アドレス抽出装置
【課題】ユーザが意図しない通信によりアクセスされたアクセス先のアドレスを抽出するアドレス抽出装置を実現する。
【解決手段】情報漏洩検知システム100は、プロキシサーバ装置600のプロキシログ201に示されるアクセス先のアドレスの内、あらかじめ正当と定義されたアドレスが示されるURLホワイトリスト202と、ユーザの指示に基づき端末装置500がプロキシサーバ装置600に通知したアクセス先のアドレスが示されるユーザ指示情報とのいずれにも示されていないアドレスを抽出する。
【解決手段】情報漏洩検知システム100は、プロキシサーバ装置600のプロキシログ201に示されるアクセス先のアドレスの内、あらかじめ正当と定義されたアドレスが示されるURLホワイトリスト202と、ユーザの指示に基づき端末装置500がプロキシサーバ装置600に通知したアクセス先のアドレスが示されるユーザ指示情報とのいずれにも示されていないアドレスを抽出する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、インターネット通信を行う端末装置が利用するプロキシサーバ装置がアクセスしたアドレスの内、所定のアドレスを抽出するアドレス抽出装置に関する。
【背景技術】
【0002】
近年、特定の組織を狙う標的型攻撃が増加している。標的型攻撃とは、特定の組織(例えば企業)の特定の部署に限定した不正アクセスである。例えば、特定の企業A社の経理課の社員(ユーザ)に対して、企業A社の関係者を装った偽装メールにマルウェアを添付して送り込む例が挙げられる。メールの文面で言葉巧みに添付ファイル(ドキュメントなどを装っていることが多い)を例えば経理課の社員(ユーザ)に開かせることで、マルウェアは実行される。経理課の社員(ユーザ)により実行されたことにより企業への侵入に成功したマルウェアは、インターネット上のウェブサーバと通信し、情報漏洩等の不正アクセスを行う。
【0003】
特定の組織(例えば企業)に送り込まれるマルウェアは、多くのアンチウイルスソフトウェアで採用されるパターンファイルを回避するように製造されることが多く、アンチウイルスソフトウェアの検知をすり抜けてしまう。
すなわち、アンチウイルスソフトウェアでの検知にはマルウェアに対応したパターンファイルが必要である。しかし、標的型攻撃を行うマルウェアは、従来のマルウェアと異なり攻撃対象が限定されているため、一般に知られにくく、すぐに存在を認識できない。従って、アンチウイルスソフトウェアベンダのパターンファイル作成が遅れることがある。そして、多くのアンチウイルスソフトウェアでは標的型攻撃で用いられるマルウェアの検知が遅れる可能性がある。
【0004】
技術的に標的型攻撃を防御することは困難であり、関係者を装う怪しいメールが送られてきた場合はマルウェアを懸念し添付ファイルを開かせないように、従業員(ユーザ)に教育して対応するという考え方もある(例えば、非特許文献1)。しかしながら、一定の効果はあるものの、一部の従業員(ユーザ)は怪しいメールの添付ファイルを開いてしまい、マルウェアが実行されてしまうという課題がある。そして、例えば、従業員(ユーザ)は、実行されたマルウェアが情報漏洩等の不正アクセスを行っているか否かを認識することが出来ないという課題がある。
【0005】
また、スパイウェア(マルウェア)の検知にHTTP(HyperText Transfer Protocol)ヘッダの特徴を調べ、ブラウザによる通信か、それ以外のプログラムによる通信かを判断する方法が示されている(例えば、非特許文献2)。しかしながら、スパイウェア(マルウェア)の誤検知の課題がある。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】ユーザへの予防接種というアプローチによる標的型攻撃対策−2、山口他、情報処理学会第71回全国大会 6E−4
【非特許文献2】HTTP利用型スパイウェアの検知および遮断方式の検討、大谷他、情報処理学会 研究報告2005−CSEC−31
【発明の概要】
【発明が解決しようとする課題】
【0007】
前記のように例えばユーザは、ユーザが意図しない通信(例えばマルウェアによる不正アクセス)が行われていても、その通信(不正アクセス)を検知することが出来ないという課題がある。
【0008】
この発明は前記のような課題を解決することを主な目的とするもので、例えば、ユーザが意図しない通信によりアクセスされたアクセス先のアドレスを抽出するアドレス抽出装置を実現することを主な目的とする。
【課題を解決するための手段】
【0009】
この発明に係るアドレス抽出装置は、
端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報とを入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報に示されていないアドレスを抽出するアドレス抽出部と
を備えたことを特徴とする。
【発明の効果】
【0010】
この発明に係るアドレス抽出装置は、例えば、プロキシサーバ装置のプロキシログに記録されたアクセス先のアドレスから、正当なアクセスによるアクセス先のアドレス以外のアドレスを抽出する。この為、この発明に係るアドレス抽出装置は、正当なアクセス以外、すなわちユーザが意図しない不正な通信によりアクセスされたアクセス先のアドレスを抽出することが可能である。
【図面の簡単な説明】
【0011】
【図1】実施の形態1を示す図で、情報漏洩検知システムの周辺構成の例を示す図。
【図2】実施の形態1を示す図で、情報漏洩検知システムの構成の例を示す図。
【図3】実施の形態1を示す図で、端末操作ログ203の例を示す図。
【図4】実施の形態1を示す図で、端末操作ログ取り込み部103の処理の例を示すフローチャート。
【図5】実施の形態1を示す図で、WebアクセスURL情報303の例を示す図。
【図6】実施の形態1を示す図で、ローカルプロキシログ204の例を示す図。
【図7】実施の形態1を示す図で、コンテンツ実体350の例を示す図。
【図8】実施の形態1を示す図で、ローカルプロキシログ取り込み部104の処理の例を示すフローチャート。
【図9】実施の形態1を示す図で、ローカルプロキシログエントリ304の例を示す図。
【図10】実施の形態1を示す図で、トップページURL特定部106の第1の処理の例を示すフローチャート。
【図11】実施の形態1を示す図で、トップページURL特定部106の第1の処理によって抽出されたURLリストの例を示す図。
【図12】実施の形態1を示す図で、トップページURL特定部106の第2の処理の例を示すフローチャート。
【図13】実施の形態1を示す図で、トップページURL情報306の例を示す図。
【図14】実施の形態1を示す図で、ブラウザアクセスURL特定部107の処理の例を示すフローチャート。
【図15】実施の形態1を示す図で、トップページ内URL606の例を示す図。
【図16】実施の形態1を示す図で、ブラウザアクセスURL情報307の例を示す図。
【図17】実施の形態1を示す図で、プロキシログ201の例を示す図。
【図18】実施の形態1を示す図で、プロキシログ取り込み部101の処理の例を示すフローチャート。
【図19】実施の形態1を示す図で、プロキシログエントリ301の例を示す図。
【図20】実施の形態1を示す図で、URLホワイトリスト取り込み部102の処理の例を示すフローチャート。
【図21】実施の形態1を示す図で、URLホワイトリスト202の例を示す図。
【図22】実施の形態1を示す図で、ホワイトURL302の例を示す図。
【図23】実施の形態1を示す図で、グレーURL特定部105の処理の第1の例を示すフローチャート。
【図24】実施の形態1を示す図で、グレーURL特定部105の第1の例の処理によるグレーURL情報305の例を示す図。
【図25】実施の形態1を示す図で、グレーURL特定部105の処理の第2の例を示すフローチャート。
【図26】実施の形態1を示す図で、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例を示す図。
【図27】実施の形態1を示す図で、ブラックURL特定部108の処理の第1の例と第2の例とを示すフローチャート。
【図28】実施の形態1を示す図で、ブラックURL208の例を示す図。
【図29】実施の形態1を示す図で、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を示す図。
【図30】実施の形態1を示す図で、ブラウザアクセスURL情報307保存処理の第1の例を示すフローチャート。
【図31】実施の形態1を示す図で、ブラウザアクセスURL情報307保存処理の第2の例を示すフローチャート。
【図32】実施の形態1を示す図で、従来の情報漏洩検知システム100の課題の例を示す図。
【図33】実施の形態2を示す図で、トップページURL特定部106の処理の例を示すフローチャート。
【図34】実施の形態3を示す図で、期間特定部200の処理の例を示すフローチャート。
【図35】実施の形態4を示す図で、端末操作ログ取り込み部103の処理の例を示すフローチャート。
【図36】実施の形態5を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図37】実施の形態6を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図38】実施の形態6を示す図で、ブラックURL候補のウェブページへのアクセス数の例を示す図。
【図39】実施の形態7を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図40】実施の形態7を示す図で、ブラックURL候補のウェブページへのアクセス数の例を示す図。
【図41】実施の形態8を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図42】実施の形態9を示す図で、WebアクセスURL情報303の例を示す図。
【図43】実施の形態9を示す図で、コンテンツ実体350の例を示す図。
【図44】実施の形態9を示す図で、トップページURL特定部106の処理の例を示す図。
【図45】実施の形態1〜9を示す図で、本実施の形態に示した情報漏洩検知システム100のハードウェア資源の例を示す図。
【発明を実施するための形態】
【0012】
実施の形態1.
(情報漏洩検知システムの周辺構成)
図1は、情報漏洩検知システムの周辺構成の例を示す図である。
情報漏洩検知システム100は、例えばマルウェアによってアクセスされたURL(Uniform Resource Locator)を抽出する。ここで、URLは例えばプロキシサーバ装置600(後述で説明)がアクセスを行うアクセス先のアドレスである。すなわち、情報漏洩検知システム100は、アドレス抽出装置である。そして、情報漏洩検知システム100はプロキシサーバ装置600がアクセスを行ったアドレスの内、所定のアドレスを抽出する。情報漏洩検知システム100が抽出する所定のアドレスについては後述で説明する。
【0013】
情報漏洩検知システム100が抽出するアドレスは、URLに限られるものではなく、例えば、IP(Internet Protocol)アドレスでも良いし、電子メールアドレスでも良い。
ここで、例えばマルウェアによってアクセスされたアドレス(URL)を以降「不正なアドレス」と称する。
【0014】
そして、情報漏洩検知システム100の周辺には、端末装置500とプロキシサーバ装置600とが配置される。情報漏洩検知システム100と端末装置500とプロキシサーバ装置600とは、例えば、LAN(Local Area Network)などで接続されている。
ここで、図示は省略するが、端末装置500は例えば、企業などの組織で使われる個人用のパーソナルコンピュータなどであり、複数の端末装置500も例えばLANなどで接続されている。
【0015】
そして、情報漏洩検知システム100は、プロキシサーバ装置600からプロキシログ201を入力する。また、情報漏洩検知システム100は、端末装置500から端末操作ログ203とローカルプロキシログ204とを入力する。更に、情報漏洩検知システム100は、例えば企業などの組織に設置されたサーバ装置の記憶装置などに記憶されているURLホワイトリスト202を入力する。
【0016】
本実施の形態の情報漏洩検知システム100は、これらのログ(プロキシログ201など)を用いて、マルウェアによるWeb通信を検知する。ここでWeb通信とは、端末装置500などの例えばコンピュータがインターネット上のWeb(ウェブ)サイト(WebサイトをWeb(ウェブ)ページとも称する)と行う通信のことである。HTTPを用いた通信の場合は、Web通信をHTTP通信とも称する。
【0017】
(プロキシサーバ装置600の説明)
例えば、企業などの組織では、端末装置500がネットワーク150(例えばインターネットなど)を介して、Webサイトにアクセスする際に、端末装置500から直接Webサイトにアクセスするのではなく、プロキシが端末装置500の代理でWebサイトにアクセスする。
本実施の形態では、例えば組織に1台設置されているプロキシをプロキシサーバ装置600と称する。
【0018】
端末装置500は、Webサイトのアドレスと共に、プロキシサーバ装置600にWebサイトへ送りたいHTTPリクエストを送信し、プロキシサーバ装置600はWebサイトへこのHTTPリクエストを転送する。
すなわち、プロキシサーバ装置600は、端末装置500からアクセス先として通知されたアドレスにアクセスを行う。
【0019】
WebサイトからのHTTPレスポンスはプロキシサーバ装置600に送られ、プロキシサーバ装置600はこのレスポンスを端末装置500へ転送することで、端末装置500はWebサイトにアクセスする。従って、プロキシサーバ装置600は、アクセスを行った端末装置500と、アクセス先のWebサイトと、アクセスの際のリクエスト及びレスポンスの内容とを記録することができる。
【0020】
(プロキシログ201の説明)
前述のように、例えば企業など組織内の端末装置500はWebサイトにアクセスする際に、プロキシサーバ装置600にHTTP接続する。プロキシサーバ装置600は端末装置500の代りにインターネットに接続しWeb通信(HTTP通信)を行う。Web通信(HTTP通信)の結果はプロキシサーバ装置600から端末装置500へ転送される。
【0021】
そして、端末装置500がWebサイトにアクセスする際に接続するプロキシサーバ装置600のログが、プロキシログ201である。すなわち、プロキシログ201はプロキシサーバ装置600が端末装置500とWebサイトとの通信状況(例えばWebサイトのアドレス)を記録したログである。
例えば、マルウェアがWebアクセスする場合は必ずプロキシサーバ装置600に接続するため、プロキシログ201に通信記録が残る。また、マルウェア以外のWebアクセス(ブラウザ、アプリケーションからの通信)もプロキシログ201に通信記録が残る。
【0022】
(URLホワイトリスト202の説明)
URLホワイトリスト202は、ホワイトURLのリストである。ホワイトURLは予め組織でアクセスが許可されているURLである。例えば、OS(Operating System)、オフィスアプリケーションのアップデートサイトやニュースサイトなどがある。
すなわち、ホワイトURLは、あらかじめ正当と定義されたアドレスである。そして、URLホワイトリスト202は、あらかじめ正当と定義されたアドレスが示される正当アドレス情報に対応する。
【0023】
(端末操作ログ203の説明)
端末装置500は、端末操作記録アプリケーションを備える。端末操作記録アプリケーションが、ユーザの端末装置500の操作を記録したものが端末操作ログ203である。端末操作ログ203は、例えば端末装置500の記憶装置に記憶される。
【0024】
ここで、端末操作記録アプリケーションは各ユーザが端末装置500上でどのような操作を行っているか監視し内部統制するためのソフトウェアである。端末操作記録アプリケーションはファイル操作(ファイルの生成、削除、コピー、リネーム、移動など)、外部記憶媒体への書き出し、操作されたアプリケーション(ウィンドウタイトル)、Webアクセス状況などを記録する。端末操作記録アプリケーションは例えば市販されているソフトウェアを用いても良い。
【0025】
ユーザがブラウザを用いて行った指示に基づき、端末装置500がWebアクセスした場合、その操作の記録(例えばWebサイトのアドレス)は端末操作ログ203に記録される。
【0026】
ここで、端末装置500は、ユーザの指示(例えばユーザがブラウザを用いて行う指示)に基づいて、プロキシサーバ装置600にアクセス先のアドレスを通知する。そして、ユーザの指示に基づき、端末装置500が通知したアドレスが示される情報をユーザ指示情報と称する。
すなわち、端末操作ログ203は、ユーザ指示情報に対応する。
【0027】
(ローカルプロキシ550、ローカルプロキシログ204の説明)
ローカルプロキシ550は、各端末装置500にインストールされるプロキシである。端末装置500上のブラウザやWebアクセスするアプリケーションは、ローカルプロキシ550を通じて、プロキシサーバ装置600にアクセスする。
【0028】
詳細には、端末装置500内のブラウザなどのアプリケーションは、ローカルプロキシ550に、Webサイトへ送りたいHTTPリクエストを送信し、ローカルプロキシ550はプロキシサーバ装置600へ、このHTTPリクエストを転送する。更に、プロキシサーバ装置600はWebサイトへ、このHTTPリクエストを転送する。そして、WebサイトからのHTTPレスポンスはプロキシサーバ装置600に送られ、プロキシサーバ装置600はこのレスポンスをローカルプロキシ550へ転送する。ローカルプロキシ550はアプリケーションへ、このレスポンスを転送する。この様にローカルプロキシ550とプロキシサーバ装置600を経由してアプリケーションはWebサイトと通信を行う。
【0029】
そして、ローカルプロキシ550で取得されるWebアクセスが記録されたものがローカルプロキシログ204である。ローカルプロキシログ204には、ユーザがブラウザを用いて行った指示に基づき、端末装置500がWebアクセスした際のWebアクセスした日時、アクセス先のURL(アドレス)、メソッド、Webコンテンツなどが記録される。すなわち、ローカルプロキシログ204はユーザ指示情報に対応する。そして、ローカルプロキシログ204は例えば端末装置500の記憶装置に記憶される。
ローカルプロキシログ204に記録されるWebコンテンツには、ブラウザでアクセスしたWebページ(Webコンテンツ)に関連付けられるコンテンツの情報(URLの情報)が含まれる。
このWebページに関連付けられるコンテンツの情報(URLの情報)とは、Webページにアクセスしたブラウザ(または、ローカルプロキシ550やプロキシサーバ装置600)が自動で取得したり、リンクしたりする他のコンテンツの情報である。このWebページに関連付けられるコンテンツの情報には、関連付けられたコンテンツのURLの情報も含まれる。そして、関連付けられたコンテンツのURLの情報は、関連アドレス情報に対応し、ローカルプロキシログ204は関連アドレス情報にも対応する。
このWebページ(Webコンテンツ)に関連付けられ、Webページ(Webコンテンツ)にアクセスしたブラウザ(または、ローカルプロキシ550やプロキシサーバ装置600)が自動で取得したり、リンクしたりする他のコンテンツの情報を以降「Webコンテンツが自動で取得するコンテンツ」と称する。
【0030】
(情報漏洩検知システム100の構成)
図2は、情報漏洩検知システム100の構成の例を示す図である。情報漏洩検知システム100を構成する各要素について説明する。
【0031】
(プロキシログ取り込み部101)
プロキシログ取り込み部101は、プロキシログ201、端末識別子205、期間206を入力とし、ログの内容であるプロキシログエントリ301を抽出する。
【0032】
ここで、図1において図示は省略しているが、端末装置500は前述の通り複数設置されており、端末識別子205は、個々の端末装置500を識別する為の識別子である。
例えばユーザが情報漏洩検知システム100を用いて調査を行いたい対象の端末装置500の識別子を、例えばキーボードの様な入力装置を用いて入力する。この入力装置は、情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
【0033】
また、期間206は、例えばユーザが情報漏洩検知システム100を用いて不正なアドレスを調査したい期間の情報である。期間206は、期間特定部200によって入力される。期間特定部200は、例えばキーボードの様な入力装置であっても良いし、予め期間206の情報が記憶されている記憶装置であっても良い。そして、期間特定部200は情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
【0034】
また、プロキシログ201は前述の通り、Webサイトのアドレスが記録されている。すなわち、プロキシログ取り込み部101はアドレス入力部に対応する。
【0035】
(URLホワイトリスト取り込み部102)
URLホワイトリスト取り込み部102は、URLホワイトリスト202を入力し、URLホワイトリスト202の内容であるホワイトURL302を抽出する。
【0036】
ここで、URLホワイトリスト202は前述の通り、あらかじめ正当と定義されたアドレスが示される。すなわち、URLホワイトリスト取り込み部102はアドレス入力部に対応する。
【0037】
URLホワイトリスト202は、例えばキーボードの様な入力装置からユーザが入力しても良いし、予め記憶装置に記憶されていても良い。そして、これらの入力装置や記憶装置は情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
【0038】
(端末操作ログ取り込み部103)
端末操作ログ取り込み部103は、端末操作ログ203を入力し、ブラウザによりアクセスされたWebサイトのURL情報であるWebアクセスURL情報303を抽出する。
【0039】
ここで、端末操作ログ203は前述の通り、Webサイトのアドレスが記録されている。すなわち、端末操作ログ取り込み部103はアドレス入力部に対応する。
また、端末操作ログ取り込み部103は、非操作期間(後述で説明)又は非アドレス対応期間(後述で説明)を算出する。すなわち、端末操作ログ取り込み部103は、期間算出部に対応する。
【0040】
(ローカルプロキシログ取り込み部104)
ローカルプロキシログ取り込み部104は、ローカルプロキシログ204、端末識別子205、期間206を入力し、ローカルプロキシログ204の内容であるローカルプロキシログエントリ304を抽出する。すなわち、ローカルプロキシログエントリ304も図2における図示は省略するが、ユーザ指示情報と関連アドレス情報とに対応する。
【0041】
ここで、ローカルプロキシログ204は前述の通り、Webサイトのアドレスが記録されている。すなわち、ローカルプロキシログ取り込み部104はアドレス入力部に対応する。
【0042】
(グレーURL特定部105)
グレーURL特定部105は、プロキシログエントリ301、ホワイトURL302、ブラウザアクセスURL情報307(後述で説明)を入力し、マルウェアがアクセスしている可能性があるURL情報であるグレーURL情報305を抽出する。すなわち、グレーURL特定部105は、アドレス抽出部に対応する。
【0043】
(トップページURL特定部106)
トップページURL特定部106は、WebアクセスURL情報303、ローカルプロキシログエントリ304を入力し、ローカルプロキシログエントリ304から、WebアクセスURL情報303とURLが一致するログエントリを抽出し、トップページURL情報306として出力する。トップページURL情報306は、ユーザ指示情報に対応する。
【0044】
ここで、トップページURL情報306は、ローカルプロキシログエントリ304から抽出されたローカルプロキシ550の情報、すなわちローカルプロキシ情報である。そして、トップページURL特定部106は、ローカルプロキシ情報抽出部に対応する。
【0045】
(ブラウザアクセスURL特定部107)
ブラウザアクセスURL特定部107は、トップページURL情報306、ローカルプロキシログエントリ304を入力し、ローカルプロキシログエントリ304のWebコンテンツに含まれる、Webコンテンツが自動で取得するコンテンツや、他のWebページへのリンク情報(URL)を、トップページ内URLとして抽出する。このトップページ内URLは、Webコンテンツに関連する関連アドレス情報である。
【0046】
さらに、ブラウザアクセスURL特定部107は、トップページ内URLとトップページURL情報306とを合わせてブラウザがアクセスするURLの情報であるブラウザアクセスURL情報307として出力する。すなわち、ブラウザアクセスURL情報307にはトップページ内URLの情報が含まれており、ブラウザアクセスURL情報307は、ユーザ指示情報と関連アドレス情報とに対応する。
【0047】
(ブラックURL特定部108)
ブラックURL特定部108は、グレーURL情報305、ブラウザアクセスURL情報307、ブラック判定条件207を入力し、マルウェアのアクセスしたサイトと思われるブラックURL208を抽出する。すなわち、ブラックURL特定部108はアドレス抽出部に対応する。
【0048】
そして、ブラック判定条件207はグレーURL情報に含まれるURL情報がマルウェアによりアクセスされたか判定するための条件を表す情報である。ブラックURL特定部108はブラック判定条件207に合致するアドレスを特定する条件合致アドレス特定部である。
また、ブラックURL特定部108は、外部サービス209(後述で説明)から情報を入力する情報入力部に対応する。
【0049】
更に、図2では図示を省略しているが、ブラックURL特定部108は、プロキシログ201を入力することも可能である。そして、ブラックURL特定部108は入力したプロキシログ201のデータを用いて所定の時間毎のアクセス数などを算出する(後述で説明)通信量算出部に対応する。
【0050】
(ログ蓄積部109)
ログ蓄積部109は、プロキシログ201、端末操作ログ203、ローカルプロキシログ204を取り込み、蓄積する。ログ蓄積部109は、例えば、磁気ディスク装置などの記憶装置である。
【0051】
プロキシログ取り込み部101は、ログ蓄積部109が蓄積したプロキシログ201を入力する。また、端末操作ログ取り込み部103は、ログ蓄積部109が蓄積した端末操作ログ203を入力する。また、ローカルプロキシログ取り込み部104は、ログ蓄積部109が蓄積したローカルプロキシログ204を入力する。
【0052】
(情報漏洩検知システム100の動作説明)
情報漏洩検知システム100の動作について説明する。
【0053】
(端末操作ログ取り込み部103の処理)
図3は、端末操作ログ203の例を示す図である。
図4は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
図5は、WebアクセスURL情報303の例を示す図である。
【0054】
端末操作ログ取り込み部103は、端末操作ログ203と期間206と端末識別子205とを入力する。
期間206は、ある特定の期間にマルウェアからWebアクセスがあったか否かを確認するために、例えばユーザが期間特定部200を用いて指定する期間である。例えば、「2011/06/23 09:00:00〜2011/06/23 18:00:00」の期間にマルウェアからのWebアクセスの有無を調べる場合、期間特定部200は、期間206として「2011/06/23 09:00:00〜2011/06/23 18:00:00」を指定する。
【0055】
端末操作ログ203は、各端末装置500にインストールされる端末操作記録アプリケーションが記録するログである。端末操作ログ203は、図3に示すフォーマットのように、例えば「操作日時、端末識別子、ユーザ識別子、操作タイプ、操作内容」が時系列順に記録される。
【0056】
ここで、操作日時は、ユーザが端末装置500の操作を行った日時である。端末識別子は、例えば端末装置500のIPアドレスである。ユーザ識別子は、例えば従業員の従業員番号などのID(識別子、アイディー)である。操作タイプは、例えば、「ファイル生成」、「Webアクセス」などの操作の種別である。操作内容は、操作タイプに依存する記録である。
【0057】
端末操作記録アプリケーションの機能により、ユーザが、ブラウザのアドレスバーに入力したURLやWebサイトのコンテンツのリンクをクリックしてアクセスしたURLが端末操作ログ203に記録されている。
【0058】
例えば、図3に示すD2031は、「2011/06/23 9:00:00に、IPアドレス192.168.1.2で識別される端末装置500が、UserID1234で識別される従業員の操作により、C:¥work¥sample.txtというファイルを生成した」ことを意味する。
【0059】
また、例えば、図3に示すD2033は、「2011/06/23 12:00:00に、IPアドレス192.168.1.2で識別される端末装置500が、UserID1234で識別される従業員の操作により、http://○○○.123−sample.△△△/に対してGETメソッドを送信(Webアクセス)した」ことを意味する。
ここで、実施の形態の説明において示されるURL(例えば、前述の「http://○○○.123−sample.△△△/」)は、あくまで例として挙げられたものであり、実在のURLとは無関係である。
【0060】
ここで、図3のD2033に示される操作タイプ「Webアクセス」のように、端末装置500がWebアクセスする場合を説明する。ユーザが端末装置500を用いてWebアクセスする場合、ユーザは端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作を行う。ユーザは、このアドレス指示操作により、端末装置500に対してWebアクセスを指示する。すなわち、このアドレス指示操作は、ユーザが端末装置500に対してアクセス先のアドレスを指示すると共に、ユーザが端末装置500に対して指示したアドレスに端末装置500がWebアクセスを行うよう指示している。そして、このアドレス指示操作が端末操作ログ203(例えば、図3)においては、「Webアクセス」のように表記されている。
このアドレス指示操作によるアドレスが端末操作ログ203には示されている(例えば、図3のD2033では「http://○○○.123−sample.△△△/」)。そして、端末装置500は、プロキシサーバ装置600にアクセス先として、このアドレスを通知する。そして、端末装置500は、前述の通りプロキシサーバ装置600を利用してWebアクセスを行う。
【0061】
すなわち、端末操作ログ203は、ユーザが端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて端末装置500がプロキシサーバ装置600にアクセス先として通知したアドレスがアドレス指示操作と対応付けられて示されている。
【0062】
図4を用いて、端末操作ログ取り込み部103の動作を説明する。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
【0063】
まず、端末操作ログ取り込み部103は、端末操作ログ203の全てのエントリを入力したか否かを判定する(図4のS401)。ここで、端末操作ログ203などの情報を構成する行を以降「エントリ」と称する。例えば図4のD2031の行が1つのエントリとなる。
【0064】
端末操作ログ取り込み部103は、全てのエントリを入力していなければ(図4のS401の「NO」)、入力していない端末操作ログ203のエントリを例えば操作日時の時系列順に入力する(図4のS402)。
次に、端末操作ログ取り込み部103は、入力したエントリの操作日時が期間206の範囲内か否かを判定する(図4のS403)。
操作日時が期間206の範囲内であれば(図4のS403の「YES」)、端末操作ログ取り込み部103は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図4のS404)。
端末識別子が、端末識別子205と一致すれば(図4のS404の「YES」)、端末操作ログ取り込み部103は、入力したエントリの操作タイプがWebアクセスか否かを判定する(図4のS405)。
操作タイプがWebアクセスであれば(図4のS405の「YES」)、端末操作ログ取り込み部103は、読み込んだエントリをWebアクセスURL情報303として出力する(図4のS406)。
【0065】
そして、図4のS401の処理に戻り、端末操作ログ取り込み部103は、端末操作ログ203の全てのエントリを入力するまで(図4のS401の「YES」)、図4のS401からS406の処理を繰り返す。
【0066】
例えば、図5に示すWebアクセスURL情報303a〜303dのそれぞれ1行ずつが1つのWebアクセスURL情報である。そして、例えば、WebアクセスURL情報303a〜303dでWebアクセスURL情報303のセットを構成している。
【0067】
すなわち、端末操作ログ取り込み部103は、図3に示す端末操作ログ203のエントリの内、期間206に操作日時が該当し、端末識別子が端末識別子205に該当し、操作タイプがWebアクセスであるエントリを抽出し、図5に示すWebアクセスURL情報303のセットを生成する。
【0068】
(ローカルプロキシログ取り込み部104の処理)
図6は、ローカルプロキシログ204の例を示す図である。
図7は、コンテンツ実体350の例を示す図である。
図8は、ローカルプロキシログ取り込み部104の処理の例を示すフローチャートである。
図9は、ローカルプロキシログエントリ304の例を示す図である。
【0069】
ローカルプロキシログ取り込み部104は、ローカルプロキシログ204と期間206と端末識別子205とからローカルプロキシログエントリ304を抽出する。
【0070】
ローカルプロキシログ204は、ローカルプロキシ550を利用して、端末装置500のブラウザなどのアプリケーションがWebアクセスして得たコンテンツの内容やWebアクセスして送出したコンテンツの内容が記録される。
ローカルプロキシログ204は、図6に示すファーマットのように、例えば「アクセス日時、端末識別子、アクセスしたWebサイトのURL、メソッド(GET/POSTなど)、ステータスコード、通信サイズ、コンテンツ実体350」が時系列順に記録される。
【0071】
ここで、ローカルプロキシ550を有する端末装置500が、ローカルプロキシ550を利用してWebアクセスする場合は、まずユーザが例えば端末装置500の入力装置などを用いて、アクセス先のアドレスを指示する。そして、端末装置500はローカルプロキシ550を利用してアクセス先のアドレスをプロキシサーバ装置600に通知する。そして、端末装置500は、前述の通りプロキシサーバ装置600を利用し、更にローカルプロキシ550も利用してWebアクセスを行う。
【0072】
すなわち、ローカルプロキシログ204は、ローカルプロキシ550を有する端末装置500がユーザの指示に基づいてローカルプロキシ550を利用してプロキシサーバ装置600にアクセス先として通知したアドレスが示されている。
【0073】
例えば、図6に示すD3041の行が、端末装置500がローカルプロキシ550を介してWebサイトへアクセスした1件のエントリである。
そして、図6において、コンテンツ実体350の部分「(コンテンツ実体)」の図示を省略しているが、実際には例えば図7に示すような内容が記録されている。
図7に示す例では、「http GET」の結果として得られたコンテンツが示されているが、POSTの場合は送付されたコンテンツが記録される。
【0074】
図8を用いて、ローカルプロキシログ取り込み部104の動作を説明する。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
【0075】
まず、ローカルプロキシログ取り込み部104は、ローカルプロキシログ204の全てのエントリを入力したか否かを判定する(図8のS501)。
ローカルプロキシログ取り込み部104は、全てのエントリを入力していなければ(図8のS501の「NO」)、入力していないローカルプロキシログ204のエントリを例えばアクセス日時の時系列順に入力する(図8のS502)。
次に、ローカルプロキシログ取り込み部104は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図8のS503)。
アクセス日時が期間206の範囲内であれば(図8のS503の「YES」)、ローカルプロキシログ取り込み部104は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図8のS504)。
端末識別子が、端末識別子205と一致すれば(図8のS504の「YES」)、ローカルプロキシログ取り込み部104は、読み込んだエントリをローカルプロキシログエントリ304として出力する(図8のS505)。
【0076】
そして、図8のS501の処理に戻り、ローカルプロキシログ取り込み部104は、ローカルプロキシログ204の全てのエントリを入力するまで(図8のS501の「YES」)、図8のS501からS505の処理を繰り返す。
【0077】
例えば、図9に示すローカルプロキシログエントリ304a〜304dのそれぞれ1行ずつが1つのローカルプロキシログエントリである。そして、例えば、ローカルプロキシログエントリ304a〜304dでローカルプロキシログエントリ304のセットを構成している。
【0078】
すなわち、ローカルプロキシログ取り込み部104は、図6に示すローカルプロキシログ204のエントリの内、期間206にアクセス日時が該当し、端末識別子が端末識別子205に該当するエントリを抽出し、図9に示すローカルプロキシログエントリ304のセットを生成する。
ここで、図6に示すD3045のアクセス日時が、期間206に該当しない為、図9に示すローカルプロキシログエントリ304のセットには含まれていない。
【0079】
(トップページURL特定部106の処理)
図10は、トップページURL特定部106の第1の処理の例を示すフローチャートである。
図11は、トップページURL特定部106の第1の処理によって抽出されたURLリストの例を示す図である。
図12は、トップページURL特定部106の第2の処理の例を示すフローチャートである。
図13は、トップページURL情報306の例を示す図である。
【0080】
トップページURL特定部106は、WebアクセスURL情報303とローカルプロキシログエントリ304とを入力する。そして、トップページURL特定部106は、第1の処理として、WebアクセスURL情報303に含まれるURLを抽出する。そして、トップページURL特定部106は、第2の処理として、ローカルプロキシログエントリ304から第1の処理で抽出したWebアクセスURL情報303に含まれるURLと一致するエントリを抽出する。
【0081】
図10を用いて、トップページURL特定部106の動作(第1の処理)を説明する。最初にトップページURL特定部106は第1の処理として、WebアクセスURL情報303からURL(WebアクセスURL)を抽出し、リストを生成する。
【0082】
まず、トップページURL特定部106は、WebアクセスURL情報303を全て入力したか否かを判定する(図10のS601)。
トップページURL特定部106は、全てのWebアクセスURL情報303を入力していなければ(図10のS601の「NO」)、入力していないWebアクセスURL情報303を例えばアクセス日時の時系列順に入力する(図10のS602)。
次に、トップページURL特定部106は、入力したWebアクセスURL情報303のURL(WebアクセスURL)を抽出する(図10のS603)。
次に、トップページURL特定部106は、入力したWebアクセスURL情報303の操作日時を抽出する(図10のS604)。
そして、トップページURL特定部106は、抽出したURL(WebアクセスURL)と操作日時とを1つのエントリとしたリストを生成する。リストの例を図11に示す。
そして、図10のS601の処理に戻り、トップページURL特定部106は、全てのWebアクセスURL情報303を入力するまで(図10のS601の「YES」)、図10のS601からS605の処理を繰り返す。
【0083】
具体例で説明する。
例えば、WebアクセスURL情報303のセットが図5に示される例の場合、トップページURL特定部106は、最初に図5のWebアクセスURL情報303a「2011/06/23 10:00:00、192.168.1.2,UserID1234、Webアクセス、http://○○○.abc−sample.△△△/,GET」を入力する(図10のS602)。そして、トップページURL特定部106は、WebアクセスURL情報303aから、URL「http://○○○.abc−sample.△△△/」を抽出し(図10のS603)、操作日時「2011/06/23 10:00:00」を抽出する(図10のS604)。そして、トップページURL特定部106は「http://○○○.abc−sample.△△△/、2011/06/23 10:00:00」を1つのエントリ(図11のD1061)としたリストを生成する。
【0084】
図12を用いて、トップページURL特定部106の動作(第2の処理)を説明する。
トップページURL特定部106は第2の処理として、第1の処理で生成した例えば図11に示すリストに含まれるエントリのURLと操作日時とに一致するローカルプロキシログエントリ304を抽出する。
ここで図12の図示は省略しているが、トップページURL特定部106は、第1の処理で生成した例えば図11に示すリストに含まれる全てのエントリに対して、図12の処理を行う。
ここでは、トップページURL特定部106が第1の処理で抽出したエントリとして、図11のD1061に示されるエントリ「http://○○○.abc−sample.△△△/、2011/06/23 10:00:00」を例に説明する。
【0085】
まず、トップページURL特定部106は、ローカルプロキシログエントリ304を全て入力したか否かを判定する(図12のS101)。
トップページURL特定部106は、全てのローカルプロキシログエントリ304を入力していなければ(図12のS101の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図12のS102)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
【0086】
そして、トップページURL特定部106は、第1の処理で抽出したエントリにおけるWebアクセスURLである「http://○○○.abc−sample.△△△/」と一致するURLがローカルプロキシログエントリ304aに含まれるか否かを判定する。また、トップページURL特定部106は、第1の処理で抽出したエントリにおける操作日時である「2011/06/23 10:00:00」とローカルプロキシログエントリ304aのアクセス日時とが一致するか否かを判定する(図12のS103)。
そして、第1の処理で抽出したエントリにおけるURLとローカルプロキシログエントリ304aに含まれるURLとが一致し、第1の処理で抽出したエントリにおける操作日時とローカルプロキシログエントリ304aのアクセス日時とが一致するので(図12のS103の「YES」)、処理はS104に進められる。
【0087】
そして、図12において、図示は省略するが、トップページURL特定部106は図12のS103において「YES」と判定されたローカルプロキシログエントリ304aから、トップページURL情報306を生成する。
この場合、トップページURL情報306aは、図13に示す例のようになる。すなわち、URLとローカルプロキシログ204におけるアクセス日時と端末識別子とメソッドとステータスと通信サイズとが含まれた情報をトップページURL情報306と称する。そして、トップページURL情報306に示されるURLをトップページURLと称する。
【0088】
そして、トップページURL情報306が生成される毎に、図12のS104の処理が行われるが、このS104の処理は、ブラウザアクセスURL特定部107によって行われるため、後述で説明する。
【0089】
そして、図12のS101の処理に戻り、トップページURL特定部106は、ローカルプロキシログエントリ304の全てのエントリを入力するまで(図12のS101の「YES」)、図12のS101からS103の処理を繰り返す。また、ブラウザアクセスURL特定部107は、トップページURL情報306が生成される毎に、図12のS104の処理を行う。
【0090】
(ブラウザアクセスURL特定部107の処理)
図14は、ブラウザアクセスURL特定部107の処理の例を示すフローチャートである。なお、図14のフローチャートは、図12のS104の処理を詳細に示したものである。
図15は、トップページ内URL606の例を示す図である。
図16は、ブラウザアクセスURL情報307の例を示す図である。
【0091】
前述の例において、トップページURL特定部106が図12のS102において、入力したローカルプロキシログエントリ304aは「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」である。
ここで、コンテンツ実体350は前述の通り、例えば、実際には図7に示されるような情報である。つまりコンテンツ実体350は、端末装置500がWebアクセスした結果得られたhtmlコンテンツの実体である。
【0092】
図14を用いてブラウザアクセスURL特定部107の動作を説明する。
ここで、コンテンツ実体350は、図7に示す例を用いる。
【0093】
前述のように、トップページURL特定部106がトップページURL情報306を生成すると、ブラウザアクセスURL特定部107は、トップページURL特定部106が入力したローカルプロキシログエントリ304とトップページURL特定部106が生成したトップページURL情報306とを入力し、図14に示す処理を行う。
【0094】
まず、ブラウザアクセスURL特定部107は、コンテンツ実体350の内容をコンテンツ実体350の最初の行から1行入力する(図14のS201)。具体的には、ブラウザアクセスURL特定部107は図7のD3501に示される「<html lang=“ja”>」を入力する。
次に、ブラウザアクセスURL特定部107は、入力した内容が<html>タグであるか否かを判定する(図14のS202)。すなわち、この処理により、ブラウザアクセスURL特定部107はhtmlコンテンツの始まりか否かを判定している。この場合、「<html lang=“ja”>」は<html>タグである(図14のS202の「YES」)。
【0095】
更に、ブラウザアクセスURL特定部107は、コンテンツ実体350の内容をコンテンツ実体350の行の順番通りに1行入力する(図14のS203)。
そして、ブラウザアクセスURL特定部107は、入力したコンテンツ実体350の内容にサブコンテンツのURLが含まれるか否かを判定する(図14のS204)。
【0096】
ここで、サブコンテンツとは、例えば<a>タグにおける「href=」に続くURLや、<img src>タグにおけるsrc属性のURLや、動画表示用タグにおけるURLなどである。つまり、コンテンツ実体350には、htmlコンテンツが自動で取得するサブコンテンツ(「img src」で指定される画像、動画表示用タグで指定される動画など)や、リンクされるサブコンテンツ(<a>タグで指定されるURL)などが記載されている。
【0097】
ブラウザアクセスURL特定部107は、図14のS203で読み込んだコンテンツ実体350の内容にサブコンテンツのURLが含まれる場合(図14のS204の「YES」)は、サブコンテンツのURLをトップページ内URLに設定する(図14のS205)。そして、ブラウザアクセスURL特定部107は図14のS203の処理を再度行う。
【0098】
ここで、トップページ内URLとは、端末装置500がトップページURLでアクセスしたWebサイトが自動で取得するコンテンツやリンクされるコンテンツのURLを意味しており、トップページに付随して得られるコンテンツのURLを意味する。
【0099】
ブラウザアクセスURL特定部107は、図14のS203で読み込んだコンテンツ実体350の内容にサブコンテンツのURLが含まれない場合(図14のS204の「NO」)は、読み込んだコンテンツ実体350の内容が</html>タグが否かを判定する(図14のS206)。この処理により、ブラウザアクセスURL特定部107は、htmlコンテンツの終わりか否かを判定している。
【0100】
読み込んだコンテンツ実体350の内容が</html>タグである場合、ブラウザアクセスURL特定部107は処理を終了(図14のS206の「YES」)する。そして、トップページURL特定部106から入力したトップページURL情報306と設定したトップページ内URL606とからブラウザアクセスURL情報307を生成する。
すなわち、トップページURL情報306とトップページURL情報306の各エントリ(各行)に対応づけられたトップページ内URL606とを合わせた情報をブラウザアクセスURL情報307と称する。
その後、トップページURL特定部106が引き続き、図12のS101の処理を行う。
【0101】
一方、読み込んだコンテンツ実体350の内容が</html>タグでない場合、ブラウザアクセスURL特定部107は、図14のS203の処理を再度行う。
【0102】
ブラウザアクセスURL特定部107が、図14に示す処理を実行することにより、図7に示されるコンテンツ実体350の例から設定したトップページ内URL606の例を図15に示す。
【0103】
そして、トップページURL特定部106が図12に示す処理を実行し、図6に示されるローカルプロキシログエントリ304からトップページURL情報306を生成し、更に、ブラウザアクセスURL特定部107がトップページURL情報306毎に対しトップページ内URL606を設定したブラウザアクセスURL情報307の例を図16に示す。
【0104】
例えば、図16に示すブラウザアクセスURL情報307a〜307dのそれぞれ1行ずつが1つのブラウザアクセスURL情報である。そして、例えば、ブラウザアクセスURL情報307a〜307dでブラウザアクセスURL情報307のセットを構成している。
そして、例えば、図16のブラウザアクセスURL情報307aの「(トップページ内URL)」は、図示を省略しているが、実際には図15に示すようなトップページ内URL606の内容が記録されている。
【0105】
(ローカルプロキシログ取り込み部104の処理)
図17は、プロキシログ201の例を示す図である。
図18は、プロキシログ取り込み部101の処理の例を示すフローチャートである。
図19は、プロキシログエントリ301の例を示す図である。
【0106】
プロキシログ取り込み部101は、プロキシログ201と期間206と端末識別子205とを入力する。
【0107】
プロキシログ201は、図17に示すフォーマットのように、例えば「アクセス日時、端末識別子、アクセスしたWebサイトのURL、メソッド(GET/POSTなど)、ステータスコード、通信サイズ」が時系列順に記録される。
【0108】
また、プロキシログ201には、プロキシサーバ装置600に接続された全ての端末装置500からの全てのWebアクセスが記録される。ただし、図17では、端末識別子「192.168.1.2」以外の端末装置500のWebアクセスの図示を省略している。ここで、全てのWebアクセスとは、例えば、ブラウザや、Web通信を行うアプリケーションや、Web通信を行うマルウェアなどによるWebアクセスである。
【0109】
そして、プロキシログ201には、これらのWebアクセス毎にプロキシサーバ装置600がアクセスを行ったアクセス先のアドレスが示されている。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスが示されている。
【0110】
なお、図17に示すプロキシログ201の例えば、「(http://○○○.abc−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」を説明する。プロキシサーバ装置600がhttp://○○○.abc−sample.△△△/にアクセスした結果、プロキシサーバ装置600が取得したコンテンツの中に、画像や動画などを取り込むタグが記録されていた場合に、プロキシサーバ装置600は、httpでそれらの画像や動画を自動的に取得する。そして、それらの画像や動画もプロキシログ201に記録されていることを意味している。
【0111】
図18を用いて、プロキシログ取り込み部101の動作を説明する。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
【0112】
まず、プロキシログ取り込み部101は、プロキシログ201の全てのエントリを入力したか否かを判定する(図18のS701)。
【0113】
プロキシログ取り込み部101は、全てのエントリを入力していなければ(図18のS701の「NO」)、入力していないプロキシログ201のエントリを例えばアクセス日時の時系列順に入力する(図18のS702)。
次に、プロキシログ取り込み部101は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図18のS703)。
アクセス日時が期間206の範囲内であれば(図18のS703の「YES」)、プロキシログ取り込み部101は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図18のS704)。
端末識別子が、端末識別子205と一致すれば(図18のS704の「YES」)、プロキシログ取り込み部101は、読み込んだエントリをプロキシログエントリ301として出力する(図18のS705)。
【0114】
そして、図18のS701の処理に戻り、プロキシログ取り込み部101は、プロキシログ201の全てのエントリを入力するまで(図18のS701の「YES」)、図18のS701からS705の処理を繰り返す。
【0115】
例えば、図19に示すプロキシログエントリ301a〜301fのそれぞれ1行ずつが1つのプロキシログエントリである。そして、例えば、プロキシログエントリ301a〜301fでプロキシログエントリ301のセットを構成している。
【0116】
すなわち、プロキシログ取り込み部101は、図17に示すプロキシログ201のエントリの内、期間206にアクセス日時が該当し、端末識別子が端末識別子205に該当するエントリを抽出し、図19に示すプロキシログエントリ301のセットを生成する。
【0117】
(URLホワイトリスト取り込み部102の処理)
図20は、URLホワイトリスト取り込み部102の処理の例を示すフローチャートである。
図21は、URLホワイトリスト202の例を示す図である。
図22は、ホワイトURL302の例を示す図である。
【0118】
URLホワイトリスト取り込み部102は、URLホワイトリスト202を入力する。
【0119】
URLホワイトリスト202は、例えば企業などの組織でアクセスが許可されたURLのリストであり、図21に示すフォーマットのように、例えば「URL、備考」が記録される。
URLホワイトリスト取り込み部102は、URLホワイトリスト202の各エントリの最初の要素であるURLを抽出し、ホワイトURL302として出力する。
【0120】
図20を用いて、URLホワイトリスト取り込み部102の動作を説明する。
【0121】
まず、URLホワイトリスト取り込み部102は、URLホワイトリスト202の全てのエントリを入力したか否かを判定する(図20のS801)。
【0122】
URLホワイトリスト取り込み部102は、全てのエントリを入力していなければ(図20のS801の「NO」)、入力していないURLホワイトリスト202のエントリを入力する(図20のS802)。
次に、URLホワイトリスト取り込み部102は、入力したエントリのURLを抽出する(図20のS803)。
そして、URLホワイトリスト取り込み部102は、抽出したURLをホワイトURL302として出力する(図20のS804)。
【0123】
そして、図20のS801の処理に戻り、URLホワイトリスト取り込み部102は、URLホワイトリスト202の全てのエントリを入力するまで(図20のS801の「YES」)、図20のS801からS804の処理を繰り返す。
【0124】
例えば、図22に示すホワイトURL302a〜302bのそれぞれ1行ずつが1つのホワイトURLである。そして、例えば、ホワイトURL302a〜302bでホワイトURL302のセットを構成している。
【0125】
(グレーURL特定部105の処理)
グレーURL特定部105の処理を第1の例と第2の例とに分けて説明する。
【0126】
(グレーURL特定部105の処理の第1の例)
図23は、グレーURL特定部105の処理の第1の例を示すフローチャートである。
図24は、グレーURL特定部105の第1の例の処理によるグレーURL情報305の例を示す図である。
【0127】
図23を用いて、グレーURL特定部105の処理の第1の例を説明する。
グレーURL特定部105は、プロキシログエントリ301(プロキシログエントリ301のセット)とホワイトURL302(ホワイトURL302のセット)とを入力する(図23のS2301)。
ここで、プロキシログエントリ301は、図19に示す例とし、ホワイトURL302は図22に示す例とする。
なお、プロキシログエントリ301(プロキシログエントリ301のセット)は、前述の通りプロキシログ201から抽出されたものであり、プロキシログエントリ301(プロキシログエントリ301のセット)に示されるURL(アドレス)は、前述の通りプロキシログ201に示されるURL(アドレス)である。
そして、ホワイトURL302は、URLホワイトリスト202(正当アドレス情報)に示されるアドレスである。
【0128】
そして、グレーURL特定部105は、プロキシログエントリ301のセットの内、ホワイトURL302が含まれるプロキシログエントリ301を削除する(図23のS2302)。
具体的には、図19に示すプロキシログエントリ301aに、図22に示すホワイトURL302aが含まれ、図19に示すプロキシログエントリ301dに、図22に示すホワイトURL302bが含まれる。よって、グレーURL特定部105は、プロキシログエントリ301のセットの内、プロキシログエントリ301aとプロキシログエントリ301dとを削除する。
【0129】
ここで、ホワイトURL302が含まれるプロキシログエントリ301を削除するとは、換言すると、ホワイトURL302以外のURLが含まれるプロキシログエントリ301を抽出することである。つまり、グレーURL特定部105は、実質的にホワイトURL302以外のURLをプロキシログエントリ301のセットから抽出している。
すなわち、グレーURL特定部105は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)に示されていないURL(アドレス)を抽出する。
換言すると、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
【0130】
そして、グレーURL特定部105は、編集したプロキシログエントリ301のセット(すなわち、ホワイトURL302が含まれるプロキシログエントリ301を削除したプロキシログエントリ301のセット)をグレーURL情報305として出力する(図23のS2303)。
グレーURL情報305の例を図24に示す。ここで、図24の例は、プロキシログエントリ301に含まれるURL以外の情報(例えばアクセス日時、端末識別子など)も含まれているが、グレーURL情報305は、WebサイトのURLの情報のみであってもも良い。
【0131】
(グレーURL特定部105の処理の第2の例)
図25は、グレーURL特定部105の処理の第2の例を示すフローチャートである。
図26は、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例を示す図である。
【0132】
次に図25を用いて、グレーURL特定部105の処理の第2の例を説明する。
グレーURL特定部105は、プロキシログエントリ301(プロキシログエントリ301のセット)とホワイトURL302(ホワイトURL302のセット)とに加えて、ブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)を入力する(図25のS2401)。
【0133】
ここで、プロキシログエントリ301は、図19に示す例とし、ホワイトURL302は図22に示す例とし、ブラウザアクセスURL情報307は図16に示す例とする。
更に、ブラウザアクセスURL情報307aに含まれるトップページ内URL606は、図15に示す例とする。図16には、ブラウザアクセスURL情報307a〜307dの4つが示されており、それぞれに対応したトップページ内URL606が存在し得る。しかし、ここでは、ブラウザアクセスURL情報307b〜307dに対応するトップページ内URL606は無いものと想定する。
【0134】
そして、グレーURL特定部105は、ホワイトURL302で示されるWebサイトが自動で取得するコンテンツやリンクされるコンテンツのURLを抽出する。すなわち、グレーURL特定部105は、ホワイトURL302に対応するトップページ内URL606を抽出する(図25のS2402)。
具体的には、グレーURL特定部105は、入力したブラウザアクセスURL情報307のセットから、例えば図22のホワイトURL302a「http://○○○.abc−sample.△△△/」に一致するURLを含むブラウザアクセスURL情報307を選択する。この場合、グレーURL特定部105は、「http://○○○.abc−sample.△△△/」が含まれている、図16に示すブラウザアクセスURL情報307aを選択する。そして、グレーURL特定部105は、ブラウザアクセスURL情報307aのトップページ内URL606を抽出する。
【0135】
そして、グレーURL特定部105は、プロキシログエントリ301のセットの内、入力したホワイトURL302と、入力したホワイトURL302のそれぞれに対応するトップページ内URL606とのいずれかが含まれるプロキシログエントリ301を削除する(図25のS2403)。
そして、グレーURL特定部105は、編集したプロキシログエントリ301のセットをグレーURL情報305として出力する(図25のS2404)。
【0136】
グレーURL情報305の具体例を図26に示す。
グレーURL特定部105の第1の例の処理によるグレーURL情報305の例(図24)には、図24のD2504に示される情報(「http://○○○.sample1.△△△/」のURLが示される情報)が含まれている。
一方、図15のD6061に示されるトップページ内URL606に「http://○○○.sample1.△△△/」が有る。従って、グレーURL特定部105は、第2の例の処理において、プロキシログエントリ301のセット(図19)の内プロキシログエントリ301fを削除して、グレーURL情報305を出力する。よって、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例(図26)には、「http://○○○.sample1.△△△/」のURLが示される情報が含まれていない。
【0137】
(ブラックURL特定部108の処理)
ブラックURL特定部108の処理を第1〜第4の例に分けて説明する。
【0138】
(ブラックURL特定部108の処理の第1の例)
図27は、ブラックURL特定部108の処理の第1の例と第2の例とを示すフローチャートである。
図28は、ブラックURL208の例を示す図である。
【0139】
図27を用いて、ブラックURL特定部108の処理の第1の例を説明する。
ブラックURL特定部108は、グレーURL情報305とブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)とを入力する(図27のS2601)。
ここで、グレーURL情報305は、前述のグレーURL特定部105の第1の例で処理された情報でも、前述のグレーURL特定部105の第2の例で処理された情報でも良い。ここでは、グレーURL情報305は、前述のグレーURL特定部105の第2の例で処理された情報として、図26に示す具体例で説明を行う。すなわち、グレーURL情報305に示されるURLは、プロキシログエントリ301に示されるURLから、ホワイトURL302とトップページ内URL606とに示されるURLが除外されたものである。
また、ブラウザアクセスURL情報307は図16に示す例とする。
【0140】
そして、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307のURLが含まれるエントリを削除する(図27のS2602)。
なお、ブラックURL特定部108の処理の第1の例の場合、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページURL情報306の部分に示されるURLが含まれるエントリを削除する。
例えば、図26のD2601の行に示すグレーURL情報305のエントリは、図16のブラウザアクセスURL情報307bのトップページURL情報306部分に示されるURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図26のD2601の行に示すグレーURL情報305のエントリを削除する。
【0141】
なお、ここで、例えば、図26のD2601の行に示すグレーURL情報305のエントリの「(http://○○○.123−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」に示されるURLと、図16のブラウザアクセスURL情報307bの「(トップページ内URL)」に示されるURLとは、重複する。
したがって、ブラックURL特定部108は、グレーURL情報305のエントリの「(http://○○○.123−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」に示されるURLも、グレーURL情報305のエントリの一部として削除して構わない。
【0142】
そして、ブラックURL特定部108は、編集後のグレーURL情報305をブラックURL情報250とし、ブラックURL情報250からブラックURL208を抽出する(図27のS2603)。ブラックURL情報250の具体例を図28に示す。
ここで、ブラックURL情報250(例えば図28に示す例)に含まれるURLの情報を(例えば「http://○○○.789−sample.△△△/」)を、ブラックURL208と称する。
【0143】
そして、図28に示す「(http://○○○.789−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」にもURLの情報が含まれる場合がある。その場合、ブラックURL特定部108は、このURLをブラックURL208として抽出しても良い。
【0144】
なお、ブラウザアクセスURL情報307のトップページURL情報306部分に示されるURLは、例えば端末操作ログ203などのユーザ指示情報に示されるURLであり、ユーザがブラウザを用いて端末装置500にアクセスを指示したURLである。
【0145】
そして、ブラックURL特定部108の処理の具体例として、図26に示すグレーURL特定部105の第2の例で処理された情報を示した。ここで、グレーURL特定部105の処理の第1の例と第2の例とのいずれも、グレーURL情報305は、プロキシログエントリ301に示されるURLから、ホワイトURL302に示されるURLが除外されたものである。(グレーURL特定部105の処理の第2の例のグレーURL情報305は、トップページ内URL606に示されるURLが追加で除外されている。)
すなわち、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
【0146】
そして、ブラックURL208は、グレーURL情報305に示されるURLの内、トップページURL情報306(ユーザ指示情報)に示されないURLである。すなわち、ブラックURL208は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とのいずれにも示されていないURLである。
換言すると、ブラックURL特定部108は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とのいずれにも示されていないURL(アドレス)を抽出する。
【0147】
つまり、ブラックURL208とは、例えば企業などの組織に許可されたホワイトURL302ではなく、かつ、ユーザの操作によるブラウザからアクセスではないURLである。その為、ブラックURL208は、マルウェアの通信によるアクセス先URLであると考えられる。
【0148】
(ブラックURL特定部108の処理の第2の例)
次に図27を用いて、ブラックURL特定部108の処理の第2の例を説明する。
ブラックURL特定部108は、グレーURL情報305とブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)とを入力する(図27のS2601)。
ここで、グレーURL情報305は、前述のグレーURL特定部105の第1の例で処理された情報であり、図24に示す例とする。すなわち、グレーURL情報305に示されるURLは、プロキシログエントリ301に示されるURLから、ホワイトURL302に示されるURLが除外されたものである。
また、ブラウザアクセスURL情報307は図16に示す例とし、ブラウザアクセスURL情報307aに含まれるトップページ内URL606は、図15に示す例とする。
ここで、グレーURL特定部105の処理における説明と同様に、ブラウザアクセスURL情報307b〜307dに対応するトップページ内URL606は無いものと想定する。
【0149】
そして、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307のURLが含まれるエントリを削除する(図27のS2602)。
ここで、ブラックURL特定部108の処理の第1の例と同様に、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページURL情報306の部分に示されるURLが含まれるエントリを削除する。そして、更に、ブラックURL特定部108は、ブラックURL特定部108の処理の第2の例の場合、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページ内URL606の部分に示されるURLが含まれるエントリも削除する。
【0150】
例えば、図24のD2501の行に示すグレーURL情報305のエントリは、図16のブラウザアクセスURL情報307bのトップページURL情報306部分に示されるURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図24のD2501の行に示すグレーURL情報305のエントリを削除する。
更に、図24のD2504の行に示すグレーURL情報305のエントリは、図15のD6061の行に示されるトップページ内URL606のURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図24のD2504の行に示すグレーURL情報305のエントリを削除する。
【0151】
そして、ブラックURL特定部108は、編集後のグレーURL情報305をブラックURL情報250とし、ブラックURL情報250からブラックURL208を抽出する(図27のS2603)。
結果的に、ブラックURL特定部108の処理の第1の例と、第2の例とによるブラックURL208は、図28に示すように同内容になる。
【0152】
なお、ブラウザアクセスURL情報307のトップページURL情報306部分に示されるURLは、前述の通り、ユーザ指示情報に示されるURLである。そして、ブラウザアクセスURL情報307のトップページ内URL606に示されるURLは、ユーザ指示情報に示されるURLのウェブページにリンクなどで関連付けされているURLが示される関連アドレス情報である。
すなわち、ローカルプロキシログ取り込み部104は、ユーザ指示情報に示されるアドレスのウェブページに関連付けされているアドレスが示される関連アドレス情報を入力している。
そして、前述のように、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
【0153】
そして、ブラックURL208は、グレーURL情報305に示されるURLの内、トップページURL情報306(ユーザ指示情報)とトップページ内URL606とに示されないURLである。すなわち、ブラックURL208は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とトップページ内URL606(関連アドレス情報)とのいずれにも示されていないURLである。
換言すると、ブラックURL特定部108は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とトップページ内URL606(関連アドレス情報)とのいずれにも示されていないURL(アドレス)を抽出する。
【0154】
(ブラックURL特定部108の処理の第3の例)
図29は、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を示す図である。
【0155】
図29を用いて、ブラックURL特定部108の処理の第3の例を説明する。
ブラックURL特定部108の処理の第1の例は、ローカルプロキシログ204を使用したが、ブラックURL特定部108の処理の第2の例では、ローカルプロキシログ204を使用しない場合を説明する。
この場合、ローカルプロキシログ取り込み部104、トップページURL特定部106、ブラウザアクセスURL特定部107は、使用されない。
そして、ブラックURL特定部108は、端末操作ログ取り込み部103が出力するWebアクセスURL情報303をブラウザアクセスURL情報307として入力する。
【0156】
ここで、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を図29に示す。ここで、メソッド、ステータス、通信サイズ、トップページ内URLが「NULL」となっているのは、ローカルプロキシログ204を使用しない為、情報が無いことを示している。
【0157】
その他の処理は、ブラックURL特定部108の処理の第1の例と同じである為、説明を省略する。
なお、ローカルプロキシログ204を使用しないので、トップページ内URL606の情報が無く、グレーURL特定部105における処理は、前述の第1の例に示す処理となる。
【0158】
(ブラックURL特定部108の処理の第4の例)
ブラックURL特定部108の処理の第4の例を説明する。
ブラックURL特定部108の処理の第4の例は、端末操作ログ203とローカルプロキシログ204とを使用しない場合を説明する。
この場合、端末操作ログ取り込み部103、ローカルプロキシログ取り込み部104、トップページURL特定部106、ブラウザアクセスURL特定部107は使用されない。従って、ブラウザアクセスURL情報307も生成されない。
【0159】
そして、ローカルプロキシログ204を使用しないので、トップページ内URL606の情報が無く、グレーURL特定部105における処理は、前述の第1の例に示す処理となる。
ブラックURL特定部108は、グレーURL特定部105が前述の第1の例の処理により出力したグレーURL情報305を入力し、入力したグレーURL情報305をブラックURL情報250とし、ブラックURL208を抽出する。
【0160】
(ブラウザアクセスURL情報307の保存処理)
ブラウザアクセスURL情報307の保存処理を第1の例と第2の例とに分けて説明する。
【0161】
(ブラウザアクセスURL情報307の保存処理の第1の例)
図30は、ブラウザアクセスURL情報307保存処理の第1の例を示すフローチャートである。
【0162】
情報漏洩検知システム100の記憶装置(例えば磁気ディスク装置)は、ブラウザアクセスURL情報307を記憶する。そして、情報漏洩検知システム100の記憶装置は、情報漏洩検知システム100が動作する毎に、既に記憶しているブラウザアクセスURL情報307に新しいブラウザアクセスURL情報307を追加して記憶する。従って、情報漏洩検知システム100を動作させる度に、ブラウザアクセスURL情報307は増える。
図30を用いて、ブラウザアクセスURL情報307の保存処理の第1の例を説明する。
【0163】
まず、ブラウザアクセスURL特定部107は、図12と図14とに示す処理で、ブラウザアクセスURL情報307を生成した際に、記憶装置に記憶されているブラウザアクセスURL情報307(記憶装置に記憶されているブラウザアクセスURL情報307を「保存ブラウザアクセスURL情報」と称する)が有るか否かを判定する(図30のS901)。
保存ブラウザアクセスURL情報が有れば(図30のS901の「YES」)、ブラウザアクセスURL特定部107は、記憶装置から保存ブラウザアクセスURL情報を入力する(図30のS902)。
次に、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307を追加する(図30のS903)。
そして、ブラウザアクセスURL特定部107は、編集(保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307を追加)した情報をブラウザアクセスURL情報307として出力する(図30のS904)。更に、ブラウザアクセスURL特定部107は、編集した情報を保存ブラウザアクセスURL情報として記憶装置に入力し、記憶装置は新たな保存ブラウザアクセスURL情報を記憶する(図30のS906)。
【0164】
1回でもブラウザアクセスURL特定部107によりブラウザアクセスURL情報307が生成された場合は、記憶装置に保存ブラウザアクセスURL情報が存在する。しかし、例えば情報漏洩検知システム100の初回動作時など、記憶装置に保存ブラウザアクセスURL情報が存在しない場合(図30のS901の「NO」)、ブラウザアクセスURL特定部107は生成したブラウザアクセスURL情報307をそのまま出力する(図30のS905)。そして、記憶装置は、ブラウザアクセスURL特定部107により生成されたブラウザアクセスURL情報307を保存ブラウザアクセスURL情報として記憶する(図30のS906)。
【0165】
あるいは、記憶装置に記憶される保存ブラウザアクセスURL情報は、情報漏洩検知システム100が停止(電源オフ)される毎に消去されても良い。
【0166】
(ブラウザアクセスURL情報307の保存処理の第2の例)
図31は、ブラウザアクセスURL情報307保存処理の第2の例を示すフローチャートである。
【0167】
保存ブラウザアクセスURL情報は、一定の期間(例えば1日)が経過した場合に消去され、該当する情報が消去されても良い。図31を用いて、ブラウザアクセスURL情報307の保存処理の第2の例を説明する。
【0168】
まず、ブラウザアクセスURL特定部107は、図12と図14とに示す処理で、ブラウザアクセスURL情報307を生成した際に、保存ブラウザアクセスURL情報が有るか否かを判定する(図31のS1001)。
保存ブラウザアクセスURL情報が無ければ(図31のS1001の「NO」)、ブラウザアクセスURL特定部107は、生成したブラウザアクセスURL情報307を出力する(図31のS1008)。
更に、ブラウザアクセスURL特定部107は、生成したブラウザアクセスURL情報307をエントリ毎に(各行毎に)タイムスタンプと対応付けて、保存ブラウザアクセスURL情報として記憶装置に入力する。そして、記憶装置はタイムスタンプに対応付けられた各エントリ(各行)から成る保存ブラウザアクセスURL情報を記憶する(図31のS1009)。
【0169】
一方、保存ブラウザアクセスURL情報が有れば(図31のS1001の「YES」)、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報を入力する(図31のS1002)。
次に、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307をエントリ毎に(各行毎に)タイムスタンプと対応付けて、追加する(図31のS1003)。この時、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報のエントリ毎に(各行毎に)対応付けられているタイムスタンプは変更しない。
そして、ブラウザアクセスURL特定部107は、編集した情報をブラウザアクセスURL情報307として出力する(図31のS1004)。更に、ブラウザアクセスURL特定部107は、編集した情報を保存ブラウザアクセスURL情報として記憶装置に入力し、記憶装置は新たな保存ブラウザアクセスURL情報を記憶する(図31のS1005)。
【0170】
そして、ブラウザアクセスURL特定部107は、記憶装置に保存ブラウザアクセスURL情報が存在し、予め設定された保存期間を過ぎたタイムスタンプが対応付けられているエントリが保存ブラウザアクセスURL情報に含まれているか否かを判定する(図31のS1006)。この予め設定された保存期間も例えば、情報漏洩検知システム100の記憶装置に記憶されている。
例えば、保存期間が「1日」と設定されている場合、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報のエントリの内、対応付けられているタイムスタンプに24時間を足した日時が現日時を超えているエントリが含まれているか否かを判定する。
該当のエントリが含まれていれば(図31のS1006の「YES」)、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報から該当のエントリと該当のエントリに対応付けられたタイムスタンプとを消去する(図31のS1007)。そして、記憶装置は、ブラウザアクセスURL特定部107が編集した情報を新たな保存ブラウザアクセスURL情報として記憶する。
【0171】
(実施の形態1の効果)
図32は、従来の情報漏洩検知システム100の課題の例を示す図である。
【0172】
例えば、マルウェアが感染した端末装置500は、ネットワーク150(例えばインターネット)上のC&C(Comand&Control)サーバとHTTP通信を行う。そこで、従来、標的型攻撃へ対策する方法として、この点に着目し、HTTP通信を検知する方法が考えられている。そして、例えば企業などの組織におけるインターネットとの通信はHTTPが殆どであり、全てのHTTP(またはHTTPS(HyperText Transfer Protocol over Secure Socket Layer)通信は、プロキシサーバ装置600を経由する。よって、HTTPの通信を記録するプロキシログ201を分析することで特定する方法がある。
しかし、組織においてプロキシログ201は大量である。そして、一方C&Cサーバとの通信はわずかで、その挙動はユーザからは認識されず、目立たないためプロキシログ201からC&Cサーバとの通信を発見することは困難である。すなわち、わずかなマルウェアの通信を大量のプロキシログ201から発見するのは困難という課題がある(図32のC101)。
また、プロキシログを見ただけでは、ユーザが意図してアクセスしたのか、何かのプログラムがユーザの意図とは関係なくアクセスしたのか判断できないという課題がある(図32のC102)。
【0173】
また、従来、URLフィルタによりマルウェアの通信を遮断する製品が複数存在する。一般的にURLフィルタではアクセスを禁止すべきURLのブラックリストを設けるか、アクセスを許可するURLのホワイトリストを作成しアクセスを制御する。しかし、通信を許可すべきではない怪しいWebサイトは次々に現れるため、ブラックリストを完全に作ることは困難である。従って、URLフィルタの設定に完全なものはなく、管理者のスキルに依存して設定される。URLフィルタの設定によってはURLアクセスを禁止すべきマルウェアの通信を特定できない(マルウェアのアクセスURLが漏れる)という課題がある(図32のC103)。
【0174】
一方、本実施の形態における情報漏洩検知システム100は、プロキシログ201、URLホワイトリスト202、端末操作ログ203、ローカルプロキシログ204を用いて、ユーザが意図しないマルウェアによる通信と思われるHTTP通信を特定する。
【0175】
すなわち、本実施の形態における情報漏洩検知システム100は、調査対象の端末装置500における端末操作ログ203とローカルプロキシログ204とからユーザがブラウザでアクセスしたURLが示されるブラウザアクセスURL情報307を特定する。
ここで、本実施の形態の情報漏洩検知システム100は、端末操作ログ203からトップページURL情報306を特定し、ローカルプロキシログ204からトップページ内URL606(トップページURLのコンテンツが自動で取得する、あるいはリンクしているURL)を特定する。そして、本実施の形態の情報漏洩検知システム100は、トップページURL情報306とトップページ内URL606と合わせてブラウザアクセスURL情報307とする。
そして、本実施の形態の情報漏洩検知システム100は、組織に共通のプロキシサーバ装置600におけるプロキシログ201の内、調査対象の端末装置500に関わるURLの記録(端末装置500からのWebアクセスのURL)から、URLホワイトリスト202で許可されたURLを除いたグレーURL情報305を特定する。さらに、本実施の形態の情報漏洩検知システム100は、グレーURL情報305からブラウザアクセスURL情報307のURLを除くことで、ブラックURL208を特定する。
【0176】
つまり、本実施の形態の情報漏洩検知システム100は、例えば企業などの組織に許可されたURLでなく、ユーザがブラウザからアクセスしたURLでもないブラックURL208を抽出することが可能である。このブラックURL208は、端末装置500からのWeb通信においてユーザの意図しないアクセスのアクセス先である。従って、本実施の形態の情報漏洩検知システム100は、例えば情報漏洩等マルウェアが行う不正なWeb通信によりアクセスされたURLを検知することが可能である。
換言すると、情報漏洩検知システム100は、大量のプロキシログ201の情報から、例えば管理者のスキルに依存することなく、ユーザの意図と関係ないアクセスのアクセス先のURLを検知することが可能である。
【0177】
また、本実施の形態のブラックURL特定部108の処理の第3の例に示す方法では、環境によってはローカルプロキシのアプリケーションを端末装置500にインストール出来ない場合(ローカルプロキシを利用しない場合)でも、ブラックURL208を特定することが可能である。
更に、本実施の形態のブラックURL特定部108の処理の第4の例に示す方法では、環境によってはローカルプロキシと端末操作記録アプリケーションをインストールできない場合(ローカルプロキシと端末操作記録アプリケーションとを利用しない場合)でも、ブラックURL208を特定することが可能である。
【0178】
実施の形態2.
(実施の形態2における情報漏洩検知システム100の概要)
実施の形態2の情報漏洩検知システム100は、プロキシログエントリ301に示されるURLの内、ローカルプロキシログ204に記録の無いURLで、かつ、ホワイトURL302でもないURLをブラックURL208として抽出する。
すなわち、実施の形態2の情報漏洩検知システム100は、ローカルプロキシを経由せずにWeb通信されたアクセス先のURLを抽出する。
なお、実施の形態2の情報漏洩検知システム100は、端末操作ログ203を使用しない。従って、端末操作ログ取り込み部103は使用されない。
ブラウザアクセスURL特定部107は、ローカルプロキシログエントリ304のみを入力し、後述の処理によりブラウザアクセスURL情報307を出力する。
【0179】
なお、実施の形態2の情報漏洩検知システム100は、端末操作ログ取り込み部103を使用しない以外は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
【0180】
(トップページURL特定部106の処理)
図33は、トップページURL特定部106の処理の例を示すフローチャートである。
図33を用いて、実施の形態2におけるトップページURL特定部106の処理を説明する。
【0181】
まず、トップページURL特定部106は、実施の形態1と同様に、ローカルプロキシログエントリ304を全て入力したか否かを判定する(図33のS301)。
トップページURL特定部106は、実施の形態1と同様に、全てのローカルプロキシログエントリ304を入力していなければ(図33のS301の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図33のS302)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
【0182】
そして、トップページURL特定部106は、入力したローカルプロキシログエントリ304に含まれるURLを抽出する(図33のS303)。
具体例で示すと、トップページURL特定部106は、図9のローカルプロキシログエントリ304aに含まれるURL「http://○○○.abc−sample.△△△/」を抽出する。そして、トップページURL特定部106は、抽出したURLをトップページURLとし、入力したローカルプロキシログエントリ304aから実施の形態1と同様に、図13に示すトップページURL情報306aを生成する。
【0183】
そして、トップページURL情報306が生成される毎に、ブラウザアクセスURL特定部107は、トップページURL特定部106が入力したローカルプロキシログエントリ304からトップページ内URL606を抽出する(図33のS304)。そして、ブラウザアクセスURL特定部107は、トップページURL情報306とトップページ内URL606とからブラウザアクセスURL情報307を生成する。
図33のS304の処理は、実施の形態1の図12のS104の処理と同じである為、詳細な説明は省略する。
【0184】
なお、実施の形態1では、端末操作ログ203を使用している為、ブラウザの操作によりアクセスされたURLがブラウザアクセスURL情報307となる。一方、実施の形態2では、ローカルプロキシ経由でWebアクセスするブラウザ以外のアプリケーションのWeb通信情報もブラウザアクセスURL情報307に含まれる点が実施の形態1とは異なる。
【0185】
また、実施の形態2では、トップページURL特定部106がトップページURL情報306を生成し、ブラウザアクセスURL特定部107がトップページ内URL606を抽出して、ブラウザアクセスURL情報307を生成すると説明した。
しかし、ブラウザアクセスURL特定部107がローカルプロキシログエントリ304を入力し、前述トップページURL特定部106と同様の処理を行うことも可能である。すなわち、ブラウザアクセスURL特定部107がローカルプロキシログエントリ304を入力し、トップページURL情報306を生成し、トップページ内URL606を抽出してブラウザアクセスURL情報307を生成することも可能である。この場合、トップページURL特定部106は使用されない。
【0186】
(実施の形態2の効果)
実施の形態2の情報漏洩検知システム100は、環境によっては端末操作記録アプリケーションをインストールできない場合(端末操作記録アプリケーションを利用しない場合)でも、ブラックURL208を特定することが可能である。
【0187】
実施の形態3.
(実施の形態3における情報漏洩検知システム100の概要)
実施の形態3では、端末装置500に例えばWebカメラが備えられている(Webカメラの図示は省略する)。そして、期間特定部200(図2)は、Webカメラの映像からユーザが端末装置500に座っているか否かを判定して、座っていないと判定される期間を期間206として入力する。ここで、Webカメラの映像からユーザが端末装置500に座っているか否かを判定する技術は、公知技術を使用する。
なお、ユーザが端末装置500に座っているか否かを判定する技術としては、Webカメラを使用するものに特定されず、例えば、温度の変化を捉えるセンサや、音の変化を捉えるセンサなどを使用するものであっても良い。また、重量センサを備えた椅子を用いることによりユーザが端末装置500(端末装置500の椅子)に座っているか否かを判定することも可能である。
【0188】
すなわち、実施の形態3の情報漏洩検知システム100は、ユーザが端末装置500に座っていない期間(ユーザによる端末装置500やブラウザの操作が無い期間)のグレーURL情報305とブラックURL208(ブラックURL情報250)とを抽出する。この期間は、ユーザが端末装置500に座っていないため、ユーザによるブラウザ操作がされていない期間として考えられる。そして、この期間に発生したWebアクセスは、何かしらのプログラムが自動的にWebサイトへアクセスしたために発生したアクセスであると考えられる。
【0189】
つまり、実施の形態3の情報漏洩検知システム100で抽出されるグレーURL情報305は、実施の形態1で抽出されるグレーURL情報305よりも絞り込まれることになる。
【0190】
なお、実施の形態3の情報漏洩検知システム100は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
【0191】
(期間特定部200の処理)
図34は、期間特定部200の処理の例を示すフローチャートである。
期間特定部200は、図34のフローチャートに基づき、ユーザが端末装置500に座っていない期間を演算する。
【0192】
まず、期間特定部200は、Webカメラの映像からの映像を入力し、ユーザが座っているか否かを判定する(図34のS1601)。すなわち、Webカメラと期間特定部200とは、ユーザの存在を検知する検知装置である。
ここで、期間特定部200は、Webカメラからの映像を処理し、ユーザが座っているか否かの判定を行い、その判定結果を出力する映像処理装置(図示は省略)からユーザが座っているか否かの情報を入力しても良い。そして、期間特定部200は、ユーザが座っているか否かの情報に基づき、ユーザが座っているか否かを判定することも可能である。この場合、Webカメラと映像処理装置と期間特定部200とがユーザの存在を検知する検知装置である。
【0193】
そして、期間特定部200は、ユーザが座っていない判定とした場合(図34のS1601の「NO」)、現在の日時を「Start_time」に設定する(図34のS1602)。
そして、期間特定部200は、予め設定された時間(n分間)待機し(図34のS1603)、再度S1601の処理を行う。
【0194】
一方、期間特定部200は、ユーザが座っている判定とした場合(図34のS1601の「YES」)、「Start_time」が既に設定されているか否かを判定する(図34のS1604)。
そして、期間特定部200は、「Start_time」が既に設定されていると判定した場合(図34のS1604の「YES」)、現在の日時を「End_time」に設定する(図34のS1605)。一方、期間特定部200は、「Start_time」が設定されていないと判定した場合(図34のS1604の「NO」)、S1603の処理を行う。
【0195】
そして、期間特定部200は、設定した「Start_time」と「End_time」との期間を期間206に設定する。
【0196】
そして、プロキシログ201は、例えば図17に示すように各エントリがアクセス日時(アクセス時刻)に対応付けられている。
すなわち、プロキシログ取り込み部101(図2)は、プロキシサーバ装置600が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログ201を入力する。
【0197】
そして、プロキシログ取り込み部101は、プロキシログ201のエントリの内、実施の形態1と同様に、期間206に含まれるアクセス時刻が示されるエントリをプロキシログエントリ301として抽出する。ここで期間206は、前述の通りユーザが端末装置500の前に存在しないと検知された期間である。
さらに、グレーURL特定部105は、プロキシログ取り込み部101が抽出したプロキシログエントリ301を用いてグレーURL情報305を抽出する。
【0198】
すなわち、グレーURL特定部105は、プロキシログ取り込み部101により入力されたプロキシログ201に示されるアドレスの内、ユーザの存在を検知する検知装置(期間特定部200)が、ユーザが端末装置500の前に存在しないと検知した期間206に含まれるアクセス時刻に対応付けられているアドレスを抽出する。
【0199】
なお、ブラックURL特定部108は、実施の形態1と同様に実施の形態3におけるグレーURL特定部105が抽出したグレーURL情報305をブラックURL情報250とし、ブラックURL208を抽出することも可能である。
【0200】
(実施の形態3の効果)
実施の形態3の情報漏洩検知システム100は、端末操作ログ203やローカルプロキシログ204を使用せずに、ユーザが端末装置500に座っていない期間を特定することが可能である。そして、実施の形態3の情報漏洩検知システム100は、調査対象期間をユーザが端末装置500に座っていない期間、すなわち、ユーザによりブラウザ操作がされていない期間とすることで、抽出されるグレーURL情報305を絞り込むことが可能である。
すなわち、実施の形態3の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0201】
なお、実施の形態3における期間特定部200の処理を実施の形態1と実施の形態2との期間特定部200に行わせることも可能である。
【0202】
実施の形態4.
(実施の形態4における情報漏洩検知システム100の概要)
実施の形態4の情報漏洩検知システム100は、端末操作ログ203にユーザ操作の履歴が残っている期間以外の期間を調査対象とする。
【0203】
なお、実施の形態4の情報漏洩検知システム100は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
【0204】
(端末操作ログ取り込み部103の処理)
図35は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
まず、端末操作ログ取り込み部103は、実施の形態1と同様に、期間206と端末操作ログ203とを入力する(図35のS3501)。
ここで、期間206は「2011/06/23 08:00:00〜2011/06/23 18:00:00」とする。期間206は、あらかじめ定義された定義期間である。そして、「2011/06/23 08:00:00」が定義期間の開始時刻であり、「2011/06/23 18:00:00」が定義期間の終了時刻である。
そして、端末操作ログ203は図3に示す例とする。
【0205】
ここで、端末操作ログ203は、図3に示すように操作日時と操作タイプと操作内容とが対応付けられている。つまり、端末操作ログ203は、ユーザが端末装置500に対して指示する指示操作と指示操作毎の操作時刻とが対応付けられて示されている。
【0206】
そして、ユーザがアドレス指示操作を行った場合、すなわち、ユーザが端末装置500に対してアクセス先のアドレスを指示すると共に、ユーザが端末装置500に対して指示したアドレスに端末装置500がWebアクセスを行うよう指示した場合、このアドレス指示操作が端末操作ログ203(例えば、図3)においては、「Webアクセス」のように表記されている。そして、この場合の図3に示される操作日時は、アドレス指示操作の操作日時である。
つまり、端末操作ログ203は、ユーザが端末装置500に対してアドレス指示操作を行った場合(ユーザが端末装置500に対してアクセス先のアドレスを指示した場合)に、ユーザが端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて端末装置500がプロキシサーバ装置600にアクセス先として通知したアドレスがアドレス指示操作とアドレス指示操作の操作時刻とに対応付けられて示される。
【0207】
次に、端末操作ログ取り込み部103は、期間を再設定する(図35のS3502)。
具体的には、端末操作ログ取り込み部103は、操作日時が入力した期間206「2011/06/23 08:00:00〜2011/06/23 18:00:00」内である端末操作ログ203のエントリの内、最初に記録されたエントリと最後に記録されたエントリとの操作日時を抽出する。
【0208】
図3に示す端末操作ログ203の場合、端末操作ログ取り込み部103は、最初に記録されたエントリの操作日時(最初の操作時刻)として、図3のD2031に示される「2011/06/23 09:00:00」を抽出する。そして、端末操作ログ取り込み部103は、最後に記録されたエントリの操作日時(最後の操作時刻)として、図3のD2037に示される「2011/06/23 16:00:00」を抽出する。
そして、端末操作ログ取り込み部103は、「2011/06/23 08:00:00〜2011/06/23 08:59:59」と「2011/06/23 16:00:01〜2011/06/23 18:00:00」とを期間206として再設定する。この再設定された期間206は、非操作期間(後述)に対応する。
【0209】
そして、端末操作ログ取り込み部103は、再設定した期間206を出力する(図35のS3503)。
つまり、端末操作ログ取り込み部103は、期間206を算出する期間算出部に対応する。
【0210】
ここで、端末操作ログ取り込み部103は、端末操作ログ203に示される操作時刻の内、あらかじめ定義された定義期間である期間206の開始時刻後の最初の操作時刻と定義期間(期間206)の終了時刻前の最後の操作時刻とを抽出している。そして、端末操作ログ取り込み部103は、定義期間(期間206)の開始時刻から最初の操作時刻までの期間と最後の操作時刻から定義期間(期間206)の終了時刻までの期間とから成る非操作期間を算出し、期間206として再設定している。
【0211】
また、端末操作ログ取り込み部103は、図35のS3502の処理において、ブラウザの操作記録のあった日時を抽出しても良い。
具体的には、端末操作ログ取り込み部103は、操作日時が入力した期間206「2011/06/23 08:00:00〜2011/06/23 18:00:00」内であり、ブラウザの操作を示す端末操作ログ203のエントリの内、最初に記録されたエントリと最後に記録されたエントリとの操作日時を抽出する。
【0212】
図3に示す端末操作ログ203の場合、ブラウザの操作を示す端末操作ログ203のエントリは、操作タイプが「Webアクセス」となっており、アクセス先のアドレスが操作内容として対応付けられている。
よって、端末操作ログ取り込み部103は、最初に記録されたエントリの操作日時(最初のアドレス対応操作時刻)として、図3のD2032に示される「2011/06/23 10:00:00」を抽出する。そして、端末操作ログ取り込み部103は、最後に記録されたエントリの操作日時(最後のアドレス対応操作時刻)として、図3のD2037に示される「2011/06/23 16:00:00」を抽出する。
そして、端末操作ログ取り込み部103は、「2011/06/23 08:00:00〜2011/06/23 09:59:59」と「2011/06/23 16:00:01〜2011/06/23 18:00:00」とを期間206として再設定する。この再設定された期間206は、非アドレス対応期間(後述)に対応する。
【0213】
ここで、端末操作ログ取り込み部103は、端末操作ログ203に示される操作時刻の内、定義期間(期間206)の開始時刻後の操作時刻であってアドレスが対応付けられている最初の操作時刻である最初のアドレス対応操作時刻と、定義期間(期間206)の終了時刻前の操作時刻であってアドレスが対応付けられている最後の操作時刻である最後のアドレス対応操作時刻とを抽出する。そして、端末操作ログ取り込み部103は、定義期間(期間206)の開始時刻から最初のアドレス対応操作時刻までの期間と最後のアドレス対応操作時刻から定義期間(期間206)の終了時刻までの期間とから成る非アドレス対応期間を算出し、期間206として再設定している。
【0214】
一方、プロキシログ取り込み部101、ローカルプロキシログ取り込み部104は端末操作ログ取り込み部103が再設定した期間206(非操作期間もしくは非アドレス対応期間のいずれか)を入力する。
そして、再設定された期間206に基づき、プロキシログ取り込み部101は、実施の形態1での説明と同様にプロキシログエントリ301を抽出する。
そして、グレーURL特定部105は、再設定された期間206に基づいたプロキシログエントリ301からグレーURL情報305を抽出する。
【0215】
すなわち、グレーURL特定部105は、端末操作ログ取り込み部103により非操作期間が算出された場合に、プロキシログエントリ301のセット(プロキシログ201)に示されるアドレスの内、非操作期間に含まれるアクセス時刻が対応付けられているアドレスを抽出する。そして、グレーURL特定部105は、端末操作ログ取り込み部103により非アドレス対応期間が算出された場合に、プロキシログエントリ301のセット(プロキシログ201)に示されるアクセス時刻に対応付けられているアドレスの内、非アドレス対応期間に含まれるアクセス時刻に対応付けられているアドレスを抽出する。
【0216】
また、端末操作ログ取り込み部103も、再設定された期間206に基づき、WebアクセスURL情報303を抽出し、ローカルプロキシログ取り込み部104も再設定された期間206に基づき、ローカルプロキシログエントリ304を抽出する。
【0217】
(実施の形態4の効果)
実施の形態4の情報漏洩検知システム100は、ユーザが端末操作を行った期間を除外した期間について、マルウェアによるWeb通信のアクセス先アドレスを抽出する。また、実施の形態4の情報漏洩検知システム100は、ユーザがブラウザ操作を行った期間を除外した期間について、マルウェアによるWeb通信のアクセス先アドレスを抽出する。
つまり、実施の形態4の情報漏洩検知システム100は、ユーザが端末装置500やブラウザを操作していない期間に発生した通信のログ、すなわち、マルウェアによるWeb通信の可能性が高いログに絞り込んでマルウェアによるWeb通信のアクセス先アドレスを抽出する。
すなわち、実施の形態4の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0218】
なお、実施の形態4における端末操作ログ取り込み部103の処理を、実施の形態1〜3の端末操作ログ取り込み部103に行わせることも可能である。
【0219】
実施の形態5.
(実施の形態5〜8における情報漏洩検知システム100の共通部分の説明)
実施の形態5の情報漏洩検知システム100の説明の前に、実施の形態5〜8における情報漏洩検知システム100の共通部分の説明を行う。
実施の形態5〜8における情報漏洩検知システム100は、実施の形態1〜4いずれかのブラックURL特定部108が抽出したブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラックURL候補の内、所定の条件に合致するURLを条件合致アドレスとして特定し、条件合致アドレスをブラックURL208として出力する。すなわち、ブラックURL208は条件合致アドレスに対応する。
【0220】
すなわち、ブラックURL特定部108は、ブラックURL候補の内、少なくとも所定の条件に合致する所定のアドレスを条件合致アドレスとして特定する条件合致アドレス特定部に対応する。
【0221】
そして、ブラックURL特定部108は、ブラック判定条件207を入力する。すなわち、ブラックURL特定部108は、ブラック判定条件207を入力する情報入力部に対応する。
【0222】
ここで、ブラック判定条件207とは、ブラックURL候補からブラックURL208を特定する為の所定の条件である。
ブラック判定条件207は、数種類存在し、あらかじめ例えばユーザによって設定され、例えば情報漏洩検知システム100の記憶装置に記憶されている。そして例えばユーザは情報漏洩検知システム100のキーボードなどの入力装置を用いて、記憶されている数種類のブラック判定条件207の中から少なくとも1つのブラック判定条件207を選択して入力する。ここで、ユーザは、記憶されている数種類のブラック判定条件207の中から複数のブラック判定条件207を組み合わせて入力することも可能である。
【0223】
そして、ブラックURL特定部108は、入力したブラック判定条件207に対応してあらかじめ設定された処理を実行する。
また、ブラックURL特定部108が、複数の(例えば2つの)ブラック判定条件207を入力した場合、ブラックURL特定部108は、まず第1のブラック判定条件207に対応してブラックURL候補の中から条件合致アドレス(ブラックURL208)を特定する。そして、更に、ブラックURL特定部108は、第1のブラック判定条件207によって特定された条件合致アドレス(ブラックURL208)の中から、第2のブラック判定条件207に対応して、条件合致アドレス(ブラックURL208)を特定することが可能である。
【0224】
なお、実施の形態5〜8の情報漏洩検知システム100は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
以降、実施の形態5〜8の各実施の形態について説明を行う。
【0225】
(実施の形態5におけるブラックURL特定部108の処理)
図36は、ブラックURL特定部108の処理の例を示すフローチャートである。
ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。更に、ブラックURL特定部108は、ブラック判定条件207を入力する(図36のS1101)。
【0226】
ここで、ブラックURL特定部108は、「端末装置500のアクセス先のウェブページの提供元が属する国が、不正アクセスの多い国のブラックリストに含まれているか否か」というブラック判定条件207を入力する。
更に、ブラックURL特定部108は、「不正アクセスの多い国のブラックリスト」の情報も入力する。
【0227】
不正アクセスの多い国は傾向として決まっているので、例えば、A国、B国、C国を不正アクセスの多い国として「不正アクセスの多い国のブラックリスト」に定義することが可能である。
そして、「不正アクセスの多い国のブラックリスト」は、あらかじめ特定された国が示される特定国情報に対応する。
【0228】
そして、インターネット上には、例えば「http://○○○.789−sample.△△△/」というURLを入力すると、そのURLのウェブページがホストされている国(アドレスのウェブページの提供元が属する国)の情報を出力するインターネットサービスが存在する。このサービスを外部サービス209(図2)と称する。このアドレスのウェブページの提供元が属する国が示される情報を「提供国情報」と称する。
【0229】
そして、ブラックURL特定部108は、インターネットを介し、ブラックURL候補を外部サービス209に入力する。そして、ブラックURL特定部108は、外部サービス209からの提供国情報を入力し、ブラックURL候補のホスト国を特定する(図36のS1102)。
すなわち、ブラックURL特定部108は、抽出したブラックURL候補毎(アドレス毎)の提供国情報を入力する。
【0230】
そして、ブラックURL特定部108は特定したブラックURL候補のホスト国が、「不正アクセスの多い国のブラックリスト」に含まれているか否かを判定する(図36のS1103)。
ここで、例えば、特定したブラックURL候補のホスト国がA国の場合、ブラックリストに含まれているので(図36のS1103の「YES」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力する(図36のS1104)。一方、特定したブラックURL候補のホスト国がX国の場合、ブラックリストに含まれていないので(図36のS1103の「NO」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力しない。
【0231】
すなわち、ブラックURL特定部108は、入力された提供国情報に示される国の中で、「不正アクセスの多い国のブラックリスト」に示されるいずれかの国に合致する国が提供しているウェブページのアドレスをブラックURL208として特定する。
【0232】
(実施の形態5の効果)
マルウェアの通信先のC&Cサーバは不正アクセスの多い特定の国に存在することがある。そして、実施の形態5の情報漏洩検知システム100は、ブラックURL候補から、不正アクセスの多い特定の国をホスト国としたウェブページのURLであるか否かをブラック判定条件207として、ブラックURL208を絞り込む。その為、実施の形態5の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0233】
実施の形態6.
(実施の形態6における情報漏洩検知システム100の概要)
実施の形態6の情報漏洩検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「今までアクセス数が少なかったブラックURL候補において、急にアクセス数が一定期間増加し、その後また減少したか否か」をブラック判定条件207とする。
【0234】
(ブラックURL特定部108の処理)
図37は、ブラックURL特定部108の処理の例を示すフローチャートである。
図38は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
【0235】
なお、図2において図示を省略しているが、ブラックURL特定部108は、プロキシログ201を入力することが可能である。ここで、ブラックURL特定部108は、プロキシログ取り込み部101が入力したプロキシログ201をプロキシログ取り込み部101から入力しても良い。
また、プロキシログ201は、図17に示す通り、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスと通信サイズ(アクセス時のデータ通信量)とが対応付けられて示されている。
【0236】
まず、ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラック判定条件207を入力する。更に変数nを「0」で初期化する(図37のS1201)。
【0237】
ここでブラック判定条件207は、前述の通り「今までアクセス数が少なかったブラックURL候補において、急にアクセス数が一定期間増加し、その後また減少したか否か」である。
【0238】
そして、ブラックURL特定部108は、入力したプロキシログ201から各ブラックURL候補に対する日毎のアクセス数をあらかじめ定められた集計期間において集計する(図37のS1202)。この集計期間はあらかじめ情報漏洩検知システム100の記憶装置に記憶されていても良いし、ユーザが情報漏洩検知システム100の入力装置を用いて入力しても良い。
ここで、ブラックURL特定部108が集計するアクセス数は、日毎に限らず、単位時間毎であれば、3日間毎であっても、1週間毎であっても良い。ここでは、ブラックURL特定部108は、日毎にアクセス数を集計するものとして説明を進める。
すなわち、ブラックURL特定部108は、各アドレスに対する単位時間毎のアクセス数を算出する通信量算出部に対応する。
【0239】
なお、図37において図示は、省略するがS1202〜S1207の処理は、各ブラックURL候補に対して行われる。
【0240】
そして、ブラックURL特定部108は、集計したアクセス数が過去は少なく、その後増加したか否かを判定する(図37のS1203)。
ここで、ブラックURL特定部108は、アクセス数があらかじめ情報漏洩検知システム100の記憶装置に記憶されている閾値(「アクセス数の第1の閾値」と称する)よりも少ない場合に、「アクセス数が少ない」と判定する。そして、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「アクセス数が増加した」と判定する。
【0241】
そして、「アクセス数が増加していない」場合(図37のS1203の「NO」)、ブラックURL特定部108は、判定対象のURLについて処理を終了し、未判定のブラックURL候補について、同様の処理を行う。
【0242】
そして、ブラックURL特定部108が「アクセス数が増加した」と判定した場合(図37のS1203の「YES」)、アクセス数が集計された日を基準日とする。
【0243】
ここで、基準日が現在である場合を想定する。
その場合、ブラックURL特定部108は、変数nをインクリメント(n=n+1と)する(図37のS1204)。
【0244】
そして、ブラックURL特定部108は新たにn日後のプロキシログ201を入力し、n日後のアクセス数を集計する。
そして、ブラックURL特定部108は、n日後のアクセス数が基準日のアクセス数と同等又は増加しているか否かを判定する(図37のS1205)。ここで、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「基準日のアクセス数と同等又は増加している」と判定する。
【0245】
基準日のアクセス数と同等又は増加している場合(図37のS1205の「YES」)、ブラックURL特定部108は、変数nを更にインクリメントする(図37のS1204)。すなわち、ブラックURL特定部108は更に1日後のアクセス数を集計する。
【0246】
一方、アクセス数が「アクセス数の第1の閾値」より少ない場合(図37のS1205の「NO」)、ブラックURL特定部108はアクセス数が基準日以前のアクセス数と同等か否かを判定する(図37の1206)。
ここで、ブラックURL特定部108は、例えば、基準日以前の日毎のアクセス数の平均xと標準偏差σとを記憶しており、例えばアクセス数が「x±3σ」以内であれば、基準日以前のアクセス数を同等と判定する。
【0247】
そして、アクセス数が基準日以前のアクセス数と同等の場合(図37のS1206の「YES」)、図示は省略するが、あらかじめ設定された所定の日数においてアクセス数が「アクセス数の第1の閾値」以上であったか否かを判定する。そして、アクセス数が所定の日数において「アクセス数の第1の閾値」以上であったブラックURL候補をブラックURL208として出力する。
【0248】
そして、アクセス数が基準日以前のアクセス数と同等でない場合(図37のS1206の「NO」)、ブラックURL特定部108は、変数nを更にインクリメントする(図37のS1204)。
【0249】
図38を用いて具体例を説明する。
例えば、ブラックURL特定部108は、あるブラックURL候補に対するアクセス数を現在から、30日分さかのぼって、日毎に集計したとする。
その結果、29日目まではアクセス数は「0」であるが、30日目(現在)にアクセス数が「12」に増加している。ここで、例えば、「アクセス数の第1の閾値」は「10」であるとする。
その後数日間において、ブラックURL特定部108は、アクセス数を集計した結果、33日目(現在から3日後)にアクセス数が「0」に戻っている。
この図38の例のように、ブラックURL特定部108は図37の処理によって、判定対象のブラックURL候補に対するアクセス数が、過去は少なく、かつ、所定の日数の間増加し、かつ、その後減少するか否かを判定している。
【0250】
ここで、所定の日数は、例えば情報漏洩検知システム100の記憶装置に記憶されており、ここでは所定の日数が「5日」とする。
特定のマルウェアは、インターネット上のC&Cサーバと短期間に継続的に通信することが知られている。したがって、例えば5日以内に集中的にアクセス数が増加したアクセスは、マルウェアによるアクセスと考えられる。
【0251】
具体例では、基準日が現在の場合を説明したが、基準日が過去であっても構わない。
すなわち、ブラックURL特定部108は、ブラックURL候補に対するアクセス数が、過去は少なく、かつ、基準日から所定の日数において増加し、かつ、その後減少するか否かを判定出来れば良い。
【0252】
すなわち、ブラックURL特定部108は、あらかじめ定義された所定の期間においてのみ日毎(単位時間毎)のアクセス数が、アクセス数の第1の閾値以上となるURLをブラックURL208として特定している。
【0253】
ブラックURL特定部108は、アクセス数の時系列の変化を自動判定するために、ARMA(AutoRegressive Moving Average)などを利用した公知の方式を使用しても良い。そして、ブラックURL特定部108は、ARMAによりアクセス数の変化が見つかったブラックURL候補をブラックURL208と特定しても良い。
【0254】
更に、ブラックURL特定部108は、ブラックURL候補に対する通信量に基づいて、ブラックURL208を特定しても良い。
【0255】
その場合、ブラック判定条件207は、「今まで通信量が少なかったブラックURL候補において、急に通信量が一定期間増加し、その後また減少したか否か」となる。
前述の通りプロキシログ201(図17)には、通信サイズ(通信量)が示されている為、ブラックURL特定部108は、各ブラックURL候補に対して、例えば日毎の通信量を集計することが可能である。
すなわち、ブラックURL特定部108は、プロキシログ201から各ブラックURL候補に対する単位時間毎のデータ通信量を算出する。
【0256】
そして、詳細な説明は省略するが、ブラックURL特定部108は図37の処理においてアクセス数の代わりに、通信量を用いてブラックURL208を特定する。
すなわち、ブラックURL特定部108は、あらかじめ定義された所定の期間においてのみ日毎(単位時間毎)のデータ通信量が、データ通信量の第1の閾値以上となるURLをブラックURL208として特定する。
【0257】
(実施の形態6の効果)
前述の通り、マルウェアとC&Cサーバとのアクセス数またはデータ通信量は、短期間に増加することが知られている。実施の形態6の情報漏洩検知システム100は、短期間にアクセス数またはデータ通信量が増加するアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0258】
実施の形態7.
(実施の形態7における情報漏洩検知システム100の概要)
実施の形態7の情報漏洩検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「ブラックURL候補との通信において、周期的にアクセスが発生しているか否か」をブラック判定条件207とする。
【0259】
(ブラックURL特定部108の処理)
図39は、ブラックURL特定部108の処理の例を示すフローチャートである。
図40は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
【0260】
なお、図2において図示を省略しているが、ブラックURL特定部108は、プロキシログ201を入力することが可能である。ここで、ブラックURL特定部108は、プロキシログ取り込み部101が入力したプロキシログ201をプロキシログ取り込み部101から入力しても良い。
【0261】
まず、ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラック判定条件207を入力する。(図39のS1301)。
【0262】
ここでブラック判定条件207は、前述の通り「ブラックURL候補との通信において、周期的にアクセスが発生しているか否か」である。
【0263】
そして、ブラックURL特定部108は、入力したプロキシログ201から各ブラックURL候補に対する単位時間毎のアクセス数をあらかじめ定められた集計期間において集計する(図39のS1302)。
ここで、単位時間毎のアクセス数をMi(i=1〜k)とする。例えば、ブラックURL特定部108は、1分間毎のアクセス数を集計するとした場合、M1は、集計期間k分間の内の最初の1分間(1分目)のアクセス数の集計、M2は次の1分間(2分目)のアクセス数の集計を意味する。
【0264】
なお、図39において図示は、省略するがS1302〜S1304の処理は、各ブラックURL候補に対して行われる。
【0265】
次に、ブラックURL特定部108は、アクセス数の集計結果Mi(i=1〜k)を時系列で並べた場合に周期的であるか否かを判定する(図39のS1303)。
ここで、ブラックURL特定部108は、単位時間毎のアクセス数が周期的にあらかじめ情報漏洩検知システム100の記憶装置に記憶されている閾値(「アクセス数の第2の閾値」と称する)以上となっているか否かを判定する。つまり、ブラックURL特定部108は、周期的にアクセスが発生しているか否かを判定している。
あるいは、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に同じ値となっているか否かを判定しても良い。また、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に「アクセス数の第2の閾値」以上の同じ値となっているか否かを判定しても良い。
周期的にアクセスが発生している場合(図39のS1303の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図39のS1304)。
【0266】
すなわち、ブラックURL特定部108は、単位時間毎のアクセス数が一定周期毎にあらかじめ定義されたアクセス数の第2の閾値以上となるブラックURL候補をブラックURL208として特定している。
【0267】
図40を用いて、具体例を説明する。
例えば図40は、ブラックURL特定部108が、あるブラックURL候補に対する1分間毎のアクセス数を集計したものである。
そして、集計期間は、例えば、1日(24時間×60分=1440分間)としている。
ブラックURL特定部108は、図40に示す集計結果において、2分に1回1アクセスが発生しており、周期的にアクセスが発生していると判定する。ここで「アクセス数の第2の閾値」は「1アクセス」とする。
【0268】
特定のマルウェアは、インターネット上のC&Cサーバとの接続を確認するために定期的に通信することが知られている。したがって、例えば周期的に1回以上のアクセス数が示されるアクセスは、マルウェアによるアクセスと考えられる。
【0269】
ブラックURL特定部108は、アクセス数の時系列の周期的な変化を自動判定する公知のアルゴリズムを使用しても良い。そして、ブラックURL特定部108は、公知のアルゴリズムにより周期的なアクセス数の変化が見つかったブラックURL候補をブラックURL208と特定しても良い。
【0270】
更に、ブラックURL特定部108は、ブラックURL候補に対する通信量に基づいて、ブラックURL208を特定しても良い。
【0271】
その場合、ブラックURL特定部108は、プロキシログ201から各ブラックURL候補に対する単位時間毎のデータ通信量を算出する。
【0272】
そして、詳細な説明は省略するが、ブラックURL特定部108は図39の処理においてアクセス数の代わりに、通信量を用いてブラックURL208を特定する。
すなわち、ブラックURL特定部108は、単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるブラックURL候補をブラックURL208として特定する。
【0273】
(実施の形態7の効果)
前述の通り、マルウェアとC&Cサーバとのアクセスは、周期的に行われることが知られている。実施の形態7の情報漏洩検知システム100は、周期的にアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0274】
実施の形態8.
(実施の形態8における情報漏洩検知システム100の概要)
実施の形態8の情報漏洩検知システム100は、ブラック判定条件207として、端末装置500(プロキシサーバ装置600)とブラックURL候補のウェブページとの間のWeb通信におけるリクエストサイズとレスポンスサイズとを用いる。具体的には、「ブラックURL候補において、通信のリクエストサイズとレスポンスサイズが閾値未満か否か」をブラック判定条件207とする。
【0275】
(ブラックURL特定部108の処理)
図41は、ブラックURL特定部108の処理の例を示すフローチャートである。
【0276】
なお、図2において図示を省略しているが、ブラックURL特定部108は、プロキシログ201(図17)を入力することが可能である。ここで、ブラックURL特定部108は、プロキシログ取り込み部101が入力したプロキシログ201をプロキシログ取り込み部101から入力しても良い。
【0277】
まず、ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラック判定条件207を入力する。(図41のS1401)。
【0278】
ここでブラック判定条件207は、前述の通り「ブラックURL候補において、通信のリクエストサイズとレスポンスサイズが閾値未満か否か」である。
また、ブラックURL特定部108は、例えば情報漏洩検知システム100の記憶装置に記憶されているリクエストサイズの閾値「αKB」とレスポンスサイズの閾値「βKB」とを入力する。あるいは例えばユーザが情報漏洩検知システム100の入力装置を用いて、リクエストサイズの閾値とレスポンスサイズの閾値とを入力しても良い。
【0279】
ここで、ユーザがブラウザを用いて行うWebサイトの閲覧では、リクエストに対するレスポンスは何かしらの文字列を含むコンテンツであるため、ある程度以上のレスポンスサイズになり、「βKB」未満にはならない。また、ユーザがブラウザを用いて行うWebサイトの閲覧におけるリクエストの場合もヘッダに情報が付与され、リクエストサイズは「αKB」未満にならない。
そして、あらかじめユーザが、Webサイトへのアクセスにおけるリクエストサイズとレスポンスサイズとの統計データを取得し、αとβとの値を設定しておく。
【0280】
そして、ブラックURL特定部108は、入力したプロキシログ201から、各ブラックURL候補のリクエストサイズとレスポンスサイズとを抽出する(図41のS1402)。
ここで、図17における図示は省略するが、プロキシログ201には、各アクセス毎のリクエストサイズとレスポンスサイズとが示される。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎に、アクセス先のアドレスと、プロキシサーバ装置600からアクセス先へ送信したデータのサイズであるリクエストサイズと、プロキシサーバ装置600がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示される。
なお、1つのブラックURL候補に対して複数のアクセスが有る場合は、ブラックURL特定部108は、リクエストサイズとレスポンスサイズとの最小値を抽出する。
【0281】
なお、図41において図示は、省略するがS1402〜S1405の処理は、各ブラックURL候補に対して行われる。
【0282】
次に、ブラックURL特定部108は、抽出したリクエストサイズが閾値「αKB」未満か否かを判定する(図41のS1403)。
リクエストサイズが閾値「αKB」未満の場合(図41のS1403の「YES」)、ブラックURL特定部108は、抽出したレスポンスサイズが閾値「βKB」未満か否かを判定する(図41のS1404)。
そして、ブラックURL特定部108は、レスポンスサイズが閾値「βKB」未満の場合(図41のS1404の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図41のS1405)。
すなわち、ブラックURL特定部108は、リクエストサイズが閾値「αKB」未満、かつ、レスポンスサイズが閾値「βKB」未満のブラックURL候補をブラックURL208として特定する。
【0283】
すなわち、ブラックURL特定部108は、プロキシログ201からブラックURL候補と対応付けられているレスポンスサイズとリクエストサイズとをアクセス単位で抽出(特定)する。そして、抽出したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満であり、リクエストサイズがあらかじめ定義されたリクエストサイズの閾値未満のブラックURL候補をブラックURL208として特定する。
【0284】
ここで、マルウェアによるWeb通信はレスポンスのみが小さいこともあるので、ブラックURL特定部108は、図41のS1403の判定は行わず、S1404の判定のみを行うだけでも良い。すなわち、ブラックURL特定部108は、レスポンスサイズが閾値「βKB」未満のブラックURL候補をブラックURL208として特定する。
【0285】
すなわち、ブラックURL特定部108は、プロキシログ201からブラックURL候補と対応付けられているレスポンスサイズをアクセス単位で抽出(特定)する。そして、抽出したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満のブラックURL候補をブラックURL208として特定する。
【0286】
(実施の形態8の効果)
特定のマルウェアは、インターネット上のC&Cサーバとの接続を確認するために定期的に通信することが知られている。そして、前述の通り、その場合の通信データのサイズ(リクエストサイズとレスポンスサイズ)は、ユーザがブラウザを用いて行うWebサイトの閲覧の場合と比べて、少ない。従って、実施の形態8の情報漏洩検知システム100は、リクエストサイズとレスポンスサイズとが閾値より少ないアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0287】
実施の形態9.
(実施の形態9における情報漏洩検知システム100の概要)
実施の形態1と実施の形態3と実施の形態4とにおいて、端末操作ログ203(図3)には、端末装置500がプロキシサーバ装置600に通知したURLが記録されると説明した。
しかし、端末操作記録アプリケーションによっては、端末操作ログ203にURLではなく、端末装置500(プロキシサーバ装置600)がアクセスしたWebサイトのトップページのタイトルが、ウィンドウタイトルとして記録される場合がある。
実施の形態9の情報漏洩検知システム100は、端末操作ログ203に記録されたWebサイトのトップページのタイトルと一致するタイトルをローカルプロキシログ204(図6)に記録されたコンテンツから検索する。そして、実施の形態9の情報漏洩検知システム100は、ローカルプロキシログ204(図6)に記録されたコンテンツにおいて、一致したタイトルに対応付けられたURLをWebサイトのトップページのURLとして特定する。
【0288】
(端末操作ログ取り込み部103の処理)
図42は、WebアクセスURL情報303の例を示す図である。
端末操作ログ取り込み部103は、端末操作ログ203の一例として、例えば図3のD2032の行に示すエントリの操作内容が、URLではなく、Webサイトのタイトルとなっている端末操作ログ203を入力する。つまり、端末操作ログ取り込み部103は、「2011/06/23 10:00:00、192.168.1.2、UserID1234、Webアクセス、サンプルサイト」を入力する。ここで、「サンプルサイト」は、Webサイト(コンテンツ)のタイトル名である。
【0289】
すなわち、端末操作ログ取り込み部103は、ユーザの操作により端末装置500がプロキシサーバ装置600に通知したアドレスに基づいてプロキシサーバ装置600が行ったアクセスのアクセス先のウェブページのタイトルが示される端末操作ログ203を入力する。
【0290】
そして、端末操作ログ取り込み部103は、実施の形態1と同様に、端末操作ログ203からWebアクセスURL情報303を抽出し、出力する。WebアクセスURL情報303の例を図42に示す。図42に示すWebアクセスURL情報303は、端末操作ログ203と同様に、URLではなく、Webサイト(コンテンツ)のタイトル名が示されている。
【0291】
(ローカルプロキシログ取り込み部104の処理)
図43は、コンテンツ実体350の例を示す図である。
ローカルプロキシログ取り込み部104は、実施の形態1と同様に、ローカルプロキシログ204(図6)を入力し、入力したローカルプロキシログ204からローカルプロキシログエントリ304(図9)を抽出し、出力する。
ここで、ローカルプロキシログエントリ304(図9)に含まれるコンテンツ実体350は、例えば図43のようになっている。つまり、コンテンツ実体350にWebサイト(コンテンツ)のタイトル名が示されている。
そして、例えば図9のローカルプロキシログエントリ304aには、Webサイト(コンテンツ)のタイトル名が示されているコンテンツ実体350と、URL「http://○○○.abc−sample.△△△/」とが対応付けられている。
【0292】
ここで、Webサイト(プロキシサーバ装置600が行ったアクセスのアクセス先のウェブページ)のタイトルと、URL(アクセス先のアドレス)とが対応付けて示されるローカルプロキシログエントリ304をローカルプロキシ情報と称する。
そして、ローカルプロキシログ204(図6)にはローカルプロキシ情報が少なくとも1つ以上含まれている。
なお、プロキシサーバ装置600は、前述の通り、端末装置500がローカルプロキシ550を利用してプロキシサーバ装置600に通知したアドレスに基づいてアクセスを行う。
【0293】
(トップページURL特定部106の処理)
図44は、トップページURL特定部106の処理の例を示す図である。
【0294】
トップページURL特定部106は、実施の形態1と同様にWebアクセスURL情報303(図42)とローカルプロキシログエントリ304(図9)とを入力する。ここでローカルプロキシログエントリ304(図9)に含まれるコンテンツ実体350は、前述の図43の例とする。
【0295】
そして、図44における図示は省略するが、トップページURL特定部106は、WebアクセスURL情報303(図42)に含まれる全てのエントリに対して、図44の処理を行う。
ここでは、図42のD6031に示すWebアクセスURL情報303のエントリを例に説明を行う。
【0296】
すなわち、トップページURL特定部106は、図42のD6031に示すWebアクセスURL情報303のエントリを入力し、Webサイトのタイトル「サンプルサイトabc−sample」を抽出する。また、トップページURL特定部106は、操作日時である「2011/06/23 10:00:00」を抽出する。
【0297】
そして、トップページURL特定部106は、ローカルプロキシログエントリ304を全て入力したか否かを判定する(図44のS1501)。
トップページURL特定部106は、全てのローカルプロキシログエントリ304を入力していなければ(図44のS1501の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図44のS1502)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
【0298】
そして、トップページURL特定部106は、WebアクセスURL情報303から抽出したタイトルが、コンテンツ実体350に含まれるか否かを判定する。
具体的には、図43に示すコンテンツ実体350において、<title>タグと</title>タグとで囲われている文字列を抽出し、WebアクセスURL情報303から抽出した「サンプルサイトabc−sample」と比較する。
【0299】
更に、トップページURL特定部106は、WebアクセスURL情報303から抽出した操作日時「2011/06/23 10:00:00」が、図9のローカルプロキシログエントリ304aのアクセス日時と一致するか否かを判定する(図44のS1503)。
【0300】
そして、WebアクセスURL情報303から抽出したタイトルが、コンテンツ実体350に含まれ、WebアクセスURL情報303から抽出した操作日時が、ローカルプロキシログエントリ304aのアクセス日時と一致するので(図44のS1503の「YES」)、トップページURL特定部106は、ローカルプロキシログエントリ304aに示されるURL「http://○○○.abc−sample.△△△/」を抽出する。このトップページURL特定部106が抽出したURLをトップページURLと称する。
そして、トップページURL特定部106は、このトップページURLと、ローカルプロキシログエントリ304に示されるアクセス日時と端末識別子とメソッドとステータスと通信量とをトップページURL情報306として出力する。
【0301】
一方、WebアクセスURL情報303から抽出したタイトルが、コンテンツ実体350に含まれない、もしくは、WebアクセスURL情報303から抽出した操作日時が、ローカルプロキシログエントリ304aのアクセス日時と一致しない場合(図44のS1503の「NO」)、トップページURL特定部106は再度S1501の処理を行う。
【0302】
すなわち、トップページURL特定部106は、ローカルプロキシ情報(ローカルプロキシログエントリ304)のコンテンツ実体350に示されるタイトルの内、端末操作ログ203に示されるタイトルに合致するタイトルが示されるローカルプロキシ情報(ローカルプロキシログエントリ304)を抽出する。つまりトップページURL特定部106は、ローカルプロキシ情報抽出部に対応する。
【0303】
そして、図44のS1504の処理は実施の形態1と同様であるため、説明を省略する。
【0304】
また、ブラックURL特定部108は、実施の形態1と同様にプロキシログ201(図17)に示されるURLの内、URLホワイトリスト202と、ブラウザアクセスURL情報307とのいずれにも示されていないURLを抽出する。ここで、ブラウザアクセスURL情報307はトップページURL特定部106に抽出されたローカルプロキシログエントリ304(ローカルプロキシ情報)から生成される。
したがって、換言すると、ブラックURL特定部108は、プロキシログ201(図17)に示されるURLの内、URLホワイトリスト202と、トップページURL特定部106に抽出されたローカルプロキシログエントリ304(ローカルプロキシ情報)とのいずれにも示されていないアドレスを抽出する。
【0305】
なお、実施の形態5〜8の情報漏洩検知システム100は、実施の形態9のブラックURL特定部108が抽出したブラックURL208をブラックURL候補として処理を行っても良い。
【0306】
(実施の形態9の効果)
前述のように端末操作記録アプリケーションによっては、端末操作ログ203にURLが記録されず、アクセスしたWebサイトのトップページのタイトルがウィンドウタイトルとして記録される場合がある。このような場合でも、実施の形態9の情報漏洩検知システム100は、端末操作ログ203から得たタイトルから、端末装置500がアクセスしたWebサイトのURLを特定することが可能である。
【0307】
(実施の形態1〜9の情報漏洩検知システム100のハードウェア構成)
最後に、実施の形態1〜9に示した情報漏洩検知システム100のハードウェア構成例について説明する。
図45は、本実施の形態に示した情報漏洩検知システム100のハードウェア資源の一例を示す図である。
なお、図45の構成は、あくまでも情報漏洩検知システム100のハードウェア構成の一例を示すものであり、情報漏洩検知システム100のハードウェア構成は図45に記載の構成に限らず、他の構成であってもよい。
【0308】
図45において、情報漏洩検知システム100は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
本実施の形態で説明した情報漏洩検知システム100の記憶装置、ログ蓄積部109は、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
本実施の形態で説明した情報漏洩検知システム100の入力装置は、例えばキーボード902やマウス903により実現される。
また、通信ボード915、表示装置901などは、出力装置の一例である。
【0309】
通信ボード915は、ネットワークに接続されている。
例えば、ネットワークは、LAN、インターネットの他、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などでも構わない。
【0310】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
【0311】
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
【0312】
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
情報漏洩検知システム100の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
【0313】
上記プログラム群923には、本実施の形態の説明において「〜部」(「〜蓄積部」以外、以下同様)として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0314】
ファイル群924には、本実施の形態の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の照合」、「〜の参照」、「〜の検索」、「〜の抽出」、「〜の検査」、「〜の生成」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の入力」、「〜の受信」、「〜の判定」、「〜の定義」、「〜の算出」、「〜の更新」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。
「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0315】
また、本実施の形態の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。
すなわち、本実施の形態で説明したフローチャートに示すステップ、手順、処理により、本発明に係る情報処理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、本実施の形態の「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の「〜部」の手順や方法をコンピュータに実行させるものである。
【0316】
このように、本実施の形態に示す情報漏洩検知システム100は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【符号の説明】
【0317】
100 情報漏洩検知システム、101 プロキシログ取り込み部、102 URLホワイトリスト取り込み部、103 端末操作ログ取り込み部、104 ローカルプロキシログ取り込み部、105 グレーURL特定部、106 トップページURL特定部、107 ブラウザアクセスURL特定部、108 ブラックURL特定部、109 ログ蓄積部、150 ネットワーク、200 期間特定部、201 プロキシログ、202 URLホワイトリスト、203 端末操作ログ、204 ローカルプロキシログ、205 端末識別子、206 期間、207 ブラック判定条件、208 ブラックURL、209 外部サービス、250 ブラックURL情報、301 プロキシログエントリ、302 ホワイトURL、303 WebアクセスURL情報、304 ローカルプロキシログエントリ、305 グレーURL情報、306 トップページURL情報、307 ブラウザアクセスURL情報、350 コンテンツ実体、500 端末装置、550 ローカルプロキシ、600 プロキシサーバ装置、606 トップページ内URL、901 表示装置、902 キーボード、903 マウス、904 FDD、905 コンパクトディスク装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 オペレーティングシステム、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
【技術分野】
【0001】
この発明は、インターネット通信を行う端末装置が利用するプロキシサーバ装置がアクセスしたアドレスの内、所定のアドレスを抽出するアドレス抽出装置に関する。
【背景技術】
【0002】
近年、特定の組織を狙う標的型攻撃が増加している。標的型攻撃とは、特定の組織(例えば企業)の特定の部署に限定した不正アクセスである。例えば、特定の企業A社の経理課の社員(ユーザ)に対して、企業A社の関係者を装った偽装メールにマルウェアを添付して送り込む例が挙げられる。メールの文面で言葉巧みに添付ファイル(ドキュメントなどを装っていることが多い)を例えば経理課の社員(ユーザ)に開かせることで、マルウェアは実行される。経理課の社員(ユーザ)により実行されたことにより企業への侵入に成功したマルウェアは、インターネット上のウェブサーバと通信し、情報漏洩等の不正アクセスを行う。
【0003】
特定の組織(例えば企業)に送り込まれるマルウェアは、多くのアンチウイルスソフトウェアで採用されるパターンファイルを回避するように製造されることが多く、アンチウイルスソフトウェアの検知をすり抜けてしまう。
すなわち、アンチウイルスソフトウェアでの検知にはマルウェアに対応したパターンファイルが必要である。しかし、標的型攻撃を行うマルウェアは、従来のマルウェアと異なり攻撃対象が限定されているため、一般に知られにくく、すぐに存在を認識できない。従って、アンチウイルスソフトウェアベンダのパターンファイル作成が遅れることがある。そして、多くのアンチウイルスソフトウェアでは標的型攻撃で用いられるマルウェアの検知が遅れる可能性がある。
【0004】
技術的に標的型攻撃を防御することは困難であり、関係者を装う怪しいメールが送られてきた場合はマルウェアを懸念し添付ファイルを開かせないように、従業員(ユーザ)に教育して対応するという考え方もある(例えば、非特許文献1)。しかしながら、一定の効果はあるものの、一部の従業員(ユーザ)は怪しいメールの添付ファイルを開いてしまい、マルウェアが実行されてしまうという課題がある。そして、例えば、従業員(ユーザ)は、実行されたマルウェアが情報漏洩等の不正アクセスを行っているか否かを認識することが出来ないという課題がある。
【0005】
また、スパイウェア(マルウェア)の検知にHTTP(HyperText Transfer Protocol)ヘッダの特徴を調べ、ブラウザによる通信か、それ以外のプログラムによる通信かを判断する方法が示されている(例えば、非特許文献2)。しかしながら、スパイウェア(マルウェア)の誤検知の課題がある。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】ユーザへの予防接種というアプローチによる標的型攻撃対策−2、山口他、情報処理学会第71回全国大会 6E−4
【非特許文献2】HTTP利用型スパイウェアの検知および遮断方式の検討、大谷他、情報処理学会 研究報告2005−CSEC−31
【発明の概要】
【発明が解決しようとする課題】
【0007】
前記のように例えばユーザは、ユーザが意図しない通信(例えばマルウェアによる不正アクセス)が行われていても、その通信(不正アクセス)を検知することが出来ないという課題がある。
【0008】
この発明は前記のような課題を解決することを主な目的とするもので、例えば、ユーザが意図しない通信によりアクセスされたアクセス先のアドレスを抽出するアドレス抽出装置を実現することを主な目的とする。
【課題を解決するための手段】
【0009】
この発明に係るアドレス抽出装置は、
端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報とを入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報に示されていないアドレスを抽出するアドレス抽出部と
を備えたことを特徴とする。
【発明の効果】
【0010】
この発明に係るアドレス抽出装置は、例えば、プロキシサーバ装置のプロキシログに記録されたアクセス先のアドレスから、正当なアクセスによるアクセス先のアドレス以外のアドレスを抽出する。この為、この発明に係るアドレス抽出装置は、正当なアクセス以外、すなわちユーザが意図しない不正な通信によりアクセスされたアクセス先のアドレスを抽出することが可能である。
【図面の簡単な説明】
【0011】
【図1】実施の形態1を示す図で、情報漏洩検知システムの周辺構成の例を示す図。
【図2】実施の形態1を示す図で、情報漏洩検知システムの構成の例を示す図。
【図3】実施の形態1を示す図で、端末操作ログ203の例を示す図。
【図4】実施の形態1を示す図で、端末操作ログ取り込み部103の処理の例を示すフローチャート。
【図5】実施の形態1を示す図で、WebアクセスURL情報303の例を示す図。
【図6】実施の形態1を示す図で、ローカルプロキシログ204の例を示す図。
【図7】実施の形態1を示す図で、コンテンツ実体350の例を示す図。
【図8】実施の形態1を示す図で、ローカルプロキシログ取り込み部104の処理の例を示すフローチャート。
【図9】実施の形態1を示す図で、ローカルプロキシログエントリ304の例を示す図。
【図10】実施の形態1を示す図で、トップページURL特定部106の第1の処理の例を示すフローチャート。
【図11】実施の形態1を示す図で、トップページURL特定部106の第1の処理によって抽出されたURLリストの例を示す図。
【図12】実施の形態1を示す図で、トップページURL特定部106の第2の処理の例を示すフローチャート。
【図13】実施の形態1を示す図で、トップページURL情報306の例を示す図。
【図14】実施の形態1を示す図で、ブラウザアクセスURL特定部107の処理の例を示すフローチャート。
【図15】実施の形態1を示す図で、トップページ内URL606の例を示す図。
【図16】実施の形態1を示す図で、ブラウザアクセスURL情報307の例を示す図。
【図17】実施の形態1を示す図で、プロキシログ201の例を示す図。
【図18】実施の形態1を示す図で、プロキシログ取り込み部101の処理の例を示すフローチャート。
【図19】実施の形態1を示す図で、プロキシログエントリ301の例を示す図。
【図20】実施の形態1を示す図で、URLホワイトリスト取り込み部102の処理の例を示すフローチャート。
【図21】実施の形態1を示す図で、URLホワイトリスト202の例を示す図。
【図22】実施の形態1を示す図で、ホワイトURL302の例を示す図。
【図23】実施の形態1を示す図で、グレーURL特定部105の処理の第1の例を示すフローチャート。
【図24】実施の形態1を示す図で、グレーURL特定部105の第1の例の処理によるグレーURL情報305の例を示す図。
【図25】実施の形態1を示す図で、グレーURL特定部105の処理の第2の例を示すフローチャート。
【図26】実施の形態1を示す図で、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例を示す図。
【図27】実施の形態1を示す図で、ブラックURL特定部108の処理の第1の例と第2の例とを示すフローチャート。
【図28】実施の形態1を示す図で、ブラックURL208の例を示す図。
【図29】実施の形態1を示す図で、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を示す図。
【図30】実施の形態1を示す図で、ブラウザアクセスURL情報307保存処理の第1の例を示すフローチャート。
【図31】実施の形態1を示す図で、ブラウザアクセスURL情報307保存処理の第2の例を示すフローチャート。
【図32】実施の形態1を示す図で、従来の情報漏洩検知システム100の課題の例を示す図。
【図33】実施の形態2を示す図で、トップページURL特定部106の処理の例を示すフローチャート。
【図34】実施の形態3を示す図で、期間特定部200の処理の例を示すフローチャート。
【図35】実施の形態4を示す図で、端末操作ログ取り込み部103の処理の例を示すフローチャート。
【図36】実施の形態5を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図37】実施の形態6を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図38】実施の形態6を示す図で、ブラックURL候補のウェブページへのアクセス数の例を示す図。
【図39】実施の形態7を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図40】実施の形態7を示す図で、ブラックURL候補のウェブページへのアクセス数の例を示す図。
【図41】実施の形態8を示す図で、ブラックURL特定部108の処理の例を示すフローチャート。
【図42】実施の形態9を示す図で、WebアクセスURL情報303の例を示す図。
【図43】実施の形態9を示す図で、コンテンツ実体350の例を示す図。
【図44】実施の形態9を示す図で、トップページURL特定部106の処理の例を示す図。
【図45】実施の形態1〜9を示す図で、本実施の形態に示した情報漏洩検知システム100のハードウェア資源の例を示す図。
【発明を実施するための形態】
【0012】
実施の形態1.
