WO2016189841A1

WO2016189841A1 - セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体

Info

Publication number: WO2016189841A1
Application number: PCT/JP2016/002461
Authority: WO
Inventors: 角丸　貴洋
Original assignee: 日本電気株式会社
Priority date: 2015-05-27
Filing date: 2016-05-20
Publication date: 2016-12-01
Also published as: US20180159897A1; JP6693516B2; US10868830B2; JPWO2016189841A1

Abstract

セキュリティを向上させることができるセキュリティシステム等を提供する。　本発明の一態様に係るセキュリティシステムは、侵入を試みる侵入装置からの要求を受信するパケット受信手段と、複数の仮想的な模擬リソースの固有情報を格納する模擬リソース固有情報蓄積手段と、前記模擬リソースへの前記要求に応じて前記固有情報に基づき模擬応答を生成する模擬応答生成手段と、送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御手段と、前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信手段と、を備える。

Description

セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体

　本発明は、ネットワークのセキュリティ技術に関する。

　特許文献１には、ハニーポットの例として、不正アクセスを仮想おとりサーバへ誘導する不正侵入防止システムが記載されている。仮想おとりサーバには、ハードディスクのおとり領域が割り当てられる。おとり領域は、仮想正規サーバに割り当てられる正規領域と同じディレクトリ構造を持つ。おとり領域は、例えば、仮想正規サーバに割り当てられる正規領域のコピーによって作成される。特許文献１の不正侵入防止システムは、不正進入者によるアクセスを仮想おとりサーバに誘導する。

　ハニートークン（Honeytoken）は、ハニーポット（Honeypots）の一種であるが、コンピュータシステムではない種類のハニーポットに位置づけられる。ハニートークンは、本来は正常な利用では使用されない目的で生成された、偽の情報で構成された電子情報である。敢えて偽の情報で構成されたハニートークンを用いることにより、意図しない不正利用を検知する目的などで使われる。

　ハニートークンの例として、偽の電子メールアドレスがある。この偽の電子メールアドレスはメーリングリストが盗まれたかどうかを追跡するために使われる。また、他のハニートークンの例として、クレジットカード番号、オフィスドキュメント類、データベースエントリー、及び、ログインID（Identification）とパスワードとの組み合わせ、などが存在する。これらのハニートークンは、どれも、本来は使用されないことを前提としてサイバー空間に展開され、サイバー空間において不正な行動を行う攻撃者を捕まえるためなどに用いられる。

特開２００３－０３６２４３号公報

　ハニートークンは、本来、正当な理由で用いられることなく、かつ機密ではない偽の情報であるため、ある組織内で展開された場合、サイバー攻撃者によって組織内部へ侵入され、ハニートークンを取得されたとしても組織にとって本来影響はないはずである。しかし、攻撃者が取得した情報が本物の情報なのか偽の情報なのかの判断が困難である場合、本物の情報が流出したという評判が世に出ることになり、組織のブランド力が低下してしまう懸念がある。

　特許文献１の不正侵入防止システムでは、仮想おとりサーバに誘導された不正進入者は、ハードディスクのおとり領域にアクセスすることができる。すなわち、不正進入者は、おとり領域から情報を取得することができる。特許文献１の不正侵入防止システムでは、不正進入者によって取得された情報が本物の情報であるのか否かを判断することは、不正進入者にとって困難である。

　ネットワークを通じた不正侵入を防ぐことは困難であり、システムにマルウェアが感染しないようにするためには、セキュリティが高コストになってしまう。例えば、外部からの不正侵入（攻撃）を検知する毎に、削除または防御することを繰り返していると、防御コストが高くなってしまう。

　特に、サイバー空間における攻防では、攻撃者は、どこからでも攻撃が可能であるが、防御者はどこからくる攻撃に対しても防御しないといけない。また、攻撃者の失敗は許容されるが、防御者の失敗は許容されず、防御者はすべての攻撃を確実に防御しないといけない。攻撃者は、わずかなコストで防御ネットワークを洞察することができるが、防御者は、ネットワークセキュリティの維持と維持に膨大な費用がかかってしまう。さらに、攻撃者は、サイバー空間の技術的、組織的な恩恵を受けやすいが、防御者は革新による影響を受けやすい。

　上述のように、サイバーセキュリティの性質上、攻撃者が防御者に対して優位性をもっている。したがって、ネットワークセキュリティを向上するためには、攻撃コストを増加させることで、防御側のコスト優位性を高くすることが重要である。すなわち、攻撃者により多くの攻撃コストをかけさせた上で、被害を最小限に抑える縦深防御を実現することができれば、セキュリティを向上させることができる。

　例えば、システムがマルウェアに感染することを前提とした上で、攻撃による影響を最小限にすることが重要になる。ネットワーク上の知的財産などの重要データの流出は被害が大きい。そのため、不正侵入による重要データの流出を防ぐことが重要となる。

　本発明は、セキュリティを向上させることができるセキュリティシステム等を提供することを目的とする。

　本発明の一態様に係るセキュリティシステムは、侵入を試みる侵入装置からの要求を受信するパケット受信手段と、複数の仮想的な模擬リソースの固有情報を格納する模擬リソース固有情報蓄積手段と、前記模擬リソースへの前記要求に応じて前記固有情報に基づき模擬応答を生成する模擬応答生成手段と、送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御手段と、前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信手段と、を備える。

　本発明の一態様に係るセキュリティ方法は、侵入を試みる侵入装置からの要求を受信し、前記模擬リソースへの前記要求に応じて複数の仮想的な模擬リソースの固有情報に基づき模擬応答を生成し、送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御し、前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する。

　本発明の一態様に係る記録媒体は、コンピュータに、侵入を試みる侵入装置からの要求を受信するパケット受信処理と、前記模擬リソースへの前記要求に応じて複数の仮想的な模擬リソースの固有情報に基づき模擬応答を生成する模擬応答生成処理と、送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御処理と、前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信処理と、を実行させるプログラムを記憶する。本発明の一態様は、上述のプログラムによっても実現される。。

　本発明によれば、セキュリティを向上させることができる。

図１は、セキュリティシステムの全体構成を示すブロック図である。図２は、本発明の第１の実施の形態にかかるセキュリティ装置の構成を示すブロック図である。図３Ａは、模擬リソース一覧取得時の通信シーケンスを示す図である。図３Ｂは、模擬リソース一覧取得時の通信シーケンスを示す図である。図４Ａは、模擬応答生成部２１が生成するメッセージを示す図である。図４Ｂは、模擬応答生成部２１が生成するメッセージを示す図である。図４Ｃは、模擬応答生成部２１が生成するメッセージを示す図である。図４Ｄは、模擬応答生成部２１が生成するメッセージを示す図である。図４Ｅは、模擬応答生成部２１が生成するメッセージを示す図である。図５は、本発明の第２の実施形態のセキュリティシステム１００Ａの構成の例を表すブロック図である。図６は、本発明の第１の実施形態に係るセキュリティ装置１０１及び第２の実施形態のセキュリティシステム１００Ａを実現することができる、コンピュータ１０００のハードウェア構成の一例を表す図である。

　添付の図面を参照して本発明の実施形態を説明する。以下に説明する実施形態は例であり、本発明は、以下の実施形態に制限されるものではない。なお、以下の説明及び図面において、付与されている符号が同じである構成要素は、同一の構成要素を示す。

　本実施の形態にかかるセキュリティシステム、及びセキュリティ方法は縦深防御に基づいて、セキュリティを向上させる。例えば、サイバーキルチェーンには、諜報、侵攻、潜伏、橋頭堡確保、索敵、浸透、占領、収奪、及び、撤収等の攻撃ステップがある。なお、サイバーキルチェーンにおける攻撃ステップの表現には他にも何種類か存在するが、基本的な攻撃ステップは同様であり、ここでの記載に制限されない。本実施の形態では、セキュリティシステムが各攻撃ステップで、種々の欺瞞を仕掛けている。例えば、仮想的なディレクトリ及びファイル群（模擬的欺瞞）を生成して、索敵ステップや収奪ステップにおいて、あいまいな情報、偽の情報、又は不明瞭な情報を攻撃者に与えている。悪意のある攻撃者の行動を邪魔または誘導することができ、目的の達成にかかる攻撃コストを増加させることができる。すなわち、攻撃者が重要なデータに到達するまでの攻撃コストを増加させることが可能になる。例えば、攻撃コストは、時間、金銭、リソース、研究、情報、労力、及び、物などが含まれるが、これに制限されない。知的財産などの重要なデータが外部に流出するのを防止することが可能になる。

　（第１の実施形態）
　上記の考え方に基づく、本発明の第１の実施形態のセキュリティシステム１００について説明する。図１は、本実施の形態に係るセキュリティシステム１００の全体構成を示すブロック図である。セキュリティシステム１００は、セキュリティ装置１０１と、模擬共有ネットワークリソース１１０と、通信装置１０２と、共有ネットワークリソース１２０と、ネットワークシステム２００と、を備えている。セキュリティ装置１０１と、模擬共有ネットワークリソース１１０と、通信装置１０２と、共有ネットワークリソース１２０は、通信ネットワークであるネットワークシステム２００を介してお互いに通信可能に接続されている。さらに、攻撃者として感染装置３００がネットワークシステム２００に接続されている。ネットワークシステム２００は、LAN（Local Area Network）、WAN（Wide Area Network）、インターネットなどの通信ネットワークである。

　通信装置１０２は、実際に存在する通信装置（ホスト装置、コンピュータ、または通信端末）であり、ネットワークシステム２００に接続された通信装置から利用可能な共有ネットワークリソース１２０を保持する。共有ネットワークリソース１２０は、複数の実ディレクトリ１２１、及び、複数の実ファイル１２２を含む。実ディレクトリ１２１、及び、実ファイル１２２は、ネットワークにおいて共有されるリソース（共有ネットワークリソース１２０）、すなわち、実在するディレクトリやファイルによって構成される共有ネットワークリソースである。なお、図１では、各１つの実ディレクトリ１２１、及び、実ファイル１２２が示されているが、実ディレクトリ１２１、及び、実ファイル１２２の数はそれぞれ特に限定されない。

　実ディレクトリ１２１、及び、実ファイル１２２は、例えば、コンピュータのディスク上に作成されたディレクトリ、およびファイルであり、Windows（登録商標）やLinux（登録商標）などのOS（Operating System）上のファイルシステムに基づき構築される。

　セキュリティ装置１０１は、模擬共有ネットワークリソース１１０を生成する。模擬共有ネットワークリソース１１０は、複数の模擬ディレクトリ１１１、１１２、及び複数の模擬ファイル１１３、１１４によって構成されている。模擬ディレクトリ１１１、１１２、模擬ファイル１１３、１１４は、仮想的なネットワーク上で共有されるリソース（仮想共有ネットワークリソース）、すなわち、実在しないディレクトリやファイルで構成される仮想的な共有ネットワークリソースである。セキュリティ装置１０１は、前記通信装置１０２が、共有ネットワークリソース１２０に対するリソース一覧取得要求に対して応答するのと同様なメッセージを用いて通信することによって、模擬共有ネットワークリソース１１０を生成する。より具体的には、共有ネットワークリソースを取り扱うのに必要なメッセージのうちの一部を活用することで実現する。セキュリティ装置１０１は、様々な欺瞞を仕掛け、実際に存在していない模擬共有ネットワークリソース１１０、すなわち模擬ディレクトリ１１１、１１２、模擬ファイル１１３、１１４を実在するかのように見せかける。

　なお、セキュリティ装置１０１は、実在に存在する実ホストにより構成することができる。例えば、セキュリティ装置１０１にインストールされたネットワークセキュリティプログラムによって、セキュリティ装置１０１は、本実施形態にかかるセキュリティ方法を実行する。また、セキュリティ装置１０１は、専用のコンピュータであってもよく、ネットワークシステム２００にホストとして含まれるコンピュータを用いて実現されてもよい。また、セキュリティ装置１０１は、物理的に単一な装置に限られない。セキュリティ装置１０１は、複数の装置によって構成されていてもよい。

　セキュリティ装置１０１が模擬ディレクトリ１１１、１１２、及び模擬ファイル１１３、１１４を欺瞞として生成することで、感染装置３００が重要なデータを窃取するための攻撃コストを増加させる。セキュリティ装置１０１は、模擬ディレクトリ１１１、１１２、及び模擬ファイル１１３、１１４を仮想的に生成しているため、模擬ディレクトリ及び模擬ファイルの数を低コストで増やすことができる。多数の模擬ディレクトリ１１１、１１２、及び模擬ファイル１１３、１１４を生成することで、より攻撃者を欺きやすくなる。なお、セキュリティ装置１０１が生成する模擬ディレクトリ１１１、１１２、及び模擬ファイル１１３、１１４の数は、特に限定されない。セキュリティ装置１０１は、模擬ディレクトリ１１１、１１２、及び模擬ファイル１１３、１１４を無制限に生成することができる。セキュリティ装置１０１がより多くの模擬を生成することで、より攻撃コストを増加させることができる。

　さらに、セキュリティ装置１０１が生成する模擬ディレクトリ１１１、１１２、模擬ファイル１１３、１１４は同一のネットワークリソース上に存在するよう構成されてもよいし、それぞれ異なるネットワークリソース上に存在するよう構成されてもよい。この場合、模擬ディレクトリ１１１、１１２、模擬ファイル１１３、１１４は、例えば、ホストAに模擬ディレクトリ１１１、模擬ファイル１１３が存在し、ホストBに模擬ディレクトリ１１２、模擬ファイル１１４が存在するよう構成されてもよい。この場合、模擬ディレクトリ１１１、１１２、模擬ファイル１１３、１１４は、それぞれ、例えば、\\host-A\doc\directory111、\\host-A\doc\file113.txt、\\host-B\doc\directory112、\\host-B\doc\file114.txtとして存在するように見える。

　本実施形態にかかるセキュリティシステム１００は、感染装置３００からの不正侵入を妨害する。感染装置３００は、例えば、マルウェアに感染した通信装置（ホスト）である。感染装置３００は、外部からのリモートコントロールによって、ネットワークシステム２００への不正侵入を試みる。感染装置３００は、ネットワークシステム２００に含まれる通信装置１０２に展開される共有ネットワークリソース１２０等から実ディレクトリ１２１や実ファイル１２２等の、例えば重要なデータを窃取しようとする。なお、ネットワークシステム２００に不正侵入を試みる侵入装置は、マルウェアに感染した感染装置３００に限られない。侵入装置は、インターネットなどの外部ネットワークを介して接続された外部通信装置であってもよい。

　セキュリティ装置１０１、感染装置３００、及び、通信装置１０２は、ネットワークシステム２００を介して通信可能に接続されている。なお、セキュリティ装置１０１、又は通信装置１０２は、ファイアウォールを介して、ネットワークシステム２００と接続されていてもよい。

　次に、セキュリティ装置１０１の構成について、図２を用いて説明する。図２は、セキュリティ装置１０１の構成を模式的に示すブロック図である。セキュリティ装置１０１は、パケット受信部１１、パケット配送部１２、ブロードキャストパケット処理部１３、ユニキャストパケット処理部１４、要求判定部１５、模擬ホスト管理部１６、固有情報蓄積部１７、模擬ホスト固有情報蓄積部１７Ａ、模擬リソース固有情報蓄積部１７Ｂ、模擬ホスト起動管理部１８、模擬リソース管理部１９、模擬リソース稼働管理部２０、模擬応答生成部２１、模擬応答テンプレート蓄積部２２、模擬応答送信制御部２３、模擬応答送信キュー２４、模擬応答送信部２５、を備えている。以下、各部の処理について説明する。

　パケット受信部１１は、ネットワークシステム２００に流れるパケットを受信する。パケット受信部１１は、パケットの送信先アドレスが所定のアドレスである場合にそのパケットを受信する。パケット受信部１１は、不正侵入を試みる感染装置３００からのパケットを受信する。

　パケット配送部１２は、パケット受信部１１が受信した受信パケットの種別を判定する。具体的には、パケット配送部１２は、パケットがブロードキャストパケットであるか、又は、ユニキャストパケットであるかを判定する。そして、パケット配送部１２は、ブロードキャストパケットをブロードキャストパケット処理部１３に配送し、ユニパケットをユニキャストパケット処理部１４に配送する。また、パケット配送部１２は、固有情報蓄積部１７を参照し、送信先アドレスが、模擬共有ネットワークリソース１１０が展開されていると見せかけるホストのアドレスに含まれるかどうかを識別する。

　なお、ユニキャストパケットは、単一のアドレスを指定して、１対１のデータ通信を行うためのパケットである。ブロードキャストパケットは、ブロードキャストアドレスを指定して、１対不特定多数のデータ通信を行うためのパケットである。パケット受信部１１が受信したブロードキャストパケットの送信先は、通信装置１０２、及びセキュリティ装置１０１が仮想的に見せかける模擬共有ネットワークリソースが展開されている模擬ホストの全てを含む。その場合、そのブロードキャストパケットが含むメッセージは、模擬ホストの全てを対象とする。感染装置３００は、例えば、ブロードキャストパケットを送信することによって、ネットワークシステム２００上の通信装置１０２に関する情報を取得しようと試みる。

　なお、パケット配送部１２は、パケット受信部１１が受信したパケットがブロードキャストパケットであるか、又は、ユニキャストパケット若しくはマルチキャストパケットであるかを判定してもよい。例えば、マルチキャストパケットを受信した場合は、パケット配送部１２は、マルチキャストパケットをブロードキャストパケット処理部１３に配送してもよい。そして、ブロードキャストパケット処理部１３がマルチキャストパケットを処理してもよい。さらには、セキュリティ装置１０１が、マルチキャストパケット処理部を備えていてもよい。なお、マルチキャストパケットは１対複数のデータ通信を行うためのパケットである。

　具体的には、感染装置３００は、通信装置（ホスト）の探索やネットワークリソースの探索などの探索メッセージが含まれるブロードキャストパケットをブロードキャスト探索要求として送信する（図１参照）。例えば、この探索要求のメッセージは、ＮｅｔＢＩＯＳ（Ｎｅｔｗｏｒｋ　Ｂａｓｉｃ　Ｉｎｐｕｔ　Ｏｕｔｐｕｔ　Ｓｙｓｔｅｍ）　Ｎａｍｅ　Ｓｅｒｖｉｃｅ（ＮＢＮＳ）メッセージである。そして、通信装置１０２又はセキュリティ装置１０１が仮想的に生成する共有ネットワークリソースが展開される模擬ホストが、探索要求に対する応答をユニキャスト探索応答として感染装置３００に送信する。探索が終了した後、感染装置３００は、特定のホストに対してユニキャストネゴシエーション要求を送信する。例えば、この要求のメッセージは、ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）である。セキュリティ装置１０１が管理する模擬ホスト、又は通信装置１０２は、ユニキャストネゴシエーション応答を感染装置３００に送信する。

　より具体的には、先のブロードキャスト探索要求に対する応答に応じて、感染装置３００がユニキャストネゴシエーション要求を送信する。図１の例では、１つのユニキャストネゴシエーションしか示されていないが、ホスト分だけ行われる場合もある。図１の構成では、通信装置１０２及びセキュリティ装置１０１が管理する模擬ホストからの６つのユニキャスト探索応答を、感染装置３００が受信した場合、６つすべての要求に対して順番にユニキャストネゴシエーションが実施される。さらに、一つのホストに対しても複数のシーケンスが行われる場合もある。その場合、その複数のシーケンスがホスト分だけ行われる。そして、セッションが確立したら、感染装置３００はホスト装置とのファイル共有などを試みる。具体的には、感染装置３００は、ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）によってファイル共有を試みる。このようにして、感染装置３００はデータを窃取しようとする。

　ブロードキャストパケット処理部１３は、受信したブロードキャストパケットをそのまま模擬ホスト管理部１６へ渡す。ユニキャストパケット処理部１４は、ユニキャストパケットがＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）パケットかＵＤＰ（Ｕｓｅｒ　Ｄａｔａｇｒａｍ　Ｐｒｏｔｏｃｏｌ）パケットかを判別する。ＴＣＰパケットの場合、ユニキャストパケット処理部１４は３、ウェイハンドシェイクを実施し、ペイロードを探索要求判定部１５へ渡す。一方、ＵＤＰパケットの場合、ユニキャストパケット処理部１４は、ＵＤＰパケットをそのまま模擬ホスト管理部１６へ渡す。

　要求判定部１５は、受信したパケット（受信パケット）に探索要求が含まれているか否かを判定する。例えば、要求判定部１５は、受信パケットに含まれるメッセージが、通信装置（ホスト装置）の探索、ネットワークサービスの探索等の探索メッセージであるか、セッションのネゴシエーション等の情報詳細を取得するメッセージであるかどうかを判定する。探索要求判定部１５は、ＴＣＰパケットのペイロードに、探索に属するメッセージが含まれている否かを判定する。

