特許 6919095 アクセス解析装置、電子機器、アクセス解析方法、及びアクセス解析プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6919095

(24)【登録日】2021年7月28日

(45)【発行日】2021年8月18日

(54)【発明の名称】アクセス解析装置、電子機器、アクセス解析方法、及びアクセス解析プログラム

(51)【国際特許分類】

   G06F 21/44 20130101AFI20210805BHJP

   G06F 13/00 20060101ALI20210805BHJP

   G06F 21/55 20130101ALI20210805BHJP

【ＦＩ】

   G06F21/44

   G06F13/00 351Z

   G06F21/55 320

【請求項の数】10

【全頁数】11

(21)【出願番号】特願2016-209273(P2016-209273)

(22)【出願日】2016年10月26日

(65)【公開番号】特開2018-72972(P2018-72972A)

(43)【公開日】2018年5月10日

【審査請求日】2019年7月24日

(73)【特許権者】

【識別番号】521143343

【氏名又は名称】株式会社テリロジーワークス

(74)【代理人】

【識別番号】100166006

【弁理士】

【氏名又は名称】泉 通博

(72)【発明者】

【氏名】松浦 洋一

(72)【発明者】

【氏名】金井塚 功

【審査官】 吉田 歩

(56)【参考文献】

【文献】 米国特許第０６０６５０５５（ＵＳ，Ａ）

【文献】 特開２０１４−１６０３７６（ＪＰ，Ａ）

【文献】 特開２０１３−２５７７７３（ＪＰ，Ａ）

【文献】 特開２００７−１６４６７６（ＪＰ，Ａ）

【文献】 佐々木 崇，情報セキュリティＳｕｍｍｉｔ２０１４ ＲＥＶＩＥＷ，日経コミュニケーション，日本，日経ＢＰ社，２０１４年１１月 １日，第６１０号，ＩＳＳＮ０９１０−７２１５

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／４４

Ｇ０６Ｆ １３／００

Ｇ０６Ｆ ２１／５５

(57)【特許請求の範囲】

【請求項1】

セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得する差分リスト取得部と、
電子機器におけるサイトへのアクセス履歴を示すアクセス履歴情報を取得するアクセス履歴取得部と、
前記差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する特定部と、
前記新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を出力する出力部と、
を備えるアクセス解析装置。

【請求項2】

前記アクセス履歴情報は、前記電子機器の識別情報と、前記電子機器がアクセスしたサイトの識別情報と、前記電子機器が前記サイトにアクセスした時刻とを含み、
前記出力部は、前記新規登録サイトに対応するアクセス履歴情報を出力する、
請求項１に記載のアクセス解析装置。

【請求項3】

前記アクセス履歴情報は、前記電子機器の識別情報と、前記電子機器がアクセスしたネットワーク上の機器と、前記電子機器が前記機器にアクセスした時刻とを含み、
前記出力部は、前記電子機器が前記新規登録サイトにアクセスした後の前記アクセス履歴情報を出力する、
請求項１又は２に記載のアクセス解析装置。

【請求項4】

前記アクセス履歴情報は、前記電子機器の識別情報と、前記電子機器がアクセスしたネットワーク上の機器と、前記電子機器が前記機器にアクセスした時刻とを含み、
前記出力部は、前記電子機器が前記新規登録サイトにアクセスする前の前記アクセス履歴情報を出力する、
請求項１から３のいずれか１項に記載のアクセス解析装置。

【請求項5】

前記アクセス履歴取得部は、複数の電子機器から前記アクセス履歴を取得し、
前記出力部は、前記差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までに前記差分リストに含まれるサイトにアクセスした前記電子機器の数を示す情報を出力する、
請求項１から４のいずれか１項に記載のアクセス解析装置。

【請求項6】

前記出力部は、前記差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までの、前記差分リストに含まれるサイトごとのアクセス数を示す情報を出力する、
請求項１から５のいずれか１項に記載のアクセス解析装置。

【請求項7】

前記出力部は、複数の前記差分リストのそれぞれに関連付けて、当該差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までに当該差分リストに含まれるサイトにアクセスした前記電子機器の数及びアクセス数の少なくともいずれかを出力する、
請求項１から６のいずれか１項に記載のアクセス解析装置。

【請求項8】

サイトへのアクセス履歴を示すアクセス履歴情報を記憶する記憶部と、
セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得する差分リスト取得部と、
前記差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する特定部と、
前記新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を出力する出力部と、
を備える電子機器。

【請求項9】

コンピュータにより実行される、
セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得するステップと、
電子機器におけるサイトへのアクセス履歴を示すアクセス履歴情報を取得するステップと、
前記差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定するステップと、
前記新規登録サイトに対応するアクセス履歴情報が抽出されたことを示す情報を出力するステップと、
を備えるアクセス解析方法。

【請求項10】

コンピュータを、
セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得する差分リスト取得部、
電子機器におけるサイトへのアクセス履歴を示すアクセス履歴情報を取得するアクセス履歴取得部、
前記差分リストが取得された時点よりも所定期間前の時点から、前記差分リストが取得された時点までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する特定部、及び
前記新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を出力する出力部、
として機能させるアクセス解析プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、アクセス解析装置、電子機器、アクセス解析方法、及びアクセス解析プログラムに関する。

【背景技術】

【0002】

近年、インターネット上に存在する危険性が高いサイトにユーザがアクセスすることを制限することが行われている。例えば、特許文献１には、端末がアクセスしようとするサイトが、有害なサイトの一覧を示すブラックリストに登録されている場合に、当該サイトへのアクセスを制限する技術が開示されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１５−１６２２２５号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

ところで、ブラックリストへのサイトの登録は、ブラックリストを生成する事業者等によって当該サイトが有害であると判断された時点で行われる。これに対して、端末の中には、サイトがブラックリストに登録される前に当該サイトにアクセスする端末、すなわち、ゼロデイ攻撃を受けた可能性がある端末が存在する。端末がゼロデイ攻撃を受けた場合には、端末の管理者は、当該端末に対して適切に対処する必要がある。しかしながら、従来の技術は、ゼロデイ攻撃を受けた可能性がある端末を特定することができないので、端末の管理者が適切に対処することができないという問題があった。

【0005】

そこで、本発明はこれらの点に鑑みてなされたものであり、ゼロデイ攻撃を受けた可能性のある端末に対して管理者が適切に対処することができるアクセス解析装置、電子機器、アクセス解析方法、及びアクセス解析プログラムを提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明の第１の態様に係るアクセス解析装置は、セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得する差分リスト取得部と、電子機器におけるサイトへのアクセス履歴を示すアクセス履歴情報を取得するアクセス履歴取得部と、前記差分リストが取得された時点から所定期間前までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する特定部と、前記新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を出力する出力部と、を備える。

【0007】

前記アクセス履歴情報は、前記電子機器の識別情報と、前記電子機器がアクセスしたサイトの識別情報と、前記電子機器が前記サイトにアクセスした時刻とを含み、前記出力部は、前記新規登録サイトに対応するアクセス履歴情報を出力してもよい。

【0008】

前記アクセス履歴情報は、前記電子機器の識別情報と、前記電子機器がアクセスしたネットワーク上の機器と、前記電子機器が前記機器にアクセスした時刻とを含み、前記出力部は、前記電子機器が前記新規登録サイトにアクセスした後の前記アクセス履歴情報を出力してもよい。
前記アクセス履歴情報は、前記電子機器の識別情報と、前記電子機器がアクセスしたネットワーク上の機器と、前記電子機器が前記機器にアクセスした時刻とを含み、前記出力部は、前記電子機器が前記新規登録サイトにアクセスする前の前記アクセス履歴情報を出力してもよい。

【0009】

前記アクセス履歴取得部は、複数の電子機器から前記アクセス履歴を取得し、前記出力部は、前記差分リストが取得された時点から所定期間前までに前記差分リストに含まれるサイトにアクセスした前記電子機器の数を示す情報を出力してもよい。
前記出力部は、前記差分リストが取得された時点から所定期間前までの、前記差分リストに含まれるサイトごとのアクセス数を示す情報を出力してもよい。
前記出力部は、複数の前記差分リストのそれぞれに関連付けて、当該差分リストが取得された時点から所定期間前までに当該差分リストに含まれるサイトにアクセスした前記電子機器の数及びアクセス数の少なくともいずれかを出力してもよい。

【0010】

本発明の第２の態様に係る電子機器は、サイトへのアクセス履歴を示すアクセス履歴情報を記憶する記憶部と、セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得する差分リスト取得部と、前記差分リストが取得された時点から所定期間前までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する特定部と、前記新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を出力する出力部と、を備える。

【0011】

本発明の第３の態様に係るアクセス解析方法は、コンピュータにより実行される、セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得するステップと、電子機器におけるサイトへのアクセス履歴を示すアクセス履歴情報を取得するステップと、前記差分リストが取得された時点から所定期間前までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定するステップと、前記新規登録サイトに対応するアクセス履歴情報が抽出されたことを示す情報を出力するステップと、を備える。

【0012】

本発明の第４の態様に係るアクセス解析プログラムは、コンピュータを、セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストを取得する差分リスト取得部、電子機器におけるサイトへのアクセス履歴を示すアクセス履歴情報を取得するアクセス履歴取得部、前記差分リストが取得された時点から所定期間前までのアクセス履歴を示す前記アクセス履歴情報から、前記差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する特定部、及び前記新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を出力する出力部、として機能させる。

【発明の効果】

【0013】

本発明によれば、ゼロデイ攻撃を受けた可能性のある端末に対して管理者が適切に対処することができるという効果を奏する。

【図面の簡単な説明】

【0014】

【図1】本実施形態に係るアクセス解析サーバの概要を示す図である。

【図2】本実施形態に係るアクセス解析サーバの構成を示す図である。

【図3】特定されたユーザ端末の数を示す情報と、新規登録サイトごとのアクセス数を示す情報との表示例を示す図である。

【図4】一の差分リストに対応する詳細情報の一例を示す図である。

【図5】本実施形態に係るアクセス解析サーバにおける差分リストの取得時における処理の流れを示すフローチャートである。

【発明を実施するための形態】

【0015】

［アクセス解析サーバ１の概要］
図１は、本実施形態に係るアクセス解析サーバ１の概要を示す図である。
アクセス解析サーバ１は、インターネット等の通信ネットワークを介してウェブサーバ５が提供するウェブサイトや、ローカルネットワーク内に設けられている内部サーバ３にアクセスするユーザ端末２のアクセス制御を行うサーバであり、アクセス解析装置として機能する。なお、ウェブサーバ５は、ウェブサイトを提供するウェブサーバであることとしたが、これに限らず、悪意のある処理を実行するサーバ等を含んでいてもよい。

【0016】

アクセス解析サーバ１は、セキュリティ上の問題があるサイトのリストであるブラックリストを記憶している。アクセス解析サーバ１は、ユーザ端末２がウェブサーバ５にアクセスする際に、アクセス先を示すアドレスがブラックリストに登録されているか否かに基づいて、ユーザ端末２のアクセス制御を行う。

【0017】

アクセス解析サーバ１は、ユーザ端末２がウェブサーバ５又は内部サーバ３にアクセスする場合に、ユーザ端末２のアクセス履歴を記憶する（図１の（１））。アクセス解析サーバ１は、新たにブラックリストに登録される新規登録サイトを示す情報を含む差分リストを配信サーバ６から受信し、ブラックリストを更新することにより、ブラックリストを最新の状態に保つ（図１の（２））。アクセス解析サーバ１は、アクセス履歴を参照し、差分リストの受信前における、ユーザ端末２の新規登録サイトへのアクセス履歴を特定する（図１の（３））。アクセス解析サーバ１は、ユーザ端末２の新規登録サイトへのアクセス履歴を特定したことに応じて、ユーザ端末２を管理する管理者が使用する管理端末４に警告情報を送信する。

【0018】

このようにすることで、アクセス解析サーバ１は、ゼロデイ攻撃を受けた可能性が高いユーザ端末２を特定して管理端末４に通知することができる。これにより、管理者は、ゼロデイ攻撃を受けた可能性のあるユーザ端末２に対して適切に対処することができる。

【0019】

［アクセス解析サーバ１の構成］
続いて、アクセス解析サーバ１の構成について説明する。図２は、本実施形態に係るアクセス解析サーバ１の構成を示す図である。図２に示すように、アクセス解析サーバ１は、記憶部１１と、制御部１２とを備える。

【0020】

記憶部１１は、例えば、ＲＯＭ、ＲＡＭ及びハードディスク等の記憶媒体である。記憶部１１は、制御部１２が実行するプログラムを記憶する。記憶部１１は、制御部１２をアクセス制御部１２１、記憶制御部１２２、差分リスト取得部１２３、アクセス履歴取得部１２４、特定部１２５、及び出力部１２６として機能させるためのアクセス解析プログラムを記憶する。

【0021】

また、記憶部１１は、複数のユーザ端末２のそれぞれのアクセス履歴を示すアクセス履歴情報を記憶するとともに、セキュリティ上の問題があるサイトのリストであるブラックリストを記憶する。ブラックリストには、セキュリティ上の問題があるサイトの識別情報として、例えばホスト名とドメイン名とを含むＦＱＤＮ（Fully Qualified Domain Name）が含まれている。

【0022】

制御部１２は、例えばＣＰＵである。制御部１２は、記憶部１１に記憶されている各種プログラムや、通信ネットワークを介して外部機器から取得したプログラムを実行することにより、アクセス解析サーバ１に係る機能を制御する。制御部１２は、アクセス制御部１２１と、記憶制御部１２２と、差分リスト取得部１２３と、アクセス履歴取得部１２４と、特定部１２５と、出力部１２６とを備える。

【0023】

アクセス制御部１２１は、ユーザ端末２の内部サーバ３及びウェブサーバ５へのアクセスを制御する。具体的には、アクセス制御部１２１は、ユーザ端末２のアクセス先のアドレスとしてのＦＱＤＮを特定し、当該アドレスがブラックリストに記憶されているか否かを特定する。アクセス制御部１２１は、ＦＱＤＮがブラックリストに記憶されていると判定すると、ユーザ端末２の当該アドレスへのアクセスを遮断する。また、アクセス制御部１２１は、ＦＱＤＮがブラックリストに記憶されていないと判定すると、ユーザ端末２の当該アドレスへのアクセスを許可する。なお、アクセス制御部１２１は、ＦＱＤＮがブラックリストに記憶されていると判定すると、ユーザ端末２がブラックリストに登録されているＦＱＤＮが示すウェブサーバ５にアクセスしようとしたことを示す情報を管理端末４に送信してもよい。

【0024】

記憶制御部１２２は、ユーザ端末２の内部サーバ３及びウェブサーバ５へのアクセス履歴を示すアクセス履歴情報を記憶部１１に記憶させる。アクセス履歴情報は、ユーザ端末２を識別する識別情報と、ユーザ端末２がアクセスしたサイト又はネットワーク上の機器の識別情報と、ユーザ端末２がアクセスした時刻とを関連付けた情報である。なお、記憶制御部１２２は、ユーザ端末２の内部サーバ３及びウェブサーバ５へのアクセス履歴を示すアクセス履歴情報を記憶部１１に記憶させたが、これに限らない。例えば、記憶制御部１２２は、ローカルネットワーク内に設けられている電子機器の、当該電子機器とは異なる他の電子機器へのアクセス履歴を示すアクセス履歴情報を記憶部１１に記憶させてもよい。ここで、他の電子機器は、例えば、ローカルネットワーク内に設けられているユーザ端末２、内部サーバ３、ウェブサーバ５、及び通信ネットワークを介して接続される通信ネットワーク上のサーバ等である。

【0025】

ユーザ端末２を識別する識別情報は、例えばＩＰアドレスである。また、ユーザ端末２がアクセスしたサイトの識別情報は、例えば、ＦＱＤＮである。また、ユーザ端末２がアクセスしたネットワーク上の機器としての内部サーバ３の識別情報は、例えば、ＩＰアドレスである。

【0026】

差分リスト取得部１２３は、差分リストを配信する配信サーバ６から差分リストを取得する。例えば、差分リストには、バージョン情報が付されており、サイトのＦＱＤＮが含まれている。差分リスト取得部１２３は、差分リストを受信すると、記憶部１１に記憶されているブラックリストに当該差分リストを追加することによりブラックリストを更新する。なお、差分リストには、新規登録サイトの危険度合いを示すスコアリング情報が含まれていてもよい。

【0027】

アクセス履歴取得部１２４は、複数のユーザ端末２におけるアクセス履歴を示すアクセス履歴情報を取得する。具体的には、アクセス履歴取得部１２４は、差分リスト取得部１２３が差分リストを取得すると、記憶部１１に記憶されているアクセス履歴情報のうち、差分リストを受信した時刻から所定期間前までのアクセス履歴情報を取得する。ここで、所定期間は、例えば、差分リストを配信する配信サーバ６において、新規登録サイトごとに設定されていてもよい。

【0028】

特定部１２５は、差分リストが取得された時点から所定期間前までのアクセス履歴を示すアクセス履歴情報から、差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する。具体的には、特定部１２５は、アクセス履歴取得部１２４が取得したアクセス履歴情報に含まれている、ユーザ端末２がアクセスしたサイトを識別するＦＱＤＮから、差分リストに含まれるＦＱＤＮと一致するアクセス履歴情報を特定する。

【0029】

出力部１２６は、特定部１２５がアクセス履歴情報を特定したことに応じて、新規登録サイトに対応するアクセス履歴情報が特定されたことを示す警告情報を管理端末４に出力する。また、出力部１２６は、特定部１２５が特定した、新規登録サイトに対応するアクセス履歴情報を管理端末４に出力する。このようにすることで、管理端末４を使用する管理者は、アクセス履歴情報に基づいて、複数のユーザ端末２のうち、どのユーザ端末２がゼロデイ攻撃を受けた可能性があるかを特定することができる。

【0030】

なお、出力部１２６は、新規登録サイトに対応するアクセス履歴情報が特定されたことを示す警告情報を、ユーザ端末２に送信してもよい。このようにすることで、ユーザ端末２のユーザもゼロデイ攻撃を受けた可能性があることを認識し、一時的に他の機器にアクセスしない等の対策を行うことができる。

【0031】

また、特定部１２５は、特定したアクセス履歴情報に基づいて、差分リストが取得された時点から所定期間前までに差分リストに含まれる新規登録サイトにアクセスしたユーザ端末２の数を特定する。また、特定部１２５は、特定したアクセス履歴情報に基づいて、差分リストが取得された時点から所定期間前までに差分リストに含まれる新規登録サイトごとの複数のユーザ端末２からのアクセス数を特定する。

【0032】

そして、出力部１２６は、特定されたユーザ端末２の数を示す情報と、新規登録サイトごとのアクセス数を示す情報とを管理端末４に出力する。図３は、特定されたユーザ端末２の数を示す情報と、新規登録サイトごとのアクセス数を示す情報との表示例を示す図である。図３に示す例では、複数の差分リストのそれぞれに対応する差分リストのバージョンと、差分リストに含まれる新規登録サイトの数と、当該新規登録サイトにアクセスしたユーザ端末２の数と、ユーザ端末２におけるアクセス数とが示されていることが確認できる。

【0033】

なお、出力部１２６は、管理端末４からの指示に基づいて、図３に示す情報の並び替えを行ってもよい。例えば、出力部１２６は、差分リストに、新規登録サイトの影響度合いを示すスコアリング情報が含まれている場合、スコアリング情報が示す危険度合いが相対的に高い新規登録サイトの情報を含む差分リストのバージョンから順に表示したり、差分リストに含まれる新規登録サイトのスコアリング情報が示す危険度合いの合計値が高い順に差分リストのバージョンを表示したりしてもよい。また、図３に示す差分リストの件数が所定件数以上である場合には、所定値以下の危険度合いの新規登録サイトのみを含む差分リストを表示しないようにしてもよい。

【0034】

また、出力部１２６は、図３に示す一の差分リストが選択されたことに応じて、当該差分リストに対応する詳細情報を管理端末４に出力する。例えば、図３に示す一の差分リストに対応する差分リストのバージョン、新規登録サイトの数、当該新規登録サイトにアクセスしたユーザ端末２の数、又はユーザ端末２におけるアクセス数が選択されたことに応じて、詳細情報を管理端末４に出力する。図４は、一の差分リストに対応する詳細情報の一例を示す図である。図４に示す例では、差分リストに含まれている新規登録サイトのＦＱＤＮと、新規登録サイトへのアクセス数と、時系列ごとのアクセス数を示すグラフへのリンクとが表示されていることが確認できる。このようにすることで、管理端末４を使用する管理者は、ゼロデイ攻撃の影響度を把握し、適切な対策を取ることができる。

【0035】

なお、図４に示すＦＱＤＮ及びアクセス数には、当該ＦＱＤＮのサイトにアクセスしたユーザ端末２のリストへのリンクが付されていてもよい。このようにすることで、管理端末４の管理者は、図４に示すＦＱＤＮ又はアクセス数を選択することにより、当該ＦＱＤＮのサイトにアクセスしたユーザ端末２を把握することができる。

【0036】

また、特定部１２５は、特定したアクセス履歴情報に基づいて、新規登録サイトにアクセスしたユーザ端末２を特定するとともに、当該ユーザ端末２が新規登録サイトにアクセスした時刻を特定する。そして、特定部１２５は、記憶部１１に記憶されているアクセス履歴情報から、当該ユーザ端末２が新規登録サイトにアクセスした時刻よりも後のアクセス履歴情報を特定する。ここで、特定部１２５は、当該ユーザ端末２が新規登録サイトにアクセスした時刻よりも後のアクセス履歴情報のうち、当該ユーザ端末２がアクセスしたネットワーク上の機器（内部サーバ３や他のユーザ端末２等のローカルネットワーク上の電子機器）へのアクセス履歴情報をさらに特定してもよい。そして、出力部１２６は、特定されたアクセス履歴情報を管理端末４に出力してもよい。

【0037】

なお、特定部１２５は、ユーザ端末２が新規登録サイトにアクセスした時刻よりも後のアクセス履歴情報を特定したが、これに限らず、ユーザ端末２が新規登録サイトにアクセスした時刻よりも前のアクセス履歴情報を特定してもよい。また、特定部１２５は、新規登録サイトにアクセスしたユーザ端末２が、当該新規登録サイトにアクセスした時刻よりも後にアクセスしたネットワーク上の電子機器を特定して、当該電子機器がアクセスしたネットワーク上の機器へのアクセス履歴情報を管理端末４に出力してもよい。

【0038】

このようにすることで、管理者は、ユーザ端末２が新規登録サイトにアクセスした経緯や、当該ユーザ端末２へのウイルス等の感染の可能性、当該ユーザ端末２がアクセスした内部サーバ３を特定し、適切に対処することができる。

【0039】

［アクセス解析サーバ１における処理の流れ］
続いて、アクセス解析サーバ１における処理の流れについて説明する。ここでは、アクセス解析サーバ１における差分リストの取得時の処理の流れについて説明する。図５は、アクセス解析サーバ１における差分リストの取得時における処理の流れを示すフローチャートである。

【0040】

まず、差分リスト取得部１２３は、配信サーバ６から差分リストを取得する（Ｓ１０）。
続いて、アクセス履歴取得部１２４は、記憶部１１に記憶されているアクセス履歴情報のうち、差分リストを受信した時刻から所定期間前までのアクセス履歴情報を取得する（Ｓ２０）。

【0041】

続いて、特定部１２５は、差分リストが取得された時点から所定期間前までのアクセス履歴を示すアクセス履歴情報から、差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定する（Ｓ３０）。

【0042】

続いて、特定部１２５は、Ｓ３０において特定されたアクセス履歴情報に基づいて、差分リストが取得された時点から所定期間前までに差分リストに含まれる新規登録サイトにアクセスしたユーザ端末２の数を特定するとともに、新規登録サイトごとの複数のユーザ端末２からのアクセス数を特定する（Ｓ４０）。

【0043】

続いて、特定部１２５は、新規登録サイトにアクセスしたユーザ端末２のそれぞれについて、当該ユーザ端末２が新規登録サイトにアクセスした時刻よりも後のアクセス履歴情報のうち、当該ユーザ端末２がアクセスした内部サーバ３又は他のユーザ端末２へのアクセス履歴情報を特定する（Ｓ５０）。

【0044】

続いて、出力部１２６は、Ｓ４０及びＳ５０において特定された情報を管理端末４に出力する（Ｓ６０）。ここで、出力部１２６は、Ｓ４０において特定された情報と、Ｓ５０において特定された情報とを異なるタイミングで管理端末４に出力してもよい。

【0045】

［本実施形態における効果］
以上説明した通り、本実施形態に係るアクセス解析サーバ１は、セキュリティ上の問題があるサイトのリストであるブラックリストの更新分を示す差分リストが取得された時点から所定期間前までのアクセス履歴を示すアクセス履歴情報から、差分リストに含まれる新規登録サイトへのアクセス履歴を示すアクセス履歴情報を特定し、新規登録サイトに対応するアクセス履歴情報が特定されたことを示す情報を管理端末４に出力する。

【0046】

このようにすることで、アクセス解析サーバ１は、サイトがブラックリストに登録される前に当該サイトにアクセスしたユーザ端末２、すなわち、ゼロデイ攻撃を受けた可能性が高いユーザ端末２を特定して管理端末４に通知することができる。これにより、管理者は、ゼロデイ攻撃を受けた可能性のあるユーザ端末２に対して管理者が適切に対処することができる。

【0047】

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。そのような変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。

【0048】

例えば、上述の実施形態では、アクセス解析サーバ１が、アクセス解析プログラムを実行することにより、アクセス制御部１２１、記憶制御部１２２、差分リスト取得部１２３、アクセス履歴取得部１２４、特定部１２５、及び出力部１２６として機能したが、これに限らない。例えば、ユーザ端末２がアクセス解析プログラムを実行することにより、アクセス制御部１２１、記憶制御部１２２、差分リスト取得部１２３、アクセス履歴取得部１２４、特定部１２５、及び出力部１２６として機能してもよい。

【符号の説明】

【0049】

１・・・アクセス解析サーバ、１１・・・記憶部、１２・・・制御部、１２１・・・アクセス制御部、１２２・・・記憶制御部、１２３・・・差分リスト取得部、１２４・・・アクセス履歴取得部、１２５・・・特定部、１２６・・・出力部、２・・・ユーザ端末、３・・・内部サーバ、４・・・管理端末、５・・・ウェブサーバ、６・・・配信サーバ

【図1】

【図2】

【図3】

【図4】

【図5】