ウィルス被害範囲予測システム
【課題】
コンピュータウィルスが感染した場合、その被害範囲を予測するウィルス被害範囲予測システムを提供することを目的とする。
【解決手段】
コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムである。
コンピュータウィルスが感染した場合、その被害範囲を予測するウィルス被害範囲予測システムを提供することを目的とする。
【解決手段】
コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、企業などの組織で使用しているコンピュータ端末にコンピュータウィルスが感染した場合、その被害範囲を予測するウィルス被害範囲予測システムに関する。更には、感染していると予測されるコンピュータ端末を、ネットワークから切り離すウィルス被害範囲予測システムに関する。
【背景技術】
【0002】
企業などの組織ではその業務遂行のために多数のコンピュータ端末を使用している。しかし何らかの理由により、一部のコンピュータ端末がコンピュータウィルス(本明細書では「ウィルス」と呼ぶ。またウィルスとは、「自らまたはほかのコンピュータ端末に対して何らかの被害をもたらす不正なプログラムまたはプログラム断片(ほかのアプリケーションプログラム上で起動するプログラムの一部)」であればよく、電子メールやウェブブラウザなどを介して感染する、いわゆるコンピュータウィルスのほかにも、ワーム、ボット、ルートキットなど様々なものが含まれる。本明細書ではそれらを総称して「ウィルス」と称する)に感染してしまう場合もある。このような場合、システム管理者は、感染したコンピュータ端末からほかのコンピュータ端末へのウィルス感染を防止するために、ウィルス感染を検出したコンピュータ端末を直ちにネットワークから遮断するとともに、その感染経路を特定し、新たな感染を防止することが求められる。
【0003】
下記特許文献1にウィルスの感染経路を特定するシステムの一例が記載されている。また特許文献2にはウィルスや不正アクセスがあった場合に、それを通知するシステムの一例が記載されている。
【0004】
【特許文献1】特開2002−287991号公報
【特許文献2】特開2007−206750号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記特許文献1の発明を用いた場合、どのような経路でコンピュータがウィルスに感染したか、その経路を特定することが出来る点で有益である。そしてシステム管理者は、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在しないか、を特定する作業を行う。
【0006】
つまり感染経路を特定するような従来のシステムの場合、コンピュータ端末がウィルスに感染した経路を特定できたとしても、感染している可能性のあるほかのコンピュータ端末、つまりウィルス感染の被害範囲の予測を行うことは出来ない。そのため上述のように、システム管理者が、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。
【0007】
ところがウィルスの場合、感染したコンピュータ端末が利用したファイルなどを、ほかのコンピュータ端末が利用することによって、ほかのコンピュータ端末へ感染し、被害が拡大することも多い。従って、ウィルス感染の経路を特定したのちに、システム管理者がその経路をたどることで、ほかに感染しているコンピュータ端末を特定し、そのコンピュータ端末のネットワーク接続を遮断する、といったプロセスを経ていたのでは時間を要してしまい、ほかのコンピュータ端末へ被害が拡大するおそれがある。
【0008】
そこで被害拡大防止のために、上述の特許文献2のように、ウィルス感染や不正アクセスなどがあった場合、システム管理者が利用する所定の電話番号などにFAXで通知するシステムがある。しかしこのシステムを用いたとしても、被害の可能性のある範囲を予測することは出来ない。そのため結局は従来と同様に、システム管理者が、逐次、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。
【0009】
また被害拡大防止のためには、ウィルス感染を検出した段階で、ネットワークに接続しているほかのすべてのコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止することが出来るが、全く関係のないコンピュータ端末までネットワーク接続が遮断されてしまうと、日常業務に著しい支障を来してしまう。
【0010】
そのため、一台のコンピュータ端末でウィルス感染を検出した場合、速やかにその感染範囲を適切に予測することが出来るシステムが望まれている。そして、予測した範囲のコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止するシステムが望まれている。
【課題を解決するための手段】
【0011】
本発明者は上記課題に鑑み、本発明のウィルス被害範囲予測システムを発明した。
【0012】
第1の発明は、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムである。
【0013】
ウィルスに感染する可能性の一つとしては、ウィルス感染したクライアント端末が出力したファイルなどを、ほかのクライアント端末が受け取ることによる場合がある。そのため本発明のように構成することで、ウィルス感染の可能性がある被害範囲を予測することが可能となる。
【0014】
また上述の発明は、以下の発明のように構成しても良い。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末の出力操作による出力を受け取った、ほかのクライアント端末を前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムのように構成しても良い。
【0015】
上述の各発明において、前記被害範囲予測処理部は、前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報と、所定の出力操作を示す操作内容とに基づいて、そのクライアント端末における出力操作を操作内容として含む操作ログ情報を特定する出力操作特定部と、前記特定した操作ログ情報における出力操作の出力を受け取ったクライアント端末のクライアント端末識別情報を、前記操作ログ情報記憶部に記憶する操作ログ情報または所定のサーバにおけるログ情報により特定する端末特定部と、を有するウィルス被害範囲予測システムのように構成することも出来る。
【0016】
被害範囲として予測されるクライアント端末の特定方法には様々な方法があるが、その一つとして本発明のような処理がある。
【0017】
ウィルスに感染していると予測したクライアント端末については、その被害の拡大を防止するためにも、ネットワーク接続を遮断することが好ましい。そこで以下の発明のように構成することも出来る。すなわち、前記ウィルス被害範囲予測システムは、更に、前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、を有するウィルス被害範囲予測システムのように構成することも出来る。
【0018】
本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述のシステムが構成できる。すなわち、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、として機能させるウィルス被害範囲予測プログラムのように構成しても良い。
【発明の効果】
【0019】
本発明のウィルス被害範囲予測システムを用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、とりあえずの被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
【発明を実施するための最良の形態】
【0020】
本発明のウィルス被害範囲予測システム1の全体の概念図を図1に示す。またウィルス被害範囲予測システム1のシステム構成の一例の概念図を図2に示す。
【0021】
本発明のウィルス被害範囲予測システム1は、各クライアント端末4を監視する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムやモジュールが処理されることにより実現される。管理サーバ2は、複数のクライアント端末4においてどのようなファイルやプログラムが実行されているか、を記録、監視することが好ましい。そのため、各クライアント端末4には、当該クライアント端末4において実行されているプログラム名、ファイル名などの情報を定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末4から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えていることが好ましい。プログラム名やファイル名の情報を送信する機能は、クライアント端末4の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末4から管理サーバ2に送信すればよい。
【0022】
またクライアント端末4には、定期的にまたは所定のタイミング(たとえば電子メールを受信した場合やウェブブラウザでウェブサイトを閲覧した場合、などネットワーク経由で何らかのデータを受信した場合、USBメモリなどの記憶装置21をクライアント端末4に接続した場合など)において、ウィルスに感染していないかをウィルススキャンするウィルス検出機能を備えている。このウィルス検出機能は公知の様々な製品を適用することが出来る。
【0023】
なお本明細書において「クライアント端末」との記載には、ユーザが操作するコンピュータ端末のほか、「ファイルサーバ」なども含まれる。
【0024】
管理者端末3は、管理サーバ2を利用するシステム管理者が利用するコンピュータ端末であって、管理サーバ2からの所定の通知などを受信する。また管理サーバ2に対して何らかの制御指示を送信することを可能にしてもよい。なお管理者端末3は管理サーバ2とは一体的に設けられていても良いし、別のコンピュータ端末として設けられていても良い。
【0025】
管理サーバ2、クライアント端末4、管理者端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを有している。またクライアント端末4、管理者端末3では、更に、ディスプレイなどの表示装置22を有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
【0026】
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
【0027】
ウィルス被害範囲予測システム1は、操作ログ情報取得部5と操作ログ情報記憶部6とウィルス検出情報取得部7と被害範囲予測処理部8とネットワーク接続遮断処理部9とを有する。
【0028】
操作ログ情報取得部5は、各クライアント端末4から定期的にまたは不定期に、当該クライアント端末4における操作ログ情報を取得する。取得した操作ログ情報は、後述する操作ログ情報記憶部6に、その日時、どのクライアント端末4における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末4における操作内容やそのクライアント端末4における処理内容などを示す情報であればよく、例えば「ファイルコピー」、「ファイル貼り付け」、「ファイル選択」、「ファイルアクセス」など、当該クライアント端末4の操作者の操作を示す情報が該当する。また、管理サーバ2が各クライアント端末4から操作ログ情報を取得する際にはネットワークを介して取得しても良いし、操作ログ情報がクライアント端末4においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって取得しても良い。
【0029】
操作ログ情報記憶部6は、操作ログ情報取得部5で各クライアント端末4から取得した操作ログ情報を記憶する。操作ログ情報には、クライアント端末4を識別する情報、操作内容を示す情報、操作内容の操作対象となったファイルやアプリケーションの名称、当該ファイルやアプリケーションの所在位置を示す情報、日時または日時を数値化した情報などが含まれている。図6に操作ログ情報の一例を示す。なお操作ログ情報は、各クライアント端末4またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末4で行っても良いし、操作ログ情報を管理サーバ2で取得した際に行っても良いし、或いは操作ログ情報記憶部6で記憶した際に行っても良い。また図7に操作ログ情報記憶部6の概念図の一例を模式的に示す。
【0030】
ウィルス検出情報取得部7は、クライアント端末4でウィルスを検出した場合に、そのウィルス検出情報を取得する。ウィルス検出情報としては、ウィルスが検出されたことの通知とどのクライアント端末4で検出したかを識別するクライアント端末識別情報などが含まれる。
【0031】
被害範囲予測処理部8は、ウィルス検出情報取得部7でウィルス検出情報を取得すると、ウィルス感染したクライアント端末4以外のほかのクライアント端末4で感染している可能性のあるクライアント端末4を予測する、つまりウィルス感染の被害範囲の予測を行う。被害範囲予測処理部8は、出力操作特定部81と端末特定部82とを有する。
【0032】
出力操作特定部81は、ウィルス感染したクライアント端末4で行われた出力操作を操作内容として含む操作ログ情報を、操作ログ情報記憶部6に記憶する操作ログ情報から特定する。
【0033】
ウィルス検出情報取得部7で取得したウィルス検出情報に基づいて、ウィルス感染したクライアント端末4の識別情報を取得しているので、そのクライアント端末4の識別情報と、あらかじめ出力操作として定められている操作内容、例えば「ファイル貼り付け」(USBメモリへのファイルの書き込み)、「電子メール送信」、「ファイル配信」、「ファイルアップロード」などを含む操作ログ情報を、操作ログ情報記憶部6に記憶する操作ログ情報から検索して特定する。この際に、所定時間前(例えば72時間前)までの操作ログ情報から検索するなど、検索範囲を設定しても良い。
【0034】
端末特定部82は、出力操作特定部81で特定した出力操作を操作内容として含む操作ログ情報に基づいて、その出力操作による出力を受け取ったクライアント端末4を、操作ログ情報記憶部6に記憶する操作ログ情報、または所定のサーバにおけるログ情報に基づいて特定する。ここで特定したクライアント端末4が、ウィルス感染の被害範囲として予測されるクライアント端末4になる。なお出力操作による出力を受け取ったクライアント端末4の特定処理は、あらかじめ出力操作に対応づけられて、どのような特定処理を行うか記憶されている。例えば出力操作がUSBメモリなどの外部記憶装置への「ファイル貼り付け」である場合には、そのUSBメモリにおける所定操作、「電子メール送信」である場合には、電子メールの送信先のクライアント端末4、「ファイル配信」、「ファイルアップロード」である場合には、ファイルが配信・アップロードされたクライアント端末4、といったように特定処理が、出力操作ごとに対応づけて記憶されている。
【0035】
被害範囲予測処理部8における処理を説明する。
【0036】
例えば操作ログ情報記憶部6に記憶する操作ログ情報が図7であり、クライアント端末4「ABC12345678」からウィルス検出情報をウィルス検出情報取得部7で取得した場合、出力操作特定部81は、識別情報「ABC12345678」を含んでおり、操作内容があらかじめ定められた出力操作である操作ログ情報を、所定時間前(たとえば72時間前)までの操作ログ情報から特定する。例えば出力操作として「ファイル貼り付け」が定められている場合、図7では、「USBメモリ(XYZ123)」へのファイル「AAAAAAA」の「ファイル貼り付け操作」が該当する。つまり、「USBメモリ(XYZ123)」へのファイル「AAAAAAA」の出力操作が行われていると特定できる。これを模式的に示すのが図8である。なお上述の「XYZ123」はUSBメモリを識別する情報である。
【0037】
このようにして出力操作を特定すると、その操作内容に応じた出力について、その出力を受け取ったクライアント端末4を、操作ログ情報記憶部6に記憶する操作ログ情報から、端末特定部82が特定する。例えば出力操作の操作内容が「ファイル貼り付け」であり、保存場所がUSBメモリなどの外部記憶装置の場合には、当該外部記憶装置を利用したクライアント端末4がその出力を受け取ったものとなる。また操作内容が「電子メール送信」の場合には、電子メールの送信先となる電子メールアドレスに対応づけられたユーザが利用するクライアント端末4(電子メールアドレスに、ユーザ識別情報またはクライアント端末識別情報が対応づけて記憶されている記憶部を備えており、それを参照する)がその出力を受け取ったものとなる。さらには「ファイル配信」、「ファイルアップロード」の操作内容の場合には、配信先またはアップロード先のクライアント端末4がその出力を受け取ったものとなる。
【0038】
図8の場合には、出力操作の操作内容がUSBメモリへの「ファイル貼り付け」であることから、出力操作特定部81で特定した操作ログ情報におけるUSBメモリを利用したクライアント端末4を、上記出力操作が行われた以降の操作ログ情報に基づいて特定する。つまり、保存場所が「USBメモリ(XYZ123)」に記憶されているファイルにアクセスした操作ログ情報(操作内容が「ファイルアクセス」である操作ログ情報)、当該USBメモリの挿入を検出した操作ログ情報(操作内容が「USBメモリ挿入」を示す操作ログ情報)、など、USBメモリを利用したことを示す操作内容を含む操作ログ情報を特定し、その操作ログ情報におけるクライアント端末識別情報を特定する。従って、「GHI45698733」、「SDF12333211」、「YUI4565444」のクライアント端末識別情報であるクライアント端末4が被害範囲として予測されるクライアント端末4となる。
【0039】
なお出力操作の操作内容が「電子メール送信」の場合、送信先の電子メールアドレスは、操作ログ情報に含まれていても良いし、クライアント端末4から別途、送信先の電子メールアドレスを取得しても良い。さらには、「電子メール送信」の操作内容を含む操作ログ情報における日時情報に基づいて、電子メールサーバに、当該日時に送信された電子メールの送信先を問い合わせることによって、送信先の電子メールアドレスを取得するように構成しても良い。この場合、電子メールサーバでは、電子メールサーバが送受信した電子メールのログ情報を記録しており、それを用いて上記問い合わせに対する結果を送信する。
【0040】
また上記と同様に、出力操作の操作内容が「ファイル配信」、「ファイルアップロード」の場合にも、配信先、アップロード先のクライアント端末識別情報は、操作ログ情報に含まれていても良いし、クライアント端末4から別途、取得しても良い。またさらには、「ファイル配信」、「ファイルアップロード」の操作内容を含む操作ログ情報における日時情報に基づいて、ファイル配信やファイルアップロードを行ったサーバに、当該日時に配信、アップロードされたファイルの配信先、アップロード先を問い合わせることによって、配信先、アップロード先のクライアント端末識別情報を取得するように構成しても良い。この場合、上記サーバでは、サーバが配信、アップロードを受け付けたファイルのログ情報を記録しており、それを用いて上記問い合わせに対する結果を送信する。
【0041】
ネットワーク接続遮断処理部9は、被害範囲予測処理部8においてウィルス感染の被害範囲であると予測したクライアント端末4について、そのネットワーク接続を遮断する。例えば予測したクライアント端末識別情報のクライアント端末4に対して、ネットワーク接続を遮断させる制御指示を送信する。ネットワーク接続の遮断方法としては、当該クライアント端末4のネットワークドライバの動作を停止させる、ARP(アドレスレゾリューションプロトコル)応答パケットを偽装することにより、ネットワークにおいて当該クライアント端末4を認識できなくする、IPアドレスを強制的に放棄させ、IPアドレスの割り当てを停止する、などの方法がある。またほかにもウィルス感染していないと予測されるクライアント端末4(被害範囲予測処理部8で予測したクライアント端末識別情報のクライアント端末4以外のクライアント端末4)に対して、予測したクライアント端末4からのネットワーク接続要求をすべて拒否する制御指示を送信する、DNSサーバに対して、被害範囲予測処理部8で予測したクライアント端末4を、現在参加しているドメインから強制的にログオフさせ、以降はログイン不可とする制御指示を送信する、などにより行うことも出来る。
【0042】
またネットワーク接続を遮断した場合には、ネットワーク接続遮断処理部9は、遮断したクライアント端末4について、ネットワーク接続を遮断したことを管理者端末3に通知しても良い。
【0043】
なおネットワーク接続が遮断された各クライアント端末4については、ウィルス感染の確認、ウィルスの除去処理などが完了後、システム管理者の管理者端末3からの所定の制御指示により、ネットワーク接続が復活できるようにすることが好ましい。
【実施例1】
【0044】
次に本発明のウィルス被害範囲予測システム1の処理プロセスの一例を図4及び図5のフローチャート、図2の概念図を用いて説明する。
【0045】
各クライアント端末4から管理サーバ2に、当該クライアント端末4の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報については操作ログ情報取得部5で取得する。
【0046】
操作ログ情報取得部5で取得した操作ログ情報は、操作ログ情報記憶部6に記憶させる。操作ログ情報には、当該クライアント端末4を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部6に記憶させる。
【0047】
また各クライアント端末4では、定期的にまたは所定のタイミングでウィルス検出機能を用いてウィルススキャンの処理が実行される。このウィルススキャンの処理において、何らかのウィルスが検出されると(S100)、当該クライアント端末4は、管理サーバ2に対して、ウィルスが検出されたことを示す情報と当該クライアント端末4の識別情報とを含むウィルス検出情報を送信する(S110)。
【0048】
このウィルス検出情報は、管理サーバ2のウィルス検出情報取得部7で取得する。そして被害範囲予測処理部8の出力操作特定部81は、ウィルス感染しているクライアント端末4からの出力操作が行われた操作ログ情報を、操作ログ情報記憶部6に記憶する操作ログ情報から特定する(S120)。
【0049】
被害範囲予測処理部8の端末特定部82は、出力操作特定部81が特定した操作ログ情報に基づいて、その出力操作による出力を受け取った、ウィルスに感染したクライアント端末4以外のクライアント端末4の識別情報を、操作ログ情報記憶部6に記憶する操作ログ情報に基づいて特定する(S130)。
【0050】
このようにして特定したクライアント端末識別情報のクライアント端末4は、ウィルス感染の被害が予測されるクライアント端末4であるので、ネットワーク接続遮断処理部9は、端末特定部82で特定したクライアント端末識別情報のクライアント端末4について、ネットワーク接続を遮断する制御を実行する(S140)。例えば特定したクライアント端末4に対して、ネットワーク接続を遮断する制御指示を送信したり、DNSサーバに対して、当該クライアント端末4のドメインからの強制ログオフの制御指示を送信したり、特定したクライアント端末4以外のクライアント端末4に対して、当該特定したクライアント端末4からのネットワーク接続を拒否する制御指示を送信するなどがある。
【0051】
以上のような処理を実行することで、ウィルス感染を検出したクライアント端末4のみならず、その被害が予測されるほかのクライアント端末4についても、速やかにネットワーク接続を遮断することが出来る。一方で、その被害が予測されないクライアント端末4については従前通り、そのままネットワーク接続が維持されたままなので、日常業務にも支障を来さない。
【実施例2】
【0052】
上述の実施例では管理サーバ2においてその処理の一部または全部が実行される場合を説明したが、これらの機能がクライアント端末4、管理サーバ2、管理者端末3において適宜、分散配置していても良い。
【0053】
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、各クライアント端末4や管理者端末3における処理の際に、管理サーバ2の各機能を利用する場合にはその問い合わせを当該クライアント端末4や管理者端末3から管理サーバ2に対して行い、その結果を当該クライアント端末4や管理者端末3における処理に用いる。そしてその処理結果をクライアント端末4や管理者端末3で実行することとなる。
【実施例3】
【0054】
上述の各機能がクライアント端末4に備えられていても良い。すなわち操作ログ情報取得部5、操作ログ情報記憶部6、ウィルス検出情報取得部7、被害範囲予測処理部8、ネットワーク接続遮断処理部9をクライアント端末4に備えていても良い。
【0055】
この場合、当該クライアント端末4は、ほかのクライアント端末4がウィルスに感染した場合、その情報をウィルス検出情報取得部7で取得する。そして被害範囲予測処理部8は、上述の各実施例の処理を実行することにより、当該クライアント端末4が、ウィルスに感染したクライアント端末4(ウィルス検出情報を送信したクライアント端末4)からの出力を受け取ったかを判定する。そしてウィルス感染したクライアント端末4から当該クライアント端末4が出力を受け取っていた場合には、当該クライアント端末4もウィルスに感染している可能性があるので、ネットワーク接続遮断処理部9が当該クライアント端末4のネットワーク接続を遮断する制御処理を実行したり、あるいはほかのクライアント端末4または所定のサーバなどに、ネットワーク接続を遮断させる制御指示を送信する。この制御指示を受け取ったほかのクライアント端末4や所定のサーバは、制御指示に従って、ウィルス感染が予測されるクライアント端末4とのネットワーク接続を遮断したり、ネットワーク接続要求を拒否するなどの処理を実行する。
【実施例4】
【0056】
また上述の各機能がクライアント端末4に備えられている場合に、自らの端末がウィルスに感染する場合もある(自らの端末でウィルスを検出した場合)。この場合、当該クライアント端末4での出力操作による出力を受け取ったほかのクライアント端末4を、上述の各実施例の処理を実行することにより、被害範囲予測処理部8が判定する。そしてウィルス感染が予測されるクライアント端末4や所定のサーバに対して、ウィルス感染が予測されることの通知を送信したり、ネットワーク接続遮断処理部9によるネットワーク接続の遮断処理を実行させるための制御指示を送信する。
【0057】
これにより、自らのクライアント端末4がウィルスに感染した場合でも、その端末にアクセスしたほかのクライアント端末4がウィルス感染が予測されることを判定し、対応することが可能となる。
【産業上の利用可能性】
【0058】
上述の各発明を用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、とりあえずの被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
【図面の簡単な説明】
【0059】
【図1】本発明の全体の概念を示す概念図である。
【図2】本発明のシステム構成の一例を示す概念図である。
【図3】ハードウェア構成の一例を示す概念図である。
【図4】本発明の全体的な処理プロセスの一例を示すフローチャートである。
【図5】ウィルス感染の被害範囲を予測する処理プロセスの一例を示すフローチャートである。
【図6】操作ログ情報の一例を模式的に示す図である。
【図7】操作ログ情報記憶部の一例を模式的に示す図である。
【図8】被害範囲予測処理部における被害範囲を特定する処理を模式的に示す図である。
【符号の説明】
【0060】
1:ウィルス被害範囲予測システム
2:管理サーバ
3:管理者端末
4:クライアント端末
5:操作ログ情報取得部
6:操作ログ情報記憶部
7:ウィルス検出情報取得部
8:被害範囲予測処理部
81:出力操作特定部
82:端末特定部
9:ネットワーク接続遮断処理部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
【技術分野】
【0001】
本発明は、企業などの組織で使用しているコンピュータ端末にコンピュータウィルスが感染した場合、その被害範囲を予測するウィルス被害範囲予測システムに関する。更には、感染していると予測されるコンピュータ端末を、ネットワークから切り離すウィルス被害範囲予測システムに関する。
【背景技術】
【0002】
企業などの組織ではその業務遂行のために多数のコンピュータ端末を使用している。しかし何らかの理由により、一部のコンピュータ端末がコンピュータウィルス(本明細書では「ウィルス」と呼ぶ。またウィルスとは、「自らまたはほかのコンピュータ端末に対して何らかの被害をもたらす不正なプログラムまたはプログラム断片(ほかのアプリケーションプログラム上で起動するプログラムの一部)」であればよく、電子メールやウェブブラウザなどを介して感染する、いわゆるコンピュータウィルスのほかにも、ワーム、ボット、ルートキットなど様々なものが含まれる。本明細書ではそれらを総称して「ウィルス」と称する)に感染してしまう場合もある。このような場合、システム管理者は、感染したコンピュータ端末からほかのコンピュータ端末へのウィルス感染を防止するために、ウィルス感染を検出したコンピュータ端末を直ちにネットワークから遮断するとともに、その感染経路を特定し、新たな感染を防止することが求められる。
【0003】
下記特許文献1にウィルスの感染経路を特定するシステムの一例が記載されている。また特許文献2にはウィルスや不正アクセスがあった場合に、それを通知するシステムの一例が記載されている。
【0004】
【特許文献1】特開2002−287991号公報
【特許文献2】特開2007−206750号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記特許文献1の発明を用いた場合、どのような経路でコンピュータがウィルスに感染したか、その経路を特定することが出来る点で有益である。そしてシステム管理者は、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在しないか、を特定する作業を行う。
【0006】
つまり感染経路を特定するような従来のシステムの場合、コンピュータ端末がウィルスに感染した経路を特定できたとしても、感染している可能性のあるほかのコンピュータ端末、つまりウィルス感染の被害範囲の予測を行うことは出来ない。そのため上述のように、システム管理者が、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。
【0007】
ところがウィルスの場合、感染したコンピュータ端末が利用したファイルなどを、ほかのコンピュータ端末が利用することによって、ほかのコンピュータ端末へ感染し、被害が拡大することも多い。従って、ウィルス感染の経路を特定したのちに、システム管理者がその経路をたどることで、ほかに感染しているコンピュータ端末を特定し、そのコンピュータ端末のネットワーク接続を遮断する、といったプロセスを経ていたのでは時間を要してしまい、ほかのコンピュータ端末へ被害が拡大するおそれがある。
【0008】
そこで被害拡大防止のために、上述の特許文献2のように、ウィルス感染や不正アクセスなどがあった場合、システム管理者が利用する所定の電話番号などにFAXで通知するシステムがある。しかしこのシステムを用いたとしても、被害の可能性のある範囲を予測することは出来ない。そのため結局は従来と同様に、システム管理者が、逐次、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。
【0009】
また被害拡大防止のためには、ウィルス感染を検出した段階で、ネットワークに接続しているほかのすべてのコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止することが出来るが、全く関係のないコンピュータ端末までネットワーク接続が遮断されてしまうと、日常業務に著しい支障を来してしまう。
【0010】
そのため、一台のコンピュータ端末でウィルス感染を検出した場合、速やかにその感染範囲を適切に予測することが出来るシステムが望まれている。そして、予測した範囲のコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止するシステムが望まれている。
【課題を解決するための手段】
【0011】
本発明者は上記課題に鑑み、本発明のウィルス被害範囲予測システムを発明した。
【0012】
第1の発明は、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムである。
【0013】
ウィルスに感染する可能性の一つとしては、ウィルス感染したクライアント端末が出力したファイルなどを、ほかのクライアント端末が受け取ることによる場合がある。そのため本発明のように構成することで、ウィルス感染の可能性がある被害範囲を予測することが可能となる。
【0014】
また上述の発明は、以下の発明のように構成しても良い。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末の出力操作による出力を受け取った、ほかのクライアント端末を前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムのように構成しても良い。
【0015】
上述の各発明において、前記被害範囲予測処理部は、前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報と、所定の出力操作を示す操作内容とに基づいて、そのクライアント端末における出力操作を操作内容として含む操作ログ情報を特定する出力操作特定部と、前記特定した操作ログ情報における出力操作の出力を受け取ったクライアント端末のクライアント端末識別情報を、前記操作ログ情報記憶部に記憶する操作ログ情報または所定のサーバにおけるログ情報により特定する端末特定部と、を有するウィルス被害範囲予測システムのように構成することも出来る。
【0016】
被害範囲として予測されるクライアント端末の特定方法には様々な方法があるが、その一つとして本発明のような処理がある。
【0017】
ウィルスに感染していると予測したクライアント端末については、その被害の拡大を防止するためにも、ネットワーク接続を遮断することが好ましい。そこで以下の発明のように構成することも出来る。すなわち、前記ウィルス被害範囲予測システムは、更に、前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、を有するウィルス被害範囲予測システムのように構成することも出来る。
【0018】
本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述のシステムが構成できる。すなわち、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、として機能させるウィルス被害範囲予測プログラムのように構成しても良い。
【発明の効果】
【0019】
本発明のウィルス被害範囲予測システムを用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、とりあえずの被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
【発明を実施するための最良の形態】
【0020】
本発明のウィルス被害範囲予測システム1の全体の概念図を図1に示す。またウィルス被害範囲予測システム1のシステム構成の一例の概念図を図2に示す。
【0021】
本発明のウィルス被害範囲予測システム1は、各クライアント端末4を監視する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムやモジュールが処理されることにより実現される。管理サーバ2は、複数のクライアント端末4においてどのようなファイルやプログラムが実行されているか、を記録、監視することが好ましい。そのため、各クライアント端末4には、当該クライアント端末4において実行されているプログラム名、ファイル名などの情報を定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末4から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えていることが好ましい。プログラム名やファイル名の情報を送信する機能は、クライアント端末4の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末4から管理サーバ2に送信すればよい。
【0022】
またクライアント端末4には、定期的にまたは所定のタイミング(たとえば電子メールを受信した場合やウェブブラウザでウェブサイトを閲覧した場合、などネットワーク経由で何らかのデータを受信した場合、USBメモリなどの記憶装置21をクライアント端末4に接続した場合など)において、ウィルスに感染していないかをウィルススキャンするウィルス検出機能を備えている。このウィルス検出機能は公知の様々な製品を適用することが出来る。
【0023】
なお本明細書において「クライアント端末」との記載には、ユーザが操作するコンピュータ端末のほか、「ファイルサーバ」なども含まれる。
【0024】
管理者端末3は、管理サーバ2を利用するシステム管理者が利用するコンピュータ端末であって、管理サーバ2からの所定の通知などを受信する。また管理サーバ2に対して何らかの制御指示を送信することを可能にしてもよい。なお管理者端末3は管理サーバ2とは一体的に設けられていても良いし、別のコンピュータ端末として設けられていても良い。
【0025】
管理サーバ2、クライアント端末4、管理者端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを有している。またクライアント端末4、管理者端末3では、更に、ディスプレイなどの表示装置22を有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
【0026】
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
【0027】
ウィルス被害範囲予測システム1は、操作ログ情報取得部5と操作ログ情報記憶部6とウィルス検出情報取得部7と被害範囲予測処理部8とネットワーク接続遮断処理部9とを有する。
【0028】
操作ログ情報取得部5は、各クライアント端末4から定期的にまたは不定期に、当該クライアント端末4における操作ログ情報を取得する。取得した操作ログ情報は、後述する操作ログ情報記憶部6に、その日時、どのクライアント端末4における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末4における操作内容やそのクライアント端末4における処理内容などを示す情報であればよく、例えば「ファイルコピー」、「ファイル貼り付け」、「ファイル選択」、「ファイルアクセス」など、当該クライアント端末4の操作者の操作を示す情報が該当する。また、管理サーバ2が各クライアント端末4から操作ログ情報を取得する際にはネットワークを介して取得しても良いし、操作ログ情報がクライアント端末4においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって取得しても良い。
【0029】
操作ログ情報記憶部6は、操作ログ情報取得部5で各クライアント端末4から取得した操作ログ情報を記憶する。操作ログ情報には、クライアント端末4を識別する情報、操作内容を示す情報、操作内容の操作対象となったファイルやアプリケーションの名称、当該ファイルやアプリケーションの所在位置を示す情報、日時または日時を数値化した情報などが含まれている。図6に操作ログ情報の一例を示す。なお操作ログ情報は、各クライアント端末4またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末4で行っても良いし、操作ログ情報を管理サーバ2で取得した際に行っても良いし、或いは操作ログ情報記憶部6で記憶した際に行っても良い。また図7に操作ログ情報記憶部6の概念図の一例を模式的に示す。
【0030】
ウィルス検出情報取得部7は、クライアント端末4でウィルスを検出した場合に、そのウィルス検出情報を取得する。ウィルス検出情報としては、ウィルスが検出されたことの通知とどのクライアント端末4で検出したかを識別するクライアント端末識別情報などが含まれる。
【0031】
被害範囲予測処理部8は、ウィルス検出情報取得部7でウィルス検出情報を取得すると、ウィルス感染したクライアント端末4以外のほかのクライアント端末4で感染している可能性のあるクライアント端末4を予測する、つまりウィルス感染の被害範囲の予測を行う。被害範囲予測処理部8は、出力操作特定部81と端末特定部82とを有する。
【0032】
出力操作特定部81は、ウィルス感染したクライアント端末4で行われた出力操作を操作内容として含む操作ログ情報を、操作ログ情報記憶部6に記憶する操作ログ情報から特定する。
【0033】
ウィルス検出情報取得部7で取得したウィルス検出情報に基づいて、ウィルス感染したクライアント端末4の識別情報を取得しているので、そのクライアント端末4の識別情報と、あらかじめ出力操作として定められている操作内容、例えば「ファイル貼り付け」(USBメモリへのファイルの書き込み)、「電子メール送信」、「ファイル配信」、「ファイルアップロード」などを含む操作ログ情報を、操作ログ情報記憶部6に記憶する操作ログ情報から検索して特定する。この際に、所定時間前(例えば72時間前)までの操作ログ情報から検索するなど、検索範囲を設定しても良い。
【0034】
端末特定部82は、出力操作特定部81で特定した出力操作を操作内容として含む操作ログ情報に基づいて、その出力操作による出力を受け取ったクライアント端末4を、操作ログ情報記憶部6に記憶する操作ログ情報、または所定のサーバにおけるログ情報に基づいて特定する。ここで特定したクライアント端末4が、ウィルス感染の被害範囲として予測されるクライアント端末4になる。なお出力操作による出力を受け取ったクライアント端末4の特定処理は、あらかじめ出力操作に対応づけられて、どのような特定処理を行うか記憶されている。例えば出力操作がUSBメモリなどの外部記憶装置への「ファイル貼り付け」である場合には、そのUSBメモリにおける所定操作、「電子メール送信」である場合には、電子メールの送信先のクライアント端末4、「ファイル配信」、「ファイルアップロード」である場合には、ファイルが配信・アップロードされたクライアント端末4、といったように特定処理が、出力操作ごとに対応づけて記憶されている。
【0035】
被害範囲予測処理部8における処理を説明する。
【0036】
例えば操作ログ情報記憶部6に記憶する操作ログ情報が図7であり、クライアント端末4「ABC12345678」からウィルス検出情報をウィルス検出情報取得部7で取得した場合、出力操作特定部81は、識別情報「ABC12345678」を含んでおり、操作内容があらかじめ定められた出力操作である操作ログ情報を、所定時間前(たとえば72時間前)までの操作ログ情報から特定する。例えば出力操作として「ファイル貼り付け」が定められている場合、図7では、「USBメモリ(XYZ123)」へのファイル「AAAAAAA」の「ファイル貼り付け操作」が該当する。つまり、「USBメモリ(XYZ123)」へのファイル「AAAAAAA」の出力操作が行われていると特定できる。これを模式的に示すのが図8である。なお上述の「XYZ123」はUSBメモリを識別する情報である。
【0037】
このようにして出力操作を特定すると、その操作内容に応じた出力について、その出力を受け取ったクライアント端末4を、操作ログ情報記憶部6に記憶する操作ログ情報から、端末特定部82が特定する。例えば出力操作の操作内容が「ファイル貼り付け」であり、保存場所がUSBメモリなどの外部記憶装置の場合には、当該外部記憶装置を利用したクライアント端末4がその出力を受け取ったものとなる。また操作内容が「電子メール送信」の場合には、電子メールの送信先となる電子メールアドレスに対応づけられたユーザが利用するクライアント端末4(電子メールアドレスに、ユーザ識別情報またはクライアント端末識別情報が対応づけて記憶されている記憶部を備えており、それを参照する)がその出力を受け取ったものとなる。さらには「ファイル配信」、「ファイルアップロード」の操作内容の場合には、配信先またはアップロード先のクライアント端末4がその出力を受け取ったものとなる。
【0038】
図8の場合には、出力操作の操作内容がUSBメモリへの「ファイル貼り付け」であることから、出力操作特定部81で特定した操作ログ情報におけるUSBメモリを利用したクライアント端末4を、上記出力操作が行われた以降の操作ログ情報に基づいて特定する。つまり、保存場所が「USBメモリ(XYZ123)」に記憶されているファイルにアクセスした操作ログ情報(操作内容が「ファイルアクセス」である操作ログ情報)、当該USBメモリの挿入を検出した操作ログ情報(操作内容が「USBメモリ挿入」を示す操作ログ情報)、など、USBメモリを利用したことを示す操作内容を含む操作ログ情報を特定し、その操作ログ情報におけるクライアント端末識別情報を特定する。従って、「GHI45698733」、「SDF12333211」、「YUI4565444」のクライアント端末識別情報であるクライアント端末4が被害範囲として予測されるクライアント端末4となる。
【0039】
なお出力操作の操作内容が「電子メール送信」の場合、送信先の電子メールアドレスは、操作ログ情報に含まれていても良いし、クライアント端末4から別途、送信先の電子メールアドレスを取得しても良い。さらには、「電子メール送信」の操作内容を含む操作ログ情報における日時情報に基づいて、電子メールサーバに、当該日時に送信された電子メールの送信先を問い合わせることによって、送信先の電子メールアドレスを取得するように構成しても良い。この場合、電子メールサーバでは、電子メールサーバが送受信した電子メールのログ情報を記録しており、それを用いて上記問い合わせに対する結果を送信する。
【0040】
また上記と同様に、出力操作の操作内容が「ファイル配信」、「ファイルアップロード」の場合にも、配信先、アップロード先のクライアント端末識別情報は、操作ログ情報に含まれていても良いし、クライアント端末4から別途、取得しても良い。またさらには、「ファイル配信」、「ファイルアップロード」の操作内容を含む操作ログ情報における日時情報に基づいて、ファイル配信やファイルアップロードを行ったサーバに、当該日時に配信、アップロードされたファイルの配信先、アップロード先を問い合わせることによって、配信先、アップロード先のクライアント端末識別情報を取得するように構成しても良い。この場合、上記サーバでは、サーバが配信、アップロードを受け付けたファイルのログ情報を記録しており、それを用いて上記問い合わせに対する結果を送信する。
【0041】
ネットワーク接続遮断処理部9は、被害範囲予測処理部8においてウィルス感染の被害範囲であると予測したクライアント端末4について、そのネットワーク接続を遮断する。例えば予測したクライアント端末識別情報のクライアント端末4に対して、ネットワーク接続を遮断させる制御指示を送信する。ネットワーク接続の遮断方法としては、当該クライアント端末4のネットワークドライバの動作を停止させる、ARP(アドレスレゾリューションプロトコル)応答パケットを偽装することにより、ネットワークにおいて当該クライアント端末4を認識できなくする、IPアドレスを強制的に放棄させ、IPアドレスの割り当てを停止する、などの方法がある。またほかにもウィルス感染していないと予測されるクライアント端末4(被害範囲予測処理部8で予測したクライアント端末識別情報のクライアント端末4以外のクライアント端末4)に対して、予測したクライアント端末4からのネットワーク接続要求をすべて拒否する制御指示を送信する、DNSサーバに対して、被害範囲予測処理部8で予測したクライアント端末4を、現在参加しているドメインから強制的にログオフさせ、以降はログイン不可とする制御指示を送信する、などにより行うことも出来る。
【0042】
またネットワーク接続を遮断した場合には、ネットワーク接続遮断処理部9は、遮断したクライアント端末4について、ネットワーク接続を遮断したことを管理者端末3に通知しても良い。
【0043】
なおネットワーク接続が遮断された各クライアント端末4については、ウィルス感染の確認、ウィルスの除去処理などが完了後、システム管理者の管理者端末3からの所定の制御指示により、ネットワーク接続が復活できるようにすることが好ましい。
【実施例1】
【0044】
次に本発明のウィルス被害範囲予測システム1の処理プロセスの一例を図4及び図5のフローチャート、図2の概念図を用いて説明する。
【0045】
各クライアント端末4から管理サーバ2に、当該クライアント端末4の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報については操作ログ情報取得部5で取得する。
【0046】
操作ログ情報取得部5で取得した操作ログ情報は、操作ログ情報記憶部6に記憶させる。操作ログ情報には、当該クライアント端末4を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部6に記憶させる。
【0047】
また各クライアント端末4では、定期的にまたは所定のタイミングでウィルス検出機能を用いてウィルススキャンの処理が実行される。このウィルススキャンの処理において、何らかのウィルスが検出されると(S100)、当該クライアント端末4は、管理サーバ2に対して、ウィルスが検出されたことを示す情報と当該クライアント端末4の識別情報とを含むウィルス検出情報を送信する(S110)。
【0048】
このウィルス検出情報は、管理サーバ2のウィルス検出情報取得部7で取得する。そして被害範囲予測処理部8の出力操作特定部81は、ウィルス感染しているクライアント端末4からの出力操作が行われた操作ログ情報を、操作ログ情報記憶部6に記憶する操作ログ情報から特定する(S120)。
【0049】
被害範囲予測処理部8の端末特定部82は、出力操作特定部81が特定した操作ログ情報に基づいて、その出力操作による出力を受け取った、ウィルスに感染したクライアント端末4以外のクライアント端末4の識別情報を、操作ログ情報記憶部6に記憶する操作ログ情報に基づいて特定する(S130)。
【0050】
このようにして特定したクライアント端末識別情報のクライアント端末4は、ウィルス感染の被害が予測されるクライアント端末4であるので、ネットワーク接続遮断処理部9は、端末特定部82で特定したクライアント端末識別情報のクライアント端末4について、ネットワーク接続を遮断する制御を実行する(S140)。例えば特定したクライアント端末4に対して、ネットワーク接続を遮断する制御指示を送信したり、DNSサーバに対して、当該クライアント端末4のドメインからの強制ログオフの制御指示を送信したり、特定したクライアント端末4以外のクライアント端末4に対して、当該特定したクライアント端末4からのネットワーク接続を拒否する制御指示を送信するなどがある。
【0051】
以上のような処理を実行することで、ウィルス感染を検出したクライアント端末4のみならず、その被害が予測されるほかのクライアント端末4についても、速やかにネットワーク接続を遮断することが出来る。一方で、その被害が予測されないクライアント端末4については従前通り、そのままネットワーク接続が維持されたままなので、日常業務にも支障を来さない。
【実施例2】
【0052】
上述の実施例では管理サーバ2においてその処理の一部または全部が実行される場合を説明したが、これらの機能がクライアント端末4、管理サーバ2、管理者端末3において適宜、分散配置していても良い。
【0053】
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、各クライアント端末4や管理者端末3における処理の際に、管理サーバ2の各機能を利用する場合にはその問い合わせを当該クライアント端末4や管理者端末3から管理サーバ2に対して行い、その結果を当該クライアント端末4や管理者端末3における処理に用いる。そしてその処理結果をクライアント端末4や管理者端末3で実行することとなる。
【実施例3】
【0054】
上述の各機能がクライアント端末4に備えられていても良い。すなわち操作ログ情報取得部5、操作ログ情報記憶部6、ウィルス検出情報取得部7、被害範囲予測処理部8、ネットワーク接続遮断処理部9をクライアント端末4に備えていても良い。
【0055】
この場合、当該クライアント端末4は、ほかのクライアント端末4がウィルスに感染した場合、その情報をウィルス検出情報取得部7で取得する。そして被害範囲予測処理部8は、上述の各実施例の処理を実行することにより、当該クライアント端末4が、ウィルスに感染したクライアント端末4(ウィルス検出情報を送信したクライアント端末4)からの出力を受け取ったかを判定する。そしてウィルス感染したクライアント端末4から当該クライアント端末4が出力を受け取っていた場合には、当該クライアント端末4もウィルスに感染している可能性があるので、ネットワーク接続遮断処理部9が当該クライアント端末4のネットワーク接続を遮断する制御処理を実行したり、あるいはほかのクライアント端末4または所定のサーバなどに、ネットワーク接続を遮断させる制御指示を送信する。この制御指示を受け取ったほかのクライアント端末4や所定のサーバは、制御指示に従って、ウィルス感染が予測されるクライアント端末4とのネットワーク接続を遮断したり、ネットワーク接続要求を拒否するなどの処理を実行する。
【実施例4】
【0056】
また上述の各機能がクライアント端末4に備えられている場合に、自らの端末がウィルスに感染する場合もある(自らの端末でウィルスを検出した場合)。この場合、当該クライアント端末4での出力操作による出力を受け取ったほかのクライアント端末4を、上述の各実施例の処理を実行することにより、被害範囲予測処理部8が判定する。そしてウィルス感染が予測されるクライアント端末4や所定のサーバに対して、ウィルス感染が予測されることの通知を送信したり、ネットワーク接続遮断処理部9によるネットワーク接続の遮断処理を実行させるための制御指示を送信する。
【0057】
これにより、自らのクライアント端末4がウィルスに感染した場合でも、その端末にアクセスしたほかのクライアント端末4がウィルス感染が予測されることを判定し、対応することが可能となる。
【産業上の利用可能性】
【0058】
上述の各発明を用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、とりあえずの被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
【図面の簡単な説明】
【0059】
【図1】本発明の全体の概念を示す概念図である。
【図2】本発明のシステム構成の一例を示す概念図である。
【図3】ハードウェア構成の一例を示す概念図である。
【図4】本発明の全体的な処理プロセスの一例を示すフローチャートである。
【図5】ウィルス感染の被害範囲を予測する処理プロセスの一例を示すフローチャートである。
【図6】操作ログ情報の一例を模式的に示す図である。
【図7】操作ログ情報記憶部の一例を模式的に示す図である。
【図8】被害範囲予測処理部における被害範囲を特定する処理を模式的に示す図である。
【符号の説明】
【0060】
1:ウィルス被害範囲予測システム
2:管理サーバ
3:管理者端末
4:クライアント端末
5:操作ログ情報取得部
6:操作ログ情報記憶部
7:ウィルス検出情報取得部
8:被害範囲予測処理部
81:出力操作特定部
82:端末特定部
9:ネットワーク接続遮断処理部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
【特許請求の範囲】
【請求項1】
コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。
【請求項2】
コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末の出力操作による出力を受け取った、ほかのクライアント端末を前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。
【請求項3】
前記被害範囲予測処理部は、
前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報と、所定の出力操作を示す操作内容とに基づいて、そのクライアント端末における出力操作を操作内容として含む操作ログ情報を特定する出力操作特定部と、
前記特定した操作ログ情報における出力操作の出力を受け取ったクライアント端末のクライアント端末識別情報を、前記操作ログ情報記憶部に記憶する操作ログ情報または所定のサーバにおけるログ情報により特定する端末特定部と、
を有することを特徴とする請求項2に記載のウィルス被害範囲予測システム。
【請求項4】
前記ウィルス被害範囲予測システムは、更に、
前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、
を有することを特徴とする請求項1から請求項3のいずれかに記載のウィルス被害範囲予測システム。
【請求項5】
クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、
前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、
として機能させることを特徴とするウィルス被害範囲予測プログラム。
【請求項1】
コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。
【請求項2】
コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末にてウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末の出力操作による出力を受け取った、ほかのクライアント端末を前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。
【請求項3】
前記被害範囲予測処理部は、
前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報と、所定の出力操作を示す操作内容とに基づいて、そのクライアント端末における出力操作を操作内容として含む操作ログ情報を特定する出力操作特定部と、
前記特定した操作ログ情報における出力操作の出力を受け取ったクライアント端末のクライアント端末識別情報を、前記操作ログ情報記憶部に記憶する操作ログ情報または所定のサーバにおけるログ情報により特定する端末特定部と、
を有することを特徴とする請求項2に記載のウィルス被害範囲予測システム。
【請求項4】
前記ウィルス被害範囲予測システムは、更に、
前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、
を有することを特徴とする請求項1から請求項3のいずれかに記載のウィルス被害範囲予測システム。
【請求項5】
クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、
前記ウィルスを検出したクライアント端末からほかのクライアント端末への出力操作を、前記操作ログ情報または所定のサーバのログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、
として機能させることを特徴とするウィルス被害範囲予測プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2009−176137(P2009−176137A)
【公開日】平成21年8月6日(2009.8.6)
【国際特許分類】
【出願番号】特願2008−15255(P2008−15255)
【出願日】平成20年1月25日(2008.1.25)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成21年8月6日(2009.8.6)
【国際特許分類】
【出願日】平成20年1月25日(2008.1.25)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]