ファイル改竄チェック方法および装置
【課題】通信トラフィックに対して負荷を与えることなく、組み込み機器におけるファイルの改竄がチェックできるようにする。
【解決手段】改竄判断部105は、ネットワーク120を経由して取得したハッシュ値と、既に受け付けている機器情報に対応してハッシュ値記憶部101に記憶されているハッシュ値とを比較することで、組み込み機器130で用いられているファイルの改竄を判断する。例えば、取得したハッシュ値がハッシュ値記憶部101に記憶されているハッシュ値と異なる場合、改組判断部105は、組み込み機器130で用いられているファイルが改竄されているものと判断する。
【解決手段】改竄判断部105は、ネットワーク120を経由して取得したハッシュ値と、既に受け付けている機器情報に対応してハッシュ値記憶部101に記憶されているハッシュ値とを比較することで、組み込み機器130で用いられているファイルの改竄を判断する。例えば、取得したハッシュ値がハッシュ値記憶部101に記憶されているハッシュ値と異なる場合、改組判断部105は、組み込み機器130で用いられているファイルが改竄されているものと判断する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、組み込み機器で用いられているファイルが不正に改竄されていることをチェックするファイル改竄チェック方法および装置に関するものである。
【背景技術】
【0002】
近年、いわゆるコンピュータウイルスなどによるファイル改竄の被害が増加しており、問題となっている。また、このファイルの改竄による情報セキュリティリスクの問題が、制御機器や携帯電話などのいわゆる組み込み機器においても問題となっている。
【0003】
このようなファイル改竄の対策として、不正コードまたは不正データのパターンを集めたウイルス定義ファイルと不正コードのチェック対象となる実行プログラムあるいはデータとパターンマッチングを行い、ファイルがコンピュータウイルスを含んでいる(ファイルが改竄されている)ことを検出する技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−200102号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、組み込み機器におけるファイルの改竄のチェックを、上述した技術で行う場合、組み込み機器に対して最新のウイルス定義ファイルを送出し、このウイルス定義ファイルによるパターンマッチングを、調査対象の組み込み機器で行うことになる。このようなチェックは、LANなどのネットワークを介して行うことになるため、組み込み機器が接続されているネットワークにおける通信トラフィックに負荷を与えることになる。多くの組み込み機器に対してチェックを行う場合、通信トラフィックに対する負荷は、特に問題となる。
【0006】
本発明は、以上のような問題点を解消するためになされたものであり、通信トラフィックに対して大きな負荷を与えることなく、組み込み機器におけるファイルの改竄がチェックできるようにすることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るファイル改竄チェック装置は、改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶するハッシュ値記憶部と、改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示し、指示した機器から送出された機器情報を取得する機器情報取得手段と、この機器情報取得手段が取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値を算出を指示するハッシュ値算出指示手段と、このハッシュ値算出指示手段がハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得するハッシュ値取得手段と、機器情報取得手段が取得した機器情報に対応する基準ハッシュ値をハッシュ値記憶部より取り出し、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報取得手段が取得した機器情報の送出元の機器で用いられているファイルの改竄を判断する改竄判断手段とを少なくとも備える。
【0008】
上記ファイル改竄チェック装置において、機器情報は、機器で用いられているファイルの情報を含み、ハッシュ値取得手段は、対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、改竄判断手段は、機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較するようにすればよい。
【0009】
また、本発明に係るファイル改竄チェック方法は、改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶する第1ステップと、改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示する第2ステップと、指示した機器から送出された機器情報を取得する第3ステップと、取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値の算出を指示する第4ステップと、ハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得する第5ステップと、取得した機器情報に対応する基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報の送出元の機器で用いられているファイルの改竄を判断する第6ステップとを少なくとも備える。
【0010】
上記ファイル改竄チェック方法において、機器情報は、機器で用いられているファイルの情報を含み、第5ステップでは、対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、第6ステップでは、機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較するようにすればよい。
【発明の効果】
【0011】
以上説明したように、本発明によれば、ハッシュ値の算出を指示した機器(改竄チェック対象の機器)から送出されたハッシュ値を対象ハッシュ値として取得し、取得した機器情報に対応する基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報の送出元の機器で用いられているファイルの改竄を判断するようにしたので、通信トラフィックに対して負荷を与えることなく、組み込み機器におけるファイルの改竄がチェックできるようになるという優れた効果が得られる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施の形態におけるファイル改竄チェック装置100の構成を示す構成図である。
【図2】本発明の実施の形態におけるファイル改竄チェック装置100の動作例(ファイル改竄チェック方法)について説明するフローチャートである。
【図3】本発明の実施の形態における組み込み機器130の動作例について説明するフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態について図を参照して説明する。図1は、本発明の実施の形態におけるファイル改竄チェック装置100の構成を示す構成図である。ファイル改竄チェック装置100は、ハッシュ値記憶部101、機器情報取得部102、ハッシュ値算出指示部103、ハッシュ値取得部104、改竄判断部105、表示部106を備える。
【0014】
また、ファイル改竄チェック装置100は、ネットワーク120を介し、複数の組み込み機器130と接続している。組み込み機器130は、ファイル情報記憶部131、ファイル情報通知部132、ハッシュ値算出部133、ハッシュ値通知部134、および機器機能部135を備える。
【0015】
ファイル改竄チェック装置100において、ハッシュ値記憶部101は、組み込み機器130で用いられているファイルのハッシュ値(基準ハッシュ値)を、ファイルの情報と共に、各々の組み込み機器130の情報に対応して記憶している。これら情報は、予め用意されているものである。例えば、ハッシュ値記憶部101は、ファイル情報とこのハッシュ値とを関連付け、組み込み機器130毎に記憶している。従って、組み込み機器130の情報(機器情報)を検索子としてハッシュ値記憶部101を検索することで、該当する組み込み機器130で用いられている複数のファイルと、これらのファイルのハッシュ値との一覧が得られる。なお、ファイルのハッシュ値は、組み込み機器130のソフトウエアバージョンなどにより異なり、複数の組み込み機器130で同一の場合もある。
【0016】
機器情報取得部102は、ネットワーク120を経由し、ファイル改竄チェック対象の組み込み機器130に対し、組み込み機器130の情報(機器情報)の送出を指示する。ネットワーク120は、例えば、イーサネット(登録商標)などのLAN(Local Area Network)である。また、機器情報取得部102は、ネットワーク120を経由し、組み込み機器130から送出された機器情報を受け付けて取得する。
【0017】
ハッシュ値算出指示部103は、機器情報取得部102が取得した機器情報の送出元の組み込み機器130に対し、使用しているファイルのハッシュ値の算出をネットワーク120を経由して指示する。また、ハッシュ値取得部104は、ネットワーク120を経由し、ハッシュ値の算出を指示した組み込み機器130から送出されたハッシュ値(対象ハッシュ値)を取得する。例えば、ハッシュ値取得部104は、ハッシュ値を、このハッシュ値が算出されたファイルの情報と共に取得する。
【0018】
改竄判断部105は、ネットワーク120を経由して取得したハッシュ値と、既に受け付けている機器情報に対応してハッシュ値記憶部101に記憶されているハッシュ値とを比較することで、組み込み機器130で用いられているファイルの改竄を判断する。例えば、取得したハッシュ値がハッシュ値記憶部101に記憶されているハッシュ値と異なる場合、改組判断部105は、組み込み機器130で用いられているファイルが改竄されているものと判断する。
【0019】
組み込み機器130で用いられているファイルが改竄されていない場合、比較対象となる2つのハッシュ値は、同一のファイルから生成されたものとなり、等しいものとなる。これに対し、組み込み機器130で用いられているファイルが改竄されていれば、比較対象となる2つのハッシュ値が異なることになる。従って、取得したハッシュ値と、既に受け付けている機器情報に対応するハッシュ値記憶部101に記憶されているハッシュ値とを比較することで、ファイルの改竄が判断できる。
【0020】
改竄判断部105は、上述した比較を、組み込み機器130で用いられているプログラムや固定的な定義ファイルなど、対象となるファイルに対して行う。例えば、改竄判断部105は、機器情報取得部102が取得した機器情報をもとに、組み込み機器130で用いられているファイルおよびこのファイルのハッシュ値との組からなる基準一覧データを作製する。また、ハッシュ値取得部104が、組み込み機器130より、この組み込み機器130で用いられているファイルとこのハッシュ値との組からなる比較一覧データを受け付けると、改竄判断部104は、ハッシュ値取得部104が受け付けた比較一覧データと、上記基準一覧データとを比較し、ハッシュ値が一致しないファイルは改竄されているものと判断する。
【0021】
次に、組み込み機器130について説明する。まず、機器情報記憶部131は、自機を識別するための情報(機器情報)を記憶する。例えば、機器情報記憶部131は、後述する機器機能部135で用いられるファイル(プログラム)が定期的に更新されるなど、機器のバージョンが変化する。機器情報は、このような機器の現状の状態を示すバージョン情報などを含んで構成されている。
【0022】
機器情報通知部132は、ネットワーク120を経由し、ファイル改竄チェック装置100からの機器情報の送出指示を受け付けると、機器情報記憶部131に記憶されている機器情報を、ファイル改竄チェック装置100に対して送出する。ハッシュ値算出部133は、ファイル改竄チェック装置100からのファイルのハッシュ値算出の指示を、ネットワーク120を経由して受け付けると、自機で用いている比較対象のファイルのハッシュ値を算出する。例えば、ハッシュ値算出部133は、自機で用いている全てのファイルのハッシュ値を算出し、ファイルとこのハッシュ値との組からなる比較一覧データを作成する。
【0023】
ハッシュ値通知部134は、ハッシュ値算出部133がハッシュ値を算出すると、算出したハッシュ値を、ネットワーク120を経由してファイル改竄チェック装置100に対して送出する。例えば、ハッシュ値通知部134は、ハッシュ値算出部133が作成した比較一覧データを送出する。機器機能部135は、複数のファイルを備え、組み込み機器130における各種の機能を実施する。
【0024】
次に、本実施の形態におけるファイル改竄チェック装置100の動作例(ファイル改竄チェック方法)について、図2のフローチャートを用いて説明する。
【0025】
まず、ファイル改竄チェック装置100において、機器情報取得部102が、ネットワーク120を経由し、ファイル改竄チェック対象の組み込み機器130に対し、組み込み機器130の情報(機器情報)の送出を指示する(ステップS201)。
【0026】
この指示をした後に、機器情報取得部102が、ネットワーク120を経由し、通知先の組み込み機器130より機器情報を受け付けると(ステップS202)、ハッシュ値算出指示部103が、ネットワーク120を経由し、機器情報の送出元の組み込み機器130に対して使用しているファイルのハッシュ値算出を指示する(ステップS203)。
【0027】
次に、ハッシュ値取得部104が、ネットワーク120を経由し、ハッシュ値算出を指示した組み込み機器130より送出されたハッシュ値(比較一覧データ)を取得すると(ステップS204)、改竄判断部105が、受け付けたハッシュ値をもとに改竄を判断する。この改竄の判断では、まず、既に(ステップS202で)受け付けている機器情報で特定されるファイルのハッシュ値を、ハッシュ値記憶部101よりより取り出す(ステップS205)。次いで、取り出したハッシュ値と、取得したハッシュ値とを比較する(ステップS206)。例えば、取り出したハッシュ値と対応するファイルとの組からなる基準一覧データを作成し(ステップS205)、作成した基準一覧データと受け付けた比較一覧データとを比較する(ステップS206)。
【0028】
この比較で、取得したハッシュ値がハッシュ値記憶部101より取り出したハッシュ値と異なる場合、改組判断部105は、組み込み機器130で用いられているファイルが改竄されているものと判断し(ステップS207)、この結果を表示部106に表示する(ステップS208)。一方、取得したハッシュ値がハッシュ値記憶部101より取り出したハッシュ値と一致する場合、改組判断部105は、組み込み機器130で用いられているファイルは改竄されていなく、正常であるものと判断し(ステップS209)、この結果を表示部106に表示する(ステップS210)。
【0029】
例えば、前述したように、基準一覧データと比較一覧データとを比較した場合、ハッシュ値が一致しないファイルの情報を表示すればよい。また、ハッシュ値の比較をファイル毎に順次に行い、比較の結果を順次に表示するようにしてもよい。また、一連の動作を記憶したログファイルを表示出力するようにしてもよい。
【0030】
また、個々のファイル単位の指定ではなく、ファイルが格納されている領域(ディレクトリ)内の全てのファイルを対象とし、ハッシュ値を一括で算出し、この結果を比較するようにしてもよい。この場合、差異があった場合は、各ファイル一覧で調査する。このようにすることで、さらに通信負荷を減少させることができる。また、また、ハッシュ値算出結果のファイル自体について再度ハッシュ値を算出し、このハッシュ値の内容を比較対象として用いることで、比較対象のデータ量を減らすことができ、更に通信負荷を減らすことが可能である。
【0031】
次に、上述したファイル改竄チェック装置100の動作に伴う組み込み機器130の動作について、図3のフローチャートを用いて説明する。
【0032】
まず、機器情報通知部132が、ネットワーク120を経由し、ファイル改竄チェック装置100からの機器情報の送出指示を受け付けると(ステップS301)、機器情報通知部132は、機器情報記憶部131に記憶されている機器情報を、ネットワーク120を経由し、ファイル改竄チェック装置100に対して送出する(ステップS302)。
【0033】
次に、ハッシュ値算出部133が、ネットワーク120を経由し、ファイル改竄チェック装置100からのファイルのハッシュ値算出の指示を受け付けると(ステップS303)、自機で用いているファイルのハッシュ値を算出する(ステップS304)。次いで、ハッシュ値通知部134が、ネットワーク120を経由し、ハッシュ値算出部133が算出したハッシュ値をファイル改竄チェック装置100に対して送出する(ステップS305)。
【0034】
例えば、ハッシュ値算出部133は、ハッシュ値を算出すると、ファイルとこのハッシュ値との組からなる比較一覧データを作成し(ステップS304)、ハッシュ値通知部134が、作成した比較一覧データをファイル改竄チェック装置100に対して送出する(ステップS305)。また、組み込み機器130におけるメモリーの量が少ないために、比較一覧データが作成できない場合もある。このような場合は、各々のファイルのハッシュ値を順次に算出し、算出したハッシュ値とファイルとの組のデータを、順次に送出すればよい。
【0035】
以上に説明したように、本実施の形態によれば、ファイル改竄チェック装置100と組み込み機器130との間で、機器情報の送出指示,機器情報,ハッシュ値算出指示,およびハッシュ値を、ネットワーク120を経由して送受信することで、ファイルの改竄をチェックしている。機器情報の送出指示,機器情報,ハッシュ値算出指示,およびハッシュ値は、例えば、テキストデータで構成できる小さなサイズのデータである。従って、例えば、よく知られたリモートファイルアクセスによる比較検証に比較し、ネットワーク120における通信負荷を大幅に低下させることができる。
【0036】
なお、ファイル改竄チェック装置100は、例えば、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたサーバなどのコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。
【0037】
また、ネットワーク120は、LANに限るものではなく、インターネット通信網などのWAN(Wide Area Network)や、携帯電話などで用いられている無線による通信網であってもよい。また、ファイル改竄チェック装置100による組み込み機器130への各指示は、例えば、よく知られた「Telnet」などの、遠隔操作のプロトコルをエミュレートすることで実現できる。
【符号の説明】
【0038】
101…ハッシュ値記憶部、102…機器情報取得部、103…ハッシュ値算出指示部、104…ハッシュ値取得部、105…改竄判断部、106…表示部、120…ネットワーク、130…組み込み機器、131…ファイル情報記憶部、132…ファイル情報通知部、133…ハッシュ値算出部、134…ハッシュ値通知部、135…機器機能部。
【技術分野】
【0001】
本発明は、組み込み機器で用いられているファイルが不正に改竄されていることをチェックするファイル改竄チェック方法および装置に関するものである。
【背景技術】
【0002】
近年、いわゆるコンピュータウイルスなどによるファイル改竄の被害が増加しており、問題となっている。また、このファイルの改竄による情報セキュリティリスクの問題が、制御機器や携帯電話などのいわゆる組み込み機器においても問題となっている。
【0003】
このようなファイル改竄の対策として、不正コードまたは不正データのパターンを集めたウイルス定義ファイルと不正コードのチェック対象となる実行プログラムあるいはデータとパターンマッチングを行い、ファイルがコンピュータウイルスを含んでいる(ファイルが改竄されている)ことを検出する技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−200102号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、組み込み機器におけるファイルの改竄のチェックを、上述した技術で行う場合、組み込み機器に対して最新のウイルス定義ファイルを送出し、このウイルス定義ファイルによるパターンマッチングを、調査対象の組み込み機器で行うことになる。このようなチェックは、LANなどのネットワークを介して行うことになるため、組み込み機器が接続されているネットワークにおける通信トラフィックに負荷を与えることになる。多くの組み込み機器に対してチェックを行う場合、通信トラフィックに対する負荷は、特に問題となる。
【0006】
本発明は、以上のような問題点を解消するためになされたものであり、通信トラフィックに対して大きな負荷を与えることなく、組み込み機器におけるファイルの改竄がチェックできるようにすることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るファイル改竄チェック装置は、改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶するハッシュ値記憶部と、改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示し、指示した機器から送出された機器情報を取得する機器情報取得手段と、この機器情報取得手段が取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値を算出を指示するハッシュ値算出指示手段と、このハッシュ値算出指示手段がハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得するハッシュ値取得手段と、機器情報取得手段が取得した機器情報に対応する基準ハッシュ値をハッシュ値記憶部より取り出し、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報取得手段が取得した機器情報の送出元の機器で用いられているファイルの改竄を判断する改竄判断手段とを少なくとも備える。
【0008】
上記ファイル改竄チェック装置において、機器情報は、機器で用いられているファイルの情報を含み、ハッシュ値取得手段は、対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、改竄判断手段は、機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較するようにすればよい。
【0009】
また、本発明に係るファイル改竄チェック方法は、改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶する第1ステップと、改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示する第2ステップと、指示した機器から送出された機器情報を取得する第3ステップと、取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値の算出を指示する第4ステップと、ハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得する第5ステップと、取得した機器情報に対応する基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報の送出元の機器で用いられているファイルの改竄を判断する第6ステップとを少なくとも備える。
【0010】
上記ファイル改竄チェック方法において、機器情報は、機器で用いられているファイルの情報を含み、第5ステップでは、対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、第6ステップでは、機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較するようにすればよい。
【発明の効果】
【0011】
以上説明したように、本発明によれば、ハッシュ値の算出を指示した機器(改竄チェック対象の機器)から送出されたハッシュ値を対象ハッシュ値として取得し、取得した機器情報に対応する基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報の送出元の機器で用いられているファイルの改竄を判断するようにしたので、通信トラフィックに対して負荷を与えることなく、組み込み機器におけるファイルの改竄がチェックできるようになるという優れた効果が得られる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施の形態におけるファイル改竄チェック装置100の構成を示す構成図である。
【図2】本発明の実施の形態におけるファイル改竄チェック装置100の動作例(ファイル改竄チェック方法)について説明するフローチャートである。
【図3】本発明の実施の形態における組み込み機器130の動作例について説明するフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態について図を参照して説明する。図1は、本発明の実施の形態におけるファイル改竄チェック装置100の構成を示す構成図である。ファイル改竄チェック装置100は、ハッシュ値記憶部101、機器情報取得部102、ハッシュ値算出指示部103、ハッシュ値取得部104、改竄判断部105、表示部106を備える。
【0014】
また、ファイル改竄チェック装置100は、ネットワーク120を介し、複数の組み込み機器130と接続している。組み込み機器130は、ファイル情報記憶部131、ファイル情報通知部132、ハッシュ値算出部133、ハッシュ値通知部134、および機器機能部135を備える。
【0015】
ファイル改竄チェック装置100において、ハッシュ値記憶部101は、組み込み機器130で用いられているファイルのハッシュ値(基準ハッシュ値)を、ファイルの情報と共に、各々の組み込み機器130の情報に対応して記憶している。これら情報は、予め用意されているものである。例えば、ハッシュ値記憶部101は、ファイル情報とこのハッシュ値とを関連付け、組み込み機器130毎に記憶している。従って、組み込み機器130の情報(機器情報)を検索子としてハッシュ値記憶部101を検索することで、該当する組み込み機器130で用いられている複数のファイルと、これらのファイルのハッシュ値との一覧が得られる。なお、ファイルのハッシュ値は、組み込み機器130のソフトウエアバージョンなどにより異なり、複数の組み込み機器130で同一の場合もある。
【0016】
機器情報取得部102は、ネットワーク120を経由し、ファイル改竄チェック対象の組み込み機器130に対し、組み込み機器130の情報(機器情報)の送出を指示する。ネットワーク120は、例えば、イーサネット(登録商標)などのLAN(Local Area Network)である。また、機器情報取得部102は、ネットワーク120を経由し、組み込み機器130から送出された機器情報を受け付けて取得する。
【0017】
ハッシュ値算出指示部103は、機器情報取得部102が取得した機器情報の送出元の組み込み機器130に対し、使用しているファイルのハッシュ値の算出をネットワーク120を経由して指示する。また、ハッシュ値取得部104は、ネットワーク120を経由し、ハッシュ値の算出を指示した組み込み機器130から送出されたハッシュ値(対象ハッシュ値)を取得する。例えば、ハッシュ値取得部104は、ハッシュ値を、このハッシュ値が算出されたファイルの情報と共に取得する。
【0018】
改竄判断部105は、ネットワーク120を経由して取得したハッシュ値と、既に受け付けている機器情報に対応してハッシュ値記憶部101に記憶されているハッシュ値とを比較することで、組み込み機器130で用いられているファイルの改竄を判断する。例えば、取得したハッシュ値がハッシュ値記憶部101に記憶されているハッシュ値と異なる場合、改組判断部105は、組み込み機器130で用いられているファイルが改竄されているものと判断する。
【0019】
組み込み機器130で用いられているファイルが改竄されていない場合、比較対象となる2つのハッシュ値は、同一のファイルから生成されたものとなり、等しいものとなる。これに対し、組み込み機器130で用いられているファイルが改竄されていれば、比較対象となる2つのハッシュ値が異なることになる。従って、取得したハッシュ値と、既に受け付けている機器情報に対応するハッシュ値記憶部101に記憶されているハッシュ値とを比較することで、ファイルの改竄が判断できる。
【0020】
改竄判断部105は、上述した比較を、組み込み機器130で用いられているプログラムや固定的な定義ファイルなど、対象となるファイルに対して行う。例えば、改竄判断部105は、機器情報取得部102が取得した機器情報をもとに、組み込み機器130で用いられているファイルおよびこのファイルのハッシュ値との組からなる基準一覧データを作製する。また、ハッシュ値取得部104が、組み込み機器130より、この組み込み機器130で用いられているファイルとこのハッシュ値との組からなる比較一覧データを受け付けると、改竄判断部104は、ハッシュ値取得部104が受け付けた比較一覧データと、上記基準一覧データとを比較し、ハッシュ値が一致しないファイルは改竄されているものと判断する。
【0021】
次に、組み込み機器130について説明する。まず、機器情報記憶部131は、自機を識別するための情報(機器情報)を記憶する。例えば、機器情報記憶部131は、後述する機器機能部135で用いられるファイル(プログラム)が定期的に更新されるなど、機器のバージョンが変化する。機器情報は、このような機器の現状の状態を示すバージョン情報などを含んで構成されている。
【0022】
機器情報通知部132は、ネットワーク120を経由し、ファイル改竄チェック装置100からの機器情報の送出指示を受け付けると、機器情報記憶部131に記憶されている機器情報を、ファイル改竄チェック装置100に対して送出する。ハッシュ値算出部133は、ファイル改竄チェック装置100からのファイルのハッシュ値算出の指示を、ネットワーク120を経由して受け付けると、自機で用いている比較対象のファイルのハッシュ値を算出する。例えば、ハッシュ値算出部133は、自機で用いている全てのファイルのハッシュ値を算出し、ファイルとこのハッシュ値との組からなる比較一覧データを作成する。
【0023】
ハッシュ値通知部134は、ハッシュ値算出部133がハッシュ値を算出すると、算出したハッシュ値を、ネットワーク120を経由してファイル改竄チェック装置100に対して送出する。例えば、ハッシュ値通知部134は、ハッシュ値算出部133が作成した比較一覧データを送出する。機器機能部135は、複数のファイルを備え、組み込み機器130における各種の機能を実施する。
【0024】
次に、本実施の形態におけるファイル改竄チェック装置100の動作例(ファイル改竄チェック方法)について、図2のフローチャートを用いて説明する。
【0025】
まず、ファイル改竄チェック装置100において、機器情報取得部102が、ネットワーク120を経由し、ファイル改竄チェック対象の組み込み機器130に対し、組み込み機器130の情報(機器情報)の送出を指示する(ステップS201)。
【0026】
この指示をした後に、機器情報取得部102が、ネットワーク120を経由し、通知先の組み込み機器130より機器情報を受け付けると(ステップS202)、ハッシュ値算出指示部103が、ネットワーク120を経由し、機器情報の送出元の組み込み機器130に対して使用しているファイルのハッシュ値算出を指示する(ステップS203)。
【0027】
次に、ハッシュ値取得部104が、ネットワーク120を経由し、ハッシュ値算出を指示した組み込み機器130より送出されたハッシュ値(比較一覧データ)を取得すると(ステップS204)、改竄判断部105が、受け付けたハッシュ値をもとに改竄を判断する。この改竄の判断では、まず、既に(ステップS202で)受け付けている機器情報で特定されるファイルのハッシュ値を、ハッシュ値記憶部101よりより取り出す(ステップS205)。次いで、取り出したハッシュ値と、取得したハッシュ値とを比較する(ステップS206)。例えば、取り出したハッシュ値と対応するファイルとの組からなる基準一覧データを作成し(ステップS205)、作成した基準一覧データと受け付けた比較一覧データとを比較する(ステップS206)。
【0028】
この比較で、取得したハッシュ値がハッシュ値記憶部101より取り出したハッシュ値と異なる場合、改組判断部105は、組み込み機器130で用いられているファイルが改竄されているものと判断し(ステップS207)、この結果を表示部106に表示する(ステップS208)。一方、取得したハッシュ値がハッシュ値記憶部101より取り出したハッシュ値と一致する場合、改組判断部105は、組み込み機器130で用いられているファイルは改竄されていなく、正常であるものと判断し(ステップS209)、この結果を表示部106に表示する(ステップS210)。
【0029】
例えば、前述したように、基準一覧データと比較一覧データとを比較した場合、ハッシュ値が一致しないファイルの情報を表示すればよい。また、ハッシュ値の比較をファイル毎に順次に行い、比較の結果を順次に表示するようにしてもよい。また、一連の動作を記憶したログファイルを表示出力するようにしてもよい。
【0030】
また、個々のファイル単位の指定ではなく、ファイルが格納されている領域(ディレクトリ)内の全てのファイルを対象とし、ハッシュ値を一括で算出し、この結果を比較するようにしてもよい。この場合、差異があった場合は、各ファイル一覧で調査する。このようにすることで、さらに通信負荷を減少させることができる。また、また、ハッシュ値算出結果のファイル自体について再度ハッシュ値を算出し、このハッシュ値の内容を比較対象として用いることで、比較対象のデータ量を減らすことができ、更に通信負荷を減らすことが可能である。
【0031】
次に、上述したファイル改竄チェック装置100の動作に伴う組み込み機器130の動作について、図3のフローチャートを用いて説明する。
【0032】
まず、機器情報通知部132が、ネットワーク120を経由し、ファイル改竄チェック装置100からの機器情報の送出指示を受け付けると(ステップS301)、機器情報通知部132は、機器情報記憶部131に記憶されている機器情報を、ネットワーク120を経由し、ファイル改竄チェック装置100に対して送出する(ステップS302)。
【0033】
次に、ハッシュ値算出部133が、ネットワーク120を経由し、ファイル改竄チェック装置100からのファイルのハッシュ値算出の指示を受け付けると(ステップS303)、自機で用いているファイルのハッシュ値を算出する(ステップS304)。次いで、ハッシュ値通知部134が、ネットワーク120を経由し、ハッシュ値算出部133が算出したハッシュ値をファイル改竄チェック装置100に対して送出する(ステップS305)。
【0034】
例えば、ハッシュ値算出部133は、ハッシュ値を算出すると、ファイルとこのハッシュ値との組からなる比較一覧データを作成し(ステップS304)、ハッシュ値通知部134が、作成した比較一覧データをファイル改竄チェック装置100に対して送出する(ステップS305)。また、組み込み機器130におけるメモリーの量が少ないために、比較一覧データが作成できない場合もある。このような場合は、各々のファイルのハッシュ値を順次に算出し、算出したハッシュ値とファイルとの組のデータを、順次に送出すればよい。
【0035】
以上に説明したように、本実施の形態によれば、ファイル改竄チェック装置100と組み込み機器130との間で、機器情報の送出指示,機器情報,ハッシュ値算出指示,およびハッシュ値を、ネットワーク120を経由して送受信することで、ファイルの改竄をチェックしている。機器情報の送出指示,機器情報,ハッシュ値算出指示,およびハッシュ値は、例えば、テキストデータで構成できる小さなサイズのデータである。従って、例えば、よく知られたリモートファイルアクセスによる比較検証に比較し、ネットワーク120における通信負荷を大幅に低下させることができる。
【0036】
なお、ファイル改竄チェック装置100は、例えば、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたサーバなどのコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。
【0037】
また、ネットワーク120は、LANに限るものではなく、インターネット通信網などのWAN(Wide Area Network)や、携帯電話などで用いられている無線による通信網であってもよい。また、ファイル改竄チェック装置100による組み込み機器130への各指示は、例えば、よく知られた「Telnet」などの、遠隔操作のプロトコルをエミュレートすることで実現できる。
【符号の説明】
【0038】
101…ハッシュ値記憶部、102…機器情報取得部、103…ハッシュ値算出指示部、104…ハッシュ値取得部、105…改竄判断部、106…表示部、120…ネットワーク、130…組み込み機器、131…ファイル情報記憶部、132…ファイル情報通知部、133…ハッシュ値算出部、134…ハッシュ値通知部、135…機器機能部。
【特許請求の範囲】
【請求項1】
改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶するハッシュ値記憶部と、
改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示し、指示した機器から送出された機器情報を取得する機器情報取得手段と、
この機器情報取得手段が取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値を算出を指示するハッシュ値算出指示手段と、
このハッシュ値算出指示手段がハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得するハッシュ値取得手段と、
前記機器情報取得手段が取得した機器情報に対応する基準ハッシュ値を前記ハッシュ値記憶部より取り出し、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、前記機器情報取得手段が取得した機器情報の送出元の機器で用いられているファイルの改竄を判断する改竄判断手段と
を少なくとも備えることを特徴とするファイル改竄チェック装置。
【請求項2】
請求項1記載のファイル改竄チェック装置において、
前記機器情報は、前記機器で用いられているファイルの情報を含み、
前記ハッシュ値取得手段は、前記対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、
前記改竄判断手段は、前記機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて前記基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較する
ことを特徴とするファイル改竄チェック装置。
【請求項3】
改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶する第1ステップと、
改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示する第2ステップと、
指示した機器から送出された機器情報を取得する第3ステップと、
取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値の算出を指示する第4ステップと、
ハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得する第5ステップと、
取得した機器情報に対応する前記基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報の送出元の機器で用いられているファイルの改竄を判断する第6ステップと
を少なくとも備えることを特徴とするファイル改竄チェック方法。
【請求項4】
請求項3記載のファイル改竄チェック方法において、
前記機器情報は、前記機器で用いられているファイルの情報を含み、
第5ステップでは、前記対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、
前記第6ステップでは、前記機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて前記基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較する
ことを特徴とするファイル改竄チェック方法。
【請求項1】
改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶するハッシュ値記憶部と、
改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示し、指示した機器から送出された機器情報を取得する機器情報取得手段と、
この機器情報取得手段が取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値を算出を指示するハッシュ値算出指示手段と、
このハッシュ値算出指示手段がハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得するハッシュ値取得手段と、
前記機器情報取得手段が取得した機器情報に対応する基準ハッシュ値を前記ハッシュ値記憶部より取り出し、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、前記機器情報取得手段が取得した機器情報の送出元の機器で用いられているファイルの改竄を判断する改竄判断手段と
を少なくとも備えることを特徴とするファイル改竄チェック装置。
【請求項2】
請求項1記載のファイル改竄チェック装置において、
前記機器情報は、前記機器で用いられているファイルの情報を含み、
前記ハッシュ値取得手段は、前記対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、
前記改竄判断手段は、前記機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて前記基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較する
ことを特徴とするファイル改竄チェック装置。
【請求項3】
改竄のチェック対象となる機器で用いられているファイルのハッシュ値を、ファイルの情報と共に組み込み機器の情報に対応して基準ハッシュ値として記憶する第1ステップと、
改竄チェック対象の機器に対して自機の状態を示す機器情報の送出を指示する第2ステップと、
指示した機器から送出された機器情報を取得する第3ステップと、
取得した機器情報の送出元の機器に対して使用しているファイルのハッシュ値の算出を指示する第4ステップと、
ハッシュ値の算出を指示した機器から送出されたハッシュ値を対象ハッシュ値として取得する第5ステップと、
取得した機器情報に対応する前記基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較することで、機器情報の送出元の機器で用いられているファイルの改竄を判断する第6ステップと
を少なくとも備えることを特徴とするファイル改竄チェック方法。
【請求項4】
請求項3記載のファイル改竄チェック方法において、
前記機器情報は、前記機器で用いられているファイルの情報を含み、
第5ステップでは、前記対象ハッシュ値を、この対象ハッシュ値が算出されたファイルの情報と共に取得し、
前記第6ステップでは、前記機器情報に含まれているファイルの情報をもとにこのファイルの情報に組み合わせて前記基準ハッシュ値を取得し、各々のファイルの情報をもとにして、取り出した基準ハッシュ値と、この基準ハッシュ値に対応する対象ハッシュ値とを比較する
ことを特徴とするファイル改竄チェック方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2010−211453(P2010−211453A)
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願番号】特願2009−56165(P2009−56165)
【出願日】平成21年3月10日(2009.3.10)
【出願人】(000006666)株式会社山武 (1,808)
【Fターム(参考)】
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願日】平成21年3月10日(2009.3.10)
【出願人】(000006666)株式会社山武 (1,808)
【Fターム(参考)】
[ Back to top ]