WO2019123757A1

WO2019123757A1 - 分類装置、分類方法、および、分類プログラム

Info

Publication number: WO2019123757A1
Application number: PCT/JP2018/035987
Authority: WO
Inventors: 雄太高田; 満昭秋山; 毅八木
Original assignee: 日本電信電話株式会社
Priority date: 2017-12-20
Filing date: 2018-09-27
Publication date: 2019-06-27
Also published as: EP3705974A1; EP3705974A4; JPWO2019123757A1; US20200372085A1; JP6823201B2; EP3705974B1; US11423099B2

Abstract

分類装置は、ウェブサイトの管理者により更新されるウェブサイトアプリケーション情報、ウェブサーバ情報等を含むウェブサイトへのアクセス結果データを取得するクローラ部（１２１）と、ウェブサイトへのアクセス結果データに含まれる情報を時系列順に比較することにより、当該ウェブサイトの更新履歴を作成する更新履歴作成部（１２２）と、ウェブサイトの更新履歴を特徴量として用いて、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する分類器作成部（１２３）と、作成した分類器により今後悪用される可能性のあるウェブサイトを分類する分類部とを備える。

Description

分類装置、分類方法、および、分類プログラム

　本発明は、分類装置、分類方法、および、分類プログラムに関する。

　他人のウェブサイトを悪用するウェブサイト改ざんが問題となっている。攻撃者は、例えば、ドライブバイダウンロード攻撃（Drive-by　Download攻撃）を仕掛けるウェブサイトやフィッシングサイト等の悪性ウェブサイトへ転送するよう他人のウェブサイトを改ざんすることで、自身の目的を達成する。このようなウェブサイトの改ざんは、ウェブサーバやウェブアプリケーションに存在する脆弱性が悪用されたり、マルウェア感染によりウェブサイト管理情報が窃取されたりすることで発生する。

　特に、CMS（Content　Management　System）に存在する脆弱性の悪用による脅威は年々増大している。CMSは、ウェブサイトを作成、管理、配信するためのシステムであり、ウェブサイトの管理者に広く用いられている。しかしながら、これまでに多くの脆弱性がCMSで発見されていたり、ウェブサイトに使用されているCMSを容易に判別できたりするため、ウェブサイト改ざんに頻繁に悪用されている。このためウェブサイト改ざんの抑制には、ウェブサイト管理者によるCMSのバージョン更新やセキュリティパッチの適用が重要となる。

　しかしながら、実際には長い間に対応がなされず、放置されたウェブサイトが攻撃者に悪用されている。実際に、攻撃者は、「Dork」と呼ばれる技術により、検索エンジンを用いて脆弱なCMSで管理されているウェブサイトを効率的に見つけ出していることが知られている。これらの発見されたウェブサイトは、長く運用された実績を持つとともに、既知の脆弱性を保有していることが多いため、攻撃者の標的となりやすい。すなわち、不用意な管理者により管理・運用されるウェブサイトが、攻撃者に悪用される可能性が高いと推測できる。このような放置されたウェブサイトの管理者に対して、これまでの管理・運用の実態を踏まえて注意喚起することは、攻撃者によるウェブサイトの悪用を未然に防ぐ上で重要となる。

　このような注意喚起を実現する単純な方法として、Dork技術を用いて古いバージョンのCMSで管理されているウェブサイトを発見し、当該ウェブサイトの管理者に注意喚起する方法がある。しかしながら、管理者は適切にウェブサイトを管理運用しているものの、何らかの理由があってCMSの古いバージョンを意図的に使用している場合もある。このため、ウェブサイトに使用されるCMSが古いバージョンであるからといって、一概に悪用の恐れがあるとは言えない。

　従来、ウェブサイト上におけるドライブバイダウンロード攻撃やフィッシング、ハクティビズムを検知する手法が知られている（非特許文献１～３参照）。また、悪用前のウェブサイトから特徴量を設計し、その特徴量に基づきウェブサイトの悪用を事前に検知する手法（非特許文献４参照）が知られている。上記の手法はいずれも、ウェブサイトの悪用の検知に有用な特徴量の設計に、主にウェブサイトのURLやウェブコンテンツを用いている。

D.　Canali,　et　al.,　"Prophiler:　A　Fast　Filter　for　the　Large-Scale　Detection　of　Malicious　Web　Pages",　in　World　Wide　Web　Conference　(WWW),　2011. C.　Ludl,　et　al.,　"On　the　Effectiveness　of　Techniques　to　Detect　Phishing　Sites",　in　Conference　on　Detection　of　Intrusions　and　Malware　and　Vulnerability　Assessment　(DIMVA),　2007. K.　Borgolte,　et　al.,　"Meerkat:　Detecting　Website　Defacements　through　Image-based　Object　Recognition",　in　USENIX　Security　Symposium,　2015. K.　Soska,　et　al.,　"Automatically　Detecting　Vulnerable　Websites　Before　They　Turn　Malicious",　in　USENIX　Security　Symposium,　2014.

　しかし、従来技術では、管理者によるウェブサイトの管理状態に起因して悪用される可能性があるウェブサイトを事前に精度よく検知する技術は提案されていなかった。そこで、本発明は、前記した問題を解決し、管理者によるウェブサイトの管理状態に起因して悪用される可能性があるウェブサイトを事前に精度よく検知することを課題とする。

　前記した課題を解決するため、本発明は、ウェブサイトの管理者により更新される前記ウェブサイトの情報を含む前記ウェブサイトへのアクセス結果データを取得する取得部と、前記ウェブサイトへのアクセス結果データを時系列順に比較することにより、当該ウェブサイトの更新履歴を作成する更新履歴作成部と、前記ウェブサイトの更新履歴を特徴量として用いて、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する分類器作成部と、を備えることを特徴とする。

　本発明によれば、管理者によるウェブサイトの管理状態に起因して悪用される可能性があるウェブサイトを事前に精度よく検知することができる。

図１は、分類装置の動作概要を説明する図である。図２は、分類装置の構成例を示すブロック図である。図３は、図２のアクセス結果ＤＢの一例を示す図である。図４は、更新履歴の作成を説明するための図である。図５は、アクセス結果データの比較の一例を示す図である。図６は、更新履歴の一例を示す図である。図７は、図６の更新履歴を示す特徴ベクトルの一例を示す図である。図８は、図２の分類装置による分類器の作成手順の一例を示すフローチャートである。図９は、図２の分類装置による分類手順の一例を示すフローチャートである。図１０は、図２の分類装置によるアクセス結果データのアクセス結果ＤＢへの蓄積処理の一例を示すフローチャートである。図１１は、図２の分類装置による更新履歴の作成処理の一例を示すフローチャートである。図１２は、分類プログラムを実行するコンピュータを示す図である。

［概要］
　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。

　本実施形態の分類装置は、定常的にウェブサイトを監視し、当該ウェブサイトから管理者に起因すると考えられる情報を収集する。そして、分類装置は、当該ウェブサイトがどのように管理・運用されているのかを過去にさかのぼり時系列に分析することで、今後悪用され得るウェブサイトを分類する。

［分類器の作成フェーズ］
　例えば、図１に示すように、分類装置は、まず、クローラ部（取得部）１２１により、インターネット経由で学習用URLリスト（学習用良性URLリストおよび学習用悪性URLリスト）に示されるウェブサイトへアクセスする。そして、クローラ部１２１は、各ウェブサイトへのアクセス結果データを収集し、アクセス結果ＤＢに蓄積する。ここで、ウェブサイトへのアクセス結果データは、ウェブサイトの管理者による管理に起因して更新される情報（例えば、後記するウェブアプリケーション情報等）を含む。

　また、上記の学習用良性URLリストおよび学習用悪性URLリストは、例えば、様々なウェブサイトの過去の状態をアーカイブするサービス（以下の文献１）により提供されているURLリストを用いる。

　文献１：Internet　Archive,　“Wayback　Machine”，　https://archive.org/web/

　例えば、学習用悪性URLリストとして、悪用検知後および悪用検知前の各時刻におけるウェブサイトの状態をアーカイブしているサービスにより提供されているURLリストを用いる。また、学習用良性URLリストとして、悪用されていないウェブサイトの各時刻における状態をアーカイブしているサービスにより提供されているURLリストを用いる。

　次に、分類装置は、更新履歴作成部１２２により、アクセス結果ＤＢに蓄積されたウェブサイトごとのアクセス結果データを比較し、当該ウェブサイトの更新履歴を作成する。

　例えば、分類装置は、更新履歴作成部１２２により、学習用悪性URLリストに示されるウェブサイトのアクセス結果データのうち、悪用検知前のアクセス結果データに基づき、悪用されたウェブサイトの更新履歴を作成する。つまり、悪用が検知されるまでのウェブサイトの更新履歴を作成する。また、分類装置は、更新履歴作成部１２２により、学習用良性URLリストに示されるウェブサイトのアクセス結果データに基づき、悪用されていないウェブサイトの更新履歴を作成する。

　そして、分類装置の分類器作成部１２３は、上記の悪用されたウェブサイトの更新履歴および悪用されていないウェブサイトの更新履歴を特徴量として用いて機械学習等を行い、今後悪用される可能性があるウェブサイトを分類する分類器を作成する。

［分類フェーズ］
　その後、分類装置は、作成した分類器を用いてテスト用URLリスト（分類対象となるウェブサイトのURLのリスト）に示されるウェブサイトの分類を行う。

　例えば、分類装置はクローラ部１２１によりテスト用URLリストに示されるウェブサイトにアクセスし、当該ウェブサイトへのアクセス結果データをアクセス結果ＤＢに蓄積する。そして、分類装置は、更新履歴作成部１２２により、アクセス結果ＤＢに蓄積されたウェブサイトごとのアクセス結果データを比較し、当該ウェブサイトの更新履歴を作成する。その後、分類装置は、テスト用URLリストに示されるウェブサイトの更新履歴を特徴量とし、上記の分類器を用いて、テスト用URLリストに示される各ウェブサイトが、今後悪用される可能性があるか否かを分類し、分類結果を出力する。

　このようにすることで、分類装置は、ウェブサイトの管理者の管理状態に起因して悪用される可能性があるウェブサイトを事前に精度よく検知することができる。

［構成］
　次に、図２を用いて分類装置１０の構成を説明する。図２に示すように、分類装置１０は、入出力部１１と、制御部１２と、記憶部１３とを備える。

　入出力部１１は、各種URLリストの入力を受け付けたり、分類器によるURLに示されるウェブサイトの分類結果等を出力したりする入出力インタフェースである。また、この入出力部１１は、クローラ部１２１等がインターネット等の外部ネットワークにアクセスする際の通信インタフェースも司る。

　制御部１２は、分類装置１０全体の制御を司る。この制御部１２は、クローラ部１２１と、更新履歴作成部１２２と、分類器作成部１２３と、分類部１２４とを備える。

［クローラ部］
　クローラ部１２１は、指定されたURLのウェブサイトへアクセスし、様々な情報を収集（取得）する。例えば、クローラ部１２１は、所定期間ごとに、URLリストに示される各ウェブサイトにアクセスし、アクセスしたウェブサイトへのアクセス結果データを収集し、アクセス結果ＤＢへ蓄積する。このアクセス結果データは、ウェブサイトの管理者による管理に起因して更新される当該ウェブサイトの情報（例えば、後記するウェブアプリケーション情報等）を含む。このクローラ部１２１は、例えば、ウェブサイトへアクセスするブラウザまたはクローラプログラムの実行により実現される。

　なお、クローラ部１２１に入力されるURLリストは、例えば、学習用URLリスト（学習用良性URLリストと学習用悪性URLリスト）や、テスト用URLリストである。

　上記の学習用良性URLリストおよび学習用悪性URLリストは、例えば、前記したとおり、悪用が検知されていないウェブサイト（良性ウェブサイト）および悪用が検知されたウェブサイト（悪性ウェブサイト）の過去の状態をアーカイブするサービス（文献１）により提供されているURLリストを用いる。

　また、学習用悪性URLリストは、例えば、既存技術（例えば、アンチウイルスソフトや非特許文献１～３に記載の技術）を用いて、悪用を事前に検知したウェブサイトのURLを含む悪性URLリスト（例えば、以下の文献２，３に示す既知の悪性URLリストでもよい）を用いてもよい。

　文献２：OpenDNS,　“PhishTank”，　https://www.phishtank.com/
　文献３：Malwarebytes,　“hpHosts”，　https://www.hosts-file.net/

　この場合、クローラ部１２１は、例えば、前記既知の悪性URLリストに基づき、悪用検知前の時刻にアーカイブされたウェブサイトへアクセスし、アクセス結果データを収集する。そして、クローラ部１２１は、収集したアクセス結果データを、悪用検知前のアクセス結果データ（悪用が検知されるまでの一連のアクセス結果データ）として、アクセス結果ＤＢに蓄積する。この時、クローラ部１２１は、所定期間、定常的に特定のURLが示すウェブサイトへアクセスし、既存技術により当該ウェブサイトの悪用を検知した場合に、それまで収集したアクセス結果データを、悪用検知前のアクセス結果データとして用いても良い。

　また、クローラ部１２１により収集される、ウェブサイトのアクセス結果データは、当該ウェブサイトを構成する情報を含む。例えば、ウェブサイトへのアクセス結果データは、当該ウェブサイトのHTTPヘッダから得られる当該ウェブサイトのウェブサーバ情報と、当該ウェブサイトのHTTPボティ（例えば、HTTPボディのmetaタグ）から得られる当該ウェブサイトのウェブアプリケーション情報と、当該ウェブサイトのCMS情報との少なくともいずれかを含む。例えば、アクセス結果データは、HTTPヘッダに含まれるServer　headerやX-Powered-By　headerから得られるウェブサーバ情報や、HTTPボディに含まれるmetaタグから得られるウェブアプリケーション情報、URLのパス文字列から得られるCMS情報等を含む。なお、CMS情報は、例えば、当該ウェブサイトのURL、HTTPヘッダ、および、HTTPボディのmetaタグそれぞれについて、当該情報から当該ウェブサイトのCMSを特定可能か否かを示した情報である。

　例えば、図３に示すアクセス結果データにおいて、CMS情報は、URLからのCMSの特定可否を示す「detect-url」、metaタグからのCMSの特定可否を示す「detect-meta」、HTTPヘッダからのCMSの特定可否を示す「detect-header」等の情報である。また、図３に示すアクセス結果データにおいて、ウェブサーバ情報は、Server　header、X-Powered-By　header等の情報である。さらに、図３に示すアクセス結果データにおいて、ウェブアプリケーション情報は、metaタグのgenerator属性値であるmeta［generator］等の情報である。

　なお、従来技術は、ウェブサイトが悪用される可能性があるか否かを判断する際、改ざんにより挿入されるコンテンツや攻撃コード等の悪性コンテンツに着目した情報を特徴量として用いていた。一方、本実施形態の分類装置１０は、上記のウェブサイトのウェブサーバ情報やウェブアプリケーション情報等、ウェブサイトの管理者が更新でき得る情報を特徴量として用いる。ただし、上記のウェブサーバ情報やウェブアプリケーション情報は、ウェブサイト管理者により更新可能な情報であれば、これらに限るものではない。

［アクセス結果データ］
　アクセス結果ＤＢに蓄積されるアクセス結果データを、図３を用いて説明する。例えば、アクセス結果ＤＢに蓄積されるアクセス結果データは、各アクセス結果データの識別情報である「ID」、ウェブサイトへのアクセス日時である「Date」、アクセスしたウェブサイトのURLである「URL」、当該URLへアクセスした際に別途アクセスが発生するURLの数である「URL数」、HTTPボディのmetaタグのgenerator属性値である「meta［generator］」、HTTPヘッダに含まれる「Server　header」および「X-Powered-By　header」、URLからのCMSの特定可否を示す「detect-url」、metaタグからのCMSの特定可否を示す「detect-meta」、HTTPヘッダからのCMSの特定可否を示す「detect-header」等の情報を含む。

　また、上記のアクセス結果データにおける、「detect-url」、「detect-meta」および「detect-header」の値、つまり、True（CMSの特定可能）、False（CMSの特定不可能）は、既存技術（例えば、以下の文献４に記載の技術）に基づき、クローラ部１２１が判断するものとする。

　文献４：Wappalyzer,　https://wappalyzer.com/

　なお、クローラ部１２１が学習用URLリストに示されるウェブサイトにアクセスした場合、当該ウェブサイトへのアクセス結果データに、アクセス先のウェブサイトが良性URL（悪用されていないウェブサイト）か悪性URL（悪用されたウェブサイト）かを示す識別情報を付与して、アクセス結果ＤＢに蓄積する。

［更新履歴作成部］
　図２の更新履歴作成部１２２は、アクセス結果ＤＢ（図３参照）に蓄積されたアクセス結果データに基づき、ウェブサイトの更新履歴を作成する。例えば、更新履歴作成部１２２は、アクセス結果ＤＢから、同一URL（シードURLと呼ぶ）へのアクセス結果データを取得し、時系列順に比較する。例えば、更新履歴作成部１２２は、比較対象のアクセス結果データに含まれる各情報の比較（例えば、文字列、数値の比較、真偽値等の比較）を行い、比較結果をシードURLのウェブサイトの更新履歴として記憶部１３に記憶する。

　なお、更新履歴作成部１２２は、学習用悪性URLリストに示されるウェブサイトの更新履歴を作成する際、当該ウェブサイトへのアクセス結果データのうち、当該ウェブサイトの悪用検知前のアクセス結果データに基づき、悪用されたウェブサイトの更新履歴を作成する。

　このことを、具体例を用いて説明する。例えば、アクセス結果ＤＢに、学習用悪性URLリストに示されるウェブサイト（悪用されたウェブサイト）へのアクセス結果データとして、当該ウェブサイトの悪用検知前から悪用検知後にわたる各日時のアクセス結果データが蓄積されていた場合を考える。

　この場合、更新履歴作成部１２２は、図４に示すように、悪用されたウェブサイトの更新履歴の作成に、当該ウェブサイトの各日時のアクセス結果データのうち、悪用検知前のアクセス結果データ（悪用検知されなかったアクセス結果データ）を利用する。つまり、更新履歴作成部１２２は、悪用されたウェブサイトについて、悪用が検知されるまでの各日時のアクセス結果データを用いて、当該ウェブサイトの更新履歴を作成する。

　一方、更新履歴作成部１２２が、学習用良性URLリストに示されるウェブサイト（悪用されていないウェブサイト）の更新履歴を作成する際には、当該ウェブサイトについてすべてのアクセス結果データ（各日時のアクセス結果データ）を利用して、当該ウェブサイトの更新履歴を作成する。

　更新履歴作成部１２２による更新履歴の作成を、具体例を用いて説明する。例えば、更新履歴作成部１２２は、図３に示すアクセス結果データのうち、シードURL「http://c.example」のアクセス結果データ（ID=101～103）を項目（例えば、「Date」、「meta［generator］」、「Server　header」、「X-Powered-By　header」、「detect-url」、「detect-meta」および「detect-header」）ごとに比較し、ウェブサイト（http://c.example）の更新履歴を作成する場合を考える。

　この場合、更新履歴作成部１２２は、まず、図５に示すように、ID=101とID=102のアクセス結果データに比較し、その比較結果（符号５０１）を記録する。次に、更新履歴作成部１２２は、ID=102とID=103のアクセス結果データを比較し、その比較結果（符号５０２）を更新履歴として記録する（図６のシードURL「http://c.example」における更新履歴の例（比較回数２回の場合）参照）。

　なお、例えば、更新履歴作成部１２２は、比較対象のアクセス結果データにおける比較データが文字列だった場合、当該文字列が観測できるようになった時に「Up」、当該文字列が変化しなかった時に「Stable」、当該文字列が変化した時に「Updated」、当該文字列が観測できないようになった時に「Down」を更新履歴に記録する。

　また、比較データが数値だった場合、更新履歴作成部１２２は、当該数値が増加した時に「Up」、当該数値が変化しなかった時に「Stable」、当該数値が減少した時に「Down」を更新履歴に記録する。さらに、比較データが真偽値だった場合、更新履歴作成部１２２は、数値と同様の比較が行われ、偽から真へ変化した時に「Up」、当該真偽値が変化しなかった時に「Stable」、真から偽変化した時に「Down」を更新履歴に記録する。

　また、更新履歴作成部１２２は、値の変化を一意に示すことができれば、数値や「Up、Stable、Updated、Down」以外の文字列等を用いてもよい。また、更新履歴作成部１２２は、クローラ部１２１により収集されるデータに応じて、文字列、数値、真偽値以外のデータタイプを許容するものとする。

　また、更新履歴作成部１２２は、図３に示すように、アクセス結果データのDateの値を比較して得られた、シードURLへのアクセス日時の時間間隔（月数）を更新履歴に記録してもよい（図６の「Delta」参照）。

　このようにシードURLへのアクセス日時の時間間隔（月数）を更新履歴に含めることで、分類器作成部１２３が分類器を作成する際、シードURLへのアクセス日時の時間間隔も特徴量として考慮した分類器の作成をすることができる。そして、分類部１２４が、分類対象のウェブサイトへのアクセス日時の時間間隔を含む更新履歴の入力を受け付け、上記の分類器を用いた分類を行うことで、今後悪用され得るウェブサイトの分類精度を向上させることができる。

　また、更新履歴作成部１２２は、同じシードURLのアクセス結果データ同士の時間間隔（図６における「Delta」の値）が事前に定めた時間間隔を上回らない場合、同じシードURLについて、さらに過去のアクセス結果データを用いて更新履歴を作成してもよい。

　なお、分類器作成部１２３が分類器の作成に用いる更新履歴はそれぞれ、同じシードURLのアクセス結果データを同じ回数比較して得られた更新履歴である必要がある。そのため、更新履歴作成部１２２は、分類器の作成に用いられるアクセス結果データの更新履歴それぞれについて、アクセス結果データの比較回数を同じ回数とするため、以下の処理を実行する。

　例えば、分類器の作成に用いる更新履歴はそれぞれ、アクセス結果データを３回比較して得られた更新履歴である必要があるが、アクセス結果ＤＢに同じシードURLのアクセス結果データが３つしか蓄積されていない（２回しか比較できない）場合を考える。

　このような場合、更新履歴作成部１２２は、同じシードURLのアクセス結果データを２回分の比較結果を更新履歴に記録した後、３回目の比較結果として欠損値（例えば、－１）を更新履歴に記録する。

　例えば、更新履歴作成部１２２は、シードURL「http://c.example」における更新履歴として、図５に示すアクセス結果データ（ID=101～103）の比較結果（２回分の比較結果）を記録した上で、３回目の比較結果を「－１」とした更新履歴を作成する（図６のシードURL「http://c.example」における更新履歴の例（比較回数３回の場合）参照）。なお、上記の例では欠損値として「－１」を用いたが、欠損値であることが特定できる値であれば、「－１」以外の値を用いてもよい。

　このようにすることで、更新履歴作成部１２２は、分類器の作成に用いられる更新履歴それぞれについて、アクセス結果データの比較回数を同じ回数とした更新履歴を作成することができる。なお、アクセス結果データの比較回数は、任意の値を定めることができるものとする。

［分類器作成部］
　図２の分類器作成部１２３は、悪用されていないウェブサイトの更新履歴および悪用されたウェブサイトの更新履歴を特徴量として用いた機械学習等を行い、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する。

　例えば、分類器作成部１２３は、記憶部１３に記憶される、学習用良性URLリストに示されるウェブサイトの更新履歴と、学習用悪性URLリストに示されるウェブサイトの更新履歴とを読み出す。そして、分類器作成部１２３は、学習用良性URLリストに示されるウェブサイトの更新履歴を示す特徴ベクトルと、学習用悪性URLリストに示されるウェブサイトの更新履歴を示す特徴ベクトルとを作成する。その後、分類器作成部１２３は、学習用良性URLリストに示されるウェブサイトの更新履歴を示す特徴ベクトルを良性データ、学習用悪性URLリストに示されるウェブサイトの更新履歴を示す特徴ベクトルを悪性データとして用いた機械学習等を行い、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する。

　例えば、分類器作成部１２３は、図６に示すシードURL「http://c.example」における更新履歴（比較回数３回の場合）を示す特徴ベクトルとして、図７に示す特徴ベクトルを作成する。なお、ここでは図示を省略しているが、特徴ベクトルには、当該特徴ベクトルが悪性データの特徴ベクトルか、良性データの特徴ベクトルかの識別情報が付与されているものとする。そして、分類器作成部１２３は、上記の識別情報を含む特徴ベクトルを用いて、機械学習等を行い、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する。

［分類部］
　図２の分類部１２４は、分類器作成部１２３により作成された分類器を用いて、今後悪用される可能性のあるウェブサイトを分類し、分類結果を出力する。例えば、分類部１２４は、テスト用URLリストに示されるウェブサイトの更新履歴を示す特徴ベクトルと、分類器作成部１２３により作成された分類器を用いて、テスト用URLリストに示される各ウェブサイトが今後悪用される可能性があるか否かを分類し、分類結果を出力する。

［処理手順］
　次に、図８および図９を用いて、分類装置１０の処理手順の例を説明する。まず、図８を用いて分類装置１０が分類器を作成する手順を説明する。

　分類装置１０のクローラ部１２１は、学習用良性URLリストおよび学習用悪性URLリストに示されるウェブサイトへアクセスし（Ｓ１）、取得したアクセス結果データをアクセス結果ＤＢに蓄積する（Ｓ２）。その後、更新履歴作成部１２２は、アクセス結果ＤＢに蓄積された同じシードURLに関するアクセス結果データを時系列順に取得し、更新履歴を作成する（Ｓ３）。そして、分類器作成部１２３は、学習用良性URLリストに示されるウェブサイトに関する更新履歴と、学習用悪性URLリストに示されるウェブサイトに関する更新履歴とを用いた機械学習等を行い、各ウェブサイトが今後悪用される可能性があるか否かを分類する分類器を作成する（Ｓ４）。

　次に、図９を用いて、分類装置１０が作成した分類器を用いて、テスト用URLリストに示されるウェブサイトについて、今後悪用される可能性のあるウェブサイトを分類する手順を説明する。

　まず、分類装置１０のクローラ部１２１は、テスト用URLリストに示されるウェブサイトにアクセスし（Ｓ１１）、当該アクセスにより取得したアクセス結果データをアクセス結果ＤＢに蓄積する（Ｓ１２）。その後、更新履歴作成部１２２は、図８のＳ２と同様に、アクセス結果ＤＢに蓄積された同じシードURLに関するアクセス結果データを時系列順に取得し、更新履歴を作成する（Ｓ１３）。そして、分類部１２４は、図８のＳ４で作成された分類器を用いて、テスト用URLリストに示されるテスト用URLの分類を行う（Ｓ１４）。例えば、分類部１２４は、テスト用URLに示されるウェブサイトの更新履歴を示す特徴ベクトルと、図８のＳ４で作成された分類器を用いて、テスト用URLリストに示されるウェブサイトが今後悪用される可能性のあるウェブサイトか否かを分類する。そして、分類部１２４は、Ｓ１４の分類の結果（分類結果）を出力する（Ｓ１５）。

　このようにすることで、分類装置１０は、ウェブサイトの管理者の管理状態に起因して悪用される可能性があるウェブサイトを事前に精度よく検知することができる。

　次に、図１０を用いて、クローラ部１２１が、アクセス結果ＤＢにアクセス結果データを蓄積する処理（図８のＳ１，Ｓ２、図９のＳ１１，Ｓ１２）を詳細に説明する。

　クローラ部１２１は、入力されたURLリストから次のアクセス対象のURLを取得し（Ｓ２１）、取得したアクセス対象のURLへアクセスし、取得したアクセス結果データをアクセス結果ＤＢに登録する（Ｓ２２）。そして、クローラ部１２１は、URLリストに含まれるURLすべてにアクセスしたと判断すると（Ｓ２３でＹｅｓ）、処理を終了し、URLリストにまだアクセスしていないURLがあれば（Ｓ２３でＮｏ）、Ｓ２１に戻る。

　次に、図１１を用いて、更新履歴作成部１２２が、アクセス結果ＤＢに蓄積されたアクセス結果データを用いて、シードURLに関する更新履歴を作成する処理（図８のＳ３、図９のＳ１３）を詳細に説明する。

　まず、更新履歴作成部１２２は、アクセス結果ＤＢから、シードURLに関するアクセス結果データを時系列順に取得する（Ｓ３１）ことを試み、アクセス結果データを取得できた場合（Ｓ３２：アクセス結果データ［取得］が存在？でＹｅｓ）、Ｓ３３へ進む。一方、更新履歴作成部１２２は、アクセス結果ＤＢから、シードURLに関するアクセス結果データを時系列順に取得できなかった場合（Ｓ３２：アクセス結果データ［取得］が存在？でＮｏ）、更新履歴に欠損値（例えば、－１）を記録し（Ｓ３４）、Ｓ３８へ進む。

　Ｓ３３では、更新履歴作成部１２２は、前回のアクセス結果データの比較で使用したアクセス結果データ（アクセス結果データ［保持］）の存在を確認し、アクセス結果データ［保持］が存在した場合は（Ｓ３３でＹｅｓ）、Ｓ３５へ進む。一方、アクセス結果データ［保持］が存在しない場合は（Ｓ３３でＮｏ）、更新履歴作成部１２２は、アクセス結果データ［取得］を当該アクセス結果データ［保持］へ格納し（Ｓ３６）、Ｓ３１へ戻る。

　Ｓ３５では、更新履歴作成部１２２は、更新履歴に、アクセス結果データ［取得］と、アクセス結果データ［保持］との比較結果を記録する（Ｓ３５）。その後、更新履歴作成部１２２は、アクセス結果データ［取得］をアクセス結果データ［保持］として格納する（Ｓ３７）。つまり、更新履歴作成部１２２は、アクセス結果データ［取得］を、次に取得するアクセス結果データとの比較用のデータとして記憶部１３の所定領域に格納する。その後、Ｓ３８へ進む。

　Ｓ３８では、更新履歴作成部１２２は、アクセス結果データの比較回数が上限値に達していれば（Ｓ３８でＹｅｓ）、処理を終了し、アクセス結果データの比較回数が上限値に達していなければ（Ｓ３８でＮｏ）、Ｓ３１に戻る。以上のようにして更新履歴作成部１２２は、シードURLごとの更新履歴を作成する。

　このような分類装置１０によれば、ウェブサイトの管理者の管理状態を含む当該ウェブサイトのアクセス結果データの更新履歴を特徴量として用い、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する。その結果、分類装置１０は、各ウェブサイトが今後悪用される可能性のあるウェブサイトか否かを精度よく分類することができる。

　なお、上記の実施形態において分類器の作成と、分類器を用いたウェブサイトの分類とは分類装置１０に行われるものとして説明したが、これに限定されない。例えば、分類装置１０は、分類器の作成のみを行い、分類器を用いたウェブサイトの分類は、別の装置で行ってもよい。

［プログラム］
　また、上記の実施形態で述べた分類装置１０の機能を実現するプログラムを所望の情報処理装置（コンピュータ）にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を分類装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等がその範疇に含まれる。また、分類装置１０の機能を、クラウドサーバに実装してもよい。

　図１２を用いて、上記のプログラム（分類プログラム）を実行するコンピュータの一例を説明する。図１２に示すように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ（Random　Access　Memory）１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。ディスクドライブ１１００には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１１１０およびキーボード１１２０が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１１３０が接続される。

　ここで、図１２に示すように、ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記の実施形態で説明した各種データや情報は、例えばハードディスクドライブ１０９０やメモリ１０１０に記憶される。

　そして、ＣＰＵ１０２０が、ハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、上記の分類プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１１００等を介してＣＰＵ（Central　Processing　Unit）１０２０によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮ（Local　Area　Network）やＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

１０　分類装置
１１　入出力部
１２　制御部
１３　記憶部
１２１　クローラ部
１２２　更新履歴作成部
１２３　分類器作成部
１２４　分類部

Claims

　ウェブサイトの管理者により更新される前記ウェブサイトの情報を含む前記ウェブサイトへのアクセス結果データを取得する取得部と、
　前記ウェブサイトへのアクセス結果データを時系列順に比較することにより、当該ウェブサイトの更新履歴を作成する更新履歴作成部と、
　前記ウェブサイトの更新履歴を特徴量として用いて、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する分類器作成部と、
　を備えることを特徴とする分類装置。
　前記ウェブサイトへのアクセス結果データは、
　悪用されなかったウェブサイトへのアクセス結果データと、悪用されたウェブサイトの悪用前におけるウェブサイトへのアクセス結果データとを含み、
　前記更新履歴作成部は、
　前記悪用されなかったウェブサイトへのアクセス結果データを時系列順に比較することにより、前記悪用されなかったウェブサイトの更新履歴を作成する処理と、前記悪用されたウェブサイトの悪用前におけるウェブサイト結果データを時系列順に比較することにより、前記悪用されたウェブサイトの更新履歴を作成する処理とを実行し、
　前記分類器作成部は、
　前記悪用されなかったウェブサイトの更新履歴の特徴量と、前記悪用されたウェブサイトの更新履歴の特徴量とを用いて、今後悪用される可能性のあるウェブサイトを分類する分類器を作成する
　ことを特徴とする請求項１に記載の分類装置。
　前記ウェブサイトへのアクセス結果データは、
　前記ウェブサイトのHTTPヘッダ情報から得られる当該ウェブサイトのウェブサーバ情報と、HTTPボティから得られる当該ウェブサイトのウェブアプリケーション情報と、当該ウェブサイトのURL、HTTPヘッダ情報および前記ウェブアプリケーション情報それぞれについて当該情報から当該ウェブサイトのCMS（Content　Management　System）を特定可能か否かを示すCMS情報との少なくともいずれかを含む
　ことを特徴とする請求項２に記載の分類装置。
　前記ウェブサーバ情報は、
　前記ウェブサイトで用いられるウェブサーバソフトウエア、および、前記ウェブサイトで用いられるプログラミング言語の少なくともいずれかを示す情報である
　ことを特徴とする請求項３に記載の分類装置。
　前記更新履歴作成部は、
　前記ウェブサイトへのアクセス結果データを時系列順に比較する際に、比較対象のアクセス結果データに示される前記ウェブサイトへのアクセス日時の差分を前記ウェブサイトの更新履歴に含める
　ことを特徴とする請求項１または請求項２に記載の分類装置。
　分類対象となるウェブサイトへのアクセス結果データの更新履歴と、前記分類器とを用いて、今後悪用される可能性のあるウェブサイトを分類する分類部をさらに備える
　ことを特徴とする請求項１に記載の分類装置。
　今後悪用される可能性のあるウェブサイトを分類する分類装置が、
　ウェブサイトの管理者により更新される前記ウェブサイトの情報を含む前記ウェブサイトへのアクセス結果データを取得するステップと、
　前記ウェブサイトへのアクセス結果データを時系列順に比較することにより、当該ウェブサイトの更新履歴を作成するステップと、
　前記ウェブサイトの更新履歴を特徴量として用いて、今後悪用される可能性のあるウェブサイトを分類する分類器を作成するステップと、
　を含んだことを特徴とする分類方法。
　今後悪用される可能性のあるウェブサイトを分類するための分類プログラムであって、
　ウェブサイトの管理者により更新される前記ウェブサイトの情報を含む前記ウェブサイトへのアクセス結果データを取得するステップと、
　前記ウェブサイトへのアクセス結果データを時系列順に比較することにより、当該ウェブサイトの更新履歴を作成するステップと、
　前記ウェブサイトの更新履歴を特徴量として用いて、今後悪用される可能性のあるウェブサイトを分類する分類器を作成するステップと、
　をコンピュータに実行させることを特徴とする分類プログラム。