データ処理装置
【課題】簡易な構成でイントラネット内のメールサーバを経由しない不正なアクセスを防止することができるデータ処理装置を提供する。
【解決手段】ドメイン名とIP(Internet Protocol)アドレスとを対応させて名前解決処理を行うDNSサーバ103Aにおいて、所定の問い合わせ内容に対して回答すべき所定のホストのアドレス情報を登録したポリシーファイル1034と、問い合わせの内容がポリシーファイル1034に登録されている所定の問い合わせ内容に一致するか否かを判定する判定部1032と、一致すると判定された場合に当該問い合わせに対して登録されている所定のホストのアドレス情報を回答する回答部1033とを備えている。
【解決手段】ドメイン名とIP(Internet Protocol)アドレスとを対応させて名前解決処理を行うDNSサーバ103Aにおいて、所定の問い合わせ内容に対して回答すべき所定のホストのアドレス情報を登録したポリシーファイル1034と、問い合わせの内容がポリシーファイル1034に登録されている所定の問い合わせ内容に一致するか否かを判定する判定部1032と、一致すると判定された場合に当該問い合わせに対して登録されている所定のホストのアドレス情報を回答する回答部1033とを備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、イントラネット等のネットワークにおいてワームメールの送信等の不正なアクセスの発生を防止する際に用いて好適なデータ処理装置に関する。
【背景技術】
【0002】
現在、社会に大きな被害を与えているものの1つにネットワーク経由で感染するワームがある。ワームの感染手段には様々なものがあるが、中でも大きな割合を占めているものとしてメール感染型ワームがある。メール感染型ワームは、ワームプログラムをメール(電子メール)に添付し、感染したマシンのディスクに保存されている複数のメールアドレスに対して一斉に送信することによって感染を広げる。
【0003】
このメール感染型ワームに対抗するために、メールサーバなどにインストールするタイプのゲートウェイ型アンチウイルスソフトが多く利用されている。ゲートウェイ型アンチウイルスソフトは、メールサーバが受信するメールの内容をチェックし、添付ファイルなどに不正な特徴が見つかった場合に、それがワームメール(ワームプログラムが添付されているメール)であると判断し、ワームの駆除や管理者などへの通知を行う。
【0004】
また、トラフィックを監視してワームを検知する装置をネットワーク上に設置することで、ワームプログラムの含まれたメールを検出し、遮断や駆除などの処理を行う方法も利用されている。
【0005】
また、不正なアクセスを防止するため、不正なアクセスを所定の端末(仮想おとりサーバ)に転送させるようにしたものがある。特許文献1には、正規サーバと仮想おとりサーバの2つを動作させ、不正アクセスを検知した場合に、そのアクセスを仮想おとりサーバに誘導する構成が記載されている。仮想おとりサーバで不正アクセスが成功したかのように振る舞うことで、正規サーバに対して不正アクセスを行わせないようにする。
【特許文献1】特開2002−111727号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
一方、メール感染型ワームがメールを送信する際に使用するメールサーバの選択の方法としては、主に以下の3パターンが存在する。
【0007】
(1)あるメール感染型ワームは、ある特定のメーラー(Microsoft Outlook(登録商標)など)の設定を検索し、送信先として設定されているメールサーバに対してワームメールを送信する(図5)。図5のシステムでは、ある企業のイントラネット内にメールサーバ102が設けられていて、イントラネット内の端末101のメーラーには送信先のメールサーバとしてローカルのメールサーバ102が設定されている。例えば、インターネット20に接続されている他のメールサーバ30を送信相手側とする場合、端末101から送信されたメールはローカルメールサーバ102を介して送信される。
【0008】
(2)他のメール感染型ワームは、DNS(Domain Name System)でワームメールの送信先メールアドレスのドメイン名部分に対するMX(Mail eXchanger)レコードを検索することで、送信先メールサーバを特定し、ローカルのメールサーバを経由せず、ワーム感染端末から相手側のメールサーバに直接送信する(図6)。図6のシステムでは、イントラネット内にDNSサーバ103が設けられている。イントラネット内の端末101に感染したワームは、送信先メールアドレス(“baba@example.com”)に対してワームメールを送信する際に、まず、DNSサーバ103にアクセスし、ドメイン名(“example.com”)に対するMXレコードを検索することで、送信先メールサーバ30のホスト名(“mail”)を含むドメイン名(“mail.example.com”)を特定する(ステップS101)。次に、ローカルのメールサーバ102を経由せずに、外部のメールサーバ30に対してワームメールを直接送信する(ステップS102)。
【0009】
(3)また、他のメール感染型ワームは、メールサーバのホスト名を推測して相手組織のメールサーバに直接ワームメールを送信する。この場合、メール感染型ワームは、送信先メールアドレスのドメイン名部分の前に、メールサーバのホスト名として付与することの多い、“smtp”や“mail”などのラベルを付加したものに対して、DNSで名前解決(A(Address)レコードの検索)を行い、名前解決に成功すれば、返答されたIP(Internet Protocol)アドレスに対してメールを送信する(図7)。図7に示す例では、イントラネット内の端末101に感染したワームは、送信先メールアドレス(“baba@example.com”)に対してワームメールを送信する際に、まず、DNSサーバ103にアクセスし、ドメイン名(“smtp.example.com”)に対するAレコードを検索する(ステップS201)。ドメイン名(“smtp.example.com”)に対するAレコードが取得できなかったとすると、次に、ドメイン名(“mail.example.com”)に対するAレコードを検索する(ステップS202)。ここで、ドメイン名(“mail.example.com”)に対するAレコードが取得できたとすると、送信先メールサーバ30(“mail.example.com”)に対して、ローカルのメールサーバ102を経由せずに、ワームメールを直接送信する(ステップS203)。
【0010】
上記(1)については、ワームメールが、例えば、イントラネット内のローカルメールサーバ102に対して送信されることになるため、そのメールサーバ上でゲートウェイ型アンチウイルスソフトなどを常駐させておくことで、外部に送信されるワームを駆除することができる。しかし、(2)および(3)については、ローカルのメールサーバ102を経由せずに、ワーム感染端末101から相手組織のメールサーバ30に直接送信されるため、メールサーバ102上のゲートウェイ型アンチウイルスソフトでは駆除することができないという問題がある。
【0011】
また、トラフィックを監視してワームを検知する装置を、インターネットとの接続点付近に設置することで、ワームメールの送信を遮断することも可能であるが、正常なアクセスも含めてすべてのトラフィックを検査しなければならないため、処理速度の面で問題となる。そして、インターネットとの接続点にファイアウォールが設置されている場合には、ファイアウォールでメールサーバ以外の端末からのメール送信を遮断するように設定することも可能であるが、ファイアウォール自身はワーム検知機能を備えているわけではないため、それがワーム感染によるものなのかどうかは判断できず、管理者はその後の対応を迅速に行うことが難しいという問題がある。
【0012】
本発明は、上記のような事情を考慮してなされたものであり、簡易な構成でイントラネット等の所定のネットワーク内のメールサーバを経由しない不正なアクセスを防止することができるデータ処理装置を提供することを目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するため、請求項1記載の発明は、ドメイン名とIP(Internet Protocol)アドレスとを対応させて名前解決処理を行う装置であって、所定の問い合わせ内容に対して回答すべき所定のホストの情報を記憶した記憶手段と、各問い合わせが記憶手段に記憶されている所定の問い合わせ内容に一致するか否かを判定する判定手段と、判定手段によって一致すると判定された場合に当該問い合わせに対して記憶手段に記憶されている所定のホストの情報を回答する回答手段とを備えることを特徴とする。
【0014】
請求項2記載の発明は、前記当該問い合わせが、メールサーバのホスト名についての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストの情報を回答することを特徴とする。
【0015】
請求項3記載の発明は、前記当該問い合わせが、MX(Mail Exchange)レコードについての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストのドメイン名を回答することを特徴とする。
【0016】
請求項4記載の発明は、前記当該問い合わせが、任意のドメイン名のIPアドレスについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストの情報を回答することを特徴とする。
【0017】
請求項5記載の発明は、前記当該問い合わせが、任意のホスト名のA(Address)レコード又はAAAAレコードについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストのIPアドレスを回答することを特徴とする。
【発明の効果】
【0018】
上記構成によれば、例えばワームプログラム自身がSMTP(Simple Mail Transfer Protocol)エンジンを持ち、相手のメールサーバに直接ワームメールを送信するようなタイプのワームであっても、記憶手段に、ワームによるアクセスの性質に基づく問い合わせ内容と、不正アクセス対策を実施したホスト(あるいはサーバ、コンピュータ、ノード等)のアドレス等の情報を記憶させておき、その内容に一致するアクセスに対してはそのホストの情報を回答することで、不正アクセス対策を実施したサーバ宛にアクセスさせることが可能となり、例えば外部へのワームメールの流出を防ぐと共に、例えばその送信元IPアドレスから、ワーム感染端末をいち早く隔離することが可能となる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して本発明の実施の形態について説明する。図1は本発明の実施の形態を説明するためのブロック図である。図1においてイントラネット等のLAN(Local Area Network)10には、端末101、メールサーバ102およびDNSサーバ103A(情報処理装置)が設けられている。LAN10は、例えば図示していないファイアウォールを介してインターネット20に接続されている。そしてインターネット20には、メールサーバ30とDNSサーバ40とが接続されている。この場合、メールサーバ102上ではゲートウェイ型アンチウイルスソフトが実行されていて、メールサーバが受信するメールの内容をチェックし、添付ファイルなどに不正な特徴が見つかった場合に、それがワームメールなどであると判断し、ワームの駆除や管理者などへの通知を行う。DNSサーバ40は、DNSサーバ103Aの上位のDNSサーバである。
【0020】
DNSサーバ103Aは、ドメイン名とIPアドレスとを対応させることで名前解決処理を行うDNS処理部1031と、名前解決処理の内容に係る所定の定義情報を事前に内部のハードディスクなどの記憶領域に登録したポリシーファイル1034とを備えている。本実施の形態において、DNS処理部1031には、判定部1032と回答部1033が設けられており、これらの機能ブロックはCPU(Central Processing Unit)によって構成されている。判定部1032は、DNSサーバ103Aが受信した各DNS問い合わせが、ポリシーファイル1034に登録されている所定の問い合わせ内容に一致するか否かを記憶領域からポリシーファイル1034を読み出して判定する。回答部1033は、判定部1032によって問い合わせ内容が一致したと判定された場合、当該問い合わせ内容に対してポリシーファイル1034に登録されている所定のホストの情報を、本来の回答内容に代えて、問い合わせ元に対して回答するための処理を行う。
【0021】
図6および図7を参照して説明したように、上記(2)および(3)の方法で送信先メールサーバを検索するメール感染型ワームは、送信先メールサーバを検索するために、必ずDNSを使用するという性質がある。本実施の形態では、この性質を利用して対策を行うため、例えば企業ネットワーク10で使用されているDNSサーバ103A上で、ワームが送信先メールサーバ30を検索するためのものと思われる名前解決が発生した場合に、本来のIPアドレスではなく、ゲートウェイ型アンチウイルスソフトがインストールされているような、ローカルのワーム対策機能付メールサーバ(メールサーバ102)のIPアドレスを返答する。これにより、ワームメールの可能性があるメールをローカルのワーム対策機能付メールサーバ102に送信させる。そして、ワーム対策機能付メールサーバ102は、それがワームメールであると判断すれば駆除し、ワームメールでなければ、そのメールを通常のメールサーバと同様に中継することで、ワームメールが外部に流出しないようにすることが可能となる。この際、DNSサーバ103Aは、他のホスト(コンピュータ、ノード、サーバ)からのDNS問い合わせの内容を監視し、ポリシーファイル1034(定義ファイル)にあらかじめ登録されたポリシー(定義内容)に従って誘導処理を行う。
【0022】
