知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-17
(45)【発行日】2024-09-26
(54)【発明の名称】バックドア検知装置、バックドア検知方法、及びプログラム
(51)【国際特許分類】
G06F 21/56 20130101AFI20240918BHJP
【FI】
G06F21/56 330
【請求項の数】
8
(21)【出願番号】P 2023555942
(86)(22)【出願日】2021-10-27
(86)【国際出願番号】 JP2021039604
(87)【国際公開番号】W WO2023073821
(87)【国際公開日】2023-05-04
【審査請求日】2024-04-10
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】鑪 講平
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2006-115129(JP,A)
【文献】国際公開第2021/028989(WO,A1)
【文献】特開2011-258019(JP,A)
【文献】米国特許出願公開第2019/0220596(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
ファームウェアのプログラムコードから関数フローパターンを抽出するパターン抽出手段と、前記抽出された前記関数フローパターンの出現頻度を示す出現頻度情報を取得する頻度情報取得手段と、
前記取得された前記出現頻度情報に基づいてバックドアが含まれるか否かの判定を行うバックドア判定手段と、
前記バックドア判定手段による判定の結果を示す情報を出力する出力手段と、を備える、バックドア検知装置。
【請求項2】
前記パターン抽出手段は、バイナリコードを逆コンパイルして得られたプログラムコードから前記関数フローパターンを抽出する、請求項1に記載のバックドア検知装置。
【請求項3】
前記バックドア判定手段は、前記抽出された関数フローパターンのうち、前記出現頻度が所定の閾値より小さい関数フローパターンがある場合、バックドアが含まれると判定する、請求項1又は2に記載のバックドア検知装置。
【請求項4】
前記頻度情報取得手段は、過去の所定の時点における出現頻度情報を更に取得し、前記バックドア判定手段は、前記抽出された関数フローパターンのうち、前記出現頻度が閾値より小さく、且つ、当該出現頻度が過去の所定の時点における出現頻度と比較して、閾値より大きい関数フローパターンがある場合、バックドアがあると判定する、請求項1又は2に記載のバックドア検知装置。
【請求項5】
前記バックドアが含まれると判定された関数フローを特定する、バックドア特定手段を更に備え、前記出力手段は、前記バックドアが含まれると判定された関数フローの情報を更に出力する、請求項1~4のいずれか一項に記載のバックドア検知装置。
【請求項6】
前記特定された前記関数フローを実行させないように制御する、制御部を更に備える、請求項5に記載のバックドア検知装置。
【請求項7】
コンピュータが、
ファームウェアのプログラムコードから関数フローパターンを抽出し、
前記抽出された前記関数フローパターンの出現頻度を示す出現頻度情報を取得し、
前記取得された前記出現頻度情報に基づいてバックドアが含まれるか否かを判定し、
前記判定の結果を示す情報を出力する、バックドア検知方法。
【請求項8】
ファームウェアのプログラムコードから関数フローパターンを抽出し、前記抽出された前記関数フローパターンの出現頻度を示す出現頻度情報を取得し、
前記取得された前記出現頻度情報に基づいてバックドアが含まれるか否かを判定し、
前記判定の結果を示す情報を出力する、ことをコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、バックドア検知装置、バックドア検知方法、及び記録媒体に関する。
【背景技術】
【0002】
外部からデバイスを調達した際におけるサプライチェーン・リスク対策の一つとして、バックドア等のファームウェア内の不正機能の検知するための技術がある。
【0003】
例えば、特許文献1には、ソフトウェア内での機密データの伝搬状況を解析し、バックドアであると推定されるソースコードを特定するバックドア検知装置が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】国際公開第2021/028989号
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、バックドアを利用した不正アクセスでは、攻撃者だけが知る情報をトリガとして、システムに重大な影響を与える関数フローを実行する場合が多い。上述した特許文献1に記載された発明によりソフトウェアを解析しても、どの部分にバックドアが含まれるかの判断は難しい。
【0006】
本開示の目的の一例は、複雑な解析をせずにバックドアの検知が可能なバックドア検知装置を提供することにある。
【課題を解決するための手段】
【0007】
本開示の一態様におけるバックドア検知装置は、ファームウェアのプログラムコードから関数フローパターンを抽出するパターン抽出手段と、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得する頻度情報取得手段と、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行うバックドア判定手段と、バックドア判定手段による判定の結果を示す情報を出力する出力手段と、を備える。
【0008】
本開示の一態様におけるバックドア検知方法は、ファームウェアのプログラムコードから関数フローパターンを抽出し、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得し、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行い、判定の結果を示す情報を出力する。
【0009】
本開示の一態様における記録媒体は、ファームウェアのプログラムコードから関数フローパターンを抽出し、抽出された関数フローパターンの出現頻度を示す出現頻度情報を取得し、取得された出現頻度情報に基づいてバックドアが含まれるか否かの判定を行い、判定の結果を示す情報を出力することをコンピュータに実行させるプログラムを格納する。
【発明の効果】
【0010】
本開示による効果の一例は、複雑な解析をせずにバックドアの検知が可能なバックドア検知装置を提供できる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
次に、実施形態について図面を参照して詳細に説明する。
【0013】
[第一の実施形態]
第一の実施形態におけるバックドア検知装置100は、例えば、外部の事業者から提供されたデバイスを自身のシステムに組み込む際、提供されたデバイスのファームウェア内にバックドア等の不正機能が含まれていないかを検知するための装置である。なお、バックドア検知装置100には、例えば、外部入力に依存するような関数の情報が記憶装置505に予め格納されている。なお、検知対象のファームウェアは、コンパイル前のソースコードであってもよいし、コンパイル後のバイナリコードであってもよい。以下では、主に、入力されるファームウェアがバイナリコードであるものとして説明する。
第一の実施形態におけるバックドア検知装置100は、例えば、外部の事業者から提供されたデバイスを自身のシステムに組み込む際、提供されたデバイスのファームウェア内にバックドア等の不正機能が含まれていないかを検知するための装置である。なお、バックドア検知装置100には、例えば、外部入力に依存するような関数の情報が記憶装置505に予め格納されている。なお、検知対象のファームウェアは、コンパイル前のソースコードであってもよいし、コンパイル後のバイナリコードであってもよい。以下では、主に、入力されるファームウェアがバイナリコードであるものとして説明する。
【0014】
図1は、第一の実施形態におけるバックドア検知装置100の構成を示すブロック図である。図1を参照すると、バックドア検知装置100は、パターン抽出部101、頻度情報取得部102、バックドア判定部103及び出力部104を備える。以下、本実施形態の必須構成であるバックドア検知装置100について詳しく説明する。
【0015】
図2は、本開示の第一の実施形態におけるバックドア検知装置100を、プロセッサを含むコンピュータ装置500で実現したハードウェア構成の一例を示す図である。図2に示されるように、バックドア検知装置100は、CPU(Central Processing Unit)501、ROM(Read Only Memory)502、RAM(Random Access Memory)503等のメモリ、プログラム504を格納するハードディスク等の記憶装置505、ネットワーク接続用の通信I/F(Interface)508、データの入出力を行う入出力インターフェース511を含む。第一の実施形態において、パターン抽出部101が取得するファームウェアのプログラムコードは、入出力インターフェース511を介してバックドア検知装置100に入力される。
【0016】
CPU501は、オペレーティングシステムを動作させて本発明の第一の実施の形態に係るバックドア検知装置100の全体を制御する。また、CPU501は、例えばドライブ装置507などに装着された記録媒体506からメモリにプログラムやデータを読み出す。また、CPU501は、第一の実施の形態におけるパターン抽出部101、頻度情報取得部102、バックドア判定部103、出力部104及びこれらの一部として機能し、プログラムに基づいて後述する図6に示すフローチャートにおける処理または命令を実行する。
【0017】
記録媒体506は、例えば光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク、または半導体メモリ等である。記憶装置の一部の記録媒体は、不揮発性記憶装置であり、そこにプログラムを記録する。また、プログラムは、通信網に接続されている図示しない外部コンピュータからダウンロードされてもよい。
【0018】
入力装置509は、例えば、マウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力装置509は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネルでもよい。出力装置510は、例えばディスプレイで実現され、出力を確認するために用いられる。
【0019】
以上のように、図1に示す第一の実施形態は、図2に示されるコンピュータ・ハードウェアによって実現される。ただし、図1のバックドア検知装置100が備える各部の実現手段は、以上説明した構成に限定されない。またバックドア検知装置100は、物理的に結合した一つの装置により実現されてもよいし、物理的に分離した二つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。たとえば、入力装置509及び出力装置510は、コンピュータ装置500とネットワークを経由して接続されていてもよい。また、図1に示す第一の実施形態におけるバックドア検知装置100は、クラウドコンピューティング等で構成することもできる。
【0020】
図1において、パターン抽出部101は、ファームウェアのプログラムコードから関数フローパターンを抽出する手段である。ファームウェアとは、例えば、外部の事業者から提供されたデバイスを制御するためのソフトウェアである。関数フローパターンとは、ファームウェアで実行される関数フローの類型である。パターン抽出部101は、デバイスから検知対象のファームウェアのバイナリコードを取得し、取得したコードに対して逆コンパイルを行ってプログラムコードを取得する。この際、パターン抽出部101は、例えば、外部入力(関数)に依存する関数を含むコードブロックのみを取得する。逆コンパイルは、従来の逆コンパイルを行うソフトウェア等によって行うことができる。
【0021】
図3は、第一の実施形態における制御フローを説明するための図である。図4は、第一の実施形態における関数フローパターンを説明するための図である。図3に示すように、パターン抽出部101は、プログラム解析ツール等の既存の方法により、プログラムの実行パスを示した制御フローを可視化する。次いで、図4に示すように、制御フローからファームウェアにおいて実行される関数フローパターンを抽出する。図4の例では、関数フローパターンCF♯1「func.A→func.B→func.D」、関数フローパターンCF♯2「func.A→func.B→func.E」及び関数フローパターンCF♯n「func.A→func.C→func.F」が抽出されている。パターン抽出部101は、抽出した関数フローパターンを頻度情報取得部102に出力する。
【0022】
頻度情報取得部102は、パターン抽出部101によって抽出された関数フローパターンの出現頻度情報を取得する手段である。頻度情報取得部102は、例えば、ファームウェアを実行し、観測された関数フローパターンの出現頻度をカウントすることで出現頻度情報を取得する。本実施形態において、関数フローパターンの出現頻度情報をF(CF♯)(♯は、1からnまでの整数であり、nは、関数フローパターンの種類の数である。)で示す。図5は、第一の実施形態における出現頻度情報を説明するためのテーブルである。図5には、パターン抽出部101によって抽出された関数フローパターン毎の出現頻度が表示されている。頻度情報取得部102は、このようしてカウントした各関数フローパターンの出現頻度情報をバックドア判定部103に出力する。
【0023】
バックドア判定部103は、頻度情報取得部102により取得された出現頻度情報に基づいてバックドアか否かの判定を行う手段である。バックドア判定部103は、頻度情報取得部102から各関数フローパターンの出現頻度情報が入力されると、所定の閾値より小さい出現頻度の関数フローパターンを特定する。閾値とは、予め決められた出現頻度回数であり、例えば、単位時間当たり2回である。閾値に関する情報は、例えば記憶装置505に格納されている。バックドア判定部103は、図5の例では、関数フローパターンCFnの出現頻度が1回と、閾値である2回よりも小さい。よって、バックドア判定部103は、関数フローパターンCFnをバックドアが含まれる関数フローパターンと特定する。また、バックドア判定部103は、CFn以外の関数フローパターンをバックドアが含まれる関数フローパターンではないと判定する。バックドア判定部103は、このようにして判定した判定結果を出力部104に出力する。