　要求判定部１５は、探索に属するメッセージが受信パケットに含まれている場合、探索要求があると判定する。そして、要求判定部１５は、探索に属するメッセージを探索要求として模擬ホスト管理部１６に通過させる。このように、要求判定部１５は、探索要求に対して、受信パケットに含まれるメッセージが探索系のメッセージ（探索要求）であるか否かを判定する。そして、要求判定部１５は、予め決められたメッセージのみを通過させ、それ以外の要求メッセージについては、通過させない。要求判定部１５は、例えば、ファイル一覧を要求メッセージは通過させるが、一方でファイル共有を要求するメッセージについては、通過させない。要求判定部１５がこのような判定機能、及びフィルタリング機能を有することで、重要なデータの流出を防ぐことができる。

　要求判定部１５は、例えば、ホワイトリストを用いて、探索要求があるか否かを判定する。すなわち、要求判定部１５は、予めリストに登録されているメッセージのみを、探索要求として、模擬ホスト管理部１６に通過させる。こうすることで、悪意のある攻撃をフィルタリングすることができ、セキュリティを高くすることができる。

　なお、ホワイトリストは、模擬ホストの各種固有情報と組み合わせて設定することができる。これによって、模擬ホスト等毎に通過させるメッセージを変更することで、模擬ホスト毎に成功するシーケンスの到達度が変わる。よって、より欺きやすい欺瞞を仕掛けることができる。

　模擬ホスト管理部１６は、模擬ホスト起動管理部１８からの起動情報に基づいて、模擬する模擬ホストを管理する。すなわち、模擬ホスト管理部１６が、模擬ホストが模擬応答を行うか否かを判定する。例えば、起動中の模擬ホストに対する要求があった場合、模擬ホスト管理部１６は、応答を行うと判定する。一方、停止中の模擬ホストについては、模擬ホスト管理部１６は、模擬応答を行わないと判定する。なお、以下の説明では、模擬ホストＡが起動している例について説明する。

　さらに、模擬ホスト管理部１６は、探索要求に応じた応答を行うかどうかを、固有情報蓄積部１７を参照することにより判定する。例えば、模擬ホスト管理部１６が、受信パケットに含まれる送信先アドレスに基づいて、応答を行う模擬ホストを特定する。すなわち、受信パケットに含まれる送信先アドレスと一致するアドレスを有する模擬ホストが応答を行うと、模擬ホスト管理部１６が判定する。なお、ブロードキャストパケットを受信した場合、模擬ホスト管理部１６は、起動中の全ての模擬ホストが応答を行うと判定する。

　さらに、模擬ホスト管理部１６は、パケットに探索要求が含まれている場合、探索要求の対象である模擬ホストについては、模擬応答を行うと判定する。模擬ホスト管理部１６は、パケットの送信先アドレスを参照することによって、模擬ホストが探索要求の対象か否かを判定する。模擬ホスト管理部１６は、模擬ホストが応答を行うか否かを、送信先アドレスと固有情報との比較結果、及び要求判定部１５による判定結果に基づいて判定する。模擬ホスト管理部１６は起動中の模擬ホスト毎に応答の要否を判定する。

　模擬ホスト管理部１６は、起動中の模擬ホストが探索要求を受けた場合に、模擬ホストが存在するかのように模擬応答を行わせると判定する。一方、模擬ホスト管理部１６は、起動中の模擬ホストではない場合、パケットに探索要求が含まれていない場合、又は探索要求の対象となる模擬ホストではない場合、模擬応答を行わないと判定する。模擬ホスト管理部１６は、停止中の模擬ホストについては、模擬ホストが応答するのを停止させる。模擬ホスト管理部１６は、さらに、起動中の模擬ホストであっても探索要求を受けていない場合は、模擬応答を行わせない。模擬ホスト管理部１６は、探索要求の対象となる起動中の模擬ホストの全てに対して、応答が必要であると判定する。

　なお、模擬ホスト起動管理部１８に対する外部からの要求は、設定ファイル、ＡＰＩ（Ａｐｐｌｉｃａｔｉｏｎ　Ｐｒｏｇｒａｍｉｎｇ　Ｉｎｔｅｒｆａｃｅ）、ＩＦ（Ｉｎｔｅｒｆａｃｅ）などによって実現可能である。設定ファイルは、例えば、予め設定されたスケジュールデータであり、例えば、模擬ホスト毎に起動時間や停止時間が設定されている。セキュリティ装置１０１が設定ファイルを記憶していてもよい。さらに、ネットワークシステム２００に存在する通信装置からの要求に従って、通信装置の電源オンとオフのタイミングに合わせて、電源オフと共に模擬ホストを起動し、電源オンと共に模擬ホストを停止するように、模擬ホスト起動管理部１８が模擬ホストの起動を管理してもよい。

　以下に、模擬ホスト起動管理部１８による管理の一例について説明する。ここでは、固有情報蓄積部１７において、模擬ホストには、通信装置と同じアドレス等が登録されていると仮定する。例えば、通信装置に対応する模擬ホストを構築する情報は、模擬ホスト起動管理部１８に事前もしくは要求に応じて格納されている。すなわち、通信装置の管理情報をコピーした固有情報が模擬ホストに設定されている。この場合、通信装置の電源がＯＮになっているときは、模擬ホスト起動管理部１８は模擬ホストの起動を停止する。一方、通信装置の電源がＯＦＦになっている場合、模擬ホスト起動管理部１８は模擬ホストを起動させる。すなわち、通信装置がシャットダウンするタイミングで、模擬ホスト起動管理部１８が模擬ホストの起動を指示する。一方、通信装置が起動するタイミングで、模擬ホスト起動管理部１８が模擬ホストの停止を指示する。

　このように、通信装置の電源ＯＮをトリガーとして、模擬ホスト起動管理部１８は、模擬ホストを停止する。通信装置の電源ＯＦＦをトリガーとして、模擬ホスト起動管理部１８は、模擬ホストを起動する。通信装置がネットワークシステム２００から切り離されている状況であっても、ネットワークシステム２００には模擬ホストが存在している。このようにすることで、攻撃者をより欺きやすい欺瞞を仕掛けることができる。感染装置３００からはあたかも通信装置が存在しているかのように見える。このように、通信装置の起動中か否かに応じて、模擬ホスト起動管理部１８が、模擬ホストの起動を管理してもよい。

　固有情報蓄積部１７は、模擬ホストに関する情報を格納する模擬ホスト固有情報蓄積部１７Ａと、模擬リソースに関する情報を格納する模擬リソース固有情報蓄積部１７Ｂを備える。模擬ホスト固有情報蓄積部１７Ａは、複数の仮想的な模擬ホストの固有情報を格納する。固有情報は、模擬すべき模擬ホストに必要な情報であり、模擬ホスト毎に設定されている。例えば、模擬ホスト起動管理部１８が固有情報に基づいて模擬ホストの起動を管理する。なお、模擬ホスト管理部１６は、固有情報に基づいて、模擬ホストを管理する。模擬ホスト管理部１６と模擬ホスト起動管理部１８については前述したとおりである。

　固有情報には、例えば、コンピュータ名（もしくはＮｅｔＢＩＯＳ名）、ＩＰアドレス、ＭＡＣアドレス、ドメイン名、ＯＳ情報（例えば、ＯＳ名、及びＯＳのバージョン）、グループ名、ネットワーク管理名等が含まれる。もちろん、上記の情報は例示である。従って、固有情報には、上記以外の情報が含まれていてもよく、上記のうちの一部の情報が含まれていなくてもよい。模擬ホスト固有情報蓄積部１７Ａは、例えば、複数の模擬ホストの固有情報をテーブルとして格納している。さらに、模擬ホスト固有情報蓄積部１７Ａは、模擬ホストのネットワーク距離を模擬ホスト毎に格納していてもよい。模擬ホスト固有情報蓄積部１７Ａは、通信装置のネットワーク管理情報と同等の固有情報を模擬ホストの固有情報として格納している。

　さらに、模擬ホスト固有情報蓄積部１７Ａには、通信装置の有する情報と同一の管理情報を有する模擬ホストを登録してもよい。模擬ホスト固有情報蓄積部１７Ａは、模擬ホストの固有情報として、例えば通信装置のコンピュータ名（もしくはＮｅｔＢＩＯＳ名）、ＩＰアドレス、ＭＡＣアドレス、ＯＳ情報、ドメイン名、グループ名、ネットワーク管理名等と一致する固有情報を格納する。こうすることで、通信装置の停止中においても通信装置が存在するかのように見せることができる。もちろん、模擬ホスト固有情報蓄積部１７Ａには、通信装置と全く無関係な模擬ホストが登録されていてもよい

　模擬ホスト起動管理部１８は、模擬ホストのそれぞれに対して、模擬ホストを起動すべきか起動すべきでないかを、模擬ホスト固有情報蓄積部１７Ａを参照することによって管理する。すなわち、模擬ホスト起動管理部１８は、模擬ホストを起動させるか否かを、模擬ホスト固有情報蓄積部１７Ａに格納されている模擬ホストの固有情報に基づいて管理する。模擬ホスト起動管理部１８は、模擬ホスト固有情報蓄積部１７Ａに含まれる模擬ホストのそれぞれを起動させるか、停止させるかを判定する。

　例えば、模擬ホスト起動管理部１８は、外部からの要求をトリガーとして、模擬ホストの起動を管理する。具体的には、模擬ホストのＯＮの要求（起動要求）を受けると、模擬ホスト起動管理部１８は、模擬ホストを起動させる。模擬ホストのＯＦＦの要求（停止要求）を受けると、模擬ホスト起動管理部１８は、模擬ホストの起動を停止する。そして、模擬ホスト起動管理部１８は、それぞれの模擬ホストが起動しているか否かを示す起動情報を模擬ホスト管理部１６に出力する。模擬ホスト起動管理部１８は、模擬ホスト固有情報蓄積部１７Ａに含まれている複数の模擬ホストの起動を独立に管理する。模擬ホスト起動管理部１８は、起動中の模擬ホストを動的に変化することができる。

　模擬リソース管理部１９は、模擬リソース稼働管理部２０からの稼働情報に基づいて、模擬する模擬リソースを管理する。すなわち、模擬リソース管理部１９が、要求のあった模擬リソースに対する模擬応答を行うか否かを判定する。例えば、稼働中の模擬リソースに対する要求があった場合、模擬リソース管理部１９は、応答を行うと判定する。一方、停止中の模擬リソースについては、模擬リソース管理部１９は、模擬応答を行わないと判定する。

　さらに、模擬リソース管理部１９は、リソース一覧要求に応じた応答を行うかどうかを、固有情報蓄積部１７を参照することにより判定する。例えば、模擬リソース管理部１９が、要求メッセージに含まれる対象とするネットワークリソースに基づいて、応答を行う模擬リソースを判定する。すなわち、模擬リソース管理部１９は、要求メッセージに含まれるリソースと一致するリソースを有する模擬リソースに関する応答を行うと判定する。なお、リソース一覧要求を受信した場合、模擬リソース管理部１９は、該当のネットワークリソースに含まれるすべての模擬ディレクトリに関する情報、および模擬ファイルに関する情報の一覧情報をもとに応答を行うと判定する。

　さらに、模擬リソース管理部１９は、リソース一覧要求を受信した場合、模擬リソース管理部１９は、そのリソース一覧要求の対象である模擬リソースについては、模擬応答を行うと判定する。模擬リソース管理部１９は、要求メッセージの対象リソースを参照し、模擬リソースが一覧要求の対象であるか否かを判定する。模擬リソース管理部１９は、模擬リソースに関する応答を行うか否かを、要求の対象と固有情報との比較結果、及び要求判定部１５による判定結果に基づいて判定する。模擬リソース管理部１９は、稼働中の模擬リソース毎に応答の要否を判定する。

　稼働中の模擬リソースが一覧要求を受けた場合に、模擬リソース管理部１９は、模擬リソースが存在するかのように模擬応答を行わせると判定する。一方、一覧要求を受けたリソースが稼働中の模擬リソースではない場合、要求メッセージに一覧要求が含まれていない場合、又は、一覧要求を受けたリソースが一覧要求の対象となる模擬リソースではない場合、模擬リソース管理部１９は、模擬応答を行わないと判定する。模擬リソース管理部１９は、停止中の模擬リソースについては、模擬リソースが応答するのを停止させる。さらに、模擬リソース管理部１９は、稼働中の模擬リソースの全てに対して、応答が必要であると判定する。

　なお、模擬リソース稼働管理部２０に対する外部からの要求は、設定ファイル、ＡＰＩ（Ａｐｐｌｉｃａｔｉｏｎ　Ｐｒｏｇｒａｍｉｎｇ　Ｉｎｔｅｒｆａｃｅ）、ＩＦ（Ｉｎｔｅｒｆａｃｅ）などによって実現可能である。設定ファイルは、例えば、予め設定されたスケジュールデータである。そのような設定ファイルには、例えば、模擬リソース毎に稼働時間や停止時間が設定されている。セキュリティ装置１０１が設定ファイルを記憶していてもよい。さらに、模擬リソース稼働管理部２０は、ネットワークシステム２００に存在する通信装置からの要求に従うことによって、模擬リソースの稼働を管理してもよい。模擬リソース稼働管理部２０は、例えば、通信装置の共有ネットワークリソースの稼働オンとオフのタイミングに合わせて、稼働オフと共に模擬リソースを稼働し、稼働オンと共に模擬リソースを停止するように、模擬リソースの稼働を管理してもよい。

　以下に、模擬リソース稼働管理部２０による管理の一例について説明する。ここでは、固有情報蓄積部１７において、通信装置の共有ネットワークリソースと同じアドレス及びネットワークリソース情報が、模擬リソースのアドレス及びネットワークリソース情報として登録されていると仮定する。例えば、通信装置の共有ネットワークリソースに対応する模擬リソースを構築できる情報が、模擬リソース稼働管理部２０に事前に又は要求に応じて格納される。具体的には、通信装置の共有ネットワークリソースに関する情報のコピーが模擬リソースの固有情報として設定されている。この場合、通信装置の共有ネットワークリソースが稼働中であるときは、模擬リソース稼働管理部２０は模擬リソースの稼働を停止する。一方、通信装置の共有ネットワークが稼働ＯＦＦである場合、模擬リソース稼働管理部２０は、模擬リソースの稼働を指示する。一方、通信装置上の共有ネットワークが稼働するタイミングで、模擬リソース稼働管理部２０が模擬リソースの稼働停止を指示する。

　このように、通信装置上の共有ネットワークリソースの稼働ＯＮをトリガーとして、模擬リソース稼働管理部２０は、模擬リソースを稼働する。通信装置上の共有ネットワークリソースの稼働ＯＦＦをトリガーとして、模擬リソース稼働管理部２０は、模擬リソースを停止する。通信装置がネットワークから切り離されている状況であっても、ネットワークシステム２００には模擬リソースが存在している。このようにすることで、攻撃者をより欺きやすい欺瞞を仕掛けることが可能となる。感染装置３００からは、あたかも模擬共有ネットワークリソースが存在しているかのように見える。このようにすることで、模擬リソース稼働管理部２０が、通信装置の稼働中か否かに応じて、模擬リソースの稼働を管理してもよい。

　模擬リソース固有情報蓄積部１７Ｂは、複数の仮想的な模擬共有ネットワークリソースの固有情報を格納する。固有情報は、模擬すべきネットワークリソースに必要な情報であり、模擬共有ネットワークリソース毎に設定されている。例えば、模擬リソース稼働管理部２０が固有情報に基づいて模擬共有ネットワークリソースの稼働を管理する。なお、模擬リソース管理部１９は、固有情報に基づいて、模擬リソースを管理する。模擬リソース管理部１９と模擬リソース稼働管理部２０については後述する。

　固有情報には、仮想的に模擬するディレクトリ、及びファイルに関する情報が含まれる。例えば、固有情報には、ディレクトリ名称、ファイル名称、及び、ディレクトリ／ファイル種別、最終アクセス日時、最終書き込み日時、変更日時が含まれる。さらに、固有情報には、仮想的に模擬するファイルシステムに関する情報が含まれる。固有情報には、例えば、ファイルシステムの名称（例えばＮＴＦＳ（ＮＴ　Ｆｉｌｅ　Ｓｙｓｔｅｍ））、生成日時、ボリュームシリアル番号、ラベル名称などが含まれる。もちろん、上記の情報は例示である。従って、固有情報には、上記以外の情報が含まれていてもよく、上記のうちの一部の情報がなくてもよい。模擬リソース固有情報蓄積部１７Ｂは、例えば、複数の模擬リソースの固有情報をテーブルとして格納している。模擬リソース固有情報蓄積部１７Ｂは、通信装置の共有ネットワークリソース管理情報と同等の固有情報を模擬リソースの固有情報として格納している。

　さらに、模擬リソース固有情報蓄積部１７Ｂには、通信装置の共有ネットワークリソースが有する管理情報と同一の固有情報を有する模擬リソースが登録されていてもよい。通信装置の共有ネットワークリソースの管理情報は、例えば、通信装置のコンピュータ名（又はＮｅｔＢＩＯＳ名）、ＩＰアドレス、ＭＡＣアドレス、ＯＳ情報、ドメイン名、及び、ネットワーク管理名等に加え、ディレクトリ又はファイルの名称、ディレクトリツリー構成、更新日時等である。これらと一致する固有情報を有する模擬リソースが、模擬リソース固有情報蓄積部１７Ｂに登録される。こうすることで、通信装置上の共有ネットワークリソースの稼働が停止中においても共有ネットワークリソースが存在するかのように見せることができる。もちろん、模擬リソース固有情報蓄積部１７Ｂには、通信装置上の共有ネットワークリソースと全く無関係な模擬リソースが登録されてもよい。

　模擬リソース稼働管理部２０は、模擬リソースのそれぞれに対して、模擬リソースを稼働すべきか稼働すべきでないかを、模擬リソース固有情報蓄積部１７Ｂを参照することにより管理する。すなわち、模擬リソース稼働管理部２０は、模擬リソースを稼働させるか否かを模擬リソースの固有情報に基づいて管理する。模擬リソース稼働管理部２０は、固有情報が模擬リソース固有情報蓄積部１７Ｂに含まれる模擬リソースのそれぞれを稼働させるか、稼働させないかを判定する。

　例えば、模擬リソース稼働管理部２０は、外部からの要求をトリガーとして、模擬リソースの稼働を管理する。具体的には、模擬リソースのＯＮの要求（稼働要求）を受けると、模擬リソース稼働管理部２０は、模擬リソースを稼働させる。模擬リソースのＯＦＦの要求（停止要求）を受けると、模擬リソース稼働管理部２０は、模擬リソースの稼働を停止する。そして、模擬リソース稼働管理部２０は、模擬リソース管理部１９にそれぞれの模擬リソースが稼働しているか否かを示す稼働情報を出力する。模擬リソース稼働管理部２０は、模擬リソース固有情報蓄積部１７Ｂに固有情報が含まれている複数の模擬リソースの稼働を独立に管理する。模擬リソース稼働管理部２０は、稼働中の模擬リソースを動的に変化させることができる。

　模擬応答テンプレート蓄積部２２は、探索要求に対する模擬応答のテンプレートを格納している。例えば、模擬応答テンプレート蓄積部２２は、メッセージフォーマットをハードコーディングにて保持する。また、模擬応答テンプレート蓄積部２２には、模擬応答文のメッセージフォーマットを格納している。模擬応答テンプレート蓄積部２２は、要求毎にまたはプロトコル毎に、テンプレートを格納している。模擬応答テンプレート蓄積部２２は、要求されたサービスに対応するメッセージ応答文をテンプレートとして記憶している。模擬応答テンプレート蓄積部２２は、複数のテンプレートを格納している。

　さらに、模擬応答テンプレート蓄積部２２は、リソース一覧要求に対応する模擬応答メッセージのテンプレートを格納する。例えば、模擬応答テンプレート蓄積部２２は、メッセージフォーマットをハードコーディングにて保持する。また、模擬応答テンプレート蓄積部２２は、応答文のメッセージフォーマットを格納する。模擬応答テンプレート蓄積部２２は、リソース一覧要求毎又はプロトコル毎にテンプレートを格納する。模擬応答テンプレート蓄積部２２は、一覧要求に対応するメッセージ応答文をテンプレートとして記憶する。模擬応答テンプレート蓄積部２２は、複数のテンプレートを格納する。

　模擬応答生成部２１は、模擬ホスト管理部１６からの要求と、模擬リソース管理部１９からの要求とに応じて、模擬応答を作成する。模擬ホスト管理部１６が応答すると判定した場合に、模擬応答生成部２１は、模擬ホストへの要求に応じて模擬応答を生成する。その際、模擬応答生成部２１は、模擬応答テンプレート蓄積部２２に蓄積されたテンプレートを使用して、模擬応答を生成する。これにより、模擬応答生成部２１は、要求に応じて適切な模擬応答メッセージを作成することができる。

