JPWO2020065776A1 - 情報処理装置、制御方法、及びプログラム - Google Patents
情報処理装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JPWO2020065776A1 JPWO2020065776A1 JP2020547674A JP2020547674A JPWO2020065776A1 JP WO2020065776 A1 JPWO2020065776 A1 JP WO2020065776A1 JP 2020547674 A JP2020547674 A JP 2020547674A JP 2020547674 A JP2020547674 A JP 2020547674A JP WO2020065776 A1 JPWO2020065776 A1 JP WO2020065776A1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- attack
- mobile terminal
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 title claims description 30
- 238000004891 communication Methods 0.000 claims abstract description 215
- 239000000284 extract Substances 0.000 claims abstract description 17
- 238000000605 extraction Methods 0.000 claims description 59
- 230000008859 change Effects 0.000 claims description 16
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
Abstract
情報処理装置(2000)は、複数の移動端末(10)それぞれが行ったネットワーク通信の履歴を表す通信履歴(20)から、類似する攻撃に関する通信を示す通信履歴(20)を抽出する。ここで、通信履歴(20)は、移動端末(10)の位置情報を含む。情報処理装置(2000)は、抽出した各通信履歴(20)に示される位置情報を用いて、移動端末(10)に対する攻撃に関する攻撃情報を生成し、生成した攻撃情報を出力する。
Description
本発明はネットワーク通信のセキュリティに関する。
車両に搭載されている端末のように、移動しながらネットワーク通信を行う端末がある。以下、このような端末を移動端末と呼ぶ。そして、このような移動端末による通信に関して異常検知を行うシステムが開発されている。例えば特許文献1が挙げられる。特許文献1は、無線端末が無線 LAN を経由して無線 WAN に接続する環境において、無線 LAN における通信の統計情報と、無線端末の位置情報とを用いて、位置情報で特定される位置において無線 LAN に異常が発生しているか否かを判定する技術を開示している。
移動端末は、位置が固定されている据え置き型の端末と比較し、利用するネットワーク環境が多様である。例えば移動端末は、様々な店舗に設置されているアクセスポイントを経由して通信を行うことがある。そのため、移動端末は、通信に影響を及ぼす攻撃の被害に遭う危険性が高い。特許文献1では、移動端末の攻撃被害については言及されていない。
本発明は、上記の課題に鑑みてなされたものである。本発明の目的の一つは、移動端末が攻撃被害に遭う蓋然性を低くするための技術を提供することである。
本発明の情報処理装置は、1)複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出部を有し、通信履歴は、移動端末の位置情報を含んでおり、2)各抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成部と、3)生成した攻撃情報を出力する出力部と、を有する。
本発明の制御方法は、コンピュータによって実行される。当該制御方法は、1)複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出ステップを有し、通信履歴は、移動端末の位置情報を含んでおり、2)各抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成ステップと、3)生成した攻撃情報を出力する出力ステップと、を有する。
本発明のプログラムは、本発明の制御方法が有する各ステップをコンピュータに実行させる。
本発明によれば、移動端末が攻撃被害に遭う蓋然性を低くする技術が提供される。
上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
実施形態1の情報処理装置の動作の概要を表す図である。
実施形態1の情報処理装置の構成を例示する図である。
情報処理装置を実現するための計算機を例示する図である。
実施形態1の情報処理装置によって実行される処理の流れを例示するフローチャートである。
通信履歴20の構成をテーブル形式で例示する図である。
位置情報の時系列データにおいて、位置情報の変化が小さいケースを例示する図である。
位置情報の時系列データにおいて、位置情報の変化が大きいケースを例示する図である。
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。
[実施形態1]
<概要>
図1は、実施形態1の情報処理装置の動作の概要を表す図である。図1は情報処理装置2000の動作についての理解を容易にするための概念的な図であり、情報処理装置2000の動作を具体的に限定するものではない。
<概要>
図1は、実施形態1の情報処理装置の動作の概要を表す図である。図1は情報処理装置2000の動作についての理解を容易にするための概念的な図であり、情報処理装置2000の動作を具体的に限定するものではない。
車両に搭載されている端末のように、移動しながらネットワーク通信を行う端末がある。以下、このような端末を移動端末10と呼ぶ。ここで、移動端末10は、店舗に設置されているアクセスポイントを経由してネットワーク通信を行ったり、基地局を介したネットワーク通信などを行ったりする。そのため、複数の移動端末10が同じネットワークに接続することがある。また、複数の移動端末10が共通の装置(例えば Web サーバや DNS サーバなど)にアクセスすることがある。
このように同じネットワークに接続したり同じ装置にアクセスしたりする複数の移動端末10は、類似した攻撃被害に遭うことがある。例えば或るアクセスポイントが悪意ある者に乗っ取られた結果、そのアクセスポイントを経由して通信を行った各移動端末10が、同じ攻撃被害に遭うことが考えられる。なお、ここでいう攻撃とは、移動端末10のネットワーク通信に影響を及ぼす任意の攻撃を意味する。例えば、移動端末10に対してマルウエアを導入する攻撃、移動端末10と他の装置との間のネットワーク通信でやりとりされるデータを改ざんする攻撃、移動端末10から外部へ情報を漏洩する攻撃といったものが含まれる。
このように複数の移動端末10が同じ攻撃の被害を受ける可能性がある環境では、既に攻撃を受けてしまった移動端末10に関する情報を利用して、まだ攻撃被害を受けていない移動端末10に対する攻撃を未然に防ぐことが好適である。こうすることで、各移動端末10が攻撃被害に遭う蓋然性を小さくすることができる。
そこで情報処理装置2000は、複数の移動端末10のネットワーク通信の履歴を表す通信履歴20から、類似する攻撃に関する通信履歴20を抽出し、抽出した通信履歴20を利用して、移動端末10に対する攻撃に関する情報(以下、攻撃情報)を生成する。ここで、通信履歴20は、移動端末10の位置情報を含む。そして、情報処理装置2000は、抽出した各通信履歴20に示される位置情報を用いて攻撃情報を生成する。
