DNS偽装をするトロイの木馬を検出及び緩和するシステム及び方法
【解決手段】本発明の実施形態は、ドメインネームシステム(DNS)偽装をするトロイの木馬(又はトロイの)プログラムの検出及び/又は緩和するための方法及びシステムに関する。トロイの木馬プログラム(時々、マルウエア又は悪意があるソフトウェアと呼ばれる)は、コンピュータセキュリティの一般的課題である。トロイの木馬の中には感染したコンピュータを使ってDNS解決のメカニズムを修正し、インターネットを閲覧する際、前記コンピュータの正当な所有者が意図しない地点へ前記コンピュータのデータ通信の経路を設定するものがある。本発明は、リモートの装置又は場所からこの現象の検知を可能し及びその影響を緩和するための行動を実施することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はインターネット通信の分野に関し、さらに詳細にはインターネットセキュリティに関する。
【背景技術】
【0002】
トロイの木馬は、ターゲットであるマシン(例えばユーザのパーソナルコンピュータ(PC))に感染する悪意があるソフトウェア「ウィルス」であり、ユーザの信用を傷つけるもの及び/又は私的情報のようなものを意図しない第三者、例えばトロイの木馬の所有者又は送信者へ開示することにより、望ましくない目標に向かって人目を盗んで動作する。トロイの木馬は、被害者からの情報を取得するための「フィッシング」攻撃の一部として使用され得る。トロイの木馬によって採用される一技術は、人(そのユーザ)が安全なサイト又は信頼できる団体(例えば銀行のウェブサイト)を閲覧しているとユーザにだまして思わせることであり、その一方で実際にユーザは、例えばトロイの木馬の所有者によって管理されているサイトである異なるサイトをアクセスしている。この戦法はドメインネームシステム(DNS)偽装として知られ、安全又は信頼できるウェブサイトであると思う所にユーザがログインする際に、被害者の信用証明物、パスワード、アカウント又は他の個人情報を最終的に取得するために使用される。
【0003】
トロイの木馬がマシンのDNSを偽装する1つの方法は、オペレーティングシステムの「hosts」ファイルへエントリを追加することによる。異なるオペレーティングシステムは、異なる場所にそのhostsファイルをストアする。したがって例えば、Windows NT/2000/2003/XPでは完全なファイルパスは、%windir%¥system32¥drivers¥etc¥hostsであり、Windows 95/98/MEでは完全なファイルパスは、C:¥Windows¥hostsであり、UNIXシステム及びMac OS/Xでは完全なファイルパスは、/etc/hostsであり、そしてMac OS/9及びそれ以下では、そのファイル名は、Hostsであり、プリファレンス(Preference)ホルダ(またそれは異なるフォーマットであるが、トロイの木馬によって同種の作用が及ぼされる)の中に配置される。「hosts」ファイルは、一般に静的なDNSマッピング(例えば英数字であるホスト名から数値であるIPアドレスへのマッピング)を含み、それは、ユーザによって入力されたドメイン名のIPアドレスを解決するプロセスの間にコンピュータによって調べられる。
【0004】
以下は操作又は侵入されていないWindows/XPのhostsファイルの例である。
【0005】
【表1】
【0006】
一般にhostsファイル中のマッピング又はエントリは、DNSサーバクエリのような他のマッピングより優先する。したがってhostsファイルへエントリを追加することによってトロイの木馬ソフトウェアは、www.nosuchbank.comの本当のIPアドレスの代わりに、犠牲となるマシン(通常PC)がトロイの木馬の所有者によって制御されるIPアドレス(例えば10.20.30.40)を指すように、所望のウェブサイトの名前、ホスト名はここではクライアントの銀行のウェブサイトの例として使用される(例えばwww.nosuchbank.com)を強制的にマップする。以下の例は、トロイの木馬によって操作された後に見られるようなhostsファイルを例示している。読者は、このファイルの中の最終行がトロイの木馬によって追加されたことに気づくであろう。
【0007】
【表2】
【0008】
その結果として、ユーザがブラウザのアドレスバー中にwww.nosuchbank.comをタイプした際、そのユーザのPCは、(www.nosuchbank.comの本当のIPアドレスの代わりに)10.20.30.40へHTTPリクエストを送信し、ユーザは、(www.nosuchbank.comのウェブサイトの内容の代わりに)10.20.30.40上で見い出だすあらゆるページをブラウザの中で見ることになる。こうしてwww.nosuchbank.comのウェブサイト上の本当のページが表示されるのではなくむしろ、ユーザの機密事項を扱う情報を取得するように詐欺師によって作成されたページがそのユーザに表示される。このように、例えば安全又は信頼できるウェブページであると称しているウェブページが機密事項を扱う又は貴重なログインの詳細情報を要求する場合、ユーザはその詐欺師にこれらを提供することを知らずに信頼して提示するであろう。結果として詐欺師は、ユーザからの貴重な信用証明物を10.20.30.40サーバーから容易に集めることができる。
【0009】
代替として、(一般にトロイの木馬の所有者によって操作される)悪意があるDNSサーバを指すように、トロイの木馬はユーザマシンのネットワーク(TCP/IP)スタック中のDNSサーバのエントリを変更する。この場合、クライアントによって必要とされるあらゆるDNS解決は、このネットワークスタックが悪意あるDNSサーバを参考にする原因となる。このサーバは、1つ又は限定されたアドレス、例えば詐欺師のサイト例えば10.20.30.40へ解決するwww.nosuchbank.comを除いて、ほとんどあらゆるホスト名の本物のIPアドレスと共に応答するように構成される。
【0010】
既知の(アンチウィルス及びアンチマルウエアソフトソリューションのような)セキュリティソリューションは、感染したマシン自体の上で、ローカルに実行されるときにhostsファイル又はDNSサーバの構成が修正された(又は敵対している)ということを検知することができる。インターネットサービスプロバイダ(ISP)及びクライアントマシンへこのようなアクセスをしない他の団体に対しては、一般にこれらのソリューションそれ自体は、適切な解を提供することはできないが、しかし、それと同時に彼ら自身のリソース(ネットワーク帯域、カスタマサポートコールの削減、セキュリティ)はもちろん、このトロイの木馬の脅威からこれらクライアントを守るという動機が出る。
【0011】
したがって、DNS偽装攻撃に対する防御のための改良された方法、装置及びシステムに関する要求がある。
【発明の開示】
【課題を解決するための手段】
【0012】
本発明の実施形態は、DNS偽装攻撃のような攻撃を検出するための方法に関し、IPリクエストの通知の受信を含み、そのIPリクエストは、要求されたIPアドレスと所望のホスト名が関連付けされていて、さらに要求されたIPアドレスが所望のホスト名と一致しているか否かを検出することからなる方法である。
【0013】
本発明のいくつかの実施形態では、要求されたIPアドレスが所望のホスト名と一致しているか否かの検出は、要求されたIPアドレスの少なくとも1つのプロパティと所望のホスト名の比較可能なプロパティとの比較からなる。
【0014】
本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法は、さらに前記IPアドレスへの接続を防止することを含む。
本発明のいくつかの実施形態では、検知ステップは要求されたIPアドレスと関連付けされている真のホスト名を取得すること、及び真のホスト名と所望のホスト名を比較することからなる。実施形態の中には、要求されたIPアドレスと関連付けされている真のホスト名の取得が、リバースDNSルックアップデータベースを使用することからなるものもある。実施形態の中には、要求されたIPアドレスと関連付けされている真のホスト名の取得が、要求されたIPアドレスの身元を検索するWHOISデータベースを使用することからなるものもある。
【0015】
IPリクエストが申込者によって作成される本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらにその申込者へ通知を送信することを含む。
【0016】
IPリクエストが申込者によって作成される本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらにその申込者に情報提供するインターネットウェブサイトへ申込者を導くことを含む。
【0017】
本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらに第三者へ通知を送信することを含む。
IPリクエストが申込者によって作成される本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらに所望のホスト名と関連付けされている正しいIPアドレスの取得、及びその正しいIPアドレスへ申込者を導くことを含む。
【0018】
本発明のいくつかの実施形態では、IPリクエストの通知は、申込者へ向けられたドメインネームサーバからの応答であり、その応答は要求されたIPアドレスを含んでいる。
本発明のいくつかの実施形態では、その通知はインターネットサービスプロバイダ(ISP)によって、そのISPの申込者から受信されたIPリクエストである。
【0019】
本発明のいくつかの実施形態では、その方法は、ネットワークアドレスへ送信されたリクエストの通知の受信を含み、そのリクエストは、要求されたネットワークアドレスと所望のホスト名が関連付けされていて、更に要求されたネットワークアドレスが所望のホスト名と一致しているか否かを検出することを含む。本発明のいくつかの実施形態では、ネットワークアドレスはIPv6ネットワークアドレスであってもよい。
【発明を実施するための最良の形態】
【0020】
本発明で取り上げた主題の件が具体的に指摘され、本発明の結論の部分において明確に特許請求されている。しかし、その特徴及び利点と共にオペレーションの機構および方法の双方に関して、本発明が以下の図面と共に読まれる際に後述の詳細説明を参照することによって最も理解されるであろう。
【0021】
例示の単純さ及び明確のために図中に示された要素は、一定の縮尺で描かれる必要がないことは理解されよう。例えば要素のいくつかの外形は、明確性のために他の要素と比較して誇張されているかもしれない。さらに適切さが考慮される所において、対応する又は類似する要素を示すために参照番号が図の中で繰り返されているかもしれない。
【0022】
以下の説明において、本発明の様々な特徴を記述する。説明の目的のために、特定の構成及び詳細が、本発明の完全な理解を提供するために説明されている。しかし、またこの分野の当業者にとっては、ここで表現された特定の詳細がなくても本発明が実施できることは明らかであろう。さらによく知られた特徴は、本発明を不明瞭にしないように省略され、簡潔化されている。様々な例はこの説明を通して与えられる。これらは本発明の特定の実施形態の記述にすぎないが、本発明の範囲は、与えられた例に限定するものではない。
【0023】
以下の本発明の例である実施形態では、インターネットサービスプロバイダ(ISP)は、リモートの場所又は装置からそのクライアントの一部でDNS偽装をするトロイの木馬の存在を検出(及び緩和する)する能力を提供する。
【0024】
一般にISPは、サービスの申込者又はクライアントからのインターネット向けのすべての(HTTP)データ通信を監視する。一般に申込者は、異なるPC、例えば自宅、オフィス、友人宅、インターネットカフェ又はキオスク(売店)などからサービスにログインすることが分る。したがって、「背景技術」の中で上述した例を続けると、クライアントのオペレーティングシステムがIPアドレス10.20.30.40への英数字のホスト名であるwww.nosuchbank.comを解決後、クライアントのブラウザは、そのアドレスへHTTPリクエストを送信する。そのHTTPリクエスト中に、クライアントのブラウザはそのホスト名の値を持ったHTTPホストヘッダを含める。典型的なリクエストは、以下のように見えるであろう。
【0025】
【表3】
【0026】
本発明の実施形態では、ISPはクライアントからのIPリクエストの直接受信、又は例えばIPリクエストへの返信のような別の通知、又は第三者による前記IPリクエストの通知を含む様々な形式の中から少なくとも1つの形式でこのIPリクエストが通知される。
【0027】
IPリクエストの通知の時点で、ISPは、所望のホスト名のプロパティを確証(establish)又は検証し(又は以前確証又は検証した所望のホスト名のプロパティを取得し)、要求されたIPアドレスの類似するプロパティに対してこの正しい即ち真のプロパティと比較し、それによって要求されたIPアドレスが実際にそのホスト名に本当に対応しているかを検証する。これは例えば後述する1つ以上の技術の組み合わせを含むいくつかの方法で実施されてもよい。
【0028】
本発明のいくつかの実施形態では、前記プロパティはIPアドレスそれ自身であってもよい。前記IPリクエストの通知が提供された際に、(ブラウザによって要求されたホスト名である)www.nosuchbank.comが実際に要求されたIPアドレスと一致するか否かをISPは独立して検証する。
【0029】
本発明の一実施形態では、ホスト名及び要求されたIPアドレスのプロパティは、ウェブサイトの所有者である。したがってISPは、そのIPアドレスが信頼されたウェブサイトの所有者と称する者によって実際に所有されているか否かを判定するために、要求されたIPアドレスのリバースDNSルックアップを実行する。このようにして与えられた例を続けると、10.20.30.40のリバースルックアップは、IPアドレスの標準的ホスト名が実際にはwww.nosuchbank.comの中になかったことを明らかにする。別の代替は、IPアドレスに関するWHOISルックアップを実行し、IPアドレスの所有者とドメイン名(そのドメイン名は、ホスト名から導き出せる)の所有者とを比較することである。WHOISデータベースがネームサーバ、ドメイン名の登録機関、及びいくつかのケースにおいては、ドメイン名についての完全なコンタクト情報を含み得ることが思い起こせるであろう。各ドメイン名登録機関は、それらがサービスしているドメイン向けのすべてのコンタクト情報を含むWHOISデータベースを維持管理しているに違いない。
【0030】
本発明の実施形態による代替的又は付加的なものとして、ISPは認可したIPアドレスのキャッシュを保存していてもよい。このようにIPアドレスが認可されていることを一旦認識されると、ISPが所定の時間の間は再びクエリしないように決定することによって、その認可が毎回毎回実行される必要がなくなるように、常にこの方法の性能を改善できる。
【0031】
さらに本発明の実施形態における代替的又は付加的なものとして、比較されるプロパティがIPクラスに関連してもよい。大きな団体はしばしば、完全なクラスB/Cアドレス空間を所有するので、そのIPアドレスがクラスB/Cの任意の箇所にある場合、そのリクエストが疑わしくないと見なすことは無難である。このように例えばwww.nosuchbank.comに関する1つのIPアドレスが知られている場合、同じネットワーククラス(例えばクラスC,又はクラスB)は、安全か又は少なくとも危険はより少ないと見なされる。本発明の実施形態の中には、同じホスト名に関してIPアドレスが以前正当性を立証されたIPアドレスとは異なるクラスB/Cを有している場合、ISPが要求されたそのIPアドレスにクライアントを接続しないものがある。反対に、ISPは同じホスト名に関してIPアドレスが以前正当性を立証されたIPアドレスと同じクラスB/Cを有しているところでは、そのIPアドレス向けのリクエストに関してより少ない安全検査をするか又は全く実行しない。
【0032】
本発明の実施形態において、別のホスト名に関してではなく、ここで説明した種類の特定のホスト名を含んでいるIPリクエストに関してのみISPは、トロイの木馬のDNS偽装に対する高度のセキュリティチェックを実行する。このようにISPは、例えばフィッシング/トロイの木馬によって攻撃されそうな、例えば金融会社のような会社に関連するホスト名のリストを作成する。これらのホスト名は、例えばデータベースにおいて、ISPによって公式のIPアドレス関連付けされていて、そのホスト名を含んでいるIPリクエストに関するものに関して、ISPは、要求されたIPアドレスとそのデータベースに含まれたものとを比較する。このデータベースは、例えばISPによる独立した検証によるか又は例えばターゲットになるようなものから公式のリストを取得することによって蓄積される。実施形態の中には、このデータベースが「フィッシング攻撃者」のような既知のIPアドレスを含んでいて、及びクライアントの要求されたIPアドレスがフィッシング攻撃者のIPアドレスの「ブラックリスト」に対して比較されるものもある。実施形態の中には、より攻撃されやすい対象のドメインがISPにおけるこのデータベースに設置されるように出資又は対価を支払うものもある。つまり例えばwww.nosuchbank.comがDNS偽装をするトロイの木馬の好むターゲットであるということを決定し、前記サービスへ登録する。したがって本発明の実施形態を採用するISPは、www.nosuchbank.comを有するHostヘッダを監視し、及び公式のIPアドレスと一致しないIPアドレスをつきとめる。
【0033】
本発明の実施形態では、一旦フィッシング攻撃が検出されると、ISPは後述する方法のうち1つ又は組み合わせの中から対処することができる。
ISPが第一の場所にクライアントのIPアドレスを設定し、したがってISPは、そのコンタクト情報及び請求のアドレスと同様、クライアントの身元も知っているということを覚えているであろう。このようにしてISPは、クライアントPCがトロイの木馬によって感染していることをクライアントに積極的に知らせる事ができ、その結果、クライアントとの関係及びサービスのレベルを改善する。
【0034】
本発明のいくつかの実施形態では、ISPは第三者へ通知を送信する。その一実施形態では、ISPはCyota(登録商標)Consumer Solutionsのような既知の「フィッシング対策者(phish−fighter)」、RSA Security Inc.が提供しているものにコンタクトし、問題を起こすアドレス及びそれに「マップされた」ドメイン名を提供する。その後、フィッシング対策者は、そのフィッシング攻撃のウェブサイトを閉鎖するための行動をとることができる。
【0035】
本発明の実施形態では、目的のIPアドレスがHostヘッダの値と一致しないようなHTTPリクエストに応答して、ISPはクライアントに通知を送信する。一実施形態では、ISPはその彼の/又は彼女のPCがトロイの木馬に感染していることを情報提供するページを返し、及びISPのカスタマーサポート又はそのユーザを援助する第三者にコンタクトすることをクライントに提案する。
【0036】
最終的に本発明のいくつかの実施形態では、目的のIPアドレスがHostヘッダの値と一致しないようなHTTPリクエストに応答して、ISPは正しいウェブサイトを単に決定し、その正しいウェブサイトへの再経路設定を隠れて行う。
【0037】
上述したトロイの木馬によって使用されるDNS偽装技術の2つのタイプ、すなわちHostsファイルを変更すること、さらにクライアントマシンによって使用中のDNSサーバを変更することに対して本発明の実施形態が適用可能であることに注意されたい。つまり、HTTPリクエストは、依然ISPを通過し、しかもなお一致しないIPとホスト名を有しているので、同じソリューションが適用され得る。
【0038】
攻撃者のDNSサーバからクライアントへ返されるDNS応答をISPが監視することによって、後者の種類の攻撃であろうとも検出することができることにも注意されたい。例えばwww.nosuchbank.comを10.20.30.40へマップするDNS応答は、フィッシング詐欺がおそらくここで作用していることを示している。実際に本発明の実施形態の中には、疑いを抱きそしてアンチフィッシングの計測をトリガするためにISPのものではないDNSサーバをクライアントが使用することで十分なものもある。
【0039】
本発明の実施形態では、ここで新しく提案した方法及び機能を追加する可能な場所は、外部に向かうすべてのデータ通信を見るHTTP用の(HTTP−aware)装置内である。これは、例えば透過的キャッシュプロキシサーバであってもよい。外部に向かうHTTPデータ通信を監視する場合には、コンテンツ検閲サーバも適切である。同様にISPのLAN上のネットワークのデータ通信の監視を実行する任意の製品にもこの機能を含むことができる。
【0040】
フィッシング攻撃者は、一般にポート80接続の使用が後続する慣習に従うという仮定を基にして構成されているプロキシサーバによる遮断といったものを回避又は低減するために、フィッシング電子メール中でポート80接続ではないものを使用する。クライアントがアドレスバー中に既知の例えば銀行へのリンクをタイプする場合、非標準のポートを含むことは有りそうにない事が注目される。しかし実際、詐欺師がポート80ではない接続を使用する場合は、通常ポート80接続であると仮定している透過的プロキシサーバではデータ通信を途中で押さえること(intercept)ができない。さらに、この問題を克服するために、透過的プロキシサーバの範囲内で例えば非標準のポートが一旦わかると、そのような非標準ポートを含ませること、又はすべてのデータ通信を調査(監視)することが可能である。
【0041】
トロイの木馬によるDNS偽装の検出の代わり又はそれに加えて様々な目的の促進となるものの中で上述の本発明の実施形態が採用され得るということが分るであろう。例えばクライアントマシンのDNSデータ内の機能不良又はデータ破損検出のために使用されてもよい。さらにHTTP以外のプロトコル特にリクエスト又はサイトからの応答の中の一部としてホスト名を引用する必要がある場合に本発明が適用されてもよい。
【0042】
ISPが本発明の意図する場所又は受益者である一方で、最終的に同じ発明が別の設定と関連し、例えばファイアウォール又はインターネットゲートウェイ、及びローカルのクライアントのマシン上(パーソナルのファイアウォール内)で結集して使用され得ることが分るであろう。後者の実装においては、DNSマッピング用の信頼すべきソース(例えばISPのDNSサーバ)が、ホスト名に関連付けされているIPアドレスを比較及び検証することに対して信用に値するソースであることを保証するために、そのソリューションに対して有効になっていなければならない。
【0043】
様々な装置、アーキテクチャ、及び/又はシステム又は装置の一式が、システムを形成し、又は本発明の実施形態による方法を実行し、及び/又は本発明の実施形態による方法を達成する。本発明の様々な実施形態による方法は、1つ以上のプロセッサ又は(例えばメモリ、プロセッサ、ソフトウェア、データベースなどを含む)計算システムによって実行され、例えば様々なサイト又は計算プラットフォームを越えて分散され、一方実施形態による方法の中には、代替として単一のプロセッサ又は計算システムによって実行されるものもある。以下の例示は、本発明の一実施形態によるソリューションのアーキテクチャの要点を説明しており、別の適したアーキテクチャが本発明の別の実施形態によっても可能である。
【0044】
図1は、本発明のいくつかの実施形態による通信システム(100)の概略ブロック図を例示したものである。システム(100)は、例えばクライアント又は申込者(110)及びサーバ(120)を含んでもよい。システム(100)は、オプションとして追加的及び/又は別のハードウェアコンポーネント及び/又はソフトウェアコンポーネントを含んでもよい。
【0045】
クライアント(110)は、例えばパーソナルコンピュータ、デスクトップコンピュータ、モバイルコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、タブレットコンピュータ、個人用携帯情報端末(PDA)装置、ワイヤレス通信ステーション、ワイヤレス通信装置、又は同種のものであってもよいし又は含んでもよい。
【0046】
クライアント(110)は、例えばオペレーティングシステム(OS)(111)と同様に、1つ以上のアプリケーション(112)、例えばインターネットブラウザアプリケーション、電子メールクライアント、又は同種のものも含んでもよい。クライアント(110)は、さらにhostsファイル(113)及び/又はネットワークスタック(114)例えばTCP/IPスタックを含んでもよい。
【0047】
クライアント(110)は、例えば1つ以上のワイヤードリンク、1つ以上のワイヤレスリンク、1つ以上のコネクション、ネットワークリンク、TCP/IPリンク、IPv6リンク、又は1つ以上の中継ユニット(例えばゲートウェイ、プロキシ、又は同種のもの)を含むリンクであるリンク(130)を使用してサーバ(120)と通信してもよい。
【0048】
サーバ(120)は、例えばISPに設置されたインターネットサーバであってもよいし又は含んでいてもよい。サーバ(120)は、リンク(130)を介して例えばIPリクエストそれ自体を含むIPリクエストの通知をクライアント(110)から受信してもよい。サーバ(120)のアナライザ(121)は、例えば要求されたホスト名のプロパティが要求されたIPアドレスのプロパティと一致するか否かチェックするために、その受信したIPリクエストを解析してもよい。前述したように、相互に対して一致したプロパティは、例えばIPアドレス、及び/又は1つ以上の他のプロパティであってもよい。例えばそのIPリクエストの中に含まれる要求されたホスト名を基にして、サーバプロセッサ又はアナライザ(121)は、そのIPリクエスト以外のソースから、例えばローカルの又はリモートのDNSルックアップテーブル(122)又は同種のものから対応するIPアドレスを取得してもよい。そのIPリクエスト以外のソースから取得されたIPアドレスは、ここでは本当の又は「真のIPアドレス」と呼ぶ。
【0049】
アナライザ(120)は、受信したIPリクエスト中に含まれるIPアドレスがそのIPリクエスト以外のソースから取得された真のIPアドレスと同一であるかをチェックしてもよい。そのチェック結果が肯定の場合、アナライザ(120)がそのIPアドレスは、悪意がないと判定し、サーバ(120)は、そのIPリクエストを受信したものそのままとして処理するために次に進む。チェック結果が否定の場合、アナライザ(120)がそのIPリクエストは悪意があるものとし、サーバ(120)は、例えばそのIPリクエストを受信したものそのままとして処理をせず、及び/又はその代わり又は追加として、1つ以上の所定の処理手続き例えばハンドラ(123)を使って実行する。
【0050】
一実施形態では、例えばハンドラ(123)がクライアント(110)から受信したIPリクエストは悪意ありと判定されたという通知をクライアント(110)へ送信してもよい。別の実施形態では、クライアント(110)から受信したIPリクエストは悪意ありと判定されたという通知をハンドラ(123)が第三者例えばシステム管理者、アンチウィルスメーカ、フィッシング対策者又は同種のものへ送信してもよい。さらに別の実施形態では、ハンドラ(123)がクライアント(110)から受信したIPリクエストは悪意ありと判定されたという通知を含む特定のウェブサイト又はウェブページへクライアント(110)の出力先が変更されるように、通信の出力先を変更(リダイレクト)してもよい。またさらに別の実施形態では、ハンドラ(123)がそのIPリクエスト中に含まれたIPアドレスの代わりに(例えばそのIPリクエスト以外のソースから取得した)本当の又は真のIPアドレスへクライアント(110)を出力先変更されるように通信をリダイレクトしてもよい。実施形態の中には、上記の1つ以上の手続きが使用されてもよいし、及び/又は別の適応した手続きが使用されてもよい。
【0051】
ここでの論議の一部は例示目的のため、IPリクエスト中に含まれるIPアドレスと(例えばIPリクエスト以外のソースからの取得した)本当の即ち真のIPアドレスとの比較に関連するものであるが、別の適切な比較及び/又は解析が実行されてもよい。実施形態の中には、例えば要求されたIPアドレスの少なくとも1つのプロパティが所望のホスト名に対応するプロパティと比較されてもよい。例えばIPアドレスの比較の代わりに又は追加として、アナライザ(121)は例えばリバースDNSルックアップ又はローカルの又はリモートのWHOISデータベースを使用して、所望のホスト名及び要求されたIPアドレス双方のドメイン所有者の比較をしてもよい。
【0052】
図2は、本発明のいくつかの実施形態によるDNS偽装の検出及び緩和する方法の概略流れ図である。その方法のオペレーションは、例えば図1のシステム(100)、図1のサーバ(120)、及び/又は別の適したトランシーバ、ユニット、ステーション、装置、及び/又はシステムによって実装されてもよい。
【0053】
ボックス(210)で示すように、方法は例えばクライアントからサーバによる例えばIPリクエストの受信をオプションとして含んでもよい。
ボックス(220)で示すように、方法は例えばIPリクエスト中に含まれるIPアドレスのプロパティとそのリクエスト中に含まれる対応するホスト名のプロパティの比較をオプションとして含んでいてもよい。これは例えばIPリクエスト中に含まれるIPアドレスとIPリクエスト以外のソースから取得した(例えばIPリクエスト中に含まれる要求されたホスト名を基にした)真のIPアドレスとの比較を含んでいてもよい。
【0054】
ボックス(230)で示すように、方法は例えば比較結果がIPリクエストは悪意を持っているということを示しているか否かをチェックすることをオプションとして含んでもよい。
【0055】
IPリクエストが悪意を持っていない場合(矢印231)、方法は例えば受信した通りのそのIPリクエストの実行(ボックス240)をオプションとして含んでもよい。
反対に、IPリクエストが悪意を持っている場合(矢印232)、方法は例えば1つ以上のハンドリング手続き(ボックス250)の実行をオプションとして含んでもよい。これは、例えばそのクライアントへの通知の送信、第三者への通知の送信、通知を表示するウェブサイトへクライアントの出力先を変更(リダイレクト)、本当の又は真のIPアドレスを基にしたウェブサイトへクライアントの出力先を変更(リダイレクト)、及び/又は他の適したハンドリング手続きを含んでもよい。
【0056】
別の適したオペレーション又はオペレーションの一式が本発明の実施形態によって使用されてもよい。
実施形態の中には、その方法は、例えば1つ以上の所定のユーザ、申込者、スポンサ団体、又は同種のものに関してのみ選択的に実装されてもよいものがある。一実施形態では、例えばスポンサ団体(例えば銀行団体、保険プロバイダ、クレジットカードプロバイダ、又は同種のもの)は、ホスト名及び/又はIPリクエストによってスポンサ団体を参照する(例えば様々なユーザから来る)IPリクエストをISPが監視し、かつ前記IPリクエストが悪意を持っているか否かをチェックするように、ISPに登録してもよい。別の実施形態では、例えばコンピュータユーザは、そのコンピュータユーザから来るIPリクエストをISPが監視し、かつ前記IPリクエストが悪意を持っているか否かをチェックするようにISPに登録してもよい。別の適した登録方法が本発明の実施形態においてオプションとして使用されてもよい。
【0057】
この分野の当業者にとって、本発明の実施形態がこれまでに示し、詳細に記述してきた具体的なものによって限定されるものではないということが理解されるであろう。もっと正確に言えば、本発明の少なくとも一実施形態の範囲は、本発明の請求範囲によって定義される。
【図面の簡単な説明】
【0058】
【図1】本発明の一実施形態による通信システムの概略ブロック図である。
【図2】本発明の一実施形態によるDNS偽装を検出及び緩和するための方法を例示している流れ図である。
【技術分野】
【0001】
本発明はインターネット通信の分野に関し、さらに詳細にはインターネットセキュリティに関する。
【背景技術】
【0002】
トロイの木馬は、ターゲットであるマシン(例えばユーザのパーソナルコンピュータ(PC))に感染する悪意があるソフトウェア「ウィルス」であり、ユーザの信用を傷つけるもの及び/又は私的情報のようなものを意図しない第三者、例えばトロイの木馬の所有者又は送信者へ開示することにより、望ましくない目標に向かって人目を盗んで動作する。トロイの木馬は、被害者からの情報を取得するための「フィッシング」攻撃の一部として使用され得る。トロイの木馬によって採用される一技術は、人(そのユーザ)が安全なサイト又は信頼できる団体(例えば銀行のウェブサイト)を閲覧しているとユーザにだまして思わせることであり、その一方で実際にユーザは、例えばトロイの木馬の所有者によって管理されているサイトである異なるサイトをアクセスしている。この戦法はドメインネームシステム(DNS)偽装として知られ、安全又は信頼できるウェブサイトであると思う所にユーザがログインする際に、被害者の信用証明物、パスワード、アカウント又は他の個人情報を最終的に取得するために使用される。
【0003】
トロイの木馬がマシンのDNSを偽装する1つの方法は、オペレーティングシステムの「hosts」ファイルへエントリを追加することによる。異なるオペレーティングシステムは、異なる場所にそのhostsファイルをストアする。したがって例えば、Windows NT/2000/2003/XPでは完全なファイルパスは、%windir%¥system32¥drivers¥etc¥hostsであり、Windows 95/98/MEでは完全なファイルパスは、C:¥Windows¥hostsであり、UNIXシステム及びMac OS/Xでは完全なファイルパスは、/etc/hostsであり、そしてMac OS/9及びそれ以下では、そのファイル名は、Hostsであり、プリファレンス(Preference)ホルダ(またそれは異なるフォーマットであるが、トロイの木馬によって同種の作用が及ぼされる)の中に配置される。「hosts」ファイルは、一般に静的なDNSマッピング(例えば英数字であるホスト名から数値であるIPアドレスへのマッピング)を含み、それは、ユーザによって入力されたドメイン名のIPアドレスを解決するプロセスの間にコンピュータによって調べられる。
【0004】
以下は操作又は侵入されていないWindows/XPのhostsファイルの例である。
【0005】
【表1】
【0006】
一般にhostsファイル中のマッピング又はエントリは、DNSサーバクエリのような他のマッピングより優先する。したがってhostsファイルへエントリを追加することによってトロイの木馬ソフトウェアは、www.nosuchbank.comの本当のIPアドレスの代わりに、犠牲となるマシン(通常PC)がトロイの木馬の所有者によって制御されるIPアドレス(例えば10.20.30.40)を指すように、所望のウェブサイトの名前、ホスト名はここではクライアントの銀行のウェブサイトの例として使用される(例えばwww.nosuchbank.com)を強制的にマップする。以下の例は、トロイの木馬によって操作された後に見られるようなhostsファイルを例示している。読者は、このファイルの中の最終行がトロイの木馬によって追加されたことに気づくであろう。
【0007】
【表2】
【0008】
その結果として、ユーザがブラウザのアドレスバー中にwww.nosuchbank.comをタイプした際、そのユーザのPCは、(www.nosuchbank.comの本当のIPアドレスの代わりに)10.20.30.40へHTTPリクエストを送信し、ユーザは、(www.nosuchbank.comのウェブサイトの内容の代わりに)10.20.30.40上で見い出だすあらゆるページをブラウザの中で見ることになる。こうしてwww.nosuchbank.comのウェブサイト上の本当のページが表示されるのではなくむしろ、ユーザの機密事項を扱う情報を取得するように詐欺師によって作成されたページがそのユーザに表示される。このように、例えば安全又は信頼できるウェブページであると称しているウェブページが機密事項を扱う又は貴重なログインの詳細情報を要求する場合、ユーザはその詐欺師にこれらを提供することを知らずに信頼して提示するであろう。結果として詐欺師は、ユーザからの貴重な信用証明物を10.20.30.40サーバーから容易に集めることができる。
【0009】
代替として、(一般にトロイの木馬の所有者によって操作される)悪意があるDNSサーバを指すように、トロイの木馬はユーザマシンのネットワーク(TCP/IP)スタック中のDNSサーバのエントリを変更する。この場合、クライアントによって必要とされるあらゆるDNS解決は、このネットワークスタックが悪意あるDNSサーバを参考にする原因となる。このサーバは、1つ又は限定されたアドレス、例えば詐欺師のサイト例えば10.20.30.40へ解決するwww.nosuchbank.comを除いて、ほとんどあらゆるホスト名の本物のIPアドレスと共に応答するように構成される。
【0010】
既知の(アンチウィルス及びアンチマルウエアソフトソリューションのような)セキュリティソリューションは、感染したマシン自体の上で、ローカルに実行されるときにhostsファイル又はDNSサーバの構成が修正された(又は敵対している)ということを検知することができる。インターネットサービスプロバイダ(ISP)及びクライアントマシンへこのようなアクセスをしない他の団体に対しては、一般にこれらのソリューションそれ自体は、適切な解を提供することはできないが、しかし、それと同時に彼ら自身のリソース(ネットワーク帯域、カスタマサポートコールの削減、セキュリティ)はもちろん、このトロイの木馬の脅威からこれらクライアントを守るという動機が出る。
【0011】
したがって、DNS偽装攻撃に対する防御のための改良された方法、装置及びシステムに関する要求がある。
【発明の開示】
【課題を解決するための手段】
【0012】
本発明の実施形態は、DNS偽装攻撃のような攻撃を検出するための方法に関し、IPリクエストの通知の受信を含み、そのIPリクエストは、要求されたIPアドレスと所望のホスト名が関連付けされていて、さらに要求されたIPアドレスが所望のホスト名と一致しているか否かを検出することからなる方法である。
【0013】
本発明のいくつかの実施形態では、要求されたIPアドレスが所望のホスト名と一致しているか否かの検出は、要求されたIPアドレスの少なくとも1つのプロパティと所望のホスト名の比較可能なプロパティとの比較からなる。
【0014】
本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法は、さらに前記IPアドレスへの接続を防止することを含む。
本発明のいくつかの実施形態では、検知ステップは要求されたIPアドレスと関連付けされている真のホスト名を取得すること、及び真のホスト名と所望のホスト名を比較することからなる。実施形態の中には、要求されたIPアドレスと関連付けされている真のホスト名の取得が、リバースDNSルックアップデータベースを使用することからなるものもある。実施形態の中には、要求されたIPアドレスと関連付けされている真のホスト名の取得が、要求されたIPアドレスの身元を検索するWHOISデータベースを使用することからなるものもある。
【0015】
IPリクエストが申込者によって作成される本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらにその申込者へ通知を送信することを含む。
【0016】
IPリクエストが申込者によって作成される本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらにその申込者に情報提供するインターネットウェブサイトへ申込者を導くことを含む。
【0017】
本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらに第三者へ通知を送信することを含む。
IPリクエストが申込者によって作成される本発明のいくつかの実施形態では、IPアドレスが所望のホスト名と一致しない場合、その方法はさらに所望のホスト名と関連付けされている正しいIPアドレスの取得、及びその正しいIPアドレスへ申込者を導くことを含む。
【0018】
本発明のいくつかの実施形態では、IPリクエストの通知は、申込者へ向けられたドメインネームサーバからの応答であり、その応答は要求されたIPアドレスを含んでいる。
本発明のいくつかの実施形態では、その通知はインターネットサービスプロバイダ(ISP)によって、そのISPの申込者から受信されたIPリクエストである。
【0019】
本発明のいくつかの実施形態では、その方法は、ネットワークアドレスへ送信されたリクエストの通知の受信を含み、そのリクエストは、要求されたネットワークアドレスと所望のホスト名が関連付けされていて、更に要求されたネットワークアドレスが所望のホスト名と一致しているか否かを検出することを含む。本発明のいくつかの実施形態では、ネットワークアドレスはIPv6ネットワークアドレスであってもよい。
【発明を実施するための最良の形態】
【0020】
本発明で取り上げた主題の件が具体的に指摘され、本発明の結論の部分において明確に特許請求されている。しかし、その特徴及び利点と共にオペレーションの機構および方法の双方に関して、本発明が以下の図面と共に読まれる際に後述の詳細説明を参照することによって最も理解されるであろう。
【0021】
例示の単純さ及び明確のために図中に示された要素は、一定の縮尺で描かれる必要がないことは理解されよう。例えば要素のいくつかの外形は、明確性のために他の要素と比較して誇張されているかもしれない。さらに適切さが考慮される所において、対応する又は類似する要素を示すために参照番号が図の中で繰り返されているかもしれない。
【0022】
以下の説明において、本発明の様々な特徴を記述する。説明の目的のために、特定の構成及び詳細が、本発明の完全な理解を提供するために説明されている。しかし、またこの分野の当業者にとっては、ここで表現された特定の詳細がなくても本発明が実施できることは明らかであろう。さらによく知られた特徴は、本発明を不明瞭にしないように省略され、簡潔化されている。様々な例はこの説明を通して与えられる。これらは本発明の特定の実施形態の記述にすぎないが、本発明の範囲は、与えられた例に限定するものではない。
【0023】
以下の本発明の例である実施形態では、インターネットサービスプロバイダ(ISP)は、リモートの場所又は装置からそのクライアントの一部でDNS偽装をするトロイの木馬の存在を検出(及び緩和する)する能力を提供する。
【0024】
一般にISPは、サービスの申込者又はクライアントからのインターネット向けのすべての(HTTP)データ通信を監視する。一般に申込者は、異なるPC、例えば自宅、オフィス、友人宅、インターネットカフェ又はキオスク(売店)などからサービスにログインすることが分る。したがって、「背景技術」の中で上述した例を続けると、クライアントのオペレーティングシステムがIPアドレス10.20.30.40への英数字のホスト名であるwww.nosuchbank.comを解決後、クライアントのブラウザは、そのアドレスへHTTPリクエストを送信する。そのHTTPリクエスト中に、クライアントのブラウザはそのホスト名の値を持ったHTTPホストヘッダを含める。典型的なリクエストは、以下のように見えるであろう。
【0025】
【表3】
【0026】
本発明の実施形態では、ISPはクライアントからのIPリクエストの直接受信、又は例えばIPリクエストへの返信のような別の通知、又は第三者による前記IPリクエストの通知を含む様々な形式の中から少なくとも1つの形式でこのIPリクエストが通知される。
【0027】
IPリクエストの通知の時点で、ISPは、所望のホスト名のプロパティを確証(establish)又は検証し(又は以前確証又は検証した所望のホスト名のプロパティを取得し)、要求されたIPアドレスの類似するプロパティに対してこの正しい即ち真のプロパティと比較し、それによって要求されたIPアドレスが実際にそのホスト名に本当に対応しているかを検証する。これは例えば後述する1つ以上の技術の組み合わせを含むいくつかの方法で実施されてもよい。
【0028】
本発明のいくつかの実施形態では、前記プロパティはIPアドレスそれ自身であってもよい。前記IPリクエストの通知が提供された際に、(ブラウザによって要求されたホスト名である)www.nosuchbank.comが実際に要求されたIPアドレスと一致するか否かをISPは独立して検証する。
【0029】
本発明の一実施形態では、ホスト名及び要求されたIPアドレスのプロパティは、ウェブサイトの所有者である。したがってISPは、そのIPアドレスが信頼されたウェブサイトの所有者と称する者によって実際に所有されているか否かを判定するために、要求されたIPアドレスのリバースDNSルックアップを実行する。このようにして与えられた例を続けると、10.20.30.40のリバースルックアップは、IPアドレスの標準的ホスト名が実際にはwww.nosuchbank.comの中になかったことを明らかにする。別の代替は、IPアドレスに関するWHOISルックアップを実行し、IPアドレスの所有者とドメイン名(そのドメイン名は、ホスト名から導き出せる)の所有者とを比較することである。WHOISデータベースがネームサーバ、ドメイン名の登録機関、及びいくつかのケースにおいては、ドメイン名についての完全なコンタクト情報を含み得ることが思い起こせるであろう。各ドメイン名登録機関は、それらがサービスしているドメイン向けのすべてのコンタクト情報を含むWHOISデータベースを維持管理しているに違いない。
【0030】
本発明の実施形態による代替的又は付加的なものとして、ISPは認可したIPアドレスのキャッシュを保存していてもよい。このようにIPアドレスが認可されていることを一旦認識されると、ISPが所定の時間の間は再びクエリしないように決定することによって、その認可が毎回毎回実行される必要がなくなるように、常にこの方法の性能を改善できる。
【0031】
さらに本発明の実施形態における代替的又は付加的なものとして、比較されるプロパティがIPクラスに関連してもよい。大きな団体はしばしば、完全なクラスB/Cアドレス空間を所有するので、そのIPアドレスがクラスB/Cの任意の箇所にある場合、そのリクエストが疑わしくないと見なすことは無難である。このように例えばwww.nosuchbank.comに関する1つのIPアドレスが知られている場合、同じネットワーククラス(例えばクラスC,又はクラスB)は、安全か又は少なくとも危険はより少ないと見なされる。本発明の実施形態の中には、同じホスト名に関してIPアドレスが以前正当性を立証されたIPアドレスとは異なるクラスB/Cを有している場合、ISPが要求されたそのIPアドレスにクライアントを接続しないものがある。反対に、ISPは同じホスト名に関してIPアドレスが以前正当性を立証されたIPアドレスと同じクラスB/Cを有しているところでは、そのIPアドレス向けのリクエストに関してより少ない安全検査をするか又は全く実行しない。
【0032】
本発明の実施形態において、別のホスト名に関してではなく、ここで説明した種類の特定のホスト名を含んでいるIPリクエストに関してのみISPは、トロイの木馬のDNS偽装に対する高度のセキュリティチェックを実行する。このようにISPは、例えばフィッシング/トロイの木馬によって攻撃されそうな、例えば金融会社のような会社に関連するホスト名のリストを作成する。これらのホスト名は、例えばデータベースにおいて、ISPによって公式のIPアドレス関連付けされていて、そのホスト名を含んでいるIPリクエストに関するものに関して、ISPは、要求されたIPアドレスとそのデータベースに含まれたものとを比較する。このデータベースは、例えばISPによる独立した検証によるか又は例えばターゲットになるようなものから公式のリストを取得することによって蓄積される。実施形態の中には、このデータベースが「フィッシング攻撃者」のような既知のIPアドレスを含んでいて、及びクライアントの要求されたIPアドレスがフィッシング攻撃者のIPアドレスの「ブラックリスト」に対して比較されるものもある。実施形態の中には、より攻撃されやすい対象のドメインがISPにおけるこのデータベースに設置されるように出資又は対価を支払うものもある。つまり例えばwww.nosuchbank.comがDNS偽装をするトロイの木馬の好むターゲットであるということを決定し、前記サービスへ登録する。したがって本発明の実施形態を採用するISPは、www.nosuchbank.comを有するHostヘッダを監視し、及び公式のIPアドレスと一致しないIPアドレスをつきとめる。
【0033】
本発明の実施形態では、一旦フィッシング攻撃が検出されると、ISPは後述する方法のうち1つ又は組み合わせの中から対処することができる。
ISPが第一の場所にクライアントのIPアドレスを設定し、したがってISPは、そのコンタクト情報及び請求のアドレスと同様、クライアントの身元も知っているということを覚えているであろう。このようにしてISPは、クライアントPCがトロイの木馬によって感染していることをクライアントに積極的に知らせる事ができ、その結果、クライアントとの関係及びサービスのレベルを改善する。
【0034】
本発明のいくつかの実施形態では、ISPは第三者へ通知を送信する。その一実施形態では、ISPはCyota(登録商標)Consumer Solutionsのような既知の「フィッシング対策者(phish−fighter)」、RSA Security Inc.が提供しているものにコンタクトし、問題を起こすアドレス及びそれに「マップされた」ドメイン名を提供する。その後、フィッシング対策者は、そのフィッシング攻撃のウェブサイトを閉鎖するための行動をとることができる。
【0035】
本発明の実施形態では、目的のIPアドレスがHostヘッダの値と一致しないようなHTTPリクエストに応答して、ISPはクライアントに通知を送信する。一実施形態では、ISPはその彼の/又は彼女のPCがトロイの木馬に感染していることを情報提供するページを返し、及びISPのカスタマーサポート又はそのユーザを援助する第三者にコンタクトすることをクライントに提案する。
【0036】
最終的に本発明のいくつかの実施形態では、目的のIPアドレスがHostヘッダの値と一致しないようなHTTPリクエストに応答して、ISPは正しいウェブサイトを単に決定し、その正しいウェブサイトへの再経路設定を隠れて行う。
【0037】
上述したトロイの木馬によって使用されるDNS偽装技術の2つのタイプ、すなわちHostsファイルを変更すること、さらにクライアントマシンによって使用中のDNSサーバを変更することに対して本発明の実施形態が適用可能であることに注意されたい。つまり、HTTPリクエストは、依然ISPを通過し、しかもなお一致しないIPとホスト名を有しているので、同じソリューションが適用され得る。
【0038】
攻撃者のDNSサーバからクライアントへ返されるDNS応答をISPが監視することによって、後者の種類の攻撃であろうとも検出することができることにも注意されたい。例えばwww.nosuchbank.comを10.20.30.40へマップするDNS応答は、フィッシング詐欺がおそらくここで作用していることを示している。実際に本発明の実施形態の中には、疑いを抱きそしてアンチフィッシングの計測をトリガするためにISPのものではないDNSサーバをクライアントが使用することで十分なものもある。
【0039】
本発明の実施形態では、ここで新しく提案した方法及び機能を追加する可能な場所は、外部に向かうすべてのデータ通信を見るHTTP用の(HTTP−aware)装置内である。これは、例えば透過的キャッシュプロキシサーバであってもよい。外部に向かうHTTPデータ通信を監視する場合には、コンテンツ検閲サーバも適切である。同様にISPのLAN上のネットワークのデータ通信の監視を実行する任意の製品にもこの機能を含むことができる。
【0040】
フィッシング攻撃者は、一般にポート80接続の使用が後続する慣習に従うという仮定を基にして構成されているプロキシサーバによる遮断といったものを回避又は低減するために、フィッシング電子メール中でポート80接続ではないものを使用する。クライアントがアドレスバー中に既知の例えば銀行へのリンクをタイプする場合、非標準のポートを含むことは有りそうにない事が注目される。しかし実際、詐欺師がポート80ではない接続を使用する場合は、通常ポート80接続であると仮定している透過的プロキシサーバではデータ通信を途中で押さえること(intercept)ができない。さらに、この問題を克服するために、透過的プロキシサーバの範囲内で例えば非標準のポートが一旦わかると、そのような非標準ポートを含ませること、又はすべてのデータ通信を調査(監視)することが可能である。
【0041】
トロイの木馬によるDNS偽装の検出の代わり又はそれに加えて様々な目的の促進となるものの中で上述の本発明の実施形態が採用され得るということが分るであろう。例えばクライアントマシンのDNSデータ内の機能不良又はデータ破損検出のために使用されてもよい。さらにHTTP以外のプロトコル特にリクエスト又はサイトからの応答の中の一部としてホスト名を引用する必要がある場合に本発明が適用されてもよい。
【0042】
ISPが本発明の意図する場所又は受益者である一方で、最終的に同じ発明が別の設定と関連し、例えばファイアウォール又はインターネットゲートウェイ、及びローカルのクライアントのマシン上(パーソナルのファイアウォール内)で結集して使用され得ることが分るであろう。後者の実装においては、DNSマッピング用の信頼すべきソース(例えばISPのDNSサーバ)が、ホスト名に関連付けされているIPアドレスを比較及び検証することに対して信用に値するソースであることを保証するために、そのソリューションに対して有効になっていなければならない。
【0043】
様々な装置、アーキテクチャ、及び/又はシステム又は装置の一式が、システムを形成し、又は本発明の実施形態による方法を実行し、及び/又は本発明の実施形態による方法を達成する。本発明の様々な実施形態による方法は、1つ以上のプロセッサ又は(例えばメモリ、プロセッサ、ソフトウェア、データベースなどを含む)計算システムによって実行され、例えば様々なサイト又は計算プラットフォームを越えて分散され、一方実施形態による方法の中には、代替として単一のプロセッサ又は計算システムによって実行されるものもある。以下の例示は、本発明の一実施形態によるソリューションのアーキテクチャの要点を説明しており、別の適したアーキテクチャが本発明の別の実施形態によっても可能である。
【0044】
図1は、本発明のいくつかの実施形態による通信システム(100)の概略ブロック図を例示したものである。システム(100)は、例えばクライアント又は申込者(110)及びサーバ(120)を含んでもよい。システム(100)は、オプションとして追加的及び/又は別のハードウェアコンポーネント及び/又はソフトウェアコンポーネントを含んでもよい。
【0045】
クライアント(110)は、例えばパーソナルコンピュータ、デスクトップコンピュータ、モバイルコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、タブレットコンピュータ、個人用携帯情報端末(PDA)装置、ワイヤレス通信ステーション、ワイヤレス通信装置、又は同種のものであってもよいし又は含んでもよい。
【0046】
クライアント(110)は、例えばオペレーティングシステム(OS)(111)と同様に、1つ以上のアプリケーション(112)、例えばインターネットブラウザアプリケーション、電子メールクライアント、又は同種のものも含んでもよい。クライアント(110)は、さらにhostsファイル(113)及び/又はネットワークスタック(114)例えばTCP/IPスタックを含んでもよい。
【0047】
クライアント(110)は、例えば1つ以上のワイヤードリンク、1つ以上のワイヤレスリンク、1つ以上のコネクション、ネットワークリンク、TCP/IPリンク、IPv6リンク、又は1つ以上の中継ユニット(例えばゲートウェイ、プロキシ、又は同種のもの)を含むリンクであるリンク(130)を使用してサーバ(120)と通信してもよい。
【0048】
サーバ(120)は、例えばISPに設置されたインターネットサーバであってもよいし又は含んでいてもよい。サーバ(120)は、リンク(130)を介して例えばIPリクエストそれ自体を含むIPリクエストの通知をクライアント(110)から受信してもよい。サーバ(120)のアナライザ(121)は、例えば要求されたホスト名のプロパティが要求されたIPアドレスのプロパティと一致するか否かチェックするために、その受信したIPリクエストを解析してもよい。前述したように、相互に対して一致したプロパティは、例えばIPアドレス、及び/又は1つ以上の他のプロパティであってもよい。例えばそのIPリクエストの中に含まれる要求されたホスト名を基にして、サーバプロセッサ又はアナライザ(121)は、そのIPリクエスト以外のソースから、例えばローカルの又はリモートのDNSルックアップテーブル(122)又は同種のものから対応するIPアドレスを取得してもよい。そのIPリクエスト以外のソースから取得されたIPアドレスは、ここでは本当の又は「真のIPアドレス」と呼ぶ。
【0049】
アナライザ(120)は、受信したIPリクエスト中に含まれるIPアドレスがそのIPリクエスト以外のソースから取得された真のIPアドレスと同一であるかをチェックしてもよい。そのチェック結果が肯定の場合、アナライザ(120)がそのIPアドレスは、悪意がないと判定し、サーバ(120)は、そのIPリクエストを受信したものそのままとして処理するために次に進む。チェック結果が否定の場合、アナライザ(120)がそのIPリクエストは悪意があるものとし、サーバ(120)は、例えばそのIPリクエストを受信したものそのままとして処理をせず、及び/又はその代わり又は追加として、1つ以上の所定の処理手続き例えばハンドラ(123)を使って実行する。
【0050】
一実施形態では、例えばハンドラ(123)がクライアント(110)から受信したIPリクエストは悪意ありと判定されたという通知をクライアント(110)へ送信してもよい。別の実施形態では、クライアント(110)から受信したIPリクエストは悪意ありと判定されたという通知をハンドラ(123)が第三者例えばシステム管理者、アンチウィルスメーカ、フィッシング対策者又は同種のものへ送信してもよい。さらに別の実施形態では、ハンドラ(123)がクライアント(110)から受信したIPリクエストは悪意ありと判定されたという通知を含む特定のウェブサイト又はウェブページへクライアント(110)の出力先が変更されるように、通信の出力先を変更(リダイレクト)してもよい。またさらに別の実施形態では、ハンドラ(123)がそのIPリクエスト中に含まれたIPアドレスの代わりに(例えばそのIPリクエスト以外のソースから取得した)本当の又は真のIPアドレスへクライアント(110)を出力先変更されるように通信をリダイレクトしてもよい。実施形態の中には、上記の1つ以上の手続きが使用されてもよいし、及び/又は別の適応した手続きが使用されてもよい。
【0051】
ここでの論議の一部は例示目的のため、IPリクエスト中に含まれるIPアドレスと(例えばIPリクエスト以外のソースからの取得した)本当の即ち真のIPアドレスとの比較に関連するものであるが、別の適切な比較及び/又は解析が実行されてもよい。実施形態の中には、例えば要求されたIPアドレスの少なくとも1つのプロパティが所望のホスト名に対応するプロパティと比較されてもよい。例えばIPアドレスの比較の代わりに又は追加として、アナライザ(121)は例えばリバースDNSルックアップ又はローカルの又はリモートのWHOISデータベースを使用して、所望のホスト名及び要求されたIPアドレス双方のドメイン所有者の比較をしてもよい。
【0052】
図2は、本発明のいくつかの実施形態によるDNS偽装の検出及び緩和する方法の概略流れ図である。その方法のオペレーションは、例えば図1のシステム(100)、図1のサーバ(120)、及び/又は別の適したトランシーバ、ユニット、ステーション、装置、及び/又はシステムによって実装されてもよい。
【0053】
ボックス(210)で示すように、方法は例えばクライアントからサーバによる例えばIPリクエストの受信をオプションとして含んでもよい。
ボックス(220)で示すように、方法は例えばIPリクエスト中に含まれるIPアドレスのプロパティとそのリクエスト中に含まれる対応するホスト名のプロパティの比較をオプションとして含んでいてもよい。これは例えばIPリクエスト中に含まれるIPアドレスとIPリクエスト以外のソースから取得した(例えばIPリクエスト中に含まれる要求されたホスト名を基にした)真のIPアドレスとの比較を含んでいてもよい。
【0054】
ボックス(230)で示すように、方法は例えば比較結果がIPリクエストは悪意を持っているということを示しているか否かをチェックすることをオプションとして含んでもよい。
【0055】
IPリクエストが悪意を持っていない場合(矢印231)、方法は例えば受信した通りのそのIPリクエストの実行(ボックス240)をオプションとして含んでもよい。
反対に、IPリクエストが悪意を持っている場合(矢印232)、方法は例えば1つ以上のハンドリング手続き(ボックス250)の実行をオプションとして含んでもよい。これは、例えばそのクライアントへの通知の送信、第三者への通知の送信、通知を表示するウェブサイトへクライアントの出力先を変更(リダイレクト)、本当の又は真のIPアドレスを基にしたウェブサイトへクライアントの出力先を変更(リダイレクト)、及び/又は他の適したハンドリング手続きを含んでもよい。
【0056】
別の適したオペレーション又はオペレーションの一式が本発明の実施形態によって使用されてもよい。
実施形態の中には、その方法は、例えば1つ以上の所定のユーザ、申込者、スポンサ団体、又は同種のものに関してのみ選択的に実装されてもよいものがある。一実施形態では、例えばスポンサ団体(例えば銀行団体、保険プロバイダ、クレジットカードプロバイダ、又は同種のもの)は、ホスト名及び/又はIPリクエストによってスポンサ団体を参照する(例えば様々なユーザから来る)IPリクエストをISPが監視し、かつ前記IPリクエストが悪意を持っているか否かをチェックするように、ISPに登録してもよい。別の実施形態では、例えばコンピュータユーザは、そのコンピュータユーザから来るIPリクエストをISPが監視し、かつ前記IPリクエストが悪意を持っているか否かをチェックするようにISPに登録してもよい。別の適した登録方法が本発明の実施形態においてオプションとして使用されてもよい。
【0057】
この分野の当業者にとって、本発明の実施形態がこれまでに示し、詳細に記述してきた具体的なものによって限定されるものではないということが理解されるであろう。もっと正確に言えば、本発明の少なくとも一実施形態の範囲は、本発明の請求範囲によって定義される。
【図面の簡単な説明】
【0058】
【図1】本発明の一実施形態による通信システムの概略ブロック図である。
【図2】本発明の一実施形態によるDNS偽装を検出及び緩和するための方法を例示している流れ図である。
【特許請求の範囲】
【請求項1】
偽装検出の方法が、IPリクエスト通知の受信からなり、前記IPリクエストは、要求されたIPアドレスと所望のホスト名とに関連付けされていて、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出することからなる偽装検出方法。
【請求項2】
前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出するステップが、前記要求されたIPアドレスの少なくとも1つのプロパティと前記所望のホスト名の比較され得るプロパティとの比較からなる請求項1記載の方法。
【請求項3】
前記IPアドレスが前記ホスト名と一致しない場合、さらに前記IPアドレスへの接続の防止を含む請求項1記載の方法。
【請求項4】
前記検出ステップが、前記要求されたIPアドレスに関連付けされた真のホスト名の取得、及び前記真のホスト名と前記所望のホスト名との比較からなる請求項1記載の方法。
【請求項5】
前記要求されたIPアドレスに関連付けされた真のホスト名の取得がリバースDNSルックアップデータベースの使用からなる請求項4記載の方法。
【請求項6】
前記要求されたIPアドレスに関連付けされた真のホスト名の取得が前記要求されたIPアドレスの身元を検索するためのWHOISデータベースの使用からなる請求項4記載の方法。
【請求項7】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記申込者への通知の送信を含む請求項1記載の方法。
【請求項8】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記申込者に情報提供するインターネットウェブサイトへ前記申込者を導くことを含む請求項1記載の方法。
【請求項9】
前記IPアドレスが前記ホスト名と一致しない場合、さらに第三者への通知送信を含む請求項1記載の方法。
【請求項10】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記所望のホスト名と関連付けされた正しいIPアドレスの取得と、前記正しいIPアドレスへ前記申込者を導くことを含むこと特徴とする請求項1記載の方法。
【請求項11】
前記IPリクエストの前記通知が申込者へ向けられたドメインネームサーバからの応答であって、前記応答が前記要求されたIPアドレスを含むことを特徴とする請求項1記載の方法。
【請求項12】
前記通知がインタネットサービスプロバイダ(ISP)によって前記ISPの申込者から受信されたIPリクエストであることを特徴とする請求項1記載の方法。
【請求項13】
ネットワークアドレスへ送信されたリクエストの通知の受信からなる方法であって、前記リクエストは、要求されたネットワークアドレス及び所望のホスト名が関連付けされていて、前記要求されたネットワークアドレスが前記所望のホスト名と一致するか否かを検出することからなる方法。
【請求項14】
前記ネットワークアドレスがIPv6ネットワークアドレスであることを特徴とする請求項13記載の方法。
【請求項15】
IPリクエストの通知を受信するアナライザからなるシステムであって、前記IPリクエストは要求されたIPアドレス及び所望のホスト名が関連付けされていて、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出するアナライザからなるシステム。
【請求項16】
前記アナライザは、前記要求されたIPアドレスの少なくとも1つのプロパティと前記所望のホスト名の比較され得るプロパティとの比較を特徴とする請求項15記載のシステム。
【請求項17】
前記IPアドレスが前記ホスト名と一致しない場合、前記IPアドレスへの接続を防止することを特徴とする請求項15記載のシステム。
【請求項18】
前記アナライザが、前記要求されたIPアドレスに関連付けされた真のホスト名の取得、及び前記真のホスト名と前記所望のホスト名との比較をすることを特徴とする請求項15記載のシステム。
【請求項19】
前記アナライザがリバースDNSルックアップデータベースを使用して前記要求されたIPアドレスに関連付けされた前記真のホスト名を取得することを特徴とする請求項18記載のシステム。
【請求項20】
前記アナライザが前記要求されたIPアドレスの身元を検索可能なWHOISデータベースを使用して前記要求されたIPアドレスに関連付けされた前記真のホスト名を取得することを特徴とする請求項18記載のシステム。
【請求項21】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、前記システムが前記申込者へ通知を送信することを特徴とする請求項15記載のシステム。
【請求項22】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、前記システムが前記申込者に情報提供するインターネットウェブサイトへ前記申込者を導くことを特徴とする請求項15記載のシステム。
【請求項23】
前記IPアドレスが前記ホスト名と一致しない場合、前記システムが第三者へ通知を送信することを特徴とする請求項15記載のシステム。
【請求項24】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、前記所望のホスト名と関連付けされた正しいIPアドレスの取得と、前記正しいIPアドレスへ前記申込者を導くことを特徴とする請求項15記載のシステム。
【請求項25】
前記IPリクエストの前記通知が申込者へ向けられたドメインネームサーバからの応答であって、前記応答が前記要求されたIPアドレスを含むことを特徴とする請求項15記載のシステム。
【請求項26】
前記通知がインターネットサービスプロバイダ(ISP)によって前記ISPの申込者から受信されたIPリクエストであることを特徴とする請求項15記載のシステム。
【請求項27】
前記アナライザがサーバコンピュータ内に含まれていて、さらに前記サーバコンピュータへIPリクエストの前記通知を送信するクライアント計算プラットフォームを含む請求項15記載のシステム。
【請求項28】
計算装置にて、要求された物理アドレス及び論理アドレスを関連付けされている計算要素の、物理アドレスを含む通知を受信することと、
前記要求された物理アドレスが前記論理アドレスと一致するか否かを判定することとからなる方法。
【請求項29】
前記物理アドレスが、インターネットサイトのIPアドレス、ネットワークアドレス、IPv6アドレス、及び電子メールヘッダのうち少なくともヘッダの一部からなる一群から選択されることを特徴とする請求項28記載の方法。
【請求項30】
前記論理アドレスが、ホスト名、及びユニフォームリソースロケータ(URL)からなる一群から選択されることを特徴とする請求項28記載の方法。
【請求項31】
前記計算装置がパーソナルコンピュータ(PC)、DNSサーバ、HTTPサーバ、及びファイアウォール装置からなる一群から選択されることを特徴とする請求項28記載の方法。
【請求項32】
前記要求された物理アドレスが前記論理アドレスと一致するか否かを判定する前記ステップが、WHOISデータベースの使用からなる請求項28記載の方法。
【請求項33】
前記要求された物理アドレスが前記論理アドレスと一致するか否かの前記判定が、前記要求された物理アドレスを使用してDNSサーバへのDNSクエリを実行することと、前記論理アドレスへ前記DNSクエリに応答して返された論理アドレスを比較することとからなる請求項28記載の方法。
【請求項34】
前記要求されたIPアドレスが所定のIPアドレスのホワイトリストに存在するか否かを判定することを含む請求項2記載の方法。
【請求項35】
前記要求されたIPアドレスが所定のIPアドレスのブラックリストに存在しないかどうかを判定することを含む請求項2記載の方法。
【請求項36】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかを判定することを含む請求項2記載の方法。
【請求項37】
検出が、キャッシュ代理サーバ、内容検閲サーバ、HTTP用(HTTP−aware)装置、ネットワークデータを監視可能な装置、透過な代理サーバ、及び複数の分散計算プラットフォームのうち少なくとも1つを利用した検出からなる請求項2記載の方法。
【請求項38】
前記IPアドレスが前記ホスト名と一致しない場合、さらに前記IPリクエストが送信されたところのネットワークを管理する団体への通知を含む請求項1記載の方法。
【請求項39】
前記IPアドレスが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記所望のホスト名と関連付けされた正しいIPアドレスを取得することを含む請求項1記載の方法。
【請求項40】
物理アドレスクラスを基に、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出することからなる請求項1記載の方法。
【請求項41】
所定のIPアドレスのリストを含む物理アドレスクラスを基に、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出することからなる請求項1記載の方法。
【請求項42】
さらに前記IPリクエストを修正するオペレーションを実行することを含む請求項1記載の方法。
【請求項43】
前記修正オペレーションが、前記IPリクエストを発したクライアントへの通知、前記IPリクエストを発したクライアント内のトロイの木馬の駆除、信頼されているソースからの正しいIPアドレスの取得、前記IPリクエストを発したクライアントへのセキュリティ通知の送信、アンチウィルスメーカへ通知の送信、隠れた再経路指定(リルーティング)の実行、フィッシング対策団体へ通知の送信、及びヘルプデスクとの連絡からなる一群から選択することを特徴とする請求項1記載の方法。
【請求項44】
さらにISPのサーバにおいて前記IPリクエストの修正オペレーションを実行することを含む請求項1記載の方法。
【請求項45】
さらに前記所望のホスト名がスポンサ団体に相当する場合、前記要求されたIPアドレスが前記所望のホスト名と一致しているか否かを検知することを含む請求項1記載の方法。
【請求項46】
さらに前記所望のホスト名がスポンサ団体に相当する場合、前記IPリクエストの修正ステップを実行することを含む請求項1記載の方法。
【請求項47】
さらに前記所望のホスト名がスポンサ団体に相当する場合、ISPのサーバにおいて前記IPリクエストの修正ステップを実行することを含む請求項1記載の方法。
【請求項48】
さらに前記所望のホスト名がスポンサ団体に相当する場合、前記スポンサ団体に通知することを含む請求項1記載の方法。
【請求項49】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをISPサーバによって判定することからなる請求項2記載の方法。
【請求項50】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをファイアウォールサーバによって判定することからなる請求項2記載の方法。
【請求項51】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをインターネットゲートウェイによって判定することからなる請求項2記載の方法。
【請求項52】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをパーソナルコンピュータによって判定することからなる請求項2記載の方法。
【請求項1】
偽装検出の方法が、IPリクエスト通知の受信からなり、前記IPリクエストは、要求されたIPアドレスと所望のホスト名とに関連付けされていて、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出することからなる偽装検出方法。
【請求項2】
前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出するステップが、前記要求されたIPアドレスの少なくとも1つのプロパティと前記所望のホスト名の比較され得るプロパティとの比較からなる請求項1記載の方法。
【請求項3】
前記IPアドレスが前記ホスト名と一致しない場合、さらに前記IPアドレスへの接続の防止を含む請求項1記載の方法。
【請求項4】
前記検出ステップが、前記要求されたIPアドレスに関連付けされた真のホスト名の取得、及び前記真のホスト名と前記所望のホスト名との比較からなる請求項1記載の方法。
【請求項5】
前記要求されたIPアドレスに関連付けされた真のホスト名の取得がリバースDNSルックアップデータベースの使用からなる請求項4記載の方法。
【請求項6】
前記要求されたIPアドレスに関連付けされた真のホスト名の取得が前記要求されたIPアドレスの身元を検索するためのWHOISデータベースの使用からなる請求項4記載の方法。
【請求項7】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記申込者への通知の送信を含む請求項1記載の方法。
【請求項8】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記申込者に情報提供するインターネットウェブサイトへ前記申込者を導くことを含む請求項1記載の方法。
【請求項9】
前記IPアドレスが前記ホスト名と一致しない場合、さらに第三者への通知送信を含む請求項1記載の方法。
【請求項10】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記所望のホスト名と関連付けされた正しいIPアドレスの取得と、前記正しいIPアドレスへ前記申込者を導くことを含むこと特徴とする請求項1記載の方法。
【請求項11】
前記IPリクエストの前記通知が申込者へ向けられたドメインネームサーバからの応答であって、前記応答が前記要求されたIPアドレスを含むことを特徴とする請求項1記載の方法。
【請求項12】
前記通知がインタネットサービスプロバイダ(ISP)によって前記ISPの申込者から受信されたIPリクエストであることを特徴とする請求項1記載の方法。
【請求項13】
ネットワークアドレスへ送信されたリクエストの通知の受信からなる方法であって、前記リクエストは、要求されたネットワークアドレス及び所望のホスト名が関連付けされていて、前記要求されたネットワークアドレスが前記所望のホスト名と一致するか否かを検出することからなる方法。
【請求項14】
前記ネットワークアドレスがIPv6ネットワークアドレスであることを特徴とする請求項13記載の方法。
【請求項15】
IPリクエストの通知を受信するアナライザからなるシステムであって、前記IPリクエストは要求されたIPアドレス及び所望のホスト名が関連付けされていて、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出するアナライザからなるシステム。
【請求項16】
前記アナライザは、前記要求されたIPアドレスの少なくとも1つのプロパティと前記所望のホスト名の比較され得るプロパティとの比較を特徴とする請求項15記載のシステム。
【請求項17】
前記IPアドレスが前記ホスト名と一致しない場合、前記IPアドレスへの接続を防止することを特徴とする請求項15記載のシステム。
【請求項18】
前記アナライザが、前記要求されたIPアドレスに関連付けされた真のホスト名の取得、及び前記真のホスト名と前記所望のホスト名との比較をすることを特徴とする請求項15記載のシステム。
【請求項19】
前記アナライザがリバースDNSルックアップデータベースを使用して前記要求されたIPアドレスに関連付けされた前記真のホスト名を取得することを特徴とする請求項18記載のシステム。
【請求項20】
前記アナライザが前記要求されたIPアドレスの身元を検索可能なWHOISデータベースを使用して前記要求されたIPアドレスに関連付けされた前記真のホスト名を取得することを特徴とする請求項18記載のシステム。
【請求項21】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、前記システムが前記申込者へ通知を送信することを特徴とする請求項15記載のシステム。
【請求項22】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、前記システムが前記申込者に情報提供するインターネットウェブサイトへ前記申込者を導くことを特徴とする請求項15記載のシステム。
【請求項23】
前記IPアドレスが前記ホスト名と一致しない場合、前記システムが第三者へ通知を送信することを特徴とする請求項15記載のシステム。
【請求項24】
前記IPリクエストが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、前記所望のホスト名と関連付けされた正しいIPアドレスの取得と、前記正しいIPアドレスへ前記申込者を導くことを特徴とする請求項15記載のシステム。
【請求項25】
前記IPリクエストの前記通知が申込者へ向けられたドメインネームサーバからの応答であって、前記応答が前記要求されたIPアドレスを含むことを特徴とする請求項15記載のシステム。
【請求項26】
前記通知がインターネットサービスプロバイダ(ISP)によって前記ISPの申込者から受信されたIPリクエストであることを特徴とする請求項15記載のシステム。
【請求項27】
前記アナライザがサーバコンピュータ内に含まれていて、さらに前記サーバコンピュータへIPリクエストの前記通知を送信するクライアント計算プラットフォームを含む請求項15記載のシステム。
【請求項28】
計算装置にて、要求された物理アドレス及び論理アドレスを関連付けされている計算要素の、物理アドレスを含む通知を受信することと、
前記要求された物理アドレスが前記論理アドレスと一致するか否かを判定することとからなる方法。
【請求項29】
前記物理アドレスが、インターネットサイトのIPアドレス、ネットワークアドレス、IPv6アドレス、及び電子メールヘッダのうち少なくともヘッダの一部からなる一群から選択されることを特徴とする請求項28記載の方法。
【請求項30】
前記論理アドレスが、ホスト名、及びユニフォームリソースロケータ(URL)からなる一群から選択されることを特徴とする請求項28記載の方法。
【請求項31】
前記計算装置がパーソナルコンピュータ(PC)、DNSサーバ、HTTPサーバ、及びファイアウォール装置からなる一群から選択されることを特徴とする請求項28記載の方法。
【請求項32】
前記要求された物理アドレスが前記論理アドレスと一致するか否かを判定する前記ステップが、WHOISデータベースの使用からなる請求項28記載の方法。
【請求項33】
前記要求された物理アドレスが前記論理アドレスと一致するか否かの前記判定が、前記要求された物理アドレスを使用してDNSサーバへのDNSクエリを実行することと、前記論理アドレスへ前記DNSクエリに応答して返された論理アドレスを比較することとからなる請求項28記載の方法。
【請求項34】
前記要求されたIPアドレスが所定のIPアドレスのホワイトリストに存在するか否かを判定することを含む請求項2記載の方法。
【請求項35】
前記要求されたIPアドレスが所定のIPアドレスのブラックリストに存在しないかどうかを判定することを含む請求項2記載の方法。
【請求項36】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかを判定することを含む請求項2記載の方法。
【請求項37】
検出が、キャッシュ代理サーバ、内容検閲サーバ、HTTP用(HTTP−aware)装置、ネットワークデータを監視可能な装置、透過な代理サーバ、及び複数の分散計算プラットフォームのうち少なくとも1つを利用した検出からなる請求項2記載の方法。
【請求項38】
前記IPアドレスが前記ホスト名と一致しない場合、さらに前記IPリクエストが送信されたところのネットワークを管理する団体への通知を含む請求項1記載の方法。
【請求項39】
前記IPアドレスが申込者によって作成されていて、かつ前記IPアドレスが前記ホスト名と一致しない場合、さらに前記所望のホスト名と関連付けされた正しいIPアドレスを取得することを含む請求項1記載の方法。
【請求項40】
物理アドレスクラスを基に、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出することからなる請求項1記載の方法。
【請求項41】
所定のIPアドレスのリストを含む物理アドレスクラスを基に、前記要求されたIPアドレスが前記所望のホスト名と一致するか否かを検出することからなる請求項1記載の方法。
【請求項42】
さらに前記IPリクエストを修正するオペレーションを実行することを含む請求項1記載の方法。
【請求項43】
前記修正オペレーションが、前記IPリクエストを発したクライアントへの通知、前記IPリクエストを発したクライアント内のトロイの木馬の駆除、信頼されているソースからの正しいIPアドレスの取得、前記IPリクエストを発したクライアントへのセキュリティ通知の送信、アンチウィルスメーカへ通知の送信、隠れた再経路指定(リルーティング)の実行、フィッシング対策団体へ通知の送信、及びヘルプデスクとの連絡からなる一群から選択することを特徴とする請求項1記載の方法。
【請求項44】
さらにISPのサーバにおいて前記IPリクエストの修正オペレーションを実行することを含む請求項1記載の方法。
【請求項45】
さらに前記所望のホスト名がスポンサ団体に相当する場合、前記要求されたIPアドレスが前記所望のホスト名と一致しているか否かを検知することを含む請求項1記載の方法。
【請求項46】
さらに前記所望のホスト名がスポンサ団体に相当する場合、前記IPリクエストの修正ステップを実行することを含む請求項1記載の方法。
【請求項47】
さらに前記所望のホスト名がスポンサ団体に相当する場合、ISPのサーバにおいて前記IPリクエストの修正ステップを実行することを含む請求項1記載の方法。
【請求項48】
さらに前記所望のホスト名がスポンサ団体に相当する場合、前記スポンサ団体に通知することを含む請求項1記載の方法。
【請求項49】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをISPサーバによって判定することからなる請求項2記載の方法。
【請求項50】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをファイアウォールサーバによって判定することからなる請求項2記載の方法。
【請求項51】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをインターネットゲートウェイによって判定することからなる請求項2記載の方法。
【請求項52】
前記要求されたIPアドレスが所定のドメイン名に対応していないかどうかをパーソナルコンピュータによって判定することからなる請求項2記載の方法。
【図1】
【図2】
【図2】
【公表番号】特表2008−532133(P2008−532133A)
【公表日】平成20年8月14日(2008.8.14)
【国際特許分類】
【出願番号】特願2007−556711(P2007−556711)
【出願日】平成18年2月26日(2006.2.26)
【国際出願番号】PCT/IL2006/000254
【国際公開番号】WO2006/090392
【国際公開日】平成18年8月31日(2006.8.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.UNIX
【出願人】(500198841)アールエスエイ セキュリティー インコーポレーテッド (4)
【Fターム(参考)】
【公表日】平成20年8月14日(2008.8.14)
【国際特許分類】
【出願日】平成18年2月26日(2006.2.26)
【国際出願番号】PCT/IL2006/000254
【国際公開番号】WO2006/090392
【国際公開日】平成18年8月31日(2006.8.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.UNIX
【出願人】(500198841)アールエスエイ セキュリティー インコーポレーテッド (4)
【Fターム(参考)】
[ Back to top ]