知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023011273
(43)【公開日】2023-01-24
(54)【発明の名称】情報処理装置およびプログラム
(51)【国際特許分類】
G06F 13/00 20060101AFI20230117BHJP
G06F 21/55 20130101ALI20230117BHJP
【FI】
G06F13/00 540A
G06F13/00 353C
G06F21/55 340
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2021115031
(22)【出願日】2021-07-12
(71)【出願人】
【識別番号】000236056
【氏名又は名称】三菱電機ビルソリューションズ株式会社
(74)【代理人】
【識別番号】110001210
【氏名又は名称】弁理士法人YKI国際特許事務所
(72)【発明者】
【氏名】樋口 真樹
【テーマコード(参考)】
5B084
5B089
【Fターム(参考)】
5B084AA01
5B084AA12
5B084AA22
5B084AB04
5B084AB29
5B084AB31
5B084BA09
5B084BB16
5B084CB06
5B084CB22
5B084CC02
5B084CC12
5B084DB02
5B084DC02
5B084DC27
5B089GA11
5B089GA21
5B089GB01
5B089HA10
5B089HB05
5B089JA21
5B089JB02
5B089KA17
5B089KB06
5B089KC37
(57)【要約】
【課題】情報処理装置が不正アクセスを受けることを抑制できるようにする。
【解決手段】情報処理装置10はプロセッサ12を含む。プロセッサ12は、外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいてアクセス元が存在する地域56を取得し、取得したアクセス元の地域56に対応する警告文60を取得し、取得した警告文60を、上記アクセスに対する応答としてアクセス元に送信する。
【選択図】図2
【解決手段】情報処理装置10はプロセッサ12を含む。プロセッサ12は、外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいてアクセス元が存在する地域56を取得し、取得したアクセス元の地域56に対応する警告文60を取得し、取得した警告文60を、上記アクセスに対する応答としてアクセス元に送信する。
【選択図】図2
【特許請求の範囲】
【請求項1】
プロセッサを含み、
前記プロセッサは、
外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいて前記アクセス元が存在する地域を取得し、
取得した前記アクセス元の前記地域に対応する警告文を取得し、
取得した前記警告文を、前記アクセスに対する応答として前記アクセス元に送信する、
ことを特徴とする情報処理装置。
前記プロセッサは、
外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいて前記アクセス元が存在する地域を取得し、
取得した前記アクセス元の前記地域に対応する警告文を取得し、
取得した前記警告文を、前記アクセスに対する応答として前記アクセス元に送信する、
ことを特徴とする情報処理装置。
【請求項2】
請求項1に記載の情報処理装置であって、
前記警告文は、前記アクセス元の前記地域における情報管理システムが規制する語句を含む、
ことを特徴とする情報処理装置。
前記警告文は、前記アクセス元の前記地域における情報管理システムが規制する語句を含む、
ことを特徴とする情報処理装置。
【請求項3】
請求項1に記載の情報処理装置であって、
前記警告文は、前記アクセス元の前記地域における情報管理システムにより閲覧が規制されているウェブサイトへの転送文を含む、
ことを特徴とする情報処理装置。
前記警告文は、前記アクセス元の前記地域における情報管理システムにより閲覧が規制されているウェブサイトへの転送文を含む、
ことを特徴とする情報処理装置。
【請求項4】
請求項1に記載の情報処理装置であって、
前記プロセッサは、
外部から受け付けたアクセスが不正アクセスであると判定された際に、前記アクセス元の前記地域における情報管理システムに、前記IPアドレスまたは前記IPアドレスに対応するドメインを送信する、
ことを特徴とする情報処理装置。
前記プロセッサは、
外部から受け付けたアクセスが不正アクセスであると判定された際に、前記アクセス元の前記地域における情報管理システムに、前記IPアドレスまたは前記IPアドレスに対応するドメインを送信する、
ことを特徴とする情報処理装置。
【請求項5】
外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいて前記アクセス元が存在する地域を取得し、
取得した前記アクセス元の前記地域に対応する警告文を取得し、
取得した前記警告文を、前記アクセスに対する応答として前記アクセス元に送信する、
ようにコンピュータを機能させるプログラム。
取得した前記アクセス元の前記地域に対応する警告文を取得し、
取得した前記警告文を、前記アクセスに対する応答として前記アクセス元に送信する、
ようにコンピュータを機能させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続された情報処理装置およびそのプログラムに関する。
【背景技術】
【0002】
サーバ等の情報処理装置は、インターネットに接続され、特定のサービスを複数のユーザに提供する。しかし、情報処理装置は、サービスの提供を妨げる不正アクセスを受けることがある。不正アクセスは、例えばDoS攻撃(Denial of Service Attack)、クラッキング等、様々なものがある。
【0003】
このような不正アクセスに対して、近年では、IDS(Intrusion Detection System)と呼ばれる不正侵入検知システム、IPS(Intrusion Prevention System)と呼ばれる不正侵入防止システム等の導入が進んでいる。
【0004】
特許文献1には、ネットワーク内に存在しない装置(ノード)をネットワーク内に存在するかのように見せかけるためのIPアドレス(ダミー情報)を含むダミーパケットを送信し、ネットワークに接続された端末がダミーパケットに関する情報を通信ログに含むことにより、外部から端末に侵入した侵入者が、端末内の通信ログを解析する際の負荷を増加させて、同侵入者によるネットワークへの攻撃を困難にすることが開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2016-58805号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
不正アクセスの手段は日々、巧妙化しており、不正アクセスにより情報処理装置のサービス提供が妨げられる事態が現在でも頻発している。不正アクセスに対応するためには、絶え間ないシステムのアップデートが必要である。そこで、情報処理装置が不正アクセスを受けることを抑制できる仕組みが望まれている。
【0007】
本発明の目的は、情報処理装置が不正アクセスを受けることを抑制できるようにすることにある。
【課題を解決するための手段】
【0008】
本発明の情報処理装置は、プロセッサを含み、前記プロセッサは、外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいて前記アクセス元が存在する地域を取得し、取得した前記アクセス元の前記地域に対応する警告文を取得し、取得した前記警告文を、前記アクセスに対する応答として前記アクセス元に送信する、ことを特徴とする。
【0009】
この構成によれば、アクセス元の地域に対応する警告文により、情報処理装置に不正アクセスを行ったアクセス元が再度、同装置に対して不正アクセスを行うことを抑制することができる。
【0010】
本発明の情報処理装置において、前記警告文は、前記アクセス元の前記地域における情報管理システムが規制する語句を含む、としてもよい。
【0011】
この構成によれば、情報管理システムが、不正アクセスを行ったアクセス元が規制される語句に関するウェブサイトにアクセスしたと認識して、同アクセス元による再度の情報処理装置へのアクセスを制限すること、を期待することができる。
【0012】
本発明の情報処理装置において、前記警告文は、前記アクセス元の前記地域における情報管理システムにより閲覧が規制されているウェブサイトへの転送文を含む、としてもよい。
【0013】
この構成によれば、情報管理システムが、不正アクセスを行ったアクセス元が閲覧が規制されているウェブサイトにアクセスすると認識して、アクセス元による再度の情報処理装置へのアクセスを制限すること、を期待することができる。
【0014】
本発明の情報処理装置において、前記プロセッサは、外部から受け付けたアクセスが不正アクセスであると判定された際に、前記アクセス元の前記地域における情報管理システムに、前記IPアドレスまたは前記IPアドレスに対応するドメインを送信する、としてもよい。
【0015】
この構成によれば、情報管理システムが、不正アクセスを行ったアクセス元を認識して、同アクセス元によるネットワークへのアクセスを制限すること、を期待することができる。
【0016】
本発明のプログラムは、外部から受け付けたアクセスが不正アクセスであると判定された際に、アクセス元のIPアドレスに基づいて前記アクセス元が存在する地域を取得し、取得した前記アクセス元の前記地域に対応する警告文を取得し、取得した前記警告文を、前記アクセスに対する応答として前記アクセス元に送信する、ようにコンピュータを機能させる、ことを特徴とする。
【発明の効果】
【0017】
本発明によれば、情報処理装置が不正アクセスを受けることを抑制することができる。
【図面の簡単な説明】
【0018】
【発明を実施するための形態】
【0019】
以下、本発明に係る実施形態について添付図面を参照しながら詳細に説明する。以下で述べる構成は、説明のための例示であって、システム、装置の仕様等に合わせて適宜変更が可能である。また、以下において複数の実施形態や変形例などが含まれる場合、それらの特徴部分を適宜に組み合わせて用いることは当初から想定されている。全ての図面において同一の要素には同一の符号を付し、重複する説明を省略する。
【0020】
図1は、インターネット90を介したデータの流れを模式的に示す図である。情報処理装置10は、インターネット90に接続されたWebサーバであり、インターネット90を介して複数の端末装置に対して特定のサービスを提供する。ここで、特定のサービスとは、Webサイト(ホームページ)のみをユーザに提供するものでもよく、その内容は限定されない。また、情報処理装置10は、クラウド上のサーバであってもよく、複数のコンピュータから構成されてもよい。なお、本明細書では、情報処理装置10にアクセスする別の情報処理装置(コンピュータ)を、情報処理装置10と区別するために、端末装置と言う。
【0021】
情報処理装置10は、端末装置(図1では不正装置16)から不正アクセスを受けることがある。なお、不正アクセスは、例えばDoS攻撃、クラッキング、情報窃取、他人アカウントの不正使用、クレジットカードの不正使用等、様々なものがある。しかしながら、情報処理装置10は、以下説明するように、不正アクセスを受けることを抑制する手段を有している。
【0022】
ところで、特定の国等では、PC(パーソナルコンピュータ)等でインターネット90を利用していると、特定の語句を含むインターネット検索や、特定のWebサイトの閲覧等が規制されることがある。このような規制は、国等の地域ごとに規制内容が異なり、例えば、ある地域では、ポルノや特定の宗教に関連するWebサイトの閲覧が規制され、別の地域では、同地域においてセンシティブな内容を含むWebサイトの閲覧が規制されるということがあり得る。このような規制は、地域ごとに運用されている情報管理システム20により実現されている。情報管理システム20は、行政機関等が運用するコンピュータ21と、コンピュータ21により構築されるファイアウォール22とを含む。ファイアウォール22は、管轄地域における端末装置の通信を監視し、規制対象の通信を検知すると、その通信を遮断する。
【0023】
図1には、ある地域に存在する端末装置の通信を監視する情報管理システム20と、同地域に存在する不正装置16(不正アクセスを行う端末装置)が描かれている。なお、情報処理装置10は、情報管理システム20が監視する地域とは別の地域にあり、情報管理システム20が規制するコンテンツをサービスとして提供しないものとする。
【0024】
次に、情報処理装置10の構成について説明する。情報処理装置10は、コンピュータであり、プロセッサ12と記憶部14とを含む。なお、プロセッサ12を、狭義のコンピュータと定義することもできる。プロセッサ12は、1つまたは複数のCPUを含み、情報処理装置10にインストールされているプログラム50(図2参照)に従って情報処理を実行する。なお、プロセッサ12に含まれる複数のCPUは、物理的に互いに離れて位置してもよい。プロセッサ12は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の専用のプロセッサを含んでもよい。記憶部14は、ROM、RAM、フラッシュメモリ、ハードディスク等である。
【0025】
図2は、情報処理装置10の機能ブロック図である。プロセッサ12は、記憶部14にあるプログラム50に従って動作することにより、取得部40、生成部42、および送信部46として機能する。記憶部14は、プログラム50、アクセスログ52、ブラックリスト54、地域56、および警告文60を格納する。
【0026】
アクセスログ52は、情報処理装置10に端末装置からアクセスあった日時と、同端末装置のIPアドレスとを対応付けて記録したものである。なお、IPアドレスは、インターネット・プロトコル(IP)上でパケットを送受信する各コンピュータを識別するための番号である。プロセッサ12は、端末装置からアクセスを受け付けた際に受信した同端末装置のIPアドレスを用いて、アクセスログ52を更新する。
【0027】
ブラックリスト54は、情報処理装置10がアクセスを受けることを望まない端末装置のIPアドレスのリストである。ブラックリスト54は、例えば以前に情報処理装置10に対して不正アクセスを行った端末装置のIPアドレスを記録したものである。プロセッサ12は、例えば、悪意を持って短時間の間に情報処理装置10に大量のアクセスを行った端末装置(DoS攻撃を行った端末装置)のIPアドレスを、アクセスログ52から把握して、ブラックリスト54に記録する。
【0028】
地域56は、情報処理装置10がブラックリスト54にあるIPアドレスを有する端末装置からアクセスを受けた際に、同端末装置が存在する地域を推定し、推定した地域を記録したものである。
【0029】
警告文60は、情報処理装置10がブラックリスト54にあるIPアドレスを有する端末装置からアクセスを受けた際に、同アクセスに対する応答として送信するものである。
【0030】
次に、情報処理装置10の動作について説明する。図3は、情報処理装置10の不正アクセスに対する処理の流れを示すフローチャートである。S100で、情報処理装置10のプロセッサ12は、端末装置からアクセスを受けるのを待つ。そして、プロセッサ12は、端末装置からアクセスからあった際には(S100:Yes)、S102で、同端末装置から送信されたパケットに含まれる同端末装置のIPアドレスを取得する。
【0031】
次に、S104で、プロセッサ12は、端末装置からのアクセスが不正アクセスであるか確認する。具体的には、プロセッサ12は、S102で取得したIPアドレスがブラックリスト54に存在しない場合には、端末装置からのアクセスが不正アクセスではないと判定し(S104:No)、端末装置に対して通常のサービスを提供する。一方、プロセッサ12は、S102で取得したIPアドレスがブラックリスト54に存在する場合には、端末装置からのアクセスが不正アクセスであると判定し(S104:Yes)、以降説明する、不正アクセスに対する処理(S106~S114)を行う。
【0032】
ここからは、不正装置16(図1参照)から情報処理装置10にアクセスがあり(符号30)、ブラックリスト54に不正装置16のIPアドレスが存在することにより、不正装置16からのアクセス30が不正アクセスであると判定されて、不正アクセスに対する処理(S106~S114)を行う場合を例に挙げて説明していく。
【0033】
S106で、プロセッサ12は、取得部40として機能して、不正装置16(以下、アクセス元16とも言う)のIPアドレスに対応するドメインを取得する。ここで、世界の国別に割り当てられているIPv4のIPアドレスは、地域インターネットレジストリ(RIR:Regional Internet Registry)が管理している。RIRとしては、APNIC(Asia Pacific Network Information Centre)、ARIN(American Registry for Internet Numbers)、RIPE NCC(Reseaux IP Europeens Network Coordination Centre)、LACNIC(Latin American and Caribbean IP address Registry)、およびAFRINIC(African Network Information Centre)がある。プロセッサ12は、例えばインターネットを介してこれらのRIRに逆引きの問い合わせを行うことで、不正装置16のIPアドレスに対応するドメインを取得する。
【0034】
次に、S108で、プロセッサ12は、取得部40として機能して、不正装置16が存在する地域を推定する。S106で取得したドメインには、「jp」、「us」、「cn」等の地域コードが含まれている。例えば、S106で取得したドメインが「~△△△.□□.jp」であれば、地域コードは「jp」であり、そこから不正装置16が存在する地域が「日本」であると推定することができる。また、例えば、S106で取得したドメインが「~△△△.□□.us」であれば、地域コードは「us」であり、そこから不正装置16が存在する地域が「米国」であると推定することができる。プロセッサ12の取得部40は、このようにして、ドメインに基づいて、不正装置16が存在する地域を取得(推定)する。そして、プロセッサ12は、取得した地域56を記憶部14に格納する。
【0035】
なお、取得されたドメインが「~△△△.com」のような場合には、ドメインに地域コードが含まれないため、ドメインから直接、不正装置16が存在する地域を取得することができない。しかし、ドメインには、組織名等の固有名詞が含まれることが多く、その固有名詞をインターネットで検索することにより、ドメインの所有者がどの地域に存在するか(不正装置16がどこに存在するか)を把握できることが多い。よって、プロセッサ12は、ドメインから直接、不正装置16が存在する地域を取得できない場合には、ドメインに含まれる文字列をインターネットで検索することにより、不正装置16が存在する地域を推定してもよい。
【0036】
なお、この取得(推定)する地域を、国、省、県、州、区、市等のどの単位で行うかは、各情報管理システム20(図1参照)が管轄する地域の単位に依存する。例えば、不正装置16が、国が運用する情報管理システム20により規制される場合には、取得する地域の単位は「国」でよく、また、例えば、不正装置16が、区が運用する情報管理システム20により規制される場合には、取得する地域の単位は「区」にすればよい。
【0037】
次に、図3のS110で、プロセッサ12は、生成部42として機能して、記憶部14にある地域56に対応する警告文60を生成する。この警告文60は、不正装置16が存在する地域56を管轄する情報管理システム20(図1参照)のファイアウォール22を作動させる文言を含むようにする。具体的には、警告文60は、例えば図2に示すように、不正装置16が存在する地域56を管轄する情報管理システム20により規制される語句62(単語、文等)や、規制されるWebサイトへの転送文64を含むものとする。なお、警告文60は、規制される語句62と、規制されるWebサイトへの転送文64のいずれか一方のみを含むようにすればよい。前述したように、端末装置のアクセスが規制される内容(規制される語句、規制されるWebサイト等)は、同端末装置が存在する地域ごと、すなわち、同端末装置が存在する地域を管轄する情報管理システム20ごとに異なるため、S108で地域56を取得した上で、その地域56に対応する警告文60を生成する。
【0038】
例えば、地域と規制内容とを対応付けたテーブルを予め記憶部14に格納しておき、プロセッサ12は、そのテーブルから、S108で取得された地域56に対応する規制内容を把握し、その規制内容に基づいて警告文60を生成する。例えば、規制内容として、規制される語句や、規制されるWebサイトのURLを格納しておけば、プロセッサ12は、規制内容を警告文60に含ませればよい。また、例えば、プロセッサ12は、規制内容または規制内容に応じたキーワードを用いてインターネット検索し、規制される語句や、規制されるWebサイトのURLを収集して、それらを警告文60に含ませてもよい。プロセッサ12は、生成した警告文60を、記憶部14に格納する。
【0039】
次に、図3のS112で、プロセッサ12は、取得部40として機能して、記憶部14にある警告文60を取得する。なお、この実施形態では、S110で警告文60を生成しているが、情報処理装置10または別の情報処理装置により各地域に対応した警告文60を予め作成して、記憶部14に格納しておいてもよい。この場合には、図3のフローのS110を省略して、S112で、プロセッサ12は、S108で取得された地域に対応する警告文60を記憶部14から読み出して、取得すればよい。
【0040】
次に、S114で、プロセッサ12は、送信部46として機能して、S112で取得した警告文60を不正装置16に送信する。これは、不正装置16からのアクセス30(図1参照)に対する応答32として送信する。この際、警告文60によりファイアウォール22が作動するように、プロセッサ12は、警告文60をあえて平文のまま送信する。以上が、情報処理装置10による不正アクセスに対する処理である。
【0041】
次に、以上説明した実施形態の情報処理装置10の作用効果について説明する。
【0042】
情報処理装置10が送信した警告文60は、不正装置16が受信する前に、不正装置16が存在する地域を監視するファイアウォール22に検知される。この際、警告文60が、情報管理システム20が規制する語句を含むため、ファイアウォール22を作動させることになる。つまり、情報管理システム20は、不正装置16が規制される語句に関するWebサイト(ウェブサイト)にアクセスしたと認識することになる。これにより、情報管理システム20が、不正装置16が再度、情報処理装置10にアクセスすることを制限することを期待することができる。よって、情報処理装置10が、不正装置16から再度、不正アクセスを受けることを抑制することができる。
【0043】
また、警告文60は、情報管理システム20が規制するWebサイトへの転送文64を含む。この転送文64は、不正装置16が転送文64を受信した際に、不正装置16が転送文64に示された転送先に自動的にアクセスするように規定されたものである。不正装置16が、転送文により、情報管理システム20が規制するWebサイトにアクセスすること(図1の符号34参照)により、ファイアウォール22が作動することになる。これは、不正装置16が情報処理装置10にアクセスしたことに起因しているため、ファイアウォール22が作動した際に、情報管理システム20が、不正装置16から情報処理装置10に再度、アクセスすることを制限することを期待することができる。よって、情報処理装置10が、不正装置16から再度、不正アクセスを受けることを抑制することができる。
【0044】
なお、警告文60は、不正装置16のユーザに警告を行う文章を含んでもよい。一方で、警告文60は、規制される語句62のみ、規制されるWebサイトへの転送文64のみ、またはそれら両方のみから構成されてもよい。
【0045】
また、情報処理装置10のプロセッサ12は、警告文60を不正装置16に送信しても、不正装置16からの不正アクセスが続く場合には、規制される語句62や、規制されるWebサイトへの転送文64を変更した別の警告文60を不正装置16に送信してもよい。また、情報処理装置10のプロセッサ12は、上記のような内容を変更した警告文60を繰り返し送信することで、地域ごとに、不正アクセスが行われなくなる警告文60として適切な内容を機械学習により取得してもよい。このようにすれば、各情報管理システム20のファイアウォール22を的確に作動させられる警告文60を得ることができる。
【0046】
また、情報処理装置10のプロセッサ12は、端末装置から受け付けたアクセスが不正アクセスであると判定された際に(図3のS104:Yes)、同端末装置が存在する地域(図3のS108で取得される地域)を管轄する情報管理システム20、または、同端末装置が存在する地域を管轄する行政機関に、同端末装置のIPアドレスまたはそれに対応するドメインを送信してもよい。また、この際、情報処理装置10のプロセッサ12は、同端末装置から不正アクセスを受けている旨の文章を合わせて送信してもよい。このようにすれば、情報管理システム20または行政機関が、不正アクセスを行った端末装置(不正装置16)を認識して、不正装置16によるインターネットへのアクセスを制限することを期待することができる。これにより、情報処理装置10が、不正装置16から再度、不正アクセスを受けることを抑制することができる。
【0047】
なお、以上説明した実施形態では、警告文60が、規制される語句62、または、規制されるWebサイトへの転送文64を含むものであったが、警告文60は、それらを含まずに、ユーザに警告を行う文章のみを含むものであってもよい。このような警告文60は、ファイアウォール22を作動させるものではないが、警告文60を受け取った不正装置16のユーザが自主的に不正アクセスを止めることを期待することができる。上記したように不正装置16が存在する地域を取得するため(図3のS108)、その地域で使われている言語で、その地域の特性に応じた警告文60を作成して、不正装置16に送信することができる。
【0048】
なお、以上説明した実施形態では、ブラックリスト54を用いることにより、端末装置からのアクセスが不正アクセスであるか否かを判定した。しかし、これはあくまで一例にすぎず、端末装置からのアクセスが不正アクセスであるか否かを判定は、既存のIDS等、様々な手段を用いて行うことができる。
【符号の説明】
【0049】
10 情報処理装置、12 プロセッサ、14 記憶部、16 不正装置(アクセス元)、20 情報管理システム、21 コンピュータ、22 ファイアウォール、30 アクセス、32 応答、34 アクセス、40 取得部、42 生成部、46 送信部、50 プログラム、52 アクセスログ、54 ブラックリスト、56 地域、60 警告文、62 規制される語句、64 転送文、90 インターネット(ネットワーク)。
【図1】
【図2】
【図3】
