WO2020022456A1

WO2020022456A1 - 情報処理装置、情報処理方法、及び情報処理プログラム

Info

Publication number: WO2020022456A1
Application number: PCT/JP2019/029287
Authority: WO
Inventors: 登志夫道具; 松本　卓也; 計介細谷; 猪俣　清人
Original assignee: デジタルアーツ株式会社
Priority date: 2018-07-26
Filing date: 2019-07-25
Publication date: 2020-01-30
Also published as: JP6716051B2; CN112424778A; JP2020017138A; US20210168172A1; EP3828745A1; EP3828745A4; SG11202100798YA

Abstract

情報処理装置１０は、クライアント端末１１がＷｅｂサーバ１２に対してコンテンツをリクエストした際のアクセスログを収集するアクセスログ収集部１４と、悪性ＵＲＬを予め登録するデータベース１６と、接続先ＵＲＬをデータベース１６と照合して、クライアント端末１１の接続先に対応する接続先ＵＲＬが悪性ＵＲＬと一致する場合に、コンテンツの改ざんを検知する改ざん検知部１９と、を備える。

Description

情報処理装置、情報処理方法、及び情報処理プログラム

　本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。

　Ｗｅｂサーバは、サーバを管理する管理者により作成、更新されたコンテンツを保存して、クライアント端末からのリクエストに応じてコンテンツを返す動作を実行する。

　ところで、Ｗｅｂサーバには、ＯＳを含む各種のソフトウェアがインストールされており、これらのソフトウェアにより、コンテンツの作成、更新の支援やクライアント端末との通信などが実行されている。これらのソフトウェアに脆弱性（セキュリティ上の弱点）が存在すると、悪意の第三者がこの脆弱性を利用してサーバへの攻撃（例えば、ＳＱＬインジェクション）を実行するおそれがある。

　悪意の第三者による攻撃が成功した場合、悪意の第三者はサーバ内へ侵入して、コンテンツの内容を意図的に改ざんすることで水飲み場型攻撃などを仕掛ける場合がある。水飲み場型攻撃とは、ユーザがインターネットを介して普段アクセスする、正規のＷｅｂサイトを悪意の第三者が改ざんして、正規のＷｅｂサイトにアクセスしたクライアント端末を、マルウェアなどをダウンロードする悪性のサイトへ誘導するサイバー攻撃の一種である。

　マルウェアなどをダウンロードする悪性ＵＲＬへのアクセスを防止するためには、悪性ＵＲＬを予め多く取得することが重要となる。従来では、ユーザの通信ログを介して取得したＵＲＬ等に基づいて取得したマルウェアファイルを仮想的に実行する実行装置を備えて、マルウェアを実行させた際に、このマルウェアファイルが通信を行う宛先となるＵＲＬ等を取得して接続先のＵＲＬをブラックリストとして収集する技術が開示されている。

特開２０１４－１７９０２５号公報

　しかしながら、マルウェアをダウンロードさせるサイト、あるいはフィッシングサイト（詐欺）等に誘導する悪性のＵＲＬを多く検出できたとしても、正規なＷｅｂサイトに対応するコンテンツに意図的な改ざんが実行されて、正規なＷｅｂサイトへアクセスした場合に悪性のサイトに遷移させる攻撃が仕掛けられた場合、改ざんされた正規なＷｅｂサイトのＵＲＬを即時に検知することは困難である。

　このため、正規なサイトに対応するサーバを管理する管理者は、コンテンツの改ざんに早期に気付くことはできず、正規なサイトがユーザにとって有害なＷｅｂサイトのまま放置されてしまうおそれがある。

　本発明はこのような事情を考慮してなされたもので、Ｗｅｂサーバのコンテンツの改ざんを早期に検知できる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。

　本発明の実施形態に係る情報処理装置は、クライアント端末がＷｅｂサーバに対してコンテンツをリクエストした際のアクセスログを収集するアクセスログ収集部と、悪性ＵＲＬを予め登録するデータベースと、クライアント端末の接続先に対応する接続先ＵＲＬをデータベースと照合して、接続先ＵＲＬが悪性ＵＲＬと一致する場合に、コンテンツの改ざんを検知する改ざん検知部と、を備えることを特徴とする。

　本発明の実施形態により、Ｗｅｂサーバのコンテンツの改ざんを早期に検知できる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。

第１実施形態に係る情報処理装置の構成の一例を示す構成図。（Ａ）クライアント端末からのリクエスト後に、ＵＲＬリダイレクトにより、リクエスト先のＵＲＬとは別のＵＲＬに接続された場合の、アクセスの流れを説明する説明図、（Ｂ）情報処理装置のログ抽出部において抽出されたアクセスログの一例を示す図。（Ａ）データベースで保存されるＵＲＬの一例を示す説明図、（Ｂ）良性ＵＲＬに関連付けられた管理者への通知先の一例を示す説明図。第１実施形態に係る情報処理方法の一例を示すフローチャート。（Ａ）ドライブバイダウンロード攻撃の一例であり、Ａ社のＷｅｂサーバで管理されるhtmlデータが悪意の第三者により改ざんされた場合に、特定の検索サイトのリファラを有した状態でリクエストがされたときのアクセスの流れを示す図、（Ｂ）検索サイトを介さないでhtmlデータのリクエストがされたときのアクセスの流れを示す図。第２実施形態に係る情報処理装置の構成の一例を示す構成図。第２実施形態に係る情報処理方法の一例を示すフローチャート。第３実施形態に係る情報処理装置の構成の一例を示す構成図。第３実施形態に係る情報処理方法の一例を示すフローチャート。

（第１実施形態）
　以下、本発明の実施形態を添付図面に基づいて説明する。
　図１は、第１実施形態に係る情報処理装置１０の構成の一例を示す図である。

　まず、全体の構成について説明する。
　クライアント端末１１は、インターネットを介してＷｅｂサーバ１２と接続されて、ＵＲＬにより特定されるＷｅｂサーバ１２のコンテンツをリクエストする。そして、Ｗｅｂサーバ１２から返されたコンテンツを、Ｗｅｂブラウザを介して表示させる。なお、コンテンツとしては、ｈｔｍｌデータ、画像データ、ｐｄｆファイル等の種々のデータが例示される。図１では、コンテンツとしてｈｔｍｌデータを例示している。

　Ｗｅｂサーバ１２は、クライアント端末１１から要求されたコンテンツをクライアント端末１１に返す。

　管理者端末１３は、Ｗｅｂサーバ１２に接続可能なコンピュータであり、管理者によりコンテンツの作成、更新が実行される。

　実施形態に係る情報処理装置１０は、ユーザのクライアント端末１１から収集したアクセスログを、悪性ＵＲＬを予め登録したデータベース１６と照合することで、ユーザのアクセス元のＵＲＬに対応するコンテンツの改ざんを検知する。

　情報処理装置１０は、クライアント端末１１のＷｅｂサーバ１２への接続情報に関するアクセスログを収集する。情報処理装置１０は、クライアント端末１１から直接アクセスログを取得してもよいし、クライアント端末１１が、インターネットへの接続を制御するためのプロキシサーバを介してＷｅｂサーバ１２に接続される場合には、情報処理装置１０はプロキシサーバからアクセスログを取得してもよい。また、外部のネットワークへの出入り口でクライアント端末１１の通信制御を行うファイアウォールなどを介してアクセスログを取得してもよい。また、クライアント端末１１からアクセスログを随時収集する別個のサーバを経由して情報処理装置１０はアクセスログを取得してもよい。

　なお、図１では、クライアント端末１１を１つで記載しているが、情報処理装置１０は、複数のクライアント端末１１に接続されて、クライアント端末１１のそれぞれからアクセスログを収集してもよい。

　第１実施形態に係る情報処理装置１０の具体的な構成について説明する。
　情報処理装置１０は、アクセスログ収集部１４と、ログ抽出部１５と、データベース１６と、改ざん検知部１９と、改ざん通知部２０と、を備えている。

　なお、情報処理装置１０を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ＡＳＩＣ等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。

　アクセスログ収集部１４は、クライアント端末１１がＷｅｂサーバ１２に対してコンテンツをリクエストした際のアクセスログを収集する。アクセスログ収集部１４は、クライアント端末１１がＷｅｂサーバ１２に接続した際の、クライアント端末１１を識別する識別情報（例えば、ＩＰアドレス）、アクセス元ＵＲＬ、接続先ＵＲＬ、コンテンツのアクセスに用いたＷｅｂブラウザ名、アクセス時間などをアクセスログとして取得する。

　アクセス元ＵＲＬは、クライアント端末１１からコンテンツをリクエストするためのＵＲＬを意味する。接続先ＵＲＬは、コンテンツのリクエスト後に、実際にクライアント端末１１が接続されたＵＲＬを意味する。通常、クライアント端末１１がコンテンツをリクエストするためにアクセスするＵＲＬと、そのリクエスト後に、実際にクライアント端末１１が接続されるＵＲＬとは一致する。つまりアクセス元ＵＲＬと接続先ＵＲＬとは一致する。

　一方で、クライアント端末１１からのリクエスト後に、ＵＲＬリダイレクト（ＵＲＬの参照先が自動的に変更されること）されて、リクエスト先のＵＲＬとは異なるＵＲＬにクライアント端末１１が自動で接続された場合、クライアント端末１１からコンテンツがリクエストされたＵＲＬと、リクエスト後に実際にクライアント端末１１が接続されたＵＲＬとは一致しない。つまりアクセス元ＵＲＬと接続先ＵＲＬとは一致しないものとなる。

　図２（Ａ）は、クライアント端末１１からのリクエスト後に、ＵＲＬリダイレクトにより、リクエスト先のＵＲＬとは別のＵＲＬにクライアント端末１１が接続された場合の、アクセスの流れを説明する説明図である。

　クライアント端末１１が、アクセス元ＵＲＬとなる「http://www.aaa.com/aaa.html」にアクセスして、Ｗｅｂサーバ１２にコンテンツ「aaa.html」をリクエストする。クライアント端末１１には、httpレスポンスが返される。そして、クライアント端末１１は、「http://www.ccc.com/ccc.html」にＵＲＬリダイレクトされて、Ｗｅｂサーバ５０にコンテンツ「ccc.html」を要求する。クライアント端末１１は、接続先ＵＲＬからccc.htmlデータを取得する。このように、ＵＲＬリダイレクトにより、リクエスト先のＵＲＬとは一致しないＵＲＬにクライアント端末１１が接続された場合、アクセス元ＵＲＬと接続先ＵＲＬとは一致しない。

　ログ抽出部１５は、アクセスログ収集部１４で収集されたアクセスログから、クライアント端末１１の接続先に対応する接続先ＵＲＬと、コンテンツのリクエスト先に対応するアクセス元ＵＲＬとが異なる、つまり２つのＵＲＬが一致しないアクセスログを抽出する。

　図２（Ｂ）は、情報処理装置１０のログ抽出部１５において抽出されたアクセスログの一例を示す図である。

　図２（Ｂ）に示すように、ログ抽出部１５は、ユーザのクライアント端末１１を識別するユーザＩＤ（ＩＰアドレス）ごとに、クライアント端末１１が実際に接続した接続先ＵＲＬ、ユーザがコンテンツをリクエストするためにアクセスしたアクセス元ＵＲＬなどを抽出する。

　データベース１６は、悪性ＵＲＬが予め登録された悪性ＵＲＬ保存部１７と、良性ＵＲＬが予め登録された良性ＵＲＬ保存部１８と、を有している。なお、以下の実施形態では、データベース１６において、ＵＲＬに対応させて良性または悪性のカテゴリに分けて登録しているが、ＩＰアドレスに対応させて良性または悪性のカテゴリに分けて登録してもよい。

　悪性ＵＲＬとは、クライアント端末１１にウィルスなどのマルウェアをダウンロードさせるコンテンツ、フィッシング（詐欺）サイトなど、悪意のあるファイルのダウンロードやＷｅｂサイトへの接続にクライアント端末１１を誘導する有害なＵＲＬを意味する。一方、良性ＵＲＬとは、クライアント端末１１にとって無害なＵＲＬを意味する。データベース１６では、登録されたＵＲＬのそれぞれに悪性、または、良性のカテゴリが付与されて保存されている。

　データベース１６は、良性ＵＲＬのそれぞれに対応させて、良性ＵＲＬに対応するコンテンツを管理する管理者端末１３（または管理者）への通知先を保存している。通知先としては、例えばメールアドレスが例示される。この通知先は、コンテンツの改ざんを検知したときに、改ざんの発生を管理者側に通知する際に用いられる。

　図３（Ａ）は、データベース１６で保存されるＵＲＬの保存例を示す図である。図３（Ａ）に示すように、データベース１６で登録されるＵＲＬのそれぞれについて、良性または悪性のカテゴリ情報が関連付けて保存される。

　図３（Ｂ）は、良性ＵＲＬに関連付けられた管理者への通知先の一例を示す説明図である。図３（Ｂ）に示すように、登録される良性ＵＲＬのそれぞれについて、良性ＵＲＬに対応するコンテンツを管理する管理者への通知先となるメールアドレスが保存される。

　図１に戻って説明を続ける。
　改ざん検知部１９は、ログ抽出部１５において抽出された、クライアント端末１１の接続先に対応する接続先ＵＲＬと、コンテンツのリクエスト先に対応するアクセス元ＵＲＬとが一致しないログをログ抽出部１５から取得する。そして、クライアント端末１１の実際の接続先となる接続先ＵＲＬをデータベース１６と照合して、接続先ＵＲＬが悪性ＵＲＬと一致する場合に、アクセス元ＵＲＬに対応するコンテンツの改ざんを検知する。なお、データベース１６において、ＩＰアドレスに対応させて良性または悪性のカテゴリに分けて登録している場合には、接続先ＵＲＬに対応するＩＰアドレスが悪性のＩＰアドレスと一致する場合に、コンテンツの改ざんを検知する。

　通常、ユーザが正規のＷｅｂサイトにアクセスする場合、アクセス元のＵＲＬとクライアント端末１１による実際の接続先ＵＲＬは一致し、いずれのＵＲＬも良性ＵＲＬに属する。このため、接続先ＵＲＬとアクセス元ＵＲＬとが一致せず、接続先ＵＲＬが悪性ＵＲＬと一致する場合、正規のＷｅｂサイトへの接続が意図的に変更されているとして、正規のＷｅｂサイトの改ざん、すなわちアクセス元ＵＲＬに対応するコンテンツの改ざんが発生していると判定できる。

　なお、正規のＷｅｂサイトが、Ｗｅｂサイトにアクセスしてきたクライアント端末１１を意図的にＵＲＬリダイレクトするときには、アクセス元のＵＲＬと実際の接続先ＵＲＬは一致しない場合が想定される。この場合、接続先ＵＲＬが悪性ＵＲＬと一致することは無いため、コンテンツの改ざんが検知されることは無い。

　改ざん通知部２０は、改ざんが検知された場合に、改ざんが検知されたコンテンツに対応するＷｅｂサーバ１２の管理者に改ざんの発生を通知する。具体的には、良性ＵＲＬに対応するコンテンツを管理する管理者端末１３（または管理者）の通知先を用いて改ざんの発生を通知する。また、管理者への通知方法として、管理者端末１３の通知先を予め保存しておく必要は無く、改ざんが検知されたコンテンツに対応するアクセス元ＵＲＬに基づき管理者のアクセス先を検索して、改ざんの発生をＷｅｂサーバ１２の管理者に通知してもよい。例えば、アクセス元ＵＲＬからドメイン部分を抽出して、このドメイン部分と、問い合わせ先（コンタクト先）のＵＲＬにおいて一般的に用いられる「/content/」、「/info/」等を連結させることで通知先を探索し、この通知先に基づいて改ざんの発生をＷｅｂサーバ１２の管理者に通知する。

　続いて、第１実施形態に係る情報処理装置１０の動作について説明する。
　図４は、第１実施形態に係る情報処理方法のフローチャートである（適宜、図１参照）。

　アクセスログ収集部１４は、クライアント端末１１から、インターネットへのアクセスログを取得する（Ｓ１０）。

　ログ抽出部１５は、クライアント端末１１から取得したアクセスログの中から、実際にクライアント端末１１に接続された接続先ＵＲＬと、コンテンツのリクエスト先に対応するアクセス元ＵＲＬとが一致しないログを抽出する（Ｓ１１）。

　改ざん検知部１９は、接続先ＵＲＬをデータベース１６で照合して、接続先ＵＲＬが悪性ＵＲＬに一致するか否かを判定する。接続先ＵＲＬが悪性ＵＲＬに一致する場合には、アクセス元ＵＲＬに対応するコンテンツの改ざんを検知する（Ｓ１２，Ｓ１３：ＹＥＳ，Ｓ１４）。一方、改ざん検知部１９は、一致しない場合には、コンテンツの改ざんは発生していない判定する（Ｓ１３：ＮＯ，終了）。

　改ざん通知部２０は、改ざんが検知された場合に、改ざんが検知されたコンテンツに対応するＷｅｂサーバ１２の管理者に改ざんの発生を通知する（Ｓ１５）。また、改ざんが検知されたコンテンツに対応するアクセス元ＵＲＬを、データベース１６に悪性ＵＲＬとして保存してもよい。すでに良性ＵＲＬにカテゴリされているＵＲＬについては、悪性ＵＲＬにカテゴリを変更する。

　このように、第１実施形態に係る情報処理装置１０は、ユーザのクライアント端末１１から収集したアクセスログを、悪性ＵＲＬを予め登録したデータベース１６と照合することで、Ｗｅｂサーバ１２の改ざんを早期に検知できる。そして、Ｗｅｂサーバ１２の管理者にコンテンツの改ざんを通知することができる。これにより、管理者は、Ｗｅｂサーバ１２の改ざんを早期に気付くことができ、水飲み場型攻撃などの悪意の第三者による攻撃を短期間で終息させることができる。

（第２実施形態）
　まず、図５を用いて、水飲み場型攻撃を利用したドライブバイダウンロード攻撃の一例について説明する。ここでは、Ａ社のＷｅｂサーバ１２で管理されるhtmlデータ（aaa.html）が悪意の第三者により改ざんされて、特定の検索サイトのリファラを有した状態でaaa.htmlのリクエストがされたときに、悪意の第三者のＷｅｂサーバ５０へのＵＲＬリダイレクトが実行される特殊なリダイレクトスクリプトがaaa.htmlに埋め込まれているものとする。リファラとは、クライアント端末１１に接続されているＵＲＬに対して、当該ＵＲＬに遷移する直前にアクセスしていたＵＲＬを意味する。

　図５（Ａ）に示すように、ユーザが、検索サイトＸにＡ社に関連するキーワードを入力すると、クライアント端末１１にはキーワードに応じたＡ社のコンテンツのＵＲＬが表示される。そして、ユーザのクライアント端末１１は、Ａ社のＷｅｂサーバ１２にaaa.htmlをリクエストする。このとき、検索サイトＸのリファラを有した状態でアクセスを実行したクライアント端末１１は、aaa.htmlに埋め込まれたリダイレクトスクリプトにより、悪意の第三者が管理するＷｅｂサーバ５０に誘導されて、悪性のコンテンツであるccc.htmlを取得する。

　一方、図５（Ｂ）に示すように、クライアント端末１１が、検索サイトＸを介さないでaaa.htmlのリクエストがされたときに、埋め込まれたリダイレクトスクリプトは実行されず、クライアント端末１１はＡ社のＷｅｂサーバ１２からaaa.htmlを取得する。このように、ブックマークによるアクセスなど、ＵＲＬに直接アクセスした際にはスクリプトは実行されず、検索サイトを介したアクセス時にのみクライアント端末１１をＵＲＬリダイレクトさせる。このため、通常検索サイトを介してアクセスすることの無い管理者は、改ざんが発生している場合でも気づきにくく、改ざんの検知が遅れるおそれがある。

　そこで、第２実施形態に係る情報処理装置１０では、クライアント端末１１の実際の接続先ＵＲＬが悪性ＵＲＬと一致する場合において、情報処理装置１０からアクセス元ＵＲＬに直接リクエスト、すなわちリファラ無しでコンテンツをリクエストすることで、接続先ＵＲＬの検証を実行する。

　図６は、第２実施形態に係る情報処理装置１０の構成の一例を示す図である。なお、図６において第１実施形態（図１）と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。以下では、アクセスログから抽出された接続先ＵＲＬを「第１の接続先ＵＲＬ」として、アクセス検証部２１においてアクセス元ＵＲＬが直接リクエストされた際の接続先ＵＲＬを「第２の接続先ＵＲＬ」として区別して記載する。

　ログ抽出部１５は、アクセスログ収集部１４で収集されたアクセスログから、クライアント端末１１の接続先に対応する第１の接続先ＵＲＬと、コンテンツのリクエスト先に対応するアクセス元ＵＲＬとが一致しないアクセスログを抽出する。

　アクセス検証部２１は、第１の接続先ＵＲＬをデータベース１６で照合して、第１の接続先ＵＲＬが悪性ＵＲＬと一致する場合に、Ｗｅｂサーバ１２に対して、アクセスログから抽出されたアクセス元ＵＲＬを直接リクエストする。そして、アクセス検証部２１は、この直接リクエスト実行時において、第２の接続先ＵＲＬとアクセス元ＵＲＬとを比較する。

　改ざん検知部１９は、アクセス検証部２１の比較によりアクセス元ＵＲＬと第２の接続先ＵＲＬとが一致する場合に、コンテンツの改ざんを検知する。

　収集されたアクセスログにおいて、アクセス元ＵＲＬと第１の接続先ＵＲＬとが一致せず、第１の接続先ＵＲＬが悪性ＵＲＬに一致するにも関わらず、Ｗｅｂサーバ１２に対してアクセス元ＵＲＬを直接リクエストした場合に、第２の接続先ＵＲＬとアクセス元ＵＲＬとが一致することは、正規のＷｅｂサイトへの接続がアクセス方法に応じて意図的に変更されているとして、正規のＷｅｂサイトの改ざん、すなわちアクセス元ＵＲＬに対応するコンテンツの改ざんが発生していると判定できる。

　一方、アクセス検証部２１の比較によりアクセス元ＵＲＬと第２の接続先ＵＲＬが一致せず、クライアント端末１１が悪意の第３者のＷｅｂサーバ５０にＵＲＬリダイレクトされることで第２の接続先ＵＲＬが悪性ＵＲＬに一致するときにはコンテンツの改ざんを検知する。なお、第２の接続先ＵＲＬが悪性ＵＲＬに一致しないときは、接続された第２の接続先ＵＲＬは無害となるものの、アクセス元ＵＲＬに対応するコンテンツの改ざんの有無が未定となるため、情報処理装置１０の管理者よりアクセス元ＵＲＬが再検証されることで、コンテンツの改ざんの有無が確認される。

　続いて、第２実施形態に係る情報処理装置１０の動作について説明する。
　図７は、第２実施形態に係る情報処理方法の一例を示すフローチャートである（適宜、図６参照）。

　アクセスログ収集部１４は、クライアント端末１１から、インターネットへのアクセスログを取得する（Ｓ２０）。

　ログ抽出部１５は、クライアント端末１１から取得したアクセスログの中から、ユーザがリクエストするコンテンツに対応するアクセス元ＵＲＬと、実際にクライアント端末１１に接続された第１の接続先ＵＲＬとが一致しないログを抽出する（Ｓ２１）。

　アクセス検証部２１は、第１の接続先ＵＲＬが悪性ＵＲＬに一致するか否かを判定する（Ｓ２２）。

　そして、アクセス検証部２１は、第１の接続先ＵＲＬが悪性ＵＲＬと一致する場合に、リファラを無しの状態で、Ｗｅｂサーバ１２に対してアクセス元ＵＲＬに直接アクセスを実行して第２の接続先ＵＲＬを取得する（Ｓ２２；ＹＥＳ，Ｓ２３）。第１の接続先ＵＲＬが悪性ＵＲＬと一致しない場合、情報処理装置１０の管理者によりアクセス元ＵＲＬが再検証されることで、コンテンツの改ざんの有無を確認する（Ｓ２２：ＮＯ、Ｓ２８）。

　再検証の結果、改ざんが確認された場合には、情報処理装置１０の管理者はコンテンツに対応するアクセス元ＵＲＬを悪性ＵＲＬとしてデータベース１６に保存する。加えて、アクセス元ＵＲＬに対応するコンテンツの管理者に改ざんの発生を通知する。改ざんが確認されなかった場合は、アクセス元ＵＲＬを良性ＵＲＬとしてデータベース１６に保存する。

　改ざん検知部１９は、アクセス検証部２１の比較によりアクセス元と第２の接続先ＵＲＬが一致する場合には、アクセス元ＵＲＬに対応するコンテンツの改ざん検知する（Ｓ２４：ＹＥＳ、Ｓ２６）。

　一方、アクセス検証部２１の比較によりアクセス元ＵＲＬと第２の接続先ＵＲＬが一致しない場合において、クライアント端末１１が悪意の第３者のＷｅｂサーバ５０にＵＲＬリダイレクトされることで第２の接続先ＵＲＬが悪性ＵＲＬに一致するときには、コンテンツの改ざんを検知する（Ｓ２４：ＮＯ、Ｓ２５：ＹＥＳ、Ｓ２６）。

　また、アクセス検証部２１の比較によりアクセス元ＵＲＬと第２の接続先ＵＲＬが一致しない場合において、第２の接続先ＵＲＬが悪性ＵＲＬに一致しないときは、情報処理装置１０の管理者によりアクセス元ＵＲＬが再検証されることで、コンテンツの改ざんの有無が確認される（Ｓ２４：ＮＯ、Ｓ２５：ＮＯ、Ｓ２８）。

　再検証の結果、改ざんが確認された場合には、情報処理装置１０の管理者はコンテンツに対応するアクセス元ＵＲＬ及びアクセス検証時に悪性ＵＲＬと一致しなかった第２の接続先ＵＲＬを、悪性ＵＲＬとしてデータベース１６に保存する。加えて、アクセス元ＵＲＬに対応するコンテンツの管理者に改ざんの発生を通知する。一方、改ざんが確認されなかった場合は、アクセス元ＵＲＬを良性ＵＲＬとしてデータベース１６に保存する。

　最後に、改ざん通知部２０は、改ざんが検知されたとき、アクセス元ＵＲＬに対応するコンテンツの管理者に改ざんの発生を通知する（Ｓ２７）。また、改ざんが検知されたコンテンツに対応するアクセス元ＵＲＬを、データベース１６に悪性ＵＲＬとして保存してもよい。すでに良性ＵＲＬにカテゴリされているＵＲＬについては、悪性ＵＲＬにカテゴリを変更する。

　このように、第２実施形態に係る情報処理装置１０は、情報処理装置１０からアクセス元ＵＲＬにリファラ無しでコンテンツをリクエストして、接続先の検証を実行することで、Ｗｅｂサーバ１２の改ざんを早期かつ正確に検知できる。管理者は、悪意の第三者により、Ｗｅｂサイトへのアクセス方法に応じて意図的に接続先ＵＲＬが変更されるような巧妙な改ざん行為を早期に気付くことができ、上述のドライブバイダウンロード攻撃などの悪意の第三者による巧妙な攻撃を短期間で終息させることができる。

（第３実施形態）
　図８は、第３実施形態に係る情報処理装置１０の構成の一例を示す図である。なお、図８において第１実施形態（図１）と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。

　第３実施形態に係る情報処理装置１０では、データベース１６に登録されていないＵＲＬがアクセスログにおいて抽出された場合に、この未分類のＵＲＬを解析してカテゴリ分類を実行し、カテゴリ分類の結果に基づいてコンテンツの改ざんを検知する。

　ログ抽出部１５は、収集されたアクセスログから、データベース１６に登録されたＵＲＬと一致しない未分類ＵＲＬを検出する。

　ＵＲＬ解析部２２は、未分類ＵＲＬを悪性ＵＲＬか否かを解析して、未分類ＵＲＬを良性ＵＲＬ、または、悪性ＵＲＬのいずれかに登録する。

　未分類ＵＲＬを解析する方法として、例えば未分類のＵＲＬにアクセスして、取得した実行ファイルを実行できる仮想環境において、当該ファイルを実行した結果などに基づいて未分類ＵＲＬを悪性ＵＲＬか否かを解析する。より具体的には、悪性ファイルに属するハッシュを予め保存しておき、このハッシュ値と比較することで取得したファイルが悪性か否かを判定して、未分類ＵＲＬが悪性ＵＲＬか否かを解析する。また、一般的に使用されるアンチウィルスソフトを使用して、未分類のＵＲＬにアクセスして、取得した実行ファイルがマルウェアか否かを判定することで、未分類ＵＲＬを悪性ＵＲＬか否かを解析してもよい。

　また、無害となる良性ＵＲＬのドメインを予め取得しておき、そのドメインを含む未分類ＵＲＬについては良性として、ドメインを含まないＵＲＬについては悪性ＵＲＬと分類してもよい。なお、良性または悪性に登録された未分類ＵＲＬについて、情報処理装置１０の管理者によりカテゴリを変更可能な構成としてもよい。

　改ざん検知部１９は、アクセス元ＵＲＬが良性ＵＲＬに一致する一方、接続先ＵＲＬが悪性ＵＲＬに一致して、ＵＲＬのカテゴリが良性から悪性に遷移する場合に改ざんを検知する。コンテンツの改ざんが発生していなければ、ＵＲＬが良性ＵＲＬから悪性ＵＲＬへのカテゴリ遷移は起こり得ないため、良性から悪性へのカテゴリ遷移は、コンテンツの改ざんと判定することができる。

　続いて、第３実施形態に係る情報処理装置１０の動作について説明する。
　図９は、第３実施形態に係る情報処理方法の一例を示すフローチャートである（適宜、図８参照）。

　アクセスログ収集部１４は、クライアント端末１１から、インターネットへのアクセスログを取得する（Ｓ３０）。

　ログ抽出部１５は、クライアント端末１１から取得したアクセスログの中から、ユーザがリクエストするコンテンツに対応するアクセス元ＵＲＬと、実際にクライアント端末１１に接続された接続先ＵＲＬとが一致しないログを抽出する（Ｓ３１）。

　ログ抽出部１５は、接続先ＵＲＬをデータベース１６に照合して、接続先ＵＲＬがデータベース内で登録されてない未分類ＵＲＬを抽出する（Ｓ３２）。

　ＵＲＬ解析部２２は、抽出された未分類ＵＲＬが悪性ＵＲＬか否かを解析して、この未分類ＵＲＬを良性または悪性のいずれかのカテゴリに分類する（Ｓ３３）。

　改ざん検知部１９は、アクセス元ＵＲＬ及び接続先ＵＲＬがデータベース内でいずれのカテゴリに属するかを判定する。改ざん検知部１９は、アクセス元ＵＲＬが良性カテゴリに分類される一方、接続先ＵＲＬが悪性カテゴリに分類されて、アクセス元ＵＲＬから接続先ＵＲＬのカテゴリが良性から悪性に遷移する場合には、アクセス元ＵＲＬに対応するコンテンツの改ざん検知する（Ｓ３４：ＹＥＳ，Ｓ３５）。

　一方、アクセス元ＵＲＬから接続先ＵＲＬのカテゴリが良性のままで変化しない場合には、改ざんは発生していないと判定する（Ｓ３４：ＮＯ，終了）。

　最後に、改ざん通知部２０は、改ざんが検知されたとき、アクセス元ＵＲＬに対応するコンテンツの管理者に改ざんの発生を通知する（Ｓ３７）。また、改ざんが検知されたコンテンツに対応するアクセス元ＵＲＬを、データベース１６に悪性ＵＲＬとして保存してもよい。すでに良性ＵＲＬにカテゴリされているＵＲＬについては、悪性ＵＲＬにカテゴリを変更する。

　第３実施形態に係る情報処理装置１０は、未分類ＵＲＬについて悪性ＵＲＬか否かのカテゴリ分類を行って、この分類結果を用いて改ざんを検知する。悪性ＵＲＬは常に増加して、その発見には時間を要し、網羅的に悪性サイトを即時に検知することは困難となるが、データベース１６に登録されていない未分類ＵＲＬについて悪性ＵＲＬか否かのカテゴリ分類を実行することで、Ｗｅｂサーバ１２の改ざんを早期に検知できる。

　以上述べた各実施形態の情報処理装置によれば、ユーザのクライアント端末１１から収集したアクセスログを、悪性ＵＲＬを予め登録したデータベースと照合することで、Ｗｅｂサーバの改ざんを早期に検知でき、Ｗｅｂサーバ１２の管理者にコンテンツの改ざんを早期に通知することができる。これにより、管理者は、Ｗｅｂサーバ１２の改ざんを早期に気付くことができ、水飲み場型攻撃などの悪意の第三者による攻撃を短期間で終息させることができる。

　なお、情報処理装置１０で実行されるプログラムは、ＲＯＭ等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでＣＤ－ＲＯＭ、ＣＤ－Ｒ、メモリカード、ＤＶＤ、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置１０で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

　１０…情報処理装置、１１…クライアント端末、１２…Ｗｅｂサーバ、１３…管理者端末、１４…アクセスログ収集部、１５…ログ抽出部、１６…データベース、１７…悪性ＵＲＬ保存部、１８…良性ＵＲＬ保存部、１９…改ざん検知部、２０…改ざん通知部、２１…アクセス検証部、２２…ＵＲＬ解析部、５０…悪意の第三者のＷｅｂサーバ。

Claims

　クライアント端末がＷｅｂサーバに対してコンテンツをリクエストした際のアクセスログを収集するアクセスログ収集部と、
　悪性ＵＲＬを予め登録するデータベースと、
　前記クライアント端末の接続先に対応する接続先ＵＲＬを前記データベースと照合して、前記接続先ＵＲＬが前記悪性ＵＲＬと一致する場合に、前記コンテンツの改ざんを検知する改ざん検知部と、
を備えることを特徴とする情報処理装置。
　前記アクセスログ収集部で収集された前記アクセスログから、前記コンテンツのリクエスト先に対応するアクセス元ＵＲＬと前記接続先ＵＲＬとが一致しないアクセスログを抽出するログ抽出部を備えることを特徴とする請求項１に記載の情報処理装置。
　前記改ざん検知された場合に、改ざんが検知された前記コンテンツに対応する前記Ｗｅｂサーバの管理者に前記改ざんの発生を通知する改ざん通知部を備えることを特徴とする請求項１に記載の情報処理装置。
　前記接続先ＵＲＬが前記悪性ＵＲＬと一致する場合に、前記Ｗｅｂサーバに対して、前記アクセスログから抽出されたアクセス元ＵＲＬを直接リクエストして、前記アクセス元ＵＲＬと前記直接リクエスト時における接続先ＵＲＬとを比較するアクセス検証部を備えて、
　前記改ざん検知部は、前記アクセス検証部の比較により前記アクセス元ＵＲＬと前記直接リクエスト時における接続先ＵＲＬとが一致するときに、前記コンテンツの改ざんを検知する、
ことを特徴とする請求項１に記載の情報処理装置。
　収集された前記アクセスログから、前記データベースに登録されたＵＲＬと一致しない未分類ＵＲＬを抽出し、
　前記データベースは、前記悪性ＵＲＬとともに良性ＵＲＬを予め登録し、
　前記未分類ＵＲＬについて悪性ＵＲＬか否かを解析して、前記未分類ＵＲＬを前記良性ＵＲＬ、または、前記悪性ＵＲＬのいずれかに登録するＵＲＬ解析部を備える、
ことを特徴とする請求項１に記載の情報処理装置。
　前記データベースは、前記悪性ＵＲＬとともに良性ＵＲＬを予め登録し、
　改ざん検知部は、アクセス元ＵＲＬが前記良性ＵＲＬに一致する一方、前記接続先ＵＲＬが前記悪性ＵＲＬに一致して、ＵＲＬのカテゴリが良性から悪性に遷移する場合に前記コンテンツの改ざんを検知する、
ことを特徴とする請求項１に記載の情報処理装置。
　クライアント端末がＷｅｂサーバに対してコンテンツをリクエストした際のアクセスログを収集するアクセスログ収集部と、
　悪性のＩＰアドレスを予め登録するデータベースと、
　前記クライアント端末の接続先に対応する接続先ＵＲＬを前記データベースと照合して、前記接続先ＵＲＬに対応するＩＰアドレスが前記悪性のＩＰアドレスと一致する場合に、前記コンテンツの改ざんを検知する改ざん検知部と、
を備えることを特徴とする情報処理装置。
　クライアント端末がＷｅｂサーバに対してコンテンツをリクエストした際のアクセスログを収集するステップと、
　悪性ＵＲＬをデータベースに予め登録するステップと、
　前記クライアント端末の接続先に対応する接続先ＵＲＬを前記データベースと照合して、前記接続先ＵＲＬが前記悪性ＵＲＬと一致する場合に、前記コンテンツの改ざんを検知するステップと、
を含むことを特徴とする情報処理方法。
　コンピュータを、
　クライアント端末がＷｅｂサーバに対してコンテンツをリクエストした際のアクセスログを収集する機能と、
　悪性ＵＲＬをデータベースに予め登録する機能と、
　前記クライアント端末の接続先に対応する接続先ＵＲＬを前記データベースと照合して、前記接続先ＵＲＬが前記悪性ＵＲＬと一致する場合に、前記コンテンツの改ざんを検知する機能と、
として機能させることを特徴とする情報処理プログラム。