WO2020065776A1 - 情報処理装置、制御方法、及びプログラム - Google Patents

Abstract

情報処理装置（２０００）は、複数の移動端末（１０）それぞれが行ったネットワーク通信の履歴を表す通信履歴（２０）から、類似する攻撃に関する通信を示す通信履歴（２０）を抽出する。ここで、通信履歴（２０）は、移動端末（１０）の位置情報を含む。情報処理装置（２０００）は、抽出した各通信履歴（２０）に示される位置情報を用いて、移動端末（１０）に対する攻撃に関する攻撃情報を生成し、生成した攻撃情報を出力する。

Description

情報処理装置、制御方法、及びプログラム

　本発明はネットワーク通信のセキュリティに関する。

　車両に搭載されている端末のように、移動しながらネットワーク通信を行う端末がある。以下、このような端末を移動端末と呼ぶ。そして、このような移動端末による通信に関して異常検知を行うシステムが開発されている。例えば特許文献１が挙げられる。特許文献１は、無線端末が無線 LAN を経由して無線 WAN に接続する環境において、無線 LAN における通信の統計情報と、無線端末の位置情報とを用いて、位置情報で特定される位置において無線 LAN に異常が発生しているか否かを判定する技術を開示している。

特開２０１７－０２２５５７号公報

　移動端末は、位置が固定されている据え置き型の端末と比較し、利用するネットワーク環境が多様である。例えば移動端末は、様々な店舗に設置されているアクセスポイントを経由して通信を行うことがある。そのため、移動端末は、通信に影響を及ぼす攻撃の被害に遭う危険性が高い。特許文献１では、移動端末の攻撃被害については言及されていない。

　本発明は、上記の課題に鑑みてなされたものである。本発明の目的の一つは、移動端末が攻撃被害に遭う蓋然性を低くするための技術を提供することである。

　本発明の情報処理装置は、１）複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出部を有し、通信履歴は、移動端末の位置情報を含んでおり、２）各抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成部と、３）生成した攻撃情報を出力する出力部と、を有する。

　本発明の制御方法は、コンピュータによって実行される。当該制御方法は、１）複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出ステップを有し、通信履歴は、移動端末の位置情報を含んでおり、２）各抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成ステップと、３）生成した攻撃情報を出力する出力ステップと、を有する。

　本発明のプログラムは、本発明の制御方法が有する各ステップをコンピュータに実行させる。

　本発明によれば、移動端末が攻撃被害に遭う蓋然性を低くする技術が提供される。

　上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
実施形態１の情報処理装置の動作の概要を表す図である。 実施形態１の情報処理装置の構成を例示する図である。 情報処理装置を実現するための計算機を例示する図である。 実施形態１の情報処理装置によって実行される処理の流れを例示するフローチャートである。 通信履歴２０の構成をテーブル形式で例示する図である。 位置情報の時系列データにおいて、位置情報の変化が小さいケースを例示する図である。 位置情報の時系列データにおいて、位置情報の変化が大きいケースを例示する図である。

　以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。

［実施形態１］
＜概要＞
　図１は、実施形態１の情報処理装置の動作の概要を表す図である。図１は情報処理装置２０００の動作についての理解を容易にするための概念的な図であり、情報処理装置２０００の動作を具体的に限定するものではない。

　車両に搭載されている端末のように、移動しながらネットワーク通信を行う端末がある。以下、このような端末を移動端末１０と呼ぶ。ここで、移動端末１０は、店舗に設置されているアクセスポイントを経由してネットワーク通信を行ったり、基地局を介したネットワーク通信などを行ったりする。そのため、複数の移動端末１０が同じネットワークに接続することがある。また、複数の移動端末１０が共通の装置（例えば Web サーバや DNS サーバなど）にアクセスすることがある。

　このように同じネットワークに接続したり同じ装置にアクセスしたりする複数の移動端末１０は、類似した攻撃被害に遭うことがある。例えば或るアクセスポイントが悪意ある者に乗っ取られた結果、そのアクセスポイントを経由して通信を行った各移動端末１０が、同じ攻撃被害に遭うことが考えられる。なお、ここでいう攻撃とは、移動端末１０のネットワーク通信に影響を及ぼす任意の攻撃を意味する。例えば、移動端末１０に対してマルウエアを導入する攻撃、移動端末１０と他の装置との間のネットワーク通信でやりとりされるデータを改ざんする攻撃、移動端末１０から外部へ情報を漏洩する攻撃といったものが含まれる。

　このように複数の移動端末１０が同じ攻撃の被害を受ける可能性がある環境では、既に攻撃を受けてしまった移動端末１０に関する情報を利用して、まだ攻撃被害を受けていない移動端末１０に対する攻撃を未然に防ぐことが好適である。こうすることで、各移動端末１０が攻撃被害に遭う蓋然性を小さくすることができる。

　そこで情報処理装置２０００は、複数の移動端末１０のネットワーク通信の履歴を表す通信履歴２０から、類似する攻撃に関する通信履歴２０を抽出し、抽出した通信履歴２０を利用して、移動端末１０に対する攻撃に関する情報（以下、攻撃情報）を生成する。ここで、通信履歴２０は、移動端末１０の位置情報を含む。そして、情報処理装置２０００は、抽出した各通信履歴２０に示される位置情報を用いて攻撃情報を生成する。

　図１の例では、情報処理装置２０００は、類似する攻撃に関する通信履歴２０を抽出し、抽出した各通信履歴２０に示される位置情報を用いて、新たに攻撃が行われる場所を推定する。そして情報処理装置２０００は、推定した場所を示す攻撃情報を生成する。この攻撃情報を利用することで、例えば、移動端末１０のユーザが新たな攻撃場所を避けて移動するなどの対処を行うことにより、攻撃を免れることができる。

＜作用効果＞
　本実施形態の情報処理装置２０００は、類似する攻撃を受けた移動端末１０の通信履歴２０を抽出し、抽出した通信履歴２０が示す移動端末１０の位置情報を用いて、新たに攻撃が行われる場所などといった内容の攻撃情報を生成する。このような攻撃情報を利用することで、まだ攻撃を受けていない移動端末１０が攻撃被害に遭うことを未然に防ぐことができる。これにより、各移動端末１０が攻撃被害に遭う蓋然性を小さくすることができる。また、既に攻撃を受けた移動端末１０が再度同じ攻撃を受けないようにできる。

　以下、本実施形態の情報処理装置２０００についてさらに詳細に説明する。

＜情報処理装置２０００の機能構成の例＞
　図２は、実施形態１の情報処理装置２０００の構成を例示する図である。情報処理装置２０００は、抽出部２０２０、生成部２０４０、及び出力部２０６０を有する。抽出部２０２０は、複数の移動端末１０それぞれが行ったネットワーク通信の履歴を表す通信履歴２０から、類似する攻撃に関する通信を示す通信履歴２０を抽出する。生成部２０４０は、抽出した各通信履歴２０に示される位置情報を用いて、移動端末１０に対する攻撃に関する攻撃情報を生成する。出力部２０６０は、攻撃情報を出力する。

＜情報処理装置２０００のハードウエア構成＞
　情報処理装置２０００の各機能構成部は、各機能構成部を実現するハードウエア（例：ハードワイヤードされた電子回路など）で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ（例：電子回路とそれを制御するプログラムの組み合わせなど）で実現されてもよい。以下、情報処理装置２０００の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。

　図３は、情報処理装置２０００を実現するための計算機１０００を例示する図である。計算機１０００は任意の計算機である。例えば計算機１０００は、Personal Computer（PC）やサーバマシンなどの据え置き型の計算機である。その他にも例えば、計算機１０００は、スマートフォンやタブレット端末などの可搬型の計算機である。計算機１０００は、情報処理装置２０００を実現するために設計された専用の計算機であってもよいし、汎用の計算機であってもよい。

　計算機１０００は、バス１０２０、プロセッサ１０４０、メモリ１０６０、ストレージデバイス１０８０、入出力インタフェース１１００、及びネットワークインタフェース１１２０を有する。バス１０２０は、プロセッサ１０４０、メモリ１０６０、ストレージデバイス１０８０、入出力インタフェース１１００、及びネットワークインタフェース１１２０が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ１０４０などを互いに接続する方法は、バス接続に限定されない。

　プロセッサ１０４０は、CPU（Central Processing Unit）、GPU（Graphics Processing Unit）、FPGA（Field－Programmable Gate Array）などの種々のプロセッサである。メモリ１０６０は、RAM（Random Access Memory）などを用いて実現される主記憶装置である。ストレージデバイス１０８０は、ハードディスク、SSD（Solid State Drive）、メモリカード、又は ROM（Read Only Memory）などを用いて実現される補助記憶装置である。

　入出力インタフェース１１００は、計算機１０００と入出力デバイスとを接続するためのインタフェースである。例えば入出力インタフェース１１００には、キーボードなどの入力装置や、ディスプレイ装置などの出力装置が接続される。

　ネットワークインタフェース１１２０は、計算機１０００を通信網に接続するためのインタフェースである。この通信網は、例えば LAN（Local Area Network）や WAN（Wide Area Network）である。ネットワークインタフェース１１２０が通信網に接続する方法は、無線接続であってもよいし、有線接続であってもよい。

　ストレージデバイス１０８０は、情報処理装置２０００の各機能構成部を実現するプログラムモジュールを記憶している。プロセッサ１０４０は、これら各プログラムモジュールをメモリ１０６０に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。

＜処理の流れ＞
　図４は、実施形態１の情報処理装置２０００によって実行される処理の流れを例示するフローチャートである。抽出部２０２０は、複数の通信履歴２０から、類似する攻撃に関する通信を示す通信履歴２０を抽出する（Ｓ１０２）。生成部２０４０は、抽出した各通信履歴２０に示される位置情報を用いて攻撃情報を生成する（Ｓ１０４）。出力部２０６０は、攻撃情報を出力する（Ｓ１０６）。

＜移動端末１０について＞
　移動端末１０は、その位置が移動し、なおかつネットワーク通信を行う任意のコンピュータである。例えば移動端末１０は、自動車などの車両に搭載されたコンピュータである。

　移動端末１０は、WAN（Wide Area Network）を介したネットワーク通信を行う。ただし、移動端末１０は、WAN に直接接続できるネットワークインタフェースを有していてもよいし、有していなくてもよい。後者の場合、移動端末１０は、WAN に直接接続できるネットワークインタフェースを有する他の装置を介して、WAN に接続する。例えば、車両に搭載されているコンピュータが、車両の搭乗者が有するスマートフォンを介して WAN に接続する（いわゆるテザリングを利用する）ケースが考えられる。

＜通信履歴２０について＞
　図５は、通信履歴２０の構成をテーブル形式で例示する図である。図５のテーブルをテーブル２００と呼ぶ。テーブル２００は、端末識別子２０２、通信日時２０４、位置情報２０６、及び通信イベント２０８を示す。テーブル２００の各レコードは、１つの通信履歴を表している。

　端末識別子２０２は、通信元（データの送信元）である移動端末１０の識別子を示す。すなわち、端末識別子２０２は、どの移動端末１０が行ったネットワーク通信の履歴であるかを示す。移動端末１０の識別子には、移動端末１０を識別可能な任意の識別子を利用できる。例えば識別子には、UUID（Universally Unique Identifier）やネットワークアドレス（IP（Internet Protocol）アドレスや MAC（Media Access Control）アドレスなど）を利用できる。その他にも例えば、移動端末１０が車両に搭載されている場合、移動端末１０と搭載されている車両の識別子（例えば、ナンバープレートに記載されているナンバーや、車台番号）を、移動端末１０の識別子として利用してもよい。

　通信日時２０４は、通信が行われた日時を示す。位置情報２０６は、通信元の移動端末１０に関する位置情報を示す。この位置情報は、例えば、移動端末１０自身の位置情報や、その移動端末１０が WAN への接続に利用したスマートフォンなどの位置情報である。端末の位置情報には、例えば、その端末に設けられた GPS（Global Positioning System）センサから得られる GPS 座標を利用できる。また、位置情報として、後述する中継装置の GPS 座標や識別子を示してもよい。

　通信イベント２０８は、通信イベントを表す種々の情報を示す。図５において、通信イベント２０８は、中継情報２１０及びアドレス情報２１２を含んでいる。中継情報２１０は、通信元の移動端末１０がネットワークに接続する際に利用した中継装置（Proxy サーバ、アクセスポイント、又は基地局など）の識別子を示す。中継装置の識別子には、例えば、移動端末１０の識別子と同様のものを利用できる。また、アクセスポイントの識別子には、SSID を利用することもできる。

　アドレス情報２１２は、例えば、通信元の移動端末１０と通信先の装置それぞれについて、ネットワークアドレスやポート番号などの情報を示す。図５のアドレス情報２１２は、「通信元の IP アドレス：ポート番号 -> 通信先の IP アドレス：ポート番号」という形式で情報を示している。なお、端末識別子２０２として通信元の移動端末１０のネットワークアドレスを利用している場合、通信元のアドレス情報は省略されてもよい。

　情報処理装置２０００は、通信履歴２０が記憶されているデータベース（以下、通信履歴データベース）から、所望の通信履歴を抽出する。通信履歴データベースを構成するサーバは、通信履歴の収集を行う。このサーバは、情報処理装置２０００であってもよいし、情報処理装置２０００以外の装置であってもよい。

　通信履歴の収集を行う方法は任意である。例えば各移動端末１０が、定期的に、自身が行ったネットワーク通信の履歴をデータベースサーバへ送信する。

　なお、通信履歴に含まれる一部の情報は、収集された情報を利用して後から生成されてもよい。例えば移動端末１０の位置情報を、移動端末１０の行動が記録された他の情報を利用して生成することが考えられる。例えば、ナンバープレートのナンバーを移動端末１０の識別子として利用するとする。この場合、様々な場所に設置されている防犯カメラの映像を解析することで防犯カメラに撮像された各車両のナンバーを割り出すことにより、防犯カメラの位置を車両の位置情報として利用することができる。すなわち、或る車両のナンバーが防犯カメラに撮像された場合に、その撮像時点におけるその車両の位置情報として、その防犯カメラの識別子やその防犯カメラの GPS 座標などを利用することができる。

＜通信履歴２０の抽出：Ｓ１０２＞
　抽出部２０２０は、類似する攻撃に関する通信履歴２０抽出する（Ｓ１０２）。言い換えれば、抽出部２０２０は、類似する攻撃を受けた１つ以上の移動端末１０によって行われた通信履歴２０を抽出する。類似する攻撃とは、例えば、攻撃者と攻撃の種類の少なくとも一方が共通する攻撃である。

　そのために、例えば、類似する攻撃を受けた移動端末１０の通信履歴２０を抽出するための抽出ルールを定めておく。抽出部２０２０は、抽出ルールに基づいて通信履歴データベースを検索することにより、類似する攻撃によって行われた通信履歴２０を抽出する。例えば後述するように、悪意ある装置に接続させてしまう攻撃を共通で受けた複数の移動端末１０は、同じ識別子を持つ装置が通信先となる。そのため、「通信先の装置の識別子が共通する」という抽出ルールにより、この攻撃を受けた複数の移動端末１０の通信履歴２０を抽出することができる。抽出ルールは、抽出部２０２０からアクセス可能な記憶装置に記憶させておく。

　ここで、抽出部２０２０は、抽出ルールに合致する通信履歴２０の量に応じて、通信履歴２０の抽出を行うか否かを決定してもよい。例えば抽出部２０２０は、同じ抽出ルールに合致する通信履歴２０の数が所定数以上である場合に、通信履歴２０を抽出する。一方で、抽出部２０２０は、同じ抽出ルールに合致する通信履歴２０の数が所定数未満である場合には、通信履歴２０を抽出しない。

　この際、抽出部２０２０は、対象とする通信日時を限定してもよい。例えば抽出部２０２０は、同じ抽出ルールに合致し、なおかつ通信日時が所定の期間内（例えば同じ日）である通信履歴２０の数が所定数以上である場合に、通信履歴２０の抽出を行う。また、抽出部２０２０は、通信履歴２０の数の代わりに、通信履歴２０の割合（通信履歴２０全体の数に対する、抽出ルールに合致する通信履歴２０の数の比）を用いてもよい。

　なお、攻撃に利用された装置の識別子など、攻撃に関する具体的な情報が判明している場合、そのような具体的な情報を抽出ルールに含めてもよい。例えば、悪意ある装置に接続させてしまう攻撃について、接続先の装置の IP アドレスが判明している場合には、「通信先の装置の識別子＝判明している IP アドレス」という抽出ルールを利用することができる。

　ここで、抽出ルールには、攻撃の種類に応じた様々な情報を採用しうる。以下、攻撃の種類と共に、その種類の攻撃に関する抽出ルールについて例示する。

＜＜例１：中間者攻撃＞＞
　例えば、移動端末１０に対する攻撃として、中継装置による中間者攻撃が考えられる。中間者攻撃とは、互いに通信を行っている装置の間に介在する中間者によって行われる攻撃である。これにより、通信元の移動端末１０や通信先の装置に対して誤ったデータが提供されるようにデータの改ざんを行ったり、通信元の移動端末１０に対して送信されるデータにマルウエアを入れることで移動端末１０にマルウエアを導入したりするといった攻撃を実現できる。

　複数の移動端末１０が同様の中間者攻撃を受けた場合、これらの移動端末１０は、共通の中継装置を利用したと考えられる。そこで例えば、抽出ルールとして、「中継装置の識別子が共通する」を定めておく。また、攻撃に利用された中継装置の識別子が判明している場合には、その識別子を抽出ルールに含めてもよい。

　その他にも例えば、中間者攻撃を受ける場合において、当該中間者の識別子が、携帯端末１０から送信されるパケットの宛先になる（すなわち、中間者が通信先の装置となる）ケースもある。例えば、移動端末１０が Proxy サーバを経由してネットワークにアクセスする場合、移動端末１０から送信されるパケットの宛先 IP アドレスは、Proxy サーバの IP アドレスとなる。そのため、Proxy サーバによって中間者攻撃が行われた場合の通信履歴２０は、通信先の装置の識別子に、中間者である Proxy サーバの識別子を示す。また、携帯端末１０が特定の装置との間に VPN（Virtual Private Network）を構築して通信を行う場合、携帯端末１０とその装置は、VPN サーバを経由してデータをやりとりする。そのため、携帯端末１０から送信されるパケットの宛先 IP アドレスは、VPN サーバの IP アドレスとなる。

　上述のケースにおいて複数の移動端末１０が同様の中間者攻撃を受けた場合、これらの移動端末１０は、通信先の装置が共通となると考えられる。そこで例えば、抽出ルールとして、「通信先の装置の識別子が共通する」を定めておく。また、攻撃に利用された Proxy サーバや VPN サーバの識別子が判明している場合には、その識別子を抽出ルールに含めてもよい。

＜＜例２：DNS Hijack＞＞
　その他にも例えば、移動端末１０に対する攻撃として、「DNS Hijack を利用することで移動端末１０の通信先を本来意図した通信先とは異なる悪意ある装置に変更することで、移動端末１０を悪意ある装置に接続させてしまう」という攻撃が考えられる。これにより、移動端末１０に対して誤った情報を提供したり、移動端末１０に対してマルウエアを送信することで移動端末１０にマルウエアを導入したりするといった攻撃を実現できる。

　複数の移動端末１０が同様の DNS Hijack による攻撃を受けた場合、例えばこれらの移動端末１０は、同じ装置を通信先にしていたと考えられる。そこで例えば、抽出ルールとして、「通信先の装置の識別子が共通する」を定めておく。また、攻撃に利用された装置の識別子が判明していれば、その識別子を抽出ルールに含めてもよい。

　その他にも例えば、DNS Hijack では、複数の移動端末１０によって名前解決を要求したドメインが互いに異なっている場合でも、DNS サーバが同じ不正サイトの IP アドレスを返すことが考えられる。そのため、通信先にかかわらず、利用した DNS サーバが同じであれば、同じ攻撃を受ける可能性がある。