図1の例では、情報処理装置2000は、類似する攻撃に関する通信履歴20を抽出し、抽出した各通信履歴20に示される位置情報を用いて、新たに攻撃が行われる場所を推定する。そして情報処理装置2000は、推定した場所を示す攻撃情報を生成する。この攻撃情報を利用することで、例えば、移動端末10のユーザが新たな攻撃場所を避けて移動するなどの対処を行うことにより、攻撃を免れることができる。
<作用効果>
本実施形態の情報処理装置2000は、類似する攻撃を受けた移動端末10の通信履歴20を抽出し、抽出した通信履歴20が示す移動端末10の位置情報を用いて、新たに攻撃が行われる場所などといった内容の攻撃情報を生成する。このような攻撃情報を利用することで、まだ攻撃を受けていない移動端末10が攻撃被害に遭うことを未然に防ぐことができる。これにより、各移動端末10が攻撃被害に遭う蓋然性を小さくすることができる。また、既に攻撃を受けた移動端末10が再度同じ攻撃を受けないようにできる。
本実施形態の情報処理装置2000は、類似する攻撃を受けた移動端末10の通信履歴20を抽出し、抽出した通信履歴20が示す移動端末10の位置情報を用いて、新たに攻撃が行われる場所などといった内容の攻撃情報を生成する。このような攻撃情報を利用することで、まだ攻撃を受けていない移動端末10が攻撃被害に遭うことを未然に防ぐことができる。これにより、各移動端末10が攻撃被害に遭う蓋然性を小さくすることができる。また、既に攻撃を受けた移動端末10が再度同じ攻撃を受けないようにできる。
以下、本実施形態の情報処理装置2000についてさらに詳細に説明する。
<情報処理装置2000の機能構成の例>
図2は、実施形態1の情報処理装置2000の構成を例示する図である。情報処理装置2000は、抽出部2020、生成部2040、及び出力部2060を有する。抽出部2020は、複数の移動端末10それぞれが行ったネットワーク通信の履歴を表す通信履歴20から、類似する攻撃に関する通信を示す通信履歴20を抽出する。生成部2040は、抽出した各通信履歴20に示される位置情報を用いて、移動端末10に対する攻撃に関する攻撃情報を生成する。出力部2060は、攻撃情報を出力する。
図2は、実施形態1の情報処理装置2000の構成を例示する図である。情報処理装置2000は、抽出部2020、生成部2040、及び出力部2060を有する。抽出部2020は、複数の移動端末10それぞれが行ったネットワーク通信の履歴を表す通信履歴20から、類似する攻撃に関する通信を示す通信履歴20を抽出する。生成部2040は、抽出した各通信履歴20に示される位置情報を用いて、移動端末10に対する攻撃に関する攻撃情報を生成する。出力部2060は、攻撃情報を出力する。
<情報処理装置2000のハードウエア構成>
情報処理装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、情報処理装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
情報処理装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、情報処理装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図3は、情報処理装置2000を実現するための計算機1000を例示する図である。計算機1000は任意の計算機である。例えば計算機1000は、Personal Computer(PC)やサーバマシンなどの据え置き型の計算機である。その他にも例えば、計算機1000は、スマートフォンやタブレット端末などの可搬型の計算機である。計算機1000は、情報処理装置2000を実現するために設計された専用の計算機であってもよいし、汎用の計算機であってもよい。
計算機1000は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。
プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field−Programmable Gate Array)などの種々のプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスク、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。
入出力インタフェース1100は、計算機1000と入出力デバイスとを接続するためのインタフェースである。例えば入出力インタフェース1100には、キーボードなどの入力装置や、ディスプレイ装置などの出力装置が接続される。
ネットワークインタフェース1120は、計算機1000を通信網に接続するためのインタフェースである。この通信網は、例えば LAN(Local Area Network)や WAN(Wide Area Network)である。ネットワークインタフェース1120が通信網に接続する方法は、無線接続であってもよいし、有線接続であってもよい。
ストレージデバイス1080は、情報処理装置2000の各機能構成部を実現するプログラムモジュールを記憶している。プロセッサ1040は、これら各プログラムモジュールをメモリ1060に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。
<処理の流れ>
図4は、実施形態1の情報処理装置2000によって実行される処理の流れを例示するフローチャートである。抽出部2020は、複数の通信履歴20から、類似する攻撃に関する通信を示す通信履歴20を抽出する(S102)。生成部2040は、抽出した各通信履歴20に示される位置情報を用いて攻撃情報を生成する(S104)。出力部2060は、攻撃情報を出力する(S106)。
図4は、実施形態1の情報処理装置2000によって実行される処理の流れを例示するフローチャートである。抽出部2020は、複数の通信履歴20から、類似する攻撃に関する通信を示す通信履歴20を抽出する(S102)。生成部2040は、抽出した各通信履歴20に示される位置情報を用いて攻撃情報を生成する(S104)。出力部2060は、攻撃情報を出力する(S106)。
<移動端末10について>
移動端末10は、その位置が移動し、なおかつネットワーク通信を行う任意のコンピュータである。例えば移動端末10は、自動車などの車両に搭載されたコンピュータである。
移動端末10は、その位置が移動し、なおかつネットワーク通信を行う任意のコンピュータである。例えば移動端末10は、自動車などの車両に搭載されたコンピュータである。
移動端末10は、WAN(Wide Area Network)を介したネットワーク通信を行う。ただし、移動端末10は、WAN に直接接続できるネットワークインタフェースを有していてもよいし、有していなくてもよい。後者の場合、移動端末10は、WAN に直接接続できるネットワークインタフェースを有する他の装置を介して、WAN に接続する。例えば、車両に搭載されているコンピュータが、車両の搭乗者が有するスマートフォンを介して WAN に接続する(いわゆるテザリングを利用する)ケースが考えられる。
<通信履歴20について>
図5は、通信履歴20の構成をテーブル形式で例示する図である。図5のテーブルをテーブル200と呼ぶ。テーブル200は、端末識別子202、通信日時204、位置情報206、及び通信イベント208を示す。テーブル200の各レコードは、1つの通信履歴を表している。
図5は、通信履歴20の構成をテーブル形式で例示する図である。図5のテーブルをテーブル200と呼ぶ。テーブル200は、端末識別子202、通信日時204、位置情報206、及び通信イベント208を示す。テーブル200の各レコードは、1つの通信履歴を表している。
端末識別子202は、通信元(データの送信元)である移動端末10の識別子を示す。すなわち、端末識別子202は、どの移動端末10が行ったネットワーク通信の履歴であるかを示す。移動端末10の識別子には、移動端末10を識別可能な任意の識別子を利用できる。例えば識別子には、UUID(Universally Unique Identifier)やネットワークアドレス(IP(Internet Protocol)アドレスや MAC(Media Access Control)アドレスなど)を利用できる。その他にも例えば、移動端末10が車両に搭載されている場合、移動端末10と搭載されている車両の識別子(例えば、ナンバープレートに記載されているナンバーや、車台番号)を、移動端末10の識別子として利用してもよい。
通信日時204は、通信が行われた日時を示す。位置情報206は、通信元の移動端末10に関する位置情報を示す。この位置情報は、例えば、移動端末10自身の位置情報や、その移動端末10が WAN への接続に利用したスマートフォンなどの位置情報である。端末の位置情報には、例えば、その端末に設けられた GPS(Global Positioning System)センサから得られる GPS 座標を利用できる。また、位置情報として、後述する中継装置の GPS 座標や識別子を示してもよい。
通信イベント208は、通信イベントを表す種々の情報を示す。図5において、通信イベント208は、中継情報210及びアドレス情報212を含んでいる。中継情報210は、通信元の移動端末10がネットワークに接続する際に利用した中継装置(Proxy サーバ、アクセスポイント、又は基地局など)の識別子を示す。中継装置の識別子には、例えば、移動端末10の識別子と同様のものを利用できる。また、アクセスポイントの識別子には、SSID を利用することもできる。
アドレス情報212は、例えば、通信元の移動端末10と通信先の装置それぞれについて、ネットワークアドレスやポート番号などの情報を示す。図5のアドレス情報212は、「通信元の IP アドレス:ポート番号 -> 通信先の IP アドレス:ポート番号」という形式で情報を示している。なお、端末識別子202として通信元の移動端末10のネットワークアドレスを利用している場合、通信元のアドレス情報は省略されてもよい。
情報処理装置2000は、通信履歴20が記憶されているデータベース(以下、通信履歴データベース)から、所望の通信履歴を抽出する。通信履歴データベースを構成するサーバは、通信履歴の収集を行う。このサーバは、情報処理装置2000であってもよいし、情報処理装置2000以外の装置であってもよい。
通信履歴の収集を行う方法は任意である。例えば各移動端末10が、定期的に、自身が行ったネットワーク通信の履歴をデータベースサーバへ送信する。
なお、通信履歴に含まれる一部の情報は、収集された情報を利用して後から生成されてもよい。例えば移動端末10の位置情報を、移動端末10の行動が記録された他の情報を利用して生成することが考えられる。例えば、ナンバープレートのナンバーを移動端末10の識別子として利用するとする。この場合、様々な場所に設置されている防犯カメラの映像を解析することで防犯カメラに撮像された各車両のナンバーを割り出すことにより、防犯カメラの位置を車両の位置情報として利用することができる。すなわち、或る車両のナンバーが防犯カメラに撮像された場合に、その撮像時点におけるその車両の位置情報として、その防犯カメラの識別子やその防犯カメラの GPS 座標などを利用することができる。
<通信履歴20の抽出:S102>
抽出部2020は、類似する攻撃に関する通信履歴20抽出する(S102)。言い換えれば、抽出部2020は、類似する攻撃を受けた1つ以上の移動端末10によって行われた通信履歴20を抽出する。類似する攻撃とは、例えば、攻撃者と攻撃の種類の少なくとも一方が共通する攻撃である。
抽出部2020は、類似する攻撃に関する通信履歴20抽出する(S102)。言い換えれば、抽出部2020は、類似する攻撃を受けた1つ以上の移動端末10によって行われた通信履歴20を抽出する。類似する攻撃とは、例えば、攻撃者と攻撃の種類の少なくとも一方が共通する攻撃である。
そのために、例えば、類似する攻撃を受けた移動端末10の通信履歴20を抽出するための抽出ルールを定めておく。抽出部2020は、抽出ルールに基づいて通信履歴データベースを検索することにより、類似する攻撃によって行われた通信履歴20を抽出する。例えば後述するように、悪意ある装置に接続させてしまう攻撃を共通で受けた複数の移動端末10は、同じ識別子を持つ装置が通信先となる。そのため、「通信先の装置の識別子が共通する」という抽出ルールにより、この攻撃を受けた複数の移動端末10の通信履歴20を抽出することができる。抽出ルールは、抽出部2020からアクセス可能な記憶装置に記憶させておく。
ここで、抽出部2020は、抽出ルールに合致する通信履歴20の量に応じて、通信履歴20の抽出を行うか否かを決定してもよい。例えば抽出部2020は、同じ抽出ルールに合致する通信履歴20の数が所定数以上である場合に、通信履歴20を抽出する。一方で、抽出部2020は、同じ抽出ルールに合致する通信履歴20の数が所定数未満である場合には、通信履歴20を抽出しない。
この際、抽出部2020は、対象とする通信日時を限定してもよい。例えば抽出部2020は、同じ抽出ルールに合致し、なおかつ通信日時が所定の期間内(例えば同じ日)である通信履歴20の数が所定数以上である場合に、通信履歴20の抽出を行う。また、抽出部2020は、通信履歴20の数の代わりに、通信履歴20の割合(通信履歴20全体の数に対する、抽出ルールに合致する通信履歴20の数の比)を用いてもよい。
なお、攻撃に利用された装置の識別子など、攻撃に関する具体的な情報が判明している場合、そのような具体的な情報を抽出ルールに含めてもよい。例えば、悪意ある装置に接続させてしまう攻撃について、接続先の装置の IP アドレスが判明している場合には、「通信先の装置の識別子=判明している IP アドレス」という抽出ルールを利用することができる。
ここで、抽出ルールには、攻撃の種類に応じた様々な情報を採用しうる。以下、攻撃の種類と共に、その種類の攻撃に関する抽出ルールについて例示する。
<<例1:中間者攻撃>>
例えば、移動端末10に対する攻撃として、中継装置による中間者攻撃が考えられる。中間者攻撃とは、互いに通信を行っている装置の間に介在する中間者によって行われる攻撃である。これにより、通信元の移動端末10や通信先の装置に対して誤ったデータが提供されるようにデータの改ざんを行ったり、通信元の移動端末10に対して送信されるデータにマルウエアを入れることで移動端末10にマルウエアを導入したりするといった攻撃を実現できる。
例えば、移動端末10に対する攻撃として、中継装置による中間者攻撃が考えられる。中間者攻撃とは、互いに通信を行っている装置の間に介在する中間者によって行われる攻撃である。これにより、通信元の移動端末10や通信先の装置に対して誤ったデータが提供されるようにデータの改ざんを行ったり、通信元の移動端末10に対して送信されるデータにマルウエアを入れることで移動端末10にマルウエアを導入したりするといった攻撃を実現できる。
複数の移動端末10が同様の中間者攻撃を受けた場合、これらの移動端末10は、共通の中継装置を利用したと考えられる。そこで例えば、抽出ルールとして、「中継装置の識別子が共通する」を定めておく。また、攻撃に利用された中継装置の識別子が判明している場合には、その識別子を抽出ルールに含めてもよい。
その他にも例えば、中間者攻撃を受ける場合において、当該中間者の識別子が、携帯端末10から送信されるパケットの宛先になる(すなわち、中間者が通信先の装置となる)ケースもある。例えば、移動端末10が Proxy サーバを経由してネットワークにアクセスする場合、移動端末10から送信されるパケットの宛先 IP アドレスは、Proxy サーバの IP アドレスとなる。そのため、Proxy サーバによって中間者攻撃が行われた場合の通信履歴20は、通信先の装置の識別子に、中間者である Proxy サーバの識別子を示す。また、携帯端末10が特定の装置との間に VPN(Virtual Private Network)を構築して通信を行う場合、携帯端末10とその装置は、VPN サーバを経由してデータをやりとりする。そのため、携帯端末10から送信されるパケットの宛先 IP アドレスは、VPN サーバの IP アドレスとなる。
上述のケースにおいて複数の移動端末10が同様の中間者攻撃を受けた場合、これらの移動端末10は、通信先の装置が共通となると考えられる。そこで例えば、抽出ルールとして、「通信先の装置の識別子が共通する」を定めておく。また、攻撃に利用された Proxy サーバや VPN サーバの識別子が判明している場合には、その識別子を抽出ルールに含めてもよい。
<<例2:DNS Hijack>>
その他にも例えば、移動端末10に対する攻撃として、「DNS Hijack を利用することで移動端末10の通信先を本来意図した通信先とは異なる悪意ある装置に変更することで、移動端末10を悪意ある装置に接続させてしまう」という攻撃が考えられる。これにより、移動端末10に対して誤った情報を提供したり、移動端末10に対してマルウエアを送信することで移動端末10にマルウエアを導入したりするといった攻撃を実現できる。
その他にも例えば、移動端末10に対する攻撃として、「DNS Hijack を利用することで移動端末10の通信先を本来意図した通信先とは異なる悪意ある装置に変更することで、移動端末10を悪意ある装置に接続させてしまう」という攻撃が考えられる。これにより、移動端末10に対して誤った情報を提供したり、移動端末10に対してマルウエアを送信することで移動端末10にマルウエアを導入したりするといった攻撃を実現できる。
複数の移動端末10が同様の DNS Hijack による攻撃を受けた場合、例えばこれらの移動端末10は、同じ装置を通信先にしていたと考えられる。そこで例えば、抽出ルールとして、「通信先の装置の識別子が共通する」を定めておく。また、攻撃に利用された装置の識別子が判明していれば、その識別子を抽出ルールに含めてもよい。
その他にも例えば、DNS Hijack では、複数の移動端末10によって名前解決を要求したドメインが互いに異なっている場合でも、DNS サーバが同じ不正サイトの IP アドレスを返すことが考えられる。そのため、通信先にかかわらず、利用した DNS サーバが同じであれば、同じ攻撃を受ける可能性がある。
そこで例えば、通信履歴20を、名前解決に利用した DNS サーバの識別子が含まれるように構成しておく。そして、抽出ルールとして、「利用した DNS サーバの識別子が共通する」を定めておく。また、攻撃に利用された DNS サーバの識別子が判明していれば、その識別子を抽出ルールに含めてもよい。
また、移動端末10によって利用される DNS サーバが、アクセスポイントや基地局などの中継装置で予め設定されているものであるケースもある。そのため、同じアクセスポイントや基地局を利用した移動端末10が共通の DNS Hijack の被害に遭うことがある。
そこで例えば、抽出ルールとして、「中継装置の識別子が共通する」を定めておく。また、攻撃に利用された中継装置の識別子が判明していれば、その識別子を抽出ルールに含めておく。
<<例3:移動端末10を入手した他者による攻撃>>
移動端末10や移動端末10が設けられたコンピュータシステム(車両など)などを他者が一時的に取得する(例えば預かる)ことがありうる。例えば移動端末10が車両に設けられている場合、車両の点検や修理などを依頼するため、車両を他者(ディーラーや工場など)に預けることが考えられる。このようなケースでは、当該他者が、マルウエアを移動端末10に追加したり、不正な装置をシステムに追加して移動端末10に接続させたりするといった攻撃が考えられる。
移動端末10や移動端末10が設けられたコンピュータシステム(車両など)などを他者が一時的に取得する(例えば預かる)ことがありうる。例えば移動端末10が車両に設けられている場合、車両の点検や修理などを依頼するため、車両を他者(ディーラーや工場など)に預けることが考えられる。このようなケースでは、当該他者が、マルウエアを移動端末10に追加したり、不正な装置をシステムに追加して移動端末10に接続させたりするといった攻撃が考えられる。
このような攻撃を受けると、移動端末10のソフトウエア構成や周辺機器の構成を表す構成情報が変更される。そして、このような構成情報は、ネットワーク上で管理されることがある。そこで、構成情報の変更を表す通信履歴20を、攻撃を受けた移動端末10による通信履歴20として抽出することができる。
ここで、構成情報の変更を表す各通信は、構成情報を管理する管理サーバを共通の通信先とすると考えられる。また、ペイロードの内容として、攻撃によって変更される共通の構成を示すと考えられる。
そこで、抽出ルールとして、「通信先の装置の識別子が共通する」や「通信のペイロードの内容が共通する」を定めておく。また、構成情報を管理するサーバの識別子や、構成情報を更新するための通信のペイロードに共通で含まれるデータが判明している場合には、これらを抽出ルールに含めてもよい。
<<例4:移動端末10が物理的に接続した装置によるマルウエアの導入>>
移動端末10を外部デバイスに物理的に接続させることがある。例えば、移動端末10を充電するために、店舗などに用意されている充電器に対して移動端末10を接続することがある。この際、移動端末10が、充電器に対してデータ通信が可能な態様で接続されることがある。例えば充電器が USB インタフェースを介して電力を供給するものである場合、移動端末10と充電器が USB ケーブルを介して接続される。この充電器が悪意ある装置である場合、この充電器から移動端末10に対してマルウエアを導入されてしまう恐れがある。この場合、同じ充電器に接続された複数の移動端末10が、同じ攻撃を受けることになる。
移動端末10を外部デバイスに物理的に接続させることがある。例えば、移動端末10を充電するために、店舗などに用意されている充電器に対して移動端末10を接続することがある。この際、移動端末10が、充電器に対してデータ通信が可能な態様で接続されることがある。例えば充電器が USB インタフェースを介して電力を供給するものである場合、移動端末10と充電器が USB ケーブルを介して接続される。この充電器が悪意ある装置である場合、この充電器から移動端末10に対してマルウエアを導入されてしまう恐れがある。この場合、同じ充電器に接続された複数の移動端末10が、同じ攻撃を受けることになる。
ここで、同じ攻撃を受けた移動端末10には、同じマルウエアが導入されると考えられる。そして、このマルウエアがネットワーク通信を行う場合、同じ攻撃を受けた移動端末10が行う通信に共通項が見られるといえる。共通項としては、例えば、通信先の装置の識別子や、通信先とやりとりするデータの内容(すなわち、ペイロードの内容)である。
そこで抽出ルールとして、「通信先の装置の識別子が共通する」や「ペイロードの内容が共通する」などを定めておく。また、上述した攻撃によって導入されたマルウエアが通信先とする装置の識別子や、そのマルウエアが通信先の装置とやりとりするペイロードの内容が判明している場合、これらを抽出ルールに含めてもよい。
<<攻撃による被害について>>
前述した種々の攻撃による被害としては、例えば、マルウエアを移動端末10に入れられてしまうという被害が考えられる。また、マルウエアを移動端末10に入れられてしまうことによって起こる具体的な被害としては、秘密情報の漏洩やシステム障害などが考えられる。漏洩されてしまう秘密情報としては、例えば、秘密鍵、クレジットカード情報、パスワード、個人情報、又は位置情報などがある。また、システム障害としては、例えば、システム上のデータを暗号化されてしまう被害(例えば、ランサムウエア)や、車両などの機器の制御系システムが行う処理にマルウエアが介在することによって生じる種々の制御障害などがある。
前述した種々の攻撃による被害としては、例えば、マルウエアを移動端末10に入れられてしまうという被害が考えられる。また、マルウエアを移動端末10に入れられてしまうことによって起こる具体的な被害としては、秘密情報の漏洩やシステム障害などが考えられる。漏洩されてしまう秘密情報としては、例えば、秘密鍵、クレジットカード情報、パスワード、個人情報、又は位置情報などがある。また、システム障害としては、例えば、システム上のデータを暗号化されてしまう被害(例えば、ランサムウエア)や、車両などの機器の制御系システムが行う処理にマルウエアが介在することによって生じる種々の制御障害などがある。
攻撃による被害の別の例として、通信データの改ざんが考えられる。通信データの改ざんによる具体的な被害としては、例えば、誤った情報を移動端末10に提供することにより、ユーザの混乱を引き起こすことが考えられる。例えば、カーナビゲーションシステムに対して誤った位置情報が渡されると、誤ったナビゲーションが行われる恐れがある。その他にも例えば、誤ったパラメータを制御系システムに渡すことで、システム障害を引き起こすことも考えられる。
<攻撃情報の生成:S104>
生成部2040は攻撃情報を生成する(S104)。攻撃情報は、例えば、移動端末10に対する将来の攻撃に関する情報である。例えば生成部2040は、抽出部2020によって抽出された通信履歴が示す位置情報を用いて、新たに攻撃が行われる場所を推定し、推定した場所を示す攻撃情報を生成する。この攻撃情報を移動端末10へ通知することにより、移動端末10がその場所を避けて移動できるようにすることで、新たな攻撃被害を減らすことができる。
生成部2040は攻撃情報を生成する(S104)。攻撃情報は、例えば、移動端末10に対する将来の攻撃に関する情報である。例えば生成部2040は、抽出部2020によって抽出された通信履歴が示す位置情報を用いて、新たに攻撃が行われる場所を推定し、推定した場所を示す攻撃情報を生成する。この攻撃情報を移動端末10へ通知することにより、移動端末10がその場所を避けて移動できるようにすることで、新たな攻撃被害を減らすことができる。
ここで、攻撃が行われる場所を特定する情報としては、様々なものを利用できる。例えば、その場所の名称、住所、又は GPS 座標などで特定することができる。その他にも例えば、その場所に設置されている無線通信のアクセスポイントの識別子(SSID など)を、その場所を特定する情報として利用してもよい。
生成部2040は、抽出された通信履歴20を用いて、新たに攻撃が行われる場所を推定する。具体的には、生成部2040は、各通信履歴20が示す位置情報を用いて、位置情報の時間変化を表す時系列データを生成する。そして生成部2040は、この時系列データを用いて攻撃場所の時間変化を特定し、その時間変化に基づいて、新たな攻撃場所を推定する。
例えば位置情報の時系列データにおいて、位置情報の変化が小さい(例えば、最も離れている位置の間の距離が閾値以下である)とする。この場合、同じ場所で攻撃が継続していると考えられる。そこで例えば、生成部2040は、抽出された各通信履歴20の位置情報によって特定される場所を、新たに攻撃が行われる場所として推定する。例えば、生成部2040は、各通信履歴20の位置情報が示す GPS 座標の平均を求め、その平均を表す GPS 座標を、新たに攻撃が行われる場所を表す情報として算出する。その他にも例えば、生成部2040は、算出した GPS 座標に対応する場所の名称や住所などを、新たに攻撃が行われる場所を表す情報としてもよい。
図6は、抽出した通信履歴20から得た位置情報の時系列データにおいて、位置情報の変化が小さいケースを例示する図である。例えば図6は、地図を含む攻撃情報を表している。十字の印は、抽出部2020によって抽出された通信履歴20に示される位置情報を表す。このケースでは位置情報の時間変化が小さいため、生成部2040は、各位置情報を包含するエリアを新たに攻撃が行われる場所として推定し、その場所を点線で表す攻撃情報を生成している。
一方、位置情報の時系列データにおいて、位置情報の変化が大きい(例えば、最も離れている位置の間の距離が閾値より大きい)とする。この場合、生成部2040は、位置情報の時間変化に基づいて攻撃場所の移動経路を推定し、その移動経路上にある各位置を、将来の攻撃場所として推定する。ここで、或る物体の位置情報の時間変化を用いて、その物体の将来の移動経路を予測する技術には、既存の技術を利用できる。例えばこの予測には、地図情報が利用される。地図情報は、情報処理装置2000からアクセス可能な記憶装置に記憶させておいてもよいし、地図情報を提供している任意のサーバから取得されてもよい。
図7は、抽出した通信履歴20から得た位置情報の時系列データにおいて、位置情報の変化が大きいケースを例示する図である。図7から、位置情報が道路30に沿って右方向へ移動していることが分かる。そこで生成部2040は、新たな攻撃が行われる場所として、道路30に沿って右方向に移動した場所を推定し、その場所を地図上に点線で示した攻撃情報を生成している。
また、生成部2040は、各移動端末10の移動経路と前述した時系列データとを比較し、前記時系列データと類似する経路で移動している移動端末10を特定してもよい。前述した時系列データと類似する経路で移動している移動端末10は、攻撃者の移動端末10である蓋然性が高い。そこで生成部2040は、攻撃者であると推定される移動端末10を示す情報として、上記特定した移動端末10の識別子を、攻撃情報に含める。なお、移動端末10の移動経路は、その移動端末10の位置情報の時系列変化から特定することができる。
<<攻撃情報の生成に利用する通信履歴の絞り込み>>
生成部2040は、抽出部2020が抽出した通信履歴20の全てではなく、その一部を利用して、攻撃情報を生成してもよい。例えば生成部2040は、抽出した通信履歴20の中から、通信日時が他の通信履歴20と大きく異なっている通信履歴20を除外することで、攻撃情報の生成に利用する通信履歴20を絞り込む。より具体的な例としては、生成部2040は、抽出された通信履歴20が示す通信日時の平均μと標準偏差σを算出し、通信日時がμ±σの範囲に含まれる通信履歴20のみを利用して、攻撃情報を生成する。
生成部2040は、抽出部2020が抽出した通信履歴20の全てではなく、その一部を利用して、攻撃情報を生成してもよい。例えば生成部2040は、抽出した通信履歴20の中から、通信日時が他の通信履歴20と大きく異なっている通信履歴20を除外することで、攻撃情報の生成に利用する通信履歴20を絞り込む。より具体的な例としては、生成部2040は、抽出された通信履歴20が示す通信日時の平均μと標準偏差σを算出し、通信日時がμ±σの範囲に含まれる通信履歴20のみを利用して、攻撃情報を生成する。
また、生成部2040は、上述した方法で抽出した通信履歴20についてさらにグループ分けを行い、グループごとに攻撃情報を生成してもよい。例えば生成部2040は、抽出した通信履歴20を通信日時に基づいてクラスタリングし、クラスタごとに攻撃情報を生成する。なお、クラスタリングの手法には、既存の種々の手法を利用することができる。
<攻撃情報の出力:S106>
出力部2060は攻撃情報を出力する(S106)。以下、攻撃情報の内容や出力先などについて説明する。
出力部2060は攻撃情報を出力する(S106)。以下、攻撃情報の内容や出力先などについて説明する。
<<攻撃情報の内容>>
例えば出力部2060は、新たに攻撃が行われる場所に関する情報を含む攻撃情報を生成する。新たに攻撃が行われる場所を特定する情報や、その場所の特定方法については、前述した通りである。
例えば出力部2060は、新たに攻撃が行われる場所に関する情報を含む攻撃情報を生成する。新たに攻撃が行われる場所を特定する情報や、その場所の特定方法については、前述した通りである。
なお、新たに攻撃が行われる場所に関する情報は、人が理解しやすい形式で表されることが好適である。例えば図6や図7で示した攻撃情報の様に、その場所を表す情報(例えば図形やアイコンなど)が重畳された地図などを利用することが好適である。こうすることで、移動端末10のユーザが、新たに攻撃が行われる場所を容易に把握できる。
その他にも例えば、出力部2060は、既に攻撃が行われた場所の履歴を示す攻撃情報を生成してもよい。例えばこの情報は、攻撃が行われた場所の移動経路(抽出部2020によって抽出された各通信履歴20の位置情報の時系列データ)を、その移動方向が分かる態様で地図上に示した情報である。このような情報を移動端末10のユーザが見れば、ユーザ自身で将来の攻撃場所を或る程度予測できる。
<<出力先>>
例えば出力部2060は、移動端末10に対して攻撃情報を送信する。宛先とする移動端末10は、宛先として指定可能な移動端末10の全てであってもよいし、一部であってもよい。後者の場合、出力部2060は、新たに攻撃を受ける蓋然性が高い移動端末10を宛先とする。新たに攻撃を受ける蓋然性が高い移動端末10は、生成部2040によって推定された新たに攻撃が行われる場所に位置する移動端末10、又はその場所に向かっている移動端末10である。ここで、或る場所に向かっている移動端末10には、その場所を目的地として移動している移動端末10だけでなく、その場所を通過する移動端末10も含めることができる。
例えば出力部2060は、移動端末10に対して攻撃情報を送信する。宛先とする移動端末10は、宛先として指定可能な移動端末10の全てであってもよいし、一部であってもよい。後者の場合、出力部2060は、新たに攻撃を受ける蓋然性が高い移動端末10を宛先とする。新たに攻撃を受ける蓋然性が高い移動端末10は、生成部2040によって推定された新たに攻撃が行われる場所に位置する移動端末10、又はその場所に向かっている移動端末10である。ここで、或る場所に向かっている移動端末10には、その場所を目的地として移動している移動端末10だけでなく、その場所を通過する移動端末10も含めることができる。
一部の移動端末10を宛先とする場合、情報処理装置2000が各移動端末10の位置を把握できる必要がある。そこで例えば、各移動端末10の位置情報が通信履歴20と同様に収集され、情報処理装置2000がアクセス可能な記憶装置に記憶されるようにする。例えば位置情報は、通信履歴と共に収集・管理されるようにする。
また、新たに攻撃が行われる場所に対して或る移動端末10が向かっているか否かを判定するためには、その移動端末10の移動経路を把握する必要がある。例えば出力部2060は、各移動端末10から得られる位置情報の時系列データを利用して、各移動端末10の将来の移動経路を推定することにより、各移動端末10が、新たに攻撃が行われる場所に向かっているか否かを判定する。
その他にも例えば、移動端末10がカーナビゲーションシステムを利用している場合、出力部2060は、カーナビゲーションシステムに設定された目的地情報や、カーナビゲーションシステムが提示している推奨移動経路の情報に基づいて、移動端末の移動経路を把握してもよい。この場合、これらカーナビゲーションシステムで扱われる情報も、移動端末10の位置情報と同様に収集・管理されるようにする。
移動端末10に対して送信された攻撃情報は、移動端末10によって受信された後、移動端末10のユーザが認識できるように出力されることが好適である。例えば攻撃情報は、移動端末10に設けられたディスプレイ装置(例えば、カーナビゲーションシステムが利用するディスプレイ装置)に表示されるようにする。
その他にも例えば、カーナビゲーションシステムを実現する装置に対して攻撃情報を出力し、攻撃情報が示す将来の攻撃場所に基づいて、カーナビゲーションシステムが提供する推奨移動経路を変更するようにしてもよい。具体的には、カーナビゲーションシステムが、攻撃情報を用いて、将来の攻撃場所を避けて目的地へ到達するための新たな移動経路を算出し、算出した新たな移動経路を提示するようにする。
その他にも例えば、移動端末10が自動運転車に設けられている場合、攻撃情報を用いて、自動運転車の移動経路を変更するようにしてもよい。その方法は、カーナビゲーションシステムが提供する推奨移動経路を変更する方法と同様である。
攻撃情報の出力先は、移動端末10以外であってもよい。例えば出力部2060は、情報処理装置2000からアクセス可能な任意の記憶装置に攻撃情報を記憶させる。その他にも例えば、出力部2060は、情報処理装置2000に接続されているディスプレイ装置に、攻撃情報を表示させてもよい。こうすることで、情報処理装置2000のユーザ(例えば情報処理装置2000の管理者やセキュリティアナリストなど)が、攻撃に関する情報を把握することができる。
その他にも例えば、攻撃情報は、Web サーバなどを介して公開されてもよい。こうすることで、様々な人が攻撃に関する情報を把握できる。なお、情報処理装置2000が Web サーバとして機能してもよいし、別途 Web サーバ用のマシンを用意してもよい。後者の場合、出力部2060は、別途用意したサーバマシンに対して攻撃情報を送信したり、そのサーバマシンからアクセス可能な記憶装置に攻撃情報を記憶させたりする。
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記各実施形態の組み合わせ、又は上記以外の様々な構成を採用することもできる。
端末識別子202は、通信元(データの送信元)である移動端末10の識別子を示す。すなわち、端末識別子202は、どの移動端末10が行ったネットワーク通信の履歴であるかを示す。移動端末10の識別子には、移動端末10を識別可能な任意の識別子を利用できる。例えば識別子には、UUID(Universally Unique Identifier)やネットワークアドレス(IP(Internet Protocol)アドレスや MAC(Media Access Control)アドレスなど)を利用できる。その他にも例えば、移動端末10が車両に搭載されている場合、移動端末10が搭載されている車両の識別子(例えば、ナンバープレートに記載されているナンバーや、車台番号)を、移動端末10の識別子として利用してもよい。
その他にも例えば、中間者攻撃を受ける場合において、当該中間者の識別子が、移動端末10から送信されるパケットの宛先になる(すなわち、中間者が通信先の装置となる)ケースもある。例えば、移動端末10が Proxy サーバを経由してネットワークにアクセスする場合、移動端末10から送信されるパケットの宛先 IP アドレスは、Proxy サーバの IP アドレスとなる。そのため、Proxy サーバによって中間者攻撃が行われた場合の通信履歴20は、通信先の装置の識別子に、中間者である Proxy サーバの識別子を示す。また、移動端末10が特定の装置との間に VPN(Virtual Private Network)を構築して通信を行う場合、移動端末10とその装置は、VPN サーバを経由してデータをやりとりする。そのため、移動端末10から送信されるパケットの宛先 IP アドレスは、VPN サーバの IP アドレスとなる。
<攻撃情報の生成:S104>
生成部2040は攻撃情報を生成する(S104)。攻撃情報は、例えば、移動端末10に対する将来の攻撃に関する情報である。例えば生成部2040は、抽出部2020によって抽出された通信履歴20が示す位置情報を用いて、新たに攻撃が行われる場所を推定し、推定した場所を示す攻撃情報を生成する。この攻撃情報を移動端末10へ通知することにより、移動端末10がその場所を避けて移動できるようにすることで、新たな攻撃被害を減らすことができる。
生成部2040は攻撃情報を生成する(S104)。攻撃情報は、例えば、移動端末10に対する将来の攻撃に関する情報である。例えば生成部2040は、抽出部2020によって抽出された通信履歴20が示す位置情報を用いて、新たに攻撃が行われる場所を推定し、推定した場所を示す攻撃情報を生成する。この攻撃情報を移動端末10へ通知することにより、移動端末10がその場所を避けて移動できるようにすることで、新たな攻撃被害を減らすことができる。
<<攻撃情報の内容>>
例えば出力部2060は、新たに攻撃が行われる場所に関する情報を含む攻撃情報を出力する。新たに攻撃が行われる場所を特定する情報や、その場所の特定方法については、前述した通りである。
例えば出力部2060は、新たに攻撃が行われる場所に関する情報を含む攻撃情報を出力する。新たに攻撃が行われる場所を特定する情報や、その場所の特定方法については、前述した通りである。
その他にも例えば、出力部2060は、既に攻撃が行われた場所の履歴を示す攻撃情報を出力してもよい。例えばこの情報は、攻撃が行われた場所の移動経路(抽出部2020によって抽出された各通信履歴20の位置情報の時系列データ)を、その移動方向が分かる態様で地図上に示した情報である。このような情報を移動端末10のユーザが見れば、ユーザ自身で将来の攻撃場所を或る程度予測できる。
一部の移動端末10を宛先とする場合、情報処理装置2000が各移動端末10の位置を把握できる必要がある。そこで例えば、各移動端末10の位置情報が通信履歴20と同様に収集され、情報処理装置2000がアクセス可能な記憶装置に記憶されるようにする。例えば位置情報は、通信履歴20と共に収集・管理されるようにする。
その他にも例えば、移動端末10がカーナビゲーションシステムを利用している場合、出力部2060は、カーナビゲーションシステムに設定された目的地情報や、カーナビゲーションシステムが提示している推奨移動経路の情報に基づいて、移動端末10の移動経路を把握してもよい。この場合、これらカーナビゲーションシステムで扱われる情報も、移動端末10の位置情報と同様に収集・管理されるようにする。
Claims (19)
- 複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出部を有し、
前記通信履歴は、前記移動端末の位置情報を含んでおり、
各前記抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成部と、
前記生成した攻撃情報を出力する出力部と、を有する情報処理装置。 - 前記抽出部は、類似する攻撃に関する通信を示す通信履歴を特定する抽出ルールを取得し、前記抽出ルールに合致する通信履歴を抽出する、請求項1に記載の情報処理装置。
- 前記通信履歴は、通信先の端末の識別子、通信に利用された中継装置の識別子、通信に利用された DNS サーバの識別子、及び通信されたデータの内容のいずれか1つ以上をさらに示し、
前記抽出ルールは、前記通信履歴が示す前記通信先の端末の識別子、前記中継装置の識別子、前記 DNS サーバの識別子、及び前記通信されたデータの内容のいずれか1つ以上に関するルールを示す、請求項2に記載の情報処理装置。 - 前記生成部は、各前記抽出した通信履歴が示す位置情報を用いて新たに攻撃が行われる場所を推定し、前記推定した場所を示す前記攻撃情報を生成する、請求項1乃至3いずれか一項に記載の情報処理装置。
- 前記場所は、その場所に位置する移動端末によって利用されるアクセスポイントの識別子によって特定される、請求項4に記載の情報処理装置。
- 前記出力部は、前記推定した場所の近くに位置する移動端末、及び前記推定した場所に向かっている移動端末の少なくとも一方に、前記攻撃情報を出力する、請求項5に記載の情報処理装置。
- 前記通信履歴は、通信が行われた時点である通信時点を示しており、
前記生成部は、各前記抽出した通信履歴から得られる位置情報と通信時点の組みを用いて、位置情報の時系列変化を表す経路情報を含む前記攻撃情報を生成する、請求項1乃至6いずれか一項に記載の情報処理装置。 - 前記生成部は、前記通信履歴を用いて、前記経路情報が示す経路に類似する経路で移動した移動端末を特定し、前記特定した移動端末の識別子を含む前記攻撃情報を生成する、請求項7に記載の情報処理装置。
- 前記移動端末は、車両に搭載されているか、又は車両と通信可能に接続されている、請求項1乃至8いずれか一項に記載の情報処理装置。
- コンピュータによって実行される制御方法であって、
複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出ステップを有し、
前記通信履歴は、前記移動端末の位置情報を含んでおり、
各前記抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成ステップと、
前記生成した攻撃情報を出力する出力ステップと、を有する制御方法。 - 前記抽出ステップにおいて、類似する攻撃に関する通信を示す通信履歴を特定する抽出ルールを取得し、前記抽出ルールに合致する通信履歴を抽出する、請求項10に記載の制御方法。
- 前記通信履歴は、通信先の端末の識別子、通信に利用された中継装置の識別子、通信に利用された DNS サーバの識別子、及び通信されたデータの内容のいずれか1つ以上をさらに示し、
前記抽出ルールは、前記通信履歴が示す前記通信先の端末の識別子、前記中継装置の識別子、前記 DNS サーバの識別子、及び前記通信されたデータの内容のいずれか1つ以上に関するルールを示す、請求項11に記載の制御方法。 - 前記生成ステップにおいて、各前記抽出した通信履歴が示す位置情報を用いて新たに攻撃が行われる場所を推定し、前記推定した場所を示す前記攻撃情報を生成する、請求項10乃至12いずれか一項に記載の制御方法。
- 前記場所は、その場所に位置する移動端末によって利用されるアクセスポイントの識別子によって特定される、請求項13に記載の制御方法。
- 前記出力ステップにおいて、前記推定した場所の近くに位置する移動端末、及び前記推定した場所に向かっている移動端末の少なくとも一方に、前記攻撃情報を出力する、請求項14に記載の制御方法。
- 前記通信履歴は、通信が行われた時点である通信時点を示しており、
前記生成ステップにおいて、各前記抽出した通信履歴から得られる位置情報と通信時点の組みを用いて、位置情報の時系列変化を表す経路情報を含む前記攻撃情報を生成する、請求項10乃至15いずれか一項に記載の制御方法。 - 前記生成ステップにおいて、前記通信履歴を用いて、前記経路情報が示す経路に類似する経路で移動した移動端末を特定し、前記特定した移動端末の識別子を含む前記攻撃情報を生成する、請求項16に記載の制御方法。
- 前記移動端末は、車両に搭載されているか、又は車両と通信可能に接続されている、請求項10乃至17いずれか一項に記載の制御方法。
- 請求項10乃至18いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/035744 WO2020065776A1 (ja) | 2018-09-26 | 2018-09-26 | 情報処理装置、制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020065776A1 true JPWO2020065776A1 (ja) | 2021-08-30 |
| JP7276347B2 JP7276347B2 (ja) | 2023-05-18 |
Family
ID=69950422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020547674A Active JP7276347B2 (ja) | 2018-09-26 | 2018-09-26 | 情報処理装置、制御方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220038472A1 (ja) |
| JP (1) | JP7276347B2 (ja) |
| WO (1) | WO2020065776A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7111249B2 (ja) * | 2019-03-28 | 2022-08-02 | 日本電気株式会社 | 分析システム、方法およびプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007109247A (ja) * | 2006-11-20 | 2007-04-26 | Seiko Epson Corp | ワームの感染防止システム |
