情報処理装置と情報処理方法とプログラム
【課題】 パスワードの漏洩と不正な過度のアクセスによるサービスの停止を防止する。
【解決手段】 アクセス制御部は、S2でパケットを入力すると、S3で認証部へ認証情報を送り、S5で認証結果を受け取ると、S6で認証結果とホスト情報を脅威判定部へ送り、ステップ11で脅威判定結果を受け取ると、S12で脅威判定結果に基づいて、脅威中の状態なら、アクセス元のホストコンピュータのアクセス要求を拒否する判定をし、監視中の状態なら、アクセス元のホストコンピュータのアクセス要求を許可する判定をし、アクセス要求を許可する判定をした場合、S13でSNMP処理部へSNMP処理を依頼し、S15で応答パケットを受け取り、アクセス元のホストコンピュータへ返送するようにする。また、アクセス元のホストコンピュータのアクセス要求を拒否する判定をしたら、S18で、受信したパケットを読み捨て、応答パケットを返送しないようにする。
【解決手段】 アクセス制御部は、S2でパケットを入力すると、S3で認証部へ認証情報を送り、S5で認証結果を受け取ると、S6で認証結果とホスト情報を脅威判定部へ送り、ステップ11で脅威判定結果を受け取ると、S12で脅威判定結果に基づいて、脅威中の状態なら、アクセス元のホストコンピュータのアクセス要求を拒否する判定をし、監視中の状態なら、アクセス元のホストコンピュータのアクセス要求を許可する判定をし、アクセス要求を許可する判定をした場合、S13でSNMP処理部へSNMP処理を依頼し、S15で応答パケットを受け取り、アクセス元のホストコンピュータへ返送するようにする。また、アクセス元のホストコンピュータのアクセス要求を拒否する判定をしたら、S18で、受信したパケットを読み捨て、応答パケットを返送しないようにする。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、複写機、印刷機、ファクシミリ装置、複合機、コンピュータを含む情報処理装置と情報処理方法とプログラムに関する。
【背景技術】
【0002】
従来、外部からアクセスを受けた際に利用者の特定が失敗した回数を、アクセスの要求元のアドレス毎に計数し、その計数した回数が所定の条件を満たした要求元からのアクセスに対して応答を返さないようにすることにより、パスワードの漏洩を防止する情報処理装置(例えば、特許文献1参照)があった。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、上述のような情報処理装置では、他人のパスワードを解析して探り当てる攻撃であるパスワードのクラックによるパスワード漏洩は防止できるが、大量のデータや不正なパケットを送りつけて情報処理装置のサービスの提供を妨害するDoS攻撃に対処できないという問題があった。
この発明は上記の点に鑑みてなされたものであり、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止することを目的とする。
【課題を解決するための手段】
【0004】
この発明は上記の目的を達成するため、次の情報処理装置と情報処理方法とプログラムを提供する。
(1)通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手段と、上記認証手段による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手段と、上記判定手段によって判定された利用者からのアクセス要求を拒否するように制御する制御手段を備えた情報処理装置。
(2)上記のような情報処理装置において、上記アクセス要求を拒否する制御では、上記認証手段による認証は行い、その認証結果の如何に関わらず要求された処理を行わないように制御する情報処理装置。
【0005】
(3)上記のような情報処理装置において、上記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、上記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する手段を設けた情報処理装置。
(4)上記のような情報処理装置において、上記所定時間又は上記閾値を変更する手段を設けた情報処理装置。
(5)上記のような情報処理装置において、上記成功回数と上記失敗回数とを、上記認証の成功回数に係る所定時間と上記失敗回数に係る所定時間とを、上記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と上記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定する手段を設けた情報処理装置。
【0006】
(6)通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証工程と、上記認証工程による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定工程と、上記判定工程によって判定された利用者からのアクセス要求を拒否するように制御する制御工程とからなる情報処理方法。
【0007】
(7)上記のような情報処理方法において、上記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、上記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する工程を設けた情報処理方法。
(8)コンピュータに、通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手順と、上記認証手順による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手順と、上記判定手順によって判定された利用者からのアクセス要求を拒否するように制御する制御手順とを実行させるためのプログラム。
【発明の効果】
【0008】
この発明による情報処理装置と情報処理方法は、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止することができる。
また、この発明によるプログラムは、コンピュータに、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止できるようにするための機能を実現させることができる。
【図面の簡単な説明】
【0009】
【図1】この発明の一実施例である情報処理装置を含むネットワークの構成を示すブロック図である。
【図2】図1に示す管理テーブル記憶部に格納する管理テーブルのうちのDoS管理テーブルに登録されるデータ例を示す説明図である。
【図3】図1に示す管理テーブル記憶部に格納する管理テーブルのうちのパスワードクラック管理テーブルに登録されるデータ例を示す説明図である。
【図4】図1に示す脅威判定部がDoS攻撃とパスワードクラック攻撃の脅威中と監視中の判定をする際に用いる確定回数、監視時間、脅威時間のデフォルト値の一例を示す説明図である。
【図5】図1に示す情報処理装置におけるパケットを受信したときの各部間の処理を示すシーケンス図である。
【図6】図1に示す情報処理装置のアクセス制御部の処理を示すフローチャート図である。
【図7】図1に示す情報処理装置の脅威判定部の処理を示すフローチャート図である。
【図8】図7に示す管理テーブルの更新処理の詳細な処理を示すフローチャート図である。
【図9】脅威時間と脅威時間の延長の説明図である。
【発明を実施するための形態】
【0010】
以下、この発明を実施するための最良の形態を図面に基づいて具体的に説明する。
〔実施例〕
図1は、この発明の一実施例である情報処理装置を含むネットワークの構成を示すブロック図である。
このネットワークは、有線又は無線による通信で互いにデータのやり取りが可能な情報処理装置1と複数台のホストコンピュータ2〜4とからなる。なお、このネットワークには、その他の情報処理装置とホストコンピュータも多数接続されているが、同図では、その図示を省略している。
【0011】
情報処理装置1は、複写機、印刷機、複合機を含む画像処理装置、画像形成装置、パーソナルコンピュータ、ワークステーションを含む各種のコンピュータ、ルータを含むネットワーク機器であり、CPU,ROM及びRAMからなるマイクロコンピュータによって実現される、SNMP処理部10、認証部11、脅威判定部12、管理テーブル記憶部13、アクセス制御部14、ネットワークインタフェース(I/F)部15、無線ローカルエリアネットワークインタフェース(LAN・I/F)部16を含む各機能部を備えている。
ここで、上記ネットワークI/F部、無線LAN・I/F部は、複数個あっても、複数個なくてもよく、同時に作動しても、別々に作動してもよい。
【0012】
SNMP処理部10は、SNMPによって各ホストコンピュータ2〜4の情報を取得する処理を行う。
認証部11は、アクセス制御部14から渡されるパケットに基づいて、そのパケットを送信したアクセス要求元の利用者を認証する処理を行い、その認証結果をアクセス制御部14に返す。
脅威判定部12は、アクセス制御部14から渡される認証結果、パケットに含まれる情報を受け取り、その認証結果と情報に基づいて管理テーブル記憶部13の管理テーブルへの登録と管理テーブルの更新を行い、その更新後の管理テーブルの情報に基づいて、アクセス元のホストコンピュータ毎に、DoS攻撃又はパスワードクラック攻撃の脅威中及び監視中の判定を行い、その判定結果をアクセス制御部14へ返す。
【0013】
管理テーブル記憶部13は、管理テーブルにアクセス元のホストコンピュータを識別する情報、各ホストコンピュータに対する脅威中の状態又は監視中の状態を示す情報、各ホストコンピュータからの最終のアクセス時刻などの情報を登録する。
アクセス制御部14は、脅威判定部12から返された判定結果に基づいて、ネットワークI/F部15又は無線LAN・I/F部16が受信したパケットを受け付けて応答してアクセス要求を許可するか、パケットを読み捨てて応答せずにアクセス要求を拒否するかを実行する。
ネットワークI/F部15は、有線によって接続されたホストコンピュータ2,3と互いにデータ通信し、各ホストコンピュータ2,3から送信されたパケットをアクセス制御部14へ送る。
無線LAN・I/F部16は、ホストコンピュータ4と互いに無線によってデータ通信し、そのホストコンピュータ4から送信されたパケットをアクセス制御部14へ送る。
【0014】
ホストコンピュータ2〜4は、同じくCPU,ROM及びRAMからなるマイクロコンピュータを備えており、そのマイクロコンピュータによって実現される各種の機能部を有し、情報処理装置1にアクセスする際、利用者の認証のための情報を含むパケットを送信する。
【0015】
図2は、管理テーブル記憶部13に格納する管理テーブルのうちのDoS管理テーブルに登録されるデータ例を示す説明図である。
DoS管理テーブルは、DoS(サービス拒否)攻撃を管理するテーブルであり、DoS攻撃は、攻撃者が情報処理装置1に対して大量にアクセスすることで、情報処理装置1が正当な利用者にサービスを提供できなくする不正な行為であり、脅威判定部12がこのDoS管理テーブルの情報に基づいてDoS攻撃の脅威中の状態との判定結果をアクセス制御部14へ返すと、アクセス制御部14はそのアクセス元のホストコンピュータからのアクセス要求を拒否する。
【0016】
このDoS管理テーブルには、ホスト名、状態、カウンタ値、時刻の情報を登録する。
ホスト名は、アクセス要求のあった各ホストコンピュータのホスト名である。
状態は、各ホスト名のホストコンピュータに対する情報処理装置が判定した状態の情報であり、ホストコンピュータからのパケットがDoS攻撃の脅威中と判定した状態にあるか、DoS攻撃の監視中の状態にあるかを示す情報である。
カウンタ値は、各ホストコンピュータについて、DoS攻撃の監視中の状態になってからのアクセス数である。
時刻は、各ホストコンピュータについてDoS攻撃のチェックを開始した監視開始時刻又は各ホストコンピュータに対するDoS攻撃の脅威中の状態の終了時刻を示す脅威終了時刻とを登録する。
【0017】
なお、図中の備考欄の情報は、上記監視開始時刻と脅威終了時刻の説明を示すものであり、DoS管理テーブルには登録されない。
また、上記ホスト名に代えて、ホストコンピュータのIPアドレスでもよく、アクセスのあったホストコンピュータを特定できる情報であればどのような情報でもよい。
さらに、このDoS管理テーブルには、DoS攻撃の脅威中でも監視中でもないホストコンピュータについての上記情報は登録せず、管理しない。
【0018】
図3は、管理テーブル記憶部13に格納する管理テーブルのうちのパスワードクラック管理テーブルに登録されるデータ例を示す説明図である。
パスワードクラック管理テーブルは、パスワードクラック攻撃を管理するテーブルであり、そのパスワードクラック攻撃は、攻撃者がパスワードを知らない機器に対して、大量のパスワードを使って、大量の認証をさせることで、正しいパスワードを知る攻撃であり、脅威判定部12がこのパスワードクラック管理テーブルの情報に基づいてパスワードクラック攻撃の脅威中の判定結果をアクセス制御部14へ返すと、アクセス制御部14はそのアクセス元のホストコンピュータからのアクセス要求を拒否する。
【0019】
このように、大量のパスワードを使って認証をする場合は、大量に認証失敗が発生するため、大量の認証失敗が発生したアクセス元からのアクセス要求はパスワードクラック攻撃とみなしてアクセス要求を拒否する。
このパスワードクラック管理テーブルには、DoS管理テーブルと同様に、ホスト名、状態、カウンタ値、時刻の情報を登録する。
【0020】
ホスト名は、アクセス要求のあった各ホストコンピュータのホスト名である。
状態は、各ホスト名のホストコンピュータに対する情報処理装置が判定した状態の情報であり、ホストコンピュータからのアクセス要求がパスワードクラック攻撃の脅威中の状態にあるか、パスワードクラック攻撃の監視中の状態にあるかを示す情報である。
カウンタ値は、各ホストコンピュータについて、パスワードクラック攻撃の監視中の状態になってからのアクセス数である。
時刻は、各ホストコンピュータについてパスワードクラック攻撃のチェックを開始した監視開始時刻又は各ホストコンピュータに対するパスワードクラック攻撃の脅威中の状態の終了時刻を示す脅威終了時刻を登録する。
【0021】
なお、図中の備考欄の情報は、上記監視開始時刻と脅威終了時刻の説明を示すものであり、パスワードクラック管理テーブルには登録されない。
また、上記ホスト名に代えて、ホストコンピュータのIPアドレスでもよく、アクセスのあったホストコンピュータを特定できる情報であればどのような情報でもよい。
さらに、このパスワードクラック管理テーブルには、パスワードクラック攻撃の脅威中でも監視中でもないホストコンピュータについての上記情報は登録せず、管理しない。
【0022】
上記ホスト名を含むホストコンピュータを特定するためのホスト情報の代わりに、接続されているインタフェース情報にすることもできる。
このようにすれば、ネットワーク全体からのアクセスについて統一的に管理することができる。
【0023】
図4は、脅威判定部12がDoS攻撃とパスワードクラック攻撃の脅威中と監視中の判定をする際に用いる確定回数、監視時間、脅威時間のデフォルト値の一例を示す説明図である。
脅威判定部12は、上記確定回数、監視時間、脅威時間について予め設定されたデフォルト値を、同図に示すようなテーブル形式で保持する。
同図の(a)の確定回数Cdは、DoS攻撃の脅威中と判定する閾値に相当するカウンタ値であり、監視時間Td1は、単位時間当たりの認証の成功回数が上記閾値以上になるか否かを判断するDoS攻撃の監視状態の所定時間であり、脅威時間Td2は、DoS攻撃の脅威中と判定されてからアクセス要求を拒否するロックを続ける所定経過時間である。同図の(a)には、デフォルト値の一例として、確定回数Cd:300回、監視時間Td1:1秒、脅威時間Td2:1分を示している。
【0024】
また、同図の(b)の確定回数Cpは、パスワードクラック攻撃の脅威中と判定する閾値に相当するカウンタ値であり、監視時間Tp1は、単位時間当たりの認証の失敗回数が上記閾値以上になるか否かを判断するパスワードクラック攻撃の監視状態の所定時間であり、脅威時間Tp2は、パスワードクラック攻撃の脅威中と判定されてからアクセス要求を拒否するロックを続ける所定経過時間である。同図の(b)には、デフォルト値の一例として、確定回数Cp:100回、監視時間Tp1:5秒、脅威時間Tp2:1分を示している。
上記成功回数と上記失敗回数と上記所定時間と上記所定経過時間のデフォルト値は、情報処理装置1の管理者が図示を省略した操作部から直接操作によって、又は外部の機器から遠隔操作によって任意の値に変更することができる。
すなわち、利用者による操作部からの操作入力又は外部の機器からの遠隔操作入力により、上記成功回数と上記失敗回数とを、上記認証の成功回数に係る所定時間と上記失敗回数に係る所定時間とを、上記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と上記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定することができる。
【0025】
なお、上記監視時間を無限値にすることで、起動後のすべてのカウント値をとることも可能であり、そのようにすれば、長期にわたって分散して行われる脅威となりうるアクセスを検出することができる。
【0026】
図5は、図1に示す情報処理装置1におけるパケットを受信したときの各部間の処理を示すシーケンス図である。
ステップ(図中「S」で示す)1でネットワークI/F部15又は無線LAN・I/F部16(以下、まとめて「I/F部15,16」という)がネットワークを介していずれかのホストコンピュータからのアクセス要求のパケットを受信すると、ステップ2で、I/F部15,16は、受信したパケットをアクセス制御部14へ送る。
ステップ3で、アクセス制御部14は、パケット内の認証情報(ホスト情報,ユーザID,パスワードを含む各種情報)を認証部11へ送り、ステップ4で、認証部11はアクセス制御部14から受け取った認証情報に基づいてアクセス元のホストコンピュータの認証を行い、ステップ5で認証結果をアクセス制御部14へ送る。この認証処理については、公知なので詳細な説明を省略する。
【0027】
ステップ6で、アクセス制御部14は、認証部11から受け取った認証結果と、パケット内から読み出したホスト情報(ホスト名を含む)を脅威判定部12へ送り、ステップ7で脅威判定部12は、アクセス制御部14から受け取った認証結果とホスト情報とに基づいて、管理テーブル記憶部13の管理テーブル(DoS管理テーブルとパスワードクラック管理テーブル)を更新する指示を出し、ステップ8で管理テーブル記憶部13は脅威判定部12からの指示に基づいて管理テーブルの更新をする。
このように、正常のパケットがきたときにも管理テーブルに登録される。
ステップ9で、脅威判定部12は管理テーブル記憶部13の更新後の管理テーブルを参照し、その内容に基づいて脅威判定し(アクセス元のホストコンピュータに対して脅威中の状態か監視中の状態かを判定する)、ステップ11でその脅威判定結果をアクセス制御部14へ送る。
【0028】
ステップ12で、アクセス制御部14は、脅威判定部12から受け取った脅威判定結果に基づいて、脅威中の状態なら、アクセス元のホストコンピュータのアクセス要求を拒否する処理判定をし、監視中の状態なら、アクセス元のホストコンピュータのアクセス要求を許可する処理判定をする。
アクセス制御部14は、アクセス要求を許可する処理判定をした場合、ステップ13でSNMP処理部10へSNMP処理依頼をし、ステップ14でSNMP処理部10は応答パケットを作成し、ステップ15で、アクセス制御部14へ応答パケットを送り、ステップ16で、アクセス制御部14は、I/F部15,16に応答パケットを送ってアクセス元のホストコンピュータへ返送するように指示し、ステップ17で、I/F部15,16は、応答パケットをアクセス元のホストコンピュータへ返送する。このようにして、アクセス元のホストコンピュータのアクセス要求を許可する。
【0029】
一方、ステップ12の処理判定で、アクセス制御部14は、アクセス元のホストコンピュータのアクセス要求を拒否する処理判定をしたら、ステップ18で、受信したパケットを読み捨て、応答パケットを返送しないようにする。
このようにして、アクセス元のホストコンピュータのアクセス要求を拒否する。
【0030】
図6は、図1に示した情報処理装置1のアクセス制御部14の処理を示すフローチャート図である。
ステップ21で、I/F部からパケットを入力すると、ステップ22で認証部へ認証情報を出力し、認証部から認証結果を入力し、ステップ23で脅威判定部へ認証結果とホスト情報(ホスト名)を出力し、脅威判定部から脅威判定結果を入力する。
ステップ24で脅威判定部から入力した脅威判定結果に基づいて脅威中か否かを判定し、脅威判定結果が監視中の状態なら、監視中と判定し、ステップ25でSNMP処理部へSNMP処理を依頼し、SNMP処理部から応答パケットを入力し、ステップ26でI/F部へ応答パケットを出力して返送するように指示し、この処理を終了する。
【0031】
一方、ステップ24で脅威判定結果が脅威中の状態なら、脅威中と判定し、ステップ27でパケットを読み捨て、応答パケットを返信しないようにし、この処理を終了する。
このようにして、認証部、脅威判定部での処理の結果を元に、脅威中の状態であれば応答パケットを返さないでアクセス要求を拒否する。
このアクセス要求の拒否では、認証部による認証は継続して行うが、その認証結果の如何に関わらず利用者から要求された処理を行わないように制御する。
また、正当なパケットであれば、もちろん応答パケットを返すための処理を実施し、アクセス要求を許可する。
【0032】
図7は、図1に示した情報処理装置1の脅威判定部12の処理を示すフローチャート図である。
ステップ31で、アクセス制御部からアクセス元のホストコンピュータについての認証結果とホスト情報を入力すると、ステップ32で管理テーブル記憶部の管理テーブルを更新する。
これにより、DoS管理テーブルとパスワードクラック管理テーブルの監視中であったエントリについて、そのエントリ中の時刻と現在時刻とを比較し、十分に時間が経過して、監視する対象でないエントリ(ホスト名に対応させて状態、カウンタ値、時刻を記憶した一欄の情報)があった場合は、管理テーブルから削除する。
【0033】
ステップ33で、認証結果は成功か失敗かを判断し、成功なら、ステップ34へ進んで、管理テーブル記憶部の更新後のDoS管理テーブルからアクセス元のホスト名に該当するエントリを検索し、ステップ35で該当するエントリが有るか否かを判断し、該当するエントリが有れば、ステップ36でそのエントリ中のカウンタ値cdの値を1増やし、ステップ37でそのカウンタ値cdはDoS攻撃用の確定回数Cd(300回)以上か否かを判断し、カウンタ値cdが確定回数Cd以上なら、ステップ38でエントリ中の状態sdを脅威中に更新し、時刻tdを現在時刻+DoS攻撃用の脅威時間Td2(1分)の時刻に更新し、ステップ40へ進む。
また、ステップ37の判断で、カウンタ値cdが確定回数Cd以上でなければ、そのままステップ40へ進む。
【0034】
さらに、ステップ35で該当するエントリが無いと判断したら、ステップ39でDoS管理テーブルに新たなエントリとして追加登録し、そのエントリのホスト名にアクセス元のホストコンピュータのホスト名を、状態sdに監視中を、カウンタ値cdに+1を、時刻tdに現在時刻を登録し、ステップ40へ進む。
ステップ40では、当該エントリの状態sdをあらためて参照し、ステップ41へ進む。
【0035】
ステップ33の判断で、認証結果が失敗なら、ステップ43へ進んで、管理テーブル記憶部の更新後のパスワードクラック管理テーブルからアクセス元のホスト名に該当するエントリを検索し、ステップ44で該当するエントリが有るか否かを判断し、該当するエントリが有れば、ステップ45でそのエントリ中のカウンタ値cpの値を1増やし、ステップ46でそのカウンタ値cpはパスワードクラック攻撃用の確定回数Cp(100回)以上か否かを判断し、カウンタ値cpが確定回数Cp以上なら、ステップ47でエントリ中の状態spを脅威中に更新し、時刻tpを現在時刻+パスワードクラック攻撃用の脅威時間Tp2(1分)の時刻に更新し、ステップ49へ進む。
また、ステップ46の判断で、カウンタ値cpが確定回数Cp以上でなければ、そのままステップ49へ進む。
【0036】
さらに、ステップ44で該当するエントリが無いと判断したら、ステップ48でパスワードクラック管理テーブルに新たなエントリとして追加登録し、そのエントリのホスト名にアクセス元のホストコンピュータのホスト名を、状態spに監視中を、カウンタ値cpに+1を、時刻tpに現在時刻を登録し、ステップ49へ進む。
ステップ49では、当該エントリの状態spをあらためて参照し、ステップ41へ進む。
【0037】
ステップ41で、当該エントリの状態sdが脅威中か、又は状態spが脅威中かを判断し、状態sdが脅威中、又は状態spが脅威中なら、ステップ42へ進み、状態sdが脅威中ならDoS管理テーブルの当該エントリのホスト名について、状態spが脅威中ならパスワードクラック管理テーブルの当該エントリのホスト名について、それぞれアクセス制御部へ脅威中の脅威判定結果を出力し、この処理を終了する。
また、状態sdも状態spも共に脅威中でなければ(共に監視中ならば)、ステップ50へ進み、状態sdが監視中ならDoS管理テーブルの当該エントリのホスト名について、状態spが監視中ならパスワードクラック管理テーブルの当該エントリのホスト名について、それぞれアクセス制御部へ監視中の脅威判定結果を出力し、この処理を終了する。
【0038】
このようにして、認証結果が成功であれば、DoS攻撃に関する処理をし、失敗であれば、パスワードクラック攻撃に関する処理をする。
基本的な処理として、管理テーブルにエントリがなかった場合は、新たにエントリを追加する。管理テーブルにエントリがあった場合は、カウンタ値を追加し、カウンタ値が確定回数以上であれば状態を脅威中に遷移させる。
ここでは、DoS攻撃の状態とパスワードクラック攻撃の状態はそれぞれ独立しているが、最終的には、DoS攻撃とパスワードクラック攻撃のどちらかが脅威中であれば、アクセス制御部14へは、脅威判定結果として脅威中である結果が返却される。
【0039】
図8は、図7の管理テーブルの更新処理の詳細な処理を示すフローチャート図である。
脅威判定部12は、管理テーブルの更新処理において、ステップ51でDoS管理テーブルの先頭から1エントリを参照し、ステップ52でそのエントリ中の状態sdは監視中か否かを判断し、監視中なら、ステップ53で現在時刻t−エントリ中の時刻td>DoS攻撃用の監視時間Td1か否かを判断し、現在時刻t−時刻td>監視時間Td1でなければ、そのままステップ55へ進み、現在時刻t−時刻td>監視時間Td1なら、ステップ54へ進んで当該エントリをDoS管理テーブルから削除して、ステップ55へ進む。
【0040】
また、ステップ52の判断で、エントリ中の状態sdが監視中でなければ、ステップ56で現在時刻t>エントリ中の時刻tdか否かを判断し、現在時刻t>時刻tdでなければ、そのままステップ55へ進み、現在時刻t>時刻tdなら、ステップ54で当該エントリをDoS管理テーブルから削除して、ステップ55へ進む。
ステップ55では、DoS管理テーブルの全てのエントリについて上述のようなチェックをしたか否かを判断し、チェックしていないエントリが有れば、ステップ51へ戻って上述の処理を繰り返し、DoS管理テーブルの全てのエントリについてチェックを終了したら、ステップ57へ進む。
【0041】
ステップ57でパスワードクラック管理テーブルの先頭から1エントリを参照し、ステップ58でそのエントリ中の状態spは監視中か否かを判断し、監視中なら、ステップ59で現在時刻t−エントリ中の時刻tp>パスワードクラック攻撃用の監視時間Tp1か否かを判断し、現在時刻t−時刻tp>監視時間Tp1でなければ、そのままステップ61へ進み、現在時刻t−時刻tp>監視時間Tp1なら、ステップ60へ進んで当該エントリをパスワードクラック管理テーブルから削除して、ステップ61へ進む。
また、ステップ58の判断で、エントリ中の状態spが監視中でなければ、ステップ62で現在時刻t>エントリ中の時刻tpか否かを判断し、現在時刻t>時刻tpでなければ、そのままステップ61へ進み、現在時刻t>時刻tpなら、ステップ60で当該エントリをパスワードクラック管理テーブルから削除して、ステップ61へ進む。
【0042】
ステップ61では、パスワードクラック管理テーブルの全てのエントリについて上述のようなチェックをしたか否かを判断し、チェックしていないエントリが有れば、ステップ57へ戻って上述の処理を繰り返し、パスワードクラック管理テーブルの全てのエントリについてチェックを終了したら、この処理を終了する。
このようにして、DoS管理テーブルとパスワードクラック管理テーブルのすべてのエントリに対して更新処理を実施し、もし、状態が監視中であり、監視を開始してからの時間が監視時間以上経過していた場合と、状態が監視中ではなく、現在時刻が管理テーブルに記録されている時刻を過ぎていた場合には、そのエントリを削除する。
【0043】
図9は、脅威時間と脅威時間の延長の説明図である。
例えば、情報処理装置1がホストコンピュータ2からのアクセス要求に対する処理の場合、1回目のアクセス要求について認証が成功するとDoS攻撃を監視し、監視時間Td1(1秒)の間は状態sdを監視中にし、その監視時間中にアクセス要求と認証成功が300回以上になったとき、状態sdを脅威中に変更してDoS攻撃がされたものとして、そのアクセス要求の時点からパケットを読み捨てて応答をせず、ホストコンピュータ2からのアクセス要求を拒否する。
また、状態sdを脅威中にすると、時刻tdをその時刻から脅威時間Td2を加算した時刻に設定し、その設定した時刻までに新たな認証成功が有る度にその時刻から脅威時間Td2を加算した時刻に設定し直して脅威時間を延長する。
そして、設定した時刻tdになっても新たな認証成功がなければ、状態sdの脅威中を解除し、ホストコンピュータ2からのアクセス要求の拒否を解除する。
【0044】
次に、ホストコンピュータ2からのアクセス要求について認証が失敗するとパスワードクラック攻撃を監視し、監視時間Tp1(5秒)の間は状態spを監視中にし、その監視時間中にアクセス要求と認証成功が100回以上になったとき、状態spを脅威中に変更してパスワードクラック攻撃がされたものとして、そのアクセス要求の時点からパケットを読み捨てて応答をせず、ホストコンピュータ2からのアクセス要求を拒否する。
また、状態spを脅威中にすると、時刻tpをその時刻から脅威時間Tp2を加算した時刻に設定し、その設定した時刻までに新たな認証失敗が有る度にその時刻から脅威時間Tp2を加算した時刻に設定し直して脅威時間を延長する。
そして、設定した時刻tpになっても新たな認証成功がなければ、状態spの脅威中を解除し、ホストコンピュータ2からのアクセス要求の拒否を解除する。
【0045】
このように、DoS攻撃とパスワードクラック攻撃の状態は独立であり、はじめにDoS攻撃であると判定がされた後に、DoS攻撃の脅威としてアクセスされていても、認証結果が失敗となるパケットであれば認証失敗としてアクセス制御部により処理されるが、認証失敗とパケットを返却する。
しかし、認証失敗が続き、閾値を超えた場合には、当然、脅威であると判定し、パケット処理はされなくなり、認証失敗のパケットを返却しない。
【0046】
このようにして、情報処理装置へのDoS攻撃とパスワードクラック攻撃の脅威となりうるアクセスを検出し、そのアクセスを安全に拒否することができる。
また、DoS攻撃とパスワードクラック攻撃に対するアクセス要求を拒否するロック機能を、一定期間続いた後に解除し、そのロック機能の有効期間を、DoS攻撃とパスワードクラック攻撃の脅威中について、それぞれ独立して延長できるようにすることにより、DoS攻撃とパスワードクラック攻撃の脅威について必要以上の制限を防ぎ、効率的に脅威を防ぐことができる。
【0047】
上記DoS管理テーブルとパスワードクラック管理テーブルでは、ホスト情報として、ユーザ名の如何にかかわらずホスト名でエントリを管理することにより、ログイン名とパスワードだけではない認証方法の一般的なアクセス方法にも対応することができる。
また、DoS攻撃とパスワードクラック攻撃の脅威中のホストコンピュータからのアクセスを拒否するので、正規の利用者からのアクセスを妨げることなく、脅威のあるアクセスのみを拒否することができる。
この実施形態の情報処理装置は、不特定多数の利用者が利用するネットワークにおいて、正規の利用者が安全に利用するためのセキュリティを向上させることができる。
また、上述の実施形態では、ホストコンピュータ毎に監視、脅威を判定、アクセス要求を拒否する場合について説明したが、ネットワークインタフェース、無線ローカルエリアネットワークインタフェースを含むインタフェース毎に監視、脅威を判定、アクセス要求を拒否するようにしてもよい。その場合、各インタフェースの種類毎に上述と同様にしてDoS管理テーブル、パスワードクラック管理テーブルを設けて管理すると良い。
【産業上の利用可能性】
【0048】
この発明による情報処理装置と情報処理方法は、複写機、印刷機、ファクシミリ装置、複合機、コンピュータを含む装置全般に適用することができる。
【符号の説明】
【0049】
1:情報処理装置 2〜4:ホストコンピュータ 10:SNMP処理部 11:認証部 12:脅威判定部 13:管理テーブル記憶部 14:アクセス制御部 15:ネットワークI/F部 16:無線LAN・I/F部
【先行技術文献】
【特許文献】
【0050】
【特許文献1】特開2006−79359号公報
【技術分野】
【0001】
この発明は、複写機、印刷機、ファクシミリ装置、複合機、コンピュータを含む情報処理装置と情報処理方法とプログラムに関する。
【背景技術】
【0002】
従来、外部からアクセスを受けた際に利用者の特定が失敗した回数を、アクセスの要求元のアドレス毎に計数し、その計数した回数が所定の条件を満たした要求元からのアクセスに対して応答を返さないようにすることにより、パスワードの漏洩を防止する情報処理装置(例えば、特許文献1参照)があった。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、上述のような情報処理装置では、他人のパスワードを解析して探り当てる攻撃であるパスワードのクラックによるパスワード漏洩は防止できるが、大量のデータや不正なパケットを送りつけて情報処理装置のサービスの提供を妨害するDoS攻撃に対処できないという問題があった。
この発明は上記の点に鑑みてなされたものであり、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止することを目的とする。
【課題を解決するための手段】
【0004】
この発明は上記の目的を達成するため、次の情報処理装置と情報処理方法とプログラムを提供する。
(1)通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手段と、上記認証手段による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手段と、上記判定手段によって判定された利用者からのアクセス要求を拒否するように制御する制御手段を備えた情報処理装置。
(2)上記のような情報処理装置において、上記アクセス要求を拒否する制御では、上記認証手段による認証は行い、その認証結果の如何に関わらず要求された処理を行わないように制御する情報処理装置。
【0005】
(3)上記のような情報処理装置において、上記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、上記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する手段を設けた情報処理装置。
(4)上記のような情報処理装置において、上記所定時間又は上記閾値を変更する手段を設けた情報処理装置。
(5)上記のような情報処理装置において、上記成功回数と上記失敗回数とを、上記認証の成功回数に係る所定時間と上記失敗回数に係る所定時間とを、上記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と上記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定する手段を設けた情報処理装置。
【0006】
(6)通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証工程と、上記認証工程による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定工程と、上記判定工程によって判定された利用者からのアクセス要求を拒否するように制御する制御工程とからなる情報処理方法。
【0007】
(7)上記のような情報処理方法において、上記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、上記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する工程を設けた情報処理方法。
(8)コンピュータに、通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手順と、上記認証手順による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手順と、上記判定手順によって判定された利用者からのアクセス要求を拒否するように制御する制御手順とを実行させるためのプログラム。
【発明の効果】
【0008】
この発明による情報処理装置と情報処理方法は、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止することができる。
また、この発明によるプログラムは、コンピュータに、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止できるようにするための機能を実現させることができる。
【図面の簡単な説明】
【0009】
【図1】この発明の一実施例である情報処理装置を含むネットワークの構成を示すブロック図である。
【図2】図1に示す管理テーブル記憶部に格納する管理テーブルのうちのDoS管理テーブルに登録されるデータ例を示す説明図である。
【図3】図1に示す管理テーブル記憶部に格納する管理テーブルのうちのパスワードクラック管理テーブルに登録されるデータ例を示す説明図である。
【図4】図1に示す脅威判定部がDoS攻撃とパスワードクラック攻撃の脅威中と監視中の判定をする際に用いる確定回数、監視時間、脅威時間のデフォルト値の一例を示す説明図である。
【図5】図1に示す情報処理装置におけるパケットを受信したときの各部間の処理を示すシーケンス図である。
【図6】図1に示す情報処理装置のアクセス制御部の処理を示すフローチャート図である。
【図7】図1に示す情報処理装置の脅威判定部の処理を示すフローチャート図である。
【図8】図7に示す管理テーブルの更新処理の詳細な処理を示すフローチャート図である。
【図9】脅威時間と脅威時間の延長の説明図である。
【発明を実施するための形態】
【0010】
以下、この発明を実施するための最良の形態を図面に基づいて具体的に説明する。
〔実施例〕
図1は、この発明の一実施例である情報処理装置を含むネットワークの構成を示すブロック図である。
このネットワークは、有線又は無線による通信で互いにデータのやり取りが可能な情報処理装置1と複数台のホストコンピュータ2〜4とからなる。なお、このネットワークには、その他の情報処理装置とホストコンピュータも多数接続されているが、同図では、その図示を省略している。
【0011】
情報処理装置1は、複写機、印刷機、複合機を含む画像処理装置、画像形成装置、パーソナルコンピュータ、ワークステーションを含む各種のコンピュータ、ルータを含むネットワーク機器であり、CPU,ROM及びRAMからなるマイクロコンピュータによって実現される、SNMP処理部10、認証部11、脅威判定部12、管理テーブル記憶部13、アクセス制御部14、ネットワークインタフェース(I/F)部15、無線ローカルエリアネットワークインタフェース(LAN・I/F)部16を含む各機能部を備えている。
ここで、上記ネットワークI/F部、無線LAN・I/F部は、複数個あっても、複数個なくてもよく、同時に作動しても、別々に作動してもよい。
【0012】
SNMP処理部10は、SNMPによって各ホストコンピュータ2〜4の情報を取得する処理を行う。
認証部11は、アクセス制御部14から渡されるパケットに基づいて、そのパケットを送信したアクセス要求元の利用者を認証する処理を行い、その認証結果をアクセス制御部14に返す。
脅威判定部12は、アクセス制御部14から渡される認証結果、パケットに含まれる情報を受け取り、その認証結果と情報に基づいて管理テーブル記憶部13の管理テーブルへの登録と管理テーブルの更新を行い、その更新後の管理テーブルの情報に基づいて、アクセス元のホストコンピュータ毎に、DoS攻撃又はパスワードクラック攻撃の脅威中及び監視中の判定を行い、その判定結果をアクセス制御部14へ返す。
【0013】
管理テーブル記憶部13は、管理テーブルにアクセス元のホストコンピュータを識別する情報、各ホストコンピュータに対する脅威中の状態又は監視中の状態を示す情報、各ホストコンピュータからの最終のアクセス時刻などの情報を登録する。
アクセス制御部14は、脅威判定部12から返された判定結果に基づいて、ネットワークI/F部15又は無線LAN・I/F部16が受信したパケットを受け付けて応答してアクセス要求を許可するか、パケットを読み捨てて応答せずにアクセス要求を拒否するかを実行する。
ネットワークI/F部15は、有線によって接続されたホストコンピュータ2,3と互いにデータ通信し、各ホストコンピュータ2,3から送信されたパケットをアクセス制御部14へ送る。
無線LAN・I/F部16は、ホストコンピュータ4と互いに無線によってデータ通信し、そのホストコンピュータ4から送信されたパケットをアクセス制御部14へ送る。
【0014】
ホストコンピュータ2〜4は、同じくCPU,ROM及びRAMからなるマイクロコンピュータを備えており、そのマイクロコンピュータによって実現される各種の機能部を有し、情報処理装置1にアクセスする際、利用者の認証のための情報を含むパケットを送信する。
【0015】
図2は、管理テーブル記憶部13に格納する管理テーブルのうちのDoS管理テーブルに登録されるデータ例を示す説明図である。
DoS管理テーブルは、DoS(サービス拒否)攻撃を管理するテーブルであり、DoS攻撃は、攻撃者が情報処理装置1に対して大量にアクセスすることで、情報処理装置1が正当な利用者にサービスを提供できなくする不正な行為であり、脅威判定部12がこのDoS管理テーブルの情報に基づいてDoS攻撃の脅威中の状態との判定結果をアクセス制御部14へ返すと、アクセス制御部14はそのアクセス元のホストコンピュータからのアクセス要求を拒否する。
【0016】
このDoS管理テーブルには、ホスト名、状態、カウンタ値、時刻の情報を登録する。
ホスト名は、アクセス要求のあった各ホストコンピュータのホスト名である。
状態は、各ホスト名のホストコンピュータに対する情報処理装置が判定した状態の情報であり、ホストコンピュータからのパケットがDoS攻撃の脅威中と判定した状態にあるか、DoS攻撃の監視中の状態にあるかを示す情報である。
カウンタ値は、各ホストコンピュータについて、DoS攻撃の監視中の状態になってからのアクセス数である。
時刻は、各ホストコンピュータについてDoS攻撃のチェックを開始した監視開始時刻又は各ホストコンピュータに対するDoS攻撃の脅威中の状態の終了時刻を示す脅威終了時刻とを登録する。
【0017】
なお、図中の備考欄の情報は、上記監視開始時刻と脅威終了時刻の説明を示すものであり、DoS管理テーブルには登録されない。
また、上記ホスト名に代えて、ホストコンピュータのIPアドレスでもよく、アクセスのあったホストコンピュータを特定できる情報であればどのような情報でもよい。
さらに、このDoS管理テーブルには、DoS攻撃の脅威中でも監視中でもないホストコンピュータについての上記情報は登録せず、管理しない。
【0018】
図3は、管理テーブル記憶部13に格納する管理テーブルのうちのパスワードクラック管理テーブルに登録されるデータ例を示す説明図である。
パスワードクラック管理テーブルは、パスワードクラック攻撃を管理するテーブルであり、そのパスワードクラック攻撃は、攻撃者がパスワードを知らない機器に対して、大量のパスワードを使って、大量の認証をさせることで、正しいパスワードを知る攻撃であり、脅威判定部12がこのパスワードクラック管理テーブルの情報に基づいてパスワードクラック攻撃の脅威中の判定結果をアクセス制御部14へ返すと、アクセス制御部14はそのアクセス元のホストコンピュータからのアクセス要求を拒否する。
【0019】
このように、大量のパスワードを使って認証をする場合は、大量に認証失敗が発生するため、大量の認証失敗が発生したアクセス元からのアクセス要求はパスワードクラック攻撃とみなしてアクセス要求を拒否する。
このパスワードクラック管理テーブルには、DoS管理テーブルと同様に、ホスト名、状態、カウンタ値、時刻の情報を登録する。
【0020】
ホスト名は、アクセス要求のあった各ホストコンピュータのホスト名である。
状態は、各ホスト名のホストコンピュータに対する情報処理装置が判定した状態の情報であり、ホストコンピュータからのアクセス要求がパスワードクラック攻撃の脅威中の状態にあるか、パスワードクラック攻撃の監視中の状態にあるかを示す情報である。
カウンタ値は、各ホストコンピュータについて、パスワードクラック攻撃の監視中の状態になってからのアクセス数である。
時刻は、各ホストコンピュータについてパスワードクラック攻撃のチェックを開始した監視開始時刻又は各ホストコンピュータに対するパスワードクラック攻撃の脅威中の状態の終了時刻を示す脅威終了時刻を登録する。
【0021】
なお、図中の備考欄の情報は、上記監視開始時刻と脅威終了時刻の説明を示すものであり、パスワードクラック管理テーブルには登録されない。
また、上記ホスト名に代えて、ホストコンピュータのIPアドレスでもよく、アクセスのあったホストコンピュータを特定できる情報であればどのような情報でもよい。
さらに、このパスワードクラック管理テーブルには、パスワードクラック攻撃の脅威中でも監視中でもないホストコンピュータについての上記情報は登録せず、管理しない。
【0022】
上記ホスト名を含むホストコンピュータを特定するためのホスト情報の代わりに、接続されているインタフェース情報にすることもできる。
このようにすれば、ネットワーク全体からのアクセスについて統一的に管理することができる。
【0023】
図4は、脅威判定部12がDoS攻撃とパスワードクラック攻撃の脅威中と監視中の判定をする際に用いる確定回数、監視時間、脅威時間のデフォルト値の一例を示す説明図である。
脅威判定部12は、上記確定回数、監視時間、脅威時間について予め設定されたデフォルト値を、同図に示すようなテーブル形式で保持する。
同図の(a)の確定回数Cdは、DoS攻撃の脅威中と判定する閾値に相当するカウンタ値であり、監視時間Td1は、単位時間当たりの認証の成功回数が上記閾値以上になるか否かを判断するDoS攻撃の監視状態の所定時間であり、脅威時間Td2は、DoS攻撃の脅威中と判定されてからアクセス要求を拒否するロックを続ける所定経過時間である。同図の(a)には、デフォルト値の一例として、確定回数Cd:300回、監視時間Td1:1秒、脅威時間Td2:1分を示している。
【0024】
また、同図の(b)の確定回数Cpは、パスワードクラック攻撃の脅威中と判定する閾値に相当するカウンタ値であり、監視時間Tp1は、単位時間当たりの認証の失敗回数が上記閾値以上になるか否かを判断するパスワードクラック攻撃の監視状態の所定時間であり、脅威時間Tp2は、パスワードクラック攻撃の脅威中と判定されてからアクセス要求を拒否するロックを続ける所定経過時間である。同図の(b)には、デフォルト値の一例として、確定回数Cp:100回、監視時間Tp1:5秒、脅威時間Tp2:1分を示している。
上記成功回数と上記失敗回数と上記所定時間と上記所定経過時間のデフォルト値は、情報処理装置1の管理者が図示を省略した操作部から直接操作によって、又は外部の機器から遠隔操作によって任意の値に変更することができる。
すなわち、利用者による操作部からの操作入力又は外部の機器からの遠隔操作入力により、上記成功回数と上記失敗回数とを、上記認証の成功回数に係る所定時間と上記失敗回数に係る所定時間とを、上記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と上記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定することができる。
【0025】
なお、上記監視時間を無限値にすることで、起動後のすべてのカウント値をとることも可能であり、そのようにすれば、長期にわたって分散して行われる脅威となりうるアクセスを検出することができる。
【0026】
図5は、図1に示す情報処理装置1におけるパケットを受信したときの各部間の処理を示すシーケンス図である。
ステップ(図中「S」で示す)1でネットワークI/F部15又は無線LAN・I/F部16(以下、まとめて「I/F部15,16」という)がネットワークを介していずれかのホストコンピュータからのアクセス要求のパケットを受信すると、ステップ2で、I/F部15,16は、受信したパケットをアクセス制御部14へ送る。
ステップ3で、アクセス制御部14は、パケット内の認証情報(ホスト情報,ユーザID,パスワードを含む各種情報)を認証部11へ送り、ステップ4で、認証部11はアクセス制御部14から受け取った認証情報に基づいてアクセス元のホストコンピュータの認証を行い、ステップ5で認証結果をアクセス制御部14へ送る。この認証処理については、公知なので詳細な説明を省略する。
【0027】
ステップ6で、アクセス制御部14は、認証部11から受け取った認証結果と、パケット内から読み出したホスト情報(ホスト名を含む)を脅威判定部12へ送り、ステップ7で脅威判定部12は、アクセス制御部14から受け取った認証結果とホスト情報とに基づいて、管理テーブル記憶部13の管理テーブル(DoS管理テーブルとパスワードクラック管理テーブル)を更新する指示を出し、ステップ8で管理テーブル記憶部13は脅威判定部12からの指示に基づいて管理テーブルの更新をする。
このように、正常のパケットがきたときにも管理テーブルに登録される。
ステップ9で、脅威判定部12は管理テーブル記憶部13の更新後の管理テーブルを参照し、その内容に基づいて脅威判定し(アクセス元のホストコンピュータに対して脅威中の状態か監視中の状態かを判定する)、ステップ11でその脅威判定結果をアクセス制御部14へ送る。
【0028】
ステップ12で、アクセス制御部14は、脅威判定部12から受け取った脅威判定結果に基づいて、脅威中の状態なら、アクセス元のホストコンピュータのアクセス要求を拒否する処理判定をし、監視中の状態なら、アクセス元のホストコンピュータのアクセス要求を許可する処理判定をする。
アクセス制御部14は、アクセス要求を許可する処理判定をした場合、ステップ13でSNMP処理部10へSNMP処理依頼をし、ステップ14でSNMP処理部10は応答パケットを作成し、ステップ15で、アクセス制御部14へ応答パケットを送り、ステップ16で、アクセス制御部14は、I/F部15,16に応答パケットを送ってアクセス元のホストコンピュータへ返送するように指示し、ステップ17で、I/F部15,16は、応答パケットをアクセス元のホストコンピュータへ返送する。このようにして、アクセス元のホストコンピュータのアクセス要求を許可する。
【0029】
一方、ステップ12の処理判定で、アクセス制御部14は、アクセス元のホストコンピュータのアクセス要求を拒否する処理判定をしたら、ステップ18で、受信したパケットを読み捨て、応答パケットを返送しないようにする。
このようにして、アクセス元のホストコンピュータのアクセス要求を拒否する。
【0030】
図6は、図1に示した情報処理装置1のアクセス制御部14の処理を示すフローチャート図である。
ステップ21で、I/F部からパケットを入力すると、ステップ22で認証部へ認証情報を出力し、認証部から認証結果を入力し、ステップ23で脅威判定部へ認証結果とホスト情報(ホスト名)を出力し、脅威判定部から脅威判定結果を入力する。
ステップ24で脅威判定部から入力した脅威判定結果に基づいて脅威中か否かを判定し、脅威判定結果が監視中の状態なら、監視中と判定し、ステップ25でSNMP処理部へSNMP処理を依頼し、SNMP処理部から応答パケットを入力し、ステップ26でI/F部へ応答パケットを出力して返送するように指示し、この処理を終了する。
【0031】
一方、ステップ24で脅威判定結果が脅威中の状態なら、脅威中と判定し、ステップ27でパケットを読み捨て、応答パケットを返信しないようにし、この処理を終了する。
このようにして、認証部、脅威判定部での処理の結果を元に、脅威中の状態であれば応答パケットを返さないでアクセス要求を拒否する。
このアクセス要求の拒否では、認証部による認証は継続して行うが、その認証結果の如何に関わらず利用者から要求された処理を行わないように制御する。
また、正当なパケットであれば、もちろん応答パケットを返すための処理を実施し、アクセス要求を許可する。
【0032】
図7は、図1に示した情報処理装置1の脅威判定部12の処理を示すフローチャート図である。
ステップ31で、アクセス制御部からアクセス元のホストコンピュータについての認証結果とホスト情報を入力すると、ステップ32で管理テーブル記憶部の管理テーブルを更新する。
これにより、DoS管理テーブルとパスワードクラック管理テーブルの監視中であったエントリについて、そのエントリ中の時刻と現在時刻とを比較し、十分に時間が経過して、監視する対象でないエントリ(ホスト名に対応させて状態、カウンタ値、時刻を記憶した一欄の情報)があった場合は、管理テーブルから削除する。
【0033】
ステップ33で、認証結果は成功か失敗かを判断し、成功なら、ステップ34へ進んで、管理テーブル記憶部の更新後のDoS管理テーブルからアクセス元のホスト名に該当するエントリを検索し、ステップ35で該当するエントリが有るか否かを判断し、該当するエントリが有れば、ステップ36でそのエントリ中のカウンタ値cdの値を1増やし、ステップ37でそのカウンタ値cdはDoS攻撃用の確定回数Cd(300回)以上か否かを判断し、カウンタ値cdが確定回数Cd以上なら、ステップ38でエントリ中の状態sdを脅威中に更新し、時刻tdを現在時刻+DoS攻撃用の脅威時間Td2(1分)の時刻に更新し、ステップ40へ進む。
また、ステップ37の判断で、カウンタ値cdが確定回数Cd以上でなければ、そのままステップ40へ進む。
【0034】
さらに、ステップ35で該当するエントリが無いと判断したら、ステップ39でDoS管理テーブルに新たなエントリとして追加登録し、そのエントリのホスト名にアクセス元のホストコンピュータのホスト名を、状態sdに監視中を、カウンタ値cdに+1を、時刻tdに現在時刻を登録し、ステップ40へ進む。
ステップ40では、当該エントリの状態sdをあらためて参照し、ステップ41へ進む。
【0035】
ステップ33の判断で、認証結果が失敗なら、ステップ43へ進んで、管理テーブル記憶部の更新後のパスワードクラック管理テーブルからアクセス元のホスト名に該当するエントリを検索し、ステップ44で該当するエントリが有るか否かを判断し、該当するエントリが有れば、ステップ45でそのエントリ中のカウンタ値cpの値を1増やし、ステップ46でそのカウンタ値cpはパスワードクラック攻撃用の確定回数Cp(100回)以上か否かを判断し、カウンタ値cpが確定回数Cp以上なら、ステップ47でエントリ中の状態spを脅威中に更新し、時刻tpを現在時刻+パスワードクラック攻撃用の脅威時間Tp2(1分)の時刻に更新し、ステップ49へ進む。
また、ステップ46の判断で、カウンタ値cpが確定回数Cp以上でなければ、そのままステップ49へ進む。
【0036】
さらに、ステップ44で該当するエントリが無いと判断したら、ステップ48でパスワードクラック管理テーブルに新たなエントリとして追加登録し、そのエントリのホスト名にアクセス元のホストコンピュータのホスト名を、状態spに監視中を、カウンタ値cpに+1を、時刻tpに現在時刻を登録し、ステップ49へ進む。
ステップ49では、当該エントリの状態spをあらためて参照し、ステップ41へ進む。
【0037】
ステップ41で、当該エントリの状態sdが脅威中か、又は状態spが脅威中かを判断し、状態sdが脅威中、又は状態spが脅威中なら、ステップ42へ進み、状態sdが脅威中ならDoS管理テーブルの当該エントリのホスト名について、状態spが脅威中ならパスワードクラック管理テーブルの当該エントリのホスト名について、それぞれアクセス制御部へ脅威中の脅威判定結果を出力し、この処理を終了する。
また、状態sdも状態spも共に脅威中でなければ(共に監視中ならば)、ステップ50へ進み、状態sdが監視中ならDoS管理テーブルの当該エントリのホスト名について、状態spが監視中ならパスワードクラック管理テーブルの当該エントリのホスト名について、それぞれアクセス制御部へ監視中の脅威判定結果を出力し、この処理を終了する。
【0038】
このようにして、認証結果が成功であれば、DoS攻撃に関する処理をし、失敗であれば、パスワードクラック攻撃に関する処理をする。
基本的な処理として、管理テーブルにエントリがなかった場合は、新たにエントリを追加する。管理テーブルにエントリがあった場合は、カウンタ値を追加し、カウンタ値が確定回数以上であれば状態を脅威中に遷移させる。
ここでは、DoS攻撃の状態とパスワードクラック攻撃の状態はそれぞれ独立しているが、最終的には、DoS攻撃とパスワードクラック攻撃のどちらかが脅威中であれば、アクセス制御部14へは、脅威判定結果として脅威中である結果が返却される。
【0039】
図8は、図7の管理テーブルの更新処理の詳細な処理を示すフローチャート図である。
脅威判定部12は、管理テーブルの更新処理において、ステップ51でDoS管理テーブルの先頭から1エントリを参照し、ステップ52でそのエントリ中の状態sdは監視中か否かを判断し、監視中なら、ステップ53で現在時刻t−エントリ中の時刻td>DoS攻撃用の監視時間Td1か否かを判断し、現在時刻t−時刻td>監視時間Td1でなければ、そのままステップ55へ進み、現在時刻t−時刻td>監視時間Td1なら、ステップ54へ進んで当該エントリをDoS管理テーブルから削除して、ステップ55へ進む。
【0040】
また、ステップ52の判断で、エントリ中の状態sdが監視中でなければ、ステップ56で現在時刻t>エントリ中の時刻tdか否かを判断し、現在時刻t>時刻tdでなければ、そのままステップ55へ進み、現在時刻t>時刻tdなら、ステップ54で当該エントリをDoS管理テーブルから削除して、ステップ55へ進む。
ステップ55では、DoS管理テーブルの全てのエントリについて上述のようなチェックをしたか否かを判断し、チェックしていないエントリが有れば、ステップ51へ戻って上述の処理を繰り返し、DoS管理テーブルの全てのエントリについてチェックを終了したら、ステップ57へ進む。
【0041】
ステップ57でパスワードクラック管理テーブルの先頭から1エントリを参照し、ステップ58でそのエントリ中の状態spは監視中か否かを判断し、監視中なら、ステップ59で現在時刻t−エントリ中の時刻tp>パスワードクラック攻撃用の監視時間Tp1か否かを判断し、現在時刻t−時刻tp>監視時間Tp1でなければ、そのままステップ61へ進み、現在時刻t−時刻tp>監視時間Tp1なら、ステップ60へ進んで当該エントリをパスワードクラック管理テーブルから削除して、ステップ61へ進む。
また、ステップ58の判断で、エントリ中の状態spが監視中でなければ、ステップ62で現在時刻t>エントリ中の時刻tpか否かを判断し、現在時刻t>時刻tpでなければ、そのままステップ61へ進み、現在時刻t>時刻tpなら、ステップ60で当該エントリをパスワードクラック管理テーブルから削除して、ステップ61へ進む。
【0042】
ステップ61では、パスワードクラック管理テーブルの全てのエントリについて上述のようなチェックをしたか否かを判断し、チェックしていないエントリが有れば、ステップ57へ戻って上述の処理を繰り返し、パスワードクラック管理テーブルの全てのエントリについてチェックを終了したら、この処理を終了する。
このようにして、DoS管理テーブルとパスワードクラック管理テーブルのすべてのエントリに対して更新処理を実施し、もし、状態が監視中であり、監視を開始してからの時間が監視時間以上経過していた場合と、状態が監視中ではなく、現在時刻が管理テーブルに記録されている時刻を過ぎていた場合には、そのエントリを削除する。
【0043】
図9は、脅威時間と脅威時間の延長の説明図である。
例えば、情報処理装置1がホストコンピュータ2からのアクセス要求に対する処理の場合、1回目のアクセス要求について認証が成功するとDoS攻撃を監視し、監視時間Td1(1秒)の間は状態sdを監視中にし、その監視時間中にアクセス要求と認証成功が300回以上になったとき、状態sdを脅威中に変更してDoS攻撃がされたものとして、そのアクセス要求の時点からパケットを読み捨てて応答をせず、ホストコンピュータ2からのアクセス要求を拒否する。
また、状態sdを脅威中にすると、時刻tdをその時刻から脅威時間Td2を加算した時刻に設定し、その設定した時刻までに新たな認証成功が有る度にその時刻から脅威時間Td2を加算した時刻に設定し直して脅威時間を延長する。
そして、設定した時刻tdになっても新たな認証成功がなければ、状態sdの脅威中を解除し、ホストコンピュータ2からのアクセス要求の拒否を解除する。
【0044】
次に、ホストコンピュータ2からのアクセス要求について認証が失敗するとパスワードクラック攻撃を監視し、監視時間Tp1(5秒)の間は状態spを監視中にし、その監視時間中にアクセス要求と認証成功が100回以上になったとき、状態spを脅威中に変更してパスワードクラック攻撃がされたものとして、そのアクセス要求の時点からパケットを読み捨てて応答をせず、ホストコンピュータ2からのアクセス要求を拒否する。
また、状態spを脅威中にすると、時刻tpをその時刻から脅威時間Tp2を加算した時刻に設定し、その設定した時刻までに新たな認証失敗が有る度にその時刻から脅威時間Tp2を加算した時刻に設定し直して脅威時間を延長する。
そして、設定した時刻tpになっても新たな認証成功がなければ、状態spの脅威中を解除し、ホストコンピュータ2からのアクセス要求の拒否を解除する。
【0045】
このように、DoS攻撃とパスワードクラック攻撃の状態は独立であり、はじめにDoS攻撃であると判定がされた後に、DoS攻撃の脅威としてアクセスされていても、認証結果が失敗となるパケットであれば認証失敗としてアクセス制御部により処理されるが、認証失敗とパケットを返却する。
しかし、認証失敗が続き、閾値を超えた場合には、当然、脅威であると判定し、パケット処理はされなくなり、認証失敗のパケットを返却しない。
【0046】
このようにして、情報処理装置へのDoS攻撃とパスワードクラック攻撃の脅威となりうるアクセスを検出し、そのアクセスを安全に拒否することができる。
また、DoS攻撃とパスワードクラック攻撃に対するアクセス要求を拒否するロック機能を、一定期間続いた後に解除し、そのロック機能の有効期間を、DoS攻撃とパスワードクラック攻撃の脅威中について、それぞれ独立して延長できるようにすることにより、DoS攻撃とパスワードクラック攻撃の脅威について必要以上の制限を防ぎ、効率的に脅威を防ぐことができる。
【0047】
上記DoS管理テーブルとパスワードクラック管理テーブルでは、ホスト情報として、ユーザ名の如何にかかわらずホスト名でエントリを管理することにより、ログイン名とパスワードだけではない認証方法の一般的なアクセス方法にも対応することができる。
また、DoS攻撃とパスワードクラック攻撃の脅威中のホストコンピュータからのアクセスを拒否するので、正規の利用者からのアクセスを妨げることなく、脅威のあるアクセスのみを拒否することができる。
この実施形態の情報処理装置は、不特定多数の利用者が利用するネットワークにおいて、正規の利用者が安全に利用するためのセキュリティを向上させることができる。
また、上述の実施形態では、ホストコンピュータ毎に監視、脅威を判定、アクセス要求を拒否する場合について説明したが、ネットワークインタフェース、無線ローカルエリアネットワークインタフェースを含むインタフェース毎に監視、脅威を判定、アクセス要求を拒否するようにしてもよい。その場合、各インタフェースの種類毎に上述と同様にしてDoS管理テーブル、パスワードクラック管理テーブルを設けて管理すると良い。
【産業上の利用可能性】
【0048】
この発明による情報処理装置と情報処理方法は、複写機、印刷機、ファクシミリ装置、複合機、コンピュータを含む装置全般に適用することができる。
【符号の説明】
【0049】
1:情報処理装置 2〜4:ホストコンピュータ 10:SNMP処理部 11:認証部 12:脅威判定部 13:管理テーブル記憶部 14:アクセス制御部 15:ネットワークI/F部 16:無線LAN・I/F部
【先行技術文献】
【特許文献】
【0050】
【特許文献1】特開2006−79359号公報
【特許請求の範囲】
【請求項1】
通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、該受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手段と、
前記認証手段による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手段と、
前記判定手段によって判定された利用者からのアクセス要求を拒否するように制御する制御手段とを備えたことを特徴とする情報処理装置。
【請求項2】
前記アクセス要求を拒否する制御では、前記認証手段による認証は行い、その認証結果の如何に関わらず要求された処理を行わないように制御することを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、前記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する手段を設けたことを特徴とする請求項1又は2記載の情報処理装置。
【請求項4】
前記所定時間又は前記閾値を変更する手段を設けたことを特徴とする請求項1乃至3のいずれか一項に記載の情報処理装置。
【請求項5】
前記成功回数と前記失敗回数とを、前記認証の成功回数に係る所定時間と前記失敗回数に係る所定時間とを、前記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と前記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定する手段を設けたことを特徴とする請求項1乃至4のいずれか一項に記載の情報処理装置。
【請求項6】
通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、該受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証工程と、前記認証工程による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定工程と、前記判定工程によって判定された利用者からのアクセス要求を拒否するように制御する制御工程とからなることを特徴とする情報処理方法。
【請求項7】
前記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、前記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する工程を設けたことを特徴とする請求項6記載の情報処理方法。
【請求項8】
コンピュータに、通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、該受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手順と、前記認証手順による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手順と、前記判定手順によって判定された利用者からのアクセス要求を拒否するように制御する制御手順とを実行させるためのプログラム。
【請求項1】
通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、該受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手段と、
前記認証手段による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手段と、
前記判定手段によって判定された利用者からのアクセス要求を拒否するように制御する制御手段とを備えたことを特徴とする情報処理装置。
【請求項2】
前記アクセス要求を拒否する制御では、前記認証手段による認証は行い、その認証結果の如何に関わらず要求された処理を行わないように制御することを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、前記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する手段を設けたことを特徴とする請求項1又は2記載の情報処理装置。
【請求項4】
前記所定時間又は前記閾値を変更する手段を設けたことを特徴とする請求項1乃至3のいずれか一項に記載の情報処理装置。
【請求項5】
前記成功回数と前記失敗回数とを、前記認証の成功回数に係る所定時間と前記失敗回数に係る所定時間とを、前記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と前記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定する手段を設けたことを特徴とする請求項1乃至4のいずれか一項に記載の情報処理装置。
【請求項6】
通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、該受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証工程と、前記認証工程による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定工程と、前記判定工程によって判定された利用者からのアクセス要求を拒否するように制御する制御工程とからなることを特徴とする情報処理方法。
【請求項7】
前記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、前記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する工程を設けたことを特徴とする請求項6記載の情報処理方法。
【請求項8】
コンピュータに、通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、該受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手順と、前記認証手順による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手順と、前記判定手順によって判定された利用者からのアクセス要求を拒否するように制御する制御手順とを実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−146337(P2012−146337A)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願番号】特願2012−105628(P2012−105628)
【出願日】平成24年5月7日(2012.5.7)
【分割の表示】特願2007−159229(P2007−159229)の分割
【原出願日】平成19年6月15日(2007.6.15)
【出願人】(000006747)株式会社リコー (37,907)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願日】平成24年5月7日(2012.5.7)
【分割の表示】特願2007−159229(P2007−159229)の分割
【原出願日】平成19年6月15日(2007.6.15)
【出願人】(000006747)株式会社リコー (37,907)
[ Back to top ]