JP6715887B2 - ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 - Google Patents

ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 Download PDF

Info

Publication number
JP6715887B2
JP6715887B2 JP2018131524A JP2018131524A JP6715887B2 JP 6715887 B2 JP6715887 B2 JP 6715887B2 JP 2018131524 A JP2018131524 A JP 2018131524A JP 2018131524 A JP2018131524 A JP 2018131524A JP 6715887 B2 JP6715887 B2 JP 6715887B2
Authority
JP
Japan
Prior art keywords
data
attack
user
service
cyber attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018131524A
Other languages
English (en)
Other versions
JP2019220126A (ja
Inventor
ヴィー.マルティネンコ ウラジスラフ
ヴィー.マルティネンコ ウラジスラフ
エム.ロマネンコ アレクセイ
エム.ロマネンコ アレクセイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2019220126A publication Critical patent/JP2019220126A/ja
Application granted granted Critical
Publication of JP6715887B2 publication Critical patent/JP6715887B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本開示は、ハッカーによるコンピュータ攻撃からユーザのコンピュータ装置を防御するためのコンピュータセキュリティおよび解決法に関し、特に、ユーザのコンピュータ装置に対する攻撃を検出して対抗するシステムおよび方法に関する。
現在、情報技術(information technologies;IT)によりサービスセクタが大幅に拡大している。大規模なサービスプロバイダはITサポートおよびITを使用した一般的なサービス(電子メールサービス又はソーシャルネットワーク、インターネットを介した購入や支払など)の両方を提供している。ほとんどの企業はITサービスを用いたインフラストラクチャを有しており、インフラストラクチャのデータベースにユーザのデータが格納されている場合が多い。このようなデータベースを用いることにより、たとえばフィットネスクラブは、イベントや割引についてユーザに通知することができ、さらに、サブスクリプションの終了について通知したり、提供したサービスについてユーザから意見を受信したりすることもできる。
現在のITサービスは、その多様化に伴ってハッカーからの悪質なサイバー攻撃の数も確実に増えている。攻撃が成功した場合、ハッカーはユーザの個人データにアクセスすることができ、ユーザに経済的または精神的な危害が生じ得る。(少なくとも不正行為を回避するため)ユーザのサービス登録が不可欠であるが、各サービスにはサービスを利用するユーザのデータを格納したデータベースが収容されているため、当該サービスへの攻撃が成功した場合、ユーザのデータにアクセス可能となり得る。
いわゆる標的型攻撃は上述のようなサービスで実行されることが多い。標的型攻撃は、特定のサービスプロバイダ、企業、組織または政府機関を対象とした攻撃である。セキュリティ・アプリケーションの開発者はこうした攻撃に対抗するための解決法を提案している。たとえば、標的型攻撃に対抗するために、特定の企業に関連するセキュリティイベントを分類し、標的型攻撃を特定し、当該攻撃に対抗する処置をとるシステムが知られている。
しかし、こうしたサービスからのユーザに関するデータ漏えいすべてを防ぐことは事実上不可能である。攻撃が成功してデータベースが漏えいした場合、当該サービスのユーザは、迷惑電話(intrusive calls)、スパムメールおよびSMSメッセージ、悪性ファイル、フィッシングリンクなど自装置に対する攻撃に後から直面することが多い。なお、この場合、当該サービスのユーザは実際そのサービスによって関連づけられており特定のハードウェアやソフトウェアに基づいて関連づけられているわけではないため、攻撃は装置モデルやオペレーティングシステムの種類と明確に関連してはいない。
本開示は、ユーザが自分の装置によってインタラクションするサービスからデータが漏えいした場合に当該装置を防御するという上記の課題を解決するシステムおよび方法に関する。
本開示の一側面では、ユーザが当該ユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対するサイバー攻撃に対抗するため、コンピュータで実行される方法を提供する。当該方法では、複数のユーザの個人データを収集して格納するサービスに対応するサービスデータを受信し、当該サービスとインタラクションするよう構成された複数のユーザの複数のコンピュータ装置に対応する装置データを受信する。当該方法ではさらに、受信したサービスデータおよび装置データに基づき、当該サービスからのユーザの個人データのデータ流出によって複数のコンピュータ装置のうち少なくとも一つにサイバー攻撃が発生していることを検出する。当該方法では、複数のコンピュータ装置のサブセットのクラスタを作成し、受信した装置データに基づいてサイバー攻撃の攻撃ベクトルを特定する。当該方法では、サイバー攻撃に対抗するためのアクションであって、特定された攻撃ベクトルに基づいて判定されたアクションを、クラスタ内のコンピュータ装置のサブセットに送信する。
別の側面では、受信したサービスデータは、複数のユーザの個人データのうち少なくとも一部の公的にアクセス可能な漏えいデータベースをさらに含む。
別の側面では、サイバー攻撃はサービスを参照してデータ流出した個人データを使用するという前提条件を含む基準を基に、サイバー攻撃を検出する。
別の側面では、受信した装置データに基づいてサイバー攻撃の攻撃ベクトルを特定する処理において、第1のユーザとインタラクションしているサービスがサイバー攻撃のソースであると判定する。
別の側面では、受信した装置データに基づいて攻撃の攻撃ベクトルを特定する処理において、攻撃の標的である第1のユーザの電子メールアドレスおよび当該第1のユーザの電話番号を含む要素グループを判定する。
別の側面では、サイバー攻撃に対抗するためのアクションを判定する処理はさらに、クラスタに自身の複数のコンピュータ装置が属している別のユーザの少なくとも一つのコンピュータ装置に対する攻撃ベクトルの特徴との照合に基づいて行われる。
別の側面では、当該方法においてさらに、複数の装置から受信した診断データに基づいてサイバー攻撃に対抗するためのアクションの有効性を判定し、判定された有効性に基づいてサイバー攻撃を検出して対抗するための1以上の基準を変更する。
本開示の別の側面では、ユーザが当該ユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対するサイバー攻撃に対抗するためのシステムを提供している。当該システムは、複数のユーザの個人データを収集して格納するサービスに対応するサービスデータを受信し、当該サービスとインタラクションする複数のユーザの複数のコンピュータ装置に対応する装置データを受信するよう構成されたハードウェアプロセッサを含む。当該プロセッサはさらに、受信したサービスデータおよび装置データに基づき、当該サービスからのユーザの個人データのデータ流出によって複数のコンピュータ装置のうち少なくとも一つにサイバー攻撃が発生していることを検出するよう構成されている。当該プロセッサはさらに、複数のコンピュータ装置のサブセットのクラスタを作成し、受信した装置データに基づいてサイバー攻撃の攻撃ベクトルを特定する。当該プロセッサは、サイバー攻撃に対抗するためのアクションであって、特定された攻撃ベクトルに基づいて判定されたアクションを、クラスタ内のコンピュータ装置のサブセットに送信するよう構成される。
別の例示的側面では、本明細書に記載するいずれかの方法を実行するためのコンピュータ実行可能命令を含む命令を備えたコンピュータ可読媒体を提供する。
上記の例示的側面の簡単な概要により、本開示を基本的に理解できるであろう。当該概要は、想定されるすべての側面の包括的な概観ではなく、全ての側面の主要または必要不可欠な要素を特定するものでも、本開示の側面の一部または全部の範囲を画するものでもない。本概要は、単に、以下の本開示の詳細な説明の前置きとして、1以上の側面を簡単に述べるものである。本開示の1以上の側面は、請求の範囲において説明され例示的に提示されている特徴を含む。
本明細書に組み込まれて本明細書の一部を構成する添付の図面は、本開示の1以上の例示的側面を図示するものであり、詳細な説明とともにその原理および実施形態を説明するものである。
図1は、一側面に係る、ユーザとユーザに関するデータを保持するサービスとのインタラクションを示すブロック図である。 図2は、一側面に係る、ユーザがユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対する攻撃に対抗するためのシステムを示すブロック図である。 図3は、一例示的側面に係る、ユーザがユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対する攻撃に対抗するための方法を示すフロー図である。 図4は、本開示の側面が実行されるコンピュータシステムの一例を示す図である。
ユーザがユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対する攻撃に対抗するためのシステム、方法、およびコンピュータプログラムプロダクトについて例示的側面を説明する。当業者であれば、以下の説明が単に例示的なものであって限定的なものではないことが理解できるであろう。他の側面についても、本開示の利益を享受する当業者は容易に理解できるであろう。以下、添付の図面に示す、例示的側面に係る実施形態を詳しく参照する。図面および以下の説明では、同じ又は同様の要素については可能な限り同じ参照符号を使用する。
本開示では、「システムモジュール」は、集積マイクロ回路(特定用途向け集積回路(application-specific integrated circuits;ASIC))またはフィールドプログラマブル・ゲート・アレイ(field−programmable gate array;FPGA)などのハードウェアの使用、あるいは、マイクロプロセッサシステムおよびプログラム命令一式などのソフトウェアとハードウェアの組み合わせ形式、ならびに、ニューロシナプティック・チップで実現される、実装置、システム、コンポーネント、コンポーネントグループのことを指す。システムモジュールの機能は、ハードウェアのみで実現することができ、また、システムモジュールの機能の一部をソフトウェアで実現し一部をハードウェアで実現するという組み合わせ形式で実現することもできる。特定の変形側面では、モジュールの一部または全部がコンピュータのプロセッサで実行され得る(一例を図4に示す)。システムコンポーネント(各モジュール)は、一台のコンピュータ装置内、あるいは、相互に接続された複数のコンピュータ装置間に広がって実現され得る。
本開示では、「コンピュータ攻撃(以下、攻撃)」は、情報、自動化情報システムのリソースへの標的型不正アクション、あるいは、ソフトウェアおよび/またはハードウェアを用いたこれらへの不正アクセスのことを指す。
図1は、一側面に係る、ユーザに関するデータを保持するサービスとユーザとのインタラクション101を示すブロック図である。ユーザ110とユーザに関するデータを保持するサービス120(以下、サービス)とのインタラクション101は、通常、コンピュータ装置130(以下、装置)を用いて行われる。装置130は、スマートフォン、コンピュータ、またはタブレットPCでもよい。通常、インタラクション101は双方向である(インタラクションはユーザ110またはサービス120のいずれかによって発生または開始される)。たとえば、ユーザ110はアカウント記録によって特定のサービス120にアクセスでき、サービス120は電子メールや携帯電話番号にメッセージを送ることによってユーザ110に通知することができる(ユーザ110は、サービス120からのメールを読んだり、電話を受信したりするために装置130を使用する)。特定の変形側面では、ユーザ110は、特定の装置130によって一方向でサービス120とインタラクションする。たとえば、ユーザ110はSMSメッセージによってサービス120とインタラクションすることはないものの、サービス120から当該メッセージを受信する。一変形側面では、ユーザ110は、(たとえば、パーソナルコンピュータやスマートフォンによって電子メールをチェックしたりソーシャルネットワークを利用したりするために)異なる装置130によってサービスとインタラクションしてもよい。
ユーザに関する特定の形式のデータは、一般的に、データベース125やその他の種類の記憶モジュールなど、サービス120のインフラストラクチャを用いてサービス120に格納される。通常、ユーザ110は、登録処理(以下、登録)を実行し、ユーザ110の識別度合いの異なる個人情報をサービス120に提供する。一例では、たとえば、サービス120の登録には登録を確認する電子メールが必要となる。別の例では、たとえば、ユーザ110の登録は、フィットネスクラブに出向いてそのフィットネスクラブと契約を結び、パスポートやその他のデータを契約書に記入することによって行われる。
図2は、一側面に係る、ユーザがユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対する攻撃に対抗するためのシステム200を示すブロック図である。なお、システムの一変形側面では、ユーザに関するデータはユーザの個人データである。一部の側面では、個人データは個人識別可能情報(personally identifiable information;PII)でもよい。一部の側面では、個人データは、当該データの収集、格納、アクセス、頒布、および処理に制約を設けるデータポリシーや規定に則ったものでもよい。一部の側面では、ユーザに関するデータは、ユーザ名、パスワード、セキュリティ質問、その他のログイン認証情報、および/または、それらから導出される情報(たとえば、パスワードのハッシュ値)等、ユーザをサービスで認証するために使用されるデータを含んでいてもよい。
ユーザ110がユーザに関するデータを保持するサービス120とインタラクションする手段であるコンピュータ装置130に対する攻撃に対抗するためのシステム200は、通常、セキュリティ・アプリケーション(アンチウィルス・アプリケーション等)の一部であり、収集モジュール210、解析モジュール220、および攻撃対抗モジュール230を含む。
当該側面における収集モジュール210は、通常、ユーザ110がサービス120とインタラクションする手段である装置130において実行される。収集モジュール210は、アンチスパムモジュール、アンチフィッシングモジュール、または発信者IDモジュール(たとえば、Kaspersky WhoCalls(登録商標)で使用可能)などのアンチウィルス・アプリケーションの既知のコンポーネントの様式であってもよい。収集モジュール210は、ユーザ110がインタラクションするサービス120に関するデータ、および、ユーザ110がサービス120とインタラクションする手段である装置130に関するデータを収集するよう構成される。
一側面では、サービス120に関するデータ(すなわち、サービスについてのデータ)は、サービス120の種類(サイト、電子メール、組織)、サービス120によって収集されたユーザ110の個人データ、サービス120の場所、および、サービス120とインタラクションする目的を含んでもよいが、これらに限定されない。一側面では、装置130に関するデータ(すなわち、装置についてのデータ)は、装置130の種類(スマートフォン、タブレット、ノート型パーソナルコンピュータ)、装置130が実行されているオペレーティングシステム、ユーザ110がサービス120とインタラクションする手段である装置130のアプリケーションに関するデータ、装置130にインストールされた既知の脆弱なアプリケーション、装置130のオペレーティングシステム(OS)およびアプリケーション用にインストールされたセキュリティパッチ、および、装置130の場所を含んでもよいが、これらに限定されない。
一変形側面では、収集モジュール210はさらに、少なくとも上記のサービス120の一つからユーザに関するデータが漏えいしたことによって攻撃が発生したことを示すデータも収集する。データ漏えいやデータ流出は、通常、ハッカーがユーザ110に関するデータにアクセスしてサービス120への攻撃に成功した場合に発生する。その後、ハッカーは、ソーシャルエンジニアリングや、悪性のプログラムおよびリンクといった様々な手法を利用し、ユーザの個人(秘密)データに不正アクセスするためにユーザ110やその装置130の制御を試みることができる。攻撃は、たとえば、ユーザ110が不明なアドレスから添付ファイルの付いた電子メールを受信した場合や特定のセルラオペレータの不明な番号から電話を着信した場合など、少なくとも一つの攻撃検出の基準を基に検出される。一般的なケースでは、これらの基準はより詳細なヒューリスティックによって変更や説明がされ得る。一変形側面では、基準は統計データに基づいて自動的に設定される。別の変形側面では、基準はコンピュータセキュリティの専門家とともに設定される。一般的なケースでは、当該基準は遠隔サーバに保持され、収集モジュール210によって解析モジュール220から受信される。
一例示的側面では、収集されたデータは匿名データである。一側面では、収集されたデータはデータ匿名化のため(収集モジュールなどによって)変更される。
一変形側面では、攻撃に対抗するために実行されたアクションに関する情報は、攻撃対抗モジュール230から受信される。少なくとも一つの基準に則って攻撃が先に特定されていた場合、収集モジュール210は、解析モジュール220によって設定されたクラスタ(以下に記載)の他のユーザ110の装置130に対する先に特定されていた攻撃を特定し、実行されたアクションおよびアクション実行後に上記の基準によって攻撃が検出されたか否かについての情報を解析モジュール220に送信する。
一変形側面では、収集モジュール210は、遠隔サーバ290上で実行されるか、あるいは、クラウドサービスとして実行される。この場合、収集モジュール210は、インターネット280上およびインターネット(Torネットワーク等)によってアクセス可能なネットワーク上でアクセス可能なユーザ110に関するデータを保持するサービス120のデータを収集して解析する。一変形側面では、たとえば売渡や無料配布されたユーザデータベースなど、ネットワークに「漏えいした」データについて解析が行われる。銀行データベースやユーザの電子メールアドレス、さらにはユーザ110がインタラクションする様々な組織のデータベースなどの、データベースの「漏えい」が多く知られている。
収集モジュール210によって収集されたデータは解析モジュール220へ送信される。
解析モジュール220は、遠隔サーバ290上で実行されるか、あるいは、クラウドサービスとして実行され得る。一般的なケースでは、解析モジュール220は、収集モジュール210から取得されたデータに基づいて、ユーザ110がサービス120とインタラクションする手段である装置130のクラスタを作成(設定)するよう構成される。
一変形側面では、上記のクラスタは継続的に作成される。たとえば、一定時間経過後、解析モジュール220は、ユーザ110がどのサービス120とどの装置130によってインタラクションしているかを判定する解析を行う。一変形側面では、解析モジュール220は、一定条件下でクラスタからユーザ110の装置130を除外することができる。たとえば、ユーザ110が装置130によってサービス120とのインタラクションを一定期間行っていないと判定された場合、あるいは、装置130自体がユーザ110の元に長期間存在していないと判定された場合、解析モジュール220は設定されたクラスタから当該装置を除外することができる。
別の変形側面では、実際に攻撃が出現した時点で、すなわち、同時サイバー攻撃の検出に応じて、クラスタが動的に作成される。
上記の例で説明したとおり、装置130に対する攻撃は基準を基に特定され得る。解析モジュール220は実際の攻撃に基づいて攻撃の攻撃ベクトルを特定する。攻撃ベクトルは、セキュリティに対する脅威を実現する際の、ハッカー側の装置130に対するアクションの方向性または具体的な方法である。一側面では、攻撃ベクトルは、装置130またはサービス120に不正アクセスするためにハッカーや悪意ある主体が使用する経路または手法でもよい。セキュリティに対する脅威を実現する際、ハッカーは、情報システムのネットワークプロトコルにおけるセキュリティ欠陥に加え、システムソフトウェアやアプリケーションソフトウェアにおける不十分な保護レベル、設定ミス、またはバグなどの様々な脆弱性を悪用し得る。
攻撃ベクトルを画定する特徴として、(i)攻撃のソース又はソースグループ、(ii)攻撃の標的である要素又は要素グループ、(iii)アクションの種類、および、(iv)アクションの媒介手段(インストルメント)などがある。
攻撃のソースは、通常、ユーザ110がインタラクションしているサービス120である。サービス120は、攻撃中に、リンク、SMSまたは電子メールを配布する。なお、特定のケースでは、ソースはサービス120ではない場合がある。たとえば、悪性ファイルはコンパクトディスクやフラッシュドライブによって取り込まれる場合がある。しかし、こうしたケースでも、たとえばディスクやドライブはユーザが特定のサービス120(PRキャンペーンの一環としてフィットネスクラブやレストラン等)から得たものであるとして、解析モジュール220は攻撃のソースへのリンクを見つけることができる。
攻撃の標的である要素は、通常、一ユーザ110または複数ユーザ110の装置130である。攻撃は、たとえば、攻撃の範囲拡大や成功確率向上などのハッカーの観点により、ユーザの複数の装置130で同時に発生し得る。ハッカーが電子メールや電話番号などを含むユーザ110のデータにアクセスした場合、ユーザ110は電子メールや電話呼出を受信する可能性がある。
(悪意ある)アクションの種類の例は上述したとおりである。悪意あるアクションの種類には、リンク、SMS又は電子メール、応答マシンのテキスト、音声および動画のメッセージ、ならびに、(人又はロボットからの)応答マシンへの電話も含まれる。
アクションの媒介手段(インストルメント)は、(ハッカーが、SMSまたはソーシャルネットワークによって、ユーザからユーザの銀行カードデータなどを取得しようとした場合)ソーシャルエンジニアリング技術を含む悪性のファイル、スクリプト、テキスト、あるいは、迷惑電話である。
よって、「漏えいした」データベース、(Avitoなどの)インターネットサイトのユーザ登録、侵入者によるサイトの一時的ハッキング(ニュースサイト、または、コンピュータゲームや特定の話題を専門としたサイトの一時的ハッキングなど)により、ハッカーは取得したユーザ110に関するデータに基づいて装置130を攻撃することができる。
一変形側面では、攻撃ベクトルを特定する際、解析モジュール220は攻撃ベクトルの特徴と他のユーザ110の装置130に対する攻撃とを比較する。該当クラスタに自身の複数の装置が属している別のユーザ110の少なくとも一つの装置130に対する攻撃ベクトルの特徴と一致した場合、解析モジュール220は、該当クラスタに含まれる装置130の攻撃対抗モジュール230に攻撃についてのデータを送信する。一変形側面では、解析モジュール220は、攻撃に対抗するために実行する必要がある少なくとも一つのアクションに関する情報も送信する。
