WO2023073821A1

WO2023073821A1 - バックドア検知装置、バックドア検知方法、及び記録媒体

Info

Publication number: WO2023073821A1
Application number: PCT/JP2021/039604
Authority: WO
Inventors: 講平鑪
Original assignee: 日本電気株式会社
Priority date: 2021-10-27
Filing date: 2021-10-27
Publication date: 2023-05-04

Abstract

本開示のバックドア検知装置は、ファームウェアのプログラムコードから関数フローパターンを抽出するパターン抽出手段と、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得する頻度情報取得手段と、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行う判定手段と、判定手段による判定の結果を示す情報を出力する出力手段と、を備える。

Description

バックドア検知装置、バックドア検知方法、及び記録媒体

　本開示は、バックドア検知装置、バックドア検知方法、及び記録媒体に関する。

　外部からデバイスを調達した際におけるサプライチェーン・リスク対策の一つとして、バックドア等のファームウェア内の不正機能の検知するための技術がある。

　例えば、特許文献１には、ソフトウェア内での機密データの伝搬状況を解析し、バックドアであると推定されるソースコードを特定するバックドア検知装置が開示されている。

国際公開第２０２１／０２８９８９号

　しかしながら、バックドアを利用した不正アクセスでは、攻撃者だけが知る情報をトリガとして、システムに重大な影響を与える関数フローを実行する場合が多い。上述した特許文献１に記載された発明によりソフトウェアを解析しても、どの部分にバックドアが含まれるかの判断は難しい。

　本開示の目的の一例は、複雑な解析をせずにバックドアの検知が可能なバックドア検知装置を提供することにある。

　本開示の一態様におけるバックドア検知装置は、ファームウェアのプログラムコードから関数フローパターンを抽出するパターン抽出手段と、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得する頻度情報取得手段と、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行うバックドア判定手段と、バックドア判定手段による判定の結果を示す情報を出力する出力手段と、を備える。

　本開示の一態様におけるバックドア検知方法は、ファームウェアのプログラムコードから関数フローパターンを抽出し、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得し、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行い、判定の結果を示す情報を出力する。

　本開示の一態様における記録媒体は、ファームウェアのプログラムコードから関数フローパターンを抽出し、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得し、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行い、判定の結果を示す情報を出力することをコンピュータに実行させるプログラムを格納する。

　本開示による効果の一例は、複雑な解析をせずにバックドアの検知が可能なバックドア検知装置を提供できる。

図１は、第一の実施形態におけるバックドア検知装置の構成を示すブロック図である。図２は、第一の実施形態におけるバックドア検知装置をコンピュータ装置とその周辺装置で実現したハードウェア構成を示す図である。図３は、第一の実施形態における制御フローを説明するための図である。図４は、第一の実施形態における関数フローパターンを説明するための図である。図５は、第一の実施形態における出現頻度情報を説明するためのテーブルである。図６は、第一の実施形態におけるバックドア検知の動作を示すフローチャートである。図７は、第一の実施形態の変形例における出現頻度情報を説明するためのテーブルである。図８は、第一の実施形態の変形例におけるバックドア検知の動作を示すフローチャートである。図９は、第二の実施形態におけるバックドア検知装置の構成を示すブロック図である。図１０は、第二の実施形態において特定された関数フローを説明するための図である。図１１は、第二の実施形態におけるバックドア検知の動作を示すフローチャートである。

　次に、実施形態について図面を参照して詳細に説明する。

　［第一の実施形態］
　第一の実施形態におけるバックドア検知装置１００は、例えば、外部の事業者から提供されたデバイスを自身のシステムに組み込む際、提供されたデバイスのファームウェア内にバックドア等の不正機能が含まれていないかを検知するための装置である。なお、バックドア検知装置１００には、例えば、外部入力に依存するような関数の情報が記憶装置５０５に予め格納されている。なお、検知対象のファームウェアは、コンパイル前のソースコードであってもよいし、コンパイル後のバイナリコードであってもよい。以下では、主に、入力されるファームウェアがバイナリコードであるものとして説明する。

　図１は、第一の実施形態におけるバックドア検知装置１００の構成を示すブロック図である。図１を参照すると、バックドア検知装置１００は、パターン抽出部１０１、頻度情報取得部１０２、バックドア判定部１０３及び出力部１０４を備える。以下、本実施形態の必須構成であるバックドア検知装置１００について詳しく説明する。

　図２は、本開示の第一の実施形態におけるバックドア検知装置１００を、プロセッサを含むコンピュータ装置５００で実現したハードウェア構成の一例を示す図である。図２に示されるように、バックドア検知装置１００は、ＣＰＵ(Central Processing Unit)５０１、ＲＯＭ（Read　Only　Memory）５０２、ＲＡＭ（Random　Access　Memory）５０３等のメモリ、プログラム５０４を格納するハードディスク等の記憶装置５０５、ネットワーク接続用の通信Ｉ／Ｆ（Interface）５０８、データの入出力を行う入出力インターフェース５１１を含む。第一の実施形態において、パターン抽出部１０１が取得するファームウェアのプログラムコードは、入出力インターフェース５１１を介してバックドア検知装置１００に入力される。

　ＣＰＵ５０１は、オペレーティングシステムを動作させて本発明の第一の実施の形態に係るバックドア検知装置１００の全体を制御する。また、ＣＰＵ５０１は、例えばドライブ装置５０７などに装着された記録媒体５０６からメモリにプログラムやデータを読み出す。また、ＣＰＵ５０１は、第一の実施の形態におけるパターン抽出部１０１、頻度情報取得部１０２、バックドア判定部１０３、出力部１０４及びこれらの一部として機能し、プログラムに基づいて後述する図６に示すフローチャートにおける処理または命令を実行する。

　記録媒体５０６は、例えば光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク、または半導体メモリ等である。記憶装置の一部の記録媒体は、不揮発性記憶装置であり、そこにプログラムを記録する。また、プログラムは、通信網に接続されている図示しない外部コンピュータからダウンロードされてもよい。

　入力装置５０９は、例えば、マウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力装置５０９は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネルでもよい。出力装置５１０は、例えばディスプレイで実現され、出力を確認するために用いられる。

　以上のように、図１に示す第一の実施形態は、図２に示されるコンピュータ・ハードウェアによって実現される。ただし、図１のバックドア検知装置１００が備える各部の実現手段は、以上説明した構成に限定されない。またバックドア検知装置１００は、物理的に結合した一つの装置により実現されてもよいし、物理的に分離した二つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。たとえば、入力装置５０９及び出力装置５１０は、コンピュータ装置５００とネットワークを経由して接続されていてもよい。また、図１に示す第一の実施形態におけるバックドア検知装置１００は、クラウドコンピューティング等で構成することもできる。

　図１において、パターン抽出部１０１は、ファームウェアのプログラムコードから関数フローパターンを抽出する手段である。ファームウェアとは、例えば、外部の事業者から提供されたデバイスを制御するためのソフトウェアである。関数フローパターンとは、ファームウェアで実行される関数フローの類型である。パターン抽出部１０１は、デバイスから検知対象のファームウェアのバイナリコードを取得し、取得したコードに対して逆コンパイルを行ってプログラムコードを取得する。この際、パターン抽出部１０１は、例えば、外部入力(関数)に依存する関数を含むコードブロックのみを取得する。逆コンパイルは、従来の逆コンパイルを行うソフトウェア等によって行うことができる。

　図３は、第一の実施形態における制御フローを説明するための図である。図４は、第一の実施形態における関数フローパターンを説明するための図である。図３に示すように、パターン抽出部１０１は、プログラム解析ツール等の既存の方法により、プログラムの実行パスを示した制御フローを可視化する。次いで、図４に示すように、制御フローからファームウェアにおいて実行される関数フローパターンを抽出する。図４の例では、関数フローパターンＣＦ♯1「ｆｕｎｃ．Ａ→ｆｕｎｃ．B→ｆｕｎｃ．D」、関数フローパターンＣＦ♯２「ｆｕｎｃ．Ａ→ｆｕｎｃ．B→ｆｕｎｃ．E」及び関数フローパターンＣＦ♯ｎ「ｆｕｎｃ．Ａ→ｆｕｎｃ．Ｃ→ｆｕｎｃ．Ｆ」が抽出されている。パターン抽出部１０１は、抽出した関数フローパターンを頻度情報取得部１０２に出力する。

