WO2021059475A1

WO2021059475A1 - ホワイトリスト生成装置、ホワイトリスト生成方法、及び、プログラムが記録された非一時的なコンピュータ可読媒体

Info

Publication number: WO2021059475A1
Application number: PCT/JP2019/038125
Authority: WO
Inventors: 貴之佐々木
Original assignee: 日本電気株式会社
Priority date: 2019-09-27
Filing date: 2019-09-27
Publication date: 2021-04-01
Also published as: US20220327203A1; JP7283551B2; JPWO2021059475A1

Abstract

一実施の形態によれば、ホワイトリスト生成装置（１）は、第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージ手段（１１）を備える。

Description

ホワイトリスト生成装置、ホワイトリスト生成方法、及び、プログラムが記録された非一時的なコンピュータ可読媒体

　本開示は、ホワイトリスト生成装置、ホワイトリスト生成方法、及び、プログラムが記録された非一時的なコンピュータ可読媒体に関する。

　ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）機器には、改ざん検知機能等のセキュリティチェック機能の導入が望まれている。例えば、特許文献１には、ホワイトリストに予め登録しておいたハッシュ値に基づいてプログラム毎に改ざんの有無を検証する情報端末が開示されている。

　その他、セキュリティチェックに関する記載は、特許文献２及び特許文献３にも開示されている。

特開２００９－９３７２号公報特開２０１９－０２０８７２号公報特開２０１５－０８４００６号公報

　ところで、ＩｏＴ機器等において実行されるプログラムは、外部から提供されるコンパイル済みのライブラリを静的又は動的にリンクさせることによって構築されることがほとんどである。

　しかしながら、関連技術には、ライブラリを静的又は動的にリンクさせることによって構築されたプログラムのホワイトリストの作成について開示も示唆もされていない。そのため、関連技術では、ライブラリを静的又は動的にリンクさせることによって構築されたプログラムの改ざんの有無を検証することができない、という課題があった。

　本開示の目的は、このような課題を解決するためになされたものである。即ち、ライブラリをリンクさせることで構築されたプログラムに対応するホワイトリストの作成が可能な、ホワイトリスト生成装置、ホワイトリスト生成方法、及び、プログラムが記録された非一時的なコンピュータ可読媒体を提供することである。

　本開示にかかるホワイトリスト生成装置は、第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、前記第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージ手段を備える。

　また、本開示にかかるホワイトリスト生成方法は、第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、前記第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージステップを備える。

　また、本開示にかかる非一時的なコンピュータ可読媒体は、第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、前記第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージ処理を、コンピュータに実行させるプログラムが記録される。

　本開示によれば、ライブラリをリンクさせることで構築されたプログラムに対応するホワイトリストの作成が可能な、ホワイトリスト生成装置、ホワイトリスト生成方法、及び、プログラムが記録された非一時的なコンピュータ可読媒体を提供することができる。

実施の形態１にかかるホワイトリスト生成装置を示すブロック図である。実施の形態２にかかるホワイトリスト生成装置の構成例を示すブロック図である。図２に示すホワイトリスト生成装置によるホワイトリスト生成方法を示すフローチャートである。図２に示すホワイトリスト生成装置に設けられた更新手段による更新前後のライブラリのホワイトリストの一例を示す図である。図２に示すホワイトリスト生成装置によって生成されたホワイトリストを用いてプログラムの改ざんチェックを行う情報処理装置の構成例を示すブロック図である。実施の形態３にかかるホワイトリスト生成装置が搭載された情報処理装置の構成例を示すブロック図である。図６に示す情報処理装置に設けられたホワイトリスト生成装置によるホワイソリスト生成方法を示すフローチャートである。コントロールフローグラフのリンク方法を説明するための図である。

　以下、図面を参照しつつ、実施の形態について説明する。なお、図面は簡略的なものであるから、この図面の記載を根拠として実施の形態の技術的範囲を狭く解釈してはならない。また、同一の要素には、同一の符号を付し、重複する説明は省略する。

　以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明する。ただし、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、応用例、詳細説明、補足説明等の関係にある。また、以下の実施の形態において、要素の数等（個数、数値、量、範囲等を含む）に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でもよい。

　さらに、以下の実施の形態において、その構成要素（動作ステップ等も含む）は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数等（個数、数値、量、範囲等を含む）についても同様である。

＜実施の形態１＞
　図１は、実施の形態１にかかるホワイトリスト生成装置１の概要を示すブロック図である。

　図１に示すように、ホワイトリスト生成装置１は、マージ手段１１を備える。マージ手段１１は、情報処理装置（不図示）において実行されるプログラム本体と、当該プログラム本体に静的又は動的にリンクされるライブラリと、のそれぞれのホワイトリスト１０１，１０２をマージして、マージ後のホワイトリスト１０３を生成する。なお、ライブラリのホワイトリスト１０２は、ライブラリとともに外部から提供されるものとする。

　プログラム本体のホワイトリスト１０１には、プログラム本体の改ざんチェックに用いられる検証データＨ１がリストアップされている。ライブラリのホワイトリスト１０２には、ライブラリに格納されたプログラム（即ち、プログラム本体にリンクされるプログラム）の改ざんチェックに用いられる検証データＨ２がリストアップされている。そして、マージ後のホワイトリスト１０３には、検証データＨ１，Ｈ２をマージした検証データＨ３がリストアップされている。

　マージ後のホワイトリスト１０３は、図示しない情報処理装置に入力される。情報処理装置は、プログラム本体とライブラリとをリンクさせることによって構築されたプログラムを実行する装置である。ここで、情報処理装置は、プログラムの実行に際し、当該プログラムから新たに生成された検証データＨ４と、ホワイトリスト１０３にリストアップされた検証データＨ３（期待値）と、を比較することによって、プログラムの改ざんの有無を検証する。

　このように、ホワイトリスト生成装置１は、ライブラリを静的又は動的にリンクさせることで構築されたプログラム、に対応するホワイトリスト１０３を生成することができる。それにより、ライブラリを静的又は動的にリンクさせることで構築されたプログラムを実行する情報処理装置は、ホワイトリスト生成装置１によって生成されたホワイトリスト１０３を用いてプログラムの改ざんの有無を検証することが可能になる。

＜実施の形態２＞
　本実施の形態では、プログラム本体とライブラリとの間で静的なリンク（所謂スタティックリンク）が行われる場合における、ホワイトリスト生成装置１によるホワイトリストの生成について説明する。

　図２は、ホワイトリスト生成装置１の具体的な構成例をホワイトリスト生成装置１ａとして示すブロック図である。また、図３は、ホワイトリスト生成装置１ａによるホワイトリスト生成方法を示すフローチャートである。

　図２に示すように、ホワイトリスト生成装置１ａは、マージ手段１１と、更新手段１２と、ホワイトリスト生成手段（ＷＬ生成手段）１３と、を備える。

　ホワイトリスト生成手段１３は、プログラム本体のソースコード２０１及びライブラリ２０２をコンパイラ＆リンカ２０３を用いてコンパイル及びリンクした結果から、プログラム本体のホワイトリスト１０１を生成する。

　ここで、プログラム本体のホワイトリスト１０１にリストアップされている検証データＨ１とは、例えばプログラム本体の各部分が格納されるメモリの記憶領域を指定するアドレス値、及び、そのハッシュ値、の組み合わせのことである。また、ライブラリ２０２のホワイトリスト１０２にリストアップされている検証データＨ２とは、例えば、ライブラリ２０２に格納されたプログラムの各部分が記憶される領域を指定するアドレス値、及び、そのハッシュ値、の組み合わせのことである。

　更新手段１２は、プログラム本体とリンクすることによってライブラリ２０２のプログラムが格納されることになるメモリのアドレス値に基づいて、ライブラリ２０２のホワイトリスト１０２にリストアップされたアドレス値を更新する。

　図４は、更新手段１２による更新前後のライブラリ２０２のホワイトリスト１０２の一例を示す図である。

　図４に示すように、更新前のライブラリ２０２のホワイトリスト１０２では、プログラムＡの開始アドレス値が“０ｘ００００”、終了アドレス値が“０ｘ０８００”、プログラムＡのハッシュ値が“０ｘ１２３４”となっている。また、プログラムＡに続くプログラムＢの開始アドレス値が“０ｘ１０００”、終了アドレス値が“０ｘ２０００”、プログラムＢのハッシュ値が“０ｘａａｂｂ”となっている。さらに、プログラムＡ，Ｂに続くプログラムＣの開始アドレス値が“０ｘ３０００”、終了アドレス値が“０ｘ４０００”、プログラムＣのハッシュ値が“０ｘｃｃｄｄ”となっている。

　ここで、更新手段１２は、プログラム本体とリンクすることによってライブラリ２０２のプログラムが格納されることになるメモリのアドレス値の情報を取得する（図３のステップＳ１０１）。その後、更新手段１２は、取得したアドレス値に基づいて、ライブラリ２０２のホワイトリスト１０２にリストアップされたアドレス値を更新する（図３のステップＳ１０２）。

　例えば、ライブラリ２０２のプログラムが格納されるメモリの開始アドレス値が“０ｘ１０００”である場合、更新手段１２は、プログラムＡの開始アドレス値を“０ｘ００００”から“０ｘ１０００”に書き換える。それに伴い、プログラムＡの終了アドレス値を“０ｘ０８００”から“０ｘ１８００”に書き換える。また、プログラムＡに続くプログラムＢの開始アドレス値を“０ｘ１０００”から“０ｘ２０００”に書き換えるとともに、終了アドレス値を“０ｘ２０００”から“０ｘ３０００”に書き換える。さらに、プログラムＡ，Ｂに続くプログラムＣの開始アドレス値を“０ｘ３０００”から“０ｘ４０００”に書き換えるとともに、終了アドレス値を“０ｘ４０００”から“０ｘ５０００”に書き換える。なお、プログラムＡ，Ｂ，Ｃのそれぞれのハッシュ値は更新前後で変わらない。

　上の例では、ライブラリ全体がプログラム本体の特定位置に格納されることを想定して、更新手段１２の動作を記載した。ライブラリがプログラムごとに異なる位置に格納される場合は、その位置ごとにホワイトリストを更新してもよい。例えば、図４の例では、一律に０ｘ１０００を加えていたが、プログラムＡ、プログラムＢ、プログラムＣそれぞれの組み込まれた位置を特定し、その位置に基づいてプログラムＡ、Ｂ、Ｃそれぞれの開始アドレスと終了アドレスを更新してもよい。

　マージ手段１１は、ホワイトリスト生成手段１３によって生成されたプログラム本体のホワイトリスト１０１に、更新手段１２により更新されたライブラリ２０２のホワイトリスト１０２の情報を追加する（図３のステップＳ１０３）。それにより、マージ後のホワイトリスト１０３が生成される。

　図５は、ホワイトリスト生成装置１ａによって生成されたホワイトリスト１０３を用いてプログラムの改ざんチェックを行う情報処理装置２の構成例を示すブロック図である。なお、ホワイトリスト生成装置１ａと情報処理装置２とによって、情報処理システムが構成される。

　図５に示すように、情報処理装置２は、メモリ２１と、演算処理手段２２と、ホワイトリスト格納手段（ＷＬ格納手段）２３と、検証手段２４と、を備える。

　メモリ２１には、コンパイラ＆リンカ２０３によってコンパイル及びリンクされたプログラムが格納される。演算処理手段２２は、メモリ２１に格納されたプログラムを実行する。ホワイトリスト格納手段２３には、ホワイトリスト生成装置１ａによって生成されたホワイトリスト１０３が格納される。

　検証手段２４は、メモリ２１に格納されたプログラムが演算処理手段２２によって実行される前に、当該プログラムの改ざんの有無を検証する。まず、検証手段２４は、メモリ２１に格納されたプログラムの各部分のハッシュ値を新たに算出する。その後、検証手段２４は、算出されたプログラムの各部分のハッシュ値と、ホワイトリスト１０３にリストアップされたプログラムの各部分に対応するハッシュ値（期待値）と、を比較することにより、プログラムの改ざんの有無を検証する。

　例えば、メモリ２１に格納されたプログラムの一部であるプログラムＤに対応するハッシュ値が期待値と異なる場合、プログラムＤが改ざんされていると判断する。ここで、本例では、プログラムの各部分にハッシュ値が割り当てられているため、検証領域を限定することができ、かつ、検証処理に要する時間を短縮することができる。情報処理装置がＩｏＴ機器に搭載されている場合、ＣＰＵ速度やメモリサイズなどが限定されるため、検証領域の限定、及び、検証処理に要する時間の短縮は特に有効である。

　このように、ホワイトリスト生成装置１ａは、ライブラリを静的にリンクさせることで構築されたプログラム、に対応するホワイトリスト１０３を生成することができる。それにより、ライブラリを静的にリンクさせることで構築されたプログラムを実行する情報処理装置２は、ホワイトリスト生成装置１ａによって生成されたホワイトリスト１０３を用いてプログラムの改ざんの有無を検証することが可能になる。

＜実施の形態３＞
　本実施の形態では、プログラム本体とライブラリとの間で動的なリンク（所謂ダイナミックリンク）が行われる場合における、ホワイトリスト生成装置１によるホワイトリストの生成について説明する。

　図６は、ホワイトリスト生成装置１の具体例であるホワイトリスト生成装置１ｂが搭載された情報処理装置３の構成例を示すブロック図である。また、図７は、ホワイトリスト生成装置１ｂによるホワイトリスト生成方法を示すフローチャートである。

　図６に示すように、情報処理装置３は、ホワイトリスト生成装置１ｂと、メモリ３４と、演算処理手段３５と、ホワイトリスト格納手段（ＷＬ格納手段）３６と、検証手段３７と、を備える。ホワイトリスト生成装置１ｂは、マージ手段３１と、更新手段３２と、監視手段３３と、を有する。

　メモリ３４には、プログラム本体３０１が格納されている。なお、プログラム本体３０１には、読み出し先のプログラムとして、ライブラリ２０２に格納されたプログラムが指定されている。演算処理手段３５は、メモリ３４に格納されたプログラム本体３０１（及び動的にリンクされたライブラリ２０２内のプログラム）を実行する。

　監視手段３３は、プログラム本体３０１によるライブラリ２０２内のプログラムの呼び出しを監視する。

　更新手段３２は、プログラム本体３０１によってライブラリ２０２内のプログラムの呼び出しがあったことが検知されると、呼び出されたライブラリ２０２のプログラムが格納されることになるメモリ３４のアドレス値の情報を取得する（図７のステップＳ２０１）。その後、更新手段３２は、取得したアドレス値に基づいて、ライブラリ２０２のホワイトリスト１０２にリストアップされたアドレス値を更新する（図７のステップＳ２０２）。更新手段３２の詳細については、更新手段１２の場合と同様であるため、その説明を省略する。

　マージ手段３１は、予め作成されたプログラム本体３０１のホワイトリスト３０２に、更新手段３２によって更新されたライブラリ２０２のホワイトリスト１０２の情報を追加する（図７のステップＳ２０３）。それにより、マージ後のホワイトリスト４０３（不図示）が生成される。このホワイトリスト４０３は、ホワイトリスト格納手段３６に格納される。

　検証手段３７は、メモリ２１に格納されたプログラムが演算処理手段２２によって実行される前に、当該プログラムの改ざんの有無を検証する。まず、検証手段３７は、メモリ３４に格納されたプログラムの各部分のハッシュ値を算出する。その後、検証手段３７は、算出されたプログラムの各部分のハッシュ値と、ホワイトリスト４０３にリストアップされたプログラムの各部分に対応するハッシュ値（期待値）と、を比較することにより、プログラムの改ざんの有無を検証する。また、プログラムを検証するタイミングは、プログラムが演算処理手段２２によって実行されている間や、実行後でもよい。

　このように、ホワイトリスト生成装置１ｂは、ライブラリを動的にリンクさせることで構築されたプログラム、に対応するホワイトリスト４０３を生成することができる。それにより、ライブラリを動的にリンクさせることで構築されたプログラムを実行する情報処理装置３は、ホワイトリスト生成装置１ｂによって生成されたホワイトリスト４０３を用いてプログラムの改ざんの有無を検証することが可能になる。

＜その他の実施形態＞
　なお、上記実施の形態２，３では、ホワイトリストに、プログラムの各部分が格納されるメモリの記憶領域を指定するアドレス値、及び、そのハッシュ値、の組み合わせがリストアップされた場合を例に説明したが、それに限られない。

　例えば、ハッシュ値の代わりに、プログラムの各部分の実体から算出でき、かつ、改ざんの有無を確認できるような指標値（例えば誤り訂正符号の値）が用いられても良い。

　或いは、ホワイトリストには、コントロールフローグラフ（ＣＦＧ；Ｃｏｎｔｒｏｌ　Ｆｌｏｗ　Ｇｒａｐｈ）がリストアップされていても良い。

　例えば、図２に示すホワイトリスト生成装置１ａの場合、プログラム本体のホワイトリスト１０１には、プログラム本体を実行する際に取り得る複数のコードの実行順序を表すコントロールフローグラフＧ１が格納される。ライブラリのホワイトリスト１０２には、ライブラリに格納されたプログラムを実行する際に取り得る複数のコードの実行順序を表すコントロールフローグラフＧ２が格納される。

　マージ手段１１は、例えば、ライブラリ本体に記載されたライブラリ内のプログラムの呼び出し命令に基づいて、コントロールフローグラフＧ１，Ｇ２を紐付け、コントロールフローグラフＧ３を生成する（図８参照）。そして、マージ手段１１は、コントロールフローグラフＧ３が格納されたホワイトリスト１０３を出力する。なお、図８中ではライブラリ呼び出しのフローに基づいたマージしか記載していないが、ライブラリからプログラム本体への復帰のフローに基づいて、コントロールフローグラフＧ１，Ｇ２を紐づけてもよい。

　そして、情報処理装置２は、演算処理手段によるプログラムの実行前に新たに算出されたコントロールフローグラフＧ４と、ホワイトリスト生成装置１ａによって生成されたホワイトリスト１０３に格納されたコントロールフローグラフＧ３と、を比較する。それにより、プログラムの改ざん（プログラム自体の改ざん、プログラムの実行順序の改ざんを含む）の有無が検証される。

　なお、ホワイトリストには、プログラムの各部分が格納されるメモリの記憶領域を指定するアドレス値、及び、そのハッシュ値、の組み合わせと、コントロールフローグラフと、が共にリストアップされていてもよい。それにより、より高精度にプログラムの改ざんの有無を検証することが可能になる。

　以上、図面を参照して、本開示の実施の形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、本開示の要旨を逸脱しない範囲内において様々な設計変更等が可能である。たとえば、ホワイトリスト生成装置の動作を実現する機能を、ネットワークで接続された複数の装置で構成しかつ動作するようにしてもよい。

　上述の実施の形態では、本開示をハードウェアの構成として説明したが、本開示は、これに限定されるものではない。本開示は、ホワイトリスト生成装置の全部又は一部の処理を、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）にコンピュータプログラムを実行させることにより実現することも可能である。

　上述の実施の形態では、ホワイトリスト格納手段２３と検証手段２４は、ハードウェアやＣＰＵの監視対象のプログラムと同じ領域で実行される構成を示したが、プログラムから隔離された領域で実行されるように構成してもよい。この構成により、攻撃されたプログラムを通じて、ホワイトリスト格納手段２３と検証手段２４が攻撃されることを防ぐことができる。具体的には、ホワイトリスト格納手段２３と検証手段２４を、プログラムが動作するＣＰＵやメモリとは別のＣＰＵやメモリで動作させる構成や、ＣＰＵが提供するＴＥＥの中で動作させる構成としてもよい。なお、ＴＥＥはＴｒｕｓｔｅｄ　Ｅｘｅｃｕｔｉｏｎ　Ｅｎｖｉｒｏｎｍｅｎｔの略である。ＴＥＥの具体例としてＡＲＭのＴｒｕｓｔＺｏｎｅが提供するＳｅｃｕｒｅ　Ｗｏｒｌｄが挙げられる。同様に、マージ手段３１、更新手段３２、監視手段を隔離環境で動作させてもよい。

　また、上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体（ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ　ｒｅａｄａｂｌｅ　ｍｅｄｉｕｍ）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（ｔａｎｇｉｂｌｅ　ｓｔｏｒａｇｅ　ｍｅｄｉｕｍ）を含む。非一時的なコンピュータ可読媒体は、例えば、磁気記録媒体、光磁気記録媒体、ＣＤ－ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリを含む。磁気記録媒体は、例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブなどである。光磁気記録媒体は、例えば光り磁気ディスクなどである。半導体メモリは、例えば、マスクＲＯＭ、ＰＲＯＭ（Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ）、ＥＰＲＯＭ（Ｅｒａｓａｂｌｅ　ＰＲＯＭ）、フラッシュＲＯＭ、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などである。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ　ｒｅａｄａｂｌｅ　ｍｅｄｉｕｍ）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１　ホワイトリスト生成装置
　１ａ　ホワイトリスト生成装置
　１ｂ　ホワイトリスト生成装置
　２　情報処理装置
　３　情報処理装置
　１１　マージ手段
　１２　更新手段
　１３　ホワイトリスト生成手段
　２１　メモリ
　２２　演算処理手段
　２３　ホワイトリスト格納手段
　２４　検証手段
　３１　マージ手段
　３２　更新手段
　３３　監視手段
　３４　メモリ
　３５　演算処理手段
　３６　ホワイトリスト格納手段
　３７　検証手段
　１０１　プログラム本体のホワイトリスト
　１０２　ライブラリのホワイトリスト
　１０３　マージ後のホワイトリスト
　２０１　プログラム本体のソースコード
　２０２　ライブラリ
　２０３　コンパイラ＆リンカ
　３０１　プログラム本体
　３０２　プログラム本体のホワイトリスト
　４０３　マージ後のホワイトリスト
　Ｈ１～Ｈ４　検証データ
　Ａ～Ｄ　プログラム
　Ｇ１～Ｇ４　コントロールフローグラフ

Claims

　第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、前記第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージ手段を備えた、
　ホワイトリスト生成装置。
　前記第１検証データは、前記第１プログラムが格納されるメモリのアドレス値と、前記第１プログラムに対応する第１固有値と、によって構成され、
　前記第２検証データは、所定のアドレス値と、前記第２プログラムに対応する第２固有値と、によって構成され、
　前記ホワイトリスト生成装置は、
　前記第１プログラムとリンクすることによって前記第２プログラムが格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データのアドレス値を更新する更新手段をさらに備え、
　前記マージ手段は、前記第１ホワイトリストと、前記更新手段によって更新された前記第２ホワイトリストと、をマージして前記第３ホワイトリストを生成するように構成されている、
　請求項１に記載のホワイトリスト生成装置。
　前記第１検証データは、前記第１プログラムの各部分が格納されるメモリのアドレス値と、前記第１プログラムの各部分に対応する第１固有値と、によって構成され、
　前記第２検証データは、前記第２プログラムの各部分に対応する所定のアドレス値と、前記第２プログラムの各部分に対応する第２固有値と、によって構成され、
　前記ホワイトリスト生成装置は、
　前記第１プログラムとリンクすることによって前記第２プログラムの各部分が格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データの各アドレス値を更新する更新手段をさらに備え、
　前記マージ手段は、前記第１ホワイトリストと、前記更新手段によって更新された前記第２ホワイトリストと、をマージして前記第３ホワイトリストを生成するように構成されている、
　請求項１に記載のホワイトリスト生成装置。
　前記ライブラリに格納された前記第２プログラムをリンク対象とする前記第１プログラムから前記第１検証データを算出して前記第１ホワイトリストを生成する第１ホワイトリスト生成手段をさらに備えた、
　請求項１～３の何れか一項に記載のホワイトリスト生成装置。
　請求項１～４の何れか一項に記載されたホワイトリスト生成装置と、
　前記ホワイトリスト生成装置によって生成された前記第３ホワイトリストが供給される情報処理装置と、
　を備え、
　前記情報処理装置は、
　前記ホワイトリスト生成装置から供給された前記第３ホワイトリストが格納されるホワイトリスト格納手段と、
　前記第１プログラム及び前記第１プログラムとリンクした前記第２プログラムが格納されるメモリと、
　前記第１プログラム及び前記第２プログラムを実行する演算処理手段と、
　前記第３ホワイトリストにリストアップされた前記第３検証データと、前記第１及び前記第２プログラムの実行に際して新たに算出された第４検証データと、を比較することにより、前記第１及び前記第２プログラムの改ざんの有無を検証する検証手段と、
　を備えた、情報処理システム。
　請求項１に記載されたホワイトリスト生成装置と、
　前記ホワイトリスト生成装置によって生成された前記第３ホワイトリストが格納されるホワイトリスト格納手段と、
　前記第１プログラム及び前記第１プログラムとリンクした前記第２プログラムが格納されるメモリと、
　前記第１プログラム及び前記第２プログラムを実行する演算処理手段と、
　前記第３ホワイトリストにリストアップされた前記第３検証データと、前記第１及び前記第２プログラムの実行に際して新たに算出された第４検証データと、を比較することにより、前記第１及び前記第２プログラムの改ざんの有無を検証する検証手段と、
　を備えた、情報処理装置。
　前記第１検証データは、前記第１プログラムが格納される前記メモリのアドレス値と、前記第１プログラムに対応する第１固有値と、によって構成され、
　前記第２検証データは、所定のアドレス値と、前記第２プログラムに対応する第２固有値と、によって構成され、
　前記ホワイトリスト生成装置は、
　前記第１プログラムとリンクすることによって前記第２プログラムが格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データのアドレス値を更新する更新手段をさらに備えた、
　請求項６に記載の情報処理装置。
　前記第１検証データは、前記第１プログラムの各部分が格納される前記メモリのアドレス値と、前記第１プログラムの各部分に対応する第１固有値と、によって構成され、
　前記第２検証データは、前記第２プログラムの各部分に対応する所定のアドレス値と、前記第２プログラムの各部分に対応する第２固有値と、によって構成され、
　前記ホワイトリスト生成装置は、
　前記第１プログラムとリンクすることによって前記第２プログラムの各部分が格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データの各アドレス値を更新する更新手段をさらに備えた、
　請求項６に記載の情報処理装置。
　前記ホワイトリスト生成装置は、
　前記第１プログラムによる前記第２プログラムの呼び出しを監視する監視手段をさらに備え、
　前記更新手段は、前記監視手段によって前記第１プログラムによる前記第２プログラムの呼び出しがあったことが検知されると、前記第１プログラムとリンクすることによって前記第２プログラムが格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データの各アドレス値を更新するように構成されている、
　請求項７又は８に記載の情報処理装置。
　前記第１検証データは、前記第１プログラムの実行の際に取り得る複数のコードの実行順序を表す第１コントロールフローグラフであって、
　前記第２検証データは、前記第２プログラムの実行の際に取り得る複数のコードの実行順序を表す第２コントロールフローグラフであって、
　前記マージ手段は、前記第１プログラムにおける前記第２プログラムの呼び出し命令に基づいて、前記第１コントロールフローグラフと前記第２コントロールフローグラフとを紐付けることにより、前記第３ホワイトリストを生成するように構成されている、
　請求項１に記載のホワイトリスト生成装置。
　請求項１０に記載されたホワイトリスト生成装置と、
　前記ホワイトリスト生成装置によって生成された前記第３ホワイトリストが格納されるホワイトリスト格納手段と、
　前記第１プログラム及び前記第１プログラムとリンクした前記第２プログラムが格納されるメモリと、
　前記第１プログラム及び前記第２プログラムを実行する演算処理手段と、
　前記第３ホワイトリストにリストアップされた前記第３検証データと、前記第１及び前記第２プログラムの実行に際して新たに算出された第４検証データと、を比較することにより、前記第１及び前記第２プログラムの改ざんの有無を検証する検証手段と、
　を備えた、情報処理装置。
　第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、前記第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージステップを備えた、
　ホワイトリスト生成方法。
　前記第１検証データは、前記第１プログラムが格納されるメモリのアドレス値と、前記第１プログラムに対応する第１固有値と、によって構成され、
　前記第２検証データは、所定のアドレス値と、前記第２プログラムに対応する第２固有値と、によって構成され、
　前記ホワイトリスト生成方法は、
　前記第１プログラムとリンクすることによって前記第２プログラムが格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データのアドレス値を更新する更新ステップをさらに備え、
　前記マージステップでは、前記第１ホワイトリストと、前記更新ステップにおいて更新された前記第２ホワイトリストと、をマージして前記第３ホワイトリストを生成する、
　請求項１２に記載のホワイトリスト生成方法。
　前記第１検証データは、前記第１プログラムの各部分が格納されるメモリのアドレス値と、前記第１プログラムの各部分に対応する第１固有値と、によって構成され、
　前記第２検証データは、前記第２プログラムの各部分に対応する所定のアドレス値と、前記第２プログラムの各部分に対応する第２固有値と、によって構成され、
　前記ホワイトリスト生成方法は、
　前記第１プログラムとリンクすることによって前記第２プログラムの各部分が格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データの各アドレス値を更新する更新ステップをさらに備え、
　前記マージステップでは、前記第１ホワイトリストと、前記更新ステップにおいて更新された前記第２ホワイトリストと、をマージして前記第３ホワイトリストを生成する、
　請求項１２に記載のホワイトリスト生成方法。
　前記第１検証データは、前記第１プログラムの実行の際に取り得る複数のコードの実行順序を表す第１コントロールフローグラフであって、
　前記第２検証データは、前記第２プログラムの実行の際に取り得る複数のコードの実行順序を表す第２コントロールフローグラフであって、
　前記マージステップでは、前記第１プログラムにおける前記第２プログラムの呼び出し命令に基づいて、前記第１コントロールフローグラフと前記第２コントロールフローグラフとを紐付ける、
　請求項１２に記載のホワイトリスト生成方法。
　前記ライブラリに格納された前記第２プログラムをリンク対象とする前記第１プログラムから前記第１検証データを算出して前記第１ホワイトリストを生成する第１ホワイトリスト生成ステップをさらに備えた、
　請求項１２～１５の何れか一項に記載のホワイトリスト生成方法。
　請求項１２～１６の何れか一項に記載されたホワイトリスト生成方法によって生成された前記第３ホワイトリストにリストアップされた前記第３検証データと、前記第１及び前記第２プログラムの実行に際して新たに算出された第４検証データと、を比較することにより、前記第１及び前記第２プログラムの改ざんの有無を検証する検証ステップと、
　前記検証ステップにおいて前記第１及び前記第２プログラムの改ざんが無いと判断された場合に、前記第１及び前記第２プログラムを実行する演算処理ステップと、
　を備えた、情報処理方法。
　請求項１３又は１４に記載の前記ホワイトリスト生成方法によって生成された前記第３ホワイトリストにリストアップされた前記第３検証データと、前記第１及び前記第２プログラムの実行に際して新たに算出された第４検証データと、を比較することにより、前記第１及び前記第２プログラムの改ざんの有無を検証する検証ステップと、
　前記検証ステップにおいて前記第１及び前記第２プログラムの改ざんが無いと判断された場合に、前記第１及び前記第２プログラムを実行する演算処理ステップと、
　を備え、
　前記ホワイトリスト生成方法は、
　前記第１プログラムによる前記第２プログラムの呼び出しを監視する監視ステップをさらに備え、
　前記更新ステップでは、前記監視ステップにおいて前記第１プログラムによる前記第２プログラムの呼び出しがあったことが検知されると、前記第１プログラムとリンクすることによって前記第２プログラムが格納されることになる前記メモリのアドレス値に基づいて、前記第２ホワイトリストにリストアップされた前記第２検証データの各アドレス値を更新する、情報処理方法。
　第１プログラムに対応する第１検証データがリストアップされた第１ホワイトリストと、前記第１プログラムのリンク先であるライブラリに格納された第２プログラム、に対応する第２検証データ、がリストアップされた第２ホワイトリストと、をマージして、第３検証データがリストアップされた第３ホワイトリストを生成するマージ処理を、
　コンピュータに実行させるプログラムが記録された非一時的なコンピュータ可読媒体。