一変形側面では、解析モジュール220は、以前に実行されたアクションに関する情報、および、アクション実行後のどのタイミングで攻撃検出のための基準がトリガされたかについての情報を、収集モジュール210から受信する。解析モジュール220は、収集モジュール210から取得したデータに基づき、攻撃に対抗するために実行されたアクションの有効性を解析する。一般的なケースでは、結果として他のユーザ110の装置130に対する攻撃を検出する上述の基準によって攻撃が検出されなかった場合、実行したアクションは有効であると判断される。
一変形側面では、解析モジュール220はフィードバックとしてユーザ110自身との(SMS、電子メール、メッセンジャー、電話などによる)インタラクション(通信)を使用する。解析モジュール220は、フィードバックに基づき、攻撃が正確に判定(特定または検出)されたか、あるいは、ユーザ110が攻撃を誤認警報と判断したかを把握する。
一変形側面では、解析モジュール220は、ユーザ110からデータ漏えいのソースについての仮説に関する情報を受信する。たとえば、ユーザはこれまでSMS(スパム)メールを受信したことはなかったものの、最近になってスポーツクラブに入会してからスポーツをテーマとしたスパムメールが送られるようになった場合、ユーザは、当該クラブに入会してからメール送信が始まったと考える。こうした情報は、装置130のクラスタをより正確に設定し、攻撃ベクトルを特定するため、解析モジュール220によって使用される。
一変形側面では、解析モジュール220は、装置130のクラスタと攻撃ベクトルを特定する際、ユーザに関するデータの漏えいのソースについてユーザ110に通知する。なお、ユーザは損害についての賠償や訴訟あるいは契約解消を求め、自分のデータをサービス120から削除するよう要求することもできるが、これは過去のデータ漏えいではなく新たなデータ漏えいについてのみ可能である。さらに別の変形側面では、解析モジュール220は、ユーザ110に関するデータの漏えいの発生元であるサービス120に通知を行う。これにより、サービス120は、自身のセキュリティシステムの検査、漏えいの原因の特定、および、漏えいの繰り返しを防止する処置などを行うことができる。さらに、この場合、サービス120は漏えいについて自ら他のユーザ110に通知することもできる。
一般的な側面における攻撃対抗モジュール230は、ユーザ110がサービス120とインタラクションする手段であるユーザ110の装置上で実行される。一般的なケースでは、攻撃対抗モジュール230は、攻撃に対抗するために解析モジュール220から取得したアクションを実行する。一例では、攻撃対抗モジュール230は、攻撃について警告するテキストを送信することができる。別の例では、攻撃対抗モジュール230は、ブロックリストにリンク(URLまたはURLを含むHTML等)の追加、(電話および留守番電話の両方の)ブロックリストに電話番号の追加、および/または、ブロックリストに送信者の電子メールアドレスの追加をすることもできる。別の例では、攻撃対抗モジュール230は、特別な経路によってオペレーティングシステム(OS)キャッシュや所定のアプリケーションからファイルを削除することができる。別の例では、攻撃対抗モジュール230は、装置130の所定のクラスタに対応するベクトルからの攻撃に対抗するセキュリティ・アプリケーション技術の「改良」モードに自動的に切り替えることができる。
一変形側面では、攻撃対抗モジュール230は、実行されたアクションについての情報を収集モジュール210に送信する。収集モジュール210が攻撃検出のための基準に基づいて攻撃を特定しなくなった場合(たとえば、ユーザが、リンクを含むSMSを受信したものの、当該リンクがブロックリストに追加されていたためにクリックしなかった場合)、これに関するデータも解析モジュール220に送られて攻撃対抗のために選択されたアクションの有効性を評価するということは、上記の説明からも理解できるであろう。装置130の多様性やセキュリティ・アプリケーションの権限の観点から、これは重要なことである。たとえば、セキュリティ・アプリケーションはオペレーティングシステムによって異なる権限を有しているため、同じ種類(携帯電話など)の異なる装置130に対して同じ攻撃対抗アクションを実行することが必ずしも適切であるとは限らない(たとえば、セキュリティ・アプリケーションはアンドロイドOSやiOSにおいて異なる権限セットを有しているため)。
以下の状況は、本明細書に記載するシステム200のオペレーションの一例となり得る。仮想通貨資産を正規に取引する仮想通貨取引サービスにおいて、データ漏えいにつながるサイバー攻撃が成功したとする。取引サービスの登録ユーザの一部は認証を受け、その他のユーザは銀行カードで現金を引き出していたため、個人データ(パスポートの写真、電話番号、銀行カード番号)がハッカーからアクセス可能となった。よって、上記の取引は、ユーザ110に関するデータを保持するサービス120に該当する。サービス120には、データベースの漏えいを防ぐための適切な防御手段やソフトウェアがなかったため、ハッカーからアクセス可能となったユーザ110のデータを保護する必要がある。なお、このような状況では、ユーザ110のデータを含むデータベースが公的にアクセス可能である場合、異なるハッカーグループから1以上の異なる(後続の)攻撃が発生する可能性がある。つまり、ユーザ110のデータを伴うデータベースに含まれる個人データを用いて、1以上のサイバー攻撃が立て続けに発生し得る。
ハッカーは様々なベクトルによって後続の攻撃を開始する。たとえば、ハッカーは、電子メールによって悪性添付ファイル(フィッシングリンクおよびキーロガープログラム)を含むメッセージを送信し、ユーザ110のパスポートデータやカード番号を用いて銀行に電話し(ソーシャルエンジニアリング等)、電話したりSMSを送信したりしてソーシャルネットワークによってユーザ110に接触し、ユーザ110からその他のデータを得ようとする。
収集モジュール210は、攻撃検出基準に基づいて、SMS、電話、および電子メールに関するデータを収集する。たとえば、不明の送信者からの電子メールに仮想通貨バスケットのアドレスや投資についてのキーワードが入った提案が含まれているという前提条件を有する基準を基に、収集モジュール210はデータを収集してもよい。さらに、収集モジュール210は、ユーザが上述の取引サービスとインタラクションしていることについてのデータを予め収集する。さらに、収集モジュール210は、ネットワークTor内の専用フォーラム上でユーザ110に関するデータを含む上述のデータベースを発見する。
解析モジュール220にデータを送信した後、ユーザ110の装置130のクラスタが設定される。ユーザ110は、異なるオペレーティングシステムの制御下で様々なモバイル機器やPCを使用する。さらに、解析モジュール220によって攻撃ベクトルが判定される。解析モジュール220は、装置130の種類や装置130のOSに応じて装置130に対する攻撃に対抗するためのアクションを選択する。これらのアクションはユーザ110の装置130に送られ、攻撃対抗モジュール230によって実行される。
この結果、一部の攻撃ベクトルは出現しなくなる(あるいは、出現数が大幅に減る)一方で、それ以外の攻撃ベクトルについては変化がなかった。攻撃対抗モジュール230がアクションを実行した後に解析モジュール220が収集モジュール210から取得したデータにより、解析モジュール220は、採用されたアクションの有効性を算出することができる。有効性が閾値以下の場合、他のアクションや追加のアクションが選択され、攻撃対抗モジュール230に送信される。
システム200のオペレーションの方法は継続され、新たな攻撃が発見されると、システムの一連のアクションが繰り返される。
図3は、一例示的側面に係る、ユーザがユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対する攻撃に対抗するための方法300を示すフロー図である。
ステップ310では、収集モジュール210を用いて、ユーザ110が装置130によってインタラクションしているサービス120に関するデータ、および、装置130に関するデータを収集する。一変形側面では、収集モジュール210はさらに、ユーザ110に関するデータを保持するサービス120についてインターネット上でアクセス可能なデータを収集するよう構成されている。一側面では、(たとえば、遠隔サーバ290で実行される)収集モジュール210は、複数のユーザ110の個人データを収集して格納するサービス120(オンラインサービス、ブリック・アンド・モルタル・サービス等)に対応するサービスデータを受信することができる。一側面では、収集モジュール210は、サービス120とインタラクションするよう構成される複数のユーザ110の複数のコンピュータ装置130に対応する装置データを受信することができる。一側面では、受信したサービスデータは、複数のユーザの個人データのうち少なくとも一部の公的にアクセス可能な漏えいデータベースを含んでもよい。一部の側面では、受信したサービスデータにより、サービスの種類、サービスによって収集された複数のユーザの個人データ、サービスの場所、および、サービスとインタラクションするユーザの目的が特定される。一部の側面では、受信した装置データにより、各コンピュータ装置の種類、各コンピュータ装置が実行されているオペレーティングシステム、および、ユーザがサービスとインタラクションする手段である各コンピュータ装置上のアプリケーションのデータのうち少なくとも一つが、複数のコンピュータ装置の各々について特定される。
ステップ320では、収集モジュール210は、上記のサービス120の少なくとも一つからユーザ110に関するデータが漏えいしたことによって発生した攻撃を攻撃検出のための少なくとも一つの基準を基に特定する装置に関するデータを収集するために使用される。収集されたデータは解析モジュール220に送信される。
一側面では、解析モジュール220は、サービス120からユーザ110の個人データがデータ流出したことによって発生した複数のコンピュータ装置130のうちの少なくとも一つに対するサイバー攻撃を(たとえば、受信したサービスデータおよび装置データに基づいて)検出することができる。一部の側面では、解析モジュール220は、サイバー攻撃はサービスを参照してデータ流出した個人データを使用するという前提条件を含む基準を基に、サイバー攻撃を検出することができる。たとえば、解析モジュール220は、第1のユーザが会員であり連絡先情報(すなわち個人データ)として電子メールアドレス<john@email.com>を登録している仮想通貨取引サービスにおいてデータ流出が発生したことを示すサービスデータを解析することができる。解析モジュール220は、仮想通貨取引サービスを参照したり、あるいは、仮想通貨取引のアドレスや仮想通貨投資についてのキーワードが入った提案を含んでいたりする、漏えいした電子メールアドレス<john@email.com>宛の不審な電子メールを第1の装置が受信したことを示す第1のコンピュータ装置からの装置データを解析することができる。不審な電子メールは、未認証または不明の送信者から送信されたり、フィッシングリンクを含んでいたりする場合がある。
一側面では、解析モジュール220は、データ漏えいのソースについての手がかりや示唆を示すユーザ110からの情報に基づいて攻撃を判定することもできる。受信した手がかりは、データ漏えいのソース候補を示す場合がある。たとえば、ユーザはこれまでSMS(スパム)メールを受信したことはなかったものの、最近になってスポーツクラブに入会してからスポーツをテーマとしたスパムメールが送られるようになったとする。この例では、解析モジュール220は、当該クラブに入会してからメール送信が始まったとするユーザの考えを示す表示をユーザから受信することができる。こうした情報は、装置130のクラスタをより正確に設定し、攻撃ベクトルを特定するため、解析モジュール220によって使用される。
ステップ330では、収集モジュール210が収集したデータに基づいて、ユーザ110がユーザに関するデータを保持するサービス120とインタラクションする手段である装置130のクラスタを作成するため、解析モジュール220を使用する。一側面では、解析モジュール220は、受信したサービスデータおよび装置データに基づいて、複数のコンピュータ装置130のサブセットのクラスタを作成してもよい。
ステップ340では、攻撃ベクトルの特徴に基づいて攻撃ベクトルを特定するために解析モジュール220を使用する。攻撃ベクトルを判定する特徴は、少なくとも、(i)攻撃のソース又はソースグループ、(ii)攻撃の標的である要素又は要素グループ、(iii)アクションの種類、および、(iv)アクションの媒介手段(インストルメント)でもよい。
一側面では、解析モジュール220は、受信した装置データに基づいてサイバー攻撃の攻撃ベクトルを特定することができる。一部の側面では、受信した装置データに基づいてサイバー攻撃の攻撃ベクトルを特定する処理において、第1のユーザとインタラクションしているサービスがサイバー攻撃のソースであると判定することができる。一部の側面では、受信した装置データに基づいて攻撃の攻撃ベクトルを特定する処理において、攻撃の標的である第1のユーザの電子メールアドレスおよび当該第1のユーザの電話番号を含む要素グループを判定する。たとえば、ハッカーが電子メールアドレスや電話番号などのユーザ110の個人データにアクセスした場合、ユーザ110は電子メールや電話呼出を受信する可能性がある。他の側面では、受信した装置データに基づいて攻撃の攻撃ベクトルを特定する処理において、悪意のあるアクションの種類を判定すること、および/または、アクションの媒介手段(インストルメント)を判定することができる。
ステップ350では、解析モジュール220は、攻撃に対抗するための少なくとも一つのアクションを選択するために使用され、当該アクションは、該当クラスタに自身の複数の装置130が属している別のユーザ110の少なくとも一つの装置130に対する攻撃ベクトルの特徴と一致した場合、該当クラスタのすべてのユーザ110の装置130の攻撃対抗モジュール230に送信される。一側面では、解析モジュール220は、特定された攻撃ベクトルに基づいてサイバー攻撃に対抗するためのアクションを判定し、アクションの仕様をクラスタ内のコンピュータ装置130のサブセットに送信することができる。一部の側面では、サイバー攻撃に対抗するためのアクションは、さらに、クラスタに自身の複数のコンピュータ装置が属している別のユーザの少なくとも一つのコンピュータ装置に対する攻撃ベクトルの特徴との照合に基づいて判定される。たとえば、サイバー攻撃に対抗するためのアクションは、該当クラスタに自身の複数の装置130が属している別のユーザ110の少なくとも一つの装置130に対する攻撃ベクトルの特徴と一致した場合、該当クラスタのすべてのユーザ110の装置130のコンピュータセキュリティモジュール(攻撃対抗モジュール230等)に送信される。
ステップ360では、ユーザ110のコンピュータ装置130に対する攻撃に対抗するアクションを実行するために攻撃対抗モジュール230を使用する。
一変形側面では、ステップ320の後で実行されるステップ370において、解析モジュール220はさらに、収集モジュール210から取得したデータに基づいて、攻撃に対抗するために実行されたアクションの有効性を解析する。一般的なケースでは、結果として他のユーザ110の装置130に対する攻撃を検出するための上述の基準によって攻撃が検出されなかった場合、実行したアクションは有効であったと判断される。一側面では、解析モジュール220は、複数の装置から受信した診断データに基づいてサイバー攻撃に対抗するためのアクションの効果を判定し、判定された効果に基づいて、サイバー攻撃を検出して対抗するための1以上の基準を変更してもよい。
図4は、ユーザがユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対する攻撃に対抗するためのシステムおよび方法の側面が一例示的側面に基づいて実行され得るコンピュータシステム20を示すブロック図である。なお、コンピュータシステム20は、たとえば、上記で説明したコンピュータ装置130、サービス120のサーバ、および遠隔サーバ290等に相当し得る。
図示されているとおり、コンピュータシステム20(パーソナルコンピュータまたはサーバでもよい)は、中央処理装置21、システムメモリ22、および、中央処理装置21に対応するメモリを含む様々なシステムコンポーネントを接続するシステムバス23を備える。当業者に理解されるとおり、システムバス23は、バスメモリまたはバスメモリ制御部、周辺バス、および他のバスアーキテクチャと相互作用可能なローカルバスを含んでもよい。システムメモリは、永久メモリ(ROM)24およびランダムアクセスメモリ(RAM)25を含んでもよい。基本入力/出力システム(basic input/output system;BIOS)26は、ROM24を使用してオペレーティングシステムをロードする時などの、コンピュータシステム20の要素間の基本的な情報転送手順を記憶してもよい。
コンピュータシステム20は、さらに、データの読み取りおよび書き込みを行うハードディスク27、取り外し可能な磁気ディスク29の読み取りおよび書き込みを行う磁気ディスクドライブ28、ならびに、CD−ROM、DVD−ROMおよびその他の光学媒体等の取り外し可能な光学ディスク31の読み取りおよび書き込みを行う光学ドライブ30を含んでもよい。ハードディスク27、磁気ディスクドライブ28、および光学ドライブ30は、それぞれ、ハードディスクインタフェース32、磁気ディスクインタフェース33、および光学ドライブインタフェース34を介して、システムバス23に接続されている。ドライブおよびそれに対応するコンピュータ情報媒体は、コンピュータ命令、データ構造、プログラムモジュールおよびその他のコンピュータシステム20のデータを記憶するための独立電源型モジュールである。
例示的側面は、コントローラ55を介してシステムバス23に接続される、ハードディスク27、取り外し可能な磁気ディスク29、および取り外し可能な光学ディスク31を用いるシステムを備えている。コンピュータによって読み取り可能な形式でデータを記憶できる媒体56(ソリッド・ステート・ドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)等)であればどのようなものでも利用できることは、当業者であれば理解できるであろう。
コンピュータシステム20は、オペレーティングシステム35が記憶され得るファイルシステム36、ならびに、追加プログラムアプリケーション37、その他のプログラムモジュール38およびプログラムデータ39を有する。コンピュータシステム20のユーザは、キーボード40、マウス42、またはマイク、ジョイスティック、ゲームコントローラ、スキャナ等(これらに限定されない)のその他の当業者に知られている入力装置を使用して命令や情報を入力することができる。これらの入力装置は、通常、シリアルポート46を介してコンピュータシステム20に差し込まれ、システムバスに接続される。ただし、当業者であれば、入力装置は、パラレルポート、ゲームポート、またはユニバーサルシリアルバス(USB)等(これらに限定されない)を介するその他の方法でも接続され得ることがわかるであろう。モニタ47やその他のタイプの表示装置も、ビデオアダプタ48などのインタフェースを介してシステムバス23に接続されてもよい。モニタ47に加え、パーソナルコンピュータは、ラウドスピーカやプリンタ等のその他の周辺出力装置(図示せず)を装備していてもよい。
コンピュータシステム20は、1以上のリモートコンピュータ49へのネットワーク接続を使用して、ネットワーク環境で動作してもよい。一台(または複数)のリモートコンピュータ49は、上述のコンピュータシステム20の性質で説明した要素の大部分もしくはすべてを含むローカルコンピュータワークステーションまたはサーバでもよい。以下に限定されないが、ルータ、ネットワークステーション、ピア装置またはその他のネットワークノードなど他の装置も、コンピュータネットワーク内に存在してもよい。
ネットワーク接続により、ローカルエリア・コンピュータネットワーク(LAN)50およびワイドエリア・コンピュータネットワーク(WAN)が形成される。これらのネットワークは、企業コンピュータネットワークおよび社内ネットワークで使用され、通常はインターネットにアクセスできる。LANまたはWANネットワークでは、パーソナルコンピュータ20は、ネットワークアダプタまたはネットワークインタフェース51を介して、ローカルエリア・ネットワーク50に接続されている。ネットワークが使用されると、コンピュータシステム20は、モデム54、または、インターネットなどのワイドエリア・コンピュータネットワークによって通信を可能にする、当業者に周知のその他のモジュールを使用することができる。内部装置または外部装置であるモデム54は、シリアルポート46によってシステムバス23に接続されてもよい。このネットワーク接続が、通信モジュールを使用して一つのコンピュータを別のコンピュータに接続させる数々の周知の方法の非限定的な例であることは、当業者であればわかるであろう。
種々の側面において、本明細書に記載するシステムおよび方法は、ハードウェア、ソフトウェア、ファームウェアまたはその組み合わせにおいて実行されてもよい。ソフトウェアで実行される場合、この方法は1以上の命令またはコードとして非一時的なコンピュータ可読媒体に記憶されてもよい。コンピュータ可読媒体はデータ記憶装置も含む。一例では、このコンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、その他の電気、磁気または光学記憶媒体、あるいは、命令やデータ構造の形式で所望のプログラムコードを伝達または記憶するために使用し、汎用コンピュータのプロセッサからアクセス可能な、その他の媒体を含んでもよいが、これらに限定されない。
種々の側面において、本明細書に記載したシステムおよび方法は、モジュールによって処理することができる。本明細書の「モジュール」という用語は、たとえば、特定用途向け集積回路(ASIC)またはフィールド・プログラマブル・ゲート・アレイ(FPGA)などのハードウェア、あるいは、モジュールの機能を実行するマイクロプロセッサシステムおよび命令一式などのハードウェアとソフトウェアとの組み合わせによって実行される、実装置、コンポーネントまたは一組のコンポーネントのことを指しており、これらは(実行中に)マイクロプロセッサシステムを専用装置に変換する。モジュールは、一部の機能をハードウェアのみで実行させ、他の機能をハードウェアとソフトウェアの組み合わせによって実行させるという、2つの組み合わせで実行させることもできる。特定の実施形態では、モジュールの少なくとも一部、または、場合によってすべてが、汎用コンピュータのプロセッサで実行されてもよい(上記図4で詳しく説明)。よって、各モジュールは、様々な適切な設定で実行され得るものであって、本明細書で例示した特定の実施形態に限定されるものではない。
なお、明瞭化のため、各側面の一般的な特徴すべてについては開示しない。本開示の実際の実装を開発する際、開発者の具体的な目的を達成するためには実装に応じた数々の決定を行わなければならず、具体的な目的は実装や開発者によって異なることに留意されたい。こうした開発上の取り組みは、複雑で時間を要するものであるが、本開示の利益を享受する当業者にとっては日常の作業であることを理解されたい。
更に、本明細書で使用する用語又は表現は、あくまでも説明のためであり、限定するものではないことを理解されたい。よって、本明細書の用語又は表現は、関連技術の熟練者の知識と組み合わせて、本明細書に示す教示及び指針に照らして当業者によって解釈されたい。明細書又は特許請求の範囲における用語はいずれも、特に明記していない限り、一般的でない意味や特別な意味をもつものではない。
本明細書で開示した様々な側面は、本明細書で例示した既知のモジュールの、現在及び将来の既知の均等物を包含する。本明細書では、複数の側面及び応用例を示して説明したが、本明細書に開示した発明の概念の範囲内で、上記よりも多くの変形例が可能であることは、本開示の利益を享受する当業者にとって明らかであろう。

