通信遮断装置、通信遮断プログラム
【課題】不正な通信を行う通信端末から送信された通信データを他の通信端末に送信させないようにすることで、不正な通信を行う通信端末の拡大を防止する。
【解決手段】感染端末1Aが不正な通信をしたことがワーム検知装置6で検知された場合に、ワーム遮断装置8は、当該感染端末1Aのデータリンク層又はネットワーク層の通信アドレスを取得し、感染端末1Aから、通信端末1Bと通信をする際に必要となるデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、感染端末1A宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを感染端末1Aに通知する。
【解決手段】感染端末1Aが不正な通信をしたことがワーム検知装置6で検知された場合に、ワーム遮断装置8は、当該感染端末1Aのデータリンク層又はネットワーク層の通信アドレスを取得し、感染端末1Aから、通信端末1Bと通信をする際に必要となるデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、感染端末1A宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを感染端末1Aに通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末がワームに感染していることが検知された場合に、当該感染を他の端末に拡大されることを防止する通信遮断装置、通信遮断プログラムに関する。
【背景技術】
【0002】
従来より、ワーム検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。
【0003】
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、下記の非特許文献1に記載されているようなものも挙げられる。
【0004】
このようなワーム(ウィルス)の検知技術によって感染端末を検知すると、従来においては、当該感染端末のアドレス情報などをネットワーク管理者に通知している。
【非特許文献1】http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf
【発明の開示】
【発明が解決しようとする課題】
【0005】
上述したように感染端末をネットワーク管理者に通知した後には、ネットワーク内の他の端末へのワーム感染を防ぐために、感染端末の通信を遮断又は制限する必要がある。しかしながら、感染端末によるワームの拡大活動を完全に停止させて拡大を防止することができないのが現状である。
【0006】
例えばワーム検知装置が感染端末の通信データのコピーを受信して、当該通信データに該当する通信データを監視している場合には、当該ワーム検知装置によって通信を遮断できない。また、ワームが複数の感染手段を持っている場合、ワーム検知装置が感染端末を検知した後に、感染端末の特定種類の通信データを遮断しても、他の手段によって感染拡大させる通信データが送信されてしまう場合がある。したがって、ワーム検知装置のみでは、ワームの感染活動を完全に止めることはできないのが現状であり、ワームの感染活動を検知して感染端末を特定した後、ワームの感染活動を防ぐ手段がワーム検知装置とは別に必要となる。
【0007】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、不正な通信を行う通信端末から送信された通信データを他の通信端末に送信させないようにすることで、不正な通信を行う通信端末の拡大を防止できる通信遮断装置、通信遮断プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する通信遮断装置であって、上述の課題を解決するために、不正通信検知手段から、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得手段と、不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となる当該他の通信端末のデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、前記不正な通信が検知されたことに対して、アドレス取得手段によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを不正な通信を行った通信端末に通知するアドレス通知手段とを備える。
【0009】
本発明は、不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する機能をコンピュータに実装させる通信遮断プログラムであって、上述の課題を解決するために、不正通信検知モジュールから、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得機能と、不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となるデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、不正な通信が検知されたことに対して、アドレス取得機能によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知するアドレス通知機能とをコンピュータに実装させる。
【発明の効果】
【0010】
本発明に係る通信遮断装置、通信遮断プログラムによれば、不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得し、不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となる当該他の通信端末のデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、不正な通信が検知されたことに対して、取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを不正な通信を行った通信端末に通知するので、不正な通信を行った通信端末によって正しいアドレスを取得することを防止でき、不正な通信を遮断でき、不正な通信を行う通信端末の拡大を防止できる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について図面を参照して説明する。
【0012】
本発明は、例えば図1に示すように、通信端末1A、1Bが、複数の中継装置であるスイッチ2,ルータ3,スイッチ4を介してウェブサーバ等のサーバ5に接続する通信システムにおいて、ワーム検知装置6及び管理装置7(不正通信検知手段)でワームによる不正な通信の検知がなされたことが通知された場合に、当該ワームによる感染活動を遮断するワーム遮断装置8に適用される。この実施形態では、例えば通信端末1Aがワームに感染してしまい、通信端末1A(以下、感染端末1Aと呼ぶ。)から送信される不正な通信データを遮断する場合について説明する。
【0013】
このワーム遮断装置8は、先ず不正な通信を行った感染端末1Aのデータリンク層又はネットワーク層のアドレスを管理装置7から取得しておき、当該感染端末1Aから、他の通信端末1Bと通信をする際に必要となる当該通信端末1Bのデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、不正な通信が検知されたことに対して、感染端末1Aの通信アドレス宛に、自己の通信アドレス又は予め設定された通信端末1Bとも異なる他の通信装置のアドレスを通知することを特徴とするものである。このようなアドレス取得手段、アドレス通知手段を有することにより、ワーム遮断装置8は、感染端末1Aが通信をしたい通信相手を偽装した通知を行い、感染端末1Aが非感染の通信相手と通信することを遮断する。
【0014】
このような通信システムにおいて、感染端末1Aのワームの動作としては、サーバ5に対するポートスキャン、サーバ5や通信端末1Bに対する不正パケットの送信、通信端末1Bに対するウィルスを添付ファイルとして含む不正なメールの送信などが挙げられる。ここで、サーバ5としては、ウェブサーバのみならず、メールサーバも挙げられる。
【0015】
例えば、感染端末1Aから送信された不正な通信データS1は、サーバ5のIPアドレスを宛先とし、スイッチ2、ルータ3及びスイッチ4を経由して、サーバ5に送信される。すると、ワーム検知装置6は、スイッチ4を通過する通信データS1をコピーした通信データS2を取得し、当該コピーした通信データS2が不正な通信データであるか否かを判定する。ワーム検知装置6は、コピーした通信データS2から、感染端末1Aの特有の振る舞いを検知することによって、感染端末1Aがワームに感染しているかを検知する。例えば、感染端末1Aから直接的にネームサービスを受けるMXレコードを含む通信データS2を検知した場合や、感染していない通信端末1Bなどであれば送信されない宛先を含む通信データS2を検知した場合に、当該通信データS2を送信した感染端末1Aを検知する。そして、ワーム検知装置6は、通信データS2に含まれるIPアドレスを取得し、感染端末1AのIPアドレスを含むワーム検知報告メッセージS3を管理装置7に通知する。
【0016】
具体的には、ワーム検知装置6は、通信データS2に含まれるアプリケーションデータの種類を指定するポート番号を取得し、当該ポート番号がホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであり、且つ、当該通信データS2のアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれている場合に、不正にメールサーバにアクセスしようとしている感染端末1Aを検知できる。更に他の具体例を挙げると、ワーム検知装置6は、コンピュータウィルスによって、不正な通信データが配信されることを検知するために、感染端末1Aに予め正規の設定情報に加えて、ダミーの設定情報を記憶させておき、ワームによる動作によって、ダミーの設定情報を用いて通信データを作成されて送信された場合には、感染端末1Aがワームに感染していることを判断できる。
【0017】
管理装置7は、ネットワーク管理者が運営するサーバであり、ワーム検知装置6からのワーム検知報告メッセージS3を受けて、当該ワーム検知報告メッセージS3に含まれる感染端末1AのIPアドレスを蓄積すると共に、ネットワーク管理者に通知する。管理装置7は、ワーム検知報告メッセージS3を受信したことに応じて、感染端末1AのIPアドレスを含む通信遮断命令S4をワーム遮断装置8に通知する。
【0018】
ワーム遮断装置8は、感染端末1AのIPアドレスを含む通信遮断命令S4が管理装置7から通知されると、当該IPアドレスを宛先とし、感染端末1Aがサーバ5や通信端末1Bなどにワームの感染を拡大させないための通信データS5を感染端末1Aに送信できる状態となる。ワーム遮断装置8は、図2に示すように、通信データを送信する通信端末である送信端末1Aと、当該通信データを受信する受信端末1Bとの間で通信をする場合に、送信端末1AがDNS(Domain Name System)サーバ(図示せず)にアクセスして受信端末1Bのホスト名からIPアドレスを取得する処理(図3のステップST1)、ICMP(Internet Control Message Protocol)の仕組みにおけるICMP Redirectメッセージを利用して、受信端末1BのIPアドレスから適切なルータのIPアドレスを取得する処理(図3のステップST2)、ARP(Address Resolution Protocol)の仕組みを利用して通信相手のIPアドレスからMACアドレスを取得する処理(図3のステップST3)の何れかによって、ワームによって感染した送信端末1Aの通信データを遮断又は誘導して、不正な通信を遮断する。
【0019】
つぎに、上述した感染端末1Aの動作に応じて、当該感染端末1Aの不正な通信を遮断する処理について説明する。
【0020】
先ず、感染端末1Aが実在のDNSサーバであるサーバ5にアクセスして、通信端末1Bや、ワームの感染状況を管理するサーバ等の他の通信装置のIPアドレスを取得する活動を遮断する処理について、図4及び図5を参照して説明する。
【0021】
ワーム遮断装置8は、図4に示すように、感染端末1Aからルータ3を介して、DNSサーバであるサーバ5(図示せず)にネームサービスの要求が送信されると、ルータ3で中継される要求をコピーして受信する。ここで、感染端末1Aが通信相手としたい通信端末1Bの端末名(ホスト名)が「host1.sample.com」、IPアドレスが「10.20.30.40」であり、ワーム遮断装置8の端末名(ホスト名)が「wormfw.sample.com」であり、IPアドレスが「192.168.1.1」である場合、ワーム遮断装置8は、自己のIPアドレスを、通信端末1Bのホスト名に対応したIPアドレスとして感染端末1Aに通知する。すなわち、ワーム遮断装置8は、偽装DNSサーバとなって、感染端末1Aが要求した通信端末1BのIPアドレスを通知しないようにして、感染端末1Aから通信端末1Bへの通信を遮断する。また、ワーム遮断装置8は、自己のIPアドレスを感染端末1Aに通知することによって、感染端末1Aからの通信データを自己に誘導できる。
【0022】
このようなワーム遮断装置8は、その内部概略構成を図5に示すように、基本ソフトウェアと通信制御アプリケーションがインストールされることによって、基本ソフトウェア処理部11と、通信制御アプリケーション処理部12とを備えて構成されている。
【0023】
基本ソフトウェア処理部11は、ネットワークと接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP(Internet Protocol)通信制御部22とを備える。基本ソフトウェア処理部11は、スイッチ2やルータ3等を介してネットワークから通信データを通信インターフェース部21で受信すると、TCP/IP通信制御部22によって、TCPヘッダのポート番号に応じて通信制御アプリケーション処理部12に通信データを渡す。また、基本ソフトウェア処理部11は、通信制御アプリケーション処理部12からアプリケーションデータが渡されると、TCP/IP通信制御部22によって、当該アプリケーションデータにTCPヘッダ及びIPヘッダを付加して、通信インターフェース部21からネットワークに送信させる。
【0024】
ワーム遮断装置8は、図1におけるスイッチ2を通過する通信データをコピーして傍受するように配置されて、基本ソフトウェア処理部11で受信できるようになっている。TCP/IP通信制御部22は、受信した通信データのうち管理装置7からの通信遮断命令S4、及び、トランスポート層プロトコルがUDP又はTCPであってトランスポート層ヘッダにDNSサーバにIPアドレスを問い合わせるサービスを表すポート番号が格納されている通信データを通信制御アプリケーション処理部12に渡す。
【0025】
通信制御アプリケーション処理部12は、ワーム遮断装置8がDNSサーバに偽装して、感染端末1Aの通信を遮断又は誘導するための処理を行う。通信制御アプリケーション処理部12は、感染端末情報受信部23と、感染端末情報リスト24と、偽装DNSメッセージ生成部25とを備える。
【0026】
通信制御アプリケーション処理部12は、基本ソフトウェア処理部11によって管理装置7からの通信遮断命令S4を受信した場合に、通信遮断命令S4を感染端末情報受信部23で受信する。感染端末情報受信部23は、通信遮断命令S4を受け取ると、通信遮断命令S4に含まれる感染端末1AのIPアドレスを感染端末情報リスト24に格納する。
【0027】
感染端末情報リスト24は、記憶媒体に格納されたリストデータであり、感染端末情報受信部23からのIPアドレスをワームに感染したIPアドレスとしてリスト化してなる。この感染端末情報リスト24は、感染端末1AのIPアドレスに、当該感染端末1AのMACアドレス、時刻情報などが対応付けられる。
【0028】
偽装DNSメッセージ生成部25は、トランスポート層プロトコルがUDP又はTCPであり、且つトランスポート層ヘッダにDNSサーバにIPアドレスを問い合わせるサービスを表すポート番号が格納されている通信データがTCP/IP通信制御部22から渡される。偽装DNSメッセージ生成部25は、当該通信データを監視することによって、感染端末情報リスト24にIPアドレスが格納された感染端末1Aが、実在するDNSサーバにホスト名からIPアドレスを問い合わせる要求を含む通信データ、又は、不正な通信に関わる通信データを送信したか否かを監視する。そして、偽装DNSメッセージ生成部25は、当該DNSサーバによるサービスを受ける通信データ又は不正な通信に関わる通信データの送信元IPアドレスが、感染端末情報リスト24に格納されたIPアドレスと合致した場合には、偽装したDNSサーバの応答パケットを生成する。このとき、偽装DNSメッセージ生成部25は、DNSサーバの応答パケットとして、アプリケーションデータ格納領域に、自己のIPアドレス又は予め設定された他の通信装置のIPアドレスを格納して、TCP/IP通信制御部22に渡す。
【0029】
また、基本ソフトウェア処理部11は、通信制御アプリケーション処理部12の制御にしたがって、DNSサーバの応答パケットであることを示すトランスポート層ヘッダのポート番号を格納し、IPアドレスの宛先を感染端末1Aとした通信データを作成して、ネットワークに送信する。
【0030】
このように、ワーム遮断装置8によれば、感染端末1AのIPアドレスを含み、ホスト名からIPアドレスを問い合わせDNSの通信データ、又は、不正な通信に関わる通信データを受信した場合、当該通信データに含まれるホスト名に拘わらず、偽のIPアドレスとして自己のIPアドレスを応答するので、感染端末1Aによって正しいIPアドレスを取得することを防止でき、DNSを利用した通信を遮断できる。また、感染端末1AからのDNSの問い合わせ、又は、不正な通信に対して、ワーム遮断装置8自身のIPアドレスではなく、ワームの感染状況を管理するサーバなどの他の通信装置のIPアドレスをDNSの応答とすることによって、感染端末1Aの通信先を当該他の通信装置に誘導することができる。これによって、感染端末1Aによる感染の拡大を防止できる。
【0031】
なお、上述の偽装したDNSサーバとして振る舞うワーム遮断装置8の設置場所としては、通信の傍受さえできればブリッジ型、スイッチ型、ルータ型、横付け型のいずれの形態でも良い。ただし、通信端末間を接続する通信線、又は、通信端末間で通信される通信データを中継するスイッチ2等の中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器としてワーム遮断装置8を構成する場合には、感染端末1Aの後述の偽装したICMP Redirectメッセージを利用する技術又は後述の偽装したARPメッセージを利用する技術を用いることで、感染端末1Aの通信をワーム遮断装置8に誘導する必要がある。また、図1においてはスイッチ2を介して感染端末1Aとワーム遮断装置8とが同一のサブネット(セグメント)に接続されている例を示しているが、別のサブネットに配置されていても、偽装したDNSサーバとして動作して感染端末1Aの通信を遮断できる。
【0032】
次に、感染端末1Aに、ネットワークにおいて最適な通信経路による通信を要求する経路変更要求通知(ICMP Redirectメッセージ)に対して、又は、不正な通信に関わる通信データに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知する処理について、図6及び図7を参照して説明する。なお、上述と同様の部分については、同一符号を付することによって、その詳細な説明を省略する。
【0033】
このICMP Redirectメッセージは、通信端末の通信経路にゲートウェイルータが2台以上存在するネットワークにおいて、最適なゲートウェイルータを通信端末に通知するためのメッセージである。ワーム遮断装置8は、このICMP Redirectメッセージを利用して、感染端末1Aの通信を遮断又は誘導することによって、感染端末1Aによる感染の拡大を防止する。
【0034】
このICMP Redirectメッセージを感染端末1Aで受信すると、感染端末1Aは、当該ICMP Redirectメッセージに含まれる最適経路のゲートウェイルータのIPアドレスに通信データの送信を行うように自己のルーティングテーブルを変更する。このような動作を利用して、ワーム遮断装置8は、自己のIPアドレス又は他の通信装置のIPアドレスをICMP Redirectメッセージに含めて、自己又は他の通信装置に感染端末1Aからの通信データを誘導する。
【0035】
このワーム遮断装置8は、図6に示すように、感染端末1Aとスイッチ2を介して同一セグメント(同一サブネット)に設置されおり、管理装置7から通信遮断命令S4を受信して、感染端末1AのIPアドレスを取得して、図7の感染端末情報リスト24に追加する。ここで、感染端末1Aには、デフォルトゲートウェイとして、ルータ3のIPアドレスが設定されている。
【0036】
これに対し、ワーム遮断装置8は、ICMP Redirectメッセージに、偽のIPアドレスとして自己のIPアドレス又は他の通信装置のIPアドレスを格納して、感染端末1Aに送信して、最適経路における偽装のゲートウェイルータとなる。この処理は、図7に示す偽装ICMP Redirect生成部31によって行われる。
【0037】
偽装ICMP Redirect生成部31は、予め設定した時間間隔ごとに、管理装置7からの通信遮断命令S4に含まれるIPアドレスが感染端末情報リスト24に追加されたかを判定して、新たなIPアドレスが追加された場合に、当該感染端末1AのIPアドレスを宛先とし、自己のIPアドレス又は他の通信装置のIPアドレスを含む偽装したICMP Redirectメッセージを生成する。これによって、例えば感染端末1Aに、最適経路のゲートウェイルータのIPアドレスが自己のIPアドレス「192.168.1.1」であることを通知して、感染端末1Aのルーティングテーブルを更新させて、以降の感染端末1Aからの通信データを自己に誘導できる。
【0038】
また、ワーム遮断装置8は、特定のIPアドレスだけに対するゲートウェイルータを偽のIPアドレスにするようにICMP Redirectメッセージを感染端末1Aに送信しても良い。例えば、感染端末1Aが重要なサーバに対して通信するために必要なゲートウェイルータに感染端末1Aがアクセスしないようにすることができる。
【0039】
更に、このワーム遮断装置8は、感染端末1AのIPアドレスが感染端末情報リスト24に追加されて、当該感染端末1Aが通信を行ったことを傍受した場合に、当該感染端末1Aが通信を行おうとしたIPアドレスに対するゲートウェイルータを偽のIPアドレスにするICMP Redirectメッセージを送信しても良い。これによって、感染端末1Aがネットワークに不正な通信データを送信しても、ゲートウェイルータによって中継されないようにできる。なお、通信装置のOS(Operation System)によっては宛先となるIPアドレスを指定していないICMP Redirectを受け取らない設定になっているものもある。この場合、ワーム遮断装置8は、感染端末1Aの通信を予め傍受できる場所に設置されているか、別の手段で感染端末1Aの通信を自身に誘導できる機能が必要である。ワーム遮断装置8は、感染端末1Aが新しいIPアドレス宛に通信パケットを送信する度に、当該IPアドレス宛の通信パケットのゲートウェイを偽のIPアドレスにするためにICMP Redirectメッセージを送信する。これによって、感染端末1Aが通信しようとするゲートウェイルータを偽のIPアドレスに随時更新させて、感染端末1Aからの通信データがゲートウェイルータを通じて外部に送信されることを抑制する。
【0040】
次に、ワーム遮断装置8によって、感染端末1Aのネットワーク層の通信アドレスに対応したデータリンク層の通信アドレスを取得しておき、感染端末1Aから送信された他の通信端末のデータリンク層の通信アドレスを要求するメッセージ、又は、不正な通信を検知したことに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを感染端末1Aに通知する処理ついて、図8及び図9を参照して説明する。なお、上述と同様の部分については、同一符号を付することによって、その詳細な説明を省略する。
【0041】
このワーム遮断装置8及び感染端末1Aは、同一ネットワーク内で通信を行うためには、通信相手のMACアドレスを取得する必要があり、当該MACアドレスを取得するためのプロトコルであるARPを利用して、偽装したARPに準拠したARPパケットをワーム遮断装置8によって感染端末1Aに送信することにより、感染端末1Aの通信を遮断又は誘導して、感染端末1Aによる感染の拡大を防止する。
【0042】
ワーム遮断装置8が感染端末1Aと同じセグメント(同一サブネット)に設置されている場合において、ワーム遮断装置8によって管理装置7から通信遮断命令S4が通知されて感染端末情報リスト24に感染端末1AのIPアドレスを追加する。この状態において、ワーム遮断装置8は、同一セグメント内の全てのIPアドレスについて、当該各IPアドレスに対応するMACアドレスが偽のMACアドレスであることを感染端末1Aに通知するARPリクエストを定期的に送信する処理、又は、感染端末1AからのARPリクエストに対するARPリプライに含めるMACアドレスを偽のMACアドレスとする。これによって、ワーム遮断装置8は、感染端末1Aから偽のMACアドレス宛に感染端末1Aの通信を誘導できる。
【0043】
具体的には、図8に示すように、ワーム遮断装置8と感染端末1Aと通信端末1Bとが同一セグメント内に存在する場合において、ワーム遮断装置8は、通信端末1BのIPアドレス「192.168.10.1」に対応したMACアドレスが自身のMACアドレス「AA:AA:AA:AA:AA:AA」であることを通知するARPリクエストを感染端末1Aに送信する処理、又は、感染端末1AからのARPリクエストに対して通信端末1BのIPアドレスに対応したMACアドレスが自身のMACアドレス「AA:AA:AA:AA:AA:AA」であることを通知するARPリプライを感染端末1Aに送信する。
【0044】
なお、通常、ARPに対応した通信装置は、IPアドレスとMACアドレスとの対応表を持っているが、OSによってARPリクエストとARPリプライの何れかを受信したときに対応表が書き換わるかは通信装置によって様々であるが、ARPプロトコルの性質上、ARPリクエストを送信した直後に偽造されたARPリプライを受け取ると、対応表が書き換わるので、感染端末1Aの対応表を偽のARPパケットで変更させることができる。
【0045】
このようなワーム遮断装置8は、図9に示すように、偽装したARPパケットを生成する偽装ARPパケット生成部41を備えている。この偽装ARPパケット生成部41は、予め設定した時間間隔ごとに、管理装置7からの通信遮断命令S4に含まれるIPアドレスが感染端末情報リスト24に追加されたかを判定して、新たなIPアドレスが追加された場合に、自己のMACアドレス又は他の通信装置のMACアドレスを含む偽装したARPパケットを生成する。これによって、例えば感染端末1Aに偽装したMACアドレスを含むARPテーブルを作成させて、以降の感染端末1Aからの通信データを自己又は他の通信装置に誘導できる。
【0046】
また、このワーム遮断装置8は、ネットワーク負荷を考慮して送信するARPパケットの数を少なくするために、特定のIPアドレスだけに対するMACアドレスを偽のMACアドレスにしても良い。例えばゲートウェイルータのMACアドレスを偽とすることで、感染端末1Aがサブネット外に不正な通信データを送信すること遮断あるいは制限することができ、感染端末1Aによる感染活動がサブネットワーク外に拡大することを防止できる。
【0047】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【0048】
すなわち、上述したワーム遮断装置8は、スイッチ2と接続されて配置されたものを示したが、これに限らず、図10に示すように、スイッチ51、ブリッジ装置52,ルータ53,横付け型機器54に、ワーム遮断装置8と同じ機能を実装させるための通信制御プログラムをインストールしても、上述の不正な通信を行った通信端末による感染活動を遮断するという効果を発揮させることができる。特に、通信装置間を接続する通信線、又は、通信装置間で通信される通信データを中継するスイッチ等の中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器としてワーム遮断装置8を構成する場合には、不正な通信を行った通信端末の通信を遮断する機能をシステムに導入するコスト等を低減できる。
【0049】
また、上述した実施形態における不正な通信を遮断するため機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてウェブ機能やメール機能を具備する家電機器がワームに感染した場合であっても、当該家電機器によって不正な通信がなされることを防止することができる。
【0050】
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。
【0051】
より具体的には、上述した不正な通信を遮断する機能を有する通信端末、管理装置7、ワーム遮断装置8や、スイッチ2、ルータ3等のネットワーク機器にEMIT技術を実現するEMITソフトウェアを搭載して、当該EMITソフトウェアを搭載した通信端末や管理装置7、ワーム遮断装置8と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。
【図面の簡単な説明】
【0052】
【図1】本発明を適用したワーム遮断装置を備えた通信システムの一構成例を示すブロック図である。
【図2】通信端末の通信処理を説明するシステム図である。
【図3】通信端末の通信処理を説明するフローチャートである。
【図4】本発明を適用したワーム遮断装置が偽装したDNSサーバとして振る舞う動作を説明するシステム図である。
【図5】本発明を適用したワーム遮断装置が偽装したDNSサーバとして振る舞うための構成を示すブロック図である。
【図6】本発明を適用したワーム遮断装置によって、偽装したICMP Redirectメッセージを感染端末に送信する動作を説明するシステム図である。
【図7】本発明を適用したワーム遮断装置が偽装したICMP Redirectメッセージを送信するための構成を示すブロック図である。
【図8】本発明を適用したワーム遮断装置によって、偽装したARPパケットを感染端末に送信する動作を説明するシステム図である。
【図9】本発明を適用したワーム遮断装置が偽装したARPパケットを送信するための構成を示すブロック図である。
【図10】本発明を適用したワーム遮断装置が実装される他の形態を説明するための図である。
【符号の説明】
【0053】
1A 感染端末
1A,1B 通信端末
2 スイッチ
3 ルータ
4 スイッチ
5 サーバ
6 ワーム検知装置
7 管理装置
8 ワーム遮断装置
11 基本ソフトウェア処理部
12 通信制御アプリケーション処理部
21 通信インターフェース部
22 TCP/IP通信制御部
23 感染端末情報受信部
24 感染端末情報リスト
25 偽装DNSメッセージ生成部
31 偽装ICMP Redirect生成部
41 偽装ARPパケット生成部
【技術分野】
【0001】
本発明は、端末がワームに感染していることが検知された場合に、当該感染を他の端末に拡大されることを防止する通信遮断装置、通信遮断プログラムに関する。
【背景技術】
【0002】
従来より、ワーム検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。
【0003】
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、下記の非特許文献1に記載されているようなものも挙げられる。
【0004】
このようなワーム(ウィルス)の検知技術によって感染端末を検知すると、従来においては、当該感染端末のアドレス情報などをネットワーク管理者に通知している。
【非特許文献1】http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf
【発明の開示】
【発明が解決しようとする課題】
【0005】
上述したように感染端末をネットワーク管理者に通知した後には、ネットワーク内の他の端末へのワーム感染を防ぐために、感染端末の通信を遮断又は制限する必要がある。しかしながら、感染端末によるワームの拡大活動を完全に停止させて拡大を防止することができないのが現状である。
【0006】
例えばワーム検知装置が感染端末の通信データのコピーを受信して、当該通信データに該当する通信データを監視している場合には、当該ワーム検知装置によって通信を遮断できない。また、ワームが複数の感染手段を持っている場合、ワーム検知装置が感染端末を検知した後に、感染端末の特定種類の通信データを遮断しても、他の手段によって感染拡大させる通信データが送信されてしまう場合がある。したがって、ワーム検知装置のみでは、ワームの感染活動を完全に止めることはできないのが現状であり、ワームの感染活動を検知して感染端末を特定した後、ワームの感染活動を防ぐ手段がワーム検知装置とは別に必要となる。
【0007】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、不正な通信を行う通信端末から送信された通信データを他の通信端末に送信させないようにすることで、不正な通信を行う通信端末の拡大を防止できる通信遮断装置、通信遮断プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する通信遮断装置であって、上述の課題を解決するために、不正通信検知手段から、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得手段と、不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となる当該他の通信端末のデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、前記不正な通信が検知されたことに対して、アドレス取得手段によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを不正な通信を行った通信端末に通知するアドレス通知手段とを備える。
【0009】
本発明は、不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する機能をコンピュータに実装させる通信遮断プログラムであって、上述の課題を解決するために、不正通信検知モジュールから、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得機能と、不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となるデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、不正な通信が検知されたことに対して、アドレス取得機能によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知するアドレス通知機能とをコンピュータに実装させる。
【発明の効果】
【0010】
本発明に係る通信遮断装置、通信遮断プログラムによれば、不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得し、不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となる当該他の通信端末のデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、不正な通信が検知されたことに対して、取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを不正な通信を行った通信端末に通知するので、不正な通信を行った通信端末によって正しいアドレスを取得することを防止でき、不正な通信を遮断でき、不正な通信を行う通信端末の拡大を防止できる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について図面を参照して説明する。
【0012】
本発明は、例えば図1に示すように、通信端末1A、1Bが、複数の中継装置であるスイッチ2,ルータ3,スイッチ4を介してウェブサーバ等のサーバ5に接続する通信システムにおいて、ワーム検知装置6及び管理装置7(不正通信検知手段)でワームによる不正な通信の検知がなされたことが通知された場合に、当該ワームによる感染活動を遮断するワーム遮断装置8に適用される。この実施形態では、例えば通信端末1Aがワームに感染してしまい、通信端末1A(以下、感染端末1Aと呼ぶ。)から送信される不正な通信データを遮断する場合について説明する。
【0013】
このワーム遮断装置8は、先ず不正な通信を行った感染端末1Aのデータリンク層又はネットワーク層のアドレスを管理装置7から取得しておき、当該感染端末1Aから、他の通信端末1Bと通信をする際に必要となる当該通信端末1Bのデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、不正な通信が検知されたことに対して、感染端末1Aの通信アドレス宛に、自己の通信アドレス又は予め設定された通信端末1Bとも異なる他の通信装置のアドレスを通知することを特徴とするものである。このようなアドレス取得手段、アドレス通知手段を有することにより、ワーム遮断装置8は、感染端末1Aが通信をしたい通信相手を偽装した通知を行い、感染端末1Aが非感染の通信相手と通信することを遮断する。
【0014】
このような通信システムにおいて、感染端末1Aのワームの動作としては、サーバ5に対するポートスキャン、サーバ5や通信端末1Bに対する不正パケットの送信、通信端末1Bに対するウィルスを添付ファイルとして含む不正なメールの送信などが挙げられる。ここで、サーバ5としては、ウェブサーバのみならず、メールサーバも挙げられる。
【0015】
例えば、感染端末1Aから送信された不正な通信データS1は、サーバ5のIPアドレスを宛先とし、スイッチ2、ルータ3及びスイッチ4を経由して、サーバ5に送信される。すると、ワーム検知装置6は、スイッチ4を通過する通信データS1をコピーした通信データS2を取得し、当該コピーした通信データS2が不正な通信データであるか否かを判定する。ワーム検知装置6は、コピーした通信データS2から、感染端末1Aの特有の振る舞いを検知することによって、感染端末1Aがワームに感染しているかを検知する。例えば、感染端末1Aから直接的にネームサービスを受けるMXレコードを含む通信データS2を検知した場合や、感染していない通信端末1Bなどであれば送信されない宛先を含む通信データS2を検知した場合に、当該通信データS2を送信した感染端末1Aを検知する。そして、ワーム検知装置6は、通信データS2に含まれるIPアドレスを取得し、感染端末1AのIPアドレスを含むワーム検知報告メッセージS3を管理装置7に通知する。
【0016】
具体的には、ワーム検知装置6は、通信データS2に含まれるアプリケーションデータの種類を指定するポート番号を取得し、当該ポート番号がホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであり、且つ、当該通信データS2のアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれている場合に、不正にメールサーバにアクセスしようとしている感染端末1Aを検知できる。更に他の具体例を挙げると、ワーム検知装置6は、コンピュータウィルスによって、不正な通信データが配信されることを検知するために、感染端末1Aに予め正規の設定情報に加えて、ダミーの設定情報を記憶させておき、ワームによる動作によって、ダミーの設定情報を用いて通信データを作成されて送信された場合には、感染端末1Aがワームに感染していることを判断できる。
【0017】
管理装置7は、ネットワーク管理者が運営するサーバであり、ワーム検知装置6からのワーム検知報告メッセージS3を受けて、当該ワーム検知報告メッセージS3に含まれる感染端末1AのIPアドレスを蓄積すると共に、ネットワーク管理者に通知する。管理装置7は、ワーム検知報告メッセージS3を受信したことに応じて、感染端末1AのIPアドレスを含む通信遮断命令S4をワーム遮断装置8に通知する。
【0018】
ワーム遮断装置8は、感染端末1AのIPアドレスを含む通信遮断命令S4が管理装置7から通知されると、当該IPアドレスを宛先とし、感染端末1Aがサーバ5や通信端末1Bなどにワームの感染を拡大させないための通信データS5を感染端末1Aに送信できる状態となる。ワーム遮断装置8は、図2に示すように、通信データを送信する通信端末である送信端末1Aと、当該通信データを受信する受信端末1Bとの間で通信をする場合に、送信端末1AがDNS(Domain Name System)サーバ(図示せず)にアクセスして受信端末1Bのホスト名からIPアドレスを取得する処理(図3のステップST1)、ICMP(Internet Control Message Protocol)の仕組みにおけるICMP Redirectメッセージを利用して、受信端末1BのIPアドレスから適切なルータのIPアドレスを取得する処理(図3のステップST2)、ARP(Address Resolution Protocol)の仕組みを利用して通信相手のIPアドレスからMACアドレスを取得する処理(図3のステップST3)の何れかによって、ワームによって感染した送信端末1Aの通信データを遮断又は誘導して、不正な通信を遮断する。
【0019】
つぎに、上述した感染端末1Aの動作に応じて、当該感染端末1Aの不正な通信を遮断する処理について説明する。
【0020】
先ず、感染端末1Aが実在のDNSサーバであるサーバ5にアクセスして、通信端末1Bや、ワームの感染状況を管理するサーバ等の他の通信装置のIPアドレスを取得する活動を遮断する処理について、図4及び図5を参照して説明する。
【0021】
ワーム遮断装置8は、図4に示すように、感染端末1Aからルータ3を介して、DNSサーバであるサーバ5(図示せず)にネームサービスの要求が送信されると、ルータ3で中継される要求をコピーして受信する。ここで、感染端末1Aが通信相手としたい通信端末1Bの端末名(ホスト名)が「host1.sample.com」、IPアドレスが「10.20.30.40」であり、ワーム遮断装置8の端末名(ホスト名)が「wormfw.sample.com」であり、IPアドレスが「192.168.1.1」である場合、ワーム遮断装置8は、自己のIPアドレスを、通信端末1Bのホスト名に対応したIPアドレスとして感染端末1Aに通知する。すなわち、ワーム遮断装置8は、偽装DNSサーバとなって、感染端末1Aが要求した通信端末1BのIPアドレスを通知しないようにして、感染端末1Aから通信端末1Bへの通信を遮断する。また、ワーム遮断装置8は、自己のIPアドレスを感染端末1Aに通知することによって、感染端末1Aからの通信データを自己に誘導できる。
【0022】
このようなワーム遮断装置8は、その内部概略構成を図5に示すように、基本ソフトウェアと通信制御アプリケーションがインストールされることによって、基本ソフトウェア処理部11と、通信制御アプリケーション処理部12とを備えて構成されている。
【0023】
基本ソフトウェア処理部11は、ネットワークと接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP(Internet Protocol)通信制御部22とを備える。基本ソフトウェア処理部11は、スイッチ2やルータ3等を介してネットワークから通信データを通信インターフェース部21で受信すると、TCP/IP通信制御部22によって、TCPヘッダのポート番号に応じて通信制御アプリケーション処理部12に通信データを渡す。また、基本ソフトウェア処理部11は、通信制御アプリケーション処理部12からアプリケーションデータが渡されると、TCP/IP通信制御部22によって、当該アプリケーションデータにTCPヘッダ及びIPヘッダを付加して、通信インターフェース部21からネットワークに送信させる。
【0024】
ワーム遮断装置8は、図1におけるスイッチ2を通過する通信データをコピーして傍受するように配置されて、基本ソフトウェア処理部11で受信できるようになっている。TCP/IP通信制御部22は、受信した通信データのうち管理装置7からの通信遮断命令S4、及び、トランスポート層プロトコルがUDP又はTCPであってトランスポート層ヘッダにDNSサーバにIPアドレスを問い合わせるサービスを表すポート番号が格納されている通信データを通信制御アプリケーション処理部12に渡す。
【0025】
通信制御アプリケーション処理部12は、ワーム遮断装置8がDNSサーバに偽装して、感染端末1Aの通信を遮断又は誘導するための処理を行う。通信制御アプリケーション処理部12は、感染端末情報受信部23と、感染端末情報リスト24と、偽装DNSメッセージ生成部25とを備える。
【0026】
通信制御アプリケーション処理部12は、基本ソフトウェア処理部11によって管理装置7からの通信遮断命令S4を受信した場合に、通信遮断命令S4を感染端末情報受信部23で受信する。感染端末情報受信部23は、通信遮断命令S4を受け取ると、通信遮断命令S4に含まれる感染端末1AのIPアドレスを感染端末情報リスト24に格納する。
【0027】
感染端末情報リスト24は、記憶媒体に格納されたリストデータであり、感染端末情報受信部23からのIPアドレスをワームに感染したIPアドレスとしてリスト化してなる。この感染端末情報リスト24は、感染端末1AのIPアドレスに、当該感染端末1AのMACアドレス、時刻情報などが対応付けられる。
【0028】
偽装DNSメッセージ生成部25は、トランスポート層プロトコルがUDP又はTCPであり、且つトランスポート層ヘッダにDNSサーバにIPアドレスを問い合わせるサービスを表すポート番号が格納されている通信データがTCP/IP通信制御部22から渡される。偽装DNSメッセージ生成部25は、当該通信データを監視することによって、感染端末情報リスト24にIPアドレスが格納された感染端末1Aが、実在するDNSサーバにホスト名からIPアドレスを問い合わせる要求を含む通信データ、又は、不正な通信に関わる通信データを送信したか否かを監視する。そして、偽装DNSメッセージ生成部25は、当該DNSサーバによるサービスを受ける通信データ又は不正な通信に関わる通信データの送信元IPアドレスが、感染端末情報リスト24に格納されたIPアドレスと合致した場合には、偽装したDNSサーバの応答パケットを生成する。このとき、偽装DNSメッセージ生成部25は、DNSサーバの応答パケットとして、アプリケーションデータ格納領域に、自己のIPアドレス又は予め設定された他の通信装置のIPアドレスを格納して、TCP/IP通信制御部22に渡す。
【0029】
また、基本ソフトウェア処理部11は、通信制御アプリケーション処理部12の制御にしたがって、DNSサーバの応答パケットであることを示すトランスポート層ヘッダのポート番号を格納し、IPアドレスの宛先を感染端末1Aとした通信データを作成して、ネットワークに送信する。
【0030】
このように、ワーム遮断装置8によれば、感染端末1AのIPアドレスを含み、ホスト名からIPアドレスを問い合わせDNSの通信データ、又は、不正な通信に関わる通信データを受信した場合、当該通信データに含まれるホスト名に拘わらず、偽のIPアドレスとして自己のIPアドレスを応答するので、感染端末1Aによって正しいIPアドレスを取得することを防止でき、DNSを利用した通信を遮断できる。また、感染端末1AからのDNSの問い合わせ、又は、不正な通信に対して、ワーム遮断装置8自身のIPアドレスではなく、ワームの感染状況を管理するサーバなどの他の通信装置のIPアドレスをDNSの応答とすることによって、感染端末1Aの通信先を当該他の通信装置に誘導することができる。これによって、感染端末1Aによる感染の拡大を防止できる。
【0031】
なお、上述の偽装したDNSサーバとして振る舞うワーム遮断装置8の設置場所としては、通信の傍受さえできればブリッジ型、スイッチ型、ルータ型、横付け型のいずれの形態でも良い。ただし、通信端末間を接続する通信線、又は、通信端末間で通信される通信データを中継するスイッチ2等の中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器としてワーム遮断装置8を構成する場合には、感染端末1Aの後述の偽装したICMP Redirectメッセージを利用する技術又は後述の偽装したARPメッセージを利用する技術を用いることで、感染端末1Aの通信をワーム遮断装置8に誘導する必要がある。また、図1においてはスイッチ2を介して感染端末1Aとワーム遮断装置8とが同一のサブネット(セグメント)に接続されている例を示しているが、別のサブネットに配置されていても、偽装したDNSサーバとして動作して感染端末1Aの通信を遮断できる。
【0032】
次に、感染端末1Aに、ネットワークにおいて最適な通信経路による通信を要求する経路変更要求通知(ICMP Redirectメッセージ)に対して、又は、不正な通信に関わる通信データに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知する処理について、図6及び図7を参照して説明する。なお、上述と同様の部分については、同一符号を付することによって、その詳細な説明を省略する。
【0033】
このICMP Redirectメッセージは、通信端末の通信経路にゲートウェイルータが2台以上存在するネットワークにおいて、最適なゲートウェイルータを通信端末に通知するためのメッセージである。ワーム遮断装置8は、このICMP Redirectメッセージを利用して、感染端末1Aの通信を遮断又は誘導することによって、感染端末1Aによる感染の拡大を防止する。
【0034】
このICMP Redirectメッセージを感染端末1Aで受信すると、感染端末1Aは、当該ICMP Redirectメッセージに含まれる最適経路のゲートウェイルータのIPアドレスに通信データの送信を行うように自己のルーティングテーブルを変更する。このような動作を利用して、ワーム遮断装置8は、自己のIPアドレス又は他の通信装置のIPアドレスをICMP Redirectメッセージに含めて、自己又は他の通信装置に感染端末1Aからの通信データを誘導する。
【0035】
このワーム遮断装置8は、図6に示すように、感染端末1Aとスイッチ2を介して同一セグメント(同一サブネット)に設置されおり、管理装置7から通信遮断命令S4を受信して、感染端末1AのIPアドレスを取得して、図7の感染端末情報リスト24に追加する。ここで、感染端末1Aには、デフォルトゲートウェイとして、ルータ3のIPアドレスが設定されている。
【0036】
これに対し、ワーム遮断装置8は、ICMP Redirectメッセージに、偽のIPアドレスとして自己のIPアドレス又は他の通信装置のIPアドレスを格納して、感染端末1Aに送信して、最適経路における偽装のゲートウェイルータとなる。この処理は、図7に示す偽装ICMP Redirect生成部31によって行われる。
【0037】
偽装ICMP Redirect生成部31は、予め設定した時間間隔ごとに、管理装置7からの通信遮断命令S4に含まれるIPアドレスが感染端末情報リスト24に追加されたかを判定して、新たなIPアドレスが追加された場合に、当該感染端末1AのIPアドレスを宛先とし、自己のIPアドレス又は他の通信装置のIPアドレスを含む偽装したICMP Redirectメッセージを生成する。これによって、例えば感染端末1Aに、最適経路のゲートウェイルータのIPアドレスが自己のIPアドレス「192.168.1.1」であることを通知して、感染端末1Aのルーティングテーブルを更新させて、以降の感染端末1Aからの通信データを自己に誘導できる。
【0038】
また、ワーム遮断装置8は、特定のIPアドレスだけに対するゲートウェイルータを偽のIPアドレスにするようにICMP Redirectメッセージを感染端末1Aに送信しても良い。例えば、感染端末1Aが重要なサーバに対して通信するために必要なゲートウェイルータに感染端末1Aがアクセスしないようにすることができる。
【0039】
更に、このワーム遮断装置8は、感染端末1AのIPアドレスが感染端末情報リスト24に追加されて、当該感染端末1Aが通信を行ったことを傍受した場合に、当該感染端末1Aが通信を行おうとしたIPアドレスに対するゲートウェイルータを偽のIPアドレスにするICMP Redirectメッセージを送信しても良い。これによって、感染端末1Aがネットワークに不正な通信データを送信しても、ゲートウェイルータによって中継されないようにできる。なお、通信装置のOS(Operation System)によっては宛先となるIPアドレスを指定していないICMP Redirectを受け取らない設定になっているものもある。この場合、ワーム遮断装置8は、感染端末1Aの通信を予め傍受できる場所に設置されているか、別の手段で感染端末1Aの通信を自身に誘導できる機能が必要である。ワーム遮断装置8は、感染端末1Aが新しいIPアドレス宛に通信パケットを送信する度に、当該IPアドレス宛の通信パケットのゲートウェイを偽のIPアドレスにするためにICMP Redirectメッセージを送信する。これによって、感染端末1Aが通信しようとするゲートウェイルータを偽のIPアドレスに随時更新させて、感染端末1Aからの通信データがゲートウェイルータを通じて外部に送信されることを抑制する。
【0040】
次に、ワーム遮断装置8によって、感染端末1Aのネットワーク層の通信アドレスに対応したデータリンク層の通信アドレスを取得しておき、感染端末1Aから送信された他の通信端末のデータリンク層の通信アドレスを要求するメッセージ、又は、不正な通信を検知したことに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを感染端末1Aに通知する処理ついて、図8及び図9を参照して説明する。なお、上述と同様の部分については、同一符号を付することによって、その詳細な説明を省略する。
【0041】
このワーム遮断装置8及び感染端末1Aは、同一ネットワーク内で通信を行うためには、通信相手のMACアドレスを取得する必要があり、当該MACアドレスを取得するためのプロトコルであるARPを利用して、偽装したARPに準拠したARPパケットをワーム遮断装置8によって感染端末1Aに送信することにより、感染端末1Aの通信を遮断又は誘導して、感染端末1Aによる感染の拡大を防止する。
【0042】
ワーム遮断装置8が感染端末1Aと同じセグメント(同一サブネット)に設置されている場合において、ワーム遮断装置8によって管理装置7から通信遮断命令S4が通知されて感染端末情報リスト24に感染端末1AのIPアドレスを追加する。この状態において、ワーム遮断装置8は、同一セグメント内の全てのIPアドレスについて、当該各IPアドレスに対応するMACアドレスが偽のMACアドレスであることを感染端末1Aに通知するARPリクエストを定期的に送信する処理、又は、感染端末1AからのARPリクエストに対するARPリプライに含めるMACアドレスを偽のMACアドレスとする。これによって、ワーム遮断装置8は、感染端末1Aから偽のMACアドレス宛に感染端末1Aの通信を誘導できる。
【0043】
具体的には、図8に示すように、ワーム遮断装置8と感染端末1Aと通信端末1Bとが同一セグメント内に存在する場合において、ワーム遮断装置8は、通信端末1BのIPアドレス「192.168.10.1」に対応したMACアドレスが自身のMACアドレス「AA:AA:AA:AA:AA:AA」であることを通知するARPリクエストを感染端末1Aに送信する処理、又は、感染端末1AからのARPリクエストに対して通信端末1BのIPアドレスに対応したMACアドレスが自身のMACアドレス「AA:AA:AA:AA:AA:AA」であることを通知するARPリプライを感染端末1Aに送信する。
【0044】
なお、通常、ARPに対応した通信装置は、IPアドレスとMACアドレスとの対応表を持っているが、OSによってARPリクエストとARPリプライの何れかを受信したときに対応表が書き換わるかは通信装置によって様々であるが、ARPプロトコルの性質上、ARPリクエストを送信した直後に偽造されたARPリプライを受け取ると、対応表が書き換わるので、感染端末1Aの対応表を偽のARPパケットで変更させることができる。
【0045】
このようなワーム遮断装置8は、図9に示すように、偽装したARPパケットを生成する偽装ARPパケット生成部41を備えている。この偽装ARPパケット生成部41は、予め設定した時間間隔ごとに、管理装置7からの通信遮断命令S4に含まれるIPアドレスが感染端末情報リスト24に追加されたかを判定して、新たなIPアドレスが追加された場合に、自己のMACアドレス又は他の通信装置のMACアドレスを含む偽装したARPパケットを生成する。これによって、例えば感染端末1Aに偽装したMACアドレスを含むARPテーブルを作成させて、以降の感染端末1Aからの通信データを自己又は他の通信装置に誘導できる。
【0046】
また、このワーム遮断装置8は、ネットワーク負荷を考慮して送信するARPパケットの数を少なくするために、特定のIPアドレスだけに対するMACアドレスを偽のMACアドレスにしても良い。例えばゲートウェイルータのMACアドレスを偽とすることで、感染端末1Aがサブネット外に不正な通信データを送信すること遮断あるいは制限することができ、感染端末1Aによる感染活動がサブネットワーク外に拡大することを防止できる。
【0047】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【0048】
すなわち、上述したワーム遮断装置8は、スイッチ2と接続されて配置されたものを示したが、これに限らず、図10に示すように、スイッチ51、ブリッジ装置52,ルータ53,横付け型機器54に、ワーム遮断装置8と同じ機能を実装させるための通信制御プログラムをインストールしても、上述の不正な通信を行った通信端末による感染活動を遮断するという効果を発揮させることができる。特に、通信装置間を接続する通信線、又は、通信装置間で通信される通信データを中継するスイッチ等の中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器としてワーム遮断装置8を構成する場合には、不正な通信を行った通信端末の通信を遮断する機能をシステムに導入するコスト等を低減できる。
【0049】
また、上述した実施形態における不正な通信を遮断するため機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてウェブ機能やメール機能を具備する家電機器がワームに感染した場合であっても、当該家電機器によって不正な通信がなされることを防止することができる。
【0050】
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。
【0051】
より具体的には、上述した不正な通信を遮断する機能を有する通信端末、管理装置7、ワーム遮断装置8や、スイッチ2、ルータ3等のネットワーク機器にEMIT技術を実現するEMITソフトウェアを搭載して、当該EMITソフトウェアを搭載した通信端末や管理装置7、ワーム遮断装置8と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。
【図面の簡単な説明】
【0052】
【図1】本発明を適用したワーム遮断装置を備えた通信システムの一構成例を示すブロック図である。
【図2】通信端末の通信処理を説明するシステム図である。
【図3】通信端末の通信処理を説明するフローチャートである。
【図4】本発明を適用したワーム遮断装置が偽装したDNSサーバとして振る舞う動作を説明するシステム図である。
【図5】本発明を適用したワーム遮断装置が偽装したDNSサーバとして振る舞うための構成を示すブロック図である。
【図6】本発明を適用したワーム遮断装置によって、偽装したICMP Redirectメッセージを感染端末に送信する動作を説明するシステム図である。
【図7】本発明を適用したワーム遮断装置が偽装したICMP Redirectメッセージを送信するための構成を示すブロック図である。
【図8】本発明を適用したワーム遮断装置によって、偽装したARPパケットを感染端末に送信する動作を説明するシステム図である。
【図9】本発明を適用したワーム遮断装置が偽装したARPパケットを送信するための構成を示すブロック図である。
【図10】本発明を適用したワーム遮断装置が実装される他の形態を説明するための図である。
【符号の説明】
【0053】
1A 感染端末
1A,1B 通信端末
2 スイッチ
3 ルータ
4 スイッチ
5 サーバ
6 ワーム検知装置
7 管理装置
8 ワーム遮断装置
11 基本ソフトウェア処理部
12 通信制御アプリケーション処理部
21 通信インターフェース部
22 TCP/IP通信制御部
23 感染端末情報受信部
24 感染端末情報リスト
25 偽装DNSメッセージ生成部
31 偽装ICMP Redirect生成部
41 偽装ARPパケット生成部
【特許請求の範囲】
【請求項1】
不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する通信遮断装置であって、
前記不正通信検知手段から、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得手段と、
前記不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となる当該他の通信端末のデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、前記不正な通信が検知されたことに対して、前記アドレス取得手段によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを前記不正な通信を行った通信端末に通知するアドレス通知手段と
を備えることを特徴とする通信遮断装置。
【請求項2】
前記アドレス通知手段は、
前記不正な通信を行った通信端末から送信された通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定する識別子を検出するアプリケーション検出手段と、
前記アプリケーション検出手段によって検出されたアプリケーションの種類が、他の通信端末のホスト名をネットワーク層の通信アドレスに変換する種類であるかを判別するアプリケーション判別手段と、
前記アプリケーション判別手段によって、アプリケーションの種類が他の通信端末のホスト名をネットワーク層の通信アドレスに変換する種類であることが判別された場合に、当該ホスト名に対するネットワーク層の通信アドレスとして、自己の通信アドレス又は予め設定された他の通信装置のアドレスを前記不正な通信を行った通信端末に通知することを特徴とする請求項1に記載の通信遮断装置。
【請求項3】
前記アドレス通知手段は、前記不正な通信を行った通信端末に、当該ネットワークにおいて最適な通信経路による通信を要求する経路変更要求通知に対して、又は、前記不正な通信が検知されたことに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知することを特徴とする請求項1に記載の通信遮断装置。
【請求項4】
前記アドレス取得手段は、前記不正な通信を行った通信端末のネットワーク層の通信アドレスに対応したデータリンク層の通信アドレスを取得しておき、
前記アドレス通知手段は、前記不正な通信を行った通信端末から送信された前記他の通信端末のデータリンク層の通信アドレスを要求するメッセージを検知したことに対して、又は、前記不正な通信が検知されたことに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを前記不正な通信を行った通信端末に通知すること
を特徴とする請求項1に記載の通信遮断装置。
【請求項5】
前記通信端末間を接続する通信線、又は、前記通信端末間で通信される通信データを中継する中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器からなることを特徴とする請求項1乃至請求項4の何れか一項に記載の通信遮断装置。
【請求項6】
不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する機能をコンピュータに実装させる通信遮断プログラムであって、
前記不正通信検知モジュールから、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得機能と、
前記不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となるデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、前記不正な通信が検知されたことに対して、前記アドレス取得機能によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知するアドレス通知機能と
をコンピュータに実装させることを特徴とする通信遮断プログラム。
【請求項1】
不正な通信を検知する不正通信検知手段によって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する通信遮断装置であって、
前記不正通信検知手段から、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得手段と、
前記不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となる当該他の通信端末のデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、前記不正な通信が検知されたことに対して、前記アドレス取得手段によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを前記不正な通信を行った通信端末に通知するアドレス通知手段と
を備えることを特徴とする通信遮断装置。
【請求項2】
前記アドレス通知手段は、
前記不正な通信を行った通信端末から送信された通信パケットに含まれるトランスポート層ヘッダの情報から、アプリケーションの種類を指定する識別子を検出するアプリケーション検出手段と、
前記アプリケーション検出手段によって検出されたアプリケーションの種類が、他の通信端末のホスト名をネットワーク層の通信アドレスに変換する種類であるかを判別するアプリケーション判別手段と、
前記アプリケーション判別手段によって、アプリケーションの種類が他の通信端末のホスト名をネットワーク層の通信アドレスに変換する種類であることが判別された場合に、当該ホスト名に対するネットワーク層の通信アドレスとして、自己の通信アドレス又は予め設定された他の通信装置のアドレスを前記不正な通信を行った通信端末に通知することを特徴とする請求項1に記載の通信遮断装置。
【請求項3】
前記アドレス通知手段は、前記不正な通信を行った通信端末に、当該ネットワークにおいて最適な通信経路による通信を要求する経路変更要求通知に対して、又は、前記不正な通信が検知されたことに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知することを特徴とする請求項1に記載の通信遮断装置。
【請求項4】
前記アドレス取得手段は、前記不正な通信を行った通信端末のネットワーク層の通信アドレスに対応したデータリンク層の通信アドレスを取得しておき、
前記アドレス通知手段は、前記不正な通信を行った通信端末から送信された前記他の通信端末のデータリンク層の通信アドレスを要求するメッセージを検知したことに対して、又は、前記不正な通信が検知されたことに対して、自己の通信アドレス又は予め設定された他の通信装置のアドレスを前記不正な通信を行った通信端末に通知すること
を特徴とする請求項1に記載の通信遮断装置。
【請求項5】
前記通信端末間を接続する通信線、又は、前記通信端末間で通信される通信データを中継する中継装置に接続され、当該通信線又は中継装置を通過する通信データを監視する横付け機器からなることを特徴とする請求項1乃至請求項4の何れか一項に記載の通信遮断装置。
【請求項6】
不正な通信を検知する不正通信検知モジュールによって、ネットワークに接続された通信端末が不正な通信をしたことが検知された場合に、当該通信端末が他の通信端末と通信することを遮断する機能をコンピュータに実装させる通信遮断プログラムであって、
前記不正通信検知モジュールから、当該不正な通信を行った通信端末のデータリンク層又はネットワーク層の通信アドレスを取得するアドレス取得機能と、
前記不正な通信を行った通信端末から、他の通信端末と通信をする際に必要となるデータリンク層又はネットワーク層の通信アドレスを通知する要求を検知したことに対して、又は、前記不正な通信が検知されたことに対して、前記アドレス取得機能によって取得した通信アドレス宛に、自己の通信アドレス又は予め設定された他の通信装置のアドレスを通知するアドレス通知機能と
をコンピュータに実装させることを特徴とする通信遮断プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−266931(P2007−266931A)
【公開日】平成19年10月11日(2007.10.11)
【国際特許分類】
【出願番号】特願2006−88461(P2006−88461)
【出願日】平成18年3月28日(2006.3.28)
【出願人】(000005832)松下電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成19年10月11日(2007.10.11)
【国際特許分類】
【出願日】平成18年3月28日(2006.3.28)
【出願人】(000005832)松下電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]