特開 2024-145437 接続先悪性度判定システム、接続先悪性度判定プログラム及び接続先悪性度判定方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024145437

(43)【公開日】2024-10-15

(54)【発明の名称】接続先悪性度判定システム、接続先悪性度判定プログラム及び接続先悪性度判定方法

(51)【国際特許分類】

   G06F 21/55 20130101AFI20241004BHJP

【ＦＩ】

G06F21/55

【審査請求】未請求

【請求項の数】14

【出願形態】ＯＬ

(21)【出願番号】P 2023057783

(22)【出願日】2023-03-31

(71)【出願人】

【識別番号】000005108

【氏名又は名称】株式会社日立製作所

(71)【出願人】

【識別番号】301022471

【氏名又は名称】国立研究開発法人情報通信研究機構

(74)【代理人】

【識別番号】110001689

【氏名又は名称】青稜弁理士法人

(72)【発明者】

【氏名】藤井 翔太

(72)【発明者】

【氏名】川口 信隆

(72)【発明者】

【氏名】重本 倫宏

(72)【発明者】

【氏名】佐藤 隆行

(72)【発明者】

【氏名】青木 翔

(72)【発明者】

【氏名】寺田 真敏

(72)【発明者】

【氏名】津田 侑

(57)【要約】

【課題】接続先悪性度判定システムにおいて、不審接続先の悪性度や対処優先度を自動で判定することにより、接続先の悪性度判定や遮断に係る業務を支援する。
【解決手段】インターネットにネットワークを介して接続された接続先悪性度判定システムであって、接続先を観測する接続先観測部と、前記接続先の悪性の度合いを表す悪性度を判定する接続先悪性度判定部と、前記接続先の観測結果と前記悪性度に基づいて優先的に対処が必要な度合いを表す対処優先度を判定する対処優先度判定部とを有する。
【選択図】図１

【特許請求の範囲】

【請求項1】

インターネットにネットワークを介して接続された接続先悪性度判定システムであって、
接続先を観測する接続先観測部と、
前記接続先の悪性の度合いを表す悪性度を判定する接続先悪性度判定部と、
前記接続先の観測結果と前記悪性度に基づいて、優先的に対処が必要な度合いを表す対処優先度を判定する対処優先度判定部と、
を有することを特徴とする接続先悪性度判定システム。

【請求項2】

前記接続先の前記観測の周期を管理して前記接続先の監視周期を決定する観測周期管理部と、
前記接続先に関する情報、前記悪性度及び前記対処優先度を提示する画面描画部と、
前記対処優先度と前記悪性度が高い前記接続先を遮断リストとして提供する遮断リスト提供部と、
を更に有することを特徴とする請求項１に記載の接続先悪性度判定システム。

【請求項3】

前記接続先悪性度判定部は、
前記悪性度が所定の閾値以上か否かを判定し、
前記閾値以上の場合に有害と判定し、
前記閾値未満の場合に無害と判定することを特徴とする請求項１に記載の接続先悪性度判定システム。

【請求項4】

前記接続先悪性度判定部は、
前記接続先のコンテンツに基づく悪性度判定処理、前記接続先の時系列変化に基づく悪性度判定処理及び前記接続先の応答の地域差に基づく悪性度判定処理をそれぞれ実施することを特徴とする請求項１に記載の接続先悪性度判定システム。

【請求項5】

前記接続先悪性度判定部は、
前記コンテンツに基づく前記悪性度判定処理として、
前記接続先よりダウンロードされたファイルの前記悪性度を判定することを特徴とする請求項４に記載の接続先悪性度判定システム。

【請求項6】

前記接続先悪性度判定部は、
前記時系列変化に基づく前記悪性度判定処理として、
前記接続先が応答のない状態から応答のある状態に変化した場合に前記悪性度が高いと判定することを特徴とする請求項４に記載の接続先悪性度判定システム。

【請求項7】

前記接続先悪性度判定部は、
前記応答の地域差に基づく前記悪性度判定処理として、
前記接続先を複数の地域で観測した結果を比較し、前記地域毎の前記応答間に差異がある場合に前記悪性度が高いと判定することを特徴とする請求項４に記載の接続先悪性度判定システム。

【請求項8】

前記対処優先度判定部は、
前記悪性度の時系列変化に基づく対処優先度判定処理を実施することを特徴とする請求項１に記載の接続先悪性度判定システム。

【請求項9】

前記対処優先度判定部は、
前記悪性度の前記時系列変化に基づく前記対処優先度判定処理として、
前記接続先の前記悪性度が時系列で上昇している場合に前記対処優先度を上昇させることを特徴とする請求項８に記載の接続先悪性度判定システム。

【請求項10】

前記観測周期管理部は、
前記接続先の変化に基づいて前記観測の周期を更新することを特徴とする請求項２に記載の接続先悪性度判定システム。

【請求項11】

前記観測周期管理部は、
前記接続先が応答のない状態から前記応答のある状態に変化していた場合に前記観測の周期を短くすることを特徴とする請求項１０に記載の接続先悪性度判定システム。

【請求項12】

前記画面描画部は、
前記接続先の前記観測結果、前記悪性度及び前記対処優先度に基づいて、接続先観測結果描写画面を端末に描写し、
前記接続先観測結果描写画面は、
前記遮断リストを表示すると共に、前記悪性度及び前記対処優先度を時系列で可視化して表示することを特徴とする請求項２に記載の接続先悪性度判定システム。

【請求項13】

インターネットにネットワークを介して接続された接続先悪性度判定システムに適用される接続先悪性度判定プログラムであって、
接続先を観測する接続先観測機能と、
前記接続先の悪性の度合いを表す悪性度を判定する接続先悪性度判定機能と、
前記接続先の観測結果と前記悪性度に基づいて、優先的に対処が必要な度合いを表す対処優先度を判定する対処優先度判定機能と、
をコンピュータに実現させることを特徴とする接続先悪性度判定プログラム。

【請求項14】

インターネットにネットワークを介して接続された接続先悪性度判定システムに適用される接続先悪性度判定方法であって、
接続先を観測する接続先観測ステップと、
前記接続先の悪性の度合いを表す悪性度を判定する接続先悪性度判定ステップと、
前記接続先の観測結果と前記悪性度に基づいて、優先的に対処が必要な度合いを表す対処優先度を判定する対処優先度判定ステップと、
を有することを特徴とする接続先悪性度判定方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、接続先悪性度判定システム、接続先悪性度判定プログラム及び接続先悪性度判定方法に関する。

【背景技術】

【0002】

年々サイバー攻撃が増加、高度化しており、対策の必要性が増加している。この対策の一つとして、サイバー攻撃において重要な役割を有する攻撃者の悪性ホストへの通信を遮断する方法がある。ここで、悪性ホストへの通信を遮断する手法として、遮断リストを活用した通信制御がある。

【0003】

これは、フォワードプロキシ等の層に実装されており、事前に通信を遮断したい悪性ホストを登録しておき、同リストに一致した通信を検知した際に、当該通信を遮断することにより被害を抑制するものである。これに関連する技術として、例えば、特許文献１、特許文献２、非特許文献１がある。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特開２０１６－４５８８７号公報

【特許文献2】特開２０２１－９３０１０号公報

【非特許文献】

【0005】

【非特許文献1】Ｍａｓｏｏｄ Ｍａｎｓｏｏｒｉ， ｅｔ ａｌ． Ｇｅｏｌｏｃａｔｉｏｎ ｔｒａｃｋｉｎｇ ａｎｄ ｃｌｏａｋｉｎｇ ｏｆ ｍａｌｉｃｉｏｕｓ ｗｅｂ ｓｉｔｅｓ． Ｉｎ ２０１９ ＩＥＥＥ ４４ｔｈ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｌｏｃａｌ Ｃｏｍｐｕｔｅｒ Ｎｅｔｗｏｒｋｓ， ｐｐ． ２７４-２８１， ｈｔｔｐｓ：／／ｉｅｅｅｘｐｌｏｒｅ．ｉｅｅｅ．ｏｒｇ／ｄｏｃｕｍｅｎｔ／８９９０７９４

【発明の概要】

【発明が解決しようとする課題】

【0006】

悪性ホストはサイバー攻撃の増加に伴ってその数が年々増加しており、かつ使い捨てられる傾向にあることから、のべ報告数は大量になっている。

【0007】

実際の運用においては、主にリソースの制限から、報告されている全ての悪性ホストを遮断リストに加えることは現実的では無く、その時点での状態を基に、悪性度が高いものに絞って優先的に遮断することが必要となる。

【0008】

この悪性度の判断は、オペレータの知見に依存する部分が大きい。また、この悪性度の判定方法として、実際に悪性ホストにアクセスし、その挙動やコンテンツを確認することが挙げられる。ただし、特定の時間のみ動作する悪性ホストや特定の地域にのみ悪性コンテンツを配布するようなものも存在するために、単一時間点や単一拠点からの観測結果だけでは判断できない場合もあることが前述の判断をより困難にしている。

【0009】

以上を纏めると、課題は次の通りであると言える。その時点での状態を基に、悪性度が高いものに絞って優先的にブロックすることが必要である。この際に、単一時間点や単一拠点の観測結果だけでなく、継続的なあるいは複数地点からの観測結果を基に判断することが望ましい。このため、実施コストが大きく属人性も高い。

【0010】

特許文献１は、監視結果を基に悪性度を判定する点では課題を解決できている部分もある。しかし、継続的なあるいは多拠点からの観測や優先度付けを考慮していない。

【0011】

特許文献２は、時間の情報も鑑みて信頼性を判定する点では課題を解決できている部分もある。しかし、多拠点から実際に観測する点、地域性を考慮する点、ドメインに依らず到達可能なホストの悪性度を判定する点等が考慮されていない。

【0012】

特許文献３は、ある特定時間点での観測に留まっており、継続的な観測や観測時点での遮断優先度の判断は実施していない。

【0013】

上記のように、部分的には前述の課題を解決する関連技術は存在する。しかし、悪性ホストの悪性度を判定するに際して、時間や地域性の要素が考慮されていない場合が多い。さらに、実業務において必要な対処優先度付けがされていない点が課題であると言える。

【0014】

本発明の目的は、接続先悪性度判定システムにおいて、不審接続先の悪性度や対処優先度を自動で判定することにより、接続先の悪性度判定や遮断に係る業務を支援することにある。

【課題を解決するための手段】

【0015】

本発明の一態様の接続先悪性度判定システムは、インターネットにネットワークを介して接続された接続先悪性度判定システムであって、接続先を観測する接続先観測部と、前記接続先の悪性の度合いを表す悪性度を判定する接続先悪性度判定部と、前記接続先の観測結果と前記悪性度に基づいて、優先的に対処が必要な度合いを表す対処優先度を判定する対処優先度判定部とを有することを特徴とする。

【発明の効果】

【0016】

本発明の一態様によれば、接続先悪性度判定システムにおいて、不審接続先の悪性度や対処優先度を自動で判定することにより、接続先の悪性度判定や遮断に係る業務を支援することができる。

【図面の簡単な説明】

【0017】

【図1】本発明の実施例１に係る接続先悪性度判定システムの構成例を示した図である。

【図2】本発明の実施例１に係る接続先一覧の一例を示す図である。

【図3】本発明の実施例１に係る観測結果保存領域の一例を示す図である。

【図4】本発明の実施例１に係る全体処理フローを示す図である。

【図5】本発明の実施例１に係る接続先観測の処理フローを示す図である。

【図6】本発明の実施例１に係る接続先悪性度判定の処理フローを示す図である。

【図7】本発明の実施例１に係る対処優先度判定の処理フローを示す図である。

【図8】本発明の実施例１に係る観測周期管理の処理フローを示す図である。

【図9】本発明の実施例１に係る画面描写の処理フローを示す図である。

【図10】本発明の実施例１に係る遮断リスト提供の処理フローを示す図である。

【図11】本発明の実施例１に係る接続先観測結果描写画面の一例を示す図である。

【図12】本発明の実施例２に係る接続先悪性度判定システムの構成例を示した図である。

【発明を実施するための形態】

【0018】

以下、本発明の実施例を、図面を用いて説明する。ただし、本発明は以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。

【0019】

以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。

【0020】

本明細書等における「第１」、「第２」、「第３」等の表記は、構成要素を識別するために付するものであり、必ずしも、数又は順序を限定するものではない。

【0021】

図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。

【実施例0022】

実施例１では、オンプレミスで悪性ホストの悪性度および対処優先度を判定する場合の接続先悪性度判定システムの処理について示す。

【0023】

図１は、本発明の実施例に係る接続先悪性度判定システムの構成例を示す図である。
実施例１に係る接続先悪性度判定システム１０１には、インターネット１１８がネットワーク１１７ｂを介して接続されている。また、接続先悪性度判定システム１０１には、ユーザが操作するユーザ端末１１６がネットワーク１１７aを介して接続されている。さらに、観測エージェント１１９がインターネット１１８に接続されている。

【0024】

接続先悪性度判定システム１０１は、ＣＰＵ（Ｃｅｎｔｒａｌ Ｐｒｏｃｅｓｓｉｎｇ Ｕｎｉｔ）１０３と、ＣＰＵ１０３が処理を実行するために必要なデータを格納するためのメインメモリ１０４と、大量のデータを記憶する容量を持つハードディスクやフラッシュメモリなどの記憶装置１０５と、他装置と通信を行なうためのＩＦ（インタフェース）１０２と、キーボード、ディスプレイなどの入出力を行うための入出力装置１０６と、これらの各装置を接続する通信路１０７と、を備えたコンピュータである。なお、通信路１０７は、例えば、バスやケーブルなどの情報伝達媒体である。

【0025】

ＣＰＵ１０３がメインメモリ１０４に格納された接続先観測プログラム１０８を実行することにより接続先の観測を行う接続先観測部を構成する。

【0026】

また、ＣＰＵ１０３がメインメモリ１０４に格納された接続先悪性度判定プログラム１０９を実行することにより接続先の悪性度判定を行う接続先悪性度判定部を構成する。接続先悪性度判定部は、接続先の悪性の度合いを表す悪性度を判定する。ここで、悪性度の判定は、例えば、機械学習により実施可能である。

【0027】

また、ＣＰＵ１０３がメインメモリ１０４に格納された対処優先度判定プログラム１１０を実行することにより対処優先度の判定を行う対処優先度判定部を構成する。対処優先度判定部は、優先的に対処が必要な度合いを表す対処優先度を判定する。ここで、対処優先度の判定は、例えば、機械学習により実施可能である。

【0028】

また、ＣＰＵ１０３がメインメモリ１０４に格納された観測周期管理プログラム１１１を実行することにより観測周期の管理を行う観測周期管理部を構成する。

【0029】

また、ＣＰＵ１０３がメインメモリ１０４に格納された画面描写プログラム１１２を実行することにより前記プログラム群により観測および悪性度や対処優先度を判定した接続先に関する情報の利用者への提示を行う画面描写部を構成する。

【0030】

また、ＣＰＵ１０３がメインメモリ１０４に格納された遮断リスト提供プログラム１１３を実行することにより対処優先度が高い接続先に係る遮断リストの提供を行う遮断リスト提供部を構成する。

【0031】

記憶装置１０５には、接続先を管理する接続先一覧１１４、観測結果を保存する観測結果保存領域１１５が格納されている。

【0032】

上記の各プログラムやデータは、あらかじめメモリ１０４または記憶装置１０５に格納されていてもよいし、必要な時に、入出力装置１０６からまたは、ＩＦ１０２を介して他の装置から、インストール（ロード）されても良い。

【0033】

なお、図１で説明した、接続先悪性度判定システムの構成は、一例であって、これに限定されない。

【0034】

図２は、接続先一覧１１４の一例を示す図である。図２に示すように、接続先一覧１１４は、例えば、接続先ＩＤ２０１と、接続先２０２と、観測スパン２０３と、観測日時２０４と、悪性度２０５と、対処優先度２０６とを含んで構成される。

【0035】

接続先ＩＤ２０１は、観測対象の接続先を一意に識別するための識別情報を格納するフィールドである。実施例１の接続先ＩＤ２０１には数字が識別情報として格納される。

【0036】

接続先２０２は、観測対象の接続先のＵＲＬを格納するフィールドである。例えば、接続先ＩＤ２０１が「０」のエントリに対応する接続先は、「ｓｅａｒｃｈ．ｅｘａｍｐｌｅ．ｃｏｍ／」であることを表す。

【0037】

観測スパン２０３は、該接続先を観測する頻度を表す。例えば、接続先ＩＤ２０１が「０」のエントリについては、４時間ごとに観測を試みることを表す。

【0038】

観測日時２０４は、該接続先を観測した日時を表す。例えば、接続先ＩＤ２０１が「０」のエントリのうち、直近の観測は、２０２２年０６月０６日の１８時５７分１４秒に行ったことを表す。本発明は、観測日時２０４に格納される時刻のデータ形式に限定されない。Ｕｎｉｘｔｉｍｅ等、時刻が判別できるデータ形式であれば、どのようなデータ形式を用いてもよい。

【0039】

悪性度２０５は、該接続先の観測時毎の悪性度を表す。例えば、接続先ＩＤ２０１が「０」のエントリの「２０２２年０６月０６日の１８時５７分１４秒」に観測した時点での悪性度ついては、コンテンツの観点での悪性度が「１．０」、地域差の観点での悪性度が「０．０」、時系列変化の観点での悪性度が「０．０」、それらを統合した全体での悪性度が「１．０」であることを表す。なお、悪性度を判定する観点は、これに限定されない。

【0040】

対処優先度２０６は、該接続先の対処優先度を格納するフィールドである。例えば、接続先ＩＤ２０１が「０」のエントリの「２０２２年０６月０６日の１８時５７分１４秒」に観測した時点での対処優先度は、「０．８」であることを表す。

【0041】

なお、図２で説明した、接続先一覧は、一例であって、これに限定されない。

【0042】

図３は、観測結果保存領域１１５の一例を示す図である。図３に示すように、観測結果保存領域１１５は、例えば、接続先ＩＤ３０１と、接続先３０２と、観測日時３０３と、エージェント３０４と、観測結果３０５と、を含んで構成される。

【0043】

接続先ＩＤ３０１は、観測対象の接続先を一意に識別するための識別情報を格納するフィールドである。実施例１の接続先ＩＤ３０１には数字が識別情報として格納される。

【0044】

接続先３０２は、観測対象の接続先のＵＲＬを格納するフィールドである。例えば、接続先ＩＤ３０１が「０」のエントリに対応する接続先は、「ｓｅａｒｃｈ．ｅｘａｍｐｌｅ．ｃｏｍ／」であることを表す。

【0045】

観測日時３０３は、該接続先を観測した日時を表す。例えば、接続先ＩＤ３０１が「０」のエントリのうち、直近の観測は、２０２２年０６月０６日の１８時５７分１４秒に行ったことを表す。本発明は、観測日時３０３に格納される時刻のデータ形式に限定されない。Ｕｎｉｘｔｉｍｅ等、時刻が判別できるデータ形式であれば、どのようなデータ形式を用いてもよい。

【0046】

エージェント３０４は、観測を行うエージェントの情報を格納するフィールドである。例えば、本実施例では、エージェント「日本」とエージェント「アメリカ」を用いて観測を行ったことを表す。本実施例では、エージェントの情報としてエージェントの設置地域を用いているが、エージェントが判別できる形式であれば、どのような情報を用いてもよい。

【0047】

観測結果３０５は、観測結果を格納するフィールドである。例えば、接続先ＩＤ３０１が「０」のエントリの「２０２２年０６月０６日の１８時５７分１４秒」にエージェント「日本」で観測した結果は、ステータスコードが「２００」、コンテンツが「１．ｅｘｅ」、形式が「ｅｘｅ」であることを表す。なお、観測結果として格納する情報は、これに限定されない。

【0048】

なお、図３で説明した、観測結果保存領域は、一例であって、これに限定されない。

【0049】

次に、接続先悪性度判定システム１０１が実行する処理について説明する。

【0050】

図４は、実施例１の接続先悪性度判定システム１０１が実行する処理の概要を説明するフローチャートである。

【0051】

接続先悪性度判定システム１０１は、周期的に、以下で説明する処理を実行する（ステップ４０１）。

【0052】

まず、接続先の観測を行う（ステップ４０２）。接続先の観測の詳細は、図５を用いて説明する。

【0053】

次に、観測結果を用いて接続先の悪性度を判定する（ステップ４０３）。接続先の悪性度の判定の詳細は、図６を用いて説明する。

【0054】

次に、観測結果や悪性度を用いて接続先の対処優先度を判定する（ステップ４０４）。対処優先度の判定の詳細は、図７を用いて説明する。

【0055】

次に、接続先の観測周期の管理処理を実施する（ステップ４０５）。接接続先の観測周期の管理の詳細は、図８を用いて説明する。

【0056】

全観測対象に対して上記処理を実施し、完了後処理を終了する。

【0057】

なお、図４で説明した、接続先悪性度判定システムの処理フローは、一例であって、これに限定されない。

【0058】

図５は、実施例１の接続先悪性度判定システム１０１が実行する接続先観測処理の一例を説明するフローチャートである。

【0059】

ＣＰＵ１０３によって実行される接続先観測プログラム１０８は、実行指示を受け付けた場合、以下で説明する処理を開始する。

【0060】

接続先観測プログラム１０８は、接続先一覧１１４から観測対象の接続先の一覧を取得する（ステップ５０１）。ここでは、接続先ＩＤ２０１から構成されるエントリを含む一覧が取得されるものとする。

【0061】

次に、接続先観測プログラム１０８は、取得した接続先の一覧に基づいて観測を実施する（ステップ５０２）。観測対象の接続先の存在しない場合は処理を終了する。接続先が１件以上存在する場合は、ステップ５０３へ進む。

【0062】

次に、接続先観測プログラム１０８は、接続先一覧１１４の直近のエントリにおける観測日時２０４と観測スパン２０３を参照し、該接続先の最終観測日時からプログラム実行までの経過時間を算出することにより、接続先が観測スパンに到達しているか判定する（ステップ５０３）。

【0063】

この際、該接続先が観測スパンに到達していなかった場合、該接続先に関する処理を終了する。該接続先が観測スパンに到達していた場合は、ステップ５０４へ進む。

【0064】

次に、接続先観測プログラム１０８は、該接続先の観測を各観測エージェント１１９に指示する（ステップ５０４）。

【0065】

次に、接続先観測プログラム１０８は、該接続先について、観測結果を各観測エージェント１１９より受領する（ステップ５０５）。

【0066】

次に、接続先観測プログラム１０８は、各観測エージェント１１９より受領した観測結果を観測結果保存領域１１５の該接続先の接続先ＩＤに対応するエントリへ保存する（ステップ５０６）。

【0067】

なお、図５で説明した、接続先観測の方法は、一例であって、これに限定されない。例えば、今回は接続先一覧１１４に含まれる全ての接続先を観測する処理を述べたが、接続先について、情報源の信頼性を用いて信頼性が高いもののみを優先的に観測してもよい。また、対象とする顧客や保護対象の組織がアクセスする可能性が高い接続先があれば、それらの優先的に観測してもよい。

【0068】

図６は、実施例１の接続先悪性度判定システム１０１が実行する接続先悪性度判定処理の一例を説明するフローチャートである。

【0069】

ＣＰＵ１０３によって実行される接続先悪性度判定プログラム１０９は、実行指示を受け付けた場合、以下で説明する処理を開始する。

【0070】

接続先悪性度判定プログラム１０９は、観測結果保存領域１１５から接続先の観測結果一覧を取得する（ステップ６０１）。ここでは、接続先ＩＤ３０１から構成されるエントリを含む一覧が取得されるものとする。

【0071】

次に、接続先悪性度判定プログラム１０９は、取得した観測結果の一覧に基づいて、全接続先に対して以下の処理を実施する（ステップ６０２）。観測結果を有する接続先が存在しない場合は処理を終了する。観測結果を有する接続先が１件以上存在する場合は、ステップ６０３へ進む。

【0072】

次に、接続先悪性度判定プログラム１０９は、コンテンツに基づく悪性度判定処理を実施する（ステップ６０３）。例えば、該接続先よりダウンロードされたファイルの悪性度を判定する。また、ｗｅｂページに含まれる悪性スクリプトを検知することにより悪性の接続先であると判定する。

【0073】

次に、接続先悪性度判定プログラム１０９は、時系列変化に基づく悪性度判定処理を実施する（ステップ６０４）。例えば、該接続先が応答のない状態から応答のある状態に変化した場合、攻撃の開始あるいは再開の兆候とみなし、悪性の可能性があるとして判定する。

【0074】

次に、接続先悪性度判定プログラム１０９は、応答の地域差に基づく悪性度判定処理を実施する（ステップ６０５）。例えば、該接続先を複数のエージェントで観測した結果を比較し、地域毎の応答間に差異がある場合、特定の地域を対象にした攻撃の可能性があるとみなし、悪性の可能性があるとして判定する。

【0075】

次に、接続先悪性度判定プログラム１０９は、これまでの判定結果を基に、該接続先の総合的な悪性度判定処理を実施する（ステップ６０６）。

【0076】

接続先悪性度判定プログラム１０９は、悪性度が所定の閾値以上か否かを判定する（ステップ６０７）。判定の結果、閾値以上に場合に有害と判定し（ステップ６０８）、閾値未満の場合に無害と判定する（ステップ６０９）。

【0077】

次に、接続先悪性度判定プログラム１０９は、これまでの判定結果を過去の判定結果と比較し、悪性度に変化があったか検証する（ステップ６１０）。変化が無かった場合は、該接続先の悪性度判定処理を終了する。この際、全ての接続先について悪性度判定処理を実施していた場合は、処理を終了する。変化があった場合は、ステップ６１１へ進む。

【0078】

次に、接続先悪性度判定プログラム１０９は、悪性度の判定結果を接続先一覧１１４の悪性度２０５へ反映する（ステップ６１１）。この際、全ての接続先について悪性度判定処理を実施していた場合は、処理を終了する。

【0079】

なお、図６で説明した、接続先悪性度判定の方法は、一例であって、これに限定されない。例えば、観測結果に応じて、当該接続先だけでなく、同時期に報告されたものや同じ攻撃に利用されていると報告されているもののような、相互に関連する接続先を悪性と判定してもよい。

【0080】

図７は、実施例１の接続先悪性度判定システム１０１が実行する対処優先度判定処理の一例を説明するフローチャートである。

【0081】

ＣＰＵ１０３によって実行される対処優先度判定プログラム１１０は、実行指示を受け付けた場合、以下で説明する処理を開始する。

【0082】

対処優先度判定プログラム１１０は、接続先一覧１１４から観測対象の接続先の一覧を取得する（ステップ７０１）。ここでは、接続先ＩＤ２０１から構成されるエントリを含む一覧が取得されるものとする。

【0083】

対処優先度判定プログラム１１０は、観測結果保存領域１１５から接続先の観測結果一覧を取得する（ステップ７０２）。ここでは、接続先ＩＤ３０１から構成されるエントリを含む一覧が取得されるものとする。

【0084】

次に、対処優先度判定プログラム１１０は、取得した接続先および観測結果の一覧に基づいて、全接続先に対して以下の処理を実施する（ステップ７０３）。接続先や観測結果が存在しない場合は処理を終了する。観測結果を有する接続先が１件以上存在する場合は、ステップ７０４へ進む。

【0085】

次に、対処優先度判定プログラム１１０は、悪性度の時系列変化に基づく対処優先度判定処理を実施する（ステップ７０４）。例えば、該接続先の悪性度が時系列で上昇している場合、先行的に対処が必要とみなして優先度を上昇させる。

【0086】

次に、対処優先度判定プログラム１１０は、対処優先度の判定結果を過去の判定結果と比較し、対処優先度に変化があったか検証する（ステップ７０５）。変化が無かった場合は、該接続先の対処優先度判定処理を終了する。この際、全ての接続先について対処優先度判定処理を実施していた場合は、処理を終了する。変化があった場合は、ステップ７０６へ進む。

【0087】

次に、対処優先度判定プログラム１１０は、対処優先度の判定結果を接続先一覧１１４の対処優先度２０６へ反映する（ステップ７０６）。この際、全ての接続先について対処優先度判定処理を実施していた場合は、処理を終了する。

【0088】

なお、図７で説明した、対処優先度判定の方法は、一例であって、これに限定されない。例えば、地域間の応答差が大きく、特定の地域を狙ったような可能性が高いもの、即ちより高度な攻撃に利用される可能性が高いものの対処優先度を引き上げてもよい。この際、自組織や自地域が攻撃対象か否かによって優先度を判定してもよい。また、単体の悪性度だけでなく、他の要素を用いてよい。例えば、悪性接続先の攻撃対象と自組織の計算機情報との突合せを行い、影響があるか否かをもって対処優先度を判定してもよい。

【0089】

図８は、実施例１の接続先悪性度判定システム１０１が実行する観測周期管理処理の一例を説明するフローチャートである。

【0090】

ＣＰＵ１０３によって実行される観測周期管理プログラム１１１は、実行指示を受け付けた場合、以下で説明する処理を開始する。

【0091】

観測周期管理プログラム１１１は、接続先一覧１１４から観測対象の接続先の一覧を取得する（ステップ８０１）。ここでは、接続先ＩＤ２０１から構成されるエントリを含む一覧が取得されるものとする。

【0092】

観測周期管理プログラム１１１は、観測結果保存領域１１５から接続先の観測結果一覧を取得する（ステップ８０２）。ここでは、接続先ＩＤ３０１から構成されるエントリを含む一覧が取得されるものとする。

【0093】

次に、観測周期管理プログラム１１１は、取得した接続先および観測結果の一覧に基づいて、全接続先に対して以下の処理を実施する（ステップ８０３）。接続先や観測結果が存在しない場合は処理を終了する。観測結果を有する接続先が１件以上存在する場合は、ステップ８０４へ進む。

【0094】

次に、観測周期管理プログラム１１１は、該接続先の各項目における変化の有無を検証する（ステップ８０４）。変化が無かった場合は、該接続先の観測周期管理処理を終了する。この際、全ての接続先について観測周期管理処理を実施していた場合は、処理を終了する。変化があった場合は、ステップ８０５へ進む。

【0095】

次に、観測周期管理プログラム１１１は、該接続先の各項目における変化に基づいて観測スパンを更新する（ステップ８０５）。例えば、該接続先が応答のない状態から応答のある状態に変化していた場合、攻撃の開始あるいは再開の兆候とみなし、より高頻度な観測が必要と判断して観測スパンを短くする。

【0096】

次に、観測周期管理プログラム１１１は、更新した該接続先の観測スパンを接続先一覧１１４の観測スパン２０３へ反映する（ステップ８０６）。この際、全ての接続先について観測周期管理処理を実施していた場合は、処理を終了する。

【0097】

なお、図８で説明した、観測周期管理の方法は、一例であって、これに限定されない。例えば、接続先に変化が無かった場合、高頻度な観測は不要と判断し、その観測スパンを長くしてもよい。

【0098】

接続先悪性度判定システム１０１は、図４で説明した処理とは別に、ユーザに対して各種情報を表示するための画面描写処理を実行する。

【0099】

図９は、実施例１の接続先悪性度判定システム１０１が実行する画面描写処理の一例を説明するフローチャートである。

【0100】

ＣＰＵ１０３によって実行される画面描写プログラム１１２は、実行指示を受け付けた場合、以下で説明する処理を開始する。

【0101】

画面描写プログラム１１２は、接続先一覧１１４から観測対象の接続先の一覧を取得する（ステップ９０１）。ここでは、接続先ＩＤ２０１から構成されるエントリを含む一覧が取得されるものとする。

【0102】

画面描写プログラム１１２は、観測結果保存領域１１５から接続先の観測結果一覧を取得する（ステップ９０２）。ここでは、接続先ＩＤ３０１から構成されるエントリを含む一覧が取得されるものとする。

【0103】

画面描写プログラム１１２は、描画対象の接続先に関する情報を画面に描写し（ステップ９０３）、処理を終了する。

【0104】

なお、図９で説明した、画面描写の方法は、一例であって、これに限定されない。

【0105】

接続先悪性度判定システム１０１は、図４で説明した処理とは別に、ユーザに対して遮断リストを提供するための遮断リスト提供処理を実行する。

【0106】

図１０は、実施例１の接続先悪性度判定システム１０１が実行する遮断リスト提供処理の一例を説明するフローチャートである。

【0107】

ＣＰＵ１０３によって実行される遮断リスト提供プログラム１１３は、実行指示を受け付けた場合、以下で説明する処理を開始する。

【0108】

遮断リスト提供プログラム１１３は、利用者から遮断リストのリスト長を受領する（ステップ１００１）。

【0109】

遮断リスト提供プログラム１１３は、接続先一覧１１４から遮断リスト長に応じて、遮断優先度の高い上位Ｎ件の接続先を取得する（ステップ１００２）。

【0110】

遮断リスト提供プログラム１１３は、取得した接続先を遮断リストとして排出し（ステップ１００３）、処理を終了する。この際、他の機器、例えば実際に通信を遮断する役割を担うネットワーク機器とＩＦ１０２を介して連携する形が考えられる。

【0111】

なお、図１０で説明した、遮断リスト提供の方法は、一例であって、これに限定されない。例えば、遮断リスト提供プログラム１１３を利用せずに、図１１で述べる接続先観測結果描写画面から人手で遮断リストを構築してもよい。

【0112】

図１１は、実施例１の接続先悪性度判定システム１０１を構成するプログラムで生成した接続先観測結果描写画面の一例である。

【0113】

図１１における画面は、接続先概要１１０１と、悪性度１１０２と、対処優先度１１０３と、を含む。ここで、接続先概要１１０１は遮断リストを表す。

【0114】

接続先概要１１０１は、描写対象の接続先に関する基本的な情報である。例えば、接続先、観測スパン、観測日時、悪性度、対処優先度が含まれる。

【0115】

悪性度１１０２は、悪性度に係る詳細な情報である。例えば、悪性度の各要素について時系列で可視化した情報を含む。このように、どの要因がどの程度悪性度判定に寄与したかを示すことにより、解釈可能性を向上し、最終的に遮断是非を判断する分析者を支援する。

【0116】

対処優先度１１０３は、対処優先度に係る詳細な情報である。例えば、対処優先度を時系列で可視化した情報を含む。

【0117】

上述のような情報を表示することによって、分析者をはじめとしたユーザの接続先に係る情報の視認性を向上し、接続先の対処要否判断業務の実施コストや属人性を低減することが期待される。

【0118】

なお、今回は実施例１に係る各プログラムの分析結果を基に描写画面を例示したが、一例であって、これに限定されない。例えば、接続先に関連するものであれば、どのような情報をどのような形式で描写しても良い。

【0119】

悪性接続先への対処業務においては、悪性度の判断や対処優先度の判断が担当者の知見に依存する部分が大きく、攻撃者側の回避行動も相まって、実施コストの大きさや属人性の高さが課題としてあった。

【0120】

実施例１によれば、接続先悪性度判定システム１０１は、複数地域に設置した観測エージェント１１９から接続先を観測し、その結果を基に悪性度や対処優先度を自動で判定する。これにより、悪性接続先への対処業務に係るコストや属人性を抑制することを可能とする。

【実施例0121】

実施例２では、オンプレミスでの悪性ホストの悪性度および対処優先度の判定に加えて、ネットワーク経由で判定結果を外部に共有する。これにより、クラウドでのサービス提供を可能にする。

【0122】

以下、実施例１との差異を中心に実施例２について説明する。

【0123】

図１２は、本発明の実施例２に係る接続先悪性度判定システム１２０１の構成例を示す図である。実施例２の計算機システムの構成は実施例１と同一である。

【0124】

実施例２の接続先悪性度判定システムのハードウェア構成は実施例１に加えて、外部ユーザ端末１２２０を備える。実施例２においては、各プログラムは、ネットワーク内のユーザ端末１２１６だけでなく、外部ユーザ端末１２２０からの要求に応じて処理を実行し、その結果をインターネット１２１８を介して外部ユーザ端末１２２０へ返却する。これにより、クラウドでのサービス提供を可能にする。

【0125】

実施例２のプログラムは実施例１と同一である。また、実施例２の接続先観測プログラム１２０８、接続先悪性度判定プログラム１２０９、対処優先度判定プログラム１２１０、観測周期管理プログラム１２１１、画面描写プログラム１２１２、遮断リスト提供プログラム１２１３が実行する処理は、実施例１と同一である。実施例２のデータ構造は実施例１と同一である。

【0126】

なお、図１２で説明した、実施例２に係る接続先悪性度判定システムの構成は、一例であって、これに限定されない。

【0127】

実施例２によれば、接続先悪性度判定システム１２０１は、実施例１と同様にオンプレミスで内部ユーザに対して接続先の悪性度や対処優先度を提供しつつ、外部ユーザに対しても同様の情報をインターネット１２１８を介して提供する。これにより、クラウドでのサービス提供を可能にする。

【0128】

また、悪性度の判定や対処優先度の判定に際して、外部ユーザの情報を活用することにより、外部ユーザごとに適合した判断結果を提供することも可能である。例えば、外部ユーザの所属地域と接続先の攻撃対象地域の突合せや外部ユーザの計算機環境と接続先の攻撃対象機器の突合せとその結果に応じて悪性度や対処優先度を上下させてもよい。

【0129】

上記実施例によれば、悪性ホストの対処優先度を自動で算出し、その判断要因と共に示すことにより、対処要否判断業務の実施コストや属人性を低減することができる。