特許 6063340 指令元特定装置、指令元特定方法、及び指令元特定プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6063340

(24)【登録日】2016年12月22日

(45)【発行日】2017年1月18日

(54)【発明の名称】指令元特定装置、指令元特定方法、及び指令元特定プログラム

(51)【国際特許分類】

   G06F 21/55 20130101AFI20170106BHJP

   G06F 21/56 20130101ALI20170106BHJP

【ＦＩ】

   G06F21/55

   G06F21/56

【請求項の数】7

【全頁数】11

(21)【出願番号】特願2013-96603(P2013-96603)

(22)【出願日】2013年5月1日

(65)【公開番号】特開2014-219741(P2014-219741A)

(43)【公開日】2014年11月20日

【審査請求日】2016年1月22日

(73)【特許権者】

【識別番号】399035766

【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東 忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東 忠彦

(72)【発明者】

【氏名】畑田 充弘

【審査官】 岸野 徹

(56)【参考文献】

【文献】 特開２０１０−９１８７（ＪＰ，Ａ）

【文献】 溝口 誠一郎 Seiichiro Mizoguchi，Ｃ＆Ｃサーバ通信の情報共有によるハーダ追跡フレームワーク Herder Traceback Framework by Information Sharing of C & C Server Communications，２０１１年 暗号と情報セキュリティシンポジウム ＳＣＩＳ２０１１ ［ＣＤ−ＲＯＭ］ ２０１１年 暗号と情報セキュリティシンポジウム （ＳＣＩＳ２０１１） Symposium on Cryptography and Information Security 2011 Symposium on Cryptography and Information Security，日本，２０１１年 １月２５日，pp.1〜6

【文献】 仲間 政信 Masanobu Nakama，Ｃ＆Ｃサーバ振る舞い情報抽出・分析システムの提案 Behavior Tracing System for Botnet C & C Servers，２０１３年 暗号と情報セキュリティシンポジウム ＳＣＩＳ２０１３ ［ＣＤ−ＲＯＭ］ ２０１３年 暗号と情報セキュリティシンポジウム概要集 Symposium on Cryptography and Information Security Abstracts of the 2013 Symposium on Cryptography and Information Security，日本，２０１３年 １月２２日，pp.1〜8

【文献】 名雲 孝昭 TAKAAKI NAGUMO，ボットネット多段追跡システムにおける最終段階追跡方式の提案と評価 Proposal and Evaluation of Final Step Tracing Method in Botnet Multistep Tracing System，情報処理学会論文誌 論文誌ジャーナル Ｖｏｌ．５２ Ｎｏ．１２ ［ＣＤ−ＲＯＭ］ IPSJ Journal，日本，一般社団法人情報処理学会，２０１１年１２月１５日，第52巻，pp.3766〜3774

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５６

Ｇ０６Ｆ ２１／５５

(57)【特許請求の範囲】

【請求項1】

所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、
を備えることを特徴とする指令元特定装置。

【請求項2】

前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定する
ことを特徴とする請求項１に記載の指令元特定装置。

【請求項3】

前記所定の条件は、送信バイト数、送信周期、ｈｔｔｐヘッダ、又は、ポート番号に基づく条件である
ことを特徴とする請求項１又は２に記載の指令元特定装置。

【請求項4】

前記所定のサーバは、Ｃ＆Ｃサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である
ことを特徴とする請求項１ないし３のうちいずれか１項に記載の指令元特定装置。

【請求項5】

前記グループ分け手段は、
対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外する
ことを特徴とする請求項１ないし４のうちいずれか１項に記載の指令元特定装置。

【請求項6】

指令元特定装置が実行する指令元特定方法であって、
所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得ステップと、
前記取得ステップにより取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分けステップと、
前記グループ分けステップによるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定ステップと、
を備えることを特徴とする指令元特定方法。

【請求項7】

コンピュータを、請求項１ないし５のうちいずれか１項に記載の指令元特定装置の各手段として機能させるための指令元特定プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、マルウェアの解析技術に関連するものであり、特に、マルウェアに感染した感染装置に対して指令を行う指令者装置を特定する技術に関するものである。

