WO2008010508A1

WO2008010508A1 - dispositif de génération de commande

Info

Publication number: WO2008010508A1
Application number: PCT/JP2007/064156
Authority: WO
Inventors: Taichi Sato; Rieko Asai
Original assignee: Panasonic Corporation
Priority date: 2006-07-18
Filing date: 2007-07-18
Publication date: 2008-01-24
Also published as: JPWO2008010508A1; US20090177873A1; US8302188B2; JP5118036B2

Description

命令生成装置

技術分野

[0001] 本発明は、不正な解析および改竄を防止できるようなコンピュータプログラムを生成する命令生成装置に関する。

背景技術

[0002] コンピュータ上で動作するプログラムの中には、不正な改竄を防止することが求められるプログラムがある。このようなプログラムの例は、個人情報を扱うプログラムや、著作権管理に関わるプログラム等である。個人情報等の重要な情報を使用するプログラムに対し、改竄されたプログラムが流出することは脅威であり、改竄防止が望まれる。また、著作権管理に関わるプログラムとは、例えば、コンテンツの使用回数等を管理し、使用制限を行うプログラムであるが、このプログラムが改竄されて使用制限が回避されることは脅威であり、改竄防止が望まれる。上記の例の他にも、ソフトウェア開発ベンダが開発したプログラムが改造されて他社から販売される脅威や、ゲームプログラムが著作権者の意図に反して改造される脅威などがあり、プログラムの改竄防止技術が望まれている。

[0003] 従来の改竄防止技術には、改竄チェックを用いたものがある。この方式では、メモリ上のプログラムのハッシュ値 Zチェックサムを計算し、予め算出してお!、たハッシュ値

/チェックサムと等しいかを判定することにより改竄を検出する。

[0004] 図 1は、従来の改竄チェックの処理を含むプログラムを示す図である。図 1にお！/、て、関数 flは改竄チェック対象 (保護対象)の処理命令群を示す。関数 flはコンビユータのメモリ上に保持されて実行されるプログラムであって、メモリ上のアドレス 0300〜 0400に保持されているものとする。関数 f 2は改竄チェック処理を示す。処理命令「t mp = 0； f or (a = 0300； aく 0400； a + + ) { tmp + = * a； }」は変数 aの位置に格納されたデータを読み込み、読み込んだ値を変数 tmpにカ卩えると、う動作をアドレス 03 00〜0400までの間繰り返す処理 (ハッシュ計算処理）を示す。この処理によって、ァドレス 0300〜0400までのデータの和（チェックサム）を算出することが出来る。 [0005] 処理命令「if (tmp！ =SUM) {exit () ; }」は算出したチェックサムが SUMと等しいかを判定し、真なる場合には、処理を継続し、偽なる場合には処理を終了する処理（判定/終了処理)を示す。ここで、 SUMは、予め算出しておいた関数 flのチェックサムである。したがって、関数 flが改竄されていなければ、 SUMと tmpとは等しい値となるが、関数 flが改竄されている場合には、 SUMと tmpは異なる値となる。このことから、 SUMと tmpが等しい値になるか否かによって関数 flが改竄されている力否かを知ることが出来る。

[0006] 図 2は、従来の改竄防止処理生成装置の処理を説明するための説明図である。

[0007] 従来の改竄防止処理生成装置 (命令生成装置）は、保護対象コードを含む入力プログラムを取得し、その入力プログラムに対して改竄チェック処理を付加することにより、改竄防止プログラムを生成する。保護対象コードは、上述の関数 flの処理命令群に相当し、改竄防止プログラムは図 1に示すプログラムに相当する。

[0008] このような改竄防止プログラムがコンピュータにより実行されると、保護対象コードのノ、ッシュ値 (チェックサム）が正しいか否かが判断され、正しくないと判断されたときに

、保護対象コードに対する改竄が検出される。

[0009] このように、従来の改竄防止処理生成装置は、入力プログラムに対して改竄チエツク処理を追加することにより、改竄された保護対象コードを含む入力プログラムの実行を防止している。

[0010] 改竄チェック以外の改竄防止技術としては、プログラムの振る舞いを監視する方法がある。特許文献 1には、予め所定の振る舞いを行う処理命令をプログラムに埋め込み、プログラム実行時に実際のプログラムの振る舞いを監視し、埋め込んだ振る舞いが実際に行われるかを確認することでプログラムの改竄を検出する技術が記載されている。

特許文献 1 :特開 2005— 173903号公報

発明の開示

発明が解決しょうとする課題

[0011] し力しながら、図 2に示す従来の改竄防止処理生成装置では、改竄チェック処理が不正解析者に容易に見つけられ、改竄チェック処理が改竄されて無効化されると、う問題がある。

[0012] 例えば、不正解析者は、まず、改竄防止プログラムの保護対象コード（関数 fl)を改竄し、その改竄防止プログラムを実行する。そして、不正解析者は、改竄された部分がデータとしてアクセスされないかを監視することにより、改竄チェック処理の中のハッシュ計算処理を容易に見つけることができる。具体的には、改竄チェック処理を見つけることは、指定したアドレスに対するデータとしての読み取りを監視する機能を持つたデバッガを用いることで可能となる。すなわち、不正解析者は、保護対象コードを改竄した後、改竄したアドレスを監視していれば、そのアドレスのデータを読み取る改竄チェック処理の「tmp+ = * ajを見つけることができ、改竄したアドレスに対して改竄チェック処理が行われていることを知ることができる。

[0013] そこで、不正解析者は、判定 Z終了処理の処理命令「if (tmp！ =SUM) {exit ()； }」を、 SUMと tmpがー致しなくとも何もしない命令「if (tmp！ =SUM) { ; }」に改竄する。これにより、改竄チェック処理自体が無効化される。

[0014] また、特許文献 1に記載の技術のようなプログラムの振る舞、を監視する方法でも、振る舞！/ヽを監視する処理自体が見つけられ、改竄される恐れがある。

[0015] そこで、本発明では、カゝかる問題に鑑みてなされたものであって、保護対象コードを確実に保護し得るプログラムを生成する命令生成装置を提供することを目的とする。課題を解決するための手段

[0016] 上記目的を達成するために、本発明に係る命令生成装置は、コンピュータに対してデータを被代入変数に代入させる第一処理命令を保護するために、前記コンビユータに実行させる複数の命令からなる出力処理命令群を生成する命令生成装置であつて、前記コンピュータが前記第一処理命令を実行するように、処理経路を前記第一処理命令に分岐させる分岐命令を、前記出力処理命令群の一部として生成する分岐命令生成手段と、前記コンピュータが前記分岐命令に従って前記第一処理命令を実行した結果を示す前記被代入変数に代入されたデータに依存し、前記データが予め定められた内容を示す場合に、前記出力処理命令群以降に行うべき予め定められた処理を前記コンピュータに実行させる依存処理命令を、前記出力処理命令群の一部として生成する依存処理命令生成手段とを備えることを特徴とする。 [0017] これにより、出力処理命令群がコンピュータにより実行されると、コンピュータは分岐命令により第一処理命令を実行するとともに、依存処理命令によりその実行結果 (被代入変数に代入されたデータ）に依存した処理を実行する。その結果、第一処理命令が改竄されてヽなければ、コンピュータは依存処理命令により予め定められた処理を実行するが、第一処理命令が改竄されていれば、コンピュータは予め定められた処理以外の処理を実行することとなる。したがって、第一処理命令を改竄から保護することができる。さらに、第一処理命令をデータとして読み込むことがないので、改竄を防止しょうとしている処理（出力処理命令群）が不正解析者に見つけ出されるのを困難にすることができ、保護対象コードである第一処理命令を改竄や不正解析から確実に保護することができる。

[0018] また、本発明では、第一処理命令が出力処理命令群の一部として使用されることとなり、プログラム (第一処理命令など）の不正解析および改竄を防止することができ、その価値は大きい。

[0019] また、本発明では、第一処理命令が改竄されると、出力処理命令群は定められた処理を行わない。すなわち、第一処理命令の改竄チェックが達成できる。さらに、この改竄チェックを回避するために第一処理命令によって代入されるデータを予め定められた内容に強制的に合わせるような改竄が行われたとしても、第一処理命令が他の命令群からも呼び出されている場合には、その命令群が正常に動作しなくなる。その結果、改竄があったことを検出できる。

[0020] また、本発明における改竄行為を困難にする方法は、従来の改竄チェック方法と異なり、プログラムをデータとして読み込む必要がな、ので、 Java (登録商標）等のプログラムをデータとして読み込むには制限がある環境でも用いることが出来、その効果は大きい。

[0021] また、出力処理命令群を実行する際に、第一処理命令も実行されることになる。よつて、第一処理命令は第一処理命令の機能と、出力処理命令群の機能の両方に必要な処理であるのか、第一処理命令の機能にのみ必要な処理であるのかの解析が困難になる。よって、第一処理命令の機能に必要な処理のみに着目し、第一処理命令の解析をしょうとする不正解析者の解析作業を困難にすることが出来る。 [0022] ここで、前記依存処理命令生成手段は、前記コンピュータに対して予め定められた処理を実行させる第二処理命令を取得して前記依存処理命令に変換することによつて前記依存処理命令を生成し、前記依存処理命令は、前記第一処理命令が実行された結果を示す前記被代入変数に代入された値が、予め定められた想定値を示す場合に、前記第二処理命令の実行結果と同じ実行結果を前記コンピュータに導出させることを特徴としてもよい。

[0023] これにより、命令生成装置が第二処理命令を取得すると、その第二処理命令を依存処理命令に難読ィ匕することができ、第一処理命令を確実に保護することができる。

[0024] また、本発明では、定められた処理を行う出力処理命令群 (第二処理命令の処理に相当）を実行する際に、第一処理命令も実行される。よって、定められた処理を解析する際に、不正解析者は、出力処理命令群と第一処理命令の両方を解析しなければならなくなり、不正解析をさらに困難にすることができる。

[0025] ここで、前記命令生成装置は、さらに、前記第一処理命令を使用しない前記第二処理命令と、前記第一処理命令を用いて前記第二処理命令とは異なる処理を前記コンピュータに実行させる第三処理命令とを含む入力プログラムを取得する取得手段と、前記入力プログラムの前記第二処理命令が前記依存処理命令生成手段によつて変換されて生成された前記依存処理命令を含む前記出力処理命令群と、前記第三処理命令とを含む出力プログラムを出力する出力手段とを備えることを特徴としてもよい。

[0026] これにより、第二処理命令を含むプログラムを難読ィ匕することができる。また、難読ィ匕後のプログラムでは、元々は必要なカゝつた第一処理命令の処理が追加して実行されるが、第一処理命令は、他の目的にも使われる命令なのでコードサイズの増加を押さえることが出来る上、第一処理命令の実行が実際には、改竄チェックを行うための処理であることを隠蔽することができる。

[0027] ここで、前記命令生成装置は、さらに、予め定められた条件に従って前記第一処理命令により前記被代入変数に代入される値を前記想定値として算出する想定値算出手段を備え、前記依存処理命令生成手段は、前記第一処理命令が実行された結果を示す前記被代入変数に代入された値が、前記想定値算出手段により算出された想定値を示す場合に、前記第二処理命令の実行結果と同じ実行結果を前記コンビユータに導出させる前記依存処理命令を生成することを特徴としてもよい。例えば、前記命令生成装置は、さらに、前記コンピュータが前記第一処理命令を実行する際に、前記コンピュータに対して、前記第一処理命令で参照される被参照変数に値を代入させる被参照代入処理命令を、前記出力処理命令群の一部として生成する被参照代入処理生成手段を備え、前記想定値算出手段は、前記被参照変数に代入される値を前記条件として扱い、前記被参照変数の値に従って前記第一処理命令により前記被代入変数に代入される値を前記想定値として算出する。

[0028] これにより、コンピュータが第一処理命令を実行するときに参照される被参照変数の値と、想定値算出手段が想定値を算出するときに条件とされる被参照変数の値とが等しいため、第一処理命令が改竄されていなければ、コンピュータが第一処理命令を実行した結果を示す被代入変数の値と想定値とを等しくすることができる。その結果、被代入変数の値と想定値とが異なっていれば、第一処理命令が改竄されていると判断でき、第二処理命令の実行結果と同じ実行結果をコンピュータに導出させないようにすることがでさる。

[0029] また、コンピュータが第一処理命令を実行するときに参照される被参照変数の値と、想定値算出手段が想定値を算出するときに条件とされる被参照変数の値とが等しければよいため、被参照変数の値を固定値でなく任意の値にすることができる。

[0030] ここで、前記命令生成装置は、さらに、前記第一処理命令で参照される被参照変数を特定する被参照特定手段を備え、前記被参照代入処理生成手段は、前記コンピュータに対して、前記被参照特定手段により特定された被参照変数に値を代入させる前記被参照代入処理命令を生成することを特徴としてもよい。

[0031] これにより、被参照特定手段 (被参照変数解析部)が被参照変数を特定するため、第一処理命令に含まれる被参照変数がどれである力をユーザが指定することなぐ被参照代入処理命令 (被参照変数値代入処理命令群)を生成することが出来る。

[0032] ここで、前記命令生成装置は、さらに、前記被参照変数に代入される値の候補となる複数の値を、被参照変数値の集合として保持する値保持手段を備え、前記被参照代入処理生成手段は、前記被参照変数値の集合に含まれる何れかの値を前記被参照変数に代入させる前記被参照代入処理命令を生成することを特徴としてもよい。例えば、前記想定値算出手段は、前記被参照変数値の集合に含まれる各値に従つて前記第一処理命令により前記被代入変数に代入される値の集合を、想定値の集合として算出し、前記依存処理命令生成手段は、前記被参照変数値の集合と前記想定値の集合とを用いて前記依存処理命令を生成し、前記依存処理命令は、前記第一処理命令が実行された結果を示す前記被代入変数の値が、前記想定値の集合に含まれる値である場合に、前記第二処理命令の実行結果と同じ実行結果を前記コンピュータに導出させる。

[0033] これにより、被参照変数に格納される値を、前記出力処理命令が実行されるごとに異ならせることができる。その結果、出力処理命令群が第一処理命令を保護するためにあることが不正解析者に解明されるのをより困難にすることができる。

[0034] ここで、前記依存処理命令は、前記コンピュータに対して、前記被代入変数に代入された値を、予め定められた想定値と比較させ、前記被代入変数の値が前記想定値と等しいときには、予め定められた処理を前記コンピュータに実行させ、前記被代入変数の値が前記想定値と異なるときには、前記予め定められた処理の実行を前記コンピュータに抑制させることを特徴としてもよい。

[0035] これにより、第一処理命令が改竄された結果、被代入変数の値が想定値と異なるときには、コンピュータに対してエラー処理を実行させることができ、第一処理命令の改竄検出を行うことができる。

[0036] ここで、前記命令生成装置は、さらに、前記第一処理命令に含まれる前記被代入変数を特定する被代入特定手段を備え、前記依存処理命令生成手段は、前記被代入特定手段により特定された前記被代入変数に代入されたデータに依存した処理を前記コンピュータに実行させる前記依存処理命令を生成することを特徴としてもよい

[0037] これにより、被代入特定手段 (被代入変数解析部）が被代入変数を特定するため、第一処理命令に含まれる被代入変数がどれである力をユーザが指定することなぐ依存処理命令を生成することが出来る。

[0038] ここで、前記命令生成装置は、さらに、前記第一処理命令、前記第一処理命令の分岐元となる第一先行命令、前記第一処理命令の分岐先となる第一後続命令、第一後続命令の分岐先となる第二処理命令、および前記第二処理命令の分岐先となる第二後続命令を含む入力プログラムを取得する取得手段と、第一の条件が満たされてヽる場合と第二の条件が満たされてヽる場合とで、前記第一処理命令の分岐先が異なるように、前記処理経路を前記第一処理命令から他の命令に分岐させる条件分岐命令を生成する条件分岐命令生成手段と、前記第一処理命令、前記第一先行命令、前記第一後続命令、および前記第二処理命令を含む出力プログラムを出力する出力手段とを備え、前記依存処理命令生成手段は、前記被代入変数のデータが予め定められた内容を示す場合に、前記第二後続命令と同一の実行結果を前記コンピュータに導出させる前記依存処理命令を生成し、前記分岐命令生成手段は、前記コンピュータが前記第二処理命令を実行した後に再び前記第一処理命令を実行するように、処理経路を前記第二処理命令力前記第一処理命令に分岐させる前記分岐命令を生成し、前記条件分岐命令生成手段は、前記第一の条件が満たされている場合には、前記処理経路を前記第一処理命令から前記第一後続命令に分岐させ、前記第二の条件が満たされている場合には、前記処理経路を前記第一処理命令から前記依存処理命令に分岐させる前記条件分岐命令を生成し、前記出力手段は、前記依存処理命令、前記分岐命令、および前記条件分岐命令を含む前記出力プログラムを出力し、前記第一の条件は、前記第一処理命令が前記コンピュータに実行されたときに、前記第一処理命令の実行の直前に前記第一先行命令が実行されていることであり、前記第二の条件は、前記第一処理命令が前記コンピュータに実行されたときに、前記第一処理命令の実行の直前に前記第二処理命令が実行されて、ることであることを特徴としてもよ!/、。

これにより、入力プログラムにおいて第二処理命令と第二後続命令との間で実行されることがない第一処理命令力出力プログラム（改竄防止プログラム）においては第二処理命令と第二後続命令との間で実行されることがある。すなわち、出力プロダラムにおいて、第一処理命令は、入力プログラムにおける実行順序とは異なる実行順序でも実行されることとなる。その結果、入力プログラムを難読ィ匕することができ、不正解析者が出力プログラムを実際に動かして解析を行っても、入力プログラムの実行順序や前後関係を解析することが困難になる。

[0040] さらに、前記入力プログラムには、複数の前記第一後続命令が含まれており、前記条件分岐命令生成手段は、前記第一の条件が満たされている場合には、前記第一処理命令が実行された後に、前記複数の第一後続命令のうち第三の条件に応じた 1 つの第一後続命令が分岐先第一後続命令として実行されるように、前記処理経路を前記第一処理命令から前記分岐先第一後続命令に分岐させる前記条件分岐命令を生成することを特徴としてもょ、。

[0041] これにより、第一処理命令の分岐先として、依存処理命令と複数の第一後続命令とが混在することになるので、それらの命令が、第一処理命令と第二処理命令とのどちらから分岐して実行されるものであるかを解析し難くすることができる。

[0042] また、前記第三の条件は、変数に代入される値であり、前記条件分岐命令生成手段は、前記第一の条件が満たされている力否かを示す変数の値と、前記第二の条件が満たされている力否かを示す変数の値とに基づいて前記処理経路を分岐させる前記条件分岐命令を生成することを特徴としてもょヽ。

[0043] これにより、第一の条件または第二の条件が満たされているかの確認に使われる変数と、第三の条件に利用される変数との区別が困難になるので、各条件がどの変数に基づ!/、て、るのかを分力り難くすることができ、各条件の解析を困難にすることができる。

[0044] また、前記入力プログラムには、複数の前記第二後続命令が含まれてあり、前記依存処理命令は、前記複数の第二後続命令をそれぞれ前記依存処理命令に変換し、前記条件分岐命令生成手段は、前記第二の条件が満たされている場合には、前記第一処理命令が実行された後に、前記複数の依存処理命令のうち第四の条件に応じた 1つの依存処理命令が分岐先依存処理命令として実行されるように、前記処理経路を前記第一処理命令から前記分岐先依存処理命令に分岐させる前記条件分岐命令を生成することを特徴としてもょ、。

[0045] これにより、第一処理命令の分岐先として、複数の依存処理命令と第一後続命令とが混在することになるので、それらの命令が、第一処理命令と第二処理命令とのどちらから分岐して実行されるものであるかを解析し難くすることができる。 [0046] さらに、前記第四の条件は、変数に代入される値であり、前記条件分岐命令生成手段は、前記第一の条件が満たされているか否かを示す変数の値と、前記第二の条件が満たされているか否かを示す変数の値とに基づいて前記処理経路を分岐させる前記条件分岐命令を生成することを特徴としてもょヽ。

[0047] これにより、第一の条件または第二の条件が満たされているかの確認に使われる変数と、第四の条件に利用される変数との区別が困難になるので、各条件がどの変数に基づ!/、て、るのかを分力り難くすることができ、各条件の解析を困難にすることができる。

[0048] また、前記命令生成装置は、さらに、前記入力プログラムで使用されて、な、追カロ変数を生成する変数生成手段と、前記第一の条件が満たされる場合に、前記コンビユータに対して、前記追加変数に第一条件値を代入させる第一条件値代入命令を生成し、前記第二の条件が満たされる場合に、前記コンピュータに対して、前記追加変数に第二条件値を代入させる第二条件値代入命令を生成する条件値代入命令生成手段とを備え、前記条件分岐命令生成手段は、前記追加変数に代入されている値が前記第一条件値であるときには、前記処理経路を前記第一処理命令から前記第一後続命令に分岐させ、前記追加変数に代入されている値が前記第二条件値であるときには、前記処理経路を前記第一処理命令から前記第依存処理命令に分岐させる条件分岐命令を生成することを特徴としてもょ、。

[0049] これにより、第一の条件または第二の条件が満たされる力否かの確認に用いられる追加変数が、入力プログラム中に含まれる変数ではないので、第一の条件または第二の条件の判定のために、追加変数に値が代入されても入力プログラムが行うべき処理の実行に影響が出ないことを保証することができる。

[0050] また、前記第二後続命令および前記依存処理命令は、前記第二処理命令が実行された時点にぉ、て得られて、る実行結果を使用して、互いに同等の処理を前記コンピュータに実行させる命令であって、前記命令生成装置は、さらに、前記第二処理命令が実行された時点にぉ、て得られて、る実行結果を、前記第一処理命令が実行される前に退避させる退避命令を生成する退避命令生成手段と、前記第一処理命令が再び実行された後に、退避された実行結果を復帰させる復帰命令を生成する復帰命令生成手段とを備えることを特徴としてもょヽ。

[0051] これにより、出力プログラムにおいて第一処理命令が第二処理命令と依存処理命令との間に割り込んでも、依存処理命令処理以降の実行結果が、入力プログラムにおける第二後続処理命令以降の実行結果と同一となることを保証することができる。

[0052] また、前記命令生成装置は、さらに、前記第一処理命令、前記第一先行命令、および前記第二処理命令のうち少なくとも 1つの命令を、当該命令に等価な命令に変換する変換手段を備え、前記出力手段は、前記変換手段によって変換された命令を、当該命令に対応する変換前の命令の代わりに前記出力プログラムに含めて出力することを特徴としてもよい。つまり、本発明の命令または命令群には、その命令または命令群そのものだけでなぐそれらを本発明と異なる他の難読化手法により難読化して得られる等価な命令も含まれる。

[0053] これにより、出力プログラムでは、入力プログラムの少なくとも 1つの命令が、その命令に等価な命令に置き換えられているため、入力プログラムの命令と出力プログラムの命令との対応関係を分力り難くすることができる。つまり、入力プログラムに対する難読ィ匕の程度を増すことができ、出力プログラムの解析をより困難にすることができる

[0054] また、前記分岐命令生成手段は、前記第一処理命令が API (Application Program I nterface)を含むときには、前記 APIと同一の APIを呼び出す命令を前記第二後続命令として検索し、前記第二後続命令の分岐元となる前記第二処理命令から前記第一処理命令に処理経路を分岐させる前記分岐命令を生成することを特徴としてもよい。

[0055] これにより、第一処理命令の APIと同一の APIを呼び出す命令が第二後続命令とされるため、第一処理命令を、被代入変数のデータに依存した依存処理命令に容易に変換することができ、上述と同様、第一処理命令を改竄や不正解析から確実に保護することができる。

[0056] また、前記命令生成装置は、さらに、前記第一処理命令を含む入力プログラムを取得する取得手段と、前記分岐命令生成手段および前記依存処理命令生成手段によつて生成された前記分岐命令および前記依存処理命令を前記入力プログラムに追加することにより、前記第一処理命令、前記分岐命令および前記依存処理命令を含む出力プログラムを生成して出力する出力手段とを備えることを特徴としてもよい。

[0057] これにより、入力プログラムを出力プログラムに変換して、出力プログラムに含まれる第一処理命令を確実に保護することができる。

[0058] また、本発明に係る命令生成装置によって生成される出力プログラムは、第一の機能に対応する第一処理命令と、第二の機能に対応する第二処理命令と、コンビユータが第二処理命令を実行する際に、第二の機能には不要である第一処理命令を冗長処理としてコンピュータに実行させる分岐命令とを含むことを特徴とする。

[0059] これにより、第二処理命令による処理では本来不要な第一処理命令による処理力第二処理命令による処理でも行われるので、第一処理命令による処理がどの機能の実現に必要であり、どの機能に不要なのかを解析することを困難にすることができる。

[0060] また、本発明は、このような命令生成装置として実現することができるだけでなぐその出力処理命令群を生成する処理生成方法や、パーソナルコンピュータ等にその出力処理命令群を生成させるためのプログラム、そのプログラムを記録した記録媒体、または、その出力処理命令群を生成する集積回路としても実現することができる。この場合も、命令生成装置と同様の効果が得られることは言うまでもない。

発明の効果

[0061] 本発明に係る命令生成装置は、保護対象コードを確実に保護し得るプログラムを生成することができるという作用効果を奏する。

図面の簡単な説明

[0062] [図 1]図 1は、従来の改竄チェックの処理を含むプログラムを示す図である。

[図 2]図 2は、従来の改竄防止処理生成装置の処理を説明するための説明図である

[図 3]図 3は、本発明の実施の形態 1における処理システムの構成を示す図である。

[図 4]図 4は、同上の出力処理命令群の構成を示す図である。

[図 5A]図 5Aは、 C言語で記述された第一処理命令群の具体例を示す図である。

[図 5B]図 5Bは、 C言語で記述された第二処理命令群の具体例を示す図である。

[図 5C]図 5Cは、 C言語で記述された出力処理命令群の具体例を示す図である。

[図 6]図 6は、同上の改竄防止処理生成装置の構成を示す図である。 [図 7]図 7は、同上の改竄防止処理生成装置の動作を示すフローチャートである。

[図 8]図 8は、同上の改竄防止処理生成装置の効果を説明するための説明図である

[図 9]図 9は、同上の変形例 6に係る改竄防止処理生成装置によって生成された出力処理命令群の具体例を示す図である。

[図 10:図 10は、同上の変形例 6に係る改竄防止処理生成装置の構成を示す図である。

圆 11図 11は、本発明の実施の形態 2における処理システムの構成を示す図である圆 12図 12は、同上の出力処理命令群の構成を示す図である。

圆 13図 13は、同上の C言語で記述された出力処理命令群の具体例を示す図である。

[図 14:図 14は、同上の改竄防止処理生成装置の構成を示す図である。

圆 15図 15は、同上の改竄防止処理生成装置の効果を説明するための説明図である。

[図 16:図 16は、本発明の実施の形態 3における処理システムの構成を示す図である

[図 17:図 17は、同上の入力プログラムの構成を示す図である。

[図 18:図 18は、同上の C言語における入力プログラムの具体的な一例を示す図である。

[図 19:図 19は、同上の改竄防止プログラムの構成を示す図である。

圆 20:図 20は、同上の C言語で表した改竄防止プログラムの具体的な一例を示す図である

圆 21図 21は、同上の入力プログラムの処理の流れを示す図である。

[図 22図 22は、同上の改竄防止プログラムの処理の流れを示す図である。

[図 23図 23は、同上の改竄防止処理生成装置の構成を示す図である。

[図 24:図 24は、同上の改竄防止処理生成装置の動作を示すフローチャートである。圆 25図 25は、同上の変形例に係る改竄防止プログラムの構成を示す図である。 [図 26]図 26は、同上の変形例に係る C言語で表した改竄防止プログラムの具体的な一例を示す図である。

[図 27]図 27は、同上の変形例に係る改竄防止プログラムの処理の流れを示す図である。

[図 28]図 28は、同上の変形例に係る改竄防止処理生成装置が改竄防止プログラムを生成する動作を説明するための説明図である。

[図 29]図 29は、同上の変形例に係る改竄防止処理生成装置が、 APIを含む改竄防止プログラムを生成する動作を説明するための説明図である。

[図 30]図 30は、本発明の第一処理命令群が実行処理装置に元々含まれている場合における効果を説明するための説明図である。

[図 31]図 31は、本発明の A命令群が特徴的演算を含む場合における効果を説明するための説明図である。

[図 32]図 32は、不正解析者による改竄の例を示す図である。

[図 33]図 33は、本発明の実施の形態 1〜3の変形例に係る改竄防止処理生成装置が依存ィ匕のみを行う例を示す図である。

[図 34]図 34は、同上の変形例に係る改竄防止処理生成装置の構成の一例を示す図である。

[図 35]図 35は、同上の変形例に係る改竄防止処理生成装置の動作の一例を示すフローチャートである。符号の説明

100, 100b, 1300 処理システム

101, 101b, 1310, Pi 入力プログラム

102, 102b, 1330, 1330a, Po 改竄防止プログラム

110, 110a, 110b, 1320, 400 改竄防止処理生成装置

120, 120b, 1350 記録媒体

130, 130b, 1340 実行処理装置

140, 140b 第一処理命令群

150 第二処理命令群 160, 160a, 160b 出力処理命令群

210 入力処理命令群保持部

220 被参照変数解析部

230 被参照変数情報保持部

240, 240a 被参照変数値代入処理命令群生成部

250 被参照変数値代入処理命令群保持部

260, 260a 被参照変数値保持部

270 被代入変数解析部

280 被代入変数情報保持部

290, 290a 想定値算出部

295， 295a 想定値情報保持部

201 依存処理命令群生成部

202 依存処理命令群保持部

203 分岐処理命令群生成部

204 分岐処理命令群保持部

205 出力処理命令群生成部

206 出力処理命令群保持部

310, 310a, 310b, 2210 被参照変数値代入処理命令群

320, 320a, 320b 分岐処理命令群

330, 330a, 330b, 2220 依存処理命令群

1410 PRE— A命令群

1420 A命令群

1430 SUC— A命令群

1440 B命令群

1450 SUC— B命令群

1610 CBR— AB条件分岐命令群

1620 STR— A変数群値代入命令群

1630 STR— B変数群値代入命令群 1640 退避命令群

1650 復帰命令群

1660 BR— B分岐命令群

2010 入力部

2020 入力プログラム保持部

2030 被代入変数解析部

2040 被代入変数情報保持部

2050 被退避変数解析部

2060 被退避変数情報保持部

2070 退避命令群生成部

2080 退避命令群保持部

2090 復帰命令群生成部

2091 復帰命令群保持部

2092 条件分岐命令群生成部

2093 分岐条件保持部

2094 条件分岐命令群保持部

2095 変数群値代入命令群生成部

2096 変数群代入命令群保持部

2097 分岐命令群生成部

2098 分岐命令群保持部

2099 改竄防止プログラム生成部

2100 改竄防止プログラム出力部

発明を実施するための最良の形態

[0064] 以下、本発明に係る命令生成装置および命令生成方法につ!、て図面を参照して説明する。なお、以下の各実施の形態および各変形例では、本発明に係る命令生成装置を改竄防止処理生成装置として説明する。

