WO2008047830A1 - Dispositif et procédé de surveillance de falsification de l'information d'application - Google Patents

Description

明 細 書

アプリケーション情報改竄監視装置及び方法

技術分野

[0001] 本発明は、アプリケーション情報改竄監視装置及び方法に関し、より詳しくは、情報 処理装置内の各種アプリケーション情報に対する不正な改竄を監視するアプリケー シヨン情報改竄監視装置及びこのアプリケーション情報改竄監視装置が実行する方 法に関する。

背景技術

[0002] 近年、インターネットを介して送り込まれたコンピュータウィルス等によって、情報処 理装置内のアプリケーションプログラムやアプリケーションデータが不正に改竄等さ れることが問題となっている。この問題に対する対策の一つとして、例えば、特許文献 1に記載のファイル監視装置が提案されている。このファイル監視装置は、電子フアイ ルの改竄の有無を監視するための監視情報を記憶し、監視対象の電子ファイルから 上記監視情報に対応したパラメータ値を取得する。ファイル監視装置は、取得された ノ ラメータ値と監視情報とを比較することにより、電子ファイルの改竄の有無を判定す ること力 Sでさる。

特許文献 1：特開 2004— 13607号公報

発明の開示

発明が解決しょうとする課題

[0003] しかしながら、上記ファイル監視装置は、改竄有無判定を行うための改竄有無判定 プログラムを改竄から守るために改竄有無判定プログラムをセキュリティレベルの高

V、領域に保存し、上記監視情報とパラメータ値の比較による電子ファイルの改竄有 無判定をセキュリティレベルの高い領域で行っていた。つまり、このファイル監視装置 は、電子ファイルの改竄有無判定の際、低セキュリティレベル領域と高セキュリティレ ベル領域が逐一通信を行ってレ、た。低セキュリティレベル領域と高セキュリティレべ ノレ領域が通信するためには、これら領域間に設けられたバッファにデータを一時的 に蓄積する必要があった。このため、このファイル監視装置は、電子ファイルの改竄 有無判定を行う毎にバッファに大きなオーバヘッドが発生し、電子ファイルの改竄有 無判定の処理効率が低下するという問題があった。

[0004] 本発明は、このような課題を解決するためになされたもので、情報処理装置内のァ プリケーシヨンプログラムやアプリケーションデータの改竄有無判定を行う際、改竄監 視装置内の通信オーバヘッドを抑制することができ、アプリケーションプログラムゃァ プリケーシヨンデータの改竄有無判定の処理効率を高めることができるアプリケーショ ン情報改竄監視装置の提供を目的とする。

課題を解決するための手段

[0005] 本発明は、アプリケーション情報の改竄有無を監視する改竄監視装置及びこの改 竄監視装置が実行する方法に向けられている。そして、上記目的を達成するために 、本発明の改竄監視装置は、アプリケーション情報の改竄有無を判定するための改 竄判定プログラムを記憶する第 1の記憶部と、処理実行の指示に応じて、第 1の記憶 部が記憶する改竄判定プログラムがコピーされる第 2の記憶部と、第 2の記憶部にコ ピーされた改竄判定プログラムの改竄有無を判定するプログラム改竄判定部と、プロ グラム改竄判定部における改竄無しとの判定結果に従って、改竄判定プログラムを 用いてアプリケーション情報の改竄有無を判定するアプリケーション情報改竄判定部 とを備える。

[0006] 本発明によれば、アプリケーション情報改竄判定部は改竄判定プログラムを記憶し ている。そして、アプリケーション情報改竄判定部は、プログラム改竄判定部において 改竄判定プログラムが改竄されてレ、なレ、と判定された場合に、その改竄判定プロダラ ムを用いてアプリケーション情報の改竄有無を判定する。従って、アプリケーション情 報の改竄有無判定を複数回行う際、アプリケーション情報改竄判定部はプログラム 改竄判定部と逐一通信する必要が無い。よって、アプリケーション情報改竄判定部が プログラム改竄判定部と通信する際に生じ得る通信オーバヘッドを抑制することがで きる。通信オーバヘッドを抑制することにより、アプリケーション情報の改竄有無判定 の処理効率を高めることができる。

[0007] 典型的なプログラム改竄判定部は、改竄判定プログラムに基づレ、て判定比較対象 情報を生成する判定比較対象取得部と、判定比較対象情報と、改竄判定プログラム に改竄が無レ、ことを示す判定比較対象基準情報とを比較し、双方の情報が一致す れば改竄判定プログラムの改竄無しと判定する判定情報比較部とを備える。

[0008] また、典型的なアプリケーション情報改竄判定部は、アプリケーション情報に基づ!/ヽ てアプリケーション比較対象情報を生成するアプリケーション比較対象取得部と、ァ プリケーシヨン比較対象情報と、アプリケーション情報に改竄が無!/、ことを示すアプリ ケーシヨン比較対象基準情報とを比較し、双方の情報が一致すればアプリケーション 情報の改竄無しと判定するアプリケーション情報比較部とを備える。

[0009] ここで、アプリケーション情報改竄判定部は、第 1の記憶部が記憶する改竄判定プ ログラムを用いて前記アプリケーション情報の改竄有無を判定してもよいし、第 2の記 憶部が記憶する改竄判定プログラムを用いて前記アプリケーション情報の改竄有無 を判定してもよい。なお、第 2の記憶部にコピーされた改竄判定プログラムは、常駐さ せておくことが好ましい。また、プログラム改竄判定部は、アプリケーション情報改竄 判定部よりも高!/、セキュリティレベルで判定を実行することが望まし!/、。

[0010] アプリケーション情報改竄判定部は、アプリケーション情報比較部におレ、てアプリケ ーシヨン情報の改竄有りと判定された場合に、アプリケーション情報に基づく動作を 停止させる情報変更部を更に備えることが好ましい。

[0011] この構成によれば、改竄判定プログラムが改竄されていると判定された場合に、ァ プリケーシヨン情報を用いた実行処理がされないようにする。改竄判定プログラムが 改竄されている場合には、アプリケーション情報も改竄されている可能性がある。従つ て、アプリケーション情報を用いた実行処理がされないようにすることにより、改竄され たアプリケーション情報による不正な処理を防止することができる。

[0012] また、判定比較対象情報及び判定比較対象基準情報は、改竄判定プログラムのハ ッシュ値、又は電子署名、あるいはバージョンであることが好ましい。同様に、アプリケ ーシヨン比較対象情報及びアプリケーション比較対象基準情報は、改竄判定プログ ラムのハッシュ値、又は電子署名、あるいはバージョンであることが好ましい。

[0013] この構成によれば、改竄判定プログラム及びアプリケーション比較対象情報のハツ シュ値、又は電子署名同士、あるいはバージョン同士を比較することで改竄判定プロ グラム及びアプリケーション比較対象情報の改竄有無判定を行う。ノ、ッシュ値、又は 電子署名、あるいはバージョン同士を比較することにより、改竄判定プログラム及びァ プリケーシヨン情報の改竄有無判定の正確性を高めることができる。

[0014] なお、複数のプログラム改竄判定部を備え、アプリケーション情報改竄判定部は、 全てのプログラム改竄判定部にお!/、て改竄判定プログラムが改竄されて!/、な!/、と判 定された場合に、改竄判定プログラムを用いてアプリケーション情報の改竄有無を判 定することが好ましい。

[0015] この構成によれば、複数のプログラム改竄判定部でそれぞれ改竄判定プログラムの 改竄有無判定を行い、全ての改竄有無判定で改竄無しと判定された場合にアプリケ ーシヨン情報の改竄有無判定を行う。従って、 1個の第 2の処理部で改竄判定プログ ラムの改竄有無判定を行う場合よりも、改竄判定プログラムの改竄有無判定の正確 十生を高めることができる。

発明の効果

[0016] 本発明によれば、アプリケーションプログラムやアプリケーションデータの改竄有無 判定を行う際、改竄監視装置内の通信オーバヘッドを抑制することができる。よって、 アプリケーションプログラムやアプリケーションデータの改竄有無判定の処理効率を 高めること力 Sでさる。

図面の簡単な説明

[0017] [図 1]図 1は、本発明の実施の形態 1に係るアプリケーション情報改竄監視装置を備 えた情報処理装置を示すブロック図である。

[図 2]図 2は、本発明の実施の形態 1に係るアプリケーション情報改竄監視装置の動 作を示すシーケンス図である。

[図 3]図 3は、本発明の実施の形態 2に係るアプリケーション情報改竄監視装置を備 えた情報処理装置を示すブロック図である。

[図 4]図 4は、本発明の実施の形態 2に係るアプリケーション情報改竄監視装置の動 作を示すシーケンス図である。

符号の説明

[0018] 10、 11 アプリケーション情報改竄監視装置

100、 101 情報処理装置 110 第 1の処理部

11 1 アプリケー -シヨン比較対象取得部

112 アプリケー -シヨン情報比較部

113 アプリケー -シヨン比較基準記憶部

114 アプリケー -シヨン能力変更部

115 起動部

116 アプリケー -シヨン改竄判定指示部

130 共有バッ:ファ

200、 200— 1、 200 - 2 第 2の処理部

21 1 判定プログラム比較基準記憶部

212 判定プログラム情報比較部

213 判定プログラム比較対象取得部

発明を実施するための最良の形態

[0019] 本発明の実施の形態について、図面を参照しながら説明する。

[0020] (実施の形態 1)

図 1は、実施の形態 1に係るアプリケーション情報改竄監視装置 10を備えた情報処 理装置 100を示すブロック図である。

[0021] 実施の形態 1における情報処理装置 100は、その内部に格納されているアプリケー シヨン情報の改竄を検出する必要がある情報処理装置である。実施の形態 1におけ る情報処理装置 100としては、例えば民生機器を挙げることができる。この民生機器 の具体例としては、例えば、携帯電話、 DVDレコーダ、カーナビゲーシヨン装置、 PD A (Personal Digital Assistant)等を挙げることができる。アプリケーション情報は 、例えばアプリケーションプログラム、アプリケーションプログラムの動作に用いられる アプリケーションデータである。アプリケーション情報の具体例としては、例えば不正 に改竄されてはならな!/、音楽再生用プログラムを挙げることができる。この音楽再生 用プログラムは、コンテンツプロバイダなどが提供して!/、る音楽データを再生すること ができる。

[0022] 実施の形態 1に係るアプリケーション情報改竄監視装置 10は、アプリケーション情 報の改竄を検出するためのものである。

[0023] まず、実施の形態 1に係るアプリケーション情報改竄監視装置 10の概略的構成及 び機能を説明する。

[0024] このアプリケーション情報改竄監視装置 10は、図 1に示されるように、第 1の処理部

110と、第 2の処理き 200とを備えている。

[0025] 第 1の処理部 110は、図示例では、アプリケーション情報の改竄有無を判定するた めの改竄判定プログラムの記憶部 117を含んでいる。第 1の処理部 110は、改竄判 定プログラムを用いてアプリケーション情報の改竄を判定可能である。すなわち、改 竄判定プログラム記憶部 117を除!/、た第 1の処理部 110の構成は、アプリケーション 情報改竄判定部と言える。

[0026] 第 2の処理部 200は、第 1の処理部 110と通信可能に接続されている。第 2の処理 部 200は、第 1の処理部 110から改竄判定プログラムを受信し、受信した改竄判定プ ログラムの改竄有無を判定可能である。すなわち、第 2の処理部 200の構成は、プロ グラム改竄判定部と言える。

[0027] 第 1の処理部 110は、第 2の処理部 200において改竄判定プログラムが改竄されて

V、な!/、と判定された場合に、その改竄判定プログラムを用いてアプリケーション情報 の改竄有無を判定する。

[0028] 次に、実施の形態 1に係るアプリケーション情報改竄監視装置 10の詳細な構成及 び機能を説明する。

[0029] 第 1の処理部 110は、アプリケーション比較対象情報取得部（以下、アプリケーショ ン比較対象取得部と称する） 111と、アプリケーション情報比較部 112と、アプリケー シヨン比較基準情報記憶部（以下、アプリケーション比較基準記憶部と称する） 113と 、アプリケーション能力変更部 114と、起動部 115と、アプリケーション情報改竄有無 判定指示部（以下、アプリケーション改竄判定指示部と称する） 116と、改竄判定プロ グラム記憶部 117とを含んで!/、る。

[0030] 第 1の処理き は、 列えば、、これら機倉フ、、ロック 111、 112、 113、 114、 115、 11 6、 117を実現するためのプログラムを汎用のコンピュータにインストールすることによ りソフトウェア的に構築することができる。なお、これら機能ブロックは、ハードウェア的 に実現されてもよい。

[0031] 第 1の処理部 110は、アプリケーション情報の改竄有無を監視する。第 1の処理部 1 10は、アプリケーション情報の改竄を検出した場合は、例えば、そのアプリケーション 情報に基づく情報処理装置 100の動作を停止させる。これにより、改竄されたアプリ ケーシヨン情報の不正実行を防止することができる。

[0032] アプリケーション改竄判定指示部 116は、図示例では改竄判定プログラム記憶部 1 17を有している。改竄判定プログラム記憶部 117は、アプリケーション情報の改竄有 無を判定するための改竄判定プログラムを記憶して!/、る。アプリケーション改竄判定 指示部 116は、改竄判定プログラム記憶部 117から読み出した改竄判定プログラム を共有バッファ 130にコピーする（ロードすることと同義である）。第 2の処理部 200は 、コピーされた改竄判定プログラムを共有バッファ 130から読み出し、読み出した改 竄判定プログラムが改竄されているか否かを判定する。その判定結果情報は、共有 ノ ッファ 130を介してアプリケーション改竄判定指示部 116へ送信される。アプリケー シヨン改竄判定指示部 116は、改竄判定プログラムが改竄されて!/、るとレ、う判定結果 を受信した場合には、そのアプリケーション情報を書き換え或いは削除する指示情報 をアプリケーション能力変更部 114に入力する。アプリケーション改竄判定指示部 11 6は、改竄判定プログラムが改竄されていないという判定結果を受信した場合は、ァ プリケーシヨン情報の改竄有無判定を行わせる指示情報をアプリケーション比較対象 取得部 111に入力する。

[0033] アプリケーション比較対象取得部 111は、アプリケーション改竄判定指示部 116か らアプリケーション情報の改竄判定を行わせる指示情報を入力した際に、改竄有無 の判定対象であるアプリケーション情報を読み込み、読み込んだアプリケーション情 報に基づきアプリケーション比較対象情報を生成する。アプリケーション比較対象情 報は、改竄有無の判定対象であるアプリケーション情報の例えばハッシュ値、電子署 名、或いはバイナリデータの一部等である。アプリケーション比較対象情報は、改竄 有無の判定対象であるアプリケーション情報毎に一意に定まる値である。アプリケー シヨン比較対象情報は、改竄有無の判定対象であるアプリケーション情報が改竄され ると変化する。 [0034] アプリケーション比較基準記憶部 113は、改竄されていないことが予め確認された 正しいアプリケーション情報に基づき生成されたアプリケーション比較基準情報を記 憶する。アプリケーション情報が改竄されていないことは、例えば情報処理装置 100 の生産時に予め確認することができる。

[0035] アプリケーション比較基準情報は、例えば、改竄有無の判定対象となるアプリケー シヨン情報が複数種類ある場合に、各種類について個別に設定しておくことができる 。或いは、アプリケーション比較基準情報は、改竄有無の判定対象となるアプリケー シヨン情報が複数種類ある場合に、各種類に共通の基準情報を設定しておくこともで きる。また、アプリケーション情報がバージョンアップされる場合には、各バージョンに 共通の基準情報を設定しておくこともできる。アプリケーション比較基準情報は、改竄 有無の判定対象であるアプリケーション情報に対応する情報であり、且つ、改竄され て!/、な!/、ことが生産時に予め確認されたアプリケーション情報の例えばハッシュ値、 電子署名、或いはバイナリデータの一部等である。アプリケーション比較基準情報は 、改竄有無の判定対象であるアプリケーション情報毎に対応して設定される正しレ、値 であり、改竄有無の判定対象であるアプリケーション情報毎に一意に定められる。ァ プリケーシヨン比較基準情報は、アプリケーション情報比較部 112においてアプリケ ーシヨン比較対象情報と比較される。

[0036] アプリケーション情報比較部 112は、アプリケーション比較対象取得部 111から得ら れたアプリケーション比較対象情報とアプリケーション比較基準記憶部 113から得ら れたアプリケーション比較基準情報とを比較する。アプリケーション情報比較部 112 は、比較の結果、これらの情報が一致すればアプリケーション情報に改竄無しの判 定を行い、これらの情報が一致しなければアプリケーション情報に改竄有りの判定を 行う。その判定結果情報は、アプリケーション能力変更部 114に入力される。

[0037] アプリケーション能力変更部 114は、アプリケーション情報比較部 112から入力した 改竄有無の判定結果に応じて、アプリケーション情報に基づく情報処理装置 100の 動作を変更或いは通常の状態に維持する。アプリケーション情報比較部 112から改 竄有りの判定結果が入力された場合、アプリケーション能力変更部 114は、例えばァ プリケーシヨン情報に基づく情報処理装置 100の動作を停止し、又は、アプリケーショ ン情報を削除し若しくは書き換える。これにより、アプリケーション能力変更部 114は 、改竄されたアプリケーション情報の不正実行を防止することができる。アプリケーシ ヨン情報比較部 112から改竄無しの判定結果が入力された場合、アプリケーション能 力変更部 114は、例えば特に何も行わず若しくは単にアプリケーション情報改竄監 視装置 10の動作終了処理を行う。これにより、アプリケーション情報は改竄されてい なレ、ことが保証された状態で、情報処理装置 100上で実行可能となる。

[0038] 第 2の処理部 200は、第 1の処理部 110と通信可能に接続されている。しかしなが ら、第 2の処理部 200は、その内部に格納するプログラム及びデータを第 1の処理部 110からは読み込み及び書き込みができな!/、ように構成されて!/、る。その具体的構 成は特に限定されるものではないが、例えば第 1の処理部 110を動作させるォペレ 一ティングシステムと第 2の処理部 200を動作させるオペレーティングシステムを互い に異なる種類にすることで実現可能である。或いは、その具体的構成は、第 1の処理 部 110を構成するハードウェア（CPU及びメモリ等）と第 2の処理部 200を構成する ハードウェアを個別に設けることで実現可能である。

[0039] 共有バッファ 130は、第 1の処理部 110と第 2の処理部 200間で通信を行うための 通信バッファ用記憶装置である。共有バッファ 130は、第 1の処理部 110と第 2の処 理部 200で共有される記憶装置である。共有バッファ 130は、第 1の処理部 110から 第 2の処理部 200へ送信すべき情報を一時的に保持することができる。また、共有バ ッファ 130は、第 2の処理部 200から第 1の処理部 110へ送信すべき情報を一時的 に保持することカできる。

[0040] 第 2の処理部 200は、判定プログラム比較基準情報記憶部（以下、判定プログラム 比較基準記憶部と称する） 211と、判定プログラム情報比較部 212と、判定プログラム 比較対象情報取得部（以下、判定プログラム比較対象取得部と称する） 213とを含ん でいる。

[0041] 第 2の処理部 200は、例えば、これら機能ブロック 211、 212、 213を実現するため のプログラムを汎用のコンピュータにインストールすることによりソフトウェア的に構築 すること力 Sできる。なお、これら機能ブロックは、ハードウェア的に実現されてもよい。

[0042] 判定プログラム比較対象取得部 213は、第 1の処理部 110から改竄判定プログラム が入力されると、入力された改竄判定プログラムに基づき判定プログラム比較対象情 報を生成する。判定プログラム比較対象情報は、改竄有無の判定対象である改竄判 定プログラムの例えばハッシュ値、電子署名、或いはバイナリデータの一部等である 。判定プログラム比較対象情報は、改竄有無の判定対象である改竄判定プログラム 毎に一意に定まる値である。判定プログラム比較対象情報は、改竄有無の判定対象 である改竄判定プログラムが改竄されると変化する。

[0043] 判定プログラム比較基準記憶部 211は、改竄されて!/、な!/、ことが予め確認された正 しい改竄判定プログラムに基づき生成された判定プログラム比較基準情報を記憶す る。改竄判定プログラムが改竄されていないことは、例えば情報処理装置 100の生産 時に予め確認することができる。判定プログラム比較基準情報は、例えば、改竄有無 の判定対象となる改竄判定プログラムが複数種類ある場合に、各種類にっレ、て個別 に設定しておくこと力 Sできる。或いは、判定プログラム比較基準情報は、改竄有無の 判定対象となる改竄判定プログラムが複数種類ある場合に、各種類に共通の基準情 報を設定しておくこともできる。また、改竄判定プログラムがバージョンアップされる場 合には、各バージョンに共通の基準情報を設定しておくこともできる。判定プログラム 比較基準情報は、改竄有無の判定対象である改竄判定プログラムに対応する情報 であり、且つ、改竄されていないことが情報処理装置 100の生産時に予め確認され た改竄判定プログラムの例えばハッシュ値、電子署名、或いはバイナリデータの一部 等である。判定プログラム比較基準情報は、改竄有無の判定対象である改竄判定プ ログラム毎に対応して設定される正しレ、値である。判定プログラム比較基準情報は、 改竄有無の判定対象である改竄判定プログラム毎に一意に定められる。判定プログ ラム比較基準情報は、判定プログラム情報比較部 212において判定プログラム比較 対象情報と比較される。

[0044] 判定プログラム情報比較部 212は、判定プログラム比較対象取得部 213から得ら れた判定プログラム比較対象情報と判定プログラム比較基準記憶部 211から得られ た判定プログラム比較基準情報とを比較する。判定プログラム情報比較部 212は、比 較の結果、これらの情報が一致すれば改竄判定プログラムに改竄無しの判定を行い 、これらの情報が一致しなければ改竄判定プログラムに改竄有りの判定を行う。その 判定結果情報は、共有バッファ 130を介してアプリケーション改竄判定指示部 116に 入力される。

[0045] 次に、実施の形態 1に係るアプリケーション情報改竄監視装置 10の動作を説明す

[0046] 図 2は、実施の形態 1に係るアプリケーション情報改竄監視装置 10の動作を示すシ 一ケンス図である。

[0047] まず、起動部 115からの処理実行の指示により、アプリケーション改竄判定指示部

116が改竄判定プログラム記憶部 117内の改竄判定プログラムを、共有バッファ 130 を介して判定プログラム比較対象取得部 213へ送信する（ステップ Sl)。第 2の処理 部 200内の判定プログラム比較対象取得部 213は、改竄判定プログラムを受信する（ ステップ S2)。判定プログラム比較対象取得部 213は、受信した改竄判定プログラム に基づき、判定プログラム比較対象情報を生成する。判定プログラム情報比較部 21 2は、判定プログラム比較対象取得部 213により取得した判定プログラム比較対象情 報と、予め判定プログラム比較基準記憶部 211に記憶した判定プログラム比較基準 情報との比較を行うことで、改竄判定プログラムの改竄有無の判定を行う（ステップ S 3)。判定プログラム情報比較部 212は、改竄有無判定の結果をアプリケーション改 竄判定指示部 116へ送信する (ステップ S4)。

[0048] アプリケーション改竄判定指示部 116は、改竄有無判定の結果を受信し (ステップ S5)、その結果に応じてアプリケーション情報の改竄有無判定を行うべきかどうかを 決定する（ステップ S6)。アプリケーション改竄判定指示部 116は、判定プログラム情 報比較部 212から改竄有りの判定結果を得た場合は、アプリケーション情報を書き換 え或いは削除等する指示情報をアプリケーション能力変更部 114に入力する。アプリ ケーシヨン能力変更部 114は、例えばアプリケーション情報に基づく情報処理装置 1 00の動作を停止し、又は、アプリケーション情報を削除し若しくは書き換える（ステツ プ S9)。アプリケーション改竄判定指示部 116は、改竄判定プログラムが改竄されて V、な!/、と!/、う判定結果を受信した場合は、アプリケーション情報の改竄判定を行わせ る指示情報をアプリケーション比較対象取得部 111に入力する。

[0049] アプリケーション比較対象取得部 111は、改竄有無の判定対象であるアプリケーシ ヨン情報を読み込み、読み込んだアプリケーション情報に基づきアプリケーション比 較対象情報を生成する。アプリケーション情報比較部 112は、アプリケーション比較 対象取得部 111から得られたアプリケーション比較対象情報とアプリケーション比較 基準記憶部 113から得られたアプリケーション比較基準情報とを比較する。アプリケ ーシヨン情報比較部 112は、比較の結果、これらの情報が一致すればアプリケーショ ン情報に改竄無しの判定を行い、これらの情報が一致しなければアプリケーション情 報に改竄有りの判定を行う。その判定結果情報は、アプリケーション能力変更部 114 に入力される（ステップ S7)。アプリケーション能力変更部 114は、アプリケーション情 報比較部 112による改竄有無の判定結果に応じてアプリケーション情報に基づく情 報処理装置 100の動作を変更或いは通常の状態に維持する (ステップ S8)。

[0050] アプリケーション情報比較部 112から改竄有りの判定結果が入力された場合、アブ リケーシヨン能力変更部 114は、例えばそのアプリケーション情報に基づく情報処理 装置 100の動作を停止し、又は、そのアプリケーション情報を削除し若しくは書き換 える（ステップ S9)。アプリケーション情報比較部 112から改竄無しの判定結果が入 力された場合、アプリケーション能力変更部 114は、例えば特に何も行わず若しくは 単にアプリケーション情報改竄監視装置 10の動作終了処理を行う。これにより、アブ リケーシヨン情報が改竄されて!/、な!/、ことが保証された状態で、そのアプリケーション 情報を情報処理装置 100上で実行可能となる。

[0051] 以上により、実施の形態 1に係るアプリケーション情報改竄監視装置 10によれば、 アプリケーションプログラムやアプリケーションデータの改竄有無判定を行う際、第 1 の処理部 110と第 2の処理部 200間での通信回数を抑え、アプリケーション情報改竄 監視装置 10内の通信オーバヘッドを抑制することができる。よって、アプリケーション プログラムやアプリケーションデータの改竄有無判定の処理効率を高めることができ

[0052] また、アプリケーション能力変更部 114は、改竄されたアプリケーション情報の不正 実行を防止することができる。

[0053] なお、図 1に示す例では、アプリケーション改竄判定指示部 116内に改竄判定プロ グラムを記憶させているが、実施の形態 1はこの例に限られない。例えば、共有バッフ ァ 130を第 1の処理部 110の一構成要素として位置付けした場合、この共有バッファ 130に改竄判定プログラムを常駐的に記憶させてもよい。この場合、共有バッファ 13 0内の改竄判定プログラムは判定プログラム比較対象取得部 213に送信される。第 2 の処理部 200においてその改竄判定プログラムが改竄されているか否かが判定され る。その判定結果は、共有バッファ 130を介してアプリケーション改竄判定指示部 11 6へ送信される。このような動作をさせることによつても、アプリケーションプログラムや アプリケーションデータの改竄有無判定を行う際、第 1の処理部 110と第 2の処理部 2 00間での通信回数を抑え、アプリケーション情報改竄監視装置 10内の通信オーバ ヘッド'を ί卬制すること力 Sできる。

[0054] (実施の形態 2)

次に、本発明の実施の形態 2について説明する。

[0055] 図 3は、実施の形態 2に係るアプリケーション情報改竄監視装置 11を備えた情報処 理装置 101を示すブロック図である。

[0056] 実施の形態 2は、実施の形態 1と比較して以下の構成が相違しており、その他の構 成は実施の形態 1と同様である。実施の形態 1と同様の構成については、実施の形 態 1と同じ参照符号を付してその説明を適宜省略する。

[0057] 実施の形態 2に係るアプリケーション情報改竄監視装置 11は、複数の第 2の処理 部 200を備えている。図 3に示す例では、第 2の処理部 200が 2個とされている力 そ の個数は複数であれば特に限定はされない。図 3に示す例においては、便宜上、 2 個の第 2の処理部のうちの一方を第 2の処理部 200— 1とし、他方を第 2の処理部 20 0— 2とする。第 1の処理部 110は、全ての第 2の処理部 200— 1、 200— 2において 改竄判定プログラムが改竄されてレ、なレ、と判定された場合に、その改竄判定プロダラ ムを用いてアプリケーション情報の改竄有無を判定する。複数個の第 2の処理部 200 —1、 200— 2は 1個の共有バッファ 130に接続されている。

[0058] 次に、実施の形態 2に係るアプリケーション情報改竄監視装置 11の動作を説明す 図 4は、実施の形態 2に係るアプリケーション情報改竄監視装置 11の動作を示すシ 一ケンス図である。なお、図 2のシーケンス図と同じ処理については、同じ参照符号 を付している。

[0059] まず、起動部 115からの指示により、アプリケーション改竄判定指示部 116が改竄 判定プログラム記憶部 117内の改竄判定プログラムを、共有バッファ 130を介して第 2の処理部 200— 1内の判定プログラム比較対象取得部 213へ送信する（ステップ S D o第 2の処理部 200— 1内の判定プログラム比較対象取得部 213は、改竄判定プ ログラムを受信する（ステップ S2)。判定プログラム比較対象取得部 213は、受信した 改竄判定プログラムに基づき、判定プログラム比較対象情報を生成する。判定プログ ラム情報比較部 212は、判定プログラム比較対象取得部 213により取得した判定プ ログラム比較対象情報と、予め判定プログラム比較基準記憶部 211に記憶した判定 プログラム比較基準情報との比較を行うことで、改竄判定プログラムの改竄有無の判 定を行う（ステップ S3)。判定プログラム情報比較部 212は、改竄有無判定の結果を アプリケーション改竄判定指示部 116へ送信する（ステップ S4)。

[0060] アプリケーション改竄判定指示部 116は、改竄有無判定の結果を受信する（ステツ プ S5)。アプリケーション改竄判定指示部 116は、その結果に応じて改竄判定プログ ラムの改竄有無の判定を第 2の処理部 200— 2においても行うべきかどうかを決定す る（ステップ S6)。アプリケーション改竄判定指示部 116は、判定プログラム情報比較 部 212から改竄有りの判定結果を得た場合は、アプリケーション情報を書き換え或い は削除等する指示情報をアプリケーション能力変更部 114に入力する。アプリケーシ ヨン能力変更部 114は、例えばアプリケーション情報に基づく情報処理装置 101の動 作を停止し、又は、アプリケーション情報を削除し若しくは書き換える (ステップ S9)。 アプリケーション改竄判定指示部 116は、改竄判定プログラムが改竄されて!/、な!/、と いう判定結果を受信した場合は、第 2の処理部 200— 1での改竄有無判定を終えた 改竄判定プログラムを、共有バッファ 130を介して第 2の処理部 200— 2内の判定プ ログラム比較対象取得部 213へ送信する（ステップ S21)。

[0061] 第 2の処理部 200— 2内の判定プログラム比較対象取得部 213は、改竄判定プロ グラムを受信する (ステップ S22)。判定プログラム比較対象取得部 213は、受信した 改竄判定プログラムに基づき、判定プログラム比較対象情報を生成する。判定プログ ラム情報比較部 212は、判定プログラム比較対象取得部 213から入力した判定プロ グラム比較対象情報と、予め判定プログラム比較基準記憶部 211に記憶した判定プ ログラム比較基準情報との比較を行うことで、改竄判定プログラムの改竄有無の判定 を行う（ステップ S23)。判定プログラム情報比較部 212は、改竄有無判定の結果をァ プリケーシヨン改竄判定指示部 116へ送信する（ステップ S24)。

[0062] アプリケーション改竄判定指示部 116は、改竄有無判定の結果を受信する（ステツ プ S25)。アプリケーション改竄判定指示部 116は、その結果に応じてアプリケーショ ン情報の改竄有無判定を行うべきかどうかを決定する（ステップ S26)。アプリケーショ ン改竄判定指示部 116は、判定プログラム情報比較部 212から改竄有りの判定結果 を得た場合は、アプリケーション情報を書き換え或いは削除等する指示情報をアプリ ケーシヨン能力変更部 114に入力する。アプリケーション能力変更部 114は、例えば アプリケーション情報に基づく情報処理装置 101の動作を停止し、又は、アプリケー シヨン情報を削除し若しくは書き換える（ステップ S 9)。

[0063] アプリケーション改竄判定指示部 116は、改竄判定プログラムが改竄されて!/、な!/、 とレ、う判定結果を受信した場合は、アプリケーション情報の改竄判定を行わせる指示 情報をアプリケーション比較対象取得部 111に入力する。アプリケーション比較対象 取得部 111は、改竄有無の判定対象であるアプリケーション情報を読み込み、読み 込んだアプリケーション情報に基づきアプリケーション比較対象情報を生成する。ァ プリケーシヨン情報比較部 112は、アプリケーション比較対象取得部 111から得られ たアプリケーション比較対象情報とアプリケーション比較基準記憶部 113から得られ たアプリケーション比較基準情報とを比較する。アプリケーション情報比較部 112は、 比較の結果、これらの情報が一致すればアプリケーション情報に改竄無しの判定を 行い、これらの情報が一致しなければアプリケーション情報に改竄有りの判定を行う。 その判定結果情報は、アプリケーション能力変更部 114に入力される（ステップ S7)。

[0064] アプリケーション能力変更部 114は、アプリケーション情報比較部 112による改竄有 無の判定結果に応じてそのアプリケーション情報に基づく情報処理装置 101の動作 を変更或いは通常の状態に維持する（ステップ S8)。アプリケーション情報比較部 11 2から改竄有りの判定結果が入力された場合、アプリケーション能力変更部 114は、 例えばそのアプリケーション情報に基づく情報処理装置 101の動作を停止し、又は、 そのアプリケーション情報を削除し若しくは書き換える (ステップ S9)。アプリケーショ ン情報比較部 112から改竄無しの判定結果が入力された場合、アプリケーション能 力変更部 114は、例えば特に何も行わず若しくは単にアプリケーション情報改竄監 視装置 11の動作終了処理を行う。これにより、アプリケーション情報が改竄されてい ないことが保証された状態で、そのアプリケーション情報を情報処理装置 101上で実 行可能となる。

[0065] 実施の形態 2に係るアプリケーション情報改竄監視装置 11によれば、複数の第 2の 処理部 200— 1、 200— 2でそれぞれ改竄判定プログラムの改竄有無判定を行い、 全ての改竄有無判定で改竄無しと判定された場合にアプリケーション情報の改竄有 無判定を行う。従って、 1個の第 2の処理部で改竄判定プログラムの改竄有無判定を 行う場合よりも、改竄判定プログラムの改竄有無判定の正確性を高めることができる。 また、複数の第 2の処理部 200— 1、 200— 2内にそれぞれ記憶されている判定プロ グラム比較基準情報が全て改竄され或いは破壊されない限り、改竄判定プログラム が改竄されてレ、なレ、ことを保証すること力 Sできる。

産業上の利用可能性

[0066] 本発明に力、かるアプリケーション情報改竄監視装置は、情報処理装置内のアプリケ ーシヨン情報の改竄有無を監視する改竄監視装置である。このアプリケーション情報 改竄監視装置は、音楽、映像といった有価コンテンツの権利情報、個人情報などの 有価情報を含むアプリケーション情報の正当性を保証する必要がある情報処理装置 等において利用可能である。このアプリケーション情報改竄監視装置は、携帯電話、 カーナビゲーシヨンシステム、 PDA等の広範囲の情報処理装置等に適用可能である

Claims

請求の範囲

[1] アプリケーション情報の改竄有無を監視する改竄監視装置 (10， 11)であって、 前記アプリケーション情報の改竄有無を判定するための改竄判定プログラムを記憶 する第 1の記憶部 (117)と、

処理実行の指示に応じて、前記第 1の記憶部 (117)が記憶する改竄判定プログラム 力 Sロードされる第 2の記憶部 (130)と、

前記第 2の記憶部 (130)にロードされた改竄判定プログラムの改竄有無を判定する 少なくとも 1つのプログラム改竄判定部 (200)と、

前記少なくとも 1つのプログラム改竄判定部 (200)における改竄無しとの判定結果に 従って、前記改竄判定プログラムを用いて前記アプリケーション情報の改竄有無を判 定するアプリケーション情報改竄判定部 (111， 112， 113， 114， 116)とを備える、改竄監 視装置。

[2] 前記少なくとも 1つのプログラム改竄判定部 (200)は、

前記改竄判定プログラムに基づいて判定比較対象情報を生成する判定比較対 象取得部 (213)と、

前記判定比較対象情報と、前記改竄判定プログラムに改竄が無!/、ことを示す判 定比較対象基準情報とを比較し、双方の情報が一致すれば前記改竄判定プロダラ ムの改竄無しと判定する判定情報比較部 (212)とを備える、請求項 1に記載の改竄監 視装置。

[3] 前記アプリケーション情報改竄判定部 (111， 112， 113， 114， 116)は、

前記アプリケーション情報に基づいてアプリケーション比較対象情報を生成する アプリケーション比較対象取得部 (111)と、

前記アプリケーション比較対象情報と、前記アプリケーション情報に改竄が無!/、こ とを示すアプリケーション比較対象基準情報とを比較し、双方の情報が一致すれば 前記アプリケーション情報の改竄無しと判定するアプリケーション情報比較部 (112)と を備える、請求項 1に記載の改竄監視装置。

[4] 前記アプリケーション情報改竄判定部 (111， 112， 113， 114， 116)は、前記第 2の記 憶部 (130)が記憶する改竄判定プログラムを用いて前記アプリケーション情報の改竄 有無を判定する、請求項 3に記載の改竄監視装置。

前記第 2の記憶部 (130)は、ロードされた前記改竄判定プログラムを常駐させる、請 求項 4に記載の改竄監視装置。

前記アプリケーション情報改竄判定部 (111 112 113 114 116)は、前記第 1の記 憶部 (117)が記憶する改竄判定プログラムを用いて前記アプリケーション情報の改竄 有無を判定する、請求項 3に記載の改竄監視装置。

前記アプリケーション情報改竄判定部 (111 112 113 114 116)は、前記アプリケー シヨン情報比較部において前記アプリケーション情報の改竄有りと判定された場合に 、前記アプリケーション情報に基づく動作を停止させる情報変更部 (114)をさらに備え る、請求項 3に記載の改竄監視装置。

前記判定比較対象情報及び前記判定比較対象基準情報は、前記改竄判定プログ ラムのハッシュ値である、請求項 2に記載の改竄監視装置。

前記アプリケーション比較対象情報及び前記アプリケーション比較対象基準情報 は、前記アプリケーション情報のハッシュ値である、請求項 3に記載の改竄監視装置 前記判定比較対象情報及び前記判定比較対象基準情報は、前記改竄判定プログ ラムの電子署名である、請求項 2に記載の改竄監視装置。

前記アプリケーション比較対象情報及び前記アプリケーション比較対象基準情報 は、前記アプリケーション情報の電子署名である、請求項 3に記載の改竄監視装置。 前記判定比較対象情報及び前記判定比較対象基準情報は、前記改竄判定プログ ラムのバージョンである、請求項 2に記載の改竄監視装置。

前記アプリケーション比較対象情報及び前記アプリケーション比較対象基準情報 は、前記アプリケーション情報のバージョンである、請求項 3に記載の改竄監視装置 前記少なくとも 1つのプログラム改竄判定部 (200)は、前記アプリケーション情報改竄 判定部 (111 112 113 114 116)よりも高いセキュリティレベルで判定を実行する、請 求項 1に記載の改竄監視装置。

複数のプログラム改竄判定部 (200-1 200-2)を備えており、 前記アプリケーション情報改竄判定部 (111, 112， 113， 114， 116)は、前記複数のプ ログラム改竄判定部 (200-1， 200-2)の全てにおける改竄無しとの判定結果に従って、 前記改竄判定プログラムを用いて前記アプリケーション情報の改竄有無を判定する、 請求項 1に記載の改竄監視装置。

[16] アプリケーション情報の改竄有無を監視する改竄監視方法であって、

処理実行の指示に応じて、第 1の記憶部に記憶されている前記アプリケーション情 報の改竄有無を判定するための改竄判定プログラムを、第 2の記憶部へロードするス 前記第 2の記憶部にロードされた改竄判定プログラムの改竄有無を判定するプログ ラム改竄判定ステップと、

前記プログラム改竄判定ステップにおける改竄無しとの判定結果に従って、前記改 竄判定プログラムを実行して前記アプリケーション情報の改竄有無を判定するアプリ ケーシヨン情報改竄判定ステップとを含む、改竄監視方法。

[17] 前記プログラム改竄判定ステップは、

前記改竄判定プログラムに基づいて判定比較対象情報を生成するステップと、 前記判定比較対象情報と、前記改竄判定プログラムに改竄が無!/、ことを示す判 定比較対象基準情報とを比較するステップと、

前記判定比較対象情報と前記判定比較対象基準情報とがー致すれば、前記改 竄判定プログラムの改竄無しと判定するステップとを含む、請求項 16に記載の改竄 監視方法。

[18] 前記アプリケーション情報改竄判定ステップは、

前記アプリケーション情報に基づいてアプリケーション比較対象情報を生成する 前記アプリケーション比較対象情報と、前記アプリケーション情報に改竄が無!/、こ とを示すアプリケーション比較対象基準情報とを比較するステップと、

前記アプリケーション比較対象情報と前記アプリケーション比較対象基準情報と がー致すれば、前記アプリケーション情報の改竄無しと判定するステップとを、前記 改竄判定プログラムに基づいて実行する、請求項 16に記載の改竄監視方法。 [19] 前記プログラム改竄判定ステップは、前記第 2の記憶部が記憶する改竄判定プログ ラムを用いて前記アプリケーション情報の改竄有無を判定する、請求項 18に記載の 改竄監視方法。

[20] 前記アプリケーション情報改竄判定ステップは、前記第 1の記憶部が記憶する改竄 判定プログラムを実行して前記アプリケーション情報の改竄有無を判定する、請求項

18に記載の改竄監視方法。

[21] 前記アプリケーション情報改竄判定ステップは、前記比較するステップにおいて前 記アプリケーション情報の改竄有りと判定された場合に、前記アプリケーション情報に 基づく動作を停止させるステップを、前記改竄判定プログラムに基づいてさらに実行 する、請求項 18に記載の改竄監視方法。

[22] 前記判定比較対象情報及び前記判定比較対象基準情報は、前記改竄判定プログ ラムのハッシュ値である、請求項 17に記載の改竄監視方法。

[23] 前記アプリケーション比較対象情報及び前記アプリケーション比較対象基準情報 は、前記アプリケーション情報のハッシュ値である、請求項 18に記載の改竄監視方 法。

[24] 前記判定比較対象情報及び前記判定比較対象基準情報は、前記改竄判定プログ ラムの電子署名である、請求項 17に記載の改竄監視方法。

[25] 前記アプリケーション比較対象情報及び前記アプリケーション比較対象基準情報 は、前記アプリケーション情報の電子署名である、請求項 18に記載の改竄監視方法

[26] 前記判定比較対象情報及び前記判定比較対象基準情報は、前記改竄判定プログ ラムのバージョンである、請求項 17に記載の改竄監視方法。

[27] 前記アプリケーション比較対象情報及び前記アプリケーション比較対象基準情報 は、前記アプリケーション情報のバージョンである、請求項 18に記載の改竄監視方 法。

[28] 前記プログラム改竄判定ステップは、前記アプリケーション情報改竄判定ステップよ りも高いセキュリティレベルで判定を実行する、請求項 16に記載の改竄監視方法。