WO2023135653A1

WO2023135653A1 - 検知装置、検知方法および検知プログラム

Info

Publication number: WO2023135653A1
Application number: PCT/JP2022/000592
Authority: WO
Inventors: 伸浩千葉; 浩義瀧口; 高明小山; 良彰中嶋
Original assignee: 日本電信電話株式会社
Priority date: 2022-01-11
Filing date: 2022-01-11
Publication date: 2023-07-20

Abstract

検知装置（１０）は、改ざん検知対象のファイルの位置情報およびファイルサイズを取得する。そして、検知装置（１０）は、取得した位置情報またはファイルサイズの変化を判定し、位置情報またはファイルサイズの変化があった場合には、改ざん検知対象のファイルの改ざんを検知する。

Description

検知装置、検知方法および検知プログラム

　本発明は、検知装置、検知方法および検知プログラムに関する。

　従来、改ざんを検知する手法として、ファイル内容のダイジェスト値を用いた方式が知られている。例えば、機器内のファイルの内容の改ざん有無を確認する場合には、事前に機器内の各ファイルパスと、ファイル内容のダイジェスト値の組み合わせを示すリストを判定基準として定義して置き、その後、機器内の改ざん有無を確認する際に、この判定基準と、機器内のファイル内容のダイジェスト値とを順次比較し、差分の有無により、改ざんの有無を確認する仕組みがある。

　また、改ざんを検知する手法として、ファイル内容のほか、ファイルの属性情報を用いた方式も知られている、例えば、ファイルの属性情報の変化をもとに、ファイルの改ざんを検出するソフトウェアも存在する。

特開２０１９－００８３７６号公報

ゼロから始めるLinuxセキュリティ（8）　Tripwireによるホスト型IDSの構築、[online]、［2022年1月5日検索］、インターネット＜https://atmarkit.itmedia.co.jp/ait/articles/0203/19/news002_2.html＞

　しかしながら、従来の技術では、正確かつ迅速にファイルの改ざんを検知することができない場合があるという課題があった。例えば、従来のファイル内容のダイジェスト値を用いた方式では、改ざん有無を確認する際、機器内のファイル内容のダイジェスト値を生成するには、一度ファイル内容を全て読み込まなければならず、機器内にサイズの大きいファイルや、大量のファイルがある場合、ファイル内容を全て読み取るには時間がかかり、機器の改ざんに素早く気付くことができなかった。

　また、従来のファイルの属性情報を用いた方式では、ファイル内容を改ざんしても、属性情報が変化しないパターン（同じファイルサイズのままで、内容を書き換えるパターン、ファイル内容変更後、変更前のタイムスタンプに改ざんするパターン等）があり、このようなファイル改ざんを防ぐことが困難であった。

　本発明は、上記に鑑みてなされたものであって、正確かつ迅速にファイルの改ざんを検知することができる検知装置、検知方法および検知プログラムを提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明の検知装置は、改ざん検知対象のファイルの位置情報およびファイルサイズを取得する取得部と、前記取得部によって取得された前記位置情報または前記ファイルサイズの変化を判定し、前記位置情報または前記ファイルサイズの変化があった場合には、前記改ざん検知対象のファイルの改ざんを検知する検知部とを有することを特徴とする。

　本発明によれば、正確かつ迅速にファイルの改ざんを検知することが可能となる。

図１は、本実施形態の検知装置の構成を例示するブロック図である。図２は、判断基準記憶部に記憶された判断基準の一例を示す図である。図３は、改ざん検知に用いる情報について説明する図である。図４は、ファイルの格納領域の位置情報について説明する図である。図５は、本実施形態の検知装置の検知時間と従来の検知時間との比較について説明する図である。図６は、判断基準のその他の一例について説明する図である。図７は、事前処理の処理手順の一例を示すフローチャートである。図８は、検知処理の処理手順の一例を示すフローチャートである。図９は、プログラムを実行するコンピュータを示す図である。

　以下に、本願に係る検知装置、検知方法および検知プログラムの実施の形態を図面に基づいて詳細に説明する。また、本発明は、以下に説明する実施の形態により限定されるものではない。

［検知装置の構成］
　図１は、本実施形態の検知装置の構成を例示するブロック図である。図１に例示するように、本実施形態の検知装置１０は、通信処理部１１、入力部１２、出力部１３、制御部１４、および記憶部１５を有する。

　通信処理部１１は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介して、改ざん検知対象のファイルを保持する対象機器（図示せず）と制御部１４との通信を制御する。例えば、通信処理部１１は、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、位置情報のダイジェスト値、ファイルの属性情報の組を対象機器から受信する。

　入力部１２は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１４に対して処理開始などの各種指示情報を入力する。出力部１３は、液晶ディスプレイなどの表示装置等によって実現される。例えば、出力部１３は、改ざん検知の結果を出力する。

　記憶部１５は、制御部１４による各種処理に必要なデータおよびプログラムを格納し、判定基準記憶部１５ａを有する。例えば、記憶部１５は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　判定基準記憶部１５ａは、改ざんを検知するための予め作成された判定基準を記憶する。例えば、判定基準記憶部１５ａは、図２に例示するように、判定基準として、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、ファイルの位置情報のダイジェスト値およびファイルの属性情報を記憶する。図２は、判断基準記憶部に記憶された判断基準の一例を示す図である。

　制御部１４は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部１４は、取得部１４ａ、格納部１４ｂおよび検知部１４ｃを有する。ここで、制御部１４は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　取得部１４ａは、改ざん検知対象のファイルの位置情報およびファイルサイズを取得する。取得部１４ａは、ファイルの位置情報に代えてファイルの位置情報のダイジェスト値を取得してもよいし、ファイルの位置情報とともに、ファイルの位置情報のダイジェスト値を取得するようにしてもよい。例えば、取得部１４ａは、改ざん検知対象のファイルの位置情報のダイジェスト値およびファイルサイズを取得する。

　取得部１４ａは、例えば、取得するタイミングとして、判定基準が生成される際と、改ざん検知が行われる際に、改ざん検知対象のファイルの位置情報およびファイルサイズを取得する。

　例えば、取得部１４ａは、判定基準が生成される際に、改ざん検知対象のファイルについて、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、位置情報のダイジェスト値、ファイルの属性情報の組を、対象機器から取得する。

　また、取得部１４ａは、改ざん検知が行われる際に、改ざん検知対象のファイルの位置情報およびファイルサイズを対象機器から取得する。なお、取得部１４ａは、改ざん検知が行われる際に、改ざん検知対象のファイルについて、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、位置情報のダイジェスト値、ファイルの属性情報の組を、対象機器から取得してもよい。

　格納部１４ｂは、取得部１４ａによって取得された位置情報またはファイルサイズを含む判定基準を生成し、判定基準記憶部１５ａに格納する。例えば、格納部１４ｂは、判定基準として、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、位置情報のダイジェスト値、ファイルの属性情報の組を生成し、判定基準記憶部１５ａに格納する。

　検知部１４ｃは、取得部１４ａによって取得された位置情報またはファイルサイズの変化を判定し、位置情報またはファイルサイズの変化があった場合には、改ざん検知対象のファイルの改ざんを検知する。また、検知部１４ｃは、取得部１４ａによって取得された位置情報のダイジェスト値またはファイルサイズの変化を判定し、位置情報のダイジェスト値またはファイルサイズの変化があった場合には、改ざん検知対象のファイルの改ざんを検知してもよい。

　例えば、検知部１４ｃは、判定基準記憶部１５ａに記憶された判定基準に含まれる位置情報およびファイルサイズと、改ざん検知を行う際に取得された位置情報およびファイルサイズとを比較し、位置情報およびファイルサイズのうち、いずれかが一致しない場合には、位置情報またはファイルサイズの変化があったものとして、改ざん検知対象のファイルの改ざんを検知する。

　なお、検知部１４ｃは、さらにファイル内容のダイジェスト値を用いて、改ざんを検知してもよい。例えば、検知部１４ｃは、位置情報またはファイルサイズの変化があった場合に、ファイル内容のダイジェスト値に変化があったかをさらに判定し、ファイル内容のダイジェスト値に変化があった場合には、改ざん検知対象のファイルの改ざんを検知するようにしてもよい。より具体的に説明すると、例えば、検知部１４ｃは、対象機器のファイルの改ざん有無を確認する場合、判定基準内のファイルパスと、ファイルの位置情報（もしくは位置情報のダイジェスト値）、ファイルの属性情報と、機器内の各情報を比較し、不一致の箇所がないか、確認する。そして、検知部１４ｃは、不一致が無ければ、機器が改ざんされていないと判断し、確認を終了する。もし不一致の箇所があった場合は、検知部１４ｃは、そのファイルパスの判定基準内のファイル内容のダイジェスト値と、機器内の当該ファイルのダイジェスト値とを比較し、もし不一致であれば、当該ファイルの内容が改ざんされたと判断する。

　ここで、図３を用いて、改ざん検知に用いる情報について説明する。図３は、改ざん検知に用いる情報について説明する図である。図３に例示するように、ファイル内容改ざんの種類として、例えば、「上書き更新」、「追記」および「ファイル差し替え」がある。図３の例では、検知部１４ｃは、上書き更新の場合には、ファイル属性情報（i-node番号およびファイルサイズ）が変化しないため、ファイル属性情報だけではファイル内容の改ざんを検知することができないが、位置情報により、改ざんを検知することが可能となる。なお、検知部１４ｃは、追記の場合であって、わずかなサイズの追記の場合は、位置情報が変化せず、位置情報だけでは改ざんを検知できないが、ファイル属性情報のうち、ファイルサイズを組み合わせることで、改ざんを検知することが可能となる。

　このように、検知部１４ｃは、ファイル改ざんの検知手法として、ファイルシステム上のファイルの格納領域の位置情報と、ファイルサイズを組み合わせることで、ファイル内容が改ざんされたことを検知する。例えば、Linux（登録商標）のext2等のファイルシステムでは、記憶領域をBlockという単位に分けて管理を行っており、データBlock番号に該当する。なお、Windows（登録商標）のファイルシステムの場合、クラスタ番号に相当する。Block番号は、記憶媒体上の位置を示しており、ファイルに紐づく複数のBlock番号をたどることで、ファイル全体が読みだされる。つまり、Block番号は、ストレージ上のアドレスであり、ユーザから容易に変更することは困難である。

　ここで、図４を用いて、ファイルの格納領域の位置情報について説明する。図４は、ファイルの格納領域の位置情報について説明する図である。Blockは、ext系のファイルシステムで用いるデータを保存するための最小単位（FAT（File　Allocation　Table）だとクラスタに相当）である。図４に例示するように、１つのファイルは、複数のBlockで構成され、i-nodeのテーブルで管理される。また、例えば、ファイル内容が書き換えられた際は、別のブロックに内容が書き込まれ、ファイルとBlockの対応関係が更新される。

　このように、検知装置１０では、ファイルの属性情報と合わせて、ファイルの格納領域の位置情報（Block番号等）を用いてファイルの改ざんを検知するため、素早く、正確にファイルの改ざんを検知できる。また、検知装置１０は、図５に例示するように、検証環境で測定した結果によると、ファイル内容のダイジェスト値に比べ、位置情報（Block番号等）とファイル属性情報を取得したほうが１ファイル当たりの平均検知時間が大幅に短縮できる。つまり、位置情報やファイルの属性情報の取得は、ファイル内容のダイジェスト値の取得に比べて、非常に高速に取得することが可能であり、検知不能時間の短縮化を実現することが可能である。

　通常、機器内のファイルの内容の改ざん有無を確認するには、機器内のファイルの内容を順次読み取り、元の内容と比較し、変更されていないかを確認するが、特にサイズの大きいファイルや、大量のファイルがある場合、ファイル内容を全て読み取るのは、厳密に確認できるものの、時間がかかる。検知装置１０では、ファイルの内容に代えて、ファイルシステム上のファイルの格納領域の位置情報や、ファイルサイズを読み取り、元の位置情報やファイルサイズと比較し、変更されていないかを確認する。ここで位置情報やファイルサイズが変更されていたファイルについてのみ、ファイルの内容を読み取り、元の内容と比較する仕組みとすることで、ファイル内容を読み取る量や頻度を減らすことができ、機器の改ざんを素早く検出できるようになる。なお、ファイルの位置情報や属性情報は、ファイルそのもののサイズに比べて一般的に非常に小さく、取得するにもわずかな時間しかかからない。

　また、属性情報だけでは、ファイル内容を改ざんしても属性情報が変化しないパターンが存在するため、検知装置１０では、属性情報だけでなく、ファイルの格納領域の位置情報の情報を組み合わせて確認することで、ファイルが改ざんされたことを、より正しく検知することが可能となる。

　なお、判定基準の例は、図２に例示したものに限定されるものではない。例えば、図６に例示するように、ブロック番号のダイジェスト値（位置情報のダイジェスト値）があれば位置情報であるブロック番号は不要である。図６は、判断基準のその他の一例について説明する図である。

［検知装置の処理手順］
　次に、図７および図８を用いて、検知装置１０が実行する処理の処理手順の一例について説明する。図７は、事前処理の処理手順の一例を示すフローチャートである。図８は、検知処理の処理手順の一例を示すフローチャートである。

　まず、図７を用いて事前処理の処理手順について説明する。図７に例示するように、検知装置１０の取得部１４ａが、改ざん検知対象のファイルの位置情報およびファイルサイズを取得する（ステップＳ１０１）。例えば、取得部１４ａは、判定基準が生成される際に、改ざん検知対象のファイルについて、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、位置情報のダイジェスト値、ファイルの属性情報の組を、対象機器から取得する。

　そして、格納部１４ｂは、取得部１４ａによって取得された位置情報またはファイルサイズを含む判定基準を生成し（ステップＳ１０２）、判定基準記憶部１５ａに格納する（ステップＳ１０３）。例えば、格納部１４ｂは、判定基準として、ファイルパス、ファイル内容のダイジェスト値、ファイルの位置情報、位置情報のダイジェスト値、ファイルの属性情報の組を生成し、判定基準記憶部１５ａに格納する。

　次に、図８を用いて、検知処理の処理手順について説明する。図８に例示するように、取得部１４ａが、改ざん検知が行われる際に、改ざん検知対象のファイルの位置情報およびファイルサイズを取得する（ステップＳ２０１）。

　そして、検知部１４ｃは、改ざん検知を行う際に取得された位置情報およびファイルサイズと、判定基準記憶部１５ａに記憶された判定基準の位置情報およびファイルサイズとを比較する（ステップＳ２０２）。この結果、検知部１４ｃは、位置情報およびファイルサイズのうち、いずれも一致したか否かを判定する（ステップＳ２０３）。

　そして、検知部１４ｃは、位置情報およびファイルサイズのうち、いずれも一致した場合には（ステップＳ２０３肯定）、改ざんが無かったものとして、そのまま処理を終了する。また、検知部１４ｃは、位置情報およびファイルサイズのうち、いずれか一方または両方が一致しない場合には（ステップＳ２０３否定）、改ざん検知対象のファイルの改ざんを検知する（ステップＳ２０４）。

［実施の形態の効果］
　このように、実施形態に係る検知装置１０は、改ざん検知対象のファイルの位置情報およびファイルサイズを取得し、取得した位置情報またはファイルサイズの変化を判定し、位置情報またはファイルサイズの変化があった場合には、改ざん検知対象のファイルの改ざんを検知する。これにより、検知装置１０は、正確かつ迅速にファイルの改ざんを検知することが可能となる。

　つまり、検知装置１０は、ファイルサイズと合わせて、ファイルの格納領域の位置情報（Block番号等）を用いてファイルの改ざんを検知するため、素早く、正確にファイルの改ざんを検知することが可能である。

〔システム構成等〕
　上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

〔プログラム〕
　また、上記実施形態において説明した検知装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。

　図９は、プログラムを実行するコンピュータを示す図である。図９に例示するように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有し、これらの各部はバス１０８０によって接続される。

　メモリ１０１０は、図９に例示するように、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、図９に例示するように、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、図９に例示するように、ディスクドライブ１０４１に接続される。例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１０４１に挿入される。シリアルポートインタフェース１０５０は、図９に例示するように、例えば、マウス１０５１、キーボード１０５２に接続される。ビデオアダプタ１０６０は、図９に例示するように、例えばディスプレイ１０６１に接続される。

　ここで、図９に例示するように、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記のプログラムは、コンピュータ１０００によって実行される指令が記述されたプログラムモジュールとして、例えば、ハードディスクドライブ１０３１に記憶される。

　また、上記実施形態で説明した各種データは、プログラムデータとして、例えば、メモリ１０１０やハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出し、各種処理手順を実行する。

　なお、プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１０　検知装置
　１１　通信処理部
　１２　入力部
　１３　出力部
　１４　制御部
　１４ａ　取得部
　１４ｂ　格納部
　１４ｃ　検知部
　１５　記憶部
　１５ａ　判定基準記憶部

Claims

　改ざん検知対象のファイルの位置情報およびファイルサイズを取得する取得部と、
　前記取得部によって取得された前記位置情報または前記ファイルサイズの変化を判定し、前記位置情報または前記ファイルサイズの変化があった場合には、前記改ざん検知対象のファイルの改ざんを検知する検知部と
　を有することを特徴とする検知装置。
　前記取得部によって取得された前記位置情報または前記ファイルサイズを含む判定基準を生成し、記憶部に格納する格納部をさらに有し、
　前記取得部は、改ざん検知が行われる際に、改ざん検知対象のファイルの位置情報およびファイルサイズを取得し、
　前記検知部は、前記記憶部に記憶された前記判定基準に含まれる前記位置情報および前記ファイルサイズと、改ざん検知を行う際に取得された前記位置情報および前記ファイルサイズとを比較し、前記位置情報および前記ファイルサイズのうち、いずれかが一致しない場合には、前記位置情報または前記ファイルサイズの変化があったものとして、前記改ざん検知対象のファイルの改ざんを検知することを特徴とする請求項１に記載の検知装置。
　前記取得部は、改ざん検知対象のファイルの位置情報のダイジェスト値およびファイルサイズを取得し、
　前記検知部は、前記取得部によって取得された前記位置情報のダイジェスト値または前記ファイルサイズの変化を判定し、前記位置情報のダイジェスト値または前記ファイルサイズの変化があった場合には、前記改ざん検知対象のファイルの改ざんを検知することを特徴とする請求項１に記載の検知装置。
　前記検知部は、前記位置情報または前記ファイルサイズの変化があった場合に、ファイル内容のダイジェスト値に変化があったかをさらに判定し、ファイル内容のダイジェスト値に変化があった場合には、改ざん検知対象のファイルの改ざんを検知することを特徴とする請求項１に記載の検知装置。
　検知装置によって実行される検知方法であって、
　改ざん検知対象のファイルの位置情報およびファイルサイズを取得する取得工程と、
　前記取得工程によって取得された前記位置情報または前記ファイルサイズの変化を判定し、前記位置情報または前記ファイルサイズの変化があった場合には、前記改ざん検知対象のファイルの改ざんを検知する検知工程と
　を含むことを特徴とする検知方法。
　改ざん検知対象のファイルの位置情報およびファイルサイズを取得する取得ステップと、
　前記取得ステップによって取得された前記位置情報または前記ファイルサイズの変化を判定し、前記位置情報または前記ファイルサイズの変化があった場合には、前記改ざん検知対象のファイルの改ざんを検知する検知ステップと
　をコンピュータに実行させることを特徴とする検知プログラム。