　そこで例えば、通信履歴２０を、名前解決に利用した DNS サーバの識別子が含まれるように構成しておく。そして、抽出ルールとして、「利用した DNS サーバの識別子が共通する」を定めておく。また、攻撃に利用された DNS サーバの識別子が判明していれば、その識別子を抽出ルールに含めてもよい。

　また、移動端末１０によって利用される DNS サーバが、アクセスポイントや基地局などの中継装置で予め設定されているものであるケースもある。そのため、同じアクセスポイントや基地局を利用した移動端末１０が共通の DNS Hijack の被害に遭うことがある。

　そこで例えば、抽出ルールとして、「中継装置の識別子が共通する」を定めておく。また、攻撃に利用された中継装置の識別子が判明していれば、その識別子を抽出ルールに含めておく。

＜＜例３：移動端末１０を入手した他者による攻撃＞＞
　移動端末１０や移動端末１０が設けられたコンピュータシステム（車両など）などを他者が一時的に取得する（例えば預かる）ことがありうる。例えば移動端末１０が車両に設けられている場合、車両の点検や修理などを依頼するため、車両を他者（ディーラーや工場など）に預けることが考えられる。このようなケースでは、当該他者が、マルウエアを移動端末１０に追加したり、不正な装置をシステムに追加して移動端末１０に接続させたりするといった攻撃が考えられる。

　このような攻撃を受けると、移動端末１０のソフトウエア構成や周辺機器の構成を表す構成情報が変更される。そして、このような構成情報は、ネットワーク上で管理されることがある。そこで、構成情報の変更を表す通信履歴２０を、攻撃を受けた移動端末１０による通信履歴２０として抽出することができる。

　ここで、構成情報の変更を表す各通信は、構成情報を管理する管理サーバを共通の通信先とすると考えられる。また、ペイロードの内容として、攻撃によって変更される共通の構成を示すと考えられる。

　そこで、抽出ルールとして、「通信先の装置の識別子が共通する」や「通信のペイロードの内容が共通する」を定めておく。また、構成情報を管理するサーバの識別子や、構成情報を更新するための通信のペイロードに共通で含まれるデータが判明している場合には、これらを抽出ルールに含めてもよい。

＜＜例４：移動端末１０が物理的に接続した装置によるマルウエアの導入＞＞
　移動端末１０を外部デバイスに物理的に接続させることがある。例えば、移動端末１０を充電するために、店舗などに用意されている充電器に対して移動端末１０を接続することがある。この際、移動端末１０が、充電器に対してデータ通信が可能な態様で接続されることがある。例えば充電器が USB インタフェースを介して電力を供給するものである場合、移動端末１０と充電器が USB ケーブルを介して接続される。この充電器が悪意ある装置である場合、この充電器から移動端末１０に対してマルウエアを導入されてしまう恐れがある。この場合、同じ充電器に接続された複数の移動端末１０が、同じ攻撃を受けることになる。

　ここで、同じ攻撃を受けた移動端末１０には、同じマルウエアが導入されると考えられる。そして、このマルウエアがネットワーク通信を行う場合、同じ攻撃を受けた移動端末１０が行う通信に共通項が見られるといえる。共通項としては、例えば、通信先の装置の識別子や、通信先とやりとりするデータの内容（すなわち、ペイロードの内容）である。

　そこで抽出ルールとして、「通信先の装置の識別子が共通する」や「ペイロードの内容が共通する」などを定めておく。また、上述した攻撃によって導入されたマルウエアが通信先とする装置の識別子や、そのマルウエアが通信先の装置とやりとりするペイロードの内容が判明している場合、これらを抽出ルールに含めてもよい。

＜＜攻撃による被害について＞＞
　前述した種々の攻撃による被害としては、例えば、マルウエアを移動端末１０に入れられてしまうという被害が考えられる。また、マルウエアを移動端末１０に入れられてしまうことによって起こる具体的な被害としては、秘密情報の漏洩やシステム障害などが考えられる。漏洩されてしまう秘密情報としては、例えば、秘密鍵、クレジットカード情報、パスワード、個人情報、又は位置情報などがある。また、システム障害としては、例えば、システム上のデータを暗号化されてしまう被害（例えば、ランサムウエア）や、車両などの機器の制御系システムが行う処理にマルウエアが介在することによって生じる種々の制御障害などがある。

　攻撃による被害の別の例として、通信データの改ざんが考えられる。通信データの改ざんによる具体的な被害としては、例えば、誤った情報を移動端末１０に提供することにより、ユーザの混乱を引き起こすことが考えられる。例えば、カーナビゲーションシステムに対して誤った位置情報が渡されると、誤ったナビゲーションが行われる恐れがある。その他にも例えば、誤ったパラメータを制御系システムに渡すことで、システム障害を引き起こすことも考えられる。

＜攻撃情報の生成：Ｓ１０４＞
　生成部２０４０は攻撃情報を生成する（Ｓ１０４）。攻撃情報は、例えば、移動端末１０に対する将来の攻撃に関する情報である。例えば生成部２０４０は、抽出部２０２０によって抽出された通信履歴が示す位置情報を用いて、新たに攻撃が行われる場所を推定し、推定した場所を示す攻撃情報を生成する。この攻撃情報を移動端末１０へ通知することにより、移動端末１０がその場所を避けて移動できるようにすることで、新たな攻撃被害を減らすことができる。

　ここで、攻撃が行われる場所を特定する情報としては、様々なものを利用できる。例えば、その場所の名称、住所、又は GPS 座標などで特定することができる。その他にも例えば、その場所に設置されている無線通信のアクセスポイントの識別子（SSID など）を、その場所を特定する情報として利用してもよい。

　生成部２０４０は、抽出された通信履歴２０を用いて、新たに攻撃が行われる場所を推定する。具体的には、生成部２０４０は、各通信履歴２０が示す位置情報を用いて、位置情報の時間変化を表す時系列データを生成する。そして生成部２０４０は、この時系列データを用いて攻撃場所の時間変化を特定し、その時間変化に基づいて、新たな攻撃場所を推定する。

　例えば位置情報の時系列データにおいて、位置情報の変化が小さい（例えば、最も離れている位置の間の距離が閾値以下である）とする。この場合、同じ場所で攻撃が継続していると考えられる。そこで例えば、生成部２０４０は、抽出された各通信履歴２０の位置情報によって特定される場所を、新たに攻撃が行われる場所として推定する。例えば、生成部２０４０は、各通信履歴２０の位置情報が示す GPS 座標の平均を求め、その平均を表す GPS 座標を、新たに攻撃が行われる場所を表す情報として算出する。その他にも例えば、生成部２０４０は、算出した GPS 座標に対応する場所の名称や住所などを、新たに攻撃が行われる場所を表す情報としてもよい。

　図６は、抽出した通信履歴２０から得た位置情報の時系列データにおいて、位置情報の変化が小さいケースを例示する図である。例えば図６は、地図を含む攻撃情報を表している。十字の印は、抽出部２０２０によって抽出された通信履歴２０に示される位置情報を表す。このケースでは位置情報の時間変化が小さいため、生成部２０４０は、各位置情報を包含するエリアを新たに攻撃が行われる場所として推定し、その場所を点線で表す攻撃情報を生成している。

　一方、位置情報の時系列データにおいて、位置情報の変化が大きい（例えば、最も離れている位置の間の距離が閾値より大きい）とする。この場合、生成部２０４０は、位置情報の時間変化に基づいて攻撃場所の移動経路を推定し、その移動経路上にある各位置を、将来の攻撃場所として推定する。ここで、或る物体の位置情報の時間変化を用いて、その物体の将来の移動経路を予測する技術には、既存の技術を利用できる。例えばこの予測には、地図情報が利用される。地図情報は、情報処理装置２０００からアクセス可能な記憶装置に記憶させておいてもよいし、地図情報を提供している任意のサーバから取得されてもよい。

　図７は、抽出した通信履歴２０から得た位置情報の時系列データにおいて、位置情報の変化が大きいケースを例示する図である。図７から、位置情報が道路３０に沿って右方向へ移動していることが分かる。そこで生成部２０４０は、新たな攻撃が行われる場所として、道路３０に沿って右方向に移動した場所を推定し、その場所を地図上に点線で示した攻撃情報を生成している。

　また、生成部２０４０は、各移動端末１０の移動経路と前述した時系列データとを比較し、前記時系列データと類似する経路で移動している移動端末１０を特定してもよい。前述した時系列データと類似する経路で移動している移動端末１０は、攻撃者の移動端末１０である蓋然性が高い。そこで生成部２０４０は、攻撃者であると推定される移動端末１０を示す情報として、上記特定した移動端末１０の識別子を、攻撃情報に含める。なお、移動端末１０の移動経路は、その移動端末１０の位置情報の時系列変化から特定することができる。

＜＜攻撃情報の生成に利用する通信履歴の絞り込み＞＞
　生成部２０４０は、抽出部２０２０が抽出した通信履歴２０の全てではなく、その一部を利用して、攻撃情報を生成してもよい。例えば生成部２０４０は、抽出した通信履歴２０の中から、通信日時が他の通信履歴２０と大きく異なっている通信履歴２０を除外することで、攻撃情報の生成に利用する通信履歴２０を絞り込む。より具体的な例としては、生成部２０４０は、抽出された通信履歴２０が示す通信日時の平均μと標準偏差σを算出し、通信日時がμ±σの範囲に含まれる通信履歴２０のみを利用して、攻撃情報を生成する。

　また、生成部２０４０は、上述した方法で抽出した通信履歴２０についてさらにグループ分けを行い、グループごとに攻撃情報を生成してもよい。例えば生成部２０４０は、抽出した通信履歴２０を通信日時に基づいてクラスタリングし、クラスタごとに攻撃情報を生成する。なお、クラスタリングの手法には、既存の種々の手法を利用することができる。

＜攻撃情報の出力：Ｓ１０６＞
　出力部２０６０は攻撃情報を出力する（Ｓ１０６）。以下、攻撃情報の内容や出力先などについて説明する。

＜＜攻撃情報の内容＞＞
　例えば出力部２０６０は、新たに攻撃が行われる場所に関する情報を含む攻撃情報を生成する。新たに攻撃が行われる場所を特定する情報や、その場所の特定方法については、前述した通りである。

　なお、新たに攻撃が行われる場所に関する情報は、人が理解しやすい形式で表されることが好適である。例えば図６や図７で示した攻撃情報の様に、その場所を表す情報（例えば図形やアイコンなど）が重畳された地図などを利用することが好適である。こうすることで、移動端末１０のユーザが、新たに攻撃が行われる場所を容易に把握できる。

　その他にも例えば、出力部２０６０は、既に攻撃が行われた場所の履歴を示す攻撃情報を生成してもよい。例えばこの情報は、攻撃が行われた場所の移動経路（抽出部２０２０によって抽出された各通信履歴２０の位置情報の時系列データ）を、その移動方向が分かる態様で地図上に示した情報である。このような情報を移動端末１０のユーザが見れば、ユーザ自身で将来の攻撃場所を或る程度予測できる。

＜＜出力先＞＞
　例えば出力部２０６０は、移動端末１０に対して攻撃情報を送信する。宛先とする移動端末１０は、宛先として指定可能な移動端末１０の全てであってもよいし、一部であってもよい。後者の場合、出力部２０６０は、新たに攻撃を受ける蓋然性が高い移動端末１０を宛先とする。新たに攻撃を受ける蓋然性が高い移動端末１０は、生成部２０４０によって推定された新たに攻撃が行われる場所に位置する移動端末１０、又はその場所に向かっている移動端末１０である。ここで、或る場所に向かっている移動端末１０には、その場所を目的地として移動している移動端末１０だけでなく、その場所を通過する移動端末１０も含めることができる。

　一部の移動端末１０を宛先とする場合、情報処理装置２０００が各移動端末１０の位置を把握できる必要がある。そこで例えば、各移動端末１０の位置情報が通信履歴２０と同様に収集され、情報処理装置２０００がアクセス可能な記憶装置に記憶されるようにする。例えば位置情報は、通信履歴と共に収集・管理されるようにする。

　また、新たに攻撃が行われる場所に対して或る移動端末１０が向かっているか否かを判定するためには、その移動端末１０の移動経路を把握する必要がある。例えば出力部２０６０は、各移動端末１０から得られる位置情報の時系列データを利用して、各移動端末１０の将来の移動経路を推定することにより、各移動端末１０が、新たに攻撃が行われる場所に向かっているか否かを判定する。

　その他にも例えば、移動端末１０がカーナビゲーションシステムを利用している場合、出力部２０６０は、カーナビゲーションシステムに設定された目的地情報や、カーナビゲーションシステムが提示している推奨移動経路の情報に基づいて、移動端末の移動経路を把握してもよい。この場合、これらカーナビゲーションシステムで扱われる情報も、移動端末１０の位置情報と同様に収集・管理されるようにする。

　移動端末１０に対して送信された攻撃情報は、移動端末１０によって受信された後、移動端末１０のユーザが認識できるように出力されることが好適である。例えば攻撃情報は、移動端末１０に設けられたディスプレイ装置（例えば、カーナビゲーションシステムが利用するディスプレイ装置）に表示されるようにする。

　その他にも例えば、カーナビゲーションシステムを実現する装置に対して攻撃情報を出力し、攻撃情報が示す将来の攻撃場所に基づいて、カーナビゲーションシステムが提供する推奨移動経路を変更するようにしてもよい。具体的には、カーナビゲーションシステムが、攻撃情報を用いて、将来の攻撃場所を避けて目的地へ到達するための新たな移動経路を算出し、算出した新たな移動経路を提示するようにする。

　その他にも例えば、移動端末１０が自動運転車に設けられている場合、攻撃情報を用いて、自動運転車の移動経路を変更するようにしてもよい。その方法は、カーナビゲーションシステムが提供する推奨移動経路を変更する方法と同様である。

　攻撃情報の出力先は、移動端末１０以外であってもよい。例えば出力部２０６０は、情報処理装置２０００からアクセス可能な任意の記憶装置に攻撃情報を記憶させる。その他にも例えば、出力部２０６０は、情報処理装置２０００に接続されているディスプレイ装置に、攻撃情報を表示させてもよい。こうすることで、情報処理装置２０００のユーザ（例えば情報処理装置２０００の管理者やセキュリティアナリストなど）が、攻撃に関する情報を把握することができる。

　その他にも例えば、攻撃情報は、Web サーバなどを介して公開されてもよい。こうすることで、様々な人が攻撃に関する情報を把握できる。なお、情報処理装置２０００が Web サーバとして機能してもよいし、別途 Web サーバ用のマシンを用意してもよい。後者の場合、出力部２０６０は、別途用意したサーバマシンに対して攻撃情報を送信したり、そのサーバマシンからアクセス可能な記憶装置に攻撃情報を記憶させたりする。

　以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記各実施形態の組み合わせ、又は上記以外の様々な構成を採用することもできる。

Claims (19)

1. 　複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出部を有し、
   　前記通信履歴は、前記移動端末の位置情報を含んでおり、
   　各前記抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成部と、
   　前記生成した攻撃情報を出力する出力部と、を有する情報処理装置。
2. 　前記抽出部は、類似する攻撃に関する通信を示す通信履歴を特定する抽出ルールを取得し、前記抽出ルールに合致する通信履歴を抽出する、請求項１に記載の情報処理装置。
3. 　前記通信履歴は、通信先の端末の識別子、通信に利用された中継装置の識別子、通信に利用された DNS サーバの識別子、及び通信されたデータの内容のいずれか１つ以上をさらに示し、
   　前記抽出ルールは、前記通信履歴が示す前記通信先の端末の識別子、前記中継装置の識別子、前記 DNS サーバの識別子、及び前記通信されたデータの内容のいずれか１つ以上に関するルールを示す、請求項２に記載の情報処理装置。
4. 　前記生成部は、各前記抽出した通信履歴が示す位置情報を用いて新たに攻撃が行われる場所を推定し、前記推定した場所を示す前記攻撃情報を生成する、請求項１乃至３いずれか一項に記載の情報処理装置。
5. 　前記場所は、その場所に位置する移動端末によって利用されるアクセスポイントの識別子によって特定される、請求項４に記載の情報処理装置。
6. 　前記出力部は、前記推定した場所の近くに位置する移動端末、及び前記推定した場所に向かっている移動端末の少なくとも一方に、前記攻撃情報を出力する、請求項５に記載の情報処理装置。
7. 　前記通信履歴は、通信が行われた時点である通信時点を示しており、
   　前記生成部は、各前記抽出した通信履歴から得られる位置情報と通信時点の組みを用いて、位置情報の時系列変化を表す経路情報を含む前記攻撃情報を生成する、請求項１乃至６いずれか一項に記載の情報処理装置。
8. 　前記生成部は、前記通信履歴を用いて、前記経路情報が示す経路に類似する経路で移動した移動端末を特定し、前記特定した移動端末の識別子を含む前記攻撃情報を生成する、請求項７に記載の情報処理装置。
9. 　前記移動端末は、車両に搭載されているか、又は車両と通信可能に接続されている、請求項１乃至８いずれか一項に記載の情報処理装置。
10. 　コンピュータによって実行される制御方法であって、
    　複数の移動端末それぞれが行ったネットワーク通信の履歴を表す通信履歴から、類似する攻撃に関する通信を示す通信履歴を抽出する抽出ステップを有し、
    　前記通信履歴は、前記移動端末の位置情報を含んでおり、
    　各前記抽出した通信履歴に示される位置情報を用いて、移動端末に対する攻撃に関する攻撃情報を生成する生成ステップと、
    　前記生成した攻撃情報を出力する出力ステップと、を有する制御方法。
11. 　前記抽出ステップにおいて、類似する攻撃に関する通信を示す通信履歴を特定する抽出ルールを取得し、前記抽出ルールに合致する通信履歴を抽出する、請求項１０に記載の制御方法。
12. 　前記通信履歴は、通信先の端末の識別子、通信に利用された中継装置の識別子、通信に利用された DNS サーバの識別子、及び通信されたデータの内容のいずれか１つ以上をさらに示し、
    　前記抽出ルールは、前記通信履歴が示す前記通信先の端末の識別子、前記中継装置の識別子、前記 DNS サーバの識別子、及び前記通信されたデータの内容のいずれか１つ以上に関するルールを示す、請求項１１に記載の制御方法。
13. 　前記生成ステップにおいて、各前記抽出した通信履歴が示す位置情報を用いて新たに攻撃が行われる場所を推定し、前記推定した場所を示す前記攻撃情報を生成する、請求項１０乃至１２いずれか一項に記載の制御方法。
14. 　前記場所は、その場所に位置する移動端末によって利用されるアクセスポイントの識別子によって特定される、請求項１３に記載の制御方法。
15. 　前記出力ステップにおいて、前記推定した場所の近くに位置する移動端末、及び前記推定した場所に向かっている移動端末の少なくとも一方に、前記攻撃情報を出力する、請求項１４に記載の制御方法。
16. 　前記通信履歴は、通信が行われた時点である通信時点を示しており、
    　前記生成ステップにおいて、各前記抽出した通信履歴から得られる位置情報と通信時点の組みを用いて、位置情報の時系列変化を表す経路情報を含む前記攻撃情報を生成する、請求項１０乃至１５いずれか一項に記載の制御方法。
17. 　前記生成ステップにおいて、前記通信履歴を用いて、前記経路情報が示す経路に類似する経路で移動した移動端末を特定し、前記特定した移動端末の識別子を含む前記攻撃情報を生成する、請求項１６に記載の制御方法。
18. 　前記移動端末は、車両に搭載されているか、又は車両と通信可能に接続されている、請求項１０乃至１７いずれか一項に記載の制御方法。
19. 　請求項１０乃至１８いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。

Images