URLのウェブコンテンツを同様に取得し、解析する。また、コンテンツ内にアクセスしていないURLを含まない場合(ステップS23でNo)、処理を終了する。
次に、図17を用いて、解析情報を用いた差異検知の処理手順の例を説明する。図17は、解析情報を用いた差異検知の処理手順の例を示すフローチャートである。
まず、ログ解析部13eは、解析情報データベース40から入口URLとしてアクセスしたアクセスURLが同一のアクセスログ(以下、レコードAとする。)を取得する(ステップS24)。図12の例を用いて説明すると、例えば、ログ解析部13eは、入口URLとしてアクセスしたアクセスURLが同一のアクセスロとして、ID「11」のレコードとID「11」のレコードを取得する。
ステップS25において、取得したレコードAが複数の場合(ステップS25でYes)、ステップS26の処理へ進み、単一の場合(ステップS25でNo)、処理を終了する。
続いて、ログ解析部13eは、取得したレコードAのIDを基に転送情報(以下、レコードBとする。)を取得する(ステップS26)。図12の例を用いて説明すると、例えば、ログ解析部13eは、ID「1」に対応する3つのレコードとID「11」に対応する4つのレコードを取得する。
そして、ログ解析部13eは、取得したレコードBのアクセスURLを参照し、例えばシグネチャマッチングにより悪性URLを検知する(ステップS27)。なお、シグネチャマッチングではなく、ハニーポット等の攻撃を検知する技術により別途検知した悪性URL情報を用いてもよい。
例えば、ステップS27において、ID「11」の「http://c.example/mal」が悪性検知された場合に、レコードBのID「11」から、環境情報「Win 7, IE 8, PDF 9.0.0」を取得し、クライアント環境の影響範囲を特定する(ステップS28)。この場合、「http://a.example/」のウェブサイトにおけるクライアント環境の影響範囲の解析結果として、「PDF 8.1.0」は攻撃対象ではなく、「PDF 9.0.0」は攻撃対象であるという結果が得られる。なお、クライアント環境におけるプラグインに起因した環境依存攻撃の解析処理動作例を示したが、プラグイン以外にOSやブラウザ等、クライアント環境を対象とし、本実施形態に適用してもよい。
(本実施形態の効果)
本実施形態に係るブラウザエミュレータマネージャ10は、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行する。そして、ブラウザエミュレータマネージャ10は、アクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて解析情報データベース40に登録する。続いて、ブラウザエミュレータマネージャ10は、登録した転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する。これにより、悪性URLへの転送対象となるクライアント環境を適切に特定することが可能となる。
本実施形態に係るブラウザエミュレータマネージャ10は、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行する。そして、ブラウザエミュレータマネージャ10は、アクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて解析情報データベース40に登録する。続いて、ブラウザエミュレータマネージャ10は、登録した転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する。これにより、悪性URLへの転送対象となるクライアント環境を適切に特定することが可能となる。
つまり、本実施形態に係るブラウザエミュレータマネージャ10は、ドライブバイダウンロード攻撃を仕掛ける悪性ウェブサイトに複数の異なるクライアント環境でアクセスし、クライアント環境ごとの転送情報の差異を検知することで攻撃対象となるクライアント環境範囲を特定できる。
例えば、インシデント対応組織が、既存のシグネチャマッチング手法やアノマリ検知手法等により悪性ウェブサイトを検知した場合に、または悪性ウェブサイトに関する情報を外部から取得した場合に、当該ウェブサイトとの通信を含むデータを別途取得し、当該データを用いた解析で、攻撃対象となるクライアント環境範囲を特定できる。その結果、インシデント対応組織は監視対象の組織内における当該攻撃による影響範囲を特定できるとともに、影響下にあったクライアントにおけるマルウェア感染を早期発見できる。また、これら結果に基づき組織内のクライアント環境アップデートの注意喚起・促進、外部組織への脅威情報の共有が可能となる。
(システム構成等)
なお、上述したシステムは、ブラウザエミュレータ11を用いて解析対象ウェブサイト60にアクセスすることとしたが、ブラウザエミュレータ11以外(例えば、実際のクライアント環境のブラウザ)を用いて解析対象ウェブサイト60にアクセスしてもよい。
なお、上述したシステムは、ブラウザエミュレータ11を用いて解析対象ウェブサイト60にアクセスすることとしたが、ブラウザエミュレータ11以外(例えば、実際のクライアント環境のブラウザ)を用いて解析対象ウェブサイト60にアクセスしてもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(プログラム)
また、上記の実施形態で述べたブラウザエミュレータマネージャ10は、上記の処理を実行するブラウザエミュレータマネージャ10を所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のブラウザエミュレータマネージャ10を情報処理装置に実行させることにより、情報処理装置をブラウザエミュレータマネージャ10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。また、ブラウザエミュレータマネージャ23を、Webサーバやクラウドとして実装してもよい。
また、上記の実施形態で述べたブラウザエミュレータマネージャ10は、上記の処理を実行するブラウザエミュレータマネージャ10を所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のブラウザエミュレータマネージャ10を情報処理装置に実行させることにより、情報処理装置をブラウザエミュレータマネージャ10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。また、ブラウザエミュレータマネージャ23を、Webサーバやクラウドとして実装してもよい。
図18は、解析プログラムを実行するコンピュータ1000を示す図である。図18に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図18に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図18に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図18に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図18に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図18に例示するように、例えばディスプレイ1130に接続される。
ここで、図18に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の解析プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、解析プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、解析プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
なお、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1、2 ネットワーク
10 ブラウザエミュレータマネージャ
11 ブラウザエミュレータ
12 ホストシステム
13 制御部
13a URLリスト作成部
13b アクセス指示部
13c 登録処理部
13d クライアント環境構成部
13e ログ解析部
20 脆弱性情報収集装置
30 脆弱性情報データベース
40 解析情報データベース
50 パケット転送装置
60 解析対象ウェブサイト
70 脆弱性情報掲載ウェブサイト
10 ブラウザエミュレータマネージャ
11 ブラウザエミュレータ
12 ホストシステム
13 制御部
13a URLリスト作成部
13b アクセス指示部
13c 登録処理部
13d クライアント環境構成部
13e ログ解析部
20 脆弱性情報収集装置
30 脆弱性情報データベース
40 解析情報データベース
50 パケット転送装置
60 解析対象ウェブサイト
70 脆弱性情報掲載ウェブサイト
Claims (7)
- 疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセス部と、
前記アクセス部によってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理部と、
前記登録処理部によって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析部と
を備えることを特徴とする解析装置。 - 前記クライアント環境が有する既知の脆弱性に関する情報を取得し、該脆弱性に関する情報を用いて、脆弱性を有するクライアント環境のリストを作成し、該リストのクライアント環境をそれぞれ設定する環境構成部をさらに備え、
前記アクセス部は、前記環境構成部によって設定されたクライアント環境で、ウェブサイトへのアクセスを実行することを特徴とする請求項1に記載の解析装置。 - 前記環境構成部は、前記脆弱性に関する情報を用いて、同じ脆弱性を有するクライアント環境同士を集約して前記リストを作成し、該リストのクライアント環境をそれぞれ設定することを特徴とする請求項2に記載の解析装置。
- 前記解析部は、前記登録処理部によって登録されたアクセス先のURLが互いに同一である複数のレコードを前記記憶部から取得し、該複数のレコードのなかから悪性なウェブサイトのURLを転送先のURLに含むレコードを特定し、該レコードに対応付けられたクライアント環境の情報と他のレコードのクライアント環境の情報とを比較し、該複数のクライアント環境の情報の差異から前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析することを特徴とする請求項1に記載の解析装置。
- 前記アクセス部によってアクセスされたウェブサイトに含まれるスクリプトを監視してクライアント環境を特定するブラウザフィンガープリンティングを検知し、該ブラウザフィンガープリンティングにより取得されたクライアント環境の情報の種別を特定するスクリプト動的解析部をさらに備え、
前記解析部は、前記スクリプト動的解析部により前記ブラウザフィンガープリンティングにより取得されたクライアント環境の情報の種別が特定された場合に、該クライアント環境の情報の種別について、前記悪性なウェブサイトのURLを転送先のURLに含むレコードに対応付けられたクライアント環境と他のレコードのクライアント環境とを比較し、該複数のクライアント環境の情報の差異から前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析することを特徴とする請求項4に記載の解析装置。 - 解析装置で実行される解析方法であって、
疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセス工程と、
前記アクセス工程によってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理工程と、
前記登録処理工程によって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析工程と
を含んだことを特徴とする解析方法。 - 疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセスステップと、
前記アクセスステップによってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理ステップと、
前記登録処理ステップによって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析ステップと
をコンピュータに実行させることを特徴とする解析プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016118978A JP6527111B2 (ja) | 2016-06-15 | 2016-06-15 | 解析装置、解析方法および解析プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016118978A JP6527111B2 (ja) | 2016-06-15 | 2016-06-15 | 解析装置、解析方法および解析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017224150A JP2017224150A (ja) | 2017-12-21 |
