JP2017142744A - 情報処理装置、ウィルス検出方法及びプログラム - Google Patents
情報処理装置、ウィルス検出方法及びプログラム Download PDFInfo
- Publication number
- JP2017142744A JP2017142744A JP2016025099A JP2016025099A JP2017142744A JP 2017142744 A JP2017142744 A JP 2017142744A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2017142744 A JP2017142744 A JP 2017142744A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- target file
- action
- possibility
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】未知のウィルスの検出精度を向上する。【解決手段】情報処理装置100は、ウィルスの動作の一部を示す複数の行動112と、ウィルスの可能性を示す重み付け値113とを対応付けた行動リスト111を記憶する記憶部110と、仮想マシン120上で実行される対象ファイルによる各行動のうち、行動リスト111内に含まれるものを検出する検出部130と、検出された各行動112に対応付けられた重み付け値113を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部140と、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する判定部150と、を備える。【選択図】図1
Description
本発明は、情報処理装置、ウィルス検出方法及びプログラムに関し、特に、ウィルスを検出するための情報処理装置、ウィルス検出方法及びプログラムに関する。
コンピュータウィルスの検出技術としては、シグネチャベースのウィルス検出技術(パターンマッチング検査)、静的及び動的なヒューリスティック検査等がある。シグネチャベースのウィルス検出技術は、収集したウィルスのサンプルをパターンファイルとして予め登録しておき、検査対象ファイルをパターンファイルとマッチングすることで、ウィルスを検出するものである。
また、静的(スタティック)ヒューリスティック検査は、検査対象コードを実行せずに、予め登録された挙動と、検査対象コードとの比較を行うことでウィルスを検出するものである。また、動的(ダイナミック)ヒューリスティック検査は、サンドボックス又は仮想マシン上で検査対象コードを実行し、特定の動作を監視することで、ウィルスを検出するものである。
特許文献1には、これらの検査を用いて、メールサーバで受信したメールの添付ファイルのウィルスを検査する技術について開示されている。特許文献1では、まず、添付ファイルにパターンマッチング検査を行い、ウィルスが検出されなければ、スタティックヒューリスティック検査を行い、そこでもウィルスが検出されなければ、さらに、ダイナミックヒューリスティック検査を行うものである。特に、ダイナミックヒューリスティック検査でウィルスが検出された場合には、添付ファイルから特徴を抽出し、パターンファイルへのフィードバックを行うものである。
ここで、上述した特許文献1では、未知のウィルスの検出精度が低いという問題点がある。まず、シグネチャベースのウィルス検出技術は、ウィルスシグネチャを抽出するために、ウィルスのサンプルを収集する必要がある。近年では、ウィルスやトロイ型の急速な拡大と伴い、それに対するサンプルの収集及び分析作業が増加している。そして、シグネチャベースのウィルス検出技術には、固有なヒステリシス性を有する。
そこで、特許文献1では固有なヒステリシス性の対策として、ヒューリスティック検査が用いられているが、特許文献1で監視対象となる動作は、外部へのメール送信やファイルの改竄等であり、単に監視対象の動作であるか否かによりウィルスか否かを検出しているに過ぎない。ところが、外部へのメール送信やファイルの編集という動作自体は、正常な動作も含むため、個別の動作だけではウィルスであるか否かの判断には不十分である。特に、未知のウィルスの場合、本来は正常な動作であってもその組み合わせや実行順序や回数によりウィルスとなり得るものもある。例えば、ユーザが入力したパスワードや個人情報を記録することだけでは悪意のある動作とは言えない。しかし、パスワードを記録する動作の後に、記録したパスワードを外部へメール送信する動作があった場合には、悪意のある動作、つまりウィルスである可能性が高いといえる。
本発明は、このような問題点を解決するためになされたものであり、未知のウィルスの検出精度を向上するための情報処理装置、ウィルス検出方法及びプログラムを提供することを目的とする。
本発明の第1の態様にかかる情報処理装置は、
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える。
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える。
本発明の第2の態様にかかるウィルス検出方法は、
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する。
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する。
本発明の第3の態様にかかるウィルス検出プログラムは、
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させる。
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させる。
本発明により、未知のウィルスの検出精度を向上するための情報処理装置、ウィルス検出方法及びプログラムを提供することができる。
以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略する。
<実施の形態1>
図1は、本発明の実施の形態1にかかる情報処理装置100の構成を示すブロック図である。情報処理装置100は、記憶部110と、仮想マシン120と、検出部130と、算出部140と、判定部150とを備える。記憶部110は、行動リスト111を記憶する。行動リスト111は、複数の行動112と複数の重み付け値113とを対応付けた情報である。
図1は、本発明の実施の形態1にかかる情報処理装置100の構成を示すブロック図である。情報処理装置100は、記憶部110と、仮想マシン120と、検出部130と、算出部140と、判定部150とを備える。記憶部110は、行動リスト111を記憶する。行動リスト111は、複数の行動112と複数の重み付け値113とを対応付けた情報である。
行動112とは、ウィルスの動作の一部を示すものである。行動112は、例えば、プログラムにより実行されるファンクションコードや、それらを組み合わせて特定の処理(パスワードの記録、メールの送信)を示す情報である。つまり、行動112は単独では、コンピュータウィルスとはいえないものである。また、過去の複数のコンピュータウィルスの動作を複数の個別の行動の分割したものを用いても構わない。
また、重み付け値113とは、コンピュータウィルスの可能性を示す数値情報である。例えば、ウィルスの確率であってもよい。
仮想マシン120は、情報処理装置100内で動作するホストエミュレータであり、対象ファイルを実行可能である。検出部130は、仮想マシン120上で実行される対象ファイルによる各行動のうち、行動リスト111内に含まれるものを検出する。すなわち、検出部130は、仮想マシン120上で実行される対象ファイル内の行動(処理、動作)を監視し、行動リスト111内に含まれるものがあれば、検出する。算出部140は、検出された各行動112に対応付けられた重み付け値113を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する。ウィルス可能性情報とは、重み付け値113に所定の統計処理等の演算を行った結果である。判定部150は、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する。ウィルスの度合いとは、例えば、対象ファイルがウィルスであるか否かや、ウィルスの可能性を示す確率、ウィルスに該当する可能性のある対象ファイル内の記述(コード)の提示等であってもよい。
図2は、本発明の実施の形態1にかかるウィルス検出方法の流れを説明するためのフローチャートである。まず、情報処理装置100は、対象ファイルを仮想マシン120上で実行する(S11)。次に、検出部130は、対象ファイルによる各行動のうち、行動リスト111内に含まれる行動112を検出する(S12)。そして、算出部140は、行動リスト111から、検出された各行動に対応付けられた重み付け値を読み出し、読み出した重み付け値を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する(S13)。その後、判定部150は、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する(S14)。
このように、本実施の形態1では、対象ファイル内の複数の行動について、予め登録された行動リスト内の行動とマッチングを行い、マッチングされた行動に対応付けられた重み付け値を用いて、ウィルスの可能性を判定するものである。そのため、対象ファイル内の単独の行動だけではウィルスに該当しなくても、複数の行動の組み合わせ等によっては、ウィルスの可能性のあるものを検出でき、未知のウィルスの検出精度を向上することができる。
<実施の形態2>
本実施の形態2は、上述した実施の形態1の具体的な実施例である。図3は、本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。情報システムには、端末群1と、ウィルススキャンサーバ2と、NW機器群3とが含まれる。端末群1には、複数の端末11〜16が含まれ、各端末は、ウィルススキャンサーバ2と通信回線により接続されている。また、NW機器群3には、複数のNW機器31〜33が含まれ、各NW機器は、ウィルススキャンサーバ2と通信回線により接続されている。つまり、ウィルススキャンサーバ2は、端末群1とNW機器群3の間に配置されている。そして、ウィルススキャンサーバ2は、外部のネットワーク(インターネット等)からNW機器群3を経由して端末群1へ転送されるファイルについて、事前にウィルス検査を行うものである。
本実施の形態2は、上述した実施の形態1の具体的な実施例である。図3は、本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。情報システムには、端末群1と、ウィルススキャンサーバ2と、NW機器群3とが含まれる。端末群1には、複数の端末11〜16が含まれ、各端末は、ウィルススキャンサーバ2と通信回線により接続されている。また、NW機器群3には、複数のNW機器31〜33が含まれ、各NW機器は、ウィルススキャンサーバ2と通信回線により接続されている。つまり、ウィルススキャンサーバ2は、端末群1とNW機器群3の間に配置されている。そして、ウィルススキャンサーバ2は、外部のネットワーク(インターネット等)からNW機器群3を経由して端末群1へ転送されるファイルについて、事前にウィルス検査を行うものである。
図4は、本発明の実施の形態2にかかるウィルススキャンサーバ2の構成を示すブロック図である。ウィルススキャンサーバ2は、上述した情報処理装置100の一例であり、分析部21と、HASH計算部22と、ウィルススキャン部23と、ウィルス実行部24と、データ処理部25と、記憶部26とを備える。記憶部26は、上述した記憶部110の一例であり、ブラックリスト261と、HASH値262と、行動リスト263とを記憶する。ブラックリスト261には、公知のコンピュータウィルス(マルウェア等)の配布元として知られるURLが記録されたファイルである。つまり、ブラックリスト261には、ウィルスの可能性の高いファイルの取得元が記録されている。ブラックリスト261には、通常、2以上のURLが記録されている。HASH値262は、公知のマルウェア等から作成されたハッシュ値である。尚、HASH値262は、2以上のマルウェアのハッシュ値が含まれていてもよい。また、ブラックリスト261やHASH値262は、パターンファイルとして保持されていてもよい。行動リスト263は、上述した行動リスト111の一例である。
分析部21は、インターネットを介してダウンロードされたウィルス検査対象のファイル(以下、対象ファイル)をNW機器群3から取得する。また、分析部21は、対象ファイルの取得元がブラックリスト261に含まれるか否かの判定を行う。HASH計算部22は、対象ファイルのHASH値を計算し、HASH値262と比較する。ウィルススキャン部23は、対象ファイルについてウィルススキャンを実行する。特に、ウィルススキャン部23は、条件に応じてディープインスペクション又はクイックインスペクションを実行する。すなわち、ウィルススキャン部23は、対象ファイルの取得元がブラックリスト261に含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元がブラックリスト261に含まれない場合に、クイックインスペクションを実行する。
尚、ディープインスペクションでは、対象ファイルについて詳細なウィルス検査が行われる。一方、クイックインスペクションでは、対象ファイルについて簡易なウィルス検査が行われる。そのため、ディープインスペクションは、クイックインスペクションと比べて、検出精度が高く、一方で、処理負荷が高く、実行時間が長い。
ウィルス実行部24は、上述した仮想マシン120、検出部130、算出部140及び判定部150の一例である。ウィルス実行部24は、複数の仮想マシン(VM)24−1〜24−4を含む。尚、ウィルス実行部24は、少なくとも1以上の仮想マシンを備えていればよい。ウィルス実行部24は、所定の条件を満たす場合に、対象ファイルについて行動分析として、後述するウィルス実行検査を行い、対象ファイルのウィルスの度合いを判定する。
データ処理部25は、ウィルススキャン部23やウィルス実行部24の結果に基づき、対象ファイルの処理を行う。すなわち、データ処理部25は、対象ファイルが正常な場合には、本来の転送先の端末へ対象ファイルを転送する。一方、データ処理部25は、対象ファイルがウィルスであると判定された場合、対象ファイルを削除等の駆除を行う。
図5は、本発明の実施の形態2にかかる行動リスト263の例を示す図である。行動リスト263は、単独の行動ではウィルスではないが、複数の行動の組み合わせによりウィルスとなる可能性がある行動(悪意の可能性がある行動)について登録された情報である。ここでは、各行動(小項目)について大項目に分類しているが、分類の仕方はこれに限定されない。また、各小項目には、重み付け値が設定されている。
以下に、大項目ごとに行動の説明をする。
(I)隠す行動:ファイルを隠す、サービスを隠す、レジストリを隠す、ポートを隠す、プロセスを隠す等の行動が挙げられる。例えば、「ファイルを隠す」とは、フォルダ内に保存されているファイルの属性を変更して、一般ユーザに対しては非表示にする処理を示す。また、「プロセスを隠す」とは、例えば、対象ファイルの実行に起因して、何らかのプロセスをプロセス監視ツール上で認識できないようにする処理を示す。
(I)隠す行動:ファイルを隠す、サービスを隠す、レジストリを隠す、ポートを隠す、プロセスを隠す等の行動が挙げられる。例えば、「ファイルを隠す」とは、フォルダ内に保存されているファイルの属性を変更して、一般ユーザに対しては非表示にする処理を示す。また、「プロセスを隠す」とは、例えば、対象ファイルの実行に起因して、何らかのプロセスをプロセス監視ツール上で認識できないようにする処理を示す。
(II)内容改ざん行動:ファイルの作成、移動及び削除、ファイル名の変更、ファイル内容の修正、ファイルを開く、ファイル種類の変更等の行動が挙げられる。「ファイルの作成等」は、単独では悪意があるとはいえないが、他の行動との組合せでウィルスである可能性がある。
(III)スタンドアップ行動:システムの再起動、自身の機能を自動的に起動させる設定等の行動が挙げられる。これらは、目標ホストにウイルスインプラントを行い、自動的に再起動させる可能性がある行動である。例えば、ダウンロードしたファイルが実行された際に、以後、自動的に再起動させるような設定を行う。自動的に再起動させるような設定とは、例えば、タスクスケジューラへの登録や、OS起動時のアプリケーションの自動起動リストへの追加等が挙げられる。
(IV)ネットワーク行動:メールを送信、ポートのスキャンと監視、特定のドメインへのリクエストとレスポンス、外部IPとの接続等の行動が挙げられる。これらは、回数が多いことや、特定の宛先に繰り返しアクセスする場合などに、ウィルスである可能性がある。
(V)感染行動:対象ファイルの実行に伴い、自己のファイル又は他のファイルを変化させる行動が挙げられる。例えば、拡張子がexe,bat,scr,docx等である対象ファイルを実行した場合に、ファイル形式が変更/変換されること、対象ファイル自身の内容が更新されること、他のファイルの内容が更新されること等を検出する。これらの行動により、ウィルス感染する可能性があるためである。
(VI)呼び起こす行動:特定の行動を触発して、関連のサービス又はプロセスを自動的に実行する行動が挙げられる。例えば、ボタンを押下した際に、バックグランドで、パスワード等の機密情報や個人情報の抽出する処理があった場合には、ウィルスの確率が高まるといえる。そのため、ボタン等の押下処理と機密情報の記録処理とが組み合わさった場合には、ウィルスの可能性があるといえる。
(VII)散布行動:他のホスト又は他のフォルダにファイルをコピー又は情報を転送する等の行動が挙げられる。単独では不正とはいえないが、対象ファイルの実行に伴い何らかのファイルがコピー等されることは、ウィルスの可能性があり得るためである。
(VIII)ファイアウォールを閉じる行動:ファイアウォールが自動終了する行動が挙げられる。対象ファイルの実行に伴いファイアウォールのプロセスが終了させられた場合には、ウィルスの可能性が高まるためである。
(IX)指定されたプロセス終了行動:キープロセス、セキュリティーサービスを自動終了する等の行動が挙げられる。特に、対象ファイルの実行に伴いアンチウィルスソフトが終了させられた場合には、ウィルスの可能性が高まるためである。
以上は、本実施の形態2にかかる行動リスト263の一例に過ぎず、また、重み付け値も例示に過ぎない。
図6は、本発明の実施の形態2にかかるウィルス検出方法の流れを説明するためのフローチャートである。まず、分析部21は、対象ファイルを取得する(S101)。次に、分析部21は、対象ファイルの取得元のURLがブラックリスト261に存在するか否かを判定する(S102)。取得元のURLがブラックリスト261に存在しない場合(S102でNO)、HASH計算部22は、対象ファイルのHASH値を計算する(S103)。そして、HASH計算部22は、計算したHASH値と記憶部26に記憶されたHASH値262とが一致するか否かを判定する(S104)。
ステップS102でYESの場合、又は、ステップS104でYESの場合、ウィルススキャン部23は、対象ファイルについてディープインスペクションを実行する(S105)。一方、ステップS104でNOの場合、ウィルススキャン部23は、対象ファイルについてクイックインスペクションを実行する(S106)。
ステップS105又はS106の後、ウィルススキャン部23は、ウィルスが検出されたか否かを判定する(S107)。ウィルスが検出されなかった場合、ウィルススキャン部23は、対象ファイルをウィルス実行部24に転送する。そして、ウィルス実行部24は、対象ファイルについてウィルス実行検査を行う(S108)。
図7は、本発明の実施の形態2にかかるウィルス実行検査の流れを説明するためのフローチャートである。ウィルス実行部24は、VM24−1上で、対象ファイルを実行する(S201)。尚、使用する仮想マシンは、VM24−2〜24−4であっても構わない。
次に、ウィルス実行部24は、対象ファイル内の行動kを検出する(S202)。例えば、対象ファイルの実行に伴い発生するイベントやOSのファンクションコール等を監視することにより検出する。そして、ウィルス実行部24は、検出した行動kが行動リスト263内に存在するか否かを判定する(S203)。存在する場合、ウィルス実行部24は、行動kの重み付け値Bkを計算する(S204)。尚、図5のように行動リスト263に予め重み付け値が設定されている場合、ウィルス実行部24は、行動リスト263から行動kに対応付けられた重み付け値を読み出す。
ここで、重み付け値Bkの計算の仕方又は定義の仕方について説明する。まず、行動リスト263の小項目数を[1,n]とし、小項目kに対する重要度をSkとする。ここで、Skは正の整数とし、ユーザが行動に対して任意に設定するものとする。また、複数のサンプルウィルスの中で、行動kがヒットする確率をLkとする。尚、Lkは、予め算出されているものとする。そして、重み付け値Bkを以下の式(1)により算出する。つまり、重み付け値Bkは、複数のサンプルウィルスにおいて行動リスト内の行動が実行される度合いLkに基づく値といえる。
尚、行動リスト263に予めSk及びLkを設定しておくことで、ステップS204においてBkを計算してもよい。または、予め全ての行動kについてBkを算出しておき、行動リスト263に予めBkを設定してもよい。
ステップS204の後、ウィルス実行部24は、対象ファイルの実行が終了したか否かを判定する(S205)。すなわち、対象ファイル内の全ての行動を検出し終えたか否かを判定する。対象ファイルが実行中の場合、ウィルス実行部24は、対象ファイル内の次の行動kを検出する(S206)。そして、以降、対象ファイルの実行終了までステップS203〜S206を繰り返す。
ステップS205でNOの場合、つまり、対象ファイルの実行が終了した場合、ウィルス実行部24は、検出された全行動kの重み付け値をBkの合計TBを計算する(S207)。例えば、以下の式(2)によりTBを計算する。
対象ファイルが実行終了か否かを判定する(S202)。尚、行動リスト263内の行動のうち対象ファイル内に存在しない行動における重み付け値Bkを「0」として計算する。
そして、ウィルス実行部24は、合計TBが閾値thより大きいか否かを判定する(S208)。合計TBが閾値thより大きい場合、ウィルス実行部24は、対象ファイルがウィルスと判定する(S209)。一方、合計TBが閾値th以下の場合、ウィルス実行部24は、対象ファイルがウィルスではないと判定する(S210)。その後、図6のステップS110へ進む。
続いて、ウィルス実行部24は、ウィルスが検出されたか否かを判定する(S110)。ウィルス実行部24は、図7の結果により判定する。ステップS107でYES又は、ステップS110でYESの場合、ウィルス実行部24は、対象ファイルをデータ処理部25へ転送し、データ処理部25は、対象ファイルを削除する(S109)。一方、ステップS110でNOの場合、ウィルス実行部24は、対象ファイルをデータ処理部25へ転送し、データ処理部25は、対象ファイルを本来の端末へ転送する(S111)。
図8は、本発明の実施の形態2にかかるウィルス実行検査の概念を説明するための図である。
以上のように、本実施の形態2では、対象ファイルについて公知のウィルスについてのブラックリストやHASH値との比較により予めウィルスの検出を行い、その際、検出された場合にのみディープインスペクションを行うものである。このように、事前のブラックリストやHASH値の検査により、ウィルススキャンのレベルを分けることで、公知のウィルスの処理を効率化できる。
さらに、ウィルス実行部24(検出部)は、ディープインスペクション又はクイックインスペクションの結果、ウィルスが検出されなかった場合に、仮想マシン上で対象ファイルの実行を行うものである。そのため、未知のウィルスに対してのみ、より処理負荷の高い、ヒューリスティック検査を行うことで、精度良く、かつ、処理効率を高めることができる。
また、ウィルススキャンサーバ2は、複数の仮想マシンを有することが望ましい。そして、ウィルス実行部24は、異なる対象ファイルについて、異なる仮想マシン上で並列に実行を行う。例えば、ウィルス実行部24をクラウドコンピューティングにより実現することができる。これにより、ウィルス検出処理を効率化することができる。特に、図3のように、端末群1にファイルがダウンロードされる前に、ウィルス検出を行う場合には、通信のボトルネックを解消でき、より効果的である。
尚、上述した合計TBは、ウィルス可能性情報の一例に過ぎない。そのため、行動リスト263の定義の仕方によっては、小項目の組み合わせ、順序、繰り返しの回数等により重み付け値を定義することもできる。これにより、検出精度をより向上させることができる。
<その他の実施の形態>
尚、上述した実施の形態は、クラウドコンピューティング以外にも適用可能である。また、上述した図6及び図7の処理の流れは一例であり、本実施の形態はこれらに限定されない。
尚、上述した実施の形態は、クラウドコンピューティング以外にも適用可能である。また、上述した図6及び図7の処理の流れは一例であり、本実施の形態はこれらに限定されない。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
また、上述の実施の形態では、本発明をハードウェアの構成として説明したが、本発明は、これに限定されるものではない。本発明は、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、DVD(Digital Versatile Disc)、BD(Blu-ray(登録商標) Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。
(付記2)
前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
付記1に記載の情報処理装置。
(付記3)
前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
付記1又は2に記載の情報処理装置。
(付記4)
前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
付記3に記載の情報処理装置。
(付記5)
前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
付記1乃至5のいずれか1項に記載の情報処理装置。
(付記7)
前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
付記2に記載の情報処理装置。
(付記8)
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。
(付記9)
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
(付記1)
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。
(付記2)
前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
付記1に記載の情報処理装置。
(付記3)
前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
付記1又は2に記載の情報処理装置。
(付記4)
前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
付記3に記載の情報処理装置。
(付記5)
前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
付記1乃至5のいずれか1項に記載の情報処理装置。
(付記7)
前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
付記2に記載の情報処理装置。
(付記8)
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。
(付記9)
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
100 情報処理装置
110 記憶部
111 行動リスト
112 行動
113 重み付け値
120 仮想マシン
130 検出部
140 算出部
150 判定部
1 端末群
11〜16 端末
2 ウィルススキャンサーバ
3 NW機器群
31〜33 NW機器
21 分析部
22 HASH計算部
23 ウィルススキャン部
24 ウィルス実行部
25 データ処理部
26 記憶部
261 ブラックリスト
262 HASH値
263 行動リスト
110 記憶部
111 行動リスト
112 行動
113 重み付け値
120 仮想マシン
130 検出部
140 算出部
150 判定部
1 端末群
11〜16 端末
2 ウィルススキャンサーバ
3 NW機器群
31〜33 NW機器
21 分析部
22 HASH計算部
23 ウィルススキャン部
24 ウィルス実行部
25 データ処理部
26 記憶部
261 ブラックリスト
262 HASH値
263 行動リスト
Claims (9)
- ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。 - 前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
請求項1に記載の情報処理装置。 - 前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
請求項1又は2に記載の情報処理装置。 - 前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
請求項3に記載の情報処理装置。 - 前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
請求項1乃至4のいずれか1項に記載の情報処理装置。 - 前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
請求項1乃至5のいずれか1項に記載の情報処理装置。 - 前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
請求項2に記載の情報処理装置。 - 対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。 - 対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016025099A JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016025099A JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017142744A true JP2017142744A (ja) | 2017-08-17 |
| JP6711000B2 JP6711000B2 (ja) | 2020-06-17 |
Family
ID=59627340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016025099A Active JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6711000B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
| WO2019180804A1 (ja) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | 情報処理装置、通信種類判別方法及びプログラム |
| JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
| CN112580043A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
| CN112580042A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| CN112580025A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 |
| CN116680696A (zh) * | 2023-08-04 | 2023-09-01 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007537626A (ja) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | 深いパケットフィルタリングのためのプログラム可能なハードウエア |
| JP2009223908A (ja) * | 2001-04-16 | 2009-10-01 | Xaxon R & D Corp | コンピュータウイルス検査装置及び半導体集積回路 |
| JP2011530121A (ja) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | プログラム動作をフィルタリング・モニタリングするための方法とシステム |
| JP2013524336A (ja) * | 2010-03-30 | 2013-06-17 | アンラブ,インコーポレイテッド | ビヘイビアベース悪性コード診断機能を有する移動通信端末及びその診断方法 |
| JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
| WO2015137249A1 (ja) * | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | 監視装置、監視方法、および、監視プログラム |
| WO2015152748A1 (en) * | 2013-07-05 | 2015-10-08 | Bitdefender Ipr Management Ltd | Process evaluation for malware detection in virtual machines |
| JP2015230601A (ja) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
-
2016
- 2016-02-12 JP JP2016025099A patent/JP6711000B2/ja active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009223908A (ja) * | 2001-04-16 | 2009-10-01 | Xaxon R & D Corp | コンピュータウイルス検査装置及び半導体集積回路 |
| JP2007537626A (ja) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | 深いパケットフィルタリングのためのプログラム可能なハードウエア |
| JP2011530121A (ja) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | プログラム動作をフィルタリング・モニタリングするための方法とシステム |
| JP2013524336A (ja) * | 2010-03-30 | 2013-06-17 | アンラブ,インコーポレイテッド | ビヘイビアベース悪性コード診断機能を有する移動通信端末及びその診断方法 |
| WO2015152748A1 (en) * | 2013-07-05 | 2015-10-08 | Bitdefender Ipr Management Ltd | Process evaluation for malware detection in virtual machines |
| JP2016526730A (ja) * | 2013-07-05 | 2016-09-05 | ビットディフェンダー アイピーアール マネジメント リミテッド | 仮想マシンにおけるマルウェア検出のためのプロセス評価 |
| WO2015137249A1 (ja) * | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | 監視装置、監視方法、および、監視プログラム |
| JP2015230601A (ja) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
| JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
| JP7102780B2 (ja) | 2018-02-28 | 2022-07-20 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
| WO2019180804A1 (ja) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | 情報処理装置、通信種類判別方法及びプログラム |
| JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| JP7202932B2 (ja) | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| CN112580025A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 |
| CN112580042A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| CN112580043A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
| CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
| CN112580041B (zh) * | 2019-09-30 | 2023-07-07 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
| CN112580043B (zh) * | 2019-09-30 | 2023-08-01 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
| CN112580042B (zh) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| CN116680696A (zh) * | 2023-08-04 | 2023-09-01 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及*** |
| CN116680696B (zh) * | 2023-08-04 | 2024-02-13 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6711000B2 (ja) | 2020-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
| US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
| US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
| CN110383278A (zh) | 用于检测恶意计算事件的***和方法 | |
| CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
| KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
| TW201712586A (zh) | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 | |
| CN102664875A (zh) | 基于云模式的恶意代码类别检测方法 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| US20200125728A1 (en) | Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures | |
| US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
| US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| CN112084497A (zh) | 嵌入式Linux***恶意程序检测方法及装置 | |
| RU2531565C2 (ru) | Система и способ анализа событий запуска файлов для определения рейтинга их безопасности | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| Yang et al. | Detecting android malware with intensive feature engineering | |
| US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
| KR101988747B1 (ko) | 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치 | |
| JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| KR101880689B1 (ko) | 악성코드 진단장치 및 방법 | |
| KR101942442B1 (ko) | 악성코드 검증을 위한 자동화 시스템 및 방법 | |
| WO2022137883A1 (ja) | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 | |
| Alsmadi et al. | Behavioral-based malware clustering and classification | |
| KR101726360B1 (ko) | 서픽스 트리 생성 방법 및 서버, 및 상기 서픽스 트리를 이용하는 악성 코드 탐지 방법 및 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191031 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200511 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6711000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |