Webページ改竄検知装置及びプログラム
【課題】 静的なWebページの改竄だけでなく、変化の少ない動的なWebページの改竄も検知する。
【解決手段】 実施形態のWebページ改竄検知装置においては、動的情報改竄判定手段が、前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定し、判定結果が適合する旨を示すとき、Webページ情報から複数の静的情報を抽出する。前記Webページ改竄検知装置は、前記抽出された複数の静的情報を連結し、当該連結された静的情報及び関数情報に基づき、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する。前記静的情報改竄判定手段は、前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定し、判定結果が一致する旨を示すとき、前記Webページ情報を前記ユーザ端末に送信する。
【解決手段】 実施形態のWebページ改竄検知装置においては、動的情報改竄判定手段が、前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定し、判定結果が適合する旨を示すとき、Webページ情報から複数の静的情報を抽出する。前記Webページ改竄検知装置は、前記抽出された複数の静的情報を連結し、当該連結された静的情報及び関数情報に基づき、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する。前記静的情報改竄判定手段は、前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定し、判定結果が一致する旨を示すとき、前記Webページ情報を前記ユーザ端末に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、Webページ改竄検知装置及びプログラムに関する。
【背景技術】
【0002】
インターネット技術の発展に伴い、様々な業務及びサービスが、Web(World Wide Web)ブラウザから容易に利用可能なWebアプリケーション及びWebページによって実現されている。例えば、ショッピングサービスは、商品群を紹介するWebページをユーザ端末に表示させてユーザに商品の選択及び注文を促し、注文された商品の代金をクレジットカード番号等からWebアプリケーションにより決済し、商品を宅配便等を用いて配達することにより実現されている。このように、ユーザは、Webアプリケーション及びWebページを用いることによって、様々なサービスを享受可能になっている。
【0003】
一方、このようなWebページは、ユーザを悪意のあるWebページに誘導するコードを埋め込むような改竄が頻繁に施されている。Webページの管理者はこのような改竄を早期に発見する必要があり、Webページの改竄を検知するWebページ改竄検知技術の重要性が高まっている。
【0004】
このようなWebページ改竄検知技術としては、Webページの特性情報を予め計算して記憶部に記憶し、ユーザからのリクエストを受けてWebページを送信する際に、送信直前のWebページの特性情報と、予め記憶部に記憶された特性情報とを比較することにより、Webページの改竄を検知する技術がある。
【0005】
更に、Webページの変化の大きさを指標化し、この変化が大きい場合、Webページが改竄されたとみなすような、Webページの改竄を検知する技術もある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2002−149496号公報
【特許文献2】特開2008−165292号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、以上のようなWebページ改竄検知技術では、悪意のあるWebページにリダイレクトさせる1行程度のスクリプトをWebページに埋め込む等、変化の少ない動的なWebページの改竄を検知できないといった不都合がある。
【0008】
本発明が解決しようとする課題は、静的なWebページの改竄だけでなく、変化の少ない動的なWebページの改竄も検知可能なWebページ改竄検知装置及びプログラムを提供することである。
【課題を解決するための手段】
【0009】
実施形態のWebページ改竄検知装置は、Webページを表示するユーザ端末にネットワークを介して通信可能なアプリケーションロジック部を有するWebサーバ装置に設けられ、特徴情報記憶手段を有して管理者端末に通信可能であり、前記ユーザ端末にWebページを表示させるためのWebページ情報に対して改竄検証処理を実行する。
【0010】
前記Webページ改竄検知装置においては、前記Webページ情報を生成するためのWebページ生成プログラムであって、前記Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、前記動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び前記Webページのうちの変化しない部分を表示させる複数の静的情報を含む前記Webページ生成プログラムを前記管理者端末から受信すると、当該受信したWebページ生成プログラムから前記コメント情報を抽出する。
【0011】
前記Webページ改竄検知装置においては、動的特徴情報抽出手段が、前記抽出されたコメント情報から前記動的特徴情報を抽出する。
【0012】
前記Webページ改竄検知装置においては、前記受信されたWebページ生成プログラムから前記複数の静的情報生成プログラムを抽出する。
【0013】
前記Webページ改竄検知装置においては、前記抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、前記静的情報の特徴を示す第1の静的特徴情報を生成する。
【0014】
前記Webページ改竄検知装置においては、前記抽出された動的特徴情報及び前記生成された第1の静的特徴情報を関連付けて前記特徴情報記憶手段に書込む。
【0015】
前記Webページ改竄検知装置においては、前記受信されたWebページ生成プログラムを前記Webサーバ装置内の記憶部に書込む。
【0016】
前記Webページ改竄検知装置においては、前記ユーザ端末からWebページ取得要求を受けた前記アプリケーションロジック部によって前記記憶部内のWebページ生成プログラムから前記動的情報、前記コメント情報及び前記複数の静的情報を含む前記Webページ情報が生成され、このWebページ情報が前記アプリケーションロジック部から送出されると、当該送出されたWebページ情報から当該動的情報を抽出する。
【0017】
前記Webページ改竄検知装置においては、動的情報改竄判定手段が、前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定する。
【0018】
前記Webページ改竄検知装置においては、前記動的情報改竄判定手段での判定結果が適合する旨を示すとき、前記送出されたWebページ情報から複数の静的情報を抽出する。
【0019】
前記Webページ改竄検知装置においては、前記抽出された複数の静的情報を連結し、当該連結された静的情報及び前記一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する。
【0020】
前記Webページ改竄検知装置においては、静的情報改竄判定手段が、前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定する。
【0021】
前記Webページ改竄検知装置においては、前記静的情報改竄判定手段での判定結果が一致する旨を示すとき、前記送出されたWebページ情報を前記ユーザ端末に送信する。
【図面の簡単な説明】
【0022】
【図1】一実施形態に係るWebページ改竄検知装置を備えたWebページ改竄検知システムの構成の一例を示す模式図である。
【図2】同実施形態における改竄検証処理の対象となるWebページ情報の一例を示す模式図である。
【図3】同実施形態における改竄検証処理の対象となるWebページ情報を生成するためのプログラムの一例を示す模式図である。
【図4】同実施形態における特徴情報記憶部に記憶された情報の一例を示す模式図である。
【図5】同実施形態におけるWebページ改竄検知システムの動作の一例を示すフローチャートである。
【図6】同実施形態におけるコメント情報埋め込み前のWebページ生成プログラムの一例を示す模式図である。
【図7】同実施形態におけるコメント情報埋め込み後のWebページ生成プログラムの一例を示す模式図である。
【図8】同実施形態における改竄検証処理の対象となるWebページ情報の一例を示す模式図である。
【発明を実施するための形態】
【0023】
以下、一実施形態について図面を参照して説明する。なお、以下のWebページ改竄検知装置は、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体からコンピュータにインストールされ、Webページ改竄検知装置の機能を当該コンピュータに実現させるためのプログラムが用いられる。
【0024】
図1は、一実施形態に係るWebページ改竄検知装置を備えたWebページ改竄検知システムの構成の一例を示す模式図であり、図2は、Webページを表示するためのWebページ情報の一例を示す模式図であり、図3は、同システムにおける改竄検証処理の対象となるWebページ情報を生成するためのプログラムの一例を示す模式図であって、図4は、同システムで用いられる特徴情報記憶部に記憶された情報の一例を示す模式図である。
【0025】
Webページ改竄検知システム1では、Webサーバ装置2が、例えばネットワークを介して、ユーザ端末3及び管理者端末4に接続している。ユーザ端末3は、図2に示すように、Webサーバ装置2から送信されるHTML(Hyper Text Markup Language)情報ht等のWebページ情報を閲覧可能にするための任意のWebブラウザを備えている。また、管理者端末4は、図3に示すように、Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム(行頭が<%の行)、この動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報(行頭が<!の行)及びWebページのうちの変化しない部分を表示させる複数の静的情報を含むWebページ情報を生成するためのWebページ生成プログラムprをWebサーバ装置2に送信する処理を実行する。なお、管理者端末4からWebサーバ装置2に送信されるWebページ生成プログラムprには、図3に示したようなHTMLのコメント“<!-- -->”を用いて、動的情報算出プログラムによって算出される動的情報のソースコードの開始行を示す開始コメント情報と、動的情報算出プログラムによって算出される動的情報のソースコードの終了行を示す終了コメント情報とが予め埋め込まれている必要がある。開始コメント情報及び終了コメント情報は、HTMLのコメント“<!-- -->”を用いて埋め込まれるため、Webサーバ装置2の動作に影響を与えずに動的情報のソースコードの位置を指定することが可能である。
【0026】
また、同実施形態では、Webページ生成プログラムpr内に存在する動的情報算出プログラムを1つとしたが、これに限定されない。例えば、複数の動的情報算出プログラムを含むWebページ生成プログラムpr等が適用可能である。更に、同実施形態では、管理者端末4からWebサーバ装置2に送信されるWebページ生成プログラムprがJSP(Java(登録商標) Server Pages)を用いて生成されているが、これに限定されない。同様に、本実施形態では、Webページ情報としてHTML情報を用いた場合について説明したが、これに限定されず、例えば、XML(Extensible Markup Language)情報等といった他の情報を用いてもよい。
【0027】
Webサーバ装置2は、図1に示したように、プログラム記憶部21、情報記憶部22、アプリケーションロジック部23及びWebページ改竄検知装置24を備えている。プログラム記憶部21は、Webページ改竄検知装置24から送信されるWebページ生成プログラムprを記憶している。情報記憶部22は、Webページ生成プログラムprから動的情報を算出するために必要となる情報を記憶している。また、情報記憶部22は、例えば、ショッピングサービスのWebページにおけるユーザ認証やクレジット決済等に必要となるユーザ管理情報を記憶している。更に、情報記憶部22は、改竄検知装置24における改竄検証処理の結果、改竄が検知された場合に、ユーザ端末3にエラー画面を表示させるためのHTML情報も記憶している。アプリケーションロジック部23は、ユーザ端末3から受けたWebページ取得要求に応じてプログラム記憶部21内のWebページ生成プログラムprからWebページ情報を生成する処理を実行する。また、アプリケーションロジック部23は、改竄検証処理を実行するために、このWebページ情報をWebページ改竄検知装置24に送信する処理も実行する。
【0028】
一方、Webページ改竄検知装置24は、図1に示したように、特徴情報記憶部241、特徴情報生成部242及び改竄検証部243を備えている。
【0029】
ここで、特徴情報記憶部241は、図4に示すように、Webページ生成プログラムprによって生成されるWebページ情報を識別する識別情報、Webページ生成プログラムprから抽出された動的特徴情報及び当該Webページ生成プログラムpr内の複数の静的情報から生成され、静的情報の特徴を示す第1の静的特徴情報を関連付けて記憶している。なお、Webページ生成プログラムprによって生成されるWebページ情報が1つの場合は、識別情報を省略してもよい。
【0030】
詳しくは、識別情報はWebページ生成プログラムprによって生成されるWebページ情報の名称(ページ名)を示している。識別情報としては、例えば、Webページ生成プログラムprのファイル名(但し、拡張子を除く)、又は生成されたWebページ情報のタイトルタグに挟まれたタイトル名というように、Webページ生成プログラムprに基づいて作成可能な任意の文字列が使用可能となっている。また、動的特徴情報は、例えば、動的情報の最小の長さ(変化の最小値)、動的情報の最大の長さ(変化の最大値)、動的情報の型、動的情報の正規表現及び動的情報を識別するためのID等を示している。更に、第1の静的特徴情報は、Webページ生成プログラムpr内の複数の静的情報から、ハッシュ(Hash)関数等の一方向性の関数を示す関数情報に基づいて算出されたハッシュ値を示している。
【0031】
なお、同実施形態では、1つのWebページ情報に対して改竄検証処理が実行されるが、複数のWebページ情報に対して改竄検証処理が実行されてもよい。この場合、特徴情報記憶部241には、Webページ生成プログラムprによって生成されるWebページ情報毎に、識別情報、動的特徴情報及び第1の静的特徴情報が関連付けて記憶される。
【0032】
特徴情報生成部242は、Webページ情報を生成するためのWebページ生成プログラムprを管理者端末4から受信すると、当該受信したWebページ生成プログラムprから動的特徴情報を抽出し、且つ、第1の静的特徴情報を生成する処理を実行する。具体的には、以下の各機能(f242-1)〜(f242-6)をもっている。
【0033】
(f242-1) Webページ情報を生成するためのWebページ生成プログラムであって、Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び当該Webページのうちの変化しない部分を表示させる複数の静的情報を生成するための静的情報生成プログラムを含む当該Webページ生成プログラムprを管理者端末4から受信すると、当該受信したWebページ生成プログラムprからコメント情報を抽出する機能。
【0034】
(f242-2) 当該抽出されたコメント情報から動的特徴情報を抽出する動的特徴情報抽出機能。
【0035】
なお、当該コメント情報は、動的情報の変化の最大値及び最小値を含む情報(例、min_length=4 max_length=4)を有していてもよい。また、当該コメント情報は、動的情報のソースコードの開始行を示す開始コメント情報及び動的情報のソースコードの終了行を示す終了コメント情報からなるものとしてもよい。また、当該動的特徴情報抽出機能(f242-1)は、当該コメント情報から上記変化の最大値及び最小値を含む情報を当該動的特徴情報として抽出する機能を備えるものとしてもよい。更に、当該動的特徴情報抽出機能(f242-1)は、当該開始コメント情報に含まれた上記変化の最大値及び最小値を含む情報を当該動的特徴情報として抽出する機能を備えるものとしてもよい。
【0036】
(f242-3) 当該受信されたWebページ生成プログラムprから複数の静的情報を抽出する機能。
【0037】
(f242-4) 当該抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、静的情報の特徴を示す第1の静的特徴情報を生成する機能。
【0038】
(f242-5) 当該抽出された動的特徴情報及び当該生成された第1の静的特徴情報を関連付けて特徴情報記憶部241に書込む機能。
【0039】
(f242-6) 当該受信されたWebページ生成プログラムprをWebサーバ装置2内のプログラム記憶部21に書込む機能。なお、Webページ情報を識別するための識別情報をWebページ生成プログラムprに関連付けてプログラム情報記憶部21に書込んでもよい。
【0040】
改竄検証部243は、特徴情報記憶部241に記憶された動的特徴情報及び第1の静的特徴情報に基づいて、Webサーバ装置2内のアプリケーションロジック部23において生成されたWebページ情報に対しての改竄検証処理を実行する。具体的には、以下の各機能(f243-1)〜(f243-6)をもっている。
【0041】
(f243-1) ユーザ端末3からWebページ取得要求を受けたアプリケーションロジック部23によってプログラム記憶部21内のWebページ生成プログラムprから動的情報、コメント情報及び複数の静的情報を含むWebページ情報が生成され、このWebページ情報が当該アプリケーションロジック部23から送出されると、当該送出されたWebページ情報から当該動的情報(図2の例ではnの行)を抽出する機能。
【0042】
(f243-2) 当該抽出された動的情報が特徴情報記憶部241内の動的特徴情報と適合するか否かを判定する動的情報改竄判定機能。なお、特徴情報記憶部241に識別情報を用いる場合には、アプリケーションロジック部23により生成されたWebページ情報のページ名に基づいて特徴情報記憶部241を検索し、当該ページ名に一致する識別情報に関連付けられた動的特徴情報を特徴情報記憶部241から読出して、この動的特徴情報を判定に用いればよい。
【0043】
(f243-3) 動的情報改竄判定機能での判定結果が適合する旨を示すとき、当該送出されたWebページ情報から(動的情報(図2の例ではnの行)及びコメント情報(図2の例では行頭が<!の行)以外の)複数の静的情報を抽出する機能。
【0044】
(f243-4) 当該抽出された複数の静的情報を連結し、当該連結された静的情報及び当該一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する機能。
【0045】
(f243-5) 特徴情報記憶部241内の第1の静的特徴情報と、当該生成された第2の静的特徴情報とが一致するか否かを判定する静的情報改竄判定機能。
【0046】
(f243-6) 静的情報改竄判定機能での判定結果が一致する旨を示すとき、当該送出されたWebページ情報をユーザ端末3に送信する機能。
【0047】
次に、以上のように構成されたWebページ改竄検知システムの動作について、図5のフローチャート並びに図6〜図8の模式図を参照しながら説明する。以下の説明は、図7に示すようなWebページ生成プログラムprが管理者端末4からWebサーバ装置2内のWebページ改竄検知装置24に送信された場合を例に挙げて述べる。また、Webページ情報は、図8に示すようなHTML情報htであるとする。
【0048】
準備として図1の丸1〜丸3に示すように、管理者端末4は、管理者の操作により、図6に示すように、Webページ生成プログラムpr´からなる対象ファイル(例、JSPファイル)を生成する。続いて、管理者端末4は、管理者の操作により、改竄検証用の検証情報として開始コメント情報及び終了コメント情報をWebページ生成プログラムpr´に埋め込み、図7に示すように、Webページ生成プログラムprを生成する。しかる後、管理者端末4は、Webページ生成プログラムprをWebページ改竄検知装置24に送信する。以下、図1の丸数字の丸4〜丸8に示す動作を図5、図7及び図8を用いて述べる。
【0049】
すなわち、特徴情報生成部242は、図7に示すように、管理者端末4から送信されたWebページ生成プログラムprを受けると、当該Webページ生成プログラムprのうち、開始コメント情報“<!- START-DYNAMIC id=0002 min_length=4 max_length=4 type=string regex=t.*t-->”と、終了コメント情報“<!- END-DYNAMIC>”とを抽出する(ステップS1)。
【0050】
続いて、特徴情報生成部242は、ステップS1において抽出された開始コメント情報に含まれる“id=0002 min_length=4 max_length=4 type=string regex=t.*t”を動的特徴情報として抽出する(ステップS2)。
【0051】
次に、特徴情報生成部242は、当該受信されたWebページ生成プログラムから複数の静的情報(1)“<HTML> <BODY>”、(2)“<H3>計算結果:”、(3)“</H3> <H3>表示終了</H3> </BODY> </HTML>”を抽出する(ステップS3)。
【0052】
続いて、特徴情報生成部242は、ステップS3において抽出された(1)〜(3)の静的情報を連結し、当該連結された静的情報“<HTML> <BODY> <H3>計算結果: </H3> <H3>表示終了</H3> </BODY> </HTML>”と、ハッシュ(Hash)関数とに基づいて、第1の静的特徴情報“736c475c1a0675751106b8caa6179fdbdd95e013”を生成する(ステップS4)。
【0053】
次に、特徴情報生成部242は、Webページ生成プログラムprから生成されるHTML情報htを識別する識別情報と、ステップS2において生成された動的特徴情報と、ステップS4において生成された第1の静的特徴情報とを特徴情報記憶部241に書込む。また、特徴情報生成部242は、ステップS1において受信されたWebページ生成プログラムprをWebサーバ装置2内のプログラム記憶部21に書込む(ステップS5)。
【0054】
続いて、改竄検証部243は、図8に示すように、ユーザ端末3からのWebページ取得要求に応じて生成されたWebページを表示させるためのHTML情報htをアプリケーションロジック部23から受けると、当該HTML情報htのうち、動的情報“abcd”を抽出する(ステップS6)。
【0055】
次に、改竄検証部243は、ステップS6において抽出された動的情報が、特徴情報記憶部241に記憶された動的特徴情報と適合するか否かを判定する(ステップS7)。
【0056】
ステップS7の判定の結果が否を示す場合(ステップS7:「非適合」)には、ステップS11の処理に進む。一方、ステップS7の判定の結果が適合する旨を示す場合(ステップS7:「適合」)には、改竄検証部243は、当該アプリケーションロジック部23から受けたHTML情報htのうち、動的情報(図8の例ではabcdの行)及びコメント情報(図8の例では行頭が<!の行)以外の複数の静的情報(4)“<HTML> <BODY> <H3>計算結果:”、(5)“</H3> <H3>表示終了</H3> </BODY> </HTML>”を抽出する(ステップS8)。
【0057】
続いて、改竄検証部243は、ステップS8において抽出された複数の静的情報を連結し、当該連結された静的情報と、ハッシュ関数とに基づいて、第2の静的特徴情報を生成する(ステップS9)。
【0058】
次に、改竄検証部243は、特徴情報記憶部241内の第1の静的特徴情報と、ステップS9において生成された第2の静的特徴情報とを比較することによって、第2の静的特徴情報が第1の静的特徴情報と一致するか否かを判定する(ステップS10)。
【0059】
ステップS10の判定の結果が否を示す場合(ステップS10:「不一致」)には、改竄検証部243は、情報記憶部22に記憶されたエラー画面を表示させるためのHTML情報をアプリケーションロジック部23を経由して読出し、当該読出されたHTML情報をユーザ端末3に送信し(ステップS11)、Webページ改竄検知装置24における改竄検証動作を終了する。
【0060】
一方、ステップS10の判定の結果が一致する旨を示す場合(ステップS10:「一致」)には、改竄検証部243は、当該アプリケーションロジック部23から受けたHTML情報htが改竄された情報ではないと判定し、このHTML情報htをユーザ端末3に送信する(ステップS12)。
【0061】
なお、本実施形態では、動的情報及び静的情報が埋め込まれたWebページ情報に対して改竄検証処理を実行するが、静的情報のみが埋め込まれたWebページ情報、または動的情報と動的特徴情報を含むコメント情報との各々のみが埋め込まれたWebページ情報に対して改竄検証処理が実行されてもよい。
【0062】
また、同実施形態では、特徴情報生成部242が動的特徴情報及び静的特徴情報を特徴情報記憶部241に書込む処理を実行するが、この書込み処理はWebページ改竄検知装置24を操作する操作者によって実行されてもよい。同様に、特徴情報生成部242がWebページ生成プログラムprをWebサーバ装置2内のプログラム記憶部21に書込む処理を実行するが、この書込み処理もWebページ改竄検知装置24を操作する操作者によって実行されてもよい。
【0063】
更に、同実施形態では、図3及び図7に示すように、動的に変化する部分(x)及び(s)が整数及び文字列の場合を示しているが、動的に変化する部分が分数、小数、スクリプト等の場合のWebページ生成プログラムprによって生成されるWebページ情報に対して改竄検証処理を実行してもよい。
【0064】
また、上述した改竄検証部243の機能をもつWebフィルタを作成し、このWebフィルタのフィルタリングルールに動的特徴情報及び静的特徴情報を設定することで、Webフィルタを用いた改竄検知も実行可能である。
【0065】
以上説明した本実施形態によれば、動的特徴情報を用いた動的情報改竄判定機能と、静的特徴情報を用いた静的情報改竄判定機能とを備えた構成により、静的なWebページの改竄だけでなく、変化の少ない動的なWebページの改竄も検知することができる。
【0066】
なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0067】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0068】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0069】
さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0070】
また、記憶媒体は1つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0071】
なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0072】
また、各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0073】
なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0074】
1…Webページ改竄検知システム、2…Webサーバ装置、3…ユーザ端末、4…管理者端末、21…プログラム記憶部、22…情報記憶部、23…アプリケーションロジック部、24…Webページ改竄検知装置、241…特徴情報記憶部、242…特徴情報生成部、243…改竄検証部。
【技術分野】
【0001】
本発明の実施形態は、Webページ改竄検知装置及びプログラムに関する。
【背景技術】
【0002】
インターネット技術の発展に伴い、様々な業務及びサービスが、Web(World Wide Web)ブラウザから容易に利用可能なWebアプリケーション及びWebページによって実現されている。例えば、ショッピングサービスは、商品群を紹介するWebページをユーザ端末に表示させてユーザに商品の選択及び注文を促し、注文された商品の代金をクレジットカード番号等からWebアプリケーションにより決済し、商品を宅配便等を用いて配達することにより実現されている。このように、ユーザは、Webアプリケーション及びWebページを用いることによって、様々なサービスを享受可能になっている。
【0003】
一方、このようなWebページは、ユーザを悪意のあるWebページに誘導するコードを埋め込むような改竄が頻繁に施されている。Webページの管理者はこのような改竄を早期に発見する必要があり、Webページの改竄を検知するWebページ改竄検知技術の重要性が高まっている。
【0004】
このようなWebページ改竄検知技術としては、Webページの特性情報を予め計算して記憶部に記憶し、ユーザからのリクエストを受けてWebページを送信する際に、送信直前のWebページの特性情報と、予め記憶部に記憶された特性情報とを比較することにより、Webページの改竄を検知する技術がある。
【0005】
更に、Webページの変化の大きさを指標化し、この変化が大きい場合、Webページが改竄されたとみなすような、Webページの改竄を検知する技術もある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2002−149496号公報
【特許文献2】特開2008−165292号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、以上のようなWebページ改竄検知技術では、悪意のあるWebページにリダイレクトさせる1行程度のスクリプトをWebページに埋め込む等、変化の少ない動的なWebページの改竄を検知できないといった不都合がある。
【0008】
本発明が解決しようとする課題は、静的なWebページの改竄だけでなく、変化の少ない動的なWebページの改竄も検知可能なWebページ改竄検知装置及びプログラムを提供することである。
【課題を解決するための手段】
【0009】
実施形態のWebページ改竄検知装置は、Webページを表示するユーザ端末にネットワークを介して通信可能なアプリケーションロジック部を有するWebサーバ装置に設けられ、特徴情報記憶手段を有して管理者端末に通信可能であり、前記ユーザ端末にWebページを表示させるためのWebページ情報に対して改竄検証処理を実行する。
【0010】
前記Webページ改竄検知装置においては、前記Webページ情報を生成するためのWebページ生成プログラムであって、前記Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、前記動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び前記Webページのうちの変化しない部分を表示させる複数の静的情報を含む前記Webページ生成プログラムを前記管理者端末から受信すると、当該受信したWebページ生成プログラムから前記コメント情報を抽出する。
【0011】
前記Webページ改竄検知装置においては、動的特徴情報抽出手段が、前記抽出されたコメント情報から前記動的特徴情報を抽出する。
【0012】
前記Webページ改竄検知装置においては、前記受信されたWebページ生成プログラムから前記複数の静的情報生成プログラムを抽出する。
【0013】
前記Webページ改竄検知装置においては、前記抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、前記静的情報の特徴を示す第1の静的特徴情報を生成する。
【0014】
前記Webページ改竄検知装置においては、前記抽出された動的特徴情報及び前記生成された第1の静的特徴情報を関連付けて前記特徴情報記憶手段に書込む。
【0015】
前記Webページ改竄検知装置においては、前記受信されたWebページ生成プログラムを前記Webサーバ装置内の記憶部に書込む。
【0016】
前記Webページ改竄検知装置においては、前記ユーザ端末からWebページ取得要求を受けた前記アプリケーションロジック部によって前記記憶部内のWebページ生成プログラムから前記動的情報、前記コメント情報及び前記複数の静的情報を含む前記Webページ情報が生成され、このWebページ情報が前記アプリケーションロジック部から送出されると、当該送出されたWebページ情報から当該動的情報を抽出する。
【0017】
前記Webページ改竄検知装置においては、動的情報改竄判定手段が、前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定する。
【0018】
前記Webページ改竄検知装置においては、前記動的情報改竄判定手段での判定結果が適合する旨を示すとき、前記送出されたWebページ情報から複数の静的情報を抽出する。
【0019】
前記Webページ改竄検知装置においては、前記抽出された複数の静的情報を連結し、当該連結された静的情報及び前記一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する。
【0020】
前記Webページ改竄検知装置においては、静的情報改竄判定手段が、前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定する。
【0021】
前記Webページ改竄検知装置においては、前記静的情報改竄判定手段での判定結果が一致する旨を示すとき、前記送出されたWebページ情報を前記ユーザ端末に送信する。
【図面の簡単な説明】
【0022】
【図1】一実施形態に係るWebページ改竄検知装置を備えたWebページ改竄検知システムの構成の一例を示す模式図である。
【図2】同実施形態における改竄検証処理の対象となるWebページ情報の一例を示す模式図である。
【図3】同実施形態における改竄検証処理の対象となるWebページ情報を生成するためのプログラムの一例を示す模式図である。
【図4】同実施形態における特徴情報記憶部に記憶された情報の一例を示す模式図である。
【図5】同実施形態におけるWebページ改竄検知システムの動作の一例を示すフローチャートである。
【図6】同実施形態におけるコメント情報埋め込み前のWebページ生成プログラムの一例を示す模式図である。
【図7】同実施形態におけるコメント情報埋め込み後のWebページ生成プログラムの一例を示す模式図である。
【図8】同実施形態における改竄検証処理の対象となるWebページ情報の一例を示す模式図である。
【発明を実施するための形態】
【0023】
以下、一実施形態について図面を参照して説明する。なお、以下のWebページ改竄検知装置は、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体からコンピュータにインストールされ、Webページ改竄検知装置の機能を当該コンピュータに実現させるためのプログラムが用いられる。
【0024】
図1は、一実施形態に係るWebページ改竄検知装置を備えたWebページ改竄検知システムの構成の一例を示す模式図であり、図2は、Webページを表示するためのWebページ情報の一例を示す模式図であり、図3は、同システムにおける改竄検証処理の対象となるWebページ情報を生成するためのプログラムの一例を示す模式図であって、図4は、同システムで用いられる特徴情報記憶部に記憶された情報の一例を示す模式図である。
【0025】
Webページ改竄検知システム1では、Webサーバ装置2が、例えばネットワークを介して、ユーザ端末3及び管理者端末4に接続している。ユーザ端末3は、図2に示すように、Webサーバ装置2から送信されるHTML(Hyper Text Markup Language)情報ht等のWebページ情報を閲覧可能にするための任意のWebブラウザを備えている。また、管理者端末4は、図3に示すように、Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム(行頭が<%の行)、この動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報(行頭が<!の行)及びWebページのうちの変化しない部分を表示させる複数の静的情報を含むWebページ情報を生成するためのWebページ生成プログラムprをWebサーバ装置2に送信する処理を実行する。なお、管理者端末4からWebサーバ装置2に送信されるWebページ生成プログラムprには、図3に示したようなHTMLのコメント“<!-- -->”を用いて、動的情報算出プログラムによって算出される動的情報のソースコードの開始行を示す開始コメント情報と、動的情報算出プログラムによって算出される動的情報のソースコードの終了行を示す終了コメント情報とが予め埋め込まれている必要がある。開始コメント情報及び終了コメント情報は、HTMLのコメント“<!-- -->”を用いて埋め込まれるため、Webサーバ装置2の動作に影響を与えずに動的情報のソースコードの位置を指定することが可能である。
【0026】
また、同実施形態では、Webページ生成プログラムpr内に存在する動的情報算出プログラムを1つとしたが、これに限定されない。例えば、複数の動的情報算出プログラムを含むWebページ生成プログラムpr等が適用可能である。更に、同実施形態では、管理者端末4からWebサーバ装置2に送信されるWebページ生成プログラムprがJSP(Java(登録商標) Server Pages)を用いて生成されているが、これに限定されない。同様に、本実施形態では、Webページ情報としてHTML情報を用いた場合について説明したが、これに限定されず、例えば、XML(Extensible Markup Language)情報等といった他の情報を用いてもよい。
【0027】
Webサーバ装置2は、図1に示したように、プログラム記憶部21、情報記憶部22、アプリケーションロジック部23及びWebページ改竄検知装置24を備えている。プログラム記憶部21は、Webページ改竄検知装置24から送信されるWebページ生成プログラムprを記憶している。情報記憶部22は、Webページ生成プログラムprから動的情報を算出するために必要となる情報を記憶している。また、情報記憶部22は、例えば、ショッピングサービスのWebページにおけるユーザ認証やクレジット決済等に必要となるユーザ管理情報を記憶している。更に、情報記憶部22は、改竄検知装置24における改竄検証処理の結果、改竄が検知された場合に、ユーザ端末3にエラー画面を表示させるためのHTML情報も記憶している。アプリケーションロジック部23は、ユーザ端末3から受けたWebページ取得要求に応じてプログラム記憶部21内のWebページ生成プログラムprからWebページ情報を生成する処理を実行する。また、アプリケーションロジック部23は、改竄検証処理を実行するために、このWebページ情報をWebページ改竄検知装置24に送信する処理も実行する。
【0028】
一方、Webページ改竄検知装置24は、図1に示したように、特徴情報記憶部241、特徴情報生成部242及び改竄検証部243を備えている。
【0029】
ここで、特徴情報記憶部241は、図4に示すように、Webページ生成プログラムprによって生成されるWebページ情報を識別する識別情報、Webページ生成プログラムprから抽出された動的特徴情報及び当該Webページ生成プログラムpr内の複数の静的情報から生成され、静的情報の特徴を示す第1の静的特徴情報を関連付けて記憶している。なお、Webページ生成プログラムprによって生成されるWebページ情報が1つの場合は、識別情報を省略してもよい。
【0030】
詳しくは、識別情報はWebページ生成プログラムprによって生成されるWebページ情報の名称(ページ名)を示している。識別情報としては、例えば、Webページ生成プログラムprのファイル名(但し、拡張子を除く)、又は生成されたWebページ情報のタイトルタグに挟まれたタイトル名というように、Webページ生成プログラムprに基づいて作成可能な任意の文字列が使用可能となっている。また、動的特徴情報は、例えば、動的情報の最小の長さ(変化の最小値)、動的情報の最大の長さ(変化の最大値)、動的情報の型、動的情報の正規表現及び動的情報を識別するためのID等を示している。更に、第1の静的特徴情報は、Webページ生成プログラムpr内の複数の静的情報から、ハッシュ(Hash)関数等の一方向性の関数を示す関数情報に基づいて算出されたハッシュ値を示している。
【0031】
なお、同実施形態では、1つのWebページ情報に対して改竄検証処理が実行されるが、複数のWebページ情報に対して改竄検証処理が実行されてもよい。この場合、特徴情報記憶部241には、Webページ生成プログラムprによって生成されるWebページ情報毎に、識別情報、動的特徴情報及び第1の静的特徴情報が関連付けて記憶される。
【0032】
特徴情報生成部242は、Webページ情報を生成するためのWebページ生成プログラムprを管理者端末4から受信すると、当該受信したWebページ生成プログラムprから動的特徴情報を抽出し、且つ、第1の静的特徴情報を生成する処理を実行する。具体的には、以下の各機能(f242-1)〜(f242-6)をもっている。
【0033】
(f242-1) Webページ情報を生成するためのWebページ生成プログラムであって、Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び当該Webページのうちの変化しない部分を表示させる複数の静的情報を生成するための静的情報生成プログラムを含む当該Webページ生成プログラムprを管理者端末4から受信すると、当該受信したWebページ生成プログラムprからコメント情報を抽出する機能。
【0034】
(f242-2) 当該抽出されたコメント情報から動的特徴情報を抽出する動的特徴情報抽出機能。
【0035】
なお、当該コメント情報は、動的情報の変化の最大値及び最小値を含む情報(例、min_length=4 max_length=4)を有していてもよい。また、当該コメント情報は、動的情報のソースコードの開始行を示す開始コメント情報及び動的情報のソースコードの終了行を示す終了コメント情報からなるものとしてもよい。また、当該動的特徴情報抽出機能(f242-1)は、当該コメント情報から上記変化の最大値及び最小値を含む情報を当該動的特徴情報として抽出する機能を備えるものとしてもよい。更に、当該動的特徴情報抽出機能(f242-1)は、当該開始コメント情報に含まれた上記変化の最大値及び最小値を含む情報を当該動的特徴情報として抽出する機能を備えるものとしてもよい。
【0036】
(f242-3) 当該受信されたWebページ生成プログラムprから複数の静的情報を抽出する機能。
【0037】
(f242-4) 当該抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、静的情報の特徴を示す第1の静的特徴情報を生成する機能。
【0038】
(f242-5) 当該抽出された動的特徴情報及び当該生成された第1の静的特徴情報を関連付けて特徴情報記憶部241に書込む機能。
【0039】
(f242-6) 当該受信されたWebページ生成プログラムprをWebサーバ装置2内のプログラム記憶部21に書込む機能。なお、Webページ情報を識別するための識別情報をWebページ生成プログラムprに関連付けてプログラム情報記憶部21に書込んでもよい。
【0040】
改竄検証部243は、特徴情報記憶部241に記憶された動的特徴情報及び第1の静的特徴情報に基づいて、Webサーバ装置2内のアプリケーションロジック部23において生成されたWebページ情報に対しての改竄検証処理を実行する。具体的には、以下の各機能(f243-1)〜(f243-6)をもっている。
【0041】
(f243-1) ユーザ端末3からWebページ取得要求を受けたアプリケーションロジック部23によってプログラム記憶部21内のWebページ生成プログラムprから動的情報、コメント情報及び複数の静的情報を含むWebページ情報が生成され、このWebページ情報が当該アプリケーションロジック部23から送出されると、当該送出されたWebページ情報から当該動的情報(図2の例ではnの行)を抽出する機能。
【0042】
(f243-2) 当該抽出された動的情報が特徴情報記憶部241内の動的特徴情報と適合するか否かを判定する動的情報改竄判定機能。なお、特徴情報記憶部241に識別情報を用いる場合には、アプリケーションロジック部23により生成されたWebページ情報のページ名に基づいて特徴情報記憶部241を検索し、当該ページ名に一致する識別情報に関連付けられた動的特徴情報を特徴情報記憶部241から読出して、この動的特徴情報を判定に用いればよい。
【0043】
(f243-3) 動的情報改竄判定機能での判定結果が適合する旨を示すとき、当該送出されたWebページ情報から(動的情報(図2の例ではnの行)及びコメント情報(図2の例では行頭が<!の行)以外の)複数の静的情報を抽出する機能。
【0044】
(f243-4) 当該抽出された複数の静的情報を連結し、当該連結された静的情報及び当該一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する機能。
【0045】
(f243-5) 特徴情報記憶部241内の第1の静的特徴情報と、当該生成された第2の静的特徴情報とが一致するか否かを判定する静的情報改竄判定機能。
【0046】
(f243-6) 静的情報改竄判定機能での判定結果が一致する旨を示すとき、当該送出されたWebページ情報をユーザ端末3に送信する機能。
【0047】
次に、以上のように構成されたWebページ改竄検知システムの動作について、図5のフローチャート並びに図6〜図8の模式図を参照しながら説明する。以下の説明は、図7に示すようなWebページ生成プログラムprが管理者端末4からWebサーバ装置2内のWebページ改竄検知装置24に送信された場合を例に挙げて述べる。また、Webページ情報は、図8に示すようなHTML情報htであるとする。
【0048】
準備として図1の丸1〜丸3に示すように、管理者端末4は、管理者の操作により、図6に示すように、Webページ生成プログラムpr´からなる対象ファイル(例、JSPファイル)を生成する。続いて、管理者端末4は、管理者の操作により、改竄検証用の検証情報として開始コメント情報及び終了コメント情報をWebページ生成プログラムpr´に埋め込み、図7に示すように、Webページ生成プログラムprを生成する。しかる後、管理者端末4は、Webページ生成プログラムprをWebページ改竄検知装置24に送信する。以下、図1の丸数字の丸4〜丸8に示す動作を図5、図7及び図8を用いて述べる。
【0049】
すなわち、特徴情報生成部242は、図7に示すように、管理者端末4から送信されたWebページ生成プログラムprを受けると、当該Webページ生成プログラムprのうち、開始コメント情報“<!- START-DYNAMIC id=0002 min_length=4 max_length=4 type=string regex=t.*t-->”と、終了コメント情報“<!- END-DYNAMIC>”とを抽出する(ステップS1)。
【0050】
続いて、特徴情報生成部242は、ステップS1において抽出された開始コメント情報に含まれる“id=0002 min_length=4 max_length=4 type=string regex=t.*t”を動的特徴情報として抽出する(ステップS2)。
【0051】
次に、特徴情報生成部242は、当該受信されたWebページ生成プログラムから複数の静的情報(1)“<HTML> <BODY>”、(2)“<H3>計算結果:”、(3)“</H3> <H3>表示終了</H3> </BODY> </HTML>”を抽出する(ステップS3)。
【0052】
続いて、特徴情報生成部242は、ステップS3において抽出された(1)〜(3)の静的情報を連結し、当該連結された静的情報“<HTML> <BODY> <H3>計算結果: </H3> <H3>表示終了</H3> </BODY> </HTML>”と、ハッシュ(Hash)関数とに基づいて、第1の静的特徴情報“736c475c1a0675751106b8caa6179fdbdd95e013”を生成する(ステップS4)。
【0053】
次に、特徴情報生成部242は、Webページ生成プログラムprから生成されるHTML情報htを識別する識別情報と、ステップS2において生成された動的特徴情報と、ステップS4において生成された第1の静的特徴情報とを特徴情報記憶部241に書込む。また、特徴情報生成部242は、ステップS1において受信されたWebページ生成プログラムprをWebサーバ装置2内のプログラム記憶部21に書込む(ステップS5)。
【0054】
続いて、改竄検証部243は、図8に示すように、ユーザ端末3からのWebページ取得要求に応じて生成されたWebページを表示させるためのHTML情報htをアプリケーションロジック部23から受けると、当該HTML情報htのうち、動的情報“abcd”を抽出する(ステップS6)。
【0055】
次に、改竄検証部243は、ステップS6において抽出された動的情報が、特徴情報記憶部241に記憶された動的特徴情報と適合するか否かを判定する(ステップS7)。
【0056】
ステップS7の判定の結果が否を示す場合(ステップS7:「非適合」)には、ステップS11の処理に進む。一方、ステップS7の判定の結果が適合する旨を示す場合(ステップS7:「適合」)には、改竄検証部243は、当該アプリケーションロジック部23から受けたHTML情報htのうち、動的情報(図8の例ではabcdの行)及びコメント情報(図8の例では行頭が<!の行)以外の複数の静的情報(4)“<HTML> <BODY> <H3>計算結果:”、(5)“</H3> <H3>表示終了</H3> </BODY> </HTML>”を抽出する(ステップS8)。
【0057】
続いて、改竄検証部243は、ステップS8において抽出された複数の静的情報を連結し、当該連結された静的情報と、ハッシュ関数とに基づいて、第2の静的特徴情報を生成する(ステップS9)。
【0058】
次に、改竄検証部243は、特徴情報記憶部241内の第1の静的特徴情報と、ステップS9において生成された第2の静的特徴情報とを比較することによって、第2の静的特徴情報が第1の静的特徴情報と一致するか否かを判定する(ステップS10)。
【0059】
ステップS10の判定の結果が否を示す場合(ステップS10:「不一致」)には、改竄検証部243は、情報記憶部22に記憶されたエラー画面を表示させるためのHTML情報をアプリケーションロジック部23を経由して読出し、当該読出されたHTML情報をユーザ端末3に送信し(ステップS11)、Webページ改竄検知装置24における改竄検証動作を終了する。
【0060】
一方、ステップS10の判定の結果が一致する旨を示す場合(ステップS10:「一致」)には、改竄検証部243は、当該アプリケーションロジック部23から受けたHTML情報htが改竄された情報ではないと判定し、このHTML情報htをユーザ端末3に送信する(ステップS12)。
【0061】
なお、本実施形態では、動的情報及び静的情報が埋め込まれたWebページ情報に対して改竄検証処理を実行するが、静的情報のみが埋め込まれたWebページ情報、または動的情報と動的特徴情報を含むコメント情報との各々のみが埋め込まれたWebページ情報に対して改竄検証処理が実行されてもよい。
【0062】
また、同実施形態では、特徴情報生成部242が動的特徴情報及び静的特徴情報を特徴情報記憶部241に書込む処理を実行するが、この書込み処理はWebページ改竄検知装置24を操作する操作者によって実行されてもよい。同様に、特徴情報生成部242がWebページ生成プログラムprをWebサーバ装置2内のプログラム記憶部21に書込む処理を実行するが、この書込み処理もWebページ改竄検知装置24を操作する操作者によって実行されてもよい。
【0063】
更に、同実施形態では、図3及び図7に示すように、動的に変化する部分(x)及び(s)が整数及び文字列の場合を示しているが、動的に変化する部分が分数、小数、スクリプト等の場合のWebページ生成プログラムprによって生成されるWebページ情報に対して改竄検証処理を実行してもよい。
【0064】
また、上述した改竄検証部243の機能をもつWebフィルタを作成し、このWebフィルタのフィルタリングルールに動的特徴情報及び静的特徴情報を設定することで、Webフィルタを用いた改竄検知も実行可能である。
【0065】
以上説明した本実施形態によれば、動的特徴情報を用いた動的情報改竄判定機能と、静的特徴情報を用いた静的情報改竄判定機能とを備えた構成により、静的なWebページの改竄だけでなく、変化の少ない動的なWebページの改竄も検知することができる。
【0066】
なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0067】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0068】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0069】
さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0070】
また、記憶媒体は1つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0071】
なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0072】
また、各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0073】
なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0074】
1…Webページ改竄検知システム、2…Webサーバ装置、3…ユーザ端末、4…管理者端末、21…プログラム記憶部、22…情報記憶部、23…アプリケーションロジック部、24…Webページ改竄検知装置、241…特徴情報記憶部、242…特徴情報生成部、243…改竄検証部。
【特許請求の範囲】
【請求項1】
Webページを表示するユーザ端末に通信可能なアプリケーションロジック部を有するWebサーバ装置に設けられ、特徴情報記憶手段を有して管理者端末に通信可能であり、前記ユーザ端末にWebページを表示させるためのWebページ情報に対して改竄検証処理を実行するWeb改竄検知装置であって、
前記Webページ情報を生成するためのWebページ生成プログラムであって、前記Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、前記動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び前記Webページのうちの変化しない部分を表示させる複数の静的情報を含む前記Webページ生成プログラムを前記管理者端末から受信すると、当該受信したWebページ生成プログラムから前記コメント情報を抽出する手段と、
前記抽出されたコメント情報から前記動的特徴情報を抽出する動的特徴情報抽出手段と、
前記受信されたWebページ生成プログラムから前記複数の静的情報を抽出する手段と、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、前記静的情報の特徴を示す第1の静的特徴情報を生成する手段と、
前記抽出された動的特徴情報及び前記生成された第1の静的特徴情報を関連付けて前記特徴情報記憶手段に書込む手段と、
前記受信されたWebページ生成プログラムを前記Webサーバ装置内の記憶部に書込む手段と、
前記ユーザ端末からWebページ取得要求を受けた前記アプリケーションロジック部によって前記記憶部内のWebページ生成プログラムから前記動的情報、前記コメント情報及び前記複数の静的情報を含む前記Webページ情報が生成され、このWebページ情報が前記アプリケーションロジック部から送出されると、当該送出されたWebページ情報から当該動的情報を抽出する手段と、
前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定する動的情報改竄判定手段と、
前記動的情報改竄判定手段での判定結果が適合する旨を示すとき、前記送出されたWebページ情報から前記複数の静的情報を抽出する手段と、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び前記一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する手段と、
前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定する静的情報改竄判定手段と、
前記静的情報改竄判定手段での判定結果が一致する旨を示すとき、前記送出されたWebページ情報を前記ユーザ端末に送信する手段と
を備えたことを特徴とするWebページ改竄検知装置。
【請求項2】
請求項1に記載のWebページ改竄検知装置において、
前記コメント情報は、
前記変化の最大値及び最小値を含む情報を有しており、
前記動的特徴情報抽出手段は、
前記コメント情報から前記変化の最大値及び最小値を含む情報を前記動的特徴情報として抽出する手段を備えたことを特徴とするWebページ改竄検知装置。
【請求項3】
Webページを表示するユーザ端末に通信可能なアプリケーションロジック部を有するWebサーバ装置に設けられ、特徴情報記憶手段を有して管理者端末に通信可能であり、前記ユーザ端末にWebページを表示させるためのWebページ情報に対して改竄検証処理を実行するWeb改竄検知装置のプログラムであって、
前記Webページ改竄検知装置を、
前記Webページ情報を生成するためのWebページ生成プログラムであって、前記Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、前記動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び前記Webページのうちの変化しない部分を表示させる複数の静的情報を含む前記Webページ生成プログラムを前記管理者端末から受信すると、当該受信したWebページ生成プログラムから前記コメント情報を抽出する手段、
前記抽出されたコメント情報から前記動的特徴情報を抽出する動的特徴情報抽出手段、
前記受信されたWebページ生成プログラムから前記複数の静的情報を抽出する手段、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、前記静的情報の特徴を示す第1の静的特徴情報を生成する手段、
前記抽出された動的特徴情報及び前記生成された第1の静的特徴情報を関連付けて前記特徴情報記憶手段に書込む手段、
前記受信されたWebページ生成プログラムを前記Webサーバ装置内の記憶部に書込む手段、
前記ユーザ端末からWebページ取得要求を受けた前記アプリケーションロジック部によって前記記憶部内のWebページ生成プログラムから前記動的情報、前記コメント情報及び前記複数の静的情報を含む前記Webページ情報が生成され、このWebページ情報が前記アプリケーションロジック部から送出されると、当該送出されたWebページ情報から当該動的情報を抽出する手段、
前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定する動的情報改竄判定手段、
前記動的情報改竄判定手段での判定結果が適合する旨を示すとき、前記送出されたWebページ情報から前記複数の静的情報を抽出する手段、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び前記一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する手段、
前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定する静的情報改竄判定手段、
前記静的情報改竄判定手段での判定結果が一致する旨を示すとき、前記送出されたWebページ情報を前記ユーザ端末に送信する手段、
として機能させるためのプログラム。
【請求項1】
Webページを表示するユーザ端末に通信可能なアプリケーションロジック部を有するWebサーバ装置に設けられ、特徴情報記憶手段を有して管理者端末に通信可能であり、前記ユーザ端末にWebページを表示させるためのWebページ情報に対して改竄検証処理を実行するWeb改竄検知装置であって、
前記Webページ情報を生成するためのWebページ生成プログラムであって、前記Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、前記動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び前記Webページのうちの変化しない部分を表示させる複数の静的情報を含む前記Webページ生成プログラムを前記管理者端末から受信すると、当該受信したWebページ生成プログラムから前記コメント情報を抽出する手段と、
前記抽出されたコメント情報から前記動的特徴情報を抽出する動的特徴情報抽出手段と、
前記受信されたWebページ生成プログラムから前記複数の静的情報を抽出する手段と、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、前記静的情報の特徴を示す第1の静的特徴情報を生成する手段と、
前記抽出された動的特徴情報及び前記生成された第1の静的特徴情報を関連付けて前記特徴情報記憶手段に書込む手段と、
前記受信されたWebページ生成プログラムを前記Webサーバ装置内の記憶部に書込む手段と、
前記ユーザ端末からWebページ取得要求を受けた前記アプリケーションロジック部によって前記記憶部内のWebページ生成プログラムから前記動的情報、前記コメント情報及び前記複数の静的情報を含む前記Webページ情報が生成され、このWebページ情報が前記アプリケーションロジック部から送出されると、当該送出されたWebページ情報から当該動的情報を抽出する手段と、
前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定する動的情報改竄判定手段と、
前記動的情報改竄判定手段での判定結果が適合する旨を示すとき、前記送出されたWebページ情報から前記複数の静的情報を抽出する手段と、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び前記一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する手段と、
前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定する静的情報改竄判定手段と、
前記静的情報改竄判定手段での判定結果が一致する旨を示すとき、前記送出されたWebページ情報を前記ユーザ端末に送信する手段と
を備えたことを特徴とするWebページ改竄検知装置。
【請求項2】
請求項1に記載のWebページ改竄検知装置において、
前記コメント情報は、
前記変化の最大値及び最小値を含む情報を有しており、
前記動的特徴情報抽出手段は、
前記コメント情報から前記変化の最大値及び最小値を含む情報を前記動的特徴情報として抽出する手段を備えたことを特徴とするWebページ改竄検知装置。
【請求項3】
Webページを表示するユーザ端末に通信可能なアプリケーションロジック部を有するWebサーバ装置に設けられ、特徴情報記憶手段を有して管理者端末に通信可能であり、前記ユーザ端末にWebページを表示させるためのWebページ情報に対して改竄検証処理を実行するWeb改竄検知装置のプログラムであって、
前記Webページ改竄検知装置を、
前記Webページ情報を生成するためのWebページ生成プログラムであって、前記Webページのうちの変化する部分を表示させる動的情報を算出するための動的情報算出プログラム、前記動的情報の変化の範囲を含む特徴を示す動的特徴情報をもつコメント情報及び前記Webページのうちの変化しない部分を表示させる複数の静的情報を含む前記Webページ生成プログラムを前記管理者端末から受信すると、当該受信したWebページ生成プログラムから前記コメント情報を抽出する手段、
前記抽出されたコメント情報から前記動的特徴情報を抽出する動的特徴情報抽出手段、
前記受信されたWebページ生成プログラムから前記複数の静的情報を抽出する手段、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び所定の一方向性関数を示す関数情報に基づいて、前記静的情報の特徴を示す第1の静的特徴情報を生成する手段、
前記抽出された動的特徴情報及び前記生成された第1の静的特徴情報を関連付けて前記特徴情報記憶手段に書込む手段、
前記受信されたWebページ生成プログラムを前記Webサーバ装置内の記憶部に書込む手段、
前記ユーザ端末からWebページ取得要求を受けた前記アプリケーションロジック部によって前記記憶部内のWebページ生成プログラムから前記動的情報、前記コメント情報及び前記複数の静的情報を含む前記Webページ情報が生成され、このWebページ情報が前記アプリケーションロジック部から送出されると、当該送出されたWebページ情報から当該動的情報を抽出する手段、
前記抽出された動的情報が前記特徴情報記憶手段内の動的特徴情報と適合するか否かを判定する動的情報改竄判定手段、
前記動的情報改竄判定手段での判定結果が適合する旨を示すとき、前記送出されたWebページ情報から前記複数の静的情報を抽出する手段、
前記抽出された複数の静的情報を連結し、当該連結された静的情報及び前記一方向性関数情報に基づいて、当該連結された静的情報の特徴を示す第2の静的特徴情報を生成する手段、
前記特徴情報記憶手段内の第1の静的特徴情報と、前記生成された第2の静的特徴情報とが一致するか否かを判定する静的情報改竄判定手段、
前記静的情報改竄判定手段での判定結果が一致する旨を示すとき、前記送出されたWebページ情報を前記ユーザ端末に送信する手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−141876(P2012−141876A)
【公開日】平成24年7月26日(2012.7.26)
【国際特許分類】
【出願番号】特願2011−500(P2011−500)
【出願日】平成23年1月5日(2011.1.5)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成24年7月26日(2012.7.26)
【国際特許分類】
【出願日】平成23年1月5日(2011.1.5)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]