なお、ポリシーファイル1034には、誘導すべきDNS問い合わせの内容(判定の基準となる条件)と、内容が一致した場合の誘導先ホスト名/IPアドレスが事前に登録されている。図2はその一例を示すものである。この場合、ポリシーファイル1034には、所定の問い合わせ内容を表す各要素(「監視対象レコード」、「DNS回答の条件」および「監視除外IPアドレス」)と、その内容が一致した場合に回答すべき所定のホストの情報(「誘導先ホスト名又はIPアドレス」)とが記述されている。
【0023】
図2に示す例は、あらかじめ登録されたメールサーバ(192.168.0.10)以外からのMX(Mail Exchange)レコード問い合わせが行われた場合と、存在しないAレコード又はAAAAレコードの問い合わせが行われた場合に、当該問い合わせに基づくアクセスを、不正アクセス対策サーバ(ホスト名:secure.local.dom、IPv4(Internet Protocol version 4)アドレス:192.168.0.20、IPv6(Internet Protocol version 6)アドレス:3cfe:28ac:3efa::20)(図1ではメールサーバ102)に誘導したいときの設定を記述したものである。
【0024】
ここで、DNSサーバ103Aにおいてワームメールの可能性があるメールをワーム対策機能付メールサーバ102に誘導する際の処理の概要について説明する。
【0025】
[MXレコードの問い合わせが発生した場合]: MXレコードは、メールの送信先となるメールサーバを検索するためのレコードであり、メールサーバ以外のホストがこのMXレコードを問い合わせることはない。このため、あらかじめ設定したメールサーバ(例えばメールサーバ102)以外のホストからMXレコードの問い合わせがあった場合には、ワーム対策機能付メールサーバ102のアドレスを返答する。
【0026】
[A(Address)レコードまたはAAAA(クワッドA)レコードの問い合わせが発生した場合]: AレコードおよびAAAAレコードは、ホスト名からIPアドレス(IPv4アドレスはAレコード、IPv6アドレスはAAAAレコード)を得るためのレコードであり、多くのホストが利用するレコードである。このため、AレコードおよびAAAAレコードの問い合わせ自体は怪しいものではないが、存在しないホスト名に対する問い合わせであった場合には、それは、ワームが送信先メールサーバのホスト名を推測してDNSサーバ103Aに問い合わせた可能性がある。このため、DNSサーバ103AがAレコードまたはAAAAレコードの問い合わせを受信し、その結果が「Non-Existent Domain」のようなエラーであった場合には、クライアントにはエラーを返却せずに、代わりにワーム対策機能付メールサーバ102のIPアドレスを返答することで、その後のワーム感染端末からのアクセスをワーム対策機能付メールサーバ102に振り向けることが可能となる。
【0027】
なお、図2のポリシーファイル1034において、「監視対象レコード」は、監視対象とすべきDNSサーバ103Aに対する各問い合わせが対象とするレコード(DNSの設定ファイル内の記述)の種別を表している。監視対象レコードには、「MX」、「A」、「AAAA」等のレコードの種別が記述される。
【0028】
「DNS回答条件」は、各問い合わせに対する名前解決処理を行った場合の処理結果の内容を表している。この場合、「なし」は、「DNS回答条件」を不定とする(特に定めない)場合である。また、「エラー発生時のみ」と設定した場合は、何らかのエラーが発生したときにのみ、この項目についての判定条件が満足されたことになる。
【0029】
「監視対象除外IPアドレス」は、監視の対象外とする問い合わせ元のIPアドレスを表している。ここにIPアドレスが記述されている問い合わせ元コンピュータ(サーバ、ホスト、ノード)からの問い合わせについては、誘導対象から外されることになる。本実施の形態では、LAN10内の各端末(端末101等)からの正規のメール送信が、メールサーバ102を介して行われるように設定されているものとすると、メールサーバ102からのMXレコードの問い合わせ以外を不正なアクセスとすることができる。この場合、「監視対象除外IPアドレス」には正当なMXレコードの問い合わせ元となるメールサーバ102のアドレスを記述することになる。
【0030】
「誘導先ホスト名/IPアドレス」は、ワーム対策機能付きサーバ等、不正アクセスに対する対策がなされた誘導先ホスト(コンピュータ、サーバ、ノード)のアドレスを、問い合わせ内容(問い合わせ条件)毎に表すものである。図2の例では、MXレコードを監視対象レコードとする場合には誘導先ホストのドメイン名(メールサーバ102のドメイン名)が、Aレコード又はAAAAレコードを監視対象レコードとする場合には誘導先ホストのIPv4アドレス又はIPv6アドレス(メールサーバ102のIPアドレス)が登録されている。
【0031】
次に図3および図4を参照して、図1および図2に示す構成による具体的な処理の流れについて説明する。本実施の形態による仕組みは、メール感染型ワームの場合に非常に有効であるが、最初にDNSを利用して情報収集を行う不正アクセス全般に対しても有効である。このため、本発明では、特にメール感染型ワームだけを対象とせず、不正アクセス全般を対象とする。なお、本願において不正アクセスとは、正当でないアクセス全般を含むものとする。すなわち、不正アクセス行為の禁止等に関する法律で定められているような識別符号を利用したアクセス制御機能の制限を解除するようなものに限定されない。
【0032】
[MXレコード問い合わせが行われた場合(図3)]: (a)DNSサーバ103Aは、MXレコードの問い合わせ元IPアドレスがポリシーファイル1034で登録されている許可されたIPアドレス(メールサーバ102のIPアドレス)である場合には、通常通り上位DNSサーバ40に対して名前解決を行い、結果を返却する。一方、端末(クライアント)101上で起動しているワームが外部メールサーバ30(ドメイン名:example.com)のMXレコードを検索した場合のように、MXレコードの問い合わせ元IPアドレス(すなわちクライアント101のIPアドレス)がポリシーファイル1034に登録されている許可されたIPアドレスではなかった場合には、上位DNSサーバ40に対して名前解決を行わず、誘導先となる不正アクセス対策サーバ102のホスト名(secure.local.dom)を返却する(ステップS11〜S12)。
【0033】
(b)不正アクセス対策サーバ102のホスト名が返却されたクライアント101は、不正アクセス対策サーバ102のホスト名(secure.local.dom)に対するAレコードを問い合わせ、不正アクセス対策サーバ102のIPアドレス(192.168.0.20)を取得する(ステップS11〜S12)。
【0034】
(c)問い合わせ元のクライアント101は、SMTPによって、取得したIPアドレスを用いて不正アクセス対策サーバ102に対して、外部メールサーバ30向けのメール(アドレス:baba@example.com)を送信する(ステップS13)。ここで、メールサーバ102においてワームメールの検知が可能となる。
【0035】
[AレコードまたはAAAAレコードの問い合わせが行われた場合(図4)]:(a)端末(クライアント)101上で起動しているワームが外部メールサーバ30のホスト名を「smtp.example.com」と推定してワームメールを送信しようとした場合に、「smtp.example.com」が誤ったドメイン名であったとき、クライアント101から「smtp.example.com」に対する問い合わせが発生したとすると(ステップS21)、DNSサーバ103Aでは、通常通り上位DNSサーバ40に対して名前解決を行う(ステップS22)。
【0036】
(b)DNSサーバ103Aは、名前解決の結果、IPアドレスが得られれば、通常通りその結果を問い合わせ元に返却する。名前解決の結果、「Non-Existent Domain」エラーとなった場合には(ステップS23)、問い合わせ元にはエラーを返却せずに、誘導先となる不正アクセス対策サーバ102のIPアドレス(192.168.0.20)を返却する(ステップS24)。ただし、この偽造したAレコードまたはAAAAレコードのTTL(Time To Live)値は、ネガティブキャッシュ値と同等の短い値とする。
【0037】
(c)問い合わせ元のクライアント101は、SMTPによって、取得したIPアドレスを用いて不正アクセス対策サーバ102に対してアクセスを行う(ステップS25)。ここで、メールサーバ102においてワームメールの検知が可能となる。
【0038】
また、不正アクセス対策サーバ102での処理は特に規定しないが、メール感染型ワームへの対策を行う場合には、以下のような処理を行うことができる。
【0039】
(ア)SMTPを使用してアクセスが行われた場合には、アクセス元IPアドレスを記録する。
【0040】
(イ)受信したメールの内容について、既存のゲートウェイ型アンチウイルスソフトなどの機能を使用してチェックする。
【0041】
(ウ)もし、それがワームメールでなければ、そのメールをあらかじめ設定された正規のメールサーバに転送する。もし、それがワームメールであれば、メールを破棄し、管理者にそのアクセス元IPアドレスを通知する。管理者に通知したIPアドレスは、ワーム感染端末を特定し、ネットワークから隔離するためなどに使用される。
【0042】
なお、不正アクセス対策サーバに対してSMTP以外のプロトコルを使用してアクセスしてきた場合には、そのアクセスを拒否するか、既存のハニーポットツールを使用するなどして、その後のアクセス情報を収集する。
【0043】
以上のように、メール感染型ワームは、ゲートウェイ型アンチウイルスがインストールされたメールサーバを通過しないと検知および駆除が行えないため、従来の手法ではメールサーバを通過しないワームメールの検知ができないという問題があった。しかし、本実施の形態によれば、ワームプログラム自身がSMTPエンジンを持ち、相手のメールサーバに直接ワームメールを送信するようなタイプのワームであっても、ローカルの不正アクセス対策サーバ宛にメールを送信させてチェックを行うことが可能となり、外部へのワームメールの流出を防ぐと共に、その送信元IPアドレスから、ワーム感染端末をいち早く隔離することが可能となる。
【0044】
なお、本発明の実施の形態は、上記に限定されず、各構成を分散して配置したり、各構成を統合して配置したりすることが可能である。また、本発明は、装置に限定されず、下記のような特徴を有する方法またはプログラムの発明としてとらえることも可能である。
【0045】
すなわち、本発明は、ドメイン名とIPアドレスとを対応させて名前解決処理を行う方法であって、所定の問い合わせ内容に対して回答すべき所定のホストの情報を記憶した記憶手段を用い、各問い合わせが記憶手段に記憶されている所定の問い合わせ内容に一致するか否かを判定する判定過程と、判定過程で一致すると判定された場合に当該問い合わせに対して記憶手段に記憶されている所定のホストの情報を回答する回答過程とを有することを特徴とするデータ処理方法としてとらえることができる。また、上記各過程をコンピュータで実行するための記述を含むことを特徴とするデータ処理プログラムとしてとらえることもできる。
【図面の簡単な説明】
【0046】
【図1】本発明の一実施の形態を説明するためのシステム図。
【図2】図1のポリシーファイル1034の構成例を示す図。
【図3】図1の構成における処理の流れを説明するためのシステム図(メールサーバ以外のホストからMXレコードの問い合わせがあった場合)。
【図4】図1の構成における他の処理の流れを説明するためのシステム図(存在しないAレコードへの問い合わせがあった場合)。
【図5】従来の構成におけるワームメールの送信過程の一例を示す図(特定のメーラーで送信先として設定されているメールサーバに対してワームメールを送信する場合)。
【図6】従来の構成におけるワームメールの送信過程の一例を示す図(MXレコードを検索して相手組織のメールサーバに直接ワームメールを送信する場合)。
【図7】従来の構成におけるワームメールの送信過程の一例を示す図(メールサーバのホスト名を推測して相手組織のメールサーバに直接ワームメールを送信する場合)。
【符号の説明】
【0047】
10 LAN(イントラネット)
20 インターネット
30 外部メールサーバ
40 上位DNSサーバ
101 端末
102 メールサーバ
103A DNSサーバ
1031 DNS処理部
1032 ポリシーファイル
1033 回答部
1034 判定部
【技術分野】
【0001】
本発明は、イントラネット等のネットワークにおいてワームメールの送信等の不正なアクセスの発生を防止する際に用いて好適なデータ処理装置に関する。
【背景技術】
【0002】
現在、社会に大きな被害を与えているものの1つにネットワーク経由で感染するワームがある。ワームの感染手段には様々なものがあるが、中でも大きな割合を占めているものとしてメール感染型ワームがある。メール感染型ワームは、ワームプログラムをメール(電子メール)に添付し、感染したマシンのディスクに保存されている複数のメールアドレスに対して一斉に送信することによって感染を広げる。
【0003】
このメール感染型ワームに対抗するために、メールサーバなどにインストールするタイプのゲートウェイ型アンチウイルスソフトが多く利用されている。ゲートウェイ型アンチウイルスソフトは、メールサーバが受信するメールの内容をチェックし、添付ファイルなどに不正な特徴が見つかった場合に、それがワームメール(ワームプログラムが添付されているメール)であると判断し、ワームの駆除や管理者などへの通知を行う。
【0004】
また、トラフィックを監視してワームを検知する装置をネットワーク上に設置することで、ワームプログラムの含まれたメールを検出し、遮断や駆除などの処理を行う方法も利用されている。
【0005】
また、不正なアクセスを防止するため、不正なアクセスを所定の端末(仮想おとりサーバ)に転送させるようにしたものがある。特許文献1には、正規サーバと仮想おとりサーバの2つを動作させ、不正アクセスを検知した場合に、そのアクセスを仮想おとりサーバに誘導する構成が記載されている。仮想おとりサーバで不正アクセスが成功したかのように振る舞うことで、正規サーバに対して不正アクセスを行わせないようにする。
【特許文献1】特開2002−111727号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
一方、メール感染型ワームがメールを送信する際に使用するメールサーバの選択の方法としては、主に以下の3パターンが存在する。
【0007】
(1)あるメール感染型ワームは、ある特定のメーラー(Microsoft Outlook(登録商標)など)の設定を検索し、送信先として設定されているメールサーバに対してワームメールを送信する(図5)。図5のシステムでは、ある企業のイントラネット内にメールサーバ102が設けられていて、イントラネット内の端末101のメーラーには送信先のメールサーバとしてローカルのメールサーバ102が設定されている。例えば、インターネット20に接続されている他のメールサーバ30を送信相手側とする場合、端末101から送信されたメールはローカルメールサーバ102を介して送信される。
【0008】
(2)他のメール感染型ワームは、DNS(Domain Name System)でワームメールの送信先メールアドレスのドメイン名部分に対するMX(Mail eXchanger)レコードを検索することで、送信先メールサーバを特定し、ローカルのメールサーバを経由せず、ワーム感染端末から相手側のメールサーバに直接送信する(図6)。図6のシステムでは、イントラネット内にDNSサーバ103が設けられている。イントラネット内の端末101に感染したワームは、送信先メールアドレス(“baba@example.com”)に対してワームメールを送信する際に、まず、DNSサーバ103にアクセスし、ドメイン名(“example.com”)に対するMXレコードを検索することで、送信先メールサーバ30のホスト名(“mail”)を含むドメイン名(“mail.example.com”)を特定する(ステップS101)。次に、ローカルのメールサーバ102を経由せずに、外部のメールサーバ30に対してワームメールを直接送信する(ステップS102)。
【0009】
(3)また、他のメール感染型ワームは、メールサーバのホスト名を推測して相手組織のメールサーバに直接ワームメールを送信する。この場合、メール感染型ワームは、送信先メールアドレスのドメイン名部分の前に、メールサーバのホスト名として付与することの多い、“smtp”や“mail”などのラベルを付加したものに対して、DNSで名前解決(A(Address)レコードの検索)を行い、名前解決に成功すれば、返答されたIP(Internet Protocol)アドレスに対してメールを送信する(図7)。図7に示す例では、イントラネット内の端末101に感染したワームは、送信先メールアドレス(“baba@example.com”)に対してワームメールを送信する際に、まず、DNSサーバ103にアクセスし、ドメイン名(“smtp.example.com”)に対するAレコードを検索する(ステップS201)。ドメイン名(“smtp.example.com”)に対するAレコードが取得できなかったとすると、次に、ドメイン名(“mail.example.com”)に対するAレコードを検索する(ステップS202)。ここで、ドメイン名(“mail.example.com”)に対するAレコードが取得できたとすると、送信先メールサーバ30(“mail.example.com”)に対して、ローカルのメールサーバ102を経由せずに、ワームメールを直接送信する(ステップS203)。
【0010】
上記(1)については、ワームメールが、例えば、イントラネット内のローカルメールサーバ102に対して送信されることになるため、そのメールサーバ上でゲートウェイ型アンチウイルスソフトなどを常駐させておくことで、外部に送信されるワームを駆除することができる。しかし、(2)および(3)については、ローカルのメールサーバ102を経由せずに、ワーム感染端末101から相手組織のメールサーバ30に直接送信されるため、メールサーバ102上のゲートウェイ型アンチウイルスソフトでは駆除することができないという問題がある。
【0011】
また、トラフィックを監視してワームを検知する装置を、インターネットとの接続点付近に設置することで、ワームメールの送信を遮断することも可能であるが、正常なアクセスも含めてすべてのトラフィックを検査しなければならないため、処理速度の面で問題となる。そして、インターネットとの接続点にファイアウォールが設置されている場合には、ファイアウォールでメールサーバ以外の端末からのメール送信を遮断するように設定することも可能であるが、ファイアウォール自身はワーム検知機能を備えているわけではないため、それがワーム感染によるものなのかどうかは判断できず、管理者はその後の対応を迅速に行うことが難しいという問題がある。
【0012】
本発明は、上記のような事情を考慮してなされたものであり、簡易な構成でイントラネット等の所定のネットワーク内のメールサーバを経由しない不正なアクセスを防止することができるデータ処理装置を提供することを目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するため、請求項1記載の発明は、ドメイン名とIP(Internet Protocol)アドレスとを対応させて名前解決処理を行う装置であって、所定の問い合わせ内容に対して回答すべき所定のホストの情報を記憶した記憶手段と、各問い合わせが記憶手段に記憶されている所定の問い合わせ内容に一致するか否かを判定する判定手段と、判定手段によって一致すると判定された場合に当該問い合わせに対して記憶手段に記憶されている所定のホストの情報を回答する回答手段とを備えることを特徴とする。
【0014】
請求項2記載の発明は、前記当該問い合わせが、メールサーバのホスト名についての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストの情報を回答することを特徴とする。
【0015】
請求項3記載の発明は、前記当該問い合わせが、MX(Mail Exchange)レコードについての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストのドメイン名を回答することを特徴とする。
【0016】
請求項4記載の発明は、前記当該問い合わせが、任意のドメイン名のIPアドレスについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストの情報を回答することを特徴とする。
【0017】
請求項5記載の発明は、前記当該問い合わせが、任意のホスト名のA(Address)レコード又はAAAAレコードについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストのIPアドレスを回答することを特徴とする。
【発明の効果】
【0018】
上記構成によれば、例えばワームプログラム自身がSMTP(Simple Mail Transfer Protocol)エンジンを持ち、相手のメールサーバに直接ワームメールを送信するようなタイプのワームであっても、記憶手段に、ワームによるアクセスの性質に基づく問い合わせ内容と、不正アクセス対策を実施したホスト(あるいはサーバ、コンピュータ、ノード等)のアドレス等の情報を記憶させておき、その内容に一致するアクセスに対してはそのホストの情報を回答することで、不正アクセス対策を実施したサーバ宛にアクセスさせることが可能となり、例えば外部へのワームメールの流出を防ぐと共に、例えばその送信元IPアドレスから、ワーム感染端末をいち早く隔離することが可能となる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して本発明の実施の形態について説明する。図1は本発明の実施の形態を説明するためのブロック図である。図1においてイントラネット等のLAN(Local Area Network)10には、端末101、メールサーバ102およびDNSサーバ103A(情報処理装置)が設けられている。LAN10は、例えば図示していないファイアウォールを介してインターネット20に接続されている。そしてインターネット20には、メールサーバ30とDNSサーバ40とが接続されている。この場合、メールサーバ102上ではゲートウェイ型アンチウイルスソフトが実行されていて、メールサーバが受信するメールの内容をチェックし、添付ファイルなどに不正な特徴が見つかった場合に、それがワームメールなどであると判断し、ワームの駆除や管理者などへの通知を行う。DNSサーバ40は、DNSサーバ103Aの上位のDNSサーバである。
【0020】
DNSサーバ103Aは、ドメイン名とIPアドレスとを対応させることで名前解決処理を行うDNS処理部1031と、名前解決処理の内容に係る所定の定義情報を事前に内部のハードディスクなどの記憶領域に登録したポリシーファイル1034とを備えている。本実施の形態において、DNS処理部1031には、判定部1032と回答部1033が設けられており、これらの機能ブロックはCPU(Central Processing Unit)によって構成されている。判定部1032は、DNSサーバ103Aが受信した各DNS問い合わせが、ポリシーファイル1034に登録されている所定の問い合わせ内容に一致するか否かを記憶領域からポリシーファイル1034を読み出して判定する。回答部1033は、判定部1032によって問い合わせ内容が一致したと判定された場合、当該問い合わせ内容に対してポリシーファイル1034に登録されている所定のホストの情報を、本来の回答内容に代えて、問い合わせ元に対して回答するための処理を行う。
【0021】
図6および図7を参照して説明したように、上記(2)および(3)の方法で送信先メールサーバを検索するメール感染型ワームは、送信先メールサーバを検索するために、必ずDNSを使用するという性質がある。本実施の形態では、この性質を利用して対策を行うため、例えば企業ネットワーク10で使用されているDNSサーバ103A上で、ワームが送信先メールサーバ30を検索するためのものと思われる名前解決が発生した場合に、本来のIPアドレスではなく、ゲートウェイ型アンチウイルスソフトがインストールされているような、ローカルのワーム対策機能付メールサーバ(メールサーバ102)のIPアドレスを返答する。これにより、ワームメールの可能性があるメールをローカルのワーム対策機能付メールサーバ102に送信させる。そして、ワーム対策機能付メールサーバ102は、それがワームメールであると判断すれば駆除し、ワームメールでなければ、そのメールを通常のメールサーバと同様に中継することで、ワームメールが外部に流出しないようにすることが可能となる。この際、DNSサーバ103Aは、他のホスト(コンピュータ、ノード、サーバ)からのDNS問い合わせの内容を監視し、ポリシーファイル1034(定義ファイル)にあらかじめ登録されたポリシー(定義内容)に従って誘導処理を行う。
【0022】
なお、ポリシーファイル1034には、誘導すべきDNS問い合わせの内容(判定の基準となる条件)と、内容が一致した場合の誘導先ホスト名/IPアドレスが事前に登録されている。図2はその一例を示すものである。この場合、ポリシーファイル1034には、所定の問い合わせ内容を表す各要素(「監視対象レコード」、「DNS回答の条件」および「監視除外IPアドレス」)と、その内容が一致した場合に回答すべき所定のホストの情報(「誘導先ホスト名又はIPアドレス」)とが記述されている。
【0023】
図2に示す例は、あらかじめ登録されたメールサーバ(192.168.0.10)以外からのMX(Mail Exchange)レコード問い合わせが行われた場合と、存在しないAレコード又はAAAAレコードの問い合わせが行われた場合に、当該問い合わせに基づくアクセスを、不正アクセス対策サーバ(ホスト名:secure.local.dom、IPv4(Internet Protocol version 4)アドレス:192.168.0.20、IPv6(Internet Protocol version 6)アドレス:3cfe:28ac:3efa::20)(図1ではメールサーバ102)に誘導したいときの設定を記述したものである。
【0024】
ここで、DNSサーバ103Aにおいてワームメールの可能性があるメールをワーム対策機能付メールサーバ102に誘導する際の処理の概要について説明する。
【0025】
[MXレコードの問い合わせが発生した場合]: MXレコードは、メールの送信先となるメールサーバを検索するためのレコードであり、メールサーバ以外のホストがこのMXレコードを問い合わせることはない。このため、あらかじめ設定したメールサーバ(例えばメールサーバ102)以外のホストからMXレコードの問い合わせがあった場合には、ワーム対策機能付メールサーバ102のアドレスを返答する。
【0026】
[A(Address)レコードまたはAAAA(クワッドA)レコードの問い合わせが発生した場合]: AレコードおよびAAAAレコードは、ホスト名からIPアドレス(IPv4アドレスはAレコード、IPv6アドレスはAAAAレコード)を得るためのレコードであり、多くのホストが利用するレコードである。このため、AレコードおよびAAAAレコードの問い合わせ自体は怪しいものではないが、存在しないホスト名に対する問い合わせであった場合には、それは、ワームが送信先メールサーバのホスト名を推測してDNSサーバ103Aに問い合わせた可能性がある。このため、DNSサーバ103AがAレコードまたはAAAAレコードの問い合わせを受信し、その結果が「Non-Existent Domain」のようなエラーであった場合には、クライアントにはエラーを返却せずに、代わりにワーム対策機能付メールサーバ102のIPアドレスを返答することで、その後のワーム感染端末からのアクセスをワーム対策機能付メールサーバ102に振り向けることが可能となる。
【0027】
なお、図2のポリシーファイル1034において、「監視対象レコード」は、監視対象とすべきDNSサーバ103Aに対する各問い合わせが対象とするレコード(DNSの設定ファイル内の記述)の種別を表している。監視対象レコードには、「MX」、「A」、「AAAA」等のレコードの種別が記述される。
【0028】
「DNS回答条件」は、各問い合わせに対する名前解決処理を行った場合の処理結果の内容を表している。この場合、「なし」は、「DNS回答条件」を不定とする(特に定めない)場合である。また、「エラー発生時のみ」と設定した場合は、何らかのエラーが発生したときにのみ、この項目についての判定条件が満足されたことになる。
【0029】
「監視対象除外IPアドレス」は、監視の対象外とする問い合わせ元のIPアドレスを表している。ここにIPアドレスが記述されている問い合わせ元コンピュータ(サーバ、ホスト、ノード)からの問い合わせについては、誘導対象から外されることになる。本実施の形態では、LAN10内の各端末(端末101等)からの正規のメール送信が、メールサーバ102を介して行われるように設定されているものとすると、メールサーバ102からのMXレコードの問い合わせ以外を不正なアクセスとすることができる。この場合、「監視対象除外IPアドレス」には正当なMXレコードの問い合わせ元となるメールサーバ102のアドレスを記述することになる。
【0030】
「誘導先ホスト名/IPアドレス」は、ワーム対策機能付きサーバ等、不正アクセスに対する対策がなされた誘導先ホスト(コンピュータ、サーバ、ノード)のアドレスを、問い合わせ内容(問い合わせ条件)毎に表すものである。図2の例では、MXレコードを監視対象レコードとする場合には誘導先ホストのドメイン名(メールサーバ102のドメイン名)が、Aレコード又はAAAAレコードを監視対象レコードとする場合には誘導先ホストのIPv4アドレス又はIPv6アドレス(メールサーバ102のIPアドレス)が登録されている。
【0031】
次に図3および図4を参照して、図1および図2に示す構成による具体的な処理の流れについて説明する。本実施の形態による仕組みは、メール感染型ワームの場合に非常に有効であるが、最初にDNSを利用して情報収集を行う不正アクセス全般に対しても有効である。このため、本発明では、特にメール感染型ワームだけを対象とせず、不正アクセス全般を対象とする。なお、本願において不正アクセスとは、正当でないアクセス全般を含むものとする。すなわち、不正アクセス行為の禁止等に関する法律で定められているような識別符号を利用したアクセス制御機能の制限を解除するようなものに限定されない。
【0032】
[MXレコード問い合わせが行われた場合(図3)]: (a)DNSサーバ103Aは、MXレコードの問い合わせ元IPアドレスがポリシーファイル1034で登録されている許可されたIPアドレス(メールサーバ102のIPアドレス)である場合には、通常通り上位DNSサーバ40に対して名前解決を行い、結果を返却する。一方、端末(クライアント)101上で起動しているワームが外部メールサーバ30(ドメイン名:example.com)のMXレコードを検索した場合のように、MXレコードの問い合わせ元IPアドレス(すなわちクライアント101のIPアドレス)がポリシーファイル1034に登録されている許可されたIPアドレスではなかった場合には、上位DNSサーバ40に対して名前解決を行わず、誘導先となる不正アクセス対策サーバ102のホスト名(secure.local.dom)を返却する(ステップS11〜S12)。
【0033】
(b)不正アクセス対策サーバ102のホスト名が返却されたクライアント101は、不正アクセス対策サーバ102のホスト名(secure.local.dom)に対するAレコードを問い合わせ、不正アクセス対策サーバ102のIPアドレス(192.168.0.20)を取得する(ステップS11〜S12)。
【0034】
(c)問い合わせ元のクライアント101は、SMTPによって、取得したIPアドレスを用いて不正アクセス対策サーバ102に対して、外部メールサーバ30向けのメール(アドレス:baba@example.com)を送信する(ステップS13)。ここで、メールサーバ102においてワームメールの検知が可能となる。
【0035】
[AレコードまたはAAAAレコードの問い合わせが行われた場合(図4)]:(a)端末(クライアント)101上で起動しているワームが外部メールサーバ30のホスト名を「smtp.example.com」と推定してワームメールを送信しようとした場合に、「smtp.example.com」が誤ったドメイン名であったとき、クライアント101から「smtp.example.com」に対する問い合わせが発生したとすると(ステップS21)、DNSサーバ103Aでは、通常通り上位DNSサーバ40に対して名前解決を行う(ステップS22)。
【0036】
(b)DNSサーバ103Aは、名前解決の結果、IPアドレスが得られれば、通常通りその結果を問い合わせ元に返却する。名前解決の結果、「Non-Existent Domain」エラーとなった場合には(ステップS23)、問い合わせ元にはエラーを返却せずに、誘導先となる不正アクセス対策サーバ102のIPアドレス(192.168.0.20)を返却する(ステップS24)。ただし、この偽造したAレコードまたはAAAAレコードのTTL(Time To Live)値は、ネガティブキャッシュ値と同等の短い値とする。
【0037】
(c)問い合わせ元のクライアント101は、SMTPによって、取得したIPアドレスを用いて不正アクセス対策サーバ102に対してアクセスを行う(ステップS25)。ここで、メールサーバ102においてワームメールの検知が可能となる。
【0038】
また、不正アクセス対策サーバ102での処理は特に規定しないが、メール感染型ワームへの対策を行う場合には、以下のような処理を行うことができる。
【0039】
(ア)SMTPを使用してアクセスが行われた場合には、アクセス元IPアドレスを記録する。
【0040】
(イ)受信したメールの内容について、既存のゲートウェイ型アンチウイルスソフトなどの機能を使用してチェックする。
【0041】
(ウ)もし、それがワームメールでなければ、そのメールをあらかじめ設定された正規のメールサーバに転送する。もし、それがワームメールであれば、メールを破棄し、管理者にそのアクセス元IPアドレスを通知する。管理者に通知したIPアドレスは、ワーム感染端末を特定し、ネットワークから隔離するためなどに使用される。
【0042】
なお、不正アクセス対策サーバに対してSMTP以外のプロトコルを使用してアクセスしてきた場合には、そのアクセスを拒否するか、既存のハニーポットツールを使用するなどして、その後のアクセス情報を収集する。
【0043】
以上のように、メール感染型ワームは、ゲートウェイ型アンチウイルスがインストールされたメールサーバを通過しないと検知および駆除が行えないため、従来の手法ではメールサーバを通過しないワームメールの検知ができないという問題があった。しかし、本実施の形態によれば、ワームプログラム自身がSMTPエンジンを持ち、相手のメールサーバに直接ワームメールを送信するようなタイプのワームであっても、ローカルの不正アクセス対策サーバ宛にメールを送信させてチェックを行うことが可能となり、外部へのワームメールの流出を防ぐと共に、その送信元IPアドレスから、ワーム感染端末をいち早く隔離することが可能となる。
【0044】
なお、本発明の実施の形態は、上記に限定されず、各構成を分散して配置したり、各構成を統合して配置したりすることが可能である。また、本発明は、装置に限定されず、下記のような特徴を有する方法またはプログラムの発明としてとらえることも可能である。
【0045】
すなわち、本発明は、ドメイン名とIPアドレスとを対応させて名前解決処理を行う方法であって、所定の問い合わせ内容に対して回答すべき所定のホストの情報を記憶した記憶手段を用い、各問い合わせが記憶手段に記憶されている所定の問い合わせ内容に一致するか否かを判定する判定過程と、判定過程で一致すると判定された場合に当該問い合わせに対して記憶手段に記憶されている所定のホストの情報を回答する回答過程とを有することを特徴とするデータ処理方法としてとらえることができる。また、上記各過程をコンピュータで実行するための記述を含むことを特徴とするデータ処理プログラムとしてとらえることもできる。
【図面の簡単な説明】
【0046】
【図1】本発明の一実施の形態を説明するためのシステム図。
【図2】図1のポリシーファイル1034の構成例を示す図。
【図3】図1の構成における処理の流れを説明するためのシステム図(メールサーバ以外のホストからMXレコードの問い合わせがあった場合)。
【図4】図1の構成における他の処理の流れを説明するためのシステム図(存在しないAレコードへの問い合わせがあった場合)。
【図5】従来の構成におけるワームメールの送信過程の一例を示す図(特定のメーラーで送信先として設定されているメールサーバに対してワームメールを送信する場合)。
【図6】従来の構成におけるワームメールの送信過程の一例を示す図(MXレコードを検索して相手組織のメールサーバに直接ワームメールを送信する場合)。
【図7】従来の構成におけるワームメールの送信過程の一例を示す図(メールサーバのホスト名を推測して相手組織のメールサーバに直接ワームメールを送信する場合)。
【符号の説明】
【0047】
10 LAN(イントラネット)
20 インターネット
30 外部メールサーバ
40 上位DNSサーバ
101 端末
102 メールサーバ
103A DNSサーバ
1031 DNS処理部
1032 ポリシーファイル
1033 回答部
1034 判定部
【特許請求の範囲】
【請求項1】
ドメイン名とIP(Internet Protocol)アドレスとを対応させて名前解決処理を行う装置であって、
所定の問い合わせ内容に対して回答すべき所定のホストの情報を記憶した記憶手段と、
各問い合わせが記憶手段に記憶されている所定の問い合わせ内容に一致するか否かを判定する判定手段と、
判定手段によって一致すると判定された場合に当該問い合わせに対して記憶手段に記憶されている所定のホストの情報を回答する回答手段と
を備えることを特徴とするデータ処理装置。
【請求項2】
前記当該問い合わせが、メールサーバのホスト名についての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストの情報を回答することを特徴とする請求項1記載のデータ処理装置。
【請求項3】
前記当該問い合わせが、MX(Mail Exchange)レコードについての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストのドメイン名を回答することを特徴とする請求項1記載のデータ処理装置。
【請求項4】
前記当該問い合わせが、任意のドメイン名のIPアドレスについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストの情報を回答することを特徴とする請求項1記載のデータ処理装置。
【請求項5】
前記当該問い合わせが、任意のホスト名のA(Address)レコード又はAAAAレコードについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストのIPアドレスを回答することを特徴とする請求項1記載のデータ処理装置。
【請求項1】
ドメイン名とIP(Internet Protocol)アドレスとを対応させて名前解決処理を行う装置であって、
所定の問い合わせ内容に対して回答すべき所定のホストの情報を記憶した記憶手段と、
各問い合わせが記憶手段に記憶されている所定の問い合わせ内容に一致するか否かを判定する判定手段と、
判定手段によって一致すると判定された場合に当該問い合わせに対して記憶手段に記憶されている所定のホストの情報を回答する回答手段と
を備えることを特徴とするデータ処理装置。
【請求項2】
前記当該問い合わせが、メールサーバのホスト名についての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストの情報を回答することを特徴とする請求項1記載のデータ処理装置。
【請求項3】
前記当該問い合わせが、MX(Mail Exchange)レコードについての問い合わせであり、その問い合わせ元が所定のメールサーバ以外である場合に、所定の誘導先ホストのドメイン名を回答することを特徴とする請求項1記載のデータ処理装置。
【請求項4】
前記当該問い合わせが、任意のドメイン名のIPアドレスについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストの情報を回答することを特徴とする請求項1記載のデータ処理装置。
【請求項5】
前記当該問い合わせが、任意のホスト名のA(Address)レコード又はAAAAレコードについての問い合わせであり、その処理結果がエラーとなった場合に、所定の誘導先ホストのIPアドレスを回答することを特徴とする請求項1記載のデータ処理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−211088(P2006−211088A)
【公開日】平成18年8月10日(2006.8.10)
【国際特許分類】
【出願番号】特願2005−17939(P2005−17939)
【出願日】平成17年1月26日(2005.1.26)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成18年8月10日(2006.8.10)
【国際特許分類】
【出願日】平成17年1月26日(2005.1.26)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]