[0065] (実施の形態 1)

本発明に関わる実施の形態 1における処理システムにつ、て説明する。 [0066] 図 3は、実施の形態 1における処理システムの構成を示す図である。

[0067] 本実施の形態における処理システム 100は、改竄防止処理生成装置 (命令生成装置） 110と、実行処理装置 130とを備える。

[0068] 改竄防止処理生成装置 110は、保護対象コードを確実に保護し得るプログラムを生成する装置であって、保護対象コードである第一処理命令群 140と第二処理命令群 150とを取得して、出力処理命令群 160を生成する。なお、改竄防止処理生成装置 110は、第二処理命令群 150を難読化して出力処理命令群 160を生成する難読化装置として構成されている。なお、特に断らない限り、本明細書および本発明における命令群とは、複数の命令が含まれるものに限らず、命令が 1つだけのものも含むものとする。

[0069] また、改竄防止処理生成装置 110は、その生成された出力処理命令群 160と第一処理命令群 140とを記録媒体 120に書き込む。

[0070] 実行処理装置 130は、記録媒体 120に記録されている第一処理命令群 140および出力処理命令群 160を読み出して実行する。

[0071] なお、改竄防止処理生成装置 110は、第一処理命令群 140および出力処理命令群 160を記録媒体 120に書き込むことなぐ通信媒体を介して実行処理装置 130に送信してちょい。

[0072] 以下、それぞれの構成要素について説明を行う。

[0073] 第一処理命令群 140は、実行処理装置 130で実行される処理命令群であって、出力処理命令群 160の処理の一部として実行される場合もあれば、それとは別に実行される場合ちある。

[0074] 第二処理命令群 150は、実行処理装置 130に所定の処理を指示する命令を含んだ処理命令群である。

[0075] 以下、本実施の形態では、第一処理命令群 140は、コンテンツの暗号ィ匕された再生可能回数を入力とし、これを復号し、平文の再生可能回数を出力する処理を指示する命令群であるものとして説明を行う。また、本実施の形態では、第二処理命令群 150は圧縮されたコンテンツを入力とし、これを解凍し、出力する処理を指示する命令群であるものとして説明を行う。 [0076] 出力処理命令群 160は、第二処理命令群 150を難読化した命令群であり、処理の途中で第一処理命令群 140を呼び出して使用する構成となっている。すなわち、実行処理装置 130で出力処理命令群 160が実行される場合、最初は出力処理命令群 160に含まれる命令群が実行され、途中で第一処理命令群 140が呼び出されて実行され、次にまた出力処理命令群 160の続きの処理命令群が実行される。

[0077] 以下、出力処理命令群 160の詳細を説明する。

[0078] (1)出力処理命令群 160の構成

図 4は、出力処理命令群 160の構成を示す図である。

[0079] 出力処理命令群 160は、第一処理命令群 140を呼び出して実行する際に必要となる各種パラメータに値を設定する被参照変数値代入処理命令群 310と、第一処理命令群 140を呼び出す分岐処理命令群 320と、第一処理命令群 140を呼び出した後に実行される依存処理命令群 330とからなる。実行処理装置 130で出力処理命令群 160が実行される場合、被参照変数値代入処理命令群 310、分岐処理命令群 320 、第一処理命令群 140、依存処理命令群 330の順に各処理命令群が実行される。

[0080] 以下、それぞれを説明する。

[0081] (1. 1)被参照変数値代入処理命令群 310

被参照変数値代入処理命令群 310は、第一処理命令群 140を呼び出して実行する際に必要となる各種パラメータに値を設定する処理である。具体的には、例えば、第一処理命令群 140が関数である場合には、被参照変数値代入処理命令群 310は、関数の引数に値を代入する命令群である。また、例えば、第一処理命令群 140が外部変数を参照する命令群であれば、被参照変数値代入処理命令群 310は、外部変数に値を代入する命令群である。また、例えば、第一処理命令群 140がスタックの値を参照する命令群であれば、被参照変数値代入処理命令群 310は、スタックに値を格納する命令群である。また、例えば、第一処理命令群 140がアドレス変数で指定した位置に格納された値を参照する命令群であれば、被参照変数値代入処理命令群 310は、その参照されるアドレス変数に値を格納する命令群である。

[0082] これらの第一処理命令群 140を実行する際に必要となる各種パラメータのことを以降の説明では総称して、被参照変数と呼ぶものとする。 [0083] (1. 2)分岐処理命令群 320

分岐処理命令群 320は第一処理命令群 140に分岐する処理命令群である。具体的には、例えば、第一処理命令群 140が関数であるならば、分岐処理命令群 320は関数コール命令であり、第一処理命令群 140がサブルーチンであるならば、分岐処理命令群 320はサブルーチンコール命令である。また、第一処理命令群 140が処理命令群の集まりであるならば、分岐処理命令群 320は分岐命令であり、第一処理命令群 140が例外処理ならば、分岐処理命令群 320は例外を発生させる処理命令である。より具体的には、分岐処理命令群 320は、例えばアセンブリ言語の命令では、「CALL、 RET」のような関数コールや「JA、 JMP、 LOOP」などのジャンプ命令、「IN Tjなどの割り込み命令である。

[0084] (1. 3)依存処理命令群 330

依存処理命令群 330は、第一処理命令群 140を呼び出した後に実行される処理命令群であり、第二処理命令群 150と同等の処理を行うプログラム命令群である。第二処理命令群 150そのものと異なる点は、第二処理命令群 150の一部の処理力第一処理命令群 140の処理結果を使用した処理に置き換えられている点である。置き換えの詳細は改竄防止処理生成装置 110の説明の際に述べるものとし、ここでは置き換えの概要を説明する。

[0085] まず、第一処理命令群 140の処理結果とは、具体的には、例えば、第一処理命令群 140が関数である場合には、関数の戻り値である。また、例えば、第一処理命令群 140が外部変数に値を設定する処理であるならば、第一処理命令群 140の処理結果とは、外部変数に代入された値である。また、例えば、第一処理命令群 140がスタックに値を格納する処理であれば、第一処理命令群 140の処理結果とは、スタックに格納された値である。また、例えば、第一処理命令群 140がアドレス変数で指定した位置に値を格納する処理であれば、第一処理命令群 140の処理結果とは、その格納された値である。これらの第一処理命令群 140の処理結果が格納される格納先のことを、以降の説明では被代入変数と呼ぶものとする。

[0086] 第一処理命令群 140の処理結果を予め知ることは一般には出来ないが、第一処理命令群 140を実行する際に必要となる各種パラメータの値が被参照変数値代入処理命令群 310で設定される時に限っては、処理結果の値を予め知ることができる。具体的には、例えば、被参照変数値代入処理命令群 310が設定する値を実際に被参照変数に設定した上で、第一処理命令群 140を実行すれば、処理結果の値を知ることができる。以降の説明では、この値を想定値と呼ぶものとする。

[0087] 依存処理命令群 330は、被代入変数の値が想定値である場合には、前記第二処理命令群と同じ処理を行う命令群である。また、望ましくは、被代入変数の値が想定値でな、場合には、前記第二処理命令群とは異なる処理をする命令群であるとょヽ。具体的には、例えば、第二処理命令群が「a = a * 5 ;」で、被代入変数「b」の想定値が「5」である場合に、第二処理命令群を「a = a * b；」に置き換えたものが依存処理命令群となる。

[0088] (1. 4)処理命令群の具体例

図 5Aは、 C言語で記述された第一処理命令群 140の具体例を示す図である。また、図 5Bは、 C言語で記述された第二処理命令群 150の具体例を示す図である。また、図 5Cは、 C言語で記述された出力処理命令群 160の具体例を示す図である。なお、以降の説明では、「*」、「〜」、「 I」、「'」、「くく」、「> >」等の演算子を用いるが、処理命令群の説明で用いるこれらの演算子は特に断りのない場合、 C言語における演算子を示す。また、以下の説明では、各処理命令群には、関数宣言や変数宣言力言語の言語形式にしたがって追加されて、るが、この言語形式にっ、ては公知であるので説明を省略する。

[0089] 第一処理命令群 140は、図 5Aに示すように、暗号ィ匕されたコンテンツの再生回数「 encryptedDataJ (被参照変数）を入力して復号ィ匕することにより、コンテンツの再生回数「plainDat_a」（被代入変数)を出力する処理を含む命令群である。ここでは、簡単のために、暗号ィ匕されたコンテンツの再生回数と、秘密情報「0x00FF」との排他論理和を取る処理「plainData = encryptedData"OxOOFF」を、復号化の処理としている。なお、「0x00FF」における頭の「0x」は「00FF」が 16進数であることを示している。

[0090] ここで、「plainData」および「encryptedData」はそれぞれ「OxOOOO〜OxFFFF」までの値を取る 16ビットの値とする。また、 plainDataは 2進数表記したときに最上位ビットが 1である場合は負の値を示すものとする。すなわち「0x8000〜0xFFFF」までの値は負数を示す。

[0091] 第二処理命令群 150は、図 5Bに示すように、圧縮されたコンテンツデータ「compr essedData」を入力して解凍することにより、コンテンツデータ「decompressedData 」を出力する処理を含む命令群である。ここでは、簡単のために、圧縮されたコンテンッデータ「compressedData」の値の数だけ 1が連続する 2進数を出力する処理を、解凍の処理とする。この処理は、図 5Bに示すように、命令群「for (counter=0 ; cou nter ^ compresseaData； counter + +) {、decompressedData = decompresse dData< < l) | 0x0001； }」として表される。

[0092] ここで、「compressedData」は 0〜31までの値を取るものとし、「decompressedD ata」は 32ビットの値とする。「decompressedData」は、「compressedData」力 S「0」の時は、「0x00000000」となり、「compressedData」力 1」の時は、「0x0000000 1」となり、「compressedData」が「31」の時は、「0xFFFFFFFF」となる。

[0093] 出力処理命令群 160は、図 5Cに示すように、第二処理命令群 150と同じ解凍処理を行う処理命令群である。この出力処理命令群 160は、第二処理命令群 150が改竄防止処理生成装置 110によって難読ィ匕された後の命令群である。改竄防止処理生成装置 110の詳細にっ、ては後述する。

[0094] 被参照変数値代入処理命令群 310である「encryptedData=0xF022；」は、第一処理命令群 140を呼び出す際の弓 I数に値を代入する処理であり、被参照変数「e ncryptedData」に値「0xF022」を代入する処理を示して、る。

[0095] 分岐処理命令群 320である「plainData = decrypt (encryptedData)；」は、引数を被参照変数「encryptedData」として第一処理命令群 140を呼び出す処理を示し、第一処理命令群 140の処理結果を被代入変数「plainDat_a」に格納する。実行処理装置 130において、分岐処理命令群 320が正常に実行された場合の戻り値の想定値は、被参照変数「encryptedData」を値「0xF022」として第一処理命令群 140 の処理を行った際の結果である「0xF022'0x00FF = 0xF0DD」となる。

[0096] 依存処理命令群 330は、第二処理命令群 150と同等の処理を行う処理を示す。ただし、この処理では、第二処理命令群 150とは異なり、第一処理命令群 140の処理結果である「plainData」を用いた処理が含まれる。

[0097] 具体的に、依存処理命令群 330は、「for (counter=0 ; counter< compressed Data； counter + +) {decompressedData= (aecompressedData^ 1) | ΐ ainData— OxFODC) ; }」として表される。

[0098] 上記の処理において、「plainData」の値力先述の想定値「0xF0DD」である場合、「（plainData— 0xF0DC)」は値「0x001」となる。これは、第二処理命令群 150の対応箇所と同一の値であるので、「plainData」が想定値になっていれば、依存処理命令群 330は第二処理命令群 150と同等の処理を行う。また、「plainData」の値が想定値と異なって、た時には、「（plainData— OxFODC)」の値は「0x001」とは異なる値となるため、第二処理命令群 150と同等の処理が行われなくなる。

[0099] (1. 5)出力処理命令群 160の効果

実施の形態 1の出力処理命令群 160は、第一処理命令群 140を実行する際に必要となる各種パラメータに値を設定する被参照変数値代入処理命令群 310と、第一処理命令群 140を呼び出す分岐処理命令群 320と、第一処理命令群 140を呼び出した後に実行される依存処理命令群 330とからなる。ここで、改竄防止処理生成装置 110による変換が行われて、な、第二処理命令群 150では第一処理命令群 140を呼び出さないにも関わらず、変換後の命令群である出力処理命令群 160では第一処理命令群 140を呼び出すための処理が追加されている。

[0100] このような構成を用いれば、実行処理装置 130で出力処理命令群 160を実行する際に、出力処理命令群 160が目的としている処理 (上記の実施の形態では解凍処理 )には本来不要なはずの第一処理命令群 140 (上記の実施の形態では復号処理)も実行されることになる。よって、第一処理命令群 140は複数の処理に必要な機能であるの力、単数の処理に必要な機能であるかの解析が困難になる。具体的には、上記の例では、第一処理命令群は、復号に必要な処理であり、本来は解凍には不要な処理であった。しかし、出力処理命令群 160では、第一処理命令群 140は復号と解凍との両方に必要な処理となる。よって、復号のみに必要な処理を解析することで復号処理に含まれる秘密情報を解析しょうとする不正解析者の解析作業を困難にすることが出来る。 [0101] さら〖こ、実行処理装置 130では、出力処理命令群 160を実行する際に、第一処理命令群 140も実行されることとなる。よって、出力処理命令群 160を解析しょうとする不正解析者が解析しな、と、けな、処理が、第二処理命令群 150と比べて増加する。従来からも、元々の処理に他の処理を追加して、不正解析者が解析しなければならな、処理を増加させる難読ィ匕は行われて、たが、その際には追加する処理のプログラムサイズが増大するという問題があった。しかし、出力処理命令群 160は、実行処理装置 130において他の用途で使用される第一処理命令群 140を呼び出すための命令群を追加して、るのみであるので、プログラムサイズをほとんど増大させずに、不正解析者が解析しなければならない処理を増大させることができる。

[0102] なお、発明の本質ではないので特に詳細に説明していないが、実施の形態 1の復号処理を行う第一処理命令群 140は、解凍処理を行う第二処理命令群 150以外の命令群からも呼ばれる処理である（むしろ、本来は第二処理命令群 150以外から呼ばれるべき処理である）ことは言うまでもない。ここで、第一処理命令群 140を本来呼び出すべき命令群は、第一処理命令群 140と同一のプログラムに含まれる命令群であってもよいし、第一処理命令群 140がライブラリ等である場合は、異なるプログラムカゝら呼び出されてもよい。また、第一処理命令群 140と第二処理命令群 150が同一のプログラムに含まれて、てもよ、し、上述のように第一処理命令群 140がライブラリ等である場合は異なるプログラムに含まれていてもよい。ここで、同一のプログラムに含まれる場合、上述したようにプログラムサイズを増大させないためには、そのプログラムは第一処理命令群 140を用いて何らかの処理を行うプログラムであることが望ましい。

[0103] また、第一処理命令群 140と第二処理命令群 150とが同一のプログラムに含まれる場合は、そのプログラムを入力として与えることで、両方の処理命令群を入力することができる。さらにこの場合、プログラム中の第二処理命令群 150を出力処理命令群 1 60に置き換えて出力するプログラム出力手段等をさらに設けることで、入力されたプログラムを上述した特徴を有したプログラムへと難読ィ匕することができる。

[0104] さらに、出力処理命令群 160の依存処理命令群 330は、第一処理命令群 140の処理結果に依存する処理を行う命令群となっている。よって、不正解析者が、第一処理命令群 140を不正改竄した場合、出力処理命令群 160の処理が本来の結果と異なる結果となる。具体的には、例えば、不正解析者が図 5Aのコンテンツの再生可能回数を出力する第一処理命令群 140を、「int decrypt ( int encryptedData) {ret urn 100 ; }」に改竄した場合、依存処理命令群 330における「plainData」の値は 1 00となり、「0xF0DD」とは異なる値になる。よって、出力処理命令群 160が実行されても、本来の解凍処理とは異なる値が出力されることとなる。よって、第一処理命令群 140を改竄した不正解析者は、さらに出力処理命令群 160をも不正改竄しなければ、コンテンツを正しく実行することが出来なくなる。このように、第一処理命令群 140と第二処理命令群 150がコンテンツの再生等の大きな機能の構成要素である場合に、その一部の構成要素が改竄されると、他の一部の構成要素の挙動がお力しくなる。よって、不正解析者が望む通りに機能を改竄することが困難になる。

[0105] (2)改竄防止処理生成装置 110の構成

続いて、改竄防止処理生成装置 110の説明を行う。改竄防止処理生成装置 110 は、第二処理命令群 150を上記の出力処理命令群 160に変換する装置である。

[0106] 図 6は、改竄防止処理生成装置 110の構成を示す図である。

[0107] 改竄防止処理生成装置 110は、入力処理命令群保持部 210、被参照変数解析部 220、被参照変数情報保持部 230、被参照変数値代入処理命令群生成部 240、被参照変数値代入処理命令群保持部 250、被参照変数値保持部 260、被代入変数解析部 270、被代入変数情報保持部 280、想定値情報保持部 295、想定値算出部 290、依存処理命令群生成部 201、依存処理命令群保持部 202、分岐処理命令群生成部 203、分岐処理命令群保持部 204、出力処理命令群生成部 205、および出力処理命令群保持部 206を備えて、る。

[0108] 入力処理命令群保持部 210は、第一処理命令群 140と第二処理命令群 150を取得し、取得された各命令群を保持する。

[0109] 被参照変数解析部 220は、第一処理命令群 140を実行する際に値を設定しておく必要のある引数等の変数 (被参照変数)が何であるかを解析する。

[0110] 被参照変数情報保持部 230は、被参照変数解析部 220による解析によって得られた被参照変数の変数名等の情報を保持する。 [0111] 被参照変数値代入処理命令群生成部 240は、被参照変数に値を代入する被参照変数値代入処理命令群 310を生成する。

[0112] 被参照変数値代入処理命令群保持部 250は、被参照変数値代入処理命令群生成部 240が生成した被参照変数値代入処理命令群 310を保持する。

[0113] 被参照変数値保持部 260は、被参照変数値代入処理命令群 310が被参照変数に代入する値を保持する。

[0114] 被代入変数解析部 270は、第一処理命令群 140の処理結果が代入される変数 (被代入変数)が何であるかを解析する。

[0115] 被代入変数情報保持部 280は、被代入変数解析部 270による解析によって得られた被代入変数の変数名等の情報を保持する。

[0116] 想定値算出部 290は、被参照変数の値を被参照変数値保持部 260が保持する値とし、第一処理命令群 140を実行した際に得られる被代入変数の想定値を算出する

[0117] 想定値情報保持部 295は、想定値算出部 290が算出した想定値を保持する。

[0118] 依存処理命令群生成部 201は、第二処理命令群 150と想定値に基づき依存処理命令群 330を生成する。

[0119] 依存処理命令群保持部 202は、依存処理命令群生成部 201が生成した依存処理命令群 330を保持する。

[0120] 分岐処理命令群生成部 203は、入力処理命令群保持部 210が保持する第一処理命令群 140を呼び出す分岐処理命令群 320を生成する。

[0121] 分岐処理命令群保持部 204は、分岐処理命令群生成部 203が生成した分岐処理命令群 320を保持する。

[0122] 出力処理命令群生成部 205は、被参照変数値代入処理命令群保持部 250が保持する被参照変数値代入処理命令群 310と、分岐処理命令群保持部 204が保持する分岐処理命令群 320と、依存処理命令群保持部 202が保持する依存処理命令群

330とからなる出力処理命令群 160を生成する。

[0123] 出力処理命令群保持部 206は、出力処理命令群が生成した出力処理命令群 160 を保持する。 [0124] 以下、上述の各構成要素について詳細に説明する。なお、以下の説明においては各構成要素の機能説明に加え、図 5Aの第一処理命令群 140が入力された場合の具体的な動作例も説明する。

[0125] (2. 1)入力処理命令群保持部 210

入力処理命令群保持部 210は、外部から第一処理命令群 140と第二処理命令群 150の入力を受け付ける。つまり、入力処理命令群保持部 210は、第一処理命令群 140と第二処理命令群 150とを取得する。また、入力処理命令群保持部 210は、 1以上の処理命令群を記憶する領域を備えている。入力処理命令群保持部 210は、改竄防止処理生成装置 110に入力された第一処理命令群 140と第二処理命令群 150 を保持する。なお、入力を受け付ける部位と入力された命令群を保持する部位とを別々に構成してもよいことは言うまでもない。

[0126] (2. 2)被参照変数解析部 220

被参照変数解析部 220は、入力処理命令群保持部 210が保持する第一処理命令群 140を実行する際に必要となるパラメータを解析 (特定)し、解析 (特定)した情報を被参照変数情報保持部 230に格納する。

[0127] 具体的には、例えば、第一処理命令群 140が関数であれば、被参照変数解析部 2 20は、その関数の引数の型や名前、個数を特定する。また、例えば、第一処理命令群 140が外部変数を参照する処理を含む命令群であれば、被参照変数解析部 220 は、その外部変数の変数名や型を特定する。また、例えば、第一処理命令群 140がスタックの値を参照する処理を含む命令群であれば、被参照変数解析部 220は、参照されるスタックのサイズを特定する。また、例えば、第一処理命令群 140がアドレス変数で指定した位置に格納された値を参照する処理を含む命令群であれば、被参照変数解析部 220は、そのアドレス変数や格納する値の型を特定する。以下の説明では、このように特定された情報 (解析された情報）、すなわち、第一処理命令群 140 を実行する際に必要なパラメータに関する情報を総称して、被参照変数情報と呼ぶ

[0128] 具体的な例としては、被参照変数解析部 220は、図 5Aの第一処理命令群 140が入力された場合、関数の引数名とその引数の型「int encryptedData」を特定 (解析)し、これを被参照変数情報保持部 230に格納する。ここでは、引数名は「_encryp tedData」であり、型は「int」である。

[0129] (2. 3)被参照変数情報保持部 230

被参照変数情報保持部 230は、被参照変数情報を記憶する領域を備えて!/、る。

[0130] 被参照変数情報保持部 230は、被参照変数解析部 220によって特定された第一処理命令群 140の被参照変数情報を記憶する。

[0131] 具体的には、被参照変数情報保持部 230は、被参照変数解析部 220が図 5Aの第一処理命令群 140を解析した場合、関数の引数名と型「int encryptedData」を記憶する。

[0132] (2. 4)被参照変数値代入処理命令群生成部 240

被参照変数値代入処理命令群生成部 240は、第一処理命令群 140を実行する際に必要なパラメータに値を設定する処理命令群である被参照変数値代入処理命令群 310を生成し、生成した処理命令群を被参照変数値代入処理命令群保持部 250 に書き込む。また、被参照変数値代入処理命令群生成部 240は、パラメータに設定する値を被参照変数値保持部 260に書き込む。

[0133] 具体的には、例えば、被参照変数値代入処理命令群生成部 240は、被参照変数情報保持部 230が保持する変数名を取得する。次に、被参照変数値代入処理命令群生成部 240は、取得した取得した変数名が示す変数に代入する値を決定する。そして、被参照変数値代入処理命令群生成部 240は、取得した変数名と、決定した値との組を被参照変数値保持部 260に書き込む。さらに、被参照変数値代入処理命令群生成部 240は、変数に対して、先に決定した値を代入する処理 (被参照変数値代入処理命令群 310)を生成し、その処理を被参照変数値代入処理命令群保持部 25 0に書き込む。

[0134] より具体的には、被参照変数情報保持部 230が（2. 3)の具体例に示した処理を行つている場合、被参照変数値代入処理命令群生成部 240は、被参照変数情報保持部 230が保持する被参照変数情報「int encryptedDataJを取得する。次に、被参照変数値代入処理命令群生成部 240は、 r_encryptedDataJに代入する int型の定数値をランダムに決定する。ここでは、被参照変数値代入処理命令群生成部 240は、定数値を「0xF022」と決定するものとする。次に、被参照変数値代入処理命令群生成部 240は、決定した変数名と値との組「int encryptedData = 0xF022」を被参照変数値保持部 260に書き込む。また、被参照変数値代入処理命令群生成部 24 0は、「encryptedData = 0xF022」を被参照変数値代入処理命令群 310として被参照変数値代入処理命令群保持部 250に書き込む。

[0135] (2. 5)被参照変数値代入処理命令群保持部 250

被参照変数値代入処理命令群保持部 250は、 1以上の処理命令を記憶する領域を備える。被参照変数値代入処理命令群保持部 250は、被参照変数値代入処理命令群生成部 240が生成した被参照変数値代入処理命令群 310を記憶領域に記憶する。被参照変数値代入処理命令群生成部 240が生成した処理命令が複数ある場合には、複数の処理命令を記憶する。

[0136] 具体的には、被参照変数値代入処理命令群生成部 240が（2. 4)の具体例に示した処理を行って、る場合、「encryptedData = 0xF022；」を記憶する。

[0137] (2. 6)被参照変数値保持部 260

被参照変数値保持部 260は、第一処理命令群 140を実行する際に必要なパラメ一タ (被参照変数)に設定する値を記憶する領域を備える。

[0138] 具体的には、例えば、被参照変数値保持部 260は、変数名と値との組を複数記憶する領域を備え、被参照変数値代入処理命令群生成部 240が決定した変数名と、その変数名に対応する変数に代入する値との組を記憶する。

[0139] より具体的には、被参照変数値代入処理命令群生成部 240が（2. 4)の具体例に示した処理を行っている場合、被参照変数値保持部 260は、変数「encyrptedData 」と値「0xF022」との組を記憶する。

[0140] (2. 7)被代入変数解析部 270

被代入変数解析部 270は、入力処理命令群保持部 210が保持する第一処理命令群 140の処理結果が格納される格納先を解析 (特定)する。

[0141] 具体的には、例えば、第一処理命令群 140が関数である場合には、被代入変数解析部 270は、その関数の戻り値の変数名や型を特定する。また、例えば、第一処理命令群 140が外部変数に値を決定する処理であるならば、被代入変数解析部 270 は、その外部変数の変数名や型を特定する。また、例えば、第一処理命令群 140がスタックに値を格納する処理を含む命令群であれば、被代入変数解析部 270は、そのスタックのサイズやスタック上の位置 (スタックポインタ）を特定する。また、例えば、第一処理命令群 140がアドレス変数で指定した位置に値を格納する処理を含む命令群であれば、被代入変数解析部 270は、その格納されるアドレスを特定する。以降の説明では、このように特定された情報、すなわち、第一処理命令群 140の処理結果が格納される格納先の情報を総称して、被代入変数情報と呼ぶ。なお、スタック等が OS (Operating System)の機能として実現されている場合、スタックポインタゃスタックのサイズはプログラム中には明示的には表れないことがあるが、このような値も被代入変数情報である。

[0142] 次に、被代入変数解析部 270は、解析 (特定)した被代入変数情報を被代入変数情報保持部 280に格納する。

[0143] より具体的には、図 5Aの第一処理命令群 140を解析の対象とする場合、被代入変数解析部 270は、関数の戻り値が格納される変数名と型「int plainData」を特定し、「int plainData」を被代入変数情報保持部 280に格納する。

[0144] (2. 8)被代入変数情報保持部 280

被代入変数情報保持部 280は、被代入変数解析部 270によって特定された第一処理命令群 140の被代入変数情報を記憶する。

[0145] 第一処理命令群 140で値が決定される変数 (被代入変数)が複数ある場合には、そのうちの 1つ以上の変数名等 (被代入変数情報)を記憶する。なお、本発明は被代入変数が最低 1つ分かれば実現できるので、複数の被代入変数が特定されたとしてもその全てを記憶する必要はなヽ。どの被代入変数にっ、ての被代入変数情報を記憶するかは、被代入変数情報保持部 280が決定してもよいし、被代入変数解析部 270が決定してもよい。また、被代入変数情報を記憶する被代入変数をどれにするかの決定の仕方は特に問わないが、例えば、最初に見つ力つた被代入変数としたり、見つ力つた被代入変数力もランダムに決定するとしてもよい。

[0146] 具体的には、図 5Aの第一処理命令群 140に対して被代入変数解析部 270による解析が行われた場合、被代入変数情報保持部 280は、関数の戻り値が格納される変数名と型「int plainData」を記憶する。

[0147] (2. 9)想定値算出部 290

想定値算出部 290は、被参照変数値保持部 260が保持する被参照変数の値を用 Vヽて第一処理命令群 140を実行した場合に、被代入変数に代入される想定値を算出する。

[0148] 具体的には、想定値算出部 290は、以下の A)〜E)に示す処理を行う。

[0149] A)想定値算出部 290は、被代入変数情報保持部 280から被代入変数情報を読み込む。

[0150] B)想定値算出部 290は、被参照変数値保持部 260から被参照変数名および値を読み込む。

[0151] C)想定値算出部 290は、被参照変数に、読み込んだ値を代入し、入力処理命令群保持部 210が保持する第一処理命令群 140を実行する。

[0152] D)想定値算出部 290は、第一処理命令群 140の実行後の被代入変数の値を参照する。

[0153] E)想定値算出部 290は、被代入変数の変数名と、参照した被代入変数の値との組を想定値情報保持部 295に書き込む。

[0154] なお、被代入変数情報保持部 280が保持する被代入変数情報が複数ある場合には、想定値算出部 290は、それぞれの被代入変数情報の変数名とその値との組を想定値情報保持部 295に書き込む。

[0155] より具体的には、被参照変数値保持部 260が（2. 6)の具体例に示す処理を行っている場合、想定値算出部 290は、以下に示す A)〜E)の処理を行う。

[0156] A)想定値算出部 290は、被代入変数情報保持部 280が保持する被代入変数情報「int plainData」を読み込む。

[0157] B)想定値算出部 290は、被参照変数値保持部 260から「int encryptedData=

0xF022」を読み込む。ここで、被参照変数名は「encryptedData」であり、値は「0x

F022」である。

[0158] C)想定値算出部 290は、「decrypt (0xF022)；」を実行する。すなわち、「decryp t (encryptedData)；」の「encryptedData」に値「0xF022」を代入して計算を行う。 [0159] D)想定値算出部 290は、「decrypt (0xF022)；」を実行した結果得られる被代入変数「plainData」の値を算出する。ここでは、想定値算出部 290は、「0xF022'0x

OOFF = OxFODD」を算出する。

[0160] E)想定値算出部 290は、「int plainData=OxFODD」を想定値情報保持部 295 に格納する。ここで、被代入変数の変数名は「plainData」であり、値は「OxFODD」である。

[0161] (2. 10)想定値情報保持部 295

想定値情報保持部 295は、想定値情報を記憶する領域を備える。ここで、想定値情報とは想定値を保持すべき変数名やその想定値などの情報である。

[0162] 具体的には、想定値情報保持部 295は、想定値算出部 290が算出した想定値とその変数名とを上述の想定値情報として保持する。

[0163] より具体的には、想定値算出部 290が（2. 9)の具体例に示した処理を行っている場合、「int plainData=OxFODD」を保持する。ここで、想定値は「OxFODD」であり、変数名は「plainData」である。

[0164] (2. 11)依存処理命令群生成部 201

依存処理命令群生成部 201は、想定値情報保持部 295が保持する想定値および入力処理命令群保持部 210が保持する第二処理命令群 150に基づき依存処理命令群 330を生成する。

[0165] 依存処理命令群 330は、第二処理命令群 150と同等の処理を行う処理命令群であって、第一処理命令群 140の処理結果を参照する処理を含み、一部の処理がその参照した値を用いた処理となって、る処理命令群である。

[0166] 依存処理命令群生成部 201は、具体的には、例えば、以下に示す A)〜F)の処理を行う。

[0167] A)依存処理命令群生成部 201は、第二処理命令群 150に含まれる処理命令に含まれる定数を見つける。以下、この定数を含む処理命令を Or 1、その定数の値を Va 1とする。

[0168] B)依存処理命令群生成部 201は、想定値情報保持部 295が保持する想定値情報を読み込む。以下、その想定値を保持すべき変数を Vrl、その想定値を Va2とする。

[0169] C)依存処理命令群生成部 201は、 Va3 =Va2— Valを算出する。この時、 Val = Va2— Va3となる。

[0170] D)依存処理命令群生成部 201は、処理命令 Or 1に含まれる値 Valを、変数 Vrl ( 値 Va2を保持すべき変数)から値 Va3を引き算することで算出する処理命令 Or2を生成する。すなわち、 Or2は「（Vrl—Va3)」となる。

[0171] E)依存処理命令群生成部 201は、第二処理命令群 150の処理命令 Or 1を処理命令 Or2に置き換えた命令群である依存処理命令群 330を生成する。

[0172] このような置き換えを行えば、変数 Vrlの値が想定値 Va2であれば、「Vrl— Va3」の値は「Va2— Va3 =Val」となる。すなわち、処理命令 Or 1に含まれる値 Valに対して上記の置き換えを行ったとしても、処理命令 Or2は、 Vrlに正しい値が代入される限り、置き換えを行う前と同じ結果をもたらすことが出来る。

[0173] 具体的には、想定値情報保持部 295が（2. 10)の処理を行った場合、依存処理命令群生成部 201は、以下に示す A)〜E)の処理を行う。

[0174] A)依存処理命令群生成部 201は、処理命令 Orlを「decompressedData= (dec ompressedDataくく 1) | 0x0001；」とし、値 Valを「0x0001」とする。

[0175] B)依存処理命令群生成部 201は、想定値情報保持部 295から「int plainData

= 0xF0DD」を読み込む。ここで、依存処理命令群生成部 201は、変数 Vrlを「plai nDataJ、値 Va2を「0xF0DD」とする。

[0176] C)依存処理命令群生成部 201は、値 Va3、すなわち「0xF0DD— 0x000 l = 0xF

00じ」を算出する。

[0177] D)依存処理命令群生成部 201は、処理命令 Or2「decompressedData= (deco mpressedDataくく 1) | (plainData— OxFODC)；」を生成する。

[0178] E)依存処理命令群生成部 201は、第二処理命令群 150の処理命令 Orlを処理命令 Or2に置き換えた命令群である依存処理命令群 330を生成する。なお、本実施の形態は C言語によるプログラムであるとしているので、上述した処理の他に、依存処理命令群 330が C言語プログラムとして適切に動作するよう、関数宣言や変数宣言を追加する必要がある。 [0179] 以上により、図 5Cに図示する依存処理命令群 330と同じ命令群が生成される。

[0180] なお、ここでは、上述の C)で「Va3 =Va2— Val」の演算を行ったが、他の算出式による演算または処理を行っても構わない。具体的には、排他的論理和や加算などの演算を行ってもよいし、より複雑な変換を行う関数等の演算を行ってもよい。その場合、算出式または処理を変形し、 Va2を求める算出式または処理を生成し、それを V a2と置き変えればよい。すなわち、 Valと Va2とを用いた演算または処理を行うことで Va3を算出し、得られた Va3と Valとから Va2を逆算する演算または処理を行う命令群を生成し、それを Va2と置き換えればよい。

[0181] (2. 12)依存処理命令群保持部 202

依存処理命令群保持部 202は、 1以上の処理命令を記憶する領域を備える。依存処理命令群保持部 202は、依存処理命令群生成部 201が生成した依存処理命令群 330を記憶領域に記憶する。

[0182] 具体的には、依存処理命令群生成部 201が（2. 11)の処理を行った場合、依存処理命令群保持部 202は、図 5Cに示す依存処理命令群 330を記憶する。

[0183] (2. 13)分岐処理命令群生成部 203

分岐処理命令群生成部 203は、入力処理命令群保持部 210が保持する第一処理命令群 140を呼び出す分岐処理命令群 320を生成する。

[0184] 具体的には、例えば、第一処理命令群 140が関数であるならば、分岐処理命令群生成部 203は、関数コール命令を生成する。また、第一処理命令群 140がサブルーチンであるならば、分岐処理命令群生成部 203は、サブルーチンコール命令を生成する。また、第一処理命令群 140が例外処理ならば、分岐処理命令群生成部 203は、例外を発生させる処理命令を生成する。

[0185] より具体的には、入力処理命令群保持部 210が（2. 1)の処理を行った場合、分岐処理命令群生成部 203は、関数コール命令である「plainData = decrypt (encrypt edData)；」を分岐処理命令群 320として生成する。

[0186] (2. 14)分岐処理命令群保持部 204

分岐処理命令群保持部 204は、 1以上の処理命令を記憶する領域を備える。分岐処理命令群保持部 204は、分岐処理命令群生成部 203が生成した分岐処理命令群 320を記憶領域に記憶する。

[0187] 具体的には、分岐処理命令群生成部 203が（2. 13)の処理を行った場合、分岐処理命令群保持部 204は「plainData = decrypt (encryptedData)；」を記憶する。

[0188] (2. 15)出力処理命令群生成部 205

出力処理命令群生成部 205は、被参照変数値代入処理命令群保持部 250が保持する被参照変数値代入処理命令群 310と、分岐処理命令群保持部 204が保持する分岐処理命令群 320と、依存処理命令群保持部 202が保持する依存処理命令群

330とからなる出力処理命令群 160を生成する。

[0189] 具体的には、上記の（2. 14)までの処理が行われた場合、出力処理命令群生成部

205は、図 5Cの出力処理命令群 160を生成する。

[0190] (2. 16)出力処理命令群保持部 206

出力処理命令群保持部 206は、 1以上の処理命令群を記憶する領域を備えている

。出力処理命令群保持部 206は、出力処理命令群生成部 205が生成した出力処理命令群 160を記憶する。

[0191] 具体的には、出力処理命令群生成部 205が（2. 15)の処理を行った場合、出力処理命令群保持部 206は、図 5Cの出力処理命令群 160を記憶する。

[0192] (2. 17)改竄防止処理生成装置 110の動作

改竄防止処理生成装置 110の動作について、図 7を用いて説明する。

[0193] 図 7は、改竄防止処理生成装置 110の動作を示すフローチャートである。

[0194] 被参照変数解析部 220は、入力処理命令群保持部 210が保持する第一処理命令群 140を実行する際に必要となるパラメータの格納先である被参照変数に関する情報である被参照変数情報を解析 (特定)する (ステップ S 100)。

[0195] 被参照変数解析部 220は、特定 (解析)された被参照変数情報を被参照変数情報保持部 230に格納する（ステップ S102)。

[0196] 被参照変数値代入処理命令群生成部 240は、ステップ S 100で特定 (解析)された被参照変数に格納する値を決定する (ステップ S104)。

[0197] 被参照変数値代入処理命令群生成部 240は、ステップ S 104で決定した、被参照変数に格納する値、および被参照変数名を被参照変数値保持部 260に格納する（ステップ SI 06)。

[0198] 被参照変数値代入処理命令群生成部 240は、ステップ S 104で決定した値を被参照変数に格納する処理命令群である被参照変数値代入処理命令群 310を生成する (ステップ S 108)。

[0199] 被参照変数値代入処理命令群生成部 240は、ステップ S 108で生成した被参照変数値代入処理命令群 310を被参照変数値代入処理命令群保持部 250に格納する（ステップ S 110)。

[0200] 想定値算出部 290は、被参照変数値保持部 260が保持する被参照変数の値を用いて第一処理命令群 140を実行した場合の被代入変数が取る想定値を算出する (ステツプ S 112)。ここで、被代入変数解析部 270は、このステップ S 112が行われるよりも前に被代入変数の解析を行ヽ、その結果を被代入変数情報保持部 280に格納しているものとする。したがって、ステップ S 112では、想定値算出部 290は、被代入変数情報保持部 280から被代入変数に関する情報を得て、想定値を算出している。

[0201] 想定値算出部 290は、算出した想定値および、被代入変数名を想定値情報保持部に格納する (ステップ S 114)。

[0202] 依存処理命令群生成部 201は、想定値情報保持部 295が保持する想定値および入力処理命令群保持部 210が保持する第二処理命令群 150に基づき依存処理命令群 330を生成する（ステップ S 116)。

[0203] 依存処理命令群生成部 201は、生成した依存処理命令群 330を依存処理命令群保持部 202に格納する (ステップ S118)。

[0204] 分岐処理命令群生成部 203は、入力処理命令群保持部 210が保持する第一処理命令群 140を呼び出す分岐処理命令群 320を生成する (ステップ S120)。

[0205] 分岐処理命令群生成部 203は、生成した分岐処理命令群 320を分岐処理命令群保持部 204に格納する (ステップ S122)。

[0206] 出力処理命令群生成部 205は、被参照変数値代入処理命令群保持部 250が保持する被参照変数値代入処理命令群 310と、分岐処理命令群保持部 204が保持する分岐処理命令群 320と、依存処理命令群保持部 202が保持する依存処理命令群 330とからなる出力処理命令群 160を生成する (ステップ S124)。 [0207] 出力処理命令群生成部 205は、生成した出力処理命令群 160を出力処理命令群保持部 206に格納する（ステップ S 126)。

[0208] (2. 18)改竄防止処理生成装置 110の効果

改竄防止処理生成装置 110は、入力として与えられた第一処理命令群 140および第二処理命令群 150から（1. 5)で述べた効果を有する出力処理命令群 160を生成することが出来る。

[0209] 図 8は、改竄防止処理生成装置 110の効果を説明するための説明図である。

[0210] 改竄防止処理生成装置 110は、例えば、第一処理命令群 140と第二処理命令群 1 50とを含む入力プログラム（オリジナルプログラム） 101を取得して、その入力プログラム 101を改竄防止プログラム 102に変換して出力する。このとき、改竄防止処理生成装置 110は、上述のように、入力プログラム 101の第二処理命令群 150を出力処理命令群 160に変換して、る。

[0211] つまり、改竄防止処理生成装置 110は、第二処理命令群 150に対して、保護対象コードである第一処理命令群 140の呼出処理を追加するとともに、第二処理命令群 150の解凍処理を、保護対象コードである第一処理命令群 140の処理結果に依存させること (依存処理）により、改竄防止処理を生成している。

[0212] 保護対象コード (第一処理命令群 140)の呼出処理では、被参照変数値代入処理命令群 310において、保護対象コードの被参照変数「encryptedData」に値「0x00 22」が代入された状態で、保護対象コードが呼び出される。

[0213] その結果、改竄防止プログラム 102では、従来のように保護対象コードがデータとして読み込まれることがないため、不正解析者によって改竄防止処理が見つけられるのを困難にすることができる。

[0214] さらに、依存処理では、依存処理命令群 330の解凍処理「decompressedData =

(decompressedData< < 1) | (plainData— 0xF0DC」力、上述の呼出処理によつて保護対象コードが呼び出されて実行された結果 (第一処理命令群 140の処理結果)である「plainData」の値に依存している。つまり、保護対象コードが改竄されていなければ、「plainData」の値は想定値「0xF0DD」となるため、改竄防止プログラム 1 02の出力処理命令群 160が実行されると、第二処理命令群 150の解凍処理「deco mpressedData= (decompressedDataくく 1) | 0x0001」が正しく実行される。

[0215] 一方、保護対象コードが改竄されていれば、「plainData」の値は想定値「0xF0D Djと異なるため、改竄防止プログラム 102の出力処理命令群 160が実行されると、第二処理命令群 150の解凍処理とは異なる処理が実行される。つまり、改竄防止プログラム 102に含まれる入力プログラム 101の処理が正しく実行されないこととなる。

[0216] その結果、改竄防止プログラム 102では、従来のように判定 Z終了処理がないため、不正解析者によって改竄防止処理が見つけられるのをさらに困難にすることができる。もしも、プログラムに判定 Z終了処理があれば、不正解析者は、プログラムを複数回実行して各回におけるログを収集することにより、各回におけるログの違いに基づいて、判定 Z終了処理、すなわち判定 Z終了処理を伴う改竄防止処理を容易に見つけることができる。

[0217] しかし、改竄防止プログラム 102では、上述のように、判定 Z終了処理がないため、改竄防止処理を見つけることが困難になるのである。

[0218] さらに、不正解析者に対して、出力処理命令群 160から呼び出される保護対象コード (第一処理命令群 140)を出力処理命令群 160の処理の一部に見せかけることができ、第二処理命令群 150を難読化することができる。

[0219] このように、本実施の形態における改竄防止処理生成装置 110は、第二処理命令群 150に対して保護対象コードの呼出処理を追加するとともに依存処理を生成することにより、保護対象コードに対する改竄を確実に防止する出力処理命令群 160 (改竄防止プログラム 102)を生成することができる。また、本実施の形態における改竄防止処理生成装置 110は、実行中にメモリ上にあるコードをデータとして読み込むことができな!/、Java (登録商標）等の言語で記述されたプログラムに対しても、そのプログラムの保護対象コードに対する改竄を確実に防止することができる。

[0220] (変形例 1)

上述した実施の形態では、第一処理命令群 140の引数であった変数をそのまま被参照変数値代入処理命令群 310で値を代入する変数としてヽたが、これに限られるものではない。被参照変数値代入処理命令群生成部 240は、第二処理命令群 150 で使用されてヽる変数名を特定し、被参照変数情報保持部 230に保持されてヽる変数名のうち、第二処理命令群 150で使用されてヽな、変数名の変数にランダムな値を代入する処理を行う命令群を被参照変数値代入処理命令群 310としてもよヽ。このような構成を用いれば、第一処理命令群で戻り値を格納する変数名が、第二処理命令群 150で他の用途に使用されている場合でも第二処理命令群 150の難読化を行うことができる。

[0221] 上述した実施の形態では、第一処理命令群 140と第二処理命令群 150とは、本来、情報をやりとりする必要のない命令群であったため、第一処理命令群 140の処理結果を格納する変数をそのまま難読ィ匕に用いたとしても、そのことにより正、処理結果が書き換えられることはな力つた。しかし、第二処理命令群 150が、第一処理命令群 140を呼び出す命令をもともと含んでおり、その処理結果を利用する命令群である場合、単純に上述した難読化を施すと、被参照変数値代入処理命令群 310によつてその処理結果が書き換えられてしまうことにより、正常な動作が保証できなくなる。ここで、上述のように第二処理命令群 150に含まれない変数を用いることにより、難読化に用!ヽる変数と第二処理命令群 150にもともと含まれてヽた第一処理命令群 14 0の処理結果を格納する変数とが異なる変数となるため、処理結果に影響を与えることなく難読ィ匕を行うことができる。すなわち、第二処理命令群 150が第一処理命令群 140を呼び出すような処理を含む場合であっても、上述と同様の難読ィ匕を行うことができる。

[0222] なお、この場合であっても、 (1. 5)で述べたものと同様の効果が得られることは言うまでもない。

[0223] (変形例 2)

被参照変数値代入処理命令群生成部 240では、被参照変数に代入する値をランダムに決定するとしたが、代入する値によって、不正解析者の解析行為の困難さに差が出る場合がある。したがって、改竄防止処理生成装置 110の構成は、代入する値または想定値がユーザにより指定されるような構成であっても構わない。

[0224] 以下、図 5Cに示すように、被参照変数「encryptedData」に代入する値を「0xF0 22」とした場合と、「0XF0001」とした場合とで、不正解析者の解析行為の困難さの差を具体的に説明する。 [0225] 図 5Cに示すように、被参照変数「encryptedData」に代入する値を「0xF022」とすると、想定値算出部 290が算出する想定値は「OxFODD」であった。よって、第一処理命令群 140が処理「int decrypt (int encryptedData) {return OxFODD ; }」に改竄された場合でも、出力処理命令群 160は正常に動作することとなる。

[0226] 上記の処理は、第一処理命令群 140の戻り値を常に想定値となるようにした処理である。

[0227] この時、改竄後の第一処理命令群 140が出力する再生可能回数は、「0xF0DD」である。ここで、「0xF0DD」は、 2進標記した場合の最上位ビットが 1であるので、負の値である。すなわち、第一処理命令群 140が出力する再生可能回数は常に負の値となるので、仮に上記のような改竄に成功しても再生はできない。したがって、改竄に成功しても失敗しても再生ができな、ことから、不正解析者は改竄が成功したか否力の判断ができなくなる。また、仮に改竄に成功したと不正解析者が認識していたとしても、再生可能回数が常に負の値であるので、改竄が成功したことによる利益は薄い。

[0228] 一方、被参照変数に代入する値がランダムに「0x0001」と決まった場合、想定値算出部 290が算出する想定値は「0x00FE」である。よって、第一処理命令群 140が処理「int decrypt ( int encryptedData) {return OxOOFE ; }」に改竄された場合、出力処理命令群 160は正常に動作することとなる。

[0229] この時、改竄後の第一処理命令群 140が出力する再生可能回数 OxOOFEは、最上位ビットが 0であるので常に正の値となる。この場合、常に再生が可能となってしまうので、これは、不正解析者にとって望ましい改竄である。

[0230] このように、被参照変数に代入する値によって不正解析者の解析行為が困難さに差が出る場合がある。そこで、改竄防止処理生成装置 110を、代入する値または想定値がユーザにより指定されるような構成としてもよい。

[0231] (変形例 3)

実施の形態 1では、被参照変数の値をランダムに決定し、その値に対応する想定値を想定値算出部 290により算出したが、改竄防止処理生成装置 110を、予め被参照変数の値や想定値が与えられるような構成としても構わない。 [0232] 例えば、第一処理命令群 140を開発した後に行うテストの際のテストデータに含まれる、被参照変数情報や、被参照変数値、想定値などの情報を用いる構成としても構わない。

[0233] その場合、改竄防止処理生成装置 110は、被参照変数解析部 220、被代入変数解析部 270、想定値算出部 290を含まなくてよい。

[0234] このような構成は、同一の第一処理命令群 140を用いる複数の異なるプログラムのそれぞれに対して難読化を行うような場合や、難読化強度の調節を行う他の手法と組み合わせて適切な実行速度と強度を兼ね備えた出力処理命令群 160が得られるまで何度も難読化を試みる場合等に有効である。

[0235] すなわち、想定値の算出に時間が力かる場合、同じ想定値を得られるのみであるにも関わらず、難読ィ匕が行われるたびに想定値の算出処理が行われるので、それぞれの難読化に余分な時間がかかってしまう。上記のような構成を用いることで、一度想定値を算出すれば、その値を使い回すことができるので、想定値の算出にかかる時間の分、難読ィ匕処理に力かる時間を短くすることができる。

[0236] (変形例 4)

被参照変数を一つも含まないような第一処理命令群 140を対象とする場合には、改竄防止処理生成装置 110を、被参照変数解析部 220および被参照変数情報保持部 230を含まな、構成としてもよ!/、。

[0237] (変形例 5)

実施の形態 1の改竄防止処理生成装置 110では、 C言語を対象としているため、中間プログラムを保持する被参照変数値代入処理命令群保持部 250、分岐処理命令群保持部 204、および依存処理命令群保持部 202と、出力処理命令群生成部 205 とを備えて、中間プログラムから、変数宣言および関数宣言等を有する C言語のプログラム（出力処理命令群 160)を出力した。しかし、アセンブリ言語のような、順に処理命令を並べることでプログラムを生成できる言語を対象とする場合には、改竄防止処理生成装置 110は、これらの要素を備えずに、出力処理命令群保持部に 206に順に中間プログラムを追記して出力処理命令群 160を出力してもよい。

[0238] (変形例 6) 改竄防止処理生成装置 110の変形例である改竄防止処理生成装置 110aにつ、て図 9および図 10を用いて説明する。なお、以降の説明で、実施の形態 1の構成要素 (装置、部、および処理命令群など)の符号の語尾に「a」を付けたものはその構成要素の変形例である。例えば、改竄防止処理生成装置 110aは、実施の形態 1の構成要素である改竄防止処理生成装置 110の変形例である。また、本変形例における構成要素のうち、実施の形態 1の構成要素の名称および符号と同じ名称および符号を用いて示される構成要素は、実施の形態 1にて説明した構成要素と同一である。

[0239] 改竄防止処理生成装置 110aは改竄防止処理生成装置 110と同じく処理システム 100において用いられる装置である。改竄防止処理生成装置 110aは、第一処理命令群 140および第二処理命令群 150を入力とし、出力処理命令群 160aを出力する。以下、出力処理命令群 160aおよび改竄防止処理生成装置 110aを説明する。

[0240] (3)出力処理命令群 160aの構成

図 9は、改竄防止処理生成装置 110aによって生成された出力処理命令群 160aの具体例を示す図である。

[0241] 出力処理命令群 160aは、第一処理命令群 140を実行する際に必要となる各種パラメータに値を設定する被参照変数値代入処理命令群 310aと、第一処理命令群 14 0を呼び出す分岐処理命令群 320aと、第一処理命令群 140を呼び出した後に実行される依存処理命令群 330aとからなる。以下、この具体例を用いながら各部を説明する。

[0242] (3. 1)被参照変数値代入処理命令群 310a

被参照変数値代入処理命令群 310aは、第一処理命令群 140を呼び出して実行する際に必要となる各種パラメータに値を設定する処理である。図 5Cの被参照変数値代入処理命令群 310では、被参照変数「encryptedData」に格納される値は常に 1つの値「0xF022」と固定されていたのに対し、被参照変数値代入処理命令群 310 aでは、格納される値は 1つの固定された値とはならない。

[0243] 具体的には、図 9の被参照変数値代入処理命令群 310a「encryptedData = com pressedData< < 8 ;」では、被参照変数「encryptedData」に格納される値は「co mpressedData」の値に依存する。「compressedData」は、 0〜31の値（16進数表記で 0x00〜0xlF)を取るので、被参照変数値代入処理命令群「encryptedData = compressedData< < 8 ;」によって被参照変数「encryptedData」に代入される値は「0x0000、 0x0100、…ゝ 0xlF00」の!ヽずれ力となる。以降の説明では、被参照変数が取る値を集合の表現を用いて {encryptedData | encryptedData = 0x0 000、 0x0100、…ゝ OxlFOO}と表す。ある!/、は、被参照変数力取る値を、「compre ssedData」も使った集合の表現として {encryptedData | encryptedData = comp ressedData< < 8、 compressedData = OxOO、 0x01、…ゝ OxlF}と表す。

[0244] (3. 2)分岐処理命令群 320a

分岐処理命令群 320aは第一処理命令群 140に分岐する処理命令群である。

[0245] 実施の形態 1の場合、実行処理装置 130により出力処理命令群 160を実行した場合、第一処理命令群 140を呼び出した後の被代入変数「plainData」が取る値は常に 1つの固定された値である。なぜならば、第一処理命令群 140の処理結果に影響を与える変数は被参照変数であり、実施の形態 1では、その被参照変数に常に同じ値を代入して、る力である。

[0246] 一方、本変形例では、被参照変数「encryptedData」に代入される値は 1つの固定された値ではないので、被代入変数「_PlainData」に代入される値も 1つの固定された値とはならない。被参照変数「encryptedData」が取る値は「0x0000、 0x010

0、 · · ·、 0xlF00」のいずれかであるので、被代入変数「plainData」の取る値は、これらの値を第一処理命令群 140によって処理した結果である「0x00FF、 0x0 IFF,… 、 0xlFFF」のいずれかとなる。被代入変数が取る値を集合で表現した場合、 {plain Data I plainData = OxOOFF, 0x0 IFF,…ゝ OxlFFF}あるいは、 {plainData | p lainData = (compressedData< < 8) 0x00FF、 compressedData = 0x00、 Ox

01、…ゝ OxlF}となる。

[0247] (3. 3)依存処理命令群 330a

依存処理命令群 330aは、第一処理命令群 140を呼び出した後に実行される処理命令群であり、第二処理命令群 150と同等の処理を行う処理命令群である。具体的には、被代入変数の値が、 (3. 2)で述べた取り得る値のいずれであっても第二処理命令群 150と同等の処理を行う処理命令群である。 [0248] より具体的には、依存処理命令群 330aは、処理命令群「 for (counter =0 ; coun ter^ compressedData ; counter + + { decompressedData = ^decompressed Data< < 1) I ( (compressedData< < 8;TplainData-0x00FE) ; }」である。

[0249] 上記の処理命令群で、着目すべきは「（compressedDataく < 8) "plainData'Ox 00FE」の処理命令群の部分である。

[0250」 {plainData | plainData= (compressedData< < 8) 0x00FF、 compressed Data = 0x00, 0x01、…ゝ OxlF}の時、上記の処理命令群は「（compressedData < < 8) " (compressedData < < 8"0x00FF) '0x00FE」を算出する処理となり、出力値は常に 1となる。すなわち、（compressedData< < 8)と plainDataとは上位の 8ビットが同一の値 compressedDataであるので、排他的論理和演算の結果は常に値「0x00FF」となる。上記の処理命令群では、この値に対して、さら〖こ、 OxFEという最下位ビットのみ「0x00FF」と異なる値との排他的論理和を取ることにより、最下位ビットのみが 1の値、すなわち、「0x0001」力得られる。よって、依存処理命令群 330 aは、被代入変数の値力 (3. 2)で述べた取り得る値のいずれであっても第二処理命令群 150と同等の処理となる。

[0251] (3. 4)出力処理命令群 160aの効果

出力処理命令群 160aを用いれば、被代入変数に格納される値は変数「compress edDatajに依存して変化する値となるので、不正解析者の解析が困難になる。以下、この詳細を説明する。

[0252] 実施の形態 1の場合、不正解析者が、被参照変数「compressedData」に「0〜31 」の何れかの値を順に代入して出力処理命令群 160を実行すると、分岐処理命令群 320 rplainData = decrypt (encryptedData)」の処理結果である被代入変数「plai nData」の値は常に 1つの固定された値「0xF0DD」となる。そこで、不正解析者は、「plainData」の値は常に「0xF0DD」になると推測して、分岐処理命令群 320を「pla inData = 0xF0DD；」に置き換える改竄を行うことができる。このような手順で不正解析者が解析を行った場合、不正解析者は、第一処理命令群 140の中身を解析せずに出力処理命令群 160を効率的に解析することが出来る。一方、出力処理命令群 1 60aの場合には、被代入変数の値は「compressedData」の値に応じて変化するため、このような解析を行うことは出来ない。

[0253] (4)改竄防止処理生成装置 110aの構成

図 10は、改竄防止処理生成装置 110aの構成を示す図である。

[0254] 改竄防止処理生成装置 110aは、図 6の改竄防止処理生成装置 110の、被参照変数値代入処理命令群生成部 240、被参照変数値保持部 260、想定値算出部 290、想定値情報保持部 295、および依存処理命令群生成部 201がそれぞれ、被参照変数値代入処理命令群生成部 240a、被参照変数値保持部 260a、想定値算出部 29 0a、想定値情報保持部 295a、および依存処理命令群生成部 201aに置換わったものである。

[0255] 以下、置き換わった構成要素のそれぞれにつ、て説明する。なお、以下の例で挙げる具体例は、図 9に示す出力処理命令群 160aとは異なる出力処理命令群を得るための処理であることに注意されたい。

[0256] (4. 1)被参照変数値代入処理命令群生成部 240a

被参照変数値代入処理命令群生成部 240aは、第一処理命令群 140を実行する際に必要なパラメータに値を設定する処理命令群である被参照変数値代入処理命令群 310aを生成し、生成した処理命令群を被参照変数値代入処理命令群保持部 2 50に書き込む。また、パラメータに設定する値を被参照変数値保持部 260aに書き込む。

[0257] 具体的には、例えば、被参照変数値代入処理命令群生成部 240aは、被参照変数情報保持部 230が保持する変数名を取得し、取得したそれぞれの変数に対し以下の A)〜D)の処理を行う。

[0258] A)被参照変数値代入処理命令群生成部 240aは、被参照変数値代入処理命令群 310aを決定する。被参照変数値代入処理命令群 310aは、第二処理命令群 150 の被依存変数を用いてランダムに生成されるとしてもよいし、あら力じめ定められた命令群のテンプレートに被依存変数を当てはめる等としてもよい。

[0259] B)被参照変数値代入処理命令群生成部 240aは、決定した被参照変数値代入処理命令群 310aを被参照変数値代入処理命令群保持部 250に書き込む。

[0260] C)被参照変数値代入処理命令群生成部 240aは、被参照変数値代入処理命令群 310aによる、被参照変数が取りうる値の集合を求める。

[0261] D)被参照変数値代入処理命令群生成部 240aは、求めた集合を被参照変数値保持部 260aに書き込む。

[0262] より具体的には、図 5Aの第一処理命令群 140に対しては、以下の処理が行われる [0263] A)被参照変数値代入処理命令群生成部 240aは、被参照変数値代入処理命令群 310&を「6110^ 6(10& & =

< 8」とする。この処理命令群は

、第二処理命令群 150の被依存変数を用、てランダムに生成した式である。

[0264] B)被参照変数値代入処理命令群生成部 240aは、被参照変数値代入処理命令群

310a「encryptedData = compressedData< < 8」を被参照変数値代入処理命令群保持部 250に書き込む。

[0265] C)被参照変数値代入処理命令群生成部 240aは、被参照変数値代入処理命令群

310aによる、被参照変数が取りうる値の集合を求める。この集合は、 {encryptedDa ta I encrypteaData = compressedData w 8、 compressedData = OxOO、 0x0

1、 · · ·、 OxlF}となる。

[0266] D)被参照変数値代入処理命令群生成部 240aは、求めた集合を被参照変数値保持部 260aに書き込む。ここでは、集合 {encryptedData | encryptedData = com pressedData < < 8、 compressedData = OxOO、 0x01、、、 OxlF}を書き込む。

[0267] (4. 2)被参照変数値保持部 260a

被参照変数値保持部 260aは、第一処理命令群 140を実行する際に必要なパラメータに設定する値を記憶する領域を備える。

[0268] 具体的には、例えば、被参照変数値保持部 260aは、変数名と、その変数名の変数が取りうる値の集合の情報とを記憶する領域を備える。

[0269] より具体的には、図 5Aの第一処理命令群 140に対しては、被参照変数値保持部 2 60aは、集合 {encryptedData | encryptedData = compressedData w 8、 co mpressedData = 0x00、 0x01、…ゝ OxlF}を保持する。ここで、変数名は「encryp tedData」"Cあり、その値の集合は、 {encryptedData = compressedData< < 8、 compressedData = 0x00, 0x01、 · · ·、 OxlF}である。なお、保持する内容は、具体的に値を列挙したものであっても、集合の表現であっても構わな、。

[0270] (4. 3)想定値算出部 290a

想定値算出部 290aは、被参照変数値保持部 260aが保持する被参照変数の値を用いて第一処理命令群 140を実行した場合に、被代入変数に代入される想定値の値を算出する。ここで、被参照変数の値が 1つの値だけではなぐ値の集合に含まれる何れかの値であるので、想定値算出部 290aは、想定値を集合として求める。

[0271] 具体的には、想定値算出部 290aは、例えば以下の A)〜C)の処理を行う。

[0272] A)想定値算出部 290aは、被代入変数情報保持部 280から被代入変数情報を読み込む。

[0273] B)想定値算出部 290aは、被参照変数値保持部 260aから被参照変数名、および値の集合を読み込み、値の集合の要素につ!、て以下の（ a )および（ j8 )の処理を繰り返す。

[0274] ( α )想定値算出部 290aは、被参照変数に、読み込んだ値を代入し、入力処理命令群保持部 210が保持する第一処理命令群 140を実行する。

[0275] ( |8 )想定値算出部 290aは、第一処理命令群 140の実行後の被代入変数の値を参照する。

[0276] C)想定値算出部 290aは、 B)で参照した値の集合および、 A)で読み込んだ被代入変数の変数名を想定値情報保持部 295に格納する。

[0277] より具体的には、（4. 1)および (4. 2)の具体例に示した処理が行われている場合

、想定値算出部 290aは、以下の処理を行う。

[0278] A)想定値算出部 290aは被代入変数情報「int plainData」を読み込む。

[0279] B)想定値算出部 290aは集合 {encryptedData | encryptedData = compresse dData< < 8、 compressedData = OxOO、 0x01、…ゝ OxlF}を読み込む。

[0280] 想定値算出部 290aは「compressedData」が「0x00、 0x01、 · · ·、 0xlF」の各場合にっ、て、以下の（ひ )および（ β )の処理を繰り返す。

[0281] ( α )想定値算出部 290aは「compressedData」が各値の場合の「encryptedD atajの値を算出し、さらに第一処理命令群 140による処理の結果である「encrypted

Data'0x00FF」を算出する。 [0282] ( j8 )想定値算出部 290aは、算出した値を参照する。なお、 compressedDataが「0x00、 0x01、 · · ·、 0xlF」の各場合について被代入変数「plainData」の値は「0x0 OFF, 0x0 IFF,…ゝ 0xlFFF」となる。

[0283] C)想定値算出部 290aは、 {plainData | plainData=0x00FF、 0x0 IFF,…ゝ 0 xlFFF}を想定値情報保持部 295に格納する。

[0284] なお、上述した処理は、「plainData」の値の集合を、列挙により表現する場合の処理である。「plainData」の値を集合の表現として記録する場合には、想定値算出部 290aは、 )および（j8 )の処理を繰り返す代わりに、第一処理命令群 140の処理「 encrypedData 0x00FF」用いて、 ipiamData | plamData= (compressedDa ta< < 8) "0x00FF, compressedData = 0x00、 0x01、…ゝ OxlF}を格納しても構わない。

[0285] (4. 4)想定値情報保持部 295a

想定値情報保持部 295aは、想定値情報を記憶する領域を備える。

[0286] 具体的には、想定値情報保持部 295aは、想定値算出部 290aが算出した想定値の集合とその変数名を上述の想定値情報として保持する。

[0287] より具体的には、想定値情報保持部 295aは、想定値算出部 290aが（4. 3)に示した具体例の処理を行っている場合、 {plainData | plainData = 0x00FF、 0x0 IFF 、 · · ·、 OxlFFF}を記憶する。ここで、変数名は「plainData」であり、その値の集合は、 { plainData = 0x00FF、 0x0 IFF,…ゝ OxlFFF}である。なお、上述のような値を列挙する形式で想定値を保持するのではなぐ集合を示す形で想定値を保持してもよいことは言うまでもない。この場合、想定値情報保持部 295aは、 {plainData | pla mData = (.compressedData^ ^ 8) 0x00FF、 compressedData = 0x00、 0x0 1、 ' ^ OxlF}を記憶する。

[0288] (4. 5)依存処理命令群生成部 201a

依存処理命令群生成部 201aは、想定値情報保持部 295aが保持する想定値および入力処理命令群保持部 210が保持する第二処理命令群 150に基づき依存処理命令群 330aを生成する。

[0289] 依存処理命令群 330aは、第二処理命令群 150と同等の処理を行う処理命令群であって、第一処理命令群 140の処理結果を参照する処理を含み、一部の処理がその参照した値を用いた処理となって、る処理命令群である。

[0290] 具体的には、例えば、依存処理命令群 330aは、以下の A)〜F)の処理を行う。

[0291] A)依存処理命令群生成部 201aは、第二処理命令群 150に含まれる処理命令に含まれる定数を見つける。この定数を含む処理命令を Or 1、その定数の値を Valとする。

[0292] B)依存処理命令群生成部 201aは、想定値情報保持部 295aが保持する想定値情報を読み込む。

[0293] C)依存処理命令群生成部 201aは、想定値の集合の全ての要素を 1つの値 Va2 に対応させる写像 Fを生成する。例えば、被参照変数が Xであり、想定値の集合が {x I x=x— 0、 x— 1、 · · ·、 x— n}の時、依存処理命令群生成部 201aは、写像 Fを (χ' χ_0) * (χ'χ_1) *… * (χ'χ_η)とする。ここで、「*」は乗算を示す。 x=x_t (t =0、 1、 · · ·、 nの何れ力）であるので、写像 Fを示す式の第 t項 (x"x— t)の値は 0となり、第 t項以外の項は値が何であっても値 0 (第 t項）との積となるので写像 Fは 0となる。つまり、この例では、 Va2= (x"x_0) * (x"x_l) *… * (x"x_n) =0の関係が成り立つ。

[0294] D)依存処理命令群生成部 201aは、 Va3 =Va2— Valを算出する。先述の例では , Val =Va2-Va3 = (x"x_0) * (x'x— 1) *… * (x'x— n)— Va3の関係力城り立つ。

[0295] E)依存処理命令群生成部 201aは、処理命令 Or 1に含まれる値 Valを「写像 Fの処理 Va3」に置き換えた処理命令 Or2を生成する。

[0296] F)依存処理命令群生成部 201aは、第二処理命令群 150の処理命令 Or 1を処理命令 Or2に置き換えた命令群である依存処理命令群 330を生成する。

[0297] より具体的には、想定値情報保持部 295aが (4. 4)の具体例に示した処理を行つている場合、依存処理命令群生成部 201aは、以下の A)〜F)の処理を行う。

[0298] A)依存処理命令群生成部 201aは、第二処理命令群 150に含まれる処理命令に含まれる定数を見つける。つまり、依存処理命令群生成部 201aは、この定数を含む処理命令 Orlを「decompressedData= (decompressedDataくく 1) | 0x0001 ；」とし、その定数の値 Valを「0x0001」とする。

[0299] B)依存処理命令群生成部 201は、想定値情報保持部 295から想定値情報 {plain

Data I plainData = OxOOFF, 0x0 IFF,…ゝ OxlFFF}を読み込む。

[0300] C)依存処理命令群生成部 201aは、想定値の集合の全ての要素を 1つの値 Va2「

0」に対応させる写像 F「（plainData "OxOOFF) * (plainData "0x0 IFF) *… * (p lainData'Oxl IFF)」を生成する。

[0301] D)依存処理命令群生成部 201aは、 Va3 =Va2— Valを算出する。すなわち「Va

3 = 0 - 0x0001 =— 1 = OxFFFF」を算出する。

[0302] E)依存処理命令群生成部 201aは、処理命令 Orlに含まれる値 Val「0x0001」を

、「写像 Fの処理— Va3」すなわち「（plainData'OxOOFF) * (plainData "0x0 IFF

) * · · · * (plainData "Oxl IFF) -OxFFFFjに置き換えた処理命令 Or2を生成する

[0303] すなわち、処理命令 Or2「decompressedData= (decompressedDataくく 1)

I ( (plainData "OxOOFF) * (plainData "0x0 IFF) *… * (plainData "0x1 IFF ) )一 OxFFFF)；」を生成する。

[0304] F)依存処理命令群生成部 201は、第二処理命令群 150の処理命令 Orlを処理命令 Or2に置き換えた命令群である依存処理命令群 330aを生成する。

[0305] すなわち、「 ior、counter=0 ; counter< compressedData ; counterバ decom pressedData= (decompressedData < < 1) | "plainData OxOOFF) * (plain Data'OxOlFF) *〜* (plainData'Oxl lFF) )— OxFFFF) ; }」が生成される。

[0306] ここでは、更に、 C言語の言語形式にしたがって関数宣言や変数宣言を追加する。

[0307] なお、 C)では想定値の集合の全ての要素を 1つの値に対応させる写像 Fの一例を示したが、他の写像であっても構わない。また、写像 Fを予めいくつか登録できるようにして、その中から選択する構成であっても構わない。また、写像 Fをユーザが指定する構成であっても構わない。この場合も、実施の形態 1と同様、同じ写像を使って何度も難読ィ匕が行われる場合に有用である。

[0308] また、上記で説明した写像 Fとは異なる他の写像の具体例としては、例えば図 9の依存処理命令群 330a中の「（compressedDataく < 8) ' plainData 'OxOOFEj力 S ある。このような写像であっても正しい値「0x0001」が得られることは、上述したとおりである。

[0309] (変形例 7)

改竄防止処理生成装置 110は、複数の処理命令群の入力を受け付け、その中から第一処理命令群 140と第二処理命令群 150を選択してもよい。例えば、改竄防止処理生成装置 110は、処理命令群 Al、処理命令群 A2、 ···、処理命令群 Anを取得し、その中からランダムに第一処理命令群 140と第二処理命令群 150の組を選択し難読化を行っても構わない。さらに、処理を行う対象は 1組だけに限るものではなぐ選択と難読化を繰り返しても構わな!/ヽ。

[0310] また、例えば、改竄防止処理生成装置 110は、第一処理命令群 140を処理命令群 A1とし、第二処理命令群 150を処理命令群 A1以外の処理命令群からランダムに選択して難読化を行い、以下、処理命令群 A2、 · ··、 Anについてもそれぞれを第一処理命令群 140とし、その第一処理命令群 140とされた処理命令群以外の処理命令群から第二処理命令群 150を選択して難読化してもよい。

[0311] 以上のような構成を用いれば、処理命令群 Al〜Anは複雑に絡みあうので、さらに改竄を困難にすることが出来る。

[0312] また、本発明の応用例として、改竄防止処理生成装置 110と同等の構成を一部として含み、プログラムの実行時に改竄防止処理生成装置 110による変換を行った上でプログラムを実行する実行処理装置を実装することも考えられる。この場合、その実行処理装置に本変形例と同様の構成を持たせると、どの処理命令群が第一処理命令群および第二処理命令群であるのかを特定することが困難になるため、より解析を困難にすることができる。

[0313] (変形例 8)

ここでは、第一処理命令 140に含まれる命令を保護対象とし、その命令に対する改竄を防止する場合について説明した。しかし、改竄を防止すべき対象は命令に限るものではなぐデータであってもよい。実施の形態 1のように、命令群を保護する場合は、その命令群へ分岐する処理を追加していたが、保護対象がデータである場合には、そのデータを所定の変数等に読み込む処理を追加する。例えば、第一処理命令群 140が使用するデータを保護対象とする場合であれば、分岐処理命令群 320の替わりに、保護対象データを読み込む処理を追加し、依存処理命令群 330は、その変数に依存し、変数に格納されている値が想定値 (ここでは、改竄のないデータ)である場合に正しく動作する構成とすることが考えられる。

[0314] このような構成を用いれば、分岐処理命令群 320によって第一処理命令群 140が実行される替わりに、保護対象データが変数に読み込まれる。そして、保護対象データに改竄があれば、変数に読み込まれる値が変化することにより、依存処理命令群 3 30が第二処理命令群 150と異なる動作をするようになる。したがって、実施の形態 1 における第一処理命令群 140に対する保護と同様にして、保護対象データを保護することができる。なお、保護対象データは、例えば、携帯電話における電話番号等の機器固有番号である。

[0315] (実施の形態 2)

本発明に関わる実施の形態 2としての処理システム 100bについて説明する。

[0316] 図 11は、実施の形態 2における処理システム 100bの構成を示す図である。

[0317] 本実施の形態における処理システム 100bは、第一処理命令群 140bの入力を受け付けて、第一処理命令群 140bの改竄チェックを目的とした出力処理命令群 160b を生成するシステムであって、改竄防止処理生成装置 110b (命令生成装置）と、実行処理装置 130bとを備える。

[0318] 改竄防止処理生成装置 110bは、保護対象コードを確実に保護し得るプログラムを生成する装置である。つまり、改竄防止処理生成装置 110bは、保護対象コードである第一処理命令群 140bを取得して、その保護対象コードの改竄チェック処理を行う出力処理命令群 160bを生成する。また、改竄防止処理生成装置 110bは、その生成された出力処理命令群 160bと第一処理命令群 140bとを記録媒体 120bに書き込む。

[0319] 実行処理装置 130bは、記録媒体 120bに記録されている第一処理命令群 140bおよび出力処理命令群 160bを読み出して実行する。

[0320] なお、改竄防止処理生成装置 110bは、第一処理命令群 140bおよび出力処理命令群 160bを記録媒体 120bに書き込むことなぐ通信媒体を介して実行処理装置 13 Obに送信してもよい。

[0321] 出力処理命令群 160bは、処理の途中で第一処理命令群 140bを呼び出す構成となっている。すなわち、実行処理装置 130bで出力処理命令群 160bが実行される場合、最初は出力処理命令群 160bに含まれる命令群が実行され、途中で第一処理命令群 140bが呼び出されて実行され、次にまた出力処理命令群 160bの続きの処理命令群が実行される。

[0322] 第一処理命令群 140bは、実行処理装置 130bで実行される処理命令群であって、出力処理命令群 160bの処理の途中に実行される場合もあれば、それとは別に実行される場合ちある。

[0323] 具体的には、例えば、第一処理命令群 140bは、コンテンツの暗号化された再生可能回数を入力とし、これを復号し、平文の再生可能回数を出力する処理である。出力処理命令群 160bは第一処理命令群 140bが改竄されていないかをチェックし、改竄されていない場合、 0を返し、改竄されていた場合、実行処理装置 130bで実行中の処理を停止する処理命令群である。

[0324] 以下、それぞれについて詳細な説明を行う。

[0325] (1)出力処理命令群 160bの構成

図 12は、出力処理命令群 160bの構成を示す図である。

[0326] 出力処理命令群 160bは、第一処理命令群 140bを実行する際に必要となる各種パラメータに値を設定する被参照変数値代入処理命令群 310bと、第一処理命令群 140bを呼び出す分岐処理命令群 320bと、第一処理命令群 140bを呼び出した後に実行される依存処理命令群 330bとからなる。実行処理装置 130bで出力処理命令群 160bが実行される場合、被参照変数値代入処理命令群 310b、分岐処理命令群 320b、第一処理命令群 140b、依存処理命令群 330bの順に各処理命令群の処理が実行される。

[0327] 以下、それぞれを説明する。

[0328] (1. 1)被参照変数値代入処理命令群 310b

実施の形態 1における被参照変数値代入処理命令群 310と同様である。

[0329] (1. 2)分岐処理命令群 320b 実施の形態 1における分岐処理命令群 320と同様である。

[0330] (1. 3)依存処理命令群 330b

依存処理命令群 330bは、第一処理命令群 140bを呼び出した後に実行される処理命令群であり、第一処理命令群 140bの処理結果に基づき改竄をチェックする処理を行う。

[0331] 第一処理命令群 140bの処理結果とは、具体的には、例えば、第一処理命令群 14 Obが関数である場合には関数の戻り値である。また、例えば、第一処理命令群 140b が外部変数に値を決定する命令群であるならば、第一処理命令群 140bの処理結果とは、外部変数に代入された値である。また、例えば、第一処理命令群 140bがスタツクに値を格納する命令群であれば、第一処理命令群 140bの処理結果とは、スタックに格納された値である。また、例えば、第一処理命令群 140bがアドレス変数で指定した位置に値を格納する命令群であれば、第一処理命令群 140bの処理結果とは、その格納された値である。これらの第一処理命令群 140bの処理結果が格納される格納先のことを、実施の形態 1と同様に、被代入変数と呼ぶものとする。

[0332] 第一処理命令群 140bの処理結果を予め知ることは一般には出来ないが、第一処理命令群 140bを実行する際に必要となる各種パラメータの値が被参照変数値代入処理命令群 310bで設定した値である時に限っては、処理結果の値を予め知ることができる。具体的には、例えば、被参照変数値代入処理命令群 310bが設定する値を実際に被参照変数に設定した上で、第一処理命令群 140bを実行すれば、処理結果の値を知ることができる。以降の説明では、実施の形態 1と同様に、この値を想定値と呼ぶものとする。

[0333] (1. 4)出力処理命令群 160bの一例

図 13は、 C言語で記述された出力処理命令群 160bの具体例を示す図である。

[0334] 出力処理命令群 160bは、図 5Aの第一処理命令群 140と同等の処理命令群を第一処理命令群 140bとした時の出力処理命令群であり、第一処理命令群 140bの改竄チェックを行う処理命令群である。

[0335] 被参照変数値代入処理命令群 310b r_encryptedData=0xF022；」は、第一処理命令群 140bを呼び出す際の引数に値を代入する処理を示す命令群である。すなわち、被参照変数値代入処理命令群 310bは変数「encryptedData」に値「0xF02 2」を代入する。

[0336] 分岐処理命令群 320b「plainData = decrypt (encryptedData)；」は、引数を変数「encryptedData」として第一処理命令群 140bを呼び出す処理を示す命令群であり、処理結果を変数「plainData」に格納する。実行処理装置 130bにおいて、分岐処理命令群 320bが正常に実行された場合の戻り値の想定値は、変数「encrypted DataJを値「0xF022」とし、第一処理命令群 140bの処理を行った際の結果である「 0xF022"0x00FF = 0xF0DD」となる。

[0337] 依存処理命令群 330bは、第一処理命令群 140bの処理結果が、想定値と等ヽかを判定し、等しい場合は 0を返し、等しくない場合は実行処理装置 130bで実行中の処理を停止する処理命令群であって、「 if (plainData！ =0xF0DD) {exit (l)； }return0；」により表される。

[0338] 上記の処理にぉ、て、第一処理命令群 140bが改竄されて、る場合、第一処理命令群 140bの処理結果は想定値と異なる値となる。

[0339] (1. 5)出力処理命令群 160bの効果

実施の形態 2の出力処理命令群 160bは、第一処理命令群 140bを実行する際に必要となる各種パラメータに値を設定する被参照変数値代入処理命令群 310bと、第一処理命令群 140bを呼び出す分岐処理命令群 320bと、第一処理命令群 140b を呼び出した後に実行される依存処理命令群 330bとからなる。

[0340] このような構成を用いれば、第一処理命令群 140bの処理命令が改竄されて、る場合、第一処理命令群 140bの処理結果が想定値と等しいかを判定することにより、第一処理命令群 140bの改竄を検出することができる。

[0341] 従来のハッシュチェックによる改竄チェックは、プログラムをデータとして読み込む必要があった。ところが、通常のプログラムは実行対象として読み込まれることはあっても、データとして読み込まれることは少なぐまた読み込みに使用する命令も特殊なものである。よって、不正解析者は、命令を監視し、プログラムをデータとして読み込む命令が実行された場合、その読み込みを行って!、る処理は改竄チェック処理命令群の一部であり、読み込まれている処理は改竄防止対象となる重要な処理である可能性が高いと判断することができた。しかし、本実施の形態の方法では、プログラムをデータとしてアクセスすることなくプログラムの改竄を検出することが出来る。また、プログラムをデータとしてアクセスすることを禁止している言語でも改竄チェックを行うことができる。

[0342] (2)改竄防止処理生成装置 110bの構成

図 14は、改竄防止処理生成装置 110bの構成を示す図である。ここで、改竄防止処理生成装置 110bは、第一処理命令群 140bの改竄チェックを行う出力処理命令群 160bを生成する装置である。

[0343] 改竄防止処理生成装置 110bは、入力処理命令群保持部 210b、被参照変数解析部 220b、被参照変数情報保持部 230b、被参照変数値代入処理命令群生成部 24 0b、被参照変数値代入処理命令群保持部 250b、被参照変数値保持部 260b、被代入変数解析部 270b、被代入変数情報保持部 280b、想定値情報保持部 295b、想定値算出部 290b、依存処理命令群生成部 201b、依存処理命令群保持部 202b 、分岐処理命令群生成部 203b、分岐処理命令群保持部 204b、出力処理命令群生成部 205b、および出力処理命令群保持部 206bを備えてヽる。

[0344] 入力処理命令群保持部 210bは、第一処理命令群 140bを取得して保持する。

[0345] 被参照変数解析部 220bは、第一処理命令群 140bを実行する際に値を設定しておく必要のある引数等の変数 (被参照変数)が何であるかを解析する。

[0346] 被参照変数情報保持部 230bは、被参照変数解析部 220bによる解析によって得られた被参照変数の変数名等の情報を保持する。

[0347] 被参照変数値代入処理命令群生成部 240bは、被参照変数に値を代入する被参照変数値代入処理命令群 31 Obを生成する。

[0348] 被参照変数値代入処理命令群保持部 250bは、被参照変数値代入処理命令群生成部 240bが生成した被参照変数値代入処理命令群 310bを保持する。

[0349] 被参照変数値保持部 260bは、被参照変数値代入処理命令群 310bが被参照変数に代入する値を保持する。

[0350] 被代入変数解析部 270bは、第一処理命令群 140bの処理結果が代入される変数

(被代入変数)が何であるかを解析する。 [0351] 被代入変数情報保持部 280bは、被代入変数解析部 270bによる解析によって得られた被代入変数の変数名等の情報を保持する。

[0352] 想定値算出部 290bは、被参照変数の値を被参照変数値保持部 260bが保持する値とし、第一処理命令群 140bを実行した際に得られる被代入変数の想定値を算出する。

[0353] 想定値情報保持部 295bは、想定値算出部 290bが算出した想定値を保持する。

[0354] 依存処理命令群生成部 201bは、想定値に基づき依存処理命令群 330bを生成する。

[0355] 依存処理命令群保持部 202bは、依存処理命令群生成部 201bが生成した依存処理命令群 330bを保持する。

[0356] 分岐処理命令群生成部 203bは、入力処理命令群保持部 210bが保持する第一処理命令群 140bを呼び出す分岐処理命令群 320bを生成する。

[0357] 分岐処理命令群保持部 204bは、分岐処理命令群生成部 203bが生成した分岐処理命令群 320bを保持する。

[0358] 出力処理命令群生成部 205bは、被参照変数値代入処理命令群保持部 250bが保持する被参照変数値代入処理命令群 310bと、分岐処理命令群保持部 204bが保持する分岐処理命令群 320bと、依存処理命令群保持部 202bが保持する依存処理命令群 330bとからなる出力処理命令群 160bを生成する。

[0359] 出力処理命令群保持部 206bは、出力処理命令群生成部 205bが生成した出力処理命令群 160bを保持する。

[0360] 以下、実施の形態 1と異なる入力処理命令群保持部 210b、および依存処理命令群生成部 201bについて説明する。他の部は、実施の形態 1記載の対応する部と同等の処理を行うので、説明を省略する。

[0361] (2. 1)入力処理命令群保持部 210b

入力処理命令群保持部 210bは、外部から第一処理命令群 140bの入力を受け付ける。つまり、入力処理命令群保持部 210bは、第一処理命令群 140bを取得する。また、入力処理命令群保持部 210bは、 1以上の処理命令群を記憶する領域を備えている。入力処理命令群保持部 210bは、改竄防止処理生成装置 110bに入力された第一処理命令群 140bを保持する。

[0362] (2. 2)依存処理命令群生成部 201b

依存処理命令群生成部 201bは、想定値情報保持部 295bが保持する想定値に基づき依存処理命令群 330bを生成する。

[0363] 具体的には、例えば、依存処理命令群生成部 201bは、以下の A)〜D)の処理を行う。

[0364] A)依存処理命令群生成部 201bは、想定値情報保持部 295bが保持する想定値情報を読み込む。

[0365] B)依存処理命令群生成部 201bは、その想定値を保持すべき変数 (被代入変数）を Vrl、その想定値を Valとする。

[0366] C)依存処理命令群生成部 201bは、変数 Vrlと想定値 Valを比較し、等しい場合は 0を返し、等しくな、場合は実行処理装置 130bで実行中の処理を停止する処理命令群を生成する。なお、ここでは一般的なプログラミングの作法にしたがって、検証結果が正、場合 (ここでは改竄がな！、ことが確認された場合）には 0を返すとしてヽる力これに限るものではない。 0以外の値を返すとしてもよいし、何も値を返さないとしてもよい。すなわち、改竄がないことが確認された場合に、実行中の処理が継続される限り、返す値はどのようなものであっても構わない。

[0367] D)依存処理命令群生成部 201bは、生成した依存処理命令群 330bを依存処理命令群保持部 202bに格納する。

[0368] より具体的には、想定値情報保持部 295bが実施の形態 1の（2. 10)と同様の処理を行っている場合、依存処理命令群生成部 201bは、以下の A)〜D)の処理を行う。

[0369] A)依存処理命令群生成部 201bは、想定値情報保持部 295bが保持する想定値情報「int plainData = 0xF0DD」を読み込む。

[0370] B)依存処理命令群生成部 20 lbは、その想定値を保持すべき変数「plainData」を Vrlとし、その想定値「0xF0DD」を Valとする。

[0371] C)依存処理命令群生成部 201bは、変数 Vrlと想定値 Valを比較し、等しい場合は 0を返し、等しくな、場合は実行処理装置 130bで実行中の処理を停止する処理命令群「 if (plainData！ = OxFODD) { exit ( 1 )； } returnO；」を生成する。 [0372] D)依存処理命令群生成部 201bは、生成した依存処理命令群 330bを依存処理命令群保持部 202bに格納する。

[0373] (2. 3)改竄防止処理生成装置 110bの効果

改竄防止処理生成装置 110bは、プログラムをデータとして読み込むことなくプログラムの改竄をチェックできる改竄チェック処理命令群（出力処理命令群 160b)を生成することが出来る。

[0374] 図 15は、改竄防止処理生成装置 110bの効果を説明するための説明図である。

[0375] 改竄防止処理生成装置 110は、例えば、第一処理命令群 140bを含む入力プログラム 101bを取得して、その入力プログラム 101bを改竄防止プログラム 102bに変換して出力する。このとき、改竄防止処理生成装置 110は、上述のように、出力処理命令群 160bを生成して入力プログラム 101bに追加している。

[0376] つまり、改竄防止処理生成装置 110は、保護対象コードである第一処理命令群 14 Obの呼出処理 (被参照変数値代入処理命令群 310bおよび分岐処理命令群 320b) と、呼出処理によって行われた第一処理命令群 140bの処理結果が想定値と異なるときに実行処理装置 130bによって実行されている処理を中止させる判定 Z終了処理 (依存処理命令群 330b)とを、改竄防止処理として生成し、入力プログラム 101b に追加している。

[0377] 保護対象コード (第一処理命令群 140)の呼出処理では、被参照変数値代入処理命令群 310bにおいて、保護対象コードの被参照変数「encryptedData」に値「0x0 022」が代入された状態で、保護対象コードが呼び出される。

[0378] その結果、改竄防止プログラム 102bでは、従来のように保護対象コードがデータとして読み込まれることがないため、不正解析者によって改竄防止処理が見つけられるのを困難にすることができる。

[0379] さらに、判定 Z終了処理では、依存処理命令群 330bの「if (plainData！ =0xF0 DD) {exit (l) ; }return0 ;」力上述の呼出処理によって保護対象コードが呼び出されて実行された結果 (第一処理命令群 140bの処理結果)である「plainData」の値に依存している。つまり、保護対象コードが改竄されていなければ、「plainData」の値は想定値「0xF0DD」となるため、改竄防止プログラム 102bの出力処理命令群 16 0が実行されると、改竄防止プログラム 102bにおける入力プログラム 101bと同等の処理が実行処理装置 130bにより正しく実行される。

[0380] 一方、保護対象コードが改竄されて!、れば、「plainData」の値は想定値「0xF0D D」と異なるため、実行処理装置 130bによって実行されている、改竄防止プログラム 102bにおける入力プログラム 101bと同等の処理が中止されることとなる。

[0381] このように、本実施の形態における改竄防止処理生成装置 110bは、入力プロダラム 101bに対して保護対象コードの呼出処理および判定 Z終了処理を生成して追カロすることにより、保護対象コードに対する改竄を確実に防止することができる。また、本実施の形態における改竄防止処理生成装置 11 Obは、実行中にメモリ上にあるコードをデータとして読み込むことができな、Java (登録商標）等の言語で記述されたプログラムに対しても、そのプログラムの保護対象コードに対する改竄を確実に防止することができる。

[0382] (実施の形態 3)

本発明に関わる実施の形態 3の処理システム 1300について説明する。実施の形態 3に係る処理システム 1300は、 1つの入力プログラム中に含まれる第一処理命令群 (後述する A命令群に対応）と第二処理命令群 (後述する B命令群と SUC— B命令群に対応）とを用いて、その入力プログラムの難読ィ匕を行う。また、実施の形態 1および 2では、第一処理命令群の処理結果を第二処理命令群でも用いるように難読ィ匕していたが、実施の形態 3では、 A命令群 (第一処理命令群）の処理結果を SUC— B 命令群 (第二処理命令群)では用いない。つまり、実施の形態 3では、第二処理命令群の処理途中で本来不要な処理である第一処理命令群に分岐し、その後第二処理命令群の続きを行わせることで、制御構造の複雑ィ匕を図って、る。

[0383] 実施の形態 3では、このような入力プログラムの難読ィ匕 (制御構造の複雑化)を図ることにより、保護対象コードである A命令群 (第一処理命令群)を改竄から確実に保護することができる。

[0384] 従来、プログラムの処理の流れを困難にし、不正な解析を防止する技術として、非特許文献 1 (Chenxi Wang、 A security Architecture for Survivability Mechanisms", Ph. D. Dissertation (2000) )に記載の技術のような単純な無条件分岐命令を分岐先が分力り難い条件分岐命令に置換える方法や、プログラムを複数の命令群に分割して命令群の配置順序を入替える方法が知られて、る。不正な解析の結果は、その後の不正な改竄の際に手掛かりとなるため、解析の時点で不正行為を防止できるようにことは有用である。しかし、上述したような方法で難読化を行ったとしても、実際にプログラムを動かすことで命令群の実行順序や前後関係 (例えば、 PRE— A命令群の次に A命令群が実行されるという関係）を知ることは出来てしまう。そこで、実施の形態 3では、プログラムを実際に動力した時にも命令群の実行順序等が分力な、ように制御構造を難読化する。

[0385] 以下、実施の形態 3の処理システム 1300を説明する。

[0386] 図 16は、実施の形態 3における処理システム 1300の構成を示す図である。

[0387] 本実施の形態における処理システム 1300は、改竄防止処理生成装置 (命令生成装置） 1320と、実行処理装置 1340とを備える。

[0388] 改竄防止処理生成装置 1320は、保護対象コードを確実に保護し得るプログラムを生成する装置であって、保護対象コードを含む入力プログラム 1310を取得してその入力プログラム 1310を難読ィ匕することにより、改竄防止プログラム 1330を生成する。

[0389] また、改竄防止処理生成装置 1320は、その生成された改竄防止プログラム 1330 を記録媒体 1350に書き込む。

[0390] 実行処理装置 1340は、記録媒体 1350に記録されている改竄防止プログラム 133

0を読み出して実行する。

[0391] なお、改竄防止処理生成装置 1320は、改竄防止プログラム 1330を記録媒体 135

0に書き込むことなぐ通信媒体を介して実行処理装置 1340に送信してもよい。

[0392] ここで、入力プログラム 1310は、以降に述べるように、一つ以上の命令からなる PR

E— A命令群と、 PRE— A命令群の後に実行される A命令群と、 B命令群とを含む。

[0393] (1)入力プログラム 1310の構成

図 17は、入力プログラム 1310の構成を示す図である。

[0394] 入力プログラム 1310は、 A命令群 1420と、 A命令群 1420の分岐元の命令群である PRE— A命令群 1410と、 A命令群 1420の分岐先の命令群である SUC— A命令群 1430と、 B命令群 1440と、 B命令群 1440の分岐先の命令群である SUC B命令群 1450とを含んで!/、る。

[0395] ここで、各命令群は 0以上の命令力もなる命令の集合である。すなわち、一部の命令群については、存在していなくとも良い。例えば、 A命令群 1420がプログラムの先頭である場合には、 PRE— A命令群 1410は存在しなくともよい。また、 A命令群 142 0や B命令群 1440力プログラムの最後である場合には、 SUC— A命令群 1430や SUC— B命令群 1450は存在しなくともよい。

[0396] また、ここで、 Y命令群が X命令群の分岐先であるとは、 X命令群の後に Y命令群が実行されることを意味する。具体的には、例えば、 X命令群の直後に Y命令群が配置されている場合や、 X命令群に Y命令群への分岐命令が含まれる場合などがある。なお、 X命令群の直後に明示的な分岐命令が存在していなくとも、プログラムの記法上、 X命令群の後に Y命令群が実行される場合も、本実施の形態では分岐と呼ぶ。例えば C言語では、特に分岐命令等がない場合、プログラム中の命令は上力順に実行される。この場合、 X命令群の下に Y命令群が記述されていれば、 X命令群の後に Y命令群が実行されるので、 Y命令群は X命令群の分岐先である。また、 X命令群が Y命令群の分岐元であるとは、 Y命令群が X命令群の分岐先であることを意味する。

[0397] なお、分岐命令とは、具体的には、条件分岐命令や、無条件分岐命令、サブルーチンコール、例外を発生させる命令、割込みを発生させる命令などを含む。すなわち、ある命令群力別の命令群へ実行を移すような命令は、ずれも本明細書で述べる分岐命令に当たる。例えば、アセンブリ言語の命令であれば、「CALL、 RET」のような関数コールや「JA、 JMP、 LOOP」などのジャンプ命令、「INT」などの割り込み命令である。

[0398] 図 18は、 C言語における入力プログラム 1310の具体的な一例を示す図である。

[0399] 入力プログラム 1310は、 PRE— A命令群 1410と、 A命令群 1420と、 SUC— A命令群 1430と、 B命令群 1440と、 311じ—8命令群1450とを含む。

[0400] (2)改竄防止プログラム 1330の構成

改竄防止プログラム 1330は、入力プログラム 1310が改竄防止処理生成装置 132

0によって難読ィ匕されたプログラムである。

[0401] 図 19は、改竄防止プログラム 1330の構成を示す図である。 [0402] 改竄防止プログラム 1330は、 PRE— A命令群 1410と、 STR— A変数群値代入命令群 1620と、 A命令群 1420と、じ !^—八8条件分岐命令群1610と、 SUC— A命令群 1430と、 B命令群 1440と、 STR— B変数群値代入命令群 1630と、退避命令群 1640と、 BR— B分岐命令群 1660と、復帰命令群 1650と、 SUC— B命令群 145 0とを含んでいる。

[0403] 入力プログラム 1310では、 A命令群 1420が実行されるのは PRE— A命令群 141 0が実行された後だけであった力改竄防止プログラム 1330は、 B命令群 1440の後にも A命令群 1420が実行されるように変換されている。より具体的に述べると、改竄防止プログラム 1330では、 PRE— A命令群 1410、 A命令群 1420、 SUC— A命令群 1430の順に各命令群の処理が実行される場合もあれば、 B命令群 1440、 A命令群 1420、 SUC— B命令群 1450の順で各命令群の処理が実行される場合もある。すなわち、 B命令群 1440と SUC— B命令群 1450の間に A命令群 1420の実行が割り込む場合がある。

[0404] 図 20は、 C言語で表した改竄防止プログラム 1330の具体的な一例を示す図である。

[0405] 改竄防止プログラム 1330は、入力プログラム 1310に含まれる各要素に加え、以下の要素を含む。これらの要素は、改竄防止処理生成装置 1320により、入力プロダラム 1310に付けカ卩えられる力この付けカ卩える処理の詳細については後述する。

[0406] BR— B分岐命令群 1660は、 B命令群 1440の後に、 A命令群 1420を実行させるための分岐命令である。

[0407] CBR— AB条件分岐命令群 1610は、 A命令群 1420の実行後、適切な分岐先を判定してその分岐先に処理を分岐させるための命令群である。入力プログラム 1310 では、 A命令群 1420の後に実行される命令群は常に SUC— A命令群 1430であつた力改竄防止プログラム 1330においては、 SUC— A命令群 1430の場合と、 SUC —B命令群 1450の場合とがある。 CBR— AB条件分岐命令群 1610は、 A命令群 1 420の実行後、 SUC— A命令群 1430と SUC— B命令群 1450のどちらに分岐すベきかを判定して、適切な分岐先に処理を分岐させる。

[0408] STR— A変数群値代入命令群 1620、および STR—B変数群値代入命令群 1630 は、 CBR—AB条件分岐命令群 1610の判定に用いる情報 (本実施の形態では、後述する変数「var— abO」の値）をセットする命令群である。改竄防止プログラム 1330 では、 A命令群 1420が PRE— A命令群 1410の後に実行されているならば、次に実行されるべき命令群は SUC— A命令群 1430であり、 A命令群 1420が B命令群 144 0の後に実行されているならば、次に実行されるべき命令群は SUC— B命令群 145 0である。そのどちらであるのかがわ力るように、すなわち、 PRE— A命令群 1410が行われた後なのか、 B命令群 1440が行われた後なのかがわ力るように、判定の手掛力ゝりを残す命令群が、 STR— A変数群値代入命令群 1620および STR— B変数群値代入命令群 1630である。

[0409] 退避命令群 1640は、既に実行された処理結果がその後に実行される処理によつて影響されないように、その既に実行された処理結果を退避する命令群である。また、復帰命令群 1650は、その退避された処理結果を復帰させる命令群である。

[0410] 改竄防止プログラム 1330では、 B命令群 1440の実行と SUC— B命令群 1450の実行と間に A命令群 1420の実行が割り込む。そのため、 B命令群 1440が終った時点での処理の途中結果を、 A命令群の処理によって影響されないように退避しておく必要がある。この退避処理を行う命令群が退避命令群 1640である。

[0411] また、復帰命令群 1650は、退避命令群 1640が退避した途中結果の内容を、 SU C—B命令群 1450に戻った時点で戻す。

[0412] 以下、各命令群について、図 19、図 20を用いてより詳細に説明する。

[0413] (2. 1)退避命令群 1640

B命令群 1440と SUC— B命令群 1450との間に割り込む A命令群 1420の処理によって、 SUC— B命令群 1450およびその後で実行される命令群の処理に影響が及ばないように、途中結果を退避しておく処理を行う命令群が退避命令群 1640である。具体的には、退避命令群 1640は、 A命令群 1420で値が代入される変数のうち、 S UC—B命令群以降に実行される命令群において参照される変数に格納されている値を他の変数に格納する命令群である。

[0414] 入力プログラム 1310では、 B命令群 1440と SUC— B命令群 1450以降との間には他の命令が存在しないため、 B命令群までが実行された時点での途中結果力 SUC —B命令群以降にも引き継がれる。ここで、入力プログラム 1310が、改竄防止処理生成装置 1320によって難読化されると、 B命令群 1440と SUC— B命令群 1450以降の命令との間に A命令群 1420の実行が割り込むこととなる。このとき、 A命令群 14 20力 SUC— B命令群 1450以降の命令が用いる変数と同じ変数を変化させる命令を含む場合、上述した途中結果が A命令群 1420によって書き換えられてしまうこととなる。このような事態が発生すると、改竄防止プログラム 1330の実行結果が入力プログラム 1310と異なるものとなってしまう。このような事態を避けるために、 A命令群 14 20が実行される前後で途中結果を退避および復帰させる必要がある。

[0415] 例えば図 20の A命令群 1420においては、変数「var— orgO」と変数「var— orgl」とが値が代入される変数である。そのうち変数「var_org2」は、 SUC— B命令群 14 50中の命令「var— orgl = var— orgl + var— org2；」にお、て値が参照されて!、る。そのため、処理の途中結果である「var— org2」の値を退避する必要がある力この「var— org2」に格納されている値を他の変数「var— save0」に退避する処理「var— save0=var_org2；」が退避命令群 1640である。

[0416] なお、本実施の形態では、変数の値を例として述べて!/、るが、変数以外にも A命令群 1420によって改変される恐れのある情報は退避しておくことが望ましい。このような情報の例としてはスタックや、レジスタ、キャッシュの記録内容などが考えられる。

[0417] (2. 2)復帰命令群 1650

復帰命令群 1650は、難読化によって B命令群 1440と SUC— B命令群 1450の間に割り込むこととなった A命令群 1420の処理が終った後に、退避命令群 1640で退避してぉ、た値を元の変数に戻す命令群である。

[0418] 具体的には、図 20の復帰命令群 1650は、変数「var— save0」に退避した値を変数「var— org2」に格納する処理「var— org2=var— save0 ;」として表される。

[0419] なお、 A命令群が、 SUC— B命令群以降の命令で参照する変数を変化させな、場合は、これらの変数を退避する必要がないので、退避命令群 1640と復帰命令群 16 50は不要である。

[0420] (2. 3)じ !^_八8条件分岐命令群1610

CBR AB条件分岐命令群 1610は、 SUC A命令群 1430と SUC B命令群 1 450とを条件分岐先に含む条件分岐命令である。なお、改竄防止プログラム 1330が復帰命令群 1650を含む場合には、退避して、た内容を復帰させた上で SUC— B命令群 1450以降の処理を行わなくてはならないので、 SUC— B命令群 1450の替わりに復帰命令群 1650を条件分岐先とする。図 20では、 SUC— B命令群 1450と復帰命令群 1650にそれぞれ、「SUC— B」、「SUC— B―」を付しているが、 CBR— AB 条件分岐命令群 1610は、復帰命令群 1650が存在する場合には、ラベル「SUC— B―」が付された復帰命令群 1650を分岐先とし、存在しない場合には、ラベル「SU C_BJが付された SUC— B命令群 1450を分岐先とする。復帰命令群 1650が存在しない場合としては、復帰させるべき途中結果がない場合などが考えられる。

[0421] 図 20に例示した改竄防止プログラム 1330は、復帰命令群 1650を含む。したがつて、じ !^—八8条件分岐命令群1610は、 SUC— A命令群 1430と復帰命令群 165 0とを条件分岐先とし、「変数 var— abO」の値によって分岐先が決定する条件分岐命令 &1：—&1)0%2= =0) ₈01；0 SUC— B—；」として表される。ここで、変数「var ― abO」は、 A命令群 1420力 PRE— A命令群 1410の後に実行されたの力、 B命令群 1440の後に実行されたのかを示す手がかりとなる変数であり、後述する G—V AL— AB変数群にあたる。改竄防止プログラム 1330では、この CBR— AB条件分岐命令群 1610によって、 A命令群 1420の後に SUC— A命令群 1430が実行される場合と、 A命令群 1420の後に復帰命令群 1650 (または SUC— B命令群 1450)が行われる場合とが生じるよう制御して、る。

[0422] なお、本実施の形態では、改竄防止プログラム 1330は C言語で記述されて、るため、じ !^—八8条件分岐命令群1610にぉぃて、明示的に SUC— A命令群 1430へ分岐する命令を記述していない。すなわち、 C言語の記法上、 CBR— AB条件分岐命令群 1610の if文中の条件「var— ab0%2= =0」が偽の場合、 CBR— AB条件分岐命令群 1610の直後には SUC— A命令群が実行されるため、 SUC— A命令群への明示的な分岐命令は不要である。つまり、図 20の記述内容でも、実質的に CBR— AB条件分岐命令群 1610は SUC— A命令群 1430と SUC— B命令群 1450とのいずれを実行するかの分岐を示すこととなる。なお、図 20の CBR— AB条件分岐命令群 1610の直後に「else goto SUC— A；」等の明示的な分岐命令が記述されていても良、ことは言うまでもな、。上述のように明示的な分岐命令を記述しておくことで

、 CBR—AB条件分岐命令群 1610と SUC— A命令群 1430とがプログラム上で離れた位置にあっても適切な分岐処理を行うことができる。

[0423] (2. 4) STR_A変数群値代入命令群 1620

STR— A変数群値代入命令群 1620は、じ !^—八8条件分岐命令群1610にぉ1、て、条件分岐先が SUC— A命令群 1430と判定されるように、変数に値を代入する命令群である。すなわち、この命令群が実行されるときは、 PRE— A命令群 1410が実行された後に A命令群 1420が実行され、さらにその後に CBR— AB条件分岐命令群 1610が実行されるときであるので、 STR— A変数群値代入命令群 1620は、その旨を示す情報を変数の値として残している。なお、この変数を、以下では G— VAL— AB変数群と呼ぶ。なお、 G— VAL— AB変数群は 1つの変数である必要はなぐ複数の変数の集合であってもよい。また、プログラム中に明示的に変数として現れるもの以外のものであってもよぐ例えばスタックの一番上に積まれている値などであってもよい。すなわち、判定の手掛力りが残せるような処理を行う命令群であれば、どのような命令群であっても良い。この G— VAL— AB変数群は、 CBR— AB条件分岐命令群 1610がどの命令に分岐すべきかを決定する際に用いられる。図 20に示した具体例では G— VAL— AB変数群は変数「var— abO」である。

[0424] 図 20に示した具体例では、 STR— A変数群値代入命令群 1620は、 CBR— AB条件分岐命令群 1610の if文中の条件「var— ab0%2= =0」が偽となるように「var— a bOjに値を代入する命令群「var— ab0= 1；」である。ここで、条件「var— ab0%2 = =0」が偽となれば、 CBR—AB条件分岐命令群 1610が SUC— A命令群 1430に分岐することは、 CBR—AB条件分岐命令群 1610の説明で述べたとおりである。すなわち、改竄防止プログラム 1330では、 PRE— A命令群 1410の後に A命令群 142 0が行われた後には、（SUC— B命令群 1450ではなく） SUC— A命令群 1430が行われるようにするために、 STR— A変数群値代入命令群 1620を用いて、る。

[0425] (2. 5) 3丁1^—8変数群値代入命令群1630

STR— B変数群値代入命令群 1630は、上述の CBR—AB条件分岐命令群 1610 において、条件分岐先が SUC B命令群 1450と判定されるように、 G VAL AB 変数群に含まれる変数に値を代入する命令群である。すなわち、この命令群が実行されるときは、 B命令群 1440が実行された後に A命令群 1420が実行され、さらにその後に CBR—AB条件分岐命令群 1610が実行されるときであるので、 STR— B変数群値代入命令群 1630は、その旨を示す情報を変数の値として残している。ここで、 STR— B変数群値代入命令群 1630が、複数の変数を用いたり、変数以外のものを利用する構成であってもよヽことは、 STR— A変数群値代入命令群 1620と同様である。

[0426] 図 20に示した具体的例では、 CBR— AB条件分岐命令群 1610の1£文中の条件 ar_ab0%2= =0」が真となるように「var— abO」に値を代入する命令群「var— abO = 8 ;」が STR— B変数群値代入命令群 1630である。ここで、条件「var— ab0%2 = =0」が真となれば、 CBR—AB条件分岐命令群 1610中の if文の判定結果が真となつて「goto SUC— B—；」が実行されるため、復帰命令群 1650への分岐処理が実行される。すなわち、改竄防止プログラム 1330では、 B命令群 1440、退避命令群 1 640、 A命令群 1420の順に各命令群の処理が行われた後には、（SUC— A命令群 1430ではなく）復帰命令群 1650が行われるようにするために、 STR— B変数群値代入命令群 1630を用いている。なお、復帰命令群 1650がない場合には、 STR— B 変数群値代入命令群 1630は、 B命令群 1440が実行された後に A命令群 1420が実行され、さらにその後に SUC_B命令群 1450が実行されるようにするために、変数の値を設定する命令群である。

[0427] (2. 6) BR_B分岐命令群 1660

図 20中の BR—B分岐命令群 1660は、 B命令群 1440から A命令群 1420へ分岐する命令群である。ただし、改竄防止プログラム 1330が退避命令群 1640を含む場合は、 A命令群 1420へ分岐する前に途中結果を退避する必要があるので、退避命令群 1640による処理が終わった後で A命令群 1420へ分岐する命令群となる。

[0428] 図 20に例示した改竄防止プログラム 1330は退避命令群 1640を含むので、 BR— B分岐命令群 1660は、退避命令群 1640による処理が終わった後で A命令群 1420 へ分岐する分岐命令群「goto A；」として表される。

[0429] (2. 7)改竄防止プログラム 1330の処理の流れ本実施の形態における改竄防止プログラム 1330の処理の流れを、入力プログラム 1310の処理の流れと比較して説明するため、先に、入力プログラム 1310の処理の流れについて説明する。

[0430] 図 21は、入力プログラム 1310の処理の流れを示す図である。

[0431] 入力プログラム 1310は、図 21に示すように、分岐を含まない単純なものである。実行処理装置 1340は、入力プログラム 1310を実行した場合、まず、 PRE— A命令群 1410を実行し (ステップ S200)、 A命令群 1420を実行する（ステップ S202)。さらに、実行処理装置 1340は、 SUC_A命令群 1430を実行し (ステップ S204)、 B命令群 1440を実行し (ステップ S 206)、 SUC— B命令群 1450を実行する（ステップ S20 8)。

[0432] 図 22は、改竄防止プログラム 1330の処理の流れを示す図である。

[0433] 一方、改竄防止プログラム 1330は、図 22に示すように、分岐と合流を含む。実行処理装置 1340は、改竄防止プログラム 1330を実行した場合、まず、 PRE— A命令群 1410を実行し (ステップ S300)、次に、 STR— A変数群値代入命令群 1620を実行し (ステップ S302)、その後、 A命令群 1420を実行する（ステップ S304)。ここで、実行処理装置 1340は、ステップ S 302で STR— A変数群値代入命令群 1620を実行することで、変数「var_abO」に 1を代入する。

[0434] そして、実行処理装置 1340は、 CBR—AB条件分岐命令群 1610を実行することにより、変数「var— abO」が「var— ab0%2= =0」を満たすか否かを判別する（ステツプ S306)。このとき、実行処理装置 1340は、ステップ S302で変数「var一 abO」に 1 が代入されて、るため、変数「var— abO」が「var— ab0%2= =0」を満たさな!/、と判別する（ステップ S 306の r_Var_abO%2= = 1」）。

[0435] その結果、実行処理装置 1340は、 SUC— A命令群 1430を実行し (ステップ S30 8)、次に、 B命令群 1440を実行し (ステップ S310)、さらに、 STR— B変数群値代入命令群 1630を実行する (ステップ S312)。ここで、実行処理装置 1340は、ステップ S 312で STR— B変数群値代入命令群 1630を実行するときには、変数「var— abO」に 8を代入する。

[0436] さらに、実行処理装置 1340は、退避命令群 1640を実行し (ステップ S314)、その後、 BR_B分岐命令群 1660を実行すると (ステップ S316)、再び、 A命令群 1420 を実行する (ステップ S304)。

[0437] そして、実行処理装置 1340は、もう一度、 CBR— AB条件分岐命令群 1610を実行することにより、変数「var— abO」が「var— ab0%2= =0」を満たすか否かを判別する（ステップ S306)。このとき、実行処理装置 1340は、ステップ 3312で変数 & — ab0」に 8が代入されて!、るため、変数「var— ab0」が「var— ab0% 2 = = 0」を満たすと判別する（ステップ S306の r_Var_abO%2= =0」）。

[0438] その結果、実行処理装置 1340は、復帰命令群 1650を実行し (ステップ S318)、次に、 SUC— B命令群 1450を実行する（ステップ S320)。

[0439] このように、 A命令群 1420は、 STR— A変数群値代入命令群 1620の後と、 BR— B分岐命令群 1660の後とで実行される。つまり、実行処理装置 1340が入力プロダラム 1310を実行した場合には、 A命令群 1420は 1回しか実行されないのに対し、実行処理装置 1340が改竄防止プログラム 1330を実行した場合には、 A命令群 1420 は 2回実行されることとなる。したがって、改竄防止プログラム 1330を実行処理装置 1 340で実行させた場合と、難読ィ匕前のプログラムである入力プログラム 1310を実行処理装置 1340で実行させた場合とでは、各命令群が異なる順序で実行される。

[0440] (2. 8)改竄防止プログラム 1330の効果

不正解析者が改竄防止プログラム 1330を解析した際のそのプログラムの実行順序と、入力プログラム 1310の実行順序とは、図 21および図 22に示したように異なるため、不正解析者は改竄防止プログラム 1330の実行順序を解析しても、難読化前の入力プログラムの実行順序を知ることが難しぐ解析が困難になる。また、改竄防止プログラム 1330の実行順序は、入力プログラム 1310の実行順序よりも複雑になるので、解析や改竄を困難にすることが出来る。その結果、保護対象コードである A命令群 1420を確実に保護することができる。

[0441] また、不正解析者が、難読ィ匕のための冗長な処理を見つけ出して読み飛ばす、あるいは、削除するといつた攻撃を取ることが考えられる。ここで、本実施の形態では、 BR—B分岐命令群 1660の後の A命令群 1420の実行が冗長な処理に当たるので、不正解析者が A命令群 1420が冗長であることをつきとめ、削除しょうとすることが考えられる。しかし、本実施の形態の改竄防止プログラム 1330では、 A命令群 1420は単なる冗長な処理ではなぐ難読ィ匕前のプログラム (入力プログラム 1310)で必要であった処理である。したがって、 A命令群 1420を削除すると、難読ィ匕前のプログラムにおいて A命令群 1420を使っていた処理が実行されなくなる。その結果、改竄防止プログラム 1330と入力プログラム 1310との全体の処理結果が合わなくなる。つまり、不正解析者は必要な処理まで削除してしまうこととなる。よって、このような不正解析者の攻撃による改竄防止プログラム 1330の改竄は困難になる。

[0442] また、不正解析者がプログラムの特定の部分の制御構造を知って、て、その知識を用いてその特定の部分を見つけ出す攻撃を行うことも考えられる (このような制御構造の例としては、公知の暗号ィ匕アルゴリズムなどが考えられる)。また、難読化対象（入力プログラム 1310)が秘密情報を用いるプログラムであって、不正解析者がプログラムに含まれる特定の演算を知っていて、その秘密情報を見つけるために、その演算を見つけ出す攻撃も考えられる。しかし、本実施の形態における改竄防止プロダラム 1330の制御構造は不正解析者が知っている制御構造と異なるものとなっているので、不正解析者が知っている制御構造に基づぐ改竄防止プログラム 1330の制御構造に対する解析が困難になる。

[0443] (3)改竄防止処理生成装置 1320の構成

続いて、改竄防止処理生成装置 1320の説明を行う。改竄防止処理生成装置 132 0は、入力プログラム 1310を難読ィ匕し改竄防止プログラム 1330を生成する装置である。

[0444] 図 23は、改竄防止処理生成装置 1320の構成を示す図である。

[0445] 改竄防止処理生成装置 1320は、入力部 2010と、入力プログラム保持部 2020と、被代入変数解析部 2030と、被代入変数情報保持部 2040と、被退避変数解析部 20 50と、被退避変数情報保持部 2060と、退避命令群生成部 2070と、退避命令群保持部 2080と、復帰命令群生成部 2090と、復帰命令群保持部 2091と、条件分岐命令群生成部 2092と、分岐条件保持部 2093と、条件分岐命令群保持部 2094と、変数群値代入命令群生成部 2095と、変数群値代入命令群保持部 2096と、分岐命令群生成部 2097と、分岐命令群保持部 2098と、改竄防止プログラム生成部 2099と、改竄防止プログラム出力部 2100とを備えている。

[0446] 入力部 2010は、 SUC— A命令群 1430を分岐先とする A命令群 1420と、 A命令群 1420を分岐先とする PRE— A命令群 1410と、 SUC— B命令群 1450を分岐先とする B命令群 1440とを含む入力プログラム 1310 (例えば図 18に示すプログラム）を受け付ける。

[0447] 入力プログラム保持部 2020は、入力部 2010が受け付けた入力プログラム 1310を保持する。

[0448] 被代入変数解析部 2030は、入力プログラム保持部 2020が保持する入力プロダラム 1310中の A命令群 1420に含まれる変数であって、値の代入がなされる変数 (被代入変数)を解析 (特定)する。

[0449] 被代入変数情報保持部 2040は、被代入変数解析部 2030による解析によって得られた被代入変数の変数名等の情報を保持する。

[0450] 被退避変数解析部 2050は、 SUC— B命令群 1450に含まれる変数であって、値の参照がなされる変数 (被参照変数)を解析 (特定)する。さらに、被退避変数解析部 2050は、被代入変数情報保持部 2040が保持する被代入変数であり、かつ、被参照変数でもある変数 (以下では、被退避変数と呼ぶ)を特定する。

[0451] 被退避変数情報保持部 2060は、被退避変数解析部 2050で特定された被退避変数の変数名等の情報を保持する。

[0452] 退避命令群生成部 2070は、被退避変数が保持する値を退避用変数 (本実施の形態では、変数「var— saveO」など）に退避する命令群である退避命令群 1640を生成する。

[0453] 退避命令群保持部 2080は、退避命令群生成部 2070が生成した退避命令群 164 0を保持する。

[0454] 復帰命令群生成部 2090は、退避用変数に退避した値を被退避変数に戻すための命令群である復帰命令群 1650を生成する。

[0455] 復帰命令群保持部 2091は、復帰命令群生成部 2090が生成した復帰命令群 165

0を保持する。

[0456] 条件分岐命令群生成部 2092は、 SUC A命令群 1430と SUC B命令群 1450 とを条件分岐先に含み、分岐先決定用の変数である G— VAL— AB変数群 (本実施の形態では、変数「var— abO」など）の値に基づき分岐先を決定する CBR— AB条件分岐命令群 1610を生成する。

[0457] 分岐条件保持部 2093は、 CBR— AB条件分岐命令群 1610が SUC— A命令群 1

430を分岐先とする条件を満たすために分岐先決定用変数が取るべき値の集合、および、 SUC— B命令群 1450を分岐先とする条件を満たすために分岐先決定用変数が取るべき値の集合を保持する。

[0458] 条件分岐命令群保持部 2094は、条件分岐命令群生成部 2092が生成した CBR

—AB条件分岐命令群 1610を保持する。

[0459] 変数群値代入命令群生成部 2095は、 G— VAL— AB変数群 (本実施の形態では

、変数「var_abO」など）に、 SUC_A命令群 1430を分岐先とする条件を満たす値を代入する命令群の生成、および、 SUC— B命令群 1450を分岐先とする条件を満たす値を代入する命令群の生成を行う。

[0460] 変数群値代入命令群保持部 2096は、変数群値代入命令群生成部 2095が生成した命令群を保持する。

[0461] 分岐命令群生成部 2097は、 B命令群 1440の後に A命令群 1420が実行されるように制御する BR— B分岐命令群 1660を生成する。

[0462] 分岐命令群保持部 2098は、分岐命令群生成部 2097が生成した BR—B分岐命令群 1660を保持する。

[0463] 改竄防止プログラム生成部 2099は、入力プログラム保持部 2020が保持する入力プログラム 1310および、各命令群保持部が保持する命令群を用いて改竄防止プログラム 1330を生成する。

[0464] 改竄防止プログラム出力部 2100は、改竄防止プログラム生成部 2099が生成した改竄防止プログラム 1330を記録媒体 1350に記録する。

[0465] 以下、各構成要素の動作についてより詳細に説明する。また、具体例として、図 18 の入力プログラム 1310が改竄防止処理生成装置 1320に入力された場合の動作を説明する。

[0466] (3. 1)入力部 2010 入力部 2010は、入力プログラム 1310を受け付ける。入力プログラム 1310は、入力プログラム 1310の構成で述べたように、 A命令群 1420、 PRE— A命令群 1410、 SUC— A命令群 1430、 B命令群 1440、および SUC— B命令群 1450を含む。入力部 2010は、さらに、入力プログラム 1310のうち、いずれの部分力 A命令群 1420、 PRE— A命令群 1410、 SUC— A命令群 1430、 B命令群 1440、または SUC— B命令群 1450であるかの指定を受け付ける。

[0467] (3. 2)入力プログラム保持部 2020

入力プログラム保持部 2020は、命令群を記憶する領域を備えている。入力プログラム保持部 2020は、入力部 2010が受け付けた入力プログラム 1310を保持する。

[0468] (3. 3)被代入変数解析部 2030

被代入変数解析部 2030は、入力プログラム保持部 2020が保持する入力プロダラム 1310中の A命令群 1420にお、て、なんらかの処理結果が格納される格納先を解析 (特定)する。

[0469] 具体的には、例えば、 A命令群 1420が変数の値を代入する処理を含むのであれば、被代入変数解析部 2030は、変数の変数名や型を解析 (特定)する。また、例えば、 A命令群 1420がスタックポインタからの相対値を指定してスタックに値を格納する処理を含むのであれば、被代入変数解析部 2030は、そのスタックポインタや、スタックのサイズやスタックポインタからの相対値を解析 (特定)する。また、例えば、 A命令群 1420がアドレス変数で指定した位置に値を格納する処理を含むのであれば、被代入変数解析部 2030は、その格納されるアドレスを解析 (特定)する。以降の説明では、これらの A命令群 1420のなんらかの処理結果が格納される格納先の情報を総称して、被代入変数情報と呼ぶ。なお、本実施の形態では、 A命令群 1420中に直接的に現れる変数以外であっても、なんらかの処理結果が格納される格納先の情報を被代入変数情報と呼ぶ。例えば、スタック等が OSの機能として実現されている場合、スタックポインタやスタックのサイズは A命令群 1420中には明示的には表れないことがあるが、このような値も被代入変数情報である。

[0470] 次に、被代入変数解析部 2030は、解析した被代入変数情報を被代入変数情報保持部 2040に格納する。例えば、図 18の A命令群 1420を解析の対象とする場合、被代入変数解析部 2030は、値の代入が行われる変数「var— orgO」と変数「var— org 2」の変数名と型「int var— orgO」と「int var— org2」を特定し、それぞれを被代入変数情報保持部 2040に格納する。

[0471] なお、本実施の形態では、入力プログラム 1310における A命令群 1420の範囲は、ラベル「A：」力も始まり、次の他のラベルが現れる前までとする。以降の説明における、 PRE— A命令群 1410、 SUC— A命令群 1430、 B命令群 1440、 SUC— B命令群 1450の範囲も同様に、各命令群は何らかのラベル力も次のラベルが現れる前までの範囲であるものとする。

[0472] このラベルは、入力部 2010を介してユーザ力もの指定により付されるものとしてもよ V、し、入力プログラム 1310に元力も付されて!、るラベルを利用しても良！、。

[0473] (3. 4)被代入変数情報保持部 2040

被代入変数情報保持部 2040は、被代入変数解析部 2030が解析した A命令群 14 20の被代入変数情報を記憶する。被代入変数が複数ある場合には、各被代入変数につ 1、ての被代入変数情報を記憶する。

[0474] 本実施の形態では、図 18の A命令群 1420に対して被代入変数解析部 2030による解析が行われた場合、被代入変数情報保持部 2040は、各被代入変数の型と変数名である「int var— org0」と「int var— org2」とを記憶する。

[0475] (3. 5)被退避変数解析部 2050

被退避変数解析部 2050は、 SUC— B命令群 1450以降の命令群の処理結果に影響を与える変数であって、かつ、 A処理命令群で値が変更される変数を解析 (特定)する。なお、被退避変数解析部 2050の解析対象は、被代入変数解析部 2030 の解析対象と同様、 A命令群 1420中に直接的に現れる変数以外のものも含む。このような変数を解析してその変数の値を退避しておかなくては、 A処理命令群が SU C—B命令群 1450の前に実行されることにより、改竄防止プログラム 1330の処理結果が入力プログラム 1310とは異なるものとなってしまうこととなることは上述のとおりである。

[0476] まず、被退避変数解析部 2050は、入力プログラム保持部 2020が保持する入力プログラム 1310中の SUC B命令群 1450、および、 SUC B命令群 1450以降を実行する際に必要となる変数を特定する。ここで、実行する際に必要となる変数とは、 B 命令群 1440の実行が終了した時点における変数の値が SUC— B命令群 1450以降の命令で使用される変数、すなわち、 SUC— B命令群 1450以降の処理結果に影響を与える変数のことを示す。より具体的には、 B命令群 1440までに値が代入され、 SUC— B命令群 1450以降の命令に含まれる代入式の右辺に表れる変数がこれに当たる。

[0477] 次に、特定された変数のうち被代入変数情報保持部 2040に保持されて、る変数があれば、被退避変数解析部 2050は、その変数を被退避変数とし、被退避変数の変数名等の情報を被退避変数情報保持部 2060に格納する。すなわち、被退避変数解析部 2050は、 A命令群 1420で値が代入され、 SUC— B命令群 1450以降の命令群で必要となる変数を、退避変数として抽出する。

[0478] より具体的には、 SUC— B命令群 1450が変数を参照する処理を含む命令群であれば、被退避変数解析部 2050は、その変数の変数名や型を解析 (特定)する。また、例えば、 SUC— B命令群 1450がスタックの値を参照する処理を含む命令群であれば、被退避変数解析部 2050は、参照するスタックのサイズを解析 (特定)する。また、例えば、 SUC— B命令群 1450がアドレス変数で指定した位置に格納された値を参照する処理を含むのであれば、被退避変数解析部 2050は、そのアドレス変数や格納する値の型を解析 (特定)する。以下の説明では、これらの SUC— B命令群 145 0を実行する際に必要なパラメータや変数に関する情報を総称して被参照変数情報と呼び、パラメータや変数自体のことを被参照変数と呼ぶ。

[0479] 次に、その被参照変数のうち、被代入変数情報保持部 2040に保持されている変数があれば、被退避変数解析部 2050は、その変数を被退避変数とし、被退避変数の変数名等の情報を被退避変数情報保持部 2060に格納する。

[0480] 例えば、図 18の SUC— B命令群 1450の場合、「var— orgl =var— orgl +var— org2 ;var_orgl =var— orgl * 123 ;」において、変数「var— orgl」および変数「 var— org2」の値が参照されている。よって、被退避変数解析部 2050は、変数「var — orgl」および変数「var— org2」を被参照変数とし、「int var— orgl」および「int var— org2」を被参照変数情報とする。このうち、「int var— orgl」は被代入変数情報保持部 2040に保持されておらず、「int var— org2」は保持されている。したがつて、保持されて、る方の「int var_org2jの変数「var— org2」は、 SUC— B命令群 1450の処理結果に影響を与える変数であって、かつ、 A命令群 1420で値が変更される変数である。よって、変数「var— org2」の値を、 A命令群 1420の処理を行う前に退避し、 SUC— B命令群 1450の処理を行う前にその値を戻さなければならない。被退避変数解析部 2050は、「int var— org2」を被退避変数情報とし、被退避変数情報保持部 2060に格納する。

[0481] なお、 SUC— B命令群 1450の処理結果に影響を与える変数であって、かつ、 A命令群 1420で値が変更される変数が抽出されるのであれば、被退避変数解析部 205 0が行う処理は上記のものに限らない。例えば、被退避変数解析部 2050は、被代入変数情報保持部 2040に保持されて、る変数を取り出し、これが SUC— B命令群 14 50以降の命令に含まれているかを検索しても良い。また、被退避変数解析部 2050 は、被代入変数情報保持部 2040を用いずに、入力プログラム保持部 2020が保持する入力プログラム 1310から、 A命令群 1420によって値が変更される変数を直接取り出してもよい。

[0482] (3. 6)被退避変数情報保持部 2060

被退避変数情報保持部 2060は、被退避変数情報を記憶する領域を備えて！/ヽる。

[0483] 被退避変数情報保持部 2060は、被退避変数解析部 2050が解析した被退避変数情報を記憶する。なお、被退避変数が複数ある場合には、被退避変数情報保持部 2 060は、各被退避変数につ!、ての被退避変数情報を記憶する。

[0484] 具体的には、図 18の SUC— B命令群 1450の場合、被退避変数情報保持部 206 0は、被退避変数の変数名と型「int var— org2」を記憶する。

[0485] (3. 7)退避命令群生成部 2070

退避命令群生成部 2070は、被退避変数情報の値を退避させる退避命令群 1640 を生成して退避命令群保持部 2080に格納する。より詳細には、以下の処理を行う。

[0486] A)退避命令群生成部 2070は、被退避変数をどう退避するかを決める。具体的には、どの変数に退避するかなどを決定する。本実施の形態では、退避命令群生成部 2070は、被退避変数の退避先として新たな変数を作成して、その変数に被退避変数の値を退避させる。

[0487] B)退避命令群生成部 2070は、決定した退避のさせ方に従って、被退避変数の値を退避させる命令群である退避命令群 1640を生成する。

[0488] C)退避命令群生成部 2070は、生成した退避命令群 1640を退避命令群保持部 2

080に格納する。

[0489] 以下、図 18の入力プログラム 1310が改竄防止処理生成装置 1320に入力された場合における、退避命令群生成部 2070の具体的な動作の例を説明する。

[0490] A)退避命令群生成部 2070は、被退避変数情報保持部 2060より被退避変数情報を取得し、被退避変数の個数を調べる。ここでは、被退避変数は「int var_org2 」のみであるので、 1つである。退避命令群生成部 2070は、判定した個数分の退避用変数を新たに作成し、作成した退避用変数「int var— saveOjを退避に用いる変数に決める。

[0491] B)退避命令群生成部 2070は、被退避変数の値を退避用変数に退避する退避命令群 1640を生成する。ここでは、退避命令群生成部 2070は、命令「var— saveO = var— org2 ;」を生成する。なお、被退避変数が複数ある場合は、退避命令群生成部 2070は、それぞれの被退避変数について、退避命令群を生成する。また、退避命令群として被退避変数そのものを退避させるのではなぐ暗号ィ匕などの何らかの変換を施して退避してもよい。本実施の形態では、このような変換を施した上で退避する場合および無変換のまま退避する場合の両方を含めて、変換と呼ぶ。

[0492] C)退避命令群生成部 2070は、生成した退避命令群 1640を退避命令群保持部 2 080〖こ格納する。ここでは、「var— saveO=var— org2 ;」が格納される。

[0493] (3. 8)退避命令群保持部 2080

退避命令群保持部 2080は、命令群を記憶する領域を備える。退避命令群保持部 2080は、退避命令群生成部 2070が生成した退避命令群 1640を記憶領域に記憶する。

[0494] 図 18に示した入力プログラム 1310が改竄防止処理生成装置 1320に入力された場合、退避命令群生成部 2070が生成した退避命令群 1640が「var— saveO=var org2 ;」となるので、退避命令群保持部 2080は、「var saveO=var org2 ;」を記憶する。

[0495] (3. 9)復帰命令群生成部 2090

復帰命令群生成部 2090は、退避用変数に退避した値を被退避変数に戻すための命令群である復帰命令群 1650を生成する。より詳細には、以下の処理を行う。

[0496] A)復帰命令群生成部 2090は、退避命令群保持部 2080が保持する退避命令群 1

640を取得する。

[0497] B)復帰命令群生成部 2090は、取得した退避命令群 1640が行う変換の逆変換を行う命令群を生成してその命令群を復帰命令群 1650とする。

[0498] C)復帰命令群生成部 2090は、復帰命令群 1650を復帰命令群保持部 2091に格納する。

[0499] 以下、図 18の入力プログラム 1310が改竄防止処理生成装置 1320に入力された場合における、復帰命令群生成部 2090の具体的な動作の例を説明する。

[0500] A)復帰命令群生成部 2090は、退避命令群保持部 2080が保持する退避命令群 1

640 Γ var_saveO = var_org 2；」を取得する。

[0501] B)復帰命令群生成部 2090は、「var— saveO=var— org2 ;」の逆変換である「var

_org2=var_save0；」を生成し、復帰命令群 1650とする。

[0502] C)復帰命令群生成部 2090は、復帰命令群 1650「var— org2=var— saveO；」を復帰命令群保持部 2091に格納する。

[0503] (3. 10)復帰命令群保持部 2091

復帰命令群保持部 2091は、命令群を記憶する領域を備える。復帰命令群保持部

2091は、復帰命令群生成部 2090が生成した復帰命令群 1650を記憶領域に記憶する。

[0504] 上記の具体例では、復帰命令群生成部 2090が生成した復帰命令群 1650が「var —org2=var—save0 ;」であるので、復帰命令群保持部 2091は、復帰命令群生成部 2090で生成された「var— org2= var— saveO；」を記憶する。

[0505] (3. 11)条件分岐命令群生成部 2092

条件分岐命令群生成部 2092は、 SUC— A命令群 1430と SUC— B命令群 1450 とを条件分岐先に含み、分岐先決定用の G— VAL— AB変数 (変数「var— abO」）の値に基づき分岐先を決定する CBR—AB条件分岐命令群 1610を生成する。なお、復帰命令群 1650がある場合には、条件分岐命令群生成部 2092は、 SUC— B命令群 1450に替えて復帰命令群 1650を分岐先として含む CBR—AB条件分岐命令群 1610を生成する。

[0506] 具体的には、以下の処理を行う。

[0507] A)条件分岐命令群生成部 2092は、分岐先決定用の変数を決定する。本実施の形態では、新しく変数を生成し、その変数を分岐先決定用の変数とする。

[0508] B)条件分岐命令群生成部 2092は、分岐先決定用の変数の値がどのような値の時に SUC— A命令群 1430を条件分岐先とするかを決定する。また、条件分岐命令群生成部 2092は、分岐先決定用の変数の値がどのような値の時に SUC— B命令群 1 450を条件分岐先とするかを決定する。ここで決定する条件の具体例としては、例えば、変数の値が所定の値と一致する、所定の値よりも大きい、変数の値に何らかの変換を施した値が所定の値と一致するなどである。

[0509] C)条件分岐命令群生成部 2092は、上記の B)で決めた条件分岐先が SUC— A 命令群 1430となる分岐先決定用の変数の値の集合を分岐条件保持部 2093に格納する。また、条件分岐命令群生成部 2092は、 B)で決めた条件分岐先が SUC— B 命令群 1450となる分岐先決定用の変数の値の集合を分岐条件保持部 2093に格納する。

[0510] D)復帰命令群保持部 2091が復帰命令群 1650を保持する場合は、条件分岐命令群生成部 2092は、 SUC— A命令群 1430と復帰命令群 1650を条件分岐先とし、保持しない場合は、 SUC— A命令群 1430と SUC— B命令群 1450を条件分岐先とする CBR—AB条件分岐命令群 1610を生成する。

[0511] E)条件分岐命令群生成部 2092は、生成した CBR—AB条件分岐命令群 1610を条件分岐命令群保持部 2094に格納する。

[0512] 以下、図 18の入力プログラム 1310が改竄防止処理生成装置 1320に入力された場合における、条件分岐命令群生成部 2092の具体的な動作の例を説明する。

[0513] A)条件分岐命令群生成部 2092は、入力プログラム 1310に含まれない変数を新たに用意し、分岐先決定用の G— VAL— AB変数とする。ここでは、分岐先決定用の変数は「var— abO」とする。

[0514] B)条件分岐命令群生成部 2092は、分岐先決定用の変数が 2の倍数でない時、すなわち、「var— ab0%2 = = 1」の時、 SUC— A命令群 1430を分岐先とし、 2の倍数の時、すなわち、「var— ab0%2 = =0」の時、 SUC— B命令群 1450を分岐先とすることを決定する。

[0515] なお、ここでは、分岐先決定用の変数がどのような値の時に SUC— A命令群 1430 を分岐先にするかの一例を示した力その決め方は他の方法であっても構わない。例えば、分岐先決定用の変数の値がランダムに選択した値の時に SUC— A命令群 1430を分岐先とすると決めても構わな、。

[0516] C)条件分岐命令群生成部 2092は、上記の B)で決めた条件分岐先が SUC— A 命令群 1430となる分岐先決定用の変数の値の集合を分岐条件保持部 2093に格納する。ここでは、条件分岐命令群生成部 2092は、集合「var— ab0%2 = = 1」、すなわち 2の倍数以外の値の集合を格納する。

[0517] さらに、条件分岐命令群生成部 2092は、条件分岐先が SUC— B命令群 1450となる分岐先決定用の変数の値の集合を分岐条件保持部 2093に格納する。ここでは、条件分岐命令群生成部 2092は、集合「var— ab0%2 = =0」、すなわち 2の倍数を格納する。

[0518] ここで、集合を格納するとは、集合に含まれる全ての値を格納するのであっても構わないし、「var— ab0%2 = =0」のような集合を表す式を格納するのであっても構わない。

[0519] D)条件分岐命令群生成部 2092は、復帰命令群保持部 2091が復帰命令群 165 0を保持する場合は、 SUC— A命令群 1430と復帰命令群 1650を条件分岐先とし、保持しない場合は、 SUC— A命令群 1430と SUC— B命令群 1450を条件分岐先とする CBR—AB条件分岐命令群 1610を生成する。ここでは、復帰命令群保持部 20 91は復帰命令群 1650を保持するので、条件分岐命令群生成部 2092は、復帰命令群 1650の先頭〖こラベル「SUC— B―」を設け、 CBR— AB条件分岐命令群 1610 「if (var— ab0%2= =0) goto SUC— B—；」を生成する。

[0520] E)条件分岐命令群生成部 2092は、生成した CBR— AB条件分岐命令群 1610「i f (var_ab0%2= =0) goto SUC—B—；」を条件分岐命令群保持部 2094に格納する。

[0521] (3. 12)分岐条件保持部 2093

分岐条件保持部 2093は、変数の値の集合を記憶する領域を少なくとも 2つ備える。第一の領域は、条件分岐命令群生成部 2092の分岐先が SUC— A命令群 1430となる条件を満たす変数の値の集合である第一の集合を記録する。また、第二の領域は、条件分岐命令群生成部 2092の分岐先が SUC— B命令群 1450 (もしくは復帰命令群 1650)となる条件を満たす変数の値の集合である第二の集合を記億する。ここで、集合を格納するとは、集合に含まれる全ての値を格納するのであっても構わないし、「var— ab0%2= =0」のような集合を表す式を格納するのであっても構わない

[0522] 上記の具体例の場合、第一の領域は、条件分岐命令群生成部 2092の分岐先が S UC— A命令群 1430となる条件を満たす変数の値の集合である「var— ab0%2= = 1」を保持する。また、第二の領域は、条件分岐命令群生成部 2092の分岐先が復帰命令群 1650となる条件を満たす変数の値の集合である「var— ab0%2= =0」を保持する。

[0523] (3. 13)条件分岐命令群保持部 2094

条件分岐命令群保持部 2094は、命令群を記憶する領域を備える。条件分岐命令群保持部 2094は、条件分岐命令群生成部 2094が生成した CBR—AB条件分岐命令群 1610を記憶領域に記憶する。

[0524] 上記の具体例の場合、条件分岐命令群保持部 2094は、条件分岐命令群生成部 2092が生成した CBR— AB条件分岐命令群 1610「if (var— ab0%2= =0) goto SUC_B_；」を記憶する。

[0525] (3. 14)変数群値代入命令群生成部 2095

変数群値代入命令群生成部 2095は、 STR— A変数群値代入命令群 1620と、 S TR—B変数群値代入命令群 1630を生成する。具体的には、以下の処理を行う。

[0526] A)変数群値代入命令群生成部 2095は、分岐条件保持部 2093が保持する第一の集合および第二の集合を取得する。 [0527] B)変数群値代入命令群生成部 2095は、分岐先決定用の変数に、第一の集合に含まれる値を代入する命令群を生成し、 STR— A変数群値代入命令群 1620とする。また、変数群値代入命令群生成部 2095は、分岐先決定用の変数に、第二の集合に含まれる値を代入する命令群を生成し、 STR—B変数群値代入命令群 1630とする。なお、第一の集合または第二の集合に複数の値が含まれる場合、変数群値代入命令群生成部 2095は、いずれかの値を選択して代入する値とする。この選択方法はランダムであってもよ、し、何らかの基準に従って選択してもよ、。

[0528] C)変数群値代入命令群生成部 2095は、生成した命令群を変数群値代入命令群保持部 2096に格納する。

[0529] 以下、図 18の入力プログラム 1310が改竄防止処理生成装置 1320に入力された場合における、変数群値代入命令群生成部 2095の具体的な動作の例を説明する。

[0530] A)変数群値代入命令群生成部 2095は、分岐条件保持部 2093が保持する第一の集合および第二の集合を取得する。これらは、それぞれ「var— ab0%2= = l」または「var— ab0%2= =0」である。

[0531] B)変数群値代入命令群生成部 2095は、分岐先決定用の変数を、第一の集合に含まれる値とする命令群を生成し、 STR— A変数群値代入命令群 1620とする。ここでは、分岐先決定用の変数は「var— ab0」であり、例えば、 1が第一の集合に含まれる値である。よって、変数群値代入命令群生成部 2095は、「var— ab0= l ;」を STR —A変数群値代入命令群 1620とする。同様に、変数群値代入命令群生成部 2095 は、「var— ab0 = 8；」を STR— B変数群値代入命令群 1630とする。

[0532] C)変数群値代入命令群生成部 2095は、生成した STR— A変数群値代入命令群 1620と STR— B変数群値代入命令群 1630とを変数群値代入命令群保持部 2096 に格納する。

[0533] (3. 15)変数群値代入命令群保持部 2096

変数群値代入命令群保持部 2096は、命令群を記憶する領域を備える。変数群値代入命令群保持部 2096は、変数群値代入命令群生成部 2095が生成した STR— A変数群値代入命令群 1620と STR— B変数群値代入命令群 1630とを記憶領域に feす。。 [0534] 上記の具体例の場合、変数群値代入命令群保持部 2096は、変数群値代入命令群生成部 2095が生成した STR— A変数群値代入命令群 1620と STR—B変数群値代入命令群 1630とである、「var_abO = 1；」と「var_abO = 8；」とを保持する。

[0535] (3. 16)分岐命令群生成部 2097

分岐命令群生成部 2097は、 B命令群 1440から A命令群 1420に分岐するための BR— B分岐命令群 1660を生成する。

[0536] 具体的には、図 18の入力プログラム 1310が処理対象である場合、分岐命令群生成部 2097は、 A命令群 1420へ分岐する BR— B分岐命令群 1660である「goto A ；」を生成する。

[0537] (3. 17)分岐命令群保持部 2098

分岐命令群保持部 2098は、命令群を記憶する領域を備える。分岐命令群保持部 2098は、分岐命令群生成部 2097が生成した BR—B分岐命令群 1660を記憶領域 B己 ΐ す 0

[0538] 例えば、上記の具体例の場合、分岐命令群保持部 2098は、分岐命令群生成部 2 097が生成した !^—8分岐命令群1660でぁる「₈01；0 A；」を保持する。

[0539] (3. 18)改竄防止プログラム生成部 2099

改竄防止プログラム生成部 2099は、入力プログラム保持部 2020が保持する入力プログラム 1310および、各命令群保持部が保持する命令群を用いて改竄防止プログラム 1330を生成する。具体的には、改竄防止プログラム生成部 2099は、入力プログラム 1310に対して、各命令群保持部が保持する命令群を以下の位置に挿入または配置することにより、改竄防止プログラム 1330を生成する。

[0540] A)改竄防止プログラム生成部 2099は、 PRE— A命令群 1410中のいずれかの位置に STR— A変数群値代入命令群 1620を挿入する。

[0541] B)改竄防止プログラム生成部 2099は、 A命令群 1420の最後に CBR— AB条件分岐命令群 1610を配置する。

[0542] C)改竄防止プログラム生成部 2099は、 B命令群 1440中のいずれかの位置に ST R—B変数群値代入命令群 1630を挿入する。

[0543] D)改竄防止プログラム生成部 2099は、 B命令群 1440の最後に退避命令群 1640 を、さらにその後ろに、 BR—B分岐命令群 1660を配置する。

[0544] E)改竄防止プログラム生成部 2099は、 SUC—B命令群 1450の直前に復帰命令群 1650を配置する。

[0545] 具体的な例としては、改竄防止プログラム生成部 2099は、図 18の入力プログラム 1310に対して、生成して保持されている各命令群を挿入すると、図 20の改竄防止プログラム 1330を生成する。

[0546] なお、入力プログラム 1310自体に対して、すでに他の難読化手法による変換などが施されている場合、 A命令群 1420や B命令群 1440の最後に正常系での実行時には実行されないダミー命令等が含まれている場合がある。この場合は、 CBR— AB 条件分岐命令群 1610や退避命令群 1640は、必ずしも各命令群の最後でなくとも良い。すなわち、正常系で実行される命令のうちでの最後の位置に配置すれば良い

[0547] (3. 19)改竄防止プログラム出力部 2100

改竄防止プログラム出力部 2100は、改竄防止プログラム生成部 2099が生成した改竄防止プログラム 1330を受け取って格納する。また、改竄防止プログラム出力部 2100は、改竄防止プログラム 1330を記録媒体 1350に記録する。

[0548] なお、本実施の形態では、分岐先決定用の G— VAL— AB変数 (変数「var— abO 」）が追加変数に相当し、条件分岐命令群生成部 2092が変数生成手段として構成されている。また、 STR— A変数群値代入命令群 1620が第一条件値代入命令に相当し、 STR—B変数群値代入命令群 1630が第二条件値代入命令に相当し、変数群値代入命令群生成部 2095が条件値代入命令生成手段として構成されている。

[0549] (3. 20)改竄防止処理生成装置 1320の処理の流れ

図 24は、改竄防止処理生成装置 1320の動作を示すフローチャートである。図 24 を用いて、入力プログラム 1310を改竄防止プログラム 1330に変換する処理、つまり難読化の処理の流れを説明する。

[0550] まず、改竄防止処理生成装置 1320の入力部 2010は、入力プログラム 1310と、入力プログラム 1310における A命令群 1420、 PRE— A命令群 1410、 SUC— A命令群 1430、 B命令群 1440、および SUC B命令群 1450の位置の指定とを受け付け、入力プログラム保持部 2020に格納する（ステップ S400)。

[0551] 被代入変数解析部 2030は、入力プログラム保持部 2020が保持する A命令群 142 0の被代入変数情報を解析し、被代入変数情報保持部 2040に格納する (ステップ S 402)。

[0552] 被退避変数解析部 2050は、入力プログラム保持部 2020が保持する入力プロダラム 1310中の SUC— B命令群 1450、および、 SUC— B命令群 1450以降を実行する際に必要となる変数を特定する。そして、被退避変数解析部 2050は、特定された変数のうち被代入変数情報保持部 2040に保持されている変数を被退避変数とし、被退避変数情報保持部 2060に格納する (ステップ S404)。

[0553] 退避命令群生成部 2070は、退避命令群 1640を生成して退避命令群保持部 208 0に格納する（ステップ S406)。

[0554] 復帰命令群生成部 2090は、復帰命令群 1650を生成して復帰命令群保持部 209 1に格納する（ステップ S408)。なお、ステップ S404で被退避変数が 1つも見つからな力つた場合は、退避命令群 1640および復帰命令群 1650を生成する必要がないので、ステップ S406およびステップ S408の処理は行われな!/、。

[0555] 条件分岐命令群生成部 2092は、じ !^—八8条件分岐命令群1610を生成し、条件分岐命令群保持部 2094に格納する (ステップ S410)。

[0556] 変数群値代入命令群生成部 2095は、 STR—B変数群値代入命令群 1630および STR— A変数群値代入命令群 1620を生成し、変数群値代入命令群保持部 2096 に格納する（ステップ S412)。

[0557] 分岐命令群生成部 2097は、 BR—B分岐命令群 1660を生成し、分岐命令群保持部 2098に格納する（ステップ S414)。

[0558] 改竄防止プログラム生成部 2099は、改竄防止プログラム 1330を生成し、改竄防止プログラム出力部 2100に格納する (ステップ S416)。また、改竄防止プログラム出力部 2100は、改竄防止プログラムを記録媒体 1350に記録する。

[0559] (3. 21)改竄防止処理生成装置 1320の効果

改竄防止処理生成装置 1320は、入力として与えられた入力プログラム 1310を、入力プログラム 1310と同一の結果が得られる改竄防止プログラム 1330に変換することが出来る。ここで、不正解析者が改竄防止プログラム 1330を実際に動力して解析を行ったとしても、入力プログラム 1310の命令群の実行順序や制御構造を知ることが困難であることは、改竄防止プログラム 1330の説明にて述べたとおりである。

[0560] また、改竄防止処理生成装置 1320は、入力プログラム 1310をより複雑な制御構造を持つ改竄防止プログラム 1330に難読ィ匕することが出来る。

[0561] (その他の変形例）

なお、本発明を上記実施の形態に基づいて説明してきた力本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる

[0562] (1)実施の形態 1およびその変形例ならびに実施の形態 2, 3では、 C言語の記法に合わせるため、難読ィ匕の処理中に変数宣言等の命令を追加していた力これらの命令を追加するタイミングは、上記で述べたものに限られない。難読化の処理が完了した後、最後にこれらの命令を追加するとしても良いし、他のタイミングで追加するとしても良い。また、難読ィ匕後の記述言語によってはこの処理が不要な場合もある。

[0563] (2)実施の形態 1およびその変形例ならびに実施の形態 2では、実行処理装置と改竄防止処理生成装置とは別装置としていた力これに限られるものではない。例えば、実行処理装置に改竄防止処理生成装置と同等の機能を持った処理生成部を含ませ、プログラムの実行時には、その処理生成部による難読化を行った上で、実行してもよい。この構成〖こよると、実行されるプログラムは本発明による難読ィ匕が行われたプログラムとなるため、実施の形態 1および 2と同様に不正な改竄および解析を防止することができる。なお、この場合、実行処理装置内でのプログラムの格納場所を耐タンパイ匕等により保護することにより、オリジナルのプログラムを保護しておくことが望まし！/、ことは言うまでもな！/、。

[0564] さらに、実行処理装置は、プログラム配信サーノくから配信されたプログラムを実行する装置であって、改竄防止処理生成装置に加え、更に復号装置を含み、暗号化されて配信されたプログラムを復号ィ匕し、さらに難読ィ匕を行った上で実行する構成であるとしてもよい。このような構成によると、プログラム配信サーノくから配信されたプログラムを実行処理装置で難読化し実行することが出来る。 [0565] また、実施の形態 3において、改竄防止処理生成装置と実行処理装置を別々な構成を示したが、同様にこれに限られるものではない。実施の形態 1および 2と同様に上記のような変形例が考えられる。

[0566] (3)実施の形態 3では、被退避変数解析部 2050は、被代入変数情報保持部 204 0の一部の変数を被退避変数としたが、被代入変数情報保持部 2040が保持する変数の全てを被退避変数としても構わない。このような構成を用いた場合、退避しなくとも結果に影響が出ない変数まで余分に退避される可能性があるが、被退避変数を選ぶ処理が不要となる分、難読化の処理をより高速にすることが出来る。

[0567] また、 A命令群 1420に含まれる全ての変数を被退避変数としたり、入力プログラム 1310に含まれる全ての変数を被退避変数とする構成であっても構わない。このような構成を用いれば、被代入変数の解析自体が不要となるので、更に、難読化の処理を高速にすることが出来る。

[0568] (4)実施の形態 3では、退避命令群生成部 2070は、退避命令群 1640「var— sav e0=var_org2；」を生成するとしたが、「var— saveO=var— org2 + 2；」などのように、逆変換可能な他の命令を生成しても構わない。その場合、復帰命令群生成部 2 090は、逆変換となる復帰命令群 1650「var— org2 = var— saveO— 2；」を生成する。なお、逆変換可能な命令を生成する方法は上記にて挙げた方法に限るものではなぐ公知の方法を用いても、将来的に考え出される方法を適用してもよい。

[0569] また、一つの被退避変数を、複数の段階の処理によって退避するような退避命令群を生成する構成であっても構わないし、複数の被退避変数に対して、最終的に被退避変数全てが退避されるような複数の退避命令群を生成する構成であっても構わない。すなわち、退避命令群の実行によって最終的に退避変数が退避されるのであれば、退避命令群の構成は問わない。さらに、一部の被退避命令群に対しては複数の退避命令群を生成し、他の被退避命令群については、それぞれ 1つの退避命令群を生成するといつたようにしても構わない。このような構成を用いれば、不正解析者力改竄防止プログラムに含まれる命令群の中力退避命令群や復帰命令群を見つけ出すことが困難になる。

[0570] また、退避命令群生成部 2070は、新たに変数を追加して退避用変数とする構成を説明したが、退避用変数は、難読化のために生成した他の変数と併用する構成であつても構わない。このような変数の例としては、他の手法による難読ィ匕において正常系での実行時には実行されなヽダミーの処理を付加する場合の、ダミー処理中で用いられる変数などが考えられる。また、プログラム中にあって、既に使用されていない変数などを用いても構わない。このような構成を用いれば、不正解析者が改竄防止プログラムで使われる変数のうち、いずれが難読化前からあった変数で、いずれが退避用変数であるかを解析することが困難になる。よって、改竄防止プログラムのなかのどの部分に本手法が適用されているかを知ることが困難になる。

[0571] (5)実施の形態 3では、改竄防止プログラム 1330に含まれる各命令群をそれぞれ独立した命令群として示したが、それらのうち複数を合成した命令群を生成しても構わない。また、実施の形態 1およびその変形例ならびに実施の形態 2でも、上述と同様、複数の命令群を合成した命令群を生成してもよい。例えば、実施の形態 3において、復帰命令群 1650である「var— org2= var— saveO；」と SUC— B命令群 1450 で fco「var一 org 1 = var一 org 1 + var一 org 2 ; var一 orgl =var一 orgl水 123 ;」とを生成する代わりに、それらを合成した命令群「 var— orgl = var— orgl + var— sav eO ;var— orgl =var— orgl * 123 ;」を生成しても構わない。上記の例では、プログラムの解析により、変数「var— org2」の値が「var— saveO」の値と同一であることが分かるので、 SUC— B命令群 1450中の var— org2^var— saveOと置き換えている。このような構成を用いれば、不正解析者が改竄防止プログラム力復帰命令群や退避命令群を見つけ出すことが困難になる。よって、改竄防止プログラムのなかのどの部分に本手法が適用されているかを知ることが困難になる。

[0572] なお、上記の例以外にも複数の命令から前後の矛盾なく合成した新しい命令を生成する手法がコンパイラ等の分野で知られている。詳細な説明は省略するが、本手法に対して適宜それらの手法を用いてもょ、ことは言うまでもな、。

[0573] (6)実施の形態 3では、分岐命令群生成部 2097は、 BR— B分岐命令群 1660である「goto A；」の替わりに条件分岐命令群を生成しても構わな、。例えば、 BR— B 分岐命令群 1660を「if (var— org2 > 200) goto A；」としても構わない。

[0574] このような構成を用いれば、改竄防止プログラム 1330の動作は var— org2の値によって、異なる動作となる。上記の例では、改竄防止プログラム 1330は、「var— org 2」の値が「200」を超えるかどうかに応じて動作を変える。そのため、不正解析者に（本来は特に意味のな、値である）「200」 t 、う値が何か重要な値であると思、込ませることができるので、解析作業がより困難になる。

[0575] なお、実施の形態 1およびその変形例ならびに実施の形態 2においても、上述と同様、分岐命令群生成部 203, 203bは、分岐処理命令群 320, 320a, 320bである「 plainData = decrypt (encryptedData)」の代わりに条件分岐命令群を生成してもよい。

[0576] (7)実施の形態 3では、入力プログラムにおいて、 A命令群 1420が B命令群 1440 よりも前にある場合にっヽて説明したが、逆であつても構わな、。

[0577] (8)実施の形態 3では、入力プログラムにおいて、 A命令群の分岐元ブロックが PR E— A命令群の 1つのみである場合を説明したが、分岐元ブロックは複数あつても構わない。分岐元ブロックが第一 PRE— A命令群、第二 PRE— A命令群、…と複数ある場合には、それぞれの分岐元ブロックに対して同様に STR— A変数群値代入命令群を追加すればよい。このような構成を用いれば、改竄防止処理生成装置 1320によつて制御構造の複雑なプログラムの難読ィ匕が可能となる。この場合、各命令群に追加する STR— A変数群値代入命令群を、それぞれ、最終的な計算結果は同一となるものの途中の計算過程が異なる命令としてもよい。これにより、不正解析者に対して、 STR— A変数群値代入命令群がどの命令であるかを分力りにくくすることができる。

[0578] また、実施の形態 3では、 A命令群一つに対して、 B命令群が一つであった力これらはどちら力、あるいは両方が複数であっても構わない。このような構成を用いれば、改竄防止プログラムのノリエーシヨンが豊富になり、不正解析者が改竄防止プロダラムカも入力プログラムを想像することがより困難になる。なお、実施の形態 1およびその変形例ならびに実施の形態 2においても、上述と同様、矛盾が無い範囲で、同一種の命令群の数が複数あってもよ、。

[0579] (9)実施の形態 3では、入力プログラムにおける B命令群の分岐先ブロックは SUC —B命令群の 1つのみであった力分岐先ブロックは複数あっても構わない。例えば、 B命令群 1440の分岐先ブロックが第一 SUC— B命令群と第二 SUC— B命令群である場合、 B命令群 1440の最後で「var— org2」の値によって分岐先を決定する。このように分岐先を決定する CBR—B条件分岐命令は、例えば、「if (var— org2%2 = =0) {goto SUC_B_1； } else {goto SUC— B— 2 ; }」として表される。この場合、 CBR— AB条件分岐命令群 1610は、「var— ab0%2！ =0」の時は、 SUC— Aを分岐先とし、「var— ab0%2= =0」の時は、「var— org2」の値に基づき、分岐先を決定する。すなわち、この処理を行う CBR—AB条件分岐命令群 1610を、 C言語を用いて具体的に記述すると以下のようになる。

[0580] 「if (var_ab0%2= =0) {

if (var_org2%2= =0) {goto SUC— B— 1； }

else {goto SUC_B_2 ; }

J」

[0581] なお、「SUC— B— 1」は第一 SUC— B命令群に付されたラベルであり、「SUC— B —2」は第二 SUC_B命令群に付されたラベルである。

[0582] このような、じ !^—八8条件分岐命令群1610では、 PRE— A命令群が実行された後に A命令群が実行された場合には、「var— ab%2！ =0」となるので、 CBR— AB 条件分岐命令群 1610の直後にある SUC— A命令群が分岐先となる。また、 B命令群が実行された後に A命令群が実行された場合には、「var— ab%2= =0」となるので、上述の命令群の 2行目から 3行目に含まれて、る CBR— B条件分岐命令の条件に基づき第一 SUC— B命令群または第二 SUC— B命令群が条件分岐先となる。

[0583] なお、じ !^—八8条件分岐命令群1610は、上記のように、実施の形態 3と同様の CBR— AB条件分岐命令群 1610に CBR— B条件分岐命令を含ませる構成に限らない。上記の例の場合は、「var— ab%2！ =0」の時に SUC— A命令群が分岐先となり、「var— ab%2= =0」かつ「var— org2%2= =0」の時に第一 SUC— B命令群が分岐先となり、「var— ab%2= =0」かつ「var— org2%2！ =0」の時に第二 SUC —B命令群が分岐先となる処理となれば、じ81^—八8条件分岐命令群1610は、他の構成であっても構わな、。

[0584] 例えば、 CBR—AB条件分岐命令群 1610を以下のような命令群としてもよい。 [0585] 「tmp = (var_ab0%2) * 2 + (var_org2%2)；

switch (tmp) { case 0：

case 1：

goto SUC— A;

case 2 :

goto SUC_B_1；

case 3：

goto SUC— B— 2 ; }」

[0586] また、同様に、 A命令群の分岐先ブロックについても、 SUC— A命令群の 1つのみである場合について説明したが、分岐先ブロックは複数あっても構わない。第一 SU C— A命令群と第二 SUC— A命令群と力変数「var— org2」の値が 2の倍数かどうかによつて分岐先となる場合における、 CBR— AB条件分岐命令群 1610の例を以下に示す。

[0587] 「if (var— ab0%2= =0) {goto SUC— B ; }

elset

if (var_org2%2= =0) {goto SUC— A— 1； }

else {goto SUC— A— 2 ; }

J」

[0588] なお、「SUC— A— 1」は第一 SUC— A命令群に付されたラベルであり、「SUC— A_2」は第二 SUC_A命令群に付されたラベルである。

[0589] 上記の例では、「var— abO」が 2で割り切れな!/、場合、第一 SUC— A命令群へ分岐するか、第二 SUC— A命令群へ分岐するかの処理が行われる。なお、 SUC— A 命令群が複数ある場合の CBR— AB条件分岐命令群 1610の作り方も上述のものに限られない。具体的な例は、 SUC— B命令群が複数ある場合と同様であるので省略する。

[0590] また、 SUC— A命令群および SUC— B命令群の両方ともが複数あってもよいことはいうまでもない。

[0591] 以下、このような構成を用いた場合の効果にっ、て述べる。 [0592] 不正解析者による攻撃の例として、プログラムの不正改竄を行う際に、条件分岐命令を無条件分岐命令に改竄することが考えられる。例えば、改竄対象のプログラムが、ユーザが入力した IDが正しい値であるかをチェックし、正しい値であった場合には第一 SUC— B命令群を行、、間違った値であった場合には第二 SUC— B命令群を行うプログラムである場合に、不正解析者は条件分岐命令を改竄して第一 SUC— B 命令群に分岐する無条件分岐命令に改竄することを行う。このような改竄を行うと、正し！、IDを知らなくとも、正し!/、IDを知って!/、る正規のユーザと同等のプログラムを実行することが出来る。ここで、上述した難読ィ匕を行ったプログラムに対して、条件分岐命令を無条件分岐命令に置き換える改竄を行った場合、例えば、上にあげた CBR — AB条件分岐命令群 1610を「₈01；0 SUC— B— 1；」におきかえた場合、入力された IDが正、値でな、場合であっても第一 SUC— B命令群を行うようにすることが出来る（改竄がなければ、第二 SUC— B命令群が実行されるはずである）。しかし、上述した難読ィ匕を施した CBR—AB条件分岐命令群 1610は、 SUC— Aを実行する前にも呼び出されるので、このような改竄を行うと、 SUC— A命令群を行うべき場合にも、無条件で第一 SUC— B命令群が行われてしまうこととなる。よって、このような改竄を行うと、 SUC— A命令群の実行自体が行われなくなってしまうと、う不正解析者が意図しない影響が生じる。このため、不正解析者に対して、自身が行った改竄による影響を把握しに《することができるので、不正解析行為および改竄行為を行いにくくなる。

[0593] 特に上記の構成と変形例（6)で述べた構成を組み合わせた場合、入力値等によつて（例えば、「var— org2」の値によって）上記の改竄による影響が発生する場合と発生しない場合とができる。そのため、不正解析者が影響の出ない入力値を使って解析を行った場合に本手法が適用された部分の把握がより困難になり、不正解析行為および改竄行為を行いにくくなる。

[0594] さらにまた、非特許文献 1に記載の難読ィ匕技術のような実際には分岐しないダミーの分岐先を含む条件分岐命令群を追加しても構わない。具体的には、上記にあげた条件分岐命令群の例に、「case 4」、「case 5」、…とダミーの分岐先を追加しても構わない。このような構成を用いれば、第二 SUC— B命令群へと分岐する箇所のみを第一 SUC— B命令群へ無条件分岐するよう改竄しょうとしても、いずれの箇所を改竄すればよいかを知ることが困難になる。また、アセンブリ言語などで記述されたプログラムを難読ィ匕する場合には、相対ジャンプを用いた条件分岐命令を用いても構わない。

[0595] さらにまた、第一 SUC— B命令群と同等の処理を行う第一 SUC— B命令群 1、第一 SUC— B命令群 2、…を設け、本来第一 SUC— B命令群に分岐する条件の時に、上記同等な処理のいずれかに分岐しても構わない。第二 SUC— B命令群、第一 S UC— A命令群についても同様である。このようにすることで、不正解析者が、どの命令群が第一 SUC— B命令群等に当たる処理を示しているのかを特定することを困難にすることができる。

[0596] (10)実施の形態 3では、 SUC— B命令群の分岐元は B命令群ただ一つである場合について説明した力 B命令群以外に、 SUC— B命令群の分岐元として C1命令群、 C2命令群、…があっても構わない。その場合、 SUC— B命令群に復帰命令群を追加する都合上、 C1命令群、 C2命令群、…にも復帰命令に対応する退避命令群を追加する必要がある。また、 C1命令群に SUC— B命令群以外の分岐先である D1分岐先命令群、 D2分岐先命令群、…がある場合には、 C1命令群に復帰命令群を追加する都合上、 D1分岐先命令群、 D2分岐先命令群、…にも退避命令群を追加する。

[0597] 制御構造の複雑なプログラムに対しては、上記の操作を繰り返し行、、退避命令群を追加する対象となる命令群と復帰命令群を追加する対象となる命令群とを決定する。決定した命令群に退避命令群、復帰命令群の追加を行うことで、本発明による難読ィ匕を行うことができる。

[0598] (11)実施の形態 3では、 B命令群の後に A命令群が実行された場合、 A命令群の実行結果は使用されな!、構成を示したが、 A命令群を行った後の結果を SUC— B命令群で使用する構成としても構わない。この場合は、実施の形態 1または 2と同様の効果が得られる。

[0599] 図 25は、本変形例に係る改竄防止プログラムの構成を示す図である。

[0600] 本変形例に係る改竄防止プログラム 1330aは、 PRE A命令群 1410と、 STR A変数群値代入命令群 1620と、 A命令群 1420と、 CBR— AB条件分岐命令群 161 0と、 SUC— A命令群 1430と、 B命令群 1440と、 STR— B変数群値代入命令群 16 30と、退避命令群 1640と、被参照変数値代入処理命令群 2210と、 BR— B分岐命令群 1660と、復帰命令群 1650と、 SUC— B依存処理命令群 2220とを含んでいる

[0601] つまり、本変形例に係る改竄防止プログラム 1330aは、実施の形態 3の改竄防止プログラム 1330と比べて、被参照変数値代入処理命令群 2210をさらに含むとともに、改竄防止プログラム 1330の SUC— B命令群 1450の代わりに、 SUC— B依存処理命令群 2220を含んで!/、る。

[0602] また、本変形例に係る改竄防止プログラム 1330aでは、 A命令群 1420は実施の形態 1の第一処理命令群 140に相当し、被参照変数値代入処理命令群 2210は実施の形態 1の被参照変数値代入処理命令群 310に相当し、 BR— B分岐命令群 1660 は実施の形態 1の分岐処理命令群 320に相当し、 SUC— B依存処理命令群 2220 は実施の形態 1の依存処理命令群 330に相当する。

[0603] 図 26は、 C言語で表した改竄防止プログラム 1330aの具体的な一例を示す図である。

[0604] 被参照変数値代入処理命令群 2210は、 A命令群 1420を呼び出して実行する際に必要となる各種パラメータに値を設定する処理である。具体的には、例えば、被参照変数値代入処理命令群 2210は、「var— org2 = 5 ;」として表され、被参照変数「v ar_org2jに値「5」を代入する処理を示して!/、る。

[0605] したがって、 BR—B分岐命令群 1660によって、 A命令群 1420に処理が分岐すると、その A命令群 1420が改竄されていなければ、 A命令群 1420の処理により被代入変数「var— orgO」に想定値「40 ( = 5 X 8)」力 S代入されるとともに、変数「var— org 2」に 7 ( = 5 + 2)が代入される。

[0606] 一方、 SUC— B依存処理命令群 2220は、 A命令群 1420を呼び出した後に実行される処理命令群であり、入力プログラム 1310の SUC— B命令群 1450と同等の処理を行うプログラム命令群である。 SUC— B命令群 1450そのものと異なる点は、 SU C B命令群 1450の一部の処理が、 A命令群 1420の処理結果を使用した処理に置き換えられて、る点である。

[0607] 具体的には、例えば、 SUC— B依存処理命令群 2220は、「var— orgl =var— or gl +var一 org 2 ; var一 orgl =var一 org丄 * (var一 orgO * 3 + 3)」としてれる。つまり、 SUC— B依存処理命令群 2220では、 SUC— B命令群 1450の「123」が、 A命令群 1420の処理結果を使用した「 (var— orgO * 3 + 3)」に置き換えられて!/、る

[0608] したがって、 SUC— B依存処理命令群 2220は、 A命令群 1420の処理により、被代入変数「var— orgO」の値として想定値「40」が得られて!/、れば、 SUC— B命令群 1450と同等の処理を実行することができる。

[0609] 図 27は、改竄防止プログラム 1330aの処理の流れを示す図である。

[0610] 改竄防止プログラム 1330aの処理は、図 22に示す改竄防止プログラム 1330の処理と比べて、さらに、被参照変数値代入処理命令群 2210を実行する処理 (ステップ S315)を含むとともに、図 22に示すステップ S320の処理の代わりに、 SUC— B依存処理命令群 2220を実行する処理 (ステップ S321)を含んでいる。

[0611] すなわち、実行処理装置 1340は、改竄防止プログラム 1330aを実行した場合には、退避命令群 1640を実行した後 (ステップ S314)、被参照変数値代入処理命令群 2 210を実行する（ステップ S315)。その後、実行処理装置 1340は、 BR_B分岐命令群 1660を実行する (ステップ S316)。また、実行処理装置 1340は、復帰命令群 16 50を実行した後には (ステップ S318)、 SUC_B依存処理命令群 2220を実行する（ステップ S321)。

[0612] 図 28は、本変形例に係る改竄防止処理生成装置が改竄防止プログラム 1330aを生成する動作を説明するための説明図である。

[0613] なお、図 28では、 PRE— Aは PRE— A命令群 1410を示し、 Aは A命令群 1420を示し、 SUC— Aは SUC— A命令群 1430を示し、 Bは B命令群 1440を示し、 SUC— Bは SUC— B命令群 1450または SUC— B依存処理命令群 2220を示す。また、変数「X0」は変数「var— org0」を示し、変数「XI」は変数「var— orgl」を示し、変数「X 2」は変数「var— org2」を示す。さらに、変数「Y」は変数「var— ab0」を示し、変数「P 」は変数「var save0」を示す。 [0614] 改竄防止処理生成装置は、入力プログラム 1310を取得すると、保護対象とすべき命令群を特定し、その保護対象の命令群が複数の処理経路で実行されるように、その入力プログラム 1310を難読ィ匕する。すなわち、改竄防止処理生成装置は、 1つの処理経路の一部として存在する保護対象の命令群が改竄された場合には、その改竄によって他の処理経路で異常が発生するような改竄防止プログラム 1330aを生成する。

[0615] 具体的には、改竄防止処理生成装置は、図 28の（a)に示すように、 B命令群 1440 と SUC— B命令群 1450との間を選択位置に設定する。そして、改竄防止処理生成装置は、図 28の（b)に示すように、その選択位置で保護対象の A命令群 1420が再び実行されるように、入力プログラムの実行経路 (処理経路）を変更する。

[0616] すなわち、改竄防止処理生成装置は、 B命令群 1440から A命令群 1420に処理が分岐するように、 BR— B分岐命令群 1660「goto A」を新経路として追加する。

[0617] このとき、改竄防止処理生成装置は、 PRE— A命令群 1410の後に A命令群 1420 が実行されたときには、その後、 SUC— A命令群 1430が実行され、 B命令群 1440 の後に A命令群 1420が実行されたときには、その後、 SUC— B命令群 1450が実行されるように、幾つかの命令群を追加する。例えば、改竄防止処理生成装置は、 ST R— A変数群値代入命令群 1620「Y= 1」と、 STR— Β変数群値代入命令群 1630「 Υ=8」と、じ !^—八8条件分岐命令群1610 (¥%2= =0) ₈01；0 SUC— Β」とを追加する。

[0618] 次に、改竄防止処理生成装置は、図 28の（c)に示すように、 Β命令群 1440の後に Α命令群 1420が再び実行されるような実行経路の変更によって、 SUC— B命令群 1 450の処理結果が変化しな、ように、 SUC_B命令群 1450の整合性を確保する。

[0619] すなわち、改竄防止処理生成装置は、退避命令群 1640「P=X2」と復帰命令群 1 650「X2 = P」とを追加する。これにより、改竄防止処理生成装置は、 B命令群 1440 の後に A命令群 1420が実行されても、その実行結果が SUC— B命令群 1450の処理結果に影響を与えてしまうのを防ぐことができる。

[0620] さらに、改竄防止処理生成装置は、図 28の（d)に示すように、 SUC— B命令群 14 50の処理結果力 B命令群 1440の後に実行される A命令群 1420の実行結果に依存するように、 SUC— B命令群 1450を SUC— B依存処理命令群 2220に変更する。このとき、改竄防止処理生成装置は、被参照変数値代入処理命令群 2210「X2 = 5」を追加する。

[0621] その結果、 A命令群 1420が改竄されていなければ、 B命令群 1440の後の A命令群 1420の実行によって変数「XO」の値として想定値「40」が得られ、 SUC— B依存処理命令群 2220は、 SUC— B命令群 1450と同等の処理となる。一方、 A命令群 1 420が改竄されていれば、 B命令群 1440の後の A命令群 1420の実行によって変数「X0」の値として想定値「40」が得られず、 SUC— B依存処理命令群 2220は、 SUC —B命令群 1450と異なる異常な処理となる。

[0622] このように本変形例に係る改竄防止処理生成装置は、 A命令群 140の実行結果を使用する SUC— B依存処理命令群 2220を生成する。これは、本変形例に係る改竄防止処理生成装置が、実施の形態 1およびその変形例の改竄防止処理生成装置 1 10, 110aと同様の構成を有することによって実現される。つまり、本変形例に係る改竄防止処理生成装置は、実施の形態 3の図 23に示す改竄防止処理生成装置 1320 に対して、実施の形態 1およびその変形例における想定値算出部 290, 290aおよび依存処理命令群生成部 201, 201aなどを追加して構成される。

[0623] ここで、保護対象の A命令群 1420や SUC— B命令群 1450には、関数の代わりに、ユーザインターフェースや外部アクセスに関する API (Application Program Interfac e)が含まれていてもよい。

[0624] 図 29は、本変形例に係る改竄防止処理生成装置が、 APIを含む改竄防止プログラムを生成する動作を説明するための説明図である。

[0625] なお、図 29では、 PRE— Aは PRE— A命令群を示し、 Aは A命令群を示し、 SUC — Aは SUC— A命令群を示し、 Bは B命令群を示し、 SUC— Bは SUC— B命令群または SUC— B依存処理命令群を示す。

[0626] ここで、図 29の（a)に示すように、 A命令群は例えば「X=GetText (V)」として表される。「GetText (V)」は、アドレス変数 Vの示すアドレスに、ユーザが入力した文字列を格納する APIである。同様に、 SUC— B命令群は例えば「S = GetText (T)」として表される。「GetText (T)」は、アドレス変数 Tの示すアドレスに、ユーザが入力した文字列を格納する APIである。

[0627] つまり、改竄防止処理生成装置は、図 29の（a)に示すように、 A命令群および SU C—B命令群に APIを含む入力プログラムを取得する。このような場合でも、改竄防止処理生成装置は、上述と同様、保護対象とすべき命令群を特定し、その保護対象の命令群が複数の処理経路で実行されるように、その入力プログラムを難読ィ匕する。すなわち、改竄防止処理生成装置は、 1つの処理経路の一部として存在する保護対象の命令群が改竄された場合には、その改竄によって他の処理経路で異常が発生するような改竄防止プログラムを生成する。

[0628] 具体的には、改竄防止処理生成装置は、保護対象となる A命令群に APIが含まれている力否かを判定する。ここで、 APIが含まれていると判定すると、改竄防止処理生成装置は、その APIをコールする他の処理を検索する。その結果、改竄防止処理生成装置は、その APIをコールする SUC— B命令群を見つけると、図 29の（a)に示すように、 B命令群とその SUC— B命令群との間を選択位置に設定する。そして、改竄防止処理生成装置は、図 29の (b)に示すように、その選択位置で保護対象の A命令群が再び実行されるように、入力プログラムの実行経路 (処理経路）を変更する。

[0629] すなわち、改竄防止処理生成装置は、 B命令群から A命令群に処理が分岐するように、 BR— B分岐命令群「goto A」を新経路として追加する。

[0630] このとき、改竄防止処理生成装置は、 PRE— A命令群の後に A命令群が実行されたときには、その後、 SUC— A命令群が実行され、 B命令群の後に A命令群が実行されたときには、その後、 SUC— B命令群が実行されるように、幾つかの命令群を追加する。例えば、改竄防止処理生成装置は、 STR— A変数群値代入命令群「Y= 1 」と、 STR— Β変数群値代入命令群「Υ= 8」と、 CBR— ΑΒ条件分岐命令群「if (Y% 2= =0) goto SUC— B」とを追加する。

[0631] 次に、改竄防止処理生成装置は、図 29の（c)に示すように、 B命令群の後にアドレス変数 Vの値を変更して A命令群が再び実行されても、その変数 Xおよびアドレス変数 Vの値が SUC— B命令群以降の処理でも不必要に変更されてしまうことがないように、変数 Xおよびアドレス変数 Vの整合性を確保する。すなわち、改竄防止処理生成装置は、退避命令群「P1 =X; P2=V」と復帰命令群「X=P1 ; V=P2」とを追カロする。

[0632] さらに、改竄防止処理生成装置は、図 29の（d)に示すように、 SUC— B命令群の処理結果が、 A命令群の実行結果に依存するように、 SUC— B命令群「S = GetTex t (T)」を SUC— B依存処理命令群「S =X; *T= *V」に変更する。すなわち、改竄防止処理生成装置は、アドレス変数 Vにより示されるアドレスに処理結果が格納されて、るので、その処理結果を本来の SUC— B命令群の処理結果の代わりに使用する。なお、このとき、改竄防止処理生成装置は、被参照変数値代入処理命令群「V =T」を追力！]する。

[0633] その結果、 Α命令群が改竄されて!、なければ、 SUC— B依存処理命令群は、 SUC —B命令群と同等の処理となる。一方、 A命令群が改竄されていれば、つまり、 A命令群がシリアルの入力をする処理である場合に不正解析者が例えば「X= (シリアルの値の定数）」とするような改竄を行えば、 SUC— B依存処理命令群は、 SUC— B命令群と異なる異常な処理となる。

[0634] ( 12)実施の形態 3では、 PRE— A命令群、 A命令群、 SUC— A命令群、 B命令群、および SUC— B命令群とは同一の入力プログラムに含まれる命令群であるとしたが、別々の関数として実現してもよい。

[0635] 例えば、実施の形態 1と同様、第一処理命令群に相当する A命令群と、第二処理命令群に相当する B命令群および SUC— B命令群とを別々の関数として入力することなどが考えられる。この場合、 B命令群から A命令群を含む関数を読み出し、その関数の処理結果を破棄すれば (または、明示的に破棄しなくとも参照しなければ)、 S UC—B命令群以降の処理に命令群 Aの影響が現れな、ようにしつつ、実施の形態 3と同様の難読ィ匕を行うことができる。なお、 A命令群を含む関数を参照呼びで呼び出す場合などには、引数として与えた変数が変化してしまい、 SUC— B命令群以降の処理に影響が出る恐れがあるので、実施の形態 3と同様、退避処理命令群や復帰処理命令群を関数呼び出しの前後に追加する。

[0636] また、実施の形態 1およびその変形例では、第一処理命令群と第二処理命令群とは別々に入力されるものであるとした力実施の形態 3と同様、同一の入力プログラム中、または、同一の関数中の別の処理であるとしても良い。この場合も上記と同様の効果が得られることは言うまでもな、。

[0637] (13)実施の形態 3では、 B命令群の後に A命令群が実行されるようにするために、 BR— B分岐命令群 1660を用、る構成を説明したが、これに限られるものではな!/、。例えば、分岐命令を使う代わりに、命令群の処理の順番を入れ替え、退避命令群 16 40の直後に、 A命令群を配置するとしてもよい。この場合には、 BR— B分岐命令群 1 660は不要となる力命令群の実行順序を入力プログラム 1310と同じにするため、 S TR— A変数群値代入命令群 1620の後に A命令群への分岐命令を挿入する等の変換が必要となる。

[0638] (14)実施の形態 3では、入力プログラムのうち、どの部分を A命令群とし、どの部分を B命令群とする力をユーザが指定する構成であつたが、改竄防止処理生成装置が入力プログラムの中力ランダムに選択した命令群を A命令群又は B命令群とする構成としても構わない。そのような構成をする場合、改竄防止処理生成装置は、 A命令群又は B命令群の決定後、 PRE— A命令群および SUC— A命令群を決定する必要がある。この場合、改竄防止処理生成装置は、決定した A命令群の分岐元ブロックを解析し、解析したブロックを第一 PRE— A命令群、第二 PRE— A命令群、…とする。第一 PRE— B命令群、第二 PRE— B命令群、…についても同様である。また、改竄防止処理生成装置は、命令群の分岐先ブロックを解析し、解析したブロックを第一 S UC— A命令群、第二 SUC— A命令群、…とする。第一 SUC— B命令群、第二 SU C— B命令群、…についても同様である。

[0639] (15)実施の形態 3では、分岐先決定用の G— VAL— AB変数は、「var— abO」の

1つだけであつたが、複数であってもよい。この場合、例えば、 SUC— A命令群へ分岐すべきか否か示す変数と _SUC— B命令群へ分岐すべきか否かを示す変数とを異なる変数にすることなどができる。

[0640] (16)実施の形態 3では、改竄防止処理生成装置 1320への入力として、 SUC— A 命令群を含んだ入力プログラムを用いていた力これに限られるものではない。例えば、 A命令群の分岐先である命令が OS側の関数である場合などには、必ずしも SU C— A命令群に相当する命令が入力プログラムに含まれない。すなわち、改竄防止処理生成装置 1320は、 SUC— A命令群が入力として与えられない場合でも、 A命令群の分岐先である命令のアドレスや関数名さえ分って!、れば、そのアドレスや関数名が示す命令群に分岐するよう CBR—AB条件分岐命令群を構成することで、難読化ができる。

[0641] (17)実施の形態 1およびその変形例ならびに実施の形態 2, 3の説明では、プログラム生成の処理の流れの一例を示した力互いに依存関係のな、処理につ!、ては順序を入替えたり、並列化して実行しても構わなヽ。

[0642] また、ここで述べた難読ィ匕を他の難読ィ匕手法と一緒に適用しても良い。

[0643] 例えば、実施の形態 1およびその変形例ならびに実施の形態 2, 3では、基本的には入力された命令群を、出力する命令群にそのまま含ませていた力それに限られるものではない。別の難読ィ匕手法などにより、入力プログラムに基づいて、各命令群に等価な命令群を生成した上で、その命令群を難読化後のプログラムに含ませても良い。このようにすることで、入力プログラムの命令群と出力されるプログラムの命令群との対応関係を分力りにくくすることができる。ここで、全ての命令群からそれぞれの等価な命令群を生成するのではなぐ一部については等価な命令群を生成し、他の命令群については、入力プログラムそのままの命令群を出力するとしてもよい。つまり、本変形例における等価な命令群とは特に何も変換されない命令群も含み、等価な命令群の生成とは入力プログラムから各命令群を抽出するだけの処理も含む。なお、上記の効果を得るためには、各命令群のうち、少なくとも 1つが元とは異なるが等価な処理を行う命令群に変換されればよぐ他の命令群が元とは異なる命令群に変換されるかどうかは問わな、。

