JP7281998B2 - 情報処理装置、情報処理方法、情報処理システム及びプログラム - Google Patents
情報処理装置、情報処理方法、情報処理システム及びプログラム Download PDFInfo
- Publication number
- JP7281998B2 JP7281998B2 JP2019152533A JP2019152533A JP7281998B2 JP 7281998 B2 JP7281998 B2 JP 7281998B2 JP 2019152533 A JP2019152533 A JP 2019152533A JP 2019152533 A JP2019152533 A JP 2019152533A JP 7281998 B2 JP7281998 B2 JP 7281998B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- information processing
- information
- history
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
Description
本発明は、プログラムの実行可否を制御する情報処理に関する。
近年、企業に対するサイバー攻撃の新しい形態として、企業内の特定の社員が使用または所有するコンピュータを対象にマルウェアを感染させ、企業内の情報を盗み出す、標的型攻撃という手法が増えている。従来のアンチウイルスソフトは、ブラックリスト方式によるウイルス定義ファイルを用いる手法が主流であったが、コンピュータウルスを含むマルウェアの種類は日に万単位で増加しており、ウイルス定義ファイルの更新はマルウェアの急増に追いつかない状況にある。
一方、登録したプログラムのみ実行を許可し、それ以外のプログラムの実行を禁止する、いわゆるホワイトリスト方式を用いた標的型攻撃への対処も存在する。しかし、ホワイトリスト方式では、ホワイトリストに安全なプログラムを登録する必要があり、その内容を精査することは一般的にはシステム管理者に大きな負担を強いるという課題が存在する。この問題への対処法の一つとして、例えば、特許文献1には、プログラムやファイルが、信頼できる発行者や発行元によって発行されたものか否かを判断するためのルールである昇格基準ルールに基づいて、安全なプログラムをホワイトリストに自動登録する方法が提示されている。
しかしながら、特許文献1によれば、昇格基準ルールを決めるためには、登録作業のスキルや経験を必要とするため、昇格基準ルールを作成可能な要員が限定されてしまう。また、昇格基準ルールの設定は管理者スキルに依存するため、判断誤りにより昇格基準ルールの誤登録が発生する可能性がある。さらに、昇格基準ルールそのものを精査し、安全性を確認して昇格基準ルールを作成する負荷もかかる。
本発明は上記課題を鑑み、リスト型の制御方式を用いる場合の、リストの更新にかかるセキュリティの向上および作業負荷を軽減することを目的とする。
本発明は、前記の目的を達成する一手段として、以下の構成を備える。
本発明にかかる情報処理装置はプログラムの実行の検知およびプログラムの検索を行う検知手段と、プログラムを識別する識別手段と、実行が許可または禁止されたプログラムのリストにプログラムを登録する登録手段と、前記情報処理装置において実行された操作の履歴である操作履歴を記憶した記憶手段と、前記検知手段によって実行が検知されたプログラムまたは検出されたプログラムのプログラム情報に基づき、前記記憶手段に記憶されている当該操作履歴から、当該プログラム情報が、前記情報処理装置に最初に保存された日時に実行された操作履歴を特定する特定手段とを有し、前記識別手段は、前記特定手段にて特定された操作履歴から、当該プログラムが発行に関する条件を満たすか否かを判定し、前記登録手段は、前記条件を満たすと判定されたプログラムを、前記リストに登録することを特徴とする。
本発明にかかる情報処理装置はプログラムの実行の検知およびプログラムの検索を行う検知手段と、プログラムを識別する識別手段と、実行が許可または禁止されたプログラムのリストにプログラムを登録する登録手段と、前記情報処理装置において実行された操作の履歴である操作履歴を記憶した記憶手段と、前記検知手段によって実行が検知されたプログラムまたは検出されたプログラムのプログラム情報に基づき、前記記憶手段に記憶されている当該操作履歴から、当該プログラム情報が、前記情報処理装置に最初に保存された日時に実行された操作履歴を特定する特定手段とを有し、前記識別手段は、前記特定手段にて特定された操作履歴から、当該プログラムが発行に関する条件を満たすか否かを判定し、前記登録手段は、前記条件を満たすと判定されたプログラムを、前記リストに登録することを特徴とする。
本発明によれば、リスト型の制御方式を用いる場合の、リストの更新にかかるセキュリティの向上および作業負荷を軽減することができる。
以下、本発明にかかる実施例を情報処理システムの情報処理図を参照して詳細に説明する。
[システムの構成]
図1のブロック図により、リスト型の制御システムの構成例を示す。なお、以下では、ホワイトリストを用いたホワイトリスト制御システムとして説明するが、ホワイトリストに限定されず、ブラックリストを用いたブラックリスト制御システムにも以下の処理を適用することができる。ホワイトリスト制御システムは、情報処理装置と、情報処理装置を管理するサーバ装置を含む。
図1のブロック図により、リスト型の制御システムの構成例を示す。なお、以下では、ホワイトリストを用いたホワイトリスト制御システムとして説明するが、ホワイトリストに限定されず、ブラックリストを用いたブラックリスト制御システムにも以下の処理を適用することができる。ホワイトリスト制御システムは、情報処理装置と、情報処理装置を管理するサーバ装置を含む。
図1において、クライアントコンピュータ(以下、クライアント)100は、ホワイトリスト制御システムにおける情報処理装置である。クライアント100は、例えば、企業、学校、行政機関又は家庭などに設置されたパーソナルコンピュータ(PC)や、個人が使用又は所有するタブレット端末やスマートフォンなどのコンピュータ機器である。なお、クライアント100は、ポインティングデバイスを持たない端末(例えばネットワークスキャナ)や、ディスプレイを持たない端末(例えば組込端末)などをクライアントとして、以下の処理
を適用することも可能である。
を適用することも可能である。
サーバコンピュータ(以下、サーバ)200は、ホワイトリスト制御システムにおける情報処理装置を管理するサーバ装置である。サーバ200は、複数クライアント100からホワイトリスト121の情報を取得してデータベース化したり、定期的にクライアント100にホワイトリストデータを送信してホワイトリスト121の更新を行う。
ネットワーク300は、インターネットやイントラネットなどのコンピュータネットワークである。クライアント100は、ネットワーク300を介して、サーバ200や、図示しないウェブサーバやFTPサーバなどと接続する。
なお、簡潔化のため図1にはクライアント100とサーバ200を一台ずつ示すが、実際には、ホワイトリスト制御システムに複数のクライアントやサーバが存在することができる。
●クライアント
クライアント100において、演算装置160はマイクロプロセッサ(CPU)である。演算装置160は、メモリ150のROMに記憶されたBIOSなどのブートプログラムに従い記憶装置140に記憶されたオペレーティングシステム(OS)を起動し、さらにOSに従い各種の常駐プログラム(例えば、検知プログラム111など)を起動する。その際、演算装置160は、メモリ150のRAMをワークエリアとして使用する。また、OSは例えばWindows(登録商標)、Mac OS(登録商標)、Linux(登録商標)、iOS(商標)、Android(商標)などである。
クライアント100において、演算装置160はマイクロプロセッサ(CPU)である。演算装置160は、メモリ150のROMに記憶されたBIOSなどのブートプログラムに従い記憶装置140に記憶されたオペレーティングシステム(OS)を起動し、さらにOSに従い各種の常駐プログラム(例えば、検知プログラム111など)を起動する。その際、演算装置160は、メモリ150のRAMをワークエリアとして使用する。また、OSは例えばWindows(登録商標)、Mac OS(登録商標)、Linux(登録商標)、iOS(商標)、Android(商標)などである。
記憶装置140は、ハードディスクドライブ(以下、HDD)やソリッドステートドライブ(以下、SSD)などとする。記憶装置140が記憶するプログラム110には検知プログラム111、追跡プログラム112、識別プログラム113、登録プログラム114、制御プログラム115などが含まれる。
なお、プログラム110は、検知プログラム111など各種機能ごとのプログラムを複数備えてもよいし、各種機能を備えた一つのプログラムでもよい。また、記憶装置140が記憶するデータ120にはホワイトリスト121、ブラックリスト122、信頼領域リスト123、履歴データベース(以下、履歴DB)124などが含まれる。
I/Oデバイス130は、ポインティングデバイス(マウスなど)やキーボードに接続するための入出力インタフェース(I/F)、または、タッチパネルを組み込んだディスプレイなどである。なお、キーボードはソフトウェアキーボードでもよい。また、I/Oデバイス130は、入力された操作者の音声を音声認識機能によって認識し、認識した音声を演算装置160へ伝達する、マイク等を含む音声式入力部でもよい。また、I/Oデバイス130は、情報を表示するためのユーザインタフェース(以下、UI)としても機能する。
ネットワークI/F 170は、ネットワーク300とのインタフェースであり、他のコンピュータと通信するための通信回路である。演算装置160は、ネットワークI/F 170を介して、例えばホワイトリスト121の一部データなどの情報をサーバ200から受信し、また、各種情報をサーバ200に送信する。
●サーバ
サーバ200において、演算装置260はマイクロプロセッサ(CPU)である。演算装置260は、メモリ250のROMに記憶されたBIOSなどのブートプログラムに従い記憶装置240に記憶されたOSを起動する。さらに、演算装置260は、記憶装置240から管理コンソール211をメモリ250のRAMにロードする。そして、複数のクライアント100から情報(例えば、ホワイトリスト121の情報など)を取得してデータベース化したり、逆に、クライアント100に対して情報を送信してホワイトリスト121の更新などを行う。
サーバ200において、演算装置260はマイクロプロセッサ(CPU)である。演算装置260は、メモリ250のROMに記憶されたBIOSなどのブートプログラムに従い記憶装置240に記憶されたOSを起動する。さらに、演算装置260は、記憶装置240から管理コンソール211をメモリ250のRAMにロードする。そして、複数のクライアント100から情報(例えば、ホワイトリスト121の情報など)を取得してデータベース化したり、逆に、クライアント100に対して情報を送信してホワイトリスト121の更新などを行う。
記憶装置240は、HDDやSSDなどである。記憶装置240が記憶するプログラム210にはOSのほかにサーバ200上で稼働する管理コンソール211や追跡プログラム212などが含まれる。また、記憶装置240が記憶するデータ220にはホワイトリストマスタ221、ブラックリストマスタ222、信頼領域リストマスタ223、履歴DB 224などが含まれる。
I/Oデバイス230は、ポインティングデバイス(マウスなど)、キーボード、モニタに接続するためのインタフェース(I/F)であり、モニタは情報を表示するためのUIとして機能する。ネットワークI/F 270は、ネットワーク300とのインタフェースであり、クライアント100など他のコンピュータと通信するための通信回路である。
演算装置260は、ネットワークI/F 270を介して、複数のクライアント100からホワイトリスト121やブラックリスト122に関する情報を受信し、受信した情報に基づき、ホワイトリストマスタ221やブラックリストマスタ222を管理する。
ホワイトリスト制御システムにおいて、サーバ200は必須の構成ではない。図2のブロック図により、サーバ200が存在しないホワイトリスト制御システムの構成例を示す。図2の構成においては、クライアント100とサーバ200の通信は不要になるため、ネットワーク300およびネットワークI/F 170もオプションである。
また、ホワイトリスト制御システムはシンクライアント(例えば、ターミナルサービスなど)を利用した構成としてもよい。シンクライアントは、クライアントがサーバにリモート接続し、サーバ上に生成された仮想デスクトップ環境を利用してサーバ上でアプリケーションプログラムを実行できるようにするシステムである。
[プログラムおよびデータ]
識別プログラム113は、演算装置160によって実行され、別途実行されるプログラムからファイル名(プログラム名)、ハッシュ値、バージョン情報、ファイルサイズ、ファイルパス、デジタル署名などの情報(以下、プログラム情報)を取得する。そして、取得したプログラム情報に基づき当該プログラムを識別する識別機能を有する。また、識別プログラム113は、取得したプログラム情報を後述する信頼領域リスト123と照会して、当該プログラムが、信頼できる発行者や発行元によって発行された条件を満たすか否かを判定する。
識別プログラム113は、演算装置160によって実行され、別途実行されるプログラムからファイル名(プログラム名)、ハッシュ値、バージョン情報、ファイルサイズ、ファイルパス、デジタル署名などの情報(以下、プログラム情報)を取得する。そして、取得したプログラム情報に基づき当該プログラムを識別する識別機能を有する。また、識別プログラム113は、取得したプログラム情報を後述する信頼領域リスト123と照会して、当該プログラムが、信頼できる発行者や発行元によって発行された条件を満たすか否かを判定する。
ホワイトリスト121は、実行してもよいプログラムに関する情報をリスト化したものである。ホワイトリスト121を構成する情報には、識別プログラム113によって取得されたプログラム情報が用いられる。
図3はホワイトリスト121の一例を示す。ホワイトリスト121は、各プログラムについて、プログラム名、ハッシュ値、バージョン情報、ファイルサイズの情報を保持する。なお、図3は一例であり、ホワイトリスト121として保持する情報の種類と数は図3に限定されるものではない。
ホワイトリストマスタ221は、複数のホワイトリスト121をリスト化したものである。図4は、サーバ200に存在するホワイトリストマスタ221の一例を示す。ホワイトリストマスタ221は、複数のクライアントのホワイトリスト121に関連する情報をクライアントの名称や符号に対応付けて保持する。図4の例では、クライアントPC002に対応するホワイトリスト002として、複数のプログラムのプロセス名、ハッシュ値、登録日時、最終起動日時が保持された例を示す。なお、図4は一例であり、ホワイトリストマスタ221として保持する情報の種類と数は図4に限定されるものではない。
検知プログラム111は、演算装置160によって実行され、プログラムの実行を監視する監視機能と、それを検知する検知機能を有する。
追跡プログラム112は、演算装置160によって実行され、検知プログラム111に実行が検知または検出されたプログラムの識別プログラム113が取得したプログラム情報に基づき、当該プログラムの履歴情報(操作履歴)を後述する履歴DB 124から追跡する追跡機能を有する。
登録プログラム114は、演算装置160によって実行され、追跡プログラム112によって追跡された当該プログラムの履歴情報に基づき、当該プログラムをホワイトリスト121に登録する登録機能を有する。
制御プログラム115は、演算装置160によって実行され、クライアント100上で実行されようとするプログラムの実行を許可または禁止する起動可否の制御機能を有する。
信頼領域リスト123は、プログラムやファイルが、信頼できる発行者や発行元によって発行されたものか否かを判断する為の条件(発行に関する条件)をリスト化したものである。
図5は、信頼領域リスト123の一例を示す。信頼領域リスト123は、追跡プログラム112によって追跡されたプログラムの履歴情報を基に、管理者やユーザなどが定義した条件を示すリストである。信頼領域リスト123は、侵入元を示す情報、ファイル種類、プロセス名、証明書の有無の情報を保持する。条件には、例えば、正規のサーバ証明書があるwebサーバからダウンロードしたファイル、正規のサーバ証明書があるメールサーバからの受信したメールの添付ファイル、正規の証明書付きデジタル署名付きのファイルが添付された受信メールなどがある。なお、図5は一例であり、信頼領域リスト123として保持する情報の種類と数は図5に限定されるものではない。
信頼領域リストマスタ223は、複数の信頼領域リスト123をリスト化したものである。図6は、サーバ200に存在する信頼領域リストマスタ223の一例を示す。信頼領域リストマスタ223は、複数のクライアントの信頼領域リスト123に関連する情報をクライアントの名称や符号に対応付けて保持する。図6の例では、クライアントPC002に対応する信頼領域リスト002として、侵入元を示す情報、ファイル種類、プロセス名、証明書の有無の情報、登録日時が保持された例を示す。なお、図6は一例であり、信頼領域リストマスタ223として保持する情報の種類と数は図6に限定されるものではない。
履歴DB 124は、クライアントが実行したプログラムの操作の内容、操作日時などの操作履歴が履歴情報として記録されている。操作の内容として、ウェブ閲覧に関するものとして、ウェブサイトのサーバ証明書の有無、ダウンロードしたファイルのパス名、アップロードしたファイルのパス名などを記録する。ファイル操作に関する操作内容として、操作対象となったファイルのパス名(コピー元のパス名、コピー先のパス名)、操作の種類(ファイルオープン、名前変更、削除、新規作成、上書き保存、名前を付けて保存)、ファイルサーバのサーバ証明書の有無などである。リムーバブルメディアに関する操作内容として、リムーバブルデバイスの接続、取り外し、デバイス名、デバイスID、ベンダーID、シリアルID、デジタル署名の有無などである。メーラーに関する操作内容として、メールサーバのサーバ証明書の有無、送信・受信の区別、添付ファイルの有無、送信先、送信元のメールアドレス、受信メールのデジタル証明書・デジタル署名の有無などである。FTP(File Transfer Protocol)通信に関する操作内容としては、ファイルアップロード、ファイルダウンロード、ファイル削除、接続先サーバのサーバ証明書の有無などである。アクティブウィンドウに関する操作内容として、URLアクセス、アクティブウィンドウ、ウィンドウタイトル変更、名前を付けて保存ダイアログなどである。
これらの情報を基に、追跡プログラム112は当該プログラムの履歴情報を追跡するが、履歴情報の一部またはすべてをネットワーク上のサーバに転送してしまい、クライアントには、十分な履歴情報が残されていないことも考えられる。この場合、当該プログラムの履歴を十分に特定できないおそれもある。そこで、この場合は、クライアントがサーバに履歴の追跡依頼をリクエストする。サーバもクライアントと同様の履歴DB 224を備えているとともに、複数のクライアントで保持していた履歴情報をデータベース化して保持している。このように、クライアントがサーバと連携することで、より過去の履歴まで辿って履歴情報を特定してもよい。また、サーバには複数のクライアントが保持していた履歴情報が保存されていることを応用して、複数のクライアントにまたがって履歴情報を特定してもよい。
ブラックリスト122は、実行が禁止されたプログラムをリスト化したものである。ブラックリスト122のデータ構造は、ホワイトリスト121と略同一である。また、ブラックリスト122は必須ではなく、クライアント100上に存在しなくてもよいし、ブラックリスト122を使用しない場合は、サーバ200のブラックリストマスタ222も必須ではない。
[ホワイトリスト制御処理]
図7のフローチャートによりホワイトリスト制御処理の一例を示す。
図7のフローチャートによりホワイトリスト制御処理の一例を示す。
検知プログラム111は、プログラムの実行を監視し(ステップS701)、プログラムの実行を検知すると処理をステップS702に進める。
プログラムの実行が検知されると、識別プログラム113は、当該プログラムのプログラム情報を取得し(ステップS702)、当該プログラムがブラックリスト122に存在するか否か判定する(ステップS703)。当該プログラムがブラックリスト122に存在すると判定された場合(ステップS703のYES)、制御プログラム115は当該プログラムの実行を禁止する(ステップS708)。
また、当該プログラムがブラックリスト122に存在しないと判定された場合(ステップS703のNO)、識別プログラム113は、当該プログラムがホワイトリスト121に存在するか否かを判定する(ステップS704)。当該プログラムがホワイトリスト121に存在すると判定された場合(ステップS704のYES)、制御プログラム115は当該プログラムの起動を許可する(ステップS710)。
また、当該プログラムがブラックリスト122に存在しないと判定された場合(ステップS703のNO)、識別プログラム113は、当該プログラムがホワイトリスト121に存在するか否かを判定する(ステップS704)。当該プログラムがホワイトリスト121に存在すると判定された場合(ステップS704のYES)、制御プログラム115は当該プログラムの起動を許可する(ステップS710)。
当該プログラムがホワイトリスト121に存在しないと判定された場合(ステップS704のNO)、識別プログラム113は、当該プログラムのプログラム情報を追跡プログラム112に渡す。追跡プログラム112は、当該プログラム情報に含まれる検索キーにしたがって、履歴DB 124を追跡する(ステップS705)。プログラム情報に含まれている検索キーにしたがって履歴DB 124を検索することにより、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定できるようになる。追跡する処理については、後述する。
なお、クライアント100がサーバ200とネットワーク300によって接続されている場合、追跡プログラム112は、サーバ200の管理コンソール211に履歴情報の追跡リクエストを送信する。追跡プログラム212は、管理コンソール211を通じて履歴情報の追跡リクエストを受信すると、当該プログラムのプログラム情報を追跡対象として履歴DB 224から追跡してもよい。
識別プログラム113は、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定した追跡結果を取得し(ステップS706)、信頼領域リスト123と一致する情報があるか否か(発行に関する条件を満たすか否か)を判定する(ステップS707)。なお、追跡結果は、特定した履歴情報そのものでもよいし、一部の履歴情報、加工した情報(例えば、侵入元を示す情報、ファイル種類、プロセス名、証明書の有無の情報など)でもよい。当該プログラムが信頼領域リストと一致する情報がないと判定された場合(ステップS707のNO)、制御プログラム115は当該プログラムの実行を禁止する(ステップS708)。
当該プログラム信頼領域リストと一致する情報があると判定された場合、識別プログラム113は、当該プログラムのプログラム情報を登録プログラム114に渡す。これにより、登録プログラム114は、当該プログラムをホワイトリスト121に登録し(ステップS709)、制御プログラム115によって、ホワイトリスト121に登録された当該プログラムは実行が許可される(ステップS710)。
なお、ブラックリスト122が存在しない場合、識別プログラム113は、ステップS703の判定をスルーパスする。
また、クライアント100は履歴DB 124に蓄積されている履歴情報を所定のタイミングになると、履歴情報の一部又はすべてをサーバ200に転送し、転送済みの履歴情報を削除してもよい。
また、上記ではプログラムの実行をトリガとして、追跡処理を行い、追跡結果に基づいてホワイトリストにプログラムを登録する処理を説明した。しかし、例えばOS標準のファイル検索ツールなどを用いてプログラムを検索し、プログラム検索をトリガとして、追跡処理を行い、追跡結果に基づいてホワイトリストに登録することも可能である。
[追跡処理]
●処理の概要
図8のフローチャートより、追跡プログラム112が実行する追跡処理の一例を示す。ここでは、履歴DB 124に記録されている操作の内容から追跡を実行する例を説明する。
●処理の概要
図8のフローチャートより、追跡プログラム112が実行する追跡処理の一例を示す。ここでは、履歴DB 124に記録されている操作の内容から追跡を実行する例を説明する。
追跡プログラム112は、識別プログラム113から当該プログラムのプログラム情報を受信したか否かを判定する(ステップS801)。識別プログラム113から当該プログラムのプログラム情報を受信したと判定された場合(ステップS801のYES)、プログラム情報に含まれる検索キーに従って履歴DB 124を検索する(ステップS802)。
追跡プログラム112は、ステップS803にて、新しい履歴情報から順番に古い履歴情報を調査し、履歴情報に記録されている操作名が特定の操作名(例えば、ファイルダウンロード、ファイルコピー、メール受信など)か否かを判定する。
操作名が特定の操作名でない場合(ステップS803のNO)、ステップS804に進む。操作名が特定の操作名の場合(ステップS803のYES)、ステップS806に進む。
ステップS804にて、追跡プログラム112は、調査した履歴情報より次に新しい履歴情報を検索して調査する。
ステップS805にて、追跡プログラム112は、次に新しい履歴情報が存在しなければ(ステップS805のNO)、ステップS806に進む。次に新しい履歴情報が存在すれば(ステップS805のYES)、ステップS803以降の処理を繰り返す。これにより、追跡の対象になったファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定できるようになる。
追跡プログラム112は、追跡処理によって得られた履歴の追跡結果(例:特定した履歴情報、特定した履歴情報の一部)を識別プログラム113へ送信する(ステップS806)。
なお、ステップS803の特定の操作名か否かの判定処理では、図10に示したようにファイルのリネームや親子プロセスの関連性なども考慮して、追跡処理を継続して行く。
なお、ステップS803の特定の操作名か否かの判定処理では、図10に示したようにファイルのリネームや親子プロセスの関連性なども考慮して、追跡処理を継続して行く。
●ウェブ閲覧に関する追跡処理
図9は、ウェブ閲覧に関する履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
図9は、ウェブ閲覧に関する履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
図9は、履歴DB 124は、例えば、PC名124a、操作名124b、ファイル名124c、プロセス名124d、URL 124e、日時124f、証明書の有無124gなどを含んでいる。URL 124eはネットワークのアクセス履歴から特定されてもよいし、対象のプロセスのアクティブウィンドウのウィンドウ名(タイトル名)/アドレスバー名から判断されてもよい。
なお、プロセスによっては、あるプロセス(親プログラム)が元になって何らかのプログラム(子プログラム)を生成する場合がある。その場合は、親プログラム/子プログラムのウィンドウ名(タイトル名)/アドレスバー名からURL 124eが判断されてもよい。
追跡プログラム112は、識別プログラム113から渡された当該プログラムのプログラム情報に含まれるプロセス名(Lkjhbg.exe)を検索キーとして、履歴DB 124を検索し、日時の新しい操作内容から順番に履歴を追跡していく。
この例では、プログラム(Lkjhbg.exe)が、2017年11月5日15時00分にファイルオープンしていることがわかる。さらに、追跡プログラム112は、過去の履歴を遡ってゆく。この例では、2017年11月5日10時11分にプログラム(Lkjhbg.exe)が保存されたことがわかる。なお、ファイル名124c、プロセス名124dはパスを含むパス名としてもよい。これにより、さらに正確に追跡を実行できるからである。
さらに追跡プログラム112は、過去の履歴を遡り、操作名として最初にクライアント100に取り込まれた操作である「ファイルダウンロード」を見つけ、プログラム(Lkjhbg.exe)がプロセス(webbrowser.exe)によって、あるサイト(http://www.abc.jp)からダウンロードされたことを突き止める。ファイルダウンロードは、プログラム(Lkjhbg.exe)が最初にクライアント100に取り込まれた動作の一例である。このように、プログラム(Lkjhbg.exe)が最初にクライアント100に取り込まれたタイミングや証明書の有無などの履歴情報を履歴DB 124から追跡することができる。
●ファイル操作に関する追跡処理
図10は、ファイル操作に関する履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。この例では、履歴DB 124に、ファイルのコピー元情報を示すコピー元124hが追加されている。
図10は、ファイル操作に関する履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。この例では、履歴DB 124に、ファイルのコピー元情報を示すコピー元124hが追加されている。
上述したように、追跡プログラム112は、プロセス名に従って過去の履歴を遡ってゆく。この例では、2017年11月5日10時15分にプログラム(def.exe)が、プログラム(abc.exe)から名前変更されていたことがわかる。そして、プログラム(abc.exe)が、操作名として最初にクライアント100に取り込まれた操作である「ファイルコピー」を見つける。見つかったレコードにおけるコピー元124hは、ファイルサーバがコピー元であったことを示しており、プログラム(abc.exe)がプロセス(filemanager.exe)によって、ファイルサーバからファイルコピーされたことを突き止める。
このように、プログラム名を変更した場合においても、プログラム(def.exe)が最初にクライアント100に取り込まれたタイミングや証明書の有無などの履歴情報を、履歴DB 124から追跡することができる。
●リムーバブルデバイスに関する追跡処理
図11は、リムーバブルデバイスに関する操作履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
図11は、リムーバブルデバイスに関する操作履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
上述したように、追跡プログラム112は、プロセス名(abc.exe)に従って過去の履歴を遡り、操作名として最初にクライアント100に取り込まれた操作である「ファイルコピー」を見つける。見つかったレコードにおけるコピー元124hは、リムーバブルデバイスがコピー元であったことを示しており、プログラム(abc.exe)がプロセス(filemanager.exe)によって、リムーバブルデバイスからファイルコピーされたことを突き止める。
このように、リムーバブルデバイスからコピーされた場合においても、プログラム(abc.exe)が最初にクライアント100に取り込まれたタイミングや証明書の有無などの履歴情報を、履歴DB 124から追跡することができる。
なお、履歴DB 124の当該レコードにリムーバブルデバイスのプロダクトIDやベンダーIDやシリアルIDなどを記録しておけば、具体的にどのリムーバブルデバイスであったかを特定できるようになる。
●メーラーに関する追跡処理
図12は、メーラーに関する操作履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
図12は、メーラーに関する操作履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
この例では、履歴DB 124に受信メールの添付ファイル情報を示す添付ファイル124iと、メールの送信元を示すメールアドレス124jが追加されている。
上述したように、追跡プログラム112は、プロセス名に従って過去の履歴を遡り、操作名として最初にクライアント100に取り込まれた操作である「メール受信」を見つける。見つかったレコードにおけるメールアドレス124jは、メールの送信元であることを示しており、プログラム(jhgfrf.exe)は、lkjc@abc.co.jpからメール受信されたことを突き止める。
このように、メール受信された場合においても、プログラム(jhgfrf.exe)が最初にクライアント100に取り込まれたタイミングや証明書の有無などの履歴情報を、履歴DB 124から追跡することができる。
●FTP通信に関する追跡処理
図13は、FTP通信に関する操作履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
図13は、FTP通信に関する操作履歴から、ファイルやプロセスが最初にクライアント100に取り込まれた履歴情報を特定するために追跡する一例を示す。
この例では、履歴DB 124にFTP通信に必要なユーザIDを示すユーザID 124kと、FTP通信の接続元のIPアドレスを示す接続元IP 124lと、FTP通信の接続先のIPアドレスを示す接続先IP 124mが追加されている。
上述したように、追跡プログラム112は、プロセス名に従って過去の履歴を遡り、操作名として最初にクライアント100に取り込まれた操作である「ファイルダウンロード」を見つける。プログラム(abc.exe)は、接続先IP(222.222.222.222)からファイルダウンロードされたことを突き止める。
このように、FTP通信によってダウンロードされた場合においても、プログラム(abc.exe)が最初にクライアント100に取り込まれたタイミングや証明書の有無などの履歴情報を、履歴DB 124から追跡することができる。
以上説明したように、本実施例によれば、履歴を検索することで、該プログラムがクライアント100に取り込まれたタイミングや証明書の有無などの履歴情報を特定することができ、特定された履歴情報に基づいて、該プログラムが信頼できる発行者や発行元によって発行されたのかどうかを把握することが可能となる。従って、リスト型の制御方式を用いる場合の、リストの更新にかかるセキュリティの向上および作業負荷を軽減することができる。
[その他の実施例]
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
Claims (7)
- 情報処理装置であって、
プログラムの実行の検知およびプログラムの検索を行う検知手段と、
プログラムを識別する識別手段と、
実行が許可または禁止されたプログラムのリストにプログラムを登録する登録手段と、
前記情報処理装置において実行された操作の履歴である操作履歴を記憶した記憶手段と、
前記検知手段によって実行が検知されたプログラムまたは検出されたプログラムのプログラム情報に基づき、前記記憶手段に記憶されている当該操作履歴から、当該プログラム情報が、前記情報処理装置に最初に保存された日時に実行された操作履歴を特定する特定手段と
を有し、
前記識別手段は、前記特定手段にて特定された操作履歴から、当該プログラムが発行に関する条件を満たすか否かを判定し、
前記登録手段は、前記条件を満たすと判定されたプログラムを、前記リストに登録することを特徴とする情報処理装置。 - 前記識別手段は、前記実行が検知されたプログラムもしくは検出されたプログラムのプログラム情報に基づき、前記プログラムが、前記実行が禁止されたプログラムのリストであるブラックリストに登録されているか否かの判定、または、前記実行が許可されたプログラムのリストであるホワイトリストに登録されているか否かの判定を行い、
前記登録手段は、前記ブラックリストに登録されていないと判定されたプログラム、または、前記ホワイトリストに登録されていないと判定されたプログラムについて、前記リストに登録するための処理を実行することを特徴とする請求項1に記載の情報処理装置。 - さらに、
前記実行が許可または禁止されたプログラムのリストに基づいてプログラムの起動を許可または禁止する制御手段を有することを特徴とする請求項1または2に記載の情報処理装置。 - 前記特定手段は、前記操作履歴を構成する操作の内容が、特定の操作内容かどうかを判定することで、当該プログラム情報が、前記情報処理装置に最初に保存された日時に実行された操作履歴を特定することを特徴とする請求項1ないし3のいずれか1項に記載の情報処理装置。
- 情報処理装置の情報処理方法であって、
プログラムの実行およびプログラムの検索を行う検知工程と、
プログラムを識別する識別工程と、
実行が許可または禁止されたプログラムのリストにプログラムを登録する登録工程と、
前記情報処理装置において実行された操作の履歴である操作履歴を記憶手段に記憶した記憶工程と、
前記検知工程によって実行が検知されたプログラムまたは検出されたプログラムのプログラム情報に基づき、前記記憶手段に記憶されている当該操作履歴から、当該プログラム情報が、前記情報処理装置に最初に保存された日時に実行された操作履歴を特定する特定工程と
を有し、
前記識別工程は、前記特定工程にて特定された操作履歴から、当該プログラムが発行に関する条件を満たすか否かを判定し、
前記登録工程は、前記条件を満たすと判定されたプログラムを、前記リストに登録することを特徴とする情報処理装置の情報処理方法。 - 請求項1から請求項4のいずれか1項に記載された情報処理装置と、
ネットワークを介して、前記情報処理装置に実行が許可または禁止されたプログラムのリストのデータを送信するサーバ装置と
を有することを特徴とする情報処理システム。 - コンピュータを請求項1から請求項4のいずれか1項に記載された情報処理装置の各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019152533A JP7281998B2 (ja) | 2019-08-23 | 2019-08-23 | 情報処理装置、情報処理方法、情報処理システム及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019152533A JP7281998B2 (ja) | 2019-08-23 | 2019-08-23 | 情報処理装置、情報処理方法、情報処理システム及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021033598A JP2021033598A (ja) | 2021-03-01 |
| JP7281998B2 true JP7281998B2 (ja) | 2023-05-26 |
Family
ID=74675906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019152533A Active JP7281998B2 (ja) | 2019-08-23 | 2019-08-23 | 情報処理装置、情報処理方法、情報処理システム及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7281998B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014096142A (ja) | 2012-10-09 | 2014-05-22 | Canon Electronics Inc | 情報処理装置、情報処理システムおよび情報処理方法 |
| WO2014087597A1 (ja) | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
| JP2015094985A (ja) | 2013-11-08 | 2015-05-18 | 富士通株式会社 | 情報管理プログラム、装置、及び方法 |
| US20150193618A1 (en) | 2012-10-09 | 2015-07-09 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| JP2015210605A (ja) | 2014-04-24 | 2015-11-24 | 株式会社オプティム | アプリケーション管理端末、アプリケーション管理方法、アプリケーション管理端末用プログラム |
-
2019
- 2019-08-23 JP JP2019152533A patent/JP7281998B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014096142A (ja) | 2012-10-09 | 2014-05-22 | Canon Electronics Inc | 情報処理装置、情報処理システムおよび情報処理方法 |
| US20150193618A1 (en) | 2012-10-09 | 2015-07-09 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| WO2014087597A1 (ja) | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
| JP2015094985A (ja) | 2013-11-08 | 2015-05-18 | 富士通株式会社 | 情報管理プログラム、装置、及び方法 |
| JP2015210605A (ja) | 2014-04-24 | 2015-11-24 | 株式会社オプティム | アプリケーション管理端末、アプリケーション管理方法、アプリケーション管理端末用プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021033598A (ja) | 2021-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10291634B2 (en) | System and method for determining summary events of an attack | |
| US10511616B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
| CN109684832B (zh) | 检测恶意文件的系统和方法 | |
| US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
| US7676845B2 (en) | System and method of selectively scanning a file on a computing device for malware | |
| EP2786295B1 (en) | Preventing execution of task scheduled malware | |
| JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
| US8776236B2 (en) | System and method for providing storage device-based advanced persistent threat (APT) protection | |
| US20200084230A1 (en) | Method And System For Modeling All Operations And Executions Of An Attack And Malicious Process Entry | |
| US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
| US20170171240A1 (en) | Method and system for identifying uncorrelated suspicious events during an attack | |
| US20130239214A1 (en) | Method for detecting and removing malware | |
| US8776240B1 (en) | Pre-scan by historical URL access | |
| US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
| JP6254414B2 (ja) | 情報処理装置、情報処理システムおよび情報処理方法 | |
| US9740865B2 (en) | System and method for configuring antivirus scans | |
| JP6165469B2 (ja) | 情報処理装置およびその制御方法、並びに、情報処理システム | |
| US11636219B2 (en) | System, method, and apparatus for enhanced whitelisting | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| JP7281998B2 (ja) | 情報処理装置、情報処理方法、情報処理システム及びプログラム | |
| JP6404771B2 (ja) | ログ判定装置、ログ判定方法、およびログ判定プログラム | |
| JP6253333B2 (ja) | 情報処理装置、情報処理システムおよび情報処理方法 | |
| JP6884652B2 (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 | |
| US9231969B1 (en) | Determining file risk based on security reputation of associated objects | |
| US20230036599A1 (en) | System context database management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220818 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20220818 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230421 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230419 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230516 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7281998 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |