WO2015001969A1

WO2015001969A1 - 不正アクセス検知システム及び不正アクセス検知方法

Info

Publication number: WO2015001969A1
Application number: PCT/JP2014/066272
Authority: WO
Inventors: 満昭秋山; 毅八木
Original assignee: 日本電信電話株式会社
Priority date: 2013-07-05
Filing date: 2014-06-19
Publication date: 2015-01-08
Also published as: JP6001781B2; US20160373447A1; EP2998901B1; CN105359156A; JPWO2015001969A1; EP2998901A1; US10142343B2; EP2998901A4; CN105359156B

Abstract

　不正アクセス検知システム（１００）では、外部に漏えいさせる認証情報を生成する。そして、不正アクセス検知システム（１００）では、生成された認証情報を解析ホスト（２０）上で設定し、該解析ホスト（２０）上で解析対象プログラムを動作させる。そして、不正アクセス検知システム（１００）では、認証情報を用いたコンテンツへのアクセスを検知し、認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する。

Description

不正アクセス検知システム及び不正アクセス検知方法

　本発明は、不正アクセス検知システム及び不正アクセス検知方法に関する。

　近年、悪意のあるソフトウェアであるマルウェアにコンピュータ端末やサーバ（ここでは、両者を区別せずに、以下ホストと記載する）が感染することで、ホスト内部の情報の破壊やホスト自体を踏み台とした新たな攻撃に悪用される事例が発生している。また、マルウェアは、ホスト内の情報を無断で外部に漏えいすることも可能である。個人情報だけでなく、会社や政府もしくは軍事機関等の機密情報が漏えいする可能性もあることから、マルウェア感染による情報漏えいが問題となっている。

　このマルウェアは様々な感染経路からの感染方法が確認されており、例えばメール添付ファイルを装うことでユーザが誤ってクリックおよびインストールする事による感染や、Ｗｅｂサイトで配布している一般のソフトウェアを装ったマルウェアや、Ｐ２Ｐファイルを装ったマルウェア、脆弱性のあるＷｅｂブラウザで攻撃コードが含まれるＷｅｂサイトを閲覧した場合に自動的にマルウェアをダウンロードおよびインストールしてしまう事による感染等である。

　また、インターネット上で提供されている様々なサービスへの不正アクセスが発生している。不正アクセスの多くは、認証情報（例えば、アカウント名やパスワード）をブルートフォース（攻撃者が可能な組み合わせのアカウント名とパスワードを総当たりで試行するログイン）で突破することで行われる場合と、あらかじめユーザから何らかの方法で盗んだ正規の認証情報を用いて行われる場合がある。認証情報をブルートフォースで突破する場合には、連続的なログインの施行が発生するため、単位時間当たりのログイン試行回数の閾値に基づいてＩＰＳ（Intrusion　Prevention　System：侵入防止システム）等によって検知および防御が可能である（例えば、非特許文献１参照）。

　また、これらマルウェア感染に対して、アンチウィルスベンダはマルウェアのシグネチャを作成し、ホストがマルウェアに感染する事を防いでいる。ただし、シグネチャはマルウェアの詳細な解析が必要とされるため、シグネチャ作成のための時間的コストがかかる。

　従来の情報漏えい対策としては、ユーザに対して情報に対するアクセス権限を設定して機密データの流出を防ぐものが多い。この際に、アクセス権限を持つユーザが故意に外部へ情報を漏えいする場合は対象外である。また、そのユーザが情報をコピーした場合は、コピー後のデータに対する保護は対象外である。

　一方、情報中心の制御による情報漏えい防止方法としてＤＬＰ（Data　Loss　PreventionもしくはData　Leak　Prevention）という技術が近年用いられている（例えば、非特許文献２～４参照）。ＤＬＰは、機密性のある情報について、それに対するアクセスや送信を監視し、特に外部へ送信する場合は防止する。この際に、ホスト上で情報の制御を行う方法と、ネットワーク上で通信の内容を監視することで制御する方法がある。

　前者のホスト上で情報の制御を行う方法として、ユーザが利用するホスト上にインストールされているエージェントプログラムを用いて、機密情報へのアクセスを監視する方法が知られている。例えば、ファイルサーバから機密情報をダウロードしてＵＳＢメモリ等の外部ストレージへコピーしようとした場合は、画面に警告文等を表示して防御する。メールの添付ファイルとして外部に送信しようとした場合も同様の処理により防御される。

　後者のネットワーク上で通信の内容を監視する方法としては、ネットワーク上の通信を分析するアプライアンスを用いて、ネットワーク上で通信の内容を監視する方法が知られている。例えば、メールの添付ファイルとして機密情報を外部に送信しようとした場合は、アプライアンスが通信内容を確認しブロックする。

"Suricata　Downloads"、[online]、[平成２５年５月１５日検索]、インターネット＜http://www.openinfosecfoundation.org/index.php/download-suricata＞ "Trend　Micro　Data　Loss　Prevention"、[online]、[平成２５年５月１日検索]、インターネット＜http://jp.trendmicro.com/jp/products/enterprise/tmdlp/＞ "RSA　DLP　（Data　Loss　Prevention）Suite"、[online]、[平成２５年５月１日検索]、インターネット＜http://japan.rsa.com/node.aspx?id=3426＞ "McAfee　Data　Loss　Prevention　Endpoint"、[online]、[平成２５年５月１日検索]、インターネット＜http://www.mcafee.com/japan/products/data_loss_prevention.asp＞

　しかしながら、従来の技術では、不正アクセスの特定、または、不正アクセスを行うプログラムの特定を適切に行うことができない場合があるという課題があった。

　例えば、ユーザから何らかの方法で盗んだ正規の認証情報を用いて不正アクセスが行われた場合には、攻撃者が正しい認証情報を用いてログインを行うため、正規のユーザによるアクセスと攻撃者によるアクセスの判別が困難である。よって、漏えいした認証情報を用いた不正アクセスの検知を適切に行うことが課題となっている。

　また、例えば、上記したエージェントプログラムを用いて、ホスト上で情報の制御を行う方法では、マルウェアに感染した場合に、このエージェントプログラムを停止させた上で動作する事が考えられる。このため、完全にホスト上で情報漏えい動作を防御することは困難である。

　また、例えば、上記したネットワーク上で通信の内容を監視する方法では、マルウェアが通信内容を暗号化した場合に、通信内容だけでは実際にどのような種類の情報が送信されているかを特定する事が困難である。

　また、例えば、インターネットには多種多様なプログラムが存在するが、このようなプログラムが情報漏えいを行うマルウェアであるかどうかを判別するためには、プログラムの詳細な解析が必要になる。ただし、マルウェアには一般的にコードの難読化やアンチデバッグなどの耐解析機能が具備されており、また通信内容自体も暗号化されている事が多いことから、情報漏えいを行うかどうかを特定することが困難である。

　そこで、この発明は、不正アクセスの特定、または、不正アクセスを行うプログラムの特定を適切に行うことを目的とする。

　上述した課題を解決し、目的を達成するため、不正アクセス検知システムは、外部に漏えいさせる認証情報を生成する生成部と、前記生成部によって生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、前記認証情報を用いたコンテンツへのアクセスを検知する検知部と、前記検知部によって前記認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する特定部と、を備えたことを特徴とする。

　また、不正アクセス検知方法は、不正アクセス検知システムによって実行される不正アクセス検知方法であって、外部に漏えいさせる認証情報を生成する生成工程と、前記生成工程によって生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、前記認証情報を用いたコンテンツへのアクセスを検知する検知工程と、前記検知工程によって前記認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する特定工程と、を含んだことを特徴とする。

　また、不正アクセス検知システムは、認証情報を生成する生成部と、前記生成部によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、前記認証情報を用いたコンテンツへの不正アクセスを検知する検知部と、前記検知部によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する特定部と、を備えたことを特徴とする。

　また、不正アクセス検知方法は、不正アクセス検知システムによって実行される不正アクセス検知方法であって、認証情報を生成する生成工程と、前記生成工程によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、前記認証情報を用いたコンテンツへの不正アクセスを検知する検知工程と、前記検知工程によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する特定工程と、を含んだことを特徴とする。

　本願に開示する不正アクセス検知システム及び不正アクセス検知方法は、不正アクセスの特定、または、不正アクセスを行うプログラムの特定を適切に行うことが可能である。

図１は、第一の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。図２は、第一の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。図３は、第一の実施形態に係る認証情報管理装置の構成を示すブロック図である。図４は、第一の実施形態に係る解析ホストの構成を示すブロック図である。図５は、第一の実施形態に係るサーバの構成を示すブロック図である。図６は、第一の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。図７は、第一の実施形態に係る不正アクセス情報管理装置の構成を示すブロック図である。図８は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを行う攻撃者のホストをフィルタリングする際の処理を説明する図である。図９は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを防止する処理を説明する図である。図１０は、第一の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。図１１は、第二の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。図１２は、第二の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。図１３は、第二の実施形態に係る認証情報管理装置の構成を示すブロック図である。図１４は、解析用認証情報記憶部に記憶されたテーブルの一例を示す図である。図１５は、第二の実施形態に係る解析ホストの構成を示すブロック図である。図１６は、単一および複数の認証情報を用いた解析処理を説明する図である。図１７は、第二の実施形態に係るサーバの構成を示すブロック図である。図１８は、第二の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。図１９は、第二の実施形態に係る不正アクセス検知システムにおいて、情報漏えいを行うマルウェアの特定処理を説明する図である。図２０は、第二の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。図２１は、不正アクセス検知プログラムを実行するコンピュータを示す図である。

　以下に図面を参照して、この発明に係る不正アクセス検知システム及び不正アクセス検知方法の実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。

［第一の実施形態］
　以下の実施形態では、第一の実施形態に係る不正アクセス検知システム及び不正アクセス検知方法による処理の流れを順に説明し、最後に第一の実施形態による効果を説明する。

［システムの構成］
　まず、第一の実施形態に係る不正アクセス検知システム１００の構成の一例を説明する。図１は、第一の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。図１に示すように、不正アクセス検知システム１００は、認証情報管理装置１０、解析ホスト２０およびサーバ群３０Ａ～３０Ｃ、不正アクセス情報管理装置４０を有する。また、不正アクセス検知システム１００では、認証情報管理装置１０と、解析ホスト２０と、サーバ群３０Ａ～３０Ｃとが、インターネット５０を介してそれぞれ接続される。なお、サーバ群３０Ａ～３０Ｃについて、特に区別なく一台のサーバについて説明する場合には、サーバ３０と記載する。

　認証情報管理装置１０は、解析用の認証情報を生成し、生成した認証情報と認証情報を設定するプログラムとの対応関係を管理する。また、認証情報管理装置１０は、解析ホスト２０に送信する。この際、生成される認証情報は、各サーバ３０Ａ～３０Ｃに対応するものであり、認証情報として、サービスのサイト情報、アカウント名およびパスワードが生成される。サービスのサイト情報とは、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバの情報であり、例えば、サーバ群３０Ａ～３０ＣのＩＰアドレスもしくはＦＱＤＮである。また、アカウント名およびパスワードは、ランダムに生成され、実際には使われていないものが生成される。

　解析ホスト２０は、解析ホスト２０上にある特定のサービスの認証情報を設定し、解析対象プログラムを動作させる。この時、解析ホスト２０は、インターネット５０に接続しておく。プログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする。

　サーバ群３０Ａ～３０Ｃは、Ｗｅｂサイトのコンテンツを管理するサーバであって、攻撃者にわざと漏えいさせた認証情報で不正にアクセスさせるためのサーバである。例えば、サーバ群３０Ａ～３０Ｃは、漏えいさせた認証情報が利用されたアクセスがあった場合には、それが不正アクセスであると特定し、該不正アクセスを行った攻撃者のホスト情報（例えば、ＩＰアドレス）を取得し、不正アクセス情報管理装置４０に送信する。

　不正アクセス管理装置４０は、不正アクセスを行った攻撃者のホスト情報を管理し、サーバ群３０Ａ～３０Ｃに対して、ホスト情報を送信する。これにより、サーバ群３０Ａ～３０Ｃについて不正アクセスを行った攻撃者のホストを各種サービスにおいてフィルタリング対象とする。

　不正アクセス検知システム１００では、前提として、解析用の認証情報をあえて漏えいさせ、不正アクセスを監視する処理を行っている。ここで、図２を用いて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。図２は、第一の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。

　図２に示すように、まず、解析ホスト２０は、認証情報管理装置１０によって生成された認証情報を、解析ホスト上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする（図２の（１）参照）。そして、解析ホスト２０は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする（図２の（２）参照）。

　次に、ある特定のサービスを提供するサーバ群３０Ａ～３０Ｃを動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は（図２の（３）参照）、サーバ群３０Ａ～３０Ｃは、それは不正アクセスであると判断する（図２の（４）参照）。

　このように、解析用の認証情報をあえて漏えいさせることで、漏えいさせた同一の認証情報が利用された時点において、それが不正アクセスであるものと特定することができる。そして、不正アクセスを行った攻撃者のホスト情報を取得し、該ホスト情報を各種サービスでフィルタリングすることで、不正アクセスを検知し、未然に防止することができる。

［認証情報管理装置の構成］
　次に、図３に示した認証情報管理装置１０の構成を説明する。図３は、第一の実施形態に係る認証情報管理装置の構成を示すブロック図である。図３に示すように、認証情報管理装置１０は、通信処理部１１、制御部１２および記憶部１３を有する。

　通信処理部１１は、接続される解析ホスト２０、サーバ郡３０Ａ～３０Ｃ等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部１１は、解析ホスト２０に対して生成した認証情報を送信する。また、例えば、通信処理部１１は、サーバ郡３０Ａ～３０Ｃから不正アクセスに利用された認証情報を受信する。

　記憶部１３は、図３に示すように、解析用認証情報記憶部１３ａを有する。記憶部１３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　解析用認証情報記憶部１３ａは、後述する生成部１２ａによって生成された解析用の認証情報と、該認証情報が設定されたプログラムとの対応関係が規定されたテーブルを記憶する。

　ここで、例えば、解析に利用する認証情報として、解析用認証情報記憶部１３ａは、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群３０Ａ～３０Ｃに関する情報であり、例えばＩＰアドレスもしくはＦＱＤＮ（Fully　Qualified　Domain　Name）である。

　また、解析用認証情報記憶部１３ａは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部１３ａは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。

　図３に戻って、制御部１２は、生成部１２ａと、管理部１２ｂとを有する。ここで、制御部１２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　生成部１２ａは、外部に漏えいさせる認証情報を生成する。例えば、生成部１２ａは、攻撃者にあえて漏えいさせる解析用の認証情報として、サーバ群３０Ａ～３０ＣのＩＰアドレスもしくはＦＱＤＮと、ランダムに生成されたアカウント名およびパスワードの組み合わせである。なお、生成される認証情報は様々な種類のサービスに対応するものであってよく、例えばＳＳＨ（Secure　SHell）、ＦＴＰ（File　Transfer　Protocol）、ＰＯＰ（Post　Office　Protocol）などである。

　なお、サービスを提供するサーバ３０において当該サービスに対するブルートフォースのログイン（攻撃者が可能な組み合わせのアカウント名とパスワードを総当たりで試行するログイン）と漏えいした認証情報を用いたログインとを正確に区別するため、生成される解析用認証情報は、ランダムに生成される十分に長いユニークな文字列であることが望ましい。

　管理部１２ｂは、生成部１２ａによって生成された認証情報を解析ホスト２０に送信する。ここで送信された認証情報は、解析ホスト２０上に設定され、解析対象のプログラムを実行する。また、管理部１２ｂは、解析ホスト２０が実行したプログラムと対応する認証情報の組を受信し、認証情報と、プログラムと対応する認証情報の組とを対応付けて解析用認証情報記憶部１３ａに格納する。

［解析ホストの構成］
　次に、図４に示した解析ホスト２０の構成を説明する。図４は、第一の実施形態に係る解析ホストの構成を示すブロック図である。図４に示すように、解析ホスト２０は、通信処理部２１、制御部２２および記憶部２３を有する。

　通信処理部２１は、接続される認証情報管理装置１０、サーバ群３０Ａ～３０Ｃ等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部２１は、認証情報管理装置１０から認証情報を受信する。また、例えば、通信処理部２１は、外部の攻撃者に認証情報を送信する。なお、認証情報管理装置１０から認証情報を受信した場合には、後述する解析用認証情報記憶部２３ａに受信した認証情報が格納される。

　記憶部２３は、図４に示すように、解析用認証情報記憶部２３ａを有する。記憶部２３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　解析用認証情報記憶部２３ａは、前述した認証情報管理装置１０によって生成された解析用の認証情報を記憶する。例えば、解析用認証情報記憶部２３ａは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群３０Ａ～３０Ｃに関する情報であり、例えばＩＰアドレスもしくはＦＱＤＮ（Fully　Qualified　Domain　Name）である。

　また、解析用認証情報記憶部２３ａは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部２３ａは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。

　図４に戻って、制御部２２は、設定部２２ａと、動作部２２ｂとを有する。ここで、制御部２２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　設定部２２ａは、認証情報管理装置１０の生成部１２ａによって生成された認証情報を特定のサービスの認証情報として設定する。例えば、設定部２２ａは、解析用認証情報記憶部２３ａから認証情報を取得し、取得した認証情報を特定のサービスの認証情報として設定する。

　動作部２２ｂは、設定部２２ａにより認証情報が設定された解析ホスト２０上で解析対象プログラムとして、サービスのクライアントアプリケーション（ＳＳＨ、ＦＴＰ、ＰＯＰ等）を動作させる。そして、動作部２２ｂは、実行したプログラムと対応する認証情報の組を通知する。ここで、動作させたプログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいすることとなる。漏えいさせる認証情報は、どのような種類のサービスであってもよく、サービスを提供するサーバ３０側で漏えいさせた認証情報のログインがあったかどうかを確認できればよい。また、サービスは解析用に用意してもいいし、実際のサービスを用いてもよい。

［サーバの構成］
　次に、図５に示したサーバ３０の構成を説明する。図５は、第一の実施形態に係るサーバの構成を示すブロック図である。図５に示すように、サーバ３０は、通信処理部３１、制御部３２および記憶部３３を有する。

　通信処理部３１は、接続される認証情報管理装置１０、解析ホスト２０等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部３１は、認証情報管理装置１０に対して不正アクセスに利用された認証情報を送信する。また、通信処理部３１は、認証情報管理装置１０から解析用認証情報を受信する。ここで受信した解析用認証情報は、解析用認証情報記憶部３３ａに記憶される。

　記憶部３３は、図５に示すように、解析用認証情報記憶部３３ａおよび不正ホスト情報記憶部３３ｂを有する。記憶部３３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　解析用認証情報記憶部３３ａは、前述した認証情報管理装置１０によって生成された解析用の認証情報のリストを記憶する。解析用認証情報記憶部３３ａに記憶される認証情報のリストは、後述する検知部３２ａによってログインが不正アクセスであるか否かを判定するために使用される。

　例えば、解析用認証情報記憶部３３ａは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ３０に関する情報であり、例えばＩＰアドレスもしくはＦＱＤＮ（Fully　Qualified　Domain　Name）である。

　また、解析用認証情報記憶部３３ａは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部３３ａは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。

　不正ホスト情報記憶部３３ｂは、不正アクセスを行ったホストの情報を記憶する。例えば、不正ホスト情報記憶部３３ｂは、不正アクセスを行ったホストの情報として、ＩＰアドレスを記憶する。

　図５に戻って、制御部３２は、検知部３２ａと、特定部３２ｂと、格納部３２ｃと、アクセス防止部３２ｄとを有する。ここで、制御部３２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　検知部３２ａは、認証情報管理装置１０の生成部１２ａによって生成された認証情報を用いたコンテンツへのアクセスを検知する。具体的には、検知部３２ａは、コンテンツへのアクセスに用いられた認証情報が解析用認証情報記憶部３３ａに記憶された認証情報と一致するか判定する。

　特定部３２ｂは、検知部３２ａによって認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する。例えば、特定部３２ｂは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生した場合には、該ログインに用いられた認証情報が解析用認証情報記憶部３３ａに記憶された解析用認証情報に含まれるか判定する。

　この結果、特定部３２ｂは、ログインに用いられた認証情報が解析用認証情報記憶部３３ａに記憶された解析用認証情報のリストに含まれる場合には、ログインを不正アクセスであると特定し、不正アクセスに利用された認証情報を認証情報管理装置１０に対して送信する。

　格納部３２ｃは、特定部３２ｂによって不正アクセスとして特定されたアクセスを行ったホストの情報を取得して不正ホスト情報記憶部３３ｂに格納する。また、格納部３２ｃは、取得したホストの情報を不正アクセス情報管理装置４０に送信する。

　アクセス防止部３２ｄは、不正ホスト情報記憶部３３ｂに記憶されたホストの情報により特定されるホストからのアクセスを検出し、該ホストからのアクセスを防止する。例えば、アクセス防止部３２ｄは、ログインを試みるホストが攻撃者ホスト情報に含まれているか否かを判定し、判定の結果、含まれている場合には、攻撃者によるログインと判断し、ログインを遮断する。

　ここで、図６を用いて、第一の実施形態に係る不正アクセス検知システム１００において、認証情報を用いた情報漏えい検知処理を説明する。図６は、第一の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。図６に示すように、不正アクセス検知システム１００の認証情報管理装置１０は、プログラムの解析の度に毎回、ユニークな解析用認証情報（サービスを提供するサーバ名、アカウント名とパスワード情報の組）を生成する（図６の（１）参照）。

　そして、生成した解析用認証情報をプログラムを実行する解析ホスト２０上に設定し（図６の（２）参照）、解析対象のプログラムを実行する（図６の（３）参照）。また、解析ホスト２０は、実行したプログラムと対応する認証情報の組を認証情報管理装置１０に通知する（図６の（４）参照）。そして、認証情報管理装置１０は、生成した解析用認証情報を、サービスを提供するサーバ３０に対して生成して通知する（図６の（５）参照）。

　その後、解析ホスト２０は、解析対象のプログラムを実行した後、該プログラムが情報漏えいをするマルウェアの場合は設定された解析用認証情報を攻撃者に送信する（図６の（６）参照）。この時点で、プログラムが情報漏えいを行ったかどうかを識別する必要は無い。攻撃者は、漏えいした認証情報を利用して、当該サービスに対して不正アクセスを行って、ログインを試みる（図６の（７）参照）。当該サービスを提供するサーバ３０は、ログインに対して、解析用認証情報を用いたログインであるかどうかを識別し、解析用認証情報を用いたログインである場合は、不正アクセスであると検知する（図６の（８）参照）。この際に不正アクセスを行ったホストの情報を取得して記憶することで、そのホストの情報を各種サービスにおいてフィルタリング対象とする。

［不正アクセス情報管理装置の構成］
　次に、図７に示した不正アクセス情報管理装置４０の構成を説明する。図７は、第一の実施形態に係る不正アクセス情報管理装置の構成を示すブロック図である。図７に示すように、不正アクセス情報管理装置４０は、通信処理部４１、制御部４２および記憶部４３を有する。

　通信処理部４１は、接続される認証情報管理装置１０、解析ホスト２０、サーバ３０等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部３１は、サーバ３０から不正アクセスを行ったホストの情報を受信する。また、通信処理部４１は、不正アクセスを行ったホストの情報を、サーバ群３０Ａ～３０Ｃに送信する。

