WO2017110099A1

WO2017110099A1 - 情報処理装置、情報処理方法及びプログラム

Info

Publication number: WO2017110099A1
Application number: PCT/JP2016/058291
Authority: WO
Inventors: 恒雄小笠原
Original assignee: 株式会社ラック
Priority date: 2015-12-25
Filing date: 2016-03-16
Publication date: 2017-06-29
Also published as: JP2017117255A; JP6007308B1

Abstract

情報尾処理装置は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得部と、前記取得部が取得した通信ログをもとに不正通信が検出された場合に、当該取得部が取得した当該通信ログの中から、通信元が当該不正通信の通信元と同一の通信で、当該不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する抽出部とを備える。

Description

情報処理装置、情報処理方法及びプログラム

　本発明は、情報処理装置、情報処理方法及びプログラムに関する。
　本願は、２０１５年１２月２５日に日本に出願された特願２０１５－２５２９３３号に基づき優先権を主張し、その内容をここに援用する。

　インターネット等の情報通信ネットワーク（以下、単にネットワークと記す）を利用して、様々な情報システムにおいて大量のデータの通信や処理が行われている。一方、ネットワーク上で稼働しているサーバや各種の端末装置等の機器に対する不正なアクセスや、当該サーバ等からの不正な情報流出等の問題が生じ得る。

　不正な通信による被害を抑えるために、ネットワーク上の情報通信の監視を行う技術として、例えば、特許文献１には、正常な通信のシグネチャのリストを格納したデータベースと、通信データを取得し、当該通信データのシグネチャが含まれるように、取得した当該通信データの所定位置から所定長のデータを比較対象データとして抽出する抽出回路と、抽出された比較対象データのうち、当該通信データのシグネチャ以外のデータをマスクするマスク回路と、マスクされた比較対象データに含まれる当該通信データのシグネチャをデータベースから検索する検索回路と、データベースに格納された正常な通信のシグネチャに合致しない通信データを検知したときに警告を発する処理実行回路とを備えるボット検出装置が開示されている。

特開２００９－１６４７１２号公報

　ネットワーク上の情報通信の監視等のように、大量の通信ログを分析して特定の性質を有する処理（例えば、問題のある通信）を抽出する情報処理では、通常、分析対象として取得される通信ログのデータ量は膨大である。その一方で、抽出すべき特定の性質を有する処理又はその可能性のある処理に関する通信ログはごくわずかに過ぎない。そのため、分析対象の通信ログを適切に絞り込んで効率良く分析することは、通信の検査に関わらず、広く情報処理の様々な分野で要請されている。

　本発明の実施形態は、通信ログの分析において、検出された不正通信をもとに別の不正通信の調査を効率良く行うことを目的とする。

　かかる目的のもと、本発明の実施形態に係る情報処理装置は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得部と、取得部が取得した通信ログをもとに不正通信が検出された場合に、取得部が取得した通信ログの中から、通信元が不正通信の通信元と同一の通信で、不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する抽出部とを備える。
　上記の情報処理装置において、特定期間は、対象期間内に通信元にて不正通信が最初に発生した時点から最後に発生した時点までの期間をもとに特定されるもの、であってもよい。
　上記の情報処理装置において、抽出部は、検出された不正通信の通信元が複数存在する場合、通信元ごとに、通信元が不正通信の通信元と同一の通信で、不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出するもの、であってもよい。
　上記の情報処理装置において、抽出部は、抽出部が抽出した通信ログをもとに別の不正通信が検出された場合に、取得部が取得した通信ログの中から、通信元が別の不正通信の通信元と同一の通信で、別の不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出するもの、であってよい。
　本発明の実施形態に係る情報処理装置は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得部と、取得部が取得した通信ログをもとに不正通信が検出された場合に、取得部が取得した通信ログの中から、不正通信の通信ログにおけるマルウェアの作成傾向に沿う情報と同じものが含まれる通信ログを抽出する抽出部とを備える。
　本発明の実施形態に係る情報処理方法は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、取得された通信ログをもとに不正通信が検出された場合に、取得された通信ログの中から、通信元が不正通信の通信元と同一の通信で、不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出するステップとを含む。
　本発明の実施形態に係る情報処理方法は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、取得された通信ログをもとに不正通信が検出された場合に、取得された通信ログの中から、不正通信の通信ログにおけるマルウェアの作成傾向に沿う情報と同じものが含まれる通信ログを抽出するステップとを含む。
　本発明の実施形態に係るプログラムは、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、取得された通信ログをもとに不正通信が検出された場合に、取得された通信ログの中から、通信元が不正通信の通信元と同一の通信で、不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する機能とを実現させるための、プログラムである。
　本発明の実施形態に係るプログラムは、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、取得された通信ログをもとに不正通信が検出された場合に、取得された通信ログの中から、不正通信の通信ログにおけるマルウェアの作成傾向に沿う情報と同じものが含まれる通信ログを抽出する機能とを実現させるための、プログラムである。

　本発明の実施形態によれば、通信ログの分析において、検出された不正通信をもとに別の不正通信の調査を効率良く行うことができる。

本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。本実施の形態に係る通信分析装置の機能構成例を示したブロック図である。通信分析装置を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。通信分析装置を用いて不正通信を検出するための全体的な処理の手順の一例を示したフローチャートである。分析対象とする通信ログに分類リストを適用した結果の出力例を示す図である。分析対象とする通信ログに分類リストを適用した結果の出力例を示す図である。分析対象とする通信ログに分類リストを適用した結果の出力例を示す図である。分析対象とする通信ログに分類リストを適用した結果の出力例を示す図である。該当する通信ログの各分類リストでの発生状況の出力例を示す図である。分析処理及び不正通信を特定する処理の手順の一例を示したフローチャートである。不正通信の深堀り調査を行う処理の手順の一例を示したフローチャートである。不正通信の発生要因を特定するために表示される通信ログの一例を示す図である。元の不正通信をもとに通信ログを絞って分類リストを適用した出力結果の一例について説明するための図である。元の不正通信をもとに通信ログを絞って分類リストを適用した出力結果の一例について説明するための図である。別の不正通信の調査手順の一例について説明するための図である。別の不正通信の調査を行う処理の手順の一例を示したフローチャートである。

　以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
＜システム構成＞
　まず、本実施の形態が適用されるコンピュータシステム１１について説明する。図１は、本実施の形態が適用されるコンピュータシステム１１の全体構成例を示した図である。図示するように、このコンピュータシステム１１では、クライアント端末１０ａ、１０ｂ、１０ｃが社内ＬＡＮ（Local Area Network）５０に接続されている。また、通信分析装置２０及び通信データ保存装置３０が、社内ＬＡＮ５０及びインターネット６０の両方に接続されている。さらに、攻撃者サーバ４０がインターネット６０に接続されている。

　クライアント端末１０ａ、１０ｂ、１０ｃは、ユーザが使用するコンピュータであり、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。また、本実施の形態において、クライアント端末１０ａ、１０ｂ、１０ｃは、マルウェアに感染することがあるとする。ここで、マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。例えば、マルウェアの一つであるボットは、コンピュータに感染した後、Ｃ＆Ｃ（コマンド＆コントロール）サーバと呼ばれる制御用サーバに接続して攻撃者からの指令を待ち、感染したコンピュータ上で指令どおりの処理を実行する。

　なお、図１では、クライアント端末１０ａ、１０ｂ、１０ｃを示したが、これらを区別する必要がない場合にはクライアント端末１０と称することもある。また、図１には３台のクライアント端末１０を示したが、クライアント端末１０の台数は図示の３台には限定されない。クライアント端末１０は、１台以上の任意の数であってもよい。

　通信分析装置２０は、社内ＬＡＮ５０とインターネット６０との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信の通信ログ（履歴）を処理（分析）して分析結果を出力する。出力される分析結果は、外部からの不正アクセスや内部からの不正な情報流出等のような不正通信を検出するためのものである。また、分析する対象の通信ログは通信データ保存装置３０に蓄えられており、通信分析装置２０は、例えば解析者（アナリスト）の操作を契機として、通信データ保存装置３０から分析対象とする通信ログを取得して分析を行う。

　なお、本実施の形態では、通信分析装置２０が通信データ保存装置３０から通信ログを取得する構成とするが、例えば、通信分析装置２０を社内ＬＡＮ５０とインターネット６０との間の通信回線上にインラインで設置して、通信分析装置２０にて通信ログを保存する構成にしても良い。また、通信分析装置２０は、ゲートウェイ等の通信装置の中に設けられても良いし、または、通信装置とは独立に設けられても良い。本実施の形態では、情報処理装置の一例として、通信分析装置２０が用いられる。本実施の形態では、情報処理方法の一例として、通信分析装置２０により行われる処理の方法が用いられる。

　通信データ保存装置３０は、社内ＬＡＮ５０とインターネット６０との間のネットワーク上を流れる通信を通信ログとして保存する。保存される通信ログは、例えば、クライアント端末１０から社内ＬＡＮ５０を介してインターネット６０へアクセスする際に経由するように設置されたプロキシサーバ（不図示）にて生成されるログである。また、例えば、社内ＬＡＮ５０に接続されたＩＤＳ（Intrusion Detection System）やＩＰＳ（Intrusion Prevention System）等のセキュリティ・システム、社内ＬＡＮ５０に接続されたファイアウォール等のソフトウェアが搭載された装置などが生成するログも、通信ログとして保存される。

　また、通信データ保存装置３０は、通信ログ以外に、社内ＬＡＮ５０とインターネット６０との間のネットワーク上を流れるパケットデータについても保存している。ここで、通信ログはネットワーク上での通信を記録するものである。通信ログには、例えば、通信先の情報、通信元の情報、通信が行われた日時等の情報が含まれている。一方で、パケットデータには、例えば、実際にやり取りされたファイルや画像データの中身など、通信ログからは把握できない情報も存在する。

　攻撃者サーバ４０は、マルウェアに感染したクライアント端末１０が通信の接続先とするサーバであり、攻撃者が運営しているものである。攻撃者サーバ４０は、例えばクライアント端末１０がボットに感染した場合には、クライアント端末１０が攻撃者からの指令を待つために接続する接続先の制御用サーバに該当する。また、図１には１台の攻撃者サーバ４０しか示していないが、２台以上の攻撃者サーバ４０が存在する場合もあるとする。

　社内ＬＡＮ５０は、会社内のコンピュータやプリンタを専用回線等で接続し、これらの間でデータを送受信できるようにしたネットワークである。

　インターネット６０は、ＴＣＰ／ＩＰ（Transmission Control Protocol／Internet Protocol）を用いて全世界のネットワークを相互に接続した巨大なネットワークである。

　そして、本実施の形態において、クライアント端末１０は、マルウェアに感染した場合、攻撃者サーバ４０などの不正なサーバに接続して処理を行う。そこで、本実施の形態に係る通信分析装置２０は、社内ＬＡＮ５０とインターネット６０との間のネットワークを監視対象とし、監視対象であるネットワーク上で検知された通信の通信ログを分析して分析結果を出力する。通信分析装置２０により行われる分析により、監視対象であるネットワーク上で検知された通信は、問題のある通信と問題のない通信とに仕分けられる。ここで、問題のある通信には、不正な通信であることが明らかなものと、不正な通信である可能性のあるもの（問題のない通信であると特定できないもの）とが含まれる。解析者は、通信分析装置２０にて出力された分析結果に基づき、問題のある通信を解析して、不正な通信であるか否かを判断することができる。

＜通信分析装置の機能構成＞
　次に、通信分析装置２０の機能構成について説明する。図２は、本実施の形態に係る通信分析装置２０の機能構成例を示したブロック図である。

　図示するように、通信分析装置２０は、表示部２１と、通信ログ取得部２２と、通信ログ整形部２３と、分類リスト適用部２４と、リスト格納部２５と、詳細情報取得部２６と、不正通信調査部２７とを備えている。

　表示部２１は、通信分析装置２０での分析結果等の各種情報を画面に表示する。また、表示部２１は、画面に対する解析者からの操作入力を受け付ける。

　取得手段（取得部）の一例としての通信ログ取得部２２は、社内ＬＡＮ５０とインターネット６０との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信の通信ログを通信データ保存装置３０から取得する。ここで、通信ログ取得部２２は、例えば解析者が指定した期間や予め定められた期間を取得の対象期間として、その対象期間内に検知された通信ログを取得する。

　通信ログ整形部２３は、通信ログ取得部２２が取得した通信ログについて、分析処理を実行できるように通信ログの形式を整える。また、通信ログ整形部２３は、通信ログに含まれる情報の中で分析に不要な情報の除外や削除を行う。

　分類リスト適用部２４は、通信ログ整形部２３にて整形された通信ログに対して分類リストを適用する。そして、分類リスト適用部２４は、分類リストの適用結果（通信ログの抽出結果）を分類リストごとに表示部２１に表示する。また、分類リスト適用部２４は、分類リストごとの適用結果の相関を示す情報を表示部２１に表示する。これらの表示された情報は、解析者が不正通信を特定するために用いられる。分類リストは、問題のある通信を検出するための予め定められた条件（以下、分類条件と称する）が設定されたリストであり、解析者等により予め作成される。分類リストの詳細については後述する。

　リスト格納部２５は、複数の分類リストを格納する。

　詳細情報取得部２６は、不正通信である可能性がある通信ログに関して、詳細な情報を取得する。ここで、詳細情報取得部２６は、例えば、不正通信である可能性がある通信ログにおける通信先の情報を収集する。また、詳細情報取得部２６は、不正通信である可能性がある通信ログに対応するパケットデータを、通信データ保存装置３０から取得する。これらの通信先の情報やパケットデータの情報は、解析者が不正通信を特定するために用いられる。
　さらに、詳細情報取得部２６は、解析者により不正通信が特定された場合に、特定された不正通信の情報を収集し、不正通信の深堀り調査を行う。深堀り調査では、不正通信の通信元の情報や、発生期間、発生要因などに関する情報が収集される。

　抽出手段（抽出部）の一例としての不正通信調査部２７は、解析者により特定された不正通信に基づいて、別の不正通信の有無を調査する。

＜通信分析装置のハードウェア構成例＞
　次に、本実施の形態に係る通信分析装置２０のハードウェア構成について説明する。図３は、通信分析装置２０を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、通信分析装置２０は、演算手段（演算部）であるＣＰＵ（Central Processing Unit）２０ａと、主記憶手段（主記憶部）であるメモリ２０ｃを備える。また、外部デバイスとして、磁気ディスク装置（ＨＤＤ：Hard Disk Drive）２０ｇ、ネットワークインターフェイス２０ｆ、ディスプレイ装置を含む表示機構２０ｄ、音声機構２０ｈ、キーボードやマウス等の入力デバイス２０ｉ等を備える。

　図３に示す構成例では、メモリ２０ｃおよび表示機構２０ｄは、システムコントローラ２０ｂを介してＣＰＵ２０ａに接続されている。また、ネットワークインターフェイス２０ｆ、磁気ディスク装置２０ｇ、音声機構２０ｈおよび入力デバイス２０ｉは、Ｉ／Ｏコントローラ２０ｅを介してシステムコントローラ２０ｂと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。

　また、図３において、磁気ディスク装置２０ｇにはＯＳのプログラムやアプリケーション・プログラムが格納されている。そして、これらのプログラムがメモリ２０ｃに読み込まれてＣＰＵ２０ａによって実行されることにより、本実施の形態に係る通信分析装置２０の各機能部の機能が実現される。

　なお、図３は、本実施の形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施の形態は、通信ログを分析することが可能な情報処理装置に広く適用できるものであり、図示の構成においてのみ本実施の形態が実現されるのではない。すなわち、本実施の形態は、図示以外の構成に適用されてもよい。

＜不正通信を検出する全体手順＞
　次に、通信分析装置２０を用いて不正通信を検出するための全体的な処理の手順について説明する。図４は、通信分析装置２０を用いて不正通信を検出するための全体的な処理の手順の一例を示したフローチャートである。

　まず、解析者の入力をもとに、通信分析装置２０は、通信ログの分析を行うための事前設定を行う（ステップ１）。次に、通信分析装置２０は、事前設定に基づいて、通信データ保存装置３０から分析対象とする通信ログを取得し、取得した通信ログの整形を行う（ステップ２）。そして、通信分析装置２０は、整形後の通信ログに対して、分類リストを適用して分析処理を実行する（ステップ３）。この分析処理の実行により、分析結果が表示される。

　その後、解析者は、表示された分析結果を確認し、不正通信を特定する（ステップ４）。次に、通信分析装置２０は、ステップ４で不正通信であると特定された通信ログに絞り、深堀り調査を実行する（ステップ５）。ここでは、不正通信に関する詳細な情報が収集され、不正通信の発生期間や発生要因などが判断される。次に、通信分析装置２０は、ステップ４で特定された不正通信をキーにして、別の不正通信の有無を調査する（ステップ６）。ここで別の不正通信が見つかった場合には、通信分析装置２０は、ステップ５と同様に当該別の不正通信についても深掘り調査を行う。そして、本処理フローは終了する。

　このようにして、通信分析装置２０は、通信データ保存装置３０から取得した通信ログをもとに分析処理を実行し、分析結果を表示する。そして、解析者は、表示された分析結果を確認して不正通信の特定を行う。また、通信分析装置２０は、解析者によって特定された不正通信の深堀り調査を実行する。さらに、通信分析装置２０は、解析者によって特定された不正通信をキーにして、別の不正通信の有無を調査する。
　以下では、図４に示す各ステップについて、より具体的に説明を行う。

＜ステップ１：事前設定＞
　図４のステップ１に示す事前設定について詳細に説明する。この事前設定では、解析者の入力により、分析対象とする通信ログの種類やログ形式の指定、分析処理で用いられる分類リストの指定などが行われる。

　具体的には、解析者の入力をもとに、通信分析装置２０は、分析対象とする通信ログの種類として、例えば、プロキシログ（プロキシサーバの通信ログ）、ファイアウォールの通信ログなど、どの種類の通信ログを分析対象とするかを指定する。また、通信分析装置２０は、分析対象とする通信ログのログ形式として、例えば、日時を記述する基準（西暦か和暦か等）や書式の指定、ＩＰアドレスの表記法（記数法）の指定を行う。
　さらに、分析処理で用いられる分類リストには、適用可能な通信ログの種類がその分類リストごとに決まっている。そのため、分析対象とする通信ログの種類に合わせて解析者が分類リストを指定することにより、通信分析装置２０は、複数の分類リストの中から、分析処理で用いる分類リストを指定する。

　また、事前設定としてほかに、通信分析装置２０は、例えば、分析の対象とする期間、即ち、発生した日時がいつからいつまでである通信ログを分析の対象とするかを指定したり（以下、ここで分析対象として設定された期間を全分析期間と称する）、後述するホワイトリストの使用の有無を指定したりする。

＜ステップ２：通信ログの整形＞
　図４のステップ２に示す通信ログの整形について詳細に説明する。通信ログの整形処理に際し、まず、通信ログ取得部２２は、全分析期間内に発生した通信ログのうち、事前設定により指定された種類の通信ログを、通信データ保存装置３０から取得する。そして、通信ログ整形部２３は、取得した通信ログに対して整形処理を行う。

　整形処理では、事前設定で解析者が指定した規則や予め定められた規則に基づいて、通信ログの形式が整えられる。例えば、通信ログにおける発生日時、通信元ＩＰアドレス、宛先ＩＰアドレスなどが共通の形式に整えられる。また、例えば、通信ログに含まれる情報のうち、不正通信の検出には関係ない情報であって分析処理に使用されない情報が削除される。さらに、例えば、コネクション型のプロトコルであるＴＣＰを用いる通信に関しては、データのリクエストとそれに応答するレスポンスとを１つの通信ログにまとめる処理等が行われる。

　また、ステップ１の事前設定でホワイトリストを使用する設定が行われている場合、通信ログ整形部２３は、通信ログに対してホワイトリストを適用する。このホワイトリストは、解析者等により予め作成されたものであり、問題のない通信が登録されたリストである。例えば、問題のない外部のＩＰアドレスやホスト名（ドメイン名）などの情報がホワイトリストに登録されている。ホワイトリストを適用することで、ホワイトリストの情報に合致する情報を有する通信ログは、分析対象から除外される。付言すると、ホワイトリストは、分析対象の通信から問題のない通信を除外して、問題のある通信を残すためのリストである。即ち、ホワイトリストは、登録されている情報と同じ情報を含む通信ログを除外して問題のある通信ログを検出する、という分類条件が設定された分類リスト、と捉えることができる。

＜ステップ３：分析処理＞
　図４のステップ３に示す分析処理について詳細に説明する。この分析処理では、ステップ２で整形された通信ログに対して分類リストが適用され、不正通信を検出するための情報が出力される。分析処理で適用される分類リストは、予め作成された複数の分類リストのうち、ステップ１の事前設定で指定されたものである。ここで、分類リストとしては、例えば、問題のある通信に関する情報が登録されており、登録されている情報と同じ情報を含む通信ログを抽出するという分類条件が定められたリスト（以下、ブラックリストと称する）が存在する。また、分類リストとしては、例えば、解析者がこれまでに不正通信として特定した通信の特徴を考慮し、不正通信の判定のために有用なものとして指定された項目（フィールド）を含む通信ログを抽出するという分類条件が定められたリスト（以下、フィールド抽出リストと称する）も存在する。

　ブラックリストに登録された問題のある通信に関する情報とは、例えば、ユーザに関する情報を収集して外部に送信するソフトウェアであるスパイウェアの情報、広告を目的とするソフトウェアであるアドウェアの情報等である。また、例えば、公開プロキシに関する情報の一覧などもブラックリストとして用いられる。公開プロキシとは、一般に公開され誰でも自由に使える中継サーバ（プロキシサーバ）である。さらに、ブラックリストとして、解析者が独自に収集した問題のある通信の情報や、これまでの分析により問題があると判断された通信の情報などが登録されたリストを用いても良い。

　また、フィールド抽出リストには、例えば、「ＨＴＴＰ（Hypertext Transfer Protocol）通信でＰＯＳＴメソッドを用いた通信ログについて、通信先ホストを出現回数順にソートする」という分類条件が定められている。別のフィールド抽出リストには、例えば、「ＨＴＴＰ通信でＧＥＴメソッドまたはＰＯＳＴメソッドを用いた通信ログについて、通信元ホスト及び通信先ホストを出現回数順にソートする」という分類条件が定められている。

　また、分類リストには、その内容に応じて、不正通信を検出するための重要度が設定されている。重要度は、例えば、「高」、「中」、「低」の３段階で設定される。ブラックリストの場合、例えば、解析者が独自に収集した問題のある通信の情報は、不正であると判断できる信頼度が高いため、そのブラックリストは重要度「高」と設定される。また、例えば、攻撃以外の用途でも使われるような正規の通信が含まれてしまう可能性のある分類リストや影響が小さい分類リストは、重要度を「中」、「低」と低く設定しても良い。

　また、フィールド抽出リストの場合、例えば、不正通信である可能性が高い通信について、そのような分類条件を定めたフィールド抽出リストは重要度「高」と設定される。一方、例えば、不正通信である可能性が低い通信について、そのような分類条件を定めたフィールド抽出リストは重要度「低」と設定される。
　さらに、ＨＴＴＰ通信のＰＯＳＴメソッドやＧＥＴメソッドは、例えばＷｅｂサーバへ送るリクエストとして一般に用いられるものであるが、マルウェアに感染した場合に不正な処理として用いられる場合も多い。このようなことに基づいて、フィールド抽出リストの重要度が設定される。

　そして、分類リスト適用部２４は、整形後の通信ログに対して分類リストを適用し、分類リストごとに適用結果を出力する。ここで、各分類リストには、その分類リストを適用可能な通信ログの種類、及び分類リストを適用する上で必要な通信ログのフィールドが設定されている。そのため、分類リストの適用に際し、分類リスト適用部２４は、整形後の通信ログから、その分類リストを適用可能な種類の通信ログを抽出する。さらに、分類リスト適用部２４は、抽出した各通信ログから、その分類リストを適用する上で必要なフィールドの情報を収集し、収集した情報が分類条件に合致するか否かを判断して、適用結果を出力する。

　例えば、分類リストとしてブラックリストを適用する場合、分類リスト適用部２４は、整形後の通信ログから、そのブラックリストを適用可能な種類の通信ログを抽出する。さらに、分類リスト適用部２４は、抽出した各通信ログから、そのブラックリストを適用する上で必要なフィールドの情報を収集する。そして、分類リスト適用部２４は、収集した各通信ログのフィールドの情報がブラックリストの情報に合致するか否かを、通信ログごとに順番に判断していく。その結果、分類リスト適用部２４は、ブラックリストごとに、ブラックリストの情報と同じ情報を含む通信ログを抽出し、出現回数（分析対象の期間内に記録されている通信ログの数）が多い順番に上から並べて出力する。

　また、例えば、分類リストとしてフィールド抽出リストを適用する場合、分類リスト適用部２４は、まず、整形後の通信ログを、ＨＴＴＰ、ＳＳＬ、ＦＴＰ（File Transfer Protocol）、ＤＮＳ（Domain Name System）などの通信で用いられたプロトコル別に分けて、ベースファイルを作成する。このベースファイルでは、通信ログのフィールドのうち、分析に用いられる可能性のあるフィールドがプロトコルごとに設定されている。即ち、分類リスト適用部２４は、整形後の通信ログをプロトコル別に区分けし、分析に用いられる可能性のあるフィールドをプロトコルに応じて各通信ログから抽出して、プロトコル別のベースファイルを作成する。

　さらに、分類リスト適用部２４は、必要に応じてさらにベースファイルを分割し、中間ファイルを作成する。例えば、ＨＴＴＰ通信では、ＧＥＴメソッドやＰＯＳＴメソッドなどのメソッドが用いられるが、このメソッドが分類条件の要素として用いられる場合がある。そのため、分析を効率良く行うために、ＨＴＴＰのベースファイルをさらにメソッド別に分割した中間ファイルも作成される。

　そして、分類リスト適用部２４は、整形後の通信ログ（ここでは、ベースファイルや中間ファイル）から、そのフィールド抽出リストを適用可能な種類の通信ログを抽出する。さらに、分類リスト適用部２４は、抽出した各通信ログから、そのフィールド抽出リストを適用する上で必要なフィールドの情報を収集する。そして、分類リスト適用部２４は、収集した各通信ログのフィールドの情報がフィールド抽出リストの分類条件に合致するか否かを、通信ログごとに順番に判断していく。その結果、分類リスト適用部２４は、フィールド抽出リストごとに、分類条件を満たす通信ログを抽出して、出現回数が多い順番に上から並べて出力する。

　図５Ａ及び図５Ｂは、分析対象とする通信ログに分類リストを適用した結果の出力例を示す図である。ここでは、重要度「中」であるブラックリストを適用した出力結果を示している。図５Ａに示す例では、ブラックリストを適用する上で必要なフィールドとして、「ホスト名（通信先のホスト名）」が設定されている。その結果、図示するように、通信ログの「出現回数」、「ホスト名」が対応付けられて出力され、出現回数の多い通信ログから順番に表示される。

　例えば、番号１には、通信先のホスト名が「aaa.abcd0.jp」である通信ログが示されている。ここで、図５Ａに示す例のブラックリストには、問題のある通信の情報として、例えば、通信先のホスト名に「abcd0.jp」が含まれるもの、という情報が登録されており、番号１の通信ログが抽出される。また、この通信ログの出現回数は「１３４８２」であり、分析対象とする通信ログにおいて、該当する通信ログが１３４８２個存在している。さらに、図５Ａに示す例では、ブラックリストの情報に合致する箇所（番号１の通信ログでは、「abcd0.jp」）を解析者が認識し易いように、合致する箇所に下線が引かれて表示されている。ただし、当該箇所に下線を引いて表示する構成に限られず、例えば、他の箇所とは違う色（例えば、他の箇所が黒色の場合に赤色）で表示したり、文字を大きくして表示したりしても良い。

　また、図５Ｂも、重要度「中」である別のブラックリストを適用した出力結果を示しており、ここでは、ブラックリストを適用する上で必要なフィールドとして、「ＵＲＬ（Uniform Resource Locator）」が設定されている。その結果、図示するように、通信ログの「出現回数」、「ＵＲＬ」が対応付けられて出力され、出現回数の多い通信ログから順番に表示される。例えば、番号１には、通信先のＵＲＬが「http://ccc.abcd1.net/00/11」である通信ログが示されている。ここで、図５Ｂに示す例のブラックリストには、問題のある通信の情報として、例えば、通信先のＵＲＬに「abcd1.net」が含まれるもの、という情報が登録されており、番号１の通信ログが抽出される。また、この通信ログの出現回数は「２７３３」であり、分析対象とする通信ログにおいて、該当する通信ログが２７３３個存在している。

　図６Ａ及び図６Ｂも、分析対象とする通信ログに分類リストを適用した結果の出力例を示す図である。図６Ａは、「ＨＴＴＰ通信でＧＥＴメソッドを用いた通信ログについて、ホスト名（通信先のホスト名）を出現回数順にソートする」という分類条件を定めたフィールド抽出リストを適用した出力結果を示す。図示するように、通信ログの「出現回数」、「ホスト名」が対応付けられて出力され、出現回数の多い通信ログから順番に表示される。

　例えば、番号１には、通信先ホストのホスト名が「aaa.office.sample1.com」である通信ログが示されている。また、メソッドは表示されていないが、ＧＥＴメソッドが用いられている。この通信ログの出現回数は「２９０９７３７」であり、分析対象とする通信ログにおいて、該当する通信ログが２９０９７３７個存在している。

　また、図６Ｂは、「ＨＴＴＰ通信でＧＥＴメソッドを用いた通信ログについて、通信元ＩＰアドレス及び通信先ホストを出現回数順にソートする」という分類条件を定めたフィールド抽出リストを適用した出力結果を示す。図示するように、通信ログの「出現回数」、「通信元ＩＰアドレス」、「メソッド」、「通信先ホスト（ホスト名）」が対応付けられて出力されており、出現回数の多い通信ログから順番に表示される。

＜ステップ４：不正通信の特定＞
　図４のステップ４に示す不正通信を特定する処理について説明する。不正通信を特定する処理では、解析者が、ステップ３の出力内容を確認し、不正であると判断される通信を特定する。ここで、ステップ３では、上述したように、分析対象の通信ログに適用された分類リストの分析結果が出力されるが、分析結果に示されている通信ログを解析者が選択すると、選択した通信ログに関して、複数の異なる分類リストの適用結果の相関を示す情報が出力される。付言すると、当該相関を示す情報として、解析者が選択した通信ログについて、その通信ログの通信先と同じ通信先を有する通信ログが、各分類リストでどのように発生しているかを示す情報が出力される。解析者は、これらの出力内容を確認して不正通信を特定する。

　また、詳細情報取得部２６は、解析者が不正通信を特定するために、不正通信である可能性がある通信ログにおける通信先の情報を収集する。ここで、表示部２１は、通信先の情報を収集する指示を受け付ける入力インターフェイスとなっている。解析者が、表示部２１に表示された通信ログの１つを選択することにより、選択された通信ログにおける通信先の情報が収集される。具体的には、解析者が通信ログの１つを選択すると、詳細情報取得部２６は、例えば、その通信ログにおける通信先に実際に接続を行い、現在も通信可能であるか、通信先のサイトが現時点も実在しているか等の情報を収集する。

　さらに、詳細情報取得部２６は、必要に応じて通信ログに対応するパケットデータを通信データ保存装置３０から取得する。ここでも、表示部２１は、通信ログに対応するパケットデータを取得することを受け付ける入力インターフェイスとなっている。具体的には、解析者が、ある通信ログでパケットデータを取得する選択を行うと、詳細情報取得部２６は、通信データ保存装置３０からパケットデータを取得する。これにより、解析者は、取得されたパケットデータの中身を確認し、当該パケットデータに含まれるファイルや画像に不正なものがあるか否か等を判断することができる。

　このようにして、解析者は、複数の分類リストの分析結果から判断される状況と、通信ログにおける通信先やパケットデータの情報とをもとにして、分析対象の通信が不正通信であるか否かの最終判断を行う。ここでは、不正通信であるか否か現時点では判断できない場合や、正常な通信（不正ではない通信）であると判断される場合もある。そのため、ステップ４の処理では、分析対象の通信が、不正通信であると判断されるもの、不正通信であるか否か現時点では判断できないもの、または、正常な通信であると判断されるものの３つのいずれかに区分される。

　そして、不正通信であると判断されるものについては、次のステップ５及びステップ６の処理が行われる。また、不正通信であると判断された場合に、その通信の情報をステップ３の分析処理で用いられるブラックリストに追加しても良い。
　また、不正通信であるか否かが現時点では判断できない通信については、継続して監視する対象とされ、要経過観察リストに追加される。そして、今回の全分析期間とは異なる期間の通信ログを対象に分析が行われた場合に、要経過観察リストに記録された通信ログと同じ通信先への通信が発生しているか否か等が確認される。このように、現時点では判断できない通信について継続して監視されることにより、最終的に不正通信であると判断されるか、または正常な通信であると判断されることとなる。
　さらに、正常な通信であると判断される通信については、その通信の情報をステップ２の整形で用いられるホワイトリストに追加しても良い。

　ステップ４の不正通信を特定する処理について、具体例を示して説明する。
　まず、図５Ａに示すブラックリストの適用結果では、番号２８０の通信ログとして、ホスト名「malware.abcd4.jp」の通信ログが抽出されている。また、図５Ｂに示すブラックリストの適用結果では、番号３５０の通信ログとして、ＵＲＬ「http://malware.abcd4.jp/」の通信ログが抽出されている。これらは共通の通信先を示しており、共に５７件の出現回数で、図５Ａでは２８０行目、図５Ｂでは３５０行目に存在が確認される。ただし、これは、他の上位にある通信ログと比較すると、それほど出現回数が多い通信先とはいえない。またこれらのブラックリストの重要度は「中」であるため、抽出された段階で不正通信の通信ログであると断定されるものではない。そのため、図５Ａ及び図５Ｂに示すブラックリストの適用結果では、解析者は、この通信先（ホスト名：malware.abcd4.jp）が不正通信に関するものであるかの判断をまだ行えない（判断を行うための十分な情報が無い）。

　一方、他の分類リストにおいても、「malware.abcd4.jp」に該当する通信ログが抽出されている。例えば、図６Ａに示すフィールド抽出リストでは、番号１５３２にて該当する通信ログが抽出されている。また、図６Ｂに示すフィールド抽出リストでは、番号９８６６にて該当する通信ログが抽出されている。ここで、解析者が、ブラックリストの適用結果として示された「malware.abcd4.jp」の通信ログを選択すると、分類リストの適用結果の相関を示す情報として、分類リスト適用部２４は、「malware.abcd4.jp」に該当する通信ログについて、同じ通信先を有する通信ログが各分類リストで発生した状況を出力する。

　図７は、該当する通信ログの各分類リストでの発生状況の出力例を示す図である。図示するように、「malware.abcd4.jp」に該当する通信ログについては、番号１～６の６つの分類リストが該当した。ここで、番号１、２の分類リストは、図５Ａ、図５Ｂに示すブラックリストである。また、番号３～６の分類リストはフィールド抽出リストであり、４つのＧＥＴ系列のフィールド抽出リストが該当した。ここで、番号３の「リスト３」、番号４の「リスト４」はそれぞれ、図６Ａ、図６Ｂに示すフィールド抽出リストである。また、番号５の「リスト５」は、「ＨＴＴＰ通信でＧＥＴメソッドを用いた通信ログについて、通信元ＩＰアドレス、通信先ホスト及びＵＲＬを出現回数順にソートする」という分類条件が定められたフィールド抽出リストである。さらに、番号６の「リスト６」は、「ＨＴＴＰ通信でＧＥＴメソッドを用いた通信ログについて、ＵＲＬを出現回数順にソートする」という分類条件が定められたフィールド抽出リストである。

　この出力結果から、「malware.abcd4.jp」について、例えば、ＨＴＴＰのＧＥＴ通信のみ発生していること、通信元ＩＰアドレスが「172.29.36.209」で１つであるため誰もが閲覧するようなサイトではないことが判断される。また、例えば、ＵＲＬのパターンが１種類であるためＷｅｂブラウジングされている可能性が低いことが判断される。
　即ち、図５Ａ及び図５Ｂに示すブラックリストの分析結果だけでは、その通信は個人がサイトを閲覧している通信である可能性もあり、不正通信に関するものであるかの判断を行えない。しかし、他の分類リストの出力結果から、個人によるサイト閲覧の通信である可能性は低く、不正通信である可能性が高いと判断される。

　さらに、詳細情報取得部２６が、通信先のＵＲＬ「http://malware.abcd4.jp」に実際にアクセスした場合の状況も考慮し、解析者は、最終的に不正通信であると判断することができた。付言すると、「malware.abcd4.jp」にアクセスするクライアント端末１０は、マルウェアに感染している可能性が高いと判断されたこととなる。

　このように、解析者は、ある分類リストにて抽出された通信ログについて、他の分類リストでの分析結果も合わせて確認することにより、ある分類リストからは判断できない情報を入手することができる。さらに、解析者は、必要に応じて通信先等の情報も考慮して、対象とする通信が不正通信であるか否かの最終判断を行う。

　また、図７に示す例では、ブラックリストの適用結果として示された通信ログについて、各分類リストの適用結果の相関を示す情報を出力したが、解析者が、フィールド抽出リストの適用結果として示された通信ログを選択すると、その通信ログについて、各分類リストの適用結果の相関を示す情報が出力される。また、相関を示す情報として、該当する全ての分類リストでの発生状況を示したが、分類リストの一部を示してもよく、例えば、ブラックリストでの発生状況（図７の例では、番号１、２）のみを示したり、フィールド抽出リストでの発生状況（図７の例では、番号３～６）のみを示したりしても良い。

　さらに、分類リスト適用部２４は、解析者の入力によらず、分類リストにて抽出された通信ログのうち一定の条件を満たす通信ログについて、分類リストの適用結果の相関を示す情報を出力する構成としても良い。例えば、分類リスト適用部２４は、いずれかの分類リストの適用結果に含まれる通信ログのうち、出現回数が予め定められた数以下である通信ログについて、不正通信に関するものであるかの判断を行えないとして、各分類リストでの発生状況を出力しても良い。また、例えば、分類リスト適用部２４は、一定の重要度以下である分類リスト（例えば、重要度「中」以下の分類リストである場合は、重要度「中」、「低」の分類リスト）の適用結果に含まれる通信ログは、不正通信に関するものであるかの判断を行えないとして、各分類リストでの発生状況を出力しても良い。

　ステップ３の分析処理及びステップ４の不正通信を特定する処理について、フローチャートを示して説明する。図８は、分析処理及び不正通信を特定する処理の手順の一例を示したフローチャートである。

　まず、ステップ２で通信ログの整形が行われると、分類リスト適用部２４は、分析処理で用いることが指定された分類リストをリスト格納部２５から取得する（ステップ１０１）。そして、分類リスト適用部２４は、整形後の通信ログに対して分類リストを適用する（ステップ１０２）。ここで、分類リスト適用部２４は、取得した分類リストごとに、整形後の通信ログから適用可能な種類の通信ログを抽出し、分類リストの適用に必要なフィールドの情報を収集して、分類リストの分類条件に合致するか否かを判断する。そして、分類リスト適用部２４は、分類リストごとに分析結果を出力して表示部２１に表示する。

　次に、例えば解析者が分類リストによる分析結果を確認し、不正通信に関するものであるかまたはまだ判断できないような通信ログを選択すると、分類リスト適用部２４は、選択された通信ログの各分類リストでの発生状況を表示部２１に表示する（ステップ１０３）。ここで、分類リスト適用部２４は、分類リストの分析結果の中から、解析者に選択された通信ログの通信先と同じものを通信先とする通信ログを抽出し、抽出した通信ログの発生状況を表示部２１に表示する。

　さらに、解析者が、通信ログにおける通信先の情報を収集する入力やパケットデータを取得する入力を行うと、詳細情報取得部２６は、通信先に関する情報を取得し、またパケットデータを通信データ保存装置３０から取得する（ステップ１０４）。取得された情報は表示部２１に表示される。そして、本処理フローは終了する。
　このように、分類リスト適用部２４、詳細情報取得部２６による出力内容をもとに、解析者は、分析対象の通信が不正通信であるか否かの最終判断を行う。

＜ステップ５：不正通信の深堀り調査＞
　図４のステップ５に示す不正通信の深掘り調査について説明する。不正通信の深掘り調査では、ステップ４で不正通信であると判断された通信ログに絞って詳細な情報が収集される。ステップ４で不正通信であると判断されたものが複数あれば、それぞれの不正通信に対してステップ５の処理が行われる。

　まず、詳細情報取得部２６は、分析対象の通信ログの中から、ステップ４で不正通信であると判断された通信の通信ログを抽出する。そして、詳細情報取得部２６は、抽出した各通信ログの発生日時を取得し、この不正通信の発生期間を特定する。発生期間は、全分析期間内で、最初に当該不正通信が発生した時点から最後に当該不正通信が発生した時点までの期間である。
　また、詳細情報取得部２６は、不正通信の通信元を特定する。具体的には、詳細情報取得部２６は、当該不正通信の通信ログにおいて、通信元のＩＰアドレスやホストの情報、即ち、通信元であるクライアント端末１０の情報を収集する。通信元のクライアント端末１０としては、１つの場合もあれば複数の場合もある。

　さらに、詳細情報取得部２６は、不正通信の発生要因を特定するための情報を収集する。ここで、不正通信は、例えば、クライアント端末１０がマルウェアをダウンロードさせる不正なＷｅｂページにアクセスするなど、何らかの通信が要因となって発生すると考えられる。即ち、不正通信が最初に発生した時刻の直前の時間に、当該不正通信の発生要因となる何らかの通信が行われていると考えられる。そこで、詳細情報取得部２６は、不正通信の通信元であるクライアント端末１０から行われた通信（通信元が当該不正通信の通信元と同一の通信）の通信ログのうち、当該不正通信が最初に発生した時点より遡って予め定められた時間内に検知された通信の通信ログを収集する。

　ステップ５の不正通信の深堀り調査について、フローチャートを示して説明する。図９は、不正通信の深堀り調査を行う処理の手順の一例を示したフローチャートである。

　まず、ステップ４において、解析者が不正通信であると判断される通信の通信ログを指定する入力を行うと、詳細情報取得部２６は、分析対象の通信ログの中から、不正通信であると判断された通信の通信ログを抽出する（ステップ２０１）。そして、詳細情報取得部２６は、抽出した通信ログの発生日時を取得し、不正通信の発生期間を特定する（ステップ２０２）。次に、詳細情報取得部２６は、不正通信の通信元であるクライアント端末１０の情報を収集する（ステップ２０３）。発生期間や通信元であるクライアント端末１０の情報は、表示部２１に表示される。

　さらに、詳細情報取得部２６は、不正通信の通信元であるクライアント端末１０から行われた通信の通信ログのうち、不正通信が最初に発生した時刻の直前の予め定められた時間内に検知された通信ログを収集する（ステップ２０４）。収集された通信ログの情報は、表示部２１に表示される。そして、本処理フローは終了する。

　次に、通信ログをもとに不正通信の発生要因を特定する処理について、具体例を示して説明する。図１０は、不正通信の発生要因を特定するために表示される通信ログの一例を示す図である。ここで、番号１３の通信ログがホスト「mal.example.com」への不正通信であり、ホスト「mal.example.com」に対して最初に通信が行われた際の通信ログである。そして、番号１３の通信ログが検知された時刻付近の通信ログが表示されている。実際には、不正通信が最初に発生した時刻の前後の特定の時間の通信ログが表示されるが、図１０ではそのうちの一部の通信ログを示している。また、不正通信の発生要因を特定するためには、当該不正通信が最初に発生した時刻の前に検知された通信ログがあれば足りるが、それ以降の通信ログもあれば、当該不正通信の発生状況がより詳細に把握される。

　図１０に示す例では、番号１３の通信ログより前に発生した通信ログを確認すると、番号６の通信ログのホスト宛への通信は１回しか発生していない。ここで、通信分析装置２０は、番号６の通信先のＵＲＬ「http://malware2.downloadsite.com/it/xxxxxxx.jpg」に実際に接続したところ、マルウェアのダウンロード通信であることが判明した。さらに、例えば、番号６の通信ログの前に発生している番号１～５などの複数の通信ログの通信先に、通信分析装置２０が実際に接続した結果などをもとに、解析者により、不正通信の発生要因や影響被害などが判断される。

＜ステップ６：別の不正通信の調査＞
　図４のステップ６に示す別の不正通信の調査について説明する。別の不正通信の調査では、ステップ４で不正通信であると判断された通信（以下、元の不正通信と称する）をキーにして、別の不正通信の有無が調査される。

　不正通信の発生には、上述したように、その要因となる何らかの通信が存在すると考えられるが、クライアント端末１０がそのような通信を行った場合、１つの不正通信だけでなく別の不正通信も発生する場合がある。例えば、クライアント端末１０が不正なＷｅｂページにアクセスしたために攻撃者サーバ４０に誘導された場合、攻撃者サーバ４０に加えて、攻撃者の別サーバにも誘導されることがあり得る。この場合には、攻撃者サーバ４０へアクセスする不正通信のほかに、攻撃者の別サーバへアクセスする不正通信も発生することになる。そこで、不正通信調査部２７は、元の不正通信と通信元が同じで、元の不正通信と発生時期が近い別の不正通信がないかどうかを調査する。

　具体的には、不正通信調査部２７は、元の不正通信の通信元であるクライアント端末１０が通信元となっている通信ログに絞って、ステップ３の分析処理を実行する。また、別の不正通信は、元の不正通信と感染源が共通しているため、発生頻度や発生タイミングなどの発生状況も元の不正通信に類似していると考えられる。そのため、別の不正通信を特定するための期間（以下、特定期間と称する場合がある）、即ち、通信ログの分析対象とする期間は、元の不正通信の発生状況に基づいて設定される。そして、この分析処理の結果に対してステップ４の処理が行われ、別の不正通信が特定される。

　付言すると、特定期間は、元の不正通信の通信元であるクライアント端末１０にて元の不正通信が最初に発生した時点から最後に発生した時点までの発生期間をもとに特定される。特定期間は、元の不正通信の発生状況に基づいて、例えば、１週間単位や１日単位、曜日単位で設定される。なお、特定期間は、不正通信調査部２７が予め定められた規則に従って設定するか、または解析者の入力により設定される。

　ここで、元の不正通信を特定するために行われたステップ３の分析処理では、全分析期間の全通信ログが対象とされる。一方、別の不正通信を特定するために行われる分析処理では、元の不正通信の通信元であるクライアント端末１０が通信元となっている通信ログに絞り、さらに分析対象の期間（即ち、特定期間）も元の不正通信の発生状況に合わせて設定される。そのため、ステップ６の分析処理による分析結果は、元の不正通信を特定するために行われたステップ３の分析処理による分析結果とは異なるものとなる。

　例えば、元の不正通信を特定するために行われた分析処理の結果では、別の不正通信の通信ログがどのブラックリスト及び分類リストにも上位に表示されず、解析者が見つけられない場合がある。このような場合に、通信ログを絞って分析処理を行うことで、別の不正通信の通信ログがブラックリストや分類リストの上位に表示される場合がある。結果として、元の不正通信を特定するために行われた分析処理では注目されなかった別の不正通信の通信ログが注目されることとなり、検出される可能性が高まる。

　別の不正通信を特定する処理について、具体例を示して説明する。ここで、ステップ４において、例えば、通信先のＵＲＬが「http://www.malsample1.net/abcdefg/post.php」である通信が元の不正通信として特定されたとする。この元の不正通信について、通信元のクライアント端末１０のＩＰアドレスは「192.168.100.100」であった。また、元の不正通信の発生状況を確認すると、2015年1月10日12時10分～2015年1月31日19時30分までの間に発生していた。

　これらの情報より、別の不正通信の調査として、不正通信調査部２７は、「192.168.100.100」のクライアント端末１０が通信元となっている通信ログで、発生期間が2015年1月10日12時10分～2015年1月31日19時30分の通信ログを抽出する。そして、分類リスト適用部２４は、抽出された通信ログに対して分類リストを適用する。なお、ここでの分析処理では分類リストの一部、例えばフィールド抽出リストのみ適用する構成としても良い。

　図１１Ａ及び図１１Ｂは、元の不正通信をもとに通信ログを絞って分類リストを適用した出力結果の一例について説明するための図である。ここで、図１１Ａ及び図１１Ｂは、共に「ＨＴＴＰ通信でＰＯＳＴメソッドを用いた通信ログについて、通信元ＩＰアドレス及びＵＲＬを出現回数順にソートする」という分類条件を定めたフィールド抽出リストを適用した出力結果を示すが、適用対象の通信ログが異なる。図１１Ａは、全分析期間の全通信ログを対象とした出力例であり、図１１Ｂは、元の不正通信をもとに絞った通信ログを対象とした出力例である。

　図１１Ａに示す例では、出現回数が多い順番に番号１～６の通信ログが表示されており、これらは不正ではない通信の通信ログである。一方、図１１Ｂに示す例では、番号１～５は不正ではない通信の通信ログであるが、番号６の通信ログは不正通信に関するものである。即ち、元の不正通信をもとに通信ログを絞ることにより、元の不正通信と感染源が共通する別の不正通信に関する通信ログが、上位に表示されたこととなる。この番号６の通信ログについては、解析者が、他の分類リストの適用結果を確認したりすることにより、不正通信であるか否かの判断を行う。また、通信先の情報の収集やパケットデータの取得が行われ、最終的に不正通信であるか否かの判断が行われる。

　ここで、元の不正通信のＵＲＬ「http://www.malsample1.net/abcdefg/post.php」と、別の不正通信のＵＲＬ「http://www.malexample2.net/abcdefg/post.php」とは、ホスト「www.malsample1.net」より下位の「/abcdefg/post.php」の部分、即ち、ファイルパスを示すＵＲＩ部分が共通している。ファイルパスとは、サーバなどの通信先の内部でのリソース（ファイル）の所在地を示すものであり、ＨＴＴＰ通信では、サーバの公開領域内でのディレクトリ名及びファイル名を表す。ここで、攻撃者は、例えば、同じような仕組みを用いて複数の不正サイトを用意することがある。即ち、例えば、複数のマルウェアに感染した場合、ＵＲＬが異なる複数の不正通信が発生するが、ファイルパスなど、一部のＵＲＩ部分が共通して複数の不正通信が発生する場合がある。言い換えると、マルウェアの作成傾向として、マルウェアにより発生する複数の不正通信で一部のＵＲＩ部分が共通する場合がある。そこで、番号６の通信ログについて、通信先のＵＲＩ部分が元の不正通信の通信先のＵＲＩ部分と同じであるために、不正通信である可能性が高いと判断しても良い。

　さらに、不正通信調査部２７は、通信先のＵＲＬが「/abcdefg/post.php」を含む通信ログが、番号６の通信ログ以外に存在するか否かを調査しても良い。そして、例えば、「http://www.xxx.yyy.zzz/abcdefg/post.php」、「http://www.xyz.xyz.co/abcdefg/post.php」、「http://aaa.bbb.ccc/abcdefg/post.php」、「http://eee.fff.ggg/abcdefg/post.php」などのＵＲＬを通信先とする通信ログが見つかれば、不正通信である可能性があると判断しても良い。

　また、攻撃者がマルウェアを作成するにあたり、例えば、上述したようにファイルパスの記述を全く同じにするのではなく、ファイルパスの記述を一部変えてＵＲＬを構成する場合もある。そこで、元の不正通信の通信先であるＵＲＬのＵＲＩ部分と同じものを含む場合にその通信が不正通信である可能性が高いと判断する構成に限られるわけではなく、元の不正通信とＵＲＩ部分が類似していれば不正通信である可能性が高いと判断しても良い。

　さらに、元の不正通信において着目する箇所についても、ＵＲＬの一部であるファイルパスを示すＵＲＩ部分に限られるものではなく、例えば、元の不正通信の通信先であるＵＲＬの全部や、ホスト名単体、ＨＴＴＰリクエストメソッド等のヘッダ情報などに着目しても良い。例えばホスト名に着目する場合には、元の不正通信の通信先であるＵＲＬのホスト名と同じものが含まれる通信ログについて、不正通信である可能性が高いと判断される。

　このように、元の不正通信の通信ログに含まれる情報に着目する場合には、解析者は、マルウェアが作成される傾向を考慮し、通信ログに含まれる情報の中で、不正通信としての特徴が示されているような、マルウェアの作成傾向に沿う部分、言い換えると、攻撃者が作成したマルウェアに応じて決まる場合のある情報に着目する。そして、不正通信の通信ログの特徴部分（マルウェアの作成傾向に沿う部分）と同じ情報が含まれる通信ログについて、不正通信である可能性が高いと判断される。

　さらに、解析者は、元の不正通信の発生状況に着目しても良い。発生状況とは、例えば、通信が発生する周期や時間帯、通信間隔などの通信の発生傾向を示す。

　そして、例えば、通信先のＵＲＩ部分が元の不正通信の通信先のＵＲＩ部分と同じである上述の５つの通信（(1)「http://www.malexample2.net/abcdefg/post.php」、(2)「http://www.xxx.yyy.zzz/abcdefg/post.php」、(3)「http://www.xyz.xyz.co/abcdefg/post.php」、(4)「http://aaa.bbb.ccc/abcdefg/post.php」、(5)「http://eee.fff.ggg/abcdefg/post.php」）に対して、着目する箇所を中心に確認が行われる。

　例えば、(1)～(4)の通信については、元の不正通信の通信ログと比較すると、通信ログの幾つかの着目点が共通しており、通信が発生する傾向としてはほとんど同じであった。しかし、(5)の通信については、元の不正通信の通信ログと着目点が共通している部分はあるものの、(1)～(4)の通信とは発生状況が異なっていた。つまり、(1)～(4)の通信と(5)の通信とでは発生状況が異なるという通信事実が判明した。
　以上より、(1)～(5)の全ての通信において、着目点および通信の発生状況が完全に一致した状態にはならなかったが、マルウェアの作成傾向に沿う情報としては元の不正通信と合致する点が多くあり、通信先となるホストに関する情報についても不審な部分が多いため、この場合、全て不正通信であると判断が行われた。また元の不正通信以外にも不正通信が存在したという事実に加え、全体の不正通信の状況を把握できるため、特定期間内における全体の状況把握と影響確認を行うことができたといえる。

　図１２は、別の不正通信の調査手順の一例について説明するための図である。図１２に示す例では、ステップ４で元の不正通信として不正通信Ａが特定され、ステップ６で別の不正通信として不正通信Ｂ及び不正通信Ｃが特定されるものとして説明する。また、不正通信Ａはクライアント端末１０ａから発生し、不正通信Ｂはクライアント端末１０ａ及びクライアント端末１０ｂから発生し、不正通信Ｃはクライアント端末１０ｂから発生したとする。
　図１２には、全分析期間Ｔ１を示してある。
　また、図１２には、クライアント端末１０ａに関し、不正通信Ａの発生のタイミングＰ１１と、不正通信Ａの終了のタイミングＰ１２と、不正通信Ａの発生期間Ｔ１１と、特定期間（特定期間１）Ｔ１２と、不正通信Ｂが特定される期間Ｔ１３と、不正通信Ｂの発生のタイミングＰ２１と、不正通信Ｂの発生期間Ｔ２１と、特定期間（特定期間２）Ｔ２２を示してある。
　また、図１２には、クライアント端末１０ｂに関し、不正通信Ｂの発生のタイミングＰ３１と、不正通信Ｂの発生期間Ｔ３１と、特定期間（特定期間３）Ｔ３２と、不正通信Ｃが特定される期間Ｔ３３と、不正通信Ｃの発生のタイミングＰ４１と、不正通信Ｃの発生期間Ｔ４１を示してある。

　まず、ステップ４で不正通信Ａが特定されると、不正通信調査部２７は、不正通信Ａの発生状況に基づいて特定期間１を設定する。次に、不正通信調査部２７は、特定期間１に検知された通信ログのうち、不正通信Ａの通信元であるクライアント端末１０ａが通信元となっている通信ログに絞って、ステップ３の分析処理を実行する。この分析結果をもとに、解析者がステップ４の処理を行い、別の不正通信として不正通信Ｂを特定する。続けて、不正通信Ｂに対してステップ５の処理が行われ、発生期間、発生要因などの特定が行われる。

　ここで特定される不正通信Ｂは、クライアント端末１０ａを通信元として特定期間１に発生したものであるが、不正通信Ｂとしては、他のクライアント端末１０を通信元として発生している可能性もある。そのため、通信分析装置２０は、全分析期間Ｔ１の全通信ログの中で、不正通信Ｂの通信ログを抽出する。これにより、不正通信Ｂの通信元として、クライアント端末１０ａに加えてクライアント端末１０ｂが特定される。

　次に、不正通信調査部２７は、別の不正通信として特定された不正通信Ｂをもとに、さらに別の不正通信の有無を調査する。
　具体的には、不正通信調査部２７は、クライアント端末１０ａを通信元とする不正通信Ｂの発生状況に基づいて、特定期間２を設定する。そして、不正通信調査部２７は、特定期間２に検知された通信ログのうち、不正通信Ｂの通信元であるクライアント端末１０ａが通信元となっている通信ログに絞って、ステップ３の分析処理を実行する。
　同様に、不正通信調査部２７は、クライアント端末１０ｂを通信元とする不正通信Ｂの発生状況に基づいて、特定期間３を設定する。そして、不正通信調査部２７は、特定期間３に検知された通信ログのうち、不正通信Ｂの通信元であるクライアント端末１０ｂが通信元となっている通信ログに絞って、ステップ３の分析処理を実行する。

　これらの分析結果をもとに、解析者がステップ４の処理を行う。その結果、特定期間２では別の不正通信は特定されなかったが、特定期間３では新たに別の不正通信として不正通信Ｃが特定される。続けて、不正通信Ｃに対してステップ５の処理が行われ、発生期間、発生要因などの特定が行われる。
　また、通信分析装置２０は、この不正通信Ｃについても、通信元を特定するとともに特定期間を定めて、さらに別の不正通信の有無を調査しても良い。

　このようにして、不正通信調査部２７は、ステップ４で特定された元の不正通信をキーにして、別の不正通信の有無を調査する。また、別の不正通信が特定されると、不正通信調査部２７は、特定された別の不正通信をキーにして、さらに別の不正通信の有無を調査しても良い。即ち、不正通信調査部２７は、別の不正通信をキーにしてさらに別の不正通信の有無を調査する処理を、繰り返し実行する構成としても良い。

　また、図１１Ａ、図１１Ｂ及び図１２に示す例では、元の不正通信をもとに通信ログを絞って分析する例について説明したが、全分析期間の全通信ログを対象とし、不正通信の通信ログの特徴部分（即ち、マルウェアの作成傾向に沿う部分）と同じ情報が含まれる通信ログを探索して、別の不正通信の有無を調査する構成としても良い。この場合、ステップ４で元の不正通信が特定されると、不正通信調査部２７は、全分析期間の全通信ログのうち、例えば通信先のＵＲＬに、元の不正通信の通信先であるＵＲＬのＵＲＩ部分と同じものが含まれる通信ログを抽出する。そして、不正通信調査部２７は、抽出した通信ログの情報を示してそれを出現回数の多い順番にして表示したり、分類リストの適用結果等を表示したりして、不正通信であるか否かの判断が行われる。
　この調査方法は、特定の期間に絞り込みを行い、分析に必要な通信ログ量を減らして迅速な判断を行う方法に比べると時間を要するが、この調査結果は全通信ログを対象にして抜け漏れをなくす目的で判断を行う場合などに活用する。また、期間を絞らないことで、不正通信が影響する範囲の全貌が明らかになることもある。

　ステップ６の別の不正通信の調査について、フローチャートを示して説明する。図１３は、別の不正通信の調査を行う処理の手順の一例を示したフローチャートである。

　まず、ステップ５において、不正通信の深堀り調査が行われた後、例えば解析者が元の不正通信をキーにして別の不正通信を調査する入力を行うと、不正通信調査部２７は、元の不正通信の発生状況に基づいて特定期間を設定する（ステップ３０１）。ここで、元の不正通信の発生状況については、図９のステップ２０２で特定された発生期間の情報が用いられる。また、不正通信調査部２７は、元の不正通信の通信元であるクライアント端末１０の情報を取得する（ステップ３０２）。ここで、元の不正通信のクライアント端末１０の情報については、図９のステップ２０３で収集された情報が用いられる。

　次に、不正通信調査部２７は、特定期間に検知された通信ログのうち、元の不正通信の通信元であるクライアント端末１０が通信元となっている通信ログを抽出する（ステップ３０３）。そして、分類リスト適用部２４は、抽出された通信ログに対して分類リストを適用する（ステップ３０４）。ここでは、例えば、元の不正通信を特定するための分析処理で用いられた分類リストと同じものが適用される。そして、分類リスト適用部２４は、分類リストごとに分析結果を出力して表示部２１に表示する。

　次に、解析者は、ステップ４の処理を行い、別の不正通信を特定する。そして、解析者が別の不正通信の通信ログを指定する入力を行うと、詳細情報取得部２６は、別の不正通信に関してステップ５の深堀り調査を実行する（ステップ３０５）。そして、本処理フローは終了する。この後、不正通信調査部２７は、ステップ３０５で取得された別の不正通信に関する情報をもとにしてステップ３０１の処理を開始して、さらに別の不正通信があるか否かを調査しても良い。

　また、元の不正通信の通信元であるクライアント端末１０が複数ある場合には、ステップ３０１～ステップ３０５の処理は、通信元であるクライアント端末１０ごとに行われる。

　なお、本発明の実施の形態を実現するプログラムは、磁気記録媒体、光記録媒体、光磁気記録媒体、半導体メモリなどのコンピュータが読取可能な記録媒体に記憶した状態で提供し得る。また、当該プログラムは、インターネットなどの通信手段（通信部）を用いて提供することも可能である。ここで、磁気記録媒体は、例えば、磁気テープ、または、磁気ディスクなどである。光記録媒体は、例えば、光ディスクなどである。

　また、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。

１０，１０ａ，１０ｂ，１０ｃ…クライアント端末
１１…コンピュータシステム
２０…通信分析装置
２１…表示部
２２…通信ログ取得部
２３…通信ログ整形部
２４…分類リスト適用部
２５…リスト格納部
２６…詳細情報取得部
２７…不正通信調査部
３０…通信データ保存装置
４０…攻撃者サーバ

Claims

　監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得部と、
　前記取得部が取得した通信ログをもとに不正通信が検出された場合に、当該取得部が取得した当該通信ログの中から、通信元が当該不正通信の通信元と同一の通信で、当該不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する抽出部とを備える情報処理装置。
　前記特定期間は、前記対象期間内に前記通信元にて前記不正通信が最初に発生した時点から最後に発生した時点までの期間をもとに特定される請求項１に記載の情報処理装置。
　前記抽出部は、検出された前記不正通信の通信元が複数存在する場合、当該通信元ごとに、通信元が当該不正通信の通信元と同一の通信で、当該不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する請求項１または２に記載の情報処理装置。
　前記抽出部は、当該抽出部が抽出した通信ログをもとに別の不正通信が検出された場合に、前記取得部が取得した通信ログの中から、通信元が当該別の不正通信の通信元と同一の通信で、当該別の不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する請求項１から３のいずれか１項に記載の情報処理装置。
　監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得部と、
　前記取得部が取得した通信ログをもとに不正通信が検出された場合に、当該取得部が取得した当該通信ログの中から、当該不正通信の通信ログにおけるマルウェアの作成傾向に沿う情報と同じものが含まれる通信ログを抽出する抽出部とを備える情報処理装置。
　監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、
　取得された前記通信ログをもとに不正通信が検出された場合に、取得された当該通信ログの中から、通信元が当該不正通信の通信元と同一の通信で、当該不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出するステップとを含む情報処理方法。
　監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、
　取得された前記通信ログをもとに不正通信が検出された場合に、取得された当該通信ログの中から、当該不正通信の通信ログにおけるマルウェアの作成傾向に沿う情報と同じものが含まれる通信ログを抽出するステップとを含む情報処理方法。
　コンピュータに、
　監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、
　取得された前記通信ログをもとに不正通信が検出された場合に、取得された当該通信ログの中から、通信元が当該不正通信の通信元と同一の通信で、当該不正通信の発生状況をもとに特定された特定期間内に検知された通信の通信ログを抽出する機能とを実現させるためのプログラム。
　コンピュータに、
　監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、
　取得された前記通信ログをもとに不正通信が検出された場合に、取得された当該通信ログの中から、当該不正通信の通信ログにおけるマルウェアの作成傾向に沿う情報と同じものが含まれる通信ログを抽出する機能とを実現させるためのプログラム。