WO2017064824A1

WO2017064824A1 - 監視装置、基地局、監視方法、制御方法、及び非一時的なコンピュータ可読媒体

Info

Publication number: WO2017064824A1
Application number: PCT/JP2016/003172
Authority: WO
Inventors: 一彰中島; 真二益田; 田村　利之; 秀水石川; 将之新庄
Original assignee: 日本電気株式会社
Priority date: 2015-10-15
Filing date: 2016-07-04
Publication date: 2017-04-20
Also published as: JPWO2017064824A1; US20180309783A1; US20220014550A1; JP6737283B2; JP2020174391A; US11190541B2

Abstract

モバイルネットワークへのＤｏＳ攻撃の脅威を軽減することができる監視装置を提供することを目的とする。本発明にかかる監視装置（１０）は、基地局（２０）と通信する通信端末（３０）に関する情報をモバイルネットワークに配置されている通信装置（４０）へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、モバイルネットワークへ攻撃を行う通信端末（３０）と通信する特定基地局を推定する信号モニタ部（１１）と、特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させる基地局制御部（１２）と、を備えるものである。

Description

監視装置、基地局、監視方法、制御方法、及び非一時的なコンピュータ可読媒体

　本発明は監視装置、基地局、監視方法、制御方法、及びプログラムに関し、特にモバイルネットワークに対する攻撃を監視する監視装置、基地局、監視方法、制御方法、及びプログラムに関する。

　通信端末が携帯電話事業者によって運用されるモバイルネットワークを利用して通信を行うために、モバイルネットワークを構成する装置において様々な処理が実行される。非特許文献１には、通信端末のＡＴＴＡＣＨ処理手順が記載されている。ＡＴＴＡＣＨ処理を実行することによって、通信端末の認証、及び通信端末がデータを送受信するために用いられる通信ベアラの設定等が行われる。

3GPP TS23.401 V13.3.0 (2015-06)

　近年、モバイルネットワークへのＤｏＳ（Denial of Service）攻撃の脅威が高まっている。例えば、大量の制御信号がモバイルネットワークへ送信された場合、モバイルネットワーク内において制御信号の処理を担うノード装置に大きな負荷が発生する。さらに、大量の制御信号がモバイルネットワーク内において伝送されることによって、伝送路が輻輳に陥る可能性もある。携帯電話事業者は、全世界からのGlobal roamingサービスを提供するために、通信端末の認証等を行う際に、他の携帯電話事業者が運用するモバイルネットワークと連携した制御を行う必要がある。そのため、モバイルネットワークへのＤｏＳ攻撃は、一つの携帯電話事業者が運用するモバイルネットワークのみならず複数の携帯電話事業者が運用するモバイルネットワークに影響を与える可能性がある。

　そこで、モバイルネットワークを安定して運用するために、モバイルネットワークへのＤｏＳ攻撃の脅威を軽減することが望まれている。

　本発明の目的は、モバイルネットワークへのＤｏＳ攻撃の脅威を軽減することができる監視装置、基地局、監視方法、制御方法、及びプログラムを提供することにある。

　本発明の第１の態様にかかる監視装置は、基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する信号モニタ部と、前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させる基地局制御部と、を備えるものである。

　本発明の第２の態様にかかる基地局は、自装置が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定する信号モニタ部と、前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定する信号制御部と、を備えるものである。

　本発明の第３の態様にかかる監視方法は、基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させるものである。

　本発明の第４の態様にかかる制御方法は、基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定するものである。

　本発明の第５の態様にかかるプログラムは、基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させることをコンピュータに実行させるものである。

　本発明により、モバイルネットワークへのＤｏＳ攻撃の脅威を軽減することができる監視装置、基地局、監視方法、制御方法、及びプログラムを提供することができる。

実施の形態１にかかる通信システムの構成図である。実施の形態２にかかるモバイルネットワークの構成図である。実施の形態２にかかるInitial Attach処理の概要を示す図である。実施の形態２にかかるInitial Attach処理の概要を示す図である。実施の形態２にかかるＵＥが攻撃を行った場合の処理の流れを示す図である。実施の形態２にかかるＵＥが攻撃を行った場合の処理の流れを示す図である。実施の形態２にかかるＵＥが攻撃を行った場合の処理の流れを示す図である。実施の形態２にかかるｅＮＢの構成図である。実施の形態２にかかるｅＮＢにおけるＵＥからの攻撃を防御する処理の流れを示す図である。実施の形態２にかかるＡＴＴ　ＵＥとｅＮＢとの間におけるＡＴＴ　ＵＥからの攻撃を防御する際の処理の流れを示す図である。実施の形態２にかかるモバイルネットワークの構成図である。実施の形態３にかかるCause値の一覧を示す図である。実施の形態４にかかるＡＴＴ　ＵＥとｅＮＢとの間におけるＡＴＴ　ＵＥからの攻撃を防御する際の処理の流れを示す図である。実施の形態５にかかるモバイルネットワークの構成図である。実施の形態５にかかるモバイルネットワークの構成図である。実施の形態５にかかるモバイルネットワークの構成図である。それぞれの実施の形態におけるノード装置の構成図である。

　（実施の形態１）
　以下、図面を参照して本発明の実施の形態について説明する。図１を用いて本発明の実施の形態１にかかる通信システムの構成例について説明する。図１の通信システムは、監視装置１０、基地局２０、通信端末３０、通信装置４０、及び、加入者データ装置５０を有している。監視装置１０、基地局２０、通信端末３０、通信装置４０、及び、加入者データ装置５０は、プロセッサがメモリに格納されているプログラムを実行することによって動作するコンピュータ装置であってもよい。

　基地局２０、通信装置４０、及び加入者データ装置５０は、３ＧＰＰ（3rd Generation Partnership Project）において規定されているノード装置であってもよい。例えば、基地局２０は、ＮｏｄｅＢもしくはｅＮＢ（evolved NodeB）であってもよい。通信装置４０は、ＳＧＳＮ（Serving GPRS Support Node）もしくはＭＭＥ（Mobility Management Entity）であってもよい。また、加入者データ装置５０は、ＨＳＳ（Home Subscriber Server）もしくはＨＬＲ（Home Location Register）であってもよい。

　通信端末３０は、基地局２０と無線通信する端末である。通信端末３０は、例えば、携帯電話端末、スマートフォン、またはタブレット型端末等であってもよい。あるいは、通信端末３０は、Ｍ２Ｍ（Machine to Machine）端末またはＭＴＣ（Machine Type Communication）端末等であってもよい。

　続いて、監視装置１０の構成例について説明する。監視装置１０は、信号モニタ部１１及び基地局制御部１２を有している。信号モニタ部１１及び基地局制御部１２は、プロセッサがメモリに格納されているプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。あるいは、信号モニタ部１１及び基地局制御部１２は、回路もしくはチップ等のハードウェアであってもよい。

　信号モニタ部１１は、基地局２０と通信する通信端末３０に関する情報を通信装置４０へ登録するＡＴＴＡＣＨ処理を拒否された回数を監視する。さらに、信号モニタ部１１は、監視結果に応じて、モバイルネットワークへ攻撃を行う通信端末と通信する基地局を推定する。モバイルネットワークへ攻撃を行う通信端末と通信する基地局を、以下において、特定基地局と称する。特定基地局は、基地局を構成するセクタの場合であってもかまわない。

　モバイルネットワークは、例えば、基地局２０、通信装置４０、及び、加入者データ装置５０を含むネットワークである。

　ＡＴＴＡＣＨ処理は、通信端末３０がモバイルネットワークを利用することを可能とするために行われる処理である。通信端末３０に関する情報は、例えば、通信端末３０の位置に関する情報であってもよい。

　通信装置４０は、例えば、通信端末３０の認証を行えない場合、もしくは通信端末３０がモバイルネットワークを利用することができない通信端末である場合等に、通信端末３０に関する情報を登録することを拒否する。具体的には、通信端末３０が、通信端末の識別情報を偽装した場合等に、通信端末３０の認証を行えないと判断される。通信装置４０は、通信端末３０に関する加入者情報を保持する加入者データ装置５０と通信を行う事で、通信端末３０に関する情報の登録を拒否してもかまわない。

　信号モニタ部１１は、例えば、基地局２０に帰属する通信端末に関する情報を通信装置４０へ登録することを拒否された回数が、任意の閾値を超えた場合に、基地局２０に、モバイルネットワークへ攻撃を行う通信端末が存在すると推定する。つまり、信号モニタ部１１は、基地局２０を特定基地局と推定する。

　基地局制御部１２は、特定基地局と推定された基地局２０配下の通信端末３０等から送信された信号に設定されている通信端末識別情報に応じて、通信端末３０等の情報を通信装置４０へ登録する処理を実行するか否かを基地局２０が判定することを基地局２０に指示する。

　基地局２０は、配下のすべての通信端末に関する情報を通信装置４０へ登録する処理を実行するのではなく、通信端末識別情報に基づいて、一部もしくは全ての通信端末に関する情報を通信装置４０へ登録する処理を行わないことになる。

　以上説明したように、図１の通信システムを用いることによって、監視装置１０は、モバイルネットワークを攻撃する通信端末と通信している特定基地局を推定することができる。さらに、監視装置１０は、特定基地局において、通信端末に関する情報を通信装置４０へ登録する処理を実行するか否かを判定させることができる。

　これより、基地局２０が、通信端末に関する情報を通信装置４０へ登録する処理の回数を減少させることができる。そのため、モバイルネットワークを攻撃する通信端末が存在する場合であっても、信号数の増加を抑えることができる。

　（実施の形態２）
　続いて、図２を用いて本発明の実施の形態２にかかるモバイルネットワークの構成例について説明する。図２のモバイルネットワークは、３ＧＰＰにおいて規定されているノード装置を用いて構成されている。図２のモバイルネットワークは、ＵＥ（User Equipment）３１～３３、ＡＴＴ（ATTACKER）　ＵＥ３４、ｅＮＢ２１、ｅＮＢ２２、ＭＭＥ４１、ＨＳＳ５１、ＳＧＷ（Serving Gateway）６１、ＰＧＷ（Packet Data Network Gateway）６２、及びＰＣＲＦ（Policy and Charging Rule Function）６３を有している。

　また、図２は、主にＵＥ３１～３３及びＡＴＴ　ＵＥ３４に関するPDN Connectionもしくは通信ベアラを設定する際に用いられる制御データもしくはC-Planeデータの通信経路を示している。

　ＵＥ３１～３３、及びＡＴＴ　ＵＥ３４は、図１の通信端末３０に相当する。ＵＥは、３ＧＰＰにおける通信端末の総称である。また、ＡＴＴ　ＵＥ３４は、モバイルネットワークを攻撃するＵＥを示している。

　ｅＮＢ２１及びｅＮＢ２２は、図１の基地局２０に相当する。ｅＮＢ２１及びｅＮＢ２２は、無線通信方式としてＬＴＥをサポートする基地局である。

　ＭＭＥ４１は、図１の通信装置４０に相当する。ＭＭＥ４１は、ＵＥ３１～３３及びＡＴＴ　ＵＥ３４の位置情報を管理する。ＨＳＳ５１は、図１の加入者データ装置５０に相当する。ＨＳＳ５１は、ＵＥ３１～３３及びＡＴＴ　ＵＥ３４の加入者情報を管理する。

　ＳＧＷ６１及びＰＧＷ６２は、ＵＥ３１～３３及びＡＴＴ　ＵＥ３４に関するユーザデータを伝送するゲートウェイ装置である。ユーザデータは、U-Planeデータと称されてもよい。

　ＰＣＲＦ６３は、ＵＥ３１～３３及びＡＴＴ　ＵＥ３４に関するＱｏＳ（Quality of Service）制御及び課金制御を実行する装置である。また、ＰＣＲＦ６３は、ＰＣＲＦエンティティもしくはＰＣＲＦ装置等と称されてもよい。

　ここで、ＡＴＴ　ＵＥ３４が実行するモバイルネットワークに対する攻撃について説明する。ＡＴＴ　ＵＥ３４は、例えば、モバイルネットワークに対して、ＤｏＳ攻撃を行う。具体的には、ＡＴＴ　ＵＥ３４は、Initial Attach処理を繰り返し実行することによって、モバイルネットワークにおいて伝送される制御データを増加させる。モバイルネットワーク内の各ノード装置は、制御データが増加することによって、実行する処理が増加し、処理負担が増加する。

　図３及び図４を用いて、３ＧＰＰに規定されているInitial Attach処理の概要を説明する。図３及び図４においては、モバイルネットワークに対して攻撃を実行しない一般的なＵＥ３１のInitial Attach処理の概要を説明する。Initial Attach処理は、ＵＥ３１が初めて電源を投入した場合、もしくは、ＵＥ３１が外国からローミングしてきて、初めてｅＮＢ２１と通信を行う場合に実行される。

　はじめに、ＵＥ３１は、ｅＮＢ２１へRRC（Radio Resource Control） connection Requestメッセージを送信する（Ｓ２１）。ＵＥ３１が初めてｅＮＢ２１と通信を行う場合、ＵＥ３１とｅＮＢ２１との間の無線区間についてセキュリティが確保されていない。そのため、ＵＥ３１は、ステップＳ２１において、ＵＥ３１の識別情報として任意の値をRRC connection Requestメッセージに設定する。任意の値は、例えば、random valueと称されてもよい。ＵＥ３１は、例えば、UE identity=random valueとの情報をRRC connection Requestメッセージに設定する。