[0644] (18)ここで例えば、図 3に示す第二処理命令群 150を本発明と異なる他の手法により難読化して実行処理装置 130に実行させる場合には、その難読化された第二処理命令群 150を解析することなぐそれらを他の機器に容易に移植して、その機器においても第二処理命令群 150を正常に実行させることができる。

[0645] 例えば、第二処理命令群 150では、暗号鍵を用いて復号ィ匕が行われる。その暗号鍵や復号ィ匕処理の内容は秘密とされるべき情報 (秘密情報)であって、解析されてはならない。したがって、上述のように第二処理命令群 150は難読化される。しかし、第二処理命令群 150が難読化されて、その秘密情報の解明を防ぐことができても、上述のような移植と!/、う不正行為が容易に行われれば、その難読化は無意味になってしまう。また、そのような不正行為を防ぐためには、難読化された第二処理命令群 15 0のコードサイズを大幅に増加させる必要がある。

[0646] したがって、実施の形態 1およびその変形例の改竄防止処理生成装置 110では、実行処理装置 130に元々含まれて、る命令群を第一処理命令群 140として用い、処理経路がその第一処理命令群 140に分岐するように出力処理命令群 160を生成してもよい。これにより、出力処理命令群 160のコードサイズの増大を小さく抑えつつ上述のような移植を困難にすることができる。

[0647] 図 30は、第一処理命令群 140が実行処理装置 130に元々含まれている場合における本発明の効果を説明するための説明図である。

[0648] 改竄防止処理生成装置 110は、保護対象である第二処理命令群 150を取得する。

例えば、第二処理命令群 150は、処理ブロック BO, B1, "·Β9を含んでいる。また、第一処理命令群 140を構成する処理ブロック ΒΑは、実行処理装置 130に元々含まれている。そこで、改竄防止処理生成装置 110は、処理経路が処理ブロック Β0から処理ブロック ΒΑに分岐して処理ブロック B1に戻るように、第二処理命令群 150を修正することにより、出力処理命令群 160を生成する。つまり、改竄防止処理生成装置 110は、第一処理命令群 140を保護対象の一部とし、第二処理命令群 150を出力処理命令群 160に難読化する。

[0649] その結果、不正解析者は、第二処理命令群 150による処理を他の機器に実行させるような不正行為を行う場合には、第二処理命令群 150だけでなく第一処理命令群 140も移植しなければならない。しかし、第一処理命令群 140は、実行処理装置にもともと組み込まれて、る処理を行う命令群であるので、別の装置への移植は困難である。したがって、このような不正行為を困難にすることができる。さらに、第二処理命令群 150の難読ィ匕により、命令群が大幅に増加されることがないので、出力処理命令群 160のコードサイズの増大を小さく抑えることができる。また、各実行処理装置に固有の処理を行うような命令群を第一処理命令群 140として選ぶことで、さらに移植を困難にすることができる。

[0650] なお、第一処理命令群 140は必ずしもプログラム命令である必要はなぐ実行処理装置 130に元々含まれて、る装置や回路 (例えば、オーディオ再生に使用する回路 )などとしてもよい。また、移植を困難にするために、実行処理装置 130に第一処理命令群 140の役割を担う専用の装置や回路を追加してもよい。これらの場合、分岐処理命令群には、第一処理命令群 140に分岐する動作の代わりに、上述した装置や回路を動作させる命令を含ませればよい。なお、被参照変数は、例えば、その装置や回路に対する入力となり、被代入変数は、その装置や回路の出力となる。

[0651] このような構成を用いれば、単に実行処理装置 130で動作するプログラムを移植しても、前記の装置や回路を持たない環境では、移植したプログラムを動作させることが出来なくなるので、不正者がプログラムを移植する攻撃を防止することができる。

[0652] (19)ここで例えば、暗号などの秘密情報を含む処理 (命令群）には、一般的にはあまり使用されないテーブル引きやビットシフト演算などの特徴的な演算 (以下、特徴的演算）が含まれる場合がある。したがって、図 16に示す実行処理装置 1340が入力プログラム 1310を実行するような場合には、不正解析者は、特徴的演算を目印にして、入力プログラム 1310から、秘密情報を含む命令群を容易に見つけ出して不正に解析することができる。

[0653] したがって、例えば実施の形態 3の改竄防止処理生成装置 1320では、特徴的演算を含む命令群を A命令群 1420として、改竄防止プログラム 1330を生成してもよい

[0654] 図 31は、 A命令群 1420が特徴的演算を含む場合における本発明の効果を説明するための説明図である。

[0655] 改竄防止処理生成装置 1320は、入力プログラム 1310を取得すると、特徴的演算を含む命令群を検索して、見つカゝつた命令群を A命令群 1420として、上述した実施の形態 3と同様の難読化処理を行う。その結果、改竄防止処理生成装置 1320が生成するプログラムは、上述の実施の形態 3と同様に、その特徴的演算を含む A命令群 1420が繰り返して実行されるような改竄防止プログラム 1330となる。

[0656] これにより、改竄防止プログラム 1330の処理経路において特徴的演算が実行される箇所が増加する。したがって、不正解析者が秘密情報を含む命令群を見つけ出そうとする不正解析を困難にすることができる。 [0657] なお、実施の形態 1およびその変形例ならびに実施の形態 2においても、上述と同様、改竄防止処理生成装置は、特徴的演算を含む命令群を第一処理命令群として、出力処理命令群を生成してもよい。

[0658] (20)ここで、実施の形態 1およびその変形例ならびに実施の形態 2, 3では、保護対象となる命令群 (第一処理命令群または A命令群）に分岐する分岐処理命令群を生成したが、この分岐処理命令群を生成することなぐ図 28の（d)に示すような依存化のみを行ってもよい。

[0659] 例えば、コンテンツの再生を制限するプログラムを改竄して、そのプログラムの再生制限を解除してしまうような攻撃が想定される。このようなプログラムは、例えば、コンテンッの再生回数が所定の制限回数以下であれば、そのコンテンツの再生を許可する。または、プログラムは、コンテンツを再生する機器を認証し、正当な機器にのみそのコンテンツの再生を許可する。または、プログラムは、そのコンテンツが不正にコピ一されたものであるか否かを判定し、不正にコピーされたものでなければ、そのコンテンッの再生を許可する。

[0660] つまり、不正解析者は、コンテンツの再生許否を判定するための条件分岐命令をそのプログラムから見つけ出して、常に再生許可されるようにその条件分岐命令を無条件分岐命令に改竄しょうとする。

[0661] 図 32は、不正解析者による改竄の例を示す図である。

[0662] 不正解析者は、まず、図 32の（a)および (b)に示すように、プログラムを実行させて、再生許可時におけるログと再生不許可時におけるログとを比較する。その結果、不正解析者は、図 32の（c)および (d)に示すように、ログに差異が生じる部位を特定し、その部位の直前にある、コンテンツの再生許否を判定するための条件分岐命令 (処理ブロック B19)を見つけ出す。

[0663] そこで、不正解析者は、条件分岐命令である処理ブロック B19を解析し、処理ブロック B19では、再生許可のときに変数 aに 1が代入され、再生不許可のときに変数 aに 0が代入されることを解明する。したがって、不正解析者は、処理ブロック B19において常に変数 aに 1が代入されるように、その処理ブロック B19を条件分岐命令力も無条件分岐命令に変更しょうとする。 [0664] そこで、この攻撃に対処するために、本発明では、図 28の（d)に示すような依存ィ匕のみを行ってもよい。

[0665] 図 33は、本変形例に係る改竄防止処理生成装置が依存ィ匕のみを行う例を示す図である。

[0666] 本変形例に係る改竄防止処理生成装置 400は、図 32に示す条件分岐命令を含むプログラムを入力プログラム Piとして取得する。そして、改竄防止処理生成装置 400 は、その入力プログラム Piの中の再生許可時の処理 (被制限処理）に含まれる 1つの定数を特定する。つまり、改竄防止処理生成装置 400は、処理ブロック B26に含まれる定数「10」を見つけ出す。さらに、改竄防止処理生成装置 400は、その入力プログラム Piの条件分岐命令（処理ブロック B19)で、コンテンツの再生許否の判定結果が格納される変数である判定変数 aと、再生許可のときにその判定変数 aに格納される判定結果を示す値である被制限値「 1」とを処理ブロック B19から抽出する。

[0667] その結果、改竄防止処理生成装置 400は、処理ブロック B26に含まれる定数「10」を、「a= l」のときにその定数「10」と等しくなるような数式「a * 5 + 5」に変換することにより、処理ブロック B26の処理を処理ブロック B19の処理結果（実行結果）に依存させる。

[0668] つまり、改竄防止処理生成装置 400は、入力プログラム Piにおいて処理ブロック B1 9の判定結果に関わらず再生許可時の処理が実行されるように、再生不許可時のェラー処理（処理ブロック B30〜： B39)を削除するとともに、処理ブロック B26「x=x+ 1 0」を、処理ブロック B26a「x = x + a * 5 + 5」に置き換えることにより、改竄防止プログラム Poを生成する。

[0669] これにより、改竄防止プログラム Poでは、処理ブロック B26で再生が許可されたとき、つまり判定変数 aに 1が代入されたときには、コンテンツが正常に再生されるような処理が行われる。一方、処理ブロック B26で再生が許可されなかったとき、つまり判定変数 aに 0が代入されたときには、コンテンツが正常に再生されるような処理は行われず、異常な処理が行われる。したがって、判定変数 aに正当な値が代入されな力つた場合には、コンテンツを正常に再生することができなくなるので、入力プログラム Piと同等の処理ができる。 [0670] また、本変形例では、改竄防止プログラム Poを実行したときのログが、再生許可時と再生不許可時とで等しくなるため、保護対象となる条件分岐命令が見つけ出されて無条件分岐命令に改竄されるのを困難にすることができる。

[0671] 図 34は、本変形例に係る改竄防止処理生成装置 400の構成の一例を示す図である。

[0672] 改竄防止処理生成装置 400は、入力プログラム保持部 401、定数選択部 402、変数抽出部 403、変換部 404、および改竄防止プログラム保持部 405を備えている。

[0673] 入力プログラム保持部 401は、入力プログラム Piを取得して保持する。

[0674] 定数選択部 402は、入力プログラム Piの中の再生許可時の処理 (被制限処理)を特定し、さらに、その処理に含まれる 1つの定数を選択する。

[0675] 変数抽出部 403は、入力プログラム Piの中の条件分岐命令において判定結果が格納される判定変数を、その条件分岐命令力も抽出する。さらに、変数抽出部 403 は、条件分岐命令において被制限処理を実行すべきと判定されるときにその判定変数に格納される値である被制限値を抽出する。

[0676] なお、判定結果を示す値を判定変数に格納する条件分岐命令は、複数の命令からなる命令群であってもよい。また、判定変数は、入力プログラム Pi中に明示的に表れる変数である必要はない。例えば、判定変数はスタックであってもよい。この場合、被制限値とは、そのスタックに格納された値である。また、判定変数は、アドレス変数で指定される位置に対応する記憶領域であってもよい。この場合、被制限値とは、その位置に格納された値である。さらに、被制限値も 1つの値に限るものではなぐ値の集合であってもよい。この場合、処理ブロック B26aとして、判定変数に代入された値力の集合に属するどの値であっても処理ブロック B26と同じ処理を行うような命令群を生成する。このような性質を持つ命令群の生成の仕方は、実施の形態 1の変形例 6 における依存処理命令群の生成の仕方と同様である。

[0677] また、このような条件分岐命令において判定変数に被制限値を代入する処理は、実施の形態 1およびその変形例ならびに実施の形態 2における第一処理命令群の処理や、実施の形態 3の A命令群の処理と同様である。

[0678] 変換部 404は、条件分岐命令の判定結果に関わらず被制限処理が実行されるように、入力プログラム Piの中のエラー処理を削除する。さらに、変換部 404は、定数選択部 402で選択された定数を、判定変数を用いた数式に変換する。なお、変換部 40 4は、その定数を、判定変数を用いた関数に変換してもよい。このとき、変換部 404は、判定変数に被制限値が代入されたときにその数式によって算出される値が上述の定数と等しくなるように数式を生成する。変換部 404は、このような処理により改竄防止プログラム Poを生成して改竄防止プログラム保持部 405に格納する。なお、変換部 404は、実施の形態 1およびその変形例ならびに実施の形態 2の依存処理命令群生成部 201, 201a, 201bと同様の処理を行うことにより、上述の数式を生成する。

[0679] 改竄防止プログラム保持部 405は、変換部 404によって生成された改竄防止プログラム Poを取得して保持する。

[0680] 図 35は、本変形例に係る改竄防止処理生成装置 400の動作の一例を示すフローチャートである。

[0681] 改竄防止処理生成装置 400は、まず、入力プログラム Piの被制限処理に含まれる定数を選択する (ステップ S500)。さらに、改竄防止処理生成装置 400は、入力プログラム Piの条件分岐命令力も判定変数および被制限値を抽出する (ステップ S502) 。そして、改竄防止処理生成装置 400は、ステップ S500で選択された定数を、判定変数を用いた数式に変換する (ステップ S504)。また、このとき、改竄防止処理生成装置 400は、条件分岐命令の判定結果に関わらず被制限処理が実行されるように、入力プログラム Piの中のエラー処理を削除する。その結果、入力プログラム Piは改竄防止プログラム Poに変換される。

[0682] (21)また、実施の形態 1およびその変形例では、第二処理命令群 150が、圧縮されたコンテンツを解凍する処理であるとして説明した力他の処理であってもよい。さらに、実施の形態 1およびその変形例ならびに実施の形態 2では、第一処理命令群 140が、コンテンツの暗号ィ匕された再生可能回数を復号して平文の再生可能回数を出力する処理であるとして説明した力他の処理であってもよい。すなわち、本発明の適用対象は、実施の形態 1およびその変形例ならびに実施の形態 2で述べた復号処理や解凍処理等を行う命令群に限らな、。改竄を防止する必要がある命令群であれば、どのようなものにでも適用できる。例えば、その適用例として、コンテンツの利用権を管理する命令群などが挙げられる。

[0683] (22)実施の形態 1およびその変形例ならびに実施の形態 2, 3では、各プログラムや命令群が C言語のプログラムである場合の例を示した力これに限られるものではない。それぞれ、他のプログラミング言語、 UML等のモデリング言語、コンパイラ等の中間言語、アセンブリ言語、マシン語等であっても構わない。

[0684] (23)実施の形態 1およびその変形例ならびに実施の形態 2, 3で、難読化する対象はコンピュータプログラミング言語に関わらず、論理回路記述言語等の論理回路の設計の情報 (具体的には、 VHDL等のハードウェア記述言語で記述されたプログラム等)であっても構わない。難読ィ匕により得られるプログラムについても同様である。すなわち、本発明で難読ィ匕対象とするプログラムおよび難読ィ匕により得られるプログラムは、コンピュータプログラミング言語で記述されたプログラムに限らず、上述した論理回路の設計の情報も含む概念である。

[0685] (24)上記の各装置は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、およびマウスなどから構成されるコンピュータシステムである。その RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。つまり、マイクロプロセッサ力コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。なお、各装置は、マイクロプロセッサ、 ROM、 RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどの全てを含むコンピュータシステムには限らず、これらの一部から構成されて V、るコンピュータシステムであってもよ、。

[0686] (25)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI

(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSI であり、具体的には、マイクロプロセッサ、 ROM、および RAMなどを含んで構成されるコンピュータシステムである。その RAMには、コンピュータプログラムが記憶されている。つまり、マイクロプロセッサ力コンピュータプログラムにしたがって動作することにより、システム LSIは、その機能を達成する。

[0687] (26)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能な ICカードまたは単体のモジュール力も構成されて!、るとしてもよ!/、。その ICカードまたはモジュールは、マイクロプロセッサ、 ROM,および RAMなどから構成されるコンピュータシステムである。その ICカードまたはモジュールは、上記の超多機能 LSIを含むとしてもよい。つまり、マイクロプロセッサ力コンピュータプログラムにしたがって動作することにより、その ICカードまたはモジュールは、その機能を達成する。この IC カードまたはこのモジュールは、耐タンパ性を有するとしてもよ、。

[0688] (27)本発明は、上記の改竄防止処理生成装置が改竄防止処理を生成する方法としても実現される。また、本発明は、これらの方法によりコンピュータに改竄防止処理を生成させるコンピュータプログラムや、コンピュータプログラム力もなるディジタル信号としても実現される。

[0689] (28)また、本発明は、上述のコンピュータプログラムまたはディジタル信号をコンビユータ読み取り可能な記録媒体、例えば、フレキシブルディスクや、ハードディスク、 CD-ROM, MO、 DVDゝ DVD— ROMゝ DVD— RAMゝ BD (Blu—ray Disc)、半導体メモリなどに記録したものとしても実現される。また、これらの記録媒体に記録されてヽるディジタル信号としても実現される。

[0690] (29)また、本発明は、電気通信回線、無線通信回線、有線通信回線、インターネットを代表とするネットワーク、またはデータ放送等を経由して伝送される、上述のコンピュータプログラムまたはディジタル信号としても実現される。

[0691] (30)また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムとしても実現される。この場合、そのメモリは、上述のコンピュータプログラムを記憶しており、マイクロプロセッサは、そのコンピュータプログラムにしたがって動作する。

[0692] (31)また、そのコンピュータプログラムまたはディジタル信号を記録媒体に記録して移送することにより、またはコンピュータプログラムまたはディジタル信号をネットヮ一ク等を経由して移送すること〖こより、独立した他のコンピュータシステムにより本発明の処理を実施してもよい。

[0693] (32)本発明は、これらの実施の形態及び変形例の組合せであってもよ!/、。産業上の利用可能性

また、本発明に係る命令生成装置は、暗号鍵などの秘密情報を扱うプログラムを、より解析が困難なプログラムに変換することができるので、不正解析者に漏洩すると不利益を招くような秘密情報を用いたソフトウェア等を生成する機器などにおいて有用である。また、本発明に係る命令生成装置により生成されたプログラムは、不正解析者による解析が困難な形をしているので、不正解析者に漏洩すると不利益を招くような秘密情報を用いた処理を行うソフトウェア等を実行する機器などに適用することができる。

Claims

請求の範囲

[1] コンピュータに対してデータを被代入変数に代入させる第一処理命令を保護するために、前記コンピュータに実行させる複数の命令力なる出力処理命令群を生成する命令生成装置であって、

前記コンピュータが前記第一処理命令を実行するように、処理経路を前記第一処理命令に分岐させる分岐命令を、前記出力処理命令群の一部として生成する分岐命令生成手段と、

前記コンピュータが前記分岐命令に従って前記第一処理命令を実行した結果を示す前記被代入変数に代入されたデータに依存し、前記データが予め定められた内容を示す場合に、前記出力処理命令群以降に行うべき予め定められた処理を前記コンピュータに実行させる依存処理命令を、前記出力処理命令群の一部として生成する依存処理命令生成手段と

を備えることを特徴とする命令生成装置。

[2] 前記依存処理命令生成手段は、

前記コンピュータに対して予め定められた処理を実行させる第二処理命令を取得して前記依存処理命令に変換することによって前記依存処理命令を生成し、

前記依存処理命令は、前記第一処理命令が実行された結果を示す前記被代入変数に代入された値が、予め定められた想定値を示す場合に、前記第二処理命令の実行結果と同じ実行結果を前記コンピュータに導出させる

ことを特徴とする請求項 1に記載の命令生成装置。

[3] 前記命令生成装置は、さらに、

前記第一処理命令を使用しない前記第二処理命令と、前記第一処理命令を用いて前記第二処理命令とは異なる処理を前記コンピュータに実行させる第三処理命令とを含む入力プログラムを取得する取得手段と、

前記入力プログラムの前記第二処理命令が前記依存処理命令生成手段によって変換されて生成された前記依存処理命令を含む前記出力処理命令群と、前記第三処理命令とを含む出力プログラムを出力する出力手段とを備える

ことを特徴とする請求項 2に記載の命令生成装置。 [4] 前記命令生成装置は、さらに、

予め定められた条件に従って前記第一処理命令により前記被代入変数に代入される値を前記想定値として算出する想定値算出手段を備え、

前記依存処理命令生成手段は、

前記第一処理命令が実行された結果を示す前記被代入変数に代入された値が、前記想定値算出手段により算出された想定値を示す場合に、前記第二処理命令の実行結果と同じ実行結果を前記コンピュータに導出させる前記依存処理命令を生成する

ことを特徴とする請求項 2に記載の命令生成装置。

[5] 前記命令生成装置は、さらに、

前記コンピュータが前記第一処理命令を実行する際に、前記コンピュータに対して、前記第一処理命令で参照される被参照変数に値を代入させる被参照代入処理命令を、前記出力処理命令群の一部として生成する被参照代入処理生成手段を備え前記想定値算出手段は、

前記被参照変数に代入される値を前記条件として扱、、前記被参照変数の値に従つて前記第一処理命令により前記被代入変数に代入される値を前記想定値として算出する

ことを特徴とする請求項 4に記載の命令生成装置。

[6] 前記命令生成装置は、さらに、

前記第一処理命令で参照される被参照変数を特定する被参照特定手段を備え、前記被参照代入処理生成手段は、

前記コンピュータに対して、前記被参照特定手段により特定された被参照変数に値を代入させる前記被参照代入処理命令を生成する

ことを特徴とする請求項 5に記載の命令生成装置。

[7] 前記命令生成装置は、さらに、

前記被参照変数に代入される値の候補となる複数の値を、被参照変数値の集合として保持する値保持手段を備え、前記被参照代入処理生成手段は、

前記被参照変数値の集合に含まれる何れかの値を前記被参照変数に代入させる前記被参照代入処理命令を生成する

ことを特徴とする請求項 5に記載の命令生成装置。

[8] 前記想定値算出手段は、

前記被参照変数値の集合に含まれる各値に従って前記第一処理命令により前記被代入変数に代入される値の集合を、想定値の集合として算出し、

前記依存処理命令生成手段は、

前記被参照変数値の集合と前記想定値の集合とを用いて前記依存処理命令を生成し、

前記依存処理命令は、

前記第一処理命令が実行された結果を示す前記被代入変数の値が、前記想定値の集合に含まれる値である場合に、前記第二処理命令の実行結果と同じ実行結果を前記コンピュータに導出させる

ことを特徴とする請求項 7に記載の命令生成装置。

[9] 前記依存処理命令は、

前記コンピュータに対して、前記被代入変数に代入された値を、予め定められた想定値と比較させ、前記被代入変数の値が前記想定値と等しいときには、予め定められた処理を前記コンピュータに実行させ、前記被代入変数の値が前記想定値と異なるときには、前記予め定められた処理の実行を前記コンピュータに抑制させることを特徴とする請求項 1に記載の命令生成装置。

[10] 前記命令生成装置は、さらに、

前記第一処理命令に含まれる前記被代入変数を特定する被代入特定手段を備え前記依存処理命令生成手段は、

前記被代入特定手段により特定された前記被代入変数に代入されたデータに依存した処理を前記コンピュータに実行させる前記依存処理命令を生成する

ことを特徴とする請求項 1に記載の命令生成装置。前記命令生成装置は、さらに、

前記第一処理命令、前記第一処理命令の分岐元となる第一先行命令、前記第一処理命令の分岐先となる第一後続命令、第一後続命令の分岐先となる第二処理命令、および前記第二処理命令の分岐先となる第二後続命令を含む入力プログラムを取得する取得手段と、

第一の条件が満たされて、る場合と第二の条件が満たされて、る場合とで、前記第一処理命令の分岐先が異なるように、前記処理経路を前記第一処理命令から他の命令に分岐させる条件分岐命令を生成する条件分岐命令生成手段と、

前記第一処理命令、前記第一先行命令、前記第一後続命令、および前記第二処理命令を含む出力プログラムを出力する出力手段とを備え、

前記依存処理命令生成手段は、

前記被代入変数のデータが予め定められた内容を示す場合に、前記第二後続命令と同一の実行結果を前記コンピュータに導出させる前記依存処理命令を生成し、前記分岐命令生成手段は、

前記コンピュータが前記第二処理命令を実行した後に再び前記第一処理命令を実行するように、処理経路を前記第二処理命令力前記第一処理命令に分岐させる前記分岐命令を生成し、

前記条件分岐命令生成手段は、

前記第一の条件が満たされている場合には、前記処理経路を前記第一処理命令から前記第一後続命令に分岐させ、前記第二の条件が満たされている場合には、前記処理経路を前記第一処理命令から前記依存処理命令に分岐させる前記条件分岐命令を生成し、

前記出力手段は、

前記依存処理命令、前記分岐命令、および前記条件分岐命令を含む前記出力プログラムを出力し、

前記第一の条件は、前記第一処理命令が前記コンピュータに実行されたときに、前記第一処理命令の実行の直前に前記第一先行命令が実行されていることであり、前記第二の条件は、前記第一処理命令が前記コンピュータに実行されたときに、前記第一処理命令の実行の直前に前記第二処理命令が実行されていることであることを特徴とする請求項 1に記載の命令生成装置。

[12] 前記入力プログラムには、複数の前記第一後続命令が含まれており、

前記条件分岐命令生成手段は、

前記第一の条件が満たされている場合には、前記第一処理命令が実行された後に、前記複数の第一後続命令のうち第三の条件に応じた 1つの第一後続命令が分岐先第一後続命令として実行されるように、前記処理経路を前記第一処理命令から前記分岐先第一後続命令に分岐させる前記条件分岐命令を生成する

ことを特徴とする請求項 11に記載の命令生成装置。

[13] 前記第三の条件は、変数に代入される値であり、

前記条件分岐命令生成手段は、

前記第一の条件が満たされて、るか否かを示す変数の値と、前記第二の条件が満たされている力否かを示す変数の値とに基づいて前記処理経路を分岐させる前記条件分岐命令を生成する

ことを特徴とする請求項 12に記載の命令生成装置。

[14] 前記入力プログラムには、複数の前記第二後続命令が含まれてあり、

前記依存処理命令は、

前記複数の第二後続命令をそれぞれ前記依存処理命令に変換し、

前記条件分岐命令生成手段は、

前記第二の条件が満たされている場合には、前記第一処理命令が実行された後に、前記複数の依存処理命令のうち第四の条件に応じた 1つの依存処理命令が分岐先依存処理命令として実行されるように、前記処理経路を前記第一処理命令から前記分岐先依存処理命令に分岐させる前記条件分岐命令を生成する

ことを特徴とする請求項 11に記載の命令生成装置。

[15] 前記第四の条件は、変数に代入される値であり、

前記条件分岐命令生成手段は、

ことを特徴とする請求項 14に記載の命令生成装置。

[16] 前記命令生成装置は、さらに、

前記入力プログラムで使用されていない追加変数を生成する変数生成手段と、前記第一の条件が満たされる場合に、前記コンピュータに対して、前記追加変数に第一条件値を代入させる第一条件値代入命令を生成し、前記第二の条件が満たされる場合に、前記コンピュータに対して、前記追加変数に第二条件値を代入させる第二条件値代入命令を生成する条件値代入命令生成手段とを備え、

前記条件分岐命令生成手段は、

前記追加変数に代入されている値が前記第一条件値であるときには、前記処理経路を前記第一処理命令から前記第一後続命令に分岐させ、前記追加変数に代入されている値が前記第二条件値であるときには、前記処理経路を前記第一処理命令から前記第依存処理命令に分岐させる条件分岐命令を生成する

ことを特徴とする請求項 11に記載の命令生成装置。

[17] 前記第二後続命令および前記依存処理命令は、前記第二処理命令が実行された時点にお、て得られて、る実行結果を使用して、互いに同等の処理を前記コンピュータに実行させる命令であって、

前記命令生成装置は、さらに、

前記第二処理命令が実行された時点にぉヽて得られて！/ヽる実行結果を、前記第一処理命令が実行される前に退避させる退避命令を生成する退避命令生成手段と前記第一処理命令が再び実行された後に、退避された実行結果を復帰させる復帰命令を生成する復帰命令生成手段とを備える

ことを特徴とする請求項 11に記載の命令生成装置。

[18] 前記分岐命令生成手段は、

前記第一処理命令が API (Application Program Interface)を含むときには、前記 A PIと同一の APIを呼び出す命令を前記第二後続命令として検索し、前記第二後続命令の分岐元となる前記第二処理命令から前記第一処理命令に処理経路を分岐させる前記分岐命令を生成する

ことを特徴とする請求項 11に記載の命令生成装置。

[19] 前記命令生成装置は、さらに、

前記第一処理命令を含む入力プログラムを取得する取得手段と、

前記分岐命令生成手段および前記依存処理命令生成手段によって生成された前記分岐命令および前記依存処理命令を前記入力プログラムに追加することにより、前記第一処理命令、前記分岐命令および前記依存処理命令を含む出力プログラムを生成して出力する出力手段とを備える

ことを特徴とする請求項 1に記載の命令生成装置。

[20] コンピュータに対してデータを被代入変数に代入させる第一処理命令を保護するための、前記コンピュータに実行させる複数の命令力なるプログラムであって、前記コンピュータが前記第一処理命令を実行するように、処理経路を前記第一処理命令に分岐させる分岐命令と、

前記コンピュータが前記分岐命令に従って前記第一処理命令を実行した結果を示す前記被代入変数に代入されたデータに依存し、前記データが予め定められた内容を示す場合に、前記出力処理命令群以降に行うべき予め定められた処理を前記コンピュータに実行させる依存処理命令と

を含むことを特徴とするプログラム。

[21] コンピュータに対してデータを被代入変数に代入させる第一処理命令を保護するために、前記コンピュータに実行させる複数の命令力なる出力処理命令群を生成する命令生成方法であって、

前記コンピュータが前記第一処理命令を実行するように、処理経路を前記第一処理命令に分岐させる分岐命令を、前記出力処理命令群の一部として生成する分岐命令生成ステップと、

前記コンピュータが前記分岐命令に従って前記第一処理命令を実行した結果を示す前記被代入変数に代入されたデータに依存し、前記データが予め定められた内容を示す場合に、前記出力処理命令群以降に行うべき予め定められた処理を前記コンピュータに実行させる依存処理命令を、前記出力処理命令群の一部として生成する依存処理命令生成ステップと

を含むことを特徴とする命令生成方法。

[22] コンピュータに対してデータを被代入変数に代入させる第一処理命令を保護するために、前記コンピュータに実行させる複数の命令力なる出力処理命令群を生成するためのプログラムであって、

前記コンピュータが前記分岐命令に従って前記第一処理命令を実行した結果を示す、前記被代入変数に代入されたデータに依存し、前記データが予め定められた内容を示す場合に、前記出力処理命令群以降に行うべき予め定められた処理を前記コンピュータに実行させる依存処理命令を、前記出力処理命令群の一部として生成する依存処理命令生成ステップと

をコンピュータに実行させることを特徴とするプログラム。

[23] コンピュータに対してデータを被代入変数に代入させる第一処理命令を保護するために、前記コンピュータに実行させる複数の命令力なる出力処理命令群を生成する集積回路であって、

を備えることを特徴とする集積回路。