不正アクセス監視システムおよび不正アクセス監視方法
【課題】不正アクセスを適切に阻止することを課題とする。
【解決手段】不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを設置する。そして、不正アクセス監視システムは、プログラムのダウンロードを要求するダウンロード要求が囮サーバから送信されたことで、不正アクセスの兆候を検知する。次に、不正アクセス監視システムは、不正アクセスの兆候を検知すると、ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する。続いて、不正アクセス監視システムは、抽出した識別子を記憶部に格納する。
【解決手段】不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを設置する。そして、不正アクセス監視システムは、プログラムのダウンロードを要求するダウンロード要求が囮サーバから送信されたことで、不正アクセスの兆候を検知する。次に、不正アクセス監視システムは、不正アクセスの兆候を検知すると、ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する。続いて、不正アクセス監視システムは、抽出した識別子を記憶部に格納する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス監視システムおよび不正アクセス監視方法に関する。
【背景技術】
【0002】
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、マルウェア(攻撃者が正規ユーザのサーバや端末に不正アクセスするために用いる攻撃ツールプログラム)を利用したDDoS(Distributed Denial of Services)攻撃やスパム送信、情報盗難などが挙げられる。これらの攻撃の多くは、既存のサーバを乗っ取り踏み台として他のサーバを攻撃する形で実施される。
【0003】
従来、これらの脅威に対処することを目的として、ファイアウォール機能や転送データ監視機能をルータ等のパケット転送装置に実装してサーバ監視機能を構築し、それをサーバの前段に配置することで、送受信されるデータの内容やパケットヘッダの内容に応じて通信を制御するアクセス制御技術が用いられる。この技術では、サーバ監視機能を開発したセキュリティベンダが、既知のソフトウェアの脆弱性やマルウェアを解析することで、攻撃者がサーバに対して取りうる送信メッセージパターンをシグネチャ化し、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、攻撃者の不正アクセスからサーバを防御する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−263376号公報
【特許文献2】特開2006−114044号公報
【特許文献3】特開2007−157059号公報
【特許文献4】特開2008−079028号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記した従来の技術では、不正アクセスを適切に阻止することが困難であるという課題があった。
【0006】
すなわち、上記した従来の技術では、シグネチャにマッチしない通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正アクセスを完全に阻止することは困難である。このため、例えば、セキュリティベンダにとって未知となるソフトウェア(アプリケーションに代表されるソフトウェア)の脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃には対応することができなかった。
【0007】
また、上記した従来の技術では、サーバに搭載したソフトウェア以外の脆弱性に関するシグネチャ情報もセキュリティベンダから通知されるため、必要なフィルタ情報が不必要なフィルタ情報に埋もれる可能性があった。さらに、上記した従来の技術では、継続的に発見されるソフトウェアの脆弱性に即座に追従してシグネチャを随時追加しなければならず、そのためには多大な運用コストを必要としていた。
【0008】
開示の技術は、上記に鑑みてなされたものであって、不正アクセスを適切に阻止することが可能な不正アクセス監視システムおよび不正アクセス監視方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
本願の開示する不正アクセス監視システムは、一つの態様において、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムであって、プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知手段と、前記検知手段によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出手段と、前記抽出手段によって抽出された識別子を記憶手段に格納する格納手段とを備えたことを特徴とする。
【0010】
また、本願の開示する不正アクセス監視方法は、一つの態様において、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムにおける不正アクセス監視方法であって、コンピュータが、プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知工程と、前記検知工程によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出工程と、前記抽出工程によって抽出された識別子を記憶手段に格納する格納工程とを含んだことを特徴とする。
【発明の効果】
【0011】
本願の開示する不正アクセス監視システムおよび不正アクセス監視方法の一つの態様によれば、不正アクセスを適切に阻止することが可能になるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、実施例1に係る不正アクセス監視システムの概要を説明するための図である。
【図2】図2は、実施例1におけるネットワークモデルの一例を示すブロック図である。
【図3】図3は、サーバ監視機能部の構成を説明するためのブロック図である。
【図4】図4は、サーバ監視機能部が生成するリスト例を説明するための図である。
【図5】図5は、監視機能制御サーバの構成を説明するためのブロック図である。
【図6】図6は、監視機能制御サーバが生成するマスタリスト例を説明するための図である。
【図7】図7は、想定する攻撃手順例を説明するための図である。
【図8】図8は、従来の攻撃防御の処理手順例を説明するための図である。
【図9】図9は、実施例1に係る不正アクセス監視システムにおけるデータフローを示す図である。
【図10】図10は、実施例1に係る不正アクセス監視システムによる処理手順(リスト生成)を示すシーケンス図である。
【図11】図11は、実施例1に係る不正アクセス監視システムによる処理手順(攻撃防御)を示すシーケンス図である。
【図12】図12は、監視機能制御サーバによるリスト配布を説明するための図である。
【発明を実施するための形態】
【実施例1】
【0013】
以下に、本願の開示する不正アクセス監視システムおよび不正アクセス監視方法の実施例を詳細に説明する。なお、以下の実施例により本発明が限定されるものではない。
【0014】
[実施例1に係る不正アクセス監視システムの概要]
まず、図1を用いて、実施例1に係る不正アクセス監視システムの概要を説明する。図1は、実施例1に係る不正アクセス監視システムの概要を説明するための図である。
【0015】
図1に示すように、実施例1に係る不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを設置する。
【0016】
そして、不正アクセス監視システムは、図1に示すように、囮サーバによって実行される処理を監視し、不正アクセスの兆候を検知する。例えば、不正アクセスが、マルウェアを配布するマルウェア配布サイトへの誘導を試みるものである場合に、不正アクセス監視システムは、プログラムのダウンロードを要求するダウンロード要求が囮サーバから送信されたことを不正アクセスの兆候として検知する。
【0017】
次に、不正アクセス監視システムは、図1に示すように、不正アクセスに関連して囮サーバと外部ネットワークとの間で送受信されるパケットから、不正アクセスに関連するサイトを識別する不正サイト識別子を抽出する。例えば、不正アクセス監視システムは、不正サイト識別子として、ダウンロード要求の宛先を識別する宛先識別子を、ダウンロード要求から抽出する。
【0018】
続いて、不正アクセス監視システムは、図1に示すように、抽出した不正サイト識別子を記憶部に格納する。例えば、不正アクセス監視システムは、ダウンロード要求から抽出した宛先識別子を記憶部に格納することで、マルウェア配布サイトのリストを生成する。
【0019】
このように、実施例1に係る不正アクセス監視システムは、囮サーバによって実行される処理を監視することで不正アクセスの兆候を検知し、不正アクセスの兆候を検知すると、不正サイトの識別子をパケットから抽出してリストを生成するので、不正アクセスを適切に阻止することが可能になる。
【0020】
すなわち、実施例1に係る不正アクセス監視システムは、囮サーバが攻撃を受けたその機会に、不正サイトの識別子をその都度収集し、リストを作成するので、作成したリストは、常に最新の攻撃に対応するリストとなる。この結果、このようにして作成されたリストを用いてフィルタリングが行われれば、例えば、セキュリティベンダにとって未知となるソフトウェアの脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃であっても、阻止することが可能になる。
【0021】
また、不正サイト識別子のリストは不正アクセス監視システムにおいて自動的に生成される。このため、継続的に発見されるソフトウェアの脆弱性に追従してシグネチャを随時追加しなければならない運用コストも不要となる。
【0022】
[実施例1に係る不正アクセス監視システムの構成]
次に、図2を用いて、実施例1に係る不正アクセス監視システムの構成を説明する。図2は、実施例1におけるネットワークモデルの一例を示すブロック図である。
【0023】
図2に示すように、ネットワーク1は、データ中継装置6〜9を経由することでネットワーク2〜5を収容している。ここで、データ中継装置とは、一般的なルータやスイッチ、ゲートウェイ装置などである。また、ネットワーク1は、インターネットのような広域ネットワークであり、ネットワーク2〜5は、それ以外のLAN(Local Area Network)やホームネットワークなどのネットワークである。
【0024】
データ中継装置6は、顧客から預かるユーザWebサーバ10、11を収容し、サーバ監視機能部14経由で囮Webサーバ16、17も収容している。
【0025】
なお、サーバ監視機能部14は、図2に示すようにデータ中継装置6の外に配置してもよいが、データ中継装置6の一機能の位置付けでデータ中継装置6内に配置してもよい。
【0026】
また、サーバ監視機能部14、囮Webサーバ16および囮Webサーバ17の物理インタフェースを1口とするのであれば、各々の装置に接続した物理リンクをルータやスイッチ、ハブなどの転送装置に接続すればよい。すなわち、例えば、サーバ監視機能部14、囮Webサーバ16および囮Webサーバ17それぞれの物理インタフェースを1台のルータに接続し、該ルータの他の物理インタフェースを、データ中継装置6に接続すればよい。一方で、各サーバ監視機能部14、囮Webサーバ16および囮Webサーバ17の物理インタフェースを複数口とするのであれば、サーバ監視機能部14と囮Webサーバ16および囮Webサーバ17をハブ&スポーク状に物理リンクで接続すればよい。すなわち、例えば、囮Webサーバ16および囮Webサーバ17それぞれの物理インタフェースをサーバ監視機能部14のある物理インタフェースに接続し、サーバ監視機能部14の他の物理インタフェースをデータ中継装置6に接続すればよい。これはデータ中継装置6、ユーザWebサーバ10およびユーザWebサーバ11も同様である。
【0027】
同様に、データ中継装置7は、顧客から預かるユーザWebサーバ12、13を収容し、サーバ監視機能部15経由で囮Webサーバ18、19も収容している。
【0028】
これらのネットワーク2、3では、囮WebサーバとユーザWebサーバとを各々2台配置しているが、台数は単数でも3台でもよく、1台のデータ中継装置に収容される囮Webサーバの台数とユーザWebサーバの台数とが異なってもよい。さらに、攻撃情報の収集のみを目的にして囮Webサーバのみを配置してもよい。
【0029】
囮サーバには、脆弱性のあるソフトウェアを搭載する。実施例1では、脆弱性のあるWebアプリケーションを搭載することになる。搭載するソフトウェアは単数でも複数でもよい。この囮Webサーバを構築する際、脆弱性を利用しないようなアクセスでは外部へプログラムのダウンロード要求を送信しないような環境を構築する。例えば、他のWebサイトにプログラムのダウンロード要求を送信する機能へのアクセスを拒否したり、脆弱性のあるログイン画面のみ表示するが入力は不可能なように設定したり、複数のページを閲覧可能なようにしておくが入力やデータベースの書き換えなどを制限したりするなどが考えられる。
【0030】
また、ネットワーク1には、不正アクセスを試行する攻撃者が使用する端末20や、攻撃者が正規ユーザやユーザWebサーバに不正アクセスするために用いるマルウェアを保存しているマルウェア配布サーバ21が、各々データ中継装置8、9経由で収容されている。
【0031】
さらに、実施例1においては、各サーバ機能監視部14、15と接続する機能を保有する監視機能制御サーバ22が配置される。監視機能制御サーバ22は、各サーバ監視機能部14、15と、インチャネル方式もしくはアウトチャネル方式により接続されるが、その形態は、ネットワーク1経由である場合もあれば、監視機能制御サーバ22と各サーバ監視機能部間を接続する独自ネットワーク経由である場合もある。
【0032】
[サーバ監視機能部の構成]
次に、図3および図4を用いて、サーバ監視機能部の構成を説明する。図3は、サーバ監視機能部の構成を説明するためのブロック図であり、図4は、サーバ監視機能部が生成するリスト例を説明するための図である。なお、図3においては、サーバ監視機能部14を説明するが、サーバ監視機能部15も同様の構成となる。
【0033】
図3に示すように、サーバ監視機能部14は、スケジューリング部24、ダウンロード検知部25およびサーバリフレッシュ部26を有する送受信データ監視部23と、送受信データ記録部27と、プログラム監査部28と、リスト生成管理部29と、制御サーバ送受信部30とを有する。
【0034】
スケジューリング部24は、データ中継装置から受信したパケットから、囮Webサーバへのリクエストメッセージに相当するパケットを抽出する機能を有する。また、スケジューリング部24は、抽出したリクエストメッセージの状態管理を実施し、転送を一旦停止する機能を有する。なお、転送を一旦停止する機能は、囮Webサーバからのレスポンスメッセージに相当するパケットを受信するまでの間継続される。
【0035】
囮Webサーバへのリクエストメッセージの判断基準としては、TCP(Transmission Control Protocol)通信の際にはセッション開始に相当するパケットを検知したという基準など、また、UDP(User Datagram Protocol)通信の際には一定期間観測されなかったパケット送信元識別子を検知したという基準などが考えられる。なお、スケジューリング部24による処理は、囮Webサーバ毎に実施される。
【0036】
ダウンロード検知部25は、囮Webサーバが通信を開始したパケットを検知する機能を有する。また、ダウンロード検知部25は、当該パケットへのレスポンスとしてデータ中継装置から受信したプログラムダウンロードを検知する機能を有する。また、ダウンロード検知部25は、当該プログラムダウンロードを検知した際に、後述のプログラム監査部28へ、囮Webサーバが通信を開始してからプログラムダウンロードを完了するまでに送受信したパケットのコピーを送信する機能を有する。
【0037】
サーバリフレッシュ部26は、送受信データ監視部23によって囮Webサーバからのレスポンスメッセージに相当するパケットが検知されると、データ中継装置からのリクエストメッセージに相当するパケットを受信する前の状態に囮Webサーバを戻す機能を有する。
【0038】
例えば、囮WebサーバをVMwareという仮想化機能を用いて実装すれば、VMwareに搭載されているリバート機能を用いて実現できる。また、近年では、サーバ環境をコピーする技術が普及しているので、囮Webサーバのマスタ環境を用意しておき、このマスタを囮Webサーバに上書きコピーすることでも実現できる。
【0039】
送受信データ監視部23は、スケジューリング部24とダウンロード検知部25とサーバリフレッシュ部26とを動作させて、データ中継装置と囮Webサーバとの間の転送パケットおよび囮Webサーバを監視する機能を有する。また、送受信データ監視部23は、転送パケットの内容データを送受信データ記録部27に送信する機能を有する。
【0040】
この際採取する転送パケットの内容データとしては、tcpdumpのような詳細なデータや、Apacheのログのようなデータが考えられるが、採取方法は運用形態に応じて決定する。例えばApacheのログのようなデータを採取する場合は、送受信データ監視部23上に囮Webサーバ用のリバースプロキシを配置し、リバースプロキシ上のApacheでログを採取すればよい。
【0041】
さらに、データ送信間隔としては、リアルタイムにデータを送信する形と、一定周期毎のデータを蓄積して定期的に送信する形があるが、これも運用形態に応じて決定することとする。ここで定期的に送信する形態をとる場合、当該間隔を管理するためのタイマが必要になる。
【0042】
また、上記では、送受信データ監視部23が送受信データ記録部27にデータを送信する形態を説明したが、送受信データ記録部27が定期的に送受信データ監視部23に蓄積されたデータを取得する形態をとることが可能である。
【0043】
送受信データ記録部27は、送受信データ監視部23から受信したデータを時刻情報とともに保存管理する機能を有する。また、上記したように、送受信データ記録部27が送受信データ監視部23にデータ送信を要求する形態と、送受信データ監視部23が送受信データ記録部27に自動的にデータを送信する形態とをとりえるが、前者を採用する場合は、送受信データ記録部27は、定期的にデータ送信を要求するために、要求周期を管理するためのタイマが必要になる。
【0044】
プログラム監査部28は、ダウンロード検知部25から受信したパケットを用いて、囮Webサーバとデータ中継装置との間でのデータ転送を再現する機能を有する。また、プログラム監査部28は、データ転送を再現した際に、囮Webサーバにプログラムがダウンロードされるか否かを確認する機能を有する。また、プログラム監査部28は、ダウンロードを確認した際に、当該プログラムの動作を仮想的な閉域領域で確認する機能を有する。
【0045】
また、プログラム監査部28は、確認の結果、記録すべきプログラムだと判断された場合は、ダウンロード検知部25から受信したデータおよび送受信データ記録部27に記録されているデータから、当該ダウンロードを要求するために囮Webサーバが通信を開始した送信パケットの宛先識別子を抽出する機能を有する。
【0046】
また、プログラム監査部28は、抽出した情報を後述のリスト生成管理部29に送信する機能を有する。この際、プログラム監査部28は、ダウンロードしたプログラムおよびダウンロードの送信元識別子も同時に抽出してリスト生成管理部29に送信してもよい。宛先識別子や送信元識別子としては、URL(Uniform Resource Locator)やURI(Uniform Resource Identifier)、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等の識別子が挙げられる。
【0047】
また、データ転送を再現する機能およびデータ転送再現時のダウンロード発生および当該プログラムの動作を確認して記録すべきプログラムだと判断する機能は、従来、Sandboxというセキュリティモデルで採用されている機能を流用することでも実現できる。
【0048】
リスト生成管理部29は、プログラム監査部28から受信した識別子等の情報を、リスト形式で保存する機能を有する。
【0049】
一例としては、例えば、図4に示すように、リスト生成管理部29は、項目としてURL、IPアドレス、ダウンロードファイル名を有するデータベースを構築し、プログラム監査部28から受信した情報を当該データベースに入力する。この際、データベースに保有させる項目は、例えば実際にユーザWebサーバもしくはその前段に配置された装置に実装されたFirewallなどのフィルタ機構に沿う形で決定するか、もしくは、プログラム監査部28が転送パケットから採取可能な全情報を保存可能なように決定する。なお、プログラムファイルについては、内容を表示してもよいが、ファイル名およびファイルを保存しているディレクトリ名を含めたパスを表示すればよい。
【0050】
また、当該リストの各エントリには、図4に示すように、初検出時間や最終検出時間、検出回数を記録してもよい。この際、初検出時間とは、当該エントリを書き込んだ時間であり、最終検出時間とは、各リストの既登録エントリの再検出時間であり、既登録エントリと重複するエントリの書き込みが発生した際に、新エントリを生成する代わりに最終検出時間を更新するものとする。また、この際、初期値を1とした検出回数を1増加させることで、それまでに当該エントリと重複するエントリの書き込みが何回発生したかを記録させる。
【0051】
ここで、図4には、攻撃種類として、「DB」という種類を記述している。これは、実施例2として後述するデータベース変更検知時に記述する内容の例を示すものである。なお、リストの各項目は、該当項目が検知できなかった際は空欄となる。
【0052】
制御サーバ送受信部30は、リスト生成管理部29が生成したリスト情報をファイル化して監視機能制御サーバ22に送信する機能を有する。また、制御サーバ送受信部30は、監視機能制御サーバ22から受信したリストファイルを元にリスト生成管理部29の保有情報を書き換える機能を有する。
【0053】
この際、リストファイル送信間隔としては、リストが更新された際に送信する形と、定期的にリストを送信する形とがあるが、これは運用形態に応じて決定することとする。ここで、定期的に送信する形態をとる場合、当該間隔を管理するためのタイマが必要となる。また、上記では、制御サーバ送受信部30が監視機能制御サーバ22にリストファイルを送信する形態を説明しているが、監視機能制御サーバ22が定期的にリストファイル送信要求を制御サーバ送受信部30に送信する形態をとることが可能である。
【0054】
上記してきたように、サーバ監視機能部14は、囮Webサーバからのプログラムダウンロード要求を検知した際に、当該ダウンロードを要求するために囮Webサーバが通信を開始した際に送信したパケットの宛先識別子を抽出して記録する。これにより、不正アクセスを試行するユーザがプログラムを配信するために使用した装置の識別子リストを自動的に生成するサービス、または当該リストに記載された装置へのアクセスを制限する設定を顧客のサーバまたは顧客のサーバをネットワークへ接続する装置に施すサービスを提供することが可能になる。
【0055】
[監視機能制御サーバの構成]
次に、図5および図6を用いて、監視機能制御サーバの構成を説明する。図5は、監視機能制御サーバの構成を説明するためのブロック図であり、監視機能制御サーバが生成するマスタリスト例を説明するための図である。
【0056】
図5に示すように、監視機能制御サーバ22は、サーバ監視機能接続部31、リスト収集部33、およびマスタリスト配布部34からなるマスタリスト生成部32から構成される。
【0057】
サーバ監視機能接続部31は、各サーバ監視機能部内の制御サーバ送受信部と接続する機能を有する。この際、接続方法としては、インチャネル方式もしくはアウトチャネル方式により接続されるが、その形態は、インターネットのような広域ネットワーク経由である場合もあれば、独自ネットワーク経由である場合もある。すなわち、同一アドレス体系を保有することや、パケット転送テーブルを保有して送信パケットの宛先識別子から出力物理インタフェース等を特定する機能を有する。
【0058】
リスト収集部33は、サーバ監視機能接続部31経由で、各サーバ監視機能部からリストファイルを収集して管理する機能を有する。実施例1におけるリスト収集部33は、各サーバ監視機能部からリストを収集した最終日時等を確認し、一定期間リストファイルの受信が確認できないサーバ監視機能部に対して、リストファイル送信要求を送信する。
【0059】
マスタリスト配布部34は、マスタリスト生成部32が生成したマスタリストを各サーバ監視機能部へ配布管理する機能を有する。実施例1におけるマスタリスト配布部34は、各サーバ監視機能部に対してサーバ監視機能接続部31経由で最新のマスタリストを配布するとともに、最新のマスタファイルの配布が完了したか否かを管理する。
【0060】
マスタリスト生成部32は、リスト収集部33が収集した各サーバ監視機能部上のリストから、全サーバ監視機能部上で検知されている情報を統合してマスタリストを生成する機能を有する。
【0061】
マスタリスト生成過程の一例を図6に示す。(A)および(B)は、異なるサーバ監視機能部が生成したリストであり、(C)がマスタリストとなる。マスタファイルでは、URL、IPアドレス、port、攻撃種別が同一のエントリをマージする。この際、初検出時間は早いものを、最終検出時間は遅いものを採用する。また、攻撃情報は、各サーバ監視機能部で使われているファイル名に当該サーバ監視機能部の識別子を付与する形で命名される。なお、攻撃情報のファイルは、サーバ監視機能部に保存しておくが、運用形態に応じて、監視機能制御サーバ22が収集してもよく、この際は、監視機能制御サーバ内で唯一の名前であればファイル名は任意でよい。
【0062】
マスタリストを受信したサーバ監視機能部は、自身の保有するリストに対し、マスタリストに記載されているエントリと同一のURL、IPアドレス、port、攻撃種別を有するエントリに関しては、初検出時間、最終検出時間および回数をマスタリストに記載された内容に変更し、それ以外のマスタリストのエントリに関しては、新たにリストに追記する。この際、攻撃情報については記載しないか、監視機能制御サーバが保有している旨を記述する。
【0063】
このように、監視機能制御サーバ22は、複数のサーバ監視機能部からリスト情報を収集するとともに、各サーバ監視機能部に不足しているリスト情報を抽出してサーバ監視機能部に通知する。これにより、複数地点で監視した結果を元に不正アクセスを試行するユーザがプログラムを配信するために使用する装置の識別子リストを自動的に生成することが可能になる。
【0064】
さらに、例えば、複数の事業者が各々で特定した装置の識別子リストを事業者間で共有することが可能になる。また、複数の事業者が各々で特定した装置の識別子リストを他事業者に売却するためのプラットフォームを提供することが可能になる。また、リストに記載された装置へのアクセスを制限する設定を顧客のサーバもしくは顧客のサーバをネットワークへ接続する装置に施すことが可能になる。
【0065】
[実施例1に係る不正アクセス監視システムの処理手順]
続いて、図7〜11を用いて、実施例1に係る不正アクセス監視システムの処理手順を説明する。図7は、想定する攻撃手順例を説明するための図であり、図8は、従来の攻撃防御の処理手順例を説明するための図であり、図9は、実施例1に係る不正アクセス監視システムにおけるデータフローを示す図であり、図10は、実施例1に係る不正アクセス監視システムによる処理手順(リスト生成)を示すシーケンス図であり、図11は、実施例1に係る不正アクセス監視システムによる処理手順(攻撃防御)を示すシーケンス図である。
【0066】
[想定している攻撃手順例]
図7に示すように、攻撃者は、自身の端末を用い、ユーザWebサーバの脆弱性をつくアクセスを実施する(ステップS1)。この際、脆弱性ともいえる遠隔ファイル実行命令などが埋め込まれ、そのアクセス先として、マルウェアをダウンロードさせるために攻撃者が配置したマルウェア配布サイトが記述されている。
【0067】
本アクセスを受けたユーザWebサーバは、指定された遠隔ファイル実行命令に従い、マルウェア配布サイトへアクセスする(ステップS2)。
【0068】
すると、マルウェア配布サイトは、当該アクセスへのリプライとしてマルウェア、すなわちプログラムファイルをユーザWebサーバへ送信する(ステップS3)。
【0069】
本プログラムを受信したユーザWebサーバ上でプログラムファイルは実行され、ユーザWebサーバはマルウェアに感染し(ステップS4)、その後、ユーザWebサーバから攻撃者端末に、アクセスへのリプライが送信される(ステップS5)。
【0070】
その結果、攻撃者の不正アクセスを許容し、攻撃者の操作に従って他のユーザにDoS攻撃やスパム送信を実行する(ステップS6)。
【0071】
[従来方式]
この問題を解決するための手段として採用されている従来方式を説明する。図8に示すように、従来方式では、ユーザWebサーバの前段にサーバ監視機能部を配備し、さらに、当該サーバ監視機能部に、セキュリティベンダが解析した脆弱性情報に基づくフィルタを設定する。これにより、既知の脆弱性を利用した攻撃者からのアクセスを防ぐことが可能になる。
【0072】
しかし、一方で、セキュリティベンダが解析していない脆弱性情報に基づく攻撃者からのアクセスは防ぐことができない。例えば、最新の脆弱性情報に基づく攻撃や、主流ではないソフトウェアの脆弱性情報に基づく攻撃については、本方式の有効性は低く、不正アクセスを適切に阻止することができない。
【0073】
[サーバ監視機能部のデータフロー]
続いて、図9を用いて、実施例1に係る不正アクセス監視システムにおけるデータフローを説明する。図9に示すように、実施例1におけるサーバ監視機能部14において、スケジューリング部24が、101のように、データ中継装置からのパケットを受信する。この際、スケジューリング部24は、パケットの内容から、囮Webサーバへのリクエストメッセージに該当するパケットか否かを確認し、リクエストメッセージに該当するパケットである際は、当該囮Webサーバに対応するキューにパケットを送信する。
【0074】
ここで、スケジューリング部24は、処理中のリクエストメッセージの処理が終了するまで、当該パケットの送信を停止する。パケットは、囮Webサーバに転送される前に、102のように、送受信データ監視部23において記録され、その内容は、103のように、送受信データ記録部27に保存され、その後、104のように、囮Webサーバに送信される。
【0075】
囮Webサーバからのパケットは、105のように、ダウンロード検知部25により受信される。この際、ダウンロード検知部25は、囮Webサーバから通信を開始したと考えられるパケットを検知し、また、当該パケットへのレスポンスであるプログラムダウンロードを検知する。そして、ダウンロード検知部25は、106のように、パケットへのリプライに相当するパケットとともに(すなわち、囮Webサーバが通信を開始してからプログラムダウンロードを完了するまでに送受信したパケットのコピーを)、プログラム監査部28に送信する。プログラム監査部28は、リプライに相当するパケットを囮Webサーバに送信した際に囮Webサーバ上で観測されうるプログラムを監査し、監査の結果、記録すべきプログラムであると判断した場合に、囮Webサーバから通信を開始したと考えられるパケットの宛先識別子を、107および108のように送受信データ記録部27のデータを参照しつつ特定し、当該情報およびプログラム情報を、109のように、リスト生成管理部29へ通知する。
【0076】
具体的には、まず、プログラム監査部28は、パケットのコピーを保持しているので、このパケットから宛先識別子(IPアドレスやURLなど)を特定する。次に、プログラム監査部28は、送受信データ記録部27に記憶されているデータに関して、IPアドレスやURLなどをキーにして参照し、実際の送受信時間など追加の情報を獲得する。なお、時間情報の獲得が必要でない場合には、プログラム監査部28は必ずしも送受信データ記録部27に記憶されているデータを参照する必要はない。
【0077】
ここで、リスト生成管理部29は、当該宛先識別子のリストを生成するとともに、110のように、制御サーバ送受信部30経由で監視装置制御サーバ22に自身のリストをファイル化して送信する。また、リスト生成管理部29は、111のように、監視装置制御サーバ22からリストファイルを受信した際は、当該リストファイルに基づいて自身のリストを更新する。
【0078】
また、囮Webサーバからデータ中継装置に向けてリクエストメッセージに対するレスポンスメッセージに該当するパケットを送受信データ監視部23で検知した際には、送受信データ監視部23は、当該メッセージをデータ中継装置に転送するとともに、サーバリフレッシュ部26を用いて、囮Webサーバをリクエストメッセージを受信する前の状態に戻す。
【0079】
[処理手順(リスト生成)]
図10に示すように、攻撃者は、自身の端末を用い、囮Webサーバの脆弱性をつくアクセスを実施する(ステップS201)。この際、脆弱性ともいえる遠隔ファイル実行命令が埋め込まれ、そのアクセス先として、マルウェアをダウンロードさせるために攻撃者が配置したマルウェア配布サイトが記述されている。
【0080】
サーバ監視機能部は、当該アクセスを記録して、囮Webサーバに転送する(ステップS202)。
【0081】
一方、本アクセスを受けた囮Webサーバは、指定された遠隔ファイル実行命令に従い、マルウェア配布サイトへアクセスする(ステップS203)。
【0082】
この際、サーバ監視機能部は、当該アクセスを記録して、転送する(ステップS204)。
【0083】
すると、マルウェア配布サイトは、当該アクセスへのリプライとして、マルウェア、すなわちプログラムファイルを囮Webサーバへ送信する(ステップS205)。
【0084】
この際、サーバ監視機能部は、当該アクセスを記録し、囮Webサーバに転送するとともに(ステップS206)、さらに、プログラム内容を監査してマルウェアの送信を確認する。
【0085】
一方、本プログラムを受信した囮Webサーバ上で、プログラムファイルは実行され、その結果は、攻撃者へリプライという形で伝わる一方(ステップS207)、攻撃者の操作に従って他のユーザにDoS攻撃やスパム送信が発生する前に、囮Webサーバを攻撃者のアクセス前の状態に戻し(ステップS208)、これと並行して、マルウェア配布サイトのリストを生成する。この際、他者への攻撃発生を防ぐ意味で、囮Webサーバから他ユーザへのアクセスを制限する方法を併用してもよい。
【0086】
[処理手順(攻撃防御)]
実施例1に係る不正アクセス監視システムは、従来のように、ソフトウェアの脆弱性に基づく攻撃者からのアクセス(ステップS301)をフィルタするのではなく、マルウェア配布サイトへの誘導をフィルタする(ステップS302)。
【0087】
これにより、ソフトウェアの脆弱性が未知である場合や、主流でないソフトウェアの脆弱性を利用された攻撃に対しても、マルウェア感染前にその攻撃を防御することが可能になる。
【0088】
また、これと同時に、図12に示すように、監視機能制御サーバ22を用いて各サーバ監視機能部が生成したリストを全サーバ監視機能部で共有することで、その防御確率を高めることが可能になる。なお、図12は、監視機能制御サーバによるリスト配布を説明するための図である。
【0089】
[実施例1の効果]
上記してきたように、実施例1に係る不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮Webサーバを設置する。そして、サーバ監視機能部のダウンロード検知部が、囮Webサーバによって実行される処理を監視し、プログラムのダウンロードを要求するダウンロード要求が囮Webサーバから送信されたことを検知することで、不正アクセスの兆候を検知する。次に、サーバ監視機能部のプログラム監査部が、不正サイト識別子として、ダウンロード要求の宛先を識別する宛先識別子を該ダウンロード要求から抽出し、リスト生成管理部が、不正サイト識別子のリストを作成する。また、実施例1に係る不正アクセス監視システムは、サーバ監視機能部のリスト生成管理部によって作成されたリストを、例えばデータ中継装置などに適用することで、不正サイト識別子を含むパケットをフィルタリングする。
【0090】
このように、実施例1に係る不正アクセス監視システムによれば、攻撃者がアプリケーション提供サーバ等に不正アクセスする際に利用されるマルウェアを代表としたプログラムのダウンロード、囮Webサーバおよびその前段に配置したサーバ監視機能部を用いて検知し、プログラムダウンロードを引き起こした装置の識別子リストを自動的に生成することが可能になる。また、ダウンロード元へのアクセスを制御する設定をユーザWebサーバおよびその前段に配置したファイアウォール機能相当の制御部に施すことが可能になる。
【0091】
これにより、ソフトウェアの新しい脆弱性が短期間で発見された際や、顧客のサーバが主流でないソフトウェアを搭載していた際であっても、顧客のサーバを、マルウェアを代表としたプログラムの感染から保護することができる。さらに、フィルタ制御に必要となる情報を自動的に取得することができる。このため、多種多様なソフトウェアを搭載するサーバファームをまとめて監視しても、不正アクセスや誤検知が起きない検知、防御サービスを低コストで実現できる。
【0092】
また、実施例1に係る不正アクセス監視システムは、囮Webサーバを設置したサイトごとにサーバ監視機能部を有するものであって、監視機能制御サーバが、サイトごとに設置されたサーバ監視機能部からリストを収集し、収集したリストを用いてマスタリストを作成し、作成したマスタリストを各サイトのサーバ監視機能部に配布する。
【0093】
言い換えると、複数のサーバ監視機能部との接続インタフェースを保有する監視機能制御サーバをネットワーク内に配置し、監視機能制御サーバが、複数のサーバ監視機能部からリスト情報を収集するとともに、各サーバ監視機能部に対して、他のサーバ監視機能部上で観測された不足しているリスト情報を抽出して当該サーバ監視機能部に通知する。
【0094】
このようなことから、各サーバ監視機能部が作成したリスト(複数地点で監視した結果)を全サーバ監視機能部で共有することができ、その防御確率を高めることが可能になる。例えば、複数の事業者が各々で特定したリストを事業者間で共有することが可能になり、複数の事業者が各々で特定したリストを他の事業者に売却するためのプラットフォームを提供することも可能になる。
【0095】
上記してきたように、実施例1に係る不正アクセス監視システムは、Webサーバに代表されるようなアプリケーション提供サーバを、悪意あるユーザの攻撃から防衛することができる。特に、IDS(Intrusion Detection System)や、WAF(Web Application Firewall)でみられるような攻撃トラヒックを検知してアクセス制御を実施することに有効である。
【実施例2】
【0096】
これまで本発明の実施例1について説明してきたが、本発明は上記の実施例以外にも、種々の異なる形態にて実施されてよいものである。
【0097】
[データベースの遠隔操作]
実施例1では、不正アクセスが、マルウェア配布サイトへの誘導を試みるものであることを想定したが、本発明はこれに限られるものではなく、他の不正アクセスに対しても同様に適用することができる。例えば、不正アクセスが、データベースの遠隔操作を行うものであってもよい。
【0098】
この場合には、サーバ監視機能部は、例えば、囮サーバのデータベースに変更が生じたことを不正アクセスの兆候として検知する。そして、サーバ監視機能部は、囮サーバと外部ネットワークとの間で送受信されたパケットの記録情報から、データベースの変更を指定したパケットを、例えばメッセージ内容を参照することなどで特定する。次に、サーバ監視機能部は、データベースの変更を指定したパケットの送信元を識別する送信元識別子をパケットから抽出し、抽出した送信元識別子でリストを作成する。このリストは、不正アクセスのサイトのリストとなる。なお、サーバ監視機能部は、変更前のデータベースの内容を保持することで、変更前後の差分を抽出することができ、また、変更後のデータベースを変更前のデータベースで上書きすることで、変更前のデータベースに囮サーバを戻すことができる。
【0099】
すなわち、図3に示した構成を用いて一例を挙げて説明すると、例えばダウンロード検知部25が、囮Webサーバへリクエストメッセージに相当するパケットを送信した後、当該リクエストメッセージへのレスポンスメッセージに相当するパケットを囮Webサーバから受信した際に、囮Webサーバのデータベースの内容を閲覧および記録する機能を有する。また、例えばダウンロード検知部25が、後者のパケットを囮Webサーバから受信した際に、記録している囮Webサーバのデータベースと、閲覧している囮Webサーバのデータベースとの内容を比較し、差分があった際に、変更されたデータベースの内容と、リクエストメッセージに相当するパケットの送信元識別子を抽出してリスト生成管理部29に通知する機能を有する。
【0100】
これにより、不正アクセスを試行するユーザが引き起こすデータベース操作およびデータベース操作を遠隔実施した装置の識別子リストを自動的に生成するサービス、または当該リストに記載された装置へのアクセスを制限する設定を顧客のサーバまたは顧客のサーバをネットワークへ接続する装置に施すサービスを併せて提供することが可能になる。
【0101】
なお、当然のことながら、本発明に係る不正アクセス監視システムは、マルウェア配布サイト、データベースの遠隔操作、その他の不正アクセスなど、複数種類の不正アクセスに対して同時に適用するものであってもよい。
【0102】
[必要なフィルタ情報のみの収集]
また、不正アクセス監視システムは、囮サーバに所定の脆弱性を有するソフトウェアを搭載することで、必要なフィルタ情報のみを収集することも可能である。例えば、不正アクセスを防止したいユーザWebサーバがあった場合に、このユーザWebサーバに搭載されているソフトウェアと同一のソフトウェアを囮Webサーバに搭載しておく。すると、ユーザWebサーバへ発生する可能性がある攻撃が、囮Webサーバに発生することになる。これは、二つのサーバが共通して搭載しているソフトウェアの脆弱性を利用した攻撃が発生しているからである。このような場合に、不正アクセス監視システムは、例えば攻撃者から囮Webサーバに向かうパケット内に記述されている識別子をリストとして記憶し、このリストを用いてユーザWebサーバに向かうパケットを監査もしくは適宜フィルタすることで、ユーザWebサーバを不正アクセスから守ることが可能になる。
【0103】
なお、この場合に、不正アクセス監視システムは、例えば、不正アクセスが所定の脆弱性を利用した不正アクセスであるか否かを判断する判断部と、判断部によって不正アクセスが所定の脆弱性を利用した不正アクセスであると判断された場合にのみ、囮Webサーバが応答するように制御する応答部とをさらに備えてもよい。
【0104】
すなわち、攻撃者からの不正アクセスのパケット中には、アプリケーションがインストールされているディレクトリの情報が記述されている。このため、例えば判断部は、このディレクトリの情報を用いて、どのソフトウェアが攻撃されたものであるかを判断することができる。そこで、応答部は、判断部によって、所定のソフトウェアが攻撃されたと判断された場合にのみ囮Webサーバが応答するように、囮Webサーバを制御することができるのである。
【0105】
こうして、顧客のサーバ上で発生し得る不正アクセスを引き起こすプログラムを配信するために使用された装置のみの装置識別子リストを自動的に生成することが可能になる。さらに、当該リストに記載された装置へのアクセスを制限する設定を顧客のサーバもしくは顧客のサーバをネットワークへ接続する装置に施すことが可能になる。
【産業上の利用可能性】
【0106】
以上のように、本願の開示する不正アクセス監視システムおよび不正アクセス監視方法は、不正アクセスを阻止することに有用であり、特に、不正アクセスを適切に阻止することに適している。
【符号の説明】
【0107】
1 ネットワーク
2 ネットワーク
3 ネットワーク
4 ネットワーク
5 ネットワーク
6 データ中継装置
7 データ中継装置
8 データ中継装置
9 データ中継装置
10 ユーザWebサーバ
11 ユーザWebサーバ
12 ユーザWebサーバ
13 ユーザWebサーバ
14 サーバ監視機能部
15 サーバ監視機能部
16 囮Webサーバ
17 囮Webサーバ
18 囮Webサーバ
19 囮Webサーバ
20 攻撃者端末
21 マルウェア配布サーバ
22 監視機能制御サーバ
23 送受信データ監視部
24 スケジューリング部
25 ダウンロード検知部
26 サーバリフレッシュ部
27 送受信データ記憶部
28 プログラム監査部
29 リスト生成管理部
30 制御サーバ送受信部
31 サーバ監視機能接続部
32 マスタリスト生成部
33 リスト収集部
34 マスタリスト配布部
【技術分野】
【0001】
本発明は、不正アクセス監視システムおよび不正アクセス監視方法に関する。
【背景技術】
【0002】
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、マルウェア(攻撃者が正規ユーザのサーバや端末に不正アクセスするために用いる攻撃ツールプログラム)を利用したDDoS(Distributed Denial of Services)攻撃やスパム送信、情報盗難などが挙げられる。これらの攻撃の多くは、既存のサーバを乗っ取り踏み台として他のサーバを攻撃する形で実施される。
【0003】
従来、これらの脅威に対処することを目的として、ファイアウォール機能や転送データ監視機能をルータ等のパケット転送装置に実装してサーバ監視機能を構築し、それをサーバの前段に配置することで、送受信されるデータの内容やパケットヘッダの内容に応じて通信を制御するアクセス制御技術が用いられる。この技術では、サーバ監視機能を開発したセキュリティベンダが、既知のソフトウェアの脆弱性やマルウェアを解析することで、攻撃者がサーバに対して取りうる送信メッセージパターンをシグネチャ化し、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、攻撃者の不正アクセスからサーバを防御する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−263376号公報
【特許文献2】特開2006−114044号公報
【特許文献3】特開2007−157059号公報
【特許文献4】特開2008−079028号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記した従来の技術では、不正アクセスを適切に阻止することが困難であるという課題があった。
【0006】
すなわち、上記した従来の技術では、シグネチャにマッチしない通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正アクセスを完全に阻止することは困難である。このため、例えば、セキュリティベンダにとって未知となるソフトウェア(アプリケーションに代表されるソフトウェア)の脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃には対応することができなかった。
【0007】
また、上記した従来の技術では、サーバに搭載したソフトウェア以外の脆弱性に関するシグネチャ情報もセキュリティベンダから通知されるため、必要なフィルタ情報が不必要なフィルタ情報に埋もれる可能性があった。さらに、上記した従来の技術では、継続的に発見されるソフトウェアの脆弱性に即座に追従してシグネチャを随時追加しなければならず、そのためには多大な運用コストを必要としていた。
【0008】
開示の技術は、上記に鑑みてなされたものであって、不正アクセスを適切に阻止することが可能な不正アクセス監視システムおよび不正アクセス監視方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
本願の開示する不正アクセス監視システムは、一つの態様において、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムであって、プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知手段と、前記検知手段によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出手段と、前記抽出手段によって抽出された識別子を記憶手段に格納する格納手段とを備えたことを特徴とする。
【0010】
また、本願の開示する不正アクセス監視方法は、一つの態様において、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムにおける不正アクセス監視方法であって、コンピュータが、プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知工程と、前記検知工程によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出工程と、前記抽出工程によって抽出された識別子を記憶手段に格納する格納工程とを含んだことを特徴とする。
【発明の効果】
【0011】
本願の開示する不正アクセス監視システムおよび不正アクセス監視方法の一つの態様によれば、不正アクセスを適切に阻止することが可能になるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、実施例1に係る不正アクセス監視システムの概要を説明するための図である。
【図2】図2は、実施例1におけるネットワークモデルの一例を示すブロック図である。
【図3】図3は、サーバ監視機能部の構成を説明するためのブロック図である。
【図4】図4は、サーバ監視機能部が生成するリスト例を説明するための図である。
【図5】図5は、監視機能制御サーバの構成を説明するためのブロック図である。
【図6】図6は、監視機能制御サーバが生成するマスタリスト例を説明するための図である。
【図7】図7は、想定する攻撃手順例を説明するための図である。
【図8】図8は、従来の攻撃防御の処理手順例を説明するための図である。
【図9】図9は、実施例1に係る不正アクセス監視システムにおけるデータフローを示す図である。
【図10】図10は、実施例1に係る不正アクセス監視システムによる処理手順(リスト生成)を示すシーケンス図である。
【図11】図11は、実施例1に係る不正アクセス監視システムによる処理手順(攻撃防御)を示すシーケンス図である。
【図12】図12は、監視機能制御サーバによるリスト配布を説明するための図である。
【発明を実施するための形態】
【実施例1】
【0013】
以下に、本願の開示する不正アクセス監視システムおよび不正アクセス監視方法の実施例を詳細に説明する。なお、以下の実施例により本発明が限定されるものではない。
【0014】
[実施例1に係る不正アクセス監視システムの概要]
まず、図1を用いて、実施例1に係る不正アクセス監視システムの概要を説明する。図1は、実施例1に係る不正アクセス監視システムの概要を説明するための図である。
【0015】
図1に示すように、実施例1に係る不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを設置する。
【0016】
そして、不正アクセス監視システムは、図1に示すように、囮サーバによって実行される処理を監視し、不正アクセスの兆候を検知する。例えば、不正アクセスが、マルウェアを配布するマルウェア配布サイトへの誘導を試みるものである場合に、不正アクセス監視システムは、プログラムのダウンロードを要求するダウンロード要求が囮サーバから送信されたことを不正アクセスの兆候として検知する。
【0017】
次に、不正アクセス監視システムは、図1に示すように、不正アクセスに関連して囮サーバと外部ネットワークとの間で送受信されるパケットから、不正アクセスに関連するサイトを識別する不正サイト識別子を抽出する。例えば、不正アクセス監視システムは、不正サイト識別子として、ダウンロード要求の宛先を識別する宛先識別子を、ダウンロード要求から抽出する。
【0018】
続いて、不正アクセス監視システムは、図1に示すように、抽出した不正サイト識別子を記憶部に格納する。例えば、不正アクセス監視システムは、ダウンロード要求から抽出した宛先識別子を記憶部に格納することで、マルウェア配布サイトのリストを生成する。
【0019】
このように、実施例1に係る不正アクセス監視システムは、囮サーバによって実行される処理を監視することで不正アクセスの兆候を検知し、不正アクセスの兆候を検知すると、不正サイトの識別子をパケットから抽出してリストを生成するので、不正アクセスを適切に阻止することが可能になる。
【0020】
すなわち、実施例1に係る不正アクセス監視システムは、囮サーバが攻撃を受けたその機会に、不正サイトの識別子をその都度収集し、リストを作成するので、作成したリストは、常に最新の攻撃に対応するリストとなる。この結果、このようにして作成されたリストを用いてフィルタリングが行われれば、例えば、セキュリティベンダにとって未知となるソフトウェアの脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃であっても、阻止することが可能になる。
【0021】
また、不正サイト識別子のリストは不正アクセス監視システムにおいて自動的に生成される。このため、継続的に発見されるソフトウェアの脆弱性に追従してシグネチャを随時追加しなければならない運用コストも不要となる。
【0022】
[実施例1に係る不正アクセス監視システムの構成]
次に、図2を用いて、実施例1に係る不正アクセス監視システムの構成を説明する。図2は、実施例1におけるネットワークモデルの一例を示すブロック図である。
【0023】
図2に示すように、ネットワーク1は、データ中継装置6〜9を経由することでネットワーク2〜5を収容している。ここで、データ中継装置とは、一般的なルータやスイッチ、ゲートウェイ装置などである。また、ネットワーク1は、インターネットのような広域ネットワークであり、ネットワーク2〜5は、それ以外のLAN(Local Area Network)やホームネットワークなどのネットワークである。
【0024】
データ中継装置6は、顧客から預かるユーザWebサーバ10、11を収容し、サーバ監視機能部14経由で囮Webサーバ16、17も収容している。
【0025】
なお、サーバ監視機能部14は、図2に示すようにデータ中継装置6の外に配置してもよいが、データ中継装置6の一機能の位置付けでデータ中継装置6内に配置してもよい。
【0026】
また、サーバ監視機能部14、囮Webサーバ16および囮Webサーバ17の物理インタフェースを1口とするのであれば、各々の装置に接続した物理リンクをルータやスイッチ、ハブなどの転送装置に接続すればよい。すなわち、例えば、サーバ監視機能部14、囮Webサーバ16および囮Webサーバ17それぞれの物理インタフェースを1台のルータに接続し、該ルータの他の物理インタフェースを、データ中継装置6に接続すればよい。一方で、各サーバ監視機能部14、囮Webサーバ16および囮Webサーバ17の物理インタフェースを複数口とするのであれば、サーバ監視機能部14と囮Webサーバ16および囮Webサーバ17をハブ&スポーク状に物理リンクで接続すればよい。すなわち、例えば、囮Webサーバ16および囮Webサーバ17それぞれの物理インタフェースをサーバ監視機能部14のある物理インタフェースに接続し、サーバ監視機能部14の他の物理インタフェースをデータ中継装置6に接続すればよい。これはデータ中継装置6、ユーザWebサーバ10およびユーザWebサーバ11も同様である。
【0027】
同様に、データ中継装置7は、顧客から預かるユーザWebサーバ12、13を収容し、サーバ監視機能部15経由で囮Webサーバ18、19も収容している。
【0028】
これらのネットワーク2、3では、囮WebサーバとユーザWebサーバとを各々2台配置しているが、台数は単数でも3台でもよく、1台のデータ中継装置に収容される囮Webサーバの台数とユーザWebサーバの台数とが異なってもよい。さらに、攻撃情報の収集のみを目的にして囮Webサーバのみを配置してもよい。
【0029】
囮サーバには、脆弱性のあるソフトウェアを搭載する。実施例1では、脆弱性のあるWebアプリケーションを搭載することになる。搭載するソフトウェアは単数でも複数でもよい。この囮Webサーバを構築する際、脆弱性を利用しないようなアクセスでは外部へプログラムのダウンロード要求を送信しないような環境を構築する。例えば、他のWebサイトにプログラムのダウンロード要求を送信する機能へのアクセスを拒否したり、脆弱性のあるログイン画面のみ表示するが入力は不可能なように設定したり、複数のページを閲覧可能なようにしておくが入力やデータベースの書き換えなどを制限したりするなどが考えられる。
【0030】
また、ネットワーク1には、不正アクセスを試行する攻撃者が使用する端末20や、攻撃者が正規ユーザやユーザWebサーバに不正アクセスするために用いるマルウェアを保存しているマルウェア配布サーバ21が、各々データ中継装置8、9経由で収容されている。
【0031】
さらに、実施例1においては、各サーバ機能監視部14、15と接続する機能を保有する監視機能制御サーバ22が配置される。監視機能制御サーバ22は、各サーバ監視機能部14、15と、インチャネル方式もしくはアウトチャネル方式により接続されるが、その形態は、ネットワーク1経由である場合もあれば、監視機能制御サーバ22と各サーバ監視機能部間を接続する独自ネットワーク経由である場合もある。
【0032】
[サーバ監視機能部の構成]
次に、図3および図4を用いて、サーバ監視機能部の構成を説明する。図3は、サーバ監視機能部の構成を説明するためのブロック図であり、図4は、サーバ監視機能部が生成するリスト例を説明するための図である。なお、図3においては、サーバ監視機能部14を説明するが、サーバ監視機能部15も同様の構成となる。
【0033】
図3に示すように、サーバ監視機能部14は、スケジューリング部24、ダウンロード検知部25およびサーバリフレッシュ部26を有する送受信データ監視部23と、送受信データ記録部27と、プログラム監査部28と、リスト生成管理部29と、制御サーバ送受信部30とを有する。
【0034】
スケジューリング部24は、データ中継装置から受信したパケットから、囮Webサーバへのリクエストメッセージに相当するパケットを抽出する機能を有する。また、スケジューリング部24は、抽出したリクエストメッセージの状態管理を実施し、転送を一旦停止する機能を有する。なお、転送を一旦停止する機能は、囮Webサーバからのレスポンスメッセージに相当するパケットを受信するまでの間継続される。
【0035】
囮Webサーバへのリクエストメッセージの判断基準としては、TCP(Transmission Control Protocol)通信の際にはセッション開始に相当するパケットを検知したという基準など、また、UDP(User Datagram Protocol)通信の際には一定期間観測されなかったパケット送信元識別子を検知したという基準などが考えられる。なお、スケジューリング部24による処理は、囮Webサーバ毎に実施される。
【0036】
ダウンロード検知部25は、囮Webサーバが通信を開始したパケットを検知する機能を有する。また、ダウンロード検知部25は、当該パケットへのレスポンスとしてデータ中継装置から受信したプログラムダウンロードを検知する機能を有する。また、ダウンロード検知部25は、当該プログラムダウンロードを検知した際に、後述のプログラム監査部28へ、囮Webサーバが通信を開始してからプログラムダウンロードを完了するまでに送受信したパケットのコピーを送信する機能を有する。
【0037】
サーバリフレッシュ部26は、送受信データ監視部23によって囮Webサーバからのレスポンスメッセージに相当するパケットが検知されると、データ中継装置からのリクエストメッセージに相当するパケットを受信する前の状態に囮Webサーバを戻す機能を有する。
【0038】
例えば、囮WebサーバをVMwareという仮想化機能を用いて実装すれば、VMwareに搭載されているリバート機能を用いて実現できる。また、近年では、サーバ環境をコピーする技術が普及しているので、囮Webサーバのマスタ環境を用意しておき、このマスタを囮Webサーバに上書きコピーすることでも実現できる。
【0039】
送受信データ監視部23は、スケジューリング部24とダウンロード検知部25とサーバリフレッシュ部26とを動作させて、データ中継装置と囮Webサーバとの間の転送パケットおよび囮Webサーバを監視する機能を有する。また、送受信データ監視部23は、転送パケットの内容データを送受信データ記録部27に送信する機能を有する。
【0040】
この際採取する転送パケットの内容データとしては、tcpdumpのような詳細なデータや、Apacheのログのようなデータが考えられるが、採取方法は運用形態に応じて決定する。例えばApacheのログのようなデータを採取する場合は、送受信データ監視部23上に囮Webサーバ用のリバースプロキシを配置し、リバースプロキシ上のApacheでログを採取すればよい。
【0041】
さらに、データ送信間隔としては、リアルタイムにデータを送信する形と、一定周期毎のデータを蓄積して定期的に送信する形があるが、これも運用形態に応じて決定することとする。ここで定期的に送信する形態をとる場合、当該間隔を管理するためのタイマが必要になる。
【0042】
また、上記では、送受信データ監視部23が送受信データ記録部27にデータを送信する形態を説明したが、送受信データ記録部27が定期的に送受信データ監視部23に蓄積されたデータを取得する形態をとることが可能である。
【0043】
送受信データ記録部27は、送受信データ監視部23から受信したデータを時刻情報とともに保存管理する機能を有する。また、上記したように、送受信データ記録部27が送受信データ監視部23にデータ送信を要求する形態と、送受信データ監視部23が送受信データ記録部27に自動的にデータを送信する形態とをとりえるが、前者を採用する場合は、送受信データ記録部27は、定期的にデータ送信を要求するために、要求周期を管理するためのタイマが必要になる。
【0044】
プログラム監査部28は、ダウンロード検知部25から受信したパケットを用いて、囮Webサーバとデータ中継装置との間でのデータ転送を再現する機能を有する。また、プログラム監査部28は、データ転送を再現した際に、囮Webサーバにプログラムがダウンロードされるか否かを確認する機能を有する。また、プログラム監査部28は、ダウンロードを確認した際に、当該プログラムの動作を仮想的な閉域領域で確認する機能を有する。
【0045】
また、プログラム監査部28は、確認の結果、記録すべきプログラムだと判断された場合は、ダウンロード検知部25から受信したデータおよび送受信データ記録部27に記録されているデータから、当該ダウンロードを要求するために囮Webサーバが通信を開始した送信パケットの宛先識別子を抽出する機能を有する。
【0046】
また、プログラム監査部28は、抽出した情報を後述のリスト生成管理部29に送信する機能を有する。この際、プログラム監査部28は、ダウンロードしたプログラムおよびダウンロードの送信元識別子も同時に抽出してリスト生成管理部29に送信してもよい。宛先識別子や送信元識別子としては、URL(Uniform Resource Locator)やURI(Uniform Resource Identifier)、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等の識別子が挙げられる。
【0047】
また、データ転送を再現する機能およびデータ転送再現時のダウンロード発生および当該プログラムの動作を確認して記録すべきプログラムだと判断する機能は、従来、Sandboxというセキュリティモデルで採用されている機能を流用することでも実現できる。
【0048】
リスト生成管理部29は、プログラム監査部28から受信した識別子等の情報を、リスト形式で保存する機能を有する。
【0049】
一例としては、例えば、図4に示すように、リスト生成管理部29は、項目としてURL、IPアドレス、ダウンロードファイル名を有するデータベースを構築し、プログラム監査部28から受信した情報を当該データベースに入力する。この際、データベースに保有させる項目は、例えば実際にユーザWebサーバもしくはその前段に配置された装置に実装されたFirewallなどのフィルタ機構に沿う形で決定するか、もしくは、プログラム監査部28が転送パケットから採取可能な全情報を保存可能なように決定する。なお、プログラムファイルについては、内容を表示してもよいが、ファイル名およびファイルを保存しているディレクトリ名を含めたパスを表示すればよい。
【0050】
また、当該リストの各エントリには、図4に示すように、初検出時間や最終検出時間、検出回数を記録してもよい。この際、初検出時間とは、当該エントリを書き込んだ時間であり、最終検出時間とは、各リストの既登録エントリの再検出時間であり、既登録エントリと重複するエントリの書き込みが発生した際に、新エントリを生成する代わりに最終検出時間を更新するものとする。また、この際、初期値を1とした検出回数を1増加させることで、それまでに当該エントリと重複するエントリの書き込みが何回発生したかを記録させる。
【0051】
ここで、図4には、攻撃種類として、「DB」という種類を記述している。これは、実施例2として後述するデータベース変更検知時に記述する内容の例を示すものである。なお、リストの各項目は、該当項目が検知できなかった際は空欄となる。
【0052】
制御サーバ送受信部30は、リスト生成管理部29が生成したリスト情報をファイル化して監視機能制御サーバ22に送信する機能を有する。また、制御サーバ送受信部30は、監視機能制御サーバ22から受信したリストファイルを元にリスト生成管理部29の保有情報を書き換える機能を有する。
【0053】
この際、リストファイル送信間隔としては、リストが更新された際に送信する形と、定期的にリストを送信する形とがあるが、これは運用形態に応じて決定することとする。ここで、定期的に送信する形態をとる場合、当該間隔を管理するためのタイマが必要となる。また、上記では、制御サーバ送受信部30が監視機能制御サーバ22にリストファイルを送信する形態を説明しているが、監視機能制御サーバ22が定期的にリストファイル送信要求を制御サーバ送受信部30に送信する形態をとることが可能である。
【0054】
上記してきたように、サーバ監視機能部14は、囮Webサーバからのプログラムダウンロード要求を検知した際に、当該ダウンロードを要求するために囮Webサーバが通信を開始した際に送信したパケットの宛先識別子を抽出して記録する。これにより、不正アクセスを試行するユーザがプログラムを配信するために使用した装置の識別子リストを自動的に生成するサービス、または当該リストに記載された装置へのアクセスを制限する設定を顧客のサーバまたは顧客のサーバをネットワークへ接続する装置に施すサービスを提供することが可能になる。
【0055】
[監視機能制御サーバの構成]
次に、図5および図6を用いて、監視機能制御サーバの構成を説明する。図5は、監視機能制御サーバの構成を説明するためのブロック図であり、監視機能制御サーバが生成するマスタリスト例を説明するための図である。
【0056】
図5に示すように、監視機能制御サーバ22は、サーバ監視機能接続部31、リスト収集部33、およびマスタリスト配布部34からなるマスタリスト生成部32から構成される。
【0057】
サーバ監視機能接続部31は、各サーバ監視機能部内の制御サーバ送受信部と接続する機能を有する。この際、接続方法としては、インチャネル方式もしくはアウトチャネル方式により接続されるが、その形態は、インターネットのような広域ネットワーク経由である場合もあれば、独自ネットワーク経由である場合もある。すなわち、同一アドレス体系を保有することや、パケット転送テーブルを保有して送信パケットの宛先識別子から出力物理インタフェース等を特定する機能を有する。
【0058】
リスト収集部33は、サーバ監視機能接続部31経由で、各サーバ監視機能部からリストファイルを収集して管理する機能を有する。実施例1におけるリスト収集部33は、各サーバ監視機能部からリストを収集した最終日時等を確認し、一定期間リストファイルの受信が確認できないサーバ監視機能部に対して、リストファイル送信要求を送信する。
【0059】
マスタリスト配布部34は、マスタリスト生成部32が生成したマスタリストを各サーバ監視機能部へ配布管理する機能を有する。実施例1におけるマスタリスト配布部34は、各サーバ監視機能部に対してサーバ監視機能接続部31経由で最新のマスタリストを配布するとともに、最新のマスタファイルの配布が完了したか否かを管理する。
【0060】
マスタリスト生成部32は、リスト収集部33が収集した各サーバ監視機能部上のリストから、全サーバ監視機能部上で検知されている情報を統合してマスタリストを生成する機能を有する。
【0061】
マスタリスト生成過程の一例を図6に示す。(A)および(B)は、異なるサーバ監視機能部が生成したリストであり、(C)がマスタリストとなる。マスタファイルでは、URL、IPアドレス、port、攻撃種別が同一のエントリをマージする。この際、初検出時間は早いものを、最終検出時間は遅いものを採用する。また、攻撃情報は、各サーバ監視機能部で使われているファイル名に当該サーバ監視機能部の識別子を付与する形で命名される。なお、攻撃情報のファイルは、サーバ監視機能部に保存しておくが、運用形態に応じて、監視機能制御サーバ22が収集してもよく、この際は、監視機能制御サーバ内で唯一の名前であればファイル名は任意でよい。
【0062】
マスタリストを受信したサーバ監視機能部は、自身の保有するリストに対し、マスタリストに記載されているエントリと同一のURL、IPアドレス、port、攻撃種別を有するエントリに関しては、初検出時間、最終検出時間および回数をマスタリストに記載された内容に変更し、それ以外のマスタリストのエントリに関しては、新たにリストに追記する。この際、攻撃情報については記載しないか、監視機能制御サーバが保有している旨を記述する。
【0063】
このように、監視機能制御サーバ22は、複数のサーバ監視機能部からリスト情報を収集するとともに、各サーバ監視機能部に不足しているリスト情報を抽出してサーバ監視機能部に通知する。これにより、複数地点で監視した結果を元に不正アクセスを試行するユーザがプログラムを配信するために使用する装置の識別子リストを自動的に生成することが可能になる。
【0064】
さらに、例えば、複数の事業者が各々で特定した装置の識別子リストを事業者間で共有することが可能になる。また、複数の事業者が各々で特定した装置の識別子リストを他事業者に売却するためのプラットフォームを提供することが可能になる。また、リストに記載された装置へのアクセスを制限する設定を顧客のサーバもしくは顧客のサーバをネットワークへ接続する装置に施すことが可能になる。
【0065】
[実施例1に係る不正アクセス監視システムの処理手順]
続いて、図7〜11を用いて、実施例1に係る不正アクセス監視システムの処理手順を説明する。図7は、想定する攻撃手順例を説明するための図であり、図8は、従来の攻撃防御の処理手順例を説明するための図であり、図9は、実施例1に係る不正アクセス監視システムにおけるデータフローを示す図であり、図10は、実施例1に係る不正アクセス監視システムによる処理手順(リスト生成)を示すシーケンス図であり、図11は、実施例1に係る不正アクセス監視システムによる処理手順(攻撃防御)を示すシーケンス図である。
【0066】
[想定している攻撃手順例]
図7に示すように、攻撃者は、自身の端末を用い、ユーザWebサーバの脆弱性をつくアクセスを実施する(ステップS1)。この際、脆弱性ともいえる遠隔ファイル実行命令などが埋め込まれ、そのアクセス先として、マルウェアをダウンロードさせるために攻撃者が配置したマルウェア配布サイトが記述されている。
【0067】
本アクセスを受けたユーザWebサーバは、指定された遠隔ファイル実行命令に従い、マルウェア配布サイトへアクセスする(ステップS2)。
【0068】
すると、マルウェア配布サイトは、当該アクセスへのリプライとしてマルウェア、すなわちプログラムファイルをユーザWebサーバへ送信する(ステップS3)。
【0069】
本プログラムを受信したユーザWebサーバ上でプログラムファイルは実行され、ユーザWebサーバはマルウェアに感染し(ステップS4)、その後、ユーザWebサーバから攻撃者端末に、アクセスへのリプライが送信される(ステップS5)。
【0070】
その結果、攻撃者の不正アクセスを許容し、攻撃者の操作に従って他のユーザにDoS攻撃やスパム送信を実行する(ステップS6)。
【0071】
[従来方式]
この問題を解決するための手段として採用されている従来方式を説明する。図8に示すように、従来方式では、ユーザWebサーバの前段にサーバ監視機能部を配備し、さらに、当該サーバ監視機能部に、セキュリティベンダが解析した脆弱性情報に基づくフィルタを設定する。これにより、既知の脆弱性を利用した攻撃者からのアクセスを防ぐことが可能になる。
【0072】
しかし、一方で、セキュリティベンダが解析していない脆弱性情報に基づく攻撃者からのアクセスは防ぐことができない。例えば、最新の脆弱性情報に基づく攻撃や、主流ではないソフトウェアの脆弱性情報に基づく攻撃については、本方式の有効性は低く、不正アクセスを適切に阻止することができない。
【0073】
[サーバ監視機能部のデータフロー]
続いて、図9を用いて、実施例1に係る不正アクセス監視システムにおけるデータフローを説明する。図9に示すように、実施例1におけるサーバ監視機能部14において、スケジューリング部24が、101のように、データ中継装置からのパケットを受信する。この際、スケジューリング部24は、パケットの内容から、囮Webサーバへのリクエストメッセージに該当するパケットか否かを確認し、リクエストメッセージに該当するパケットである際は、当該囮Webサーバに対応するキューにパケットを送信する。
【0074】
ここで、スケジューリング部24は、処理中のリクエストメッセージの処理が終了するまで、当該パケットの送信を停止する。パケットは、囮Webサーバに転送される前に、102のように、送受信データ監視部23において記録され、その内容は、103のように、送受信データ記録部27に保存され、その後、104のように、囮Webサーバに送信される。
【0075】
囮Webサーバからのパケットは、105のように、ダウンロード検知部25により受信される。この際、ダウンロード検知部25は、囮Webサーバから通信を開始したと考えられるパケットを検知し、また、当該パケットへのレスポンスであるプログラムダウンロードを検知する。そして、ダウンロード検知部25は、106のように、パケットへのリプライに相当するパケットとともに(すなわち、囮Webサーバが通信を開始してからプログラムダウンロードを完了するまでに送受信したパケットのコピーを)、プログラム監査部28に送信する。プログラム監査部28は、リプライに相当するパケットを囮Webサーバに送信した際に囮Webサーバ上で観測されうるプログラムを監査し、監査の結果、記録すべきプログラムであると判断した場合に、囮Webサーバから通信を開始したと考えられるパケットの宛先識別子を、107および108のように送受信データ記録部27のデータを参照しつつ特定し、当該情報およびプログラム情報を、109のように、リスト生成管理部29へ通知する。
【0076】
具体的には、まず、プログラム監査部28は、パケットのコピーを保持しているので、このパケットから宛先識別子(IPアドレスやURLなど)を特定する。次に、プログラム監査部28は、送受信データ記録部27に記憶されているデータに関して、IPアドレスやURLなどをキーにして参照し、実際の送受信時間など追加の情報を獲得する。なお、時間情報の獲得が必要でない場合には、プログラム監査部28は必ずしも送受信データ記録部27に記憶されているデータを参照する必要はない。
【0077】
ここで、リスト生成管理部29は、当該宛先識別子のリストを生成するとともに、110のように、制御サーバ送受信部30経由で監視装置制御サーバ22に自身のリストをファイル化して送信する。また、リスト生成管理部29は、111のように、監視装置制御サーバ22からリストファイルを受信した際は、当該リストファイルに基づいて自身のリストを更新する。
【0078】
また、囮Webサーバからデータ中継装置に向けてリクエストメッセージに対するレスポンスメッセージに該当するパケットを送受信データ監視部23で検知した際には、送受信データ監視部23は、当該メッセージをデータ中継装置に転送するとともに、サーバリフレッシュ部26を用いて、囮Webサーバをリクエストメッセージを受信する前の状態に戻す。
【0079】
[処理手順(リスト生成)]
図10に示すように、攻撃者は、自身の端末を用い、囮Webサーバの脆弱性をつくアクセスを実施する(ステップS201)。この際、脆弱性ともいえる遠隔ファイル実行命令が埋め込まれ、そのアクセス先として、マルウェアをダウンロードさせるために攻撃者が配置したマルウェア配布サイトが記述されている。
【0080】
サーバ監視機能部は、当該アクセスを記録して、囮Webサーバに転送する(ステップS202)。
【0081】
一方、本アクセスを受けた囮Webサーバは、指定された遠隔ファイル実行命令に従い、マルウェア配布サイトへアクセスする(ステップS203)。
【0082】
この際、サーバ監視機能部は、当該アクセスを記録して、転送する(ステップS204)。
【0083】
すると、マルウェア配布サイトは、当該アクセスへのリプライとして、マルウェア、すなわちプログラムファイルを囮Webサーバへ送信する(ステップS205)。
【0084】
この際、サーバ監視機能部は、当該アクセスを記録し、囮Webサーバに転送するとともに(ステップS206)、さらに、プログラム内容を監査してマルウェアの送信を確認する。
【0085】
一方、本プログラムを受信した囮Webサーバ上で、プログラムファイルは実行され、その結果は、攻撃者へリプライという形で伝わる一方(ステップS207)、攻撃者の操作に従って他のユーザにDoS攻撃やスパム送信が発生する前に、囮Webサーバを攻撃者のアクセス前の状態に戻し(ステップS208)、これと並行して、マルウェア配布サイトのリストを生成する。この際、他者への攻撃発生を防ぐ意味で、囮Webサーバから他ユーザへのアクセスを制限する方法を併用してもよい。
【0086】
[処理手順(攻撃防御)]
実施例1に係る不正アクセス監視システムは、従来のように、ソフトウェアの脆弱性に基づく攻撃者からのアクセス(ステップS301)をフィルタするのではなく、マルウェア配布サイトへの誘導をフィルタする(ステップS302)。
【0087】
これにより、ソフトウェアの脆弱性が未知である場合や、主流でないソフトウェアの脆弱性を利用された攻撃に対しても、マルウェア感染前にその攻撃を防御することが可能になる。
【0088】
また、これと同時に、図12に示すように、監視機能制御サーバ22を用いて各サーバ監視機能部が生成したリストを全サーバ監視機能部で共有することで、その防御確率を高めることが可能になる。なお、図12は、監視機能制御サーバによるリスト配布を説明するための図である。
【0089】
[実施例1の効果]
上記してきたように、実施例1に係る不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮Webサーバを設置する。そして、サーバ監視機能部のダウンロード検知部が、囮Webサーバによって実行される処理を監視し、プログラムのダウンロードを要求するダウンロード要求が囮Webサーバから送信されたことを検知することで、不正アクセスの兆候を検知する。次に、サーバ監視機能部のプログラム監査部が、不正サイト識別子として、ダウンロード要求の宛先を識別する宛先識別子を該ダウンロード要求から抽出し、リスト生成管理部が、不正サイト識別子のリストを作成する。また、実施例1に係る不正アクセス監視システムは、サーバ監視機能部のリスト生成管理部によって作成されたリストを、例えばデータ中継装置などに適用することで、不正サイト識別子を含むパケットをフィルタリングする。
【0090】
このように、実施例1に係る不正アクセス監視システムによれば、攻撃者がアプリケーション提供サーバ等に不正アクセスする際に利用されるマルウェアを代表としたプログラムのダウンロード、囮Webサーバおよびその前段に配置したサーバ監視機能部を用いて検知し、プログラムダウンロードを引き起こした装置の識別子リストを自動的に生成することが可能になる。また、ダウンロード元へのアクセスを制御する設定をユーザWebサーバおよびその前段に配置したファイアウォール機能相当の制御部に施すことが可能になる。
【0091】
これにより、ソフトウェアの新しい脆弱性が短期間で発見された際や、顧客のサーバが主流でないソフトウェアを搭載していた際であっても、顧客のサーバを、マルウェアを代表としたプログラムの感染から保護することができる。さらに、フィルタ制御に必要となる情報を自動的に取得することができる。このため、多種多様なソフトウェアを搭載するサーバファームをまとめて監視しても、不正アクセスや誤検知が起きない検知、防御サービスを低コストで実現できる。
【0092】
また、実施例1に係る不正アクセス監視システムは、囮Webサーバを設置したサイトごとにサーバ監視機能部を有するものであって、監視機能制御サーバが、サイトごとに設置されたサーバ監視機能部からリストを収集し、収集したリストを用いてマスタリストを作成し、作成したマスタリストを各サイトのサーバ監視機能部に配布する。
【0093】
言い換えると、複数のサーバ監視機能部との接続インタフェースを保有する監視機能制御サーバをネットワーク内に配置し、監視機能制御サーバが、複数のサーバ監視機能部からリスト情報を収集するとともに、各サーバ監視機能部に対して、他のサーバ監視機能部上で観測された不足しているリスト情報を抽出して当該サーバ監視機能部に通知する。
【0094】
このようなことから、各サーバ監視機能部が作成したリスト(複数地点で監視した結果)を全サーバ監視機能部で共有することができ、その防御確率を高めることが可能になる。例えば、複数の事業者が各々で特定したリストを事業者間で共有することが可能になり、複数の事業者が各々で特定したリストを他の事業者に売却するためのプラットフォームを提供することも可能になる。
【0095】
上記してきたように、実施例1に係る不正アクセス監視システムは、Webサーバに代表されるようなアプリケーション提供サーバを、悪意あるユーザの攻撃から防衛することができる。特に、IDS(Intrusion Detection System)や、WAF(Web Application Firewall)でみられるような攻撃トラヒックを検知してアクセス制御を実施することに有効である。
【実施例2】
【0096】
これまで本発明の実施例1について説明してきたが、本発明は上記の実施例以外にも、種々の異なる形態にて実施されてよいものである。
【0097】
[データベースの遠隔操作]
実施例1では、不正アクセスが、マルウェア配布サイトへの誘導を試みるものであることを想定したが、本発明はこれに限られるものではなく、他の不正アクセスに対しても同様に適用することができる。例えば、不正アクセスが、データベースの遠隔操作を行うものであってもよい。
【0098】
この場合には、サーバ監視機能部は、例えば、囮サーバのデータベースに変更が生じたことを不正アクセスの兆候として検知する。そして、サーバ監視機能部は、囮サーバと外部ネットワークとの間で送受信されたパケットの記録情報から、データベースの変更を指定したパケットを、例えばメッセージ内容を参照することなどで特定する。次に、サーバ監視機能部は、データベースの変更を指定したパケットの送信元を識別する送信元識別子をパケットから抽出し、抽出した送信元識別子でリストを作成する。このリストは、不正アクセスのサイトのリストとなる。なお、サーバ監視機能部は、変更前のデータベースの内容を保持することで、変更前後の差分を抽出することができ、また、変更後のデータベースを変更前のデータベースで上書きすることで、変更前のデータベースに囮サーバを戻すことができる。
【0099】
すなわち、図3に示した構成を用いて一例を挙げて説明すると、例えばダウンロード検知部25が、囮Webサーバへリクエストメッセージに相当するパケットを送信した後、当該リクエストメッセージへのレスポンスメッセージに相当するパケットを囮Webサーバから受信した際に、囮Webサーバのデータベースの内容を閲覧および記録する機能を有する。また、例えばダウンロード検知部25が、後者のパケットを囮Webサーバから受信した際に、記録している囮Webサーバのデータベースと、閲覧している囮Webサーバのデータベースとの内容を比較し、差分があった際に、変更されたデータベースの内容と、リクエストメッセージに相当するパケットの送信元識別子を抽出してリスト生成管理部29に通知する機能を有する。
【0100】
これにより、不正アクセスを試行するユーザが引き起こすデータベース操作およびデータベース操作を遠隔実施した装置の識別子リストを自動的に生成するサービス、または当該リストに記載された装置へのアクセスを制限する設定を顧客のサーバまたは顧客のサーバをネットワークへ接続する装置に施すサービスを併せて提供することが可能になる。
【0101】
なお、当然のことながら、本発明に係る不正アクセス監視システムは、マルウェア配布サイト、データベースの遠隔操作、その他の不正アクセスなど、複数種類の不正アクセスに対して同時に適用するものであってもよい。
【0102】
[必要なフィルタ情報のみの収集]
また、不正アクセス監視システムは、囮サーバに所定の脆弱性を有するソフトウェアを搭載することで、必要なフィルタ情報のみを収集することも可能である。例えば、不正アクセスを防止したいユーザWebサーバがあった場合に、このユーザWebサーバに搭載されているソフトウェアと同一のソフトウェアを囮Webサーバに搭載しておく。すると、ユーザWebサーバへ発生する可能性がある攻撃が、囮Webサーバに発生することになる。これは、二つのサーバが共通して搭載しているソフトウェアの脆弱性を利用した攻撃が発生しているからである。このような場合に、不正アクセス監視システムは、例えば攻撃者から囮Webサーバに向かうパケット内に記述されている識別子をリストとして記憶し、このリストを用いてユーザWebサーバに向かうパケットを監査もしくは適宜フィルタすることで、ユーザWebサーバを不正アクセスから守ることが可能になる。
【0103】
なお、この場合に、不正アクセス監視システムは、例えば、不正アクセスが所定の脆弱性を利用した不正アクセスであるか否かを判断する判断部と、判断部によって不正アクセスが所定の脆弱性を利用した不正アクセスであると判断された場合にのみ、囮Webサーバが応答するように制御する応答部とをさらに備えてもよい。
【0104】
すなわち、攻撃者からの不正アクセスのパケット中には、アプリケーションがインストールされているディレクトリの情報が記述されている。このため、例えば判断部は、このディレクトリの情報を用いて、どのソフトウェアが攻撃されたものであるかを判断することができる。そこで、応答部は、判断部によって、所定のソフトウェアが攻撃されたと判断された場合にのみ囮Webサーバが応答するように、囮Webサーバを制御することができるのである。
【0105】
こうして、顧客のサーバ上で発生し得る不正アクセスを引き起こすプログラムを配信するために使用された装置のみの装置識別子リストを自動的に生成することが可能になる。さらに、当該リストに記載された装置へのアクセスを制限する設定を顧客のサーバもしくは顧客のサーバをネットワークへ接続する装置に施すことが可能になる。
【産業上の利用可能性】
【0106】
以上のように、本願の開示する不正アクセス監視システムおよび不正アクセス監視方法は、不正アクセスを阻止することに有用であり、特に、不正アクセスを適切に阻止することに適している。
【符号の説明】
【0107】
1 ネットワーク
2 ネットワーク
3 ネットワーク
4 ネットワーク
5 ネットワーク
6 データ中継装置
7 データ中継装置
8 データ中継装置
9 データ中継装置
10 ユーザWebサーバ
11 ユーザWebサーバ
12 ユーザWebサーバ
13 ユーザWebサーバ
14 サーバ監視機能部
15 サーバ監視機能部
16 囮Webサーバ
17 囮Webサーバ
18 囮Webサーバ
19 囮Webサーバ
20 攻撃者端末
21 マルウェア配布サーバ
22 監視機能制御サーバ
23 送受信データ監視部
24 スケジューリング部
25 ダウンロード検知部
26 サーバリフレッシュ部
27 送受信データ記憶部
28 プログラム監査部
29 リスト生成管理部
30 制御サーバ送受信部
31 サーバ監視機能接続部
32 マスタリスト生成部
33 リスト収集部
34 マスタリスト配布部
【特許請求の範囲】
【請求項1】
外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムであって、
プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知手段と、
前記検知手段によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出手段と、
前記抽出手段によって抽出された識別子を記憶手段に格納する格納手段と
を備えたことを特徴とする不正アクセス監視システム。
【請求項2】
前記検知手段は、前記囮サーバのデータベースに変更が生じたことを前記不正アクセスの兆候としてさらに検知し、
前記抽出手段は、前記データベースの変更を指定したパケットの送信元を識別する識別子を該パケットからさらに抽出し、
前記格納手段は、前記抽出手段によって抽出された識別子をさらに記憶手段に格納することを特徴とする請求項1に記載の不正アクセス監視システム。
【請求項3】
前記記憶手段に格納されている識別子を含むパケットをフィルタリングするフィルタリング手段をさらに備えたことを特徴とする請求項1または2に記載の不正アクセス監視システム。
【請求項4】
前記囮サーバは、所定の脆弱性を有するソフトウェアを搭載するものであって、
前記不正アクセスが、前記所定の脆弱性を利用した不正アクセスであるか否かを判断する判断手段と、
前記判断手段によって前記不正アクセスが前記所定の脆弱性を利用した不正アクセスであると判断された場合にのみ、前記囮サーバが応答するように制御する応答手段と
をさらに備えたことを特徴とする請求項1〜3のいずれか一つに記載の不正アクセス監視システム。
【請求項5】
前記不正アクセス監視システムは、前記囮サーバを設置したサイトごとに前記記憶手段を有するものであって、
サイトごとに設置された前記記憶手段からリストを収集する収集手段と、
前記収集手段によって収集されたリストを用いてリストを統合したマスタリストを作成するマスタリスト作成手段と、
前記マスタリスト作成手段によって作成されたマスタリストを、前記囮サーバを設置した各サイトに配布するマスタリスト配布手段と
をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載の不正アクセス監視システム。
【請求項6】
外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムにおける不正アクセス監視方法であって、
コンピュータが、
プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知工程と、
前記検知工程によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出工程と、
前記抽出工程によって抽出された識別子を記憶手段に格納する格納工程と
を含んだことを特徴とする不正アクセス監視方法。
【請求項1】
外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムであって、
プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知手段と、
前記検知手段によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出手段と、
前記抽出手段によって抽出された識別子を記憶手段に格納する格納手段と
を備えたことを特徴とする不正アクセス監視システム。
【請求項2】
前記検知手段は、前記囮サーバのデータベースに変更が生じたことを前記不正アクセスの兆候としてさらに検知し、
前記抽出手段は、前記データベースの変更を指定したパケットの送信元を識別する識別子を該パケットからさらに抽出し、
前記格納手段は、前記抽出手段によって抽出された識別子をさらに記憶手段に格納することを特徴とする請求項1に記載の不正アクセス監視システム。
【請求項3】
前記記憶手段に格納されている識別子を含むパケットをフィルタリングするフィルタリング手段をさらに備えたことを特徴とする請求項1または2に記載の不正アクセス監視システム。
【請求項4】
前記囮サーバは、所定の脆弱性を有するソフトウェアを搭載するものであって、
前記不正アクセスが、前記所定の脆弱性を利用した不正アクセスであるか否かを判断する判断手段と、
前記判断手段によって前記不正アクセスが前記所定の脆弱性を利用した不正アクセスであると判断された場合にのみ、前記囮サーバが応答するように制御する応答手段と
をさらに備えたことを特徴とする請求項1〜3のいずれか一つに記載の不正アクセス監視システム。
【請求項5】
前記不正アクセス監視システムは、前記囮サーバを設置したサイトごとに前記記憶手段を有するものであって、
サイトごとに設置された前記記憶手段からリストを収集する収集手段と、
前記収集手段によって収集されたリストを用いてリストを統合したマスタリストを作成するマスタリスト作成手段と、
前記マスタリスト作成手段によって作成されたマスタリストを、前記囮サーバを設置した各サイトに配布するマスタリスト配布手段と
をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載の不正アクセス監視システム。
【請求項6】
外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムにおける不正アクセス監視方法であって、
コンピュータが、
プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知工程と、
前記検知工程によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出工程と、
前記抽出工程によって抽出された識別子を記憶手段に格納する格納工程と
を含んだことを特徴とする不正アクセス監視方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−198386(P2010−198386A)
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願番号】特願2009−43210(P2009−43210)
【出願日】平成21年2月25日(2009.2.25)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願日】平成21年2月25日(2009.2.25)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]