| JP6527111B2 true JP6527111B2 (ja) | 2019-06-05 |
Family
ID=60687121
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016118978A Active JP6527111B2 (ja) | 2016-06-15 | 2016-06-15 | 解析装置、解析方法および解析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6527111B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7030386B2 (ja) * | 2017-11-22 | 2022-03-07 | 株式会社大一商会 | 遊技機 |
| TW201941094A (zh) * | 2018-03-20 | 2019-10-16 | 日商日本電氣股份有限公司 | 漏洞調查系統、傳輸伺服器、漏洞調查方法及程式 |
| JP7359288B2 (ja) * | 2020-03-16 | 2023-10-11 | 日本電信電話株式会社 | 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5274227B2 (ja) * | 2008-12-10 | 2013-08-28 | 株式会社ラック | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
| JP6169497B2 (ja) * | 2014-01-10 | 2017-07-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
| EP3153986B1 (en) * | 2014-08-11 | 2018-09-12 | Nippon Telegraph and Telephone Corporation | Browser-emulator device, construction device, browser emulation method, browser emulation program, construction method, and construction program |
-
2016
- 2016-06-15 JP JP2016118978A patent/JP6527111B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017224150A (ja) | 2017-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11941054B2 (en) | Iterative constraint solving in abstract graph matching for cyber incident reasoning | |
| CN108780485B (zh) | 基于模式匹配的数据集提取 | |
| US11089038B2 (en) | Safe sharing of sensitive data | |
| US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
| Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
| JP6450022B2 (ja) | 解析装置、解析方法、および、解析プログラム | |
| Talukder | Tools and techniques for malware detection and analysis | |
| CN114679329A (zh) | 基于赝象对恶意软件自动分组 | |
| Cao et al. | JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks | |
| Chen et al. | Mass discovery of android traffic imprints through instantiated partial execution | |
| JP6114480B2 (ja) | 構築装置、構築方法、および、構築プログラム | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
| JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
| Fatemi et al. | Threat hunting in windows using big security log data | |
| Sharif | Web attacks analysis and mitigation techniques | |
| US11163882B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| Latib et al. | Analysing log files for web intrusion investigation using hadoop | |
| Kaur et al. | Hybrid real-time zero-day malware analysis and reporting system | |
| Takata et al. | Identifying evasive code in malicious websites by analyzing redirection differences | |
| Kaur et al. | UAC: a lightweight and scalable approach to detect malicious web pages | |
| Takata et al. | Understanding evasion techniques that abuse differences among javascript implementations | |
| Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180607 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190328 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190509 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6527111 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |