ホーム > 特許ランキング > SANDS LAB Inc.
知財求人 - 知財ポータルサイト「IP Force」
特許7285907サーバーリソースを用いたマルウェアの探知及び治療が可能なモノのインターネット装置及びその方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-25
(45)【発行日】2023-06-02
(54)【発明の名称】サーバーリソースを用いたマルウェアの探知及び治療が可能なモノのインターネット装置及びその方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20230526BHJP
G16Y 30/10 20200101ALI20230526BHJP
【FI】
G06F21/56
G16Y30/10
【請求項の数】
5
(21)【出願番号】P 2021197712
(22)【出願日】2021-12-06
(65)【公開番号】P2022090642
(43)【公開日】2022-06-17
【審査請求日】2021-12-06
(31)【優先権主張番号】10-2020-0169577
(32)【優先日】2020-12-07
(33)【優先権主張国・地域又は機関】KR
(73)【特許権者】
【識別番号】521533049
【氏名又は名称】サンズ ラブ インコーポレイテッド
【氏名又は名称原語表記】SANDS LAB Inc.
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】230118913
【弁護士】
【氏名又は名称】杉村 光嗣
(74)【代理人】
【識別番号】100211395
【弁理士】
【氏名又は名称】鈴木 裕貴
(72)【発明者】
【氏名】キム キホン
【審査官】平井 誠
(56)【参考文献】
【文献】特開2011-248763(JP,A)
【文献】特開2008-293525(JP,A)
【文献】特開2008-077600(JP,A)
【文献】米国特許出願公開第2010/0043072(US,A1)
【文献】特開2010-198368(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-88
G16Y 10/00-40/60
G06F 16/00-16/958
(57)【特許請求の範囲】
【請求項1】
読出し/書込み事象を生じさせるユーザーアプリケーションモジュールと、前記事象が生じると、カーネルAPIモジュールを呼び出すオペレーティングシステムAPIモジュールと、
ファイルシステムドライバーモジュールに読出し/書込み事象を受け渡すカーネルAPIモジュールと、
読出し/書込み演算指令を生成し、ファイルフィルタードライバーモジュールに受け渡すファイルシステムドライバーモジュールと、
前記読出し/書込み演算指令をネットワークフィルタードライバーモジュールに受け渡すファイルフィルタードライバーモジュールと、
前記読出し/書込み演算指令を含む演算専用パケットを生成して、リモートサーバーのパケット処理アプリケーションモジュールに伝送するネットワークフィルタードライバーモジュールと、
を備える、モノのインターネット装置。
【請求項2】
請求項1に記載のモノのインターネット装置の読出し/書込み指令を実行する方法において、ユーザーアプリケーションモジュールが、読出し/書込み事象を生じさせる第1のステップと、
オペレーティングシステムAPIモジュールが、前記事象が生じると、カーネルAPIモジュールを呼び出す第2のステップと、
ファイルフィルタードライバーモジュールが、前記読出し/書込み演算指令をネットワークフィルタードライバーモジュールに受け渡す第3のステップと、
ネットワークフィルタードライバーモジュールが、前記読出し/書込み演算指令を含むパケットを生成して、リモートサーバーのパケット処理アプリケーションモジュールに伝送する第4のステップと、
を含む、
モノのインターネット装置の読出し/書込み指令を実行する方法。
【請求項3】
モノのインターネット装置とリモートマルウェア探知装置を備えるモノのインターネット装置のリモートマルウェア探知システムにおいて、前記モノのインターネット装置は、
読出し/書込み事象を生じさせるユーザーアプリケーションモジュールと、
前記事象が生じると、カーネルAPIモジュールを呼び出すオペレーティングシステムAPIモジュールと、
ファイルシステムドライバーモジュールに読出し/書込み事象を受け渡すカーネルAPIモジュールと、
読出し/書込み演算指令を生成し、ファイルフィルタードライバーモジュールに受け渡すファイルシステムドライバーモジュールと、
前記読出し/書込み演算指令をネットワークフィルタードライバーモジュールに受け渡すファイルフィルタードライバーモジュールと、
前記読出し/書込み演算指令を含む演算専用パケットを生成して、リモートサーバーのパケット処理アプリケーションモジュールに伝送するネットワークフィルタードライバーモジュールと、を備え、
前記リモートマルウェア探知装置は、
サーバーディスクにファイルが記録されれば、マルウェア検査事象を生成するアンチマルウェアアプリケーションモジュールと、
マルウェアに関わる情報が記録されているデータベースモジュールと、
前記事象に基づいて、データベースモジュールを参照してマルウェアを探知し、マルウェアである場合に所定の治療を行うアンチマルウェアエンジンと、
を備える、モノのインターネット装置のリモートマルウェア探知システム。
【請求項4】
請求項2に記載の方法におけるステップを行うコンピュータープログラムが記録されたコンピューターにて読取り可能な記録媒体。
【請求項5】
請求項2に記載の方法におけるステップを行うためにコンピューターにて読取り可能な記録媒体に記録されているコンピュータープログラム。【発明の詳細な説明】
【技術分野】
【0001】
本発明は、遠隔記憶媒体からデータを読み出したり、遠隔記憶媒体にデータを書き込んだりすることのできるモノのインターネット装置及びその方法に係り、さらに詳しくは、遠隔記憶媒体にデータを記録させることにより、サーバーリソースがモノのインターネット装置に受信されたマルウェア(悪意のあるソフトウェア)を探知し、かつ、治療できるようにするモノのインターネット装置及びその方法に関する。
【背景技術】
【0002】
近頃、低電力・超小型のコンピューティングが可能なモノのインターネット(IoT)装置がたくさん上市されている。家の中で使用する家電製品から、持ち運び可能な小型機器や自動車に至るまでその領域が広がってきており、スマートシティ、スマートビルの主な構成要素としてもIoT装置の活用度が高まりつつある。機器の活用度が高くなるにつれて、人間のあらゆる生活に直間接的に作用するくらい拡張性が高くなってきており、その効用性もまた高くなりつつあるため、しばらくの間IoT装置の成長の勢いは続いていくことが見込まれている。
【0003】
しかしながら、IoT装置もまた、既存のITインフラを積極的に活用するように設計されており、中核となる技術もまた、IT技術に基づいて設計が行われている。技術哲学がIT技術に基づいて成長しているが故に、 既存のITインフラにおいて起こり得る多種多様な諸問題をそのまま抱いていることを余儀なくされる。特に、IoT装置の成長に比例して成長するのが、IoT装置のセキュリティへの脅威である。
【0004】
IoT装置のセキュリティへの脅威は、最初に上市された当初から取り上げられた問題であるとはいえ、当初からIoT装置の多様性と拡張性の確保にフォーカスを当てて市場を増やしてきた結果、現在のところ、深刻なセキュリティー問題と向き合うことになってしまった。人の暮らしとともにする機器がたくさん構成されるが故に、個人情報問題が生じてしまい、インフラ管理工場の自動化が行われるようなところで使用するIoT装置は、生産計画の狂いに起因した物理的・経済的な損害まで生じる段階に至っている。
【0005】
このような現象のため、既存のパソコンに基づいたITセキュリティ技術を適用することを試みたものの、IoT装置は、その特性からみて、超低電力を使用し、電力供給の問題と環境的な要素が原因となって演算の範囲もまた制限的であり、格納スペースもまた制限的にならざるを得ないため、既存のITセキュリティ技術を適用するうえで限界があり、IoTインフラに見合う新規なタイプのアプローチ方式とデザインが必要とされるようになった。
【0006】
既存のパソコンに基づいたマルウェアの探知/治療システムは、ディスク、プロセス、メモリ上のファイルをパターンデータベースと比較してマルウェアの有無を確かめ、パターンのマッチングが行われる場合、当該ファイルをマルウェアと識別して当該ファイルを削除、治療する過程を行っていた。
【0007】
しかしながら、IoT装置の場合、ディスクが最小限にとどまっているか あるいは、ディスクが全くないケースも存在し、ファームウェアの形でしな動作しないケースが多い。また、低電力にて動作することを余儀なくされるため、機器を運用するうえでCPUなどの演算装置のリソースをすべて使用せざるを得なかった。その結果、マルウェアやサイバーセキュリティへの脅威を保護するうえで使用するパターンデータベースの格納空間やパターンマッチング演算を行うためのリソースの余裕が十分ではないため、保護するのに限界点が存在した。しかしだからといって、既存のパソコンに基づいたすべてのデータベースを強制的にIoT装置の中に仕込んで運営するには生産コストの問題がハードルとなるため、うんもすうも無くマルウェアの脅威に露出させて運営せざるを得なかった。
【先行技術文献】
【特許文献】
【0008】
【文献】大韓民国公開特許第10-2019-0073409号公報(2019年6月26日付け公開)
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明は、前述したIoT装置の限界点を乗り越え、IoT装置の物理的な限界をネットワークリソースを活用して乗り越えることにより、マルウェアの脅威からIoT装置を効率よく保護し、かつ、対応することのできる一歩進んだ新規なモノのインターネット装置を提供することを目的としている。
【課題を解決するための手段】
【0010】
本発明によるモノのインターネット装置は、読出し/書込み事象を生じさせるユーザーアプリケーションモジュールと、前記事象(イベント)が生じると、カーネルAPIモジュールを呼び出すオペレーティングシステムAPIモジュールと、ファイルシステムドライバーモジュールに読出し/書込み事象を受け渡すカーネルAPIモジュールと、読出し/書込み演算指令を生成し、ファイルフィルタードライバーモジュールに受け渡すファイルシステムドライバーモジュールと、前記読出し/書込み演算指令をネットワークフィルタードライバーモジュールに受け渡すファイルフィルタードライバーモジュールと、前記読出し/書込み演算指令を含む演算専用パケットを生成して、リモートサーバーのパケット処理アプリケーションモジュールに伝送するネットワークフィルタードライバーモジュールと、を備える。
【0011】
本発明によるモノのインターネット装置の読出し/書込み指令を実行する方法は、ユーザーアプリケーションモジュールが、読出し/書込み事象を生じさせる第1のステップと、オペレーティングシステムAPIモジュールが、前記事象が生じると、カーネルAPIモジュールを呼び出す第2のステップと、ファイルフィルタードライバーモジュールが、前記読出し/書込み演算指令をネットワークフィルタードライバーモジュールに受け渡す第3のステップと、ネットワークフィルタードライバーモジュールが、前記読出し/書込み演算指令を含むパケットを生成して、リモートサーバーのパケット処理アプリケーションモジュールに伝送する第4のステップと、を含む。
【0012】
本発明によるモノのインターネット装置のマルウェアを探知するリモートマルウェア探知装置は、サーバーディスクにファイルが記録されれば、マルウェア検査事象を生成するアンチマルウェアアプリケーションモジュールと、マルウェアに関わる情報が記録されているデータベースモジュールと、前記事象に基づいて、データベースモジュールを参照してマルウェア探知し、マルウェアである場合に所定の治療を行うアンチマルウェアエンジンと、を備える。
【0013】
本発明による方法におけるステップは、コンピューターにて読取り可能な記録媒体に記録されたコンピュータープログラムにより行われてもよい。
【発明の効果】
【0014】
本発明によれば、モノのインターネット装置の読出し/書込み指令を遠隔記憶媒体において行うことが可能になることにより、モノのインターネット装置に流れ込むマルウェアファイルをリモートサーバーなどにおいて探知し、かつ、治療できるようにすることができる。また、モノのインターネット装置の格納先は、ファームウェア領域のみを使用すれば済むので、格納先の容量を減らすことができるという効果も奏される。なお、リモートサーバーリソースを用いて多数台のモノのインターネット装置のマルウェアを検査することが可能になるので、非常に効率よく運用することができる。
【図面の簡単な説明】
【0015】
【発明を実施するための形態】
【0016】
以下、添付図面に基づいて、本発明について詳しく説明する。
【0017】
この明細書において行われる情報(データ)の伝送/受信の過程には、必要に応じて、暗号化/復号化が適用されてもよく、この明細書及び特許請求の範囲において情報(データ)の伝送過程について説明する言い回しは、別に断わることがなくても、いずれも暗号化/復号化する場合もまた含むものと解釈されなければならない。この明細書において、「Aから Bへと伝送(受け渡し)」または「AがBから受信」といったような言い回しは、途中に他の媒介体が介在されて伝送(受け渡し)または受信されることをも含み、AからBまで直接的に伝送(受け渡し)または受信されることのみを表すわけではない。本発明の説明において、各ステップの順番は、先行ステップが論理的及び時間的に必ずしも後行ステップに先立って行われなければならない場合ではなければ、各ステップの順番は日制限的であると理解されなければならない。すなわち、たとえ上記のような例外的な場合を除いては、後行ステップとして説明された過程が先行ステップとして説明された過程よりも先に行われるとしても、発明の本質には影響が及ばず、権利範囲もまた、ステップの順番とは無関係に定義されなければならない。また、この明細書において、「AまたはB」は、AとBのどちらか一方を選択的に指し示すことだけではなく、AとBを両方とも含むことも意味するものと定義される。なお、この明細書において、「含む」という用語は、含むものとして並べられた要素のほかにも他の構成要素をさらに含むことも網羅するという意味を有する。
【0018】
この明細書において、「モジュール」または「ユニット」または「部」とは、汎用的なハードウェアとその機能を行うソフトウェアとの論理的な結合のことをいう。
【0019】
この明細書においては、本発明を説明するうえで必要とされる最小限の構成要素についてのみ説明し、本発明の本質とは関係のない構成要素について言及しない。なお、言及される構成要素のみを備える排他的な意味として解釈されてはならず、未言及の他の構成要素もまた備えていてもよいという排他的な意味として解釈されなければならない。
【0020】
本発明による方法は、コンピューター、タブレットPC、モバイルフォン、携帯型演算装置、固定式演算装置などの電子的な演算装置により行われてもよい。また、本発明の一つまたはそれ以上の方法または形態が少なくとも一つのプロセッサーにより行われてもよいということが理解されなければならない。プロセッサーは、コンピューター、タブレットPC、モバイル装置、携帯型演算装置などに設置されてもよい。コンピュータープログラム指令を格納するようになっているメモリーがそのような装置に設置されてプログラムが格納されたプログラム指令をプロセッサーが実行するように特にプログラミングされて一つまたはそれ以上のこの明細書に記載されたようなプロセスを行ってもよい。さらに、この明細書に記載されている情報及び方法などは、一つまたはそれ以上のさらなる構成要素とプロセッサーを備えるコンピューター、タブレットPC、モバイル装置、携帯型演算装置などにより行われてもよいということが理解されなければならない。さらにまた、制御ロジックは、プロセッサー、制御部/制御ユニットなどにより実行可能なプログラム指令を含む不揮発性コンピューターにて読取り可能な媒体により実現されてもよい。コンピューターにて読取り可能な媒体の例としては、ROM、RAM、CD-ROM、磁気テープ、フロッピーディスク、フラッシュドライブ、スマートカード、光学データ格納装置などがあげられるが、これらに何ら制限されることはない。なお、コンピューターにて読取り可能な記録媒体は、ネットワークにより結ばれたコンピューターに分散されて、コンピューターにて読取り可能な媒体が分散された方式、例えば、リモートサーバーまたはコントローラエリアネットワーク(CAN:Controller Area Network)により分散された方式により格納されかつ実行されてもよい。
【0021】
図1には、本発明によるモノのインターネット装置及びマルウェア探知/治療サーバーの構成が示されており、図2には、本発明によるモノのインターネット装置の読出し/書込み指令を実行する方法のフローチャートが示されている。この明細書においては、説明のしやすのために、マルウェアファイルが流れ込んだときに「書込み」指令を実行する実施形態について説明をするが、他の機能のために「読出し」指令を実行する場合にも大同小異に適用可能である。
【0022】
本発明によるモノのインターネット装置は、ユーザーアプリケーションモジュール10と、オペレーティングシステムAPIモジュール20と、カーネルAPIモジュール30と、ファイルシステムドライバーモジュール40と、ファイルフィルタードライバーモジュール50と、ネットワークフィルタードライバーモジュール60と、ディスク70と、を備える。
【0023】
マルウェアファイルなどの外部ファイルがモノのインターネット装置に流れ込むと、1次的にユーザーアプリケーションモジュール10においてファイル書込み事象を生じさせる(ステップ200)。この事象は、オペレーティングシステムAPIモジュール20を経てカーネルレベルのカーネルAPIモジュール30を呼び出す(ステップ210)。
【0024】
カーネルAPIモジュール30は、ファイルシステムドライバーモジュール40に書込み事象を受け渡す(ステップ220)。ファイルシステムドライバーモジュール40は、受け渡された事象に基づいて、書込み演算指令を生成し(ステップ230)、生成された書込み演算指令をファイルフィルタードライバーモジュール50に受け渡す(ステップ240)。ファイルフィルタードライバーモジュール50は、受け渡された書込み演算指令をネットワークフィルタードライバーモジュール60に受け渡す(ステップ250)。ファイルフィルタードライバーモジュール50とネットワークフィルタードライバーモジュール60は、モノのインターネット装置のカーネルレベルに配設されてもよい。
【0025】
ネットワークフィルタードライバーモジュール60は、書込み演算指令を含む演算専用パケットを生成し(ステップ260)、通信手段82、84を介してサーバーのパケット処理アプリケーション85に伝送する(ステップ270)。パケット処理アプリケーション85は、受け渡されたパケットに基づいて、当該データをサーバーディスク90の特定のディレクトリーとファイル領域に記録する。
【0026】
書込み演算指令を受け渡されたサーバーディスクは、当該指令に従って、ファイルをサーバーディスク90に格納する。本発明によれば、モノのインターネット装置のディスク70は、モノのインターネット装置の駆動に必要とされるファームウェア領域しか必要とせず、外部ファイルや作動中に生成されるデータなどを格納するための領域が不要になる。すなわち、モノのインターネット装置の格納領域として、モノのインターネット装置ではなく、相対的にリソースに余裕のあるリモートサーバーリソースを利用することができるという作用効果が奏される。この明細書において、「リモート(遠隔)」とは、物理的な距離を意味するものではなく、モノのインターネット装置以外の他の装置を指し示すための用語である。
【0027】
サーバーは、受け渡された書込み演算指令に基づいて、当該ファイルのサーバーディスクへの書込み動作を行う。サーバーは、例えば、モノのインターネット装置ごとに別途のディレクトリー95を構成して書込みを行ってもよい。
【0028】
サーバーは、アンチウィルスエンジン120と、アンチウィルスアプリケーションモジュール130と、マルウェアに関わる情報が記録されているデータベース140と、を備える。
【0029】
アンチウィルスエンジン120とアンチウィルスアプリケーションモジュール130は、公知の技術的な構成要素であって、構成及び作動についての詳しい説明は省略する。
【0030】
サーバーディスク90へのファイルの書込み動作が行われると、アンチウィルスアプリケーションモジュール130がマルウェア検査事象を生成し、アンチウィルスエンジン120がデータベース140に基づいて、事象が生じた新規な生成ファイルがマルウェアを含んでいるか否かを確かめ、マルウェアであると識別された場合、治療または即時削除を行う。
【0031】
本発明によれば、モノのインターネット装置に流れ込み得るマルウェアファイルを探知し、治療するアンチウィルスアプリケーションモジュールとアンチウィルスエンジンをモノのインターネット装置に設けなくてもマルウェアファイルを探知し、治療することができるという作用効果が奏される。なお、モノのインターネット装置の作動中に生成されるファイルをモノのインターネットディスク70から読み出したり、モノのインターネットディスク70に書き込んだりする必要がないため、モノのインターネット装置のディスク領域70をファームウェアのみのために実現すれば済むので、モノのインターネット装置の格納容量を非常に少なく保つことができて、製造コストの面からみても有利である。
【0032】
以上、添付図面に基づいて、本発明について説明したが、本発明の権利範囲は、特許請求の範囲によって決定され、上述した実施形態および/または図面に制限されるものと解釈されてはならない。なお、特許請求の範囲に記載の発明の当業者にとって自明な改良、変更及び修正もまた本発明の権利範囲に含まれるということが明らかに理解されなければならない。
【符号の説明】
【0033】
10 ユーザーアプリケーションモジュール
20 オペレーティングシステムAPIモジュール
30 カーネルAPIモジュール
40 ファイルシステムドライバーモジュール
50 ファイルフィルタードライバーモジュール
60 ネットワークフィルタードライバーモジュール
90 サーバーディスク
120 アンチウィルスモジュール
130 アンチウィルスアプリケーションモジュール
20 オペレーティングシステムAPIモジュール
30 カーネルAPIモジュール
40 ファイルシステムドライバーモジュール
50 ファイルフィルタードライバーモジュール
60 ネットワークフィルタードライバーモジュール
90 サーバーディスク
120 アンチウィルスモジュール
130 アンチウィルスアプリケーションモジュール
【図1】
【図2】
