WO2009048158A1

WO2009048158A1 - ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法

Info

Publication number: WO2009048158A1
Application number: PCT/JP2008/068689
Authority: WO
Inventors: Norihisa Iga
Original assignee: Nec Corporation
Priority date: 2007-10-09
Filing date: 2008-10-08
Publication date: 2009-04-16
Also published as: JP5392494B2; JPWO2009048158A1

Abstract

　ファイル内に含まれた不正コードを検出するファイルチェック装置であって、プロセスからファイルへのアクセスを制御するアクセス制御手段と、アクセス制御手段によるアクセス制御によって書込み許可されているファイルを選択するファイル選択手段と、ファイル選択手段が選択したファイル内の不正コードの有無を判定するファイルチェックを行うファイルチェック手段とを備える。

Description

ファイルチェック装置、ファイルチェックプログラム

およびファイルチェック方法技術分野：

本発明は、コンピュータウィルスに感染したファイルあるいは悪意あるコード

Re- に改竄されたファイルを検知することを目的とした、アクセス制御と連動するフアイルチェック装置、ファイルチエツ

田ユック方法にに関関しし、、フファァイイルルチチェェッックク装装置置、、フファァイイルルチチェェッッククププロロ

エエッックク方方法法にに関関すするる。。背背景景技技術術：：

悪悪意意ああるる利利用用者者おおよよびびププロロググララムムななどどフファァイイルルのの改改竄竄、、そそししてて、、ココンンピピュューータタウウィィルルスス感感染染にによよるる被被害害はは增增加加ししてていいるる。。改改竄竄検検知知のの方方法法ととししててはは、、一一方方向向ハハツツシシュュ関関数数をを用用いいててフファァィィルルののハハッッシシュュ値値をを予予めめ計計算算ししてて記記憶憶ししてておおきき、、改改竄竄チチェェッッククししたたいいととききにに再再びびハハッッシシュュ値値をを計計算算しし、、以以前前ののハハッッシシュュ値値とと同同じじででああるるかかどどううかかをを判判断断すするる等等のの方方法法ががよよくく知知らられれてていいるる。。ここのの方方法法でではは、、チチェェッックク時時にに常常ににハハッッシシュュ値値をを計計算算すするる必必要要おおああるる。。

ままたた、、フファァイイルルのの改改竄竄ななどどののよよううななフファァイイルルにに対対すするる不不正正ななアアククセセススをを防防止止すするる技技術術ととししてて、、アアププリリケケーーシショョ^??シシププロロググララムムががアアククセセスス可可能能ななフファァイイルルななどどののリリソソーーススおおよよびび機機能能へへののァァククセセススをを制制御御すするる方方法法ががああるる。。例例ええばば、、アアププリリケケーーシショョンンププロロググララムム毎毎にに利利用用ででききるる機機能能をを規規定定ししたたセセキキュュリリテティィポポリリシシデデーータタベベーーススをを持持ちち、、そそののアアププリリケケーーシショョンンププロロググララムムがが利利用用ででききるるリリソソーーススをを限限定定すするる方方法法ががああるる。。

ここののアアククセセスス制制御御方方法法のの一一例例がが、、「「SSEELLiinnuuxx 徹徹底底ガガイイドド」」（（中中村村雄雄一一、、水水上上友友宏宏、、上上野野修修ーー著著、、日日経経 BB PP社社、、 22 00 00 44年年 33月月、、 pp pp .. 22 44〜〜44 11、、 pp pp .. 88 77，， 88 88 )) にに記記載載さされれてていいるる。。ここのの文文献献にに記記載載さされれてていいるる方方法法はは、、 SSEELLiinnuuxx ((SSeeccuurriittyy EEnnhhaanncceedd LLiinnuuxx)) とと呼呼ばばれれ、、注注目目さされれてていいるる。。 P C (パーソナルコンピュータ）等の情報処理装置に SELinux が導入されると、 rSELinux モジュール」が Linux カーネルに組み込まれ、「セキュリティ ·ポリシ 'ファイル」という設定ファイルと、「SELinux拡張コマンド」とが追加される。プロセスがリソースにアクセスする際には、必ず rSELinux モジュール」を経由し、以下に述べるような手続きをとる。

第 1に、プロセスは、カーネルに対してリソースへのアクセス要求を出す。第 2に、カーネルはまず、パーミツションのチェックを行う。ここまでの手続きは通常の Linuxの動作と同じである。第 3に、リソースへのアクセス要求が「SELinux モジュール」に渡される。 rSELinuxモジユーノレ」は「セキュリティ 'ポリシ ' フアイル」を参照し、アクセスが正当であるか否かをチェックする。その際、 SELinux 独自のアクセス制御が行われる。第 4に、アクセスが正当である場合、プロセスはリソースにアクセスする。

また、コンピュータウィルスに感染したファイルのチェック方法として、コンピュータウィルスとなる不正コードまたは不正データのパターンを集めたウィルス定義ファイル（ウィルスチェックデータとも呼ばれる）と、不正コードのチェック対象となる実行プログラムまたはデータとのパターンマッチングを行って、コンピュータウィルスを含んでいるか否かを判断する方法がある。

コンピュータウィルスの数と種類は増え続けているため、ウィルス定義フアイルはコンピュータウィルスのチェックのために絶え間なレ、更新と増強を必要としている。ウィルス定義ファイルの增強に伴ってウイノレス定義フアイノレ内のパターンデータが肥大化している。このような状況の中、携帯電話機のような比較的非力な（処理能力が低い）コンピュータもコンピュータウィルスに感染した例があり、すべてのコンピュータでコンピュータウィルスに関してのチェックをすることが必要となっている。しかし、肥大化したウィルス定義ファイルに含まれるすベてのコンピュータウィルスのパターンについてチェックすることは負荷が大きい。

このようなチェックによる負荷を軽減する方法がいくつか存在している。関連するファイルチェックの一例が、特開 2 0 0 7— 3 4 6 2 3号公報に記載されている。特開 2007— 34623号公報に記載されている方式では、ウィルスチエツクデータを更新する際、更新前ウィルスチェックデータと追加ウィルスチェックデータとを区別して記憶し、更新後チェック済データに対しては、ウィルスチェックを実行しなレ、。また、更新前チェック済データに対しては、追加ウィルスチエックデータのみを使用してウィルスチェックを実行し、未チエックデータに対しては、更新前ウィルスチェックデータおよび追カ卩ウィルスチェックデータを使用してウィルスチェックを実行する。

関連するファイルチヱックの他の例が、特開 2007— 65810号公報に記載されている。特開 2007-65810号公報に記載されている方式では、ュ一ザ端末と接続されるサーバは、検査定義ファイルを保持し、脅威の発生に応じてファイルを更新する。そして、データをサーバに登録する際に、データに対する第 1の検査を実行する。サーバは、データをユーザ端末に送信する際、第 1の検査より後にフアイルが更新されており、フアイルにおいて更新されている脅威の発生推定日時が、データがサーバに登録された日時よりも遅い場合に、フアイルを用いてデータに対する第 2の検査を実行する検査部を備える。このような構成を有することにより、検查定義ファイルが更新されても、全てのデータを再検査する必要がない。

関連するファイルチェックのさらに他の例が、特開 2004— 199213号公報に記載されている。特開 2004— 19921 3号公報に記載されている方式では、ホスト計算機上の CPUが管理するファイルシステムに最終スキャン日時と最終更新者の各情報を暗号ィヒして付加し、その情報に応じてホストとスキヤンサーバが連携して動作する。最終スキャン日時よりも古いファイルのスキャンを省略することでファイルアクセスを高速化する。

関連するファイルチェックのさらに他の例が、特開 2003— 216445号公報に記載されている。特開 2003— 216445号公報に記載されている方式では、 FATに格納されたデータリストを用いて、 1回目にウィルスチェックが済んだファイルのデータにチェック済みのフラグを付けておき、 2回目は前述のフラグが付いていないフアイルのデ一タのみについてウイルスチェックを行うようにする。関連するファイルチヱックのさらに他の例が、特開 2 0 0 3— 1 9 6 1 1 1号公報に記載されている。特開 2 0 0 3— 1 9 6 1 1 1号公報に記載されている方式では、ウィルスチェックを実施した際、ウィルスチェック結果ファイル及びゥィルスチェック署名を作成し、次回のウィルスチェックでは、これらの情報を参照することにより、最適なウィルスチェック処理を行うことを可能とする。発明の開示：

発明が解決しようとする課題

フアイルの改竄およびウィルスチェックにおける関連する技術は、どれか 1つ使用すればファイルに関するセキュリティを確保可能となるものではない。改竄チェックやウィルスチェックは、不正なファイルの検知のために使用される。また、アクセス制御は、アプリケーションプログラムから生成されるプロセスが悪意ある利用者に乗っ取られた場合に、そのプロセスの行動範囲やさまざまなリソースへのアクセス範囲を制限し、被害を最小限におさえることを目的として使用される。よって、情報処理装置において、これらの関連する技術を複数組み合わせて使用することで、様々な脅威を排除し、セキュリティを確保することになる。

しかし、それぞれの技術に対して、改竄チェック対象ファイル、ウィルスチェック対象フアイルおよびアクセス制御対象フアイルが存在することになるが、それらがすべて同じファイルである場合、それぞれの技術を用いて同じファイルをチェックすることになり冗長である。

また、チェック対象のファイルの中には、アクセス制御により書き込みを禁止とされ、改竄されない、ウィルス感染が不可能なファイルもある。このようなフアイルでさえ、ウィルスチェックによるパターンマッチング処理や、改竄チェックによるハッシュ値計算が行われ、無駄なオーバーへッドと無駄な電力とを消費することになる。

そこで、本発明は、アクセス制御と連携し、脆弱性、改竄またはコンピュータウィルス感染に関するファイルのチェックに伴う冗長な処理を省き、必要最低限のチェックのみを実施することでチェックに関係する負荷を軽減することができるフアイルチェック装置、フアイルチェックプログラムおよびフアイルチェック方法を提供することを目的とする。課題を解決するための手段

本発明によるファイルチェック装置は、ファイル内に含まれた不正コードを検出するファイルチェック装置であって、プロセスからファイルへのアクセスを制御するアクセス制御手段と、アクセス制御手段によるアクセス制御によつて書込み許可されているフアイルを選択するフアイル選択手段と、フアイル選択手段が選択したファイル内の不正コードの有無を判定するファイルチェックを行うファィルチェック手段とを備えたことを特徴とする。

本発明によるフアイルチエックプログラムは、ファイル内に含まれた不正コ一ドを検出するためのファイルチェックプログラムであって、コンピュータに、プロセスからフアイルへのアクセスを制御するァクセス制御処理と、ァクセス制御処理によるアクセス制御によって書込み許可されているファイルを選択するファィル選択処理と、ファイル選択処理で選択したファイル内の不正コードの有無を判定するファイルチェックを行うファイルチ -ック処理とを実行させることを特徴とする。

本発明によるファイルチェック方法は、ファイル内に含まれた不正コードを検出するファイルチェック方法であって、プロセスからファイルへのアクセスを制御するアクセス制御ステップと、アクセス制御手段によるアクセス制御によって睿込み許可されているフアイルを選択するフアイル選択ステツプと、ファイル選択ステップで選択したフアイル内の不正コ一ドの有無を判定するフアイルチェックを行うファイルチェックステップとを含むことを特徴とする。発明の効果：

本発明によれば、アクセス制御と連携し、脆弱性、改竄またはコンピュータゥィルス感染に関するフアイルのチェックに伴う冗長な処理を省き、必要最低限のチェックのみを実施することでチェックに関係する負荷を軽減することができるという効果がある。

言い換えると、本発明によれば、比較的非力なコンピュータでも負荷をかけずにファイルチェックを高速に行うことができる図面の簡単な説明：

図 1は第 1の実施形態のファイルチェック装置の構成例を示すプロック図である。

図 2はチェック対象のフアイルを選択するために作成する表の登録例を示す説明図である。

図 3は情報処理装置が初めて稼動する場合の、図 2に示す表を作成する処理の例を示すフローチヤ一トである。

図 4はファイルチェックを行うか否かを判断する処理の例を示すフローチヤ一トである。

図 5はチェック対象のファイルを選択するための表の登録例を示す説明図である。

図 6は第 2の実施形態のファイルチェック装置の構成例を示すプロック図である。

図 7は第 2の実施形態における新たな処理の例を示すフローチャートである。図 8はチェック対象のフアイルを選択するための表の登録例を示す説明図である。

図 9はチェック対象のファ.ィル.を選択するための表の登録例を示す説明図である。、

図 1 0は第 3の実施形態のファイルチェック装置の構成例を示すプロック図である。

図 1 1は第 3の実施形態における処理の例を示すフローチヤ一トである。図 1 2は第 4の実施形態のファイルチェック装置の構成例を示すプロック図である。

図 1 3は第 4の実施形態における処理の例を示すフローチャートである。図 1 4は本発明によるファイルチェック装置の最小の構成例を示す機能プ口ック図である。発明を実施するための最良の形態：

(実施形態 1 )

以下、本発明の第 1の実施形態を図面を参照して説明する。本発明は、特に、必要最低限のチエックのみを行うことで比較的非力なコンピュータ上でも髙速にチェックを完了することができるアクセス制御と連動するファイルチェック装置に関する。図 1は、第 1の実施形態のファイルチェック装置（情報処理装置 1 ) の構成例を示すプロック図である。図 1に示す情報処理装置 1は、 C P U 1 0 1 と、 R AM I 0 2と、 R OM 1 0 3と、 H D D (ハードディスク装置） 1 0 4と、外部メモリ 1 0 5と、出力装置 1 0 6と、通信装置 1 0 7と、入力装置 1 0 8と、 O S処理手段 1 0 9と、ファイル 1 1 0と、アクセス制御手段 1 1 1と、ァクセス制御情報獲得手段 1 1 2と、フアイルチェック手段 1 1 3と、フアイル選択手段 1 1 4と、ファイル追加通知手段 1 1 5とを含む。

C P U 1 0 1は、セントラル ·プロセッシング ·ュニッ 1、であり、各手段ゃプログラムの実行制御および計算処理を行う。

R AM I 0 2は、ランダム ·アクセス · メモリであり、読書き可能な記憶装置である。各手段やプログラムの実行時に使用されるデータを読書きする場合に、一時的な記憶領域となる。実行コードそのものを一時的に記憶する場合もある。

R OM 1 0 3は、リード ·オンリー ·メモリであり、読込みのみ可能な記憶装置である。各手段やプログラムの実行コード、データなどを記憶する。情報処理装置 1の電源をオフにしても、 R OM 1 0 3に記憶されている実行コードおよびデータは消えない。

HD D 1 0 4は、ハード ·ディスク · ドライブであり、読書き可能な記憶装置である。 R AM I 0 2と比べて読み込みおよび書き込み処理速度は遅いが、大容量であり、情報処理装置 1の電源をオフにしても、 HD D 1 0 4に記憶されている実行コ一ドぉよびデータは消えない。

外部メモリ 1 0 5は、情報処理装置 1に脱着可能な読書き可能な記憶装置である。実行コードやデータなどのファイル 1 1 0を外部メモリ 1 0 5に記憶させ、情報処理装置 1に装着することで情報処理装置 1に実行コードゃデータを追加する。出力装置 1 0 6は、情報処理装置 1で実行された処理結果をディスプレイ表示したり、音声出力する。

通信装置 1 0 7は、ファイル 1 1 0などの実行コードやデータを外部と通信して情報処理装置 1に取り込む。

入力装置 1 0 8は、ユーザ等による新たな処理の実行を依頼するためのキー（ボタン）操作や、音声入力などにより、情報を情報処理装置 1に取り込む。

O S処理手段 1 0 9は、 O S (オペレーティングシステム）が行う処理を実行する。 O S処理手段 1 0 9は、実行コードを含むファイル 1 1 0から生成されるプロセスが呼び出すシステムコールの処理を行う。また、 O S処理手段 1 0 9は、ファイル 1 1 3などの資源を管理している。

ファイル 1 1 0は、アプリケーションプログラムである実行コード、ライブラリ、ユーザデータなどを含むデータファイルである。なお、ファイル 1 1 0は、具体的には、 H D D 1 0 4に記憶される。

アクセス制御手段 1 1 1は、実行コードを含むファイル 1 1 0から生成されるプロセスが、情報処理装置 1内の他のファイル 1 1 0や様々な機能等の資源にァクセスする際に、アクセス制限を行う。アクセス制御手段 1 1 1が行うアクセス制 = [卸の方式は、 D A C (任意アクセス制 P： Discretionary Access Control) 、 MA C (強制アクセス制御： Mandatory Access Control) またはその他の方式であってもよい。アクセス制御手段 1 1 1は、ファイルへのアクセス可否を示すァクセス情報に基づいて、プロセスからファイルへのアクセスを制御する。また、アクセス制御手段 1 1 1は、アクセス情報として、例えば、どんな資源についてアクセス制御するのかを示すアクセス制御ポリシを保持していてもよい。

アクセス制御情報獲得手段 1 1 2は、アクセス制御手段 1 1 1が保持しているアクセス制御ポリシの情報を獲得し、他の手段にその情報を提供する。アクセス制御情報獲得手段 1 1 2は、場合によっては、アクセス制御ポリシではなく、 O Sが管理しているプロセスや、ファイル 1 1 0の情報に含まれるセキュリティの情報を獲得し、他の手段にその情報を提供する。

ファイルチェック手段 1 1 3は、ファイル 1 1 0がウィルス感染していないか、改竄されていないか、脆弱性はないか等のチェックを行う。ファイル選択手段 1 1 4は、複数存在するファイル 1 1 0の中から、どのファィル 1 1 0をチェックすべきかを示す表 (図 2参照) を作成し、その表からチェック対象となるファイル 1 1◦を選択し、選択したファイル 1 1 0を示す情報をファイルチェック手段 1 1 3に伝える。図 2は、ファイル選択手段 1 1 4がチェック対象のフアイルを選択するために作成する表の登録例を示す説明図である。図 2に示す表には、例えば、ファイルを識別可能な情報に対応付けて、ファイルが Write禁止か否かを示す情報と、ファイルチェック済みか否かを示す情報とが登録されている。図 2に示す表は、例えば、 R AM I 0 2や H D D 1 0 4等の記憶装置に記憶される。

ファイル追加通知手段 1 1 5は、ファイル 1 1 0が新たに生成されたり、情報処理装置 1の外からファイル 1 1 0が持ち込まれた場合に、その旨をファイル選択手段 1 1 4に通知する。

なお、ファイルチェック装置（情報処理装置 1 ) は、コンピュータで実現可能であり、ファイルチェック装置を構成する各構成要素、すなわち、 O S処理手段 1 0 9、ァクセス制御手段 1 1 1、ァクセス制御情報獲得手段 1 1 2、ファイルチェック手段 1 1 3、ファイル選択手段 1 1 4およびファイル追加通知手段 1 1 5は、コンピュータの処理装置 ( C P U 1 0 1 ) に上述した機能を実現させるためのプログラムとして実現可能である。ファイルチェック装置を構成する各構成要素がコンピュータで実現可能であること、およびプログラムとして実現可能であることは、第 1の実施の形態に限らず、他の実施の形態でも同様である。

次に、図面を参照して第 1の実施形態の動作について説明する。前処理として、ファイル選択手段 1 1 4が作成および参照する図 2に示す表を作成する手順を説明する。図 2に示す表を作成する手順には、情報処理装置 1が初めて稼動する場合とファイル 1 1 0が新たに生成された場合の 2つの場合がある。

まず、情報処理装置 1が初めて稼動する場合に、ファイル選択手段 1 1 4が図 2に示す表を作成する処理について説明する。図 3は、情報処理装置 1が初めて稼動する場合の、図 2に示す表を作成する処理の例を示すフローチャートである。まず、情報処理装 * 1が起動すると、ファイル選択手段 1 1 4は、図 2に示す表が存在するか否かを確認する（ステップ S 1 1 ) 。もし、表が存在すれば（Y e s ) , 処理を終了し、表が存在しなければ（N o ) 、ステップ S 1 2に進む。ステップ S 1 1において図 2に示す表が存在しない場合 (N o ) 、ファイル選択手段 1 1 4は、図 2に示す表を作成するために、ファイル 1 1 0が存在するか確認する (ステップ S 1 2 ) 。ファイル 1 1 0が存在すれば (Y e s ) 、ステツプ S 1 3に進み、ファイル 1 1 0が存在しなければ（N o ) 、処理を終了する。フアイル選択手段 1 1 4は、 O S処理手段 1 0 9からフアイル情報を獲得する

(ステップ S 1 3 ) 。ステップ S 1 3において、フアイル選択手段 1 1 4は、フアイル 1 1 0を一意に識別可能な情報を獲得する。例えば、ファイル選択手段 1 1 4は、ファイル 1 1 0の配置場所（パス）や、 Linux (登録商標）などの UNIX

(登録商標）系 O Sにおける iノード情報などを O S処理手段 1 0 9から入力する。

次に、ファイル選択手段 1 1 4は、アクセス制御情報獲得手段 1 1 2に問い合わせ、ステップ S 1 3で獲得したフアイル情報を元に、ファイル 1 1 0について書込みが禁止されているか等を示すアクセス情報を獲得する（ステップ S 1 4 )。最後に、ファイル選択手段 1 1 4は、ステップ S 1 3で獲得したファイル 1 1 0の情報と、ステップ S 1 4で獲得したファイル 1 1 0のアクセス情報とに基づいて、図 2に示す表にデータを追加する (ステップ S 1 5 ) 。

次に、新しくファイル 1 1 0が生成された場合に、ファイル選択手段 1 1 4が図 2に示す表を作成する処理について説明する。

ファイル追加通知手段 1 1 5は、プロセスから発行される O S処理手段 1 0 9 のシステムコールを監視している。ファイル追加通知手段 1 1 5がシステムコ一ルを監視する方法として、システムコールテーブルをフックする方法や、 Linux であれば L S M (Linux Security Module ) I / Fなどを利用した方法や、さらに、システムコール内に独自フックを追加する方法が知られている。 . 新たなファイル 1 1 0が openシステムコ一ノレおょぴ closeシステムコールにより作成されると、ファイル追加通知手段 1 1 5は、その旨をファイル選択手段 1 1 4に通知する。その後、ファイル選択手段 1 1 4は、すでに説明したステップ S 1 3からステップ S 1 5の処理を実施し、新しく生成されたファイル 1 1 0についての情報を、図 2に示す表に追加する。次に、ウィルス感染チェック、改竄チエックまたは脆弱性チエック等のフアイルチェックを行うか否かを判断する処理について説明する。図 4は、ファイルチエックを行うか否かを判断する処理の例を示すフローチヤ一トである。図 4には、 1つのファイル 1 1 0について、ウィルス感染、改竄または脆弱性のチェックを処理するフローチャートを示している。複数のファイル 1 1 0を処理する場合は、図 4に示す処理をそれぞれのファィル 1 1 0について実施することになる。

まず、ファイル選択手段 1 1 4は、図 2に示す表を参照して、ファイル 1 1 0 についてすでにファイルチェック手段 1 1 3によってチェック済みであるかどうかを確認する (ステップ S 2 1 ) 。チェック済みであれば (Y e s ) 、新たにチヱックする必要はないので処理を終了する。チェックしていなければ（N o ) 、ステップ S 2 2に進む。

次に、フアイル選択手段 1 1 4は、図 2に示す表を参照して、ファイル 1 1 0 についてアクセス制御手段 1 1 1によって Write 許可されているかどうかを確認する（ステップ S 2 2 ) 。 Write許可されていれば（Y e s ) 、書き換わっているかもしれないのでチェックが必要と判断し、ステップ S 2 3に進む。 Write 許可されていなければ（N o ) 、そのファイル 1 1 0の内容は書き換わらないので処理を終了する。すなわち、ファイル選択手段 1 1 4は、ステップ S 2 1， S 2 2において、図 2に示す表から、ファイルチェック済みでなく、かつ Write 許可されているファイル 1 1 0を選択する。なお、 Write 許可されているとは、ファィル 1 1 0に対するアクセス制御の 1つであって、例えば、ファイル 1 1 0を更新可能であることを意味する。

最後に、ファイルチェック手段 1 1 3は、ファイル選択手段 1 1 4が選択したファイル 1 1 0内の不正コードの有無を判定するファイルチェックを行う。例えば、ファイルチェック手段 1 1 3は、ファイル 1 1 0についてウィルス感染、改竄あるいは脆弱性をチェックする。ウィルス感染チェック方法の一例として、ゥィルス定義ファイルをもとに、ファイル 1 1 0の内容とのパターンマッチングを実施することが知られている。また、改竄チェックの方法の一例として、フアイル 1 1 0のハッシュ値を作成して保存しておき、このチェックで再度ハッシュ値を計算し、保存しておいたハッシュ値と等しければ改竄されていない等の判定をすることが知られている。また、脆弱性チェックの方法として、バッファオーバ一フロー、スタックオーバーフローなどが発生する実行コードを含んでいないかを実行コードを解析することで判断するパイナリチェック等の方法などがあげられる。これらのチェックでは、ウィルスチェック、改竄チェック、脆弱性チエツク、バイナリチェックのうちの 1つや、 2つ以上の組み合わせ、あるいはすべてのチェックを実施してもよい。チェックが完了すると、ファイルチェック手段 1 1 3は、図 2に示す表にチヱック済みを意味する情報を追加する（ステップ S 2 3 ) 。

図 2に示す表をもとに、すべてのファイル 1 1 0についてステップ S 2 1からステップ S 2 3までの処理を実施した場合、図 2に示されるファイル Aからファィノレ Dまでの 4つのフアイノレは、すべてフアイル'チェック手段 1 1 3によってチエックされる。その結果、図 2に示す表は、図 5に示す表のように書き換えられる。図 5は、チェック対象のファイルを選択するための表の登録例を示す説明図である。また、図 5に示す表をもとにステップ S 2 1からステップ S 2 3までの処理を実施した場合、ファイルチェック手段 1 1 3によってチェックされるのは、 Write 許可されているファイル Aとファイル Bのみであり、 Write 許可されていないファイル Cとファイル Dについては、チェック処理されなレ、。

情報処理装置 1は、ステップ S 2 1からステップ S 2 3までの処理を、すべてのファイル 1 1 0や、あるまとまった数のファイル 1 1 0について一定間隔で実施してもよいし、あるフアイノレ 1 1 0に open、 closeなどのシステムコ一ノレでァクセスされた場合に実施してもよい。

また、図 2に示す表では、チェック対象として、ファイルを対象としている力 S、あるフォルダに含まれるすべてのファイルに対して、 Write 禁止等の設定がァクセス制御ポリシに指定可能な場合、図 2に示す表のチェック対象は、「フォルダ Aに含まれるすべてのファイル」が対象となり、上記と同様に処理される。例えば、「フォルダ Aに含まれるすべてのファイル」について Write 許可されていない場合には、「フォルダ Aに含まれるすべてのファイル」のファイルチェックをスキップ（省略）可能となる。

図 1に示すプロック図における各手段の構成は、アクセス制御手段 1 1 1が O s内で動作し、それ以外は o s外で動作する等の構成でもよいし、アクセス制御手段 1 1 1以外のいずれか 1つが O S内で動作し、それ以外は O S外で動作する等の構成でもよいし、すべての手段が o S外で動作してもよい。

次に、第 1の実施形態の効果について説明する。第 1の実施形態では、コンビユータウィルス感染、改竄、脆弱性を検知するためのファイルチェックの負荷を軽減しながらセキュリティを確保することができる。これは、ファイルチェックを実施すべきか否かを、フアイルがチェック済みであるか否か、および Write 禁止となっているか否かに応じて判断するためである。例えば、そのファイルがすでにチェックされていたり、 Write 禁止となっていればファイルチェックをスキップ可能とするからである。

(実施形態 2 )

次に、本発明の第 2の実施形態について図面を参照して説明する。第 2の実施形態では、実行されたファイル 1 1 0は、実行コードを含むファイルであって、以後、実行コードを含むファイルは書き込みがされないということを前提として、強制的に Write 禁止とし、フアイルチェック処理のスキップ対象とする。ただし、特権を持つプロセスなど特定のプロセスから Write禁止されたファイル 1 1 0への書き込みは、許可されるようにアクセス制御ポリシに記述されていてもよい。図 6は、第 2の実施形態のファイルチェック装置（情報処理装置 1 ) の構成例を示すプロック図である。第 1の実施形態の構成例を示す図 1と比べると、図 6 に示す構成例では、ポリシ更新手段 1 1 6と、実行検知手段 1 1 7とが追加されている。

第 1の実施形態の構成例に存在する手段は、第 2の実施形態でも同様の機能をもっているとして説明を省略する。以下、追加されているポリシ更新手段 1 1 6 と実行検知手段 1 1 7について説明する。

ポリシ更新手段 1 1 6は、アクセス制御手段 1 1 1が保持するアクセス制御ポリシの内容を書き換えることができる。

実行検知手段 1 1 7は、ファイル 1 1 0が実行コードでプロセスとして起動することを監視する。ファイル 1 1 0がプロセスとして起動した場合、実行検知手段 1 1 7は、その旨をファイル選択手段 1 1 4に通知する。次に、図面を参照して第 2の実施形態の動作について説明する。第 1の実施形態における処理は、第 2の実施形態でも実施される。し力し、第 2の実施形態では、新たな動作が追カ卩されている。図 7は、第 2の実施形態における新たな処理の例を示すフローチヤ一トである。

実行検知手段 1 1 7は、プロセスから発行される O S処理手段 1 0 9のシステムコールを監視している。実行検知手段 1 1 7がシステムコールを監視する方法として、システムコールテーブルをフックする方法や、 Linux であれば L S M (L inux Security Module ) I / Fなどを利用した方法や、さらに、システムコ一ノレ内に独自フックを追加する方法が知られている。これらの方法により、 execなどのプロセス起動に関するシステムコール、 L S M I / F、または独自フックが呼び出されたことを検知する。このような方法により、実行検知手段 1 1 7は、ファイル 1 1 0が実行されようとしている等のファイル 1 1 0の振る舞いを検出する (ステップ S 3 1 ) 。

実行検知手段 1 1 7は、検出した振る舞いに基づいて、ファイルの種別を検知する。例えば、実行検知手段 1 1 7は、どのファイル 1 1 0がプロセスとして起動されたのかを示すファイル 1 1 0を一意に識別可能な情報を、システムコール、 L S M I Z F、または独自フックの引数から獲得する (ステップ S 3 2 ) 一意に識別可能な情報として、例えば、ファイル 1 1 0の O S内で管理されている iノード番号やファイルパス等がある。実行検知手段 1 1 7は、検知した結果に基づいて、ファイル 1 1 0は書込み禁止であると判断する。

その後、実行されたファイル 1 1 0を一意に識別可能な情報に基づいて、ポリシ更新手段 1 1 6は、実行されたファイル 1 1 0について Write禁止を意味するようにアクセス制御ポリシを書き換える（ステップ S 3 3 ) 。すなわち、ポリシ更新手段 1 1 6は、実行検知手段 1 1 7が書込み禁止と判断したファイル 1 1 0 を書込み禁止とするアクセス情報を登録する。アクセス制御ポリシの更新により、今後、ファイル 1 1 0に対して書込みが行われそうになった場合、アクセス制御手段 1 1 1は、書込み処理に対してエラーを返す。

最後に、ファイル選択手段 1 1 4は、フアイルチエック時にどのファイルをチエックすべきかを示す、ファイル選択手段 1 1 4が保持する表（図 2参照）の更新を行う (ステップ S 3 4 ) 。ファイル選択手段 1 1 4は、対象となるファイル情報として、ステップ S 3 2で得られたファイルを一意に識別可能な情報を使用する。その情報がない場合、第 1の実施形態におけるステップ S 1 3 (図 3参照）の処理を行い、ファイル情報を獲得する。そして、ファイル選択手段 1 1 4が保持する表において、実行されたファイル 1 1 0に対応する情報を Write禁止を意味する情報に更新する。

ファイル選択手段 1 1 4が保持する表が図 2に示すものであって、かつ、その表に示されるフアイル Bが実行され、上記のステップ S 3 1からステップ S 3 4 に関する処理を実施した場合、図 2に示す表は、図 8に示す表のように更新される。図 8は、チェック対象のファイルを選択するための表の登録例を示す説明図である。つまり、ファイル Bに関して、 Write 許可から Write 禁止といった状態になる。

さらに、第 1の実施形態におけるステップ S 2 1からステップ S 2 3の処理（図 4参照）を実行すると、図 8に示す表は、図 9に示すように更新される。図 9は、チェック対象のフアイルを選択するための表の登録例を示す説明図である。その後、ステップ S 2 1からステップ S 2 3の処理 (図 4参照) を実行すると、ファィル Bはファイルチェック処理の対象外となる。

第 2の実施形態では、ファイル 1 1 0はプロセスとなる実行ファイルであるとして説明したが、ライブラリまたはデバイスドライバであってもよい。ファイル 1 1 0がライブラリやデバイスドライバである場合も、実行ファイルである場合と同様に、実行またはロード (メモリ読み込み) される等のファイル 1 1 0の振る舞いを検知し、 Write 禁止を意味するアクセス制御ポリシを記述することで、同様にファイルチェック処理をスキップ（省略）することが可能となる。

Linux であれば、あるプロセス起動時にライブラリがロードされる。このタイミングに独自フックを埋め込んでおくか、 L S M I Z Fを利用することで、ラィブラリを検知可能である。また、 Linux の場合、 insmodコマンドによりカーネル内にデバイスドライバをロードするタイミングにおいて、上記と同様の検知方法により、デバイスドライバを検知可能となる。

次に、第 2の実施形態の効果について説明する。第 2の実施形態では、通常の使レ、方では更新およぴ書込みがされないと考えられる実行コードを含むファイルに対して、自動的にコンピュータウィルス感染、改竄あるいは脆弱性を検知するためのファイルチェックをスキップするため、チェックの負荷を軽減することができる。これは、ファイルがプロセスとして起動され、プロセスとして振る舞うことを監視する実行検知手段を備え、起動されたファイルを強制的に Write 禁止となるようにアクセス制御のアクセス制御ポリシを更新し、さらに、ファイルチエックを実施すべきかどうかを示す表を、そのファイルを Write 禁止であるという情報に更新するからである。つまり、アクセス制御ポリシが変更されたら、それに追従してファイルチェックをすべきかどうかを判断する表を更新するため、ファイルチェック不可を軽減することができる。

(実施形態 3 )

次に、本発明の第 3の実施形態について図面を参照して説明する。第 3の実施形態では、ファイル 1 1 0を Write 禁止ファイルとして极ぅためにプロセスが W rite 禁止と指定可能な A P Iを用意し、ファイル 1 1 0をファイルチェック処理のスキップ対象とする。 A P Iを利用可能なプロセスとして、ファイル 1 1 0を生成したプロセス、そのプロセスの元となる実行コードから生成された別プ口セス、または特権を与えられたプロセスなどの特定のプロセスに対してのみ A P I 利用を許可するようにアクセス制御ポリシが記述されていてもよい。また、 A P Iが指定可能なアクセス制御として、 Write 禁止、 Write 許可などが考えられる。図 1 0は、第 3の実施形態のファイルチェック装置（情報処理装置 1 ) の構成例を示すブロック図である。第 2の実施形態の構成例を示す図 6と比べると、図 1 0に示す構成例では、実行検知手段 1 1 7がなくなり、 Write 禁止要求手段 1 1 8が追加されている。

第 2の実施形態の構成例に存在する手段は、第 3の実施形態でも同様の機能をもっているとして説明を省略する。以下、追加されている Write 禁止要求手段 1 1 8について説明する。

Write 禁止要求手段 1 1 8は、プロセスから O S処理手段 1 0 9にフアイノレ 1 1 0を Write禁止とする A P Iを提供する。すなわち、プロセスは、 A P Iを実行することにより、 Write 禁止要求手段 1 1 8に対し、フアイノレ 1 1 0を Write 禁止にするよう要求することができる。 Write 禁止要求手段 1 1 8は、プロセスからファイル 1 1 0を Write 禁止とする旨の要求があった場合に、ファイル 1 1 0は書込み禁止であると判断する。 Write 禁止要求手段 1 1 8は、ポリシ更新手段 1 1 6に対し、書込み禁止であると判断したファイル 1 1 0を指定して、ァクセス制御手段 1 1 1が保持するアクセス制御ポリシの内容を書き換えさせることができる。

次に、図面を参照して第 3の実施形態の動作について説明する。図 1 1は、第 3の実施形態における処理の例を示すフローチャートである。

まず、プロセスは、 Write 禁止を要求可能な A P Iを呼び出し、ファイル 1 1 0について Write禁止とする要求を出す。この要求は、 O S処理手段 1 0 9を経由して Write 禁止要求手段 1 1 8に通知される。

Write 禁止要求手段 1 1 8は、呼び出し元のプロセスが特権プロセスであるか、または、指定されているファイル 1 1 0が呼び出し元プロセスが生成したものであるかを確認する（ステップ S 4 1 )。すなわち、 Write 禁止要求手段 1 1 8は、ステップ S 4 1において、ファイル 1 1 0を Write禁止とすることができるか否かを判断する。例えば、呼び出し元のプロセスが特権プロセスである場合や、指定されているファイル 1 1 0が呼び出し元プロセスが生成したものである場合に、 Write 禁止要求手段 1 1 8は、ファイル 1 1 0を Write 禁止とすることができると判断する。

ステップ S 4 1において、呼び出し元のプロセスが特権プロセスである場合、または、指定されているファイル 1 1 0が呼び出し元プロセスが生成したものである場合（Y e s ) 、ステップ S 4 2に進み、そうでなければ（N o ) 、処理を終了する。

プロセスに指定されたファイル 1 1 0についての以降のステップ S 4 2からステツプ S 4 4の処理は、図 7に示す第 2の実施形態のステップ S 3 2からステツプ S 3 4までの処理で実行されたファイル 1 1 0に施した処理と同じであるので、ここでは説明を省略する。

ファイル選択手段 1 1 4が保持する表が図 2に示すものであって、かつ、その表に示されるファイル Bについて A P Iにより Write 禁止とし、ステップ S 4 1 からステップ S 4 4に関する処理を実施した場合、図 2に示す表は、図 8に示す表のように更新される。つまり、ファイル Bに関して、 Write許可から Write禁止といった状態になる。

さらに、第 1の実施形態におけるステップ S 2 1からステップ S 2 3の処理（図 4参照) を実行すると、図 8に示す表は、図 9に示すように更新される。その後、ステップ S 2 1からステップ S 2 3の処理 (図 4参照) を実行すると、ファイル Bはファイルチェック処理の対象外となる。

次に、第 3の実施形態の効果について説明する。第 3の実施形態では、プロセスがファイルを書込み禁止とするよう要求することができる。

(実施形態 4 )

次に、本発明の第 4の実施形態について図面を参照して説明する。第 4の実施形態では、ファイル 1 1 0がバックアップ目的などのフアイルの場合に Write禁止フアイノレとして极ぃ、ファイル 1 1 0をファイルチェック処理のスキップ対象とする。ファイル 1 1 0の削除など、 Write 禁止以外の動作を、ファイル 1 1 0 を生成したプロセス、そのプロセスの元となる実行コードから生成された別プロセス、または特権を与えられたプロセスに限って許可するようにアクセス制御ポリシが記述されていてもよい。

図 1 2は、第 4の実施形態のファィルチック装置（情報処理装置 1 ) の構成例を示すブロック図である。第 2の実施形態の搆成例を示す図 6と比べると、図 1 2に示す構成例では、実行検知手段 1 1 7がなくなり、新規ファイル検知手段 1 1 9が追加されている。

第 2の実施形態の構成例に存在する手段は、第 4の実施形態でも同様の機能をもっているとして説明を省略する。以下、追加されている新規ファイル検知手段 1 1 9について説明する。

新規ファイル検知手段 1 1 9は、プロセスが新規にフアイルを生成することを検知する。特に、複数のファイルを 1つにまとめたファイルまたは圧縮フアイノレなど、バックアップを目的としたフアイルを生成することを検知する。すなわち、新規ファイル検知手段 1 1 9は、ファイルの内容に基づいてファイルの種別を検知する。バックアップされるファイル 1 1 ◦の生成を検知すると、新規ファイル検知手段 1 1 9は、検知した結果に基づいて、ファイル 1 1 0は書込み禁止であると判断する。新規ファイル検知手段 1 1 9は、ポリシ更新手段 1 1 6に対し、書込み禁止であると判断したファイル 1 1 0を指定して、アクセス制御手段 1 1 1が保持するアクセス制御ポリシの内容を耆き換えさせることができる。

第 4の実施形態では、書き込みが 1度だけ許されるようなファイルに対して、コンピュータウィルス感染、改竄、脆弱性を検知するためのファイルチェックをスキップし、そのチェックの負荷を軽減することができる。これは、ファイルを生成するプロセスがそのファイルを Write 禁止とするよう要求可能な A P Iをプ口セスに提供し、 A P Iで指定されたファイルに対してアクセス制御ポリシを更新し、さらに、ファイルチェックを実施すべきかどうかを示す表において、ファィルを Write 禁止であるという情報に更新するからである。

次に、図面を参照して第 4の実施形態の動作について説明する。図 1 3は、第 4の実施形態における処理の例を示すフローチャートである。

まず、プロセスがバックアップ目的に新規のファイルを生成する。新規フアイルの生成は、システムコール open, Write および closeなどで実現される。新規ファイルの生成については、〇S処理手段 1 0 9を経由して新規ファイル検知 1 1 9に通知される。

新規ファイル検知手段 1 1 9は、生成されたファイル 1 1 0の中身または拡張子（たとえば、 tar、 zip) など力ら、複数ファイルをまとめたファイルまたは圧縮ファイルであるかどうか判断する (ステップ S 5 1 ) 。すなわち、新規フアイル検知手段 1 1 9は、ステップ S 5 1において、フアイノレ 1 1 0を Write 禁止とすることができるか否かを判断する。例えば、ファイル 1 1 0が複数ファイルをまとめたファイルや圧縮ファイルである場合に、新規ファイル検知手段 1 1 9はファイル 1 1 0を Write 禁止とすることができると判断する。

ステップ S 5 1において、生成されているファイル 1 1 0が複数ファイルをまとめたファイルまたは圧縮ファイルである場合（Y e s ) 、ステップ S 5 2に進み、そうでなければ（N o ) 、処理を終了する。

生成されたファイル 1 1 0についての以降のステップ S 5 2からステップ S 5 4の処理は、図 7に示す第 2の実施形態のステツプ S 3 2からステップ S 3 4までの処理で実行されたファイル 1 1 0に施した処理と同じであるので、ここでは説明を省略する。

ファイル選択手段 1 1 4が保持する表が図 2に示すものであって、かつ、その表に示されるファイル B (最初は図 2にはファイル Bが記載されていないかもしれない）について新規生成し、ステップ S 5 1からステップ S 5 4に関する処理を実施した場合、図 2に示す表は、図 8に示す表のように更新される。つまり、ファイル Bに関して、 Write禁止といった状態になる。

さらに、第 1の実施形態におけるステップ S 2 1からステップ S 2 3の処理（図 4参照）を実行すると、図 8に示す表は、図 9に示すように更新される。その後、ステップ S 2 1からステップ S 2 3の処理 (図 4参照) を実行すると、ファイル Bはファイルチェック処理の対象外となる。

次に、第 4の実施形態の効果について説明する。第 4の実施形態では、長期間、使用されないと予想されるフアイルに対して、自動的にコンピュータウィルス感染、改竄、脆弱性を検知するためのファィルチェックをスキップし、そのチェックの負荷を軽減することができる。これは、新規ファイルの生成を監視し、ファィルの種類を判別する新規ファィル検知手段を備え、生成されたフアイルを強制的に Write禁止となるようにアクセス制御ポリシを更新し、さらに、ファイルチエックを実施すべきかどうかを示す表を、そのファイルを Write禁止であるという情報に更新するからである。つまり、ファイルの内容、属性によって、フアイルチェックをすべきかどうかを判断する表を更新するため、ファイルチェック不可を軽減することができる。

(実施形態 5 )

次に、本発明の第 5の実施形態を図面を参照して説明する。図 1 4は、本発明によるファイルチェック装置（情報処理装置 1 0 ) の最小の構成例を示す機能ブロック図である。図 1 4に例示する情報処理装置 1 0は、アクセス制御手段 1 1 と、ファイル選択手段 1 4と、ファイルチェック手段 1 3とを備える。

アクセス制御手段 1 1は、プロセスからファイルへのアクセスを制御する。フアイル選択手段 1 4は、アクセス制御手段によるアクセス制御によって書込み許可されているファイルを選択する。ファイルチェック手段 1 3は、ファイル選択手段 1 4が選択したファイル内の不正コードの有無を判定するファイルチェックを行う。

ファイルチェック手段 1 3は、フアイル選択手段 1 4が選択したフアイルを対象としてファイルチェックを行う。すなわち、ファイルチェック手段 1 3は、ファィル選択手段 1 4が選択しなかったファイルのチェックを行わない。そのため、ファイルチェックにかかる負荷を軽減することができる。

また、ファイル選択手段 1 4が選択しなかったファイルは、書込み許可がされていないファイルであり、アクセス制御手段 1 1によってアクセス制御されているため、例えば改竄される危険性が低い。このように、本発明によれば、フアイル選択手段 1 4が選択しなかったファイルのセキュリティも確保することができる。

なお、本発明の各実施形態は、以下に示す構成を備えることにより、本発明の目的を達成することができる。

本発明の第 1のフアイルチェック装置は、フアイルチェック手段とフアイルを Write 禁止と強制的に制御するアクセス制御手段と、そのァクセス制御手段で Wr ite 許可となっているファイルと、 Write 禁止になっているがファイルチェック手段によりファイルチェックされていないファイルを選び出すファイル選択手段により構成される。このような構成を採用し、必要最低限のチェックのみを行うことで比較的非力なコンピュータ上でも高速にファイルチェックを完了するとレ、う目的を達成できる。

また、本発明の第 2のファイルチェック装置は、実行可能なファイルに関しては実行したという振る舞いを検知する手段により実行コードを含むファイルであると認識し、アクセス制御手段が Write 禁止として极うようにポリシ更新手段によりそのファイルを強制的に Write 禁止となるようにァクセス制御ポリシを書き換えるポリシ更新手段と、 Write 禁止かつファイルチェックされていれば、ファィルチェック処理をスキップすることを決定するフアイル選択手段により構成される。このような構成を採用し、ファイルチェックをスキップ可能なファイルを自動的に探し出し、そのファイルをスキップ対象として扱うことにより、必要最低限のチエックのみを行うことで比較的非力なコンピュータ上でも高速にフアイルチェックを完了するという目的を達成できる。

また、本発明の第 3のファイルチェック装置は、ファイルを Write 禁止に指定可能な APIを提供し、指定されたファイルをアクセス制御手段により Write 禁止となるようにアクセス制御ポリシを書き換えるポリシ更新手段と、 Write 禁止かつファイルチェックされていれば、ファイルチェック処理をスキップすることを決定するファイル選択手段により構成される。このような構成を採用し、フアイノレチェックをスキップ可能なファイルを自動的に探し出し、そのファイルをスキップ対象として扱うことにより、必要最低限のチェックのみを行うことで比較的非力なコンピュータ上でも高速にファイルチェックを完了するという目的を達成できる。

また、本発明の第 4のファイルチェック装置は、新規ファィルの生成を監視し、フアイルの種類を判別する新規フ了ィル検知手段とその生成されたファィルの種另 IJにより、強制的に Write 禁止となるようにアクセス制御ポリシを書き換えるポリシ更新手段と、 Write 禁止かつファイルチェックされていれば、ファイルチェック処理をスキップすることを決定するフアイル選択手段により構成される。このような構成を採用し、フアイルチエックをスキップ可能なファイルを自動的に探し出し、そのファイルをスキップ対象として扱うことにより、必要最低限のチエックのみを行うことで比較的非力なコンピュータ上でも高速にフアイルチェックを完了するという目的を達成できる。

なお、上記に示した実施形態では、以下の（1 ) 〜（8 ) に示すような特徴的構成を備えたファイルチェック装置が示されている。

( 1 ) フアイル内に含まれた不正コ一ドを検出するファイルチェック装置であつて、プロセスからフアイルへのァクセスを制御する了クセス制御手段 (例えば、アクセス制御手段 1 1 1で実現される) と、アクセス制御手段によるアクセス制御によつて書込み許可されているフアイルを選択するフアイル選択手段（例えば、ファイル選択手段 1 1 4で実現される）と、ファイル選択手段が選択したフアイノレ内の不正コードの有無を判定するファイルチェックを行うファイルチェック手段（例えば、ファイルチェック手段 1 1 3で実現される）とを備えたことを特徴とするファイルチヱック装置。 ( 2 ) ファイルチェック手段は、ウィルスチェック手段、改竄チェック手段、脆弱性チェック手段、バイナリチェック手段のいずれか 1つ、 2つ以上の組み合わせ、またはすベてを含むファイルチェック装置。そのように構成されたフアイルチェック装置は、ウィルスチェック、改竄チェック、脆弱性チェック、パイナリチェックのうちのいずれか 1つ以上のファイルチェックを実行することができる。

( 3 ) ファイル選択手段は、書込み許可されていて、かつ、ファイルチェック手段によってファイルチェックされていないファイルのみを選択するファイルチエック装置。そのように構成されたファイルチェック装置は、ファイルチェック済みのファイルのチェックを省くことができ、ファイルチェックにかかる負荷をより軽減することができる。

( 4 ) ファイルの振る舞いを検知し、検知した振る舞いに基づいてファイルの種別を検知する検知手段（例えば、実行検知手段 1 1 7で実現される）と、検知手段が検知した結果に基づいて、ファイルを書込み禁止と判断する判断手段（例えば、実行検知手段 1 1 7、新規ファイル検知手段 1 1 9で実現される）と、ァクセス制御手段が保持しているアクセス情報においてフアイルを書込み禁止に更新するアクセス情報更新手段（例えば、ポリシ更新手段 1 1 6で実現される）とを備えたファイルチェック装置。そのように構成されたファイルチェック装置は、ファイルの振る舞いに基づいてファイルの種別を検知し、ファイルを書き込み禁止とすることにより、ファイルチェックにかかる負荷をより軽減することができる。

( 5 ) 検知手段は、ファイルの振る舞いとして、実行可能なコードを含むファィルの起動、またはライプラリもしくはデバイスドライバのメモリへの読み込みを検知して、フアイルの種別を検知するフアイルチェック装置。

( 6 ) 検知手段（例えば、新規ファイル検知手段 1 1 9で実現される）は、フアイルの内容に基づいてファイルの種別を検知するファイルチェック装置。そのように構成されたファイルチェック装置は、ファイルの内容に基づいてファイルの種別を検知し、ファイルを書き込み禁止とすることにより、ファイルチェックにかかる負荷をより軽減することができる。 ( 7 ) 検知手段は、ファイルの内容として、複数ファイルをまとめたファイルまたは圧縮フアイルであることを判断して、フアイルの種別を検知するフアイルチェック装置。

( 8 ) プロセスがファイルを書込み禁止とするよう要求可能にする禁止要求手段（例えば、 Write禁止要求手段 1 1 8で実現される）を備えたファイルチエツク装置。そのように構成されたファイルチェック装置は、プロセスがファイルを書込み禁止とするよう要求することができる。

以上、実施の形態に即して本発明について説明したが、本発明はこれに限定されるものではなく、発明の趣旨を逸脱しない範囲内において自由に変更することが可能である。

この出願は、 2 0 0 7年 1 0月 9日に出願された日本出願特願第 2 0 0 7 - 2 6 3 0 5 5号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

Claims

請求の範囲

1 . ファイル内に含まれた不正コードを検出するファイルチェック装置であつて、

プロセスからフアイルへのァクセスを制御する了クセス制御手段と、前記アクセス制御手段によるアクセス制御によつて書込み許可されているファィルを選択するフアイル選択手段と、

前記ファイル選択手段が選択したファイル内の不正コードの有無を判定するフアイルチェックを行うファイルチェック手段と

を備えたことを特徴とするファイルチェック装置。

2 . ファイルチェック手段は、ウィルスチェック手段、改竄チェック手段、脆弱性チェック手段、バイナリチェック手段のいずれか 1つ、 2つ以上の組み合わせ、またはすベてを含む請求項 1に記載のファイルチェック装置。

3 . ファイル選択手段は、書込み許可されていて、かつ、ファイルチェック手段によってファイルチェックされていないファイルのみを選択する

請求項 1または請求項 2記載のファイルチェック装置。

4 . ファイルの振る舞いを検知し、検知した振る舞いに基づいてファイルの種別を検知する検知手段と、

前記検知手段が検知した結果に基づいて、フアイルを書込み禁止と判断する判断手段と、

アクセス制御手段が保持しているアクセス情報においてフアイルを書込み禁止に更新するアクセス情報更新手段と

を備えた請求項 1から請求項 3のうちのいずれか 1項に記載のファイルチエツク装置。

5 . 検知手段は、ファイルの振る舞いとして、実行可能なコードを含むフアイルの起動、またはライブラリもしくはデパイスドライバのメモリへの読み込みを検知して、フアイルの種別を検知する請求項 4記載のファイルチェック装置。

6 . 検知手段は、ファイルの内容に基づいてファイルの種別を検知する請求項 4または請求項 5記載のフアイルチェック装置。

7 . 検知手段は、ファイルの内容として、複数ファイルをまとめたファイルまたは圧縮ファィルであることを判断して、フアイルの種別を検知する請求項 6記载のファイルチェック装置。

8 . プロセスがファイルを書込み禁止とするよう要求可能にする禁止要求手段を備えた請求項 4から請求項 7のうちのいずれか 1項に記載のファイルチェック装置。

9 . ファイル内に含まれた不正コードを検出するためのファイルチェックプログラムであって、

コンピュータに、

プロセスからファイルへのアクセスを制御するアクセス制御処理と、前記アクセス制御処理によるアクセス制御によつて書込み許可されているファィルを選択するフアイノレ選択処理と、

前記ファィル選択処理で選択したフアイル内の不正コ一ドの有無を判定するフ了ィルチェックを行ぅフアイルチェック処理と

を実行させるためのファイルチェックプログラム。

1 0 . コンピュータに、

ファイルチェック処理で、ウィルスチェック処理、改竄チェック処理、脆弱性チェック処理、バイナリチェック処理のいずれか 1つ、 2つ以上の組み合わせ、またはすベてを含む処理を実行させるための

請求項 9に記載のフアイルチエックプログラム。

1 1 . コンピュータに、

ファイル選択処理で、書込み許可されていて、かつ、ファイルチェック処理によってファイルチェックされていないファイルのみを選択する処理を実行させるための

請求項 9または請求項 1 0記載のファイルチェックプログラム。

1 2 . コンピュータに、

ファイルの振る舞いを検知し、検知した振る舞いに基づいてファイルの種別を検知する検知処理と、

前記検知処理で検知した結果に基づいて、フアイルを書込み禁止と判断する判断処理と、

アクセス制御手段が保持しているアクセス情報においてファイルを書込み禁止に更新するアクセス情報更新処理と

を実行させるための請求項 9から請求項 1 1のうちのいずれか 1項に記载のフアイノレチェックプログラム。

1 3 . コンピュータに、

検知処理で、ファイルの振る舞いとして、実行可能なコードを含むファイルの起動、またはライブラリもしくはデバイスドライバのメモリへの読み込みを検知して、ファイルの種別を検知する処理を実行させるための

請求項 1 2記載のフアイルチェックプログラム。

1 4 . コンピュータに、

検知処理で、ファイルの内容に基づいてファイルの種別を検知する処理を実行させるための

請求項 1 2または請求項 1 3記載のファイルチェックプログラム。

1 5 . コンピュータに、検知処理で、ファイルの内容として、複数ファイルをまとめたファイルまたは圧縮ファイルであることを判断して、ファイルの種別を検知する処理を実行させるための

請求項 1 4記載のファイルチェックプログラム。

1 6 . コンピュータに、

プロセスがフアイルを書込み禁止とするよう要求可能にする禁止要求処理を実行させるための

請求項 1 2から請求項 1 5のうちのいずれか 1項に記載のファイルチェックプ口クラム。

1 7 . ファイル内に含まれた不正コードを検出するファイルチェック方法であつて、

プロセスからフアイノレへのァクセスを制御する了クセス制御ステップと、前記ァクセス制御手段によるァクセス制御によつて書込み許可されているファィルを選択するフアイル選択ステツプと、

前記ファィル選択ステツプで選択したフアイル内の不正コ一ドの有無を判定するファイルチェックを行うファイルチェックステップと

を含むことを特徴とするファイルチェック方法。

1 8 . フアイノレチェックステツプで、ウイノレスチェック、改竄チェック、脆弱性チェック、バイナリチェックのいずれか 1つ、 2つ以上の組み合わせ、またはすべてを用いる請求項 1 7に記載のフアイルチヱック方法。

1 9 . ファイル選択ステップで、書込み許可されていて、かつ、ファイルチェックステップでフアイノレチェックされていないファイルのみを選択する

請求項 1 7または請求項 1 8記載のファイルチェック方法。

2 0 . ファイルの振る舞いを検知し、検知した捩る舞いに基づいてファイルの種別を検知する検知ステップと、

前記検知ステツプで検知した結果に基づいて、フアイルを書込み禁止と判断する判断ステップと、

アクセス制御手段が保持しているアクセス情報においてフアイルを書込み禁止に更新するアクセス情報更新ステツプと

を備えた請求項 1 7から請求項 1 9のうちのいずれか 1項に記載のファイルチエック方法。

2 1 . 検知ステップで、ファイルの振る舞いとして、実行可能なコードを含むファイルの起動、またはライブラリもしくはデバイスドライバのメモリへの読み込みを検知して、ファイルの種別を検知する請求項 2 0記載のファイルチェック方法。

2 2 . 検知ステップで、ファイルの内容に基づいてファイルの種別を検知する請求項 2 0から請求項 2 1のうちのいずれか 1項に記載のフアイルチェック方法。

2 3 . 検知ステップで、ファイルの内容として、複数ファイルをまとめたファィルまたは圧縮ファイルであることを判断して、ファイルの種別を検知する請求項 2 2記載のフアイルチヱック方法。

2 4 . プロセスがファイルを書込み禁止とするよう要求可能にする禁止要求ステツプを含む請求項 2 0から請求項 2 3のうちのいずれか 1項に記載のファイルチェック方法。