JP7202951B2 - 不正リモートログイン検知装置、方法、及びプログラム - Google Patents
不正リモートログイン検知装置、方法、及びプログラム Download PDFInfo
- Publication number
- JP7202951B2 JP7202951B2 JP2019063566A JP2019063566A JP7202951B2 JP 7202951 B2 JP7202951 B2 JP 7202951B2 JP 2019063566 A JP2019063566 A JP 2019063566A JP 2019063566 A JP2019063566 A JP 2019063566A JP 7202951 B2 JP7202951 B2 JP 7202951B2
- Authority
- JP
- Japan
- Prior art keywords
- login
- time
- input
- computer
- source computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、不正リモートログイン検知装置、方法、及びプログラムに係り、特に、ネットワーク接続された複数の計算機のうちの何れかの計算機に対する他の計算機からの不正リモートログインを検知する不正リモートログイン検知装置、方法、及びプログラムに関する。
従来、ネットワークに接続された他の計算機に対してリモートログインを行う際のログイン認証では、ユーザ識別子とパスワードを用いて認証することにより、リモートログインを行おうとしている者が正規ユーザか否かを判定していた。
例えば、特許文献1には、ユーザ端末からのリモートログインをパスワードによりログイン認証し、ログイン認証の成功回数とログイン時に中継した中継機器との対応関係に基づいて、当該ユーザによる次回以降のログイン要求における認証処理方法を変更する技術が開示されている。
ところで、企業ネットワーク内に侵入した攻撃者によって、企業内の機密情報が盗み出される被害が多発しており、その手口の一つに企業ネットワーク内の脆弱な計算機を踏み台にする手口がある。すなわち、企業ネットワーク内の脆弱な計算機に不正侵入し、当該計算機から他の様々な計算機にリモートログインすることにより、最終的に機密情報にアクセスするという手口である。
特許文献1の技術では、ログイン元の計算機であるユーザ端末を踏み台にする手口を想定していないため、このような手口の不正リモートログインを制限することが困難である。一方で、ログイン先の計算機におけるイベントログを解析することで不正リモートログインを検出する一般的な不正リモートログインの検出技術を用いても、ログイン元の計算機が正規ユーザによって利用されている計算機であるため、ログイン先の計算機におけるイベントログのみから検出することが困難であった。すなわち、不正ログイン先の計算機のイベントログにはリモートログインされたことを示すイベント及びリモートログイン元の計算機の識別子などが記されるが、正規ユーザからのリモートログイン時も同様の内容のログとなり、不正か否かを判別できなかった。
本発明は上記問題を鑑みてなされたものであり、ログイン元の計算機が正規ユーザによる利用中であるか否かによらず不正リモートログインを精度よく検知することができる不正リモートログイン検知装置、方法、及びプログラムを提供することを目的とする。
上記の目的を達成するために本発明に係る不正リモートログイン検知装置は、ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知する不正リモートログイン検知装置であって、少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して記憶する操作情報記憶部と、前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得するログイン取得部と、前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する異常判定部と、を備えて構成されている。
本発明に係る不正リモートログイン検知装置によれば、少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して操作情報記憶部に記憶する。また、ログイン取得部によって、前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得する。
そして、異常判定部によって、前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する。
また、前記異常判定部は、前記第一判定期間の前記決定操作であって、前記ログイン時刻に最も近い前記決定操作の前記入力時刻である第一時刻から過去の第二判定期間における前記ログイン元計算機の前記操作情報に基づいて、前記入力操作の入力間隔の分散値を求め、当該分散値が所定値以下の場合に前記不正リモートログインではないと判定することが好適である。
また、前記第二判定期間は、前記第一時刻と、当該第一時刻の直前になされた前記決定操作の前記入力時刻である第二時刻との間の期間であることが好適である。
また、前記第二判定期間における複数の前記入力操作のうち、前記第一時刻に近い入力操作から所定数の入力操作の前記入力間隔の分散値を求め、当該分散値が所定値以下の場合に前記不正リモートログインではないと判定することが好適である。
また、前記異常判定部は、前記第一判定期間に前記決定操作があった場合に、前記ログイン時刻に最も近い時刻に入力された前記決定操作の前記入力時刻に対応する時刻から所定時間後までの第三判定期間における、前記ログイン元計算機における前記入力操作の有無から、前記不正リモートログインを判定することが好適である。
また、前記異常判定部は、前記第一判定期間に前記決定操作があった場合に、前記ログイン時刻に最も近い前記決定操作の入力時刻である第一時刻から過去の第二判定期間における前記ログイン元計算機の前記操作情報と、当該操作情報がパスワードの前記入力操作に係る特徴を有するか否かを判定するために予め学習された判定モデルとから、不正リモートログインを判定することが好適である。
本発明に係る不正リモートログイン検知方法は、ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知する不正リモートログイン検知方法であって、少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して操作情報記憶部に記憶し、ログイン取得部が、前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得し、異常判定部が、前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する。
本発明に係る不正リモートログイン検知プログラムは、ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知するための不正リモートログイン検知プログラムであって、コンピュータに、少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して操作情報記憶部に記憶し、前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得し、前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する処理を実行させるためのプログラムである。
本発明に係る不正リモートログイン検知システムは、ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知する不正リモートログイン検知装置であって、少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して記憶する操作情報記憶部、前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得するログイン取得部、及び前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する異常判定部を備えた不正リモートログイン検知装置と、前記操作情報を生成する操作情報生成部、及び前記ログイン時刻を検出するログイン検出手段を備えた複数の計算機とを含んで構成されている。
以上説明したように、本発明の不正リモートログイン検知装置、方法、及びプログラムによれば、ログイン元計算機の操作情報を用いることにより、ログイン元計算機が正規ユーザによる利用中であるか否かによらず不正リモートログインを精度よく検知することができる、という効果が得られる。
以下、図面を参照して本発明の実施の形態を詳細に説明する。
<本発明の実施の形態の概要>
本発明の実施の形態では、正規ユーザによるリモートログインは不正なリモートログインとは異なりキーボード等の操作を伴ったリモートログインとなることに着目し、企業ネットワーク内のリモートログイン元の計算機の操作情報とリモートログインを示すイベントログを突合することにより、不正なリモートログインを検知可能にする。
本発明の実施の形態では、正規ユーザによるリモートログインは不正なリモートログインとは異なりキーボード等の操作を伴ったリモートログインとなることに着目し、企業ネットワーク内のリモートログイン元の計算機の操作情報とリモートログインを示すイベントログを突合することにより、不正なリモートログインを検知可能にする。
具体的には、キーボード、マウス等からの入力操作に係る操作情報(入力内容、入力時刻)を記憶部に随時記憶する。ローカルネットワーク内の他の計算機からのリモートログインのイベントを検出したとき、当該他の計算機の操作情報を記憶部から取得し、当該操作情報を用いて、ログイン時刻の直前期間の入力操作における決定操作(例えば、「Enterキーの入力」、「OKボタンのクリック」等)の有無に基づいて不正なリモートログインであるか否かを判定する。例えば、ログイン時刻の直前期間の入力操作において、「Enterキーの押下」や「OKボタンのクリック」等の決定操作がある場合には、不正なリモートログインでないと判定される。一方、ログイン時刻の直前期間の入力操作において、決定操作がない場合には、不正なリモートログインであると判定される。
<システム構成>
以下、本発明を適用した不正リモートログイン検知システム100の概略構成を示した図1を参照し、本発明の実施の形態の構成を説明する。
以下、本発明を適用した不正リモートログイン検知システム100の概略構成を示した図1を参照し、本発明の実施の形態の構成を説明する。
(不正リモートログイン検知システム100)
図1に示すように、不正リモートログイン検知システム100は、計算機1A、1B及び異常判定装置2を含む。計算機1A、2A及び異常判定装置2は、LAN(ローカルエリアネットワーク)等のネットワーク3を介して接続されて互いに通信を行う。
図1に示すように、不正リモートログイン検知システム100は、計算機1A、1B及び異常判定装置2を含む。計算機1A、2A及び異常判定装置2は、LAN(ローカルエリアネットワーク)等のネットワーク3を介して接続されて互いに通信を行う。
計算機1A、1Bは、PC(Personal Computer)や、サーバ等のコンピュータである。本実施の形態では、ネットワーク3で接続された計算機が2台である場合を例に説明するが、これに限定されるものではなく、計算機が3台以上であってもよい。
異常判定装置2は、PCや、サーバ等のコンピュータであり、ネットワーク接続された複数の計算機1A、1Bのうちの何れかの計算機に対する他の計算機からの不正リモートログインを検知する。異常判定装置2は、不正リモートログイン検知装置の一例である。
(計算機1A、1B)
図2に示すように、計算機1A、1Bの各々は、入力部10、通信部12、記憶部14、制御部16、及び表示部18を備える。
図2に示すように、計算機1A、1Bの各々は、入力部10、通信部12、記憶部14、制御部16、及び表示部18を備える。
入力部10は、キーボードやマウス等の入力デバイスであり、計算機1A又は1Bを操作するための操作インタフェースとして機能する。
通信部12は、ネットワーク3に接続されて他の計算機1A又は1Bおよび異常判定装置2との通信を行い、制御部16の制御に従って他の計算機1A又は1Bおよび異常判定装置2と送受信した情報を、制御部16と入出力する通信インタフェース回路である。
記憶部14は、各種プログラムや各種データを記憶するROM(Read Only Memory)、RAM(Random Access Memory)等の記憶装置であり、制御部16との間でこれらの情報を入出力する。
制御部16は、CPU(Central Processing Unit)、MCU(Micro Control Unit)等で構成される演算装置であり、記憶部14に記憶されているプログラム等に従って操作情報生成手段160およびログイン検出手段162等として機能する。
操作情報生成手段160は、入力部10からの入力信号を受信する度に、当該入力信号に基づいて操作情報を生成し、当該操作情報を、通信部12を介して異常判定装置2に送信する処理を行う。
ログイン検出手段162は、他の計算機1A又は1Bからリモートログインが行われると、当該リモートログインが行われたことを示すログインイベント情報を生成し、当該ログインイベント情報を、通信部12を介して異常判定装置2に送信する処理を行う。
表示部18は、ログイン画面のほか、各種処理の結果、操作画面などを表示するモニター装置であり、液晶やCRTモニターにて実現できる。タッチパネルの機能を有する場合には、入力部10の機能を兼ね備えることができる。
(異常判定装置2)
図3に示すように、異常判定装置2は、入力部20、通信部22、記憶部24、制御部26、及び表示部28を備える。なお、記憶部24は、操作情報記憶部の一例であり、制御部26は、ログイン取得部の一例である。
図3に示すように、異常判定装置2は、入力部20、通信部22、記憶部24、制御部26、及び表示部28を備える。なお、記憶部24は、操作情報記憶部の一例であり、制御部26は、ログイン取得部の一例である。
入力部20は、キーボードやマウス等の入力デバイスであり、異常判定装置2を操作するための操作インタフェースとして機能する。
通信部22は、ネットワーク3に接続されて計算機1A、1Bとの通信を行い、制御部26の制御に従って計算機1A、1Bと送受信した情報を、制御部16と入出力する通信インタフェース回路である。
記憶部24は、各種プログラムや各種データを記憶するROM、RAM等の記憶装置であり、制御部26との間でこれらの情報を入出力する。
また、記憶部24が記憶するデータには、操作情報ログ240及びログインイベントログ242が含まれる。
操作情報ログ240は、各計算機1A、1Bから受信した操作情報をリスト化又はデータベース化した情報である。ログインイベントログ242は、各計算機1A、1Bから受信したログインイベント情報をリスト化又はデータベース化した情報である。
制御部26は、CPU、MCU等で構成される演算装置であり、記憶部24に記憶されているプログラム等に従って異常判定手段260等として機能する。
異常判定手段260は、他の計算機1A又は1Bからのリモートログイン要求を受信した際、リモートログインが正常か異常かを判定する異常判定処理を行う。異常判定処理では、後述する第一判定期間T1において決定操作(例えば、Enterキーの入力、OKボタンのクリック等の検知の対象となるリモートログインのソフトウェアに、リモートログイン要求送信の契機を与える入力操作であって、該ソフトウェアの利用者に共通する入力操作)がなされたか否かを判定する、決定操作の判定処理と、後述する第二判定期間T2における入力操作がパスワード入力に関する入力操作らしいか否かを判定する、パスワード入力操作の判定処理と、後述する第三判定期間T3において何らかの入力操作が行われていないことを判定する、インターバル判定処理とを行う。
表示部28は、各種処理の結果、操作画面などを表示するモニター装置であり、液晶やCRTモニターにて実現できる。タッチパネルの機能を有する場合には、入力部20の機能を兼ね備えることができる。
<リモートログインの異常判定に関する動作>
図4は、攻撃者の端末が、計算機1Aを遠隔操作して計算機1Bにリモートログインしたときに不正リモートログインが検知されるまでの信号及び処理の流れを例示したシーケンス図である。
図4は、攻撃者の端末が、計算機1Aを遠隔操作して計算機1Bにリモートログインしたときに不正リモートログインが検知されるまでの信号及び処理の流れを例示したシーケンス図である。
まず、計算機1Bは、入力部10の操作情報を、通信部12を用いてネットワーク3に送出し、異常判定装置2は、通信部22を用いて操作情報を受信し、操作情報ログ240に追記する(S1)。
また、計算機1Aは、入力部10の操作情報を、通信部12を用いてネットワーク3に送出し、異常判定装置2は、通信部22を用いて操作情報を受信し、操作情報ログ240に追記する(S2)。
上記S1、S2の処理は、定常的に繰り返し行われる。
ここで、操作情報は、入力時刻、計算機ID、入力装置種別、及び入力内容を含む。
入力時刻は、入力部10により入力操作された時刻である。例えば、何らかのキーボードのキー入力がなされた場合には、入力時刻は、当該キー入力された時刻である。
計算機IDは、入力操作を行った計算機を一意に識別可能な識別子であり、例えば、ホスト名やIPアドレスなどである。
入力装置種別は、入力部10の装置種別であり、例えば、「キーボード」や「マウス」等の情報である。
入力内容は、入力部10にて入力された入力内容である。例えば、キーボードによる入力であれば、入力内容には、入力されたキーコードなどが記される。
なお、本実施の形態では、入力内容の機密性を保持するために、入力内容は、少なくとも「Enter」と「非Enter」とが判別できるような情報であればよい。または、後述するようにShiftキーについても判別できるような情報であればよい。また、マウスによる入力であれば、入力内容は、「カーソルの位置と左クリックが押されたか否か」が判別できるような情報であればよい。
そして、攻撃者の端末は、計算機1Aに対して攻撃を行い、遠隔操作するための権限を奪取する(S3)。
そして、攻撃者の端末は、計算機1Aを遠隔操作して、計算機1Bに対してリモートログイン要求を送信し、計算機1Bに対してリモートログインを試みる(S4)。この際、悪用されるID及びパスワードは、例えば、メモリをダンプして収集される。
そして、計算機1Bは、他の計算機1Aからリモートログイン要求を受信した場合、リモートログイン要求を受けたことを示すログインイベント情報を異常判定装置2に送信する(S5)。
ログインイベント情報は、ログイン時刻、ログイン先計算機ID、及びログイン元計算機IDを含む。
ここで、ログイン時刻は、他の計算機からのリモートログイン要求を受信した時刻である。ログイン先計算機IDは、リモートログイン要求を受けた計算機を一意に識別可能な識別子であり、例えば、ホスト名やIPアドレスなどである。ログイン元計算機IDは、リモートログイン要求を送信した計算機を一意に識別可能な識別子であり、例えば、ホスト名やIPアドレスなどである。
そして、異常判定装置2は、計算機1Bからログインイベント情報を受信した場合、当該ログインイベント情報を記憶部24のログインイベントログ242に追記すると共に、当該リモートログインが正常か否かを判定する異常判定処理を実行する(S6)。
そして、異常判定装置2は、計算機1Bに異常判定処理における判定結果を送信する(S7)。なお、計算機1Bは不正なリモートログインであることを示す判定結果を受信した場合、その旨を表示部18に表示したり、遠隔地の管理者等にメール等で通知する。また、当該リモートログインを強制的に切断するような処理を行ってもよい。
上記S6の異常判定処理は、計算機1Bからログインイベント情報を受信した場合に異常判定手段260が開始する処理であり、図5に示す処理ルーチンによって実現される。
まず、異常判定装置2は、第一判定期間においてログイン元の計算機1Aで決定操作が行われたか否かを判定する判定処理を行う(S61)。具体的には、ログインイベント情報に記されたログイン時刻に基づいて第一判定期間T1を設定する。そして、ログインイベント情報に記されたログイン元計算機IDに基づいて操作情報ログの中から、第一判定期間T1におけるログイン元計算機の操作情報を、操作情報ログを検索して取得する。そして、取得した操作情報を参照し、第一判定期間においてログイン元計算機で決定操作が行われているか否かを判定する。
第一判定期間T1は、例えば、リモートログインの時刻(ログイン時刻)を含む、予め設定された期間(例えば、2秒)の長さとする。なお、この場合の期間の長さは、多数のユーザによる正常なログイン時における入力操作や、ネットワーク遅延、計算機間におけるシステムタイムの誤差等に基づいて設定されることが望ましい。また、第一判定期間T1の終了時刻を、ログイン時刻より所定時間後とする。これは、時刻同期精度の問題や、時刻の四捨五入などによる誤差問題などにより、ログイン時刻の直後に決定操作が検出されることもあるためである。
そして、異常判定装置2は、上記S61の判定処理により、第一判定期間においてログイン元の計算機1Aで決定操作が行われたと判定されたか否かを判定する(S62)。第一判定期間においてログイン元の計算機1Aで決定操作が行われたと判定された場合には、S63へ移行する。一方、第一判定期間においてログイン元の計算機1Aで決定操作が行われなかったと判定された場合には、S68へ移行する。
そして、異常判定装置2は、第二判定期間においてログイン元の計算機1Aでパスワード入力が行われたか否かを判定する判定処理を行う(S63)。具体的には、S61にて識別した決定操作が行われた時刻に基づいて第二判定期間T2を設定する。そして、ログインイベント情報に記されたログイン元計算機IDに基づいて操作情報ログの中から、第二判定期間T2におけるログイン元計算機の操作情報を、操作情報ログを検索して取得する。そして、取得した操作情報を参照し、第二判定期間T2においてログイン元計算機で入力操作されたタイミングに基づいて、当該入力操作が「パスワード入力操作」であるか否かを判定する。
例えば、第二判定期間T2における入力操作の入力間隔の分散値を求め、当該分散値が所定の閾値以下の場合は不正なリモートログインではないと判定する。利用者はパスワード入力を何度も経験すると、入力操作に慣れが生じるため、当該パスワードについてはスムーズな入力操作が可能となる。そこで、本実施の形態では、当該特徴に着目して、分散値が小さい、いわばスムーズな入力が行っていることを判定条件とした。
また、第二判定期間T2は、例えば、第一判定期間T1に最後(すなわち、ログイン時刻に最も近い決定操作)に入力された決定操作の時刻を第二判定期間T2の終了時刻とし、予め設定された期間(例えば、5秒)の長さとする。なお、第二判定期間T2の期間の長さは、多数のユーザによる正常なログイン時における入力操作に基づいて設定されることが望ましい。あるいは、第一判定期間T1に最後に入力された決定操作の直前になされた決定操作の入力時刻を、第二判定期間T2の開始時刻としてもよい。
また、パスワード入力に対応する文字数分の入力操作の入力間隔の分散値を求めるようにしてもよい。例えば、第二判定期間T2における複数の入力操作のうち、ログイン時刻に最も近い決定操作の時刻に近い入力操作から所定数の入力操作の入力間隔の分散値を求め、当該分散値が所定の閾値以下の場合に不正リモートログインではないと判定する。これにより、第一判定期間T1においてなされた決定操作が、ログイン元計算機の正規ユーザによるログイン操作以外の入力操作によって偶然になされた場合であっても、第二判定期間T2における入力操作に基づいてパスワード入力らしさを判定することにより、不正リモートログインであるか否かを精度良く判定することができる。
また、パスワード入力に対応する文字数分の入力操作の入力間隔の分散値を求めるようにしてもよい。例えば、第二判定期間T2における複数の入力操作のうち、ログイン時刻に最も近い決定操作の時刻に近い入力操作から所定数の入力操作の入力間隔の分散値を求め、当該分散値が所定の閾値以下の場合に不正リモートログインではないと判定する。これにより、第一判定期間T1においてなされた決定操作が、ログイン元計算機の正規ユーザによるログイン操作以外の入力操作によって偶然になされた場合であっても、第二判定期間T2における入力操作に基づいてパスワード入力らしさを判定することにより、不正リモートログインであるか否かを精度良く判定することができる。
そして、異常判定装置2は、上記S62の判定処理により、第二判定期間においてログイン元の計算機1Aでパスワード入力が行われたと判定されたか否かを判定する(S64)。第二判定期間においてログイン元の計算機1Aでパスワード入力が行われたと判定された場合には、S65へ移行する。一方、第二判定期間においてログイン元の計算機1Aでパスワード入力が行われなかったと判定された場合には、S68へ移行する。
そして、異常判定装置2は、第三判定期間においてログイン元の計算機1Aで何らかの入力があったか否かを判定する判定処理を行う(S65)。具体的には、S61にて識別した決定操作が行われた時刻に基づいて第三判定期間T3を設定する。そして、ログインイベント情報に記されたログイン元計算機IDに基づいて操作情報ログの中から、第三判定期間T3におけるログイン元計算機の操作情報を、操作情報ログを検索して取得する。そして、取得した操作情報を参照し、第三判定期間T3においてログイン元計算機で何らかの入力操作が行われたか否かを判定する。これは、リモートログインが成功した場合、リモートログインの直後は入力操作が行われるまでに一般的にインターバルがあることに着目したものである。
第三判定期間T3は、例えば、第一判定期間T1に最後に入力された決定操作の時刻を当該第三判定期間T3の開始時刻とし、予め設定された期間(例えば、3秒)の長さとする。なお、第三判定期間T3の期間の長さは、多数のユーザによる正常なログイン時における入力操作に基づいて設定されることが望ましい。あるいは、OSや計算機の性能に基づいてリモートログイン認証の成功後に操作可能となるまでの期間を概算し、当該期間に基づいて決定してもよい。また、第三判定期間T3の開始時刻を、第一判定期間T1に最後に入力された決定操作の時刻より所定時間後とする。これは、時刻同期精度の問題や、時刻の四捨五入などによる誤差問題などにより、実際に入力された時刻の直後に決定操作が検出されることもあるためである。
そして、異常判定装置2は、上記S65の判定処理により、第三判定期間においてログイン元の計算機1Aで何らかの入力が行われたと判定されたか否かを判定する(S66)。第三判定期間においてログイン元の計算機1Aで何らかの入力が行われたと判定された場合には、S68へ移行する。一方、第三判定期間においてログイン元の計算機1Aで何らかの入力が行われなかったと判定された場合には、S67へ移行する。
そして、S67のステップに移行した異常判定装置2は、不正リモートログインではないと判定する。例えば、図6(a)に示すように、ログイン時刻t1を含む第一判定期間T1において決定操作が行われており、第二判定期間T2における決定操作以外の操作によりパスワード入力操作らしいと判定され、かつ、第三判定期間T3において入力操作が行われていない場合に、不正リモートログインではないと判定される。
一方、S68のステップに移行した異常判定装置2は、不正リモートログインであると判定する。例えば、図6(b)に示すように、ログイン時刻t2を含む第一判定期間T1において決定操作以外の操作が行われているものの、決定操作が行われていない場合には、不正リモートログインであると判定される。
また、図6(c)に示すように、ログイン時刻t3を含む第一判定期間T1において決定操作が行われており、第二判定期間T2における決定操作以外の操作によりパスワード入力操作らしいと判定されているものの、第三判定期間T3において入力操作が行われている場合には、不正リモートログインであると判定される。
そして、異常判定装置2は、ログインイベント情報を送信した計算機1Bに判定結果を通知する(S69)。なお、上記の他にも、管理者へのメールの送信や、異常判定装置2の表示部28への異常の表示などが考えられる。
以上説明してきたように、本発明の実施の形態に係る不正リモートログイン検知システムは、リモートログインが行われた際のログイン元の他の計算機の操作情報を用いて、ログイン時刻に対応する時刻から所定時間前までの第一判定期間の入力操作における決定操作の有無から不正リモートログインを判定することにより、ログイン元計算機が正規ユーザによる利用中であるか否かによらず、ネットワーク接続された他の計算機からの不正リモートログインを精度よく検知することができる。
<変形例>
以上、本発明の好適な実施形態について説明してきたが、本発明はこれらの実施形態に限定されるものではない。
以上、本発明の好適な実施形態について説明してきたが、本発明はこれらの実施形態に限定されるものではない。
<変形例1>
例えば、第二判定期間においてログイン元の計算機でパスワード入力操作が行われたか否かの判定を、判定モデルに基づく統計的な手法によって実現することにより、不正リモートログインの有無を判定してもよい。
例えば、第二判定期間においてログイン元の計算機でパスワード入力操作が行われたか否かの判定を、判定モデルに基づく統計的な手法によって実現することにより、不正リモートログインの有無を判定してもよい。
具体的には、事前に、操作情報における、利用者によるパスワードの入力操作に係る操作情報の特徴の有無を判定するための判定モデルを学習する。判定モデルの学習では、判定モデルを学習するための訓練データを収集し、それらを入力として特徴抽出と判定モデルの学習を行い、判定モデルを出力する。
訓練データの収集では、学習期間を定め、学習期間中のすべての決定操作とその周辺の入力デバイスの操作情報を収集する。収集する期間は短すぎず、またある程度の人数のデータを収集することが望ましい。またすべての決定操作は、実際にパスワード入力操作が行われたか否かが既知であることが必須である。
次に、特徴抽出では、収集したデータから、パスワード入力操作の判定に有効な特徴を抽出し特徴ベクトルを生成する。抽出する特徴の例として、文字の入力回数、文字入力間隔の分散、SHIFTキーの入力回数などが考えられる。
判定モデルの学習では、抽出した特徴から判定モデルを学習する。判定モデルは、特徴ベクトルを入力とし、パスワード入力操作の判定結果を出力する。判定モデルによる判定手法は、決定木などルールベースに基づく判定や、特徴ベクトルの類似度に基づく判定、SVM(サポートベクターマシーン)やニューラルネットワークなどの機械学習手法による判定などが考えられる。
次に、第二判定期間においてログイン元の計算機でパスワード入力操作が行われたか否かの判定において、判定したいデータを入力とし、生成した特徴ベクトルに判定モデルを適用して、判定結果を出力とする。
<変形例2>
計算機は、ログ取得手段を備え、ログ取得手段が、自らの計算機においてなされた入力操作の操作情報を記憶部に記憶するようにしてもよい。具体的には、不正リモートログイン検知システム100において、計算機1A、1Bの制御部16が、操作情報生成手段160及びログイン検出手段162として機能すると共に、ログ取得手段として機能し、記憶部14に、操作情報ログ240が記憶される。例えば、計算機1Aは、他の計算機1Bからのリモートログインが行われた際、その旨を示すログインイベント情報を異常判定装置2に送信する。
計算機は、ログ取得手段を備え、ログ取得手段が、自らの計算機においてなされた入力操作の操作情報を記憶部に記憶するようにしてもよい。具体的には、不正リモートログイン検知システム100において、計算機1A、1Bの制御部16が、操作情報生成手段160及びログイン検出手段162として機能すると共に、ログ取得手段として機能し、記憶部14に、操作情報ログ240が記憶される。例えば、計算機1Aは、他の計算機1Bからのリモートログインが行われた際、その旨を示すログインイベント情報を異常判定装置2に送信する。
そして、ログインイベント情報を受信した異常判定装置2は、ログイン時刻に基づいて求めた所定の期間における、当該他の計算機1Bの操作情報を異常判定装置2に送信するように命令する。
当該命令を受けた他の計算機1Bは、指定された期間における操作情報を異常判定装置2に送信する。異常判定装置2は、受信した操作情報に基づいて不正リモートログインの有無を判定する。
<変形例3>
上記の実施の形態では、他の計算機からのリモートログイン要求を受信したとき、異常判定装置2にログインイベント情報を送信した。しかし、これに限定されるものではない。例えば、図7に示すように、不正リモートログイン検知システム100が、記録装置4を更に備え、計算機1A又は1Bが、ログインを行ったことを示すログインイベント情報を記録装置4に定常的に送信してもよい。
上記の実施の形態では、他の計算機からのリモートログイン要求を受信したとき、異常判定装置2にログインイベント情報を送信した。しかし、これに限定されるものではない。例えば、図7に示すように、不正リモートログイン検知システム100が、記録装置4を更に備え、計算機1A又は1Bが、ログインを行ったことを示すログインイベント情報を記録装置4に定常的に送信してもよい。
この場合、ログインイベントがあったことを検出するログイン検出手段を記録装置4に備えてもよい。また、記録装置4のログイン検出手段が、ログイン操作がなされたことを、計算機1A又は1Bから受信したログインイベント情報に基づいて判定し、異常判定装置2にその旨を通知する。
そして、異常判定装置2は、ログ取得手段を備え、ログ取得手段によって、当該通知に基づいて、ログイン元の計算機のログイン時刻の周辺の操作情報を記録装置4から取得し、異常判定手段260によって、当該操作情報とイベント時刻とに基づいて不正リモートログインの有無を判定してもよい。
<変形例4>
計算機が、異常判定手段を備え、他の計算機からなされたリモートログインが正常であるか否かを判定してもよい。例えば、図8に示すように、不正リモートログイン検知システム100が、ネットワーク3に接続された複数の計算機1A、1Bを備え、計算機1A、1Bの各々が、異常判定手段を備え、他の計算機からなされたリモートログインが正常であるか否かを判定してもよい。
計算機が、異常判定手段を備え、他の計算機からなされたリモートログインが正常であるか否かを判定してもよい。例えば、図8に示すように、不正リモートログイン検知システム100が、ネットワーク3に接続された複数の計算機1A、1Bを備え、計算機1A、1Bの各々が、異常判定手段を備え、他の計算機からなされたリモートログインが正常であるか否かを判定してもよい。
具体的には、不正リモートログイン検知システム100において、計算機1A、1Bの制御部16が、操作情報生成手段160及びログイン検出手段162として機能すると共に、ログ取得手段及び異常判定手段として機能し、記憶部14に、操作情報ログ240が記憶される。
例えば、計算機1Aは、他の計算機1Bからリモートログインが行われた際、当該ログインされた時刻(ログイン時刻)に基づいて求めた所定の期間における、当該他の計算機1Bの操作情報を送信するように、当該他の計算機1Bに命令する。
当該命令を受けた他の計算機1Bは、指定された期間における操作情報をログイン先の計算機1Aに送信する。ログイン先の計算機1Aは、受信した操作情報に基づいて不正リモートログインの有無を判定するようにすればよい。
以上のように、当業者は本発明の範囲内で、実施される形態に合わせて様々な変更を行うことができる。
1A、1B 計算機
2 異常判定装置
3 ネットワーク
4 記録装置
10、20 入力部
12、22 通信部
14、24 記憶部
16、26 制御部
18、28 表示部
100 不正リモートログイン検知システム
160 操作情報生成手段
162 ログイン検出手段
240 操作情報ログ
242 ログインイベントログ
260 異常判定手段
2 異常判定装置
3 ネットワーク
4 記録装置
10、20 入力部
12、22 通信部
14、24 記憶部
16、26 制御部
18、28 表示部
100 不正リモートログイン検知システム
160 操作情報生成手段
162 ログイン検出手段
240 操作情報ログ
242 ログインイベントログ
260 異常判定手段
Claims (8)
- ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知する不正リモートログイン検知装置であって、
少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して記憶する操作情報記憶部と、
前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得するログイン取得部と、
前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する異常判定部と、
を備える不正リモートログイン検知装置。 - 前記異常判定部は、前記第一判定期間の前記決定操作であって、前記ログイン時刻に最も近い前記決定操作の前記入力時刻である第一時刻から過去の第二判定期間における前記ログイン元計算機の前記操作情報に基づいて、前記入力操作の入力間隔の分散値を求め、当該分散値が所定値以下の場合に前記不正リモートログインではないと判定する請求項1に記載の不正リモートログイン検知装置。
- 前記第二判定期間は、前記第一時刻と、当該第一時刻の直前になされた前記決定操作の前記入力時刻である第二時刻との間の期間である請求項2に記載の不正リモートログイン検知装置。
- 前記第二判定期間における複数の前記入力操作のうち、前記第一時刻に近い入力操作から所定数の入力操作の前記入力間隔の分散値を求め、当該分散値が所定値以下の場合に前記不正リモートログインではないと判定する請求項2又は請求項3に記載の不正リモートログイン検知装置。
- 前記異常判定部は、前記第一判定期間に前記決定操作があった場合に、前記ログイン時刻に最も近い時刻に入力された前記決定操作の前記入力時刻に対応する時刻から所定時間後までの第三判定期間における、前記ログイン元計算機における前記入力操作の有無から、前記不正リモートログインを判定する請求項1~請求項4の何れか一項に記載の不正リモートログイン検知装置。
- 前記異常判定部は、前記第一判定期間に前記決定操作があった場合に、前記ログイン時刻に最も近い前記決定操作の入力時刻である第一時刻から過去の第二判定期間における前記ログイン元計算機の前記操作情報と、当該操作情報がパスワードの前記入力操作に係る特徴を有するか否かを判定するために予め学習された判定モデルとから、不正リモートログインを判定する請求項1に記載の不正リモートログイン検知装置。
- ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知する不正リモートログイン検知方法であって、
少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して操作情報記憶部に記憶し、
ログイン取得部が、前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得し、
異常判定部が、前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する
不正リモートログイン検知方法。 - ネットワーク接続された複数の計算機のうちの何れかのログイン先計算機に対する他のログイン元計算機からの不正リモートログインを検知するための不正リモートログイン検知プログラムであって、
コンピュータに、
少なくとも前記ログイン元計算機の操作インタフェースを用いた入力操作ごとの入力時刻及び入力内容からなる操作情報を、前記ログイン元計算機から取得して操作情報記憶部に記憶し、
前記ログイン先計算機に対する前記ログイン元計算機からのリモートログインが行われたログイン時刻を取得し、
前記ログイン元計算機の前記操作情報を用いて、前記ログイン時刻に対応する時刻から所定時間前までの第一判定期間の前記入力操作における決定操作の有無から前記不正リモートログインを判定する
処理を実行させるための不正リモートログイン検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019063566A JP7202951B2 (ja) | 2019-03-28 | 2019-03-28 | 不正リモートログイン検知装置、方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019063566A JP7202951B2 (ja) | 2019-03-28 | 2019-03-28 | 不正リモートログイン検知装置、方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020166329A JP2020166329A (ja) | 2020-10-08 |
| JP7202951B2 true JP7202951B2 (ja) | 2023-01-12 |
Family
ID=72716420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019063566A Active JP7202951B2 (ja) | 2019-03-28 | 2019-03-28 | 不正リモートログイン検知装置、方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7202951B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7458538B1 (ja) | 2023-07-05 | 2024-03-29 | PayPay株式会社 | プログラム、情報処理装置、および情報処理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001092783A (ja) | 1999-09-27 | 2001-04-06 | Hitachi Software Eng Co Ltd | 個人認証方法およびシステム、記録媒体 |
| JP2004145395A (ja) | 2002-10-21 | 2004-05-20 | Aruze Corp | 個人認証方法、及び個人認証システム |
| JP2018207382A (ja) | 2017-06-08 | 2018-12-27 | 株式会社eNFC | 情報処理装置、情報処理システムおよび情報処理方法 |
-
2019
- 2019-03-28 JP JP2019063566A patent/JP7202951B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001092783A (ja) | 1999-09-27 | 2001-04-06 | Hitachi Software Eng Co Ltd | 個人認証方法およびシステム、記録媒体 |
| JP2004145395A (ja) | 2002-10-21 | 2004-05-20 | Aruze Corp | 個人認証方法、及び個人認証システム |
| JP2018207382A (ja) | 2017-06-08 | 2018-12-27 | 株式会社eNFC | 情報処理装置、情報処理システムおよび情報処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020166329A (ja) | 2020-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8549314B2 (en) | Password generation methods and systems | |
| JP3928640B2 (ja) | 画像処理装置 | |
| US20150101031A1 (en) | Verification that an authenticated user is in physical possession of a client device | |
| US20090150983A1 (en) | System and method for monitoring human interaction | |
| JP3976201B2 (ja) | ネットワークによる入力装置の入力特徴を用いた個人認証方法、そのプログラム及びプログラムの記録媒体 | |
| JP2016162000A (ja) | ユーザ監視システム | |
| US9477194B2 (en) | Image forming apparatus capable of limiting range of operation during maintenance, control method therefor, and storage medium | |
| US20110075179A1 (en) | Image processing apparatus that performs authentication, authentication method therefor, and storage medium | |
| JP6548837B2 (ja) | 評価装置、セキュリティ製品の評価方法および評価プログラム | |
| JPWO2005048119A1 (ja) | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム | |
| EP2919422B1 (en) | Method and device for detecting spoofed messages | |
| JP7202951B2 (ja) | 不正リモートログイン検知装置、方法、及びプログラム | |
| US20170068446A1 (en) | Challenge generation for verifying users of computing devices | |
| JP6310621B1 (ja) | コンピュータシステム、IoT機器監視方法及びプログラム | |
| JPWO2003069491A1 (ja) | 電子計算機の入力装置の入力特徴を用いた個人認証方法、そのプログラム及びプログラムの記録媒体 | |
| US20190026448A1 (en) | Cognitive behavioral security controls | |
| JP2006243947A (ja) | 情報入力装置、情報入力方法及び記録媒体 | |
| JP6053646B2 (ja) | 監視装置及び情報処理システム及び監視方法及びプログラム | |
| JP2003296282A (ja) | パスワード変換処理装置 | |
| WO2022130374A1 (en) | Device, system, and method of determining personal characteristics of a user | |
| JP7225965B2 (ja) | 情報処理装置、代行ログインシステム、代行ログイン方法、および代行ログインプログラム | |
| JP2002073198A (ja) | 認証装置及び認証方法 | |
| US20200382487A1 (en) | Password protection in a computing environment | |
| WO2019159809A1 (ja) | アクセス分析システム及びアクセス分析方法 | |
| JP5010927B2 (ja) | 認証装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220224 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221202 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221206 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7202951 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |