WO2004084063A1 - ウィルスの感染を阻止する方法およびシステム - Google Patents

Abstract

　ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムが開示される。ネットワーク（１）を介してアクセスが可能なおとり手段（１３，１４，１５）が記憶装置（１２）上に設けられる。おとり手段（１３，１４，１５）へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段（１６）と、ウィルス送信元コンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段（１７）と、を備える。ウィルスに感染しているコンピュータ（５）を特定し、管理者がウィルスを除去する等の対策を終了するまでの間、監視コンピュータ（１０）のコンピュータ攻撃手段（１７）による攻撃を行う。

Description

明 ウィルスの感染を阻止する方法およびシステム

技術分野 本発明は、 ネッ 1、ワークに接続されたコンピュータがウィルスに感染 したとき、 感染源を突き止めて、 同じネッ トワークに接続された他のコ 糸田

ンピュータへの感染を阻止する技術に関する。

背景技術 コンピュータゥイノレスには、 サーバ等のコンピュータの共有フオノレダ に侵入して、 所定のファイルやプログラムにアクセスをし、 それを破壌 したり、 誤動作させるよ うに書き換えたりするものがある。 ウィルスの 存在は、 所定のプログラムを使って検出することができる。 このプログ ラムは、 ウィルスのフアイノレ名、 ウィルスの行動パタン等から、 ウイノレ スであると判断をする。 ウィルスを検出すると、 コンピュータの管理者 は必要な処置を施し、 ウィルスを除去する。 ウィルスを検出してヮクチ ンを配布する技術は、 各種紹介されている （特許文献 1 ： 特開 2 0 0 2 - 2 5 9 1 4 9号公報参照） 。

ところで、 上記のよ うな従来の技術には、 次のよ うな解決すべき課題 があった。

ウィルスを検出したときは、 すみやかにその存在場所を突き止めて、 ネッ トワークから切離し、 ヮクチンを用いて駆除するという処理をしな ければならない。 しかしながら、 ウィルスを検出してから対策処理を完 了するまでの間に時間がかかる場合がある。 時間がかかる と、 次々 と被 害が拡大して、 ネッ トワークに重大な被害を及ぼす恐れもある。

また、 ネッ トワーク上の別のコンピュータに潜んで、 ネッ トワークを 通じてフ ァイルアクセスをしてく るよ うなウィルスは、 活動を開始する まで検出が困難なことがある。 そのウィルスが活動を開始し、 ウィルス を検出したと しても、 ウィルスの潜んでいるコンピュータを調べて、 そ のウイルスを駆除するまで時間がかかると、 被害が拡大するという問題 があった。 発明の開示 本発明は、 ネッ トワークに接続されたコンピュータがウィルスに感染 していることを突き止めると共に、 同じネッ トワークに接続された他の コンピュータへの被害の拡大を阻止する技術を提供することを目的とす る。

本発明の第 1 の態様によれば、

ネッ トワークでのウィルスの感染を検出して、 ウィルスの感染を阻止 する方法であって、

ネッ トワークを介してアクセス可能なおと り を、 ウィルスの侵入を監 視するコ ンピュータ上に設けて、 ネッ トワークを介して前記おと り に対 するアクセスを受け付けて、 通信情報を取得すると共に、 ウィルスの侵 入を検出し、 そのおと りにウィルスが侵入したとき、 対応して取得した 通信情報に基づいて、 ウィルスの送信元となっているコ ンピュータを検 出し、 ウィルスの送信元となっているコ ンピュータに対して、 ネッ トヮ ークを介してウィルスの活動を抑制するウイルス攻撃処理を行う こと、 を特徴とするウイルスの感染を阻止する方法が提供される。

本発明の第 2の態様によれば、

ネ ッ トワークでのウィルスの感染を検出して、 ウィルスの感染を阻止 するシステムであって、

ネッ トワークを介してアクセスが可能なおと り手段と、

前記おと り手段へのウィルスの侵入を検出し、 かつ、 ウ ィルスの侵入 を検出した時、 ゥィルスの侵入時に取得した通信情報から当該ウイルス の送信元となっているコンピュータを検出する通信情報解析手段と、 ウィルスの送信元となっているコンピュータに対して、 ネッ ト ワーク を介してウィルスの活動を抑制する ウィルス攻撃処理を行う コ ンビユー タ攻撃手段と、 を備えるこ とを特徴とする ウイルスの感染を阻止するシ ステムが提供される。

本発明の第 3 の態様によれば、

ネッ トワーク でのウイ /レスの感染を検出して、 ウイノレスの感染を阻止 するシステムであって、

ウィルスの送信元となっているコ ンピュータに対してウ ィルス攻撃処 理を行う ことについての依頼を受ける手段と、

前記受けた依頼に基づいて、 前記ウィルスの送信元となっているコン ピュータに対して、 ネッ トワークを介してウィルスの活動を抑制する ゥ ィルス攻撃処理を行う コ ンピュータ攻撃手段と、 を備えることを特徴と するウイルスの感染を阻止するシステムが提供される。

本発明の第 4の態様によれば、

ネッ トワークでのウィルスの感染を検出して、 ウィルスの感染の阻止 をコンピュータに実行させるプログラムであって、

予め設けられたネッ トワークを介してアクセスが可能なおと り手段へ のウィルスの侵入を検出し、 かつ、 ウィルスの侵入を検出した時、 ウイ ルスの侵入時に取得した通信情報から当該ウイルスの送信元となってい るコ ンピュータを検出する通信情報解析手段と、

ウィルスの送信元となっているコ ンピュータに対して、 ネッ ト ワーク を介してウィルスの活動を抑制する ウィルス攻撃処理を行う コ ンビユー タ攻撃手段と、 をコ ンピュータに構築させる、 ゥィルスの感染を阻止す るプログラムが提供される。

