WO2012053053A1

WO2012053053A1 - 外部ブートデバイス及びネットワーク通信システム

Info

Publication number: WO2012053053A1
Application number: PCT/JP2010/068346
Authority: WO
Inventors: 杉中順子; 古川義久
Original assignee: Suginaka Junko; Furukawa Yoshihisa
Priority date: 2010-10-19
Filing date: 2010-10-19
Publication date: 2012-04-26

Abstract

　ＵＳＢメモリ（２）は、端末（１）のＢＩＯＳがＣＰＵ（１０）によって実行されることによって端末（１）の起動メモリ領域（１２０）に書き込まれるように設定された起動プログラムをＭＢＲ記憶部（２６１）に記憶している。起動プログラムは、ＣＰＵ（１０）からの一つの命令に基づいて実行され、５００ビットのダミーコードを割込ベクタテーブル領域（１２０２）に上書きすると共に一般保護例外を発生させる第１のプログラム、及び一般的保護例外の発生によって実行される正常リセット処理のための正常リセットプログラムを割込ハンドラとして設定するための第２のプログラムからなる。これにより、マルウエアの動きを抑止する外部ブートが提供できる。

Description

外部ブートデバイス及びネットワーク通信システム

　本発明は、ＣＰＵを備える情報処理装置に装着して前記情報処理装置を外部ブートする外部ブートデバイス及びネットワーク通信システムに関する。

　近年、インターネット等のネットワークに接続されたサーバや端末（パーソナルコンピュータ）等の情報処理装置に対して各種のウイルス等が侵入し、乃至は潜伏し、それによってデータの盗聴、盗難、改竄、漏洩及び攻撃等の被害が生じている。かかるウイルス被害に対し、ウイルスの侵入を可及的に阻止する目的で、ウイルスを発見し乃至は駆除するソフトウエアの改良乃至は開発、回線制限（アドレス制限）の設定を行う等の対策が講じられている。しかし、ウイルスの新種発見から駆除用のソフトウエアの開発までの時間遅れ等を考慮すれば、ウイルスの侵入を確実に阻止することは困難である。また、電源投入を受けて情報処理装置が立ち上がる間にウイルス感染する虞も考えられ、かかる期間内に対する有効なウイルス対策も望まれる。

　特許文献１には、情報処理装置のハードディスク内に格納されたＯＳ（Operation System）起動方法が記載されている。より詳細には、情報処理装置の電源投入が検知されると、フラッシュメモリに記憶されているＢＩＯＳ（Basic Input/Output system）を起動して起動可能なブートデバイスを検索し、ＵＳＢ（Universal Serial Bus）メモリに格納されているブートＯＳを起動して、まず表示手段にパスワードの入力画面を表示させる。次いで、この入力画面に対して入力手段からのパスワードの入力を受け付ける。パスワードが入力されると、入力パスワードとＵＳＢメモリに固有な情報とを連結してハッシュ値に変換し、起動すべきハードディスクのロック解除パスワードを生成する。そして、起動するハードディスクがセキュリティ設定済みであると判断した場合には、前記ロック解除パスワードで前記ハードディスクのロック状態を解除する一方、前記ハードディスクがセキュリティ設定済みではないと判断した場合には、前記ハードディスクのセキュリティを設定し、ロック状態が解除された前記ハードディスクのＭＢＲ(Master Boot Record)を起動し、ＯＳのブートローダを起動し、これによってＯＳを起動する方法である。これにより、ＯＳ起動時のセキュリティ認証が可能になる。また、特許文献１には、前記ハードディスクのロック状態が解除された状態で、ＵＳＢメモリに格納されているウイルスチェック機能を用いてウイルスチェックを行うことでハードディスクのウイルスチェックを可能とすることが記載されている。

　また、特許文献２には、起動プログラムの実行方法が記載されている。より詳細には、パーソナルコンピュータからハードディスクに対する最初の読込み要求に対し、起動プログラムを格納した記憶媒体の起動セクタに先立ってセキュリティ等の任意プログラムを格納した仮起動セクタを読み出し、該任意プログラムを実行させる起動前処理ステップを有するようにしたものである。そして、このセキュリティ等の任意プログラムの実行後に本来の起動プログラムを実行してＯＳを起動させるものである。これにより、パーソナルコンピュータのＢＯＩＳや記憶媒体の起動セクタ（ＬＢＡ０）を変更することなく、ＯＳ起動に先立ってセキュリティ等の任意のプログラムの実行を可能としている。

特開２００７－６６１２３号公報特開２００６－２３６１９３号公報

　特許文献１は、パスワード入力画面に対してパスワードを入力する態様であるためパスワードの盗難の虞があることから、ＵＳＢメモリの固有情報と結合してハッシュ値を作成し、ロック解除情報とする個人認証技術である。また、特許文献１には、ＵＳＢメモリに格納されているウイルスチェック機能を用いてウイルスチェックを行うことでハードディスクのウイルスチェックを可能とすることが記載されているが、具体的な記載は一切ない。

　一方、特許文献２では、ハードディスク内の仮起動セクタの任意プログラムがウィルスチェックプログラムである場合においても、そのプログラムが実行される前に、例えばＲｏｏｔｋｉｔの形態を有するような不正プログラムが起動され、任意プログラムから自身（不正プログラム）を隠蔽することも可能であるため、ウイルスチェックに対する信頼性に一定の限界がある。また、特許文献２にはＯＳ起動前にウイルスを監視する具体的な方法は一切記載されていない。電源投入前から潜伏していたウイルスを仮に発見し得るとしても、再起動（ＯＳ起動）後にはウイルスチェックは行われていないため、再起動中に侵入するウイルス対して依然として無防備の状態にある。さらに、特許文献１、２はパーソナルコンピュータ側で処理を担う一般的態様であるから、この点からしても高い信頼性を確保するには限界がある。

　また、近年、特許文献１に記載の起動方法のような、いわゆるＵＳＢメモリブート方式が知られている。ＵＳＢメモリブート方式は、ＵＳＢメモリを端末に接続して端末の電源が投入された場合に、ＢＩＯＳからＵＳＢメモリが優先的に指定されて、その内部に記憶されたＯＳがブートされ、例えば職場の端末を自己のＰＣ環境の元で使用し得るようにした技術である。このＵＳＢメモリブート方式の別の態様として、ウイルス駆除プログラムを記憶しておき、優先的に起動させて、端末内の潜伏ウイルスを駆除可能にしたものも知られている。しかし、ＵＳＢメモリ自身のウイルス感染の有無やウイルス駆除処理終了からＯＳの起動までの間でのウイルス侵入の有無については何等言及されていない。

　本発明の目的は、ウイルス等のマルウエアの動きを抑止する外部ブートの技術を提供することにある。

　本発明に係る外部ブートデバイスは、ＣＰＵを備える情報処理装置に装着して前記情報処理装置をブートする外部ブートデバイスであって、前記情報処理装置のＢＩＯＳが前記ＣＰＵによって実行されることによって前記情報処理装置の起動メモリ領域に書き込まれるように設定された起動プログラムであって、書込後に前記ＣＰＵからの一つの命令に基づいて実行され、所定ビット数分のダミーコードを割込ベクタテーブルに上書きすると共に一般保護例外を発生させる第１のプログラム、及び前記一般保護例外の発生によって実行される正常リセット処理のための正常リセットプログラムを割込ハンドラとして設定するための第２のプログラムからなる起動プログラムが記憶された起動プログラム記憶部を備えたことを特徴とするものである。

　また、本発明に係るネットワーク通信システムは、外部ブートデバイスと、前記外部ブートデバイスを介して互いに通信可能にネットワークに接続された複数の前記情報処理端末とを有するものである。

　これらの発明によれば、パーソナルコンピュータ（ＰＣ）等の情報処理装置に、外部ブートデバイス、例えばＵＳＢ（Universal Serial Bus）メモリが装着された状態で、情報処理装置の電源が投入されると、情報処理装置は操作可能な状態になるようにＣＰＵ等によって起動（ブート）される。

　外部ブートデバイスには、第１、第２のプログラムを有する起動プログラムが記憶されており、この起動プログラムは情報処理装置の電源の投入によって起動されたＣＰＵによって情報処理装置に読み出される。第１のプログラムは、一般保護例外を発生させるためのものであり、第２のプログラムは起動メモリ領域を正常リセットするためのものである。すなわち、情報処理装置は、電源投入後、ＣＰＵが起動可能状態になって、まずＢＩＯＳのプログラムが実行される。ＢＩＯＳのＰＯＳＴ（Power On Self Test）処理によって、優先的に外部ブートデバイスが選定され、外部ブートデバイスの起動プログラム記憶部に記憶されている起動プログラムが情報処理装置側に読み込まれ、情報処理装置の起動メモリ領域内の所定域に書き込まれる。

　起動プログラムの書き込みが終了すると、ＣＰＵの制御がＢＩＯＳから起動プログラムに移される。そして、起動プログラムを実行する一つの命令がＣＰＵから出力される。この命令が発せられると、起動プログラムによって、所定ビット数分のダミーコードが、起動メモリ領域の所定域に設定されている割込ベクタテーブルに上書きされる。ダミーコードは予め外部ブートデバイスに書き込まれており、起動プログラムの実行命令に従って外部ブートデバイスから読み出され、起動メモリ領域の割込ベクタテーブルの一部又は全部と重畳するように上書きされる。また、この上書き動作は、割込ベクタテーブルの所定のベクタに設定されている一般保護例外が発生するように行われる。一般保護例外とは、例えばアドレス0x0000を下回ろうとした場合のような、アクセスできない領域にアクセスした場合に発生するものである。一般保護例外が発生すると、所定域に設定される割込ハンドラの正常リセットプログラムが起動される。正常リセットプログラムの実行によって、所定のデータが起動メモリ領域に書き込まれ、これにより起動メモリ領域が正常リセットされた環境となる。なお、起動プログラムは、例えばＭＢＲ(Master Boot Record)などである。

　本発明によれば、外部ブートによってマルウエアの動きを抑止することができる。

本発明の一実施形態に係る外部ブートデバイスが適用されるネットワーク通信システムを示す概要図である。図１に示す外部ブートデバイスのハードウエア構成の一例を示すブロック図である。端末及び外部ブートデバイスのブートに関連する機能部を示すブロック図である。端末のメモリマップ図である。割込ベクタテーブルへの上書き処理と一般保護例外に基づく正常リセット処理との関係を説明する図である。端末のＣＰＵによって実行されるＢＩＯＳの起動処理の手順を説明するフローチャートである。ＵＳＢメモリのＣＰＵによって実行されるダミーコードの書換処理の手順を説明するフローチャートである。端末のＣＰＵによって実行されるＭＢＲの実行処理の手順を説明するフローチャートである。

　図１は、本発明の一実施形態に係る外部ブートデバイスが適用されるネットワーク通信システムを示す概要図である。図２は、図１に示す外部ブートデバイスのハードウエア構成の一例を示すブロック図である。図３は、端末及び外部ブートデバイスのブートに関連する機能部を示すブロック図である。図４は、端末のメモリマップ図である。

　図１に示すネットワーク通信システムは、例えばパーソナルコンピュータを内蔵する情報処理装置の一例である端末１と、この端末１に接続された外部ブートデバイスの一例であるＵＳＢ（Universal Serial Bus）メモリ２と、インターネット等のネットワーク３とを備えている。端末１はプロバイダ（ＩＳＰ）４を介してネットワーク３と接続されている。本実施形態では、端末１はそのままネットワーク３に接続され、また、ＵＳＢメモリ２が装着された状態では、後述するようにＵＳＢメモリ２を経由してネットワーク３と接続される構成を有する。ネットワーク３上には複数のＩＳＰ４が配設されており、各ＩＳＰ４には、１又は複数の端末１や各種の情報を提供する図略のＷｅｂサイトが接続されている。ＵＳＢメモリ２は、例えば、端末１からの操作を通して所定のサービスの提供を受ける権限を持つ会員として登録を受ける際に支給される。ＵＳＢメモリ２は、内部の記憶部に会員を識別する情報及びその他の情報が記録されている。ＵＳＢメモリ２の構成及び機能等に関しては後述する。

　端末１は、コンピュータを有しており、図３に示すように、制御手段としてのＣＰＵ（Central Processing Unit）１０を有する。ＣＰＵ１０は、ＲＯＭ（Read Only Memory）１１とＲＡＭ（Random Access Memory）１２とに接続されている。ＲＯＭ１１には、データが書き換え可能なフラッシュＲＯＭを含む。本実施形態では、ＲＯＭ１１は、このフラッシュＲＯＭ、またＣＭＯＳ（Complementary MetalOxide Semiconductor）等を備え、フラッシュＲＯＭ１１０（図４参照）にＢＩＯＳ（Basic Input/Output system）が書き込まれている。ＢＩＯＳを書き換え可能にすることで、起動時におけるＭＢＲ(Master Boot Record)の記憶部に対する、読み出しの優先順位を設定可能にする態様としている。また、ＣＰＵ１０には、図３に示すように、操作者が必要な指令や情報を入力するテンキーやマウス等を備える操作部１３及び画像を表示する表示部１４が接続されている。表示部１４は、入力情報の確認のための表示や通信内容の表示のために用いられる。なお、本実施形態では、ＢＩＯＳは、外部ブートデバイスであるＵＳＢメモリ２が優先的に指定されるように設定されている。ＲＡＭ１２は、例えば起動時のワークエリアである起動メモリ領域１２０、通常処理を実行する場合のワークエリア、及び必要なプログラムやデータ類が格納されるハードディスク（ＨＤＤ）１２１等から構成されている。

　また、端末１には、図４に示すように、チップセット１５が設けられている。チップセット１５は、図略のマザーボードを構成する主要部品で、ＣＰＵ１０や各種メモリ、その他ハードディスク（ＨＤＤ１２１、図４参照）や図略のＣＤ－ＲＯＭ等、マザーボードに繋がっているあらゆる部品間のデータのやり取りをコントロールするものである。

　本ネットワーク３には、ＩＳＰ４を介して、１又は所定数の会員サーバ５及び複数の取引先端末６が接続されている。会員サーバ５は、端末１を所有する乃至は操作を支配し得る会員に関する適宜な情報、例えば会員の氏名、名称、電子メールアドレス、住所等の会員情報等を会員単位で記憶するものである。取引先端末６は、クライアントである各端末１からの取引要求に対する処理、例えば電子決済による処理、取引情報を記憶しかつ情報管理を行うものである。会員サーバ５には、前記会員情報の他、必要に応じて端末１に提供可能な情報、例えば会員に提供するサービスを実行する上で必要な処理ソフトウエア、例えば所要の書類を作成するための書類作成プログラムとか、さらには大容量サーバに端末１毎の取引内容及び履歴情報が記憶（保管及び管理）されていてもよい。

　なお、本発明におけるネットワーク通信システムは、以下の態様が一例として採用可能である。端末１は、専用のネットワークにのみ接続可能な専用端末としてもよいし、インターネットとの切り替えで他のネットワークにも接続可能な汎用端末のいずれでもよい。端末１内には、例えば汎用端末の場合、一般的な文書や図形の作成ソフトウエアを利用しての情報の作成、加工、記憶、更に通信用のソフトウエアを利用しての情報の送受信等の一般的な各処理を実行するプログラムファイル（汎用ＡＰ（application program）という）が格納されている。また、ＵＳＢメモリ２内には、特定のアプリケーションソフトウエアの実行に関連する処理を行うプログラムファイル（特定ＡＰという）が記憶されている。汎用ＡＰは、端末１内の元々のＭＢＲ、ローダによって読み出されるＯＳによって動作可能にされるものであり、特定ＡＰは、ＵＳＢメモリ２内のＭＢＲ、ローダ（または再起動プログラムによって起動されたＭＢＲ）によって読み出されるＯＳによって動作可能にされるものである。より具体的には、会員間である消費者、商店及び企業等の端末１には、特定ＡＰとして、商品やサービスの売買、見積もり乃至は請求、入出金に関する（いわゆる商取引に関する）各書類の作成と通信とを行うソフトウエア、及び必要に応じて所定の認証処理のソフトウエアが、ブート後にＵＳＢメモリ２からロードされる。すなわち、端末１は、特定ＡＰによって、一般的な商取引における決済、例えば業者店舗からの請求書の発行、受領や、購買者側から請求書発行元の契約金融機関の口座への入金（すなわち支払い）指示書、その受領書の発行の他、電子決済の如何を問わず種々の電子書面での送受信処理を可能とするものである。特定ＡＰは、各種書類をテキスト形式の、またバイナリー形式の電子ファイルとして作成可能である。電子ファイルは、例えば会員サーバ５を中継して（あるいは並行して）端末１間で授受される。各金融機関の端末１には、消費者や企業の端末１からの金融的な決済書面に従った決済指示処理（金融機関間での決済処理の指令等）を行う特定ＡＰもインストールされている。登録会員毎に固有の情報が書き込まれたＵＳＢメモリ２が配布される。会員はサービスの提供を受ける場合、このＵＳＢメモリ２を端末１のＵＳＢポートに差し込み、少なくともＵＳＢの正当性の認証処理を、好ましくはさらに個人認証（ＵＳＢメモリ２の正当所持者であることの認証）処理を受けた場合を条件としている。

　会員サーバ５は、各会員のファイル送受信履歴やそのファイル類等を管理用に記憶する記憶部を備えている。会員サーバ５は、認証機能を備えていてもよく、この場合、認証機能は、会員サーバ５と端末１との間で授受されるファイル、すなわちパケットを閲覧して、会員の正当性の有無の認証を行う態様としてもよい。

　また、本ネットワーク通信システムは、他に種々の適用例が考えられる。例えば秘密情報を作成、保管管理する、例えば公的乃至は準公的（民間含む）な機関である団体組織（国、自治体、協会、組合等含む）外にある端末１との間における情報通信・管理体制に適用する例を挙げることができる。団体組織外にある端末との間における情報通信としては、例えば証明書の発行、申請書の発送などが想定される。

　なお、ＴＣＰ／ＩＰ（transmission control protocol/internet protocol）規約に沿って形成されたパケットによって文書ファイルの送受信を行う場合、受信したパケットを元のファイルに戻したり、送信予定のファイルをパケットに置換して送信したりする。さらに、送信される各パケットのヘッダには、送信元である端末１のグローバルのＩＰアドレス、送信先である他の端末及び会員サーバのグローバルのＩＰアドレスが含まれる。

　図２に示すＮＩＣ（Network Interface Card）２８には図略のルータが装備され、乃至はルータとシリアルに接続されている。このルータは、例えば、送信信号乃至は受信信号としての各パケットの所定位置に付加されている送信先を示すアドレス情報が、インターネット用の規約に基づくグローバルＩＰアドレスか、このグローバルＩＰアドレスの付し方とは異なる（グローバルＩＰアドレスとは識別可能な形態である）専用ネットワーク用の、例えばイーサネット（登録商標）用等に準じた所定のローカルＩＰアドレス（ＭＡＣアドレス）かを識別するためのアドレス情報（ルーティングテーブルやａｒｐ（Address Resolution Protocol）テーブル）の設定を行うものである。パケットは、テーブルと照合されて、アドレスの一致したルートへのみ送信され、これにより伝送路をインターネット経由か、専用ネットワークかにソフトウエア的に切り換えることができる。

　図２において、ＵＳＢメモリ２は、略直方体形状の筐体内にマザーボード（図略）を備え、マザーボード上には各種の回路素子及び半導体素子が搭載されている。ハブ２０は、ＵＳＢメモリ２の入出力部に設けられ、端末１のＵＳＢポートを介して端末１と通信、電源供給可能に接続するものである。ＵＳＢメモリ２は、所定数の、例えば３系統の信号ラインを有し、入出力部にはそれぞれＵＳＢコントローラ２１（２１１，２１２，２１３）が設けられている。ＵＳＢコントローラ２１は、入出力される信号のレベルや波形成形を行うものである。

　ＵＳＢコントローラ２１１には、ＣＰＵ２２が接続されている、ＣＰＵ２２は、外部ブートを実行させるもので、そのための所定の処理プログラムを記憶するＲＯＭ２３及び処理内容を一時的に格納するＲＡＭ２４に接続されている。また、ＣＰＵ２２には、ＲＯＭ、本実施形態ではフラッシュＲＯＭ２５が接続されている。フラッシュＲＯＭ２５は、所定のダミーコードのデータを記憶するダミーコード記憶部２５０と、前述した特定ＡＰとしてのアプリケーションプログラム、周辺装置を動作させるドライバというプログラム及びＯＳを格納する各種ファイル記憶部２５１と、各種ファイル記憶部２５１を端末１にロードさせるためのプログラムであるローダを記憶するローダ記憶部２５２とを有する。ダミーコードは、ＭＢＲのマスターブートプログラムによって読み出され、端末１の起動メモリ領域１２０の所定域に書き込まれるもので、データ構造は後述する。

　ＵＳＢコントローラ２１２には、ＲＯＭ、本実施形態ではフラッシュＲＯＭ２６が接続されている。フラッシュＲＯＭ２６は、ＭＢＲを記憶するＭＢＲ記憶部２６１を有する。

　ＵＳＢコントローラ２１３には、ＣＰＵ２７が接続されている、ＣＰＵ２７は、ネットワーク３を介して他の端末１等と通信を行う場合の情報処理を実行するもので、そのための所定の処理プログラムを記憶するＲＯＭ２７１及び処理内容を一時的に格納するＲＡＭ２７２に接続されている。また、前述したように、ネットワーク３との接続を管理するＮＩＣ２８は、図略のルータを介してＩＳＰ４までの公衆通信回線と接続され、その網及びネットワーク３に対する通信制御を行うものである。ＣＰＵ２７は、フラッシュＲＯＭ２６と接続されており、ＵＳＢメモリ２が端末１に接続された状態において、ＭＢＲ記憶部２６１の内容を周期的に更新可能にしている。更新は、ＵＳＢメモリ２が端末１に接続される都度の１回（ブートの前後を問わない）でもよい。ＣＰＵ２７は、会員サーバ５に対してＭＢＲの更新要求を発信し、この更新要求を受けて会員サーバ５からＮＩＣ２８を介して新たなＭＢＲを受信すると、ＭＢＲ記憶部２６１のＭＢＲを、この受信内容に更新するようにしている。

　ＭＢＲの更新態様としては、内容の変更の他、要求毎に暗号方法が変更される態様としてもよい。すなわち、会員サーバ５は、予め複数の暗号及び復号プログラムを有しており、要求毎に、所定のルールにより又は無作為に選定した暗号化プログラムで暗号化し、対応する復号化プログラムを同時にあるいは時間差を置いて送信することで、ＣＰＵ２７側で復号して、ＭＢＲ記憶部２６１に更新的に書き込むようにしてもよい。このように更新によってＭＢＲを高い頻度で変更することができる。

　図３において、端末１のＣＰＵ１０は、ＲＯＭ１１及びＲＡＭ１２に記憶されたプログラムを実行することによって、ＢＩＯＳを起動させるＢＩＯＳ処理部１０１、ＭＢＲを起動させて正常リセットを行わせるＭＢＲ処理部１０２、ローダを起動させるローダ処理部１０３、ＵＳＢメモリ２との間で情報の授受を行う入出力処理部１０４、外部ブートによる起動後に特定ＡＰを用いて、また通常ブートによる起動後に汎用ＡＰを用いて文書作成その他種々の処理を実行する情報処理部１０５、及びＮＩＣやネットワークを介して他の端末１、会員サーバ５及び取引先端末６との間で情報の授受を行うネットワーク通信処理部１０６として機能する。

　ＢＩＯＳ処理部１０１は、端末１の電源投入を受けて、メモリや周辺機器の状態をチェックするＰＯＳＴ（Power On Self Test）処理ルーチンを有しており、このＰＯＳＴ処理ルーチンによって、ＵＳＢメモリ２が優先的に起動するように選択される。ＰＯＳＴ処理ルーチンによって、ＭＢＲのマスターブートプログラム（ブートストラップローダ）が、ＵＳＢメモリ２のＭＢＲ記憶部２６１から読み出されて、ＲＡＭ１２の起動時のワークエリアに書き込まれる。起動時におけるワークエリアは、所定の記憶容量、ここではアドレスライン２０ビット仕様、すなわち約１ＭByteを有する起動メモリ領域１２０である。ＭＢＲのマスターブートプログラムは起動メモリ領域１２０内の所定箇所であるＭＢＲ領域１２０１に書き込まれる。また、予め設定された領域には、割込ベクタテーブル１２０２が書き込まれる。割込ベクタテーブル１２０２は、例えばベクタ０の先頭アドレスがＲＡＭ１２の最小アドレスに一致するように設定されている。なお、ＵＳＢポートにＵＳＢメモリ２が装着されていない場合には、ＢＩＯＳ処理部１０１によって、優先順位の降順に従って、例えばＨＤＤ１２１からＭＢＲのプログラムが読み出され、これによって汎用タイプの端末として機能する。

　そして、ＢＩＯＳ処理部１０１は、正常であれば、マスターブートプログラムの書き込み後、ＣＰＵ１０の制御をマスターブートプログラムに渡すようにしている。

　ＭＢＲ処理部１０２は、マルウエアの動きを抑止するために、以下の２つの処理を実行する。第１の処理は、正常リセットのための処理であって、ＥＦＬＡＧＳの初期化処理、割込ベクタテーブル１２０２の初期化処理、リアルモードへの戻し処理及び割込ハンドラの設定処理を行う処理である。第１の処理は、より詳細には、書き込まれたマスターブートプログラムによって、（ｉ）チップセット１５内のレジスタの１つであるＥＦＬＡＧＳ１５２内のトラップフラグ（ＴＦ）をクリア、ＤＦフラグをセットし、さらにチップセット１５内のプロテクトモード用のＩＤＴＲ（InterruptDescriptor Table Register：割込ディスクリプタテーブルレジスタ）をリアルモード用のテーブルに書き換え、（ｉｉ）ダミーコードのうち、割込ベクタテーブルのベクタ１３（一般保護例外（General ProtectionFault）、例えばアクセスできない領域にアクセスした場合に指定されるベクタ）に対応するアドレス位置に上書きされるアドレス情報に一致する起動メモリ領域１２０上のアドレスに割込ハンドラ領域１２０３（図４参照）を書き込み、（ｉｉｉ）起動メモリ領域１２０内において、予めＢＩＯＳによって作成された割込ベクタテーブル１２０２の設定領域に対して所定のデータ量を有する上書き用のダミーコード（データ）を重畳的に書き込むものである。なお、割込ベクタテーブルは、例えばフラッシュＲＯＭ１１０に格納されており、ＢＩＯＳの動作によって起動メモリ領域１２０２に読み出される。

　本実施形態では、この第１の処理は、ＲＥＰ　ＩＮＳ命令、すなわちＣＰＵ１０からの１つの命令に基づいて、当該ＣＰＵ１０によって一連の連続動作として繰り返されることで、所定量を有するダミーコードの読み出し及び上書きが実行されるようにしている。これによれば、ＣＰＵ１０は、第１の処理の実行中、他の命令を受付けないものとなる。従って、仮にマルウエアが潜伏していたとしても、そのマルウエアが、第１の処理の期間中にＣＰＵ１０に介入することはできない。なお、前記（ｉｉｉ）の処理を実行するプログラムを第１のプログラムといい、前記（ｉｉ）の処理を実行するプログラムを第２のプログラムという。それぞれの内容の詳細は後述する。

　第２の処理は、第１の処理によって一般保護例外が発生することで行われる。一般保護例外は、ベクタ１３を介して割込ハンドラを起動し、起動メモリ領域１２０に所定のデータを書き込むことで正常リセットするものである。一般保護例外とは、例えばアドレス0x0000を下回ろうとした場合のような、アクセスできない領域にアクセスした場合に発生するものである。一般保護例外が発生すると、所定のデータが起動メモリ領域１２０に書き込まれ、これにより起動メモリ領域１２０が正常リセットされた環境となる。

　第２の処理の後には、ＭＢＲのマスターブートプログラムによるロード処理が行われる。ロード処理は、ローダ記憶部２５２からローダを読み出して、ＲＡＭ１２の起動メモリ領域１２０上に書き込む処理である。ＭＢＲ処理部１０２は、セキュリティ向上のため、ローダにダミーとなるデータ等を混在させて１Ｍbyte分の情報を作成し、この情報を起動メモリ領域１２０に読み出すようにしている。ＭＢＲ処理部１０２は、マスターブートプログラムによるローダの書き込みが終了したら、ローダに制御を渡す。

　ローダ処理部１０３は、ローダによって、ＯＳ等の起動に必要なドライバ等のファイルを各種ファイル記憶部２５１からＲＡＭ１２の起動メモリ領域１２０にロードするものである。なお、ＯＳ等を起動するための準備を行った上で、ＯＳ等のカーネルを起動する。こうしてＯＳ等が起動することとなり、次いで、制御が移されたローダによって特定ＡＰがＲＡＭ１２に書き込まれる。さらに、書き込まれた特定ＡＰ内の通信制御プログラムによって、前述したルータ（図略）に対して、会員の端末１等の間での通信を許可するルーティング設定が施される。なお、この状態は、端末１にロードされた特定ＡＰにより、あるいはＵＳＢメモリ２のＣＰＵ２２によって、端末１にＵＳＢメモリ２が装着されているか否かを周期的にチェックし、装着が継続されている間、維持されるようにすることが好ましい。あるいは、端末１において、起動後にＵＳＢメモリ２が抜かれたことを示す信号が検出されるまで、装着が継続されていると扱ってもよい。

　次に、図３において、ＣＰＵ２２は、ＲＯＭ２３に記憶されたプログラムを実行することによって、ブート毎に異なる情報を作成するデータ作成部２２１、端末１との間で情報の授受を処理する入出力処理部２２２、外部ブートによる起動後に特定ＡＰを用いて作成されたファイル等をＮＩＣ２８、ネットワーク３を介して他の端末１、会員サーバ５及び取引先端末６との間で授受するネットワーク通信処理部２２３として機能する。

　データ作成部２２１は、本実施形態では、起動メモリ領域１２０上で待機する割込ハンドラの配置アドレスを記述するベクタ１３の記録内容をブート毎に作成するものである。すなわち、割込ハンドラの配置位置は固定的でもよいが、例えばブート毎に、所定の方法で変更させることが、ワンタイムパスワードとして機能し、セキュリティ上、好ましい。所定の方法としては、乱数発生器からの乱数を利用した無作為に設定する方法や、タイマからの日時情報や予め格納されている会員情報等の少なくとも１つは変動する情報を用い、これらを所定のルールで合成等してより複雑な変動情報として作成する方法が採用可能である。

入出力処理部２２２は、ダミーコードのデータを複数回に分けて読み出すに際しての、分割された各ダミーコードの取得回数ＣＸ及び起動メモリ領域１２０上の書込位置ＤＩ（またはアドレス（ＥＳ：ＤＩ）。但し、ＥＳはセグメントを示す。）を対応付けてＲＡＭ２４に予め記憶する処理、及び端末１からの読み出し要求を受けて出力する処理を行うものである。

　ＲＯＭ２３は、各部２２１～２２３での処理を実行させるための処理プログラムを記憶する処理プログラム記憶部２３１、前述した会員を識別するための情報を記憶する会員情報記憶部２３２を備えている。

　続いて、図４について説明する。チップセット１５は、ＣＰＵ１０、各種レジスタ、例えば、処理データを一時的に保管するための汎用レジスタ１５１、ＣＰＵ１０の演算状態を示す値であるステークスレジスタの一種であるＥＦＬＡＧＳ１５２、その他図略の各種のレジスタ類を備えている。また、図４に示すように、起動メモリ領域１２０は、ＵＳＢメモリ２から読み出されたＭＢＲのマスターブートプログラムの展開領域（以下、ＭＢＲ展開領域という）１２０１、割込ベクタテーブル（interrupt vector table）１２０２、及び正常リセット処理のプログラムが記録された割込ハンドラ領域１２０３、及びローダ等が展開されるプログラム展開領域１２０４を有する。

　割込ベクタテーブル１２０２とは、割込が発生した場合に処理するプログラムの先頭のアドレスが格納されている対応表をいい、テーブルの内容によって割込に対応した処理が実行される。割込ベクタテーブル１２０２は、例えば上位、下位各１６ビット（bit）の計３２ビットからなるベクタを複数（通常、数十程度～それ以上の所定数）有して構成されている。各ベクタは各処理プログラムに対応しており、例えば、ベクタ０は外部からの割込を行うためのＩＮＴ０であり、ベクタ１も同様にＩＮＴ１であり、さらに、ベクタ１３は、前述したように一般保護例外である。

　割込ハンドラ領域１２０３は、起動メモリ領域１２０に正常リセットのための所定のデータを書き込むためのプログラムである。所定の情報とは、単に、値“０”とか“１”のデータでよい。プログラム展開領域１２０４は、ローダがマッピング可能なメモリ領域をいう。

　図５は、ＭＢＲ処理部１０２が実行する第１の処理における、主にダミーコードの割込ベクタテーブルへの上書き処理、及び第２の処理における一般保護例外に基づく正常リセット処理を説明する図である。

　まず、ダミーコードを所定のベクタ、特にベクタ０，１，１３に上書きする意義について説明する。ＢＩＯＳ動作中にＣＰＵ１０の制御を一時的に奪ったマルウエアによって割込ベクタテーブルのデータが改竄、特にＩＮＴ１を規定するベクタ１のデータが書き換えられて、マルウエアの潜伏位置を記述することが考えられる。また、ＢＩＯＳの動作期間中に、起動メモリ領域１２０にマルウエアを起動させる異常プログラムが配置されることが考えられる。そこで、割込ベクタテーブルのベクタ１については、書き換えられた可能性のある内容を書き直してマルウエアの挙動を抑止する処理を行わせる必要がある。また、ベクタ１３については、起動メモリ領域１２０上の前記異常プログラムを所定のデータの上書きによって消去するという、正常リセット処理のための割込ハンドラを確実に起動させる処理を行わせる必要がある。割込ハンドラを確実に起動させる処理は、ベクタ１３に割込ハンドラ領域１２０３の先頭アドレスを書き込むこと、及び後述するような一般保護例外を発生させる仕組みを作ることである。

　すなわち、ベクタ１３の一般保護例外を利用することで、ベクタ１３から割込ハンドラ領域１２０３に自動的に処理が移行する仕組みを構築する。すなわち、（ｉ）ダミーコードの書込アドレスを降順に読み出すためにＥＦＬＡＧＳ１５２のフラグＤＦを１にセットし、（ｉｉ）降順の書込アドレスが割込ベクタテーブル１２０２の左端アドレス“0x0000”を下回る不正なアクセスを発生させて一般保護例外を引き起こすようにしている。さらに、（ｉｉ）のためには、ベクタ１からベクタ０の方向への、すなわち降順に書込アドレスを生成させる必要がある。そこで、ベクタ０，１，１３を含み、かつ不正アクセス用のアドレスを生成させるためには、ダミーコードのビット数は、ベクタ０，１，１３の３個のベクタ及び不正アクセスを発生させる少なくとも１ビット分で足りる。なお、ベクタ１３とベクタ１，０及び不正アクセス分とは不連続であり、かつダミーコードの割込ベクタテーブルに対する上書き位置が明白となる傾向にある。そこで、より好ましい態様として、本実施形態では、ベクタ１３～０及び不正アクセスの少なくとも１ビット分のデータ量を有するダミーコードを作成し、書込アドレスをベクタ１３以上の所定のベクタからスタートさせて、最終的に不正アクセスが発生するように降順に指定するようにしている。

　図５は、この状態を示しており、ダミーコードは、所定のビット数、ここでは５１２ビット（bit）を有するものとし、スタートアドレスは５００ビット目としている。なお、５１２ビットを有するデータ列は、ＵＳＢメモリ２が一連の動作（ＲＥＰ　ＩＮＳ）で読み出し可能なデータ量である。すなわち、矢印（Ａ）で示すように降順にアドレスが生成されていくと、（本実施例では、１アドレスずつ生成するとして）５０１回目のアクセス時に不正アクセスが発生し、一般保護例外が発生する。一般保護例外が発生すると、ＣＰＵ１０は、矢印（Ｂ）に示すようにベクタ１３に移動する。ここで、ＣＰＵ１０はベクタ１３の記憶内容を読み取り、読み取った内容に一致する起動メモリ領域１２０のアドレス、すなわち矢印（Ｃ）に示すように割込ハンドラ領域１２０３の先頭アドレスに移動する。そして、ＣＰＵ１０は、割込ハンドラを実行して、正常リセット処理を行う。このダミーコードの上書き処理は、ＣＰＵ１０からの１つの命令によってＲＥＰ　ＩＮＳ処理で行われ、かつ正常リセット処理は、ダミーコードの上書き処理に連続して割り込みハンドラによって行われるため、ＣＰＵ１０からの１回の命令で両方の処理が済み、従って、その間、マルウエアがＣＰＵ１０に介入する機会はない。

　今、ＢＩＯＳにマルウエアが潜伏等（あるいはＢＩＯＳの立ち上げ中に外部から侵入）していたとして、ＢＩＯＳ起動中にマルウエアが動作して、ＥＦＬＡＧＳ１５２のフラグＴＦをセットし、割込ベクタテーブル１２０２のベクタ１をマルウエア本体の存在するアドレスに書き換えた場合を想定する。ＢＩＯＳ起動後、典型的にはＭＢＲ起動中に、ある命令が実行され、その後に、ＣＰＵ１０の制御がマルウエアに乗っ取られた（マルウエアによるデバッグ割込が発生した）と想定する。このとき、制御は、ベクタ１に書き込まれているアドレスに遷移し、マルウエアによる動作（マルウエアの複製、データ改竄や破壊等）が実行されることになる。その後、ＣＰＵ１０の制御がＢＩＯＳからＭＢＲに渡されると、割込ベクタテーブルのベクタのうち、正常リセットに必要なベクタの内容をダミーコードで書き換えるので、マルウエア本体の存在するアドレス情報は実質削除される。さらに、一般保護例外によって、起動メモリ領域１２０も正常リセット処理され、仮に潜伏しているマルウエア自身も消去されることになる。すなわち、マルウエアは、ＢＩＯＳ起動中に挙動のための仕掛けをしたとしても、ＭＢＲが起動されると、その挙動のための情報が全て消去されることとなり、この結果、その後の挙動が抑止されることになる。

　次に、ＭＢＲのマスターブートプログラムのＲＥＰ　ＩＮＳについて説明する。ダミーコードのデータは、複数に分割、本実施形態では５１２に分割されている。分割ダミーコードの読み出し方向は、ここでは後端から前端側に向けて行われる。

マスターブートプログラムを実行するＣＰＵ１０は、
（１）ＵＳＢメモリ２へ、ダミーコードのデータ要求（ＯＵＴ　ＡＥ）を出力する。なお、ＡＥはダミーコードが記憶されたＵＳＢ２のダミーコード記憶部２５０のアドレスである。

（２）ＵＳＢメモリ２から、分割されているダミーコードを取得する（ＩＮ　ＤＩ）。なお、ＤＩは書込アドレスである。

（３）取得回数ＣＸをカウントする（ＩＮ　ＣＸ）。ＣＸは、一般保護例外を発生するためには、本実施形態においては、値５０１までは、少なくともカウントされるように設定されている必要がある。このようにしておけば、５００ビット目から０ビット目に向かって降順にアドレスが指定でき、かつ０ビット目を下回る、５０１回目のアドレスの指定（不正アクセス）が可能となる。

（４）そして、繰り返し処理（ＲＥＰ　ＩＮＳ　ＥＳ：ＤＩ）によって（１）～（３）の処理がダミーコードのロードについて終了する（正しくは、一般保護例外が発生する）まで繰り返される。なお、ＥＳ：ＤＩは起動メモリ領域１２０上の書込アドレスである。

　続いて、図６～図８により、ＣＰＵ１０、ＣＰＵ２２におけるブート処理を説明する。図６は、端末１のＣＰＵ１０によって実行されるＢＩＯＳの起動処理の手順を説明するフローチャートである。まず、端末１の電源がオンされ（ステップＳ１）、すなわちマザーボード上のクロックジェネレータが電源供給を受けてクロックパルスを出力し始めると、メモリや周辺機器のデバイスのチェック（ＰＯＳＴ処理）が開始される（ステップＳ３）。次いで、ＵＳＢポートにＵＳＢメモリ２が装着されているか否かの判断が、例えば公知のハンドシェイク信号の授受を利用するなどして確認される。

　なお、以降においては、端末１のＵＳＢポートにＵＳＢメモリ２が装着されているという前提で述べる。すなわち、ＵＳＢポートにＵＳＢメモリ２が装着されていると、優先順位に従い、ＢＩＯＳ起動ルーチンによってＭＢＲのマスターブートプログラムがＲＡＭ１２の起動メモリ領域１２０に書き込まれる（ステップＳ５）。

　次いで、ＭＢＲのマスターブートプログラムの読み出しが終了したか否かが判断され（ステップＳ７）、終了したのであれば、ＭＢＲのマスターブートプログラムに制御が移される（ステップＳ９）。一方、ＭＢＲのマスターブートプログラムの書き込みが終了していないのであれば、ステップＳ５に戻って同様の処理が繰り返される。

　図７は、ＵＳＢメモリ２のＣＰＵ２２によって実行されるダミーコードの書換処理の手順を説明するフローチャートである。まず、端末１のＵＳＢポートを介して電源供給を受けて、ＵＳＢメモリ２が起動したか否かが判断される（ステップ＃１）。この判断は、例えば図略のクロックジェネレータからのクロックパルスの発生を検出することで行う態様でもよい。

　ＵＳＢメモリ２が起動したと判断されると、続いて、端末１からのＭＢＲの読出要求の有無が判断される（ステップ＃３）。ＭＢＲの読出要求があった場合（ステップ＃３でＹｅｓ）、ＣＰＵ１０によってＭＢＲの読み出しが実行されることになる。一方、ＭＢＲの読出要求があると、ダミーコードのうち、割込ベクタテーブル１２０２のベクタ１３に対応するビット位置の情報が、無作為にあるいは所定のルールに従って作成される（ステップ＃５）。次いで、作成された情報が割込ハンドラの配置アドレスとして設定される（ステップ＃７）。この後、ＣＰＵ２２は、ダミーコード読出要求の待機状態に移行する（ステップ＃９）。この結果、ブートの毎に、割込ハンドラ領域１２０３の配置位置が変更されるので、セキュリティがより向上する。

　図８は、端末１のＣＰＵ１０によって実行されるＭＢＲ実行処理の手順を説明するフローチャートである。まず、ＥＦＬＡＧＳのフラグＴＦのリセット、フラグＤＦのセットが行われる（ステップＳ２１）。なお、フラグＴＦのリセットは、プログラムの実行手順がマルウエアによってシングルステップモードになっている可能性があることを考慮して、これを解除するものである。

　次いで、ＲＥＰ　ＩＮＳ処理を有するプログラム（ＭＢＲのマスターブートプログラムの一部に相当）を実行させるべく、ＲＥＰ　ＩＮＳ命令が発行される（ステップＳ２３）。そして、ＵＳＢメモリ２から、順次ダミーコードが読み出され、アドレス（ＥＳ：ＤＩ）に順次書き込まれる（ステップＳ２５）。アドレス（ＥＳ：ＤＩ）は、本実施形態では、割込ベクタテーブル１２０２の５００ビット目の位置から降順である。次いで、一般保護例外が発生したか否かが判断される（ステップＳ２７）。発生していなければ、ステップＳ２５に戻って、ダミーコードの読出処理が繰り返される。

　一方、一般保護例外が発生したのであれば、ベクタ１３に対応する位置の記憶内容が読み取られ、さらに読み取られたアドレスに移行して（ステップＳ２９）、当該アドレスの記憶内容が読み取られる。このアドレスは割込ハンドラ領域１２０３の先頭アドレスであることから、この時点から割込ハンドラのプログラムの実行、すなわち正常リセット処理が開始される（ステップＳ３１）。なお、正常リセット処理の終了時に、ＥＦＬＡＧＳの初期化処理や割込ベクタテーブルの設定処理が実行されてもよい。

　次いで、正常リセット処理が終了したか否かが判断され（ステップＳ３３）、終了していなければ、ステップＳ３１に戻る。一方、正常リセット処理が終了したのであれば、ローダのロード処理が開始される（ステップＳ３５）。そして、ローダのロードが終了した後、ＣＰＵ１０の制御がＭＢＲからローダに渡される（ステップＳ３７）。従って、ローダは、正常リセットされた環境で展開されることになる。

　なお、本発明は、以下の態様を採用することが可能である。

（１）本実施形態では、外部デバイスとしてＵＳＢを採用したが、これに限定されず、少なくとも、ＣＰＵ及びＲＯＭ、ＲＡＭを内蔵するデバイスであればよい。例えばＩＣカードでもよいし、携帯型の通信機器に内蔵された態様であってもよい。

（２）本実施形態では、ＲＥＰ　ＩＮＳを利用してＣＰＵ１０による１回の命令で、所定量のダミーコードを連続して、いわば一括的に起動メモリ領域に転送したが、ＲＥＰ　ＩＮＳに代えて、ＤＭＡＣ（DirectMemory Access controller）チップを用いてダミーコードを起動メモリ領域１２０にロードする態様でもよい。ＤＭＡＣとは、ＣＰＵ１０の制御を受けることなく、実行命令が発行されることで、端末１とＵＳＢメモリ２間のバスの制御を管理することによって情報の授受を行うバスマスタ方式のコントローラ（回路）である。

（３）本実施形態では、割込ハンドラによって、起動メモリ領域１２０を正常リセットしたが、この範囲に限定されず、ＲＡＭ１２の全体に対して正常リセット処理を施す態様としてもよい。

（４）本実施形態では、割込ベクタテーブルのベクタ０がＲＡＭ１２の最小アドレス位置に合わされており、降順でアドレス指定するようにして不正アクセスを発生させるようにしたが、この態様に限定されない。例えば、本実施形態とは逆に、最大となるベクタの位置が、ＲＡＭ１２の最大アドレス一致している場合では、アドレスを昇順とし、ベクタ１，１３及び最大ベクタを超えた不正アクセス１個分のアドレス数、及びベクタ１，１３のダミーコードで足りる。また、マルウエアの挙動を完全に抑止するためには、ＩＮＴ機能を有するベクタの全てをダミーコードで書き換えることが、さらに好ましい。

　以上のとおり、本発明に係る外部ブートデバイスは、ＣＰＵを備える情報処理装置に装着して前記情報処理装置をブートする外部ブートデバイスであって、前記情報処理装置のＢＩＯＳが前記ＣＰＵによって実行されることによって前記情報処理装置の起動メモリ領域に書き込まれるように設定された起動プログラムであって、書込後に前記ＣＰＵからの一つの命令に基づいて実行され、所定ビット数分のダミーコードを割込ベクタテーブルに上書きすると共に一般保護例外を発生させる第１のプログラム、及び前記一般的保護例外の発生によって実行される正常リセット処理のための正常リセットプログラムを割込ハンドラとして設定するための第２のプログラムからなる起動プログラムが記憶された起動プログラム記憶部を備えたことを特徴とするものである。この発明によれば、ウイルス等のマルウエアの動きが抑止される。

　また、本発明に係る外部ブートデバイスにおいて、前記一つの命令は、ＲＥＰ　ＩＮＳ命令であり、前記ＲＥＰ　ＩＮＳ命令を受けて前記第１のプログラムが実行されることが好ましい。この構成によれば、起動プログラムからの命令としてＲＥＰ　ＩＮＳが発令されると、ＣＰＵは、所定量のダミーコードをあるデータ量ずつ繰り返して外部ブートデバイスから読み出して、起動メモリ領域に書き込む。すなわち、外部ブートデバイスから起動メモリ領域へ、ある程度のデータ量のダミーコードの転送が１つの命令で実行される。従って、仮にマルウエアが潜伏等していたとしても、所定ビット数分のダミーコードの転送期間中は、マルウエアにＣＰＵの制御が移ることがない。しかも、この期間中に、マルウエアによって書き換えられた可能性のある割込ベクタテーブル内の所定のベクタの内容を所定ビット数分のダミーコードによって再書き換えすることで、マルウエアの挙動（動き）を抑止させることが可能となる。

　また、本発明に係る外部ブートデバイスにおいて、前記ダミーコードは、前記割込ベクタテーブルのうち、少なくともベクタ０，１，１３の３個分のビット数を有し、前記起動プログラムは、前記ダミーコードを少なくとも前記割込ベクタテーブルのベクタ１３に、及び少なくともベクタ１からベクタ０の方向に向けて読み出すものであり、前記所定ビット数は、前記上書き対象のベクタの数に対応するビット数より大きく、前記ダミーコードのうちベクタ１３に上書きされるデータは、前記割込ハンドラの先頭アドレスであることが好ましい。

　上記において、割込ベクタテーブルとは、割込が発生した場合に処理するプログラムの先頭のアドレスが格納されている対応表をいい、テーブルの内容によって割込に対応した処理が実行される。割込ベクタテーブルは、例えば上位、下位各１６ビットからなるベクタを複数有して構成され、一般的には起動メモリ領域の所定箇所（ベクタ０の先頭アドレスが値０）に設定されている。各ベクタは各処理プログラムに対応しており、例えば、ベクタ０，１は外部からの割込を行うためのＩＮＴ０、ＩＮＴ１であり、さらにベクタ１３は前述したように一般保護例外である。ＩＮＴ命令のベクタ領域には、割込が発生した時に遷移先となるアドレス、すなわち実行するべきプログラムが書き込まれている領域の先頭アドレスが書き込まれている。

　今、ＢＩＯＳにマルウエアが潜伏等（あるいはＢＩＯＳの立ち上げ中に外部から侵入）していたとして、ＢＩＯＳ起動時にマルウエアが動作して、割込ベクタテーブルのベクタ１（ＩＮＴ１）にマルウエア本体の存在するアドレスが書き込まれている場合を想定する。ＢＩＯＳ起動後、起動プログラム、典型的にはＭＢＲ起動中に、ある命令が実行され、その後に、ＣＰＵの制御がマルウエアに乗っ取られた（マルウエアによるデバッグ割込が発生した）と想定する。このとき、制御は、ベクタ１に書き込まれているアドレスに遷移し、マルウエアによる動作（マルウエアの複製、データ改竄や破壊等）が実行されることになる。

　そこで、本発明の構成によれば、起動プログラムの読み出しに続いて、第１のプログラムを実行させる。この場合に、ダミーコードは、少なくとも３個分のベクタに相当するビット数を有し、これらのベクタにベクタ１３、さらにベクタ１からベクタ０の方向に向けて上書きが行われるように書き込みアドレスが設定される。しかも、ダミーコードのビット数は、上書き対象のベクタが３個とした場合、ベクタ１３，１，０の合計ビット数より大きく設定されていることから、ベクタ０の上書きが終了した後に、存在しないアドレス（ベクタ０のアドレス以下、すなわち負のアドレス）を指定することになって、一般保護例外が発生する。一般保護例外が発生すると、ＣＰＵは、ベクタ１３に移行し、ベクタ１３に記録されているアドレスを読み取って、当該アドレスに移行する。このアドレスには、割込ハンドラの先頭アドレスであることから、割込ハンドラのプログラム、すなわち正常リセットのための所定のデータによる起動メモリ領域の書き換え処理が実行される。従って、仮に、マルウエアによるデータ改竄等が行われていたとしても、マルウエアの挙動を抑止する他、正常リセット処理によってクリアな環境を取り戻すことが可能となる。

　また、本発明に係る外部ブートデバイスにおいて、前記ダミーコードの所定ビット数は、前記割込ベクタテーブルのベクタ０からベクタ１３までのビット数を超えるビット数ｎであり、前記第１のプログラムは、前記ダミーコードを前記割込ベクタテーブルのベクタ１３以上の所定のベクタからベクタ０の方向に向けて読み出すものであり、前記第１のプログラムによる前記割込ベクタテーブルへの読み出し位置は、前記ベクタ０から前記ビット数ｎ未満となる位置であることが好ましい。

　この構成によれば、ダミーコードはベクタ１３より上のあるベクタからベクタ０に向けて連続して上書きされていく。従って、ベクタ１３，ベクタ１の内容を書き換えるので、ベクタ１３に割込ハンドラのアドレスを、ブート毎に設定することが可能となる。また、ベクタ１も強制的に書き換えられるので、仮にマルウエアの潜伏位置情報が記録されていたとしてもダミーコードの上書きによって消去されることになる。

　また、本発明に係る外部ブートデバイスにおいて、前記ベクタ１３に上書きされるデータをブート毎に設定するデータ作成手段を備えることが好ましい。この構成によれば、ブートのたびに、割込ハンドラの書き込み位置が設定されるので、いわゆるワンタイムパスワード的にアドレスの変更設定が可能となり、耐タンパ性が向上する。

　また、本発明に係る外部ブートデバイスにおいて、前記正常リセットプログラムは、前記起動メモリ領域に所定のデータを書き込むものであることが好ましい。この構成によれば、所定データを単純なデータ、例えば値“０”とか“１”等のデータとすることで、データ量を抑制でき、また、その都度作成することができることから、外部ブートデバイスに予め記録しておいて、ブート毎に読み出すという作業を不要にすることも可能である。

　また、本発明に係る外部ブートデバイスにおいて、前記起動プログラムによって前記情報処理装置の起動メモリ領域に書き込まれ、前記正常リセット処理の後に実行されるローダプログラムが記憶されたローダ記憶部を備えたことが好ましい。この構成によれば、起動プログラムによって、正常リセット後の起動メモリ領域にローダ（ＯＳやアプリケーションをロードするためのプログラム）が読み出されて展開される。この結果、ローダはマルウエアが存在せず、挙動もできないメモリ空間に展開可能となる。

　１　端末（情報処理装置）
　１０，２２　ＣＰＵ
　１１　ＲＯＭ
　１２　ＲＡＭ
　１０１　ＢＩＯＳ処理部
　１０２　ＭＢＲ処理部
　１０３　ローダ処理部
　１０４　入出力処理部
　１１０　フラッシュＲＯＭ
　１２　ＲＡＭ
　１２０　起動メモリ領域
　１２０１　ＭＢＲ展開領域
　１２０２　割込ベクタテーブル
　１２０３　割込ハンドラ領域
　１５　チップセット
　２　ＵＳＢメモリ（外部ブートデバイス）
　２２１　データ作成部（データ作成手段）
　２２２　入出力処理部
　２５０　ダミーコード記憶部
　２６１　ＭＢＲ記憶部（起動プログラム記憶部）
　３　ネットワーク

Claims

ＣＰＵを備える情報処理装置に装着して前記情報処理装置をブートする外部ブートデバイスであって、
　前記情報処理装置のＢＩＯＳが前記ＣＰＵによって実行されることによって前記情報処理装置の起動メモリ領域に書き込まれるように設定された起動プログラムであって、書込後に前記ＣＰＵからの一つの命令に基づいて実行され、所定ビット数分のダミーコードを割込ベクタテーブルに上書きすると共に一般保護例外を発生させる第１のプログラム、及び前記一般保護例外の発生によって実行される正常リセット処理のための正常リセットプログラムを割込ハンドラとして設定するための第２のプログラムからなる起動プログラムが記憶された起動プログラム記憶部を備えたことを特徴とする外部ブートデバイス。
前記一つの命令は、ＲＥＰ　ＩＮＳ命令であり、前記ＲＥＰ　ＩＮＳ命令を受けて前記第１のプログラムが実行されることを特徴とする請求項１に記載の外部ブートデバイス。
前記ダミーコードは、前記割込ベクタテーブルのうち、少なくともベクタ０，１，１３の３個分のビット数を有し、
　前記起動プログラムは、前記ダミーコードを少なくとも前記割込ベクタテーブルのベクタ１３に、及び少なくともベクタ１からベクタ０の方向に向けて読み出すものであり、
　前記所定ビット数は、前記上書き対象のベクタの数に対応するビット数より大きく、
　前記ダミーコードのうちベクタ１３に上書きされるデータは、前記割込ハンドラの先頭アドレスであることを特徴とする請求項１又は２に記載の外部ブートデバイス。
前記ダミーコードの所定ビット数は、前記割込ベクタテーブルのベクタ０からベクタ１３までのビット数を超えるビット数ｎであり、
　前記第１のプログラムは、前記ダミーコードを前記割込ベクタテーブルのベクタ１３以上の所定のベクタからベクタ０の方向に向けて読み出すものであり、
　前記第１のプログラムによる前記割込ベクタテーブルへの読み出し位置は、前記ベクタ０から前記ビット数ｎ未満となる位置であることを特徴とする請求項３に記載の外部ブートデバイス。
前記ベクタ１３に上書きされるデータをブート毎に設定するデータ作成手段を備えたことを特徴とする請求項３又は４に記載の外部ブートデバイス。
前記正常リセットプログラムは、前記起動メモリ領域に所定のデータを書き込むものであることを特徴とする請求項１～５のいずれかに記載の外部ブートデバイス。
前記起動プログラムによって前記情報処理装置の起動メモリ領域に書き込まれる、前記正常リセット処理の後に実行されるローダプログラムが記憶されたローダ記憶部を備えたことを特徴とする請求項１～６のいずれかに記載の外部ブートデバイス。
請求項１～７のいずれかに記載の外部ブートデバイスと、前記外部ブートデバイスを介して互いに通信可能にネットワークに接続された複数の前記情報処理端末とを有するネットワーク通信システム。