ホーム > 特許ランキング > 株式会社セキュアブレイン
知財求人 - 知財ポータルサイト「IP Force」
特開2024-43643IoTマルウェア防御システム、及びIoTマルウェア防御処理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024043643
(43)【公開日】2024-04-02
(54)【発明の名称】IoTマルウェア防御システム、及びIoTマルウェア防御処理方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20240326BHJP
【FI】
G06F21/56
【審査請求】未請求
【請求項の数】16
【出願形態】OL
(21)【出願番号】P 2022148742
(22)【出願日】2022-09-20
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和2年度、総務省、「電波資源拡大のための研究開発(JPJ000254)」における委託研究「電波の有効利用のためのIoTマルウェア無害化/無機能化技術等に関する研究開発」、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】504377367
【氏名又は名称】株式会社セキュアブレイン
(74)【代理人】
【識別番号】100130111
【弁理士】
【氏名又は名称】新保 斉
(72)【発明者】
【氏名】三須 剛史
(72)【発明者】
【氏名】高田 一樹
(72)【発明者】
【氏名】石田 裕貴
(72)【発明者】
【氏名】岩本 一樹
(57)【要約】
【課題】 IoTデバイスを標的にしたマルウェアからIoTデバイス等を防御する技術を提供すること。
【解決手段】 IoTデバイス21を標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御システム1であって、IoTデバイス21から不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段10と、悪性通信検知手段10によって少なくとも悪性通信が検知された時に、不正サーバ装置31の代わりに応答する疑似モジュール12に悪性通信を転送する疑似モジュール転送手段11と、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、応答内容定義情報に従って応答内容をIoTデバイス21に送信する疑似モジュール12と、通信ネットワークとを有することを特徴とするIoTマルウェア防御システムを提供する。
【選択図】 図1
【解決手段】 IoTデバイス21を標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御システム1であって、IoTデバイス21から不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段10と、悪性通信検知手段10によって少なくとも悪性通信が検知された時に、不正サーバ装置31の代わりに応答する疑似モジュール12に悪性通信を転送する疑似モジュール転送手段11と、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、応答内容定義情報に従って応答内容をIoTデバイス21に送信する疑似モジュール12と、通信ネットワークとを有することを特徴とするIoTマルウェア防御システムを提供する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
IoTデバイスを標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御システムであって、
IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、
該悪性通信検知手段によって少なくとも該悪性通信が検知された時に、該不正サーバ装置の代わりに応答する疑似モジュールに該悪性通信を転送する疑似モジュール転送手段と、
該悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、該応答内容定義情報に従って応答内容をIoTデバイスに送信する該疑似モジュールと、
通信ネットワークと
を有することを特徴とするIoTマルウェア防御システム。
IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、
該悪性通信検知手段によって少なくとも該悪性通信が検知された時に、該不正サーバ装置の代わりに応答する疑似モジュールに該悪性通信を転送する疑似モジュール転送手段と、
該悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、該応答内容定義情報に従って応答内容をIoTデバイスに送信する該疑似モジュールと、
通信ネットワークと
を有することを特徴とするIoTマルウェア防御システム。
【請求項2】
前記IoTマルウェア防御システムにおいて、前記IoTデバイスを含む監視対象ネットワークと、外部ネットワークとの間の通信を中継可能な中継装置を備え、
前記悪性通信検知手段によって悪性通信が検知された時には、前記疑似モジュール転送手段がルーティング変更の処理を行うことで該中継装置が前記不正サーバ装置への悪性通信を前記疑似モジュールに転送する
請求項1に記載のIoTマルウェア防御システム。
前記悪性通信検知手段によって悪性通信が検知された時には、前記疑似モジュール転送手段がルーティング変更の処理を行うことで該中継装置が前記不正サーバ装置への悪性通信を前記疑似モジュールに転送する
請求項1に記載のIoTマルウェア防御システム。
【請求項3】
前記IoTマルウェア防御システムにおいて、
前記悪性通信検知手段を備える悪性通信検知装置と、
前記疑似モジュール転送手段を備える疑似モジュール転送装置と
前記疑似モジュールを備える疑似モジュールサーバ装置と
を備え、
前記中継装置において、前記監視対象ネットワークからの通信を、該悪性通信検知装置にミラーリングし、
該悪性通信検知装置は、悪性通信が検知された時に、該疑似モジュール転送装置に通知を行い、
該疑似モジュール転送装置は、該中継装置に該疑似モジュールサーバ装置へのルーティング変更指示を送信する
請求項2に記載のIoTマルウェア防御システム。
前記悪性通信検知手段を備える悪性通信検知装置と、
前記疑似モジュール転送手段を備える疑似モジュール転送装置と
前記疑似モジュールを備える疑似モジュールサーバ装置と
を備え、
前記中継装置において、前記監視対象ネットワークからの通信を、該悪性通信検知装置にミラーリングし、
該悪性通信検知装置は、悪性通信が検知された時に、該疑似モジュール転送装置に通知を行い、
該疑似モジュール転送装置は、該中継装置に該疑似モジュールサーバ装置へのルーティング変更指示を送信する
請求項2に記載のIoTマルウェア防御システム。
【請求項4】
前記IoTマルウェア防御システムにおいて、
前記悪性通信検知手段と、前記疑似モジュール転送手段とを有する中継装置と、
前記疑似モジュールを備える疑似モジュールサーバ装置とを備え、
該悪性通信検知手段は、悪性通信が検知された時に、該疑似モジュール転送手段に通知を行い、
該疑似モジュール転送手段は、該悪性通信を該疑似モジュールサーバ装置へのルーティング変更する
請求項2に記載のIoTマルウェア防御システム。
