WO2019003373A1

WO2019003373A1 - 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

Info

Publication number: WO2019003373A1
Application number: PCT/JP2017/023889
Authority: WO
Inventors: 将川北
Original assignee: 日本電気株式会社
Priority date: 2017-06-29
Filing date: 2017-06-29
Publication date: 2019-01-03
Also published as: JP6879367B2; JP2021119500A; JP2023021223A; US11611575B2; JPWO2019003373A1; US20200128033A1; US20230199013A1

Abstract

サイバー攻撃等のセキュリティに関する攻撃の状況をわかり易く可視化する。攻撃状況可視化装置は、サイバー攻撃に関する情報が記録されたログを解析し、サイバー攻撃に関する通信の送信元と、サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析部と、地図を表す画像と、送信元を示す送信元画像と、送信先を示す送信先画像と、を地図上に配置した画像を表示可能な表示情報を生成する表示情報生成部と、を備える。表示情報生成部は、ある送信元と、その送信元からサイバー攻撃に関する通信が送信された送信先と間の対応関係が特定されている場合、その送信元と、その送信先との間のサイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む表示情報を生成する。

Description

攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

　本発明は、サイバー攻撃の状況をわかりやすく可視化する技術に関する。

　サイバー攻撃等のセキュリティに関する攻撃の分析においては、収集した情報を可視化することがある。例えば、以下の特許文献１、２には、サイバー攻撃に関連する情報を表示する技術が記載されている。

　特許文献１（特開２０１５－２６１８２号公報）には、セキュリティに関する攻撃を表す情報を収集し、あるセキュリティサービスのユーザに対して、そのサービスにより防御可能な攻撃を可視化する技術が記載されている。

　特許文献２（特開２０１５－２１６５４９号公報）には、サイバー攻撃が検知された装置を表す画像と、地球を表す画像との間に、サイバー攻撃のレベルを示す画像を表示する技術が記載されている。

　なお、特許文献３（特開２０１４－２３００４１号公報）には、ネットワークの構成及び動作を可視化する技術が記載されている。

特開２０１５－２６１８２号公報特開２０１５－２１６５４９号公報特開２０１４－２３００４１号公報

　サイバー攻撃の増加及び高度化により、サイバー攻撃に関連して可視化される情報の量が増大し、表示する情報の内容も複雑化している。

　上記特許文献１に記載された技術は、あるセキュリティサービスにより防御可能な攻撃を表示する技術に過ぎない。上記特許文献２に記載された技術は、攻撃対象と攻撃元との双方を特定可能なログが与えられることを前提とした技術である。特許文献３に記載された技術は、ネットワーク構成の可視化技術に過ぎない。

　サイバー攻撃に関する情報には、必ずしも攻撃対象と、攻撃元との両方を特定可能な情報が常に含まれるとは限らない。このような状況の場合、例えば、上記各特許文献に記載された技術を用いても、サイバー攻撃の状況等を適切に表示することは困難である。

　本開示に係る技術は、このような事情を鑑みて開発されたものである。即ち、本開示は、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化する技術を提供することを、主たる目的の一つとする。

　上記目的を達成すべく、本開示の一態様に係る攻撃状況可視化装置は、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化装置は、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析部と、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成する表示情報生成部と、を備える。攻撃状況可視化装置における上記表示情報生成部は、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成するよう構成される。

　また、本開示の他の一態様に係る攻撃状況可視化方法は、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化方法は、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成し、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成することを含む。

　また、上記目的は、上記構成を有する攻撃状況可視化装置、攻撃状況可視化方法等をコンピュータによって実現するコンピュータ・プログラム（攻撃状況可視化プログラム）、及び、そのコンピュータ・プログラムが格納されているコンピュータ読み取り可能な記録媒体等によっても達成される。

　本開示の他の一態様に係る攻撃状況可視化プログラムは、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化プログラムは、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成する処理と、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成する処理と、をコンピュータに実行させる。なお、本開示の一態様に係る記録媒体には、上記したコンピュータ・プログラムが記録されてもよい。

　本開示によれば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化することができる。

図１は、本開示の第１実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。図２は、本開示の第１実施形態における攻撃状況可視化装置により可視化された攻撃状況の具体例を示す説明図である。図３は、攻撃線の具体例を示す説明図である。図４は、本開示の第１実施形態における攻撃状況可視化装置の動作の一例を示すフローチャートである。図５は、本開示の第２実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。図６は、本開示の第２実施形態における攻撃状況可視化装置に含まれる構成要素（ログ解析部）の機能的な構成を例示するブロック図である。図７は、本開示の第２実施形態における攻撃状況可視化装置に含まれる他の構成要素（表示情報生成部）の機能的な構成を例示するブロック図である。図８は、ログの具体例を示す説明図である。図９は、送信元ＩＰアドレスから、送信先のＩＰアドレスを特定する過程の具体例を示す説明図である。図１０は、送信元表示画像及び送信先表示画像の具体例を示す説明図である。図１１は、ログ種別テーブルの具体例を示す説明図である。図１２は、攻撃者テーブルの具体例を示す説明図である。図１３は、被害者テーブルの具体例を示す説明図である。図１４は、配色テーブルの具体例を示す説明図である。図１５は、送信先画像の表示形態を例示する説明図である。図１６は、送信元画像の表示形態を例示する説明図である。図１７は、送信先画像の他の表示形態を例示する説明図である。図１８は、送信元画像の他の表示形態を例示する説明図である。図１９は、攻撃状況画像の具体例を示す説明図である。図２０は、本開示の第２実施形態における攻撃状況可視化装置の動作の一例を示すフローチャートである。図２１は、本開示の第２実施形態における攻撃状況可視化装置により可視化された攻撃状況の具体例を示す説明図である。図２２は、本開示の第３実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。図２３は、本開示の第３実施形態における攻撃状況可視化装置に含まれる構成要素（外部情報照会部）の機能的な構成を例示するブロック図である。図２４は、分析モデルの具体例を示す説明図である。図２５は、各実施形態を実現可能なハードウェアの構成を例示する説明図である。

　各実施形態の詳細な説明に先立って、本開示に関する技術的な検討事項等について詳細に説明する。以下、説明の便宜上、悪意のあるソフトウェア・プログラムを総称して、マルウェアと記載する。また、サイバー空間におけるセキュリティに関連する攻撃を総称して、サイバー攻撃と記載する。

　コンピュータ等の情報通信機器等に対して不正な指令を与えるサイバー攻撃が発生した際、分析者は、そのサイバー攻撃に関する情報を収集し、分析する。分析者は、例えば、攻撃元及び攻撃対象が存在する国や地域を特定し、実行されているサイバー攻撃の規模や頻度を分析することで、サイバー攻撃に関する有用な情報が得られる可能性がある。ここで、攻撃元は、例えば、攻撃に関する通信の送信元（ｓｏｕｒｃｅ）を表し、攻撃対象は、攻撃に関する通信の送信先（ｄｅｓｔｉｎａｔｉｏｎ）を表す。

　その一方、あるサイバー攻撃に関する情報（例えばログ等）に、送信元及び送信先の両方が必ずしも含まれるとは限らず、いずれか一方の情報しか含まれない場合がある。更に、攻撃者は、サイバー攻撃の送信元を隠蔽することがある。即ち、サイバー攻撃に関する通信の送信元情報は、偽装される可能性がある。また、所謂踏み台マシン、ボットなどを介して攻撃が実行された場合、サイバー攻撃に関する通信の直接的な送信元の情報（例えば、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスの送信元フィールド）が、必ずしも信用できるとは限らない。

　上記のような状況から、本発明者らは、あるサイバー攻撃について送信元及び送信先の少なくともいずれかの情報が得られた場合に、当該サイバー攻撃に関する状況を適切に可視化可能な、本開示に係る技術を着想するに至った。

　以下において説明する本開示に係る技術の一態様である装置は、例えば、サイバー攻撃に関する情報が記録されたログを解析し、そのサイバー攻撃に関する通信の送信元と、そのサイバー攻撃に関する通信の送信先との少なくとも一方を特定するよう構成されてもよい。また、係る装置は、例えば、地図を表す画像と、サイバー攻撃に関する通信の送信元を示す送信元画像と、送信先を示す送信先画像と、を地図上に配置した画像情報を生成するよう構成されてもよい。係る装置は、また、ある送信元と、ある送信先との間の接続関係に応じて、その送信元と、その送信先との間のサイバー攻撃に関する通信の通信量及び通信頻度の少なくとも一方を可視化した攻撃状況画像を表示するような画像情報を生成してもよい。なお、送信元画像、送信先画像、及び、攻撃状況画像は、静止画に限定されず、アニメーションのような動きを含む画像であってもよい。

　上記のような構成を含む本開示に係る技術によれば、例えば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかり易く可視化することができる。その理由は、あるサイバー攻撃に関する情報から、送信元及び送信先のいずれか一方しか特定できない場合であっても、送信元又は送信先における攻撃の状況を示す画像を表示することができるからである。また、あるサイバー攻撃に関する送信元と送信先との接続関係を特定できた場合には、サイバー攻撃に関する通信の通信量及び通信頻度を可視化した画像をわかりやすく表示することができるからである。

　以下、本開示に係る技術について、具体的な実施形態を用いて具体的に説明する。以下の具体的な実施形態（及びその変形例）の構成は例示であり、本開示に係る技術の技術範囲は、それらには限定されない。以下の各実施形態を構成する構成要素の分割（例えば、機能的な単位による分割）は、その実施形態を実現可能な一例である。各実施形態を実現可能な構成は、以下の例示に限定されず、様々な構成が想定され得る。以下の各実施形態を構成する構成要素は、更に分割されてもよく、また、以下の各実施形態を構成する１以上の構成要素が統合されてもよい。

　以下に例示する各実施形態が１以上の物理的装置、仮想的装置、及びその組合せを用いて実現される場合、１以上の構成要素が１以上の装置により実現されてもよく、１つの構成要素が複数の装置を用いて実現されてもよい。なお、各実施形態を実現可能な装置のハードウェア構成の具体例については、後述する。

　＜第１実施形態＞
　以下、本開示に係る技術の第１実施形態について説明する。

　〔構成〕
　図１は、本実施形態における攻撃状況可視化装置１００の機能的な構成を例示するブロック図である。

　攻撃状況可視化装置１００には、例えば、各種のセキュリティに関連する情報（例えばログ）が供給される。攻撃状況可視化装置１００に提供される情報には、例えば、各種サーバ（例えば、ウェブサーバ、プロキシサーバ、ファイルサーバ）において記録されたログ、各種ネットワーク機器（例えば、ルータ、スイッチ、アクセスポイント等）において記録されたログ、及び、各種セキュリティ機器（例えば、ファイアウォール、侵入検知装置、侵入防止装置、セキュリティアプライアンス等）において記録されたログ等が含まれてもよい。

　攻撃状況可視化装置１００は、上記した各種装置及びシステムからログを取得してもよい。また、攻撃状況可視化装置１００は、上記したログが記録されたデータベースサーバやファイルサーバ等から、それらのログを取得してもよい。以下、攻撃状況可視化装置１００にログを提供可能な各種装置、システム等を総称して、単に「ログ提供元」と記載することがある。

　攻撃状況可視化装置１００に提供されるログは、特に限定されず、様々な種類のログが含まれてよい。係るログには、典型的には、サイバー攻撃に関連する可能性がある各種通信に関するログが含まれてよい。

　具体的には、ログには、あるサイバー攻撃に関する通信の送信元（発信源）を特定可能な情報が含まれてもよい。また、ログには、あるサイバー攻撃に関する通信の送信先を表す情報が含まれてもよい。一つのログに、送信元を表す情報と、送信先を表す情報との両方が含まれてもよく、いずれか一方のみが含まれてもよい。送信元又は送信先を表す情報は、典型的には、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスであってもよいが、これには限定されない。通信データの送信元又は送信先を表す情報として、例えば、ホスト名、ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレス、ＵＲＬ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ）等が用いられてもよい。また、ログには、上記送信元及び送信先以外の種々の情報（例えば、通信データの内容、通信の制御、等）が適宜記録されてよい。

　以下、本実施形態における攻撃状況可視化装置１００の機能的な構成要素について説明する。図１に例示するように、本実施形態における攻撃状況可視化装置１００は、ログ解析部１０１と、表示情報生成部１０２と、を備える。攻撃状況可視化装置１００を構成するこれらの機能的な構成要素は、適切な通信方法により相互に通信可能に接続されていてよい。なお、図１に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。

　ログ解析部１０１（ログ解析手段）は、ログ提供元から提供されたログを解析し、サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するよう構成される。

　ログ解析部１０１は、提供されたログの形式等に応じた適切な解析方法を適宜用いて、係るログを解析するよう構成される。そのような解析方法には、例えば、パターンマッチング、正規表現を用いた解析等が含まれてもよい。ログ解析部１０１は、ログのフォーマットが既知である場合には、そのフォーマットに応じて、ログに記録された情報を適宜抽出してもよい。

　ログ解析部１０１は、一態様として、ログを解析することで得られた、通信データの送信元及び送信先を表す情報を用いて、その送信元及び送信先が配置された地理的な位置（地域、国）等を特定するよう構成されてもよい。具体例として、送信元を特定可能な情報と、送信先を表す情報とが、ＩＰアドレスを含む場合を想定する。この場合、ログ解析部１０１は、例えば、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）、ＷＨＯＩＳサービス等を用いて、当該ＩＰアドレスが割り当てられた地域や国を特定することができる。

　ログ解析部１０１は、一態様として、ログを解析することで、あるサイバー攻撃に関する通信の送信元と、その送信元から攻撃されている送信先と、の対応関係を特定するよう構成されてもよい。ログ解析部１０１は、例えば、あるサイバー攻撃に関する通信の送信元について、その送信元から通信データが送信されている送信先を特定することで、その送信元と送信先とを紐づけてもよい。

　ログ解析部１０１は、一態様として、ログを解析することで、ある送信元から送信された通信に関する通信量と、通信が実行された頻度（通信頻度）とを、算出するよう構成されてもよい。ログ解析部１０１は、例えば、１以上のログのうち、ある特定の時間範囲（例えば単位時間）において、送信元から送信された通信に関する記録（レコード）を抽出し、抽出したレコードに記録された通信データのサイズから、通信量を算出することができる。ログ解析部１０１は、また、抽出されたレコードの数を計数することで、通信頻度を算出することができる。ログ解析部１０１は、同様に、ログを解析することで、ある送信先に対して送信された通信に関する通信量と、通信が実行された頻度（通信頻度）とを、算出するよう構成されてもよい。通信量及び通信頻度の算出方法は、周知技術を含め、適宜選択可能である。

　ログ解析部１０１は、あるサイバー攻撃に関する送信元と、その送信元から攻撃されている送信先との対応関係が特定されている場合には、それらの間の通信量及び通信頻度を算出してもよい。ログ解析部１０１は、上記と同様の方法で通信量及び通信頻度を算出可能である。

　表示情報生成部１０２（表示情報生成手段）は、地図を表す画像と、上記した送信元を示す送信元画像と、上記した送信先を示す送信先画像と、が地図上に配置された表示画像を表示可能な表示情報を生成するよう構成される。

　表示情報は、例えば、表示する表示画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。表示情報には、例えば、表示画像の生成処理を実行可能なスクリプトや実行可能バイナリ等が含まれてもよい。表示情報には、例えば、表示画像が表示される表示装置を制御する制御信号が含まれてもよい。

　表示画像の形式は特に限定されず、適宜選択可能である。表示画像は、例えば、ベクタ形式の画像データを用いて表されてもよく、ラスタ形式の画像データを用いて表されてもよい。

　表示画像は静止画像に限定されず、各種の動画像（アニメーションを含む）を含んでもよい。即ち、送信元を示す送信元画像と、送信先を示す送信先画像とは、静止画像を用いて表示されてもよく、アニメーションなどの動画像を用いて表示されてもよい。

　表示情報生成部１０２は、ある送信元と、ある送信先との間の対応関係に応じて、その送信元と、その送信先との間のサイバー攻撃の状況を可視化した攻撃状況画像を表示する表示情報を生成してもよい。攻撃状況画像は、例えば、サイバー攻撃に関する通信の通信量と、通信頻度との少なくとも一方を可視化可能な画像であってよい。攻撃状況画像は、また、ある送信元と、ある送信先との間の通信の方向を可視化可能な画像であってもよい。

　以下、表示情報生成部１０２が生成する表示情報に応じて表示される表示画像について、具体例を用いて説明する。図２は、表示情報生成部１０２により生成された表示情報に応じて表示された表示画像２０１を含むユーザインタフェース２００の具体例を示す説明図である。なお、図２は、説明のための具体例を示す図であり、本実施形態はこれに限定されるものではない。

　ユーザインタフェース２００は、例えば、表示画面を備える各種の情報処理装置（コンピュータ、携帯端末等）において提供されるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）の一部として表示されてもよい。表示画面の種類は特に限定されない。なお、表示画面を備える情報処理装置は、攻撃状況可視化装置１００と同じ装置であってもよく、異なる装置であってもよい。

　ユーザインタフェース２００は、例えば、各種情報処理装置において実行されるアプリケーションを構成する画面の一部として表示されてもよい。係るアプリケーションは、例えば、各種のセキュリティ対策ソフトウェアであってもよく、ブラウザ等の一般的なアプリケーションであってもよい。

　表示情報生成部１０２は、ユーザインタフェース２００に表示される表示画像そのものを表す表示情報（即ち画像データ）を生成してもよい。また、表示情報生成部１０２は、ユーザインタフェース２００に表示される表示画像を生成するために用いられる各種データを生成してもよい。係るデータには、例えば、表示画像に含まれる各画像に関する形状（サイズ（大きさ）含む、以下同様）、色彩、位置、頂点情報等が含まれてもよいが、これには限定されない。また、表示情報には、ユーザインタフェース２００を表示するアプリケーションに対して表示画像の生成処理を実行させるスクリプトや実行可能バイナリ等が含まれてもよい。この場合、係る表示情報を受けつけたアプリケーションが、表示情報に含まれるスクリプトや実行可能バイナリを解釈（又は実行）することで、ユーザインタフェース２００に表示画像が表示されてもよい。

　図２に例示するように、表示画像２０１には、地図（図２の２０１ｆ）が表示される。地図２０１ｆ上に、サイバー攻撃の送信元を表す送信元画像（図２の２０１ｂ、２０１ｄ）と、送信先画像（図２の２０１ａ、２０１ｃ）とが表示される。また、あるサイバー攻撃に関する送信元と、送信先との対応関係が特定されている場合、送信元画像（図２の２０１ｄ）と、送信先画像（２０１ｃ）との間に、攻撃状況画像（図２の２０１ｅ）が表示される。

　地図２０１ｆは、例えば、メルカトル図法で描かれた世界地図を、白地図として表示した画像であってよい。表示情報生成部１０２は、例えば、視認性を向上するため、世界地図の一部をデフォルメ（例えば、簡略化）した地図２０１ｆを作成してもよい。表示情報生成部１０２は、設定等により、地図２０１ｆの中心として表示される地域を変更可能であってもよい。表示情報生成部１０２は、国境線や地域の区割り線等が表示された地図２０１ｆを生成してもよい。なお、図２に示す具体例の場合、地図２０１ｆは平面地図であるが、本実施形態はこれに限定されない。例えば、地図２０１ｆとして、地球儀状の地図が表示されてもよい。

　図２に示す具体例の場合、送信元画像として、送信元画像２０１ｂと、送信元画像２０１ｄとが例示されている。

　送信元画像２０１ｂは、ある１以上のログから、サイバー攻撃の送信元のみが特定された場合に、その送信元を表す画像である。表示情報生成部１０２は、例えば、あるサイバー攻撃に関する通信の送信元のみが特定され、その通信の送信先が特定できない場合に、その送信元を表す画像として送信元画像２０１ｂが表示されるよう、表示情報を生成してもよい。

　送信元画像２０１ｄは、ある１以上のログから、サイバー攻撃の送信元と、送信先との対応関係が特定された場合に、その送信元を表す画像である。表示情報生成部１０２は、例えば、あるサイバー攻撃に関する通信の送信元と送信先との両方が特定できた場合に、その送信元を表す画像として送信元画像２０１ｄが表示されるよう、表示情報を生成してもよい。

　図２に示すように、送信元画像２０１ｂと、送信元画像２０１ｄとは、区別可能な表示形態により表示される。図２に示す具体例の場合、送信元画像２０１ｂと、送信元画像２０１ｄとは、その形状が異なる。これに限定されず、送信元画像２０１ｂと、送信元画像２０１ｄとは、形状以外の表示形態が異なる画像であってもよい。即ち、送信元画像２０１ｂと、送信元画像２０１ｄとは、例えば、形状、模様、色彩、サイズ、アニメーション方法等のうちの少なくともいずれかが異なる画像であってよい。

　表示情報生成部１０２は、送信元画像２０１ｂと、送信元画像２０１ｄとについて、上記したような異なる画像が表示されるように、表示情報を生成する。これにより、送信元と送信先とが特定されていない場合であっても、ユーザは、ある送信元がなんらかの攻撃を実行していることを容易に視認することが可能である。

　表示情報生成部１０２は、一態様として、送信元から送信された通信に関する通信量（送信元通信量）及び通信頻度（送信元通信頻度）の少なくとも一方に応じて、送信元画像２０１ｂ又は送信元画像２０１ｄの表示形態を変化させるような表示情報を生成してもよい。

　なお、図２に例示する送信元画像２０１ｂ及び送信元画像２０１ｄの形状は、説明のための具体例であり、本実施形態はこれには限定されない。

　図２に示す具体例の場合、送信先画像として、送信先画像２０１ａと、送信先画像２０１ｃと、が例示されている。

　送信先画像２０１ａは、ある１以上のログから、サイバー攻撃の送信先のみが特定された場合に、その送信先を表す画像である。表示情報生成部１０２は、例えば、あるサイバー攻撃に関する通信の送信先のみが特定され、その通信の送信元が特定できない場合に、その送信先を表す画像として送信先画像２０１ａが表示されるよう、表示情報を生成してよい。

　送信先画像２０１ｃは、ある１以上のログから、サイバー攻撃に関する通信の送信元と、送信先との対応関係が特定された場合に、その送信先を表す画像である。表示情報生成部１０２は、例えば、あるサイバー攻撃に関する通信の送信元と送信先との両方が特定できた場合に、その送信先を表す画像として送信先画像２０１ｃが表示されるよう、表示情報を生成してよい。

　図２に示すように、送信先画像２０１ａと、送信先画像２０１ｃとは、区別可能な表示形態により表示される。図２に示す具体例の場合、送信先画像２０１ａと、送信先画像２０１ｃとは、その形状が異なる。これに限定されず、送信先画像２０１ａと、送信先画像２０１ｃとは、形状以外の表示形態が異なる画像であってもよい。即ち、送信先画像２０１ａと、送信先画像２０１ｃとは、例えば、形状、模様、色彩、アニメーション方法のうちの少なくともいずれかが異なる画像であってよい。

　表示情報生成部１０２は、送信先画像２０１ａと、送信先画像２０１ｃとについて、上記したような異なる画像が表示されるように表示情報を生成する。これにより、送信元と送信先とが特定されていない場合であっても、ユーザは、ある送信先がなんらかの攻撃を受けていることを容易に視認することが可能である。

　表示情報生成部１０２は、一態様として、送信先における通信量及び通信頻度の少なくとも一方に応じて、送信先画像２０１ａ又は送信先画像２０１ｃの表示形態を変化させるような表示情報を生成してもよい。なお、図２に例示する送信先画像２０１ａ及び送信先画像２０１ｃの形状は、説明のための具体例であり、本実施形態はこれには限定されない。

　攻撃状況画像２０１ｅは、あるサイバー攻撃に関する通信の送信元と、送信先との対応関係が特定されている場合に、送信元と送信先との間の攻撃状況を可視化した画像である。具体的には、攻撃状況画像２０１ｅは、送信元と送信先との間の通信量及び通信頻度の少なくとも一方を可視化した画像である。攻撃状況画像２０１ｅは、送信元と、送信先との間の通信量及び通信頻度の少なくとも一方に応じて、異なる表示形態により表示される。表示情報生成部１０２は、例えば、送信元と、送信先との間の通信量及び通信頻度の少なくとも一方に応じて、攻撃状況画像２０１ｅの形状、模様、色彩、アニメーション方法等のうちの少なくともいずれかを変化させるような表示情報を生成する。

　攻撃状況画像２０１ｅは、ある送信元から送信先に向けた攻撃を表す描画要素（画像中に描画されるオブジェクト、以下「攻撃線」と記載する）を含む。図２の場合、攻撃線は、矢印状の形状を有するが、本実施形態はこれには限定されない。攻撃線は、例えば、送信元と、送信先とをリンクする適切な線（直線、曲線）を用いて表されてもよい。攻撃状況画像２０１ｅは、例えば、攻撃線の表示形態が動的に変化するアニメーション画像であってもよい。以下、説明の便宜上、図２に示す略矢印状の形状を有する攻撃線を具体例として説明する。

　一例として、攻撃状況画像２０１ｅは、一つの攻撃線（矢印状画像）の移動を間欠的に表示するアニメーション画像であってもよく、複数の攻撃線の移動を連続的に表示するアニメーション画像であってもよい。他の一例として、攻撃状況画像２０１ｅは、例えば、攻撃線自体は移動せずに、攻撃線の色彩のグラデーション又は模様が変化するアニメーション画像であってもよい。更に他の一例として、攻撃状況画像２０１ｅは、一つの攻撃線（例えば、一つの矢印）が、送信元画像２０１ｄと、送信先画像２０１ｃとの間を接続するように伸びるアニメーション画像であってもよい。攻撃状況画像２０１ｅは上記に限定されず、他のアニメーション方法を採用したアニメーション画像であってもよい。

　図２に示す具体例の場合、攻撃線として矢印形状の描画要素が用いられているが、本実施形態はこれには限定されない。即ち、攻撃線の表示形態は特に限定されず、攻撃の方向（即ち、送信元から送信先へ向かう方向）を特定可能な各種の表示形態を適宜採用することができる。一例として、攻撃線は、送信先側から送信元側にかけて、色彩（又は輝度）及び形状の少なくとも一方が変化する描画要素を用いて表されてもよい。そのような描画要素の具体例を図３に例示する。図３の（Ａ）部分に示す具体例の場合、攻撃線における送信先側（図３の２０１ｃ側）から、送信元側（図３の２０１ｄ側）にかけて形状が変化している。図３の（Ｂ）部分に示す具体例の場合、攻撃線における送信先側（図３の２０１ｃ側）から、送信元側（図３の２０１ｄ側）にかけて色彩が変化している。なお、図３の（Ｂ）部分に示す具体例の場合、攻撃線における送信先側（図３の２０１ｃ側）から、送信元側（図３の２０１ｄ側）にかけて輝度、模様が変化していてもよい。図３の（Ｃ）に例示する具体例の場合、攻撃線における送信先側（図３の２０１ｃ側）から、送信元側（図３の２０１ｄ側）にかけて色彩及び形状が変化している。

　図２における具体例の場合、攻撃状況画像２０１ｅは、送信元と、送信先との間の通信量に応じて、異なる表示形態により表示されてもよい。一具体例として、表示情報生成部１０２は、送信元と、送信先との間の通信量の増大に応じて、攻撃線の形状（図２の場合は矢印のサイズ）が大きくなる（拡大する）ように、表示情報を生成してもよい。表示情報生成部１０２は、同様に、送信元と、送信先との間の通信量の減少に応じて、攻撃線の形状（図２の場合は矢印のサイズ）が小さくなる（縮小する）ように、表示情報を生成してもよい。

　図２における具体例の場合、攻撃状況画像２０１ｅは、送信元と、送信先との間の通信頻度に応じて、異なる表示形態により表示されてもよい。一具体例として、表示情報生成部１０２は、送信元と、送信先との間の通信頻度に応じて、攻撃状況画像２０１ｅのアニメーション（図２の場合は攻撃線のアニメーション）の内容が変化するように表示情報を生成してもよい。表示情報生成部１０２は、例えば、送信元と、送信先との間の通信頻度の増大に応じて、攻撃状況画像２０１ｅのアニメーションの速度（即ち、攻撃線が動的に変化する速度）が速くなるような表示情報を生成してもよい。表示情報生成部１０２は、同様に、送信元と、送信先との間の通信頻度の減少に応じて、攻撃状況画像２０１ｅのアニメーションの速度が遅くなるような表示情報を生成してもよい。これにより、送信元と、送信先との間の通信頻度の変化に応じて、攻撃線（矢印状画像）の移動速度が変化するアニメーション画像が、攻撃状況画像２０１ｅとして表示される。

　他の例として、通信頻度の変化に応じて、攻撃線における色彩のグラデーション又は模様の変更速度が変化する画像が、攻撃状況画像２０１ｅとして表示されてもよい。他の例として、例えば、攻撃線が伸びる速度が変化するアニメーション画像が、攻撃状況画像２０１ｅとして表示されてもよい。

　上記のような構成により、ユーザは、送信元と送信先との間の攻撃状況を容易に視認することができる。ユーザは、例えば、ユーザインタフェース２００に表示された攻撃状況画像２０１ｅのサイズから、送信元と送信先との間の攻撃の規模（通信量）を視認することが可能である。ユーザは、また、例えば、ユーザインタフェース２００に表示された攻撃状況画像２０１ｅのアニメーション速度から、送信元と送信先との間の攻撃の頻度（通信頻度）を視認することが可能である。

　〔動作〕
　上記のように構成された攻撃状況可視化装置１００の動作について説明する。図４は、攻撃状況可視化装置１００の動作の一例を示すフローチャートである。

　攻撃状況可視化装置１００は、１以上のログを解析する（ステップＳ４０１）。具体的には、攻撃状況可視化装置１００におけるログ解析部１０１が、各種ログ提供元から提供されたログを解析する。

　攻撃状況可視化装置１００は、ログを解析した結果から、１以上のサイバー攻撃について、送信元と、送信先との少なくとも一方を特定する（ステップＳ４０２）。なお、攻撃状況可視化装置１００は、あるサイバー攻撃に関する、送信元と送信先との対応関係を特定可能であってもよい。また、攻撃状況可視化装置１００は、特定した送信元及び送信先が配置されている地理的な位置を特定可能であってもよい。

　攻撃状況可視化装置１００は、ステップＳ４０１及びＳ４０２における解析の結果に応じて、１以上のサイバー攻撃に関する攻撃状況を可視化する。具体的には、攻撃状況可視化装置１００は、送信元を示す送信元画像と、送信先を示す送信先画像とがそれぞれ地図上に配置された画像を表示可能な表示情報を生成する（ステップＳ４０３）。また、攻撃状況可視化装置１００は、あるサイバー攻撃について、送信元と、送信先との間の対応関係が特定されている場合には、その送信元と、送信先との間のサイバー攻撃に関する通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む表示情報を生成する（ステップＳ４０４）。送信元画像、送信先画像、及び、攻撃状況画像の具体的な表示方法は、上記説明した通りである。

　一例として、ある送信元について、複数のサイバー攻撃（具体的にはサイバー攻撃に関する通信）が、ログに記録されている場合を想定する。この場合、攻撃状況可視化装置１００は、例えば、各サイバー攻撃について、順次送信元画像を表示させる表示情報を生成してもよい。同様に、一例として、ある送信先について、複数のサイバー攻撃（具体的にはサイバー攻撃に関する通信）が、ログに記録されている場合を想定する。この場合、攻撃状況可視化装置１００は、例えば、各サイバー攻撃について、順次送信先画像を表示させる表示情報を生成してもよい。同様に、攻撃状況可視化装置１００は、送信元と送信先との対応関係が複数特定された場合（即ち、１以上の送信元と1以上の送信先との間で複数のサイバー攻撃が実行されている場合）、攻撃状況可視化装置１００は、例えば、各サイバー攻撃について、攻撃状況画像を順次切り替えて表示させる表示情報を生成してもよい。

　上記のように構成された本実施形態における攻撃状況可視化装置１００によれば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化することができる。その理由は、以下の通りである。

　攻撃状況可視化装置１００は、各種ログ提供元から提供されたログを解析することで、あるサイバー攻撃について、送信元、送信先の少なくとも一方を地図上に表示する画像を生成可能である。ログ提供元から提供されるログには、必ずしも、あるサイバー攻撃に関する送信元と送信先との両方を特定可能な情報が記録されているとは限らない。このような状況であっても、例えば、攻撃状況可視化装置１００のユーザは、送信元あるいは送信先において、なんらかのサイバー攻撃に関連し得る事象（インシデント）が発生していることを、容易に視認することが可能である。

　攻撃状況可視化装置１００は、あるサイバー攻撃に関する送信元と送信先との対応関係が特定されている場合、それらの間の攻撃状況（特には、通信量及び通信頻度）を可視化した画像（攻撃状況画像）を生成可能である。これにより、例えば、攻撃状況可視化装置１００のユーザは、送信元と送信先との間における、あるサイバー攻撃に関する状況を容易に視認することができる。

　上記のように構成された攻撃状況可視化装置１００を用いることで、ユーザは、例えば、各送信元、送信先におけるサイバー攻撃の頻度や、各送信元と送信先と間の通信量及び通信頻度などから、サイバー攻撃の深刻度を判断することが可能となる。

　＜第２実施形態＞
　以下、上記第１実施形態を基本とした、本開示に係る技術の第２実施形態について説明する。

　〔構成〕
　図５は、本実施形態における攻撃状況可視化装置５００の機能的な構成を例示するブロック図である。図５に例示するように、攻撃状況可視化装置５００は、ログ提供元５１０、情報源５２０、及び、表示装置５３０と通信可能に接続される。

　ログ提供元５１０は、各種サーバ（例えば、ウェブサーバ、プロキシサーバ、ファイルサーバ）であってもよく、各種ネットワーク機器（例えば、ルータ、スイッチ、アクセスポイント等）であってもよく、各種セキュリティ機器（例えば、ファイアウォール、侵入検知装置、侵入防止装置等のセキュリティアプライアンス）であってもよい。ログ提供元５１０は、例えば、上記した各種システムやサーバにおいて記録されたログを蓄積する、データベースやファイルサーバであってもよい。攻撃状況可視化装置５００は、ログ提供元５１０から提供されたログを受け付ける。

　情報源５２０は、例えば、あるリクエスト（クエリ）に応じて、レスポンスとして各種情報を提供可能な、各種の情報提供サービスであってよい。例えば、攻撃状況可視化装置５００は、情報源５２０に対して、あるセキュリティ情報（例えば、ＩＰアドレス等）を含む検索リクエストを送信する。情報源５２０は、係るリクエストに応じて、そのセキュリティ情報に関連する他のセキュリティ情報（例えば、あるＩＰアドレスに関する他のＩＰアドレスや、あるＩＰアドレスに関連する通信を実行するマルウェアの情報等）を、攻撃状況可視化装置５００に提供する。

　本実施形態における情報源５２０は特に限定されない。情報源５２０は、例えば、セキュリティ及び通信ネットワークに関する情報を提供可能な、各種の情報提供サービス等であってもよい。一例として、情報源５２０には、ＤＮＳ、ＷＨＯＩＳ等のＩＰネットワークに関する情報を提供する各種の外部サービスが含まれてもよい。他の一例として、情報源５２０には、例えば、セキュリティベンダやセキュリティ関連の組織により運営される、セキュリティ関連情報（各種脆弱性、サイバー攻撃、マルウェア等）を提供するサービスが含まれてもよい。更に他の一例として、情報源５２０には、例えば、セキュリティベンダ等により運営される、オンラインのセキュリティ分析サービス（例えば、マルウェア検査、悪質なサイト（ＵＲＬ）の検査等）が含まれてもよい。更に他の一例として、情報源５２０には、セキュリティに関連する情報を発信する、現在では一般的なソーシャルネットワーキングサービス等が含まれてもよい。更に他の一例として、情報源５２０には、セキュリティに関するコンテンツを提供するＷｅｂ（Ｗｏｒｌｄ　Ｗｉｄｅ　Ｗｅｂ）サイト、セキュリティに関する情報が蓄積されたデータベース、等が含まれてもよい。

　表示装置５３０は、例えば、表示画面を備える各種の情報処理装置（コンピュータ、携帯端末等）である。表示装置５３０は、例えば、攻撃状況可視化装置５００により生成された表示情報に応じて、あるサイバー攻撃に関する状況を表示する。なお、表示装置５３０は、攻撃状況可視化装置５００の一部として含まれてもよい。

　以下、攻撃状況可視化装置５００を構成する機能的な構成要素について説明する。

　図５に例示するように、攻撃状況可視化装置５００は、ログ解析部５０１と、表示情報生成部５０２と、ログ収集部５０３と、外部情報照会部５０４と、を備える。攻撃状況可視化装置５００を構成するこれらの機能的な構成要素は、適切な通信方法により相互に通信可能に接続されていてよい。なお、図５に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。

　ログ収集部５０３（ログ収集手段）は、ログ提供元５１０において提供されるログを収集する。ログの収集方法は特に限定されず、ログ提供元５１０の構成等に応じて、適宜選択可能である。ログ収集部５０３は、例えば、ログ提供元５１０においてログが記録されたファイルを収集してもよく、特定のプロトコル（例えばｓｙｓｌｏｇ等）を用いてログ提供元５１０からログを収集してもよい。

　ログ収集部５０３が、ログ提供元５１０からログを収集するタイミングは、特に限定されない。ログ収集部５０３は、定期的にログを収集するよう構成されてもよく、ユーザ等の指示に応じてログを収集してもよく、特定のタイミングでログを収集してもよい。

　本実施形態において収集されるログは、例えば、第１実施形態同様としてよい。以下、説明の便宜上、サイバー攻撃に関連し得る通信に関する情報がログに記録されることを想定する。また、以下、説明のための具体例として、ある通信に関する送信元を表す情報（送信元特定情報）、及び、送信先を表す情報（送信先特定情報）として、それらのＩＰアドレスが用いられることを想定する。即ち、ログには、ある通信に関する送信元のＩＰアドレス（又はＩＰアドレスを特定可能な他の情報）が記録されてもよい。また、ログには、ある通信に関する送信先のＩＰアドレス（又はＩＰアドレスを特定可能な他の情報）が記録されてもよい。

　ＩＰアドレスを特定可能な他の情報として、例えばＦＱＤＮ（Ｆｕｌｌｙ　Ｑｕａｌｉｆｉｅｄ　Ｄｏｍａｉｎ　Ｎａｍｅ）、ＵＲＬ等が含まれてもよい。この場合、攻撃状況可視化装置５００は、例えば、ＤＮＳ等を用いて、これらの情報からＩＰアドレスを特定することができる。なお、ログには、上記以外の情報（例えば、通信データの内容、通信の制御、等）が適宜記録されてよい。

　図８は、ログ収集部５０３により収集されるログの一例を示す説明図である。なお、図８は、説明のための具体例であり、本実施形態におけるログはこれに限定されるものではない。図８に示す具体例の場合、ログ８００には１以上のレコード８０１が含まれる。各レコードには、レコードが記録された日時、送信元ＩＰアドレス、送信先ＩＰアドレス、送信先ポート番号、及び、通信量（通信データのサイズ）等が記録される。各レコードには、そのレコードを特定可能なシーケンス番号が付与されてもよい。送信元ＩＰアドレスは、レコードに記録された通信に関する送信元のＩＰアドレスを表す。送信先ＩＰアドレスは、レコードに記録された通信に関する送信先のＩＰアドレスを表す。レコードには、送信元IPアドレスのみが記録されてもよく、送信先IPアドレスのみが記録されてもよく、その両方が記録されてもよい。

　ログ解析部５０１は、ログ収集部５０３により収集されたログを解析するよう構成される。ログ解析部５０１は、第１実施形態におけるログ解析部１０１に相当する。ログ解析部５０１の機能は、第１実施形態におけるログ解析部１０１から拡張されている。

　一例として、ログ解析部５０１は、図６に例示するように、ログ判別部５０１ａと、対応関係推測部５０１ｂと、領域特定部５０１ｃと、位置特定部５０１ｄと、情報格納部５０１ｊと、通信解析部５０１ｋと、を含むよう構成される。なお、図６に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。

　ログ判別部５０１ａは、あるログに含まれるレコードに、送信元ＩＰアドレスが記録されているか否か、及び、送信先ＩＰアドレスが記録されているか否か、を判定するよう構成される。例えば、レコードのフォーマットが既知である場合、ログ判別部５０１ａは、そのフォーマットに応じて、送信元ＩＰアドレス及び送信先ＩＰアドレスが記録された部分（フィールド）を特定してもよい。上記に限定されず、ログ判別部５０１ａは、例えば、上記第１実施形態におけるログ解析部１０１と同様、パターンマッチングや、正規表現を用いた解析方法等を用いてレコードを解析することで、送信元ＩＰアドレス（又は送信先ＩＰアドレス）が記録された部分を特定してもよい。

　ログ判別部５０１ａは、あるレコードに送信元ＩＰアドレス及び送信先ＩＰアドレスの双方が記録されている場合、係るレコードを攻撃ログテーブル５０１ｇに格納する。攻撃ログテーブル５０１ｇは、例えば、データベースやファイル等を用いて実現されてよい。なお、攻撃ログテーブル５０１ｇは、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。

　ログ判別部５０１ａは、あるレコードに送信元ＩＰアドレスのみが含まれる場合、そのレコードを送信元ログテーブル５０１ｅに格納する。送信元ログテーブル５０１ｅは、攻撃ログテーブル５０１ｇと同様、データベースやファイル等を用いて実現されてよい。送信元ログテーブル５０１ｅも、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。

　ログ判別部５０１ａは、あるレコードに送信先ＩＰアドレスのみが含まれる場合、そのレコードを送信先ログテーブル５０１ｆに格納する。送信先ログテーブル５０１ｆは、攻撃ログテーブル５０１ｇと同様、データベースやファイル等を用いて実現されてよい。送信先ログテーブル５０１ｆも、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。

　対応関係推測部５０１ｂは、ある期間内に送信元ログテーブル５０１ｅに格納されたレコードと、送信先ログテーブル５０１ｆに格納されたレコードとの間の関連性を、外部情報照会部５０４（後述）を用いて推測する。より具体的には、対応関係推測部５０１ｂは、ある期間内に送信元ログテーブル５０１ｅに格納されたレコードに含まれる送信元ＩＰアドレスと、送信先ログテーブル５０１ｆに格納されたレコードに含まれる送信先ＩＰアドレスとの対応関係を、外部情報照会部５０４の機能を用いて推測する。係る処理により、対応関係推測部５０１ｂは、例えば、あるサイバー攻撃に関する通信の送信元と、送信先とを紐づける（関連付ける）ことができる。送信元ＩＰアドレスと、送信先ＩＰアドレスの対応関係を推測する具体的な処理については後述する。

　送信元ログテーブル５０１ｅに格納されたレコードの送信元ＩＰアドレスと、送信先ログテーブル５０１ｆに格納されたレコードの送信先ＩＰアドレスとが紐づけられた場合、対応関係推測部５０１ｂは、それらのレコードを統合し、攻撃ログテーブル５０１ｇに格納する。新たに攻撃ログテーブル５０１ｇに格納されるレコードには、対応関係が特定された送信元ＩＰアドレスと、送信先ＩＰアドレスと、が少なくとも含まれる。係るレコードには、対応関係が特定された送信元ＩＰアドレスが記録されたレコードに含まれる他の情報が更に含まれてもよい。係るレコードには、また、対応関係が特定された送信先ＩＰアドレスが記録されたレコードに含まれる他の情報が更に含まれてもよい。

　領域特定部５０１ｃは、送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆ、及び、攻撃ログテーブル５０１ｇに記録された各レコードを参照し、ある送信元ＩＰアドレスを有する送信元が配置された地理的な領域を特定する。領域特定部５０１ｃは、同様に、ある送信先ＩＰアドレスを有する送信先が配置された地理的な位置を特定する。送信元又は送信先が配置された地理的な位置は、ある特定の地点を表してもよく、ある特定の領域（例えば、国、都市、地域等）で表してもよい。

　一例として、領域特定部５０１ｃは、送信元が配置されている国及び都市の名称、並びに、送信先が配置されている国名及び都市の名称を特定してもよい。この際、領域特定部５０１ｃは、例えば、ＷＨＯＩＳ等のサービスを利用して、あるＩＰアドレスを有するホストが配置された地理的な位置を特定してもよい。領域特定部５０１ｃは、また、ＩＰアドレスと、地理的な位置を表す情報（例えば、国名、都市名等）との対応関係を格納した領域テーブル５０１ｈを参照することで、あるＩＰアドレスを有するホストが配置された地理的な位置を特定してもよい。

　領域テーブル５０１ｈは、例えば、あるＩＰアドレスと、そのＩＰアドレスを有するホストが配置された所在地と、を関連付けて保持する。領域テーブル５０１ｈには、例えば、ＩＰアドレスとそのＩＰアドレスを有するホストが配置された所在地とが予め登録されていてもよい。領域テーブル５０１ｈは、テーブル構造に限定されず、他の適切なデータ構造を用いて上記対応関係を保持するよう構成されてもよい。なお、領域テーブル５０１ｈは、例えば、攻撃状況可視化装置５００の外部において提供されてもよい。

　位置特定部５０１ｄは、領域特定部５０１ｃにおいて特定された地理的な位置を表す情報を、緯度及び経度を表す情報に変換するよう構成される。具体的には、位置特定部５０１ｄは、例えば、ある送信元が配置された国及び都市名から、その送信元が配置された場所の緯度及び経度を得る。位置特定部５０１ｄは、同様に、ある送信先が配置された国及び都市名から、その送信元が配置された場所の緯度及び経度を得る。

　具体的には、位置特定部５０１ｄは、地理的な位置と、その緯度及び経度とを対応関係が格納された位置変換テーブル５０１ｉを参照することで、送信元又は送信先が配置された緯度及び経度を特定することができる。位置変換テーブル５０１ｉには、例えば、ある地理的な位置を表す情報（例えば、国及び都市）と、その位置を表す緯度及び経度との対応関係が、予め登録されていてもよい。位置変換テーブル５０１ｉは、テーブル構造に限定されず、他の適切なデータ構造を用いて上記対応関係を保持するよう構成されてもよい。なお、位置変換テーブル５０１ｉは、例えば、攻撃状況可視化装置５００の外部において提供されてもよい。

　位置特定部５０１ｄは、ある送信元及び送信先について特定した緯度及び経度を、後述する表示情報生成部５０２に適宜提供するよう構成されてもよい。一例として、位置特定部５０１ｄは、送信元ＩＰアドレス又は送信先ＩＰアドレスと、特定された緯度及び経度とを関連付けたテーブルを、表示情報生成部５０２に提供してもよい。また、位置特定部５０１ｄは、送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆ、及び、攻撃ログテーブル５０１ｇに含まれるレコードについて、緯度及び経度を表す情報を追記してもよい。

　情報格納部５０１ｊは、各種データを格納（ストア）可能な格納領域である。情報格納部５０１ｊは、例えば、１以上のデータベースや、ファイル等を用いて実現されてよい。情報格納部５０１ｊは、例えば、上記説明した、送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆ、攻撃ログテーブル５０１ｇ、領域テーブル５０１ｈ、位置変換テーブル５０１ｉ、を格納してもよい。ログ解析部５０１は、情報格納部５０１ｊに格納された各種情報を、表示情報生成部５０２に提供してもよい。この場合、情報格納部５０１ｊは、表示情報生成部５０２から参照可能に構成されてよい。なお、情報格納部５０１ｊは、ログ解析部５０１とは別の構成要素として攻撃状況可視化装置５００に含まれてもよい。

　通信解析部５０１ｋは、上記第１実施形態におけるログ解析部１０１と同様に、ログ（より具体的には、各ログテーブルに格納されたログのレコード）を解析することで、ある通信に関する通信量及び通信頻度を算出するよう構成される。通信解析部５０１ｋは、例えば、各ログテーブルに記録された送信元ＩＰアドレスごとに、その送信元ＩＰアドレスから送信された通信に関する通信量及び通信頻度を算出してもよい。通信解析部５０１ｋは、例えば、各ログテーブルに記録された送信先ＩＰアドレスごとに、その送信先ＩＰアドレスに対して送信された通信に関する通信量及び通信頻度を算出してもよい。通信解析部５０１ｋは、攻撃ログテーブルに格納されているレコードに記録された送信元ＩＰアドレスと、送信先ＩＰアドレスとの間の通信に関する通信量及び通信頻度を算出してもよい。ある通信に関する通信量及び通信頻度を算出する具体的な方法は、第１実施形態と同様としてもよい。

　通信解析部５０１ｋは、算出した通信量及び通信頻度を、後述する表示情報生成部５０２に提供するよう構成されてもよい。一例として、通信解析部５０１ｋは、送信元ＩＰアドレス又は送信先ＩＰアドレスと、算出された通信量及び通信頻度とを関連付けたテーブルを、表示情報生成部５０２に提供してもよい。また、通信解析部５０１ｋは、送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆ、及び、攻撃ログテーブル５０１ｇの何れかに含まれるレコードについて、通信量及び通信頻度を表す情報を追記してもよい。

　外部情報照会部５０４（外部情報照会手段）は、外部の情報源５２０を利用して、ある通信（特には、サイバー攻撃に関する通信）に関する送信元ＩＰアドレスと、送信先ＩＰアドレスとの対応関係を特定する処理を実行するよう構成される。以下、外部情報照会部５０４が提供する機能について説明する。

　外部情報照会部５０４は、送信元ログテーブル５０１ｅに格納されたレコードに記録された送信元ＩＰアドレス（「送信元指定ＩＰアドレス」と記載することがある）と、送信先ログテーブル５０１ｆに格納されたレコードに記録された送信先ＩＰアドレス（「送信先指定ＩＰアドレス」と記載することがある）と、をそれぞれ１以上受け付ける。送信元指定ＩＰアドレスは、送信元ＩＰアドレスのみを含むレコードに記録された送信元のＩＰアドレスである。また、送信先指定ＩＰアドレスは、送信先ＩＰアドレスのみを含むレコードに記録された送信先のＩＰアドレスである。

　本実施形態の場合、外部情報照会部５０４は、例えば、対応関係推測部５０１ｂから、送信元指定ＩＰアドレス及び送信先指定ＩＰアドレスを提供されてもよい。なお、外部情報照会部５０４は、送信元ログテーブル５０１ｅに格納されたレコードと、送信先ログテーブル５０１ｆに格納されたレコードとを直接参照して、送信元指定ＩＰアドレスと、送信先指定ＩＰアドレスとを収集してもよい。

　外部情報照会部５０４は、送信元指定ＩＰアドレスが提供された場合、その送信元指定ＩＰアドレスを検索用情報（検索キー）として、情報源５２０に対して問合せ（クエリ）を発行する。複数の情報源５２０を利用可能である場合、外部情報照会部５０４は、各情報源５２０に対して順次クエリを送信してもよく、複数の情報源５２０に対して並行してクエリを送信してもよい。外部情報照会部５０４は、例えば、設定等により与えられたルールに基づいて、１以上の情報源５２０を選択してもよい。情報源５２０は、例えば、係る問い合わせに関する検索を実行することで得られた情報を、レスポンスとして外部情報照会部５０４に提供する。

　情報源５２０から得られるレスポンスには、各種の情報が含まれる。一例として、レスポンスには、送信元指定ＩＰアドレスに関連する他のＩＰアドレス、ＵＲＬ等が含まれてもよい。レスポンスには、また、送信元指定ＩＰアドレスに関連するドメイン名及びホスト名等が含まれてもよい。レスポンスには、また、送信元指定ＩＰアドレスに関連する通信を実行するマルウェアを特定可能な情報が含まれてもよい。レスポンスには、また、送信元指定ＩＰアドレスに関連する脆弱性を表す情報が含まれてもよい。

　外部情報照会部５０４は、情報源５２０から提供されたレスポンスを解析する。具体的には、外部情報照会部５０４は、レスポンスにテキストデータが含まれる場合、係るテキストデータに対して各種の文字列解析処理、パターンマッチング処理等を実行することで、レスポンスを解析してよい。また、レスポンスにバイナリデータが含まれる場合、外部情報照会部５０４は、各種バイナリ解析（フォーマット解析）や、バイナリに対するパターンマッチング等を実行することで、レスポンスを解析してよい。テキストデータ及びバイナリデータを解析する具体的な方法は、周知技術を含め、適宜選択可能である。

　外部情報照会部５０４は、レスポンスに含まれる各種データを、中間情報として記憶する。係る中間情報は、例えば、レスポンスに含まれるＩＰアドレス、マルウェアの検体名、ホスト名、ドメイン名、ＵＲＬ等を含んでもよい。

　外部情報照会部５０４は、中間情報として記憶された情報に、対応関係推測部５０１ｂから提供された送信先指定ＩＰアドレスが含まれるか否かを確認する。外部情報照会部５０４は、例えば、対応関係推測部５０１ｂから提供された送信先指定ＩＰアドレスと一致するＩＰアドレスが、中間情報として記憶されているか否かを判定してもよい。

　外部情報照会部５０４は、送信先指定ＩＰアドレスと一致するＩＰアドレスが中間情報に含まれていない場合、中間情報を検索用情報（検索キー）として用いて、情報源５２０に対して再度問合せ（クエリ）を送信する。外部情報照会部５０４は、対応関係推測部５０１ｂから提供された送信先指定ＩＰアドレスと一致するＩＰアドレスが得られるまで、上記処理を繰り返し実行してもよい。なお、外部情報照会部５０４は、提供された送信先指定ＩＰアドレスと一致するＩＰアドレスが得られない場合、ある特定の回数で、上記処理を打ち切ってもよい。係る特定の回数は、例えば、設定等により予め定められていてもよい。この場合、外部情報照会部５０４は、送信元指定ＩＰアドレスと、送信先指定ＩＰアドレスとの間の対応関係が特定されなかったことを、対応関係推測部５０１ｂに通知してもよい。

　外部情報照会部５０４は、上記処理により、送信先指定ＩＰアドレスと一致するＩＰアドレスが中間情報として得られた場合、その送信先指定ＩＰアドレスと、クエリとして用いられた送信元指定ＩＰアドレスとを紐づけた（関連付けた）情報を、対応関係推測部５０１ｂに提供する。外部情報照会部５０４は、例えば、対応関係推測部５０１ｂから提供された全ての送信元指定ＩＰアドレスについて上記処理を実行し、その結果を対応関係推測部５０１ｂに提供してもよい。

　外部情報照会部５０４は、また、送信先指定ＩＰアドレスを検索用情報（検索キー）として、情報源５２０に対して問合せ（クエリ）を発行してもよい。この場合、外部情報照会部５０４は、送信元指定ＩＰアドレスの代わりに、送信先指定ＩＰアドレスを検索用情報（検索キー）として使用することで、上記と同様の処理を実行してよい。外部情報照会部５０４は、情報源５２０から取得したレスポンスを解析することで得られた中間情報に、送信元指定ＩＰアドレスと一致する情報が含まれるか否かを確認することができる。

　外部情報照会部５０４は、上記処理により、送信元指定ＩＰアドレスと一致するＩＰアドレスが中間情報として得られなかった場合、送信先指定ＩＰアドレスに対応する送信元指定ＩＰアドレスが特定されなかったことを、対応関係推測部５０１ｂに通知してもよい。外部情報照会部５０４は、上記処理により送信元指定ＩＰアドレスと一致するＩＰアドレスが中間情報として得られた場合、その送信元指定ＩＰアドレスと、クエリとして用いられた送信先指定ＩＰアドレスとを紐づけた（関連付けた）情報を、対応関係推測部５０１ｂに提供してもよい。外部情報照会部５０４は、例えば、対応関係推測部５０１ｂから提供された全ての送信先指定ＩＰアドレスについて上記処理を実行し、その結果を対応関係推測部５０１ｂに提供してもよい。

　上記のような処理により、外部情報照会部５０４は、例えば、送信元ＩＰアドレスしか含まれないレコードから出発して、他のレコードに記録された、その送信元ＩＰアドレスに関連する送信先ＩＰアドレスを特定することができる。外部情報照会部５０４は、同様に、送信先ＩＰアドレスしか含まれないレコードから出発して、他のレコードに記録された、その送信先ＩＰアドレスに関連する送信元ＩＰアドレスを特定することができる。これにより、外部情報照会部５０４は、送信元ＩＰアドレスと、送信先ＩＰアドレスとの一方しか含まれないログに基づいて、送信元ＩＰアドレスと、送信先ＩＰアドレスとの対応関係を特定することが可能である。

　なお、外部情報照会部５０４は、対応関係推測部５０１ｂから提供された、ある送信元ＩＰアドレスと、ある送信先ＩＰアドレスとの間の対応関係が特定できた場合、その対応関係の信頼度を、対応関係推測部５０１ｂに提供してもよい。

　外部情報照会部５０４は、例えば、ある送信元ＩＰアドレスと、ある送信先ＩＰアドレスとの間に一方向の対応関係が成立する場合、それらに対して一方向の対応関係を表す信頼度（第１信頼度）を設定してもよい。一方向の対応関係は、送信元ＩＰアドレスから送信先ＩＰアドレスを特定できるものの、その送信先ＩＰアドレスから元の送信元ＩＰアドレスを特定できない場合（またはその逆の場合）の、送信元ＩＰアドレスと送信先ＩＰアドレスとの対応関係を表す。

　外部情報照会部５０４は、例えば、ある送信元ＩＰアドレスと、ある送信先ＩＰアドレスとの間に双方向の対応関係が成立する場合、それらに対して双方向の対応関係を表す信頼度（第２信頼度）を設定してもよい。双方向の対応関係は、送信元ＩＰアドレスから送信先ＩＰアドレスを特定でき、かつ、その送信先ＩＰアドレスから元の送信元ＩＰアドレスを特定できる場合の、送信元ＩＰアドレスと送信先ＩＰアドレスとの対応関係を表す。この場合、双方向の対応関係を示す信頼度には、一方向の対応関係を示す信頼度よりも大きな値が設定されてよい。

　以下、図９に例示する具体例を用いて、送信元ＩＰアドレスと送信先ＩＰアドレスと対応関係を特定する機能について説明する。図９に例示する具体例の場合、送信元ＩＰアドレス（図９の９０１）が、外部情報照会部５０４に提供される。

　外部情報照会部５０４は、情報源５２０（ＤＮＳ及びＷＨＯＩＳ）から、送信元ＩＰアドレス９０１に関する情報を取得する。これにより、中間情報として、例えば、ドメイン名（図９の９０２）及び、国情報（図９の９０３）が得られる。これらの中間情報には、送信先のＩＰアドレスが含まれていない。このため、外部情報照会部５０４は、更に、情報源５２０（例えば、セキュリティ情報提供サイト）からドメイン名９０２に関する情報を取得する。これにより、中間情報として、マルウェアに関する情報（図９の９０４）が得られる。この中間情報には、送信先のＩＰアドレスが含まれていない。これより、外部情報照会部５０４は、更に、情報源５２０（例えば、セキュリティ情報提供サイト）から、マルウェア９０４に関する情報を取得する。これにより、中間情報として、例えば、ＩＰアドレス（図９の９０５）が得られる。情報源５２０は、得られたＩＰアドレス９０５が、対応関係推測部５０１ｂにより提供された１以上の送信先ＩＰアドレスに含まれるか判定し、その結果を対応関係推測部５０１ｂに提供する。外部情報照会部５０４は、送信元ＩＰアドレス９０１の代わりに、送信先ＩＰアドレスが提供された場合も、概ね同様の処理を実行することが可能である。これにより、外部情報照会部５０４は、ある送信先ＩＰアドレスに基づいて得られたＩＰアドレスが、対応関係推測部５０１ｂにより提供された１以上の送信元ＩＰアドレスに含まれるか判定し、その結果を対応関係推測部５０１ｂに提供する。

　表示情報生成部５０２は、送信元を示す送信元画像と、送信先を示す送信先画像と、送信元と送信先との間のサイバー攻撃の状況を示す画像とのいずれか一つ以上が地図上に配置された表示画像を表示させる表示情報を生成する。表示情報生成部５０２は、第１実施形態における表示情報生成部１０２に相当する。表示情報生成部５０２の機能は、第１実施形態における表示情報生成部１０２から拡張されている。

　一例として、表示情報生成部５０２は、図７に例示するように、位置変換部５０２ａ、配置画像生成部５０２ｂ、攻撃線生成部５０２ｃ、背景画像生成部５０２ｄ、合成部５０２ｅとを含むよう構成される。表示情報生成部５０２は、変換テーブル格納部５０２ｆを含むよう構成されてもよい。表示情報生成部５０２に含まれるこれらの構成要素の間は、適宜通信可能に接続されていてよい。なお、図７に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。

　表示情報生成部５０２は、各ログテーブル（送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆ、及び攻撃ログテーブル５０１ｇ）に格納されたレコードのうち、表示情報を生成するレコードを適宜特定してもよい。表示情報生成部５０２は、表示情報を生成するレコードとして、各ログテーブルに記録された全てのレコードを選択してもよく、一部のレコードを選択してもよい。一例として、特定の時間範囲内に記録されたレコードを、表示情報を生成するログとして選択してもよい。

　位置変換部５０２ａは、各ログテーブルに記録された送信元及び送信先について、表示画像（特には、表示画像に含まれる地図上）に表示する位置を算出する。具体的には、位置変換部５０２ａは、ログ解析部５０１（特には位置特定部５０１ｄ）により特定された、送信元及び送信先の緯度及び経度を、表示画像上の座標に変換する。緯度及び経度を、平面地図（例えば、メルカトル図法による地図）上の座標に変換する方法は、周知技術を用いて良い。

　配置画像生成部５０２ｂは、表示画像に表示される送信元を示す送信元画像と、表示画像に表示される送信先を示す送信先画像と、を表す配置画像情報を生成する。係る配置画像情報は、表示情報の一部を構成する情報であってよい。即ち、配置画像情報は、送信元画像及び送信先画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。以下、説明の便宜上、配置画像生成部５０２ｂが、送信元画像を表示可能な画像配置情報を生成することを、単に、「配置画像生成部５０２ｂが送信元画像を生成する」と記載することがある。また、配置画像生成部５０２ｂが送信先画像を表示可能な画像配置情報を生成することを、単に、「配置画像生成部５０２ｂが送信先画像を生成する」と記載することがある。

　送信元画像は、上記第１実施形態同様、サイバー攻撃の送信元を示す画像である。より具体的には、送信元画像は、送信元ログテーブル５０１ｅ及び攻撃ログテーブル５０１ｇに含まれるレコードに記録された送信元ＩＰアドレスにより特定される送信元を示す画像である。送信先画像は、上記第１実施形態同様、サイバー攻撃の送信先を示す画像である。より具体的には、送信先画像は、送信先ログテーブル５０１ｆ及び攻撃ログテーブル５０１ｇに含まれるレコードに記録された送信先ＩＰアドレスにより特定される送信先を示す画像である。

　配置画像生成部５０２ｂは、ある通信に関する送信元のみが特定されている場合、その送信元を示す第１送信元画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部５０２ｂは、送信元ログテーブル５０１ｅにのみ含まれるレコードに記録された送信元ＩＰアドレスにより特定される送信元について、第１送信元画像を表示可能な配置画像情報を生成する。

　配置画像生成部５０２ｂは、ある通信に関する送信元及び送信先の両方が特定されている場合、その送信元を示す第２送信元画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部５０２ｂは、攻撃ログテーブル５０１ｇに含まれるレコードに記録された送信元ＩＰアドレスにより特定される送信元について、第２送信元画像を表示可能な配置画像情報を生成する。第１送信元画像と、第２送信元画像とは、異なる画像であってよい。

　配置画像生成部５０２ｂは、ある通信に関する送信先のみが特定されている場合、その送信先を示す第１送信先画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部５０２ｂは、送信先ログテーブル５０１ｆにのみ含まれるレコードに記録された送信先ＩＰアドレスにより特定される送信先について、第１送信先画像を表示可能な配置画像情報を生成する。

　配置画像生成部５０２ｂは、ある通信に関する送信元及び送信先の両方が特定されている場合、その送信先を示す第２送信先画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部５０２ｂは、攻撃ログテーブル５０１ｇに含まれるレコードに記録された送信先ＩＰアドレスにより特定される送信先について、第２送信先画像を表示可能な配置画像情報を生成する。第１送信先画像と、第２送信先画像とは、異なる画像であってよい。

　第１送信先画像、第２送信先画像、第１送信元画像、及び第２送信元画像は、ユーザにとって識別可能な形態により表示可能であればよく、具体的な表示形態は特に限定されない。即ち、配置画像生成部５０２ｂは、第１送信先画像、第２送信先画像、第１送信元画像、及び第２送信元画像として、形状、色彩、模様、アニメーション方法等の表示形態のうちの少なくともいずれかが異なる画像を適宜生成してよい。

　上記をまとめると、配置画像生成部５０２ｂは、あるレコードが含まれる種別（以下「ログ種別」と記載する）に応じて、異なる送信元画像、異なる送信先画像を生成する。以下、送信先ＩＰアドレスのみを含むレコード（即ち、送信先ログテーブル５０１ｆに格納されたレコード）のログ種別を、「ログタイプＡ」と記載することがある。また、送信元ＩＰアドレスのみを含むレコード（即ち、送信元ログテーブル５０１ｅに格納されたレコード）のログ種別を、「ログタイプＢ」と記載することがある。また、送信元及び送信先の両方を含むレコードのログ種別を、「ログタイプＣ」と記載することがある。なお、ログ種別は、例えば、図１１に例示するような形式のログ種別テーブル５０２ｇに記憶されていてもよい。

　図１０に例示する具体例を用いて、配置画像生成部５０２ｂが生成する送信元画像及び送信先画像について説明する。なお、図１０は、説明のための具体例であり、本実施形態はこれに限定されるものではない。

　配置画像生成部５０２ｂは、ログタイプＡの場合の第１送信先画像として、例えば、図１０の（Ａ）部分に示す第１送信先画像１００１を生成してよい。配置画像生成部５０２ｂは、ログタイプＢの場合の第１送信元画像として、例えば、図１０の（Ｂ）部分に示す第１送信元画像１００２を生成してよい。配置画像生成部５０２ｂは、ログタイプＣの場合の第２送信先画像として、例えば、第２送信先画像１００３を生成してよい。配置画像生成部５０２ｂは、ログタイプＣの場合の第２送信元画像として、例えば、第２送信元画像１００４を生成してよい。図１０に示す具体例の場合、配置画像生成部５０２ｂは、第１送信先画像１００１、第２送信先画像１００３、第１送信元画像１００２、第２送信元画像１００４について、異なる表示形態（図１０の場合は形状及び色彩）の画像を生成する。

　配置画像生成部５０２ｂは、図１０に示す具体例に限定されず、形状、色彩、模様、アニメーション方法などが異なる画像を適宜生成してよい。一例として、配置画像生成部５０２ｂは、第１送信先画像１００１、第２送信先画像１００３、第１送信元画像１００２、第２送信元画像１００４として、送信元又は送信先が配置された地図上の地点を中心として、描線が放射状に広がる（例えば、波紋状に広がる）アニメーション画像を表示してもよい。この場合、配置画像生成部５０２ｂは、例えば、第１送信先画像１００１、第２送信先画像１００３、第１送信元画像１００２、第２送信元画像１００４について、それぞれ描線の形状、模様、色彩、アニメーション速度等を変更してもよい。

　上記のような処理により、配置画像生成部５０２ｂは、例えば、送信元のみが特定されたサイバー攻撃、送信先のみが特定されたサイバー攻撃、及び、送信元と送信先とが関連付けされたサイバー攻撃を、ユーザが容易に区別可能な画像を生成することができる。

　配置画像生成部５０２ｂは、また、ある送信元から送信された通信に関する通信量及び通信頻度に応じて、その送信元を示す送信元画像（第１送信元画像及び第２送信元画像）の表示形態を変化させるような表示情報を生成してもよい。配置画像生成部５０２ｂは、同様に、ある送信先に送信された通信に関する通信量及び通信頻度に応じて、その送信先を示す送信先画像（第１送信先画像及び第２送信先画像）の表示形態（形状、色彩、模様、アニメーション方法等）を変化させるような表示情報を生成してもよい。なお、ある送信元又は送信先に関する通信量及び通信頻度は、例えば、通信解析部５０１ｋから提供されてもよく、配置画像生成部５０２ｂが、各種ログテーブルに格納されたレコードから算出してもよい。

　一例として、配置画像生成部５０２ｂは、ある送信元から送信された通信に関する通信量に応じて、その送信元を示す送信元画像（第１送信元画像及び第２送信元画像）のサイズ（大きさ）を変更してもよい。この場合、配置画像生成部５０２ｂは、例えば、通信量に比例するように、送信元画像のサイズを変更してもよい。配置画像生成部５０２ｂは、例えば、ある送信先に送信された通信に関する通信量に応じて、その送信先を示す送信先画像（第１送信先画像及び第２送信先画像）のサイズを変更してもよい。この場合、配置画像生成部５０２ｂは、例えば、通信量に比例するように、送信先画像のサイズを変更してもよい。上記の場合、送信元及び送信先に関する通信量は、当該送信元又は送信先における、特定の通信に関する通信量の総和であってもよい。

　一例として、送信元画像と、送信先画像とが、形状、色彩、模様等が動的に変更されるアニメーション画像であることを想定する。この場合、配置画像生成部５０２ｂは、ある送信元から送信された通信に関する通信頻度に応じて、その送信元を示す送信元画像（第１送信元画像及び第２送信元画像）のアニメーション速度を変更してもよい。配置画像生成部５０２ｂは、例えば、通信頻度に比例するように、送信元画像のアニメーション速度を変更してもよい。配置画像生成部５０２ｂは、例えば、ある送信先に送信された通信に関する通信頻度に応じて、その送信先を示す送信先画像（第１送信先画像及び第２送信先画像）のアニメーション速度を変更してもよい。配置画像生成部５０２ｂは、例えば、通信頻度に比例するように、送信先画像のアニメーション速度を変更してもよい。

　一例として、配置画像生成部５０２ｂは、ある送信元が属する攻撃者に応じて、その送信元を表す送信元画像（第１送信元画像、第２送信元画像）の色彩を変更してもよい。具体的には、配置画像生成部５０２ｂは、例えば、図１２に示すような攻撃者テーブル５０２ｈを参照し、各ログテーブルに格納されたレコードに記録された送信元ＩＰアドレス及び送信先ポート番号から、ある送信元が属する攻撃者を特定する。攻撃者テーブル５０２ｈは、例えば、送信元ＩＰアドレスと、送信先ポート番号とから、攻撃者（例えば、攻撃者の名称や、攻撃者を特定する識別子等）を特定可能な変換テーブルである。配置画像生成部５０２ｂは、例えば、図１４に例示するような配色テーブル５０２ｊを参照し、送信元が属する攻撃者に割り当てられた配色を特定してよい。

　配置画像生成部５０２ｂは、同様に、ある送信先が属する被害者に応じて、その送信先を表す送信先画像（第１送信先画像、第２送信先画像）の色彩を変更してもよい。配置画像生成部５０２ｂは、例えば、図１３に示すような被害者テーブル５０２ｉを参照し、各ログテーブルに格納されたレコードに記録された送信先ＩＰアドレスから、ある送信先が属する被害者（例えば、被害者の名称や、被害者を特定する識別子等）を特定してよい。被害者テーブル５０２ｉは、例えば、送信先ＩＰアドレスから被害者を特定可能な変換テーブルである。配置画像生成部５０２ｂは、例えば、図１４に例示するような配色テーブル５０２ｊを参照し、送信先が属する被害者に割り当てられた配色を特定する。

　配置画像生成部５０２ｂは、上記のように特定した配色を用いて、送信元画像（第１送信元画像、第２送信元画像）及び送信先画像（第１送信先画像、第２送信先画像）の色彩を変更することができる。上記限定されず、配置画像生成部５０２ｂは、ある送信元が属する攻撃者に応じて送信元画像の模様を変更してもよく、ある送信先が属する被害者に応じて、送信先画像の模様を変更してもよい。

　攻撃者テーブル５０２ｈ、被害者テーブル５０２ｉ、及び、配色テーブル５０２ｊには予め必要なデータが設定されていてよい。なお、攻撃者テーブル５０２ｈは、図１２の具体例に限定されず、ある一つの攻撃者に対して、送信元ＩＰアドレス及び送信先ポート番号の組が複数関連付けされてもよい。被害者テーブル５０２ｉも同様に、ある一つの被害者に対して、複数の送信先ＩＰアドレスが関連付けされてもよい。

　配置画像生成部５０２ｂにより生成される第１送信先画像、第２送信先画像、第１送信元画像、及び、第２送信元画像の具体例を、図１５～図１８に示す。

　図１５に例示するように、第１送信先画像１００１のサイズは、送信先に送信された通信量を表し、その色彩は、送信先が属する被害者を表す（図１５の（Ａ）部分）。また、第１送信先画像１００１がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す（図１５の（Ｂ）部分）。

　図１６に例示するように、第１送信元画像１００２のサイズは、送信元から送信された通信量を表し、その色彩は、送信元が属する攻撃者を表す（図１６の（Ａ）部分）。また、第１送信元画像１００２がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す（図１６の（Ｂ）部分）。

　図１７に例示するように、第２送信先画像１００３のサイズは、送信先に送信された通信量を表し、その色彩は、送信先が属する被害者を表す（図１７の（Ａ）部分）。また、第２送信先画像１００３がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す（図１７の（Ｂ）部分）。

　図１８に例示するように、第２送信元画像１００４のサイズは、送信元から送信された通信量を表し、その色彩は、送信元が属する攻撃者を表す（図１８の（Ａ）部分）。また、第２送信元画像１００４がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す（図１８の（Ｂ）部分）。

　上記のような処理により、配置画像生成部５０２ｂは、例えば、ある送信元に関する通信量と、その送信元が属する攻撃者とを、ユーザが容易に認識可能な送信元画像を生成することが可能である。また、配置画像生成部５０２ｂは、ある送信元に関する通信頻度を、ユーザが容易に認識可能な送信元画像を生成することも可能である。また、上記のような処理により、配置画像生成部５０２ｂは、例えば、ある送信先に関する通信量と、その送信先が属する被害者とを、ユーザが容易に認識可能な送信先画像を生成することが可能である。また、配置画像生成部５０２ｂは、ある送信先に関する通信頻度を、ユーザが容易に認識可能な送信先画像を生成することも可能である。

　攻撃線生成部５０２ｃは、第１実施形態における表示情報生成部１０２と同様、ある送信元から送信先に向けた攻撃を表す攻撃状況画像を生成する。以下においては、攻撃線生成部５０２ｃが、攻撃状況画像として、攻撃線の表示形態が動的に変化するアニメーション画像を生成することを想定する。

　攻撃線生成部５０２ｃは、例えば、ある期間において、同一の送信元と送信先との間で実行された通信に関する通信量及び通信頻度に応じて、攻撃線の表示形態（例えば、形状、色彩、模様、アニメーション方法等）を変更するよう構成される。なお、ある送信元又は送信先に関する通信量及び通信頻度は、例えば、通信解析部５０１ｋから提供されてもよく、攻撃線生成部５０２ｃが、各種ログテーブルに格納されたレコードから算出してもよい。

　攻撃線生成部５０２ｃは、第１実施形態における表示情報生成部１０２と同様の方法により、攻撃線を含む攻撃状況画像を生成してもよい。

　一例として、攻撃線生成部５０２ｃは、ある期間において送信元と送信先との間で実行された通信に関する通信量に応じて、攻撃線のサイズ（大きさ、長さ、太さ等）を変更してもよい。攻撃線が送信元と送信先との間をリンクする線（直線、曲線、矢印等）として表される場合、攻撃線生成部５０２ｃは、例えば、通信量に比例して、係る線の太さを増大（又は減少）させてもよい。

　一例として、攻撃線生成部５０２ｃは、ある期間において、送信元と送信先との間で実行された通信に関する通信頻度に応じて、攻撃線のアニメーション速度を変更してもよい。攻撃線生成部５０２ｃは、例えば、通信頻度に比例して、送信元から送信先へ伸びる線のアニメーション速度を増大（又は減少）させてもよい。

　攻撃線生成部５０２ｃは、また、攻撃ログテーブル５０１ｇに格納されたレコードに記録された送信先のポート番号に応じて、攻撃線の色彩を変更してもよい。攻撃線生成部５０２ｃは、例えば、図１４に例示するような配色テーブル５０２ｊを参照し、送信先のポート番号毎に割り当てられた配色を特定してよい。

　攻撃線生成部５０２ｃにより生成される、攻撃状況画像（特には攻撃線）の具体例を、図１９に示す。図１９に示す具体例の場合、攻撃線は、略矢印状の形状を有する描画要素として描画される。図１９に示す具体例の場合、攻撃線のサイズは、ある送信元と、送信先との間の通信に関する通信量を表し、攻撃線の色は、送信先のポート番号を表す（図１９の（Ａ）部分）。具体的には、攻撃線生成部５０２ｃは、通信量に比例して矢印の線分部分（シャフト部分）の幅（又は径）が増大するように攻撃線を生成してもよく、矢印の面積全体が増大するように攻撃線を生成してもよい。この場合の通信量は、送信元と送信先との間の単位時間当たりの通信量であってもよく、ある期間内の総通信量であってもよい。また、攻撃線がアニメーション表示される場合、そのアニメーション速度は、通信頻度を表す（図１９の（Ｂ）部分）。この場合の通信頻度は、単位時間当たりの通信頻度であってもよい。

　上記のような処理により、攻撃線生成部５０２ｃは、例えば、ある送信元と、送信先との間のサイバー攻撃の状況（特には、通信量及び通信頻度）を、ユーザが容易に認識可能な攻撃状況画像を生成することが可能である。

　背景画像生成部５０２ｄは、表示画像において背景画像として表示される地図画像を生成する。背景画像生成部５０２ｄは、上記第１実施形態における表示情報生成部１０２と同様に、地図画像として、メルカトル図法で描かれた世界地図を白地図として表示した画像を生成してもよい。

　合成部５０２ｅは、配置画像生成部５０２ｂにおいて生成された送信元画像及び送信先画像、攻撃線生成部５０２ｃにおいて生成された攻撃状況画像（特には攻撃線）、並びに、背景画像生成部５０２ｄにおいて生成された地図画像を合成した表示画像を表示させる、表示情報を生成する。第１実施形態と同様、表示情報は、例えば、表示する表示画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。表示情報には、例えば、表示画像の生成処理を実行させるスクリプトや実行可能バイナリ等が含まれてもよい。表示情報には、例えば、表示装置を制御する制御信号が含まれてもよい。

　変換テーブル格納部５０２ｆは、各種変換テーブルを格納可能な格納領域である。変換テーブル格納部５０２ｆは、例えば、１以上のデータベースや、ファイル等により実現可能である。変換テーブル格納部５０２ｆは、例えば、上記説明した、ログ種別テーブル５０２ｇ、攻撃者テーブル５０２ｈ、被害者テーブル５０２ｉ、及び、配色テーブル５０２ｊを格納してもよい。なお、変換テーブル格納部５０２ｆは、表示情報生成部５０２とは別の構成要素として攻撃状況可視化装置５００に含まれてもよい。

　〔動作〕
　上記のように構成された、攻撃状況可視化装置５００の動作について説明する。図２０は、攻撃状況可視化装置５００の動作の一例を示すフローチャートである。

　攻撃状況可視化装置５００（特には、ログ収集部５０３）は、ログ提供元５１０から各種ログを収集する（ステップＳ２００１）。ログ収集部５０３における具体的な処理は、上記説明した通りである。

　攻撃状況可視化装置５００（特には、ログ解析部５０１）は、収集したログを解析する（ステップＳ２００２）。上記説明したように、ログ解析部５０１は、収集したログに含まれる各レコードを解析し、送信先ＩＰアドレスを含むか否か、送信元ＩＰアドレスを含むか否かを判定する。ログ解析部５０１は、その判定の結果に応じて、各レコードを、送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆ、及び、攻撃ログテーブル５０１ｇのいずれかに格納する。

　攻撃状況可視化装置５００（特には、ログ解析部５０１）は、各ログテーブルに格納されたレコードに記録された、送信元と送信先との間の対応関係を特定する（ステップＳ２００３）。上記したように、攻撃ログテーブル５０１ｇに格納されたレコードには、送信元ＩＰアドレスと、送信先ＩＰアドレスとが記録されている。これよりログ解析部５０１は、攻撃ログテーブル５０１ｇに格納されたレコードに記録された送信元ＩＰアドレスと、送信先ＩＰアドレスとを関連付ける。

　ログ解析部５０１は、また、送信元ログテーブル５０１ｅ、送信先ログテーブル５０１ｆに格納された、ある期間内に取得された複数のレコード間の関連性を特定する。より具体的には、ログ解析部５０１は、外部情報照会部５０４を用いて情報源５２０への問合せを実行することにより、送信元ログテーブル５０１ｅに格納されたレコードに含まれる送信元と、送信先ログテーブル５０１ｆに格納されたレコードに含まれる送信先との対応関係を特定する。

　ログ解析部５０１は、上記説明したように、例えば、送信元ＩＰアドレス又は送信先ＩＰアドレスを検索用のキーとして、情報源５２０に対する問合せを実行し、そのレスポンスを解析することで中間情報を抽出する。ログ解析部５０１は、例えば、送信元ログテーブル５０１ｅに格納された送信元ＩＰアドレスをキーとして情報源５２０から得られた検索結果に、送信先ログテーブル５０１ｆに格納された送信先ＩＰアドレスが含まれる場合、それらを関連付ける。同様に、ログ解析部５０１は、例えば、送信先ログテーブル５０１ｆに格納された送信先ＩＰアドレスをキーとして情報源５２０から得られた検索結果に、送信元ログテーブル５０１ｅに格納された送信先ＩＰアドレスが含まれる場合、それらを関連付ける。ログ解析部５０１は、対応関係が特定された送信元と送信先とを含むレコードを、攻撃ログテーブル５０１ｇに格納してよい。

　攻撃状況可視化装置５００（特には、ログ解析部５０１）は、送信元画像、送信先画像、及び、攻撃状況画像の生成に用いられるデータを算出する（ステップＳ２００４）。上記説明したように、ログ解析部５０１は、例えば、送信元ＩＰアドレス又は送信先ＩＰアドレスから、その送信元又は送信先が配置された地理的な位置（例えば、国や都市）を特定し、その位置を表す緯度及び経度を算出してよい。ログ解析部５０１は、また、ある送信元から送信された通信に関する通信量及び通信頻度を算出してよい。ログ解析部５０１は、また、ある送信先に対して送信された通信に関する通信量及び通信頻度を算出してよい。ログ解析部５０１は、対応関係が特定された送信元と、送信先との間の通信量及び通信頻度を算出してもよい。ログ解析部５０１は、算出した各種データを、表示情報生成部５０２に提供してもよい。

　攻撃状況可視化装置５００（特には、表示情報生成部５０２）は、送信元を示す送信元画像と、送信先を示す送信先画像と、が地図上に配置された画像を表示可能な表示情報を生成する（ステップＳ２００５）。表示情報生成部５０２は、例えば、各ログテーブルに格納されたレコードから、日時と、送信元ＩＰアドレス及び送信先ＩＰアドレスの少なくとも一方と、送信先ポート番号と，通信量とを取得してよい。表示情報生成部５０２は、例えば、送信元ＩＰアドレスが記録されているか否か、及び、送信先ＩＰアドレスが記録されている否かに基づいて、各レコードに関するログ種別を特定することができる。表示情報生成部５０２は、送信元ＩＰアドレス、及び、送信先ポート番号から、ある送信元が属する攻撃者を特定することができる。表示情報生成部５０２は、また、送信先ＩＰアドレスから、ある送信先が属する被害者を特定することができる。

　表示情報生成部５０２は、また、ある送信元から送信された通信に関する通信量及び通信頻度を取得する。表示情報生成部５０２は、ログ解析部５０１において算出されたデータを取得してもよい。なお、表示情報生成部５０２は、例えば、一定期間（例えば”ｄ”）に同一の攻撃者から送信された通信量の総和として、送信元通信量”ｍ１”を求めてもよい。なお、通信量”ｍ１”を一定期間”ｄ”で除算することにより，単位時間あたりの通信量を算出することも可能である。また、表示情報生成部５０２は、例えば、一定期間内に記録された同一の攻撃者（送信元）に関するレコードの個数を、”ｄ”で除算することにより、単位時間当たりの通信頻度を算出することも可能である。

　表示情報生成部５０２は、ある送信元について、その送信元が記録されたレコードのログ種別、その送信元が属する攻撃者、並びに、その送信元に関する通信量及び通信頻度に基づいて、送信元画像を生成する。

　表示情報生成部５０２は、同様に、ある送信先に対して送信された通信に関する通信量及び通信頻度を取得する。表示情報生成部５０２は、ログ解析部５０１において算出されたデータを取得してもよい。なお、表示情報生成部５０２は、例えば、一定期間”ｄ”に同一の被害者に対して送信された通信量の総和として、送信先通信量”ｍ２”を求めてもよい。なお、通信量”ｍ２を”一定期間”ｄ”で除算することにより，単位時間あたりの通信量を算出することも可能である。また、表示情報生成部５０２は、例えば、一定期間内に記録された同一の被害者（送信先）に関するレコードの個数を、”ｄ”で除算することにより、単位時間当たりの通信頻度を算出することも可能である。

　表示情報生成部５０２は、ある送信先について、その送信先が記録されたレコードのログ種別、その送信先が属する被害者、並びに、その送信先に関する通信量及び通信頻度に基づいて、送信先画像を生成する。

　攻撃状況可視化装置５００（特には、表示情報生成部５０２）は、対応関係が特定された送信元及び送信先について、攻撃状況を表す攻撃状況画像を含む表示情報を生成する（ステップＳ２００６）。具体的には、表示情報生成部５０２は、対応関係が特定された送信元と、送信先との間で実行された通信に関する通信量及び通信頻度を取得する。表示情報生成部５０２は、ログ解析部５０１において算出されたデータを取得してもよい。なお、表示情報生成部５０２は、例えば、攻撃ログテーブル５０１ｇに格納されたレコードから、一定期間”ｄ”内に、同一の攻撃者及び被害者の間で実行された通信量の総和として、攻撃総通信量”ｍ３”を求めてもよい。なお、通信量”ｍ３”を一定期間”ｄ”で除算することにより，単位時間あたりの通信量を算出することも可能である。表示情報生成部５０２は、攻撃ログテーブル５０１ｇに格納された、一定期間”ｄ”内に同一の攻撃者及び被害者の間で実行された通信に関するレコードの個数を、”ｄ”で除算することにより，単位時間あたりの通信頻度を算出することも可能である。

　表示情報生成部５０２は、送信先ポート番号，送信元が属する攻撃者，送信先が属する被害者，送信元と送信先との間の通信量（総通信量及び単位時間あたりの通信量）、並びに、単位時間あたりのログ頻度に基づいて、攻撃線を含む攻撃状況画像を生成する。攻撃線を生成する具体的な方法は、上記説明した通りである。

　攻撃状況可視化装置５００は、例えば、ステップＳ２００５及びＳ２００６において生成された表示情報を表示装置５３０に提供することで、表示装置５３０に表示画像を表示させてもよい。

　〔表示画像の具体例〕
　以下、攻撃状況可視化装置５００が生成した表示情報により表示される表示画像の具体例について、図２１を参照して説明する。図２１は、攻撃状況可視化装置５００により生成された表示情報に応じて、表示装置５３０に表示されたユーザインタフェース２１００の具体例を示す説明図である。ユーザインタフェース２１００には、表示画像２１０１が表示されている。なお、図２１は、説明のための具体例を示す図であり、本実施形態はこれに限定されるものではない。

　表示画像２１０１には地図（図２１の２１０１ｋ）が表示される。地図２１０１ｋ上に、サイバー攻撃の送信元を表す送信元画像（図２１の２１０１ｅ、２１０１ｆ、２１０１ｇ、２１０１ｈ）と、送信先画像（図２１の２１０１ａ、２１０１ｂ、２１０１ｃ、２１０１ｄ）とが表示される。また、あるサイバー攻撃に関する送信元と、送信先との対応関係が特定されている場合、送信元画像と、送信先画像との間に、攻撃状況画像（図２１の２１０１ｉ、２１０１ｊ）が表示される。更に、地図上に、昼夜の境界線２１０１ｌが表示されてもよい。

　送信先画像２１０１ａ、２１０１ｂは、ログから送信先のみが特定された場合の送信先画像であり、送信先画像２１０１ｃ、２１０１ｄは、ログから送信元と送信先との対応関係が特定された場合の送信先画像である。即ち、ログ種別に応じて、異なる送信先画像が表示される。

　送信元画像２１０１ｇ、２１０１ｈは、ログから送信元のみが特定された場合の送信元画像であり、送信元画像２１０１ｅ、２１０１ｆは、ログから送信元と送信先との対応関係が特定された場合の送信元画像である。即ち、ログ種別に応じて、異なる送信元画像が表示される。

　また、送信先画像２１０１ｃは、２１０１ｄよりも面積が大きい画像として表示される。これは、送信先画像２１０１ｃにより表される送信先の方が、送信先画像２１０１ｄにより表される送信先より通信量が多いことを表す。同様に、送信先画像２１０１ｂにより表される送信先の方が、送信先画像２１０１ａにより表される送信先より通信量が多いことを表す。送信元画像２１０１ｅ、２１０１ｆ、２１０１ｇ及び２１０１ｈについても同様である。

　なお、上記したように、各送信元画像の色彩により、その送信元が属する攻撃者を表すことが可能であり、各送信先画像の色彩により、その送信先が属する被害者を表すことが可能である。また、送信元画像がアニメーション画像である場合、そのアニメーション速度により、その送信元における通信頻度を表すことが可能である。同様に、送信先画像がアニメーション画像である場合、そのアニメーション速度により、その送信先における通信頻度を表すことが可能である。

　また、攻撃状況画像２１０１ｉの攻撃線は、攻撃状況画像２１０１ｊの攻撃線よりも面積が大きい画像として表示される。これは、攻撃状況画像２１０１ｉにより表される通信量が、攻撃状況画像２１０１ｊにより表される通信量よりも多いことを表す。また、攻撃線がアニメーションとして表示される場合、そのアニメーション速度により、送信元と送信先との間の通信頻度を表すことが可能である。

　なお、昼夜の境界線２１０１ｌを表示することにより、攻撃の送信元及び送信先が配置された地域の昼夜を判別することが可能である。これにより、例えば、ユーザは、あるサイバー攻撃が実行される時間帯の傾向等を視覚的に把握することが可能である。

　上記のように構成された本実施形態における攻撃状況可視化装置５００によれば、サイバー攻撃等セキュリティに関する攻撃の状況をわかりやすく可視化することができる。その理由は、以下の通りである。

　攻撃状況可視化装置５００は、第１実施形態における攻撃状況可視化装置１００と同様、各種ログ提供元から提供されたログを解析することで、あるサイバー攻撃について、送信元、送信先、及び攻撃状況を表す画像を生成可能である。

　攻撃状況可視化装置５００は、更に、ある通信に関する送信元のみが特定されているログと、ある通信に関する送信先のみが特定されているログとから、外部の各種情報源を利用することで、送信元と送信先との対応関係を特定することが可能である。

　ログ提供元から提供されるログには、必ずしも、あるサイバー攻撃に関する送信元と送信先との両方を特定可能な情報が記録されているとは限らない。このような状況であっても、攻撃状況可視化装置５００は、例えば、外部情報照会部５０４を用いて、情報源５２０に対する問合せを繰り返し実行することにより、送信元と送信先との対応関係を特定することが可能である。

　一般的に、サイバー攻撃の発信源は隠蔽される傾向にあり、送信元が偽装される可能性がある。また、踏み台マシンやボット等を介して攻撃が実行される可能性がある。送信元が偽装されている場合、ある通信データ（パケット）に記録された送信元から、真の攻撃者を特定できるとは限らない。即ち、ある通信データに直接的に含まれる送信元を特定する方法（例えば、上記各特許文献）では、真の攻撃者を特定できるとは限らない。踏み台マシンやボット等の仲介者を介して攻撃が実行された場合も同様である。また、送信元が広く分散している場合、表示される内容が煩雑になり過ぎる可能性がある。

　これに対して、攻撃状況可視化装置５００は、例えば、情報源５２０として各種セキュリティベンダ等により提供されるセキュリティに関する情報や、ネットワークサービスに関する情報を取得することが可能である。情報源５２０から得られた各種情報を解析することにより、攻撃状況可視化装置５００は、あるサイバー攻撃に関して、攻撃者をより適切に特定できる可能性がある。

　攻撃状況可視化装置５００は、また、ある送信元から送信された通信に関する通信量、通信頻度、及びある送信元が属する攻撃者に応じて、その送信元を表す送信元画像の表示形態を調整することが可能である。攻撃状況可視化装置５００は、同様に、ある送信先に対して送信された通信に関する通信量、通信頻度、及びある送信先が属する被害者に応じて、その送信先を表す送信先画像の表示形態を調整することが可能である。具体的には、攻撃状況可視化装置５００は、例えば、送信元画像及び送信先画像の形状（サイズ含む）、配色、アニメーション速度の少なくともいずれかを適宜変更することが可能である。これにより、ユーザは、送信元及び送信先における攻撃の状況を視認することが可能である。

　攻撃状況可視化装置５００は、また、送信元と送信先との間の通信量、通信頻度、送信先ポート番号等に応じて、攻撃状況画像の表示形態を調整することができる。具体的には、攻撃状況可視化装置５００は、例えば、攻撃状況画像に含まれる攻撃線の形状（サイズ含む）、配色、アニメーション速度の少なくともいずれかを適宜変更することが可能である。これにより、ユーザは、送信元と送信先との間の攻撃の状況を視認することが可能である。

　上記のように構成された攻撃状況可視化装置５００を用いることで、ユーザは、例えば、あるサイバー攻撃に関する攻撃者及び被害者を容易に認識することができる。また、ユーザは、そのサイバー攻撃に関する通信の頻度及び通信量等から、攻撃の深刻度を認識することができる。

　＜第２実施形態の変形例＞
　以下、上記第２実施形態の変形例について説明する。本変形例における攻撃状況可視化装置５００の機能的な構成は、上記第２実施形態と同様としてよい。本変形例においては、表示情報生成部５０２（特には、攻撃線生成部５０２ｃ）の機能が拡張されている。

　本変形例における攻撃線生成部５０２ｃは、ある送信元と送信先との間の信頼度に応じて、攻撃線の表示形態を変更する。具体的には、攻撃線生成部５０２ｃは、外部情報照会部５０４を用いて特定された送信元と送信先との間の対応関係が、一方向の対応関係である場合と、双方向対応関係である場合と、に応じて、それぞれ異なる表示形態の攻撃線を生成する。一例として、攻撃線生成部５０２ｃは、それぞれの場合に応じて、攻撃線の模様を変更してもよい。攻撃線生成部５０２ｃは、上記に限定されず、送信元と送信先との間の通信量、通信頻度、及び送信先ポート番号を表す表現方法（例えば、形状、アニメーション速度、色彩）とは異なる適切な表現方法を用いて、攻撃線の表示形態を適宜変更してよい。

　これにより、攻撃状況可視化装置５００のユーザは、例えば、あるサイバー攻撃に関して特定された送信元と送信先との間の対応関係の信頼度を視認することが可能である。

　＜第３実施形態＞
　以下、本開示に係る技術の第３実施形態について説明する。本実施形態は、上記第２実施形態に基づいて、その機能の一部を拡張した実施形態である。以下、第２実施形態と同様の構成については、同じ参照符号を付することで、詳細な説明を省略する。

　図２２は本実施形態における攻撃状況可視化装置２２００の機能的な構成を例示するブロック図である。攻撃状況可視化装置２２００は、第２実施形態における攻撃状況可視化装置５００から、外部情報照会部２２０１の機能が拡張されている。攻撃状況可視化装置２２００におけるその他の構成は、第２実施形態における攻撃状況可視化装置５００と同様としてよい。以下、外部情報照会部２２０１について説明する。

　図２３は、外部情報照会部２２０１の機能的な構成を例示するブロック図である。図２３に例示するように、外部情報照会部２２０１は、クエリ処理部２２０１ａ、分析モデル記憶部２２０１ｂ、及び、情報収集部２２０１ｃを含む。

　クエリ処理部２２０１ａは、送信元指定ＩＰアドレス及び送信先指定ＩＰアドレスを検索キーとして受けつけ、その検索キーを用いたクエリを実行するクローラ（後述）を、分析モデル（後述）を用いて選択するよう構成される。クエリ処理部２２０１ａは、また、選択したクローラにより実行されたクエリに対するレスポンスを解析することで、送信元指定ＩＰアドレスと送信先指定ＩＰアドレスとの間の対応関係を特定するよう構成される。クエリ処理部２２０１ａの具体的な処理については後述する。

　分析モデル記憶部２２０１ｂは、分析モデルを記憶する。分析モデルは、検索キーを入力として受けつけ、その検索キーを用いて情報源５２０に対する問合せを実行可能な各クローラのスコアを算出するよう構成されたモデルである。分析モデルの具体例については、後述する。

　情報収集部２２０１ｃは、１以上のクローラを有する。クローラは、例えば、ある情報源５２０に対して検索キーを用いた問合せ処理を実行し、その結果をクエリ処理部２２０１ａに提供するよう構成される。１つの情報源５２０に対して、１以上のクローラが割り当てられてもよく、１つのクローラが、複数の情報源５２０に割り当てられてもよい。

　クローラは、情報源５２０ごとに適切な方法を用いて問合せ処理を実行するよう構成される。一例として、クローラは、情報源５２０に対して、検索用のクエリを送信し、そのクエリに対するレスポンスを受信するよう構成されてもよい。他の一例として、クローラは、情報源５２０が提供するコンテンツを取得し、取得したコンテンツの中から中間情報を検索するよう構成されてもよい。

　〔分析モデル〕
　以下、分析モデルについて説明する。図２４は、分析モデルの概要を示す説明図である。図２４に示す分析モデルは、説明のための具体例であり、本実施形態における分析モデルは、これに限定されるものではない。

　図２４に例示するように、本実施形態における分析モデルは、全体としてニューラルネットワークを用いて構成される。具体的には、分析モデルは、第１モデルと、第２モデルと組み合わせたニューラルネットワークとして構成される。

　第１モデルとしては、例えば、検索キーを表すデータの静的な特徴（例えばパターン）を学習可能なモデルが用いられる。例えば、第１モデルは、検索キーに含まれる、ある種のデータ（例えば、ＩＰアドレス、ホスト名等）を畳み込むことで、類似するデータ（例えば、一部が異なるＩＰアドレス）を、同様の意味を有するデータとして扱えるよう変換することができる。本実施形態においては、第１モデルとして、隣接する中間層に含まれるユニット（ニューラルネットワークを構成するノード）のうち、特定のユニットの間が結合されるよう構成された畳み込みニューラルネットワーク（ＣＮＮ：Ｃｏｎｖｏｌｕｔｉｏｎａｌ　Ｎｅｕｒａｌ　Ｎｅｔｗｏｒｋ）を用いる。

　第２モデルとしては、情報源５２０に対するクエリを繰り返し実行することで、中間情報を取得する過程を学習可能なモデルが用いられる。本実施形態においては、クエリを繰り返し実行する過程を学習可能な第２モデルとして、再帰型ニューラルネットワーク（ＲＮＮ：Ｒｅｃｕｒｒｅｎｔ　Ｎｅｕｒａｌ　Ｎｅｔｗｏｒｋ）が用いられる。

　以下、第１モデル（ＣＮＮ）について説明する。ＣＮＮは、一般的には、１以上の畳み込み層を含むニューラルネットワークである。ＣＮＮは、畳み込み層に加え、プーリング層を含んでもよい。畳み込み層は、一般的に、入力されたデータに何からの処理（フィルタ）を実行して、入力されたデータを変換したデータ（マップデータ）を生成するよう構成される。例えば、畳み込み層において、あるデータのパターンを抽出可能なフィルタが形成された場合、具体的な入力データから、特定のパターンの特徴を表すデータ（特徴データ）がマップデータとして得られる。畳み込み層においては、入力データの全領域についてフィルタが適用されることから、入力データに含まれるデータの位置や、個数等を事前に考慮することなく、入力データから特徴データを抽出することができる。プーリング層は、一般的に、畳み込み層から出力されたマップデータに含まれる領域（プーリング領域）から、代表値を抽出するよう構成される。プーリング層を設けることにより、畳み込み層から出力されたマップデータに含まれる特徴的な値を保存しながら、データの次元を削減することができる。

　以下、第２モデル（ＲＮＮ）について説明する。ＲＮＮは、一般的に、帰還ループを有する中間層を少なくとも１層以上備えるニューラルネットワークである。ＲＮＮにおいて、帰還ループを有する中間層は、ある状態より前の状態における中間層からの出力を、ある状態における中間層への入力として提供することができる。これにより、ＲＮＮは、ある入力データに関する出力データを計算する際、過去に受けとった入力データの影響を反映することが可能である。本実施形態においては、第２モデルとして、例えば、長期短期記憶（ＬＳＴＭ：Ｌｏｎｇ　Ｓｈｏｒｔ　Ｔｅｒｍ　Ｍｅｍｏｒｙ）を採用したＲＮＮが用いられてもよい。

　上記のような第１、第２モデルを用いて構成される分析モデルの入力層には、検索キーを表すデータが入力される。検索キーは、上記したように、送信元指定ＩＰアドレスであってもよく、送信先指定ＩＰアドレスであってもよい。検索キーは、また、ある情報源５２０へのクエリに対するレスポンスを解析することで得られた中間情報であってもよい。入力層のユニット数は、検索キーのサイズや性質に応じて適宜選択してよい。例えば、検索キーがテキストデータにより表される場合、入力層には、そのテキストデータから抽出する文字数（一具体例として、１０２４文字等）と同じ数のユニットが含まれてもよい。

　分析モデルの出力層からは、各クローラについてのスコアが出力される。出力層のユニット数は、クローラの数に応じて適切に選択されてよい。例えば、クローラの数が”ｍ”個（”ｍ”は自然数）である場合、出力層のユニット数は”ｍ”個であってもよい。なお、”ｍ”個のクローラから、０個以上”ｍ”個以下のクローラを選択する組合せは”２^ｍ”個存在することから、出力層の各ユニット数は”２^ｍ”個であってもよい。

　入力された検索キーから分析モデルが算出する各クローラのスコアは、各クローラを用いて、入力された検索キーに関するクエリを実行することの有用性（適切性）を表す情報である。即ち、ある検索キーに関して算出されたスコアが高い程、そのクローラを用いたクエリにより、有用な中間情報（又は、所望のＩＰアドレス）が得られる可能性が高いことを表す。有用な中間情報とは、例えば、送信元と送信先との間の対応関係の特定に用いられる情報である。一例として、そのような中間情報は、送信元指定ＩＰアドレスに対応する送信先のＩＰアドレスであってもよく、送信先指定ＩＰアドレスに対応する送信元のＩＰアドレスであってもよい。また、そのような中間情報は、送信元指定ＩＰアドレスに対応する送信先のＩＰアドレスの取得、及び、送信先指定ＩＰアドレスに対応する送信元のＩＰアドレスの取得に直接的又は間接的に役立つその他の情報（例えば、ホスト名、ＵＲＬ、マルウェア名等）であってもよい。

　上記のような分析モデルは、例えば、概略以下のような学習処理を実行することで作成可能である。以下、説明の便宜上、攻撃状況可視化装置２２００とは異なる装置（「学習装置」と記載する）を用いて、分析モデルを作成することを想定する。なお、説明の便宜上、学習装置には、情報収集部２２０１ｃに含まれる各クローラと同様のクローラが備えられていることを想定する。

　学習装置には、分析モデルを学習するための訓練データとして、例えば、対応関係が予め特定されている、送信元指定ＩＰアドレスと、送信先指定ＩＰアドレスと、を含むデータが含まれてよい。係る訓練データは、例えば、各ログテーブルに格納されたレコードを、分析者が人手で確認することにより作成されてもよい。この場合、訓練データには、分析者の知見が反映されているとも考えられる。

　学習装置は、例えば、強化学習の一つの手法である、Ｑ学習（Ｑ－Ｌｅａｒｎｉｎｇ）の枠組みを用いて、分析モデルを学習することができる。以下、概要を説明する。

　学習装置は、例えば、学習過程の分析モデルに対する入力（検索キー）として、訓練データに含まれる送信元指定ＩＰアドレスを入力し、各クローラに関するスコアを算出する。学習装置は、例えば、所定の確率で、スコアが最も高いクローラを選択するか、又は、ランダムにクローラを選択する。学習装置は、選択したクローラを用いて、情報源５２０に対するクエリを実行する。検索キーは、強化学習における状態に相当し、クローラの選択及びクエリの実行が強化学習における行動に相当する。学習装置は、クエリに対するレスポンスを解析し、中間情報を抽出する。学習装置は、中間情報の有用性に応じた報酬を算出する。中間情報と報酬との関係は、適宜設計されてよい。学習装置は、中間情報を新たな検索キーとして分析モデルに入力した場合の、各クローラのスコアの最大値を算出する。学習装置は、算出した最大値と、前回選択したクローラのスコアとの差分が小さくなるように、分析モデルを学習する。これにより、例えば、ある検索キーを用いたクエリを実行することにより有用性が高い中間情報を取得可能なクローラに対して、比較的高いスコアが算出されるように、分析モデルが学習される。なお、ニューラルネットワークを用いたＱ学習の学習アルゴリズムとしては、下記参考文献１に記載された方法を採用してもよい。

　［参考文献１］
　Ｖｏｌｏｄｙｍｙｒ　Ｍｎｉｈ，　Ｋｏｒａｙ　Ｋａｖｕｋｃｕｏｇｌｕ，　Ｄａｖｉｄ　Ｓｉｌｖｅ，　Ａｌｅｘ　Ｇｒａｖｅｓ，　Ｉｏａｎｎｉｓ　Ａｎｔｏｎｏｇｌｏｕ，　Ｄａａｎ　Ｗｉｅｒｓｔｒａ，　Ｍａｒｔｉｎ　Ａ．　Ｒｉｅｄｍｉｌｌｅｒ，　”Ｐｌａｙｉｎｇ　Ａｔａｒｉ　ｗｉｔｈ　Ｄｅｅｐ　Ｒｅｉｎｆｏｒｃｅｍｅｎｔ　Ｌｅａｒｎｉｎｇ”，　Ｎｅｕｒａｌ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｐｒｏｃｅｓｓｉｎｇ　Ｓｙｓｔｅｍｓ　（ＮＩＰＳ）　Ｄｅｅｐ　Ｌｅａｒｎｉｎｇ　Ｗｏｒｋｓｈｏｐ，　２０１３　（オンライン版：［ｏｎｌｉｎｅ］，［２０１７年１月９日検索］、インターネット＜ＵＲＬ：ｈｔｔｐ：／／ａｒｘｉｖ．ｏｒｇ／ａｂｓ／１３１２．５６０２）．
　攻撃状況可視化装置２２００には、例えば、学習装置により予め学習処理が実行された、学習済みの分析モデルが提供され、係る分析モデルが分析モデル記憶部２２０１ｂに記憶されていてもよい。

　〔動作〕
　外部情報照会部２２０１（特には、クエリ処理部２２０１ａ）の動作について説明する。

　クエリ処理部２２０１ａは、ログ解析部から、１以上の送信元指定ＩＰアドレス及び送信先指定ＩＰアドレスを受け付ける。

　クエリ処理部２２０１ａは、分析モデルに対して、送信元指定ＩＰアドレスを入力し、各クローラに関するスコアを算出する。

　クエリ処理部２２０１ａは、算出されたスコアが最も高いクローラを選択し、問合せ（クエリ）の実行を要求する。選択されたクローラは、そのクローラに関連付けされた情報源５２０に対して、送信元指定ＩＰアドレスを検索キーとしたクエリを実行し、そのレスポンスをクエリ処理部２２０１ａに提供する。

　クエリ処理部２２０１ａは、レスポンスを解析することで得られた各種データを、中間情報として記憶する。レスポンスを解析する処理は、上記第１実施形態における外部情報照会部５０４と同様としてよい。

　クエリ処理部２２０１ａは、上記第１実施形態における外部情報照会部５０４と同様、中間情報として記憶された情報に、対応関係推測部５０１ｂから提供された送信先指定ＩＰアドレスが含まれるか否かを確認する。

　クエリ処理部２２０１ａは、送信先指定ＩＰアドレスと一致するＩＰアドレスが中間情報に含まれていない場合、中間情報を検索用情報（検索キー）として分析モデルに入力し、各クローラに関するスコアを算出する。クエリ処理部２２０１ａは、算出されたスコアが最も高いクローラを選択し、再度問合せ（クエリ）の実行を要求する。選択されたクローラは、そのクローラに関連付けされた情報源５２０に対して、中間情報を検索キーとしたクエリを実行し、そのレスポンスをクエリ処理部２２０１ａに提供する。

　クエリ処理部２２０１ａは、送信先指定ＩＰアドレスと一致するＩＰアドレスが得られるまで、上記処理を繰り返し実行してもよい。なお、クエリ処理部２２０１ａは、提供された送信先指定ＩＰアドレスと一致するＩＰアドレスが得られない場合、ある特定の回数で上記処理を打ち切ってもよい。この場合、クエリ処理部２２０１ａは、送信元指定ＩＰアドレスと、送信先指定ＩＰアドレスとの間の対応関係が特定されなかったことを、ログ解析部５０１に通知してもよい。

　クエリ処理部２２０１ａは、上記処理により、送信先指定ＩＰアドレスと一致するＩＰアドレスが中間情報として得られた場合、その送信先指定ＩＰアドレスと、クエリとして用いられた送信元指定ＩＰアドレスとを紐づけた情報を、ログ解析部５０１に提供してもよい。クエリ処理部２２０１ａは、例えば、対応関係推測部５０１ｂから提供された、全ての送信元指定ＩＰアドレスについて上記処理を実行し、その結果を対応関係推測部５０１ｂに提供してもよい。

　クエリ処理部２２０１ａは、また、送信先指定ＩＰアドレスを検索用情報（検索キー）として、上記と同様の処理を実行してよい。

　上記のような処理により、クエリ処理部２２０１ａは、ログ解析部５０１から提供された送信元指定ＩＰアドレスと、送信先指定ＩＰアドレスとの間の対応関係を特定することが可能である。

　上記のように構成された攻撃状況可視化装置２２００は、送信元のみを特定可能な１以上のレコードと、送信先のみを特定可能な１以上のレコードとから、送信元と送信先との対応関係を、より適切に特定することが可能である。その理由は、攻撃状況可視化装置２２００（特には、外部情報照会部２２０１）が、分析モデルを用いることで、情報源５２０に対するクエリを実行するクローラを適切に選択することができるからである。分析モデルは、入力として受けつけた検索キーから、目的とするＩＰアドレスを含むレスポンスが得られる可能性が高いクエリを実行可能なクローラに対して、より高いスコアを算出するよう構成される。このため、攻撃状況可視化装置２２００は、例えば、分析モデルが出力するスコアに応じて、より適切なクローラを選択することができる。

　＜ハードウェア及びソフトウェア・プログラム（コンピュータ・プログラム）の構成＞
　以下、上記説明した各実施形態及び変形例を実現可能なハードウェア構成について説明する。以下の説明においては、上記各実施形態において説明した各攻撃状況可視化装置（１００、５００、２２００）を、まとめて「攻撃状況可視化装置」と記載する。

　上記各実施形態において説明した各攻撃状況可視化装置は、１つ又は複数の専用のハードウェア装置により構成されてもよい。その場合、上記各図（例えば、図１、５－７、２２、２３）に示した各構成要素は、一部又は全部を統合したハードウェア（処理ロジックを実装した集積回路等）として実現してもよい。例えば、攻撃状況可視化装置をハードウェア装置により実現する場合、攻撃状況可視化装置の構成要素は、それぞれの機能を提供可能な集積回路（例えば、ＳｏＣ（Ｓｙｓｔｅｍ　ｏｎ　ａ　Ｃｈｉｐ）等）として実装されてもよい。この場合、例えば、攻撃状況可視化装置の構成要素が有するデータは、ＳｏＣに統合されたＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）領域やフラッシュメモリ領域に記憶されてもよい。

　この場合、攻撃状況可視化装置は、例えば、ログ解析部（１０１、５０１）、表示情報生成部（１０２、５０２）、ログ収集部５０３、及び、外部情報照会部（５０４、２２０１）の機能を実現可能な１以上の処理回路（ｐｒｏｃｅｓｓｉｎｇ　ｃｉｒｃｕｉｔｒｙ）、通信回路、及び記憶回路等を用いて実現されてよい。なお、攻撃状況可視化装置を実現する回路構成の実装においては、様々なバリエーションが想定される。攻撃状況可視化装置を複数のハードウェア装置により構成する場合、それぞれのハードウェア装置の間は、適切な通信方法（有線、無線、またはそれらの組み合わせ）により通信可能に接続されていてもよい。

　また、上述した攻撃状況可視化装置は、図２５に例示するような汎用のハードウェア装置２５００と、ハードウェア装置２５００によって実行される各種ソフトウェア・プログラム（コンピュータ・プログラム）とによって構成されてもよい。この場合、攻撃状況可視化装置は、１以上の適切な数のハードウェア装置２５００及びソフトウェア・プログラムにより構成されてもよい。

　図２５におけるプロセッサ２５０１は、例えば、汎用のＣＰＵ（中央処理装置：Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）やマイクロプロセッサである。プロセッサ２５０１は、例えば、後述する不揮発性記憶装置２５０３に記憶された各種ソフトウェア・プログラムをメモリ２５０２に読み出し、そのソフトウェア・プログラムに従って処理を実行してもよい。この場合、上記各実施形態における攻撃状況可視化装置の構成要素は、例えば、プロセッサ２５０１により実行されるソフトウェア・プログラムとして実現可能である。

　この場合、上記各実施形態における攻撃状況可視化装置は、例えば、ログ解析部（１０１、５０１）、表示情報生成部（１０２、５０２）、ログ収集部５０３、及び、外部情報照会部（５０４、２２０１）の機能を実現可能な１以上のプログラムにより実現されてよい。なお、係るプログラムの実装においては、様々なバリエーションが想定される。

　メモリ２５０２は、プロセッサ２５０１から参照可能な、ＲＡＭ等のメモリデバイスであり、ソフトウェア・プログラムや各種データ等を記憶する。なお、メモリ２５０２は、揮発性のメモリデバイスであってもよい。

　不揮発性記憶装置２５０３は、例えば磁気ディスクドライブや、半導体記憶装置（フラッシュメモリ等）のような、不揮発性の記憶装置である。不揮発性記憶装置２５０３は、各種ソフトウェア・プログラムやデータ等を記憶可能である。上記攻撃状況可視化装置において、ログ解析部５０１及び表示情報生成部５０２に保持される各種テーブルは、例えば、不揮発性記憶装置２５０３に記憶されてもよい。

　リーダライタ２５０４は、例えば、後述する記録媒体２５０５に対するデータの読み込みや書き込みを処理する装置である。攻撃状況可視化装置は、例えば、リーダライタ２５０４を介して、記録媒体２５０５に記録されたログを読み込んでもよい。

　記録媒体２５０５は、例えば光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な記録媒体である。本開示において、記録媒体の種類及び記録方法（フォーマット）は、特に限定されず、適宜選択されてよい。

　ネットワークインタフェース２５０６は、通信ネットワークに接続するインタフェース装置であり、例えば有線及び無線のＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）接続用インタフェース装置等を採用してもよい。攻撃状況可視化装置は、ネットワークインタフェース２５０６を介して、情報源５２０及びログ提供元５１０と通信可能に接続されてよい。

　入出力インタフェース２５０７は、外部装置との間の入出力を制御する装置である。外部装置は、例えば、ユーザからの入力を受け付け可能な入力機器（例えば、キーボード、マウス、タッチパネル等）であってもよい。また、外部装置は、例えばユーザに対して各種出力を提示可能出力機器であってもよい（例えば、モニタ画面、タッチパネル等）。攻撃状況可視化装置は、例えば、入出力インタフェースを介して、表示装置５３０に表示されるユーザインタフェースを制御してもよい。

　本開示に係る技術は、例えば、ハードウェア装置２５００に対して供給されたソフトウェア・プログラムを、プロセッサ２５０１が実行することによって、実現されてもよい。この場合、ハードウェア装置２５００で稼働しているオペレーティングシステムや、データベース管理ソフト、ネットワークソフト等のミドルウェアなどが、各処理の一部を実行してもよい。

　上述した各実施形態において、上記各図に示した各部は、上述したハードウェアにより実行されるソフトウェア・プログラムの機能（処理）の単位である、ソフトウェアモジュールとして実現されてもよい。例えば、上記各部をソフトウェアモジュールとして実現する場合、これらのソフトウェアモジュールは、不揮発性記憶装置２５０３に記憶されてもよい。そして、プロセッサ２５０１が、それぞれの処理を実行する際に、これらのソフトウェアモジュールをメモリ２５０２に読み出してもよい。また、これらのソフトウェアモジュールは、共有メモリやプロセス間通信等の適宜の方法により、相互に各種データを伝達できるように構成されてもよい。

　更に、上記各ソフトウェア・プログラムは、記録媒体２５０５に記録されてもよい。この場合、上記各ソフトウェア・プログラムは、適当な治具（ツール）を利用してハードウェア装置２５００内にインストールされてもよい。また、各種ソフトウェア・プログラムは、インターネット等の通信回線を介して外部からダウンロードされてもよい。ソフトウェア・プログラムを供給する方法として、各種の一般的な手順を採用することができる。

　このような場合において、本開示に係る技術は、ソフトウェア・プログラムを構成するコード、あるいはコードが記録されたところの、コンピュータ読み取り可能な記録媒体によって構成されてもよい。この場合、記録媒体は、ハードウェア装置２５００と独立した非一時的な記録媒体であってもよく、ＬＡＮやインターネットなどにより伝送されたソフトウェア・プログラムをダウンロードして記憶又は一時記憶した記録媒体であってもよい。

　また、上述した攻撃状況可視化装置、あるいは、当該攻撃状況可視化装置の構成要素は、図２５に例示するハードウェア装置２５００を仮想化した仮想環境と、その仮想環境において実行されるソフトウェア・プログラム（コンピュータ・プログラム）とによって構成されてもよい。この場合、図２５に例示するハードウェア装置２５００の構成要素は、仮想環境における仮想デバイスとして提供される。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

　なお、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限定されない。

　（付記１）
　サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
　地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
　前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する、攻撃状況可視化装置。

　（付記２）
　前記表示情報生成手段は、
　　前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第１送信元画像を表示可能な前記表示情報を生成し、
　　前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第１送信元画像とは異なる第２送信元画像を表示可能な前記表示情報を生成する
付記１に記載の攻撃状況可視化装置。

　（付記３）
　前記表示情報生成手段は、
　　前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第１送信先画像を表示可能な前記表示情報を生成し、
　　前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第１送信先画像とは異なる第２送信先画像を表示可能な前記表示情報を生成する
付記１又は付記２に記載の攻撃状況可視化装置。

　（付記４）
　前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
　前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する
付記１乃至付記３のいずれかに記載の攻撃状況可視化装置。

　（付記５）
　前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出し、
　前記表示情報生成手段は、通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する
付記１乃至付記４のいずれかに記載の攻撃状況可視化装置。

　（付記６）
　前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出し、
　前記表示情報生成手段は、前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する
付記４又は付記５に記載の攻撃状況可視化装置。

　（付記７）
　前記表示情報生成手段は、前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する
付記４乃至付記６のいずれかに記載の攻撃状況可視化装置。

　（付記８）
　前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出し、
　前記表示情報生成手段は、前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する
付記４乃至付記７のいずれかに記載の攻撃状況可視化装置。

　（付記９）
　前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する１以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報が含まれない場合、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信先特定情報が含まれる前記レスポンスを受信し、前記送信元特定情報と、前記レスポンスに含まれる前記送信先特定情報とを関連付ける、外部情報照会手段を更に備え、
　前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記１乃至付記８のいずれかに記載の攻撃状況可視化装置。

　（付記１０）
　前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する１以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報が含まれない場合は、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信元特定情報が含まれる前記レスポンスを受信し、前記送信先特定情報と、前記レスポンスに含まれる前記送信元特定情報とを関連付ける、外部情報照会手段を更に備え、
　前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記１乃至付記８のいずれかに記載の攻撃状況可視化装置。

　（付記１１）
　前記外部情報照会手段は、
　　前記情報源に対して前記リクエストを送信し、その前記リクエストに対する前記レスポンスを受信することで、前記情報源に関する検索を実行する１以上のクローラと、
　　前記リクエストに含まれる情報を入力として受けつけ、その前記リクエストを送信可能なそれぞれの前記クローラについてスコアを算出する分析モデルと、を有し、
　　前記リクエストの送信に際して、その前記リクエストに含まれる情報を前記分析モデルに入力することで算出された前記スコアが最も高い前記クローラを選択し、選択した前記クローラを用いて前記情報源に対して前記リクエストを送信する、
付記９又は付記１０に記載の攻撃状況可視化装置。

　（付記１２）
　前記分析モデルは、
　対応関係が予め特定されている前記送信元特定情報と、前記送信先特定情報とを１以上含む訓練データを用いて、
　１以上の前記クローラの内、ある前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報の一方を含む前記リクエストを前記情報源に送信することで、その前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報との他方が含まれる前記レスポンスを取得することができる前記前記クローラに関する前記スコアが大きくなるように学習されたモデルである、
付記１１に記載の攻撃状況可視化装置。

　（付記１３）
　前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報と、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報との少なくとも一方を、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する１以上の情報源に送信することで得られるレスポンスに応じて、前記送信元と、前記送信先とを関連付け外部情報照会手段を更に備え、
　前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記１乃付記８のいずれかに記載の攻撃状況可視化装置。

　（付記１４）
　サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、
　地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成し、
　ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する
攻撃状況可視化方法。

　（付記１５）
　サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
　地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
　ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、をコンピュータに実行させる
攻撃状況可視化プログラムが記録された記録媒体。

　１００　　攻撃状況可視化装置
　１０１　　ログ解析部
　１０２　　表示情報生成部
　５００　　攻撃状況可視化装置
　５０１　　ログ解析部
　５０２　　表示情報生成部
　５０３　　ログ収集部
　５０４　　外部情報照会部
　２２００　　攻撃状況可視化装置
　２２０１　　外部情報照会部
　２５０１　　プロセッサ
　２５０２　　メモリ
　２５０３　　不揮発性記憶装置
　２５０４　　リーダライタ
　２５０５　　記録媒体
　２５０６　　ネットワークインタフェース
　２５０７　　入出力インタフェース

Claims

　サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
　地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
　前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する、攻撃状況可視化装置。
　前記表示情報生成手段は、
　　前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第１送信元画像を表示可能な前記表示情報を生成し、
　　前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第１送信元画像とは異なる第２送信元画像を表示可能な前記表示情報を生成する
請求項１に記載の攻撃状況可視化装置。
　前記表示情報生成手段は、
　　前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第１送信先画像を表示可能な前記表示情報を生成し、
　　前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第１送信先画像とは異なる第２送信先画像を表示可能な前記表示情報を生成する
請求項１又は請求項２に記載の攻撃状況可視化装置。
　前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
　前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する
請求項１乃至請求項３のいずれかに記載の攻撃状況可視化装置。
　前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出し、
　前記表示情報生成手段は、通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する
請求項１乃至請求項４のいずれかに記載の攻撃状況可視化装置。
　前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出し、
　前記表示情報生成手段は、前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する
請求項４又は請求項５に記載の攻撃状況可視化装置。
　前記表示情報生成手段は、前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する
請求項４乃至請求項６のいずれかに記載の攻撃状況可視化装置。
　前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出し、
　前記表示情報生成手段は、前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する
請求項４乃至請求項７のいずれかに記載の攻撃状況可視化装置。
　前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する１以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報が含まれない場合、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信先特定情報が含まれる前記レスポンスを受信し、前記送信元特定情報と、前記レスポンスに含まれる前記送信先特定情報とを関連付ける、外部情報照会手段を更に備え、
　前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
請求項１乃至請求項８のいずれかに記載の攻撃状況可視化装置。
　前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する１以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報が含まれない場合は、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信元特定情報が含まれる前記レスポンスを受信し、前記送信先特定情報と、前記レスポンスに含まれる前記送信元特定情報とを関連付ける、外部情報照会手段を更に備え、
　前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
請求項１乃至請求項８のいずれかに記載の攻撃状況可視化装置。
　前記外部情報照会手段は、
　　前記情報源に対して前記リクエストを送信し、その前記リクエストに対する前記レスポンスを受信することで、前記情報源に関する検索を実行する１以上のクローラと、
　　前記リクエストに含まれる情報を入力として受けつけ、その前記リクエストを送信可能なそれぞれの前記クローラについてスコアを算出する分析モデルと、を有し、
　　前記リクエストの送信に際して、その前記リクエストに含まれる情報を前記分析モデルに入力することで算出された前記スコアが最も高い前記クローラを選択し、選択した前記クローラを用いて前記情報源に対して前記リクエストを送信する、
請求項９又は請求項１０に記載の攻撃状況可視化装置。
　前記分析モデルは、
　対応関係が予め特定されている前記送信元特定情報と、前記送信先特定情報とを１以上含む訓練データを用いて、
　１以上の前記クローラの内、ある前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報の一方を含む前記リクエストを前記情報源に送信することで、その前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報との他方が含まれる前記レスポンスを取得することができる前記前記クローラに関する前記スコアが大きくなるように学習されたモデルである、
請求項１１に記載の攻撃状況可視化装置。
　前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報と、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報との少なくとも一方を、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する１以上の情報源に送信することで得られるレスポンスに応じて、前記送信元と、前記送信先とを関連付け外部情報照会手段を更に備え、
　前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
請求項１乃至請求項８のいずれかに記載の攻撃状況可視化装置。
　サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、
　地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成し、
　ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する
攻撃状況可視化方法。
　サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
　地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
　ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、をコンピュータに実行させる
攻撃状況可視化プログラムが記録された記録媒体。