特開2019-139617(P2019-139617A)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ アズビル株式会社の特許一覧
<>
  • 特開2019139617-不正検出装置および方法 図000003
  • 特開2019139617-不正検出装置および方法 図000004
  • 特開2019139617-不正検出装置および方法 図000005
  • 特開2019139617-不正検出装置および方法 図000006
  • 特開2019139617-不正検出装置および方法 図000007
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2019-139617(P2019-139617A)
(43)【公開日】2019年8月22日
(54)【発明の名称】不正検出装置および方法
(51)【国際特許分類】
   G06F 21/44 20130101AFI20190726BHJP
【FI】
   G06F21/44
【審査請求】未請求
【請求項の数】4
【出願形態】OL
【全頁数】8
(21)【出願番号】特願2018-23768(P2018-23768)
(22)【出願日】2018年2月14日
(71)【出願人】
【識別番号】000006666
【氏名又は名称】アズビル株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】太田 貴彦
(72)【発明者】
【氏名】小森谷 良明
(57)【要約】
【課題】不正なWebサイトがより容易に検知できるようにする。
【解決手段】端末121よりサーバ122に送信されたClient Helloに対してサーバ122から端末121に送信されたServer Certificateに含まれる証明書情報と、上記Client Helloに組み合わせて記憶部107に記憶されている証明書情報とを比較部104で比較し、比較の結果により判断部105がサーバ122の正・不正を判断する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
httpsによる通信で端末よりネットワークを介してサーバに送信されたClient Helloを検出するように構成された検出部と、
前記検出部が検出したClient Helloに対して前記サーバから前記端末に対して送信されたServer Certificateに含まれる証明書情報を取得するように構成された取得部と、
前記検出部が検出したClient Helloを記憶部において検索するように構成された検索部と、
前記検出部が検出したClient Helloが、前記検索部により前記記憶部から検索された場合に、検索されたClient Helloに組み合わせて前記記憶部に記憶されている証明書情報と、前記取得部が取得した証明書情報とを比較するように構成された比較部と、
前記比較部の比較により両者が一致しない場合に前記サーバは不正と判断するように構成された判断部と、
前記検出部が検出したClient Helloを前記検索部が前記記憶部より検索できない場合、前記取得部が取得した証明書情報を前記検出部が検出したClient Helloと組み合わせて前記記憶部に記憶するように構成された記憶制御部と
を備えることを特徴とする不正検出装置。
【請求項2】
請求項1記載の不正検出装置において、
更新指示の入力により、前記検出部が検出したClient Helloに組み合わせて前記記憶部に記憶されている証明書情報を、前記取得部が取得した証明書情報で更新するように構成された更新部を更に備えることを特徴とする不正検出装置。
【請求項3】
httpsによる通信で端末よりネットワークを介してサーバに送信されたClient Helloを検出する第1ステップと、
前記第1ステップで検出したClient Helloに対して前記サーバから前記端末に対して送信されたServer Certificateに含まれる証明書情報を取得する第2ステップと、
前記第1ステップで検出したClient Helloを記憶部において検索する第3ステップと、
前記第1ステップで検出したClient Helloが、前記第3ステップにおいて前記記憶部から検索された場合に、検索されたClient Helloに組み合わせて前記記憶部に記憶されている証明書情報と、前記第2ステップで取得した証明書情報とを比較する第4ステップと、
前記第4ステップの比較により両者が一致しない場合に前記サーバは不正と判断する第5ステップと、
前記第1ステップで検出したClient Helloを前記第3ステップが前記記憶部より検索できない場合、前記第2ステップで取得した証明書情報を前記第1ステップで検出したClient Helloと組み合わせて前記記憶部に記憶する第6ステップと
を備えることを特徴とする不正検出方法。
【請求項4】
請求項3記載の不正検出方法において、
更新指示の入力により、前記第1ステップで検出したClient Helloに組み合わせて前記記憶部に記憶されている証明書情報を、前記第2ステップで取得した証明書情報で更新する第7ステップを更に備えることを特徴とする不正検出方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット上のWebサイトが登録されたサーバの不正を検知する不正検出装置および方法に関する。
【背景技術】
【0002】
実存するWebサイトを装うWebページによる不正アクセスの被害が社会的に問題となっている。例えば、フィッシングサイトに接続したことにより、端末装置が不正アクセスをされ、またウィルスに感染させられ、クレジットカード情報など経済的価値がある情報が奪われるなどの問題が発生している。
【0003】
上述した状況に対し、サーバのSSL証明書などを使用して、フィッシングサイトを防ごうとする試みがある。また、特許文献1のように、SSL証明書に頼らず企業ドメイン情報登録センターや補足的な機関に申告された企業とそのドメインの対をリストに登録して、リストに登録されていないドメインへのアクセスを禁止する技術も知られている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−285844号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、サーバ証明書の正当性に基づくフィッシング対策を逆手に取り、審査が緩い一部の認証局により発行された、正規のサーバ証明書を持つフィッシングサイトが出現するようになっている。このようなフィッシングサイトでは、証明書を用いた対策では不正を検知することができない。
【0006】
また、特許文献1の技術では、リストに登録する作業が必要となり、運用面で手間がかかるという問題がある。また、特許文献1の技術では、DNSスプーフィングによるドメイン名改ざんには対応できないという問題がある。これらのように、従来の技術では、フィッシングサイトなどの不正なWebサイトを検知することが容易ではないという問題があった。
【0007】
本発明は、以上のような問題点を解消するためになされたものであり、不正なWebサイトがより容易に検知できるようにすることを目的とする。
【課題を解決するための手段】
【0008】
本発明に係る不正検出装置は、httpsによる通信で端末よりネットワークを介してサーバに送信されたClient Helloを検出するように構成された検出部と、検出部が検出したClient Helloに対してサーバから端末に対して送信されたServer Certificateに含まれる証明書情報を取得するように構成された取得部と、検出部が検出したClient Helloを記憶部において検索するように構成された検索部と、検出部が検出したClient Helloが、検索部により記憶部から検索された場合に、検索されたClient Helloに組み合わせて記憶部に記憶されている証明書情報と、取得部が取得した証明書情報とを比較するように構成された比較部と、比較部の比較により両者が一致しない場合にサーバは不正と判断するように構成された判断部と、検出部が検出したClient Helloを検索部が記憶部より検索できない場合、取得部が取得した証明書情報を検出部が検出したClient Helloと組み合わせて記憶部に記憶するように構成された記憶制御部とを備える。
【0009】
上記不正検出装置において、更新指示の入力により、検出部が検出したClient Helloに組み合わせて記憶部に記憶されている証明書情報を、取得部が取得した証明書情報で更新するように構成された更新部を備えるようにしてもよい。
【0010】
本発明に係る不正検出方法は、httpsによる通信で端末よりネットワークを介してサーバに送信されたClient Helloを検出する第1ステップと、第1ステップで検出したClient Helloに対してサーバから端末に対して送信されたServer Certificateに含まれる証明書情報を取得する第2ステップと、第1ステップで検出したClient Helloを記憶部において検索する第3ステップと、第1ステップで検出したClient Helloが、第3ステップにおいて記憶部から検索された場合に、検索されたClient Helloに組み合わせて記憶部に記憶されている証明書情報と、第2ステップで取得した証明書情報とを比較する第4ステップと、第4ステップの比較により両者が一致しない場合にサーバは不正と判断する第5ステップと、第1ステップで検出したClient Helloを第3ステップが記憶部より検索できない場合、第2ステップで取得した証明書情報を第1ステップで検出したClient Helloと組み合わせて記憶部に記憶する第6ステップとを備える。
【0011】
上記不正検出方法において、更新指示の入力により、第1ステップで検出したClient Helloに組み合わせて記憶部に記憶されている証明書情報を、第2ステップで取得した証明書情報で更新する第7ステップを備えるようにしてもよい。
【発明の効果】
【0012】
以上説明したように、本発明によれば、サーバから端末に送信されたServer Certificateに含まれる証明書情報と、Client Helloに組み合わせて記憶されている証明書情報との比較により、サーバの正・不正を判断するようにしたので、不正なWebサイトがより容易に検知できるという優れた効果が得られる。
【図面の簡単な説明】
【0013】
図1図1は、本発明の実施の形態1における不正検出装置100の構成を示す構成図である。
図2図2は、本発明の実施の形態1における不正検出方法を説明するためのフローチャートである。
図3図3は、本発明の実施の形態2における不正検出装置100aの構成を示す構成図である。
図4図4は、本発明の実施の形態1における不正検出方法を説明するためのフローチャートである。
図5図5は、本発明における不正検出装置のハードウエア構成を示す構成図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態おける不正検出装置について説明する。
【0015】
[実施の形態1]
はじめに、本発明の実施の形態1における不正検出装置100について、図1を参照して説明する。
【0016】
不正検出装置100は、ネットワーク120に接続している。ネットワーク120は、インターネットである。また、ネットワーク120には、端末121およびサーバ122が接続している。サーバ122には、例えば、端末121がアクセス可能なWebサイトが登録されている。不正検出装置100は、サーバ122が不正か否かを検出する。
【0017】
不正検出装置100は、検出部101、取得部102、検索部103、比較部104、判断部105、記憶制御部106、記憶部107を備える。
【0018】
検出部101は、公知のhttps(Hypertext Transfer Protocol Secure)による通信で、端末121よりネットワーク120を介してサーバ122に送信されたClient Helloを検出する。Client Helloは、SSL/TLSハンドシェイクで用いられるメッセージである。
【0019】
取得部102は、検出部101が検出したClient Helloに対してサーバ122から端末121に対して送信されたServer Certificateに含まれる証明書情報を取得する。Server Certificateは、SSL/TLSハンドシェイクで用いられるメッセージである。
【0020】
検索部103は、検出部101が検出したClient Helloを記憶部107において検索する。記憶部107には、正規な証明書情報とClient Helloとが組み合わされた複数のデータが記憶されている。比較部104は、検出部101が検出したClient Helloが、検索部103により記憶部107から検索された場合に、検索されたClient Helloに組み合わせて記憶部107に記憶されている証明書情報と、取得部102が取得した証明書情報とを比較する。判断部105は、比較部104の比較により両者が一致しない場合にサーバ122は不正と判断する。
【0021】
記憶制御部106は、検出部101が検出したClient Helloを検索部103が記憶部107より検索できない場合、取得部102が取得した証明書情報を検出部101が検出したClient Helloと組み合わせて記憶部107に記憶する。
【0022】
次に、実施の形態1における不正検出装置100の動作例(不正検出方法)について、図2を参照して説明する。
【0023】
まず、第1ステップS101で、検出部101が、httpsによる通信で端末121よりネットワーク120を介してサーバ122に送信されたClient Helloを検出すると(第1ステップS101のyes)、第2ステップS102で、検出したClient Helloに対してサーバ122から端末121に対して送信されたServer Certificateに含まれる証明書情報を、取得部102が取得する。
【0024】
次に、第3ステップS103で、検索部103が、検出部101によって検出されたClient Helloを記憶部107において検索する。この検索で、検出部101によって検出されたClient Helloが、記憶部107から検索されると(ステップS131のyes)、第4ステップS104で、比較部104が、検索されたClient Helloに組み合わせて記憶部107に記憶されている証明書情報と、取得部102が取得した証明書情報とを比較する。
【0025】
比較部104の比較により両者が一致しない場合(ステップS141のno)、第5ステップS105で、判断部105は、サーバ122は不正と判断する。不正と判断されると、不正検出装置100は、端末121に対し、サーバ122が不正である旨の通知をする。なお、比較部104の比較により両者が一致した場合(ステップS141のyes),判断部105は、サーバ122が不正ではないと判断する。
【0026】
また、検索部103の検索で、検出部101によって検出されたClient Helloが、記憶部107から検索されない場合(ステップS131のno),第6ステップS106で、記憶制御部106が、取得部102が取得した証明書情報を、第1ステップS101で検出部101が検出したClient Helloと組み合わせ、記憶部107に記憶する。
【0027】
以上に説明したように、実施の形態1では、端末121よりサーバ122に送信されたClient Helloに対してサーバ122から端末121に送信されたServer Certificateに含まれる証明書情報と、上記Client Helloに組み合わせて記憶部107に記憶されている証明書情報との比較により、サーバ122の正・不正を判断する。この結果、実施の形態1によれば、不正なWebサイト(サーバ122)がより容易に検知できるようになる。
【0028】
[実施の形態2]
次に、本発明の実施の形態2における不正検出装置100aについて、図3を参照して説明する。
【0029】
不正検出装置100aは、ネットワーク120に接続している。ネットワーク120は、インターネットである。また、ネットワーク120には、端末121およびサーバ122が接続している。サーバ122には、例えば、端末121がアクセス可能なWebサイトが登録されている。不正検出装置100aは、サーバ122が不正か否かを検出する。
【0030】
また、不正検出装置100aは、検出部101、取得部102、検索部103、比較部104、判断部105、記憶制御部106、記憶部107を備える。
【0031】
上述した構成は、前述した実施の形態1の不正検出装置100と同様である。
【0032】
実施の形態2における不正検出装置100aは、更に、更新部108を備える。なお、不正検出装置100aは、入力部109、表示部110を備える。
【0033】
更新部108は、更新指示の入力により、検出部101が検出したClient Helloに組み合わせて記憶部107に記憶されている証明書情報を、取得部102が取得した証明書情報で更新する。例えば、入力部109より更新指示が入力されると、更新部108は、取得部102が取得した証明書情報で、記憶部107に記憶されている証明書情報を更新する。
【0034】
次に、実施の形態2における不正検出装置100aの動作例(不正検出方法)について、図2を参照して説明する。
【0035】
まず、第1ステップS101で、検出部101が、httpsによる通信で端末121よりネットワーク120を介してサーバ122に送信されたClient Helloを検出すると(第1ステップS101のyes)、第2ステップS102で、検出したClient Helloに対してサーバ122から端末121に対して送信されたServer Certificateに含まれる証明書情報を、取得部102が取得する。
【0036】
次に、第3ステップS103で、検索部103が、検出部101によって検出されたClient Helloを記憶部107において検索する。この検索で、検出部101によって検出されたClient Helloが、記憶部107から検索されると(ステップS131のyes)、第4ステップS104で、比較部104が、検索されたClient Helloに組み合わせて記憶部107に記憶されている証明書情報と、取得部102が取得した証明書情報とを比較する。
【0037】
比較部104の比較により両者が一致しない場合(ステップS141のno)、第5ステップS105で、判断部105は、サーバ122は不正と判断する。不正と判断されると、不正検出装置100は、例えば、端末121に対し、サーバ122が不正である旨の通知をする。なお、比較部104の比較により両者が一致した場合(ステップS141のyes),判断部105は、サーバ122が不正ではないと判断する。
【0038】
また、検索部103の検索で、検出部101によって検出されたClient Helloが、記憶部107から検索されない場合(ステップS131のno),第6ステップS106で、記憶制御部106が、取得部102が取得した証明書情報を、第1ステップS101で検出部101が検出したClient Helloと組み合わせ、記憶部107に記憶する。
【0039】
上述した各ステップは、前述した実施の形態1と同様である。実施の形態2における不正検出装置100aは、更新指示が入力されると(第7ステップS107のyes)、ステップS171で、検出部101が検出したClient Helloに組み合わせて記憶部107に記憶されている証明書情報を、取得部102が取得した証明書情報で更新する。
【0040】
ここで、証明書には有効期限がもうけられている場合がある。この場合、サーバ122が正規な場合、有効期限が切れる前に新たな証明書が発行され、この後は、新たな証明書が用いられる。このため、サーバ122が正規(不正ではない場合)であっても、検出部101が検出したClient Helloに組み合わせて記憶部107に記憶されている証明書情報と、取得部102が取得した証明書情報とが一致しないことになり、サーバ122は不正と判断される。
【0041】
このような誤判断を防ぐため、不正との判断の通知内容を確認したユーザにより、対象となるサーバ122が防いでないことが確認されたことなどにより、更新指示が入力されると、上述したように、不正検出装置100aでは、証明書情報を更新する。
【0042】
上述した不正判断の通知は、例えば、端末121に送信され、端末121のユーザに視認可能な状態とされる。この通知を確認した端末121のユーザが、更新の要求を不正検出装置100aに通知することで、この通知が表示部110に表示されるようにしてもよい。表示部110に、端末121のユーザからの更新要求が表示され、これを確認した不正検出装置100aの管理者による入力部109の操作で、更新部108に対する更新指示が入力されるようにしてもよい。
【0043】
なお、上述した実施の形態における不正検出装置は、図5に示すように、CPU(Central Processing Unit;中央演算処理装置)201と主記憶装置202と外部記憶装置203とネットワーク接続装置204となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPU201が動作することで、上述した各機能が実現される。ネットワーク接続装置204は、ネットワーク205に接続する。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。
【0044】
以上に説明したように、本発明によれば、サーバから端末に送信されたServer Certificateに含まれる証明書情報と、Client Helloに組み合わせて記憶されている証明書情報との比較により、サーバの正・不正を判断するようにしたので、不正なWebサイトがより容易に検知できるようになる。また、本発明によれば、端末にエージェントソフトウエアなどを導入することなく、複数の端末における不正なサーバへのアクセス検知を監視することが可能となる。
【0045】
なお、本発明は以上に説明した実施の形態に限定されるものではなく、本発明の技術的思想内で、当分野において通常の知識を有する者により、多くの変形および組み合わせが実施可能であることは明白である。
【符号の説明】
【0046】
100…不正検出装置、101…検出部、102…取得部、103…検索部、104…比較部、105…判断部、106…記憶制御部、107…記憶部、120…ネットワーク、121…端末、122…サーバ。
図1
図2
図3
図4
図5