[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2014085772A - 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム - Google Patents

不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム Download PDF

Info

Publication number
JP2014085772A
JP2014085772A JP2012233192A JP2012233192A JP2014085772A JP 2014085772 A JP2014085772 A JP 2014085772A JP 2012233192 A JP2012233192 A JP 2012233192A JP 2012233192 A JP2012233192 A JP 2012233192A JP 2014085772 A JP2014085772 A JP 2014085772A
Authority
JP
Japan
Prior art keywords
communication
unit
connection information
malware
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012233192A
Other languages
English (en)
Other versions
JP5876399B2 (ja
Inventor
Kazufumi Aoki
一史 青木
Takeo Hario
剛男 針生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012233192A priority Critical patent/JP5876399B2/ja
Publication of JP2014085772A publication Critical patent/JP2014085772A/ja
Application granted granted Critical
Publication of JP5876399B2 publication Critical patent/JP5876399B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】悪性な通信先を特定すること。
【解決手段】開示の実施形態は、一つの態様において、実行部と、記録部と、検知部と、特定部とを備える。実行部は、端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する。記録部は、不正プログラムの実行による通信の通信先を記録する。検知部は、端末への通信であって、接続情報を用いて行われる通信を検知する。特定部は、記録部によって記録された通信先の中から、検知部で検知された通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する。
【選択図】図1

Description

本発明は、不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラムに関する。
従来、情報漏洩や不正アクセス等の脅威をもたらす不正プログラム(以下、「マルウェア」と呼ぶ)に対する対処方法が種々提案されている。この対処方法の一つとして、例えば、マルウェアに感染したユーザ端末を検出し、マルウェアが感染時に通信する通信先との通信をネットワーク側で検知して遮断することが行われている。
上記の対処方法では、例えば、マルウェアが感染した際にユーザ端末が接続するC&C(Command and Control)サーバや、情報漏洩先のサーバ等の悪性な通信先の情報を予めブラックリストとして取得しておく。この悪性な通信先の情報には、例えば、URL(Uniform Resource Locator)やFQDN(Fully Qualified Domain Name)、IP(Internet Protocol)アドレス等が含まれる。そして、ブラックリストに含まれる悪性な通信先への通信を検知し、検知した通信先への通信を遮断する。なお、上記のブラックリストに掲載される悪性な通信先の情報は、例えば、マルウェアを実際に動作させて解析結果を取得する動的解析という方法が用いられる。この動的解析では、例えば、マルウェアを実際に動作させ、その動作を記録することで、マルウェアが通信試行を行った通信先の情報が取得される。
特開2009−181335号公報
しかしながら、上述した従来技術では、悪性な通信先を特定できない場合があった。例えば、マルウェアには、マルウェア自身がインターネット上で動作していることを確認するために、悪性ではない一般の通信先に通信を行うものが知られている。このようなマルウェアに対しては、上記の動的解析を行っても、得られた通信先が悪性であるとは限らず、悪性な通信先を特定できない場合があった。
開示の実施形態は、上記に鑑みてなされたものであって、悪性な通信先を特定することができる不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラムを提供することを目的とする。
開示の実施形態は、一つの態様において、実行部と、記録部と、検知部と、特定部とを備える。実行部は、端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する。記録部は、不正プログラムの実行による通信の通信先を記録する。検知部は、端末への通信であって、接続情報を用いて行われる通信を検知する。特定部は、記録部によって記録された通信先の中から、前記検知部で検知された通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する。
本願の開示する技術の一つの態様によれば、悪性な通信先を特定することができるという効果を奏する。
図1は、第1の実施形態に係る不正プログラム実行システムの構成の一例を示す図である。 図2は、第1の実施形態に係る不正プログラム実行システムによる処理の流れを示すシーケンス図である。 図3は、第2の実施形態に係る不正プログラム実行システムによる処理の流れを示すシーケンス図である。 図4は、特定部において取得される解析結果の一例を示す図である。 図5は、開示の実施形態に係る不正プログラム実行プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
以下に、本願の開示する不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。各実施形態は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
(第1の実施形態)
第1の実施形態に係る不正プログラム実行システム1は、動的解析により得られる不正プログラムの通信先が悪性か否かを特定するために、次の処理を実行する。不正プログラム実行システム1は、例えば、不正プログラムを動作させる環境において、端末への接続に用いられる接続情報を、悪性な通信先に漏洩させる情報として設定した上で、不正プログラムを実行する。そして、不正プログラム実行システム1は、その端末を監視し、端末への接続試行が成功していた場合に、漏洩させた情報に対応する通信先を悪性であると特定する。なお、不正プログラムとは、例えば、コンピュータウイルスやスパイウェア等である。また、以下では、不正プログラムをマルウェアと記載する場合がある。
図1を用いて、第1の実施形態に係る不正プログラム実行システム1の構成について説明する。図1は、第1の実施形態に係る不正プログラム実行システム1の構成の一例を示す図である。図1に示すように、第1の実施形態に係る不正プログラム実行システム1は、接続情報管理部10と、動的解析部20と、検知部30と、特定部40とを有する。このうち、動的解析部20は、マルウェア実行部21と、外部通信記録部22とを有する。また、外部通信記録部22及び検知部30は、インターネット5に接続されている。なお、接続情報管理部10、マルウェア実行部21、検知部30及び特定部40は、例えば、それぞれがパーソナルコンピュータやワークステーション等に対応し、外部通信記録部22は、プロキシサーバに対応する。また、接続情報管理部10、マルウェア実行部21、外部通信記録部22、検知部30及び特定部40は、パーソナルコンピュータやワークステーション等に限らず、例えば、それらの装置内で機能するASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路、又は、CPU(Central Processing Unit)等の電子回路によって実現されても良い。言い換えると、例えば、マルウェア実行部21、外部通信記録部22、検知部30及び特定部40を一つのコンピュータ内で実現することができる。また、外部通信記録部22は、例えば、通信のプロトコルを判別し、判別したプロトコルに応じたサーバ応答を生成する仮想ネットワーク処理部として実現されても良い。
また、第1の実施形態に係る不正プログラム実行システム1は、例えば、接続情報を用いた通信を受け付ける端末を有する。なお、第1の実施形態では、この端末の機能を検知部30が兼ねる場合を説明する。しかし、実施形態はこれに限定されるものではなく、端末が検知部30とは別にインターネット5に接続されていても良い。
接続情報管理部10は、端末への接続に用いられる接続情報を管理する。例えば、接続情報管理部10は、FTP(File Transfer Protocol)サーバへのログインに用いられるFTPサーバのアドレス、ログインID及びパスワードの組合せを接続情報として生成する。ここで生成される接続情報は、マルウェアが動作した際に漏洩される情報となる。つまり、接続情報管理部10は、解析対象となるマルウェアごとに接続情報を生成し、生成した接続情報とマルウェアを識別するためのマルウェア識別情報とを対応付けて記憶する。そして、接続情報管理部10は、生成した接続情報を動的解析部20及び検知部30へ送信する。なお、接続情報は、外部ネットワークからの接続を制御できる情報であれば良い。例えば、接続情報管理部10は、メールアドレスを接続情報として利用しても良い。
動的解析部20は、マルウェアを実際に動作させ、その様子を監視することによりマルウェアの通信先の情報を収集する。ここで得られる通信先の情報には、例えば、URL(Uniform Resource Locator)やFQDN(Fully Qualified Domain Name)、IP(Internet Protocol)アドレス等が含まれる。
マルウェア実行部21は、端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する。例えば、マルウェア実行部21は、接続情報を接続情報管理部10から受信して、受信した接続情報を所定の格納場所に設定する。例えば、マルウェア実行部21は、FTPサーバのアドレス、ログインID及びパスワードをレジストリに登録する、または、FTPサーバのアドレス、ログインID及びパスワードを記載したファイルを特定のディレクトリに配置する等の処理を実施する。これにより、登録された接続情報は、マルウェア実行部21で実行されるマルウェアによって漏洩されることとなる。そして、マルウェア実行部21は、マルウェアを実行する。なお、マルウェア実行部21により実行されるマルウェアは、例えば、不正プログラム実行システム1を利用する利用者によって予め解析対象となる1つのマルウェアがマルウェア実行部21に設定される。また、接続情報を所定の格納場所に登録する処理は、必ずしもマルウェア実行部21が実行する必要は無く、例えば、利用者によって手作業で作成された接続情報を、利用者が手作業でマルウェア実行部21設定しても良い。
外部通信記録部22は、マルウェアの実行による通信の通信先を記録する。また、外部通信記録部22は、マルウェア実行部21からの通信を終端し、通信内容を記録すると共に、インターネット5上のホストに対してマルウェア実行部21からの通信を代理送受信する。
検知部30は、端末への通信であって、接続情報を用いて行われる通信を検知する。例えば、検知部30は、設定情報を用いた接続要求の要求元に対して当該設定情報を用いた通信を許可するように、インターネット5からの接続を制御する設定を行う。そして、検知部30は、外部ネットワークから端末へ、設定情報を用いた接続要求が行われると、その接続要求の要求元に対して当該設定情報を用いた通信を許可する。なお、検知部30は、必ずしも接続情報を用いた接続要求の要求先ポートに対しての通信に限定して許可する必要はなく、例えば、接続情報を用いて行われる通信を検知すれば良い。また、上記の端末が検知部30とは別に設置される場合には、検知部30は、接続情報を用いた接続要求の要求先ポートに対して通信を許可するように、インターネット5からの接続を制御する設定を端末に対して行う。そして、検知部30は、端末が接続情報を用いた接続要求を受け付けて、その接続要求の要求先ポートからの通信に対して通信を許可する。この場合、検知部30は、端末が通信を許可した旨を検知し、その通信に用いられた接続情報を取得する。
特定部40は、外部通信記録部22によって記録された通信先の中から、検知部30で検知された通信の接続情報が設定された環境の下で実行されたマルウェアの通信先を特定する。例えば、特定部40は、検知部30において接続要求が許可されていたことを確認した際に、その接続要求に用いられた接続情報を漏洩させたマルウェアの通信先を悪性な通信先と特定する。
次に、図2を用いて、第1の実施形態に係る不正プログラム実行システム1による処理を説明する。図2は、第1の実施形態に係る不正プログラム実行システムによる処理の流れを示すシーケンス図である。図2に示す処理は、例えば、不正プログラム実行システム1を利用する利用者からの開始要求を接続情報管理部10が受け付けることにより実行される。
図2に示すように、接続情報管理部10は、接続情報を生成する(S101)。例えば、接続情報管理部10は、FTP(File Transfer Protocol)サーバへのログインに用いられるFTPサーバのアドレス、ログインID及びパスワードの組合せを接続情報として生成する。ここで、接続情報管理部10は、生成した接続情報と、解析対象となるマルウェアのマルウェア識別情報とを対応付けて記憶する。接続情報管理部10は、生成された接続情報を検知部30へ送信する(S102)。
検知部30は、接続情報管理部10から接続情報を受信すると、接続情報を設定する(S103)。例えば、検知部30は、接続情報を用いた接続要求の要求先ポートに対して通信を許可するように、インターネット5からの接続を制御する設定を行う。そして、検知部30は、接続情報を設定した旨の情報を接続情報管理部10へ通知する(S104)。
接続情報管理部10は、接続情報を設定した旨の情報を検知部30から受信すると、接続情報を、マルウェア実行部21へ送信する(S105)。マルウェア実行部21は、接続情報を接続情報管理部10から受信すると、所定の格納場所に接続情報を登録する(S106)。例えば、マルウェア実行部21は、FTPサーバのアドレス、ログインID及びパスワードをレジストリに登録する、または、FTPサーバのアドレス、ログインID及びパスワードを記載したファイルを特定のディレクトリに配置する等の処理を実施する。そして、マルウェア実行部21は、マルウェアを実行する(S107)。これにより、マルウェアは、マルウェア実行部21に設定された接続情報の取得や、取得した接続情報を悪性な通信先へ送信するための通信を発生させる。
マルウェアによってインターネット5への通信が発生すると(S108)、外部通信記録部22は、マルウェアからの通信を解析して、記録する(S109)。このとき、例えば、外部通信記録部22は、マルウェアを識別するマルウェア識別情報と、マルウェアからの通信先を示す情報と、通信先への通信試行があった旨の情報と、マルウェアから送信される送信データのデータ量とを記録する。以下、これらの情報を「通信記録」と呼ぶ。そして、外部通信記録部22は、マルウェアからの通信内容をインターネット5上の通信先に対して送信する(S110)。
外部通信記録部22は、マルウェアからの通信について、インターネット5からの応答を受信すると(S111)、通信記録を記録する(S112)。このとき、例えば、外部通信記録部22は、マルウェアからの通信に対する応答があった旨の情報を記録する。そして、外部通信記録部22は、インターネット5からの応答をマルウェア実行部21へ送信する(S113)。
このように、マルウェア実行部21によってマルウェアが実行されることにより、図2の2aに示すステップS108からステップS113までの処理が所定時間繰り返し実行されることとなる。
マルウェア実行部21は、マルウェア実行中に、接続情報を用いて検知部30へのインターネットを介した通信を行う(S114)。これは、マルウェアが感染した端末が通信を行った際に、その通信の内容を傍受し、その内容を悪性なホストに送信するマルウェアが存在するからである。例えば、マルウェア実行部21は、マルウェア実行後、所定時間経過後に、接続情報を用いて検知部30への通信を行う。これにより、この通信の内容をマルウェアが取得し、悪性な通信先への送信が行われると、上述したステップS108からステップS113までの処理が実行される。なお、上記の所定時間は、実行されたマルウェアがマルウェア実行部21に設定された接続情報を取得したり、取得した接続情報を悪性な通信先へ送信するための通信を発生させたりするのに十分と考えられる時間が利用者によって設定される。
マルウェア実行後に、検知部30は、接続情報を用いた接続要求を検知すると(S115)、検知した接続要求の内容を記録する(S116)。例えば、検知部30は、接続情報を用いた接続要求が行われると、その接続要求の要求先ポートに対しての通信を許可する。そして、検知部30は、許可された接続要求に用いられた接続情報と、その接続要求の回数とを、接続要求の内容として記録する。そして、検知部30は、接続要求の内容を特定部40へ送信する(S117)。ただし、ステップS114で行われた接続要求の記録は除外する。
特定部40は、接続要求の内容を検知部30から受信すると、接続要求に用いられた接続情報が設定された環境の下で実行されたマルウェアのマルウェア識別情報を接続情報管理部10に問い合わせ(S118)、マルウェア識別情報を取得する(S119)。そして、特定部40は、マルウェア識別情報に対応する通信記録を外部通信記録部22に問い合わせ(S120)、通信記録を取得する(S121)。
そして、特定部40は、取得した情報に基づいて、通信先の特定を行う(S122)。例えば、特定部40は、検知部30において検知された接続要求の回数が閾値以下となる通信先を、悪性な通信先として特定する。この閾値は、例えば、「1」である。これは、接続情報を用いた接続要求が1回で成功した場合には、その接続情報がマルウェアによって漏洩されたものであると判断されるためである。これに対して、例えば、接続情報を用いた通信が成功するまでに複数回の接続要求を要していた場合には、その接続情報はマルウェアによって漏洩されたものではなく、例えば、接続情報を解読するソフトウェアによって解読されたものであると判断されるためである。なお、ここで設定される閾値は「1」に限定されるものではない。例えば、マルウェアによって漏洩された接続情報であるにもかかわらず通信不良によって接続要求が失敗する可能性を考慮して、閾値は「2」以上の数が利用者によって設定されても良い。
また、特定部40は、マルウェアから送信される送信データのデータ量が閾値以上となる通信先を、悪性な通信先として特定する。例えば、マルウェアが複数の通信先と通信を行っていた場合、マルウェアから送信されるデータ量が一定の閾値以上となる通信先が一箇所、閾値未満となる通信が複数個所存在した場合に、閾値以上となった通信先を悪性な通信先として特定する。この閾値は、例えば、接続情報管理部10において設定される接続情報のデータ量に基づいて設定される。これは、マルウェアによって接続情報が漏洩される場合には、送信データのデータ量が接続情報のデータ量よりも極端に小さい可能性は考えにくいため、一定以上のデータ量を含む通信であればマルウェアによる漏洩が行われたものと判断されるためである。なお、ここで設定される閾値は、利用者が任意の値を設定して良い。
なお、上述した特定部40の処理のうち、接続要求の回数を用いて特定する処理及び送信データのデータ量を用いて特定する処理は、必ずしも実行されなくても良い。例えば、いずれか一方が実行されても良いし、いずれも実行されなくても良い。
また、図2において説明した不正プログラム実行システム1による処理の流れは、上記の順序に限定されるものではない。例えば、上記のステップS118の説明では、特定部40は、検知部30から接続要求の内容を受信する度にマルウェア識別情報を問い合わせるものと説明したが、これに限定されるものではない。特定部40は、検知部30から受信される接続要求の内容を一定時間蓄積し、その後に、マルウェア識別情報を問い合わせても良い。
上述してきたように、第1の実施形態に係る不正プログラム実行システム1は、端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する。そして、不正プログラム実行システム1は、不正プログラムの実行による通信の通信先を記録する。そして、不正プログラム実行システム1は、端末への外部ネットワークからの通信であって、接続情報を用いて行われる通信を検知する。そして、不正プログラム実行システム1は、記録した通信先の中から、検知した通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する。このため、不正プログラム実行システム1は、悪性な通信先を特定することができる。具体的には、不正プログラム実行システム1は、マルウェアによって接続情報が漏洩されたと判断される場合に、マルウェアの通信先を特定するので、悪性な通信先を確実に特定することができる。
また、例えば、不正プログラム実行システム1は、検知した接続要求の回数が閾値以下となる通信先を特定する。このため、不正プログラム実行システム1は、悪性な通信先を正確に特定することができる。具体的には、不正プログラム実行システム1は、接続要求に用いられた接続情報が解析対象となるマルウェアによって漏洩されたものであると判断される場合に、マルウェアの通信先を特定するので、悪性な通信先を正確に特定することができる。
また、例えば、不正プログラム実行システム1は、マルウェアから送信される送信データのデータ量が閾値以上となる通信先を特定する。このため、不正プログラム実行システム1は、悪性な通信先を正確に特定することができる。具体的には、不正プログラム実行システム1は、マルウェアから送信される送信データに接続情報が含まれると判断される通信先を特定するので、悪性な通信先を正確に特定することができる。
(第2の実施形態)
第1の実施形態において通信先が一つ特定された場合には、その通信先は悪性な通信先であると特定される。しかし、複数の通信先が特定された場合には、それらの通信先の中に悪性な通信先が含まれていると判定されるものの、どの通信先が悪性かを特定するためには、更なる解析を要する。このため、第2の実施形態では、第1の実施形態において複数の通信先が特定された場合に行われる更なる解析について説明する。
第2の実施形態に係る不正プログラム実行システム1は、動的解析を行った際にマルウェアが複数の通信先と通信を行っていた場合に、いずれの通信先が悪性であるかを判定するために、動的解析環境におけるマルウェア実行環境において、同一のマルウェアが悪性な通信先に漏洩させる接続情報を複数用意する。そして、第2の実施形態に係る不正プログラム実行システム1は、漏洩させる接続情報と、マルウェアからの通信を許可する通信先との組み合わせを変更しながら繰り返しマルウェアを実行することで通信先の悪性を判定する。一例としては、不正プログラム実行システム1は、まず、特定された複数の通信先のうち、マルウェアからのある一つの通信先への通信を単独で許可しておき、マルウェアを実行する。このとき、外部ネットワークから接続情報を用いた接続要求があれば、単独で通信が許可された通信先は、悪性な通信先であると特定される。このため、不正プログラム実行システム1は、マルウェアからの通信を単独で許可する通信先を一つ一つ変更しながら、マルウェアを繰り返し実行する。マルウェアによっては、同一の送信元IPからの通信が繰り返し行われる場合に、情報漏洩先サーバが接続を拒否することがある。そのため、マルウェアを繰り返し実行する際には、動的解析部20からインターネット5に通信する際の動的解析部20のIPアドレスを繰り返し実行するごとに異なるものに設定してもよい。
また、上記の場合に、外部ネットワークから接続情報を用いた接続要求がなかったとしても、単独で通信が許可された通信先は、悪性な通信先ではないと判断できない。これは、ある通信先との通信が行われることにより、悪性な通信先との通信が惹起される場合があるからである。このため、不正プログラム実行システム1は、マルウェアからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、マルウェアを実行する。例えば、不正プログラム実行システム1は、マルウェアからの通信を許可する一部の通信先を、2つずつ許可したり3つずつ許可したり、或いはその組合せを変更したりしながらマルウェアを実行する。これにより、不正プログラム実行システム1は、悪性な通信先との通信が他の通信先との通信によって惹起される場合についても解析することができる。
第2の実施形態に係る不正プログラム実行システム1は、図1に示した第1の実施形態に係る不正プログラム実行システム1と同様の構成を有するが、以下に説明する処理を更に実行する点が相違する。
第2の実施形態に係るマルウェア実行部21は、特定部40によって複数の通信先が特定された場合に、更に、マルウェアからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、マルウェアを実行する。
第2の実施形態に係る外部通信記録部22は、更に、マルウェア実行部21によってマルウェアが実行される毎に、そのマルウェアから各通信先への通信の試行の有無を記録する。
第2の実施形態に係る検知部30は、更に、マルウェア実行部21によってマルウェアが実行される毎に、端末への通信であって、接続情報を用いて行われる通信を検知する。
第2の実施形態に係る特定部40は、更に、外部通信記録部22によって記録された実行毎の試行結果と、検知部30によって検知された検知結果とを取得する。
次に、図3を用いて、第2の実施形態に係る不正プログラム実行システム1による処理を説明する。図3は、第2の実施形態に係る不正プログラム実行システムによる処理の流れを示すシーケンス図である。図3に示す処理は、例えば、図2に示したステップS121において複数の通信先が特定された場合に、実行される。
図3に示すように、複数の通信先が特定されると、特定部40は、通信許可設定情報を外部通信記録部22へ送信する(S201)。この通信許可設定情報は、特定されたそれぞれの通信先に対してマルウェアからの通信を許可するか否かを、通信先ごとに設定した情報である。なお、複数のマルウェアを同時に解析する場合には、この通信許可設定情報は、解析対象となるマルウェアごとに設定される。
外部通信記録部22は、通信許可設定情報を特定部40から受信すると、通信許可設定を行う(S202)。例えば、外部通信記録部22は、通信許可設定情報を受信すると、その通信許可設定情報によって許可された通信先に対して、マルウェアからの通信を許可するように、マルウェア実行部21からの通信を制御する設定を行う。そして、外部通信記録部22は、設定が完了した旨を特定部40へ通知する(S203)。特定部40は、設定が完了した旨を外部通信記録部22から受信すると、接続情報の生成要求を接続情報管理部10へ送信する(S204)。なお、この接続情報の生成要求は、マルウェアとの通信が許可された通信先を示す情報を含む。
接続情報管理部10は、接続情報の生成要求を特定部40から受信すると、接続情報を生成する(S205)。ここで、接続情報管理部10は、生成した接続情報を識別するための接続情報IDと、マルウェアとの通信が許可された通信先を示す情報と、マルウェア識別情報とを対応付けて記憶する。そして、接続情報管理部10は、生成された接続情報を検知部30へ送信する(S206)。
検知部30は、接続情報管理部10から接続情報を受信すると、接続情報を設定する(S207)。そして、検知部30は、接続情報を設定した旨の情報を接続情報管理部10へ通知する(S208)。
接続情報管理部10は、接続情報を設定した旨の情報を検知部30から受信すると、接続情報を、マルウェア実行部21へ送信する(S209)。マルウェア実行部21は、接続情報を接続情報管理部10から受信すると、所定の格納場所に接続情報を登録する(S210)。
マルウェア実行部21は、マルウェアを実行する(S211)。これにより、第1の実施形態において特定された複数の通信先のそれぞれに対して、マルウェアからの通信が発生することとなる。マルウェアによってインターネット5への通信が発生すると(S212)、外部通信記録部22は、マルウェアからの通信を解析して、通信記録を記録する(S213)。このとき、例えば、外部通信記録部22は、マルウェアを識別するマルウェア識別情報と、マルウェアからの通信先を示す情報と、通信先への通信試行があった旨の情報と、マルウェアから送信される送信データのデータ量とを記録する。そして、外部通信記録部22は、発生した通信の通信先が、マルウェアとの通信が許可された通信先か否かを判定する(S214)。
マルウェアとの通信が許可された通信先であれば、外部通信記録部22は、マルウェアからの通信内容をインターネット5上の通信先に対して送信する(S215)。そして、外部通信記録部22は、マルウェアからの通信について、インターネット5からの応答を受信すると(S216)、通信記録を記録する(S217)。このとき、例えば、外部通信記録部22は、マルウェアからの通信に対する応答があった旨の情報を記録する。そして、外部通信記録部22は、インターネット5からの応答をマルウェア実行部21へ送信する(S218)。
なお、マルウェアとの通信が許可された通信先でなければ、外部通信記録部22は、通信に失敗した旨の情報をマルウェア実行部21へ通知する(S219)。
このように、マルウェア実行部21によってマルウェアが実行されることにより、図3の3aに示すステップS108からステップS113までの処理が所定時間繰り返し実行されることとなる。
マルウェア実行部21は、マルウェア実行中に、接続情報を用いて検知部30への通信を行う(S220)。これにより、この通信の内容をマルウェアが取得し、悪性な通信先への送信が行われると、上述したステップS212からステップS219までの処理が実行される。
マルウェア実行後、検知部30は、所定時間、例えば、1時間待機する(S221)。そして、検知部30は、待機中に接続情報を用いた接続要求を検知すると(S222)、検知した接続要求の内容を記録する(S223)。このとき、検知部30は、例えば、接続要求に用いられた接続情報と、接続要求の回数とを接続要求の内容として記録する。なお、ここで設定される所定時間は、マルウェアによって接続情報が漏洩され、漏洩された接続情報を用いた接続要求が行われるのに十分と考えられる時間が設定される。また、ここでは待機する時間を設定して実行する場合を説明したが、必ずしも待機する時間が設定されなくても良い。また、マルウェア実行部21は、異なる接続情報を設定することにより、マルウェアを並列実行しても良い。
そして検知部30は、接続要求の内容を特定部40へ送信する(S224)。特定部40は、接続要求の内容を検知部30から受信すると、接続要求に用いられた接続情報に対応するマルウェア識別情報を接続情報管理部10に問い合わせ(S225)、マルウェア識別情報を取得する(S226)。そして、特定部40は、マルウェア識別情報に対応する通信記録を外部通信記録部22に問い合わせ(S227)、通信記録を取得する(S228)。
そして、特定部40は、解析結果として、通信試行の有無と、検知部30に対する接続要求の有無とを記録する(S229)。これにより、特定部40は、ある通信先に対してマルウェアとの通信を許可した場合における通信試行の有無と、検知部30に対する接続要求の有無とを記録する。
そして、特定部40は、更に、ステップS201からステップS229までの処理を繰り返し実行させることにより、マルウェアからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、マルウェアをマルウェア実行部21に実行させる。例えば、マルウェア実行部21は、特定部40によって特定された複数の通信先のうち、マルウェアからの通信を単独で許可することにより、検知部30において接続情報を用いた通信が検知される通信先を、特定部40によって特定された複数の通信先から除いた通信先について、マルウェアからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、マルウェアを実行する。これは、特定部40によって特定された複数の通信先のうち、マルウェアからの通信を単独で許可することにより、検知部30において接続情報を用いた通信が検知される通信先は、悪性な通信先であると判断されるからである。そして、マルウェア実行部21は、複数の通信先から悪性な通信先を除いた通信先について、マルウェアからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、マルウェアを実行する。
そして、特定部40は、所定回数マルウェアを実行した後に、記録された解析結果に基づいて、悪性な通信先を判定する(S230)。なお、この悪性な通信先を判定する処理は、必ずしも実行されなくても良く、例えば、解析結果を用いて、不正プログラム実行システム1を利用する利用者によって判断されても良い。
なお、図3において説明した不正プログラム実行システム1による処理の流れは、上記の順序に限定されるものではない。例えば、上記のステップS225の説明では、特定部40は、検知部30から接続要求の内容を受信する度にマルウェア識別情報を問い合わせるものと説明したが、これに限定されるものではない。特定部40は、検知部30から受信される接続要求の内容を一定時間蓄積し、その後に、マルウェア識別情報を問い合わせても良い。
次に、解析結果に基づいて悪性な通信先を判定する処理を説明する。図4は、特定部40において取得される解析結果の一例を示す図である。図4に示すように、解析結果には、「手順」と、「接続情報ID」と、「各通信先との通信許可(左)と通信試行の観測有無(右)」と、「検知部に対する接続要求」とが対応付けられている。このうち、「手順」は、該当のレコードが何回目のマルウェアの実行によって取得された解析結果であるかを示す情報であり、例えば、マルウェアが実行された順に採番される。「接続情報ID」は、該当の手順において生成された接続情報を識別するための識別情報である。「各通信先との通信許可(左)と通信試行の観測有無(右)」は、通信先毎に、各項目のスラッシュ(/)の左側が各通信先とマルウェアとの通信が許可されているか否かを示し、右側が各通信先への通信試行があったか否かを示すことを表す。「検知部に対する接続要求」は、外部ネットワークから検知部30へ接続情報を用いた接続要求が行われたか否かを示す情報である。なお、「手順」は、説明の便宜上図示したものであり、必ずしも解析結果に含まれていなくても良い。
図4の1つ目のレコードには、解析結果として、手順「手順1」、接続情報ID「接続情報A」、通信先A「○/○」、通信先B「○/○」、通信先C「○/○」及び検知部に対する接続要求「あり」が対応付けられている。これは、1回目のマルウェアの実行では、接続情報ID「接続情報A」の接続情報が設定され、通信先Aとマルウェアとの通信が許可され、通信先Bとマルウェアとの通信が許可され、通信先Cとマルウェアとの通信が許可されていたことを表す。また、1回目のマルウェアの実行によって、マルウェアから通信先Aへの通信試行が行われ、マルウェアから通信先Bへの通信試行が行われ、マルウェアから通信先Cへの通信試行が行われ、外部ネットワークから検知部30へ接続情報を用いた接続要求が行われたことを示す。例えば、この手順1のマルウェア実行は第1の実施形態で不正プログラムを解析したときの様子を示している。また、図4の2つ目のレコードには、解析結果として、手順「手順2」、接続情報ID「接続情報B」、通信先A「○/○」、通信先B「−/○」、通信先C「−/○」及び検知部に対する接続要求「なし」が対応付けられている。これは、2回目のマルウェアの実行では、接続情報ID「接続情報B」の接続情報が設定され、通信先Aとマルウェアとの通信が許可され、通信先Bとマルウェアとの通信が禁止され、通信先Cとマルウェアとの通信が禁止されていたことを表す。また、2回目のマルウェアの実行によって、マルウェアから通信先Aへの通信試行が行われ、マルウェアから通信先Bへの通信試行が行われ、マルウェアから通信先Cへの通信試行が行われ、外部ネットワークから検知部30へ接続情報を用いた接続要求が行われなかったことを示す。また、他のレコードについても同様に、解析結果が示されている。
図4の手順1では、通信先A〜Cのそれぞれとマルウェアとの通信が許可されている。このとき、いずれの通信先に対してもマルウェアからの通信試行が行われ、さらに、外部ネットワークから検知部30へ接続情報を用いた接続要求も行われている。この結果から、通信先A〜Cのうち、少なくとも1つ以上の通信先が悪性であると確認される。
図4の手順2では、通信先Aとマルウェアとの通信のみが許可されている。このとき、通信先Aに対してマルウェアからの通信試行が行われているものの、外部ネットワークから検知部30へ接続情報を用いた接続要求が行われていない。この結果から、通信先Aは、悪性な通信先とは判定されない。しかしながら、通信先Aとの通信が他の通信先への通信を惹起することにより、接続情報を漏洩させる可能性がある。このため、この時点では通信先Aが悪性な通信先ではないとは判定できない。
図4の手順3では、通信先Bとマルウェアとの通信のみが許可されている。このとき、通信先Bに対してマルウェアからの通信試行が行われておらず、外部ネットワークから検知部30へ接続情報を用いた接続要求も行われていない。この結果から、通信先Bは、悪性な通信先とは判定されない。しかしながら、通信先Bは、他の通信先とマルウェアとの通信が行われることにより、マルウェアから接続情報を取得する可能性があるため、この時点では通信先Bが悪性な通信先ではないとは判定できない。
図4の手順4では、通信先Cとマルウェアとの通信のみが許可されている。このとき、通信先Cに対してマルウェアからの通信試行が行われ、さらに、外部ネットワークから検知部30へ接続情報を用いた接続要求が行われている。この結果から、通信先Cは、悪性な通信先であると判定される。
図4の手順5では、通信先Aとマルウェアとの通信、及び、通信先Bとマルウェアの通信が許可されている。このとき、通信先Aに対しても通信先Bに対してもマルウェアからの通信試行が行われており、外部ネットワークから検知部30へ接続情報を用いた接続要求も行われている。ここで、手順3では、通信先Bへの通信試行が行われていなかったにも拘わらず、手順2では、通信先Bへの通信試行が行われている。手順2は通信先Aへの通信が許可されているので、通信先Bとの通信は、通信先Aとの通信によって惹起されるものと判定される。手順5の結果から、通信先Bとの通信が行われると、外部ネットワークから検知部30へ接続情報を用いた接続要求が行われるものと判定されるため、通信先Bは、悪性な通信先であると判定される。
以上の解析結果によれば、不正プログラム実行システム1の利用者は、例えば、通信先B及び通信先Cを、悪性な通信先の情報としてブラックリストに登録する。なお、通信先Aがブラックリストに登録されないのは、通信先Aが悪性ではない一般の通信先である可能性を拭えないからである。例えば、一般の通信先との通信を契機として悪性な通信先に情報を漏洩させるマルウェアであれば、通信先Aは一般の通信先である可能性がある。しかし、例えば、マルウェアから通信先Aへ送信される送信データに接続情報が含まれていることが確認された場合、あるいは、マルウェアによる漏洩の脅威を確実に低減させる場合には、通信先Aは、ブラックリストに登録されても良い。
上述してきたように、第2の実施形態に係る不正プログラム実行システム1は、複数の通信先を特定した場合に、不正プログラムからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、不正プログラムを実行する。そして、不正プログラム実行システム1は、不正プログラムを実行する毎に、当該不正プログラムから各通信先への通信の試行の有無を記録する。そして、不正プログラム実行システム1は、不正プログラムを実行する毎に、端末への外部ネットワークからの通信であって、接続情報を用いて行われる通信を検知する。そして、不正プログラム実行システム1は、記録した実行毎の試行結果と、検知した検知結果とを取得する。このため、第2の実施形態に係る不正プログラム実行システム1は、第1の実施形態において特定した複数の通信先に対して悪性か否かを正確に判定することができる。
また、例えば、第2の実施形態に係る不正プログラム実行システム1は、特定した複数の通信先のうち、不正プログラムからの通信を単独で許可することにより、接続情報を用いた通信が検知される通信先を、特定した複数の通信先から除いた通信先について、不正プログラムからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、当該不正プログラムを実行する。このため、不正プログラム実行システム1は、複数の通信先に対して悪性か否かを効率良く判定することができる。
これまでいくつかの実施形態を説明したが、本願が開示する技術はこれらの実施形態に限定されるものではない。すなわち、これらの実施形態は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。
例えば、上記の実施形態では、一つのマルウェアについて解析する場合を説明したが、実施形態はこれに限定されるものではない。すなわち、複数のマルウェアについての解析を並列実行することもできる。この場合、例えば、不正プログラム実行システム1は、解析対象となる複数のマルウェアごとに、各マルウェアを実行するマルウェア実行部21を有する。そして、不正プログラム実行システム1は、マルウェア毎に接続情報を生成し、生成した接続情報を各マルウェアが実行されるマルウェア実行部21に設定する。そして、不正プログラム実行システム1は、各マルウェア実行部21においてマルウェアを実行することにより、複数のマルウェアについての解析を並列実行する。
例えば、各装置の分散・統合の具体的形態(例えば、図1の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、検知部30と、特定部40とを一つの処理部として統合してもよく、一方、接続情報管理部10を、接続情報を生成する処理部と、接続情報とマルウェア識別情報とを対応付けて記憶する記憶部とに分散してもよい。
また、例えば、上記の実施形態では、不正プログラム実行システム1が有する接続情報管理部10、動的解析部20、検知部30及び特定部40は、独立して動作する装置として説明したが、開示の実施形態はこれに限定されるものではない。例えば、動的解析部20、検知部30及び特定部40が一つのコンピュータ内で動作しても良い。この場合、例えば、マルウェア実行部21、外部通信記録部22、検知部30及び特定部40は、コンピュータ内で機能するASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路、又は、CPU(Central Processing Unit)等の電子回路によって実現される。
また、実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。例えば、図2における生成情報を生成する処理は手動で行ってもよい。或いは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。例えば、図2において特定した通信先をブラックリストに登録する操作を、自動で行ってもよい。
上記の実施形態において説明した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に更新することができる。例えば、接続情報管理部10が記憶する接続情報とマルウェア識別情報との対応を、予め特定部40に記憶させることが可能である。
これらの実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
[プログラム]
図5は、開示の実施形態に係る不正プログラム実行プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図5に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図5に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図5に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図5に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図5に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図5に例示するように、例えばディスプレイ1061に接続される。
ここで、図5に例示するように、ハードディスクドライブ1031は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、開示の実施形態に係る不正プログラム実行プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。具体的には、上記実施例で説明したマルウェア実行部21と同様の情報処理を実行する実行手順と、外部通信記録部22と同様の情報処理を実行する記録手順と、検知部30と同様の情報処理を実行する検知手順と、特定部40と同様の情報処理を実行する特定手順とが記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。また、上記実施例で説明した記憶部110に記憶されるデータのように、不正プログラム実行プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えばハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、実行手順、記録手順、検知手順、特定手順を実行する。
なお、不正プログラム実行プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、非通常通信検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 不正プログラム実行システム
20 動的解析部
21 マルウェア実行部
22 外部通信記録部
30 検知部
40 特定部

Claims (8)

  1. 端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する実行部と、
    前記不正プログラムの実行による通信の通信先を記録する記録部と、
    前記端末への通信であって、前記接続情報を用いて行われる通信を検知する検知部と、
    前記記録部によって記録された通信先の中から、前記検知部で検知された通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する特定部と
    を有することを特徴とする不正プログラム実行システム。
  2. 前記実行部は、前記特定部によって複数の通信先が特定された場合に、更に、前記不正プログラムからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、当該不正プログラムを実行し、
    前記記録部は、更に、前記実行部によって前記不正プログラムが実行される毎に、当該不正プログラムから各通信先への通信の試行の有無を記録し、
    前記検知部は、更に、前記実行部によって前記不正プログラムが実行される毎に、前記端末への通信であって、前記接続情報を用いて行われる通信を検知し、
    前記特定部は、更に、前記記録部によって記録された実行毎の試行結果と、前記検知部によって検知された検知結果とを取得することを特徴とする請求項1に記載の不正プログラム実行システム。
  3. 前記実行部は、前記特定部によって特定された複数の通信先のうち、前記不正プログラムからの通信を単独で許可することにより、前記検知部において前記接続情報を用いた通信が検知される通信先を、前記特定部によって特定された複数の通信先から除いた通信先について、前記不正プログラムからの通信を許可する一部の通信先を変更しながら、変更する毎に異なる接続情報を用いて、当該不正プログラムを実行することを特徴とする請求項2に記載の不正プログラム実行システム。
  4. 前記実行部は、前記不正プログラムが実行される間に、前記端末へ前記接続情報を用いた通信を行うことを特徴とする請求項1〜3のいずれか一つに記載の不正プログラム実行システム。
  5. 前記特定部は、前記検知部において検知された接続要求の回数が閾値以下となる通信先を特定することを特徴とする請求項1〜4のいずれか一つに記載の不正プログラム実行システム。
  6. 前記特定部は、前記不正プログラムから送信される送信データのデータ量が閾値以上となる通信先を特定することを特徴とする請求項1〜5のいずれか一つに記載の不正プログラム実行システム。
  7. コンピュータで実行される不正プログラム実行方法であって、
    前記コンピュータは、
    端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する実行工程と、
    前記不正プログラムの実行による通信の通信先を記録する記録工程と、
    前記端末への通信であって、前記接続情報を用いて行われる通信を検知する検知工程と、
    前記記録工程によって記録された通信先の中から、前記検知工程で検知された通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する特定工程と
    を含んだことを特徴とする不正プログラム実行方法。
  8. 端末への接続に用いられる接続情報が予め設定された環境の下、不正プログラムを実行する実行手順と、
    前記不正プログラムの実行による通信の通信先を記録する記録手順と、
    前記端末への通信であって、前記接続情報を用いて行われる通信を検知する検知手順と、
    前記記録手順によって記録された通信先の中から、前記検知手順で検知された通信の接続情報が設定された環境の下で実行された不正プログラムの通信先を特定する特定手順と
    をコンピュータに実行させることを特徴とする不正プログラム実行プログラム。
JP2012233192A 2012-10-22 2012-10-22 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム Expired - Fee Related JP5876399B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012233192A JP5876399B2 (ja) 2012-10-22 2012-10-22 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012233192A JP5876399B2 (ja) 2012-10-22 2012-10-22 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム

Publications (2)

Publication Number Publication Date
JP2014085772A true JP2014085772A (ja) 2014-05-12
JP5876399B2 JP5876399B2 (ja) 2016-03-02

Family

ID=50788792

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012233192A Expired - Fee Related JP5876399B2 (ja) 2012-10-22 2012-10-22 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム

Country Status (1)

Country Link
JP (1) JP5876399B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015225512A (ja) * 2014-05-28 2015-12-14 株式会社日立製作所 マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置
JP2016115072A (ja) * 2014-12-12 2016-06-23 Necフィールディング株式会社 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法
US10050798B2 (en) 2015-02-06 2018-08-14 Mitsubishi Electric Corporation Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program
WO2021024532A1 (ja) 2019-08-07 2021-02-11 株式会社日立製作所 計算機システム及び情報の共有方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005332152A (ja) * 2004-05-19 2005-12-02 Ntt Communications Kk 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
JP2008234248A (ja) * 2007-03-20 2008-10-02 Mitsubishi Electric Corp プログラム実行装置及びプログラム実行方法
JP2009181335A (ja) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法および解析プログラム
JP2010015513A (ja) * 2008-07-07 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
JP2010198386A (ja) * 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
JP2011013917A (ja) * 2009-07-01 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法、及び解析プログラム
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005332152A (ja) * 2004-05-19 2005-12-02 Ntt Communications Kk 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
JP2008234248A (ja) * 2007-03-20 2008-10-02 Mitsubishi Electric Corp プログラム実行装置及びプログラム実行方法
JP2009181335A (ja) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法および解析プログラム
JP2010015513A (ja) * 2008-07-07 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
JP2010198386A (ja) * 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
JP2011013917A (ja) * 2009-07-01 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法、及び解析プログラム
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015225512A (ja) * 2014-05-28 2015-12-14 株式会社日立製作所 マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置
JP2016115072A (ja) * 2014-12-12 2016-06-23 Necフィールディング株式会社 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法
US10050798B2 (en) 2015-02-06 2018-08-14 Mitsubishi Electric Corporation Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program
WO2021024532A1 (ja) 2019-08-07 2021-02-11 株式会社日立製作所 計算機システム及び情報の共有方法

Also Published As

Publication number Publication date
JP5876399B2 (ja) 2016-03-02

Similar Documents

Publication Publication Date Title
US11736530B2 (en) Framework for coordination between endpoint security and network security services
US11157300B2 (en) Managing virtual machine security resources
US10776485B2 (en) Virtual machine security
US10528739B2 (en) Boot security
CN106687971B (zh) 用来减少软件的攻击面的自动代码锁定
US9785776B2 (en) High risk program identification based on program behavior
JP6001781B2 (ja) 不正アクセス検知システム及び不正アクセス検知方法
US11706251B2 (en) Simulating user interactions for malware analysis
US12132759B2 (en) Inline package name based supply chain attack detection and prevention
JP5876399B2 (ja) 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム
WO2015179012A1 (en) Methods, systems, and computer readable mediums for providing supply chain validation
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
US20230231857A1 (en) Deep learning pipeline to detect malicious command and control traffic
US12107831B2 (en) Automated fuzzy hash based signature collecting system for malware detection
US20240333759A1 (en) Inline ransomware detection via server message block (smb) traffic
US20240176869A1 (en) Dependency emulation for executable samples
WO2024049702A1 (en) Inline package name based supply chain attack detection and prevention
WO2013081521A1 (en) Monitoring traffic in a communication network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150909

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160121

R150 Certificate of patent or registration of utility model

Ref document number: 5876399

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees