特許 7363503 情報処理装置、情報処理方法、および情報処理システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-10-10

(45)【発行日】2023-10-18

(54)【発明の名称】情報処理装置、情報処理方法、および情報処理システム

(51)【国際特許分類】

   G06F 21/56 20130101AFI20231011BHJP

【ＦＩ】

G06F21/56

【請求項の数】 11

(21)【出願番号】P 2020005384

(22)【出願日】2020-01-16

(65)【公開番号】P2021114047

(43)【公開日】2021-08-05

【審査請求日】2022-09-08

(73)【特許権者】

【識別番号】000005223

【氏名又は名称】富士通株式会社

(74)【代理人】

【識別番号】100074099

【弁理士】

【氏名又は名称】大菅 義之

(74)【代理人】

【識別番号】100121083

【弁理士】

【氏名又は名称】青木 宏義

(74)【代理人】

【識別番号】100138391

【弁理士】

【氏名又は名称】天田 昌行

(72)【発明者】

【氏名】町田 卓謙

(72)【発明者】

【氏名】藤嶌 由紀

【審査官】吉田 歩

(56)【参考文献】

【文献】特開２００７－０８２２４２（ＪＰ，Ａ）

【文献】土性 文哉 ほか，攻撃元ホストの振る舞い分類を用いたダークネットトラフィックの分析，２０１４年 暗号と情報セキュリティシンポジウム概要集，2014年01月21日

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／５６

(57)【特許請求の範囲】

【請求項1】

ネットワークシステムに接続された複数の情報処理装置により使用される情報処理方法であって、
前記複数の情報処理装置のうちの第１の情報処理装置は、マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンは、前記複数の情報処理装置のうちの第２の情報処理装置に通知され、
前記第２の情報処理装置は、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを返送する
ことを特徴とする情報処理方法。

【請求項2】

ネットワークシステムに接続された複数の端末を備えるコンピュータにおいて、
前記複数の端末のうちの第１の端末が、マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを、前記複数の端末のうちの第２の端末に通知し、
前記第２の端末が、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを返送する
処理を前記コンピュータに実行させる情報処理プログラム。

【請求項3】

複数の情報処理装置と、
前記複数の情報処理装置を管理する管理部と、を備え、
前記複数の情報処理装置の中の第１の情報処理装置は、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを前記管理部に通知し、
前記管理部は、前記再送パターンを前記複数の情報処理装置の中の第２の情報処理装置に通知し、
前記第２の情報処理装置は、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを送信する
ことを特徴とする情報処理システム。

【請求項4】

前記第１の情報処理装置は、マルウェア毎に再送パターンを検出し、
前記第２の情報処理装置は、あるマルウェアからアクセスがあったときに、そのマルウェアに対応する再送パターンに基づいて応答パケットを送信するタイミングを制御する
ことを特徴とする請求項３に記載の情報処理システム。

【請求項5】

前記第１の情報処理装置は、前記感染端末との間のハンドシェイク時に第１の再送パターンを検出すると共に、前記感染端末との間のデータ通信時に第２の再送パターンを検出し、
前記第２の情報処理装置は、前記感染端末との間のハンドシェイク時には前記第１の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御すると共に、前記感染端末との間のデータ通信時には前記第２の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御する
ことを特徴とする請求項３に記載の情報処理システム。

【請求項6】

前記管理部は、前記複数の情報処理装置についてマルウェアからアクセスされる順番を推定し、前記マルウェアから早くアクセスされると推定される情報処理装置から順番に前記再送パターンを通知する
ことを特徴とする請求項３に記載の情報処理システム。

【請求項7】

前記管理部は、マルウェアによる感染が検知されたときに、前記複数の情報処理装置をネットワークに接続する
ことを特徴とする請求項３に記載の情報処理システム。

【請求項8】

前記再送パターンは、前記感染端末がパケットを送信したときからそのパケットに対応する再送パケットを送信するまでの期間を表すタイムアウト時間、及び、前記感染端末が再送パケットを送信する回数の最大値を表す再送回数を含む
ことを特徴とする請求項３に記載の情報処理システム。

【請求項9】

前記第１の情報処理装置は、前記感染端末から送信されるパケットおよびそのパケットに対応する再送パケットの受信時刻に基づいて前記タイムアウト時間を検出すると共に、前記感染端末から受信する再送パケットの個数に基づいて前記再送回数を検出する
ことを特徴とする請求項８に記載の情報処理システム。

【請求項10】

前記第１の情報処理装置は、前記タイムアウト時間および前記再送回数に基づいて、前記第２の情報処理装置が前記感染端末からの受信パケットに対して応答パケットを返送するまでの待ち時間を表す応答時間を計算し、
前記第１の情報処理装置は、前記応答時間を前記管理部に通知する
ことを特徴とする請求項９に記載の情報処理システム。

【請求項11】

複数の情報処理装置が接続されたネットワークシステムにおいて使用される情報処理装置であって、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出する検出部と、
前記検出部により検出された再送パターンを、前記複数の情報処理装置のうちの少なくとも１つの他の情報処理装置に通知する通信部と、を備え、
前記複数の情報処理装置のうちの他のいずれかの情報処理装置において検出された再送パターンを受信した後に、前記感染端末からアクセスがあったときに、前記通信部は、前記他のいずれかの情報処理装置から受信した再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを送信する
ことを特徴とする情報処理装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、情報処理装置、情報処理方法、および情報処理システムに係わる。

【背景技術】

【0002】

ネットワークには、様々な種類の端末が接続されることが多く、セキュリティ対策が十分でない端末が残っていることがある。たとえば、工場内ネットワークには、脆弱性の残るＯＳを使用する端末が接続されていることがある。そして、このような端末にマルウェアが侵入すると、ネットワークに接続される他の端末にも感染が及ぶことがある。特に、「ワーム」と呼ばれるマルウェアは、自分自身を複製して他の端末に感染を拡大させる。このため、ネットワーク内にワームが侵入したときには、短い時間内に感染が拡大するおそれがある。

【0003】

ワームの侵入が検知されたときには、感染の拡大を遅らせることが重要である。このため、感染が拡大する速度を低下させる方法が提案されている。例えば、攻撃対象サイトと異なる所在へ通信を導き、この攻撃対象サイトへの攻撃を回避させるおとりサイトを設ける方法が提案されている（例えば、特許文献１）。悪性サイトを検知するために、ハニークライアントと呼ばれるおとりのシステムを設ける方法が提案されている（例えば、特許文献２）。おとりシステムを用いて真のサーバが攻撃されるまでの時間を稼ぐ方法が提案されている（例えば、特許文献３）。

【先行技術文献】

【特許文献】

【0004】

【文献】特開２００２－２５１３７４号公報

【文献】ＷＯ２０１８／０６６２２１

【文献】特開２００２－３４２２７９号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

上述のように、おとりシステムを用いて感染拡大の速度を抑制する方法が提案されている。ただし、従来技術では、おとりシステムを用いても、感染拡大の速度を十分に抑制できていない。ここで、この問題は、おとりシステムの数を増加させれば解決または緩和され得る。ところが、おとりシステムの数を増加させると、ネットワーク全体として効率が悪くなり、可用性が低下するおそれがある。特に、工場内ネットワークは可用性が重要視されるので、おとりシステムの数を増加させる構成は好ましくない。

【0006】

本発明の１つの側面に係わる目的は、マルウェアの感染拡大を遅延させることである。

【課題を解決するための手段】

【0007】

本発明の１つの態様の情報処理装置は、複数の情報処理装置が接続されたネットワークシステムにおいて使用される。この情報処理装置は、マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出する検出部と、前記検出部により検出された再送パターンを、前記複数の情報処理装置のうちの少なくとも１つの他の情報処理装置に通知する通信部と、を備える。

【発明の効果】

【0008】

上述の態様によれば、マルウェアの感染拡大を遅延させることができる。

【図面の簡単な説明】

【0009】

【図1】本発明の実施形態に係わるネットワークシステムの一例を示す図である。

【図2】囮端末による遅延処理の例を示す図である。

【図3】本発明の実施形態に係わる情報処理システムの一例を示す図である。

【図4】囮端末の動作を示すシーケンス図である。

【図5】感染端末が再送を行わないケースでの囮端末の動作を示すシーケンス図である。

【図6】囮端末の処理の一例を示すフローチャート（その１）である。

【図7】囮端末の処理の一例を示すフローチャート（その２）である。

【図8】マルウェア毎に管理されるステート情報および応答時間設定値の一例を示す図である。

【図9】複数の囮端末に順番に再送パターンを通知する方法の一例を示す図である。

【図10】情報処理システムのハードウェア構成の一例を示す図である。

【発明を実施するための形態】

【0010】

図１は、本発明の実施形態に係わるネットワークシステムの一例を示す。本発明の実施形態に係わるネットワークシステム１００は、ネットワークを介して相互に接続された複数の端末１を備える。ネットワークシステム１００は、特に限定されるものではないが、例えば、工場内に構築される工場内ネットワークである。

【0011】

上記構成のネットワークシステム１００において、ある端末１がマルウェアに感染したものとする。マルウェアは、特に限定されるものではないが、例えば、ワームである。ワームは、自分自身を複製して他の端末に感染を拡大させることが可能である。なお、以下の記載では、マルウェアに感染した端末を「感染端末１Ｍ」と呼ぶことがある。

【0012】

ネットワークシステム１００は、マルウェアの感染拡大を遅延させるために、複数の囮端末２（２ａ～２ｃ）を備える。各囮端末２は、この実施例では、サーバコンピュータ３上に実装される仮想マシンにより実現される。この場合、サーバコンピュータ３は、ネットワークに接続される。ただし、本発明はこの構成に限定されるものではない。例えば、各囮端末２は、互いに物理的に独立したコンピュータであってもよい。

【0013】

各囮端末２は、サーバコンピュータ３のプロセッサ資源およびメモリ資源を利用して実現されるが、独立した情報処理装置として動作できる。また、各囮端末２には、ＩＰアドレス等の識別情報が付与されている。よって、各端末１は、囮端末２あてにパケットを送信することができる。

【0014】

図２は、囮端末による遅延処理の例を示す。この例では、感染端末１Ｍから囮端末２に対してマルウェアによる感染試行が行われるものとする。感染試行は、この実施例では、対象端末（図２では、囮端末２）にワームを送り込んで、その対象端末を感染状態にする処理を表す。

【0015】

図２（ａ）に示す例では、感染端末１Ｍは、囮端末２にＳＹＮパケットを送信する。この後、感染端末１Ｍは、ＳＹＮパケットの送信時刻から所定のタイムアウト時間Ｔ０が経過するまで、囮端末２から送信される応答パケットを待ち受ける。

【0016】

この例では、囮端末２は、応答パケットを感染端末１Ｍに送信する。そして、感染端末１Ｍは、タイムアウト時間が経過する前に、その応答パケットを受信する。そうすると、感染端末１Ｍに実装されているマルウェアは、感染試行を実行する。この結果、囮端末２は、マルウェアに感染する。

【0017】

このように、囮端末２が感染端末１Ｍからの攻撃を受けると、その分だけ他の端末１への感染の拡大が遅延する。ここで、囮端末２が感染端末１ＭからＳＹＮパケットを受信したときから、囮端末２が感染端末１Ｍに応答パケットを送信するまでの時間を「Ｒ」とする。また、マルウェアによる感染試行の実行時間を「Ｍ」とする。この場合、囮端末２を設けたことにより、時間「Ｒ＋Ｍ」だけ他の端末１への感染拡大が遅延することになる。

【0018】

図２（ｂ）に示す例でも、感染端末１Ｍは、囮端末２にＳＹＮパケットを送信する。ここで、囮端末２が感染端末１Ｍに応答パケットを送信しないものとする。そして、感染端末１Ｍは、ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ０が経過するまでの間に、囮端末２から応答パケットを受信しないものとする。この場合、感染端末１Ｍは、再送手順を実行する。すなわち、感染端末１Ｍは、ＳＹＮパケットの再送を実行する。

【0019】

再送パターンは、例えば、パケットの送信元端末（図２（ｂ）に示す例では、感染端末１Ｍ）のＯＳに設定されている。或いは、再送パターンは、パケットの送信元端末において動作するアプリケーション（図２（ｂ）に示す例では、マルウェア）に設定されていることもある。ここでは、下記の再送パターンが設定されているものとする。
（１）再送回数は、２回である。
（２）１回目の再送に対するタイムアウト時間はＴ１である。
（３）２回目の再送に対するタイムアウト時間はＴ２である。

【0020】

このような状況において、囮端末２は、他の端末１への感染の拡大を遅らせるために、応答パケットの送信タイミングを遅らせる。ここで、他の端末１への感染の拡大を出来るだけ遅らせるためには、感染端末１Ｍによる最後の再送に対するタイムアウト時間が満了する直前に、囮端末２から感染端末１Ｍに応答パケットが送信されることが好ましい。具体的には、囮端末２は、最初のＳＹＮパケットを受信した時刻から「Ｔ０＋Ｔ１＋Ｔ２」が経過する直前に、感染端末１Ｍに応答パケットを送信することが好ましい。図２（ｂ）では、囮端末２は、最初のＳＹＮパケットを受信した時刻から待ち時間Ｒ２が経過したタイミングで、感染端末１Ｍに応答パケットを送信している。この場合、囮端末２を設けたことにより、時間「Ｒ２＋Ｍ」だけ他の端末１への感染拡大が遅延することになる。

【0021】

このように、再送パターンが既知であれば、各囮端末２において、他の端末１への感染拡大を大きく遅延させることが可能である。ところが、再送パターンは、パケットの送信元端末のＯＳに設定されることがある。すなわち、再送パターンは、送信元端末のＯＳに依存するので、必ずしも既知ではない。また、マルウェアが再送手順を実行するケースでは、囮端末２は、事前に再送パターンを認識することは困難である。そして、再送パターンを認識していない状況では、囮端末２は、他の端末１への感染拡大を十分に遅延させることは困難である。

【0022】

例えば、図２（ｂ）において、待ち時間Ｒ２が「Ｔ０＋Ｔ１＋Ｔ２」より長いときは、感染端末１Ｍは、感染試行手順を実行することなく、他の端末１への攻撃を実行する。この場合、図２（ｂ）に示すケースと比較して、マルウェアによる感染試行手順の実行時間Ｍの分だけ遅延時間が短くなる。一方、感染端末１Ｍに感染試行手順を確実に実行させるためには、囮端末２は、待ち時間Ｒ２として、様々な再送パターンの中で最も短いと考えられるタイムアウト時間より短い値を使用することになる。しかし、この場合は、最初のＳＹＮパケットが送信された時刻から感染試行手順が開始されるまでの時間が短くなるので、結局、他の端末１への感染拡大が早まってしまう。

【0023】

そこで、本発明の実施形態に係わる情報処理方法では、複数の囮端末が連携して、他の端末１への感染拡大を遅延させる。具体的には、複数の囮端末のうちの１つの囮端末が、マルウェアまたはマルウェアに感染した感染端末の再送パターンを検出する。再送パターンは、タイムアウト時間および再送回数を表す。そして、この囮端末は、検出した再送パターンを他の１または複数の囮端末に通知する。そうすると、他の１または複数の囮端末は、通知された再送パターンに基づいて、他の端末１への感染拡大を遅延させる処理を実行する。具体的には、再送パターンが知らされた各囮端末は、感染端末１Ｍからアクセスを受けたときに、図２（ｂ）に示す手順を実行する。この結果、感染拡大の遅延が大きくなる。

【0024】

図３は、本発明の実施形態に係わる情報処理システムの一例を示す。本発明の実施形態に係わる情報処理システム２００は、複数の囮端末２および管理部３０を備える。図３に示す囮端末２は、図１に示す囮端末２に相当する。図３においては、２台の囮端末２（２ａ、２ｂ）が描かれているが、情報処理システム２００は、３台以上の囮端末２を備えてもよい。また、情報処理システム２００は、図１に示す例では、サーバコンピュータ３により実現される。すなわち、この実施例でも、各囮端末２は、サーバコンピュータ３上に実装される仮想マシンにより実現される。なお、情報処理システム２００は、図３に示していない他の装置または機能を備えてもよい。

【0025】

囮端末２は、ネットワークＩＦ２１、検出部２２、通信部２３を備える。また、囮端末２は、ステート情報および応答時間設定値を保存するためのメモリを備える。なお、囮端末２は、図３に示していない他の機能を備えてもよい。

【0026】

ネットワークＩＦ２１は、ネットワークとのインタフェースを提供する。すなわち、ネットワークＩＦ２１は、図１に示す端末１（感染端末１Ｍを含む）から送信されるパケットを受信することができる。各パケットは、送信元アドレスおよび宛先アドレスを含む。そして、ネットワークＩＦ２１は、受信パケットの宛先アドレスに基づいて、そのパケットを取り込むか廃棄するかを判定する。また、ネットワークＩＦ２１は、受信パケットの送信元アドレスに基づいて、そのパケットが感染端末１Ｍから送信されたか否かを判定してもよい。

【0027】

ただし、囮端末２は、マルウェアの感染拡大を抑制するために設けられた情報処理装置であり、ネットワークシステム１００の本来の処理を実行するための端末ではない。よって、ブロードキャストパケットを除けば、ネットワークシステム１００の本来の処理に係わるパケットは、囮端末２に到着しないはずである。換言すれば、ブロードキャストパケットを除けば、囮端末２に到着するパケットは、マルウェアの感染が疑わしい端末から送信されたパケットであると考えられる。そこで、囮端末２は、宛先アドレスが当該囮端末２であるパケットを受信したとき、そのパケットの送信元の端末を「疑わしい端末」と推定する。以下では、このような疑わしい端末を、ワームに感染した可能性がある「感染端末（または、感染端末１Ｍ）」と呼ぶことにする。

【0028】

そして、ネットワークＩＦ２１は、感染端末１Ｍからパケットを受信したときは、アクセス情報を生成する。アクセス情報は、感染端末１Ｍから当該囮端末２にパケットが到着したこと、およびその受信時刻を表す。

【0029】

また、ネットワークＩＦ２１は、受信パケットに対して応答パケットを返送する機能を有する。但し、感染端末１Ｍからパケットを受信したときは、ネットワークＩＦ２１は、検出部２２から与えられる応答指示に基づいて応答処理を行う。

【0030】

検出部２２は、ネットワークＩＦ２１から与えられるアクセス情報に基づいて、感染端末１Ｍまたは感染端末１Ｍに侵入したマルウェアの再送パターンを検出する。また、検出部２２は、他の囮端末から受信するアクセス情報を利用して再送パターンを検出することもある。そして、ネットワークＩＦ２１から与えられるアクセス情報および検出部２２において検出された再送パターンは、通信部２３を介して管理部３０に通知される。通信部２３は、検出部２２と管理部３０との間のインタフェースを提供する。なお、再送パターンを検出する方法は、後で詳しく説明する。

【0031】

ステート情報は、囮端末２の動作状態を表す。ここで、囮端末２は、初期状態または応答制限状態のいずれか一方で動作する。初期状態においては、囮端末２は、感染端末１Ｍからのアクセスに対して応答パケットを返送しない。すなわち、囮端末２は、感染端末１Ｍに再送手順を実行させる。そして、囮端末２は、マルウェアまたは感染端末１Ｍの再送パターンを検出する。この場合、囮端末２は、検出した再送パターンを、管理部３０を介して他の囮端末に通知する。また、応答制限状態においては、囮端末２は、他の囮端末から通知される再送パターンに基づいて、感染端末１Ｍから受信するパケットに対する応答を制限する。

【0032】

応答時間設定値は、感染端末１Ｍから受信するパケットに対する応答時間を表す。具体的には、応答時間設定値は、囮端末２が応答制限状態で動作するときに、感染端末１ＭからＳＹＮパケットを受信した時刻から応答パケットを返送するタイミングまでの待ち時間を表す。なお、応答時間設定値は、後で説明するが、マルウェアまたは感染端末１Ｍの再送パターンに基づいて算出される。

【0033】

次に、図３を参照して情報処理システム２００の動作を説明する。なお、特に限定されるものではないが、各囮端末２は、感染端末１Ｍから攻撃を受けやすいように構成されていてもよい。例えば、囮端末２は、脆弱性の残るＯＳを使用しているように見せかけてもよい。この場合、囮端末２は、例えば、ログインメッセージを書き換えることで、実際とは異なるＯＳを使用している状態を他の端末に認識させてもよい。

【0034】

この実施例では、感染端末１Ｍが、まず、囮端末２ａにアクセスするものとする。すなわち、感染端末１Ｍから送信されるＳＹＮパケットが囮端末２ａに到着する。このとき、各囮端末２（２ａ、２ｂ）は、初期状態で動作しているものとする。

【0035】

囮端末２ａは、感染端末１Ｍから送信されるＳＹＮパケットを受信する。そして、囮端末２ａは、このＳＹＮパケットの送信元アドレスを解析することにより、受信パケットの送信元（すなわち、感染端末１Ｍ）が疑わしい端末であると判定するものとする。このとき、囮端末２ａは、初期状態で動作している。この場合、囮端末２ａは、ＳＹＮパケットに応答することなく、感染端末１Ｍの再送パターンを検出する手順を実行する。なお、再送パターンを検出する方法は、後で詳しく説明する。

【0036】

なお、再送パターンは、上述したように、例えば、感染端末１ＭのＯＳまたは感染端末１Ｍに進入したマルウェアに依存する。ただし、以下の記載では、「感染端末１Ｍの再送パターン」は、感染端末１Ｍに進入したマルウェアの再送パターンを含むものとする。

【0037】

囮端末２ａは、感染端末１Ｍの再送パターンを検出すると、その検出結果を管理部３０に通知する。再送パターンは、タイムアウト時間および再送回数を含む。タイムアウト時間は、感染端末１Ｍがあるパケットを送信したときからそのパケットに対応する再送パケットを送信するまでの期間を表す。再送回数は、感染端末１Ｍが再送パケットを送信する回数の最大値を表す。なお、この例では、各再送に対するタイムアウト時間は、最初のＳＹＮパケット（即ち、再送前のＳＹＮパケット）に対するタイムアウト時間Ｔ０に基づいて決まるものとする。例えば、１回目の再送に対するタイムアウト時間Ｔ１は「Ｔ０×２」で表される。２回目の再送に対するタイムアウト時間Ｔ２は「Ｔ０×２×２」で表される。すなわち、ｉ回目の再送に対するタイムアウト時間Ｔｉは、「Ｔ０×２ⁱ」で表される。したがって、この場合、再送パターンは、最初のＳＹＮパケットに対する再送のタイムアウト時間Ｔ０および再送回数ｎで表される。

【0038】

管理部３０は、囮端末２ａから再送パターンを表す情報を受信すると、他の１以上の囮端末にその再送パターンを通知する。このとき、管理部３０は、すべての囮端末に再送パターンを通知してもよい。図３に示す例では、囮端末２ａにより検出された再送パターンが、管理部３０を介して、囮端末２ｂに通知される。すなわち、再送パターンを検出した囮端末２ａは、実質的に、その再送パターンを他の各囮端末２（図３では、囮端末２ｂ）に通知する。

【0039】

囮端末２ｂは、囮端末２ａから管理部３０を介して再送パターンが通知されると、応答時間設定値ＲＴを計算する。応答時間設定値ＲＴは、例えば、タイムアウト時間Ｔ０および再送回数ｎに基づいて（１）式で計算される。

【数1】

但し、応答時間設定値ＲＴは、実際には、（１）式で計算される値より僅かに小さい値であることが好ましい。即ち、応答時間設定値ＲＴは、各タイムアウト時間Ｔ０～Ｔｎの和よりも僅かに小さい値であることが好ましい。以下の記載では、応答時間設定値ＲＴは、（１）式で計算される値より僅かに小さい値であるものとする。

【0040】

そして、計算された応答時間設定値ＲＴは、囮端末２ｂが備えるメモリに保存される。なお、この実施例では、再送パターンが通知された囮端末２ｂがその再送パターンに基づいて応答時間設定値ＲＴを計算するが、本発明はこの方法に限定されるものではない。例えば、再送パターンを検出した囮端末２ａが応答時間設定値ＲＴを計算し、囮端末２ａから囮端末２ｂに応答時間設定値ＲＴが通知されるようにしてもよい。或いは、管理部３０が再送パターンに基づいて応答時間設定値ＲＴを計算し、管理部３０から囮端末２ｂに応答時間設定値ＲＴが通知されるようにしてもよい。

【0041】

加えて、囮端末２ｂは、囮端末２ａから管理部３０を介して再送パターンが通知されると、囮端末２ｂのステート情報を初期状態から応答制限状態に更新する。なお、この実施例では、囮端末２ｂが再送パターンの受信を契機としてステート情報を更新するが、本発明はこの方法に限定されるものではない。例えば、管理部３０が囮端末２ｂのステート情報を更新してもよい。

【0042】

この後、感染端末１Ｍが、囮端末２ｂにアクセスするものとする。すなわち、感染端末１Ｍから送信されるＳＹＮパケットが囮端末２ｂに到着するものとする。このとき、囮端末２ｂは、応答制限状態で動作している。この場合、囮端末２ｂは、メモリに保存されている応答時間設定値ＲＴに基づいて、ＳＹＮパケットに対して応答パケットを返送する。具体的には、囮端末２ｂは、感染端末１Ｍから送信されるＳＹＮパケットまたは再送パケットを受信しても、即座には応答パケットを返送しない。そして、囮端末２ｂは、感染端末１Ｍから送信されるＳＹＮパケットを受信した時刻から応答時間設定値ＲＴが経過したタイミングで、感染パケット１Ｍに応答パケットを送信する。

【0043】

なお、感染端末１Ｍは、囮端末２ｂから応答パケットを受信すると、感染試行手順を実行する。この結果、囮端末２ｂは、マルウェアに感染することになる。

【0044】

図４は、囮端末２の動作を示すシーケンス図である。この例では、感染端末１Ｍ（または、感染端末１Ｍに侵入したマルウェア）の最初の再送タイムアウト時間は「Ｔ０」であり、再送回数は「２回」である。すなわち、感染端末１Ｍは、ターゲット端末にＳＹＮパケットを送信したときからタイムアウト時間Ｔ０が経過するまでに応答パケットを受信しないと、１回目の再送を行う。また、感染端末１Ｍは、ターゲット端末に１回目の再送ＳＹＮパケットを送信したときからタイムアウト時間Ｔ１が経過するまでに応答パケットを受信しないと、２回目の再送を行う。そして、感染端末１Ｍは、ターゲット端末に２回目の再送ＳＹＮパケットを送信したときからタイムアウト時間Ｔ２が経過するまでに応答パケットを受信しないと、そのターゲット端末へのアクセスを終了し、他のターゲット端末へのアクセスを実行する。

【0045】

図４（ａ）は、感染端末１Ｍから初期状態の囮端末２ａにアクセスが行われたときのシーケンスを示す。すなわち、感染端末１Ｍは、ＳＹＮパケットを囮端末２ａに送信する。

【0046】

この場合、囮端末２ａは、ＳＹＮパケットの受信時刻を記録する。ただし、囮端末２ａは、初期状態で動作しているので、受信したＳＹＮパケットに対して応答パケットを返送しない。そうすると、感染端末１Ｍは、最初のＳＹＮパケットの送信時刻からタイムアウト時間Ｔ０内に応答パケットを受信できないので、再送手順を実行する。すなわち、感染端末１Ｍは、最初のＳＹＮパケットの送信時刻からタイムアウト時間Ｔ０が経過したタイミングで、再送ＳＹＮパケットを送信する。

【0047】

囮端末２ａは、１回目の再送ＳＹＮパケットを受信する。そして、囮端末２ａは、最初のＳＹＮパケットの受信時刻および１回目の再送ＳＹＮパケットの受信時刻からタイムアウト時間Ｔ０を計算する。ただし、囮端末２ａは、再送ＳＹＮパケットに対しても応答パケットを返送しない。そうすると、感染端末１Ｍは、１回目の再送ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ１内に応答パケットを受信できないので、再送手順を繰り返す。すなわち、感染端末１Ｍは、１回目の再送ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ１が経過したタイミングで、２回目の再送ＳＹＮパケットを送信する。

【0048】

囮端末２ａは、２回目の再送ＳＹＮパケットを受信する。ところが、囮端末２ａは、２回目の再送ＳＹＮパケットに対しても応答パケットを返送しない。そうすると、感染端末１Ｍは、２回目の再送ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ２内に応答パケットを受信できないので、囮端末２ａへのアクセスを終了する。この場合、感染端末１Ｍは、他の端末へアクセスを行う。

【0049】

囮端末２ａは、２回目の再送ＳＹＮパケットの受信時刻から所定時間が経過するまでに３回目の再送ＳＹＮパケットを受信しない。この場合、囮端末２ａは、感染端末１Ｍ（或いは、感染端末１Ｍに侵入したマルウェア）の再送パターンを検出する。この例では、再送パターンとして、「タイムアウト時間：Ｔ０」および「再送回数：２回」が得られる。

【0050】

囮端末２ａは、検出した再送パターンを管理部３０に通知する。このとき、囮端末２ａは、アクセス情報として、検出した再送パターンに係わる送信元端末（すなわち、感染端末１Ｍ）を識別する情報も管理部３０に通知する。そうすると、管理部３０は、この再送パターンおよびアクセス情報を各囮端末２に通知する。すなわち、囮端末２ａにおいて検出された再送パターンおよび感染端末１Ｍを識別するアクセス情報は、囮端末２ａから管理部３０を介して囮端末２ｂに通知される。なお、囮端末２ｂは、再送パターンの通知を受けると、その動作状態が初期状態から応答制限状態に更新される。

【0051】

図４（ｂ）は、感染端末１Ｍから応答制限状態の囮端末２ｂにアクセスが行われたときのシーケンスを示す。すなわち、感染端末１Ｍは、ＳＹＮパケットを囮端末２ｂに送信する。

【0052】

なお、囮端末２ｂのメモリには、感染端末１Ｍに対応づけて、囮端末２ａにおいて検出された再送パターンに対応する応答時間設定値ＲＴが設定される。この応答時間設定値ＲＴは、図４（ａ）に示す手順で再送パターンが検出された場合、「Ｔ０＋Ｔ１＋Ｔ２」より僅かに小さい値である。

【0053】

囮端末２ｂは、感染端末１Ｍから送信されるＳＹＮパケットを受信すると、その受信時刻を記録する。ここで、囮端末２ｂは、応答制限状態で動作しているので、受信したＳＹＮパケットに対して即座には応答パケットを返送しない。具体的には、囮端末２ｂは、ＳＹＮパケットの受信時刻から応答時間設定値ＲＴが経過するまでの期間、応答パケットの送信を行わない。

【0054】

そうすると、感染端末１Ｍは、最初のＳＹＮパケットの送信時刻からタイムアウト時間Ｔ０内に応答パケットを受信できないので、囮端末２ｂに１回目の再送ＳＹＮパケットを送信する。また、感染端末１Ｍは、１回目の再送ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ１内に応答パケットを受信できないので、囮端末２ｂに２回目の再送ＳＹＮパケットを送信する。

【0055】

囮端末２ｂは、１回目の再送ＳＹＮパケットおよび２回目の再送ＳＹＮパケットに対して応答しないが、最初のＳＹＮパケットの受信時刻から応答時間設定値ＲＴが経過したタイミングで、感染端末１Ｍに応答パケットを送信する。ここで、応答時間設定値ＲＴは、上述した（１）式で計算される値より僅かに小さい値である。よって、囮端末２ｂが感染端末１Ｍに応答パケットを送信するタイミングは、２回目の再送に対するタイムアウト時間Ｔ２が終了する時刻より前である。すなわち、感染端末１Ｍは、２回目の再送に対するタイムアウトが発生する前に、応答パケットを受信する。したがって、感染端末１Ｍは、感染試行手順を実行する。この結果、囮端末２ｂは、感染端末１Ｍに侵入したマルウェアに感染することになる。なお、図４（ｂ）に示す「Ｍ」は、感染端末１Ｍに侵入したマルウェアにより囮端末２ｂが感染するまでに要する時間を表す。

【0056】

このように、図４に示す例では、初期状態で動作する囮端末２ａにおいて、マルウェアの感染拡大を「Ｔ０＋Ｔ１＋Ｔ２」だけ遅延させることができる。また、応答制限状態で動作する囮端末２ｂにおいて、マルウェアの感染拡大を「ＲＴ＋Ｍ」だけ遅延させることができる。ここで、応答時間設定値ＲＴは「Ｔ０＋Ｔ１＋Ｔ２」とほぼ同じである。よって、囮端末２ｂにおいて、マルウェアの感染拡大がほぼ「Ｔ０＋Ｔ１＋Ｔ２＋Ｍ」だけ遅延する。

【0057】

一例として、タイムアウト時間Ｔ０が３秒であるものとする。また、ｉ回目の再送に対するタイムアウト時間Ｔｉが「Ｔ０×２ⁱ」で表されるものとする。この場合、タイムアウト時間Ｔ１は６秒であり、タイムアウト時間Ｔ２は１２秒である。さらに、マルウェアによる感染試行手順に要する時間Ｍが１０秒であるものとする。この場合、初期状態で動作する囮端末２ａにおいて、２１（＝３＋６＋１２）秒の遅延が発生する。また、応答制限状態で動作する囮端末２ｂにおいて、約３１（＝３＋６＋１２＋１０）秒の遅延が発生する。

【0058】

なお、図４に示す例では、感染端末１Ｍが応答パケットを受信しないときに再送手順が実行されるが、本発明はこのケースに限定されるものではない。すなわち、感染端末１Ｍは、ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ０が経過するまでに応答パケットを受信できない場合、再送を行うことなく、他の端末へのアクセスを実行してもよい。

【0059】

図５は、感染端末１Ｍが再送を行わないケースでの囮端末２の動作を示すシーケンス図である。この例では、感染端末１Ｍは、まず、囮端末２ａにマルウェアを侵入させるために、囮端末２ａにＳＹＮパケットを送信する。この後、感染端末１Ｍは、ＳＹＮパケットの送信時刻からタイムアウト時間Ｔ０が経過するまでに囮端末２ａから応答パケットを受信しないものとする。そうすると、感染端末１Ｍは、囮端末２ａへのアクセスを終了し、囮端末２ｂにマルウェアを侵入させるために、囮端末２ｂにＳＹＮパケットを送信する。

【0060】

囮端末２ａは、時刻Ｘにおいて感染端末１ＭからＳＹＮパケットを受信する。そうすると、囮端末２ａは、感染端末１Ｍを識別する情報および受信時刻Ｘを含むアクセス情報を囮端末２ｂに通知する。

【0061】

一方、囮端末２ｂは、時刻Ｙにおいて感染端末１ＭからＳＹＮパケットを受信する。そうすると、囮端末２ｂは、感染端末１Ｍを識別する情報および受信時刻Ｙを含むアクセス情報を囮端末２ａに通知する。

【0062】

囮端末２ａは、囮端末２ａがＳＹＮパケットを受信した時刻Ｘおよび囮端末２ｂがＳＹＮパケットを受信した時刻Ｙに基づいて感染端末１Ｍまたは感染端末１Ｍに侵入したマルウェアの再送パターンを検出する。すなわち、このケースでは、囮端末２ａが感染端末１ＭからＳＹＮパケットを受信した後、感染端末１Ｍから囮端末２ａへの再送パケットが送信されることなく、感染端末１Ｍから他の端末（ここでは、囮端末２ｂ）へＳＹＮパケットが送信されている。したがって、囮端末２ａは、再送回数がゼロ回であると判定する。また、囮端末２ａがＳＹＮパケットを受信した時刻Ｘと囮端末２ｂがＳＹＮパケットを受信した時刻Ｙとの差分を算出することでタイムアウト時間Ｔ０が検出される。

【0063】

このように、図５に示す実施例では、感染端末１Ｍから送信されるＳＹＮパケットが最初に到着した囮端末だけでなく、各囮端末が再送パターンを検出できる。この場合、各囮端末は、再送パターンを検出したときに、自分の動作状態を初期状態から応答制限状態に更新してもよい。そうすると、各囮端末（感染端末１Ｍから送信されるＳＹＮパケットが最初に到着した囮端末を除く）において、タイムアウト時間Ｔ０および感染試行に要する時間Ｍの和の分だけ、感染拡大を遅延させることが可能になる。

【0064】

図６～図７は、囮端末の処理の一例を示すフローチャートである。なお、この実施例では、マルウェアに感染した感染端末１Ｍが、ネットワークに接続する端末にアクセスするものとする。

【0065】

Ｓ１において、囮端末２は、自分宛のＳＹＮパケットを待ち受ける。そして、囮端末２にＳＹＮパケットが到着すると、囮端末２は、Ｓ２において、そのパケットの受信時刻およびそのパケットの送信元を識別する情報をメモリに記録する。なお、送信元を識別する情報は、例えば、ＩＰアドレスであってもよい。この場合、ＩＰアドレスは、受信パケットのヘッダから抽出される。また、送信元を識別する情報は、ＩＰアドレスおよびポート番号の組合せであってもよい。この場合、ＩＰアドレスおよびポート番号は、受信パケットのヘッダから抽出される。

【0066】

Ｓ３において、囮端末２は、アクセス情報を生成して管理部３０に送信する。アクセス情報は、Ｓ２でメモリに記録した、ＳＹＮパケットの受信時刻およびそのＳＹＮパケットの送信元を識別する情報を含む。なお、このアクセス情報は、管理部３０から他の各囮端末に転送される。

【0067】

Ｓ４において、囮端末２は、自分の動作状態が初期状態であるか否かを判定する。自分の動作状態は、ステート情報としてメモリに保存されている。そして、自分の動作状態が初期状態であるときは、囮端末２の処理はＳ５に進む。

【0068】

Ｓ５～Ｓ６において、囮端末２は、Ｓ１で受信したＳＹＮパケットの再送ＳＹＮパケットまたは他の囮端末にＳＹＮパケットが到着したことを表すアクセス情報を待ち受ける。Ｓ５において待ち受ける再送ＳＹＮパケットは、Ｓ１で受信したＳＹＮパケットに対応する再送ＳＹＮパケットであり、送信元およびシーケンス番号は互いに同じである。なお、Ｓ５で待ち受ける再送ＳＹＮパケットは、Ｓ１で受信したＳＹＮパケットに対する最初の再送パケットである。また、Ｓ６で待ち受けるアクセス情報は、他の囮端末で図６に示すフローチャートが実行されるときに、Ｓ３において送信される。

【0069】

Ｓ５において再送ＳＹＮパケットを受信したときは、囮端末２の処理はＳ７に進む。Ｓ７において、囮端末２は、タイムアウト時間Ｔ０を算出する。タイムアウト時間Ｔ０は、Ｓ１で検出されるＳＹＮパケットの受信時刻とＳ５で検出される再送ＳＹＮパケットの受信時刻との差分を表す。Ｓ８において、囮端末２は、変数ｉを「１」に初期化する。変数ｉは、感染端末１Ｍまたは感染端末１Ｍに侵入したマルウェアによる再送回数をカウントする。

【0070】

Ｓ９において、囮端末２は、ｉ回目の再送に対するタイムアウト時間Ｔｉを計算する。この実施例では、ｉ回目の再送に対するタイムアウト時間Ｔｉは、「Ｔ０×２ⁱ」で表される。そして、囮端末２は、タイムアウト時間Ｔｉだけスリープモードで待機する。

【0071】

Ｓ１０において、囮端末２は、Ｓ９で設定したスリープモードが終了するまでに、Ｓ１で受信したＳＹＮパケットの再送ＳＹＮパケットを受信したか否かを判定する。即ち、前回の再送ＳＹＮパケットの受信時刻からタイムアウト時間Ｔｉが経過するまでに新たな再送ＳＹＮパケットを受信したか否かが判定される。そして、新たな再送ＳＹＮパケットを受信したときは、囮端末２は、Ｓ１１において変数ｉを１だけインクリメントする。この後、囮端末２の処理はＳ９に戻る。すなわち、囮端末２は、Ｓ９～Ｓ１１において、再送回数を表す変数ｉをインクリメントしながら新たな再送ＳＹＮパケットを待ち受ける。

【0072】

新たな再送ＳＹＮパケットを受信しないときは、囮端末２は、Ｓ１２において、感染端末１Ｍまたは感染端末１Ｍに侵入したマルウェアの再送パターンを検出する。この実施例では、再送パターンは、Ｓ７で算出されたタイムアウト時間Ｔ０およびＳ９～Ｓ１１の処理が終了した時点での変数ｉの値で表される。このとき、囮端末２は、上述した（１）式を利用して応答時間設定値ＲＴを計算してもよい。この場合、再送パターンは、応答時間設定値ＲＴを含んでもよい。

【0073】

Ｓ１４において、囮端末２は、再送パターンを管理部３０に送信する。この場合、管理部３０は、この再送パターンを他の囮端末に通知する。即ち、Ｓ１４において、囮端末２において検出された再送パターンが、管理部３０を介して他の囮端末に通知される。

【0074】

Ｓ６においてアクセス情報を受信したときは、囮端末２は、Ｓ１３において、感染端末１Ｍまたは感染端末１Ｍに侵入したマルウェアの再送パターンを検出する。ここで、Ｓ６で受信するアクセス情報は、他の囮端末にＳＹＮパケットが到着した時刻を表す情報を含むものとする。この場合、囮端末２は、Ｓ１で検出されるＳＹＮパケットの受信時刻と他の囮端末にＳＹＮパケットが到着した時刻との差分を計算することで、タイムアウト時間Ｔ０を得る。また、囮端末２は再送ＳＹＮパケットを受信しないので、再送回数がゼロ回であると判定する。そして、Ｓ１３において再送パターンが検出された場合も、その再送パターンは、Ｓ１４において管理部３０を介して他の囮端末に通知される。

【0075】

この後、管理部３０は、マルウェアによる感染拡大の終了をモニタする。このとき、管理部３０は、たとえば、各囮端末により生成されるアクセス情報に基づいて、感染端末１Ｍからいずれかの囮端末への最後のアクセス時刻からの経過時間が所定の閾値を越えていれば、マルウェアによる感染拡大が終了したと判定する。そして、管理部３０は、マルウェアによる感染拡大が終了すると、その旨を各囮端末に通知する。そうすると、各囮端末は、Ｓ１５においてマルウェアによる感染拡大の終了を表す通知を受け取るので、Ｓ１６においてステート情報を「初期状態」に更新する。

【0076】

囮端末２の動作状態が初期状態でないときは（Ｓ４：Ｎｏ）、囮端末２は、図７に示すＳ２１～Ｓ２３の処理を実行する。すなわち、Ｓ２１において、囮端末２は、応答時間設定値ＲＴを計算する。応答時間設定値ＲＴは、例えば、他の囮端末において検出された再送パターンに基づいて、上述した（１）式を利用して計算される。なお、他の囮端末または管理部３０から応答時間設定値ＲＴが通知されるときには、囮端末２は、応答時間設定値ＲＴを計算する必要はない。そして、囮端末２は、応答時間設定値ＲＴにより指定される期間、スリープモードで待機する。

【0077】

Ｓ２１で設定したスリープモードが終了すると、囮端末２は、Ｓ２２において、Ｓ１で受信したＳＹＮパケットに対して応答パケットを返送する。この応答パケットは、感染端末１Ｍに送信される。そうすると、感染端末１Ｍは、感染試行手順を開始する。そして、囮端末２は、Ｓ２３において、感染端末１Ｍからの感染試行により、マルウェアに感染する。

【0078】

ここで、図４に示す実施例を参照して図６～図７に示すフローチャートの処理を説明する。まず、図４（ａ）に示すように、感染端末１Ｍから囮端末２ａにアクセスがあったときは、以下の手順が実行される。

【0079】

最初のＳＹＮパケットが囮端末２ａに到着すると、Ｓ２において、受信時刻および送信元（即ち、感染端末１Ｍ）を識別する情報が記録される。１番目の再送ＳＹＮパケットが囮端末２ａに到着すると、Ｓ７においてタイムアウト時間Ｔ０が算出され、Ｓ８において変数ｉに「１」が設定される。囮端末２ａは、時間Ｔ１が経過するまでの期間、スリープモードで待機する。２番目の再送ＳＹＮパケットが囮端末２ａに到着すると、Ｓ１１において変数ｉが「２」に更新される。囮端末２ａは、時間Ｔ２が経過するまでの期間、スリープモードで待機する。この後、囮端末２ａは、再送ＳＹＮパケットを受信しないので、Ｓ１２において再送パターンが検出される。このとき、変数ｉの値は「２」なので、再送パターンとして「タイムアウト時間：Ｔ０、再送回数：２回」が得られる。

【0080】

図４（ｂ）に示すように、感染端末１Ｍから囮端末２ｂにアクセスがあったときは、以下の手順が実行される。なお、囮端末２ｂは、図４（ａ）に示す囮端末２ａにより検出された再送パターンを認識しているものとする。また、囮端末２ｂの動作状態は、応答制限状態であるものとする。

【0081】

最初のＳＹＮパケットが囮端末２ｂに到着すると、Ｓ２において、受信時刻および送信元（即ち、感染端末１Ｍ）を識別する情報が記録される。このとき、囮端末２ｂは、受信したＳＹＮパケットに対して応答パケットを返送しない。また、囮端末２ｂの動作状態は応答制限状態なので、囮端末２ｂは、Ｓ２１～Ｓ２３の処理を実行する。すなわち、囮端末２ｂは、感染端末１Ｍから再送ＳＹＮパケットが到着しても、応答パケットを返送しない。そして、Ｓ１で検出したＳＹＮパケットの受信時刻から応答時間設定値ＲＴが経過したタイミングで、囮端末２ｂは、感染端末１Ｍに応答パケットを送信する。ここで、応答時間設定値ＲＴは、Ｔ０＋Ｔ１＋Ｔ２より僅かに短い時間である。すなわち、感染端末１Ｍは、２回目の再送に対するタイムアウト時間が終了する前に応答パケットを受信する。よって、感染端末１Ｍに侵入しているマルウェアは、囮端末２ｂに対する感染試行手順を実行する。この結果、囮端末２ｂはマルウェアに感染する。

【0082】

なお、図４に示す例において、タイムアウト時間Ｔ０が「３秒」であり、ｉ回目の再送に対するタイムアウト時間Ｔｉが「Ｔ０×２ⁱ」で表されるものとする。この場合は、図４（ａ）に示す囮端末２ａにおいて、マルウェアの感染拡大を２１（＝３＋６＋１２）秒遅らせることができる。また、マルウェアの感染試行手順の実行に要する時間が１０秒であるものとする。この場合、図４（ｂ）に示す囮端末２ｂにおいて、マルウェアの感染拡大を約３１（＝３＋６＋１２＋１０）秒遅らせることができる。

【0083】

このように、本発明の実施形態によれば、ある１つの囮端末において検出される感染端末またはマルウェアの再送パターンが他の囮端末に通知される。よって、再送パターンが通知された囮端末において、感染端末またはマルウェアによる再送手順に係わる時間を最大限消費させ、且つ、感染試行に係わる時間を消費させるので、マルウェアの感染拡大を大幅に遅らせることができる。

【0084】

＜バリエーション１＞
ネットワークシステム１００に複数のマルウェアが侵入した場合には、情報処理システム２００は、マルウェア毎に図６～図７に示すフローチャートの処理を実行することで、各マルウェアの感染拡大をそれぞれ遅延させる。この場合、マルウェア毎に各囮端末の動作状態が管理され、マルウェア毎に再送パターンが検出される。

【0085】

図８は、各囮端末においてマルウェア毎に管理されるステート情報および応答時間設定値の一例を示す。この例では、各マルウェアは、ＩＰアドレスおよびポート番号の組合せで識別される。ＩＰアドレスおよびポート番号は、受信パケットのヘッダに設定されている送信元アドレスおよび送信先ポート番号に相当する。例えば、マルウェアが特定のサービスにアクセスするケースでは、そのマルウェアから送信されるパケットのヘッダに同じ送信先ポート番号が設定される可能性が高い。そして、各囮端末は、図８（ａ）に示すように、マルウェア毎に自分の動作状態を表すステート情報を管理する。また、ある囮端末において再送パターンが検出された後は、図８（ｂ）に示すように、各囮端末においてマルウェア毎に再送パターン（ここでは、応答時間設定値）が管理される。

【0086】

囮端末は、感染端末からアクセスを受けた際に、受信パケットのヘッダに基づいてマルウェアを識別する。そして、囮端末２は、識別したマルウェアに対応するステート情報が応答制限状態であれば、対応する応答時間設定値に基づいて図７に示す手順を実行する。これにより、各囮端末において各マルウェアの感染拡大をそれぞれ大きく遅らせることができる。

【0087】

＜バリエーション２＞
ネットワークシステム１００において、ハンドシェイク手順の終了後にデータ通信が行われるケースでは、ハンドシェイク手順およびデータ通信の再送パターンが互いに異なることがある。たとえば、ハンドシェイク手順においてタイムアウト時間「３秒」および再送回数「２回」が設定され、データ通信においてタイムアウト時間「３秒」および再送回数「５回」が設定さる。このような場合には、ハンドシェイク手順の再送パターンおよびデータ通信の再送パターンをそれぞれ検出して各囮端末に通知することが好ましい。そして、通知を受けた囮端末は、感染端末との間のハンドシェイク時には、ハンドシェイク手順の再送パターンに基づいて図７に示す手順を実行し、感染端末との間のデータ通信時には、データ通信の再送パターンに基づいて図７に示す手順を実行する。

【0088】

＜バリエーション３＞
情報処理システム２００が３以上の囮端末を備える場合、ある囮端末で検出された再送パターンは、管理部３０から他の囮端末に順番に通知される。ところが、マルウェアの感染拡大の速度が速い場合、囮端末によっては、再送パターンの通知を受ける前にマルウェアからのアクセスを受けるかも知れない。この場合、この囮端末は、例えば、マルウェアからのアクセスに対して即座に応答パケットを返送するので、感染拡大の遅延効果が小さくなってしまう。

【0089】

そこで、管理部３０は、情報処理システム２００が３以上の囮端末を備える場合、各囮端末がマルウェアからアクセスされる順番を推定する。そして、管理部３０は、マルウェアから早くアクセスされやすい囮端末から順番に再送パターンを通知する。

【0090】

例えば、図９に示すように、情報処理システム２００は、４個の囮端末２ａ～２ｄを備える。囮端末２ａ～２ｄには、昇順にＩＰアドレス（x.y.z.01～x.y.z.04）が割り当てられている。他方、マルウェアは、所定のポリシに従った順番でネットワークシステム１００内の端末にアクセスしていく。一例として、マルウェアは、宛先ＩＰアドレスの値をインクリメントまたはデクリメントしながら対応する端末にアクセスしていく。

【0091】

ここで、マルウェアから囮端末２ａにアクセスがあったものとする。そうすると、囮端末２ａは、再送パターンを検出して管理部３０に通知する。ここで、囮端末２ａのＩアドレス値は、囮端末２ａ～２ｄのＩＰアドレス値の中で最も小さい。したがって、管理部３０は、マルウェアが宛先ＩＰアドレスの値をインクリメントしながら対応する端末にアクセスしていると推定する。この場合、管理部３０は、囮端末２ｂ～２ｃのうちで、ＩＰアドレスの値が小さい囮端末から順番に再送パターンを通知する。すなわち、図９に示すように、最初に囮端末２ｂに再送パターンが通知され、次に囮端末２ｃに再送パターンが通知され、最後に囮端末２ｄに再送パターンが通知される。

【0092】

このように、バリエーション３においては、マルウェアからアクセスされるタイミングが早いと推定される囮端末から順番に再送パターンが通知される。よって、囮端末が再送パターンの通知を受ける前にマルウェアからアクセスされる可能性が低くなる。したがって、各囮端末で図７に示す手順が実行されやすくなり、マルウェアの感染拡大を遅延させる効果が高くなる。

【0093】

＜バリエーション４＞
ネットワークシステム１００に囮端末が接続されると、ネットワークの可用性が低下するおそれがある。そこで、バリエーション４においては、囮端末は、ネットワークに常時接続されるのではなく、マルウェアの感染の予兆が検知されたときにネットワークに接続される。すなわち、管理部３０は、マルウェアの感染の予兆をモニタする。そして、管理部３０は、マルウェアの感染の予兆を検知したときに、囮端末を起動してネットワークに接続させる。この結果、囮端末によるネットワークの可用性の低下が抑制される。

【0094】

なお、バリエーション１～４は、矛盾のない範囲で、図３～図７に示す実施形態の中で採用される。或いは、バリエーション１～４は、矛盾のない範囲で、図３～図７に示す実施形態と組み合わせて実行される。

【0095】

また、上述の実施例では、最初に送信されるＳＹＮパケットに対するタイムアウト時間Ｔ０に基づいて再送に対するタイムアウト時間Ｔｉ（ｉ＝１、２、．．．）が算出されるが、本発明はこの構成に限定されるものではない。例えば、囮端末２は、再送に対するタイムアウト時間Ｔｉ（ｉ＝１、２、．．．）を個々に測定してもよい。

【0096】

＜ハードウェア構成＞
図１０は、情報処理システム２００のハードウェア構成の一例を示す。情報処理システム２００は、プロセッサ５１、メモリ５２、ネットワークＩＦ５３を備える。なお、情報処理システム２００は、図１に示すネットワークシステム１００においては、サーバコンピュータ３に相当する。また、情報処理システム２００は、図１０に示していない他のデバイスを備えてもよい。

【0097】

プロセッサ５１は、メモリ５２に格納されている情報処理プログラムを実行することにより、囮端末２および管理部３０の機能を提供する。なお、プロセッサ５１は、複数のプロセッサエレメントを備えてもよい。メモリ５２は、プロセッサ５１の作業領域として使用される半導体メモリおよび情報処理プログラムを格納する記憶装置を含む。なお、囮端末２は、プロセッサ５１およびメモリ５２のリソースを仮想マシンに割り当てることで実現され得る。ネットワークＩＦ５３は、ネットワークシステム１００に接続するためのインタフェースを提供する。

【0098】

本発明の実施形態に係わる情報処理プログラムは、図６～図７に示すフローチャートの処理を記述したプログラムを含む。また、情報処理プログラムは、管理部３０の処理を記述したプログラムを含む。なお、情報処理プログラムは、予めメモリ５２にインストールされてもよいし、不図示の可搬型記録媒体からメモリ５２に提供されてもよいし、不図示のプログラムサーバから情報処理システム２００に提供されてもよい。

【0099】

上述の実施例を含む実施形態に関し、さらに下記の付記を開示する。
（付記１）
複数の情報処理装置が接続されたネットワークシステムにおいて使用される情報処理装置であって、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出する検出部と、
前記検出部により検出された再送パターンを、前記複数の情報処理装置のうちの少なくとも１つの他の情報処理装置に通知する通信部と、
を備える情報処理装置。
（付記２）
ネットワークに接続するネットワークインタフェースをさらに備え、
前記ネットワークインタフェースは、前記感染端末から受信するパケットに対して応答パケットを返送しないことにより、前記感染端末から再送パケットを受信する
ことを特徴とする付記１に記載の情報処理装置。
（付記３）
前記再送パターンは、前記感染端末がパケットを送信したときからそのパケットに対応する再送パケットを送信するまでの期間を表すタイムアウト時間、及び、前記感染端末が再送パケットを送信する回数の最大値を表す再送回数を含む
ことを特徴とする付記１に記載の情報処理装置。
（付記４）
前記検出部は、前記感染端末から送信されるパケットおよびそのパケットに対応する再送パケットの受信時刻に基づいて前記タイムアウト時間を検出すると共に、前記感染端末から受信する再送パケットの個数に基づいて前記再送回数を検出する
ことを特徴とする付記３に記載の情報処理装置。
（付記５）
前記検出部は、前記タイムアウト時間および前記再送回数に基づいて、前記少なくとも１つの他の情報処理装置が前記感染端末からの受信パケットに対して応答パケットを返送するまでの待ち時間を表す応答時間を計算し、
前記通信部は、前記応答時間を前記少なくとも１つの他の情報処理装置に通知する
ことを特徴とする付記４に記載の情報処理装置。
（付記６）
ネットワークシステムに接続された複数の情報処理装置の中の１つの情報処理装置により使用される情報処理方法であって、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを、前記複数の情報処理装置のうちの少なくとも１つの他の情報処理装置に通知する
ことを特徴とする情報処理方法。
（付記７）
ネットワークシステムに接続された複数の情報処理装置の中の１つの情報処理装置において、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを、前記複数の情報処理装置のうちの少なくとも１つの他の情報処理装置に通知する
処理を前記１つの情報処理装置が備えるプロセッサに実行させる情報処理プログラム。
（付記８）
複数の情報処理装置と、
前記複数の情報処理装置を管理する管理部と、を備え、
前記複数の情報処理装置の中の第１の情報処理装置は、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを前記管理部に通知し、
前記管理部は、前記再送パターンを前記複数の情報処理装置の中の第２の情報処理装置に通知し、
前記第２の情報処理装置は、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを送信する
ことを特徴とする情報処理システム。
（付記９）
前記第１の情報処理装置は、マルウェア毎に再送パターンを検出し、
前記第２の情報処理装置は、あるマルウェアからアクセスがあったときに、そのマルウェアに対応する再送パターンに基づいて応答パケットを送信するタイミングを制御する
ことを特徴とする付記８に記載の情報処理システム。
（付記１０）
前記第１の情報処理装置は、前記感染端末との間のハンドシェイク時に第１の再送パターンを検出すると共に、前記感染端末との間のデータ通信時に第２の再送パターンを検出し、
前記第２の情報処理装置は、前記感染端末との間のハンドシェイク時には前記第１の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御すると共に、前記感染端末との間のデータ通信時には前記第２の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御する
ことを特徴とする付記８に記載の情報処理システム。
（付記１１）
前記管理部は、前記複数の情報処理装置についてマルウェアからアクセスされる順番を推定し、前記マルウェアから早くアクセスされると推定される情報処理装置から順番に前記再送パターンを通知する
ことを特徴とする付記８に記載の情報処理システム。
（付記１２）
前記管理部は、マルウェアによる感染が検知されたときに、前記複数の情報処理装置をネットワークに接続する
ことを特徴とする付記８に記載の情報処理システム。

【符号の説明】

【0100】

１ 端末
１Ｍ 感染端末
２（２ａ～２ｄ） 囮端末
３ サーバコンピュータ
２１ ネットワークＩＦ
２２ 検出部
２３ 通信部
３０ 管理部
５１ プロセッサ
５２ メモリ
１００ ネットワークシステム
２００ 情報処理システム

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】