[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5738042B2 - ゲートウェイ装置、情報処理装置、処理方法およびプログラム - Google Patents

ゲートウェイ装置、情報処理装置、処理方法およびプログラム Download PDF

Info

Publication number
JP5738042B2
JP5738042B2 JP2011078436A JP2011078436A JP5738042B2 JP 5738042 B2 JP5738042 B2 JP 5738042B2 JP 2011078436 A JP2011078436 A JP 2011078436A JP 2011078436 A JP2011078436 A JP 2011078436A JP 5738042 B2 JP5738042 B2 JP 5738042B2
Authority
JP
Japan
Prior art keywords
server
access
access destination
information
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011078436A
Other languages
English (en)
Other versions
JP2012213107A (ja
Inventor
洋 川口
洋 川口
和英 土屋
和英 土屋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lac Co Ltd
Original Assignee
Lac Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lac Co Ltd filed Critical Lac Co Ltd
Priority to JP2011078436A priority Critical patent/JP5738042B2/ja
Publication of JP2012213107A publication Critical patent/JP2012213107A/ja
Application granted granted Critical
Publication of JP5738042B2 publication Critical patent/JP5738042B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークを介して行われるマルウェア(悪意のあるソフトウェア)の侵入を防止する装置、処理方法およびプログラムに関する。
コンピュータ・ウィルス等のマルウェアは、コンピュータ・システムに侵入して動作し、侵入したコンピュータ・システム自体やこのシステムに接続された他のシステムに、様々な被害を発生させる。マルウェアによる被害の発生を防止する方策として、コンピュータ・システムに侵入しようとするマルウェアを検出して侵入を防止することや、既にコンピュータ・システムに侵入したマルウェアを検出して除去することが行われる。マルウェアを検出する手法としては、一般に、既知のマルウェアに関する情報を集めたリスト(ブラックリスト)を用いたリストマッチングが行われる(例えば、特許文献1を参照)。
また、未知のマルウェアを検出したり、マルウェアの送信元を特定したりすることも行われる。例えば、ネットワーク上にマルウェアが侵入可能な囮端末(いわゆるハニーポット等)を設け、侵入したマルウェアの動作を検証したり、マルウェアの送信元を特定したりすることが行われている(例えば、特許文献2を参照)。
特開2009−181233号公報 WO2004/084063号公報
近年、マルウェアの侵入方法は高度化かつ巧妙化し、コンピュータへの侵入を未然に防ぐことが困難となっている。例えば、外部からコンピュータへマルウェアを送りつけて侵入させるのではなく、コンピュータから主体的にマルウェアを取得(ダウンロード)するような工夫が行われる場合がある。これには、ウェブページ等に設けられた仕掛けによって、コンピュータ等のユーザが、マルウェアを取得(ダウンロード)するようにコンピュータ等を操作することを誘導するような場合も含まれる。
本発明の目的は、上記のようなコンピュータから主体的にマルウェアを取得させる仕組みに対する防御手段を提供することにある。
上記の目的を達成するため、本発明は、次のような装置として実現される。この装置は、LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置であって、アクセス先を特定するアクセス先情報を保持する情報保持手段と、このアクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするアクセス制御手段と、このアクセス制御手段がアクセスしたサーバから受信した特定のソフトウェアに付加された、このサーバが特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出する抽出手段と、端末装置からのアクセス要求のアクセス先がアクセス先情報に含まれ、このアクセス先のサーバからアクセス要求に対する応答を受信した場合に、応答に、抽出手段により抽出された識別情報を付加する編集手段と、を備える。
より好ましくは、編集手段は、サーバから受信した応答に対して抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、この第2の識別情報を第1の識別情報に書き換え、この応答に対して第2の識別情報が付加されていない場合は、この応答に第1の識別情報を付加しない。
また、この編集手段は、サーバからの応答に対して識別情報を付加する代わりに、端末装置からのアクセス要求のアクセス先がアクセス先情報に含まれる場合に、アクセス要求に、抽出手段により抽出された識別情報を付加するようにしても良い。
