特開2024-93470不正アクセス検知装置、不正アクセス検知方法及び不正アクセス検知プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024093470
(43)【公開日】2024-07-09
(54)【発明の名称】不正アクセス検知装置、不正アクセス検知方法及び不正アクセス検知プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240702BHJP
【FI】
G06F21/55 320
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2022209862
(22)【出願日】2022-12-27
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】田淵 純一
(57)【要約】
【課題】少数のアクセスであっても不正アクセスを検知できる不正アクセス検知装置、不正アクセス検知方法及び不正アクセス検知プログラムを提供すること。
【解決手段】不正アクセス検知装置1は、ネットワークを介してサーバにアクセスした通信情報を取得する通信情報取得部11と、通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得部12と、同一のIPアドレスからサーバへのアクセス数を、スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウント部13と、所定期間におけるアクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御部14と、を備える。
【選択図】図1
【解決手段】不正アクセス検知装置1は、ネットワークを介してサーバにアクセスした通信情報を取得する通信情報取得部11と、通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得部12と、同一のIPアドレスからサーバへのアクセス数を、スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウント部13と、所定期間におけるアクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御部14と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワークを介してサーバにアクセスした通信情報を取得する通信情報取得部と、
前記通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得部と、
同一のIPアドレスから前記サーバへのアクセス数を、前記スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウント部と、
所定期間における前記アクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御部と、を備える不正アクセス検知装置。
前記通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得部と、
同一のIPアドレスから前記サーバへのアクセス数を、前記スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウント部と、
所定期間における前記アクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御部と、を備える不正アクセス検知装置。
【請求項2】
前記アクセス数カウント部は、前記通信情報に基づく所定のルールに応じて、前記アクセス数をさらに重み付けしてカウントする請求項1に記載の不正アクセス検知装置。
【請求項3】
前記スコア取得部は、前記IDに対して、辞書データに含まれる単語との類似度が低く、かつ、総当たり攻撃が難しいほど、相対的に高いスコアを取得する請求項1又は請求項2に記載の不正アクセス検知装置。
【請求項4】
ネットワークを介してサーバにアクセスした通信情報を取得する通信情報取得ステップと、
前記通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得ステップと、
同一のIPアドレスから前記サーバへのアクセス数を、前記スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウントステップと、
所定期間における前記アクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御ステップと、をコンピュータが実行する不正アクセス検知方法。
前記通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得ステップと、
同一のIPアドレスから前記サーバへのアクセス数を、前記スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウントステップと、
所定期間における前記アクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御ステップと、をコンピュータが実行する不正アクセス検知方法。
【請求項5】
請求項1又は請求項2に記載の不正アクセス検知装置としてコンピュータを機能させるための不正アクセス検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセスの検知手法に関する。
【背景技術】
【0002】
従来、インターネットを介したサービスを提供するにあたり、オンラインの不正行為への対策が不可欠となっている。例えば、非特許文献1において、不正利用の可能性があるアカウントに対して電話又は電子メールによる検証等の追加チェックを行う認証システムが紹介されている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Amazon Fraud Detector、インターネット<https://aws.amazon.com/jp/fraud-detector/>
【発明の概要】
【発明が解決しようとする課題】
【0004】
より高度な不正アクセス攻撃による被害の増加に伴い、不正アクセスを防ぐための技術が必要とされている。
不正アクセスを検知する技術としては、例えば、特定のIPアドレスからの大量アクセスを不正利用として検知するものが知られているが、大量アクセスと判定される前にIPアドレスを変更する等の手法によって検知を逃れられるため、効果が薄くなっている。
一方で、プロクシ経由でのアクセスの存在から、同一IPアドレスからの大量アクセスと見なす時間あたりアクセス数の閾値を減らすことは、誤検知の増加を招くため困難だった。
不正アクセスを検知する技術としては、例えば、特定のIPアドレスからの大量アクセスを不正利用として検知するものが知られているが、大量アクセスと判定される前にIPアドレスを変更する等の手法によって検知を逃れられるため、効果が薄くなっている。
一方で、プロクシ経由でのアクセスの存在から、同一IPアドレスからの大量アクセスと見なす時間あたりアクセス数の閾値を減らすことは、誤検知の増加を招くため困難だった。
【0005】
本発明は、少数のアクセスであっても不正アクセスを検知できる不正アクセス検知装置、不正アクセス検知方法及び不正アクセス検知プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る不正アクセス検知装置は、ネットワークを介してサーバにアクセスした通信情報を取得する通信情報取得部と、前記通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得部と、同一のIPアドレスから前記サーバへのアクセス数を、前記スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウント部と、所定期間における前記アクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御部と、を備える。
【0007】
前記アクセス数カウント部は、前記通信情報に基づく所定のルールに応じて、前記アクセス数をさらに重み付けしてカウントしてもよい。
【0008】
前記スコア取得部は、前記IDに対して、辞書データに含まれる単語との類似度が低く、かつ、総当たり攻撃が難しいほど、相対的に高いスコアを取得してもよい。
【0009】
本発明に係る不正アクセス検知方法は、ネットワークを介してサーバにアクセスした通信情報を取得する通信情報取得ステップと、前記通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得するスコア取得ステップと、同一のIPアドレスから前記サーバへのアクセス数を、前記スコアが高いほど、相対的に大きな数値で重み付けしてカウントするアクセス数カウントステップと、所定期間における前記アクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行うアクセス制御ステップと、をコンピュータが実行する。
【0010】
本発明に係る不正アクセス検知プログラムは、前記不正アクセス検知装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0011】
本発明によれば、少数のアクセスであっても不正アクセスを検知できる。
【図面の簡単な説明】
【0012】
【図1】実施形態における不正アクセス検知装置の機能構成を示す図である。
【図2】実施形態におけるスコア取得部が用いるパスワード複雑性検出ソフトウェアの出力を例示する第1の図である。
【図3】実施形態におけるスコア取得部が用いるパスワード複雑性検出ソフトウェアの出力を例示する第2の図である。
【図4】実施形態におけるスコア取得部が用いるパスワード複雑性検出ソフトウェアの出力を例示する第3の図である。
【図5】実施形態における不正アクセス検知方法の処理手順を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態の一例について説明する。
本実施形態の不正アクセス検知方法では、不正アクセスの検知対象であるサーバにログイン中、又はログインしようとしているIDの複雑性(ランダム性)を指標として、攻撃者が自動生成した可能性の高いIDによるアクセスに、より高い重み付けをしてアクセス数をカウントすることによりアクセス制限が行われる。
本実施形態の不正アクセス検知方法では、不正アクセスの検知対象であるサーバにログイン中、又はログインしようとしているIDの複雑性(ランダム性)を指標として、攻撃者が自動生成した可能性の高いIDによるアクセスに、より高い重み付けをしてアクセス数をカウントすることによりアクセス制限が行われる。
【0014】
図1は、本実施形態における不正アクセス検知装置1の機能構成を示す図である。
不正アクセス検知装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置であり、検知対象のサーバに対する通信情報を取得し、不正が疑われるIDからのアクセスを検知する。
なお、不正アクセス検知装置1は、検知対象のサーバの機能として組み込まれてもよいが、所定のネットワーク内の通信情報を収集可能な、外部の管理サーバとして構成されてもよい。
不正アクセス検知装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置であり、検知対象のサーバに対する通信情報を取得し、不正が疑われるIDからのアクセスを検知する。
なお、不正アクセス検知装置1は、検知対象のサーバの機能として組み込まれてもよいが、所定のネットワーク内の通信情報を収集可能な、外部の管理サーバとして構成されてもよい。
【0015】
制御部10は、不正アクセス検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0016】
記憶部20は、ハードウェア群を不正アクセス検知装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
【0017】
制御部10は、通信情報取得部11と、スコア取得部12と、アクセス数カウント部13と、アクセス制御部14とを備える。
【0018】
通信情報取得部11は、ネットワークを介してサーバにアクセスした通信情報を取得する。通信情報には、少なくともアクセス元のIPアドレス、及びアクセスしたユーザのIDが含まれる。
【0019】
スコア取得部12は、通信情報におけるユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得する。
【0020】
ここで、スコア取得部12は、例えば「zxcvbn」等の既知のソフトウェアを用いて、IDに対して、辞書データに含まれる単語との類似度が低く、かつ、総当たり攻撃が難しいほど、相対的に高いスコアを取得する。
スコアが高いとは、パスワードとしての複雑性、すなわち安全性(強度)が高いことを表し、IDに流用した場合には、スコアが高いIDは、ランダム性が高く自動生成された可能性が高いことを示している。
スコアが高いとは、パスワードとしての複雑性、すなわち安全性(強度)が高いことを表し、IDに流用した場合には、スコアが高いIDは、ランダム性が高く自動生成された可能性が高いことを示している。
【0021】
アクセス数カウント部13は、通信情報から得られたアクセス元のIPアドレスから検知対象のサーバへのアクセス数を、スコアが高いほど、相対的な大きな数値(≧1)で重み付けしてカウントする。
また、アクセス数カウント部13は、通信情報に基づく所定のルールに応じて、さらに重みを調整してもよい。具体的には、例えば、アクセス元のIPアドレスをドメインに応じて評価し、予め定義された不正が疑われるドメインからのアクセスについて、あるいは、他の既知の検知手法により不正が疑われるアクセスについて、アクセス数がさらに数倍、又は数十倍等にカウントされてもよい。
また、アクセス数カウント部13は、通信情報に基づく所定のルールに応じて、さらに重みを調整してもよい。具体的には、例えば、アクセス元のIPアドレスをドメインに応じて評価し、予め定義された不正が疑われるドメインからのアクセスについて、あるいは、他の既知の検知手法により不正が疑われるアクセスについて、アクセス数がさらに数倍、又は数十倍等にカウントされてもよい。
【0022】
アクセス制御部14は、所定期間においてカウントされたアクセス数が閾値を超えた場合に、不正アクセスと判断して、同一のIPアドレスからのアクセスを拒否したり、ユーザに対して警告メッセージを提示したりといった所定のアクセス制御を行う。
【0023】
図2~図4は、本実施形態におけるスコア取得部12が用いるパスワード複雑性検出ソフトウェアの出力を例示する図である。
ここでは、パスワード複雑性検出ソフトウェアの「zxcvbn」に対して、本来の用途であるパスワードではなく、「Tr0ub4dour&3」、「jAFdeaOVZa3fnnsea7eiNR」、「s1mple」という三つのIDをそれぞれ入力した場合に出力される評価結果を例示している。
ここでは、パスワード複雑性検出ソフトウェアの「zxcvbn」に対して、本来の用途であるパスワードではなく、「Tr0ub4dour&3」、「jAFdeaOVZa3fnnsea7eiNR」、「s1mple」という三つのIDをそれぞれ入力した場合に出力される評価結果を例示している。
【0024】
パスワード複雑性検出ソフトウェアは、入力文字列に対してパスワードとしての評価を行うためのものであり、例えば、「a」を「@」に置き換えたもののスコアを低く評価する等、英単語等として視認性が残っている文字列は、パスワードとして適さないと評価される。
IDのようにユーザ自身の名前として他者に見せることが想定されている値の場合、著しく視認性が悪い値を用いるユーザは、IDを自動生成生成している可能性が高く、攻撃性の不正アクセスを行なっている可能性が高いと言える。したがって、より高いスコア、すなわち推測され難く安全なパスワードと示されたIDを低く評価し、2回以上の連続アクセスとして重み付けすることにより、少数のアクセスでも不正なアクセスとして判定させる。
IDのようにユーザ自身の名前として他者に見せることが想定されている値の場合、著しく視認性が悪い値を用いるユーザは、IDを自動生成生成している可能性が高く、攻撃性の不正アクセスを行なっている可能性が高いと言える。したがって、より高いスコア、すなわち推測され難く安全なパスワードと示されたIDを低く評価し、2回以上の連続アクセスとして重み付けすることにより、少数のアクセスでも不正なアクセスとして判定させる。
【0025】
例えば、「Tr0ub4dour&3」のスコアは2、ランダム性がより高く推測が難しい「jAFdeaOVZa3fnnsea7eiNR」のスコアは4、英単語に類似し推測が比較的容易な「s1mple」のスコアは0のように、パスワード複雑性検出ソフトウェアに入力されたIDは、5段階のスコアで評価されている。
アクセス数カウント部13は、このスコアに応じて、例えば、スコア0なら1回、スコア1なら10回、…のように、重み付けした回数をカウントする。
アクセス数カウント部13は、このスコアに応じて、例えば、スコア0なら1回、スコア1なら10回、…のように、重み付けした回数をカウントする。
【0026】
図5は、本実施形態における不正アクセス検知方法の処理手順を示すフローチャートである。
この処理は、一定周期、又は通信を検知したとき等、所定のタイミングで繰り返し実行される。
この処理は、一定周期、又は通信を検知したとき等、所定のタイミングで繰り返し実行される。
【0027】
ステップS1において、通信情報取得部11は、検知対象のサーバへのアクセスに関する通信情報を取得する。
【0028】
ステップS2において、スコア取得部12は、アクセス元のユーザのIDを取得すると、パスワード複雑性検出ソフトウェアを用いて、このIDの複雑性を示すスコアを取得する。
【0029】
ステップS3において、アクセス数カウント部13は、ステップS2で取得されたスコアに応じて、アクセス数に対する重み値(≧1)を決定する。
【0030】
ステップS4において、アクセス数カウント部13は、アクセス元のIPアドレス毎に、ステップS3で決定した重み値の分だけ、検知対象のサーバへの所定期間内のアクセス数をカウントする。
【0031】
ステップS5において、アクセス制御部14は、ステップS4においてカウントされたアクセス数が予め設定されている閾値を超えたか否かを判定する。この判定がYESの場合、処理はステップS6に移り、判定がNOの場合、処理は終了する。
【0032】
ステップS6において、アクセス制御部14は、ステップS5においてアクセス数が閾値を超えたIPアドレスについて、該当のIPアドレスからのアクセスを拒否、あるいは、該当ユーザ(ID)に対して警告を出力してアクセスを制限する。
【0033】
本実施形態によれば、不正アクセス検知装置1は、サーバにアクセスしたユーザのIDを、パスワード複雑性検出ソフトウェアに入力し、文字列の複雑さに基づくパスワードとしての安全性の高さを示すスコアを取得し、同一のIPアドレスからサーバへのアクセス数を、スコアが高いほど相対的に大きな数値で重み付けしてカウントする。
これにより、不正アクセス検知装置1は、所定期間におけるアクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行う際に、自動生成が疑われるランダムな文字列をIDとしたアクセスに対して、より大きな重み付けをするので、少数のアクセスであっても、攻撃者がIPアドレスを変える前に閾値を超えることとなり、不正アクセスを適切に検知できる。
これにより、不正アクセス検知装置1は、所定期間におけるアクセス数が閾値を超えた場合に、不正アクセスと判断して所定のアクセス制御を行う際に、自動生成が疑われるランダムな文字列をIDとしたアクセスに対して、より大きな重み付けをするので、少数のアクセスであっても、攻撃者がIPアドレスを変える前に閾値を超えることとなり、不正アクセスを適切に検知できる。
【0034】
不正アクセス検知装置1は、通信情報に基づく所定のルールに応じて、アクセス数をさらに重み付けしてカウントすることにより、他の判断基準を加味した指標によって不正アクセスを検知するので、検知精度の向上が期待できる。
【0035】
不正アクセス検知装置1は、IDに対して、辞書データに含まれる単語との類似度が低く、かつ、総当たり攻撃が難しいほど、相対的に高いスコアを取得する手法により、自動的にランダム生成された攻撃者のIDを効率的に判別し、不正アクセスを適切に検知できる。
【0036】
なお、これにより、例えば、ネットワーク上の不正アクセスを検知してサービスへの不正なログインを抑制できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進すると共に、イノベーションの拡大を図る」に貢献することが可能となる。
【0037】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0038】
不正アクセス検知装置1による不正アクセス検知方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0039】
1 不正アクセス検知装置
10 制御部
11 通信情報取得部
12 スコア取得部
13 アクセス数カウント部
14 アクセス制御部
20 記憶部
10 制御部
11 通信情報取得部
12 スコア取得部
13 アクセス数カウント部
14 アクセス制御部
20 記憶部
【図1】
【図2】
【図3】
【図4】
【図5】