また、 本発明の第 5の態様によれば、

ネッ ト ワーク でのウィルスの感染を検出して、 ウィルスの感染の阻止 をコンピュータに実行させるプログラムであって、

ウィルスの 信元となっているコンピュータネッ トワークァ ドレスの 通知を受けたとき、 ウィルスの送信元となっているコンピュータからの 通信を拒絶する処理を、 コンピュータに実行させるウィルスの感染を阻 止するプログラムが提供される。 図面の簡単な説明 図 1 は、 ウィルスの感染を阻止するシステムの具体例を示すプロ ック 図である。

図 2は、 検出報告の例を示す説明図である。

図 3は、 複数のコンピュータによ り感染コンピュータを攻撃する例を 示す説明図である。

図 4は、 大規模なコンピュータネッ トワークの説明図である。

図 5は、 監視コンピュータの基本動作を示すフローチャートである。 図 6は、 監視コンピュータの協力動作を示すフローチヤ一 トである。

発明を実施するための最良の形態 以下、 発明を実施するための最良の形態について、 その原理を含む概 要について説明する。 その後、 詳細について説明する。

ネッ トワークを介してアクセス可能なおと り を、 ウィルスの侵入を監 視するコンピュータ （監視コンピュータ） 上に設けて、 ネッ トワークを 介して前記おと り に対するアクセスを受け付けて、 通信情報を取得する と共に、 ウィルスの侵入を検出し、 そのおと り にウィルスが侵入したと き、 対応して取得した通信情報に基づいて、 ウィルスの送信元となって いるコンピュータを検出し、 ウィルス送信元コンピュータ (感染コンピ ユータ） に対して、 ネッ トワークを介してウィルスの活動を抑制するゥ ィルス攻撃処理を行う。 また、 ウィルスの送信元となっているコンビュ ータの管理者宛に検出報告を送信する。 ここで、 おと り には、 セキュリティが低いものを用意して、 ウィルス の侵入を促す。 おと り のセキュ リティ を低くするには、 ウィルスからの 保護を想定している各種コ ンピュータにおけるセキュ リティ よ り、 低く することによ り実現する。 ただし、 他のコンピュータよ りセキュ リティ が低いかを調べるこ とは必ずしも容易ではない。 そこで、 ゥィルス対策 の程度によって、 セキュ リ ティ の差を付けるこ とが考えられる。 例えば 、 一般的に行うべき ウィルス対策を全く採らないこ とが考えられる。 具 体的には、 ウイ /レス対策ソフ トウェアをイ ンス ト一ノレしないこ と、 また は、 イ ンス トーノレされているウィルス対策ソフ ト ウエアを無効とするこ と、 オペレーティ ングシステム、 アプリ ケーショ ン等に、 セキュ リ ティ ホールがある場合には、 そのまま放置するこ と等が挙げられる。

なお、 このウィルス対策を、 特定のコ ンピュータ群のために行う場合 には、 対象となるコ ンピュータのセキュ リティ レベルが既知であること が多い。 このよ うな場合、 対象となる コ ンピュータ群の中で、 セキユ リ ティの最も低いコ ンピュータよ り低いセキュ リティ となる よ う に、 おと り のセキュ リティ を設定する。 このよ う にすることで、 おと り を、 ウイ ルス対策を行うべき コ ンピュータ群の中で最もウィルスに侵入され易く することができる。

おと り と しては、 例えば、 図 1 に示すよ う に、 おと り フォルダ 1 4を 設けること、 おと り アプリ ケーショ ン 1 5 を設けること、 おと りサーバ 1 3を設けるこ と等が挙げられる。 これらを単独で、 または、 2以上を 併用することができる。 おと り を複数のコンピュータに分散して設ける こと もできる。

おと り フォルダ 1 3は、 ネッ トワーク 1 に接続されたコ ンピュータ 1 0 の記憶装置 1 2上に擬似的に形成した、 おと りサーバ中に設けられた アプリ ケ一ショ ンによ り構成するこ とができる。 フオルダにおける ウイ ルスの侵入とは、 ウイ /レスが、 ネッ ト ワークを通じて、 フォルダ中の任 意のファイルを読み出したり、 ファイルの書き替えを試みたりする状況 をいう。 ウィルスに感染する という のは、 ウィルス自体がコンピュータ の記憶装置のどこかに取り込まれていることをいう。

通信情報は、 ウィルスがおと り フォルダに侵入をしたときにネッ トヮ ークから受信した通信経路等の情報である。 この通信情報中に、 ウィル スの送信元となっているコ ン ピュータのネッ トワークァ ド レス等が含ま れる。 ウィルスの送信元となっているコンピュータは、 ウィルスに感染 したコンピュータである。 おと り フォルダで待ち受けるので、 侵入して きたウィルスを検出できる。 検出報告の内容は任意である。 報告方法も 任意である。 感染したコ ンピュータの管理者に通知する と同時にその感 染源のコンピュータを攻撃する。

探索の対象となるウィルスが、 共有フォルダへ侵入する性質を持つゥ ィルスであることもある。 このよ うな共有フォルダへ侵入するウィルス は、 おと り フォルダを設けることで、 その活動を検出できる。

おと りアプリケーショ ン 1 5は、 ネッ トワークに接続されたコンビュ ータの記憶装置上に擬似的に形成した、 おと りサーバ中に設けられたァ プリケーシヨ ンによ り構成される。 このおと りは、 サーバへ侵入する性 質を持つウィルス検出のための構成である。 おと り フォルダの代わり に おと りアプリケーショ ンを設けた例である。 例えば、 探索の対象となる ウィルスがアプリケーショ ンの誤動作を引き起こす性質を持つウィルス である場合、 擬似的なおと り アプリケーショ ンを設けることで、 その活 動を検出できる。

おと りサーバ 1 3は、 サーバへ侵入する性質を持つウィルスを検出す る。 おと りサーバは、 擬似的なアプリ ケーショ ンにより構成され、 みか け上サーバの構成を持つデータを有する。 おと りサーバ 1 3は、 それに 対してアクセスがある と、 そのアクセスに対してサーバと同様の応答を 返す機能を持つ。 想定されるサーバの形式は、 ァクセスの対象となるサ ーパであればよい。 例えば、 ウェブサーバ、 メールサーバ等がある。 い ずれであってもよい。 このおと りサーバは、 サーバ攻撃型のウィルスに 対応するための構成である。 コンピュータの記憶装置上に擬似的に形成 した、 おと りサーバ中に、 おと り フォルダを設けた構成と しているので 、 ウィルスの攻撃を受けてもその影響を受けない。 すなわち、 被害は発 生しない。 同時に、 攻撃を受けながら、 その出所を突き止めることがで きる。 おと りサーバとおと り フォルダとは、 全く別のものでも、 一体化 したアプリケ一ショ ンによ り構成されるものでもよい。

おと り に、 ウィルスが侵入をしたとき、 直ちに感染源を突き止めて、 被害の拡大を阻止した上で対策を施す。 すなわち、 感染コンピュータに 対し、 ウィルスの活動を抑制するウィルス攻擊処理を行う。 ウィルス攻 撃処理と しては、 高負荷を与えるための情報を、 ネッ トワークを介して 送信することが挙げられる。 攻撃は、 ウィルスの駆除が完了するまで継 続する。 ゥィルス対策とは、 感染コンピュータをネッ トワークから切り 離すこと、 または、 ウィルスを駆除することである。

主体から見た攻撃態様と しては、 単独攻撃、 依頼攻撃、 共同攻撃等が ある。 単独攻撃は、 監視コンピュータが、 単独で感染コンピュータを攻 撃するものである。 依頼攻擊は、 監視コンピュータが、 感染コンビユー タの近く に所在する、 攻撃能力を有するコンピュータに攻撃を依頼して 、 依頼されたコンピュータが感染コンピュータを攻撃するものである。 共同攻撃は、 複数のコンピュータによ り感染コンピュータを攻撃するも のである。 これらの詳細については後述する。 なお、 依頼攻撃の際の攻 撃方法、 共同攻撃の場合の攻撃方法は、 監視コンピュータが定めて、 統 一的に攻撃するよ うにすることができる。 また、 依頼先、 共同の相手先 の各コンピュータが有する攻撃能力に基づいて攻撃するよ う依頼するこ ともできる。

また、 攻撃の内容と しては、 本発明では、 前述したよ うに、 感染コン ピュータにおいてウィルスの活動を抑圧するため、 または、 感染コンビ ユータ中のウィルスの活動を阻止するため、 感染コンピュータに対して 高い通信負荷をかける方法と、 感染コンピュータの C P Uに高い負荷を かける方法とを用いる。 いずれか一方、 または、 両者を組み合わせて用 いてもよい。 攻撃の仕方の詳細については後述する。

ウィルスの送信元となっている感染コンピュータを検出した場合、 ま ず、 感染コンピュータの管理者宛の検出報告を発する。 その上で、 当該 ウィルスへの対策が完了するまで攻撃を行う。

また、 感染コンピュータを攻撃するに当たり、 攻撃開始を予告するた めの、 メ ッセージを送信して、 コンピュータの使用者、 管理者に注意を 促す。 さらに、 攻撃開始時もしく は攻擊開始以後、 攻撃元の端末装置で 警報音を発生させる。 これによ り、 感染コンピュータとネッ トワークを 共有している他の端末装置の使用者に注意を促すことができる。 警報音 の種類は任意である。 また、 ディスプレイに攻撃動作中の表示をしても よい。

攻撃を行うため、 監視コンピュータはもとより、 依頼先のコンビユー タ、 共同攻撃に参加するコンピュータには、 それぞれウィルスの送信元 となっているコンピュータに負荷を与える処理を当該コンピュータに実 行させるための攻撃プログラム （ウィルス対策プログラム） を持たせて おく。 このウィルス対策プログラムを、 必要に応じて監視コンピュータ から、 適宜、 他のコンピュータにイ ンス ト一ノレする構成と してもよい。

また、 監視コンピュータ以外の攻撃に参加するコンピュータは、 攻撃 機能を有すれば足り る。 従って、 監視機能を持っていなく てもよい。

一方、 感染コンピュータ以外のコンピュータの防御策も用意しておく 。 例えば、 ウィルスの送信元となっているコンピュータネッ 1、ワークァ ドレスの通知を受けたとき、 ウィルスの送信元となっているコンビユー タからの通信を拒絶する処理を、 コンピュータに実行させる。 また、 ネ ッ トワーク監視用のコンピュータから、 感染コンピュータの通知を受け たとき、 防御のためにウィルスの送信元となっているコンピュータから の通信を拒絶する処理を実行する。

次に、 本発明の実施の形態について、 それぞれ図面を参照して説明す る。

図 1 は、 ウィルス対策システムの具体例を示すブロ ック図である。 ネ ッ 1、ワーク 1 には、 ネッ トワークインタフェース 4を介してコンビユー タ 5が接続されている。 このコンピュータ 5には、 記憶装置 6が設けら れている。 この記憶装置 6に、 ウィルス 7が感染している ものとする。 このコンピュータ 5を感染コンピュータと呼ぶことにする。

ネッ ト ワーク 1には、 監視コンピュータ 1 0が接続されている。 監視 コンピュータ 1 0は、 ネッ トワークイ ンタフェース 1 1 と、 記憶装置 1 2 とを備える。 記憶装置 1 2には、 おと りサーバ 1 3 と、 おと り フオル ダ 1 4 と、 おと りアプリケーショ ン 1 5 とが記憶されている。 コンビュ ータ 1 0は、 それが実現する機能と して、 ネッ ト ワークイ ンタフェース 1 1で取得される通信情報を監視するために、 通信情報解析手段 1 6が 設けられている。 通信情報解析手段 1 6の出力は、 警報発生手段 1 9を 駆動する。 さ らに、 通信情報解析手段 1 6の出力に基づいて、 コンビュ ータ攻撃手段 1 7 と検出報告送信手段 1 8 とが動作するよ うに構成され ている。 通信情報解析手段 1 6 とコンピュータ攻撃手段 1 7 と検出報告 送信手段 1 8 と警報発生手段 1 9 とは、 いずれも、 コンピュータ 1 0の 図示していない C P Uによ り実行されて、 監視コンピュータ 1 0に所定 の処理を実行させるコンピュータプログラムである。 これらのプロダラ ムは、 記憶装置 1 2にインス トールされ、 実行時に図示していない C P Uにロードされる。

この発明は、 ウィルス 7に感染しているコンピュータ 5 を特定し、 そ のコンピュータ 5の管理者がウィルス 7を除去するまでの間、 そのコン ピュータ 5に高負荷を生じさせ、 ウィルス 7の活動を抑制する。 ウィル ス 7に感染しているコンピュータ 5 を特定するために、 おと りサーバ 1 3、 おと りフォルダ 1 4およびおと りアプリケーショ ン 1 5をネッ トヮ ーク 1中に構築する。 おと りサーバ 1 3等は、 監視コンピュータ 1 0中 に擬似的に生成する。 おと り フォルダ 1 4は、 監視コンピュータ 1 0の 記憶装置 1 2中の、 任意の場所に生成するとよい。 また、 おと りサーバ 1 3中に一体に生成する。

[おと りサーバ等]

おと り のサーバ 1 3は、 ネッ トワーク 1上で最先にゥィルス 7が攻撃 してく るよ うな環境となるよ うに環境設定を行う ことが好ましい。 セキ ユリティ の レベルを最も低くすると ともに、 例えば、 コ ンピュータ名は 、 ネッ トワークコ ンピュータ リ ス ト の最も上位に表示されるよ うな名称 に選定する。 また、 ウィルスを受け入れるための共有フォルダ名は、 ゥ ィルスがァタック しゃすい性質のフォルダ名とする。 これも、 共有フォ ルダリ ス 1、の最も上位に表示されるよ うな名称に選定する とよい。 また

、 コンピュータ名も フォルダ名も、 ウィルスの性質から最適なものを決 定するとよい。 例えば、 おと りサーバ 1 3は、 ウィルス 7が実在のサー バに対して侵入を試みた場合の応答と全く 同様の応答をするよ うに動作 するアプリケーショ ンプログラムからなる。 実在のサーバとは異なるか ら、 破壌活動に対しては何の影響もない。 例えば、 フォルダ 1 4は、 ゥ ィルス 7が実在のフォルダに対してアクセスした場合の応答と全く 同様 の応答をするよ うに動作するアプリケーショ ンプロ グラムからなる。 実 在のフォルダとは異なるからファイルの削除といつた破壊活動に対して 何の影響もない。 おと りアプリケーショ ン 1 5は、 実際のアプリケーシ ョ ンとは異なるから、 誤動作を引き起こされる恐れはない。

[感染コ ンピュータの特定]

通信情報解析手段 1 6には、 ウィルスの侵入を検出すると、 直ちにそ の通信情報中から発信源のコンピュータ名を解析して、 特定する機能を 持つ。 この情報には、 誰がログオンしたコンピュータ力 、 そのコンビュ 一タのァ ドレスは何か、 コンピュータを使用している社員の社員コード は何か、 といった情報が含まれる。

なお、 コ ンピュータ ウィルスを発見した場合に、 感染しているコ ンビ ユータを、 無条件で直ちに攻撃すると、 使用者がとまどって様々な弊害 が生じる。 そこで、 警報発生手段 1 9 を設ける。 警報発生手段 1 9は、 例えば、 ポップアップメ ッセージなどの通知手段を使って、 感染コ ンビ ユータに対し、 「このコンピュータはウィルスに感染しています。 早急 にネッ トワークから切り離してください」 といった対策開始を予告する メ ッセージを送信する機能を持つ。 さ らに、 周辺のコ ンピュータ利用者 に対し、 ネッ トワークを通じて、 ウィルス 7が侵入する恐れがある旨の 警告を発するために、 例えば、 スピーカ 2を鳴らしたりディスプレイ 3 に警報画面を表示したりする機能を持つ。

図 2 ( a ) および図 2 ( b ) は、 検出報告の例を示す説明図である。 通信情報解析手段 1 6 (図 1参照） は、 通信情報から取得した送信元 I P ア ド レス 8 を検出報告送信手段 1 8に転送する。 検出報告送信手段 1 8は、 感染コンピュータ 5の管理者に対して、 例えば、 電子メールゃフ ァクシミ リ を利用して、 検出報告を送信する。 図 2 ( a ) は拡散型のゥ ィルスを検出したときの検出報告例である。 図 2 ( b ) は、 ネッ トヮー ク共有型のゥィルスを検出したときの検出報告例である。 例えば、 図 2 ( a ) では、 I Pア ドレスが 「 192. 168. 10. 15」 のコンピュータに、 同 図のよ うなパタンのウィルスによる攻撃がされている。 といった報告で ある。