　頻度情報取得部１０２は、パターン抽出部１０１によって抽出された関数フローパターンの出現頻度情報を取得する手段である。頻度情報取得部１０２は、例えば、ファームウェアを実行し、観測された関数フローパターンの出現頻度をカウントすることで出現頻度情報を取得する。本実施形態において、関数フローパターンの出現頻度情報をＦ（ＣＦ♯）（♯は、１からｎまでの整数であり、ｎは、関数フローパターンの種類の数である。）で示す。図５は、第一の実施形態における出現頻度情報を説明するためのテーブルである。図５には、パターン抽出部１０１によって抽出された関数フローパターン毎の出現頻度が表示されている。頻度情報取得部１０２は、このようしてカウントした各関数フローパターンの出現頻度情報をバックドア判定部１０３に出力する。

　バックドア判定部１０３は、頻度情報取得部１０２により取得された出現頻度情報に基づいてバックドアか否かの判定を行う手段である。バックドア判定部１０３は、頻度情報取得部１０２から各関数フローパターンの出現頻度情報が入力されると、所定の閾値より小さい出現頻度の関数フローパターンを特定する。閾値とは、予め決められた出現頻度回数であり、例えば、単位時間当たり２回である。閾値に関する情報は、例えば記憶装置５０５に格納されている。バックドア判定部１０３は、図５の例では、関数フローパターンＣＦｎの出現頻度が１回と、閾値である２回よりも小さい。よって、バックドア判定部１０３は、関数フローパターンＣＦｎをバックドアが含まれる関数フローパターンと特定する。また、バックドア判定部１０３は、ＣＦｎ以外の関数フローパターンをバックドアが含まれる関数フローパターンではないと判定する。バックドア判定部１０３は、このようにして判定した判定結果を出力部１０４に出力する。

　出力部１０４は、バックドア判定部１０３によって評価された結果を出力する手段である。出力部１０４は、バックドア判定部１０３でバックドアが含まれると判定されると、アラート信号を出力する。出力部１０４は、バックドア検知装置１００の出力装置５１０によりアラート信号を表示してもよいし音声で提示してもよい。また、出力部１０４は、上述のアラート共に、バックドアが含まれると判定される根拠となった関数フローパターンを出力しても構わない。

　以上のように構成されたバックドア検知装置１００の動作について、図６のフローチャートを参照して説明する。

　図６は、第一の実施形態におけるバックドア検知装置１００の動作の概要を示すフローチャートである。尚、このフローチャートによる処理は、前述したプロセッサによるプログラム制御に基づいて、実行されてもよい。

　図６に示すように、まずパターン抽出部１０１は、ファームウェアのプログラムコードから関数フローパターンを抽出する（ステップＳ１０１）。次に、頻度情報取得部１０２は、抽出された関数フローパターンの出現頻度を示す出現頻度情報Ｆ（ＣＦ＃）を取得する（ステップＳ１０２）。次に、バックドア判定部１０３は、取得された出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがあれば、バックドアが含まれると判定する（ステップＳ１０３；ＹＥＳ）。一方、バックドア判定部１０３は、取得された出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがなければ、バックドアが存在しないと判定し（ステップＳ１０３；ＮＯ）、一連のフローを繰り返す。最後に、出力部１０４は、バックドア判定部１０３によってバックドアが含まれると判定されると、アラート信号を出力する（ステップＳ１０４）。以上で、バックドア検知装置１００は、バックドア検知の動作を終了する。

　本実施形態におけるバックドア検知装置１００は、バックドア判定部１０３は、取得された出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがあれば、実行頻度の低いパスに遷移したとしてバックドアが含まれると判定する。これにより、複雑な解析せずにバックドアの検知が可能である。また、本実施形態では、バックドアの検知を行う際にソースコードがわからないであっても、ファームウェアを逆コンパイルするため、バックドア検知が可能である。

［第一の実施形態の変形例］
　次に、本開示の第一の実施形態の変形例について図面を参照して詳細に説明する。本開示の第一の実施形態の変形例では、頻度情報取得部１０２が、現在抽出された関数フローパターンの出現頻度を示す出現頻度情報Ｆｎｅｗ（ＣＦ＃）及び過去の所定の時点において抽出された出現頻度情報Ｆｏｌｄ（ＣＦ＃）を取得する。次いで、バックドア判定部１０３が、現在抽出された関数フローパターンのうち、出現頻度が閾値（Ｔ１）より小さく、且つ、現在抽出された関数フローパターンの出現頻度が過去の所定の時点における出現頻度と比較して、閾値（Ｔ２）より大きい（Ｆｎｅｗ－Ｆｏｌｄ＞Ｔ２）関数フローパターンがある場合、バックドアがあると判定する。なお、現在抽出された関数フローパターンとは、現在ファームウェアを検証している際に抽出された関数フローパターンである。また、過去に抽出された関数フローパターンとは、例えば、過去に同じファームウェアを検証した際に抽出された関数フローパターンである。過去の所定の時点において抽出された関数フローパターンの出現頻度情報Ｆｏｌｄ（ＣＦ＃）は、抽出された際に記憶装置５０５に記憶されている。

　図７は、第一の実施形態の変形例における出現頻度情報を説明するためのテーブルである。図７に示すように、現在抽出された出現頻度情報及び過去に抽出された出現頻度情報が示されている。図７の例では、閾値Ｔ１が４及び閾値Ｔ２が１であるとする。図７の例では、ＣＦｎ－１では、過去の抽出時の出現頻度が１であるのに対し、現在の抽出時の出現頻度が３となっている。一方、ＣＦｎでは、過去の抽出時の出現頻度が１であるのに対し、現在の抽出時の出現頻度も１となっている。いずれの関数フローパターンも、出現頻度情報Ｆｎｅｗ（ＣＦ＃）は閾値Ｔ１より小さいが、ＣＦｎ－１のみが、Ｆｎｅｗ－Ｆｏｌｄの値が閾値Ｔ２よりも大きい。よって、バックドア判定部１０３は、ＣＦｎ－１のみをバックドアが含まれると判定し、ＣＦｎをバックドアが含まれると判定しない。

　図８は、第一の実施形態の変形例おけるバックドア検知装置１００の動作の概要を示すフローチャートである。第一の実施形態の変形例におけるステップＳ１１１～Ｓ１１３は、第一の実施形態におけるステップＳ１０１～Ｓ１０２におけるフローと同様のため、説明を割愛する。

　図８に示すように、次に、バックドア判定部１０３は、頻度情報取得部１０２から出現頻度情報が入力されると、出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがあれば、次のフローに進む（ステップＳ１１３；ＹＥＳ）。一方、バックドア判定部１０３は、入力された出現頻度情報のうち、出現頻度が閾値（Ｔ１）より小さい関数フローパターンがなければ、バックドアが存在しないと判定し（ステップＳ１１３；ＮＯ）、一連のフローを繰り返す。次に、バックドア判定部１０３は、ステップＳ１１３における出現頻度が閾値より小さい関数フローパターンについて、出現頻度が過去の所定の時点における出現頻度と比較して、閾値（Ｔ２）より大きい（Ｆｎｅｗ－Ｆｏｌｄ＞Ｔ２）場合、バックドアがあると判定する（ステップＳ１１４；ＹＥＳ）。一方、ステップＳ１１３における出現頻度が閾値より小さい関数フローパターンについて、出現頻度が過去の所定の時点における出現頻度と比較して、閾値（Ｔ２）より大きくない場合、バックドアがないと判定し（ステップＳ１１４；ＮＯ）、一連のフローを繰り返す。最後に、出力部１０４は、バックドア判定部１０３によってバックドアが含まれると判定されると、アラート信号を出力する（ステップＳ１１５）。以上で、バックドア検知装置１００は、バックドア検知の動作を終了する。

　本実施形態におけるバックドア検知装置１００は、バックドア判定部１０３が、現在抽出された関数フローパターンのうち、出現頻度が閾値（Ｔ１）より小さく、且つ、現在抽出された関数フローパターンの出現頻度が過去の所定の時点における出現頻度と比較して、閾値（Ｔ２）より大きい（Ｆｎｅｗ－Ｆｏｌｄ＞Ｔ２）関数フローパターンがある場合、バックドアがあると判定する。これにより、出現頻度情報の推移に基づいてバックドアがあると判定するので、より精度の高いバックドアの検知が可能である。

［第二の実施形態］
　次に、本開示の第二の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。本開示の各実施形態における各構成要素は、図２に示すコンピュータ装置と同様に、その機能をハードウェア的に実現することはもちろんプログラム制御に基づくコンピュータ装置、ファームウェアで実現することができる。

　図９は、本開示の第二の実施形態に係るバックドア検知装置１１０の構成を示すブロック図である。図９を参照して、第一の実施形態に係るバックドア検知装置１００と異なる部分を中心に、第二の実施形態に係るバックドア検知装置１１０を説明する。第二の実施形態に係るバックドア検知装置１１０は、パターン抽出部１１１、頻度情報取得部１１２、バックドア判定部１１３、バックドア特定部１１４、出力部１１５及び制御部１１６を備える。本実施形態におけるパターン抽出部１１１、頻度情報取得部１１２、バックドア判定部１１３の構成及び機能は、第一の実施形態のパターン抽出部１０１、頻度情報取得部１０２、バックドア判定部１０３と同様のため、ここでは割愛する。

　バックドア特定部１１４は、バックドア判定部１１３によりバックドアが含まれると判定されると、バックドアが含まれると判定された関数フローを特定する。バックドア特定部１１４は、バックドアが含まれると判定された関数フローパターンとバックドアが含まれると判定されなかった関数フローパターンを対比し、バックドアが含まれると判定された関数フローパターンのうち、バックドアが含まれると判定されなかった関数フローパターンに存在しない関数フローを特定する。

　図１０は、第二の実施形態において特定された関数フローを説明するための図である。
図１０において、例えば、バックドア判定部１１３により関数フローパターン「ｆｕｎｃ．Ａ→ｆｕｎｃ．Ｃ→ｆｕｎｃ．Ｆ」にバックドアが含まれると判定され、別の関数フローパターン「ｆｕｎｃ．Ａ→ｆｕｎｃ．Ｂ→ｆｕｎｃ．Ｄ」及び「ｆｕｎｃ．Ａ→ｆｕｎｃ．Ｂ→ｆｕｎｃ．Ｅ」にバックドアが含まれると判定されなかったとする。図１０の例では、関数「ｆｕｎｃ．Ａ」は、共通するが、それ以外の関数フロー「ｆｕｎｃ．Ｃ→ｆｕｎｃ．Ｆ」が異なっている。よって、バックドア特定部１１４は、バックドアが含まれると判定されなかった関数フローパターンに存在しない関数フロー「ｆｕｎｃ．Ｃ→ｆｕｎｃ．Ｆ」にバックドアが含まれると特定する。バックドア特定部１１４は、特定した関数フローの情報を出力部１１５及び制御部１１６に出力する。

　出力部１１５は、バックドア特定部１１４により特定された関数フローを出力装置５１０等に出力する。

　制御部１１６は、バックドア特定部１１４により特定された関数フローを実行させないように制御する。制御部１１６は、バックドア特定部１１４からバックドアと特定された関数フローの情報が入力されると、例えば、特定された関数フローを実行させないようにプログラムコードを更新する。

　以上のように構成された情報処理システム１１の動作について、図１１のフローチャートを参照して説明する。

　図１１は、第二の実施形態におけるバックドア検知装置１１０の動作の概要を示すフローチャートである。尚、このフローチャートによる処理は、前述したプロセッサによるプログラム制御に基づいて、実行されてもよい。なお、第二の実施形態におけるステップＳ２０１～Ｓ２０３は、第一の実施形態におけるステップＳ１０１～Ｓ１０３におけるフローと同様のため、説明を割愛する。

　図１１に示すように、バックドア判定部１１３により、バックドアが含まれると判定されると（ステップＳ２０３；ＹＥＳ）、バックドア特定部１１４はバックドアが含まれると判定された関数フローを特定する（ステップＳ２０４）。次いで、出力部１１５は、特定された関数フローの情報を出力する（ステップＳ２０５）。最後に、制御部１１６は、バックドア特定部１１４により特定された関数フローを実行させないように制御する（ステップＳ２０６）。以上で、バックドア検知装置１１０は、バックドア検知の動作を終了する。

　本開示の第二の実施形態では、出力部１１５がバックドア特定部１１４により特定された関数フローの情報を出力装置５１０等に出力する。これにより、ファームウェアの解析者がバックドアの組み込まれている箇所をより詳細に解析することができる。また、本開示の第二の実施形態では、制御部１１６は、バックドア特定部１１４により特定された関数フローを実行させないように制御する。これにより、バックドアによる被害が広がらないようすることができる。

　以上、各実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しえる様々な変更をすることができる。

　例えば、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。

　また、本実施形態において示した閾値Ｔ１及び閾値Ｔ２は、例示であり、仕組まれているバックドアの種類に応じて、閾値を変化させてもよい。これにより、バックドアの検知の精度を高めることができる。

　１００、１１０　　バックドア検知装置
　１０１、１１１　　パターン抽出部
　１０２、１１２　　頻度情報取得部
　１０３、１１３　　バックドア判定部
　１０４、１１５　　出力部
　１１４　　　　バックドア特定部
　１１６　　　　制御部

Claims

　ファームウェアのプログラムコードから関数フローパターンを抽出するパターン抽出手段と、
　前記抽出された前記関数フローパターンの出現頻度を示す出現頻度情報を取得する頻度情報取得手段と、
　前記取得された前記出現頻度情報に基づいてバックドアが含まれるか否かの判定を行うバックドア判定手段と、
　前記バックドア判定手段による判定の結果を示す情報を出力する出力手段と、を備える、バックドア検知装置。
　前記パターン抽出手段は、バイナリコードを逆コンパイルして得られたプログラムコードから前記関数フローパターンを抽出する、請求項１に記載のバックドア検知装置。
　前記バックドア判定手段は、前記抽出された関数フローパターンのうち、前記出現頻度が所定の閾値より小さい関数フローパターンがある場合、バックドアが含まれると判定する、請求項１又は２に記載のバックドア検知装置。
　前記頻度情報取得手段は、過去の所定の時点における出現頻度情報を更に取得し、
　前記バックドア判定手段は、前記抽出された関数フローパターンのうち、前記出現頻度が閾値より小さく、且つ、当該出現頻度が過去の所定の時点における出現頻度と比較して、閾値より大きい関数フローパターンがある場合、バックドアがあると判定する、請求項１又は２に記載のバックドア検知装置。
　前記バックドアが含まれると判定された関数フローを特定する、バックドア特定手段を更に備え、
　前記出力手段は、前記バックドアが含まれると判定された関数フローの情報を更に出力する、請求項１～４のいずれか一項に記載のバックドア検知装置。
　前記特定された前記関数フローを実行させないように制御する、制御部を更に備える、請求項５に記載のバックドア検知装置。
　ファームウェアのプログラムコードから関数フローパターンを抽出し、
　前記抽出された前記関数フローパターンの出現頻度を示す出現頻度情報を取得し、
　前記取得された前記出現頻度情報に基づいてバックドアが含まれるか否かを判定し、
　前記判定の結果を示す情報を出力する、バックドア検知方法。
　ファームウェアのプログラムコードから関数フローパターンを抽出し、
　前記抽出された前記関数フローパターンの出現頻度を示す出現頻度情報を取得し、
　前記取得された前記出現頻度情報に基づいてバックドアが含まれるか否かを判定し、
　前記判定の結果を示す情報を出力する、ことをコンピュータに実行させるプログラムを格納する記録媒体。