JP7236376B2 - UNAUTHORIZED ACCESS DETECTION SYSTEM AND UNAUTHORIZED ACCESS DETECTION METHOD - Google Patents
UNAUTHORIZED ACCESS DETECTION SYSTEM AND UNAUTHORIZED ACCESS DETECTION METHOD Download PDFInfo
- Publication number
- JP7236376B2 JP7236376B2 JP2019231914A JP2019231914A JP7236376B2 JP 7236376 B2 JP7236376 B2 JP 7236376B2 JP 2019231914 A JP2019231914 A JP 2019231914A JP 2019231914 A JP2019231914 A JP 2019231914A JP 7236376 B2 JP7236376 B2 JP 7236376B2
- Authority
- JP
- Japan
- Prior art keywords
- maintenance
- unauthorized access
- token
- detection system
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、不正アクセス検知システムおよび不正アクセス検知方法に関する。 The present invention relates to an unauthorized access detection system and an unauthorized access detection method.
情報の時代に向けて、自動化システム及びIoT(Internet of Things)機器が増えていくに伴って、利便性を提供する上で、安全性と高信頼化も目指すべき状況にある。機密情報及びシステム機能を守るために、攻撃を検知し、システムを監視するなどの手段によって、事前にシステム機能の動作状況を把握することは、より効率的な対策するために重要な役割を果たす。 As automation systems and IoT (Internet of Things) devices increase toward the age of information, it is necessary to aim for safety and high reliability in order to provide convenience. In order to protect confidential information and system functions, it is important to understand the operational status of system functions in advance by means such as detecting attacks and monitoring the system, in order to take more effective countermeasures. .
悪意を持つ人間は、機密情報、脆弱性、暗号鍵などを見つけるために、アプリケーションのファイルを分析することがある。それらの機密情報は、悪意を持つ人間が有識者である場合、リバースエンジニアリングなどの技術を用いて、アプリケーションがどのように動作するかなどの情報を洗い出すことが可能となる。更に、アプリケーションの機能を操縦又は変更することもできる。したがって、攻撃者の行動を速く把握する為に、色々な検知する必要性が生じる。 Malicious humans sometimes analyze application files to find sensitive information, vulnerabilities, cryptographic keys, and more. If a person with malicious intent is an expert, such confidential information can be used to extract information such as how the application operates using techniques such as reverse engineering. Additionally, the functionality of the application can be manipulated or changed. Therefore, in order to quickly grasp the actions of attackers, there is a need for various types of detection.
このような、攻撃を検知して警戒するための方法として、例えば、特許文献1にはカナリアトークンという技術が開示され、特許文献2には、ハニートークンという技術が開示されている。
As a method for detecting and guarding against such an attack, for example,
これらの文献では、一般的な使い方として、予めアプリケーションにカナリアトークンを付けてリバースエンジニアリングを検知したり、特定のファイル(ハニートークン)を用意して、このファイルへの不正アクセスを検知している。しかし、例えば、紙幣を金種ごとに仕分けしたり計数するソータ等の紙幣取扱装置の保守作業に用いるタブレットやスマートフォン等の端末にインストールされた保守用アプリが攻撃されることがあり、このような不正アクセスを検知することについては言及されていない。また、例えば、顧客との間で、入出金、振り込み、残高照会といった取引を行うATM(Automated Teller Machine)等の紙幣取引装置のように、現金を決済する装置が攻撃目標として狙われた場合、機密情報の漏洩や装置の信用性に悪影響を及ぼす。したがって、攻撃の脅威を検知して迅速な対応をサポートすることが非常に重要となるが、この点については上記文献には開示されていない。 In these documents, as a general usage, a canary token is attached to an application in advance to detect reverse engineering, or a specific file (honey token) is prepared to detect unauthorized access to this file. However, for example, maintenance applications installed on terminals such as tablets and smartphones used for maintenance work of banknote handling devices such as sorters that sort and count banknotes by denomination may be attacked. There is no mention of detecting unauthorized access. In addition, for example, if a cash settlement device such as an ATM (Automated Teller Machine) that performs transactions such as deposit and withdrawal, transfer, and balance inquiry with customers is targeted as an attack target, Leakage of sensitive information and adversely affect the reliability of the device. Therefore, it is very important to detect the threat of attacks and support prompt countermeasures, but this point is not disclosed in the above document.
本発明の一側面としては、紙幣取扱装置の保守作業に用いる端末に対する不正アクセスを検知することが可能な技術を提供することを目的とする。また、紙幣取引装置に対する不正アクセスを検知して迅速な対応をサポートすることが可能な技術を提供することを目的とする。 An object of the present invention is to provide a technique capable of detecting unauthorized access to a terminal used for maintenance work of a banknote handling apparatus. Another object of the present invention is to provide a technique capable of detecting unauthorized access to a banknote transaction machine and supporting a prompt response.
本発明の一態様にかかる不正アクセス検知システムは、端末からの不正アクセスを検知する不正アクセス検知システムであって、紙幣取扱装置を保守する保守員であることが認証された保守端末で実行される保守用アプリケーションに組み込まれたトークンを、前記不正アクセス検知システムに登録する登録部と、前記不正アクセス検知システムから取得された前記トークンを含むアクセスを、不正アクセスとして検知する検知部と、を備えることを特徴とする不正アクセス検知システムとして構成される。 An unauthorized access detection system according to one aspect of the present invention is an unauthorized access detection system for detecting unauthorized access from a terminal, and is executed by a maintenance terminal authenticated as a maintenance worker who maintains a banknote handling apparatus. A registration unit that registers a token embedded in a maintenance application in the unauthorized access detection system; and a detection unit that detects access including the token acquired from the unauthorized access detection system as unauthorized access. It is configured as an unauthorized access detection system characterized by
また、本発明の一態様にかかる不正アクセス検知システムは、端末からの不正アクセスを検知する不正アクセス検知システムであって、紙幣取引装置で実行されるアプリケーションであって、トークンを組み込んだ前記アプリケーションを、前記紙幣取引装置に設定する設定部と、前記不正アクセス検知システムから取得された前記トークンを含むアクセスを、不正アクセスとして検知する検知部と、を備えることを特徴とする不正アクセス検知システムとして構成される。 Further, an unauthorized access detection system according to one aspect of the present invention is an unauthorized access detection system for detecting unauthorized access from a terminal, and is an application executed by a banknote transaction machine, wherein the application incorporating a token is and a detection unit configured to detect access including the token acquired from the unauthorized access detection system as unauthorized access. be done.
本発明の一態様によれば、紙幣取扱装置に対する不正アクセスを検知することができる。また、紙幣取引装置に対する不正アクセスを検知して迅速な対応をサポートすることができる。 ADVANTAGE OF THE INVENTION According to one aspect of the present invention, unauthorized access to a banknote handling device can be detected. In addition, it is possible to detect unauthorized access to the banknote transaction machine and support prompt countermeasures.
以下、図面を参照して本発明の実施形態を説明する。以下の記載および図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施する事が可能である。特に限定しない限り、各構成要素は単数でも複数でも構わない。 Embodiments of the present invention will be described below with reference to the drawings. The following description and drawings are examples for explaining the present invention, and are appropriately omitted and simplified for clarity of explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.
図面において示す各構成要素の位置、大きさ、形状、範囲などは、発明の理解を容易にするため、実際の位置、大きさ、形状、範囲などを表していない場合がある。このため、本発明は、必ずしも、図面に開示された位置、大きさ、形状、範囲などに限定されない。 The position, size, shape, range, etc. of each component shown in the drawings may not represent the actual position, size, shape, range, etc., in order to facilitate understanding of the invention. As such, the present invention is not necessarily limited to the locations, sizes, shapes, extents, etc., disclosed in the drawings.
以下の説明では、「テーブル」、「リスト」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。データ構造に依存しないことを示すために「XXテーブル」、「XXリスト」等を「XX情報」と呼ぶことがある。識別情報について説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いた場合、これらについてはお互いに置換が可能である。 In the following description, various types of information may be described using expressions such as “table” and “list”, but various types of information may be expressed in data structures other than these. "XX table", "XX list", etc. are sometimes referred to as "XX information" to indicate that they do not depend on the data structure. When the identification information is described, expressions such as "identification information", "identifier", "name", "ID", and "number" are interchangeable.
同一あるいは同様な機能を有する構成要素が複数ある場合には、同一の符号に異なる添字を付して説明する場合がある。ただし、これらの複数の構成要素を区別する必要がない場合には、添字を省略して説明する場合がある。 When there are a plurality of components having the same or similar functions, they may be described with the same reference numerals and different suffixes. However, if there is no need to distinguish between these multiple constituent elements, the subscripts may be omitted in the description.
また、以下の説明では、プログラムを実行して行う処理を説明する場合があるが、プログラムは、プロセッサ(例えばCPU(Central Processing Unit)、GPU(Graphics Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)および/またはインターフェースデバイス(例えば通信ポート)等を用いながら行うため、処理の主体がプロセッサとされてもよい。同様に、プログラムを実行して行う処理の主体が、プロセッサを有するコントローラ、装置、システム、計算機、ノードであってもよい。プログラムを実行して行う処理の主体は、演算部であれば良く、特定の処理を行う専用回路(例えばFPGA(Field-Programmable Gate Array)やASIC(Application Specific Integrated Circuit))を含んでいてもよい。 In addition, in the following description, there are cases where processing performed by executing a program is described. A processor may be the subject of the processing to perform the processing while appropriately using storage resources (eg, memory) and/or interface devices (eg, communication ports). Similarly, a main body of processing executed by executing a program may be a controller having a processor, a device, a system, a computer, or a node. The main body of the processing performed by executing the program may be an arithmetic unit, and may include a dedicated circuit (for example, FPGA (Field-Programmable Gate Array) or ASIC (Application Specific Integrated Circuit)) that performs specific processing. .
プログラムは、プログラムソースから計算機のような装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバまたは計算機が読み取り可能な記憶メディアであってもよい。プログラムソースがプログラム配布サーバの場合、プログラム配布サーバはプロセッサと配布対象のプログラムを記憶する記憶資源を含み、プログラム配布サーバのプロセッサが配布対象のプログラムを他の計算機に配布してもよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい(実施例1)。 A program may be installed on a device, such as a computer, from a program source. The program source may be, for example, a program distribution server or a computer-readable storage medium. When the program source is a program distribution server, the program distribution server may include a processor and storage resources for storing the distribution target program, and the processor of the program distribution server may distribute the distribution target program to other computers. Also, in the following description, two or more programs may be implemented as one program, and one program may be implemented as two or more programs (Example 1).
図1は、実施例1における不正アクセス検知システムの例を説明するための図である。本実施例における不正アクセス検知システム1では、当該システムをソータ用保守アプリに適用する場合を例に、関係者と全体構成を表している。ソータは、例えば、金融機関の支店の行員が、紙幣を金種ごとに仕分けしたり計数するための紙幣取扱装置である。
FIG. 1 is a diagram for explaining an example of an unauthorized access detection system according to the first embodiment. In the unauthorized
図1に示すように、不正アクセス検知システム1は、保守アプリ管理システム1105と、開発者PC(Personal Computer)1114と、スマートフォン1103と、ソータ1104と、監視用サーバ1107と、検知サーバ1112とを有している。また、保守アプリ管理システム1105と開発者PC1114とはネットワーク1111aによって接続され、検知サーバ1112と開発者PC1114とはネットワーク1111bによって接続される。また、スマートフォン1103と、ソータ1104および監視用サーバ1107とは、銀行ゲートウェイ1106によって接続され、検知サーバ1112は、攻撃者PC1109からネットワーク1101cを介してアクセスされる環境にある。これらの装置やネットワーク、ゲートウェイは、ハードウェアとしては一般的なものを用いることができる。
As shown in FIG. 1, the unauthorized
また、本システムを構成する機器や装置が行う機能は、例えば、CPUが、ROM(Read Only Memory)からプログラムを読み出し、RAMに対して読み書きして処理を実行することにより実現される。上記プログラムは、USB(Universal Serial Bus)メモリ等の記憶媒体から読み出されたり、ネットワークを介した他のコンピュータ(例えば、ECUを管理するサーバやクラウド)からダウンロードする等して提供されてもよい。 Further, the functions performed by the devices and devices that make up this system are implemented by, for example, the CPU reading a program from a ROM (Read Only Memory) and reading/writing it from/to a RAM to execute processing. The program may be read from a storage medium such as a USB (Universal Serial Bus) memory, or may be provided by being downloaded from another computer (for example, a server or cloud that manages the ECU) via a network. .
図1を用いて、不正アクセス検知システム1で行われる動作を説明する。保守員1101が汎用的な個人移動端末1102を用いて、銀行ゲートウェイ1106を介して、ソータ1104にアクセスして保守作業を行う。ソータ1104は現金を識別、分類、数えるなどの機能を持つ装置である。保守作業では、保守員がソータ1104に蓄積された様々な情報を取得したり、ソータ1104のトラブルシューティングなどの作業が行われる。ソータ1104の異常があった場合、スマートフォン1103にインストールされたソータ用保守アプリ1103が、銀行ゲートウェイ1106を介して監視用サーバ1107へアクセスする。監視用サーバ1107は、ソータ用保守アプリ1103からのアクセスを受けて、アクセス元となるスマートフォン1103の挙動を監視及び記録する。実装方式によって、監視用サーバ1107がソータ1104と異なるネットワークに設置することも可能である。
The operation performed by the unauthorized
保守アプリ管理システム1105は、個人移動端末1102に対して、ソータ用保守アプリ1103を配信1105aする機能及び本システムで使用される各種情報を管理する機能を有している。
The maintenance
開発者1113が開発者PC1114を用いて、開発環境1115においてソータ用保守アプリ1103の開発や上記各種情報を登録する作業を行う。開発者1113はプログラマーだけではなく、開発に関するテスター、管理者なども含む。
A
開発者1113により操作される開発者PC1114は、ネットワーク1111aを介して、保守アプリ管理システム1105にソフトウェア(例えば、カナリアデータが設定された保守機能ライブラリー1201、保守アプリ本体1202)を登録又は更新する。また、当該開発者PC1114は、ネットワーク1111aを介して保守アプリ管理システム1105に対して、上記各種情報の登録や更新を行うほか、ネットワーク1111bを介して検知サーバ1112に対して、上記各種情報の登録や更新を行う。
A
検知サーバ1112は、攻撃者1108により操作される攻撃者PC1109からのアクセスを検知した場合、保守アプリ管理システム1105にアクセスし、保守アプリ管理システム1105により管理されている情報を参照する。具体的には後述するが、検知サーバ1112は、攻撃者1108が操作する攻撃者PC1109からの脅威を検知し、管理する役割を担う。攻撃者1108が、攻撃者PC1109を操作してソータ用保守アプリ1103を不正入手して、攻撃者PC1109が、リバースエンジニアリングツール1110を用いて、分析を行う環境にある場合を前提に、以下説明する。
When the
図2A~2Cは、保守アプリ管理システム1105の構成、各部の役割、データについて説明する図である。
2A to 2C are diagrams for explaining the configuration of maintenance
図2Aは、不正アクセス検知システムの機能的な構成例を表す図である。図2Bは、カナリアとライブラリーを管理するデータ管理部に記憶されるデータの例を説明する図である。図2Cは、ソータ用保守アプリ本体をダウンロードするまでのフローチャートである。 FIG. 2A is a diagram showing a functional configuration example of an unauthorized access detection system. FIG. 2B is a diagram illustrating an example of data stored in a data management unit that manages canaries and libraries. FIG. 2C is a flowchart up to downloading the main body of the sorter maintenance application.
図2Aに示すように、保守アプリ管理システム1105は、管理サーバ1203と、ダウンロードサーバ1204とを有して構成される。管理サーバ1203は、管理データベース1205と、配信管理部1206とを有する。
As shown in FIG. 2A, maintenance
ソータ用保守アプリ1103は、例えば、スマートフォン、プレートなどの移動端末で用いられるアプリケーションであり、一般的なオペレーティングシステムに適用できる。そのため、保守員1101は、専用端末ではなく、汎用的な個人移動端末1102を用いて、保守作業を行える。
The
ソータ用保守アプリ1103は、ライブラリーを識別するためのIDに対応付けられている保守機能ライブラリー1201と、ダウンロードサーバ1204からダウンロードされた保守アプリ本体1202とを有して構成される。保守アプリ本体1202は、個人移動端末1102で操作するためのエンドユーザインタフェースを提供し、保守機能ライブラリー1201が実際の機能を実現する。
The
保守員1101は、個人移動端末1102を用いて、インタネット等のネットワーク1208を介して、ダウンロードサーバ(アプリケーションストア)1204にアクセス1202aする。個人移動端末1102は、保守員1101から指定された保守アプリ本体1202をダウンロード1202bする。ダウンロードサーバ(アプリケーションストア)1204は、汎用的なアプリケーションストアである。保守員1101は、個人移動端末1102を用いて、インタネット又は専用ゲートウェイ1207を介して、管理サーバ1203に対してアクセス1203aし、保守機能ライブラリー1201を取得1203bする。実装方式によって、管理データベース1205は管理サーバ1206内に設けられる等、使用環境に応じてこれらを配置してよい。
A
管理サーバ1206は、個人移動端末1102からのアクセスを受けると、管理データベース1205を参照1205aしてライブラリーIDを取得1205bする。その後、管理サーバ1206は、取得したライブラリーIDに対応するライブラリーを1102に送信1203bする。
When receiving access from the personal mobile terminal 1102, the
図2Bは、管理データベース1205に記憶されるデータの例を示す図である。図2Bでは、保守員管理データ12051、カナリア管理データ12052、更新履歴管理データ12053が記憶されていることを示している。
FIG. 2B is a diagram showing an example of data stored in the
図2Bの(a)は、保守員管理データ12051の例を示す図である。図2Bの(a)に示すように、保守員管理データ12051は、保守員1101を識別するための保守員IDと、保守員の名前と、保守員歴と、当該保守員の評価とが対応付けて記憶されている。例えば、保守員ID「1」で識別される保守員は、名前「X」の保守員歴の期間「123」年であることを示している。また、当該保守員の評価は「A」であることを示している。当該評価は、例えば、保守員の経験値や勤務状況等に基づいて定められた、保守員の信頼度を示す指標である。保守員管理データ12051は、例えば、保守員1101が正式な担当者になった場合にこれらの情報が登録される。
(a) of FIG. 2B is a diagram showing an example of maintenance
図2Bの(b)は、カナリア管理データ12052の例を示す図である。図2Bの(b)に示すように、カナリア管理データ12052は、カナリアデータを識別するためのカナリアIDと、カナリアデータと、当該カナリアデータに対応するソータ用保守アプリ1103の保守機能ライブラリー1201を識別するためのライブラリーIDと、上記保守員IDとが対応付けて記憶されている。例えば、カナリアID「1」で識別されるカナリアデータは、「https://xx/xx/xx」(本来のアクセス先ではない偽のIPアドレス)で示されるウェブサイトであることを示している。また、当該カナリアデータは、保守員ID「1」で識別される保守員1101が操作する個人移動端末1102からの要求に従って、ライブラリーID「#1」で識別される保守機能ライブラリー1201で用いられるカナリアトークンの具体的な内容である。実施例1および後述する実施例2におけるカナリアトークンは、通常ソータやATMで行われる処理では使用されないトークンであり、リバースエンジニアリング等の解析が行われた際に、その解析者によりアクセスされる情報である。例えば、開発者PC1114では、カナリアトークンをスキップするように、業務で実行するプログラムが設計され、システムに登録される。
(b) of FIG. 2B is a diagram showing an example of the
本例ではカナリアトークンを例に説明しているが、ハニートークンを用いてもよい。また、カナリアトークンとして、偽のURLではなく、偽のユーザアカウントやキーワード等、本来使用を想定していない様々な偽情報を用いてよい。以下に説明するように、このようなカナリアトークン(あるいはハニートークン)を用いることは、通常使用しないアプリケーションやファイルにアクセスされたことを検知し、攻撃者による意図しない利用を検知するトリックであるといえる。 In this example, a canary token is used as an example, but a honey token may also be used. Also, as canary tokens, instead of fake URLs, various fake information that is not originally intended to be used, such as fake user accounts and keywords, may be used. As explained below, the use of such canary tokens (or honey tokens) is a trick to detect access to applications or files that are not normally used, and to detect unintended use by attackers. I can say.
カナリア管理データ12052は、保守機能ライブラリー1201をライブラリー配信サーバ1206に登録されたり更新される前に、管理データベース1205に登録されまたは更新される。カナリア管理データ12052には、このように、保守機能ライブラリー1201と保守員の関係が記憶される。カナリア管理データ12052がライブラリー管理データベース1205に登録されると、保守員1101ごとにアクセス可能なライブラリーが定まる。
図2Bの(c)は、更新履歴管理データ12053の例を示す図である。図2Bの(c)に示すように、更新履歴管理データ12053は、保守機能ライブラリー1201を識別するためのライブラリーIDと、当該ライブラリーが更新されたかあるいはダウンロードされたかを示す更新/ダウンロード区分と、更新/ダウンロードされた日付と、上記保守員IDとが対応付けて記憶されている。例えば、ライブラリーID「1」で識別される保守機能ライブラリー1201は、日付「xx」に更新されたことを示している。また、当該保守機能ライブラリー1201は、保守員ID「1」で識別される保守員1101が操作する個人移動端末1102からの要求に従って、登録または更新されることを示している。
(c) of FIG. 2B is a diagram showing an example of the update
図2Cは、ソータ用保守アプリ本体をダウンロードするまでのフローチャートである。本システムでは、まず、保守員1101が汎用的な個人移動端末1102に対して、保守アプリ本体1202をダウンロードする指示を入力し(S201)、当該指示に基づいて、個人移動端末1102は、ダウンロードサーバ(アプリケーションストア)1204から、保守アプリ本体1202を要求し(S202)、ダウンロードサーバ1204は、当該要求に従って、保守アプリ本体1202を個人移動端末1102に送信する(S203)。
FIG. 2C is a flowchart up to downloading the main body of the sorter maintenance application. In this system,
個人移動端末1102は、送信された保守アプリ本体1202をインストールした後(S204)、保守員1101から保守員IDとパスワードの入力を受け付け(S205)、受け付けた保守員IDとパスワードを、インストールした保守アプリ本体1202に出力する(S206)。 After installing the transmitted maintenance application body 1202 (S204), the personal mobile terminal 1102 accepts input of the maintenance staff ID and password from the maintenance staff 1101 (S205), and inputs the received maintenance staff ID and password to the installed maintenance staff. Output to the application body 1202 (S206).
保守アプリ本体1202は、上記保守員IDとパスワードを認証情報として管理サーバ1203に送信する(S207)。管理サーバ1203の配信管理部1206は、認証情報に含まれる上記保守員IDとパスワードをキーにしてあらかじめ管理データベース1205に記憶されている保守員の認証情報(不図示)にアクセスし、上記キーに対応する認証情報を取得する(S208、S209)。配信管理部1206は、管理データベース1205から認証情報が取得できた場合、認証成功としてその旨を保守アプリ本体1202に返信する(S210)。
The
個人移動端末1102は、認証成功の旨を受信すると、保守員1101から、保守機能ライブラリー1201を要求するための要求ボタンの押下を受け付け(S212)、当該要求ボタンが押下された旨を出力する(S213)。そして、個人移動端末1102は、管理サーバ1203の配信管理部1206に保守機能ライブラリー1201の要求を送信する(S214)。当該要求には、ライブラリーID、保守員IDが含まれる。
When the personal mobile terminal 1102 receives the notification of successful authentication, it receives from the
管理サーバ1203の配信管理部1206は、個人移動端末1102から受信した上記要求に含まれる保守員IDを読み出し、管理データベース1205のカナリア管理データ12052に記憶されている当該保守員IDに対応するライブラリーIDを読み取って取得する(S215、S216)。
The
管理サーバ1203の配信管理部1206は、取得したライブラリーIDにより識別される保守機能ライブラリー1201を、個人移動端末1102に送信する(S217)。個人移動端末1102の保守アプリ本体1202は、管理サーバ1203から受信した保守機能ライブラリー1201をソータ用保守アプリ1103にインストールして取り込み、使用可能な状態とする(S218)。
The
上記のように、保守員1101が、個人移動端末1102を操作して保守アプリ本体1202と保守機能ライブラリー1201を入手し、保守員1101毎に異なる保守機能ライブラリー1201を有したソータ用保守アプリ1103が、当該保守員の個人移動端末1102に構築される。
As described above, the
図3は、ソータ用保守アプリ1103がソータの保守作業を行う際に用いるインタフェースとその機能を説明するための図である。
図3に示すように、個人移動端末1102にインストールされたソータ用保守アプリ1103は、当該個人移動端末1102を使用する保守員が使用可能な保守機能ライブラリー1201と保守アプリ本体1202で構成される。保守アプリ本体1202が操作インタフェース1301を提供し、保守機能ライブラリー1201が保守に関する実際の機能を提供する。
FIG. 3 is a diagram for explaining an interface and its functions that the
As shown in FIG. 3, the
図3の下段に示すように、保守員1101は、個人移動端末1102に表示された操作インタフェース1301を介して保守に関する操作を行う。保守アプリ本体1202がコマンドを出力1202aして保守機能ライブラリー1201の機能を呼び出す。呼び出された保守機能ライブラリー1201は、銀行ゲートウェイ1106を介して、ソータ1104へリモートアクセスして取得1202bした情報を操作インタフェース1301に表示する。保守員1101は、当該表示に基づいて作業を行う。
As shown in the lower part of FIG. 3 ,
例えば、個人移動端末1102の操作インタフェース1301が、保守員1101からアクセス承認依頼画面1302への承認依頼ボタンの押下を受け付ける。(図3下段(a)と、当該個人移動端末1102にインストールされた保守アプリ本体1202は、保守機能ライブラリー1201にコマンドを出力して、当該保守機能ライブラリー1201の機能を呼び出す。
For example, the
保守機能ライブラリー1201は、ソータ用保守アプリ1103の情報(例えば、当該アプリを識別するためのアプリID、ライブラリーID、保守員ID)と、アクセスするソータを識別するためのソータIDとを含むアクセス依頼を、銀行ゲートウェイ1106を介してソータ1104に送信する。ソータ1104では、アクセス可能なソータ用保守アプリ1103、保守機能ライブラリー1201、個人移動端末1102、保守員1101が記憶されており、上記アクセス依頼にこれらの情報が含まれている場合には、アクセス可能であると判断し、アクセスを承認するメッセージを個人移動端末1102に送信する。
The
個人移動端末1102の保守アプリ本体1202は、ソータ1104からアクセスを承認するメッセージを受信すると、図3の下段(a)に示したアクセス承認依頼画面1302から、図3の下段(b)に示す保守員モード画面1303に遷移させる。
When the
保守員モード画面1303において、保守アプリ本体1202は、実装手段と業務要件によって、色々な機能を提供する。図13の下段(b)では、保守アプリ本体1202は、アクセスしたソータ1104のモーターチェック、センサチェック、搬送テストの3つの保守メニューを含む保守員モード画面1303を、操作インタフェース1301に表示している。これらの保守メニューと保守員モード画面1303は、保守員1101(あるいは個人移動端末1102)に応じて定められる。例えば、ある保守員1101が操作する個人移動端末1102では、当該保守員1101の保守員歴が所定の基準に満たない場合や、当該保守員1101の評価が所定の基準に満たない場合、当該個人移動端末1102にインストールされた保守アプリ本体1202は、「搬送テスト」を保守員モード画面1303に表示させない。
On the maintenance
保守員モード画面1303において表示された保守メニューに従って保守が行われると、保守アプリ本体1202は、当該保守の結果を示す保守結果画面1304を、操作インタフェース1301に表示する。図3の下段(c)では、保守アプリ本体1202が、搬送テストに関する保守を実行したときのログ情報とエラーコードとを含む保守結果画面1304を、操作インタフェース1301に表示している。
When maintenance is performed according to the maintenance menu displayed on the maintenance
そして、保守アプリ本体1202は、ログ情報として異常が検出された旨のメッセージが表示されていると判断すると、当該異常が検出されたソータ1104を保守するための保守操作モード画面1305を、操作インタフェース1301に表示する。図13の下段(d)では、保守アプリ本体1202が、リモートデスクトップ等の遠隔操作技術により、ソータ1104の表示装置に表示されている画面を、保守操作モード画面1305として操作インタフェース1301に表示している。保守アプリ本体1202が、保守操作モード画面1305を表示することにより、保守員1101は効率的な保守員作業を行うことができる。また、ソータ1104が設置されている場所に赴くことなく、事前に状況を把握し、保守員1101を手配することができるので、従来に比べてより効率的で確実な保守作業を行うことができる。なお、後述するように、ソータ用保守アプリ1103がソータ1104に対する操作を行うため、ソータ用保守アプリ1103の機能を提供する保守機能ライブラリー1201にカナリアトークンを付与することにより、ソータ用保守アプリ1103を保護する。
When the maintenance application
図4A~4Cは、検知サーバ1112がリバースエンジニアリングを検知する機能を説明するための図である。図4Aは、検知サーバを含むシステムの機能を説明するための図である。図4Bは、検知サーバが記憶するデータの例を示す図である。図4Cは、検知サーバがリバースエンジニアリングを検知してアラームを出力するまでの処理を説明するための図である。
4A to 4C are diagrams for explaining the function of the
検知サーバ1112は、ある人が操作する任意の端末からのアクセスを検知すると、アクセスした当該端末からの脅威があると判断し、アラームを発するためのサーバである。
The
図4Aに示すように、検知サーバ1112は、リバースエンジニアリングの検知やアラームに用いる各種データを記憶する検知サーバデータベース1401と、リバースエンジニアリングを検知した旨を管理者に通知するアラーム部1402とを有している。
開発者1113は、開発者PC1114にあらかじめ組み込まれている検知サーバ1112のデータを管理する開発管理環境1406からネットワーク1111bを介して検知サーバ1112にアクセスし、必要な情報を検知サーバデータベース1401に登録しておく。
As shown in FIG. 4A, the
The
このような環境下において、攻撃者1108は攻撃者PC1109を操作して、ソータ保守アプリ1103を不正入手し、攻撃者PC1109のリバースエンジニアリングツール1110を用いて、ソースコードを分析する。例えば、攻撃者PC1109は、攻撃者1108からの操作に従って、ダウンロードサーバ1204にアクセスする。ソータ保守アプリ1103がスマートフォン用のアプリである場合、攻撃者PC1109は、スマートフォンではないにもかかわらずスマートフォンであるかのようにPCの各種設定を偽装し、ソータ保守アプリ1103をダウンロードして不正入手する。
Under such an environment, the
さらに攻撃者1108は、ツール等の解析ソフトウェアを攻撃者PC1109で実行させ、ダウンロードしたソータ保守アプリ1103をソースコード分析する。当該解析ソフトウェアは、ソータ用保守アプリ1103の機能を提供する保守機能ライブラリー1201に付与されているカナリアトークン1407を発見し、抽出する。さらに、攻撃者1108は、より詳細な情報を出す為に、カナリアトークン1409を利用する。
Furthermore, the
例えば、攻撃者PC1109は、攻撃者1108からの指示に従って、入手したソータ用保守アプリ1103をリバースエンジニアリングし、ソータ用保守アプリ1103にあるカナリアトークン1409を洗い出す。カナリアトークン1409は、図2Bのカナリア管理データ12052のカナリアデータとして示したように、例えば、検知サーバに割り当てたトリックURL1405である。この場合、攻撃者PC1109は、攻撃者1108からの操作にしたがって検知サーバにアクセスする。トリックURL1405のアクセス先は、検知サーバ1112のIPアドレスとして設定されているため、攻撃者PC1109は検知サーバ1112に誘導される。本例では、カナリアトークン1409としてトリックURLを例示しているが、ユーザアカウントやキーワードなど、攻撃者2604により分析対象となる様々な偽情報を含む。
For example, the
検知サーバ1112のアラーム部1402は、検知サーバデータベース1401の情報を参照1112aし、管理データベース1205の情報を参照1112bすることによって、カナリアトークンの情報と保守員情報を洗い出す。例えば、アラーム部1402は、管理データベース1205のカナリア管理データ12052の中から、攻撃者PC1109がアクセスしたトリックURL1405を含むレコードを特定する。アラーム部1402は、特定したレコードに含まれるライブラリーIDを読み取り、更新履歴管理データ12053の中から、読み取ったライブラリーIDと同じライブラリーIDを含むレコードを特定する。そして、アラーム部1402は、特定したレコードの更新/ダウンロード区分、更新/ダウンロードされた日付、保守員IDを読み取る。さらに、アラーム部1402は、カナリア管理データ12052の中から特定したレコードに含まれる保守員IDを読み取り、保守員管理データ12051の中から、読み取った保守員IDと同じ保守員IDを含むレコードを特定する。そして、アラーム部1402は、特定したレコードの保守員の名前と、保守員歴と、当該保守員の評価を読み取る。
The
また、アラーム部1402は、攻撃者PC1109がアクセスした際に攻撃者PC1109から取得した情報(例えば、攻撃者PC1109のIPアドレス、アクセス日付)と、検知サーバデータベース1401とを参照して、アクセス元を追跡する。例えば、アラーム部1402は、図4B(a)に示すように、攻撃者PC1109のIPアドレス、アクセス日付を、攻撃者PC1109から取得した情報としてアクセス元情報14011に記録する。また、アラーム部1402は、図4B(b)に示すように、特定したレコードのライブラリーIDと、上記アクセス日付とを、リバースエンジニアリング対象とされた情報としてリバースエンジニアリング対象情報14012に記録する。このとき、アラーム部1402は、アクセス元情報14011に記録したIPアドレスから攻撃者PC1109が設置されている地域を割り出し、リバースエンジニアリング対象情報14012に記録する。
Further, the
さらに、アラーム部1402は、例えば、次のような脅威分析レポート1403、対策案1404を生成し、あらかじめ定められた送信先に、これらの情報を送信する。送信先としては、例えば、図4B(c)に示すように、本システムの責任者を識別するための識別情報と、当該責任者の連絡先(例えば、電話番号やメールアドレス)とが対応付けて記憶された責任者情報14013を参照し、上記生成した情報を送信する。
Furthermore, the
アラーム部1402は、脅威分析レポート1403として、上記アクセス元となるIPアドレスやアクセス日付、地域、攻撃者PC1109がアクセスしてリバースエンジニアリングされたソータ用保守アプリ1103の機能を提供する保守機能ライブラリー1201のライブラリーID、上記IPアドレスに基づいて解析された地域、保守機能ライブラリー1201がアクセス依頼に含めたソータIDなどの情報を記録した一覧表を出力する。さらに、アラーム部1402は、脅威が検出された旨のメッセージを生成し、当該メッセージと上記一覧表とを含む脅威分析レポート1403を、送信先に送信する。
The
また、アラーム部1402は、当該脅威分析レポート1403で検出された脅威に対する対策案1404(例えば、アクセス元となるIPアドレスや地域からのアクセスを遮断する等のネットワーク上の処置)を、上記脅威分析レポート1403とともに送信先に送信する。脅威分析の結果と対策案は、あらかじめ対応付けて定められているものとする。
In addition, the
図4Cに示すように、検知サーバ1112がアクセスされたことを検知してアラームを送信するまでの処理では、攻撃者PC1109がソータ用保守アプリ1103を不正に取得すると(S401)、リバースエンジニアリングし、ソータ用保守アプリ1103に埋め込まれているカナリアトークン1409を洗い出す(S402)。さらに、攻撃者PC1109は、洗い出したカナリアトークン1409をネットワーク上で検索し(S403)、当該トークンで示されたリンクへのアクセスを行う(S404)。
As shown in FIG. 4C, in the process from detecting that the
検知サーバ1112では、アラーム部1402が、上記アクセスを検知すると、(S405)、アクセス元を割り出して脅威分析レポート1403を生成し(S406)、図4Bに示したアクセス元情報14011やリバースエンジニアリング対象情報14012に情報を記録するとともに、対策案1404と脅威分析レポート1403とを、あらかじめ定められた担当者のメールアドレスに送信する(S407)。これにより、システムの担当者は、攻撃者PC1109により不正なアクセスがあったことを容易かつ迅速に把握することができる。
In the
このように、本実施例では、端末からの不正アクセスを検知する不正アクセス検知システム1において、登録部(例えば、開発者PC1114)は、紙幣取扱装置(例えば、ソータ1104)を保守する保守員(例えば、保守員1101)であることが認証された保守端末(例えば、個人移動端末1102)で実行される保守用アプリケーション(例えば、ソータ用保守アプリ1103)であって、偽情報を示すトークン(例えば、カナリアトークン1407)を組み込んだ上記保守用アプリケーションを、上記不正アクセス検知システムに登録し、検知部(例えば、検知サーバ1112)が、上記不正アクセス検知システムから取得された上記保守用アプリケーションに組み込まれた上記トークンを介したアクセスを、不正アクセスとして検知する。したがって、銀行等の金融機関で用いられるソータ等の紙幣取扱装置を保守するアプリケーションが、保守員ではない第三者の端末に不正にインストールされ、あるいは上記第三者が保守員に成りすまして上記保守端末にインストールされた場合でも、当該アプリケーションにおいて本来の使用を想定していないトークンを介したアクセスが行われたことがわかるため、不正アクセスを容易に検知することができる。
As described above, in this embodiment, in the unauthorized
また、上記トークンは保守員ごとに記憶されたライブラリー(例えば、保守機能ライブラリー1201)に組み込まれ、管理部(例えば、管理サーバ1206)が、当該保守員であることが認証された保守端末に、当該保守員に対応するライブラリーを含む上記保守用アプリケーションを提供する。したがって、不正アクセスが検知された場合に、どの保守員の端末が偽装、あるいは保守員に成りすまされ、不正アクセスがあったのかを容易に把握することができる。 The token is stored in a library (for example, the maintenance function library 1201) stored for each maintenance worker, and the management unit (for example, the management server 1206) stores the maintenance terminal authenticated as the maintenance worker. In addition, the maintenance application including the library corresponding to the maintenance personnel is provided. Therefore, when unauthorized access is detected, it is possible to easily ascertain which maintenance worker's terminal has been impersonated or impersonated as a maintenance worker to cause unauthorized access.
また、上記管理部は、上記保守用アプリケーションとして、あらかじめ定められた保守員の評価のレベルに応じて異なる保守画面(例えば、保守員モード画面1303)を上記保守端末の表示部に表示させるアプリケーションを提供する。例えば、所定の基準よりも高い評価である保守員に対応するアプリ画面としては、保守員モード画面1303にすべての保守メニューを表示する一方、所定の基準よりも低い評価である保守員に対応するアプリ画面としては、上記すべての保守メニューのうちの一部を非表示とし、非表示とされた保守メニューの保守を行えないように制限する。したがって、保守員の評価に応じてセキュリティを考慮したアプリ画面を表示させることができる。
Further, the management unit displays, as the maintenance application, a maintenance screen (for example, a maintenance personnel mode screen 1303) on the display unit of the maintenance terminal, which differs according to a predetermined evaluation level of the maintenance personnel. offer. For example, as an application screen corresponding to maintenance personnel whose evaluation is higher than a predetermined standard, all maintenance menus are displayed on the maintenance
また、アラーム部(例えば、検知サーバ1112のアラーム部1402)が、不正アクセスが検知された際に得られたアクセス元情報(例えば、アクセス元情報14011)と、上記不正アクセス検知システムの責任者の端末のアドレス情報(例えば、責任者情報14013)とを用いて、アクセス元情報を分析したレポート(例えば、脅威分析レポート1403)と、不正アクセスに対する対策案(例えば、対策案1404)とを、上記アドレス情報で定められた責任者の端末のアドレスに送信する。したがって、責任者は、一見して、不正アクセスしたアクセス元や不正アクセスに対する対策を容易に把握することができる(実施例2)。
In addition, the alarm unit (for example, the
図5は、実施例2における不正アクセス検知システムの例を説明するための図である。本実施例における不正アクセス検知システム1’では、当該システムをエンドユーザ用端末としてのATMの保守アプリに適用する場合を例に、関係者と全体構成を表している。ATMは、顧客との間で、入出金、振り込み、残高照会といった取引を行うための紙幣取引装置である。 FIG. 5 is a diagram for explaining an example of an unauthorized access detection system according to the second embodiment. In the unauthorized access detection system 1' of this embodiment, the system is applied to an ATM maintenance application as an end-user terminal, and the related parties and overall configuration are shown. ATMs are banknote transaction machines for performing transactions such as deposits and withdrawals, transfers, and balance inquiries with customers.
図5に示すように、不正アクセス検知システム1’は、カナリアトークンデータベース2612を有したカナリア管理サーバ2611と、開発環境2614に設けられた開発者PC2613と、銀行ネットワーク2608にネットワーク2607を介して接続されたATM機器2607と、検知サーバ2609とを有している。また、カナリア管理サーバ2611と開発者PC2613とはネットワーク2603によって接続され、検知サーバ2609と開発者PC2613とはネットワーク2602aによって接続される。また、検知サーバ2609は、攻撃者PC2605からネットワーク2602bを介してアクセスされる環境にある。ATM機器を含むこれらの装置やネットワーク、ゲートウェイは、実施例1の場合と同様、ハードウェアとしては一般的なものを用いることができる。
As shown in FIG. 5, the unauthorized access detection system 1' is connected to a
また、本システムを構成する機器や装置が行う機能は、実施例1の場合と同様、例えば、CPUが、ROMからプログラムを読み出し、RAMに対して読み書きして処理を実行することにより実現される。上記プログラムは、USBメモリ等の記憶媒体から読み出されたり、ネットワークを介した他のコンピュータ(例えば、ECUを管理するサーバやクラウド)からダウンロードする等して提供されてもよい。 Also, the functions performed by the devices and devices that make up this system are implemented by, for example, the CPU reading programs from the ROM, reading and writing to the RAM, and executing processing, as in the case of the first embodiment. . The program may be read from a storage medium such as a USB memory, or may be provided by downloading from another computer (for example, a server that manages the ECU or the cloud) via a network.
図4Aで説明した場合と同様に、攻撃者2604が攻撃者PC2605でリバースエンジニアリングツール2606を用いて、不正入手したアプリ(例えば、ATM機器2601の保守アプリ)の分析を行う。攻撃者PC2605を用いた攻撃者2604の行為を発見するために、攻撃者2604が操作する攻撃者PC2605からのアクセスを検知サーバ2609に誘導する。攻撃者2604が操作する攻撃者PC2605は、ネットワーク2602bを介して、検知サーバ2609にアクセスする。
4A, the
検知サーバ2609は、図4Aで説明した場合と同様に、アクセスされたことを検知すると、アクセス元を追跡する。さらに、検知サーバ2609は、カナリア管理サーバ2611を参照し、カナリア及びカナリアが付された対象ファイルについての情報を読み取る。検知サーバ2609は、アクセス元と攻撃された対象の情報を用いて脅威分析を行い、カナリアトークンデータベース2612を参照し、対策案とともにアラームを送信する。
The
開発者2610は、開発者PC2613の開発環境2614を用いて、ATM機器2601のアプリの開発、インストールや更新、各種設定作業といったATM機器に対する作業2601aを実行する。また、開発者PC2613は、検知サーバ2609に対策案を登録2609aする等、検知サーバ2609を管理したり、カナリア情報を登録2611aする等、カナリア管理サーバ2611やカナリアトークンデータベース2612を管理する。これらの具体的な内容については後述する。
The
図6A、6Bは、ATM機器とカナリアトークンとの関係を説明するための図である。
図6Aは、ATM機器にカナリアトークンを設定するまでの流れを説明するための図である。図6Bは、カナリアトークンデータベースに記憶される情報の例を示す図である。
6A and 6B are diagrams for explaining the relationship between ATM equipment and canary tokens.
FIG. 6A is a diagram for explaining the flow up to setting a canary token in an ATM device. FIG. 6B is a diagram showing an example of information stored in the canary token database.
図6Aに示すように、本システムのATM機器2601では、顧客にサービスを提供するために、ATMソフトウェア2710が組み込まれている。ATMソフトウェア2710は、入出金、残高照会、振り込みといった顧客が銀行と取引する為の業務プログラム2706を含む。ATMソフトウェア2710は、このほかに、業務プログラム2706を安全に動作させるための設定ファイルなども含む。設定ファイルは、ATMソフトウェア2710に特有の設定ファイル2709と、OS(Operating System)に設定されるレジストリ2708を含む。さらには、これらのファイル以外にATMソフトウェア2710に設定されるその他ファイル2705、ATM機器2601に設定されるその他データ2707を含む。
As shown in FIG. 6A,
このような環境下において、開発者2610からの操作を受けて、開発者PC2613は、開発環境2614において、対象ファイルの種類によって、ファイル毎に特有のカナリアトークンを書き込んで設定2614aする。例えば、開発者PC2613は、業務プログラム2706の実行ファイルA2701にカナリアトークン2702を付与する。また、例えば、開発者PC2613は、ATMソフトウェア2710の設定ファイルB2703にカナリアトークン2704を付与する。
Under such an environment, in response to an operation from the
一般的に、ATMソフトウェア2710はOSを搭載したATM機器2601で稼働するため、このような場合には、レジストリにカナリアトークンを付与してもよい。
Since the
開発者2610の操作により、開発者PC2613がこれらのファイルにカナリアトークンを付与すると、カナリアトークンを付与したこれらのファイルをATM機器2601に配信または更新2601aする。ATM2601では、例えば、カナリアトークンを付与された実行ファイルA2701が業務プログラム2706として稼働する。また、例えば、カナリアトークンを付与された設定ファイルB2703が設定ファイル2709うちの一つとして組み込まれる。
When the
図6Bに示すように、カナリアトークンデータベース2612には、ATM機器に関する端末情報データ26121と、カナリアトークンに関するカナリアトークンデータ26122とが記憶されている。
As shown in FIG. 6B, the canary
図6B(a)は、端末情報データ26121の例を示している。端末情報データ26121は、ATM機器を識別するための端末IDと、当該ATM機器が設置されている銀行及び支店と、当該ATMが設置されている地域と、当該ATM機器に組み込まれているATMソフトウェアとが対応付けて記憶されている。
FIG. 6B(a) shows an example of the
図6B(b)は、カナリアトークンデータ26122の例を示している。カナリアトークンデータ26122は、カナリアトークンを識別するためのカナリアIDと、カナリアトークンであるカナリアデータと、当該カナリアトークンが付与された対象ファイルと、攻撃者2604の危険度とが対応付けて記憶されている。危険度は、攻撃者2604が脅威を与えるレベルを示す指標である。例えば、対象ファイルが、高度な解析が必要ないテキストファイルであれば、攻撃者がハッキングする技術のレベルが低いと判断して危険度「低」が設定される。一方、対象ファイルが、高度な解析が必要なテキストファイルであれば、攻撃者がハッキングする技術のレベルが高いと判断して危険度「高」が設定される。高度な解析が必要であるか否かについては、あらかじめどのような解析が行われた場合にどの程度のレベルを設定するのかを定めておけばよい。カナリアトークンデータ26122は、例えば、ATM機器2601を管理する銀行等の金融機関ごと、および当該金融機関の支店ごとに設定される。カナリアトークンとしては、例えば、URLのほか、ユーザアカウントやキーワードなど、攻撃者2604により分析対象となる様々な偽情報を含む。
FIG. 6B(b) shows an example of the canary
なお、本例では、攻撃者がハッキングする技術のレベルを上記危険度として定めたが、例えば、対象ファイルに影響を与える程度、あるいは対策が必要となるまでの緊急度に応じて定めてもよい。例えば、対象ファイルに影響を与える程度に応じて上記危険度を定める場合とは、実行ファイルA(A.exe)が銀行取引に関する非常に重要なファイルである場合、上記危険度として「高」を設定する。また、例えば、対策が必要となるまでの緊急度に応じて上記危険度を定める場合とは、設定ファイル2704がオンライン業務で一刻も早い復旧に必要なファイルである場合、上記危険度として「高」を設定する。
In this example, the level of hacking technique used by the attacker is determined as the risk level, but it may be determined according to, for example, the extent to which the target file is affected, or the degree of urgency until countermeasures are required. . For example, if the risk level is determined according to the degree of impact on the target file, if the executable file A (A.exe) is a very important file related to bank transactions, the risk level is set to "High". set. Further, for example, when the risk level is determined according to the degree of urgency until countermeasures are required, when the
カナリアトークンを設定する場合、例えば、ソースファイル又は設定ファイルに書き込む方法、ATMソフトウェア2710を開発または更新したときにインストールする方法がある。
When setting up a canary token, for example, it can be written into a source file or configuration file, or installed when the
図7A、7Bは、エンドユーザ端末であるATM機器に付与されたカナリアトークンによってリバースエンジニアリングされたことを検知する仕組みを説明するための図である。
図7Aは、検知サーバを含むシステムの機能を説明するための図である。図7Bは、検知サーバが記憶するデータの例を示す図である。
7A and 7B are diagrams for explaining a mechanism for detecting reverse engineering by a canary token assigned to an ATM device, which is an end user terminal.
FIG. 7A is a diagram for explaining functions of a system including a detection server. FIG. 7B is a diagram illustrating an example of data stored by a detection server;
前述したように、ATM機器2601が稼働する前に、開発者2610からの操作を受けて、開発者PC2613は、あらかじめATM機器2601に組み込む実行ファイルや設定ファイル等の各種ファイルに付与したうえで、当該ATM機器に組み込むとともに、検知サーバ2609の検知サーバデータベース2801にその情報を記憶させる。
As described above, in response to an operation from the
図7B(a)は、検知サーバデータベース2801に記憶される脅威分析情報28011の例を示す図である。図7B(a)に示すように、脅威分析情報28011は、脅威の種類を識別するための脅威IDと、カナリアデータと、当該カナリアデータを付与する対象ファイルと、危険度とが対応付けて記憶されている。これらの各項目は、図6B(b)に示したカナリアトークンデータ26122と同様であるため、ここではその説明を省略する。
その上で、開発者PC2613は、開発者2610からの操作を受けて、検知サーバ2609の検知サーバデータベース2801にその情報を記憶させる。
FIG. 7B(a) is a diagram showing an example of
After that, the
図7B(b)は、検知サーバデータベース2801に記憶される対策案情報28012の例を示す図である。図7B(b)に示すように、対策案情報28012は、対策案の種類を識別するための対策IDと、危険度に応じてあらかじめ定められた具体的な対策案と、当該対策案により対策を実行するときの責任者と、上記脅威IDとが対応付けて記憶されている。具体的な対策案としては、例えば、危険度の回避処理や緩和処理を行うソフトウェアプログラムを実行する対応策、緊急である場合に一時的にハードウェア等の機器を修理する対応策、責任者による人的対処などが挙げられる。
FIG. 7B(b) is a diagram showing an example of
上述した環境下において、図4A-Cの場合と同様に、攻撃者2604は攻撃者PC2605を操作して、当該攻撃者PC2605にATMソフトウェア2710を不正にインストールし、次に示す処理を実行する。
Under the above-described environment, the
攻撃者PC2605は、攻撃者2604からの指示にしたがって、不正にインストールしたATMソフトウェア2710(例えば、実行ファイルA2701)を、リバースエンジニアリングなどの分析手段を用いて分析し、当該分析の結果としてカナリアトークン2702を取得する。図4A-Cの場合と同様、取得したカナリアトークン2702が、検知サーバ2609に割り当てたトリックURL2809の場合を想定する。攻撃者PC2605は、ネットワーク2602bを介してトリックURL2809にアクセスすると、検知サーバ2609に誘導される。本例では、カナリアトークン2702としてトリックURLを例示しているが、図4A-Cの場合と同様に、ユーザアカウントやキーワードなど、攻撃者2604により分析対象となる様々な偽情報について適用してよい。
検知サーバ2609は、アラーム部2806が、攻撃者PC2605からの不正なアクセスを検知すると、脅威分析部2802を実行する。脅威分析部2802は、図6B(b)に示したカナリアトークンデータ26122と端末情報データ26121とを参照し、攻撃者PC2605により不正にアクセスされたATM機器2601を特定する。例えば、脅威分析部2802は、不正なアクセスが検知されたときに得られたカナリアトークン2702を含むレコードを、カナリアトークンデータ26122の中から特定する。当該レコードを含むファイルであるカナリアトークンデータ26122は、金融機関の支店ごとに設定されている。そのため、脅威分析部2802は、特定したレコードを含むカナリアトークンデータ26122として記憶されている金融機関および支店(例えば、A銀行:123支店)に対応するレコードを、端末情報データ26121の中から読み取り、不正にアクセスされたATM機器2601を特定する。
脅威分析部2802は、不正にアクセスされたATM機器2601を特定すると、当該ATM機器の識別結果2803と、アクセス元情報2804と、危険度情報2805とを生成し、図4A-Cの場合と同様に、あらかじめ定められた送信先に、これらの情報を送信する。送信先としては、例えば、図4B(c)と同様に、本システムの責任者あるいは金融機関および/または支店の責任者を識別するための識別情報と、当該責任者の連絡先(例えば、電話番号やメールアドレス)とが対応付けて記憶された責任者情報を参照し、上記生成した情報を送信すればよい。
When identifying the illegally accessed
ATM機器の識別結果2803としては、例えば、脅威分析部2802は、不正アクセスにより検知されたカナリアトークンが付与されたファイルが組み込まれたATMソフトウェア2701が稼働するATM機器2601の端末情報データ26121を、上記責任者の連絡先に送信すればよい。
As the
また、アクセス元情報2804としては、例えば、脅威分析部2802は、図4B(a)に示した場合と同様に、攻撃者PC2605がアクセスした際に攻撃者PC2605から取得した情報(例えば、攻撃者PC2605のIPアドレス、アクセス日付)と、検知サーバデータベース2801とを参照して、アクセス元を追跡する。例えば、脅威分析部2802は、図4B(a)と同様に、攻撃者PC2605のIPアドレス、アクセス日付を、攻撃者PC2605から取得した情報としてアクセス元情報14011と同様の情報に記録するとともに、上記責任者の連絡先に送信すればよい。
As the
また、危険度情報2805としては、例えば、脅威分析部2802は、不正なアクセスが検知されたときに得られたカナリアトークン2702に対応する危険度(例えば、critical)を読み取り、上記責任者の連絡先に送信すればよい。これらの情報が責任者に送信されることにより、金融機関および/または支店の責任者は、攻撃者PC2605により不正なアクセスがあったこと、不正アクセスに用いられたアプリケーションがインストールされたATM機器を容易かつ迅速に把握することができる。
As the
また、アラーム部2806は、アラーム部1402が生成した脅威分析レポートや対策案と同様の対策案2808と脅威分析レポート2807とを、あらかじめ定められた責任者のメールアドレス当の送信先に送信する。対策案2808および脅威分析レポート2807の具体的な内容については、対策案1404と脅威分析レポート1403と同様であるため、ここではその説明を省略するが、攻撃者PC2605がアクセスしてリバースエンジニアリングされたファイルの名称や当該ファイルを含むATMソフトウェアの名称などの情報を記録した一覧表を出力する。さらに、アラーム部2806は、脅威が検出された旨のメッセージを生成し、当該メッセージと上記一覧表とを含む脅威分析レポート2807を、送信先に送信する。
Also, the
また、アラーム部1402は、当該脅威分析レポート2807で検出された脅威に対する対策案2808(例えば、攻撃者PC2605がアクセスしてリバースエンジニアリングされたファイルの名称や当該ファイルを含むATMソフトウェアが組み込まれているATM機器2601に対するアクセスを遮断する等のネットワーク上の処置)を、上記脅威分析レポート2807とともに送信先に送信する。
In addition, the
このように、本実施例では、端末からの不正アクセスを検知する不正アクセス検知システム1'において、設定部(例えば、開発者PC2613)が、紙幣取引装置(例えば、ATM機器2601)で実行されるアプリケーション(例えば、ATMソフトウェア2710)であって、偽情報を示すトークン(例えば、カナリアトークン2702)を組み込んだ上記アプリケーションを、上記紙幣取引装置に設定し、検知部(例えば、検知サーバ2609)が、上記不正アクセス検知システムから取得された上記アプリケーションに組み込まれたトークンを介したアクセスを、不正アクセスとして検知し、その旨を、上記紙幣取引装置が設置される金融機関および/または支店(例えば、図6B(a)に示すA銀行、123支店)の所定の端末(例えば、責任者端末のメールアドレス)に通知する。したがって、銀行等の金融機関で用いられるATM等の紙幣取引装置で稼働するアプリケーションが、第三者の端末に不正にインストールされ、あるいは上記第三者が開発者に成りすまして開発者端末にインストールされた場合でも、当該アプリケーションにおいて本来の使用を想定していないトークンを介したアクセスが行われたことがわかり、その旨を責任者に通知することができるため、不正アクセスを検知して迅速な対応をサポートすることができる。 Thus, in this embodiment, in the unauthorized access detection system 1' that detects unauthorized access from a terminal, the setting unit (for example, the developer's PC 2613) is executed by the banknote transaction device (for example, the ATM device 2601). The application (for example, ATM software 2710) incorporating a token indicating false information (for example, canary token 2702) is set in the bill transaction device, and the detection unit (for example, detection server 2609) Access via the token embedded in the application obtained from the unauthorized access detection system is detected as unauthorized access, and the fact is notified to the financial institution and/or branch office (for example, Fig. 6B (A bank, 123 branch shown in 6B(a)). Therefore, an application that runs on banknote transaction machines such as ATMs used in financial institutions such as banks is illegally installed on a third party's terminal, or the third party pretends to be a developer and installs it on the developer's terminal. Even in such cases, it can be detected that the application has been accessed via a token that is not intended for its intended use, and the person in charge can be notified to that effect, enabling detection of unauthorized access and rapid response can support
また、アラーム部(例えば、検知サーバ2609のアラーム部2806)が、不正アクセスが検知された際に得られたアクセス元情報(例えば、アクセス元情報14011と同様の情報)と、上記不正アクセス検知システムの責任者の端末のアドレス情報(例えば、責任者情報14013と同様の情報)とを用いて、アクセス元情報を分析したレポート(例えば、脅威分析レポート2807)と、不正アクセスに対する対策案(例えば、対策案2808)とを、上記アドレス情報で定められた責任者の端末のアドレスに送信する。したがって、責任者は、一見して、不正アクセスしたアクセス元や不正アクセスに対する対策を容易に把握することができる。
In addition, the alarm unit (for example, the
また、脅威分析部(例えば、検知サーバ2609の脅威分析部2802)が、上記紙幣取引装置が設置される金融機関および/または支店ごとのトークンと当該トークンを介したアクセスの危険度とを定めたトークンデータ(例えば、カナリアトークンデータ26122)と、金融機関および/または支店ごとに定められた上記紙幣取引装置の設置地域と上記紙幣取引装置に組み込まれたアプリケーションとを定めた端末情報データ(例えば、端末情報データ26121)とを用いて、上記開発端末以外の端末(例えば、攻撃者PC2605)により不正アクセスされたアプリケーションと同じアプリケーションを含む紙幣取引装置を特定し、特定した紙幣取引装置の識別結果(例えば、ATM機器の識別結果2803)と上記危険度(例えば、危険度情報2805)とを、金融機関および/または支店の責任者の端末のアドレスに送信する。したがって、金融機関および/または支店の責任者は、攻撃者PC2605により不正なアクセスがあったことや、不正アクセスに用いられたアプリケーションがインストールされたATM機器を迅速かつ容易に把握することができる。
In addition, the threat analysis unit (for example, the
1、1’ 不正アクセス検知システム
1201 保守機能ライブラリー
1202 保守アプリ本体
1203 管理サーバ
1204 ダウンロードサーバ
1205 管理データベース
1112 検知サーバ
1401 検知サーバデータベース
1402 アラーム部
2601 カナリア管理サーバ
2602 カナリアトークンデータベース
2609 検知サーバ
2801 検知サーバデータベース
2802 脅威分析部
2803 アラーム部
1, 1' unauthorized
Claims (7)
紙幣取扱装置を保守する保守員であることが認証された保守端末で実行される保守用アプリケーションであって、トークンを組み込んだ前記保守用アプリケーションを、前記不正アクセス検知システムに登録する登録部と、
前記不正アクセス検知システムから取得された前記トークンを含むアクセスを、不正アクセスとして検知する検知部と、
を備えることを特徴とする不正アクセス検知システム。 An unauthorized access detection system for detecting unauthorized access from a terminal,
a registration unit for registering, in the unauthorized access detection system , a maintenance application executed by a maintenance terminal authenticated as a maintenance worker who maintains the banknote handling apparatus, the maintenance application incorporating a token ;
a detection unit that detects access including the token obtained from the unauthorized access detection system as unauthorized access;
An unauthorized access detection system comprising:
前記保守員であることが認証された保守端末に、当該保守員に対応するライブラリーを含む前記保守用アプリケーションを提供する管理部、
を備えることを特徴とする請求項1に記載の不正アクセス検知システム。 said token is incorporated into a library stored for each of said maintenance personnel;
a management unit that provides the maintenance application including the library corresponding to the maintenance worker to the maintenance terminal authenticated as the maintenance worker;
The unauthorized access detection system according to claim 1, characterized by comprising:
ことを特徴とする請求項2に記載の不正アクセス検知システム。 The management unit provides, as the maintenance application, an application that causes the display unit of the maintenance terminal to display different maintenance screens according to a predetermined evaluation level of the maintenance worker.
3. The unauthorized access detection system according to claim 2, wherein:
を備えることを特徴とする請求項1に記載の不正アクセス検知システム。 A report analyzing the access source information obtained when the unauthorized access is detected and the address information of the terminal of the person in charge of the unauthorized access detection system, and countermeasures against the unauthorized access an alarm unit that transmits the proposal to the terminal address of the person in charge specified by the address information;
The unauthorized access detection system according to claim 1, characterized by comprising:
紙幣取引装置で実行されるアプリケーションであって、トークンを組み込んだ前記アプリケーションを、前記紙幣取引装置に設定する設定部と、
前記不正アクセス検知システムから取得された前記トークンを含むアクセスを、不正アクセスとして検知する検知部と、
前記紙幣取引装置が設置される金融機関および/または支店ごとの前記トークンと当該トークンを介したアクセスの危険度とを定めたトークンデータと、前記金融機関および/または支店ごとに定められた前記紙幣取引装置の設置地域と前記紙幣取引装置に組み込まれたアプリケーションとを定めた端末情報データとを用いて、前記不正アクセスされたアプリケーションと同じアプリケーションを含む紙幣取引装置を特定し、特定した紙幣取引装置の識別結果と前記危険度とを、前記金融機関および/または支店の責任者の端末のアドレスに送信する脅威分析部と、
を備えることを特徴とする不正アクセス検知システム。 An unauthorized access detection system for detecting unauthorized access from a terminal,
a setting unit configured to set, in the banknote transaction device, the application that is executed in the banknote transaction device and that incorporates a token;
a detection unit that detects access including the token obtained from the unauthorized access detection system as unauthorized access;
Token data defining the token and risk of access via the token for each financial institution and/or branch where the bill transaction device is installed, and the bill defined for each financial institution and/or branch Using the terminal information data that defines the installation area of the transaction device and the application installed in the banknote transaction device, the banknote transaction device that includes the same application as the illegally accessed application is specified, and the specified banknote transaction device a threat analysis unit that transmits the identification result of and the risk level to the address of the terminal of the person in charge of the financial institution and/or branch;
An unauthorized access detection system comprising:
を備えることを特徴とする請求項5に記載の不正アクセス検知システム。 A report analyzing the access source information obtained when the unauthorized access is detected and the address information of the terminal of the person in charge of the unauthorized access detection system, and countermeasures against the unauthorized access an alarm unit that transmits the proposal to the terminal address of the person in charge specified by the address information;
6. The unauthorized access detection system according to claim 5, comprising:
登録部が、紙幣取扱装置を保守する保守員であることが認証された保守端末で実行される保守用アプリケーションであって、トークンを組み込んだ前記保守用アプリケーションを、前記不正アクセス検知システムに登録し、
検知部が、前記トークンを介したアクセスを、不正アクセスとして検知する、
ことを特徴とする不正アクセス検知方法。 An unauthorized access detection method performed by an unauthorized access detection system for detecting unauthorized access from a terminal,
The registration unit is a maintenance application executed by a maintenance terminal authenticated as a maintenance worker who maintains the banknote handling apparatus, and registers the maintenance application incorporating a token in the unauthorized access detection system. ,
the detection unit detects access via the token as unauthorized access;
An unauthorized access detection method characterized by:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019231914A JP7236376B2 (en) | 2019-12-23 | 2019-12-23 | UNAUTHORIZED ACCESS DETECTION SYSTEM AND UNAUTHORIZED ACCESS DETECTION METHOD |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019231914A JP7236376B2 (en) | 2019-12-23 | 2019-12-23 | UNAUTHORIZED ACCESS DETECTION SYSTEM AND UNAUTHORIZED ACCESS DETECTION METHOD |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021099729A JP2021099729A (en) | 2021-07-01 |
JP7236376B2 true JP7236376B2 (en) | 2023-03-09 |
Family
ID=76541255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019231914A Active JP7236376B2 (en) | 2019-12-23 | 2019-12-23 | UNAUTHORIZED ACCESS DETECTION SYSTEM AND UNAUTHORIZED ACCESS DETECTION METHOD |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7236376B2 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004362012A (en) | 2003-06-02 | 2004-12-24 | Hitachi Ltd | Automatic transaction device detecting unauthorized access and malicious program |
-
2019
- 2019-12-23 JP JP2019231914A patent/JP7236376B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004362012A (en) | 2003-06-02 | 2004-12-24 | Hitachi Ltd | Automatic transaction device detecting unauthorized access and malicious program |
Non-Patent Citations (2)
Title |
---|
八木 毅 ほか,コンピュータネットワークセキュリティ,初版, 第1刷,株式会社コロナ社,2015年04月10日,第131ー132頁,ISBN 978-4-339-02495-1 |
秋山 満昭 Mitsuaki AKIYAMA,改ざんWebサイトのリダイレクトに基づく悪性Webサイトの生存期間測定 Measuring Lifetime of Malici,情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT) 2014-SPT-008 [onli,日本,情報処理学会,2014年03月20日 |
Also Published As
Publication number | Publication date |
---|---|
JP2021099729A (en) | 2021-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
US9584543B2 (en) | Method and system for web integrity validator | |
US9032520B2 (en) | Remote security self-assessment framework | |
CN110472414A (en) | Detection method, device, terminal device and the medium of system vulnerability | |
US20110321139A1 (en) | Online Protection Of Information And Resources | |
US8875284B1 (en) | Personal identifiable information (PII) theft detection and remediation system and method | |
US20180075233A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
CN108369541A (en) | The system and method for threat risk score for security threat | |
Praitheeshan et al. | Security evaluation of smart contract-based on-chain ethereum wallets | |
CN116340943A (en) | Application program protection method, device, equipment, storage medium and program product | |
Marukhlenko et al. | Complex evaluation of information security of an object with the application of a mathematical model for calculation of risk indicators | |
Appelt et al. | Assessing the impact of firewalls and database proxies on sql injection testing | |
CN106953845A (en) | A kind of guard method and device that sensitive information is inputted to webpage | |
JP7236376B2 (en) | UNAUTHORIZED ACCESS DETECTION SYSTEM AND UNAUTHORIZED ACCESS DETECTION METHOD | |
Lee et al. | A study on realtime detecting smishing on cloud computing environments | |
EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
Shi et al. | An empirical study on mobile payment credential leaks and their exploits | |
Kumar et al. | Generic security risk profile of e-governance applications—a case study | |
Samaranayake et al. | Enhanced Secure Solution for PoS Architecture | |
CN113179245B (en) | Network security emergency response method, system, computer equipment and storage medium | |
US20230362141A1 (en) | Network authentication toxicity assessment | |
Kozakura et al. | Threat Analysis Method and Smart Contract Verification to Improve Reliability of Blockchain | |
JP7013297B2 (en) | Fraud detection device, fraud detection network system, and fraud detection method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220217 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230111 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230131 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230227 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7236376 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |