特許第6624771号(P6624771)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧
特許6624771クライアントベースローカルマルウェア検出方法
<>
  • 特許6624771-クライアントベースローカルマルウェア検出方法 図000002
  • 特許6624771-クライアントベースローカルマルウェア検出方法 図000003
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6624771
(24)【登録日】2019年12月6日
(45)【発行日】2019年12月25日
(54)【発明の名称】クライアントベースローカルマルウェア検出方法
(51)【国際特許分類】
   G06F 21/56 20130101AFI20191216BHJP
【FI】
   G06F21/56 360
【請求項の数】9
【外国語出願】
【全頁数】10
(21)【出願番号】特願2014-78356(P2014-78356)
(22)【出願日】2014年4月7日
(65)【公開番号】特開2014-203464(P2014-203464A)
(43)【公開日】2014年10月27日
【審査請求日】2017年2月28日
【審判番号】不服-15922(P-15922/J1)
【審判請求日】2018年11月30日
(31)【優先権主張番号】13/858,238
(32)【優先日】2013年4月8日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
(74)【代理人】
【識別番号】100108501
【弁理士】
【氏名又は名称】上野 剛史
(74)【代理人】
【識別番号】100112690
【弁理士】
【氏名又は名称】太佐 種一
(72)【発明者】
【氏名】アミット クレイン
(72)【発明者】
【氏名】マイケル ブーダエイ
【合議体】
【審判長】 石井 茂和
【審判官】 山崎 慎一
【審判官】 田中 秀人
(56)【参考文献】
【文献】 米国特許出願公開第2011/0289582(US,A1)
【文献】 米国特許第8677481(US,B1)
【文献】 米国特許第6721721(US,B1)
【文献】 特開2007−179131(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/56
(57)【特許請求の範囲】
【請求項1】
ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法であって、
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって前記ユーザ端末デバイス上では実行されるがユーザに見えない透明ブラウザを自動的に起動して、前記セキュリティアプリケーションが前記マルウェアによって攻撃されると予測される1以上の所定URLへ前記透明ブラウザをナビゲートするステップ;
b)前記セキュリティアプリケーションにより、前記透明ブラウザによる前記所定URLから受信したwebページの処理中の2つの異なる時点でwebページのコードをチェックするステップであって、前記2つの異なる時点のうちの最初の時点は、前記透明ブラウザによって前記webページが開かれた直後の時点であり、前記2つの異なる時点のうちの第2の時点は、前記開かれたwebページが前記透明ブラウザによって少なくとも部分的に処理された後、前記透明ブラウザによって前記コードをレンダリングする準備中にある時点である、ステップ;
c)前記2つの異なる時点の間のコードの改変を検出するステップ;
d)前記2つの異なる時点でコードの改変が検出された場合、前記ユーザ端末がマルウェアに感染した旨の警告を発するステップ;
を有することを特徴とする方法。
【請求項2】
前記トリガイベントは、ユーザがブラウザを起動したことを検出すること、タイムベーストリガ、および前記ユーザ端末デバイスを再起動することから選択されていることを特徴とする請求項1記載の方法。
【請求項3】
前記所定URLはライブラリに格納されていることを特徴とする請求項1記載の方法。
【請求項4】
前記受信した検査対象webページがHTMLフォーマットである請求項1記載の方法。
【請求項5】
前記webページのコードをチェックするステップに代えて、前記セキュリティアプリケーションは、前記マルウェアによって挿入されたテンプレートを識別することにより、受信した検査対象webページの前記コードをチェックすることを特徴とする請求項1記載の方法。
【請求項6】
前記テンプレートは、前記透明ブラウザが受信した検査対象webページの前記コードから除外されたフィールドへ情報をタイプするように前記端末デバイスのユーザへ促すテキスト部分であることを特徴とする請求項5記載の方法。
【請求項7】
前記透明ブラウザに所定URLへナビゲートさせることに代えて、前記セキュリティアプリケーションは、前記透明ブラウザにローカルデータベースの前記検査対象webページのコピーをオープンさせるように構成されていることを特徴とする請求項1記載の方法。
【請求項8】
プラグインとブラウザ拡張は前記透明ブラウザから実行不能にされていることを特徴とする請求項1記載の方法。
【請求項9】
ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法であって、
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって前記ユーザ端末デバイス上では実行されるがユーザに見えない透明ブラウザを自動的に起動して、前記セキュリティアプリケーションが前記マルウェアによって攻撃されると予測される1以上の所定URLへ前記透明ブラウザをナビゲートするステップ;
b)前記セキュリティアプリケーションが前記透明ブラウザに対して、専用プラグインによってインターフェースブラウザから収集されたwebページをオープンするステップであって、前記プラグインはユーザのインターフェースブラウザにあらかじめインストールされておりかつ関心webページを記録するように構成されている、ステップ;
c)前記収集されたページにおいて、ヒューリスティックプロセスを用いて、前記マルウェアが挿入したコードの既知のテキスト部分および前記マルウェアが使用する隠しフレームを検出することにより、前記webページを検査するステップ;
d)前記テキスト部分もしくは前記フレームが検出された場合、前記端末がマルウェアに感染した旨の警告を発するステップ;
を有することを特徴とする方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットセキュリティの分野に関する。具体的には、本発明はクライアントベースでユーザ端末デバイスにおけるマルウェアを検出する方法に関する。ユーザ端末デバイスとは、例えばユーザコンピュータであり、ユーザ端末デバイス上で実行されるブラウザを介してマルウェアに感染したものをいう。
【背景技術】
【0002】
より多くのユーザがインターネットに接続され、日常活動を電子的に実施するようになるのにともない、コンピュータユーザは地下経済のターゲットとなるようになっている。これらは主に経済的利益のため、マルウェアとしても知られる悪意あるソフトウェアでホストを感染させる。悪いことに、感染したwebサイトを一度訪れるのみであっても、アタッカはユーザブラウザの脆弱性を検出し、ユーザコンピュータにマルウェアを観戦させることができる。このマルウェアはしばしば、攻撃者が秘密データにアクセスできるようにし、あるいは欠陥がある端末デバイスのフルコントロールを得ることすらできる。これにより、機密情報の漏えいやホストの遠隔操作を可能にするユーティリティのインストールが発生し得る。
【0003】
インターネットサービスは、ますます私たちの日々の生活の必須要素になりつつある。私たちはコミュニケーションのためインターネットに接続されたデバイスの便利さと柔軟性にますます依存するようになっており、一般に物理的存在を必要とするタスクをこれによって実施するようになっている。例えばバンキング作業がこれに当たる。非常に便利ではあるものの、インターネット取引は私たちの機密情報をさらしてしまう可能性がある。バンキング、医療記録、認証パスワード、個人通信記録は、接続されたいずれかのデバイスを脆弱化することに成功した攻撃者へ容易に知られてしまう可能性がある。
【0004】
多くの場合、侵入が成功するとマルウェアに感染し、マルウェアは自身をユーザコンピュータ(またはインターネットなどのデータネットワークに接続しているユーザの他の端末デバイス)にインストールする。マルウェアを用いて、バンキングパスワードなどの機密情報を盗むことができる。特にユーザがブラウザを起動するときが顕著である。
【0005】
上記課題を解決するため、有効なマルウェア検出ツールが望まれる。
【0006】
US2011/0239300(本願出願人と同じ)は、コンピュータ内に存在するHTML改変マルウェアを検出する方法を開示している。ブラウザが受信したwebページ内に改変された文字列が存在するか否かを判定する。改変要素が見つかった場合、コンピュータ内にマルウェアが存在すると判定され、1以上の警告タスクまたは防御タスクが生成される。US2011/0239300の内容は参照によって本願に組み込まれる。同文献は、ユーザのブラウザがネットワークを介して表示するwebページをスキャンするマルウェアスキャンエンジンを備える遠隔サーバを提供する。マルウェアスキャンエンジンは、表示されたwebページの変化を検出するように構成されている。この変化は、ユーザ端末内に挿入されたマルウェアの存在を示唆している。しかし、ユーザがマルウェアによって「サポート」されていないブラウザ(すなわち、マルウェアが当該タイプのブラウザを攻撃するように作成されていない)でサーバにアクセスする場合、ユーザコンピュータがマルウェアに感染していることは検出されない。また、US2011/0239300が提案する方法は、ユーザがwebサイトに接続されたときのみマルウェアを検出することができる。
【0007】
したがって本発明の目的は、クライアントサイドでマルウェアを検出する方法を提供することである。
【0008】
本発明のその他の目的および利点は、以下の説明から明らかになるであろう。
【発明の概要】
【課題を解決するための手段】
【0009】
本発明は、ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法に関する。同方法は以下のステップを有する:
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって透明ブラウザを自動的に起動して、1以上の所定Uniform Resource Locator(URL)へナビゲートするステップ;
b)前記透明ブラウザによってオープンされた直後に、受信した検査対象webページのコードを、前記セキュリティアプリケーションによってチェックするステップ;
c)前記透明ブラウザによって少なくとも部分的に処理された後、前記セキュリティアプリケーションによって前記コードを再チェックするステップ;
d)前記コードの変化を検出した場合、前記端末がマルウェアに感染した旨の警告を発するステップ。
【0010】
前記所定のURLは、マルウェアによって攻撃されると予測されるwebサイトに対応するようにしてもよいし、ライブラリに格納してもよい。
【0011】
前記セキュリティアプリケーションは、前記透明ブラウザによってオープンされる前に、受信したHTMLフォーマットの検査対象webページの前記コードを、チェックするように構成してもよい。
【0012】
1実施形態において、前記コードを処理した後に再チェックするステップに代えて、前記セキュリティアプリケーションは、前記マルウェアのコード挿入のテンプレートを識別することにより、受信した検査対象webページの前記コードをチェックする。前記テンプレートは、前記透明ブラウザが受信した検査対象webページの前記コードから除外されたフィールドへ情報をタイプするように前記端末デバイスのユーザへ促すテキスト部分としてもよい。
【0013】
1実施形態において、前記透明ブラウザに所定URLへナビゲートさせることに代えて、前記セキュリティアプリケーションは、ローカルデータベースから選択したエミュレートされたwebページを内部的に戻すことにより、前記URLへのナビゲートをエミュレートするように構成することもできる。
【0014】
前記セキュリティアプリケーションは、前記URLへのナビゲーションを以下のステップによってエミュレートすることもできる:
a)実行中かつネットワークインターフェースに到達するデータを生成する前に、前記透明ブラウザによって起動された呼び出し機能を捕捉するステップ;
b)エミュレートされたwebページを前記透明ブラウザに対して内部的に戻すステップ。
【0015】
プラグインとブラウザ拡張は前記透明ブラウザから実行不能にしてもよい。
【0016】
本発明はまた、ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法に関する。同方法は以下のステップを有する:
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって透明ブラウザを自動的に起動して、1以上の所定URLへナビゲートするステップ;
b)前記セキュリティアプリケーションが前記透明ブラウザに対して、専用プラグインによってインターフェースブラウザから収集されたwebページを戻すことを許可するステップであって、前記プラグインは前記インターフェースブラウザにあらかじめインストールされておりかつ関心webページを記録するように構成されている、ステップ;
c)前記収集されたページにおいて1以上の変化を検出した場合、前記端末がマルウェアに感染した旨の警告を発するステップ。
【0017】
1実施形態において、透明ブラウザを起動するステップおよび処理後に前記コードを再チェックするステップに代えて、前記セキュリティアプリケーションは各webページの前記コードにおける変化を以下のステップによって検出することもできる:
a)前記ユーザインターフェースブラウザを介してブラウズ中にwebページにアクセスするステップ;
b)ヒューリスティックプロセスを用いて、前記マルウェアが挿入したコードの既知のテキスト部分および前記マルウェアが使用する隠しフレームを検出することにより、前記webページを検査するステップ。
【0018】
前記トリガイベントは、前記ユーザが前記インターフェースブラウザを起動したことを検出することであってもよいし、タイムベーストリガであってもよいし、前記ユーザ端末デバイスを再起動することであってもよい。
【図面の簡単な説明】
【0019】
図1】本発明の1実施形態に基づくマルウェア検出システムおよび方法の概略図である。
図2】本発明が提案する方法の実施形態のフローチャートである。
【発明を実施するための形態】
【0020】
ユーザは日々の生活において、例えばwebサイトのハイパーリンク(URL)をクリックすることにより、webサイトにアクセスする。ユーザは次にwebサイトを介してナビゲートし、関心のあるwebページを見つける。通常、ハイパーテキストマックアップ言語(HTML)形式の所望webページが、ユーザ端末のブラウザウインドウを介して、または当該分野における既知のコンピュータ手段によって、提示または表示される。
【0021】
本発明は、コンピュータ(またはインターネットのようなデータネットワークに接続したユーザの任意の端末デバイス)にマルウェアが存在している状態でブラウジングしている間にユーザコンピュータ動作に応じてリアルタイム検出することにより、ブラウザを実行することを介して感染したコンピュータにおけるマルウェアを検出し、オンライン機密情報を不正捕捉することを防ぐ方法に関する。これは全体としては、ユーザのコンピュータにインストールされたセキュリティアプリケーションによってなされる。セキュリティアプリケーションは、特定webサイトを訪問している間にユーザインターフェース(実際の)ブラウザが受信したHTMLを検査し、そのHTMLページのコンテンツまたはコードのマルウェアによって生じた可能性のある変化を検出する。
【0022】
図1は、本発明の1実施形態に基づくシステム(符号10を付している)を概略的に示す。本システムは、ユーザコンピュータ動作の結果としてブラウザに挿入されたマルウェアを検出するためのものである。システム10は、インターネット12またはデータネットワークに適したその他の接続を介してwebサイトサーバ24と接続することができるユーザ端末3を備える。ユーザ端末3は、インターフェース(実)ブラウザ7を有する。インターフェースブラウザ7が実行されると、ユーザが入力デバイス6によって従来通り選択したwebページ9をサーバ24からダウンロードする。これは通常はハイパーリンク(URL)にアクセスした後である。ユーザ端末3はまた、透明(不可視)ブラウザ14を有する。透明ブラウザ14は以下に説明するように、マルウェアを検出するため、ユーザに見えないようになっている(ただし端末デバイス上では実行される)。クライアントサイドセキュリティアプリケーション5は、ユーザ端末3上にインストールされており、格納されている所定命令にしたがって透明ブラウザ14を起動する。
【0023】
セキュリティアプリケーション5は透明ブラウザ14に、マルウェアが攻撃するであろうと予測されるwebサイト(例えば銀行webサイト)のURLをいくつかナビゲートさせ、webページ9(またはサーバリソースのコピー)マルウェアによって改変されていないかチェックする。よってUS2011/0239300が提案する方法と異なり、本発明においてセキュリティアプリケーション5は、透明ブラウザ14をマルウェアによって攻撃されるであろう多くのwebサイトへナビゲートすることができる。セキュリティアプリケーション5はまた、透明ブラウザ14が解釈した直後に、受信した検査対象webページ9のコードをチェックするように構成されている。このチェックは、基準(ベースライン)として用いられる。セキュリティアプリケーション5は次に、透明ブラウザ14がレンダリングの準備をする間に、いくつかの処理ステップを通過した後(すなわち部分的に処理した後)で再チェックする。これにより、検査対象webページ9のコードが改変されているか否かを検出する。これは、透明ブラウザ14に対して専用フック(プログラマがカスタマイズしたプログラムを挿入できるようにする、パッケージコードによって提供されるインターフェース)を用いることにより実施することができる。この専用フックは、透明ブラウザ14が解釈するとき(第1フックを用いて)、および処理された直後(第2フックを用いて)において、webページ9を見ることができる。セキュリティアプリケーション5は、いくつかの同一の処理ステップを並列実行するように構成されている。これにより、同一の処理ステップを通過したコード同士を比較する。本実施形態によれば、セキュリティアプリケーション5は、検査対象webページ9の期待されるコードと、マルウェア動作によって透明ブラウザ14へ提示された実際のコードとを比較するのに適した任意の機能を実装するように構成することができる。実質的なコード改変が検出された場合、それはユーザ端末3に感染したマルウェアによってなされた可能性があるといえる。
【0024】
他実施形態において、セキュリティアプリケーション5は、マルウェアのコード挿入のテンプレートとして可能性があるものを識別するために、検査対象webページ9のコードをチェックするように構成することができる。このテンプレートは例えば、検査対象webページ9において通常は現れるべきではない、ユーザ名とパスワードをタイプするようユーザに促すテキスト部分である。このテンプレートは、透明ブラウザによって受信した検査対象webページのコードから除外されたフィールドへ情報をタイプするよう端末デバイスのユーザに促すテキスト部分であってもよい。このようなテンプレートが検出された場合、それはユーザ端末3に感染したマルウェアによってなされた可能性があるといえる。
【0025】
他実施形態において、セキュリティアプリケーション5は、透明ブラウザ14に実際にマルウェアが攻撃するであろうwebサイトのURLへナビゲートさせるのではなく、URLに対するナビゲーションをエミュレートするように構成することができる。エミュレーションは、帯域幅を節約し、閲覧するページの適正な変化をマルウェアとして認識しないようにするために用いられる。この場合セキュリティアプリケーション5は、エミュレートしたwebページを、実際に特定のURL(例えば銀行のURL)を訪問することにより得られたものであるかのようにして、透明ブラウザ14へ戻すように構成される。これは、ローカルデータベースから選択されたエミュレートwebページを内部的に戻すことにより実施される。このとき、ネットワークインターフェース(カード)に接続する必要はなく、インターフェース(実)ブラウザ7を介したユーザナビゲーションとは関係しない。また、透明ブラウザ14は通常、閲覧前に何らかの機能を(特定のライブラリから)呼び出すので、実行中かつネットワークインターフェースに到達するデータパケットを生成する前にセキュリティアプリケーション5を用いてそのような呼び出しを捕捉し、透明ブラウザ14に対して即座にエミュレートされたwebページを引き渡すことができる。このように、検査プロセスは高速でありノイズがない。また、セキュリティアプリケーション5が実施するローカル検査により、ユーザ端末3上で用いられる複数の異なるブラウザが閲覧するwebページ9を攻撃するマルウェアを検出することができる。
【0026】
本発明が提案する透明ブラウザ14を用いることにより、ノイズを削減することができる。セキュリティアプリケーション5によって完全にコントロールされているからである。したがって、webページ9を適正に変更するが場合によってはマルウェアとみなされる可能性のある全てのプラグインおよびブラウザ拡張を、使用不可にすることができる。
【0027】
上述のように、ユーザインターフェース(実)ブラウザ7を介してアクセスするwebページ9を取得し、各webページのコード変化を検出することにより、セキュリティアプリケーション5によって検査することができる。この場合、インターフェース(実)ブラウザ7に、関心のあるwebページ(例えば銀行webサイトに属するwebページ)を記録するように構成された専用プラグインをインストールすることができる。記録されたwebページは、セキュリティアプリケーション5によって検査される。ヒューリスティックプロセスを用いて、マルウェアが挿入するコードの既知のテキスト部分とともに、マルウェアが用いる隠しフレームを検出することができる。他実施形態において、セキュリティアプリケーション5は、HTMLパースレイヤに引き渡されるとき、検査対象webページ9のコードをチェックするように構成することができる。
【0028】
ユーザインターフェースブラウザ7は、透明ブラウザ14が同時に動作しつつもブラウジングのため充分大きいデータレートで動作する、マルウェアに対して脆弱である可能性があるネットワークブラウジング機能を提供するのに適した任意のアプリケーションであってもよい。ユーザ端末3は、ユーザインターフェースブラウザ7を動作させる任意のデバイスであってもよい。端末3は例えば、携帯端末(PDA)、ラップトップなどのコンピュータ、携帯電話、モバイルハンドセット、タブレットコンピュータ、その他インターネットを閲覧する任意デバイスを含む。端末3は、任意のオペレーティングシステムを備えることができる。例えばMAC・OS、WINDOWS(登録商標)、UNIX(登録商標)、LINUX(登録商標)、その他適当なオペレーティングシステムである。例えば、Symbian(Symbian社)、iOS(Apple)、Windows(登録商標)Phone(Microsoft)、Android(Google)などのモバイルデバイスオペレーテイングシステム(特にスマートフォン)も含む。
【0029】
図2は、webページがマルウェアによって攻撃されたか否かを検出するシステム10と連携して動作する方法の実施形態のフローチャートである。第1ステップ31において、セキュリティアプリケーション5は端末デバイス3上(クライアントサイド)にインストールされる。ステップ33において、バックグラウンドで常時実行されるプロセス(例えば、所望URLからwebページを受信するためユーザ端末上にインストールされたユーザインターフェース(実)ブラウザをユーザが起動したとき、透明ブラウザ14を周期的に開始するとき、セキュリティアプリケーション5をインストールするとき、コンピュータを再起動するとき、または未知のソフトウェアを実行するとき)などのような所定トリガイベントを検出すると、セキュリティアプリケーション5は自動的に、透明ブラウザ14にいくつかのマルウェアが攻撃しそうなwebサイトのURLへナビゲートさせる。次のステップ35において、セキュリティアプリケーション5は、透明ブラウザ14によってオープンされた直後に、受信した検査対象webページ9のコードをチェックする。セキュリティアプリケーションはまた、HTMLフォーマットで透明ブラウザによってオープンされる前に、受信した検査対象webページのコードをチェックするように構成することもできる。次のステップ37において、セキュリティアプリケーション5は、透明ブラウザによるいくつかの処理ステップを通過した後にコードを再チェックし、webページの改変を検出する。次のステップ39において、改変が検出された場合、ユーザ端末がマルウェアに感染した旨の警告を発する。
【0030】
他実施形態において、セキュリティアプリケーション5は、マルウェアのコード挿入のテンプレートとして可能性があるものを識別するため、検査対象webページ9のコードをチェックするように構成することができる。例えば、検査対象webページ9において現れるべきではない、ユーザ名とパスワードをタイプするようユーザに促すテキスト部分である。このようなテンプレートが検出された場合、それはユーザ端末3に感染したマルウェアによってなされた可能性がある。
【0031】
他実施形態において、セキュリティアプリケーション5は、実際にナビゲーションを実施して帯域幅とネットワークリソースを消費するのではなく、マルウェアが攻撃すると予測されるURLに対するナビゲーションをエミュレートするように構成することができる。エミュレートしたナビゲーションは、複数webページを実際に閲覧することによる適正な変化をマルウェアとみなしてしまうような「ノイズ」をなくすことができる。この場合セキュリティアプリケーション5は、透明ブラウザ14に対して、特定URL(例えば銀行のURL)を実際に訪問して得られたものであるかのようにして、エミュレートされたwebページを戻すように構成される。これは、ローカルデータベースから選択したエミュレートされたwebページを内部的に引き渡すことにより、実施することができる。この場合、ネットワークインターフェース(カード)に接続する必要はなく、インターフェース(実)ブラウザ7を介してユーザナビゲーションは関係ない。また、透明ブラウザ14は通常、閲覧前に何らかの機能を(特定のライブラリから)呼び出すので、実行中かつネットワークインターフェースに到達するデータパケットを生成する前にセキュリティアプリケーション5を用いてそのような呼び出しを捕捉し、透明ブラウザ14に対して即座にエミュレートされたwebページを引き渡すことができる。このように、検査プロセスは高速でありノイズがない。また、セキュリティアプリケーション5が実施するローカル検査により、ユーザ端末3上で用いられる複数の異なるブラウザが閲覧するwebページ9を攻撃するマルウェアを検出することができる。
【0032】
本発明が提案する透明ブラウザ14を用いることにより、ノイズを削減することができる。セキュリティアプリケーション5によって完全にコントロールされているからである。したがって、webページ9を適正に変更するが場合によってはマルウェアとみなされる可能性のある全てのプラグインおよびブラウザ拡張を、使用不可にすることができる。
【0033】
上述のように、ユーザインターフェース(実)ブラウザ7を介してアクセスするwebページ9を取得し、これを透明ブラウザ14に提示し、各webページのコード変化を検出することによりセキュリティアプリケーション5によって検査することができる。この場合、インターフェース(実)ブラウザ7に、関心のあるwebページ(例えば銀行webサイトに属するwebページ)を記録するように構成された専用プラグインをインストールすることができる。記録されたwebページは、透明ブラウザ14に提供され、セキュリティアプリケーション5によって検査される。
【0034】
上述のように、ブラウジングしている間に、ユーザインターフェース(実)ブラウザ7を介してアクセスするwebページ9をパッシブ分析し、これを透明ブラウザ14に提示し、各webページのコード変化を検出することによりセキュリティアプリケーション5によって検査することができる。この場合、ヒューリスティックプロセスを用いて、マルウェアが挿入するコードの既知のテキスト部分とともに、マルウェアが用いる隠しフレームを検出することができる。
【0035】
例示によって本発明の実施形態を説明したが、本発明は特許請求範囲を逸脱することなく、多くの変更、変形、適用とともに実施し、当業者の範囲に属する様々な等価物または代替物とともに用いて実施することができることは明らかである。
図1
図2