知財求人 - 知財ポータルサイト「IP Force」
特開2023-21040遠隔ブラウザーを介しての安全なファイル伝送方法及び伝送システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023021040
(43)【公開日】2023-02-09
(54)【発明の名称】遠隔ブラウザーを介しての安全なファイル伝送方法及び伝送システム
(51)【国際特許分類】
G06F 21/53 20130101AFI20230202BHJP
G06F 21/56 20130101ALI20230202BHJP
【FI】
G06F21/53
G06F21/56 380
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2022120100
(22)【出願日】2022-07-28
(31)【優先権主張番号】10-2021-0100611
(32)【優先日】2021-07-30
(33)【優先権主張国・地域又は機関】KR
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVASCRIPT
(71)【出願人】
【識別番号】517409756
【氏名又は名称】ソフトキャンプ カンパニー,リミテッド
(74)【代理人】
【識別番号】100091683
【弁理士】
【氏名又は名称】▲吉▼川 俊雄
(74)【代理人】
【識別番号】100179316
【弁理士】
【氏名又は名称】市川 寛奈
(72)【発明者】
【氏名】ベ,ファン-クク
(57)【要約】
【課題】クライアントとサーバーとの間の安全な通信を具現する遠隔ブラウザーを介しての安全なファイル伝送方法及び伝送システムを提供する。
【解決手段】遠隔ブラウジングサーバーが指定IPに接近するクライアントウェブブラウザーに接続し、指定IPのサービスサーバーとクライアント端末との間の中継環境をセットする第1段階と、前記遠隔ブラウジングサーバーが仮想ウェブブラウジング機能のサンドボックスを前記クライアントウェブブラウザーに対応して造成し、前記サンドボックスでサービスサーバーのウェブサイトに構成されたウェブページを実行する第2段階と、前記サンドボックスから前記ウェブページのレンダリング画面を抽出し、前記クライアントウェブブラウザーで前記レンダリング画面を表示するようにレンダリング画面情報を伝送する第3段階と、前記サンドボックスで前記レンダリング画面情報についての第1入力情報を受信し、前記第1入力情報に相応する第2入力情報を生成して伝送する第4段階とを含む。
【選択図】 図2
【解決手段】遠隔ブラウジングサーバーが指定IPに接近するクライアントウェブブラウザーに接続し、指定IPのサービスサーバーとクライアント端末との間の中継環境をセットする第1段階と、前記遠隔ブラウジングサーバーが仮想ウェブブラウジング機能のサンドボックスを前記クライアントウェブブラウザーに対応して造成し、前記サンドボックスでサービスサーバーのウェブサイトに構成されたウェブページを実行する第2段階と、前記サンドボックスから前記ウェブページのレンダリング画面を抽出し、前記クライアントウェブブラウザーで前記レンダリング画面を表示するようにレンダリング画面情報を伝送する第3段階と、前記サンドボックスで前記レンダリング画面情報についての第1入力情報を受信し、前記第1入力情報に相応する第2入力情報を生成して伝送する第4段階とを含む。
【選択図】 図2
【特許請求の範囲】
【請求項1】
遠隔ブラウジングサーバーが、指定IPに接近するクライアントウェブブラウザーに接続し、指定IPのサービスサーバーとクライアント端末との間の中継環境をセットする第1段階と、
前記遠隔ブラウジングサーバーが、仮想ウェブブラウジング機能のサンドボックスを前記クライアントウェブブラウザーに対応して造成し、前記サンドボックスでサービスサーバーのウェブサイトに構成されたウェブページを実行する第2段階と、
前記サンドボックスから前記ウェブページのレンダリング画面を抽出し、前記クライアントウェブブラウザーで前記レンダリング画面を表示するようにレンダリング画面情報を伝送する第3段階と、
前記サンドボックスで前記レンダリング画面情報についての第1入力情報を受信し、前記第1入力情報に相応する第2入力情報を生成して伝送する第4段階と、
を含むことを特徴とする、遠隔ブラウザーを介しての安全なファイル伝送方法。