【背景技術】

【0002】

近年、様々なマルウェア（不正ソフトウェア）が出現している。マルウェアの中には、感染後にインターネット上のＣ＆Ｃサーバ（Command&Control Server）に接続することで指令者からの命令を待ち受け、ボットネットを構成するものがある。なお、Ｃ＆Ｃサーバとは、マルウェアに感染してボットと化したコンピュータ群（ボットネット）に指令（Command）を送り、制御（Control）の中心となるサーバのことである。

【0003】

このようなマルウェアが多数ばらまかれると、多数の装置が感染し、Ｃ＆Ｃサーバに接続しにいくことになる。指令者はこれら多数のマルウェアに対してＣ＆Ｃサーバ経由で指令を送信することで感染装置を操作することが可能となる。このような遠隔操作を防ぐ方法として、感染装置とＣ＆Ｃサーバとの接続を断つ方法は従来から存在する。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特開２０１０−０１５５１３号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

しかしながら、Ｃ＆Ｃサーバが複数ある場合には、１つのＣ＆Ｃサーバとの接続を断ったとしてもマルウェアは次のＣ＆Ｃサーバへ接続を行う。このため、Ｃ＆Ｃサーバが多数あるような場合には、全てのＣ＆Ｃサーバを突き止めて接続を断つ必要があり、非効率である。

【0006】

本発明は上記の点に鑑みてなされたものであり、Ｃ＆Ｃサーバを経由して感染装置に対して操作指令を行う指令者装置を特定し、指令者装置とＣ＆Ｃサーバとの間の接続を断つことを可能とする技術を提供することを目的とする。

【課題を解決するための手段】

【0007】

上記の課題を解決するために、本発明は、所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、を備えることを特徴とする指令元特定装置として構成される。

【0008】

なお、前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置は、例えば、前記グループ分け手段によりグループ分けされた対向装置のうち、グループに属する装置数が最小の対向装置である。

【0009】

前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定するようにしてもよい。

【0010】

前記所定の条件は、例えば、送信バイト数、送信周期、ｈｔｔｐヘッダ、又は、ポート番号に基づく条件である。また、例えば、前記所定のサーバは、Ｃ＆Ｃサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である。

【0011】

前記グループ分け手段は、対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外するようにしてもよい。

【0012】

また、本発明は、前記指令元特定装置が実行する指令元特定方法、及び、コンピュータを、前記指令元特定装置の各手段として機能させるための指令元特定プログラムとして構成することもできる。

【発明の効果】

【0013】

本発明によれば、Ｃ＆Ｃサーバを経由して感染装置に対して操作指令を行う指令者装置を特定することができるので、指令者装置とＣ＆Ｃサーバとの間の接続を断つことで、感染装置が遠隔操作されることを迅速に防止することが可能となる。

【図面の簡単な説明】

【0014】

【図1】本発明の実施の形態に係るシステムの全体構成図である。

【図2】本発明の実施の形態に係る指令元特定装置１００の機能構成図である。

【図3】指令元特定装置１００の動作を説明するためのフローチャートである。

【図4】グループ分け処理部１０３によるグループ分けの結果の例を示す図である。

【図5】Ｃ＆Ｃサーバの多段構成の例を示す図である。

【発明を実施するための形態】

【0015】

以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

【0016】

本実施の形態では、Ｃ＆Ｃサーバと他の装置との間の通信を監視し、当該Ｃ＆Ｃサーバと通信している対向装置と当該Ｃ＆Ｃサーバとの間の通信に係るパケットの情報に基づいて、Ｃ＆Ｃサーバとの通信パターンを解析し、当該通信パターンにより対向装置をグループ分けする。そして、本実施の形態では、通信パターンに属する対向装置数が多いグループをマルウェア感染装置のグループとみなし、それ以外を指令者装置として抽出することとしている。以下、本実施の形態での処理内容をより詳細に説明する。

【0017】

（システム構成）
図１に、本発明の実施の形態に係るシステムの全体構成図を示す。図１に示す例では、マルウェアに感染した感染装置１０、Ｃ＆Ｃサーバ２０、及び指令者装置３０が通信ネットワーク４０（例：インターネット）に接続されている。また、本発明に係る指令者装置特定のための解析処理等を実行する指令元特定装置１００が通信ネットワーク４０に接続されている。図１に示すように、指令者装置３０がＣ＆Ｃサーバ２０経由で感染装置に指令を送る。

【0018】

本実施の形態では、感染装置１０は、定期的にＣ＆Ｃサーバ２０に対し、接続が有効であり、自分が制御下にいることを示すＫｅｅｐＡｌｉｖｅパケットを送信することを想定している。また、Ｃ＆Ｃサーバ２０と他の装置との間の通信に係るパケットが通過する通信装置５０が通信ネットワーク４０内に存在する。指令元特定装置１００は、当該通信装置５０により送受信されるパケットを監視し、後述する指令者装置３０の特定処理を行う。

【0019】

上記の通信装置５０は、例えばルータ、スイッチ等であり、１台とは限らず、複数台であってもよい。また、上記のパケットの監視方法については、例えば、指令元特定装置１００が、通信装置５０により送受信される全てのパケットを取得（キャプチャ）し、取得したパケットを解析することとしてもよいし、所定のフロープロトコルを用いて、予め指定したフロー条件（例：送信先ＩＰアドレス、送信元ＩＰアドレス）に合致するパケットのみを取得し、解析することとしてもよい。また、取得する情報としては、パケットの全ての情報を取得してもよいし、解析に必要な情報（例：ヘッダ情報）のみを取得することとしてもよい。

【0020】

以下で説明する例では、全てのパケットの情報を取得することを想定している。なお、本実施の形態において、パケットの取得及び解析はリアルタイムに行ってもよいし、リアルタイムでなくてもよい。リアルタイムでない場合とは、例えば、ある期間において送受信されるパケットをサンプルとして取得しておき、後で解析を行うような場合である。

【0021】

図２に、本実施の形態に係る指令元特定装置１００の機能構成図を示す。図２に示すように、指令元特定装置１００は、パケット情報取得部１０１、対象パケット情報抽出部１０２、グループ分け処理部１０３、指令者装置特定部１０４、通信切断処理部１０５、パケット情報格納部１０６、Ｃ＆Ｃサーバ情報格納部１０７を備える。これらの機能部の概要は以下のとおりである。指令元特定装置１００の動作詳細については動作説明のところで説明する。

【0022】

パケット情報取得部１０１は、通信装置５０において送受信されるパケットの情報を取得し、取得した情報をパケット情報格納部１０６に格納する。本例では、現在時刻（タイムスタンプ）が付されたパケット情報が取得され、パケット情報格納部１０６にはタイムスタンプとともにパケット情報が格納される。上記タイムスタンプは、当該パケットが通信装置５０により受信もしくは送信される時刻と見なしてよい。

【0023】

Ｃ＆Ｃサーバ情報格納部１０７には、別途行われた解析等により、Ｃ＆Ｃサーバ２０のアドレス（ＩＰアドレス等）であると特定されたアドレスが格納されており、対象パケット情報抽出部１０２は、当該アドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部１０６から抽出する。

【0024】

グループ分け処理部１０３は、対象パケット情報抽出部１０２により抽出されたＣ＆Ｃサーバ２０との通信に係るパケットの対向装置側のアドレス（ＩＰアドレス等）を所定のパターンでグループ分けし、グループ分けした結果を指令者装置特定部１０４に渡す。指令者装置特定部１０４は、グループ分け処理部１０３によるグループ分けの結果に基づき指令者装置３０の（アドレスの）候補を特定し、当該候補について所定の通信動作が検出された場合に、指令者装置３０の候補を指令者装置３０として特定する。通信切断処理部１０５は、指令者装置特定部１０４により特定された指令者装置３０の通信を切断する処理を行う。

【0025】

本実施の形態に係る指令元特定装置１００は、指令元特定装置１００として使用するコンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、指令元特定装置１００における各機能部は、コンピュータに内蔵されるＣＰＵやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。

【0026】

（指令元特定装置１００の動作）
以下、図３のフローチャートの手順に沿って指令元特定装置１００の動作を説明する。なお、指令元特定装置１００は、様々なＣ＆Ｃサーバに対しての指令装置の特定を行うことができるが、以下の例では、特定のＣ＆Ｃサーバ２０に着目した処理を示している。

【0027】

パケット情報取得部１０１は、通信装置５０において送受信されるパケットの情報を取得し、取得した情報をタイムスタンプとともにパケット情報格納部１０６に格納する（ステップ１０１）。この処理は、常時あるいは所定の期間、通信装置５０においてパケットが送受信される度に行われる。

【0028】

次に、対象パケット情報抽出部１０２が、Ｃ＆Ｃサーバ情報格納部１０７に格納されているＣ＆Ｃサーバ２０のアドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部１０６から抽出する（ステップ１０２）。

【0029】

そして、グループ分け処理部１０３は、対象パケット情報抽出部１０２により抽出されたＣ＆Ｃサーバ２０との通信に係るパケットの情報を解析することで、Ｃ＆Ｃサーバ２０と通信する対向装置（のアドレス（例：ＩＰアドレス））をグループ分けし、グループ分けした結果を指令者装置特定部１０４に渡す（ステップ１０３）。

【0030】

本実施の形態では、例えば、Ｃ＆Ｃサーバ２０宛てパケットの送信周期、Ｃ＆Ｃサーバ２０宛てパケットの送信バイト数、Ｃ＆Ｃサーバ２０を送信元とするパケットの送信バイト数、Ｃ＆Ｃサーバ２０宛てパケットのｈｔｔｐヘッダ、Ｃ＆Ｃサーバ２０宛てパケットのポート番号、Ｃ＆Ｃサーバ２０を送信元とするパケットのポート番号のうちのいずれか１つ又は複数を用いて、対向装置をグループ分けする。

【0031】

Ｃ＆Ｃサーバ２０宛てパケットの送信周期に関して、前述した感染装置１０からのＫｅｅｐＡｌｉｖｅパケットは、所定時間間隔で送信される場合が多いことが想定されることから、同じ送信周期で送信されるパケットの送信元（送信元のアドレスであり、対向装置を表す、以下同様）が複数ある場合、それらは同じグループにまとめられる。また、例えば、上記のような送信周期のパケットを送信していない送信元が１つだけであるとすると、当該送信元は上記グループ以外のグループに分類される。このようなグループ分け処理は、タイムスタンプを参照することで実現可能である。

【0032】

パケットの送信バイト数に関して、感染装置１０から送信されるＫｅｅｐＡｌｉｖｅパケットのバイト数、及びＫｅｅｐＡｌｉｖｅパケットに対する応答パケットのバイト数はそれぞれ固定的に決まっている場合があることが想定されることから、同じ送信バイト数を持つＣ＆Ｃサーバ２０宛てパケットの送信元、もしくは、同じ送信バイト数を持つＣ＆Ｃサーバ２０を送信元とするパケットの送信先をそれぞれ同じグループとする。

【0033】

ｈｔｔｐヘッダに関し、例えば、ｈｔｔｐヘッダ中のｕｓｅｒ ａｇｅｎｔの情報が同じパケットの送信元を同一のグループとすることができる。更に、マルウェアに感染した感染装置１０は、Ｃ＆Ｃサーバとｈｔｔｐで通信することが多く、また、感染装置１０から送信されるｈｔｔｐパケットに付されるｈｔｔｐヘッダは、通常のブラウザから送信されるパケットのヘッダに比べて、不要な情報が削除された内容を持つという特徴がある。そこで、情報量が所定の値より小さいｈｔｔｐヘッダを持つパケットの送信元を同じグループにすることとしてもよい。

【0034】

ポート番号に関して、例えば、ＷｅｂサーバがＣ＆Ｃサーバにされた場合、Ｃ＆Ｃサーバ宛てパケットの宛先ポート番号は、通常のＷｅｂサーバとは異なる所定の値となることが想定されることから、同じ宛先ポート番号を有するＣ＆Ｃサーバ宛てパケットの送信元を同じグループとする。また、マルウェア側の送信ポートがあるポートに固定されることも考えられるため、送信元ポートが同じであるＣ＆Ｃサーバ２０宛てパケットの送信元を同じグループに分類する、もしくは宛先ポートが同じであるＣ＆Ｃサーバ２０からのパケットの送信先を同じグループに分類する。

【0035】

グループ分け処理部１０３は、上記のグループ分けを、送信周期、送信バイト数、ｈｔｔｐヘッダ、ポート番号等のいずれか１つについて行ってもよいし、複数について行ってもよい。また、以上のグループ分けの方法は一例に過ぎず、他の条件を用いてグループ分けを行ってもよい。例えば、送信周期、送信バイト数は、ＫｅｅｐＡｌｉｖｅパケットの規則性に着目したものであるが、その他にも、感染装置１０が送受信するパケットにおいて規則性が見られるパケットがあれば当該規則性に基づく条件でグループ分けを行うことができる。

【0036】

次に、指令者装置特定部１０４が、グループ分け処理部１０３によるグループ分けの結果を用いて、指令者装置３０の候補の抽出を行う（ステップ１０４）。ここでは、指令者装置特定部１０４は、グループ分け処理部１０３によるグループ分けの結果、グループに属する対向装置（のアドレス）の数が最も少ないグループに属する対向装置を指令者装置３０の候補として特定する。あるいは、対向装置の数が所定の値以上であるグループ以外のグループに属する対向装置を指令者装置３０の候補として特定してもよい。

【0037】

例えば、グループ分け処理部１０３がある条件でグループ分けを行った結果、図４に示すような結果が得られたものとする。つまり、１０個の対向装置を含むグループＡ、５個の対向装置を含むグループＢ、及び１個の対向装置を含むグループＣとグループＤが得られたものとする。このとき、指令者装置特定部１０４は、グループＣの対向装置Ｃ１とグループＤの対向装置Ｄ１を指令者装置３０の候補として決定する。ここで、候補が１つだけであれば、それを指令者装置３０として特定してもよいし、１つだけである場合も、後述する指令者装置特定処理を行ってもよい。

【0038】

なお、グループ分け処理部１０３が、例えば、送信周期と送信バイト数のように、複数の条件に基づいてグループ分けを行う場合、それぞれについて得られた指令者装置３０の候補のＡＮＤをとって指令者装置３０の候補とすることができる。例えば、送信周期でグループ分けした結果、対向装置Ｘ１とＸ２が候補として特定され、送信バイト数でグループ分けした結果、対向装置Ｘ１とＹ１が候補として特定された場合、これらのＡＮＤをとって、対向装置Ｘ１を指令者装置３０の候補とする。

【0039】

次に、指令者装置特定部１０４は、ステップ１０４で得られた指令者装置候補について、所定の挙動を示したか否かを調べることで指令者装置３０であるかどうかの特定を行う。

【0040】

本実施の形態では、パケット情報格納部１０６に格納されたパケット情報を解析することで、指令者装置候補がパケットをＣ＆Ｃサーバ２０に送信した後に、以下の（１）、（２）のいずれかのパターンの送信がある場合に、指令者装置候補を指令者装置３０と特定する。

【0041】

（１）Ｃ＆Ｃサーバ２０が指令者装置候補からパケットを受信した後、すぐに感染装置１０へパケットを送信する。この動作は、Ｃ＆Ｃサーバ２０を経由した指令送信の動作に相当する。

【0042】

（２）Ｃ＆Ｃサーバ２０が指令者装置候補からパケットを受信した後、感染装置１０からのパケット（周期的に送られるＫｅｅｐＡｌｉｖｅと推定できるパケット）を受信したタイミングで、当該感染装置１０へパケットを送信する。この動作は、指令を一旦Ｃ＆Ｃサーバ２０が保持し、感染装置１０からのアクセスに応じて指令を送る動作であると推定できる。ここでの送信パケットは、ＫｅｅｐＡｌｉｖｅの応答とは、バイト数等が異なることが考えられるため、（２）において感染装置１０へのパケットのバイト数等がＫｅｅｐＡｌｉｖｅの応答と異なることが確認できた場合は、より確実に指令者からの指令に係るパケットが送られたものと推定できる。

【0043】

上記の動作において、感染装置１０へのパケットもしくは感染装置１０からのパケットであることを識別するための感染装置１０のアドレスは、ステップ１０３でのグループ分けの結果、指令者装置候補と推定されたグループ以外のグループに含まれる対向装置のアドレスのうちのいずれかに該当するかどうかで識別できる。

【0044】

なお、Ｃ＆Ｃサーバ２０が、Ｃ＆Ｃサーバ２０と同じＩＰアドレスを持つ通常のＷｅｂサーバとして使われる場合が考えられ、その場合、ステップ１０３でのグループ分けの結果、あるグループに属する対向装置が感染装置１０もしくは指令者装置３０ではなく、Ｗｅｂサーバにアクセスする一般の端末である場合があり得る。そのため、グループ分け処理部１０３は、Ｗｅｂサーバにアクセスする一般の端末を識別し、これを除外してグループ分けを行うことが望ましい。

【0045】

通常のＷｅｂサーバへのアクセスかどうかは、例えば、パケットにおける送信先のポート番号が８０（通常のＷｅｂサーバのポート番号）かどうかで判別できる。また、送信元から送信されるパケットの送信バイト数に対し、サーバからの送信バイト数が相当に大きい（所定の閾値以上大きい）かどうかで判別することもできる。

【0046】

ステップ１０５において指令者装置３０のアドレス（例：ＩＰアドレス）が特定されると、続いて、通信切断処理部１０５は、指令者装置３０がＣ＆Ｃサーバ２０との通信を行うことができないように、指令者装置３０とＣ＆Ｃサーバ２０との間の通信を切断する処理を行う（ステップ１０６）。この処理は特定の方法に限られず、例えば、通信装置５０に対して指令者装置３０からＣ＆Ｃサーバ２０へのパケットを転送しないよう指示することでもよいし、より加入者側に近い設備に対する指示、例えば指令者装置３０のアクセス回線設備に対して指令者装置３０からＣ＆Ｃサーバ２０への通信を行わないようにする指示を行ってもよい。また、指令元特定装置１００が通信切断処理部１０５を備えることは必須ではなく、通信切断処理部１０５を備えなくてもよい。この場合、例えば、オペレータが通信切断のための処理や指令者装置３０に対する何らかの警告を行う。

【0047】

以上、図１の構成に基づく処理例を説明したが、本発明は図１に示す構成に限られずに適用できる。例えば、図５に示すように、Ｃ＆Ｃサーバが多段構成である場合にも適用できる。非常に多数の感染装置をコントロール配下とする場合、図５に示すように、Ｃ＆Ｃサーバが多段構成とされる場合がある。このような場合、これまでに説明したグループ分けの技術を用いることで、まず、感染装置１０とＣ＆Ｃサーバ２０−１間の通信と、Ｃ＆Ｃサーバ２０−１とＣ＆Ｃサーバ２０−２間の通信とを判別することでＣ＆Ｃサーバ２０−２を特定し、次に、Ｃ＆Ｃサーバ２０−１とＣ＆Ｃサーバ２０−２間の通信と、Ｃ＆Ｃサーバ２０−２とＣ＆Ｃサーバ２０−３間の通信とを判別することでＣ＆Ｃサーバ２０−３を特定し、最後に、Ｃ＆Ｃサーバ２０−２とＣ＆Ｃサーバ２０−３間の通信と、Ｃ＆Ｃサーバ２０−３と指令者装置３０間の通信とを判別することで指令者装置３０を特定する。

【0048】

（実施の形態のまとめ、効果）
上記のように、本実施の形態では、Ｃ＆Ｃサーバ２０と対向装置との間の通信を監視し、対向装置とＣ＆Ｃサーバ２０との間の通信に係るパケットの情報に基づいて、Ｃ＆Ｃサーバ２０との通信パターンを解析し、当該通信パターンにより対向装置をグループ分けすることにより指令者装置３０を抽出し、指令者装置３０とＣ＆Ｃサーバ２０との間の接続を断つこととした。これにより、感染装置１０が遠隔操作により被害を受けることを迅速に停止することが可能となる。

【0049】

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。

【符号の説明】

【0050】

１０ 感染装置
２０ Ｃ＆Ｃサーバ
３０ 指令者装置３０
４０ 通信ネットワーク
１００ 指令元特定装置
１０１ パケット情報取得部
１０２ 対象パケット情報抽出部
１０３ グループ分け処理部
１０４ 指令者装置特定部
１０５ 通信切断処理部
１０６ パケット情報格納部
１０７ Ｃ＆Ｃサーバ情報格納部

【図1】

【図2】

【図3】

【図4】

【図5】