JP6933112B2 - サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 - Google Patents

サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 Download PDF

Info

Publication number
JP6933112B2
JP6933112B2 JP2017230888A JP2017230888A JP6933112B2 JP 6933112 B2 JP6933112 B2 JP 6933112B2 JP 2017230888 A JP2017230888 A JP 2017230888A JP 2017230888 A JP2017230888 A JP 2017230888A JP 6933112 B2 JP6933112 B2 JP 6933112B2
Authority
JP
Japan
Prior art keywords
information
reliability
threat intelligence
cyber
cyber threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017230888A
Other languages
English (en)
Other versions
JP2019101672A (ja
Inventor
幸治 山田
幸治 山田
敏孝 里見
敏孝 里見
竜介 益岡
竜介 益岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017230888A priority Critical patent/JP6933112B2/ja
Priority to US16/190,604 priority patent/US10880337B2/en
Publication of JP2019101672A publication Critical patent/JP2019101672A/ja
Application granted granted Critical
Publication of JP6933112B2 publication Critical patent/JP6933112B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/008Reliability or availability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明の実施形態は、サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置に関する。
近年、ネットワークを経由した不正アクセスなどのサイバー攻撃が深刻な問題となっている。このサイバー攻撃は多種多様な方法で実施される。よって、サイバー攻撃の対処には、類似するサイバー攻撃にかかるサイバー脅威インテリジェンス(CTIとも呼ぶ)を見つけて参考とすることが有効である。
サイバー脅威インテリジェンスは、サイバー攻撃に関する攻撃者や目的、攻撃手法・手口などをセンサーなどが自動的に発行するアラートだけではなく、アナリストの分析も含めレポート等にまとめたサイバー攻撃にかかる情報である。このサイバー脅威インテリジェンスについては、標準化やプラットフォームの構築などが進みつつあり、大量のサイバー脅威インテリジェンスを利用するための基盤が整ってきている。
また、近年、特定の業種などのグループにターゲットを絞った標準型攻撃が増加しており、このような攻撃に対応するため、グループごとにコミュニティを形成している。そして、コミュニティにおいては、SNS(Social Networking Service)等の投稿情報を利用したサイバー脅威インテリジェンスについての情報共有を行っている。このようなコミュニティにおける投稿情報について、対象物を評価したユーザの信頼度を、その後同じ対象物に他者が付与した評価に連動させる評価装置が知られている。
特開2011−192103号公報 特開2009−110334号公報
しかしながら、上記の従来技術では、SNSにおける投稿情報の信頼度が関連するサイバー脅威インテリジェンスに反映されて互いに共有されるものではなかった。例えば、上記の従来技術では、SNSにおける投稿でサイバー脅威インテリジェンスに関する評価を行ったとしても、その評価がサイバー脅威インテリジェンスの信頼性には影響されない。このため、サイバー脅威インテリジェンスの分析において、投稿の評価を活かした分析の効率化・高度化を進めることが困難であった。
1つの側面では、SNSにおける投稿の評価をサイバー脅威インテリジェンスの信頼性に反映させることができるサイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置を提供することを目的とする。
第1の案では、サイバー攻撃情報処理プログラムは、記憶する処理と、更新する処理とをコンピュータに実行させる。記憶する処理は、サイバー攻撃に関する情報を取得した場合、サイバー攻撃に関する情報をサイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶する。更新する処理は、サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、投稿情報にかかる信頼度に応じてサイバー攻撃に関する情報に対応付けられた信頼度を更新する。
本発明の1実施態様によれば、SNSにおける投稿の評価をサイバー脅威インテリジェンスの信頼性に反映させることができる。
図1は、実施形態にかかるシステム構成例を説明する説明図である。 図2は、STIXにおける自信度の導入例を説明する説明図である。 図3は、CTIの一例を示す図である。 図4は、投稿情報の登録処理の一例を示すフローチャートである。 図5は、投稿画面例を説明する説明図である。 図6は、投稿情報からCTIへの変換を説明する説明図である。 図7は、投稿に信頼度を付与する処理を示すフローチャートである。 図8は、投稿への信頼度の付与を説明する説明図である。 図9は、CTIの出力処理の一例を示すフローチャートである。 図10は、ユーザ端末における表示例を説明する説明図である。 図11は、CTIに信頼度を付与する処理を示すフローチャートである。 図12は、CTIに信頼度を付与する処理を示すフローチャートである。 図13は、CTIごとの重み付けの違いを説明する説明図である。 図14は、CTIと情報源への信頼度の付与を説明する説明図である。 図15は、投稿による信頼度の伝播を説明する説明図である。 図16は、CTIの出力画面例を説明する説明図である。 図17は、分散したシステム構成例を説明する説明図である。 図18は、実施形態にかかる情報処理装置のハードウエア構成例を示すブロック図である。
以下、図面を参照して、実施形態にかかるサイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するサイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかるシステム構成例を説明する説明図である。図1に示すように、実施形態にかかるシステム構成では、投稿システム1と、サイバー脅威インテリジェンスDB21を格納する記憶装置2と、サイバー脅威インテリジェンス管理システム3とを有する。
投稿システム1は、例えばSNS等であり、ユーザ端末10Aより投稿された情報を他のユーザ端末10Bへ配信するいわゆる人間系のシステムの一例である。なお、ユーザ端末10A、10Bは、情報処理端末の一例であり、例えばPC(パーソナルコンピュータ)、スマートフォン、タブレット端末などを適用できる。
投稿システム1は、ユーザ端末10Aから投稿された情報を受け付ける投稿受付部11と、投稿された情報をサイバー脅威インテリジェンスDB21に登録する登録部12とを有する。また、投稿システム1は、ユーザ(投稿者)ごとの情報を管理するユーザ管理DB13と、サイバー脅威インテリジェンスDB21に登録された情報をユーザ端末10Bへ出力する出力部14とを有する。
記憶装置2は、サイバー脅威インテリジェンスDB21を格納する記憶装置であり、例えばLAN(Local Area Network)やインターネットなどの通信ネットワーク(図示しない)を介して投稿システム1およびサイバー脅威インテリジェンス管理システム3と接続する。
なお、本実施形態では、記憶装置2がサイバー脅威インテリジェンス管理システム3から独立した構成を例示するが、記憶装置2はサイバー脅威インテリジェンス管理システム3内に組み込まれたものであってもよい。すなわち、サイバー脅威インテリジェンスDB21は、サイバー脅威インテリジェンス管理システム3内に格納されていてもよい。
サイバー脅威インテリジェンスDB21は、サイバー攻撃のイベントごとのサイバー脅威インテリジェンス(CTI)を格納するデータベースである。このサイバー脅威インテリジェンスDB21が格納するサイバー脅威インテリジェンスは、サイバー攻撃を特徴付ける事象などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様であるSTIX(Structured Threat Information eXpression)に沿ったSTIX言語などの所定のデータ構造で記述される。なお、以後の説明ではサイバー攻撃インテリジェンスはSTIX形式のデータ構造であるものとするが、データ構造についてはSTIX形式に限定するものではない。
具体的には、サイバー脅威インテリジェンスは、サイバー攻撃活動(Campaigns)とともに、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、攻撃対象(Exploit_Targets)の種別ごとのイベント内容などが含まれる。なお、TTPは、Tactics, Techniques and Proceduresの略である。このサイバー攻撃活動とともに含まれるイベント内容は、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象の一部又は全部の情報であってよい。
また、サイバー脅威インテリジェンスは、記述されたイベント内容についての信頼性を示す自信度が含まれる。図2は、STIXにおける自信度の導入例を説明する説明図である。
図2に示すように、STIX2.1では、Confidence(自信度)が導入される。具体的には、STIX2.1では、イベント内容についての信頼性を0〜100の値で示す。なお、信頼性については、低い順にNone/Low/Medium/Highの4段階程度で示してもよい。
また、サイバー脅威インテリジェンスは、TLP(Traffic Light Protocol)などで示されたアクセス範囲を示す情報が含まれる。例えば、アクセス範囲は、サイバー脅威インテリジェンスの受取人をアクセス範囲とするRED、受取人および特定の人をアクセス範囲とするAMBERで示される。また、アクセス範囲は、所定のコミュニティ(グループ)内をアクセス範囲とするGREENまたは全世界(誰でも)をアクセス範囲とするWHITEで示される。なお、アクセス対象とする人や共有するグループなどは、TLPとは別に通知される。これにより、サイバー脅威インテリジェンス管理システム3では、アクセス範囲で示される対象(例えば受取人、グループなど)に対してサイバー脅威インテリジェンスを提供できる。
図3は、CTIの一例を示す図である。図3に示すように、サイバー脅威インテリジェンス21Aは、XML(eXtensible Markup Language)形式により、タグを付けた要素を階層化(入れ子構造)してルートの要素からの木構造で上記の情報を記述する。具体的には、サイバー脅威インテリジェンス21Aは、サイバー攻撃イベントにおけるサイバー攻撃活動、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象などを要素(ノード)とし、各要素内の情報を子要素(配下のノード)とする木構造で記述している。
サイバー脅威インテリジェンス管理システム3は、外部サイト4から取得したサイバー脅威インテリジェンス21Aをサイバー脅威インテリジェンスDB21に登録し、サイバー脅威インテリジェンス21Aの管理・活用を行ういわゆるシステム系のシステムの一例である。
サイバー脅威インテリジェンス管理システム3は、米国国土安全保障省(DHS)において、サイバー脅威インテリジェンス21Aを共有する枠組みであるAIS(Automated Indicator Sharing)や、サイバー脅威インテリジェンス21Aの配信サービスを提供するiSIGHT Partners等の外部サイト4とインターネット等を介して接続している。サイバー脅威インテリジェンス管理システム3は、これらの外部サイト4からTAXII(Trusted Automated eXchange of Indicator Information)等を用いて提供されたサイバー脅威インテリジェンス21Aをサイバー脅威インテリジェンスDB21に登録する。
また、サイバー脅威インテリジェンス管理システム3は、サイバー攻撃を分析するアナリスト等がユーザ端末30より入力したサイバー脅威インテリジェンス21Aを、サイバー脅威インテリジェンスDB21に登録するとともに、TAXII等を用いて外部サイト4に提供する。このように、いわゆるシステム系におけるサイバー脅威インテリジェンス管理システム3および外部サイト4は、互いにサイバー脅威インテリジェンス21Aを共有する。
また、サイバー脅威インテリジェンス管理システム3は、サイバー脅威インテリジェンスDB21に格納されたサイバー脅威インテリジェンス21Aについて構文解析を行い、サイバー攻撃活動とともに、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象などの各種別についての情報を取得する。次いで、サイバー脅威インテリジェンス管理システム3は、取得したサイバー攻撃にかかる情報の集計等の解析を行い、解析結果の情報源管理DB31を生成してユーザ端末30に表示させる。これにより、ユーザ端末30を利用するアナリスト等は、サイバー脅威インテリジェンスDB21に格納されたサイバー脅威インテリジェンス21Aの解析結果を確認できる。
例えば、サイバー脅威インテリジェンス管理システム3は、サイバー脅威インテリジェンス21Aの構文解析結果より、サイバー攻撃イベントにおけるサイバー攻撃活動、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象などを代表するノードとし、各ノード内の情報を配下のノードとする木構造を解析する。一例として、サイバー脅威インテリジェンス管理システム3は、タグを付けた要素(ノード)の入れ子構造を解析することで、木構造の解析を行う。次いで、サイバー脅威インテリジェンス管理システム3は、木構造の解析結果をもとに、木構造に従ってノード同士を結線で接続したグラフ図として表示画面35を表示する表示情報を生成し、ユーザ端末30に出力する。
ここで、投稿システム1における投稿受付部11、登録部12、ユーザ管理DB13および出力部14の詳細を説明する。
投稿受付部11は、インターネット等の通信ネットワークを介して接続するユーザ端末10Aに対して投稿用の画面を表示してSNS等に投稿する投稿情報を受け付ける。投稿受付部11は、ユーザ端末10Aより受け付けた投稿情報を登録部12へ出力する。
登録部12は、投稿受付部11が受け付けた投稿情報を、ID等の識別情報および投稿日時を示す時刻情報などを付与した上で、サイバー脅威インテリジェンスDB21に登録する。
具体的には、登録部12は、投稿情報に含まれるタイトルおよび本文などを解析し、タイトルおよび本文などにサイバー攻撃にかかる単語、フレーズなどが含まれているか否かをもとに、投稿情報がサイバー攻撃に関する情報を含むか否かを判定する。
サイバー攻撃に関する情報を含まない場合、登録部12は、投稿情報のタイトルを、STIXにおける「STIX Header Title」の要素として抽出する。また、登録部12は、投稿情報の本文や添付ファイルを、STIXにおける「STIX Header Description」の要素として抽出する。次いで、抽出した要素をもとに、登録部12は、STIX等の所定のデータ構造で記述したサイバー脅威インテリジェンス21Aを生成してサイバー脅威インテリジェンスDB21に登録する登録処理を行う。
サイバー攻撃に関する情報を含む場合、登録部12は、投稿情報よりサイバー攻撃イベントにおけるサイバー攻撃活動、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象などの要素を抽出する。次いで、抽出した要素をもとに、登録部12は、STIX等の所定のデータ構造で記述したサイバー脅威インテリジェンス21Aを生成してサイバー脅威インテリジェンスDB21に登録する登録処理を行う。
この登録処理において、登録部12は、ユーザ管理DB13を参照し、投稿情報の投稿者(ユーザ)に対応して設定された信頼度をサイバー脅威インテリジェンス21Aの信頼度として付与した上で登録する。
具体的には、ユーザ管理DB13には、投稿者を識別する識別情報(例えば投稿者ID)とともに、投稿者の属性の一つとして、投稿者についての基本信頼度が予め設定されている。
登録部12は、投稿情報における投稿者IDをもとに、投稿者について予め設定された基本信頼度を読み出す。次いで、登録部12は、読み出した基本信頼度に、投稿情報の含まれる、投稿者の投稿内容に対する自信度を加えた信頼度の値をサイバー脅威インテリジェンス21Aの信頼度とした上で、サイバー脅威インテリジェンス21Aをサイバー脅威インテリジェンスDB21に登録する。
また、登録部12は、登録対象の投稿情報が、サイバー脅威インテリジェンスDB21に登録済みである他の投稿情報(サイバー脅威インテリジェンス)に対する同意や不同意などのフィードバック(評価情報)である場合、フィードバックの内容をもとに、他の投稿情報の信頼度を更新する。例えば、同意する(ポジティブな)フィードバックには、タイトルやIDなどで他の投稿情報を指定した、「いいね」の送信などがある。逆に、不同意の(ネガティブな)フィードバックには、タイトルやIDなどで他の投稿情報を指定した、「いいね」と反対する意思の送信などがある。
登録部12は、このような他の投稿情報に対するフィードバックについては、サイバー脅威インテリジェンスDB21に登録済みの投稿情報(サイバー脅威インテリジェンス)の中からタイトルやIDなどで指定された投稿情報を特定する。次いで、登録部12は、特定した投稿情報の信頼度について、同意の場合は所定値を加算して信頼度の更新を行う。逆に、不同意の場合、登録部12は、所定値を減算して信頼度の更新を行う。
図4は、投稿情報の登録処理の一例を示すフローチャートである。図4に示すように、処理が開始されると、投稿受付部11は、ユーザ端末10Aより投稿情報を受け付ける(S1)。
図5は、投稿画面例を説明する説明図である。図5に示すように、ユーザ端末10Aでは、項目41〜46等の入力項目と、投稿ボタン47とが表示された投稿画面40より投稿情報の入力を行う。
具体的には、項目41は、投稿情報におけるタイトルの項目である。項目42は、投稿情報における本文の項目である。項目43は、投稿情報のアクセス範囲を示す項目である。具体的には、項目43では、RED、AMBER、GREEN、WHITE等のTLPで示されたアクセス範囲が指示される。
項目43aは、投稿者の投稿内容に対する自信度を示す項目である。例えば、図示例では、自信の高い順に「High」、「Medium」、「Low」の選択設定を受け付ける。なお、「None」については、投稿内容は間違っているという意味で用いるものとする。
また、項目43aは、タイトルなどで指定された他の投稿へのフィードバックを指示してもよい。例えば、タイトルなどで指定された他の投稿に同意(例えば「いいね」の送信)する場合は、同意度合いについて「High」、「Medium」、「Low」でフィードバックする。逆に、タイトルなどで指定された他の投稿に不同意(「いいね」と反対する意思の送信)する場合は、「None」とともに、不同意度合いについて「High」、「Medium」、「Low」でフィードバックする。
項目44は、TLPで示されたアクセス範囲で投稿情報を共有するグループや人を示す項目である。項目45は、投稿情報に添付するファイルを指定する項目である。なお、図示例では項目45において1つのファイルを添付する場合を例示しているが、項目45において添付するファイルの指定は複数あってもよい。項目46は、投稿情報の投稿者を匿名とするか否かを指定する項目である。
ユーザ端末10Aのユーザは、項目41〜46の各項目を設定した上で投稿ボタン47を操作することで、項目41〜46で設定した内容の投稿情報を投稿システム1へ送ることができる。登録部12は、IDおよび投稿日時などの情報を付与した上で、項目41〜46で設定した内容の投稿情報をサイバー脅威インテリジェンスDB21に登録する。
図4に戻り、S1に次いで、登録部12は、投稿情報に含まれるタイトルおよび本文などにサイバー攻撃にかかる単語、フレーズなどが含まれている投稿情報を得るフィルタ処理を行う(S2)。このフィルタ処理により、登録部12は、サイバー脅威インテリジェンス21Aとして変換するのに有用な投稿情報を選別する。
次いで、登録部12は、フィルタ処理後の投稿情報、すなわちサイバー攻撃に関する投稿情報を解析し、サイバー脅威インテリジェンス21Aとして記述するための、サイバー攻撃イベントにかかる各種要素およびアクセス範囲を抽出する(S3)。
例えば、登録部12は、投稿情報のタイトルを、STIXにおける「STIX Header Title」の要素として抽出する。また、登録部12は、投稿情報の本文を、STIXにおける「STIX Header Description」の要素として抽出する。
また、登録部12は、投稿情報のタイトルおよび本文から、正規表現(Regular Expressions)あるいは公知の自然言語処理を用いて、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)等の要素を取り出し、STIXの要素とする。また、投稿情報におけるアクセス範囲の項目からは、RED、AMBER、GREEN、WHITE等のTLPで示された値を抽出する。また、自信度を示す項目からは、「High」、「Medium」、「Low」、「None」で示された値を抽出する。
なお、投稿時のタイトル、本文などに、STIXの要素を示す簡単なマークアップを入れてもらう場合は、マークアップをもとにSTIXの要素を抽出してもよい。例えば、通常「X国がサイバー攻撃を仕掛けた…」と書くところ、「<Threat_Actor:X国>がサイバー攻撃を仕掛けた…」とある場合は、「X国」をSTIXの攻撃者(Threat_Actors)とする。
また、投稿時のタイトル、本文などに他の投稿を示す内容がある場合(他の投稿のタイトルやIDなど)は、他の投稿に対するフィードバックとして抽出する。
また、登録部12は、投稿情報において添付されたファイル(CSVファイル、テキストファイル等)は、正規表現あるいは公知の自然言語処理を用いてSTIXの要素を取り出す。例えば、CSVファイル等に記述されたアドレス一覧などをもとに、検知指標(Indicators)におけるIP Address、Domain、Name、Hash値等を取り出す。そして、登録部12は、取り出した値を、STIX IndicatorsおよびSTIX Observablesの両方またはいずれか一方とする。また、テキストファイル等の文書をもとに、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)等の要素を取り出し、STIXの要素とする。なお、これら添付されたファイルについても同様に、マークアップをもとにSTIXの要素を抽出してもよい。
次いで、登録部12は、S3で抽出した要素にSTIXに沿ったタグ付けを行うことでサイバー脅威インテリジェンス21Aを生成し(S4)、生成したサイバー脅威インテリジェンス21Aをサイバー脅威インテリジェンスDB21に登録する(S5)。
図6は、投稿情報からサイバー脅威インテリジェンスへの変換を説明する説明図である。図6に示すように、投稿情報50におけるタイトルおよび本文は、サイバー攻撃イベントにかかる各種要素を抽出することで、サイバー脅威インテリジェンス51Aとして変換される。同様に、投稿情報50における添付ファイルは、サイバー脅威インテリジェンス51B、51Cとして変換される。なお、添付ファイルについては、例えばBase64等の所定のエンコード方式でエンコードした上でSTIXの要素として含めてもよい。同様に、投稿情報50に関連するコメントは、サイバー脅威インテリジェンス51D、51Eとして変換される。
サイバー脅威インテリジェンス51A〜51Eにおいては、投稿情報50で指定されたアクセス範囲が同一に保ったまま変換される。このため、サイバー脅威インテリジェンス51A〜51Eについても、投稿情報50で指定されたアクセス範囲がそのまま保たれることとなる。
また、投稿情報50から変換したサイバー脅威インテリジェンス51A〜51Eには、各々を識別するIDを付与するとともに、互いに参照する参照先の「ID」を「Reference」に記載する。これにより、サイバー脅威インテリジェンス51A〜51Eの関連を特定することができる。
図4に戻り、S5に次いで、登録部12は、サイバー脅威インテリジェンスDB21に登録する投稿(サイバー脅威インテリジェンス21A)について、信頼度を付与する処理を行う(S6)。
図7は、投稿に信頼度を付与する処理を示すフローチャートである。具体的には、図7のS6aは、新規投稿時において、サイバー脅威インテリジェンス21Aに信頼度を付与する処理を示すフローチャートである。また、図7のS6bは、サイバー脅威インテリジェンスDB21に登録済みである他の投稿情報(サイバー脅威インテリジェンス)に対するフィードバック時において、信頼度を付与する処理を示すフローチャートである。
S6aのフローチャートに示すように、新規投稿時において、登録部12は、新規の投稿(サイバー脅威インテリジェンス21A)対し、投稿者IDをもとにユーザ管理DB13より読み出した基本信頼度を設定する(S60)。次いで、登録部12は、投稿者入力(項目43a)に基づく自信度を基本信頼度に加算して反映し、サイバー脅威インテリジェンス21Aの信頼度として更新(登録)する(S61)。
具体的には、登録部12は、信頼度(R)=Rb(基本信頼度)+f(C:自信度)を計算し、計算した信頼度をサイバー脅威インテリジェンス21Aの信頼度とする。なお、f(C)は、自信度(C)に応じた関数であり、例えばCが「High」の場合「2」、「Medium」の場合「1」、「Low」の場合「0」、「None」の場合「×(−1)」などとする。
また、S6bのフローチャートに示すように、フィードバック時において、登録部12は、フィードバック対象の他の投稿(サイバー脅威インテリジェンス)をタイトルやIDなどで特定する。次いで、登録部12は、特定した他の投稿の信頼度に対し、フィードバック入力に基づくポジティブ/ネガティブ度合いに対応する値を反映した上で、信頼度を更新する(S62)。
具体的には、登録部12は、もとの信頼度(R)と、フィードバックの内容(F0)により定まる関数f(F0)とにより、更新後の信頼度(Rnew)をRnew=R+f(F0)として求める。例えば、f(F0)は、ポジティブ度合いが高いほど高い値が得られ、逆にネガティブ度合いが高いほど低い値が得られる関数であるものとする。
これにより、投稿システム1においてユーザ端末10Aより受信した投稿情報(サイバー攻撃に関する情報を含む)は、サイバー脅威インテリジェンスDB21のサイバー脅威インテリジェンス21Aとしてサイバー脅威インテリジェンス管理システム3においても共有することができる。また、投稿情報におけるサイバー脅威インテリジェンス21Aには、投稿者(投稿元)に設定された信頼度、投稿者が付与した自信度および投稿情報への他の投稿者が行ったフィードバックのいずれか、またはこれらの組み合わせより算出される信頼度が付与されている。
図8は、投稿への信頼度の付与を説明する説明図である。図8に示すように、投稿(P1)については、投稿者である山田に設定されたユーザ信頼度が「10」であり、投稿者が付与した自信度が「High(+2)」である。また、投稿(P1)に対して、佐藤からポジティブなフィードバック「+1」がある。このような投稿(P1)のサイバー脅威インテリジェンス21Aには、10+2+1=13の修正後の信頼度が付与される。
また、投稿(P2)については、投稿者である山田に設定されたユーザ信頼度が「10」であり、投稿者が付与した自信度が「Low(−2)」である。また、投稿(P2)に対して、佐藤からネガティブなフィードバック「−1」がある。このような投稿(P2)のサイバー脅威インテリジェンス21Aには、10−2−1=7の修正後の信頼度が付与される。
また、投稿(P3)については、投稿者である鈴木に設定されたユーザ信頼度が「13」であり、投稿者が付与した自信度が「None(×(−1)」である。また、投稿(P3)に対して、佐藤、山田からポジティブなフィードバック「+1」がある。このような投稿(P3)のサイバー脅威インテリジェンス21Aには、−(13+1+1)=−15の修正後の信頼度が付与される。
図1に戻り、出力部14は、ユーザ端末10Bからのアクセス(ユーザを示すユーザIDおよび投稿情報50の参照要求など)に応じてサイバー脅威インテリジェンスDB21に登録された情報を読み出し、ユーザ端末10Bへ出力する。具体的には、出力部14は、ユーザ端末10Bからのアクセスがあった場合、ユーザ端末10Bから通知されたユーザIDなどをもとに、投稿情報50のアクセス範囲において該当するものをサイバー脅威インテリジェンスDB21より読み出す。次いで、出力部14は、サイバー脅威インテリジェンスDB21より読み出した投稿情報50を表示する表示データを生成してユーザ端末10Bへ出力する。これにより、ユーザ端末10Bには、ユーザ端末10Bにおけるユーザのアクセス範囲に該当する投稿情報50が表示される。
また、出力部14は、サイバー脅威インテリジェンスDB21を参照し、サイバー脅威インテリジェンス管理システム3により新たなサイバー脅威インテリジェンス21Aが追加されたか否かを監視する。サイバー脅威インテリジェンスDB21に新たなサイバー脅威インテリジェンス21Aが追加された場合、追加されたサイバー脅威インテリジェンス21Aを読み出し、投稿情報50に変換してサイバー脅威インテリジェンスDB21に格納する出力処理を行う。
図9は、CTIの出力処理の一例を示すフローチャートである。図9に示すように、処理が開始されると、出力部14は、サイバー脅威インテリジェンスDB21を参照して、サイバー脅威インテリジェンス管理システム3により新たなサイバー脅威インテリジェンス21Aがサイバー脅威インテリジェンスDB21に追加されたか否かを判定する。新たなサイバー脅威インテリジェンス21Aがサイバー脅威インテリジェンスDB21に追加された場合、出力部14は、追加されたサイバー脅威インテリジェンス21Aをサイバー脅威インテリジェンスDB21より取得する(S10)。
次いで、出力部14は、取得したサイバー脅威インテリジェンス21AよりSTIXの各要素を取り出し、取り出した各要素をもとに投稿情報50へ変換する(S11)。
具体的には、サイバー脅威インテリジェンス21Aより取り出したSTIXの各要素から、人間に判り易い要素をもとに投稿情報50への変換を行う。例えば、出力部14は、サイバー脅威インテリジェンス21Aにおける「STIX Header Title」を投稿情報50におけるタイトルに変換する。また、出力部14は、サイバー脅威インテリジェンス21Aにおける「STIX Header Description and/or Short Description」を投稿情報50における本文に変換する。また、出力部14は、サイバー脅威インテリジェンス21Aの検知指標(Indicators)/観測事象(Observables)の一覧等をCSVファイル等に変換し、投稿情報50の添付ファイルとしてダウンロードできるようにしてもよい。また、出力部14は、サイバー脅威インテリジェンス21Aにおけるアクセス範囲については同一に保ったままで、アクセス範囲を示す項目(項目43)として投稿情報50に変換する。
次いで、出力部14は、S11において変換した投稿情報50を、ユーザ端末10Bに出力する(S12)。このように、サイバー脅威インテリジェンスDB21に新規追加されたサイバー脅威インテリジェンス21Aは、ユーザ端末10Aからの投稿と同様に、ユーザ端末10Bよりアクセス可能に変換して出力される。したがって、サイバー脅威インテリジェンスDB21に新規追加されたサイバー脅威インテリジェンス21Aは、投稿システム1においても共有することができる。
次いで、出力部14は、ユーザ端末10Bによる投稿情報50へのアクセスの有無を判定する(S13)。ユーザ端末10Bからのアクセスがない場合(S13:NO)、S10へ処理を戻す。
ユーザ端末10Bからのアクセスがある場合(S13:YES)、出力部14は、サイバー脅威インテリジェンスDB21より投稿情報50を読み出す(S14)。具体的には、出力部14は、ユーザ端末10Bから通知されたユーザIDなどをもとに、投稿情報50のアクセス範囲において該当するものをサイバー脅威インテリジェンスDB21より読み出す。
次いで、出力部14は、読み出した投稿情報50を予め設定された条件をもとに選別するフィルタ処理を行う(S15)。例えば、読み出した投稿情報50の中には、サイバー攻撃にかかる情報として投稿システム1のユーザ(人間系)にとって有用な情報の他に、あまり意味のない情報が含まれている場合がある。一例として、タイトルと、検知指標(Indicators)とが記述され、他の要素が無い投稿情報50は、システム系では意味のある情報であっても、人間系ではあまり意味のある情報ではない。
また、フィルタ処理の一例としては、投稿情報50におけるフィード毎に、予め設定されたホワイトリストの条件にマッチする場合に透過し、ブラックリストの条件にマッチする場合に遮断するものとしてもよい。また、フィルタ処理の一例としては、投稿情報50におけるフィード内のIPアドレスが所定の範囲内である場合に透過し、範囲外である場合に遮断してもよい。
したがって、出力部14は、予め設定された選別条件をもとに、人間系において意味のある投稿情報50を選別する。なお、出力部14は、同じ内容の投稿情報50が、単位時間あたりに多量に投稿されている場合は、代表とする1つに圧縮するなどしてもよい。
次いで、出力部14は、フィルタ処理後の投稿情報50を、投稿日時が示す時間順序をもとにソートし、例えば直近から過去に向かう順序で投稿情報50を並べ直す(S16)。次いで、出力部14は、ソート後の投稿情報50を一覧表示する表示データを生成し、ユーザ端末10Bへ出力する(S17)。これにより、ユーザ端末10Bでは、サイバー脅威インテリジェンス21Aより変換されたものを含む投稿情報50の一覧を確認することができる。
図10は、ユーザ端末における表示例を説明する説明図である。図10におけるユーザ端末60は、スマートフォンタイプのユーザ端末10Bの一例である。
図10に示すように、ユーザ端末60には、S17において出力部14より出力された表示データに基づく一覧表示画面61が表示されている。これにより、ユーザ端末60のユーザは、サイバー脅威インテリジェンス21Aより変換されたものを含む投稿情報50を時間順序に従ってソートした一覧を確認することができる。ここで、ユーザ端末60のユーザは、一覧表示画面61におけるボタン操作により投稿画面40を呼び出すことで、新たな投稿を行ってもよい。
また、一覧表示画面61に一覧表示された投稿情報50の中から所定の投稿情報50が選択された場合、ユーザ端末60は、選択された投稿情報50の内容を投稿システム1の出力部14に問い合わせる。具体的には、ユーザ端末60は、選択された投稿情報50を識別するIDを投稿システム1の出力部14へ通知する。
出力部14は、ユーザ端末60より通知されたIDをもとに、サイバー脅威インテリジェンスDB21を参照することで、選択された投稿情報50における各項目の情報を取得する。次いで、出力部14は、選択された投稿情報50の各項目を表示する表示データを生成し、ユーザ端末60へ出力する。これにより、ユーザ端末60では、選択された投稿情報50の各項目を表示する投稿出力画面62が表示される。
図1に戻り、サイバー脅威インテリジェンス管理システム3の詳細を説明する。サイバー脅威インテリジェンス管理システム3は、情報源管理DB31、サイバー脅威インテリジェンス登録部32、信頼度更新部33および出力部34を有する。
情報源管理DB31は、サイバー脅威インテリジェンス21Aの情報源(取得源)である外部サイト4ごとの情報を管理するデータベースである。具体的には、情報源管理DB31は、外部サイト4を識別する識別情報(例えばサイトアドレス、サイト名またはサイトID)とともに、外部サイト4に予め設定された信頼度(情報源信頼度)などの外部サイト4にかかる情報を格納する。
サイバー脅威インテリジェンス登録部32は、サイバー攻撃を分析するアナリスト等がユーザ端末30より入力したサイバー脅威インテリジェンス21Aや外部サイト4からTAXII等を用いて提供されたサイバー脅威インテリジェンス21Aをサイバー脅威インテリジェンスDB21に登録する。このとき、サイバー脅威インテリジェンス登録部32は、外部サイト4から提供されたサイバー脅威インテリジェンス21Aについて信頼度の付与を行う。
図11は、CTIに信頼度を付与する処理を示すフローチャートであり、より具体的には、外部サイト4から提供された新規のサイバー脅威インテリジェンス21Aについて信頼度を付与する処理を説明する図である。
図11に示すように、処理が開始されると、サイバー脅威インテリジェンス登録部32は、外部サイト4から提供されたサイバー脅威インテリジェンス21Aについては、情報源管理DB31を参照し、取得元である情報源に対して予め設定された情報源信頼度をサイバー脅威インテリジェンス21Aの基本信頼度として設定する(S20)。次いで、サイバー脅威インテリジェンス登録部32は、サイバー脅威インテリジェンスDB21を参照し、投稿システム1よりサイバー脅威インテリジェンスDB21に登録された投稿情報(サイバー脅威インテリジェンス)の中でサイバー脅威インテリジェンス21Aに関連するものを検索する。
具体的には、サイバー脅威インテリジェンス登録部32は、サイバー脅威インテリジェンスDB21に登録済の投稿情報の構文解析結果と、サイバー脅威インテリジェンス21Aの構文解析結果とを比較する。そして、サイバー脅威インテリジェンス登録部32は、サイバー攻撃イベントにおける事象(サイバー攻撃活動、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象など)が一致するものを互いに関連する情報とする。
検索により、サイバー脅威インテリジェンスDB21においてサイバー脅威インテリジェンス21Aと関連する投稿情報の登録がない場合、サイバー脅威インテリジェンス登録部32は、設定した基本信頼度をサイバー脅威インテリジェンス21Aの信頼度としてサイバー脅威インテリジェンスDB21に登録する。
検索により、サイバー脅威インテリジェンス21Aと関連する投稿情報の登録がある場合、サイバー脅威インテリジェンス登録部32は、投稿の信頼度に基づきサイバー脅威インテリジェンス21Aの信頼度を更新する(S22)。具体的には、サイバー脅威インテリジェンス登録部32は、投稿情報に付与されている信頼度に基づき、設定した基本信頼度の値を更新(例えば(基本信頼度)+(付与されている信頼度))する。次いで、サイバー脅威インテリジェンス登録部32は、更新後の信頼度をサイバー脅威インテリジェンス21Aの信頼度としてサイバー脅威インテリジェンスDB21に登録する。
また、サイバー脅威インテリジェンス登録部32は、ユーザ端末30よりアナリスト等が入力したサイバー脅威インテリジェンス21Aについては、入力時にアナリスト等が設定した信頼度をそのままサイバー脅威インテリジェンス21Aに付与してサイバー脅威インテリジェンスDB21に登録する。
信頼度更新部33は、ユーザ端末10A等によりサイバー脅威インテリジェンス21Aに対応する投稿情報がサイバー脅威インテリジェンスDB21にアップロード(登録)されたことを検知すると、投稿情報にかかる信頼度に応じてサイバー脅威インテリジェンス21Aに付与されている信頼度を更新する。また、信頼度更新部33は、この投稿情報にかかる信頼度に応じて、サイバー脅威インテリジェンス21Aの取得源(情報源)にかかる情報源管理DB31に設定された信頼度を更新する。
図12は、CTIに信頼度を付与する処理を示すフローチャートであり、より具体的には、既存のCTIに関連する新規の投稿により信頼度更新部33が信頼度を更新する処理を説明する図である。
具体的には、信頼度更新部33は、投稿システム1よりサイバー脅威インテリジェンスDB21に新規登録された投稿情報(サイバー脅威インテリジェンス)を監視し、新規登録された投稿情報の構文解析結果と、サイバー脅威インテリジェンスDB21に登録済みのサイバー脅威インテリジェンス21Aの構文解析結果とを比較する。そして、信頼度更新部33は、サイバー攻撃イベントにおける事象(サイバー攻撃活動、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象など)が一致するものを互いに対応する情報とし、対応する投稿情報のアップロードを検知する。すなわち、信頼度更新部33は、新規の投稿に対し、関連するCTI(サイバー脅威インテリジェンス21A)がサイバー脅威インテリジェンスDB21に存在するか否かを判定する(S30)。
対応する投稿情報のアップロードを検知、すなわち投稿情報に対応するサイバー脅威インテリジェンス21Aがサイバー脅威インテリジェンスDB21に存在する場合(S30:YES)、信頼度更新部33は、投稿情報にかかる信頼度に基づき、サイバー脅威インテリジェンスDB21におけるサイバー脅威インテリジェンス21Aの信頼度を更新する(S31)。具体的には、信頼度更新部33は、投稿情報に設定されている信頼度の値を対応するサイバー脅威インテリジェンス21Aの信頼度の値に加算して、サイバー脅威インテリジェンス21Aの信頼度を更新する。
同様に、信頼度更新部33は、投稿情報に設定されている信頼度の値を対応するサイバー脅威インテリジェンス21Aの取得源(情報源)について情報源管理DB31に設定された情報源信頼度の値に加算し、サイバー脅威インテリジェンス21Aにかかる情報源信頼度を更新する。すなわち、信頼度更新部33は、CTI信頼度の更新分(投稿情報に設定されている信頼度)に基づき、情報源管理DB31に設定されたCTIの情報源信頼度を更新する(S32)。
このとき、信頼度更新部33は、対応するサイバー脅威インテリジェンス21Aに含まれるノード数およびリンク種類数の少なくとも一方に基づいて、情報源信頼度の値に加算する際の重みを変更してもよい。具体的には、信頼度更新部33は、ノード数・リンクの種類数が多いほど、文脈的情報が豊富で情報としての価値が高いことから、フィードバックする重みを重い値とする。
例えば、信頼度更新部33は、投稿情報に設定されている信頼度の値(F)、フィードバックの重み(w)、情報源信頼度(Rs)より、更新後の情報源信頼度(Rsnew)を、Rsnew=RS+F*wとして求める。なお、フィードバックの重みw=(対応するサイバー脅威インテリジェンス21Aに含まれるノード数・リンク種類数)/(全投稿のノード数・リンク種類数の平均)とする。また、ネガティブなフィードバックの場合はwの逆数とする。
図13は、CTIごとの重み付けの違いを説明する説明図である。図13に示すように、サイバー脅威インテリジェンス51Fは、ノードの種類が「Indicators」の1つであり、「Indicators」以外とのリンクがない。これに対し、サイバー脅威インテリジェンス51Gは、ノードの種類が4種類、リンクの種類が3種類であり、サイバー脅威インテリジェンス51Fより文脈的情報が豊富で、情報としての価値が高い。よって、信頼度更新部33は、価値の高いサイバー脅威インテリジェンス51Gの情報源信頼度については、信頼度が上がりやすく、下がりにくいように重み付けを行う。また、信頼度更新部33は、価値の低いサイバー脅威インテリジェンス51Fの情報源信頼度については、信頼度が上がりにくく、下がりやすいように重み付けを行う。
図14は、CTIと情報源への信頼度の付与を説明する説明図である。図14に示すように、「CampaignA」のCTIについては、情報源信頼度が「10」であり、CTIに対応する投稿情報は投稿P1(図8参照)である。よって、「CampaignA」のCTIにおいて、投稿による修正後の信頼度は、10+13=23となる。また、情報源信頼度(更新後)は、10+13wとなる。なお、wは、「CampaignA」のCTIのノード数・リンク種類数に対応する重み値である。
また、「CampaignB」のCTIについては、情報源信頼度が「20」であり、CTIに対応する投稿情報は投稿P3(図8参照)である。よって、「CampaignB」のCTIにおいて、投稿による修正後の信頼度は、20−15=5となる。また、情報源信頼度(更新後)は、20−15wとなる。なお、wは、「CampaignB」のCTIのノード数・リンク種類数に対応する重み値である。
また、「CampaignC」のCTIについては、情報源信頼度が「30」であり、CTIに対応する投稿情報はなしである。よって、「CampaignC」のCTIにおいて、投稿による修正後の信頼度および情報源信頼度(更新後)は、30のままである。
図15は、投稿による信頼度の伝播を説明する説明図である。図15に示すように、ユーザ端末10Aより、基本信頼度が「10」のユーザ「山田」が投稿P1(自信度「High(+2)」)を行うものとする(S40)。また、この投稿に対して、ユーザ端末10Bよりユーザ「佐藤」がポジティブなフィードバック(+1)を行うものとする(S41)。このような投稿P1については、10+2+1=13の信頼度が付与される。
そして、信頼度更新部33による信頼度の更新によって、投稿P1の信頼度「13」が関連するCTIに伝播する(S42)。具体的には、関連するCTIの信頼度「10」に「13」が加えられ、信頼度が「23」に更新される。また、信頼度更新部33により、投稿P1の信頼度「13」は関連するCTIの情報源の情報源信頼度にも伝播する(S43)。具体的には、関連するCTIの情報源である「オープンコミュニティ」における情報源信頼度「10」は、投稿P1の信頼度「13」により10+13wとして更新される。このように、投稿P1の信頼度(投稿の評価)を、CTIの信頼度およびCITの情報源の信頼度に伝播させることで、CTIにかかる投稿の評価をCTIの信頼度として評価でき、CTI分析の効率化・高度化を進めることができる。
出力部34は、ユーザ端末30からのアクセス(ユーザを示すユーザIDおよびサイバー脅威インテリジェンス21Aの参照要求など)に応じてサイバー脅威インテリジェンスDB21に登録されたサイバー脅威インテリジェンス21Aを読み出し、ユーザ端末30へ出力する。具体的には、出力部34は、ユーザ端末30からのアクセスがあった場合、ユーザ端末30から通知されたユーザIDなどをもとに、サイバー脅威インテリジェンス21Aのアクセス範囲において該当するものをサイバー脅威インテリジェンスDB21より読み出す。次いで、出力部34は、サイバー脅威インテリジェンスDB21より読み出したサイバー脅威インテリジェンス21Aを表示する表示データを生成してユーザ端末30へ出力する。これにより、ユーザ端末30には、ユーザ端末30におけるユーザのアクセス範囲に該当するサイバー脅威インテリジェンス21Aが表示される。
また、出力部34は、表示するサイバー脅威インテリジェンス21Aの構文解析結果より、サイバー攻撃イベントにおけるサイバー攻撃活動、攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象などを代表するノードとし、各ノード内の情報を配下のノードとする木構造を解析する。そして、出力部34は、木構造の解析結果をもとに、木構造に従ってノード同士を結線で接続したグラフ図として表示画面35を表示する表示情報を生成し、ユーザ端末30に出力する。これにより、ユーザ端末30には、グラフ図の表示画面35が表示される。
図16は、CTIの出力画面例を説明する説明図である。図16に示すように、投稿出力画面62には、選択された投稿情報50における各項目の内容が項目62A〜62Fとして表示される。例えば、項目62Aには、投稿情報50の投稿者情報が表示される。また、項目62Bには、投稿情報50における投稿内容が表示される。また、項目62Cには、投稿情報50に添付されたファイルが表示される。また、項目62Dには、投稿情報50に関連するコメントが表示される。また、項目62Eには、投稿情報50のアクセス範囲を示す共有情報が表示される。また、項目62Fには、信頼度が表示される。この投稿出力画面62により、ユーザは、サイバー脅威インテリジェンス21Aより変換されたものを含む投稿情報50の詳細を容易に知ることができる。
図17は、分散したシステム構成例を説明する説明図である。図17に示すように、投稿システム1、記憶装置2およびサイバー脅威インテリジェンス管理システム3を含むSOC(Security Operation Center)は、地理的、政治的に分散して配置されてもよい。例えば、投稿システム1、記憶装置2およびサイバー脅威インテリジェンス管理システム3を含むSOCの他に、投稿システム1A、記憶装置2Aおよびサイバー脅威インテリジェンス管理システム3Aを含むSOCと、投稿システム1B、記憶装置2Bおよびサイバー脅威インテリジェンス管理システム3Bを含むSOCとが分散して配置される。
このSOC間では、例えば中央のSOCの記憶装置2またはサイバー脅威インテリジェンス管理システム3と、他のSOCにおける記憶装置2Aまたはサイバー脅威インテリジェンス管理システム3Aとの間で、例えばTAXII等、サイバー攻撃にかかる情報を転送する通信手順を用いてサイバー脅威インテリジェンスDB21に格納された情報が転送(共有)される。これにより、あるSOCの人間系における投稿システム1と、システム系におけるサイバー脅威インテリジェンス管理システム3との間でサイバー脅威インテリジェンス21Aを共有することができるとともに、地理的、政治的に分散して配置された他のSOC間においてもサイバー脅威インテリジェンス21Aを共有することができる。
以上のように、サイバー脅威インテリジェンス管理システム3のサイバー脅威インテリジェンス登録部32は、サイバー攻撃に関する情報(サイバー脅威インテリジェンス21A)を取得した場合、情報源管理DB31を参照し、CTIの取得源に基づく信頼度と対応づけてCTIをサイバー脅威インテリジェンスDB21に記憶する。サイバー脅威インテリジェンス管理システム3の信頼度更新部33は、CTIに対応する投稿情報がユーザ端末10Aから投稿システム1を介してサイバー脅威インテリジェンスDB21にアップロードされたことを検知すると、投稿情報にかかる信頼度に応じてCTIに対応付けられた信頼度を更新する。
これにより、サイバー脅威インテリジェンス管理システム3では、投稿情報にかかる信頼度を、CTIの信頼度に反映させることができる。例えば、サイバー脅威インテリジェンス管理システム3では、投稿情報の投稿元としての投稿者に設定された信頼度、投稿者が付与した自信度および投稿情報への他の投稿者が行ったフィードバックのいずれか、またはこれらの組み合わせに基づいてCTIの信頼度を更新する。これにより、投稿情報の投稿者に設定された信頼度、投稿者が付与した自信度および投稿情報への他の投稿者が行ったフィードバックを、CTIの信頼度に反映させることができる。このように、投稿情報にかかる信頼度をCTIの信頼度に反映させることで、CTIに対する投稿の評価を活かした、CTI分析の効率化・高度化を進めることができる。
また、信頼度更新部33は、投稿情報にかかる信頼度に応じて、投稿情報に対応するサイバー攻撃に関する情報の取得源(情報源)にかかる情報源管理DB31の信頼度を更新する。これにより、サイバー脅威インテリジェンス管理システム3では、投稿情報にかかる信頼度をCTIの取得源の信頼度に反映させることができる。具体的には、投稿情報の投稿者に設定された信頼度、投稿者が付与した自信度および投稿情報への他の投稿者が行ったフィードバックを、CTIの情報源の信頼度に反映させることができる。
また、信頼度更新部33は、CTIに含まれるノード数およびリンク種類数の少なくとも一方に基づいて、CTIの取得源にかかる信頼度を更新する。これにより、例えば、ノード数およびリンク種類数が多いCTI(分析対象として価値の高いCTI)の情報源については、信頼度を上がりやすく(または下がりにくく)することができる。また、ノード数およびリンク種類数が少ないCTI(分析対象として価値の低いCTI)の情報源については、信頼度を下がりやすく(または上がりにくく)することができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、投稿システム1やサイバー脅威インテリジェンス管理システム3で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、投稿システム1やサイバー脅威インテリジェンス管理システム3で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図18は、実施形態にかかる情報処理装置のハードウエア構成例を示すブロック図である。
図18に示すように、情報処理装置100は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、音声等の出力装置104とを有する。また、投稿システム1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、投稿システム1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、投稿システム1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した投稿受付部11、登録部12、出力部14、サイバー脅威インテリジェンス登録部32、信頼度更新部33および出力部34などで各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112(例えばユーザ管理DB13、情報源管理DB31等)が記憶される。入力装置102は、例えば、情報処理装置100の操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、投稿システム1における投稿受付部11、登録部12および出力部14にかかる各種の処理を行う。また、CPU101は、プログラム111を実行することで、サイバー脅威インテリジェンス管理システム3におけるサイバー脅威インテリジェンス登録部32、信頼度更新部33および出力部34にかかる各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、投稿システム1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。情報処理装置100が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、情報処理装置100がこれらからプログラム111を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)サイバー攻撃に関する情報を取得した場合、前記サイバー攻撃に関する情報を前記サイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶し、
前記サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、前記投稿情報にかかる信頼度に応じて前記サイバー攻撃に関する情報に対応付けられた信頼度を更新する、
処理をコンピュータに実行させることを特徴とするサイバー攻撃情報処理プログラム。
(付記2)前記投稿情報にかかる信頼度は、前記投稿情報の投稿元に対応付けられた信頼度、前記投稿元、または前記投稿情報の出力に応じて前記投稿元以外から受け付けた評価情報のいずれか、またはこれらの組み合わせより算出される信頼度である、
ことを特徴とする付記1に記載のサイバー攻撃情報処理プログラム。
(付記3)前記更新する処理は、前記投稿情報にかかる信頼度に応じて当該投稿情報に対応するサイバー攻撃に関する情報の取得源にかかる信頼度を更新する、
ことを特徴とする付記1または2に記載のサイバー攻撃情報処理プログラム。
(付記4)前記更新する処理は、前記サイバー攻撃に関する情報に含まれるノード数およびリンク種類数の少なくとも一方に基づいて前記取得源にかかる信頼度を更新する、
ことを特徴とする付記3に記載のサイバー攻撃情報処理プログラム。
(付記5)サイバー攻撃に関する情報を取得した場合、前記サイバー攻撃に関する情報を前記サイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶し、
前記サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、前記投稿情報にかかる信頼度に応じて前記サイバー攻撃に関する情報に対応付けられた信頼度を更新する、
処理をコンピュータが実行することを特徴とするサイバー攻撃情報処理方法。
(付記6)前記投稿情報にかかる信頼度は、前記投稿情報の投稿元に対応付けられた信頼度、前記投稿元、または前記投稿情報の出力に応じて前記投稿元以外から受け付けた評価情報のいずれか、またはこれらの組み合わせより算出される信頼度である、
ことを特徴とする付記5に記載のサイバー攻撃情報処理方法。
(付記7)前記更新する処理は、前記投稿情報にかかる信頼度に応じて当該投稿情報に対応するサイバー攻撃に関する情報の取得源にかかる信頼度を更新する、
ことを特徴とする付記5または6に記載のサイバー攻撃情報処理方法。
(付記8)前記更新する処理は、前記サイバー攻撃に関する情報に含まれるノード数およびリンク種類数の少なくとも一方に基づいて前記取得源にかかる信頼度を更新する、
ことを特徴とする付記7に記載のサイバー攻撃情報処理方法。
(付記9)サイバー攻撃に関する情報を取得した場合、前記サイバー攻撃に関する情報を前記サイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶するサイバー攻撃インテリジェンス登録部と、
前記サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、前記投稿情報にかかる信頼度に応じて前記サイバー攻撃に関する情報に対応付けられた信頼度を更新する信頼度更新部と、
を有することを特徴とする情報処理装置。
(付記10)前記投稿情報にかかる信頼度は、前記投稿情報の投稿元に対応付けられた信頼度、前記投稿元、または前記投稿情報の出力に応じて前記投稿元以外から受け付けた評価情報のいずれか、またはこれらの組み合わせより算出される信頼度である、
ことを特徴とする付記9に記載の情報処理装置。
(付記11)前記信頼度更新部は、前記投稿情報にかかる信頼度に応じて当該投稿情報に対応するサイバー攻撃に関する情報の取得源にかかる信頼度を更新する、
ことを特徴とする付記9または10に記載の情報処理装置。
(付記12)前記信頼度更新部は、前記サイバー攻撃に関する情報に含まれるノード数およびリンク種類数の少なくとも一方に基づいて前記取得源にかかる信頼度を更新する、
ことを特徴とする付記11に記載の情報処理装置。
1、1A、1B…投稿システム
2、2A、2B…記憶装置
3、3A、3B…サイバー脅威インテリジェンス管理システム
4…外部サイト
10A、10B、30、60…ユーザ端末
11…投稿受付部
12…登録部
13…ユーザ管理DB
14…出力部
21…サイバー脅威インテリジェンスDB
21A、51A〜51G…サイバー脅威インテリジェンス
31…情報源管理DB
32…サイバー脅威インテリジェンス登録部
33…信頼度更新部
34…出力部
35…表示画面
40…投稿画面
41〜46、62A〜62F…項目
47…投稿ボタン
50…投稿情報
61…一覧表示画面
62…投稿出力画面
100…情報処理装置
101…CPU
102…入力装置
103…モニタ
104…出力装置
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…プログラム
112…各種データ

Claims (6)

  1. サイバー攻撃に関する情報を取得した場合、前記サイバー攻撃に関する情報を前記サイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶し、
    前記サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、前記投稿情報にかかる信頼度に応じて前記サイバー攻撃に関する情報に対応付けられた信頼度を更新する、
    処理をコンピュータに実行させることを特徴とするサイバー攻撃情報処理プログラム。
  2. 前記投稿情報にかかる信頼度は、前記投稿情報の投稿元に対応付けられた信頼度、前記投稿元、または前記投稿情報の出力に応じて前記投稿元以外から受け付けた評価情報のいずれか、またはこれらの組み合わせより算出される信頼度である、
    ことを特徴とする請求項1に記載のサイバー攻撃情報処理プログラム。
  3. 前記更新する処理は、前記投稿情報にかかる信頼度に応じて当該投稿情報に対応するサイバー攻撃に関する情報の取得源にかかる信頼度を更新する、
    ことを特徴とする請求項1または2に記載のサイバー攻撃情報処理プログラム。
  4. 前記更新する処理は、前記サイバー攻撃に関する情報に含まれるノード数およびリンク種類数の少なくとも一方に基づいて前記取得源にかかる信頼度を更新する、
    ことを特徴とする請求項3に記載のサイバー攻撃情報処理プログラム。
  5. サイバー攻撃に関する情報を取得した場合、前記サイバー攻撃に関する情報を前記サイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶し、
    前記サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、前記投稿情報にかかる信頼度に応じて前記サイバー攻撃に関する情報に対応付けられた信頼度を更新する、
    処理をコンピュータが実行することを特徴とするサイバー攻撃情報処理方法。
  6. サイバー攻撃に関する情報を取得した場合、前記サイバー攻撃に関する情報を前記サイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶するサイバー攻撃インテリジェンス登録部と、
    前記サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、前記投稿情報にかかる信頼度に応じて前記サイバー攻撃に関する情報に対応付けられた信頼度を更新する信頼度更新部と、
    を有することを特徴とする情報処理装置。
JP2017230888A 2017-11-30 2017-11-30 サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 Active JP6933112B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017230888A JP6933112B2 (ja) 2017-11-30 2017-11-30 サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
US16/190,604 US10880337B2 (en) 2017-11-30 2018-11-14 Social networking service analysis apparatus, social networking service analysis method, and computer-readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017230888A JP6933112B2 (ja) 2017-11-30 2017-11-30 サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置

Publications (2)

Publication Number Publication Date
JP2019101672A JP2019101672A (ja) 2019-06-24
JP6933112B2 true JP6933112B2 (ja) 2021-09-08

Family

ID=66634104

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017230888A Active JP6933112B2 (ja) 2017-11-30 2017-11-30 サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置

Country Status (2)

Country Link
US (1) US10880337B2 (ja)
JP (1) JP6933112B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10902114B1 (en) * 2015-09-09 2021-01-26 ThreatQuotient, Inc. Automated cybersecurity threat detection with aggregation and analysis
US11075935B2 (en) * 2017-12-22 2021-07-27 Kpmg Llp System and method for identifying cybersecurity threats
US11194905B2 (en) * 2019-04-09 2021-12-07 International Business Machines Corporation Affectedness scoring engine for cyber threat intelligence services
US11586739B2 (en) * 2019-12-31 2023-02-21 Proofpoint, Inc. System and method for identifying cyberthreats from unstructured social media content
US11503047B2 (en) * 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US12086261B2 (en) * 2020-03-13 2024-09-10 International Business Machines Corporation Displaying cyber threat data in a narrative-like format
JP7687862B2 (ja) 2021-05-24 2025-06-03 株式会社日立製作所 計算機システム及びサイバーセキュリティ情報の評価方法
JP7685896B2 (ja) * 2021-07-09 2025-05-30 株式会社日立製作所 情報管理システム、情報管理方法、及び情報共有システム
WO2023063392A1 (ja) * 2021-10-13 2023-04-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 制御方法、サーバ、プログラム、及び、セキュリティ分析システム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
US8312536B2 (en) * 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
JP2009110334A (ja) * 2007-10-31 2009-05-21 Mitsubishi Electric Corp 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法
US8595282B2 (en) * 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
JP5264813B2 (ja) * 2010-03-16 2013-08-14 ヤフー株式会社 評価装置、評価方法及び評価プログラム
US8813228B2 (en) * 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US9886581B2 (en) * 2014-02-25 2018-02-06 Accenture Global Solutions Limited Automated intelligence graph construction and countermeasure deployment
CN104536980A (zh) * 2014-12-05 2015-04-22 百度在线网络技术(北京)有限公司 一种确定候评项的质量信息的方法与装置
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US11689547B2 (en) * 2015-12-14 2023-06-27 Nec Corporation Information analysis system, information analysis method, and recording medium

Also Published As

Publication number Publication date
US10880337B2 (en) 2020-12-29
US20190166164A1 (en) 2019-05-30
JP2019101672A (ja) 2019-06-24

Similar Documents

Publication Publication Date Title
JP6933112B2 (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
US12047396B2 (en) System and method for monitoring security attack chains
US11693958B1 (en) Processing and storing event data in a knowledge graph format for anomaly detection
Mazhar et al. Forensic analysis on internet of things (IoT) device using machine-to-machine (M2M) framework
US10721268B2 (en) Systems and user interfaces for dynamic and interactive investigation based on automatic clustering of related data in various data structures
US20240241752A1 (en) Risk profiling and rating of extended relationships using ontological databases
US10476904B2 (en) Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus
JP6736657B2 (ja) 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム
US10348747B2 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
CN113486351A (zh) 一种民航空管网络安全检测预警平台
CN106790008B (zh) 用于在企业网络中检测异常主机的机器学习系统
US11455389B2 (en) Evaluation method, information processing apparatus, and storage medium
US20150067777A1 (en) Systems and methods for authenticating nodes
CN110413908A (zh) 基于网站内容对统一资源定位符进行分类的方法和装置
CN106713332A (zh) 网络数据的处理方法、装置和系统
CN109831459B (zh) 安全访问的方法、装置、存储介质和终端设备
CN109547479A (zh) 一种工业环境中威胁情报整合系统和方法
JP6915457B2 (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
US20190281075A1 (en) Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus
Kotenko et al. An approach for stego-insider detection based on a hybrid nosql database
CN109313541A (zh) 用于显示和比较攻击遥测资源的用户界面
Elejla et al. Flow-Based IDS Features Enrichment for ICMPv6-DDoS Attacks Detection
WO2018211835A1 (ja) 評価プログラム、評価方法および情報処理装置
Raulerson et al. A framework to facilitate cyber defense situational awareness modeled in an emulated virtual machine testbed
CN108133046A (zh) 数据分析方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210615

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210720

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210802

R150 Certificate of patent or registration of utility model

Ref document number: 6933112

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150