ソフトウェアの改竄検出装置及び改竄検出方法
【課題】 動的な記憶領域に対する改竄を検出できるようにする。
【解決手段】 プログラムコードに係る処理の実行に伴って変更され得る情報を記憶する動的な記憶領域202bに記憶されたアドレス情報を参照し、静的な記憶領域202aに記憶された情報に基づく制御に移行する場合に、第2の改竄検出部204により動的な記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものであるか否かをチェックすることで、参照したアドレス情報が静的記憶領域の範囲内を指定するものでなければ、動的な記憶領域に記憶されたアドレス情報に対して改竄が行われたと判断し、簡単なアドレス情報の比較のみで動的な記憶領域に記憶された情報に対する改竄を容易に検出できるようにする。
【解決手段】 プログラムコードに係る処理の実行に伴って変更され得る情報を記憶する動的な記憶領域202bに記憶されたアドレス情報を参照し、静的な記憶領域202aに記憶された情報に基づく制御に移行する場合に、第2の改竄検出部204により動的な記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものであるか否かをチェックすることで、参照したアドレス情報が静的記憶領域の範囲内を指定するものでなければ、動的な記憶領域に記憶されたアドレス情報に対して改竄が行われたと判断し、簡単なアドレス情報の比較のみで動的な記憶領域に記憶された情報に対する改竄を容易に検出できるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ソフトウェアの改竄検出技術に関し、例えばPC(パーソナル・コンピュータ)等の仕様が公開された計算機システムに用いて好適なものである。
【背景技術】
【0002】
従来、一般的なソフトウェア製品において、プログラムやデータ等の権利保護が必要な場合、プログラムやデータを難読化したり暗号化したりするなどして権利の保護を図っている。しかし、PC環境に見られるように、ユーザーが様々なツールを用いてソフトウェアの改竄を容易に行える環境下では、上述したような権利保護手法は単なる時間稼ぎに過ぎない面がある。例えば、プログラムやデータを暗号化しても、ソフトウェアで復号化することから暗号強度に意味はない。
【0003】
ソフトウェアの改竄等の不正を検出する、あるいは防止する技術が求められており、ハードウェアを併用した改竄検出手法が有効である。これは、予め用意した正解との比較を行う外部ハードウェアを搭載し、この外部ハードウェアを用いてプログラムやデータ等が改竄されていないか監視する手法である。
【0004】
また、コンピュータウィルスに対するウィルス診断機能をソフトウェアであるオブジェクトプログラム自身の中に生成し、オブジェクトプログラム自身でウィルス感染によるオブジェクトプログラムの改竄を検出するようにしたものがある(例えば、特許文献1参照。)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平7−146788号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述のようにハードウェアを用いて改竄を防止する場合には、実行時に確定するデータ・コード以外の改竄は検出して防止することができるが、実行時に確定するデータ・コードの改竄は検出及び防止が困難であるという問題があった。言い換えれば、コンパイル時に確定するプログラムコードや固定データ等の静的な記憶領域に対する改竄は容易に防止できるが、実行時(実行開始時や実行中)に作成されるデータ等の動的にデータが変更される記憶領域に対する改竄は防止することが非常に困難であった。
【0007】
例えば、CPUが実行するプログラムコード列は、ユーザー空間に展開される主プログラム以外に、実行時にリンクされるプログラムコード(ダイナミックリンクライブラリ:DLL)、実行時にスタックやヒープに確保される関数へのポインタ(クラスなどのインスタンスを含む。)、及びデータ領域にある関数ポインタの影響を受けながら順次実行される1次元の列として考えられ、この列から逸脱することはない。
【0008】
しかし、この列のいかなるところにおいても、プログラムやデータ等の改竄により攻撃者が用意したプログラムコードへ分岐して、攻撃者にとって必要な処理の追加や不要な処理のスキップ(不要な処理を飛ばす)等の処理を行った後、再び正規のルートに戻るといったバイパスを作成することができる。上述したように、ハードウェアを併用することで実行前に確定しているデータ・コード、つまり静的なメモリ領域のデータ・コードは保護することができるが、これだけの保護では十分でない。スタックやヒープに展開される、いわゆるクラスのインスタンス等に含まれる関数へのポインタは実行時に確定するものであり、例えばインスタンスの個数もメモリ位置も動的な記憶領域に記憶されるデータであり外部から簡単に特定できるものではない。そのため、上述した従来の手法でチェックすることは困難であり、仮に行ったとしても非常に効率が悪く、スタックやヒープにおける関数ポインタ等の動的な記憶領域におけるデータを改竄してバイパスされうるおそれがある。
【0009】
本発明は、このような問題に鑑みてなされたものであり、動的な記憶領域に対する改竄を検出できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
本発明のソフトウェアの改竄検出装置は、プログラムコードに係る処理の実行前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域及び処理の実行に伴って変更される情報が記憶される動的記憶領域を有する記憶手段と、静的記憶領域の範囲を示すアドレス情報を記憶する領域情報記憶手段と、動的記憶領域に記憶されたアドレス情報を参照して、静的記憶領域に記憶された情報に基づく処理を実行する場合に、動的記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものであるか否かを判定することで情報の改竄を検出する検出手段とを備える。
【0011】
前記構成によれば、分岐処理や復帰処理等の制御処理を行うために参照する動的記憶領域に記憶されているアドレス情報が静的記憶領域の範囲内を指定するものであるか否かをチェックすることで、動的記憶領域に記憶されているアドレス情報の改竄を検出可能になる。参照したアドレス情報が静的記憶領域の範囲内を指定するものでなければ、動的記憶領域に記憶されたアドレス情報に対して改竄が行われたことが検出できる。
【発明の効果】
【0012】
本発明によれば、処理の実行に伴って変更され得る情報を記憶する動的記憶領域に記憶されたアドレス情報を参照して、処理の実行前に確定している情報を記憶する静的記憶領域に記憶された情報に基づく処理を実行する場合に、動的記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものであるか否かを判定する。これにより、動的記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものでない場合には、動的記憶領域に記憶されたアドレス情報に対する改竄が行われたことを検出することができる。したがって、簡単なアドレス情報の比較のみで動的記憶領域に記憶された情報に対する改竄を検出し情報の改竄を防止することが可能となる。
【図面の簡単な説明】
【0013】
【図1】本実施形態による改竄検出装置を適用した計算機システムのハードウェア構成例を示すブロック図である。
【図2】本実施形態における計算機システムの機能構成例を示すブロック図である。
【図3】本実施形態における計算機システムの具体的な動作例を説明するための図である。
【図4】本実施形態における計算機システムの具体的な動作例を説明するための図である。
【図5】本実施形態における計算機システムの他の具体的な動作例を説明するための図である。
【図6】本実施形態における計算機システムの他の具体的な動作例を説明するための図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施形態を図面に基づいて説明する。
図1は、本発明の実施形態による改竄検出装置を適用した計算機システム100のハードウェア構成例を示すブロック図である。
【0015】
本実施形態における計算機システム100は、図1に示すように、CPU101と、ROM102と、RAM103と、キーボード(KB)109のキーボードコントローラ(KBC)105と、表示部としてのCRTディスプレイ(CRT)110のCRTコントローラ(CRTC)106と、ハードディスク(HD)111及びフレキシブルディスク(FD)112のディスクコントローラ(DKC)107と、ネットワークインタフェースカード(NIC)108と、改竄検出装置(DTC)114とが、システムバス104を介して互いに通信可能に接続された構成としている。
【0016】
CPU101は、ROM102あるいはHD111に記憶されたソフトウェア(プログラム)、あるいはFD112より供給されるソフトウェア(プログラム)を実行することで、システムバス104に接続された各構成部を総括的に制御し、実行するソフトウェアに基づく所望の機能を実現する。すなわち、CPU101は、所望の機能を実現するための処理プログラムを、ROM102、あるいはHD111、あるいはFD112から読み出して実行することで、要求される動作を実現するための制御を行う。
【0017】
RAM103は、CPU101の主メモリあるいはワークエリア等として機能する。RAM103は、後述するようにプログラムコードや固定データが記憶され、かつ改竄検出装置(DTC)114により定期的にデータ改竄の有無が検出される静的な記憶(メモリ)領域と、実行時に確定するデータが記憶される動的な記憶(メモリ)領域とからなる。
【0018】
KBC105は、KB109や図示していないポインティングデバイス等からの指示入力を制御する。CRTC106は、CRT110の表示を制御する。DKC107は、ブートプログラム、種々のアプリケーション、ユーザファイル、ネットワーク管理プログラム、および処理プログラム等を記憶するHD111およびFD112とのアクセスを制御する。NIC108はネットワーク113上の他の装置と双方向にデータをやりとりするためのものである。
【0019】
改竄検出装置(DTC)114は、RAM103等においてROM102、HD111、あるいはFD112からロードされたプログラムコードや固定データが記憶される静的な記憶領域(例えば、ユーザプログラム領域)に記憶されたデータを定期的に調べて改竄が行われたか否かを検出する。この改竄検出装置114としては、ハードウェアにより静的な記憶領域を定期的にチェックする公知の改竄検出機構を適用すれば良い。
【0020】
図2(A)は、図1に示した計算機システムの機能構成例を示すブロック図である。なお、図2(A)においては、計算機システムにて改竄検出を実現するための主要的特徴部のみを図示している。
【0021】
図2(A)において、処理実行部201は、メモリ202にロードされたプログラムコードを読み出して実行し、所望の動作を実現するための制御等を行う。処理実行部201は、プログラムコードを実行する際、必要に応じてメモリ202に記憶されているデータを参照する。メモリ202は、静的な記憶領域202aと動的な記憶領域202bとからなり、静的な記憶領域202aにはロードされたプログラムコードや当該プログラムコードの実行時に不変の固定データが記憶され、動的な記憶領域202bにはプログラムコードの実行に際して変更されうるデータ(例えば、スタックやヒープにおけるデータ)が記憶される。
【0022】
第1の改竄検出部203は、図1に示した改竄検出装置114に相当するものであり、ハードウェアにより構成され、メモリ202内の静的な記憶領域202aに記憶されたデータ(プログラムコードを含む。)を定期的に調べて改竄が行われたか否かを検出する。具体的には、第1の改竄検出部203は、静的な記憶領域202aに記憶されたデータが正しいもの(改竄が行われていないもの)であるか否かを判定するための正解データを外部あるいは内部に保持しておき、静的な記憶領域202aに記憶されたデータと正解データとを比較し改竄の有無を判定する。
【0023】
このようにして、第1の改竄検出部203により定期的なチェックを行い、ユーザプログラム領域等を含むメモリ202内の静的な記憶領域202aに対しては不正を行えないようにしておく。したがって、不正なバイパスコードは、正規の(プログラム)コードが存在するメモリ空間(静的な記憶領域202a)には確保することができない。
なお、第1の改竄検出部203は、判定の結果、静的な記憶領域202aに記憶されたデータが改竄されていると判定した場合には、処理実行部201や外部に通知するようにしても良い。
【0024】
第2の改竄検出部204は、メモリ202内の動的な記憶領域202bに記憶されたデータに対して改竄が行われたか否かを検出するものであり、アドレス比較部205、判定部206、及び検出情報記憶部207を有する。
【0025】
アドレス比較部205は、処理実行部201によるプログラムコード実行中の、例えば復帰処理や分岐処理等において、動的な記憶領域202bに記憶されているデータを参照して静的な記憶領域202aに復帰あるいは分岐する際、復帰先あるいは分岐先として指定されるアドレスと静的領域情報記憶部208に記憶されているアドレス情報とを比較する。静的領域情報記憶部208には、メモリ202における静的な記憶領域202aの領域範囲を示すアドレス情報(例えば、領域のスタートアドレスとエンドアドレス)が予め記憶されている。
【0026】
つまり、アドレス比較部205は、動的な記憶領域202bに記憶されているデータに基づいて処理を行った後、静的な記憶領域202aに記憶されているデータに基づいて処理を行うようにする場合に、静的領域情報記憶部208に記憶されている静的な記憶領域202aの範囲を示すアドレス値と復帰先あるいは分岐先として指定されるアドレスとを比較する。
【0027】
判定部206は、アドレス比較部205での比較結果に基づいて、動的な記憶領域202bに記憶されているデータに対して改竄等の不正が行われたか否かを判定する。具体的には、判定部206は、アドレス比較部205での比較結果、復帰先あるいは分岐先として指定されるアドレスが静的な記憶領域202aの範囲に含まれない場合には、動的な記憶領域202bのデータに対して改竄が行われたと判定する。
【0028】
検出情報記憶部207は、判定部206にて動的な記憶領域202bのデータに対して改竄等の不正が行われたと判定した場合に、例えば不正が行われた箇所や不正の内容等の不正に係る情報を記憶する。検出情報記憶部207に記憶した不正に係る情報は、外部から読み出し可能である。したがって、検出情報記憶部207に記憶した不正に係る情報を解析することにより、検出した不正に対する対策を施すことができる。
【0029】
なお、判定部206にて動的な記憶領域202bのデータに対して改竄等の不正が行われたと判定した場合に直ちに不正に対する対策を施すようにしても良いが、検出情報記憶部207に不正に係る情報を記憶しておき、後から検出した不正に対する対策を施すことにより、どの動作で不正が検出されたかを不正を行ったものに特定されることを防止することができ、より高い改竄防止効果を期待することができる。
【0030】
なお、図2(A)においては、メモリ202が静的な記憶領域202aと動的な記憶領域202bとからなる、つまり、静的な記憶領域202aと動的な記憶領域202bとのいずれもが連続した1つの領域で構成される場合を一例として示しているが、メモリにおける領域の分割は任意であり、例えば図2(B)に示すように、複数の静的な記憶領域209a、209c、209eと複数の動的な記憶領域209b、209d、209fとにメモリ209が領域分割されていても良い。
【0031】
図2(B)に示すようにメモリ209の領域を分割した場合には、第1の改竄検出部203により静的な記憶領域209a、209c、209eに対する改竄の有無を検出し、第2の改竄検出部204により動的な記憶領域209b、209d、209fに対する改竄の有無を検出する。このとき、静的領域情報記憶部208には、各静的な記憶領域209a、209c、209eを示すアドレス情報をテーブル等により記憶する。
【0032】
次に、上述した本実施形態による改竄検出装置を適用した計算機システムの動作を、具定例を挙げて説明する。なお、以下の説明において、「保護された領域」は、第1の改竄検出部203によりデータ(プログラムコードを含む。)が定期的に調べられ改竄の検出が行われるメモリ202内の静的な記憶領域であり、上述したように当該領域内には不正なバイパスコード(不正コード)を確保することはできない。一方、「保護されていない領域」は、第2の改竄検出部203によりデータ改竄の検出が行われるメモリ202内の動的な記憶領域である。
【0033】
(動作例1)
図3及び図4は、本実施形態における計算機システムの具体的な動作例を説明するための図である。
【0034】
例えば、図3(A)に示すように、処理Aを実行し(ステップS1)、その後分岐処理1にてポインタ(変数の関数ポインタ、クラスのインスタンス内の仮想関数テーブルへのポインタ)等のアドレス値P1を参照して分岐・制御を行い(ステップS2)、処理Bを実行する(ステップS3)場合を考える。ステップS1〜S3の処理A、分岐処理1、及び処理Bは、保護された領域内のプログラムコード及びデータに基づいて実行される。また、分岐処理1にて参照するアドレス値P1は、プログラムが動作しながら生成される、つまり動的に生成されるものであり、保護されていない領域に記憶されている。
【0035】
図3(A)に示したような処理を実行させる場合、従来技術によれば、保護されていない領域に挿入した不正コード列C1を読み出すためのアドレス値(不正コード列C1が記憶されているアドレス値)を、分岐処理1にて参照するアドレス値P1に指定し、不正コードC1に処理Bに係る分岐先アドレスを指定することで、図3(B)に示すように処理A→分岐処理1→不正コード→処理Bと処理を実行させ、処理Bの実行前に不正コードC1に応じた処理を実行させることが可能である。
【0036】
本実施形態における計算機システムでは、図3(A)に示したような処理を処理実行部201にて実行させる場合、図4に示すようにして処理を実行する。
まず、ステップS1にて保護された領域内のプログラムコード及びデータに基づいて処理Aを実行する。
【0037】
次に、ステップS2での分岐処理1により保護された領域内のコード列から分岐する場合、ステップS2の前段であるステップS1Aにて、第2の改竄検出部204により分岐先を示すアドレス値P1に係る認証を行う。すなわち、ステップS1Aにて、第2の改竄検出部204が分岐先を示すアドレス値P1を評価し、分岐先が保護された領域内であるか否かを判定する。
【0038】
具体的には、ステップS1Aにて、アドレス比較部205が分岐先のアドレス値P1を参照し、それを静的領域情報記憶部208に記憶された静的な記憶領域202aの範囲を示すアドレス情報と比較する。比較の結果、アドレス値P1が静的な記憶領域202aの範囲内である場合には、判定部206は改竄が行われていないと判定する。一方、アドレス値P1が静的な記憶領域202aの範囲内でない場合には、判定部206はアドレス値P1に対して改竄が行われたと判定し、不正に係る情報を検出情報記憶部207に格納する。
【0039】
その後、ステップS2での分岐処理1にて、アドレス値P1を参照して分岐処理を実行し、さらに不正コードC1、及びステップS3での処理Bを順次実行する。
【0040】
(動作例2)
図5及び図6は、本実施形態における計算機システムの他の具体的な動作例を説明するための図である。
【0041】
図5(A)に示すように、処理Aを実行し(ステップS11)、その後分岐処理1にてアドレス値P11を参照して処理Bに分岐し(ステップS12)、処理Bを実行する(ステップS13)。さらに、処理Bを実行した後、復帰処理1にてアドレス値P12を参照して処理Cに復帰し(ステップS14)、処理Cを実行する(ステップS15)場合を考える。ステップS11〜S15の処理A、分岐処理1、処理B、復帰処理1、及び処理Cは、保護された領域内のプログラムコード及びデータに基づいて実行され、かつ分岐処理1にて参照するアドレス値P11は、保護された領域に記憶される。一方、復帰処理1にて参照するアドレス値P12は、プログラムが動作しながら動的に生成されるものであり、保護されていない領域(スタック)に記憶される。
【0042】
図5(A)に示したような処理を実行させる場合、従来技術によれば、保護されていない領域に挿入した不正コード列C11が記憶されているアドレス値を、復帰処理1にて参照するアドレス値P12に指定し、不正コードC11に処理Cに係る復帰先アドレスを指定することで、図5(B)に示すように、復帰処理1にて処理Cの実行前に不正コードC11に応じた処理を実行させることが可能である。
【0043】
本実施形態における計算機システムでは、図5(A)に示したような処理を処理実行部201にて実行させる場合、図6に示すようにして処理を実行する。
まず、ステップS11にて保護された領域内のプログラムコード及びデータに基づいて処理Aを実行する。次に、ステップS12での分岐処理1にて、保護された領域に記憶されているアドレス値P11を参照して分岐処理を実行し、ステップS13にて処理Bを実行する。
【0044】
続いて、ステップS14での復帰処理1により保護された領域外のアドレス値P12を参照して復帰する場合、ステップS14の前段であるステップS13Aにて、第2の改竄検出部204により復帰先を示すアドレス値P12に係る認証を行う。ステップS13Aでの処理は、上述した図4のステップS1Aと同様に、第2の改竄検出部204が復帰先を示すアドレス値P12を評価し、復帰先が保護された領域内であるか否かを判定する。
【0045】
その後、ステップS14での復帰処理1にて、アドレス値P12を参照して復帰処理を実行し、さらに不正コードC11、及びステップS15での処理Cを順次実行する。
【0046】
なお、動作例1、2において、保護されていない領域に記憶されているアドレス値に対する改竄を検出したら直ちに不正に対する対策(処理の停止等)を行うようにしても良いが、上述したように参照したアドレス値に従って不正コードC1、C11を実行し、後から検出した不正に対する対策を施すことにより、どの動作で不正が検出されたかを不正を行ったものに特定されることを防止することができ、より高い改竄防止効果を期待することができる。また、動作例1、2においては、分岐処理及び復帰処理を一例として示したが、スタック、ヒープ、コールスタック等の保護されていない領域に記憶された任意の情報を参照して保護された領域に記憶されたプログラムコード及びデータに基づく制御(処理)に移行する任意の処理に適用可能である。
【0047】
以上、説明したように本実施形態によれば、実行時には既に確定しているプログラムコードや固定データが記憶されるメモリ202内の静的な記憶領域(保護された領域)202aについては第1の改竄検出部203が定期的に改竄の有無をチェックする。また、スタックやヒープに展開される分岐アドレスや復帰アドレスなどの実行時に変更され得るデータが記憶されるメモリ202内の動的な記憶領域(保護されていない領域)202bについては、動的な記憶領域202bに記憶されているアドレスを参照して、静的な記憶領域202aに記憶されたプログラムコード及びデータに基づく制御処理を実行するときに、第2の改竄検出部204が動的な記憶領域202bから取得したアドレスが静的な記憶領域の範囲内を指定するものか否か判定し改竄の有無をチェックする。
【0048】
これにより、メモリ202内の動的な記憶領域202bから参照したアドレスが静的な記憶領域202aの範囲内を指定するものでない場合には、動的な記憶領域202bに記憶されたアドレスに対する改竄が行われたことを検出することができ、静的な記憶領域202aに対する改竄の有無に加え、簡単なアドレスの比較のみで動的な記憶領域202bに対する改竄を検出し情報の改竄を防止することができる。
【0049】
また、保護されていない領域に存在するコードからは、保護された領域内の関数等のコードを直接呼び出せないようにしても良い。具体的には、保護された領域内の関数の入り口でコールスタックを読み出し、読み出したアドレスが保護された領域外、つまり保護されていない領域を指定するものである場合には不正であるとみなす。これにより、保護されていない領域に存在する不正コードから、保護された領域内のコードが呼び出されることを防止することが可能となる。
【0050】
また、他のソフトウェア・アプリケーション等と共有可能なように、プログラムコードの実行時に動的にリンクされるダイナミックリンクライブラリ(DLL)を利用する場合には、改竄や不正が予め防止されているセキュアなDLLであれば、それに制御を移す際に、正規のものであることを認証した後に制御を移すようにすれば、改竄や不正が行われることを防止することが可能である。DLLが正規のものであることは、例えばハッシュ等を用いて予め保護された領域内に記憶した正解データと比較することで確認することができる。
【0051】
一方、セキュアでないDLLの場合には、DLLを利用する場合に予め静的にリンク(スタティックリンク)しておき保護された領域に含めてしまったり、認証部を設けて安全が確認されたDLLの複製を保護された領域内に作成して(他のアプリケーションが使用する場合、同じコードではあるが別なDLLとなるようにして)使用したり、DLL内で不正コードにバイパスされても影響が及ばないように適切な処理を行ってから制御を移すようにしたりすれば、改竄や不正が行われることを防止することが可能である。
【0052】
なお、前記実施形態は、何れも本発明を実施するにあたっての具体化のほんの一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその技術思想、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
本発明の諸態様を付記として以下に示す。
【0053】
(付記1)
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶手段と、
前記記憶手段における静的記憶領域の範囲を示すアドレス情報を記憶する領域情報記憶手段と、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が前記領域情報記憶手段に記憶されたアドレス情報で示される静的記憶領域の範囲内を指定するものであるか否かを判定し、前記動的記憶領域に記憶された情報の改竄を検出する検出手段とを備えることを特徴とするソフトウェアの改竄検出装置。
(付記2)
前記検出手段は、前記動的記憶領域に記憶された情報の改竄を検出した場合に、当該検出した改竄に係る情報をさらに記憶することを特徴とする付記1記載のソフトウェアの改竄検出装置。
(付記3)
前記検出手段は、前記動的記憶領域から参照したアドレス情報と、前記領域情報記憶手段に記憶されたアドレス情報とを比較する比較手段と、
前記比較手段による比較結果に基づいて、前記動的記憶領域から参照したアドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定する判定手段とを備えることを特徴とする付記1又は2記載のソフトウェアの改竄検出装置。
(付記4)
前記動的記憶領域に記憶されたアドレス情報は、前記プログラムコードに係る分岐処理における分岐先アドレス及び復帰処理における復帰アドレスの少なくとも一方であることを特徴とする付記1〜3の何れか1項に記載のソフトウェアの改竄検出装置。
(付記5)
前記プログラムコードに係る分岐処理又は復帰処理を実行する前に、前記動的記憶領域に記憶されたアドレス情報を参照して、当該アドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定することを特徴とする付記4記載のソフトウェアの改竄検出装置。
(付記6)
前記記憶手段における静的記憶領域及び動的記憶領域の少なくとも一方が、複数かつ各々が連続した領域であることを特徴とする付記1〜5の何れか1項に記載のソフトウェアの改竄検出装置。
(付記7)
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶部を備える情報処理システムでのソフトウェアの改竄検出方法であって、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が、前記静的記憶領域の範囲を示すアドレス情報により予め規定した静的記憶領域の範囲内を指定するものであるか否かを判定する判定工程と、
前記判定工程での判定結果に基づいて、前記動的記憶領域に記憶された情報の改竄を検出する検出工程とを有することを特徴とするソフトウェアの改竄検出方法。
(付記8)
前記検出工程にて、前記動的記憶領域に記憶された情報の改竄を検出した場合に、当該検出した改竄に係る情報を記憶部に記憶する検出情報記憶工程をさらに有することを特徴とする付記7記載のソフトウェアの改竄検出方法。
【符号の説明】
【0054】
100 計算機システム
101 CPU
102 ROM
103 RAM
104 システムバス
114 改竄検出装置
201 処理実行部
202 メモリ
202a 静的な記憶領域
202b 動的な記憶領域
203 第1の改竄検出部
204 第2の改竄検出部
205 アドレス比較部
206 判定部
207 検出情報記憶部
208 静的領域情報記憶部
【技術分野】
【0001】
本発明は、ソフトウェアの改竄検出技術に関し、例えばPC(パーソナル・コンピュータ)等の仕様が公開された計算機システムに用いて好適なものである。
【背景技術】
【0002】
従来、一般的なソフトウェア製品において、プログラムやデータ等の権利保護が必要な場合、プログラムやデータを難読化したり暗号化したりするなどして権利の保護を図っている。しかし、PC環境に見られるように、ユーザーが様々なツールを用いてソフトウェアの改竄を容易に行える環境下では、上述したような権利保護手法は単なる時間稼ぎに過ぎない面がある。例えば、プログラムやデータを暗号化しても、ソフトウェアで復号化することから暗号強度に意味はない。
【0003】
ソフトウェアの改竄等の不正を検出する、あるいは防止する技術が求められており、ハードウェアを併用した改竄検出手法が有効である。これは、予め用意した正解との比較を行う外部ハードウェアを搭載し、この外部ハードウェアを用いてプログラムやデータ等が改竄されていないか監視する手法である。
【0004】
また、コンピュータウィルスに対するウィルス診断機能をソフトウェアであるオブジェクトプログラム自身の中に生成し、オブジェクトプログラム自身でウィルス感染によるオブジェクトプログラムの改竄を検出するようにしたものがある(例えば、特許文献1参照。)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平7−146788号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述のようにハードウェアを用いて改竄を防止する場合には、実行時に確定するデータ・コード以外の改竄は検出して防止することができるが、実行時に確定するデータ・コードの改竄は検出及び防止が困難であるという問題があった。言い換えれば、コンパイル時に確定するプログラムコードや固定データ等の静的な記憶領域に対する改竄は容易に防止できるが、実行時(実行開始時や実行中)に作成されるデータ等の動的にデータが変更される記憶領域に対する改竄は防止することが非常に困難であった。
【0007】
例えば、CPUが実行するプログラムコード列は、ユーザー空間に展開される主プログラム以外に、実行時にリンクされるプログラムコード(ダイナミックリンクライブラリ:DLL)、実行時にスタックやヒープに確保される関数へのポインタ(クラスなどのインスタンスを含む。)、及びデータ領域にある関数ポインタの影響を受けながら順次実行される1次元の列として考えられ、この列から逸脱することはない。
【0008】
しかし、この列のいかなるところにおいても、プログラムやデータ等の改竄により攻撃者が用意したプログラムコードへ分岐して、攻撃者にとって必要な処理の追加や不要な処理のスキップ(不要な処理を飛ばす)等の処理を行った後、再び正規のルートに戻るといったバイパスを作成することができる。上述したように、ハードウェアを併用することで実行前に確定しているデータ・コード、つまり静的なメモリ領域のデータ・コードは保護することができるが、これだけの保護では十分でない。スタックやヒープに展開される、いわゆるクラスのインスタンス等に含まれる関数へのポインタは実行時に確定するものであり、例えばインスタンスの個数もメモリ位置も動的な記憶領域に記憶されるデータであり外部から簡単に特定できるものではない。そのため、上述した従来の手法でチェックすることは困難であり、仮に行ったとしても非常に効率が悪く、スタックやヒープにおける関数ポインタ等の動的な記憶領域におけるデータを改竄してバイパスされうるおそれがある。
【0009】
本発明は、このような問題に鑑みてなされたものであり、動的な記憶領域に対する改竄を検出できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
本発明のソフトウェアの改竄検出装置は、プログラムコードに係る処理の実行前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域及び処理の実行に伴って変更される情報が記憶される動的記憶領域を有する記憶手段と、静的記憶領域の範囲を示すアドレス情報を記憶する領域情報記憶手段と、動的記憶領域に記憶されたアドレス情報を参照して、静的記憶領域に記憶された情報に基づく処理を実行する場合に、動的記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものであるか否かを判定することで情報の改竄を検出する検出手段とを備える。
【0011】
前記構成によれば、分岐処理や復帰処理等の制御処理を行うために参照する動的記憶領域に記憶されているアドレス情報が静的記憶領域の範囲内を指定するものであるか否かをチェックすることで、動的記憶領域に記憶されているアドレス情報の改竄を検出可能になる。参照したアドレス情報が静的記憶領域の範囲内を指定するものでなければ、動的記憶領域に記憶されたアドレス情報に対して改竄が行われたことが検出できる。
【発明の効果】
【0012】
本発明によれば、処理の実行に伴って変更され得る情報を記憶する動的記憶領域に記憶されたアドレス情報を参照して、処理の実行前に確定している情報を記憶する静的記憶領域に記憶された情報に基づく処理を実行する場合に、動的記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものであるか否かを判定する。これにより、動的記憶領域から参照したアドレス情報が静的記憶領域の範囲内を指定するものでない場合には、動的記憶領域に記憶されたアドレス情報に対する改竄が行われたことを検出することができる。したがって、簡単なアドレス情報の比較のみで動的記憶領域に記憶された情報に対する改竄を検出し情報の改竄を防止することが可能となる。
【図面の簡単な説明】
【0013】
【図1】本実施形態による改竄検出装置を適用した計算機システムのハードウェア構成例を示すブロック図である。
【図2】本実施形態における計算機システムの機能構成例を示すブロック図である。
【図3】本実施形態における計算機システムの具体的な動作例を説明するための図である。
【図4】本実施形態における計算機システムの具体的な動作例を説明するための図である。
【図5】本実施形態における計算機システムの他の具体的な動作例を説明するための図である。
【図6】本実施形態における計算機システムの他の具体的な動作例を説明するための図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施形態を図面に基づいて説明する。
図1は、本発明の実施形態による改竄検出装置を適用した計算機システム100のハードウェア構成例を示すブロック図である。
【0015】
本実施形態における計算機システム100は、図1に示すように、CPU101と、ROM102と、RAM103と、キーボード(KB)109のキーボードコントローラ(KBC)105と、表示部としてのCRTディスプレイ(CRT)110のCRTコントローラ(CRTC)106と、ハードディスク(HD)111及びフレキシブルディスク(FD)112のディスクコントローラ(DKC)107と、ネットワークインタフェースカード(NIC)108と、改竄検出装置(DTC)114とが、システムバス104を介して互いに通信可能に接続された構成としている。
【0016】
CPU101は、ROM102あるいはHD111に記憶されたソフトウェア(プログラム)、あるいはFD112より供給されるソフトウェア(プログラム)を実行することで、システムバス104に接続された各構成部を総括的に制御し、実行するソフトウェアに基づく所望の機能を実現する。すなわち、CPU101は、所望の機能を実現するための処理プログラムを、ROM102、あるいはHD111、あるいはFD112から読み出して実行することで、要求される動作を実現するための制御を行う。
【0017】
RAM103は、CPU101の主メモリあるいはワークエリア等として機能する。RAM103は、後述するようにプログラムコードや固定データが記憶され、かつ改竄検出装置(DTC)114により定期的にデータ改竄の有無が検出される静的な記憶(メモリ)領域と、実行時に確定するデータが記憶される動的な記憶(メモリ)領域とからなる。
【0018】
KBC105は、KB109や図示していないポインティングデバイス等からの指示入力を制御する。CRTC106は、CRT110の表示を制御する。DKC107は、ブートプログラム、種々のアプリケーション、ユーザファイル、ネットワーク管理プログラム、および処理プログラム等を記憶するHD111およびFD112とのアクセスを制御する。NIC108はネットワーク113上の他の装置と双方向にデータをやりとりするためのものである。
【0019】
改竄検出装置(DTC)114は、RAM103等においてROM102、HD111、あるいはFD112からロードされたプログラムコードや固定データが記憶される静的な記憶領域(例えば、ユーザプログラム領域)に記憶されたデータを定期的に調べて改竄が行われたか否かを検出する。この改竄検出装置114としては、ハードウェアにより静的な記憶領域を定期的にチェックする公知の改竄検出機構を適用すれば良い。
【0020】
図2(A)は、図1に示した計算機システムの機能構成例を示すブロック図である。なお、図2(A)においては、計算機システムにて改竄検出を実現するための主要的特徴部のみを図示している。
【0021】
図2(A)において、処理実行部201は、メモリ202にロードされたプログラムコードを読み出して実行し、所望の動作を実現するための制御等を行う。処理実行部201は、プログラムコードを実行する際、必要に応じてメモリ202に記憶されているデータを参照する。メモリ202は、静的な記憶領域202aと動的な記憶領域202bとからなり、静的な記憶領域202aにはロードされたプログラムコードや当該プログラムコードの実行時に不変の固定データが記憶され、動的な記憶領域202bにはプログラムコードの実行に際して変更されうるデータ(例えば、スタックやヒープにおけるデータ)が記憶される。
【0022】
第1の改竄検出部203は、図1に示した改竄検出装置114に相当するものであり、ハードウェアにより構成され、メモリ202内の静的な記憶領域202aに記憶されたデータ(プログラムコードを含む。)を定期的に調べて改竄が行われたか否かを検出する。具体的には、第1の改竄検出部203は、静的な記憶領域202aに記憶されたデータが正しいもの(改竄が行われていないもの)であるか否かを判定するための正解データを外部あるいは内部に保持しておき、静的な記憶領域202aに記憶されたデータと正解データとを比較し改竄の有無を判定する。
【0023】
このようにして、第1の改竄検出部203により定期的なチェックを行い、ユーザプログラム領域等を含むメモリ202内の静的な記憶領域202aに対しては不正を行えないようにしておく。したがって、不正なバイパスコードは、正規の(プログラム)コードが存在するメモリ空間(静的な記憶領域202a)には確保することができない。
なお、第1の改竄検出部203は、判定の結果、静的な記憶領域202aに記憶されたデータが改竄されていると判定した場合には、処理実行部201や外部に通知するようにしても良い。
【0024】
第2の改竄検出部204は、メモリ202内の動的な記憶領域202bに記憶されたデータに対して改竄が行われたか否かを検出するものであり、アドレス比較部205、判定部206、及び検出情報記憶部207を有する。
【0025】
アドレス比較部205は、処理実行部201によるプログラムコード実行中の、例えば復帰処理や分岐処理等において、動的な記憶領域202bに記憶されているデータを参照して静的な記憶領域202aに復帰あるいは分岐する際、復帰先あるいは分岐先として指定されるアドレスと静的領域情報記憶部208に記憶されているアドレス情報とを比較する。静的領域情報記憶部208には、メモリ202における静的な記憶領域202aの領域範囲を示すアドレス情報(例えば、領域のスタートアドレスとエンドアドレス)が予め記憶されている。
【0026】
つまり、アドレス比較部205は、動的な記憶領域202bに記憶されているデータに基づいて処理を行った後、静的な記憶領域202aに記憶されているデータに基づいて処理を行うようにする場合に、静的領域情報記憶部208に記憶されている静的な記憶領域202aの範囲を示すアドレス値と復帰先あるいは分岐先として指定されるアドレスとを比較する。
【0027】
判定部206は、アドレス比較部205での比較結果に基づいて、動的な記憶領域202bに記憶されているデータに対して改竄等の不正が行われたか否かを判定する。具体的には、判定部206は、アドレス比較部205での比較結果、復帰先あるいは分岐先として指定されるアドレスが静的な記憶領域202aの範囲に含まれない場合には、動的な記憶領域202bのデータに対して改竄が行われたと判定する。
【0028】
検出情報記憶部207は、判定部206にて動的な記憶領域202bのデータに対して改竄等の不正が行われたと判定した場合に、例えば不正が行われた箇所や不正の内容等の不正に係る情報を記憶する。検出情報記憶部207に記憶した不正に係る情報は、外部から読み出し可能である。したがって、検出情報記憶部207に記憶した不正に係る情報を解析することにより、検出した不正に対する対策を施すことができる。
【0029】
なお、判定部206にて動的な記憶領域202bのデータに対して改竄等の不正が行われたと判定した場合に直ちに不正に対する対策を施すようにしても良いが、検出情報記憶部207に不正に係る情報を記憶しておき、後から検出した不正に対する対策を施すことにより、どの動作で不正が検出されたかを不正を行ったものに特定されることを防止することができ、より高い改竄防止効果を期待することができる。
【0030】
なお、図2(A)においては、メモリ202が静的な記憶領域202aと動的な記憶領域202bとからなる、つまり、静的な記憶領域202aと動的な記憶領域202bとのいずれもが連続した1つの領域で構成される場合を一例として示しているが、メモリにおける領域の分割は任意であり、例えば図2(B)に示すように、複数の静的な記憶領域209a、209c、209eと複数の動的な記憶領域209b、209d、209fとにメモリ209が領域分割されていても良い。
【0031】
図2(B)に示すようにメモリ209の領域を分割した場合には、第1の改竄検出部203により静的な記憶領域209a、209c、209eに対する改竄の有無を検出し、第2の改竄検出部204により動的な記憶領域209b、209d、209fに対する改竄の有無を検出する。このとき、静的領域情報記憶部208には、各静的な記憶領域209a、209c、209eを示すアドレス情報をテーブル等により記憶する。
【0032】
次に、上述した本実施形態による改竄検出装置を適用した計算機システムの動作を、具定例を挙げて説明する。なお、以下の説明において、「保護された領域」は、第1の改竄検出部203によりデータ(プログラムコードを含む。)が定期的に調べられ改竄の検出が行われるメモリ202内の静的な記憶領域であり、上述したように当該領域内には不正なバイパスコード(不正コード)を確保することはできない。一方、「保護されていない領域」は、第2の改竄検出部203によりデータ改竄の検出が行われるメモリ202内の動的な記憶領域である。
【0033】
(動作例1)
図3及び図4は、本実施形態における計算機システムの具体的な動作例を説明するための図である。
【0034】
例えば、図3(A)に示すように、処理Aを実行し(ステップS1)、その後分岐処理1にてポインタ(変数の関数ポインタ、クラスのインスタンス内の仮想関数テーブルへのポインタ)等のアドレス値P1を参照して分岐・制御を行い(ステップS2)、処理Bを実行する(ステップS3)場合を考える。ステップS1〜S3の処理A、分岐処理1、及び処理Bは、保護された領域内のプログラムコード及びデータに基づいて実行される。また、分岐処理1にて参照するアドレス値P1は、プログラムが動作しながら生成される、つまり動的に生成されるものであり、保護されていない領域に記憶されている。
【0035】
図3(A)に示したような処理を実行させる場合、従来技術によれば、保護されていない領域に挿入した不正コード列C1を読み出すためのアドレス値(不正コード列C1が記憶されているアドレス値)を、分岐処理1にて参照するアドレス値P1に指定し、不正コードC1に処理Bに係る分岐先アドレスを指定することで、図3(B)に示すように処理A→分岐処理1→不正コード→処理Bと処理を実行させ、処理Bの実行前に不正コードC1に応じた処理を実行させることが可能である。
【0036】
本実施形態における計算機システムでは、図3(A)に示したような処理を処理実行部201にて実行させる場合、図4に示すようにして処理を実行する。
まず、ステップS1にて保護された領域内のプログラムコード及びデータに基づいて処理Aを実行する。
【0037】
次に、ステップS2での分岐処理1により保護された領域内のコード列から分岐する場合、ステップS2の前段であるステップS1Aにて、第2の改竄検出部204により分岐先を示すアドレス値P1に係る認証を行う。すなわち、ステップS1Aにて、第2の改竄検出部204が分岐先を示すアドレス値P1を評価し、分岐先が保護された領域内であるか否かを判定する。
【0038】
具体的には、ステップS1Aにて、アドレス比較部205が分岐先のアドレス値P1を参照し、それを静的領域情報記憶部208に記憶された静的な記憶領域202aの範囲を示すアドレス情報と比較する。比較の結果、アドレス値P1が静的な記憶領域202aの範囲内である場合には、判定部206は改竄が行われていないと判定する。一方、アドレス値P1が静的な記憶領域202aの範囲内でない場合には、判定部206はアドレス値P1に対して改竄が行われたと判定し、不正に係る情報を検出情報記憶部207に格納する。
【0039】
その後、ステップS2での分岐処理1にて、アドレス値P1を参照して分岐処理を実行し、さらに不正コードC1、及びステップS3での処理Bを順次実行する。
【0040】
(動作例2)
図5及び図6は、本実施形態における計算機システムの他の具体的な動作例を説明するための図である。
【0041】
図5(A)に示すように、処理Aを実行し(ステップS11)、その後分岐処理1にてアドレス値P11を参照して処理Bに分岐し(ステップS12)、処理Bを実行する(ステップS13)。さらに、処理Bを実行した後、復帰処理1にてアドレス値P12を参照して処理Cに復帰し(ステップS14)、処理Cを実行する(ステップS15)場合を考える。ステップS11〜S15の処理A、分岐処理1、処理B、復帰処理1、及び処理Cは、保護された領域内のプログラムコード及びデータに基づいて実行され、かつ分岐処理1にて参照するアドレス値P11は、保護された領域に記憶される。一方、復帰処理1にて参照するアドレス値P12は、プログラムが動作しながら動的に生成されるものであり、保護されていない領域(スタック)に記憶される。
【0042】
図5(A)に示したような処理を実行させる場合、従来技術によれば、保護されていない領域に挿入した不正コード列C11が記憶されているアドレス値を、復帰処理1にて参照するアドレス値P12に指定し、不正コードC11に処理Cに係る復帰先アドレスを指定することで、図5(B)に示すように、復帰処理1にて処理Cの実行前に不正コードC11に応じた処理を実行させることが可能である。
【0043】
本実施形態における計算機システムでは、図5(A)に示したような処理を処理実行部201にて実行させる場合、図6に示すようにして処理を実行する。
まず、ステップS11にて保護された領域内のプログラムコード及びデータに基づいて処理Aを実行する。次に、ステップS12での分岐処理1にて、保護された領域に記憶されているアドレス値P11を参照して分岐処理を実行し、ステップS13にて処理Bを実行する。
【0044】
続いて、ステップS14での復帰処理1により保護された領域外のアドレス値P12を参照して復帰する場合、ステップS14の前段であるステップS13Aにて、第2の改竄検出部204により復帰先を示すアドレス値P12に係る認証を行う。ステップS13Aでの処理は、上述した図4のステップS1Aと同様に、第2の改竄検出部204が復帰先を示すアドレス値P12を評価し、復帰先が保護された領域内であるか否かを判定する。
【0045】
その後、ステップS14での復帰処理1にて、アドレス値P12を参照して復帰処理を実行し、さらに不正コードC11、及びステップS15での処理Cを順次実行する。
【0046】
なお、動作例1、2において、保護されていない領域に記憶されているアドレス値に対する改竄を検出したら直ちに不正に対する対策(処理の停止等)を行うようにしても良いが、上述したように参照したアドレス値に従って不正コードC1、C11を実行し、後から検出した不正に対する対策を施すことにより、どの動作で不正が検出されたかを不正を行ったものに特定されることを防止することができ、より高い改竄防止効果を期待することができる。また、動作例1、2においては、分岐処理及び復帰処理を一例として示したが、スタック、ヒープ、コールスタック等の保護されていない領域に記憶された任意の情報を参照して保護された領域に記憶されたプログラムコード及びデータに基づく制御(処理)に移行する任意の処理に適用可能である。
【0047】
以上、説明したように本実施形態によれば、実行時には既に確定しているプログラムコードや固定データが記憶されるメモリ202内の静的な記憶領域(保護された領域)202aについては第1の改竄検出部203が定期的に改竄の有無をチェックする。また、スタックやヒープに展開される分岐アドレスや復帰アドレスなどの実行時に変更され得るデータが記憶されるメモリ202内の動的な記憶領域(保護されていない領域)202bについては、動的な記憶領域202bに記憶されているアドレスを参照して、静的な記憶領域202aに記憶されたプログラムコード及びデータに基づく制御処理を実行するときに、第2の改竄検出部204が動的な記憶領域202bから取得したアドレスが静的な記憶領域の範囲内を指定するものか否か判定し改竄の有無をチェックする。
【0048】
これにより、メモリ202内の動的な記憶領域202bから参照したアドレスが静的な記憶領域202aの範囲内を指定するものでない場合には、動的な記憶領域202bに記憶されたアドレスに対する改竄が行われたことを検出することができ、静的な記憶領域202aに対する改竄の有無に加え、簡単なアドレスの比較のみで動的な記憶領域202bに対する改竄を検出し情報の改竄を防止することができる。
【0049】
また、保護されていない領域に存在するコードからは、保護された領域内の関数等のコードを直接呼び出せないようにしても良い。具体的には、保護された領域内の関数の入り口でコールスタックを読み出し、読み出したアドレスが保護された領域外、つまり保護されていない領域を指定するものである場合には不正であるとみなす。これにより、保護されていない領域に存在する不正コードから、保護された領域内のコードが呼び出されることを防止することが可能となる。
【0050】
また、他のソフトウェア・アプリケーション等と共有可能なように、プログラムコードの実行時に動的にリンクされるダイナミックリンクライブラリ(DLL)を利用する場合には、改竄や不正が予め防止されているセキュアなDLLであれば、それに制御を移す際に、正規のものであることを認証した後に制御を移すようにすれば、改竄や不正が行われることを防止することが可能である。DLLが正規のものであることは、例えばハッシュ等を用いて予め保護された領域内に記憶した正解データと比較することで確認することができる。
【0051】
一方、セキュアでないDLLの場合には、DLLを利用する場合に予め静的にリンク(スタティックリンク)しておき保護された領域に含めてしまったり、認証部を設けて安全が確認されたDLLの複製を保護された領域内に作成して(他のアプリケーションが使用する場合、同じコードではあるが別なDLLとなるようにして)使用したり、DLL内で不正コードにバイパスされても影響が及ばないように適切な処理を行ってから制御を移すようにしたりすれば、改竄や不正が行われることを防止することが可能である。
【0052】
なお、前記実施形態は、何れも本発明を実施するにあたっての具体化のほんの一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその技術思想、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
本発明の諸態様を付記として以下に示す。
【0053】
(付記1)
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶手段と、
前記記憶手段における静的記憶領域の範囲を示すアドレス情報を記憶する領域情報記憶手段と、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が前記領域情報記憶手段に記憶されたアドレス情報で示される静的記憶領域の範囲内を指定するものであるか否かを判定し、前記動的記憶領域に記憶された情報の改竄を検出する検出手段とを備えることを特徴とするソフトウェアの改竄検出装置。
(付記2)
前記検出手段は、前記動的記憶領域に記憶された情報の改竄を検出した場合に、当該検出した改竄に係る情報をさらに記憶することを特徴とする付記1記載のソフトウェアの改竄検出装置。
(付記3)
前記検出手段は、前記動的記憶領域から参照したアドレス情報と、前記領域情報記憶手段に記憶されたアドレス情報とを比較する比較手段と、
前記比較手段による比較結果に基づいて、前記動的記憶領域から参照したアドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定する判定手段とを備えることを特徴とする付記1又は2記載のソフトウェアの改竄検出装置。
(付記4)
前記動的記憶領域に記憶されたアドレス情報は、前記プログラムコードに係る分岐処理における分岐先アドレス及び復帰処理における復帰アドレスの少なくとも一方であることを特徴とする付記1〜3の何れか1項に記載のソフトウェアの改竄検出装置。
(付記5)
前記プログラムコードに係る分岐処理又は復帰処理を実行する前に、前記動的記憶領域に記憶されたアドレス情報を参照して、当該アドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定することを特徴とする付記4記載のソフトウェアの改竄検出装置。
(付記6)
前記記憶手段における静的記憶領域及び動的記憶領域の少なくとも一方が、複数かつ各々が連続した領域であることを特徴とする付記1〜5の何れか1項に記載のソフトウェアの改竄検出装置。
(付記7)
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶部を備える情報処理システムでのソフトウェアの改竄検出方法であって、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が、前記静的記憶領域の範囲を示すアドレス情報により予め規定した静的記憶領域の範囲内を指定するものであるか否かを判定する判定工程と、
前記判定工程での判定結果に基づいて、前記動的記憶領域に記憶された情報の改竄を検出する検出工程とを有することを特徴とするソフトウェアの改竄検出方法。
(付記8)
前記検出工程にて、前記動的記憶領域に記憶された情報の改竄を検出した場合に、当該検出した改竄に係る情報を記憶部に記憶する検出情報記憶工程をさらに有することを特徴とする付記7記載のソフトウェアの改竄検出方法。
【符号の説明】
【0054】
100 計算機システム
101 CPU
102 ROM
103 RAM
104 システムバス
114 改竄検出装置
201 処理実行部
202 メモリ
202a 静的な記憶領域
202b 動的な記憶領域
203 第1の改竄検出部
204 第2の改竄検出部
205 アドレス比較部
206 判定部
207 検出情報記憶部
208 静的領域情報記憶部
【特許請求の範囲】
【請求項1】
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶手段と、
前記記憶手段における静的記憶領域の範囲を示すアドレス情報を記憶する領域情報記憶手段と、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が前記領域情報記憶手段に記憶されたアドレス情報で示される静的記憶領域の範囲内を指定するものであるか否かを判定し、前記動的記憶領域に記憶された情報の改竄を検出する検出手段とを備えることを特徴とするソフトウェアの改竄検出装置。
【請求項2】
前記検出手段は、前記動的記憶領域から参照したアドレス情報と、前記領域情報記憶手段に記憶されたアドレス情報とを比較する比較手段と、
前記比較手段による比較結果に基づいて、前記動的記憶領域から参照したアドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定する判定手段とを備えることを特徴とする請求項1記載のソフトウェアの改竄検出装置。
【請求項3】
前記動的記憶領域に記憶されたアドレス情報は、前記プログラムコードに係る分岐処理における分岐先アドレス及び復帰処理における復帰アドレスの少なくとも一方であることを特徴とする請求項1又は2記載のソフトウェアの改竄検出装置。
【請求項4】
前記プログラムコードに係る分岐処理又は復帰処理を実行する前に、前記動的記憶領域に記憶されたアドレス情報を参照して、当該アドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定することを特徴とする請求項3記載のソフトウェアの改竄検出装置。
【請求項5】
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶部を備える情報処理システムでのソフトウェアの改竄検出方法であって、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が、前記静的記憶領域の範囲を示すアドレス情報により予め規定した静的記憶領域の範囲内を指定するものであるか否かを判定する判定工程と、
前記判定工程での判定結果に基づいて、前記動的記憶領域に記憶された情報の改竄を検出する検出工程とを有することを特徴とするソフトウェアの改竄検出方法。
【請求項1】
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶手段と、
前記記憶手段における静的記憶領域の範囲を示すアドレス情報を記憶する領域情報記憶手段と、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が前記領域情報記憶手段に記憶されたアドレス情報で示される静的記憶領域の範囲内を指定するものであるか否かを判定し、前記動的記憶領域に記憶された情報の改竄を検出する検出手段とを備えることを特徴とするソフトウェアの改竄検出装置。
【請求項2】
前記検出手段は、前記動的記憶領域から参照したアドレス情報と、前記領域情報記憶手段に記憶されたアドレス情報とを比較する比較手段と、
前記比較手段による比較結果に基づいて、前記動的記憶領域から参照したアドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定する判定手段とを備えることを特徴とする請求項1記載のソフトウェアの改竄検出装置。
【請求項3】
前記動的記憶領域に記憶されたアドレス情報は、前記プログラムコードに係る分岐処理における分岐先アドレス及び復帰処理における復帰アドレスの少なくとも一方であることを特徴とする請求項1又は2記載のソフトウェアの改竄検出装置。
【請求項4】
前記プログラムコードに係る分岐処理又は復帰処理を実行する前に、前記動的記憶領域に記憶されたアドレス情報を参照して、当該アドレス情報が前記静的記憶領域の範囲内を指定するものであるか否かを判定することを特徴とする請求項3記載のソフトウェアの改竄検出装置。
【請求項5】
少なくともプログラムコードを含む当該プログラムコードに係る処理を実行する前に確定した情報が記憶され当該情報の改竄が定期的に検査される静的記憶領域と、プログラムコードに係る処理の実行に伴って変更され得る情報が記憶される動的記憶領域とを有する記憶部を備える情報処理システムでのソフトウェアの改竄検出方法であって、
前記動的記憶領域に記憶されたアドレス情報を参照して、前記静的記憶領域に記憶された情報に基づく処理を実行する場合に、前記動的記憶領域から参照したアドレス情報が、前記静的記憶領域の範囲を示すアドレス情報により予め規定した静的記憶領域の範囲内を指定するものであるか否かを判定する判定工程と、
前記判定工程での判定結果に基づいて、前記動的記憶領域に記憶された情報の改竄を検出する検出工程とを有することを特徴とするソフトウェアの改竄検出方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−48851(P2011−48851A)
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願番号】特願2010−243816(P2010−243816)
【出願日】平成22年10月29日(2010.10.29)
【分割の表示】特願2004−290241(P2004−290241)の分割
【原出願日】平成16年10月1日(2004.10.1)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成15年度、通信・放送機構、「PCなどオープンアーキテクチャーデジタル放送受信機に対応する権利保護システムの研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願日】平成22年10月29日(2010.10.29)
【分割の表示】特願2004−290241(P2004−290241)の分割
【原出願日】平成16年10月1日(2004.10.1)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成15年度、通信・放送機構、「PCなどオープンアーキテクチャーデジタル放送受信機に対応する権利保護システムの研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]