特許第6053646号(P6053646)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 三菱電機株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 三菱電機株式会社の特許一覧

特許6053646監視装置及び情報処理システム及び監視方法及びプログラム
<>
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000002
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000003
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000004
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000005
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000006
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000007
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000008
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000009
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000010
  • 特許6053646-監視装置及び情報処理システム及び監視方法及びプログラム 図000011
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6053646
(24)【登録日】2016年12月9日
(45)【発行日】2016年12月27日
(54)【発明の名称】監視装置及び情報処理システム及び監視方法及びプログラム
(51)【国際特許分類】
   G06F 21/55 20130101AFI20161219BHJP
   G06F 21/56 20130101ALI20161219BHJP
【FI】
   G06F21/55 340
   G06F21/56
【請求項の数】18
【全頁数】16
(21)【出願番号】特願2013-188055(P2013-188055)
(22)【出願日】2013年9月11日
(65)【公開番号】特開2015-55960(P2015-55960A)
(43)【公開日】2015年3月23日
【審査請求日】2016年1月15日
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】100099461
【弁理士】
【氏名又は名称】溝井 章司
(74)【代理人】
【識別番号】100152881
【弁理士】
【氏名又は名称】山地 博人
(72)【発明者】
【氏名】北澤 繁樹
(72)【発明者】
【氏名】松田 規
(72)【発明者】
【氏名】平野 貴人
(72)【発明者】
【氏名】河内 清人
(72)【発明者】
【氏名】桜井 鐘治
【審査官】 平井 誠
(56)【参考文献】
【文献】 特開2009−230325(JP,A)
【文献】 特表2009−514100(JP,A)
【文献】 特開2008−059575(JP,A)
【文献】 特開2006−343880(JP,A)
【文献】 特開2006−343886(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55−56
(57)【特許請求の範囲】
【請求項1】
端末装置に含まれているプログラムでは検出できない前記端末装置のユーザの行動を検出して、前記ユーザに操作されていた又は前記ユーザに操作され得る状態にあった前記端末装置が、前記ユーザに操作され得ない非操作状態になったことを検出する状態検出部と、
前記状態検出部により前記端末装置が非操作状態になったことが検出された場合に、前記端末装置からのデータ送信状況を監視するデータ送信状況監視部を有することを特徴とする監視装置。
【請求項2】
前記データ送信状況監視部は、
前記端末装置が非操作状態にある間に、前記端末装置からデータが送信されたことを検出した場合に、前記端末装置が不正に操作されたと判定することを特徴とする請求項1に記載の監視装置。
【請求項3】
前記状態検出部は、
前記ユーザが前記端末装置から離れたことを検出して、前記端末装置が非操作状態になったことを検出することを特徴とする請求項1に記載の監視装置。
【請求項4】
前記状態検出部は、
前記端末装置が配置されている、入室が制限されている居室から、前記ユーザが退室したことを検出して、前記端末装置が非操作状態になったことを検出することを特徴とする請求項1に記載の監視装置。
【請求項5】
前記監視装置は、更に、
前記端末装置に許可されているデータ送信先である許可データ送信先が示されるホワイトリストを記憶するホワイトリスト記憶部を有し、
前記データ送信状況監視部は、
前記端末装置からデータが送信されたことを検出した場合に、前記端末装置から送信されたデータの送信先と前記ホワイトリストに示される許可データ送信先とを比較し、前記端末装置から送信されたデータの送信先が前記許可データ送信先に一致しない場合に、前記端末装置が不正に操作されたと判定することを特徴とする請求項2に記載の監視装置。
【請求項6】
端末装置と、
前記端末装置に含まれているプログラムでは検出できない前記端末装置のユーザの行動を検出して、前記ユーザに操作されていた又は前記ユーザに操作され得る状態にあった前記端末装置が、前記ユーザに操作され得ない非操作状態になったことを検出し、非操作状態になった前記端末装置からのデータ送信状況を監視する監視装置とを有することを特徴とする情報処理システム。
【請求項7】
前記監視装置は、
前記端末装置が非操作状態にある間に、前記端末装置からデータが送信されたことを検出した場合に、前記端末装置が不正に操作されたと判定することを特徴とする請求項6に記載の情報処理システム。
【請求項8】
前記監視装置は、
前記ユーザが前記端末装置から離れたことを検出して、前記端末装置が非操作状態になったことを検出することを特徴とする請求項6に記載の情報処理システム。
【請求項9】
前記端末装置は、
マウスに接続されており、
前記ユーザに使用されていた又は前記ユーザに使用され得る状態にあった前記マウスが前記ユーザに使用され得ない状態になった際に、前記マウスが前記ユーザに使用されているときに前記マウスから出力されるマウス信号を疑似する疑似マウス信号を入力し、
入力した疑似マウス信号に対して、前記マウス信号に対する処理と同じ処理を行うことを特徴とする請求項6に記載の情報処理システム。
【請求項10】
前記端末装置は、
画像を表示するマウスパッド上で使用される光学式マウスに接続されており、
前記ユーザに使用されていた又は前記ユーザに使用され得る状態にあった前記光学式マウスが前記ユーザに使用され得ない状態になった際に、前記マウスパッドに表示される画像が変化することで前記光学式マウスが前記マウスパッド上で移動している状態が疑似され、前記光学式マウスの前記マウスパッド上での疑似移動軌跡が反映される疑似マウス信号を前記マウスパッド上で静止している前記光学式マウスから入力することを特徴とする請求項9に記載の情報処理システム。
【請求項11】
前記端末装置は、
自走可能なマウスに接続されており、
前記ユーザに使用されていた又は前記ユーザに使用され得る状態にあった前記マウスが前記ユーザに使用され得ない状態になった際に、前記マウスが自走し、自走による前記マウスの移動軌跡が反映される疑似マウス信号を前記マウスから入力することを特徴とする請求項9に記載の情報処理システム。
【請求項12】
前記端末装置は、
疑似マウス信号を生成するマウス入力模擬装置に接続されており、
前記ユーザに使用されていた又は前記ユーザに使用され得る状態にあった前記マウスが前記ユーザに使用され得ない状態になった際に、前記マウス入力模擬装置により生成された疑似マウス信号を前記マウス入力模擬装置から入力することを特徴とする請求項9に記載の情報処理システム。
【請求項13】
前記端末装置は、
キーボードに接続されており、
前記ユーザに使用されていた又は前記ユーザに使用され得る状態にあった前記キーボードが前記ユーザに使用され得ない状態になった際に、前記キーボードが前記ユーザに使用されているときに前記キーボードから出力されるキーボード信号を疑似する疑似キーボード信号を入力し、
入力した疑似キーボード信号に対して、前記キーボード信号に対する処理と同じ処理を行うことを特徴とする請求項6に記載の情報処理システム。
【請求項14】
前記端末装置は、
疑似キーボード信号を生成するキーボード入力模擬装置に接続されており、
前記ユーザに使用されていた又は前記ユーザに使用され得る状態にあった前記キーボードが前記ユーザに使用され得ない状態になった際に、前記キーボード入力模擬装置により生成された疑似キーボード信号を前記キーボード入力模擬装置から入力することを特徴とする請求項13に記載の情報処理システム。
【請求項15】
前記監視装置は、
前記端末装置が配置されている、入室が制限されている居室から、前記ユーザが退室したことを検出して、前記端末装置が非操作状態になったことを検出することを特徴とする請求項6に記載の情報処理システム。
【請求項16】
前記監視装置は、
前記居室に設置されたセキュリティゲートの前記ユーザの通過状況、前記居室に配置された監視カメラで撮影された前記ユーザの映像、会議室予約システムにおける前記ユーザの会議室の予約状況の少なくともいずれかを解析して、前記ユーザが前記居室から退室したことを検出することを特徴とする請求項15に記載の情報処理システム。
【請求項17】
コンピュータが、端末装置に含まれているプログラムでは検出できない前記端末装置のユーザの行動を検出して、前記ユーザに操作されていた又は前記ユーザに操作され得る状態にあった前記端末装置が、前記ユーザに操作され得ない非操作状態になったことを検出する状態検出ステップと、
前記状態検出ステップにより前記端末装置が非操作状態になったことが判定された場合に、前記コンピュータが、前記端末装置からのデータ送信状況を監視するデータ送信状況監視ステップとを有することを特徴とする監視方法。
【請求項18】
コンピュータを、請求項1に記載の監視装置として機能させることを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置に対する不正操作を検出する技術に関し、例えば、マルウェアによる不正操作を検知する技術に関する。
【0002】
従来のマルウェア検知技術は、専用のマルウェア実行環境を用意して、実際に不審なファイルを実行した際に観測されるふるまいを観測して、予め定義しておいた、マルウェアのふるまい定義に一致するふるまいが観測された場合に、実行したファイルがマルウェアであると判断していた(例えば、特許文献1)。
また、同様にふるまいを観測してマルウェアかどうか判断する方法として、アドレス走査情報検出、脆弱性攻撃コード検出、マルウェア分析手段がそれぞれ設定可能なサンドボックスを用いることによって、複数の分析を行う方法も提案されている(例えば、特許文献2)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−334536号公報
【特許文献2】特開2009−37545号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
マルウェアに対する解析が行われている環境ではマルウェアの動作が検知されてしまうので、このような環境ではマルウェアは動作せず、マルウェアとしての活動を行うことができる環境(マルウェアの動作が検知されにくい環境)にあることを検出してからマルウェアは動作する。
例えば、マルウェアは、実際にユーザが端末操作を行っていることを検出して、ユーザの端末操作にまぎれて動作することが多い。
従来の不審なファイルを実際に実行した際に観測されるふるまいを基に、マルウェアかどうか判断するマルウェア検知技術(例えば、特許文献1、特許文献2)では、不審なファイルがマルウェアとしての活動を行う条件が満たされない場合、マルウェアとしてのふるまいが観測されず、その結果として、従来のマルウェア検知技術を回避可能であるという課題があった。
【0005】
この発明は、このような課題を解決することを主な目的としており、有効にマルウェアを検知することができる構成を実現することを主な目的とする。
【課題を解決するための手段】
【0006】
本発明に係る監視装置は、
端末装置に含まれているプログラムでは検出できない前記端末装置のユーザの行動を検出して、前記ユーザに操作されていた又は前記ユーザに操作され得る状態にあった前記端末装置が、前記ユーザに操作され得ない非操作状態になったことを検出する状態検出部と、
前記状態検出部により前記端末装置が非操作状態になったことが検出された場合に、前記端末装置からのデータ送信状況を監視するデータ送信状況監視部を有することを特徴とする。
【発明の効果】
【0007】
本発明では、端末装置に含まれるプログラムでは検出できないユーザの行動を検出して、ユーザに操作されていた又はユーザに操作され得る状態にあった端末装置が非操作状態になったことを検出した場合に、端末装置からのデータ送信状況を監視する。
このため、端末装置にマルウェアに感染している場合に、マルウェアが検出し得ない非操作状態におけるデータ送信状況を監視することができ、マルウェアに察知されずにマルウェアを有効に検知することができる。
【図面の簡単な説明】
【0008】
図1】実施の形態1に係るシステム構成例を示す図。
図2】実施の形態1に係るシステムにおける動作例を示すフローチャート図。
図3】実施の形態2に係るマウスパッドの例を示す図。
図4】実施の形態3に係るシステム構成例を示す図。
図5】実施の形態3に係るシステムにおける動作例を示すフローチャート図。
図6】実施の形態3に係るシステム構成例を示す図。
図7】実施の形態3に係るシステム構成例を示す図。
図8】実施の形態3に係るシステム構成例を示す図。
図9】実施の形態1〜3に係る標的型攻撃検知装置の機能モジュールの例を示す図。
図10】実施の形態1〜3に係る標的型攻撃検知装置及び端末装置のハードウェア構成例を示す図。
【発明を実施するための形態】
【0009】
実施の形態1.
本実施の形態では、マルウェアが検出できない、入退室の状態などを用いることにより、ユーザが操作し得ない状況において、ユーザの端末が通信など不審なふるまいをするといった、矛盾を検出することにより、端末がマルウェアに感染していることを検知する構成を説明する。
【0010】
図1は、本実施の形態に係るシステム構成例を示す。
【0011】
図1において、居室100は、普段、ユーザが端末装置103を用いて業務を行う場所である。
居室100は、セキュリティゲート制御装置101によって、制御されたセキュリティゲート102を通してのみ、入退室ができるものとする。
また、入退室できるユーザも制限されているものとする。
端末装置103は、居室100の中に設置され、ユーザが情報処理業務を行うために設置された機器であり、信号入出力部104、演算部105、メモリ106を内蔵している。
また、端末装置103には、ユーザが端末装置103に入出力するためのデバイスの基本構成として、キーボード108、マウス109、モニタ107が接続されている。
【0012】
また、端末装置103はネットワーク110に接続されており、ネットワーク110を通じて、ネットワーク110に接続された他の機器と通信を行うことができる。
ネットワーク110に接続された他の機器には、例えば、ファイルサーバ111、認証サーバ112、メールサーバ113、プロキシ114、ファイアウォール115などがある。
また、インターネット116上のサーバとの通信には、メールサーバ113を介したメールの送受信、プロキシ114を介したWeb通信、FTP(File Trancefer Protocol)などがある。
【0013】
標的型攻撃検知装置117は、ファイルサーバ111や認証サーバ112と同様、組織内部のネットワーク110に接続されているものとする。
標的型攻撃検知装置117は、ネットワーク110に接続された、端末装置103のログや、ファイルサーバ111、認証サーバ112、メールサーバ113、プロキシ114、ファイアウォール115といった情報処理に関わる機器に加え、セキュリティゲート制御装置101のような、例えば居室100へのユーザの入室や退室といった、物理的な施設管理に関わるログも収集し、データベースに蓄積しているものとする。
標的型攻撃検知装置117は、データベースに蓄積されたログを、キーワードを基にした検索、ログの集計などの統計的な分析、予め定められたルール一致するかどうかに基づいた分析などを行う。
標的型攻撃検知装置117は、セキュリティ侵害や故障など、管理者に通知して対処が必要な事象を検知した場合には、アラートを生成し、管理者にアラートを通知する。
標的型攻撃検知装置117は、監視装置の例である。
【0014】
図9は、本実施の形態に係る標的型攻撃検知装置117の機能モジュールを示す。
【0015】
図9において、通信部11は、ネットワーク110に接続されている各機器からのログを受信する。
通信部11は、例えば、セキュリティゲート制御装置101のログ、メールサーバ113のログ、プロキシ114のログ等を受信する。
通信部11が受信したログは、データベースであるログ記憶部15に格納される。
【0016】
状態検出部12は、ログ記憶部15に格納されたセキュリティゲート制御装置101のログを解析して、ユーザが居室100から退出したことを検出する。
すなわち、状態検出部12は、端末装置に含まれているプログラム(マルウェア)では検出できないユーザの行動である居室100からの退出という行動を検出して、ユーザに操作されていた又はユーザに操作され得る状態にあった端末装置103が、ユーザに操作され得ない非操作状態になったことを検出する。
【0017】
データ送信状況監視部13は、状態検出部12によりユーザが居室100から退出して端末装置103が非操作状態になったことが検出された場合に、端末装置103からのデータ送信状況を監視する。
そして、端末装置103が非操作状態にある間に、端末装置103からデータが送信されたことを検出した場合に、データ送信状況監視部13は、端末装置103がマルウェアにより不正に操作されたと判定する。
また、データ送信状況監視部13は、端末装置103からデータが送信されたことを検出した場合に、端末装置103からのデータの送信先がホワイトリストに記載されている許可された送信先(許可データ送信先)に一致するか否かを判定し、データ送信先がホワイトリストの送信先に一致しない場合に、端末装置103がマルウェアにより不正に操作されたと判定するようにしてもよい。
なお、ホワイトリストは、ホワイトリスト記憶部16に格納されている。
【0018】
アラート生成部14は、データ送信状況監視部13により、端末装置103がマルウェアにより不正に操作されたと判定された場合に、端末装置103がマルウェアにより不正に操作されていることを通知するアラートを生成し、アラートを出力する。
【0019】
次に、図2を参照して、標的型攻撃検知装置117の動作を説明する。
なお、標的型攻撃検知装置117の動作としては、各種ログを収集し、ログ記憶部15へ格納する動作と、収集したログを分析する動作の2つがあるが、各種ログを収集し、ログ記憶部15へ格納する動作は、一般的なログ収集技術で実現できることから、ここでは、ログ分析技術の動作に重点を置いて説明を行う。
【0020】
まず、通信部11が、セキュリティゲート制御装置101から、端末装置103のユーザが居室100から退室したログを受け取る(S201)。
その後、端末装置103のユーザが入室するのを待ちながら(S202)、データ送信状況監視部13が、ユーザの端末装置103から通信が発生するかどうかを監視する(S203)。
通信が行われたかどうかは、ログ記憶部15に収集されていく各種ログから判断する。
例えば、インターネット116への通信は、メールサーバ113のメール送信ログやプロキシ114のログに通信が記録されている。
また、ファイルサーバ111のログには、いつどの端末からどのユーザがどのファイルにアクセスしたかが記録されている。
また、認証サーバのログには、いつどのユーザで認証が行われたかが記録されている。
データ送信状況監視部13は、ユーザが居室100を退出した後に各機器からリアルタイムに送信されてくるログを解析して、端末装置103からのデータ送信状況を監視する。
【0021】
ユーザが居室100に入室した際(S202でYES)には、データ送信状況監視部13は、監視のループから抜けて、処理を終了する。
ユーザの端末装置103から通信が発生した場合(S203でYES)は、データ送信状況監視部13は、通信の宛先がホワイトリストに記載されているかどうか確認する(S204)。
宛先がホワイトリストに記載されていた場合(S204でYES)には、データ送信状況監視部13は、監視のループに戻る。
宛先がホワイトリストになかった場合(S204でNO)、ユーザが端末装置103を操作し得ない状況(例えば、退室している状況)において、端末装置103から行われた通信であり、データ送信状況監視部13は、不正な通信が行われたものと判断し(S205)、アラート生成部14が、アラートを生成して(S206)、管理者に通知する。
【0022】
なお、セキュリティゲート制御装置101の代わりに、監視カメラの映像から、ユーザの離席と在席を判定してもよい。
この場合、ユーザが居室100に入室していても席を離れており、端末装置103を操作し得ない状況も検出できるため、より、高精度に端末操作の有無を判定することができる。
【0023】
また、セキュリティゲート制御装置101の代わりに、居室100内にある会議室の予約WF(Work Flow)と連動し、会議の出席メンバーに含まれている場合、離席している可能性が高いと判断することもできる。
【0024】
以上のように、セキュリティゲート制御装置101のログから得られる入退室のログを基に、ユーザが端末装置103を操作し得ない状況を検出し、その間に不正な通信が行われるかどうか監視することにより物理的な矛盾を検出することによって、端末装置103から行われた通信がマルウェアの活動によるものであると判断し、端末装置103がマルウェアに感染している可能性が高いと判断することができる。
これにより、標的型攻撃によって、仮に、端末装置103がマルウェアに感染してしまったとしても、それを検知することが可能となる。
さらに、マルウェアではなくとも、ユーザが退室中に別のユーザが端末装置103を不正に操作して、ファイルサーバ111やインターネット116へ通信を行った場合であっても、端末装置103が不正に操作されたことを検知できる。
【0025】
以上、本実施の形態では、以下の手段を備えたシステムを説明した。
居室の入退室を制御する手段(セキュリティゲート)
セキュリティゲートを制御する手段
情報処理業務を遂行する手段(端末)
通信の有無を記録する手段(プロキシや各サーバのアクセスログ)
セキュリティゲートのログと端末の通信のログから物理的な矛盾を検出することでマルウェアの活動や端末の不正な操作を検知する手段
【0026】
また、本実施の形態では、以下の手段を備えたシステムを説明した。
監視カメラの映像から離席と在席を判定する手段
情報処理業務を遂行する手段(端末)
通信の有無を記録する手段(プロキシや各サーバのアクセスログ)
監視カメラのログと端末の通信のログから物理的な矛盾を検出することでマルウェアの活動や端末の不正な操作を検知する手段
【0027】
また、本実施の形態では、以下の手段を備えたシステムを説明した。
会議室予約WFから離席と在席を判定する手段
情報処理業務を遂行する手段(端末)
通信の有無を記録する手段(プロキシや各サーバのアクセスログ)
会議室予約WFと端末の通信のログから物理的な矛盾を検出することでマルウェアの活動や端末の不正な操作を検知する手段
【0028】
実施の形態2.
以上の実施の形態1では、ユーザが端末装置を操作し得ない状況において、端末装置から通信が発生した場合に、マルウェアへの感染や他のユーザによる不正操作を検知するようにしている。
次に、マルウェアがユーザの端末操作を観察し、ユーザが端末装置を使っている時のみに業務の通信にまぎれて活動を行うような場合に、それを検知する実施形態を示す。
【0029】
図3は、本実施の形態に用いるマウスパッド301の例を示す。
【0030】
マウスパッド301は、液晶部分302を備えている。
なお、マウスは、光センサによって動きを感知する光学式マウスであるとする。
ユーザが居室100を退出する前に、端末装置103に接続されたマウスをマウスパッド301の上に乗せてから退室する。
マウスパッドは、ユーザによってマウスがマウスパッド301の液晶部分302に置かれたことを感知するか、または、ユーザが明示的にマウスパッドを操作することによって、液晶部分302に描かれている画像をランダムに動作させる。
すると、液晶部分302に乗せられたマウスは、あたかもマウスが動かされているものと誤認し、マウスの動作信号を端末装置103に送る。
端末装置103では、マウスから入力されたマウスの動作信号を認識して、モニタ上のマウスポインターを動作させる。
マルウェアは、マウスからマウスの動作信号が送られてきているため、ユーザが端末装置103を操作しているものと誤認して活動を行う。
この際、端末装置103から通信が発生したことを基に、端末装置103がマルウェアに感染しているか否かを判断する方式は、実施の形態1で説明したものと同じである。
【0031】
このように、ユーザに使用されていた又はユーザに使用され得る状態にあった光学式マウスがユーザに使用され得ない状態になった際に、マウスパッド301に表示される画像が変化することで光学式マウスがマウスパッド301上で移動している状態が疑似され、光学式マウスのマウスパッド301上での疑似移動軌跡が反映される疑似マウス信号がマウスパッド301上で静止している光学式マウスから出力される。
そして、端末装置103では、マウスからの疑似マウス信号に対して、通常のマウス信号に対する処理と同じ処理を行う。
これにより、端末装置103内のマルウェアは、端末装置103がユーザに使用されていると誤認することになる。
【0032】
なお、実施の形態2では、液晶部分302を備えたマウスパッド301を用いて、光学式のマウスを動作させる方法について説明したが、液晶部分302を備えたマウスパッド301の代わりにタブレット端末を用いるようにしてもよい。
つまり、液晶画面の図柄を動作させるアプリケーションをタブレット端末に実装し、ユーザが退室した際に、当該アプリケーションが起動して、液晶画面の図柄を変化させるようにしてもよい。
また、液晶部分302を備えたマウスパッド301を用いずに、マウスが定められた範囲を自走するように実装してもよい。
自走式の場合は、必ずしも光学式のマウスである必要はない。
自走式の場合は、ユーザが退室した際に、マウスが自走し、自走によるマウスの移動軌跡が反映される疑似マウス信号が出力される。
そして、端末装置103では、マウスからの疑似マウス信号に対して、通常のマウス信号に対する処理と同じ処理を行う。
これにより、端末装置103内のマルウェアは、端末装置103がユーザに使用されていると誤認することになる。
【0033】
以上のように、ユーザの離席時に、マウスの動作信号を端末装置に送ることにより、マルウェアにユーザが端末装置を操作していると誤認させることによって、マルウェアの活動を促し、ユーザが退室している場合の、端末動作状況の矛盾からマルウェアの活動を検知している。
これにより、マウスの動作信号を基に、ユーザが端末を操作しているかどうかを判断しているマルウェアを検知可能となる。
【0034】
以上、本実施の形態では、以下の手段を備えたシステムを説明した。
マルウェアの活動や端末の不正な操作を検知する手段
光学式マウスから動作信号を出させる手段(液晶部分つきマウスパッド)
【0035】
また、本実施の形態では、以下の手段を備えたシステムを説明した。
マルウェアの活動や端末の不正な操作を検知する手段
マウスを自走させるようにして動作信号を出させる手段(自走式マウス)
【0036】
実施の形態3.
以上の実施の形態2では、マウスの動作信号を端末装置に送ることによって、マルウェアにユーザが端末装置を操作していると誤認させることによって、マルウェアの活動を促し、ユーザが退室している場合の、端末動作状況の矛盾からマルウェアの活動を検知している。
次に、マルウェアがユーザの端末操作として、キーボードへの入力を観察し、ユーザが端末装置を使っている時のみに業務の通信にまぎれて活動を行うような場合に、それを検知する実施形態を示す。
【0037】
図4は、実施の形態3に係るシステム構成例を示す。
図1との差分は、ユーザが不在の間にキーボードの入力を模擬するキーボード入力模擬装置401のみであるので、その他の装置や機能に関する説明は省略する。
キーボード入力模擬装置401は、キーボードの入力信号を端末装置に中継する位置に設置されている。
【0038】
次に、図5を用いてキーボード入力模擬装置401の動作について説明する。
【0039】
ユーザの退室時(S501)に、セキュリティゲート制御装置101から、ネットワーク経由で、端末装置を経由し(S502)、キーボード入力模擬装置401に、ユーザの退室を通知する退室信号が送られる(S503)。
【0040】
セキュリティゲート制御装置101からの退室信号を受信した場合に、キーボード入力模擬装置401は、端末装置103にキーボード入力を受け付けるプログラム(例えば、テキストエディタ)を起動するよう命令を発行し(S504)、端末装置103へランダムなキーボード入力信号(疑似キーボード信号)を送信する(S505)。
キーボード入力信号を受信した端末装置103では、起動されたキーボード入力を受け付けるプログラム上に、キーボード入力模擬装置401からのキーボード入力信号を入力する。
端末装置103では、ユーザ操作時のキーボード108からのキーボード入力信号に対する処理と同じ処理を、キーボード入力模擬装置401からのキーボード入力信号に対して行う。
【0041】
ユーザが入室した際には、退室時と同様に、セキュリティゲート制御装置101から端末装置103経由で、ユーザの入室を通知する入室信号がキーボード入力模擬装置401へ送られる(S506〜S509)。
入室信号を受信したキーボード入力模擬装置401は、端末装置103上で起動したプログラムを終了する(S510)。
【0042】
マルウェアは、キーボードからの入力信号が送られてきているため、ユーザが端末装置を操作しているものと誤認して活動を行う。
この際、端末装置から通信が発生したことを基に、端末装置がマルウェアに感染しているか否かを判断する方式は、実施の形態1で説明したものと同じである。
【0043】
なお、キーボード入力模擬装置401は、USB(Universal Serial Bus)のハブやICカードリーダ、ライタなど、キーボード入力模擬以外の機能と一緒に実装していてもよい。
また、図6に示すように、マウスを接続可能とし、マウス・キーボード入力模擬装置601として実装してもよい。
この場合、実施の形態2ではできなかった、マウスのクリック信号の模擬が可能となるため、より、マルウェアに誤認させやすいという利点がある。
また、マウス・キーボード入力模擬装置601の機能は、キーボード、マウスの個々の機能として実装してもよい。
この場合、マウス・キーボード入力模擬装置601という外部デバイスが必要なくなるため、構成を簡略化できる。
また、図7に示すように、マウス・キーボード入力模擬装置701を、キーボードやマウスの接続とは独立させた構成にしてもよい。
この場合、端末装置103からは、キーボード、マウスがそれぞれ2つずつ接続されているように認識される。
また、マウス・キーボード入力模擬装置601、701の代わりに、キーボード入力模擬装置401と、疑似マウス信号を出力するマウス入力模擬装置を端末装置103に接続するようにしてもよい。
【0044】
また、図8に示すように、キーボード、マウスを無線受信装置801に接続し、無線送信装置802から送信されるキーボード、マウスの模擬信号を無線で送るように実装してもよい。
この場合、マウス・キーボード入力模擬装置803を端末装置103の数だけ用意する必要がなくなるため、導入コストを抑えることができる。
【0045】
また、以上の実施の形態では、マウスやキーボードの入力模擬で、ランダムな入力としてきたが、意味のある定型文や、実際にユーザが入力したキーボード入力やマウスの動きを一定時間分記憶しておき、模擬信号を出す際には、それらを基に信号を送ることによって、より、ユーザの入力と見分けがつかなくなるようにしてもよい。
これにより、マルウェアに対して、ユーザが端末装置を操作していると誤認させやすくなる。
【0046】
以上のように、キーボードやマウスの入力を模擬することにより、マルウェアにユーザが端末を操作していると誤認させることによって、マルウェアの活動を促し、ユーザが退室している場合の、端末動作状況の矛盾からマルウェアの活動を検知している。
これにより、キーボードやマウスの動作信号を基に、ユーザが端末装置を操作しているかどうかを判断しているマルウェアを検知可能となる。
【0047】
以上、本実施の形態では、以下の手段を備えたシステムを説明した。
マルウェアの活動や端末の不正な操作を検知する手段
キーボードの入力信号を模擬して有線経由で端末に伝える手段
【0048】
また、本実施の形態では、以下の手段を備えたシステムを説明した。
マルウェアの活動や端末の不正な操作を検知する手段
キーボードとマウスの入力信号を模擬して有線経由で端末に伝える手段
【0049】
また、本実施の形態では、以下の手段を備えたシステムを説明した。
マルウェアの活動や端末の不正な操作を検知する手段
キーボードとマウスの入力信号として定型文や一定期間ユーザが入力した信号を記憶しておき、それを基に模擬して有線経由で端末に伝える手段。
【0050】
また、本実施の形態では、以下の手段を備えたシステムを説明した。
キーボードやマウスの模擬入力信号を無線で送る手段
模擬入力信号を受信して端末に送信する手段
【0051】
最後に、実施の形態1〜3に示した標的型攻撃検知装置117及び端末装置103のハードウェア構成例を図10を参照して説明する。
標的型攻撃検知装置117及び端末装置103はコンピュータであり、標的型攻撃検知装置117及び端末装置103の各要素をプログラムで実現することができる。
標的型攻撃検知装置117及び端末装置103のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
【0052】
演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、例えば、NIC(Network Interface Card)である。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
【0053】
プログラムは、通常は外部記憶装置902に記憶されており、主記憶装置903にロードされた状態で、順次演算装置901に読み込まれ、実行される。
プログラムは、図1に示す「〜部」(「〜記憶部」を除く、以下も同様)として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜3の説明において、「〜の判断」、「〜の判定」、「〜の検出」、「〜の検知」、「〜の解析」、「〜の監視」、「〜の設定」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
また、暗号鍵・復号鍵や乱数値やパラメータが、主記憶装置903にファイルとして記憶されてもよい。
【0054】
なお、図10の構成は、あくまでも標的型攻撃検知装置117及び端末装置103のハードウェア構成の一例を示すものであり、標的型攻撃検知装置117及び端末装置103のハードウェア構成は図10に記載の構成に限らず、他の構成であってもよい。
【0055】
また、実施の形態1〜3に示す手順により、本発明に係る監視方法を実現可能である。
【符号の説明】
【0056】
11 通信部、12 状態検出部、13 データ送信状況監視部、14 アラート生成部、15 ログ記憶部、16 ホワイトリスト記憶部、100 居室、101 セキュリティゲート制御装置、102 セキュリティゲート、103 端末装置、104 信号入出力部、105 演算部、106 メモリ、107 モニタ、108 キーボード、109 マウス、110 ネットワーク、111 ファイルサーバ、112 認証サーバ、113 メールサーバ、114 プロキシ、115 ファイアウォール、116 インターネット、117 標的型攻撃検知装置、301 マウスパッド、302 液晶部分、401 キーボード入力模擬装置、601 マウス・キーボード入力模擬装置、701 マウス・キーボード入力模擬装置、801 無線受信装置、802 無線送信装置、803 マウス・キーボード入力模擬装置。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.