WO2015097889A1

WO2015097889A1 - 情報処理装置及び情報処理方法及びプログラム

Info

Publication number: WO2015097889A1
Application number: PCT/JP2013/085193
Authority: WO
Inventors: 松本　光弘
Original assignee: 三菱電機株式会社
Priority date: 2013-12-27
Filing date: 2013-12-27
Publication date: 2015-07-02
Also published as: GB2536384A; US20170054742A1; JPWO2015097889A1; CN105849741A; GB201610816D0

Abstract

　受信部（１１１）は、データ処理システム（１０６）で発生したデータ通信のログ情報を通信ログ情報として受信する。攻撃端末ログ情報特定部（１１３）は、データ処理システム（１０６）で行われたデータ処理のログ情報である複数の処理ログ情報の中から、通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索する。端末ログ情報改ざん検出部（１１４）は、攻撃端末ログ情報特定部（１１３）により該当する処理ログ情報が検索されない場合に、複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する。

Description

情報処理装置及び情報処理方法及びプログラム

　本発明は、情報セキュリティ技術に関する。

　特許文献１は、マルウェアに感染した感染範囲を特定する感染範囲特定装置を開示している。
　特許文献１の感染範囲特定装置は、アンチウイルスソフトを用いて、マルウェアに感染したファイルを特定し、特定したファイルにアクセスした端末を特定することによって、感染範囲の特定を行っている（特許文献１）。
　また、特許文献２では、パケットのシグネチャを用いて、マルウェアを特定するとともに、パケットの送り元／送り先から、感染経路を特定する感染経路特定装置が開示されている。
　また、特許文献３では、潜伏タイプのマルウェアを検出するマルウェア検出装置が開示されている。
　特許文献３のマルウェア検出装置は、マルウェアの通信の特徴を捉えることによって、感染端末に指令を出すサーバ装置や感染端末を特定する。
　また、特許文献４では、マルウェアの特徴的な動作であるレジストリやプログラムの書きかえ動作を監視し、マルウェアの感染を検知するファイルアクセス監視装置が開示されている（特許文献４）。

特許第４７０５９６１号特開２０１１－１０１１７２号公報特開２００９－１１０２７０号公報特開２００５－１４８８１４号公報

　しかしながら、特許文献１～４は、標的型攻撃に対処できないという課題がある。
　標的型攻撃では、攻撃者がデータ処理システム内の端末に侵入し、侵入した端末に攻撃者がマルウェアをダウンロードする。
　そして、攻撃者は、マルウェアがダウンロードされた端末を用いてデータ処理システム内でマルウェアの感染範囲を拡大させていく。
　このような標的型攻撃によるマルウェアの感染範囲を特定するためには、端末のログ情報を解析して攻撃者が端末に侵入した後の行動を追跡することが必要である。
　しかしながら、攻撃者の行動を隠ぺいするために攻撃者が端末のログ情報を改ざんする場合がある。
　攻撃者が端末のログ情報を改ざんしている場合には、改ざん後のログ情報を解析しても攻撃者の行動は追跡することはできない。
　しかし、端末ログが改ざんされていることを特定することができれば、端末が感染していることを特定することができる。
　このように、マルウェアの感染範囲を特定するにあたり、ログ情報が改ざんされているかどうかを見極めることは非常に重要である。

　本発明は、このような事情に鑑みたものであり、ログ情報が改ざんされているかどうかを判定する構成を得ることを主な目的とする。

　本発明に係る情報処理装置は、
　データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信部と、
　前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索部と、
　前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する改ざん判定部とを有することを特徴とする。

　本発明によれば、複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていることを判定することができる。

実施の形態１に係るシステム構成例を示す図。実施の形態１に係る感染範囲特定装置の動作例を示すフローチャート図。実施の形態１に係るネットワーク構成例を示す図。実施の形態１に係る攻撃シナリオ検知情報の例を示す図。実施の形態１に係る端末ログ情報（プロセスログ情報）の例を示す図。実施の形態１に係る攻撃端末ログ情報（プロセスログ情報）の例を示す図。実施の形態１に係る端末ログ情報（アクセスログ情報）の例を示す図。実施の形態１に係る攻撃端末ログ情報（アクセスログ情報）の例を示す図。実施の形態１に係る通信ログ情報の例を示す図。実施の形態１に係る攻撃通信ログ情報の例を示す図。実施の形態１に係るリクエストの例を示す図。実施の形態１に係るリクエストの例を示す図。実施の形態１に係る端末感染情報の例を示す図。実施の形態１に係る感染範囲特定装置のデータフローの例を示す図。実施の形態１に係る感染範囲特定装置のデータフローの例を示す図。実施の形態１に係る感染活動端末ログ情報（プロセスログ情報）の例を示す図。実施の形態１に係る感染活動端末ログ情報（アクセスログ情報）の例を示す図。実施の形態１に係る感染活動通信ログ情報の例を示す図。実施の形態１に係るポート番号一覧の例を示す図。実施の形態１に係るリクエストの例を示す図。実施の形態１に係るリクエストの例を示す図。実施の形態１に係るリクエストの例を示す図。実施の形態１～４に係る感染範囲特定装置のハードウェア構成例を示す図。

　実施の形態１．
　図１は、本実施の形態に係る感染範囲特定装置１０１を含むシステム構成例を示す。

　感染範囲特定装置１０１は、データ処理システム１０６で記録されているログ情報に改ざんがあるかどうかを調査する。
　また、感染範囲特定装置１０１は、マルウェアの感染範囲を特定する。
　感染範囲特定装置１０１は、情報処理装置の例である。

　セキュリティ機器１０３は、通信ログ情報を通信ログ記録装置１０４に記録する。
　通信ログ記録装置１０４は、例えば、図９に示す形式で、通信ログ情報を記録する。
　通信ログ情報には、日付、時刻、状態、サービス、アクセス元ホスト、アクセス先ホスト、プロトコル、アクセス元ポート、アクセス先ポートといった、データ通信の属性を表す通信属性値が記述されている。
　セキュリティ機器１０３は、例えば、ＦＷ（ファイアウォール）やＩＤＳ／ＩＰＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ／Ｉｎｔｒｕｓｉｏｎ　Ｐｒｅｖｅｎｔｉｏｎ　Ｓｙｓｔｅｍ）、プロキシサーバが考えられる。

　攻撃検知装置１０２は、通信ログ記録装置１０４に記録された通信ログ情報を分析し、攻撃を検知する。
　また、攻撃検知装置１０２は、検知した攻撃に関係するデータ通信（以下、攻撃データ通信という）の通信ログ情報を、攻撃通信ログ情報として感染範囲特定装置１０１に送信する。
　例えば、攻撃検知装置１０２は、図１０に示す攻撃通信ログ情報を感染範囲特定装置１０１に送信する。
　また、攻撃検知装置１０２は、通信ログ情報を分析した結果、例えば、図４に示す攻撃シナリオ検知情報に、クライアント端末１２１ごと、サーバ端末１２２ごとに攻撃の進展度合いを記録する。
　図４において、「１．攻撃準備」は、攻撃者が標的とする組織のＷｅｂページを閲覧したり、組織が刊行している冊子等から標的型メールを作成したり、組織に適したマルウェアを作成する段階である。
　「２．初期潜入」は、攻撃者が標的型メール等によって、標的となる組織に接触しマルウェアを送り込む段階である。
　「３．攻撃基盤構築」は、マルウェアが起動し、情報収集に必要な攻撃基盤を構築する段階であり、一つの端末において標的型攻撃に添付されたマルウェアやＵＲＬ等がクリックされ、マルウェアが組織に感染する段階を含んでいる。
　「４．システム調査段階」は、攻撃者が、マルウェアに感染した端末から社内システムの調査を行う段階であり、より重要な情報を取得するために、次々と他端末を感染させる段階である。
　「５．最終目的遂行段階」は、情報の漏洩や、システム破壊が発生する段階である。
　図４において、「攻撃あり」とは、通信ログ情報から攻撃が検出されたことを示し、「攻撃なし」とは、通信ログ情報から攻撃が検出されなかったことを示し、「兆候あり」とは、通信ログ情報から攻撃の兆候が検出されたことを示す。
　図４では、例えば、通信ログ情報から、クライアント端末１２１ａに対して攻撃ステップ１～３の攻撃の兆候が検出され、攻撃ステップ４の攻撃が検出されたが、攻撃ステップ５の攻撃は検出されなかったことが示されている。

　監視装置１０７は、感染範囲特定装置１０１で得られたマルウェアの感染範囲を表示する。
　攻撃検知装置１０２により攻撃が検知された際に、ネットワークセキュリティ管理者は被害範囲の特定結果を監視装置１０７から確認することができる。

　データ処理システム１０６は、複数のクライアント端末１２１と複数のサーバ端末１２２で構成される。
　クライアント端末１２１とサーバ端末１２２を区別する必要がないときは、両者をまとめて端末という。
　データ処理システム１０６では、クライアント端末１２１ごとにクライアント端末ログ記録装置１３１が設けられ、また、サーバ端末１２２ごとにサーバ端末ログ記録装置１３２が設けられている。
　クライアント端末１２１は、クライアント端末１２１で行われたデータ処理のログ情報である端末ログ情報をクライアント端末ログ記録装置１３１に格納する。
　また、サーバ端末１２２は、サーバ端末１２２で行われたデータ処理のログ情報である端末ログ情報をサーバ端末ログ記録装置１３２に格納する。
　クライアント端末ログ記録装置１３１及びサーバ端末ログ記録装置１３２は、処理ログ情報データベースの例に相当する。
　端末ログ情報は、図５に示すプロセスログ情報と図７に示すアクセスログ情報がある。
　プロセスログ情報及びアクセスログ情報には、それぞれ、クライアント端末１２１又はサーバ端末１２２でのデータ処理の属性を表す処理属性値が記述されている。
　つまり、プロセスログ情報では、図５に示すように、日付、時刻、ホスト名、ユーザ（アカウント）、プロセス（実行ファイル）という処理属性値が記述されている。
　また、アクセスログ情報では、図７に示すように、日付、時刻、アクセス元ホスト、アクセス先ホスト、アクセス元ユーザ、アクセス先ユーザ、アクセスファイル、イベントという処理属性値が記述されている。
　以下では、プロセスログ情報は、端末ログ情報（プロセスログ情報）とも表記し、アクセスログ情報は、端末ログ情報（アクセスログ情報）とも表記する。
　また、端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）を区別する必要がないときは、両者をまとめて端末ログ情報という。
　端末ログ情報（プロセスログ情報）及び端末ログ情報（アクセスログ情報）は、処理ログ情報の例に相当する。

　図１に示す各要素は、例えば、図３に示すように接続されている。
　図３において、スイッチ１０８は、データ処理システム１０６内のクライアント端末１２１及びサーバ端末１２２と、感染範囲特定装置１０１と、攻撃検知装置１０２と、セキュリティ機器１０３を接続する。
　セキュリティ機器１０３は、インターネット１０９と接続されており、データ処理システム１０６内のクライアント端末１２１及びサーバ端末１２２とインターネット１０９との間のデータ通信を中継する。
　そして、セキュリティ機器１０３は、クライアント端末１２１及びサーバ端末１２２とインターネット１０９との間のデータ通信について通信ログ情報を通信ログ記録装置１０４に格納する。

　次に、図１に示す感染範囲特定装置１０１の内部構成を説明する。

　受信部１１１は、攻撃検知装置１０２から攻撃通信ログ情報を受信する。

　送信部１１２は、マルウェアの感染範囲を示す端末感染情報を監視装置１０７に送信する。
　端末感染情報は、例えば、図１３に示す情報である。
　端末感染情報では、クライアント端末１２１ごと、サーバ端末１２２ごとに、マルウェアの感染又はログの改ざんが検知された日、時刻、マルウェアの感染有無、ログの改ざん有無、攻撃ユーザ、検知されたマルウェア、攻撃ステップ（図４の攻撃ステップ）が示される。

　攻撃端末ログ情報特定部１１３は、受信部１１１が受信した攻撃通信ログ情報に基づき、クライアント端末ログ記録装置１３１及びサーバ端末ログ記録装置１３２の端末ログ情報（プロセスログ情報）及び端末ログ情報（アクセスログ情報）の中から、攻撃データ通信に関係するデータ処理の端末ログ情報を検索する。
　攻撃データ通信に関係する端末ログ情報として、攻撃端末ログ情報特定部１１３が検索した端末ログ情報（プロセスログ情報）を攻撃端末ログ情報（プロセスログ情報）という。
　また、攻撃データ通信に関係する端末ログ情報として、攻撃端末ログ情報特定部１１３が検索した端末ログ情報（アクセスログ情報）を攻撃端末ログ情報（アクセスログ情報）という。
　例えば、攻撃端末ログ情報特定部１１３は、図６に示す攻撃端末ログ情報（プロセスログ情報）を検索し、また、図８に示す攻撃端末ログ情報（アクセスログ情報）を検索する。
　なお、攻撃端末ログ情報（プロセスログ情報）と攻撃端末ログ情報（アクセスログ情報）を区別する必要がないときは、両者をまとめて攻撃端末ログ情報という。
　攻撃端末ログ情報特定部１１３は、ログ情報検索部の例に相当する。

　端末ログ情報改ざん検出部１１４は、攻撃端末ログ情報特定部１１３により攻撃端末ログ情報が検索されない場合に、端末ログ情報が改ざんされていると判定する。
　より具体的には、端末ログ情報改ざん検出部１１４は、攻撃通信ログ情報で通知されているクライアント端末１２１又はサーバ端末１２２の端末ログ情報が改ざんされていると判定する。
　攻撃データ通信によって攻撃者が端末に侵入した場合は、マルウェアのダウンロード等のデータ処理が端末で行われるので、通常であれば、このようなデータ処理の履歴が端末ログ情報に残っている。
　従って、端末ログ情報の改ざんがなければ、攻撃データ通信から生じたデータ処理が記述された端末ログ情報が攻撃端末ログ情報として検索されるはずである。
　攻撃端末ログ情報が検索されない場合は、攻撃者が行動を隠ぺいするために端末ログ情報を改ざんしたと推測できる。
　このため、端末ログ情報改ざん検出部１１４は、攻撃端末ログ情報特定部１１３により攻撃端末ログ情報が検索されない場合は、端末ログ情報が改ざんされたと判定する。
　また、端末ログ情報改ざん検出部１１４は、攻撃端末ログ情報特定部１１３により攻撃端末ログ情報が検索されない場合は、攻撃通信ログ情報で通知されているクライアント端末１２１又はサーバ端末１２２がマルウェアに感染していると判定する。
　例えば、受信部１１１が図１０の攻撃通信ログ情報を受信した場合に、攻撃端末ログ情報特定部１１３が図１０の攻撃通信ログ情報に基づいて端末ログ情報を検索しても、該当する攻撃ログ情報を検索できなかった場合を想定する。
　この場合は、端末ログ情報改ざん検出部１１４は、攻撃通信ログ情報で通知されているクライアント端末１２１ａの端末ログ情報が改ざんされていると判定し、また、クライアント端末１２１ａがマルウェアに感染されていると判定する。
　なお、端末ログ情報改ざん検出部１１４は、改ざん判定部の例に相当する。

　攻撃ユーザ特定部１１５は、端末ログ情報改ざん検出部１１４により端末ログ情報が改ざんされていないと判定された場合に、全ての攻撃フェーズに関与したユーザ（攻撃ユーザ）を特定し、攻撃ユーザが記述される攻撃ユーザ情報を感染活動特定部１１６に送信する。
　例えば、図６の攻撃端末ログ情報Ｄ２２１及び図８の攻撃端末ログ情報Ｄ３２１において、クライアント端末１２１ａのユーザであるｕｓｅｒ１２１ａ１は攻撃ステップ２、３、４の全ての攻撃ステップに関与しており（攻撃ステップ１はログに残らないため左記に含まない）、一連の標的型攻撃に関与したユーザである。
　このため、攻撃ユーザ特定部１１５は、ｕｓｅｒ１２１ａ１を攻撃ユーザと見なす。

　感染活動特定部１１６は、攻撃ユーザ特定部１１５から攻撃ユーザ情報を受信し、攻撃ユーザが感染活動を行った範囲を特定する。
　具体的には、感染活動特定部１１６は、図１６の感染活動端末ログ情報（プロセスログ情報）Ｄ２４１（ｆｔｐ．ｅｘｅはファイル転送に利用されるプロセス）や図１７の感染活動端末ログ情報（アクセスログ情報）Ｄ３４１のように、攻撃ユーザの他端末へのファイル転送を検出する。
　さらに、感染活動特定部１１６は、図５の端末ログ情報（プロセスログ情報）のレコードＤ２１６のように転送されたファイルが転送先で実行された場合や、図１７の感染活動端末ログ情報（アクセスログ情報）のレコードＤ３５２のように転送されたファイルが転送先で端末ファイルアクセスされた場合は、感染したと判断することができる。
　感染活動特定部１１６は、機器特定部の例に相当する。

　次に、本実施の形態に係る感染範囲特定装置１０１の動作例を図２、図１４及び図１５を参照して説明する。
　なお、図２は、感染範囲特定装置１０１の動作例を示すフローチャート図である。
　また、図１４及び図１５は、感染範囲特定装置１０１におけるデータフローを示す。

　まず、感染範囲を特定する前に、攻撃検知装置１０２が、通信ログ情報から攻撃検知を行う。
　攻撃検知装置１０２は、セキュリティ機器１０３が管理する通信ログ記録装置１０４から解析に必要な通信ログ情報Ｄ４０１を抽出し、抽出した通信ログ情報Ｄ４０１の解析を行う。
　解析の結果、攻撃検知装置１０２は攻撃通信ログ情報Ｄ４２１を特定し、攻撃通信ログ情報Ｄ４２１を感染範囲特定装置１０１に送信する（Ｆ１０１）。
　なお、攻撃検知装置１０２の攻撃検知の手法はどのようなものでもよい。

　Ｓ１０１では、感染範囲特定装置１０１の受信部１１１が、攻撃検知装置１０２から送信された攻撃通信ログ情報Ｄ４２１を受信する（Ｆ１０１）。
　また、受信部１１１は、攻撃端末ログ情報特定部１１３に攻撃通信ログ情報Ｄ４２１を送信する（Ｆ１０２）。
　以下では、受信部１１１が、図１０の攻撃通信ログレコードＤ４３１～４３３を攻撃通信ログ情報Ｄ４２１として受信したと仮定して説明を進める。
　ここで、攻撃通信ログレコードＤ４３１は、攻撃ステップ：２が記載され、アクセス先ホスト：クライアント端末１２１ａが記載されており、攻撃シナリオ検知情報Ｄ１０１のレコードＤ１１１から攻撃検知装置１０２により「兆候あり」と判定されたレコードである。
　また、攻撃通信ログレコードＤ４３２は、攻撃ステップ：３が記載され、アクセス元ホスト：クライアント端末１２１ａが記載されており、同様に攻撃シナリオ検知情報Ｄ１０１のレコードＤ１１１から攻撃検知装置１０２により「兆候あり」と判定されたレコードである。
　また、攻撃通信ログレコードＤ４３３は、攻撃ステップ：４が記載され、アクセス元ホスト：クライアント端末１２１ａが記載されており、同様に攻撃シナリオ検知情報Ｄ１０１のレコードＤ１１１から攻撃検知装置１０２により「攻撃あり」と判定されたレコードである。

　Ｓ１０２では、攻撃端末ログ情報特定部１１３が、攻撃通信ログ情報Ｄ４２１に対応する攻撃端末ログ情報を検索する。
　まず、攻撃端末ログ情報特定部１１３は受信部１１１から攻撃通信ログ情報Ｄ４２１を受信する（Ｆ１０２）。
　そして、攻撃端末ログ情報特定部１１３は、攻撃通信ログ情報Ｄ４２１に関係のある攻撃端末ログ情報を取得するために、受信部１１１に攻撃端末ログ（プロセスログ）特定用リクエストＲ１０１（以下、単にリクエストＲ１０１ともいう）と攻撃端末ログ（アクセスログ）特定用リクエストＲ１１１（以下、単にリクエストＲ１１１ともいう）を送信する（Ｆ１０３）。
　攻撃端末ログ情報特定部１１３は、攻撃通信ログ情報Ｄ４２１から、例えば、図１１に示すリクエストＲ１０１と図１２に示すリクエストＲ１１１を生成する。
　ここで、図５の端末ログ情報（プロセスログ情報）Ｄ２０１（以下、端末ログＤ２０１ともいう）、図７の端末ログ情報（アクセスログ情報）Ｄ３０１（以下、単に端末ログＤ３０１ともいう）に通信ポート情報が記載されている場合には、攻撃端末ログ情報特定部１１３は、ポート番号に対応したリクエストＲ１０１及びリクエストＲ１１１を生成すればよい。
　しかしながら、端末ログ情報（プロセスログ情報）Ｄ２０１及び端末ログ情報（アクセスログ情報）Ｄ３０１からポート番号を取得できない場合は、攻撃端末ログ情報特定部１１３は、ポート番号に対応したアプリケーションによってリクエストＲ１０１及びリクエストＲ１１１を作成する。
　ポート番号とアプリケーションは、例えば図１９のポート番号一覧Ｌ１０１に対応付けられている。
　攻撃通信ログレコードＤ４３３（図１０）のアクセス先ポートは２０であり、２０番を用いてアクセスするプロセスはポート番号一覧Ｌ１０１（図１９）より「プロセス＝ｆｔｐ．ｅｘｅ」であるので、攻撃通信ログレコードＤ４３３に対応した攻撃端末ログ（プロセスログ）レコードはＤ２３３（図６）である。
　また、通信ポートが利用されているということは、ファイルの移動があったと考えられるため、「イベント＝ｍｏｖｅ」より、攻撃通信ログレコードＤ４３３に対応した攻撃端末ログ（アクセスログ）レコードはＤ３３３（図８）である。
　また、端末ログＤ２０１、Ｄ３０１にサービスが記載されている場合には、攻撃端末ログ情報特定部１１３は、攻撃通信ログＤ４２１（図１０）に記載のサービスに対応したリクエストを生成すればよい。
　リクエストＲ１０１、Ｒ１１１は、攻撃通信ログ情報Ｄ４２１に関係のある攻撃端末ログ情報を検索するための検索条件が記述された検索コマンドである。
　なお、リクエストＲ１０１、Ｒ１１１の詳細は、後述する。
　受信部１１１は攻撃端末ログ情報特定部１１３からリクエストＲ１０１、Ｒ１１１を受信し（Ｆ１０３）、受信部１１１はデータ処理システム１０６にリクエストＲ１０１、Ｒ１１１を送信する（Ｆ１０４）。
　データ処理システム１０６は、受信部１１１からリクエストＲ１０１、Ｒ１１１を受信し（Ｆ１０４）、端末ログ情報（プロセスログ情報）Ｄ２０１、端末ログ情報（アクセスログ情報）Ｄ３０１からリクエストＲ１０１、Ｒ１１１に適合した端末ログ情報を検索する。
　データ処理システム１０６は、リクエストＲ１０１、Ｒ１１１に適合した端末ログ情報を検索できた場合は、検索結果である攻撃端末ログ情報Ｄ２２１、Ｄ３２１（図６、図８）を受信部１１１に送信する（Ｆ１０５）。
　受信部１１１はデータ処理システム１０６から攻撃端末ログ情報Ｄ２２１、Ｄ３２１を受信すると、攻撃端末ログ情報特定部１１３に攻撃端末ログ情報Ｄ２２１、Ｄ３２１を送信する（Ｆ１０６）。
　攻撃端末ログ情報特定部１１３は、受信部１１１から攻撃端末ログ情報Ｄ２２１、Ｄ３２１を受信すると、攻撃通信ログ情報Ｄ４２１と攻撃端末ログ情報Ｄ２２１、Ｄ３２１を端末ログ情報改ざん検出部１１４に送信する（Ｆ１０７）。
　なお、データ処理システム１０６においてリクエストＲ１０１、Ｒ１１１に適合した端末ログ情報が検索されない場合は、「検索ミスヒット」とのメッセージがデータ処理システム１０６から受信部１１１に送信され、受信部１１１から攻撃端末ログ情報特定部１１３に転送される。

　ここで、リクエストＲ１０１を説明する。
　リクエストＲ１０１には、図１１に示すように、日付、時刻、ホスト名、プロセス名（ポート番号）等についての検索条件を含ませる。
　攻撃端末ログ情報特定部１１３は、攻撃通信ログレコードＤ４３３の日付、時刻である「２０１３／０７／３１　２０：３０：０２」から、「日付＝２０１３／０７／３１」と「時刻ｂｅｔｗｅｅｎ　２０：２９：５２　ａｎｄ　２０：３０：１２」との検索条件をリクエストＲ１０１に含ませる。
　通信ログ情報を取得する機器と端末ログ情報を取得する機器が異なるため、通信ログ情報の取得時刻と端末ログ情報の取得時刻の間に時間的なずれが生じる可能性がある。
　そこで、攻撃端末ログ情報特定部１１３は、このような許容誤差（図１１の例では、１０秒）を吸収できるようにして日付および時刻の検索条件を決定する。
　例えば、図６の攻撃端末ログレコードＤ２１３の時刻は許容誤差範囲内なので、攻撃端末ログレコードＤ２１３は攻撃端末ログ情報（プロセスログ情報）Ｄ２２１として抽出される。
　同様に、図７の攻撃端末ログレコードＤ３１３の時刻も許容誤差範囲内なので、攻撃端末ログレコードＤ３１３は攻撃端末ログ情報（アクセスログ情報）Ｄ３２１として抽出される。
　また、攻撃端末ログ情報特定部１１３は、攻撃通信ログレコードＤ４３３のアクセス元ホストのＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）である「クライアント端末１２１ａ」が特定される「ホスト名＝クライアント端末１２１ａ」と、ポート番号「２０」と、「プロセス＝ｆｔｐ．ｅｘｅ」とを検索条件としてリクエストＲ１０１に含ませる。
　「プロセス＝ｆｔｐ．ｅｘｅ」は、ポート番号一覧Ｌ１０１（図１９）に従い、ポート番号２０に対応するプロセスである「ＦＴＰ」から得られる。
　また、リクエストＲ１１１を説明する。
　リクエストＲ１１１には、図１２に示すように、日付、時刻、アクセス元ホスト名、アクセス先ホスト名等についての検索条件を含ませる。
　日付、時刻についてはリクエストＲ１０１と同様である。
　アクセス元ホストについては、攻撃端末ログ情報特定部１１３は、通信ログレコードＤ４３３（図１０）のアクセス元ホストのＩＤである「クライアント端末１２１ａ」を、アクセス先ホストについては、通信ログレコードＤ４３３（図１０）のアクセス先ホストのＩＤである「サーバ１２２ａ」を、検索条件としてリクエストＲ１０１に含ませる。

　次に、Ｓ１０３では、端末ログ情報改ざん検出部１１４が、端末ログ情報が改ざんされているか否かを判定する。
　つまり、端末ログ情報改ざん検出部１１４は、攻撃端末ログ情報特定部１１３から攻撃通信ログ情報Ｄ４２１と攻撃端末ログ情報Ｄ２２１、Ｄ３２１又は「検索ミスヒット」とのメッセージを受信する（Ｆ１０７）。
　攻撃端末ログ情報Ｄ２２１、Ｄ３２１を受信した場合は、端末ログ情報改ざん検出部１１４は端末ログ情報に改ざんがないと判定する。
　一方、「検索ミスヒット」とのメッセージを受信した場合は、端末ログ情報改ざん検出部１１４は端末ログ情報が改ざんされていると判定する。
　より具体的には、端末ログ情報改ざん検出部１１４は、攻撃通信ログ情報Ｄ４２１に記述されている端末（図１０の例では、クライアント端末１２１ａ）の端末ログ情報が改ざんされていると判定し、また、この端末がマルウェアに感染していると判定する。
　ここでは、クライアント端末１２１ａは攻撃通信ログに対応した攻撃端末ログが検出されているため、改ざんされてはいないとみなす。
　端末ログ情報が改ざんされていなければ、端末ログ情報改ざん検出部１１４は、攻撃ユーザ特定部１１５に端末ログに改ざんがないことを伝える（Ｆ１０８）。
　一方、端末ログ情報が改ざんされていれば、端末ログ情報改ざん検出部１１４は、感染活動特定部１１６に改ざんがあったことを伝える（Ｆ１１７）。

　端末ログ情報の改ざんがなければ（Ｓ１０３でＮＯ）、Ｓ１０４において、攻撃ユーザ特定部１１５が、攻撃ユーザを特定する。
　まず、攻撃ユーザ特定部１１５は、端末ログ情報改ざん検出部１１４から端末ログ情報が改ざんされていないことを通知するメッセージと攻撃端末ログ情報Ｄ２２１、Ｄ３２１を受信し（Ｆ１０８）、攻撃端末ログ情報Ｄ２２１、Ｄ３２１から攻撃ユーザを特定する。
　そして、攻撃ユーザ特定部１１５は、全ての攻撃ステップに関与した攻撃ユーザを抽出して、攻撃検知装置１０２で検知された攻撃を行った攻撃ユーザを特定する。
　また、攻撃ユーザ特定部１１５は、特定した攻撃ユーザが示される攻撃ユーザ情報を感染活動特定部１１６に送信する（Ｆ１０９）。
　一方、端末ログ情報に改ざんがあれば（Ｓ１０３でＹＥＳ）、攻撃ユーザは特定できないため、攻撃ユーザの特定（Ｓ１０４）は行われず、感染活動の特定が行われる（Ｓ１０５）。
　攻撃通信ログレコードＤ４３３に関する攻撃端末ログレコードＤ２３３、Ｄ３３３が存在しない場合は、ログが改ざんされているため、攻撃ユーザを特定することができない。
　そこで、感染活動特定部１１６は、攻撃ステップ３以降の通信ログ情報Ｄ４０１（図９）の中で、端末ログが改ざんされた端末から他端末へアクセスを検出し、アクセスされた端末はマルウェア感染の可能性のある端末とする。
　この例では、感染活動特定部１１６は、図２２のリクエストＲ２２１を受信部１１１から通信ログ記録装置１０４へ送信し、通信ログ記録装置１０４から必要な通信ログ４０１を取得することによって、他端末への感染活動を特定することができる。

　ログ改ざんがない場合でも、Ｓ１０５において、感染活動特定部１１６が、他の端末に対する感染活動を特定する。
　ログ改ざんがない場合は、まず感染活動特定部１１６が、攻撃ユーザ特定部１１５から攻撃ユーザ情報を受信する（Ｆ１０９）。
　感染活動特定部１１６は、攻撃ユーザの感染活動に関する感染活動端末ログ情報（マルウェア転送）を取得するため、受信部１１１にリクエストＲ２０１、Ｒ２１１（図２０、図２１）を送信する（Ｆ１１０）。
　受信部１１１は、感染活動特定部１１６からリクエストＲ２０１、Ｒ２１１を受信し（Ｆ１１０）、データ処理システム１０６へリクエストＲ２０１、Ｒ２１１を送信する（Ｆ１１１）。
　データ処理システム１０６はリクエストＲ２０１、Ｒ２１１を受信し（Ｆ１１１）、端末ログ情報からリクエストＲ２０１、Ｒ２１１に応じた感染活動端末ログ情報を受信部１１１に送信する（Ｆ１１２）。
　受信部１１１はデータ処理システム１０６から攻撃端末ログ情報を受信し（Ｆ１１２）、受信した攻撃端末ログ情報を感染活動特定部１１６に送信する（Ｆ１１３）。
　ここで、リクエストＲ２０１とリクエストＲ２１１を説明する。
　リクエストＲ２０１とリクエストＲ２１１は感染端末から他端末への感染活動を端末ログ情報の中から特定するリクエストである。
　リクエストＲ２０１は攻撃ユーザによる攻撃ステップ４の実行を端末ログ情報（プロセスログ情報）Ｄ２０１（図５）の中から特定するリクエストである。
　攻撃ステップ４は、他端末への感染活動に関する攻撃ステップであるため、感染活動特定部１１６は、攻撃ユーザが攻撃ステップ４を行っているかを特定することによって感染活動を特定する。
　リクエストＲ２０１により、端末ログ情報（プロセスログ情報）レコードＤ２１４（図５）が特定される。
　特定された端末ログ情報（プロセスログ情報）レコードＤ２１４は感染活動端末ログ情報（プロセスログ情報）Ｄ２４１（図１６）に登録される。
　また、リクエストＲ２１１は攻撃ステップ３以降に感染端末が他端末へアクセスしたことを端末ログ情報（アクセスログ情報）Ｄ３０１（図７）の中から特定するリクエストである。
　攻撃端末ログ（アクセスログ情報）Ｄ３２１（図８）において、攻撃ステップ３のログはレコードＤ３３２であるため、感染活動特定部１１６は、「２０１３／０５／０５　１２：００：００」以降で、感染端末であるクライアント端末１２１ａの攻撃ユーザであるｕｓｅｒ１２２ａ１からファイル送信（ｍｏｖｅ）されたデータ処理システム１０６内の端末を探索する。
　リクエストＲ２１１により、端末ログ情報（アクセスログ情報）レコードＤ３１３、Ｄ３１４（図７）が特定される。
　これにより、感染活動特定部１１６は、クライアント端末１２１ａの攻撃ユーザであるｕｓｅｒ１２２ａ１がサーバ端末１２２ａへマルウェアを送信したことを特定する。
　サーバ端末１２２ａはマルウェアに感染している可能性が高い。
　特定された端末ログ情報（アクセスログ情報）レコードＤ３１３、Ｄ３１４は感染活動端末ログ情報（アクセスログ情報）Ｄ３４１（図１７）に登録される。
　一方、ログが改ざんされた場合は、端末ログ情報を利用することができないため、感染活動特定部１１６は、通信ログ情報（図９）を利用して、感染範囲を特定する。
　まず、感染活動特定部１１６が、端末ログ情報改ざん検出部１１４から改ざんありの情報を受信する（Ｆ１１７）。
　感染活動特定部１１６は、感染活動通信ログ情報（マルウェア転送）を取得するため、受信部１１１にリクエストＲ２２１を送信する（Ｆ１１０）。
　受信部１１１は、感染活動特定部１１６からリクエストＲ２２１を受信し（Ｆ１１０）、攻撃検知装置１０２へリクエストＲ２２１を送信する（Ｆ１１８）。
　攻撃検知装置１０２はリクエストＲ２２１を受信し（Ｆ１１８）、通信ログ情報からリクエストＲ２２１に応じた感染活動通信ログ情報Ｄ４４１（図１８）を通信ログ記録装置１０４から検索し、検索した感染活動通信ログ情報Ｄ４４１（図１８）を受信部１１１に送信する（Ｆ１１９）。
　受信部１１１は攻撃検知装置１０２から感染活動通信ログ情報Ｄ４４１（図１８）を受信し（Ｆ１１９）、受信した感染活動通信ログ情報Ｄ４４１（図１８）を感染活動特定部１１６に送信する（Ｆ１１３）。
　ここで、リクエストＲ２２１を説明する。
　リクエストＲ２２１は感染端末から他端末への感染活動を通信ログ情報（図９）の中から特定するリクエストである。
　リクエストＲ２２１は、攻撃ステップ３以降に感染端末が他端末へアクセスしたことを特定するリクエストである。
　攻撃通信ログ情報（図１０）において、攻撃ステップ３のログはレコードＤ４３２であるため、感染活動特定部１１６は、「２０１３／０５／０５　１２：００：００」以降で、感染端末であるクライアント端末１２１ａからアクセスされたデータ処理システム１０６内の端末を探索する。
　リクエストＲ２２１により、通信ログ情報（図９）のレコードＤ４１４が特定される。
　これにより、感染活動特定部１１６は、クライアント端末１２１ａからサーバ端末１２２ａへマルウェアを送信された可能性があることを特定する。
　サーバ端末１２２ａはマルウェアに感染している可能性が高い。
　特定された通信ログ情報のレコードＤ４１４は感染活動ログ情報Ｄ４４１（図１８）に登録される。

　感染活動特定部１１６が他の端末に対する感染活動を検知した場合（Ｓ１０６でＹＥＳ）、感染活動特定部１１６は、ログが改ざんされなかった場合は、Ｓ１０５で受信した感染活動端末ログ情報Ｄ２４１、Ｄ３４１を、ログが改ざんされた場合は、Ｓ１０５で受信した感染活動通信ログ情報Ｄ４４１を攻撃端末ログ情報特定部１１３に送信する（Ｆ１１４）。
　そして、攻撃端末ログ情報特定部１１３は、感染活動特定部１１６から感染活動端末ログ情報Ｄ２４１、Ｄ３４１または、感染活動通信ログ情報Ｄ４４１を受信すると（Ｆ１１４）、感染活動先の端末（感染活動端末ログ情報（アクセスログ情報）Ｄ３５１であれば、サーバ端末１２２ａ）に関する端末ログ情報に対して、Ｓ１０２以降の処理を繰り返す。
　つまり、攻撃端末ログ情報特定部１１３による端末ログ情報の検索と、感染活動特定部１６によるマルウェアに感染している可能性のある端末の特定とが繰り返される。
　Ｓ１０２では、攻撃端末ログ情報特定部１１３が攻撃通信ログ情報Ｄ４２１から攻撃端末ログ情報Ｄ２２１、Ｄ３２１を特定するが、Ｓ１０６で特定された感染活動端末ログ情報Ｄ２４１、Ｄ３４１や感染活動通信ログ情報Ｄ４４１は、感染活動先の端末にとっては、初期潜入（マルウェアを送信された）段階の攻撃にあたる。
　このため、攻撃端末ログ情報特定部１１３は、攻撃端末ログ情報Ｄ２２１、Ｄ３２１や攻撃通信ログ情報Ｄ４２１に攻撃ステップ２のラベルを付加し、攻撃端末ログ情報Ｄ２２１、Ｄ３２１や攻撃通信ログ情報Ｄ４２１に、上記ラベルを付加された感染活動端末ログ情報Ｄ２４１、Ｄ３４１や攻撃通信ログ情報Ｄ４４１のレコードを追加する。
　一方、感染活動特定部１１６が他端末に対する感染活動を検知しない場合（Ｓ１０６でＮＯ）は、これまでに発見された感染端末に関するレコードを、端末感染情報Ｄ５０１（図１３）に登録する。
　例えば、感染活動特定部１１６は、端末感染情報Ｄ５０１に端末感染レコードＤ５１１～Ｄ５１６等を登録する。
　そして、感染活動特定部１１６は、端末感染情報Ｄ５０１を送信部１１２に送信する（Ｆ１１５）。
　送信部１１２は、感染活動特定部１１６から端末感染情報Ｄ５０１を受信すると（Ｆ１１５）、監視装置１０７に端末感染情報Ｄ５０１を送信する。
　監視装置１０７は、送信部１１２から端末感染情報Ｄ５０１を受信すると、端末感染情報Ｄ５０１をディスプレイに表示する。
　これにより、ネットワークセキュリティ管理者はクライアント端末１２１ａ、１２２ｂ、１２１ｄ、サーバ端末１２２ａがマルウェアに感染していることを確認することができる。

　以上のように、本実施の形態では、端末ログ情報改ざん検出部１１４が、攻撃通信ログ情報を用いて端末ログ情報が不正に改ざんされたかどうかを判定するため、攻撃者の攻撃隠ぺい活動を検出することができる。
　そして、端末ログ情報の改ざんを検出することで、ログ情報の解析以外の方法で早期にマルウェアの感染範囲を特定することが可能となる。

　また、本実施の形態では、攻撃者が端末に侵入した後の行動をログから追跡しており、例えば、ＲＡＴ（Ｒｅｍｏｔｅ　Ａｄｍｉｎｉｓｔｒａｔｉｏｎ　Ｔｏｏｌ）と呼ばれるマルウェアの感染範囲の特定に有用である。

　また、本実施の形態では、端末ログ情報は、端末ごとに保持することができるため、端末からログ情報を定期的にログサーバにアップロードする必要がなく、データ処理システム内のトラフィックを抑制することができる。
　また、ユーザにとっても端末内の操作を常時監視されることはないので、精神的なストレスを感じることがない。
　さらに、攻撃ユーザを特定することで、攻撃ユーザの一連の攻撃内容を把握することができる。
　また、攻撃ユーザでなければ、実行ファイル転送のような攻撃に似たログを特定したとしても、攻撃に無関係であるため、誤報を減らすことができる。

　攻撃端末ログ情報特定部１１３は、端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）にアクセスしたファイルの情報を追加して、端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）を対応付けるようにしてもよい。
　また、攻撃端末ログ情報特定部１１３は、端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）にプロセスＩＤを追加して、端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）を対応付けるようにしてもよい。
　また、端末ログ情報（プロセスログ情報）及び端末ログ情報（アクセスログ情報）に情報を追加できない場合でも、攻撃端末ログ情報特定部１１３は、端末ログ情報（プロセスログ情報）のプロセスと端末ログ情報（アクセスログ情報）のアクセスファイルとイベントから対応する端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）を推測するようにしてもよい。
　上記、端末ログ情報（プロセスログ情報）と端末ログ情報（アクセスログ情報）の対応付けによって、端末ログ情報（プロセスログ情報）に関するリクエスト、または、端末ログ情報（アクセスログ情報）に関するリクエストのみで、攻撃端末ログ情報や感染端末ログ情報を取得することが可能になる。

　また、攻撃通信ログ情報と端末ログ情報に記載されるアクセス元ホストとアクセス先ホストはそれぞれアクセス元ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスとアクセス先ＩＰアドレスで定義されていてもよい。
　通信ログ情報がホスト名を記録しており、端末ログ情報がＩＰアドレスを記録していても、攻撃端末ログ情報特定部１１３は、ホスト名とＩＰアドレスの対応表を利用することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
　また、攻撃端末ログ情報特定部１１３は、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）サーバや認証サーバ等に記録されている対応表を利用することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
　また、ＤＨＣＰ（Ｄｙｎａｍｉｃ　Ｈｏｓｔ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｐｒｏｔｏｃｏｌ）を利用しているネットワークでは、攻撃端末ログ情報特定部１１３は、ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスを通信ログ情報と端末ログ情報に追加することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。

　また、攻撃ユーザ特定部１１５は、全ての攻撃ステップではなく、主要となる攻撃ステップに関与した攻撃ユーザを特定するとしてもよい。
　例えば、攻撃ステップに重みをつけて、ある閾値以上の攻撃に関与した場合は攻撃ユーザと見なすという方法が考えられる。
　例えば、攻撃ステップ２の重み＝１、攻撃ステップ３の重み＝３、攻撃ステップ４の重み＝５とし、閾値を６以上とした場合、あるユーザが攻撃ステップ２と攻撃ステップ４に関与した場合は、重み６となり、当該ユーザは攻撃ユーザと判定される。

　また、攻撃ユーザ特定部１１５は、ユーザの他ユーザへのアカウント切り替え（ログイン中にｓｕコマンド等で別のアカウントでログインする等）を特定し、ユーザ間の利用アカウント関係を考慮した攻撃ユーザ群を特定するようにしてもよい。

　また、攻撃ユーザ特定部１１５は、攻撃ステップ３および攻撃ステップ４にて、ブルートフォースによるパスワード搾取やパスワードハッシュの取得といった他のユーザアカウント取得行動を監視し、攻撃ユーザ群を特定するようにしてもよい。

　また、攻撃ユーザ特定部１１５は、攻撃ステップ３および攻撃ステップ４にて、複数ファイルのダウンロードや他端末への頻繁なアクセスといった一般ユーザとは異なる活動を行うユーザを特定することで攻撃ユーザを特定するようにしてもよい。

　また、感染活動特定部１１６は、攻撃ユーザ特定部１１５により特定された攻撃ユーザの他端末でのファイル実行、他端末へのリモートアクセスと他端末でのファイルダウンロード等の他端末への感染活動を特定するようにしてもよい。

　実施の形態２．
　以上の実施の形態１では、クライアント端末１２１とサーバ端末１２２でそれぞれクライアント端末ログ記録装置１３１とサーバ端末ログ記録装置１３２を保有していた。
　これに代えて、データ処理システム１０６内でログサーバ（処理ログ情報サーバ装置）を用意し、各クライアント端末１２１と各サーバ端末１２２が、それぞれの端末ログ情報をログサーバにアップロードするようにしてもよい。
　つまり、クライアント端末１２１とサーバ端末１２２がそれぞれ保有するクライアント端末ログ記録装置１３１とサーバ端末ログ記録装置１３２を、ログサーバに集約するようにしてもよい。
　ログサーバを用意することで、端末ログ情報を一元管理することができ、端末ログ情報の保守・運用が容易になる。
　また、感染範囲特定装置１０１は各端末のクライアント端末ログ記録装置１３１又はサーバ端末ログ記録装置１３２から端末ログ情報を取得する必要がなく、ログサーバのみから端末ログ情報を取得するだけでよい。

　実施の形態３．
　以上の実施の形態２では、クライアント端末１２１とサーバ端末１２２がそれぞれ保有するクライアント端末ログ記録装置１３１とサーバ端末ログ記録装置１３２を、ログサーバに集約する構成を示した。
　これに代えて、クライアント端末ログ記録装置１３１とサーバ端末ログ記録装置１３２を感染範囲特定装置１０１が保有してもよい。
　つまり、感染範囲特定装置１０１に、クライアント端末１２１とサーバ端末１２２の端末ログ情報を記憶する記憶領域（処理ログ情報記憶部）を設けるようにしてもよい。
　これにより、感染範囲特定装置１０１は、端末ログ情報の取得が容易になる。

　実施の形態４．
　また、図１では、感染範囲特定装置１０１と攻撃検知装置１０２と監視装置１０７を別々の装置に分けている。
　これに代えて、攻撃検知装置１０２と監視装置１０７を感染範囲特定装置１０１に含めてよい。
　つまり、感染範囲特定装置１０１に、攻撃検知装置１０２と同じ機能の攻撃検知部を設け、監視装置１０７と同じ機能の監視部を含めるようにしてもよい。
　感染範囲特定装置１０１の機能と攻撃検知装置１０２の機能と監視装置１０７の機能を一つにすることで、データの受け渡しを簡単にすることができる。

　最後に、実施の形態１～４に示した感染範囲特定装置１０１のハードウェア構成例を図２３を参照して説明する。
　感染範囲特定装置１０１はコンピュータであり、感染範囲特定装置１０１の各要素をプログラムで実現することができる。
　感染範囲特定装置１０１のハードウェア構成としては、バスに、演算装置９０１、外部記憶装置９０２、主記憶装置９０３、通信装置９０４、入出力装置９０５が接続されている。

　演算装置９０１は、プログラムを実行するＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　外部記憶装置９０２は、例えばＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）やフラッシュメモリ、ハードディスク装置である。
　主記憶装置９０３は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　通信装置９０４は、受信部１１１及び送信部１１２の物理層に対応する。
　入出力装置９０５は、例えばマウス、キーボード、ディスプレイ装置等である。

　プログラムは、通常は外部記憶装置９０２に記憶されており、主記憶装置９０３にロードされた状態で、順次演算装置９０１に読み込まれ、実行される。
　プログラムは、図１に示す「～部」として説明している機能を実現するプログラムである。
　更に、外部記憶装置９０２にはオペレーティングシステム（ＯＳ）も記憶されており、ＯＳの少なくとも一部が主記憶装置９０３にロードされ、演算装置９０１はＯＳを実行しながら、図１に示す「～部」の機能を実現するプログラムを実行する。
　また、実施の形態１～４の説明において、「～の判断」、「～の判定」、「～の抽出」、「～の検知」、「～の検知」、「～の設定」、「～の登録」、「～の選択」、「～の検索」、「～の生成」、「～の受信」、「～の送信」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置９０３にファイルとして記憶されている。

　なお、図２３の構成は、あくまでも感染範囲特定装置１０１のハードウェア構成の一例を示すものであり、感染範囲特定装置１０１のハードウェア構成は図２３に記載の構成に限らず、他の構成であってもよい。
　また、実施の形態１～４に示した攻撃検知装置１０２、セキュリティ機器１０３、クライアント端末１２１、サーバ端末１２２も、図２３のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。

　また、実施の形態１～４に示す手順により、本発明に係る情報処理方法を実現可能である。

　１０１　感染範囲特定装置、１０２　攻撃検知装置、１０３　セキュリティ機器、１０４　通信ログ記録装置、１０６　データ処理システム、１０７　監視装置、１０８　スイッチ、１０９　インターネット、１１１　受信部、１１２　送信部、１１３　攻撃端末ログ情報特定部、１１４　端末ログ情報改ざん検出部、１１５　攻撃ユーザ特定部、１１６　感染活動特定部、１２１　クライアント端末、１２２　サーバ端末、１３１　クライアント端末ログ記録装置、１３２　サーバ端末ログ記録装置。

Claims

　データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信部と、
　前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索部と、
　前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する改ざん判定部とを有することを特徴とする情報処理装置。
　前記受信部は、
　前記データ処理システムに対する攻撃に関係するデータ通信のログ情報を、前記通信ログ情報として受信することを特徴とする請求項１に記載の情報処理装置。
　前記受信部は、
　前記データ通信の属性を表す通信属性値が記述されている通信ログ情報を受信し、
　前記ログ情報検索部は、
　前記データ処理システムで行われたデータ処理の属性を表す処理属性値が記述されている複数の処理ログ情報の中から、前記通信ログ情報の通信属性値に関係する処理属性値が記述されている処理ログ情報を検索することを特徴とする請求項１に記載の情報処理装置。
　前記受信部は、
　前記通信属性値として、前記データ通信が発生した時刻と前記データ通信を行った前記データ処理システム内の機器の機器ＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）とが記述されている通信ログ情報を受信し、
　前記ログ情報検索部は、
　前記処理属性値として、データ処理時刻とデータ処理を行った前記データ処理システム内の機器の機器ＩＤとが記述される複数の処理ログ情報の中から、前記通信ログ情報に記述されている時刻から許容誤差範囲内のデータ処理時刻が記述され、前記通信ログ情報に記述されている機器ＩＤが記述されている処理ログ情報を検索し、
　前記改ざん判定部は、
　前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記通信ログ情報に記述されている機器ＩＤに対応する機器が行ったデータ処理の処理ログ情報が改ざんされていると判定することを特徴とする請求項３に記載の情報処理装置。
　前記改ざん判定部は、
　前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記通信ログ情報に記述されている機器ＩＤに対応する機器が行ったデータ処理の処理ログ情報が改ざんされていると判定するとともに、前記通信ログ情報に記述されている機器ＩＤに対応する機器がマルウェアに感染していると判定することを特徴とする請求項４に記載の情報処理装置。
　前記情報処理装置は、更に、
　前記改ざん判定部によりマルウェアに感染していると判定された機器であるマルウェア感染機器から前記データ処理システム内の他の機器へのデータ通信のログ情報を、感染活動通信ログ情報として、前記受信部を介して、前記データ処理システムで発生したデータ通信のログ情報を記録している通信ログ記録装置から受信し、
　受信した前記感染活動通信ログ情報を解析して、前記マルウェア感染機器からマルウェアに感染した可能性のある機器である感染可能性機器を特定する機器特定部を有することを特徴とする請求項５に記載の情報処理装置。
　前記ログ情報検索部は、
　前記機器特定部により特定された前記感染可能性機器の機器ＩＤが記述されている処理ログ情報を検索し、
　前記機器特定部は、
　前記ログ情報検索部により検索された処理ログ情報を解析して、前記感染可能性機器からマルウェアに感染した可能性のある新たな感染可能性機器を特定し、
　以降、前記ログ情報検索部による処理ログ情報の検索と、前記機器特定部による新たな感染可能性機器の特定とが繰り返されることを特徴とする請求項６に記載の情報処理装置。
　前記受信部は、
　前記データ処理システムに対する攻撃に関係するデータ通信のログ情報を前記通信ログ情報として受信し、
　前記情報処理装置は、更に、
　前記ログ情報検索部により該当する処理ログ情報が検索された場合に、検索された処理ログ情報を解析して、前記攻撃に関係する前記データ処理システム内の機器である攻撃関係機器を特定する機器特定部を有し、
　前記ログ情報検索部は、
　前記機器特定部により特定された前記攻撃関係機器が行ったデータ処理の処理ログ情報を検索し、
　前記機器特定部は、
　前記ログ情報検索部により検索された処理ログ情報を解析して、前記攻撃関係機器のデータ処理によって前記攻撃に関係することになった新たな攻撃関係機器を特定し、
　以降、前記ログ情報検索部による処理ログ情報の検索と、前記機器特定部による新たな攻撃関係機器の特定とが繰り返されることを特徴とする請求項１に記載の情報処理装置。
　前記ログ情報検索部は、
　前記データ処理システムに含まれる機器ごとに設けられた複数の処理ログ情報データベースで記憶されている複数の処理ログ情報の中から、前記データ通信に関係するデータ処理の処理ログ情報を検索することを特徴とする請求項１に記載の情報処理装置。
　前記ログ情報検索部は、
　前記データ処理システムに設けられた処理ログ情報サーバ装置で記憶されている前記複数の処理ログ情報の中から、前記データ通信に関係するデータ処理の処理ログ情報を検索することを特徴とする請求項１に記載の情報処理装置。
　前記情報処理装置は、更に、
　複数の処理ログ情報を記憶する処理ログ情報記憶部を有し、
　前記ログ情報検索部は、
　前記処理ログ情報記憶部で記憶されている前記複数の処理ログ情報の中から、前記データ通信に関係するデータ処理の処理ログ情報を検索することを特徴とする請求項１に記載の情報処理装置。
　前記情報処理装置は、更に、
　前記データ処理システムに対する攻撃を検知し、検知した攻撃に関係するデータ通信のログ情報を送信する攻撃検知部を有し、
　前記受信部は、
　前記攻撃検知部から送信されたログ情報を、前記通信ログ情報として受信することを特徴とする請求項１に記載の情報処理装置。
　コンピュータが、データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信し、
　前記コンピュータが、前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索し、
　該当する処理ログ情報が検索されない場合に、前記コンピュータが、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定することを特徴とする情報処理方法。
　データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信処理と、
　前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索処理と、
　前記ログ情報検索処理により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一処理の処理ログ情報が改ざんされていると判定する改ざん判定処理とをコンピュータに実行させることを特徴とするプログラム。