(情報漏洩検知システムの周辺構成)
図1は、情報漏洩検知システムの周辺構成の例を示す図である。
情報漏洩検知システム100は、例えばマルウェアによってアクセスされたURL(Uniform Resource Locator)を抽出する。ここで、URLは例えばプロキシサーバ装置600(後述で説明)がアクセスを行うアクセス先のアドレスである。すなわち、情報漏洩検知システム100は、アドレス抽出装置である。そして、情報漏洩検知システム100はプロキシサーバ装置600がアクセスを行ったアドレスの内、所定のアドレスを抽出する。情報漏洩検知システム100が抽出する所定のアドレスについては後述で説明する。
【0013】
情報漏洩検知システム100が抽出するアドレスは、URLに限られるものではなく、例えば、IP(Internet Protocol)アドレスでも良いし、電子メールアドレスでも良い。
ここで、例えばマルウェアによってアクセスされたアドレス(URL)を以降「不正なアドレス」と称する。
【0014】
そして、情報漏洩検知システム100の周辺には、端末装置500とプロキシサーバ装置600とが配置される。情報漏洩検知システム100と端末装置500とプロキシサーバ装置600とは、例えば、LAN(Local Area Network)などで接続されている。
ここで、図示は省略するが、端末装置500は例えば、企業などの組織で使われる個人用のパーソナルコンピュータなどであり、複数の端末装置500も例えばLANなどで接続されている。
【0015】
そして、情報漏洩検知システム100は、プロキシサーバ装置600からプロキシログ201を入力する。また、情報漏洩検知システム100は、端末装置500から端末操作ログ203とローカルプロキシログ204とを入力する。更に、情報漏洩検知システム100は、例えば企業などの組織に設置されたサーバ装置の記憶装置などに記憶されているURLホワイトリスト202を入力する。
【0016】
本実施の形態の情報漏洩検知システム100は、これらのログ(プロキシログ201など)を用いて、マルウェアによるWeb通信を検知する。ここでWeb通信とは、端末装置500などの例えばコンピュータがインターネット上のWeb(ウェブ)サイト(WebサイトをWeb(ウェブ)ページとも称する)と行う通信のことである。HTTPを用いた通信の場合は、Web通信をHTTP通信とも称する。
【0017】
(プロキシサーバ装置600の説明)
例えば、企業などの組織では、端末装置500がネットワーク150(例えばインターネットなど)を介して、Webサイトにアクセスする際に、端末装置500から直接Webサイトにアクセスするのではなく、プロキシが端末装置500の代理でWebサイトにアクセスする。
本実施の形態では、例えば組織に1台設置されているプロキシをプロキシサーバ装置600と称する。
【0018】
端末装置500は、Webサイトのアドレスと共に、プロキシサーバ装置600にWebサイトへ送りたいHTTPリクエストを送信し、プロキシサーバ装置600はWebサイトへこのHTTPリクエストを転送する。
すなわち、プロキシサーバ装置600は、端末装置500からアクセス先として通知されたアドレスにアクセスを行う。
【0019】
WebサイトからのHTTPレスポンスはプロキシサーバ装置600に送られ、プロキシサーバ装置600はこのレスポンスを端末装置500へ転送することで、端末装置500はWebサイトにアクセスする。従って、プロキシサーバ装置600は、アクセスを行った端末装置500と、アクセス先のWebサイトと、アクセスの際のリクエスト及びレスポンスの内容とを記録することができる。
【0020】
(プロキシログ201の説明)
前述のように、例えば企業など組織内の端末装置500はWebサイトにアクセスする際に、プロキシサーバ装置600にHTTP接続する。プロキシサーバ装置600は端末装置500の代りにインターネットに接続しWeb通信(HTTP通信)を行う。Web通信(HTTP通信)の結果はプロキシサーバ装置600から端末装置500へ転送される。
【0021】
そして、端末装置500がWebサイトにアクセスする際に接続するプロキシサーバ装置600のログが、プロキシログ201である。すなわち、プロキシログ201はプロキシサーバ装置600が端末装置500とWebサイトとの通信状況(例えばWebサイトのアドレス)を記録したログである。
例えば、マルウェアがWebアクセスする場合は必ずプロキシサーバ装置600に接続するため、プロキシログ201に通信記録が残る。また、マルウェア以外のWebアクセス(ブラウザ、アプリケーションからの通信)もプロキシログ201に通信記録が残る。
【0022】
(URLホワイトリスト202の説明)
URLホワイトリスト202は、ホワイトURLのリストである。ホワイトURLは予め組織でアクセスが許可されているURLである。例えば、OS(Operating System)、オフィスアプリケーションのアップデートサイトやニュースサイトなどがある。
すなわち、ホワイトURLは、あらかじめ正当と定義されたアドレスである。そして、URLホワイトリスト202は、あらかじめ正当と定義されたアドレスが示される正当アドレス情報に対応する。
【0023】
(端末操作ログ203の説明)
端末装置500は、端末操作記録アプリケーションを備える。端末操作記録アプリケーションが、ユーザの端末装置500の操作を記録したものが端末操作ログ203である。端末操作ログ203は、例えば端末装置500の記憶装置に記憶される。
【0024】
ここで、端末操作記録アプリケーションは各ユーザが端末装置500上でどのような操作を行っているか監視し内部統制するためのソフトウェアである。端末操作記録アプリケーションはファイル操作(ファイルの生成、削除、コピー、リネーム、移動など)、外部記憶媒体への書き出し、操作されたアプリケーション(ウィンドウタイトル)、Webアクセス状況などを記録する。端末操作記録アプリケーションは例えば市販されているソフトウェアを用いても良い。
【0025】
ユーザがブラウザを用いて行った指示に基づき、端末装置500がWebアクセスした場合、その操作の記録(例えばWebサイトのアドレス)は端末操作ログ203に記録される。
【0026】
ここで、端末装置500は、ユーザの指示(例えばユーザがブラウザを用いて行う指示)に基づいて、プロキシサーバ装置600にアクセス先のアドレスを通知する。そして、ユーザの指示に基づき、端末装置500が通知したアドレスが示される情報をユーザ指示情報と称する。
すなわち、端末操作ログ203は、ユーザ指示情報に対応する。
【0027】
(ローカルプロキシ550、ローカルプロキシログ204の説明)
ローカルプロキシ550は、各端末装置500にインストールされるプロキシである。端末装置500上のブラウザやWebアクセスするアプリケーションは、ローカルプロキシ550を通じて、プロキシサーバ装置600にアクセスする。
【0028】
詳細には、端末装置500内のブラウザなどのアプリケーションは、ローカルプロキシ550に、Webサイトへ送りたいHTTPリクエストを送信し、ローカルプロキシ550はプロキシサーバ装置600へ、このHTTPリクエストを転送する。更に、プロキシサーバ装置600はWebサイトへ、このHTTPリクエストを転送する。そして、WebサイトからのHTTPレスポンスはプロキシサーバ装置600に送られ、プロキシサーバ装置600はこのレスポンスをローカルプロキシ550へ転送する。ローカルプロキシ550はアプリケーションへ、このレスポンスを転送する。この様にローカルプロキシ550とプロキシサーバ装置600を経由してアプリケーションはWebサイトと通信を行う。
【0029】
そして、ローカルプロキシ550で取得されるWebアクセスが記録されたものがローカルプロキシログ204である。ローカルプロキシログ204には、ユーザがブラウザを用いて行った指示に基づき、端末装置500がWebアクセスした際のWebアクセスした日時、アクセス先のURL(アドレス)、メソッド、Webコンテンツなどが記録される。すなわち、ローカルプロキシログ204はユーザ指示情報に対応する。そして、ローカルプロキシログ204は例えば端末装置500の記憶装置に記憶される。
ローカルプロキシログ204に記録されるWebコンテンツには、ブラウザでアクセスしたWebページ(Webコンテンツ)に関連付けられるコンテンツの情報(URLの情報)が含まれる。
このWebページに関連付けられるコンテンツの情報(URLの情報)とは、Webページにアクセスしたブラウザ(または、ローカルプロキシ550やプロキシサーバ装置600)が自動で取得したり、リンクしたりする他のコンテンツの情報である。このWebページに関連付けられるコンテンツの情報には、関連付けられたコンテンツのURLの情報も含まれる。そして、関連付けられたコンテンツのURLの情報は、関連アドレス情報に対応し、ローカルプロキシログ204は関連アドレス情報にも対応する。
このWebページ(Webコンテンツ)に関連付けられ、Webページ(Webコンテンツ)にアクセスしたブラウザ(または、ローカルプロキシ550やプロキシサーバ装置600)が自動で取得したり、リンクしたりする他のコンテンツの情報を以降「Webコンテンツが自動で取得するコンテンツ」と称する。
【0030】
(情報漏洩検知システム100の構成)
図2は、情報漏洩検知システム100の構成の例を示す図である。情報漏洩検知システム100を構成する各要素について説明する。
【0031】
(プロキシログ取り込み部101)
プロキシログ取り込み部101は、プロキシログ201、端末識別子205、期間206を入力とし、ログの内容であるプロキシログエントリ301を抽出する。
【0032】
ここで、図1において図示は省略しているが、端末装置500は前述の通り複数設置されており、端末識別子205は、個々の端末装置500を識別する為の識別子である。
例えばユーザが情報漏洩検知システム100を用いて調査を行いたい対象の端末装置500の識別子を、例えばキーボードの様な入力装置を用いて入力する。この入力装置は、情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
【0033】
また、期間206は、例えばユーザが情報漏洩検知システム100を用いて不正なアドレスを調査したい期間の情報である。期間206は、期間特定部200によって入力される。期間特定部200は、例えばキーボードの様な入力装置であっても良いし、予め期間206の情報が記憶されている記憶装置であっても良い。そして、期間特定部200は情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
【0034】
また、プロキシログ201は前述の通り、Webサイトのアドレスが記録されている。すなわち、プロキシログ取り込み部101はアドレス入力部に対応する。
【0035】
(URLホワイトリスト取り込み部102)
URLホワイトリスト取り込み部102は、URLホワイトリスト202を入力し、URLホワイトリスト202の内容であるホワイトURL302を抽出する。
【0036】
ここで、URLホワイトリスト202は前述の通り、あらかじめ正当と定義されたアドレスが示される。すなわち、URLホワイトリスト取り込み部102はアドレス入力部に対応する。
【0037】
URLホワイトリスト202は、例えばキーボードの様な入力装置からユーザが入力しても良いし、予め記憶装置に記憶されていても良い。そして、これらの入力装置や記憶装置は情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
【0038】
(端末操作ログ取り込み部103)
端末操作ログ取り込み部103は、端末操作ログ203を入力し、ブラウザによりアクセスされたWebサイトのURL情報であるWebアクセスURL情報303を抽出する。
【0039】
ここで、端末操作ログ203は前述の通り、Webサイトのアドレスが記録されている。すなわち、端末操作ログ取り込み部103はアドレス入力部に対応する。
また、端末操作ログ取り込み部103は、非操作期間(後述で説明)又は非アドレス対応期間(後述で説明)を算出する。すなわち、端末操作ログ取り込み部103は、期間算出部に対応する。
【0040】
(ローカルプロキシログ取り込み部104)
ローカルプロキシログ取り込み部104は、ローカルプロキシログ204、端末識別子205、期間206を入力し、ローカルプロキシログ204の内容であるローカルプロキシログエントリ304を抽出する。すなわち、ローカルプロキシログエントリ304も図2における図示は省略するが、ユーザ指示情報と関連アドレス情報とに対応する。
【0041】
ここで、ローカルプロキシログ204は前述の通り、Webサイトのアドレスが記録されている。すなわち、ローカルプロキシログ取り込み部104はアドレス入力部に対応する。
【0042】
(グレーURL特定部105)
グレーURL特定部105は、プロキシログエントリ301、ホワイトURL302、ブラウザアクセスURL情報307(後述で説明)を入力し、マルウェアがアクセスしている可能性があるURL情報であるグレーURL情報305を抽出する。すなわち、グレーURL特定部105は、アドレス抽出部に対応する。
【0043】
(トップページURL特定部106)
トップページURL特定部106は、WebアクセスURL情報303、ローカルプロキシログエントリ304を入力し、ローカルプロキシログエントリ304から、WebアクセスURL情報303とURLが一致するログエントリを抽出し、トップページURL情報306として出力する。トップページURL情報306は、ユーザ指示情報に対応する。
【0044】
ここで、トップページURL情報306は、ローカルプロキシログエントリ304から抽出されたローカルプロキシ550の情報、すなわちローカルプロキシ情報である。そして、トップページURL特定部106は、ローカルプロキシ情報抽出部に対応する。
【0045】
(ブラウザアクセスURL特定部107)
ブラウザアクセスURL特定部107は、トップページURL情報306、ローカルプロキシログエントリ304を入力し、ローカルプロキシログエントリ304のWebコンテンツに含まれる、Webコンテンツが自動で取得するコンテンツや、他のWebページへのリンク情報(URL)を、トップページ内URLとして抽出する。このトップページ内URLは、Webコンテンツに関連する関連アドレス情報である。
【0046】
さらに、ブラウザアクセスURL特定部107は、トップページ内URLとトップページURL情報306とを合わせてブラウザがアクセスするURLの情報であるブラウザアクセスURL情報307として出力する。すなわち、ブラウザアクセスURL情報307にはトップページ内URLの情報が含まれており、ブラウザアクセスURL情報307は、ユーザ指示情報と関連アドレス情報とに対応する。
【0047】
(ブラックURL特定部108)
ブラックURL特定部108は、グレーURL情報305、ブラウザアクセスURL情報307、ブラック判定条件207を入力し、マルウェアのアクセスしたサイトと思われるブラックURL208を抽出する。すなわち、ブラックURL特定部108はアドレス抽出部に対応する。
【0048】
そして、ブラック判定条件207はグレーURL情報に含まれるURL情報がマルウェアによりアクセスされたか判定するための条件を表す情報である。ブラックURL特定部108はブラック判定条件207に合致するアドレスを特定する条件合致アドレス特定部である。
また、ブラックURL特定部108は、外部サービス209(後述で説明)から情報を入力する情報入力部に対応する。
【0049】
更に、図2では図示を省略しているが、ブラックURL特定部108は、プロキシログ201を入力することも可能である。そして、ブラックURL特定部108は入力したプロキシログ201のデータを用いて所定の時間毎のアクセス数などを算出する(後述で説明)通信量算出部に対応する。
【0050】
(ログ蓄積部109)
ログ蓄積部109は、プロキシログ201、端末操作ログ203、ローカルプロキシログ204を取り込み、蓄積する。ログ蓄積部109は、例えば、磁気ディスク装置などの記憶装置である。
【0051】
プロキシログ取り込み部101は、ログ蓄積部109が蓄積したプロキシログ201を入力する。また、端末操作ログ取り込み部103は、ログ蓄積部109が蓄積した端末操作ログ203を入力する。また、ローカルプロキシログ取り込み部104は、ログ蓄積部109が蓄積したローカルプロキシログ204を入力する。
【0052】
(情報漏洩検知システム100の動作説明)
情報漏洩検知システム100の動作について説明する。
【0053】
(端末操作ログ取り込み部103の処理)
図3は、端末操作ログ203の例を示す図である。
図4は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
図5は、WebアクセスURL情報303の例を示す図である。
【0054】
端末操作ログ取り込み部103は、端末操作ログ203と期間206と端末識別子205とを入力する。
期間206は、ある特定の期間にマルウェアからWebアクセスがあったか否かを確認するために、例えばユーザが期間特定部200を用いて指定する期間である。例えば、「2011/06/23 09:00:00〜2011/06/23 18:00:00」の期間にマルウェアからのWebアクセスの有無を調べる場合、期間特定部200は、期間206として「2011/06/23 09:00:00〜2011/06/23 18:00:00」を指定する。
【0055】
端末操作ログ203は、各端末装置500にインストールされる端末操作記録アプリケーションが記録するログである。端末操作ログ203は、図3に示すフォーマットのように、例えば「操作日時、端末識別子、ユーザ識別子、操作タイプ、操作内容」が時系列順に記録される。
【0056】
ここで、操作日時は、ユーザが端末装置500の操作を行った日時である。端末識別子は、例えば端末装置500のIPアドレスである。ユーザ識別子は、例えば従業員の従業員番号などのID(識別子、アイディー)である。操作タイプは、例えば、「ファイル生成」、「Webアクセス」などの操作の種別である。操作内容は、操作タイプに依存する記録である。
【0057】
端末操作記録アプリケーションの機能により、ユーザが、ブラウザのアドレスバーに入力したURLやWebサイトのコンテンツのリンクをクリックしてアクセスしたURLが端末操作ログ203に記録されている。
【0058】
例えば、図3に示すD2031は、「2011/06/23 9:00:00に、IPアドレス192.168.1.2で識別される端末装置500が、UserID1234で識別される従業員の操作により、C:¥work¥sample.txtというファイルを生成した」ことを意味する。
【0059】
また、例えば、図3に示すD2033は、「2011/06/23 12:00:00に、IPアドレス192.168.1.2で識別される端末装置500が、UserID1234で識別される従業員の操作により、http://○○○.123−sample.△△△/に対してGETメソッドを送信(Webアクセス)した」ことを意味する。
ここで、実施の形態の説明において示されるURL(例えば、前述の「http://○○○.123−sample.△△△/」)は、あくまで例として挙げられたものであり、実在のURLとは無関係である。
【0060】
ここで、図3のD2033に示される操作タイプ「Webアクセス」のように、端末装置500がWebアクセスする場合を説明する。ユーザが端末装置500を用いてWebアクセスする場合、ユーザは端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作を行う。ユーザは、このアドレス指示操作により、端末装置500に対してWebアクセスを指示する。すなわち、このアドレス指示操作は、ユーザが端末装置500に対してアクセス先のアドレスを指示すると共に、ユーザが端末装置500に対して指示したアドレスに端末装置500がWebアクセスを行うよう指示している。そして、このアドレス指示操作が端末操作ログ203(例えば、図3)においては、「Webアクセス」のように表記されている。
このアドレス指示操作によるアドレスが端末操作ログ203には示されている(例えば、図3のD2033では「http://○○○.123−sample.△△△/」)。そして、端末装置500は、プロキシサーバ装置600にアクセス先として、このアドレスを通知する。そして、端末装置500は、前述の通りプロキシサーバ装置600を利用してWebアクセスを行う。
【0061】
すなわち、端末操作ログ203は、ユーザが端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて端末装置500がプロキシサーバ装置600にアクセス先として通知したアドレスがアドレス指示操作と対応付けられて示されている。
【0062】
図4を用いて、端末操作ログ取り込み部103の動作を説明する。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
【0063】
まず、端末操作ログ取り込み部103は、端末操作ログ203の全てのエントリを入力したか否かを判定する(図4のS401)。ここで、端末操作ログ203などの情報を構成する行を以降「エントリ」と称する。例えば図4のD2031の行が1つのエントリとなる。
【0064】
端末操作ログ取り込み部103は、全てのエントリを入力していなければ(図4のS401の「NO」)、入力していない端末操作ログ203のエントリを例えば操作日時の時系列順に入力する(図4のS402)。
次に、端末操作ログ取り込み部103は、入力したエントリの操作日時が期間206の範囲内か否かを判定する(図4のS403)。
操作日時が期間206の範囲内であれば(図4のS403の「YES」)、端末操作ログ取り込み部103は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図4のS404)。
端末識別子が、端末識別子205と一致すれば(図4のS404の「YES」)、端末操作ログ取り込み部103は、入力したエントリの操作タイプがWebアクセスか否かを判定する(図4のS405)。
操作タイプがWebアクセスであれば(図4のS405の「YES」)、端末操作ログ取り込み部103は、読み込んだエントリをWebアクセスURL情報303として出力する(図4のS406)。
【0065】
そして、図4のS401の処理に戻り、端末操作ログ取り込み部103は、端末操作ログ203の全てのエントリを入力するまで(図4のS401の「YES」)、図4のS401からS406の処理を繰り返す。
【0066】
例えば、図5に示すWebアクセスURL情報303a〜303dのそれぞれ1行ずつが1つのWebアクセスURL情報である。そして、例えば、WebアクセスURL情報303a〜303dでWebアクセスURL情報303のセットを構成している。
【0067】
すなわち、端末操作ログ取り込み部103は、図3に示す端末操作ログ203のエントリの内、期間206に操作日時が該当し、端末識別子が端末識別子205に該当し、操作タイプがWebアクセスであるエントリを抽出し、図5に示すWebアクセスURL情報303のセットを生成する。
【0068】
(ローカルプロキシログ取り込み部104の処理)
図6は、ローカルプロキシログ204の例を示す図である。
図7は、コンテンツ実体350の例を示す図である。
図8は、ローカルプロキシログ取り込み部104の処理の例を示すフローチャートである。
図9は、ローカルプロキシログエントリ304の例を示す図である。
【0069】
ローカルプロキシログ取り込み部104は、ローカルプロキシログ204と期間206と端末識別子205とからローカルプロキシログエントリ304を抽出する。
【0070】
ローカルプロキシログ204は、ローカルプロキシ550を利用して、端末装置500のブラウザなどのアプリケーションがWebアクセスして得たコンテンツの内容やWebアクセスして送出したコンテンツの内容が記録される。
ローカルプロキシログ204は、図6に示すファーマットのように、例えば「アクセス日時、端末識別子、アクセスしたWebサイトのURL、メソッド(GET/POSTなど)、ステータスコード、通信サイズ、コンテンツ実体350」が時系列順に記録される。
【0071】
ここで、ローカルプロキシ550を有する端末装置500が、ローカルプロキシ550を利用してWebアクセスする場合は、まずユーザが例えば端末装置500の入力装置などを用いて、アクセス先のアドレスを指示する。そして、端末装置500はローカルプロキシ550を利用してアクセス先のアドレスをプロキシサーバ装置600に通知する。そして、端末装置500は、前述の通りプロキシサーバ装置600を利用し、更にローカルプロキシ550も利用してWebアクセスを行う。
【0072】
すなわち、ローカルプロキシログ204は、ローカルプロキシ550を有する端末装置500がユーザの指示に基づいてローカルプロキシ550を利用してプロキシサーバ装置600にアクセス先として通知したアドレスが示されている。
【0073】
例えば、図6に示すD3041の行が、端末装置500がローカルプロキシ550を介してWebサイトへアクセスした1件のエントリである。
そして、図6において、コンテンツ実体350の部分「(コンテンツ実体)」の図示を省略しているが、実際には例えば図7に示すような内容が記録されている。
図7に示す例では、「http GET」の結果として得られたコンテンツが示されているが、POSTの場合は送付されたコンテンツが記録される。
【0074】
図8を用いて、ローカルプロキシログ取り込み部104の動作を説明する。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
【0075】
まず、ローカルプロキシログ取り込み部104は、ローカルプロキシログ204の全てのエントリを入力したか否かを判定する(図8のS501)。
ローカルプロキシログ取り込み部104は、全てのエントリを入力していなければ(図8のS501の「NO」)、入力していないローカルプロキシログ204のエントリを例えばアクセス日時の時系列順に入力する(図8のS502)。
次に、ローカルプロキシログ取り込み部104は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図8のS503)。
アクセス日時が期間206の範囲内であれば(図8のS503の「YES」)、ローカルプロキシログ取り込み部104は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図8のS504)。
端末識別子が、端末識別子205と一致すれば(図8のS504の「YES」)、ローカルプロキシログ取り込み部104は、読み込んだエントリをローカルプロキシログエントリ304として出力する(図8のS505)。
【0076】
そして、図8のS501の処理に戻り、ローカルプロキシログ取り込み部104は、ローカルプロキシログ204の全てのエントリを入力するまで(図8のS501の「YES」)、図8のS501からS505の処理を繰り返す。
【0077】
例えば、図9に示すローカルプロキシログエントリ304a〜304dのそれぞれ1行ずつが1つのローカルプロキシログエントリである。そして、例えば、ローカルプロキシログエントリ304a〜304dでローカルプロキシログエントリ304のセットを構成している。
【0078】
すなわち、ローカルプロキシログ取り込み部104は、図6に示すローカルプロキシログ204のエントリの内、期間206にアクセス日時が該当し、端末識別子が端末識別子205に該当するエントリを抽出し、図9に示すローカルプロキシログエントリ304のセットを生成する。
ここで、図6に示すD3045のアクセス日時が、期間206に該当しない為、図9に示すローカルプロキシログエントリ304のセットには含まれていない。
【0079】
(トップページURL特定部106の処理)
図10は、トップページURL特定部106の第1の処理の例を示すフローチャートである。
図11は、トップページURL特定部106の第1の処理によって抽出されたURLリストの例を示す図である。
図12は、トップページURL特定部106の第2の処理の例を示すフローチャートである。
図13は、トップページURL情報306の例を示す図である。
【0080】
トップページURL特定部106は、WebアクセスURL情報303とローカルプロキシログエントリ304とを入力する。そして、トップページURL特定部106は、第1の処理として、WebアクセスURL情報303に含まれるURLを抽出する。そして、トップページURL特定部106は、第2の処理として、ローカルプロキシログエントリ304から第1の処理で抽出したWebアクセスURL情報303に含まれるURLと一致するエントリを抽出する。
【0081】
図10を用いて、トップページURL特定部106の動作(第1の処理)を説明する。最初にトップページURL特定部106は第1の処理として、WebアクセスURL情報303からURL(WebアクセスURL)を抽出し、リストを生成する。
【0082】
まず、トップページURL特定部106は、WebアクセスURL情報303を全て入力したか否かを判定する(図10のS601)。
トップページURL特定部106は、全てのWebアクセスURL情報303を入力していなければ(図10のS601の「NO」)、入力していないWebアクセスURL情報303を例えばアクセス日時の時系列順に入力する(図10のS602)。
次に、トップページURL特定部106は、入力したWebアクセスURL情報303のURL(WebアクセスURL)を抽出する(図10のS603)。
次に、トップページURL特定部106は、入力したWebアクセスURL情報303の操作日時を抽出する(図10のS604)。
そして、トップページURL特定部106は、抽出したURL(WebアクセスURL)と操作日時とを1つのエントリとしたリストを生成する。リストの例を図11に示す。
そして、図10のS601の処理に戻り、トップページURL特定部106は、全てのWebアクセスURL情報303を入力するまで(図10のS601の「YES」)、図10のS601からS605の処理を繰り返す。
【0083】
具体例で説明する。
例えば、WebアクセスURL情報303のセットが図5に示される例の場合、トップページURL特定部106は、最初に図5のWebアクセスURL情報303a「2011/06/23 10:00:00、192.168.1.2,UserID1234、Webアクセス、http://○○○.abc−sample.△△△/,GET」を入力する(図10のS602)。そして、トップページURL特定部106は、WebアクセスURL情報303aから、URL「http://○○○.abc−sample.△△△/」を抽出し(図10のS603)、操作日時「2011/06/23 10:00:00」を抽出する(図10のS604)。そして、トップページURL特定部106は「http://○○○.abc−sample.△△△/、2011/06/23 10:00:00」を1つのエントリ(図11のD1061)としたリストを生成する。
【0084】
図12を用いて、トップページURL特定部106の動作(第2の処理)を説明する。
トップページURL特定部106は第2の処理として、第1の処理で生成した例えば図11に示すリストに含まれるエントリのURLと操作日時とに一致するローカルプロキシログエントリ304を抽出する。
ここで図12の図示は省略しているが、トップページURL特定部106は、第1の処理で生成した例えば図11に示すリストに含まれる全てのエントリに対して、図12の処理を行う。
ここでは、トップページURL特定部106が第1の処理で抽出したエントリとして、図11のD1061に示されるエントリ「http://○○○.abc−sample.△△△/、2011/06/23 10:00:00」を例に説明する。
【0085】
まず、トップページURL特定部106は、ローカルプロキシログエントリ304を全て入力したか否かを判定する(図12のS101)。
トップページURL特定部106は、全てのローカルプロキシログエントリ304を入力していなければ(図12のS101の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図12のS102)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
【0086】
そして、トップページURL特定部106は、第1の処理で抽出したエントリにおけるWebアクセスURLである「http://○○○.abc−sample.△△△/」と一致するURLがローカルプロキシログエントリ304aに含まれるか否かを判定する。また、トップページURL特定部106は、第1の処理で抽出したエントリにおける操作日時である「2011/06/23 10:00:00」とローカルプロキシログエントリ304aのアクセス日時とが一致するか否かを判定する(図12のS103)。
そして、第1の処理で抽出したエントリにおけるURLとローカルプロキシログエントリ304aに含まれるURLとが一致し、第1の処理で抽出したエントリにおける操作日時とローカルプロキシログエントリ304aのアクセス日時とが一致するので(図12のS103の「YES」)、処理はS104に進められる。
【0087】
そして、図12において、図示は省略するが、トップページURL特定部106は図12のS103において「YES」と判定されたローカルプロキシログエントリ304aから、トップページURL情報306を生成する。
この場合、トップページURL情報306aは、図13に示す例のようになる。すなわち、URLとローカルプロキシログ204におけるアクセス日時と端末識別子とメソッドとステータスと通信サイズとが含まれた情報をトップページURL情報306と称する。そして、トップページURL情報306に示されるURLをトップページURLと称する。
【0088】
そして、トップページURL情報306が生成される毎に、図12のS104の処理が行われるが、このS104の処理は、ブラウザアクセスURL特定部107によって行われるため、後述で説明する。
【0089】
そして、図12のS101の処理に戻り、トップページURL特定部106は、ローカルプロキシログエントリ304の全てのエントリを入力するまで(図12のS101の「YES」)、図12のS101からS103の処理を繰り返す。また、ブラウザアクセスURL特定部107は、トップページURL情報306が生成される毎に、図12のS104の処理を行う。
【0090】
(ブラウザアクセスURL特定部107の処理)
図14は、ブラウザアクセスURL特定部107の処理の例を示すフローチャートである。なお、図14のフローチャートは、図12のS104の処理を詳細に示したものである。
図15は、トップページ内URL606の例を示す図である。
図16は、ブラウザアクセスURL情報307の例を示す図である。
【0091】
前述の例において、トップページURL特定部106が図12のS102において、入力したローカルプロキシログエントリ304aは「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」である。
ここで、コンテンツ実体350は前述の通り、例えば、実際には図7に示されるような情報である。つまりコンテンツ実体350は、端末装置500がWebアクセスした結果得られたhtmlコンテンツの実体である。
【0092】
図14を用いてブラウザアクセスURL特定部107の動作を説明する。
ここで、コンテンツ実体350は、図7に示す例を用いる。
【0093】
前述のように、トップページURL特定部106がトップページURL情報306を生成すると、ブラウザアクセスURL特定部107は、トップページURL特定部106が入力したローカルプロキシログエントリ304とトップページURL特定部106が生成したトップページURL情報306とを入力し、図14に示す処理を行う。
【0094】
まず、ブラウザアクセスURL特定部107は、コンテンツ実体350の内容をコンテンツ実体350の最初の行から1行入力する(図14のS201)。具体的には、ブラウザアクセスURL特定部107は図7のD3501に示される「<html lang=“ja”>」を入力する。
次に、ブラウザアクセスURL特定部107は、入力した内容が<html>タグであるか否かを判定する(図14のS202)。すなわち、この処理により、ブラウザアクセスURL特定部107はhtmlコンテンツの始まりか否かを判定している。この場合、「<html lang=“ja”>」は<html>タグである(図14のS202の「YES」)。
【0095】
更に、ブラウザアクセスURL特定部107は、コンテンツ実体350の内容をコンテンツ実体350の行の順番通りに1行入力する(図14のS203)。
そして、ブラウザアクセスURL特定部107は、入力したコンテンツ実体350の内容にサブコンテンツのURLが含まれるか否かを判定する(図14のS204)。
【0096】
ここで、サブコンテンツとは、例えば<a>タグにおける「href=」に続くURLや、<img src>タグにおけるsrc属性のURLや、動画表示用タグにおけるURLなどである。つまり、コンテンツ実体350には、htmlコンテンツが自動で取得するサブコンテンツ(「img src」で指定される画像、動画表示用タグで指定される動画など)や、リンクされるサブコンテンツ(<a>タグで指定されるURL)などが記載されている。
【0097】
ブラウザアクセスURL特定部107は、図14のS203で読み込んだコンテンツ実体350の内容にサブコンテンツのURLが含まれる場合(図14のS204の「YES」)は、サブコンテンツのURLをトップページ内URLに設定する(図14のS205)。そして、ブラウザアクセスURL特定部107は図14のS203の処理を再度行う。
【0098】
ここで、トップページ内URLとは、端末装置500がトップページURLでアクセスしたWebサイトが自動で取得するコンテンツやリンクされるコンテンツのURLを意味しており、トップページに付随して得られるコンテンツのURLを意味する。
【0099】
ブラウザアクセスURL特定部107は、図14のS203で読み込んだコンテンツ実体350の内容にサブコンテンツのURLが含まれない場合(図14のS204の「NO」)は、読み込んだコンテンツ実体350の内容が</html>タグが否かを判定する(図14のS206)。この処理により、ブラウザアクセスURL特定部107は、htmlコンテンツの終わりか否かを判定している。
【0100】
読み込んだコンテンツ実体350の内容が</html>タグである場合、ブラウザアクセスURL特定部107は処理を終了(図14のS206の「YES」)する。そして、トップページURL特定部106から入力したトップページURL情報306と設定したトップページ内URL606とからブラウザアクセスURL情報307を生成する。
すなわち、トップページURL情報306とトップページURL情報306の各エントリ(各行)に対応づけられたトップページ内URL606とを合わせた情報をブラウザアクセスURL情報307と称する。
その後、トップページURL特定部106が引き続き、図12のS101の処理を行う。
【0101】
一方、読み込んだコンテンツ実体350の内容が</html>タグでない場合、ブラウザアクセスURL特定部107は、図14のS203の処理を再度行う。
【0102】
ブラウザアクセスURL特定部107が、図14に示す処理を実行することにより、図7に示されるコンテンツ実体350の例から設定したトップページ内URL606の例を図15に示す。
【0103】
そして、トップページURL特定部106が図12に示す処理を実行し、図6に示されるローカルプロキシログエントリ304からトップページURL情報306を生成し、更に、ブラウザアクセスURL特定部107がトップページURL情報306毎に対しトップページ内URL606を設定したブラウザアクセスURL情報307の例を図16に示す。
【0104】
例えば、図16に示すブラウザアクセスURL情報307a〜307dのそれぞれ1行ずつが1つのブラウザアクセスURL情報である。そして、例えば、ブラウザアクセスURL情報307a〜307dでブラウザアクセスURL情報307のセットを構成している。
そして、例えば、図16のブラウザアクセスURL情報307aの「(トップページ内URL)」は、図示を省略しているが、実際には図15に示すようなトップページ内URL606の内容が記録されている。
【0105】
(ローカルプロキシログ取り込み部104の処理)
図17は、プロキシログ201の例を示す図である。
図18は、プロキシログ取り込み部101の処理の例を示すフローチャートである。
図19は、プロキシログエントリ301の例を示す図である。
【0106】
プロキシログ取り込み部101は、プロキシログ201と期間206と端末識別子205とを入力する。
【0107】
プロキシログ201は、図17に示すフォーマットのように、例えば「アクセス日時、端末識別子、アクセスしたWebサイトのURL、メソッド(GET/POSTなど)、ステータスコード、通信サイズ」が時系列順に記録される。
【0108】
また、プロキシログ201には、プロキシサーバ装置600に接続された全ての端末装置500からの全てのWebアクセスが記録される。ただし、図17では、端末識別子「192.168.1.2」以外の端末装置500のWebアクセスの図示を省略している。ここで、全てのWebアクセスとは、例えば、ブラウザや、Web通信を行うアプリケーションや、Web通信を行うマルウェアなどによるWebアクセスである。
【0109】
そして、プロキシログ201には、これらのWebアクセス毎にプロキシサーバ装置600がアクセスを行ったアクセス先のアドレスが示されている。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスが示されている。
【0110】
なお、図17に示すプロキシログ201の例えば、「(http://○○○.abc−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」を説明する。プロキシサーバ装置600がhttp://○○○.abc−sample.△△△/にアクセスした結果、プロキシサーバ装置600が取得したコンテンツの中に、画像や動画などを取り込むタグが記録されていた場合に、プロキシサーバ装置600は、httpでそれらの画像や動画を自動的に取得する。そして、それらの画像や動画もプロキシログ201に記録されていることを意味している。
【0111】
図18を用いて、プロキシログ取り込み部101の動作を説明する。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
【0112】
まず、プロキシログ取り込み部101は、プロキシログ201の全てのエントリを入力したか否かを判定する(図18のS701)。
【0113】
プロキシログ取り込み部101は、全てのエントリを入力していなければ(図18のS701の「NO」)、入力していないプロキシログ201のエントリを例えばアクセス日時の時系列順に入力する(図18のS702)。
次に、プロキシログ取り込み部101は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図18のS703)。
アクセス日時が期間206の範囲内であれば(図18のS703の「YES」)、プロキシログ取り込み部101は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図18のS704)。
端末識別子が、端末識別子205と一致すれば(図18のS704の「YES」)、プロキシログ取り込み部101は、読み込んだエントリをプロキシログエントリ301として出力する(図18のS705)。
【0114】
そして、図18のS701の処理に戻り、プロキシログ取り込み部101は、プロキシログ201の全てのエントリを入力するまで(図18のS701の「YES」)、図18のS701からS705の処理を繰り返す。
【0115】
例えば、図19に示すプロキシログエントリ301a〜301fのそれぞれ1行ずつが1つのプロキシログエントリである。そして、例えば、プロキシログエントリ301a〜301fでプロキシログエントリ301のセットを構成している。
【0116】
すなわち、プロキシログ取り込み部101は、図17に示すプロキシログ201のエントリの内、期間206にアクセス日時が該当し、端末識別子が端末識別子205に該当するエントリを抽出し、図19に示すプロキシログエントリ301のセットを生成する。
【0117】
(URLホワイトリスト取り込み部102の処理)
図20は、URLホワイトリスト取り込み部102の処理の例を示すフローチャートである。
図21は、URLホワイトリスト202の例を示す図である。
図22は、ホワイトURL302の例を示す図である。
【0118】
URLホワイトリスト取り込み部102は、URLホワイトリスト202を入力する。
【0119】
URLホワイトリスト202は、例えば企業などの組織でアクセスが許可されたURLのリストであり、図21に示すフォーマットのように、例えば「URL、備考」が記録される。
URLホワイトリスト取り込み部102は、URLホワイトリスト202の各エントリの最初の要素であるURLを抽出し、ホワイトURL302として出力する。
【0120】
図20を用いて、URLホワイトリスト取り込み部102の動作を説明する。
【0121】
まず、URLホワイトリスト取り込み部102は、URLホワイトリスト202の全てのエントリを入力したか否かを判定する(図20のS801)。
【0122】
URLホワイトリスト取り込み部102は、全てのエントリを入力していなければ(図20のS801の「NO」)、入力していないURLホワイトリスト202のエントリを入力する(図20のS802)。
次に、URLホワイトリスト取り込み部102は、入力したエントリのURLを抽出する(図20のS803)。
そして、URLホワイトリスト取り込み部102は、抽出したURLをホワイトURL302として出力する(図20のS804)。
【0123】
そして、図20のS801の処理に戻り、URLホワイトリスト取り込み部102は、URLホワイトリスト202の全てのエントリを入力するまで(図20のS801の「YES」)、図20のS801からS804の処理を繰り返す。
【0124】
例えば、図22に示すホワイトURL302a〜302bのそれぞれ1行ずつが1つのホワイトURLである。そして、例えば、ホワイトURL302a〜302bでホワイトURL302のセットを構成している。
【0125】
(グレーURL特定部105の処理)
グレーURL特定部105の処理を第1の例と第2の例とに分けて説明する。
【0126】
(グレーURL特定部105の処理の第1の例)
図23は、グレーURL特定部105の処理の第1の例を示すフローチャートである。
図24は、グレーURL特定部105の第1の例の処理によるグレーURL情報305の例を示す図である。
【0127】
図23を用いて、グレーURL特定部105の処理の第1の例を説明する。
グレーURL特定部105は、プロキシログエントリ301(プロキシログエントリ301のセット)とホワイトURL302(ホワイトURL302のセット)とを入力する(図23のS2301)。
ここで、プロキシログエントリ301は、図19に示す例とし、ホワイトURL302は図22に示す例とする。
なお、プロキシログエントリ301(プロキシログエントリ301のセット)は、前述の通りプロキシログ201から抽出されたものであり、プロキシログエントリ301(プロキシログエントリ301のセット)に示されるURL(アドレス)は、前述の通りプロキシログ201に示されるURL(アドレス)である。
そして、ホワイトURL302は、URLホワイトリスト202(正当アドレス情報)に示されるアドレスである。
【0128】
そして、グレーURL特定部105は、プロキシログエントリ301のセットの内、ホワイトURL302が含まれるプロキシログエントリ301を削除する(図23のS2302)。
具体的には、図19に示すプロキシログエントリ301aに、図22に示すホワイトURL302aが含まれ、図19に示すプロキシログエントリ301dに、図22に示すホワイトURL302bが含まれる。よって、グレーURL特定部105は、プロキシログエントリ301のセットの内、プロキシログエントリ301aとプロキシログエントリ301dとを削除する。
【0129】
ここで、ホワイトURL302が含まれるプロキシログエントリ301を削除するとは、換言すると、ホワイトURL302以外のURLが含まれるプロキシログエントリ301を抽出することである。つまり、グレーURL特定部105は、実質的にホワイトURL302以外のURLをプロキシログエントリ301のセットから抽出している。
すなわち、グレーURL特定部105は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)に示されていないURL(アドレス)を抽出する。
換言すると、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
【0130】
そして、グレーURL特定部105は、編集したプロキシログエントリ301のセット(すなわち、ホワイトURL302が含まれるプロキシログエントリ301を削除したプロキシログエントリ301のセット)をグレーURL情報305として出力する(図23のS2303)。
グレーURL情報305の例を図24に示す。ここで、図24の例は、プロキシログエントリ301に含まれるURL以外の情報(例えばアクセス日時、端末識別子など)も含まれているが、グレーURL情報305は、WebサイトのURLの情報のみであってもも良い。
【0131】
(グレーURL特定部105の処理の第2の例)
図25は、グレーURL特定部105の処理の第2の例を示すフローチャートである。
図26は、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例を示す図である。
【0132】
次に図25を用いて、グレーURL特定部105の処理の第2の例を説明する。
グレーURL特定部105は、プロキシログエントリ301(プロキシログエントリ301のセット)とホワイトURL302(ホワイトURL302のセット)とに加えて、ブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)を入力する(図25のS2401)。
【0133】
ここで、プロキシログエントリ301は、図19に示す例とし、ホワイトURL302は図22に示す例とし、ブラウザアクセスURL情報307は図16に示す例とする。
更に、ブラウザアクセスURL情報307aに含まれるトップページ内URL606は、図15に示す例とする。図16には、ブラウザアクセスURL情報307a〜307dの4つが示されており、それぞれに対応したトップページ内URL606が存在し得る。しかし、ここでは、ブラウザアクセスURL情報307b〜307dに対応するトップページ内URL606は無いものと想定する。
【0134】
そして、グレーURL特定部105は、ホワイトURL302で示されるWebサイトが自動で取得するコンテンツやリンクされるコンテンツのURLを抽出する。すなわち、グレーURL特定部105は、ホワイトURL302に対応するトップページ内URL606を抽出する(図25のS2402)。
具体的には、グレーURL特定部105は、入力したブラウザアクセスURL情報307のセットから、例えば図22のホワイトURL302a「http://○○○.abc−sample.△△△/」に一致するURLを含むブラウザアクセスURL情報307を選択する。この場合、グレーURL特定部105は、「http://○○○.abc−sample.△△△/」が含まれている、図16に示すブラウザアクセスURL情報307aを選択する。そして、グレーURL特定部105は、ブラウザアクセスURL情報307aのトップページ内URL606を抽出する。
【0135】
そして、グレーURL特定部105は、プロキシログエントリ301のセットの内、入力したホワイトURL302と、入力したホワイトURL302のそれぞれに対応するトップページ内URL606とのいずれかが含まれるプロキシログエントリ301を削除する(図25のS2403)。
そして、グレーURL特定部105は、編集したプロキシログエントリ301のセットをグレーURL情報305として出力する(図25のS2404)。
【0136】
グレーURL情報305の具体例を図26に示す。
グレーURL特定部105の第1の例の処理によるグレーURL情報305の例(図24)には、図24のD2504に示される情報(「http://○○○.sample1.△△△/」のURLが示される情報)が含まれている。
一方、図15のD6061に示されるトップページ内URL606に「http://○○○.sample1.△△△/」が有る。従って、グレーURL特定部105は、第2の例の処理において、プロキシログエントリ301のセット(図19)の内プロキシログエントリ301fを削除して、グレーURL情報305を出力する。よって、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例(図26)には、「http://○○○.sample1.△△△/」のURLが示される情報が含まれていない。
【0137】
(ブラックURL特定部108の処理)
ブラックURL特定部108の処理を第1〜第4の例に分けて説明する。
【0138】
(ブラックURL特定部108の処理の第1の例)
図27は、ブラックURL特定部108の処理の第1の例と第2の例とを示すフローチャートである。
図28は、ブラックURL208の例を示す図である。
【0139】
図27を用いて、ブラックURL特定部108の処理の第1の例を説明する。
ブラックURL特定部108は、グレーURL情報305とブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)とを入力する(図27のS2601)。
ここで、グレーURL情報305は、前述のグレーURL特定部105の第1の例で処理された情報でも、前述のグレーURL特定部105の第2の例で処理された情報でも良い。ここでは、グレーURL情報305は、前述のグレーURL特定部105の第2の例で処理された情報として、図26に示す具体例で説明を行う。すなわち、グレーURL情報305に示されるURLは、プロキシログエントリ301に示されるURLから、ホワイトURL302とトップページ内URL606とに示されるURLが除外されたものである。
また、ブラウザアクセスURL情報307は図16に示す例とする。
【0140】
そして、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307のURLが含まれるエントリを削除する(図27のS2602)。
なお、ブラックURL特定部108の処理の第1の例の場合、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページURL情報306の部分に示されるURLが含まれるエントリを削除する。
例えば、図26のD2601の行に示すグレーURL情報305のエントリは、図16のブラウザアクセスURL情報307bのトップページURL情報306部分に示されるURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図26のD2601の行に示すグレーURL情報305のエントリを削除する。
【0141】
なお、ここで、例えば、図26のD2601の行に示すグレーURL情報305のエントリの「(http://○○○.123−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」に示されるURLと、図16のブラウザアクセスURL情報307bの「(トップページ内URL)」に示されるURLとは、重複する。
したがって、ブラックURL特定部108は、グレーURL情報305のエントリの「(http://○○○.123−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」に示されるURLも、グレーURL情報305のエントリの一部として削除して構わない。
【0142】
そして、ブラックURL特定部108は、編集後のグレーURL情報305をブラックURL情報250とし、ブラックURL情報250からブラックURL208を抽出する(図27のS2603)。ブラックURL情報250の具体例を図28に示す。
ここで、ブラックURL情報250(例えば図28に示す例)に含まれるURLの情報を(例えば「http://○○○.789−sample.△△△/」)を、ブラックURL208と称する。
【0143】
そして、図28に示す「(http://○○○.789−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」にもURLの情報が含まれる場合がある。その場合、ブラックURL特定部108は、このURLをブラックURL208として抽出しても良い。
【0144】
なお、ブラウザアクセスURL情報307のトップページURL情報306部分に示されるURLは、例えば端末操作ログ203などのユーザ指示情報に示されるURLであり、ユーザがブラウザを用いて端末装置500にアクセスを指示したURLである。
【0145】
そして、ブラックURL特定部108の処理の具体例として、図26に示すグレーURL特定部105の第2の例で処理された情報を示した。ここで、グレーURL特定部105の処理の第1の例と第2の例とのいずれも、グレーURL情報305は、プロキシログエントリ301に示されるURLから、ホワイトURL302に示されるURLが除外されたものである。(グレーURL特定部105の処理の第2の例のグレーURL情報305は、トップページ内URL606に示されるURLが追加で除外されている。)
すなわち、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
【0146】
そして、ブラックURL208は、グレーURL情報305に示されるURLの内、トップページURL情報306(ユーザ指示情報)に示されないURLである。すなわち、ブラックURL208は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とのいずれにも示されていないURLである。
換言すると、ブラックURL特定部108は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とのいずれにも示されていないURL(アドレス)を抽出する。
【0147】
つまり、ブラックURL208とは、例えば企業などの組織に許可されたホワイトURL302ではなく、かつ、ユーザの操作によるブラウザからアクセスではないURLである。その為、ブラックURL208は、マルウェアの通信によるアクセス先URLであると考えられる。
【0148】
(ブラックURL特定部108の処理の第2の例)
次に図27を用いて、ブラックURL特定部108の処理の第2の例を説明する。
ブラックURL特定部108は、グレーURL情報305とブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)とを入力する(図27のS2601)。
ここで、グレーURL情報305は、前述のグレーURL特定部105の第1の例で処理された情報であり、図24に示す例とする。すなわち、グレーURL情報305に示されるURLは、プロキシログエントリ301に示されるURLから、ホワイトURL302に示されるURLが除外されたものである。
また、ブラウザアクセスURL情報307は図16に示す例とし、ブラウザアクセスURL情報307aに含まれるトップページ内URL606は、図15に示す例とする。
ここで、グレーURL特定部105の処理における説明と同様に、ブラウザアクセスURL情報307b〜307dに対応するトップページ内URL606は無いものと想定する。
【0149】
そして、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307のURLが含まれるエントリを削除する(図27のS2602)。
ここで、ブラックURL特定部108の処理の第1の例と同様に、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページURL情報306の部分に示されるURLが含まれるエントリを削除する。そして、更に、ブラックURL特定部108は、ブラックURL特定部108の処理の第2の例の場合、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページ内URL606の部分に示されるURLが含まれるエントリも削除する。
【0150】
例えば、図24のD2501の行に示すグレーURL情報305のエントリは、図16のブラウザアクセスURL情報307bのトップページURL情報306部分に示されるURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図24のD2501の行に示すグレーURL情報305のエントリを削除する。
更に、図24のD2504の行に示すグレーURL情報305のエントリは、図15のD6061の行に示されるトップページ内URL606のURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図24のD2504の行に示すグレーURL情報305のエントリを削除する。
【0151】
そして、ブラックURL特定部108は、編集後のグレーURL情報305をブラックURL情報250とし、ブラックURL情報250からブラックURL208を抽出する(図27のS2603)。
結果的に、ブラックURL特定部108の処理の第1の例と、第2の例とによるブラックURL208は、図28に示すように同内容になる。
【0152】
なお、ブラウザアクセスURL情報307のトップページURL情報306部分に示されるURLは、前述の通り、ユーザ指示情報に示されるURLである。そして、ブラウザアクセスURL情報307のトップページ内URL606に示されるURLは、ユーザ指示情報に示されるURLのウェブページにリンクなどで関連付けされているURLが示される関連アドレス情報である。
すなわち、ローカルプロキシログ取り込み部104は、ユーザ指示情報に示されるアドレスのウェブページに関連付けされているアドレスが示される関連アドレス情報を入力している。
そして、前述のように、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
【0153】
そして、ブラックURL208は、グレーURL情報305に示されるURLの内、トップページURL情報306(ユーザ指示情報)とトップページ内URL606とに示されないURLである。すなわち、ブラックURL208は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とトップページ内URL606(関連アドレス情報)とのいずれにも示されていないURLである。
換言すると、ブラックURL特定部108は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とトップページ内URL606(関連アドレス情報)とのいずれにも示されていないURL(アドレス)を抽出する。
【0154】
(ブラックURL特定部108の処理の第3の例)
図29は、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を示す図である。
【0155】
図29を用いて、ブラックURL特定部108の処理の第3の例を説明する。
ブラックURL特定部108の処理の第1の例は、ローカルプロキシログ204を使用したが、ブラックURL特定部108の処理の第2の例では、ローカルプロキシログ204を使用しない場合を説明する。
この場合、ローカルプロキシログ取り込み部104、トップページURL特定部106、ブラウザアクセスURL特定部107は、使用されない。
そして、ブラックURL特定部108は、端末操作ログ取り込み部103が出力するWebアクセスURL情報303をブラウザアクセスURL情報307として入力する。
【0156】
ここで、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を図29に示す。ここで、メソッド、ステータス、通信サイズ、トップページ内URLが「NULL」となっているのは、ローカルプロキシログ204を使用しない為、情報が無いことを示している。
【0157】
その他の処理は、ブラックURL特定部108の処理の第1の例と同じである為、説明を省略する。
なお、ローカルプロキシログ204を使用しないので、トップページ内URL606の情報が無く、グレーURL特定部105における処理は、前述の第1の例に示す処理となる。
【0158】
(ブラックURL特定部108の処理の第4の例)
ブラックURL特定部108の処理の第4の例を説明する。
ブラックURL特定部108の処理の第4の例は、端末操作ログ203とローカルプロキシログ204とを使用しない場合を説明する。
この場合、端末操作ログ取り込み部103、ローカルプロキシログ取り込み部104、トップページURL特定部106、ブラウザアクセスURL特定部107は使用されない。従って、ブラウザアクセスURL情報307も生成されない。
【0159】
そして、ローカルプロキシログ204を使用しないので、トップページ内URL606の情報が無く、グレーURL特定部105における処理は、前述の第1の例に示す処理となる。
ブラックURL特定部108は、グレーURL特定部105が前述の第1の例の処理により出力したグレーURL情報305を入力し、入力したグレーURL情報305をブラックURL情報250とし、ブラックURL208を抽出する。
【0160】
(ブラウザアクセスURL情報307の保存処理)
ブラウザアクセスURL情報307の保存処理を第1の例と第2の例とに分けて説明する。
【0161】
(ブラウザアクセスURL情報307の保存処理の第1の例)
図30は、ブラウザアクセスURL情報307保存処理の第1の例を示すフローチャートである。
【0162】
情報漏洩検知システム100の記憶装置(例えば磁気ディスク装置)は、ブラウザアクセスURL情報307を記憶する。そして、情報漏洩検知システム100の記憶装置は、情報漏洩検知システム100が動作する毎に、既に記憶しているブラウザアクセスURL情報307に新しいブラウザアクセスURL情報307を追加して記憶する。従って、情報漏洩検知システム100を動作させる度に、ブラウザアクセスURL情報307は増える。
図30を用いて、ブラウザアクセスURL情報307の保存処理の第1の例を説明する。
【0163】
まず、ブラウザアクセスURL特定部107は、図12と図14とに示す処理で、ブラウザアクセスURL情報307を生成した際に、記憶装置に記憶されているブラウザアクセスURL情報307(記憶装置に記憶されているブラウザアクセスURL情報307を「保存ブラウザアクセスURL情報」と称する)が有るか否かを判定する(図30のS901)。
保存ブラウザアクセスURL情報が有れば(図30のS901の「YES」)、ブラウザアクセスURL特定部107は、記憶装置から保存ブラウザアクセスURL情報を入力する(図30のS902)。
次に、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307を追加する(図30のS903)。
そして、ブラウザアクセスURL特定部107は、編集(保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307を追加)した情報をブラウザアクセスURL情報307として出力する(図30のS904)。更に、ブラウザアクセスURL特定部107は、編集した情報を保存ブラウザアクセスURL情報として記憶装置に入力し、記憶装置は新たな保存ブラウザアクセスURL情報を記憶する(図30のS906)。
【0164】
1回でもブラウザアクセスURL特定部107によりブラウザアクセスURL情報307が生成された場合は、記憶装置に保存ブラウザアクセスURL情報が存在する。しかし、例えば情報漏洩検知システム100の初回動作時など、記憶装置に保存ブラウザアクセスURL情報が存在しない場合(図30のS901の「NO」)、ブラウザアクセスURL特定部107は生成したブラウザアクセスURL情報307をそのまま出力する(図30のS905)。そして、記憶装置は、ブラウザアクセスURL特定部107により生成されたブラウザアクセスURL情報307を保存ブラウザアクセスURL情報として記憶する(図30のS906)。
【0165】
あるいは、記憶装置に記憶される保存ブラウザアクセスURL情報は、情報漏洩検知システム100が停止(電源オフ)される毎に消去されても良い。
【0166】
(ブラウザアクセスURL情報307の保存処理の第2の例)
図31は、ブラウザアクセスURL情報307保存処理の第2の例を示すフローチャートである。
【0167】
保存ブラウザアクセスURL情報は、一定の期間(例えば1日)が経過した場合に消去され、該当する情報が消去されても良い。図31を用いて、ブラウザアクセスURL情報307の保存処理の第2の例を説明する。
【0168】
まず、ブラウザアクセスURL特定部107は、図12と図14とに示す処理で、ブラウザアクセスURL情報307を生成した際に、保存ブラウザアクセスURL情報が有るか否かを判定する(図31のS1001)。
保存ブラウザアクセスURL情報が無ければ(図31のS1001の「NO」)、ブラウザアクセスURL特定部107は、生成したブラウザアクセスURL情報307を出力する(図31のS1008)。
更に、ブラウザアクセスURL特定部107は、生成したブラウザアクセスURL情報307をエントリ毎に(各行毎に)タイムスタンプと対応付けて、保存ブラウザアクセスURL情報として記憶装置に入力する。そして、記憶装置はタイムスタンプに対応付けられた各エントリ(各行)から成る保存ブラウザアクセスURL情報を記憶する(図31のS1009)。
【0169】
一方、保存ブラウザアクセスURL情報が有れば(図31のS1001の「YES」)、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報を入力する(図31のS1002)。
次に、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307をエントリ毎に(各行毎に)タイムスタンプと対応付けて、追加する(図31のS1003)。この時、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報のエントリ毎に(各行毎に)対応付けられているタイムスタンプは変更しない。
そして、ブラウザアクセスURL特定部107は、編集した情報をブラウザアクセスURL情報307として出力する(図31のS1004)。更に、ブラウザアクセスURL特定部107は、編集した情報を保存ブラウザアクセスURL情報として記憶装置に入力し、記憶装置は新たな保存ブラウザアクセスURL情報を記憶する(図31のS1005)。
【0170】
そして、ブラウザアクセスURL特定部107は、記憶装置に保存ブラウザアクセスURL情報が存在し、予め設定された保存期間を過ぎたタイムスタンプが対応付けられているエントリが保存ブラウザアクセスURL情報に含まれているか否かを判定する(図31のS1006)。この予め設定された保存期間も例えば、情報漏洩検知システム100の記憶装置に記憶されている。
例えば、保存期間が「1日」と設定されている場合、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報のエントリの内、対応付けられているタイムスタンプに24時間を足した日時が現日時を超えているエントリが含まれているか否かを判定する。
該当のエントリが含まれていれば(図31のS1006の「YES」)、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報から該当のエントリと該当のエントリに対応付けられたタイムスタンプとを消去する(図31のS1007)。そして、記憶装置は、ブラウザアクセスURL特定部107が編集した情報を新たな保存ブラウザアクセスURL情報として記憶する。
【0171】
(実施の形態1の効果)
図32は、従来の情報漏洩検知システム100の課題の例を示す図である。
【0172】
例えば、マルウェアが感染した端末装置500は、ネットワーク150(例えばインターネット)上のC&C(Comand&Control)サーバとHTTP通信を行う。そこで、従来、標的型攻撃へ対策する方法として、この点に着目し、HTTP通信を検知する方法が考えられている。そして、例えば企業などの組織におけるインターネットとの通信はHTTPが殆どであり、全てのHTTP(またはHTTPS(HyperText Transfer Protocol over Secure Socket Layer)通信は、プロキシサーバ装置600を経由する。よって、HTTPの通信を記録するプロキシログ201を分析することで特定する方法がある。
しかし、組織においてプロキシログ201は大量である。そして、一方C&Cサーバとの通信はわずかで、その挙動はユーザからは認識されず、目立たないためプロキシログ201からC&Cサーバとの通信を発見することは困難である。すなわち、わずかなマルウェアの通信を大量のプロキシログ201から発見するのは困難という課題がある(図32のC101)。
また、プロキシログを見ただけでは、ユーザが意図してアクセスしたのか、何かのプログラムがユーザの意図とは関係なくアクセスしたのか判断できないという課題がある(図32のC102)。
【0173】
また、従来、URLフィルタによりマルウェアの通信を遮断する製品が複数存在する。一般的にURLフィルタではアクセスを禁止すべきURLのブラックリストを設けるか、アクセスを許可するURLのホワイトリストを作成しアクセスを制御する。しかし、通信を許可すべきではない怪しいWebサイトは次々に現れるため、ブラックリストを完全に作ることは困難である。従って、URLフィルタの設定に完全なものはなく、管理者のスキルに依存して設定される。URLフィルタの設定によってはURLアクセスを禁止すべきマルウェアの通信を特定できない(マルウェアのアクセスURLが漏れる)という課題がある(図32のC103)。
【0174】
一方、本実施の形態における情報漏洩検知システム100は、プロキシログ201、URLホワイトリスト202、端末操作ログ203、ローカルプロキシログ204を用いて、ユーザが意図しないマルウェアによる通信と思われるHTTP通信を特定する。
【0175】
すなわち、本実施の形態における情報漏洩検知システム100は、調査対象の端末装置500における端末操作ログ203とローカルプロキシログ204とからユーザがブラウザでアクセスしたURLが示されるブラウザアクセスURL情報307を特定する。
ここで、本実施の形態の情報漏洩検知システム100は、端末操作ログ203からトップページURL情報306を特定し、ローカルプロキシログ204からトップページ内URL606(トップページURLのコンテンツが自動で取得する、あるいはリンクしているURL)を特定する。そして、本実施の形態の情報漏洩検知システム100は、トップページURL情報306とトップページ内URL606と合わせてブラウザアクセスURL情報307とする。
そして、本実施の形態の情報漏洩検知システム100は、組織に共通のプロキシサーバ装置600におけるプロキシログ201の内、調査対象の端末装置500に関わるURLの記録(端末装置500からのWebアクセスのURL)から、URLホワイトリスト202で許可されたURLを除いたグレーURL情報305を特定する。さらに、本実施の形態の情報漏洩検知システム100は、グレーURL情報305からブラウザアクセスURL情報307のURLを除くことで、ブラックURL208を特定する。
【0176】
つまり、本実施の形態の情報漏洩検知システム100は、例えば企業などの組織に許可されたURLでなく、ユーザがブラウザからアクセスしたURLでもないブラックURL208を抽出することが可能である。このブラックURL208は、端末装置500からのWeb通信においてユーザの意図しないアクセスのアクセス先である。従って、本実施の形態の情報漏洩検知システム100は、例えば情報漏洩等マルウェアが行う不正なWeb通信によりアクセスされたURLを検知することが可能である。
換言すると、情報漏洩検知システム100は、大量のプロキシログ201の情報から、例えば管理者のスキルに依存することなく、ユーザの意図と関係ないアクセスのアクセス先のURLを検知することが可能である。
【0177】
また、本実施の形態のブラックURL特定部108の処理の第3の例に示す方法では、環境によってはローカルプロキシのアプリケーションを端末装置500にインストール出来ない場合(ローカルプロキシを利用しない場合)でも、ブラックURL208を特定することが可能である。
更に、本実施の形態のブラックURL特定部108の処理の第4の例に示す方法では、環境によってはローカルプロキシと端末操作記録アプリケーションをインストールできない場合(ローカルプロキシと端末操作記録アプリケーションとを利用しない場合)でも、ブラックURL208を特定することが可能である。
【0178】
実施の形態2.
(実施の形態2における情報漏洩検知システム100の概要)
実施の形態2の情報漏洩検知システム100は、プロキシログエントリ301に示されるURLの内、ローカルプロキシログ204に記録の無いURLで、かつ、ホワイトURL302でもないURLをブラックURL208として抽出する。
すなわち、実施の形態2の情報漏洩検知システム100は、ローカルプロキシを経由せずにWeb通信されたアクセス先のURLを抽出する。
なお、実施の形態2の情報漏洩検知システム100は、端末操作ログ203を使用しない。従って、端末操作ログ取り込み部103は使用されない。
ブラウザアクセスURL特定部107は、ローカルプロキシログエントリ304のみを入力し、後述の処理によりブラウザアクセスURL情報307を出力する。
【0179】
なお、実施の形態2の情報漏洩検知システム100は、端末操作ログ取り込み部103を使用しない以外は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
【0180】
(トップページURL特定部106の処理)
図33は、トップページURL特定部106の処理の例を示すフローチャートである。
図33を用いて、実施の形態2におけるトップページURL特定部106の処理を説明する。
【0181】
まず、トップページURL特定部106は、実施の形態1と同様に、ローカルプロキシログエントリ304を全て入力したか否かを判定する(図33のS301)。
トップページURL特定部106は、実施の形態1と同様に、全てのローカルプロキシログエントリ304を入力していなければ(図33のS301の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図33のS302)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
【0182】
そして、トップページURL特定部106は、入力したローカルプロキシログエントリ304に含まれるURLを抽出する(図33のS303)。
具体例で示すと、トップページURL特定部106は、図9のローカルプロキシログエントリ304aに含まれるURL「http://○○○.abc−sample.△△△/」を抽出する。そして、トップページURL特定部106は、抽出したURLをトップページURLとし、入力したローカルプロキシログエントリ304aから実施の形態1と同様に、図13に示すトップページURL情報306aを生成する。
【0183】
そして、トップページURL情報306が生成される毎に、ブラウザアクセスURL特定部107は、トップページURL特定部106が入力したローカルプロキシログエントリ304からトップページ内URL606を抽出する(図33のS304)。そして、ブラウザアクセスURL特定部107は、トップページURL情報306とトップページ内URL606とからブラウザアクセスURL情報307を生成する。
図33のS304の処理は、実施の形態1の図12のS104の処理と同じである為、詳細な説明は省略する。
【0184】
なお、実施の形態1では、端末操作ログ203を使用している為、ブラウザの操作によりアクセスされたURLがブラウザアクセスURL情報307となる。一方、実施の形態2では、ローカルプロキシ経由でWebアクセスするブラウザ以外のアプリケーションのWeb通信情報もブラウザアクセスURL情報307に含まれる点が実施の形態1とは異なる。
【0185】
また、実施の形態2では、トップページURL特定部106がトップページURL情報306を生成し、ブラウザアクセスURL特定部107がトップページ内URL606を抽出して、ブラウザアクセスURL情報307を生成すると説明した。
しかし、ブラウザアクセスURL特定部107がローカルプロキシログエントリ304を入力し、前述トップページURL特定部106と同様の処理を行うことも可能である。すなわち、ブラウザアクセスURL特定部107がローカルプロキシログエントリ304を入力し、トップページURL情報306を生成し、トップページ内URL606を抽出してブラウザアクセスURL情報307を生成することも可能である。この場合、トップページURL特定部106は使用されない。
【0186】
(実施の形態2の効果)
実施の形態2の情報漏洩検知システム100は、環境によっては端末操作記録アプリケーションをインストールできない場合(端末操作記録アプリケーションを利用しない場合)でも、ブラックURL208を特定することが可能である。
【0187】
実施の形態3.
(実施の形態3における情報漏洩検知システム100の概要)
実施の形態3では、端末装置500に例えばWebカメラが備えられている(Webカメラの図示は省略する)。そして、期間特定部200(図2)は、Webカメラの映像からユーザが端末装置500に座っているか否かを判定して、座っていないと判定される期間を期間206として入力する。ここで、Webカメラの映像からユーザが端末装置500に座っているか否かを判定する技術は、公知技術を使用する。
なお、ユーザが端末装置500に座っているか否かを判定する技術としては、Webカメラを使用するものに特定されず、例えば、温度の変化を捉えるセンサや、音の変化を捉えるセンサなどを使用するものであっても良い。また、重量センサを備えた椅子を用いることによりユーザが端末装置500(端末装置500の椅子)に座っているか否かを判定することも可能である。
【0188】
すなわち、実施の形態3の情報漏洩検知システム100は、ユーザが端末装置500に座っていない期間(ユーザによる端末装置500やブラウザの操作が無い期間)のグレーURL情報305とブラックURL208(ブラックURL情報250)とを抽出する。この期間は、ユーザが端末装置500に座っていないため、ユーザによるブラウザ操作がされていない期間として考えられる。そして、この期間に発生したWebアクセスは、何かしらのプログラムが自動的にWebサイトへアクセスしたために発生したアクセスであると考えられる。
【0189】
つまり、実施の形態3の情報漏洩検知システム100で抽出されるグレーURL情報305は、実施の形態1で抽出されるグレーURL情報305よりも絞り込まれることになる。
【0190】
なお、実施の形態3の情報漏洩検知システム100は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
【0191】
(期間特定部200の処理)
図34は、期間特定部200の処理の例を示すフローチャートである。
期間特定部200は、図34のフローチャートに基づき、ユーザが端末装置500に座っていない期間を演算する。
【0192】
まず、期間特定部200は、Webカメラの映像からの映像を入力し、ユーザが座っているか否かを判定する(図34のS1601)。すなわち、Webカメラと期間特定部200とは、ユーザの存在を検知する検知装置である。
ここで、期間特定部200は、Webカメラからの映像を処理し、ユーザが座っているか否かの判定を行い、その判定結果を出力する映像処理装置(図示は省略)からユーザが座っているか否かの情報を入力しても良い。そして、期間特定部200は、ユーザが座っているか否かの情報に基づき、ユーザが座っているか否かを判定することも可能である。この場合、Webカメラと映像処理装置と期間特定部200とがユーザの存在を検知する検知装置である。
【0193】
そして、期間特定部200は、ユーザが座っていない判定とした場合(図34のS1601の「NO」)、現在の日時を「Start_time」に設定する(図34のS1602)。
そして、期間特定部200は、予め設定された時間(n分間)待機し(図34のS1603)、再度S1601の処理を行う。
【0194】
一方、期間特定部200は、ユーザが座っている判定とした場合(図34のS1601の「YES」)、「Start_time」が既に設定されているか否かを判定する(図34のS1604)。
そして、期間特定部200は、「Start_time」が既に設定されていると判定した場合(図34のS1604の「YES」)、現在の日時を「End_time」に設定する(図34のS1605)。一方、期間特定部200は、「Start_time」が設定されていないと判定した場合(図34のS1604の「NO」)、S1603の処理を行う。
【0195】
そして、期間特定部200は、設定した「Start_time」と「End_time」との期間を期間206に設定する。
【0196】
そして、プロキシログ201は、例えば図17に示すように各エントリがアクセス日時(アクセス時刻)に対応付けられている。
すなわち、プロキシログ取り込み部101(図2)は、プロキシサーバ装置600が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログ201を入力する。
【0197】
そして、プロキシログ取り込み部101は、プロキシログ201のエントリの内、実施の形態1と同様に、期間206に含まれるアクセス時刻が示されるエントリをプロキシログエントリ301として抽出する。ここで期間206は、前述の通りユーザが端末装置500の前に存在しないと検知された期間である。
さらに、グレーURL特定部105は、プロキシログ取り込み部101が抽出したプロキシログエントリ301を用いてグレーURL情報305を抽出する。
【0198】
すなわち、グレーURL特定部105は、プロキシログ取り込み部101により入力されたプロキシログ201に示されるアドレスの内、ユーザの存在を検知する検知装置(期間特定部200)が、ユーザが端末装置500の前に存在しないと検知した期間206に含まれるアクセス時刻に対応付けられているアドレスを抽出する。
【0199】
なお、ブラックURL特定部108は、実施の形態1と同様に実施の形態3におけるグレーURL特定部105が抽出したグレーURL情報305をブラックURL情報250とし、ブラックURL208を抽出することも可能である。
【0200】
(実施の形態3の効果)
実施の形態3の情報漏洩検知システム100は、端末操作ログ203やローカルプロキシログ204を使用せずに、ユーザが端末装置500に座っていない期間を特定することが可能である。そして、実施の形態3の情報漏洩検知システム100は、調査対象期間をユーザが端末装置500に座っていない期間、すなわち、ユーザによりブラウザ操作がされていない期間とすることで、抽出されるグレーURL情報305を絞り込むことが可能である。
すなわち、実施の形態3の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0201】
なお、実施の形態3における期間特定部200の処理を実施の形態1と実施の形態2との期間特定部200に行わせることも可能である。
【0202】
実施の形態4.
(実施の形態4における情報漏洩検知システム100の概要)
実施の形態4の情報漏洩検知システム100は、端末操作ログ203にユーザ操作の履歴が残っている期間以外の期間を調査対象とする。
【0203】
なお、実施の形態4の情報漏洩検知システム100は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
【0204】
(端末操作ログ取り込み部103の処理)
図35は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
まず、端末操作ログ取り込み部103は、実施の形態1と同様に、期間206と端末操作ログ203とを入力する(図35のS3501)。
ここで、期間206は「2011/06/23 08:00:00〜2011/06/23 18:00:00」とする。期間206は、あらかじめ定義された定義期間である。そして、「2011/06/23 08:00:00」が定義期間の開始時刻であり、「2011/06/23 18:00:00」が定義期間の終了時刻である。
そして、端末操作ログ203は図3に示す例とする。
【0205】
ここで、端末操作ログ203は、図3に示すように操作日時と操作タイプと操作内容とが対応付けられている。つまり、端末操作ログ203は、ユーザが端末装置500に対して指示する指示操作と指示操作毎の操作時刻とが対応付けられて示されている。
【0206】
そして、ユーザがアドレス指示操作を行った場合、すなわち、ユーザが端末装置500に対してアクセス先のアドレスを指示すると共に、ユーザが端末装置500に対して指示したアドレスに端末装置500がWebアクセスを行うよう指示した場合、このアドレス指示操作が端末操作ログ203(例えば、図3)においては、「Webアクセス」のように表記されている。そして、この場合の図3に示される操作日時は、アドレス指示操作の操作日時である。
つまり、端末操作ログ203は、ユーザが端末装置500に対してアドレス指示操作を行った場合(ユーザが端末装置500に対してアクセス先のアドレスを指示した場合)に、ユーザが端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて端末装置500がプロキシサーバ装置600にアクセス先として通知したアドレスがアドレス指示操作とアドレス指示操作の操作時刻とに対応付けられて示される。
【0207】
次に、端末操作ログ取り込み部103は、期間を再設定する(図35のS3502)。
具体的には、端末操作ログ取り込み部103は、操作日時が入力した期間206「2011/06/23 08:00:00〜2011/06/23 18:00:00」内である端末操作ログ203のエントリの内、最初に記録されたエントリと最後に記録されたエントリとの操作日時を抽出する。
【0208】
図3に示す端末操作ログ203の場合、端末操作ログ取り込み部103は、最初に記録されたエントリの操作日時(最初の操作時刻)として、図3のD2031に示される「2011/06/23 09:00:00」を抽出する。そして、端末操作ログ取り込み部103は、最後に記録されたエントリの操作日時(最後の操作時刻)として、図3のD2037に示される「2011/06/23 16:00:00」を抽出する。
そして、端末操作ログ取り込み部103は、「2011/06/23 08:00:00〜2011/06/23 08:59:59」と「2011/06/23 16:00:01〜2011/06/23 18:00:00」とを期間206として再設定する。この再設定された期間206は、非操作期間(後述)に対応する。
【0209】
そして、端末操作ログ取り込み部103は、再設定した期間206を出力する(図35のS3503)。
つまり、端末操作ログ取り込み部103は、期間206を算出する期間算出部に対応する。
【0210】
ここで、端末操作ログ取り込み部103は、端末操作ログ203に示される操作時刻の内、あらかじめ定義された定義期間である期間206の開始時刻後の最初の操作時刻と定義期間(期間206)の終了時刻前の最後の操作時刻とを抽出している。そして、端末操作ログ取り込み部103は、定義期間(期間206)の開始時刻から最初の操作時刻までの期間と最後の操作時刻から定義期間(期間206)の終了時刻までの期間とから成る非操作期間を算出し、期間206として再設定している。
【0211】
また、端末操作ログ取り込み部103は、図35のS3502の処理において、ブラウザの操作記録のあった日時を抽出しても良い。
具体的には、端末操作ログ取り込み部103は、操作日時が入力した期間206「2011/06/23 08:00:00〜2011/06/23 18:00:00」内であり、ブラウザの操作を示す端末操作ログ203のエントリの内、最初に記録されたエントリと最後に記録されたエントリとの操作日時を抽出する。
【0212】
図3に示す端末操作ログ203の場合、ブラウザの操作を示す端末操作ログ203のエントリは、操作タイプが「Webアクセス」となっており、アクセス先のアドレスが操作内容として対応付けられている。
よって、端末操作ログ取り込み部103は、最初に記録されたエントリの操作日時(最初のアドレス対応操作時刻)として、図3のD2032に示される「2011/06/23 10:00:00」を抽出する。そして、端末操作ログ取り込み部103は、最後に記録されたエントリの操作日時(最後のアドレス対応操作時刻)として、図3のD2037に示される「2011/06/23 16:00:00」を抽出する。
そして、端末操作ログ取り込み部103は、「2011/06/23 08:00:00〜2011/06/23 09:59:59」と「2011/06/23 16:00:01〜2011/06/23 18:00:00」とを期間206として再設定する。この再設定された期間206は、非アドレス対応期間(後述)に対応する。
【0213】
ここで、端末操作ログ取り込み部103は、端末操作ログ203に示される操作時刻の内、定義期間(期間206)の開始時刻後の操作時刻であってアドレスが対応付けられている最初の操作時刻である最初のアドレス対応操作時刻と、定義期間(期間206)の終了時刻前の操作時刻であってアドレスが対応付けられている最後の操作時刻である最後のアドレス対応操作時刻とを抽出する。そして、端末操作ログ取り込み部103は、定義期間(期間206)の開始時刻から最初のアドレス対応操作時刻までの期間と最後のアドレス対応操作時刻から定義期間(期間206)の終了時刻までの期間とから成る非アドレス対応期間を算出し、期間206として再設定している。
【0214】
一方、プロキシログ取り込み部101、ローカルプロキシログ取り込み部104は端末操作ログ取り込み部103が再設定した期間206(非操作期間もしくは非アドレス対応期間のいずれか)を入力する。
そして、再設定された期間206に基づき、プロキシログ取り込み部101は、実施の形態1での説明と同様にプロキシログエントリ301を抽出する。
そして、グレーURL特定部105は、再設定された期間206に基づいたプロキシログエントリ301からグレーURL情報305を抽出する。
【0215】
すなわち、グレーURL特定部105は、端末操作ログ取り込み部103により非操作期間が算出された場合に、プロキシログエントリ301のセット(プロキシログ201)に示されるアドレスの内、非操作期間に含まれるアクセス時刻が対応付けられているアドレスを抽出する。そして、グレーURL特定部105は、端末操作ログ取り込み部103により非アドレス対応期間が算出された場合に、プロキシログエントリ301のセット(プロキシログ201)に示されるアクセス時刻に対応付けられているアドレスの内、非アドレス対応期間に含まれるアクセス時刻に対応付けられているアドレスを抽出する。
【0216】
また、端末操作ログ取り込み部103も、再設定された期間206に基づき、WebアクセスURL情報303を抽出し、ローカルプロキシログ取り込み部104も再設定された期間206に基づき、ローカルプロキシログエントリ304を抽出する。
【0217】
(実施の形態4の効果)
実施の形態4の情報漏洩検知システム100は、ユーザが端末操作を行った期間を除外した期間について、マルウェアによるWeb通信のアクセス先アドレスを抽出する。また、実施の形態4の情報漏洩検知システム100は、ユーザがブラウザ操作を行った期間を除外した期間について、マルウェアによるWeb通信のアクセス先アドレスを抽出する。
つまり、実施の形態4の情報漏洩検知システム100は、ユーザが端末装置500やブラウザを操作していない期間に発生した通信のログ、すなわち、マルウェアによるWeb通信の可能性が高いログに絞り込んでマルウェアによるWeb通信のアクセス先アドレスを抽出する。
すなわち、実施の形態4の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0218】
なお、実施の形態4における端末操作ログ取り込み部103の処理を、実施の形態1〜3の端末操作ログ取り込み部103に行わせることも可能である。
【0219】
実施の形態5.
(実施の形態5〜8における情報漏洩検知システム100の共通部分の説明)
実施の形態5の情報漏洩検知システム100の説明の前に、実施の形態5〜8における情報漏洩検知システム100の共通部分の説明を行う。
実施の形態5〜8における情報漏洩検知システム100は、実施の形態1〜4いずれかのブラックURL特定部108が抽出したブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラックURL候補の内、所定の条件に合致するURLを条件合致アドレスとして特定し、条件合致アドレスをブラックURL208として出力する。すなわち、ブラックURL208は条件合致アドレスに対応する。
【0220】
すなわち、ブラックURL特定部108は、ブラックURL候補の内、少なくとも所定の条件に合致する所定のアドレスを条件合致アドレスとして特定する条件合致アドレス特定部に対応する。
【0221】
そして、ブラックURL特定部108は、ブラック判定条件207を入力する。すなわち、ブラックURL特定部108は、ブラック判定条件207を入力する情報入力部に対応する。
【0222】
ここで、ブラック判定条件207とは、ブラックURL候補からブラックURL208を特定する為の所定の条件である。
ブラック判定条件207は、数種類存在し、あらかじめ例えばユーザによって設定され、例えば情報漏洩検知システム100の記憶装置に記憶されている。そして例えばユーザは情報漏洩検知システム100のキーボードなどの入力装置を用いて、記憶されている数種類のブラック判定条件207の中から少なくとも1つのブラック判定条件207を選択して入力する。ここで、ユーザは、記憶されている数種類のブラック判定条件207の中から複数のブラック判定条件207を組み合わせて入力することも可能である。
【0223】
そして、ブラックURL特定部108は、入力したブラック判定条件207に対応してあらかじめ設定された処理を実行する。
また、ブラックURL特定部108が、複数の(例えば2つの)ブラック判定条件207を入力した場合、ブラックURL特定部108は、まず第1のブラック判定条件207に対応してブラックURL候補の中から条件合致アドレス(ブラックURL208)を特定する。そして、更に、ブラックURL特定部108は、第1のブラック判定条件207によって特定された条件合致アドレス(ブラックURL208)の中から、第2のブラック判定条件207に対応して、条件合致アドレス(ブラックURL208)を特定することが可能である。
【0224】
なお、実施の形態5〜8の情報漏洩検知システム100は、図2に示す実施の形態1の情報漏洩検知システム100と同じ構成である。従って、実施の形態1と同じ構成要素及び、実施の形態1と同じ処理内容については説明を省略する。
以降、実施の形態5〜8の各実施の形態について説明を行う。
【0225】
(実施の形態5におけるブラックURL特定部108の処理)
図36は、ブラックURL特定部108の処理の例を示すフローチャートである。
ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。更に、ブラックURL特定部108は、ブラック判定条件207を入力する(図36のS1101)。
【0226】
ここで、ブラックURL特定部108は、「端末装置500のアクセス先のウェブページの提供元が属する国が、不正アクセスの多い国のブラックリストに含まれているか否か」というブラック判定条件207を入力する。
更に、ブラックURL特定部108は、「不正アクセスの多い国のブラックリスト」の情報も入力する。
【0227】
不正アクセスの多い国は傾向として決まっているので、例えば、A国、B国、C国を不正アクセスの多い国として「不正アクセスの多い国のブラックリスト」に定義することが可能である。
そして、「不正アクセスの多い国のブラックリスト」は、あらかじめ特定された国が示される特定国情報に対応する。
【0228】
そして、インターネット上には、例えば「http://○○○.789−sample.△△△/」というURLを入力すると、そのURLのウェブページがホストされている国(アドレスのウェブページの提供元が属する国)の情報を出力するインターネットサービスが存在する。このサービスを外部サービス209(図2)と称する。このアドレスのウェブページの提供元が属する国が示される情報を「提供国情報」と称する。
【0229】
そして、ブラックURL特定部108は、インターネットを介し、ブラックURL候補を外部サービス209に入力する。そして、ブラックURL特定部108は、外部サービス209からの提供国情報を入力し、ブラックURL候補のホスト国を特定する(図36のS1102)。
すなわち、ブラックURL特定部108は、抽出したブラックURL候補毎(アドレス毎)の提供国情報を入力する。
【0230】
そして、ブラックURL特定部108は特定したブラックURL候補のホスト国が、「不正アクセスの多い国のブラックリスト」に含まれているか否かを判定する(図36のS1103)。
ここで、例えば、特定したブラックURL候補のホスト国がA国の場合、ブラックリストに含まれているので(図36のS1103の「YES」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力する(図36のS1104)。一方、特定したブラックURL候補のホスト国がX国の場合、ブラックリストに含まれていないので(図36のS1103の「NO」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力しない。
【0231】
すなわち、ブラックURL特定部108は、入力された提供国情報に示される国の中で、「不正アクセスの多い国のブラックリスト」に示されるいずれかの国に合致する国が提供しているウェブページのアドレスをブラックURL208として特定する。
【0232】
(実施の形態5の効果)
マルウェアの通信先のC&Cサーバは不正アクセスの多い特定の国に存在することがある。そして、実施の形態5の情報漏洩検知システム100は、ブラックURL候補から、不正アクセスの多い特定の国をホスト国としたウェブページのURLであるか否かをブラック判定条件207として、ブラックURL208を絞り込む。その為、実施の形態5の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0233】
実施の形態6.
(実施の形態6における情報漏洩検知システム100の概要)
実施の形態6の情報漏洩検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「今までアクセス数が少なかったブラックURL候補において、急にアクセス数が一定期間増加し、その後また減少したか否か」をブラック判定条件207とする。
【0234】
(ブラックURL特定部108の処理)
図37は、ブラックURL特定部108の処理の例を示すフローチャートである。
図38は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
【0235】
なお、図2において図示を省略しているが、ブラックURL特定部108は、プロキシログ201を入力することが可能である。ここで、ブラックURL特定部108は、プロキシログ取り込み部101が入力したプロキシログ201をプロキシログ取り込み部101から入力しても良い。
また、プロキシログ201は、図17に示す通り、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスと通信サイズ(アクセス時のデータ通信量)とが対応付けられて示されている。
【0236】
まず、ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラック判定条件207を入力する。更に変数nを「0」で初期化する(図37のS1201)。
【0237】
ここでブラック判定条件207は、前述の通り「今までアクセス数が少なかったブラックURL候補において、急にアクセス数が一定期間増加し、その後また減少したか否か」である。
【0238】
そして、ブラックURL特定部108は、入力したプロキシログ201から各ブラックURL候補に対する日毎のアクセス数をあらかじめ定められた集計期間において集計する(図37のS1202)。この集計期間はあらかじめ情報漏洩検知システム100の記憶装置に記憶されていても良いし、ユーザが情報漏洩検知システム100の入力装置を用いて入力しても良い。
ここで、ブラックURL特定部108が集計するアクセス数は、日毎に限らず、単位時間毎であれば、3日間毎であっても、1週間毎であっても良い。ここでは、ブラックURL特定部108は、日毎にアクセス数を集計するものとして説明を進める。
すなわち、ブラックURL特定部108は、各アドレスに対する単位時間毎のアクセス数を算出する通信量算出部に対応する。
【0239】
なお、図37において図示は、省略するがS1202〜S1207の処理は、各ブラックURL候補に対して行われる。
【0240】
そして、ブラックURL特定部108は、集計したアクセス数が過去は少なく、その後増加したか否かを判定する(図37のS1203)。
ここで、ブラックURL特定部108は、アクセス数があらかじめ情報漏洩検知システム100の記憶装置に記憶されている閾値(「アクセス数の第1の閾値」と称する)よりも少ない場合に、「アクセス数が少ない」と判定する。そして、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「アクセス数が増加した」と判定する。
【0241】
そして、「アクセス数が増加していない」場合(図37のS1203の「NO」)、ブラックURL特定部108は、判定対象のURLについて処理を終了し、未判定のブラックURL候補について、同様の処理を行う。
【0242】
そして、ブラックURL特定部108が「アクセス数が増加した」と判定した場合(図37のS1203の「YES」)、アクセス数が集計された日を基準日とする。
【0243】
ここで、基準日が現在である場合を想定する。
その場合、ブラックURL特定部108は、変数nをインクリメント(n=n+1と)する(図37のS1204)。
【0244】
そして、ブラックURL特定部108は新たにn日後のプロキシログ201を入力し、n日後のアクセス数を集計する。
そして、ブラックURL特定部108は、n日後のアクセス数が基準日のアクセス数と同等又は増加しているか否かを判定する(図37のS1205)。ここで、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「基準日のアクセス数と同等又は増加している」と判定する。
【0245】
基準日のアクセス数と同等又は増加している場合(図37のS1205の「YES」)、ブラックURL特定部108は、変数nを更にインクリメントする(図37のS1204)。すなわち、ブラックURL特定部108は更に1日後のアクセス数を集計する。
【0246】
一方、アクセス数が「アクセス数の第1の閾値」より少ない場合(図37のS1205の「NO」)、ブラックURL特定部108はアクセス数が基準日以前のアクセス数と同等か否かを判定する(図37の1206)。
ここで、ブラックURL特定部108は、例えば、基準日以前の日毎のアクセス数の平均xと標準偏差σとを記憶しており、例えばアクセス数が「x±3σ」以内であれば、基準日以前のアクセス数を同等と判定する。
【0247】
そして、アクセス数が基準日以前のアクセス数と同等の場合(図37のS1206の「YES」)、図示は省略するが、あらかじめ設定された所定の日数においてアクセス数が「アクセス数の第1の閾値」以上であったか否かを判定する。そして、アクセス数が所定の日数において「アクセス数の第1の閾値」以上であったブラックURL候補をブラックURL208として出力する。
【0248】
そして、アクセス数が基準日以前のアクセス数と同等でない場合(図37のS1206の「NO」)、ブラックURL特定部108は、変数nを更にインクリメントする(図37のS1204)。
【0249】
図38を用いて具体例を説明する。
例えば、ブラックURL特定部108は、あるブラックURL候補に対するアクセス数を現在から、30日分さかのぼって、日毎に集計したとする。
その結果、29日目まではアクセス数は「0」であるが、30日目(現在)にアクセス数が「12」に増加している。ここで、例えば、「アクセス数の第1の閾値」は「10」であるとする。
その後数日間において、ブラックURL特定部108は、アクセス数を集計した結果、33日目(現在から3日後)にアクセス数が「0」に戻っている。
この図38の例のように、ブラックURL特定部108は図37の処理によって、判定対象のブラックURL候補に対するアクセス数が、過去は少なく、かつ、所定の日数の間増加し、かつ、その後減少するか否かを判定している。
【0250】
ここで、所定の日数は、例えば情報漏洩検知システム100の記憶装置に記憶されており、ここでは所定の日数が「5日」とする。
特定のマルウェアは、インターネット上のC&Cサーバと短期間に継続的に通信することが知られている。したがって、例えば5日以内に集中的にアクセス数が増加したアクセスは、マルウェアによるアクセスと考えられる。
【0251】
具体例では、基準日が現在の場合を説明したが、基準日が過去であっても構わない。
すなわち、ブラックURL特定部108は、ブラックURL候補に対するアクセス数が、過去は少なく、かつ、基準日から所定の日数において増加し、かつ、その後減少するか否かを判定出来れば良い。
【0252】
すなわち、ブラックURL特定部108は、あらかじめ定義された所定の期間においてのみ日毎(単位時間毎)のアクセス数が、アクセス数の第1の閾値以上となるURLをブラックURL208として特定している。
【0253】
ブラックURL特定部108は、アクセス数の時系列の変化を自動判定するために、ARMA(AutoRegressive Moving Average)などを利用した公知の方式を使用しても良い。そして、ブラックURL特定部108は、ARMAによりアクセス数の変化が見つかったブラックURL候補をブラックURL208と特定しても良い。
【0254】
更に、ブラックURL特定部108は、ブラックURL候補に対する通信量に基づいて、ブラックURL208を特定しても良い。
【0255】
その場合、ブラック判定条件207は、「今まで通信量が少なかったブラックURL候補において、急に通信量が一定期間増加し、その後また減少したか否か」となる。
前述の通りプロキシログ201(図17)には、通信サイズ(通信量)が示されている為、ブラックURL特定部108は、各ブラックURL候補に対して、例えば日毎の通信量を集計することが可能である。
すなわち、ブラックURL特定部108は、プロキシログ201から各ブラックURL候補に対する単位時間毎のデータ通信量を算出する。
【0256】
そして、詳細な説明は省略するが、ブラックURL特定部108は図37の処理においてアクセス数の代わりに、通信量を用いてブラックURL208を特定する。
すなわち、ブラックURL特定部108は、あらかじめ定義された所定の期間においてのみ日毎(単位時間毎)のデータ通信量が、データ通信量の第1の閾値以上となるURLをブラックURL208として特定する。
【0257】
(実施の形態6の効果)
前述の通り、マルウェアとC&Cサーバとのアクセス数またはデータ通信量は、短期間に増加することが知られている。実施の形態6の情報漏洩検知システム100は、短期間にアクセス数またはデータ通信量が増加するアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0258】
実施の形態7.
(実施の形態7における情報漏洩検知システム100の概要)
実施の形態7の情報漏洩検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「ブラックURL候補との通信において、周期的にアクセスが発生しているか否か」をブラック判定条件207とする。
【0259】
(ブラックURL特定部108の処理)
図39は、ブラックURL特定部108の処理の例を示すフローチャートである。
図40は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
【0260】
なお、図2において図示を省略しているが、ブラックURL特定部108は、プロキシログ201を入力することが可能である。ここで、ブラックURL特定部108は、プロキシログ取り込み部101が入力したプロキシログ201をプロキシログ取り込み部101から入力しても良い。
【0261】
まず、ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラック判定条件207を入力する。(図39のS1301)。
【0262】
ここでブラック判定条件207は、前述の通り「ブラックURL候補との通信において、周期的にアクセスが発生しているか否か」である。
【0263】
そして、ブラックURL特定部108は、入力したプロキシログ201から各ブラックURL候補に対する単位時間毎のアクセス数をあらかじめ定められた集計期間において集計する(図39のS1302)。
ここで、単位時間毎のアクセス数をMi(i=1〜k)とする。例えば、ブラックURL特定部108は、1分間毎のアクセス数を集計するとした場合、M1は、集計期間k分間の内の最初の1分間(1分目)のアクセス数の集計、M2は次の1分間(2分目)のアクセス数の集計を意味する。
【0264】
なお、図39において図示は、省略するがS1302〜S1304の処理は、各ブラックURL候補に対して行われる。
【0265】
次に、ブラックURL特定部108は、アクセス数の集計結果Mi(i=1〜k)を時系列で並べた場合に周期的であるか否かを判定する(図39のS1303)。
ここで、ブラックURL特定部108は、単位時間毎のアクセス数が周期的にあらかじめ情報漏洩検知システム100の記憶装置に記憶されている閾値(「アクセス数の第2の閾値」と称する)以上となっているか否かを判定する。つまり、ブラックURL特定部108は、周期的にアクセスが発生しているか否かを判定している。
あるいは、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に同じ値となっているか否かを判定しても良い。また、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に「アクセス数の第2の閾値」以上の同じ値となっているか否かを判定しても良い。
周期的にアクセスが発生している場合(図39のS1303の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図39のS1304)。
【0266】
すなわち、ブラックURL特定部108は、単位時間毎のアクセス数が一定周期毎にあらかじめ定義されたアクセス数の第2の閾値以上となるブラックURL候補をブラックURL208として特定している。
【0267】
図40を用いて、具体例を説明する。
例えば図40は、ブラックURL特定部108が、あるブラックURL候補に対する1分間毎のアクセス数を集計したものである。
そして、集計期間は、例えば、1日(24時間×60分=1440分間)としている。
ブラックURL特定部108は、図40に示す集計結果において、2分に1回1アクセスが発生しており、周期的にアクセスが発生していると判定する。ここで「アクセス数の第2の閾値」は「1アクセス」とする。
【0268】
特定のマルウェアは、インターネット上のC&Cサーバとの接続を確認するために定期的に通信することが知られている。したがって、例えば周期的に1回以上のアクセス数が示されるアクセスは、マルウェアによるアクセスと考えられる。
【0269】
ブラックURL特定部108は、アクセス数の時系列の周期的な変化を自動判定する公知のアルゴリズムを使用しても良い。そして、ブラックURL特定部108は、公知のアルゴリズムにより周期的なアクセス数の変化が見つかったブラックURL候補をブラックURL208と特定しても良い。
【0270】
更に、ブラックURL特定部108は、ブラックURL候補に対する通信量に基づいて、ブラックURL208を特定しても良い。
【0271】
その場合、ブラックURL特定部108は、プロキシログ201から各ブラックURL候補に対する単位時間毎のデータ通信量を算出する。
【0272】
そして、詳細な説明は省略するが、ブラックURL特定部108は図39の処理においてアクセス数の代わりに、通信量を用いてブラックURL208を特定する。
すなわち、ブラックURL特定部108は、単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるブラックURL候補をブラックURL208として特定する。
【0273】
(実施の形態7の効果)
前述の通り、マルウェアとC&Cサーバとのアクセスは、周期的に行われることが知られている。実施の形態7の情報漏洩検知システム100は、周期的にアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0274】
実施の形態8.
(実施の形態8における情報漏洩検知システム100の概要)
実施の形態8の情報漏洩検知システム100は、ブラック判定条件207として、端末装置500(プロキシサーバ装置600)とブラックURL候補のウェブページとの間のWeb通信におけるリクエストサイズとレスポンスサイズとを用いる。具体的には、「ブラックURL候補において、通信のリクエストサイズとレスポンスサイズが閾値未満か否か」をブラック判定条件207とする。
【0275】
(ブラックURL特定部108の処理)
図41は、ブラックURL特定部108の処理の例を示すフローチャートである。
【0276】
なお、図2において図示を省略しているが、ブラックURL特定部108は、プロキシログ201(図17)を入力することが可能である。ここで、ブラックURL特定部108は、プロキシログ取り込み部101が入力したプロキシログ201をプロキシログ取り込み部101から入力しても良い。
【0277】
まず、ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラック判定条件207を入力する。(図41のS1401)。
【0278】
ここでブラック判定条件207は、前述の通り「ブラックURL候補において、通信のリクエストサイズとレスポンスサイズが閾値未満か否か」である。
また、ブラックURL特定部108は、例えば情報漏洩検知システム100の記憶装置に記憶されているリクエストサイズの閾値「αKB」とレスポンスサイズの閾値「βKB」とを入力する。あるいは例えばユーザが情報漏洩検知システム100の入力装置を用いて、リクエストサイズの閾値とレスポンスサイズの閾値とを入力しても良い。
【0279】
ここで、ユーザがブラウザを用いて行うWebサイトの閲覧では、リクエストに対するレスポンスは何かしらの文字列を含むコンテンツであるため、ある程度以上のレスポンスサイズになり、「βKB」未満にはならない。また、ユーザがブラウザを用いて行うWebサイトの閲覧におけるリクエストの場合もヘッダに情報が付与され、リクエストサイズは「αKB」未満にならない。
そして、あらかじめユーザが、Webサイトへのアクセスにおけるリクエストサイズとレスポンスサイズとの統計データを取得し、αとβとの値を設定しておく。
【0280】
そして、ブラックURL特定部108は、入力したプロキシログ201から、各ブラックURL候補のリクエストサイズとレスポンスサイズとを抽出する(図41のS1402)。
ここで、図17における図示は省略するが、プロキシログ201には、各アクセス毎のリクエストサイズとレスポンスサイズとが示される。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎に、アクセス先のアドレスと、プロキシサーバ装置600からアクセス先へ送信したデータのサイズであるリクエストサイズと、プロキシサーバ装置600がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示される。
なお、1つのブラックURL候補に対して複数のアクセスが有る場合は、ブラックURL特定部108は、リクエストサイズとレスポンスサイズとの最小値を抽出する。
【0281】
なお、図41において図示は、省略するがS1402〜S1405の処理は、各ブラックURL候補に対して行われる。
【0282】
次に、ブラックURL特定部108は、抽出したリクエストサイズが閾値「αKB」未満か否かを判定する(図41のS1403)。
リクエストサイズが閾値「αKB」未満の場合(図41のS1403の「YES」)、ブラックURL特定部108は、抽出したレスポンスサイズが閾値「βKB」未満か否かを判定する(図41のS1404)。
そして、ブラックURL特定部108は、レスポンスサイズが閾値「βKB」未満の場合(図41のS1404の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図41のS1405)。
すなわち、ブラックURL特定部108は、リクエストサイズが閾値「αKB」未満、かつ、レスポンスサイズが閾値「βKB」未満のブラックURL候補をブラックURL208として特定する。
【0283】
すなわち、ブラックURL特定部108は、プロキシログ201からブラックURL候補と対応付けられているレスポンスサイズとリクエストサイズとをアクセス単位で抽出(特定)する。そして、抽出したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満であり、リクエストサイズがあらかじめ定義されたリクエストサイズの閾値未満のブラックURL候補をブラックURL208として特定する。
【0284】
ここで、マルウェアによるWeb通信はレスポンスのみが小さいこともあるので、ブラックURL特定部108は、図41のS1403の判定は行わず、S1404の判定のみを行うだけでも良い。すなわち、ブラックURL特定部108は、レスポンスサイズが閾値「βKB」未満のブラックURL候補をブラックURL208として特定する。
【0285】
すなわち、ブラックURL特定部108は、プロキシログ201からブラックURL候補と対応付けられているレスポンスサイズをアクセス単位で抽出(特定)する。そして、抽出したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満のブラックURL候補をブラックURL208として特定する。
【0286】
(実施の形態8の効果)
特定のマルウェアは、インターネット上のC&Cサーバとの接続を確認するために定期的に通信することが知られている。そして、前述の通り、その場合の通信データのサイズ(リクエストサイズとレスポンスサイズ)は、ユーザがブラウザを用いて行うWebサイトの閲覧の場合と比べて、少ない。従って、実施の形態8の情報漏洩検知システム100は、リクエストサイズとレスポンスサイズとが閾値より少ないアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
【0287】
実施の形態9.
(実施の形態9における情報漏洩検知システム100の概要)
実施の形態1と実施の形態3と実施の形態4とにおいて、端末操作ログ203(図3)には、端末装置500がプロキシサーバ装置600に通知したURLが記録されると説明した。
しかし、端末操作記録アプリケーションによっては、端末操作ログ203にURLではなく、端末装置500(プロキシサーバ装置600)がアクセスしたWebサイトのトップページのタイトルが、ウィンドウタイトルとして記録される場合がある。
実施の形態9の情報漏洩検知システム100は、端末操作ログ203に記録されたWebサイトのトップページのタイトルと一致するタイトルをローカルプロキシログ204(図6)に記録されたコンテンツから検索する。そして、実施の形態9の情報漏洩検知システム100は、ローカルプロキシログ204(図6)に記録されたコンテンツにおいて、一致したタイトルに対応付けられたURLをWebサイトのトップページのURLとして特定する。
【0288】
(端末操作ログ取り込み部103の処理)
図42は、WebアクセスURL情報303の例を示す図である。
端末操作ログ取り込み部103は、端末操作ログ203の一例として、例えば図3のD2032の行に示すエントリの操作内容が、URLではなく、Webサイトのタイトルとなっている端末操作ログ203を入力する。つまり、端末操作ログ取り込み部103は、「2011/06/23 10:00:00、192.168.1.2、UserID1234、Webアクセス、サンプルサイト」を入力する。ここで、「サンプルサイト」は、Webサイト(コンテンツ)のタイトル名である。
【0289】
すなわち、端末操作ログ取り込み部103は、ユーザの操作により端末装置500がプロキシサーバ装置600に通知したアドレスに基づいてプロキシサーバ装置600が行ったアクセスのアクセス先のウェブページのタイトルが示される端末操作ログ203を入力する。
【0290】
そして、端末操作ログ取り込み部103は、実施の形態1と同様に、端末操作ログ203からWebアクセスURL情報303を抽出し、出力する。WebアクセスURL情報303の例を図42に示す。図42に示すWebアクセスURL情報303は、端末操作ログ203と同様に、URLではなく、Webサイト(コンテンツ)のタイトル名が示されている。
【0291】
(ローカルプロキシログ取り込み部104の処理)
図43は、コンテンツ実体350の例を示す図である。
ローカルプロキシログ取り込み部104は、実施の形態1と同様に、ローカルプロキシログ204(図6)を入力し、入力したローカルプロキシログ204からローカルプロキシログエントリ304(図9)を抽出し、出力する。
ここで、ローカルプロキシログエントリ304(図9)に含まれるコンテンツ実体350は、例えば図43のようになっている。つまり、コンテンツ実体350にWebサイト(コンテンツ)のタイトル名が示されている。
そして、例えば図9のローカルプロキシログエントリ304aには、Webサイト(コンテンツ)のタイトル名が示されているコンテンツ実体350と、URL「http://○○○.abc−sample.△△△/」とが対応付けられている。
【0292】
ここで、Webサイト(プロキシサーバ装置600が行ったアクセスのアクセス先のウェブページ)のタイトルと、URL(アクセス先のアドレス)とが対応付けて示されるローカルプロキシログエントリ304をローカルプロキシ情報と称する。
そして、ローカルプロキシログ204(図6)にはローカルプロキシ情報が少なくとも1つ以上含まれている。
なお、プロキシサーバ装置600は、前述の通り、端末装置500がローカルプロキシ550を利用してプロキシサーバ装置600に通知したアドレスに基づいてアクセスを行う。
【0293】
(トップページURL特定部106の処理)
図44は、トップページURL特定部106の処理の例を示す図である。
【0294】
トップページURL特定部106は、実施の形態1と同様にWebアクセスURL情報303(図42)とローカルプロキシログエントリ304(図9)とを入力する。ここでローカルプロキシログエントリ304(図9)に含まれるコンテンツ実体350は、前述の図43の例とする。
【0295】
そして、図44における図示は省略するが、トップページURL特定部106は、WebアクセスURL情報303(図42)に含まれる全てのエントリに対して、図44の処理を行う。
ここでは、図42のD6031に示すWebアクセスURL情報303のエントリを例に説明を行う。
【0296】
すなわち、トップページURL特定部106は、図42のD6031に示すWebアクセスURL情報303のエントリを入力し、Webサイトのタイトル「サンプルサイトabc−sample」を抽出する。また、トップページURL特定部106は、操作日時である「2011/06/23 10:00:00」を抽出する。
【0297】
そして、トップページURL特定部106は、ローカルプロキシログエントリ304を全て入力したか否かを判定する(図44のS1501)。
トップページURL特定部106は、全てのローカルプロキシログエントリ304を入力していなければ(図44のS1501の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図44のS1502)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
【0298】
そして、トップページURL特定部106は、WebアクセスURL情報303から抽出したタイトルが、コンテンツ実体350に含まれるか否かを判定する。
具体的には、図43に示すコンテンツ実体350において、<title>タグと</title>タグとで囲われている文字列を抽出し、WebアクセスURL情報303から抽出した「サンプルサイトabc−sample」と比較する。
【0299】
更に、トップページURL特定部106は、WebアクセスURL情報303から抽出した操作日時「2011/06/23 10:00:00」が、図9のローカルプロキシログエントリ304aのアクセス日時と一致するか否かを判定する(図44のS1503)。
【0300】
そして、WebアクセスURL情報303から抽出したタイトルが、コンテンツ実体350に含まれ、WebアクセスURL情報303から抽出した操作日時が、ローカルプロキシログエントリ304aのアクセス日時と一致するので(図44のS1503の「YES」)、トップページURL特定部106は、ローカルプロキシログエントリ304aに示されるURL「http://○○○.abc−sample.△△△/」を抽出する。このトップページURL特定部106が抽出したURLをトップページURLと称する。
そして、トップページURL特定部106は、このトップページURLと、ローカルプロキシログエントリ304に示されるアクセス日時と端末識別子とメソッドとステータスと通信量とをトップページURL情報306として出力する。
【0301】
一方、WebアクセスURL情報303から抽出したタイトルが、コンテンツ実体350に含まれない、もしくは、WebアクセスURL情報303から抽出した操作日時が、ローカルプロキシログエントリ304aのアクセス日時と一致しない場合(図44のS1503の「NO」)、トップページURL特定部106は再度S1501の処理を行う。
【0302】
すなわち、トップページURL特定部106は、ローカルプロキシ情報(ローカルプロキシログエントリ304)のコンテンツ実体350に示されるタイトルの内、端末操作ログ203に示されるタイトルに合致するタイトルが示されるローカルプロキシ情報(ローカルプロキシログエントリ304)を抽出する。つまりトップページURL特定部106は、ローカルプロキシ情報抽出部に対応する。
【0303】
そして、図44のS1504の処理は実施の形態1と同様であるため、説明を省略する。
【0304】
また、ブラックURL特定部108は、実施の形態1と同様にプロキシログ201(図17)に示されるURLの内、URLホワイトリスト202と、ブラウザアクセスURL情報307とのいずれにも示されていないURLを抽出する。ここで、ブラウザアクセスURL情報307はトップページURL特定部106に抽出されたローカルプロキシログエントリ304(ローカルプロキシ情報)から生成される。
したがって、換言すると、ブラックURL特定部108は、プロキシログ201(図17)に示されるURLの内、URLホワイトリスト202と、トップページURL特定部106に抽出されたローカルプロキシログエントリ304(ローカルプロキシ情報)とのいずれにも示されていないアドレスを抽出する。
【0305】
なお、実施の形態5〜8の情報漏洩検知システム100は、実施の形態9のブラックURL特定部108が抽出したブラックURL208をブラックURL候補として処理を行っても良い。
【0306】
(実施の形態9の効果)
前述のように端末操作記録アプリケーションによっては、端末操作ログ203にURLが記録されず、アクセスしたWebサイトのトップページのタイトルがウィンドウタイトルとして記録される場合がある。このような場合でも、実施の形態9の情報漏洩検知システム100は、端末操作ログ203から得たタイトルから、端末装置500がアクセスしたWebサイトのURLを特定することが可能である。
【0307】
(実施の形態1〜9の情報漏洩検知システム100のハードウェア構成)
最後に、実施の形態1〜9に示した情報漏洩検知システム100のハードウェア構成例について説明する。
図45は、本実施の形態に示した情報漏洩検知システム100のハードウェア資源の一例を示す図である。
なお、図45の構成は、あくまでも情報漏洩検知システム100のハードウェア構成の一例を示すものであり、情報漏洩検知システム100のハードウェア構成は図45に記載の構成に限らず、他の構成であってもよい。
【0308】
図45において、情報漏洩検知システム100は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
本実施の形態で説明した情報漏洩検知システム100の記憶装置、ログ蓄積部109は、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
本実施の形態で説明した情報漏洩検知システム100の入力装置は、例えばキーボード902やマウス903により実現される。
また、通信ボード915、表示装置901などは、出力装置の一例である。
【0309】
通信ボード915は、ネットワークに接続されている。
例えば、ネットワークは、LAN、インターネットの他、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などでも構わない。
【0310】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
【0311】
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
【0312】
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
情報漏洩検知システム100の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
【0313】
上記プログラム群923には、本実施の形態の説明において「〜部」(「〜蓄積部」以外、以下同様)として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0314】
ファイル群924には、本実施の形態の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の照合」、「〜の参照」、「〜の検索」、「〜の抽出」、「〜の検査」、「〜の生成」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の入力」、「〜の受信」、「〜の判定」、「〜の定義」、「〜の算出」、「〜の更新」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。
「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0315】
また、本実施の形態の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。
すなわち、本実施の形態で説明したフローチャートに示すステップ、手順、処理により、本発明に係る情報処理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、本実施の形態の「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の「〜部」の手順や方法をコンピュータに実行させるものである。
【0316】
このように、本実施の形態に示す情報漏洩検知システム100は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【符号の説明】
【0317】
100 情報漏洩検知システム、101 プロキシログ取り込み部、102 URLホワイトリスト取り込み部、103 端末操作ログ取り込み部、104 ローカルプロキシログ取り込み部、105 グレーURL特定部、106 トップページURL特定部、107 ブラウザアクセスURL特定部、108 ブラックURL特定部、109 ログ蓄積部、150 ネットワーク、200 期間特定部、201 プロキシログ、202 URLホワイトリスト、203 端末操作ログ、204 ローカルプロキシログ、205 端末識別子、206 期間、207 ブラック判定条件、208 ブラックURL、209 外部サービス、250 ブラックURL情報、301 プロキシログエントリ、302 ホワイトURL、303 WebアクセスURL情報、304 ローカルプロキシログエントリ、305 グレーURL情報、306 トップページURL情報、307 ブラウザアクセスURL情報、350 コンテンツ実体、500 端末装置、550 ローカルプロキシ、600 プロキシサーバ装置、606 トップページ内URL、901 表示装置、902 キーボード、903 マウス、904 FDD、905 コンパクトディスク装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 オペレーティングシステム、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
【特許請求の範囲】
【請求項1】
端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報とを入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報に示されていないアドレスを抽出するアドレス抽出部と
を備えたことを特徴とするアドレス抽出装置。
【請求項2】
前記アドレス入力部は、
ユーザの指示に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるユーザ指示情報を入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ユーザ指示情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。
【請求項3】
前記アドレス入力部は、
前記ユーザが前記端末装置に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスがアドレス指示操作と対応付けられて示される端末操作ログを前記ユーザ指示情報として入力することを特徴とする請求項2記載のアドレス抽出装置。
【請求項4】
前記アドレス入力部は、
ローカルプロキシを有する端末装置が前記ユーザの指示に基づいて前記ローカルプロキシを利用して前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるローカルプロキシログを前記ユーザ指示情報として入力することを特徴とする請求項2記載のアドレス抽出装置。
【請求項5】
前記アドレス入力部は、
前記ユーザ指示情報に示されるアドレスのウェブページに関連付けされているアドレスが示される関連アドレス情報を入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ユーザ指示情報と前記関連アドレス情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項2〜4いずれか記載のアドレス抽出装置。
【請求項6】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、ユーザの存在を検知する検知装置が、ユーザが前記端末装置の前に存在しないと検知した期間に含まれるアクセス時刻に対応付けられているアドレスを抽出することを特徴とする請求項1〜5いずれか記載のアドレス抽出装置。
【請求項7】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログと、
前記ユーザが前記端末装置に対して指示する指示操作と指示操作毎の操作時刻とが対応付けられて示され、前記ユーザが前記端末装置に対してアクセス先のアドレスを指示する場合に、前記ユーザが前記端末装置に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスがアドレス指示操作とアドレス指示操作の操作時刻とに対応付けられて示される端末操作ログとを入力し、
前記アドレス抽出装置は、更に、
前記端末操作ログに示される操作時刻の内、あらかじめ定義された定義期間の開始時刻後の最初の操作時刻と前記定義期間の終了時刻前の最後の操作時刻とを抽出し、前記定義期間の開始時刻から前記最初の操作時刻までの期間と前記最後の操作時刻から前記定義期間の終了時刻までの期間とから成る非操作期間を算出する、または、前記端末操作ログに示される操作時刻の内、前記定義期間の開始時刻後の操作時刻であってアドレスが対応付けられている最初の操作時刻である最初のアドレス対応操作時刻と、前記定義期間の終了時刻前の操作時刻であってアドレスが対応付けられている最後の操作時刻である最後のアドレス対応操作時刻とを抽出し、前記定義期間の開始時刻から前記最初のアドレス対応操作時刻までの期間と前記最後のアドレス対応操作時刻から前記定義期間の終了時刻までの期間とから成る非アドレス対応期間を算出する期間算出部
を備え、
前記アドレス抽出部は、
前記期間算出部により非操作期間が算出された場合に、前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記非操作期間に含まれるアクセス時刻が対応付けられているアドレスを抽出し、前記期間算出部により非アドレス対応期間が算出された場合に、前記アドレス入力部により入力されたプロキシログに示されるアクセス時刻に対応付けられているアドレスの内、前記非アドレス対応期間に含まれるアクセス時刻に対応付けられているアドレスを抽出することを特徴とする請求項1〜6いずれか記載のアドレス抽出装置。
【請求項8】
前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレスの内、少なくとも1つの所定の条件に合致する所定のアドレスを条件合致アドレスとして特定する条件合致アドレス特定部
を備えることを特徴とする請求項1〜7いずれか記載のアドレス抽出装置。
【請求項9】
前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレス毎にアドレスのウェブページの提供元が属する国が示される提供国情報と、あらかじめ特定された国が示される特定国情報とを入力する情報入力部
を備え、
前記条件合致アドレス特定部は、
前記情報入力部により入力された提供国情報に示される国の中で前記特定国情報に示されるいずれかの国に合致する国が提供しているウェブページのアドレスを条件合致アドレスとして特定する請求項8記載のアドレス抽出装置。
【請求項10】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のアクセス数が、あらかじめ定義されたアクセス数の第1の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のデータ通信量が、あらかじめ定義されたデータ通信量の第1の閾値以上となるアドレスを条件合致アドレスとして特定する請求項8記載のアドレス抽出装置。
【請求項11】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、前記単位時間毎のアクセス数が一定周期毎にあらかじめ定義されたアクセス数の第2の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、前記単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるアドレスを条件合致アドレスとして特定することを特徴とする請求項8記載のアドレス抽出装置。
【請求項12】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎に、アクセス先のアドレスと、前記プロキシサーバ装置からアクセス先へ送信したデータのサイズであるリクエストサイズと、前記プロキシサーバ装置がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示されるプロキシログを入力し、
前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項8記載のアドレス抽出装置。
【請求項13】
前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズとリクエストサイズとをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満であり、リクエストサイズがあらかじめ定義されたリクエストサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項12記載のアドレス抽出装置。
【請求項14】
前記アドレス入力部は、
前記ユーザの操作により前記端末装置が前記プロキシサーバ装置に通知したアドレスに基づいて前記プロキシサーバ装置が行ったアクセスのアクセス先のウェブページのタイトルが示される端末操作ログと、
前記端末装置がローカルプロキシを利用して前記プロキシサーバ装置に通知したアドレスに基づいて前記プロキシサーバ装置が行ったアクセスのアクセス先のウェブページのタイトルとアクセス先のアドレスとが対応付けられて示されるローカルプロキシ情報が少なくとも1つ以上含まれるローカルプロキシログとを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたローカルプロキシログに含まれるローカルプロキシ情報に示されるタイトルの内、前記端末操作ログに示されるタイトルに合致するタイトルが示されるローカルプロキシ情報を抽出するローカルプロキシ情報抽出部
を備え、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と、前記ローカルプロキシ情報抽出部に抽出されたローカルプロキシ情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。
【請求項1】
端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報とを入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報に示されていないアドレスを抽出するアドレス抽出部と
を備えたことを特徴とするアドレス抽出装置。
【請求項2】
前記アドレス入力部は、
ユーザの指示に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるユーザ指示情報を入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ユーザ指示情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。
【請求項3】
前記アドレス入力部は、
前記ユーザが前記端末装置に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスがアドレス指示操作と対応付けられて示される端末操作ログを前記ユーザ指示情報として入力することを特徴とする請求項2記載のアドレス抽出装置。
【請求項4】
前記アドレス入力部は、
ローカルプロキシを有する端末装置が前記ユーザの指示に基づいて前記ローカルプロキシを利用して前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるローカルプロキシログを前記ユーザ指示情報として入力することを特徴とする請求項2記載のアドレス抽出装置。
【請求項5】
前記アドレス入力部は、
前記ユーザ指示情報に示されるアドレスのウェブページに関連付けされているアドレスが示される関連アドレス情報を入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ユーザ指示情報と前記関連アドレス情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項2〜4いずれか記載のアドレス抽出装置。
【請求項6】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、ユーザの存在を検知する検知装置が、ユーザが前記端末装置の前に存在しないと検知した期間に含まれるアクセス時刻に対応付けられているアドレスを抽出することを特徴とする請求項1〜5いずれか記載のアドレス抽出装置。
【請求項7】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログと、
前記ユーザが前記端末装置に対して指示する指示操作と指示操作毎の操作時刻とが対応付けられて示され、前記ユーザが前記端末装置に対してアクセス先のアドレスを指示する場合に、前記ユーザが前記端末装置に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスがアドレス指示操作とアドレス指示操作の操作時刻とに対応付けられて示される端末操作ログとを入力し、
前記アドレス抽出装置は、更に、
前記端末操作ログに示される操作時刻の内、あらかじめ定義された定義期間の開始時刻後の最初の操作時刻と前記定義期間の終了時刻前の最後の操作時刻とを抽出し、前記定義期間の開始時刻から前記最初の操作時刻までの期間と前記最後の操作時刻から前記定義期間の終了時刻までの期間とから成る非操作期間を算出する、または、前記端末操作ログに示される操作時刻の内、前記定義期間の開始時刻後の操作時刻であってアドレスが対応付けられている最初の操作時刻である最初のアドレス対応操作時刻と、前記定義期間の終了時刻前の操作時刻であってアドレスが対応付けられている最後の操作時刻である最後のアドレス対応操作時刻とを抽出し、前記定義期間の開始時刻から前記最初のアドレス対応操作時刻までの期間と前記最後のアドレス対応操作時刻から前記定義期間の終了時刻までの期間とから成る非アドレス対応期間を算出する期間算出部
を備え、
前記アドレス抽出部は、
前記期間算出部により非操作期間が算出された場合に、前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記非操作期間に含まれるアクセス時刻が対応付けられているアドレスを抽出し、前記期間算出部により非アドレス対応期間が算出された場合に、前記アドレス入力部により入力されたプロキシログに示されるアクセス時刻に対応付けられているアドレスの内、前記非アドレス対応期間に含まれるアクセス時刻に対応付けられているアドレスを抽出することを特徴とする請求項1〜6いずれか記載のアドレス抽出装置。
【請求項8】
前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレスの内、少なくとも1つの所定の条件に合致する所定のアドレスを条件合致アドレスとして特定する条件合致アドレス特定部
を備えることを特徴とする請求項1〜7いずれか記載のアドレス抽出装置。
【請求項9】
前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレス毎にアドレスのウェブページの提供元が属する国が示される提供国情報と、あらかじめ特定された国が示される特定国情報とを入力する情報入力部
を備え、
前記条件合致アドレス特定部は、
前記情報入力部により入力された提供国情報に示される国の中で前記特定国情報に示されるいずれかの国に合致する国が提供しているウェブページのアドレスを条件合致アドレスとして特定する請求項8記載のアドレス抽出装置。
【請求項10】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のアクセス数が、あらかじめ定義されたアクセス数の第1の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のデータ通信量が、あらかじめ定義されたデータ通信量の第1の閾値以上となるアドレスを条件合致アドレスとして特定する請求項8記載のアドレス抽出装置。
【請求項11】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、前記単位時間毎のアクセス数が一定周期毎にあらかじめ定義されたアクセス数の第2の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、前記単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるアドレスを条件合致アドレスとして特定することを特徴とする請求項8記載のアドレス抽出装置。
【請求項12】
前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎に、アクセス先のアドレスと、前記プロキシサーバ装置からアクセス先へ送信したデータのサイズであるリクエストサイズと、前記プロキシサーバ装置がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示されるプロキシログを入力し、
前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項8記載のアドレス抽出装置。
【請求項13】
前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズとリクエストサイズとをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満であり、リクエストサイズがあらかじめ定義されたリクエストサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項12記載のアドレス抽出装置。
【請求項14】
前記アドレス入力部は、
前記ユーザの操作により前記端末装置が前記プロキシサーバ装置に通知したアドレスに基づいて前記プロキシサーバ装置が行ったアクセスのアクセス先のウェブページのタイトルが示される端末操作ログと、
前記端末装置がローカルプロキシを利用して前記プロキシサーバ装置に通知したアドレスに基づいて前記プロキシサーバ装置が行ったアクセスのアクセス先のウェブページのタイトルとアクセス先のアドレスとが対応付けられて示されるローカルプロキシ情報が少なくとも1つ以上含まれるローカルプロキシログとを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたローカルプロキシログに含まれるローカルプロキシ情報に示されるタイトルの内、前記端末操作ログに示されるタイトルに合致するタイトルが示されるローカルプロキシ情報を抽出するローカルプロキシ情報抽出部
を備え、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と、前記ローカルプロキシ情報抽出部に抽出されたローカルプロキシ情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【公開番号】特開2013−81146(P2013−81146A)
【公開日】平成25年5月2日(2013.5.2)
【国際特許分類】
【出願番号】特願2011−221313(P2011−221313)
【出願日】平成23年10月5日(2011.10.5)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成25年5月2日(2013.5.2)
【国際特許分類】
【出願日】平成23年10月5日(2011.10.5)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]