WO2021024532A1

WO2021024532A1 - 計算機システム及び情報の共有方法

Info

Publication number: WO2021024532A1
Application number: PCT/JP2020/009401
Authority: WO
Inventors: 翔太藤井; 真敏寺田; 佐藤　隆行; 翔青木; 倫宏重本; 信隆川口; 侑津田; 金谷　延幸; 真悟安田; 大介井上
Original assignee: 株式会社日立製作所; 国立研究開発法人情報通信研究機構
Priority date: 2019-08-07
Filing date: 2020-03-05
Publication date: 2021-02-11
Also published as: JP2021026597A; EP4012588A4; US20220263839A1; EP4012588A1; JP7297249B2

Abstract

計算機システムは、不正プログラムの検体の動的解析を実行し、不正プログラムが通信する接続先を含む解析結果を出力する解析部と、接続先に対する周期的な観測の結果に基づいて、接続先の変動を検出し、検出の結果を出力する変動検出部と、複数の外部計算機が共有できる形式で、解析部及び変動検出部から出力された情報を記憶する情報共有部と、を備える。

Description

計算機システム及び情報の共有方法

参照による取り込み

　本出願は、２０１９年８月７日に出願された日本特許出願第２０１９－１４５３８４号の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、サイバー攻撃、特に、標的型攻撃に対する対策に必要な情報を共有するための技術に関する。

　サイバー攻撃及び攻撃に用いられる不正プログラムの高度化及び種別の増加により、企業及び国家にとって重大な脅威となっている。このような状況から不正プログラムを解析し、攻撃の予兆を捕らえ、攻撃に先んじて対策を打つことが重要となってきている。

　サイバー攻撃の一つである標的型攻撃に用いられるマルウェア（不正プログラム）は、Ｃ２サーバ等の攻撃者が有するサーバと通信する。例えば、遠隔操作を目的としたマルウェア（例えば、Ｒｅｍｏｔｅ　Ａｃｃｅｓｓ　Ｔｒｏｊａｎ／Ｒｅｍｏｔｅ　Ａｃｃｅｓｓ　Ｔｏｏｌ／Ｒｅｍｏｔｅ　Ａｄｍｉｎｉｓｔｒａｔｉｏｎ　Ｔｏｏｌ）が攻撃者のサーバ又は端末とセッションを確立するための通信及び窃取した情報の攻撃者のサーバへのアップロードを行うための通信等が挙げられる。

　上記のような特性から、マルウェアを用いた攻撃に対しては、マルウェアが通信を行う接続先を迅速に特定し、接続先への通信を遮断することが、攻撃を抑制する有効な手段である。これに対して、特許文献１及び特許文献２に記載の技術が知られている。

　特許文献１には、「実行部と、記録部と、検知部と、特定部とを備える。実行部は、端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する。記録部は、不正プログラムの実行による通信の通信先を記録する。検知部は、端末への通信であって、接続情報を用いて行われる通信を検知する。特定部は、記録部によって記録された通信先の中から、検知部で検知された通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する。」ことが記載されている。

　特許文献２には、「ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置において、ソフトウェアを実行するソフトウェア実行手段と、前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備える。」ことが記載されている。

特開２０１４－８５７７２号公報特開２０１４－１７９０２５号公報

　近年の標的型攻撃では、攻撃を隠蔽し、また、解析を回避するために、マルウェア及びＣ２サーバ間の通信の頻度が少なくなり、また、通信時間も短くなっている。そのため、迅速な接続先の特定が困難な場合がある。また、特許文献１及び特許文献２に記載の技術では、接続先の状態変化等に合わせた対策をとることができない。例えば、攻撃者によって接続先であるＣ２サーバ又はドメインが放棄された場合、接続先への通信の遮断は不用になる。

　したがって、正確かつ効率的な対策に必要な情報を取得する必要がある。

　従来は、企業等の組織が、検体の検出機構及び動的解析機構を用意し、攻撃者からマルウェアが送信されたことを検出し、当該マルウェアの解析を行って、対策をとっていた。しかし、サイバー攻撃は組織化しているため、個人、一企業、及び一国家ではサイバー攻撃に対する防御が困難になってきている。また、組織が検出できる検体にも限りがあるため、様々な脅威に対する有効な対策をとることが困難である。

　したがって、複数の組織が協力して様々な脅威に対する防御を実現するための情報を共有するシステムが求められている。

　本発明は、複数の組織が正確かつ効率的な対策をとるために必要な情報を共有するシステム及び方法を提供する。

　本発明の代表的な一例は、以下の通りである。すなわち、少なくとも一つの計算機を備える計算機システムであって、前記少なくとも一つの計算機は、演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信装置を有し、前記計算機システムは、サイバー攻撃に関わる不正プログラムの検体の動的解析を実行し、少なくとも前記不正プログラムが通信する接続先を含む解析結果を出力する解析部と、前記接続先に対する周期的な観測の結果に基づいて、前記接続先の変動を検出し、前記検出の結果を出力する変動検出部と、複数の外部計算機が共有できる形式で、前記解析部及び前記変動検出部から出力された情報を記憶する情報共有部と、を備える。

　本発明によれば、複数の組織が正確かつ効率的な対策を実現するための情報を共有できる。上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

実施例１の計算機システムの構成の一例を示す図である。実施例１の検体情報のデータ構造の一例を示す図である。実施例１の接続先情報のデータ構造の一例を示す図である。実施例１の解析結果情報のデータ構造の一例を示す図である。実施例１の攻撃解析／共有システムが実行する処理の概要を説明するフローチャートである。実施例１の攻撃解析／共有システムが実行する解析処理の一例を説明するフローチャートである。実施例１の攻撃解析／共有システムが実行する観測処理の一例を説明するフローチャートである。実施例１の攻撃解析／共有システムが実行する変動検出処理の一例を説明するフローチャートである。実施例１の攻撃解析／共有システムが実行する情報共有処理の一例を説明するフローチャートである。実施例１の攻撃解析／共有システムが実行する表示処理の一例を説明するフローチャートである。実施例２の攻撃解析／共有システムが実行する通信遮断要否判定処理の一例を説明するフローチャートである。実施例３の攻撃解析／共有システムが実行する観測周期管理処理の一例を説明するフローチャートである。実施例４の攻撃解析／共有システムが実行する解析処理の一例を説明するフローチャートである。実施例５の攻撃解析／共有システムが実行するレポート生成処理の一例を説明するフローチャートである。

　以下、本発明の実施例を、図面を用いて説明する。ただし、本発明は以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。

　以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。

　本明細書等における「第１」、「第２」、「第３」等の表記は、構成要素を識別するために付するものであり、必ずしも、数又は順序を限定するものではない。

　図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。

　図１は、実施例１の計算機システムの構成の一例を示す図である。

　計算機システムは、攻撃解析／共有システム１００、複数のユーザ端末１０１、共有サーバ１０２、複数の外部ユーザ端末１０３、及び複数の観測エージェント１０４から構成される。図１では、ユーザ端末１０１はｋ台であり、外部ユーザ端末１０３であり、観測エージェント１０４はｎ台である。なお、本発明は、計算機システムに含まれるユーザ端末１０１、共有サーバ１０２、外部ユーザ端末１０３、及び観測エージェント１０４の数に限定されない。

　攻撃解析／共有システム１００は、ネットワーク１０５－１を介して複数のユーザ端末１０１と接続する。また、攻撃解析／共有システム１００は、ネットワーク１０５－２及びインターネット１０６を介して、共有サーバ１０２、複数の外部ユーザ端末１０３、及び複数の観測エージェント１０４と接続する。

　ネットワーク１０５－１は、例えば、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）であり、また、ネットワーク１０５－２は、例えば、ＷＡＮ（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）である。なお、本発明は、ネットワーク１０５の種別に限定されない。また、ネットワーク１０５の接続方式は有線及び無線のいずれでもよい。

　ユーザ端末１０１及び外部ユーザ端末１０３は、ユーザが操作する端末であり、例えば、パーソナルコンピュータ、スマートフォン、及びタブレット等である。ユーザ端末１０１及び外部ユーザ端末１０３は、図示しない、ＣＰＵ、メモリ、記憶装置、及びネットワークインタフェースを有する。ユーザ端末１０１は、攻撃解析／共有システム１００が存在する内部ネットワークに接続されるユーザ端末であり、外部ユーザ端末１０３は、内部ネットワークとは異なる外部ネットワークに接続されるユーザ端末である。

　共有サーバ１０２は、攻撃解析／共有システム１００によって解析された情報等を共有可能な形式で保存する計算機である。共有サーバ１０２は、図示しない、ＣＰＵ、メモリ、記憶装置、及びネットワークインタフェースを有する。

　観測エージェント１０４は、攻撃解析／共有システム１００によって指定された接続先の監視を行う計算機である。観測エージェント１０４は、図示しない、ＣＰＵ、メモリ、記憶装置、及びネットワークインタフェースを有する。

　なお、攻撃解析／共有システム１００が、観測エージェント１０４の機能を有してもよい。

　攻撃解析／共有システム１００は、サイバー攻撃に対する対策をとるために有用な情報を提供するシステムである。攻撃解析／共有システム１００は、少なくとも一つの計算機から構成される。実施例１では、一つの計算機を用いて攻撃解析／共有システム１００を実現するものとする。攻撃解析／共有システム１００は、ハードウェアとして、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１１、ネットワークインタフェース１１２、メモリ１１３、及び記憶装置１１４を有する。各ハードウェアは、バス又はケーブル等の情報伝達媒体である通信路１１５を介して互いに接続される。

　なお、攻撃解析／共有システム１００は、キーボード、マウス、タッチパネル、ディスプレイ、及びプリンタ等、攻撃解析／共有システム１００に対する入出力を行うための入出力装置１１６と接続されてもよい。

　ＣＰＵ１１１は、メモリ１１３に格納されるプログラムを実行する。ＣＰＵ１１１がプログラムにしたがって処理を実行することによって、特定の機能を実現するモジュール（機能部）として動作する。以下の説明では、プログラムを主語に処理を説明する場合、ＣＰＵが当該プログラムを実行していることを表す。

　ネットワークインタフェース１１２は外部装置と通信するためのインタフェースである。

　メモリ１１３は、ＣＰＵ１１１が実行するプログラム及びプログラムが使用する情報を格納する。また、メモリ１１３は、プログラムが一時的に使用するワークエリアとしても用いられる。

　記憶装置１１４は、大量のデータを永続的に格納する。記憶装置１１４は、例えば、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）及びＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）である。

　ここで、実施例１のメモリ１１３に格納されるプログラム及び記憶装置１１４に格納される情報について説明する。

　メモリ１１３は、解析プログラム１２０、情報共有プログラム１２１、観測プログラム１２２、変動検出プログラム１２３、表示プログラム１２４、遮断判定プログラム１２５、観測周期管理プログラム１２６、及びレポート生成プログラム１２７を格納する。

　解析プログラム１２０は、マルウェア検体を解析し、マルウェア検体の挙動及び特性等に関する情報を含む解析結果を出力するために実行されるプログラムである。情報共有プログラム１２１は、ユーザ端末１０１及び外部ユーザ端末１０３が利用可能な形式で、情報を記憶するために実行されるプログラムである。観測プログラム１２２は、観測エージェント１０４を制御するために実行されるプログラムである。変動検出プログラム１２３は、マルウェア検体が通信を行う接続先の変動を検出するために実行されるプログラムである。表示プログラム１２４は、マルウェア検体の解析結果等、各種情報を表示するために実行されるプログラムである。

　遮断判定プログラム１２５は、接続先への通信の遮断の要否を判定するために実行されるプログラムである。観測周期管理プログラム１２６は、観測エージェント１０４の接続先の観測周期を管理するために実行されるプログラムである。レポート生成プログラム１２７は、マルウェア検体の解析及び接続先の観測等に関する情報をまとめたレポートを生成するために実行されるプログラムである。

　遮断判定プログラム１２５、観測周期管理プログラム１２６、及びレポート生成プログラム１２７の詳細については実施例１以降の実施例にて説明する。

　なお、メモリ１１３には、図示しない、攻撃解析／共有システム１００全体を制御するプログラムが格納されてもよい。また、解析プログラム１２０等が攻撃解析／共有システム１００全体を制御する機能を有してもよい。なお、計算機が有する各プログラムについては、複数のプログラムを一つのプログラムにまとめてもよいし、一つのプログラムを機能毎に複数のプログラムに分けてもよい。

　記憶装置１１４は、検体情報１３０、接続先情報１３１、及び解析結果情報１３２を格納する。また、記憶装置１１４は、検体保存領域１４０を含む。

　検体保存領域１４０は、マルウェア検体を保存するための記憶領域である。

　検体情報１３０はマルウェア検体を管理するための情報である。解析結果情報１３２はマルウェア検体の解析結果を管理するための情報である。検体情報１３０には初回の解析結果が格納され、解析結果情報１３２には２回目以降の解析結果が格納される。検体情報１３０のデータ構造は図２を用いて説明し、解析結果情報１３２のデータ構造は図４を用いて説明する。

　接続先情報１３１は、接続先を管理するための情報である。接続先情報１３１のデータ構造は図３を用いて説明する。

　なお、メモリ１１３に格納されるプログラムは、記憶装置１１４又はネットワークインタフェース１１２を介して接続される外部装置に格納されてもよい。この場合、ＣＰＵ１１１が、記憶装置１１４又は外部装置からプログラムを取得し、メモリ１１３にロードする。

　なお、複数の計算機を用いて攻撃解析／共有システム１００を実現する場合、各計算機に異なるプログラムを格納してもよい。なお、各プログラムによって実現される機能は、専用のハードウェアを用いて実現してもよい。

　以下の説明では、マルウェア検体を、単に、検体と記載する。

　図２は、実施例１の検体情報１３０のデータ構造の一例を示す図である。

　検体情報１３０は、検体ＩＤ２０１、解析日時２０２、保存場所２０３、接続先２０４、及び応答２０５から構成されるエントリを格納する。一つの検体に対して一つのエントリが存在する。なお、エントリの構造は一例であって、これに限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。

　検体ＩＤ２０１は、解析対象の検体を一意に識別するための識別情報を格納するフィールドである。実施例１の検体ＩＤ２０１には数字が識別情報として格納される。また、検体ＩＤ２０１は、検体情報１３０のエントリを識別するための識別情報としても用いられる。

　解析日時２０２は、検体の解析が行われた日時を格納するフィールドである。例えば、検体ＩＤ２０１が「０」のエントリは、２０１９年６月６日の１４時５７分１２秒に、検体の解析が行われたことを表す。本発明は、解析日時２０２に格納される時刻のデータ形式に限定されない。Ｕｎｉｘｔｉｍｅ等、時刻が判別できるデータ形式であれば、どのようなデータ形式を用いてもよい。

　保存場所２０３は、検体保存領域１４０における検体の保存場所を示す情報を格納するフィールドである。実施例１の保存場所２０３にはファイルパスが格納される。例えば、検体ＩＤ２０１が「０」のエントリに対応する検体は「／ｍａｌ／ａ．ｅｘｅ」に格納されていることを示す。

　接続先２０４は、検体が通信を試みた接続先に関する情報を格納するフィールドである。接続先２０４にはＵＲＬ及びアドレス等が格納される。例えば、検体ＩＤ２０１が「０」のエントリに対応する検体は、「ｓｅａｒｃｈ．ｅｘａｍｐｌｅ．ｃｏｍ／」及び「１９２．０．２．１／ｃ２」への通信を試みたことを表す。

　応答２０５は、接続先からの応答に関する情報を格納するフィールドである。例えば、接続先からＨＴＴＰステータスコード２００（ＯＫ）を含む応答が検出された場合、応答２０５には「２００」が格納される。なお、接続先からの応答がなかった場合、すなわち、接続が失敗した場合、応答２０５にはハイフンが格納される。

　図３は、実施例１の接続先情報１３１のデータ構造の一例を示す図である。

　接続先情報１３１は、接続先ＩＤ３０１、接続先３０２、検体ＩＤ３０３、観測間隔３０４、遮断フラグ３０５、接続結果３０６から構成されるエントリを格納する。一つの接続先に対して一つのエントリが存在する。なお、エントリの構造は一例であって、これに限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。例えば、接続先の観測を行う観測エージェント１０４の識別情報を格納するフィールドが含まれてもよい。

　接続先ＩＤ３０１は、接続先を一意に識別するための識別情報を格納するフィールドである。実施例１の接続先ＩＤ３０１には数字が識別情報として格納される。また、接続先ＩＤ３０１は、接続先情報１３１のエントリを識別するための識別情報としても用いられる。

　接続先３０２は、監視対象の接続先に関する情報を格納するフィールドである。接続先３０２にはＵＲＬ及びアドレス等が格納される。

　検体ＩＤ３０３は、接続先３０２に格納される接続先への通信を試みた検体の識別情報を格納するフィールドである。検体ＩＤ３０３には、検体情報１３０の検体ＩＤ２０１に格納される値と同一の値が格納される。検体情報１３０及び接続先情報１３１は、検体ＩＤを介して紐付けられる。

　観測間隔３０４は、接続先の観測周期を格納するフィールドである。観測プログラム１２２は、観測間隔３０４に格納される周期に基づいて、観測エージェント１０４に接続先の観測を指示する。例えば、接続先ＩＤ３０１が「０」であるエントリに対応する接続先に対しては４時間周期で観測が行われる。

　遮断フラグ３０５は、接続先への通信の遮断制御に用いる情報を格納するフィールドである。遮断フラグ３０５には「ＯＮ」及び「ＯＦＦ」のいずれかが格納される。「ＯＮ」は接続先への通信の遮断が推奨されることを表す値であり、「ＯＦＦ」は接続先への通信の遮断が推奨されないことを表す値である。

　接続結果３０６は、接続先及び検体の間の通信に関する情報を格納するフィールド群である。接続結果３０６には、観測日時３０７、応答３０８、及び変動３０９から構成される行が一つ以上含まれる。一つの観測結果に対して一つの行が存在する。

　観測日時３０７は、接続先の観測が行われた日時を格納するフィールドである。例えば、接続先ＩＤ３０１が「０」のエントリの一番目の行は、２０１９年６月６日の１４時５７分１４秒に、観測が行われたことを表す。本発明は、観測日時３０７に格納される時刻のデータ形式に限定されない。Ｕｎｉｘｔｉｍｅ等、時刻が判別できるデータ形式であれば、どのようなデータ形式を用いてもよい。

　応答３０８は、接続先からの応答に関する情報を格納するフィールドである。例えば、観測エージェント１０４によって、接続先からＨＴＴＰステータスコード２００（ＯＫ）を含む応答が検出された場合、応答３０８には「２００」が格納される。なお、接続先からの応答が観測されなかった場合、すなわち、接続が失敗した場合、応答３０８にはハイフンが格納される。

　変動３０９は、接続先の変動の有無の判定結果を格納するフィールドである。接続先の変動とは、接続先そのものの状態の変化及び接続先からの応答の変化を含む概念である。本実施例では、前回の観測結果と今回の観測結果との比較結果に基づいて、接続先の変動の有無が判定される。

　変動３０９には、「あり」、「なし」、及びハイフンのいずれかが格納される。「あり」は接続先の変動があることを表し、「なし」は接続先の変動がないことを表す。ハイフンは接続先の変動が判定されていないことを示す。具体的には、初回の観測の場合、比較する観測結果が存在しないため、初回の観測結果に対応する行の変動３０９にはハイフンが格納される。

　図４は、実施例１の解析結果情報１３２のデータ構造の一例を示す図である。

　解析結果情報１３２は、検体ＩＤ４０１、解析日時４０２、及び解析結果４０３から構成されるエントリを格納する。一つの検体の解析結果に対して一つのエントリが存在する。なお、エントリの構造は一例であって、これに限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。

　検体ＩＤ４０１は、解析が行われた検体の識別情報を格納するフィールドである。検体ＩＤ４０１には、検体ＩＤ４０１には、検体情報１３０の検体ＩＤ２０１に格納される値と同一の値が格納される。検体情報１３０及び解析結果情報１３２は、検体ＩＤを介して紐付けられる。

　解析日時４０２は、検体の解析が行われた日時を格納するフィールドである。例えば、一番目のエントリは、２０１９年６月６日の１５時３３分４２秒に、検体の解析が行われたことを表す。本発明は、解析日時４０２に格納される時刻のデータ形式に限定されない。Ｕｎｉｘｔｉｍｅ等、時刻が判別できるデータ形式であれば、どのようなデータ形式を用いてもよい。

　解析結果４０３は、検体の解析結果を格納するフィールド群である。解析結果４０３は、ＡＰＩコールログ４０４、生成ファイル４０５、及び接続先４０６を含む。

　ＡＰＩコールログ４０４は、検体が発行したＡＰＩ呼出に関する情報を格納するフィールドである。例えば、一番目のエントリのＡＰＩコールログ４０４には、検体がレジストリの値を読み取るために呼び出したＡＰＩ、「ＲｅｇＯｐｅｎＫｅｙ（）」が格納される。なお、解析結果４０３は、ＡＰＩコールログ４０４の代わりに、システムコール及び機械語等、検体が呼び出した命令を識別できる情報を格納するフィールドを含んでもよい。

　生成ファイル４０５は、検体が生成したファイルに関する情報を格納するフィールドである。実施例１の生成ファイル４０５には、生成されたファイルの名称が格納される。例えば、二番目のエントリに対応する検体は、名称が「ｃ．ｓｃｒ」であるファイルを生成したことを表す。なお、ファイルが生成されなかった場合、生成ファイル４０５にはハイフンが格納される。

　接続先４０６は、検体が通信を試みた接続先に関する情報を格納するフィールドである。接続先４０６にはＵＲＬ及びアドレス等が格納される。例えば、一番目のエントリに対応する検体は、「ｓｅａｒｃｈ．ｅｘａｍｐｌｅ．ｃｏｍ／」及び「１９２．０．２．１／ｃ２」への通信を試みたことを表す。

　次に、攻撃解析／共有システム１００が実行する処理について説明する。

　図５は、実施例１の攻撃解析／共有システム１００が実行する処理の概要を説明するフローチャートである。

　攻撃解析／共有システム１００は、周期的に、以下で説明する処理を実行する。

　攻撃解析／共有システム１００は、ユーザ端末１０１又は外部ユーザ端末１０３から解析依頼を受信したか否かを判定する（ステップＳ５０１）。攻撃解析／共有システム１００の解析プログラム１２０は、処理の開始前の解析依頼を受信した場合、当該解析依頼をメモリ１１３又は記憶装置１１４に一時的に蓄積する。なお、解析依頼には検体が含まれる。

　解析依頼を受信していないと判定された場合、攻撃解析／共有システム１００はステップＳ５０４に進む。

　解析依頼を受信したと判定された場合、攻撃解析／共有システム１００は、解析処理を実行する（ステップＳ５０２）。

　具体的には、攻撃解析／共有システム１００は、検体を含む処理の実行指示を解析プログラム１２０に出力する。攻撃解析／共有システム１００は、解析処理を実行することによって、マルウェアが通信を試みた接続先を含む解析結果を取得する。解析処理の詳細は図６を用いて説明する。

　次に、攻撃解析／共有システム１００は、解析結果を共有するために、情報共有処理を実行し（ステップＳ５０３）、その後、ステップＳ５０４に進む。

　具体的には、攻撃解析／共有システム１００は、実行指示を情報共有プログラム１２１に出力する。攻撃解析／共有システム１００は、情報共有処理を実行することによって、ユーザ端末１０１等の計算機が扱うことができるデータ形式の解析結果を共有サーバ１０２に保存できる。情報共有処理の詳細は図９を用いて説明する。

　なお、実行指示には、各種情報の更新内容を取得するための情報（参照情報）が含まれる。例えば、共有対象の情報の種別及びエントリの識別情報の組が参照情報として含まれる。共有対象の情報の種別は、接続先、観測結果、及び解析結果のいずれかである。

　ステップＳ５０１において解析依頼を受信していないと判定された場合、又はステップＳ５０３の処理が実行された後、攻撃解析／共有システム１００は、接続先情報１３１を用いて観測処理を実行する（ステップＳ５０４）。

　具体的には、攻撃解析／共有システム１００は、観測周期に基づいて、実行指示を観測プログラム１２２に出力する。攻撃解析／共有システム１００は、観測処理を実行することによって、観測エージェント１０４から観測結果を取得する。観測処理の詳細は図７を用いて説明する。

　次に、攻撃解析／共有システム１００は、観測結果を用いて変動検出処理を実行する（ステップＳ５０５）。

　具体的には、攻撃解析／共有システム１００は、実行指示を変動検出プログラム１２３に出力する。攻撃解析／共有システム１００は、変動検出処理を実行することによって接続先の変動を検出する。変動検出処理の詳細は図８を用いて説明する。

　次に、攻撃解析／共有システム１００は、観測結果を共有するために、情報共有処理を実行し（ステップＳ５０６）、その後、一連の処理を終了する。

　具体的には、攻撃解析／共有システム１００は、実行指示を情報共有プログラム１２１に出力する。攻撃解析／共有システム１００は、情報共有処理を実行することによって、ユーザ端末１０１等の計算機が扱うことができるデータ形式の観測結果を共有サーバ１０２に保存できる。情報共有処理の詳細は図９を用いて説明する。

　なお、実行指示には、参照情報が含まれる。例えば、共有対象の情報の種別及びエントリの識別情報の組が参照情報として含まれる。共有対象の情報の種別は、接続先、観測結果、及び解析結果のいずれかである。

　図６は、実施例１の攻撃解析／共有システム１００が実行する解析処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される解析プログラム１２０は、検体を含む実行指示を受け付けた場合、以下で説明する解析処理を開始する。

　解析プログラム１２０は、解析対象の検体の動的解析を実行する（ステップＳ６０１）。検体の動的解析は、公知の技術であるため詳細な説明は省略するが、例えば、サンドボックスを用いる方法が考えられる。なお、本発明は動的解析の手法に限定されない。

　次に、解析プログラム１２０は、検体保存領域１４０に検体を格納する（ステップＳ６０２）。

　次に、解析プログラム１２０は、解析結果に基づいて検体情報１３０を更新する（ステップＳ６０３）。

　具体的には、解析プログラム１２０は、検体情報１３０にエントリを追加し、追加されたエントリの検体ＩＤ２０１に識別番号を設定する。解析プログラム１２０は、追加されたエントリの解析日時２０２に動的解析が行われた日時を格納し、保存場所２０３に検体保存領域１４０に保存された検体のファイルパスを格納する。また、解析プログラム１２０は、接続先２０４及び応答２０５に検出された接続先の数だけ行を追加し、各行に接続先及び応答を格納する。

　次に、解析プログラム１２０は、解析結果に基づいて接続先情報１３１を更新する（ステップＳ６０４）。具体的には、以下のような処理が実行される。

　（Ｓ６０４－１）解析プログラム１２０は、検出された接続先の中からターゲット接続先を選択する。解析プログラム１２０は、接続先情報１３１を参照し、接続先３０２がターゲット接続先と同一であるエントリが存在するか否かを判定する。

　（Ｓ６０４－２）接続先３０２がターゲット接続先と同一であるエントリが存在すると判定された場合、解析プログラム１２０は、当該エントリの検体ＩＤ３０３に検体の識別情報を格納する。

　解析プログラム１２０は、検索されたエントリの接続結果３０６に観測日時３０７、応答３０８、及び変動３０９から構成される行を追加し、追加された行に解析結果を格納する。この時点では変動３０９は空欄である。その後、解析プログラム１２０は（Ｓ６０４－４）に進む。

　（Ｓ６０４－３）接続先３０２がターゲット接続先と同一であるエントリが存在しないと判定された場合、解析プログラム１２０は、接続先情報１３１にエントリを追加し、追加されたエントリの接続先ＩＤ３０１に識別番号を設定する。解析プログラム１２０は、追加されたエントリの接続先３０２にターゲット接続先の情報を格納し、検体ＩＤ３０３に検体の識別番号を格納する。解析プログラム１２０は、追加されたエントリの観測間隔３０４に所定の観測間隔を格納し、遮断フラグ３０５に「ＯＮ」を格納する。なお、観測間隔の初期値は任意に設定できる。また、遮断フラグ３０５の初期値として「ＯＦＦ」を設定してもよい。ただし、安全性を考慮した場合、遮断フラグ３０５は「ＯＮ」が望ましい。

　解析プログラム１２０は、追加されたエントリの接続結果３０６に観測日時３０７、応答３０８、及び変動３０９から構成される行を追加し、追加された行に解析結果を格納する。また、解析プログラム１２０は、追加された行の変動３０９にハイフンを格納する。その後、解析プログラム１２０は（Ｓ６０４－４）に進む。

　（Ｓ６０４－４）解析プログラム１２０は、検出されたすべての接続先について処理が完了したか否かを判定する。検出されたすべての接続先の処理が完了していない場合、解析プログラム１２０は、（Ｓ６０４－１）に戻り、同様の処理を実行する。検出されたすべての接続先の処理が完了した場合、解析プログラム１２０はステップＳ６０４の処理を終了する。以上がステップＳ６０４の処理の説明である。

　次に、解析プログラム１２０は、解析結果に基づいて解析結果情報１３２を更新し（ステップＳ６０５）、その後、解析処理を終了する。

　具体的には、解析プログラム１２０は、解析結果情報１３２にエントリを追加し、追加されたエントリの検体ＩＤ４０１に検体ＩＤ２０１と同一の識別番号を格納する。解析プログラム１２０は、追加されたエントリの解析日時４０２に動的解析が行われた日時を格納する。また、解析プログラム１２０は、解析結果に基づいて、追加されたエントリのＡＰＩコールログ４０４、生成ファイル４０５、及び接続先４０６に値を格納する。

　なお、監視対象の接続先は、検体の解析結果から取得された接続先に限定されない。例えば、ユーザが、ＣＴＩ（Ｃｙｂｅｒ　Ｔｈｒｅａｔ　Ｉｎｔｅｌｌｉｇｅｎｃｅ）又は各種ログを参照して、直接、接続先情報１３１に監視する接続先を登録してもよい。

　図７は、実施例１の攻撃解析／共有システム１００が実行する観測処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される観測プログラム１２２は、実行指示を受け付けた場合、以下で説明する解析処理を開始する。

　観測プログラム１２２は、接続先情報１３１から接続先の一覧を取得する（ステップＳ７０１）。ここでは、接続先ＩＤ３０１、接続先３０２、観測間隔３０４、及び最新の観測日時から構成されるエントリを含む一覧が取得されるものとする。

　次に、観測プログラム１２２は、変数ｉに初期値０を設定する（ステップＳ７０２）。ここで、変数ｉは接続先の識別番号を表す変数である。観測プログラム１２２は、識別番号が変数ｉに一致する接続先に対してステップＳ７０３からステップＳ７０６までの処理を実行する。以下の説明では、識別番号が変数ｉに一致する接続先をターゲット接続先と記載する。

　次に、観測プログラム１２２は、ターゲット接続先の観測を実行するか否かを判定する（ステップＳ７０３）。

　具体的には、観測プログラム１２２は、最新の観測日時に観測間隔３０４の値を追加した時刻が現時刻を経過しているか否かを判定する。算出された時刻が現時刻を経過している場合、観測プログラム１２２は、ターゲット接続先の観測を実行すると判定する。

　ターゲット接続先の観測を実行しないと判定された場合、観測プログラム１２２はステップＳ７０７に進む。

　ターゲット接続先の観測を実行すると判定された場合、観測プログラム１２２は、少なくとも一つの観測エージェント１０４にターゲット接続先の観測指示を送信する（ステップＳ７０４）。

　本発明は、観測指示を送信する観測エージェント１０４の数に限定されない。なお、接続先ごとに、観測を行う観測エージェント１０４が設定されていてもよい。

　次に、観測プログラム１２２は、観測エージェント１０４からターゲット接続先の観測結果を受信した場合（ステップＳ７０５）、観測結果に基づいて接続先情報１３１を更新し（ステップＳ７０６）、その後、ステップＳ７０７に進む。

　具体的には、観測プログラム１２２は、接続先ＩＤ３０１がターゲット接続先の識別番号と一致するエントリを検索し、検索されたエントリの接続結果３０６に観測日時３０７、応答３０８、及び変動３０９から構成される行を追加する。観測プログラム１２２は、観測日時３０７に観測日時を格納し、応答３０８に観測結果に含まれる値を格納する。この時点では変動３０９は空欄である。

　ステップＳ７０３においてターゲット接続先の観測を実行しないと判定された場合、又はステップＳ７０６の処理が実行された後、観測プログラム１２２は、変数ｉに１を加算した値を新たな変数ｉに設定する（ステップＳ７０７）。

　次に、観測プログラム１２２は、すべての接続先の処理が完了したか否かを判定する（ステップＳ７０８）。

　具体的には、観測プログラム１２２は、変数ｉが一覧に含まれるエントリの数より大きいか否かを判定する。変数ｉが一覧に含まれるエントリの数より大きい場合、観測プログラム１２２は、すべての接続先の処理が完了したと判定する。

　すべての接続先の処理が完了していないと判定された場合、観測プログラム１２２は、ステップＳ７０３に戻り、同様の処理を実行する。

　すべての接続先の処理が完了したと判定された場合、観測プログラム１２２は観測処理を終了する。

　図８は、実施例１の攻撃解析／共有システム１００が実行する変動検出処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される変動検出プログラム１２３は、実行指示を受け付けた場合、以下で説明する変動検出処理を開始する。

　変動検出プログラム１２３は、接続先情報１３１から接続先の一覧を取得する（ステップＳ８０１）。ここでは、接続先ＩＤ３０１から構成されるエントリを含む一覧が取得されるものとする。

　次に、変動検出プログラム１２３は、変数ｉに初期値０を設定する（ステップＳ８０２）。ここで、変数ｉは接続先の識別番号を表す変数である。変動検出プログラム１２３は、識別番号が変数ｉに一致する接続先に対してステップＳ８０３からステップＳ８０５までの処理を実行する。以下の説明では、識別番号が変数ｉに一致する接続先をターゲット接続先と記載する。

　次に、変動検出プログラム１２３は、ターゲット接続先について変動を検出する必要があるか否かを判定する（ステップＳ８０３）。

　具体的には、変動検出プログラム１２３は、接続先ＩＤ３０１がターゲット接続先の識別番号と一致するエントリを検索し、当該エントリの接続結果３０６に変動３０９が空欄である行が存在するか否かを判定する。前述の行が存在する場合、変動検出プログラム１２３は、ターゲット接続先について変動を検出する必要があると判定する。

　ターゲット接続先について変動を検出する必要がないと判定された場合、変動検出プログラム１２３はステップＳ８０６に進む。

　ターゲット接続先について変動を検出する必要があると判定された場合、変動検出プログラム１２３は、ターゲット接続先の変動の有無を判定する（ステップＳ８０４）。

　例えば、変動検出プログラム１２３は、変動３０９が空欄である行の応答３０８と、時系列が一つ前の行の応答３０８とを比較し、前回と異なる応答又はステータスコードの変化の有無等を判定する。前回と異なる応答があった場合、又は、ステータスコードに変化があった場合、変動検出プログラム１２３は、接続先の変動があると判定する。

　なお、本発明は、接続先の変動の検出方法に限定されない。例えば、ｒｏｂｏｔｓ．ｔｘｔの有無又はｐｉｎｇへの反応等、接続先の状態変化又は応答の変化を評価できる情報を用いる処理であればどのような処理でもよい。

　次に、変動検出プログラム１２３は、接続先情報１３１に判定結果を格納する（ステップＳ８０５）。

　具体的には、変動検出プログラム１２３は、変動３０９が空欄である行を検索する。接続先の変動があると判定された場合、変動検出プログラム１２３は、検索された行の変動３０９に「あり」を設定する。接続先の変動がないと判定された場合、変動検出プログラム１２３は、検索された行の変動３０９に「なし」を設定する。

　ステップＳ８０３においてターゲット接続先について変動を検出する必要がないと判定された場合、又はステップＳ８０５の処理が実行された後、変動検出プログラム１２３は、変数ｉに１を加算した値を新たな変数ｉに設定する（ステップＳ８０６）。

　次に、変動検出プログラム１２３は、すべての接続先の処理が完了したか否かを判定する（ステップＳ８０７）。

　具体的には、変動検出プログラム１２３は、変数ｉが一覧に含まれるエントリの数より大きいか否かを判定する。変数ｉが一覧に含まれるエントリの数より大きい場合、変動検出プログラム１２３は、すべての接続先の処理が完了したと判定する。

　すべての接続先の処理が完了していないと判定された場合、変動検出プログラム１２３は、ステップＳ８０３に戻り、同様の処理を実行する。

　すべての接続先の処理が完了したと判定された場合、変動検出プログラム１２３は変動検出処理を終了する。

　図９は、実施例１の攻撃解析／共有システム１００が実行する情報共有処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される情報共有プログラム１２１は、実行指示を受け付けた場合、以下で説明する情報共有処理を開始する。

　情報共有プログラム１２１は、接続先の情報を共有するか否かを判定する（ステップＳ９０１）。

　具体的には、情報共有プログラム１２１は、参照情報を参照して、共有対象の情報の種別が接続先であるか否かを判定する。

　接続先の情報を共有しないと判定された場合、情報共有プログラム１２１はステップＳ９０４に進む。

　接続先の情報を共有すると判定された場合、情報共有プログラム１２１は、参照情報に基づいて接続先情報１３１から接続先の情報を取得し（ステップＳ９０２）、機械可読なフォーマットで取得した接続先の情報を共有サーバ１０２に保存する（ステップＳ９０３）。その後、情報共有プログラム１２１はステップＳ９０４に進む。

　使用するフォーマットとしては、サイバー攻撃の記述方式として定まっているフォーマットである、ＳＴＩＸ（Ｓｔｒｕｃｔｕｒｅｄ　Ｔｈｒｅａｔ　Ｉｎｔｅｌｌｉｇｅｎｃｅ　ｅＸｐｒｅｓｓｉｏｎ）又はＯｐｅｎＩＯＣ（Ｏｐｅｎ　Ｉｎｄｉｃａｔｏｒｓ　ｏｆ　Ｃｏｍｐｒｏｍｉｓｅ）を用いることが考えられる。これらのフォーマットを用いることによって、情報を汎用的に活用することが期待できる。なお、本発明は、使用するフォーマットの形式に限定されない。例えば、特定のファイル形式で情報を共有サーバ１０２に保存してもよい。

　また、共有サーバ１０２への情報保存には、ＴＡＸＩＩ（Ｔｒｕｓｔｅｄ　Ａｕｔｏｍａｔｙｅｄ　ｅＸｃｈａｎｇｅ　ｏｆ　Ｉｎｄｉｃａｔｏｒ　Ｉｎｆｏｒｍａｔｉｏｎ）等のプロトコルを利用する。

　ステップＳ９０１において接続先の情報を共有しないと判定された場合、又は、ステップＳ９０３の処理が実行された後、情報共有プログラム１２１は、観測結果の情報を共有するか否かを判定する（ステップＳ９０４）。

　具体的には、情報共有プログラム１２１は、参照情報を参照して、共有対象の情報の種別が観測結果であるか否かを判定する。

　観測結果の情報を共有しないと判定された場合、情報共有プログラム１２１はステップＳ９０７に進む。

　観測結果の情報を共有すると判定された場合、情報共有プログラム１２１は、参照情報に基づいて接続先情報１３１から観測結果の情報を取得し（ステップＳ９０５）、機械可読なフォーマットで取得した観測結果の情報を共有サーバ１０２に保存する（ステップＳ９０６）。その後、情報共有プログラム１２１はステップＳ９０７に進む。

　ステップＳ９０４において観測結果の情報を共有しないと判定された場合、又は、ステップＳ９０６の処理が実行された後、情報共有プログラム１２１は、解析結果の情報を共有するか否かを判定する（ステップＳ９０７）。

　解析結果の情報を共有しないと判定された場合、情報共有プログラム１２１は情報共有処理を終了する。

　解析結果の情報を共有すると判定された場合、情報共有プログラム１２１は、参照情報に基づいて解析結果情報１３２から解析結果の情報を取得し（ステップＳ９０８）、機械可読なフォーマットで取得した解析結果の情報を共有サーバ１０２に保存する（ステップＳ９０９）。その後、情報共有プログラム１２１は情報共有処理を終了する。

　実施例１では、共有サーバ１０２に情報を保存することによって、サイバー攻撃に関する情報の共有を実現しているが、これに限定されない。例えば、各種情報へアクセスするためのＵＲＬをユーザ端末１０１等に公開することによって、情報の共有を実現してもよい。

　実施例１では、攻撃解析／共有システム１００が能動的に情報の共有を行っているが、ユーザからの要求を受け付けた場合に、情報を共有するようにしてもよい。

　攻撃解析／共有システム１００は、図５で説明した処理とは別に、ユーザに対して各種情報を表示するための表示処理を実行する。図１０は、実施例１の攻撃解析／共有システム１００が実行する表示処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される表示プログラム１２４は、ユーザ端末１０１等から表示要求を受信した場合、以下で説明する表示処理を開始する。

　表示プログラム１２４は、ユーザから表示対象を指定する入力を受け付ける（ステップＳ１００１）。

　例えば、表示プログラム１２４は、ユーザ端末１０１等に、表示対象を指定するためのトップページを表示する。なお、入力には、表示する情報を絞り込むための情報が含まれてもよい。例えば、接続先、検体、及び期間等が含まれる。

　表示プログラム１２４は、受け付けた入力に基づいて表示対象を判別する（ステップＳ１００２）。

　表示対象が接続先であると判定された場合、表示プログラム１２４は、接続先情報１３１を取得して、接続先に関する情報を表示するための表示情報を生成する（ステップＳ１００３）。さらに、表示プログラム１２４は、生成された表示情報をユーザ端末１０１等に送信する（ステップＳ１００４）。その後、表示プログラム１２４は表示処理を終了する。

　表示対象が観測結果であると判定された場合、表示プログラム１２４は、接続先情報１３１を取得して、観測結果に関する情報を表示するための表示情報を生成する（ステップＳ１００５）。さらに、表示プログラム１２４は、生成された表示情報をユーザ端末１０１等に送信する（ステップＳ１００６）。その後、表示プログラム１２４は表示処理を終了する。

　表示対象が解析結果であると判定された場合、表示プログラム１２４は、解析結果情報１３２を取得して、解析結果に関する情報を表示するための表示情報を生成する（ステップＳ１００７）。さらに、表示プログラム１２４は、生成された表示情報をユーザ端末１０１等に送信する（ステップＳ１００８）。その後、表示プログラム１２４は表示処理を終了する。

　なお、ユーザの要求に応じて、動的解析の実行要因等を表示してもよい。動的解析の実行要因としては、接続先の変動の検出又はユーザの解析要求の受信等が考えられる。前述のような情報を表示することによって、ユーザの表示内容の意味解釈の効率を向上させることが期待できる。

　以上で説明したように、実施例１は以下のような特徴を有する。

　（１）攻撃解析／共有システム１００は、検体の動的解析によって検出された接続先に関する情報を共有する。

　動的解析は静的解析より容易かつ迅速な解析を実現できる。したがって、サイバー攻撃を防ぐための対策に有用な情報を迅速に提供することができる。また、情報は機械可読なフォーマットで共有されるため、サイバー攻撃の防御を行う防御システム（図示省略）は、当該情報に基づいて、接続先のブラックリストへの登録、迅速かつ自動的な防御を実現できる。これによって、様々な脅威に対する自動的かつ迅速な防御を実現できる。

　（２）攻撃解析／共有システム１００は、継続的な接続先の観測結果に基づく接続先の変動の検出結果に関する情報を共有する。

　継続的な接続先の観測結果に基づいて、検体が通信するＣ２サーバの活性化の契機、及び攻撃者が使用するインフラの変化等を接続先の変動として検出することによって、検体又は接続先の挙動を正確かつ精度よく把握することができる。これらの情報を用いることによって、防御システムは、正確かつ効果的な対策をとることができる。また、攻撃者の攻撃開始の予兆として利用することによって、攻撃の開始前に対策をとることができる。

　このように、実施例１によれば、様々な脅威に対する高度かつ迅速な集団防御を実現可能な情報を共有することができる。

　実施例２の攻撃解析／共有システム１００は、検体と接続先との間の通信の遮断制御に用いる情報を提供する。以下、実施例１との差異を中心に実施例２について説明する。

　実施例２の計算機システムの構成は実施例１と同一である。実施例２の攻撃解析／共有システム１００のハードウェア構成及びソフトウェア構成は実施例１と同一である。実施例２の攻撃解析／共有システム１００が保持する情報のデータ構造は実施例１と同一である。また、実施例２の解析プログラム１２０、情報共有プログラム１２１、観測プログラム１２２、変動検出プログラム１２３、及び表示プログラム１２４が実行する処理は、実施例１と同一である。

　実施例２では、遮断判定プログラム１２５が検体と接続先との間の通信の遮断制御に用いる情報を提供する。図１１は、実施例２の攻撃解析／共有システム１００が実行する通信遮断要否判定処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される遮断判定プログラム１２５は、実行指示を受け付けた場合、又は、実行周期が経過した場合、以下で説明する通信遮断要否判定処理を開始する。また、観測処理又は変動検出処理の後に通信遮断要否判定処理が実行されてもよい。

　遮断判定プログラム１２５は、接続先情報１３１から接続先の一覧を取得する（ステップＳ１１０１）。ここでは、接続先ＩＤ３０１及び接続結果３０６から構成されるエントリを含む一覧が取得されるものとする。

　次に、遮断判定プログラム１２５は、変数ｉに初期値０を設定する（ステップＳ１１０２）。ここで、変数ｉは接続先の識別番号を表す変数である。遮断判定プログラム１２５は、識別番号が変数ｉに一致する接続先に対してステップＳ１１０３からステップＳ１１０５までの処理を実行する。以下の説明では、識別番号が変数ｉに一致する接続先をターゲット接続先と記載する。

　次に、遮断判定プログラム１２５は、中長期的に、ターゲット接続先が稼働していない状態であるか否かを判定する（ステップＳ１１０３）。

　例えば、遮断判定プログラム１２５は、ターゲット接続先の応答３０８を参照して、ターゲット接続先からの応答がない状態が一ヶ月以上継続しているか否かを判定する。ターゲット接続先からの応答がない状態が一ヶ月以上継続している場合、遮断判定プログラム１２５は、中期的に、ターゲット接続先が稼働していない状態であると判定する。なお、前述の判定方法は一例であってこれに限定されない。

　中長期的に、ターゲット接続先が稼働していない状態でないと判定された場合、遮断判定プログラム１２５は、ターゲット接続先への通信の遮断は必要と判定し、接続先情報を更新し（ステップＳ１１０５）、その後、ステップＳ１１０６に進む。

　具体的には、遮断判定プログラム１２５は、ターゲット接続先に対応するエントリの遮断フラグ３０５に「ＯＮ」を設定する。

　中長期的に、ターゲット接続先が稼働していない状態であると判定された場合、遮断判定プログラム１２５は、ターゲット接続先において、生死の繰り返しが発生しているか否かを判定する（ステップＳ１００４）。

　例えば、遮断判定プログラム１２５は、ターゲット接続先の応答３０８を参照して、応答があった状態から応答がなかった状態、又は応答がなかった状態から応答があった状態へ変化したことを示す行のペアが一つ以上存在するか否かを判定する。前述のペアが一つ以上存在する場合、遮断判定プログラム１２５は、ターゲット接続先において、生死の繰り返しが発生していると判定する。

　ターゲット接続先において、生死の繰り返しが発生していないと判定された場合、遮断判定プログラム１２５は、ターゲット接続先への通信の遮断は必要と判定し、接続先情報を更新し（ステップＳ１１０５）、その後、ステップＳ１１０６に進む。

　ターゲット接続先において、生死の繰り返しが発生していると判定された場合、遮断判定プログラム１２５は、ターゲット接続先への通信の遮断は不要と判定し、接続先情報を更新し（ステップＳ１１０５）、その後、ステップＳ１１０６に進む。

　具体的には、遮断判定プログラム１２５は、ターゲット接続先に対応するエントリの遮断フラグ３０５に「ＯＦＦ」を設定する。

　ステップＳ１１０６では、遮断判定プログラム１２５は、変数ｉに１を加算した値を新たな変数ｉに設定する（ステップＳ１１０６）。

　次に、遮断判定プログラム１２５は、すべての接続先の処理が完了したか否かを判定する（ステップＳ１１０７）。

　具体的には、遮断判定プログラム１２５は、変数ｉが一覧に含まれるエントリの数より大きいか否かを判定する。変数ｉが一覧に含まれるエントリの数より大きい場合、遮断判定プログラム１２５は、すべての接続先の処理が完了したと判定する。

　すべての接続先の処理が完了していないと判定された場合、遮断判定プログラム１２５は、ステップＳ１１０３に戻り、同様の処理を実行する。

　すべての接続先の処理が完了したと判定された場合、遮断判定プログラム１２５は、通信遮断要否判定処理を終了する。

　なお、図１１で説明した、ターゲット接続先への通信の遮断の要否の判定方法は、一例であって、これに限定されない。例えば、接続先情報１３１に、ターゲット接続先がシンクホール化したことを示す情報が含まれる場合、遮断判定プログラム１２５は、ターゲット接続先への通信の遮断は不要と判定するようにしてもよい。

　遮断判定プログラム１２５は、観測結果だけでなく、他の情報を用いて、ターゲット接続先への通信の遮断の要否を判定してもよい。例えば、遮断判定プログラム１２５は、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）情報を確認し、ドメインが失効していることを示すＡ／ＡＡＡＡレコードが割り当てられていない場合、遮断判定プログラム１２５は、ターゲット接続先への通信の遮断が不要であると判定する。

　情報共有プログラム１２１は、観測結果の一部として、遮断判定プログラム１２５の処理結果を共有サーバ１０２に保存する。

　従来は、ブラックリストに登録された接続先は、そのまま、ブラックリストに登録され続ける。そのため、ブラックリストのデータ容量が大きくなるという問題があった。このような問題に対応するために、防御システムがブラックリストへの接続先の登録の要否を判定し、ブラックリストのデータ容量の増大を抑制する必要があった。

　実施例２によれば、攻撃解析／共有システム１００は、継続的な接続先の観測結果に基づいて、接続先への通信の遮断の要否を判定し、当該判定結果を共有する。これによって、防御システムは、判定結果に基づいて、ブラックリストを管理できる。これによって、ブラックリストのデータ容量の増大を抑制し、また、ブラックリストの管理に要するコストを抑制することができる。

　実施例３の攻撃解析／共有システム１００は、接続先の性質及び観測結果に基づいて、接続先の観測周期を動的に変更する。以下、実施例１との差異を中心に実施例３について説明する。

　実施例３の計算機システムの構成は実施例１と同一である。実施例３の攻撃解析／共有システム１００のハードウェア構成及びソフトウェア構成は実施例１と同一である。実施例３の攻撃解析／共有システム１００が保持する情報のデータ構造は実施例１と同一である。また、実施例３の解析プログラム１２０、情報共有プログラム１２１、観測プログラム１２２、変動検出プログラム１２３、及び表示プログラム１２４が実行する処理は、実施例１と同一である。

　実施例３では、観測周期管理プログラム１２６が各接続先の観測周期を動的に変更する。図１２は、実施例３の攻撃解析／共有システム１００が実行する観測周期管理処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される観測周期管理プログラム１２６は、実行指示を受け付けた場合、又は、実行周期が経過した場合、以下で説明する通信遮断要否判定処理を開始する。また、観測処理又は変動検出処理の後に観測周期管理処理が実行されてもよい。

　観測周期管理プログラム１２６は、接続先情報１３１から接続先の一覧を取得する（ステップＳ１２０１）。ここでは、接続先ＩＤ３０１、観測間隔３０４、及び接続結果３０６から構成されるエントリを含む一覧が取得されるものとする。

　次に、観測周期管理プログラム１２６は、変数ｉに初期値０を設定する（ステップＳ１２０２）。ここで、変数ｉは接続先の識別番号を表す変数である。観測周期管理プログラム１２６は、識別番号が変数ｉに一致する接続先に対してステップＳ１２０３からステップＳ１２０５までの処理を実行する。以下の説明では、識別番号が変数ｉに一致する接続先をターゲット接続先と記載する。

　次に、観測周期管理プログラム１２６は、接続先の特性及び観測結果を用いて、観測周期の変更方針を決定する（ステップＳ１２０３）。例えば、以下のような処理が実行される。

　（１）観測周期管理プログラム１２６は、ターゲット接続先の応答３０８を参照して、ターゲット接続先からの応答がない状態が長期的に（例えば、三ヶ月以上）継続しているか否かを判定する。ターゲット接続先からの応答がない状態が長期的に継続している場合、接続先を頻繁に観測する必要がない。そのため、観測周期管理プログラム１２６は、観測周期を長くすると判定する。

　（２）観測周期管理プログラム１２６は、接続先が攻撃者によって最近取得されたドメインに関連付けられているか否かを判定する。前述の条件を満たす場合、攻撃者によるＣ２サーバの有効化及びコンテンツの配信等、次の攻撃アクションに移行する可能性が高い。そのため、観測周期管理プログラム１２６は、観測周期を短くすると判定する。

　（３）観測周期管理プログラム１２６は、接続先の変動が検出された場合、観測周期を短くすると判定する。これも、次の攻撃アクションに移行する可能性が高いためである。

　なお、いずれの条件にも合致しない場合、観測周期管理プログラム１２６は、観測周期を変更しないと判定する。

　以上がステップＳ１２０３の処理の説明である。

　次に、観測周期管理プログラム１２６は、決定された変更方針に基づいて、ターゲット接続先の観測周期を算出する（ステップＳ１２０４）。具体的には、以下のような処理が実行される。

　観測周期管理プログラム１２６は、接続先の一覧から現在のターゲット接続先の観測周期を取得する。

　観測周期を長くすると判定された場合、観測周期管理プログラム１２６は、現在の観測周期より大きい観測周期を算出する。例えば、観測周期管理プログラム１２６は、現在の観測周期に固定値を加算し、又は、現在の観測周期に１より大きい係数を乗算する。なお、前述した処理は一例であってこれに限定されない。

　観測周期を短くすると判定された場合、観測周期管理プログラム１２６は、現在の観測周期より小さい観測周期を算出する。例えば、観測周期管理プログラム１２６は、現在の観測周期から固定値を減算し、又は、現在の観測周期に１より小さい係数を乗算する。なお、前述した処理は一例であってこれに限定されない。

　以上がステップＳ１２０４の処理の説明である。

　次に、観測周期管理プログラム１２６は、接続先情報を更新する（ステップＳ１２０５）。

　具体的には、観測周期管理プログラム１２６は、ターゲット接続先に対応するエントリの観測間隔３０４に算出されたターゲット接続先の観測周期を格納する。

　次に、観測周期管理プログラム１２６は、変数ｉに１を加算した値を新たな変数ｉに設定する（ステップＳ１２０６）。

　次に、観測周期管理プログラム１２６は、すべての接続先の処理が完了したか否かを判定する（ステップＳ１２０７）。

　具体的には、観測周期管理プログラム１２６は、変数ｉが一覧に含まれるエントリの数より大きいか否かを判定する。変数ｉが一覧に含まれるエントリの数より大きい場合、観測周期管理プログラム１２６は、すべての接続先の処理が完了したと判定する。

　すべての接続先の処理が完了していないと判定された場合、観測周期管理プログラム１２６は、ステップＳ１２０３に戻り、同様の処理を実行する。

　すべての接続先の処理が完了したと判定された場合、観測周期管理プログラム１２６は、観測周期管理処理を終了する。

　実施例３によれば、攻撃解析／共有システム１００は、接続先の性質及び観測結果に基づいて接続先の観測周期を変更する。長期的に変動がない接続先の観測周期を長くすることによって、攻撃者が接続先の観測を気づくリスクを低減し、また、観測に要するリソースを削減できる。また、接続先の変動が検出された接続先の観測周期を短くすることによって、攻撃の検出精度を高めることができる。

　実施例４の攻撃解析／共有システム１００は、接続先の変動が検出された場合、再度、検体の動的解析を実行する。以下、実施例１との差異を中心に実施例４について説明する。

　実施例４の計算機システムの構成は実施例１と同一である。実施例４の攻撃解析／共有システム１００のハードウェア構成及びソフトウェア構成は実施例１と同一である。実施例４の攻撃解析／共有システム１００が保持する情報のデータ構造は実施例１と同一である。また、実施例４の情報共有プログラム１２１、観測プログラム１２２、及び表示プログラム１２４が実行する処理は、実施例１と同一である。

　実施例４では、変動検出プログラム１２３が、接続先の変動が検出された場合、接続先の情報を含む動的解析の実行指示を解析プログラム１２０に送信する。

　実施例４では、解析プログラム１２０は、解析依頼の受信以外の契機、具体的には、接続先の変動が検出された場合、検体の動的解析を実行する。なお、解析依頼の受信を契機に実行される解析処理は実施例１と同一である。図１３は、実施例４の攻撃解析／共有システム１００が実行する解析処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行される解析プログラム１２０は、変動検出プログラム１２３から解析処理の実行指示を受信した場合、以下で説明する解析処理を開始する。

　解析プログラム１２０は、解析対象の検体を特定する（ステップＳ１３０１）。

　具体的には、解析プログラム１２０は、接続先情報１３１を参照し、接続先ＩＤ３０１に解析処理の実行指示に含まれる識別番号が格納されるエントリを検索する。解析プログラム１２０は、検索されたエントリの検体ＩＤ３０３から検体の識別番号を取得し、検体リストに登録する。

　次に、解析プログラム１２０は、特定された検体の中からターゲット検体を選択する（ステップＳ１３０２）。

　具体的には、解析プログラム１２０は、検体リストから一つの検体の識別番号を選択する。このとき、解析プログラム１２０は、検体リストから選択された検体の識別番号を削除する。解析プログラム１２０は、検体情報１３０を参照し、検体ＩＤ２０１にターゲット検体の識別番号が格納されるエントリを検索する。解析プログラム１２０は、検索されたエントリの保存場所２０３の情報に基づいて、検体保存領域１４０からターゲット検体を取得する。

　次に、解析プログラム１２０は、ターゲット検体の動的解析を実行する（ステップＳ１３０３）。ステップＳ１３０３の処理はステップＳ６０１の処理と同一である。

　次に、解析プログラム１２０は、解析結果に基づいて解析結果情報１３２を更新する（ステップＳ１３０４）。ステップＳ１３０４の処理はステップＳ６０５の処理と同一である。

　次に、解析プログラム１２０は、新規接続先が検出されたか否かを判定する（ステップＳ１３０５）。

　例えば、解析プログラム１２０は、検体ＩＤ２０１にターゲット検体の識別番号が格納されるエントリを検索する。解析プログラム１２０は、ステップＳ１３０４において追加されたエントリの接続先４０６と、検索されたエントリの接続先２０４とを比較することによって、新規接続先が検出されたか否かを判定する。

　なお、前述の判定方法は一例であってこれに限定されない。例えば、解析プログラム１２０は、接続先情報１３１を参照し、解析結果に含まれる接続先に対応するエントリが存在するか否かを判定してもよい。

　新規接続先が検出されていないと判定された場合、解析プログラム１２０はステップＳ１３０８に進む。

　新規接続先が検出されたと判定された場合、解析プログラム１２０は、解析結果に基づいて検体情報１３０を更新する（ステップＳ１３０６）。

　具体的には、解析プログラム１２０は、検体情報１３０を参照し、検体ＩＤ２０１にターゲット検体の識別番号が格納されるエントリを検索する。解析プログラム１２０は、検索されたエントリに、接続先２０４及び応答２０５から構成される行を追加し、解析結果に基づいて追加された行に新たに検出された接続先及び応答を格納する。

　次に、解析プログラム１２０は、解析結果に基づいて接続先情報１３１を更新し（ステップＳ１３０７）、その後、ステップＳ１３０８に進む。具体的には、以下のような処理が実行される。

　解析プログラム１２０は、接続先情報１３１にエントリを追加し、追加されたエントリの接続先ＩＤ３０１に識別番号を設定する。解析プログラム１２０は、追加されたエントリの接続先３０２に新規接続先の情報を格納し、検体ＩＤ３０３にターゲット検体の識別番号を格納する。解析プログラム１２０は、追加されたエントリの観測間隔３０４に所定の観測間隔を格納し、遮断フラグ３０５に「ＯＮ」を格納する。

　解析プログラム１２０は、追加されたエントリの接続結果３０６に観測日時３０７、応答３０８、及び変動３０９から構成される行を追加し、追加された行に解析結果を格納する。また、解析プログラム１２０は、追加された行の変動３０９にハイフンを格納する。

　以上がステップＳ１３０７の処理の説明である。

　ステップＳ１３０５において、新規接続先が検出されていないと判定された場合、又は、ステップＳ１３０７の処理が実行された後、解析プログラム１２０は、すべての特定された検体について処理が完了したか否かを判定する（ステップＳ１３０８）。

　すべての特定された検体について処理が完了していないと判定された場合、解析プログラム１２０は、ステップＳ１３０２に戻り、同様の処理を実行する。

　すべての特定された検体について処理が完了したと判定された場合、解析プログラム１２０は解析処理を終了する。

　なお、解析プログラム１２０は、ユーザから解析要求の再実行要求を受け付けた場合に、同様の処理を実行してもよい。

　情報共有プログラム１２１は、新たな解析結果を共有サーバ１０２に保存する。

　近年、マルウェアと連係して動作するＣ２サーバは攻撃時にのみ稼働するものが多い。そのため、マルウェアの挙動を正確に把握するためには、Ｃ２サーバの稼働時にマルウェアの動的解析を行う必要がある。

　実施例４によれば、攻撃解析／共有システム１００は、接続先を継続的に観測し、接続先の変動の検出を契機に検体の動的解析を実行する。これによって、検体の挙動を正確かつ精度よく把握することができる。

　実施例５の攻撃解析／共有システム１００は、各種レポートを生成し、ユーザに出力する。以下、実施例１との差異を中心に実施例５について説明する。

　実施例５の計算機システムの構成は実施例１と同一である。実施例５の攻撃解析／共有システム１００のハードウェア構成及びソフトウェア構成は実施例１と同一である。実施例５の攻撃解析／共有システム１００が保持する情報のデータ構造は実施例１と同一である。また、実施例５の解析プログラム１２０、情報共有プログラム１２１、観測プログラム１２２、変動検出プログラム１２３、及び表示プログラム１２４が実行する処理は、実施例１と同一である。

　実施例５では、レポート生成プログラム１２７がレポートを生成する。図１４は、実施例５の攻撃解析／共有システム１００が実行するレポート生成処理の一例を説明するフローチャートである。

　ＣＰＵ１１１によって実行されるレポート生成プログラム１２７は、実行周期を経過した場合、又は、各種処理が終了した場合、以下で説明するレポート生成処理を開始する。ここでは、検体単位のレポートの生成処理について説明する。

　レポート生成プログラム１２７は、レポートの生成対象となるターゲット検体を選択する（ステップＳ１４０１）。

　次に、レポート生成プログラム１２７は、解析結果情報１３２から、ターゲット検体の解析結果を取得する（ステップＳ１４０２）。

　次に、レポート生成プログラム１２７は、検体情報１３０から、ターゲット検体の接続先に関する情報を取得する（ステップＳ１４０３）。

　次に、レポート生成プログラム１２７は、ターゲット検体の解析結果及びターゲット検体の接続先に関する情報に基づいて、ターゲット検体に関するレポートを生成する（ステップＳ１４０４）。

　次に、レポート生成プログラム１２７は、ユーザ端末１０１等の外部装置に生成されたレポートを送信する（ステップＳ１４０５）。

　次に、レポート生成プログラム１２７は、すべての検体について処理が完了したか否かを判定する（ステップＳ１４０６）。

　すべての検体について処理が完了していないと判定された場合、レポート生成プログラム１２７は、ステップＳ１４０１に戻り、同様の処理を実行する。

　すべての検体について処理が完了したと判定された場合、レポート生成プログラム１２７はレポート生成処理を終了する。

　なお、検体単位のレポートの生成処理について説明したが、これに限定されない。検体情報１３０、接続先情報１３１、及び解析結果情報１３２の少なくともいずれかを用いて生成可能なレポートであれば、どのようなレポートでもよい。例えば、特定の接続先の状態遷移に関するレポート、特定の接続先に通信を試みる検体に関するレポート等が考えられる。

　実施例５によれば、攻撃解析／共有システム１００が、観測結果及び解析結果等に基づいて、自動でレポートを生成する。これによって、レポートの生成に要するコストを削減できる。また、ユーザは、レポートを参照することによって、検体又は接続先の挙動の把握に要するコストを削減できる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）、光ディスク、光磁気ディスク、ＣＤ－Ｒ、磁気テープ、不揮発性のメモリカード、ＲＯＭなどが用いられる。

　また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、Ｃ／Ｃ＋＋、ｐｅｒｌ、Ｓｈｅｌｌ、ＰＨＰ、Ｐｙｔｈｏｎ、Ｊａｖａ（登録商標）等の広範囲のプログラム又はスクリプト言語で実装できる。

　さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はＣＤ－ＲＷ、ＣＤ－Ｒ等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。

　上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。

Claims

　少なくとも一つの計算機を備える計算機システムであって、
　前記少なくとも一つの計算機は、演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信装置を有し、
　前記計算機システムは、
　サイバー攻撃に関わる不正プログラムの検体の動的解析を実行し、少なくとも前記不正プログラムが通信する接続先を含む解析結果を出力する解析部と、
　前記接続先に対する周期的な観測の結果に基づいて、前記接続先の変動を検出し、前記検出の結果を出力する変動検出部と、
　複数の外部計算機が共有できる形式で、前記解析部及び前記変動検出部から出力された情報を記憶する情報共有部と、
　を備えることを特徴とする計算機システム。
　請求項１に記載の計算機システムであって、
　前記接続先の観測を行うエージェントに周期的に前記接続先の観測を指示し、前記エージェントから取得した前記接続先の観測結果を出力する観測部と、
　前記観測部から出力された情報に基づいて、前記接続先への通信の遮断が必要か否かを判定し、当該判定の結果を出力する遮断判定部と、を備え、
　前記情報共有部は、前記複数の外部計算機が共有できる形式で、前記観測部及び前記遮断判定部から出力される情報を記憶することを特徴とする計算機システム。
　請求項２に記載の計算機システムであって、
　前記観測部は、前記接続先に対して設定された観測周期に基づいて、前記エージェントに前記接続先の観測を指示し、
　前記計算機システムは、前記観測部から出力された情報に基づいて、前記観測周期を変更する観測周期管理部を備えることを特徴とする計算機システム。
　請求項１に記載の計算機システムであって、
　前記解析部は、
　前記変動検出部から出力される情報に基づいて、前記接続先と通信する前記不正プログラムの検体の動的解析の再実行が必要か否かを判定し、
　前記接続先と通信する前記不正プログラムの検体の動的解析の再実行が必要であると判定された場合、当該不正プログラムの検体の動的解析を実行して、前記解析結果を出力し、
　前記情報共有部は、前記複数の外部計算機が共有できる形式で、前記解析部から新たに出力された情報を記憶することを特徴とする計算機システム。
　計算機システムが実行する、サイバー攻撃に関わる不正プログラムを用いたサイバー攻撃を防御するために用いる情報の共有方法であって、
　前記計算機システムは、演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信装置を有する、少なくとも一つの計算機を含み、
　前記情報の共有方法は、
　前記少なくとも一つの計算機が、前記不正プログラムの検体の動的解析を実行し、少なくとも前記不正プログラムが通信する接続先を含む解析結果を出力する第１のステップと、
　前記少なくとも一つの計算機が、前記接続先に対する周期的な観測の結果に基づいて、前記接続先の変動を検出し、前記検出の結果を出力する第２のステップと、
　前記少なくとも一つの計算機が、複数の外部計算機が共有できる形式で、前記解析結果及び前記検出の結果を記憶する第３のステップと、
　を含むことを特徴とする情報の共有方法。
　請求項５に記載の情報の共有方法であって、
　前記少なくとも一つの計算機が、前記接続先の観測を行うエージェントに周期的に前記接続先の観測を指示し、前記エージェントから取得した前記接続先の観測結果を出力する第４のステップと、
　前記少なくとも一つの計算機が、前記接続先の観測結果に基づいて、前記接続先への通信の遮断が必要か否かを判定し、当該判定の結果を出力する第５のステップと、を含み、
　前記第３のステップは、前記少なくとも一つの計算機が、前記複数の外部計算機が共有できる形式で、前記接続先の観測結果及び前記判定の結果を記憶するステップを含むことを特徴とする情報の共有方法。
　請求項６に記載の情報の共有方法であって、
　前記第４のステップは、前記少なくとも一つの計算機が、前記接続先に対して設定された観測周期に基づいて、前記エージェントに前記接続先の観測を指示するステップを含み、
　前記情報の共有方法は、前記少なくとも一つの計算機が、前記接続先の観測結果に基づいて、前記観測周期を変更するステップを含むことを特徴とする情報の共有方法。
　請求項５に記載の情報の共有方法であって、
　前記少なくとも一つの計算機が、前記検出の結果に基づいて、前記接続先と通信する前記不正プログラムの検体の動的解析の再実行が必要か否かを判定するステップと、
　前記接続先と通信する前記不正プログラムの検体の動的解析の再実行が必要であると判定された場合、前記少なくとも一つの計算機が、当該不正プログラムの検体の動的解析を実行して、前記解析結果を出力するステップと、を含み、
　前記第３のステップは、前記少なくとも一つの計算機が、前記複数の外部計算機が共有できる形式で、新たに出力された前記解析結果を記憶するステップを含むことを特徴とする情報の共有方法。