アカウント不正使用判別プログラム、装置、及び方法
【課題】例えばインターネット上に公開され、ログオン制御されたシステムにおいて、不正なアクセスを検出する技術に関し、不正内容に応じた対応を可能とするため、操作ログから、不正と見られるアカウントのうち、更に共有アカウントを検出可能とする。
【解決手段】ログオン失敗ログ抽出部203は、ログオン失敗ログを抽出する。同時期ログオン/ログアウト判定部204での同時期・同一利用者アカウントによるログオン/ログアウトの多発の検出と、同一IDアクセスのコマンド比較部205での同一利用者アカウントによる所定頻度以上異なるコマンドアクセスの検出を行う。その後、共有アカウント判定部206が、同一の利用者アカウントについて、パスワード変更直後にログオン失敗ログが多く記録されているか否かを判定する。管理者用インタフェース208は、その判定結果に応じて、共有アカウントによる不正使用又は不明な利用者による不正アクセスを通知する。
【解決手段】ログオン失敗ログ抽出部203は、ログオン失敗ログを抽出する。同時期ログオン/ログアウト判定部204での同時期・同一利用者アカウントによるログオン/ログアウトの多発の検出と、同一IDアクセスのコマンド比較部205での同一利用者アカウントによる所定頻度以上異なるコマンドアクセスの検出を行う。その後、共有アカウント判定部206が、同一の利用者アカウントについて、パスワード変更直後にログオン失敗ログが多く記録されているか否かを判定する。管理者用インタフェース208は、その判定結果に応じて、共有アカウントによる不正使用又は不明な利用者による不正アクセスを通知する。
【発明の詳細な説明】
【技術分野】
【0001】
ネットワーク上でログオン制御されたシステムにおいて、アカウントの不正使用を検知する技術に関する。
【背景技術】
【0002】
近年、アカウント不正使用による情報漏えい事件やホームページ(Web)の改ざんなどの事件が数多く発生し、不正アクセス防止法などの法整備も進んできている。また、ログオン失敗のログを分析し対策の一助とする活動も活発であり、このような分析を支援する多くの技術も提案されている。
【0003】
アカウントの不正使用の第1のパターンとしては、正当な利用者ではない者がインターネット等のネットワークを介してシステムに不正にログオンしようとする不正アクセスがある。
【0004】
アカウントの不正使用の第2のパターンとしては、複数の正当な利用者が、1つのアカウントを共有アカウントとして共有しながらシステムにログオンする共有アカウントがある。
【0005】
ここで、アカウントとは、この出願においては、システムの利用者を識別するためのいわゆるユーザID(利用者識別情報)とパスワードを含む情報のことである。
不正アクセスによるアカウントの不正使用は、悪意を持った者によるシステムへの攻撃等の目的を防ぐために、未然に防止しなければならない。
【0006】
不正アクセスの自動抽出技術としては、下記のような従来技術が知られている。
第1の従来技術として、不正利用検出において、誤った認証情報を連続して入力した回数とログオン(又はログイン)は不成功に終わったのか否かを判定することにより、不正な利用を発見する技術が知られている。また、同一利用者名で複数箇所からログオンがあった場合に、不正な利用が行われたと判断する技術が知られている。(例えば特許文献1に記載の技術。)
【0007】
第2の従来技術として、ログ分析装置で、利用者が行った操作モデルと、同一のグループに属する利用者の操作モデルの一般的な傾向とを比較して分析することによって、グループ内において他の利用者に比して特異な操作を行った利用者を検出する技術が知られている。(例えば特許文献2に記載の技術。)
【0008】
第3の従来技術として、不正操作判定プログラムで、コンピュータが受け付けたオペレーションを、コンピュータ単位のプロファイルと利用者単位のプロファイルを参照して不正操作であるかを判定する技術が知られている。(例えば特許文献3に記載の技術。)
【0009】
一方、アカウントを複数の利用者が共有した場合には、下記のような問題がある。
・各利用者に対して適切なパスワードを設定するのが困難である。
・アカウントの管理形態が曖昧になり、変更が行われにくくなる。
・パスワード変更の際に、アカウントを共有する各利用者への連絡が必要であるため、漏洩の可能性が増す。
・パスワードが不明になっての問い合わせが想定されるため、漏洩の可能性が増す。
【0010】
しかしながら、利用システムやその上で操作するアプリケーションの制約などにより、1つのアカウントを複数の利用者が利用している、いわゆる共有アカウントの利用、すなわち共有アカウントの不正使用が多く存在する。
【0011】
共有アカウントによる不正使用は、企業等のセキュリティ管理者が利用者各人に定期的にヒアリング等で確認し、企業等の情報管理ポリシーに反して共有されているアカウントを検知していた。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開平10−340254号公報
【特許文献2】特開2008−192091号公報
【特許文献3】WO2005/048119号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
コンピュータのアカウントへのアクセスは、通常、ログデータに記録される。不正アクセスと共有アカウントの不正使用とでは対策が異なる。このため、ログデータから、不正アクセスと共有アカウントによる不正使用を自動的に判別する技術が必要となる。
【0014】
しかし、前述した第1、第2、第3の従来技術の何れも、アクセス権限を持たない第三者からの不正アクセス(ログオン)、又はアクセス権限を持っていても通常とは異なる不正な操作を検出するための技術である。このため、これらの従来技術を不正アクセスと共有アカウントによる不正使用を自動的に判別する技術としては応用することはできないという問題点を有していた。
【0015】
そこで、本発明の1つの側面では、不正内容に応じた対応を可能とするため、操作ログから、不正アクセスと共有アカウントによる不正使用を判別可能とすることを目的とする。
【課題を解決するための手段】
【0016】
態様の一例は、通信のアクセスの状況を記録したログデータからログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計算される場合に共有アカウントと判別し、そうでない場合に不正アクセスと判別する、機能をコンピュータに実行させるためのアカウントの不正使用判別プログラムである。
【発明の効果】
【0017】
本実施形態によって実現されるプログラム、装置、方法によれば、人手に頼らず、ログデータから不正アクセスと共有アカウントを判別することが可能となる。
不正アクセスと共有アカウントによる不正使用とでは、対策の方式が異なるが、本実施形態によって実現されるプログラム、装置、方法により、ログからログオン失敗の原因を判別することができ、効果的な対策の選択につなげるとともに不正アクセスと共有アカウントの不正使用の検出の精度をあげることが可能となる。
【図面の簡単な説明】
【0018】
【図1】実施形態の全体システム構成図である。
【図2】実施形態のシステム構成図である。
【図3】ログオン失敗ログの出現例の説明図である。
【図4】実施形態の制御を示すフローチャートである。
【図5】図4のステップS406の更に詳細制御を示すフローチャートである。
【図6】ログデータのデータ構成例を示す図である。
【図7】管理用画面での出力例を示す図である。
【図8】他の実施形態の制御を示すフローチャートである。
【図9】実施形態のシステムを実現できるコンピュータのハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0019】
以下、本発明を実施するための形態について図面を参照しながら詳細に説明する。
図1は、実施形態の全体システム構成図である。
インターネット103から企業内ネットワーク104へのアクセスとしては、正当なアカウントを有する利用者による正当なアクセスのほか、102として示されるように、不正アクセス者X,Y等による不正アクセスがある。また、101として示されるように、正当な利用者であるが共有アカウントを使った利用者A,B等による不正使用もある。この場合、企業内ネットワーク104の管理者105は、ログオン失敗ログデータベース(以下、「ログオン失敗ログDB」と記述する)106に蓄積されるログオンの失敗を示すログデータを分析する。この結果、管理者105は、不正アクセスと共有アカウントによる不正使用とを区別して認識する必要がある。そして、管理者105は、不正アクセスに対しては、108として示されるように、パスワードポリシーの強化、システムの脆弱性に対する対策、その他の対策の強化等を実施する必要がある。一方、管理者105は、共有アカウントを使ったアクセスに対しては、利用者群101に対して、共有アカウントの禁止を再周知し、共有アカウントの利用に対する罰則規定を整備する等の対策を実施する必要がある。
【0020】
このように、ログオン失敗の原因に依存して対策が異なるため、ログオン失敗ログDB106から、不正アクセスと共有アカウントによる不正使用を判別して抽出し通知することが重要である。
【0021】
以下に説明する本実施形態は、ログオン失敗ログDB106から、コンピュータによるログ分析によって不正アクセスと共有アカウントによる不正使用を判別して抽出し管理者105に通知する手段107を提供するものである。
【0022】
図2は、図1に示されるコンピュータによるログ分析によって不正アクセスと共有アカウントによる不正使用を判別して抽出し管理者105に通知する手段107を実現する本実施形態のシステム構成図である。
【0023】
このシステムは例えば、図1の企業内ネットワーク104内のサーバ等のコンピュータ上に構築される。
利用者インタフェース201は、例えば図1のインターネット103を介して、他のコンピュータからのデータ操作リクエストを受け付けるサーバ等のコンピュータ上で実行されるソフトウェア実行機能部である。このソフトウェアは例えば、HTTP(ハイパー・テキスト・トランスファ・プロトコル)通信によるWWW(ワールド・ワイド・ウェブ)アクセスを受け付けるWWWソフトウェアである。或いは、このソフトウェアは、固有のプロトコルによりデータベースアクセスを受け付けるソフトウェアである。
【0024】
ログ記録部202は、他のコンピュータからのアクセスやそれに対するアクセスエラーの発生状況等を、ログデータとしてログ蓄積部207に記録する。
ログオン失敗ログ抽出部203は、ログ蓄積部207に蓄積されているログデータから、ログオンに失敗したことを示すログオン失敗ログを抽出する機能部である。
【0025】
同時期ログオン/ログアウト判定部204は、ログオン失敗ログ抽出部203におけるログオン失敗ログの抽出状況に応じて動作する。そして、この同時期ログオン/ログアウト判定部204は、ログ蓄積部207に蓄積されているログデータにおいて、同時期(同時間帯)に同一のユーザIDで複数回のログオン/ログアウトが発生しているか否かを検出する。
【0026】
同一IDアクセスのコマンド比較部205は、同時期ログオン/ログアウト判定部204での判定状況に応じて動作する。そして、この同一IDアクセスのコマンド比較部205は、ログ蓄積部207に蓄積されているログデータにおいて、同一のユーザIDによるアクセスにおいてアクセスコマンド又はファイルやフォルダが所定頻度以上異なるか否かを判定する。
【0027】
アクセス判別部206は、同一IDアクセスのコマンド比較部205での判定状況に応じて動作する。そして、このアクセス判別部206は、パスワード変更直後にログオン失敗ログを多数検知した場合に、共有アカウントによる不正使用が発生したと判断する。一方、それ以外の場合には、不正アクセスが発生したと判断する。そして、これらの判別結果を、管理者用インタフェース208に出力する。
【0028】
管理者用インタフェース208は、サーバコンピュータの表示装置又は管理者用端末の表示装置に、アクセス判別部206が判別出力した共有アカウントによる不正使用の発生又は不正アクセスの発生を通知するソフトウェア機能部である。
【0029】
図3は、本実施形態におけるログオン失敗ログの出現例の説明図である。
正常ログオン時には、図3(a)に示されるように、パスワードが変更されたタイミングにおいても、多数のログオン失敗ログは検出されていない。
【0030】
これに対して、不正アクセスによる不正ログオン頻発時には、図3(b)に示されるように、パスワードが変更されるとされないとにかかわらず、ランダムにログオン失敗ログが検出される。
【0031】
更に、共有アカウントによる不正使用においては、図3(c)に示されるように、パスワードが変更されてから所定の期間X(所定判定期間)においてのみ、複数のログオン失敗ログが発生する可能性が高い。これは、アカウントが複数の利用者に共有されていて、誰かがその共有アカウントのパスワードを変更した場合に、他の利用者がそれを把握していないために、そのタイミングにおいてのみログオン失敗が多発する傾向が強いためである。本実施形態では、このように、共有アカウントによる不正使用の場合、その共有アカウントのパスワード変更後に著しく多いログオン失敗ログが検出されるという経験則に基づいて、不正アクセスと共有アカウントによる不正使用を判別する。
【0032】
図4は、本実施形態のコンピュータによる動作を示すフローチャートであり、図2に示されるログオン失敗ログ抽出部203、同時期ログオン/ログアウト判定部204、同一IDアクセスのコマンド比較部205、及びアクセス判別部206の各機能を実現する。このフローチャートは、所定期間毎(例えば1週間に一度)に、サーバ等のコンピュータが実装しているスケジューラ機能(例えばcron機能)を使って自動実行される。
【0033】
ステップS401とS402は、図2のログオン失敗ログ抽出部203の機能を実現する。
即ちまず、図2のログ蓄積部207から、ログオン失敗ログが収集される(ステップS401)。
【0034】
次に、ステップS401の抽出結果において、ログオン失敗が多いか否かが、所定の閾値(第1の所定回数)と比較することにより判定される(ステップS402)。
ログオン失敗が多くはなくステップS402の判定がNOならば、正常アカウントによるアクセスが行われていると判断されて図4のフローチャートに対応する動作を終了する(ステップS402→S404)。
【0035】
ログオン失敗が多くステップS402の判定がYESならば、ステップS403の処理が実行される。この処理は、図2の同時期ログオン/ログアウト判定部204の機能を実現する。ここでは、図2のログ蓄積部207に蓄積されているログデータにおいて、同時期(同時間帯)に同一のユーザIDで所定回数(第3の所定回数)以上のログオン/ログアウトが発生しているか否かが判定される。
【0036】
ステップS403の判定がNOならば、正常アカウントによるアクセスが行われていると判断されて図4のフローチャートに対応する動作を終了する(ステップS403→S404)。
【0037】
ステップS403の判定がYESならば、ステップS405の処理が実行される。この処理は、図2の同一IDアクセスのコマンド比較部205の機能を実現する。ここでは、図2のログ蓄積部207に蓄積されているログデータにおいて、同一のユーザIDによるアクセスにおいてアクセスコマンド等が所定頻度以上異なるか否かが判定される。より具体的には、同一のユーザIDで操作されているアクセスコマンドの種類の数、又はファイル(コマンド)やフォルダの数が所定の閾値と比較される。
【0038】
ステップS405の判定がNOならば、正常アカウントによるアクセスが行われている判断されて図4のフローチャートに対応する動作を終了する(ステップS405→S404)。
【0039】
ステップS405の判定がYESならば、不正アクセスか共有アカウントによる不正使用の何れかが発生していると判断される(ステップS406)。この場合には更に、ステップS407の処理が実行される。この処理は、図2のアクセス判別部206の機能を実現する。ここでは、パスワード変更直後にログオン失敗ログが多数(第2の所定回数以上)検知されたか否かが判断される。
【0040】
そして、パスワード変更直後にログオン失敗ログが多数検知されたと判断されてステップS407の判定がYESの場合には、共有アカウントによる不正使用が発生していると判断され、その判別結果が図2の管理者用インタフェース208に出力される。そして、管理者用インタフェース208によって、コンピュータの表示装置又は管理者用端末の表示装置に、共有アカウントによる不正使用が通知される(以上、ステップS408)。これを受けて、図1の管理者105は、共有アカウント禁止の再周知と罰則規定の整備、該当幹部への警告等の措置を講ずることになる(ステップS409)。
【0041】
一方、パスワード変更直後にログオン失敗ログが多数検知されてはいないと判断されてステップS407の判定がNOの場合には、ステップ402で同時期にログオン失敗が多数発生しているから、正常アクセスではない。したがってパスワード変更直後にログオン失敗が多数発生していなければ不正アクセスが発生していると判断され、その旨が図2の管理者用インタフェース208に出力される。そして、管理者用インタフェース208によって、サーバ等のコンピュータの表示装置又は管理者用端末の表示装置に、不正アクセスの発生が通知される(以上、ステップS410)。これを受けて、図1の管理者105は、パスワードポリシーの強化、システムの脆弱性に対する対策、その他対策の強化等の措置を講ずることになる(ステップS411)。
【0042】
図5は、図4のステップS407のコンピュータによる更に詳細な動作を示すフローチャートである。この処理は、図2のアクセス判別部206の機能を実現する。ここでは、前述したように、パスワード変更直後にログオン失敗ログが多数検知されたか否かが判断される。
【0043】
まず、現在着目しているアカウントについて、最後にパスワード変更を実施した時刻をa、パスワード変更前最後のログオン失敗ログ検知時刻をbとして、その両者の時間間隔「X=a−b」が算出される(ステップS501)。このXは、図3(c)のX(所定判定期間)に対応する。
【0044】
次に、上記アカウントについて、パスワード変更時刻a以後、所定判定期間X内でのログオン失敗ログ件数が、図2のログオン失敗ログ抽出部203にて抽出されたログデータ上で計数され、その計数結果がΑとされる(ステップS502)。
【0045】
そして、計数結果Aが、2(第2の所定回数)以上であるか否かが判定される(ステップS503)。
計数結果Aが2以上であって、ステップS503の判定がYESならば、共有アカウントによる不正使用が発生していると判別される。
【0046】
一方、計数結果Aが2以上ではなく、ステップS503の判定がNOならば、不正アクセスが発生していると判別される。
上述のように、パスワード変更時直前のログオン失敗の所定判定期間Xが算出されることにより、分析対象とするログ抽出期間の単位がログ量のスケールに合わせて自動的に決定され、それに基づいて、不正アクセスと共有アカウントによる不正使用が適切に判別される。
【0047】
図6は、図2のログ蓄積部207に蓄積されるログデータのデータ構成例を示す図である。
このようなデータ構成例に対して、コンピュータにより図5のフローチャートの動作が実行される場合には、以下のような処理が実行される。
【0048】
まず、図5のステップS501において、現在着目しているアカウントについて最後にパスワード変更を実施した時刻aは、次のように算出される。まず、図6のログデータ例601において各ログは時間昇順で1行ずつ記録されているものとする。即ち、時間経過に従ってファイルの先頭から末尾に向かって各ログが1行ずつ記録されてゆき、末尾の行に最新のログが記録されている。このようなログデータ例601に対して、その末尾から先頭に向かって1行ずつ読み込まれながら、現在着目しているアカウントのユーザID文字列「suzuki」に対するパスワード変更を示す文字列「Change Password:suzuki」を含む行が検出される。このため、末尾から見て最初に見つかる上記検出行は、ユーザID「suzuki」について最後にパスワード変更が実施されたログとなる。この行が検出されたら、その行の先頭部分の時刻文字列「2009/11/15 14:54:06」が検出される。この時刻(2009年11月15日14時54分6秒)が、時刻aとして例えば時刻変数データaに記憶される。
【0049】
次に、図5のステップS501において、パスワード変更前最後のログオン失敗ログ検知時刻bは、次のようにして算出される。即ち、上記時刻aが検出された行から更に1行ずつ各行が先頭方向すなわち時間が遡る方向に向かって読み込まれながら、現在着目しているアカウントのユーザID文字列「suzuki」に対するログオン失敗を示す文字列「Logon Error suzuki」を含む行が検出される。この行が検出されたら、その行の先頭部分の時刻文字列「2009/11/15 13:23:03」が検出される。この時刻(2009年11月15日13時23分3秒)が、時刻bとして例えば時刻変数データbに記憶される。
【0050】
次に、図5のステップS501において、時刻変数データaの時刻値「2009/11/15 14:54:06」から上記時刻変数データbの時刻値「2009/11/15 13:23:03」が減算され、その結果X=「01:31:03」(1時間31分3秒)が期間変数データXに記憶される。
【0051】
次に、図5のステップS502において、上記アカウントについて、パスワード変更時刻a以後、所定判定期間X内でのログオン失敗ログ件数Aを計数する処理は、次のようにして算出される。
【0052】
まず、時刻変数データaの時刻値「2009/11/15 14:54:06」に、期間変数データXの値「01:31:03」を加算することにより、時刻aから所定判定期間Xだけ経過した時刻値「2009/11/15 16:25:09」(2009年11月15日16時25分9秒)が算出される。次に、時刻aが検出された行から末尾方向すなわち時間が新しくなる方向に各行が読み込まれながら、現在着目しているアカウントのユーザID文字列「suzuki」に対するログオン失敗を示す文字列「Logon Error suzuki」を含む行が検出される。この行が検出されたら、その行の先頭部分の時刻文字列が検出される。そして、その時刻文字列が示す時刻が、上述の時刻aから所定判定期間Xだけ経過した時刻値「2009/11/15 16:25:09」よりも早いか否かが判定される。早ければ、ログオン失敗ログ件数の計数値が+1される。過ぎていれば、計数を終了し、その計数値を、上記所定判定期間X内でのログオン失敗ログ件数Aとして出力する。
【0053】
以上のようにして算出された計数結果Aについて、前述の図5のステップS503で、その計数値が2(第2の所定回数)以上であるか否かが判定される。そして、計数結果Aが2以上であるなら共有アカウントによる不正使用が発生していると判別される。
【0054】
図6に示される不正アクセス時のログデータ例601では、パスワード変更とその直前のログオン失敗の時間差が例えば約1時間30分間であったようなときに、パスワード変更後の同じ1時間30分の間のログオン失敗が例えば1回のみ発生する。このように、パスワード変更前後で、ログオン失敗の頻度が大きくは変わっていないため、「不正アクセス」が発生していると判別される。
【0055】
一方、図6に示される共有アカウントによる不正使用時のログデータ例602では、パスワード変更とその直前のログオン失敗の時間差が例えば約3時間であったようなときに、パスワード変更後の同じ3時間でログオン失敗が例えば5回発生する。このように、パスワード変更前に比べ、変更直後のログオン失敗の頻度が高くなっているため、「共有アカウントによる不正使用」が発生していると判別される。
【0056】
図7は、不正アクセス及び共有アカウントによる不正使用が判別通知されたそれぞれの場合における管理画面の表示の出力例を示す図である。
図7(a)に示されるように、不正アクセスの判別通知時には、パスワードポリシーの強化、システムの脆弱性に対する対策、その他対策の強化等を促す表示がなされる。
【0057】
図7(b)に示されるように、共有アカウントによる不正使用の判別通知時には、共有アカウント禁止の再周知と罰則規定の整備、該当幹部への警告等を促す表示がなされる。
以上説明したように、本実施形態では、同じログオン失敗でも、不正アクセスと共有アカウントによる不正使用とでは特徴が異なり、特にパスワード変更後のログの検出傾向が異なることに着目し、不正アクセスと共有アカウントによる不正使用を自動的に判別して検知することができる。
【0058】
また、本実施形態によれば、人手に頼らず既存システムのログデータを利用して不正アクセスと共有アカウントによる不正使用を判別できるため、既存システムへの適用が容易である。
【0059】
更に、本実施形態によれば、不正アクセスと共有アカウントによる不正使用とでは、対策の方式が異なるが、本発明により、ログオン失敗ログから原因を判別することができ、効果的な対策の選択につなげるとともに不正アクセスと共有アカウントの不正使用そのものの検出精度をあげることが可能となる。共有アカウントを自動的に判別することで、システムのアクセスコントロールを実施する上で必要となる利用者認証を強化し、システムのセキュリティを高めることが可能となる。
【0060】
加えて、本実施形態では、ログ失敗ログ発生の所定判定期間Xが、パスワード変更の直前のログ失敗の発生状況に基づいて調整されるため、処理のロジックが効率化され、大規模なシステムでも小規模なシステムでも対応できるようになる。
【0061】
以上説明した実施形態は、不正アクセスと共有アカウントによる不正使用を判別する機能を有するシステムとして実現されている。これに対して、以下のような他の実施形態が実施されてもよい。
【0062】
即ち、他の実施形態では、図8のフローチャートで示される動作が実行される。図8のフローチャートでは、前述した図4のステップS401からS406、S410、S411の各処理は省略され、ステップS407、S408に相当する機能のみが実装される。
【0063】
図8のステップS407では、図4のステップS407と同様に、ログデータにおいて、パスワード変更直後にログオン失敗ログが多数(第2の所定回数以上)検知されたか否かが判断される。そして、図8のステップS407の詳細な動作は図5における、ステップS501、S502、S503により実行される。
【0064】
そして、パスワード変更直後にログオン失敗ログが多数検知されたと判断されて図8のステップS407の判定がYESの場合には、共有アカウントによる不正使用が発生していると判断され、その判別結果が図2の管理者用インタフェース208に出力される。そして、管理者用インタフェース208によって、コンピュータの表示装置又は管理者用端末の表示装置に、共有アカウントによる不正使用が通知される(以上、図8のステップS408)。これを受けて、図1の管理者105は、共有アカウント禁止の再周知と罰則規定の整備、該当幹部への警告等の措置を講ずることになる(図8のステップS409)。
【0065】
一方、パスワード変更直後にログオン失敗ログが多数検知されてはいないと判断されて図8のステップS407の判定がNOの場合には、共有アカウントによる不正使用が発生していないと判断され、管理者等への通知は行われない(図8のステップS801)。
このような第8図に示した実施形態により、共有アカウントによる不正使用が発生しているか否かのみを検知するシステムの実現が可能となる。
【0066】
図9は、上記各実施形態のシステムを実現できるコンピュータのハードウェア構成の一例を示す図である。
図9に示されるコンピュータは、CPU901、メモリ902、入力装置903、出力装置904、外部記憶装置905、可搬記録媒体909が挿入される可搬記録媒体駆動装置906、及び通信ネットワーク907を有し、これらがバス908によって相互に接続された構成を有する。同図に示される構成は上記システムを実現できるコンピュータの一例であり、そのようなコンピュータはこの構成に限定されるものではない。
【0067】
CPU901は、当該コンピュータ全体の制御を行う。メモリ902は、プログラムの実行、データ更新等の際に、外部記憶装置905(或いは可搬記録媒体909)に記憶されているプログラム又はデータを一時的に格納するRAM等のメモリである。CUP901は、プログラムをメモリ902に読み出して実行することにより、全体の制御を行う。
【0068】
外部記憶装置905は、例えばハードディスク記憶装置である。例えば、図2のログ蓄積部207は、外部記憶装置905上に構築される。
図2の実施形態によるシステム構成において利用者インターフェース201、ログ記録部202、ログオン失敗ログ抽出部203、同時期ログオン/ログアウト判定部204、同一IDアクセスのコマンド比較部205、アクセス判定部206、管理者インタフェース208は、CPU901がメモリ902に記憶されたプログラムを実行することにより実現される。また、ログ記録部202は、外部記憶装置905内に構築されている所定のログディレクトリに記憶されるログファイルである。各実施形態の機能を実現する図4、図5の各フローチャートに対応する各プログラムを、CPU901が実行することで実現される。そのプログラムは、例えば外部記憶装置905や可搬記録媒体909に記録して配布してもよく、或いは通信インターフェース907によりネットワークから取得できるようにしてもよい。
【0069】
以上の各実施形態に関して、更に以下の付記を開示する。
(付記1)
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
機能をコンピュータに実行させるためのアカウントの不正使用判別プログラム。
(付記2)
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする付記1に記載のプログラム。
(付記3)
前記ログデータにおいて、最新のログデータから時刻が遡るログデータを順次検索しながら、前記アカウントのユーザIDの文字列とパスワード変更を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする付記2に記載のプログラム。
(付記4)
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出し、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出し、
前記アクセスコマンド又はアクセスデータが所定頻度以上異なることを検出する、
ことを特徴とする付記1に記載のプログラム。
(付記5)
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出するログオン失敗ログ抽出部と、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、そうでない場合に不正アクセスと判別するアクセス判別部と、
を含むことを特徴とするアカウント不正使用判別装置。
(付記6)
前記アクセス判別部は、
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする付記5に記載のアクセス判別装置。
(付記7)
前記アクセス判別部は、
前記ログデータにおいて、時刻が最新のログデータから時刻が遡るログデータを順次検索しながら、現在着目しているアカウントのユーザIDの文字列とパスワード変更を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする付記6に記載のアクセス判別装置。
(付記8)
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前に、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出する同時期ログオン/ログアウト判定部と、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出する検出部と、
を更に含む、
ことを特徴とする付記5に記載のアクセス判別装置。
(付記9)
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
ことを特徴とするアクセス判別方法。
(付記10)
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする付記9に記載のアクセス判別方法。
(付記11)
前記ログデータにおいて、時刻が最新のログデータから時刻が遡るログデータを順次検索しながら、現在着目しているアカウントのユーザIDの文字列とパスワード変更を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする付記10に記載のアクセス判別方法。
(付記12)
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前に、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出し、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出する、
ことを特徴とする付記9に記載のアクセス判別方法。
(付記13)
利用者からの通信のアクセスの状況を記録したログデータから、アカウントを抽出し、前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が所定回数以上記録されているかを判定し、前記判定がなされたときに、複数の利用者が1つのアカウントを共有していたことを示す通知を出力する、
機能をコンピュータに実行させるためのプログラム。
(付記14)
前記ログデータから、前記利用者アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前の最後のログオン失敗ログの検知時刻との期間を算出し、
前記パスワード変更時刻以後前記期間に基づいて決定される期間内で、前記利用者アカウントについて、前記ログデータからログオン失敗ログの数を検出し、
前記ログオン失敗ログの数が所定の閾値以上である場合に、前記複数の利用者が1つの前記利用者アカウントを共有して使用したことを示す通知を出力する、
ことを特徴とするログ分析による共有アカウントの抽出・通知プログラム。
【符号の説明】
【0070】
101 共有アカウントを不正使用する利用者群
102 不正アクセス者
103 インターネット
104 企業内ネットワーク
105 管理者
106 ログオン失敗ログデータベース(ログオン失敗ログDB)
107 ログ分析による共有アカウントの抽出及び通知手段
201 利用者インタフェース
202 ログ記録部
203 ログオン失敗ログ抽出部
204 同時期ログオン/ログアウト判定部
205 同一IDアクセスのコマンド比較部
206 アクセス判別部
207 管理者用インタフェース
601 不正アクセス時のログデータ例
602 共有アカウントによる不正使用頻発時のログデータ例
【技術分野】
【0001】
ネットワーク上でログオン制御されたシステムにおいて、アカウントの不正使用を検知する技術に関する。
【背景技術】
【0002】
近年、アカウント不正使用による情報漏えい事件やホームページ(Web)の改ざんなどの事件が数多く発生し、不正アクセス防止法などの法整備も進んできている。また、ログオン失敗のログを分析し対策の一助とする活動も活発であり、このような分析を支援する多くの技術も提案されている。
【0003】
アカウントの不正使用の第1のパターンとしては、正当な利用者ではない者がインターネット等のネットワークを介してシステムに不正にログオンしようとする不正アクセスがある。
【0004】
アカウントの不正使用の第2のパターンとしては、複数の正当な利用者が、1つのアカウントを共有アカウントとして共有しながらシステムにログオンする共有アカウントがある。
【0005】
ここで、アカウントとは、この出願においては、システムの利用者を識別するためのいわゆるユーザID(利用者識別情報)とパスワードを含む情報のことである。
不正アクセスによるアカウントの不正使用は、悪意を持った者によるシステムへの攻撃等の目的を防ぐために、未然に防止しなければならない。
【0006】
不正アクセスの自動抽出技術としては、下記のような従来技術が知られている。
第1の従来技術として、不正利用検出において、誤った認証情報を連続して入力した回数とログオン(又はログイン)は不成功に終わったのか否かを判定することにより、不正な利用を発見する技術が知られている。また、同一利用者名で複数箇所からログオンがあった場合に、不正な利用が行われたと判断する技術が知られている。(例えば特許文献1に記載の技術。)
【0007】
第2の従来技術として、ログ分析装置で、利用者が行った操作モデルと、同一のグループに属する利用者の操作モデルの一般的な傾向とを比較して分析することによって、グループ内において他の利用者に比して特異な操作を行った利用者を検出する技術が知られている。(例えば特許文献2に記載の技術。)
【0008】
第3の従来技術として、不正操作判定プログラムで、コンピュータが受け付けたオペレーションを、コンピュータ単位のプロファイルと利用者単位のプロファイルを参照して不正操作であるかを判定する技術が知られている。(例えば特許文献3に記載の技術。)
【0009】
一方、アカウントを複数の利用者が共有した場合には、下記のような問題がある。
・各利用者に対して適切なパスワードを設定するのが困難である。
・アカウントの管理形態が曖昧になり、変更が行われにくくなる。
・パスワード変更の際に、アカウントを共有する各利用者への連絡が必要であるため、漏洩の可能性が増す。
・パスワードが不明になっての問い合わせが想定されるため、漏洩の可能性が増す。
【0010】
しかしながら、利用システムやその上で操作するアプリケーションの制約などにより、1つのアカウントを複数の利用者が利用している、いわゆる共有アカウントの利用、すなわち共有アカウントの不正使用が多く存在する。
【0011】
共有アカウントによる不正使用は、企業等のセキュリティ管理者が利用者各人に定期的にヒアリング等で確認し、企業等の情報管理ポリシーに反して共有されているアカウントを検知していた。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開平10−340254号公報
【特許文献2】特開2008−192091号公報
【特許文献3】WO2005/048119号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
コンピュータのアカウントへのアクセスは、通常、ログデータに記録される。不正アクセスと共有アカウントの不正使用とでは対策が異なる。このため、ログデータから、不正アクセスと共有アカウントによる不正使用を自動的に判別する技術が必要となる。
【0014】
しかし、前述した第1、第2、第3の従来技術の何れも、アクセス権限を持たない第三者からの不正アクセス(ログオン)、又はアクセス権限を持っていても通常とは異なる不正な操作を検出するための技術である。このため、これらの従来技術を不正アクセスと共有アカウントによる不正使用を自動的に判別する技術としては応用することはできないという問題点を有していた。
【0015】
そこで、本発明の1つの側面では、不正内容に応じた対応を可能とするため、操作ログから、不正アクセスと共有アカウントによる不正使用を判別可能とすることを目的とする。
【課題を解決するための手段】
【0016】
態様の一例は、通信のアクセスの状況を記録したログデータからログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計算される場合に共有アカウントと判別し、そうでない場合に不正アクセスと判別する、機能をコンピュータに実行させるためのアカウントの不正使用判別プログラムである。
【発明の効果】
【0017】
本実施形態によって実現されるプログラム、装置、方法によれば、人手に頼らず、ログデータから不正アクセスと共有アカウントを判別することが可能となる。
不正アクセスと共有アカウントによる不正使用とでは、対策の方式が異なるが、本実施形態によって実現されるプログラム、装置、方法により、ログからログオン失敗の原因を判別することができ、効果的な対策の選択につなげるとともに不正アクセスと共有アカウントの不正使用の検出の精度をあげることが可能となる。
【図面の簡単な説明】
【0018】
【図1】実施形態の全体システム構成図である。
【図2】実施形態のシステム構成図である。
【図3】ログオン失敗ログの出現例の説明図である。
【図4】実施形態の制御を示すフローチャートである。
【図5】図4のステップS406の更に詳細制御を示すフローチャートである。
【図6】ログデータのデータ構成例を示す図である。
【図7】管理用画面での出力例を示す図である。
【図8】他の実施形態の制御を示すフローチャートである。
【図9】実施形態のシステムを実現できるコンピュータのハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0019】
以下、本発明を実施するための形態について図面を参照しながら詳細に説明する。
図1は、実施形態の全体システム構成図である。
インターネット103から企業内ネットワーク104へのアクセスとしては、正当なアカウントを有する利用者による正当なアクセスのほか、102として示されるように、不正アクセス者X,Y等による不正アクセスがある。また、101として示されるように、正当な利用者であるが共有アカウントを使った利用者A,B等による不正使用もある。この場合、企業内ネットワーク104の管理者105は、ログオン失敗ログデータベース(以下、「ログオン失敗ログDB」と記述する)106に蓄積されるログオンの失敗を示すログデータを分析する。この結果、管理者105は、不正アクセスと共有アカウントによる不正使用とを区別して認識する必要がある。そして、管理者105は、不正アクセスに対しては、108として示されるように、パスワードポリシーの強化、システムの脆弱性に対する対策、その他の対策の強化等を実施する必要がある。一方、管理者105は、共有アカウントを使ったアクセスに対しては、利用者群101に対して、共有アカウントの禁止を再周知し、共有アカウントの利用に対する罰則規定を整備する等の対策を実施する必要がある。
【0020】
このように、ログオン失敗の原因に依存して対策が異なるため、ログオン失敗ログDB106から、不正アクセスと共有アカウントによる不正使用を判別して抽出し通知することが重要である。
【0021】
以下に説明する本実施形態は、ログオン失敗ログDB106から、コンピュータによるログ分析によって不正アクセスと共有アカウントによる不正使用を判別して抽出し管理者105に通知する手段107を提供するものである。
【0022】
図2は、図1に示されるコンピュータによるログ分析によって不正アクセスと共有アカウントによる不正使用を判別して抽出し管理者105に通知する手段107を実現する本実施形態のシステム構成図である。
【0023】
このシステムは例えば、図1の企業内ネットワーク104内のサーバ等のコンピュータ上に構築される。
利用者インタフェース201は、例えば図1のインターネット103を介して、他のコンピュータからのデータ操作リクエストを受け付けるサーバ等のコンピュータ上で実行されるソフトウェア実行機能部である。このソフトウェアは例えば、HTTP(ハイパー・テキスト・トランスファ・プロトコル)通信によるWWW(ワールド・ワイド・ウェブ)アクセスを受け付けるWWWソフトウェアである。或いは、このソフトウェアは、固有のプロトコルによりデータベースアクセスを受け付けるソフトウェアである。
【0024】
ログ記録部202は、他のコンピュータからのアクセスやそれに対するアクセスエラーの発生状況等を、ログデータとしてログ蓄積部207に記録する。
ログオン失敗ログ抽出部203は、ログ蓄積部207に蓄積されているログデータから、ログオンに失敗したことを示すログオン失敗ログを抽出する機能部である。
【0025】
同時期ログオン/ログアウト判定部204は、ログオン失敗ログ抽出部203におけるログオン失敗ログの抽出状況に応じて動作する。そして、この同時期ログオン/ログアウト判定部204は、ログ蓄積部207に蓄積されているログデータにおいて、同時期(同時間帯)に同一のユーザIDで複数回のログオン/ログアウトが発生しているか否かを検出する。
【0026】
同一IDアクセスのコマンド比較部205は、同時期ログオン/ログアウト判定部204での判定状況に応じて動作する。そして、この同一IDアクセスのコマンド比較部205は、ログ蓄積部207に蓄積されているログデータにおいて、同一のユーザIDによるアクセスにおいてアクセスコマンド又はファイルやフォルダが所定頻度以上異なるか否かを判定する。
【0027】
アクセス判別部206は、同一IDアクセスのコマンド比較部205での判定状況に応じて動作する。そして、このアクセス判別部206は、パスワード変更直後にログオン失敗ログを多数検知した場合に、共有アカウントによる不正使用が発生したと判断する。一方、それ以外の場合には、不正アクセスが発生したと判断する。そして、これらの判別結果を、管理者用インタフェース208に出力する。
【0028】
管理者用インタフェース208は、サーバコンピュータの表示装置又は管理者用端末の表示装置に、アクセス判別部206が判別出力した共有アカウントによる不正使用の発生又は不正アクセスの発生を通知するソフトウェア機能部である。
【0029】
図3は、本実施形態におけるログオン失敗ログの出現例の説明図である。
正常ログオン時には、図3(a)に示されるように、パスワードが変更されたタイミングにおいても、多数のログオン失敗ログは検出されていない。
【0030】
これに対して、不正アクセスによる不正ログオン頻発時には、図3(b)に示されるように、パスワードが変更されるとされないとにかかわらず、ランダムにログオン失敗ログが検出される。
【0031】
更に、共有アカウントによる不正使用においては、図3(c)に示されるように、パスワードが変更されてから所定の期間X(所定判定期間)においてのみ、複数のログオン失敗ログが発生する可能性が高い。これは、アカウントが複数の利用者に共有されていて、誰かがその共有アカウントのパスワードを変更した場合に、他の利用者がそれを把握していないために、そのタイミングにおいてのみログオン失敗が多発する傾向が強いためである。本実施形態では、このように、共有アカウントによる不正使用の場合、その共有アカウントのパスワード変更後に著しく多いログオン失敗ログが検出されるという経験則に基づいて、不正アクセスと共有アカウントによる不正使用を判別する。
【0032】
図4は、本実施形態のコンピュータによる動作を示すフローチャートであり、図2に示されるログオン失敗ログ抽出部203、同時期ログオン/ログアウト判定部204、同一IDアクセスのコマンド比較部205、及びアクセス判別部206の各機能を実現する。このフローチャートは、所定期間毎(例えば1週間に一度)に、サーバ等のコンピュータが実装しているスケジューラ機能(例えばcron機能)を使って自動実行される。
【0033】
ステップS401とS402は、図2のログオン失敗ログ抽出部203の機能を実現する。
即ちまず、図2のログ蓄積部207から、ログオン失敗ログが収集される(ステップS401)。
【0034】
次に、ステップS401の抽出結果において、ログオン失敗が多いか否かが、所定の閾値(第1の所定回数)と比較することにより判定される(ステップS402)。
ログオン失敗が多くはなくステップS402の判定がNOならば、正常アカウントによるアクセスが行われていると判断されて図4のフローチャートに対応する動作を終了する(ステップS402→S404)。
【0035】
ログオン失敗が多くステップS402の判定がYESならば、ステップS403の処理が実行される。この処理は、図2の同時期ログオン/ログアウト判定部204の機能を実現する。ここでは、図2のログ蓄積部207に蓄積されているログデータにおいて、同時期(同時間帯)に同一のユーザIDで所定回数(第3の所定回数)以上のログオン/ログアウトが発生しているか否かが判定される。
【0036】
ステップS403の判定がNOならば、正常アカウントによるアクセスが行われていると判断されて図4のフローチャートに対応する動作を終了する(ステップS403→S404)。
【0037】
ステップS403の判定がYESならば、ステップS405の処理が実行される。この処理は、図2の同一IDアクセスのコマンド比較部205の機能を実現する。ここでは、図2のログ蓄積部207に蓄積されているログデータにおいて、同一のユーザIDによるアクセスにおいてアクセスコマンド等が所定頻度以上異なるか否かが判定される。より具体的には、同一のユーザIDで操作されているアクセスコマンドの種類の数、又はファイル(コマンド)やフォルダの数が所定の閾値と比較される。
【0038】
ステップS405の判定がNOならば、正常アカウントによるアクセスが行われている判断されて図4のフローチャートに対応する動作を終了する(ステップS405→S404)。
【0039】
ステップS405の判定がYESならば、不正アクセスか共有アカウントによる不正使用の何れかが発生していると判断される(ステップS406)。この場合には更に、ステップS407の処理が実行される。この処理は、図2のアクセス判別部206の機能を実現する。ここでは、パスワード変更直後にログオン失敗ログが多数(第2の所定回数以上)検知されたか否かが判断される。
【0040】
そして、パスワード変更直後にログオン失敗ログが多数検知されたと判断されてステップS407の判定がYESの場合には、共有アカウントによる不正使用が発生していると判断され、その判別結果が図2の管理者用インタフェース208に出力される。そして、管理者用インタフェース208によって、コンピュータの表示装置又は管理者用端末の表示装置に、共有アカウントによる不正使用が通知される(以上、ステップS408)。これを受けて、図1の管理者105は、共有アカウント禁止の再周知と罰則規定の整備、該当幹部への警告等の措置を講ずることになる(ステップS409)。
【0041】
一方、パスワード変更直後にログオン失敗ログが多数検知されてはいないと判断されてステップS407の判定がNOの場合には、ステップ402で同時期にログオン失敗が多数発生しているから、正常アクセスではない。したがってパスワード変更直後にログオン失敗が多数発生していなければ不正アクセスが発生していると判断され、その旨が図2の管理者用インタフェース208に出力される。そして、管理者用インタフェース208によって、サーバ等のコンピュータの表示装置又は管理者用端末の表示装置に、不正アクセスの発生が通知される(以上、ステップS410)。これを受けて、図1の管理者105は、パスワードポリシーの強化、システムの脆弱性に対する対策、その他対策の強化等の措置を講ずることになる(ステップS411)。
【0042】
図5は、図4のステップS407のコンピュータによる更に詳細な動作を示すフローチャートである。この処理は、図2のアクセス判別部206の機能を実現する。ここでは、前述したように、パスワード変更直後にログオン失敗ログが多数検知されたか否かが判断される。
【0043】
まず、現在着目しているアカウントについて、最後にパスワード変更を実施した時刻をa、パスワード変更前最後のログオン失敗ログ検知時刻をbとして、その両者の時間間隔「X=a−b」が算出される(ステップS501)。このXは、図3(c)のX(所定判定期間)に対応する。
【0044】
次に、上記アカウントについて、パスワード変更時刻a以後、所定判定期間X内でのログオン失敗ログ件数が、図2のログオン失敗ログ抽出部203にて抽出されたログデータ上で計数され、その計数結果がΑとされる(ステップS502)。
【0045】
そして、計数結果Aが、2(第2の所定回数)以上であるか否かが判定される(ステップS503)。
計数結果Aが2以上であって、ステップS503の判定がYESならば、共有アカウントによる不正使用が発生していると判別される。
【0046】
一方、計数結果Aが2以上ではなく、ステップS503の判定がNOならば、不正アクセスが発生していると判別される。
上述のように、パスワード変更時直前のログオン失敗の所定判定期間Xが算出されることにより、分析対象とするログ抽出期間の単位がログ量のスケールに合わせて自動的に決定され、それに基づいて、不正アクセスと共有アカウントによる不正使用が適切に判別される。
【0047】
図6は、図2のログ蓄積部207に蓄積されるログデータのデータ構成例を示す図である。
このようなデータ構成例に対して、コンピュータにより図5のフローチャートの動作が実行される場合には、以下のような処理が実行される。
【0048】
まず、図5のステップS501において、現在着目しているアカウントについて最後にパスワード変更を実施した時刻aは、次のように算出される。まず、図6のログデータ例601において各ログは時間昇順で1行ずつ記録されているものとする。即ち、時間経過に従ってファイルの先頭から末尾に向かって各ログが1行ずつ記録されてゆき、末尾の行に最新のログが記録されている。このようなログデータ例601に対して、その末尾から先頭に向かって1行ずつ読み込まれながら、現在着目しているアカウントのユーザID文字列「suzuki」に対するパスワード変更を示す文字列「Change Password:suzuki」を含む行が検出される。このため、末尾から見て最初に見つかる上記検出行は、ユーザID「suzuki」について最後にパスワード変更が実施されたログとなる。この行が検出されたら、その行の先頭部分の時刻文字列「2009/11/15 14:54:06」が検出される。この時刻(2009年11月15日14時54分6秒)が、時刻aとして例えば時刻変数データaに記憶される。
【0049】
次に、図5のステップS501において、パスワード変更前最後のログオン失敗ログ検知時刻bは、次のようにして算出される。即ち、上記時刻aが検出された行から更に1行ずつ各行が先頭方向すなわち時間が遡る方向に向かって読み込まれながら、現在着目しているアカウントのユーザID文字列「suzuki」に対するログオン失敗を示す文字列「Logon Error suzuki」を含む行が検出される。この行が検出されたら、その行の先頭部分の時刻文字列「2009/11/15 13:23:03」が検出される。この時刻(2009年11月15日13時23分3秒)が、時刻bとして例えば時刻変数データbに記憶される。
【0050】
次に、図5のステップS501において、時刻変数データaの時刻値「2009/11/15 14:54:06」から上記時刻変数データbの時刻値「2009/11/15 13:23:03」が減算され、その結果X=「01:31:03」(1時間31分3秒)が期間変数データXに記憶される。
【0051】
次に、図5のステップS502において、上記アカウントについて、パスワード変更時刻a以後、所定判定期間X内でのログオン失敗ログ件数Aを計数する処理は、次のようにして算出される。
【0052】
まず、時刻変数データaの時刻値「2009/11/15 14:54:06」に、期間変数データXの値「01:31:03」を加算することにより、時刻aから所定判定期間Xだけ経過した時刻値「2009/11/15 16:25:09」(2009年11月15日16時25分9秒)が算出される。次に、時刻aが検出された行から末尾方向すなわち時間が新しくなる方向に各行が読み込まれながら、現在着目しているアカウントのユーザID文字列「suzuki」に対するログオン失敗を示す文字列「Logon Error suzuki」を含む行が検出される。この行が検出されたら、その行の先頭部分の時刻文字列が検出される。そして、その時刻文字列が示す時刻が、上述の時刻aから所定判定期間Xだけ経過した時刻値「2009/11/15 16:25:09」よりも早いか否かが判定される。早ければ、ログオン失敗ログ件数の計数値が+1される。過ぎていれば、計数を終了し、その計数値を、上記所定判定期間X内でのログオン失敗ログ件数Aとして出力する。
【0053】
以上のようにして算出された計数結果Aについて、前述の図5のステップS503で、その計数値が2(第2の所定回数)以上であるか否かが判定される。そして、計数結果Aが2以上であるなら共有アカウントによる不正使用が発生していると判別される。
【0054】
図6に示される不正アクセス時のログデータ例601では、パスワード変更とその直前のログオン失敗の時間差が例えば約1時間30分間であったようなときに、パスワード変更後の同じ1時間30分の間のログオン失敗が例えば1回のみ発生する。このように、パスワード変更前後で、ログオン失敗の頻度が大きくは変わっていないため、「不正アクセス」が発生していると判別される。
【0055】
一方、図6に示される共有アカウントによる不正使用時のログデータ例602では、パスワード変更とその直前のログオン失敗の時間差が例えば約3時間であったようなときに、パスワード変更後の同じ3時間でログオン失敗が例えば5回発生する。このように、パスワード変更前に比べ、変更直後のログオン失敗の頻度が高くなっているため、「共有アカウントによる不正使用」が発生していると判別される。
【0056】
図7は、不正アクセス及び共有アカウントによる不正使用が判別通知されたそれぞれの場合における管理画面の表示の出力例を示す図である。
図7(a)に示されるように、不正アクセスの判別通知時には、パスワードポリシーの強化、システムの脆弱性に対する対策、その他対策の強化等を促す表示がなされる。
【0057】
図7(b)に示されるように、共有アカウントによる不正使用の判別通知時には、共有アカウント禁止の再周知と罰則規定の整備、該当幹部への警告等を促す表示がなされる。
以上説明したように、本実施形態では、同じログオン失敗でも、不正アクセスと共有アカウントによる不正使用とでは特徴が異なり、特にパスワード変更後のログの検出傾向が異なることに着目し、不正アクセスと共有アカウントによる不正使用を自動的に判別して検知することができる。
【0058】
また、本実施形態によれば、人手に頼らず既存システムのログデータを利用して不正アクセスと共有アカウントによる不正使用を判別できるため、既存システムへの適用が容易である。
【0059】
更に、本実施形態によれば、不正アクセスと共有アカウントによる不正使用とでは、対策の方式が異なるが、本発明により、ログオン失敗ログから原因を判別することができ、効果的な対策の選択につなげるとともに不正アクセスと共有アカウントの不正使用そのものの検出精度をあげることが可能となる。共有アカウントを自動的に判別することで、システムのアクセスコントロールを実施する上で必要となる利用者認証を強化し、システムのセキュリティを高めることが可能となる。
【0060】
加えて、本実施形態では、ログ失敗ログ発生の所定判定期間Xが、パスワード変更の直前のログ失敗の発生状況に基づいて調整されるため、処理のロジックが効率化され、大規模なシステムでも小規模なシステムでも対応できるようになる。
【0061】
以上説明した実施形態は、不正アクセスと共有アカウントによる不正使用を判別する機能を有するシステムとして実現されている。これに対して、以下のような他の実施形態が実施されてもよい。
【0062】
即ち、他の実施形態では、図8のフローチャートで示される動作が実行される。図8のフローチャートでは、前述した図4のステップS401からS406、S410、S411の各処理は省略され、ステップS407、S408に相当する機能のみが実装される。
【0063】
図8のステップS407では、図4のステップS407と同様に、ログデータにおいて、パスワード変更直後にログオン失敗ログが多数(第2の所定回数以上)検知されたか否かが判断される。そして、図8のステップS407の詳細な動作は図5における、ステップS501、S502、S503により実行される。
【0064】
そして、パスワード変更直後にログオン失敗ログが多数検知されたと判断されて図8のステップS407の判定がYESの場合には、共有アカウントによる不正使用が発生していると判断され、その判別結果が図2の管理者用インタフェース208に出力される。そして、管理者用インタフェース208によって、コンピュータの表示装置又は管理者用端末の表示装置に、共有アカウントによる不正使用が通知される(以上、図8のステップS408)。これを受けて、図1の管理者105は、共有アカウント禁止の再周知と罰則規定の整備、該当幹部への警告等の措置を講ずることになる(図8のステップS409)。
【0065】
一方、パスワード変更直後にログオン失敗ログが多数検知されてはいないと判断されて図8のステップS407の判定がNOの場合には、共有アカウントによる不正使用が発生していないと判断され、管理者等への通知は行われない(図8のステップS801)。
このような第8図に示した実施形態により、共有アカウントによる不正使用が発生しているか否かのみを検知するシステムの実現が可能となる。
【0066】
図9は、上記各実施形態のシステムを実現できるコンピュータのハードウェア構成の一例を示す図である。
図9に示されるコンピュータは、CPU901、メモリ902、入力装置903、出力装置904、外部記憶装置905、可搬記録媒体909が挿入される可搬記録媒体駆動装置906、及び通信ネットワーク907を有し、これらがバス908によって相互に接続された構成を有する。同図に示される構成は上記システムを実現できるコンピュータの一例であり、そのようなコンピュータはこの構成に限定されるものではない。
【0067】
CPU901は、当該コンピュータ全体の制御を行う。メモリ902は、プログラムの実行、データ更新等の際に、外部記憶装置905(或いは可搬記録媒体909)に記憶されているプログラム又はデータを一時的に格納するRAM等のメモリである。CUP901は、プログラムをメモリ902に読み出して実行することにより、全体の制御を行う。
【0068】
外部記憶装置905は、例えばハードディスク記憶装置である。例えば、図2のログ蓄積部207は、外部記憶装置905上に構築される。
図2の実施形態によるシステム構成において利用者インターフェース201、ログ記録部202、ログオン失敗ログ抽出部203、同時期ログオン/ログアウト判定部204、同一IDアクセスのコマンド比較部205、アクセス判定部206、管理者インタフェース208は、CPU901がメモリ902に記憶されたプログラムを実行することにより実現される。また、ログ記録部202は、外部記憶装置905内に構築されている所定のログディレクトリに記憶されるログファイルである。各実施形態の機能を実現する図4、図5の各フローチャートに対応する各プログラムを、CPU901が実行することで実現される。そのプログラムは、例えば外部記憶装置905や可搬記録媒体909に記録して配布してもよく、或いは通信インターフェース907によりネットワークから取得できるようにしてもよい。
【0069】
以上の各実施形態に関して、更に以下の付記を開示する。
(付記1)
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
機能をコンピュータに実行させるためのアカウントの不正使用判別プログラム。
(付記2)
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする付記1に記載のプログラム。
(付記3)
前記ログデータにおいて、最新のログデータから時刻が遡るログデータを順次検索しながら、前記アカウントのユーザIDの文字列とパスワード変更を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする付記2に記載のプログラム。
(付記4)
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出し、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出し、
前記アクセスコマンド又はアクセスデータが所定頻度以上異なることを検出する、
ことを特徴とする付記1に記載のプログラム。
(付記5)
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出するログオン失敗ログ抽出部と、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、そうでない場合に不正アクセスと判別するアクセス判別部と、
を含むことを特徴とするアカウント不正使用判別装置。
(付記6)
前記アクセス判別部は、
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする付記5に記載のアクセス判別装置。
(付記7)
前記アクセス判別部は、
前記ログデータにおいて、時刻が最新のログデータから時刻が遡るログデータを順次検索しながら、現在着目しているアカウントのユーザIDの文字列とパスワード変更を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする付記6に記載のアクセス判別装置。
(付記8)
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前に、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出する同時期ログオン/ログアウト判定部と、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出する検出部と、
を更に含む、
ことを特徴とする付記5に記載のアクセス判別装置。
(付記9)
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
ことを特徴とするアクセス判別方法。
(付記10)
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする付記9に記載のアクセス判別方法。
(付記11)
前記ログデータにおいて、時刻が最新のログデータから時刻が遡るログデータを順次検索しながら、現在着目しているアカウントのユーザIDの文字列とパスワード変更を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列を含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする付記10に記載のアクセス判別方法。
(付記12)
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前に、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出し、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出する、
ことを特徴とする付記9に記載のアクセス判別方法。
(付記13)
利用者からの通信のアクセスの状況を記録したログデータから、アカウントを抽出し、前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が所定回数以上記録されているかを判定し、前記判定がなされたときに、複数の利用者が1つのアカウントを共有していたことを示す通知を出力する、
機能をコンピュータに実行させるためのプログラム。
(付記14)
前記ログデータから、前記利用者アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前の最後のログオン失敗ログの検知時刻との期間を算出し、
前記パスワード変更時刻以後前記期間に基づいて決定される期間内で、前記利用者アカウントについて、前記ログデータからログオン失敗ログの数を検出し、
前記ログオン失敗ログの数が所定の閾値以上である場合に、前記複数の利用者が1つの前記利用者アカウントを共有して使用したことを示す通知を出力する、
ことを特徴とするログ分析による共有アカウントの抽出・通知プログラム。
【符号の説明】
【0070】
101 共有アカウントを不正使用する利用者群
102 不正アクセス者
103 インターネット
104 企業内ネットワーク
105 管理者
106 ログオン失敗ログデータベース(ログオン失敗ログDB)
107 ログ分析による共有アカウントの抽出及び通知手段
201 利用者インタフェース
202 ログ記録部
203 ログオン失敗ログ抽出部
204 同時期ログオン/ログアウト判定部
205 同一IDアクセスのコマンド比較部
206 アクセス判別部
207 管理者用インタフェース
601 不正アクセス時のログデータ例
602 共有アカウントによる不正使用頻発時のログデータ例
【特許請求の範囲】
【請求項1】
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
機能をコンピュータに実行させるためのアカウントの不正使用判別プログラム。
【請求項2】
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする請求項1に記載のプログラム。
【請求項3】
前記ログデータにおいて、最新のログデータから時刻が遡るログデータを順次検索しながら、前記アカウントのユーザIDの文字列とパスワード変更を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする請求項2に記載のプログラム。
【請求項4】
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前に、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出し、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出する、
ことを特徴とする請求項1に記載のプログラム。
【請求項5】
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出するログオン失敗ログ抽出部と、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上
計数される場合に共有アカウントと判別し、そうでない場合に不正アクセスと判別するアクセス判別部と、
を含むことを特徴とするアカウント不正使用判別装置。
【請求項6】
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上記録されているアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
ことを特徴とするアクセス判別方法。
【請求項1】
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
機能をコンピュータに実行させるためのアカウントの不正使用判別プログラム。
【請求項2】
前記ログデータから、前記アカウントについて、最後にパスワード変更が実施されたパスワード変更時刻と、前記パスワード変更時刻前に最後にログオンが失敗したログオン失敗時刻との期間を算出し、該算出した期間に基づいて前記所定判定期間を決定する、
ことを特徴とする請求項1に記載のプログラム。
【請求項3】
前記ログデータにおいて、最新のログデータから時刻が遡るログデータを順次検索しながら、前記アカウントのユーザIDの文字列とパスワード変更を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記パスワード変更時刻として抽出し、
前記パスワード変更時刻が検出されたログデータから更に時刻が遡る時刻文字列が記録されているログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含む最初のログデータを抽出して該ログデータに記録されている時刻文字列に対応する時刻を前記ログオン失敗時刻として抽出し、
前記パスワード変更時刻と前記ログオン失敗時刻との時間差を前記所定判定期間とし、
前記パスワード変更時刻が検出されたログデータから時刻が新しくなるログデータを順次検索しながら、前記アカウントのユーザIDの文字列とログオン失敗を示す文字列とを含むログデータを抽出し、該ログデータに含まれる時刻と前記パスワード変更時刻との差が前記所定判定期間以内である場合に前記ログオンの失敗数の計数値を1ずつ増加させる動作を繰り返す、
ことを特徴とする請求項2に記載のプログラム。
【請求項4】
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数する前に、前記ログデータにおいて、前記ログオンの失敗が第1の所定回数以上記録されている場合に、同時期に同一のアカウントで第3の所定回数以上のログオン又はログアウトが発生しているか否かを検出し、
前記第3の所定回数以上のログオン又はログアウトの発生が検出されたときに、前記ログデータにおいて、前記同一のアカウントによるアクセスにおいてアクセスコマンド又はアクセスデータが所定頻度以上異なるか否かを検出する、
ことを特徴とする請求項1に記載のプログラム。
【請求項5】
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上計数されるアカウントを抽出するログオン失敗ログ抽出部と、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上
計数される場合に共有アカウントと判別し、そうでない場合に不正アクセスと判別するアクセス判別部と、
を含むことを特徴とするアカウント不正使用判別装置。
【請求項6】
通信のアクセスの状況を記録したログデータから、ログオンの失敗が第1の所定回数以上記録されているアカウントを抽出し、
前記アカウントについて、パスワード変更後の所定判定期間にログオンの失敗数が第2の所定回数以上計数される場合に共有アカウントと判別し、
そうでない場合に不正アクセスと判別する、
ことを特徴とするアクセス判別方法。
【図2】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図1】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図1】
【図3】
【公開番号】特開2011−150612(P2011−150612A)
【公開日】平成23年8月4日(2011.8.4)
【国際特許分類】
【出願番号】特願2010−12680(P2010−12680)
【出願日】平成22年1月25日(2010.1.25)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年8月4日(2011.8.4)
【国際特許分類】
【出願日】平成22年1月25日(2010.1.25)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]