WO2016121621A1

WO2016121621A1 - 情報処理装置、情報処理方法及びプログラム

Info

Publication number: WO2016121621A1
Application number: PCT/JP2016/051727
Authority: WO
Inventors: 淳一初田
Original assignee: 株式会社ラック
Priority date: 2015-01-27
Filing date: 2016-01-21
Publication date: 2016-08-04
Also published as: US20170187731A1; JP2016139935A; JP5980968B2

Abstract

　情報処理装置は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得部と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得部が取得したドメインに付随して登録された情報である関連情報を取得する関連情報取得部と、予め定められた基準を満たす接続先とされるドメイン及び当該ドメインの関連情報を記憶する記憶部と、前記関連情報取得部が取得した前記関連情報のうち少なくとも１つの情報と同じ情報が前記記憶部に記憶されていれば、前記ドメイン取得部が取得したドメインと同じドメインが前記記憶部に記憶されていない場合であっても、前記通信を前記予め定められた基準を満たすものとして検出する検出部とを備える。

Description

情報処理装置、情報処理方法及びプログラム

　本発明は、情報処理装置、情報処理方法及びプログラムに関する。
　本願は、２０１５年１月２７日に日本に出願された特願２０１５－１３７４７号に基づき優先権を主張し、その内容をここに援用する。

　近年、コンピュータウイルスに代表されるマルウェアは、侵入方法、攻撃手法の何れにおいても高度化かつ巧妙化しており、当該マルウェアの被害を未然に防ぐことや当該マルウェアの被害を局所化することが困難になりつつある。従来のマルウェアの場合は、当該マルウェアの攻撃と被害との関係を容易に推測することができ、対処の難易度の違いはあれど、比較的早期に当該マルウェアを発見することができた。しかし、現在のマルウェアの場合は、当該マルウェアの侵入に気が付き難く、当該マルウェアが発見されるまでに甚大な被害が生じてしまっている。従来、このような高度化かつ巧妙化したマルウェアを検出するために、例えば、当該マルウェアが通信する先のドメインを検査する手法が用いられる場合がある。

　また、ドメインをもとに不正を検知する技術として、特許文献１は、電子メールの作成者ドメイン毎に転送経路をドメイン経路として学習し、判定対象メールの転送経路が判定対象の作成者ドメインのドメイン経路と一致しない場合に、判定対象メールが詐称メールである可能性があると判定する検出装置を開示している。

特開２０１４－６４２３５号公報

　上記の手法のように、通信先のドメインを検査してマルウェアを検出する場合には、予め不正となるドメインを把握しておくことが求められる。しかしながら、攻撃者は、マルウェアによる攻撃を行うために新たにドメインを登録すれば良く、新たに登録されたドメインをもとにマルウェアを検出することは困難であった。また、特許文献１の技術は、このようなマルウェアによる攻撃を検出するものではない。
　本発明の実施形態の目的は、監視対象とするネットワーク上で検知された通信を予め定められた基準を満たすものとして検出することを容易にすることにある。

　かかる目的のもと、本発明の実施形態に係る情報処理装置は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得部と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、ドメイン取得部が取得したドメインに付随して登録された情報である関連情報を取得する関連情報取得部と、予め定められた基準を満たす接続先とされるドメイン及びドメインの関連情報を記憶する記憶部と、関連情報取得部が取得した関連情報のうち少なくとも１つの情報と同じ情報が記憶部に記憶されていれば、ドメイン取得部が取得したドメインと同じドメインが記憶部に記憶されていない場合であっても、通信を予め定められた基準を満たすものとして検出する検出部とを備える。
　上記の情報処理装置において、通信が予め定められた基準を満たすものとされた場合に、関連情報取得部が取得した関連情報のうち記憶部に記憶されていない情報を、予め定められた基準を満たすドメインの情報として記憶部に登録する登録部をさらに備えるもの、であってもよい。
　上記の情報処理装置において、通信が予め定められた基準を満たすものとされた場合に、ドメイン管理装置から、関連情報取得部が取得した関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得部と、ドメイン情報取得部が取得したドメインの情報を、予め定められた基準を満たすドメインの情報として記憶部に登録するドメイン情報登録部とをさらに備えるもの、であってもよい。
　上記の情報処理装置において、ドメイン管理装置が保持する情報が更新された旨の通知を受け付ける受付部と、受付部が受け付けた通知により、記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して新たなドメインがドメイン管理装置に追加されたことを把握すると、追加されたドメインの情報を記憶部に登録する追加ドメイン登録部とをさらに備えるもの、であってもよい。
　本発明の実施形態に係る情報処理装置は、インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及びドメインに付随して登録された情報である関連情報を記憶する記憶部と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得部と、ドメイン情報取得部が取得したドメインの情報を、予め定められた基準を満たすものとして、記憶部に登録する登録部とを備える。
　上記の情報処理装置において、ドメイン情報取得部は、さらに、ドメイン管理装置から、登録部が記憶部に登録したドメインの情報に含まれる関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されている他のドメインの情報を取得し、登録部は、さらに、ドメイン情報取得部が取得した他のドメインの情報を、予め定められた基準を満たすものとして、記憶部に登録する、ものであってもよい。
　上記の情報処理装置において、登録部は、ドメイン情報取得部が取得したドメインの情報を、すでに記憶部に記憶されている情報とは区別して登録する、ものであってもよい。
　本発明の実施形態に係る情報処理方法は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するステップと、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、取得したドメインに付随して登録された情報である関連情報を取得するステップと、取得した関連情報のうち少なくとも１つの情報と同じ情報が、予め定められた基準を満たす接続先とされるドメイン及びドメインの関連情報を記憶する記憶部に記憶されていれば、取得したドメインと同じドメインが記憶部に記憶されていない場合であっても、通信を予め定められた基準を満たすものとして検出するステップとを含む。
　本発明の実施形態に係る情報処理方法は、インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及びドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得するステップと、取得したドメインの情報を、予め定められた基準を満たすものとして、記憶部に登録するステップとを含む。
　本発明の実施形態に係るプログラムは、コンピュータに、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得する機能と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、取得したドメインに付随して登録された情報である関連情報を取得する機能と、取得した関連情報のうち少なくとも１つの情報と同じ情報が、予め定められた基準を満たす接続先とされるドメイン及びドメインの関連情報を記憶する記憶部に記憶されていれば、取得したドメインと同じドメインが記憶部に記憶されていない場合であっても、通信を予め定められた基準を満たすものとして検出する機能とを実現させるための、プログラムである。
　本発明の実施形態に係るプログラムは、コンピュータに、インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及びドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得する機能と、取得したドメインの情報を、予め定められた基準を満たすものとして、記憶部に登録する機能とを実現させるための、プログラムである。