| JP2013168763A (ja) * | 2012-02-15 | 2013-08-29 | Hitachi Ltd | セキュリティ監視システムおよびセキュリティ監視方法 |
| JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
| JP2017033186A (ja) * | 2015-07-30 | 2017-02-09 | トヨタ自動車株式会社 | 攻撃検知システムおよび攻撃検知方法 |
| JP2018097805A (ja) * | 2016-12-16 | 2018-06-21 | トヨタ自動車株式会社 | 攻撃通知システムおよび攻撃通知方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015059759A (ja) * | 2013-09-17 | 2015-03-30 | 日本電気株式会社 | 位置情報復元装置、位置情報復元システム、位置情報復元方法および位置情報復元プログラム |
| JP6701030B2 (ja) * | 2016-08-25 | 2020-05-27 | クラリオン株式会社 | 車載装置、ログ収集システム |
| JP6656211B2 (ja) * | 2017-08-02 | 2020-03-04 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
-
2018
- 2018-09-26 JP JP2020547674A patent/JP7276347B2/ja active Active
- 2018-09-26 US US17/277,379 patent/US20220038472A1/en active Pending
- 2018-09-26 WO PCT/JP2018/035744 patent/WO2020065776A1/ja active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007109247A (ja) * | 2006-11-20 | 2007-04-26 | Seiko Epson Corp | ワームの感染防止システム |
| JP2013168763A (ja) * | 2012-02-15 | 2013-08-29 | Hitachi Ltd | セキュリティ監視システムおよびセキュリティ監視方法 |
| JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
| JP2017033186A (ja) * | 2015-07-30 | 2017-02-09 | トヨタ自動車株式会社 | 攻撃検知システムおよび攻撃検知方法 |
| JP2018097805A (ja) * | 2016-12-16 | 2018-06-21 | トヨタ自動車株式会社 | 攻撃通知システムおよび攻撃通知方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7276347B2 (ja) | 2023-05-18 |
| US20220038472A1 (en) | 2022-02-03 |
| WO2020065776A1 (ja) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kamel et al. | Simulation framework for misbehavior detection in vehicular networks | |
| US9450752B2 (en) | Method and apparatus for providing service provider-controlled communication security | |
| US9697355B1 (en) | Cyber security for physical systems | |
| CN107438989B (zh) | 无人载具之间的认证消息 | |
| KR102150742B1 (ko) | 자동적인 거짓 디지털 인증서 검출 기법 | |
| JP7056752B2 (ja) | 分析装置、分析システム、分析方法及びプログラム | |
| JP2021523490A (ja) | 信頼できるコンテキスチャルコンテンツ | |
| EP3337706A1 (en) | Automotive activity monitor | |
| US8868289B2 (en) | Vehicle location navigation system | |
| US20190043341A1 (en) | Sensor aggregation and virtual sensors | |
| JP6669138B2 (ja) | 攻撃監視システムおよび攻撃監視方法 | |
| CN103891331A (zh) | 移动风险评估 | |
| JP7103427B2 (ja) | 情報処理装置、データ分析方法及びプログラム | |
| US20150341241A1 (en) | Method and apparatus for specifying machine identifiers for machine-to-machine platform support | |
| EP3429158A1 (en) | Secure communication method and apparatus for vehicle, vehicle multimedia system, and vehicle | |
| EP3072077B1 (en) | Context-aware proactive threat management system | |
| JP6233041B2 (ja) | 無線通信装置および無線通信方法 | |
| JP7276347B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| KR102006080B1 (ko) | 블랙박스 영상 제공 방법 및 이를 수행하는 장치들 | |
| KR102293397B1 (ko) | 자율협력주행 시스템 및 그것의 보안관제정보 생성 방법 | |
| US20220032950A1 (en) | Execution Sequence Integrity Parameter Monitoring System | |
| US10404697B1 (en) | Systems and methods for using vehicles as information sources for knowledge-based authentication | |
| Mosenia et al. | ProCMotive: bringing programmability and connectivity into isolated vehicles | |
| KR101580816B1 (ko) | 센서 노드 탐지 시스템, 그것의 센서 노드 탐지 방법 | |
| CN117041982B (zh) | 一种空口传输数据的正确性检测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210317 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220517 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220719 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230417 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7276347 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |