JP7501642B2 - 判定装置、判定方法、および、判定プログラム - Google Patents

判定装置、判定方法、および、判定プログラム Download PDF

Info

Publication number
JP7501642B2
JP7501642B2 JP2022545265A JP2022545265A JP7501642B2 JP 7501642 B2 JP7501642 B2 JP 7501642B2 JP 2022545265 A JP2022545265 A JP 2022545265A JP 2022545265 A JP2022545265 A JP 2022545265A JP 7501642 B2 JP7501642 B2 JP 7501642B2
Authority
JP
Japan
Prior art keywords
domain name
pattern
time
operation mode
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022545265A
Other languages
English (en)
Other versions
JPWO2022044334A1 (ja
Inventor
大紀 千葉
満昭 秋山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022044334A1 publication Critical patent/JPWO2022044334A1/ja
Application granted granted Critical
Publication of JP7501642B2 publication Critical patent/JP7501642B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/3025Domain name generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/302Administrative registration, e.g. for domain names at internet corporation for assigned names and numbers [ICANN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

特許法第30条第2項適用 https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=201420&item_no=1&page_id=13&block_id=8 https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=201420&file_id=1&file_no=1 ウェブサイト掲載日 2019年10月14日
本発明は、判定装置、判定方法、および、判定プログラムに関する。
従来、攻撃に関与するWebサイトへの対策として、既に特定された攻撃目的のWebサイトのドメイン名(既知悪性ドメイン名)をリスト化したブロックリストやブラックリストと呼ばれるリストを、WebフィルタリングやDNS(Domain Name System)フィルタリングに設定することが行われている。また、上記の既知悪性ドメイン名を利用して、まだリスト化されていない攻撃目的のドメイン名(未知の悪性ドメイン名)を特定する技術も提案されている(特許文献1参照)。
ここで、ドメイン名は同じ状態で継続的に運用されているわけではなく、用途が変わったり、一時的に運用が停止されたりする。
例えば、ドメインパーキングというサービスがある。このサービスは、一時的に運用が停止されたドメインに、事業者が広告等を表示し、広告報酬の一部をドメイン名の登録者に支払うサービスである。また、ドメイン名を登録し続けるには1年ごとの契約更新が必要であり、契約更新が行われなければ、ドメイン名は失効し、運用は停止される。このように、ドメイン名は継続的に同じ状態で運用されるわけではなく、ドメイン名登録者の都合や、契約状況に応じてその運用が変化していく。
上記のような変化に対応し、悪性ドメイン名を特定するためには、継続的かつリアルタイムに、インターネット上に現存するあらゆるドメイン名が悪性ドメイン名か否かを判断し続ける必要がある。
特許第6196008号公報
しかし、限られた計算リソースで、継続的かつリアルタイムに、インターネット上に現存するあらゆるドメイン名が悪性ドメイン名か否かを判断し続けることは困難である。そのためWebサイトが攻撃に利用された後、即時かつ正確に悪性ドメイン名を特定することは困難であるという問題がある。
そこで、本発明は、前記した問題を解決し、限られた計算リソースで、即時かつ正確に悪性ドメイン名を特定することを課題とする。
前記した課題を解決するため、本発明は、所定日時までのドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける入力部と、前記入力されたドメイン名の時系列情報と、ドメイン名の運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する特定部と、前記特定された前記所定日時以降の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する判定部と、前記判定の結果を出力する出力部と、を備えることを特徴とする。
本発明によれば、限られた計算リソースで、即時かつ正確に悪性ドメイン名を特定することができる。
図1は、ドメイン名が登録されてから失効するまでの期間を対象にした、ドメイン名の運用形態の変化の時系列パターンの例を示す図である。 図2は、ドメイン名の再登録の前後におけるドメイン名の運用形態の変化の時系列パターンの例を示す図である。 図3は、ドメイン名が複数の事業者に運用される場合のドメイン名の運用形態の変化の時系列パターンの例を示す図である。 図4は、特定装置の構成例を示す図である。 図5は、DNSデータセットの例を示す図である。 図6は、ドメイン名の登録情報の例を示す図である。 図7は、ドメイン名のブラックリストの例を示す図である。 図8は、特定装置の処理手順の例を示すフローチャートである。 図9は、特定装置による特定処理の結果の例を示す図である。 図10は、プログラムを実行するコンピュータの例を示す図である。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は本実施形態に限定されない。
[概要]
まず、図1~図3を用いて、本実施形態の特定装置(判定装置)の概要を説明する。例えば、特定装置は、入力されたドメイン名のドメインパーキングの利用や、悪性利用等、運用形態の変化を時系列で示した時系列情報に基づき、当該ドメイン名が悪性ドメイン名か否かの再判断が必要なドメイン名か否かを判定する。例えば、特定装置は、ドメイン名のドメインパーキングの利用と悪性利用との時間的な関係に基づき、当該ドメイン名の運用形態の変化のパターンを特定する。そして、特定装置は、特定したパターンに基づき、当該ドメイン名が所定日時以降、悪性ドメイン名に変化する可能性があるか否かを判定する。
例えば、図1に示すように、ドメイン名の登録(または再登録)からDNSの設定後、当該ドメイン名が失効するまで間における、ドメインパーキング(パーキング)の利用と悪性利用との時間的な関係は、パターン1~9のいずれかに該当する。このうち、パターン2,4,7は、ドメインパーキング利用後に悪性利用に変化するパターンである。よって、特定装置は、当該ドメイン名のドメインパーキングの利用と悪性利用との時間的な関係が、パターン2,4,7に該当する場合、当該ドメイン名は所定日時以降、悪性ドメイン名に変化する可能性があると判定する。
また、ドメイン名が失効した後に、第三者に取得されるドロップキャッチがサイバー攻撃で多用されていることが知られている。このことを鑑み、特定装置は、ドメイン名の再登録が発生したドメイン名について、再登録の前後におけるドメイン名の運用形態の変化についてもチェックする。
例えば、図2に示すように、ドメイン名の再登録の前後における、ドメインパーキングの利用と悪性利用との時間的な関係は、パターンa~cのいずれかに該当する。このうち、例えば、パターンa,cは、ドメイン名のドロップキャッチにより悪性利用される可能性がある。よって、特定装置は、ドメイン名の再登録前後における、ドメインパーキングの利用と悪性利用との時間的な関係が、パターンa,cに該当する場合、当該ドメイン名は所定日時以降、悪性ドメイン名に変化する可能性があると判定する。
さらに、ドメイン名が複数のドメインパーキングに同時にまたは切り替えながら利用されている場合も、悪性利用の可能性がある。よって、特定装置は、ドメイン名が複数のドメインパーキングに同時にまたは切り替えながら利用されている場合(例えば、図3に示すパターンA,B,Cのようにドメインパーキングの事業者が変化する場合)、当該ドメイン名は所定日時以降、悪性ドメイン名に変化する可能性があると判定する。
特定装置が、上記のようなドメイン名の運用形態の変化のパターンを特定することで、所定日時以降、悪性ドメイン名に変化する可能性があるドメイン名を特定することができる。その結果、特定装置は、限られた計算リソースで、即時かつ正確に悪性ドメイン名を特定することができる。
[構成例]
図4は、特定装置10の構成の一例を示す図である。図4に示すように、特定装置10は、入力部11と、記憶部12と、制御部13と、出力部14とを備える。
入力部11は、制御部13が各種処理を行う際に用いるデータの入力を受け付ける。例えば、入力部11は、各ドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける。この時系列情報は、例えば、DNSデータセット(図5参照)、ドメイン名の登録情報(図6参照)、ドメイン名のブラックリスト(図7参照)等である。このDNSデータセット、ドメイン名の登録情報、ドメイン名のブラックリストの詳細は、図面を用いて後記する。
記憶部12は、制御部13が各種処理を行う際に用いるデータを記憶する。制御部13は、特定装置10全体の制御を司る。例えば、制御部13は、各ドメイン名の運用形態の変化のパターンを特定し、特定した運用形態の変化のパターン(時系列パターン)に基づき、各ドメイン名が所定日時以降、悪性ドメイン名に変化する可能性があるか否かを判定する。出力部14は、制御部13による処理結果を出力する。
[入力部]
入力部11は、DNSデータセット入力部111と、ドメイン名登録情報入力部112と、ドメイン名ブラックリスト入力部113とを備える。
DNSデータセット入力部111は、DNSデータセットの入力を受け付ける。DNSデータセットは、ドメイン名ごとに、当該ドメイン名を管理するNS(ネームサーバ)のホスト名、当該NSのホスト名を確認した日時(タイムスタンプ)等を示した情報である。
図5は、DNSデータセットの一例を示す図である。例えば、図5に示すDNSデータセットの通番1のデータは、「example.com」というドメイン名の2020年6月1日におけるIPv4アドレス(Aレコード)は「192.0.2.1」であり、NSのホスト名(NSレコード)は「ns.malicious.example」であることを示している。また、通番2のデータは、上記の「example.com」というドメイン名の2020年7月1日におけるAレコードは「203.0.113.1」であり、NSレコードは「ns.parking.example」であることを示している。
また、上記のDNSデータセットにおける、NSレコード「ns.parking.example」および「ns.parking2.example」は、それぞれパーキング事業者の指定するNSレコードを意味し、各々別のパーキング事業者のものであるとする。
例えば、通番7のデータは、「example.jp」というドメイン名の2020年7月1日におけるNSレコードは「ns.parking.example」と「ns.parking2.example」であり、「example.jp」は複数のパーキング事業者のドメインパーキングを利用していることを示す。
図4のドメイン名登録情報入力部112は、ドメイン名の登録情報の入力を受け付ける。ドメイン名の登録情報は、ドメイン名ごとに、当該ドメイン名の登録日および失効日(登録を継続しなかった場合の失効予定日)を示した情報である。
図6は、ドメイン名の登録情報の一例を示す図である。例えば、図6に示すドメイン名の登録情報の通番1のデータは、「example.com」というドメイン名の登録日は2020年5月31日であり、失効日は2021年5月31日であることを示す。なお、このドメイン名の登録情報は、ドメイン名の登録者の情報を含んでいてもよい。
図4のドメイン名ブラックリスト入力部113は、ドメイン名のブラックリスト(悪性ドメイン名のリスト)の入力を受け付ける。図7は、ドメイン名のブラックリストの一例を示す図である。例えば、図7に示すドメイン名のブラックリストの通番1のデータは、「example.com」というドメイン名が、2020年6月1日の時点でドメイン名のブラックリストに掲載されていることを示している。
なお、図5に示したDNSデータセット、図6に示したドメイン名の登録情報、および、図7に示したドメイン名のブラックリストは、1日1回更新されることを想定しているが、この更新頻度には上記の頻度に限定されない。
[記憶部]
次に、図4の記憶部12を説明する。記憶部12は、第1のパターン情報と、第2のパターン情報と、第3のパターン情報とを記憶する。
[第1のパターン情報]
第1のパターン情報は、ドメイン名が登録されてから失効するまでの単一の期間(ライフサイクル)を対象にした時系列パターンを示す情報である。この第1のパターン情報の一例を図1に示す。
図1の例では、ドメイン名の運用形態として、(1)ドメインパーキングを利用する運用と、(2)悪性活動に利用する運用(悪性利用)、という2つの運用形態の時系列変化としてあり得る9個の時系列パターンの例を示している。
パターン1は、あるライフサイクルの指定期間内にドメインパーキングにのみ利用され、悪性利用はされない時系列パターンである。
パターン2は、ドメインパーキングに利用された後、期間をあけて悪性利用される時系列パターンである(ドメインパーキング後に悪性利用)。
パターン3は、悪性利用された後、期間をあけてドメインパーキングに利用される時系列パターンである(悪性利用後にドメインパーキング)。
パターン4は、ドメインパーキングの利用開始後、ドメインパーキングの利用が終了する前に悪性利用も始まり、両方の利用期間が部分的に重複する時系列パターンである(ドメインパーキング後に悪性利用(一部重複))。
パターン5は、悪性利用の開始後、悪性利用が終了する前にドメインパーキングの利用も始まり、両方の利用期間が部分的に重複する時系列パターンである(悪性利用後にドメインパーキング(一部重複))。
パターン6は、ドメインパーキングに利用される期間と悪性利用される期間が同じという時系列パターンである。
パターン7は、ドメインパーキングに利用される期間が悪性利用される期間を包含する時系列パターンである。
パターン8は、悪性利用される期間がドメインパーキングに利用される期間を包含する時系列パターンである。
パターン9は、悪性利用のみの時系列パターンである。
なお、対象ドメイン名がドメインパーキングに利用されているか否かは、例えば、ドメイン名の登録情報(図6参照)における、ドメイン名に対応するNSレコードと、事前に入手したパーキング情報とのマッチングにより判定することができる。また、対象ドメイン名が悪性利用されているか否かは、例えば、ドメイン名のブラックリスト情報(図7参照)を参照することで判定することができる。
[第2のパターン情報]
次に、第2のパターン情報を説明する。第2のパターン情報は、ドメイン名の再登録の前後における当該ドメイン名の運用形態の変化のパターンを示す情報である。この第2のパターン情報の一例を図2に示す。
パターンaは、ドメインパーキングに利用されていたドメイン名が失効し、再登録された後、再度ドメインパーキングに利用される時系列パターンである。なお、当該パターンにおいて、ドメイン名の再登録の前後における当該ドメイン名の悪性利用の有無は問わない。
パターンbは、ドメインパーキングに利用されていたドメイン名が失効し、再登録された後、悪性利用される時系列パターンである。なお、当該パターンにおいて、再登録後の当該ドメイン名のドメインパーキングの有無は問わない。
パターンcは、悪性利用されたドメイン名が失効し、再登録された後、ドメインパーキングに利用される時系列パターンである。なお、当該パターンにおいて、再登録後の当該ドメイン名の悪性利用の有無は問わない。
[第3のパターン情報]
次に、第3のパターン情報を説明する。第3のパターン情報は、ドメイン名が複数のネームサーバ(複数のドメインパーキング事業者)を同時にまたは切り替えながら運用される際の運用形態の時系列の変化のパターンを示す情報である。
一般に、ドメインパーキング事業者が異なる場合には、当該事業者を示すNSレコードの値も異なる。よって、例えば、DNSデータセット(図5参照)において、同じドメイン名に対するNSレコードが複数ある場合、当該ドメイン名を複数のドメインパーキング事業者を利用しているドメイン名として特定することができる。この第3のパターン情報の一例を図3に示す。
図3の例では、ドメイン名の運用形態として、複数のドメインパーキング事業者を利用したドメインパーキング運用を想定した時系列変化として、考えられる時系列パターンを3個示している。
パターンAは、複数のドメインパーキング事業者を同時にまたは切り替えながら利用する時系列パターンである。パターンBは、複数のドメインパーキング事業者を同時に利用する時系列パターンである。パターンCは、複数のドメインパーキング事業者を切り替えながら利用する時系列パターンである。
[制御部]
次に、図4の制御部13を説明する。制御部13は、第1の特定部131と、第2の特定部132と、第3の特定部133と、判定部134とを備える。
第1の特定部131は、ドメイン名の時系列情報と、第1のパターン情報とに基づき、ドメイン名が登録されてから失効するまでの期間における当該ドメイン名の運用形態の時系列パターンを特定する。そして、第1の特定部131は、当該特定の結果に基づき、所定日時(例えば、現時点)以後における当該ドメイン名の運用形態の候補を特定する。
第2の特定部132は、ドメイン名の時系列情報と、第2のパターン情報とに基づき、ドメイン名の失効後、再登録が行われた場合、当該ドメイン名の再登録の前後における当該ドメイン名の運用形態の変化の時系列パターンを特定する。そして、第2の特定部132は、当該特定の結果に基づき、所定日時(例えば、現時点)以後における当該ドメイン名の運用形態の候補を特定する。
第3の特定部133は、ドメイン名の時系列情報と、第3のパターン情報とに基づき、ドメイン名が複数のドメインパーキング事業者に利用されたか否かや、複数のドメインパーキング事業者に利用された場合における、当該ドメイン名の運用形態の変化の時系列パターン等を特定する。そして、第3の特定部133は、当該特定の結果に基づき、所定日時(例えば、現時点)以後における当該ドメイン名の運用形態の候補を特定する。
判定部134は、第1の特定部131、第2の特定部132および第3の特定部133により特定された、所定日時以降の当該ドメイン名の運用形態の候補に基づき、当該ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する。
例えば、第1の特定部131に特定された、所定日時(例えば、現時点)以降における当該ドメイン名の運用形態の候補が、図1に示すパターン2,4,7である場合、判定部134は、当該ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定する。
また、例えば、第2の特定部132により特定された、所定日時(例えば、現時点)以降における当該ドメイン名の運用形態の候補が、図2に示すパターンa,cである場合、判定部134は、当該ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定する。
さらに、例えば、第3の特定部133により特定されたドメイン名の運用形態が、複数のネームサーバを同時にまたは切り替えながらドメイン名が運用される場合、判定部134は、当該ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定する。
なお、前記した第1のパターン情報、第2のパターン情報、第3のパターン情報に示されるパターン(時系列パターン)のうち、ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性がある運用形態の時系列パターンは、例えば、記憶部12に記憶されているものとする。
また、ここでは図示を省略しているが、特定装置10は、入力されたドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定された場合、当該ドメイン名が悪性利用されているか否かの判断処理を行う処理部をさらに備えていてもよい。
[処理手順の例]
次に、図8を用いて特定装置10の処理手順の例を説明する。まず、特定装置10のDNSデータセット入力部111は、DNSデータセットの入力を受け付ける(S1)。また、ドメイン名登録情報入力部112は、ドメイン名の登録情報の入力を受け付ける(S2)。さらに、ドメイン名ブラックリスト入力部113は、ドメイン名のブラックリストの入力を受け付ける(S3)。
その後、第1の特定部131は、第1のパターン情報と、DNSデータセット、ドメイン名の登録情報およびドメイン名のブラックリストとに基づき、ドメイン名が登録されてから失効するまでの単一期間に対象としてドメイン名の運用形態の変化の時系列パターンを特定する(S4)。
また、第2の特定部132は、第2のパターン情報と、DNSデータセット、ドメイン名の登録情報およびドメイン名のブラックリストとに基づき、ドメイン名の再登録の前後の期間に対象としてドメイン名の運用形態の変化の時系列パターンを特定する(S5)。
さらに、第3の特定部133は、第3のパターン情報と、DNSデータセット、ドメイン名の登録情報およびドメイン名のブラックリストとに基づき、複数のドメインパーキング事業者を同時に、または、切り替えながら運用する時系列パターンを特定する(S6)。
その後、判定部134は、上記のS4~S6におけるドメイン名の運用の時系列パターンに基づき、今後、特定の運用形態(例えば、悪性利用)に変化する可能性の高いドメイン名を特定する(S7)。その後、判定部134は、S7における特定結果を出力部14経由で出力する(S8)。
このようにすることで特定装置10は、今後、特定の運用形態(例えば、悪性利用)に変化する可能性のあるドメイン名、つまり、悪性ドメイン名か否かの再判断が必要なドメイン名を特定することができる。
[具体例]
次に、特定装置10が実行する処理の具体例を説明する。図9は、特定装置10におけるドメイン名に対する特定の一例を示す図である。
[2020年7月2日の時点における「example.com」に関する特定]
図9の通番1の2020年7月2日の時点における「example.com」に関する特定の例を説明する。例えば、図5のDNSデータセットを参照すると、「example.com」は、2020年6月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定され、2020年7月1日にドメインパーキングのNSレコード「ns.parking.example」が設定されている。このことから、特定装置10は、「example.com」について2020年7月1日から、ある1種類の事業者のドメインパーキングにより利用されていると判断する。
また、図7のドメイン名のブラックリストを参照すると、「example.com」は、2020年6月1日にブラックリストに掲載されている(悪性利用されている)が、その後の悪性利用は確認されていない。また、図6のドメイン名の登録情報を参照すると、「example.com」は、2020年5月31日に登録され、2020年7月2日の時点では失効していない。よって、特定装置10は、「example.com」について単一のライフサイクル(単一登録期間)のみ考慮すればよいと判断する。
以上の情報から、特定装置10は、「example.com」の運用形態の時系列パターンは、悪性利用され、その後にドメインパーキングで利用される時系列パターン(図1に示すパターン3)に該当すると判断する。
なお、図6のドメイン名の登録情報を参照すると、「example.com」のドメイン名の再登録は発生していない。よって、特定装置10は、「example.com」について、例えば、図2のようなドメイン名の再登録の前後における運用形態の変化の時系列パターン(複数の登録期間における時系列パターン)には該当しないと判断する。
また、図5のDNSデータセットを参照すると、「example.com」は複数の事業者のドメインパーキングを利用していない。よって、特定装置10は、「example.com」について、例えば、図3のような複数の事業者のドメインパーキングを利用する時系列パターンには該当しないと判断する。
[2020年7月3日以後における「example.com」に関する特定]
さらに、特定装置10は、2020年7月3日以後における「example.com」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.com」は、2020年7月1日からドメインパーキングに利用されている。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン2,4,7と特定する。
この特定結果により、特定装置10は、「example.com」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「高い」と判断する。よって、特定装置10は、「example.com」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要があると判定する。
なお、ドメイン名が悪性利用(悪性運用)されているか否かの判断には、例えば、特許文献1に記載の方法を用いることが考えられるが、これに限定されない。
[2020年7月2日の時点における「example.net」に関する特定]
次に、図9の通番2の2020年7月2日時点の「example.net」に対する特定の例を説明する。
例えば、図5のDNSデータセットを参照すると、「example.net」は、2020年6月1日にドメインパーキングのNSレコード「ns.parking.example」が設定され、2020年7月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定されている。
また、図7のドメイン名のブラックリストを参照すると、「example.net」は、2020年7月1日にブラックリストに掲載されている(悪性利用されている)。
図6のドメイン名の登録情報を参照すると、「example.net」は、2020年5月31日に登録され、2020年7月2日の時点では失効していない。よって、特定装置10は、「example.com」について単一のライフサイクルのみ考慮すればよいと判断する。
以上の情報から、特定装置10は、2020年7月2日時点の「example.net」の運用形態の時系列パターンは、ドメインパーキングされ、その後に悪性利用される時系列パターン(図1に示すパターン2)であると判断する。
なお、特定装置10は、図6のドメイン名の登録情報を参照すると、「example.net」のドメイン名の再登録が発生していない。よって、特定装置10は、「example.net」について、図2のようなドメイン名の再登録の前後における運用形態の時系列パターン(複数の登録期間における時系列パターン)には該当しないと判断する。
図5のDNSデータセットを参照すると、「example.net」は複数の事業者のドメインパーキングを利用していない。よって、特定装置10は、「example.net」について、例えば、図3のような複数の事業者のドメインパーキングを利用する時系列パターンには該当しないと判断する。
[2020年7月3日以後における「example.net」に関する特定]
さらに、特定装置10は、2020年7月3日以後における「example.net」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.net」は、2020年7月1日に悪性利用の記録がある。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン3,5,8,9と特定する。
この特定結果により、特定装置10は、「example.net」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「低い」と判断する。よって、特定装置10は、「example.net」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要はないと判定する。
[2020年7月2日の時点における「example.org」に関する特定]
次に、図9の通番3の2020年7月2日時点の「example.net」に対する特定の例を説明する。
例えば、図6のドメイン名の登録情報および図5のDNSデータセットを参照すると、「example.org」は、2020年6月15日に再登録され、2020年7月2日の時点では失効していない。よって、特定装置10は、「example.org」について、図2のようなドメイン名の再登録の前後における運用形態の時系列パターン(複数の登録期間における時系列パターン)に該当すると判断する。
例えば、図5のDNSデータセットを参照すると、「example.org」は、再登録前の2020年6月1日はドメインパーキングのNSレコード「ns.parking.example」が設定され、再登録後の2020年7月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定されている。また、図7のドメイン名のブラックリストを参照すると、「example.org」は再登録後、2020年7月1日からブラックリストに掲載されている(悪性利用されている)。
以上の情報から、特定装置10は、2020年7月2日時点の「example.org」の運用形態の時系列パターンは、図1に示すパターン9であると判断する。
また、上記のとおり「example.org」は、ドメイン名の再登録が発生しており、ドメイン名の再登録前(失効前)においてはドメインパーキングにより利用され、再登録後に悪性利用されている。よって、特定装置10は、「example.org」の再登録の前後における時系列パターンは、図2のパターンbと特定する。
図5のDNSデータセットを参照すると、「example.org」は複数の事業者のメインパーキングを利用していない。よって、特定装置10は、「example.org」について、例えば、図3のような複数の事業者を利用する時系列パターンには該当しないと判断する。
[2020年7月3日以後における「example.org」に関する特定]
さらに、特定装置10は、2020年7月3日以後における「example.org」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.net」は、2020年7月1日に悪性利用の記録がある。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン3,5,8,9と特定する。
この特定結果により、特定装置10は、「example.org」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「低い」と判断する。よって、特定装置10は、「example.org」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要はないと判定する。
[2020年7月2日の時点における「example.jp」に関する特定]
最後に、図9の通番4の2020年7月2日時点の「example.jp」に対する特定の例を説明する。
例えば、図5のDNSデータセットを参照すると、「example.jp」は、2020年7月1日にドメインパーキングのNSレコード「ns.parking.example」と「ns.parking2.example」が設定されている。
図6のドメイン名の登録情報を参照すると、「example.jp」は、2020年6月30日に登録され、2020年7月2日の時点では失効していない。よって、特定装置10は、「example.jp」ついて単一のライフサイクル(単一登録期間)のみ考慮すればよいと判断する。
また、図7のドメイン名のブラックリストを参照すると、「example.jp」は悪性利用の履歴がない。
以上の情報から、特定装置10は、「example.jp」の運用形態の時系列パターンは、ドメインパーキングのみに利用される時系列パターン(図1に示すパターン1)に該当すると判断する。
なお、図6のドメイン名の登録情報を参照すると、「example.jp」のドメイン名の再登録は発生していない。よって、特定装置10は、「example.jp」について、例えば、図2のようなドメイン名の再登録の前後における運用形態の時系列パターン(複数の登録期間における時系列パターン)には該当しないと判断する。
また、図5のDNSデータセットを参照すると、「example.jp」は2020年7月1日の時点で複数の事業者のドメインパーキングを利用している。このことから、特定装置10は、「example.jp」について、例えば、図3のパターンA,Bに該当すると判断する。
[2020年7月3日以後における「example.jp」に関する特定]
さらに、特定装置10は、2020年7月3日以後における「example.jp」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.jp」は、2020年7月1日からドメインパーキングに利用されている。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン2,4,7と特定する。
この特定結果により、特定装置10は、「example.jp」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「高い」と判断する。よって、特定装置10は、「example.jp」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要があると判定する。
上記のように、特定装置10は、図9の通番1-4の複数のドメイン名に対し、悪性利用の運用形態に変化する可能性が相対的に高いドメイン名(例えば、example.comとexample.jp)を特定する。そして、特定装置10は、例えば、特定したドメイン名について他のドメイン名(例えば、example.netとexample.org)よりも高い頻度で悪性ドメインか否かの確認するように制御する。これにより、特定装置10は、未知の悪性ドメイン名を、限られた計算資源でより効率的に発見することができるようになる。
なお、優先的な計算資源割当方法については、情報工学やプログラミング言語で一般的に利用されているタスク制御、リソース割当、ジョブ管理等の公知の方法を利用することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、前記した実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
前記した特定装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態のシステムとして機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、本実施形態の特定装置は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図9は、特定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、各実施形態のシステムが実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、各実施形態のシステムにおける機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられるパターン情報は、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 特定装置
11 入力部
12 記憶部
13 制御部
14 出力部
111 DNSデータセット入力部
112 ドメイン名登録情報入力部
113 ドメイン名ブラックリスト入力部
131 第1の特定部
132 第2の特定部
133 第3の特定部
134 判定部

Claims (5)

  1. 所定日時までのドメイン名のパーキングの利用の有無および悪性利用の有無を含む運用形態を時系列で示した時系列情報の入力を受け付ける入力部と、
    前記入力されたドメイン名の時系列情報に示される前記所定日時における前記ドメイン名のパーキングの利用の有無および悪性利用の有無と、ドメイン名の前記運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する特定部と、
    前記特定された前記所定日時以の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する判定部と、
    前記判定の結果を出力する出力部と、
    を備えることを特徴とする判定装置。
  2. 前記ドメイン名の時系列情報は、さらに、
    当該ドメイン名が失効後に再登録された時期を示す情報を含み、
    前記パターン情報は、さらに、
    ドメイン名の再登録の前後の期間におけるドメイン名の前記運用形態のパターンを示す情報を含み、
    前記特定部は、
    前記入力されたドメイン名の時系列情報に基づき、前記入力されたドメイン名が再登録されたものであると判定された場合、前記入力されたドメイン名の再登録の前後の期間における前記運用形態の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する
    ことを特徴とする請求項1に記載の判定装置。
  3. 前記ドメイン名の時系列情報は、さらに、
    当該ドメイン名の運用に用いられた1以上のネームサーバのホスト名を時系列で示した情報を含み、
    前記パターン情報は、さらに、
    複数のネームサーバを同時に、または、切り替えながらドメイン名が運用される場合の前記運用形態の時系列の変化のパターンを示す情報を含み、
    前記特定部は、さらに、
    前記入力されたドメイン名の時系列情報に基づき、前記入力されたドメイン名が再登録されたものであると判定された場合、前記パターン情報に基づき、前記入力されたドメイン名の再登録の前後の期間における前記運用形態の変化が、前記パターン情報に示されるいずれのパターンに該当するか否かを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する
    ことを特徴とする請求項1に記載の判定装置。
  4. 判定装置により実行される判定方法であって、
    所定日時までのドメイン名のパーキングの利用の有無および悪性利用の有無を含む運用形態を時系列で示した時系列情報の入力を受け付ける工程と、
    前記入力されたドメイン名の時系列情報に示される前記所定日時における前記ドメイン名のパーキングの利用の有無および悪性利用の有無と、ドメイン名の前記運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する工程と、
    前記特定された前記所定日時以の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する工程と、
    前記判定の結果を出力する工程と、
    を含むことを特徴とする判定方法。
  5. 所定日時までのドメイン名のパーキングの利用の有無および悪性利用の有無を含む運用形態を時系列で示した時系列情報の入力を受け付ける工程と、
    前記入力されたドメイン名の時系列情報に示される前記所定日時における前記ドメイン名のパーキングの利用の有無および悪性利用の有無と、ドメイン名の前記運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する工程と、
    前記特定された前記所定日時以の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する工程と、
    前記判定の結果を出力する工程と、
    をコンピュータに実行させることを特徴とする判定プログラム。
JP2022545265A 2020-08-31 2020-08-31 判定装置、判定方法、および、判定プログラム Active JP7501642B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/032935 WO2022044334A1 (ja) 2020-08-31 2020-08-31 判定装置、判定方法、および、判定プログラム

Publications (2)

Publication Number Publication Date
JPWO2022044334A1 JPWO2022044334A1 (ja) 2022-03-03
JP7501642B2 true JP7501642B2 (ja) 2024-06-18

Family

ID=80354944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022545265A Active JP7501642B2 (ja) 2020-08-31 2020-08-31 判定装置、判定方法、および、判定プログラム

Country Status (4)

Country Link
US (1) US20230308478A1 (ja)
EP (1) EP4187412A4 (ja)
JP (1) JP7501642B2 (ja)
WO (1) WO2022044334A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009514068A (ja) 2005-09-16 2009-04-02 センドリ・インコーポレイテッド ドメイン名をリースして、リースされたドメイン名からウェブサーファーをリダイレクトするために使用される電子マーケットプレイス
JP2015076892A (ja) 2013-10-11 2015-04-20 ベリサイン・インコーポレイテッド 権威ネームサーバの変化に基づくドメイン名の特徴付け
JP2016524202A (ja) 2013-04-11 2016-08-12 ブランドシールド リミテッド ブランド名とドメイン名を保護する装置、システム、および方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6196008B2 (ja) 2015-03-05 2017-09-13 日本電信電話株式会社 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
WO2018163464A1 (ja) * 2017-03-09 2018-09-13 日本電信電話株式会社 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009514068A (ja) 2005-09-16 2009-04-02 センドリ・インコーポレイテッド ドメイン名をリースして、リースされたドメイン名からウェブサーファーをリダイレクトするために使用される電子マーケットプレイス
JP2016524202A (ja) 2013-04-11 2016-08-12 ブランドシールド リミテッド ブランド名とドメイン名を保護する装置、システム、および方法
JP2015076892A (ja) 2013-10-11 2015-04-20 ベリサイン・インコーポレイテッド 権威ネームサーバの変化に基づくドメイン名の特徴付け

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
千葉 大紀 ほか,攻撃インフラの時系列変動特性に基づく悪性ドメイン名の検知法,電子情報通信学会技術研究報告,日本,一般社団法人電子情報通信学会,2015年06月04日,Vol.115 No.80,p.51-56
針生 剛男 ほか,エスカレートするサイバー攻撃に立ち向かうNTTグループのセキュリティ,NTT技術ジャーナル,一般社団法人電気通信協会,2018年02月01日, 第30巻 ,第2号 ,p.19-25

Also Published As

Publication number Publication date
JPWO2022044334A1 (ja) 2022-03-03
EP4187412A1 (en) 2023-05-31
US20230308478A1 (en) 2023-09-28
EP4187412A4 (en) 2024-03-13
WO2022044334A1 (ja) 2022-03-03

Similar Documents

Publication Publication Date Title
US10924347B1 (en) Networking device configuration value persistence
US10831466B2 (en) Automatic patch management
US8554907B1 (en) Reputation prediction of IP addresses
US9934384B2 (en) Risk assessment for software applications
EP3552098B1 (en) Operating system update management for enrolled devices
CN103023983B (zh) 用于分布计算机安全任务的处理的系统
US8832840B2 (en) Mobile application security and management service
US10740411B2 (en) Determining repeat website users via browser uniqueness tracking
US8019845B2 (en) Service delivery using profile based management
US11477167B2 (en) Systems and methods for performing dynamic firewall rule evaluation
JP2006024059A (ja) 文書管理用コンピュータプログラムならびに文書管理装置および方法
CN111147605B (zh) 服务注册方法、装置和设备
US20220156813A1 (en) Adaptive control of domain name registrations via dynamically variable registration requirements
US10764399B2 (en) Customized web services gateway
CN114584486A (zh) 一种基于分布式的网络资产扫描探测平台及扫描探测方法
JP7501642B2 (ja) 判定装置、判定方法、および、判定プログラム
CN113205304A (zh) 业务流程配置方法、装置、设备及存储介质
US10181039B1 (en) Systems and methods for providing computing security by classifying organizations
Dhirani et al. Federated hybrid clouds service level agreements and legal issues
CN116151631A (zh) 一种业务决策处理系统、一种业务决策处理方法和装置
CN111651235A (zh) 一种虚拟机组任务管理方法及装置
EP3991377A1 (en) Lifecycle management of secrets on serverless platform
JP6669679B2 (ja) 分類装置、分類方法及び分類プログラム
CN113656100A (zh) 接口切换方法、装置、电子装置及计算机程序产品
US11620675B2 (en) Detector, detection method, and detection program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230125

A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A801

Effective date: 20230125

A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A80

Effective date: 20230125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240520

R150 Certificate of patent or registration of utility model

Ref document number: 7501642

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150