JP7238996B2 - バックドア検査装置、方法及びプログラム - Google Patents
バックドア検査装置、方法及びプログラム Download PDFInfo
- Publication number
- JP7238996B2 JP7238996B2 JP2021539723A JP2021539723A JP7238996B2 JP 7238996 B2 JP7238996 B2 JP 7238996B2 JP 2021539723 A JP2021539723 A JP 2021539723A JP 2021539723 A JP2021539723 A JP 2021539723A JP 7238996 B2 JP7238996 B2 JP 7238996B2
- Authority
- JP
- Japan
- Prior art keywords
- backdoor
- code
- confidential
- software
- inspection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Description
ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
機密データの前記ソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定するデータフロー解析手段と、
前記推定コードと前記機密コードとに基づいて、前記バックドアである可能性が前記推定コードよりも高いバックドアコードを特定するバックドア判定手段と、
を備える。
機密データのソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定するデータフロー解析手段と、
前記機密コードの機能と構造とを解析し、バックドアであると推定される推定コードを前記機密コードから特定するバックドア推定手段と、
前記推定コードを、前記バックドアである可能性が前記機密コードよりも高いバックドアコードとして特定するバックドア判定手段と、
を備える。
ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
機密データの前記ソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定することと、
前記推定コードと前記機密コードとに基づいて、前記バックドアである可能性が前記推定コードよりも高いバックドアコードを特定することと、
を備える。
ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
機密データの前記ソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定することと、
前記推定コードと前記機密コードとに基づいて、前記バックドアである可能性が前記推定コードよりも高いバックドアコードを特定することと、
をコンピュータに実行させるプログラムが格納される。
実施の形態1に係るバックドア検査装置の構成の概要を説明する。
実施の形態1では、データ漏洩、もしくは、データ書換えを起こすタイプのバックドアに本開示を適用することを例に挙げて説明する。
図1は、実施の形態1に係るバックドア検査装置を例示するブロック図である。
図2は、実施の形態1に係るバックドア検査装置を例示するブロック図である。
図2は、図1の詳細を示す。
図3は、データフロー解析を例示する模式図である。
図4は、ソフトウェア内における機密データの伝搬状況を例示する模式図である。
・バックドア検査装置11は、個人情報やパスワード等を含む機密データを外部の解析者から取得する。このとき、機密データに関する情報、例えば、機密データの保存箇所の情報を取得してもよい。具体的には、解析対象がソースコードの場合、機密データが保存されている変数を取得してもよい。また、解析対象が実行コードの場合、機密データが保存されているレジスタやメモリ番地等の情報を取得してもよい。
・バックドア検査装置11は、バックドア解析を行い、バックドアであると推定される推定コードを特定する。
・バックドア検査装置11は、データフロー解析を行い、機密データのソフトウェア内での伝搬状況を解析する。
・バックドア検査装置11は、バックドア解析の結果、バックドアであると判断された推定コードと、データフロー解析の結果、機密データを処理すると判断された機密コードと、の共通部分を求める。
・バックドア検査装置11は、求めた共通部分を、バックドアコードとして特定する。
図5は、実施の形態1に係るバックドア検査装置の動作を例示するフローチャートである。
バックドアは、バックドアを発動するための発動条件を設定しないと実行されず、そのため、データフロー解析ができない場合がある。このような場合でも、バックドアである可能性の高いコードを検出することができるようにしたものを、実施の形態2として説明する。
図6は、実施の形態2に係るバックドア検査装置の動作を例示するフローチャートである。
図7は、実施の形態3に係るバックドア検査装置を例示するブロック図である。
図9は、実施の形態4に係るバックドア検査装置の動作を例示するフローチャートである。
111、311:バックドア推定手段
1111:機能推定手段
1112:構造解析手段
1113:分析手段
112、312:データフロー解析手段
113、313:バックドア判定手段
C100、C101、C102、C103:コード
Claims (10)
- ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
機密データの前記ソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定するデータフロー解析手段と、
前記推定コードと前記機密コードとに基づいて、前記バックドアである可能性が前記推定コードよりも高いバックドアコードを特定するバックドア判定手段と、
を備えるバックドア検査装置。 - 前記バックドア判定手段は、前記推定コードと前記機密コードとの共通部分を、前記バックドアコードとして特定する、
請求項1に記載のバックドア検査装置。 - バックドア推定手段は、前記ソフトウェアから前記バックドアの発動条件に関する発動コードを特定し、
前記データフロー解析手段は、前記発動コードを設定して前記バックドアを実行させ、前記バックドアの実行中に前記機密コードを特定する、
請求項1又は2に記載のバックドア検査装置。 - 前記機密データを外部から取得する取得手段と、
前記機密データを記憶する記憶手段と、
をさらに備える、
請求項1から3のいずれか1つに記載のバックドア検査装置。 - 前記機密データは、前記ソフトウェアがインストールされる機器のユーザ情報、及び前記機器に入力されるパスワードのうち少なくとも1つを含む、
請求項1から4のいずれか1つに記載のバックドア検査装置。 - 前記データフロー解析手段は、前記機密データの前記ソフトウェア内での伝搬経路に基づいて前記機密コードを特定する、
請求項1から5のいずれか1つに記載のバックドア検査装置。 - 機密データのソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定するデータフロー解析手段と、
前記機密コードの機能と構造とを解析し、バックドアであると推定される推定コードを前記機密コードから特定するバックドア推定手段と、
前記推定コードを、前記バックドアである可能性が前記機密コードよりも高いバックドアコードとして特定するバックドア判定手段と、
を備えるバックドア検査装置。 - バックドア推定手段は、前記ソフトウェアから前記バックドアの発動条件に関する発動コードを特定し、
前記データフロー解析手段は、前記発動コードを設定して前記バックドアを実行させ、前記バックドアの実行中に前記機密コードを特定する、
請求項7に記載のバックドア検査装置。 - バックドア検査装置が、ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
前記バックドア検査装置が、機密データの前記ソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定することと、
前記バックドア検査装置が、前記推定コードと前記機密コードとに基づいて、前記バックドアである可能性が前記推定コードよりも高いバックドアコードを特定することと、
を備えるバックドア検査装置の方法。 - ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
機密データの前記ソフトウェア内での伝搬状況を解析し、前記機密データを処理する機密コードを前記ソフトウェアから特定することと、
前記推定コードと前記機密コードとに基づいて、前記バックドアである可能性が前記推定コードよりも高いバックドアコードを特定することと、
をコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/031722 WO2021028989A1 (ja) | 2019-08-09 | 2019-08-09 | バックドア検査装置、方法及び非一時的なコンピュータ可読媒体 |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2021028989A1 JPWO2021028989A1 (ja) | 2021-02-18 |
JPWO2021028989A5 JPWO2021028989A5 (ja) | 2022-04-08 |
JP7238996B2 true JP7238996B2 (ja) | 2023-03-14 |
Family
ID=74570978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021539723A Active JP7238996B2 (ja) | 2019-08-09 | 2019-08-09 | バックドア検査装置、方法及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220277079A1 (ja) |
JP (1) | JP7238996B2 (ja) |
WO (1) | WO2021028989A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023062736A1 (ja) * | 2021-10-13 | 2023-04-20 | 日本電気株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
WO2023073821A1 (ja) * | 2021-10-27 | 2023-05-04 | 日本電気株式会社 | バックドア検知装置、バックドア検知方法、及び記録媒体 |
WO2023073822A1 (ja) * | 2021-10-27 | 2023-05-04 | 日本電気株式会社 | バックドア検知装置、バックドア検知方法、及び記録媒体 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060015940A1 (en) | 2004-07-14 | 2006-01-19 | Shay Zamir | Method for detecting unwanted executables |
JP2013536522A (ja) | 2010-08-24 | 2013-09-19 | チェックマークス リミテッド | プログラミングルール違反に対するソースコードマイニング |
-
2019
- 2019-08-09 US US17/632,563 patent/US20220277079A1/en active Pending
- 2019-08-09 WO PCT/JP2019/031722 patent/WO2021028989A1/ja active Application Filing
- 2019-08-09 JP JP2021539723A patent/JP7238996B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060015940A1 (en) | 2004-07-14 | 2006-01-19 | Shay Zamir | Method for detecting unwanted executables |
JP2013536522A (ja) | 2010-08-24 | 2013-09-19 | チェックマークス リミテッド | プログラミングルール違反に対するソースコードマイニング |
Non-Patent Citations (1)
Title |
---|
XU,Xin et al.,Software Backdoor Analysis Based on Sensitive Flow Tracking and Concolic Execution,Wuhan University Journal of Natural Sciences,Wuhan University,2016年10月04日,Vol.21,No.5,p.421-p.427 |
Also Published As
Publication number | Publication date |
---|---|
WO2021028989A1 (ja) | 2021-02-18 |
US20220277079A1 (en) | 2022-09-01 |
JPWO2021028989A1 (ja) | 2021-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7238996B2 (ja) | バックドア検査装置、方法及びプログラム | |
JP5908132B2 (ja) | プログラムの脆弱点を用いた攻撃の探知装置および方法 | |
KR100951852B1 (ko) | 응용 프로그램 비정상행위 차단 장치 및 방법 | |
US9094451B2 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
US9313222B2 (en) | Method, electronic device, and user interface for on-demand detecting malware | |
US20120317645A1 (en) | Threat level assessment of applications | |
EP3501158B1 (en) | Interrupt synchronization of content between client device and cloud-based storage service | |
WO2012103646A1 (en) | Determining the vulnerability of computer software applications to privilege-escalation attacks | |
CN113632432B (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
US11503066B2 (en) | Holistic computer system cybersecurity evaluation and scoring | |
US20230171292A1 (en) | Holistic external network cybersecurity evaluation and scoring | |
US10318731B2 (en) | Detection system and detection method | |
KR20170119903A (ko) | 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치 | |
KR101428915B1 (ko) | 안드로이드 보안을 위한 피드백 기반 어플리케이션 재가공 프레임워크 방법과 그 시스템 | |
KR102308477B1 (ko) | 악성 코드의 악성 행위 특징 정보를 생성하는 방법 | |
US20220198013A1 (en) | Detecting suspicious activation of an application in a computer device | |
JP7243834B2 (ja) | ソフトウェア解析装置、ソフトウェア解析方法及びプログラム | |
TW201421233A (zh) | 主機板功能測試管控系統及方法 | |
KR101311367B1 (ko) | 메모리 보호기능 우회 공격 진단 장치 및 방법 | |
EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
US20190102541A1 (en) | Apparatus and method for defending against unauthorized modification of programs | |
KR20210001057A (ko) | 랜섬웨어 탐지 및 차단 방법 | |
CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
US20180260563A1 (en) | Computer system for executing analysis program, and method of monitoring execution of analysis program | |
JP7448003B2 (ja) | システム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220119 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220119 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221122 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230131 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230213 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7238996 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |