ホーム > 特許ランキング > 西日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ 西日本電信電話株式会社の特許一覧 ▶ 日本電信電話株式会社の特許一覧
特許6263294セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6263294
(24)【登録日】2017年12月22日
(45)【発行日】2018年1月17日
(54)【発明の名称】セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム
(51)【国際特許分類】
G06F 21/56 20130101AFI20180104BHJP
【FI】
G06F21/56
【請求項の数】5
【全頁数】9
(21)【出願番号】特願2017-71305(P2017-71305)
(22)【出願日】2017年3月31日
【審査請求日】2017年3月31日
(73)【特許権者】
【識別番号】399041158
【氏名又は名称】西日本電信電話株式会社
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100101247
【弁理士】
【氏名又は名称】高橋 俊一
(74)【代理人】
【識別番号】100095500
【弁理士】
【氏名又は名称】伊藤 正和
(74)【代理人】
【識別番号】100098327
【弁理士】
【氏名又は名称】高松 俊雄
(72)【発明者】
【氏名】首藤 裕一
(72)【発明者】
【氏名】尾形 徹
(72)【発明者】
【氏名】小池 幸生
(72)【発明者】
【氏名】桑野 秀豪
(72)【発明者】
【氏名】岩村 誠
(72)【発明者】
【氏名】川古谷 裕平
(72)【発明者】
【氏名】張 一凡
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特開2015−531500(JP,A)
【文献】
特開2009−110334(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止する更新停止手段と、
複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを前記複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果、及び電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及びそれ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得するマルウェア取得手段と、
前記マルウェア取得手段で取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる検体実行手段と、
を備えるセキュリティ製品評価装置。
複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを前記複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果、及び電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及びそれ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得するマルウェア取得手段と、
前記マルウェア取得手段で取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる検体実行手段と、
を備えるセキュリティ製品評価装置。
【請求項2】
前記マルウェア取得手段は、前記第1条件、及び第2条件を満たす電子ファイルに加え、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下であり、かつ、前記収集した複数の検査結果から、前記検査結果の収集期間の終了時点以降にポジティブ値が第2の閾値H以上となることが予想される第3条件を満たす電子ファイルを前記検体提供手段から取得する、
ことを特徴とする請求項1に記載のセキュリティ製品評価装置。
ことを特徴とする請求項1に記載のセキュリティ製品評価装置。
【請求項3】
コンピュータが実行するセキュリティ製品評価方法であって、
更新停止手段により、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止し、
複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを前記複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、
前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得し、
取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる、
ことを特徴とするセキュリティ製品評価方法。
更新停止手段により、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止し、
複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを前記複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、
前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得し、
取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる、
ことを特徴とするセキュリティ製品評価方法。
【請求項4】
前記第1条件、及び第2条件を満たす電子ファイルに加え、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下であり、かつ、前記収集した複数の検査結果から、前記検査結果の収集期間の終了時点以降にポジティブ値が第2の閾値H以上となることが予想される第3条件を満たす電子ファイルを前記検体提供手段から取得する、
ことを特徴とする請求項3に記載のセキュリティ製品評価方法。
ことを特徴とする請求項3に記載のセキュリティ製品評価方法。
【請求項5】
請求項1又は2に記載のセキュリティ製品評価装置をコンピュータで構成するためのセキュリティ製品評価プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラムに関する。
【背景技術】
【0002】
セキュリティ製品がどの程度、正確にマルウェアを検出できるかを評価するには、シグネチャにマッチしない検体(マルウェア)を検査するときの検知率を評価する必要がある。
【0003】
これらマルウェアからコンピュータを防御するためのセキュリティ対策が施された製品(以下、セキュリティ製品と称する)としては、アンチウィルスソフトやサンドボックス等がある。
【0004】
また、マルウェア検査サイトとして“VirusTotal”なども知られている。これは、一般ユーザが怪しいと感じたファイルを投稿し、検査結果を回答するサイトであり、一般ユーザから投稿されたファイルはサイト内部で収集し、一部ユーザに有償/無償で提供される。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】G. Himani et al. “Design and Implementation of Virtual Client Honeypot” International Journal of Advanced Research in Computer Engineering & Technology (IJARCET) 1.4, 2012, pp521-524
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述したように、セキュリティ機構によりマルウェアを検体として収集することは可能である。しかし、セキュリティ製品がシグネチャを持たない未知の検体のみを収集する、又は収集した検体のうち未知の検体を抽出することは難しいという課題があった。
【0007】
本発明は上記事情に鑑み、未知のマルウェアを検査対象とすることができ、未知のマルウェアを検査した際のセキュリティ製品の検知率を評価することができるセキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラムを提供することを目的としている。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の第1の態様は、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止する更新停止手段と、複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを当該複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び当該電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得するマルウェア取得手段と、前記マルウェア取得手段で取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる検体実行手段と、を備えるセキュリティ製品評価装置である。
【0009】
第2の態様は、コンピュータが実行するセキュリティ製品評価方法であって、更新停止手段により、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止し、複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを当該複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び当該電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得し、取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる、ことを特徴とするセキュリティ製品評価方法である。
【0010】
第3の態様は、セキュリティ製品評価装置をコンピュータで構成するためのセキュリティ製品評価プログラムである。
【発明の効果】
【0011】
本発明によれば、未知のマルウェアを検査対象とすることができ、未知のマルウェアを検査した際のセキュリティ製品の検知率を評価することができる。
【図面の簡単な説明】
【0012】
【図1】本発明に係るセキュリティ製品評価装置の実施形態を示すブロック図である。
【図2】実施形態の動作を示す説明図である。
【図3】実施形態における検査日とハッシュ値とポジティブ値との関係をリストにして示す説明図である。
【図4】第1実施形態の動作を説明するフローチャートである。
【図5】第2実施形態の動作を説明するフローチャートである。
【発明を実施するための形態】
【0014】
同図に示すように、このセキュリティ製品評価装置2は、インターネット4に接続されている。また、セキュリティ製品評価装置2は、インターネット4に接続されたマルウェア評価サイト6から検体となるマルウェアを入手してセキュリティ製品の検体を実行することができる。
【0015】
マルウェア検査サイト6は、n種類のセキュリティ製品によってマルウェアの検査を実行し、その評価結果を提供するサイトであり、例えば、VirusTotalが該当する。ここで、n種類のセキュリティ製品のうち、何種類の製品がマルウェアとして検知したかを示す製品の数mをその時点における“ポジティブ値(POSITIVES)”として定義する。マルウェア検査サイト6は、一般ユーザから検体の投稿があるたびに、その検体をn種類のセキュリティ製品で検査し、当該検体のハッシュ値やポジティブ値を含む解析レポートを生成する。また、マルウェア検査サイト6は、必要に応じて過去に投稿された検体の再検査を行い、解析レポートを再作成することがある。マルウェア検査サイト6は、セキュリティ製品評価装置2からの要求に応じて最新の解析レポートを供給することができる。また、マルウェア検査サイト6は、セキュリティ製品評価装置2からの要求に応じて、当該要求に含まれるハッシュ値に対応する検体のファイル本体を供給することができる。本実施形態では、一例として、n=60、すなわち、マルウェア検査サイト6が60種類のセキュリティ製品によってマルウェアの検査を実行し、その評価結果を提供するサイトであるとする。また、一例として、検査サイト6で取り扱う検体のハッシュ値はSHA256アルゴリズムにより当該検体のファイル本体から生成されるハッシュ値であるとする。
【0016】
セキュリティ製品評価装置2は、評価対象となるセキュリティ製品20と、接続遮断部22と、マルウェア取得部24と、マルウェア記憶部26と、検体実行部28とを備えている。
【0017】
セキュリティ製品20は、当該装置にインストールされている評価対象となるウィルス検出ソフト等で構成される。
【0018】
接続遮断部22は、セキュリティ製品20の検査を実行する一定期間に渡って、セキュリティ製品20がインターネットに接続するのを遮断してセキュリティ製品の更新を停止する。
【0019】
マルウェア取得部24は、インターネット4を介してマルウェア検査サイト6からポジティブ値を含む解析結果を取得する。また、マルウェア取得部24は、マルウェア検査サイト6からセキュリティ製品20の検査に使用されるマルウェアを入手してマルウェア記憶部26に記憶させる。
【0020】
検体実行部28は、マルウェア記憶部26に記憶されているマルウェアを使用してセキュリティ製品20の検体を実行する。
【0022】
先ず、評価対象となるセキュリティ製品20がインストールされている端末を所定期間、例えば、1ヶ月に渡りインターネットへの接続を遮断して当該セキュリティ製品20の更新を停止する(図4のST2)。
【0023】
評価対象のセキュリティ製品のシグネチャ更新をある時点X、例えば平成28年12月31日に停止したと想定する。シグネチャを更新する方法としては、例えば、セキュリティ製品のインターネット接続を遮断するなどの方法がある。
【0024】
次に、一定の期間(本実施形態では平成29年1月2日から平成29年2月1日とする)まで、毎日00時00分に、検査サイトに対し下記2種類のリクエストを送信する。
【0025】
リクエスト1:リクエスト送信日前日(例えばリクエスト送信日が1月15日であれば1月14日)に初めて検査サイトに登録された検体すべての解析レポートを要求。解析レポートには当該検体のハッシュ値及びその時点でのポジティブ値を含む。
【0026】
リクエスト2:リクエスト送信日前日に検査サイトで再検査が行われた検体すべての解析レポートを要求。
【0027】
上記リクエスト1,2に対する検査サイト6からのレスポンスに含まれる解析レポートをもとに各検体のポジティブ値の推移を記録した表を作成する(ST6)。例えば、図3に示すような、各行にひとつの検体を対応付け、第1列にその検体のハッシュ値を記載し、第2列以降に上記期間の一日ごとのポジティブ値を記載した表を作成する。表の作成にあたっては、各検体に対応する行それぞれにおいて、当該検体の初投稿日より前の日に対応する列については空欄とし、検査が行われなかった日に対応する列には、前日に対応する列に記載のポジティブ値を記載する。
【0028】
作成した図3に示すような表において、ステップST8の検体抽出処理では、下記2つの条件を満たす検体のハッシュ値を抽出する。
【0029】
条件1:初投稿日時点でのポジティブ値がL以下(5以下など)条件2:初投稿日以降のある時点でのポジティブ値がH以上(30以上など)
例えばL=5、H=30の場合、図3に枠で囲んだ検体(ハッシュ値988d1da6a6d412c8523e628492a3a245851e051f5c7d30d8f55198f44dd2821e)が抽出される(ST82,ST84)。なぜならば、当該検体の初投稿日1月2日のハッシュ値は3であるから閾値L以下であるので条件1を満たし、その後のある時点、例えば1月31日のハッシュ値が38であり、閾値H以上であるので条件2を満たすからである。
【0030】
抽出されたハッシュ値をもとにマルウェア検査サイト6にリクエストを送信し、ハッシュ値に対応する検体のファイル本体を取得する(ST10)。
【0031】
なお、解析レポートにファイル作成日時や(実行ファイルの場合)コンパイル日時が記載されているのであれば、検体の抽出処理において「コンパイル日時が同一の検体は一つを残してその他を抽出しない」という処理を加えてもよい。この処理は、多様な未知マルウェアに対する検知性能の評価に資する場合がある。なぜならば、例えばコンパイル時刻が(秒単位で)同一である2つの実行ファイルは、同一の実行ファイルを異なる方法で難読化処理された可能性があるからである。
【0032】
このように第1実施形態によれば、評価対象のセキュリティ製品の更新を停止した日時Xの時点で未知(X以降のある時点でほとんどの製品が検知しない)であり、かつ、悪性動作を行う可能性が高い(X以降のある時点でポジティブ値がH以上)である検体を用いて製品の評価を行うので、「未知のマルウェア」実行時におけるセキュリティ製品の検知率を評価することができる。
【0034】
例えば、1/1〜1/31の期間で、ポジティブ値が閾値L以下にはなったがその後、閾値H以上にならなかった検体でも、監視期間終盤(例えば、1/25〜1/31)でポジティブ値が上昇傾向を示しており、後に閾値Hを超えると予想されるものについては、未知の検体として抽出してもよい。
【0035】
この場合、後に閾値を超えると判断する基準としては、例えば、「監視期間の末尾t日間でポジティブ値がy以上、上昇しており、かつ、監視期間終了時点(1/31)でのポジティブ値が閾値H−z(閾値Hよりもzだけ低い値)以上である」ことを基準としてもよい。t,y,zには、例えば3,10,5といった整数値を設定する。
【0036】
このように、構成することによっても第1実施形態と同様の効果を奏することができる。
【0037】
以上の各実施形態においては、インターネット遮断日と検体の収集日の間隔を1日としているが、本発明はこれに限定されるものではなく、2日以上であってもよい。
【0038】
また、各実施形態では、マルウェア検査サイト(例えば、VirusTotalなど)6から検体(マルウェア)を入手するようにしたが、例えば、独自のハニーポットで検体の収集を行うようにしてもよい。
【0039】
なお、上記実施形態は、例として提示したものであり、発明の範囲を限定することは意図していないことは勿論である。
【符号の説明】
【0040】
2…セキュリティ製品評価装置、4…インターネット、6…マルウェア検査サイト、20…セキュリティ製品、22…接続遮断部、24…マルウェア取得部、26…マルウェア記憶部、28…検体実行部。
【要約】
【課題】 未知のマルウェアを検査した際のセキュリティ製品の検知率を評価する。【解決手段】 評価対象となるセキュリティ製品20のインターネット4への接続を一定期間に渡って遮断してその更新を停止する接続遮断部22と、複数のセキュリティ製品を備えて検体を実行し、その結果を外部へ提供するマルウェア検査サイト6から一定期間の検査結果を入手し、マルウェア検査サイト6がマルウェアとして検知したセキュリティ製品の数をその時点におけるポジティブ値と定義し、更新が停止された日時以降の時点において、検体検査結果から、ポジティブ値が第1の閾値L以下であり、かつ、第2の閾値H(H>L)以上である検体をマルウェア検査サイト6から取得するマルウェア取得部24と、取得された検体をマルウェアとして記憶し、記憶されたマルウェアによってセキュリティ製品20の検体を実行する検体実行部28とを備える。
【選択図】図1