Claims (21)

  1. ユーザが当該ユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対するサイバー攻撃に対抗するためのコンピュータで実行される方法であって、
    複数のユーザの個人データを収集して格納するサービスに対応するサービスデータを受信し、
    前記サービスとインタラクションする前記複数のユーザの複数のコンピュータ装置に対応する装置データを受信し、
    前記受信したサービスデータおよび装置データに基づき、前記サービスからの前記ユーザの個人データのデータ流出によって前記複数のコンピュータ装置のうち少なくとも一つにサイバー攻撃が発生していることを検出し、
    前記複数のコンピュータ装置のサブセットのクラスタを作成し、
    前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定し、
    前記サイバー攻撃に対抗するためのアクションであって、前記特定された攻撃ベクトルに基づいて判定されたアクションを、前記クラスタ内のコンピュータ装置のサブセットに送信する
    ことを含む方法。
  2. 前記受信したサービスデータは、前記複数のユーザの個人データのうち少なくとも一部の公的にアクセス可能な漏えいデータベースをさらに含む、請求項1に記載の方法。
  3. 前記サイバー攻撃は前記サービスを参照して前記データ流出した個人データを使用するという前提条件を含む基準を基に、前記サイバー攻撃を検出する、請求項1に記載の方法。
  4. 前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定する処理は、第1のユーザとインタラクションしている前記サービスが前記サイバー攻撃のソースであると判定することを含む、請求項1に記載の方法。
  5. 前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定する処理は、前記サイバー攻撃の標的である第1のユーザの電子メールアドレスおよび当該第1のユーザの電話番号を含む要素グループを判定することを含む、請求項1に記載の方法。
  6. 前記サイバー攻撃に対抗するためのアクションを判定する処理はさらに、前記クラスタに自身の複数のコンピュータ装置が属している別のユーザの少なくとも一つのコンピュータ装置に対する前記攻撃ベクトルの特徴との照合に基づいて行われる、請求項1に記載の方法。
  7. 前記複数のコンピュータ装置から受信した診断データに基づいて前記サイバー攻撃に対抗するためのアクションの有効性を判定し、
    前記判定された有効性に基づいてサイバー攻撃を検出して対抗するための1以上の基準を変更する、
    ことをさらに含む請求項1に記載の方法。
  8. ユーザが当該ユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対するサイバー攻撃に対抗するためのシステムであって、
    複数のユーザの個人データを収集して格納するサービスに対応するサービスデータを受信し、
    前記サービスとインタラクションする前記複数のユーザの複数のコンピュータ装置に対応する装置データを受信し、
    前記受信したサービスデータおよび装置データに基づき、前記サービスからの前記ユーザの個人データのデータ流出によって前記複数のコンピュータ装置のうち少なくとも一つにサイバー攻撃が発生していることを検出し、
    前記複数のコンピュータ装置のサブセットのクラスタを作成し、
    前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定し、
    前記サイバー攻撃に対抗するためのアクションであって、前記特定された攻撃ベクトルに基づいて判定されたアクションを、前記クラスタ内のコンピュータ装置のサブセットに送信する
    ハードウェアプロセッサを備えるシステム。
  9. 前記受信したサービスデータは、前記複数のユーザの個人データのうち少なくとも一部の公的にアクセス可能な漏えいデータベースをさらに含む、請求項8に記載のシステム。
  10. 前記サイバー攻撃は前記サービスを参照して前記データ流出した個人データを使用するという前提条件を含む基準を基に、前記サイバー攻撃を検出する、請求項8に記載のシステム。
  11. 前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定する前記プロセッサは、さらに、
    第1のユーザとインタラクションしている前記サービスが前記サイバー攻撃のソースであると判定する、請求項8に記載のシステム。
  12. 前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定する前記プロセッサは、さらに、
    前記サイバー攻撃の標的である第1のユーザの電子メールアドレスおよび当該第1のユーザの電話番号を含む要素グループを判定する、請求項8に記載のシステム。
  13. 前記サイバー攻撃に対抗するためのアクションを判定する前記プロセッサは、さらに、
    前記クラスタに自身の複数のコンピュータ装置が属している別のユーザの少なくとも一つのコンピュータ装置に対する前記攻撃ベクトルの特徴との照合に基づいて前記アクションを判定する、請求項8に記載のシステム。
  14. 前記プロセッサは、さらに、
    前記複数のコンピュータ装置から受信した診断データに基づいて前記サイバー攻撃に対抗するためのアクションの有効性を判定し、
    前記判定された有効性に基づいてサイバー攻撃を検出して対抗するための1以上の基準を変更する、請求項8に記載のシステム。
  15. ユーザが当該ユーザに関するデータを保持するサービスとインタラクションする手段であるコンピュータ装置に対するサイバー攻撃に対抗するためのコンピュータ実行可能命令を含む、非一時的コンピュータ可読媒体であって、
    複数のユーザの個人データを収集して格納するサービスに対応するサービスデータを受信し、
    前記サービスとインタラクションする前記複数のユーザの複数のコンピュータ装置に対応する装置データを受信し、
    前記受信したサービスデータおよび装置データに基づき、前記サービスからの前記ユーザの個人データのデータ流出によって前記複数のコンピュータ装置のうち少なくとも一つにサイバー攻撃が発生していることを検出し、
    前記複数のコンピュータ装置のサブセットのクラスタを作成し、
    前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定し、
    前記サイバー攻撃に対抗するためのアクションであって、前記特定された攻撃ベクトルに基づいて判定されたアクションを、前記クラスタ内のコンピュータ装置のサブセットに送信する、
    各手順を実行させる命令を含む、非一時的コンピュータ可読媒体。
  16. 前記受信したサービスデータは、前記複数のユーザの個人データのうち少なくとも一部の公的にアクセス可能な漏えいデータベースをさらに含む、請求項15に記載の非一時的コンピュータ可読媒体。
  17. 前記サイバー攻撃は前記サービスを参照して前記データ流出した個人データを使用するという前提条件を含む基準を基に、前記サイバー攻撃を検出する、請求項15に記載の非一時的コンピュータ可読媒体。
  18. 前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定するための前記命令は、さらに、
    第1のユーザとインタラクションしている前記サービスが前記サイバー攻撃のソースであると判定するための命令を含む、請求項15に記載の非一時的コンピュータ可読媒体。
  19. 前記受信した装置データに基づいて前記サイバー攻撃の攻撃ベクトルを特定するための前記命令は、さらに、
    前記サイバー攻撃の標的である第1のユーザの電子メールアドレスおよび当該第1のユーザの電話番号を含む要素グループを判定するための命令を含む、請求項15に記載の非一時的コンピュータ可読媒体。
  20. 前記サイバー攻撃に対抗するためのアクションを判定するための前記命令は、さらに、
    前記クラスタに自身の複数のコンピュータ装置が属している別のユーザの少なくとも一つのコンピュータ装置に対する前記攻撃ベクトルの特徴との照合に基づいて前記アクションを判定するための命令を含む、請求項15に記載の非一時的コンピュータ可読媒体。
  21. 前記複数のコンピュータ装置から受信した診断データに基づいて前記サイバー攻撃に対抗するためのアクションの有効性を判定し、
    前記判定された有効性に基づいてサイバー攻撃を検出して対抗するための1以上の基準を変更する命令をさらに含む、請求項15に記載の非一時的コンピュータ可読媒体。
JP2018131524A 2018-06-19 2018-07-11 ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 Active JP6715887B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/012,014 US10904283B2 (en) 2018-06-19 2018-06-19 System and method of countering an attack on computing devices of users
US16/012,014 2018-06-19

Publications (2)

Publication Number Publication Date
JP2019220126A JP2019220126A (ja) 2019-12-26
JP6715887B2 true JP6715887B2 (ja) 2020-07-01

Family

ID=62986019

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018131524A Active JP6715887B2 (ja) 2018-06-19 2018-07-11 ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法

Country Status (4)

Country Link
US (2) US10904283B2 (ja)
EP (1) EP3584733B1 (ja)
JP (1) JP6715887B2 (ja)
CN (1) CN110620753B (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
US10904283B2 (en) * 2018-06-19 2021-01-26 AO Kaspersky Lab System and method of countering an attack on computing devices of users
US11075930B1 (en) * 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11748487B2 (en) * 2020-04-23 2023-09-05 Hewlett Packard Enterprise Development Lp Detecting a potential security leak by a microservice

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8091127B2 (en) * 2006-12-11 2012-01-03 International Business Machines Corporation Heuristic malware detection
BRPI0815605B1 (pt) * 2007-08-06 2020-09-15 Bernard De Monseignat Método para a comunicação de dados usando um dispositivo de computação; método para gerar uma segunda versão de um componente de comunicação de dados usando um dispositivo de computação; método para comunicação de dados usando um dispositivo de computação; método para a criação de um certificado usando um dispositivo de computação; e método para usar um certificado utilizando um dispositivo de computação
CN101984629B (zh) * 2010-10-22 2013-08-07 北京工业大学 协作式识别基于Web服务中泄露用户隐私信息站点的方法
CN102868668A (zh) * 2011-07-07 2013-01-09 陈国平 防止钓鱼网站窃取用户敏感信息的方法
US11030562B1 (en) * 2011-10-31 2021-06-08 Consumerinfo.Com, Inc. Pre-data breach monitoring
JP2016033690A (ja) * 2012-12-26 2016-03-10 三菱電機株式会社 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
US9754106B2 (en) 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
JP2016122273A (ja) * 2014-12-24 2016-07-07 富士通株式会社 アラート発信方法、プログラム、及び装置
JP6408395B2 (ja) * 2015-02-09 2018-10-17 株式会社日立システムズ ブラックリストの管理方法
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US10021118B2 (en) * 2015-09-01 2018-07-10 Paypal, Inc. Predicting account takeover tsunami using dump quakes
US10375026B2 (en) * 2015-10-28 2019-08-06 Shape Security, Inc. Web transaction status tracking
CN106656922A (zh) * 2015-10-30 2017-05-10 阿里巴巴集团控股有限公司 一种基于流量分析的网络攻击防护方法和装置
JP6707952B2 (ja) * 2016-03-31 2020-06-10 日本電気株式会社 制御装置、制御方法及びプログラム
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
US10521590B2 (en) 2016-09-01 2019-12-31 Microsoft Technology Licensing Llc Detection dictionary system supporting anomaly detection across multiple operating environments
US10904283B2 (en) * 2018-06-19 2021-01-26 AO Kaspersky Lab System and method of countering an attack on computing devices of users

Also Published As

Publication number Publication date
US10904283B2 (en) 2021-01-26
CN110620753A (zh) 2019-12-27
US20210152592A1 (en) 2021-05-20
JP2019220126A (ja) 2019-12-26
US11546371B2 (en) 2023-01-03
US20190387017A1 (en) 2019-12-19
EP3584733B1 (en) 2021-02-24
CN110620753B (zh) 2022-04-15
EP3584733A1 (en) 2019-12-25

Similar Documents

Publication Publication Date Title
JP6715887B2 (ja) ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法
US11489855B2 (en) System and method of adding tags for use in detecting computer attacks
US10218697B2 (en) Use of device risk evaluation to manage access to services
Teufl et al. Malware detection by applying knowledge discovery processes to application metadata on the Android Market (Google Play)
He et al. Mobile application security: malware threats and defenses
La Polla et al. A survey on security for mobile devices
Seo et al. Detecting mobile malware threats to homeland security through static analysis
EP3128459B1 (en) System and method of utilizing a dedicated computer security service
US8370939B2 (en) Protection against malware on web resources
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
US9825977B2 (en) System and method for controlling access to data of a user device using a security application that provides accessibility services
US20190281071A1 (en) Secure Notification on Networked Devices
Karim et al. Mobile botnet attacks-an emerging threat: Classification, review and open issues
Cinar et al. The current state and future of mobile security in the light of the recent mobile security threat reports
Singh Social networking for botnet command and control
BalaGanesh et al. Smart devices threats, vulnerabilities and malware detection approaches: a survey
Kandukuru et al. Android malicious application detection using permission vector and network traffic analysis
Tao et al. Opening A Pandora's Box: Things You Should Know in the Era of Custom GPTs
Benitez-Mejia et al. Android applications and security breach
Alwahedi et al. Security in mobile computing: attack vectors, solutions, and challenges
RU2697926C1 (ru) Система и способ противодействия атаке на вычислительные устройства пользователей
Anwar et al. Guess who is listening in to the board meeting: on the use of mobile device applications as roving spy bugs
Armin Mobile threats and the underground marketplace
Mamun et al. Android security vulnerabilities due to user unawareness and frameworks for overcoming those vulnerabilities
Siadati Prevention, detection, and reaction to cyber impersonation attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190521

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200519

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200609

R150 Certificate of patent or registration of utility model

Ref document number: 6715887

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250