　記憶部４３は、図７に示すように、不正ホスト情報記憶部４３ａおよびサーバ情報記憶部４３ｂを有する。記憶部４３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　不正ホスト情報記憶部４３ａは、不正アクセスを行ったホスト情報のリスト（以下、攻撃者ホスト情報リストと記載する場合がある）を記憶する。例えば、不正ホスト情報記憶部４３ａは、不正アクセスを行ったホスト情報のリストとして、ＩＰアドレスを記憶する。ここで記憶される情報は、サーバ群３０Ａ～３０Ｃから収集されたホスト情報のリストである。

　サーバ情報記憶部４３ｂは、不正アクセスを行ったホストの情報を通知するサーバのアドレス情報等を記憶する。ここで記憶される情報は、後述する送信部４２ｂが、不正アクセスを行ったホストの情報をサーバ３０に送信する際に参照される。

　図７に戻って、制御部４２は、格納部４２ａおよび送信部４２ｂを有する。ここで、制御部４２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　格納部４２ａは、サーバ３０から送信された不正アクセスを行ったホストの情報を受信し、不正アクセスを行ったホストの情報を不正ホスト情報記憶部４３ａに格納する。例えば、格納部４２ａは、不正アクセスを行ったホストの情報として、ＩＰアドレスを不正ホスト情報記憶部４３ａに格納し、攻撃者ホスト情報リストを更新する。

　解析用認証情報を利用してあるサービスにおいて不正アクセスであると判別した際に収集できる攻撃者ホスト情報リストは、実際のさまざまな認証情報を用いるサービスに適用できる。社内システムや利用ユーザが限定されているサービスであれば、ホストのＩＰアドレスなどを限定することで、アカウント情報漏えいによる不正アクセスをある程度は防御できる。例えば、社内システムであれば、社内のＩＰアドレスからしかログインさせないことで防御ができる。しかし、不特定多数のユーザが利用するサービスは、ログインするホストが膨大に存在し、またＩＰアドレスも分散しているため、あらかじめ利用者のＩＰアドレスを制限することによる対策ができない。本実施形態では、後者の不特定多数が利用するサービスに対して適用してもよく、例えばメールサービス、インターネットショッピングサービス、ソーシャルネットワークサービス、ブログサービス、などが例としてあげられる。

　送信部４２ｂは、不正アクセスを行ったホストの情報を各サーバ３０Ａ～３０Ｃに送信する。例えば、送信部４２ｂは、サーバ情報記憶部４３ｂに記憶されたサーバ３０のアドレス情報を参照し、不正アクセスを行ったホストの情報を各サーバ３０Ａ～３０Ｃに送信する。

　図８を用いて、不正アクセスを行う攻撃者のホストをフィルタリングする際の処理を説明する。図８は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを行う攻撃者のホストをフィルタリングする際の処理を説明する図である。図８に示すように、サービスを提供するサーバ３０Ａが解析用認証情報を用いた不正アクセスを検知した場合は（図８の（１）参照）、その攻撃者のホスト情報を不正アクセス管理装置４０に送信する（図８の（２）参照）。

　そして、不正アクセス管理装置４０は、他のサーバ（サーバ３０Ｂ、サーバ３０Ｃ）に対して不正アクセスを行う攻撃者のホスト情報を送信する（図８の（３）参照）。攻撃者の情報を受け取った各サーバ３０Ａ～３０Ｃは、不正アクセスを受けた際に（図８の（４）参照）、その情報を基にログイン時のホスト情報と比較することで攻撃者のホストを識別し、不正アクセスを防止する（図８の（５）参照）。なお、サービスを提供するサーバ３０は、複数種類存在してもよいし、単一のサーバでもよい。

　ここで、図９を用いて、第一の実施形態に係る不正アクセス検知システム１００において、不正アクセスを防止する処理を説明する。図９は、第一の実施形態に係る不正アクセス検知システムにおいて、不正アクセスを防止する処理を説明する図である。

　図９に示すように、解析ホスト２０は、認証情報管理装置１０によって生成された認証情報を、解析ホスト２０上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする（図９の（１）参照）。そして、解析ホスト２０は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする（図９の（２）参照）。

　次に、ある特定のサービスを提供するサーバ３０を動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は（図９の（３）参照）、サーバ３０は、それは不正アクセスであると判断する（図９の（４）参照）。そして、不正アクセスを行ったホスト情報を、他のサービスのアクセスフィルタリングに活用することで、不正アクセスを防止することができる。

［サーバによる処理］
　次に、図１０を用いて、第一の実施形態に係るサーバ３０による処理を説明する。図１０は、第一の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。

　図１０に示すように、サーバ３０の通信処理部３１は、認証情報管理装置１０から解析用認証情報を受信したか判定する（ステップＳ１０１）。この結果、通信処理部３１は、認証情報管理装置１０から解析用認証情報を受信していない場合には（ステップＳ１０１否定）、ステップＳ１０３の処理に進む。また、通信処理部３１は、認証情報管理装置１０から解析用認証情報を受信した場合には（ステップＳ１０１肯定）、解析用認証情報記憶部３３ａに記憶された比較用の解析用認証情報のリストを更新する（ステップＳ１０２）。

　そして、格納部３２ｃは、不正アクセス情報管理装置４０から攻撃者のホスト情報を受信したかを判定する（ステップＳ１０３）。この結果、格納部３２ｃは、不正アクセス情報管理装置４０から攻撃者のホスト情報を受信していない場合には（ステップＳ１０３否定）、ステップＳ１０５の処理に進む。また、格納部３２ｃは、不正アクセス情報管理装置４０から攻撃者のホスト情報を受信した場合には（ステップＳ１０３肯定）、ホスト情報を不正ホスト情報記憶部３３ｂに格納することで、比較用の攻撃者ホスト情報リストを更新する（ステップＳ１０４）。

　そして、検知部３２ａは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生したか否かを判定する（ステップＳ１０５）。この結果、ログインイベントが発生しなかった場合には（ステップＳ１０５否定）、ステップＳ１０１の処理に戻る。また、検知部３２ａは、ログインイベントが発生した場合には（ステップＳ１０５肯定）、該ログインに用いられた認証情報が解析用認証情報記憶部３３ａに記憶された解析用認証情報に含まれるか判定する（ステップＳ１０６）。

　この結果、特定部３２ｂは、ログインに用いられた認証情報が解析用認証情報記憶部３３ａに記憶された解析用認証情報に含まれる場合には（ステップＳ１０６肯定）、ログインを不正アクセスと判定する（ステップＳ１０７）。続いて、特定部３２ｂは、不正アクセスに利用された認証情報を認証情報管理装置１０に通知し（ステップＳ１０８）、ステップＳ１１２の処理に進む。

　また、ステップＳ１０６において、ログインに用いられた認証情報が解析用認証情報記憶部３３ａに記憶された解析用認証情報に含まれていない場合には（ステップＳ１０６否定）、アクセス防止部３２ｄは、ログインを試みるホストが攻撃者ホスト情報に含まれるか判定する（ステップＳ１０９）。この結果、アクセス防止部３２ｄは、ログインを試みるホストが攻撃者ホスト情報に含まれていないと判定した場合には（ステップＳ１０９否定）、ログインを正常アクセスと判定して（ステップＳ１１０）、ステップＳ１１２の処理に進む。また、アクセス防止部３２ｄは、ログインを試みるホストが攻撃者ホスト情報に含まれていると判定した場合には（ステップＳ１０９肯定）、攻撃者によるログインと判断し、ログインを遮断し（ステップＳ１１１）、ステップＳ１１２の処理に進む。

　ステップＳ１１２では、検知部３２ａは、不正アクセスの監視を継続するか否かを判定する（ステップＳ１１２）。この結果、検知部３２ａは、不正アクセスの監視を継続すると判定した場合には（ステップＳ１１２肯定）、ステップＳ１０１に戻る。また、検知部３２ａは、不正アクセスの監視を継続しないと判定した場合には（ステップＳ１１２否定）、処理を終了する。

［第一の実施形態の効果］
　上述してきたように、第一の実施形態にかかる不正アクセス検知システム１００では、外部に漏えいさせる認証情報を生成し、生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる。そして、不正アクセス検知システム１００では、認証情報を用いたコンテンツへのアクセスを検知し、認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する。このため、漏えいした認証情報を用いた不正アクセスの検知および防御を適切に行うことが可能である。

　また、攻撃者が情報漏えいによって取得した認証情報を用いて各種サービスに対して不正アクセスを行った場合は、正規のユーザと攻撃者の判別が侵入検知システムでは困難であったが、不正アクセス検知システム１００では、漏えいさせた情報自体が解析用であり、一般ユーザが利用することがないため、それが利用された時点で不正アクセスであると判別でき、またその不正アクセスを行った攻撃者のホストを特定できる。この攻撃者のホストは他の各種サービスでも不正アクセスを行っている可能性が高いため、このホスト情報（例えばＩＰアドレス）を他の各種サービスでフィルタリングすることで不正アクセスを検知し、未然に防止できる。

［第二の実施形態］
　上記の第一の実施形態では、漏えいした認証情報を用いた不正アクセスを検知する場合について説明したが、本実施形態はこれに限定されるものではない。例えば、情報漏えいを行うマルウェアを特定するようにしてもよい。そこで、以下では、第二の実施形態として、不正アクセス検知システムが、認証情報を用いたコンテンツへの不正アクセスを検知し、認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する場合の例について説明する。

［システムの構成］
　まず、第二の実施形態に係る不正アクセス検知システム２００の構成の一例を説明する。図１１は、第二の実施形態に係る不正アクセス検知システムの構成の一例を示す図である。図１１に示すように、不正アクセス検知システム２００は、認証情報管理装置２１０、解析ホスト２２０およびサーバ群２３０Ａ～２３０Ｃを有する。また、不正アクセス検知システム２００では、認証情報管理装置２１０と、解析ホスト２２０と、サーバ群２３０Ａ～２３０Ｃとが、インターネット２４０を介してそれぞれ接続される。なお、サーバ群２３０Ａ～２３０Ｃについて、特に区別なく一台のサーバについて説明する場合には、サーバ２３０と記載する。

　認証情報管理装置２１０は、解析用の認証情報を生成し、生成した認証情報と認証情報を設定するプログラムとの対応関係を管理する。また、認証情報管理装置２１０は、解析ホスト２２０に送信する。この際、生成される認証情報は、各サーバ２３０Ａ～２３０Ｃに対応するものであり、認証情報として、サービスのサイト情報、アカウント名およびパスワードが生成される。サービスのサイト情報とは、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバの情報であり、例えば、サーバ群２３０Ａ～２３０ＣのＩＰアドレスもしくはＦＱＤＮである。また、アカウント名およびパスワードは、ランダムに生成され、実際には使われていないものが生成される。

　また、認証情報管理装置２１０は、サーバ群２３０Ａ～２３０Ｃから不正アクセスに利用された認証情報を受信した場合には、受信した認証情報に対応するプログラムを、情報漏えいを行うプログラムとして特定する。

　解析ホスト２２０は、解析ホスト２２０上にある特定のサービスの認証情報を設定し、解析対象プログラムを動作させる。この時、解析ホスト２２０は、インターネット２４０に接続しておく。プログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする。

　サーバ群２３０Ａ～２３０Ｃは、Ｗｅｂサイトのコンテンツを管理するサーバであって、攻撃者にわざと漏えいさせた認証情報で不正にアクセスさせるためのサーバである。例えば、サーバ群２３０Ａ～２３０Ｃは、漏えいさせた認証情報が利用されたアクセスがあった場合には、それが不正アクセスであると特定し、利用された認証情報を認証情報管理装置２１０に通知する。

　不正アクセス検知システム２００では、前提として、解析用の認証情報をあえて漏えいさせ、不正アクセスを監視する処理を行っている。ここで、図１２を用いて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する。図１２は、第二の実施形態に係る不正アクセス検知システムにおいて、解析用認証情報の漏えい処理と、解析用認証情報を設定したサービスで不正アクセスを監視する処理とを説明する図である。

　図１２に示すように、まず、解析ホスト２２０は、認証情報管理装置２１０によって生成された認証情報を、解析ホスト上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする（図１２の（１）参照）。そして、解析ホスト２２０は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする（図１２の（２）参照）。

　次に、ある特定のサービスを提供するサーバ群２３０Ａ～２３０Ｃを動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は（図１２の（３）参照）、サーバ群２３０Ａ～２３０Ｃは、それは不正アクセスであると判断する（図１２の（４）参照）。

　このように、解析用の認証情報をあえて漏えいさせることで、漏えいさせた同一の認証情報が利用された時点において、それが不正アクセスであるものと特定することができる。そして、不正アクセスに利用された認証情報に対応するプログラムを、情報の漏えいを行うプログラムとして特定する。

［認証情報管理装置の構成］
　次に、図１３に示した認証情報管理装置２１０の構成を説明する。図１３は、第二の実施形態に係る認証情報管理装置の構成を示すブロック図である。図１３に示すように、認証情報管理装置２１０は、通信処理部２１１、制御部２１２および記憶部２１３を有する。

　通信処理部２１１は、接続される解析ホスト２２０、サーバ群２３０Ａ～２３０Ｃ等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部２１１は、解析ホスト２２０に対して生成した認証情報を送信する。また、例えば、通信処理部２１１は、サーバ群２３０Ａ～２３０Ｃから不正アクセスに利用された認証情報を受信する。

　記憶部２１３は、図１３に示すように、解析用認証情報記憶部２１３ａと、悪性プログラム記憶部２１３ｂとを有する。記憶部２１３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　解析用認証情報記憶部２１３ａは、後述する生成部２１２ａによって生成された解析用の認証情報と、該認証情報が設定されたプログラムとの対応関係が規定されたテーブルを記憶する。例えば、解析用認証情報記憶部２１３ａは、図１４に例示するように、解析対象のプログラムを識別する情報である「解析プログラム」と、解析ホスト２２０上で動作するアプリケーションの種別を示す「クライアントアプリケーション」と、生成した認証情報を識別する情報である「認証情報」とを対応付けて記憶する。

　ここで、例えば、解析に利用する認証情報として、解析用認証情報記憶部２１３ａは、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群２３０Ａ～２３０Ｃに関する情報であり、例えばＩＰアドレスもしくはＦＱＤＮ（Fully　Qualified　Domain　Name）である。

　また、解析用認証情報記憶部２１３ａは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部２１３ａは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。

　悪性プログラム記憶部２１３ｂは、情報を漏えいする悪性プログラムを識別する情報を記憶する。具体的には、悪性プログラム記憶部２１３ｂは、後述する特定部２１２ｃによって特定された悪性プログラムを識別する情報を記憶する。

　図１３に戻って、制御部２１２は、生成部２１２ａと、管理部２１２ｂと、特定部２１２ｃと、収集部２１２ｄとを有する。ここで、制御部２１２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　生成部２１２ａは、外部に漏えいさせる認証情報を生成する。例えば、生成部２１２ａは、攻撃者にあえて漏えいさせる解析用の認証情報として、サーバ群２３０Ａ～２３０ＣのＩＰアドレスもしくはＦＱＤＮと、ランダムに生成されたアカウント名およびパスワードの組み合わせである。なお、生成される認証情報は様々な種類のサービスに対応するものであってよく、例えばＳＳＨ（Secure　SHell）、ＦＴＰ（File　Transfer　Protocol）、ＰＯＰ（Post　Office　Protocol）などである。

　なお、サービスを提供するサーバ２３０において当該サービスに対するブルートフォースのログイン（攻撃者が可能な組み合わせのアカウント名とパスワードを総当たりで試行するログイン）と漏えいした認証情報を用いたログインとを正確に区別するため、生成される解析用認証情報は、ランダムに生成される十分に長いユニークな文字列であることが望ましい。

　管理部２１２ｂは、生成部２１２ａによって生成された認証情報を解析ホスト２２０に送信する。ここで送信された認証情報は、解析ホスト２２０上に設定され、解析対象のプログラムを実行する。また、管理部２１２ｂは、解析ホスト２２０が実行したプログラムと対応する認証情報の組を受信し、認証情報と、プログラムと対応する認証情報の組を対応付けて解析用認証情報記憶部２１３ａに格納する。

　特定部２１２ｃは、後述するサーバ２３０の検知部２３２ａによって認証情報を不正アクセスが検知された場合に、該認証情報が設定された解析ホスト２２０上で動作するプログラムを、情報漏えいを行うプログラムとして特定する。例えば、特定部２１２ｃは、サーバ群２３０Ａ～２３０Ｃから不正アクセスで利用された認証情報を受信すると、解析用認証情報記憶部２３３ａに記憶されたテーブルを参照して、該認証情報に対応するプログラムを取得し、該プログラムを、情報漏えいを行うプログラムとして特定する。

　収集部２１２ｄは、特定部２１２ｃによって特定されたプログラムと同一プログラムを、ウェブ空間から収集する。例えば、収集部２１２ｄは、既存技術であるＷｅｂクライアントハニーポットを用いて、Ｗｅｂ空間を巡回することで収集してもよい。Ｗｅｂクライアントハニーポットは、Ｗｅｂブラウザの脆弱性を攻撃されることで自動的にダウンロードおよびインストールされるプログラムの収集だけでなく、ポップアップ等でユーザがダイアログをクリックする必要があるプログラムのダウンロードおよびインストールを行う必要があるプログラムであっても、ユーザインタラクションを模擬することで収集できる。特に、このようなユーザがダイアログをクリックする必要があるプログラムのダウンロードおよびインストールを行う必要があるプログラムの場合は、プログラムが正規のものと悪意をもったものが混在するため、情報漏えいを行うかどうかに基づいてマルウェアかどうかを判別できる。

［解析ホストの構成］
　次に、図１５に示した解析ホスト２２０の構成を説明する。図１５は、第二の実施形態に係る解析ホストの構成を示すブロック図である。図１５に示すように、解析ホスト２２０は、通信処理部２２１、制御部２２２および記憶部２２３を有する。

　通信処理部２２１は、接続される認証情報管理装置２１０、サーバ群２３０Ａ～２３０Ｃ等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部２２１は、認証情報管理装置２１０から認証情報を受信する。また、例えば、通信処理部２２１は、外部の攻撃者に認証情報を送信する。なお、認証情報管理装置２１０から認証情報を受信した場合には、後述する解析用認証情報記憶部２２３ａに受信した認証情報が格納される。

　記憶部２２３は、図１５に示すように、解析用認証情報記憶部２２３ａを有する。記憶部２２３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　解析用認証情報記憶部２２３ａは、前述した認証情報管理装置２１０によって生成された解析用の認証情報を記憶する。例えば、解析用認証情報記憶部２２３ａは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ群２３０Ａ～２３０Ｃに関する情報であり、例えばＩＰアドレスもしくはＦＱＤＮ（Fully　Qualified　Domain　Name）である。

　また、解析用認証情報記憶部２２３ａは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部２２３ａは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。

　図１５に戻って、制御部２２２は、設定部２２２ａと、動作部２２２ｂとを有する。ここで、制御部２２２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　設定部２２２ａは、認証情報管理装置２１０の生成部２１２ａによって生成された認証情報を特定のサービスの認証情報として設定する。例えば、設定部２２２ａは、解析用認証情報記憶部２２３ａから認証情報を取得し、取得した認証情報を特定のサービスの認証情報として設定する。

　動作部２２２ｂは、設定部２２２ａにより認証情報が設定された解析ホスト２２０上で解析対象プログラムとして、サービスのクライアントアプリケーション（ＳＳＨ、ＦＴＰ、ＰＯＰ等）を動作させる。そして、動作部２２２ｂは、実行したプログラムと対応する認証情報の組を通知する。ここで、動作させたプログラムが情報漏えいを行うマルウェアであった場合は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいすることとなる。漏えいさせる認証情報は、どのような種類のサービスであってもよく、サービスを提供するサーバ２３０側で漏えいさせた認証情報のログインがあったかどうかを確認できればよい。また、サービスは解析用に用意してもよいし、実際のサービスを用いてもよい。

　また、解析ホスト２２０上では、サービスのクライアントアプリケーションが動作する場合には、これらクライアントアプリケーションが認証情報をファイルやレジストリに書き込むことが想定される。この設定用ファイルやレジストリは各クライアントアプリケーションによって格納されるパスや形式があらかじめ決まっているため、それに従って認証情報をファイルやレジストリに書き込む。

　解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスし、その情報を外部に送信する。認証情報の設定については、ホスト毎に単一の特定のクライアントアプリケーションのファイルやレジストリに設定してもよいし、同時に複数のクライアントアプリケーションのファイルやレジストリに設定してもよい。なお、同時に複数のクライアントアプリケーションに解析情報を設定する場合は、設定するクライアントアプリケーションの種類だけ解析用認証情報を生成しておく必要がある。

　例えば、図１６に例示するように、単一の特定のクライアントアプリケーションのファイルやレジストリに認証情報を設定する例として、解析ホスト２２０が、「解析用認証情報Ａ」を「ＳＳＨクライアントアプリケーションの設定ファイル」に設定して「プログラム１」を動作させる。または、異なる解析ホスト２２０が、「解析用認証情報Ｂ」を「ＦＴＰクライアントアプリケーションの設定ファイル」に設定して「プログラム２」を動作させる。

　また、図１６に例示するように、同時に複数のクライアントアプリケーションのファイルやレジストリに解析用認証情報を設定する例として、解析ホスト２２０が、「解析用認証情報Ｃ」を「ＳＳＨクライアントアプリケーションの設定ファイル」に設定し、かつ、「解析用認証情報Ｄ」を「ＦＴＰクライアントアプリケーションの設定ファイル」に設定し、かつ、「解析用認証情報Ｅ」を「ＰＯＰクライアントアプリケーションの設定レジストリ」に設定して「プログラム３」を動作させる。

［サーバの構成］
　次に、図１７に示したサーバ２３０の構成を説明する。図１７は、第二の実施形態に係るサーバの構成を示すブロック図である。図１７に示すように、サーバ２３０は、通信処理部２３１、制御部２３２および記憶部２３３を有する。

　通信処理部２３１は、接続される認証情報管理装置２１０、解析ホスト２２０等との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部２３１は、認証情報管理装置２１０に対して不正アクセスに利用された認証情報を送信する。また、通信処理部２３１は、認証情報管理装置２１０から解析用認証情報を受信する。ここで受信した解析用認証情報は、解析用認証情報記憶部２３３ａに記憶される。

　記憶部２３３は、図１７に示すように、解析用認証情報記憶部２３３ａを有する。記憶部２３３は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。

　解析用認証情報記憶部２３３ａは、前述した認証情報管理装置２１０によって生成された解析用の認証情報のリストを記憶する。解析用認証情報記憶部２３３ａに記憶される認証情報のリストは、後述する検知部２３２ａによってログインが不正アクセスであるか否かを判定するために使用される。

　例えば、解析用認証情報記憶部２３３ａは、解析に利用する認証情報として、サービスのサイト情報、アカウント名、パスワード等を記憶する。サービスのサイト情報とは、例えば、解析用の認証情報を利用する不正アクセスを監視するためのサービスを提供するサーバ２３０に関する情報であり、例えばＩＰアドレスもしくはＦＱＤＮ（Fully　Qualified　Domain　Name）である。

　また、解析用認証情報記憶部２３３ａは、アカウント名として、例えば、実際のサービスで利用されていないものを記憶する。また、解析用認証情報記憶部２３３ａは、パスワードとして、推測が困難な十分に複雑な文字列を記憶する。これは、ログイン時に漏えい情報かどうかを識別する際に、ブルートフォースによるログイン攻撃と識別するためである。

　図１７に戻って、制御部２３２は、検知部２３２ａと、削除部２３２ｂとを有する。ここで、制御部２３２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路である。

　検知部２３２ａは、認証情報管理装置２１０の生成部２１２ａによって生成された認証情報を用いたコンテンツへの不正アクセスを検知する。具体的には、検知部２３２ａは、コンテンツへのアクセスに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された認証情報と一致するか判定し、一致する場合には、不正アクセスとして検知する。

　例えば、検知部２３２ａは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生した場合には、該ログインに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された解析用認証情報に含まれるか判定する。

　この結果、検知部２３２ａは、ログインに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された解析用認証情報のリストに含まれる場合には、ログインを不正アクセスであると判定し、不正アクセスに利用された認証情報を認証情報管理装置２１０に対して送信する。また、検知部２３２ａは、ログインに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された解析用認証情報のリストに含まれない場合には、ログインを正常アクセスであると判定する。

　削除部２３２ｂは、認証情報管理装置２１０の特定部２１２ｃによって特定されたプログラムを検出し、該プログラムを検出した場合には、該プログラムを削除する。また、例えば、削除部２３２ｂは、認証情報管理装置２１０から情報漏えいするプログラムを識別する情報を受信すると、情報漏えいを行うプログラムから、実際のホストを情報漏えいの被害から防ぐ方法として、当該プログラムのホスト上での実行禁止ができる。ホストベースの侵入検知システムやアンチウィルスソフトのファイルシグネチャとして当該プログラムを登録しておき、ホスト上にファイルが存在した場合やまたそれを実行しようとした場合に禁止、および削除する。

　また、実際のホストを情報漏えいの被害から防ぐ方法として、当該プログラムのネットワークからのダウンロード禁止ができる。ネットワークベースの侵入検知システムやＷｅｂプロキシ、メールサーバなどで監視を行い、外部ネットワークからダウンロードされるファイルを検査し、当該プログラムが含まれる場合はダウンロードを禁止する。

　ここで、図１８を用いて、第二の実施形態に係る不正アクセス検知システム２００において、認証情報を用いた情報漏えい検知処理を説明する。図１８は、第二の実施形態に係る不正アクセス検知システムにおいて、認証情報を用いた情報漏えい検知処理を説明する図である。図１８に示すように、不正アクセス検知システム２００の認証情報管理装置２１０は、プログラムの解析の度に毎回、ユニークな解析用認証情報（サービスを提供するサーバ名、アカウント名とパスワード情報の組み）を生成して、通知する（図１８の（１）参照）。

　そして、生成した解析用認証情報をプログラムを実行する解析ホスト２２０上に設定し（図１８の（２）参照）、解析対象のプログラムを実行する（図１８の（３）参照）。また、解析用ホスト２２０は、実行したプログラムと対応する認証情報の組を認証情報管理装置２１０に通知する（図１８の（４）参照）。そして、認証情報管理装置２１０は、生成した解析用認証情報をサービスを提供するサーバ２３０に対して生成して通知する（図１８の（５）参照）。

　その後、解析ホスト２２０は、解析対象のプログラムを実行した後、該プログラムが情報漏えいをするマルウェアの場合は設定された解析用認証情報を攻撃者に送信する（図１８の（６）参照）。この時点で、プログラムが情報漏えいを行ったかどうかを識別する必要は無い。攻撃者は、漏えいした認証情報を利用して、当該サービスに対して不正アクセスを行って、ログインを試みる（図１８の（７）参照）。当該サービスを提供するサーバ２３０は、ログインに対して、解析用認証情報を用いたログインであるかどうかを識別し、解析用認証情報を用いたログインである場合は、不正アクセスであると検知する（図１８の（８）参照）。この際に利用された解析用認証情報から、解析を行ったプログラムを特定できるため、当該プログラムが情報漏えいを行うプログラムであることが分かる。

　ここで、図１９を用いて、第二の実施形態に係る不正アクセス検知システム２００において、情報漏えいを行うマルウェアの特定処理を説明する。図１９は、第二の実施形態に係る不正アクセス検知システムにおいて、情報漏えいを行うマルウェアの特定処理を説明する図である。

　図１９に示すように、解析ホスト２２０は、認証情報管理装置２１０によって生成された認証情報を、解析ホスト２２０上にある特定のサービスの認証情報として設定し、プログラムを動作させた際に、解析するプログラムが情報漏えいを行うマルウェアの場合は、前述の認証情報が格納されているファイルやレジストリにアクセスする（図１９の（１）参照）。そして、解析ホスト２２０は、認証情報をユーザの同意なく密かに外部の攻撃者に漏えいする（図１９の（２）参照）。

　次に、ある特定のサービスを提供するサーバ２３０を動作させておき、ログインを観測する。この際に、攻撃者が漏えいさせた認証情報を用いたログインが行われた場合は（図１９の（３）参照）、サーバ２３０は、それは不正アクセスであると判断する（図１９の（４）参照）。そして、不正アクセスに利用された認証情報から、その認証情報を設定して解析したプログラムを特定でき、さらにこのプログラムが情報漏えいを行ったと断定できる。このため、情報漏えいを行うマルウェアを正確に特定することができる。

［サーバによる処理］
　次に、図２０を用いて、第二の実施形態に係るサーバ２３０による処理を説明する。図２０は、第二の実施形態に係る不正アクセス検知システムのサーバにおける不正アクセス検知処理の流れを説明するためのフローチャートである。

　図２０に示すように、サーバ２３０の通信処理部２３１は、認証情報管理装置２１０から解析用認証情報を受信したか判定する（ステップＳ２０１）。この結果、通信処理部２３１は、認証情報管理装置２１０から解析用認証情報を受信していない場合には（ステップＳ２０１否定）、ステップＳ２０３の処理に進む。また、通信処理部２３１は、認証情報管理装置２１０から解析用認証情報を受信した場合には（ステップＳ２０１肯定）、解析用認証情報記憶部２３３ａに記憶された比較用の解析用認証情報のリストを更新する（ステップＳ２０２）。

　そして、検知部２３２ａは、解析用認証情報に対応する解析用アカウントが用意されたコンテンツに対して、ログインイベントが発生したか否かを判定する（ステップＳ２０３）。この結果、ログインイベントが発生しなかった場合には（ステップＳ２０３否定）、ステップＳ２０１の処理に戻る。また、検知部２３２ａは、ログインイベントが発生した場合には（ステップＳ２０３肯定）、該ログインに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された解析用認証情報に含まれるか判定する（ステップＳ２０４）。

　この結果、検知部２３２ａは、ログインに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された解析用認証情報に含まれていない場合には（ステップＳ２０４否定）、ログインを正常アクセスと判定して（ステップＳ２０６）、後述するステップＳ２０８の処理を行う。また、検知部２３２ａは、ログインに用いられた認証情報が解析用認証情報記憶部２３３ａに記憶された解析用認証情報に含まれる場合には（ステップＳ２０４肯定）、ログインを不正アクセスと判定する（ステップＳ２０５）。

　続いて、検知部２３２ａは、不正アクセスに利用された認証情報を認証情報管理装置２１０に通知し（ステップＳ２０７）、不正アクセスの監視を継続するか否かを判定する（ステップＳ２０８）。この結果、検知部２３２ａは、不正アクセスの監視を継続すると判定した場合には（ステップＳ２０８肯定）、ステップＳ２０１に戻る。また、検知部２３２ａは、不正アクセスの監視を継続しないと判定した場合には（ステップＳ２０８否定）、処理を終了する。

［第二の実施形態の効果］
　上述してきたように、第二の実施形態にかかる不正アクセス検知システム２００では、認証情報を生成し、生成された認証情報を解析ホスト２２０上で設定し、該解析ホスト２２０上で解析対象プログラムを動作させる。そして、認証情報を用いたコンテンツへの不正アクセスを検知し、認証情報を用いた認証情報を不正アクセスが検知された場合に、該認証情報が設定された解析ホスト２２０上で動作するプログラムを情報漏えいを行うプログラムとして特定する。このため、情報漏えいを行うマルウェアを正確に特定することが可能である。

　また、不正アクセス検知システム２００では、プログラム、特にマルウェアは耐解析機能を持っておりプログラムコードの解析や挙動の解析、通信内容の解析が一般的に困難である。本実施形態では、情報漏えいを行うコードの特定、プログラムの挙動、もしくはプログラムが外部に送信する通信の内容を解析することなく、情報漏えいを行うプログラム（マルウェア）を正確に特定できる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、生成部１２ａと管理部１２ｂとを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　また、上記実施形態において説明した不正アクセス検知システム１００、２００における各装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係る不正アクセス検知システム１００または第二の実施形態に係る不正アクセス検知システム２００における各装置が実行する処理をコンピュータが実行可能な言語で記述した不正アクセス検知プログラムを作成することもできる。この場合、コンピュータが不正アクセス検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる不正アクセス検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された不正アクセス検知プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態または第二の実施形態と同様の処理を実現してもよい。

　図２１は、不正アクセス検知プログラムを実行するコンピュータ１０００を示す図である。図２１に例示するように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有し、これらの各部はバス１０８０によって接続される。

　メモリ１０１０は、図２１に例示するように、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、図２１に例示するように、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、図２１に例示するように、ディスクドライブ１０４１に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１０４１に挿入される。シリアルポートインタフェース１０５０は、図２１に例示するように、例えばマウス１０５１、キーボード１０５２に接続される。ビデオアダプタ１０６０は、図２１に例示するように、例えばディスプレイ１０６１に接続される。

　ここで、図２１に例示するように、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記の不正アクセス検知プログラムは、コンピュータ１０００によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ１０３１に記憶される。

　また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ１０１０やハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出し、各種処理手順を実行する。

　なお、不正アクセス検知プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、不正アクセス検知プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１０、２１０　認証情報管理装置
　１１、２１、３１、４１、２１１、２２１、２３１　通信処理部
　１２、２２、３２、４２、２１２、２２２、２３２　制御部
　１２ａ、２１２ａ　生成部
　１２ｂ、２１２ｂ　管理部
　１３、２３、３３、４３、２１３、２２３、２３３　記憶部
　１３ａ、２３ａ、３３ａ、２１３ａ、２２３ａ、２３３ａ　解析用認証情報記憶部
　２０、２２０　解析ホスト
　２２ａ、２２２ａ　設定部
　２２ｂ、２２２ｂ　動作部
　３０、２３０　サーバ
　３２ａ、２３２ａ　検知部
　３２ｂ　特定部
　３２ｃ、４２ａ　格納部
　３２ｄ　アクセス防止部
　３３ｂ、４３ａ　不正ホスト情報記憶部
　４０　不正アクセス情報管理装置
　４２ｂ　送信部
　４３ｂ　サーバ情報記憶部
　５０、２４０　インターネット
　１００、２００　不正アクセス検知システム
　２１２ｃ　特定部
　２１２ｄ　収集部
　２１３ｂ　悪性プログラム記憶部
　２３２ｂ　削除部

Claims

　外部に漏えいさせる認証情報を生成する生成部と、
　前記生成部によって生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、
　前記認証情報を用いたコンテンツへのアクセスを検知する検知部と、
　前記検知部によって前記認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する特定部と、
　を備えたことを特徴とする不正アクセス検知システム。
　前記特定部によって不正アクセスとして特定されたアクセスを行ったホストの情報を取得して記憶部に格納する格納部をさらに備えることを特徴とする請求項１に記載の不正アクセス検知システム。
　前記記憶部に記憶されたホストの情報により特定されるホストからのアクセスを検出し、該ホストからのアクセスを防止するアクセス防止部をさらに備えることを特徴とする請求項２に記載の不正アクセス検知システム。
　前記格納部は、前記ホストの情報として、ＩＰ（Internet　Protocol）アドレスを取得して記憶部に格納することを特徴とする請求項２に記載の不正アクセス検知システム。
　認証情報を生成する生成部と、
　前記生成部によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作部と、
　前記認証情報を用いたコンテンツへの不正アクセスを検知する検知部と、
　前記検知部によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する特定部と、
　を備えたことを特徴とする不正アクセス検知システム。
　前記生成部によって生成された認証情報を記憶する記憶部を更に備え、
　前記検知部は、前記コンテンツへのアクセスに用いられた認証情報が前記記憶部に記憶された認証情報と一致するか判定し、一致する場合には、不正アクセスとして検知することを特徴とする請求項５に記載の不正アクセス検知システム。
　前記特定部によって特定されたプログラムを検出し、該プログラムを検出した場合には、該プログラムを削除する削除部をさらに備えることを特徴とする請求項５または６に記載の不正アクセス検知システム。
　前記特定部によって特定されたプログラムと同一プログラムを、ウェブ空間から収集する収集部をさらに備えることを特徴とする請求項５または６に記載の不正アクセス検知システム。
　不正アクセス検知システムによって実行される不正アクセス検知方法であって、
　外部に漏えいさせる認証情報を生成する生成工程と、
　前記生成工程によって生成された認証情報をホスト上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、
　前記認証情報を用いたコンテンツへのアクセスを検知する検知工程と、
　前記検知工程によって前記認証情報を用いたアクセスが検知された場合には、該アクセスを不正アクセスとして特定する特定工程と、
　を含んだことを特徴とする不正アクセス検知方法。
　前記特定工程によって不正アクセスとして特定されたアクセスを行ったホストの情報を取得して記憶部に格納する格納工程をさらに含んだことを特徴とする請求項９に記載の不正アクセス検知方法。
　前記記憶部に記憶されたホストの情報により特定されるホストからのアクセスを検出し、該ホストからのアクセスを防止するアクセス防止工程をさらに含んだことを特徴とする請求項１０に記載の不正アクセス検知方法。
　前記格納工程は、前記ホストの情報として、ホストのＩＰ（Internet　Protocol）アドレスを取得して記憶部に格納することを特徴とする請求項１０に記載の不正アクセス検知方法。
　不正アクセス検知システムによって実行される不正アクセス検知方法であって、
　認証情報を生成する生成工程と、
　前記生成工程によって生成された認証情報をホスト装置上で設定し、該ホスト上で解析対象プログラムを動作させる動作工程と、
　前記認証情報を用いたコンテンツへの不正アクセスを検知する検知工程と、
　前記検知工程によって前記認証情報を用いた不正アクセスが検知された場合に、該認証情報が設定されたホスト上で動作するプログラムを、情報漏えいを行うプログラムとして特定する特定工程と、
　を含んだことを特徴とする不正アクセス検知方法。
　前記生成工程によって生成された認証情報を記憶部に格納する格納工程をさらに含み、
　前記検知工程は、前記コンテンツへのアクセスに用いられた認証情報が前記記憶部に記憶された認証情報と一致するか判定し、一致する場合には、不正アクセスとして検知することを特徴とする請求項１３に記載の不正アクセス検知方法。
　前記特定工程によって特定されたプログラムを検出し、該プログラムを検出した場合には、該プログラムを削除する削除工程をさらに含んだことを特徴とする請求項１３または１４に記載の不正アクセス検知方法。
　前記特定工程によって特定されたプログラムと同一プログラムを、ウェブ空間から収集する収集工程をさらに含んだことを特徴とする請求項１３または１４に記載の不正アクセス検知方法。