【0024】
出力部104は、バックドア判定部103によって評価された結果を出力する手段である。出力部104は、バックドア判定部103でバックドアが含まれると判定されると、アラート信号を出力する。出力部104は、バックドア検知装置100の出力装置510によりアラート信号を表示してもよいし音声で提示してもよい。また、出力部104は、上述のアラート共に、バックドアが含まれると判定される根拠となった関数フローパターンを出力しても構わない。
【0025】
以上のように構成されたバックドア検知装置100の動作について、図6のフローチャートを参照して説明する。
【0026】
図6は、第一の実施形態におけるバックドア検知装置100の動作の概要を示すフローチャートである。尚、このフローチャートによる処理は、前述したプロセッサによるプログラム制御に基づいて、実行されてもよい。
【0027】
図6に示すように、まずパターン抽出部101は、ファームウェアのプログラムコードから関数フローパターンを抽出する(ステップS101)。次に、頻度情報取得部102は、抽出された関数フローパターンの出現頻度を示す出現頻度情報F(CF#)を取得する(ステップS102)。次に、バックドア判定部103は、取得された出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがあれば、バックドアが含まれると判定する(ステップS103;YES)。一方、バックドア判定部103は、取得された出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがなければ、バックドアが存在しないと判定し(ステップS103;NO)、一連のフローを繰り返す。最後に、出力部104は、バックドア判定部103によってバックドアが含まれると判定されると、アラート信号を出力する(ステップS104)。以上で、バックドア検知装置100は、バックドア検知の動作を終了する。
【0028】
本実施形態におけるバックドア検知装置100は、バックドア判定部103は、取得された出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがあれば、実行頻度の低いパスに遷移したとしてバックドアが含まれると判定する。これにより、複雑な解析せずにバックドアの検知が可能である。また、本実施形態では、バックドアの検知を行う際にソースコードがわからないであっても、ファームウェアを逆コンパイルするため、バックドア検知が可能である。
【0029】
[第一の実施形態の変形例]
次に、本開示の第一の実施形態の変形例について図面を参照して詳細に説明する。本開示の第一の実施形態の変形例では、頻度情報取得部102が、現在抽出された関数フローパターンの出現頻度を示す出現頻度情報Fnew(CF#)及び過去の所定の時点において抽出された出現頻度情報Fold(CF#)を取得する。次いで、バックドア判定部103が、現在抽出された関数フローパターンのうち、出現頻度が閾値(T1)より小さく、且つ、現在抽出された関数フローパターンの出現頻度が過去の所定の時点における出現頻度と比較して、閾値(T2)より大きい(Fnew-Fold>T2)関数フローパターンがある場合、バックドアがあると判定する。なお、現在抽出された関数フローパターンとは、現在ファームウェアを検証している際に抽出された関数フローパターンである。また、過去に抽出された関数フローパターンとは、例えば、過去に同じファームウェアを検証した際に抽出された関数フローパターンである。過去の所定の時点において抽出された関数フローパターンの出現頻度情報Fold(CF#)は、抽出された際に記憶装置505に記憶されている。
次に、本開示の第一の実施形態の変形例について図面を参照して詳細に説明する。本開示の第一の実施形態の変形例では、頻度情報取得部102が、現在抽出された関数フローパターンの出現頻度を示す出現頻度情報Fnew(CF#)及び過去の所定の時点において抽出された出現頻度情報Fold(CF#)を取得する。次いで、バックドア判定部103が、現在抽出された関数フローパターンのうち、出現頻度が閾値(T1)より小さく、且つ、現在抽出された関数フローパターンの出現頻度が過去の所定の時点における出現頻度と比較して、閾値(T2)より大きい(Fnew-Fold>T2)関数フローパターンがある場合、バックドアがあると判定する。なお、現在抽出された関数フローパターンとは、現在ファームウェアを検証している際に抽出された関数フローパターンである。また、過去に抽出された関数フローパターンとは、例えば、過去に同じファームウェアを検証した際に抽出された関数フローパターンである。過去の所定の時点において抽出された関数フローパターンの出現頻度情報Fold(CF#)は、抽出された際に記憶装置505に記憶されている。
【0030】
