(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023104494
(43)【公開日】2023-07-28
(54)【発明の名称】不正アクセスポイント検知システム、アクセスポイント、方法、及びプログラム
(51)【国際特許分類】
H04W 12/12 20210101AFI20230721BHJP
H04W 12/06 20210101ALI20230721BHJP
H04W 12/08 20210101ALI20230721BHJP
H04W 12/71 20210101ALI20230721BHJP
【FI】
H04W12/12
H04W12/06
H04W12/08
H04W12/71
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022005514
(22)【出願日】2022-01-18
(71)【出願人】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(74)【代理人】
【識別番号】100098648
【弁理士】
【氏名又は名称】内田 潔人
(72)【発明者】
【氏名】上田 翔平
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067DD17
5K067EE10
5K067EE16
(57)【要約】
【課題】低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる不正アクセスポイント検知システム等を提供すること。
【解決手段】第1正規アクセスポイントは、自身と同じ識別情報に係るパスワードを他のアクセスポイントに送信して無線接続に成功したときに、他のアクセスポイントに係る識別情報を取得する無線接続部と、取得した識別情報を含むリクエスト情報を第2正規アクセスポイントに送信するリクエスト送信部と、を備える。第2正規アクセスポイントは、アクセスポイントに係る識別情報についての許否が登録された管理用データベースに基づいて、リクエスト情報に含まれた識別情報に係る他のアクセスポイントが不正アクセスポイントであるか否かを解析する解析部と、不正アクセスポイントであるときに、その旨を知らせるメールを管理端末に送信するメール送信部と、を備える。
【選択図】
図7
【特許請求の範囲】
【請求項1】
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムであって、
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントは、
他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記第1正規アクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するように構成されたリクエスト送信部と、
を備え、
前記第2正規アクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
不正アクセスポイント検知システム。
【請求項2】
前記第2正規アクセスポイントは、他のアクセスポイントに対して、前記第2正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部をさらに備え、
前記解析部は、前記管理用データベースに基づいて、前記第2正規アクセスポイントの前記無線接続部で取得した前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成されている、
請求項1記載の不正アクセスポイント検知システム。
【請求項3】
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがない場合に、前記不正アクセスポイントが存在すると判断する、
請求項1又は2記載の不正アクセスポイント検知システム。
【請求項4】
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがない場合に、許容できないアクセスポイントとして前記管理用データベースに登録するように構成されている、
請求項1乃至3のいずれか一に記載の不正アクセスポイント検知システム。
【請求項5】
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがあり、かつ、許容できないアクセスポイントとして前記管理用データベースに登録されている場合に、前記不正アクセスポイントが存在すると判断するように構成されている、
請求項1乃至4のいずれか一に記載の不正アクセスポイント検知システム。
【請求項6】
前記リクエスト送信部は、HTTP通信で前記リクエスト情報を前記第2正規アクセスポイントに送信するように構成されている、
請求項1乃至5のいずれか一に記載の不正アクセスポイント検知システム。
【請求項7】
前記他のアクセスポイントに係る前記識別情報は、MACアドレス又はBSSIDである、
請求項1乃至6のいずれか一に記載の不正アクセスポイント検知システム。
【請求項8】
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイントであって、
他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイントに送信するように構成されたリクエスト送信部と、
を備える、
アクセスポイント。
【請求項9】
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイントであって、
前記所定のアクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイントからのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
アクセスポイント。
【請求項10】
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムを用いて前記不正アクセスポイントを検知する不正アクセスポイント検知方法であって、
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントにおいて、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するステップと、
前記第1正規アクセスポイントにおいて、前記第1正規アクセスポイントで前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するステップと、
前記第2正規アクセスポイントにおいて、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するステップと、
前記第2正規アクセスポイントにおいて、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するステップと、
を含む、
不正アクセスポイント検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセスポイント検知システム、アクセスポイント、方法、及びプログラムに関する。
【背景技術】
【0002】
近年では、様々な場所(例えば、ホテル、飲食店、コンビニエンスストア、空港など)で、アクセスポイント(公衆無線LAN(Local Area Network)、無料Wi-Fi(登録商標)等)が提供されている。そのような場所では、利用者に対して、アクセスポイントを利用するためのSSID(Service Set Identifier:ESSID(Extended Service Set Identifier)という場合あり)及びパスワードの公開を行っている。そのような中で、悪意をもったサービス提供者により、正規アクセスポイントのSSID及びパスワードと同じSSID及びパスワードの不正アクセスポイントが設置されることがある。その不正アクセスポイントに端末を接続することで、端末の情報を抜き取って悪用されるなどのリスクがある。アクセスポイントは、現在、簡単に設置できる環境にあるため、不正アクセスポイントによるリスクは今後も増大する可能性がある。そこで、不正アクセスポイントを検知する方法が提案されている(例えば、特許文献1~3参照)。
【0003】
例えば、特許文献1では、LAN内の無線LAN装置を管理する管理端末を用いて、正規無線LAN装置(BSSID(Basic Service Set Identifier)、ESSID、フラグ)をリストに登録し、無線LAN装置のビーコンを取得し、前記ビーコンのビーコン情報(BSSID、ESSIDを含む)と前記リストとを用いて不正無線LAN装置を判別し、前記判別の結果を管理担当者に通知する方法が開示されている。
【0004】
また、特許文献2では、正規アクセスポイントを用いて、受信した信号から、前記正規アクセスポイントが送信する特定の識別情報と同じ識別情報を送信する他のアクセスポイントを検出した場合に、検出した前記他のアクセスポイントとの間で、前記正規アクセスポイントの配下の無線通信端末と無線通信を行うための第1MACアドレスと異なる第2MACアドレスを用いて無線通信を行い、前記他のアクセスポイントがパスワードを要求しないこと、又は、前記他のアクセスポイントの認証方式が前記正規アクセスポイントの認証方式と異なることを検出した場合に、前記他のアクセスポイントを不正アクセスポイントとして検出して前記他のアクセスポイントの情報を管理装置に送信する方法が開示されている。
【0005】
さらに、特許文献3では、無線ローカルエリアネットワーク中にある検出器で、シーケンス番号及びMACアドレスを含むビーコンフレームを受信し、このビーコンフレームが1つ以上のアクセスポイントにより無線ローカルエリアネットワーク上に送信され、無線ローカルエリアネットワーク内の偽造アクセスポイントを検出するため、受信されたビーコンフレームのシーケンス番号及びMACアドレスを検出器で解析(あらかじめ登録されたシーケンス番号及びMACアドレス)する方法が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2019-129434号
【特許文献2】特開2017-168909号
【特許文献3】特表2005-522120号
【発明の概要】
【発明が解決しようとする課題】
【0007】
以下の分析は、本願発明者により与えられる。
【0008】
しかしながら、特許文献1の方法では、無線LAN装置とは別に管理端末を追加しているので、広範囲で不正アクセスポイントを監視するには多くの管理端末が必要になり、大きなコストがかかる。また、特許文献2の方法では、広範囲で不正アクセスポイントを監視するには、エリア内にある正規アクセスポイントの全てが不正アクセスポイントを検出する機能を備えていることが必要であるので、大きなコストがかかる。さらに、特許文献3の方法では、広範囲で不正アクセスポイントを監視するには複数台の検出器を用意する必要があるので、大きなコストがかかる。
【0009】
本発明の主な課題は、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる不正アクセスポイント検知システム、アクセスポイント、方法、及びプログラムを提供することである。
【課題を解決するための手段】
【0010】
第1の視点に係る不正アクセスポイント検知システムは、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムであって、前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントは、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、前記第1正規アクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するように構成されたリクエスト送信部と、を備え、前記第2正規アクセスポイントは、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、前記管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、を備える。
【0011】
第2の視点に係るアクセスポイント(第1正規アクセスポイントに相当)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)であって、他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信するように構成されたリクエスト送信部と、を備える。
【0012】
第3の視点に係るアクセスポイント(第2正規アクセスポイントに相当)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)であって、前記所定のアクセスポイントは、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、前記管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、を備える。
【0013】
第4の視点に係る不正アクセスポイント検知方法は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムを用いて前記不正アクセスポイントを検知する不正アクセスポイント検知方法であって、前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントにおいて、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するステップと、前記第1正規アクセスポイントにおいて、前記第1正規アクセスポイントで前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するステップと、前記第2正規アクセスポイントにおいて、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するステップと、前記第2正規アクセスポイントにおいて、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するステップと、を含む。
【0014】
第5の視点に係るプログラム(第1正規アクセスポイント用プログラム)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得する処理と、前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信する処理と、を前記所定のアクセスポイント(第1正規アクセスポイントに相当)に実行させる。
【0015】
第6の視点に係るプログラム(第2正規アクセスポイント用プログラム)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析する処理と、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信する処理と、を前記所定のアクセスポイント(第2正規アクセスポイントに相当)に実行させる。
【0016】
なお、プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。また、本開示では、コンピュータプログラム製品として具現することも可能である。プログラムは、コンピュータ装置に入力装置又は外部から通信インタフェイスを介して入力され、記憶装置に記憶されて、プロセッサを所定のステップないし処理に従って駆動させ、必要に応じ中間状態を含めその処理結果を段階毎に表示装置を介して表示することができ、あるいは通信インタフェイスを介して、外部と交信することができる。そのためのコンピュータ装置は、一例として、典型的には互いにバスによって接続可能なプロセッサ、記憶装置、入力装置、通信インタフェイス、及び必要に応じ表示装置を備える。
【発明の効果】
【0017】
前記第1~第6の視点によれば、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる。
【図面の簡単な説明】
【0018】
【
図1】実施形態1に係る不正アクセスポイント検知システムの構成を模式的に示したブロック図である。
【
図2】実施形態1に係る不正アクセスポイント検知システムを適用したときの構成の一例を模式的に示したブロック図である。
【
図3】実施形態1に係る不正アクセスポイント検知システムにおいて用いられる管理用データベースの構成を模式的に示したテーブルである。
【
図4】実施形態1に係る不正アクセスポイント検知システムにおいて用いられるリクエスト情報の構成を模式的に示したテーブルである。
【
図5】実施形態1に係る不正アクセスポイント検知システムの第1正規アクセスポイントで不正アクセスポイントと無線接続したときの動作を模式的に示したフローチャート図である。
【
図6】実施形態1に係る不正アクセスポイント検知システムの第2正規アクセスポイントで不正アクセスポイントと無線接続したときの動作を模式的に示したフローチャート図である。
【
図7】実施形態2に係る不正アクセスポイント検知システムの構成を模式的に示したブロック図である。
【
図8】ハードウェア資源の構成を模式的に示したブロック図である。
【発明を実施するための形態】
【0019】
以下、実施形態について図面を参照しつつ説明する。なお、本出願において図面参照符号を付している場合は、それらは、専ら理解を助けるためのものであり、図示の態様に限定することを意図するものではない。また、下記の実施形態は、あくまで例示であり、本発明を限定するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インタフェイスも同様である。プログラムはコンピュータ装置を介して実行され、コンピュータ装置は、例えば、プロセッサ、記憶装置、入力装置、通信インタフェイス、及び必要に応じ表示装置を備え、コンピュータ装置は、通信インタフェイスを介して装置内又は外部の機器(コンピュータを含む)と、有線、無線を問わず、交信可能に構成される。
【0020】
[実施形態1]
実施形態1に係る不正アクセスポイント検知システムについて図面を用いて説明する。
図1は、実施形態1に係る不正アクセスポイント検知システムの構成を模式的に示したブロック図である。
図2は、実施形態1に係る不正アクセスポイント検知システムを適用したときの構成の一例を模式的に示したブロック図である。
図3は、実施形態1に係る不正アクセスポイント検知システムにおいて用いられる管理用データベースの構成を模式的に示したテーブルである。
図4は、実施形態1に係る不正アクセスポイント検知システムにおいて用いられるリクエスト情報の構成を模式的に示したテーブルである。
【0021】
不正アクセスポイント検知システム1は、第1正規アクセスポイント10A~10N及び第2正規アクセスポイント20を用いて、不正アクセスポイント50を検知するシステムである(
図1、
図2参照)。不正アクセスポイント検知システム1では、第1正規アクセスポイント10A~10N及び第2正規アクセスポイント20が、自身のSSID及びパスワードと同じSSID及びパスワードの不正アクセスポイント50と接続を試みる。不正アクセスポイント検知システム1では、接続成功時に当該不正アクセスポイント50に係る識別情報(例えば、MACアドレスを含むBSSID)を取得し、取得した識別情報(例えば、BSSID、MACアドレス)について第2正規アクセスポイント20に登録されている識別情報(例えば、
図3の登録MACアドレス)と一致するものがあるかを検索する。不正アクセスポイント検知システム1では、一致する識別情報(例えば、MACアドレス)がない場合、又は、一致する識別情報(例えば、MACアドレス)があるがNGである場合、第2正規アクセスポイント20から管理端末30に不正アクセスポイント50を検知したことを知らせるメールを送信する。不正アクセスポイント検知システム1は、第1正規アクセスポイント10A~10Nと、第2正規アクセスポイント20と、管理端末30と、ネットワーク40と、を備える。
【0022】
第1正規アクセスポイント10A~10Nは、他のアクセスポイント(不正アクセスポイント50、正規アクセスポイント)に係る識別情報(例えば、MACアドレス)の取得を行う機能を有する正規のアクセスポイントである(
図1、
図2参照)。第1正規アクセスポイント10A~10Nは、他のアクセスポイントに係る識別情報(例えば、MACアドレス)の解析を行う機能を有さない。第1正規アクセスポイント10A~10Nは、
図1、
図2においてN台存在するが、少なくとも1台存在すればよい。第1正規アクセスポイント10A~10Nは、ネットワーク40に通信可能に有線接続されている。第1正規アクセスポイント10A~10Nは、自身のSSIDに係るパスワードを送ってきた利用者端末60と無線接続し、利用者端末60とネットワーク40との間を通信可能にする。第1正規アクセスポイント10A~10Nは、自身のSSIDに係るパスワードを他のアクセスポイントに送信して、当該他のアクセスポイントとの無線接続を試みる。第1正規アクセスポイント10A~10Nは、当該他のアクセスポイントとの無線接続が成功した場合、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得し、取得した識別情報(例えば、BSSID、MACアドレス)を含むリクエスト情報を第2正規アクセスポイント20に送信する。第1正規アクセスポイント10A~10Nは、プロセッサ、メモリ、ネットワークインタフェイス等を含むコンピュータを備える。第1正規アクセスポイント10A~10Nは、メモリを利用しながら、プロセッサにおいてプログラムを実行することにより、仮想的に、無線提供部11と、無線接続部12と、リクエスト送信部13と、を備えた構成とすることができる。
【0023】
無線提供部11は、第1正規アクセスポイント10A~10N自身のSSIDに係るパスワードを送ってきた利用者端末(
図2の60)に対して無線接続を提供する機能部である(
図1参照)。無線提供部11には、第1正規アクセスポイント10A~10N自身のSSID及びパスワードが登録されている。無線提供部11は、利用者端末60に対し、第1正規アクセスポイント10A~10N自身のSSIDに係るパスワードを要求し、利用者端末60から送られてきたSSIDに係るパスワードと、登録されているSSIDに係るパスワードを照合し、一致したときに、利用者端末60とネットワーク40との間の通信を可能にする。
【0024】
無線接続部12は、他のアクセスポイント(不正アクセスポイント(
図2の50)、正規アクセスポイント)に対して、定期的(例えば、予め指定した時刻)に、第1正規アクセスポイント10A~10N自身のSSIDに係るパスワードを送信して、当該他のアクセスポイントとの無線接続を試みる機能部である(
図1参照)。無線接続部12は、当該他のアクセスポイントとの無線接続が成功したときに、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得する。
【0025】
リクエスト送信部13は、無線接続部12で他のアクセスポイントからの識別情報(例えば、他のアクセスポイントに係るBSSID)を取得したときに、当該識別情報(BSSIDから抽出したMACアドレスでも可)を含むリクエスト情報(
図4参照)を第2正規アクセスポイント20に送信する機能部である(
図1参照)。リクエスト情報は、リクエスト情報に含まれた識別情報について第2正規アクセスポイント20での解析を要求する情報である。リクエスト情報の送信には、例えば、HTTP(Hypertext Transfer Protocol)通信を使用することができ、無線提供部11で使用する通信方法と異なる他の通信方法を使用してもよい。
【0026】
第2正規アクセスポイント20は、他のアクセスポイント(不正アクセスポイント50、正規アクセスポイント)に係る識別情報(例えば、BSSID、MACアドレス)の取得及び解析を行う機能を有する正規のアクセスポイントである(
図1、
図2参照)。第2正規アクセスポイント20は、
図1、
図2において1台存在するが、2台以上存在していてもよいが、第1正規アクセスポイント10A~10Nの台数よりも少ないことが好ましい。第2正規アクセスポイント20は、ネットワーク40に通信可能に有線接続されている。第2正規アクセスポイント20は、自身のSSIDに係るパスワードを送ってきた利用者端末60と無線接続し、利用者端末60とネットワーク40との間を通信可能にする。第2正規アクセスポイント20は、自身のSSIDに係るパスワードを他のアクセスポイントに送信して、当該他のアクセスポイントとの無線接続を試みる。第2正規アクセスポイント20は、当該他のアクセスポイントとの無線接続が成功した場合、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得する(BSSIDからMACアドレスを抽出しても可)。第2正規アクセスポイント20は、第1正規アクセスポイント10A~10Nからのリクエスト情報を受信することにより、リクエスト情報から識別情報(他のアクセスポイントに係るBSSID、MACアドレス)を抽出する。第2正規アクセスポイント20は、取得又は抽出された識別情報(例えば、MACアドレス)について、予め管理用データベース25に登録された識別情報(例えば、MACアドレス)と一致するものがあるかを検索する。第2正規アクセスポイント20は、一致する識別情報(例えば、MACアドレス)がない場合、又は、一致する識別情報(例えば、MACアドレス)があるがNGである場合、第2正規アクセスポイント20から管理端末30に不正アクセスポイント50を検知したことを知らせるメールを送信する。第2正規アクセスポイント20は、一致する識別情報(例えば、MACアドレス)がない場合、抽出された識別情報(例えば、MACアドレス)をNGとして管理用データベース25に登録する。第2正規アクセスポイント20は、プロセッサ、メモリ、ネットワークインタフェイス等を含むコンピュータを備える。第2正規アクセスポイント20は、メモリを利用しながら、プロセッサにおいてプログラムを実行することにより、無線提供部21と、無線接続部22と、リクエスト受信部23と、解析部24と、管理用データベース25と、メール送信部26と、を備えた構成とすることができる。
【0027】
無線提供部21は、第2正規アクセスポイント20自身のSSIDに係るパスワードを送ってきた利用者端末(
図2の60)に対して無線接続を提供する機能部である(
図1参照)。無線提供部21には、第2正規アクセスポイント20自身のSSID及びパスワードが登録されている。無線提供部21は、利用者端末60に、第2正規アクセスポイント20自身のSSIDに係るパスワードを要求し、利用者端末60から送られてきたSSIDに係るパスワードと、登録されているSSIDに係るパスワードを照合し、一致したときに、利用者端末60とネットワーク40との間の通信を可能にする。
【0028】
無線接続部22は、他のアクセスポイント(不正アクセスポイント(
図2の50)、正規アクセスポイント)に対して、定期的(例えば、予め指定した時刻)に、第2正規アクセスポイント20自身のSSIDに係るパスワードを送信して、当該他のアクセスポイントとの無線接続を試みる機能部である(
図1参照)。無線接続部22は、当該他のアクセスポイントとの無線接続が成功したときに、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得する。
【0029】
リクエスト受信部23は、第1正規アクセスポイント10A~10Nからのリクエスト情報(
図4参照)を受信する機能部である(
図1参照)。
【0030】
解析部24は、管理用データベース25に基づいて、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報(
図4参照)に含まれた識別情報(例えば、MACアドレス)に係るアクセスポイントが不正アクセスポイント(
図2の50)であるか否かを解析する機能部である(
図1参照)。解析部24は、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、
図3の登録MACアドレス)を検索し、一致するものがあり、かつ、識別情報(例えば、
図3の登録MACアドレス)の許否がNGである場合に、不正アクセスポイント50が存在すると判断する。解析部24は、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、
図3の登録MACアドレス)を検索し、一致するものがない場合に、不正アクセスポイント50が存在すると判断し、当該識別情報(例えば、MACアドレス)、及び、その許否がNGであることを管理用データベース25に登録する。解析部24は、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、
図3の登録MACアドレス)を検索し、一致するものがあり、かつ、識別情報(例えば、
図3の登録MACアドレス)の許否がOKである場合に、不正アクセスポイントが存在しないと判断する。
【0031】
管理用データベース25は、識別情報(
図3の登録MACアドレス)について許容できるアクセスポイント(正規アクセスポイント)であるか否かのデータを登録した管理用のデータベースである。管理用データベース25では、識別情報(
図3の登録MACアドレス)と許否(OK/NG)とが関連付けてられている。管理用データベース25は、管理端末30からの操作により、事前に(又は、正規アクセスポイントの台数を変更したときは変更時に)登録(又は更新)される。また、管理用データベース25には、解析部24で、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、
図3の登録MACアドレス)と一致するものがない場合に、自動的に、当該識別情報(例えば、MACアドレス)、及び、その許否がNGであることが登録される。
【0032】
メール送信部26は、解析部24で、不正アクセスポイント(
図2の50)に係る識別情報(例えば、MACアドレス)であると判断されたときに、当該識別情報(例えば、MACアドレス)に係る不正アクセスポイント50が存在することを知らせるメールを、予め登録されたメールアドレスに係る管理端末30に送信する機能部である(
図1参照)。メールアドレスは、管理端末30からの操作により、メール送信部26に登録される。メールには、不正アクセスポイント50に係る識別情報(例えば、MACアドレス)の他、例えば、当該識別情報(例えば、MACアドレス)が新規登録であるか既存登録であるかの情報、当該識別情報(例えば、MACアドレス)を取得した第2正規アクセスポイント20に係る識別情報、メール送信元情報(例えば、第2正規アクセスポイント20に係る識別情報)等の情報を含めるようにしてもよい。
【0033】
管理端末30は、不正アクセスポイント検知システム1の管理者が使用する端末である(
図1参照)。管理端末30は、ネットワーク40に通信可能に接続(有線接続又は無線接続)されている。管理端末30には、プロセッサ、メモリ、ネットワークインタフェイス等を含むコンピュータを備えるものを用いることができ、例えば、パーソナルコンピュータ、タブレット端末、スマートフォン等を用いることができる。管理端末30は、情報を入力及び出力(表示を含む)する機能を有する。管理端末30は、管理者の操作により、第2正規アクセスポイント20に登録される管理用データベース25及びメールアドレスを入力して送信することが可能である。管理端末30は、第2正規アクセスポイント20からのメールを受信して表示することが可能である。
【0034】
ネットワーク40は、第1正規アクセスポイント10A~10Nと第2正規アクセスポイント20と管理端末30との間を通信可能に接続する有線又は無線の通信網である(
図1参照)。ネットワーク40には、例えば、PAN(Personal Area Network)、LAN(Local Area Network)、MAN(Metropolitan Area Network)、WAN(Wide Area Network)、GAN(Global Area Network)等の通信網を用いることができる。
【0035】
なお、不正アクセスポイント50は、不正アクセスポイント検知システム(
図1の1)の構成部ではないが、不正アクセスポイント検知システム1のネットワーク40に寄生して悪意を持って設置される不正なアクセスポイントである(
図2参照)。不正アクセスポイント50は、正規アクセスポイント10A~10N、20のいずれかのSSIDに係るパスワードと同じSSIDに係るパスワードが設定されている。不正アクセスポイント50は、ネットワーク40に通信可能に有線接続されている。不正アクセスポイント50は、正規アクセスポイント10A~10N、20のいずれかのSSIDに係るパスワードを送ってきた利用者端末(
図2の60)又は正規アクセスポイント10A~10N、20に対して無線接続を提供する機能を有する。不正アクセスポイント50は、アクセスしてきた利用者端末60又は正規アクセスポイント10A~10N、20に対し、正規アクセスポイント10A~10N、20のいずれかのSSIDに係るパスワードを要求する。不正アクセスポイント50は、利用者端末60又は正規アクセスポイント10A~10N、20から送られてきたSSIDに係るパスワードと、不正アクセスポイント50自身に設定されているSSIDに係るパスワードを照合し、一致したときに、不正アクセスポイント50自身に係る識別情報(例えば、BSSID、MACアドレス)を利用者端末60又は正規アクセスポイント10A~10N、20に送信し、利用者端末60又は正規アクセスポイント10A~10N、20とネットワーク40との間の通信を可能にする。
【0036】
利用者端末60は、アクセスポイントを利用する利用者が使用する端末である(
図2参照)。利用者端末60は、アクセスポイントと無線接続可能に構成されている。利用者端末60には、例えば、スマートフォン、タブレット端末、ノート型パーソナルコンピュータ等を用いることができる。
【0037】
なお、各アクセスポイント(10A~10N、20、50)には、他のアクセスポイントに係る通信用の識別情報とは異なる固有の通信用の識別情報(例えば、BSSID、MACアドレス)が付与されている。当該識別情報は、アクセスポイントと利用者端末60との間の無線接続が成功したときに当該アクセスポイントから利用者端末60に送信される。
【0038】
実施形態1に係る不正アクセスポイント検知システムの動作について説明する。
【0039】
最初に、第1正規アクセスポイント10A~10Nのいずれかで不正アクセスポイント50に無線接続したときの不正アクセスポイント検知システム1の動作について図面を用いて説明する。
図5は、実施形態1に係る不正アクセスポイント検知システムの第1正規アクセスポイントで不正アクセスポイントと無線接続したときの動作を模式的に示したフローチャート図である。
【0040】
まず、第2正規アクセスポイント20は、事前に(又は、正規アクセスポイントの台数を変更したときは変更時に)、管理端末30からの操作により、管理用データベース25及びメールアドレス(管理端末30に係るメールアドレス)を登録(又は更新)する(ステップA1)。
【0041】
次に、第1正規アクセスポイント(ここでは第1正規アクセスポイント10Aとする)は、定期的(例えば、予め指定した時刻)に、第1正規アクセスポイント10A自身のSSIDに係るパスワードを送信して、他のアクセスポイントとの無線接続を試みる(ステップA2)。なお、他のアクセスポイントとの無線接続に成功できない場合、不正アクセスポイントは存在しないと判断し、終了する。
【0042】
他のアクセスポイント(ここでは不正アクセスポイント50とする)との無線接続に成功した場合、不正アクセスポイント50は、不正アクセスポイント50自身に係る識別情報(ここではMACアドレスを含むBSSIDとする)を第1正規アクセスポイント10Aに送信する(ステップA3)。
【0043】
次に、第1正規アクセスポイント10Aは、不正アクセスポイント50からのBSSIDを受信することにより、受信したBSSIDからMACアドレスを取得する(ステップA4)。
【0044】
次に、第1正規アクセスポイント10Aは、取得したMACアドレスを含むリクエスト情報を生成する(ステップA5)。
【0045】
次に、第1正規アクセスポイント10Aは、生成されたリクエスト情報を第2正規アクセスポイント20に送信する(ステップA6)。ここで、リクエスト情報の送信は、第1正規アクセスポイント10Aと不正アクセスポイント50との間の通信方法とは異なる通信方法(例えば、HTTP通信)で行うことができる。
【0046】
次に、第2正規アクセスポイント20は、第1正規アクセスポイント10Aからのリクエスト情報を受信することにより、受信したリクエスト情報からMACアドレスを取得する(ステップA7)。
【0047】
次に、第2正規アクセスポイント20は、取得したMACアドレスについて、予め管理用データベース25に登録された識別情報(ここでは登録MACアドレス)と一致するものがあるかを検索する(ステップA8)。一致する登録MACアドレスがあり、かつ、許否がOKである場合、不正アクセスポイントが存在しないと判断し、終了する。
【0048】
一致する登録MACアドレスがない場合、第2正規アクセスポイント20は、不正アクセスポイント50が存在すると判断し、取得したMACアドレス、及び、その許否がNGであることを管理用データベース25に登録(管理用データベース25を更新)する(ステップA9)。なお、一致する登録MACアドレスがあり、かつ、許否がNGである場合、不正アクセスポイント50が存在すると判断し、ステップA9をスキップして、ステップA10に進む。
【0049】
ステップA8の後、第2正規アクセスポイント20は、不正アクセスポイント50が存在することを知らせるメールを、予め登録されたメールアドレスに係る管理端末30に送信し(ステップA10)、その後、終了する。
【0050】
次に、第2正規アクセスポイント20で不正アクセスポイント50に無線接続したときの不正アクセスポイント検知システム1の動作について図面を用いて説明する。
図6は、実施形態1に係る不正アクセスポイント検知システムの第2正規アクセスポイントで不正アクセスポイントと無線接続したときの動作を模式的に示したフローチャート図である。
【0051】
まず、第2正規アクセスポイント20は、事前に(又は、正規アクセスポイントの台数を変更したときは変更時に)、管理端末30からの操作により、管理用データベース25及びメールアドレス(管理端末30に係るメールアドレス)を登録(又は更新)する(ステップB1)。
【0052】
次に、第2正規アクセスポイント20は、定期的(例えば、予め指定した時刻)に、第2正規アクセスポイント20自身のSSIDに係るパスワードを送信して、他のアクセスポイントとの無線接続を試みる(ステップB2)。なお、他のアクセスポイントとの無線接続に成功できない場合、不正アクセスポイントは存在しないと判断し、終了する。
【0053】
他のアクセスポイント(ここでは不正アクセスポイント50とする)との無線接続に成功した場合、不正アクセスポイント50は、不正アクセスポイント50自身に係る識別情報(ここではMACアドレスを含むBSSIDとする)を第2正規アクセスポイント20に送信する(ステップB3)。
【0054】
次に、第2正規アクセスポイント20は、不正アクセスポイント50からのBSSIDを受信することにより、受信したBSSIDからMACアドレスを取得する(ステップB4)。
【0055】
次に、第2正規アクセスポイント20は、取得したMACアドレスについて、予め管理用データベース25に登録された識別情報(ここでは登録MACアドレス)と一致するものがあるかを検索する(ステップB5)。一致する登録MACアドレスがあり、かつ、許否がOKである場合、不正アクセスポイントが存在しないと判断し、終了する。
【0056】
一致する登録MACアドレスがない場合、第2正規アクセスポイント20は、不正アクセスポイント50が存在すると判断し、取得したMACアドレス、及び、その許否がNGであることを管理用データベース25に登録(管理用データベース25を更新)する(ステップB6)。なお、一致する登録MACアドレスがあり、かつ、許否がNGである場合、不正アクセスポイント50が存在すると判断し、ステップB6をスキップして、ステップB7に進む。
【0057】
ステップB6の後、第2正規アクセスポイント20は、不正アクセスポイント50が存在することを知らせるメールを、予め登録されたメールアドレスに係る管理端末30に送信し(ステップB7)、その後、終了する。
【0058】
実施形態1によれば、正規アクセスポイント10A~10N、20のいずれかが他のアクセスポイントとの無線接続に成功したときに、他のアクセスポイントから取得した他のアクセスポイントに係る識別情報を第2正規アクセスポイント20に集めて不正アクセスポイント50の検知を行っているので、第1正規アクセスポイント10A~10Nの構成を簡素化することができるとともに、複数存在する正規アクセスポイント10A~10N、20によって広範囲にわたってて不正アクセスポイント50を監視することができるので、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる。
【0059】
[実施形態2]
実施形態2に係る不正アクセスポイント検知システムについて図面を用いて説明する。
図7は、実施形態2に係る不正アクセスポイント検知システムの構成を模式的に示したブロック図である。
【0060】
不正アクセスポイント検知システム1は、不正アクセスポイントを検知するシステムである。不正アクセスポイント検知システム1は、正規アクセスポイント10A~10N、20及び管理端末30がネットワーク40を介して通信可能に接続された構成となっている。不正アクセスポイント検知システム1は、正規アクセスポイント10A~10N、20のいずれか(例えば、正規アクセスポイント10A)で不正アクセスポイントを検知したときに、当該不正アクセスポイントの存在を知らせるメールを管理端末30に送信するように構成されている。正規アクセスポイント10A~10N、20は、第1正規アクセスポイント10A~10Nと、第2正規アクセスポイント20と、を備える。
【0061】
第1正規アクセスポイント10A~10Nは、無線接続部12と、リクエスト送信部13と、を備える。無線接続部12は、他のアクセスポイントに対して、第1正規アクセスポイント10A~10N自身と同じ識別情報に係るパスワードを送信して、当該他のアクセスポイントとの無線接続を試みるとともに、当該他のアクセスポイントとの無線接続が成功したときに、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報を取得するように構成されている。リクエスト送信部13は、無線接続部12で他のアクセスポイントに係る識別情報を取得したときに、当該他のアクセスポイントに係る識別情報を含むリクエスト情報を、第2正規アクセスポイント20に送信するように構成されている。
【0062】
第2正規アクセスポイント20は、管理用データベース25と、解析部24と、メール送信部26と、を備える。管理用データベース25には、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録されている。解析部24は、管理用データベース25に基づいて、リクエスト情報に含まれた識別情報に係る他のアクセスポイントが不正アクセスポイントであるか否かを解析するように構成されている。メール送信部26は、他のアクセスポイントが不正アクセスポイントであると判断されたときに、不正アクセスポイントの存在を知らせるメールを管理端末30に送信するように構成されている。
【0063】
実施形態2によれば、第1正規アクセスポイント10A~10Nのいずれかが他のアクセスポイントとの無線接続に成功したときに、他のアクセスポイントから取得した他のアクセスポイントに係る識別情報を第2正規アクセスポイント20に集めて不正アクセスポイントの検知を行っているので、第1正規アクセスポイント10A~10Nの構成を簡素化することができるとともに、第1正規アクセスポイント10A~10Nによって広範囲にわたって不正アクセスポイント50を監視することができるので、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる。
【0064】
なお、実施形態1、2に係る不正アクセスポイント検知システムにおけるアクセスポイントは、いわゆるハードウェア資源(情報処理装置、コンピュータ)を備えた構成とすることができ、ハードウェア資源として
図8に例示する構成を備えたものを用いることができる。例えば、ハードウェア資源100は、内部バス104により相互に接続される、プロセッサ101、メモリ102、ネットワークインタフェイス103等を備える。
【0065】
なお、
図8に示す構成は、ハードウェア資源100のハードウェア構成を限定する趣旨ではない。ハードウェア資源100は、図示しないハードウェア(例えば、入出力インタフェイス)を含んでもよい。あるいは、装置に含まれるプロセッサ101等のユニットの数も
図8の例示に限定する趣旨ではなく、例えば、複数のプロセッサ101がハードウェア資源100に含まれていてもよい。プロセッサ101には、例えば、CPU(Central Processing Unit)、MPU(Micro Processor Unit)、GPU(Graphics Processing Unit)等を用いることができる。
【0066】
メモリ102には、例えば、RAM(RandoMACcess Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等を用いることができる。
【0067】
ネットワークインタフェイス103には、例えば、LAN(Local Area Network)カード、ネットワークアダプタ、ネットワークインタフェイスカード等を用いることができる。
【0068】
ハードウェア資源100の機能は、上述の処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ102に格納されたプログラムをプロセッサ101が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能は、何らかのハードウェアにおいてソフトウェアが実行されることによって実現できればよい。
【0069】
上記実施形態の一部または全部は以下の付記のようにも記載され得るが、以下には限られない。
【0070】
[付記1]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムであって、
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントは、
他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記第1正規アクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するように構成されたリクエスト送信部と、
を備え、
前記第2正規アクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
不正アクセスポイント検知システム。
[付記2]
前記第2正規アクセスポイントは、他のアクセスポイントに対して、前記第2正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部をさらに備え、
前記解析部は、前記管理用データベースに基づいて、前記第2正規アクセスポイントの前記無線接続部で取得した前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成されている、
付記1記載の不正アクセスポイント検知システム。
[付記3]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがない場合に、前記不正アクセスポイントが存在すると判断する、
付記1又は2記載の不正アクセスポイント検知システム。
[付記4]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがない場合に、許容できないアクセスポイントとして前記管理用データベースに登録するように構成されている、
付記1乃至3のいずれか一に記載の不正アクセスポイント検知システム。
[付記5]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがあり、かつ、許容できないアクセスポイントとして前記管理用データベースに登録されている場合に、前記不正アクセスポイントが存在すると判断するように構成されている、
付記1乃至4のいずれか一に記載の不正アクセスポイント検知システム。
[付記6]
前記リクエスト送信部は、HTTP通信で前記リクエスト情報を前記第2正規アクセスポイントに送信するように構成されている、
付記1乃至5のいずれか一に記載の不正アクセスポイント検知システム。
[付記7]
前記他のアクセスポイントに係る前記識別情報は、MACアドレス又はBSSIDである、
付記1乃至6のいずれか一に記載の不正アクセスポイント検知システム。
[付記8]
前記リクエスト送信部は、前記第1正規アクセスポイントと前記他のアクセスポイントとの間の通信方法とは異なる通信方法で前記リクエスト情報を前記第2正規アクセスポイントに送信するように構成されている、
付記1乃至7のいずれか一に記載の不正アクセスポイント検知システム。
[付記9]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがあり、かつ、許容できるアクセスポイントとして前記管理用データベースに登録されている場合に、前記不正アクセスポイントが存在しないと判断するように構成されている、
付記1乃至8のいずれか一に記載の不正アクセスポイント検知システム。
[付記10]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)であって、
他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信するように構成されたリクエスト送信部と、
を備える、
アクセスポイント(第1正規アクセスポイントに相当)。
[付記11]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)であって、
前記所定のアクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
アクセスポイント(第2正規アクセスポイントに相当)。
[付記12]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムを用いて前記不正アクセスポイントを検知する不正アクセスポイント検知方法であって、
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントにおいて、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するステップと、
前記第1正規アクセスポイントにおいて、前記第1正規アクセスポイントで前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するステップと、
前記第2正規アクセスポイントにおいて、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するステップと、
前記第2正規アクセスポイントにおいて、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するステップと、
を含む、
不正アクセスポイント検知方法。
[付記13]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、
他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得する処理と、
前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信する処理と、
を前記所定のアクセスポイント(第1正規アクセスポイントに相当)に実行させるプログラム。
[付記14]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析する処理と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信する処理と、
を前記所定のアクセスポイント(第2正規アクセスポイントに相当)に実行させるプログラム。
【0071】
なお、上記の特許文献の各開示は、本書に引用をもって繰り込み記載されているものとし、必要に応じて本発明の基礎ないし一部として用いることが出来るものとする。本発明の全開示(特許請求の範囲及び図面を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせないし選択(必要により不選択)が可能である。すなわち、本発明は、請求の範囲及び図面を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。また、本願に記載の数値及び数値範囲については、明記がなくともその任意の中間値、下位数値、及び、小範囲が記載されているものとみなされる。さらに、上記引用した文献の各開示事項は、必要に応じ、本願発明の趣旨に則り、本願発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれる(属する)ものと、みなされる。
【符号の説明】
【0072】
1 不正アクセスポイント検知システム
10A~10N 第1正規アクセスポイント
11 無線提供部
12 無線接続部
13 リクエスト送信部
20 第2正規アクセスポイント
21 無線提供部
22 無線接続部
23 リクエスト受信部
24 解析部
25 管理用データベース
26 メール送信部
30 管理端末
40 ネットワーク
50 不正アクセスポイント
60 利用者端末
100 ハードウェア資源
101 プロセッサ
102 メモリ
103 ネットワークインタフェイス
104 内部バス