知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5980968
(24)【登録日】2016年8月5日
(45)【発行日】2016年8月31日
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
H04L 12/70 20130101AFI20160818BHJP
H04L 12/66 20060101ALI20160818BHJP
【FI】
H04L12/70 B
H04L12/66 B
【請求項の数】11
【全頁数】19
(21)【出願番号】特願2015-13747(P2015-13747)
(22)【出願日】2015年1月27日
(65)【公開番号】特開2016-139935(P2016-139935A)
(43)【公開日】2016年8月4日
【審査請求日】2016年3月24日
【早期審査対象出願】
(73)【特許権者】
【識別番号】500072884
【氏名又は名称】株式会社ラック
(74)【代理人】
【識別番号】100104880
【弁理士】
【氏名又は名称】古部 次郎
(74)【代理人】
【識別番号】100118108
【弁理士】
【氏名又は名称】久保 洋之
(72)【発明者】
【氏名】初田 淳一
【審査官】
宮島 郁美
(56)【参考文献】
【文献】
特開2013−011949(JP,A)
【文献】
特開2007−310781(JP,A)
【文献】
特開2011−076188(JP,A)
【文献】
米国特許出願公開第2012/0303808(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00−12/26,12/50−12/955
(57)【特許請求の範囲】
【請求項1】
監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得手段と、
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得手段が取得したドメインに付随して登録された情報である関連情報を取得する関連情報取得手段と、
前記ドメイン管理装置に保持されている情報を対象として、予め定められた基準を満たす接続先として記憶部に記憶されたドメインの関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメイン及び当該ドメインの関連情報を当該ドメイン管理装置から取得する取得手段と、
前記監視対象とするネットワーク上で検知された通信に関して、前記取得手段が取得した情報が当該監視対象とするネットワーク上で実際に検知された通信の接続先ではないドメインの情報であって前記関連情報取得手段が取得した前記関連情報のうち少なくとも1つの情報と同じ情報が当該取得手段により取得されている場合に、検知された当該通信を前記予め定められた基準を満たすものとして検出する検出手段と
を備える情報処理装置。
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得手段が取得したドメインに付随して登録された情報である関連情報を取得する関連情報取得手段と、
前記ドメイン管理装置に保持されている情報を対象として、予め定められた基準を満たす接続先として記憶部に記憶されたドメインの関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメイン及び当該ドメインの関連情報を当該ドメイン管理装置から取得する取得手段と、
前記監視対象とするネットワーク上で検知された通信に関して、前記取得手段が取得した情報が当該監視対象とするネットワーク上で実際に検知された通信の接続先ではないドメインの情報であって前記関連情報取得手段が取得した前記関連情報のうち少なくとも1つの情報と同じ情報が当該取得手段により取得されている場合に、検知された当該通信を前記予め定められた基準を満たすものとして検出する検出手段と
を備える情報処理装置。
【請求項2】
前記通信が前記予め定められた基準を満たすものとされた場合に、前記関連情報取得手段が取得した前記関連情報のうち前記記憶部に記憶されていない情報を、当該予め定められた基準を満たすドメインの情報として当該記憶部に登録する登録手段をさらに備えること
を特徴とする請求項1に記載の情報処理装置。
を特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記通信が前記予め定められた基準を満たすものとされた場合に、前記ドメイン管理装置から、前記関連情報取得手段が取得した前記関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得手段と、
前記ドメイン情報取得手段が取得したドメインの情報を、前記予め定められた基準を満たすドメインの情報として前記記憶部に登録するドメイン情報登録手段とをさらに備えること
を特徴とする請求項1または2に記載の情報処理装置。
前記ドメイン情報取得手段が取得したドメインの情報を、前記予め定められた基準を満たすドメインの情報として前記記憶部に登録するドメイン情報登録手段とをさらに備えること
を特徴とする請求項1または2に記載の情報処理装置。
【請求項4】
前記ドメイン管理装置が保持する情報が更新された旨の通知を受け付ける受付手段と、
前記受付手段が受け付けた通知により、前記記憶部に記憶された前記関連情報のうち少なくとも1つの情報と同じ情報が付随して新たなドメインが前記ドメイン管理装置に追加されたことを把握すると、追加された当該ドメインの情報を当該記憶部に登録する追加ドメイン登録手段とをさらに備えること
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
前記受付手段が受け付けた通知により、前記記憶部に記憶された前記関連情報のうち少なくとも1つの情報と同じ情報が付随して新たなドメインが前記ドメイン管理装置に追加されたことを把握すると、追加された当該ドメインの情報を当該記憶部に登録する追加ドメイン登録手段とをさらに備えること
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶手段と、
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記記憶手段に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得手段と、
前記ドメイン情報取得手段が取得したドメインの情報を、監視対象とするネットワーク上で実際に検知された通信の接続先であるドメインの情報であるか否かに関わらず、前記予め定められた基準を満たすものとして、前記記憶手段に登録する登録手段と
を備える情報処理装置。
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記記憶手段に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得手段と、
前記ドメイン情報取得手段が取得したドメインの情報を、監視対象とするネットワーク上で実際に検知された通信の接続先であるドメインの情報であるか否かに関わらず、前記予め定められた基準を満たすものとして、前記記憶手段に登録する登録手段と
を備える情報処理装置。
【請求項6】
前記ドメイン情報取得手段は、さらに、前記ドメイン管理装置から、前記登録手段が前記記憶手段に登録した前記ドメインの情報に含まれる関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されている他のドメインの情報を取得し、
前記登録手段は、さらに、前記ドメイン情報取得手段が取得した前記他のドメインの情報を、前記予め定められた基準を満たすものとして、前記記憶手段に登録すること
を特徴とする請求項5に記載の情報処理装置。
前記登録手段は、さらに、前記ドメイン情報取得手段が取得した前記他のドメインの情報を、前記予め定められた基準を満たすものとして、前記記憶手段に登録すること
を特徴とする請求項5に記載の情報処理装置。
【請求項7】
前記登録手段は、前記ドメイン情報取得手段が取得したドメインの情報を、すでに前記記憶手段に記憶されている情報とは区別して登録すること
を特徴とする請求項5または6に記載の情報処理装置。
を特徴とする請求項5または6に記載の情報処理装置。
【請求項8】
監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得ステップと、
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得ステップにて取得した前記ドメインに付随して登録された情報である関連情報を取得する関連情報取得ステップと、
前記ドメイン管理装置に保持されている情報を対象として、予め定められた基準を満たす接続先として記憶部に記憶されたドメインの関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメイン及び当該ドメインの関連情報を当該ドメイン管理装置から取得する取得ステップと、
前記監視対象とするネットワーク上で検知された通信に関して、前記取得ステップにて取得した情報が当該監視対象とするネットワーク上で実際に検知された通信の接続先ではないドメインの情報であって前記関連情報取得ステップにて取得した前記関連情報のうち少なくとも1つの情報と同じ情報が当該取得ステップにて取得されている場合に、検知された当該通信を前記予め定められた基準を満たすものとして検出する検出ステップと
を含む情報処理方法。
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得ステップにて取得した前記ドメインに付随して登録された情報である関連情報を取得する関連情報取得ステップと、
前記ドメイン管理装置に保持されている情報を対象として、予め定められた基準を満たす接続先として記憶部に記憶されたドメインの関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメイン及び当該ドメインの関連情報を当該ドメイン管理装置から取得する取得ステップと、
前記監視対象とするネットワーク上で検知された通信に関して、前記取得ステップにて取得した情報が当該監視対象とするネットワーク上で実際に検知された通信の接続先ではないドメインの情報であって前記関連情報取得ステップにて取得した前記関連情報のうち少なくとも1つの情報と同じ情報が当該取得ステップにて取得されている場合に、検知された当該通信を前記予め定められた基準を満たすものとして検出する検出ステップと
を含む情報処理方法。
【請求項9】
インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、当該記憶部に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得するステップと、
取得した前記ドメインの情報を、監視対象とするネットワーク上で実際に検知された通信の接続先であるドメインの情報であるか否かに関わらず、前記予め定められた基準を満たすものとして、前記記憶部に登録するステップと
を含む情報処理方法。
取得した前記ドメインの情報を、監視対象とするネットワーク上で実際に検知された通信の接続先であるドメインの情報であるか否かに関わらず、前記予め定められた基準を満たすものとして、前記記憶部に登録するステップと
を含む情報処理方法。
【請求項10】
コンピュータに、
監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得機能と、
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得機能にて取得した前記ドメインに付随して登録された情報である関連情報を取得する関連情報取得機能と、
前記ドメイン管理装置に保持されている情報を対象として、予め定められた基準を満たす接続先として記憶部に記憶されたドメインの関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメイン及び当該ドメインの関連情報を当該ドメイン管理装置から取得する取得機能と、
前記監視対象とするネットワーク上で検知された通信に関して、前記取得機能にて取得した情報が当該監視対象とするネットワーク上で実際に検知された通信の接続先ではないドメインの情報であって前記関連情報取得機能にて取得した前記関連情報のうち少なくとも1つの情報と同じ情報が当該取得機能にて取得されている場合に、検知された当該通信を前記予め定められた基準を満たすものとして検出する検出機能と
を実現させるためのプログラム。
監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得機能と、
インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、前記ドメイン取得機能にて取得した前記ドメインに付随して登録された情報である関連情報を取得する関連情報取得機能と、
前記ドメイン管理装置に保持されている情報を対象として、予め定められた基準を満たす接続先として記憶部に記憶されたドメインの関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメイン及び当該ドメインの関連情報を当該ドメイン管理装置から取得する取得機能と、
前記監視対象とするネットワーク上で検知された通信に関して、前記取得機能にて取得した情報が当該監視対象とするネットワーク上で実際に検知された通信の接続先ではないドメインの情報であって前記関連情報取得機能にて取得した前記関連情報のうち少なくとも1つの情報と同じ情報が当該取得機能にて取得されている場合に、検知された当該通信を前記予め定められた基準を満たすものとして検出する検出機能と
を実現させるためのプログラム。
【請求項11】
コンピュータに、
インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、当該記憶部に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得する機能と、
取得した前記ドメインの情報を、監視対象とするネットワーク上で実際に検知された通信の接続先であるドメインの情報であるか否かに関わらず、前記予め定められた基準を満たすものとして、前記記憶部に登録する機能と
を実現させるためのプログラム。
インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及び当該ドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、当該記憶部に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得する機能と、
取得した前記ドメインの情報を、監視対象とするネットワーク上で実際に検知された通信の接続先であるドメインの情報であるか否かに関わらず、前記予め定められた基準を満たすものとして、前記記憶部に登録する機能と
を実現させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
近年、コンピュータウイルスに代表されるマルウェアは、侵入方法、攻撃手法の何れにおいても高度化かつ巧妙化しており、その被害を未然に防ぐことや被害を局所化することが困難になりつつある。従来のマルウェアの場合は、その攻撃と被害の関係が容易に推測でき、対処の難易度の違いはあれど、比較的早期に発見できた。しかし、現在のマルウェアの場合は、その侵入に気が付き難く、発見されるまでに甚大な被害が生じてしまっている。従来、このような高度化かつ巧妙化したマルウェアを検出するために、例えば、通信先のドメインを検査する手法が用いられる場合がある。
【0003】
また、ドメインをもとに不正を検知する技術として、特許文献1には、電子メールの作成者ドメイン毎に転送経路をドメイン経路として学習し、判定対象メールの転送経路が判定対象の作成者ドメインのドメイン経路と一致しない場合に、判定対象メールが詐称メールである可能性があると判定する検出装置が存在する。(特許文献1参照)
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2014−64235号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記の手法のように、通信先のドメインを検査してマルウェアを検出する場合には、予め不正となるドメインを把握しておくことが求められる。しかしながら、攻撃者は、マルウェアによる攻撃を行うために新たにドメインを登録すれば良く、新たに登録されたドメインをもとにマルウェアを検出することは困難であった。また、特許文献1の技術は、このようなマルウェアによる攻撃を検出するものではない。本発明の目的は、監視対象とするネットワーク上で検知された通信を予め定められた基準を満たすものとして検出することを容易にすることにある。
【課題を解決するための手段】
【0006】
かかる目的のもと、本発明は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するドメイン取得手段と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、ドメイン取得手段が取得したドメインに付随して登録された情報である関連情報を取得する関連情報取得手段と、予め定められた基準を満たす接続先とされるドメイン及びドメインの関連情報を記憶する記憶手段と、関連情報取得手段が取得した関連情報のうち少なくとも1つの情報と同じ情報が記憶手段に記憶されていれば、ドメイン取得手段が取得したドメインと同じドメインが記憶手段に記憶されていない場合であっても、通信を予め定められた基準を満たすものとして検出する検出手段とを備える、情報処理装置を提供する。ここで、この情報処理装置は、通信が予め定められた基準を満たすものとされた場合に、関連情報取得手段が取得した関連情報のうち記憶手段に記憶されていない情報を、予め定められた基準を満たすドメインの情報として記憶手段に登録する登録手段をさらに備えるもの、であってよい。
また、この情報処理装置は、通信が予め定められた基準を満たすものとされた場合に、ドメイン管理装置から、関連情報取得手段が取得した関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得手段と、ドメイン情報取得手段が取得したドメインの情報を、予め定められた基準を満たすドメインの情報として記憶手段に登録するドメイン情報登録手段とをさらに備えるもの、であってよい。
さらに、この情報処理装置は、ドメイン管理装置が保持する情報が更新された旨の通知を受け付ける受付手段と、受付手段が受け付けた通知により、記憶手段に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して新たなドメインがドメイン管理装置に追加されたことを把握すると、追加されたドメインの情報を記憶手段に登録する追加ドメイン登録手段とをさらに備えるもの、であってよい。
また、本発明は、インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及びドメインに付随して登録された情報である関連情報を記憶する記憶手段と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、記憶手段に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を取得するドメイン情報取得手段と、ドメイン情報取得手段が取得したドメインの情報を、予め定められた基準を満たすものとして、記憶手段に登録する登録手段とを備える、情報処理装置を提供する。
ここで、ドメイン情報取得手段は、さらに、ドメイン管理装置から、登録手段が記憶手段に登録したドメインの情報に含まれる関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されている他のドメインの情報を取得し、登録手段は、さらに、ドメイン情報取得手段が取得した他のドメインの情報を、予め定められた基準を満たすものとして、記憶手段に登録する、ものであってよい。
さらに、登録手段は、ドメイン情報取得手段が取得したドメインの情報を、すでに記憶手段に記憶されている情報とは区別して登録する、ものであってよい。
また、本発明は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得するステップと、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、取得したドメインに付随して登録された情報である関連情報を取得するステップと、取得した関連情報のうち少なくとも1つの情報と同じ情報が、予め定められた基準を満たす接続先とされるドメイン及びドメインの関連情報を記憶する記憶部に記憶されていれば、取得したドメインと同じドメインが記憶部に記憶されていない場合であっても、通信を予め定められた基準を満たすものとして検出するステップとを含む、情報処理方法も提供する。
さらに、本発明は、インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及びドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、記憶部に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得するステップと、取得したドメインの情報を、予め定められた基準を満たすものとして、記憶部に登録するステップとを含む、情報処理方法も提供する。
そして、本発明は、コンピュータに、監視対象とするネットワーク上で検知された通信の接続先であるドメインを取得する機能と、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から、取得したドメインに付随して登録された情報である関連情報を取得する機能と、取得した関連情報のうち少なくとも1つの情報と同じ情報が、予め定められた基準を満たす接続先とされるドメイン及びドメインの関連情報を記憶する記憶部に記憶されていれば、取得したドメインと同じドメインが記憶部に記憶されていない場合であっても、通信を予め定められた基準を満たすものとして検出する機能とを実現させるための、プログラムも提供する。
さらにまた、本発明は、コンピュータに、インターネットで使用するために登録されたドメインであり予め定められた基準を満たすドメイン及びドメインに付随して登録された情報である関連情報を記憶する記憶部に関して、記憶部に記憶された関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインの情報を、インターネットで使用するために登録されたドメインの情報を保持するドメイン管理装置から取得する機能と、取得したドメインの情報を、予め定められた基準を満たすものとして、記憶部に登録する機能とを実現させるための、プログラムも提供する。
【発明の効果】
【0007】
本発明によれば、監視対象とするネットワーク上で検知された通信を予め定められた基準を満たすものとして容易に検出することができる。
【図面の簡単な説明】
【0008】
【図1】本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。
【図2】本実施の形態に係る攻撃検出装置の機能構成例を示したブロック図である。
【図3】攻撃検出装置を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。
【図4】攻撃者DBに情報を登録する処理手順の一例を示したフローチャートである。
【図5】ドメイン情報管理サーバに登録されている情報の一例を示す図である。
【図6】(a)は、攻撃者DBに登録されたドメイン名の一覧の一例を示す図である。(b)は、攻撃者DBに登録されたドメイン関連情報の一覧の一例を示す図である。
【図7】(a)〜(d)は、攻撃検出装置による処理の具体例を説明するための図である。
【図8】不正なドメインの情報をもとに他のドメインの情報を攻撃者DBに追加する処理手順の一例を示したフローチャートである。
【発明を実施するための形態】
【0009】
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。<システム構成>
まず、本実施の形態が適用されるコンピュータシステムについて説明する。図1は、本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムでは、クライアント端末10a、10b、10cが社内LAN(Local Area Network)50に接続されている。また、攻撃検出装置20が社内LAN50及びインターネット60の両方に接続されている。さらに、攻撃者サーバ30とドメイン情報管理サーバ40とがインターネット60に接続されている。
【0010】
クライアント端末10a、10b、10cは、ユーザが使用するコンピュータであり、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。また、本実施の形態において、クライアント端末10a、10b、10cは、マルウェアに感染することがあるものとする。ここで、マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。例えば、マルウェアの一つであるボットは、コンピュータに感染した後、C&C(コマンド&コントロール)サーバと呼ばれる制御用サーバに接続して攻撃者からの指令を待ち、感染したコンピュータ上で指令どおりの処理を実行する。
【0011】
なお、図1では、クライアント端末10a、10b、10cを示したが、これらを区別する必要がない場合にはクライアント端末10と称することもある。また、図1には3台のクライアント端末10しか示していないが、クライアント端末10の台数は図示の3台には限定されない。
【0012】
攻撃検出装置20は、社内LAN50とインターネット60との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信の接続先(送信先)であるドメインの情報をもとに、攻撃である可能性の高い不正通信を検出する装置である。ここで、攻撃検出装置20は、ネットワーク上で検知された通信として、例えば、クライアント端末10から社内LAN50を介してインターネット60へアクセスする際に経由するように設置されたプロキシサーバ(不図示)に蓄えられている通信のログを対象に、不正通信の検出を行う。また、攻撃検出装置20は、例えば、現在ネットワーク上に流れているトラフィックを対象に不正通信の検出を行う場合もあるものとする。この攻撃検出装置20は、ゲートウェイ等の通信装置の中に設けられても良いし、通信装置とは独立に設けられても良い。また、図1では、攻撃検出装置20を社内LAN50とインターネット60との間の通信回線上にインラインで設置するのではなく、例えば、プロキシサーバなどから通信のログを攻撃検出装置20が取得するような構成にしているが、攻撃検出装置20をインラインで設置した構成にしても良い。本実施の形態では、情報処理装置の一例として、攻撃検出装置20が用いられる。
【0013】
攻撃者サーバ30は、マルウェアに感染したクライアント端末10が通信の接続先とするサーバであり、攻撃者が運営しているものである。この攻撃者サーバ30は、例えばクライアント端末10がボットに感染した場合には、クライアント端末10が攻撃者からの指令を待つために接続する接続先の制御用サーバに該当する。また、図1には1台の攻撃者サーバ30しか示していないが、2台以上の攻撃者サーバ30が存在する場合もあるものとする。
【0014】
ドメイン情報管理サーバ40は、インターネット60において使用するために登録されたドメインの情報を管理するサーバであり、例えば、ドメインに関する情報をインターネット60上で提供する情報提供サービスであるWHOISのサーバが該当する。ドメイン情報管理サーバ40には、インターネット60上で登録されたドメインを特定するドメイン名や、そのドメイン(ドメイン名)を登録する際に付随して登録された情報が記憶されている。ドメインを登録する際に付随して登録された情報としては、例えば、ドメインを登録した登録者に関する情報などが存在する。以下では、ドメインを登録する際に付随して登録された情報を、ドメイン関連情報と称することとする。また、本実施の形態では、関連情報の一例として、ドメイン関連情報が用いられる。さらに、本実施の形態では、ドメイン管理装置の一例として、ドメイン情報管理サーバ40が用いられる。
【0015】
社内LAN50は、会社内のコンピュータやプリンタを専用回線等で接続し、これらの間でデータを送受信できるようにしたネットワークである。
【0016】
インターネット60は、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いて全世界のネットワークを相互に接続した巨大なネットワークである。
【0017】
本実施の形態において、クライアント端末10は、マルウェアに感染した場合、攻撃者サーバ30などの不正なサーバに接続して処理を行う。そこで、攻撃検出装置20は、攻撃者サーバ30等の不正なサーバに接続するための接続先であるドメイン及びそのドメインのドメイン関連情報を予め記憶しておく。そして、攻撃検出装置20は、社内LAN50とインターネット60との間のネットワークを監視対象とし、監視対象であるネットワーク上で検知された通信が接続先とするドメインやそのドメインのドメイン関連情報が記憶していた情報に一致すれば、不正な通信として検出する。さらに、攻撃検出装置20は、検出した不正通信のドメイン及びそのドメインのドメイン関連情報を、不正なドメインの情報として新たに記憶する。
【0019】
図示するように、攻撃検出装置20は、社内LAN50(図1参照)とインターネット60(図1参照)との間のネットワーク上で検知された通信の接続先であるドメインを特定するドメイン特定部21と、特定されたドメインのドメイン関連情報をドメイン情報管理サーバ40(図1参照)から取得するドメイン情報取得部22と、攻撃者とされる不正なドメインの情報を記憶するドメイン記憶部23とを備えている。また、攻撃検出装置20は、処理対象の通信が不正通信であるか否かを判定する攻撃判定部24と、不正通信と判定された通信のドメイン及びそのドメインのドメイン関連情報を新たに登録する攻撃者登録部25と、不正なドメインとしてドメイン記憶部23に記憶されているドメインを接続先とする通信を遮断する通信遮断部26とを備えている。
【0020】
ドメイン取得手段の一例としてのドメイン特定部21は、社内LAN50とインターネット60との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信の接続先であるドメイン(ドメイン名)を特定する。ここで、ドメイン特定部21は、例えば、ユーザの操作を契機として、クライアント端末10から社内LAN50を介してインターネット60へアクセスする際に経由するように設置されたプロキシサーバ(不図示)に蓄えられたログを参照し、処理対象とするドメインを特定する。また、例えば、クライアント端末10から接続先であるドメインにアクセスするためのIPアドレスを要求するDNS(Domain Name System)通信が行われた場合には、その通信に含まれるデータの内容によりドメインの特定が行われる。
【0021】
関連情報取得手段の一例としてのドメイン情報取得部22は、ドメイン特定部21にて特定されたドメインについて、ドメイン情報管理サーバ40に記憶されているドメイン関連情報を取得する。
【0022】
記憶手段の一例としてのドメイン記憶部23は、攻撃者による不正な接続先とされるドメインの情報が登録されたデータベース(以下、攻撃者DBと称する)を記憶する。攻撃者DBの情報は、すでに攻撃者と知られているドメイン名やそのドメインのドメイン関連情報をユーザが予め登録することにより記録されている。また、攻撃判定部24により新たに攻撃と判定された不正通信のドメインについて、ドメイン名やそのドメインのドメイン関連情報を攻撃者登録部25が登録することにより記録されている。
【0023】
検出手段の一例としての攻撃判定部24は、ドメイン特定部21が特定したドメイン及びドメイン情報取得部22が取得したドメイン関連情報と、ドメイン記憶部23に記憶されている攻撃者DBの情報とを比較して、処理対象の通信が不正通信であるか否かを判定する。ここで、攻撃判定部24は、ドメイン特定部21が特定したドメインと同じドメインが攻撃者DBに登録されていれば、処理対象の通信が不正通信であると判定する。また、攻撃判定部24は、ドメイン特定部21が特定したドメインと同じドメインが攻撃者DBに登録されていない場合であっても、ドメイン情報取得部22が取得したドメイン関連情報のうち少なくとも1つの情報と同じ情報が攻撃者DBに登録されていれば、処理対象の通信が不正通信であると判定する。
【0024】
登録手段、ドメイン情報取得手段、ドメイン情報登録手段の一例としての攻撃者登録部25は、攻撃判定部24により不正通信と判定された通信について、その通信のドメイン及びそのドメインのドメイン関連情報を、ドメイン記憶部23の攻撃者DBに登録する。ここで、攻撃判定部24により攻撃と判定されるにあたり、ドメイン特定部21が特定したドメインが攻撃者DBに登録されておらず、ドメイン情報取得部22が取得したドメイン関連情報が攻撃者DBに登録されていた場合と、ドメイン特定部21が特定したドメインが攻撃者DBに登録されていた場合とに分けて説明する。
【0025】
攻撃と判定されるにあたりドメイン特定部21が特定したドメインが攻撃者DBに登録されておらず、ドメイン情報取得部22が取得したドメイン関連情報のうち少なくとも1つの情報が攻撃者DBに登録されていた場合、攻撃者登録部25は、ドメイン特定部21が特定したドメインを新たな攻撃者の情報として攻撃者DBに登録する。また、攻撃者登録部25は、ドメイン情報取得部22が取得したドメイン関連情報のうちまだ攻撃者DBに登録されていない情報を、新たな攻撃者の情報として攻撃者DBに登録する。さらに、攻撃者登録部25は、ドメイン情報管理サーバ40にアクセスして、ドメイン情報取得部22が取得したドメイン関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインを検索する。そして、ドメイン情報取得部22が取得したドメイン関連情報と同じ情報が付随して登録されているドメインが存在していれば、攻撃者登録部25は、そのドメイン及びそのドメインのドメイン関連情報も合わせて攻撃者DBに登録する。
【0026】
即ち、ドメイン情報取得部22が取得したドメイン関連情報は、今回ドメイン特定部21が特定したドメインのドメイン関連情報としてドメイン情報管理サーバ40に登録されているものであるが、このドメイン関連情報と同じ情報をドメイン関連情報として登録している別のドメインが存在する場合がある。その場合、攻撃者登録部25は、その別のドメイン及びドメイン関連情報についても、攻撃者の情報として攻撃者DBに登録する。また、ドメイン特定部21が特定したドメインのドメイン関連情報が複数ある場合には、そのドメイン関連情報のうち少なくとも1つの情報と同じ情報をドメイン関連情報として登録しているドメインが存在すれば、そのドメインに関して攻撃者DBに登録される。
【0027】
一方、攻撃と判定されるにあたりドメイン特定部21が特定したドメインが攻撃者DBに登録されていた場合、そのドメインについてのドメイン関連情報も攻撃者DBにすでに登録されており、攻撃者登録部25は、攻撃者DBに新たに情報を登録しない。ただし、例えば、ユーザがドメインのみを予め攻撃者DBに登録した場合などはドメイン関連情報は登録されていない。そのため、ドメイン特定部21が特定したドメインが攻撃者DBに登録されていた場合であっても、そのドメインについてドメイン情報取得部22が取得したドメイン関連情報が攻撃者DBに登録されていなければ、攻撃者登録部25は、ドメイン関連情報を攻撃者DBに登録しても良い。この場合、攻撃者登録部25は、さらにドメイン情報管理サーバ40にアクセスして、ドメイン情報取得部22が取得したドメイン関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されているドメインが存在していれば、そのドメイン及びそのドメインのドメイン関連情報も合わせて攻撃者DBに登録しても良い。
【0028】
通信遮断部26は、ドメイン記憶部23に記憶されているドメインの情報をもとに、社内LAN50(図1参照)とインターネット60(図1参照)との間のネットワーク上で行われている通信を遮断するように制御する。即ち、攻撃者登録部25により随時更新される攻撃者DBをもとに、通信遮断部26は、ネットワーク上で行われている通信を監視し、通信の接続先であるドメインが攻撃者DBに登録されていれば、その通信を遮断する処理を行う。また、通信遮断部26は、例えば、監視中の通信の接続先となるドメインのドメイン関連情報をドメイン情報管理サーバ40から取得し、取得したドメイン関連情報が攻撃者DBに登録されていれば、その通信を遮断することとしても良い。
【0029】
遮断された通信は、例えば、プロキシサーバからインターネット60に向けて通過しないように制御される。また、通信遮断部26は、通信を遮断するのに代えて、または通信を遮断するのと合わせて、不正通信と判定されたことを通知するアラートを発生させることとしても良い。アラートは、例えば攻撃検出装置20の表示画面に表示されてユーザに報知される。
【0030】
<攻撃検出装置のハードウェア構成例>次に、本実施の形態に係る攻撃検出装置20のハードウェア構成について説明する。図3は、攻撃検出装置20を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、攻撃検出装置20は、演算手段であるCPU(Central Processing Unit)20aと、主記憶手段であるメモリ20cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)20g、ネットワーク・インターフェイス20f、ディスプレイ装置を含む表示機構20d、音声機構20h、キーボードやマウス等の入力デバイス20i等を備える。
【0031】
図3に示す構成例では、メモリ20cおよび表示機構20dは、システム・コントローラ20bを介してCPU20aに接続されている。また、ネットワーク・インターフェイス20f、磁気ディスク装置20g、音声機構20hおよび入力デバイス20iは、I/Oコントローラ20eを介してシステム・コントローラ20bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。
【0032】
また、図3において、磁気ディスク装置20gにはOSのプログラムやアプリケーション・プログラムが格納されている。そして、これらのプログラムがメモリ20cに読み込まれてCPU20aに実行されることにより、本実施の形態に係る攻撃検出装置20におけるドメイン特定部21、ドメイン情報取得部22、攻撃判定部24、攻撃者登録部25、通信遮断部26の機能が実現される。また、例えば、磁気ディスク装置20g等の記憶する手段により、ドメイン記憶部23が実現される。
【0033】
なお、図3は、本実施の形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施の形態は、不正通信を検出する装置に広く適用できるものであり、図示の構成においてのみ本実施の形態が実現されるのではない。
【0034】
<攻撃検出装置の処理手順>次に、攻撃検出装置20が攻撃者DBに情報を登録する処理の手順について説明する。図4は、攻撃者DBに情報を登録する処理手順の一例を示したフローチャートである。図4に示す処理は、攻撃検出装置20が監視対象とするネットワーク上で検知された通信ごとに実行される。
【0035】
まず、ドメイン特定部21は、社内LAN50とインターネット60との間の通信について、例えばプロキシサーバからログを取得することにより、その通信の接続先であるドメインを特定する(ステップ101)。次に、ドメイン情報取得部22は、特定されたドメインについて、ドメイン情報管理サーバ40に記憶されているドメイン関連情報を取得する(ステップ102)。
【0036】
次に、攻撃判定部24は、ステップ101で特定されたドメインと同じドメインがドメイン記憶部23の攻撃者DBに登録されているか否かを判定する(ステップ103)。攻撃者DBに登録されていると判定された場合(ステップ103でYes)、攻撃判定部24は、処理対象の通信が攻撃による不正通信であると判断する。ここで、ドメインが攻撃者DBに登録されていても、そのドメインのドメイン関連情報が攻撃者DBに登録されていない場合には、攻撃者登録部25はドメイン関連情報を攻撃者DBに登録しても良い。また、攻撃者登録部25は、ドメイン情報管理サーバ40にアクセスして、ステップ102でドメイン情報取得部22が取得したドメイン関連情報と同じ情報が付随して登録されたドメイン及びそのドメインのドメイン関連情報を、さらに攻撃者DBに登録しても良い。そして、本処理フローは終了する。
【0037】
また、ステップ103において、攻撃者DBに登録されていないと判定された場合(ステップ103でNo)、攻撃判定部24は、ステップ102で取得されたドメイン関連情報のうち少なくとも1つの情報と同じ情報が攻撃者DBに登録されているか否かを判定する(ステップ104)。攻撃者DBに登録されていないと判定された場合(ステップ104でNo)、本処理フローは終了する。
【0038】
一方、ステップ104において、攻撃者DBに登録されていると判定された場合(ステップ104でYes)、攻撃者登録部25は、ステップ102でドメイン情報取得部22が取得したドメイン関連情報のうちまだ攻撃者DBに登録されていない情報を攻撃者DBに登録する(ステップ105)。ここで、攻撃者登録部25は、ドメイン特定部21が特定したドメインについても攻撃者DBに登録する。また、攻撃者登録部25は、ドメイン情報管理サーバ40にアクセスして、ステップ102で取得されたドメイン関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されたドメイン及びそのドメインのドメイン関連情報をさらに攻撃者DBに登録する(ステップ106)。そして、本処理フローは終了する。
【0039】
また、図4に示す手順では、ステップ106において、攻撃者登録部25は、ステップ102でドメイン情報取得部22が取得したドメイン関連情報と同じ情報が付随して登録されたドメイン及びドメイン関連情報を攻撃者DBに登録して処理を終了したが、このような構成に限られるものではない。攻撃者登録部25は、さらに、ドメイン情報管理サーバ40にアクセスして、ステップ106にて攻撃者DBに登録した情報をもとに、新たな攻撃者の情報を攻撃者DBに登録することとしても良い。
【0040】
例えば、ステップ106で攻撃者DBに登録されたドメイン関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されたドメインが存在すれば、攻撃者登録部25は、そのドメイン及びそのドメインのドメイン関連情報をさらに攻撃者DBに登録することとしても良い。このように、攻撃者登録部25は、新たに攻撃者DBに登録した情報に関連付けられたドメインがドメイン情報管理サーバ40に記憶されていないか検索し、例えば検索により得た情報の全てが攻撃者DBに登録済みとなるまで、ドメイン情報管理サーバ40の情報を検索して攻撃者DBに登録する処理を繰り返し実行することとしても良い。
【0041】
<ドメイン情報管理サーバに登録されている情報>次に、ドメイン情報管理サーバ40に登録されている情報について説明する。図5は、ドメイン情報管理サーバ40に登録されている情報の一例を示す図である。
【0042】
図5に示す例では、「AAA.CO.JP」という名前のドメインに関して、このドメインのドメイン関連情報として、ドメインを登録した登録者の組織名と、組織における技術担当者の氏名、メールアドレス、電話番号及びFAX番号とが登録されている。具体的には、組織名は「株式会社A1」、技術担当者の氏名は「A2」、メールアドレスは「A3@mail1.co.jp」、電話番号は「03−xxxx−xxx1」、FAX番号は「03−xxxx−xxx2」と登録されている。
【0043】
このように、ドメイン情報管理サーバ40には、インターネット60において使用するために登録されたドメインのドメイン名とそのドメインのドメイン関連情報とがドメインごとに登録されている。ただし、ドメイン関連情報は、図5に示す種類の情報に限られるものではない。
【0044】
<攻撃者DBに登録されている情報>次に、ドメイン記憶部23の攻撃者DBに登録されている情報について説明する。図6(a)、(b)は、攻撃者DBに登録されている情報の一例を示す図である。図6(a)は、攻撃者DBに登録されたドメイン名の一覧の一例を示す図である。また、図6(b)は、攻撃者DBに登録されたドメイン関連情報の一覧の一例を示す図である。
【0045】
まず、図6(a)に示す例では、「AAA.CO.JP」、「BBB.CO.JP」、「CCC.CO.JP」、「DDD.CO.JP」というドメイン名の4つのドメインが攻撃者のドメインとして攻撃者DBに登録されている。これらのドメインについては、ユーザが予め登録する場合もあれば、新たに攻撃と判定された不正通信のドメインとして攻撃者登録部25が登録する場合もある。
【0046】
また、図6(b)に示す例では、「A3@mail1.co.jp」、「B3@mail2.co.jp」、「C3@mail3.co.jp」、「D3@mail4.co.jp」という4つのメールアドレスが、攻撃者のドメインのドメイン関連情報として攻撃者DBに登録されている。これらのメールアドレスは、攻撃者のドメインを登録した登録者の組織における技術担当者のメールアドレスであり、図5に示すメールアドレスに対応するものである。これらのドメイン関連情報についても、図6(a)に示すドメインと同様に、ユーザが予め登録する場合もあれば、新たに攻撃と判定された不正通信のドメインにおけるドメイン関連情報として攻撃者登録部25が登録する場合もある。
【0047】
また、図6(b)に示す例では、攻撃者DBに登録されているドメイン関連情報として、技術担当者のメールアドレスを示したが、攻撃者DBには他のドメイン関連情報が登録されているものとしても良い。例えば、図5に示すように、ドメイン情報管理サーバ40には、ドメイン関連情報として、技術担当者のメールアドレスの他に、組織名、技術担当者の氏名、電話番号及びFAX番号が登録されている。そのため、これらのドメイン関連情報も、攻撃者による通信を検出するための情報として攻撃者DBに登録されているものとしても良い。
【0048】
さらに、図6(a)、(b)に示す例では、攻撃者DBに登録されている情報として、ドメイン及びメールアドレスがそれぞれ一覧としてまとめて登録された場合を説明したが、このような構成に限られるものではない。例えば、攻撃者DBにおいても、図5に示すように、ドメイン名及びそのドメインのドメイン関連情報が、1つのドメインごとに登録されているものとしても良い。
【0049】
<攻撃検出装置による処理の具体例>次に、攻撃検出装置20による処理について、具体例を挙げて説明する。図7(a)〜(d)は、攻撃検出装置20による処理の具体例を説明するための図である。図7(a)〜(d)に示す例は、処理対象の通信が攻撃と判定されるにあたり、ドメイン情報取得部22が取得したドメイン関連情報が攻撃者DBに登録されていた場合のものである。なお、以下に示すステップは、図4の各ステップに対応するものとする。
【0050】
図7に示す例において、ドメイン特定部21は、処理対象とする通信の接続先であるドメインとして、「AAA.CO.JP」というドメインを特定する(ステップ101)。次に、ドメイン情報取得部22は、「AAA.CO.JP」のドメインについて、ドメイン情報管理サーバ40からドメイン関連情報を取得する(ステップ102)。ここで、図7(a)には、「AAA.CO.JP」についてドメイン情報管理サーバ40に登録されている情報の一例が示されている。
【0051】
次に、攻撃判定部24は、「AAA.CO.JP」が攻撃者DBに登録されているか否かを判定する(ステップ103)。図7(b)、(c)は、攻撃者DBに登録されている情報の一例を示す図である。図7(b)には、攻撃者DBに登録されているドメイン名が示されている。また、図7(c)には、攻撃者DBに登録されているドメイン関連情報の1つである技術担当者のメールアドレスが示されている。ここで、図7(b)に示すように、攻撃者DBには「AAA.CO.JP」が登録されていない。そのため、攻撃判定部24は、攻撃者DBに登録されていないと判定し(ステップ103でNo)、次に、「AAA.CO.JP」のドメイン関連情報の少なくとも1つが攻撃者DBに登録されているか否かを判定する(ステップ104)。
【0052】
ここで、図7(a)に示すように、「AAA.CO.JP」のドメイン関連情報である技術担当者のメールアドレスは、太枠で囲んだ「A3@mail1.co.jp」である。また、図7(c)にて太枠で囲むように、攻撃者DBにも、「A3@mail1.co.jp」のメールアドレスが登録されている。そのため、攻撃判定部24は、ドメイン関連情報が攻撃者DBに登録されていると判定し(ステップ104でYes)、処理対象の通信が攻撃による不正通信であると判断する。
【0053】
次に、攻撃者登録部25は、不正通信と判断したドメイン「AAA.CO.JP」について、ドメイン関連情報を攻撃者DBに登録する(ステップ105)。即ち、攻撃者登録部25は、図7(a)に示すドメイン関連情報を攻撃者DBに登録する。また、図7(b)に示すように、攻撃者DBには「AAA.CO.JP」のドメインも登録されていないため、攻撃者登録部25は、「AAA.CO.JP」についても攻撃者DBに登録する。
【0054】
次に、攻撃者登録部25は、ドメイン情報管理サーバ40にアクセスして、攻撃者DBに登録した「AAA.CO.JP」のドメイン関連情報と同じ情報が付随して登録されているドメインを検索する。ここで、図7(d)に示す「CCC.CO.JP」というドメインについて、太枠で囲むように、技術担当者のFAX番号は「03−xxxx−xxx2」である。また、図7(a)にて太枠で囲むように、ドメイン「AAA.CO.JP」の技術担当者のFAX番号も、「03−xxxx−xxx2」であり、ドメイン「CCC.CO.JP」のFAX番号と共通している。
【0055】
そのため、攻撃者登録部25は、ドメイン情報管理サーバ40に登録された「CCC.CO.JP」というドメインを、「AAA.CO.JP」のドメイン関連情報と同じ情報が付随して登録されているドメインと判断する。そして、攻撃者登録部25は、図7(d)に示す「CCC.CO.JP」の情報、即ち、「CCC.CO.JP」というドメイン及びドメイン関連情報を攻撃者DBに登録する(ステップ106)。
【0056】
また、図7に示す例では、ドメイン「AAA.CO.JP」の技術担当者のFAX番号に関連付けられたドメインが登録されたが、「AAA.CO.JP」の他のドメイン関連情報に関連付けられたドメインがドメイン情報管理サーバ40に存在すれば、そのドメインの情報も同様に攻撃者DBに登録される。
【0057】
なお、図7に示す例において、攻撃者登録部25は、さらに、ステップ106で攻撃者DBに登録した「CCC.CO.JP」のドメイン関連情報をもとにドメイン情報管理サーバ40の情報を検索しても良い。そして、攻撃者登録部25は、「CCC.CO.JP」のドメイン関連情報と同じ情報が付随して登録されているドメイン及びそのドメインのドメイン関連情報を攻撃者DBに登録しても良い。また、攻撃者登録部25は、それ以降の処理として、新たに攻撃者DBに登録したドメイン関連情報をもとにドメイン情報管理サーバ40の情報を検索して、例えば検索により得た情報の全てが攻撃者DBに登録済みとなるまで、攻撃者DBに登録する処理を繰り返し実行しても良い。
【0058】
以上説明したように、本実施の形態に係る攻撃検出装置20は、監視対象とするネットワーク上で検知された通信の接続先であるドメインを特定し、特定したドメインのドメイン関連情報をドメイン情報管理サーバ40から取得する。また、特定したドメインまたは取得したドメイン関連情報が攻撃者DBに登録されていれば、攻撃検出装置20は、処理対象とした通信を不正通信として検出する。そのため、攻撃検出装置20を用いることで、ドメインに加えてドメイン関連情報をもとに不正通信の検出が行われることとなり、例えば、ドメインを検査してマルウェアなどに基づく不正通信を検出する構成と比較して、不正通信の検出が容易になる。
【0059】
また、攻撃検出装置20は、処理対象の通信を不正通信として検出した場合に、検出した不正通信のドメイン及びドメイン関連情報を攻撃者DBに新たに登録し、攻撃者DBの情報を更新する。さらに、攻撃検出装置20は、検出した不正通信のドメイン関連情報と同じ情報が付随して登録されているドメイン及びそのドメインのドメイン関連情報についても、攻撃者DBに登録する。そのため、攻撃者DBには、不正とされるドメインの情報が追加されていくこととなり、処理対象の通信を不正通信として検出し易くなる。
【0060】
ここで、本実施の形態において、攻撃検出装置20は、処理対象の通信を不正通信として検出した場合に、まだ登録されていないドメイン及びドメイン関連情報を攻撃者DBに追加することとしたが、このような構成に限られるものではない。例えば、攻撃検出装置20は、すでに攻撃者DBに登録されている不正なドメインの情報をもとに、ドメイン情報管理サーバ40の情報を検索し、他のドメインの情報を攻撃者DBに追加することとしても良い。
【0061】
図8は、不正なドメインの情報をもとに他のドメインの情報を攻撃者DBに追加する処理手順の一例を示したフローチャートである。
【0062】
まず、ドメイン特定部21は、攻撃者DBにすでに登録されている不正なドメインを特定する(ステップ201)。次に、ドメイン情報取得部22は、ドメイン特定部21にて特定されたドメインについて、ドメイン情報管理サーバ40に記憶されているドメイン関連情報を取得する(ステップ202)。ここで、不正なドメインの情報として、ドメインに加えてドメイン関連情報も攻撃者DBに追加されていれば、ドメイン情報取得部22はドメイン情報管理サーバ40からドメイン関連情報を取得しなくても良い。
【0063】
次に、攻撃者登録部25は、ドメイン情報管理サーバ40にアクセスして、ドメイン関連情報のうち少なくとも1つの情報と同じ情報が付随して登録されたドメイン及びそのドメインのドメイン関連情報をさらに攻撃者DBに登録する(ステップ203)。また、攻撃者登録部25は、以降の処理として、ドメイン情報管理サーバ40にアクセスして、攻撃者DBに新たに登録したドメイン関連情報が付随して登録されたドメインを検索し、そのドメイン及びドメイン関連情報を攻撃者DBに登録する処理を繰り返し実行することとしても良い。そして、本処理フローは終了する。
【0064】
また、本実施の形態において、ドメイン情報管理サーバ40の情報が更新された旨の通知を受けることが可能であれば、攻撃検出装置20は、その通知をもとに攻撃者DBを更新することとしても良い。この場合、例えば、攻撃者登録部25は、攻撃者DBに登録されたドメイン関連情報と同じ情報が付随して新たなドメインがドメイン情報管理サーバ40に登録された旨の通知を受け付ける。また、例えば、攻撃者登録部25は、ドメイン情報管理サーバ40の情報が更新された旨の通知の中から、攻撃者DBに登録されたドメイン関連情報と同じ情報が付随して新たなドメインが登録された内容の通知を抽出する。
【0065】
そして、攻撃者登録部25は、受け付けた通知をもとに、攻撃者DBに登録されたドメイン関連情報と同じ情報が付随して新たなドメインがドメイン情報管理サーバ40に登録されたことを把握すると、ドメイン情報管理サーバ40にアクセスする。そして、攻撃者登録部25は、ドメイン情報管理サーバ40に新たに登録されたドメイン及びそのドメインのドメイン関連情報を取得し、攻撃者DBに登録する。この場合、受付手段、追加ドメイン登録手段の一例として、攻撃者登録部25が用いられる。
【0066】
また、本実施の形態では、ドメイン情報管理サーバ40の情報のうち、攻撃者DBのドメイン関連情報と同じ情報が付随して登録されているドメインの情報は、不正な接続先とされるドメインの情報として攻撃者DBに登録されることとしたが、このような構成に限られるものではない。攻撃者DBのドメイン関連情報と同じ情報が付随して登録されているドメインの情報を、例えば、不正な接続先とされるドメインの情報ではなく、不正な接続先とされるものと同等のドメインの情報として扱う等により、すでに攻撃者DBに登録されている情報とは区別して新たに登録することとしても良い。即ち、攻撃者DBには不正とされるドメインの情報が予め登録されているが、このドメインの情報をもとにして新たに攻撃者DBに追加されるドメインについては、例えば、あくまで不正な接続先と推定される情報として扱うこととしても良い。
【0067】
この場合、ユーザが不正な接続先として確定しているドメインを攻撃者DBに予め登録しておけば、このドメインのドメイン関連情報と同じ情報が付随して登録されているドメインがドメイン情報管理サーバ40に存在すれば、攻撃者DBに予め登録されたドメインとは区別して、不正な接続先と推定されるものとして登録されることとなる。また、不正な接続先として推定されるドメインをもとにして、さらに攻撃者DBにドメインを追加する場合についても、もとのドメインの情報と追加するドメインの情報とを区別して登録することとしても良い。
【0068】
そのため、例えば、ユーザは、攻撃者DBに登録されているドメインについて、不正な接続先として確定しているドメインであるか、または不正な接続先と推定されるドメインであるか等、どのような経緯で登録された情報であるかの判断が可能になる。また、例えば、ネットワーク上の通信が不正通信として検出された場合に、不正な接続先として確定しているドメインを接続先とするものか、または不正なものと推定されるドメインを接続先とするものかにより、表示する内容を変えてユーザに報知することとしても良い。
【0069】
さらに、本実施の形態において、ドメイン記憶部23は、攻撃者DBとして不正な接続先とされるドメインの情報を記憶することとしたが、不正な接続先ではなく、正常な接続先とされるドメインの情報を記憶することとしても良い。ドメイン記憶部23が正常な接続先とされるドメインの情報を記憶する場合、攻撃判定部24は、ドメイン特定部21が特定したドメイン及びドメイン情報取得部22が取得したドメイン関連情報と、ドメイン記憶部23に記憶されている情報とを比較して、処理対象の通信が正常な通信であるか否かを判定する。また、攻撃者登録部25は、攻撃判定部24により正常な通信と判定された通信について、その通信のドメイン及びそのドメインのドメイン関連情報を、ドメイン記憶部23に登録する。このような構成により、ドメイン記憶部23に登録されているドメインは正常なドメインとされ、処理対象の通信のドメインやドメイン関連情報がドメイン記憶部23に登録されていれば、その通信は正常な通信として検出される。
【0070】
ここで、ドメインが不正な接続先であるか、または正常な接続先であるかは、予め定められた基準を満たすか否かによって判断される。例えば、あるドメインについて、正常な接続先と判断するための予め定められた基準を満たす場合には、そのドメインは正常な接続先としてドメイン記憶部23に記憶される。本実施の形態では、予め定められた基準を満たすドメインの一例として、不正な接続先とされるドメイン、または、正常な接続先とされるドメインが用いられる。
【0071】
なお、本発明の実施の形態を実現するプログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータが読取可能な記録媒体に記憶した状態で提供し得る。また、インターネットなどの通信手段を用いて提供することも可能である。
【0072】
また、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。
【符号の説明】
【0073】
10a,10b,10c…クライアント端末、20…攻撃検出装置、21…ドメイン特定部、22…ドメイン情報取得部、23…ドメイン記憶部、24…攻撃判定部、25…攻撃者登録部、26…通信遮断部、30…攻撃者サーバ、40…ドメイン情報管理サーバ