携帯端末およびプログラム
【課題】アプリケーションの不正な利用を防止することができる携帯端末およびプログラムを提供する。
【解決手段】アプリケーション処理部10aは、アプリケーションの処理として規定された処理を実行する。権限昇格コマンド判定部10b等は、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する。アプリケーション制御部10gは、変更がなされていると判定された場合に、アプリケーション10を停止する。
【解決手段】アプリケーション処理部10aは、アプリケーションの処理として規定された処理を実行する。権限昇格コマンド判定部10b等は、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する。アプリケーション制御部10gは、変更がなされていると判定された場合に、アプリケーション10を停止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯電話端末、携帯情報端末、スマートフォン等の携帯端末に関する。また、本発明は、携帯端末のコンピュータに処理を実行させるためのプログラムにも関する。
【背景技術】
【0002】
PC用のOS(オペレーティングシステム)をベースに、一般のユーザが様々な機能を操作できる携帯端末用に開発されたOSが普及している。このような状況の中、著作権の管理が必要な各種コンテンツを扱うアプリケーションや通信サービスのアプリケーション等、通信事業者にとって重要なアプリケーションを携帯端末のユーザに不正に利用されることを防ぐ必要がある。
【0003】
端末が動作する際には、端末が有する機能の利用や設定の変更に係る権限が設定され、ユーザはその権限の範囲内で端末を動作させることが可能である。例えば、一般ユーザ権限が設定された場合、一般ユーザ権限の範囲内で各種アプリケーションやコマンドの実行が可能となる。また、最高権限であるroot権限(スーパーユーザ権限)が設定された場合、一般ユーザ権限の範囲内で可能な動作に加えて、端末内の重要な設定の変更等が可能となる。通常、携帯端末は一般ユーザ権限で動作するように設定されている。
【0004】
悪意のユーザは、OSの脆弱性を突いてroot権限を不正に取得し、アプリケーションの挙動を監視して不正な制御を施すため、このようなアプリケーションの不正な利用を防止する必要がある。なお、特許文献1には、不正データの入力によるスタックオーバーフローの発生を検知することにより、root権限を不正に取得するためのスタックスマッシング攻撃からコンピュータを保護する方法が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−32185号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来の、最も普及しているタイプの携帯電話端末では、ユーザがPCから端末を操作するようなインタフェースは設けられていないこと、インストールできるアプリケーションが限られていること、アプリケーションが利用できる端末の機能が限られていること等から、そもそもroot権限の不正な取得が行われることはなかった。これに対して、近年登場したスマートフォンでは、ユーザがPCから端末を操作するインタフェースが設けられており、端末の各種機能を利用できるアプリケーションが登場しているが、root権限の不正な取得が行われたことを検知する手段は考えられておらず、アプリケーションを不正な利用から保護することができなかった。
【0007】
本発明は、上述した課題に鑑みてなされたものであって、アプリケーションの不正な利用を防止することができる携帯端末およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上記の課題を解決するためになされたもので、アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、を備えることを特徴とする携帯端末である。
【0009】
また、本発明の携帯端末において、前記判定部は、前記権限を変更するコマンドが端末に設定されているか否かを判定することを特徴とする。
【0010】
また、本発明の携帯端末において、前記判定部は、端末利用時の前記権限を設定するファイルに前記最高権限の設定がなされているか否かを判定することを特徴とする。
【0011】
また、本発明の携帯端末において、前記判定部は、前記最高権限を有している場合に変更することができる通信制御用の設定が変更されているか否かを判定することを特徴とする。
【0012】
また、本発明の携帯端末において、前記判定部は、前記最高権限を有している場合に変更することができるアクセス権限であって、ファイルを記憶する記憶部中の特定の領域に設定される読み出しまたは書き込みのアクセス権限が変更されているか否かを判定することを特徴とする。
【0013】
また、本発明の携帯端末は、端末内の機能の利用や設定の変更に係る権限を最高権限に変更する既知の実行ファイルが端末内に存在するか否かを判定する実行ファイル判定部をさらに備え、前記停止部は、前記設定がなされている、または前記実行ファイルが端末内に存在する場合に、前記アプリケーション処理部を停止することを特徴とする。
【0014】
また、本発明の携帯端末は、端末の外部から実行制御用のコマンド情報を受信して端末内のOSに前記コマンド情報を通知するコマンド制御部をさらに備え、前記停止部はさらに、前記設定がなされていると判定された場合に、前記コマンド制御部を停止することを特徴とする。
【0015】
また、本発明の携帯端末は、前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを削除することを特徴とする。
【0016】
また、本発明の携帯端末は、前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを、当該実行ファイルが実行する処理とは異なる処理を実行する他の実行ファイルに置き換えることを特徴とする。
【0017】
また、本発明の携帯端末は、前記設定がなされていると判定された場合に警告を表示する表示部をさらに備えることを特徴とする。
【0018】
また、本発明は、アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、として携帯端末のコンピュータを機能させるためのプログラムである。
【発明の効果】
【0019】
本発明によれば、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更がなされていると判定された場合に、実行中のアプリケーションを停止することによって、アプリケーションの不正な利用を防止することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の第1の実施形態による携帯端末と制御装置の機能構成を示すブロック図である。
【図2】本発明の第1の実施形態におけるアプリケーションの機能構成を示すブロック図である。
【図3】本発明の第1の実施形態における記憶部中のディレクトリ構成を示す参考図である。
【図4】本発明の第1の実施形態におけるアプリケーションの動作の手順を示すフローチャートである。
【図5】本発明の第1の実施形態におけるアプリケーションの動作の手順を示すフローチャートである。
【図6】本発明の第2の実施形態による携帯端末の部分機能構成を示すブロック図である。
【発明を実施するための形態】
【0021】
以下、図面を参照し、本発明の実施形態を説明する。本実施形態は、悪意のユーザがroot権限を不正に取得するために行うであろう設定や、悪意のユーザがroot権限を不正に取得した後に行うであろう設定に注目し、これらの設定に異常性が検知された場合にアプリケーションを停止するというものである。
【0022】
(第1の実施形態)
まず、本発明の第1の実施形態を説明する。特定のOSが携帯端末に搭載されている場合、携帯端末とPC等の制御装置とをRS232C等の制御用ケーブルで接続し、制御装置を介して携帯端末を操作することが可能である。図1は、携帯端末と制御装置の機能構成を示している。携帯端末1と制御装置2はRS232C等のケーブル3で接続されている。
【0023】
携帯端末1は、アプリケーション10、OS12、コマンド制御部13、記憶部14、表示部15、および作業領域W1を有している。アプリケーション10、OS12、およびコマンド制御部13は、SRAM等のデバイスで構成される作業領域W1上で動作する。これらの実行ファイル(プログラム)は記憶部14に格納されており、これらの実行ファイルが記憶部14から作業領域W1に読み込まれることで、これらが起動する。
【0024】
アプリケーション10は、OS12上で動作し、OS12に対するシステムコールの発行やOS12からの実行結果の受け取り等を行う。これによって、アプリケーション10は各種コマンドの実行や記憶部14へのアクセス等を行う。
【0025】
コマンド制御部13は、ユーザが制御装置2の操作部23を操作して入力するコマンドに関する制御を行う。具体的には、コマンド制御部13は制御装置2のコマンド制御部20と通信を行い、入力されたコマンドを示すコマンド情報を受信し、コマンド情報をOS12に通知する。OS12は、コマンド情報に基づいて各種コマンドに係る処理を実行する。また、コマンド制御部13は、OS12から処理の実行結果の通知を受け、実行結果を示す実行結果情報をコマンド制御部20へ送信する。コマンド制御部13は通常、一般ユーザ権限を与えられて動作するが、悪意のユーザがroot権限を不正に取得した場合、コマンド制御部13はroot権限を与えられて動作する。
【0026】
記憶部14は、フラッシュメモリ等のデバイスで構成され、携帯端末1内で使用する各種情報や実行ファイルを記憶する。表示部15は、液晶表示装置等で構成され、各種情報を表示する。
【0027】
制御装置2は、コマンド制御部20、OS21、記憶部22、操作部23、表示部24、および作業領域W2を有している。コマンド制御部20およびOS21は、SDRAM等のデバイスで構成される作業領域W2上で動作する。これらの実行ファイル(プログラム)は記憶部22に格納されており、これらの実行ファイルが記憶部22から作業領域W2に読み込まれることで、これらが起動する。
【0028】
コマンド制御部20は、ユーザが操作部23を操作して入力するコマンドに関する制御を行う。具体的には、コマンド制御部20は携帯端末1のコマンド制御部13と通信を行い、入力されたコマンドを示すコマンド情報を送信し、また、実行結果を示す実行結果情報を受信する。
【0029】
記憶部22は、ハードディスクドライブ等のデバイスで構成され、制御装置2内で使用する各種情報や実行ファイルを記憶する。操作部23は、キーボードやマウス等のデバイスで構成され、ユーザが操作した結果に基づく信号を出力する。表示部24は、液晶表示装置等で構成され、実行結果情報に基づく実行結果等を表示する。
【0030】
図2はアプリケーション10の機能構成を示している。アプリケーション10は、アプリケーション処理部10a、権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、アクセス権判定部10e、権限取得実行ファイル判定部10f、およびアプリケーション制御部10gを有する。
【0031】
アプリケーション処理部10aは、本来のアプリケーションの処理として規定された処理を行う。権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、アクセス権判定部10e、権限取得実行ファイル判定部10f、およびアプリケーション制御部10gは、保護対象のアプリケーションに対して新たに追加される部分である。
【0032】
権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、およびアクセス権判定部10eは、携帯端末1内の機能の利用や設定の変更に係る権限として最高権限であるroot権限(スーパーユーザ権限)を有している場合に変更することができる設定の変更の有無を判定する。特に、権限昇格コマンド判定部10bおよび権限設定ファイル判定部10cは、root権限を有していなければ変更できない設定であって、端末利用時の権限をroot権限に変更するための設定の有無を判定する。
【0033】
権限昇格コマンド判定部10bは、コマンド制御部13の動作の権限を変更するコマンド(例えばsuコマンド)が携帯端末1に設定されているか否かを判定する。通常、携帯端末1には権限を変更するコマンドの実行ファイルが存在しないため、コマンドを実行することができない。また、コマンドの実行ファイルを携帯端末1に導入するためには、その実行ファイルにroot権限を付与する必要がある。したがって、root権限が付与された上記コマンドの実行ファイルが携帯端末1に含まれる場合、root権限の不正な取得が行われたことになる。なお、悪意のユーザは、一般ユーザ権限でのみ端末を利用するための設定がなされている状態でOSの脆弱性を突いて一時的にroot権限を不正に取得し、権限を変更するコマンドを端末に導入して、次回からこのコマンドを実行してroot権限で端末を利用できるようにする。
【0034】
権限設定ファイル判定部10cは、コマンド制御部13の動作の権限を設定するファイルにroot権限の設定がなされているか否かを判定する。コマンド制御部13は、起動時にこのファイルに従った権限を与えられる。このファイルには、コマンド制御部13がroot権限で動作するか、一般ユーザ権限で動作するかを規定する値が設定されている。通常、このファイルには、一般ユーザ権限でのみ端末を利用するための設定がなされており、root権限を有していなければ、このファイルの設定を変更することができない。したがって、コマンド制御部13の動作の権限を設定するファイルにroot権限の設定がなされている場合、root権限の不正な取得が行われたことになる。なお、悪意のユーザは、上記のファイルに一般ユーザ権限でのみ端末を利用するための設定がなされている状態でOSの脆弱性を突いて一時的にroot権限を不正に取得し、上記のファイルに変更を施して、次回から通常の操作によりroot権限で端末を利用できるようにする。
【0035】
通信制御ファイル判定部10dは、root権限を有している場合に変更することができる通信制御用のファイルの設定が変更されているか否かを判定する。パケット制御に関わる名前解決制御用のファイル(例えばhostsファイル)は重要なファイルであり、root権限を有していなければ、これらのファイルの設定を変更することができない。したがって、通信制御用のファイルが改竄されている場合、root権限の不正な取得が行われたことになる。
【0036】
アクセス権判定部10eは、root権限を有している場合に変更することができるアクセス権限であって、記憶部14中の特定のディレクトリに設定される読み出し/書き込みのアクセス権限が変更されているか否かを判定する。記憶部14中のディレクトリには、読み出し/書き込みに関するアクセス権限(パーミッション)が設定されている。root権限、一般ユーザ権限のいずれであっても、記憶部14中のディレクトリにアクセスする際には、このアクセス権限に従う。図3は、記憶部14のディレクトリ構成を示している。
【0037】
領域300は、OSに関連するファイルが保存されるディレクトリで構成される領域である。通常、この領域300に対する読み出しは許可されているが、書き込みは許可されていない。また、root権限を有していなければ、領域300の各ディレクトリに関するアクセス権限の設定を変更することができない。したがって、領域300のアクセス権限が書き込み可能に設定されている場合、root権限の不正な取得が行われたことになる。
【0038】
権限取得実行ファイル判定部10fは、端末利用時の権限をroot権限に変更する既知の実行ファイルが端末内に存在するか否かを判定する。2010年4月において、root権限を不正に取得するアプリケーションは、root権限を奪う共通の悪意のアプリケーションを内包している。図3において、ディレクトリD1には、携帯端末1にインストールされたアプリケーションの実行ファイルが格納される。このディレクトリD1に、特定の名称(共通の悪意のアプリケーション名)を有する実行ファイルが存在する場合、root権限の不正な取得が行われる(または既に行われた)可能性がある。
【0039】
アプリケーション制御部10gは、アプリケーション処理部10a、権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、アクセス権判定部10e、および権限取得実行ファイル判定部10gに対する処理の振り分けの制御を行う。また、アプリケーション制御部10gは、権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、およびアクセス権判定部10eによる判定の結果に基づいて、アプリケーション10の動作を停止(終了)する制御を行う。
【0040】
次に、本実施形態によるアプリケーション10の動作を説明する。図4は、アプリケーション10の第1の動作例を示している。ユーザは、アプリケーション10を起動するため、操作部23を操作し、アプリケーション10を起動する指示を入力する。この後、前述したようにコマンド情報が制御装置2のコマンド制御部20から携帯端末1のコマンド制御部13へ送信され、OS12がコマンド情報に基づいて、アプリケーション10を起動する処理を実行する。アプリケーション10の実行ファイルが記憶部14から作業領域W1に読み込まれ、アプリケーション10が起動すると、アプリケーション10は以下のように動作する。
【0041】
まず、権限昇格コマンド判定部10bは、端末利用時の権限をroot権限に昇格するコマンド(以下、権限昇格コマンド)に関する設定を確認する(ステップS100)。具体的には、権限昇格コマンド判定部10bは、権限昇格コマンドの実行ファイルが所定のディレクトリに格納されているか否かを確認する。例えばwhichコマンドを実行することにより、この確認を行うことが可能である。または、権限昇格コマンド判定部10bは、権限昇格コマンドを実行し、OS12から通知された実行結果を確認する。
【0042】
続いて、権限昇格コマンド判定部10bは、ステップS100で確認を行った結果に基づいて、権限昇格コマンドが携帯端末1に設定されているか否かを判定する(ステップS105)。権限昇格コマンドの実行ファイルが所定のディレクトリに格納されている場合、または、権限昇格コマンドの実行結果として、root権限への昇格が行われたことが通知された場合、権限昇格コマンドが携帯端末1に設定されていることになり、処理はステップS155に進む。また、権限昇格コマンドの実行ファイルが所定のディレクトリに格納されていない場合、または、権限昇格コマンドの実行結果として、root権限への昇格が拒否されたことや権限昇格コマンドが存在しないことが通知された場合、権限昇格コマンドが携帯端末1に設定されていないことになり、処理はステップS110に進む。
【0043】
ステップS110では、権限設定ファイル判定部10cは、コマンド制御部13の動作の権限を設定するファイル(以下、権限設定ファイル)の設定内容を確認する(ステップS110)。具体的には、権限設定ファイル判定部10cは、権限設定ファイルに設定されている値を確認する。
【0044】
続いて、権限設定ファイル判定部10cは、ステップS110で確認を行った結果に基づいて、権限設定ファイルにroot権限の設定がなされているか否かを判定する(ステップS115)。権限設定ファイルに、root権限での動作を規定する値が設定されている場合、権限設定ファイルにroot権限の設定がなされていることになり、処理はステップS155に進む。また、権限設定ファイルに、一般ユーザ権限での動作を規定する値が設定されている場合、権限設定ファイルにroot権限の設定がなされていないことになり、処理はステップS120に進む。
【0045】
ステップS120では、通信制御ファイル判定部10dは、root権限を有している場合に変更することができる通信制御用のファイル(以下、通信制御ファイル)の設定内容を確認する(ステップS120)。具体的には、アプリケーション10の最初の起動時には、通信制御ファイル判定部10dは、通信制御ファイルの内容を確認し、確認した内容を記憶部14中の所定のファイルに記録する。また、アプリケーション10の2回目以降の起動時には、通信制御ファイル判定部10dは、通信制御ファイルの内容を確認すると共に、アプリケーション10の最初の起動時に通信制御ファイルの内容を記録した所定のファイルを記憶部14から読み出す。
【0046】
続いて、通信制御ファイル判定部10dは、通信制御ファイルが変更されているか否かを判定する(ステップS125)。アプリケーション10の最初の起動時には処理はステップS130に進む。アプリケーション10の2回目以降の起動時には、通信制御ファイル判定部10dは、ステップS120で確認した通信制御ファイルの内容と記憶部14から読み出した所定のファイルの内容とを比較する。両者が異なる場合、通信制御ファイルが変更されていることになり、処理はステップS155に進む。また、両者が一致する場合、通信制御ファイルが変更されていないことになり、処理はステップS130に進む。
【0047】
ステップS130では、アクセス権判定部10eは、root権限を有している場合に変更することができるアクセス権限であって、記憶部14中の特定のディレクトリに設定される読み出しまたは書き込みのアクセス権限の設定内容を確認する(ステップS130)。具体的には、アクセス権判定部10eは、アクセス権限の設定内容を確認するコマンド(例えばls -lコマンド)を実行することによって、記憶部14中の特定のディレクトリのアクセス権限の設定内容を確認する。
【0048】
続いて、アクセス権判定部10eは、ステップS130で確認を行った結果に基づいて、アクセス権限が変更されているか否かを判定する(ステップS135)。記憶部14中の特定のディレクトリの書き込みが許可されている場合、アクセス権限が変更されていることになり、処理はステップS155に進む。また、記憶部14中の特定のディレクトリの読み出しのみが許可され、書き込みが許可されていない場合、アクセス権限が変更されていないことになり、処理はステップS140に進む。
【0049】
ステップS140では、権限取得実行ファイル判定部10fは、携帯端末1にインストールされているアプリケーションを確認する(ステップS140)。具体的には、権限取得実行ファイル判定部10fは、図3のディレクトリD1に格納されているアプリケーションの実行ファイルの名称を取得する。
【0050】
続いて、権限取得実行ファイル判定部10fは、ステップS140で取得した実行ファイルの名称と、端末利用時の権限をroot権限に変更する既知の実行ファイルの名称とを比較し、端末利用時の権限をroot権限に変更する既知の実行ファイル(以下、権限取得実行ファイル)が端末内に存在するか否かを判定する(ステップS145)。ステップS140で取得した実行ファイルの名称のいずれかが権限取得実行ファイルの名称と一致した場合、権限取得実行ファイルが端末内に存在することになり、処理はステップS155に進む。また、ステップS140で取得した実行ファイルの名称のいずれも権限取得実行ファイルの名称と一致しなかった場合、権限取得実行ファイルが端末内に存在しないことになり、処理はステップS150に進む。
【0051】
ステップS150では、アプリケーション処理部10aはアプリケーション本来の処理を行う(ステップS150)。なお、図4では図示していないが、アプリケーション本来の処理において、例えばユーザからの指示等によりアプリケーションの終了が指示された場合、通常の手順に従ってアプリケーション10は処理を停止(終了)する。
【0052】
ステップS155では、アプリケーション制御部10gは、アプリケーション10を停止する処理を実行する(ステップS155)。アプリケーション10の処理が停止されると、アプリケーション10は作業領域W1から消滅する。上記のように、root権限を有している場合に変更することができる設定が変更された場合、または端末利用時の権限をroot権限に変更する既知の実行ファイルが端末内に存在する場合に、アプリケーション10が停止されるので、アプリケーションの不正な利用を防止することができる。
【0053】
root権限を不正に取得したユーザが、アプリケーションを実行できなくなったことで、アプリケーションの不具合が発生したとしてクレームを訴えるケースが考えられる。これを避けるため、「端末が危険な状態に陥り、個人情報の漏洩を防ぐ目的から重要なアプリケーションを停止する」旨を通知する警告メッセージを表示してもよい。具体的には、ステップS155において、アプリケーション制御部10gは、アプリケーション10の処理を停止する前に、表示部15にメッセージを表示する処理を実行する。表示部15は、OS12からの指示に従ってメッセージを表示する。
【0054】
図5は、アプリケーション10の第2の動作例を示している。以下、図4に示した第1の動作例と異なる部分についてのみ説明する。ステップS100〜S150,S155の処理は、図4に示した各処理と同様である。ステップS150に続いて、アプリケーション制御部10gは、ステップS100の処理を開始してから経過した時間が所定の監視周期に到達したか否かを判定する(ステップS160)。経過時間が監視周期に到達していない場合、アプリケーション制御部10gはアプリケーション処理部10aに処理を実行させる。また、経過時間が監視周期に到達した場合、処理はステップS100に戻る。
【0055】
図4に示した第1の動作例では、アプリケーション10の起動時のみ、アプリケーションの不正な利用を防止するための処理が実行される。一方、図5に示した第2の動作例では、アプリケーション10の起動後、アプリケーションの不正な利用を防止するための処理が定期的に実行される。これによって、アプリケーションの実行中にroot権限を不正に取得する行為にも対応することができる。
【0056】
上述したように、本実施形態によれば、アプリケーションの不正な利用を防止することができる。また、アプリケーションの停止前に警告メッセージを表示することによって、root権限を不正に取得したユーザに対して、自身の行為が不正な行為であることの自覚を促すことができる。また、ユーザの知らないうちに、root権限を不正に取得する悪意のアプリケーションが端末に導入された場合でも、上記のようにアプリケーションの停止や警告メッセージの表示を行うことによって、ユーザが、端末に不具合が発生していると判断して端末を安全な状態に修理させることも期待できる。
【0057】
本実施形態では、アプリケーションの不正な利用を防止するための仕組みを保護対象のアプリケーション内に実装した例を説明したが、アプリケーションの不正な利用を防止するための処理のみを実行するアプリケーションを保護対象のアプリケーションとは別に用意してもよい。ただし、上記のように、アプリケーションの不正な利用を防止するための仕組みを保護対象のアプリケーション内に実装することによって、アプリケーションの起動を監視する負荷が軽減される。
【0058】
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。図6は、本実施形態による携帯端末1において、第2の実施形態に係る部分のみを抽出して示している。図示していない部分については、図1と同様である。
【0059】
本実施形態では、監視部16が追加されている。監視部16は作業領域W1上で動作する。監視部16の実行ファイル(プログラム)は記憶部14に格納されており、この実行ファイルが記憶部14から作業領域W1に読み込まれることで、監視部16が起動する。
【0060】
監視部16は、判定部16a、停止部16b、および実行ファイル処理部16cを有する。判定部16aは、図2に示した権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、およびアクセス権判定部10eの一部または全部と同様の判定を行う。停止部16bは、作業領域W1上で動作しているコマンド制御部13の動作を停止する。実行ファイル処理部16cは、記憶部14に格納されている実行ファイルの削除等の処理を行う。
【0061】
監視部16は、コマンド制御部13の動作の停止や実行ファイルの削除を行うため、root権限で動作する。このため、携帯端末1の出荷前の段階で、販売者の操作によって監視部16の実行ファイルにroot権限を与えるコマンド(例えばchownコマンド)が実行される。このコマンドの実行にはroot権限が必要である。
【0062】
次に、監視部16の動作を説明する。監視部16は、携帯端末1の起動と同時に起動する。起動した監視部16は、root権限を有している場合に変更することができる設定の変更の有無、または端末利用時の権限をroot権限に変更する既知の実行ファイルの存在の有無を判定する。root権限を有している場合に変更することができる設定が変更されている場合、または端末利用時の権限をroot権限に変更する既知の実行ファイルが存在する場合、停止部16bはコマンド制御部13を停止する処理を実行する。コマンド制御部13の処理が停止されると、コマンド制御部13は作業領域W1から消滅する。
【0063】
コマンド制御部13の処理が停止された後、実行ファイル処理部16cは、コマンド制御部13の実行ファイルを記憶部14から削除する。コマンド制御部13が作業領域W1上で動作している間、コマンド制御部13の実行ファイルを記憶部14から削除することはできないので、コマンド制御部13の停止後にその実行ファイルが削除される。
【0064】
上記では、コマンド制御部13の実行ファイルを記憶部14から削除しているが、コマンド制御部13の実行ファイルを、その実行ファイルと同一のファイル名を有し、コマンド制御部13が実行する処理とは異なる処理を行う偽(ダミー)の実行ファイルに置き換えてもよい。この場合、偽の実行ファイルはコマンド制御部13の実行ファイルが格納されていたディレクトリと同一のディレクトリに格納される。また、コマンド制御部13の実行ファイルは、削除される、またはファイル名が変更される、または別のディレクトリに移動される。
【0065】
上記では、アプリケーションとは別に監視部16を設けているが、監視対象のアプリケーションが監視部16と同様の処理を行ってもよい。また、第1の実施形態で説明した方法によりアプリケーションを停止すると共にコマンド制御部13を停止してもよい。
【0066】
上述したように、本実施形態によれば、root権限を有している場合に変更することができる設定が変更されている場合、または端末利用時の権限をroot権限に変更する既知の実行ファイルが存在する場合にコマンド制御部13が停止するので、ユーザは制御装置2から携帯端末1を制御することができなくなる。これによって、アプリケーションの不正な利用を防止することができる。
【0067】
また、コマンド制御部13の停止後、コマンド制御部13の実行ファイルを記憶部14から削除したり、コマンド制御部13の実行ファイルを偽の実行ファイルに置き換えたりすることによって、コマンド制御部13を再起動することができなくなる。これによって、アプリケーションの不正な利用をより確実に防止することができる。コマンド制御部13の停止やコマンド制御部13の実行ファイルの削除等を行う前に、第1の実施形態と同様に警告メッセージを表示してもよい。これによって、root権限を不正に取得したユーザに対して、自身の行為が不正な行為であることの自覚を促すことができる。
【0068】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるアプリケーション10や監視部16の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムを携帯端末1のコンピュータに読み込ませ、実行させてもよい。
【0069】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0070】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0071】
1・・・携帯端末、2・・・制御装置、3・・・USBケーブル、10・・・アプリケーション、10a・・・アプリケーション処理部、10b権限昇格コマンド判定部、10c・・・権限設定ファイル判定部、10d・・・通信制御ファイル判定部、10e・・・アクセス権判定部、10f・・・権限取得実行ファイル判定部、10g・・・アプリケーション制御部、12・・・OS,21、13,20・・・コマンド制御部、14,22・・・記憶部、15,24・・・表示部、16・・・監視部、16a・・・判定部、16b・・・停止部、16c・・・実行ファイル処理部、23・・・操作部、W1,W2・・・作業領域
【技術分野】
【0001】
本発明は、携帯電話端末、携帯情報端末、スマートフォン等の携帯端末に関する。また、本発明は、携帯端末のコンピュータに処理を実行させるためのプログラムにも関する。
【背景技術】
【0002】
PC用のOS(オペレーティングシステム)をベースに、一般のユーザが様々な機能を操作できる携帯端末用に開発されたOSが普及している。このような状況の中、著作権の管理が必要な各種コンテンツを扱うアプリケーションや通信サービスのアプリケーション等、通信事業者にとって重要なアプリケーションを携帯端末のユーザに不正に利用されることを防ぐ必要がある。
【0003】
端末が動作する際には、端末が有する機能の利用や設定の変更に係る権限が設定され、ユーザはその権限の範囲内で端末を動作させることが可能である。例えば、一般ユーザ権限が設定された場合、一般ユーザ権限の範囲内で各種アプリケーションやコマンドの実行が可能となる。また、最高権限であるroot権限(スーパーユーザ権限)が設定された場合、一般ユーザ権限の範囲内で可能な動作に加えて、端末内の重要な設定の変更等が可能となる。通常、携帯端末は一般ユーザ権限で動作するように設定されている。
【0004】
悪意のユーザは、OSの脆弱性を突いてroot権限を不正に取得し、アプリケーションの挙動を監視して不正な制御を施すため、このようなアプリケーションの不正な利用を防止する必要がある。なお、特許文献1には、不正データの入力によるスタックオーバーフローの発生を検知することにより、root権限を不正に取得するためのスタックスマッシング攻撃からコンピュータを保護する方法が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−32185号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来の、最も普及しているタイプの携帯電話端末では、ユーザがPCから端末を操作するようなインタフェースは設けられていないこと、インストールできるアプリケーションが限られていること、アプリケーションが利用できる端末の機能が限られていること等から、そもそもroot権限の不正な取得が行われることはなかった。これに対して、近年登場したスマートフォンでは、ユーザがPCから端末を操作するインタフェースが設けられており、端末の各種機能を利用できるアプリケーションが登場しているが、root権限の不正な取得が行われたことを検知する手段は考えられておらず、アプリケーションを不正な利用から保護することができなかった。
【0007】
本発明は、上述した課題に鑑みてなされたものであって、アプリケーションの不正な利用を防止することができる携帯端末およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上記の課題を解決するためになされたもので、アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、を備えることを特徴とする携帯端末である。
【0009】
また、本発明の携帯端末において、前記判定部は、前記権限を変更するコマンドが端末に設定されているか否かを判定することを特徴とする。
【0010】
また、本発明の携帯端末において、前記判定部は、端末利用時の前記権限を設定するファイルに前記最高権限の設定がなされているか否かを判定することを特徴とする。
【0011】
また、本発明の携帯端末において、前記判定部は、前記最高権限を有している場合に変更することができる通信制御用の設定が変更されているか否かを判定することを特徴とする。
【0012】
また、本発明の携帯端末において、前記判定部は、前記最高権限を有している場合に変更することができるアクセス権限であって、ファイルを記憶する記憶部中の特定の領域に設定される読み出しまたは書き込みのアクセス権限が変更されているか否かを判定することを特徴とする。
【0013】
また、本発明の携帯端末は、端末内の機能の利用や設定の変更に係る権限を最高権限に変更する既知の実行ファイルが端末内に存在するか否かを判定する実行ファイル判定部をさらに備え、前記停止部は、前記設定がなされている、または前記実行ファイルが端末内に存在する場合に、前記アプリケーション処理部を停止することを特徴とする。
【0014】
また、本発明の携帯端末は、端末の外部から実行制御用のコマンド情報を受信して端末内のOSに前記コマンド情報を通知するコマンド制御部をさらに備え、前記停止部はさらに、前記設定がなされていると判定された場合に、前記コマンド制御部を停止することを特徴とする。
【0015】
また、本発明の携帯端末は、前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを削除することを特徴とする。
【0016】
また、本発明の携帯端末は、前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを、当該実行ファイルが実行する処理とは異なる処理を実行する他の実行ファイルに置き換えることを特徴とする。
【0017】
また、本発明の携帯端末は、前記設定がなされていると判定された場合に警告を表示する表示部をさらに備えることを特徴とする。
【0018】
また、本発明は、アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、として携帯端末のコンピュータを機能させるためのプログラムである。
【発明の効果】
【0019】
本発明によれば、端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更がなされていると判定された場合に、実行中のアプリケーションを停止することによって、アプリケーションの不正な利用を防止することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の第1の実施形態による携帯端末と制御装置の機能構成を示すブロック図である。
【図2】本発明の第1の実施形態におけるアプリケーションの機能構成を示すブロック図である。
【図3】本発明の第1の実施形態における記憶部中のディレクトリ構成を示す参考図である。
【図4】本発明の第1の実施形態におけるアプリケーションの動作の手順を示すフローチャートである。
【図5】本発明の第1の実施形態におけるアプリケーションの動作の手順を示すフローチャートである。
【図6】本発明の第2の実施形態による携帯端末の部分機能構成を示すブロック図である。
【発明を実施するための形態】
【0021】
以下、図面を参照し、本発明の実施形態を説明する。本実施形態は、悪意のユーザがroot権限を不正に取得するために行うであろう設定や、悪意のユーザがroot権限を不正に取得した後に行うであろう設定に注目し、これらの設定に異常性が検知された場合にアプリケーションを停止するというものである。
【0022】
(第1の実施形態)
まず、本発明の第1の実施形態を説明する。特定のOSが携帯端末に搭載されている場合、携帯端末とPC等の制御装置とをRS232C等の制御用ケーブルで接続し、制御装置を介して携帯端末を操作することが可能である。図1は、携帯端末と制御装置の機能構成を示している。携帯端末1と制御装置2はRS232C等のケーブル3で接続されている。
【0023】
携帯端末1は、アプリケーション10、OS12、コマンド制御部13、記憶部14、表示部15、および作業領域W1を有している。アプリケーション10、OS12、およびコマンド制御部13は、SRAM等のデバイスで構成される作業領域W1上で動作する。これらの実行ファイル(プログラム)は記憶部14に格納されており、これらの実行ファイルが記憶部14から作業領域W1に読み込まれることで、これらが起動する。
【0024】
アプリケーション10は、OS12上で動作し、OS12に対するシステムコールの発行やOS12からの実行結果の受け取り等を行う。これによって、アプリケーション10は各種コマンドの実行や記憶部14へのアクセス等を行う。
【0025】
コマンド制御部13は、ユーザが制御装置2の操作部23を操作して入力するコマンドに関する制御を行う。具体的には、コマンド制御部13は制御装置2のコマンド制御部20と通信を行い、入力されたコマンドを示すコマンド情報を受信し、コマンド情報をOS12に通知する。OS12は、コマンド情報に基づいて各種コマンドに係る処理を実行する。また、コマンド制御部13は、OS12から処理の実行結果の通知を受け、実行結果を示す実行結果情報をコマンド制御部20へ送信する。コマンド制御部13は通常、一般ユーザ権限を与えられて動作するが、悪意のユーザがroot権限を不正に取得した場合、コマンド制御部13はroot権限を与えられて動作する。
【0026】
記憶部14は、フラッシュメモリ等のデバイスで構成され、携帯端末1内で使用する各種情報や実行ファイルを記憶する。表示部15は、液晶表示装置等で構成され、各種情報を表示する。
【0027】
制御装置2は、コマンド制御部20、OS21、記憶部22、操作部23、表示部24、および作業領域W2を有している。コマンド制御部20およびOS21は、SDRAM等のデバイスで構成される作業領域W2上で動作する。これらの実行ファイル(プログラム)は記憶部22に格納されており、これらの実行ファイルが記憶部22から作業領域W2に読み込まれることで、これらが起動する。
【0028】
コマンド制御部20は、ユーザが操作部23を操作して入力するコマンドに関する制御を行う。具体的には、コマンド制御部20は携帯端末1のコマンド制御部13と通信を行い、入力されたコマンドを示すコマンド情報を送信し、また、実行結果を示す実行結果情報を受信する。
【0029】
記憶部22は、ハードディスクドライブ等のデバイスで構成され、制御装置2内で使用する各種情報や実行ファイルを記憶する。操作部23は、キーボードやマウス等のデバイスで構成され、ユーザが操作した結果に基づく信号を出力する。表示部24は、液晶表示装置等で構成され、実行結果情報に基づく実行結果等を表示する。
【0030】
図2はアプリケーション10の機能構成を示している。アプリケーション10は、アプリケーション処理部10a、権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、アクセス権判定部10e、権限取得実行ファイル判定部10f、およびアプリケーション制御部10gを有する。
【0031】
アプリケーション処理部10aは、本来のアプリケーションの処理として規定された処理を行う。権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、アクセス権判定部10e、権限取得実行ファイル判定部10f、およびアプリケーション制御部10gは、保護対象のアプリケーションに対して新たに追加される部分である。
【0032】
権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、およびアクセス権判定部10eは、携帯端末1内の機能の利用や設定の変更に係る権限として最高権限であるroot権限(スーパーユーザ権限)を有している場合に変更することができる設定の変更の有無を判定する。特に、権限昇格コマンド判定部10bおよび権限設定ファイル判定部10cは、root権限を有していなければ変更できない設定であって、端末利用時の権限をroot権限に変更するための設定の有無を判定する。
【0033】
権限昇格コマンド判定部10bは、コマンド制御部13の動作の権限を変更するコマンド(例えばsuコマンド)が携帯端末1に設定されているか否かを判定する。通常、携帯端末1には権限を変更するコマンドの実行ファイルが存在しないため、コマンドを実行することができない。また、コマンドの実行ファイルを携帯端末1に導入するためには、その実行ファイルにroot権限を付与する必要がある。したがって、root権限が付与された上記コマンドの実行ファイルが携帯端末1に含まれる場合、root権限の不正な取得が行われたことになる。なお、悪意のユーザは、一般ユーザ権限でのみ端末を利用するための設定がなされている状態でOSの脆弱性を突いて一時的にroot権限を不正に取得し、権限を変更するコマンドを端末に導入して、次回からこのコマンドを実行してroot権限で端末を利用できるようにする。
【0034】
権限設定ファイル判定部10cは、コマンド制御部13の動作の権限を設定するファイルにroot権限の設定がなされているか否かを判定する。コマンド制御部13は、起動時にこのファイルに従った権限を与えられる。このファイルには、コマンド制御部13がroot権限で動作するか、一般ユーザ権限で動作するかを規定する値が設定されている。通常、このファイルには、一般ユーザ権限でのみ端末を利用するための設定がなされており、root権限を有していなければ、このファイルの設定を変更することができない。したがって、コマンド制御部13の動作の権限を設定するファイルにroot権限の設定がなされている場合、root権限の不正な取得が行われたことになる。なお、悪意のユーザは、上記のファイルに一般ユーザ権限でのみ端末を利用するための設定がなされている状態でOSの脆弱性を突いて一時的にroot権限を不正に取得し、上記のファイルに変更を施して、次回から通常の操作によりroot権限で端末を利用できるようにする。
【0035】
通信制御ファイル判定部10dは、root権限を有している場合に変更することができる通信制御用のファイルの設定が変更されているか否かを判定する。パケット制御に関わる名前解決制御用のファイル(例えばhostsファイル)は重要なファイルであり、root権限を有していなければ、これらのファイルの設定を変更することができない。したがって、通信制御用のファイルが改竄されている場合、root権限の不正な取得が行われたことになる。
【0036】
アクセス権判定部10eは、root権限を有している場合に変更することができるアクセス権限であって、記憶部14中の特定のディレクトリに設定される読み出し/書き込みのアクセス権限が変更されているか否かを判定する。記憶部14中のディレクトリには、読み出し/書き込みに関するアクセス権限(パーミッション)が設定されている。root権限、一般ユーザ権限のいずれであっても、記憶部14中のディレクトリにアクセスする際には、このアクセス権限に従う。図3は、記憶部14のディレクトリ構成を示している。
【0037】
領域300は、OSに関連するファイルが保存されるディレクトリで構成される領域である。通常、この領域300に対する読み出しは許可されているが、書き込みは許可されていない。また、root権限を有していなければ、領域300の各ディレクトリに関するアクセス権限の設定を変更することができない。したがって、領域300のアクセス権限が書き込み可能に設定されている場合、root権限の不正な取得が行われたことになる。
【0038】
権限取得実行ファイル判定部10fは、端末利用時の権限をroot権限に変更する既知の実行ファイルが端末内に存在するか否かを判定する。2010年4月において、root権限を不正に取得するアプリケーションは、root権限を奪う共通の悪意のアプリケーションを内包している。図3において、ディレクトリD1には、携帯端末1にインストールされたアプリケーションの実行ファイルが格納される。このディレクトリD1に、特定の名称(共通の悪意のアプリケーション名)を有する実行ファイルが存在する場合、root権限の不正な取得が行われる(または既に行われた)可能性がある。
【0039】
アプリケーション制御部10gは、アプリケーション処理部10a、権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、アクセス権判定部10e、および権限取得実行ファイル判定部10gに対する処理の振り分けの制御を行う。また、アプリケーション制御部10gは、権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、およびアクセス権判定部10eによる判定の結果に基づいて、アプリケーション10の動作を停止(終了)する制御を行う。
【0040】
次に、本実施形態によるアプリケーション10の動作を説明する。図4は、アプリケーション10の第1の動作例を示している。ユーザは、アプリケーション10を起動するため、操作部23を操作し、アプリケーション10を起動する指示を入力する。この後、前述したようにコマンド情報が制御装置2のコマンド制御部20から携帯端末1のコマンド制御部13へ送信され、OS12がコマンド情報に基づいて、アプリケーション10を起動する処理を実行する。アプリケーション10の実行ファイルが記憶部14から作業領域W1に読み込まれ、アプリケーション10が起動すると、アプリケーション10は以下のように動作する。
【0041】
まず、権限昇格コマンド判定部10bは、端末利用時の権限をroot権限に昇格するコマンド(以下、権限昇格コマンド)に関する設定を確認する(ステップS100)。具体的には、権限昇格コマンド判定部10bは、権限昇格コマンドの実行ファイルが所定のディレクトリに格納されているか否かを確認する。例えばwhichコマンドを実行することにより、この確認を行うことが可能である。または、権限昇格コマンド判定部10bは、権限昇格コマンドを実行し、OS12から通知された実行結果を確認する。
【0042】
続いて、権限昇格コマンド判定部10bは、ステップS100で確認を行った結果に基づいて、権限昇格コマンドが携帯端末1に設定されているか否かを判定する(ステップS105)。権限昇格コマンドの実行ファイルが所定のディレクトリに格納されている場合、または、権限昇格コマンドの実行結果として、root権限への昇格が行われたことが通知された場合、権限昇格コマンドが携帯端末1に設定されていることになり、処理はステップS155に進む。また、権限昇格コマンドの実行ファイルが所定のディレクトリに格納されていない場合、または、権限昇格コマンドの実行結果として、root権限への昇格が拒否されたことや権限昇格コマンドが存在しないことが通知された場合、権限昇格コマンドが携帯端末1に設定されていないことになり、処理はステップS110に進む。
【0043】
ステップS110では、権限設定ファイル判定部10cは、コマンド制御部13の動作の権限を設定するファイル(以下、権限設定ファイル)の設定内容を確認する(ステップS110)。具体的には、権限設定ファイル判定部10cは、権限設定ファイルに設定されている値を確認する。
【0044】
続いて、権限設定ファイル判定部10cは、ステップS110で確認を行った結果に基づいて、権限設定ファイルにroot権限の設定がなされているか否かを判定する(ステップS115)。権限設定ファイルに、root権限での動作を規定する値が設定されている場合、権限設定ファイルにroot権限の設定がなされていることになり、処理はステップS155に進む。また、権限設定ファイルに、一般ユーザ権限での動作を規定する値が設定されている場合、権限設定ファイルにroot権限の設定がなされていないことになり、処理はステップS120に進む。
【0045】
ステップS120では、通信制御ファイル判定部10dは、root権限を有している場合に変更することができる通信制御用のファイル(以下、通信制御ファイル)の設定内容を確認する(ステップS120)。具体的には、アプリケーション10の最初の起動時には、通信制御ファイル判定部10dは、通信制御ファイルの内容を確認し、確認した内容を記憶部14中の所定のファイルに記録する。また、アプリケーション10の2回目以降の起動時には、通信制御ファイル判定部10dは、通信制御ファイルの内容を確認すると共に、アプリケーション10の最初の起動時に通信制御ファイルの内容を記録した所定のファイルを記憶部14から読み出す。
【0046】
続いて、通信制御ファイル判定部10dは、通信制御ファイルが変更されているか否かを判定する(ステップS125)。アプリケーション10の最初の起動時には処理はステップS130に進む。アプリケーション10の2回目以降の起動時には、通信制御ファイル判定部10dは、ステップS120で確認した通信制御ファイルの内容と記憶部14から読み出した所定のファイルの内容とを比較する。両者が異なる場合、通信制御ファイルが変更されていることになり、処理はステップS155に進む。また、両者が一致する場合、通信制御ファイルが変更されていないことになり、処理はステップS130に進む。
【0047】
ステップS130では、アクセス権判定部10eは、root権限を有している場合に変更することができるアクセス権限であって、記憶部14中の特定のディレクトリに設定される読み出しまたは書き込みのアクセス権限の設定内容を確認する(ステップS130)。具体的には、アクセス権判定部10eは、アクセス権限の設定内容を確認するコマンド(例えばls -lコマンド)を実行することによって、記憶部14中の特定のディレクトリのアクセス権限の設定内容を確認する。
【0048】
続いて、アクセス権判定部10eは、ステップS130で確認を行った結果に基づいて、アクセス権限が変更されているか否かを判定する(ステップS135)。記憶部14中の特定のディレクトリの書き込みが許可されている場合、アクセス権限が変更されていることになり、処理はステップS155に進む。また、記憶部14中の特定のディレクトリの読み出しのみが許可され、書き込みが許可されていない場合、アクセス権限が変更されていないことになり、処理はステップS140に進む。
【0049】
ステップS140では、権限取得実行ファイル判定部10fは、携帯端末1にインストールされているアプリケーションを確認する(ステップS140)。具体的には、権限取得実行ファイル判定部10fは、図3のディレクトリD1に格納されているアプリケーションの実行ファイルの名称を取得する。
【0050】
続いて、権限取得実行ファイル判定部10fは、ステップS140で取得した実行ファイルの名称と、端末利用時の権限をroot権限に変更する既知の実行ファイルの名称とを比較し、端末利用時の権限をroot権限に変更する既知の実行ファイル(以下、権限取得実行ファイル)が端末内に存在するか否かを判定する(ステップS145)。ステップS140で取得した実行ファイルの名称のいずれかが権限取得実行ファイルの名称と一致した場合、権限取得実行ファイルが端末内に存在することになり、処理はステップS155に進む。また、ステップS140で取得した実行ファイルの名称のいずれも権限取得実行ファイルの名称と一致しなかった場合、権限取得実行ファイルが端末内に存在しないことになり、処理はステップS150に進む。
【0051】
ステップS150では、アプリケーション処理部10aはアプリケーション本来の処理を行う(ステップS150)。なお、図4では図示していないが、アプリケーション本来の処理において、例えばユーザからの指示等によりアプリケーションの終了が指示された場合、通常の手順に従ってアプリケーション10は処理を停止(終了)する。
【0052】
ステップS155では、アプリケーション制御部10gは、アプリケーション10を停止する処理を実行する(ステップS155)。アプリケーション10の処理が停止されると、アプリケーション10は作業領域W1から消滅する。上記のように、root権限を有している場合に変更することができる設定が変更された場合、または端末利用時の権限をroot権限に変更する既知の実行ファイルが端末内に存在する場合に、アプリケーション10が停止されるので、アプリケーションの不正な利用を防止することができる。
【0053】
root権限を不正に取得したユーザが、アプリケーションを実行できなくなったことで、アプリケーションの不具合が発生したとしてクレームを訴えるケースが考えられる。これを避けるため、「端末が危険な状態に陥り、個人情報の漏洩を防ぐ目的から重要なアプリケーションを停止する」旨を通知する警告メッセージを表示してもよい。具体的には、ステップS155において、アプリケーション制御部10gは、アプリケーション10の処理を停止する前に、表示部15にメッセージを表示する処理を実行する。表示部15は、OS12からの指示に従ってメッセージを表示する。
【0054】
図5は、アプリケーション10の第2の動作例を示している。以下、図4に示した第1の動作例と異なる部分についてのみ説明する。ステップS100〜S150,S155の処理は、図4に示した各処理と同様である。ステップS150に続いて、アプリケーション制御部10gは、ステップS100の処理を開始してから経過した時間が所定の監視周期に到達したか否かを判定する(ステップS160)。経過時間が監視周期に到達していない場合、アプリケーション制御部10gはアプリケーション処理部10aに処理を実行させる。また、経過時間が監視周期に到達した場合、処理はステップS100に戻る。
【0055】
図4に示した第1の動作例では、アプリケーション10の起動時のみ、アプリケーションの不正な利用を防止するための処理が実行される。一方、図5に示した第2の動作例では、アプリケーション10の起動後、アプリケーションの不正な利用を防止するための処理が定期的に実行される。これによって、アプリケーションの実行中にroot権限を不正に取得する行為にも対応することができる。
【0056】
上述したように、本実施形態によれば、アプリケーションの不正な利用を防止することができる。また、アプリケーションの停止前に警告メッセージを表示することによって、root権限を不正に取得したユーザに対して、自身の行為が不正な行為であることの自覚を促すことができる。また、ユーザの知らないうちに、root権限を不正に取得する悪意のアプリケーションが端末に導入された場合でも、上記のようにアプリケーションの停止や警告メッセージの表示を行うことによって、ユーザが、端末に不具合が発生していると判断して端末を安全な状態に修理させることも期待できる。
【0057】
本実施形態では、アプリケーションの不正な利用を防止するための仕組みを保護対象のアプリケーション内に実装した例を説明したが、アプリケーションの不正な利用を防止するための処理のみを実行するアプリケーションを保護対象のアプリケーションとは別に用意してもよい。ただし、上記のように、アプリケーションの不正な利用を防止するための仕組みを保護対象のアプリケーション内に実装することによって、アプリケーションの起動を監視する負荷が軽減される。
【0058】
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。図6は、本実施形態による携帯端末1において、第2の実施形態に係る部分のみを抽出して示している。図示していない部分については、図1と同様である。
【0059】
本実施形態では、監視部16が追加されている。監視部16は作業領域W1上で動作する。監視部16の実行ファイル(プログラム)は記憶部14に格納されており、この実行ファイルが記憶部14から作業領域W1に読み込まれることで、監視部16が起動する。
【0060】
監視部16は、判定部16a、停止部16b、および実行ファイル処理部16cを有する。判定部16aは、図2に示した権限昇格コマンド判定部10b、権限設定ファイル判定部10c、通信制御ファイル判定部10d、およびアクセス権判定部10eの一部または全部と同様の判定を行う。停止部16bは、作業領域W1上で動作しているコマンド制御部13の動作を停止する。実行ファイル処理部16cは、記憶部14に格納されている実行ファイルの削除等の処理を行う。
【0061】
監視部16は、コマンド制御部13の動作の停止や実行ファイルの削除を行うため、root権限で動作する。このため、携帯端末1の出荷前の段階で、販売者の操作によって監視部16の実行ファイルにroot権限を与えるコマンド(例えばchownコマンド)が実行される。このコマンドの実行にはroot権限が必要である。
【0062】
次に、監視部16の動作を説明する。監視部16は、携帯端末1の起動と同時に起動する。起動した監視部16は、root権限を有している場合に変更することができる設定の変更の有無、または端末利用時の権限をroot権限に変更する既知の実行ファイルの存在の有無を判定する。root権限を有している場合に変更することができる設定が変更されている場合、または端末利用時の権限をroot権限に変更する既知の実行ファイルが存在する場合、停止部16bはコマンド制御部13を停止する処理を実行する。コマンド制御部13の処理が停止されると、コマンド制御部13は作業領域W1から消滅する。
【0063】
コマンド制御部13の処理が停止された後、実行ファイル処理部16cは、コマンド制御部13の実行ファイルを記憶部14から削除する。コマンド制御部13が作業領域W1上で動作している間、コマンド制御部13の実行ファイルを記憶部14から削除することはできないので、コマンド制御部13の停止後にその実行ファイルが削除される。
【0064】
上記では、コマンド制御部13の実行ファイルを記憶部14から削除しているが、コマンド制御部13の実行ファイルを、その実行ファイルと同一のファイル名を有し、コマンド制御部13が実行する処理とは異なる処理を行う偽(ダミー)の実行ファイルに置き換えてもよい。この場合、偽の実行ファイルはコマンド制御部13の実行ファイルが格納されていたディレクトリと同一のディレクトリに格納される。また、コマンド制御部13の実行ファイルは、削除される、またはファイル名が変更される、または別のディレクトリに移動される。
【0065】
上記では、アプリケーションとは別に監視部16を設けているが、監視対象のアプリケーションが監視部16と同様の処理を行ってもよい。また、第1の実施形態で説明した方法によりアプリケーションを停止すると共にコマンド制御部13を停止してもよい。
【0066】
上述したように、本実施形態によれば、root権限を有している場合に変更することができる設定が変更されている場合、または端末利用時の権限をroot権限に変更する既知の実行ファイルが存在する場合にコマンド制御部13が停止するので、ユーザは制御装置2から携帯端末1を制御することができなくなる。これによって、アプリケーションの不正な利用を防止することができる。
【0067】
また、コマンド制御部13の停止後、コマンド制御部13の実行ファイルを記憶部14から削除したり、コマンド制御部13の実行ファイルを偽の実行ファイルに置き換えたりすることによって、コマンド制御部13を再起動することができなくなる。これによって、アプリケーションの不正な利用をより確実に防止することができる。コマンド制御部13の停止やコマンド制御部13の実行ファイルの削除等を行う前に、第1の実施形態と同様に警告メッセージを表示してもよい。これによって、root権限を不正に取得したユーザに対して、自身の行為が不正な行為であることの自覚を促すことができる。
【0068】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるアプリケーション10や監視部16の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムを携帯端末1のコンピュータに読み込ませ、実行させてもよい。
【0069】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0070】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0071】
1・・・携帯端末、2・・・制御装置、3・・・USBケーブル、10・・・アプリケーション、10a・・・アプリケーション処理部、10b権限昇格コマンド判定部、10c・・・権限設定ファイル判定部、10d・・・通信制御ファイル判定部、10e・・・アクセス権判定部、10f・・・権限取得実行ファイル判定部、10g・・・アプリケーション制御部、12・・・OS,21、13,20・・・コマンド制御部、14,22・・・記憶部、15,24・・・表示部、16・・・監視部、16a・・・判定部、16b・・・停止部、16c・・・実行ファイル処理部、23・・・操作部、W1,W2・・・作業領域
【特許請求の範囲】
【請求項1】
アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、
端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、
前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、
を備えることを特徴とする携帯端末。
【請求項2】
前記判定部は、前記権限を変更するコマンドが端末に設定されているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項3】
前記判定部は、端末利用時の前記権限を設定するファイルに前記最高権限の設定がなされているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項4】
前記判定部は、前記最高権限を有している場合に変更することができる通信制御用の設定が変更されているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項5】
前記判定部は、前記最高権限を有している場合に変更することができるアクセス権限であって、ファイルを記憶する記憶部中の特定の領域に設定される読み出しまたは書き込みのアクセス権限が変更されているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項6】
端末内の機能の利用や設定の変更に係る権限を最高権限に変更する既知の実行ファイルが端末内に存在するか否かを判定する実行ファイル判定部をさらに備え、
前記停止部は、前記設定がなされている、または前記実行ファイルが端末内に存在する場合に、前記アプリケーション処理部を停止する
ことを特徴とする請求項1〜請求項5のいずれか一項に記載の携帯端末。
【請求項7】
端末の外部から実行制御用のコマンド情報を受信して端末内のOSに前記コマンド情報を通知するコマンド制御部をさらに備え、
前記停止部はさらに、前記設定がなされていると判定された場合に、前記コマンド制御部を停止する
ことを特徴とする請求項1〜請求項6のいずれか一項に記載の携帯端末。
【請求項8】
前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、
前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを削除する
ことを特徴とする請求項7に記載の携帯端末。
【請求項9】
前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、
前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを、当該実行ファイルが実行する処理とは異なる処理を実行する他の実行ファイルに置き換える
ことを特徴とする請求項7に記載の携帯端末。
【請求項10】
前記設定がなされていると判定された場合に警告を表示する表示部をさらに備えることを特徴とする請求項1〜請求項9のいずれか一項に記載の携帯端末。
【請求項11】
アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、
端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、
前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、
として携帯端末のコンピュータを機能させるためのプログラム。
【請求項1】
アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、
端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、
前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、
を備えることを特徴とする携帯端末。
【請求項2】
前記判定部は、前記権限を変更するコマンドが端末に設定されているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項3】
前記判定部は、端末利用時の前記権限を設定するファイルに前記最高権限の設定がなされているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項4】
前記判定部は、前記最高権限を有している場合に変更することができる通信制御用の設定が変更されているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項5】
前記判定部は、前記最高権限を有している場合に変更することができるアクセス権限であって、ファイルを記憶する記憶部中の特定の領域に設定される読み出しまたは書き込みのアクセス権限が変更されているか否かを判定することを特徴とする請求項1に記載の携帯端末。
【請求項6】
端末内の機能の利用や設定の変更に係る権限を最高権限に変更する既知の実行ファイルが端末内に存在するか否かを判定する実行ファイル判定部をさらに備え、
前記停止部は、前記設定がなされている、または前記実行ファイルが端末内に存在する場合に、前記アプリケーション処理部を停止する
ことを特徴とする請求項1〜請求項5のいずれか一項に記載の携帯端末。
【請求項7】
端末の外部から実行制御用のコマンド情報を受信して端末内のOSに前記コマンド情報を通知するコマンド制御部をさらに備え、
前記停止部はさらに、前記設定がなされていると判定された場合に、前記コマンド制御部を停止する
ことを特徴とする請求項1〜請求項6のいずれか一項に記載の携帯端末。
【請求項8】
前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、
前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを削除する
ことを特徴とする請求項7に記載の携帯端末。
【請求項9】
前記コマンド制御部の実行ファイルを記憶する記憶部をさらに備え、
前記停止部はさらに、前記コマンド制御部の停止後、前記実行ファイルを、当該実行ファイルが実行する処理とは異なる処理を実行する他の実行ファイルに置き換える
ことを特徴とする請求項7に記載の携帯端末。
【請求項10】
前記設定がなされていると判定された場合に警告を表示する表示部をさらに備えることを特徴とする請求項1〜請求項9のいずれか一項に記載の携帯端末。
【請求項11】
アプリケーションの処理として規定された処理を実行するアプリケーション処理部と、
端末内の機能の利用や設定の変更に係る権限として最高権限を有している場合に変更することができる設定の変更の有無を判定する判定部と、
前記変更がなされていると判定された場合に、前記アプリケーション処理部を停止する停止部と、
として携帯端末のコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−3488(P2012−3488A)
【公開日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願番号】特願2010−137450(P2010−137450)
【出願日】平成22年6月16日(2010.6.16)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願日】平成22年6月16日(2010.6.16)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]