[ウィルスの侵入と感染コンピュータの検出]

ゥイノレスが、 ネッ トワーク上のいずれかのコンピュータに取り込まれ ると、 所定のタイ ミングで活動を開始する。 例えば、 ウィルスは、 ネッ トワークを通じて他のコンピュータの共有フォルダをァクセスして、 そ こに格納されたファイルを書き換えたり、 破壌したりする。 ウィルスが 侵入するとい'うのは、 このよ う に、 共有フォルダをアクセスする行為の ことをいう。 ウィルスファイルが実際にコピーされるとは限らない。 従 つて、 ウィルスが侵入されたコンピュータでは、 通常の状態では、 ウイ ルスの侵入によるファイルのアクセスか、 正常なファイルのアクセスか を区別できず、 ウィルスを検出できないこともある。

そこで、 おと りサーバ、 および、 おと り フォルダを設ける。 通常のァ プリケーシヨ ンは、 予め特定したサーバ、 または、 フォルダにのみァク セスする。 擬似的に作成された、 おと りサーバまたはおと り フォルダに アクセスするのは、 ウィルスである確率が極めて高い。 さ らに、 そのァ クセスパターンを確認することで、 ウィルスであるとの確証を得ること ができる。 その後は、 その通信情報から、 どのコンピュータがそのウイ ルスに感染したかを突き止める。 感染コンピュータでのウィルスの活動 を阻止しなければ、 このウィルスがネッ トワークを通じて様々なコンビ ユータに被害を及ぼす。

[感染コンピュータに対する攻撃]

コ ンピュータ攻擊手段 1 7 (図 1 ) は、 感染コ ンピュータに対して所 定の攻撃動作をする機能を持つ。 このコ ンピュータ攻撃手段 1 7は、 感 染コ ンピュータ 5に対して、 高い負荷をかける。 感染コ ンピュータ中の ゥィルスの活動を阻止するためであるから、 感染コンピュータ 5に対し て高い通信負荷をかける方法と、 感染コ ンピュータの C P Uに高い負荷 をかける方法がある。

感染コンピュータ 5に対して高い通信負荷をかけると、 ネッ トワーク 1 と感染コンピュータ 5 との間を結ぶネ ッ ト ワークイ ンタ フェース 1 1 等の通信路でトラフィ ックが増大して、 感染コンピュータ 5からネッ ト ワーク 1 に対する通信の通信速度が著しく低下する。 従って、 感染コン ピュータ 5内部からネッ トワーク 1 を経由して他のコ ンピュータに向か う ウィルスの侵入活動が抑制される。 具体的には、 1 0 0 B A S E— T 程度の帯域を持つネッ トワークならば、 5メガバイ ト程度もある大きな パケッ トを感染コ ンピュータ宛に送信するとよい。 しかしながら、 この 場合、 C P U自体にはさほどの負荷はかからない。

一方、 感染コンピュータ 5 の C P Uに高い負荷をかける と、 感染コ ン ピュータ 5の内部でデータの破壌活動をしょう とするウィ ルスの活動速 度が著しく低下する。 従って、 感染コ ンピュータ 5中にウィルス被害が 広がることを防止できる。 例えば、 P i n gバケツ トを大量に連続的に 送信する。 これによ り、 C P Uが過負荷になるので、 コ ンピュータの内 部でのウィルスの活動を阻止し、 被害の拡大を抑制できる。 具体的には 、 2バイ ト程度の P i n gバケツ トを感染コ ンピュータ 5 に向けて大量 に連続的に送信する。 感染コンピュータ 5の C P Uは、 パケッ トを受信 する度に応答を返すための制御をしなければならないので、 C P Uが過 負荷になる。

従って、 上記の一方または両方の方法を併用するとよい。 もちろん、 上記以外の既知の任意の方法で、 感染コンピュータに対して、 高い負荷 をかけるよ うにしてもよレ、。

[複数のコンピュータによる攻撃]

図 3は、 複数のコ ンピュータにより、 感染コ ンピュータ 5を攻擊する 例を示す説明図である。 図 3 のネ ッ トワーク 1 には、 監視コ ンピュータ 1 0およぴ感染コンピュータ 5 と、 端末装置 2 0 と、 端末装置 2 2 と、 端末装置 2 4 とが接続されている。 端末装置 2 0は、 ネッ トワークイ ン タフエース 2 1 を介してネッ トワーク 1 に接続されている。 端末装置 2 2は、 ネッ トワークイ ンタ フェース 2 3を介してネッ トワーク 1 に接続 されている。 端末装置 2 4は、 ネッ トワークインタフェース 2 5を介し てネッ トワーク 1に接続されている。

端末装置 2 0は、 コンピュータ攻撃手段 3 1 を備えている。 端末装置 2 2は、 コ ンピュータ攻撃手段 3 2を備えている。 端末装置 2 4は、 コ ンピュータ攻擊手段 3 3を備えている。 コ ンピュータ攻撃手段 3 1 、 コ ンピュータ攻擊手段 3 2およびコ ンピュータ攻撃手段 3 3は、 いずれも 、 監視コンピュータ 1 0 のコ ンピュータ攻撃手段 1 7 と同様の機能を持 つ。

1台のコ ンピュータでは、 感染コ ンピュータを攻撃するのが不十分な 場合がある。 この場合には、 図 3に示すよ うに、 監視コ ンピュータ 1 0 は、 別のコ ンピュータ、 例えば、 端末装置 2 0、 2 2および 2 4に対し て、 攻撃を依頼する。 そして、 複数台のコ ンピュータ 1 0、 2 0、 2 2 および 2 4の協力によって、 1台のコ ンピュータ 5を共同で攻撃する。 これによつて、 ウィルスが感染したコ ンピュータの機能を制限する。 一 方、 その間に、 管理者に通知して、 ウィルスを削除するための時間を稼 ぐ。

端末装置 2 0等は、 攻搫専用のコ ンピュータでもよいし、 一般ユーザ の使用しているコンピュータにコ ンピュータ攻撃手段 3 1等をイ ンス ト ールしたものでもよい。 監視コ ンピュータ 1 0は、 ネ ッ ト ワーク 1 中に 1台だけ設けること、 複数台設けることのいずれであってもよい。 なお、 監視コンピュータ 1 0からコ ンピュータ攻撃手段 3 1等に送信 する攻撃依頼には、 感染コンピュータの I Pア ドレス （ネ ッ トワークァ ドレス） を含める。 また、 コ ンピュータ攻撃手段 3 1等を起動するコマ ン ドを含めるとよい。 コ ンピュータ攻撃手段を持つコ ンピュータは、 監 視コ ンピュータ と同様の機能を持つコ ンピュータでもよいし、 攻撃手段 のみを持つコンピュータでもよレ、。

図 4は、 大規模なコ ンピュータネ ッ ト ワーク の説明図である。 図 4に 示すよ うに、 ルータ 5 0 とルータ 5 1 とによ り、 相互に接続されたネッ トワーク 5 2 とネッ トワーク 5 3 とネッ トワーク 5 4 とには、 それぞれ 、 多数のコンピュータが接続されている。 ネッ トワーク 5 2に接続され たコ ンピュータ 6 1 と 6 2のうち、 コ ンピュータ 6 2は監視コ ンビユー タである。 ネッ トワーク 5 3に接続されたコ ンピュータ 6 3 と 6 4 と 6 5のうち、 コンピュータ 6 3は監視コンピュータである。 ネッ トワーク 5 4に接続されたコ ンピュータ 6 6 と 6 7 と 6 8のうち、 コ ンピュータ 6 8は監視コ ンピュータである。

例えば、 コ ンピュータ 6 7が感染コ ンピュータであって、 コ ンビユー タ 6 2がそのウィルスの侵入を検知することがある。 このときは、 コン ピュータ 6 2から攻撃をしても、 ルータ 5 0やルータ 5 1がボトノレネッ クになって、 効果的な攻撃が難しい。 そこで、 コ ンピュータ 6 2は、 コ ンピュータ 6 7 の所属するネ ッ ト ワーク 5 4に接続された最寄り のコ ン ピュータ 6 8に対して、 コンピュータ 6 7への攻撃を依頼する。 コンビ ユータ 6 8は、 先に説明したス ピーカ等による警報を発して、 周困のコ ンピュータ 6 6等に注意を促してから、 コ ンピュータ 6 7 への攻撃を開 始する。 こう して、 大規模なネッ トワークにおける監視動作も可能にな る。

[動作フローチヤ一 ト ]

図 5は監視コンピュータの基本動作を示すフローチヤ一 トである。 具 体的には、 監視コンピュータ 1 0は、 プログラムを実行して、 各種機能 を実現する。 それによつて、 監視コンピュータ 1 0は、 通信情報解析手 段 1 6 、 コ ンピュータ攻撃手段 1 7、 検出報告手段 1 8および警報発生 手段 1 9 と して機能する。

まず、 監視コンピュータ 1 0は、 おと りサーバ 1 3、 おと り フォルダ 1 4、 および、 おと りアプリケーショ ン 1 5を有効にする初期設定を行 う (ステ ップ S 1 ) 。 この状態で、 ウ ィルスの待ち受けを開始する (ス テツプ S 2 ) 。 通信情報解析手段 1 6は、 ネッ トワークイ ンタ フェース 1 1の処理する通信情報を監視する。

ウィルスの侵入を検知する と、 通信情報解析手段 1 6は、 通信情報の 解析をして、 送信元 I Pア ドレス 8を取得し、 感染コ ンピュータを特定 する （ステップ S 3、 S 4、 S 5 ) 。 検出報告送信手段 1 8は、 管理者 へ検出報告をする （ステ ップ S 6 ) 。

警報発生手段 1 9は、 ス ピーカ 2による警報音を鳴らす （ステ ップ 7 ) 。 また、 攻撃中である旨の動画等を、 監視コ ンピュータ 1 0のデイ ス プレイ 3に表示する。 さらに、 警報発生手段 1 9は、 感染コンピュータ 5に対して攻撃開始メ ッセージを送信する （ステ ップ S 8 ) 。

コ ンピュータ攻撃手段 1 7は、 攻撃を開始する (ステ ップ S 9 ) 。 そ の後、 任意のルー トでウィルス対策が完了した旨の報告を受けかを判断 する （ステ ップ S 1 0 ) 。 ウィルス対策が完了した旨の報告を受けた場 合、 コ ンピュータ攻撃手段 1 7による攻撃を終了する （ステ ップ S 1 1 ) ₀

図 6は、 監視コンピュータの協力動作を示すフローチャー トである。 複数のコンピュータの協力を得て幹線コンピュータの攻撃を行う場合に も、 前述した監視コンピュータ 1 0 の各種機能によ り、 感染コ ンビユー タの発見処理と、 攻搫協力のための依頼処理と、 強調攻撃処理とが行わ れる。