前記遠隔ブラウジングサーバーが、仮想ウェブブラウジング機能のサンドボックスを前記クライアントウェブブラウザーに対応して造成し、前記サンドボックスでサービスサーバーのウェブサイトに構成されたウェブページを実行する第2段階と、
前記サンドボックスから前記ウェブページのレンダリング画面を抽出し、前記クライアントウェブブラウザーで前記レンダリング画面を表示するようにレンダリング画面情報を伝送する第3段階と、
前記サンドボックスで前記レンダリング画面情報についての第1入力情報を受信し、前記第1入力情報に相応する第2入力情報を生成して伝送する第4段階と、
を含むことを特徴とする、遠隔ブラウザーを介しての安全なファイル伝送方法。
【請求項2】
前記第4段階の後、
前記遠隔ブラウジングサーバーがクライアント端末から文書ファイルを受信する第5段階と、
前記文書ファイルをファイル形式の変換及び復元によって無害化処理する第6段階と、
前記サンドボックスで実行された前記ウェブページの通信経路に沿って無害化処理された文書ファイルをサービスサーバーに伝送する第7段階と、
をさらに含むことを特徴とする、請求項1に記載の遠隔ブラウザーを介しての安全なファイル伝送方法。
前記遠隔ブラウジングサーバーがクライアント端末から文書ファイルを受信する第5段階と、
前記文書ファイルをファイル形式の変換及び復元によって無害化処理する第6段階と、
前記サンドボックスで実行された前記ウェブページの通信経路に沿って無害化処理された文書ファイルをサービスサーバーに伝送する第7段階と、
をさらに含むことを特徴とする、請求項1に記載の遠隔ブラウザーを介しての安全なファイル伝送方法。
【請求項3】
前記第5段階の後、かつ、前記第7段階の前に、
前記文書ファイルのマルウェア感染有無を保安プログラムでチェックする段階をさらに含むことを特徴とする、請求項2に記載の遠隔ブラウザーを介しての安全なファイル伝送方法。
前記文書ファイルのマルウェア感染有無を保安プログラムでチェックする段階をさらに含むことを特徴とする、請求項2に記載の遠隔ブラウザーを介しての安全なファイル伝送方法。
【請求項4】
前記遠隔ブラウジングサーバーによってサンドボックスの造成及びレンダリング画面の抽出を遂行するようにセットされた中継環境が前記クライアントウェブブラウザーと、前記サービスサーバーとの間に構成された複数の中継環境を含むことを特徴とする、請求項1から3のいずれか一項に記載の遠隔ブラウザーを介しての安全なファイル伝送方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はクライアントとサーバーとの間の安全な通信を具現する遠隔ブラウザーを介しての安全なファイル伝送方法及び伝送システムに関する。
【背景技術】
【0002】
インターネット及びネットワーク関連通信技術が発達するのに伴い、個人は各種の情報をインターネット環境で自由に取得するか伝達することができ、各種の企業体及び官公署は互いに遠距離に位置してもインターネットを介して多様な情報資料を共有することができるようになった。このような環境で、個人は官公署や金融機関などでの請願処理、金融処理などのサービスを非対面で受けることができた。
【0003】
しかし、ネットワークを介しての情報の取得、伝達及び共有が自由になるのに伴い、各種のマルウェアによって個人情報の不法流出はもちろんのこと、企業体や官公署などの重要情報を不特定の個人に提供する過程で無断で流出される事例が急増した。また、非対面サービスを提供する場合には、当該サーバーのサービスが外部に露出されて悪意ある攻撃に脆弱であり、サーバーがマルウェアに感染されれば、当該マルウェアの拡散を防止するためにサーバーのサービス運営を中断する問題が発生した。したがって、ネットワークでの情報保護及び安全のためのマルウェア保安技術が要求された。
【0004】
一般的に、マルウェアはコンピュータシステムで使用者の意思に反して悪意ある活動を遂行することができるように設計されたソフトウェアであり、自己複製能力及び感染対象有無によって、ウイルス(virus)、ウォーム(worm)、トロイの木馬(trojan horse)などに分類することができる。このようなマルウェアは過去に比べてその数が急激に増加する趨勢にあり、効果的なマルウェアの診断及び治療の必要性も段々高くなっている。
【0005】
このようなマルウェア診断及び治療のための技術の一環として、韓国公開特許第10-2009-0005933号公報(2009.01.14.公開)には、特定のコンピュータプログラムの行動によって悪意があるか否かを判断することができるように、特定のコンピュータプログラムの行動をモデリングする技術が開示されている。しかし、従来技術は、公知のマルウェアに対するプログラムの行動パターンをデータベース化するために、被害を被った被害者の申告によって当該悪意あるプログラムに対するデータを収集し、その後には追加的な被害を防ぐ方式でなされる。したがって、被害者の申告が受け付けられるまでは一定数の被害者が発生するしかなく、新しいパターンを有するマルウェアに対しては診断及び治療が不可であるという問題があった。
【0006】
最近には、企業及び個人の保安認識が高くなるのに伴って既存の実行ファイル形態の悪意ある脅威及び攻撃に対する成功率が低くなっている。しかし、攻撃者は従来技術のような保安環境を無力化させるか迂回するために、知られていない方式で知能化した攻撃を試みている。前記攻撃は、一般的にマイクロソフトオフィス系、ハングル系、PDFなどの文書ファイルのようなファイル(以下「文書ファイル」)の脆弱点を用いて文書ファイル内にマルウェアを組み込むことである。特に、文書ファイルによる攻撃は文書ファイル自体が業務的に利用頻度が高いから、受信者は何の疑心もなしに文書ファイルをダウンロードするか実行することができるので、いつも脅威に露出された。一般的に、マクロ(macro)、ジャバスクリプト(javascript)などのような文書ファイルフォーマットの基本機能を用いて該当機能が実行される場合、外部リンクを介してマルウェアをダウンするので、文書ファイル内にマルウェアが含まれていない場合もある。したがって、公知のマルウェアに基づいて悪意ある脅威を探知する保安環境では当該マルウェアを探知するのに限界が存在した。
【0007】
また、サンドボックス(sandbox)に基づく行為分析保安技術もマルウェアが組み込まれた文書ファイルが少なくとも一度は実行されるときに疑心行為を分析することができる。したがって、ゼロデイ(zero day)攻撃、ランサムウェア(ransomware)の攻撃などは阻みにくかった。また、マルウェアが特定のイベントで実行されるか遅延して実行されるなどの迂回方法が持続的に登場しているので、公知のマルウェアに基づいて防御する既存の保安環境に対する問題が継続的に言及されている実情である。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】韓国公開特許第10-2009-0005933号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
したがって、本発明は前記のような問題を解消するためのものであり、インターネットを介しての情報の無断流出を防止し、情報提供サービスサーバーの保安性を強化する、遠隔ブラウザーを介しての安全なファイル伝送方法及び伝送システムを提供することを解決しようとする課題とする。
【課題を解決するための手段】
【0010】
前記の課題を達成するために、本発明は、遠隔ブラウジングサーバーが指定IPに接近するクライアントウェブブラウザーに接続し、指定IPのサービスサーバーとクライアント端末との間の中継環境をセットする第1段階と、前記遠隔ブラウジングサーバーが仮想ウェブブラウジング機能のサンドボックスを前記クライアントウェブブラウザーに対応して造成し、前記サンドボックスでサービスサーバーのウェブサイトに構成されたウェブページを実行する第2段階と、前記サンドボックスから前記ウェブページのレンダリング画面を抽出し、前記クライアントウェブブラウザーで前記レンダリング画面を表示するようにレンダリング画面情報を伝送する第3段階と、前記サンドボックスで前記レンダリング画面情報についての第1入力情報を受信し、前記第1入力情報に相応する第2入力情報を生成して伝送する第4段階とを含む遠隔ブラウザーを介しての安全なファイル伝送方法である。
【発明の効果】
【0011】
前述したような本発明は、クライアント端末とサービスサーバーとの間の通信を中継してアップロード文書ファイルを保安処理し、不特定のクライアント端末に対するサービスサーバーの露出を最小化するので、マルウェアの拡散を防止し、個人情報はもちろんのこと、保安が要求される情報も保護することができる効果がある。
【図面の簡単な説明】
【0012】
【図1】本発明による伝送システムのネットワーク通信構成を概略的に示す図である。
【図2】本発明による伝送システムの遠隔ブラウジングサーバーを他の通信客体と連結して示すブロック図である。
【図3】本発明による伝送システムに基づく伝送方法を順次示すフローチャートである。
【図4】本発明による伝送システムのクライアント端末が遠隔ブラウジングサーバーに接続してディスプレイしたサービスサーバーのウェブページ画面を概略的に示す図である。
【発明を実施するための形態】
【0013】
実施例で使う用語は本発明での機能を考慮して、できるだけ現在広く使われる一般的な用語を選択したが、これは当該技術分野の技術者の意図や判例、新技術の出現などによって変わることができる。また、特定の場合は出願人が任意に選定した用語もあり、この場合、当該発明の説明部分でその意味を詳細に記載する。したがって、本発明で使う用語は単純な用語の名称ではなく、その用語が有する意味と本発明の全般にわたる内容に基づいて定義されなければならない。
【0014】
明細書全般で、ある部分がある構成要素を「含む」というとき、これは、特に反対の記載がない限り、他の構成要素を除くものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」などの用語は少なくとも一つの機能や動作を処理する単位を意味し、これはハードウェアまたはソフトウェアによって具現されるか、ハードウェアとソフトウェアとの結合によって具現可能である。
【0015】
以下では、添付図面に基づき、本発明の実施例について本発明が属する技術分野で通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は様々な形態に具現されることができ、ここで説明する実施例に限定されない。
【0016】
以下、本発明の具体的な内容を添付図面に基づいて詳細に説明する。
【0017】
【0018】
図1及び図2を参照すると、本発明による伝送システムは、クライアント端末10、10’、10”(以下、10)とサービスサーバー30との間の通信を中継し、保安プロセスを実行する遠隔ブラウジングサーバー20を含む。本発明についてより具体的に説明すると、遠隔ブラウジングサーバー20は、クライアント端末10のクライアントウェブブラウザー11の代わりに、サービスサーバー30のウェブサイトに接続して実行させる仮想ウェブブラウジング機能を遂行し、実行された前記ウェブサイトのウェブページからレンダリング画面を抽出してクライアント端末10に伝送する。また、遠隔ブラウジングサーバー20は、クライアント端末10から伝送された文書ファイルのマルウェアを除去してサービスサーバー30に伝送する。
【0019】
このために、遠隔ブラウジングサーバー20は、仮想ウェブブラウジング機能によって1次保安工程を遂行するための中継環境21、21’、21”(以下、21)をセットし、マルウェア除去のために2次保安工程を実行する無害化装置22をさらに含む。また、無害化の他にマルウェアを探知して治療するワクチンプログラムなどの保安ソリューション23をさらに含むことができる。参考までに、中継環境21はサービスサーバー30とクライアントウェブブラウザー11との間の通信中継中に遠隔ブラウジングサーバー20が活性化するプロセスである。
【0020】
遠隔ブラウジングサーバー20がセットする中継環境21は、サービスサーバー30の保安のためにクライアント端末10に対するウェブサイトの直接露出を制限することはもちろんのこと、クライアント端末10のクライアントウェブブラウザー11でウェブサイトに構成されたウェブページのフルブラウジングを実現するように仮想ウェブブラウジング機能を遂行する。前記中継環境21は、クライアントウェブブラウザー11とサービスサーバー30のウェブサイトとの間の通信が遠隔ブラウジングサーバー20を介してのみ実行されるようにチャネルを造成する。中継環境21は、同じクライアントウェブブラウザー11に対して多数で構成することで、同じクライアントウェブブラウザー11が遠隔ブラウジングサーバー20で多様なチャネルを介してサービスサーバー30のウェブサイトと間接で通信することができるようにする。
【0021】
遠隔ブラウジングサーバー20の各構成をもっと説明すると、セットされた中継環境21でサンドボックス部211及び画面抽出部212が活性化し、クライアントウェブブラウザー11からアップロードされた文書ファイルを無害化装置22に伝達する無害化チャネル213が活性化する。サンドボックス部211は仮想ウェブブラウジング機能のサンドボックスを造成し、画面抽出部212はサンドボックスからウェブページのレンダリング画面を抽出する。一方、無害化チャネル213を介して伝達された文書ファイルは無害化装置22によって再組合されることにより、多様なマルウェアが無力化される。無害化装置22で実行される無害化工程は公知のCDR(Content Disarm & Reconstruction)アルゴリズムによって実行されるので、無害化装置22のアルゴリズム及びその他の保安工程についての具体的な技術説明は省略する。参考までに、前記サンドボックスはコンピュータであるプログラムまたはコードを実行するときに保安を目的として造成される隔離した空間であり、前記サンドボックスが実行されれば、指定空間以外の空間では許されない工程は実行できない。例えば、ウェブブラウザー上で実行されるジャバスクリプト(JavaScript)コードはウェブブラウザーが許す範囲内でのみ作動し、ブラウザー外のコンピュータ環境に影響を与えることができない。フラッシュファイルも同様である。
【0022】
一方、保安ソリューション23は、公知のワクチンプログラムのように、コード変更によってマルウェアを除去するか無力化する。保安ソリューション23は、無害化装置22で処理された文書ファイルを2次に保安処理するか、無害化装置22より優先して保安処理し、無害化装置22に文書ファイルを伝達することができる。保安ソリューション23は無害化装置22とともに公知の技術であるので、保安ソリューション23のアルゴリズム及びその他の保安工程についての具体的な技術説明は省略する。
【0023】
一方、前述したように、遠隔ブラウジングサーバー20は、中継環境21を多数にセットして遠隔ブラウジングサーバー20とクライアントウェブブラウザー11との間の通信負荷を柔軟に分散し、有事の際にフェイルオーバー(failover)機能を遂行するようにする。中継環境21は同じウェブページに対して多数がセットされることもでき、ウェブサイトに構成されたウェブページ別に分離構成され、クライアントウェブブラウザー11のウェブページ変更要請に応じて当該レンダリング画面情報が迅速に伝送されるようにすることもできる。前者の場合にはフェイルオーバー(failover)機能が安定的に実行されるようにし、後者の場合には通信負荷を柔軟に分散する効果がある。
【0024】
以上で説明した本発明による伝送システムに基づく伝送方法を以下で説明する。
【0025】
図3は本発明による伝送システムに基づく伝送方法を順次示すフローチャートであり、図4は本発明による伝送システムのクライアント端末が遠隔ブラウジングサーバーに接続してディスプレイしたサービスサーバーのウェブページ画面を概略的に示す図である。
【0026】
図1~図4を参照すると、本発明による伝送方法は、遠隔ブラウジングサーバー20がサービスサーバー30とクライアント端末10との間の中継環境21をセットする段階と、中継環境21で活性化したサンドボックス部211がサンドボックスを造成し、サンドボックスを介してサービスサーバー30のウェブサイトに接続して実行する仮想ウェブブラウジング段階と、前記仮想ウェブブラウジング段階で実行されたウェブページWをレンダリング画面として抽出するレンダリング画面ディスプレイ段階と、クライアント端末10の入力情報を受信して確認し、ウェブサイトを実行させる入力情報対応段階と、クライアントウェブブラウザー11がアップロードした文書ファイルを確認する文書ファイルアップロード段階と、前記文書ファイルを無害化処理する無害化段階と、遠隔ブラウジングサーバー20が無害化した文書ファイルをウェブサイトに伝達し、サービスサーバー30が確認する無害化ファイル受信段階とを含む。
【0027】
前記各段階についてより具体的に説明する。
【0028】
S11:サービスサーバーとクライアント端末との間の中継環境セット段階
遠隔ブラウジングサーバー20が指定IPに接近するクライアントウェブブラウザー11と接続し、指定IPのサービスサーバー30とクライアント端末10との間の中継環境をセットする。ここで、指定IPは本実施例のサービスサーバー30のウェブサイトに相当する。前記ウェブサイトは、一般官公署、企業、その他の個人などが運営するサーバーのサイトであることができる。
遠隔ブラウジングサーバー20が指定IPに接近するクライアントウェブブラウザー11と接続し、指定IPのサービスサーバー30とクライアント端末10との間の中継環境をセットする。ここで、指定IPは本実施例のサービスサーバー30のウェブサイトに相当する。前記ウェブサイトは、一般官公署、企業、その他の個人などが運営するサーバーのサイトであることができる。
【0029】
クライアントウェブブラウザー11が指定IP、すなわち特定のウェブサイトに接続を試みるか接続すれば、遠隔ブラウジングサーバー20に接続が転換される。したがって、クライアントウェブブラウザー11は以後から遠隔ブラウジングサーバー20と通信する。
【0030】
中継環境21はサービスサーバー30とクライアントウェブブラウザー11との間の通信を中継する中継プロセスであり、クライアントウェブブラウザー11との通信が中止されれば、中継環境21は停止され、ログデータは削除される。セットされた中継環境21にはサンドボックス部211及び画面抽出部212が構成され、必要な場合、無害化装置22との通信ルートである無害化チャネル213が構成される。中継環境21、21’、21”はクライアントウェブブラウザー11に対して多数で構成されることができ、これについては前述したので、追加の説明は省略する。
【0031】
S12:仮想ウェブブラウジング段階
遠隔ブラウジングサーバー20が仮想ウェブブラウジング機能のサンドボックスをクライアントウェブブラウザー11に対応して造成し、サービスサーバー30のウェブサイトに構成されたウェブページWをサンドボックスで実行させる。これをより具体的に説明すると、中継環境21のサンドボックス部211はサービスサーバー30のウェブサイトに接続する仮想のウェブブラウザーであり、クライアントウェブブラウザー11の機能の代わりをするサンドボックスを造成する。前記サンドボックスは定義された範囲内でのみ当該ウェブサイトのプロセッシングが実行される。したがって、前記ウェブサイトとのデータ通信、前記ウェブサイトから受信したデータの実行などはサンドボックス範囲内でのみ実行され、サンドボックスの他にサンドボックス部211が指定しなかった他のプログラムとの連動は制限される。
遠隔ブラウジングサーバー20が仮想ウェブブラウジング機能のサンドボックスをクライアントウェブブラウザー11に対応して造成し、サービスサーバー30のウェブサイトに構成されたウェブページWをサンドボックスで実行させる。これをより具体的に説明すると、中継環境21のサンドボックス部211はサービスサーバー30のウェブサイトに接続する仮想のウェブブラウザーであり、クライアントウェブブラウザー11の機能の代わりをするサンドボックスを造成する。前記サンドボックスは定義された範囲内でのみ当該ウェブサイトのプロセッシングが実行される。したがって、前記ウェブサイトとのデータ通信、前記ウェブサイトから受信したデータの実行などはサンドボックス範囲内でのみ実行され、サンドボックスの他にサンドボックス部211が指定しなかった他のプログラムとの連動は制限される。
【0032】
S13:レンダリング画面ディスプレイ段階
前記サンドボックスからウェブページWのレンダリング画面を抽出し、クライアントウェブブラウザー11でレンダリング画面を表示するようにレンダリング画面情報を伝送する。前述したように、遠隔ブラウジングサーバー20は、仮想ウェブブラウジング機能を実行するサンドボックスでウェブサイトのウェブページWが実行されるので、中継環境21の画面抽出部212は当該ウェブページWをレンダリング処理して画面についての情報を抽出する。これをより具体的に説明すると、画面抽出部212は前記サンドボックスに受信されたウェブページWのソースコードを把握し、HTML、CSS、ジャバスクリプトなどの技術に基づいてウェブページWの画面形態を抽出し、前記画面形態のイメージのみをレンダリング画面として生成して情報として抽出する。ここで、前記レンダリング画面情報はディスプレイのためのイメージ情報のみで構成され、リンク情報またはその他のクライアント端末10の他のプログラムと連結して動作するコード情報などは除かれる。しかし、ウェブページWの画面でクライアントが選択するメニューまたは入力欄の場合にはレンダリング画面情報にメニューキーと入力キーなどが含まれる。
前記サンドボックスからウェブページWのレンダリング画面を抽出し、クライアントウェブブラウザー11でレンダリング画面を表示するようにレンダリング画面情報を伝送する。前述したように、遠隔ブラウジングサーバー20は、仮想ウェブブラウジング機能を実行するサンドボックスでウェブサイトのウェブページWが実行されるので、中継環境21の画面抽出部212は当該ウェブページWをレンダリング処理して画面についての情報を抽出する。これをより具体的に説明すると、画面抽出部212は前記サンドボックスに受信されたウェブページWのソースコードを把握し、HTML、CSS、ジャバスクリプトなどの技術に基づいてウェブページWの画面形態を抽出し、前記画面形態のイメージのみをレンダリング画面として生成して情報として抽出する。ここで、前記レンダリング画面情報はディスプレイのためのイメージ情報のみで構成され、リンク情報またはその他のクライアント端末10の他のプログラムと連結して動作するコード情報などは除かれる。しかし、ウェブページWの画面でクライアントが選択するメニューまたは入力欄の場合にはレンダリング画面情報にメニューキーと入力キーなどが含まれる。
【0033】
前記レンダリング画面情報はクライアントウェブブラウザー11に伝送され、クライアント端末10のクライアントウェブブラウザー11はレンダリング画面情報をリードして当該イメージを表示する。クライアントウェブブラウザー11に出力されたレンダリング画面は原本のウェブページWではないので、本実施例で、URL表示欄には原本ウェブページWではないことをクライアントに案内するための表示Aが構成される。しかし、その他にも、ウェブページWの特定の位置に当該表示Aが構成されることができ、当該表示Aが構成されないこともできる。
【0034】
その後、クライアントは、表示されたウェブページWの画面、すなわちレンダリング画面を確認し、サービスサーバー30のウェブサイトから提供する情報を取得する。
【0035】
S14:入力情報対応段階
前記サンドボックスでレンダリング画面情報に対する第1入力情報が受信され、第1入力情報に相応する第2入力情報が生成及び伝送される。クライアントは、クライアントウェブブラウザー11の実行によってウェブページWのレンダリング画面がクライアント端末10にイメージとして表示されれば、クライアントは表示されたレンダリング画面を確認しながら情報を取得し、レンダリング画面でメニューまたは入力欄を選択する。前記メニューまたは入力欄が選択されれば、当該メニューキーまたは入力キーが活性化し、前記活性化によって生成された第1入力情報が遠隔ブラウジングサーバー20に伝送され、サンドボックスで受信する。
前記サンドボックスでレンダリング画面情報に対する第1入力情報が受信され、第1入力情報に相応する第2入力情報が生成及び伝送される。クライアントは、クライアントウェブブラウザー11の実行によってウェブページWのレンダリング画面がクライアント端末10にイメージとして表示されれば、クライアントは表示されたレンダリング画面を確認しながら情報を取得し、レンダリング画面でメニューまたは入力欄を選択する。前記メニューまたは入力欄が選択されれば、当該メニューキーまたは入力キーが活性化し、前記活性化によって生成された第1入力情報が遠隔ブラウジングサーバー20に伝送され、サンドボックスで受信する。
【0036】
前記第1入力情報は当該ウェブページW情報に基づいてサンドボックスで分析されて第2入力情報として生成されてサービスサーバー30に伝送される。サービスサーバー30は前記第2入力情報をウェブサイトとクライアントウェブブラウザー11との間の一般的なデータ通信によって生成された応答情報または入力情報と認識するので、設定されたプロセスによって第2入力情報に対応する結果値である当該ウェブページW情報を遠隔ブラウジングサーバー20に伝送する。その後、遠隔ブラウジングサーバー20はレンダリング画面ディスプレイ段階(S13)を初めとして後続の過程を繰り返し遂行する。参考までに、前記第1入力情報は使用者(クライアント)の個人情報であることができる。
【0037】
S15:文書ファイルアップロード段階
遠隔ブラウジングサーバー20がクライアントウェブブラウザー11から文書ファイルを受信する。特定のウェブページWにはクライアントに文書ファイルを要求するコンテンツが含まれることができ、これに対応してクライアントは文書ファイルを善意または悪意で添付欄に添付してアップロードすることができる。
遠隔ブラウジングサーバー20がクライアントウェブブラウザー11から文書ファイルを受信する。特定のウェブページWにはクライアントに文書ファイルを要求するコンテンツが含まれることができ、これに対応してクライアントは文書ファイルを善意または悪意で添付欄に添付してアップロードすることができる。
【0038】
前述したように、クライアントウェブブラウザー11に出力されたウェブページWのイメージはレンダリング画面であるので、添付欄に入力された文書ファイルはサンドボックスではない無害化チャネル213に伝送され、無害化チャネル213は遠隔ブラウジングサーバー20に構成された無害化装置22に文書ファイルを伝達する。
【0039】
S16:無害化段階
前記文書ファイルがファイル形式の変換及び復元によって無害化処理される。前記無害化処理は無害化装置22で実行される。無害化装置22が実行する無害化アルゴリズムは前述したように公知のCDR技術であるので、無害化過程についての具体的な説明は省略する。
前記文書ファイルがファイル形式の変換及び復元によって無害化処理される。前記無害化処理は無害化装置22で実行される。無害化装置22が実行する無害化アルゴリズムは前述したように公知のCDR技術であるので、無害化過程についての具体的な説明は省略する。
【0040】
一方、遠隔ブラウジングサーバー20は、無害化装置22とともに追加の保安のための保安ソリューション23をさらに含む。保安ソリューション23は無害化装置22と並行して、文書ファイルが感染されたマルウェアを探知して治療するワクチンプログラムなどであることができる。保安ソリューション23の保安過程は無害化装置22の無害化処理の前または後に実行されることができ、無害化及びマルウェア治療などの過程が全部終了すれば、後続の無害化ファイル受信段階(S17)が実行される。
【0041】
S17:無害化ファイル受信段階
無害化装置22によって前記文書ファイルの無害化が完了すれば、当該文書ファイルは無害化チャネル213を介してサンドボックスに伝達され、前記サンドボックスで実行された当該ウェブページの通信経路に沿って無害化処理された文書ファイルがサービスサーバー30に伝送される。結局、サービスサーバー30は要求した文書ファイルをクライアント端末10から受信するので、当該文書ファイルをウェブページの添付欄にクライアントが添付した文書ファイルと認識して後続のプロセスを実行する。また、これに対応する結果値である他のウェブページ情報を遠隔ブラウジングサーバー20に伝送することで、クライアントがアップロード結果を確認することができるようにする。
無害化装置22によって前記文書ファイルの無害化が完了すれば、当該文書ファイルは無害化チャネル213を介してサンドボックスに伝達され、前記サンドボックスで実行された当該ウェブページの通信経路に沿って無害化処理された文書ファイルがサービスサーバー30に伝送される。結局、サービスサーバー30は要求した文書ファイルをクライアント端末10から受信するので、当該文書ファイルをウェブページの添付欄にクライアントが添付した文書ファイルと認識して後続のプロセスを実行する。また、これに対応する結果値である他のウェブページ情報を遠隔ブラウジングサーバー20に伝送することで、クライアントがアップロード結果を確認することができるようにする。
【0042】
その後、遠隔ブラウジングサーバー20はレンダリング画面ディスプレイ段階(S13)を初めとして後続の過程を繰り返し遂行する。
【0043】
前述した過程によって遠隔ブラウジングサーバー20がサービスサーバー30とクライアント端末10との間の通信を中継するので、不特定多数のクライアント端末10に対するサービスサーバー30の露出を最小化し、文書ファイルが感染されたマルウェアの転移を遮断することができる。また、マルウェアの伝播を遮断して善意のクライアント端末10の感染を予防することができる。
【0044】
前述した本発明の詳細な説明では本発明の好適な実施例に基づいて説明したが、当該技術分野の熟練した当業者または当該技術分野に通常の知識を有する者であれば後述す特許請求範囲に記載した本発明の思想及び技術領域から逸脱しない範囲内で本発明を多様に修正及び変更することができることが理解可能であろう。
【符号の説明】
【0045】
10、10’、10” クライアント端末
11 ウェブブラウザー
21、21’、21” 中継環境
22 無害化装置
23 保安ソリューション
30 サービスサーバー
213 無害化チャネル
211 サンドボックス部
212 画面抽出部
A 表示
W ウェブページ
11 ウェブブラウザー
21、21’、21” 中継環境
22 無害化装置
23 保安ソリューション
30 サービスサーバー
213 無害化チャネル
211 サンドボックス部
212 画面抽出部
A 表示
W ウェブページ
【図1】
【図2】
【図3】
【図4】
