WO2015162985A1

WO2015162985A1 - 不正検知ネットワークシステム及び、不正検知方法

Info

Publication number: WO2015162985A1
Application number: PCT/JP2015/054707
Authority: WO
Inventors: 元昭山村; 雅太西田; 和男川守田
Original assignee: 株式会社セキュアブレイン
Priority date: 2014-04-25
Filing date: 2015-02-20
Publication date: 2015-10-29
Also published as: US20170048272A1; EP3136277B1; EP3136277A4; JP6438011B2; CA2946695A1; EP3136277A1; CA2946695C; JPWO2015162985A1; US10469531B2

Abstract

【課題】　不正動作を行うマルウェアの挙動を効率的に検知すると共に、導入が容易で攻撃を受けにくい不正検知ネットワークシステム及び不正検知方法を提供すること。【解決手段】　不正検知ネットワークシステムにおいて、ウェブサーバ装置がウェブコンテンツ情報に呼出スクリプトを含めてユーザ端末装置に送信し、ユーザ端末装置ではウェブコンテンツを表示すると共に、呼出スクリプトを実行する。ユーザ端末装置は、呼出スクリプトに基づいて不正検知サーバから不正検知スクリプトを取得し、不正検知スクリプトに基づいてウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する。そして、不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行う。

Description

不正検知ネットワークシステム及び、不正検知方法

　本発明は、不正検知サーバ装置がユーザ端末装置における正規コンテンツの改ざんを検知するシステム及び方法に関し、特にマルウェアがウェブコンテンツ情報を書き換えてユーザ端末装置のウェブブラウザ処理手段に不正な動作を行わせることを検知するための不正検知技術に係る。

　インターネットバンキングなど高度なセキュリティが要求されるサービスの提供が進む中で、マルウェアによる攻撃方法も多様化している。従来のマルウェアでは、ユーザ端末装置がマルウェアに感染すると、ログイン時に入力されるＩＤやパスワードが読み取られてユーザが意図しない送金などに悪用される例がある。この場合、毎回パスワードが変更されるワンタイムパスワードを導入したり、通信を暗号化することで被害を防止する対策がとられている。

　また、通常のＩＤとパスワードによる第１の認証を行って通信セッションを確立した後に、さらに第２の認証を行って不正なアクセスを防止する方法も多く採用されている。第２認証の多くは、予めユーザに付与された乱数表から任意のいくつかの答えだけを問う形式であるため、乱数表全体を入手しないと不正なアクセスに成功しない。そこで、銀行サイトに酷似する画面に誘導して、乱数表の全ての答えを入力させるフィッシングと呼ばれる手法もある。

　フィッシングの場合はアクセスする先が偽のサイトであるため、ユーザの注意や、セキュリティ対策ソフトによる検知が比較的容易である。
　そこで最近では、例えばブラウザのプロセスに入り込むことで第１認証の成功後に、ＳＳＬの暗号通信が復号された後の平文を改ざんし、偽の第２認証画面を表示し、ユーザが気がつかないうちに必要な情報を窃取したり、あるいはユーザが意図しない操作を行ってしまう攻撃方法が現れている。この攻撃はMan In The Browser(MITB)攻撃と呼ばれており、正規のサイトに接続された状態で不正動作が行われるためユーザやウイルス検知ソフトによる発見が困難な問題がある。

　例えば、特許文献１には、ウェブサイトへの外部送出を傍受し、ウェブサイトに関連するトランザクションフィンガープリントに照らし合わせて、ユーザー入力が外部送出を行ったか否かを決定するマン・イン・ザ・ブラウザ攻撃を検出する方法が開示されている。

　また、非特許文献１には、このようなMITB攻撃への対策としてセキュアモジュールを端末側にインストールすることでマルウェアによる介入を防御するソフトウェア（株式会社ＦＦＲＩ製「Ｌｉｍｏｓａ」）が開示されている。本ソフトウェアでは、ユーザーが対象サイトにアクセスし、ログインする際にサイトからセキュアモジュールがダウンロードされ、自動的にブラウザに適用されるとしている。

特開２０１０－１８２２９３号公報

「FFRI Limosa 製品概要」インターネットＵＲＬ：http://www.ffri.jp/products/limosa/index.htm　２０１４年３月１３日検索

　上記のようなMITB攻撃を行うマルウェアは正規のウェブサイトと接続した状態でウェブブラウザを乗っ取るため、従来の認証方法では対応できない。
　また、上記非特許文献１の方法ではセキュアモジュールをユーザ端末装置にインストールする必要がある。

　本発明は上記従来技術の有する問題点に鑑みて創出されたものであり、不正動作を行うマルウェアの挙動を効率的に検知すると共に、導入が容易で攻撃を受けにくい不正検知ネットワークシステム及び不正検知方法を提供することを目的とする。

　本発明は上記課題を解決するため、本発明は次のような不正検知ネットワークシステムを提供する。

　すなわち本発明は、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、ネットワークに接続された不正検知サーバ装置がユーザ端末装置における不正動作を検知する不正検知ネットワークシステムを提供する。

　本システムにおいて、ウェブサーバ装置に、サービスの提供に用いるウェブコンテンツ情報と、不正検知サーバ装置を呼び出しするための呼出スプリクトとを記憶する記憶手段と、ウェブコンテンツ情報に、呼出スクリプトを含めてユーザ端末装置に送信するコンテンツ送信手段とを備える。

　また、ユーザ端末装置に、ウェブコンテンツ情報を受信するコンテンツ受信手段と、ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、呼出スクリプトを実行するウェブブラウザ処理手段と、不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備える。
　ユーザ端末装置は、呼出スクリプトに基づいて不正検知サーバから不正検知スクリプトを取得し、不正検知スクリプトに基づいてウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する。そして、不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行う。

　不正検知サーバ装置は、呼出スクリプトに対応する不正検知スクリプトを記憶する不正検知スクリプト記憶手段と、ユーザ端末装置との通信を行うユーザ端末通信手段と、不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段とを備えたことを特徴とする。

　ウェブブラウザ処理手段が、不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないようにウェブコンテンツを変更する構成でもよい。

　検知対象データが、マークアップ言語におけるタグとタグの属性情報であってもよい。また、検知対象データが、認証処理に係るテキストであってもよい。

　ウェブサーバ装置の認証手段とユーザ端末装置の認証手段との間で第1の認証処理を行った後に、ウェブサーバ装置と、ユーザ端末装置との間で通信セッションを確立し、ウェブサーバ装置からユーザ端末装置に対して呼出スクリプトを含むウェブコンテンツ情報を送信する構成でもよい。

　不正検知サーバ装置において、ユーザ端末装置から受信した検索結果、又は不正検知手段による検知結果、の少なくともいずれかをログ記録手段が記録を行う構成でもよい。

　上記のウェブサーバ装置において、呼出スクリプトを難読化する難読化手段を備え、コンテンツ送信手段が、ウェブコンテンツ情報に、難読化された呼出スクリプトを含めて送信する構成でもよい。

　本発明は次のような不正検知ネットワークシステムを提供することもできる。
　すなわち、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムであって、該ウェブサーバ装置に、サービスの提供に用いるウェブコンテンツ情報と、不正検知スクリプトとを記憶する記憶手段と、該ウェブコンテンツ情報に、該不正検知スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信手段とを備える。

　また、ユーザ端末装置に、該ウェブコンテンツ情報を受信するコンテンツ受信手段と、該ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、該不正検知スクリプトを実行するウェブブラウザ処理手段と、該不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備え、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信すると共に、該不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行い、該不正検知サーバ装置は、該ユーザ端末装置との通信を行うユーザ端末通信手段と、該不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段とを備えたことを特徴とする。

　さらに本発明は、次のような不正検知方法を提供することもできる。
　すなわち、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、ネットワークに接続された不正検知サーバ装置がユーザ端末装置における不正動作を検知する不正検知ネットワークシステムにおける不正検知方法を提供する。

本方法において、次の各ステップを有する。
(S1)ウェブサーバ装置のコンテンツ送信手段が、サービスの提供に用いるウェブコンテンツ情報に、不正検知サーバ装置を呼び出しするための呼出スプリクトを含めてユーザ端末装置に送信するコンテンツ送信ステップ、
(S2)ユーザ端末装置において、コンテンツ受信手段が、ウェブコンテンツ情報を受信するコンテンツ受信ステップ、
(S3)ウェブブラウザ処理手段が、呼出スクリプトに基づいて不正検知サーバから不正検知スクリプトを取得する不正検知スクリプト取得ステップ、
(S4)不正検知スクリプトに基づいてウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する検索結果送信ステップ、
(S5)不正検知サーバ装置において、不正検知手段が、検索結果について不正動作の有無を検知し、ユーザ端末装置に不正検知結果を送信する不正検知ステップ、
(S6)ユーザ端末装置のウェブブラウザ処理手段が、不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップ。

　不正検知スクリプト取得ステップ(S3)の後に、ウェブブラウザ処理手段が、不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないようにウェブコンテンツを変更してもよい。

　コンテンツ送信ステップ(S1)の前に、ウェブサーバ装置と、ユーザ端末装置との間でセキュアな通信を確立するセキュア通信確立ステップ(S01)と、ウェブサーバ装置の認証手段とユーザ端末装置の認証手段との間で第1の認証処理を行う第1認証ステップ(S02)とを有する構成でもよい。

　検索結果送信ステップ(S4)又は不正検知ステップ(S5)の後に、不正検知サーバ装置のログ記録手段が、ユーザ端末装置から受信した検索結果、又は不正検知手段による検知結果、の少なくともいずれかを記録するログ記録ステップ(S41)を有する構成でもよい。

　コンテンツ送信ステップ(S1)の前に、ウェブサーバ装置の難読化手段が、呼出スクリプトを難読化する難読化ステップ(S03)を有する構成でもよい。

　本発明は、次のような不正検知ネットワークシステムにおける不正検知方法を提供することもできる。
　本方法では、ウェブサーバ装置のコンテンツ送信手段が、サービスの提供に用いるウェブコンテンツ情報に、不正検知スプリクトを含めて該ユーザ端末装置に送信するコンテンツ送信ステップ、該ユーザ端末装置において、コンテンツ受信手段が、該ウェブコンテンツ情報を受信するコンテンツ受信ステップ、ウェブブラウザ処理手段が、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信する検索結果送信ステップ、該不正検知サーバ装置において、不正検知手段が、該検索結果について不正動作の有無を検知し、該ユーザ端末装置に不正検知結果を送信する不正検知ステップ、該ユーザ端末装置のウェブブラウザ処理手段が、該不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップの各ステップを少なくとも有することを特徴とする。

　本発明は以上の構成をとることによって、不正動作を行うマルウェアの挙動を効率的に検知すると共に、導入が容易で動作を妨げにくい不正検知ネットワークシステム及び不正検知方法を提供することができる。特に、ウェブコンテンツ情報に呼出スクリプトを含めて送信するだけで初期の導入が可能であり、難読化されたスクリプトを用いることで検知を難しくすることができる点で従来技術に比して効果を奏する。

本発明における不正検知ネットワークシステムの全体図である。本発明の不正検知方法のフローチャートである。本発明に係るウェブサーバ装置のブロック図である。本発明に係るユーザ端末装置のブロック図である。本発明に係る不正検知サーバ装置のブロック図である。本発明の不正検知方法における第１段階の処理説明図である。本発明の不正検知方法における第２段階の処理説明図である。本発明の不正検知方法における第３段階の処理説明図である。本発明の不正検知方法における第４段階の処理説明図である。本発明の不正検知方法の別実施例のフローチャートである。本発明の不正検知方法の別実施例の処理説明図である。

　以下、本発明の実施形態を図面を用いて説明する。本発明は以下の実施例に限定されず請求項記載の範囲で適宜実施することができる。
　図１は、本発明における不正検知ネットワークシステム（１）の全体図である。本システムは、公知のインターネットバンキングや、オンライン証券システムを始めとする特に高いセキュリティが要求されるサービスを提供するシステムに適用可能である。

　このようなシステムにおいては、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行う方法が公知である。例えば、インターネットバンキングにおいて契約者ごとに縦横５列の乱数表を配付しておき、乱数表から２つの数字を問う認証方法が用いられている。また、ペットの名前、母親の旧姓など予めユーザが設定した質問とその答えの組み合わせから、いくつかの質問を提示して正解を求める認証方法も知られている。
　本発明では、マルウェアが正規の画面を改変して本来問われていない正解を不正に取得することを防止する技術を提供する。

