ホーム > 特許ランキング > 東芝情報システム株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6541177
(24)【登録日】2019年6月21日
(45)【発行日】2019年7月10日
(54)【発明の名称】コンピュータ端末及びそのプログラム、コンピュータシステム
(51)【国際特許分類】
G06F 21/51 20130101AFI20190628BHJP
【FI】
G06F21/51
【請求項の数】7
【全頁数】11
(21)【出願番号】特願2015-60332(P2015-60332)
(22)【出願日】2015年3月24日
(65)【公開番号】特開2016-181074(P2016-181074A)
(43)【公開日】2016年10月13日
【審査請求日】2018年2月6日
(73)【特許権者】
【識別番号】391016358
【氏名又は名称】東芝情報システム株式会社
(74)【代理人】
【識別番号】100090169
【弁理士】
【氏名又は名称】松浦 孝
(74)【代理人】
【識別番号】100074147
【弁理士】
【氏名又は名称】本田 崇
(72)【発明者】
【氏名】中村 正彦
(72)【発明者】
【氏名】富田 晃弘
【審査官】
平井 誠
(56)【参考文献】
【文献】
特開2014−096142(JP,A)
【文献】
特開2013−041370(JP,A)
【文献】
特開2014−170327(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/51
(57)【特許請求の範囲】
【請求項1】
最初にインストールされているプログラムファイル及び前記最初にインストールされているプログラムファイルを更新したプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名と実行ファイルのハッシュ値とを少なくとも含むホワイトリストが記憶される記憶手段と、
プロセスが発生すると、発生したプロセス名と実行ファイル名を取得する取得手段と、
前記取得手段により取得されたプロセス名と実行ファイル名が前記ホワイトリストに存在するか否か検出する検出手段と、
プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出する算出手段と、
算出されたハッシュ値と、ホワイトリストの対応するハッシュ値とを比較する比較手段と、
前記検出手段の検出結果が「否」となると、前記発生したプロセスの起動を停止すると共に、前記比較手段による比較結果が不一致となった場合に、前記発生したプロセスの起動を停止する起動停止手段と、
前記最初にインストールされているプログラムファイルを更新したプログラムファイルと更新されたプログラムの更新部分にのみ対応するホワイトリストの配信を受けると、この更新部分にのみ対応するホワイトリストを既存のホワイトリストと一体化して用いることができるようにホワイトリストの一体化を行う手段と、
を具備することを特徴とするコンピュータ端末。
プロセスが発生すると、発生したプロセス名と実行ファイル名を取得する取得手段と、
前記取得手段により取得されたプロセス名と実行ファイル名が前記ホワイトリストに存在するか否か検出する検出手段と、
プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出する算出手段と、
算出されたハッシュ値と、ホワイトリストの対応するハッシュ値とを比較する比較手段と、
前記検出手段の検出結果が「否」となると、前記発生したプロセスの起動を停止すると共に、前記比較手段による比較結果が不一致となった場合に、前記発生したプロセスの起動を停止する起動停止手段と、
前記最初にインストールされているプログラムファイルを更新したプログラムファイルと更新されたプログラムの更新部分にのみ対応するホワイトリストの配信を受けると、この更新部分にのみ対応するホワイトリストを既存のホワイトリストと一体化して用いることができるようにホワイトリストの一体化を行う手段と、
を具備することを特徴とするコンピュータ端末。
【請求項2】
警報を発生する警報発生手段を備え、
起動停止手段は、起動停止するときに警報発生手段を駆動して警報を発生することを特徴とする請求項1に記載のコンピュータ端末。
起動停止手段は、起動停止するときに警報発生手段を駆動して警報を発生することを特徴とする請求項1に記載のコンピュータ端末。
【請求項3】
最初にインストールされているプログラムファイル及び前記最初にインストールされているプログラムファイルを更新したプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名と実行ファイルのハッシュ値とを少なくとも含むホワイトリストが記憶される記憶手段を備えるコンピュータ端末のコンピュータを、
プロセスが発生すると、発生したプロセス名と実行ファイル名を取得する取得手段、
前記取得手段により取得されたプロセス名と実行ファイル名が前記ホワイトリストに存在するか否か検出する検出手段、
プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出する算出手段、
算出されたハッシュ値と、ホワイトリストの対応するハッシュ値とを比較する比較手段、
前記検出手段の検出結果が「否」となると、前記発生したプロセスの起動を停止すると共に、前記比較手段による比較結果が不一致となった場合に、前記発生したプロセスの起動を停止する起動停止手段、
前記最初にインストールされているプログラムファイルを更新したプログラムファイルと更新されたプログラムの更新部分にのみ対応するホワイトリストの配信を受けると、この更新部分にのみ対応するホワイトリストを既存のホワイトリストと一体化して用いることができるようにホワイトリストの一体化を行う手段、
として機能させるプログラム。
プロセスが発生すると、発生したプロセス名と実行ファイル名を取得する取得手段、
前記取得手段により取得されたプロセス名と実行ファイル名が前記ホワイトリストに存在するか否か検出する検出手段、
プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出する算出手段、
算出されたハッシュ値と、ホワイトリストの対応するハッシュ値とを比較する比較手段、
前記検出手段の検出結果が「否」となると、前記発生したプロセスの起動を停止すると共に、前記比較手段による比較結果が不一致となった場合に、前記発生したプロセスの起動を停止する起動停止手段、
前記最初にインストールされているプログラムファイルを更新したプログラムファイルと更新されたプログラムの更新部分にのみ対応するホワイトリストの配信を受けると、この更新部分にのみ対応するホワイトリストを既存のホワイトリストと一体化して用いることができるようにホワイトリストの一体化を行う手段、
として機能させるプログラム。
【請求項4】
請求項1または2に記載のコンピュータ端末と、
セットされたホワイトリストを前記コンピュータ端末に配信するサーバと、
前記コンピュータ端末にインストールするプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名とを少なくとも含むホワイトリストを作成するホワイトリスト作成手段と、
作成したホワイトリストを前記サーバにセットする送信手段と
を備えたホワイトリスト作成用のコンピュータと、
を具備することを特徴とするコンピュータシステム。
セットされたホワイトリストを前記コンピュータ端末に配信するサーバと、
前記コンピュータ端末にインストールするプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名とを少なくとも含むホワイトリストを作成するホワイトリスト作成手段と、
作成したホワイトリストを前記サーバにセットする送信手段と
を備えたホワイトリスト作成用のコンピュータと、
を具備することを特徴とするコンピュータシステム。
【請求項5】
ホワイトリスト作成手段は、コンピュータ端末にインストールするプログラムファイルについて、発生するプロセスに対応する実行ファイルのハッシュ値を生成し、対応するプロセス名に対応付けてホワイトリストを作成することを特徴とする請求項4に記載のコンピュータシステム。
【請求項6】
ホワイトリスト作成手段は、コンピュータ端末にインストールする更新プログラムファイルを受け、更新された部分のプログラムファイルについて、発生するプロセスに対応する実行ファイルのハッシュ値を生成し、対応するプロセス名に対応付けてホワイトリストを作成することを特徴とする請求項5に記載のコンピュータシステム。
【請求項7】
前記コンピュータ端末には、
プロセス発生から前記起動停止手段による処理までの当該コンピュータ端末における処理内容のログを生成し、前記サーバへ送信するログ生成手段が具備されていることを特徴とする請求項4ないし6のいずれか1項に記載のコンピュータシステム。
プロセス発生から前記起動停止手段による処理までの当該コンピュータ端末における処理内容のログを生成し、前記サーバへ送信するログ生成手段が具備されていることを特徴とする請求項4ないし6のいずれか1項に記載のコンピュータシステム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、POS(Point Of Sales)端末、医療機器、計測機器、加工製造機器、プリンタなどの、コンピュータ端末、また更に、このコンピュータ端末のプログラム、更に上記コンピュータ端末を含んで構成されるコンピュータシステムに関するものであり、特に、ウィルス対策に関するものである。
【背景技術】
【0002】
従来のPOS端末にあっては、異常監視を行う構成を備え、異常が検出されたときに当該POS端末をネットワークから切り離すものが知られている(特許文献1参照)。また、特許文献2には、異常監視を行う構成を備え、異常が検出されたときに現用ネットワークから予備用ネットワークへ切り換えを行うものが開示されている。
【0003】
ところで、異常検出はウィルス検出により行われるものであり、この場合、従来において最も広く行われている手法は、ウィルスの種類をブラックリスト(パターンファイル)により定義し、このブラックリストにマッチするものが検出されると、ウィルスと判断して除去を行うものである。ここで、いつも適切にウィルス除去を行うためには、ブラックリストの内容を常に最新のものへ更新することが必須である。
【0004】
しかしながら、POS端末においては、一般的に、店などの所定の設置場所に設置した以降は、新たなソフトのインストールや頻繁にインターネットへ接続する環境にはないため、ブラックリストの内容を常に最新のものへ更新する処理がシステムに負担をかけて業務に支障を来す虞がある。
【0005】
上記に対し、特許文献3には、適正なソフトウエア及び設定に関する情報であるホワイトリストを生成して蓄積しておき、異常検出がされたときに、装置に蓄積されているソフトウエア及び設定に関する情報から新たにホワイトリストを生成し、この新たなホワイトリストと上記蓄積しておいたホワイトリストを比較してウィルス感染の有無を調べるものが開示されている。
【0006】
更に、特許文献4には、USBストレージが接続される前に所定領域のファイルのハッシュ値を生成して蓄積しておき、USBストレージが接続されたときに上記所定領域のファイルのハッシュ値を再度生成して、既に蓄積されているハッシュ値と比較し、ウィルス感染の有無を調べるものが開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2012−94045号公報
【特許文献2】特開2012−194924号公報
【特許文献3】特開2012−14320号公報
【特許文献4】特開2011−13850号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記特許文献3のものは、異常が検出された後にウィルス感染の有無を調べており、対策が後手に回る可能性を排除できない。また、上記特許文献4のものは、USBストレージが接続される装置を前提としており、適用範囲が狭いという問題がある。
【0009】
本発明は上記のようなコンピュータ端末のウィルス対策に関する現状に鑑みてなされたもので、その目的は、適用範囲が広く、ほとんどのコンピュータ端末に適用することができ、また、コンピュータ端末が異常となる前にウィルス感染の可能性を検出して対策を講じることが可能なコンピュータ端末を提供することである。また、本発明は、そのようなコンピュータ端末を実現するプログラムを提供することを目的とし、更に、上記コンピュータ端末を用いて構成したコンピュータシステムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明に係るコンピュータ端末は、最初にインストールされているプログラムファイル及び前記最初にインストールされているプログラムファイルを更新したプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名と実行ファイルのハッシュ値とを少なくとも含むホワイトリストが記憶される記憶手段と、プロセスが発生すると、発生したプロセス名と実行ファイル名を取得する取得手段と、前記取得手段により取得されたプロセス名と実行ファイル名が前記ホワイトリストに存在するか否か検出する検出手段と、プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出する算出手段と、算出されたハッシュ値と、ホワイトリストの対応するハッシュ値とを比較する比較手段と、前記検出手段の検出結果が「否」となると、前記発生したプロセスの起動を停止すると共に、前記比較手段による比較結果が不一致となった場合に、前記発生したプロセスの起動を停止する起動停止手段と、前記最初にインストールされているプログラムファイルを更新したプログラムファイルと更新されたプログラムの更新部分にのみ対応するホワイトリストの配信を受けると、この更新部分にのみ対応するホワイトリストを既存のホワイトリストと一体化して用いることができるようにホワイトリストの一体化を行う手段と、を具備することを特徴とする。【0012】
本発明に係るコンピュータ端末では、警報を発生する警報発生手段を備え、起動停止手段は、起動停止するときに警報発生手段を駆動して警報を発生することを特徴とする。
【0013】
本発明に係るプログラムは、最初にインストールされているプログラムファイル及び前記最初にインストールされているプログラムファイルを更新したプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名と実行ファイルのハッシュ値とを少なくとも含むホワイトリストが記憶される記憶手段を備えるコンピュータ端末のコンピュータを、プロセスが発生すると、発生したプロセス名と実行ファイル名を取得する取得手段、前記取得手段により取得されたプロセス名と実行ファイル名が前記ホワイトリストに存在するか否か検出する検出手段、プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出する算出手段、算出されたハッシュ値と、ホワイトリストの対応するハッシュ値とを比較する比較手段、前記検出手段の検出結果が「否」となると、前記発生したプロセスの起動を停止すると共に、前記比較手段による比較結果が不一致となった場合に、前記発生したプロセスの起動を停止する起動停止手段、前記最初にインストールされているプログラムファイルを更新したプログラムファイルと更新されたプログラムの更新部分にのみ対応するホワイトリストの配信を受けると、この更新部分にのみ対応するホワイトリストを既存のホワイトリストと一体化して用いることができるようにホワイトリストの一体化を行う手段、として機能させることを特徴とする。【0015】
本発明に係るコンピュータシステムは、請求項1または2に記載のコンピュータ端末と、セットされたホワイトリストを前記コンピュータ端末に配信するサーバと、前記コンピュータ端末にインストールするプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名とを少なくとも含むホワイトリストを作成するホワイトリスト作成手段と、作成したホワイトリストを前記サーバにセットする送信手段とを備えたホワイトリスト作成用のコンピュータと、を具備することを特徴とする。【0016】
本発明に係るコンピュータシステムでは、ホワイトリスト作成手段は、コンピュータ端末にインストールするプログラムファイルについて、発生するプロセスに対応する実行ファイルのハッシュ値を生成し、対応するプロセス名に対応付けてホワイトリストを作成することを特徴とする。
【0017】
本発明に係るコンピュータシステムでは、ホワイトリスト作成手段は、コンピュータ端末にインストールする更新プログラムファイルを受け、更新された部分のプログラムファイルについて、発生するプロセスに対応する実行ファイルのハッシュ値を生成し、対応するプロセス名に対応付けてホワイトリストを作成することを特徴とする。
【0018】
本発明に係るコンピュータシステムでは、前記コンピュータ端末には、プロセス発生から前記起動停止手段による処理までの処理内容のログを生成し、前記サーバへ送信するログ生成手段が具備されていることを特徴とする。
【発明の効果】
【0019】
本発明によれば、プロセスの発生によって不正プログラムの検出を行うので、適用範囲が広く、ほとんどのコンピュータ端末に適用することができる。また本発明では、比較結果が不一致となった場合に、発生したプロセスの起動を停止するので、コンピュータ端末が異常となる前にウィルス感染の可能性を検出して対策を講じることが可能である。
【図面の簡単な説明】
【0020】
【図1】本発明に係るコンピュータシステムの実施形態の構成を示す図。
【図2】本発明に係るコンピュータ端末の実施形態の構成を示すブロック図。
【図3】本発明に係るコンピュータシステムの実施形態の要部構成を示す図。
【図4】本発明に係るコンピュータ端末の実施形態において用いられるホワイトリストの内容の一例を示す図。
【図5】本発明に係るコンピュータシステムの実施形態の要部構成を示す図。
【図6】本発明に係るコンピュータ端末の実施形態の要部構成を示す図。
【図7】本発明に係るコンピュータシステムの実施形態の動作を示すフローチャート。
【図8】本発明に係るコンピュータシステムの実施形態の動作を示すフローチャート。
【発明を実施するための形態】
【0021】
以下添付図面を参照して本発明に係るコンピュータ端末及びそのプログラム、コンピュータシステムの実施形態を説明する。各図において、同一構成要素には同一の符号を付して重複する説明を省略する。図1には、本発明に係るコンピュータ端末を用いたコンピュータシステムの実施形態の構成図が示されている。このコンピュータシステムは、店舗などに設置される複数のコンピュータ端末(POS端末)10−1〜10−nと、このコンピュータ端末10−1〜10−nにネットワークなどを介して接続されているサーバ20と、サーバ20に少なくとも必要時に専用回線などを介して接続されるコンピュータ30とを有する。コンピュータ30は、コンピュータ端末10−1〜10−nと同じ構成のPOS端末とすることができる。
【0022】
図2に、コンピュータ端末10−1〜10−nの構成を示す。このコンピュータ端末10は、CPU40が主メモリ12内のプログラムやデータに基づき各部を制御する構成となっている。CPU40には、バス11を介して、外部記憶コントローラ13、操作部コントローラ14、ディスプレイコントローラ15、プリンタコントローラ16、スキャナコントローラ17、I/Oインタフェース18、ネットワークインタフェース19、タイマ110が接続されている。
【0023】
外部記憶コントローラ13には、プログラムやデータが記憶されたHDDやUSBメモリなどの記憶装置111が接続される。操作部コントローラ14には、キーボードやタッチパネルなどデータやコマンドを入力するための操作部112が接続される。ディスプレイコントローラ15には、文字や画像を表示するためのLEDなどにより構成されるディスプレイ装置113が接続される。なお、ディスプレイコントローラ15は、スピーカコントローラの機能を有し、図示しないスピーカが接続され、音声による出力を可能としている。
【0024】
プリンタコントローラ16には、印字のためのプリンタ114が接続される。スキャナコントローラ17には、バーコードや二次元コードなどを読み取るためのスキャナ115が接続される。I/Oインタフェース18は、周辺機器を接続するインタフェースであり、ここでは、現金などを収納するドロワ116とPOS端末のモードを切り換えるスイッチ117が接続される。ネットワークインタフェース19は、ネットワークに接続され、ネットワークとの接続に必要なプロトコルを実現してこのコンピュータ30を通信可能とする。タイマ110は、CPU40が時刻と時間を取得するために用いられるものである。
【0025】
コンピュータ30は、上記図2のコンピュータ端末10と同様の構成を有するものとする。コンピュータ30の記憶装置111には、図3に示すように、CPU40にホワイトリスト作成手段51を実現するプログラム511が記憶されている。
【0026】
プログラム511によって実現されるホワイトリスト作成手段51は、コンピュータ端末10−1〜10−nにインストールするプログラムファイルについて、発生するプロセスのプロセス名と、プロセスに対応する実行ファイル名とを少なくとも含むホワイトリストを作成する。ここでは、ホワイトリスト作成手段51は、コンピュータ端末10−1〜10−nにインストールするプログラムファイルについて、発生するプロセスに対応する実行ファイルのハッシュ値を生成し、対応するプロセス名に対応付けてホワイトリストを作成する。
【0027】
ホワイトリスト作成手段51は、具体的には、インストールされているファイルを検索し、拡張子(例えば、bin,exeなど)等から実行されて良いファイル名の一覧を作成する。また、実際にコンピュータ30を基準の状態で動作させて、タスクマネージャにより動作しているプロセスの一覧を取得し、プロセス名から実行ファイル名を呼び出して実行ファイル名を得る。プロセス名から実行ファイル名を呼び出す手法(プログラム)は公知のものを用いるものとする。
【0028】
上記において、実行ファイル名は、例えば、「C\WINDOWS\system32\notepad.exe」のようなもので、プロセス情報などと称されることもある。また、プロセス名は、実行ファイル名中のパス部分と拡張子を除いた部分である。上記の例では、パス部分が「C\WINDOWS\system32\」であり、拡張子は「exe」であり、プロセス名は「notepad」である。
【0029】
以上のようにして得られた全ての実行ファイル名の実行ファイルについてそれぞれハッシュ値を例えばMD5(Message Digest 5)を用いて得て、リスト化し、ホワイトリストとする。作成されたホワイトリストの一例を、図4に示す。本実施形態のホワイトリストは、プロセス名に、実行ファイル名、ハッシュ値が対応付けられたものである。
【0030】
また、ホワイトリスト作成手段51は、コンピュータ端末10−1〜10−nにインストールするプログラムファイルを受け、更新された部分のプログラムファイルについて、発生するプロセスに対応する実行ファイルのハッシュ値を生成し、対応するプロセス名に対応付けてホワイトリストを作成する。即ち、更新された部分のプログラムファイルにおいて、新たなプロセス名と実行ファイ名を検出し、ハッシュ値を計算して図4のようなホワイトリスト(更新部分にのみ対応するもの)を作成する。
【0031】
コンピュータ30のCPU40には、送信手段52がプログラム511に基づき生成され、上記のホワイトリストが作成されると、送信手段52は、作成されたホワイトリストをサーバ20にセットする。
【0032】
図5には、サーバ20の構成が示されている。サーバ20は、CPU21と、プログラム用メモリ22と、記憶装置23と、インタフェース24がバス25により接続された構成を有する。プログラム用メモリ22には、ホワイトリスト受付プログラム221と、ホワイトリスト配信プログラム222、ログ管理プログラム223が備えられている。
【0033】
記憶装置23には、ホワイトリスト受付プログラム221により受け付けられ、ホワイトリスト配信プログラム222により配信されるべきホワイトリストが記憶される。また、ログ管理プログラム223がコンピュータ端末10−1〜10−nから受け取った当該コンピュータ端末における処理内容のログ224が記憶される。
【0034】
図6には、コンピュータ端末10−1〜10−nにおいて保持されているプログラム及びそのプログラムにより実現される手段が示されている。即ち、記憶装置111にウィルス対策プログラム611とログ生成プログラム612が記憶されている。また、記憶装置111には、サーバ20により配信されたホワイトリスト613が記憶される。
【0035】
ウィルス対策プログラム611によって、CPU11には、取得手段61、検出手段62、起動停止手段63、算出手段64、比較手段65が生成される。取得手段61は、プロセスが発生すると、発生したプロセス名と実行ファイル名を取得するものである。検出手段62は、取得手段61により取得されたプロセス名と実行ファイル名が上記ホワイトリスト613に存在するか否か検出するものである。
【0036】
起動停止手段63は、検出手段62の検出結果が「否」となると、上記発生したプロセスの起動を停止するものである。算出手段64は、プロセスが発生すると、発生したプロセスの実行ファイルからハッシュ値を算出するものである。比較手段65は、上記算出手段64により算出されたハッシュ値と、ホワイトリスト613の対応するハッシュ値とを比較するものである。比較手段65が動作した場合に、起動停止手段63は、比較結果が不一致となった場合に、前記発生したプロセスの起動を停止するように機能する。
【0037】
ログ生成プログラム612によって、CPU11には、ログ生成手段66が生成される。ログ生成手段66は、プロセス発生から起動停止手段63による処理までの当該コンピュータ端末10−1〜10−nにおける処理内容のログを生成し、上記サーバ20へ送信するものである。
【0038】
以上説明したコンピュータシステムの実現のためには、図7のフローチャートに示す手順により作業が行われる。コンピュータ30に、POS端末として基本的動作を行うためのPOS用ソフトとホワイトリスト作成ソフトをインストールする(S11)。ウイルス駆除ツールを用いてコンピュータ30をクリーン環境とすることが望ましい(S12)。クリーン環境のコンピュータ30においてホワイトリストを作成する(S13)。
【0039】
コンピュータ30のCPU11に生成された送信手段52により、ホワイトリストをサーバ20へセットする(S14)。POS端末として基本的動作を行うためのPOS用ソフトとウィルス対策プログラム611とログ生成プログラム612がインストールされたコンピュータ端末10−1〜10−nを所定の場所へ設置する(S15)。このステップS15は、これ以前であれば、何時でも行うことができる。
【0040】
サーバ20からコンピュータ端末10−1〜10−nへホワイトリストを配信し、コンピュータ端末10−1〜10−nがウィルス対策プログラム611によって動作可能とする(S16)。
【0041】
なお、上記では、最初に作成されるホワイトリストについて動作を示したが、コンピュータ端末10−1〜10−nにインストールするプログラムファイルが更新された場合には、前述の通り、ホワイトリスト(更新部分にのみ対応するもの)がコンピュータ30において作成される。このホワイトリストについてもステップS11からステップS16の手順でコンピュータ端末10−1〜10−nへ配信される。コンピュータ端末10−1〜10−nは、更新された部分のホワイトリストを既存のホワイトリストと一体として用いる。
【0042】
コンピュータ端末10−1〜10−nが運用されると、ウィルス対策プログラム611によって図8に示されるフローチャートによる処理が行われる。CPU11は、プロセスの発生を監視し(S21)、プロセスが発生すると、プロセス名とその実行ファイル名を取得する(S22)。取得したプロセス名とその実行ファイル名がホワイトリストにあるかを検出する(S23)。
【0043】
ステップS23において、NOとなると、当該プロセスの起動を停止し、音声やディスプレイにおいて警報を発生する(S24)。更に、ログを生成してエンドとなる(S25)。
【0044】
一方、ステップS23においてYESとなると、発生したプロセスの実行ファイルに基づきハッシュ値を生成し(S26)、ホワイトリストの同じプロセス名に対応するハッシュ値と比較して(S27)、一致するか否かを検出する(S28)。
【0045】
ステップS28において一致しなければ、当該プロセスの起動を停止し、音声やディスプレイにおいて警報を発生する(S24)。更に、ログを生成してエンドとなる(S25)。
【0046】
ステップS28において一致すると、ログを生成してステップS21へ戻って処理が続けられる。このようにして、比較結果が不一致となった場合に、発生したプロセスの起動を停止するので、コンピュータ端末が異常となる前にウィルス感染の可能性を検出して対策を講じることが可能である。また、ログがサーバ20に残るので、ウィルスの感染経路などを特定する場合に好適である。
【0047】
なお、上記においては、ハッシュ値を用いたが、これを用いなくとも良い。また、本実施形態ではPOSシステムを例としたが、医療機器、計測機器、加工製造機器、プリンタなどに適用可能である。
【符号の説明】
【0048】
10 コンピュータ端末 12 主メモリ13 外部記憶コントローラ 14 操作部コントローラ
15 ディスプレイコントローラ 16 プリンタコントローラ
17 スキャナコントローラ 18 インタフェース
19 ネットワークインタフェース 20 サーバ
22 プログラム用メモリ 23 記憶装置
24 インタフェース 25 バス
30 コンピュータ 51 ホワイトリスト作成手段
52 送信手段 61 取得手段
62 検出手段 63 起動停止手段
64 算出手段 65 比較手段
66 ログ生成手段 110 タイマ
111 記憶装置 112 操作部
113 ディスプレイ装置 114 プリンタ
115 スキャナ 116 ドロワ
117 スイッチ 221 ホワイトリスト受付プログラム
222 ホワイトリスト配信プログラム 223 ログ管理プログラム
224 ログ 511 プログラム
611 ウィルス対策プログラム 612 ログ生成プログラム
613 ホワイトリスト