WO2022145085A1

WO2022145085A1 - 情報処理装置、情報処理システムおよび情報処理装置のファイル処理方法

Info

Publication number: WO2022145085A1
Application number: PCT/JP2021/031059
Authority: WO
Inventors: 大樹山田; 孝芳藤岡; 一登白根
Original assignee: 株式会社日立産機システム
Priority date: 2020-12-28
Filing date: 2021-08-24
Publication date: 2022-07-07
Also published as: JP7462077B2; JPWO2022145085A1

Abstract

情報処理装置は、アプリケーションの改ざんを検知し、アプリケーションを起動するアプリケーション管理部と、ファイルに対するハッシュを生成するハッシュ生成部とを備える。アプリケーション管理部は、ハッシュ生成部により生成された実行ファイルのハッシュを保持し、アプリケーション管理部は、アプリケーションを起動する際に、ハッシュ生成部により起動するアプリケーションの実行ファイルのハッシュを生成し、既に保持された実行ファイルのハッシュと、生成された実行ファイルのハッシュとを比較し、一致しないときには、当該アプリケーションを起動しないようにする。それにより、情報処理装置にメモリ量の制限がある場合にも、不正なアプリケーションの起動や異常な設定の適用を防止し、情報処理装置に関わるサイバー攻撃の被害を低減する。

Description

情報処理装置、情報処理システムおよび情報処理装置のファイル処理方法

　本発明は、情報処理装置、情報処理システムおよび情報処理装置のファイル処理方法に係り、特に、メインメモリの制限がある場合であっても、不正なアプリケーションの起動や異常な設定の適用を防止し、情報処理装置に関わるサイバー攻撃の被害を低減するのに好適な情報処理装置、情報処理システムおよび情報処理装置のファイル処理方法に関する。

　近年、無線ルータなどの通信端末がエッジデバイスとして、データの一次処理や、プロトコル変換など多様な処理を行うケースが増加している。さらに、通信機能を含むこれらのアプリケーションソフトウェア（以下、単に「アプリケーション」という）の更新・追加を実施するＦＯＴＡ（Firmware Over The Air）の技術が確立されつつある。

　エッジデバイスの機能が向上するに伴い、これらの端末を狙ったサイバー攻撃の手段も高度化されてきており、例えば、ＤｏＳ（Denial of Service）攻撃のように大量の通信データを投げかけて、装置の機能を停止させるものから、端末の制御を奪って他者に悪意のある攻撃を仕掛けさせるボットネットの一員とする不正プログラムの導入など、サイバー攻撃の手法は多様化が進んでいる。このようなサイバー攻撃を防止するためには、セキュリティに関わる設定を正しく行い、機能を実行するアプリケーションの改ざんを検知し、不正なアプリケーションの混入を防ぐ必要がある。

　このようなソフトウェアのセキュリティに関しては、例えば、特許文献１の記載の技術がある。この特許文献１では、プログラムのハッシュを用いた改ざん検知を行い、改ざんを検知した場合に、改ざんのおそれのあるプログラムではなく、別の領域に格納された旧バージョンのプログラムを起動する技術が開示されている。この特許文献１に記載された情報処理装置では、ＲＯＭ（Read Only Memory）である第１記憶部にプリインストールプログラムをインストールし、書き換え可能なメモリ領域である第２記憶部に平常時に使用するプログラムをインストールする。そして、第２記憶部に保存されているプログラムに対し改ざん検知を行い、改ざんを検知した場合には、第１記憶部に指定のプログラムの旧バージョンがプリインストールされていればそれを実行する。これにより、プログラムの実行可否を規定したプログラム情報を改ざんされた場合でも、出荷時にプリインストールされたプログラムの利用を可能としユーザの利便性を確保することができるとしている。

特開２０１５－０６９４０３号公報

　一般に、エッジデバイスは安価で大量に生産される背景から、メモリや記憶装置の容量が制限されることが多い。特許文献１に記載された技術の場合には、情報処理装置が十分にＲＯＭや書き換え可能なメモリ領域を有することが前提となっており、エッジデバイスでの適用が難しい。また、特許文献１では、プログラムのみを改ざん検知の対象としているが、プログラムの動作には設定値が必要であり、設定値も改ざん検知の対象に含めなければプログラムが異常動作する可能性がある。

　本発明の目的は、情報処理装置にメモリ量の制限がある場合にも、不正なアプリケーションの起動や異常な設定の適用を防止し、情報処理装置に関わるサイバー攻撃の被害を低減することのできる情報処理装置を提供することにある。

　本発明の情報処理装置の構成は、好ましくは、実行ファイルによりアプリケーションソフトウェアの機能を実行する情報処理装置であって、情報処理装置は、アプリケーションソフトウェアの改ざんを検知し、アプリケーションソフトウェアを起動するアプリケーション管理部と、ファイルに対するハッシュを生成するハッシュ生成部とを備え、アプリケーション管理部は、ハッシュ生成部により生成された実行ファイルのハッシュを保持し、アプリケーション管理部は、アプリケーションソフトウェアを起動する際に、ハッシュ生成部により起動するアプリケーションソフトウェアの実行ファイルのハッシュを生成し、既に保持された実行ファイルのハッシュと、生成された実行ファイルのハッシュとを比較し、一致しないときには、当該アプリケーションを起動しないようにしたものである。

　本発明によれば、情報処理装置にメモリ量の制限がある場合にも、不正なアプリケーションの起動や異常な設定の適用を防止し、情報処理装置に関わるサイバー攻撃の被害を低減することのできる情報処理装置を提供することができる。

実施形態１に係る情報処理装置の機能構成図である。実施形態１に係る情報処理装置のハードウェア・ソフトウェア構成図である。アプリケーション設定選択メニュー画面の一例を示す図である。アプリケーション設定画面の一例を示す図である。実行ファイル選択画面の一例を示す図である。設定ファイル、実行ファイル更新時処理の一例を示すフローチャートである。設定ファイル、実行ファイル更新時処理の一例を示すシーケンス図である。実施形態１のアプリケーション起動処理の一例を示すフローチャートである。実施形態１のアプリケーション起動処理の一例を示すシーケンス図である。実施形態２に係る情報処理装置の機能構成図である。ファイル取得要求のデータの一例を示す図である。実施形態２のアプリケーション起動処理の一例を示すフローチャートである。設定ファイル、実行ファイルのハッシュ適用処理の一例を示すフローチャートである。データ配信サーバにおけるファイル配信処理の一例を示すフローチャートである。情報処理装置が配信サーバからファイルを取得する処理の一例を示すシーケンス図である。実施形態３に係る情報処理装置の機能構成図である。検証テーブルの一例を示す図である。ファイル検証要求のデータの一例を示す図である。全体ハッシュの概念について説明する図である。情報処理装置から発信されるファイル検証依頼処理を示すフローチャートである。データ配信サーバにおけるファイル検証処理を示すフローチャートである。ファイル検証処理の一連の流れを示すシーケンス図である。

　以下、本発明に係る各実施形態を、図１ないし図２２を用いて説明する。

　　〔実施形態１〕
　以下、本発明に係る実施形態１を、図１ないし図９を用いて説明する。

　先ず、図１および図２を用いて実施形態１に係る情報処理装置の構成について説明する。
本実施形態の情報処理装置は、アプリケーションを実行するために設計された装置であり、予め設定された設定情報、あるいは、ＧＵＩ（Graphical User Interface）により設定した設定情報に基づいてアプリケーションを実行する。情報処理装置１００は、図１に示されるように、ユーザインタフェース部１１０、アプリケーション管理部１２０、ハッシュ生成部１３０と、一つ以上のアプリケーション１４０（図１では、１４０－１、１４０－２、…と表記）からなる。

　アプリケーション１４０は、設定ファイル１４１（図１では、１４１－１、１４１－２、…と表記）、デフォルト設定ファイル１４２（図１では、１４２－１、１４２－２、…と表記）、実行ファイル１４３を保持する。設定ファイル１４１は、アプリケーション１４０に関する設定情報を保持するファイルである。デフォルト設定ファイル１４２は、アプリケーション１４０に関する設定情報を保持するファイルであり、通常、アプリケーション１４０を更新しない限り書き換えられることはない。実行ファイル１４３は、アプリケーション１４０の処理を行う実行形式のファイルまたはシェルファイルである。なお、一つのアプリケーション１４０に複数の実行ファイル１４３を保持し、起動する実行ファイル１４３をユーザが選択できるようにしてもよい。

　ユーザインタフェース部１１０は、ユーザ１に対して画面に対しての表示やコマンド、データなどの入出力を提供する機能部である。ユーザ１は、ユーザインタフェース部１１０を介してアプリケーションの設定を変更することができ、それは、アプリケーションの設定ファイル１４１に反映される。

　アプリケーション管理部１２０は、各アプリケーション１４０に関する処理と管理を行なう機能部である。アプリケーション管理部１２０は、改ざん検知部１２１、アプリケーション起動部１２２、アプリケーション設定部１２３のサブ機能部からなる。

　改ざん検知部１２１は、アプリケーション１４０に関する設定ファイル１４１や実行ファイル１４３に関する悪意ある者による改ざんを検知する機能部である。アプリケーション起動部１２２は、各アプリケーション１４０を起動する機能部である。アプリケーション設定部１２３は、アプリケーションの設定ファイル１４１を更新する機能部である。改ざんを検知は、アプリケーション１４０の設定ファイル１４１、実行ファイル１４３からハッシュを生成し、予め生成しておいたそれらのハッシュと比較することにより行なう（詳細は後述）。

　そのため、アプリケーション管理部１２０は、設定ファイル１４１のハッシュのファイル１５０（以下、「設定ハッシュ」という）と、実行ファイル１４３のハッシュのファイル１５１（以下、「実行ハッシュ」という）を保持する。アプリケーション管理部１２０は、設定ファイル１４１、実行ファイル１４３をハッシュ生成部１３０に入力して、設定ハッシュ１５０、実行ハッシュ１５１を作成して保持し、各アプリケーション１４０の起動時に、保持する設定ハッシュ１５０、実行ハッシュ１５１により、起動するアプリケーション１４０の設定ファイル１４１の改ざんを検知した場合や、設定ファイル１４１が存在しない場合には、アプリケーション管理部１２０が、当該アプリケーション１４０のデフォルト設定ファイル１４２の情報をアプリケーション１４０の設定ファイル１４１に上書きし、アプリケーション１４０を起動する。

　ハッシュ生成部１３０は、アプリケーション１４０の設定ファイル１４１と実行ファイル１４３に対するハッシュを生成する機能部である。ハッシュは、ハッシュ関数により生成され、固定長の値で、同一の入力に対し、理想的には同一の結果を返すことを特徴とする。逆に一部でも入力に異なる箇所はあれば、基本的に異なるハッシュが生成されるため、暗号化や改ざん検知に利用されている技術である。なお、本発明は、ハッシュ生成方法（ＭＤ５やＳＨＡ－１、ＳＨＡ２など）のアルゴリズムに依らず、ファイルやデータに対し、固定値のダイジェスト値が得られるハッシュ生成方法であればよい。

　次に、図２を用いて情報処理装置１０のハードウェア・ソフトウェア構成について説明する。
情報処理装置１００のハードウェア構成としては、例えば、図２に示されるパーソナルコンピュータのような一般的な情報処理装置で実現される。

　情報処理装置１００は、ＣＰＵ（Central Processing Unit）３０２、主記憶装置３０４、ネットワークＩ／Ｆ（InterFace）３０６、表示Ｉ／Ｆ３０８、入出力Ｉ／Ｆ３１０、補助記憶Ｉ／Ｆ３１２が、バスにより結合された形態になっている。

　ＣＰＵ３０２は、情報処理装置１００の各部を制御し、主記憶装置３０４に必要なプログラムをロードして実行する。

　主記憶装置３０４は、通常、ＲＡＭなどの揮発メモリで構成され、ＣＰＵ３０２が実行するプログラム、参照するデータが記憶される。

　ネットワークＩ／Ｆ３０６は、ネットワーク５と接続するためのインタフェースである。

　表示Ｉ／Ｆ３０８は、ＬＣＤ（Liquid Crystal Display）などの表示装置３２０を接続するためのインタフェースである。

　入出力Ｉ／Ｆ３１０は、入出力装置を接続するためのインタフェースである。図２の例では、キーボード３３０とポインティングデバイスのマウス３３２が接続されている。

　補助記憶Ｉ／Ｆ３１２は、ＨＤＤ（Hard Disk Drive）３５０やＳＳＤ（Solid State Drive）などの補助記憶装置を接続するためのインタフェースである。

　ＨＤＤ３５０は、大容量の記憶容量を有しており、本実施形態を実行するためのプログラムが格納されている。情報処理装置１０には、アプリケーション管理プログラム３６０、ハッシュ生成プログラム３７０、ユーザインタフェースプログラム３８０がインストールされている。

　アプリケーション管理プログラム３６０、ハッシュ生成プログラム３７０、ユーザインタフェースプログラム３８０は、それぞれアプリケーション管理部１２０、ハッシュ生成部１３０、ユーザインタフェース部１１０の機能を実現するプログラムである。

　アプリケーション管理プログラム３６０は、改ざん検知モジュール３６１、アプリケーション起動モジュール３６２、アプリケーション設定モジュール３６３からなる。改ざん検知モジュール３６１、アプリケーション起動モジュール３６２、アプリケーション設定モジュール３６３は、それぞれ改ざん検知部１２１、アプリケーション起動部１２２、アプリケーション設定部１２３の機能を実現するモジュールである。

　また、ＨＤＤ３５０は、設定ファイル１４１（図２では、１４１－１、１４１－２、…と表記）、デフォルト設定ファイル１４２（図２では、１４２－１、１４２－２、…と表記）、実行ファイル１４３（図２では、１４３－１、１４３－２、…と表記）、設定ハッシュ１５０（図２では、１５０－１、１５０－２、…と表記）、実行ハッシュ１５１（図２では、１５１－１、１５１－２、…と表記）を格納している。

　次に、図３ないし図５を用いて実施形態１に係る情報処理装置が提供するユーザインタフェースについて説明する。

　ユーザ１は、マウスやキーボードを操作することにより、図３に示されるアプリケーション設定選択メニュー画面２００を呼び出し、表示することができる。アプリケーション設定選択メニュー画面２００は、各アプリケーション１４０の設定のためのメニューを選択するための画面である。

　ユーザ１は、各アプリケーション１４０に対応するアイコン２０１（図３では、２０１ａ、２０１ｂ、…と表記）を選択することにより、図４に示されるアプリケーション設定画面２０２を呼び出し表示することができる。アプリケーション設定画面２０２は、各アプリケーション１４０毎の詳細な設定をするため入出力を受け付ける画面である。

　ユーザ１は、設定項目２０３（図４では、２０３ａ、２０３ｂ、…と表記）を入力し、設定変更ボタン２０４を選択することにより、ユーザが入力した設定情報を、設定ファイルに反映することができる。ユーザインタフェース部１１０は、設定変更ボタン２０４が選択されると、ＧＵＩの入力に従い、設定ファイル１４１を更新する。

　また、ユーザ１は、実行ファイル変更ボタン２０５を選択すると、図５に示される実行ファイル選択画面２０６を呼び出し表示する。実行ファイル選択画面２０６は、該当するアプリケーション１４０の起動時に呼び出される実行ファイルを選択する画面である。

　実行ファイル選択画面２０６には、情報処理装置１００に格納された実行ファイル名称２０７と格納日時が表示されている。ユーザ１は、実行ファイル名称２０７を選択し、実行ファイル変更実行ボタン２０８を選択することにより、アプリケーション１４０の実行ファイル１４３を変更することができる。実行ファイル名称２０７は、選択されることにより色が反転し、選択状態となる。そして、ユーザインタフェース部１１０は、実行ファイル変更実行ボタンが選択されると、実行ファイル名称の情報が、アプリケーション管理部１２０に送られる。

　次に、図６ないし図９を用いて情報処理装置の処理について説明する。
先ず、図６および図７を用いて設定ファイル、実行ファイル更新時処理について説明する。

　設定ファイル、実行ファイル更新の更新は、最初にアプリケーション１４０をインストールしたとき、インストール後に、ユーザがアプリケーション１４０の設定を変更するときに行われる。

　先ず、ユーザインタフェース部１１０を介して、ユーザがアプリケーション１４０をインストールしたり、ユーザがアプリケーション１４０の設定を変更して、アプリケーション１４０の設定ファイル１４１および実行ファイル１４３、あるいは、設定ファイル１４１が変更される（図６のＳ１０１、図７のＡ１０１、Ａ１０２、Ａ１０３）。

　次に、アプリケーション管理部１２０は、変更されたファイル情報を、ハッシュ生成部１３０に渡して、ハッシュ生成部１３０は、渡されたファイル情報に基づいて、ハッシュを生成し（Ｓ１０２、Ａ１０４）、変更したファイルのハッシュを返す（Ａ１０５）。

　次に、アプリケーション管理部１２０は、送られてきたハッシュに基づいて、設定ファイル１４１、実行ファイル１４３に対して、それぞれ設定ハッシュ１５０、実行ハッシュ１５１として格納する（Ｓ１０３）。

　次に、図８および図９を用いて設定ファイル、実行ファイル更新時処理について説明する。
先ず、アプリケーション管理部１２０は、ユーザまたは外部プログラムの指示によって、起動指示を受けたとき、該当するアプリケーション１４０の設定ファイル１４１、実行ファイル１４３をアクセスする（図８のＳ２０１、図９のＡ２０１）。

　次に、アプリケーション管理部１２０は、設定ファイルが存在しているか否かを判定し（Ｓ２０２）、存在するときには（Ｓ２０２：ＹＥＳ）、Ｓ２０４に行き、存在しないときには（Ｓ２０２：ＮＯ）、Ｓ２０３に行く。

　設定ファイルが存在しないときには、アプリケーション管理部１２０は、デフォルト設定ファイル１４２をアクセスし、デフォルト設定ファイル１４２を設定ファイル１４１として複製する（Ｓ２０３）。

　次に、アプリケーション管理部１２０は、設定ファイル１４１、実行ファイル１４３の情報をハッシュ生成部１３０に送り（Ａ２０２）、ハッシュ生成部１３０は、それぞれのファイルに対応するハッシュを生成し（Ｓ２０４）、アプリケーション管理部１２０に送る（Ａ２０３）。

　次に、アプリケーション管理部１２０の改ざん検知部１２１は、受取ったハッシュと、保持している設定ハッシュ１５０、実行ハッシュ１５１を比較し（Ｓ２０５）、受取ったハッシュと実行ハッシュ１５１が一致するときには（Ｓ２０６：ＹＥＳ）、Ｓ２０７に行き、一致しないときには（Ｓ２０６：ＮＯ）、処理を終了する。また、受取ったハッシュと、保持する実行ハッシュ１５１が一致しないときには、警告メッセージを表示するようにしてもよい。

　受取ったハッシュと実行ハッシュ１５１が一致し、設定ハッシュ１５０が一致するときには（Ｓ２０７：ＹＥＳ）、Ｓ２１０にいき、設定ハッシュ１５０が一致しないときには（Ｓ２０７：ＮＯ）、Ｓ２０８に行く。

　設定ハッシュ１５０が一致しないときには、アプリケーション管理部１２０は、デフォルト設定ファイル１４２の情報を設定ファイル１４１に上書きする（Ｓ２０８）。

　次に、アプリケーション管理部１２０は、Ｓ２０３で変更した設定ファイル１４１の情報をハッシュ生成部１３０に送り、ハッシュ生成部１３０は、その設定ファイルのハッシュを生成し、アプリケーション管理部１２０に送る。アプリケーション管理部１２０は、その情報に基づいて、設定ハッシュ１５０を格納する（Ｓ２０９、図９には図示せず）。

　次に、設定ハッシュ１５０が一致するときには、アプリケーション管理部１２０は、アプリケーション１４０に指示し、アプリケーションを起動する（Ｓ２１０、Ａ２０４）。

　実施形態１によると、新たな設定ファイル１４１や実行ファイル１４３が更新される際には、ファイルに対応するハッシュを設定ハッシュ１５０、実行ハッシュ１５１として保存しておき、アプリケーション１４０の起動時には、保存したファイルと、起動時に利用される設定ファイル１４１や実行ファイル１４３と比較することにより、その設定ファイル１４１や実行ファイル１４３が正当なものであるか否かを検証する。すなわち、ハッシュが異なると、適切な手順で編集・変更されたファイルでないとみなし、不正な動作を遮断するため、設定ハッシュ１５０が異なる場合はデフォルト設定の置き換えを行い、実行ハッシュ１５１が異なる場合は、アプリケーション１４０の起動を中止する。これにより、情報処理装置１００のアプリケーション１４０は、正当なもののみ実行され、改ざんのおそれのあるアプリケーション１４０の起動は阻止される。

　これにより、ディレクトリトラバーサルやＳＱＬインジェクション、不正な侵入等によって改変された設定ファイル１４１や実行ファイル１４３の利用を防止することができる。さらに、機能を悪用したサイバー攻撃への加担（ボットネットやＤＤｏＳ攻撃、攻撃の踏み台等）も防止することができる。しかも、本実施形態で活用するハッシュは、固定長のビット列であり、情報処理装置１００のメモリ量に対して占める割合が予想可能な上、複雑な機能を実現する場合であっても、設定ファイル１４１や実行ファイル１４３に対して、十分にデータ量は小さく、情報処理装置のメモリを圧迫することはない。

　　〔実施形態２〕
　次に、本発明の実施形態２を、図１０ないし図１５を用いて説明する。

　実施形態１ではハッシュを用いて、設定ファイル１４１と実行ファイル１４３の正当性を検証することにより、ファイルの改ざんや不正なファイルの混在を防止する情報処理装置１００について説明した。

　しかしながら、情報処理装置１００単体で対策を取ると、設定ファイル１４１や実行ファイル１４３の改ざんを検知した場合には、アプリケーシションを起動しない、デフォルト設定へ戻すという対策しかないため、結果として情報処理装置１００の機能が制限されてしまう。このことから、実施形態２では、情報処理装置１００が設定ファイル１４１と実行ファイル１４３の改ざんを検知した際に、正しい設定ファイル１４１や実行ファイル１４３をダウンロードするためのデータ配信サーバ７００を設ける。

　以下では、実施形態１と異なった所を中心に説明する。

　先ず、図１０を用いて実施形態２に係る情報処理システムの全体構成を説明する。
実施形態２情報処理システムは、図１０に示されるように、情報処理装置１００とデータ配信サーバ７００から構成され、情報処理装置１００とデータ配信サーバ７００は、ネットワーク５により接続されている。ネットワーク５は、インターネットのようなグローバルネットワークであってもよいし、ＬＡＮ（Local Area Network）であってもよい。

　データ配信サーバ７００は、機能部として配信管理部７０１を有し、配信データベース７１０を保持する。配信管理部７０１は、情報処理装置１００のアプリケーション管理部１２０からの問い合わせに対し、配信データベース７１０から必要なデータを取得し、返信する。

　配信データベース７１０は、配信管理部７０１が参照する情報処理装置１００に適用される各アプリケーションごとの設定ファイル１４１、実行ファイル１４３にそれぞれ対応する設定ファイル７１１（図１０では、７１１－１、７１１－２、…と表記）や実行ファイル７１３（図１０では、７１３－１、７１３－２、…と表記）が格納されたデータベースである。

　また、情報処理装置１００は、実施形態１の機能部に、サーバ通信部１２４を有する。サーバ通信部１２４は、データ配信サーバ７００と通信を行うための機能部である。

　次に、図１１を用いて実施形態２で使用されるデータ構造について説明する。
ファイル取得要求は、アプリケーション１４０の起動時に、情報処理装置１００のアプリケーション管理部１２０が、ネットワーク５を介してデータ配信サーバ７００に対して行なう処理である（詳細は後述）。

　ここでは、ファイル取得要求のデータの一例として、ＪＳＯＮ（Java Script Object Notation）形式で記述した例について説明する。ＪＳＯＮ形式は、{“key”:“value”}のように、{}の中にキーと値をコロンで区切って記述した形式である。

　以下、図１１に従い、各キーについて説明する。
  （Ｋ１０１）ＤｅｖｉｃｅＩＤ：送信元となる情報処理装置１００を一意に特定できる識別子を格納する。配信管理部７０１は、ＤｅｖｉｃｅＩＤごとに各アプリケーション１４０の設定ファイル７１１、実行ファイル７１３を管理しており、このＤｅｖｉｃｅＩＤに基づき、必要なファイルを配信データベース７１０から取得できるようになっている。
  （Ｋ１０２）ａｐｐｌｉｃａｔｉｏｎ：取得するファイルがどのアプリケーション１４０に適用するかを示すキーである。本キーにはアプリケーション１４０を識別する識別子を格納する。
  （Ｋ１０３）ＦｉｌｅＴｙｐｅ：取得する対象が設定ファイル７１１か、実行ファイル７１３かを指定するキーである。設定ファイル７１１の場合は、ｓｅｔｔｉｎｇ、実行ファイル７１３の場合は、ｅｘｅｃｕｔｉｏｎの文字列を格納する。

　次に、図１２ないし図１５を用いて実施形態２に係る情報処理システムの処理について説明する。

　先ず、図１２を用いて実施形態２の情報処理システムにおけるアプリケーション起動処理について説明する。
図１２のＳ３０１、Ｓ３０２、Ｓ３０３は、それぞれ実施形態１の図８のＳ２０１、Ｓ２０４、Ｓ２０５と同様である。

　生成したハッシュと実行ハッシュ１５１が一致するときには（Ｓ３０４：ＹＥＳ）、Ｓ３０８に行き、一致しないときには（Ｓ３０４：ＮＯ）、処理を終了する。

　受取ったハッシュと実行ハッシュ１５１が一致しないときには、実行ファイルの取得、ハッシュ化適用処理を行う（Ｓ３０５、詳細は図１３により後述）。

　次に、生成したハッシュと実行ハッシュ１５１が一致し、設定ハッシュ１５０が一致するときには（Ｓ３０６：ＹＥＳ）、Ｓ３０８に行き、設定ハッシュ１５０が一致しないときには（Ｓ３０６：ＮＯ）、Ｓ３０７に行く。

　設定ハッシュ１５０が一致するときには、設定ファイルの取得、ハッシュ化適用処理を行う（Ｓ３０７、詳細は図１３により後述）。

　次に、アプリケーション管理部１２０は、アプリケーション１４０に指示し、アプリケーションを起動する（Ｓ３０８）。

　次に、図１３を用いて設定ファイル、実行ファイルの取得、ハッシュ化適用処理の詳細について説明する。
これは、図１２のＳ３０５、Ｓ３０７に共通の処理である。

　先ず、アプリケーション管理部１２０は、サーバ通信部１２４を介して、データ配信サーバ７００に、図１１に示したデータ構造を有した、対象となるファイルの取得要求を行なう（Ｓ４０１）。

　次に、アプリケーション管理部１２０は、対象となるファイルの受信を待ちうけ、データ配信サーバ７００から対象となるファイルを受信したときには（Ｓ４０２：ＹＥＳ）、Ｓ４０４に行く。

　次に、アプリケーション管理部１２０は、ハッシュ生成部１３０の情報を渡し、ハッシュ生成部１３０は、受信したファイルのハッシュを生成し（Ｓ４０３）、アプリケーション管理部１２０に生成したハッシュを返す。

　次に、アプリケーション管理部１２０は、受信したファイルの設定ハッシュ１５０、実行ハッシュ１５１を格納する（Ｓ４０４）。

　次に、アプリケーション管理部１２０は、受信したファイルの情報を、アプリケーション１４０に送り、アプリケーション１４０は、設定ファイル１４１、または、実行ファイル１４３として登録する（Ｓ４０５）。

　次に、図１４および図１５を用いてデータ配信サーバのファイル配信処理について説明する。

　先ず、データ配信サーバ７００は、情報処理装置１００からネットワーク５を介して、ファイル要求を受信したときに（Ｓ５０１：ＹＥＳ、Ａ３０１）、Ａ５０２に行く。

　次に、データ配信サーバ７００の配信管理部７０１は、受信した図１１に示したファイル取得要求の内容を解析し（Ｓ５０２）、その解析結果に従い、配信データベース７１０に問い合わせる（ｑｕｅｒｙ）（Ｓ５０３、Ａ３０２）。

　そして、配信管理部７０１は、返答のファイル情報に従って（Ａ３０４）、ネットワーク５を介して取得したファイルを要求元の情報処理装置１００に送信する（Ｓ５０４、Ａ３０４）。

　その後に、情報処理装置１００のアプリケーション１４０は、受信したファイルを設定ファイル１４１、または、実行ファイル１４３として登録する（Ａ３０５）。

　実施形態２によると、情報処理装置１００はデータ配信サーバ７００と連携することによって、設定ファイル１４１や実行ファイル１４３が改ざんされた場合にも、データ配信サーバから正しい設定ファイル７１１や設定ファイル７４３を取得し、機能の制限を受けることなく、アプリケーション１４０を起動することができる。

　　〔実施形態３〕
　実施形態２では、情報処理装置１００は、アプリケーション１４０ごとに設定ファイル１４１や実行ファイル１４３の改ざんを検知した場合に、データ配信サーバ７００から改ざん前の設定ファイル７１１や実行ファイル７１３を取得した。

　しかしながら、不正なアクセスを受けた場合には、可能な全ての範囲にデータの改ざんを適用することが想定される。この場合、実施形態２の情報処理システムでは、アプリケーション１４０起動のつど問い合わせを行い、データを取得することから、通信量が増加してしまう。特に、産業用途のＩｏＴでは情報処理装置１００とデータ配信サーバ７００間をＬＴＥ（Long Term Evolution）網で接続することが多く、データ通信量が通信料金に大きく影響することが予想される。また、産業用途に用意された回線は、多量の機器を接続する性質から通信帯域が貧弱であることが多い。このことから、複数のアプリケーション１４０をまとめて改ざん検知を行う場合には、問い合わせ回数を減らし、なおかつ通信データ量を抑える必要がある。

　実施形態３の情報処理システムでは、情報処理装置１００が全アプリケーション１４０の設定ハッシュ１５０と実行ハッシュ１５１から全体ハッシュを生成し、データ配信サーバ７００へ通知することにより、全てのアプリケーション１４０を対象として改ざん検知を可能とする。

　さらに、不正なアクセスを受けた場合には、保存されたハッシュも含めて改ざんされてしまうことにより、改ざんの検知が困難になる可能性がある。実施形態３の情報処理システムによれば、情報処理装置１００が不正なアクセスを受けた場合にも、検証に必要なハッシュの情報をデータ配信サーバ７００で管理することにより、情報処理装置１００が本来の動作に必要な設定ファイル７１１や実行ファイル７１３を取得する手段を提供する。

　以下、実施形態２比較して異なる所を中心に説明する。

　先ず、図１６を用いて実施形態３に係る情報処理システムの全体構成を説明する。
実施形態２情報処理システムは、図１６に示されるように、データ配信サーバ７００に、検証データベース７２０が追加された構成である。検証データベース７２０には、検証テーブル８００が格納されている。検証テーブル８００は、配信管理部７０１が、アプリケーション管理部１２０からファイル検証要求を受信した際に、送信されてくるハッシュを検証するために参照するテーブルである。

　次に、図１７および図１８を用いて実施形態２の情報処理システムに用いられるデータ構造について説明する。

　検証テーブル８００は、ＤｅｖｉｃｅＩＤ８００ａ、適用確認条件８００ｂ、配布ファイル８００ｃの各カラムから構成される。

　ＤｅｖｉｃｅＩＤ８００ａは、情報処理装置１００を一意に特定可能な識別子を格納するカラムである。適用確認条件８００ｂは、配信管理部７０１にて、情報処理装置１００が正しいファイルを適用しているかを確認する条件を格納するカラムである。図１７の例では、”Ｈａｓｈ“＝”…”として、情報処理装置１００の全てのアプリケーション１４０の設定ファイル１４１と実行ファイル１４３のハッシュから生成される全体ハッシュを検証する条件式が格納されている。図では示してないが、ファイル生成日時、ファイル更新日時などのその他の条件を付け加えてもよい。適用確認条件８００ｂを適用して、偽となる場合には、配信管理部７０１が、情報処理装置１００に適切なファイルが適用されていないと判断し、必要なファイルを情報処理装置１００に配信するものとする。配布ファイル８００ｃは、適用確認条件が偽となる場合に配布するファイル情報、例えば、配布するファイルのファイル名やファイルパス、ＵＲＬを格納するカラムである。

　次に、図１８を用いてファイル検証要求のデータについて説明する。
ここでも、ファイル取得要求のデータの一例として、ＪＳＯＮ形式で記述した例について説明する。

　以下、図１１に従い、各キーについて説明する。
（Ｋ２０１）ＤｅｖｉｃｅＩＤ：送信元となる情報処理装置１００を一意に特定できるＩＤである。配信管理部７０１は、このＤｅｖｉｃｅＩＤごとに配信ファイルを管理しており、この識別子に基づいて、必要なファイルを配信データベース７１０から取得する。
（Ｋ２０２）Ｈａｓｈ：アプリケーション管理部１２０の保持する全ての設定ハッシュ１５０と実行ハッシュ１５１から生成した全体ハッシュを格納する。

　なお、ファイル検証要求として、その他の検証条件をキーとして付け加えてもよい。

　次に、図１９を用いて全体ハッシュの概念について説明する。
全体ハッシュは、一つの情報処理装置１００について一つ生成されるものであり、そのため、全体ハッシュを生成するためには、アプリケーション管理部１２０が保持する全ての設定ハッシュ１５０と実行ハッシュ１５１を結合して、ハッシュ生成部１３０に送り、ハッシュ生成部１３０は全ハッシュを結合したファイルから、全体ハッシュを生成する。

　これは、情報処理装置１００が、例えば、ルータのような通信装置であれば、全ファームウェアをまとめたハッシュを作るイメージである。

　なお、各アプリケーションごとにファイル検証を行いたいときには、一つのアプリケーションが保持する設定ハッシュ１５０と実行ハッシュ１５１の全てを結合して全体ハッシュとしてもよい。

　また、本実施形態ではファームウェアなどの改ざん検知を目的にして、情報処理装置１００が、データ配信サーバ７００に全体ハッシュを通知したが、例えば、全アプリケーション１４０のバージョン検証にも使用できる。他にも、アプリケーション１４０の追加・削減のために配信管理部７０１がアプリケーション管理部１２０へ指示を与える用途にも使用することできる。

　次に、図２０ないし図２２を用いて実施形態３の情報処理システムの処理について説明する。
先ず、図２０および図２２を用いて情報処理装置から発信されるファイル検証依頼について説明する。

　ユーザ１のＧＵＩからの操作や、情報処理装置１００の起動時、アプリケーション１４０起動時、周期的なトリガーを契機にファイル検証が開始される。

　先ず、情報処理装置１００のアプリケーション管理部１２０は、サーバ通信部１２４を介して、図１８に示されたデータ構造に従って、データ配信サーバ７００に、ファイル検証要求を送信する（Ｓ６０１、Ａ４０１）。

　そして、アプリケーション管理部１２０は、データ配信サーバ７００から応答を待ちうけ、応答を受信したときには（Ｓ６０２：ＹＥＳ、Ａ４０６）、Ｓ６０３に行く。

　次に、ＮＵＬＬでないファイルを受信したときは（Ｓ６０３：ＹＥＳ）、Ｓ６０４に行き、ＮＵＬＬを受信したときには（Ｓ６０３：ＮＯ）、処理を終了する。

　ＮＵＬＬでないファイルを受信したときは、受信ファイルの取得、ハッシュ化適用処理を行う（Ｓ６０４、Ａ４０７）。これは、実施形態２の図１３の処理と同様である。

　次に、図２１および図２２を用いてデータ配信サーバにおけるファイル検証処理について説明する。

　データ配信サーバ７００の配信管理部７０１は、情報処理装置１００からのファイル検証要求を受信したとき（Ｓ７０１：ＹＥＳ、Ａ４０１）、Ｓ７０２に行く。

　データ配信サーバ７００の配信管理部７０１は、検証データベース７２０に問合せ（Ａ４０２、Ａ４０３）、受信した図１８に示したファイル検証要求のハッシュの情報（Ｋ２０２）と図１７に示した検証テーブル８００のＤｅｖｉｃｅＩＤ８００ａと配信確認条件ファイル８００ｂの情報により、全体ハッシュの整合性を検証する（Ｓ７０２）。

　ファイル検証要求のハッシュの情報と配信確認条件が一致するときには（Ｓ７０３：ＹＥＳ）、配信データベース７１０に問合せ（Ａ４０４、Ａ４０５）、対象となるファイル（配布ファイル８００ｃの記載されたファイル）を、要求元の情報処理装置１００に配信し（Ｓ７０４、Ａ４０４、）、ファイル検証要求のハッシュの情報と配信確認条件が一致しないときには（Ｓ７０３：ＮＯ）、ＮＵＬＬを、要求元の情報処理装置１００に送信する（Ｓ７０５）。そして、割り込み処理や中断処理（図示せず）がない限り、Ｓ７０１に戻る。

　実施形態３によると、情報処理装置１００が全アプリケーション１４０の設定ハッシュ１５０と実行ハッシュ１５１から全体ハッシュを生成し、データ配信サーバ７００へ通知することにより、全てのアプリケーション１４０を対象として改ざん検知を可能とする。これにより、アプリケーション１４０起動毎に、情報処理装置１００とデータ配信サーバ７００間での通信が不要となり通信量を削減することができる。また、データ配信サーバ７００から複数のファイルをまとめて、圧縮し送信することにより、データ通信量を削減できる。さらに、検証に必要なハッシュの情報を、データ配信サーバ７００が管理するため、情報処理装置１００が不正にアクセスされ、ファイルの正当性を検証不能な場合にも、ファイル検証を可能とする。

　また、検証時においても元のファイルより大幅にデータ量が少ないハッシュのデータを、データ配信サーバ７００に送るため、通信帯域が貧弱なときでも、ネットワークの帯域を圧迫することなく、通信データ量を抑えることができる。

１…ユーザ
５…ネットワーク
１００…情報処理装置
１１０…ユーザインタフェース部
１２０…アプリケーション管理部
１３０…ハッシュ生成部
１４０…アプリケーション
１４１、７１１…設定ファイル
１４２…デフォルト設定ファイル
１４３、７１３…実行ファイル
１５０…設定ハッシュ
１５１…実行ハッシュ
２００…アプリケーション設定選択メニュー画面
２０１…アイコン
２０２…アプリケーション設定画面
２０３…設定項目
２０４…設定変更ボタン
２０５…実行ファイル変更ボタン
２０６…実行ファイル選択画面
２０７…実行ファイル名称
２０８…実行ファイル変更実行ボタン
７００…データ配信サーバ
７０１…配信管理部
７１０…配信データベース
７２０…検証データベース
８００…検証テーブル

Claims

　実行ファイルによりアプリケーションソフトウェアの機能を実行する情報処理装置であって、
　前記情報処理装置は、
　アプリケーションソフトウェアの改ざんを検知し、アプリケーションソフトウェアを起動するアプリケーション管理部と、
　ファイルに対するハッシュを生成するハッシュ生成部とを備え、
　前記アプリケーション管理部は、前記ハッシュ生成部により生成された前記実行ファイルのハッシュを保持し、
　前記アプリケーション管理部は、アプリケーションソフトウェアを起動する際に、前記ハッシュ生成部により起動するアプリケーションソフトウェアの実行ファイルのハッシュを生成し、
　既に保持された実行ファイルのハッシュと、生成された実行ファイルのハッシュとを比較し、一致しないときには、当該アプリケーションを起動しないことを特徴とする情報処理装置。
　前記アプリケーション管理部は、アプリケーションソフトウェアの実行ファイルが変更された場合に、保持する前記実行ファイルのハッシュを更新することを特徴とする請求項１の情報処理装置。
　前記アプリケーションソフトウェアは、実行のための設定情報を記憶する設定ファイルを保持し、
　前記アプリケーション管理部は、前記ハッシュ生成部により生成された前記設定ファイルのハッシュを保持し、
　前記アプリケーション管理部は、アプリケーションソフトウェアの設定ファイルが変更された場合に、保持する前記設定ファイルのハッシュを更新することを特徴とする請求項１の情報処理装置。
　前記アプリケーションソフトウェアは、さらに、デフォルトの設定情報を記憶するデフォルト設定ファイルを保持し、
　前記アプリケーション管理部は、アプリケーションソフトウェアを起動する際に、前記ハッシュ生成部により、起動するアプリケーションソフトウェアの設定ファイルのハッシュを生成し、
　既に保持された設定ファイルのハッシュと、生成された設定ファイルのハッシュとを比較し、一致しないときには、前記ハッシュ生成部により前記デフォルト設定ファイルのハッシュを生成し、
　前記アプリケーションソフトウェアの保持する設定ファイルの情報を前記デフォルト設定ファイルの情報により上書きし、
　生成した前記デフォルト設定ファイルのハッシュを、前記アプリケーションソフトウェアの設定ファイルのハッシュとして保持することを特徴とする請求項１記載の情報処理装置。
　実行ファイルによりアプリケーションソフトウェアの機能を実行する情報処理装置と、前記情報処理装置とネットワークにより接続されたデータ配信サーバとを有する情報処理システムであって、
　前記データ配信サーバは、前記情報処理装置のアプリケーションソフトウェアの実行ファイルを保持し、
　前記情報処理装置は、
　アプリケーションソフトウェアの改ざんを検知し、アプリケーションソフトウェアを起動するアプリケーション管理部と、
　ファイルに対するハッシュを生成するハッシュ生成部とを備え、
　前記アプリケーション管理部は、前記ハッシュ生成部により生成された前記実行ファイルのハッシュを保持し、
　前記アプリケーション管理部は、アプリケーションソフトウェアを起動する際に、前記ハッシュ生成部により起動するアプリケーションソフトウェアの実行ファイルのハッシュを生成し、
　既に保持された実行ファイルのハッシュと、生成された実行ファイルのハッシュとを比較し、一致しないときには、前記データ配信サーバに、当該アプリケーションの実行ファイルの取得を要求し、
　前記データ配信サーバは、要求されたアプリケーションソフトウェアの実行ファイルを、前記情報処理装置に送信し、
　前記アプリケーション管理部は、受信したアプリケーションソフトウェアの実行ファイルを新たなアプリケーションソフトウェアの実行ファイルとして登録することを特徴とする情報処理システム。
　前記アプリケーションソフトウェアは、実行のための設定情報を記憶する設定ファイルを保持し、
　前記アプリケーション管理部は、前記ハッシュ生成部により生成された前記設定ファイルのハッシュを保持し、
　前記アプリケーション管理部は、アプリケーションソフトウェアの設定ファイルが変更された場合に、保持する前記設定ファイルのハッシュを更新し、
　前記アプリケーション管理部は、アプリケーションソフトウェアを起動する際に、前記ハッシュ生成部により起動するアプリケーションソフトウェアの設定ファイルのハッシュを生成し、
　既に保持された設定ファイルのハッシュと、生成された設定ファイルのハッシュとを比較し、一致しないときには、前記データ配信サーバに、当該アプリケーションの設定ファイルの取得を要求し、
　前記データ配信サーバは、要求されたアプリケーションソフトウェアの設定ファイルを、前記情報処理装置に送信し、
　前記アプリケーション管理部は、受信したアプリケーションソフトウェアの設定ファイルを新たなアプリケーションソフトウェアの設定ファイルとして登録することを特徴とする情報処理システム。
　さらに、前記データ配信サーバは、前記アプリケーションソフトウェアの設定ファイルのハッシュと実行ファイルのハッシュに関する情報を保持し、
　前記アプリケーション管理部は、前記アプリケーションソフトウェアの検証をする際に、前記ハッシュ生成部により、前記アプリケーション管理部が保持する前記設定ファイルのハッシュと前記実行ファイルのハッシュを合成した全体ハッシュを生成し、前記全体ハッシュを付与したファイル取得要求を前記データ配信サーバにより送信し、
　前記データ配信サーバは、前記ファイル取得要求に付与された全体ハッシュと前記アプリケーションソフトウェアの設定ファイルのハッシュと実行ファイルのハッシュに関する情報を比較して、前記全体ハッシュを検証し、その検証結果に基づいて、前記アプリケーションソフトウェアに関連付けられたファイルを送信することを特徴とする請求項３記載の情報処理システム。
　前記全体ハッシュは、前記情報処理装置にインストールされた全てのアプリケーションソフトウェアの設定ファイルのハッシュと実行ファイルのハッシュを合成したものであることを特徴とする請求項７記載の情報処理システム。
　アプリケーションソフトウェアの機能を実行する情報処理装置のファイル処理方法であって、
　前記情報処理装置は、
　アプリケーションソフトウェアの改ざんを検知し、アプリケーションソフトウェアを起動するアプリケーション管理部と、
　ファイルに対するハッシュを生成するハッシュ生成部とを備え、
　前記アプリケーションソフトウェアは、実行のための設定情報を記憶する設定ファイルと、デフォルトの設定情報を記憶するデフォルト設定ファイルと、アプリケーションソフトウェアの実行のための実行ファイルとを保持し、
　前記アプリケーション管理部が、前記ハッシュ生成部により生成された前記実行ファイルのハッシュと前記設定ファイルのハッシュとを保持するステップと、
　前記アプリケーション管理部が、アプリケーションソフトウェアの実行ファイルが変更された場合に、保持する前記実行ファイルのハッシュを更新するステップと、
　前記アプリケーション管理部が、アプリケーションソフトウェアの設定ファイルが変更された場合に、保持する前記設定ファイルのハッシュを更新するステップと、
　前記アプリケーション管理部が、アプリケーションソフトウェアを起動する際に、前記ハッシュ生成部により起動するアプリケーションソフトウェアの実行ファイルのハッシュを生成し、既に保持された実行ファイルのハッシュと、生成された実行ファイルのハッシュとを比較し、一致しないときには、当該アプリケーションを起動しないステップと、
　前記アプリケーション管理部が、アプリケーションソフトウェアを起動する際に、前記ハッシュ生成部により、起動するアプリケーションソフトウェアの設定ファイルのハッシュを生成し、既に保持された設定ファイルのハッシュと、生成された設定ファイルのハッシュとを比較し、一致しないときには、前記ハッシュ生成部により前記デフォルト設定ファイルのハッシュを生成するステップと、
　前記アプリケーションソフトウェアの保持する設定ファイルの情報を前記デフォルト設定ファイルの情報により上書きするステップと、
　生成した前記デフォルト設定ファイルのハッシュを、前記アプリケーションソフトウェアの設定ファイルのハッシュとして保持するステップとを有することを特徴とする情報処理装置のファイル処理方法。