知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝電機サービス株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024081383
(43)【公開日】2024-06-18
(54)【発明の名称】通信システム、監視端末、およびマルウェア監視方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240611BHJP
G06F 21/56 20130101ALI20240611BHJP
【FI】
G06F21/55 320
G06F21/56
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022194969
(22)【出願日】2022-12-06
(71)【出願人】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(71)【出願人】
【識別番号】598076591
【氏名又は名称】東芝インフラシステムズ株式会社
(74)【代理人】
【識別番号】110003708
【氏名又は名称】弁理士法人鈴榮特許綜合事務所
(72)【発明者】
【氏名】清水 えりか
(72)【発明者】
【氏名】井奈波 拓也
(57)【要約】
【課題】ピア・ツー・ピアでマルチキャスト通信を行うシステムにおいて、マルウェアの拡散を効率的かつ迅速に阻止すること。
【解決手段】 実施形態によれば、通信システムは、複数の端末と、監視端末とを具備する。複数の端末は、参加するマルチキャストグループ内で互いにピア・ツー・ピア通信する。監視端末は、複数のマルチキャストグループに共通に参加してピア・ツー・ピア通信を行う。監視端末は、マルウェアを検知するマルウェア検知部、および通知部を備える。通知部は、マルウェアを検知すると、マルウェアに感染した感染端末の参加するマルチキャストグループに参加する感染端末以外の端末に、マルウェアを検知したことを示すメッセージを通知する。
【選択図】 図2
【解決手段】 実施形態によれば、通信システムは、複数の端末と、監視端末とを具備する。複数の端末は、参加するマルチキャストグループ内で互いにピア・ツー・ピア通信する。監視端末は、複数のマルチキャストグループに共通に参加してピア・ツー・ピア通信を行う。監視端末は、マルウェアを検知するマルウェア検知部、および通知部を備える。通知部は、マルウェアを検知すると、マルウェアに感染した感染端末の参加するマルチキャストグループに参加する感染端末以外の端末に、マルウェアを検知したことを示すメッセージを通知する。
【選択図】 図2
【特許請求の範囲】
【請求項1】
参加するマルチキャストグループ内で互いにピア・ツー・ピア通信する複数の端末と、
複数のマルチキャストグループに共通に参加して前記ピア・ツー・ピア通信を行う監視端末とを具備し、
前記監視端末は、
マルウェアを検知するマルウェア検知部と、
前記マルウェアを検知すると、前記マルウェアに感染した感染端末の参加するマルチキャストグループに参加する前記感染端末以外の端末に、前記マルウェアを検知したことを示すメッセージを通知する通知部とを備える、通信システム。
複数のマルチキャストグループに共通に参加して前記ピア・ツー・ピア通信を行う監視端末とを具備し、
前記監視端末は、
マルウェアを検知するマルウェア検知部と、
前記マルウェアを検知すると、前記マルウェアに感染した感染端末の参加するマルチキャストグループに参加する前記感染端末以外の端末に、前記マルウェアを検知したことを示すメッセージを通知する通知部とを備える、通信システム。
【請求項2】
前記通知部は、前記感染端末の参加するマルチキャストグループに前記メッセージをマルチキャストで送信する、請求項1に記載の通信システム。
【請求項3】
前記監視端末は、前記感染端末の参加するマルチキャストグループで前記感染端末のみが復号不能に前記メッセージを暗号化する暗号化部をさらに備え、
前記通知部は、前記暗号化されたメッセージをマルチキャストで送信する、請求項2に記載の通信システム。
前記通知部は、前記暗号化されたメッセージをマルチキャストで送信する、請求項2に記載の通信システム。
【請求項4】
前記監視端末は、
前記複数の端末に個別に割り当てられた公開鍵と、当該公開鍵と対をなす秘密鍵とを登録した鍵管理テーブルを備え、
前記暗号化部は、前記感染端末に割り当てられた公開鍵を用いて前記メッセージを暗号化する、請求項3記載の通信システム。
前記複数の端末に個別に割り当てられた公開鍵と、当該公開鍵と対をなす秘密鍵とを登録した鍵管理テーブルを備え、
前記暗号化部は、前記感染端末に割り当てられた公開鍵を用いて前記メッセージを暗号化する、請求項3記載の通信システム。
【請求項5】
前記端末の各々は、
前記複数の端末に個別に割り当てられた公開鍵と、自らに割り当てられた公開鍵以外の公開鍵と対をなす秘密鍵とを登録した鍵管理テーブルと、
前記感染端末に割り当てられた公開鍵と対をなす秘密鍵を用いて、前記暗号化されたメッセージから平文を復号する復号部とを備える、請求項4記載の通信システム。
前記複数の端末に個別に割り当てられた公開鍵と、自らに割り当てられた公開鍵以外の公開鍵と対をなす秘密鍵とを登録した鍵管理テーブルと、
前記感染端末に割り当てられた公開鍵と対をなす秘密鍵を用いて、前記暗号化されたメッセージから平文を復号する復号部とを備える、請求項4記載の通信システム。
【請求項6】
前記メッセージは、前記感染端末のMAC(Media Access Control)アドレスを含む、請求項1、4または5のいずれかに記載の通信システム。
【請求項7】
前記メッセージは、アプリケーションレベルで予め割り当てられた前記感染端末の識別子を含む、請求項1、4または5のいずれかに記載の通信システム。
【請求項8】
参加するマルチキャストグループ内で互いにピア・ツー・ピア通信する複数の端末を具備する通信システムに設けられ、複数のマルチキャストグループに共通に参加して前記ピア・ツー・ピア通信を行う監視端末であって、
マルウェアを検知するマルウェア検知部と、
前記マルウェアを検知すると、前記マルウェアに感染した感染端末の参加するマルチキャストグループに参加する前記感染端末以外の端末に、前記マルウェアを検知したことを示すメッセージを通知する通知部とを具備する、監視端末。
マルウェアを検知するマルウェア検知部と、
前記マルウェアを検知すると、前記マルウェアに感染した感染端末の参加するマルチキャストグループに参加する前記感染端末以外の端末に、前記マルウェアを検知したことを示すメッセージを通知する通知部とを具備する、監視端末。
【請求項9】
参加するマルチキャストグループ内で互いにピア・ツー・ピア通信する複数の端末を具備する通信システムに適用可能なマルウェア監視方法であって、
複数のマルチキャストグループに共通に参加して前記ピア・ツー・ピア通信を行う監視端末が、マルウェアを検知する過程と、
前記監視端末が、前記マルウェアを検知すると、前記マルウェアに感染した感染端末の参加するマルチキャストグループに参加する前記感染端末以外の端末に、前記マルウェアを検知したことを示すメッセージを通知する過程とを具備する、マルウェア監視方法。
複数のマルチキャストグループに共通に参加して前記ピア・ツー・ピア通信を行う監視端末が、マルウェアを検知する過程と、
前記監視端末が、前記マルウェアを検知すると、前記マルウェアに感染した感染端末の参加するマルチキャストグループに参加する前記感染端末以外の端末に、前記マルウェアを検知したことを示すメッセージを通知する過程とを具備する、マルウェア監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、通信システム、監視端末、およびマルウェア監視方法に関する。
【背景技術】
【0002】
P2P(Peer to Peer:ピア・ツー・ピア)方式でマルチキャスト通信を行うシステムが知られている。マルチキャストアドレスを宛先としてマルウェアが送信された場合、そのマルチキャストネットワークに参加(所属)する全てのノードが脅威にさらされる。このため、マルチキャスト通信を利用する環境でマルウェアの拡散を防ぐには、各端末でのエンドポイントセキュリティ対策が重要である。
【0003】
EDR(Endpoint Detection and Response)、あるいはアンチウイルスソフトウェアなどが、エンドポイントセキュリティ対策として普及している。しかし、これらのソフトウェアはメモリに常駐して端末のデータや振る舞いを監視するため多くのリソースを消費し、端末のスペックや用途によっては導入が難しい。加えて、パターンファイルの更新やログの解析等でサーバを利用するため、頻繁にサーバと通信する必要がある。このため、P2P方式のシステムでは利用することが困難であった。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第6786455号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
以上のように、既存の技術では、P2Pでマルチキャスト通信を行うシステムにおいてマルウェアの拡散を防止することが難しい場合があった。
そこで、目的は、マルウェアの拡散を効率的かつ迅速に阻止できるようにした通信システム、監視端末、およびマルウェア監視方法を提供することにある。
そこで、目的は、マルウェアの拡散を効率的かつ迅速に阻止できるようにした通信システム、監視端末、およびマルウェア監視方法を提供することにある。
【課題を解決するための手段】
【0006】
実施形態によれば、通信システムは、複数の端末と、監視端末とを具備する。複数の端末は、参加するマルチキャストグループ内で互いにP2P通信をする。監視端末は、複数のマルチキャストグループに共通に参加してP2P通信を行う。監視端末は、マルウェアを検知するマルウェア検知部、および通知部を備える。検知部がマルウェアを検知すると、通知部は、マルウェアに感染した感染端末の参加するマルチキャストグループに参加する感染端末以外の端末に、マルウェアを検知したことを示すメッセージを通知する。
【図面の簡単な説明】
【0007】
【発明を実施するための形態】
【0008】
図1は、実施形態に係わる通信システムの一例を示す図である。図1に示される通信システム100は、複数の端末11~16と、マルウェア検知端末としての監視端末20とを具備する。端末11~16を任意にグループ化して、通信システム100にマルチキャストグループを設定することができる。端末11~16、および監視端末20は、それぞれ参加するマルチキャストグループ内で互いにP2P通信をする。
【0009】
実施形態では、全てのマルチキャストグループに監視端末20を参加させ、マルチキャストグループ宛にマルウェアが送信された際に、監視端末20によりこれを検知し、他の端末に通知させる。
【0010】
図2は、通信システム100に設定されたマルチキャストグループの一例を示す図である。例えば、端末11はマルチキャストグループAとBに参加する。端末12はマルチキャストグループCに参加する。端末13はマルチキャストグループAとCに参加する。端末14はマルチキャストグループBに参加する。監視端末20は、マルチキャストグループA,B,Cに共通に参加する。つまり、監視端末20は全てのマルチキャストグループA,B,Cに参加してマルウェアを監視する。
【0011】
【0012】
通信部22は、他の端末とのP2P通信を実現する。例えばTCP/IP(Transmission Control Protocol / Internet Protocol)が代表的なプロトコルとして使用される。
【0013】
ストレージ23は、例えばHDD(Hard Disk Drive)やSSD(Soplid State Drive)などの不揮発性記憶デバイスであり、ファイルシステムによって割り当てられた記憶領域に、鍵管理テーブル23a、およびプログラム23bを記憶する。このうちプログラム23bは、メモリ25にロードされてプロセッサ21により実行され、これにより実施形態に係わる各種の機能が実現される。
【0014】
表示・操作部24は、それぞれの端末の操作者が操作するためのマンマシンインターフェースであり、例えばディスプレイにGUI(Graphical User Interface)環境を形成して、情報入力と表示を行う。
【0015】
メモリ25は、RAM(Random Access Memory)やROM(Read Only Memory)などの半導体記憶デバイスである。
プロセッサ21は、マルウェア検知部21a、通知部21b、および暗号化部21cを備える。
マルウェア検知部21aは、通信システム100におけるマルウェアを検知する。すなわちマルウェア検知部21aは、端末11~16から送信されたパケットを例えば常時監視し、パターンマッチング、振る舞い検知、あるいはディープパケットインスペクションなどの手法でマルウェアの存在を検知する。マルウェア検知のために必要となるデータ(ウイルスパターンデータ等)は、クラウドサーバ(図示せず)等からインターネットなどを経由して監視端末20にダウンロードされ、常に最新のデータが準備される。
プロセッサ21は、マルウェア検知部21a、通知部21b、および暗号化部21cを備える。
マルウェア検知部21aは、通信システム100におけるマルウェアを検知する。すなわちマルウェア検知部21aは、端末11~16から送信されたパケットを例えば常時監視し、パターンマッチング、振る舞い検知、あるいはディープパケットインスペクションなどの手法でマルウェアの存在を検知する。マルウェア検知のために必要となるデータ(ウイルスパターンデータ等)は、クラウドサーバ(図示せず)等からインターネットなどを経由して監視端末20にダウンロードされ、常に最新のデータが準備される。
【0016】
通知部21bは、マルウェア検知部21aによりいずれかのマルチキャストグループにマルウェアが検知されると、そのマルチキャストグループ内の感染端末(マルウェアに感染した端末)以外の端末に、そのことを通知する。すなわち通知部21bは、マルウェアが検知されると、感染端末以外の端末にのみ解読可能なメッセージをマルチキャストで送信する。これにより、感染端末を除くマルチキャストグループ内の全端末に、マルウェア検知が通知される。
【0017】
暗号化部21cは、マルウェア検知を通知するための上記メッセージを、例えば特許文献1に開示された手法で暗号化し、感染端末にだけ復号することのできない(復号不能な)メッセージを生成する。すなわち暗号化部21cは、感染端末の参加するマルチキャストグループにおいて、感染端末のみが復号不能にメッセージを暗号化する。
【0018】
詳しくは、暗号化部21cは、感染端末に割り当てられた公開鍵を用いてメッセージを暗号化する。このため実施形態では、通信システム100における、端末11~16、および監視端末20への公開鍵、および秘密鍵の割り当てを工夫する。詳しくは図5,6を参照して説明する。
【0019】
図4は、図1に示される端末11~16の一例を示す機能ブロック図である。端末11~16は、コンピュータであり、プロセッサ31、通信部32、ストレージ33、表示・操作部34、および、メモリ35を備える。ここでは、図3と異なる部分について説明する。
【0020】
ストレージ33は、鍵管理テーブル33a、およびプログラム33bを記憶する。
【0021】
プロセッサ31は、復号部31aを備える。
復号部31aは、監視端末20の暗号化部21cで暗号化されたメッセージを復号する。すなわち復号部31aは、暗号化されたメッセージを、感染端末に割り当てられた公開鍵と対をなす秘密鍵を用いて復号する。
復号部31aは、監視端末20の暗号化部21cで暗号化されたメッセージを復号する。すなわち復号部31aは、暗号化されたメッセージを、感染端末に割り当てられた公開鍵と対をなす秘密鍵を用いて復号する。
【0022】
図5は、端末11~16に記憶される鍵管理テーブル23aのエントリの一例を示す図である。図5において、#11~#16はそれぞれシステム100に参加する端末11~16のID情報であり、アプリケーションレベルで各端末に予め一意に割り当てられる。また、監視端末20のID情報を、#20とする。
【0023】
図示されるように、自らに割り当てられた公開鍵(Public keys:PK)と、他の端末に割り当てられた公開鍵とが鍵管理テーブル23aに登録される。つまり端末11~16は、システム100の端末に割り当てられた公開鍵の全てを記憶する。秘密鍵(Secret Keys:SK)については、他端末の公開鍵と対となる秘密鍵が登録され、自らに割り当てられた公開鍵の対となる秘密鍵は、鍵管理テーブル23aに登録されない。
【0024】
図5において、端末11の鍵管理テーブルには、端末12(#12)~端末16(#16)の秘密鍵(SK12~SK16)が登録される。自らに割り当てられた公開鍵(PK11)と対をなす秘密鍵は登録されない((-)で示す)。
【0025】
端末12の鍵管理テーブルには、端末11(#11)、端末13(#13)~端末16(#16)の秘密鍵(SK11,SK13~SK16)が登録される。自らに割り当てられた公開鍵(PK12)と対をなす秘密鍵は登録されない(-)。
【0026】
端末13の鍵管理テーブルには、端末11(#11)、端末12(#12)、端末14(#14)~端末16(#16)の秘密鍵(SK11,SK12,SK14~SK16)が登録される。自らに割り当てられた公開鍵(PK13)と対をなす秘密鍵は登録されない(-)。
【0027】
端末14の鍵管理テーブルには、端末11(#11)~端末13(#13)、端末15(#15)、端末16(#16)の秘密鍵(SK11~SK13,SK15,SK16)が登録される。自らに割り当てられた公開鍵(PK14)と対をなす秘密鍵は登録されない(-)。
【0028】
端末15の鍵管理テーブルには、端末11(#11)~端末14(#14)、端末16(#16)の秘密鍵(SK11~SK14,SK16)が登録される。自らに割り当てられた公開鍵(PK15)と対をなす秘密鍵は登録されない(-)。
【0029】
端末16の鍵管理テーブルには、端末11(#11)~端末15(#15)の秘密鍵(SK11~SK15)が登録される。自らに割り当てられた公開鍵(PK16)と対をなす秘密鍵は登録されない(-)。
【0030】
すなわち鍵管理テーブルには、自端末の公開鍵と、他端末の公開鍵と秘密鍵のペアとが登録される。つまり鍵管理テーブルには、システム100における複数の端末に個別に割り当てられた公開鍵と、自らに割り当てられた公開鍵以外の公開鍵と対をなす秘密鍵とが登録され、自らに割り当てられた公開鍵と対をなす秘密鍵だけが登録されない。なお、監視端末20については、鍵管理テーブルの対象外とする。
【0031】
図6は、監視端末20に記憶される鍵管理テーブル33aのエントリの一例を示す図である。監視端末20の鍵管理テーブル33aには、システム100に参加する端末と個別に通信するための、公開鍵、秘密鍵のペアが登録される。
【0032】
次に、上記構成における作用を説明する。
図7は、実施形態に係わる処理手順の一例を示すシーケンス図である。図7において、監視端末20は、端末11~16から送信されたパケットをキャプチャし、既存のウイルス解析技術などに基づいて解析する(ステップS1)。解析の結果マルウェアを検知すると(ステップS2でYes)、監視端末20は感染端末を特定する(ステップS3)。例えば、キャプチャしたパケットの送信元MAC(Media Access Control)アドレスを参照して感染端末を特定することができる。
図7は、実施形態に係わる処理手順の一例を示すシーケンス図である。図7において、監視端末20は、端末11~16から送信されたパケットをキャプチャし、既存のウイルス解析技術などに基づいて解析する(ステップS1)。解析の結果マルウェアを検知すると(ステップS2でYes)、監視端末20は感染端末を特定する(ステップS3)。例えば、キャプチャしたパケットの送信元MAC(Media Access Control)アドレスを参照して感染端末を特定することができる。
【0033】
例えば、端末#14がマルウェアに感染していることが判明すると、監視端末20は、マルウェアを検知したことを示すメッセージを作成する(ステップS4)。さらに、監視端末20は、このメッセージを、感染端末である端末#14だけが復号できないように暗号化し(ステップS5)、端末#14の参加するマルチキャストグループBにマルチキャストで送信する(ステップS6)。
【0034】
ここで、実施形態での暗号化の手法について説明する。暗号化されたメッセージは、マルチキャストで送信されたグループに参加する全ての端末で受信されるが、このうち感染端末である端末#14だけが復号できないようにすればよい。そこで監視端末20は、平文メッセージMoから、式(1)のようにして暗号化メッセージMeを生成する。
Me = Mo・PK14 … (1)
つまり、監視端末20の暗号化部21cは、感染端末#14に割り当てられた公開鍵(PK14)を用いて平文メッセージMoを暗号化する。
Me = Mo・PK14 … (1)
つまり、監視端末20の暗号化部21cは、感染端末#14に割り当てられた公開鍵(PK14)を用いて平文メッセージMoを暗号化する。
【0035】
暗号化メッセージMeを受信した端末#11は、秘密鍵SK14を記憶しているので(図5)、秘密鍵SK14を用いて暗号化メッセージMeから平文メッセージMoを復号することができる。つまり端末#11の復号部31aは、感染端末#14に割り当てられた公開鍵(PK14)と対をなす秘密鍵(SK14)を用いて、暗号化メッセージMeから平文メッセージMoを復号することができる(ステップS8)。
【0036】
一方、暗号化メッセージMeを受信した端末#14は、秘密鍵SK14を記憶していない。したがって、端末#14は、平文メッセージMoを復号することができない(ステップS7)。
【0037】
このようにして、P2P環境でのマルチキャストにおいても、感染端末には知られない形で、健全な端末にマルウェア検知を通知することが可能となる。もちろん、以上の議論は、多数の端末が参加するマルチキャストグループに対しても同様に当てはめることができる。
【0038】
ここで、暗号化の手法についてさらに説明する。一般に、nの端末#11~#1nが参加しているマルチキャストグループにおいて、端末#1mがマルウェアに感染した場合、式(1)は、式(2)のように一般化することができる。
【0039】
Me = Mo・PK1m … (2)
つまり、監視端末20の暗号化部21cは、感染端末#1mに割り当てられた公開鍵(PK1m)を用いて平文メッセージMoを暗号化する。
つまり、監視端末20の暗号化部21cは、感染端末#1mに割り当てられた公開鍵(PK1m)を用いて平文メッセージMoを暗号化する。
【0040】
図8は、マルチキャストグループB宛てのマルウェアが到来したことを説明するための図である。監視端末20は、マルチキャストグループB宛てのマルウェアを検知すると、その送信元のMACアドレスを確認し、マルチキャストグループB内の他の端末にメッセージを通知する。
【0041】
図9は、監視端末20からのメッセージに含まれる情報の一例を示す図である。メッセージは、マルウェアを検知したことを示すフラグ情報などの[検知通知]と、感染端末の[MACアドレス情報]とを含む。メッセージを受信したマルチキャストグループBの各端末は、解読したメッセージに含まれる[MACアドレス情報]を記憶し、当該MACアドレスからの通信を拒否する。なお、[MACアドレス情報]はグループA,Cに送信されてもよい。このようにすることで、MAC副層、つまりレイヤ2(L2:データリンク層)でのマルウェア対策を実現することができる。
【0042】
図10は、マルウェア感染端末が通信システム100から隔離された状態を示す図である。MACアドレスを用いることで、感染源をレイヤ2レベルで隔離することが可能になる。
【0043】
図11は、マルチキャストグループB内の端末がマルウェアに感染したことを説明するための図である。すでに説明したように、監視端末20は、感染端末のみが復号不能な暗号化メッセージをマルチキャストで送信する。
【0044】
図12は、監視端末20からのメッセージに含まれる情報の他の例を示す図である。メッセージは、[検知通知]、および感染端末の[MACアドレス情報]に加え、感染端末の[ID情報]を含んでもよい。メッセージに感染端末の[MACアドレス情報]と[ID情報]とを含めることで、レイヤ2レベルに加えてアプリケーション層、つまりレイヤ7(L7:アプリケーション層)レベルでのマルウェア対策を施すことができる。つまり健全な端末は、感染端末からの通信をレイヤ2レベル、レイヤ7レベルの2段階にわたり拒否することが可能になるので、マルウェアの感染拡大リスクをさらに低くすることができる。
【0045】
以上説明したようにこの実施形態では、全てのマルチキャストグループに監視端末20を参加させ、マルチキャストグループ宛の通信を常時監視させる。監視端末20は、他の端末を代表してウイルスパターンファイルをインターネット経由で取得するとともに、ディープパケットインスペクション、振る舞い検知などの機能を備えて、受信パケットを常時監視する。マルウェアを検知すると、監視端末20は当該グループに参加する全ての端末に暗号化メッセージを通知する。これにより、マルウェアの速やかな封じ込めが可能になり、ひいては保全対応が可能になる。
【0046】
マルウェアの送信元が感染端末であった場合、その端末もいずれかのマルチキャストグループに参加している可能性がある。その場合には、監視端末20からの通知が感染端末には届かないよう、感染端末を除外した暗号化通信を実施する。この通信には特許文献1の技術を利用することができる。すなわち、各端末は、自端末の公開鍵と、他端末の公開鍵と秘密鍵のペアとを記憶する。
【0047】
実施形態により、マルチキャストネットワークにおいて、マルウェア侵入を検知し、効率的に初期対応を行うことが可能になる。例えば、複数のマルチキャストグループで構成される通信システムにマルウェアが送り込まれた場合、当該マルチキャストグループ内での効率的な初動対応と、他のマルチキャストグループへの拡散防止対応を実現することができる。
【0048】
すなわち、マルウェア検知メッセージを暗号化して、当該マルチキャストグループへの全ての参加端末に送信し、感染端末を除外した通信でマルウェアの検知を通知する。さらに、全てのマルチキャストグループに向けてマルウェア送信元端末(感染端末)のMACアドレスを通知する。これにより、各端末において、感染源のMACアドレスからのパケットを拒否することができる。
【0049】
さらに、ネットワーク内の全ての端末にあらかじめID情報を付与しておき、アプリケーション層で端末を識別できるようにする。これにより、感染端末からのマルウェア拡散が発生した際には、監視端末20から当該感染端末のID情報を他の参加端末へ通知することで、各端末で感染端末からのパケットを拒否することができる。
【0050】
これらのことから、実施形態によれば、P2Pでマルチキャスト通信を行うシステムにおいて、マルウェアを確実に検知して拡散を防止することができる。これにより、端末のマシンスペックに拠らずとも、セキュリティを確実に確保することが可能になる。ひいては、マルウェアの拡散を効率的かつ迅速に阻止できるようにした通信システム、監視端末、およびマルウェア監視方法を提供することが可能になる。
【0051】
なお、この発明は実施形態に限定されるものではない。例えば、端末の数は図示したような6個に限定されるものではない。
また、P2P通信のプロトコルとして、TCPに代えてUDP(User Datagram Protocol)を適用しても良い。あるいは、UDP上のQUIC(Quick UDP Internet Connections)を適用することもできる。
また、P2P通信のプロトコルとして、TCPに代えてUDP(User Datagram Protocol)を適用しても良い。あるいは、UDP上のQUIC(Quick UDP Internet Connections)を適用することもできる。
【0052】
実施形態を説明したが、この実施形態は例として提示するものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。この実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0053】
11~16…端末、20…監視端末、21…プロセッサ、21a…マルウェア検知部、21b…通知部、21c…暗号化部、22…通信部、23…ストレージ、23a…鍵管理テーブル、23b…プログラム、24…表示・操作部、25…メモリ、31…プロセッサ、31a…復号部、32…通信部、33…ストレージ、33a…鍵管理テーブル、33b…プログラム、34…表示・操作部、35…メモリ、100…通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
