画像形成装置
【課題】画像形成装置において、操作部経由のDoS攻撃を防御して、装置が使用不能になる危険をなくす。
【解決手段】ネットワークに接続された画像形成装置1の操作部またはネットワーク経由で入力された認証要求によりユーザの識別を行う。ユーザ認証に対するDoS攻撃を検出すると、認証要求入力経路ごとに攻撃を防御する。操作部経由のDoS攻撃に対応して、操作部での認証受付率を通常状態よりも低くする。ネットワーク経由のDoS攻撃に対応して、ネットワーク経由での認証受付率を通常状態よりも低くする。攻撃が止んだら通常動作状態に戻す。認証要求入力経路の情報を含めて、攻撃履歴を記録するとともに管理者に通知する。DoS攻撃を受けていることを、他方の入力経路の操作画面にも表示する。
【解決手段】ネットワークに接続された画像形成装置1の操作部またはネットワーク経由で入力された認証要求によりユーザの識別を行う。ユーザ認証に対するDoS攻撃を検出すると、認証要求入力経路ごとに攻撃を防御する。操作部経由のDoS攻撃に対応して、操作部での認証受付率を通常状態よりも低くする。ネットワーク経由のDoS攻撃に対応して、ネットワーク経由での認証受付率を通常状態よりも低くする。攻撃が止んだら通常動作状態に戻す。認証要求入力経路の情報を含めて、攻撃履歴を記録するとともに管理者に通知する。DoS攻撃を受けていることを、他方の入力経路の操作画面にも表示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像形成装置に関し、特に、操作部から大量の認証要求が入力されるDoS攻撃を防御できる画像形成装置に関する。
【背景技術】
【0002】
機器に対して大量のアクセスを行って、機器を利用できなくするというDoS攻撃がある。このような攻撃を防御する方法として、通信経路における攻撃を検出して、通信経路をクローズするような方法がある。また、攻撃元のIPアドレスからの受付けを拒否するという防御方法もある。以下に、これに関連する従来技術の例をいくつかあげる。
【0003】
特許文献1に開示された「画像形成装置」は、パスワードとともに保存された画像データへのアクセス要求に対し、正常な入力状態でのパスワード再入力を許すとともに、異常なパスワード入力状態を検出して、不正アクセスを防止することが可能な画像形成装置である。TCP/IPプロトコルを使用して通信が行われるネットワークに接続された画像形成装置内にパスワードとともに保存された画像データに対して、ネットワークに接続された情報処理装置からアクセスが行われる場合、保存されたパスワードと同一のパスワードが情報処理装置から入力されると画像データへのアクセスを許可する画像形成装置において、パスワードを含む入力信号から情報処理装置を特定する装置情報を抽出し、同一の装置情報を有する情報処理装置から連続して、所定の単位時間内に所定回数を超えるパスワードの入力が行われた場合、その情報処理装置からのアクセスを拒否する。
【0004】
特許文献2に開示された「印刷装置」は、ネットワーク経由のアタックに対して安全性が高く、且つ管理者の負担を軽減させることが可能な印刷装置である。IPアドレスで構成されるアドレス帳を参照することによって、特定のIPアドレスを持つ装置との通信を許可/禁止することが可能な印刷装置において、印刷装置自身がネットワーク攻撃を検知することが可能な手段と、印刷装置が攻撃されていると検知された場合、攻撃元のIPアドレスからの通信を遮断する手段と、攻撃元のIPアドレスをアドレス帳に追加する手段と、攻撃元のIPアドレスを他のデバイスに通知する手段と、通知を受信した場合、受信したデータに含まれるIPアドレスとの通信を遮断する手段を備える。
【0005】
特許文献3に開示された「通信方法」は、IPsecのトランスポートモードによるセキュリティ維持をしつつ、Firewallの内部及び外側にあるコンピュータの間で、容易にend-to-end通信を実現するものである。ファイアウォール越しの通信の目的ごとに、IPsec通信に必要な諸元を抽象化した許可情報を出力する。許可情報から、通信に用いる許可情報を選択する。選択された許可情報で、ファイアウォール越しの通信を許可するか拒否するか選択する。許可された場合、ファイアウォール越しの通信を禁止していたファィアウォールを、通信可能な状態に設定する。ファイアウォール越しの通信をする通信端末にIPsecの設定をする。通信端末がファイアウォール越しの通信をする。
【特許文献1】特開2005-150906号公報
【特許文献2】特開2005-193590号公報
【特許文献3】特開2006-020266号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、従来のDoS攻撃の防御方法には、次のような問題がある。通信経路からのDoS攻撃に対処するのみであるので、操作部からの入力によるDoS攻撃については防御できない。当然、DoS攻撃に対して通信経路と操作部を別々に管理することもできない。操作部からは手入力でしか入力できない装置の場合には、大量の認証コマンド入力による攻撃は想定されないが、ICカードリーダを操作部にUSB接続して認証する機能を備えた装置では、そこから大量の認証要求コマンドを入力するような攻撃も可能になっているので、操作部からの入力によるDoS攻撃を防御しないと、装置が使用不能になる危険がある。
【0007】
本発明の目的は、上記従来の問題を解決して、画像形成装置において、操作部からの入力によるDoS攻撃を防御して、装置が使用不能になる危険をなくすことである。特に、ICカードリーダ用のUSB端子から大量の認証要求コマンドを入力するような攻撃を防御することである。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、本発明では、ユーザ認証に応じて使用を許可する画像形成装置に、操作部から入力された認証要求に基づいてユーザの識別を行う手段と、ネットワーク経由で入力された認証要求に基づいてユーザの識別を行う手段と、操作部経由の認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する手段と、ネットワーク経由の認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する手段と、操作部経由の攻撃検出に応じて操作部経由の攻撃を防御する手段と、ネットワーク経由の攻撃検出に応じてネットワーク経由の攻撃を防御する手段とを備える構成とした。
【発明の効果】
【0009】
上記のように構成したことにより、画像形成装置の操作部から大量の認証要求が入力されるDoS攻撃を防御して、画像形成装置が使用不能になる危険をなくすことができる。認証経路を操作部経由と通信路経由に分けることにより、攻撃を受けていない認証経路に影響が及ばないようになり、通信経路側でDoS攻撃を受けている場合でも、操作部からは通常と同じように操作できる。
【発明を実施するための最良の形態】
【0010】
以下、本発明を実施するための最良の形態について、図1〜図13を参照しながら詳細に説明する。
【実施例】
【0011】
本発明の実施例は、操作部またはネットワーク経由で入力された認証要求に応じてユーザの識別を行い、ユーザ認証についてDoS攻撃を検出すると、操作部経由とネットワーク経由とに分けて攻撃を防御する画像形成装置である。
【0012】
図1は、本発明の実施例における画像形成装置が接続されたネットワークシステムを示す図である。図1において、画像形成装置1は、ネットワークに接続されたプリンタや複写機などの装置である。操作入力用の操作部と、ネットワーク接続用のインタフェース部と、原稿画像を入力する画像入力部と、原稿画像を印刷用画像に変換する画像処理部と、印刷用画像を印刷する画像印刷部と、ユーザ認証に応じて使用を許可する手段とを備えている。操作部には、ICカードを利用する認証装置を備えている。ユーザPC2は、ネットワークを介して画像形成装置に印刷などを要求する装置である。攻撃側端末3は、悪意のある者がネットワークや操作部を介してDoS攻撃を行うことが可能な端末装置である。ネットワーク4は、LANやインターネットなどである。
【0013】
図2は、画像形成装置のソフトウエア構成を示す図である。図3は、攻撃検出の手順を示す流れ図である。図4は、攻撃解除検出の手順を示す流れ図である。図5は、認証制御の手順を示す流れ図である。図6は、ネットワークの通信経路における攻撃を検出した場合の履歴を示す表である。図7は、操作部における攻撃を検出した場合の履歴を示す表である。図8は、操作部からの攻撃を検出した場合のメール通信内容を示す図である。図9は、攻撃検出時の表示を示す図である。図10は、ネットワークの通信経路における攻撃を検出した場合のコマンド手順を示す流れ図である。図11は、操作部における攻撃を検出した場合のコマンド手順を示す流れ図である。図12は、攻撃検出の閾値の設定画面を示す図である。図13は、攻撃検出の閾値の設定手順を示す流れ図である。
【0014】
上記のように構成された本発明の実施例における画像形成装置の機能と動作を説明する。最初に、図1を参照しながら、画像形成装置の機能の概略を説明する。画像形成装置1には、ネットワーク4を介して、ユーザPC2が接続されている。ネットワーク4には、攻撃側端末3も接続されている。画像形成装置1の操作部には、認証用のICカードを読み取るICカードリーダが、USBインタフェースで接続されている。USB以外の同様なインタフェースでもよい。USBインタフェースには、ICカードリーダの代わりに攻撃側端末3を接続できる。攻撃側端末3は、必ずしもネットワーク4と操作部の双方に接続されるわけではない。また、必ずしも各経路に1台の攻撃側端末3が接続されるというわけでもなく、複数の攻撃側端末3が接続される場合もある。悪意ある者により攻撃側端末3が接続された場合を示しているが、悪意ある者がいない場合には、攻撃側端末3は接続されていない。
【0015】
通常の動作状態では、操作部経由で入力される認証要求も、ネットワーク4経由で入力される認証要求も、すべて受け付けて認証処理を行い、正しいユーザであると識別できれば、画像形成装置1の使用を許可する。認証要求が異常に増えると、DoS攻撃と判断して認証要求の受付けを制限する。しかし、攻撃を受けた認証要求入力経路のみで認証要求の受付けを制限するので、攻撃を受けていない入力経路では、通常通り認証要求を受け付けて複写や印刷を行うことができる。すなわち、操作部から入力された認証要求の頻度に基づいて、ユーザ認証に対する攻撃を検出すると、操作部経由の認証要求の受付率を低くする。ネットワーク経由で入力された認証要求の頻度に基づいて、ユーザ認証に対する攻撃を検出すると、ネットワーク経由の認証要求の受付率を低くする。このようにして、画像形成装置の使用を許可するためのユーザ認証に対する攻撃を防御する。このDoS攻撃防御方法は、画像形成装置以外でも、操作部を持つ情報処理装置や電子機器などの他の同様な機器にも適用できる。
【0016】
次に、図2を参照しながら、画像形成装置のソフトウエア構成を説明する。画像形成装置にはOSが搭載されている。OSの上には、各種の制御プログラムがある。メモリ制御プログラムは、画像やユーザ情報や制御データをHDDやメモリへ格納する処理を管理する。エンジン制御プログラム(エンジン制御部または単にエンジン制御という)は、スキャナとプロッタを管理する。通信制御プログラム(通信制御部または単に通信制御という)は、ネットワークの制御を行う。それらの上層にあるログ制御プログラム(ログ制御部または単にログ制御という)は、操作やアクセスや機器の状態変化を記録する。ユーザ情報制御プログラム(ユーザ情報制御部または単にユーザ情報制御という)は、宛先情報等のアドレス帳等の情報を制御する。メール制御プログラム(メール制御部または単にメール制御という)は、管理者への機器状態の変化等を通知する。
【0017】
更にその上層には、アプリケーション層がある。各アプリケーションプログラムは、コピーとスキャナとプリンタとFAXの各機能を果たす。また、アプリケーション層やその下の層やシステム全体の状態を管理するシステム制御プログラム(システム制御部または単にシステム制御という)がある。さらに、アプリケーションやシステムの画面を制御する画面制御プログラム(画面制御部または単に画面制御という)もある。OSの下層には、HDDやプロッタやスキャナや操作部やICカードやネットワークなどのデバイスがある。
【0018】
認証制御プログラム(認証制御部または単に認証制御という)は、画像形成装置の利用者を認識する。認証制御部のうちの操作部経由の認証要求を処理する部分(第1認証手段)で、操作部から入力された認証要求に基づいてユーザの識別を行う。認証制御部のうちのネットワーク経由の認証要求を処理する部分(第2認証手段)で、ネットワーク経由で入力された認証要求に基づいてユーザの識別を行う。認証制御プログラムの中には、操作部経由の攻撃を検出する操作部攻撃検出プログラム(第1攻撃検出手段)と、ネットワーク経由の攻撃を検出する通信攻撃検出プログラム(第2攻撃検出手段)があり、それぞれの経路ごとに攻撃の検出を行う。すなわち、第1攻撃検出手段で、第1認証手段への認証要求入力の頻度に基づいて、ユーザ認証に対する攻撃の開始と終結を検出する。第2攻撃検出手段で、第2認証手段への認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する。
【0019】
攻撃を検出すると、それぞれの経路ごとに認証要求の受付率の制御を行い、攻撃が止んだことを検出すると防御状態の解除処理を行う。第1攻撃検出手段による攻撃検出に応じて、認証制御部のうちの操作部経由の攻撃を防御する部分(第1攻撃防御手段)で、操作部経由の攻撃を防御する。第1攻撃防御手段は、攻撃検出に応じて第1認証手段を通常動作状態から攻撃防御状態に切り替えるとともに、攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す。第2攻撃検出手段による攻撃検出に応じて、認証制御部のうちのネットワーク経由の攻撃を防御する部分(第2攻撃防御手段)で、ネットワーク経由の攻撃を防御する。第2攻撃防御手段は、攻撃検出に応じて第2認証手段を通常動作状態から攻撃防御状態に切り替えるとともに、攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す。
【0020】
第1認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに、攻撃終結検出に応じて通常動作状態の受付率に戻す。第2認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに、攻撃終結検出に応じて通常動作状態の受付率に戻す。攻撃検出に応じて認証要求入力経路の情報を含めて攻撃履歴を記録し管理者に通知する。操作部画面とネットワーク端末の操作画面に攻撃検出を表示させる。第1認証手段または第2認証手段で、攻撃検出閾値の変更権限を持つ管理者を認証して、管理者の操作により、第1攻撃防御手段または第2攻撃防御手段の攻撃検出の閾値を変更することができる。
【0021】
次に、図3を参照しながら、攻撃検出の手順を説明する。この手順は、認証要求毎に、認証の前段で実行される。ステップ1で、認証要求の有無を調べる。認証要求があった場合には、ステップ2で、DoS攻撃カウンタをカウントアップする。DoS攻撃カウンタは、認証要求を計数するカウンタである。ステップ3で、現在、DoS攻撃状態であるかどうか調べる。既にDoS攻撃状態であれば、そのまま終了する。DoS攻撃状態でない場合は、ステップ4で、DoS攻撃閾値と比較する。DoS攻撃閾値は、DoS攻撃の有無を判定する基準値である。DoS攻撃カウンタの値がDoS攻撃閾値以下であれば、そのまま終了する。DoS攻撃カウンタの値がDoS攻撃閾値を超えていれば、ステップ5で、『DoS攻撃状態』に設定し、ステップ6で、攻撃を受けている旨の表示を行い、ステップ7で、攻撃履歴を記録し、ステップ8で、攻撃を受けている旨のメール通知を管理者に対して行う。
【0022】
次に、図4を参照しながら、攻撃が停止されたことを検出する手順を説明する。この手順は、所定の時間間隔(例えば1分)で実行される。ステップ11で、所定時間が経過したかどうか調べる。所定時間が経過すると、ステップ12で、DoS攻撃カウンタの値がDoS攻撃終結値以下かどうかを調べる。DoS攻撃終結値は、DoS攻撃が停止されたか否かを判定する基準値である。DoS攻撃カウンタの値がDoS攻撃終結値より大きければ、ステップ18で、DoS攻撃カウンタをリセットして終了する。DoS攻撃カウンタの値がDoS攻撃終結値以下であった場合には、ステップ13で、現在が『DoS攻撃状態』かどうかを判定する。『DoS攻撃状態』でなければ、ステップ18で、DoS攻撃カウンタをリセットして終了する。すでに『DoS攻撃状態』の場合には、ステップ14で、『DoS攻撃状態』の設定を解除し、ステップ15で、DoS攻撃表示の解除を指示し、ステップ16で、防御状態解除の履歴を記録し、ステップ17で、防御状態が解除されたことを管理者に対して通知する。なお、図3と図4に関して、操作部経由の攻撃に対応する処理と、ネットワーク経由の攻撃に対応する処理は、共に同じ手順となる。ただし、DoS攻撃閾値とDoS攻撃終結値は異なった値とすることができる。
【0023】
次に、図5を参照しながら、認証制御の手順を説明する。ステップ21で、認証要求があるまで待つ。認証要求を受け付けると、ステップ22で、操作部からの認証要求かどうかを判定する。操作部からであれば、ステップ23で、操作部入力が『DoS攻撃状態』であるかどうかを判定する。『DoS攻撃状態』でなければ、ステップ24で、受付率カウンタAをリセットして、ステップ25で、認証処理に移行する。受付率カウンタAは、操作部経由の認証要求を受け付ける率を制御するカウンタである。既に『DoS攻撃状態』である場合には、ステップ26で、受付率カウンタAが0であるかどうか調べる。受付率カウンタAが0である場合のみ、ステップ27で、認証処理を実行する。そうでなければ、認証処理は実行しない。認証処理の有無にかかわらず、その後、ステップ28で、受付率カウンタAをカウントアップする。ステップ29で、受付率カウンタAの値を調べる。受付率カウンタAの値が、受付率を低下させるダウン閾値Aよりも大きくなっていれば、ステップ30で、受付率カウンタAをリセットする。例えば、ダウン閾値Aが2であれば、認証受付率は1/2に低下することになる。受付率カウンタAは、図示していないが、所定の時間間隔でもリセットされる。
【0024】
ネットワーク経由の認証入力であれば、ステップ31で、ネットワークの通信経路入力が『DoS攻撃状態』であるかどうかを判定する。『DoS攻撃状態』でなければ、ステップ32で、受付率カウンタBをリセットして、ステップ33で、認証処理に移行する。受付率カウンタBは、ネットワーク経由の認証要求を受け付ける率を制御するカウンタである。既に『DoS攻撃状態』である場合には、ステップ34で、受付率カウンタBが0であるかどうか調べる。受付率カウンタBが0である場合のみ、ステップ35で、認証処理を実行する。そうでなければ、認証処理は実行しない。認証処理の有無にかかわらず、その後、ステップ36で、受付率カウンタBをカウントアップして、認証要求受付率を低下させる。ステップ37で、受付率カウンタBの値を調べる。受付率カウンタBの値が、受付率を低下させるダウン閾値Bよりも大きくなっていれば、ステップ38で、受付率カウンタBをリセットする。
【0025】
次に、図6を参照しながら、ネットワークの通信経路における攻撃を検出した場合の履歴記録を説明する。認証の1shotログインを連続させている間に、イベントNo.352で、ネットワークの通信経路のDoS攻撃が発生していることを、システムにより記録している。その最中でも、イベントNo.473〜475において、操作部からコピーが実行されたことも示している。そして、イベントNo.606において、DoS攻撃が停止されたことを示している。リモートからの実行イベントに関しては、転送されたコマンドを受け付けた時点でログアウトの状態になるので、1shotログインはあっても、ログアウトのイベントはない。
【0026】
次に、図7を参照しながら、操作部における攻撃を検出した場合の履歴記録を説明する。認証のログイン/ログアウトを連続させている間に、イベントNo.1201で、操作部上のDoS攻撃が発生していることを、システムにより記録している。その最中でも、イベントNo.1503とNo.1504において、ネットワークの通信路経由でプリントが実行されたことも示している。イベントNo.1705において、DoS攻撃が停止されたことを示している。
【0027】
次に、図8を参照しながら、操作部からの攻撃を検出した場合のメール通信内容を説明する。DoS攻撃を検出すると、攻撃を受けている旨を、メールで管理者に通知する。メールには、機器Aの操作部でDoS攻撃が発生していることと、発生日時が記載してある。ネットワーク経由での攻撃を検出した場合も、同様にしてメールで管理者に通知する。
【0028】
次に、図9を参照しながら、攻撃検出時の表示方法を説明する。画像形成装置1とネットワークで接続されているユーザPC2で、画像形成装置1のステータスを閲覧すると、機器の操作部に対してDoS攻撃が発生していることが確認できる。このとき、ネットワーク経由での認証要求入力に、操作部経由の攻撃による影響はない。同様に、画像形成装置1の操作部では、ネットワーク経由でDoS攻撃が発生していることが確認できる。このとき、コピー操作に、ネットワーク経由の攻撃による影響はない。
【0029】
次に、図10を参照しながら、通信経路における攻撃を検出した場合のコマンド手順を説明する。通信制御部が認証要求を受信すると、認証要求を認証制御部に転送する。認証処理が実行されると、認証結果をログに記録する。大量の認証コマンドが発生していることで、認証制御部がDoS攻撃を検出すると、システム制御部に通知する。システム制御部は、DoS攻撃を検出した旨のメール文を作成し、メール制御部に送る。メール制御部は、通信制御部にメール文を渡して、ネットワーク経由でメールを送信する。システム制御部は、通信経路がDoS攻撃を受けていることを、Web端末と操作部に表示するように、Web制御部と画面制御部に指示する。この例は、ネットワークがインターネットの場合であるが、LANの場合も同様である。
【0030】
同時に、システム制御部は、DoS攻撃を受けている旨の記録も生成して、ログ制御部に送る。その後、通信制御部から認証要求が来ても、認証制御部は受け付けない。しかし、何回かに1回の率で認証要求を受け付ける。また、通信経路がDoS攻撃を受けている間でも、操作部のICカードからの認証要求は受け付ける。通信経路上の認証要求入力の頻度が低下すると、認証制御部は、DoS攻撃が止んだと判断して、システム制御部に、DoS攻撃が停止されたことを通知する。システム制御部は、DoS攻撃終結をメール制御部に通知する。また、システム制御部は、DoS攻撃表示の解除を、Web制御部と操作部に指示する。同時に、システム制御部は、DoS攻撃終結の記録も生成して、ログ制御部に送る。
【0031】
次に、図11を参照しながら、操作部における攻撃を検出した場合のコマンド手順を説明する。ICカードで認証処理を要求した場合に、操作部を経由して認証制御部に認証情報が転送される。認証処理が実行されると、認証結果をログに記録する。大量の認証要求コマンドが入力されていると、認証制御部がDoS攻撃を検出して、システム制御部に通知する。システム制御部は、攻撃を受けている旨のメール文を作成して、メール制御部に送る。メール制御部は、通信制御部にメール文を渡して、ネットワーク経由でメールを発信する。また、システム制御部は、操作部がDoS攻撃を受けていることを、Web端末と操作部に表示するように、Web制御部と画面制御部に指示する。この例は、ネットワークがインターネットの場合であるが、LANの場合も同様である。
【0032】
同時に、システム制御部は、DoS攻撃を受けている旨の記録も生成して、ログ制御部に送る。その後、操作部から認証要求コマンドが来ても、認証制御部は受け付けない。しかし、何回かに1回の率で認証要求を受け付ける。操作部がDoS攻撃を受けている間でも、通信経路からの認証要求入力は受け付ける。操作部からの認証要求入力の頻度が低下すると、認証制御部はDoS攻撃が止んだことを検出し、システム制御部に、DoS攻撃が止んだことを通知する。システム制御部は、DoS攻撃終結をメール制御部に通知する。また、システム制御部は、DoS攻撃表示の解除を、Web制御部と操作部に通知する。同時に、システム制御部は、DoS攻撃終結の記録も生成して、ログ制御部に送る。
【0033】
次に、図12を参照しながら、攻撃検出のためのDoS攻撃閾値の設定画面を説明する。操作部あるいはネットワーク経由で、ユーザ認証により攻撃検出閾値の変更権限を持つ管理者であると認証されると、操作部あるいはネットワーク端末の操作画面に、攻撃検出の閾値を変更する設定画面を表示することができる。この設定画面から、操作部及び通信経路上における攻撃の検出閾値をそれぞれ設定できる。例えば、操作部の攻撃検出閾値は、50回/分と設定する。通信経路の攻撃検出閾値は、200回/分と設定する。OKボタンを押して入力値を設定値に反映させる。CANCELボタンを押すとキャンセルされる。その他のDoS攻撃終結値やダウン閾値なども同様にして設定できる。
【0034】
次に、図13を参照しながら、攻撃検出の閾値の設定手順を説明する。例として、ユーザの管理者権限をもった人だけが設定可能としているが、CE(カスタマエンジニア)であっても、同じフローである。ステップ41で、ユーザ認証により管理者か否かを調べる。管理者であれば、ステップ42で、攻撃閾値設定画面が表示されたか否かを調べる。攻撃閾値設定画面であれば、ステップ43で、攻撃検出閾値を入力する。例えば、操作部については、閾値を50回/分とし、通信経路については、閾値を200回/分とする。ステップ44で、OKボタンが押されたか否かを調べる。OKボタンが押されたら、ステップ45で、入力された値を設定値に反映させる。OKボタンが押されない場合は、ステップ46で、キャンセルボタンがされたか否かを調べる。キャンセルボタンが押されたら、ステップ42に戻る。そうでなければ終了する。このように、管理者として認証され、攻撃検出閾値画面で攻撃検出閾値を入力してOKボタンを押下すると、入力値が反映される。
【0035】
上記のように、本発明の実施例では、画像形成装置を、操作部またはネットワーク経由で入力された認証要求に応じてユーザの識別を行い、ユーザ認証についてDoS攻撃を検出すると、操作部経由とネットワーク経由とに分けて攻撃を防御する構成としたので、攻撃を受けた認証要求入力経路のみの認証要求受付率を下げることができ、攻撃を受けていない認証要求入力経路に攻撃の影響を及ぼさないようにできる。
【産業上の利用可能性】
【0036】
本発明の画像形成装置は、操作部からの大量の認証要求入力によるDoS攻撃を防御できる画像形成装置として最適である。このDoS攻撃防御方法は、他の同様な機器にも適用できる。
【図面の簡単な説明】
【0037】
【図1】本発明の実施例における画像形成装置が接続されたネットワークシステムを示す図である。
【図2】本発明の実施例における画像形成装置のソフトウエア構成を示す図である。
【図3】本発明の実施例における画像形成装置での攻撃検出の手順を示す流れ図である。
【図4】本発明の実施例における画像形成装置での攻撃終結検出の手順を示す流れ図である。
【図5】本発明の実施例における画像形成装置での認証制御の手順を示す流れ図である。
【図6】本発明の実施例における画像形成装置での通信経路における攻撃を検出した場合の履歴を示す表である。
【図7】本発明の実施例における画像形成装置での操作部における攻撃を検出した場合の履歴を示す表である。
【図8】本発明の実施例における画像形成装置での操作部からの攻撃を検出した場合のメール通信内容を示す図である。
【図9】本発明の実施例における画像形成装置での攻撃検出時の表示を示す図である。
【図10】本発明の実施例における画像形成装置での通信経路における攻撃を検出した場合のコマンド手順を示す流れ図である。
【図11】本発明の実施例における画像形成装置での操作部における攻撃を検出した場合のコマンド手順を示す流れ図である。
【図12】本発明の実施例における画像形成装置での攻撃検出の閾値の設定画面を示す図である。
【図13】本発明の実施例における画像形成装置での攻撃検出の閾値の設定手順を示す流れ図である。
【符号の説明】
【0038】
1・・・画像形成装置、2・・・ユーザPC、3・・・攻撃側端末、4・・・ネットワーク。
【技術分野】
【0001】
本発明は、画像形成装置に関し、特に、操作部から大量の認証要求が入力されるDoS攻撃を防御できる画像形成装置に関する。
【背景技術】
【0002】
機器に対して大量のアクセスを行って、機器を利用できなくするというDoS攻撃がある。このような攻撃を防御する方法として、通信経路における攻撃を検出して、通信経路をクローズするような方法がある。また、攻撃元のIPアドレスからの受付けを拒否するという防御方法もある。以下に、これに関連する従来技術の例をいくつかあげる。
【0003】
特許文献1に開示された「画像形成装置」は、パスワードとともに保存された画像データへのアクセス要求に対し、正常な入力状態でのパスワード再入力を許すとともに、異常なパスワード入力状態を検出して、不正アクセスを防止することが可能な画像形成装置である。TCP/IPプロトコルを使用して通信が行われるネットワークに接続された画像形成装置内にパスワードとともに保存された画像データに対して、ネットワークに接続された情報処理装置からアクセスが行われる場合、保存されたパスワードと同一のパスワードが情報処理装置から入力されると画像データへのアクセスを許可する画像形成装置において、パスワードを含む入力信号から情報処理装置を特定する装置情報を抽出し、同一の装置情報を有する情報処理装置から連続して、所定の単位時間内に所定回数を超えるパスワードの入力が行われた場合、その情報処理装置からのアクセスを拒否する。
【0004】
特許文献2に開示された「印刷装置」は、ネットワーク経由のアタックに対して安全性が高く、且つ管理者の負担を軽減させることが可能な印刷装置である。IPアドレスで構成されるアドレス帳を参照することによって、特定のIPアドレスを持つ装置との通信を許可/禁止することが可能な印刷装置において、印刷装置自身がネットワーク攻撃を検知することが可能な手段と、印刷装置が攻撃されていると検知された場合、攻撃元のIPアドレスからの通信を遮断する手段と、攻撃元のIPアドレスをアドレス帳に追加する手段と、攻撃元のIPアドレスを他のデバイスに通知する手段と、通知を受信した場合、受信したデータに含まれるIPアドレスとの通信を遮断する手段を備える。
【0005】
特許文献3に開示された「通信方法」は、IPsecのトランスポートモードによるセキュリティ維持をしつつ、Firewallの内部及び外側にあるコンピュータの間で、容易にend-to-end通信を実現するものである。ファイアウォール越しの通信の目的ごとに、IPsec通信に必要な諸元を抽象化した許可情報を出力する。許可情報から、通信に用いる許可情報を選択する。選択された許可情報で、ファイアウォール越しの通信を許可するか拒否するか選択する。許可された場合、ファイアウォール越しの通信を禁止していたファィアウォールを、通信可能な状態に設定する。ファイアウォール越しの通信をする通信端末にIPsecの設定をする。通信端末がファイアウォール越しの通信をする。
【特許文献1】特開2005-150906号公報
【特許文献2】特開2005-193590号公報
【特許文献3】特開2006-020266号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、従来のDoS攻撃の防御方法には、次のような問題がある。通信経路からのDoS攻撃に対処するのみであるので、操作部からの入力によるDoS攻撃については防御できない。当然、DoS攻撃に対して通信経路と操作部を別々に管理することもできない。操作部からは手入力でしか入力できない装置の場合には、大量の認証コマンド入力による攻撃は想定されないが、ICカードリーダを操作部にUSB接続して認証する機能を備えた装置では、そこから大量の認証要求コマンドを入力するような攻撃も可能になっているので、操作部からの入力によるDoS攻撃を防御しないと、装置が使用不能になる危険がある。
【0007】
本発明の目的は、上記従来の問題を解決して、画像形成装置において、操作部からの入力によるDoS攻撃を防御して、装置が使用不能になる危険をなくすことである。特に、ICカードリーダ用のUSB端子から大量の認証要求コマンドを入力するような攻撃を防御することである。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、本発明では、ユーザ認証に応じて使用を許可する画像形成装置に、操作部から入力された認証要求に基づいてユーザの識別を行う手段と、ネットワーク経由で入力された認証要求に基づいてユーザの識別を行う手段と、操作部経由の認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する手段と、ネットワーク経由の認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する手段と、操作部経由の攻撃検出に応じて操作部経由の攻撃を防御する手段と、ネットワーク経由の攻撃検出に応じてネットワーク経由の攻撃を防御する手段とを備える構成とした。
【発明の効果】
【0009】
上記のように構成したことにより、画像形成装置の操作部から大量の認証要求が入力されるDoS攻撃を防御して、画像形成装置が使用不能になる危険をなくすことができる。認証経路を操作部経由と通信路経由に分けることにより、攻撃を受けていない認証経路に影響が及ばないようになり、通信経路側でDoS攻撃を受けている場合でも、操作部からは通常と同じように操作できる。
【発明を実施するための最良の形態】
【0010】
以下、本発明を実施するための最良の形態について、図1〜図13を参照しながら詳細に説明する。
【実施例】
【0011】
本発明の実施例は、操作部またはネットワーク経由で入力された認証要求に応じてユーザの識別を行い、ユーザ認証についてDoS攻撃を検出すると、操作部経由とネットワーク経由とに分けて攻撃を防御する画像形成装置である。
【0012】
図1は、本発明の実施例における画像形成装置が接続されたネットワークシステムを示す図である。図1において、画像形成装置1は、ネットワークに接続されたプリンタや複写機などの装置である。操作入力用の操作部と、ネットワーク接続用のインタフェース部と、原稿画像を入力する画像入力部と、原稿画像を印刷用画像に変換する画像処理部と、印刷用画像を印刷する画像印刷部と、ユーザ認証に応じて使用を許可する手段とを備えている。操作部には、ICカードを利用する認証装置を備えている。ユーザPC2は、ネットワークを介して画像形成装置に印刷などを要求する装置である。攻撃側端末3は、悪意のある者がネットワークや操作部を介してDoS攻撃を行うことが可能な端末装置である。ネットワーク4は、LANやインターネットなどである。
【0013】
図2は、画像形成装置のソフトウエア構成を示す図である。図3は、攻撃検出の手順を示す流れ図である。図4は、攻撃解除検出の手順を示す流れ図である。図5は、認証制御の手順を示す流れ図である。図6は、ネットワークの通信経路における攻撃を検出した場合の履歴を示す表である。図7は、操作部における攻撃を検出した場合の履歴を示す表である。図8は、操作部からの攻撃を検出した場合のメール通信内容を示す図である。図9は、攻撃検出時の表示を示す図である。図10は、ネットワークの通信経路における攻撃を検出した場合のコマンド手順を示す流れ図である。図11は、操作部における攻撃を検出した場合のコマンド手順を示す流れ図である。図12は、攻撃検出の閾値の設定画面を示す図である。図13は、攻撃検出の閾値の設定手順を示す流れ図である。
【0014】
上記のように構成された本発明の実施例における画像形成装置の機能と動作を説明する。最初に、図1を参照しながら、画像形成装置の機能の概略を説明する。画像形成装置1には、ネットワーク4を介して、ユーザPC2が接続されている。ネットワーク4には、攻撃側端末3も接続されている。画像形成装置1の操作部には、認証用のICカードを読み取るICカードリーダが、USBインタフェースで接続されている。USB以外の同様なインタフェースでもよい。USBインタフェースには、ICカードリーダの代わりに攻撃側端末3を接続できる。攻撃側端末3は、必ずしもネットワーク4と操作部の双方に接続されるわけではない。また、必ずしも各経路に1台の攻撃側端末3が接続されるというわけでもなく、複数の攻撃側端末3が接続される場合もある。悪意ある者により攻撃側端末3が接続された場合を示しているが、悪意ある者がいない場合には、攻撃側端末3は接続されていない。
【0015】
通常の動作状態では、操作部経由で入力される認証要求も、ネットワーク4経由で入力される認証要求も、すべて受け付けて認証処理を行い、正しいユーザであると識別できれば、画像形成装置1の使用を許可する。認証要求が異常に増えると、DoS攻撃と判断して認証要求の受付けを制限する。しかし、攻撃を受けた認証要求入力経路のみで認証要求の受付けを制限するので、攻撃を受けていない入力経路では、通常通り認証要求を受け付けて複写や印刷を行うことができる。すなわち、操作部から入力された認証要求の頻度に基づいて、ユーザ認証に対する攻撃を検出すると、操作部経由の認証要求の受付率を低くする。ネットワーク経由で入力された認証要求の頻度に基づいて、ユーザ認証に対する攻撃を検出すると、ネットワーク経由の認証要求の受付率を低くする。このようにして、画像形成装置の使用を許可するためのユーザ認証に対する攻撃を防御する。このDoS攻撃防御方法は、画像形成装置以外でも、操作部を持つ情報処理装置や電子機器などの他の同様な機器にも適用できる。
【0016】
次に、図2を参照しながら、画像形成装置のソフトウエア構成を説明する。画像形成装置にはOSが搭載されている。OSの上には、各種の制御プログラムがある。メモリ制御プログラムは、画像やユーザ情報や制御データをHDDやメモリへ格納する処理を管理する。エンジン制御プログラム(エンジン制御部または単にエンジン制御という)は、スキャナとプロッタを管理する。通信制御プログラム(通信制御部または単に通信制御という)は、ネットワークの制御を行う。それらの上層にあるログ制御プログラム(ログ制御部または単にログ制御という)は、操作やアクセスや機器の状態変化を記録する。ユーザ情報制御プログラム(ユーザ情報制御部または単にユーザ情報制御という)は、宛先情報等のアドレス帳等の情報を制御する。メール制御プログラム(メール制御部または単にメール制御という)は、管理者への機器状態の変化等を通知する。
【0017】
更にその上層には、アプリケーション層がある。各アプリケーションプログラムは、コピーとスキャナとプリンタとFAXの各機能を果たす。また、アプリケーション層やその下の層やシステム全体の状態を管理するシステム制御プログラム(システム制御部または単にシステム制御という)がある。さらに、アプリケーションやシステムの画面を制御する画面制御プログラム(画面制御部または単に画面制御という)もある。OSの下層には、HDDやプロッタやスキャナや操作部やICカードやネットワークなどのデバイスがある。
【0018】
認証制御プログラム(認証制御部または単に認証制御という)は、画像形成装置の利用者を認識する。認証制御部のうちの操作部経由の認証要求を処理する部分(第1認証手段)で、操作部から入力された認証要求に基づいてユーザの識別を行う。認証制御部のうちのネットワーク経由の認証要求を処理する部分(第2認証手段)で、ネットワーク経由で入力された認証要求に基づいてユーザの識別を行う。認証制御プログラムの中には、操作部経由の攻撃を検出する操作部攻撃検出プログラム(第1攻撃検出手段)と、ネットワーク経由の攻撃を検出する通信攻撃検出プログラム(第2攻撃検出手段)があり、それぞれの経路ごとに攻撃の検出を行う。すなわち、第1攻撃検出手段で、第1認証手段への認証要求入力の頻度に基づいて、ユーザ認証に対する攻撃の開始と終結を検出する。第2攻撃検出手段で、第2認証手段への認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する。
【0019】
攻撃を検出すると、それぞれの経路ごとに認証要求の受付率の制御を行い、攻撃が止んだことを検出すると防御状態の解除処理を行う。第1攻撃検出手段による攻撃検出に応じて、認証制御部のうちの操作部経由の攻撃を防御する部分(第1攻撃防御手段)で、操作部経由の攻撃を防御する。第1攻撃防御手段は、攻撃検出に応じて第1認証手段を通常動作状態から攻撃防御状態に切り替えるとともに、攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す。第2攻撃検出手段による攻撃検出に応じて、認証制御部のうちのネットワーク経由の攻撃を防御する部分(第2攻撃防御手段)で、ネットワーク経由の攻撃を防御する。第2攻撃防御手段は、攻撃検出に応じて第2認証手段を通常動作状態から攻撃防御状態に切り替えるとともに、攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す。
【0020】
第1認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに、攻撃終結検出に応じて通常動作状態の受付率に戻す。第2認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに、攻撃終結検出に応じて通常動作状態の受付率に戻す。攻撃検出に応じて認証要求入力経路の情報を含めて攻撃履歴を記録し管理者に通知する。操作部画面とネットワーク端末の操作画面に攻撃検出を表示させる。第1認証手段または第2認証手段で、攻撃検出閾値の変更権限を持つ管理者を認証して、管理者の操作により、第1攻撃防御手段または第2攻撃防御手段の攻撃検出の閾値を変更することができる。
【0021】
次に、図3を参照しながら、攻撃検出の手順を説明する。この手順は、認証要求毎に、認証の前段で実行される。ステップ1で、認証要求の有無を調べる。認証要求があった場合には、ステップ2で、DoS攻撃カウンタをカウントアップする。DoS攻撃カウンタは、認証要求を計数するカウンタである。ステップ3で、現在、DoS攻撃状態であるかどうか調べる。既にDoS攻撃状態であれば、そのまま終了する。DoS攻撃状態でない場合は、ステップ4で、DoS攻撃閾値と比較する。DoS攻撃閾値は、DoS攻撃の有無を判定する基準値である。DoS攻撃カウンタの値がDoS攻撃閾値以下であれば、そのまま終了する。DoS攻撃カウンタの値がDoS攻撃閾値を超えていれば、ステップ5で、『DoS攻撃状態』に設定し、ステップ6で、攻撃を受けている旨の表示を行い、ステップ7で、攻撃履歴を記録し、ステップ8で、攻撃を受けている旨のメール通知を管理者に対して行う。
【0022】
次に、図4を参照しながら、攻撃が停止されたことを検出する手順を説明する。この手順は、所定の時間間隔(例えば1分)で実行される。ステップ11で、所定時間が経過したかどうか調べる。所定時間が経過すると、ステップ12で、DoS攻撃カウンタの値がDoS攻撃終結値以下かどうかを調べる。DoS攻撃終結値は、DoS攻撃が停止されたか否かを判定する基準値である。DoS攻撃カウンタの値がDoS攻撃終結値より大きければ、ステップ18で、DoS攻撃カウンタをリセットして終了する。DoS攻撃カウンタの値がDoS攻撃終結値以下であった場合には、ステップ13で、現在が『DoS攻撃状態』かどうかを判定する。『DoS攻撃状態』でなければ、ステップ18で、DoS攻撃カウンタをリセットして終了する。すでに『DoS攻撃状態』の場合には、ステップ14で、『DoS攻撃状態』の設定を解除し、ステップ15で、DoS攻撃表示の解除を指示し、ステップ16で、防御状態解除の履歴を記録し、ステップ17で、防御状態が解除されたことを管理者に対して通知する。なお、図3と図4に関して、操作部経由の攻撃に対応する処理と、ネットワーク経由の攻撃に対応する処理は、共に同じ手順となる。ただし、DoS攻撃閾値とDoS攻撃終結値は異なった値とすることができる。
【0023】
次に、図5を参照しながら、認証制御の手順を説明する。ステップ21で、認証要求があるまで待つ。認証要求を受け付けると、ステップ22で、操作部からの認証要求かどうかを判定する。操作部からであれば、ステップ23で、操作部入力が『DoS攻撃状態』であるかどうかを判定する。『DoS攻撃状態』でなければ、ステップ24で、受付率カウンタAをリセットして、ステップ25で、認証処理に移行する。受付率カウンタAは、操作部経由の認証要求を受け付ける率を制御するカウンタである。既に『DoS攻撃状態』である場合には、ステップ26で、受付率カウンタAが0であるかどうか調べる。受付率カウンタAが0である場合のみ、ステップ27で、認証処理を実行する。そうでなければ、認証処理は実行しない。認証処理の有無にかかわらず、その後、ステップ28で、受付率カウンタAをカウントアップする。ステップ29で、受付率カウンタAの値を調べる。受付率カウンタAの値が、受付率を低下させるダウン閾値Aよりも大きくなっていれば、ステップ30で、受付率カウンタAをリセットする。例えば、ダウン閾値Aが2であれば、認証受付率は1/2に低下することになる。受付率カウンタAは、図示していないが、所定の時間間隔でもリセットされる。
【0024】
ネットワーク経由の認証入力であれば、ステップ31で、ネットワークの通信経路入力が『DoS攻撃状態』であるかどうかを判定する。『DoS攻撃状態』でなければ、ステップ32で、受付率カウンタBをリセットして、ステップ33で、認証処理に移行する。受付率カウンタBは、ネットワーク経由の認証要求を受け付ける率を制御するカウンタである。既に『DoS攻撃状態』である場合には、ステップ34で、受付率カウンタBが0であるかどうか調べる。受付率カウンタBが0である場合のみ、ステップ35で、認証処理を実行する。そうでなければ、認証処理は実行しない。認証処理の有無にかかわらず、その後、ステップ36で、受付率カウンタBをカウントアップして、認証要求受付率を低下させる。ステップ37で、受付率カウンタBの値を調べる。受付率カウンタBの値が、受付率を低下させるダウン閾値Bよりも大きくなっていれば、ステップ38で、受付率カウンタBをリセットする。
【0025】
次に、図6を参照しながら、ネットワークの通信経路における攻撃を検出した場合の履歴記録を説明する。認証の1shotログインを連続させている間に、イベントNo.352で、ネットワークの通信経路のDoS攻撃が発生していることを、システムにより記録している。その最中でも、イベントNo.473〜475において、操作部からコピーが実行されたことも示している。そして、イベントNo.606において、DoS攻撃が停止されたことを示している。リモートからの実行イベントに関しては、転送されたコマンドを受け付けた時点でログアウトの状態になるので、1shotログインはあっても、ログアウトのイベントはない。
【0026】
次に、図7を参照しながら、操作部における攻撃を検出した場合の履歴記録を説明する。認証のログイン/ログアウトを連続させている間に、イベントNo.1201で、操作部上のDoS攻撃が発生していることを、システムにより記録している。その最中でも、イベントNo.1503とNo.1504において、ネットワークの通信路経由でプリントが実行されたことも示している。イベントNo.1705において、DoS攻撃が停止されたことを示している。
【0027】
次に、図8を参照しながら、操作部からの攻撃を検出した場合のメール通信内容を説明する。DoS攻撃を検出すると、攻撃を受けている旨を、メールで管理者に通知する。メールには、機器Aの操作部でDoS攻撃が発生していることと、発生日時が記載してある。ネットワーク経由での攻撃を検出した場合も、同様にしてメールで管理者に通知する。
【0028】
次に、図9を参照しながら、攻撃検出時の表示方法を説明する。画像形成装置1とネットワークで接続されているユーザPC2で、画像形成装置1のステータスを閲覧すると、機器の操作部に対してDoS攻撃が発生していることが確認できる。このとき、ネットワーク経由での認証要求入力に、操作部経由の攻撃による影響はない。同様に、画像形成装置1の操作部では、ネットワーク経由でDoS攻撃が発生していることが確認できる。このとき、コピー操作に、ネットワーク経由の攻撃による影響はない。
【0029】
次に、図10を参照しながら、通信経路における攻撃を検出した場合のコマンド手順を説明する。通信制御部が認証要求を受信すると、認証要求を認証制御部に転送する。認証処理が実行されると、認証結果をログに記録する。大量の認証コマンドが発生していることで、認証制御部がDoS攻撃を検出すると、システム制御部に通知する。システム制御部は、DoS攻撃を検出した旨のメール文を作成し、メール制御部に送る。メール制御部は、通信制御部にメール文を渡して、ネットワーク経由でメールを送信する。システム制御部は、通信経路がDoS攻撃を受けていることを、Web端末と操作部に表示するように、Web制御部と画面制御部に指示する。この例は、ネットワークがインターネットの場合であるが、LANの場合も同様である。
【0030】
同時に、システム制御部は、DoS攻撃を受けている旨の記録も生成して、ログ制御部に送る。その後、通信制御部から認証要求が来ても、認証制御部は受け付けない。しかし、何回かに1回の率で認証要求を受け付ける。また、通信経路がDoS攻撃を受けている間でも、操作部のICカードからの認証要求は受け付ける。通信経路上の認証要求入力の頻度が低下すると、認証制御部は、DoS攻撃が止んだと判断して、システム制御部に、DoS攻撃が停止されたことを通知する。システム制御部は、DoS攻撃終結をメール制御部に通知する。また、システム制御部は、DoS攻撃表示の解除を、Web制御部と操作部に指示する。同時に、システム制御部は、DoS攻撃終結の記録も生成して、ログ制御部に送る。
【0031】
次に、図11を参照しながら、操作部における攻撃を検出した場合のコマンド手順を説明する。ICカードで認証処理を要求した場合に、操作部を経由して認証制御部に認証情報が転送される。認証処理が実行されると、認証結果をログに記録する。大量の認証要求コマンドが入力されていると、認証制御部がDoS攻撃を検出して、システム制御部に通知する。システム制御部は、攻撃を受けている旨のメール文を作成して、メール制御部に送る。メール制御部は、通信制御部にメール文を渡して、ネットワーク経由でメールを発信する。また、システム制御部は、操作部がDoS攻撃を受けていることを、Web端末と操作部に表示するように、Web制御部と画面制御部に指示する。この例は、ネットワークがインターネットの場合であるが、LANの場合も同様である。
【0032】
同時に、システム制御部は、DoS攻撃を受けている旨の記録も生成して、ログ制御部に送る。その後、操作部から認証要求コマンドが来ても、認証制御部は受け付けない。しかし、何回かに1回の率で認証要求を受け付ける。操作部がDoS攻撃を受けている間でも、通信経路からの認証要求入力は受け付ける。操作部からの認証要求入力の頻度が低下すると、認証制御部はDoS攻撃が止んだことを検出し、システム制御部に、DoS攻撃が止んだことを通知する。システム制御部は、DoS攻撃終結をメール制御部に通知する。また、システム制御部は、DoS攻撃表示の解除を、Web制御部と操作部に通知する。同時に、システム制御部は、DoS攻撃終結の記録も生成して、ログ制御部に送る。
【0033】
次に、図12を参照しながら、攻撃検出のためのDoS攻撃閾値の設定画面を説明する。操作部あるいはネットワーク経由で、ユーザ認証により攻撃検出閾値の変更権限を持つ管理者であると認証されると、操作部あるいはネットワーク端末の操作画面に、攻撃検出の閾値を変更する設定画面を表示することができる。この設定画面から、操作部及び通信経路上における攻撃の検出閾値をそれぞれ設定できる。例えば、操作部の攻撃検出閾値は、50回/分と設定する。通信経路の攻撃検出閾値は、200回/分と設定する。OKボタンを押して入力値を設定値に反映させる。CANCELボタンを押すとキャンセルされる。その他のDoS攻撃終結値やダウン閾値なども同様にして設定できる。
【0034】
次に、図13を参照しながら、攻撃検出の閾値の設定手順を説明する。例として、ユーザの管理者権限をもった人だけが設定可能としているが、CE(カスタマエンジニア)であっても、同じフローである。ステップ41で、ユーザ認証により管理者か否かを調べる。管理者であれば、ステップ42で、攻撃閾値設定画面が表示されたか否かを調べる。攻撃閾値設定画面であれば、ステップ43で、攻撃検出閾値を入力する。例えば、操作部については、閾値を50回/分とし、通信経路については、閾値を200回/分とする。ステップ44で、OKボタンが押されたか否かを調べる。OKボタンが押されたら、ステップ45で、入力された値を設定値に反映させる。OKボタンが押されない場合は、ステップ46で、キャンセルボタンがされたか否かを調べる。キャンセルボタンが押されたら、ステップ42に戻る。そうでなければ終了する。このように、管理者として認証され、攻撃検出閾値画面で攻撃検出閾値を入力してOKボタンを押下すると、入力値が反映される。
【0035】
上記のように、本発明の実施例では、画像形成装置を、操作部またはネットワーク経由で入力された認証要求に応じてユーザの識別を行い、ユーザ認証についてDoS攻撃を検出すると、操作部経由とネットワーク経由とに分けて攻撃を防御する構成としたので、攻撃を受けた認証要求入力経路のみの認証要求受付率を下げることができ、攻撃を受けていない認証要求入力経路に攻撃の影響を及ぼさないようにできる。
【産業上の利用可能性】
【0036】
本発明の画像形成装置は、操作部からの大量の認証要求入力によるDoS攻撃を防御できる画像形成装置として最適である。このDoS攻撃防御方法は、他の同様な機器にも適用できる。
【図面の簡単な説明】
【0037】
【図1】本発明の実施例における画像形成装置が接続されたネットワークシステムを示す図である。
【図2】本発明の実施例における画像形成装置のソフトウエア構成を示す図である。
【図3】本発明の実施例における画像形成装置での攻撃検出の手順を示す流れ図である。
【図4】本発明の実施例における画像形成装置での攻撃終結検出の手順を示す流れ図である。
【図5】本発明の実施例における画像形成装置での認証制御の手順を示す流れ図である。
【図6】本発明の実施例における画像形成装置での通信経路における攻撃を検出した場合の履歴を示す表である。
【図7】本発明の実施例における画像形成装置での操作部における攻撃を検出した場合の履歴を示す表である。
【図8】本発明の実施例における画像形成装置での操作部からの攻撃を検出した場合のメール通信内容を示す図である。
【図9】本発明の実施例における画像形成装置での攻撃検出時の表示を示す図である。
【図10】本発明の実施例における画像形成装置での通信経路における攻撃を検出した場合のコマンド手順を示す流れ図である。
【図11】本発明の実施例における画像形成装置での操作部における攻撃を検出した場合のコマンド手順を示す流れ図である。
【図12】本発明の実施例における画像形成装置での攻撃検出の閾値の設定画面を示す図である。
【図13】本発明の実施例における画像形成装置での攻撃検出の閾値の設定手順を示す流れ図である。
【符号の説明】
【0038】
1・・・画像形成装置、2・・・ユーザPC、3・・・攻撃側端末、4・・・ネットワーク。
【特許請求の範囲】
【請求項1】
操作入力用の操作部と、ネットワーク接続用のインタフェース部と、原稿画像を入力する画像入力部と、原稿画像を印刷用画像に変換する画像処理部と、印刷用画像を印刷する画像印刷部と、ユーザ認証に応じて使用を許可する手段とを具備する画像形成装置において、前記操作部から入力された認証要求に基づいてユーザの識別を行う第1認証手段と、ネットワーク経由で入力された認証要求に基づいてユーザの識別を行う第2認証手段と、前記第1認証手段への認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する第1攻撃検出手段と、前記第2認証手段への認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する第2攻撃検出手段と、前記第1攻撃検出手段による攻撃検出に応じて操作部経由の攻撃を防御する第1攻撃防御手段と、前記第2攻撃検出手段による攻撃検出に応じてネットワーク経由の攻撃を防御する第2攻撃防御手段とを備えることを特徴とする画像形成装置。
【請求項2】
前記第1攻撃防御手段は、攻撃検出に応じて前記第1認証手段を通常動作状態から攻撃防御状態に切り替えるとともに攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す手段を備え、前記第2攻撃防御手段は、攻撃検出に応じて前記第2認証手段を通常動作状態から攻撃防御状態に切り替えるとともに攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す手段を備えることを特徴とする請求項1記載の画像形成装置。
【請求項3】
前記第1認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに攻撃終結検出に応じて通常動作状態の受付率に戻す手段を備え、前記第2認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに攻撃終結検出に応じて通常動作状態の受付率に戻す手段を備えることを特徴とする請求項2記載の画像形成装置。
【請求項4】
攻撃検出に応じて認証要求入力経路の情報を含めて攻撃履歴を記録するログ手段を備えることを特徴とする請求項1記載の画像形成装置。
【請求項5】
攻撃検出に応じて認証要求入力経路の情報を含めて管理者に通知する通知手段を備えることを特徴とする請求項1記載の画像形成装置。
【請求項6】
前記第1攻撃検出手段または前記第1攻撃検出手段による攻撃検出に応じて操作部画面とネットワーク端末の操作画面に攻撃検出を表示させる手段を備えたことを特徴とする請求項1記載の画像形成装置。
【請求項7】
前記第1認証手段と前記第2認証手段に、攻撃検出閾値の変更権限を持つ管理者を検出する手段を備え、前記第1攻撃防御手段と前記第2攻撃防御手段に、管理者の操作により攻撃検出の閾値を変更する手段を備えたことを特徴とする請求項1記載の画像形成装置。
【請求項8】
ユーザにより入力される原稿画像を印刷用画像に変換して印刷する画像形成装置の使用を許可するためのユーザ認証に対する攻撃を防御する攻撃防御方法であって、操作部から入力された認証要求の頻度に基づいてユーザ認証に対する攻撃を検出すると、操作部経由の認証要求の受付率を低くし、ネットワーク経由で入力された認証要求の頻度に基づいてユーザ認証に対する攻撃を検出すると、ネットワーク経由の認証要求の受付率を低くすることを特徴とする攻撃防御方法。
【請求項1】
操作入力用の操作部と、ネットワーク接続用のインタフェース部と、原稿画像を入力する画像入力部と、原稿画像を印刷用画像に変換する画像処理部と、印刷用画像を印刷する画像印刷部と、ユーザ認証に応じて使用を許可する手段とを具備する画像形成装置において、前記操作部から入力された認証要求に基づいてユーザの識別を行う第1認証手段と、ネットワーク経由で入力された認証要求に基づいてユーザの識別を行う第2認証手段と、前記第1認証手段への認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する第1攻撃検出手段と、前記第2認証手段への認証要求入力の頻度に基づいてユーザ認証に対する攻撃の開始と終結を検出する第2攻撃検出手段と、前記第1攻撃検出手段による攻撃検出に応じて操作部経由の攻撃を防御する第1攻撃防御手段と、前記第2攻撃検出手段による攻撃検出に応じてネットワーク経由の攻撃を防御する第2攻撃防御手段とを備えることを特徴とする画像形成装置。
【請求項2】
前記第1攻撃防御手段は、攻撃検出に応じて前記第1認証手段を通常動作状態から攻撃防御状態に切り替えるとともに攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す手段を備え、前記第2攻撃防御手段は、攻撃検出に応じて前記第2認証手段を通常動作状態から攻撃防御状態に切り替えるとともに攻撃終結検出に応じて攻撃防御状態を解除して通常動作状態に戻す手段を備えることを特徴とする請求項1記載の画像形成装置。
【請求項3】
前記第1認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに攻撃終結検出に応じて通常動作状態の受付率に戻す手段を備え、前記第2認証手段は、攻撃防御状態では通常動作状態よりも認証要求の受付率を低くするとともに攻撃終結検出に応じて通常動作状態の受付率に戻す手段を備えることを特徴とする請求項2記載の画像形成装置。
【請求項4】
攻撃検出に応じて認証要求入力経路の情報を含めて攻撃履歴を記録するログ手段を備えることを特徴とする請求項1記載の画像形成装置。
【請求項5】
攻撃検出に応じて認証要求入力経路の情報を含めて管理者に通知する通知手段を備えることを特徴とする請求項1記載の画像形成装置。
【請求項6】
前記第1攻撃検出手段または前記第1攻撃検出手段による攻撃検出に応じて操作部画面とネットワーク端末の操作画面に攻撃検出を表示させる手段を備えたことを特徴とする請求項1記載の画像形成装置。
【請求項7】
前記第1認証手段と前記第2認証手段に、攻撃検出閾値の変更権限を持つ管理者を検出する手段を備え、前記第1攻撃防御手段と前記第2攻撃防御手段に、管理者の操作により攻撃検出の閾値を変更する手段を備えたことを特徴とする請求項1記載の画像形成装置。
【請求項8】
ユーザにより入力される原稿画像を印刷用画像に変換して印刷する画像形成装置の使用を許可するためのユーザ認証に対する攻撃を防御する攻撃防御方法であって、操作部から入力された認証要求の頻度に基づいてユーザ認証に対する攻撃を検出すると、操作部経由の認証要求の受付率を低くし、ネットワーク経由で入力された認証要求の頻度に基づいてユーザ認証に対する攻撃を検出すると、ネットワーク経由の認証要求の受付率を低くすることを特徴とする攻撃防御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2007−325113(P2007−325113A)
【公開日】平成19年12月13日(2007.12.13)
【国際特許分類】
【出願番号】特願2006−154996(P2006−154996)
【出願日】平成18年6月2日(2006.6.2)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成19年12月13日(2007.12.13)
【国際特許分類】
【出願日】平成18年6月2日(2006.6.2)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]