知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022166870
(43)【公開日】2022-11-04
(54)【発明の名称】マルウェア検知を目的とした改ざん検知システム
(51)【国際特許分類】
G06F 21/56 20130101AFI20221027BHJP
G06F 21/64 20130101ALI20221027BHJP
【FI】
G06F21/56
G06F21/64
【審査請求】有
【請求項の数】1
【出願形態】OL
(21)【出願番号】P 2021072228
(22)【出願日】2021-04-22
(71)【出願人】
【識別番号】520119253
【氏名又は名称】吉原 和男
(72)【発明者】
【氏名】吉原 和男
(57)【要約】 (修正有)
【課題】サーバやPC等の端末にインストールされているソフトウェアの変更履歴をブロックチェーンで管理する事で、マルウェア感染を検知する改ざん検知システムを提供する。
【解決手段】改ざん検知システム1は、ハッシュ値生成機能2、ブロックチェーン生成機能3を備える。ハッシュ値生成機能は、サーバやPC等の端末にインストールされているソフトウェアと、ソフトウェアのバージョンに基づきハッシュ値を生成する。ブロックチェーン生成機能は、生成されたハッシュ値に基づきブロックチェーンを生成する。サーバやPC等の端末にインストールされているソフトウェアの変更履歴を、ブロックチェーンで管理する事でマルウェアへの感染を検知する。
【選択図】図1
【解決手段】改ざん検知システム1は、ハッシュ値生成機能2、ブロックチェーン生成機能3を備える。ハッシュ値生成機能は、サーバやPC等の端末にインストールされているソフトウェアと、ソフトウェアのバージョンに基づきハッシュ値を生成する。ブロックチェーン生成機能は、生成されたハッシュ値に基づきブロックチェーンを生成する。サーバやPC等の端末にインストールされているソフトウェアの変更履歴を、ブロックチェーンで管理する事でマルウェアへの感染を検知する。
【選択図】図1
【特許請求の範囲】
【請求項1】
可搬媒体を接続する端末にインストールされているソフトウェア名と、
ソフトウェアのバージョンから、
ハッシュ値を生成するハッシュ値生成
機能を備える事を特徴とする改ざん検知システム。
ソフトウェアのバージョンから、
ハッシュ値を生成するハッシュ値生成
機能を備える事を特徴とする改ざん検知システム。
【請求項2】
前記ハッシュ値生成機能により生成されたハッシュ値から、
ブロックチェーンを生成するブロックチェーン生成
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
ブロックチェーンを生成するブロックチェーン生成
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
【請求項3】
比較対象となるブロックチェーンを指定する比較対象指定機能を備え、
比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、
作業者に視覚的に警告を与える警告
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、
作業者に視覚的に警告を与える警告
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
【請求項4】
改ざん検知システムがインストールされた端末に、
可搬媒体(USB接続式のストレージ等)が接続された際に、
他の端末とのネットワークを遮断するネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
可搬媒体(USB接続式のストレージ等)が接続された際に、
他の端末とのネットワークを遮断するネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
【請求項5】
改ざん検知システムがインストールされた端末から、
可搬媒体(USB接続式のストレージ等)を取り外した後も、
再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
可搬媒体(USB接続式のストレージ等)を取り外した後も、
再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、他のシステムから隔離されて運用されるシステムにおいて、ブロックチェーン技術を用いた改ざん検知により、マルウェアの感染を検知する技術を提供する。
【背景技術】
【0002】
可搬媒体(USB接続式のストレージ等)をサーバに接続した際、特定サーバ以外との接続を拒否する事で、可搬媒体にマルウェアが混入する事を防ぐ技術(下記、特許文献1)が提供されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2013-3690
【発明の概要】
【発明が解決しようとする課題】
【0004】
発電所、航空機、電車、信号、ATM等の公共インフラや工場等の制御システムは、セキュリティを確保するため他のシステムから完全に隔離される。
隔離されたシステムでは、可搬媒体を介してソフトウェアアップデート等のメンテナンスを実施するため、可搬媒体をマルウェアに感染させる事で、隔離されたシステムに対して攻撃を行う。
可搬媒体に仕込まれたマルウェアが、作業者のミスによりインストールされる可能性は非常に低いため、攻撃者は可搬媒体にオートランを仕込む。
オートランとは可搬媒体をPCに接続した際、自動的にプログラムを実行するプログラムである。
Microsoft社は、可搬媒体のオートランを無効化するよう Windows を改修しているが、隔離されたシステムは設計が古い物も多く、Microsoft社が改修したパッチを適用する事が困難である事も多い。
隔離されたシステムでは、可搬媒体を介してソフトウェアアップデート等のメンテナンスを実施するため、可搬媒体をマルウェアに感染させる事で、隔離されたシステムに対して攻撃を行う。
可搬媒体に仕込まれたマルウェアが、作業者のミスによりインストールされる可能性は非常に低いため、攻撃者は可搬媒体にオートランを仕込む。
オートランとは可搬媒体をPCに接続した際、自動的にプログラムを実行するプログラムである。
Microsoft社は、可搬媒体のオートランを無効化するよう Windows を改修しているが、隔離されたシステムは設計が古い物も多く、Microsoft社が改修したパッチを適用する事が困難である事も多い。
【0005】
また、可搬媒体がマルウェアに感染しないよう厳密に管理すれば、可搬媒体を媒介とした攻撃を防ぎ得るが、作業者のセキュリティー意識が人為的脆弱性となり易い。
【0006】
このため、サーバやPC等の端末にインストールされているソフトウェアの変更履歴をブロックチェーンで管理する事で、マルウェア感染を検知するシステムを提供する。
【課題を解決するための手段】
【0007】
本発明の改ざん検知システムは、サーバやPC等の端末にインストールされ、端末にインストールされているソフトウェア名と、ソフトウェアのバージョンから、ハッシュ値を生成するハッシュ値生成機能を備える。
【0008】
好適には、前記ハッシュ値生成機能により生成されたハッシュ値から、ブロックチェーンを生成するブロックチェーン生成機能を備える。
【0009】
より好適には、比較対象となるブロックチェーンを指定する比較対象指定機能を備え、比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、作業者に視覚的に警告を与える警告機能を備える。
【0010】
より好適には、改ざん検知システムがインストールされた端末に、可搬媒体が接続された際、他の端末とのネットワークを遮断するネットワーク遮断機能を備える。
【0011】
より好適には、改ざん検知システムがインストールされた端末から、可搬媒体を取り外した後も、再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断機能を備える。
【0012】
本発明に係る改ざん検知システムによれば、ネットワークから隔離されたシステムにおいて可搬媒体を媒介としたマルウェアの感染を検知するのに好適である。
【図面の簡単な説明】
【0013】
【発明を実施するための形態】
【0014】
以下、本発明に係る改ざん検知システムについて、実施例にて図面を用いて説明する。
<実施例>
<実施例>
【0015】
図1は、改ざん検知システムを説明する概略図である。
改ざん検知システム1は、ハッシュ値生成機能2、ブロックチェーン生成機能3、比較対象指定機能4、警告機能5、ネットワーク遮断機能6から構成される。
改ざん検知システム1は、ハッシュ値生成機能2、ブロックチェーン生成機能3、比較対象指定機能4、警告機能5、ネットワーク遮断機能6から構成される。
【0016】
図2は、改ざん検知システムの構成を説明する概略図である。
通常、本番環境7のメンテナンスを実施する前にテスト環境9でメンテナンスを実施し、メンテナンスが正常に終了する事を確認するため、改ざん検知システム1は、本番環境7の可搬媒体接続端末8とテスト環境9のテスト端末10にインストールされる。
このため、テスト端末10にインストールされるソフトウェアの種類とバージョンは、可搬媒体接続端末8と同一でなければならない。
通常、本番環境7のメンテナンスを実施する前にテスト環境9でメンテナンスを実施し、メンテナンスが正常に終了する事を確認するため、改ざん検知システム1は、本番環境7の可搬媒体接続端末8とテスト環境9のテスト端末10にインストールされる。
このため、テスト端末10にインストールされるソフトウェアの種類とバージョンは、可搬媒体接続端末8と同一でなければならない。
【0017】
改ざん検知システム1は、ハッシュ値生成機能2により、サーバやPC等の端末にインストールされているソフトウェアと、ソフトウェアのバージョンに基づきハッシュ値を生成し、ブロックチェーン生成機能3は生成されたハッシュ値に基づきブロックチェーンを生成する。
ハッシュ値を生成する際は、管理者権限昇格の脆弱性が存在する可能性を考慮し、管理者権限が無いと書き込めない領域に保存されるソフトウェアも対象とする事が望ましい。
ハッシュ値を生成する際は、管理者権限昇格の脆弱性が存在する可能性を考慮し、管理者権限が無いと書き込めない領域に保存されるソフトウェアも対象とする事が望ましい。
【0018】
テスト端末10でのメンテナンス時に、改ざん検知システム1によりブロックチェーンを生成。
比較対象指定機能4により、テスト端末10で生成されたブロックチェーンを指定し、可搬媒体接続端末8でメンテナンス作業を実施、改ざん検知システム1によりブロックチェーンを生成する。
生成されたブロックチェーンが比較対象と異なる場合には、警告機能5により、作業者に視覚的に警告を与える。
比較対象指定機能4により、テスト端末10で生成されたブロックチェーンを指定し、可搬媒体接続端末8でメンテナンス作業を実施、改ざん検知システム1によりブロックチェーンを生成する。
生成されたブロックチェーンが比較対象と異なる場合には、警告機能5により、作業者に視覚的に警告を与える。
【0019】
ハッシュ値の生成は手動で行われる事が望ましく、ハッシュ値を生成する断面は「可搬媒体接続前」、「可搬媒体接続後」、「可搬媒体からメンテナンスに必要なファイルを指定ディレクトリにコピー後」、「メンテナンス作業の実施後」を想定している。
この様にする事で「可搬媒体接続後」の複数の断面で、マルウェア感染の有無を検査出来る。
この様にする事で「可搬媒体接続後」の複数の断面で、マルウェア感染の有無を検査出来る。
【0020】
可搬媒体を可搬媒体接続端末8に接続した際、マルウェア(実行ファイル)を可搬媒体接続端末8にインストールし、ネットワークを介して他端末への侵入を行い、可搬媒体接続端末8上の痕跡(実行ファイル)を抹消する事で、改ざん検知システム1による改ざん検知を回避する事が想定される。
このため、改ざん検知システム1がインストールされた端末に、可搬媒体が接続された場合、ネットワーク遮断機能6により、ネットワークを遮断する。
このため、改ざん検知システム1がインストールされた端末に、可搬媒体が接続された場合、ネットワーク遮断機能6により、ネットワークを遮断する。
【0021】
また、可搬媒体接続端末8上の痕跡(実行ファイル)が削除された後も、プロセスは動作し続けている可能性がある。
このため、改ざん検知システム1がインストールされた端末から可搬媒体を取り外した後も、再起動が行われるまでは、ネットワーク遮断機能6により、ネットワークを遮断し続ける。
このため、改ざん検知システム1がインストールされた端末から可搬媒体を取り外した後も、再起動が行われるまでは、ネットワーク遮断機能6により、ネットワークを遮断し続ける。
【0022】
開発環境11からテスト端末10に必要なファイルを移動するにあたっては、ネットワーク経由で行われる事が望ましい。
可搬媒体の管理は人為的脆弱性が存在するため、可能な限り可搬媒体を用いない事が望ましいためである。
可搬媒体の管理は人為的脆弱性が存在するため、可能な限り可搬媒体を用いない事が望ましいためである。
【0023】
ハッシュ値生成機能2がハッシュ値を生成する際の対象にレジストリも含める事で、改ざん検知の精度が高まる事が期待出来るが、レジストリは様々な要因で変化するため、対象とすべきレジストリの設計が煩雑となるので好ましくない。
【産業上の利用可能性】
【0024】
本発明は、ネットワークから隔離されたシステムにおいて、可搬媒体を媒介としたマルウェアの感染を検知するのに好適である。
【符号の説明】
【0025】
1 改ざん検知システム
2 ハッシュ値生成機能
3 ブロックチェーン生成機能
4 比較対象指定機能
5 警告機能
6 ネットワーク遮断機能
7 本番環境
8 可搬媒体接続端末
9 テスト環境
10 テスト端末
11 開発環境
2 ハッシュ値生成機能
3 ブロックチェーン生成機能
4 比較対象指定機能
5 警告機能
6 ネットワーク遮断機能
7 本番環境
8 可搬媒体接続端末
9 テスト環境
10 テスト端末
11 開発環境
【図1】
【図2】
【手続補正書】
【提出日】2022-09-05
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
セキュリティを確保するため他のシステムから隔離されたシステムにおいて、可搬媒体を接続する端末にインストールされ、前記可搬媒体を接続する端末にインストールされているソフトウェア名と、ソフトウェアのバージョンから、ハッシュ値を生成するハッシュ値生成機能を備え、
前記可搬媒体を接続する端末に、可搬媒体が接続された際、他の端末とのネットワークを遮断し、再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断機能を備える
事を特徴とする改ざん検知システム。
前記可搬媒体を接続する端末に、可搬媒体が接続された際、他の端末とのネットワークを遮断し、再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断機能を備える
事を特徴とする改ざん検知システム。