(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-12-12
(45)【発行日】2022-12-20
(54)【発明の名称】不正アクセス監視システム、不正アクセス監視方法及び不正アクセス監視プログラム
(51)【国際特許分類】
G06F 21/31 20130101AFI20221213BHJP
G06F 21/45 20130101ALI20221213BHJP
G06F 21/55 20130101ALI20221213BHJP
【FI】
G06F21/31
G06F21/45
G06F21/55
(21)【出願番号】P 2019026848
(22)【出願日】2019-02-18
【審査請求日】2021-11-09
(73)【特許権者】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】山下 聖悟
【審査官】平井 誠
(56)【参考文献】
【文献】特開2009-089279(JP,A)
【文献】特開2005-283843(JP,A)
【文献】特開2009-169615(JP,A)
【文献】特開2016-062409(JP,A)
【文献】特開2009-176323(JP,A)
【文献】特開2015-207241(JP,A)
【文献】特開2002-041468(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-88
(57)【特許請求の範囲】
【請求項1】
所定の監視対象装置に対するログイン認証を監視する監視部と、
前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する判定部と、
を有
し、
前記判定部は、パスワードのリトライ回数が所定の閾値以上に達する前記端末から前記監視対象装置へのアクセスが不正アクセスであるか否かを過去所定回数の前記一致率の統計値に基づいて判定する、
ことを特徴とする不正アクセス監視システム。
【請求項2】
前記判定部は、前記一致率が所定の閾値未満である場合、前記端末からのアクセスが不正アクセスであると判定することを特徴とする請求項1に記載の不正アクセス監視システム。
【請求項3】
前記端末からのアクセスが不正アクセスと判定された場合、所定のおとりサーバへのログインを誘導する誘導部と、
前記端末を前記おとりサーバへ誘導後、前記端末からのリモート操作に基づいて前記おとりサーバから外部へアクセスするパケットに前記端末に関する所定のデータを付加する付加部と、
前記所定のデータに関連付けて前記おとりサーバから外部へアクセスするログを記録する記録部とをさらに有することを特徴とする請求項1に記載の不正アクセス監視システム。
【請求項4】
所定の監視対象装置に対するログイン認証を監視し、
前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する、
処理をコンピュータに実行させ
、
前記判定する処理は、パスワードのリトライ回数が所定の閾値以上に達する前記端末から前記監視対象装置へのアクセスが不正アクセスであるか否かを過去所定回数の前記一致率の統計値に基づいて判定する処理を含む、
ことを特徴とする不正アクセス監視プログラム。
【請求項5】
所定の監視対象装置に対するログイン認証を監視し、
前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する、
処理をコンピュータが実行
し、
前記判定する処理は、パスワードのリトライ回数が所定の閾値以上に達する前記端末から前記監視対象装置へのアクセスが不正アクセスであるか否かを過去所定回数の前記一致率の統計値に基づいて判定する処理を含む、
ことを特徴とする不正アクセス監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス監視システム、不正アクセス監視方法及び不正アクセス監視プログラムに関する。
【背景技術】
【0002】
不正アクセスに対処する技術の一例として、不正利用検出可能ネットワークシステムが提案されている。例えば、不正利用検出可能ネットワークシステムでは、連続して誤った認証情報を連続して入力した回数と一連の認証動作が行われた期間と最後に正しい認証情報を入力しログインが成功したのか最後まで不成功に終わったかのかが不正アクセスの判断基準とされる。
【先行技術文献】
【特許文献】
【0003】
【文献】特開平10-340254号公報
【文献】特開2006-180389号公報
【文献】特開2002-7234号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の技術では、不正アクセスの判定精度が低下する場合がある。
【0005】
すなわち、上記の不正利用検出可能ネットワークシステムでは、最後に正しい認証情報を入力しログインが成功したのか、あるいは最後まで不成功に終わったかのかが不正アクセスの判断基準とされる。ところが、最後に正しい認証情報が入力されたからといって一連のアクセスがアクセス権限を有する者による正常なアクセスとは限らない。なぜなら、一連のアクセスのうち最後のアクセスで入力された認証情報だけが正しかったという一面を指すものに過ぎず、全てのアクセスが正常なアクセスであるという根拠には欠ける側面があるからである。また、最後までログインが不成功に終わったからといって一連のアクセスが不正アクセスによるサイバー攻撃であるとも限らない。なぜなら、一連のアクセスで入力された認証情報が誤りであったとしても、その原因がアクセス権限を有する者の操作ミスや記憶違いであるケースがあるからである。
【0006】
1つの側面では、本発明は、不正アクセスの判定精度を向上させることができる不正アクセス監視システム、不正アクセス監視方法及び不正アクセス監視プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
一態様では、不正アクセス監視システムは、所定の監視対象装置に対するログイン認証を監視する監視部と、前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する判定部と、を有する。
【発明の効果】
【0008】
不正アクセスの判定精度を向上させることができる。
【図面の簡単な説明】
【0009】
【
図1】
図1は、実施例1に係る不正アクセス監視システムの構成例を示す図である。
【
図5】
図5は、実施例1に係るおとりサーバの機能的構成の一例を示すブロック図である。
【
図7】
図7は、おとりサーバへのログイン画面の一例を示す図である。
【
図8】
図8は、不正アクセスの一例を示す図である。
【
図9】
図9は、アクセスログ情報の一例を示す図である。
【
図10】
図10は、実施例1に係る不正アクセス監視処理の手順を示すフローチャートである。
【
図11】
図11は、実施例1に係るアクセスログ更新処理の手順を示すフローチャートである。
【
図12】
図12は、実施例1に係るアラート出力処理の手順を示すフローチャートである。
【
図13】
図13は、実施例1及び実施例2に係る不正アクセス監視プログラムを実行するコンピュータのハードウェア構成例を示す図である。
【発明を実施するための形態】
【0010】
以下に添付図面を参照して本願に係る不正アクセス監視システム、不正アクセス監視方法及び不正アクセス監視プログラムについて説明する。なお、この実施例は開示の技術を限定するものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
【実施例1】
【0011】
[システム構成]
図1は、実施例1に係る不正アクセス監視システムの構成例を示す図である。
図1に示す不正アクセス監視システム1は、端末2から監視対象装置7A~7Nへの不正アクセスを監視する不正アクセス監視サービスを提供するものである。
【0012】
図1に示すように、不正アクセス監視システム1には、端末2と、NW(NetWork)装置5A~5Nと、監視対象装置7A~7Nと、おとりサーバ10A~10Nとが含まれ得る。以下では、NW装置5A~5Nのことを「NW装置5」と記載し、監視対象装置7A~7Nのことを「監視対象装置7」と記載すると共に、おとりサーバ10A~10Nのことを「おとりサーバ10」と記載する場合がある。
【0013】
これらのうち、監視対象装置7及びそれに対応するおとりサーバ10は、宅内や構内に構築されるLAN(Local Area Network)などの内部ネットワーク3に属する。この内部ネットワーク3は、宅外、あるいは構外のネットワーク、例えばインターネットなどとNW装置5を介して接続される。
【0014】
端末2は、外部ネットワーク4に接続される任意のコンピュータに対応する。
図1では、外部ネットワーク4の末端に位置するという側面からその一面を指すラベルを端末2として付与したが、このラベルによって端末2のハードウェア構成やソフトウェア機能は限定されない。
【0015】
NW装置5は、内部ネットワーク3に属するネットワークデバイスの一例に対応する。例えば、NW装置5は、内部ネットワーク3の構築に用いられる他、外部ネットワーク4を介する監視対象装置7へのアクセスを監視するためにも用いることができる。
【0016】
あくまでNW装置5の一例として、監視対象装置7に接続されるエッジルータやエッジスイッチなどのデータ転送装置が挙げられる。このようなNW装置5上で動作するSNMP(Simple Network Management Protocol)エージェントがSNMPマネージャへ送信するSNMPトラップ等を介して、監視対象装置7に対する外部アクセスを監視することができる。なお、NW装置5の実態は、必ずしも上記のデータ転送装置に限定されない。例えば、監視対象装置7に対する外部アクセスを監視できるものであれば、他のネットワークデバイス、例えばオープンフローコントローラやIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)であってもかまわない。
【0017】
監視対象装置7は、上記の不正アクセス監視サービスの監視対象とされる装置である。この監視対象装置7は、当然のことながら、任意のコンピュータであってかまわない。例えば、監視対象装置7の例として、企業システム等の内部ネットワーク3に属するパーソナルコンピュータやワークステーション、メインフレームなどの他、各種のサーバ装置、例えばWebサーバやデータベースサーバなどが挙げられる。ここで挙げるマシンを監視対象装置7とすることで、最終目標に対するサイバー攻撃の踏み台として乗っ取るための不正アクセスを始め、SNSアカウントや顧客会員管理のマスタなどへ侵入するための不正アクセスなどを監視の範疇に含めることができる。なお、ここでは、内部ネットワーク3の例として、企業システムのネットワークを挙げたが、これに限定されず、企業以外の組織、例えば国や地方の公共団体、あるいは個人、例えば家庭等のネットワークであってもかまわない。
【0018】
おとりサーバ10は、上記の不正アクセス監視サービスを提供するコンピュータの一例に対応する。おとりサーバ10は、ハニーポットなどとも呼ばれる。
図1には、あくまで説明の便宜上、監視対象装置7及びおとりサーバ10が1対1に対応する例が示されているが、内部ネットワーク3に複数の監視対象装置7が含まれる場合、ハニーネットとして構築されることを妨げない。この場合、ハニーポットは、仮想マシンとして実装されることとしてもよく、1つの物理マシン上で複数のハニーポットが稼働されることとしてもかまわない。
【0019】
一実施形態として、おとりサーバ10は、パッケージソフトウェア又はオンラインソフトウェアとして、上記の不正アクセス監視サービスに対応する機能を実現する不正アクセス監視プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、おとりサーバ10は、上記の不正アクセス監視サービスを提供するサーバとしてオンプレミスに実装することとしてもよいし、アウトソーシングによって上記の不正アクセス監視サービスを提供するクラウドとして実装することとしてもかまわない。
【0020】
このような不正アクセス監視サービスのあくまで一例として、下記に挙げる複数のサービスがパッケージで提供される例を挙げて以下の説明を行う。例えば、不正アクセス監視サービスとしてパッケージ化されるサービスの1つとして、端末2から監視対象装置7A~7Nへのアクセスが不正アクセスであるか否かを判定する不正アクセス判定サービスが挙げられる。さらには、不正アクセスが検知された端末2からのアクセスを監視対象装置7A~7Nに対応するおとりサーバ10A~10Nへ誘導して誘導後のアクセスログを記録するアクセスログ記録サービスなどが挙げられる。この他、上記のアクセスログに基づいてアラートやレポートを出力する情報出力サービスなどが挙げられる。
【0021】
[課題の一側面]
上記の背景技術の欄で説明した通り、不正アクセスの判定精度が低下する場合がある。
【0022】
すなわち、上記の不正利用検出可能ネットワークシステムでは、最後に正しい認証情報を入力しログインが成功したのか、あるいは最後まで不成功に終わったかのかが不正アクセスの判断基準とされる。ところが、最後に正しい認証情報が入力されたからといって一連のアクセスがアクセス権限を有する者による正常なアクセスとは限らない。なぜなら、一連のアクセスのうち最後のアクセスで入力された認証情報だけが正しかったという一面を指すものに過ぎず、全てのアクセスが正常なアクセスであるという根拠には欠ける側面があるからである。また、最後までログインが不成功に終わったからといって一連のアクセスが不正アクセスによるサイバー攻撃であるとも限らない。なぜなら、一連のアクセスで入力された認証情報が誤りであったとしても、その原因がアクセス権限を有する者の操作ミスや記憶違いであるケースがあるからである。
【0023】
[課題解決のアプローチの一側面]
そこで、本実施例に係るおとりサーバ10は、ログイン要求時に入力されたパスワードが誤っていた場合に、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高いか否かを不正アクセスの判断基準の1つとして用いるアプローチを採用する。すなわち、本実施例に係るおとりサーバ10は、ログイン要求時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率が所定の閾値よりも低い場合、ログイン要求を行う端末2からのアクセスを不正アクセスと判定する。
【0024】
図2A~
図2B、
図3A~
図3C及び
図4A~
図4Cを用いて、3つのパスワードの入力パターンに関する不正アクセスの判定例を説明する。
図2A~
図2B、
図3A~
図3C及び
図4A~
図4Cは、いずれも入力パスワードの一例を示す図である。なお、以下では、パスワード(password)のことを「PW」と略記する場合がある。さらに、以下では、アカウントに登録された正しいPWと、ログイン時に入力されるPWとのラベルを区別する側面から、前者のことを「登録PW」と記載すると共に、後者のことを「入力PW」と記載する場合がある。
【0025】
図2A~
図2B、
図3A~
図3C及び
図4A~
図4Cでは、あくまで一例として、ログイン要求が行われたアカウントに登録された正しいPWの桁数が「10」であり、文字列が「12345abcde」であるという条件の下で説明を行う。さらに、リトライ設定の一例として、ログインID(IDentification)又はPWのリトライ回数が所定の閾値、例えば「3」以上になるまでログイン認証のリトライが受け入れられることとする。さらに、不正アクセスが判定されるアクセスの一例として、リトライ回数が閾値以上に達するアクセスが不正アクセスであるか否かを入力PW及び登録PWの一致率に基づいて判定することとする。
【0026】
(1)パスワードの入力パターン1
図2A及び
図2Bには、PWの入力パターン1として、端末2からの正常なアクセスで入力される一連の入力PWが示されている。
【0027】
まず、端末2から監視対象装置7へ1回目のログイン要求が行われる。
図2Aには、1回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図2Aに示すように、1回目にPW「1111111111」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」は一致するものの、2桁目以降の文字列は不一致となる。この場合、入力PW及び登録PWの一致率は「10%(=1/10)」となる。以下、入力PW及び登録PWの一致率のことを「リテラシヒット率」と記載する場合がある。この段階では、PWのリトライ回数は「1」であり、閾値「3」には達していないので、2回目のログイン要求が行われた場合、ログイン認証のリトライが許可される。
【0028】
続いて、端末2から監視対象装置7へ2回目のログイン要求が行われる。
図2Bには、2回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図2Bに示すように、2回目にPW「12345abcde」が入力された場合、入力PW及び登録PWの間では、1桁目から10桁目までの全ての桁の文字列が一致する。この場合、ログイン認証が成功する。
【0029】
このことから、
図2A及び
図2Bに示す入力PWを伴う端末2からログイン要求は正常なアクセスと判定される。
【0030】
(2)パスワードの入力パターン2
図3A~
図3Cには、PWの入力パターン2として、端末2から総当たり攻撃、いわゆるブルートフォースアタック等の不正アクセスで入力される一連の入力PWが示されている。
【0031】
まず、端末2から監視対象装置7へ1回目のログイン要求が行われる。
図3Aには、1回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図3Aに示すように、1回目にPW「1111111111」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」は一致するものの、2桁目以降の文字列は不一致となる。この場合、PWのリテラシヒット率は「10%(=1/10)」となる。この段階では、PWのリトライ回数は「1」であり、閾値「3」には達していないので、2回目のログイン要求が行われた場合、ログイン認証のリトライが許可される。
【0032】
続いて、端末2から監視対象装置7へ2回目のログイン要求が行われる。
図3Bには、2回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図3Bに示すように、2回目にPW「11111aaaaa」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」と、6桁目の英字「a」とが一致するものの、それ以外の文字列は不一致となる。この場合、PWのリテラシヒット率は「20%(2/10)」となる。この段階においても、PWのリトライ回数は「2」であり、閾値「3」には達していないので、3回目のログイン要求が行われた場合、ログイン認証のリトライが許可される。
【0033】
次に、端末2から監視対象装置7へ3回目のログイン要求が行われる。
図3Cには、3回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図3Cに示すように、3回目にPW「12121ababa」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」、2桁目の数字「2」、6桁目の英字「a」及び7桁目の英字「b」が一致するものの、それ以外の文字列は不一致となる。この場合、PWのリテラシヒット率は「40%(4/10)」となる。
【0034】
このように3回目のログイン要求が端末2から行われた段階では、PWのリトライ回数は「3」であり、閾値「3」に達する。この場合、PWのリテラシヒット率に基づいて
図3A~
図3Cに示す一連の入力PWでログイン要求を行う端末2からのアクセスが不正アクセスであるか否かが判定される。
【0035】
ここでは、あくまで一例として、過去の所定回数、例えば直近の過去3回のリテラシヒット率の統計値、例えば平均値が不正アクセスの判定に用いられる例を挙げる。例えば、
図3Cに示された直近の3回目のログイン要求から順に遡るとしたとき、過去3回のPWのリテラシヒット率は、40%、20%、10%である。この例では、40%、20%及び10%が平均されることにより、PWのリテラシヒット率の平均値は、23.3%(≒(40%+20%+10%)/3)と算出される。このように算出されたPWのリテラシヒット率の平均値「23.3%」は、所定の閾値と比較される。なお、ここでは、統計値の一例として、平均値を算出する例を挙げたが、他の統計値、例えば中央値や最頻値などを算出することとしてもかまわない。
【0036】
例えば、PWのリテラシヒット率と比較する閾値は、下記に挙げる側面から設定される。例えば、正当なアカウントを有するユーザであれば、パスワードの一部の桁に操作ミスがあってもパスワードの全ての桁で操作ミスが発生することは想定しづらい。また、正当なアカウントを有するユーザであれば、記憶違いによってパスワードの一部に記憶があやふやな箇所があっても全ての桁の記憶がないという事態も想定しづらい。また、総当たり攻撃などの不正アクセスが行われる場合、入力パスワードの文字の組合せを1文字ずつ変えてリトライを続けるという反復処理が行われる。このため、リトライ回数が制限された状況では、入力パスワードの文字列をリトライの繰り返しによって登録パスワードの文字列に近付けることが困難であるので、PWのリテラシヒット率が高くなることも想定しづらい。
【0037】
これらの側面から、PWのリテラシヒット率と比較する閾値には、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高く、かつ総当たり攻撃などのサイバー攻撃でない可能性が高いと識別できる程度の値、例えば80%が設定される。
【0038】
ここで、直近の過去3回のPWのリテラシヒット率の平均値「23.3%」は閾値「80%」未満である。このため、
図3A~
図3Cに示す一連の入力PWでログイン要求を行う端末2からのアクセスが、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が低く、かつ総当たり攻撃などのサイバー攻撃である可能性が高いと識別できる。
【0039】
この結果、
図3A~
図3Cに示す一連の入力PWでログイン要求を行う端末2からのアクセスは、不正アクセスであると判定される。
【0040】
(3)パスワードの入力パターン3
図4A~
図4Cには、PWの入力パターン3として、端末2からの正常なアクセスで入力される一連の入力PWが示されている。
【0041】
まず、端末2から監視対象装置7へ1回目のログイン要求が行われる。
図4Aには、1回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図4Aに示すように、1回目にPW「12345abcdd」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」から9桁目の英字「d」までの計9桁は一致するものの、10桁目は不一致となる。この場合、PWのリテラシヒット率は「90%(=9/10)」となる。この段階では、PWのリトライ回数は「1」であり、閾値「3」には達していないので、2回目のログイン要求が行われた場合、ログイン認証のリトライが許可される。
【0042】
続いて、端末2から監視対象装置7へ2回目のログイン要求が行われる。
図4Bには、2回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図4Bに示すように、2回目にPW「12345abcdb」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」から9桁目の英字「d」までの計9桁は一致するものの、10桁目は不一致となる。この場合も、PWのリテラシヒット率は「90%(9/10)」となる。この段階においても、PWのリトライ回数は「2」であり、閾値「3」には達していないので、3回目のログイン要求が行われた場合、ログイン認証のリトライが許可される。
【0043】
次に、端末2から監視対象装置7へ3回目のログイン要求が行われる。
図4Cには、3回目のログイン要求で入力されたPWの文字列が1桁目から10桁目までの桁ごとに示されると共に、入力PWのうち登録PWの文字と一致する桁が反転表示されている。
図4Cに示すように、3回目にPW「12345abcdc」が入力された場合、入力PW及び登録PWの間では、1桁目の数字「1」から9桁目の英字「d」までの計9桁は一致するものの、10桁目は不一致となる。この場合も、PWのリテラシヒット率は「90%(9/10)」となる。
【0044】
このように3回目のログイン要求が端末2から行われた段階では、PWのリトライ回数は「3」であり、閾値「3」に達する。この場合、PWのリテラシヒット率に基づいて
図4A~
図4Cに示す一連の入力PWでログイン要求を行う端末2からのアクセスが不正アクセスであるか否かが判定される。
【0045】
例えば、
図4Cに示された直近の3回目のログイン要求を含めて過去3つのログイン要求を遡るとしたとき、過去3回のPWのリテラシヒット率は、90%、90%、90%である。この例では、90%、90%及び90%が平均されることにより、PWのリテラシヒット率の平均値は、90%(≒(90%+90%+90%)/3)と算出される。
【0046】
このように算出されたPWのリテラシヒット率の平均値「90%」は、閾値「80%」以上である。このため、
図4A~
図4Cに示す一連の入力PWでログイン要求を行う端末2からのアクセスが、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高く、かつ総当たり攻撃などのサイバー攻撃である可能性が低いと識別できる。
【0047】
この結果、3回目のログイン認証が行われた時点では、
図4A~
図4Cに示す一連の入力PWでログイン要求を行う端末2からのアクセスは、不正アクセスでないと判定される。このように不正アクセスでないと判定された場合、PWのリトライ回数が閾値に達する場合でも、4回目以降のログイン認証のリトライが許可される。その後、4回目以降のログイン要求が行われる場合、PWのリテラシヒット率の平均値が閾値「80%」を下回らない限りは、不正アクセスでないと判定される結果、ログイン認証のリトライが許可される。なお、4回目のログイン要求では、2回目から4回目までのPWのリテラシヒット率の平均値が不正アクセスの判定に用いられる。また、5回目のログイン要求では、3回目から5回目までのPWのリテラシヒット率の平均値が不正アクセスの判定に用いられる。
【0048】
以上のように、本実施例に係るおとりサーバ10は、ログイン要求時に入力されたパスワードと正しいパスワードとの文字列の一致率が所定の閾値よりも低い場合、ログイン要求を行う端末2からのアクセスを不正アクセスと判定する。それ故、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が低く、かつ総当たり攻撃などのサイバー攻撃である可能性が高いログイン要求を不正アクセスと識別できる。さらに、逆説的に言えば、ログイン要求時に入力されたパスワードと正しいパスワードとの文字列の一致率が所定の閾値以上である場合、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高く、かつ総当たり攻撃などのサイバー攻撃である可能性が低いログイン要求を正常なアクセスと識別できる。したがって、本実施例に係るおとりサーバ10によれば、不正アクセスの判定精度を向上させることができる。
【0049】
[おとりサーバ10の構成]
図5は、実施例1に係るおとりサーバ10の機能的構成の一例を示すブロック図である。
図5に示すように、おとりサーバ10は、通信I/F(InterFace)部11と、記憶部13と、制御部15とを有する。なお、
図5には、データの授受の関係を表す実線が示されているが、説明の便宜上、最小限の部分について示されているに過ぎない。すなわち、各処理部に関するデータの入出力は、図示の例に限定されず、図示以外のデータの入出力、例えば処理部及び処理部の間、処理部及びデータの間、並びに、処理部及び外部装置の間のデータの入出力が行われることとしてもかまわない。
【0050】
通信I/F部11は、他の装置、例えば端末2やNW装置5、監視対象装置7との間で通信制御を行うインタフェースの一例に対応する。
【0051】
一実施形態として、通信I/F部11には、LANカードなどのネットワークインタフェースカードを採用することができる。例えば、通信I/F部11は、NW装置5から任意のSNMPトラップや任意のSNMPコマンドに対するレスポンスを受信したり、また、任意のSNMPコマンドをNW装置5へ送信したりする。また、通信I/F部11は、監視対象装置7から任意のSNMPトラップや任意のSNMPコマンドに対するレスポンスを受信したり、また、任意のSNMPコマンドを監視対象装置7へ送信したりする。この他、通信I/F部11は、おとりサーバ10へのリモートログインを誘導する通知を端末2へ送信したり、また、端末2からおとりサーバ10へのログイン情報を受け付けたりする。
【0052】
記憶部13は、制御部15で実行されるOS(Operating System)を始め、上記の不正アクセス監視プログラムなどの各種プログラムに用いられるデータを記憶する機能部の一例に対応する。
【0053】
一実施形態として、記憶部13は、おとりサーバ10における補助記憶装置に対応する。例えば、HDD(Hard Disk Drive)、光ディスクやSSD(Solid State Drive)などが補助記憶装置に対応する。この他、EPROM(Erasable Programmable Read Only Memory)などのフラッシュメモリも補助記憶装置に対応する。
【0054】
記憶部13は、制御部15で実行されるプログラムに用いられるデータの一例として、PID情報13Aと、誤入力情報13Bと、アクセスログ情報13Cとを記憶する。これらPID情報13A、誤入力情報13B及びアクセスログ情報13C以外にも、記憶部13は、他の電子データ、例えば不正アクセスの判定やアラートの出力に用いる閾値の設定などを記憶することができる。なお、PID情報13A、誤入力情報13B及びアクセスログ情報13Cの説明は、各データの登録または参照が行われる制御部15の説明と合わせて行うこととする。
【0055】
制御部15は、おとりサーバ10の全体制御を行う処理部である。
【0056】
一実施形態として、制御部15は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などのハードウェアプロセッサにより実装することができる。ここでは、プロセッサの一例として、CPUやMPUを例示したが、汎用型および特化型を問わず、任意のプロセッサにより実装することができる。この他、制御部15は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などのハードワイヤードロジックによって実現されることとしてもかまわない。
【0057】
制御部15は、上記の不正アクセス監視プログラムを実行することにより、図示しない主記憶装置として実装されるDRAM(Dynamic Random Access Memory)などのRAMのワークエリア上に
図5に示す処理部を仮想的に実現する。
【0058】
制御部15は、
図5に示すように、第1監視部15Aと、取得部15Bと、判定部15Cと、誘導部15Dと、生成部15Eと、模倣部15Fと、第2監視部15Gと、付加部15Hと、更新制御部15jと、出力部15Kとを有する。
【0059】
これら
図5の制御部15に示された処理部は、おとりサーバ10やOSの起動時に自動的に実行されて常に動作し続ける常駐のプロセスとして実装される。あくまで一例として、第1監視部15A、取得部15B、判定部15C、誘導部15D、生成部15E、模倣部15F、第2監視部15G、付加部15H、更新制御部15j及び出力部15Kは、デーモンプロセスとして機能させることができる。
【0060】
なお、ここでは、上記の不正アクセス監視サービスに対応する機能がパッケージ化された不正アクセス監視プログラムが実行される例を挙げるが、これに限定されない。例えば、上記の不正アクセス監視サービスのうち、上記のアクセスログ記録サービスや上記の情報出力サービスなどの単位でプログラムモジュールが実行されたり、あるいはライブラリが参照されたりすることとしてもかまわない。
【0061】
第1監視部15Aは、端末2から監視対象装置7への外部アクセスを監視する処理部である。第1監視部15Aは、監視部の一例に対応する。
【0062】
一実施形態として、第1監視部15Aは、SNMPマネージャの機能を用いて端末2から監視対象装置7への外部アクセスを監視することができる。例えば、第1監視部15Aは、SNMPエージェントが動作するNW装置5から、端末2から監視対象装置7へのリモート接続のログイン要求を通知するSNMPトラップを受信する。このようなリモート接続の一例として、TelnetやSSH(Secure SHell)などのコマンドを用いたリモートログインやRDP(Remote Desktop Protocol)を用いたリモートログインなどが挙げられる。そして、SNMPトラップが受信された場合、第1監視部15Aは、PID情報13Aを参照して、端末2から監視対象装置7へのリモート接続のログイン要求が行われるパケットにPIDが付加されているか否かを判定する。
【0063】
ここで、「PID(Process IDentification)」とは、不正アクセスと判定された端末2によりリモートログインされたおとりサーバ10により生成されるIDを指す。詳細は後述するが、あくまで一例として、PIDは、不正アクセスと判定された端末2の送信元IPアドレス、あるいはリモートログイン時に端末2から受け付けたアカウント情報、例えばパスワードなどが暗号化されることにより生成される。
【0064】
このようにPIDが生成された場合、PID発行元のおとりサーバ10は、PID発行元以外の他のおとりサーバ10に対し、当該PIDとPID発行元のおとりサーバ10の識別情報とを対応付けて送信する。これによって、PIDとPID発行元のおとりサーバ10の識別情報とが対応付けられたエントリのリストがPID情報13AとしてPID発行元のおとりサーバ10およびPID発行元以外の他のおとりサーバ10の記憶部13の間で共有される。
【0065】
さらに、不正アクセスと判定された端末2によりリモート接続されたおとりサーバ10は、端末2からのリモート操作に基づいて当該おとりサーバ10から他の装置へ外部アクセスが行われる場合、当該外部アクセスのパケットにPIDを付加する。このようなPIDの付加は、PID発行元のおとりサーバ10のみならず、PID発行後に端末2がリモート接続を繰り返す全てのおとりサーバ10により連動して行われる。これによって、全ての踏み台のおとりサーバ10の間でPIDがリレーされる。
【0066】
このようにリレーされるPIDを端末2から監視対象装置7へのリモート接続のログイン要求から検出する側面から、第1監視部15Aは、当該リモート接続のログイン要求が行われるパケットにPID情報13Aに含まれるPIDのいずれかが付加されているかを判定する。
【0067】
ここで、リモート接続のログイン要求のパケットがPID付きのパケットでない場合、当該リモート接続のログイン要求を行う端末2がこの時点で不正アクセスと判定されていないアクセス元であると識別できる。一方、リモート接続のログイン要求のパケットがPID付きのパケットである場合、当該リモート接続のログイン要求を行う端末2が既にこれまでの時点で不正アクセスと判定されたアクセス元であると識別できる。
【0068】
取得部15Bは、ログイン認証のログを取得する処理部である。
【0069】
一実施形態として、取得部15Bは、SNMPマネージャの機能を用いてログイン認証のログを取得する。例えば、取得部15Bは、リモート接続のログイン要求のパケットがPID付きのパケットでない場合、ログイン認証のイベントログを取得するSNMPコマンドを監視対象装置7上で動作するSNMPエージェントを送信する。このSNMPコマンドのレスポンスとして、取得部15Bは、ログイン認証のイベントログを取得する。
【0070】
判定部15Cは、端末2からの外部アクセスが不正アクセスであるか否かを判定する処理部である。
【0071】
一実施形態として、判定部15Cは、取得部15Bにより取得されたログイン認証のイベントログのうち最新のログイン認証がNGであるか否かを判定する。このとき、最新のログイン認証がNGである場合、判定部15Cは、記憶部13に記憶された誤入力情報13Bを更新する。例えば、誤入力情報13Bには、送信元IPアドレス、ログインID、PW、miss及びPWHitAvrなどの項目が対応付けられたデータを採用できる。このうち、「送信元IPアドレス」とは、ログイン認証がNGであったログイン要求元の端末2のIPアドレスを指す。また、「ログインID」とは、端末2により入力されたログインIDを指す。また、「PW」とは、端末2により入力されたパスワードを指す。また、「miss」とは、ログインID及びパスワードのアカウント情報のうち入力された項目が誤りであった項目を指す。なお、ログインID及びパスワードの両方が誤りである場合、missのフィールドにはログインIDが登録されることとする。また、「PWHitAvr」とは、PWのリテラシヒット率を指す。
【0072】
図6は、誤入力情報13Bの一例を示す図である。
図6には、送信元IPアドレス「192.168.1.xxx」に関するエントリが抜粋して示されている。
図6に示す誤入力情報13Bの例で言えば、送信元IPアドレス「192.168.1.xxx」の端末2がこれまでに3回のPWの入力の誤りがあり、1回目から3回目までのリテラシヒット率が「0%」、「33.3%」、「0%」であることをコンピュータに識別させることができる。
【0073】
誤入力情報13Bが更新された後、判定部15Cは、誤入力情報13Bに追加された最新のエントリの送信元IPアドレスと同一のIPアドレスを持つエントリがそれ以前にも存在するか否かを判定する。このとき、同一のIPアドレスを持つエントリがそれ以前にも存在する場合、判定部15Cは、誤入力情報13Bを参照して、ログインIDのリトライ回数、PWのリトライ回数および過去の所定回数、例えば直近の過去3回のリテラシヒット率の統計値を算出する。例えば、
図6に示す誤入力情報13Bの例で言えば、ログインIDの入力の誤りは記録されていないので、ログインIDのリトライ回数は「0」と算出される。また、PWの入力の誤りが3回記録されているので、PWのリトライ回数は「3」と算出される。さらに、過去3回のPWのリテラシヒット率は「0%」、「33.3%」、「0%」であるので、過去3回のPWのリテラシヒット率の平均値が「11.1%=(0%+33.3%+0%)/3」と算出される。
【0074】
これらログインIDのリトライ回数、PWのリトライ回数及び過去3回のPWのリテラシヒット率の平均値のうち少なくともいずれか1つに基づいて、判定部15Cは、端末2から監視対象装置7への外部アクセスが不正アクセスであるか否かを判定する。
【0075】
あくまで一例として、判定部15Cは、ログインIDのリトライ回数が所定の閾値Th1、例えば3回以上であるか否かを判定する。このとき、ログインIDのリトライ回数が閾値Th1以上である場合、端末2からの外部アクセスが不正アクセスであると判定される。一方、ログインIDのリトライ回数が閾値Th1以上でない場合、判定部15Cは、PWのリトライ回数が所定の閾値Th2、例えば3回以上であるか否かを判定する。このとき、PWのリトライ回数が閾値Th2以上でない場合、端末2からの外部アクセスは不正アクセスと判定されず、次のログイン認証のリトライが許可される。一方、PWのリトライ回数が閾値Th2以上である場合、判定部15Cは、過去3回のPWのリテラシヒット率の平均値が所定の閾値Th3、例えば80%未満であるか否かをさらに判定する。
【0076】
ここで、過去3回のPWのリテラシヒット率の平均値が閾値Th3未満である場合、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が低く、かつ総当たり攻撃や辞書攻撃などのサイバー攻撃である可能性が高いと識別できる。この場合、端末2からの外部アクセスが不正アクセスであると判定される。一方、過去3回のPWのリテラシヒット率の平均値が閾値Th3未満でない場合、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高く、かつ総当たり攻撃などのサイバー攻撃である可能性が低いと識別できる。この場合、端末2からの外部アクセスは不正アクセスと判定されず、次のログイン認証のリトライが許可される。
【0077】
誘導部15Dは、おとりサーバ10へのログインを誘導する処理部である。
【0078】
一実施形態として、誘導部15Dは、判定部15Cにより端末2からの外部アクセスが不正アクセスであると判定された場合、あるいはリモート接続のログイン要求のパケットがPID付きのパケットである場合、おとりサーバ10へのログインを誘導する。ここで、おとりサーバ10へのログインを誘導する手法には、公知の技術であれば任意のものを用いることができるが、一例として、誘導部15Dは、おとりサーバ10へのログイン画面を端末2へ送信する。
図7は、おとりサーバ10へのログイン画面の一例を示す図である。
図7に示すように、端末2からの外部アクセスが不正アクセスであると判定されたことを察知させずにハニーポットへ誘導する側面から、ログイン画面70では、ログイン認証で入力されたログインIDは正しいものの、入力PWが誤りであると錯覚させる表示が行われる。このとき、おとりサーバ10へのログインを速やかに促す側面から、ログイン画面70には、
図7に示す通り、正解のパスワードを想起できるヒント、例えば監視対象装置7から推測や連想が可能なメッセージをさらに表示させることもできる。このようなログイン画面70を通じて、端末2からおとりサーバ10へログイン要求が行われた場合、リモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0079】
生成部15Eは、PIDを生成する処理部である。
【0080】
一実施形態として、生成部15Eは、誘導部15Dによるおとりサーバ10へのログイン誘導後に端末2からおとりサーバ10へログイン要求が行われた場合、不正アクセスと判定された端末2の送信元IPアドレス、あるいはリモートログイン時に端末2から受け付けたアカウント情報、例えばパスワードなどを暗号化することによりPIDを生成する。このとき、生成部15Eは、あくまで一例として、RSA(Rivest-Shamir-Adleman cryptosystem)暗号化を用いることができる。この他、他の公開鍵暗号を用いることもできれば、共通鍵暗号を用いることとしてもかまわない。
【0081】
その後、生成部15Eは、他のおとりサーバ10に対し、当該PIDとPID発行元のおとりサーバ10の識別情報とを対応付けて送信する。これによって、PIDとPID発行元のおとりサーバ10の識別情報とが対応付けられたエントリのリストがPID情報13AとしてPID発行元のおとりサーバ10およびPID発行元以外の他のおとりサーバ10の間で共有させる。このようなPIDの共有と同時または並行して、生成部15Eは、判定部15Cにより不正アクセスと判定された端末2に関するエントリを記憶部13に記憶されたアクセスログ情報13Cに追加する。
【0082】
模倣部15Fは、監視対象装置7の動作を模倣する処理部である。
【0083】
一実施形態として、模倣部15Fは、誘導部15Dによるおとりサーバ10へのログイン誘導後に端末2からおとりサーバ10へログイン要求が行われた場合、監視対象装置7の動作の模倣を開始する。このとき、模倣部15Fは、リモート接続のセッションが確立中であると振舞う側面からおとりサーバ10及び端末2の間で共有される擬似セッションIDに関連付けてPIDを図示しない内部メモリに保存する。なお、監視対象装置7の動作の模倣には、公知のハニーポットの構築技術、例えば高対話型ハニーポットや低対話型ハニーポット、仮想ハニーポットなどを適用することができる。
【0084】
第2監視部15Gは、おとりサーバ10から外部ネットワーク4上の外部の装置へアクセスする外部アクセスを監視する処理部である。
【0085】
一実施形態として、第2監視部15Gは、誘導部15Dによるおとりサーバ10へのログイン誘導後に端末2からおとりサーバ10へログイン要求が行われた場合、SNMPマネージャの機能を用いておとりサーバ10から外部ネットワーク4上の外部装置へアクセスする外部アクセスを監視することができる。例えば、第2監視部15Gは、模倣部15Fにより監視対象装置7の動作の模倣が開始された後、おとりサーバ10からの外部アクセスを通知するSNMPトラップを受信する。
【0086】
付加部15Hは、おとりサーバ10が外部へ出力するパケットにPIDを付加する処理部である。
【0087】
一実施形態として、付加部15Hは、第2監視部15Gによりおとりサーバ10からの外部アクセスが検知された場合、図示しない内部メモリに擬似セッションIDに関連付けて保存されたPIDを当該外部アクセスのパケットに付加する。
【0088】
更新制御部15Kは、アクセスログ情報13Cの更新を制御する処理部である。更新制御部15Kは、記録部の一例に対応する。
【0089】
1つの側面として、更新制御部15Kは、第2監視部15Gによりおとりサーバ10からの外部アクセスが検知された場合、当該外部アクセスが外部装置へのリモート接続のログイン要求であるか否かを判定する。このとき、外部アクセスが外部装置へのリモート接続のログイン要求である場合、更新制御部15Kは、おとりサーバ10がPID発行元であるならば記憶部13に記憶されたアクセスログ情報13Cに当該外部アクセスに関するエントリを追加する。また、更新制御部15Kは、おとりサーバ10がPID発行元でないならば当該外部アクセスに関するエントリを追加するアクセスログ情報13Cの更新依頼をPID発行元のおとりサーバ10に送信する。
【0090】
ここで、
図8及び
図9を用いて、アクセスログ情報13Cの更新例を説明する。
【0091】
図8は、不正アクセスの一例を示す図である。
図8には、あくまで一例として、監視対象装置7がサーバである例が示されている。さらに、
図8には、侵入者が端末2Iを用いてサーバ7A、サーバ7B、サーバ7C、サーバ7B、サーバ7Dの順に各サーバを踏み台とし、サーバ7Eを最終のターゲットとするサイバー攻撃を行う不正アクセスの例が示されている。
【0092】
また、
図9は、アクセスログ情報13Cの一例を示す図である。
図9には、
図8に示す不正アクセスで記録されるアクセスログ情報13Cが示されている。あくまでアクセスログ情報13Cの一例として、PID、MID、via、Stay及びToMなどの項目が対応付けられたデータが採用される例が示されている。このうち、「MID」は、「Machine IDentification」の略称であり、アクセス元のマシンの識別情報を指す。また、「via」は、踏み台回数を指す。また、「Stay」は、マシンへの滞在時間を指し、例えば「HH:MM:SS」で表現される。また、「ToM」は、アクセス先のマシンの識別情報を指す。
【0093】
図8に示すように、侵入者が端末2Iからサーバ7Aへのリモート接続のログイン要求を行うと(ステップS1)、サーバ7Aによりログイン認証が行われる(ステップS2)。このログイン認証のイベントログがサーバ7AのSNMPエージェントからおとりサーバ10AのSNMPマネージャへ通知される(ステップS3)。
【0094】
ここで、端末2Iからサーバ7Aへの外部アクセスが不正アクセスと判定されることとして以下の説明を続ける(ステップS4)。上述の通り、ログインIDのリトライ回数が閾値Th1以上である場合、あるいはPWのリトライ回数が閾値Th2以上であり、かつ過去3回のPWのリテラシヒット率の平均値が所定の閾値Th3、例えば80%未満である場合、不正アクセスと判定される。
【0095】
この場合、
図7に例示されるログイン画面70などがおとりサーバ10Aから端末2Iへ送信されることにより、おとりサーバ10Aへのログインが誘導される(ステップS5)。ステップS5の誘導にしたがって端末2Iからおとりサーバ10Aへログイン要求が行われる(ステップS6)。
【0096】
その後、おとりサーバ10Aは、侵入者の端末2Iからおとりサーバ10Aへのリモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0097】
すると、おとりサーバ10Aは、端末2Iの送信元IPアドレス等からPID「p01」を生成する(ステップS7)。そして、おとりサーバ10Aは、ステップS7で生成したPID「p01」とおとりサーバ10Aの識別情報「Sv10A」とを他のおとりサーバ10、すなわちおとりサーバ10B~10Nへ送信することにより、PIDを共有する(ステップS8)。また、おとりサーバ10Aは、不正アクセスと判定した端末2Iに関するエントリをアクセスログ情報13Cに追加する(ステップS9)。
【0098】
このステップS9の処理によって、
図9に示すように、アクセスログ情報13Cの1行目のエントリが生成される。すなわち、アクセス元のマシンであるMIDのフィールドに端末2Iの識別情報「clnt」が格納されると共に、アクセス先のマシンであるToMのフィールドにおとりサーバ10Aの識別情報「Sv10A」が格納される。この段階では、アクセス元のマシンは、侵入者の端末2Iとなるので、viaのフィールドには「0」が格納される。さらに、アクセス元のマシンは侵入者の端末2Iであり、侵入者の端末2Iは踏み台ではないので、Stayのフィールドはブランク、例えば「00:00:00」とされる。
【0099】
その後、侵入者の端末Iからのリモート操作に基づいて踏み台にされたおとりサーバ10Aからサーバ7Bへのリモート接続のログイン要求がPID付きのパケットで行われる(ステップS10)。そして、サーバ7Bへのリモート接続のログイン要求がPID付きであることを検出したおとりサーバ10Bは、おとりサーバ10Bへのログインを誘導する(ステップS11)。ステップS11の誘導にしたがって端末2Iからおとりサーバ10Bへログイン要求が行われる(ステップS12)。
【0100】
ステップS12の後、おとりサーバ10Bは、侵入者の端末2Iからおとりサーバ10Bへのリモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0101】
ここで、おとりサーバ10Bへのリモートログインによりログアウトされたおとりサーバ10Aは、PID「p01」の発行元であるので、
図9に示すように、アクセスログ情報13Cの2行目のエントリを生成する。すなわち、アクセス元のマシンであるMIDのフィールドにおとりサーバ10Aの識別情報「Sv10A」が格納されると共に、アクセス先のマシンであるToMのフィールドにおとりサーバ10Bの識別情報「Sv10B」が格納される。ここまでに踏み台にされたのは、おとりサーバ10Aだけであるので、viaのフィールドには「1」が格納される。さらに、端末2Iがおとりサーバ10Bへのリモートログインすることによりおとりサーバ10Aからのログアウトが確定するので、おとりサーバ10Aにリモートログインされてからログアウトされるまでの時間「00:10:00」がStayのフィールドに格納される。
【0102】
その後、侵入者の端末Iからのリモート操作に基づいて踏み台にされたおとりサーバ10Bからサーバ7Cへのリモート接続のログイン要求がPID付きのパケットで行われる(ステップS14)。そして、サーバ7Cへのリモート接続のログイン要求がPID付きであることを検出したおとりサーバ10Cは、おとりサーバ10Cへのログインを誘導する(ステップS15)。ステップS15の誘導にしたがって端末2Iからおとりサーバ10Cへログイン要求が行われる(ステップS16)。
【0103】
ステップS16の後、おとりサーバ10Cは、侵入者の端末2Iからおとりサーバ10Cへのリモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0104】
ここで、おとりサーバ10Cへのリモートログインによりログアウトされたおとりサーバ10Bは、PID「p01」の発行元ではないので、おとりサーバ10Bからおとりサーバ10Cへアクセスするアクセスログのエントリの追加依頼をPID発行元のおとりサーバ10Aへ行う(ステップS17)。
【0105】
これによって、
図9に示すように、アクセスログ情報13Cの3行目のエントリが生成される。すなわち、アクセス元のマシンであるMIDのフィールドにおとりサーバ10Bの識別情報「Sv10B」が格納されると共に、アクセス先のマシンであるToMのフィールドにおとりサーバ10Cの識別情報「Sv10C」が格納される。ここまでに踏み台にされたのは、おとりサーバ10A及びおとりサーバ10Bであるので、viaのフィールドには「2」が格納される。さらに、端末2Iがおとりサーバ10Cへのリモートログインすることによりおとりサーバ10Bからのログアウトが確定するので、おとりサーバ10Bにリモートログインされてからログアウトされるまでの時間「00:05:00」がStayのフィールドに格納される。
【0106】
その後、侵入者の端末Iからのリモート操作に基づいて踏み台にされたおとりサーバ10Cからサーバ7Bへのリモート接続のログイン要求がPID付きのパケットで行われる(ステップS18)。そして、サーバ7Bへのリモート接続のログイン要求がPID付きであることを検出したおとりサーバ10Bは、おとりサーバ10Bへのログインを誘導する(ステップS19)。ステップS19の誘導にしたがって端末2Iからおとりサーバ10Bへログイン要求が行われる(ステップS20)。
【0107】
ステップS20の後、おとりサーバ10Bは、侵入者の端末2Iからおとりサーバ10Bへのリモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0108】
ここで、おとりサーバ10Bへのリモートログインによりログアウトされたおとりサーバ10Cは、PID「p01」の発行元ではないので、おとりサーバ10Cからおとりサーバ10Bへアクセスするアクセスログのエントリの追加依頼をPID発行元のおとりサーバ10Aへ行う(ステップS21)。
【0109】
これによって、
図9に示すように、アクセスログ情報13Cの4行目のエントリが生成される。すなわち、アクセス元のマシンであるMIDのフィールドにおとりサーバ10Cの識別情報「Sv10C」が格納されると共に、アクセス先のマシンであるToMのフィールドにおとりサーバ10Bの識別情報「Sv10B」が格納される。ここまでに踏み台にされたのは、おとりサーバ10A、おとりサーバ10B及びおとりサーバ10Cであるので、viaのフィールドには「3」が格納される。さらに、端末2Iがおとりサーバ10Bへのリモートログインすることによりおとりサーバ10Cからのログアウトが確定するので、おとりサーバ10Cにリモートログインされてからログアウトされるまでの時間「00:15:00」がStayのフィールドに格納される。
【0110】
その後、侵入者の端末Iからのリモート操作に基づいて踏み台にされたおとりサーバ10Bからサーバ7Dへのリモート接続のログイン要求がPID付きのパケットで行われる(ステップS22)。そして、サーバ7Dへのリモート接続のログイン要求がPID付きであることを検出したおとりサーバ10Dは、おとりサーバ10Dへのログインを誘導する(ステップS23)。ステップS23の誘導にしたがって端末2Iからおとりサーバ10Dへログイン要求が行われる(ステップS24)。
【0111】
ステップS24の後、おとりサーバ10Dは、侵入者の端末2Iからおとりサーバ10Dへのリモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0112】
ここで、おとりサーバ10Dへのリモートログインによりログアウトされたおとりサーバ10Bは、PID「p01」の発行元ではないので、おとりサーバ10Bからおとりサーバ10Dへアクセスするアクセスログのエントリの追加依頼をPID発行元のおとりサーバ10Aへ行う(ステップS25)。
【0113】
これによって、
図9に示すように、アクセスログ情報13Cの5行目のエントリが生成される。すなわち、アクセス元のマシンであるMIDのフィールドにおとりサーバ10Bの識別情報「Sv10B」が格納されると共に、アクセス先のマシンであるToMのフィールドにおとりサーバ10Dの識別情報「Sv10D」が格納される。ここまでに踏み台にされたのは、おとりサーバ10A、おとりサーバ10B、おとりサーバ10C及びおとりサーバ10Bであるので、viaのフィールドには「4」が格納される。さらに、端末2Iがおとりサーバ10Dへのリモートログインすることによりおとりサーバ10Bからのログアウトが確定するので、おとりサーバ10Bにリモートログインされてからログアウトされるまでの時間「00:00:30」がStayのフィールドに格納される。
【0114】
その後、侵入者の端末Iからのリモート操作に基づいて踏み台にされたおとりサーバ10Dからサーバ7Eへのリモート接続のログイン要求がPID付きのパケットで行われる(ステップS26)。そして、サーバ7Eへのリモート接続のログイン要求がPID付きであることを検出したおとりサーバ10Eは、おとりサーバ10Eへのログインを誘導する(ステップS27)。ステップS27の誘導にしたがって端末2Iからおとりサーバ10Eへログイン要求が行われる(ステップS28)。
【0115】
ステップS28の後、おとりサーバ10Eは、侵入者の端末2Iからおとりサーバ10Eへのリモートログインが成功してSSH接続やリモートデスクトップ接続のセッションが確立されたかの如く振舞う。
【0116】
ここで、おとりサーバ10Eへのリモートログインによりログアウトされたおとりサーバ10Dは、PID「p01」の発行元ではないので、おとりサーバ10Dからおとりサーバ10Eへアクセスするアクセスログのエントリの追加依頼をPID発行元のおとりサーバ10Aへ行う(ステップS29)。
【0117】
これによって、
図9に示すように、アクセスログ情報13Cの6行目のエントリが生成される。すなわち、アクセス元のマシンであるMIDのフィールドにおとりサーバ10Dの識別情報「Sv10D」が格納されると共に、アクセス先のマシンであるToMのフィールドにおとりサーバ10Eの識別情報「Sv10E」が格納される。ここまでに踏み台にされたのは、おとりサーバ10A、おとりサーバ10B、おとりサーバ10C、おとりサーバ10B及びおとりサーバ10Dであるので、viaのフィールドには「5」が格納される。さらに、端末2Iがおとりサーバ10Eへのリモートログインすることによりおとりサーバ10Dからのログアウトが確定するので、おとりサーバ10Dにリモートログインされてからログアウトされるまでの時間「00:03:00」がStayのフィールドに格納される。
【0118】
以上のように、アクセスログ情報13Cの更新が実行されるので、
図8に示す不正アクセスが行われた場合でも、
図9に示すように、侵入者の端末2Iのアクセスログを記録することができる。さらに、PIDを復号化することにより、侵入者の端末2IのIPアドレスも割り出すことができる。
【0119】
出力部15Kは、アクセスログ情報13Cに基づいてアラートやレポートを出力する処理部である。
【0120】
あくまで一例として、出力部15Kは、アクセスログ情報13Cに新規のエントリが追加された場合、処理を起動する例を挙げるが、他のタイミングで処理が起動されることとしてもかまわない。例えば、定期時刻に処理を起動することとしてもよいし、図示しない外部装置からのリクエストを受け付けた場合に処理を起動することとしてもかまわない。これら任意のタイミングで処理が起動されると、出力部15Kは、同一のPIDを有するエントリ群に対し、下記の条件判定を実行する。
【0121】
1つの側面として、出力部15Kは、おとりサーバ10の1台あたりの滞在時間が閾値Th4、例えば10秒以上であるか否かを判定する。このとき、おとりサーバ10の1台あたりの滞在時間が閾値Th4以上である場合、出力部15Kは、踏み台回数が所定の閾値Th5、例えば3回以上であるか否かをさらに判定する。このとき、踏み台回数が所定の閾値Th5以上である場合、出力部15Kは、おとりサーバ10のシステム管理者や警察関係者へアラートを出力することができる。この場合、閾値Th4及び閾値Th5の条件を満たす同一のPIDのエントリ群が抽出されたレポートを出力することができる。このとき、PIDを復号化することにより、アクセス元のIPアドレスを併せて出力することもできる。
【0122】
例えば、
図9に示すアクセスログ情報13Cの例を挙げれば、4行目のエントリ、5行目のエントリ及び6行目のエントリが閾値Th4及び閾値Th5の両方の条件を満たす。すなわち、4行目のエントリ、5行目のエントリ及び6行目のエントリでは、いずれも踏み台回数が3回以上カウントされている。さらに、4行目のエントリ、5行目のエントリ及び6行目のエントリでは、いずれもおとりサーバ10B、おとりサーバ10Cまたはおとりサーバ10Dの滞在時間が10秒以上である。よって、PID「p01」に対応する不正アクセスのアラートが出力される。
【0123】
他の側面として、出力部15Kは、踏み台にされたコンピュータの台数が閾値Th6、例えば3台以上であるか否かを判定する。ここで言う「踏み台にされたコンピュータの台数」とは、のべ数ではなく、同一のコンピュータは1つとカウントされることとする。このとき、踏み台にされたコンピュータの台数が閾値Th6以上である場合、出力部15Kは、おとりサーバ10のシステム管理者や警察関係者へアラートを出力することができる。この場合、閾値Th6の条件を満たす同一のPIDのエントリ群が抽出されたレポートを出力することができる。
【0124】
例えば、
図9に示すアクセスログ情報13Cの例を挙げれば、踏み台にされたコンピュータの台数は、おとりサーバ10B、おとりサーバ10C、おとりサーバ10D及びおとりサーバ10Eの4台となり、閾値Th6の条件を満たす。よって、PID「p01」に対応する不正アクセスのアラートが出力される。
【0125】
更なる側面として、出力部15Kは、同一のコンピュータが複数回にわたって踏み台にされたか否かを判定する。このとき、同一のコンピュータが複数回にわたって踏み台にされた場合、出力部15Kは、おとりサーバ10のシステム管理者や警察関係者へアラートを出力することができる。この場合、上記の条件を満たす同一のPIDのエントリ群が抽出されたレポートを出力することができる。
【0126】
例えば、
図9に示すアクセスログ情報13Cの例を挙げれば、3行目のエントリと5行目のエントリから明らかである通り、おとりサーバ10Bは、2回にわたって踏み台にされているので、上記の条件を満たす。よって、PID「p01」に対応する不正アクセスのアラートが出力される。
【0127】
[処理の流れ]
次に、本実施例に係るおとりサーバ10の処理の流れについて説明する。ここでは、おとりサーバ10により実行される(1)不正アクセス監視処理、(2)アクセスログ更新処理、(3)アラート出力処理の順に説明を行うこととする。
【0128】
(1)不正アクセス監視処理
図10は、実施例1に係る不正アクセス監視処理の手順を示すフローチャートである。この処理は、あくまで一例として、端末2から監視対象装置7への外部アクセスが検出された場合に開始される。
【0129】
図10に示すように、第1監視部15Aは、PID情報13Aを参照して、端末2から監視対象装置7へのリモート接続のログイン要求が行われるパケットにPIDが付加されているか否かを判定する(ステップS101)。
【0130】
このとき、リモート接続のログイン要求のパケットがPID付きのパケットでない場合(ステップS101No)、取得部15Bは、ログイン認証のイベントログを取得する(ステップS102)。
【0131】
そして、判定部15Cは、ステップS102で取得されたログイン認証のイベントログのうち最新のログイン認証がNGであるか否かを判定する(ステップS103)。このとき、最新のログイン認証がNGである場合(ステップS103Yes)、判定部15Cは、記憶部13に記憶された誤入力情報13Bを更新する(ステップS104)。
【0132】
続いて、判定部15Cは、誤入力情報13Bに追加された最新のエントリの送信元IPアドレスと同一のIPアドレスを持つエントリがそれ以前にも存在するか否かを判定する(ステップS105)。このとき、同一のIPアドレスを持つエントリがそれ以前にも存在する場合(ステップS105Yes)、判定部15Cは、誤入力情報13Bを参照して、ログインIDのリトライ回数、PWのリトライ回数および過去の所定回数、例えば直近の過去3回のリテラシヒット率の統計値を算出する(ステップS106)。
【0133】
そして、判定部15Cは、ログインIDのリトライ回数が所定の閾値Th1、例えば3回以上であるか否かを判定する(ステップS107)。このとき、ログインIDのリトライ回数が閾値Th1以上である場合(ステップS107Yes)、端末2からの外部アクセスが不正アクセスであると判定される。この場合、ステップS110の処理へ移行する。
【0134】
一方、ログインIDのリトライ回数が閾値Th1以上でない場合(ステップS107No)、判定部15Cは、PWのリトライ回数が所定の閾値Th2、例えば3回以上であるか否かを判定する(ステップS108)。このとき、PWのリトライ回数が閾値Th2以上でない場合(ステップS108No)、端末2からの外部アクセスは不正アクセスと判定されない。この場合、処理が終了される。
【0135】
一方、PWのリトライ回数が閾値Th2以上である場合(ステップS108Yes)、判定部15Cは、過去所定回のPWのリテラシヒット率の平均値が所定の閾値Th3、例えば80%未満であるか否かをさらに判定する(ステップS109)。
【0136】
ここで、過去3回のPWのリテラシヒット率の平均値が閾値Th3未満でない場合、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高く、かつ総当たり攻撃などのサイバー攻撃である可能性が低いと識別できる。この場合、端末2からの外部アクセスは不正アクセスと判定されず、処理が終了される。
【0137】
一方、過去所定回のPWのリテラシヒット率の平均値が閾値Th3未満である場合(ステップS109Yes)、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が低く、かつ総当たり攻撃や辞書攻撃などのサイバー攻撃である可能性が高いと識別できる。この場合、端末2からの外部アクセスが不正アクセスであると判定される。すると、誘導部15Dは、おとりサーバ10へのログインを誘導する(ステップS110)。
【0138】
続いて、生成部15Eは、ステップS110によるおとりサーバ10へのログイン誘導後に端末2からおとりサーバ10へログイン要求が行われた場合、不正アクセスと判定された端末2の送信元IPアドレス、あるいはリモートログイン時に端末2から受け付けたアカウント情報、例えばパスワードなどを暗号化することによりPIDを生成する(ステップS111)。
【0139】
その後、生成部15Eは、他のおとりサーバ10に対し、当該PIDとPID発行元のおとりサーバ10の識別情報とを対応付けて送信する(ステップS112)。これによって、PIDとPID発行元のおとりサーバ10の識別情報とが対応付けられたエントリのリストがPID情報13AとしてPID発行元のおとりサーバ10およびPID発行元以外の他のおとりサーバ10の間で共有させる。
【0140】
このようなPIDの共有と同時または並行して、生成部15Eは、不正アクセスと判定された端末2に関するエントリを記憶部13に記憶されたアクセスログ情報13Cに追加する(ステップS113)。そして、模倣部15Fは、監視対象装置7の動作の模倣を開始する(ステップS115)。その後、処理が終了される。
【0141】
一方、リモート接続のログイン要求のパケットがPID付きのパケットである場合(ステップS101Yes)、誘導部15Dは、おとりサーバ10へのログインを誘導する(ステップS114)。そして、模倣部15Fは、監視対象装置7の動作の模倣を開始する(ステップS115)。その後、処理が終了される。
【0142】
(2)アクセスログ更新処理
図11は、実施例1に係るアクセスログ更新処理の手順を示すフローチャートである。この処理は、一例として、おとりサーバ10へリモートログインされた場合に開始される。
図11に示すように、リモート操作によりおとりサーバ10からログアウトされない限り(ステップS301No)、第2監視部15Gは、おとりサーバ10から外部ネットワーク4上の外部装置へアクセスする外部アクセスの監視を継続する(ステップS302)。
【0143】
このとき、おとりサーバ10からの外部アクセスが検知された場合(ステップS302Yes)、付加部15Hは、図示しない内部メモリに擬似セッションIDに関連付けて保存されたPIDを当該外部アクセスのパケットに付加する(ステップS303)。
【0144】
ここで、更新制御部15Kは、外部アクセスが外部装置へのリモート接続のログイン要求であるか否かを判定する(ステップS304)。このとき、外部アクセスが外部装置へのリモート接続のログイン要求である場合(ステップS304Yes)、更新制御部15Kは、おとりサーバ10がPID発行元であるか否かをさらに判定する(ステップS305)。
【0145】
そして、おとりサーバ10がPID発行元である場合(ステップS305Yes)、更新制御部15Kは、記憶部13に記憶されたアクセスログ情報13Cに当該外部アクセスに関するエントリを追加し(ステップS306)、処理が終了される。また、更新制御部15Kは、おとりサーバ10がPID発行元でないならば当該外部アクセスに関するエントリを追加するアクセスログ情報13Cの更新依頼をPID発行元のおとりサーバ10に送信し(ステップS307)、処理が終了される。
【0146】
(3)アラート出力処理
図12は、実施例1に係るアラート出力処理の手順を示すフローチャートである。この処理は、一例として、アクセスログ情報13Cに新規のエントリが追加された場合、起動する例を挙げるが、他のタイミングで処理が起動されることとしてもかまわない。例えば、定期時刻に処理を起動することとしてもよいし、図示しない外部装置からのリクエストを受け付けた場合に処理を起動することとしてもかまわない。
【0147】
これら任意のタイミングで処理が起動されると、出力部15Kは、同一のPIDを有するエントリ群に対し、下記のステップS501からステップS505までの処理を実行する。エントリ群が複数存在する場合、エントリ群間で処理を並列化して実行することができる。
【0148】
図12に示すように、出力部15Kは、おとりサーバ10の1台あたりの滞在時間が閾値Th4、例えば10秒以上であるか否かを判定する(ステップS501)。このとき、おとりサーバ10の1台あたりの滞在時間が閾値Th4以上である場合(ステップS501Yes)、出力部15Kは、踏み台回数が所定の閾値Th5、例えば3回以上であるか否かをさらに判定する(ステップS502)。
【0149】
このとき、踏み台回数が所定の閾値Th5以上である場合(ステップS502Yes)、出力部15Kは、おとりサーバ10のシステム管理者や警察関係者へアラートを出力する(ステップS505)。その後、処理が終了される。
【0150】
一方、おとりサーバ10の1台あたりの滞在時間が閾値Th4以上でない場合(ステップS501No)、出力部15Kは、踏み台にされたコンピュータの台数が閾値Th6、例えば3台以上であるか否かを判定する(ステップS503)。
【0151】
このとき、踏み台にされたコンピュータの台数が閾値Th6以上である場合(ステップS503Yes)、出力部15Kは、おとりサーバ10のシステム管理者や警察関係者へアラートを出力する(ステップS505)。その後、処理が終了される。
【0152】
一方、踏み台にされたコンピュータの台数が閾値Th6以上でない場合(ステップS503No)、出力部15Kは、同一のコンピュータが複数回にわたって踏み台にされたか否かを判定する(ステップS504)。
【0153】
このとき、同一のコンピュータが複数回にわたって踏み台にされた場合(ステップS504Yes)、出力部15Kは、おとりサーバ10のシステム管理者や警察関係者へアラートを出力する(ステップS505)。その後、処理が終了される。なお、同一のコンピュータが複数回にわたって踏み台にされていない場合(ステップS504No)、ステップS505の処理をスキップし、処理が終了される。
【0154】
[効果の一側面]
上述してきたように、本実施例に係るおとりサーバ10は、ログイン要求時に入力されたパスワードと正しいパスワードとの文字列の一致率が所定の閾値よりも低い場合、ログイン要求を行う端末2からのアクセスを不正アクセスと判定する。それ故、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が低く、かつ総当たり攻撃などのサイバー攻撃である可能性が高いログイン要求を不正アクセスと識別できる。さらに、逆説的に言えば、ログイン要求時に入力されたパスワードと正しいパスワードとの文字列の一致率が所定の閾値以上である場合、正当なアカウントを有するユーザの操作ミスや記憶違いである可能性が高く、かつ総当たり攻撃などのサイバー攻撃である可能性が低いログイン要求を正常なアクセスと識別できる。したがって、本実施例に係るおとりサーバ10によれば、不正アクセスの判定精度を向上させることが可能である。
【実施例2】
【0155】
さて、これまで開示の装置に関する実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
【0156】
上記の実施例1では、上記の不正アクセス監視サービスの機能がおとりサーバ10に搭載される例を挙げたが、必ずしも上記の不正アクセス監視サービスの機能がおとりサーバ10に搭載されずともかまわない。例えば、NW装置5、例えばオープンフローコントローラやIDS、IPSなどに上記の不正アクセス監視サービスの機能が搭載されることとしてもかまわない。
【0157】
[分散・統合]
また、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されておらずともよい。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、第1監視部15A、取得部15B、判定部15C、誘導部15D、生成部15E、模倣部15F、第2監視部15G、付加部15H、更新制御部15jまたは出力部15Kをおとりサーバ10の外部装置としてネットワーク経由で接続するようにしてもよい。また、第1監視部15A、取得部15B、判定部15C、誘導部15D、生成部15E、模倣部15F、第2監視部15G、付加部15H、更新制御部15jまたは出力部15Kを別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のおとりサーバ10の機能を実現するようにしてもよい。
【0158】
[不正アクセス監視プログラム]
また、上記の実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、
図13を用いて、上記の実施例と同様の機能を有する不正アクセス監視プログラムを実行するコンピュータの一例について説明する。
【0159】
図13は、実施例1及び実施例2に係る不正アクセス監視プログラムを実行するコンピュータのハードウェア構成例を示す図である。
図13に示すように、コンピュータ100は、操作部110aと、スピーカ110bと、カメラ110cと、ディスプレイ120と、通信部130とを有する。さらに、このコンピュータ100は、CPU150と、ROM160と、HDD170と、RAM180とを有する。これら110~180の各部はバス140を介して接続される。
【0160】
HDD170には、
図13に示すように、上記の実施例1で示した第1監視部15A、取得部15B、判定部15C、誘導部15D、生成部15E、模倣部15F、第2監視部15G、付加部15H、更新制御部15j及び出力部15Kと同様の機能を発揮する不正アクセス監視プログラム170aが記憶される。この不正アクセス監視プログラム170aは、
図5に示した第1監視部15A、取得部15B、判定部15C、誘導部15D、生成部15E、模倣部15F、第2監視部15G、付加部15H、更新制御部15j及び出力部15Kの各構成要素と同様、統合又は分離してもかまわない。すなわち、HDD170には、必ずしも上記の実施例1で示した全てのデータが格納されずともよく、処理に用いるデータがHDD170に格納されればよい。
【0161】
このような環境の下、CPU150は、HDD170から不正アクセス監視プログラム170aを読み出した上でRAM180へ展開する。この結果、不正アクセス監視プログラム170aは、
図13に示すように、不正アクセス監視プロセス180aとして機能する。この不正アクセス監視プロセス180aは、RAM180が有する記憶領域のうち不正アクセス監視プロセス180aに割り当てられた領域にHDD170から読み出した各種データを展開し、この展開した各種データを用いて各種の処理を実行する。例えば、不正アクセス監視プロセス180aが実行する処理の一例として、
図10~
図12に示す処理などが含まれる。なお、CPU150では、必ずしも上記の実施例1で示した全ての処理部が動作せずともよく、実行対象とする処理に対応する処理部が仮想的に実現されればよい。
【0162】
なお、上記の不正アクセス監視プログラム170aは、必ずしも最初からHDD170やROM160に記憶されておらずともかまわない。例えば、コンピュータ100に挿入されるフレキシブルディスク、いわゆるFD、CD-ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」に不正アクセス監視プログラム170aを記憶させる。そして、コンピュータ100がこれらの可搬用の物理媒体から不正アクセス監視プログラム170aを取得して実行するようにしてもよい。また、公衆回線、インターネット、LAN、WANなどを介してコンピュータ100に接続される他のコンピュータまたはサーバ装置などに不正アクセス監視プログラム170aを記憶させておき、コンピュータ100がこれらから不正アクセス監視プログラム170aを取得して実行するようにしてもよい。
【0163】
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
【0164】
(付記1)所定の監視対象装置に対するログイン認証を監視する監視部と、
前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する判定部と、
を有することを特徴とする不正アクセス監視システム。
【0165】
(付記2)前記判定部は、前記一致率が所定の閾値未満である場合、前記端末からのアクセスが不正アクセスであると判定することを特徴とする付記1に記載の不正アクセス監視システム。
【0166】
(付記3)前記判定部は、パスワードのリトライ回数が所定の閾値以上に達する前記端末から前記監視対象装置へのアクセスが不正アクセスであるか否かを過去所定回数の前記一致率の統計値に基づいて判定することを特徴とする付記1に記載の不正アクセス監視システム。
【0167】
(付記4)前記端末からのアクセスが不正アクセスと判定された場合、所定のおとりサーバへのログインを誘導する誘導部と、
前記端末を前記おとりサーバへ誘導後、前記端末からのリモート操作に基づいて前記おとりサーバから外部へアクセスするパケットに前記端末に関する所定のデータを付加する付加部と、
前記所定のデータに関連付けて前記おとりサーバから外部へアクセスするログを記録する記録部とをさらに有することを特徴とする付記1に記載の不正アクセス監視システム。
【0168】
(付記5)所定の監視対象装置に対するログイン認証を監視し、
前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する、
処理をコンピュータに実行させることを特徴とする不正アクセス監視プログラム。
【0169】
(付記6)前記判定する処理は、前記一致率が所定の閾値未満である場合、前記端末からのアクセスが不正アクセスであると判定することを特徴とする付記5に記載の不正アクセス監視プログラム。
【0170】
(付記7)前記判定する処理は、パスワードのリトライ回数が所定の閾値以上に達する前記端末から前記監視対象装置へのアクセスが不正アクセスであるか否かを過去所定回数の前記一致率の統計値に基づいて判定することを特徴とする付記5に記載の不正アクセス監視プログラム。
【0171】
(付記8)前記端末からのアクセスが不正アクセスと判定された場合、所定のおとりサーバへのログインを誘導する処理と、
前記端末を前記おとりサーバへ誘導後、前記端末からのリモート操作に基づいて前記おとりサーバから外部へアクセスするパケットに前記端末に関する所定のデータを付加する処理と、
前記所定のデータに関連付けて前記おとりサーバから外部へアクセスするログを記録する処理とをさらに前記コンピュータに実行させることを特徴とする付記5に記載の不正アクセス監視プログラム。
【0172】
(付記9)所定の監視対象装置に対するログイン認証を監視し、
前記ログイン認証の受付時に入力されたパスワードと予め記憶されている正しいパスワードとの文字列の一致率に基づいて前記監視対象装置に前記ログイン認証を要求する端末からのアクセスが不正アクセスであるか否かを判定する、
処理をコンピュータが実行することを特徴とする不正アクセス監視方法。
【0173】
(付記10)前記判定する処理は、前記一致率が所定の閾値未満である場合、前記端末からのアクセスが不正アクセスであると判定することを特徴とする付記9に記載の不正アクセス監視方法。
【0174】
(付記11)前記判定する処理は、パスワードのリトライ回数が所定の閾値以上に達する前記端末から前記監視対象装置へのアクセスが不正アクセスであるか否かを過去所定回数の前記一致率の統計値に基づいて判定することを特徴とする付記9に記載の不正アクセス監視方法。
【0175】
(付記12)前記端末からのアクセスが不正アクセスと判定された場合、所定のおとりサーバへのログインを誘導する処理と、
前記端末を前記おとりサーバへ誘導後、前記端末からのリモート操作に基づいて前記おとりサーバから外部へアクセスするパケットに前記端末に関する所定のデータを付加する処理と、
前記所定のデータに関連付けて前記おとりサーバから外部へアクセスするログを記録する処理とをさらに前記コンピュータが実行することを特徴とする付記9に記載の不正アクセス監視方法。
【符号の説明】
【0176】
1 不正アクセス監視システム
2 端末
3 内部ネットワーク
5 NW装置
7 監視対象装置
10 おとりサーバ
11 通信I/F部
13 記憶部
13A PID情報
13B 誤入力情報
13C アクセスログ情報
15 制御部
15A 第1監視部
15B 取得部
15C 判定部
15D 誘導部
15E 生成部
15F 模倣部
15G 第2監視部
15H 付加部
15J 更新制御部
15K 出力部