図7は、第一の実施形態の変形例における出現頻度情報を説明するためのテーブルである。図7に示すように、現在抽出された出現頻度情報及び過去に抽出された出現頻度情報が示されている。図7の例では、閾値T1が4及び閾値T2が1であるとする。図7の例では、CFn-1では、過去の抽出時の出現頻度が1であるのに対し、現在の抽出時の出現頻度が3となっている。一方、CFnでは、過去の抽出時の出現頻度が1であるのに対し、現在の抽出時の出現頻度も1となっている。いずれの関数フローパターンも、出現頻度情報Fnew(CF#)は閾値T1より小さいが、CFn-1のみが、Fnew-Foldの値が閾値T2よりも大きい。よって、バックドア判定部103は、CFn-1のみをバックドアが含まれると判定し、CFnをバックドアが含まれると判定しない。
【0031】
図8は、第一の実施形態の変形例おけるバックドア検知装置100の動作の概要を示すフローチャートである。第一の実施形態の変形例におけるステップS111~S113は、第一の実施形態におけるステップS101~S102におけるフローと同様のため、説明を割愛する。
【0032】
図8に示すように、次に、バックドア判定部103は、頻度情報取得部102から出現頻度情報が入力されると、出現頻度情報のうち、出現頻度が閾値より小さい関数フローパターンがあれば、次のフローに進む(ステップS113;YES)。一方、バックドア判定部103は、入力された出現頻度情報のうち、出現頻度が閾値(T1)より小さい関数フローパターンがなければ、バックドアが存在しないと判定し(ステップS113;NO)、一連のフローを繰り返す。次に、バックドア判定部103は、ステップS113における出現頻度が閾値より小さい関数フローパターンについて、出現頻度が過去の所定の時点における出現頻度と比較して、閾値(T2)より大きい(Fnew-Fold>T2)場合、バックドアがあると判定する(ステップS114;YES)。一方、ステップS113における出現頻度が閾値より小さい関数フローパターンについて、出現頻度が過去の所定の時点における出現頻度と比較して、閾値(T2)より大きくない場合、バックドアがないと判定し(ステップS114;NO)、一連のフローを繰り返す。最後に、出力部104は、バックドア判定部103によってバックドアが含まれると判定されると、アラート信号を出力する(ステップS115)。以上で、バックドア検知装置100は、バックドア検知の動作を終了する。
【0033】
本実施形態におけるバックドア検知装置100は、バックドア判定部103が、現在抽出された関数フローパターンのうち、出現頻度が閾値(T1)より小さく、且つ、現在抽出された関数フローパターンの出現頻度が過去の所定の時点における出現頻度と比較して、閾値(T2)より大きい(Fnew-Fold>T2)関数フローパターンがある場合、バックドアがあると判定する。これにより、出現頻度情報の推移に基づいてバックドアがあると判定するので、より精度の高いバックドアの検知が可能である。
【0034】
[第二の実施形態]
次に、本開示の第二の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。本開示の各実施形態における各構成要素は、図2に示すコンピュータ装置と同様に、その機能をハードウェア的に実現することはもちろんプログラム制御に基づくコンピュータ装置、ファームウェアで実現することができる。
次に、本開示の第二の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。本開示の各実施形態における各構成要素は、図2に示すコンピュータ装置と同様に、その機能をハードウェア的に実現することはもちろんプログラム制御に基づくコンピュータ装置、ファームウェアで実現することができる。
【0035】
図9は、本開示の第二の実施形態に係るバックドア検知装置110の構成を示すブロック図である。図9を参照して、第一の実施形態に係るバックドア検知装置100と異なる部分を中心に、第二の実施形態に係るバックドア検知装置110を説明する。第二の実施形態に係るバックドア検知装置110は、パターン抽出部111、頻度情報取得部112、バックドア判定部113、バックドア特定部114、出力部115及び制御部116を備える。本実施形態におけるパターン抽出部111、頻度情報取得部112、バックドア判定部113の構成及び機能は、第一の実施形態のパターン抽出部101、頻度情報取得部102、バックドア判定部103と同様のため、ここでは割愛する。
【0036】
バックドア特定部114は、バックドア判定部113によりバックドアが含まれると判定されると、バックドアが含まれると判定された関数フローを特定する。バックドア特定部114は、バックドアが含まれると判定された関数フローパターンとバックドアが含まれると判定されなかった関数フローパターンを対比し、バックドアが含まれると判定された関数フローパターンのうち、バックドアが含まれると判定されなかった関数フローパターンに存在しない関数フローを特定する。
【0037】
図10は、第二の実施形態において特定された関数フローを説明するための図である。
図10において、例えば、バックドア判定部113により関数フローパターン「func.A→func.C→func.F」にバックドアが含まれると判定され、別の関数フローパターン「func.A→func.B→func.D」及び「func.A→func.B→func.E」にバックドアが含まれると判定されなかったとする。図10の例では、関数「func.A」は、共通するが、それ以外の関数フロー「func.C→func.F」が異なっている。よって、バックドア特定部114は、バックドアが含まれると判定されなかった関数フローパターンに存在しない関数フロー「func.C→func.F」にバックドアが含まれると特定する。バックドア特定部114は、特定した関数フローの情報を出力部115及び制御部116に出力する。
図10において、例えば、バックドア判定部113により関数フローパターン「func.A→func.C→func.F」にバックドアが含まれると判定され、別の関数フローパターン「func.A→func.B→func.D」及び「func.A→func.B→func.E」にバックドアが含まれると判定されなかったとする。図10の例では、関数「func.A」は、共通するが、それ以外の関数フロー「func.C→func.F」が異なっている。よって、バックドア特定部114は、バックドアが含まれると判定されなかった関数フローパターンに存在しない関数フロー「func.C→func.F」にバックドアが含まれると特定する。バックドア特定部114は、特定した関数フローの情報を出力部115及び制御部116に出力する。
【0038】
出力部115は、バックドア特定部114により特定された関数フローを出力装置510等に出力する。
【0039】
制御部116は、バックドア特定部114により特定された関数フローを実行させないように制御する。制御部116は、バックドア特定部114からバックドアと特定された関数フローの情報が入力されると、例えば、特定された関数フローを実行させないようにプログラムコードを更新する。
【0040】
以上のように構成された情報処理システム11の動作について、図11のフローチャートを参照して説明する。
【0041】
図11は、第二の実施形態におけるバックドア検知装置110の動作の概要を示すフローチャートである。尚、このフローチャートによる処理は、前述したプロセッサによるプログラム制御に基づいて、実行されてもよい。なお、第二の実施形態におけるステップS201~S203は、第一の実施形態におけるステップS101~S103におけるフローと同様のため、説明を割愛する。
【0042】
図11に示すように、バックドア判定部113により、バックドアが含まれると判定されると(ステップS203;YES)、バックドア特定部114はバックドアが含まれると判定された関数フローを特定する(ステップS204)。次いで、出力部115は、特定された関数フローの情報を出力する(ステップS205)。最後に、制御部116は、バックドア特定部114により特定された関数フローを実行させないように制御する(ステップS206)。以上で、バックドア検知装置110は、バックドア検知の動作を終了する。
【0043】
本開示の第二の実施形態では、出力部115がバックドア特定部114により特定された関数フローの情報を出力装置510等に出力する。これにより、ファームウェアの解析者がバックドアの組み込まれている箇所をより詳細に解析することができる。また、本開示の第二の実施形態では、制御部116は、バックドア特定部114により特定された関数フローを実行させないように制御する。これにより、バックドアによる被害が広がらないようすることができる。
【0044】
以上、各実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しえる様々な変更をすることができる。
【0045】
例えば、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
【0046】
また、本実施形態において示した閾値T1及び閾値T2は、例示であり、仕組まれているバックドアの種類に応じて、閾値を変化させてもよい。これにより、バックドアの検知の精度を高めることができる。
【符号の説明】
【0047】
100、110 バックドア検知装置
101、111 パターン抽出部
102、112 頻度情報取得部
103、113 バックドア判定部
104、115 出力部
114 バックドア特定部
116 制御部
101、111 パターン抽出部
102、112 頻度情報取得部
103、113 バックドア判定部
104、115 出力部
114 バックドア特定部
116 制御部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】