不正アクセス防止方法および不正アクセス防止システムならびにプログラム
【課題】パスワード認証の後に実行される不正アクセスを防止する。
【解決手段】記憶装置3は、操作権限取得処理を行うための規則であり、イベントの実行順を示し、文字列で記述されたイベント列で表される判定ルール31を記憶する。判定制御部41は、所定のユーザに対してパスワード認証成功の後に該ユーザによって順次実行されるイベントをフックする。ルール判定部42は、フックされたイベントと記憶装置3に記憶されている判定ルール31とを比較し、実行された所定数のイベントが判定ルール31に一致した場合に、該ユーザに対してログイン後と同様の操作を許可し、一致しなかった場合には、判定制御部41へユーザのログアウトの指示を送る。なお、判定制御部41およびルール判定部42は、オペレーティングシステム(OS)側で実行される。
【解決手段】記憶装置3は、操作権限取得処理を行うための規則であり、イベントの実行順を示し、文字列で記述されたイベント列で表される判定ルール31を記憶する。判定制御部41は、所定のユーザに対してパスワード認証成功の後に該ユーザによって順次実行されるイベントをフックする。ルール判定部42は、フックされたイベントと記憶装置3に記憶されている判定ルール31とを比較し、実行された所定数のイベントが判定ルール31に一致した場合に、該ユーザに対してログイン後と同様の操作を許可し、一致しなかった場合には、判定制御部41へユーザのログアウトの指示を送る。なお、判定制御部41およびルール判定部42は、オペレーティングシステム(OS)側で実行される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パスワード認証の後に実行する不正アクセス防止方法、システムおよびプログラムに係る。
【背景技術】
【0002】
不正アクセスに対する手法として一般的にとられている対策としては、パスワードによる認証が多い。この認証に通ると、アカウントに対する操作権限が許可され、マシン内のファイル等のリソースに対してアクセス可能になる。パスワードによる認証は、多くのアプリケーションで使用されているものではあるが、パスワードの辞書攻撃や総当り攻撃などの解析ツールが出回り、実際にパスワードクラッキングの被害も報告されている。パスワードが破られてしまうと、アカウントに許可されている範囲で操作が可能となって、システム内のデータの破壊や情報の漏えいなどといった被害を受ける可能性が非常に高くなる。
【0003】
そこで、単なるパスワードによる認証に拠らない不正アクセスを防止する技術が開示されている。例えば、特許文献1には、システムがある特定の文字列や情報を明示的に入力させるユーザ認証システムが開示されている。また、特許文献2には、ある対象に対して主体が、実行してもよい、あるいは実行してはならないというルールでリソースへのアクセスを制御する不正アクセス防止システムが開示されている。このシステムでは、主体、型、対象、パターン、操作という要素がルールとして用意される。
【0004】
さらに、特許文献3には、ゲストOSというものを用意して、不正なコマンド等をログとして記録する不正アクセス痕跡情報保全装置が開示されている。また、特許文献4には、プロセス自体を許可プロセス、一般プロセスとに分類し、フック後の処理を変える不正アクセス防止方法が開示されている。
【0005】
またさらに、関連する技術として、特許文献5には、ネットワークを流れるデータの監視で行う、いわゆる一般に(ネットワーク型)IDS(侵入検知システム)と呼ばれる不正監視システムが記載されている。このシステムは、ネットワーク、または外部接続装置への操作に限定された方式である。また、特許文献6には、あるシステムユーザがあるコマンドを実行する際のコマンドの実行権限を付与するためにユーザ毎に実行権を与えるためのテーブルを作成し、これを参照してチェックするセキュリティチェック方式が開示されている。これは、シングル・サイン・オンと呼ばれるシステムのロールの設定の概念である。シングル・サイン・オンとは、いわゆる本来サーバ(サービス)毎に認証を要求されていたものを、ロールというものを設定することで、一度の認証でサービスをうけることができるものであり、このシングル・サイン・オンで、あるユーザがうけることができるサービスの割り当て(設定)が、コマンドになっている。
【0006】
【特許文献1】特開2005−196800号公報
【特許文献2】特開2004−287810号公報
【特許文献3】特開2005−025517号公報
【特許文献4】特開2005−166051号公報
【特許文献5】特開2005−322261号公報
【特許文献6】特開平11−015549号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところで、特許文献1のユーザ認証システムは、認証システムが存在することが不正ユーザに分かってしまい、攻撃のヒントを与えてしまう恐れがある。また、特許文献2の不正アクセス防止システムは、主体、型、対象、パターン、操作という要素がルールとして必要であるために、あるユーザに対して全操作を許可する、あるいはしないといった処理に用いるにはルール設定の面で利便性が低い。さらに、特許文献3の不正アクセス痕跡情報保全装置は、ゲストOSという特殊なものが必要であって、汎用性に欠ける虞がある。また、不正なコマンド等をログとして記録しているが、コマンド自体は、成功してしまっており、あくまでも事後対策のための記録でしかない。さらに、ログとして記録されていることを侵入者に知られないだけであり、不正行為自体を防ぐことができない虞がある。また、特許文献4の不正アクセス防止方法は、プロセス自体を許可プロセス、一般プロセスとに分類してフック後の処理を変えており、汎用性に欠けてしまう。
【0008】
本発明の目的は、上記の問題点を解決する不正操作防止方法、不正操作防止システムおよびプログラムを提供する。
【課題を解決するための手段】
【0009】
本発明の1つのアスペクトに係る不正アクセス防止方法は、所定のユーザに対してパスワードの認証を行うステップと、パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較するステップと、実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対してログイン後の処理を行うステップと、を含む。
【0010】
第1の展開形態の不正アクセス防止方法において、実行された所定数のイベントが該判定ルールに一致しなかった場合には、ユーザに対してログアウトの処理を行うステップを含んでもよい。
【0011】
第2の展開形態の不正アクセス防止方法において、判定ルールと比較するステップは、オペレーティングシステム(OS)側で実行されてもよい。
【0012】
第3の展開形態の不正アクセス防止方法において、判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されてもよい。
【0013】
第4の展開形態の不正アクセス防止方法において、順次実行されるイベントをログ情報として記録するステップをさらに含んでもよい。
【0014】
第5の展開形態の不正アクセス防止方法において、実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可してもよい。
【0015】
第6の展開形態の不正アクセス防止方法において、ログアウトの処理の前にユーザに対して所定のメッセージを送出するステップを含んでもよい。
【0016】
本発明の1つのアスペクトに係る不正アクセス防止システムは、不正アクセス防止のための判定ルールを記憶する記憶装置と、所定のユーザに対してパスワード認証成功の後に該ユーザによって順次実行されるイベントをフックする判定制御部と、フックされたイベントと記憶装置に記憶されている判定ルールとを比較し、実行された所定数のイベントが判定ルールに一致した場合に、該ユーザに対してログイン後と同様の操作を許可するルール判定部と、を含む。
【0017】
本発明の1つのアスペクトに係るプログラムは、不正アクセス防止システムを構成するコンピュータに、所定のユーザに対してパスワードの認証を行う処理と、パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較する処理と、実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対するログイン後の処理と、を実行させる。
【発明の効果】
【0018】
本発明の第1の効果は、パスワード攻撃を受けてパスワードが破られても、ユーザによって順次実行されるイベントに対して判定ルールを適用するので、認証システムが存在することが不正ユーザに知られずに不正行為を防ぐことが可能である。
【0019】
本発明の第2の効果は、覚えにくく長いパスワードを覚える必要がないことにある。その理由は、パスワード認証の後に不正操作防止処理があるので、仮にパスワードが破られても不正な操作を行えない点と、本システム自身はコマンドなどマシン操作に関する文字列を使用することが可能なので、複雑かつ無意味で覚えにくい文字の羅列のようなパスワードよりは覚えやすいことにある。
【0020】
本発明の第3の効果は、パスワードを破られた後に、不正な操作の試みを無限に行うことを防止することができることにある。その理由は、不正な操作を所定の回数行うと、自動的にログアウト処理が行われるからである。
【0021】
本発明の第4の効果は、ルールの組み合わせを増やすことができるので、不正アクセスによる被害を低下させることができることにある。その理由は、コマンド1つのみの認証ではなく、複数のコマンド、さらにコマンドの実行順序、コマンドのオプションも認証の一部であり、さらに、コマンドの引数にファイル等を記述する場合は実際にそのファイル等が存在し、コマンドそのものが成功するという条件を満たさなければ本発明の認証を通過することができず、推測で攻撃する場合には膨大なパターンで攻撃しなければならないからである。
【0022】
本発明の第5の効果は、OS側で判定処理を行っているので、ssh(secure shell)等の通信を受け付けるアプリケーション側に脆弱性があった場合でも、不正操作を防止することができることにある。
【発明を実施するための最良の形態】
【0023】
始めに、本発明における「イベント」、「フック」、「判定ルール」という言葉を次のように定義する。
イベント:ユーザが入力したコマンドや、コマンドによって実行されたプロセスが発行したシステムコールなどの命令を表す。
フック:ユーザによって実行されたイベントが、実際にOSを含むシステムの中で実行される前に割り込むことを表す。
判定ルール:本システムで操作権限取得処理を行う際に使用する規則を表す。例えばイベントの実行順序などで示される。
【0024】
図1は、本発明の実施形態に係る不正アクセス防止システムの構成を示すブロック図である。図1において、不正アクセス防止システムは、入力装置1、ルール作成装置2、記憶装置3、データ処理装置4からなる。入力装置1は、ユーザによって入力されるコマンド(イベント)をデータ処理装置4に送出する。また、ルール作成装置2によって作成されるルールを入力するためにも用いられる。ルール作成装置2は、コマンドの判定を行うルールを作成して記憶装置3に送出する。記憶装置3は、ルール作成装置2によって作成した判定ルール31やデータ処理装置4におけるログ32を記録する。データ処理装置4は、判定制御部41とルール判定部42を備える。なお、ルール作成装置2およびデータ処理装置4は、不正アクセス防止システムを構成するコンピュータに所定のプログラムを実行させることで実現するようにしても良い。
【0025】
パスワード認証の後、判定制御部41は、入力されたイベント(コマンド等)をフックし、ルール判定部42であらかじめルール作成装置2で作成されていた記憶装置3のルールと比較し、入力されたイベントとルールが一致した場合は、操作権限取得処理継続とする。これを繰り返し、全てのイベントがルールと一致した場合に、当該ユーザに対して通常ログイン後と同様の操作を許可する。一致しなかった場合には、ルール判定部42から判定制御部41へ当該ユーザのログアウトの指示を送る。
【0026】
このような構成の不正アクセス防止システムは、ssh(secure shell)等に代表されるリモートアクセスに際し、ログインパスワードを破られても不正な操作を行わせないようにする。パスワード認証の後に、一見ログインが成功し操作権限を取得できたように見せかけるが、実際は操作権限を与えず、操作権限を取得するための処理を挿入することで、クラッカーによる不正操作を防止する。ここでいう操作権限を取得するための処理とは、複数のコマンドの実行順などの判定処理である。
【0027】
すなわち、入力されたコマンド等のイベントが実際に実行される前に、オペレーティングシステム(OS)側(例えばLinuxなどではカーネル空間内)でそのイベントの文字列と、あらかじめ作成していたコマンド文字列などのルールとを比較し、一致した場合には操作権限取得処理継続とする。この処理を複数のイベントに対して繰り返し行い、全てのイベントがルールと一致した場合は、当該ユーザに対して通常のログイン後と同様の操作を許可し、一致しなかった場合は、当該ユーザをログアウトさせるものである。
【0028】
また、OS側で操作権限取得判定処理を行っているので、例えばsshなどの通信を受け付けるプログラムに脆弱性があって任意のシェルなどを起動されてしまった場合でも、操作権限取得判定処理を通り不正操作を防止することができる。すなわち、操作権限取得判定処理をユーザのアプリケーション側のプログラムで行う実装にした場合、通常はsshd(secure shell daemon)のプロセスが子プロセスとして不正操作防止システムを起動するようにする。しかし、ssh等に脆弱性があった場合などを考えると、その脆弱性を突かれてsshdのプロセスが不正操作防止システムを起動せず、いきなりシェルを起動したり、またsshd自身がシェルとして起動されなおす可能性が考えられる。すると、本来起動されるはずだった不正操作防止システムが起動されず、不正操作を許してしまうことになる。しかし本手法では、上記のように仮にsshなどに脆弱性があっていきなりシェルなどを起動されても、OS側で判定処理を行うので、ユーザのアプリケーション側でのプログラムの起動の有無に関わらず判定処理を通り、不正操作を防止することができる。
【0029】
このような不正アクセス防止システムは、以下のような特徴を有する。
(1)通常のパスワード認証の後に、操作権限を取得する処理を追加し、パスワード認証後あたかもログインが成功しているように見えているが、実際は何も操作ができない点。
(2)パスワード認証後、ユーザがコマンドを入力しても、結果として何も返らない点。
(3)ルールが実際のコマンドの文字列で記述できる点。
(4)複数のイベント(コマンド等)の実行順をひとつのルールにできる点。
(5)ひとつのルールに、イベントを任意数設定できる点。
(6)ユーザごとに個別のルールを設定できる点。
(7)あるユーザのルールや操作権限取得処理が、他のユーザの操作に影響を与えない点。
(8)ダミーカウンタを用いることで、実際のルールにあるイベント数を隠蔽することができる点。
(9)ダミーカウンタを用いることで、パスワード認証後の不正な操作の試みを有限回に留めることができる点。
(10)ダミーカウンタを用いることで、不正ユーザをログアウトさせることができる点。
(11)ルールに、ファイルやディレクトリ名を使用することができる点。
(12)ルールにファイルやディレクトリ名を使用した場合、ユーザが相対パスでイベントを実行しても絶対パスに変換する点。
(13)ルールに記述したファイルが存在しないなど、実際に成功しないイベントが実行された場合に操作権限取得失敗とする点。
(14)ルールに、コマンドの引数がある場合とない場合のイベントを混在させることが出来る点。
(15)不正なイベントが実行された場合に、そのイベントが実際に実行されることなく、ログに記録できる点。
(16)ファイルのオープン処理(リード可能、ライト禁止モード)のイベントのみを実行させることで、不正ユーザに対して一見侵入が成功させたようにみせ、本システムの存在を隠蔽することができる点。
(17)強制ログアウトの実施前に警告メッセージを出力することができる点。
【実施例1】
【0030】
以下、実施例に即し、詳しく説明する。図2は、本発明の第1の実施例に係るデータ処理装置の構成を示すブロック図である。図2において、データ処理装置4は、判定制御部41とルール判定部42を備える。また、判定制御部41は、フック部43と、イベント制御部44と、イベント調整部45と、カウンタ46と、ルール調整部47と、ルール投入部48と、を備える。
【0031】
フック部43は、外部から入力されたイベントをユーザのアプリケーション側ではなく、オペレーティングシステム(OS)側(例えば、Linuxではカーネル空間内)でフックする。イベント制御部44は、操作権限取得処理を行うか否かを判断しフックしたイベントをイベント調整部45に渡したり、ルール判定部42からの応答を受けて判定NGフラグのオン・オフを切り替えたり、フック機能をオフにしたり、判定ルールの解除やログアウト処理を行う。イベント調整部45は、イベント制御部44から渡ってきたイベントのパス解析や引数の抽出を行ってルール判定部42で使用可能なフォーマットに変換する。カウンタ46は、操作権限取得処理失敗時にダミー処理を行う数をカウントする。ルール調整部47は、ユーザがパスワード認証を通過後に当該ユーザの判定ルール31を記憶装置3から読み取り、他ユーザの判定ルールとの調整を行う。ルール投入部48は、ルール調整部47で作成された判定ルール31をルール判定部42に投入する。ルール判定部42は、実際にルールとイベントとのルール判定を行う。
【0032】
図3は、ルール作成装置2の構成を示すブロック図である。図3において、ルール作成装置2は、入力装置1から入力された判定ルールを受付け、まとめてルール変換部22に渡すルール受付部21と、ルール受付部21から渡された判定ルール31をルール判定部42で使用可能なフォーマットに変換して記憶装置3に記憶させるルール変換部22とからなる。
【0033】
次に、不正アクセス防止システムの動作について説明する。はじめに、ルール作成装置2で、登録ユーザに対応するルールを作成する。ここでいうルールとは、複数イベントの実行順と、権限取得処理失敗時のダミーカウント数を記述したものである。図4にルールの例を示す。図4において、例えば、あるユーザAの判定ルール52a(52b、52c)は、「/bin/ls -l」、「/bin/cat auth.txt」、「/bin/ls -a」、「/bin/cp abc.txt def.c」という順番でコマンドが入力されるというものである。このルールは、ユーザごとに個別に設定できるものとする。なお、ダミーカウントについては後述する。
【0034】
入力装置1から入力されたルールは、ルール受付部21で受付け、入力されたルールとそのルールを使用するユーザとを関連づける。ルール変換部22は、ルール受付部21でユーザと関連付けられたルールを、ルール判定部42での実際の判定処理で使用可能なフォーマットに変換し、記憶装置3に保存する。
【0035】
次に、不正アクセス防止システムでの実際の操作権限取得方法について説明する。図4(A)を参照すると、ユーザAが実行したイベント51aと、ユーザAの判定ルール52aとが存在する。最初に実行されたイベント51aである「/bin/ls -l」は、判定ルールの先頭のものと比較して一致しているため、何も実行せずにリターン(return)する。なお、ユーザAが実行したイベントは、フックされており、上記の比較処理が行われた後、何も実行せずにリターンするので、システム的には何も行われない。しかし、本来は成功するコマンドのみ操作権限取得処理として有効なイベントとする。例えば、図4(B)に示す2番目のイベント51bである「/bin/cat auth.txt」は、「auth.txt」というファイルを読み込んで標準出力に書き出すことができれば成功であるが、「auth.txt」というファイルが存在しない場合などイベントとして失敗するものは、操作権限取得処理としても失敗とみなす。
【0036】
図4(B)に示すように次のイベントが入力されると、判定ルール52bの次の行のルールとイベント51bとの比較を行う。ここで一致すると、さらに判定ルールが続くので、何も実行せずにリターンする。これを全てのルールについて一致するまで繰り返す。ルールと入力されたイベントが順番どおり全て一致したら、操作権限取得成功とし、カウンタを0とし、不正操作防止機能をオフにしてユーザAに正規の処理を実行できるようにする。
【0037】
図4(C)に示すように、イベント51cとルール52cが異なる場合、または、既出のようにイベントそのものが失敗するものは、その時点で操作権限取得失敗とする。操作権限取得失敗時も、システム的には何も実行せずにリターンする。
【0038】
操作権限取得に失敗した場合、その時点ですぐにユーザAに対して操作権限取得失敗の応答やログアウトなどの処理を行わず、あたかも操作権限取得処理が続いているかのように見せながら(すなわち、実際には何もせずにリターンしているので、ユーザAにはコマンドを実行しても何も行われていないようにみえる)、事前に設定したダミーカウント数回イベントを入力させる。ここでダミーカウントは、実際のルールのイベント数とは異なるように設定することが好ましい。操作権限取得失敗後にダミーカウント数回イベントを入力させることによって、どのイベントはルールに合致しているのか、どこまで合致していたのかという情報を不正なユーザに推測されることを防ぐことができる。
【0039】
操作権限取得に失敗した場合は、イベント制御部44の判定NGフラグをオンにし、ダミー処理を行う次のイベントがきた場合は、ルール判定部42にはフックした情報は送らず、何もせずにリターンを返す。イベントがダミーカウント数回実行されたら、ユーザAのログアウト処理を行う。
【0040】
次に、不正アクセス防止システムでの操作権限取得処理について説明する。図5は、本発明の第1の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図5において、ルール作成後に、ルール調整部47は、ユーザの判定用のルールを記憶装置3から読み出してルール投入部48に渡し、ルール投入部48は、ルール判定部42にルールを投入する(ステップS11)。
【0041】
不正アクセス防止システムは、イベントフックスタンバイ状態となる(ステップS12)。
【0042】
ユーザAからイベントが実行されると、そのイベントをフック部43でフックする(ステップS13)。イベントをフックすると、その情報をイベント制御部44に渡す。
【0043】
イベント制御部44は、判定NGフラグを有しており、現在の判定NGフラグをチェックする(ステップS14)。判定NGフラグがオンだった場合は、ステップS20に進む。判定NGフラグがオフだった場合は、イベント調整部45にフックしたイベントを渡し、パス解析やオプション抽出などのイベントの調整を行う(ステップS15)。例えば、図4に示すイベント51aの「-l」のようなオプションを抽出したり、イベント51bの「auth.txt」のように相対パスで入力されたパスを絶対パスに変換したりするなど、ルール判定部42で使用する情報を実際の判定時に使用可能なフォーマットに変換する。
【0044】
ステップS15が成功すると、ルール判定部42で実際にルールとの比較を行い、一致していたか否かの結果をイベント制御部44に通知する。(ステップS16)。比較して一致していた場合(ステップS16の一致)、カウンタ46に1を足す(ステップS17)。このカウンタ46は、途中で操作権限取得に失敗した際のダミー処理のカウント用である。
【0045】
次に、ルールに記述されているイベント全てとの比較が完了したかを確認する(ステップS18)。ルールに記述されているイベント全てとの比較が完了していたら、操作権限取得完了とし、投入されていた判定ルールを解除し、またはフック機能をオフにして不正操作防止機能自体をオフにしてユーザAに通常の実行環境を提供する(ステップS24)。
【0046】
ステップS18で、ルールに記述されている全てのイベントとの比較が完了していない場合は、フックしたイベントに関しては何もせずにリターンし(ステップS23)、イベントフックスタンバイ状態に戻る(ステップS12)。
【0047】
ステップS15でイベント調整に失敗した場合、またはステップS16でルールと比較して不一致だった場合は、イベント制御部44にNGの通知を行い、イベント制御部44は、判定NGフラグをオンにする(ステップS19)。
【0048】
次に、カウンタ46に1を足して(ステップS20)、カウンタの値とダミーカウントの設定値とを比較する(ステップS21)。カウンタの値≧設定値となった場合は、ダミー回数のイベント入力が終了しているので、ログアウト処理を行う(ステップS22)。
【0049】
ステップS21で設定値未満の場合は、ステップS23へ進み、イベントフックスタンバイ状態となる(ステップS12)。
【実施例2】
【0050】
図6は、本発明の第2の実施例に係るデータ処理装置の構成を示すブロック図である。図6において、データ処理装置4a中のイベント制御部44aは、記憶装置3aに対してログを出力している点が図2のイベント制御部44、記憶装置3と異なる。
【0051】
図7は、本発明の第2の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図7において、ステップS11〜S24は、図5と同様であり、その説明を省略する。ステップS15において、イベント調整が成功した後、抽出できたイベントの情報(実行されたコマンドやその引数など)をログとして記録する(ステップS30)。以降は図5と同様である。
【0052】
また、ステップS15においてイベント調整に失敗した場合は、判定NGフラグをオンにし(ステップS31)、入力された文字列を抽出して(ステップS32)、ログに出力する(ステップS33)。ここでは、パス解析などの成功、失敗には関係なく、入力されたイベント(コマンドの文字列等)をそのまま抽出し、ログに記録する。ステップS14において判定NGフラグがオンの場合も、ステップS32以降の処理を実施する。ステップS20以降は、図5と同様である。
【0053】
以上のように動作する不正アクセス防止システムにおいて、記憶装置3aに記憶されるログは、不正な操作が行われた際の操作記録であり、実際に不正なユーザがどのようなイベントを実施しようとしたかが記録される。したがって、このログを参照することで、後のセキュリティ対策に活用したり、不正が行われた証拠として残したりすることができる。
【実施例3】
【0054】
図8は、本発明の第3の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図8において、ステップS11〜S24は、図5と同様であり、その説明を省略する。図8を参照すると、本実施例は、操作権限取得処理でフックしたイベントに対して何もせずリターンしていたものを、ファイルのオープン処理(リード可能、ライト禁止モード)のイベントについては、そのまま実行させて結果をリターンする点で第1の実施例と異なる。
【0055】
すなわち、ステップS18の「N」の後、またはステップS21の「N」の後、ステップS41で、実行されたイベントがファイルのオープン処理(リード可能、ライト禁止モード)だった場合は、ステップS42に進み、イベントを実行してリターンする。実行されたイベントがファイルのオープン処理(リード可能、ライト禁止モード)以外であった場合は、第1の実施例と同様にステップS23に進む。
【0056】
以上のように動作する不正アクセス防止システムは、不正なユーザがパスワードを破ってきた後、ファイルのリード系処理が実行できるので一見不正侵入が成功したように見せかけておき、実際にはプログラムの実行や改ざん処理はできないようにしておくことで、本システムの存在を隠すことができる。その間にもダミーカウントは上がっていくので、ダミーカウントが設定した値になった場合にログアウトさせることが可能である。
【0057】
なお、本実施例において、第2の実施例と同様にして、ログとしてイベントを記録してもよい。
【実施例4】
【0058】
図9は、本発明の第4の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図9において、ステップS11〜S24は、図5と同様であり、その説明を省略する。図9を参照すると、ステップS21でダミーカウンタが設定値以上となった場合、すぐにログアウトせずに、メッセージを出力してから(ステップS51)ログアウトさせる点が第1の実施例と異なる。例えば、「不正アクセスを検知しました」というようなメッセージを出力することで、不正ユーザに対して警告することになり、当該マシンに対して再度攻撃をしかけることを抑制する効果が得られる。
【0059】
また、本実施例は、第2の実施例、第3の実施例と組み合わせてもよい。
【図面の簡単な説明】
【0060】
【図1】本発明の実施形態に係る不正アクセス防止システムの構成を示すブロック図である。
【図2】本発明の第1の実施例に係るデータ処理装置の構成を示すブロック図である。
【図3】ルール作成装置の構成を示すブロック図である。
【図4】判定ルールの例を説明する図である。
【図5】本発明の第1の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【図6】本発明の第2の実施例に係るデータ処理装置の構成を示すブロック図である。
【図7】本発明の第2の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【図8】本発明の第3の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【図9】本発明の第4の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【符号の説明】
【0061】
1 入力装置
2 ルール作成装置
3、3a 記憶装置
4、4a データ処理装置
21 ルール受付部
22 ルール変換部
31 判定ルール
32 ログ
41 判定制御部
42 ルール判定部
43 フック部
44、44a イベント制御部
45 イベント調整部
46 カウンタ
47 ルール調整部
48 ルール投入部
51a、51b、51c イベント
52a、52b、52c ユーザAの判定ルール
【技術分野】
【0001】
本発明は、パスワード認証の後に実行する不正アクセス防止方法、システムおよびプログラムに係る。
【背景技術】
【0002】
不正アクセスに対する手法として一般的にとられている対策としては、パスワードによる認証が多い。この認証に通ると、アカウントに対する操作権限が許可され、マシン内のファイル等のリソースに対してアクセス可能になる。パスワードによる認証は、多くのアプリケーションで使用されているものではあるが、パスワードの辞書攻撃や総当り攻撃などの解析ツールが出回り、実際にパスワードクラッキングの被害も報告されている。パスワードが破られてしまうと、アカウントに許可されている範囲で操作が可能となって、システム内のデータの破壊や情報の漏えいなどといった被害を受ける可能性が非常に高くなる。
【0003】
そこで、単なるパスワードによる認証に拠らない不正アクセスを防止する技術が開示されている。例えば、特許文献1には、システムがある特定の文字列や情報を明示的に入力させるユーザ認証システムが開示されている。また、特許文献2には、ある対象に対して主体が、実行してもよい、あるいは実行してはならないというルールでリソースへのアクセスを制御する不正アクセス防止システムが開示されている。このシステムでは、主体、型、対象、パターン、操作という要素がルールとして用意される。
【0004】
さらに、特許文献3には、ゲストOSというものを用意して、不正なコマンド等をログとして記録する不正アクセス痕跡情報保全装置が開示されている。また、特許文献4には、プロセス自体を許可プロセス、一般プロセスとに分類し、フック後の処理を変える不正アクセス防止方法が開示されている。
【0005】
またさらに、関連する技術として、特許文献5には、ネットワークを流れるデータの監視で行う、いわゆる一般に(ネットワーク型)IDS(侵入検知システム)と呼ばれる不正監視システムが記載されている。このシステムは、ネットワーク、または外部接続装置への操作に限定された方式である。また、特許文献6には、あるシステムユーザがあるコマンドを実行する際のコマンドの実行権限を付与するためにユーザ毎に実行権を与えるためのテーブルを作成し、これを参照してチェックするセキュリティチェック方式が開示されている。これは、シングル・サイン・オンと呼ばれるシステムのロールの設定の概念である。シングル・サイン・オンとは、いわゆる本来サーバ(サービス)毎に認証を要求されていたものを、ロールというものを設定することで、一度の認証でサービスをうけることができるものであり、このシングル・サイン・オンで、あるユーザがうけることができるサービスの割り当て(設定)が、コマンドになっている。
【0006】
【特許文献1】特開2005−196800号公報
【特許文献2】特開2004−287810号公報
【特許文献3】特開2005−025517号公報
【特許文献4】特開2005−166051号公報
【特許文献5】特開2005−322261号公報
【特許文献6】特開平11−015549号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところで、特許文献1のユーザ認証システムは、認証システムが存在することが不正ユーザに分かってしまい、攻撃のヒントを与えてしまう恐れがある。また、特許文献2の不正アクセス防止システムは、主体、型、対象、パターン、操作という要素がルールとして必要であるために、あるユーザに対して全操作を許可する、あるいはしないといった処理に用いるにはルール設定の面で利便性が低い。さらに、特許文献3の不正アクセス痕跡情報保全装置は、ゲストOSという特殊なものが必要であって、汎用性に欠ける虞がある。また、不正なコマンド等をログとして記録しているが、コマンド自体は、成功してしまっており、あくまでも事後対策のための記録でしかない。さらに、ログとして記録されていることを侵入者に知られないだけであり、不正行為自体を防ぐことができない虞がある。また、特許文献4の不正アクセス防止方法は、プロセス自体を許可プロセス、一般プロセスとに分類してフック後の処理を変えており、汎用性に欠けてしまう。
【0008】
本発明の目的は、上記の問題点を解決する不正操作防止方法、不正操作防止システムおよびプログラムを提供する。
【課題を解決するための手段】
【0009】
本発明の1つのアスペクトに係る不正アクセス防止方法は、所定のユーザに対してパスワードの認証を行うステップと、パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較するステップと、実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対してログイン後の処理を行うステップと、を含む。
【0010】
第1の展開形態の不正アクセス防止方法において、実行された所定数のイベントが該判定ルールに一致しなかった場合には、ユーザに対してログアウトの処理を行うステップを含んでもよい。
【0011】
第2の展開形態の不正アクセス防止方法において、判定ルールと比較するステップは、オペレーティングシステム(OS)側で実行されてもよい。
【0012】
第3の展開形態の不正アクセス防止方法において、判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されてもよい。
【0013】
第4の展開形態の不正アクセス防止方法において、順次実行されるイベントをログ情報として記録するステップをさらに含んでもよい。
【0014】
第5の展開形態の不正アクセス防止方法において、実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可してもよい。
【0015】
第6の展開形態の不正アクセス防止方法において、ログアウトの処理の前にユーザに対して所定のメッセージを送出するステップを含んでもよい。
【0016】
本発明の1つのアスペクトに係る不正アクセス防止システムは、不正アクセス防止のための判定ルールを記憶する記憶装置と、所定のユーザに対してパスワード認証成功の後に該ユーザによって順次実行されるイベントをフックする判定制御部と、フックされたイベントと記憶装置に記憶されている判定ルールとを比較し、実行された所定数のイベントが判定ルールに一致した場合に、該ユーザに対してログイン後と同様の操作を許可するルール判定部と、を含む。
【0017】
本発明の1つのアスペクトに係るプログラムは、不正アクセス防止システムを構成するコンピュータに、所定のユーザに対してパスワードの認証を行う処理と、パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較する処理と、実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対するログイン後の処理と、を実行させる。
【発明の効果】
【0018】
本発明の第1の効果は、パスワード攻撃を受けてパスワードが破られても、ユーザによって順次実行されるイベントに対して判定ルールを適用するので、認証システムが存在することが不正ユーザに知られずに不正行為を防ぐことが可能である。
【0019】
本発明の第2の効果は、覚えにくく長いパスワードを覚える必要がないことにある。その理由は、パスワード認証の後に不正操作防止処理があるので、仮にパスワードが破られても不正な操作を行えない点と、本システム自身はコマンドなどマシン操作に関する文字列を使用することが可能なので、複雑かつ無意味で覚えにくい文字の羅列のようなパスワードよりは覚えやすいことにある。
【0020】
本発明の第3の効果は、パスワードを破られた後に、不正な操作の試みを無限に行うことを防止することができることにある。その理由は、不正な操作を所定の回数行うと、自動的にログアウト処理が行われるからである。
【0021】
本発明の第4の効果は、ルールの組み合わせを増やすことができるので、不正アクセスによる被害を低下させることができることにある。その理由は、コマンド1つのみの認証ではなく、複数のコマンド、さらにコマンドの実行順序、コマンドのオプションも認証の一部であり、さらに、コマンドの引数にファイル等を記述する場合は実際にそのファイル等が存在し、コマンドそのものが成功するという条件を満たさなければ本発明の認証を通過することができず、推測で攻撃する場合には膨大なパターンで攻撃しなければならないからである。
【0022】
本発明の第5の効果は、OS側で判定処理を行っているので、ssh(secure shell)等の通信を受け付けるアプリケーション側に脆弱性があった場合でも、不正操作を防止することができることにある。
【発明を実施するための最良の形態】
【0023】
始めに、本発明における「イベント」、「フック」、「判定ルール」という言葉を次のように定義する。
イベント:ユーザが入力したコマンドや、コマンドによって実行されたプロセスが発行したシステムコールなどの命令を表す。
フック:ユーザによって実行されたイベントが、実際にOSを含むシステムの中で実行される前に割り込むことを表す。
判定ルール:本システムで操作権限取得処理を行う際に使用する規則を表す。例えばイベントの実行順序などで示される。
【0024】
図1は、本発明の実施形態に係る不正アクセス防止システムの構成を示すブロック図である。図1において、不正アクセス防止システムは、入力装置1、ルール作成装置2、記憶装置3、データ処理装置4からなる。入力装置1は、ユーザによって入力されるコマンド(イベント)をデータ処理装置4に送出する。また、ルール作成装置2によって作成されるルールを入力するためにも用いられる。ルール作成装置2は、コマンドの判定を行うルールを作成して記憶装置3に送出する。記憶装置3は、ルール作成装置2によって作成した判定ルール31やデータ処理装置4におけるログ32を記録する。データ処理装置4は、判定制御部41とルール判定部42を備える。なお、ルール作成装置2およびデータ処理装置4は、不正アクセス防止システムを構成するコンピュータに所定のプログラムを実行させることで実現するようにしても良い。
【0025】
パスワード認証の後、判定制御部41は、入力されたイベント(コマンド等)をフックし、ルール判定部42であらかじめルール作成装置2で作成されていた記憶装置3のルールと比較し、入力されたイベントとルールが一致した場合は、操作権限取得処理継続とする。これを繰り返し、全てのイベントがルールと一致した場合に、当該ユーザに対して通常ログイン後と同様の操作を許可する。一致しなかった場合には、ルール判定部42から判定制御部41へ当該ユーザのログアウトの指示を送る。
【0026】
このような構成の不正アクセス防止システムは、ssh(secure shell)等に代表されるリモートアクセスに際し、ログインパスワードを破られても不正な操作を行わせないようにする。パスワード認証の後に、一見ログインが成功し操作権限を取得できたように見せかけるが、実際は操作権限を与えず、操作権限を取得するための処理を挿入することで、クラッカーによる不正操作を防止する。ここでいう操作権限を取得するための処理とは、複数のコマンドの実行順などの判定処理である。
【0027】
すなわち、入力されたコマンド等のイベントが実際に実行される前に、オペレーティングシステム(OS)側(例えばLinuxなどではカーネル空間内)でそのイベントの文字列と、あらかじめ作成していたコマンド文字列などのルールとを比較し、一致した場合には操作権限取得処理継続とする。この処理を複数のイベントに対して繰り返し行い、全てのイベントがルールと一致した場合は、当該ユーザに対して通常のログイン後と同様の操作を許可し、一致しなかった場合は、当該ユーザをログアウトさせるものである。
【0028】
また、OS側で操作権限取得判定処理を行っているので、例えばsshなどの通信を受け付けるプログラムに脆弱性があって任意のシェルなどを起動されてしまった場合でも、操作権限取得判定処理を通り不正操作を防止することができる。すなわち、操作権限取得判定処理をユーザのアプリケーション側のプログラムで行う実装にした場合、通常はsshd(secure shell daemon)のプロセスが子プロセスとして不正操作防止システムを起動するようにする。しかし、ssh等に脆弱性があった場合などを考えると、その脆弱性を突かれてsshdのプロセスが不正操作防止システムを起動せず、いきなりシェルを起動したり、またsshd自身がシェルとして起動されなおす可能性が考えられる。すると、本来起動されるはずだった不正操作防止システムが起動されず、不正操作を許してしまうことになる。しかし本手法では、上記のように仮にsshなどに脆弱性があっていきなりシェルなどを起動されても、OS側で判定処理を行うので、ユーザのアプリケーション側でのプログラムの起動の有無に関わらず判定処理を通り、不正操作を防止することができる。
【0029】
このような不正アクセス防止システムは、以下のような特徴を有する。
(1)通常のパスワード認証の後に、操作権限を取得する処理を追加し、パスワード認証後あたかもログインが成功しているように見えているが、実際は何も操作ができない点。
(2)パスワード認証後、ユーザがコマンドを入力しても、結果として何も返らない点。
(3)ルールが実際のコマンドの文字列で記述できる点。
(4)複数のイベント(コマンド等)の実行順をひとつのルールにできる点。
(5)ひとつのルールに、イベントを任意数設定できる点。
(6)ユーザごとに個別のルールを設定できる点。
(7)あるユーザのルールや操作権限取得処理が、他のユーザの操作に影響を与えない点。
(8)ダミーカウンタを用いることで、実際のルールにあるイベント数を隠蔽することができる点。
(9)ダミーカウンタを用いることで、パスワード認証後の不正な操作の試みを有限回に留めることができる点。
(10)ダミーカウンタを用いることで、不正ユーザをログアウトさせることができる点。
(11)ルールに、ファイルやディレクトリ名を使用することができる点。
(12)ルールにファイルやディレクトリ名を使用した場合、ユーザが相対パスでイベントを実行しても絶対パスに変換する点。
(13)ルールに記述したファイルが存在しないなど、実際に成功しないイベントが実行された場合に操作権限取得失敗とする点。
(14)ルールに、コマンドの引数がある場合とない場合のイベントを混在させることが出来る点。
(15)不正なイベントが実行された場合に、そのイベントが実際に実行されることなく、ログに記録できる点。
(16)ファイルのオープン処理(リード可能、ライト禁止モード)のイベントのみを実行させることで、不正ユーザに対して一見侵入が成功させたようにみせ、本システムの存在を隠蔽することができる点。
(17)強制ログアウトの実施前に警告メッセージを出力することができる点。
【実施例1】
【0030】
以下、実施例に即し、詳しく説明する。図2は、本発明の第1の実施例に係るデータ処理装置の構成を示すブロック図である。図2において、データ処理装置4は、判定制御部41とルール判定部42を備える。また、判定制御部41は、フック部43と、イベント制御部44と、イベント調整部45と、カウンタ46と、ルール調整部47と、ルール投入部48と、を備える。
【0031】
フック部43は、外部から入力されたイベントをユーザのアプリケーション側ではなく、オペレーティングシステム(OS)側(例えば、Linuxではカーネル空間内)でフックする。イベント制御部44は、操作権限取得処理を行うか否かを判断しフックしたイベントをイベント調整部45に渡したり、ルール判定部42からの応答を受けて判定NGフラグのオン・オフを切り替えたり、フック機能をオフにしたり、判定ルールの解除やログアウト処理を行う。イベント調整部45は、イベント制御部44から渡ってきたイベントのパス解析や引数の抽出を行ってルール判定部42で使用可能なフォーマットに変換する。カウンタ46は、操作権限取得処理失敗時にダミー処理を行う数をカウントする。ルール調整部47は、ユーザがパスワード認証を通過後に当該ユーザの判定ルール31を記憶装置3から読み取り、他ユーザの判定ルールとの調整を行う。ルール投入部48は、ルール調整部47で作成された判定ルール31をルール判定部42に投入する。ルール判定部42は、実際にルールとイベントとのルール判定を行う。
【0032】
図3は、ルール作成装置2の構成を示すブロック図である。図3において、ルール作成装置2は、入力装置1から入力された判定ルールを受付け、まとめてルール変換部22に渡すルール受付部21と、ルール受付部21から渡された判定ルール31をルール判定部42で使用可能なフォーマットに変換して記憶装置3に記憶させるルール変換部22とからなる。
【0033】
次に、不正アクセス防止システムの動作について説明する。はじめに、ルール作成装置2で、登録ユーザに対応するルールを作成する。ここでいうルールとは、複数イベントの実行順と、権限取得処理失敗時のダミーカウント数を記述したものである。図4にルールの例を示す。図4において、例えば、あるユーザAの判定ルール52a(52b、52c)は、「/bin/ls -l」、「/bin/cat auth.txt」、「/bin/ls -a」、「/bin/cp abc.txt def.c」という順番でコマンドが入力されるというものである。このルールは、ユーザごとに個別に設定できるものとする。なお、ダミーカウントについては後述する。
【0034】
入力装置1から入力されたルールは、ルール受付部21で受付け、入力されたルールとそのルールを使用するユーザとを関連づける。ルール変換部22は、ルール受付部21でユーザと関連付けられたルールを、ルール判定部42での実際の判定処理で使用可能なフォーマットに変換し、記憶装置3に保存する。
【0035】
次に、不正アクセス防止システムでの実際の操作権限取得方法について説明する。図4(A)を参照すると、ユーザAが実行したイベント51aと、ユーザAの判定ルール52aとが存在する。最初に実行されたイベント51aである「/bin/ls -l」は、判定ルールの先頭のものと比較して一致しているため、何も実行せずにリターン(return)する。なお、ユーザAが実行したイベントは、フックされており、上記の比較処理が行われた後、何も実行せずにリターンするので、システム的には何も行われない。しかし、本来は成功するコマンドのみ操作権限取得処理として有効なイベントとする。例えば、図4(B)に示す2番目のイベント51bである「/bin/cat auth.txt」は、「auth.txt」というファイルを読み込んで標準出力に書き出すことができれば成功であるが、「auth.txt」というファイルが存在しない場合などイベントとして失敗するものは、操作権限取得処理としても失敗とみなす。
【0036】
図4(B)に示すように次のイベントが入力されると、判定ルール52bの次の行のルールとイベント51bとの比較を行う。ここで一致すると、さらに判定ルールが続くので、何も実行せずにリターンする。これを全てのルールについて一致するまで繰り返す。ルールと入力されたイベントが順番どおり全て一致したら、操作権限取得成功とし、カウンタを0とし、不正操作防止機能をオフにしてユーザAに正規の処理を実行できるようにする。
【0037】
図4(C)に示すように、イベント51cとルール52cが異なる場合、または、既出のようにイベントそのものが失敗するものは、その時点で操作権限取得失敗とする。操作権限取得失敗時も、システム的には何も実行せずにリターンする。
【0038】
操作権限取得に失敗した場合、その時点ですぐにユーザAに対して操作権限取得失敗の応答やログアウトなどの処理を行わず、あたかも操作権限取得処理が続いているかのように見せながら(すなわち、実際には何もせずにリターンしているので、ユーザAにはコマンドを実行しても何も行われていないようにみえる)、事前に設定したダミーカウント数回イベントを入力させる。ここでダミーカウントは、実際のルールのイベント数とは異なるように設定することが好ましい。操作権限取得失敗後にダミーカウント数回イベントを入力させることによって、どのイベントはルールに合致しているのか、どこまで合致していたのかという情報を不正なユーザに推測されることを防ぐことができる。
【0039】
操作権限取得に失敗した場合は、イベント制御部44の判定NGフラグをオンにし、ダミー処理を行う次のイベントがきた場合は、ルール判定部42にはフックした情報は送らず、何もせずにリターンを返す。イベントがダミーカウント数回実行されたら、ユーザAのログアウト処理を行う。
【0040】
次に、不正アクセス防止システムでの操作権限取得処理について説明する。図5は、本発明の第1の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図5において、ルール作成後に、ルール調整部47は、ユーザの判定用のルールを記憶装置3から読み出してルール投入部48に渡し、ルール投入部48は、ルール判定部42にルールを投入する(ステップS11)。
【0041】
不正アクセス防止システムは、イベントフックスタンバイ状態となる(ステップS12)。
【0042】
ユーザAからイベントが実行されると、そのイベントをフック部43でフックする(ステップS13)。イベントをフックすると、その情報をイベント制御部44に渡す。
【0043】
イベント制御部44は、判定NGフラグを有しており、現在の判定NGフラグをチェックする(ステップS14)。判定NGフラグがオンだった場合は、ステップS20に進む。判定NGフラグがオフだった場合は、イベント調整部45にフックしたイベントを渡し、パス解析やオプション抽出などのイベントの調整を行う(ステップS15)。例えば、図4に示すイベント51aの「-l」のようなオプションを抽出したり、イベント51bの「auth.txt」のように相対パスで入力されたパスを絶対パスに変換したりするなど、ルール判定部42で使用する情報を実際の判定時に使用可能なフォーマットに変換する。
【0044】
ステップS15が成功すると、ルール判定部42で実際にルールとの比較を行い、一致していたか否かの結果をイベント制御部44に通知する。(ステップS16)。比較して一致していた場合(ステップS16の一致)、カウンタ46に1を足す(ステップS17)。このカウンタ46は、途中で操作権限取得に失敗した際のダミー処理のカウント用である。
【0045】
次に、ルールに記述されているイベント全てとの比較が完了したかを確認する(ステップS18)。ルールに記述されているイベント全てとの比較が完了していたら、操作権限取得完了とし、投入されていた判定ルールを解除し、またはフック機能をオフにして不正操作防止機能自体をオフにしてユーザAに通常の実行環境を提供する(ステップS24)。
【0046】
ステップS18で、ルールに記述されている全てのイベントとの比較が完了していない場合は、フックしたイベントに関しては何もせずにリターンし(ステップS23)、イベントフックスタンバイ状態に戻る(ステップS12)。
【0047】
ステップS15でイベント調整に失敗した場合、またはステップS16でルールと比較して不一致だった場合は、イベント制御部44にNGの通知を行い、イベント制御部44は、判定NGフラグをオンにする(ステップS19)。
【0048】
次に、カウンタ46に1を足して(ステップS20)、カウンタの値とダミーカウントの設定値とを比較する(ステップS21)。カウンタの値≧設定値となった場合は、ダミー回数のイベント入力が終了しているので、ログアウト処理を行う(ステップS22)。
【0049】
ステップS21で設定値未満の場合は、ステップS23へ進み、イベントフックスタンバイ状態となる(ステップS12)。
【実施例2】
【0050】
図6は、本発明の第2の実施例に係るデータ処理装置の構成を示すブロック図である。図6において、データ処理装置4a中のイベント制御部44aは、記憶装置3aに対してログを出力している点が図2のイベント制御部44、記憶装置3と異なる。
【0051】
図7は、本発明の第2の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図7において、ステップS11〜S24は、図5と同様であり、その説明を省略する。ステップS15において、イベント調整が成功した後、抽出できたイベントの情報(実行されたコマンドやその引数など)をログとして記録する(ステップS30)。以降は図5と同様である。
【0052】
また、ステップS15においてイベント調整に失敗した場合は、判定NGフラグをオンにし(ステップS31)、入力された文字列を抽出して(ステップS32)、ログに出力する(ステップS33)。ここでは、パス解析などの成功、失敗には関係なく、入力されたイベント(コマンドの文字列等)をそのまま抽出し、ログに記録する。ステップS14において判定NGフラグがオンの場合も、ステップS32以降の処理を実施する。ステップS20以降は、図5と同様である。
【0053】
以上のように動作する不正アクセス防止システムにおいて、記憶装置3aに記憶されるログは、不正な操作が行われた際の操作記録であり、実際に不正なユーザがどのようなイベントを実施しようとしたかが記録される。したがって、このログを参照することで、後のセキュリティ対策に活用したり、不正が行われた証拠として残したりすることができる。
【実施例3】
【0054】
図8は、本発明の第3の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図8において、ステップS11〜S24は、図5と同様であり、その説明を省略する。図8を参照すると、本実施例は、操作権限取得処理でフックしたイベントに対して何もせずリターンしていたものを、ファイルのオープン処理(リード可能、ライト禁止モード)のイベントについては、そのまま実行させて結果をリターンする点で第1の実施例と異なる。
【0055】
すなわち、ステップS18の「N」の後、またはステップS21の「N」の後、ステップS41で、実行されたイベントがファイルのオープン処理(リード可能、ライト禁止モード)だった場合は、ステップS42に進み、イベントを実行してリターンする。実行されたイベントがファイルのオープン処理(リード可能、ライト禁止モード)以外であった場合は、第1の実施例と同様にステップS23に進む。
【0056】
以上のように動作する不正アクセス防止システムは、不正なユーザがパスワードを破ってきた後、ファイルのリード系処理が実行できるので一見不正侵入が成功したように見せかけておき、実際にはプログラムの実行や改ざん処理はできないようにしておくことで、本システムの存在を隠すことができる。その間にもダミーカウントは上がっていくので、ダミーカウントが設定した値になった場合にログアウトさせることが可能である。
【0057】
なお、本実施例において、第2の実施例と同様にして、ログとしてイベントを記録してもよい。
【実施例4】
【0058】
図9は、本発明の第4の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。図9において、ステップS11〜S24は、図5と同様であり、その説明を省略する。図9を参照すると、ステップS21でダミーカウンタが設定値以上となった場合、すぐにログアウトせずに、メッセージを出力してから(ステップS51)ログアウトさせる点が第1の実施例と異なる。例えば、「不正アクセスを検知しました」というようなメッセージを出力することで、不正ユーザに対して警告することになり、当該マシンに対して再度攻撃をしかけることを抑制する効果が得られる。
【0059】
また、本実施例は、第2の実施例、第3の実施例と組み合わせてもよい。
【図面の簡単な説明】
【0060】
【図1】本発明の実施形態に係る不正アクセス防止システムの構成を示すブロック図である。
【図2】本発明の第1の実施例に係るデータ処理装置の構成を示すブロック図である。
【図3】ルール作成装置の構成を示すブロック図である。
【図4】判定ルールの例を説明する図である。
【図5】本発明の第1の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【図6】本発明の第2の実施例に係るデータ処理装置の構成を示すブロック図である。
【図7】本発明の第2の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【図8】本発明の第3の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【図9】本発明の第4の実施例に係る不正アクセス防止システムの動作を表すフローチャートである。
【符号の説明】
【0061】
1 入力装置
2 ルール作成装置
3、3a 記憶装置
4、4a データ処理装置
21 ルール受付部
22 ルール変換部
31 判定ルール
32 ログ
41 判定制御部
42 ルール判定部
43 フック部
44、44a イベント制御部
45 イベント調整部
46 カウンタ
47 ルール調整部
48 ルール投入部
51a、51b、51c イベント
52a、52b、52c ユーザAの判定ルール
【特許請求の範囲】
【請求項1】
所定のユーザに対してパスワードの認証を行うステップと、
前記パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較するステップと、
前記実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対してログイン後の処理を行うステップと、
を含むことを特徴とする不正アクセス防止方法。
【請求項2】
前記実行された所定数のイベントが該判定ルールに一致しなかった場合には、前記ユーザに対してログアウトの処理を行うステップを含むことを特徴とする請求項1記載の不正アクセス防止方法。
【請求項3】
前記判定ルールと比較するステップは、オペレーティングシステム(OS)側で実行されることを特徴とする請求項1記載の不正アクセス防止方法。
【請求項4】
前記判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されることを特徴とする請求項1〜3のいずれか一に記載の不正アクセス防止方法。
【請求項5】
前記順次実行されるイベントをログ情報として記録するステップをさらに含むことを特徴とする請求項1記載の不正アクセス防止方法。
【請求項6】
前記実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可することを特徴とする請求項1記載の不正アクセス防止方法。
【請求項7】
前記ログアウトの処理の前に前記ユーザに対して所定のメッセージを送出するステップを含むことを特徴とする請求項2記載の不正アクセス防止方法。
【請求項8】
不正アクセス防止のための判定ルールを記憶する記憶装置と、
所定のユーザに対してパスワード認証成功の後に該ユーザによって順次実行されるイベントをフックする判定制御部と、
前記フックされたイベントと前記記憶装置に記憶されている前記判定ルールとを比較し、前記実行された所定数のイベントが前記判定ルールに一致した場合に、該ユーザに対してログイン後と同様の操作を許可するルール判定部と、
を含むことを特徴とする不正アクセス防止システム。
【請求項9】
前記ルール判定部は、前記実行された所定数のイベントが前記判定ルールに一致しなかった場合には、前記判定制御部へ前記ユーザのログアウトの指示を送ることを特徴とする請求項8記載の不正アクセス防止システム。
【請求項10】
前記判定制御部および前記ルール判定部は、オペレーティングシステム(OS)側で実行されることを特徴とする請求項8記載の不正アクセス防止システム。
【請求項11】
前記判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されることを特徴とする請求項8〜10のいずれか一に記載の不正アクセス防止システム。
【請求項12】
前記記憶装置は、前記順次実行されるイベントをログ情報として記録することを特徴とする請求項8記載の不正アクセス防止システム。
【請求項13】
前記実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可することを特徴とする請求項8記載の不正アクセス防止システム。
【請求項14】
前記ログアウトの処理の前に前記ユーザに対して所定のメッセージを送出することを特徴とする請求項9記載の不正アクセス防止システム。
【請求項15】
不正アクセス防止システムを構成するコンピュータに、
所定のユーザに対してパスワードの認証を行う処理と、
前記パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較する処理と、
前記実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対するログイン後の処理と、
を実行させるためのプログラム。
【請求項16】
前記実行された所定数のイベントが該判定ルールに一致しなかった場合には、前記ユーザに対してログアウトの処理を実行させることを特徴とする請求項15記載のプログラム。
【請求項17】
前記判定ルールと比較する処理は、オペレーティングシステム(OS)側で実行されることを特徴とする請求項15記載のプログラム。
【請求項18】
前記判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されることを特徴とする請求項15〜17のいずれか一に記載のプログラム。
【請求項19】
前記順次実行されるイベントをログ情報として記録する処理をさらに実行させることを特徴とする請求項15記載のプログラム。
【請求項20】
前記実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可することを特徴とする請求項15記載のプログラム。
【請求項21】
前記ログアウトの処理の前に前記ユーザに対して所定のメッセージを送出する処理を実行させることを特徴とする請求項16記載のプログラム。
【請求項1】
所定のユーザに対してパスワードの認証を行うステップと、
前記パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較するステップと、
前記実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対してログイン後の処理を行うステップと、
を含むことを特徴とする不正アクセス防止方法。
【請求項2】
前記実行された所定数のイベントが該判定ルールに一致しなかった場合には、前記ユーザに対してログアウトの処理を行うステップを含むことを特徴とする請求項1記載の不正アクセス防止方法。
【請求項3】
前記判定ルールと比較するステップは、オペレーティングシステム(OS)側で実行されることを特徴とする請求項1記載の不正アクセス防止方法。
【請求項4】
前記判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されることを特徴とする請求項1〜3のいずれか一に記載の不正アクセス防止方法。
【請求項5】
前記順次実行されるイベントをログ情報として記録するステップをさらに含むことを特徴とする請求項1記載の不正アクセス防止方法。
【請求項6】
前記実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可することを特徴とする請求項1記載の不正アクセス防止方法。
【請求項7】
前記ログアウトの処理の前に前記ユーザに対して所定のメッセージを送出するステップを含むことを特徴とする請求項2記載の不正アクセス防止方法。
【請求項8】
不正アクセス防止のための判定ルールを記憶する記憶装置と、
所定のユーザに対してパスワード認証成功の後に該ユーザによって順次実行されるイベントをフックする判定制御部と、
前記フックされたイベントと前記記憶装置に記憶されている前記判定ルールとを比較し、前記実行された所定数のイベントが前記判定ルールに一致した場合に、該ユーザに対してログイン後と同様の操作を許可するルール判定部と、
を含むことを特徴とする不正アクセス防止システム。
【請求項9】
前記ルール判定部は、前記実行された所定数のイベントが前記判定ルールに一致しなかった場合には、前記判定制御部へ前記ユーザのログアウトの指示を送ることを特徴とする請求項8記載の不正アクセス防止システム。
【請求項10】
前記判定制御部および前記ルール判定部は、オペレーティングシステム(OS)側で実行されることを特徴とする請求項8記載の不正アクセス防止システム。
【請求項11】
前記判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されることを特徴とする請求項8〜10のいずれか一に記載の不正アクセス防止システム。
【請求項12】
前記記憶装置は、前記順次実行されるイベントをログ情報として記録することを特徴とする請求項8記載の不正アクセス防止システム。
【請求項13】
前記実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可することを特徴とする請求項8記載の不正アクセス防止システム。
【請求項14】
前記ログアウトの処理の前に前記ユーザに対して所定のメッセージを送出することを特徴とする請求項9記載の不正アクセス防止システム。
【請求項15】
不正アクセス防止システムを構成するコンピュータに、
所定のユーザに対してパスワードの認証を行う処理と、
前記パスワードの認証成功の後に該ユーザによって順次実行されるイベントを、予め作成され記憶されている判定ルールと比較する処理と、
前記実行された所定数のイベントが該判定ルールに一致した場合に、該ユーザに対するログイン後の処理と、
を実行させるためのプログラム。
【請求項16】
前記実行された所定数のイベントが該判定ルールに一致しなかった場合には、前記ユーザに対してログアウトの処理を実行させることを特徴とする請求項15記載のプログラム。
【請求項17】
前記判定ルールと比較する処理は、オペレーティングシステム(OS)側で実行されることを特徴とする請求項15記載のプログラム。
【請求項18】
前記判定ルールは、操作権限取得処理を行うための規則であって、イベントの実行順を示し、文字列で記述されたイベント列で表されることを特徴とする請求項15〜17のいずれか一に記載のプログラム。
【請求項19】
前記順次実行されるイベントをログ情報として記録する処理をさらに実行させることを特徴とする請求項15記載のプログラム。
【請求項20】
前記実行されたイベントが所定のファイルのオープン処理に関するものである場合に、該所定のファイルのリード処理の実行を許可することを特徴とする請求項15記載のプログラム。
【請求項21】
前記ログアウトの処理の前に前記ユーザに対して所定のメッセージを送出する処理を実行させることを特徴とする請求項16記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−241549(P2007−241549A)
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願番号】特願2006−61386(P2006−61386)
【出願日】平成18年3月7日(2006.3.7)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願日】平成18年3月7日(2006.3.7)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]