　次に、ｅＮＢ２１は、RRC connection Requestメッセージに対する応答メッセージとして、RRC connection setupメッセージをＵＥ３１へ送信する（Ｓ２２）。次に、ＵＥ３１は、ＮＡＳ（Non-Access Stratum）プロトコルにおいて用いられるＮＡＳメッセージを含むRRC connection setup completeメッセージをｅＮＢ２１へ送信する（Ｓ２３）。例えば、ＮＡＳメッセージとして、ATTACHリクエストメッセージが設定される。ＵＥ３１は、ATTACHリクエストメッセージに、ＵＥ３１の識別情報としてＩＭＳＩ（International Mobile Subscriber Identity）を設定する。具体的には、ＵＥ３１は、ATTACHリクエストメッセージに、Mobile Identity=IMSIとして設定する。ＩＭＳＩは、通信事業者によって運用される全てのモバイルネットワークにおいてＵＥを一意に識別する識別番号である。

　次に、ｅＮＢ２１は、ＵＥ３１に関する位置情報を管理するＭＭＥを選択する（Ｓ２４）。例えば、ｅＮＢ２１は、ＭＭＥの負荷状況等を考慮して、ＭＭＥを選択してもよい。ここでは、ｅＮＢ２１は、ＭＭＥ４１を選択したとする。

　次に、ｅＮＢ２１は、ＭＭＥ４１へ、Mobile Identity=IMSIが設定されたATTACHリクエストメッセージを含むInitial UE messageを送信する（Ｓ２５）。

　次に、ＭＭＥ４１は、ＵＥ３１に関する認証処理を実行するために、ＵＥ３１のＩＭＳＩを設定したAuthentication Information RequestメッセージをＨＳＳ５１へ送信する（Ｓ２６）。次に、ＨＳＳ５１は、ＵＥ３１のＩＭＳＩに関連づけられたAuthentication Vectorsを含むAuthentication Information AnswerメッセージをＭＭＥ４１へ送信する（Ｓ２７）。Authentication Vectorsは、ＭＭＥ４１において、ＵＥ３１に関する認証を行うために必要なパラメータを含む。例えば、Authentication Vectorsには、RAND（Random challenge）、AUTN（Authentication token）、及びXRES（Expected user response）等のパラメータが含まれる。

　次に、ＭＭＥ４１は、ＨＳＳ５１から送信されたRAND及びAUTNを含むAuthentication RequestメッセージをＵＥ３１へ送信する（Ｓ２８）。次に、ＵＥ３１は、ＭＭＥ４１から送信されたRAND及びAUTNを用いて、RES（User response）を算出する。ＵＥ３１は、算出したRESを含むAuthentication ResponseメッセージをＭＭＥ４１へ送信する（Ｓ２９）。

　次に、ＭＭＥ４１は、ＵＥ３１から送信されたRESと、ＨＳＳ５１から送信されたXRESとを用いてＵＥ３１に関する認証処理を実行する（Ｓ３０）。具体的には、ＭＭＥ４１は、RESとXRESとが一致するか否かを判定する。ＭＭＥ４１は、RESとXRESとが一致すると、ＵＥ３１がモバイルネットワークを利用することを許可する。ステップＳ３０において、ＭＭＥ４１は、ＵＥ３１がモバイルネットワークを利用することを許可したとする。

　次に、ＭＭＥ４１は、セキュリティアソシエーションを確立するために、セキュリティアソシエーションにおいて使用するセキュリティアルゴリズムを含むSECURITY MODE COMMANDメッセージをＵＥ３１へ送信する（Ｓ３１）。次に、ＵＥ３１は、SECURITY MODE COMMANDメッセージに対する応答メッセージとして、SECURITY MODE COMPLETEメッセージをＭＭＥ４１へ送信する（Ｓ３２）。

　次に、ＭＭＥ４１は、ＨＳＳ５１において保持されているＵＥ３１に関する位置情報を更新するために、Update Location RequestメッセージをＨＳＳ５１へ送信する（Ｓ３３）。次に、ＨＳＳ５１は、Update Location Requestメッセージに対する応答メッセージとして、Update Location AckメッセージをＭＭＥ４１へ送信する（Ｓ３４）。

　次に、ＭＭＥ４１は、通信ベアラを設定するために、ＳＧＷ６１へCreate Session Requestメッセージを送信する（Ｓ３５）。さらに、ＳＧＷ６１は、ＰＧＷ６２へCreate Session Requestメッセージを送信する（Ｓ３６）。次に、ＰＧＷ６２は、ＵＥ３１に関するPDN（Packet Data Network） Connectionに適用するＱｏＳを決定するために、ＰＣＲＦ６３とＱｏＳ交渉に関するメッセージを交換する（Ｓ３７）。

　次に、ＰＧＷ６２は、ステップＳ３６におけるCreate Session Requestメッセージに対する応答メッセージとして、Create Session ResponseメッセージをＳＧＷ６１へ送信する（Ｓ３８）。さらに、ＳＧＷ６１は、ステップＳ３５におけるCreate Session Requestメッセージに対する応答メッセージとして、Create Session ResponseメッセージをＭＭＥ４１へ送信する（Ｓ３９）。

　次に、ＭＭＥ４１は、ＵＥ３１とｅＮＢ２１との間の無線設定を行う（Ｓ４０）。次に、ＭＭＥ４１は、無線設定後に、通信ベアラを更新するために、ＳＧＷ６１との間において、Modify Bearer Requestメッセージ及びModify Bearer Responseメッセージを送受信する（Ｓ４１及びＳ４２）。

　次に、ＭＭＥ４１は、ＵＥ３１の一時的な識別情報としてＧＵＴＩ（Globally Unique Temporary Identity）をＵＥ３１に割り当てる（Ｓ４３）。次に、ＭＭＥ４１は、ＧＵＴＩを含むATTACH AcceptメッセージをＵＥ３１へ送信する（Ｓ４４）。

　ステップＳ４４までの処理が実行され、ＡＴＴＡＣＨ処理が正常に完了すると、ＵＥ３１は、ＧＵＴＩを有することになる。これ以降、ＵＥ３１が再びＡＴＴＡＣＨ処理を実行する場合には、ＵＥ３１は、ステップＳ２１において送信するRRC connection Requestメッセージに、UE identity=S-TMSI（SAE-Temporary Mobile Subscriber Identity）を設定する。Ｓ－ＴＭＳＩは、ＵＥ３１を識別する情報としてＧＵＴＩに含まれる値である。つまり、ＵＥ３１が再びＡＴＴＡＣＨ処理を実行する場合、UE identity=random valueを設定する代わりに、UE identity=S-TMSIを設定する。

　ここで、モバイルネットワークを攻撃する意図を有するＡＴＴ　ＵＥ３４が実行するInitial Attach処理について説明する。例えば、ＡＴＴ　ＵＥ３４を用いた攻撃方法として、以下の攻撃が考えられる。
（１）ＡＴＴ　ＵＥ３４の識別情報として、ビット数もしくは番号形態等が不適切なＩＭＳＩを用いてInitial Attach処理を実行する。
（２）ＡＴＴ　ＵＥ３４の識別情報として、通信事業者によって運用されるいずれのモバイルネットワークにおいても管理されていない値のＩＭＳＩを設定し、Initial Attach処理を実行する。
（３）ＡＴＴ　ＵＥ３４の識別情報として、他のＵＥのＩＭＳＩを設定し、他のＵＥに成りすましてInitial Attach処理を実行する。

　図５を用いて、ＡＴＴ　ＵＥ３４が、上述した（１）の攻撃を実行した場合の処理の流れについて説明する。ステップＳ５１～Ｓ５５は、図３のステップＳ２１～Ｓ２５と同様であるため詳細な説明を省略する。

　ＭＭＥ４１は、ステップＳ５５において、不適切なＩＭＳＩが設定されたATTACHリクエストメッセージを含むInitial UE messageを受信すると、ATTACHリジェクトメッセージを含むInitial Context Setup RequestメッセージをｅＮＢ２１へ送信する（Ｓ５６）。次に、ｅＮＢ２１は、ATTACHリジェクトメッセージを含むRRC connection ReconfigurationメッセージをＡＴＴ　ＵＥ３４へ送信する（Ｓ５７）。

　以上説明したように、ＡＴＴ　ＵＥ３４が上述した（１）の攻撃を実行した場合、ステップＳ５１～Ｓ５７の処理が実行される。

　続いて、図６を用いて、ＡＴＴ　ＵＥ３４が上述した（２）の攻撃を実行した場合の処理の流れについて説明する。ステップＳ６１～Ｓ６６は、図３のステップＳ２１～Ｓ２６と同様であるため詳細な説明を省略する。ＨＳＳ５１は、ステップＳ６６において、通信事業者によって運用されるいずれのモバイルネットワークにおいて管理されていない値のＩＭＳＩを受信する。この場合、ＨＳＳ５１は、受信したＩＭＳＩの値が存在しないとするCauseを設定したAuthentication Information AnswerメッセージをＭＭＥ４１へ送信する（Ｓ６７）。受信したＩＭＳＩの値が存在しないとするCauseは、例えば、EPS services and non-EPS services not allowed等であってもよい。

　次に、ＭＭＥ４１は、受信したＩＭＳＩの値が存在しないとするCauseを設定したAuthentication Information Answerメッセージを受信すると、ATTACHリジェクトメッセージを含むInitial Context SetupメッセージをｅＮＢ２１へ送信する（Ｓ６８）。次に、ｅＮＢ２１は、ATTACHリジェクトメッセージを含むRRC connection ReconfigurationメッセージをＡＴＴ　ＵＥ３４へ送信する（Ｓ６９）。

　以上説明したように、ＡＴＴ　ＵＥ３４が上述した（２）の攻撃を実行した場合、ステップＳ６１～Ｓ６９の処理が実行される。

　続いて、図７を用いて、ＡＴＴ　ＵＥ３４が上述した（３）の攻撃を実行した場合の処理の流れについて説明する。ステップＳ７１～Ｓ７９は、図３のステップＳ２１～Ｓ２９と同様であるため詳細な説明を省略する。

　ＡＴＴ　ＵＥ３４は、他のＵＥのＩＭＳＩを設定し、他のＵＥに成りすましている。そのため、ＡＴＴ　ＵＥ３４は、ステップＳ７８において送信されたRAND及びAUTNを用いても、ＨＳＳ５１が生成したXRESと同じ値のRESを生成することができない。そのため、ＭＭＥ４１は、ＡＴＴ　ＵＥ３４の認証において、ステップＳ７９において送信されたRESと、ステップＳ７７において送信されたXRESとが異なると判定する（Ｓ８０）。つまり、ＭＭＥ４１は、ＡＴＴ　ＵＥ３４がモバイルネットワークを利用することを拒否する。

　次に、ｅＮＢ２１は、Authentication rejectメッセージをＡＴＴ　ＵＥ３４へ送信する（Ｓ８１）。

　以上説明したように、ＡＴＴ　ＵＥ３４が上述した（３）の攻撃を実行した場合、ステップＳ７１～Ｓ８１の処理が実行される。

　続いて、図８を用いて本発明の実施の形態２にかかるｅＮＢ２１の構成例について説明する。ｅＮＢ２１は、ＲＲＣ信号モニタ部７１及びＮＡＳ信号制御部７２を有している。さらに、ＮＡＳ信号制御部７２は、ＮＡＳ信号モニタ部７３及び信号制御部７４を有している。

　ＮＡＳ信号モニタ部７３は、図１の信号モニタ部１１に相当する。信号制御部７４は、図１の基地局制御部１２に相当する。つまり、ＮＡＳ信号制御部７２は、図１における監視装置１０が実行する機能と同様の機能を実行する。言い換えると、図８は、図１における監視装置１０が、基地局２０であるｅＮＢ２１に含まれる構成を示している。

　ＲＲＣ信号モニタ部７１は、ｅＮＢ２１が形成する通信エリアに在圏している複数のＵＥから送信されるＲＲＣ信号を監視、もしくはモニタする。ＲＲＣ信号モニタ部７１は、任意の時間ごと、一日ごと、一週間ごと、一カ月ごと、もしくは一年ごと等にｅＮＢ２１において送受信したＲＲＣ信号を監視し、ＲＲＣ信号数に関する統計データを生成してもよい。ＲＲＣ信号モニタ部７１は、統計データを生成することによって、一日のうちどの時間にトラヒックが大量に発生したか、一週間のうちどの曜日にトラヒックが大量に発生したか等を把握することができる。

　さらに、ＲＲＣ信号モニタ部７１は、トラヒックが大量に発生した要因として、気象情報、イベント情報等とを関連付けてもよい。イベント情報とは、例えば、コンサート、集会等の人が多く集まるイベントであってもよい。

　ＲＲＣ信号モニタ部７１が、統計データを生成することによって、通常とは違うトラヒックの傾向を検出した場合、つまり、ネットワーク動作の異常を検出した場合に、ＡＴＴ　ＵＥ３４が存在しているか否かを検証する処理を実行してもよい。ＡＴＴ　ＵＥ３４が存在しているか否かを検証する処理は、ＮＡＳ信号制御部７２において実行される。そのため、ＲＲＣ信号モニタ部７１は、ネットワーク動作の異常を検出した場合に、ＮＡＳ信号制御部７２を起動してもよい。この場合、ＮＡＳ信号制御部７２は、通常は停止している状態である。

　ＮＡＳ信号モニタ部７３は、ＭＭＥ４１との間において送受信されるメッセージを監視する。例えば、ＮＡＳ信号モニタ部７３は、図５のステップＳ５６もしくは図６のステップＳ６８において受信したATTACHリジェクトメッセージの数を数える。また、ＮＡＳ信号モニタ部７３は、図７のステップＳ８１においてＭＭＥ４１から送信されたAuthentication rejectメッセージの数を数える。

　ＮＡＳ信号モニタ部７３は、単位時間において送受信したATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数が、任意の閾値を超えた場合に、ＡＴＴ　ＵＥ３４が存在すると想定する。任意の閾値は、一定値が用いられてもよく、動的に変更されてもよい。

　例えば、任意の閾値は、ＲＲＣ信号モニタ部７１において生成された統計データに基づいて動的に変更されてもよい。具体的には、ＲＲＣ信号モニタ部７１において生成された統計データを分析することによって、トラヒックが多くもしくは少なく発生する時間帯、曜日、季節、もしくは気象条件等を想定することができる。これより、トラヒックが多く発生する時間帯等においては、閾値を高く設定し、トラヒックが少なく発生する時間帯においては、閾値を低く設定してもよい。

　また、人が多く集まるイベントが開催される日程が予め判明している場合、イベントが開催される日程における閾値を高く設定してもよい。

　信号制御部７４は、ＮＡＳ信号モニタ部７３において、単位時間において送受信したATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数が、任意の閾値を超えたと判定された場合に、ｅＮＢ２１が形成する通信エリアに位置するＵＥのうち一部のＵＥに関するInitial Attach処理を拒否する。Initial Attach処理を拒否する対象となる一部のＵＥは、例えば、RRC connection Requestメッセージにおいて、UE identity=random valueが設定されているＵＥとしてもよい。言い換えると、Initial Attach処理を拒否する対象となる一部のＵＥは、RRC connection Requestメッセージにおいて、UE identityに、S-TMSIが設定されていないＵＥとしてもよい。

　さらに、信号制御部７４は、ｅＮＢ２１が形成する通信エリアに位置するＵＥのうち一部のＵＥに関するInitial Attach処理を拒否する処理を実行する時間を設定してもよい。信号制御部７４は、設定した時間を経過した場合、ｅＮＢ２１が形成する通信エリアに位置するＵＥのうち一部のＵＥに関するInitial Attach処理を拒否する処理を解除する。

　RRC connection Requestメッセージにおいて、UE identity=random valueが設定されているＵＥとは、はじめて電源を投入したＵＥ、もしくは、海外等の他のモバイルネットワークからローミングしてきたＵＥが対象となる。また、多くのＡＴＴ　ＵＥ３４は、図５～図７において説明したように、Initial Attach処理を正常に終了することができないため、攻撃を行うために繰り返しInitial Attach処理を行う場合、UE identityにS-TMSIを設定することができない。S-TMSIは、正常にInitial Attach処理を終了した場合に、ＵＥに割り当てられるＧＵＴＩに含まれる識別情報だからである。

　そのため、RRC connection Requestメッセージにおいて、UE identity=random valueが設定されているＵＥのInitial Attach処理を拒否することによって、ＡＴＴ　ＵＥ３４が実行する攻撃を減少させることができる。

　また、モバイルネットワークを攻撃する意思のないＵＥであって、はじめて電源を投入したＵＥ、もしくは、海外等の他のモバイルネットワークからローミングしてきたＵＥについても、Initial Attach処理を拒否する対象となることがある。このようなＵＥについては、一定時間経過後に、Initial Attach処理を拒否する処理が解除された後に、正常にInitial Attach処理を終了することができる。また、UE identity=random valueが設定されているＵＥのInitial Attach処理を拒否する動作は、特定基地局のみ行われることより、モバイルネットワークを攻撃する意思のないＵＥが特定基地局外のエリアに移動する事で正常にInitial Attach処理を終了することができる。ただし、UE identity=random valueが設定されているＵＥのInitial Attach処理を拒否する動作は、特定基地局の近隣基地局を含む複数の基地局で実施されてもかまわない。

　続いて、図９を用いて、ｅＮＢ２１におけるＡＴＴ　ＵＥ３４からの攻撃を防御する処理の流れについて説明する。はじめに、ＲＲＣ信号モニタ部７１は、生成した統計データからネットワーク動作の異常を検出したか否かを判定する（９１）ＲＲＣ信号モニタ部７１は、ネットワーク動作の異常を検出しなかった場合、ステップＳ９１の処理を繰り返す。ＲＲＣ信号モニタ部７１がネットワーク動作の異常を検出した場合、ＮＡＳ信号モニタ部７３は、ＡＴＴ　ＵＥ３４が存在するか否かを判定する（Ｓ９２）。

　ＮＡＳ信号モニタ部７３は、ＡＴＴ　ＵＥ３４が存在しないと判定した場合、ステップＳ９１の処理を繰り返す。ＮＡＳ信号モニタ部７３がＡＴＴ　ＵＥ３４が存在すると想定した場合、信号制御部７４は、ｅＮＢ２１が形成する通信エリアに位置するＵＥのうち一部のＵＥに関するInitial Attach処理を拒否する（Ｓ９３）。

　続いて、図１０を用いて、ＡＴＴ　ＵＥ３４とｅＮＢ２１との間におけるＡＴＴ　ＵＥ３４からの攻撃を防御する際の処理の流れについて説明する。図１０は、図９におけるステップＳ９３に関連するシーケンスである。はじめに、ＡＴＴ　ＵＥ３４は、UE identity=random valueを設定したRRC connection RequestメッセージをｅＮＢ２１へ送信する（Ｓ１０１）。

　次に、ｅＮＢ２１は、受信したRRC connection Requestメッセージに、UE identity=random valueが設定されていると判定する（Ｓ１０２）。次に、ｅＮＢ２１は、ＡＴＴ　ＵＥ３４へ、RRC connection Rejectメッセージを送信する（Ｓ１０３）。

　以上説明したように、本発明の実施の形態２にかかるｅＮＢ２１は、単位時間において受信したATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数を監視することによって、ＡＴＴ　ＵＥ３４が存在するか否かを推定することができる。さらに、ｅＮＢ２１は、ＡＴＴ　ＵＥ３４が存在すると推定した場合、UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたＵＥに関するInitial Attach処理を拒否する。UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたＵＥには、ＡＴＴ　ＵＥ３４が含まれている可能性が高いため、ｅＮＢ２１は、ＡＴＴ　ＵＥ３４による攻撃を防御することができる。

　また、モバイルネットワークを攻撃する意思のないＵＥがInitial Attach処理を拒否された場合、UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたＵＥに関するInitial Attach処理を拒否する処理が解除された後に、ＵＥが再度Initial Attach処理を実行することによって、正常にInitial Attach処理を終了することができる。また、UE identity=random valueが設定されているＵＥのInitial Attach処理を拒否する動作は、特定基地局のみ行われることより、モバイルネットワークを攻撃する意思のないＵＥが特定基地局外のエリアに移動する事で正常にInitial Attach処理を終了することができる。

　UE identity=random valueが設定されたRRC connection Requestメッセージを送信してきたＵＥは、はじめて電源を投入したＵＥ、もしくは、海外等の他のモバイルネットワークからローミングしてきたＵＥが対象となる。そのため、既にモバイルネットワークにおいて正常にInitial Attach処理が完了しているＵＥのサービスに影響を与えることはない。

　また、実施の形態２においては、図２のＬＴＥをサポートするモバイルネットワークの構成について主に説明したが、図１１に示す、第２世代携帯電話システムもしくは第３世代携帯電話システムと称される方式をサポートするモバイルネットワークが用いられてもよい。図１１のモバイルネットワークは、ＵＥ３１～３３、ＡＴＴ　ＵＥ３４、ＮＢ（NodeB）２３、ＮＢ２４、ＲＮＣ２５、ＳＧＳＮ４２、ＧＧＳＮ４３、ＨＳＳ５１、及びＰＣＲＦ６３を有する。ＮＢ２３及びＮＢ２４は、第２世代携帯電話システム及び第３世代携帯電話システムに用いられる無線方式をサポートする基地局である。ＲＮＣ２５は、ｅＮＢ２１もしくはｅＮＢ２２に相当し、無線基地局を制御する制御装置である。なお、ｅＮＢ２１及びｅＮＢ２２は、ＲＮＣ２５に相当する機能を有する基地局として動作する。ＳＧＳＮ４２は、ＭＭＥ４１に相当し、ＵＥの位置情報の管理及びユーザデータの伝送等を行う装置である。ＧＧＳＮ４３は、ＰＧＷ６２に相当する。

　図１１においては、ＲＮＣ２５が、図８におけるＲＲＣ信号モニタ部７１及びＮＡＳ信号制御部７２を有することによって、図２におけるｅＮＢ２１と同様の処理を実行することができる。

　また、上述した（１）～（３）以外の攻撃方法として、以下の攻撃方法も想定される。図７のステップＳ７８において、ＭＭＥ４１がAuthentication RequestメッセージをＡＴＴ　ＵＥ３４へ送信した場合に、ＡＴＴ　ＵＥ３４は、ｅＮＢ２１とのコネクションを切断しておく、もしくは、わざと処理を行わずにAuthentication Requestメッセージに対する応答メッセージを送信しない。この場合、一定時間、ＭＭＥ４１において、ＡＴＴ　ＵＥ３４とのセッションを維持することになるため、ＭＭＥ４１において管理するセッション数が多くなる。

　このような場合、ＭＭＥ４１は、一定時間経過後にAuthentication Requestメッセージを再送信し、再送信後も応答メッセージを受信しない場合、タイムアウトによって、ＡＴＴ　ＵＥ３４とのセッションを切断する。そのため、ＮＡＳ信号モニタ部７３は、単位時間当たりに、再送信したメッセージ数、もしくはタイムアウトした回数が任意の閾値を超えた場合に、ＡＴＴ　ＵＥ３４が存在すると想定してもよい。

　（実施の形態３）
　続いて、実施の形態３にかかるＡＴＴ　ＵＥ３４の存在を推定する処理について説明する。実施の形態３にかかるｅＮＢ２１の構成は、図８と同様であるため詳細な説明を省略する。実施の形態３においては、ＮＡＳ信号モニタ部７３が、予め定められたCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数を監視する。

　Cause値は、ATTACHリジェクトメッセージもしくはAuthentication rejectメッセージを送信する理由を示す値である。例えば、ＮＡＳ信号モニタ部７３は、Initial Attach処理を実行するＵＥが不適切なＵＥであることを示すCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数を監視してもよい。不適切なＵＥであることを示すCause値は、例えば、図１２に示す値であってもよい。図１２は、3GPP TS 24.301 V13.3.0 (2015-09) Table 9.9.3.9.1:EMM cause information elementに示されているCause値の中から、不適切なＵＥであることを示すCause値を抽出している。

　以上説明したように、ＮＡＳ信号モニタ部７３は、全てのATTACHリジェクトメッセージ及びAuthentication rejectメッセージのうち、不適切なＵＥであることを示すCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数のみを数える。これにより、例えば、ｅＮＢ２１は、ＨＳＳ等に障害が発生した場合に発生するAuthentication rejectメッセージ等をカウントすることがなくなる。そのため、不適切なＵＥであることを示すCause値を有するATTACHリジェクトメッセージの数及びAuthentication rejectメッセージの数が閾値を超えた場合、全てのATTACHリジェクトメッセージ及びAuthentication rejectメッセージが閾値を超えた場合と比較して、ｅＮＢ２１は、ＡＴＴ　ＵＥ３４が存在する可能性を高精度に推定することができる。

　（実施の形態４）
　続いて、図１３を用いてＡＴＴ　ＵＥ３４とｅＮＢ２１との間におけるＡＴＴ　ＵＥ３４からの攻撃を防御する際の処理の流れについて説明する。ステップＳ１１１～Ｓ１１３は、図２のステップＳ２１～Ｓ２３と同様であるため詳細な説明を省略する。

　ｅＮＢ２１は、ステップＳ１１３においてRRC connection setup completeメッセージを受信すると、RRC connection setup completeメッセージに設定されたUE identityに特定の値の範囲（特定のレンジ）に含まれるIMSIが設定されていると判定する（Ｓ１１４）。次に、ｅＮＢ２１は、ステップＳ１１３において受信したRRC connection setup completeメッセージを破棄し、Initial Attach処理を停止する（Ｓ１１５）。

　ｅＮＢ２１は、ステップＳ１１４において用いる特定のレンジの値を、次のように設定してもよい。例えば、ｅＮＢ２１は、図５のステップＳ５６、図６のステップＳ６７、及び図７のステップＳ８１において、ATTACHリジェクトメッセージ及びAuthentication rejectメッセージが送信されることになったInitial Attach処理において、ＵＥが設定していたＩＭＳＩを含むようにレンジの値の幅を設定してもよい。レンジに含まれるＩＭＳＩの数は、任意の数であってもよい。

　以上説明したように、ｅＮＢ２１が、ＡＴＴ　ＵＥ３４が含まれている可能性の高い特定のレンジに含まれるＩＭＳＩが設定されたRRC connection setup completeメッセージを破棄することによって、ｅＮＢ２１において、ＡＴＴ　ＵＥ３４からのモバイルネットワークに対する攻撃を防御することができる。

　また、図１０及び図１３におけるＡＴＴ　ＵＥ３４からの攻撃を防御する方法を実行しても、ｅＮＢ２１においてInitial Attach処理に関するメッセージ数が減少しない場合、図５のステップＳ２１における、RRC connection Requestメッセージに設定されているUE identityによらず、一律、一定時間の間Initial Attach処理を拒否してもよい。

　さらに、一定時間の間、一律Initial Attach処理を拒否しても、ｅＮＢ２１においてInitial Attach処理に関するメッセージ数が減少しない場合、ＡＴＴ　ＵＥ３４からの攻撃を効果的に防御するために、ＡＴＴ　ＵＥ３４と通信していると推定されるｅＮＢ２１を一定時間の間停波もしくはAttach処理に関するメッセージを受け付けないようにしてもよい。もしくは、ＮＡＳ信号モニタ部７３が、ATTACHリジェクトメッセージ及びAuthentication rejectメッセージが送信されたInitial Attach処理において、ＵＥがアクセスしてくる周波数帯を検出している場合、ｅＮＢ２１において検出した周波数帯をサポートするセクタのみ停波してもよい。

　一般的に、ＡＴＴ　ＵＥ３４がＤｏＳ攻撃を行い、ＭＭＥ４１の処理負荷が上昇した場合に、ＭＭＥ４１配下の全てのｅＮＢにおいて発信規制等が行われ、広範囲においてＤｏＳ攻撃の影響が及ぶことがある。これに対して、ＡＴＴ　ＵＥ３４と通信していると推定されるｅＮＢ２１を一定時間の間停波、もしくは、ｅＮＢ２１の一部のセクタのみ停波することによって、ＤｏＳ攻撃の影響が及ぶ範囲を狭めることができる。

　（実施の形態５）
　続いて、図１４を用いて、図２及び図１１とは異なるモバイルネットワークの構成例について説明する。図１４のモバイルネットワークは、図２のモバイルネットワークに、Ｓｅｃｕｒｉｔｙ　ＧＷ８１及び監視装置９１を追加した構成である。Ｓｅｃｕｒｉｔｙ　ＧＷ８１は、ｅＮＢ２１及びｅＮＢ２２と接続している。また、監視装置９１は、Ｓｅｃｕｒｉｔｙ　ＧＷ８１とＭＭＥ４１との間の通信を中継する。

　また、ｅＮＢ２１とＳｅｃｕｒｉｔｙ　ＧＷ８１との間、さらに、ｅＮＢ２２とＳｅｃｕｒｉｔｙ　ＧＷ８１との間は、ＩＰｓｅｃにより通信経路のセキュリティが確保されていてもよい。

　監視装置９１は、図８におけるＲＲＣ信号モニタ部７１及びＮＡＳ信号制御部７２を有する装置である。つまり、監視装置９１が、ＡＴＴ　ＵＥ３４が存在するか否かを判定し、ＡＴＴ　ＵＥ３４と通信を行うｅＮＢにおいて、一部のＵＥに関するInitial Attach処理を拒否することを決定する。

　また、監視装置９１は、Ｓｅｃｕｒｉｔｙ　ＧＷ８１内に設けられてもよく、ＭＭＥ４１内に設けられてもよい。

　続いて、図１５を用いて、図２、図１１、及び図１４と異なるモバイルネットワークの構成例について説明する。図１５のモバイルネットワークは、図１１のモバイルネットワークに、Ｓｅｃｕｒｉｔｙ　ＧＷ８１及び監視装置９１を追加した構成である。Ｓｅｃｕｒｉｔｙ　ＧＷ８１は、ＲＮＣ２５と接続している。また、監視装置９１は、Ｓｅｃｕｒｉｔｙ　ＧＷ８１とＳＧＳＮ４２との間の通信を中継する。

　また、監視装置９１は、Ｓｅｃｕｒｉｔｙ　ＧＷ８１内に設けられてもよく、ＳＧＳＮ４２内に設けられてもよい。

　図１４及び図１５に示すように、監視装置９１は、ＭＭＥ４１またはＳＧＳＮ４２の前段に配置されてもよい。これによって、図８のように監視装置９１において実行される機能をモバイルネットワーク上の全てのｅＮＢもしくはＲＮＣに盛り込む必要がなくなる。そのため、図８のようにｅＮＢにおいて監視装置９１の機能を実行する場合と比較して、容易に、モバイルネットワークに、ＤｏＳ攻撃を防御するための機能を盛り込むことが可能となる。

　さらに、図１６に示すように、複数の監視装置９１を、ネットワーク管理装置１００が集約して管理するように構成されてもよい。ネットワーク管理装置１００は、ＥＭＳ（Element Management System）もしくはＮＭＳ（Network Management System）と称されてもよい。例えば、図１４において、ｅＮＢ２１及びｅＮＢ２２は、ＭＭＥ４１以外のＭＭＥとも通信を行うことがある。例えば、ｅＮＢ２１は、図５のステップＳ５４において、ＵＥ毎にＭＭＥを選択することが可能であるため、複数のＭＭＥと通信を行うことができる。

　Ｓｅｃｕｒｉｔｙ　ＧＷ８１に接続されている監視装置９１は、ｅＮＢから送信されるメッセージ及びｅＮＢを宛先とするメッセージを監視することによってｅＮＢ毎に発生するメッセージの数を監視する。しかし、それぞれのｅＮＢは、複数のＭＭＥと通信を行っているため、それぞれのｅＮＢが他のＭＭＥと通信を行う場合のメッセージは、監視装置９１とは異なる他の監視装置において監視される。

　そのため、一つの監視装置９１のみでは、ｅＮＢ毎に発生するメッセージ数を正確に監視することはできない。そこで、複数の監視装置９１を集約して管理するネットワーク管理装置１００を用いる。ネットワーク管理装置１００は、監視装置９１＿１、９１＿２、さらに、９１＿ｎ（ｎは、１以上の整数）から、ｅＮＢ毎に発生したメッセージ数に関する情報を収集する。ネットワーク管理装置１００は、複数の監視装置から情報を収集し、ｅＮＢ毎に発生したメッセージ数を足し合わせることによって、ｅＮＢ毎に発生したメッセージ数を正確に監視することができる。

　続いて以下では、図１７を用いて、上述の複数の実施形態で説明された図１、図２、図１１、図１４、図１５、図１６に示される通信システムを構成するノード装置の構成例について説明する。図１７は、ノード装置１４０の構成例を示すブロック図である。図１７を参照すると、ノード装置１４０は、ネットワークインターフェース１２０１、プロセッサ１２０２、及びメモリ１２０３を含む。ネットワークインターフェース１２０１は、通信システムを構成する他のネットワークノード装置と通信するために使用される。ネットワークインターフェース１２０１は、例えば、IEEE 802.3 seriesに準拠したネットワークインタフェースカード（NIC）を含んでもよい。

　プロセッサ１２０２は、メモリ１２０３からソフトウェア（コンピュータプログラム）を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたノード装置１４０の処理を行う。プロセッサ１２０２は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ１２０２は、複数のプロセッサを含んでもよい。

　メモリ１２０３は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ１２０３は、プロセッサ１２０２から離れて配置されたストレージを含んでもよい。この場合、プロセッサ１２０２は、図示されていないI/Oインタフェースを介してメモリ１２０３にアクセスしてもよい。

　図１７の例では、メモリ１２０３は、ソフトウェアモジュール群を格納するために使用される。プロセッサ１２０２は、これらのソフトウェアモジュール群をメモリ１２０３から読み出して実行することで、上述の実施形態において説明されたサーバ１４０の処理を行うことができる。

　図１７を用いて説明したように、通信システムを構成する各ノード装置が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む１又は複数のプログラムを実行する。

　上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、実施の形態１乃至５に記載されている内容は適宜組み合わせて実施されてもよい。例えば、実施の形態２におけるＡＴＴ　ＵＥ３４の存在を推定する処理を、実施の形態３におけるＡＴＴ　ＵＥ３４の存在を推定する処理に置き換えてもよい。また、実施の形態２におけるＡＴＴ　ＵＥ３４からの攻撃を防御する際の処理を、実施の形態４におけるＡＴＴ　ＵＥ３４からの攻撃を防御する際の処理に置き換えてもよい。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１５年１０月１５日に出願された日本出願特願２０１５－２０３６２６を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）
　基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する信号モニタ部と、
　前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させる基地局制御部と、を備える監視装置。
　（付記２）
　前記通信装置は、
　不適切な前記通信端末識別情報を設定している通信端末に関する情報を前記通信装置へ登録することを拒否する、付記１に記載の監視装置。
　（付記３）
　前記通信装置は、
　前記通信端末において生成された認証情報と、前記モバイルネットワーク内において生成された認証情報とが一致しない場合に、前記通信端末に関する情報を前記通信装置へ登録することを拒否する、付記１に記載の監視装置。
　（付記４）
　前記信号モニタ部は、
　前記ＡＴＴＡＣＨ処理を拒否する際に送信されるメッセージのうちに、予め定められたCause値が設定されているメッセージの数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する、付記１乃至３のいずれか１項に記載の監視装置。
　（付記５）
　前記基地局制御部は、
　前記モバイルネットワーク内において初めて通信を行う通信端末であることを示す前記通信端末識別情報が設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、付記１乃至４のいずれか１項に記載の監視装置。
　（付記６）
　前記基地局制御部は、
　前記通信端末識別情報として、少なくとも１つの値を有する判定値に含まれるＩＭＳＩが設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、付記１乃至４のいずれか１項に記載の監視装置。
　（付記７）
　前記基地局制御部は、
　前記特定基地局配下の通信端末に関する情報を前記通信装置へ登録する処理を所定期間前記特定基地局に実行させない、付記１乃至６のいずれか１項に記載の監視装置。
　（付記８）
　前記基地局制御部は、
　前記特定基地局における電波を停波させる、付記７に記載の監視装置。
　（付記９）
　前記基地局において送受信されるメッセージ数に関する統計データを生成し、前記統計データに示されるトラヒックの傾向と異なるトラヒックの傾向が発生している場合に、前記信号モニタ部及び前記基地局制御部を起動する無線信号モニタ部をさらに備える、付記１乃至８のいずれか１項に記載の監視装置。
　（付記１０）
　自装置が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定する信号モニタ部と、
　前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定する信号制御部と、を備える基地局。
　（付記１１）
　基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
　前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させる、監視方法。
　（付記１２）
　基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、
　前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定する、制御方法。
　（付記１３）
　基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
　前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させることをコンピュータに実行させるプログラム。
　（付記１４）
　基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、
　前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定することをコンピュータに実行させるプログラム。

　１０　監視装置
　１１　信号モニタ部
　１２　基地局制御部
　２０　基地局
　２１　ｅＮＢ
　２２　ｅＮＢ
　２３　ＮＢ
　２４　ＮＢ
　２５　ＲＮＣ
　３０　通信端末
　３１　ＵＥ
　３２　ＵＥ
　３３　ＵＥ
　３４　ＡＴＴ　ＵＥ
　４０　通信装置
　４１　ＭＭＥ
　４２　ＳＧＳＮ
　４３　ＧＧＳＮ
　５０　加入者データ装置
　５１　ＨＳＳ
　６１　ＳＧＷ
　６２　ＰＧＷ
　６３　ＰＣＲＦ
　７１　ＲＲＣ信号モニタ部
　７２　ＮＡＳ信号制御部
　７３　ＮＡＳ信号モニタ部
　７４　信号制御部
　８１　Ｓｅｃｕｒｉｔｙ　ＧＷ
　９１　監視装置
　１００　ネットワーク管理装置

Claims

　基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する信号モニタ手段と、
　前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させる基地局制御手段と、を備える監視装置。
　前記通信装置は、
　不適切な前記通信端末識別情報を設定している通信端末に関する情報を前記通信装置へ登録することを拒否する、請求項１に記載の監視装置。
　前記通信装置は、
　前記通信端末において生成された認証情報と、前記モバイルネットワーク内において生成された認証情報とが一致しない場合に、前記通信端末に関する情報を前記通信装置へ登録することを拒否する、請求項１に記載の監視装置。
　前記信号モニタ手段は、
　前記ＡＴＴＡＣＨ処理を拒否する際に送信されるメッセージのうちに、予め定められたCause値が設定されているメッセージの数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定する、請求項１乃至３のいずれか１項に記載の監視装置。
　前記基地局制御手段は、
　前記モバイルネットワーク内において初めて通信を行う通信端末であることを示す前記通信端末識別情報が設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、請求項１乃至４のいずれか１項に記載の監視装置。
　前記基地局制御手段は、
　前記通信端末識別情報として、少なくとも１つの値を有する判定値に含まれるＩＭＳＩが設定された信号を送信してきた通信端末に関する情報を前記通信装置へ登録する処理を前記特定基地局に拒否させる、請求項１乃至４のいずれか１項に記載の監視装置。
　前記基地局制御手段は、
　前記特定基地局配下の通信端末に関する情報を前記通信装置へ登録する処理を所定期間前記特定基地局に実行させない、請求項１乃至６のいずれか１項に記載の監視装置。
　前記基地局制御手段は、
　前記特定基地局における電波を停波させる、請求項７に記載の監視装置。
　前記基地局において送受信されるメッセージ数に関する統計データを生成し、前記統計データに示されるトラヒックの傾向と異なるトラヒックの傾向が発生している場合に、前記信号モニタ手段及び前記基地局制御手段を起動する無線信号モニタ手段をさらに備える、請求項１乃至８のいずれか１項に記載の監視装置。
　自装置が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定する信号モニタ手段と、
　前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定する信号制御手段と、を備える基地局。
　基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
　前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させる、監視方法。
　基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、
　前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定する、制御方法。
　基地局と通信する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記モバイルネットワークへ攻撃を行う通信端末と通信する特定基地局を推定し、
　前記特定基地局において、配下の通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記配下の通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定させることをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
　基地局が形成する通信エリアに位置する通信端末に関する情報をモバイルネットワークに配置されている通信装置へ登録するＡＴＴＡＣＨ処理を拒否された回数に応じて、前記通信エリアに前記モバイルネットワークへ攻撃を行う通信端末が存在するか否かを推定し、
　前記通信エリアに位置する通信端末から送信された信号に設定されている通信端末識別情報に応じて、前記通信端末に関するＡＴＴＡＣＨ処理を実行するか否かを判定することをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。