監視コ ンピュータ 1 0は、 まず、 感染コ ンピュータを特定する (ステ ップ S 2 1 —ステ ップ S 2 4 ) 。 この感染コ ンピュータを特定するため の処理は、 前述した図 5に示す （ステップ S 2 —ステップ S 5 ) の処理 と同様である。 感染コンピュータを特定されたら、 コンピュータ攻撃手段 1 7が、 ネ ッ トワークの調査をする （ステ ップ S 2 5 ) 。 最寄りの監視コンビユー タを探すためである。 最寄りの監視コンピュータを探すには、 予め用意 した監視コンピュータのリ ス トから、 感染コ ンピュータと I Pア ドレス の一部が共通している監視コンピュータを検索する (ステップ S 2 6 ) 最寄りの監視コンピュータが、 自分自身である場合と、 図 4で説明し たよ う に、 ノレータのよ う な幾つかのネッ トワーク コンポーネン トを介し て接続された監視コンピュータである場合とがある。 そこで、 最寄りの 監視コンピュータが自分自身かどうかを判断する （ステップ S 2 7 ) 。 自分自身でなかったら、 攻撃依頼先を決定する （ステップ S 2 8 ) 。 該 当する監視コンピュータが複数ある場合は、 複数の監視コンピュータに 同報送信で攻撃依頼を発信すればよい。

続いて、 該当する監視コンピュータに対して、 攻撃依頼の発信をする (ステップ S 2 9 ) 。 その後は、 攻撃依頼先において、 図 5のステップ S 6以降の処理が実行される。

[感染コンピュータの処置]

感染コンピュータは被害を受けている可能性が高いので、 すみやかに ネッ トワークから切り離すことが最も効果的な対策である。 この対策が 完了すれば、 感染コンピュータへの攻搫は終了してよい。

感染コンピュータについては、 その後、 ウィルスの除去処理をして、 被害があった部分を修復する。 また、 O S (オペレーティ ングシステム

) 、 アプリ ケーショ ン等の再イ ンス トールをして復旧させる。 このため に、 図 3に示すよ うに、 記憶装置 6には、 その旨のメ ッセージを含む画 面 4 0をディスプレイに表示する。 この画面 4 0は、 必要な対応措置が 終了後、 ボタン 4 1がク リ ックされるまで表示される。

この発明は、 ネ ッ トワークを通じて拡散するタィプのゥィルスの拡散 スピー ドを低下させる機能を持つ。 すなわち、 ウィルスが感染したコン ピュータに大きな負荷をかけることによって、 ウィルスの拡散を阻止す る。 また、 ウィルスが、 あるコンピュータの共有ファイルに侵入しても 、 その動作だけでは侵入を直ちに確認するこ とができない場合に適する 。 すなわち、 ウィルスが活動したとき、 そのウィルスの攻撃を真っ先に 受けるよ うにおと り のコ ンピュータを設定する。 これによつて、 ウィル スを発見し、 ウィルスがどのコンピュータに感染しているかを確認し、 該当する攻撃対象のコ ンピュータを特定する。 すなわち、 単にフォルダ 内に侵入しただけでは、 発見の難しいウィルスの検出と排除に有効であ る。

なお、 上記のコ ンピュータプログラムは、 それぞれ独立したプログラ ムモジュールを組み合わせて構成してもよいし、 全体を一体化したプロ グラムによ り構成してもよい。 コ ンピュータプログラムによ り制御され る処理の全部または一部を同等の機能を備えるハー ドウェアで構成して も構わない。 また、 上記のコンピュータプログラムは、 既存のアプリ ケ ーショ ンプロダラムに組み込んで使用 してもよい。 上記のよ う な本発明 を実現するためのコ ンピュータプログラムは、 例えば、 C D— R O Mの よ うなコンピュータで読み取り可能な記録媒体に記録して、 任意の情報 処理装置にィンス トールして利用するこ とができる。 また、 ネッ トヮー クを通じて任意のコンピュータのメモリ 中にダウンロー ドして利用する こと もできる。

Claims

請求の範囲

1 . ネッ トワーク でのウィルスの感染を検出して、 ウィ ルスの感染を 阻止する方法であって、

ネッ トワークを介してアクセス可能なおと り を、 ウィルスの侵入を監 視するコンピュータ上に設けて、 ネッ トワークを介して前記おと り に対 するアクセスを受け付けて、 通信情報を取得すると共に、 ウィルスの侵 入を検出し、 そのおと り にウィルスが侵入したとき、 対応して取得した 通信情報に基づいて、 ウィルスの送信元となっているコンピュータを検 出し、 ウィルスの送信元となっているコンピュータに対して、 ネッ トヮ ークを介してウィルスの活動を抑制するウィルス攻撃処理を行う こと、 を特徴とするゥィルスの感染を阻止する方法。

2 . 請求項 1 に記載のウイルスの感染を阻止する方法において、 前記おと りは、 おと り フォルダを記憶装置に記憶させたもの、 おと り アプリケーショ ンを記憶装置に記憶させたもの、 および、 記憶装置に擬 似的に形成したサーバ、 のうち 1以上であるウィルスの感染を阻止する 方法。

3 . 請求項 1 に記載のウィルスの感染を阻止する方法において、 前記ウィルス攻撃は、 前記ウィルスの送信元となっているコ ンビユ ー タに高負荷を与えるものであるウイルスの感染を阻止する方法。

4 . 請求項 3に記載のウイルスの感染を阻止する方法において、 前記ウィルスの送信元となっているコンピュータに与える高負荷は、 当該コンピュータの トラフィ ックを増大させることであるウィルスの感 染を阻止する方法。

5 . 請求項 3に記載のウイルスの感染を阻止する方法において、 前記ウィルスの送信元となっているコ ンピュータに与える高負荷は、 当該コ ンピュータの C P Uが応答動作をすべき処理を大量に要求するこ とであるウイルスの感染を阻止する方法。

