知財求人 - 知財ポータルサイト「IP Force」
特開2024-38306ランサムウェアまたはフィッシング攻撃遮断方法及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024038306
(43)【公開日】2024-03-19
(54)【発明の名称】ランサムウェアまたはフィッシング攻撃遮断方法及びシステム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240312BHJP
G06F 21/62 20130101ALI20240312BHJP
【FI】
G06F21/55
G06F21/62 318
【審査請求】有
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2024001772
(22)【出願日】2024-01-10
(62)【分割の表示】P 2021577491の分割
【原出願日】2019-11-27
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.リナックス
2.Linux
3.UNIX
4.ウィンドウズ
5.WINDOWS
(71)【出願人】
【識別番号】519043419
【氏名又は名称】ナムソフト カンパニー,リミテッド
(74)【代理人】
【識別番号】110000338
【氏名又は名称】弁理士法人 HARAKENZO WORLD PATENT & TRADEMARK
(72)【発明者】
【氏名】ウ,ジョン ヒュン
(57)【要約】 (修正有)
【課題】別途サーバー管理人力がいなくても安価で、且つ便利な方法でサーバーに保管されたデータ及びバックアップされたデータをランサムウェアから安全に保護するサーバー用ランサムウェア攻撃遮断方法及びシステムを提供する。
【解決手段】方法は、フィッシング攻撃防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、フィッシング攻撃防止ストレージ装置との連動動作を遂行するエージェントプログラムと、を含む。使用者端末又はサービスサーバーからフィッシング攻撃防止ストレージ装置に保管されたファイルに関するオープン要請がある場合、フィッシング攻撃防止ストレージ装置は、ストレージ動作モードをチェックして、ストレージ動作モードがリストオンリーモードにあたる場合、オープン要請された原本ファイルではなく偽のファイルを生成して、使用者端末又はサービスサーバーに偽のファイルが返還されるようにする。
【選択図】図4
【解決手段】方法は、フィッシング攻撃防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、フィッシング攻撃防止ストレージ装置との連動動作を遂行するエージェントプログラムと、を含む。使用者端末又はサービスサーバーからフィッシング攻撃防止ストレージ装置に保管されたファイルに関するオープン要請がある場合、フィッシング攻撃防止ストレージ装置は、ストレージ動作モードをチェックして、ストレージ動作モードがリストオンリーモードにあたる場合、オープン要請された原本ファイルではなく偽のファイルを生成して、使用者端末又はサービスサーバーに偽のファイルが返還されるようにする。
【選択図】図4
【特許請求の範囲】
【請求項1】
フィッシング攻撃防止システムであって、
フィッシング攻撃防止ストレージ装置;
使用者端末またはサービスサーバーに取り付けられ、前記使用者端末またはサービスサーバーが前記フィッシング攻撃防止ストレージ装置とネットワークを通じてつながって前記フィッシング攻撃防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、前記フィッシング攻撃防止ストレージ装置との連動動作を遂行するエージェントプログラム;を含み、
前記使用者端末またはサービスサーバーから前記フィッシング攻撃防止ストレージ装置に保管されたファイルに関するオープン要請がある場合、
前記フィッシング攻撃防止ストレージ装置は、ストレージ動作モードをチェックして、前記ストレージ動作モードがリストオンリーモード(List‐only mode)にあたる場合、オープン要請された原本ファイルではなく偽のファイル(fake file)を生成して、前記使用者端末またはサービスサーバーに偽のファイルが返還されるようにすることを特徴とする、フィッシング攻撃防止システム。
フィッシング攻撃防止ストレージ装置;
使用者端末またはサービスサーバーに取り付けられ、前記使用者端末またはサービスサーバーが前記フィッシング攻撃防止ストレージ装置とネットワークを通じてつながって前記フィッシング攻撃防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、前記フィッシング攻撃防止ストレージ装置との連動動作を遂行するエージェントプログラム;を含み、
前記使用者端末またはサービスサーバーから前記フィッシング攻撃防止ストレージ装置に保管されたファイルに関するオープン要請がある場合、
前記フィッシング攻撃防止ストレージ装置は、ストレージ動作モードをチェックして、前記ストレージ動作モードがリストオンリーモード(List‐only mode)にあたる場合、オープン要請された原本ファイルではなく偽のファイル(fake file)を生成して、前記使用者端末またはサービスサーバーに偽のファイルが返還されるようにすることを特徴とする、フィッシング攻撃防止システム。
【請求項2】
前記偽のファイルは、オープン要請された原本ファイルとファイル容量は同一であるが、ファイル本文がナル値(null value)または未知値(unknown value)で満たされることを特徴とする、請求項1に記載のフィッシング攻撃防止システム。
【請求項3】
前記エージェントプログラムは、
前記使用者端末またはサービスサーバーにネットワークドライブ形態でマウントされる前記フィッシング攻撃防止ストレージ装置内の保管フォルダまたはファイルに関して使用者が編集モードに切替及び終了を選択できるようにする選択情報を提供し、
前記ファイルオープン要請が前記編集モードに切替による編集モードで開く要請に当たる場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
前記フィッシング攻撃防止ストレージ装置は、