　本システム（１）は、インターネット（２）等のネットワークに接続されたウェブサーバ（１０）と、ユーザ端末（２０）、不正検知サーバ（３０）とから構成され、周知のようにウェブサーバ（１０）は多数のユーザ端末（２０）からのアクセスを受けてインターネットバンキング等のウェブを用いたサービスを提供する。

　本発明が対象とするMITB攻撃では、ウェブサーバ（１０）とユーザ端末（２０）との通信が確立した中で、ウェブサーバ（１０）から受信したウェブコンテンツの内容を書き換えてウェブブラウザで表示させ、ユーザに本来と異なる情報を入力させる。ユーザからは正しい接続先のウェブサーバからの質問と区別がつかないため答えてはならない情報を提供してしまう問題がある。入力された情報は、マルウェアによってインターネットで接続された不正サーバ（４０）に送信される結果となる。

　図２は本発明に係る不正検知方法のフローチャート、図３はウェブサーバ（１０）のブロック図、図４はユーザ端末（２０）のブロック図、図５は不正検知サーバ（３０）のブロック図である。以下、図面を参照しながら説明する。

　ウェブサーバ（１０）はコンピュータを用いた公知のサーバ装置であって、ＣＰＵ（１０）においてコンピュータプログラムによって実現されるウェブサーバ処理部（１００）と、難読化処理部（１０１）、第１認証部（１０２）、第２認証部（１０３）を備えている。また、インターネット（２）との通信を行うネットワークインタフェースである通信部（１１）、ハードディスクやメモリで提供される記憶部（１２）を備えている。その他の周知の構成については省略する。
　記憶部（１２）にはサービスを提供するためのコンテンツ情報（１２０）と、本発明に係る呼出スクリプト（１２１）が格納されている。

　ユーザ端末（２０）もコンピュータを用いた周知の端末装置であって、ＣＰＵ（２０）においてコンピュータプログラムによって実現されるウェブブラウザ部（２００）、不正検知サーバ通信部（２０１）、第１認証部（２０２）、第２認証部（２０３）を備えている。インターネット（２）との通信を行う通信部（２１）の他、入力手段として例えばキーボード・マウス（２２）や画面表示を行うモニタ（２３）を接続している。

　さらに不正検知サーバ（３０）も公知のサーバ装置であって、ＣＰＵ（３０）にはユーザ端末通信部（３００）、不正検知処理部（３０１）、ログ記録部（３０２）が実装され、インターネット（２）との通信を行う通信部（３１）と、不正検知スクリプト（３２０）及び検知データベース（３２１）を格納した記憶部（３２）を接続している。

　本発明の実施において必須ではないが、一般的にはＳＳＬ通信などのセキュアな通信をウェブサーバ（１０）とユーザ端末（２０）との間で確立（S01）した後、第１認証（Ｓ０２）処理として、ウェブサーバの第１認証部（１０２）がＩＤとパスワードを促す画面をユーザ端末（２０）に送信し、ユーザが入力した認証情報を第１認証部（２０２）が返信する。

　従来の一般的な手順では、第１認証に続いて第２認証を行ってサービスの提供を開始する。本発明では、ウェブサーバ（１０）のウェブサーバ処理部（１００）が第２認証の入力を行うための画面表示を行う情報、すなわちマークアップ言語で記述されたコンテンツ情報（１２０）をユーザ端末（２０）に送信する際に、JavaScript（登録商標）で記述された呼出スクリプト（１２１）を含めて送信する（コンテンツ送信ステップ：S1)。

　図６は本発明の第１段階の情報の流れを示しており、コンテンツ情報（１２０）に呼出スクリプト（１２１）を内在させたウェブコンテンツ（１２２）がユーザ端末（２０）に送信（ｆ１）される状態を表す。
　ユーザ端末（２０）においてコンテンツを受信（S2）すると、ウェブコンテンツ（１２２）から呼出スクリプト（１２１）を読み出してウェブブラウザ部（２００）が実行処理する。周知のようにJavaScriptの実行はほとんど全てのウェブブラウザアプリケーションが標準で可能である。なお、本発明のスクリプト言語はJavaScriptに限定されず、ユーザ端末のブラウザが実行可能で、かつユーザ端末のブラウザ上で実行可能なプログラムであれば任意に適用できる。

　図７は本発明の第２段階の情報の流れを示す。呼出スクリプトには不正検知サーバ（３０）のアドレスと、読み出すべき情報が規定されており、それに従ってユーザ端末（２０）からアクセス（ｆ２）が行われる。
　このアクセスに対して不正検知サーバ（３０）のユーザ端末通信部（３００）は、記憶部（３２）から呼出スクリプト（１２１）が指定する不正検知スクリプト（３２０）を読み出してユーザ端末（２０）の不正検知サーバ通信部（２０１）に返信（ｆ３）する（不正検知スクリプト取得ステップ：S3) 。

　ここで本発明の特徴として、不正検知スクリプトは、単にユーザ端末（２０）が受信したウェブコンテンツ（１２２）の内容を検索し、必要な情報を抽出するだけの処理を行うものであり、ウイルス探索などを行うものでない点が挙げられる。
　すなわち、従来のようにウイルス探索を目的とした実行ファイルを送信する場合、ファイルの送信自体や、その後の探索に多くの時間が必要である。また、例えばActive X（登録商標）コントロールによりウイルス探索を行おうとすると、その挙動自体をマルウェアが探知しやすく、探索を阻止されやすい欠点がある。さらに、Active Xコントロールはウェブブラウザへのプラグインのインストールなどが必要で、実行環境が限定される問題もある。

　本発明は、不正検知スクリプトの受信だけであって通常のサービスにおける通信と判別しにくい利点があり、また小容量のスクリプトの通信の後、簡単な検索処理を行うだけであるため、高速化が図られる。実際、本発明の処理を導入しても、第２認証までの処理時間は一瞬で完了するため、ユーザが処理を意識することはない。

　ウェブブラウザ部（２００）では不正検知スクリプトに従って、ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する（検索結果送信ステップ：S4)。図８は本発明の第３段階の情報の流れを示す。

　ユーザ端末（２０）において不正検知スクリプトが検索する例として、ウェブコンテンツ（１２２）のHTML言語におけるinputタグやformタグが挙げられる。MITB攻撃では、ウェブサーバ（１０）とユーザ端末（２０）がSSLによってセキュアな通信を行っていても、復号されてユーザ端末（２０）上でウェブブラウザで表示を行う直前にコンテンツの書き換えが行われる。そこで、この書き換えが行われていないかどうかを確認するために、HTMLコンテンツに係る情報を検索する。

　具体的にはウェブコンテンツ（１２２）に含まれるinputタグやformタグの数を抽出することもできる。本来２つの数字だけを入力させるはずなのに、書き換えによって１５個の入力欄が設けられている場合を発見することができる。また、inputタグのname情報などの属性情報に何が含まれているかを抽出することも有効である。

　本発明ではこの情報が正しいかどうかをユーザ端末（２０）がその場で判定するものではなく、不正検知スクリプト（３２０）はあくまでもこれらの情報を検索して不正検知サーバ（３０）に送信する役割を担う。図８における検知情報の送信（ｆ４）では、ウェブブラウザ部（２００）が、不正検知スクリプト（３２０）で指定されているタグの数や名前の情報をAPIサーバ（３０３）に送信（S4）する。

　検索されるウェブコンテンツ情報に含まれる検知対象データとしては、タグに限らずHTMLコンテンツ内の任意の文字列でもよい。例えば、マルウェアによる偽画面を警告する表示が含まれている場合に、マルウェアがその警告画面自体を表示しないように書き換えることがある。そのような改変に対応するために、当該警告画面に係るテキストや画像、ウインドウ操作のタグなどが存在するかどうかを検索することもできる。

　検知情報の送信時には、検索した値自体を送信してもよいし、例えばハッシュ関数を用いて所定の計算を行った後の値を送信してもよい。

　図９は本発明の第４段階の情報の流れを示す。
　不正検知サーバ（３０）のユーザ端末通信部（３００）が指定された情報を受信（ｆ４）すると、不正検知処理部（３０１）が検知データベース（３２１）を参照しながら正しいウェブサイトの情報と一致するかどうかを照合する。上記実施例に則して言えば、inputタグやformタグの数が変わっていないか、タグのnameなどの属性値に加除修正されたものがないか、テキストや画像のリンク、操作タグの変更がないか、などを照合する。明らかなように、これらの照合はコンピュータの処理としては負荷が非常に小さく、照合処理自体も短時間で終了する。
　このように不正検知ステップ（S5）では、マルウェアによって不正動作が行われていないかどうかを検知し、ユーザ端末（２０）の不正検知サーバ通信部（２０１）に対して判定結果を送信（ｆ５）する。

　不正検知サーバ（３０）からの判定結果によって、ウェブブラウザ部（２００）は不正対策動作（S6)を行う。すなわち、ウェブコンテンツ（１２２）の書き換えなどが認められた場合には、不正検知スクリプト（３２０）がユーザ端末（２０）からの情報の送信を禁止(f6)し、ユーザに対して警告表示などを行ってもよい。あるいは、ウェブサーバ（１０）に対してユーザのアカウントを一時的に無効化するための信号を送信してもよい。本発明では不正対策動作については限定しない。

　一方、判定結果が問題無しであれば、通常通りの第２認証処理（S7)に進み、サービスを開始（S8)すればよい。

　本発明の別実施例におけるフローチャートを図１０に示す。
　本実施例では、呼出スクリプト（１２１）をウェブコンテンツ（１２２）に含める際に、難読化処理部（１０１）で難読化処理（S03)を行う。JavaScriptの難読化処理は公知であり、スクリプトの内容を分かりにくくする技術であれば適宜適用することができる。難読化によってマルウェアが呼出スクリプトの存在や内容を察知しにくくすることができる。なお、難読化処理はコンテンツ送信ステップ（Ｓ１）よりも前に行えばよい。例えばコンテンツの準備時に予め行っておけばよい。

　また同時に、第１認証や第２認証の画面や、その他のサービス画面にはそもそもスクリプトが含まれていることが一般的であり、この一般的なスクリプトと、呼出スクリプトを合わせて難読化することにより、さらにマルウェアが操作を行いにくくする効果もある。例えば、スクリプトが含まれていることは察知できても、本来の部分と呼出スクリプトの部分を切り分けることは悪意者側では困難である。必要なスクリプトが削除されることで本来期待される動作が行えなくなり、正しくウェブアプリケーションがブラウザ上で動作しなくなることが期待される。従って、この難読化処理（S03)は本発明との組み合わせにおいて特に有効に作用する。

　上記実施例では、難読化処理（S03)を呼出スクリプト（１２１）に対して行ったが、不正検知スクリプトに対して行ってもよい。すなわち上記と同様の難読化処理部を不正検知サーバ（３０）に備え、不正検知スクリプトを難読化することもできる。
　この場合においても、不正検知スクリプトを送信するたびに難読化するだけでなく、不正検知スクリプトの準備時に予め行っておいてもよい。

　不正結果送信ステップ（S4)又は不正検知ステップ（S5)の後で、不正検知サーバ（３０）のログ記録部（３０２）がユーザ端末（２０）から受信した検索結果、又は不正検知処理部（３０１）による検知結果、の少なくともいずれかを記録することもできる（ログ記録ステップ：S41)。
　収集するログの情報としては、判定結果として検索したウェブコンテンツの識別番号、判定結果、ユーザ端末（２０）のIPアドレス、ウェブブラウザのUser-Agent情報、アクセス日時などが挙げられる。
　また、検索したコンテンツ自体を記録してもよく、その場合は改変された後のHTMLコンテンツを記録して、マルウェアの解析に用いることができる。

　難読化処理（S03)の処理と前後して、ウェブブラウザ部（２００）がユーザからの入力を一時的に停止することもできる。すなわち、マルウェアによってはユーザが入力すると同時に不正サーバ（４０）に対して情報を送信する恐れがあるため、呼出スクリプト（１２１）に入力を停止する処理を含めておき、いかなるフォームにも入力を受け付けないようにすることで、情報の流出を回避することができる。

　さらに上記では不正検知サーバ（３０）とウェブサーバ（２０）とを分散させているため、呼出スクリプト（１２１）が呼び出す不正検知サーバ（３０）のアドレスやドメイン名がウェブサーバ（２０）と異なる。特にドメイン名が明らかにウェブサーバ（２０）の運営者の物と異なるとマルウェアによって察知されやすくなるため、不正検知サーバ（３０）のドメイン又はサブドメインをウェブサーバ（２０）と同じドメイン内となるようにDNS(Domain Name Server）の登録を行うことが好ましい。ウェブサーバ（２０）と不正検知サーバ（３０）が同一ドメインとなることで、上記した難読化処理（S03）と合わせて、本発明の不正検知方法による挙動がさらに分かりにくくなる。

　本発明において、上記呼出スクリプトに代えて、不正検知スクリプトをウェブコンテンツ（１２２）に含める構成でもよい。すなわち、図１１に示すように、上記と同様の不正検知ネットワークシステムにおいて、ウェブサーバ（１０）は、サービスの提供に用いるウェブコンテンツ（１２２）と共に、呼出スクリプトに代えて不正検知スクリプト（３２２）を記憶する。

　不正検知スクリプト（３２２）が含められたウェブコンテンツ（１２２）はユーザ端末（２０）のウェブブラウザ部（２００）に送られ、ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、不正検知スクリプト（３２２）を実行する。
　以降の処理は上記実施例と同様であり、ウェブブラウザ部（２００）が、不正検知スクリプト（３２０）で指定されているタグの数や名前の情報をAPIサーバ（３０３）に送信する。

　不正検知サーバ（３０）のユーザ端末通信部（３００）が指定された情報を受信すると、不正検知処理部（３０１）が検知データベース（３２１）を参照しながら正しいウェブサイトの情報と一致するかどうかを照合する。
　不正検知サーバ（３０）からの判定結果によって、ウェブブラウザ部（２００）は不正対策動作を行う。

　以上に述べたように、本発明はMITB攻撃の対策としてウェブコンテンツの改ざんを簡便に検知する技術である。登録されたマルウェアやその挙動のリストを持つブラックリスト方式ではなく、正規のウェブコンテンツにおける必要な条件をホワイトリストとして有することで、新規のマルウェアに対しても柔軟に対応することができる。
　スクリプトを追加することで本発明は実施できるため、ユーザ端末装置におけるクライアントソフトのインストールが不要であり、しかも高速な処理が実現できる。また、不正検知サーバ装置がログ情報を収集することで、被害を受けた顧客の情報や、判定結果、異常コンテンツの収集が可能であり、被害の拡大防止にも寄与する。

　１　不正検知ネットワークシステム
　２　インターネット
　１０　ウェブサーバ
　２０　ユーザ端末
　３０　不正検知サーバ
　４０　不正サーバ

Claims

　予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムであって、
　該ウェブサーバ装置に、
　サービスの提供に用いるウェブコンテンツ情報と、不正検知サーバ装置を呼び出しするための呼出スプリクトとを記憶する記憶手段と、
　該ウェブコンテンツ情報に、該呼出スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信手段と
　を備えると共に、
　該ユーザ端末装置に、
　該ウェブコンテンツ情報を受信するコンテンツ受信手段と、
　該ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、該呼出スクリプトを実行するウェブブラウザ処理手段と、
　該不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備え、
　該呼出スクリプトに基づいて該不正検知サーバから不正検知スクリプトを取得し、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信すると共に、該不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行い、
　該不正検知サーバ装置は、
　該呼出スクリプトに対応する不正検知スクリプトを記憶する不正検知スクリプト記憶手段と、
　該ユーザ端末装置との通信を行うユーザ端末通信手段と、
　該不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段と
　を備えたことを特徴とする不正検知ネットワークシステム。
　前記ウェブブラウザ処理手段が、前記不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないように該ウェブコンテンツを変更する
　請求項１に記載の不正検知ネットワークシステム。
　前記検知対象データが、マークアップ言語におけるタグとタグの属性情報である
　請求項1又は２に記載の不正検知ネットワークシステム。
　前記検知対象データが、前記認証処理に係るテキストである
　請求項1ないし３のいずれかに記載の不正検知ネットワークシステム。
　前記ウェブサーバ装置と前記ユーザ端末装置の認証手段との間でセキュアな通信を確立した後に、
　該ウェブサーバ装置の認証手段と前記ユーザ端末装置の認証手段との間で第1の認証処理を行い、
　該ウェブサーバ装置から該ユーザ端末装置に対して前記呼出スクリプトを含むウェブコンテンツ情報を送信する
　請求項１ないし４のいずれかに記載の不正検知ネットワークシステム。
　前記不正検知サーバ装置において、前記ユーザ端末装置から受信した検索結果、又は前記不正検知手段による検知結果、の少なくともいずれかをログ記録手段が記録を行う
　請求項１ないし５のいずれかに記載の不正検知ネットワークシステム。
　前記ウェブサーバ装置において、前記呼出スクリプトを難読化する難読化手段を備え、
　前記コンテンツ送信手段が、前記ウェブコンテンツ情報に、難読化された該呼出スクリプトを含めて送信する
　請求項１ないし６のいずれかに記載の不正検知ネットワークシステム。
　予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムであって、
　該ウェブサーバ装置に、
　サービスの提供に用いるウェブコンテンツ情報と、不正検知スクリプトとを記憶する記憶手段と、
　該ウェブコンテンツ情報に、該不正検知スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信手段と
　を備えると共に、
　該ユーザ端末装置に、
　該ウェブコンテンツ情報を受信するコンテンツ受信手段と、
　該ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、該不正検知スクリプトを実行するウェブブラウザ処理手段と、
　該不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備え、
　該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信すると共に、該不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行い、
　該不正検知サーバ装置は、
　該ユーザ端末装置との通信を行うユーザ端末通信手段と、
　該不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段と
　を備えたことを特徴とする不正検知ネットワークシステム。
　予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムにおける不正検知方法であって、
　該ウェブサーバ装置のコンテンツ送信手段が、サービスの提供に用いるウェブコンテンツ情報に、不正検知サーバ装置を呼び出しするための呼出スプリクトを含めて該ユーザ端末装置に送信するコンテンツ送信ステップ、
　該ユーザ端末装置において、
　コンテンツ受信手段が、該ウェブコンテンツ情報を受信するコンテンツ受信ステップ、
　ウェブブラウザ処理手段が、該呼出スクリプトに基づいて該不正検知サーバから不正検知スクリプトを取得する不正検知スクリプト取得ステップ、
　該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信する検索結果送信ステップ、
　該不正検知サーバ装置において、
　不正検知手段が、該検索結果について不正動作の有無を検知し、該ユーザ端末装置に不正検知結果を送信する不正検知ステップ、
　該ユーザ端末装置のウェブブラウザ処理手段が、該不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップ
　の各ステップを少なくとも有することを特徴とする不正検知方法。
　前記不正検知スクリプト取得ステップの後に、
　前記ウェブブラウザ処理手段が、前記不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないように該ウェブコンテンツを変更する
　請求項９に記載の不正検知方法。
　前記検知対象データが、マークアップ言語におけるタグとタグの属性情報である
　請求項９又は１０に記載の不正検知方法。
　前記検知対象データが、前記認証処理に係るテキストである
　請求項９ないし１１のいずれかに記載の不正検知方法。
　前記コンテンツ送信ステップの前に、
　前記ウェブサーバ装置と、前記ユーザ端末装置との間でセキュアな通信を確立するセキュア通信確立ステップと、
　該ウェブサーバ装置の認証手段と該ユーザ端末装置の認証手段との間で第1の認証処理を行う第1認証ステップとを有する
　請求項９ないし１２のいずれかに記載の不正検知方法。
　前記検索結果送信ステップ又は前記不正検知ステップの後に、
　前記不正検知サーバ装置のログ記録手段が、前記ユーザ端末装置から受信した検索結果、又は前記不正検知手段による検知結果、の少なくともいずれかを記録するログ記録ステップを有する
　請求項９ないし１３のいずれかに記載の不正検知方法。
　前記コンテンツ送信ステップの前に、
　前記ウェブサーバ装置の難読化手段が、前記呼出スクリプトを難読化する難読化ステップを有する
　請求項９ないし１４のいずれかに記載の不正検知方法。
　予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムにおける不正検知方法であって、
　該ウェブサーバ装置のコンテンツ送信手段が、サービスの提供に用いるウェブコンテンツ情報に、不正検知スプリクトを含めて該ユーザ端末装置に送信するコンテンツ送信ステップ、
　該ユーザ端末装置において、
　コンテンツ受信手段が、該ウェブコンテンツ情報を受信するコンテンツ受信ステップ、
　ウェブブラウザ処理手段が、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信する検索結果送信ステップ、
　該不正検知サーバ装置において、
　不正検知手段が、該検索結果について不正動作の有無を検知し、該ユーザ端末装置に不正検知結果を送信する不正検知ステップ、
　該ユーザ端末装置のウェブブラウザ処理手段が、該不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップ
　の各ステップを少なくとも有することを特徴とする不正検知方法。