スパイウェア通信管理装置およびスパイウェア通信管理プログラム
【課題】個々の端末へ導入することなく、また、ユーザの作業効率を低下させることなく、スパイウェアによる内部情報の外部への漏洩をより確実に防ぐ。
【解決手段】スパイウェア通信監視装置8は、ブリッジ3と境界ルータ6との間における通信を監視し、スパイウェア(感染PC)による特徴的な通信形態を検知する。スパイウェア通信書き換え装置9は、スパイウェア管理サーバ11からスパイウェアに感染している端末に送信されてくる情報に記述されている内部情報の通信先アドレスを内部ネットワークのある特定のアドレスX、すなわち偽装情報収集サーバ10のアドレスに書き換える。偽装情報収集サーバ10は、スパイウェア(感染PC)から送信される内部情報を回収する。
【解決手段】スパイウェア通信監視装置8は、ブリッジ3と境界ルータ6との間における通信を監視し、スパイウェア(感染PC)による特徴的な通信形態を検知する。スパイウェア通信書き換え装置9は、スパイウェア管理サーバ11からスパイウェアに感染している端末に送信されてくる情報に記述されている内部情報の通信先アドレスを内部ネットワークのある特定のアドレスX、すなわち偽装情報収集サーバ10のアドレスに書き換える。偽装情報収集サーバ10は、スパイウェア(感染PC)から送信される内部情報を回収する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、スパイウェア通信管理装置およびスパイウェア通信管理プログラムに関する。
【背景技術】
【0002】
従来より、ユーザが意識しないうちに、端末内の個人情報を収集してインターネット上の特定の場所(端末)に送信したり、マイクロプロセッサの空き時間を利用して計算させたりしてしまう、端末に組み込まれたプログラム、いわゆるスパイウェアプログラム(以下、スパイウェアという)の被害が広がっている。スパイウェアは、例えば、何らかのソフトウェアに付属し、該ソフトウェアを端末にインストールするときに、一緒にインストールされてしまう。一般に、これを「感染」しているという。
【0003】
そこで、スパイウェアによる被害を防ぐために、スパイウェア対策技術が提案されている。例えば、外部に送信することを想定していない情報の送信を防ぐために、端末から外部への送信情報をチェックして、情報の暗号化の有無、パケット長、受信日時、通信先、送信内容などの情報を取得し、予め設定された判定ルール(同じパケット長のパケットが何度も送信されている、送信内容に個人情報が含まれているなど)に従って、ルールに抵触する場合には、送信しない、あるいは、ダミーデータを外部に送信する技術が提案されている(例えば、特許文献1参照)。
【0004】
また、ネットワークの入出力部に中継装置におけるファイアウォールプロセッサを設け、送信されてきたデータについて、当該データの重要度に関するデータや通信先に関するデータを抽出して、ファイアウォールプロセッサにより、予め用意したテーブルを参照して通信先の信頼性を判断し、さらにデータの重要度と通信先の信頼性に応じた対応(送信の可否)を決定する技術が提案されている(例えば、特許文献2参照)。
【0005】
また、内部ネットワークから外部ネットワークへの情報の送信を情報管理システムによって監視し、内部ネットワークの端末からの送信情報を外部に送信する前に、送信情報の送信日時、送信者、送信先、添付ファイルのデータ形式、データ量を取得し、送信情報の使用言語、データ圧縮方式、暗号化方式、テキストの内容、添付画像の内容などを解析して、予め設定された条件に不適合と判断した場合、送信者に警告メールを送信し、警告回数に応じて送信情報を停止させる技術が提案されている(例えば、特許文献3参照)。
【0006】
また、端末に格納された実行形式のファイルについて、ファイルアクセス判定部によりレジストリの書き換え、システムファイルの書き換えといった動作を検知して、ウィルスやスパイウェアなどの悪意のあるプログラムの可能性があると判別し、ユーザに警告表示し、さらに、当該実行形式のファイルの動作を停止させる技術が提案されている(例えば、特許文献4参照)。
【特許文献1】特開2005−167793号公報
【特許文献2】特開2004−139178号公報
【特許文献3】特開2002−359648号公報
【特許文献4】特開2005−148814号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、個人ユーザはともかく、法人のように多くの端末を管理しなければならない場合には、全ての端末にスパイウェア対策プログラムを導入するのは非常に困難である。また、スパイウェア対策プログラムの定義ファイルなどが更新されていない場合には、スパイウェアを検知できず、対処することもできない。そこで、定期的、あるいは随時、スパイウェア対策プログラムのメンテナンス(更新)をしなければならないが、各端末を管理することが難しい場合、スパイウェアに対して十分に対処することができない。
【0008】
また、スパイウェアは、ウィルスやワームと比べると、短時間で大きな脅威となることが少なく、各端末上にスパイウェア対策プログラムを常駐させた場合には、その処理にかかるCPUの使用コストに対して、スパイウェア対策プログラムによる対策効果が低い。一方、スパイウェア対策プログラムを常駐させずに、手動でプログラムを起動してチェックした場合には、スパイウェアの検知、対策が遅れてしまう危険性がある。
【0009】
さらに、上述した特許文献1〜3に記載されている従来技術では、端末から送信される情報について通信先、送信内容、ファイル形式などを解析し、疑わしい送信情報であると判定されると、送信自体を中止したり、ダミー情報を送信したり、送信情報に対する外部のサーバからのレスポンス情報を解析して利用者に警告を発するようにしているが、疑わしい送信情報が本当にスパイウェアによる漏洩情報であるとは限らない。このため、正当なWebアクセスであっても通信が遮断されてしまう可能性がある。
【0010】
本発明は、このような事情を考慮してなされたものであり、その目的は、個々の端末へ導入することなく、また、ユーザの作業効率を低下させることなく、スパイウェアプログラムによる内部情報の外部への漏洩をより確実に防ぐことができるスパイウェア通信管理装置およびスパイウェア通信管理プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上述した課題を解決するために、本発明は、ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置であって、前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知手段と、前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換手段とを具備することを特徴とする。
【0012】
本発明は、上記の発明において、前記アドレス変換手段は、前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定手段と、前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定手段と、前記内部アドレス特定手段によって特定された前記端末のアドレスと前記通信先アドレス特定手段によって特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定手段と、前記情報特定手段によって特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索手段と、前記通信先アドレス検索手段によって検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換え手段とを具備することを特徴とする。
【0013】
本発明は、上記の発明において、前記端末が前記通信先アドレス書き換え手段によって書き換えられた前記特定のアドレスに送信した情報を収集する収集手段を具備することを特徴とする。
【0014】
本発明は、上記の発明において、前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示手段を具備することを特徴とする。
【0015】
本発明は、上記の発明において、前記確認提示手段からの前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録手段を備え、前記通信検知手段は、前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とする。
【0016】
また、上述した課題を解決するために、本発明は、ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知するステップと、前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するステップとを実行させる。
【発明の効果】
【0017】
この発明によれば、個々の端末へスパイウェア対策プログラムを導入することなく、また、ユーザの作業効率を低下させることなく、スパイウェアプログラムが組み込まれた端末を特定することができ、スパイウェアプログラムが組み込まれた端末から送信される内部情報を内部ネットワーク上の特定のアドレスに送信させることができ、スパイウェアプログラムによる内部情報の外部への漏洩をより確実に防ぐことができ、また、通常のWebアクセスをスパイウェアによる通信と判定してしまった場合であっても、ユーザに解除処理の可否の確認し、解除処理の指示が合った場合には、2回目以降の同一アクセスを正常なウェブアクセスを検出対象としないようにすることができるという利点が得られる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の一実施形態によるスパイウェア通信管理装置を、図面を参照して説明する。なお、本実施形態に係るスパイウェアは、80、8080などHTTP(Hyper Text Transfer Protocol)と同じポートを利用するスパイウェアを対象とした実装例である。
【0019】
図1は、本第1実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。図1において、複数の端末がローカルネットワークを介して接続され、ワークグループや、ドメインなどのグループ1−1〜1−4を構成している。複数のグループ1−1〜1−4の各々は、リピータ2−1、2−2やブリッジ3などを介して相互に接続されている。本第1実施形態では、グループ1−1の端末4とグループ1−4の端末5がスパイウェアに感染しているものとする(感染PC)。これら各グループ1−1〜1−4は、境界ルータ6を介してインターネット7に接続されている。スパイウェア通信監視装置8は、ブリッジ3と境界ルータ6との間における通信を監視し、スパイウェア(感染PC)による特徴的な通信形態(パケットの内容、通信手順など)を検知する。
【0020】
次に、スパイウェア通信書き換え装置9は、ブリッジ3と境界ルータ6との間にバイパスするように設置されており、後述するスパイウェア管理サーバ11からスパイウェアに感染している端末に送信されてくる、パケットのデータ領域(ペイロード、内部)に記述されている情報の通信先アドレス(第2の通信先アドレス)を検索し、該情報の通信先アドレスをある特定のアドレスX、すなわち後述する偽装情報収集サーバ10のアドレスに書き換え、スパイウェア(感染PC)に対して送信する。これにより、スパイウェア(感染PC)は、通知された特定のアドレスXに対して通信をすることになる。偽装情報収集サーバ10は、内部ネットワークに設置され、上記のある特定のアドレスXを有し、スパイウェア(感染PC)から送信される内部情報を回収する。内部情報としては、キーロガーなどを用いて収集したパスワード、クレジットカード番号などの情報や、その他、端末に保存された情報、あるいは端末からインターネットやファイルへアクセスした履歴情報などが含まれる。
【0021】
インターネット7上には、スパイウェア管理サーバ11や、情報収集サーバ12、一般のWebサーバ13などが存在する。スパイウェア管理サーバ11および情報収集サーバ12は、スパイウェアを使用する意図を持っている者によって管理されているサーバである。スパイウェア管理サーバ11は、端末4、5でスパイウェアが起動したときなどに行われる初期登録や状態通知を受信すると、端末4、5において、キーボードからの入力を監視して記録するキーロガーなどのプログラムを用いて取り込んだ内部情報(パスワードやクレジットカード番号など)の通信先アドレス(情報収集サーバ12のアドレス;第2の通信先アドレス)をスパイウェア(感染PC)に通知する。情報収集サーバ12は、スパイウェア(感染PC)から送信されてくる内部情報を収集する。一般のWebサーバ13は、本発明に直接関係しない通常のサーバである。
【0022】
なお、本発明によるスパイウェア通信管理装置とは、上記スパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10を総称したものであり、スパイウェアに感染した端末が内部情報をインターネット7上のサーバ(この場合、スパイウェア管理サーバ11、情報収集サーバ12)に送信するのを防ぐための装置である。また、スパイウェアは、内部による犯行でなければ、一般的にインターネット上の情報収集サーバ12に対して、端末内の内部情報を送信するため、その通信は、モデムなどの迂回路を設置しない限り、必ず境界ルータ6を通過する。よって、境界ルータ6付近が、スパイウェアによる通信を監視するための効率的な対策ポイントとなる。
【0023】
なお、内部情報の漏洩に注目した場合、境界ルータ6より外側のインターネット7に内部情報が送信されることが問題となる。ゆえに、本発明では、境界ルータ6を境に端末側のネットワークを内部ネットワーク、インターネット7側のネットワークを外部ネットワークと定義する。
【0024】
次に、図2は、図1に示すスパイウェア通信管理装置の実装形態を示すブロック図である。なお、図1に対応する部分には同一の符号を付けて説明を省略する。図2において、内部ネットワーク20は、図1に示す端末4や端末5が接続されているネットワークである。該内部ネットワーク20は、タッピング装置21、通信中継装置22、ネットワーク機器23を介して、外部ネットワーク24に接続されている。
【0025】
タッピング装置21は、内部ネットワーク20からの通信情報を転送する際に、転送する通信情報をコピーしてスパイウェア通信監視装置8に出力する。タッピング装置21は、図1において、境界ルータ6とブリッジ3を接続する線と、スパイウェア通信監視装置8とが接続している点に存在する。
【0026】
次に、通信中継装置22は、外部ネットワーク24から送信された通信情報を転送する際に、スパイウェア通信書き換え装置9の制御を受けてレイヤ2レベルにて通信情報を取り込んでアドレスを書き換えて出力するインライン方式を具備する。通信中継装置22には、IPアドレスが割り当てられておらず、レイヤ2レベルで転送している。すなわち、通信中継装置22は、後述する通信先アドレス書き換え部9−3の実際の書き換え処理を行うようになっている。該通信中継装置22は、図1において、境界ルータ6とスパイウェア通信書き換え装置9とを接続する通信線の間、あるいはスパイウェア通信書き換え装置9内に存在する。
【0027】
ネットワーク機器23は、一般的な構成を有し、プロキシ23−1、ファイアウォール23−2および境界ルータ23−3からなる。なお、境界ルータ23−3は、図1に示す境界ルータ6に相当する。また、外部ネットワーク24は、図1に示すインターネット7に相当する。
【0028】
次に、上述したスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10の構成について説明する。スパイウェア通信監視装置8は、図3に示すように、スパイウェア通信検知部8−1、アドレス特定部8−2、通信先アドレス特定部8−3およびスパイウェア通信書き換え装置起動部8−4からなる。スパイウェア通信検知部8−1は、ブリッジ3と境界ルータ6との間における通信を監視し、スパイウェア(感染PC)による特徴的な通信形態(パケットの内容、通信手順など)を検知する。より具体的には、スパイウェアによる特徴的な通信形態を予めルールとして記憶しておき、当該記憶したルールに従ってスパイウェアによる初期通信であるか否かを判定する。
【0029】
アドレス特定部8−2は、スパイウェア(感染PC)による特徴的な通信形態が検出されると、該通信情報に基づいてスパイウェアに感染した端末4、5のIPアドレスを特定し、スパイウェア通信書き換え装置9に送信する。通信先アドレス特定部8−3は、通信先のアドレス(本実施形態ではスパイウェア管理サーバ11のアドレス;第1の通信先アドレス)を特定し、スパイウェア通信書き換え装置9に送信する。スパイウェア通信書き換え装置起動部8−4は、外部ネットワーク上のスパイウェア管理サーバ11や情報収集サーバ12から感染PCへ送信されるパケットを横取りするためにスパイウェア通信書き換え装置9を起動するために起動指示をスパイウェア通信書き換え装置9に送信する。
【0030】
スパイウェア通信書き換え装置9は、図4に示すように、情報特定部9−1、通信先アドレス検索部9−2および通信先アドレス書き換え部9−3からなる。情報特定部9−1は、アドレス特定部8−2によって特定された端末のアドレスと通信先アドレス特定部8−3によって特定された通信先アドレス(スパイウェア管理サーバ11のアドレス)とに基づいて、インターネット7上のスパイウェア管理サーバ11からスパイウェア(感染PC)へ送信された情報を特定する。該情報には、端末の内部情報を送信すべき通信先アドレス(本実施形態では情報収集サーバ12のアドレス;第2の通信先アドレス)が記述され、スパイウェアの種類によっては、スパイウェア(感染PC)に通信の開始をさせるための指示情報が含まれている。
【0031】
通信先アドレス検索部9−2は、情報特定部9−1が特定した情報のデータ領域(ペイロード、内部)に記述されている情報の通信先アドレス(本実施形態では情報収集サーバ12のアドレス)を検索する。通信先アドレス書き換え部9−3は、通信先アドレス検索部9−2が検索した通信先アドレス(情報収集サーバ12のアドレス;第2の通信先アドレス)を特定のアドレスX、すなわち偽装情報収集サーバ10のIPアドレスに書き換え、スパイウェア(感染PC)に対して送信する。
【0032】
偽装情報収集サーバ10は、図5に示すように、情報受信部10−1、情報データベース10−2、ホワイトリスト10−3およびウェブ処理部10−4からなる。情報受信部10−1は、スパイウェア(感染PC)が書き換えられた特定のアドレスに従って送信してきた情報を受信する。情報データベース10−2は、情報受信部10−1により受信された情報を保持する。ホワイトリスト10−3は、正常なウェブアクセスがスパイウェアによるものと検出された場合に、これを解除すべく対象となる通信に係る送信元IPアドレス、通信先IPアドレス、またはURLのペアを記憶する。なお、ホワイトリスト10−3は、必ずしも偽装情報収集サーバ10に備えられなくてもよく、スパイウェア通信監視装置8によって参照されることから、スパイウェア通信監視装置8に設けられていても、独立して設けられていてもよい。
【0033】
ウェブ処理部10−4は、実際にスパイウェアによる不正アクセスであるか、正常なWebアクセスであるかに拘らず、情報受信部10−1が情報を受信した場合、端末に対して外部ネットワークへの通信があったことを通知し、ユーザに解除処理の可否の確認を求め、解除処理が指示された場合には、スパイウェアによる不正アクセスでないとして、上記ホワイトリスト10−3へ送信元IPアドレス、通信先IPアドレス、またはURLのペアを記憶させる一方、一定時間応答がない場合には、スパイウェアによる不正アクセスであったと判定する(すなわち、ホワイトリスト10−3には記憶しない)。
【0034】
次に、上述したネットワークにおいて、スパイウェアに感染した端末による情報漏洩の仕組みについて図6を参照して説明する。
Sa1:スパイウェア(感染PC)は、スパイウェア自身が初めて起動したときや、端末4、5の起動にあわせてスパイウェアが起動したときなど、スパイウェア管理サーバ11へ初期登録や状態通知のための通信を行う。但し、HTTPを使用するため、パケット的には他のWebアクセスと見分けがつきにくい。ゆえに、ファイアウォールで防ぐことは難しい。IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)でも検出が困難なスパイウェアもある。
【0035】
Sa2:上記通信を受けて、スパイウェア管理サーバ11からスパイウェア(感染PC)にキーロガーなどのプログラムを用いて取り込んだ内部情報の通信先IPアドレス(情報収集サーバ12のアドレス)/命令が通知される。なお、キーロガーなどの悪意のあるプログラムのダウンロード先が通知され、スパイウェアがそのダウンロード先にアクセスしてプログラムのダウンロードとインストールを行い、もう一度、Sa1を行ってからSa2→Sa3と進む場合もある。
【0036】
Sa3:スパイウェア(感染PC)は、通知された通信先のアドレスに対して内部情報を送信し、情報収集サーバ12は、スパイウェア(感染PC)から送信されてくる内部情報を収集する。
【0037】
Sa4:上記Sa3の通信が繰り返し発生する。
【0038】
Sa5:さらに、上記Sa2→Sa3→Sa4の順で処理が繰り返される。
【0039】
次に、主に図1を参照して、本第1実施形態によるスパイウェア通信管理装置の動作について説明する。
SA1:スパイウェア通信監視装置8は、スパイウェア通信検知部8−1により、上記Sa1の通信の特徴を捉えて、すなわち、予めルールとして記憶しておいた、スパイウェアによる特徴的な通信形態に合致するか否かを判定してスパイウェア(感染PC)による通信を検出し、アドレス特定部8−2により、感染PC(図示の例では端末4)のアドレスを特定する。
【0040】
例えば、図7に示すように、スパイウェアの1つである「WebHancer」の場合には、初期設定において、http GETを送らず、http POSTを送信するが、通常ホームページを閲覧する場合は、GETを送らずに、POSTを送ることはあり得ない動作である。このような場合、スパイウェア(感染PC)がインターネット7上のスパイウェア管理サーバ11と通信した可能性が高いと判定することができる。
【0041】
また、例えば、図8に示すように、スパイウェアの1つである「Look2Me」の場合には、初期設定において、http ACKで、HTTPに適合しないフォーマットによって、命令が送信される。
【0042】
なお、上述したように初期設定においてスパイウェアから送信される情報により判定を行う方法以外に、スパイウェアによる通信は、http ACKに含まれる情報が少ないという特徴に着目し、httpアクセス中の応答メッセージ中に含まれる複雑度合いを判定し、複雑度合いが通常のhttpアクセスよりも低ければスパイウェアによる通信であると判定することもできる。
【0043】
また、上記の通常のhttp ACKに含まれる情報に基づく他の判定方法として、スパイウェアによる通信では、画像取得などを行わないことから、ImgタグがHTMLに含まれないという特徴に着目し、http ACKのHTMLにImgタグが含まれない場合には、スパイウェアによる通信であると判定することもできる。
【0044】
SA2:スパイウェア通信監視装置8は、上記Sa2の通信が発生することを予測し、スパイウェア通信書き換え装置起動部8−4により、その通信のパケットを横取りするための準備(スパイウェア通信書き換え装置9の起動など)を行う。具体的には、感染PCのアドレス情報と共に、スパイウェア通信監視装置8が検知したスパイウェアからの通信から取得した初期通信における通信先情報(スパイウェア管理サーバ11のIPアドレス)を保持しておいて、当該スパイウェア管理サーバ11から感染PC宛の通信情報を受信するように設定しておき、当該スパイウェア管理サーバ11からの通信を待ち受ける。すなわち、スパイウェア通信監視装置8のスパイウェア通信検知部8−1が検知したスパイウェアの初期設定等の通信からアドレス特定部8−2が、感染PCのIPアドレスを特定し、スパイウェア通信書き換え装置9に送信する。また、通信先アドレス特定部8−3が、通信先のアドレス、すなわちスパイウェア管理サーバ11のIPアドレスを特定し、スパイウェア通信書き換え装置9に送信する。
【0045】
但し、上記Sa1の通信から上記Sa2の通信が発生するまでの間、初期設定などのための通信が何回も行われたり、上記Sa2とは関係のない、その他の情報取得のための通信が行われたりする場合がある。スパイウェア通信監視装置8は、予めルールとして記憶しておいた、スパイウェアによる特徴的な通信形態に合致するか否かを判定して、上記Sa1がスパイウェアによるものなのかどうかを判定する。
【0046】
例えば、図8に示す例のように、初期設定のhttp GETの後にポップアップ広告表示のhttp GETが発生する場合、あるいは初期設定のhttp GETの後にアプリケーションインストールのhttp GETが発生する場合など、スパイウェアによって外部とのやり取りの順序が異なっていたり、複数回の初期設定の通信が含まれていたりする場合がある。これらの事前に行われる複数の通信を監視することによって、スパイウェアによる通信であるか否を判定してもよい。
【0047】
SA3:スパイウェア通信書き換え装置9は、情報特定部9−1によりスパイウェア通信監視装置8から通知された感染PCのIPアドレスとスパイウェア管理サーバ11のIPアドレスに基づいて、上記Sa2の通信のパケットを横取りし、通信先アドレス検索部9−2により、パケットのデータ領域(ペイロード、内部)に記述されている情報の通信先アドレスを検索する。
【0048】
SA4:スパイウェア通信書き換え装置9は、通信先アドレス書き換え部9−3により、情報の通信先アドレスを特定のアドレスX、すなわち偽装情報収集サーバのIPアドレスに書き換え、スパイウェア(感染PC)に対して送信する。
【0049】
例えば、上述した図7に示す「WebHancer」の場合には、初期設定のhttp ACKにおいて情報の通知先が通知される(吹き出しの下線部分)。したがって、通信先を強制的に偽装情報収集サーバのIPアドレスに変更すればよい。また、上述した図8に示す「Look2Me」の場合には、ポップアップ広告表示のhttp ACKにおいて広告取得先が通知されたり、プログラムのダウンロード先が通知されたりする(吹き出しの下線部分)。したがって、それらの取得先を強制的に偽装情報収集サーバのIPアドレスに変更すればよい。
【0050】
SA5:偽装情報収集サーバ10は、情報受信部10−1により、特定のアドレスXへの接続要求を検出し、当該接続要求とともにスパイウェア(感染PC)から送信された情報を受信した場合には、当該情報を回収し、情報データベース10―2に保存する。この結果、スパイウェアが送信する情報を偽装情報収集サーバ10に集めることができ、外部に情報が漏洩することを防ぐことができる。
【0051】
SA6:状況によっては、正常なWebアクセスがスパイウェアによる不正アクセスと検出されてしまう可能性がある。そこで、実際にスパイウェアによる不正アクセスであるか、正常なWebアクセスであるかに拘らず、情報受信部10−1が情報を受信した場合、偽装情報収集サーバ10上のウェブ処理部10−4が端末に対して外部ネットワークへの通信があったことを通知し、ユーザに解除処理の可否の確認を求める。
【0052】
SA7:偽装情報収集サーバ10は、上記解除処理の可否の確認に対してユーザが解除処理の可を選択し、端末から解除処理要求が送信された場合、当該外部ネットワークへのアクセスに対して、検出/アドレス書き換え処理の解除処理を行う。
【0053】
上記解除処理では、ある送信元IPアドレス(Source IP)、通信先IPアドレス(Destination IP)、または、HTTPの要求先アドレス(URL)のペアを除外リストとして登録する。これにより、2回目以降のアクセスは検出されない。スパイウェアは、ウェブ処理部10−4からの予期しない返答に対しては反応することができないため、解除処理を行うことはできない。
【0054】
次に、上述したSA6〜SA7における、正常なウェブアクセスを検出対象としないための回避方法の詳細について説明する。ここで、図9は、本第1実施形態のスパイウェア通信監視装置8による正常なウェブアクセスを検出対象としないための回避方法を説明するためのブロック図である。
【0055】
SB1:スパイウェア通信書き換え装置9は、スパイウェアによる不正アクセスと検出すると、その不正アクセスが実際にスパイウェアによる不正アクセスであるか、正常なWebアクセスであるかに拘らず、偽装情報収集サーバ10のIPアドレスを端末4に通知する。
【0056】
SB2:このため、端末4は、上記IPアドレスに従って偽装情報収集サーバ10にアクセスする。
【0057】
SB3:偽装情報収集サーバ10のウェブ処理部10−4は、図示の画面100に示すように、端末4に対してスパイウェアによる通信であると判定されたことを提示し、解除処理の有無を求める。該画面100を見たユーザは、不正なHTTPアクセスでないことを確認した場合、リセットボタンを押下する。
【0058】
SB4:これにより、端末4から偽装情報収集サーバ10にリセット(解除処理要求)が送信される。
【0059】
SB5:偽装情報収集サーバ10は、リセット(解除処理要求)を受信すると、ホワイトリスト10−3に送信元IPアドレス、通信先IPアドレス、またはURLのペアを登録する。スパイウェア通信監視装置8は、通信を監視する際に、ホワイトリスト10−3を参照するので、ホワイトリスト10−3に登録された送信元IPアドレスおよび通信先IPアドレス、または、URLのペアを、今後、検知対象外として除外することになる。一方、一定時間応答がない場合には、スパイウェアによる不正アクセスであったとする(すなわち、ホワイトリスト10−3には記憶しない)。
【0060】
B.第2実施形態
次に、本発明の第2実施形態について説明する。ここで、図10は、本第2実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。本第2実施形態では、図1に示すスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10を一体として構成したことを特徴とする。なお、個々の機能は、前述した第1実施形態と同様である。このように一体化することで、システム構成を簡略化することができ、スパイウェア通信管理装置を容易に管理、運用することができる。
【0061】
次に、図11は、図10に示す本第2実施形態によるスパイウェア通信管理装置の実装形態を示すブロック図である。なお、図2、図10に対応する部分には同一の符号を付けて説明を省略する。図11において、通信中継装置25は、レイヤ3(IPアドレス)の通信情報を中継時する際にアドレスを書き換えるプロキシ方式を具備する。技術的な観点での違いは、図2に示す通信中継装置22には、IPアドレスが付与されておらず、レイヤ2レベルで転送しているのに対して、図11では、スパイウェア通信監視装置8、スパイウェア通信書き換え装置9、偽装情報収集サーバ10、通信中継装置25が組み合わされた装置にIPアドレスが付与されているという違いがある。
【0062】
上述した第1、第2実施形態によれば、各端末のスパイウェア対策プログラムの導入有無や管理状態に依らず、境界ルータ6などのインターネット7との接続点1箇所においてスパイウェアによる特徴的な通信形態を捉えることで、スパイウェアによる情報漏洩を内部のネットワーク上で阻止することができる。
【0063】
また、全端末上にスパイウェア対策プログラムを導入するのではなく、内部のネットワークに対策を導入すればよいので、コスト的、管理的に有利である。また、感染PCからの初期登録や状態通知のための外部への通信をスパイウェア監視装置8で検知した時点では、感染PCのユーザに対し、都度通知をせず、その後、感染PCから偽装情報収集サーバ10への通信があって初めて確認のための通知を行うことで、ユーザの作業効率の著しい低下を防ぎつつ、情報流出となる通信を防ぐことができる。さらに、通常のWebアクセスを誤ってスパイウェアによる通信と判定し、偽装情報収集サーバ10にアクセスされてしまった場合であっても、ユーザに検出結果の確認と解除処理の有無とを求めて、2回目以降のアクセスを正常なウェブアクセスとして検出対象としない仕組みを提供することができる。
【0064】
なお、上述した実施形態においては、上述したスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10などによる一連の処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。すなわち、スパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10などにおける、各処理手段、処理部は、CPU等の中央演算処理装置がROMやRAM等の主記憶装置に上記プログラムを読み出して、情報の加工・演算処理を実行することにより、実現されるものである。
【0065】
ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【図面の簡単な説明】
【0066】
【図1】本発明の第1実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。
【図2】図1に示すスパイウェア通信管理装置の実装形態を示すブロック図である。
【図3】スパイウェア通信監視装置8の構成を示すブロック図である。
【図4】スパイウェア通信書き換え装置9の構成を示すブロック図である。
【図5】偽装情報収集サーバ10の構成を示すブロック図である。
【図6】スパイウェアに感染した端末による情報漏洩の仕組みを説明するためのフローチャートである。
【図7】スパイウェアの1つである「WebHancer」の動作概要を説明するためのシーケンス図である。
【図8】スパイウェアの1つである「Look2Me」の動作概要を説明するためのシーケンス図である。
【図9】本第1実施形態のスパイウェア通信監視装置8による正常なウェブアクセスを検出対象としないための回避方法を説明するためのブロック図である。
【図10】本発明の第2実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。
【図11】図10に示す本第2実施形態によるスパイウェア通信管理装置の実装形態を示すブロック図である。
【符号の説明】
【0067】
1−1〜1−4 グループ
2−1、2−2 リピータ
3 ブリッジ
4、5 感染PC
6 境界ルータ
7 インターネット
8 スパイウェア通信監視装置
8−1 スパイウェア通信検知部(通信検知手段)
8−2 アドレス特定部(内部アドレス特定手段)
8−3 通信先アドレス特定部(通信先アドレス特定手段)
8−4 スパイウェア通信書き換え装置起動部
9 スパイウェア通信書き換え装置
9−1 情報特定部(情報特定手段)
9−2 通信先アドレス検索部(通信先アドレス検索手段)
9−3 通信先アドレス書き換え部(アドレス変換手段)
10 偽装情報収集サーバ
10−1 情報受信部(収集手段、記録手段)
10−2 情報データベース(収集手段)
10−3 ホワイトリスト
10−4 ウェブ処理部(確認提示手段)
11 スパイウェア管理サーバ
12 情報収集サーバ
13 一般のWebサーバ
20 内部ネットワーク
21 タッピング装置
22、25 通信中継装置
23 ネットワーク機器
23−1 プロキシサーバ
23−2 ファイアウォール
23−3 境界ルータ
24 外部ネットワーク
【技術分野】
【0001】
本発明は、スパイウェア通信管理装置およびスパイウェア通信管理プログラムに関する。
【背景技術】
【0002】
従来より、ユーザが意識しないうちに、端末内の個人情報を収集してインターネット上の特定の場所(端末)に送信したり、マイクロプロセッサの空き時間を利用して計算させたりしてしまう、端末に組み込まれたプログラム、いわゆるスパイウェアプログラム(以下、スパイウェアという)の被害が広がっている。スパイウェアは、例えば、何らかのソフトウェアに付属し、該ソフトウェアを端末にインストールするときに、一緒にインストールされてしまう。一般に、これを「感染」しているという。
【0003】
そこで、スパイウェアによる被害を防ぐために、スパイウェア対策技術が提案されている。例えば、外部に送信することを想定していない情報の送信を防ぐために、端末から外部への送信情報をチェックして、情報の暗号化の有無、パケット長、受信日時、通信先、送信内容などの情報を取得し、予め設定された判定ルール(同じパケット長のパケットが何度も送信されている、送信内容に個人情報が含まれているなど)に従って、ルールに抵触する場合には、送信しない、あるいは、ダミーデータを外部に送信する技術が提案されている(例えば、特許文献1参照)。
【0004】
また、ネットワークの入出力部に中継装置におけるファイアウォールプロセッサを設け、送信されてきたデータについて、当該データの重要度に関するデータや通信先に関するデータを抽出して、ファイアウォールプロセッサにより、予め用意したテーブルを参照して通信先の信頼性を判断し、さらにデータの重要度と通信先の信頼性に応じた対応(送信の可否)を決定する技術が提案されている(例えば、特許文献2参照)。
【0005】
また、内部ネットワークから外部ネットワークへの情報の送信を情報管理システムによって監視し、内部ネットワークの端末からの送信情報を外部に送信する前に、送信情報の送信日時、送信者、送信先、添付ファイルのデータ形式、データ量を取得し、送信情報の使用言語、データ圧縮方式、暗号化方式、テキストの内容、添付画像の内容などを解析して、予め設定された条件に不適合と判断した場合、送信者に警告メールを送信し、警告回数に応じて送信情報を停止させる技術が提案されている(例えば、特許文献3参照)。
【0006】
また、端末に格納された実行形式のファイルについて、ファイルアクセス判定部によりレジストリの書き換え、システムファイルの書き換えといった動作を検知して、ウィルスやスパイウェアなどの悪意のあるプログラムの可能性があると判別し、ユーザに警告表示し、さらに、当該実行形式のファイルの動作を停止させる技術が提案されている(例えば、特許文献4参照)。
【特許文献1】特開2005−167793号公報
【特許文献2】特開2004−139178号公報
【特許文献3】特開2002−359648号公報
【特許文献4】特開2005−148814号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、個人ユーザはともかく、法人のように多くの端末を管理しなければならない場合には、全ての端末にスパイウェア対策プログラムを導入するのは非常に困難である。また、スパイウェア対策プログラムの定義ファイルなどが更新されていない場合には、スパイウェアを検知できず、対処することもできない。そこで、定期的、あるいは随時、スパイウェア対策プログラムのメンテナンス(更新)をしなければならないが、各端末を管理することが難しい場合、スパイウェアに対して十分に対処することができない。
【0008】
また、スパイウェアは、ウィルスやワームと比べると、短時間で大きな脅威となることが少なく、各端末上にスパイウェア対策プログラムを常駐させた場合には、その処理にかかるCPUの使用コストに対して、スパイウェア対策プログラムによる対策効果が低い。一方、スパイウェア対策プログラムを常駐させずに、手動でプログラムを起動してチェックした場合には、スパイウェアの検知、対策が遅れてしまう危険性がある。
【0009】
さらに、上述した特許文献1〜3に記載されている従来技術では、端末から送信される情報について通信先、送信内容、ファイル形式などを解析し、疑わしい送信情報であると判定されると、送信自体を中止したり、ダミー情報を送信したり、送信情報に対する外部のサーバからのレスポンス情報を解析して利用者に警告を発するようにしているが、疑わしい送信情報が本当にスパイウェアによる漏洩情報であるとは限らない。このため、正当なWebアクセスであっても通信が遮断されてしまう可能性がある。
【0010】
本発明は、このような事情を考慮してなされたものであり、その目的は、個々の端末へ導入することなく、また、ユーザの作業効率を低下させることなく、スパイウェアプログラムによる内部情報の外部への漏洩をより確実に防ぐことができるスパイウェア通信管理装置およびスパイウェア通信管理プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上述した課題を解決するために、本発明は、ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置であって、前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知手段と、前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換手段とを具備することを特徴とする。
【0012】
本発明は、上記の発明において、前記アドレス変換手段は、前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定手段と、前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定手段と、前記内部アドレス特定手段によって特定された前記端末のアドレスと前記通信先アドレス特定手段によって特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定手段と、前記情報特定手段によって特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索手段と、前記通信先アドレス検索手段によって検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換え手段とを具備することを特徴とする。
【0013】
本発明は、上記の発明において、前記端末が前記通信先アドレス書き換え手段によって書き換えられた前記特定のアドレスに送信した情報を収集する収集手段を具備することを特徴とする。
【0014】
本発明は、上記の発明において、前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示手段を具備することを特徴とする。
【0015】
本発明は、上記の発明において、前記確認提示手段からの前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録手段を備え、前記通信検知手段は、前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とする。
【0016】
また、上述した課題を解決するために、本発明は、ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知するステップと、前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するステップとを実行させる。
【発明の効果】
【0017】
この発明によれば、個々の端末へスパイウェア対策プログラムを導入することなく、また、ユーザの作業効率を低下させることなく、スパイウェアプログラムが組み込まれた端末を特定することができ、スパイウェアプログラムが組み込まれた端末から送信される内部情報を内部ネットワーク上の特定のアドレスに送信させることができ、スパイウェアプログラムによる内部情報の外部への漏洩をより確実に防ぐことができ、また、通常のWebアクセスをスパイウェアによる通信と判定してしまった場合であっても、ユーザに解除処理の可否の確認し、解除処理の指示が合った場合には、2回目以降の同一アクセスを正常なウェブアクセスを検出対象としないようにすることができるという利点が得られる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の一実施形態によるスパイウェア通信管理装置を、図面を参照して説明する。なお、本実施形態に係るスパイウェアは、80、8080などHTTP(Hyper Text Transfer Protocol)と同じポートを利用するスパイウェアを対象とした実装例である。
【0019】
図1は、本第1実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。図1において、複数の端末がローカルネットワークを介して接続され、ワークグループや、ドメインなどのグループ1−1〜1−4を構成している。複数のグループ1−1〜1−4の各々は、リピータ2−1、2−2やブリッジ3などを介して相互に接続されている。本第1実施形態では、グループ1−1の端末4とグループ1−4の端末5がスパイウェアに感染しているものとする(感染PC)。これら各グループ1−1〜1−4は、境界ルータ6を介してインターネット7に接続されている。スパイウェア通信監視装置8は、ブリッジ3と境界ルータ6との間における通信を監視し、スパイウェア(感染PC)による特徴的な通信形態(パケットの内容、通信手順など)を検知する。
【0020】
次に、スパイウェア通信書き換え装置9は、ブリッジ3と境界ルータ6との間にバイパスするように設置されており、後述するスパイウェア管理サーバ11からスパイウェアに感染している端末に送信されてくる、パケットのデータ領域(ペイロード、内部)に記述されている情報の通信先アドレス(第2の通信先アドレス)を検索し、該情報の通信先アドレスをある特定のアドレスX、すなわち後述する偽装情報収集サーバ10のアドレスに書き換え、スパイウェア(感染PC)に対して送信する。これにより、スパイウェア(感染PC)は、通知された特定のアドレスXに対して通信をすることになる。偽装情報収集サーバ10は、内部ネットワークに設置され、上記のある特定のアドレスXを有し、スパイウェア(感染PC)から送信される内部情報を回収する。内部情報としては、キーロガーなどを用いて収集したパスワード、クレジットカード番号などの情報や、その他、端末に保存された情報、あるいは端末からインターネットやファイルへアクセスした履歴情報などが含まれる。
【0021】
インターネット7上には、スパイウェア管理サーバ11や、情報収集サーバ12、一般のWebサーバ13などが存在する。スパイウェア管理サーバ11および情報収集サーバ12は、スパイウェアを使用する意図を持っている者によって管理されているサーバである。スパイウェア管理サーバ11は、端末4、5でスパイウェアが起動したときなどに行われる初期登録や状態通知を受信すると、端末4、5において、キーボードからの入力を監視して記録するキーロガーなどのプログラムを用いて取り込んだ内部情報(パスワードやクレジットカード番号など)の通信先アドレス(情報収集サーバ12のアドレス;第2の通信先アドレス)をスパイウェア(感染PC)に通知する。情報収集サーバ12は、スパイウェア(感染PC)から送信されてくる内部情報を収集する。一般のWebサーバ13は、本発明に直接関係しない通常のサーバである。
【0022】
なお、本発明によるスパイウェア通信管理装置とは、上記スパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10を総称したものであり、スパイウェアに感染した端末が内部情報をインターネット7上のサーバ(この場合、スパイウェア管理サーバ11、情報収集サーバ12)に送信するのを防ぐための装置である。また、スパイウェアは、内部による犯行でなければ、一般的にインターネット上の情報収集サーバ12に対して、端末内の内部情報を送信するため、その通信は、モデムなどの迂回路を設置しない限り、必ず境界ルータ6を通過する。よって、境界ルータ6付近が、スパイウェアによる通信を監視するための効率的な対策ポイントとなる。
【0023】
なお、内部情報の漏洩に注目した場合、境界ルータ6より外側のインターネット7に内部情報が送信されることが問題となる。ゆえに、本発明では、境界ルータ6を境に端末側のネットワークを内部ネットワーク、インターネット7側のネットワークを外部ネットワークと定義する。
【0024】
次に、図2は、図1に示すスパイウェア通信管理装置の実装形態を示すブロック図である。なお、図1に対応する部分には同一の符号を付けて説明を省略する。図2において、内部ネットワーク20は、図1に示す端末4や端末5が接続されているネットワークである。該内部ネットワーク20は、タッピング装置21、通信中継装置22、ネットワーク機器23を介して、外部ネットワーク24に接続されている。
【0025】
タッピング装置21は、内部ネットワーク20からの通信情報を転送する際に、転送する通信情報をコピーしてスパイウェア通信監視装置8に出力する。タッピング装置21は、図1において、境界ルータ6とブリッジ3を接続する線と、スパイウェア通信監視装置8とが接続している点に存在する。
【0026】
次に、通信中継装置22は、外部ネットワーク24から送信された通信情報を転送する際に、スパイウェア通信書き換え装置9の制御を受けてレイヤ2レベルにて通信情報を取り込んでアドレスを書き換えて出力するインライン方式を具備する。通信中継装置22には、IPアドレスが割り当てられておらず、レイヤ2レベルで転送している。すなわち、通信中継装置22は、後述する通信先アドレス書き換え部9−3の実際の書き換え処理を行うようになっている。該通信中継装置22は、図1において、境界ルータ6とスパイウェア通信書き換え装置9とを接続する通信線の間、あるいはスパイウェア通信書き換え装置9内に存在する。
【0027】
ネットワーク機器23は、一般的な構成を有し、プロキシ23−1、ファイアウォール23−2および境界ルータ23−3からなる。なお、境界ルータ23−3は、図1に示す境界ルータ6に相当する。また、外部ネットワーク24は、図1に示すインターネット7に相当する。
【0028】
次に、上述したスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10の構成について説明する。スパイウェア通信監視装置8は、図3に示すように、スパイウェア通信検知部8−1、アドレス特定部8−2、通信先アドレス特定部8−3およびスパイウェア通信書き換え装置起動部8−4からなる。スパイウェア通信検知部8−1は、ブリッジ3と境界ルータ6との間における通信を監視し、スパイウェア(感染PC)による特徴的な通信形態(パケットの内容、通信手順など)を検知する。より具体的には、スパイウェアによる特徴的な通信形態を予めルールとして記憶しておき、当該記憶したルールに従ってスパイウェアによる初期通信であるか否かを判定する。
【0029】
アドレス特定部8−2は、スパイウェア(感染PC)による特徴的な通信形態が検出されると、該通信情報に基づいてスパイウェアに感染した端末4、5のIPアドレスを特定し、スパイウェア通信書き換え装置9に送信する。通信先アドレス特定部8−3は、通信先のアドレス(本実施形態ではスパイウェア管理サーバ11のアドレス;第1の通信先アドレス)を特定し、スパイウェア通信書き換え装置9に送信する。スパイウェア通信書き換え装置起動部8−4は、外部ネットワーク上のスパイウェア管理サーバ11や情報収集サーバ12から感染PCへ送信されるパケットを横取りするためにスパイウェア通信書き換え装置9を起動するために起動指示をスパイウェア通信書き換え装置9に送信する。
【0030】
スパイウェア通信書き換え装置9は、図4に示すように、情報特定部9−1、通信先アドレス検索部9−2および通信先アドレス書き換え部9−3からなる。情報特定部9−1は、アドレス特定部8−2によって特定された端末のアドレスと通信先アドレス特定部8−3によって特定された通信先アドレス(スパイウェア管理サーバ11のアドレス)とに基づいて、インターネット7上のスパイウェア管理サーバ11からスパイウェア(感染PC)へ送信された情報を特定する。該情報には、端末の内部情報を送信すべき通信先アドレス(本実施形態では情報収集サーバ12のアドレス;第2の通信先アドレス)が記述され、スパイウェアの種類によっては、スパイウェア(感染PC)に通信の開始をさせるための指示情報が含まれている。
【0031】
通信先アドレス検索部9−2は、情報特定部9−1が特定した情報のデータ領域(ペイロード、内部)に記述されている情報の通信先アドレス(本実施形態では情報収集サーバ12のアドレス)を検索する。通信先アドレス書き換え部9−3は、通信先アドレス検索部9−2が検索した通信先アドレス(情報収集サーバ12のアドレス;第2の通信先アドレス)を特定のアドレスX、すなわち偽装情報収集サーバ10のIPアドレスに書き換え、スパイウェア(感染PC)に対して送信する。
【0032】
偽装情報収集サーバ10は、図5に示すように、情報受信部10−1、情報データベース10−2、ホワイトリスト10−3およびウェブ処理部10−4からなる。情報受信部10−1は、スパイウェア(感染PC)が書き換えられた特定のアドレスに従って送信してきた情報を受信する。情報データベース10−2は、情報受信部10−1により受信された情報を保持する。ホワイトリスト10−3は、正常なウェブアクセスがスパイウェアによるものと検出された場合に、これを解除すべく対象となる通信に係る送信元IPアドレス、通信先IPアドレス、またはURLのペアを記憶する。なお、ホワイトリスト10−3は、必ずしも偽装情報収集サーバ10に備えられなくてもよく、スパイウェア通信監視装置8によって参照されることから、スパイウェア通信監視装置8に設けられていても、独立して設けられていてもよい。
【0033】
ウェブ処理部10−4は、実際にスパイウェアによる不正アクセスであるか、正常なWebアクセスであるかに拘らず、情報受信部10−1が情報を受信した場合、端末に対して外部ネットワークへの通信があったことを通知し、ユーザに解除処理の可否の確認を求め、解除処理が指示された場合には、スパイウェアによる不正アクセスでないとして、上記ホワイトリスト10−3へ送信元IPアドレス、通信先IPアドレス、またはURLのペアを記憶させる一方、一定時間応答がない場合には、スパイウェアによる不正アクセスであったと判定する(すなわち、ホワイトリスト10−3には記憶しない)。
【0034】
次に、上述したネットワークにおいて、スパイウェアに感染した端末による情報漏洩の仕組みについて図6を参照して説明する。
Sa1:スパイウェア(感染PC)は、スパイウェア自身が初めて起動したときや、端末4、5の起動にあわせてスパイウェアが起動したときなど、スパイウェア管理サーバ11へ初期登録や状態通知のための通信を行う。但し、HTTPを使用するため、パケット的には他のWebアクセスと見分けがつきにくい。ゆえに、ファイアウォールで防ぐことは難しい。IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)でも検出が困難なスパイウェアもある。
【0035】
Sa2:上記通信を受けて、スパイウェア管理サーバ11からスパイウェア(感染PC)にキーロガーなどのプログラムを用いて取り込んだ内部情報の通信先IPアドレス(情報収集サーバ12のアドレス)/命令が通知される。なお、キーロガーなどの悪意のあるプログラムのダウンロード先が通知され、スパイウェアがそのダウンロード先にアクセスしてプログラムのダウンロードとインストールを行い、もう一度、Sa1を行ってからSa2→Sa3と進む場合もある。
【0036】
Sa3:スパイウェア(感染PC)は、通知された通信先のアドレスに対して内部情報を送信し、情報収集サーバ12は、スパイウェア(感染PC)から送信されてくる内部情報を収集する。
【0037】
Sa4:上記Sa3の通信が繰り返し発生する。
【0038】
Sa5:さらに、上記Sa2→Sa3→Sa4の順で処理が繰り返される。
【0039】
次に、主に図1を参照して、本第1実施形態によるスパイウェア通信管理装置の動作について説明する。
SA1:スパイウェア通信監視装置8は、スパイウェア通信検知部8−1により、上記Sa1の通信の特徴を捉えて、すなわち、予めルールとして記憶しておいた、スパイウェアによる特徴的な通信形態に合致するか否かを判定してスパイウェア(感染PC)による通信を検出し、アドレス特定部8−2により、感染PC(図示の例では端末4)のアドレスを特定する。
【0040】
例えば、図7に示すように、スパイウェアの1つである「WebHancer」の場合には、初期設定において、http GETを送らず、http POSTを送信するが、通常ホームページを閲覧する場合は、GETを送らずに、POSTを送ることはあり得ない動作である。このような場合、スパイウェア(感染PC)がインターネット7上のスパイウェア管理サーバ11と通信した可能性が高いと判定することができる。
【0041】
また、例えば、図8に示すように、スパイウェアの1つである「Look2Me」の場合には、初期設定において、http ACKで、HTTPに適合しないフォーマットによって、命令が送信される。
【0042】
なお、上述したように初期設定においてスパイウェアから送信される情報により判定を行う方法以外に、スパイウェアによる通信は、http ACKに含まれる情報が少ないという特徴に着目し、httpアクセス中の応答メッセージ中に含まれる複雑度合いを判定し、複雑度合いが通常のhttpアクセスよりも低ければスパイウェアによる通信であると判定することもできる。
【0043】
また、上記の通常のhttp ACKに含まれる情報に基づく他の判定方法として、スパイウェアによる通信では、画像取得などを行わないことから、ImgタグがHTMLに含まれないという特徴に着目し、http ACKのHTMLにImgタグが含まれない場合には、スパイウェアによる通信であると判定することもできる。
【0044】
SA2:スパイウェア通信監視装置8は、上記Sa2の通信が発生することを予測し、スパイウェア通信書き換え装置起動部8−4により、その通信のパケットを横取りするための準備(スパイウェア通信書き換え装置9の起動など)を行う。具体的には、感染PCのアドレス情報と共に、スパイウェア通信監視装置8が検知したスパイウェアからの通信から取得した初期通信における通信先情報(スパイウェア管理サーバ11のIPアドレス)を保持しておいて、当該スパイウェア管理サーバ11から感染PC宛の通信情報を受信するように設定しておき、当該スパイウェア管理サーバ11からの通信を待ち受ける。すなわち、スパイウェア通信監視装置8のスパイウェア通信検知部8−1が検知したスパイウェアの初期設定等の通信からアドレス特定部8−2が、感染PCのIPアドレスを特定し、スパイウェア通信書き換え装置9に送信する。また、通信先アドレス特定部8−3が、通信先のアドレス、すなわちスパイウェア管理サーバ11のIPアドレスを特定し、スパイウェア通信書き換え装置9に送信する。
【0045】
但し、上記Sa1の通信から上記Sa2の通信が発生するまでの間、初期設定などのための通信が何回も行われたり、上記Sa2とは関係のない、その他の情報取得のための通信が行われたりする場合がある。スパイウェア通信監視装置8は、予めルールとして記憶しておいた、スパイウェアによる特徴的な通信形態に合致するか否かを判定して、上記Sa1がスパイウェアによるものなのかどうかを判定する。
【0046】
例えば、図8に示す例のように、初期設定のhttp GETの後にポップアップ広告表示のhttp GETが発生する場合、あるいは初期設定のhttp GETの後にアプリケーションインストールのhttp GETが発生する場合など、スパイウェアによって外部とのやり取りの順序が異なっていたり、複数回の初期設定の通信が含まれていたりする場合がある。これらの事前に行われる複数の通信を監視することによって、スパイウェアによる通信であるか否を判定してもよい。
【0047】
SA3:スパイウェア通信書き換え装置9は、情報特定部9−1によりスパイウェア通信監視装置8から通知された感染PCのIPアドレスとスパイウェア管理サーバ11のIPアドレスに基づいて、上記Sa2の通信のパケットを横取りし、通信先アドレス検索部9−2により、パケットのデータ領域(ペイロード、内部)に記述されている情報の通信先アドレスを検索する。
【0048】
SA4:スパイウェア通信書き換え装置9は、通信先アドレス書き換え部9−3により、情報の通信先アドレスを特定のアドレスX、すなわち偽装情報収集サーバのIPアドレスに書き換え、スパイウェア(感染PC)に対して送信する。
【0049】
例えば、上述した図7に示す「WebHancer」の場合には、初期設定のhttp ACKにおいて情報の通知先が通知される(吹き出しの下線部分)。したがって、通信先を強制的に偽装情報収集サーバのIPアドレスに変更すればよい。また、上述した図8に示す「Look2Me」の場合には、ポップアップ広告表示のhttp ACKにおいて広告取得先が通知されたり、プログラムのダウンロード先が通知されたりする(吹き出しの下線部分)。したがって、それらの取得先を強制的に偽装情報収集サーバのIPアドレスに変更すればよい。
【0050】
SA5:偽装情報収集サーバ10は、情報受信部10−1により、特定のアドレスXへの接続要求を検出し、当該接続要求とともにスパイウェア(感染PC)から送信された情報を受信した場合には、当該情報を回収し、情報データベース10―2に保存する。この結果、スパイウェアが送信する情報を偽装情報収集サーバ10に集めることができ、外部に情報が漏洩することを防ぐことができる。
【0051】
SA6:状況によっては、正常なWebアクセスがスパイウェアによる不正アクセスと検出されてしまう可能性がある。そこで、実際にスパイウェアによる不正アクセスであるか、正常なWebアクセスであるかに拘らず、情報受信部10−1が情報を受信した場合、偽装情報収集サーバ10上のウェブ処理部10−4が端末に対して外部ネットワークへの通信があったことを通知し、ユーザに解除処理の可否の確認を求める。
【0052】
SA7:偽装情報収集サーバ10は、上記解除処理の可否の確認に対してユーザが解除処理の可を選択し、端末から解除処理要求が送信された場合、当該外部ネットワークへのアクセスに対して、検出/アドレス書き換え処理の解除処理を行う。
【0053】
上記解除処理では、ある送信元IPアドレス(Source IP)、通信先IPアドレス(Destination IP)、または、HTTPの要求先アドレス(URL)のペアを除外リストとして登録する。これにより、2回目以降のアクセスは検出されない。スパイウェアは、ウェブ処理部10−4からの予期しない返答に対しては反応することができないため、解除処理を行うことはできない。
【0054】
次に、上述したSA6〜SA7における、正常なウェブアクセスを検出対象としないための回避方法の詳細について説明する。ここで、図9は、本第1実施形態のスパイウェア通信監視装置8による正常なウェブアクセスを検出対象としないための回避方法を説明するためのブロック図である。
【0055】
SB1:スパイウェア通信書き換え装置9は、スパイウェアによる不正アクセスと検出すると、その不正アクセスが実際にスパイウェアによる不正アクセスであるか、正常なWebアクセスであるかに拘らず、偽装情報収集サーバ10のIPアドレスを端末4に通知する。
【0056】
SB2:このため、端末4は、上記IPアドレスに従って偽装情報収集サーバ10にアクセスする。
【0057】
SB3:偽装情報収集サーバ10のウェブ処理部10−4は、図示の画面100に示すように、端末4に対してスパイウェアによる通信であると判定されたことを提示し、解除処理の有無を求める。該画面100を見たユーザは、不正なHTTPアクセスでないことを確認した場合、リセットボタンを押下する。
【0058】
SB4:これにより、端末4から偽装情報収集サーバ10にリセット(解除処理要求)が送信される。
【0059】
SB5:偽装情報収集サーバ10は、リセット(解除処理要求)を受信すると、ホワイトリスト10−3に送信元IPアドレス、通信先IPアドレス、またはURLのペアを登録する。スパイウェア通信監視装置8は、通信を監視する際に、ホワイトリスト10−3を参照するので、ホワイトリスト10−3に登録された送信元IPアドレスおよび通信先IPアドレス、または、URLのペアを、今後、検知対象外として除外することになる。一方、一定時間応答がない場合には、スパイウェアによる不正アクセスであったとする(すなわち、ホワイトリスト10−3には記憶しない)。
【0060】
B.第2実施形態
次に、本発明の第2実施形態について説明する。ここで、図10は、本第2実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。本第2実施形態では、図1に示すスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10を一体として構成したことを特徴とする。なお、個々の機能は、前述した第1実施形態と同様である。このように一体化することで、システム構成を簡略化することができ、スパイウェア通信管理装置を容易に管理、運用することができる。
【0061】
次に、図11は、図10に示す本第2実施形態によるスパイウェア通信管理装置の実装形態を示すブロック図である。なお、図2、図10に対応する部分には同一の符号を付けて説明を省略する。図11において、通信中継装置25は、レイヤ3(IPアドレス)の通信情報を中継時する際にアドレスを書き換えるプロキシ方式を具備する。技術的な観点での違いは、図2に示す通信中継装置22には、IPアドレスが付与されておらず、レイヤ2レベルで転送しているのに対して、図11では、スパイウェア通信監視装置8、スパイウェア通信書き換え装置9、偽装情報収集サーバ10、通信中継装置25が組み合わされた装置にIPアドレスが付与されているという違いがある。
【0062】
上述した第1、第2実施形態によれば、各端末のスパイウェア対策プログラムの導入有無や管理状態に依らず、境界ルータ6などのインターネット7との接続点1箇所においてスパイウェアによる特徴的な通信形態を捉えることで、スパイウェアによる情報漏洩を内部のネットワーク上で阻止することができる。
【0063】
また、全端末上にスパイウェア対策プログラムを導入するのではなく、内部のネットワークに対策を導入すればよいので、コスト的、管理的に有利である。また、感染PCからの初期登録や状態通知のための外部への通信をスパイウェア監視装置8で検知した時点では、感染PCのユーザに対し、都度通知をせず、その後、感染PCから偽装情報収集サーバ10への通信があって初めて確認のための通知を行うことで、ユーザの作業効率の著しい低下を防ぎつつ、情報流出となる通信を防ぐことができる。さらに、通常のWebアクセスを誤ってスパイウェアによる通信と判定し、偽装情報収集サーバ10にアクセスされてしまった場合であっても、ユーザに検出結果の確認と解除処理の有無とを求めて、2回目以降のアクセスを正常なウェブアクセスとして検出対象としない仕組みを提供することができる。
【0064】
なお、上述した実施形態においては、上述したスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10などによる一連の処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。すなわち、スパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10などにおける、各処理手段、処理部は、CPU等の中央演算処理装置がROMやRAM等の主記憶装置に上記プログラムを読み出して、情報の加工・演算処理を実行することにより、実現されるものである。
【0065】
ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【図面の簡単な説明】
【0066】
【図1】本発明の第1実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。
【図2】図1に示すスパイウェア通信管理装置の実装形態を示すブロック図である。
【図3】スパイウェア通信監視装置8の構成を示すブロック図である。
【図4】スパイウェア通信書き換え装置9の構成を示すブロック図である。
【図5】偽装情報収集サーバ10の構成を示すブロック図である。
【図6】スパイウェアに感染した端末による情報漏洩の仕組みを説明するためのフローチャートである。
【図7】スパイウェアの1つである「WebHancer」の動作概要を説明するためのシーケンス図である。
【図8】スパイウェアの1つである「Look2Me」の動作概要を説明するためのシーケンス図である。
【図9】本第1実施形態のスパイウェア通信監視装置8による正常なウェブアクセスを検出対象としないための回避方法を説明するためのブロック図である。
【図10】本発明の第2実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。
【図11】図10に示す本第2実施形態によるスパイウェア通信管理装置の実装形態を示すブロック図である。
【符号の説明】
【0067】
1−1〜1−4 グループ
2−1、2−2 リピータ
3 ブリッジ
4、5 感染PC
6 境界ルータ
7 インターネット
8 スパイウェア通信監視装置
8−1 スパイウェア通信検知部(通信検知手段)
8−2 アドレス特定部(内部アドレス特定手段)
8−3 通信先アドレス特定部(通信先アドレス特定手段)
8−4 スパイウェア通信書き換え装置起動部
9 スパイウェア通信書き換え装置
9−1 情報特定部(情報特定手段)
9−2 通信先アドレス検索部(通信先アドレス検索手段)
9−3 通信先アドレス書き換え部(アドレス変換手段)
10 偽装情報収集サーバ
10−1 情報受信部(収集手段、記録手段)
10−2 情報データベース(収集手段)
10−3 ホワイトリスト
10−4 ウェブ処理部(確認提示手段)
11 スパイウェア管理サーバ
12 情報収集サーバ
13 一般のWebサーバ
20 内部ネットワーク
21 タッピング装置
22、25 通信中継装置
23 ネットワーク機器
23−1 プロキシサーバ
23−2 ファイアウォール
23−3 境界ルータ
24 外部ネットワーク
【特許請求の範囲】
【請求項1】
ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置であって、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知手段と、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換手段と
を具備することを特徴とするスパイウェア通信管理装置。
【請求項2】
前記アドレス変換手段は、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定手段と、
前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定手段と、
前記内部アドレス特定手段によって特定された前記端末のアドレスと前記通信先アドレス特定手段によって特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定手段と、
前記情報特定手段によって特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索手段と、
前記通信先アドレス検索手段によって検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換え手段と
を具備することを特徴とする請求項1に記載のスパイウェア通信管理装置。
【請求項3】
前記端末が前記通信先アドレス書き換え手段によって書き換えられた前記特定のアドレスに送信した情報を収集する収集手段を具備することを特徴とする請求項1または2記載のスパイウェア通信管理装置。
【請求項4】
前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示手段を具備することを特徴とする請求項1乃至3のいずれかに記載のスパイウェア通信管理装置。
【請求項5】
前記確認提示手段からの前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録手段を備え、
前記通信検知手段は、
前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とする請求項4に記載のスパイウェア通信管理装置。
【請求項6】
ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知するステップと、
前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するステップと
を実行させるためのスパイウェア通信管理プログラム。
【請求項1】
ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置であって、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知手段と、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換手段と
を具備することを特徴とするスパイウェア通信管理装置。
【請求項2】
前記アドレス変換手段は、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定手段と、
前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定手段と、
前記内部アドレス特定手段によって特定された前記端末のアドレスと前記通信先アドレス特定手段によって特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定手段と、
前記情報特定手段によって特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索手段と、
前記通信先アドレス検索手段によって検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換え手段と
を具備することを特徴とする請求項1に記載のスパイウェア通信管理装置。
【請求項3】
前記端末が前記通信先アドレス書き換え手段によって書き換えられた前記特定のアドレスに送信した情報を収集する収集手段を具備することを特徴とする請求項1または2記載のスパイウェア通信管理装置。
【請求項4】
前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示手段を具備することを特徴とする請求項1乃至3のいずれかに記載のスパイウェア通信管理装置。
【請求項5】
前記確認提示手段からの前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録手段を備え、
前記通信検知手段は、
前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とする請求項4に記載のスパイウェア通信管理装置。
【請求項6】
ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知するステップと、
前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するステップと
を実行させるためのスパイウェア通信管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2007−124482(P2007−124482A)
【公開日】平成19年5月17日(2007.5.17)
【国際特許分類】
【出願番号】特願2005−316302(P2005−316302)
【出願日】平成17年10月31日(2005.10.31)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成19年5月17日(2007.5.17)
【国際特許分類】
【出願日】平成17年10月31日(2005.10.31)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]