前記悪性通信検知手段と、前記疑似モジュール転送手段とを有する中継装置と、
前記疑似モジュールを備える疑似モジュールサーバ装置とを備え、
該悪性通信検知手段は、悪性通信が検知された時に、該疑似モジュール転送手段に通知を行い、
該疑似モジュール転送手段は、該悪性通信を該疑似モジュールサーバ装置へのルーティング変更する
請求項2に記載のIoTマルウェア防御システム。
【請求項5】
前記疑似モジュール転送手段は、ルーティング変更の処理を行う場合、
合わせて前記IoTデバイスと前記不正サーバ装置との通信を破棄する
請求項3又は4に記載のIoTマルウェア防御システム。
合わせて前記IoTデバイスと前記不正サーバ装置との通信を破棄する
請求項3又は4に記載のIoTマルウェア防御システム。
【請求項6】
前記疑似モジュール転送手段において、
複数の種類の中継装置の各々に対応するルーティング変更指示コマンドを操作するプログラムを用意し、
ルーティング変更指示を行う対象の中継装置に応じて、ルーティング変更指示コマンドを操作するプログラムを入れ替える
請求項3に記載のIoTマルウェア防御システム。
複数の種類の中継装置の各々に対応するルーティング変更指示コマンドを操作するプログラムを用意し、
ルーティング変更指示を行う対象の中継装置に応じて、ルーティング変更指示コマンドを操作するプログラムを入れ替える
請求項3に記載のIoTマルウェア防御システム。
【請求項7】
前記悪性通信検知手段は、前記悪性通信の通信内容に基づく検知ルールを備え、該検知ルールに基づいて悪性通信か否かの検知を行う
請求項3又は4に記載のIoTマルウェア防御システム。
請求項3又は4に記載のIoTマルウェア防御システム。
【請求項8】
前記応答内容は、IoTマルウェアの終了信号である、
請求項3又は4に記載のIoTマルウェア防御システム。
請求項3又は4に記載のIoTマルウェア防御システム。
【請求項9】
前記悪性通信検知手段において、予め通信を許可する許可アドレスリストを保持し、
前記IoTデバイスからの通信の送信先アドレスが、該許可アドレスリストに含まれていない場合には、悪性通信と見なして前記疑似モジュールに転送する
請求項4に記載のIoTマルウェア防御システム。
前記IoTデバイスからの通信の送信先アドレスが、該許可アドレスリストに含まれていない場合には、悪性通信と見なして前記疑似モジュールに転送する
請求項4に記載のIoTマルウェア防御システム。
【請求項10】
IoTデバイスを標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御処理方法であって、
悪性通信検知手段が、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知ステップ、
疑似モジュール転送手段が、該悪性通信検知ステップにおいて少なくとも該悪性通信が検知された時に、該不正サーバ装置の代わりに応答する疑似モジュールに該悪性通信を転送する疑似モジュール転送ステップ、
疑似モジュールが、該悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、該応答内容定義情報に従って応答内容をIoTデバイスに送信する該疑似応答ステップ、
を有することを特徴とするIoTマルウェア防御処理方法。
悪性通信検知手段が、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知ステップ、
疑似モジュール転送手段が、該悪性通信検知ステップにおいて少なくとも該悪性通信が検知された時に、該不正サーバ装置の代わりに応答する疑似モジュールに該悪性通信を転送する疑似モジュール転送ステップ、
疑似モジュールが、該悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、該応答内容定義情報に従って応答内容をIoTデバイスに送信する該疑似応答ステップ、
を有することを特徴とするIoTマルウェア防御処理方法。
【請求項11】
前記IoTマルウェア防御処理方法において、前記IoTデバイスを含む監視対象ネットワークと、外部ネットワークとの間の通信を中継可能な中継装置を用い、
前記悪性通信検知手段によって悪性通信が検知された時には、前記疑似モジュール転送手段がルーティング変更の処理を行うことで、該中継装置が前記不正サーバ装置への悪性通信を前記疑似モジュールに転送する
請求項10に記載のIoTマルウェア防御処理方法。
前記悪性通信検知手段によって悪性通信が検知された時には、前記疑似モジュール転送手段がルーティング変更の処理を行うことで、該中継装置が前記不正サーバ装置への悪性通信を前記疑似モジュールに転送する
請求項10に記載のIoTマルウェア防御処理方法。
【請求項12】
前記悪性通信検知手段を備える悪性通信検知装置と、
前記疑似モジュール転送手段を備える疑似モジュール転送装置と
前記疑似モジュールを備える疑似モジュールサーバ装置とを用い、
前記中継装置が、前記監視対象ネットワークからの通信を、該悪性通信検知装置にミラーリングするステップ、
該悪性通信検知装置が、悪性通信が検知された時に、該疑似モジュール転送装置に通知するステップ、
該疑似モジュール転送装置が、該中継装置に該疑似モジュールサーバ装置へのルーティング変更指示を送信するステップ
を含む請求項11に記載のIoTマルウェア防御処理方法。
前記疑似モジュール転送手段を備える疑似モジュール転送装置と
前記疑似モジュールを備える疑似モジュールサーバ装置とを用い、
前記中継装置が、前記監視対象ネットワークからの通信を、該悪性通信検知装置にミラーリングするステップ、
該悪性通信検知装置が、悪性通信が検知された時に、該疑似モジュール転送装置に通知するステップ、
該疑似モジュール転送装置が、該中継装置に該疑似モジュールサーバ装置へのルーティング変更指示を送信するステップ
を含む請求項11に記載のIoTマルウェア防御処理方法。
【請求項13】
前記悪性通信検知手段と、前記疑似モジュール転送手段とを有する中継装置と、
前記疑似モジュールを備える疑似モジュールサーバ装置とを用い、
該悪性通信検知手段が、悪性通信が検知された時に、該疑似モジュール転送手段に通知するステップ、
該疑似モジュール転送手段が、該悪性通信を該疑似モジュールサーバ装置へのルーティング変更するステップ
を含む請求項11に記載のIoTマルウェア防御処理方法。
前記疑似モジュールを備える疑似モジュールサーバ装置とを用い、
該悪性通信検知手段が、悪性通信が検知された時に、該疑似モジュール転送手段に通知するステップ、
該疑似モジュール転送手段が、該悪性通信を該疑似モジュールサーバ装置へのルーティング変更するステップ
を含む請求項11に記載のIoTマルウェア防御処理方法。
【請求項14】
前記疑似モジュール転送手段が、ルーティング変更の処理を行う場合、
合わせて前記IoTデバイスと前記不正サーバ装置との通信を破棄する
請求項12又は13に記載のIoTマルウェア防御処理方法。
合わせて前記IoTデバイスと前記不正サーバ装置との通信を破棄する
請求項12又は13に記載のIoTマルウェア防御処理方法。
【請求項15】
前記悪性通信検知手段において、予め通信を許可する許可アドレスリストを保持し、
前記IoTデバイスからの通信の送信先アドレスが、該許可アドレスリストに含まれていない場合には、悪性通信と見なして前記疑似モジュールに転送する
請求項13に記載のIoTマルウェア防御処理方法。
前記IoTデバイスからの通信の送信先アドレスが、該許可アドレスリストに含まれていない場合には、悪性通信と見なして前記疑似モジュールに転送する
請求項13に記載のIoTマルウェア防御処理方法。
【請求項16】
IoTデバイスを含む監視対象ネットワークと、外部ネットワークとの間の通信を中継可能な中継装置であって、
IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、
該悪性通信検知手段によって少なくとも該悪性通信が検知された時に、該不正サーバ装置の代わりに応答する疑似モジュールに該悪性通信を転送する疑似モジュール転送手段とを備え、
IoTデバイスを標的とするIoTマルウェアの不正動作を防御する
ことを特徴とする中継装置。
IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、
該悪性通信検知手段によって少なくとも該悪性通信が検知された時に、該不正サーバ装置の代わりに応答する疑似モジュールに該悪性通信を転送する疑似モジュール転送手段とを備え、
IoTデバイスを標的とするIoTマルウェアの不正動作を防御する
ことを特徴とする中継装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IoTデバイスを標的にしたマルウェアからIoTデバイス等を防御するための IoTマルウェア防御システム、及びIoTマルウェア防御処理方法に関する。
【背景技術】
【0002】
近年、世界的にIoTデバイスの利用が進んでいる。IoT(Internet of Things)は従前ではインターネットに接続されていなかった様々な「モノ」をIoTサーバに接続して相互に情報交換をする仕組みであり、例えば家電製品や電子機器、住宅設備、車、センサーなどをインターネットに接続するシステムが提供されている。
【0003】
IoTは一般的なコンピュータやスマートフォンよりもさらに日常的な機器に導入されているため、IoTデバイスは、管理者の認識不足や機器スペックの問題などから基本的なセキュリティ対策すら講じられていない機器が存在しているのが実情である。
このように脆弱なIoTデバイスを標的に、IoTマルウェアを感染させてBOT化し、大規模なDDoS攻撃が引き起こされるといった事例が発生している。
このように脆弱なIoTデバイスを標的に、IoTマルウェアを感染させてBOT化し、大規模なDDoS攻撃が引き起こされるといった事例が発生している。
【0004】
IoTデバイスに感染するIoTマルウェアとしては、mirai、bashlite、tsunamiなどが知られており、多くは不正な動作を引き起こす不正サーバ(C&Cサーバ)と通信を行うことが特徴として挙げられる。攻撃者は、C&C(Command & Control) サーバを介して多様なコマンドを送信して、IoTマルウェアを操作し、BOTと化したIoTデバイスを用いてサイバー攻撃等の不正な挙動を生じさせる。
【0005】
本件発明者らによる提案としては、非特許文献1が挙げられる。
本文献では、C&Cサーバに成り代わってIoTデバイスのプロセスを終了するキルコマンドを送信し、IoTマルウェアを無害化することや、疑似C&Cサーバを用いて、C&Cサーバに代わって無害化情報の内容で応答することなどが提案されている。
本文献では、C&Cサーバに成り代わってIoTデバイスのプロセスを終了するキルコマンドを送信し、IoTマルウェアを無害化することや、疑似C&Cサーバを用いて、C&Cサーバに代わって無害化情報の内容で応答することなどが提案されている。
【0006】
しかしながら本従来技術によると、これらの処理がIoTゲートウェイとして1つのモジュールで構成されているため、ネットワークや機器の構成において制約が多く、既存の機器の活用を図りにくい問題がある。
【0007】
また、Deny List方式で遮断する通信を決定し、DNSやルーティングを設定して転送する方法であるため、悪性通信を検知することはできない。さらに、無害化情報で応答した結果が成功しなかった場合に、その後の対処まで行えていない。
【0008】
さらに、関連する特許文献として特許文献1が挙げられる。本文献では、複数のレイヤ2スイッチとネットワークコントローラとを有する通信制御システムにおいて、ネットワークコントローラは、レイヤ2スイッチによって転送される通信フローの特徴量を示す転送通信フロー特徴量と、異常発生時における通信フローの特徴量を示す異常時通信フロー特徴量とが類似しているか否かについての判定を行う判定部と、判定部によって類似していると判定された場合、通信フローに対する転送処理の優先度を低下させるための第1の命令及び通信フローを複製させるための第2の命令をレイヤ2スイッチに対して出力するか、又は、第1の命令をレイヤ2スイッチに対して出力し前記転送通信フロー特徴量を有する通信フローを識別する識別情報を悪意ある攻撃を検出するサーバへ出力する命令部と、を備えるシステムが提案されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2020-31363号公報
【非特許文献】
【0010】
【非特許文献1】三須 剛史、高田 一樹 「擬似C&Cサーバを用いたIoTマルウェア駆除手法の検討」 情報処理学会研究報告(IPSJ SIG Technical Report)、Vol.2019-CSEC-86 No.9 Vol.2019-SPT-34 No.9 2019/7/23
【非特許文献2】三須 剛史、桃井 達明 「疑似C&Cサーバを用いたIoTマルウェア駆除手法の提案」暗号と情報セキュリティシンポジウム 2019,セッション 3E2-2,2019.
【非特許文献3】三須 剛史、岩本 一樹、高田 一樹、吉岡 克成 「IoTマルウェア駆除のためのキルコマンド等の自動抽出」コンピュータセキュリティシンポジウム2019論文集 2019 1321-1328, 2019/10/14
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明は上記従来技術の有する問題点に鑑みて創出されたものであり、IoTデバイスを標的にしたマルウェアからIoTデバイス等を防御する技術を提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明は上記課題を解決するため、本発明は次のようなIoTマルウェア防御システムを提供する。
本発明の第1の実施態様によると、IoTデバイスを標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御システムであって、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、悪性通信検知手段によって少なくとも悪性通信が検知された時に、不正サーバ装置の代わりに応答する疑似モジュールに悪性通信を転送する疑似モジュール転送手段と、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、応答内容定義情報に従って応答内容をIoTデバイスに送信する疑似モジュールと、通信ネットワークとを有するIoTマルウェア防御システムを提供する。
本発明の第1の実施態様によると、IoTデバイスを標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御システムであって、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、悪性通信検知手段によって少なくとも悪性通信が検知された時に、不正サーバ装置の代わりに応答する疑似モジュールに悪性通信を転送する疑似モジュール転送手段と、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、応答内容定義情報に従って応答内容をIoTデバイスに送信する疑似モジュールと、通信ネットワークとを有するIoTマルウェア防御システムを提供する。
【0013】
本発明の第2の実施態様によると、上記のIoTマルウェア防御システムにおいて、IoTデバイスを含む監視対象ネットワークと、外部ネットワークとの間の通信を中継可能な中継装置を備え、悪性通信検知手段によって悪性通信が検知された時には、疑似モジュール転送手段がルーティング変更の処理を行うことで中継装置が不正サーバ装置への悪性通信を疑似モジュールに転送する構成でもよい。
【0014】
本発明の第3の実施態様によると、上記のIoTマルウェア防御システムにおいて、悪性通信検知手段を備える悪性通信検知装置と、疑似モジュール転送手段を備える疑似モジュール転送装置と疑似モジュールを備える疑似モジュールサーバ装置とを備え、上記の中継装置において、監視対象ネットワークからの通信を、悪性通信検知装置にミラーリングし、悪性通信検知装置は悪性通信が検知された時に疑似モジュール転送装置に通知を行い、疑似モジュール転送装置は中継装置に疑似モジュールサーバ装置へのルーティング変更指示を送信することもできる。
【0015】
本発明の第4の実施態様によると、上記のIoTマルウェア防御システムにおいて、悪性通信検知手段と、疑似モジュール転送手段とを有する中継装置と、疑似モジュールを備える疑似モジュールサーバ装置とを備え、悪性通信検知手段は悪性通信が検知された時に疑似モジュール転送手段に通知を行い、疑似モジュール転送手段は悪性通信を疑似モジュールサーバ装置へのルーティング変更することもできる。
【0016】
本発明の第5の実施態様によると、上記の疑似モジュール転送手段は、ルーティング変更の処理を行う場合、合わせてIoTデバイスと不正サーバ装置との通信を破棄する構成でもよい。
【0017】
本発明の第6の実施態様によると、上記の疑似モジュール転送手段において、複数の種類の中継装置の各々に対応するルーティング変更指示コマンドを操作するプログラムを用意し、ルーティング変更指示を行う対象の中継装置に応じて、ルーティング変更指示コマンドを操作するプログラムを入れ替える構成でもよい。
【0018】
本発明の第7の実施態様によると、上記の悪性通信検知手段は、悪性通信の通信内容に基づく検知ルールを備え、検知ルールに基づいて悪性通信か否かの検知を行うこともできる。
【0019】
本発明の第8の実施態様によると、上記の応答内容は、IoTマルウェアの終了信号であってもよい。
【0020】
本発明の第9の実施態様によると、上記の悪性通信検知手段において、予め通信を許可する許可アドレスリストを保持し、IoTデバイスからの通信の送信先アドレスが、許可アドレスリストに含まれていない場合には、悪性通信と見なして疑似モジュールに転送する構成でもよい。
【0021】
本発明は、次のようなIoTマルウェア防御処理方法を提供することもできる。
すなわち、本発明の第10の実施態様によると、IoTデバイスを標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御処理方法であって、
(S1)悪性通信検知手段が、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知ステップ、
(S2)疑似モジュール転送手段が、悪性通信検知ステップにおいて少なくとも悪性通信が検知された時に、不正サーバ装置の代わりに応答する疑似モジュールに悪性通信を転送する疑似モジュール転送ステップ、
(S3)疑似モジュールが、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、応答内容定義情報に従って応答内容をIoTデバイスに送信する疑似応答ステップ、
を有することを特徴とする。
すなわち、本発明の第10の実施態様によると、IoTデバイスを標的とするIoTマルウェアの不正動作を防御するIoTマルウェア防御処理方法であって、
(S1)悪性通信検知手段が、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知ステップ、
(S2)疑似モジュール転送手段が、悪性通信検知ステップにおいて少なくとも悪性通信が検知された時に、不正サーバ装置の代わりに応答する疑似モジュールに悪性通信を転送する疑似モジュール転送ステップ、
(S3)疑似モジュールが、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報を備え、応答内容定義情報に従って応答内容をIoTデバイスに送信する疑似応答ステップ、
を有することを特徴とする。
【0022】
本発明の第11の実施態様によると、上記のIoTマルウェア防御処理方法において、IoTデバイスを含む監視対象ネットワークと、外部ネットワークとの間の通信を中継可能な中継装置を用い、悪性通信検知手段によって悪性通信が検知された時には、疑似モジュール転送手段がルーティング変更の処理を行うことで、中継装置が不正サーバ装置への悪性通信を疑似モジュールに転送する構成でもよい。
【0023】
本発明の第12の実施態様によると、上記のIoTマルウェア防御処理方法において、悪性通信検知手段を備える悪性通信検知装置と、疑似モジュール転送手段を備える疑似モジュール転送装置と疑似モジュールを備える疑似モジュールサーバ装置とを用い、中継装置が、監視対象ネットワークからの通信を、悪性通信検知装置にミラーリングするステップ、悪性通信検知装置が、悪性通信が検知された時に、疑似モジュール転送装置に通知するステップ、疑似モジュール転送装置が、中継装置に疑似モジュールサーバ装置へのルーティング変更指示を送信するステップを含む構成でもよい。
【0024】
本発明の第13の実施態様によると、上記悪性通信検知手段と、上記疑似モジュール転送手段とを有する中継装置と、上記疑似モジュールを備える疑似モジュールサーバ装置とを用い、悪性通信検知手段が、悪性通信が検知された時に、疑似モジュール転送手段に通知するステップ、疑似モジュール転送手段が、悪性通信を疑似モジュールサーバ装置へのルーティング変更するステップを含むこともできる。
【0025】
本発明の第14の実施態様によると、上記疑似モジュール転送手段が、ルーティング変更の処理を行う場合、合わせてIoTデバイスと不正サーバ装置との通信を破棄する構成でもよい。
【0026】
本発明の第15の実施態様によると、上記の悪性通信検知手段において、予め通信を許可する許可アドレスリストを保持し、IoTデバイスからの通信の送信先アドレスが、許可アドレスリストに含まれていない場合には、悪性通信と見なして疑似モジュールに転送することもできる。
【0027】
本発明は、第16の実施態様として、IoTデバイスを含む監視対象ネットワークと、外部ネットワークとの間の通信を中継可能な中継装置であって、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する悪性通信検知手段と、悪性通信検知手段によって少なくとも悪性通信が検知された時に、不正サーバ装置の代わりに応答する疑似モジュールに悪性通信を転送する疑似モジュール転送手段とを備え、IoTデバイスを標的とするIoTマルウェアの不正動作を防御することを特徴とする中継装置を提供することができる。
【発明の効果】
【0028】
本発明は以上の構成をとることによって次の効果を奏する。
すなわち、悪性通信検知手段、疑似モジュール転送手段、疑似モジュールの各手段を提供することにより、ネットワーク内の配置の自由度を高めることができる。その結果、既存の機器を活用できるほか、例えば複数の種類のルータ装置にも柔軟に対応できるシステム設計が可能となる。
すなわち、悪性通信検知手段、疑似モジュール転送手段、疑似モジュールの各手段を提供することにより、ネットワーク内の配置の自由度を高めることができる。その結果、既存の機器を活用できるほか、例えば複数の種類のルータ装置にも柔軟に対応できるシステム設計が可能となる。
【0029】
また、従来技術ではIoTマルウェアの検知を行うことができなかった点について、本発明では悪性通信検知手段を備えることにより検知が可能となった。
さらに、疑似C&Cサーバから無害化情報を送信するだけでなく、応答内容を様々定義することによって、外部ネットワークへの悪性通信の流出防止や、検知結果及び無害化結果の分析も可能としている。
さらに、疑似C&Cサーバから無害化情報を送信するだけでなく、応答内容を様々定義することによって、外部ネットワークへの悪性通信の流出防止や、検知結果及び無害化結果の分析も可能としている。
【図面の簡単な説明】
【0030】
【図1】本発明におけるIoTマルウェア防御システム(第1実施例)の全体図である。
【図2】本発明におけるIoTマルウェア防御システム(第2実施例)の全体図である。
【図3】本発明におけるIoTマルウェア防御システム(第3実施例)の全体図である。
【図4】本発明におけるIoTマルウェア防御処理方法(第1実施例)のフローチャートである。
【図5】疑似モジュールにおいて無害化の成功、失敗を判断するフローチャートである。
【図6】疑似モジュールの応答方法1を示すフローチャートである。
【図7】疑似モジュールの応答方法2を示すフローチャートである。
【図8】本発明におけるIoTマルウェア防御処理方法(第2実施例)のフローチャートである。
【図9】疑似モジュール転送部(11)において転送指示を追加するロジックを示す。
【図10】疑似モジュール転送部(11)において破棄指示を追加するロジックを示す。
【発明を実施するための形態】
【0031】
(第1実施例)
以下、本発明の実施形態を図面を用いて説明する。本発明は以下の実施例に限定されず請求項記載の範囲で適宜実施することができる。
図1は、本発明におけるIoTマルウェア防御システム(第1実施例)の全体図である。また、図4は、IoTマルウェア防御処理方法(第1実施例)のフローチャートである。
以下、本発明の実施形態を図面を用いて説明する。本発明は以下の実施例に限定されず請求項記載の範囲で適宜実施することができる。
図1は、本発明におけるIoTマルウェア防御システム(第1実施例)の全体図である。また、図4は、IoTマルウェア防御処理方法(第1実施例)のフローチャートである。
【0032】
図1には、本発明に係るIoTマルウェア防御システム(1)と、IoTデバイス(20)(21)が配置される監視対象ネットワーク(2)、正常時にIoTデバイスと情報のやり取りを行うIoTサーバ(30)が置かれている外部ネットワーク(例えばインターネット)(3)が示されている。外部ネットワーク(3)には、IoTデバイス(20)(21)に対して不正な挙動を行わせる不正サーバ装置(例えばC&Cサーバ)(31)が存在する。
【0033】
そして、監視対象ネットワーク(2)内、又は外部ネットワーク(3)内、又はその間の通信経路のいずれかの場所に、悪性通信検知手段である悪性通信検知部(10)と、疑似モジュール転送手段である疑似モジュール転送部(11)と、疑似モジュール(12)とを配置する。それぞれの処理機能部は通信回線によって接続されるか、また任意の組み合わせで一体的な機器として構成することができる。
【0034】
悪性通信検知部(10)は、IoTデバイスから不正サーバ装置に送信される悪性通信を検知する手段である。疑似モジュール(12)は擬似的な不正サーバ装置として機能し、不正サーバ装置に代わって応答する手段である。疑似モジュール転送部(11)は、悪性通信検知部(10)によって少なくとも悪性通信が検知された時に、疑似モジュール(12)に悪性通信を転送する手段である。
【0035】
以上のような手段を用いて、図4に示すような処理を実施する。
まず、悪性通信検知部(10)が、IoTマルウェアに感染したIoTデバイス(灰色で表示している)(21)から不正サーバ装置(31)に送信される悪性通信(C1)を検知する悪性通信検知ステップ(S1)を有する。
まず、悪性通信検知部(10)が、IoTマルウェアに感染したIoTデバイス(灰色で表示している)(21)から不正サーバ装置(31)に送信される悪性通信(C1)を検知する悪性通信検知ステップ(S1)を有する。
【0036】
悪性通信検知部(10)は、IoTデバイス(20)(21)からの送信、又は監視対象ネットワーク(2)の出口に配置される公知のIoTゲートウェイからの送信におけるトラフィック内容を常時監視し、所定の検知方法に従って悪性通信を検知する。
ここで、マルウェアからの悪性通信の検知方法は、既存の任意の技術を用いることができるが、例えばルールベースで所定の文字列が送信された場合や、送信元・送信先アドレスの照合などによって検知することができる。
ここで、マルウェアからの悪性通信の検知方法は、既存の任意の技術を用いることができるが、例えばルールベースで所定の文字列が送信された場合や、送信元・送信先アドレスの照合などによって検知することができる。
【0037】
一例として、マルウェアmiraiの場合、Payloadに「\x00\x00\x00\01」のバイナリ文字列が含まれる特徴、マルウェアbashliteの場合、Payloadに「\u001b[0;32m[CONNECTED] [」「\u001b[0;31mK O S H A \u001b[1;90m| \u001b[0;31mIP \u001b[1;37m」のバイナリ文字列が含まれる特徴、などが知られており、検知ルールとしてこれらの文字列を有し、これらを監視することで検知することもできる。
検知ルールはマルウェアの変化に合わせて随時変更すべきであることは言うまでもない。
検知ルールはマルウェアの変化に合わせて随時変更すべきであることは言うまでもない。
【0038】
検知方法としては、ルールベースに限定されず、例えばIoTマルウェアによる悪性通信の特徴を機械学習させた学習データを用い、悪性通信検知部(10)に備える機械学習判定処理部(図示しない)によって悪性通信か否かを判定するようにしてもよい。
【0039】
悪性通信検知部(10)では、好ましくは常時悪性通信検知ログを書き出し、図示しない格納部にログを格納する。この悪性通信検知ログは、悪性通信検知部(10)において監視され、悪性検知ログが発見された時に、疑似モジュール転送部(11)にアラート通知(C2)を行う。
【0040】
悪性通信検知ログは、システム管理者がどのような悪性通信が検知されたかをリアルタイム、又は後から参照することで感染機器への個別対応や、防止対策をとることに有効であり、悪性通信検知部(10)に備えることが好ましい。
ただし、本発明の実施においてはログを記録せず、直接疑似モジュール転送部(11)に通知を行う構成でもよい。
ただし、本発明の実施においてはログを記録せず、直接疑似モジュール転送部(11)に通知を行う構成でもよい。
【0041】
悪性通信検知部(10)からの通知(C2)内容としては、送信元アドレス及び送信先アドレスの組み合わせを少なくとも含むことが好ましい。
【0042】
図4に戻って本処理方法の説明を続けると、次に、疑似モジュール転送部(11)が悪性通信検知ステップ(S1)において少なくとも悪性通信が検知された時に、疑似モジュール(12)に悪性通信を転送する疑似モジュール転送ステップ(S2)を有する。
【0043】
疑似モジュール転送部(11)は、受信した送信元アドレス及び送信先アドレスを用いて、次の処理を行う。
(1)送信元アドレスと送信先アドレスの間の通信(C3)を遮断する。
(2)送信元アドレスと送信先アドレスの間の通信を疑似モジュール(12)に転送(C4)する。
(1)送信元アドレスと送信先アドレスの間の通信(C3)を遮断する。
(2)送信元アドレスと送信先アドレスの間の通信を疑似モジュール(12)に転送(C4)する。
【0044】
疑似モジュール転送部(11)は上記の通りネットワーク上における配置は自由であるので、「遮断する」には、疑似モジュール転送部(11)自体が遮断する場合と共に、ルータ等の中継装置や、IoTゲートウェイなどに指令して遮断する方法も含まれる。
【0045】
同様に、「転送する」についても、疑似モジュール転送部(11)自体が遮断する場合と共に、ルータ等の中継装置や、IoTゲートウェイなどに指令して遮断する方法も含まれる。ネットワーク構成については、別実施例として合わせて後述する。
【0046】
最後に、疑似モジュール(12)が、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報に従って応答内容をIoTデバイス(21)に送信(C5)(C6)する疑似応答ステップ(S3)を有する。
【0047】
具体的には、応答内容定義情報として、様々な悪性通信のパターンである初期通信定義と、そのパターンに対して無害化が可能なIoTデバイス(21)への応答内容との組み合わせをデータベースとして保持する。
応答内容は任意であるが、例えば、IoTマルウェアの終了信号(kill コマンド)とすることができる。
応答内容は任意であるが、例えば、IoTマルウェアの終了信号(kill コマンド)とすることができる。
【0048】
そして、疑似モジュール(12)は、転送された悪性通信の内容と初期通信定義とを突合し、定義された応答内容をIoTデバイス(21)に送信する。この時、図示されるように疑似モジュール転送部(11)に送信して、疑似モジュール転送部(11)が再度IoTデバイス(21)に送信するように中継させてもよいし、直接送信してもよい。
【0049】
疑似モジュール(12)は、さらに疑似モジュール転送部(11)に対して、上記で遮断していた送信元アドレスと送信先アドレスの間の通信(C3)を破棄するように指示してもよい。
【0050】
ここで疑似モジュール(12)の応答内容を詳しく説明する。
図5は、疑似モジュールにおいて無害化の成功、失敗を判断するフローチャートである。
疑似モジュール(12)が転送された悪性通信を受信(S50)すると、初期通信定義で保持しているマルウェアの特徴を示すペイロードのデータと突合(S51)する。ペイロードが定義と一致した場合には、そのマルウェアのプロトコルを使用する設定を行い、定義されている通りの順序で応答(S52)を行う。
図5は、疑似モジュールにおいて無害化の成功、失敗を判断するフローチャートである。
疑似モジュール(12)が転送された悪性通信を受信(S50)すると、初期通信定義で保持しているマルウェアの特徴を示すペイロードのデータと突合(S51)する。ペイロードが定義と一致した場合には、そのマルウェアのプロトコルを使用する設定を行い、定義されている通りの順序で応答(S52)を行う。
【0051】
この応答によってIoTデバイス(21)から定義された状態になるかどうかを判定(S54)する。例えば、IoTマルウェアからの通信が終了するか、あるいは終了するコマンドが送信された場合には、無害化成功と判断(S55)する。
【0052】
一方定義された状態とならない場合、例えばIoTマルウェアからの通信が続く場合には、無害化失敗と判断(S56)し、疑似モジュール転送部(11)に通知して通信を破棄(S57)する。
【0053】
一方、悪性通信のペイロードが定義と一致しない場合、予め定めたデフォルトのプロトコルを使用する設定を行い、所定の無害化情報を応答する。このときの無害化情報としては、例えば流行しているマルウェアの無害化情報を組み合わせてデフォルトの定義を作成することができる。
このデフォルトの応答内容に対して、マルウェアからの通信が終了(S54)するか否かによって無害化の成功、失敗を判断する処理は上記と同様である。
このデフォルトの応答内容に対して、マルウェアからの通信が終了(S54)するか否かによって無害化の成功、失敗を判断する処理は上記と同様である。
【0054】
さらに詳しく説明する。図6には悪性通信のペイロードが定義と一致した場合に、段階的に無害化のための応答を行う応答方法1のフローチャートを示す。
この場合、まず上記と同様に、そのマルウェアのプロトコルを使用する設定を行い、定義されている無害化情報で応答(S60)を行う。
この場合、まず上記と同様に、そのマルウェアのプロトコルを使用する設定を行い、定義されている無害化情報で応答(S60)を行う。
【0055】
そして、IoTマルウェアからの通信が終了すれば、無害化成功と判断(S62)して終了する一方、通信が終了しなければ、そのペイロードには対応しないが、当該IoTマルウェアの無害化情報を用いて応答(S63)する。
【0056】
再びIoTマルウェアからの通信が終了(S64)すれば無害化成功と判断(S65)、しなければ、当該IoTマルウェア以外の無害化情報を用いて応答(S66)する。
【0057】
ここまでのステップでIoTマルウェアからの通信が終了(S67)すれば無害化成功と判断(S68)、しなければ、無害化は失敗したと判断し、疑似モジュール転送部(11)に通知して通信を破棄(S69)する。
【0058】
図7には、悪性通信のペイロードが定義と一致しない場合に、段階的に無害化のための応答を行う応答方法2のフローチャートを示す。
悪性通信のペイロードが定義と一致しない場合には、予め定めたデフォルトのプロトコルを使用する設定を行い、疑似モジュール(12)に予め優先順位を定めた無害化情報を保持しておき、その優先順位に従って無害化情報を応答(S70)する。IoTマルウェアからの通信が終了(S71)するかどうかを順に判断して、通信が終了した時点で無害化成功と判断(S72)して終了する。
すべての無害化情報を試してもIoTマルウェアからの通信が続く場合は、無害化失敗と判断し、以後の通信は破棄(S73)する。
悪性通信のペイロードが定義と一致しない場合には、予め定めたデフォルトのプロトコルを使用する設定を行い、疑似モジュール(12)に予め優先順位を定めた無害化情報を保持しておき、その優先順位に従って無害化情報を応答(S70)する。IoTマルウェアからの通信が終了(S71)するかどうかを順に判断して、通信が終了した時点で無害化成功と判断(S72)して終了する。
すべての無害化情報を試してもIoTマルウェアからの通信が続く場合は、無害化失敗と判断し、以後の通信は破棄(S73)する。
【0059】
本発明の最も基本的なシステムとその処理方法は以上の通りである。このように悪性通信検知手段、疑似モジュール転送手段、疑似モジュールの組み合わせによって、IoTマルウェアの悪性通信を効率的に遮断し、IoTデバイスやネットワークシステム全体の防御を行うことができる。
【0060】
以下では、第1実施例からさらに発展させたシステム及び処理方法を順次説明する。
図示中で同じ符号で示す要素は、他の実施例と同様の構成であり、それぞれでの説明は省略する。
図示中で同じ符号で示す要素は、他の実施例と同様の構成であり、それぞれでの説明は省略する。
【0061】
(第2実施例)
本実施例では、監視対象ネットワーク(2)と外部ネットワーク(3)との間に中継装置(4)を備える。中継装置(4)は、例えば公知のルーターや、L3スイッチなどのルーティング機器として実施することができる。そして、悪性通信検知部(10)によって悪性通信が検知された時には、疑似モジュール転送部(11)がルーティング変更の処理を行うことで中継装置(4)が不正サーバ装置(31)への悪性通信を疑似モジュール(12)を備える疑似モジュールサーバ装置に転送することができる。
本実施例では、監視対象ネットワーク(2)と外部ネットワーク(3)との間に中継装置(4)を備える。中継装置(4)は、例えば公知のルーターや、L3スイッチなどのルーティング機器として実施することができる。そして、悪性通信検知部(10)によって悪性通信が検知された時には、疑似モジュール転送部(11)がルーティング変更の処理を行うことで中継装置(4)が不正サーバ装置(31)への悪性通信を疑似モジュール(12)を備える疑似モジュールサーバ装置に転送することができる。
【0062】
本実施例では、図2に示すように、悪性通信検知部(10)を備える悪性通信検知装置と、疑似モジュール転送部(12)を備える疑似モジュール転送装置とを中継装置(4)外に配置する。それぞれは通信回線により相互に通信可能である。
【0063】
図8に示すように、中継装置(4)は、監視対象ネットワーク(2)からの通信を、悪性通信検知部(10)にミラーリングする(S10)。
本実施例の特徴は、IoTデバイス(21)から不正サーバ装置(31)への悪性通信(C7)を一旦はそのまま通した上で、ミラーリング通信(M1)を悪性通信検知装置にも振り分けている点である。これは、悪性通信の文字列を検知するため、ある程度はIoTデバイス(21)と不正サーバ装置(31)との間のトラフィックを成立させることが好ましいためである。不正サーバ装置(31)とのトラフィックの中で、悪性通信検知部(10)が悪性通信を検知した時点で速やかに本発明の処理に移行する。
本実施例の特徴は、IoTデバイス(21)から不正サーバ装置(31)への悪性通信(C7)を一旦はそのまま通した上で、ミラーリング通信(M1)を悪性通信検知装置にも振り分けている点である。これは、悪性通信の文字列を検知するため、ある程度はIoTデバイス(21)と不正サーバ装置(31)との間のトラフィックを成立させることが好ましいためである。不正サーバ装置(31)とのトラフィックの中で、悪性通信検知部(10)が悪性通信を検知した時点で速やかに本発明の処理に移行する。
【0064】
悪性通信検知部(10)はミラーリングされたトラフィックの中から、悪性通信が検知(S1)された時に疑似モジュール転送部(11)に通知を行う。このとき、ルールベースによって検知することができる点は上述した通りであり、悪性通信検知装置に格納手段(100)を備えて検知ルールを格納してもよい。また検知ルールを有する格納手段はネットワーク上の別のサーバ装置等に備えてもよい。
【0065】
次いで、疑似モジュール転送部(11)は中継装置に疑似モジュールサーバ装置へのルーティング変更指示を送信(S11)する。123
【0066】
このとき、疑似モジュール転送装置は、ルーティング変更指示を行うためのコマンド操作を行うプログラムを入れ替えてもよい。
すなわち、中継装置(4)としてルーターやL3スイッチを用いる場合、種類や機種によって、異なるコマンドが用いられるため、色々な中継装置の各々に対応するルーティング変更指示コマンドを操作するプログラムを用意して格納しておき、ルーティング変更指示を行う対象の中継装置に応じて、ルーティング変更指示コマンドを操作するプログラムを入れ替えることもできる。
すなわち、中継装置(4)としてルーターやL3スイッチを用いる場合、種類や機種によって、異なるコマンドが用いられるため、色々な中継装置の各々に対応するルーティング変更指示コマンドを操作するプログラムを用意して格納しておき、ルーティング変更指示を行う対象の中継装置に応じて、ルーティング変更指示コマンドを操作するプログラムを入れ替えることもできる。
【0067】
これにより、既存の様々な機器を用いながら、本発明をネットワーク上に適用することが可能となり、発明の実施の柔軟性が増す。本構成では監視対象ネットワーク(2)や中継装置(4)が複数であっても、悪性通信検知装置や疑似モジュール転送装置、疑似モジュールサーバは1基ずつで対応することもできる。
また、中継装置(4)を交換しても、疑似モジュール転送装置のルーティング変更指示コマンド操作を行うプログラムを入れ替えることで対応できる。
また、中継装置(4)を交換しても、疑似モジュール転送装置のルーティング変更指示コマンド操作を行うプログラムを入れ替えることで対応できる。
【0068】
さらに、格納手段(110)には悪性通信検知部および疑似モジュールからの疑似モジュール転送装置へのルーティング変更依頼の履歴を格納することもできる。
中継装置(4)に対して、現在のルーティング設定を呼び出して取得できる場合には、最新のルーティング設定を参照して、ルーティング変更指示を送信すればよいが、中継装置(4)の種類によってはこの情報が取得出来ない場合がある。
そこで、本発明では、疑似モジュール転送部(11)に悪性通信検知部および疑似モジュールからの疑似モジュール転送装置へのルーティング変更依頼の履歴を保持し、保持内容に基づいてルーティング変更指示を実施する。
中継装置(4)に対して、現在のルーティング設定を呼び出して取得できる場合には、最新のルーティング設定を参照して、ルーティング変更指示を送信すればよいが、中継装置(4)の種類によってはこの情報が取得出来ない場合がある。
そこで、本発明では、疑似モジュール転送部(11)に悪性通信検知部および疑似モジュールからの疑似モジュール転送装置へのルーティング変更依頼の履歴を保持し、保持内容に基づいてルーティング変更指示を実施する。
【0069】
ところで、悪性通信の疑似モジュールサーバへの転送により、本来の送信元アドレス、送信先アドレス間の通信がいずれも失われる環境下では、悪性通信検知部(10)において、該当する送信元アドレス、送信先アドレスかつ検知ルールが一致するアラートの検出回数をデータベースとして記録し、あらかじめ設定した閾値を超えた際に無害化情報の送付を完了したものとして、該当送信元アドレス、送信先アドレス間の通信遮断を疑似モジュール転送部(11)に行う。このように無害化が成功したか否かを判定することもできる。
【0070】
さらに疑似モジュール転送部(11)では、ルーティング変更指示について、悪性通信を疑似モジュールサーバ(12)に転送するのか、あるいは破棄するのかについて次のようなルールを用いることができる。
【0071】
すなわち、図9には転送指示を追加するロジック、図10には破棄指示を追加するロジックを示す。
本システムおいて無害化が成功している場合、通常は疑似モジュールサーバ装置に転送(FW)する指示を行えばよい。そして、無害化が失敗する場合には、破棄(DR)の指示を行うことが本システムの基本的な対応である。
ただし、破棄を続けている場合、新たにマルウェアに感染した場合に無害化を試みることができなくなるため、図9のように一度転送指示をした後で、破棄を行ったルーティング変更指示の事例について、再度転送に変更するロジックを設ける。
本システムおいて無害化が成功している場合、通常は疑似モジュールサーバ装置に転送(FW)する指示を行えばよい。そして、無害化が失敗する場合には、破棄(DR)の指示を行うことが本システムの基本的な対応である。
ただし、破棄を続けている場合、新たにマルウェアに感染した場合に無害化を試みることができなくなるため、図9のように一度転送指示をした後で、破棄を行ったルーティング変更指示の事例について、再度転送に変更するロジックを設ける。
【0072】
すなわち、格納手段(110)から送信元IPアドレスが一致するすべての履歴を取得し、この中で送信先IPアドレスが一致し、転送(FW)指示のFWデータが存在するかを参照する。存在する場合、FWデータよりも新しいデータ中に、破棄(DR)を行った履歴が存在するかを確認し、なければ「何もしない」、存在する場合には、この破棄のルーティング設定の削除を中継装置(4)にルーティング変更指示として送信し、改めて転送のルーティング設定の追加を中継装置(4)にルーティング変更指示として送信する。
【0073】
図10は無害化が失敗する場合に、悪性通信を破棄するためのロジックである。こちらのロジックでは、送信元IPアドレスが一致するすべての履歴を取得し、この中で破棄(DR)データが存在するかを参照する。存在する場合、DRデータよりも新しいデータ中の、転送(FR)データを全て取得し、これを再び破棄指示(DR)としてルーティング変更指示として送信する。一方、存在しない場合にはすべての転送(FR)データを取得して、これを破棄指示(DR)としてルーティング変更指示として送信する。
【0074】
疑似モジュールサーバ装置は、実施例1と同様に、不正サーバ装置(31)に代わって、悪性通信の通信内容に応じた応答内容を格納した応答内容定義情報に従って応答内容をIoTデバイス(21)に送信する。
【0075】
本発明では、応答内容定義情報として上記のような無害化情報に限定されない。次のようなものが例示される。
第1に、他のIoTマルウェア等のファイルをダウンロードする悪性通信を、疑似モジュールの応答内容定義情報に基づいて検知した場合、ダウンロードする対象を装った無害なファイルでダウンロード要求に応答し、通信の成功を装うことができる。無害なファイルがIoTデバイス(21)に格納されるので、IoTマルウェアによる実害を防止することができる。
第1に、他のIoTマルウェア等のファイルをダウンロードする悪性通信を、疑似モジュールの応答内容定義情報に基づいて検知した場合、ダウンロードする対象を装った無害なファイルでダウンロード要求に応答し、通信の成功を装うことができる。無害なファイルがIoTデバイス(21)に格納されるので、IoTマルウェアによる実害を防止することができる。
【0076】
第2に、他の機器の脆弱性を狙ったエクスプロイト通信を疑似モジュールの応答内容定義情報に基づいて検知した場合、当該エクスプロイト通信が成功した時に行う応答内容を送信する。攻撃が成功したことを装う応答をすることで、IoTマルウェアに攻撃が成功したと誤認させ、その後の通信が停止する可能性がある。また、その後に継続して発生する通信の観測にも応用することができる。
【0077】
なお、疑似モジュール(12)で検知する構成だけでなく、上記悪性通信検知部(10)においてこれらの通信内容を検出し、対応する専用疑似モジュールに切り替えてもよい。専用疑似モジュールは、応答だけに特化したものとすることができる。
【0078】
(第3実施例)
図3は、本発明に係るIoTマルウェア防御システム(第3実施例)の全体図である。
本実施例では、悪性通信検知部(10)とその格納手段(100)、疑似モジュール転送部(11)を中継装置(4)に備える。
本構成は、IoTデバイス(21)と不正サーバ装置(31)とのトラフィックをインラインで監視する構成を開示したものである。
図3は、本発明に係るIoTマルウェア防御システム(第3実施例)の全体図である。
本実施例では、悪性通信検知部(10)とその格納手段(100)、疑似モジュール転送部(11)を中継装置(4)に備える。
本構成は、IoTデバイス(21)と不正サーバ装置(31)とのトラフィックをインラインで監視する構成を開示したものである。
【0079】
本実施例については、中継装置(4)内に悪性通信検知部(10)等を備える以外は第1実施例の通りであり、また、疑似モジュール転送部(11)においてルーティング変更指示のルールを備えてもよい点は第2実施例の通りである。
【0080】
上記各実施例において、悪性通信検知部(10)によって悪性通信が検知された時に、疑似モジュール転送部(11)に通知することを開示しているが、本発明は、これと別に、悪性通信検知部(10)が、予め通信を許可する許可アドレスリストを保持し、IoTデバイスからの通信の送信先アドレスが、許可アドレスリストに含まれていない場合には、悪性通信と見なして疑似モジュールに転送する構成でもよい。
【0081】
すなわち、検知ルールで送信先アドレスとしてのDeny Listに合致する場合に悪性通信として検知してもよいが、Allow Listに含まれていない場合に疑似モジュールに転送することもできる。Allow Listに含まれる通信については、本来の送信先アドレスのIoTサーバ(30)との通信を行う。
【0082】
以上に述べた通り、本発明によれば、悪性通信検知部(10)、疑似モジュール転送部(11)の各処理機能部を提案し、ネットワーク内の配置の自由度を高めており、既存の中継装置についての制約も小さくすることができる。
また、従来IoTマルウェア通信の検知を行えない構成に対して、悪性通信検知部(10)による悪性通信の検知を行う方式としたほか、無害化を行う応答後に、中継装置による通信の破棄でインターネットへの悪性通信の流出を防止しつつ、疑似モジュールの負荷を低減する。さらに、検知結果・無害化結果を参照することで管理者による感染デバイスへの個別対応を可能としている。
また、従来IoTマルウェア通信の検知を行えない構成に対して、悪性通信検知部(10)による悪性通信の検知を行う方式としたほか、無害化を行う応答後に、中継装置による通信の破棄でインターネットへの悪性通信の流出を防止しつつ、疑似モジュールの負荷を低減する。さらに、検知結果・無害化結果を参照することで管理者による感染デバイスへの個別対応を可能としている。
【符号の説明】
【0083】
1 IoTマルウェア防御システム
2 監視対象ネットワーク
3 外部ネットワーク
10 悪性通信検知部
11 疑似モジュール転送部
12 疑似モジュール
20 IoTデバイス
21 IoTデバイス
30 IoTサーバ
31 不正サーバ装置
2 監視対象ネットワーク
3 外部ネットワーク
10 悪性通信検知部
11 疑似モジュール転送部
12 疑似モジュール
20 IoTデバイス
21 IoTデバイス
30 IoTサーバ
31 不正サーバ装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】