　また、模擬応答生成部２１は、固有情報蓄積部１７から応答すべき模擬ホストの固有情報、及び、模擬リソースの固有情報を取得する。そして、模擬応答生成部２１は、取得した固有情報と応答メッセージフォーマットとを組み合わせて模擬応答メッセージ生成する。すなわち、模擬応答生成部２１は、固有情報に含まれるアドレスやＯＳ情報等と、仮想的に模擬される、ディレクトリ及びファイルに関する情報と、仮想的に模擬するファイルシステムに関する情報とを含む模擬応答メッセージを生成する。ディレクトリ及びファイルに関する情報は、例えば、ディレクトリ名称、ファイル名称、ディレクトリ種別、ファイル種別、最終アクセス日時、最終書き込み日時、及び、変更日時等である。ファイルシステムに関する情報は、例えば、ファイルシステム名称としてＮＴＦＳ、生成日時、ボリュームシリアル番号、及び、ラベル名称等である。これにより、より欺きやすい欺瞞を仕掛けることができる。

　模擬応答テンプレート蓄積部２２は、模擬ホストならびに模擬リソースが提供するサービスに応じたテンプレートを格納する。さらに、複数の模擬ホストや模擬リソースが同じサービスを使用できる場合、模擬応答生成部２１が、共通のテンプレートを用いてリソース一覧要求に対する模擬応答メッセージを生成する。さらに、模擬応答テンプレート蓄積部２２は、要求判定部１５のホワイトリストに含まれるメッセージのそれぞれに対する応答テンプレートを格納していてもよい。テンプレートの種類が増えれば増えるほど、対応できる要求の種類が増える。また、ホワイトリストに含まれるメッセージは、模擬応答テンプレート蓄積部２２に格納されているテンプレートと、必ずしも１対１で関連付けられている必要はない。例えば、ホワイトリストに設定されているメッセージは、いずれかのテンプレートの一部分に関連付けられていてもよい。模擬応答生成部２１は、ホワイトリストに設定されているメッセージに対して、テンプレートの、そのメッセージに関連付けられている一部分を使用して、模擬応答メッセージを生成してもよい。

　模擬応答送信キュー２４は、模擬応答生成部２１によって作成された模擬応答メッセージをキューキングする。模擬応答送信部２５は、模擬応答送信キュー２４にキューイングされた模擬応答メッセージを模擬応答として感染装置３００に送信する。模擬応答送信部２５は、送信先アドレスが感染装置３００のアドレスであるパケットにより、模擬応答を送信する。

　さらに、模擬応答送信キュー２４に蓄えられた模擬応答メッセージは、模擬応答送信制御部２３の指示により模擬応答送信部２５を介してネットワークシステム２００へ送信される。すなわち、模擬応答送信部２５は、模擬応答送信部２５が模擬応答を送信する送信タイミングを制御する。模擬応答送信制御部２３の指示に応じたタイミングで、模擬応答送信部２５は、ネットワークシステム２００を介して、模擬応答メッセージを感染装置３００に送信する。

　このように、模擬応答送信制御部２３は、模擬応答送信キュー２４に蓄えられた模擬応答の送信タイミングを制御する。模擬応答送信制御部２３は、例えば、模擬応答送信部２５がキューの順番で模擬応答メッセージを送信するよう制御する。あるいは、模擬応答送信制御部２３は、模擬応答送信部２５がランダムに模擬応答メッセージを送信するように制御してもよい。さらには、模擬応答送信制御部２３は、模擬応答送信部２５があらかじめ定められているパターンに従って模擬応答メッセージを送信するように制御してもよい。模擬応答送信制御部２３の制御によって、模擬応答が送信される順番を入れ替えることができる。さらには、模擬応答送信制御部２３は、模擬応答送信部２５が、予め設定された遅延時間に基づき、一定時間待ったのち模擬応答メッセージを送信するように制御してもよい。模擬応答送信制御部２３は、模擬応答送信制御部２３の指示に基づいて、模擬応答送信キュー２４の模擬応答をネットワークシステム２００に送信する。

　例えば、探索要求のブロードキャストメッセージを受信した場合、模擬応答生成部２１は、起動中の模擬ホスト分の模擬応答メッセージを生成する。そして、模擬応答送信キュー２４は、例えば、固有情報蓄積部１７に蓄積された模擬ホストの固有情報の順番で模擬応答メッセージをキューイングする。例えば、４つの模擬ホストが稼働しているように見せかける場合、模擬応答送信キュー２４は、４つの模擬ホストの順番で、模擬応答メッセージをキューイングする。そして、模擬応答送信部２５は、キューの順番で模擬応答メッセージを送信する。あるいは、模擬応答送信部２５は、ランダムな順番で模擬応答メッセージを送信してもよい。さらには、模擬応答送信制御部２３に模擬ホスト毎に応答タイミングが設定されている場合、模擬応答送信部２５は、その応答タイミングにしたがって模擬応答メッセージを送信するようにしてもよい。また、模擬応答送信部２５は、予め設定されたスケジュールに応じた順番及びタイミングで、模擬応答メッセージを送信してもよい。

　模擬応答送信制御部２３は、模擬応答メッセージを送信し始めてから経過した時間に基づいて、タイマー値を設定してもよい。タイマー値は、模擬応答メッセージを送信し始めてから経過した時間を表す値であってもよい。模擬応答送信制御部２３は、模擬応答メッセージの送信量をカウントし、模擬応答メッセージの送信タイミングに加えて、カウントされた送信量の値（カウント値）に基づき、模擬応答メッセージの送信量を制御してもよい。その場合、模擬応答送信制御部２３は、カウント値に基づいて、カウント値が大きいほどタイマー値が大きくなるように、タイマー値を設定する。模擬応答送信制御部２３は、カウント値をタイマー値に設定してもよい。

　模擬応答生成部２１は、模擬リソースに対するディレクトリ及びファイルの列挙要求に対する応答時に、引き続き情報がある旨の応答を返答することにより、感染装置３００に延々とファイル列挙要求を続けさせることができる。模擬応答送信制御部２３は、模擬応答生成部２１が応答を継続するか停止するかを、タイマー値に基づき判定する。例えば、タイマー値が、あらかじめ定められているタイマー閾値より大きい場合、模擬応答送信制御部２３は、応答を停止すると判定する。例えば、タイマー値が、あらかじめ定められているタイマー閾値より大きくない場合、模擬応答送信制御部２３は、応答を継続すると判定する。応答を継続すると判定した場合、模擬応答送信制御部２３は、模擬応答生成部２１に応答を継続させることによって、感染装置３００にファイル列挙要求を続けさせる。応答を停止すると判定した場合、模擬応答送信制御部２３は、模擬応答生成部２１に応答を停止させることによって、感染装置３００にファイル列挙を完了させる。感染装置３００にファイル列挙要求を無制限に継続させる場合、模擬応答送信制御部２３は、模擬応答生成部２１に、常に引き続き情報がある旨の応答を返答させる。引き続き情報がある旨の応答を行う場合、模擬応答生成部２１は、例えば、最初のファイル列挙要求に対する応答において、その応答に含まれるフラグＥｎｄ　Ｏｆ　Ｆｉｌｅ（本実施形態の説明において「要求終了フラグ」とも表記）を、例えばフラグが無効であることを表す無効値（例えば０）にセットする。そして、模擬応答生成部２１は、以降の応答においても、フラグＥｎｄ　Ｏｆ　Ｆｉｌｅを無効値にセットし続ける。応答に含まれるフラグＥｎｄ　Ｏｆ　Ｆｉｌｅの値が無効値である場合、感染装置３００は、ファイル列挙要求を継続する。ファイル列挙要求を停止させる場合、模擬応答生成部２１は、このフラグＥｎｄ　Ｏｆ　Ｆｉｌｅを、例えばフラグが有効であることを表す有効値（例えば１）にセットする。フラグＥｎｄ　Ｏｆ　Ｆｉｌｅの値が有効値である場合、感染装置３００はファイル列挙要求を停止する。

　これにより、模擬応答送信制御部２３は、模擬応答メッセージが送信される間隔が短くなるよう送信タイミングを設定し、かつ、感染装置３００にファイル列挙要求を継続させ続けることによって、感染装置３００に大量の情報を送信し続けさせることが可能になる。さらに、模擬応答メッセージの送信タイミングをタイムアウトが発生しない間隔以内で最大限長くしつつ、ファイル列挙要求を継続させ続けることによって、時間当たりの情報量は少ないながらも延々と処理を継続させ続けることが可能になる。

　次に、SMBネゴシエートプロトコル要求メッセージを受信すると、稼働中の模擬リソースに対する要求であると判定されると、模擬応答生成部２１は、稼働中の模擬リソースに基づく模擬応答メッセージを生成する。そして、模擬応答生成部２１は、固有情報蓄積部１７に蓄積された模擬リソースに基づく模擬応答メッセ―ジをキューイングする。そして、模擬応答送信部２５はキューに入っている模擬応答メッセージを送信する。

　模擬応答送信制御部２３は、模擬応答送信部２５が行う模擬応答のタイミングを模擬ホスト毎に制御する。なお、応答タイミングは、固有情報蓄積部１７に格納されている模擬ホスト毎のネットワーク距離に応じて設定されていてもよい。その場合、ネットワーク距離が遠い模擬ホストについては、模擬応答送信制御部２３は、応答タイミングを遅らせる。また、ネットワーク距離が近い模擬ホストについては、模擬応答送信制御部２３は、応答タイミングを早める。模擬応答送信制御部２３は、固有情報蓄積部１７を参照して、模擬ホストのネットワーク距離に応じた遅延時間を設定すればよい。このように、模擬応答送信制御部２３が模擬応答メッセージの送信タイミングを制御することによって、感染装置３００からは各模擬ホストが実在しているかのように見える。すなわち、攻撃者をより欺きやすい欺瞞を仕掛けることができる。

　模擬応答送信部２５は、模擬応答送信キュー２４にキューイングされた模擬応答メッセージをネットワークシステム２００へ送信する。

　上記構成及び動作に基づく、模擬リソース一覧の取得シーケンスについて説明する。図３ａ、図３ｂは、本実施の形態に係る模擬リソースに対して一覧要求を行う通信シーケンスを示すシーケンス図である。

　これらの図において、感染装置３００は、例えば、マルウェアに感染している。そして、攻撃者は感染装置３００を操作することができる状態である。攻撃者は、感染装置３００が備えるプログラムを用いて、ネットワークシステム２００に接続された通信装置を探索する。例えば、Ｎｅｔｖｉｅｗコマンドやｆｉｎｄｓｍｂコマンドを用いることによって、通信装置を発見する。より具体的には、攻撃者は、Ｎｅｔｖｉｅｗコマンドを用いて、共有されたネットワークリソースを発見する。攻撃者は、例えば、セキュリティ装置１０１が模擬している仮想的なネットワークリソースの共有名称（doc）が模擬ホスト（\\host-101）で共有されていることを見つける。この時の模擬リソースへのパスは（\\host-101\doc）となる。

　次に、攻撃者は、ネットワークリソースのディレクトリ及びファイルの一覧を入手するために、模擬リソースとは気づかずに、感染装置３００を操作することによって、ファイルリストを要求するコマンドを感染装置３００に実行させる。この時、Windows ＯＳが備えるdirコマンドが使われてもよい。Windows APIとして公開されているFindFirst()が呼び出されてもよい。そして、感染装置３００は、ファイルリストの要求（例えばNetBIOSメッセージ）を発信する（ステップＳ１）。

　セキュリティ装置１０１の要求判定部１５は、感染装置３００から送信されたNetBIOSメッセージの種別をチェックすることによって、そのメッセージが、模擬ホストを対象とするメッセージであるかどうかをチェックする（ステップＳ２）。感染装置３００から送信されたNetBIOSメッセージが、模擬ホストを対象とするメッセージである場合、模擬ホスト管理部１６は、メッセージが対象とする模擬ホストが、稼働している模擬ホストであるかどうかをチェックする（ステップＳ３）。メッセージが対象とする模擬ホストが、稼働している模擬ホストでない場合、模擬ホスト管理部１６は、そのメッセージを破棄する。メッセージが対象とする模擬ホストが、稼働している模擬ホストである場合は、次の処理へ進む。

　模擬リソース管理部１９は、メッセージによって要求されたリソースが、稼働している模擬リソースであるか否かをチェックする（ステップＳ４）。メッセージによって要求されたリソースが、稼働していないものであった場合、模擬リソース管理部１９は、そのメッセージを破棄する。メッセージによって要求されたリソースが、稼働している模擬リソースであった場合、模擬応答生成部２１は、そのメッセージに応答する模擬応答メッセージを生成する（ステップＳ５）。模擬応答生成部２１は、精製した模擬応答メッセージを、模擬応答送信部２５を介して感染装置３００へ送信する。これにより、感染装置３００では、NetBIOSメッセージに対する応答を受信することにより、確かに存在している旨の確認がされることになる。

　次に、感染装置３００は、SMBセッションを開始する（ステップＳ６）。セキュリティ装置１０１においては、模擬リソース管理部１９が、模擬リソースを実際のリソースとして見せかけるために必要な情報を、模擬リソース固有情報蓄積部１７Ｂを参照することによって、模擬リソース固有情報蓄積部１７Ｂから取得する（ステップＳ８）。模擬応答生成部２１は、読み出された上述の必要な情報を使用して、模擬応答メッセージを生成する。模擬応答生成部２１は、生成した模擬応答メッセージによって応答する（ステップＳ８）。

　セキュリティ装置１０１は、引き続くSMBメッセージ処理においても、明示的に図示はしていないが、同様の処理を行う。以下の説明では、主に、模擬応答生成部２１による動作の、特徴がある部分について説明する。

　模擬応答生成部２１は、ＳＭＢ　Ｔｒａｎｓ２　Ｒｅｓｐｏｎｓｅメッセージ（Ｍ１）において、図４Ａに示すように、タイムスタンプ及びファイル属性を設定する。模擬応答生成部２１は、Ｆｉｌｅ　Ａｔｔｒｉｂｕｔｅｓにはディレクトリを表すフラグを立てる。模擬応答生成部２１は、タイムスタンプを、未来を指さない値（すなわち未来ではない日時）に設定する。例えば新しく更新した共有フォルダは、攻撃者にとって魅力的である。タイムスタンプにできるだけ最近に近い日時を設定することによって、模擬リソースを攻撃者にとって魅力的な情報として見せることが可能となる。また、模擬応答生成部２１は、タイムスタンプを設定する方法として、予め設定された日時に基づき設定する方法、又は、ランダムに選択する方法など、どのような設定方法が用いられてもよい。

　模擬応答生成部２１は、ＳＭＢ　Ｔｒａｎｓ２　Ｒｅｓｐｏｎｓｅメッセージ（Ｍ２）において、図４Ｂに示すように、Ｅｎｄ　ｏｆ　Ｆｉｌｅフラグを、ファイルの末尾でないことを表す値である０に設定する。このフラグを０に設定することによって、メッセージＭ２を受信した感染装置３００は、まだディレクトリやファイルの情報が存在すると判断し、要求を継続する。

　模擬応答生成部２１は、ＳＭＢ　Ｔｒａｎｓ２　Ｒｅｓｐｏｎｓｅメッセージ（Ｍ３）において、図４Ｃに示すように、ファイルシステム属性（ＦＳ　Ａｔｔｒｉｂｕｔｅ）を、例えば実際のWindowsホストの通信から取得したファイルシステム属性の値に設定する。また、模擬応答生成部２１は、ＦＳ　ＮａｍｅをＮＴＦＳに設定する。ＦＳ　Ａｔｔｒｉｂｕｔｅに設定される値は、ここで記述した値に限られるわけではなく、通常用いられる想定される値が使われても構わない。

　模擬応答生成部２１は、ＳＭＢ　Ｔｒａｎｓ２　Ｒｅｓｐｏｎｓｅメッセージ（Ｍ４）において、図４Ｄに示すように、Ｌａｂｅｌの値を設定する。このＬａｂｅｌは共有フォルダを作成する際の共有名にあたる。このＬａｂｅｌの値を攻撃者にとって魅力的なフォルダ名を設定することによって、攻撃者を誘い込みやすくすることも可能である。

　模擬応答生成部２１は、ＳＭＢ　Ｔｒａｎｓ２　Ｒｅｓｐｏｎｓｅメッセージ（Ｍ５）において、図４Ｅに示すように、ＦＩＮＤ＿ＦＩＲＳＴ２パラメータにおいて、Ｓｅａｒｃｈ　ＣｏｕｎｔとＥｎｄ　Ｏｆ　Ｓｅａｒｃｈの値を設定する。模擬応答生成部２１は、Ｓｅａｒｃｈ　Ｃｏｕｎｔの数を、その後のデータ領域に格納される、ディレクトリおよびファイルの総数に一致する数に設定する。このデータ領域に格納されるディレクトリおよびファイルが、セキュリティ装置１０１が生成する模擬ディレクトリおよび模擬ファイルに相当する。前述のデータ領域に格納される情報は、模擬リソース固有情報蓄積部１７Ｂから取得した情報である。さらに、模擬応答生成部２１は、Ｅｎｄ　Ｏｆ　Ｓｅａｒｃｈフラグを０に設定する。このフラグを０にしている限り、問い合わせ元である感染装置３００は、アクセスしている模擬リソース上に、まだ模擬ディレクトリ及び模擬ファイルの少なくともいずれかが存在していると判断する。そして、そのような感染装置３００は、模擬リソースに関する情報を取得し続ける可能性が高い。すなわち、このフラグを１に設定しない限り、問い合わせ元である感染装置３００は、問い合わせをし続ける可能性がある。逆に、問い合わせを打ち切る場合、模擬応答生成部２１は、例えばこのフラグを１に設定する。このフラグを１に設定することによって、感染装置３００は、ディレクトリおよびファイルの一覧取得処理を終了する可能性がある。

　Ｅｎｄ　Ｏｆ　Ｓｅａｒｃｈフラグが０に設定されたメッセージ（Ｍ５）を受信した場合、感染装置３００は、取得できていない模擬ディレクトリ又は模擬ファイルの一覧をさらに要求する。具体的には、感染装置３００は、模擬ディレクトリ又は模擬ファイルの一覧をさらに要求するために、ＳＭＢ　Ｔｒａｎｓ２　Ｒｅｑｕｅｓｔ（ＦＩＮＤ＿ＮＥＸＴ２）メッセージ（Ｍ６）を送信する。Ｅｎｄ　Ｏｆ　Ｓｅａｒｃｈフラグが１に設定されない限り、セキュリティ装置１０１及び感染装置３００は、このメッセージのやりとりを継続する（Ｍ７以降）。

　以上で説明した本実施形態には、セキュリティを向上させることができるという第１の効果がある。

　その理由は、模擬応答送信制御部２３が、感染装置３００から模擬リソースへの要求に応じて模擬応答生成部２１が生成した模擬応答によって送信されていない模擬応答の有無を表す要求終了フラグを、タイマー値に基づき制御するからである。感染装置３００その要求終了フラグに基づいて侵入を試みる場合、その要求終了フラグが、送信されていない模擬応答があることを表す間、感染装置３００は、要求を繰り返す。それにより、感染装置３００の侵入を行う動作は妨害される。従ってセキュリティを向上させることができる。

　一般に、ハニートークンは、いずれかの形式の情報であるが、その形式の情報が本来用いられる用途には用いられない、機密ではない偽の情報である。そのため、ある組織のネットワーク内において展開されているハニートークンが、そのネットワークに侵入したサイバー攻撃者によって取得されたとしても、組織にとって本来影響がないはずである。しかし、攻撃者によって流出した情報が本物の情報なのか偽の情報なのかの判断が困難である場合、本物の情報が流出したという評判が世に出ることによって、組織のブランド力が低下してしまう懸念がある。しかし、本実施の形態では、偽の情報によってハニートークンとして構成された電子情報の実体は存在せず、電子情報のメタ情報のみがハニートークンとして存在する。攻撃者がハニートークンを取得しても、このメタ情報のみが攻撃者の手に渡る。従って、より安全性の高い仮想的なハニートークンを利用することが可能である。

　より具体的には、本実施形態において仮想的に模擬されるディレクトリおよび模擬されるファイルに関して、攻撃者の手に渡る情報は、ディレクトリやファイルの生成日時、種別、名前、サイズなどのメタ情報のみ限られる。ディレクトリ及びファイルの情報の内容が含まれる電子情報は攻撃者の手に渡ることはない。なぜならば、そもそも電子情報の実体が存在しないからである。

　さらに、前述のメタ情報が、攻撃者にとって魅力的に映る情報を用いて構成されている場合、攻撃者は、目の前に存在しているように見える模擬ディレクトリや模擬ファイルの一覧を入手した時に、安易にあきらめずになんとかして電子情報の実体を取得しようと試みる可能性がある。このように、攻撃者が本来は存在しないディレクトリやファイルに対する試行を繰り返した場合、攻撃者に無駄な時間を浪費させることができる。このように、攻撃者をより欺きやすい欺瞞を仕掛けることができる。そして、攻撃コストを増加させることができる。従って、セキュリティを向上することができる。

　さらに、模擬リソース固有情報蓄積部１７Ｂに膨大な量の模擬リソースの固有情報が格納され、模擬リソース稼働管理部２０が、その膨大な量の模擬リソースを稼働させるよう設定されている場合、攻撃者に対してこの膨大な量の模擬リソースを送りかえし続けることができる。模擬リソースとして、例えば1,000万のディレクトリおよびファイルが存在しているかのように見えるように設定されている場合、攻撃者が情報の受信を途中でやめない限り、その攻撃者は、1,000万という数のディレクトリおよびファイルを延々と受信し続ける。例えば、1,000万のディレクトリ及びファイルの情報を、長時間（例えば１週間）延々と送り続けることも可能である。

　これによって、感染装置３００が、受信した情報をインメモリに蓄えている場合、メモリ使用量が増え続ける。その結果、感染装置３００のメモリ使用量が、許容できるメモリ使用量を超えた場合、メモリ不足が感染装置３００の動作に影響を及ぼす。感染装置３００の動作に対する影響として、例えば、プログラムの不正終了、プログラムの動作の不安定、プログラムの性能が十分には発揮されない状態になること、及び、ＣＰＵ使用量の上昇、などが考えられる。感染装置３００に、例えばＲＡＴ（Ｒｅｍｏｔｅ　Ａｄｍｉｎｉｓｔｒａｔｉｏｎ　Ｔｏｏｌ）が用いられている場合、感染装置３００が受信した情報は、ＲＡＴによって、ネットワークシステム２００の外に接続され、ＲＡＴと通信するプログラムが動作する装置に送信される。その場合、感染装置３００は、ＲＡＴと通信するプログラムが動作する装置に対して、受信した情報を送信し続ける。この時、ＲＡＴと通信するプログラムが動作する装置において、上述と同様の悪影響が発生することが想定される。

　感染装置３００が、受信した情報を、インメモリではなくファイルに書き出している場合、大量の情報を延々と受信し続けることによって、受信した情報が書き出されているファイルが巨大化する。この場合、感染装置３００において、攻撃者の意図によらず、例えば数ギガバイトの、巨大なサイズのファイルが生成されたり、保持するハードディスク領域が圧迫されたりする。攻撃者は、攻撃が早々に防御者によって発見されてしまうと、攻撃者が攻撃のためにこれまでにかけたコストが無駄になってしまう。攻撃者は、攻撃が防御者によって発見されない、息の長い攻撃基盤の構築を意図している。そのため、攻撃は、できるだけ検知の仕組みをすり抜けたり、解析システム上で動作していることを検知したり、とできるだけ派手な動きをせずにこっそりと動作するように制御される。本実施形態によると、目立たないよう制御される攻撃に対して、派手な動きを誘発する仕組みとしても効果が期待される。

　また、セキュリティ装置１０１は、メッセージの送信元の通信装置が悪意のある攻撃者であるか否かに関係なく、複数の模擬ディレクトリ、複数の模擬ファイル、及び、これらが展開されているように見える模擬ホストを生成する。従って、攻撃者が悪意をもつか検知する必要がない。よって、悪意を隠した巧妙な攻撃に対するセキュリティを向上することができる。

　仮想的に模擬する共有ネットワークリソースに関して、模擬ディレクトリや模擬ファイルの名称は、セキュリティ装置１０１が使用される組織でよく用いられる名称や名称規則に基づき設定されていればよい。これによって、攻撃者に対して、より魅力的な情報であると見せかけることができるので、さらに高いセキュリティを実現することができる。

　以上の説明では、本実施の形態では、模擬ホスト固有情報蓄積部１７Ａ及び模擬リソース固有情報蓄積部１７Ｂは、予め必要な情報が蓄積されている。しかし、セキュリティ装置１０１は、外部からの入力（図示されない）に応じて、前記模擬ホスト固有情報蓄積部１７Ａ及び模擬リソース固有情報蓄積部１７Ｂに格納されている設定値を更新する更新部（図示されない）を備えていてもよい。これにより、柔軟なシステム運用が可能である。

　以上の説明では、本実施の形態では、セキュリティ装置１０１が生成する模擬ネットワークリソースは、感染装置３００から見ると、外部に存在するネットワークリソースとして見えている。しかし、そのような模擬ネットワークリソースへのシンボリックリンクが感染装置３００において生成されていてもよい。模擬ネットワークリソースへのシンボリックリンクを生成することにより、感染装置３００のファイルシステムにおいて、その模擬ネットワークリソースを擬似的に展開することが可能である。

　以上で説明したように、攻撃者が感染装置３００上のディレクトリおよびファイルを捜索している状況において、本実施の形態の仕組みの効果を得ることができる。

　上述のように、本実施の形態にかかるセキュリティシステム１００では、模擬リソース固有情報蓄積部１７Ｂが複数の模擬リソースの固有情報を有する。模擬リソース稼働管理部２０が固有情報に基づいて、複数の模擬ホストの稼働状態を管理する。模擬リソース管理部１９が、受信したメッセージに含まれる要求に基づいて、模擬リソース稼働管理部２０が稼働させた複数の模擬リソースが応答するか否かを判定する。そして、模擬応答生成部２１が模擬リソース毎に模擬応答を生成して、模擬応答送信部２５が送信する。こうすることで、模擬ネットワークリソースを実在するかのように見せることが可能になる。すなわち、感染装置３００に対して、複数の模擬リソースを備えた仮想的な模擬共有ネットワークリソース１１０の幻想を見せることができる。

　＜第２の実施形態＞
　次に、本発明の第２の実施形態について、図面を参照して詳細に説明する。

　図５は、本実施形態のセキュリティシステム１００Ａの構成の例を表すブロック図である。

　図５を参照すると、本実施形態のセキュリティシステム１００Ａは、パケット受信部１１と、模擬リソース固有情報蓄積部１７Ｂと、模擬応答生成部２１と模擬応答送信制御部２３と、模擬応答送信部２５と、を備える。パケット受信部１１は、侵入を試みる侵入装置３００からの要求を受信する。模擬リソース固有情報蓄積部１７Ｂは、複数の仮想的な模擬リソースの固有情報を格納する。模擬応答生成部２１は、前記模擬リソースへの前記要求に応じて前記固有情報に基づき模擬応答を生成する。模擬応答送信制御部２３は、送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信部２５は、前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する。セキュリティシステム１００Ａは、以上の各部を含む１つの装置によって実現することができる。

　以上で説明した本実施形態には、第１の実施形態の第１の効果がある。その理由は、第１の実施形態の第１の効果が生じる理由と同じである。

　上述の実施の形態にかかるセキュリティシステム１００の一部または全部は、コンピュータプログラムによって実現されても良い。上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある規則媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記憶（例えばフレキシブルディスク、磁気テープ、ハードディスドライブ）、光磁気記憶媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　具体的には、セキュリティシステム１００及びセキュリティシステム１００Ａは、それぞれ、コンピュータ及びコンピュータを制御するプログラム、専用のハードウェア、又は、コンピュータ及びコンピュータを制御するプログラムと専用のハードウェアの組合せにより実現することができる。

　図６は、本発明の第１の実施形態に係るセキュリティ装置１０１及び第２の実施形態のセキュリティシステム１００Ａを実現することができる、コンピュータ１０００のハードウェア構成の一例を表す図である。図６を参照すると、コンピュータ１０００は、プロセッサ１００１と、メモリ１００２と、記憶装置１００３と、Ｉ／Ｏ（Ｉｎｐｕｔ／Ｏｕｔｐｕｔ）インタフェース１００４とを含む。また、コンピュータ１０００は、記録媒体１００５にアクセスすることができる。メモリ１００２と記憶装置１００３は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ハードディスクなどの記憶装置である。記録媒体１００５は、例えば、ＲＡＭ、ハードディスクなどの記憶装置、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、可搬記録媒体である。記憶装置１００３が記録媒体１００５であってもよい。プロセッサ１００１は、メモリ１００２と、記憶装置１００３に対して、データやプログラムの読み出しと書き込みを行うことができる。プロセッサ１００１は、Ｉ／Ｏインタフェース１００４を介して、例えば、ネットワークシステム２００にアクセスすることができる。プロセッサ１００１は、記録媒体１００５にアクセスすることができる。記録媒体１００５には、コンピュータ１０００を、セキュリティシステム１００又はセキュリティシステム１００Ａとして動作させるプログラムが格納されている。

　プロセッサ１００１は、記録媒体１００５に格納されている、コンピュータ１０００を、セキュリティシステム１００又はセキュリティシステム１００Ａとして動作させるプログラムを、メモリ１００２にロードする。そして、プロセッサ１００１が、メモリ１００２にロードされたプログラムを実行することにより、コンピュータ１０００は、セキュリティシステム１００又はセキュリティシステム１００Ａとして動作する。

　以下に示す第１グループに含まれる各部は、例えば、プログラムを記憶する記録媒体１００５からメモリ１００２に読み込まれた、各部の機能を実現することができる専用のプログラムと、そのプログラムを実行するプロセッサ１００１により実現することができる。第１グループは、パケット受信部１１と、パケット配送部１２と、ブロードキャストパケット処理部１３と、ユニキャストパケット処理部１４と、要求判定部１５とを含む。第１グループは、さらに、模擬ホスト管理部１６と、模擬ホスト起動管理部１８と、模擬リソース管理部１９と、模擬リソース稼働管理部２０と、模擬応答生成部２１と、模擬応答送信制御部２３と、模擬応答送信部２５とを含む。また、以下に示す第２グループに含まれる各部は、コンピュータ１０００が含むメモリ１００２やハードディスク装置等の記憶装置１００３により実現することができる。第２グループは、模擬ホスト固有情報蓄積部１７Ａと、模擬リソース固有情報蓄積部１７Ｂと、模擬応答テンプレート蓄積部２２と、模擬応答送信キュー２４とを含む。第２グループは、模擬ホスト固有情報蓄積部１７Ａ及び模擬リソース固有情報蓄積部１７Ｂを含む固有情報蓄積部１７と、模擬応答テンプレート蓄積部２２と、模擬応答送信キュー２４とを含んでいてもよい。あるいは、第１のグループに含まれる部と第２のグループに含まれる部の一部又は全部を、それらの部の機能を実現する専用の回路によって実現することもできる。