6 . ネッ トワーク でのウィルスの感染を検出して、 ウ ィルスの感染を 阻止するシステムであって、

ネッ トワークを介してアクセスが可能なおと り手段と、

前記おと り手段へのウィルスの侵入を検出し、 かつ、 ウィルスの侵入 を検出した時、 ゥィルスの侵入時に取得した通信情報から当該ウイルス の送信元となっているコンピュータを検出する通信情報解析手段と、 ゥイノレスの送信元となっているコ ンピュータに対して、 ネッ トワーク を介してウィルスの活動を抑制するウィルス攻擊処理を行う コ ンビユ ー タ攻撃手段と、 を備えることを特徴とするウイルスの感染を阻止するシ ステム。

7 . 請求項 6に記載のウィルスの感染を阻止するシステムにおいて、 前記おと り手段は、 おと り フォルダを記憶装置に記憶させたもの、 お と りアプリケーショ ンを記憶装置に記憶させたもの、 および、 記憶装置 に擬似的に形成したサーバ、 のうち 1以上であるウィルスの感染を阻止 するシステム。

8 . 請求項 6に記載のウィルスの感染を阻止するシステムにおいて、 前記コ ンピュータ攻撃手段は、 前記ウィルスの送信元となっているコ ンピュータに高負荷を与えるものであるウィルスの感染を阻止するシス テム。

9 . 請求項 8に記載のウィルスの感染を阻止するシステムにおいて、 前記コンピュータ攻撃手段は、 前記ウィルスの送信元となっているコ ンピュータの トラフィ ックを増大させて、 当該コンピュータ高負荷を与 えることであるウイルスの感染を阻止する方法。

1 0 · 請求項 8に記載のウィルスの感染を阻止するシステムにおいて 前記コ ンピュータ攻擊手段は、 前記ウィルスの送信元となっているコ ンピュータの C P Uが応答動作をすべき処理を大量に要求して、 当該コ ンピュータに高負荷を与えることであるウ ィルスの感染を阻止する シス テム。

1 1 . 請求項 8、 9および 1 0のいずれか一項に記載のウィルスの感 染を阻止するシステムにおいて、

ウィルスの送信元となっているコ ンピュータの管理者宛の検出報告を 発する手段をさらに備え、

前記コンピュータ攻撃手段は、 当該ウィルスへの対策が完了するまで 、 当該コ ンピュータへの攻撃を継続するウイルスの感染を阻止するシス テム。

1 2 . 請求項 6に記載のウィルスの感染を阻止するシステムにおいて 前記おと り手段は、 ネ ッ ト ワークに接続されたコ ンピュータの記憶装 置上に擬似的に形成した、 おと りサーバ中に設けられたアプリケーショ ンにより構成されるおと り フォルダであるゥィルスの感染を阻止するシ ステム。

1 3 . 請求項 6に記載のウィルスの感染を阻止するシステムにおいて 前記おと り手段は、 ネッ トワークに接続されたコンピュータの記憶装 置上に擬似的に形成した、 おと りサーバ中に設けられたアプリ ケーショ ンによ り構成されるおと りアプリケーショ ンであるウィルスの感染を阻 止するシステム。

1 4 . 請求項 8、 9およぴ 1 0のいずれか一項に記載のウイノレスの感 染を阻止するシステムにおいて、

感染したコ ンピュータに対して、 高負荷を与える攻撃開始を予告する ためのメ ッセージを送信する手段をさ らに備えるウィルスの感染を阻止 するシステム。

1 5 . 請求項 8、 9および 1 0のいずれか一項に記載のウィルスの感 染を阻止するシステムにおいて、

攻撃開始時もしく は攻撃開始以後、 攻撃元の端末装置で警報音を発生 する手段をさ らに備えるウイルスの感染を阻止するシステム。

1 6 . 請求項 8、 9および 1 0のいずれか一項に記載のウィルスの感 染を阻止するシステムにおいて、

ネッ 1、ワークに接続された別のコンピュータに対して、 ウィルス送信 元となっているコンピュータのネ ッ ト ワークァ ドレスを通知すると とも に、 ウィルスの送信元となっているコンピュータに対してウィルス攻撃 処理を行う ことを依頼する手段をさ らに備えるウイルスの感染を阻止す るシステム。

1 7 . ネッ トワークでのウィルスの感染を検出して、 ウィルスの感染 を阻止するシステムであって、

ウィルスの送信元となっている コ ンピュータに対してウィルス攻撃処 理を行う ことについての依頼を受ける手段と、

前記受けた依頼に基づいて、 前記ウ ィルスの送信元となっているコ ン ピュータに対して、 ネ ッ トワークを介してウィルスの活動を抑制するゥ ィルス攻撃処理を行う コ ンピュータ攻撃手段と、 を備えることを特徴と するウイルスの感染を阻止するシステム。 1 8 · ネッ トワークでのウィルスの感染を検出して、 ウ ィルスの感染 の阻止をコ ンピュータに実行させるプログラムであって、

予め設けられたネッ トワークを介してアクセスが可能なおと り手段へ のウィルスの侵入を検出し、 かつ、 ウィルスの侵入を検出 した時、 ウイ ルスの侵入時に取得した通信情報から当該ウイルスの送信元となってい る コ ンピュータを検出する通信情報解析手段と、

ウィルス送信元コ ンピュータに対して、 ネッ ト ワークを介してウイノレ スの活動を抑制する ウィルス攻撃処理を行う コンピュータ攻撃手段とを コ ンピュータに構築させる、 ウィルスの感染を阻止するプログラム。

1 9 . ネッ トワークでのウィルスの感染を検出して、 ウィルスの感染 の阻止をコンピュータに実行させるプログラムであって、

ゥイノレスの送信元となってレヽるコ ンピュータネッ ト ワークァ ドレスの 通知を受けたとき、 ウィルスの送信元となっているコンピュータからの 通信を拒絶する処理を、 コンピュータに実行させる ウイルスの感染を阻 止するプログラム。