この場合、より好ましくは、編集手段は、アクセス要求に対して抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、この第2の識別情報を第1の識別情報に書き換え、このアクセス要求に対して第2の識別情報が付加されていない場合は、このアクセス要求に第1の識別情報を付加しない。
また、上記の目的を達成する他の本発明は、次のような装置としても実現される。この装置は、LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置であって、アクセス要求を受け付けてアクセス要求の送信元へ特定のソフトウェアを送信するサーバが含まれたアクセス先を特定するアクセス先情報を保持する第1の情報保持手段と、このサーバが特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を保持する第2の情報保持手段と、端末装置からのアクセス要求のアクセス先がアクセス先情報に含まれ、このアクセス先のサーバからこのアクセス要求に対する応答を受信した場合に、この応答に、第2の情報保持手段に保持された識別情報を付加する編集手段と、を備える。
また、この編集手段は、サーバからの応答に対して識別情報を付加する代わりに、端末装置からのアクセス要求のアクセス先がアクセス先情報に含まれる場合に、アクセス要求に、抽出手段により抽出された識別情報を付加するようにしても良い。
さらにまた、本発明は、次のような方法としても実現される。この方法は、LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置によるネットワーク通信の処理方法であって、アクセス先を特定するアクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするステップと、アクセス先情報においてアクセス先として特定されたサーバにアクセスし、このサーバから特定のソフトウェアを受信し、この特定のソフトウェアに付加された、このサーバが特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出するステップと、端末装置からのアクセス要求のアクセス先がアクセス先情報に含まれ、このアクセス先のサーバからこのアクセス要求に対する応答を受信した場合に、この応答に、抽出された識別情報を付加するステップと、を含む。
ここで、サーバからの応答に対して識別情報を付加する代わりに、端末装置からのアクセス要求のアクセス先がアクセス先情報に含まれる場合に、アクセス要求に識別情報を付加する構成としても良い。
さらに本発明は、コンピュータを制御して上述した装置の各機能を実現するプログラム、またはコンピュータに上記の処理方法における各ステップに対応する処理を実行させるプログラムとしても実現される。このプログラムは、磁気ディスクや光ディスク、半導体メモリ、その他の記録媒体に格納して配布したり、ネットワークを介して配信したりすることにより、提供することができる。
本発明によれば、コンピュータから主体的にマルウェアを取得させる仕組みに対する防御を実現し、コンピュータを保護することができる。
本実施形態が適用されるコンピュータ・システムの全体構成例を示した図である。 インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。 本実施形態の第1の構成例によるプロキシサーバの機能構成例を示す図である。 本実施形態の第1の構成例によるプロキシサーバの動作を示すフローチャートである。 本実施形態の第2の構成例によるプロキシサーバの機能構成例を示す図である。 第2の構成例のプロキシサーバによるクッキーに関する処理を示すフローチャートであり、クッキーの取得時の動作を示す図である。 第2の構成例のプロキシサーバによるクッキーに関する処理を示すフローチャートであり、クッキーの書き換え時の動作を示す図である。 本実施形態のプロキシサーバを実現するのに好適なコンピュータのハードウェア構成の一例を示す図である。
以下、添付図面を参照して、本発明の実施形態について詳細に説明する。
<システム構成例>
まず、本実施形態が適用されるネットワーク・システムについて説明する。
図1は、このようなネットワーク・システムの全体構成例を示した図である。
図示するように、このネットワーク・システムは、クライアント端末10と、プロキシサーバ20とがLAN(Local Area Network)100に接続されて構成されている。また、LAN100に接続された各装置は、プロキシサーバ20を介してインターネット200に接続される。すなわち、LAN100内の装置から外部ネットワークへの通信は、必ずプロキシサーバ20を介して行われる。
クライアント端末10は、ユーザが使用するコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。上記のように、クライアント端末10は、LAN100に接続されており、プロキシサーバ20を介してインターネット200上のサーバ(図示せず)にアクセスする。なお、図1には4台のクライアント端末10が記載されているが、LAN100に接続されるクライアント端末10の台数は図示の4台には限定されない。
インターネット200上のサーバは、インターネット200においてウェブページ等によりサービスを提供するウェブサイトを構築する。以下の説明では、クライアント端末10およびプロキシサーバ20によるアクセス先やインターネット200上での動作(データ送信等の)主体として、サーバではなくウェブサイトを適宜用いる。なお、このサーバとウェブサイトとは、必ずしも1対1で対応していない。単一のサーバが複数のウェブサイトを提供する場合もあるし、複数のサーバに格納されたウェブページ等により一つのウェブサイトが構成される場合もある。
プロキシサーバ20は、LAN100内のクライアント端末10とインターネット200上のサーバとの間の通信を中継するサーバ・コンピュータである。上記のように、クライアント端末10は、必ずプロキシサーバ20を介してインターネット200にアクセスする。プロキシサーバ20は、基本的な機能である中継機能の他、ファイア・ウォールや通信データのキャッシュ機能等、既存のプロキシサーバが備える一般的な機能を備えても良い。
本実施形態のプロキシサーバ20は、上記の通常のプロキシサーバ20としての機能に加え、所定のアクセス先リストに基づいて、インターネット200上のウェブサイトを、自ら巡回アクセスする機能を有する。本実施形態におけるプロキシサーバ20の機能および動作、またアクセス先リストの詳細については後述する。
LAN100は、クライアント端末10やネットワーク・プリンタ(図示せず)等の端末装置を各種回線で接続し、これらの間でデータを送受信できるようにしたネットワークである。インターネット200は、TCP/IPを用いて全世界のネットワークを相互に接続した巨大なネットワークである。
<マルウェアを侵入させる仕組み>
ここで、本実施形態が対象とする、マルウェアを侵入させる仕組みについて説明する。
図2は、インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。
図2において、インターネット200上に設けられたウェブサイト210は、マルウェアを配信するウェブサイト(マルウェア配信サイト)である。図2に示す仕組みでは、まず、クライアント端末10からウェブサイト210へアクセス要求が行われる。そして、クライアント端末10からウェブサイト210へのアクセス要求が行われると、ウェブサイト210は、アクセス要求を行ったクライアント端末10へマルウェアを送信する。
インターネット200上では、クライアント端末10からウェブサイト210へのアクセス要求を行わせるための様々な仕掛けがなされている。例えば、他のウェブサイト(図示せず)のウェブページに、ウェブサイト210へアクセスするスクリプトを記述しておき、クライアント端末10がそのウェブページをダウンロードした際に自動的にウェブサイト210へアクセスさせる仕組みがある。また、他のウェブサイト(図示せず)のウェブページ上に、ウェブサイト210へアクセスするためのリンクを設けておき、そのウェブページを閲覧したユーザが自らウェブサイト210へアクセスするように仕向けることもある。
従来、このような手法に対するセキュリティ上の対応策として、囮となるクライアント端末10(囮端末)を用いて、このようなマルウェアの配信サイトを発見することが行われている。具体的には、クライアント端末10からのアクセスを受け付けてマルウェアをダウンロードさせている可能性のあるウェブサイト210へ囮端末からアクセスし、そのウェブサイト210がマルウェアを送信するか否かを確認することが行われていた。
これに対し、そのような調査による発見を回避するため、マルウェア配信サイトであるウェブサイト210は、所定の条件を満たす場合にのみ、アクセス要求を行ったクライアント端末10に対してマルウェアを送信することがあった。具体的には、マルウェアをダウンロードさせたクライアント端末10を記憶しておき、例えば一定期間以内に、同じクライアント端末10からのアクセス要求があった場合には、そのクライアント端末10に対してマルウェアを送信しないウェブサイト210があった。
マルウェア配信サイトであるウェブサイト210を提供するサーバがクライアント端末10を識別する手法としては、種々の手法が考えられるが、代表的な手法として、IPアドレスを用いる手法とクッキー(Cookie)を用いる手法が挙げられる。前者の手法では、ウェブサイト210のサーバは、アクセス要求元のIPアドレスに基づいて、そのアクセス要求を行ったクライアント端末10を特定する。後者の手法では、ウェブサイト210のサーバが、アクセス要求を受け付けた際に、クッキーを作成して、アクセス要求元のクライアント端末10に対して送信する。そして、次にクライアント端末10からアクセス要求を受け付けた際に、ウェブサイト210のサーバは、アクセス要求に付されたクッキーに基づいて、そのアクセス要求を行ったクライアント端末10を特定する。
<プロキシサーバによる巡回アクセスおよび偽装>
本実施形態では、上記のように、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象として、プロキシサーバ20による巡回アクセスを行う。そして、プロキシサーバ20がウェブサイト210からマルウェアをダウンロードする。また、プロキシサーバ20は、自身が設けられたLAN100内のクライアント端末10からウェブサイト210へのアクセス要求を、2回目以降のアクセス要求であるかのように偽装する。このようなプロキシサーバ20を備えたLAN100では、予めプロキシサーバ20がウェブサイト210にアクセスしてマルウェアをダウンロードするため、その後、クライアント端末10がウェブサイト210にアクセスしてもマルウェアをダウンロードすることがない。
上記のように、ウェブサイト210を提供するサーバがクライアント端末10を識別するための代表的な手法として、IPアドレスを用いる手法とクッキーを用いる手法が考えられる。そこで、以下では、各々の場合に分けて、本実施形態におけるプロキシサーバ20の機能構成および動作について説明する。
<第1の構成例>
まず、ウェブサイト210のサーバがIPアドレスを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
<プロキシサーバの機能構成>
図3は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図3に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25とを備える。なお、図3においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図3に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
アクセス中継部21は、LAN100に接続されたクライアント端末10とインターネット200上のウェブサイト210(サーバ)との間の通信を中継する。すなわち、クライアント端末10から送信されたデータを受け付けて送信先のウェブサイト210へ送信し、ウェブサイト210から送信されたデータを受け付けて送信先のクライアント端末10へ送信する。
リスト保持部22は、プロキシサーバ20がアクセスすべきアクセス先のリストを保持する情報保持手段である。本実施形態におけるプロキシサーバ20のアクセス先は、アクセス元のクライアント端末10に対してマルウェアを送信しているウェブサイト210またはその疑いのあるウェブサイト210である。特に、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象とする。このアクセス先リストは、例えば、情報セキュリティのサービス提供者等から取得したり、公開されたマルウェア配信サイトの情報を利用したりすることができる。
なお、アクセス先リストに登録されるウェブサイト210は、実際にマルウェアを送信するウェブサイト210の他、マルウェアを送信している可能性があると認識されたウェブサイト210、そのようなウェブサイト210へ自動的に遷移するウェブサイト210等を含むものとする。
アクセス制御部23は、リスト保持部22に保持されているアクセス先リストに基づき、ウェブサイト210にアクセスするアクセス制御手段である。ウェブサイト210へのアクセスは、予め定められたタイミングで行われる。例えば、定期的に(一日に一度、予め定められた時刻等)行っても良いし、システムが特定の状態になったことを契機として行っても良い。具体例を挙げると、時間帯によってLAN100に接続されているクライアント端末10が全て停止するようなシステムでは、全てのクライアント端末10が停止した後、いずれかのクライアント端末10が起動した際に、プロキシサーバ20がウェブサイト210へアクセスすることが考えられる。また、アクセス先リストに登録された各ウェブサイト210に関して、LAN100に接続されているいずれかのクライアント端末10がそのウェブサイト210に最後にアクセスしてから一定時間が経過した場合に、プロキシサーバ20がウェブサイト210へアクセスすることも考えられる。
ソフトウェア解析部24は、アクセス制御部23の制御によるウェブサイト210へのアクセスでダウンロードされたソフトウェアを解析し、マルウェアか否かを判断する。この判断は、例えば、ブラックリストを用いたリストマッチング等の既存の手法を用いて良い。この場合、ブラックリストには、予め処理対象であるマルウェアとして定められたソフトウェアが登録されている。
ソフトウェア処理部25は、ソフトウェア解析部24によりマルウェアと判断されたソフトウェアを処理し、そのソフトウェアが実行されない状態とする。具体的には、対象のソフトウェアを削除したり、特別のフォルダに格納(隔離)して実行できないようにしたりする。
<第1の構成例におけるプロキシサーバの動作>
図4は、本実施形態によるプロキシサーバ20の動作を示すフローチャートである。
上記のように構成されたシステムにおいて、プロキシサーバ20は、アクセス制御部23の制御により、リスト保持部22に保持されているアクセス先リストにしたがって、所定のタイミングで(時間要件を満たす場合に)ウェブサイト210にアクセスする(ステップ401、402)。そして、ウェブサイト210からソフトウェアを取得(ダウンロード)したならば、ソフトウェア解析部24が、取得したソフトウェアを解析する(ステップ403、404)。ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、次にソフトウェア処理部25が、そのソフトウェアを処理(削除、隔離等)する(ステップ405、406)。
以上のようにして、本実施形態によれば、プロキシサーバ20が、アクセス先リストに基づき、マルウェアの配信サイトであるウェブサイト210(またはその可能性のあるウェブサイト210)に、所定のタイミングでアクセスする。プロキシサーバ20が設けられたLAN100の特性上、LAN100に接続された端末装置(クライアント端末10を含む)からアクセス要求が行われた場合、プロキシサーバ20により中継された時点で、アクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。このため、ウェブサイト210において、プロキシサーバ20によってアクセスされた後、このLAN100内のクライアント端末10からのアクセスは、全て同じIPアドレス(同じ端末装置)からのアクセスと判断される。
ここで、ウェブサイト210が、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないものとする。すると、このウェブサイト210は、プロキシサーバ20がアクセスした後、一定期間は、LAN100内のクライアント端末10からのアクセス要求があっても、アクセス要求の送信元へマルウェアを送信しない。
<第1の構成の変形例>
上記のように、プロキシサーバ20が設けられたLAN100では、LAN100に接続された各端末装置からのアクセス要求におけるアクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。したがって、上記構成例におけるプロキシサーバ20のアクセス制御部23の機能を、プロキシサーバ20ではなく、LAN100に接続された特定のクライアント端末10に設けても良い。
この場合、この特定のクライアント端末10が、上記のリスト保持部22に保持されたものと同様のアクセス先リストを保持する。そして、このアクセス先リストに基づいて、所定のタイミングでウェブサイト210にアクセスする。
<第2の構成例>
次に、ウェブサイト210のサーバがクッキーを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
第2の構成例において、ウェブサイト210は、アクセス要求を行ったクライアント端末10に対して応答する際に送信データにクッキーを付加するものとする。クッキーを受け取ったクライアント端末10は、次回、同じウェブサイト210にアクセスする際に、アクセス要求や送信データに受け取ったクッキーを付加して送信する。ウェブサイト210は、受信したアクセス要求や送信データに自身が発行したクッキーが付加されていた場合、このクッキーに基づいて、アクセス要求の送信元のクライアント端末10やその状態を識別する。
したがって、ウェブサイト210は、クライアント端末10にマルウェアを送信する際、マルウェアの送信時に固有のクッキーを付加して送信すれば、その後に同じクライアント端末10から受けたアクセス要求に付加されたクッキーに基づき、このクライアント端末10にはマルウェアを既に送信済みであることを認識することができる。そこで、第2の構成例では、クライアント端末10とウェブサイト210との間のデータ交換において、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを、マルウェア送信時のクッキーに書き換える。これにより、アクセス要求の送信元であるクライアント端末10に対して既にマルウェアを送信していると、ウェブサイト210が認識するように偽装する。
<プロキシサーバの機能構成>
図5は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図5に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25と、情報編集部26とを備える。ここで、アクセス中継部21、リスト保持部22、アクセス制御部23、ソフトウェア解析部24およびソフトウェア処理部25は、図3に示した第1の構成例におけるプロキシサーバ20の構成と同様である。したがって、同一の符号を付して説明を省略する。なお、図5においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図5に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
図5に示す本構成例のプロキシサーバ20において、情報編集部26は、ウェブサイト210からLAN100内のクライアント端末10へ送信されたデータに付加されているクッキーの抽出および書き換えを行う。すなわち、情報編集部26は、ウェブサイト210からの受信データからクッキーを抽出する抽出手段であり、受信データに付加されているクッキーを書き換える編集手段である。以下、情報編集部26によるクッキーの書き換え処理の内容について、詳細に説明する。
前提として、図5に示す第2の構成例によるプロキシサーバ20は、図3及び図4を参照して説明した第1の構成例によるプロキシサーバ20と同様に、リスト保持部22に保持されたアクセス先リストに基づき、所定のタイミングでウェブサイト210にアクセスする。そして、ソフトウェア解析部24によりウェブサイト210からダウンロードされたソフトウェアを解析し、そのソフトウェアがマルウェアであった場合は、ソフトウェア処理部25により処理(削除、隔離等)する。
ここで、ウェブサイト210からダウンロードしたソフトウェアがマルウェアであると判断された場合、本構成のプロキシサーバ20では、情報編集部26が、そのソフトウェアに付加されたクッキーのデータを抽出する。抽出されたクッキーのデータは、送信元のウェブサイト210を特定する情報に関連付けられて、所定の記憶手段に保持される。
そして、LAN100内のクライアント端末10からウェブサイト210へのアクセス要求がなされ、ウェブサイト210からの応答があった場合に、情報編集部26は、ウェブサイト210からの応答に付加されているクッキーを、保持しているクッキー(すなわち、マルウェアの送信時に付加されたクッキー)に書き換える。
<第2の構成例におけるプロキシサーバの動作>
図6および図7は、本実施形態のプロキシサーバ20によるクッキーに関する処理を示すフローチャートである。図6はクッキーの取得時の動作を示し、図7はクッキーの書き換え時の動作を示す。
図6に示す動作において、プロキシサーバ20がアクセス先リストに基づいてウェブサイト210にアクセスし、ダウンロードしたソフトウェアを解析するまでの動作(ステップ601〜604)は、図4に示した第1の構成例によるステップ401〜404までの動作と同様である。
本構成例におけるプロキシサーバ20は、ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、そのソフトウェアを処理(削除、隔離等)し、さらにそのソフトウェアに付加されたクッキーを取得する(ステップ605、606)。すなわち、このときに取得されたクッキーは、ウェブサイト210がマルウェアを送信する際に付加するクッキーである。
次に、図7を参照する。まず、プロキシサーバ20のアクセス中継部21が、LAN100内のクライアント端末10からのアクセス要求に対するウェブサイト210からの応答を受信する(ステップ701)。すると、情報編集部26が、事前にこのウェブサイト210にアクセスして取得したクッキー(図6のステップ606で取得したクッキー)を保持しているか調べる(ステップ702)。そして、このウェブサイト210から取得したクッキーが保持されている場合、情報編集部26は、ステップ701で受信した応答に付加されているクッキーを、ステップ702で検出したクッキーに書き換える(ステップ703)。そして、アクセス中継部21は、情報編集部26によりクッキーが書き換えられた応答を、このアクセス要求の送信元であるクライアント端末10に送信する(ステップ704)。
この後、クライアント端末10は、再度ウェブサイト210にアクセスする場合、ステップ703でプロキシサーバ20により付加されたクッキーをアクセス要求に付加する。このため、このアクセス要求を受信したウェブサイト210は、クッキーに基づき、受信したアクセス要求が既にマルウェアを送信したクライアント端末10からのアクセス要求であると判断する。
ここで、ウェブサイト210が、既にマルウェアを送信したクライアント端末10に対して、一定期間はマルウェアを再送しないものとする。すると、このウェブサイト210は、上記のクッキーが付加されたアクセス要求の送信元であるクライアント端末10にはマルウェアを送信しない。
なお、上記の動作例では、プロキシサーバ20がウェブサイト210からの応答を受信した時点で、情報編集部26がクッキーを書き換えることとした。これに対し、LAN100内のクライアント端末10がアクセス先リストに登録されているウェブサイト210をアクセス先としてアクセス要求を行った場合に、そのアクセス要求に付加されているクッキーを情報編集部26が保持しているクッキーに書き換える手順としても良い。
また、上記の動作例では、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換える(すなわち、既に付加されているクッキーを削除してマルウェア送信時のクッキーを付加する)こととした。これに対し、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求にクッキーが付加されていない場合に、情報編集部26がクッキーを単に付加する構成も考えられる。
<第2の構成の変形例>
上記の構成例では、プロキシサーバ20がLAN100内のクライアント端末10に先立ってウェブサイト210にアクセスし、マルウェアの送信時に付加されるクッキーを取得した。これに対し、アクセス先リストに登録されているウェブサイト210がマルウェアを送信する際に付加するクッキーを予め他の手段で取得し、プロキシサーバ20に保持しておく構成としても良い。この場合、クッキーは、例えばアクセス先リストと共に情報セキュリティサービス提供者が提供することが考えられる。ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換えたり、付加したりする手法および手順については、上記の構成例と同様である。
<ハードウェアの構成例>
最後に、本実施形態のプロキシサーバ20を実現するのに好適なコンピュータのハードウェア構成について説明する。
図8は、このようなコンピュータのハードウェア構成の一例を示す図である。
図8に示すコンピュータは、演算手段であるCPU(Central Processing Unit)300aと、主記憶手段であるメモリ300cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)300g、ネットワーク・インターフェイス300f、表示機構300d、音声機構300h、キーボードやマウス等の入力デバイス300i等を備える。
図8に示す構成例では、メモリ300cおよび表示機構300dは、システム・コントローラ300bを介してCPU300aに接続されている。また、ネットワーク・インターフェイス300f、磁気ディスク装置300g、音声機構300hおよび入力デバイス300iは、I/Oコントローラ300eを介してシステム・コントローラ300bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。
なお、図8は、本実施形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施形態は、ネットワーク・トラフィック等から得られるデータファイルを解析する情報処理システムに広く適用できるものであり、図示の構成においてのみ本実施例が実現されるのではない。
図8において、磁気ディスク装置300gにはOSやアプリケーション・ソフトのプログラムが格納されている。そして、これらのプログラムがメモリ300cに読み込まれてCPU300aに実行されることにより、図3および図5に示したアクセス中継部21、アクセス制御部23、ソフトウェア解析部24、ソフトウェア処理部25および情報編集部26を含む各種の機能が実現される。また、磁気ディスク装置300gやメモリ300c等の記憶手段により、リスト保持部22や、情報編集部26により抽出されたクッキーの保持手段が実現される。
なお、本実施形態の各構成例では、第1の構成の変形例を除き、プロキシサーバ20がアクセス先リストに基づくウェブサイト210の巡回アクセスを行ったが、実際のシステムにおいては、かかる構成に限定されない。すなわち、LAN100とインターネット200との間の通信経路上に設けられる各種のゲートウェイ装置によりウェブサイト210のアクセスを行う構成とすることができる。さらに、アクセス先リストに基づいてウェブサイト210を巡回アクセスする専用の情報処理装置をLAN100内に設け、プロキシサーバ20等のゲートウェイを介してインターネット200上のウェブサイト210にアクセスするように構成しても良い。
10…クライアント端末、20…プロキシサーバ、21…アクセス中継部、22…リスト保持部、23…アクセス制御部、24…ソフトウェア解析部、25…ソフトウェア処理部、26…情報編集部、100…LAN(Local Area Network)、200…インターネット

Claims (10)

  1. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置であって、
    アクセス先を特定するアクセス先情報を保持する情報保持手段と、
    前記アクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするアクセス制御手段と、
    前記アクセス制御手段がアクセスした前記サーバから受信した特定のソフトウェアに付加された、当該サーバが当該特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出する抽出手段と、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれ、当該アクセス先の前記サーバから当該アクセス要求に対する応答を受信した場合に、当該応答に、前記抽出手段により抽出された前記識別情報を付加する編集手段と、
    を備える、ゲートウェイ装置。
  2. 前記編集手段は、前記サーバから受信した前記応答に対して前記抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、当該第2の識別情報を当該第1の識別情報に書き換え、当該応答に対して当該第2の識別情報が付加されていない場合に、当該第1の識別情報を付加しない、
    請求項1に記載のゲートウェイ装置。
  3. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置であって、
    アクセス先を特定するアクセス先情報を保持する情報保持手段と、
    前記アクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするアクセス制御手段と、
    前記アクセス制御手段がアクセスした前記サーバから受信した特定のソフトウェアに付加された、当該サーバが当該特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出する抽出手段と、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれる場合に、当該アクセス要求に、前記抽出手段により抽出された前記識別情報を付加する編集手段と、
    を備える、ゲートウェイ装置。
  4. 前記編集手段は、前記アクセス要求に対して前記抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、当該第2の識別情報を当該第1の識別情報に書き換え、当該アクセス要求に対して当該第2の識別情報が付加されていない場合に、当該第1の識別情報を付加しない、
    請求項3に記載のゲートウェイ装置。
  5. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置であって、
    アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するサーバが含まれたアクセス先を特定するアクセス先情報を保持する第1の情報保持手段と、
    前記サーバが前記特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を保持する第2の情報保持手段と、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれ、当該アクセス先の前記サーバから当該アクセス要求に対する応答を受信した場合に、当該応答に、前記第2の情報保持手段に保持された前記識別情報を付加する編集手段と、
    を備える、ゲートウェイ装置。
  6. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置であって、
    アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するサーバが含まれたアクセス先を特定するアクセス先情報を保持する第1の情報保持手段と、
    前記サーバが前記特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を保持する第2の情報保持手段と、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれる場合に、当該アクセス要求に、前記第2の情報保持手段に保持された前記識別情報を付加する編集手段と、
    を備える、ゲートウェイ装置。
  7. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置によるネットワーク通信の処理方法であって、
    アクセス先を特定するアクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするステップと、
    前記アクセス先情報においてアクセス先として特定されたサーバにアクセスし、当該サーバから特定のソフトウェアを受信し、当該特定のソフトウェアに付加された、当該サーバが当該特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出するステップと、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれ、当該アクセス先の前記サーバから当該アクセス要求に対する応答を受信した場合に、当該応答に、抽出された前記識別情報を付加するステップと、
    を含む、処理方法。
  8. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置によるネットワーク通信の処理方法であって、
    アクセス先を特定するアクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするステップと、
    前記アクセス先情報においてアクセス先として特定されたサーバにアクセスし、当該サーバから、特定のソフトウェアを受信し、当該特定のソフトウェアに付加された、当該サーバが当該特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出するステップと、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれる場合に、当該アクセス要求に、抽出された前記識別情報を付加するステップと、
    を含む、処理方法。
  9. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置として用いられるコンピュータを制御するプログラムにおいて、
    アクセス先を特定するアクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするアクセス制御手段と、
    前記アクセス制御手段がアクセスした前記サーバから受信した特定のソフトウェアに付加された、当該サーバが当該特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を抽出する抽出手段と、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれ、当該アクセス先の前記サーバから当該アクセス要求に対する応答を受信した場合に、当該応答に、前記抽出手段により抽出された前記識別情報を付加する編集手段として、
    前記コンピュータを機能させる、プログラム。
  10. LAN(Local Area Network)上の端末装置と外部ネットワーク上のサーバとの間のデータ交換を中継するゲートウェイ装置として用いられるコンピュータを制御するプログラムにおいて、
    アクセス先を特定するアクセス先情報に基づき、予め定められたタイミングで外部ネットワーク上のサーバにアクセスするアクセス制御手段と、
    前記アクセス制御手段がアクセスした前記サーバから、特定のソフトウェアと共に、当該サーバが当該特定のソフトウェアを送信した端末装置を識別するために用いる識別情報を受信した場合に、当該識別情報を抽出する抽出手段と、
    前記端末装置からのアクセス要求のアクセス先が前記アクセス先情報に含まれる場合に、当該アクセス要求に、前記抽出手段により抽出された前記識別情報を付加する編集手段として、
    前記コンピュータを機能させる、プログラム。
JP2011078436A 2011-03-31 2011-03-31 ゲートウェイ装置、情報処理装置、処理方法およびプログラム Active JP5738042B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011078436A JP5738042B2 (ja) 2011-03-31 2011-03-31 ゲートウェイ装置、情報処理装置、処理方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011078436A JP5738042B2 (ja) 2011-03-31 2011-03-31 ゲートウェイ装置、情報処理装置、処理方法およびプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015086445A Division JP5893787B2 (ja) 2015-04-21 2015-04-21 情報処理装置、処理方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2012213107A JP2012213107A (ja) 2012-11-01
JP5738042B2 true JP5738042B2 (ja) 2015-06-17

Family

ID=47266703

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011078436A Active JP5738042B2 (ja) 2011-03-31 2011-03-31 ゲートウェイ装置、情報処理装置、処理方法およびプログラム

Country Status (1)

Country Link
JP (1) JP5738042B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6071501B2 (ja) * 2012-12-06 2017-02-01 株式会社東芝 中継端末

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001222425A (ja) * 2000-02-10 2001-08-17 Nec Software Kobe Ltd ウィルス駆除システムと方法および記録媒体
JP4334231B2 (ja) * 2001-04-16 2009-09-30 ザクソン・アールアンドディ株式会社 コンピュータウイルス検査装置及び半導体集積回路
US20020161904A1 (en) * 2001-04-30 2002-10-31 Xerox Corporation External access to protected device on private network
JP5302149B2 (ja) * 2009-09-18 2013-10-02 株式会社日立システムズ Webアクセスログ確認システムと方法およびプログラム

Also Published As

Publication number Publication date
JP2012213107A (ja) 2012-11-01

Similar Documents

Publication Publication Date Title
US10021129B2 (en) Systems and methods for malware detection and scanning
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
US9654494B2 (en) Detecting and marking client devices
US20190173904A1 (en) Entity Group Behavior Profiling
US10395031B2 (en) Systems and methods for malware detection and scanning
US11861008B2 (en) Using browser context in evasive web-based malware detection
AU2015409179B2 (en) Machine-driven crowd-disambiguation of data resources
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
RU2738337C1 (ru) Система и способ обнаружения интеллектуальных ботов и защиты от них
Miller et al. Detection of anonymising proxies using machine learning
KR102125966B1 (ko) 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템
JP5738042B2 (ja) ゲートウェイ装置、情報処理装置、処理方法およびプログラム
JP5986695B2 (ja) 情報処理装置、処理方法およびプログラム
JP5893787B2 (ja) 情報処理装置、処理方法およびプログラム
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
JP6563872B2 (ja) 通信システム、および、通信方法
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP2016031687A (ja) マルウェア通信制御装置
CN111200652A (zh) 应用识别方法、应用识别装置和计算设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140313

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150324

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150421

R150 Certificate of patent or registration of utility model

Ref document number: 5738042

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250