　本発明の実施形態によれば、監視対象とするネットワーク上で検知された通信を予め定められた基準を満たすものとして容易に検出することができる。

本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。本実施の形態に係る攻撃検出装置の機能構成例を示したブロック図である。攻撃検出装置を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。攻撃者ＤＢに情報を登録する処理手順の一例を示したフローチャートである。ドメイン情報管理サーバに登録されている情報の一例を示す図である。攻撃者ＤＢに登録されたドメイン名の一覧の一例を示す図である。攻撃者ＤＢに登録されたドメイン関連情報の一覧の一例を示す図である。攻撃検出装置による処理の具体例を説明するための図である。攻撃検出装置による処理の具体例を説明するための図である。攻撃検出装置による処理の具体例を説明するための図である。攻撃検出装置による処理の具体例を説明するための図である。不正なドメインの情報をもとに他のドメインの情報を攻撃者ＤＢに追加する処理手順の一例を示したフローチャートである。

　以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
＜システム構成＞
　まず、本実施の形態が適用されるコンピュータシステムについて説明する。図１は、本実施の形態が適用されるコンピュータシステム１１の全体構成例を示した図である。図１に図示するように、このコンピュータシステム１１では、クライアント端末１０ａ、１０ｂ、１０ｃが社内ＬＡＮ（Local Area Network）５０に接続されている。また、攻撃検出装置２０が社内ＬＡＮ５０及びインターネット６０の両方に接続されている。さらに、攻撃者サーバ３０とドメイン情報管理サーバ４０とがインターネット６０に接続されている。

　クライアント端末１０ａ、１０ｂ、１０ｃは、ユーザが使用するコンピュータであり、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。また、本実施の形態において、クライアント端末１０ａ、１０ｂ、１０ｃは、マルウェアに感染することがあるものとする。ここで、マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。例えば、マルウェアの一つであるボットは、コンピュータに感染した後、Ｃ＆Ｃ（コマンド＆コントロール）サーバと呼ばれる制御用サーバに接続して攻撃者からの指令を待ち、感染したコンピュータ上で指令どおりの処理を実行する。

　なお、図１では、クライアント端末１０ａ、１０ｂ、１０ｃを示したが、これらを区別する必要がない場合にはクライアント端末１０と称することもある。また、図１には３台のクライアント端末１０しか示していないが、クライアント端末１０の台数は図示の３台には限定されない。

　攻撃検出装置２０は、社内ＬＡＮ５０とインターネット６０との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信の接続先（送信先）であるドメインの情報をもとに、攻撃である可能性の高い不正通信を検出する装置である。ここで、攻撃検出装置２０は、ネットワーク上で検知された通信として、例えば、クライアント端末１０から社内ＬＡＮ５０を介してインターネット６０へアクセスする際に経由するように設置されたプロキシサーバ（不図示）に蓄えられている通信のログを対象に、不正通信の検出を行う。また、攻撃検出装置２０は、例えば、現在ネットワーク上に流れているトラフィックを対象に不正通信の検出を行う場合もあるとする。攻撃検出装置２０は、例えば、ゲートウェイ等の通信装置の中に設けられても良いし、または、通信装置とは独立に設けられても良い。
　また、図１では、攻撃検出装置２０を社内ＬＡＮ５０とインターネット６０との間の通信回線上にインラインで設置するのではなく、例えば、プロキシサーバなどから通信のログを攻撃検出装置２０が取得するような構成にしている。他の例として、攻撃検出装置２０をインラインで設置した構成にしても良い。
　本実施の形態では、情報処理装置の一例として、攻撃検出装置２０が用いられる。本実施の形態では、情報処理方法の一例として、攻撃検出装置２０により行われる処理の方法が用いられる。

　攻撃者サーバ３０は、マルウェアに感染したクライアント端末１０が通信の接続先とするサーバであり、攻撃者が運営しているものである。攻撃者サーバ３０は、例えばクライアント端末１０がボットに感染した場合には、クライアント端末１０が攻撃者からの指令を待つために接続する接続先の制御用サーバに該当する。また、図１には１台の攻撃者サーバ３０しか示していないが、２台以上の攻撃者サーバ３０が存在する場合もあるとする。

　ドメイン情報管理サーバ４０は、インターネット６０において使用するために登録されたドメインの情報を管理するサーバであり、例えば、ドメインに関する情報をインターネット６０上で提供する情報提供サービスであるＷＨＯＩＳのサーバに該当する。ドメイン情報管理サーバ４０には、インターネット６０上で登録されたドメインを特定するドメイン名や、そのドメイン（ドメイン名）を登録する際に付随して登録された情報が記憶されている。ドメインを登録する際に付随して登録された情報としては、例えば、ドメインを登録した登録者に関する情報などが存在する。以下では、ドメインを登録する際に付随して登録された情報を、ドメイン関連情報と称する。本実施の形態では、関連情報の一例として、ドメイン関連情報が用いられる。さらに、本実施の形態では、ドメイン管理装置の一例として、ドメイン情報管理サーバ４０が用いられる。

　社内ＬＡＮ５０は、会社内のコンピュータやプリンタを専用回線等で接続し、これらの間でデータを送受信できるようにしたネットワークである。

　インターネット６０は、ＴＣＰ／ＩＰ（Transmission Control Protocol／Internet Protocol）を用いて全世界のネットワークを相互に接続した巨大なネットワークである。

　本実施の形態において、クライアント端末１０は、マルウェアに感染した場合、攻撃者サーバ３０などの不正なサーバに接続して処理を行う。そこで、攻撃検出装置２０は、攻撃者サーバ３０等の不正なサーバに接続するための接続先であるドメイン及びそのドメインのドメイン関連情報を予め記憶しておく。そして、攻撃検出装置２０は、社内ＬＡＮ５０とインターネット６０との間のネットワークを監視対象とし、監視対象であるネットワーク上で検知された通信が接続先とするドメインやそのドメインのドメイン関連情報が記憶していた情報に一致すれば、当該通信を不正な通信として検出する。さらに、攻撃検出装置２０は、検出した不正通信のドメイン及びそのドメインのドメイン関連情報を、不正なドメインの情報として新たに記憶する。

＜攻撃検出装置の機能構成＞
　次に、攻撃検出装置２０の機能構成について説明する。図２は、本実施の形態に係る攻撃検出装置２０の機能構成例を示したブロック図である。

　図２に図示するように、攻撃検出装置２０は、社内ＬＡＮ５０（図１参照）とインターネット６０（図１参照）との間のネットワーク上で検知された通信の接続先であるドメインを特定するドメイン特定部２１と、特定されたドメインのドメイン関連情報をドメイン情報管理サーバ４０（図１参照）から取得するドメイン情報取得部２２と、攻撃者とされる不正なドメインの情報を記憶するドメイン記憶部２３とを備えている。また、攻撃検出装置２０は、処理対象の通信が不正通信であるか否かを判定する攻撃判定部２４と、不正通信と判定された通信のドメイン及びそのドメインのドメイン関連情報を新たに登録する攻撃者登録部２５と、不正なドメインとしてドメイン記憶部２３に記憶されているドメインを接続先とする通信を遮断する通信遮断部２６とを備えている。

　ドメイン取得手段（ドメイン取得部）の一例としてのドメイン特定部２１は、社内ＬＡＮ５０とインターネット６０との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信の接続先であるドメイン（ドメイン名）を特定する。ここで、ドメイン特定部２１は、例えば、ユーザの操作を契機として、クライアント端末１０から社内ＬＡＮ５０を介してインターネット６０へアクセスする際に経由するように設置されたプロキシサーバ（不図示）に蓄えられたログを参照し、処理対象とするドメインを特定する。また、例えば、クライアント端末１０から接続先であるドメインにアクセスするためのＩＰアドレスを要求するＤＮＳ（Domain Name System）通信が行われた場合には、ドメイン特定部２１は、その通信に含まれるデータの内容によりドメインの特定を行う。

　関連情報取得手段（関連情報取得部）の一例としてのドメイン情報取得部２２は、ドメイン特定部２１にて特定されたドメインについて、ドメイン情報管理サーバ４０に記憶されているドメイン関連情報を取得する。ドメイン情報管理サーバ４０は、ドメイン関連情報を記憶して保持する。

　記憶手段（記憶部）の一例としてのドメイン記憶部２３は、攻撃者による不正な接続先とされるドメインの情報が登録されたデータベース（以下、攻撃者ＤＢと称する）を記憶する。攻撃者ＤＢの情報は、すでに攻撃者と知られているドメイン名やそのドメインのドメイン関連情報をユーザが予め登録することにより記録されている。また、攻撃判定部２４により新たに攻撃と判定された不正通信のドメインについて、ドメイン名やそのドメインのドメイン関連情報を攻撃者登録部２５が登録することにより、その攻撃者ＤＢの情報が記録されている。

　検出手段（検出部）の一例としての攻撃判定部２４は、ドメイン特定部２１が特定したドメイン及びドメイン情報取得部２２が取得したドメイン関連情報と、ドメイン記憶部２３に記憶されている攻撃者ＤＢの情報とを比較して、処理対象の通信が不正通信であるか否かを判定する。ここで、攻撃判定部２４は、ドメイン特定部２１が特定したドメインと同じドメインが攻撃者ＤＢに登録されていれば、処理対象の通信が不正通信であると判定する。また、攻撃判定部２４は、ドメイン特定部２１が特定したドメインと同じドメインが攻撃者ＤＢに登録されていない場合であっても、ドメイン情報取得部２２が取得したドメイン関連情報のうち少なくとも１つの情報と同じ情報が攻撃者ＤＢに登録されていれば、処理対象の通信が不正通信であると判定する。

　登録手段（登録部）、ドメイン情報取得手段（ドメイン情報取得部）、ドメイン情報登録手段（ドメイン情報登録部）の一例としての攻撃者登録部２５は、攻撃判定部２４により不正通信と判定された通信について、その通信のドメイン及びそのドメインのドメイン関連情報を、ドメイン記憶部２３の攻撃者ＤＢに登録する。ここで、攻撃判定部２４により攻撃と判定されるにあたり、ドメイン特定部２１が特定したドメインが攻撃者ＤＢに登録されておらず、ドメイン情報取得部２２が取得したドメイン関連情報が攻撃者ＤＢに登録されていた場合と、ドメイン特定部２１が特定したドメインが攻撃者ＤＢに登録されていた場合とに分けて説明する。

　攻撃と判定されるにあたりドメイン特定部２１が特定したドメインが攻撃者ＤＢに登録されておらず、ドメイン情報取得部２２が取得したドメイン関連情報のうち少なくとも１つの情報が攻撃者ＤＢに登録されていた場合、攻撃者登録部２５は、ドメイン特定部２１が特定したドメインを新たな攻撃者の情報として攻撃者ＤＢに登録する。また、攻撃者登録部２５は、ドメイン情報取得部２２が取得したドメイン関連情報のうちまだ攻撃者ＤＢに登録されていない情報を、新たな攻撃者の情報として攻撃者ＤＢに登録する。さらに、攻撃者登録部２５は、ドメイン情報管理サーバ４０にアクセスして、ドメイン情報取得部２２が取得したドメイン関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインを検索する。そして、ドメイン情報取得部２２が取得したドメイン関連情報と同じ情報が付随して登録されているドメインが存在していれば、攻撃者登録部２５は、そのドメイン及びそのドメインのドメイン関連情報も合わせて攻撃者ＤＢに登録する。

　即ち、ドメイン情報取得部２２が取得したドメイン関連情報は、今回ドメイン特定部２１が特定したドメインのドメイン関連情報としてドメイン情報管理サーバ４０に登録されているものであるが、このドメイン関連情報と同じ情報をドメイン関連情報として登録している別のドメインが存在する場合がある。その場合、攻撃者登録部２５は、その別のドメイン及びドメイン関連情報についても、攻撃者の情報として攻撃者ＤＢに登録する。また、ドメイン特定部２１が特定したドメインのドメイン関連情報が複数ある場合には、そのドメイン関連情報のうち少なくとも１つの情報と同じ情報をドメイン関連情報として登録しているドメインが存在すれば、攻撃者登録部２５は、そのドメインに関する情報を攻撃者ＤＢに登録する。

