特許 6568495 不正アクセス防止装置および方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6568495

(24)【登録日】2019年8月9日

(45)【発行日】2019年8月28日

(54)【発明の名称】不正アクセス防止装置および方法

(51)【国際特許分類】

   H04L 12/28 20060101AFI20190819BHJP

   H04L 12/46 20060101ALI20190819BHJP

【ＦＩ】

   H04L12/28 200A

   H04L12/46 100B

【請求項の数】4

【全頁数】9

(21)【出願番号】特願2016-64941(P2016-64941)

(22)【出願日】2016年3月29日

(65)【公開番号】特開2017-183858(P2017-183858A)

(43)【公開日】2017年10月5日

【審査請求日】2018年9月21日

(73)【特許権者】

【識別番号】000006666

【氏名又は名称】アズビル株式会社

(74)【代理人】

【識別番号】100098394

【弁理士】

【氏名又は名称】山川 茂樹

(74)【代理人】

【識別番号】100064621

【弁理士】

【氏名又は名称】山川 政樹

(72)【発明者】

【氏名】太田 貴彦

【審査官】 羽岡 さやか

(56)【参考文献】

【文献】 特開２００５−１９８０９０（ＪＰ，Ａ）

【文献】 特開２００６−７４３６３（ＪＰ，Ａ）

【文献】 特開２０１１−５５２９９（ＪＰ，Ａ）

【文献】 特開２０１５−３５７２４（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ １２／００−１２／２８

Ｈ０４Ｌ １２／４４−１２／９５５

(57)【特許請求の範囲】

【請求項1】

ＩＰネットワークを構成するハブに接続されて、不正機器による不正アクセスを防止する不正アクセス防止装置であって、
前記ハブに設けられた複数のポートのうち、前記不正機器が接続されている第１のポートとは異なる第２のポートに接続されて、前記ハブを介してパケットを送受信する通信Ｉ／Ｆ部と、
前記ハブで転送されているパケットを前記通信Ｉ／Ｆ部で受信して監視することにより前記不正機器から送信された不正パケットを検知するパケット監視部と、
前記不正パケットの検知に応じて、前記不正機器のＭＡＣアドレスを送信元ＭＡＣアドレスとする妨害パケットを前記通信Ｉ／Ｆ部から前記ハブ側へ直ちに送信することにより、前記ハブに登録されている前記不正機器のＭＡＣアドレスに対するポートの関連付けを、前記第１のポートから前記第２のポートへ変更する妨害処理部と
を備えることを特徴とする不正アクセス防止装置。

【請求項2】

請求項１に記載の不正アクセス防止装置において、
前記妨害処理部は、前記妨害パケットをブロードキャストで送信することを特徴とする不正アクセス防止装置。

【請求項3】

ＩＰネットワークを構成するハブに接続されて、不正機器による不正アクセスを防止する不正アクセス防止装置で用いられる不正アクセス防止方法であって、
前記ハブに設けられた複数のポートのうち、前記不正機器が接続されている第１のポートとは異なる第２のポートに接続された通信Ｉ／Ｆ部により、前記ハブを介してパケットを送受信する通信ステップと、
前記ハブで転送されているパケットを前記通信ステップで受信して監視することにより前記不正機器から送信された不正パケットを検知するパケット監視ステップと、
前記不正パケットの検知に応じて、前記不正機器のＭＡＣアドレスを送信元ＭＡＣアドレスとする妨害パケットを前記通信ステップにより前記ハブ側へ直ちに送信することにより、前記ハブに登録されている前記不正機器のＭＡＣアドレスに対するポートの関連付けを、前記第１のポートから前記第２のポートへ変更する妨害処理ステップと
を備えることを特徴とする不正アクセス防止方法。

【請求項4】

請求項３に記載の不正アクセス防止方法において、
前記妨害処理ステップは、前記妨害パケットをブロードキャストで送信することを特徴とする不正アクセス防止方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、通信機器に対する不正機器からの不正アクセスを防止する不正アクセス防止技術に関する。

【背景技術】

【0002】

近年、オフィスや家庭のほか、施設を管理するシステムなどの様々な環境において、サーバー、ＰＣ、コントローラ、制御機器などの各種通信機器が利用されており、ＩＰネットワークを介して相互に接続されている。
一方、不正機器からこれら通信機器に対して不正にアクセスして、機密情報や個人情報の取得・破壊・改ざんを行ったり、通信機器の動作を停止させるなどの事件が多発している。

【0003】

従来、このような不正アクセスを防止する技術として、ＩＰネットワーク上で、ＩＰアドレスとＭＡＣアドレスとの対応関係を指定するためのＡＲＰ（Address Resolution Protocol）パケットを監視して、不正機器を特定する技術が提案されている（例えば、特許文献１−３など参照）。

【0004】

これら従来技術は、予めＩＰネットワークへの接続を許可する正規の通信機器に関するＭＡＣアドレスを登録しておき、接続が許可されていない未登録ＭＡＣアドレスを持つ通信機器から送信されたＡＲＰパケットが検知された場合、その通信機器を不正機器と判定するものである。不正機器が見つかった場合、妨害ＡＲＰパケットを作成して不正機器に送信し、正規の通信端末からの送信パケットが不正機器へ届かないようにすることにより、不正機器の通信を妨害している。

【先行技術文献】

【特許文献】

【0005】

【特許文献1】特開２００５−０７９７０６号公報

【特許文献2】特開２００５−１９８０９０号公報

【特許文献3】特開２００８−２２７６００号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

しかしながら、このような従来技術では、不正機器からのＡＲＰパケットに基づき不正機器を検知しているため、ＡＰＲパケットを送信せずに通信機器に対して不正アクセスするような巧妙化した不正機器については検知できず、不正機器による通信を妨害して不正アクセスを防止することができないという問題点があった。

【0007】

本発明はこのような課題を解決するためのものであり、ＡＲＰパケットを送信しない不正機器であっても、この不正機器による不正アクセスを防止できる不正アクセス防止技術を提供することを目的としている。

【課題を解決するための手段】

【0008】

このような目的を達成するために、本発明にかかる不正アクセス防止装置は、ＩＰネットワークを構成するハブに接続されて、不正機器による不正アクセスを防止する不正アクセス防止装置であって、前記ハブに設けられた複数のポートのうち、前記不正機器が接続されている第１のポートとは異なる第２のポートに接続されて、前記ハブを介してパケットを送受信する通信Ｉ／Ｆ部と、前記ハブで転送されているパケットを前記通信Ｉ／Ｆ部で受信して監視することにより前記不正機器から送信された不正パケットを検知するパケット監視部と、前記不正パケットの検知に応じて、前記不正機器のＭＡＣアドレスを送信元ＭＡＣアドレスとする妨害パケットを前記通信Ｉ／Ｆ部から前記ハブ側へ直ちに送信することにより、前記ハブに登録されている前記不正機器のＭＡＣアドレスに対するポートの関連付けを、前記第１のポートから前記第２のポートへ変更する妨害処理部とを備えている。

【0009】

また、本発明にかかる上記不正アクセス防止装置の一構成例は、前記妨害処理部が、前記妨害パケットをブロードキャストで送信するようにしたものである。

【0010】

また、本発明にかかる不正アクセス防止方法は、ＩＰネットワークを構成するハブに接続されて、不正機器による不正アクセスを防止する不正アクセス防止装置で用いられる不正アクセス防止方法であって、前記ハブに設けられた複数のポートのうち、前記不正機器が接続されている第１のポートとは異なる第２のポートに接続された通信Ｉ／Ｆ部により、前記ハブを介してパケットを送受信する通信ステップと、前記ハブで転送されているパケットを前記通信ステップで受信して監視することにより前記不正機器から送信された不正パケットを検知するパケット監視ステップと、前記不正パケットの検知に応じて、前記不正機器のＭＡＣアドレスを送信元ＭＡＣアドレスとする妨害パケットを前記通信ステップにより前記ハブ側へ直ちに送信することにより、前記ハブに登録されている前記不正機器のＭＡＣアドレスに対するポートの関連付けを、前記第１のポートから前記第２のポートへ変更する妨害処理ステップとを備えている。

【0011】

また、本発明にかかる上記不正アクセス防止方法の一構成例は、前記妨害処理ステップが、前記妨害パケットをブロードキャストで送信するようにしたものである。

【発明の効果】

【0012】

本発明によれば、不正機器から送信された不正パケットが検知された場合、不正アクセス防止装置から直ちに妨害パケットが送信されて、ハブのＭＡＣアドレステーブルに登録されている不正機器のＭＡＣアドレスに対するポートの関連付けが、第１のポートから第２のポートへ変更される。したがって、この後、不正パケットに対する応答パケットが対象機器から送信された場合には、応答パケットは第１のポートの不正機器ではなく第２のポートの不正アクセス防止装置１０へ転送されることになる。このため、ＡＲＰパケットを送信しない不正機器であっても、この不正機器による通信を妨害でき、結果として、不正機器による対象機器への不正アクセスを防止することが可能となる。

【図面の簡単な説明】

【0013】

【図1】不正アクセス防止装置の構成を示すブロック図である。

【図2】不正アクセス防止動作を示すシーケンス図である。

【図3】対象機器が異なるハブに接続されたＩＰネットワークの構成例である。

【図4】不正機器が異なるハブに接続されたＩＰネットワークの構成例である。

【図5】不正機器および対象機器が異なるハブに接続されたＩＰネットワークの構成例である。

【発明を実施するための形態】

【0014】

次に、本発明の一実施の形態について図面を参照して説明する。
［不正アクセス防止装置］
まず、図１を参照して、本実施の形態にかかる不正アクセス防止装置１０について説明する。図１は、不正アクセス防止装置の構成を示すブロック図である。

【0015】

この不正アクセス防止装置１０は、全体として、サーバ装置、ＰＣ、コントローラ、通信機器などのＩＰ通信装置からなり、ＩＰネットワークＮＷを構成するＨＵＢ２０のポートＰ０に接続されて、接続の許可されていない不正機器からの不正アクセスを防止する機能を有している。

【0016】

ＨＵＢ２０は、ＭＡＣアドレスとポートとの対応関係をＭＡＣアドレステーブルに登録することにより、後続パケットの高速転送を行うＭＡＣアドレス登録機能を有する、一般的なスイッチングハブからなる。

【0017】

対象機器３１は、不正アクセスの対象となる通信機器であり、ＨＵＢ２０のポートＰ１に接続されている。
通信機器３２は、不正アクセスの対象とならない通信機器であり、ＨＵＢ２０のポートＰ２に接続されている。
不正機器３３は、対象機器３１に対して不正アクセスを行う通信機器であり、ＨＵＢ２０のポートＰ３に接続されている。

【0018】

ここでは、Ｐ０，Ｐ１，Ｐ２，Ｐ３からなる４つポートを持つ場合が例として示されているが、ポート数はこれに限定されるものではない。また、これら不正アクセス防止装置１０、対象機器３１、通信機器３２、不正機器３３とＨＵＢ２０の各ポートＰ０，Ｐ１，Ｐ２，Ｐ３との接続関係については、これに限定されるものではない。なお、ポートＰ０については、すべてのパケットを監視するため、不正アクセス防止装置１０宛てでないパケットもポートＰ０へ転送するよう、ＨＵＢ２０に例外設定されているものとする。

【0019】

不正アクセス防止装置１０には、主な機能部として、通信Ｉ／Ｆ部１１、接続許可リスト記憶部１２、パケット監視部１３、および妨害処理部１４が設けられている。

【0020】

通信Ｉ／Ｆ部１１は、ＨＵＢ２０に設けられた複数のポートのうち、不正機器３３が接続されているポートＰ３（第１のポート）とは異なるポートＰ０（第２のポート）に接続されて、ＨＵＢ２０を介してＩＰネットワークＮＷ上でパケットを送受信する機能を有している。

【0021】

接続許可リスト記憶部１２は、半導体メモリなどの記憶装置からなり、ＩＰネットワークＮＷに対して接続が許可されている対象機器３１や通信機器３２の正規ＭＡＣアドレスが予め登録されている接続許可リストを記憶する機能を有している。

【0022】

パケット監視部１３は、ＨＵＢ２０で転送されているパケットを通信Ｉ／Ｆ部１１で受信して当該パケットからＭＡＣアドレスを抽出し、接続許可リスト記憶部１２の接続許可リストに登録されている正規ＭＡＣアドレスと照合することによりパケット送信元を監視し、ＩＰネットワークＮＷに対して接続が許可されていない不正機器３３から送信された不正パケットを検知する機能を有している。

【0023】

妨害処理部１４は、パケット監視部１３での不正パケットの検知に応じて、不正機器３３のＭＡＣアドレスを送信元とする妨害パケットを生成して、通信Ｉ／Ｆ部１１からＨＵＢ２０側へ直ちに送信することにより、ＨＵＢ２０に登録されている不正機器３３のＭＡＣアドレスに対するポートの関連付けを、不正機器３３のポートＰ３（第１のポート）から不正アクセス防止装置１０のポートＰ０（第２のポート）へ変更する機能を有している。

【0024】

［本実施の形態の動作］
次に、図２を参照して、本実施の形態にかかる不正アクセス防止装置１０の動作について説明する。図２は、不正アクセス防止動作を示すシーケンス図である。
ここでは、不正機器３３が対象機器３１に対して不正アクセスする場合を例として説明する。なお、不正アクセス防止装置１０、対象機器３１、通信機器３２、不正機器３３のＭＡＣアドレスが、それぞれ「ＭＡＣ０」、「ＭＡＣ１」、「ＭＡＣ２」、「ＭＡＣ３」であるものとする。

【0025】

まず、不正機器３３は、対象機器３１に対して不正アクセスを行うための不正パケットＡを送信する（ステップ１００）。この不正パケットＡには、送信元のＭＡＣアドレスとして「ＭＡＣ３」が設定されており、送信先のＭＡＣアドレスまたはＩＰアドレスとして対象機器３１を示すアドレスが設定されている。

【0026】

ＨＵＢ２０は、不正パケットＡの受信に応じて、ＭＡＣアドレス登録機能により、不正パケットＡを受信したポートＰ３と不正パケットＡの送信元ＭＡＣアドレス「ＭＡＣ３」とを対応付けてＭＡＣアドレステーブルに登録する（ステップ１０１）。これ以降、「ＭＡＣ３」宛てのパケットを受信した場合、ＨＵＢ２０は、ＭＡＣアドレステーブルの登録内容に基づいてポートＰ３へのみ転送することになる。この際、実際には例外設定されているポートＰ０へも転送されるが、本発明の内容とは直接的な関係はない。

【0027】

また、ＨＵＢ２０は、不正パケットＡの受信に応じてＭＡＣアドレステーブルを参照して、送信先として設定されている対象機器３１の接続ポートとしてポートＰ１を選択し、ポートＰ１から対象機器３１へ不正パケットＡを転送する（ステップ１０２）。
この際、ＨＵＢ２０は、例外設定に基づいて、ポートＰ０から不正アクセス防止装置１０へ不正パケットＡを転送する（ステップ１０３）。

【0028】

この不正パケットＡは、不正アクセス防止装置１０の通信Ｉ／Ｆ部１１で不正パケットＡを受信され、パケット監視部１３は、不正パケットＡから送信元ＭＡＣアドレス「ＭＡＣ３」を抽出して、接続許可リスト記憶部１２の接続許可リストでの登録有無を確認する（ステップ１０４）。
ここで、「ＭＡＣ３」が接続許可リストに登録されていない場合、パケット監視部１３は、不正パケットＡの送信元である不正機器３３による不正アクセスを検知する（ステップ１０５）。

【0029】

妨害処理部１４は、パケット監視部１３での不正アクセス検知に応じて、不正パケットＡの送信元ＭＡＣアドレスである「ＭＡＣ３」を送信元ＭＡＣアドレスとして設定した妨害パケットＢを生成し、通信Ｉ／Ｆ部１１からＨＵＢ２０側へ直ちに送信する（ステップ１０６）。この際、妨害パケットＢは、対象機器３１または不正機器３３が接続されているＨＵＢ２０のＭＡＣアドレステーブルを書き換えるためのパケットであるため、ＨＵＢ２０で転送処理されるパケットであればよい。したがって、妨害パケットＢの送信先としては、対象機器３１または不正機器３３であってもよく、ブロードキャストであってもよい。

【0030】

ＨＵＢ２０は、不正アクセス防止装置１０からの妨害パケットＢの受信に応じて、ＭＡＣアドレス登録機能により、妨害パケットＢを受信したポートＰ０と妨害パケットＢの送信元ＭＡＣアドレス「ＭＡＣ３」とを対応付けてＭＡＣアドレステーブルに登録する（ステップ１０７）。これ以降、「ＭＡＣ３」宛てのパケットを受信した場合、ＨＵＢ２０は、ＭＡＣアドレステーブルの登録内容に基づいてポートＰ０へのみ転送することになる。

【0031】

したがって、この後、対象機器３１から不正パケットＡに対する応答として、送信元ＭＡＣアドレスとして「ＭＡＣ３」が設定された応答パケットＣが送信された場合、ＨＵＢ２０は、ＭＡＣアドレステーブルの登録内容に基づいて、応答パケットＣを不正機器３３ではなく、ポートＰ０から不正アクセス防止装置１０へ転送することになる。これにより、不正機器３３の通信が妨害されることになり、結果として不正機器３３による対象機器３１への不正アクセスが防止されることになる。

【0032】

なお、一般的には１ポートには１つの通信機器が接続されるが、例えば、リピータを介して不正アクセス防止装置１０と不正機器３３をＨＵＢ２０の同一ポートに接続することも可能である。このような場合、妨害パケットＢによりＭＡＣアドレステーブルのうち不正機器３３のＭＡＣアドレスに関連付けられたポートを不正アクセス防止装置１０のポートに書き換えても、不正機器３３とＨＵＢ２０とのポートが同じ場合、不正機器３３へのパケットが同一ポートから不正機器３３へ転送されてしまう。したがって、不正アクセス防止装置１０は、ＨＵＢ２０のポートのうち不正機器３３とは異なるポートに接続しておくことが必要となる。

【0033】

図３は、対象機器が異なるハブに接続されたＩＰネットワークの構成例である。ここでは、図１と比較して、ＨＵＢ２０のポートＰ４にＨＵＢ２１が接続されており、このＨＵＢ２１に対象機器３１が接続されている。
図４は、不正機器が異なるハブに接続されたＩＰネットワークの構成例である。ここでは、図１と比較して、ＨＵＢ２０のポートＰ４にＨＵＢ２１が接続されており、このＨＵＢ２１に不正機器３３が接続されている。

【0034】

これら構成例は、対象機器３１または不正機器３３のいずれか一方が、不正アクセス防止装置１０が接続されているＨＵＢ２０とは異なるＨＵＢ２１に接続されている。しかしながら、いずれの場合も、図１と同様に、不正機器３３からの不正パケットＡがＨＵＢ２０で転送されるため、不正アクセス防止装置１０で不正アクセスが検知され、妨害パケットＢがＨＵＢ２０へ送信されることになる。このため、図１と同様にして、妨害パケットＢにより、不正機器３３の通信が妨害されることになり、結果として不正機器３３による対象機器３１への不正アクセスが防止されることになる。

【0035】

図５は、不正機器および対象機器が異なるハブに接続されたＩＰネットワークの構成例である。ここでは、図１と比較して、ＨＵＢ２０と不正アクセス防止装置１０との間にＨＵＢ２１が接続されている。しかし、ＨＵＢ２０およびＨＵＢ２１において、図１と同様の例外設定により、不正機器３３からの不正パケットＡがＨＵＢ２０からＨＵＢ２１を介して転送されるため、不正アクセス防止装置１０で不正アクセスが検知される。

【0036】

したがって、不正アクセス防止装置１０から例えばマルチキャストで妨害パケットＢを送信すれば、ＨＵＢ２１を介してＨＵＢ２０へ送信されることになる。このため、図１と同様にして、妨害パケットＢにより、対象機器３１の通信が妨害されることになり、結果として不正機器３３による対象機器３１への不正アクセスが防止されることになる。

【0037】

［本実施の形態の効果］
このように、本実施の形態は、ＨＵＢ２０に設けられた複数のポートのうち、不正機器３３が接続されているポートＰ３とは異なるポートＰ０に接続されて、ＨＵＢ２０を介してパケットを送受信する通信Ｉ／Ｆ部１１を設け、パケット監視部１３が、ＨＵＢ２０で転送されているパケットを通信Ｉ／Ｆ部１１で受信して監視することにより不正機器３３から送信された不正パケットＡを検知し、妨害処理部１４が、不正パケットＡの検知に応じて、不正機器３３のＭＡＣアドレスを送信元ＭＡＣアドレスとする妨害パケットＢを通信Ｉ／Ｆ部１１からＨＵＢ２０側へ直ちに送信することにより、ＨＵＢ２０に登録されている不正機器３３のＭＡＣアドレスに対するポートの関連付けを、ポートＰ３からポートＰ０へ変更するようにしたものである。

【0038】

これにより、不正機器３３から送信された不正パケットＡが検知された場合、不正アクセス防止装置１０から直ちに妨害パケットＢが送信されて、ＨＵＢ２０のＭＡＣアドレステーブルに登録されている不正機器３３のＭＡＣアドレスに対するポートの関連付けが、ポートＰ３からポートＰ０へ変更される。したがって、この後、不正パケットＡに対する応答パケットＣが対象機器３１から送信された場合には、応答パケットＣはポートＰ３の不正機器３３ではなくポートＰ０の不正アクセス防止装置１０へ転送されることになる。このため、不正機器３３がＡＲＰパケットを送信しないものであっても、この不正機器３３による通信を妨害でき、結果として不正機器３３による対象機器３１への不正アクセスを防止することが可能となる。

【0039】

また、本実施の形態において、妨害処理部１４が、妨害パケットＢを送信する際、ブロードキャストで送信するようにしてもよい。
これにより、ＩＰネットワークＮＷのうち、対象機器３１および不正機器３３が、不正アクセス防止装置１０とは異なるハブに接続されている場合でも、不正アクセス防止装置１０からブロードキャストで送信された妨害パケットＢが異なるハブに転送されて、異なるハブのＭＡＣアドレステーブルが書き換えられるため、結果として、対象機器３１に対する不正機器３３の不正アクセスを防止することが可能となる。

【0040】

［実施の形態の拡張］
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。

【符号の説明】

【0041】

１０…不正アクセス防止装置、１１…通信Ｉ／Ｆ部、１２…接続許可リスト記憶部、１３…パケット監視部、１４…妨害処理部、２０，２１…ＨＵＢ、３１…対象機器、３２…通信機器、３３…不正機器、Ｐ０，Ｐ１，Ｐ２，Ｐ３，Ｐ４…ポート、ＮＷ…ＩＰネットワーク。

【図1】

【図2】

【図3】

【図4】

【図5】