前記編集モードで開く要請によって前記リストオンリーモードを解除し、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにすることを特徴とする、請求項2に記載のフィッシング攻撃防止システム。
前記使用者端末またはサービスサーバーにネットワークドライブ形態でマウントされる前記フィッシング攻撃防止ストレージ装置内の保管フォルダまたはファイルに関して使用者が編集モードに切替及び終了を選択できるようにする選択情報を提供し、
前記ファイルオープン要請が前記編集モードに切替による編集モードで開く要請に当たる場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
前記フィッシング攻撃防止ストレージ装置は、
前記編集モードで開く要請によって前記リストオンリーモードを解除し、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにすることを特徴とする、請求項2に記載のフィッシング攻撃防止システム。
【請求項4】
前記エージェントプログラムは、前記使用者端末またはサービスサーバーから事前に登録された方式による前記リストオンリーモードの解除要請がある場合、前記フィッシング攻撃防止ストレージ装置へ前記リストオンリーモードの解除を要請し、
前記フィッシング攻撃防止ストレージ装置は、前記リストオンリーモードの解除要請にしたがって、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにし、
前記リストオンリーモードの解除は、使用者から事前に登録処理された認証装置を通じる権限者認証を通じて実行されることを特徴とする、請求項2に記載のフィッシング攻撃防止システム。
前記フィッシング攻撃防止ストレージ装置は、前記リストオンリーモードの解除要請にしたがって、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにし、
前記リストオンリーモードの解除は、使用者から事前に登録処理された認証装置を通じる権限者認証を通じて実行されることを特徴とする、請求項2に記載のフィッシング攻撃防止システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はランサムウェア(ransomware)またはフィッシング(phishing)攻撃を遮断する方法及びシステムに関する。
【背景技術】
【0002】
ハッカーが配布するフィッシングとランサムウェアが多様化されながら段々使用者のデータが脅かされている。一般に、フィッシングとは、使用者の端末機に格納されたデータを流出する攻撃であって、使用者端末機に存在するアカウント情報やデジタル証明書、主要データなどを奪取する攻撃を意味する。また、ランサムウェアとは、使用者の端末機に格納されていたり繋がったネットワーク格納場所に保管されたデータを使用者がアクセスできないように暗号化した後、金銭を要求する攻撃技法を言う。最近はデータを流出した後、使用者が使用できないようにすることから端末機のディスクパーティションを操作してPC端末機を使用できないようにすることまで、その方法と形式が多様化されている。
【0003】
このようなフィッシング攻撃に対応する既存方法ではPC内の格納空間を暗号化して該当特定格納空間に近付くプロセスが事前に指定されたプロセスであるか否かを確認する技術が利用されたが、該当格納空間を暗号化しても暗号化された格納空間を構成したファイルを奪取して復呼化する場合が発生している。
【0004】
また、ランサムウェア攻撃に対応する既存方法ではPC内の資料を安全な格納領域で周期的にバックアップして、PCがランサムウェア攻撃を受けてもバックアップされた資料を持ってきて使う方法がある。しかし、この方式によっても最近作業したファイルに対する損失は避けられない問題点がある。他の既存方法ではファイルサーバーにアクセスするプロセスを事前に登録しておいてPC内で認可されたプロセスのみ資料に接近可能とすることで、事前に登録されていないプロセスがデータへアクセスする時、これを遮断してランサムウェアプロセスが資料にアクセスできないようにする方法がある。しかし、この方式は認可されたプロセスを事前に登録しなければならない不便さが発生し、随時プログラムが設置される場合、毎回プロセスを煩わしく登録することができない限界点もある。
【0005】
また、最近はランサムウェア自体がPC内で格納されたデータのみを暗号化することではなく、PC全体を暗号化したり、PCにマウントされたディスク全体を暗号化してランサムマネーを要求する事例まで発生しているところ、データ暗号化を防ぐことだけでは十分ではない状況が発生している。
【0006】
さらに、PCのみならずリナックスやユニックスサービスサーバーに格納されている全体データまでに一気に暗号化する攻撃まで発生していて、根本的な代案が必要な状況である。したがって、フィッシングを予防するためにPCやサービスサーバーに生成した暗号化された格納空間が奪取されないようにしながら、ランサムウェアがPCやサービスサーバーで駆動されるとしても、これによる攻撃を遮断することができる新しい技術が必要である。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は別途サーバー管理人力がいなくても安価で、且つ便利な方法でサーバーに保管されたデータ及びバックアップされたデータをランサムウェアから安全に管理することができるサーバー用ランサムウェア攻撃遮断方法及びシステムを提供するためのものである。
【0008】
本発明は使用者端末またはサービスサーバーのデータを流出するための外部からのフィッシング攻撃を予防及び遮断することができる方法及びシステムを提供するためのものである。
【課題を解決するための手段】
【0009】
本発明の一側面によると、ランサムウェア攻撃を遮断するためのサーバー用システムであって、
サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含み、
前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、
前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して、該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理する、ランサムウェア攻撃遮断システムが提供される。
サーバーと物理的に独立された別の格納装置として前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含む、バックアップ用ストレージ装置;及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント;を含み、
前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、
前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して、該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理する、ランサムウェア攻撃遮断システムが提供される。
【0010】
一実施例において、前記バックアップ用ストレージ装置へのデータバックアップは、
前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることができる。
前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることができる。
【0011】
一実施例において、前記バックアップ用ストレージ装置は、
前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令であると確認された場合、該当データ修正命令を拒否処理することができる。
前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令であると確認された場合、該当データ修正命令を拒否処理することができる。
【0012】
一実施例において、前記バックアップ用ストレージ装置は、
前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違うストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理することができる。
前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違うストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理することができる。
【0013】
一実施例において、前記バックアップ用ストレージ装置は、
前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチまたはソフトウェアスイッチを含み、
前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチの動作切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理することができる。
前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチまたはソフトウェアスイッチを含み、
前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチの動作切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理することができる。
【0014】
一実施例において、前記バックアップ用ストレージ装置は、
前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正が可能な状態に切替処理することができる。
前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正が可能な状態に切替処理することができる。
【0015】
一実施例において、前記ロック解除状態への切替は、前記バックアップ用ストレージ装置内にバックアップされたデータ全体に対して行われる一括解除方式及び要請されたバックアップデータに限って行われる選択解除方式の中でいずれか一つが選択可能である。
【0016】
本発明の他の側面によると、フィッシング防止ストレージ装置;使用者端末またはサービスサーバーに取り付けられ、前記使用者端末またはサービスサーバーが前記フィッシング防止ストレージ装置とネットワークを通じてつながって前記フィッシング防止ストレージ装置内の格納領域がネットワークドライブ形態でマウントされた場合、前記フィッシング防止ストレージ装置との連動動作を遂行するエージェントプログラム;を含むフィッシング攻撃防止システムが提供される。
【0017】
ここで、前記使用者端末またはサービスサーバーから前記フィッシング防止ストレージ装置に保管されたファイルに対してオープン要請がある場合、前記フィッシング防止ストレージ装置は、ストレージ動作モードをチェックして、前記ストレージ動作モードがリストオンリーモード(List‐only mode)にあたる場合、オープン要請された原本ファイルではなく偽のファイル(fake file)を生成して、前記使用者端末またはサービスサーバーに偽のファイルが返還されるようにすることができる。
【0018】
一実施例において、前記偽のファイルは、オープン要請された原本ファイルとファイルの容量は同一であるが、ファイル本文がナル値(null value)または未知値(unknown value)で満たされたものである。
【0019】
一実施例において、前記エージェントプログラムは、前記使用者端末またはサービスサーバーにネットワークドライブ形態でマウントされる前記フィッシング防止ストレージ装置内の保管フォルダまたはファイルに関して使用者が編集モードに切替及び終了を選択できるようにする選択情報を提供し、前記ファイルオープン要請が前記編集モードに切替による編集モードで開く要請にあたる場合、前記フィッシング防止ストレージ装置へ前記リストオンリーモードの解除を要請することができる。
【0020】
このとき、前記フィッシング防止ストレージ装置は、前記編集モードで開く要請によって前記リストオンリーモードを解除し、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにする。
【0021】
一実施例において、前記エージェントプログラムは、前記使用者端末またはサービスサーバーから事前に登録された方式による前記リストオンリーモードの解除要請がある場合、前記フィッシング防止ストレージ装置へ前記リストオンリーモードの解除を要請することができる。
【0022】
このとき、前記フィッシング防止ストレージ装置は、前記リストオンリーモードの解除要請によって、前記オープン要請された原本ファイルが前記使用者端末またはサービスサーバーに提供されるようにする。
【0023】
ここで、前記リストオンリーモードの解除は、使用者から事前に登録処理された認証装置を通じる権限者認証を通じて実行されることができる。
【発明の効果】
【0024】
本発明の実施例によるサーバー用ランサムウェア攻撃遮断方法及びシステムによると、別途サーバー管理人力がいなくても安価で、且つ便利な方法でサーバーに保管されたデータ及びバックアップされたデータをランサムウェアから安全に保護することができる効果がある。
【0025】
本発明の実施例によるフィッシング攻撃防止方法及びシステムによると、使用者端末またはサービスサーバーとネットワークでつながって、物理的には独立された別の格納装置として保安政策によってリストオンリーモード(List‐only Mode)で動作可能なフィッシング防止用ストレージ装置を利用することで外部からのフィッシング攻撃を予防及び遮断することができる効果がある。
【図面の簡単な説明】
【0026】
【図1】本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がサーバーにストレージマウントされる過程を示す図面。
【図2】本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がデータバックアップ及びロック処理される過程を示す図面。
【図3】本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がロック処理が解除される過程を示す図面。
【図4】本発明の実施例によるフィッシング攻撃防止方法及びシステムによる基本プロセスとしてリストオンリーモードを説明するための図面。
【図5】本発明の実施例によるリストオンリーモードを解除してファイルを編集可能な状態で開くための方法を説明するための図面。
【図6】本発明の実施例によるリストオンリーモードを解除する過程で追加認証を遂行する方法を説明するための図面。
【図7】ウィンドウズ探索機でフィッシング攻撃防止用ストレージ装置の格納空間がネットワークドライブにマウントされた後、使用者が特定ファイルを「編集モードで開く」または「編集モードに切替」しようとする場合に対する画面例示。
【発明を実施するための形態】
【0027】
【0028】
以下、図1~図3を参照して本発明の一実施例によるランサムウェア攻撃を遮断するサーバー用システムを説明する前に、本発明を理解しやすくするために、本発明の方式と他の方式との間の差を説明すると、以下のとおりである。
【0029】
従来の先行技術の中で「プログラム基盤の読み取り専用ストレージ」具現方式があるが、これはファイル保護政策上、認可されたプログラムであるか否かを判断して、認可されたプログラムであればファイルの修正ができるようにし、そうでない場合は読み取り専用モードのみで動作されるようにする技術である。このようなプログラム基盤の読み取り専用ストレージ具現方式は基本的にファイル単位で命令及び応答が行われるので、ファイル単位の読み取り専用でファイルを提供するようになる。しかし、このようなプログラム基盤の読み取り専用ストレージ具現方式は次のような弱点を持つ。
【0030】
例えば、リナックス運営体制の場合、管理者アカウント(Admin account)が奪取されると、バックアップサーバーに伝達される全ての命令またはトラフィックをハッカー側で閲覧できるようになるので、ハッカーがバックアップサーバーに伝達される命令を見ている途中で認可されたプログラムの指紋価などを奪取してリプレイアタック(すなわち、ハッキングプログラムをその認可されたプログラム名と同一にして、奪取した指紋価をバックアップサーバーに伝達して、まるで正常プログラムのように偽装する攻撃)を実施すれば、前記技術の保安方式が無力化される弱点を持つ。
【0031】
一方、本発明によると、前述したように管理者アカウントが奪取された場合でもハッカーによるランサムウェア攻撃などを遮断させることができる。これに対しては、後述する本発明に関する説明から明確に理解されることができる。
【0032】
他の方式として、「ファイル生成時間による読み取り専用ストレージ」具現方式がある。これは自社で出願した韓国特許出願第10‐2018‐0029490号による方式であって、ファイルを読む専用のみで提供することを基本にするが、新規ファイルの生成が必要な場合に限って該当ファイルの生成要請時点を基準にして所定時間(すなわち、ファイル生成有効時間範囲)内で該当ファイルの生成を許容する技術であり、これもファイル単位を基本単位にして動作する。
【0033】
ただし、上述したファイル生成時間基盤の読み取り専用ストレージ具現方式の場合も場合によって次のような保安上弱点が表れる。すなわち、ファイル生成過程でアップロードされるファイルのサイズ(容量)が小さいファイルは問題にならないが、サイズが大きいファイルのバックアップの場合、前記ファイル生成有効時間の範囲を長く与えなければならないが、このように時間を長い間開いておくと、その間外部攻撃へ露出される可能性が大きくなる。例えば、バックアップの場合、格納の効率を高めるために一つのファイル単位でバックアップするのではなく、TarやZIPフォーマットで一つのファイルにしてバックアップするようになるが、ファイルのサイズが大きすぎるとファイルの修正可能時間を充分長く与えなければならないためである。
【0034】
上述した問題点を改善するために、本発明の実施例では「命令語基盤の読み取り専用ストレージ」具現方式を提案する。このような命令語基盤の読み取り専用ストレージ具現方式は、バックアップ命令、ロック命令、ロック解除命令によって実行され、この時のバックアップ/ロック/ロック解除はファイル単位でも動作されることはもちろん、フォルダ単位でも動作されることができる。したがって、特定ファイルに対する修正要請がある場合も該当ファイルの経路にしたがって該当ファイルを保管しているフォルダ(該当フォルダの上位フォルダまで拡張される)がロック状態である場合は、該当ファイルに関する修正要請が拒否される。
【0035】
このようなバックアップ/ロック/ロック解除命令はリナックス運営体制による時、次のような命令語にしたがう命令構造が活用されることができる。
【0036】
バックアップ命令の例
User>mount 192.10.1.1 localhost\backup
(Mkdir \backup\websource_backup_20190805)
Copy/Backup ‘\websource’ ‘\backup\websource_backup_20190805’
ロック命令の例
freeze \backup\websource_backup_20190805
ロック解除命令の例
Melt \backup\websource_backup_20190805 (OTP 201023)
上述したように、ロック解除命令の場合、ワンタイムパスワード(OTP)による認証をさらに要求することもできる。
User>mount 192.10.1.1 localhost\backup
(Mkdir \backup\websource_backup_20190805)
Copy/Backup ‘\websource’ ‘\backup\websource_backup_20190805’
ロック命令の例
freeze \backup\websource_backup_20190805
ロック解除命令の例
Melt \backup\websource_backup_20190805 (OTP 201023)
上述したように、ロック解除命令の場合、ワンタイムパスワード(OTP)による認証をさらに要求することもできる。
【0037】
上述したように、本発明の方式によると、バックアップされた資料をとても単純なコンソールコマンド(Console command)で特定フォルダ以下の全てのファイル及びフォルダをロック処理して読み取り専用モードに変えることができる。
【0038】
本発明の実施例による命令語基盤の読み取り専用ストレージ具現方式によると、一般的にマウントされているドライブにファイルを要請する場合、該当要請にファイルを保管するフォルダの経路も含まれるが、このようにファイル及びフォルダ経路を基準にして修正要請を制限すると非常に効率的な保安管理が可能となり、またフォルダを基準にして保安管理をするようになると個別ファイル別に不要なメタデータ管理(前述した生成時間基盤の読み取り専用ストレージ具現方式の場合、生成時間対比現在要請時間の差、前述したプログラム基盤の読み取り専用ストレージ具現方式の場合、該当プログラムの属性情報、指紋価など)を省略することができる利点がある。
【0039】
【0040】
本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムは、サーバーと物理的に独立された別個の格納装置であって、前記サーバー内の保管データをバックアップするための用途を持ち、前記サーバーとの通信接続を可能とする通信インターフェースを含むバックアップ用ストレージ装置(図1~図3の「Mega Storage」参照、以下同一である);及び前記サーバー内に取り付けられて前記バックアップ用ストレージ装置との通信を仲介するサービスエージェント(図1~図3の「Mega connector」参照、以下同一である);を含む。
【0041】
本発明のランサムウェア攻撃を遮断するためのサーバー用システムにおいて、前記バックアップ用ストレージ装置は、ネットワーク及び直接連結可能な一般的なストレージと同じ環境を提供する。すなわち、NAS、DAS、SANなどでつながった一般的なストレージのようにmount/unmountを提供し、運営体制のI/Oをそのまま提供することでrsyncのような多様なバックアップユーティリティ及びツールが動作するに問題ないように具現される。
【0042】
また、サービスエージェントは、その設置段階で運営体制のサービスレベルで駆動されることができたり、運営体制のプログラム実行環境パスを登録させて、どの位置でも駆動されることができるように取り付けられることができる。
【0043】
本発明の実施例によると、前記バックアップ用ストレージ装置が前記サーバーにストレージマウントされた状態で、前記サーバー内の保管データに関する前記バックアップ用ストレージ装置へのデータバックアップが処理された以後、前記バックアップ用ストレージ装置にバックアップ処理されたバックアップデータに関するロック命令がある場合、前記バックアップ用ストレージ装置は前記ロック命令にしたがって該当バックアップデータをロック処理して該当ロック処理されたバックアップデータが修正不可能な読み取り専用モードのみで提供されるように処理するようになるが、これに関しては以下で詳しく説明する。
【0044】
本発明の実施例によると、前記バックアップ用ストレージ装置へのデータバックアップは、前記サーバー内の保管データに関するバックアップ命令が行われた場合に限って、前記サービスエージェントが前記サーバーに受信されたバックアップ命令を前記バックアップ用ストレージ装置に伝達し、前記バックアップ用ストレージ装置が受信されたバックアップ命令にしたがって該当保管データをバックアップすることで処理されることができる。以下、これに関して図1を参照して説明する。ここで、図1は本発明の実施例によるランサムウェア攻撃を遮断するためのサーバー用システムにおいて、バックアップ用ストレージ装置がサーバーにストレージマウントされる過程を示す図面である。
【0045】
図1を参照すると、バックアップ用ストレージ装置(Mega Storage)は実際に格納装置を内蔵してHybrid WORMプログラムを搭載したデバイスまたはサーバー装置を意味し、サービスエージェント(Mega Connector)は顧客サービスサーバーに取り付けられてバックアップ用ストレージ装置(Mega Storage)と通信するモジュールである。
【0046】
使用者が自社サービスサーバーの資料をバックアップするためには、バックアップ用ストレージ装置(Mega Storage)を自社サービスサーバーにマウント(mount)しなければならない。使用者のマウント(mount)要請はサービスエージェント(Mega Connector)が受けて処理し、ストレージマウント(mount)に係わる運営体制の各種I/Oはサービスエージェント(Mega Connector)がバックアップ用ストレージ装置(Mega Storage)を通じて処理した後、結果を運営体制に返還する方式で処理される。
【0047】
図1の例では/mediaというフォルダの下にbackupという新しいフォルダにバックアップ用ストレージ装置(Mega Storage)がマウントされる例を示す。
【0048】
また、図2はバックアップ用ストレージ装置がデータバックアップ及びロック処理される過程を示す図面である。
【0049】
本発明の実施例において、前記バックアップ用ストレージ装置は、前記サーバーに受信されたデータ修正命令が前記サービスエージェントから伝達された場合、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータに関するものであるか否かを確認し、前記ロック処理されたバックアップデータに関するデータ修正命令と確認された場合、該当データ修正命令を拒否処理する。
【0050】
図2を参照すれば、使用者が/websourceの資料を/media/backup/websource/20180101にバックアップした後(図2の(a)参照)、ロック(lock、これはサービスエージェント(Mega Connector)が提供)を要請すると、バックアップ用ストレージ装置(Mega Storage)は該当フォルダをロック処理することで、以後は読み取り専用モード(read only mode)のみで動作されるようにする(図2の(b)及び(c)参照)。
【0051】
この時、/media/backup/websource/20180101フォルダは、リナックス運営体制の場合mkdirのような命令で生成することができる。
【0052】
また、ロック処理されたフォルダの情報はバックアップ用ストレージ装置(Mega Storage)の非揮発性メモリ(データベースなど)に格納されて、バックアップ用ストレージ装置(Mega Storage)への電源供給が中断されてもデータが維持される。
【0053】
以後、使用者またはランサムウェア(Ransomware)を含む任意のプロセッサによって/media/backup/websource/20180101に対するデータ修正要請(例えば、write file、modify file、move file、delete fileなど)はいずれも拒否処理される。
【0054】
また、他の実施例によると、前記バックアップ用ストレージ装置は、前記データ修正命令のターゲットデータが前記ロック処理されたバックアップデータである場合、前記ロック処理されたバックアップデータが前記サーバーとは違う他のストレージ装置にストレージマウントされる場合も前記他のストレージ装置から受信される該当バックアップデータに関するデータ修正命令を拒否処理し、該当バックアップデータが読み取り専用モードのみで提供されるように処理することができる。
【0055】
すなわち、ロック処理されたフォルダの情報はバックアップ用ストレージ装置(Mega Storage)の格納場所基準経路で設定(図1の例では/websource/20180101)になるし、バックアップ用ストレージ装置(Mega Storage)が他の装置に違う経路(例えば、/media/data)にマウントされても/media/data/websource/20180101は依然として読み取り専用のみでアクセスできるように具現されることができる。
【0056】
図3はバックアップ用ストレージ装置がロック処理解除される過程を示す図面である。
【0057】
本発明の実施例において、前記バックアップ用ストレージ装置は、前記バックアップデータに設定されたロック処理状態を解除するためのハードウェアスイッチ(例えば、バックアップ用ストレージ装置に備えられたロック設定及び解除用ハードウェアボタンなど)またはソフトウェアスイッチを含むことができる。これによって、前記ロック処理されたバックアップデータに対するロック解除命令が前記サービスエージェントを通じて伝達される場合も、前記ハードウェアスイッチまたは前記ソフトウェアスイッチ動作の切替を通じてロック解除状態への切替が行われていない場合は前記ロック解除命令を拒否処理することができる(図3の(d)参照)。
【0058】
これによって、前記バックアップ用ストレージ装置は、前記ハードウェアスイッチまたは前記ソフトウェアスイッチを通じて前記ロック解除状態への切替が行われた場合、ロック処理状態による前記バックアップデータに関する読み取り専用モードを解除して該当バックアップデータをデータ修正可能な状態に切替処理することができる(図3の(e)及び(f)参照)。
【0059】
この時、前記ロック解除状態への切替は、前記バックアップ用ストレージ装置内にバックアップされたデータ全体に対して行われる一括解除方式及び要請されたバックアップデータに限って行われる選択解除方式の中でいずれか一つが選択可能である。
【0060】
上述したように、本発明では、基本的に一度ロック処理されたフォルダ及びそれ以下のファイル及びフォルダに対しては読み取り専用のみで接近可能であり、使用者による任意のロック解除は不可能となるように具現されることができる。しかし、ロック処理されたフォルダが増加すると、バックアップ用ストレージ装置(Mega Storage)の書き込み可能な領域は減り続ける。したがって、ストレージを再度使用できるようにロック解除することができる機能を備えておかなければならないが、本発明のバックアップ用ストレージ装置(Mega Storage)ではハードウェアスイッチ(physical switch(the protect switch))またはソフトウェアスイッチをオフ(off)する動作によってロック解除が処理される。このように該当スイッチ(The protect switch)がオフ(off)されている間は特定フォルダをロック解除処理したり、バックアップ用ストレージ装置(Mega Storage)全体をロック解除処理することが可能である。もちろんハードウェアスイッチ及びソフトウェアスイッチのオン/オフ方式以外にもOTP(one time password)を利用したオン/オフ(すなわち、ロック及びロック解除)方式も適用可能である。
【0061】
上述したようなロック及びロック解除方式と係わって、次のような多様な方式がさらに存在することができる。以下、これに関する多様な実施例を説明する。
【0062】
本発明の一実施例によると、バックアップ用ストレージ装置のロック処理は事前に指定されたロック命令(ex.freeze命令語を利用したロック命令)が受動入力されないと実行できない(すなわち、読み取り専用に変更する)方式によることもできるが、所定条件によって自動で実行されるようにすることもできる。一例として、使用者端末に設置されたクライアントプログラムから該当ネットワークドライブに入ってくるファイルイベントがファイル/フォルダ生成イベント(ex.createイベント)である場合は該当ファイルの生成を許容し、該当ファイル/フォルダの終了イベント(ex.closeイベント)が入ってくると自動で該当ファイル/フォルダに関するロック処理を実行する方式が適用されることもできる。
【0063】
ここで、ファイルハンドル(File handle)をクローズ(close)するI/O eventを発生させるC関数では、ウィンドウズOSによると、以下の2つのC関数が代表的に利用されることができる。
int fclose(FILE *stream)
BOOL CloseHandle(HANDLE hObject)
また、ここで、ファイルハンドル(File handle)をクローズ(close)するI/O eventを発生させるC関数では、Linux/Unix OSによると、以下のようなC関数が代表的に利用されることができる。
int close(int fd)
前記のようにファイルハンドル(File handle)を閉じるAPIをプログラムが呼び出すと、ファイルハンドル(File handle)をクローズ(close)するI/O eventが発生し、このイベント(event)はファイルシステム(File System)に伝達される。この場合、WindowsはCallback
File System(File System Driver)によってこのI/Oが感知され、Linuxはヒューズ(FUSE)を通じてこのI/Oが感知されることができる。
int fclose(FILE *stream)
BOOL CloseHandle(HANDLE hObject)
また、ここで、ファイルハンドル(File handle)をクローズ(close)するI/O eventを発生させるC関数では、Linux/Unix OSによると、以下のようなC関数が代表的に利用されることができる。
int close(int fd)
前記のようにファイルハンドル(File handle)を閉じるAPIをプログラムが呼び出すと、ファイルハンドル(File handle)をクローズ(close)するI/O eventが発生し、このイベント(event)はファイルシステム(File System)に伝達される。この場合、WindowsはCallback
File System(File System Driver)によってこのI/Oが感知され、Linuxはヒューズ(FUSE)を通じてこのI/Oが感知されることができる。
【0064】
また、特定アプリケーション(Application)がファイルハンドル(File Handle)を開いたまま終了すると、一般的にOSによって強制的にオープンされたファイルハンドル(File Handle)がクローズされ、この時も同じevent I/Oが発生する。
【0065】
前記説明した関数は、C言語で使用するものであり、各言語別にファイルハンドルを閉じる関数が別に存在する。該当関数は全てファイルシステム(File System)でファイルハンドル(File handle)をクローズ(Close)するイベント(Event)を発生させる。
【0066】
また、以上ではハードウェアスイッチなどを利用したオン/オフ選択を通じてバックアップ用ストレージ装置に保管されたデータをフォルダ単位で読み取り専用化したり、読み取り専用を解除する方式を主に説明したが、システム設計方式によって上述したようにファイルの終了イベントを感知して自動で読み取り専用モードに変更する方式を採用し、ハードウェアスイッチなどがオンになった状態では該当ディスクの初期化命令がある場合もディスク初期化が動作されない方式が適用されることもできる。
【0067】
【0068】
以下、図4~図8を参照して本発明の他の実施例によるフィッシング攻撃を遮断するサーバー用システムを説明する前に、本発明を理解しやすくするために、本発明の方式と他の方式の間の差を説明すると、以下のとおりである。
【0069】
従来の先行技術によると、ハッカーによる悪性プログラムが知らず知らずのうちに設置されることによってPCなどの使用者端末、サービスサーバーに保管されたデータの流出及び改作を防ぐために、ファイル保安政策上、保安が必要なファイルを保安格納領域に別途保管する方式を利用したり、認可されたプログラムに限ってファイルを編集できるように許容する方式を利用したり、または読み取り専用ストレージで構成して読み取り専用モードのみでファイルを開くことができるように許容する方式などが利用されてきた。
【0070】
しかし、保安格納領域に別途保管する方式と、認可されたプログラムに限ってファイル編集を許容する方式は、運営体制の管理者アカウント(Admin account)が奪取されると同時に無力化される脆弱性を持つ。前記のように管理者アカウントが奪取される場合、入出力される全ての命令またはトラフィックをハッカー側で閲覧することができるようになるので、ハッカーが該当入出力命令を見ている途中で認可されたプログラムの指紋価などを奪取してリプレイアタック(すなわち、ハッキングプログラムをその認可されたプログラム名と同一にして、奪取した指紋価をバックアップサーバーに伝達して、まるで正常なプログラムのように偽装する攻撃)などを実施すれば、前記技術の保安方式が無力化される。
【0071】
また、読み取り専用ストレージで構成して読み取り専用モードのみでファイルを開くことができるように許容する方式の場合も、ランサムウェア攻撃(ransomware attack)には強いが、読み取り専用で開かれたファイルの内容をキャプチャーするなどの方式でデータ流出が可能であるため、フィッシング攻撃に無力化される可能性がある。
【0072】
上述した問題点を改善するために、本発明の実施例では「リストオンリーモード(List‐only Mode)」として基本動作する物理的に独立された別のストレージ装置(以下、フィッシング攻撃防止ストレージ装置と命名する)を利用することで上述したような脆弱性問題を改善し、フィッシング攻撃によるデータ流出を防ぐことができる方法を提案する。
【0073】
以下、添付された図面を参照して本発明の実施例を順次詳しく説明する。
【0074】
図4は、本発明の実施例によるフィッシング攻撃防止方法及びシステムによる基本プロセスとしてリストオンリーモードを説明するための図面である。
【0075】
本明細書では説明の便宜及び集中のために、PCのような使用者端末がフィッシング攻撃防止ストレージ装置とネットワークでつながってフィッシング攻撃防止ストレージ装置全体の格納領域または特定格納領域が使用者端末にネットワークドライブ形態でマウントされる場合を中心として説明する。ただし、本発明はリナックスやユニックスシステム基盤のサービスサーバーが前記フィッシング攻撃防止ストレージ装置の格納領域をマウントして使用する場合も同様に適用されることができることは自明である。
【0076】
図4を参照すれば、使用者がList‐only状態のファイルをファイル探索機を通じて開くことを試みると、ファイル探索機は該当ファイルの拡張子を処理する基本プログラム(例えば、docx拡張子を処理する基本プログラムWINWORD.EXE)を実行した後、ファイル情報を伝達する。基本プログラムは運営体制を通じてファイルの読み取りを要請し、これはファイルシステムドライバー(File system driver)として動作するエージェントプログラム(以下、これをファイリングボックスミニアプリケーションと称する)を経てフィッシング攻撃防止ストレージ装置(以下、これをファイリングボックスミニ装置と称する)に伝達される。
【0077】
ファイリングボックスミニ装置は要請されたファイルのList‐Onlyモードをチェックして(List‐Onlyモードの場合)偽の資料を返還し、これは基本プログラムに提供される。これによって使用者は最終的に偽の資料を持つ文書を見たり、偽の資料によって基本プログラムが発生させた誤謬を確認するようになる。
【0078】
前記偽のファイルは、オープン要請された原本ファイルとファイル容量は同一であるが、ファイル本文がナル値(null value)または何の意味も分からない未知値(unknown value)で満たされることができる。
【0079】
図5は、本発明の実施例によるリストオンリーモードを解除してファイルを編集可能な状態で開くための方法を説明するための図面である。
【0080】
図5を参照すれば、使用者がファイル探索機で特定ファイルを選択した後、マウスの右ボタンをクリックしてファイル探索機のシェルエクステンション(Shell Extension)のContext Menuをポップアップした後「編集モードで開く」メニューを選択すると、ファイル探索機はファイリングボックスミニアプリケーションに該当ファイルのList‐Onlyモード解除を要請し、ファイリングボックスミニアプリケーションはこの要請をファイリングボックスミニ装置に遂行させる。該当ファイルのList‐Onlyモードが正常に解除されると、ファイル探索機は該当ファイルの拡張子を処理する基本プログラムを実行した後でファイル情報を伝達し、基本プログラムは運営体制、ファイリングボックスミニアプリケーションを経てファイリングボックスミニ装置から原本資料を読み込んで処理する。
【0081】
図6は、本発明の実施例によるリストオンリーモードを解除する過程で追加認証を遂行する方法を説明するための図面である。
【0082】
図6を参照すれば、使用者が特定ファイルを使用可能な形態で開こうとする時、追加OTP認証を経て該当ファイルのList‐Onlyモードを解除する過程である。
【0083】
使用者は自分のOTP装置(モバイルなど)をファイリングボックスミニ装置に最初一回登録しなければならない。
【0084】
使用者はファイリングボックスミニアプリケーションを通じて自分のIDとともに装置登録を要請し、要請を伝達してもらったファイリングボックスミニ装置は内部の装置認証部に該当使用者IDで使用する新規TOTP Parameterの生成及び登録を要請する。正常に装置認証部に登録されたTOTP Parameterはファイリングボックスミニアプリケーションに伝達されて使用者に露出される。使用者は該当TOTP Parameterを自分のOTP装置に登録すれば初期OTP装置登録過程が完了される。
【0085】
以後、使用者がファイル探索機で特定ファイルを選択した後、マウスの右ボタンをクリックしてファイル探索機(Shell Extension)のContext Menuをポップアップした後「編集モードで開く」メニューを選択すると、ファイリングボックスミニアプリケーションはファイリングボックスミニ装置から認証政策を照会してOTP認証が必要であることを認知して使用者にTOTP値を要請する。使用者は自分のOTP装置からTOTP値を得てファイリングボックスミニ装置に提供し、この値を伝達してもらったファイリングボックスミニ装置は内部の装置認証部に認証を要求する。認証が成功的に行われると、ファイリングボックスミニ装置は該当ファイルのList‐Onlyモードを解除して使用可能な状態に変更する。
【0086】
ここで、図7はウィンドウズ探索機でフィッシング攻撃防止用ストレージ装置の格納空間がネットワークドライブにマウントされた後、使用者が特定ファイルを「編集モードで開く」または「編集モードに切替」しようとする場合に関する画面の例示で、図8は図7の編集モードが解除されるようにする時、編集モード終了命令を伝送することができるようにする実施画面の例示である。
【0087】
また、上述した編集モードに切替または/及び編集モード終了の処理は単位ファイル単位で行われることもできるが、場合によってはファイル駆動上必要な範囲内で、あるいは設定された範囲内で複数のファイルで同時に行われることもできる。一例として、CADやソフトウェア開発ツールの場合のように、下位フォルダを持っている参照ファイルを同時にアクセスして使わなければならない必要がある場合は、いずれか一つのファイルに関する編集モードに切替/終了操作によっても、これと係わる該当下位フォルダ全体または下位フォルダ内の参照ファイルを一緒に編集モードに切替/終了処理することもできる。
【0088】
以上、本発明の実施例を参照して説明したが、該当技術分野で通常の知識を有する者であれば下記の特許請求の範囲に記載された本発明の思想及び領域から脱しない範囲内で本発明を多様に修正及び変更させることができることを容易に理解することができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