　一方、攻撃と判定されるにあたりドメイン特定部２１が特定したドメインが攻撃者ＤＢに登録されていた場合、そのドメインについてのドメイン関連情報も攻撃者ＤＢにすでに登録されており、攻撃者登録部２５は、攻撃者ＤＢに新たに情報を登録しない。ただし、例えば、ユーザがドメインのみを予め攻撃者ＤＢに登録した場合などには、ドメイン関連情報は登録されていない。そのため、ドメイン特定部２１が特定したドメインが攻撃者ＤＢに登録されていた場合であっても、そのドメインについてドメイン情報取得部２２が取得したドメイン関連情報が攻撃者ＤＢに登録されていなければ、攻撃者登録部２５は、ドメイン関連情報を攻撃者ＤＢに登録しても良い。この場合、攻撃者登録部２５は、さらにドメイン情報管理サーバ４０にアクセスして、ドメイン情報取得部２２が取得したドメイン関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインが存在していれば、そのドメイン及びそのドメインのドメイン関連情報も合わせて攻撃者ＤＢに登録しても良い。

　通信遮断部２６は、ドメイン記憶部２３に記憶されているドメインの情報をもとに、社内ＬＡＮ５０（図１参照）とインターネット６０（図１参照）との間のネットワーク上で行われている通信を遮断するように制御する。即ち、攻撃者登録部２５により随時更新される攻撃者ＤＢをもとに、通信遮断部２６は、ネットワーク上で行われている通信を監視し、通信の接続先であるドメインが攻撃者ＤＢに登録されていれば、その通信を遮断する処理を行う。また、通信遮断部２６は、例えば、監視中の通信の接続先となるドメインのドメイン関連情報をドメイン情報管理サーバ４０から取得し、取得したドメイン関連情報が攻撃者ＤＢに登録されていれば、その通信を遮断する、構成にしても良い。

　遮断された通信は、例えば、プロキシサーバからインターネット６０に向けて通過しないように制御される。また、通信遮断部２６は、通信を遮断するのに代えて、または通信を遮断するのと合わせて、不正通信と判定されたことを通知するアラートを発生させても良い。アラートは、例えば攻撃検出装置２０の表示画面に表示されてユーザに報知される。

＜攻撃検出装置のハードウェア構成例＞
　次に、本実施の形態に係る攻撃検出装置２０のハードウェア構成について説明する。図３は、攻撃検出装置２０を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図３に図示するように、攻撃検出装置２０は、演算手段（演算部）であるＣＰＵ（Central Processing Unit）２０ａと、主記憶手段（主記憶部）であるメモリ２０ｃを備える。また、攻撃検出装置２０は、外部デバイスとして、磁気ディスク装置（ＨＤＤ：Hard Disk Drive）２０ｇ、ネットワーク・インターフェイス２０ｆ、ディスプレイ装置を含む表示機構２０ｄ、音声機構２０ｈ、キーボードやマウス等の入力デバイス２０ｉ等を備える。また、攻撃検出装置２０は、システム・コントローラ２０ｂと、Ｉ／Ｏコントローラ２０ｅを備える。

　図３に示す構成例では、メモリ２０ｃおよび表示機構２０ｄは、システム・コントローラ２０ｂを介してＣＰＵ２０ａに接続されている。また、ネットワーク・インターフェイス２０ｆ、磁気ディスク装置２０ｇ、音声機構２０ｈおよび入力デバイス２０ｉは、Ｉ／Ｏコントローラ２０ｅを介してシステム・コントローラ２０ｂと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。

　また、図３において、磁気ディスク装置２０ｇにはＯＳのプログラムやアプリケーション・プログラムが格納されている。そして、これらのプログラムがメモリ２０ｃに読み込まれてＣＰＵ２０ａに実行されることにより、本実施の形態に係る攻撃検出装置２０におけるドメイン特定部２１、ドメイン情報取得部２２、攻撃判定部２４、攻撃者登録部２５、通信遮断部２６の機能が実現される。また、例えば、磁気ディスク装置２０ｇ等の記憶する手段（記憶部）により、ドメイン記憶部２３が実現される。

　なお、図３は、本実施の形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施の形態は、不正通信を検出する装置に広く適用できるものであり、図３に図示した構成においてのみ本実施の形態が実現されるのではない。すなわち、本実施の形態を実現するための構成は、図３に示す構成に限定されない。

＜攻撃検出装置の処理手順＞
　次に、攻撃検出装置２０が攻撃者ＤＢに情報を登録する処理の手順について説明する。図４は、攻撃検出装置２０が攻撃者ＤＢに情報を登録する処理手順の一例を示したフローチャートである。図４に示す処理は、攻撃検出装置２０が監視対象とするネットワーク上で検知された通信ごとに実行される。

　まず、ドメイン特定部２１は、社内ＬＡＮ５０とインターネット６０との間の通信について、例えばプロキシサーバからログを取得することにより、その通信の接続先であるドメインを特定する（ステップ１０１）。次に、ドメイン情報取得部２２は、特定されたドメインについて、ドメイン情報管理サーバ４０に記憶されているドメイン関連情報を取得する（ステップ１０２）。

　次に、攻撃判定部２４は、ステップ１０１で特定されたドメインと同じドメインがドメイン記憶部２３の攻撃者ＤＢに登録されているか否かを判定する（ステップ１０３）。当該ドメインが攻撃者ＤＢに登録されていると判定された場合（ステップ１０３でＹｅｓ）、攻撃判定部２４は、処理対象の通信が攻撃による不正通信であると判断する。ここで、ドメインが攻撃者ＤＢに登録されていても、そのドメインのドメイン関連情報が攻撃者ＤＢに登録されていない場合には、攻撃者登録部２５はドメイン関連情報を攻撃者ＤＢに登録しても良い。また、攻撃者登録部２５は、ドメイン情報管理サーバ４０にアクセスして、ステップ１０２でドメイン情報取得部２２が取得したドメイン関連情報と同じ情報が付随して登録されたドメイン及びそのドメインのドメイン関連情報を、さらに攻撃者ＤＢに登録しても良い。そして、本処理フローは終了する。

　また、ステップ１０３において、ステップ１０１で特定されたドメインと同じドメインが攻撃者ＤＢに登録されていないと判定された場合（ステップ１０３でＮｏ）、攻撃判定部２４は、ステップ１０２で取得されたドメイン関連情報のうち少なくとも１つの情報と同じ情報が攻撃者ＤＢに登録されているか否かを判定する（ステップ１０４）。当該情報が攻撃者ＤＢに登録されていないと判定された場合（ステップ１０４でＮｏ）、本処理フローは終了する。

　一方、ステップ１０４において、当該情報が攻撃者ＤＢに登録されていると判定された場合（ステップ１０４でＹｅｓ）、攻撃者登録部２５は、ステップ１０２でドメイン情報取得部２２が取得したドメイン関連情報のうちまだ攻撃者ＤＢに登録されていない情報を攻撃者ＤＢに登録する（ステップ１０５）。ここで、攻撃者登録部２５は、ドメイン特定部２１が特定したドメインについても攻撃者ＤＢに登録する。また、攻撃者登録部２５は、ドメイン情報管理サーバ４０にアクセスして、ステップ１０２で取得されたドメイン関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されたドメイン及びそのドメインのドメイン関連情報をさらに攻撃者ＤＢに登録する（ステップ１０６）。そして、本処理フローは終了する。

　また、図４に示す手順では、ステップ１０６において、攻撃者登録部２５は、ステップ１０２でドメイン情報取得部２２が取得したドメイン関連情報と同じ情報が付随して登録されたドメイン及びドメイン関連情報を攻撃者ＤＢに登録して処理を終了したが、このような構成に限られるものではない。攻撃者登録部２５は、さらに、ドメイン情報管理サーバ４０にアクセスして、ステップ１０６にて攻撃者ＤＢに登録した情報をもとに、新たな攻撃者の情報を攻撃者ＤＢに登録する、構成としても良い。

　例えば、ステップ１０６で攻撃者ＤＢに登録されたドメイン関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されたドメインが存在すれば、攻撃者登録部２５は、そのドメイン及びそのドメインのドメイン関連情報をさらに攻撃者ＤＢに登録しても良い。このように、攻撃者登録部２５は、新たに攻撃者ＤＢに登録した情報に関連付けられたドメインがドメイン情報管理サーバ４０に記憶されていないか検索し、例えば検索により得た情報の全てが攻撃者ＤＢに登録済みとなるまで、ドメイン情報管理サーバ４０の情報を検索して攻撃者ＤＢに登録する処理を繰り返し実行する、構成としても良い。

＜ドメイン情報管理サーバに登録されている情報＞
　次に、ドメイン情報管理サーバ４０に登録されている情報について説明する。図５は、ドメイン情報管理サーバ４０に登録されている情報の一例を示す図である。

　図５に示す例では、「ＡＡＡ．ＣＯ．ＪＰ」という名前のドメインに関して、このドメインのドメイン関連情報として、ドメインを登録した登録者の組織名と、組織における技術担当者の氏名、メールアドレス、電話番号及びＦＡＸ番号とが登録されている。具体的には、組織名は「株式会社Ａ１」、技術担当者の氏名は「Ａ２」、メールアドレスは「Ａ３＠ｍａｉｌ１．ｃｏ．ｊｐ」、電話番号は「０３－ｘｘｘｘ－ｘｘｘ１」、ＦＡＸ番号は「０３－ｘｘｘｘ－ｘｘｘ２」と登録されている。

　このように、ドメイン情報管理サーバ４０には、インターネット６０において使用するために登録されたドメインのドメイン名とそのドメインのドメイン関連情報とがドメインごとに登録されている。ただし、ドメイン関連情報は、図５に示す種類の情報に限られるものではない。

＜攻撃者ＤＢに登録されている情報＞
　次に、ドメイン記憶部２３の攻撃者ＤＢに登録されている情報について説明する。図６Ａ及び図６Ｂは、攻撃者ＤＢに登録されている情報の一例を示す図である。図６Ａは、攻撃者ＤＢに登録されたドメイン名の一覧の一例を示す図である。また、図６Ｂは、攻撃者ＤＢに登録されたドメイン関連情報の一覧の一例を示す図である。

　まず、図６Ａに示す例では、「ＡＡＡ．ＣＯ．ＪＰ」、「ＢＢＢ．ＣＯ．ＪＰ」、「ＣＣＣ．ＣＯ．ＪＰ」、「ＤＤＤ．ＣＯ．ＪＰ」というドメイン名の４つのドメインが攻撃者のドメインとして攻撃者ＤＢに登録されている。これらのドメインについては、そのドメインをユーザが予め登録する場合もあれば、そのドメインを新たに攻撃と判定された不正通信のドメインとして攻撃者登録部２５が登録する場合もある。

　また、図６Ｂに示す例では、「Ａ３＠ｍａｉｌ１．ｃｏ．ｊｐ」、「Ｂ３＠ｍａｉｌ２．ｃｏ．ｊｐ」、「Ｃ３＠ｍａｉｌ３．ｃｏ．ｊｐ」、「Ｄ３＠ｍａｉｌ４．ｃｏ．ｊｐ」という４つのメールアドレスが、攻撃者のドメインのドメイン関連情報として攻撃者ＤＢに登録されている。これらのメールアドレスは、攻撃者のドメインを登録した登録者の組織における技術担当者のメールアドレスであり、図５に示すメールアドレスに対応するものである。これらのドメイン関連情報についても、図６Ａに示すドメインと同様に、そのドメイン関連情報をユーザが予め登録する場合もあれば、そのドメイン関連情報を新たに攻撃と判定された不正通信のドメインにおけるドメイン関連情報として攻撃者登録部２５が登録する場合もある。

　また、図６Ｂに示す例では、攻撃者ＤＢに登録されているドメイン関連情報として、技術担当者のメールアドレスを示したが、攻撃者ＤＢには他のドメイン関連情報が登録されている構成としても良い。例えば、図５に示すように、ドメイン情報管理サーバ４０には、ドメイン関連情報として、技術担当者のメールアドレスの他に、組織名、技術担当者の氏名、電話番号及びＦＡＸ番号が登録されている。そのため、これらのドメイン関連情報も、攻撃者による通信を検出するための情報として攻撃者ＤＢに登録されている構成としても良い。

　さらに、図６Ａ及び図６Ｂに示す例では、攻撃者ＤＢに登録されている情報として、ドメイン及びメールアドレスがそれぞれ一覧としてまとめて登録された場合を説明したが、このような構成に限られるものではない。例えば、攻撃者ＤＢにおいても、図５に示すように、ドメイン名及びそのドメインのドメイン関連情報が、１つのドメインごとに登録されている構成としても良い。

＜攻撃検出装置による処理の具体例＞
　次に、攻撃検出装置２０による処理について、具体例を挙げて説明する。図７Ａ、図７Ｂ、図７Ｃ及び図７Ｄは、攻撃検出装置２０による処理の具体例を説明するための図である。図７Ａ、図７Ｂ、図７Ｃ及び図７Ｄに示す例は、処理対象の通信が攻撃と判定されるにあたり、ドメイン情報取得部２２が取得したドメイン関連情報が攻撃者ＤＢに登録されていた場合の例である。なお、以下に示すステップは、図４の各ステップに対応する。

　図７Ａ、図７Ｂ、図７Ｃ及び図７Ｄに示す例において、ドメイン特定部２１は、処理対象とする通信の接続先であるドメインとして、「ＡＡＡ．ＣＯ．ＪＰ」というドメインを特定する（ステップ１０１）。次に、ドメイン情報取得部２２は、「ＡＡＡ．ＣＯ．ＪＰ」のドメインについて、ドメイン情報管理サーバ４０からドメイン関連情報を取得する（ステップ１０２）。ここで、図７Ａには、「ＡＡＡ．ＣＯ．ＪＰ」についてドメイン情報管理サーバ４０に登録されている情報の一例が示されている。

　次に、攻撃判定部２４は、「ＡＡＡ．ＣＯ．ＪＰ」が攻撃者ＤＢに登録されているか否かを判定する（ステップ１０３）。図７Ｂ及び図７Ｃは、攻撃者ＤＢに登録されている情報の一例を示す図である。図７Ｂには、攻撃者ＤＢに登録されているドメイン名が示されている。また、図７Ｃには、攻撃者ＤＢに登録されているドメイン関連情報の１つである技術担当者のメールアドレスが示されている。ここで、図７Ｂに示すように、攻撃者ＤＢには「ＡＡＡ．ＣＯ．ＪＰ」というドメインが登録されていない。そのため、攻撃判定部２４は、当該ドメインが攻撃者ＤＢに登録されていないと判定し（ステップ１０３でＮｏ）、次に、「ＡＡＡ．ＣＯ．ＪＰ」のドメイン関連情報の少なくとも１つが攻撃者ＤＢに登録されているか否かを判定する（ステップ１０４）。

　ここで、図７Ａに示すように、「ＡＡＡ．ＣＯ．ＪＰ」のドメイン関連情報である技術担当者のメールアドレスは、太枠で囲んだ「Ａ３＠ｍａｉｌ１．ｃｏ．ｊｐ」である。また、図７Ｃにて太枠で囲むように、攻撃者ＤＢにも、「Ａ３＠ｍａｉｌ１．ｃｏ．ｊｐ」のメールアドレスが登録されている。そのため、攻撃判定部２４は、当該ドメイン関連情報が攻撃者ＤＢに登録されていると判定し（ステップ１０４でＹｅｓ）、処理対象の通信が攻撃による不正通信であると判断する。

　次に、攻撃者登録部２５は、不正通信と判断したドメイン「ＡＡＡ．ＣＯ．ＪＰ」について、ドメイン関連情報を攻撃者ＤＢに登録する（ステップ１０５）。即ち、攻撃者登録部２５は、図７Ａに示すドメイン関連情報を攻撃者ＤＢに登録する。また、図７Ｂに示すように、攻撃者ＤＢには「ＡＡＡ．ＣＯ．ＪＰ」のドメインも登録されていないため、攻撃者登録部２５は、「ＡＡＡ．ＣＯ．ＪＰ」についても攻撃者ＤＢに登録する。

　次に、攻撃者登録部２５は、ドメイン情報管理サーバ４０にアクセスして、攻撃者ＤＢに登録した「ＡＡＡ．ＣＯ．ＪＰ」のドメイン関連情報と同じ情報が付随して登録されているドメインを検索する。ここで、図７Ｄに示す「ＣＣＣ．ＣＯ．ＪＰ」というドメインについて、太枠で囲むように、技術担当者のＦＡＸ番号は「０３－ｘｘｘｘ－ｘｘｘ２」である。また、図７Ａにて太枠で囲むように、ドメイン「ＡＡＡ．ＣＯ．ＪＰ」の技術担当者のＦＡＸ番号も、「０３－ｘｘｘｘ－ｘｘｘ２」であり、当該ＦＡＸ番号がドメイン「ＣＣＣ．ＣＯ．ＪＰ」のＦＡＸ番号と共通している。

　そのため、攻撃者登録部２５は、ドメイン情報管理サーバ４０に登録された「ＣＣＣ．ＣＯ．ＪＰ」というドメインを、「ＡＡＡ．ＣＯ．ＪＰ」のドメイン関連情報と同じ情報が付随して登録されているドメインと判断する。そして、攻撃者登録部２５は、図７Ｄに示す「ＣＣＣ．ＣＯ．ＪＰ」の情報、即ち、「ＣＣＣ．ＣＯ．ＪＰ」というドメイン及びドメイン関連情報を攻撃者ＤＢに登録する（ステップ１０６）。

　また、図７Ａ、図７Ｂ、図７Ｃ及び図７Ｄに示す例では、ドメイン「ＡＡＡ．ＣＯ．ＪＰ」の技術担当者のＦＡＸ番号に関連付けられたドメインが登録されたが、「ＡＡＡ．ＣＯ．ＪＰ」の他のドメイン関連情報に関連付けられたドメインがドメイン情報管理サーバ４０に存在すれば、そのドメインの情報も同様に攻撃者ＤＢに登録される。

　なお、図７Ａ、図７Ｂ、図７Ｃ及び図７Ｄに示す例において、攻撃者登録部２５は、さらに、ステップ１０６で攻撃者ＤＢに登録した「ＣＣＣ．ＣＯ．ＪＰ」のドメイン関連情報をもとにドメイン情報管理サーバ４０の情報を検索しても良い。そして、攻撃者登録部２５は、「ＣＣＣ．ＣＯ．ＪＰ」のドメイン関連情報と同じ情報が付随して登録されているドメイン及びそのドメインのドメイン関連情報を攻撃者ＤＢに登録しても良い。また、攻撃者登録部２５は、それ以降の処理として、新たに攻撃者ＤＢに登録したドメイン関連情報をもとにドメイン情報管理サーバ４０の情報を検索して、例えば検索により得た情報の全てが攻撃者ＤＢに登録済みとなるまで、攻撃者ＤＢに登録する処理を繰り返し実行しても良い。

　以上説明したように、本実施の形態に係る攻撃検出装置２０は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを特定し、特定したドメインのドメイン関連情報をドメイン情報管理サーバ４０から取得する。また、特定したドメインまたは取得したドメイン関連情報が攻撃者ＤＢに登録されていれば、攻撃検出装置２０は、処理対象とした通信を不正通信として検出する。そのため、攻撃検出装置２０を用いることで、ドメインに加えてドメイン関連情報をもとに不正通信の検出が行われることとなり、例えば、ドメインを検査してマルウェアなどに基づく不正通信を検出する構成と比較して、不正通信の検出が容易になる。

　また、攻撃検出装置２０は、処理対象の通信を不正通信として検出した場合に、検出した不正通信のドメイン及びドメイン関連情報を攻撃者ＤＢに新たに登録し、攻撃者ＤＢの情報を更新する。さらに、攻撃検出装置２０は、検出した不正通信のドメイン関連情報と同じ情報が付随して登録されているドメイン及びそのドメインのドメイン関連情報についても、攻撃者ＤＢに登録する。そのため、攻撃者ＤＢには、不正とされるドメインの情報が追加されていくこととなり、処理対象の通信を不正通信として検出し易くなる。

　ここで、本実施の形態において、攻撃検出装置２０は、処理対象の通信を不正通信として検出した場合に、まだ登録されていないドメイン及びドメイン関連情報を攻撃者ＤＢに追加することとしたが、このような構成に限られるものではない。例えば、攻撃検出装置２０は、すでに攻撃者ＤＢに登録されている不正なドメインの情報をもとに、ドメイン情報管理サーバ４０の情報を検索し、他のドメインの情報を攻撃者ＤＢに追加する、構成としても良い。

　図８は、不正なドメインの情報をもとに他のドメインの情報を攻撃者ＤＢに追加する処理手順の一例を示したフローチャートである。

　まず、ドメイン特定部２１は、攻撃者ＤＢにすでに登録されている不正なドメインを特定する（ステップ２０１）。次に、ドメイン情報取得部２２は、ドメイン特定部２１にて特定されたドメインについて、ドメイン情報管理サーバ４０に記憶されているドメイン関連情報を取得する（ステップ２０２）。ここで、不正なドメインの情報として、ドメインに加えてドメイン関連情報も攻撃者ＤＢに追加されていれば、ドメイン情報取得部２２はドメイン情報管理サーバ４０からドメイン関連情報を取得しなくても良い。

　次に、攻撃者登録部２５は、ドメイン情報管理サーバ４０にアクセスして、ドメイン関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されたドメイン及びそのドメインのドメイン関連情報をさらに攻撃者ＤＢに登録する（ステップ２０３）。また、攻撃者登録部２５は、以降の処理として、ドメイン情報管理サーバ４０にアクセスして、攻撃者ＤＢに新たに登録したドメイン関連情報が付随して登録されたドメインを検索し、そのドメイン及びドメイン関連情報を攻撃者ＤＢに登録する処理を繰り返し実行する、構成としても良い。そして、本処理フローは終了する。

　また、本実施の形態において、ドメイン情報管理サーバ４０の情報が更新された旨の通知を受けることが可能であれば、攻撃検出装置２０は、その通知をもとに攻撃者ＤＢを更新する、構成としても良い。この場合、例えば、攻撃者登録部２５は、攻撃者ＤＢに登録されたドメイン関連情報と同じ情報が付随して新たなドメインがドメイン情報管理サーバ４０に登録された旨の通知を受け付ける。また、例えば、攻撃者登録部２５は、ドメイン情報管理サーバ４０の情報が更新された旨の通知の中から、攻撃者ＤＢに登録されたドメイン関連情報と同じ情報が付随して新たなドメインが登録された内容の通知を抽出する。

　そして、攻撃者登録部２５は、受け付けた通知をもとに、攻撃者ＤＢに登録されたドメイン関連情報と同じ情報が付随して新たなドメインがドメイン情報管理サーバ４０に登録されたことを把握すると、ドメイン情報管理サーバ４０にアクセスする。そして、攻撃者登録部２５は、ドメイン情報管理サーバ４０に新たに登録されたドメイン及びそのドメインのドメイン関連情報を取得し、攻撃者ＤＢに登録する。この場合、受付手段（受付部）、追加ドメイン登録手段（追加ドメイン登録部）の一例として、攻撃者登録部２５が用いられる。

　また、本実施の形態では、ドメイン情報管理サーバ４０の情報のうち、攻撃者ＤＢのドメイン関連情報と同じ情報が付随して登録されているドメインの情報は、不正な接続先とされるドメインの情報として攻撃者ＤＢに登録されることとしたが、このような構成に限られるものではない。攻撃者ＤＢのドメイン関連情報と同じ情報が付随して登録されているドメインの情報を、例えば、不正な接続先とされるドメインの情報ではなく、不正な接続先とされるものと同等のドメインの情報として扱う等により、すでに攻撃者ＤＢに登録されている情報とは区別して新たに登録する、構成としても良い。即ち、攻撃者ＤＢには不正とされるドメインの情報が予め登録されているが、このドメインの情報をもとにして新たに攻撃者ＤＢに追加されるドメインについては、例えば、あくまで不正な接続先と推定される情報として扱う構成としても良い。

　この場合、ユーザが不正な接続先として確定しているドメインを攻撃者ＤＢに予め登録しておけば、このドメインのドメイン関連情報と同じ情報が付随して登録されているドメインがドメイン情報管理サーバ４０に存在すれば、攻撃者ＤＢに予め登録されたドメインとは区別して、不正な接続先と推定されるものとして登録されることとなる。また、不正な接続先として推定されるドメインをもとにして、さらに攻撃者ＤＢにドメインを追加する場合についても、もとのドメインの情報と追加するドメインの情報とを区別して登録する構成としても良い。

　そのため、例えば、ユーザは、攻撃者ＤＢに登録されているドメインについて、不正な接続先として確定しているドメインであるか、または不正な接続先と推定されるドメインであるか等、どのような経緯で登録された情報であるかを判断することが可能になる。また、例えば、ネットワーク上の通信が不正通信として検出された場合に、不正な接続先として確定しているドメインを接続先とするか、または不正なものと推定されるドメインを接続先とするかにより、表示する内容を変えてユーザに報知する構成としても良い。

　さらに、本実施の形態において、ドメイン記憶部２３は、攻撃者ＤＢとして不正な接続先とされるドメインの情報を記憶することとしたが、不正な接続先ではなく、正常な接続先とされるドメインの情報を記憶する構成としても良い。ドメイン記憶部２３が正常な接続先とされるドメインの情報を記憶する場合、攻撃判定部２４は、ドメイン特定部２１が特定したドメイン及びドメイン情報取得部２２が取得したドメイン関連情報と、ドメイン記憶部２３に記憶されている情報とを比較して、処理対象の通信が正常な通信であるか否かを判定する。また、攻撃者登録部２５は、攻撃判定部２４により正常な通信と判定された通信について、その通信のドメイン及びそのドメインのドメイン関連情報を、ドメイン記憶部２３に登録する。このような構成により、ドメイン記憶部２３に登録されているドメインは正常なドメインとされ、処理対象の通信のドメインやドメイン関連情報がドメイン記憶部２３に登録されていれば、その通信は正常な通信として検出される。

　ここで、ドメインが不正な接続先であるか、または正常な接続先であるかは、予め定められた基準を満たすか否かによって判断される。例えば、あるドメインについて、正常な接続先と判断するための予め定められた基準を満たす場合には、そのドメインは正常な接続先としてドメイン記憶部２３に記憶される。本実施の形態では、予め定められた基準を満たすドメインの一例として、不正な接続先とされるドメイン、または、正常な接続先とされるドメインが用いられる。

　なお、本発明の実施の形態を実現するプログラムは、磁気記録媒体、光記録媒体、光磁気記録媒体、半導体メモリなどのコンピュータが読取可能な記録媒体に記憶した状態で提供し得る。また、当該プログラムは、インターネットなどの通信手段（通信部）を用いて提供することも可能である。ここで、磁気記録媒体は、例えば、磁気テープ、または、磁気ディスクなどである。光記録媒体は、例えば、光ディスクなどである。

　また、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。

１０，１０ａ,１０ｂ,１０ｃ…クライアント端末
１１…コンピュータシステム
２０…攻撃検出装置
２１…ドメイン特定部
２２…ドメイン情報取得部
２３…ドメイン記憶部
２４…攻撃判定部
２５…攻撃者登録部
２６…通信遮断部
３０…攻撃者サーバ
４０…ドメイン情報管理サーバ

Claims

　監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得部と、
　インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得部が取得したドメインに付随して登録された情報である関連情報を取得する関連情報取得部と、
　予め定められた基準を満たす接続先とされるドメイン及び当該ドメインの関連情報を記憶する記憶部と、
　前記関連情報取得部が取得した前記関連情報のうち少なくとも１つの情報と同じ情報が前記記憶部に記憶されていれば、前記ドメイン取得部が取得したドメインと同じドメインが前記記憶部に記憶されていない場合であっても、前記通信を前記予め定められた基準を満たすものとして検出する検出部と
を備える情報処理装置。
　前記通信が前記予め定められた基準を満たすものとされた場合に、前記関連情報取得部が取得した前記関連情報のうち前記記憶部に記憶されていない情報を、当該予め定められた基準を満たすドメインの情報として当該記憶部に登録する登録部をさらに備える
請求項１に記載の情報処理装置。
　前記通信が前記予め定められた基準を満たすものとされた場合に、前記ドメイン管理装置から、前記関連情報取得部が取得した前記関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得部と、
　前記ドメイン情報取得部が取得したドメインの情報を、前記予め定められた基準を満たすドメインの情報として前記記憶部に登録するドメイン情報登録部とをさらに備える
請求項１または２に記載の情報処理装置。
　前記ドメイン管理装置が保持する情報が更新された旨の通知を受け付ける受付部と、
　前記受付部が受け付けた通知により、前記記憶部に記憶された前記関連情報のうち少なくとも１つの情報と同じ情報が付随して新たなドメインが前記ドメイン管理装置に追加されたことを把握すると、追加された当該ドメインの情報を当該記憶部に登録する追加ドメイン登録部とをさらに備える
請求項１乃至３のいずれか１項に記載の情報処理装置。
　インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶部と、
　インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得部と、
　前記ドメイン情報取得部が取得したドメインの情報を、前記予め定められた基準を満たすものとして、前記記憶部に登録する登録部と
を備える情報処理装置。
　前記ドメイン情報取得部は、さらに、前記ドメイン管理装置から、前記登録部が前記記憶部に登録した前記ドメインの情報に含まれる関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されている他のドメインの情報を取得し、
　前記登録部は、さらに、前記ドメイン情報取得部が取得した前記他のドメインの情報を、前記予め定められた基準を満たすものとして、前記記憶部に登録する
請求項５に記載の情報処理装置。
　前記登録部は、前記ドメイン情報取得部が取得したドメインの情報を、すでに前記記憶部に記憶されている情報とは区別して登録する
請求項５または６に記載の情報処理装置。
　監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するステップと、
　インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、取得した前記ドメインに付随して登録された情報である関連情報を取得するステップと、
　取得した前記関連情報のうち少なくとも１つの情報と同じ情報が、予め定められた基準を満たす接続先とされるドメイン及び当該ドメインの関連情報を記憶する記憶部に記憶されていれば、取得した前記ドメインと同じドメインが当該記憶部に記憶されていない場合であっても、前記通信を当該予め定められた基準を満たすものとして検出するステップと
を含む情報処理方法。
　インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、当該記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得するステップと、
　取得した前記ドメインの情報を、前記予め定められた基準を満たすものとして、前記記憶部に登録するステップと
を含む情報処理方法。
　コンピュータに、
　監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得する機能と、
　インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、取得した前記ドメインに付随して登録された情報である関連情報を取得する機能と、
　取得した前記関連情報のうち少なくとも１つの情報と同じ情報が、予め定められた基準を満たす接続先とされるドメイン及び当該ドメインの関連情報を記憶する記憶部に記憶されていれば、取得した前記ドメインと同じドメインが当該記憶部に記憶されていない場合であっても、前記通信を当該予め定められた基準を満たすものとして検出する機能と
を実現させるためのプログラム。
　コンピュータに、
　インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、当該記憶部に記憶された関連情報のうち少なくとも１つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得する機能と、
　取得した前記ドメインの情報を、前記予め定められた基準を満たすものとして、前記記憶部に登録する機能と
を実現させるためのプログラム。