不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム
【課題】 ユーザアクセスと正規のアクセスのHTML構文を比較することによりXSS攻撃を検出し、防御を行う為の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムを提供する。
【解決手段】 不正アクセス検出装置3は、脆弱性保有Webサーバ6のURLを解析し、有害文字を検出するURL解析部16aと、URL宛てにデータ送信要求を送信する第1のアクセス及び無害化データ送信要求を送信する第2のアクセスを行う代理要求部16bと、第1のアクセスの結果取得した第1のコンテンツと、第2のアクセスの結果取得した第2のコンテンツを格納する一時記憶部17と、両データのHTML構文を解析するHTML解析部16cと、両者のHTML構文が異なると判断された際、クライアント端末1に構文解析の結果を通知するユーザ通知部16eとを備える。
【解決手段】 不正アクセス検出装置3は、脆弱性保有Webサーバ6のURLを解析し、有害文字を検出するURL解析部16aと、URL宛てにデータ送信要求を送信する第1のアクセス及び無害化データ送信要求を送信する第2のアクセスを行う代理要求部16bと、第1のアクセスの結果取得した第1のコンテンツと、第2のアクセスの結果取得した第2のコンテンツを格納する一時記憶部17と、両データのHTML構文を解析するHTML解析部16cと、両者のHTML構文が異なると判断された際、クライアント端末1に構文解析の結果を通知するユーザ通知部16eとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
クロスサイトスクリプティング攻撃をいち早く発見し、その防御を行うための不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムに関する。
【背景技術】
【0002】
国際的な規模のIPネットワークであるインターネットにおいては様々な不正アクセスが発生する。不正アクセスを行う悪意の第三者は、社内や家庭内のネットワークのホストコンピュータ、サーバ装置及びクライアント端末に対し外部から攻撃を行うことがある為、ネットワーク管理者はこれらのアクセスから自ネットワークを保護する必要がある。
【0003】
不正アクセスの一つとして、クロスサイトスクリプティング攻撃(以下、「XSS攻撃」と記載)がある。XSS攻撃は、悪意の第三者が関連する脆弱性を持つWebサーバ(以下、「脆弱性保有Webサーバ」と記載)へクライアント端末をアクセスさせることによって、悪意の第三者に情報を漏洩させたり、クライアント端末に誤動作をおこさせる等の攻撃を指す。ただ、脆弱性保有Webサーバにクライアント端末が単純にアクセスするだけではXSS攻撃は成立しない。クライアント端末が脆弱性保有Webサーバに対し、自身が意識しない不正なデータを持つURL(Uniform Resource Locator)にアクセスしてしまう場合にXSS攻撃は成立する。
【0004】
クライアント端末が不正なデータを持つリクエストを送信してしまう可能性としては、悪意の第三者が関連するWebサイト、掲示板、電子メール、インスタントメッセンジャー等に、脆弱性保有WebサーバのURLが記されている際に、ユーザがそれに気づかずにクライアント端末のブラウザ上で実行してしまう場合が想定される。尚、XSS攻撃に使われるのは、脆弱性保有Webサーバ側でユーザのリクエストに対してCGI(Common Gateway Interface)プログラムなどによって動的に生成されるページへのアクセスである。静的なコンテンツを返すページでは発生しない。
【0005】
不正アクセスを防御するための方式として、一般的に予め不正アクセスの攻撃手法をパターン化したデータベースを用意し、アクセス毎にパターンマッチングによって検出する手法が一般的である。この手法では、ホストコンピュータに外部からのXSS攻撃等に対しアクセスの適正を判断する機構を備えさせ、不正アクセスと判断した場合には、自ネットワークの境界に位置するルータ等に報告し、ルータのアクセスリストを変更することにより悪意の第三者の侵入を防ぐ(特許文献1参照。)。
【特許文献1】特開2002−185539号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1の手法では、ルータが悪意の第三者の侵入を防ぐのは2度目の侵入から、つまり不正アクセス再発の防止の為であり、初期の不正アクセスを行う際には脆弱性を持つパケットを自ネットワークへ通過させてしまうという問題があった。
【0007】
又、XSS攻撃では、外部からの不正アクセスから内部を守るという従来方式と異なり、防御側にあるクライアント端末が不正なデータパターンを意図せず送出してしまうことによって攻撃が成立する。よって、特許文献1の手法のように外部からの不正アクセスに対しての防御を行うだけでは、自ネットワークのクライアント端末が、誤って悪意の第三者のWebサイト、掲示板、電子メール、インスタントメッセンジャー等にアクセスしてしまった際の防御は行うことが出来なかった。
【0008】
更に、XSS攻撃ではアクセスパターンが画一的でなく、正常なアクセスかユーザの意図しないアクセスなのか否かの判断が難しく、パターンマッチングによる手法では不十分であった。
【0009】
本発明は、上記問題点を解決する為になされたものであり、ユーザアクセスと正規のアクセスのHTML(Hyper Text Markup Language)の構文を比較することによりXSS攻撃を検出し、防御を行う為の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記問題点を解決する為、本発明の第1の特徴は、[イ]Webサーバ(6)に対し、自ネットワーク内のクライアント端末(1)が外部ネットワーク(5)を介してデータ送信要求を行う際、WebサーバのURLを解析し、クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するURL解析部(16a)と;[ロ]有害情報が検出されたURL宛てに、データ送信要求を送信する第1のアクセス及び有害情報を無害化処理した無害化データ送信要求を送信する第2のアクセスを行う代理要求部(16b)と;[ハ]第1のアクセスの結果Webサーバより取得した第1のコンテンツと、第2のアクセスの結果Webサーバより取得した第2のコンテンツを格納する一時記憶部(17)と;[ニ]一時記憶部から第1のコンテンツ及び第2のコンテンツを取得して、両者のHTML構文を解析するHTML解析部(16c)と;[ホ]構文解析の結果、両者のHTML構文が異なると判断された際には、クライアント端末に第1のコンテンツ及び第2のコンテンツを送信せず、構文解析の結果を通知するユーザ通知部(16e)とを備える不正アクセス検出装置であることを要旨とする。
【0011】
更に本発明の第1の特徴は、[ヘ]ユーザ通知部(16c)による構文解析の結果通知の回答としてクライアント端末より受信する、通過を許可するデータ若しくは通過を許可しないデータの内少なくとも1つのデータのリストを記憶する通過リスト記憶部(18)と;[ト]通過リスト記憶部内のリストを参照して、クライアント端末に対する通信を許可するデータを判断する通過リスト管理部(16f)とを更に備えることを加えても良い。
【0012】
本発明の第2の特徴は、[イ]Webサーバ(6)に対し、自ネットワーク内のクライアント端末(1)が外部ネットワーク(5)を介してデータ送信要求を行う際、URL解析部(16a)がWebサーバのURLを解析し、クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するステップと;[ロ]有害情報が検出されたURL宛てに代理要求部(16b)がデータ送信要求を送信する第1のアクセスを行い、第1のアクセスの結果、Webサーバより取得した第1のコンテンツを一時記憶部(17)に格納するステップと;[ハ]代理要求部が有害情報を無害化した無害化データ送信要求を作成し、作成された無害化データ送信要求を有害情報が検出されたURL宛てに送信する第2のアクセスを行い、第2のアクセスの結果、Webサーバより取得した第2のコンテンツを一時記憶部(17)に格納するステップと;[ニ]一時記憶部から第1のコンテンツ及び第2のコンテンツを取得し、HTML解析部(16c)が両者のHTML構文を解析するステップと;[ホ]構文解析の結果、両者のHTML構文が異なると判断された際には、ユーザ通知部(16e)がクライアント端末に第1のコンテンツ及び第2のコンテンツを送信せず、構文解析の結果を通知するステップとを備える不正アクセス検出方法であることを要旨とする。
【0013】
本発明の第3の特徴は、[イ]Webサーバ(6)に対し、自ネットワーク内のクライアント端末(1)が外部ネットワーク(5)を介して通信を行う際、通信を媒体とする攻撃を防御するためのコンピュータに、クライアント端末がWebサーバに対してデータ送信要求を行う際、URL解析部(16a)がWebサーバのURLを解析し、攻撃を起因する可能性のある有害情報を検出する命令と;[ロ]有害情報が検出されたURL宛てに代理要求部(16b)がデータ送信要求を送信する第1のアクセスを行い、第1のアクセスの結果、Webサーバより取得した第1のコンテンツを一時記憶部(17)に格納する命令と;[ハ]代理要求部が有害情報を無害化した無害化データ送信要求を作成し、作成された無害化データ送信要求を有害情報が検出されたURL宛てに送信する第2のアクセスを行い、第2のアクセスの結果、Webサーバより取得した第2のコンテンツを一時記憶部(17)に格納する命令と;[ニ]一時記憶部から第1のコンテンツ及び第2のコンテンツを取得し、HTML解析部(16c)が両者のHTML構文を解析する命令と;[ホ]構文解析の結果、両者のHTML構文が異なると判断された際には、ユーザ通知部(16e)がクライアント端末に第1のコンテンツ及び第2のコンテンツを送信せず、構文解析の結果を通知する命令とを実行させる不正アクセス検出プログラムであることを要旨とする。
【発明の効果】
【0014】
本発明の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムによると、ユーザのWebアクセス内容を解析し、有害情報になり得るデータを検出した時に、これを無効化した上で宛先のWebサーバに送出することでクロスサイトスクリプティング攻撃の成立を回避することができる。
【0015】
更に、本発明の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムでは、有害情報になり得るデータと、有害情報になり得るデータを無効化したデータのHTML構文を解析し、クロスサイトスクリプティング攻撃か否かを判断する。この解析結果はユーザに通知され、ユーザの判断結果を基に、以後のアクセスにおいて該当アクセスを許可するか拒否するかのリストを作成する。これにより確実にユーザにとって不要なアクセスを防御することができる。
【発明を実施するための最良の形態】
【0016】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0017】
(本発明の実施の形態)
(不正アクセス検出システム)
本発明の実施の形態における不正アクセス検出システム100は、図1に示すように、ユーザ側のクライアント端末1、クライアント端末1が複数接続可能な内部ネットワーク2、不正アクセス検出装置3、及び外部から内部ネットワーク2に対する通信の監視を行うファイアウォール4等から構成される。尚、不正アクセス検出システム100はインターネット5を介して外部と接続可能になっている。インターネット5には脆弱性をもつ脆弱性保有Webサーバ6と、正規のWebサーバと偽ってクライアント端末1に脆弱性保有Webサーバ6にアクセスを実行させてXSS攻撃を行う悪意のWebサーバ7等が接続されている。
【0018】
悪意のWebサーバ7は、XSS攻撃を行う為に、悪意の第三者のWebサイト、掲示板、電子メール、インスタントメッセンジャー等にアクセスするようクライアント端末1に促す。例えば、悪意のWebサーバ7はユーザが好んでアクセスしそうな正規のWebサーバの名を借りて、悪意のWebサーバ7のURLがリンクされた電子メールをクライアント端末1に送信する。この電子メールには有害な文字が含まれているが、ユーザは一目では判断することはできない。
【0019】
この電子メールに騙されたユーザは、正規のWebサーバのURLと信じて、脆弱性保有Webサーバ6のURLに、例えば図3のような形式でリクエストを送信する。
【0020】
不正アクセス検出装置3は、クライアント端末1から有害な文字を含むリクエストを検出しても、そのリクエストのコピーを一時記憶した後、そのまま脆弱性保有Webサーバ6に送り、返信として脆弱性保有Webサーバ6より第1のコンテンツデータを受信する。このコンテンツデータはクライアント端末1には渡さず、不正アクセス検出装置3に一時留めておく。
【0021】
次に、一時記憶されているリクエストのコピーの有害情報である有害文字データを無効化し、無効化リクエストを脆弱性保有Webサーバ6に送り、得られる第2のコンテンツデータを同じく不正アクセス検出装置3に一時留めておく。
【0022】
不正アクセス検出装置3は、第1及び第2のコンテンツデータを比較して、XSS攻撃を行う目的であると判断すると、クライアント端末1にその旨を通知し、第1及び第2のコンテンツデータをクライアント端末1に配信しない。このようにして、ユーザが気づかなかったXSS攻撃から、クライアント端末1を防御する。
【0023】
以下、不正アクセス検出装置3について詳細に説明する。
【0024】
(不正アクセス検出装置)
不正アクセス検出装置3は、図2に示すように、入力部11、出力部、入出力インタフェース13、通信制御部14、主記憶部15、セントラルプロセッシングユニット(以下、「CPU」と記載)16、一時記憶部17及び通過リスト記憶部18等より構成される。CPU16は、URL解析部16a、代理要求部16b、HTML解析部16c、パケット処理部16d、ユーザ通知部16e及び通過リスト管理部16f等を備える。CPU16がこれらのモジュールを実行することにより不正アクセス検出プログラムは実行される。
【0025】
一時記憶部17は、図1のクライアント端末1が脆弱性保有Webサーバ6等に対して送信するリクエスト及び無害化リクエスト、脆弱性保有Webサーバ6等より受信するコンテンツデータ等を一時記憶する。通過リスト記憶部18は、不正アクセス検出装置3が通過許可するコンテンツ若しくは通過許可しないコンテンツのアドレスのリストを記憶する。
【0026】
URL解析部16aは、クライアント端末1が送信するリクエストが脆弱性保有Webサーバ6に送信するものであるかを判断する為にURLの解析を行う。URL解析としては、図3のようなユーザ情報が入力されたHTTP(Hyper Text Transfer Protocol)のアクセスを受信した際に、CGIプログラムに渡される引数が図4(a)のような正規の引数でなく、図4(b)のような脆弱性保有Webサーバ6に返信する為の引数であるか否かを解析する。XSS攻撃を目的とした引数では、図4(b)のようにHTML文中に“<”や“>”等のHTMLタグで括られた中に、XSS攻撃を行うための情報が記載されている。記載される情報は個々に異なる為、このHTMLタグを示す記号を有害文字として取り扱う。
【0027】
代理要求部16bは、URLに対し代理でリクエストを要求する。このリクエストは、1つのHTTPアクセスに対し、1回目のリクエスト及び2回目の無害化リクエストの合計2回行われる。尚、代理要求部16bは、2回目の無害化リクエストの送信前に、有害文字データの無害化処理を行う。無害化処理は、図6(a)に示すような有害文字データ“<“や“>”等を、図6(a)に示すような無害文字データ“&lt”や“&gt”に変換することによって行われる。HTMLのタグを形成する“<“と“>”の間に記載されるXSS攻撃の為の情報は、無害化文字データに置き換えられることによって意味を持たないただのデータ列となる。
【0028】
HTML解析部16cは、1回目のリクエスト及び2回目の無害化リクエストの結果受信したコンテンツデータのHTML構文を解析する。HTML構文は正規のコンテンツだと図5(a)のようになるが、XSS攻撃目的であると図5(b)のように脆弱性保有Webサーバ6の情報を“<”と“>”の記号の間に記載したものとなる。
【0029】
パケット処理部16dは、クライアント端末1がインターネット5を介して外部と通信する際のパケットデータの送受信を行う。
【0030】
ユーザ通知部16eは、脆弱性保有Webサーバ6等より受信したコンテンツデータを一時記憶部17に一時記憶させた状態で、クライアント端末1に図7に示すようなHTML解析の結果情報を通知する。
【0031】
通過リスト管理部16fは、通過リスト記憶部18のデータの検索、新規登録、更新等の処理を行う。
【0032】
入力部11は、キーボード、マウス等から入力信号を受信するインタフェースである。フロッピー(登録商標)ディスク、ハードディスク等の外部記憶装置を介して入力されても良い。出力部12は、処理結果等を出力するための装置であり、具体的には液晶ディスプレイ、CRTディスプレイ、プリンタ等を指す。入出力インタフェース13は、不正アクセス検出装置3が他の装置との間において入力データ及び出力データを通信するための装置である。通信制御部14は、他の装置との間においてに対し入出力データを送受信する為の制御信号を生成する。主記憶部15は、主メモリとして、処理の手順を記述したプログラムや処理されるべきデータを一時的に記憶し、CPU16の要請に従ってプログラムの機械命令やデータを引き渡す。又、CPU16で処理されたデータは主記憶部15に書き込まれる。主記憶部15とCPU16はアドレスバス、データバス、制御信号等で結ばれている。
【0033】
(不正アクセス検出方法)
以下、不正アクセス検出装置3の動作について図8のフローチャートを参照して説明する。尚、以下の説明の前提として、クライアント端末1が、悪意のWebサーバ7より誘致の電子メール等を受信し、その電子メールに記載のURLにアクセスを行おうとしているものとする。誘致の電子メールのページは、クライアント端末1に表示するブラウザのCGI等に渡される引数によって動的に生成される。生成されたページは、ユーザに何らかのユーザ情報を入力させて送信させ、XSS攻撃の為の処理を図1の悪意のWebサーバ7や脆弱性保有Webサーバ6上にて行うことができるように構成されているものとする。
【0034】
(a)先ずステップS10において、図2のパケット処理部16dは、クライアント端末1よりリクエストの為のHTTPアクセスを受信する。ステップS15において、図2のURL解析部16aは、このHTMLアクセスのデータを、図4(a)及び(b)に示すようなCGI名やCGIに渡される引数等に分解する。
【0035】
(b)ステップS20においては、通過リスト管理部16fが、このHTTPアクセスが通過リスト記憶部18の許可リスト若しくは拒否リストに記憶されているか否かを検索し、検索結果を基に通信許可するか否かを判断する。通信許可をする場合ステップS70に進み通常のコンテンツ送信処理を行い、通信許可をしない場合はこの処理を終了する。尚、通過リスト記憶部18のリストに存在しない場合は、ステップS25へ進む。
【0036】
(c)ステップS25においては、URL解析部16aがHTMLアクセスのデータより抽出される図4(a)及び(b)に示すCGIに渡される引数等の中に有害文字データが存在するか否かを判断する。図4(a)のように有害文字データが無い場合はステップS70へ進み通常のコンテンツ送信処理を行い、図4(b)のように有害文字データが有る場合はステップS30へ進む。
【0037】
(e)ステップS30では、パケット処理部16dは、ユーザのHTTPアクセスのコピーを一時記憶部17に格納後、HTTPアクセスをそのまま脆弱性保有Webサーバ6に送信する。尚、説明の関係上、脆弱性保有Webサーバ6としているが、実際はこの段階では脆弱性保有Webサーバ6と断定できるわけではなく、脆弱性保有Webサーバ6である可能性があるWebサーバに送信している。
【0038】
(f)ステップS35において、パケット処理部16dは、HTTPアクセスへの回答として脆弱性保有Webサーバ6より送信される第1のコンテンツデータを受信し、一時記憶部17に格納する。
【0039】
(g)ステップS40においては、代理要求部16bは、一時記憶部17よりHTTPアクセスを取り出し、このデータの無害化処理として、図6(a)の有害文字データ“<“、“>”等を、図6(a)の無害文字データ“&lt”、“&gt”等に変換する。“&lt”、“&gt”等の記号は、HTMLコンテンツ中に現れると、HTMLのタグを形成するための文字ではなく、単なる一文字として認識される。これにより“<“、“>”間のXSS攻撃の為のデータは、単なる意味の無い文字データとして認識されることになる。パケット処理部16dは、無害化されたHTTPアクセスを脆弱性保有Webサーバ6に送信する。
【0040】
(h)ステップS45においては、パケット処理部16dは、無害化されたHTTPアクセスへの回答として脆弱性保有Webサーバ6より送信される第2のコンテンツデータを受信し、一時記憶部17に格納する。
【0041】
(i)ステップS50においては、図2のHTML解析部16cが、一時記憶部17より第1及び第2のコンテンツデータ取得し、両データのHTML構文を解析する。ステップS55において、解析の結果、HTML構文上異なる形式ではない場合、ステップS70において通常どおりこのコンテンツデータをクライアント端末1に送信する。HTML構文上明らかに異なる形式が現れた場合、ステップS60において、HTML解析部16cは、XSS攻撃を目的としたコンテンツデータであると判断し、このコンテンツデータをクライアント端末1には送信しない。ユーザ通知部16eは、図7のような解析結果を検討する画面をクライアント端末1に送信する。ステップS65において、図7の解析結果検討画面上の「拒否」、「許可」をユーザがクリック等にて選択すると、通過リスト処理部16fは、この選択結果を受信し、通過リスト記憶部18の許可リスト若しくは拒否リストの更新を行う。
【0042】
このステップS65の後、ステップS20に戻り、リストの判定を行い、許可リストであれば通常のコンテンツ送信処理を、拒否リストであればこのアクセスを拒否する。
【0043】
このように、外部から受信する2種類のコンテンツのHTMLの構文解析を行うことにより、XSS攻撃をいち早く発見し、リストを発行し、XSS攻撃に対する防御を行うことができる。
【0044】
(変更例1)
上記の説明において、図1の不正アクセス検出装置3は、ファイアウォール4と内部ネットワーク2の間に存在しているが、不正アクセス検出装置3の位置はこの場所に限られず、例えば、クライアント端末1の内部に同機能をインストールし、ブラウザから見たWebプロキシサーバとして動作させても構わない。
【0045】
(変更例2)
又、不正アクセス検出装置3はプロキシサーバとしてではなく、ブリッジ装置として動作することも可能である。この場合、クライアント端末1や、送信するWebサーバのIPアドレスを変える必要が無くなる。ブリッジ装置として動作する場合の不正アクセス検出装置3a及び関連装置の動作は図9に示すようになる。尚、不正アクセス検出装置3aとしての大まかな動作は、上述した図8の実施の形態の動作と同じである為、詳細な説明は割愛する。
【0046】
(a)先ず、ステップS100において、TCP(Transmission Control Protocol)通信としてSYNパケット、SYN/ACKパケット、ACKパケットを送受信することにより、クライアント端末1と不正アクセス検出装置3aのコネクションを確立する(図8のステップS10参照)。ステップS105においても同様に、不正アクセス検出装置3aと脆弱性保有Webサーバ6とのコネクションを確立する。
【0047】
(b)ステップS110において、脆弱性保有Webサーバ6より第1のコンテンツを受信する(図8のステップS15〜S35参照)。ステップS115において、脆弱性保有Webサーバ6より第2のコンテンツを受信する(図8のステップS40〜S45参照)。尚、ステップS100〜S115迄は、同一セッションにて行われることが望ましい。
【0048】
(c)ステップS120においては、不正アクセス検出装置3aはコンテンツデータの有害又は無害を判断する。無害と判断された場合のみステップS125においてクライアント端末1にコンテンツを送信する(図8のステップS55〜S75参照)。
【0049】
このように、不正アクセス検出装置3aはブリッジ装置として動作しても、効率的にXSS攻撃を防御することが可能である。
【図面の簡単な説明】
【0050】
【図1】本発明の実施の形態に係る不正アクセス検出システムを示す模式図である。
【図2】本発明の実施の形態に係る不正アクセス検出装置の構造を示す構造図である。
【図3】HTTPアクセスにて使用する画面例を示す図である。
【図4】HTTPアドレスの構造を示す図である。
【図5】HTTP構文の構造を示す図である。
【図6】HTTP構文中の有害文字及び無害文字の例を示す図である。
【図7】HTML解析結果を通知する画面を示す図である。
【図8】プロキシサーバとしての不正アクセス検出装置の動作を示すフローチャートである。
【図9】ブリッジ装置としての不正アクセス検出装置の動作を示すフローチャートである。
【符号の説明】
【0051】
1…クライアント端末
2…内部ネットワーク
3、3a…不正アクセス検出装置
4…ファイアウォール
5…インターネット
6…脆弱性保有Webサーバ
7…悪意のWebサーバ
11…入力部
12…出力部
13…入出力インタフェース
14…通信制御部
15…主記憶部
16…CPU
16a…URL解析部
16b…代理要求部
16c…HTML解析部
16d…パケット処理部
16e…ユーザ通知部
16f…通過リスト処理部
17…一時記憶部
18…通過リスト記憶部
100…不正アクセス検出システム
【技術分野】
【0001】
クロスサイトスクリプティング攻撃をいち早く発見し、その防御を行うための不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムに関する。
【背景技術】
【0002】
国際的な規模のIPネットワークであるインターネットにおいては様々な不正アクセスが発生する。不正アクセスを行う悪意の第三者は、社内や家庭内のネットワークのホストコンピュータ、サーバ装置及びクライアント端末に対し外部から攻撃を行うことがある為、ネットワーク管理者はこれらのアクセスから自ネットワークを保護する必要がある。
【0003】
不正アクセスの一つとして、クロスサイトスクリプティング攻撃(以下、「XSS攻撃」と記載)がある。XSS攻撃は、悪意の第三者が関連する脆弱性を持つWebサーバ(以下、「脆弱性保有Webサーバ」と記載)へクライアント端末をアクセスさせることによって、悪意の第三者に情報を漏洩させたり、クライアント端末に誤動作をおこさせる等の攻撃を指す。ただ、脆弱性保有Webサーバにクライアント端末が単純にアクセスするだけではXSS攻撃は成立しない。クライアント端末が脆弱性保有Webサーバに対し、自身が意識しない不正なデータを持つURL(Uniform Resource Locator)にアクセスしてしまう場合にXSS攻撃は成立する。
【0004】
クライアント端末が不正なデータを持つリクエストを送信してしまう可能性としては、悪意の第三者が関連するWebサイト、掲示板、電子メール、インスタントメッセンジャー等に、脆弱性保有WebサーバのURLが記されている際に、ユーザがそれに気づかずにクライアント端末のブラウザ上で実行してしまう場合が想定される。尚、XSS攻撃に使われるのは、脆弱性保有Webサーバ側でユーザのリクエストに対してCGI(Common Gateway Interface)プログラムなどによって動的に生成されるページへのアクセスである。静的なコンテンツを返すページでは発生しない。
【0005】
不正アクセスを防御するための方式として、一般的に予め不正アクセスの攻撃手法をパターン化したデータベースを用意し、アクセス毎にパターンマッチングによって検出する手法が一般的である。この手法では、ホストコンピュータに外部からのXSS攻撃等に対しアクセスの適正を判断する機構を備えさせ、不正アクセスと判断した場合には、自ネットワークの境界に位置するルータ等に報告し、ルータのアクセスリストを変更することにより悪意の第三者の侵入を防ぐ(特許文献1参照。)。
【特許文献1】特開2002−185539号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1の手法では、ルータが悪意の第三者の侵入を防ぐのは2度目の侵入から、つまり不正アクセス再発の防止の為であり、初期の不正アクセスを行う際には脆弱性を持つパケットを自ネットワークへ通過させてしまうという問題があった。
【0007】
又、XSS攻撃では、外部からの不正アクセスから内部を守るという従来方式と異なり、防御側にあるクライアント端末が不正なデータパターンを意図せず送出してしまうことによって攻撃が成立する。よって、特許文献1の手法のように外部からの不正アクセスに対しての防御を行うだけでは、自ネットワークのクライアント端末が、誤って悪意の第三者のWebサイト、掲示板、電子メール、インスタントメッセンジャー等にアクセスしてしまった際の防御は行うことが出来なかった。
【0008】
更に、XSS攻撃ではアクセスパターンが画一的でなく、正常なアクセスかユーザの意図しないアクセスなのか否かの判断が難しく、パターンマッチングによる手法では不十分であった。
【0009】
本発明は、上記問題点を解決する為になされたものであり、ユーザアクセスと正規のアクセスのHTML(Hyper Text Markup Language)の構文を比較することによりXSS攻撃を検出し、防御を行う為の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記問題点を解決する為、本発明の第1の特徴は、[イ]Webサーバ(6)に対し、自ネットワーク内のクライアント端末(1)が外部ネットワーク(5)を介してデータ送信要求を行う際、WebサーバのURLを解析し、クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するURL解析部(16a)と;[ロ]有害情報が検出されたURL宛てに、データ送信要求を送信する第1のアクセス及び有害情報を無害化処理した無害化データ送信要求を送信する第2のアクセスを行う代理要求部(16b)と;[ハ]第1のアクセスの結果Webサーバより取得した第1のコンテンツと、第2のアクセスの結果Webサーバより取得した第2のコンテンツを格納する一時記憶部(17)と;[ニ]一時記憶部から第1のコンテンツ及び第2のコンテンツを取得して、両者のHTML構文を解析するHTML解析部(16c)と;[ホ]構文解析の結果、両者のHTML構文が異なると判断された際には、クライアント端末に第1のコンテンツ及び第2のコンテンツを送信せず、構文解析の結果を通知するユーザ通知部(16e)とを備える不正アクセス検出装置であることを要旨とする。
【0011】
更に本発明の第1の特徴は、[ヘ]ユーザ通知部(16c)による構文解析の結果通知の回答としてクライアント端末より受信する、通過を許可するデータ若しくは通過を許可しないデータの内少なくとも1つのデータのリストを記憶する通過リスト記憶部(18)と;[ト]通過リスト記憶部内のリストを参照して、クライアント端末に対する通信を許可するデータを判断する通過リスト管理部(16f)とを更に備えることを加えても良い。
【0012】
本発明の第2の特徴は、[イ]Webサーバ(6)に対し、自ネットワーク内のクライアント端末(1)が外部ネットワーク(5)を介してデータ送信要求を行う際、URL解析部(16a)がWebサーバのURLを解析し、クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するステップと;[ロ]有害情報が検出されたURL宛てに代理要求部(16b)がデータ送信要求を送信する第1のアクセスを行い、第1のアクセスの結果、Webサーバより取得した第1のコンテンツを一時記憶部(17)に格納するステップと;[ハ]代理要求部が有害情報を無害化した無害化データ送信要求を作成し、作成された無害化データ送信要求を有害情報が検出されたURL宛てに送信する第2のアクセスを行い、第2のアクセスの結果、Webサーバより取得した第2のコンテンツを一時記憶部(17)に格納するステップと;[ニ]一時記憶部から第1のコンテンツ及び第2のコンテンツを取得し、HTML解析部(16c)が両者のHTML構文を解析するステップと;[ホ]構文解析の結果、両者のHTML構文が異なると判断された際には、ユーザ通知部(16e)がクライアント端末に第1のコンテンツ及び第2のコンテンツを送信せず、構文解析の結果を通知するステップとを備える不正アクセス検出方法であることを要旨とする。
【0013】
本発明の第3の特徴は、[イ]Webサーバ(6)に対し、自ネットワーク内のクライアント端末(1)が外部ネットワーク(5)を介して通信を行う際、通信を媒体とする攻撃を防御するためのコンピュータに、クライアント端末がWebサーバに対してデータ送信要求を行う際、URL解析部(16a)がWebサーバのURLを解析し、攻撃を起因する可能性のある有害情報を検出する命令と;[ロ]有害情報が検出されたURL宛てに代理要求部(16b)がデータ送信要求を送信する第1のアクセスを行い、第1のアクセスの結果、Webサーバより取得した第1のコンテンツを一時記憶部(17)に格納する命令と;[ハ]代理要求部が有害情報を無害化した無害化データ送信要求を作成し、作成された無害化データ送信要求を有害情報が検出されたURL宛てに送信する第2のアクセスを行い、第2のアクセスの結果、Webサーバより取得した第2のコンテンツを一時記憶部(17)に格納する命令と;[ニ]一時記憶部から第1のコンテンツ及び第2のコンテンツを取得し、HTML解析部(16c)が両者のHTML構文を解析する命令と;[ホ]構文解析の結果、両者のHTML構文が異なると判断された際には、ユーザ通知部(16e)がクライアント端末に第1のコンテンツ及び第2のコンテンツを送信せず、構文解析の結果を通知する命令とを実行させる不正アクセス検出プログラムであることを要旨とする。
【発明の効果】
【0014】
本発明の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムによると、ユーザのWebアクセス内容を解析し、有害情報になり得るデータを検出した時に、これを無効化した上で宛先のWebサーバに送出することでクロスサイトスクリプティング攻撃の成立を回避することができる。
【0015】
更に、本発明の不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラムでは、有害情報になり得るデータと、有害情報になり得るデータを無効化したデータのHTML構文を解析し、クロスサイトスクリプティング攻撃か否かを判断する。この解析結果はユーザに通知され、ユーザの判断結果を基に、以後のアクセスにおいて該当アクセスを許可するか拒否するかのリストを作成する。これにより確実にユーザにとって不要なアクセスを防御することができる。
【発明を実施するための最良の形態】
【0016】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0017】
(本発明の実施の形態)
(不正アクセス検出システム)
本発明の実施の形態における不正アクセス検出システム100は、図1に示すように、ユーザ側のクライアント端末1、クライアント端末1が複数接続可能な内部ネットワーク2、不正アクセス検出装置3、及び外部から内部ネットワーク2に対する通信の監視を行うファイアウォール4等から構成される。尚、不正アクセス検出システム100はインターネット5を介して外部と接続可能になっている。インターネット5には脆弱性をもつ脆弱性保有Webサーバ6と、正規のWebサーバと偽ってクライアント端末1に脆弱性保有Webサーバ6にアクセスを実行させてXSS攻撃を行う悪意のWebサーバ7等が接続されている。
【0018】
悪意のWebサーバ7は、XSS攻撃を行う為に、悪意の第三者のWebサイト、掲示板、電子メール、インスタントメッセンジャー等にアクセスするようクライアント端末1に促す。例えば、悪意のWebサーバ7はユーザが好んでアクセスしそうな正規のWebサーバの名を借りて、悪意のWebサーバ7のURLがリンクされた電子メールをクライアント端末1に送信する。この電子メールには有害な文字が含まれているが、ユーザは一目では判断することはできない。
【0019】
この電子メールに騙されたユーザは、正規のWebサーバのURLと信じて、脆弱性保有Webサーバ6のURLに、例えば図3のような形式でリクエストを送信する。
【0020】
不正アクセス検出装置3は、クライアント端末1から有害な文字を含むリクエストを検出しても、そのリクエストのコピーを一時記憶した後、そのまま脆弱性保有Webサーバ6に送り、返信として脆弱性保有Webサーバ6より第1のコンテンツデータを受信する。このコンテンツデータはクライアント端末1には渡さず、不正アクセス検出装置3に一時留めておく。
【0021】
次に、一時記憶されているリクエストのコピーの有害情報である有害文字データを無効化し、無効化リクエストを脆弱性保有Webサーバ6に送り、得られる第2のコンテンツデータを同じく不正アクセス検出装置3に一時留めておく。
【0022】
不正アクセス検出装置3は、第1及び第2のコンテンツデータを比較して、XSS攻撃を行う目的であると判断すると、クライアント端末1にその旨を通知し、第1及び第2のコンテンツデータをクライアント端末1に配信しない。このようにして、ユーザが気づかなかったXSS攻撃から、クライアント端末1を防御する。
【0023】
以下、不正アクセス検出装置3について詳細に説明する。
【0024】
(不正アクセス検出装置)
不正アクセス検出装置3は、図2に示すように、入力部11、出力部、入出力インタフェース13、通信制御部14、主記憶部15、セントラルプロセッシングユニット(以下、「CPU」と記載)16、一時記憶部17及び通過リスト記憶部18等より構成される。CPU16は、URL解析部16a、代理要求部16b、HTML解析部16c、パケット処理部16d、ユーザ通知部16e及び通過リスト管理部16f等を備える。CPU16がこれらのモジュールを実行することにより不正アクセス検出プログラムは実行される。
【0025】
一時記憶部17は、図1のクライアント端末1が脆弱性保有Webサーバ6等に対して送信するリクエスト及び無害化リクエスト、脆弱性保有Webサーバ6等より受信するコンテンツデータ等を一時記憶する。通過リスト記憶部18は、不正アクセス検出装置3が通過許可するコンテンツ若しくは通過許可しないコンテンツのアドレスのリストを記憶する。
【0026】
URL解析部16aは、クライアント端末1が送信するリクエストが脆弱性保有Webサーバ6に送信するものであるかを判断する為にURLの解析を行う。URL解析としては、図3のようなユーザ情報が入力されたHTTP(Hyper Text Transfer Protocol)のアクセスを受信した際に、CGIプログラムに渡される引数が図4(a)のような正規の引数でなく、図4(b)のような脆弱性保有Webサーバ6に返信する為の引数であるか否かを解析する。XSS攻撃を目的とした引数では、図4(b)のようにHTML文中に“<”や“>”等のHTMLタグで括られた中に、XSS攻撃を行うための情報が記載されている。記載される情報は個々に異なる為、このHTMLタグを示す記号を有害文字として取り扱う。
【0027】
代理要求部16bは、URLに対し代理でリクエストを要求する。このリクエストは、1つのHTTPアクセスに対し、1回目のリクエスト及び2回目の無害化リクエストの合計2回行われる。尚、代理要求部16bは、2回目の無害化リクエストの送信前に、有害文字データの無害化処理を行う。無害化処理は、図6(a)に示すような有害文字データ“<“や“>”等を、図6(a)に示すような無害文字データ“&lt”や“&gt”に変換することによって行われる。HTMLのタグを形成する“<“と“>”の間に記載されるXSS攻撃の為の情報は、無害化文字データに置き換えられることによって意味を持たないただのデータ列となる。
【0028】
HTML解析部16cは、1回目のリクエスト及び2回目の無害化リクエストの結果受信したコンテンツデータのHTML構文を解析する。HTML構文は正規のコンテンツだと図5(a)のようになるが、XSS攻撃目的であると図5(b)のように脆弱性保有Webサーバ6の情報を“<”と“>”の記号の間に記載したものとなる。
【0029】
パケット処理部16dは、クライアント端末1がインターネット5を介して外部と通信する際のパケットデータの送受信を行う。
【0030】
ユーザ通知部16eは、脆弱性保有Webサーバ6等より受信したコンテンツデータを一時記憶部17に一時記憶させた状態で、クライアント端末1に図7に示すようなHTML解析の結果情報を通知する。
【0031】
通過リスト管理部16fは、通過リスト記憶部18のデータの検索、新規登録、更新等の処理を行う。
【0032】
入力部11は、キーボード、マウス等から入力信号を受信するインタフェースである。フロッピー(登録商標)ディスク、ハードディスク等の外部記憶装置を介して入力されても良い。出力部12は、処理結果等を出力するための装置であり、具体的には液晶ディスプレイ、CRTディスプレイ、プリンタ等を指す。入出力インタフェース13は、不正アクセス検出装置3が他の装置との間において入力データ及び出力データを通信するための装置である。通信制御部14は、他の装置との間においてに対し入出力データを送受信する為の制御信号を生成する。主記憶部15は、主メモリとして、処理の手順を記述したプログラムや処理されるべきデータを一時的に記憶し、CPU16の要請に従ってプログラムの機械命令やデータを引き渡す。又、CPU16で処理されたデータは主記憶部15に書き込まれる。主記憶部15とCPU16はアドレスバス、データバス、制御信号等で結ばれている。
【0033】
(不正アクセス検出方法)
以下、不正アクセス検出装置3の動作について図8のフローチャートを参照して説明する。尚、以下の説明の前提として、クライアント端末1が、悪意のWebサーバ7より誘致の電子メール等を受信し、その電子メールに記載のURLにアクセスを行おうとしているものとする。誘致の電子メールのページは、クライアント端末1に表示するブラウザのCGI等に渡される引数によって動的に生成される。生成されたページは、ユーザに何らかのユーザ情報を入力させて送信させ、XSS攻撃の為の処理を図1の悪意のWebサーバ7や脆弱性保有Webサーバ6上にて行うことができるように構成されているものとする。
【0034】
(a)先ずステップS10において、図2のパケット処理部16dは、クライアント端末1よりリクエストの為のHTTPアクセスを受信する。ステップS15において、図2のURL解析部16aは、このHTMLアクセスのデータを、図4(a)及び(b)に示すようなCGI名やCGIに渡される引数等に分解する。
【0035】
(b)ステップS20においては、通過リスト管理部16fが、このHTTPアクセスが通過リスト記憶部18の許可リスト若しくは拒否リストに記憶されているか否かを検索し、検索結果を基に通信許可するか否かを判断する。通信許可をする場合ステップS70に進み通常のコンテンツ送信処理を行い、通信許可をしない場合はこの処理を終了する。尚、通過リスト記憶部18のリストに存在しない場合は、ステップS25へ進む。
【0036】
(c)ステップS25においては、URL解析部16aがHTMLアクセスのデータより抽出される図4(a)及び(b)に示すCGIに渡される引数等の中に有害文字データが存在するか否かを判断する。図4(a)のように有害文字データが無い場合はステップS70へ進み通常のコンテンツ送信処理を行い、図4(b)のように有害文字データが有る場合はステップS30へ進む。
【0037】
(e)ステップS30では、パケット処理部16dは、ユーザのHTTPアクセスのコピーを一時記憶部17に格納後、HTTPアクセスをそのまま脆弱性保有Webサーバ6に送信する。尚、説明の関係上、脆弱性保有Webサーバ6としているが、実際はこの段階では脆弱性保有Webサーバ6と断定できるわけではなく、脆弱性保有Webサーバ6である可能性があるWebサーバに送信している。
【0038】
(f)ステップS35において、パケット処理部16dは、HTTPアクセスへの回答として脆弱性保有Webサーバ6より送信される第1のコンテンツデータを受信し、一時記憶部17に格納する。
【0039】
(g)ステップS40においては、代理要求部16bは、一時記憶部17よりHTTPアクセスを取り出し、このデータの無害化処理として、図6(a)の有害文字データ“<“、“>”等を、図6(a)の無害文字データ“&lt”、“&gt”等に変換する。“&lt”、“&gt”等の記号は、HTMLコンテンツ中に現れると、HTMLのタグを形成するための文字ではなく、単なる一文字として認識される。これにより“<“、“>”間のXSS攻撃の為のデータは、単なる意味の無い文字データとして認識されることになる。パケット処理部16dは、無害化されたHTTPアクセスを脆弱性保有Webサーバ6に送信する。
【0040】
(h)ステップS45においては、パケット処理部16dは、無害化されたHTTPアクセスへの回答として脆弱性保有Webサーバ6より送信される第2のコンテンツデータを受信し、一時記憶部17に格納する。
【0041】
(i)ステップS50においては、図2のHTML解析部16cが、一時記憶部17より第1及び第2のコンテンツデータ取得し、両データのHTML構文を解析する。ステップS55において、解析の結果、HTML構文上異なる形式ではない場合、ステップS70において通常どおりこのコンテンツデータをクライアント端末1に送信する。HTML構文上明らかに異なる形式が現れた場合、ステップS60において、HTML解析部16cは、XSS攻撃を目的としたコンテンツデータであると判断し、このコンテンツデータをクライアント端末1には送信しない。ユーザ通知部16eは、図7のような解析結果を検討する画面をクライアント端末1に送信する。ステップS65において、図7の解析結果検討画面上の「拒否」、「許可」をユーザがクリック等にて選択すると、通過リスト処理部16fは、この選択結果を受信し、通過リスト記憶部18の許可リスト若しくは拒否リストの更新を行う。
【0042】
このステップS65の後、ステップS20に戻り、リストの判定を行い、許可リストであれば通常のコンテンツ送信処理を、拒否リストであればこのアクセスを拒否する。
【0043】
このように、外部から受信する2種類のコンテンツのHTMLの構文解析を行うことにより、XSS攻撃をいち早く発見し、リストを発行し、XSS攻撃に対する防御を行うことができる。
【0044】
(変更例1)
上記の説明において、図1の不正アクセス検出装置3は、ファイアウォール4と内部ネットワーク2の間に存在しているが、不正アクセス検出装置3の位置はこの場所に限られず、例えば、クライアント端末1の内部に同機能をインストールし、ブラウザから見たWebプロキシサーバとして動作させても構わない。
【0045】
(変更例2)
又、不正アクセス検出装置3はプロキシサーバとしてではなく、ブリッジ装置として動作することも可能である。この場合、クライアント端末1や、送信するWebサーバのIPアドレスを変える必要が無くなる。ブリッジ装置として動作する場合の不正アクセス検出装置3a及び関連装置の動作は図9に示すようになる。尚、不正アクセス検出装置3aとしての大まかな動作は、上述した図8の実施の形態の動作と同じである為、詳細な説明は割愛する。
【0046】
(a)先ず、ステップS100において、TCP(Transmission Control Protocol)通信としてSYNパケット、SYN/ACKパケット、ACKパケットを送受信することにより、クライアント端末1と不正アクセス検出装置3aのコネクションを確立する(図8のステップS10参照)。ステップS105においても同様に、不正アクセス検出装置3aと脆弱性保有Webサーバ6とのコネクションを確立する。
【0047】
(b)ステップS110において、脆弱性保有Webサーバ6より第1のコンテンツを受信する(図8のステップS15〜S35参照)。ステップS115において、脆弱性保有Webサーバ6より第2のコンテンツを受信する(図8のステップS40〜S45参照)。尚、ステップS100〜S115迄は、同一セッションにて行われることが望ましい。
【0048】
(c)ステップS120においては、不正アクセス検出装置3aはコンテンツデータの有害又は無害を判断する。無害と判断された場合のみステップS125においてクライアント端末1にコンテンツを送信する(図8のステップS55〜S75参照)。
【0049】
このように、不正アクセス検出装置3aはブリッジ装置として動作しても、効率的にXSS攻撃を防御することが可能である。
【図面の簡単な説明】
【0050】
【図1】本発明の実施の形態に係る不正アクセス検出システムを示す模式図である。
【図2】本発明の実施の形態に係る不正アクセス検出装置の構造を示す構造図である。
【図3】HTTPアクセスにて使用する画面例を示す図である。
【図4】HTTPアドレスの構造を示す図である。
【図5】HTTP構文の構造を示す図である。
【図6】HTTP構文中の有害文字及び無害文字の例を示す図である。
【図7】HTML解析結果を通知する画面を示す図である。
【図8】プロキシサーバとしての不正アクセス検出装置の動作を示すフローチャートである。
【図9】ブリッジ装置としての不正アクセス検出装置の動作を示すフローチャートである。
【符号の説明】
【0051】
1…クライアント端末
2…内部ネットワーク
3、3a…不正アクセス検出装置
4…ファイアウォール
5…インターネット
6…脆弱性保有Webサーバ
7…悪意のWebサーバ
11…入力部
12…出力部
13…入出力インタフェース
14…通信制御部
15…主記憶部
16…CPU
16a…URL解析部
16b…代理要求部
16c…HTML解析部
16d…パケット処理部
16e…ユーザ通知部
16f…通過リスト処理部
17…一時記憶部
18…通過リスト記憶部
100…不正アクセス検出システム
【特許請求の範囲】
【請求項1】
Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介してデータ送信要求を行う際、前記WebサーバのURLを解析し、前記クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するURL解析部と、
前記有害情報が検出された前記URL宛てに、前記データ送信要求を送信する第1のアクセス及び前記有害情報を無害化処理した無害化データ送信要求を送信する第2のアクセスを行う代理要求部と、
前記第1のアクセスの結果前記Webサーバより取得した第1のコンテンツと、前記第2のアクセスの結果前記Webサーバより取得した第2のコンテンツを格納する一時記憶部と、
前記一時記憶部から前記第1のコンテンツ及び前記第2のコンテンツを取得して、両者のHTML構文を解析するHTML解析部と、
構文解析の結果、前記両者のHTML構文が異なると判断された際には、前記クライアント端末に前記第1のコンテンツ及び前記第2のコンテンツを送信せず、前記構文解析の結果を通知するユーザ通知部
とを備えることを特徴とする不正アクセス検出装置。
【請求項2】
前記ユーザ通知部による前記構文解析の結果通知の回答として前記クライアント端末より受信する、通過を許可するデータ若しくは通過を許可しないデータの内少なくとも1つのデータのリストを記憶する通過リスト記憶部と、
前記通過リスト記憶部内の前記リストを参照して、前記クライアント端末に対する通信を許可するデータを判断する通過リスト管理部
とを更に備えることを特徴とする請求項1に記載の不正アクセス検出装置。
【請求項3】
Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介してデータ送信要求を行う際、URL解析部が前記WebサーバのURLを解析し、前記クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するステップと、
前記有害情報が検出されたURL宛てに代理要求部が前記データ送信要求を送信する第1のアクセスを行い、前記第1のアクセスの結果、前記Webサーバより取得した第1のコンテンツを一時記憶部に格納するステップと、
前記代理要求部が前記有害情報を無害化した無害化データ送信要求を作成し、作成された前記無害化データ送信要求を前記有害情報が検出されたURL宛てに送信する第2のアクセスを行い、前記第2のアクセスの結果、前記Webサーバより取得した第2のコンテンツを一時記憶部に格納するステップと、
前記一時記憶部から前記第1のコンテンツ及び前記第2のコンテンツを取得し、HTML解析部が両者のHTML構文を解析するステップと、
構文解析の結果、前記両者のHTML構文が異なると判断された際には、ユーザ通知部が前記クライアント端末に前記第1のコンテンツ及び前記第2のコンテンツを送信せず、前記構文解析の結果を通知するステップ
とを備えることを特徴とする不正アクセス検出方法。
【請求項4】
前記構文解析の結果通知の回答として、通過を許可するデータ若しくは通過を許可しないデータの内少なくとも1つを前記クライアント端末より取得し、通過リスト記憶部に格納するステップと、
前記通過リスト記憶部を参照して、通過リスト管理部が前記クライアント端末に対して通信を許可するデータを判断するステップ
とを更に備えることを特徴とする請求項3に記載の不正アクセス検出方法。
【請求項5】
Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介して通信を行う際、前記通信を媒体とする攻撃を防御するためのコンピュータに、
前記クライアント端末が前記Webサーバに対してデータ送信要求を行う際、URL解析部が前記WebサーバのURLを解析し、前記攻撃を起因する可能性のある有害情報を検出する命令と、
前記有害情報が検出されたURL宛てに代理要求部が前記データ送信要求を送信する第1のアクセスを行い、前記第1のアクセスの結果、前記Webサーバより取得した第1のコンテンツを一時記憶部に格納する命令と、
前記代理要求部が前記有害情報を無害化した無害化データ送信要求を作成し、作成された前記無害化データ送信要求を前記有害情報が検出されたURL宛てに送信する第2のアクセスを行い、前記第2のアクセスの結果、前記Webサーバより取得した第2のコンテンツを一時記憶部に格納する命令と、
前記一時記憶部から前記第1のコンテンツ及び前記第2のコンテンツを取得し、HTML解析部が両者のHTML構文を解析する命令と、
構文解析の結果、前記両者のHTML構文が異なると判断された際には、ユーザ通知部が前記クライアント端末に前記第1のコンテンツ及び前記第2のコンテンツを送信せず、前記構文解析の結果を通知する命令
とを実行させることを特徴とする不正アクセス検出プログラム。
【請求項6】
前記構文解析の結果通知の回答として、通過を許可するデータ及び通過を許可しないデータの内少なくとも1つを前記クライアント端末より取得し、通過リスト記憶部に格納する命令と、
前記通過リスト記憶部を参照して、通過リスト管理部が前記クライアント端末に対して通信を許可するデータを判断する命令
とを前記コンピュータに更に実行させることを特徴とする請求項5に記載の不正アクセス検出プログラム。
【請求項1】
Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介してデータ送信要求を行う際、前記WebサーバのURLを解析し、前記クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するURL解析部と、
前記有害情報が検出された前記URL宛てに、前記データ送信要求を送信する第1のアクセス及び前記有害情報を無害化処理した無害化データ送信要求を送信する第2のアクセスを行う代理要求部と、
前記第1のアクセスの結果前記Webサーバより取得した第1のコンテンツと、前記第2のアクセスの結果前記Webサーバより取得した第2のコンテンツを格納する一時記憶部と、
前記一時記憶部から前記第1のコンテンツ及び前記第2のコンテンツを取得して、両者のHTML構文を解析するHTML解析部と、
構文解析の結果、前記両者のHTML構文が異なると判断された際には、前記クライアント端末に前記第1のコンテンツ及び前記第2のコンテンツを送信せず、前記構文解析の結果を通知するユーザ通知部
とを備えることを特徴とする不正アクセス検出装置。
【請求項2】
前記ユーザ通知部による前記構文解析の結果通知の回答として前記クライアント端末より受信する、通過を許可するデータ若しくは通過を許可しないデータの内少なくとも1つのデータのリストを記憶する通過リスト記憶部と、
前記通過リスト記憶部内の前記リストを参照して、前記クライアント端末に対する通信を許可するデータを判断する通過リスト管理部
とを更に備えることを特徴とする請求項1に記載の不正アクセス検出装置。
【請求項3】
Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介してデータ送信要求を行う際、URL解析部が前記WebサーバのURLを解析し、前記クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するステップと、
前記有害情報が検出されたURL宛てに代理要求部が前記データ送信要求を送信する第1のアクセスを行い、前記第1のアクセスの結果、前記Webサーバより取得した第1のコンテンツを一時記憶部に格納するステップと、
前記代理要求部が前記有害情報を無害化した無害化データ送信要求を作成し、作成された前記無害化データ送信要求を前記有害情報が検出されたURL宛てに送信する第2のアクセスを行い、前記第2のアクセスの結果、前記Webサーバより取得した第2のコンテンツを一時記憶部に格納するステップと、
前記一時記憶部から前記第1のコンテンツ及び前記第2のコンテンツを取得し、HTML解析部が両者のHTML構文を解析するステップと、
構文解析の結果、前記両者のHTML構文が異なると判断された際には、ユーザ通知部が前記クライアント端末に前記第1のコンテンツ及び前記第2のコンテンツを送信せず、前記構文解析の結果を通知するステップ
とを備えることを特徴とする不正アクセス検出方法。
【請求項4】
前記構文解析の結果通知の回答として、通過を許可するデータ若しくは通過を許可しないデータの内少なくとも1つを前記クライアント端末より取得し、通過リスト記憶部に格納するステップと、
前記通過リスト記憶部を参照して、通過リスト管理部が前記クライアント端末に対して通信を許可するデータを判断するステップ
とを更に備えることを特徴とする請求項3に記載の不正アクセス検出方法。
【請求項5】
Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介して通信を行う際、前記通信を媒体とする攻撃を防御するためのコンピュータに、
前記クライアント端末が前記Webサーバに対してデータ送信要求を行う際、URL解析部が前記WebサーバのURLを解析し、前記攻撃を起因する可能性のある有害情報を検出する命令と、
前記有害情報が検出されたURL宛てに代理要求部が前記データ送信要求を送信する第1のアクセスを行い、前記第1のアクセスの結果、前記Webサーバより取得した第1のコンテンツを一時記憶部に格納する命令と、
前記代理要求部が前記有害情報を無害化した無害化データ送信要求を作成し、作成された前記無害化データ送信要求を前記有害情報が検出されたURL宛てに送信する第2のアクセスを行い、前記第2のアクセスの結果、前記Webサーバより取得した第2のコンテンツを一時記憶部に格納する命令と、
前記一時記憶部から前記第1のコンテンツ及び前記第2のコンテンツを取得し、HTML解析部が両者のHTML構文を解析する命令と、
構文解析の結果、前記両者のHTML構文が異なると判断された際には、ユーザ通知部が前記クライアント端末に前記第1のコンテンツ及び前記第2のコンテンツを送信せず、前記構文解析の結果を通知する命令
とを実行させることを特徴とする不正アクセス検出プログラム。
【請求項6】
前記構文解析の結果通知の回答として、通過を許可するデータ及び通過を許可しないデータの内少なくとも1つを前記クライアント端末より取得し、通過リスト記憶部に格納する命令と、
前記通過リスト記憶部を参照して、通過リスト管理部が前記クライアント端末に対して通信を許可するデータを判断する命令
とを前記コンピュータに更に実行させることを特徴とする請求項5に記載の不正アクセス検出プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−99460(P2006−99460A)
【公開日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願番号】特願2004−285163(P2004−285163)
【出願日】平成16年9月29日(2004.9.29)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願日】平成16年9月29日(2004.9.29)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]