情報処理装置およびプログラム
【課題】リモートアクセスを行った通信装置以外との通信を抑制することができる情報処理装置およびプログラムを提供する。
【解決手段】通信制御テーブルには、外部の通信装置と行う通信に適用する制御内容が記録されている。システムコール管理部100は、リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、リモートアクセスを行った通信装置のIPアドレスをプロセスから取得してファイル書き込み管理部121に渡す。ファイル書き込み管理部121は、そのIPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を通信制御テーブルに記録する。通信制御部150は、通信制御テーブルの制御内容に従って、外部の通信装置と行う通信を制御する。
【解決手段】通信制御テーブルには、外部の通信装置と行う通信に適用する制御内容が記録されている。システムコール管理部100は、リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、リモートアクセスを行った通信装置のIPアドレスをプロセスから取得してファイル書き込み管理部121に渡す。ファイル書き込み管理部121は、そのIPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を通信制御テーブルに記録する。通信制御部150は、通信制御テーブルの制御内容に従って、外部の通信装置と行う通信を制御する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リモートアクセスに係る処理を行う情報処理装置に関する。また、本発明は、本情報処理装置としてコンピュータを機能させるためのプログラムにも関する。
【背景技術】
【0002】
リモートアクセスによりサーバなどのネットワーク機器に侵入するリモート侵入者の挙動を監視するために、わざと侵入しやすいように設定したハニーポット(例えば、非特許文献1参照)が注目されている。多くのリモート侵入者は、ハニーポットから情報を奪取したり、悪意のコードを仕込んで踏み台にしたりするために、ハニーポット内でファイルに対するアクセスを行う。このハニーポットに必要な要件の一つとして、侵入されたハニーポット自身が踏み台になって外部への攻撃パケット(Outboundパケット)を送信することを抑止することが挙げられる。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】田原祐介、“ハニーポットを利用したネットワークの危機管理”、[online]、2002年1月19日、[2009年1月30日検索]、インターネット<URL: http://www.atmarkit.co.jp/fsecurity/special/13honey/honey01.html>
【発明の概要】
【発明が解決しようとする課題】
【0004】
外部への攻撃パケットの送信を抑制する代表的な手法として、Firewallによってパケットを棄却する手法がある。しかし、この手法では、リモート侵入者への発信パケットを棄却するようなルールをFirewallに設定しておく必要があり、ハニーポット内でリモート侵入者をわざと泳がせてリモート侵入者へパケットを発信させたときの挙動を監視することができない。そこで、リモート侵入者との通信を許容しつつ、リモート侵入者以外の外部との通信を抑制するような仕組みが望まれる。
【0005】
本発明は、上述した課題に鑑みてなされたものであって、リモートアクセスを行った通信装置以外との通信を抑制することができる情報処理装置およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、上記の課題を解決するためになされたもので、外部の通信装置と行う通信に適用する制御内容を記憶する記憶手段と、リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、前記リモートアクセスを行った通信装置のIPアドレスを前記プロセスから取得して処理手段に渡すシステムコール管理手段と、前記システムコール管理手段から渡されたIPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納する前記処理手段と、前記記憶手段が記憶する制御内容に従って、外部の通信装置と行う通信を制御する通信制御手段と、を備えたことを特徴とする情報処理装置である。
【0007】
また、本発明の情報処理装置において、前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットの数をカウントし、当該パケットの数が所定値以上になった場合に、前記IPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納することを特徴とする。
【0008】
また、本発明の情報処理装置において、前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットのうち、特定のPortを使用するパケットの数をカウントすることを特徴とする。
【0009】
また、本発明の情報処理装置において、前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置がリモートアクセスを終了した場合、当該通信装置からのリモートアクセスを棄却することを示す制御内容を前記記憶手段に格納することを特徴とする。
【0010】
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
【発明の効果】
【0011】
本発明によれば、リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールが検出された場合に、リモートアクセスを行った通信装置以外との通信を抑制することを示す制御内容に従って通信が制御されるので、リモートアクセスを行った通信装置以外との通信を抑制することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1の実施形態による情報処理装置の構成を示すブロック図である。
【図2】本発明の第1の実施形態による情報処理装置において、ファイルに書き込みを行う場合の処理の様子を示す参考図である。
【図3】本発明の第1の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【図4】本発明の第1の実施形態における通信制御テーブルの内容を示す参考図である。
【図5】本発明の第1の実施形態における通信制御テーブルの内容を示す参考図である。
【図6】本発明の第2の実施形態による情報処理装置の構成を示すブロック図である。
【図7】本発明の第2の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【図8】本発明の第2の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【図9】本発明の第2の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、図面を参照し、本発明の実施形態を説明する。
【0014】
(第1の実施形態)
まず、本発明の第1の実施形態を説明する。図1は、本実施形態による情報処理装置の構成を示している。カーネル10は、情報処理装置上で動作するオペレーティングシステム(OS)の根幹をなしており、システムコール管理部100、管理テーブル110、処理部120、ファイル書き込み部130、通信部140、および通信制御部150を備える。
【0015】
これらの構成を備えるカーネル10は、CPUがOS用のプログラムをメモリ(RAM)に読み込んで実行することによって起動するものであり、CPUおよびメモリのリソースを含んで構成されている。すなわち、図1に示すカーネル10は、カーネルとしての機能を実現するための処理を実行するCPUのリソースと、その処理を実行するためにメモリに割り当てられた領域とを含んでいる。
【0016】
システムコール管理部100は、情報処理装置上で生成されたプロセスがカーネル10に対して各種要求を行う際に発行するシステムコールを管理する。管理テーブル110は、一般的にはsys_call_table[]と呼ばれるテーブルであり、システムコールによってプロセスから要求を受けた際に呼び出す処理プログラム(カーネル関数)を指す情報が記録されている。
【0017】
処理部120はファイル書き込み管理部121を備える。ファイル書き込み管理部121は、本実施形態で定義するカーネル関数であるhook_write()関数の機能を備えており、プロセスからカーネル10に対してファイルへの書き込みが要求された場合に、後述する処理を実行する。ファイル書き込み部130は、一般的にはsys_write()関数と呼ばれるカーネル関数であり、ファイルへの書き込みを行う。
【0018】
通信部140は、一般的にはsys_socketcall()関数と呼ばれるカーネル関数であり、プロセスからカーネル10に対して外部との通信が要求された場合に、外部の通信装置と通信を行う。通信制御部150は、通信部140が行う通信を制御する。
【0019】
記憶装置20は、HDD(ハードディスクドライブ)やフラッシュメモリ等であり、各種ファイル等を記憶する。
【0020】
次に、本実施形態による情報処理装置の動作を説明する。図2は、SSH(Secure SHell)等のプログラムを利用してPC等の通信装置(リモート侵入者)がリモートで情報処置装置にログインし、ファイルに書き込みを行う場合の処理の様子を示している。リモートログインによって情報処理装置上で生成されたプロセスであるリモートログインプロセス30は、ファイルに書き込みを行うため、カーネル10に対してファイルへの書き込み要求を出す。カーネル10のシステムコール管理部100は、ファイルへの書き込み要求を受けると管理テーブル110を参照し、管理テーブル110が示す処理プログラムに処理を受け渡す。
【0021】
管理テーブル110には、要求毎に、その要求に対応する処理プログラムを指す情報が記録されている。従来の動作では、ファイルへの書き込み要求にはファイル書き込み部130が対応しているため、ファイル書き込み部130に処理が受け渡される。しかし、本実施形態では、管理テーブル110が予め書き換えられており、ファイルへの書き込み要求にはファイル書き込み管理部121が対応している。このため、カーネル10がファイルへの書き込み要求を受けた場合、ファイル書き込み管理部121に処理が受け渡される。
【0022】
ファイル書き込み管理部121は、本実施形態で定義する処理を実行した後、ファイル書き込み部130に処理を受け渡す。ファイル書き込み部130は、ファイルに対する書き込みを実行した後、処理結果をファイル書き込み管理部121に返す。ファイル書き込み管理部121は処理結果をリモートログインプロセス30に返す。
【0023】
図3は、ファイル書き込み管理部121が、システムコール管理部100から処理を受け渡されてからファイル書き込み部130に処理を受け渡すまでに実行する処理の詳細な手順を示している。リモートログインプロセス30が、カーネル10に対して、ファイルへの書き込み要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照し、ファイル書き込み管理部121に処理を受け渡す。これによって、ファイル書き込み管理部121へ処理が移行する(ステップS100)。
【0024】
ファイル書き込み管理部121は、システムコール管理部100にファイル名の取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名を取得し、ファイル書き込み管理部121に渡す(ステップS105)。ファイル書き込み管理部121は、そのファイル名が、記憶装置20に保存されているアクセスログのファイル名(アクセスログ名)と一致するか否かを判定する(ステップS110)。
【0025】
ログイン時には、アクセスログに対する書き込み要求が行われる。取得したファイル名がアクセスログ名と一致した場合、ファイル書き込み管理部121は、システムコール管理部100にファイル名、プロセスID、およびリモート侵入者のIPアドレスの取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名、プロセスID、およびIPアドレスを取得し、ファイル書き込み管理部121に渡す(ステップS115)。ファイル書き込み管理部121は記憶装置20から通信制御テーブルを読み出し、システムコール管理部100から取得したIPアドレスに基づいて通信制御テーブルを編集し、編集後の通信制御テーブルを記憶装置20に格納する(ステップS120)。通信制御テーブルの内容およびその編集方法については後述する。
【0026】
続いて、ファイル書き込み管理部121は、取得したファイル名、プロセスID、およびIPアドレスをファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS125)。ファイル書き込み部130は、記憶装置20に保存されているアクセスログに対して、ファイル名、プロセスID、およびIPアドレスを関連付けて記録する。
【0027】
一方、ステップS105で取得したファイル名がアクセスログ名と一致しない場合、ファイル書き込み管理部121は、システムコール管理部100から取得したファイル名をファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS125)。ファイル書き込み部130は、記憶装置20に保存されているファイルのうち、取得したファイル名を有するファイルに書き込みを行う。
【0028】
通信制御テーブルは、外部の通信装置と行う通信に適用する制御内容を記録したテーブルであり、一般的にはiptableと呼ばれる。図4は、図3のステップS120でファイル書き込み管理部121が編集を行う前の通信制御テーブルの内容例を示している。図4に示すように、通信制御テーブルでは、パケットの送信元のIPアドレスであるSource IPと、パケットの送信先のIPアドレスであるDestination IPと、サービス名と、処理内容とが関連付けられている。図中の「ハニーポットIP」は情報処理装置のIPアドレスを示し、「ANY」は任意であることを示している。
【0029】
プロセスが、カーネル10に対して、外部の通信装置との通信要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照し、通信部140に処理を受け渡す。このとき、システムコール管理部100はプロセスから通信相手のIPアドレスを取得しており、そのIPアドレスを通信部140に渡す。通信部140は、そのIPアドレスを有する通信装置との通信を開始する。
【0030】
また、通信制御部150は記憶装置20から通信制御テーブルを読み出し、通信制御テーブルの内容に従ってパケット送受信の許可/棄却を行うように通信部140を制御する。設定420によって、基本的には全ての通信装置と送受信されるパケットが棄却されるが、設定400,410は設定420よりも優先的に適用される。このため、設定410が示すように、外部の任意の通信装置が本実施形態の情報処理装置にパケット(Inboundパケット)を送信し、リモートアクセスを行うことが可能である。
【0031】
図5は、図3のステップS120でファイル書き込み管理部121が編集を行った後の通信制御テーブルの内容例を示している。ファイル書き込み管理部121は、図4の設定410におけるSource IPを、システムコール管理部100から取得したリモート侵入者のIPアドレスで更新し、設定500とする。これによって、リモート侵入者のみが本実施形態の情報処理装置にリモートアクセスを行うことができるようになる。また、ファイル書き込み管理部121は設定510を追加する。これによって、リモート侵入者へのパケット(Outboundパケット)の送信のみが許可され、他の通信装置へのパケットは棄却されるので、他の通信装置へ攻撃パケットが送信されることはない。
【0032】
本実施形態の情報処理装置がハニーポットであることを悪意のユーザが見抜いた場合にリモート侵入者が破壊的な攻撃を行うことを防ぐ必要がある。そこで、本実施形態および後述する第2の実施形態において、以下のようにしてもよい。
【0033】
リモート侵入者がリモートアクセスを終了するためにログアウトするとき、その情報がアクセスログに記録される。そこで、図3に示す手順と同様の手順により、ファイル書き込み管理部121は、リモート侵入者のログアウトを検出したときに、図5の設定500の処理内容を「棄却」に設定する。これによって、リモート侵入者がリモートアクセスを終了した後、同じリモート侵入者が本実施形態の情報処理装置に再度リモートアクセスを行うことができなくなる。
【0034】
あるいは、リモート侵入者がログインしている状態で通信制御テーブルを書き換えることによって、ログイン中の通信セッションのみを許容するが、その他の全ての通信セッションの確立を棄却する設定を行ってもよい。これによって、リモート侵入者がリモートアクセスを終了した後、同じリモート侵入者が本実施形態の情報処理装置に再度リモートアクセスを行うことができなくなる。この設定を行うには、以下のコマンドに相当する設定を行えばよい。
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -j REJECT
【0035】
上述したように、本実施形態によれば、システムコール管理部100は、リモートアクセスに係るプロセスがログイン時にアクセスログにアクセスする際にカーネル10に発行するシステムコールを検出し、ファイル書き込み管理部121は、リモートアクセスを行った通信装置以外との通信を抑制することを示す制御内容を含むように通信制御テーブルを編集する。これによって、リモートアクセスを行った通信装置以外との通信を抑制する制御をリアルタイムに行うことができる。また、同じリモート侵入者によるログアウト後の再度のリモートアクセスを防ぐことによって、本実施形態の情報処理装置を踏み台にした攻撃の拡大を防止することができる。
【0036】
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。第1の実施形態で示したように、リモート侵入者がログインした直後に通信制御テーブルを書き換えることによって、攻撃パケットの漏洩を完全に防ぐことができる。しかし、侵入に成功した装置から他の通信装置へのパケットの送信をある程度許容しなければ、悪意のユーザが不審に思う可能性がある。そこで、本実施形態では、リモート侵入者がログインした直後から他の通信装置へのパケットの送信をある程度許容する制御が行われる。
【0037】
図6は、本実施形態による情報処理装置の構成を示している。第1の実施形態との違いは、処理部120に通信管理部122が追加されていることである。通信管理部122は、本実施形態で定義するカーネル関数であるhook_socketcall()関数の機能を備えており、プロセスからカーネル10に対して外部との通信が要求された場合に、後述する処理を実行する。
【0038】
図7は、ファイル書き込み管理部121が、システムコール管理部100から処理を受け渡されてからファイル書き込み部130に処理を受け渡すまでに実行する処理の詳細な手順を示している。図3に示した手順と比較すると、通信制御テーブルを編集するステップS120が削除されている。その他は、図3に示して手順と同様である。
【0039】
プロセスが、カーネル10に対して、外部の通信装置との通信要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照する。本実施形態では、管理テーブル110が予め書き換えられており、外部の通信装置との通信要求には通信管理部122が対応している。このため、カーネル10が外部の通信装置との通信要求を受けた場合、通信管理部122に処理が受け渡される。
【0040】
システムコール管理部100はプロセスから通信相手のIPアドレスを取得しており、そのIPアドレスを通信管理部122に渡す。通信管理部122は、そのIPアドレスを通信部140に渡して、そのIPアドレスを有する通信装置との通信を開始させると共に、図8に示す処理を実行する。
【0041】
まず、通信管理部122は、記憶装置20からアクセスログを読み出し、システムコール管理部100から取得したIPアドレスと、アクセスログに記録されているIPアドレスとが一致するか否かを判定する(ステップS200)。システムコール管理部100から取得したIPアドレスが、アクセスログに記録されているどのIPアドレスとも一致しない場合、本実施形態で監視対象とするリモート侵入者ではない他者との通信が行われるので、図8に示す処理は終了する。
【0042】
一方、システムコール管理部100から取得したIPアドレスが、アクセスログに記録されているいずれかのIPアドレスと一致した場合、リモート侵入者との通信が行われることになる。そこで、通信管理部122は、リモート侵入者へ送信されるパケット(Outboundパケット)をカウントする(ステップS205)。続いて、通信管理部122は、カウント数が所定の閾値以上であるか否かを判定する(ステップS210)。カウント数が所定の閾値未満である場合、処理はステップS205に戻り、パケットのカウントが続行される。
【0043】
一方、カウント数が所定の閾値以上であった場合、通信管理部122は、システムコール管理部100から取得したIPアドレスに基づいて通信制御テーブルを編集し、編集後の通信制御テーブルを記憶装置20に格納する(ステップS215)。通信制御テーブルの編集内容は、図4および図5を参照して説明した編集内容と同一である。これによって、パケット数が所定値以上となるまでは、リモート侵入者を含む他の通信装置へのパケットの送信が許可され、パケット数が所定値以上となった後は、リモート侵入者以外の通信装置へのパケットの送信が棄却される。
【0044】
通信管理部122が、図8に示した処理に代えて、図9に示す処理を行ってもよい。以下、図9に示す手順を説明する。図8に示した手順と比較して、図9に示す手順では、ステップS220,S225が追加されている。
【0045】
ステップS200において、システムコール管理部100から取得したIPアドレスが、アクセスログに記録されているいずれかのIPアドレスと一致した場合、通信管理部122は、他の通信装置へ送信されるパケットから宛先Port(Destination Port)を取得する(ステップS220)。続いて、通信管理部122は、取得した宛先Portが、あらかじめ設定されている危険なPortであるか否かを判定する(ステップS225)。危険なPortとは、例えば、スパムメールの送信に利用されるPort25、ウィルスが利用するPort135〜139、SQLサーバを狙ったワームが利用するPort1433〜1434である。
【0046】
宛先Portが危険なPortでない場合、処理はステップS220に戻る。一方、宛先Portが危険なPortである場合、処理はステップS205に進む。以降の手順は、図8に示した手順と同様である。したがって、図9に示した手順によれば、危険なPortを使用したパケットの数が所定値以上となるまでは、リモート侵入者を含む他の通信装置へのパケットの送信が許可され、危険なPortを使用したパケットの数が所定値以上となった後は、リモート侵入者以外の通信装置へのパケットの送信が棄却される。
【0047】
上述したように、本実施形態によれば、通信管理部122はリモート侵入者がログインした直後から他の通信装置へのパケットの送信をある程度許容する制御を行う。これによって、本実施形態の情報処理装置がハニーポットであることを悪意のユーザが気付きにくくすることができる。
【0048】
上述した第1および第2の実施形態による情報処理装置をハニーポットに適用することで、リモート侵入者の挙動を監視することが可能となる。また、特定のリモートユーザに対してのみアクセスを許可する用途を有するシステムに対して、本実施形態による情報処理装置を適用することも可能である。
【0049】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の情報処理装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0050】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0051】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0052】
10・・・カーネル、20・・・記憶装置(記憶手段)、100・・・システムコール管理部(システムコール管理手段)、110・・・管理テーブル、120・・・処理部(処理手段)、121・・・ファイル書き込み管理部、122・・・通信管理部、130・・・ファイル書き込み部、140・・・通信部、150・・・通信制御部
【技術分野】
【0001】
本発明は、リモートアクセスに係る処理を行う情報処理装置に関する。また、本発明は、本情報処理装置としてコンピュータを機能させるためのプログラムにも関する。
【背景技術】
【0002】
リモートアクセスによりサーバなどのネットワーク機器に侵入するリモート侵入者の挙動を監視するために、わざと侵入しやすいように設定したハニーポット(例えば、非特許文献1参照)が注目されている。多くのリモート侵入者は、ハニーポットから情報を奪取したり、悪意のコードを仕込んで踏み台にしたりするために、ハニーポット内でファイルに対するアクセスを行う。このハニーポットに必要な要件の一つとして、侵入されたハニーポット自身が踏み台になって外部への攻撃パケット(Outboundパケット)を送信することを抑止することが挙げられる。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】田原祐介、“ハニーポットを利用したネットワークの危機管理”、[online]、2002年1月19日、[2009年1月30日検索]、インターネット<URL: http://www.atmarkit.co.jp/fsecurity/special/13honey/honey01.html>
【発明の概要】
【発明が解決しようとする課題】
【0004】
外部への攻撃パケットの送信を抑制する代表的な手法として、Firewallによってパケットを棄却する手法がある。しかし、この手法では、リモート侵入者への発信パケットを棄却するようなルールをFirewallに設定しておく必要があり、ハニーポット内でリモート侵入者をわざと泳がせてリモート侵入者へパケットを発信させたときの挙動を監視することができない。そこで、リモート侵入者との通信を許容しつつ、リモート侵入者以外の外部との通信を抑制するような仕組みが望まれる。
【0005】
本発明は、上述した課題に鑑みてなされたものであって、リモートアクセスを行った通信装置以外との通信を抑制することができる情報処理装置およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、上記の課題を解決するためになされたもので、外部の通信装置と行う通信に適用する制御内容を記憶する記憶手段と、リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、前記リモートアクセスを行った通信装置のIPアドレスを前記プロセスから取得して処理手段に渡すシステムコール管理手段と、前記システムコール管理手段から渡されたIPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納する前記処理手段と、前記記憶手段が記憶する制御内容に従って、外部の通信装置と行う通信を制御する通信制御手段と、を備えたことを特徴とする情報処理装置である。
【0007】
また、本発明の情報処理装置において、前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットの数をカウントし、当該パケットの数が所定値以上になった場合に、前記IPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納することを特徴とする。
【0008】
また、本発明の情報処理装置において、前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットのうち、特定のPortを使用するパケットの数をカウントすることを特徴とする。
【0009】
また、本発明の情報処理装置において、前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置がリモートアクセスを終了した場合、当該通信装置からのリモートアクセスを棄却することを示す制御内容を前記記憶手段に格納することを特徴とする。
【0010】
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
【発明の効果】
【0011】
本発明によれば、リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールが検出された場合に、リモートアクセスを行った通信装置以外との通信を抑制することを示す制御内容に従って通信が制御されるので、リモートアクセスを行った通信装置以外との通信を抑制することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1の実施形態による情報処理装置の構成を示すブロック図である。
【図2】本発明の第1の実施形態による情報処理装置において、ファイルに書き込みを行う場合の処理の様子を示す参考図である。
【図3】本発明の第1の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【図4】本発明の第1の実施形態における通信制御テーブルの内容を示す参考図である。
【図5】本発明の第1の実施形態における通信制御テーブルの内容を示す参考図である。
【図6】本発明の第2の実施形態による情報処理装置の構成を示すブロック図である。
【図7】本発明の第2の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【図8】本発明の第2の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【図9】本発明の第2の実施形態による情報処理装置が実行する処理の手順を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、図面を参照し、本発明の実施形態を説明する。
【0014】
(第1の実施形態)
まず、本発明の第1の実施形態を説明する。図1は、本実施形態による情報処理装置の構成を示している。カーネル10は、情報処理装置上で動作するオペレーティングシステム(OS)の根幹をなしており、システムコール管理部100、管理テーブル110、処理部120、ファイル書き込み部130、通信部140、および通信制御部150を備える。
【0015】
これらの構成を備えるカーネル10は、CPUがOS用のプログラムをメモリ(RAM)に読み込んで実行することによって起動するものであり、CPUおよびメモリのリソースを含んで構成されている。すなわち、図1に示すカーネル10は、カーネルとしての機能を実現するための処理を実行するCPUのリソースと、その処理を実行するためにメモリに割り当てられた領域とを含んでいる。
【0016】
システムコール管理部100は、情報処理装置上で生成されたプロセスがカーネル10に対して各種要求を行う際に発行するシステムコールを管理する。管理テーブル110は、一般的にはsys_call_table[]と呼ばれるテーブルであり、システムコールによってプロセスから要求を受けた際に呼び出す処理プログラム(カーネル関数)を指す情報が記録されている。
【0017】
処理部120はファイル書き込み管理部121を備える。ファイル書き込み管理部121は、本実施形態で定義するカーネル関数であるhook_write()関数の機能を備えており、プロセスからカーネル10に対してファイルへの書き込みが要求された場合に、後述する処理を実行する。ファイル書き込み部130は、一般的にはsys_write()関数と呼ばれるカーネル関数であり、ファイルへの書き込みを行う。
【0018】
通信部140は、一般的にはsys_socketcall()関数と呼ばれるカーネル関数であり、プロセスからカーネル10に対して外部との通信が要求された場合に、外部の通信装置と通信を行う。通信制御部150は、通信部140が行う通信を制御する。
【0019】
記憶装置20は、HDD(ハードディスクドライブ)やフラッシュメモリ等であり、各種ファイル等を記憶する。
【0020】
次に、本実施形態による情報処理装置の動作を説明する。図2は、SSH(Secure SHell)等のプログラムを利用してPC等の通信装置(リモート侵入者)がリモートで情報処置装置にログインし、ファイルに書き込みを行う場合の処理の様子を示している。リモートログインによって情報処理装置上で生成されたプロセスであるリモートログインプロセス30は、ファイルに書き込みを行うため、カーネル10に対してファイルへの書き込み要求を出す。カーネル10のシステムコール管理部100は、ファイルへの書き込み要求を受けると管理テーブル110を参照し、管理テーブル110が示す処理プログラムに処理を受け渡す。
【0021】
管理テーブル110には、要求毎に、その要求に対応する処理プログラムを指す情報が記録されている。従来の動作では、ファイルへの書き込み要求にはファイル書き込み部130が対応しているため、ファイル書き込み部130に処理が受け渡される。しかし、本実施形態では、管理テーブル110が予め書き換えられており、ファイルへの書き込み要求にはファイル書き込み管理部121が対応している。このため、カーネル10がファイルへの書き込み要求を受けた場合、ファイル書き込み管理部121に処理が受け渡される。
【0022】
ファイル書き込み管理部121は、本実施形態で定義する処理を実行した後、ファイル書き込み部130に処理を受け渡す。ファイル書き込み部130は、ファイルに対する書き込みを実行した後、処理結果をファイル書き込み管理部121に返す。ファイル書き込み管理部121は処理結果をリモートログインプロセス30に返す。
【0023】
図3は、ファイル書き込み管理部121が、システムコール管理部100から処理を受け渡されてからファイル書き込み部130に処理を受け渡すまでに実行する処理の詳細な手順を示している。リモートログインプロセス30が、カーネル10に対して、ファイルへの書き込み要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照し、ファイル書き込み管理部121に処理を受け渡す。これによって、ファイル書き込み管理部121へ処理が移行する(ステップS100)。
【0024】
ファイル書き込み管理部121は、システムコール管理部100にファイル名の取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名を取得し、ファイル書き込み管理部121に渡す(ステップS105)。ファイル書き込み管理部121は、そのファイル名が、記憶装置20に保存されているアクセスログのファイル名(アクセスログ名)と一致するか否かを判定する(ステップS110)。
【0025】
ログイン時には、アクセスログに対する書き込み要求が行われる。取得したファイル名がアクセスログ名と一致した場合、ファイル書き込み管理部121は、システムコール管理部100にファイル名、プロセスID、およびリモート侵入者のIPアドレスの取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名、プロセスID、およびIPアドレスを取得し、ファイル書き込み管理部121に渡す(ステップS115)。ファイル書き込み管理部121は記憶装置20から通信制御テーブルを読み出し、システムコール管理部100から取得したIPアドレスに基づいて通信制御テーブルを編集し、編集後の通信制御テーブルを記憶装置20に格納する(ステップS120)。通信制御テーブルの内容およびその編集方法については後述する。
【0026】
続いて、ファイル書き込み管理部121は、取得したファイル名、プロセスID、およびIPアドレスをファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS125)。ファイル書き込み部130は、記憶装置20に保存されているアクセスログに対して、ファイル名、プロセスID、およびIPアドレスを関連付けて記録する。
【0027】
一方、ステップS105で取得したファイル名がアクセスログ名と一致しない場合、ファイル書き込み管理部121は、システムコール管理部100から取得したファイル名をファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS125)。ファイル書き込み部130は、記憶装置20に保存されているファイルのうち、取得したファイル名を有するファイルに書き込みを行う。
【0028】
通信制御テーブルは、外部の通信装置と行う通信に適用する制御内容を記録したテーブルであり、一般的にはiptableと呼ばれる。図4は、図3のステップS120でファイル書き込み管理部121が編集を行う前の通信制御テーブルの内容例を示している。図4に示すように、通信制御テーブルでは、パケットの送信元のIPアドレスであるSource IPと、パケットの送信先のIPアドレスであるDestination IPと、サービス名と、処理内容とが関連付けられている。図中の「ハニーポットIP」は情報処理装置のIPアドレスを示し、「ANY」は任意であることを示している。
【0029】
プロセスが、カーネル10に対して、外部の通信装置との通信要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照し、通信部140に処理を受け渡す。このとき、システムコール管理部100はプロセスから通信相手のIPアドレスを取得しており、そのIPアドレスを通信部140に渡す。通信部140は、そのIPアドレスを有する通信装置との通信を開始する。
【0030】
また、通信制御部150は記憶装置20から通信制御テーブルを読み出し、通信制御テーブルの内容に従ってパケット送受信の許可/棄却を行うように通信部140を制御する。設定420によって、基本的には全ての通信装置と送受信されるパケットが棄却されるが、設定400,410は設定420よりも優先的に適用される。このため、設定410が示すように、外部の任意の通信装置が本実施形態の情報処理装置にパケット(Inboundパケット)を送信し、リモートアクセスを行うことが可能である。
【0031】
図5は、図3のステップS120でファイル書き込み管理部121が編集を行った後の通信制御テーブルの内容例を示している。ファイル書き込み管理部121は、図4の設定410におけるSource IPを、システムコール管理部100から取得したリモート侵入者のIPアドレスで更新し、設定500とする。これによって、リモート侵入者のみが本実施形態の情報処理装置にリモートアクセスを行うことができるようになる。また、ファイル書き込み管理部121は設定510を追加する。これによって、リモート侵入者へのパケット(Outboundパケット)の送信のみが許可され、他の通信装置へのパケットは棄却されるので、他の通信装置へ攻撃パケットが送信されることはない。
【0032】
本実施形態の情報処理装置がハニーポットであることを悪意のユーザが見抜いた場合にリモート侵入者が破壊的な攻撃を行うことを防ぐ必要がある。そこで、本実施形態および後述する第2の実施形態において、以下のようにしてもよい。
【0033】
リモート侵入者がリモートアクセスを終了するためにログアウトするとき、その情報がアクセスログに記録される。そこで、図3に示す手順と同様の手順により、ファイル書き込み管理部121は、リモート侵入者のログアウトを検出したときに、図5の設定500の処理内容を「棄却」に設定する。これによって、リモート侵入者がリモートアクセスを終了した後、同じリモート侵入者が本実施形態の情報処理装置に再度リモートアクセスを行うことができなくなる。
【0034】
あるいは、リモート侵入者がログインしている状態で通信制御テーブルを書き換えることによって、ログイン中の通信セッションのみを許容するが、その他の全ての通信セッションの確立を棄却する設定を行ってもよい。これによって、リモート侵入者がリモートアクセスを終了した後、同じリモート侵入者が本実施形態の情報処理装置に再度リモートアクセスを行うことができなくなる。この設定を行うには、以下のコマンドに相当する設定を行えばよい。
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -j REJECT
【0035】
上述したように、本実施形態によれば、システムコール管理部100は、リモートアクセスに係るプロセスがログイン時にアクセスログにアクセスする際にカーネル10に発行するシステムコールを検出し、ファイル書き込み管理部121は、リモートアクセスを行った通信装置以外との通信を抑制することを示す制御内容を含むように通信制御テーブルを編集する。これによって、リモートアクセスを行った通信装置以外との通信を抑制する制御をリアルタイムに行うことができる。また、同じリモート侵入者によるログアウト後の再度のリモートアクセスを防ぐことによって、本実施形態の情報処理装置を踏み台にした攻撃の拡大を防止することができる。
【0036】
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。第1の実施形態で示したように、リモート侵入者がログインした直後に通信制御テーブルを書き換えることによって、攻撃パケットの漏洩を完全に防ぐことができる。しかし、侵入に成功した装置から他の通信装置へのパケットの送信をある程度許容しなければ、悪意のユーザが不審に思う可能性がある。そこで、本実施形態では、リモート侵入者がログインした直後から他の通信装置へのパケットの送信をある程度許容する制御が行われる。
【0037】
図6は、本実施形態による情報処理装置の構成を示している。第1の実施形態との違いは、処理部120に通信管理部122が追加されていることである。通信管理部122は、本実施形態で定義するカーネル関数であるhook_socketcall()関数の機能を備えており、プロセスからカーネル10に対して外部との通信が要求された場合に、後述する処理を実行する。
【0038】
図7は、ファイル書き込み管理部121が、システムコール管理部100から処理を受け渡されてからファイル書き込み部130に処理を受け渡すまでに実行する処理の詳細な手順を示している。図3に示した手順と比較すると、通信制御テーブルを編集するステップS120が削除されている。その他は、図3に示して手順と同様である。
【0039】
プロセスが、カーネル10に対して、外部の通信装置との通信要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照する。本実施形態では、管理テーブル110が予め書き換えられており、外部の通信装置との通信要求には通信管理部122が対応している。このため、カーネル10が外部の通信装置との通信要求を受けた場合、通信管理部122に処理が受け渡される。
【0040】
システムコール管理部100はプロセスから通信相手のIPアドレスを取得しており、そのIPアドレスを通信管理部122に渡す。通信管理部122は、そのIPアドレスを通信部140に渡して、そのIPアドレスを有する通信装置との通信を開始させると共に、図8に示す処理を実行する。
【0041】
まず、通信管理部122は、記憶装置20からアクセスログを読み出し、システムコール管理部100から取得したIPアドレスと、アクセスログに記録されているIPアドレスとが一致するか否かを判定する(ステップS200)。システムコール管理部100から取得したIPアドレスが、アクセスログに記録されているどのIPアドレスとも一致しない場合、本実施形態で監視対象とするリモート侵入者ではない他者との通信が行われるので、図8に示す処理は終了する。
【0042】
一方、システムコール管理部100から取得したIPアドレスが、アクセスログに記録されているいずれかのIPアドレスと一致した場合、リモート侵入者との通信が行われることになる。そこで、通信管理部122は、リモート侵入者へ送信されるパケット(Outboundパケット)をカウントする(ステップS205)。続いて、通信管理部122は、カウント数が所定の閾値以上であるか否かを判定する(ステップS210)。カウント数が所定の閾値未満である場合、処理はステップS205に戻り、パケットのカウントが続行される。
【0043】
一方、カウント数が所定の閾値以上であった場合、通信管理部122は、システムコール管理部100から取得したIPアドレスに基づいて通信制御テーブルを編集し、編集後の通信制御テーブルを記憶装置20に格納する(ステップS215)。通信制御テーブルの編集内容は、図4および図5を参照して説明した編集内容と同一である。これによって、パケット数が所定値以上となるまでは、リモート侵入者を含む他の通信装置へのパケットの送信が許可され、パケット数が所定値以上となった後は、リモート侵入者以外の通信装置へのパケットの送信が棄却される。
【0044】
通信管理部122が、図8に示した処理に代えて、図9に示す処理を行ってもよい。以下、図9に示す手順を説明する。図8に示した手順と比較して、図9に示す手順では、ステップS220,S225が追加されている。
【0045】
ステップS200において、システムコール管理部100から取得したIPアドレスが、アクセスログに記録されているいずれかのIPアドレスと一致した場合、通信管理部122は、他の通信装置へ送信されるパケットから宛先Port(Destination Port)を取得する(ステップS220)。続いて、通信管理部122は、取得した宛先Portが、あらかじめ設定されている危険なPortであるか否かを判定する(ステップS225)。危険なPortとは、例えば、スパムメールの送信に利用されるPort25、ウィルスが利用するPort135〜139、SQLサーバを狙ったワームが利用するPort1433〜1434である。
【0046】
宛先Portが危険なPortでない場合、処理はステップS220に戻る。一方、宛先Portが危険なPortである場合、処理はステップS205に進む。以降の手順は、図8に示した手順と同様である。したがって、図9に示した手順によれば、危険なPortを使用したパケットの数が所定値以上となるまでは、リモート侵入者を含む他の通信装置へのパケットの送信が許可され、危険なPortを使用したパケットの数が所定値以上となった後は、リモート侵入者以外の通信装置へのパケットの送信が棄却される。
【0047】
上述したように、本実施形態によれば、通信管理部122はリモート侵入者がログインした直後から他の通信装置へのパケットの送信をある程度許容する制御を行う。これによって、本実施形態の情報処理装置がハニーポットであることを悪意のユーザが気付きにくくすることができる。
【0048】
上述した第1および第2の実施形態による情報処理装置をハニーポットに適用することで、リモート侵入者の挙動を監視することが可能となる。また、特定のリモートユーザに対してのみアクセスを許可する用途を有するシステムに対して、本実施形態による情報処理装置を適用することも可能である。
【0049】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の情報処理装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0050】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0051】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0052】
10・・・カーネル、20・・・記憶装置(記憶手段)、100・・・システムコール管理部(システムコール管理手段)、110・・・管理テーブル、120・・・処理部(処理手段)、121・・・ファイル書き込み管理部、122・・・通信管理部、130・・・ファイル書き込み部、140・・・通信部、150・・・通信制御部
【特許請求の範囲】
【請求項1】
外部の通信装置と行う通信に適用する制御内容を記憶する記憶手段と、
リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、前記リモートアクセスを行った通信装置のIPアドレスを前記プロセスから取得して処理手段に渡すシステムコール管理手段と、
前記システムコール管理手段から渡されたIPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納する前記処理手段と、
前記記憶手段が記憶する制御内容に従って、外部の通信装置と行う通信を制御する通信制御手段と、
を備えたことを特徴とする情報処理装置。
【請求項2】
前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットの数をカウントし、当該パケットの数が所定値以上になった場合に、前記IPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットのうち、特定のPortを使用するパケットの数をカウントすることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置がリモートアクセスを終了した場合、当該通信装置からのリモートアクセスを棄却することを示す制御内容を前記記憶手段に格納することを特徴とする請求項1〜請求項3のいずれかに記載の情報処理装置。
【請求項5】
請求項1〜請求項4のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
【請求項1】
外部の通信装置と行う通信に適用する制御内容を記憶する記憶手段と、
リモートアクセスに係るプロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、前記リモートアクセスを行った通信装置のIPアドレスを前記プロセスから取得して処理手段に渡すシステムコール管理手段と、
前記システムコール管理手段から渡されたIPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納する前記処理手段と、
前記記憶手段が記憶する制御内容に従って、外部の通信装置と行う通信を制御する通信制御手段と、
を備えたことを特徴とする情報処理装置。
【請求項2】
前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットの数をカウントし、当該パケットの数が所定値以上になった場合に、前記IPアドレスを有する通信装置以外との通信を抑制することを示す制御内容を前記記憶手段に格納することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置へ送信されるパケットのうち、特定のPortを使用するパケットの数をカウントすることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記処理手段は、前記システムコール管理手段から渡されたIPアドレスを有する通信装置がリモートアクセスを終了した場合、当該通信装置からのリモートアクセスを棄却することを示す制御内容を前記記憶手段に格納することを特徴とする請求項1〜請求項3のいずれかに記載の情報処理装置。
【請求項5】
請求項1〜請求項4のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2010−186427(P2010−186427A)
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願番号】特願2009−31531(P2009−31531)
【出願日】平成21年2月13日(2009.2.13)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願日】平成21年2月13日(2009.2.13)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]