　また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）
　侵入を試みる侵入装置からの要求を受信するパケット受信手段と、
　複数の仮想的な模擬リソースの固有情報を格納する模擬リソース固有情報蓄積手段と、
　前記模擬リソースへの前記要求に応じて前記固有情報に基づき模擬応答を生成する模擬応答生成手段と、
　前記模擬応答によって送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御手段と、
　前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信手段と、
　を備えるセキュリティシステム。

　（付記２）
　前記模擬応答送信制御手段は、前記模擬応答送信手段が送信した前記模擬応答の量に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値ではない値にセットし、
　前記タイマー値が前記タイマー閾をより大きい場合に、前記要求終了フラグを前記有効値にセットする
　付記１に記載のセキュリティシステム。

　（付記３）
　前記模擬応答送信制御手段は、模擬応答送信手段が模擬応答を送信しはじめた時刻からの経過時間に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値ではない値にセットし、
　前記タイマー値が前記タイマー閾値より大きい場合に、前記要求終了フラグを前記有効値にセットする
　付記１に記載のセキュリティシステム。

　（付記４）
　前記模擬応答送信手段は、前記タイマー値が前記タイマー閾値より大きくない場合に、前記模擬応答を送信し続ける
　付記２又は３に記載のセキュリティシステム。

　（付記５）
　前記模擬応答送信制御手段は、時間当たりに送信する模擬応答の量に応じて前記タイマー値をセットし、前記模擬応答送信手段の送信タイミングを前記タイマー値に基づき制御する
　付記１乃至４のいずれか１項に記載のセキュリティシステム。

　（付記６）
　前記模擬応答生成手段は、前記要求終了フラグの値を含む前記模擬応答を生成し、
　前記模擬応答送信手段は、前記要求終了フラグに基づき処理の継続判定を行う通信プロトコルを用いて前記模擬応答を送信する
　付記１乃至５のいずれか１項に記載のセキュリティシステム。

　（付記７）
　前記通信プロトコルは、ＮｅｔＢＩＯＳ　Ｎａｍｅ　Ｓｅｒｖｉｃｅ（ＮＢＮＳ）、ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）を含む
　付記１乃至６のいずれか１項に記載のセキュリティシステム。

　（付記８）
　侵入を試みる侵入装置からの要求を受信し、
　前記模擬リソースへの前記要求に応じて複数の仮想的な模擬リソースの固有情報に基づき模擬応答を生成し、
　送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御し、
　前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する、
　セキュリティ方法。

　（付記９）
　送信した前記模擬応答の量に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きい場合に、前記要求終了フラグを有効値にセットし、
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値以外の値にセットする
　付記８に記載のセキュリティ方法。

　（付記１０）
　前記模擬応答を送信しはじめた時刻からの経過時間に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きい場合に、前記要求終了フラグを有効値にセットし、
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値以外の値にセットする
　付記８に記載のセキュリティ方法。

　（付記１１）
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記模擬応答を送信し続ける
　付記９又は１０に記載のセキュリティ方法。

　（付記１２）
　時間あたりに送信する前記模擬応答の量に応じて前記タイマー値をセットし、前記模擬応答の送信タイミングを前記タイマー値に基づき制御する
　付記８乃至１１のいずれか１項に記載のセキュリティ方法。

　（付記１３）
　前記要求終了フラグの値を含む前記模擬応答を生成し、
　前記要求終了フラグに基づき処理の継続判定を行う通信プロトコルを用いて前記模擬応答を送信する
　付記８乃至１２のいずれか１項に記載のセキュリティ方法。

　（付記１４）
　前記通信プロトコルは、ＮｅｔＢＩＯＳ　Ｎａｍｅ　Ｓｅｒｖｉｃｅ（ＮＢＮＳ）、ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）を含む
　付記８乃至１３のいずれか１項に記載のセキュリティ方法。

　（付記１５）
　コンピュータに、
　侵入を試みる侵入装置からの要求を受信するパケット受信処理と、
　前記模擬リソースへの前記要求に応じて複数の仮想的な模擬リソースの固有情報に基づき模擬応答を生成する模擬応答生成処理と、
　送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御処理と、
　前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信処理と、
　を実行させるプログラム。

　（付記１６）
　コンピュータに、
　送信した前記模擬応答の量に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きい場合に、前記要求終了フラグを有効値にセットせず、
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値以外の値にセットする前記模擬応答送信制御処理
　を実行させる付記１５に記載のプログラム。

　（付記１７）
　コンピュータに、
　前記模擬応答を送信しはじめた時刻からの経過時間に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きい場合に、前記要求終了フラグを有効値にセットしない、
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値ではない値にセットする前記模擬応答送信制御処理
　を実行させる付記１５に記載のプログラム。

　（付記１８）
　コンピュータに、
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記模擬応答を送信し続ける前記模擬応答送信処理
　を実行させる付記１６又は１７に記載のプログラム。

　（付記１９）
　コンピュータに、
　時間当たりに送信する前記もぎ応答の量に応じて前記タイマー値をセットし、前記模擬応答の送信タイミングを前記タイマー値に基づき制御する前記模擬応答送信制御処理
　を実行させる付記１５乃至１８のいずれか１項に記載のプログラム。

　（付記２０）
　コンピュータに、
　前記要求終了フラグの値を含む前記模擬応答を生成する前記模擬応答生成処理と、
　前記要求終了フラグに基づき処理の継続判定を行う通信プロトコルを用いて前記模擬応答を送信する前記模擬応答送信処理と、
　を実行させる付記１５乃至１９のいずれか１項に記載のプログラム。

　（付記２１）
　前記通信プロトコルは、ＮｅｔＢＩＯＳ　Ｎａｍｅ　Ｓｅｒｖｉｃｅ（ＮＢＮＳ）、ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）を含む
　付記１５乃至２０のいずれか１項に記載のプログラム。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解しえる様々な変更をすることができる。

　この出願は、２０１５年５月２７日に出願された日本出願特願２０１５－１０７１１５を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１１　　パケット受信部
　１２　　パケット配送部
　１３　　ブロードキャストパケット処理部
　１４　　ユニキャストパケット処理部
　１５　　要求判定部
　１６　　模擬ホスト管理部
　１７　　固有情報蓄積部
　１７Ａ　　模擬ホスト固有情報蓄積部
　１７Ｂ　　模擬リソース固有情報蓄積部
　１８　　模擬ホスト起動管理部
　１９　　模擬リソース管理部
　２０　　模擬リソース稼働管理部
　２１　　模擬応答生成部
　２２　　模擬応答テンプレート蓄積部
　２３　　模擬応答送信制御部
　２４　　模擬応答送信キュー
　２５　　模擬応答送信部
　１００　　セキュリティシステム
　１００Ａ　　セキュリティシステム
　１０１　　セキュリティ装置
　１１０　　模擬共有ネットワークリソース
　１１１、１１２　　模擬ディレクトリ
　１１３、１１４　　模擬ファイル
　１０２　　通信装置
　１２０　　共有ネットワークリソース
　１２１　　実ディレクトリ
　１２２　　実ファイル
　２００　　ネットワークシステム
　３００　　感染装置
　１０００　　コンピュータ
　１００１　　プロセッサ
　１００２　　メモリ
　１００３　　記憶装置
　１００４　　Ｉ／Ｏインタフェース
　１００５　　記録媒体
　Ｓ１～Ｓ８　　模擬リソース一覧の取得シーケンスにおける処理
　Ｍ１～Ｍ７　　模擬応答生成部が生成するメッセージ

Claims

　侵入を試みる侵入装置からの要求を受信するパケット受信手段と、
　複数の仮想的な模擬リソースの固有情報を格納する模擬リソース固有情報蓄積手段と、
　前記模擬リソースへの前記要求に応じて前記固有情報に基づき模擬応答を生成する模擬応答生成手段と、
　前記模擬応答によって送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御手段と、
　前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信手段と、
　を備えるセキュリティシステム。
　前記模擬応答送信制御手段は、前記模擬応答送信手段が送信した前記模擬応答の量に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値ではない値にセットし、
　前記タイマー値が前記タイマー閾をより大きい場合に、前記要求終了フラグを前記有効値にセットする
　請求項１に記載のセキュリティシステム。
　前記模擬応答送信制御手段は、模擬応答送信手段が模擬応答を送信しはじめた時刻からの経過時間に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値ではない値にセットし、
　前記タイマー値が前記タイマー閾値より大きい場合に、前記要求終了フラグを前記有効値にセットする
　請求項１に記載のセキュリティシステム。
　前記模擬応答送信手段は、前記タイマー値が前記タイマー閾値より大きくない場合に、前記模擬応答を送信し続ける
　請求項２又は３に記載のセキュリティシステム。
　前記模擬応答送信制御手段は、時間当たりに送信する模擬応答の量に応じて前記タイマー値をセットし、前記模擬応答送信手段の送信タイミングを前記タイマー値に基づき制御する
　請求項１乃至４のいずれか１項に記載のセキュリティシステム。
　前記模擬応答生成手段は、前記要求終了フラグの値を含む前記模擬応答を生成し、
　前記模擬応答送信手段は、前記要求終了フラグに基づき処理の継続判定を行う通信プロトコルを用いて前記模擬応答を送信する
　請求項１乃至５のいずれか１項に記載のセキュリティシステム。
　前記通信プロトコルは、ＮｅｔＢＩＯＳ　Ｎａｍｅ　Ｓｅｒｖｉｃｅ（ＮＢＮＳ）、ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）を含む
　請求項１乃至６のいずれか１項に記載のセキュリティシステム。
　侵入を試みる侵入装置からの要求を受信し、
　前記模擬リソースへの前記要求に応じて複数の仮想的な模擬リソースの固有情報に基づき模擬応答を生成し、
　送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御し、
　前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する、
　セキュリティ方法。
　送信した前記模擬応答の量に基づき前記タイマー値を決定し、
　前記タイマー値が予め設定されたタイマー閾値より大きい場合に、前記要求終了フラグを有効値にセットし、
　前記タイマー値が前記タイマー閾値より大きくない場合に、前記要求終了フラグを前記有効値以外の値にセットする
　請求項８に記載のセキュリティ方法。
　コンピュータに、
　侵入を試みる侵入装置からの要求を受信するパケット受信処理と、
　前記模擬リソースへの前記要求に応じて複数の仮想的な模擬リソースの固有情報に基づき模擬応答を生成する模擬応答生成処理と、
　送信されていない前記模擬リソースの有無を表す要求終了フラグをタイマー値に基づき制御する模擬応答送信制御処理と、
　前記模擬応答を、前記要求終了フラグに基づいて前記要求を送信する前記侵入装置に送信する模擬応答送信処理と、
　を実行させるプログラムを記憶する記録媒体。