実施の形態1
以下実施の形態を、図面を参照して説明する。図1は情報処理システムの概要を示す説明図である。情報処理システムは情報処理装置2、管理装置1及び管理装置3を含む。情報処理装置2を管理する管理装置1は例えば、サーバコンピュータまたはパーソナルコンピュータ等である。実施形態では管理装置1をサーバコンピュータ1と読み替えて説明する。情報処理装置2は例えば、パーソナルコンピュータ、スマートフォン、携帯電話機またはタブレット等である。以下では情報処理装置2をコンピュータ2と読み替えて説明する。
サーバコンピュータ1を通じて、コンピュータ2を管理する管理装置3はパーソナルコンピュータ、スマートフォン、携帯電話機またはタブレット等である。サーバコンピュータ1、各コンピュータ2及び端末装置3は外部ネットワークであるインターネット、LAN(Local Area Network)、Wi-Fi網、Bluetooth(登録商標)等の近距離無線通信網、公衆回線網等の通信網Nを介して相互に接続されている。なお、実施形態1ではサーバコンピュータ1と管理装置3の2つを設ける例を示したが、サーバコンピュータ1または管理装置3のいずれか一つでコンピュータ2を管理するようにしても良い。
コンピュータ2はインストールされたウィルス対策ソフトウェアによりマルウェアを検知する。コンピュータ2はマルウェアを検知した場合、マルウェアを検知したことを示す検知情報をサーバコンピュータ1へ送信する。その後コンピュータ2は、外部ネットワークである通信網Nと接続するためのインタフェースを閉塞する。サーバコンピュータ1は検知情報を管理者の管理装置3へ送信する。以下詳細を説明する。
図2はコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2は制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、時計部28、及び、通信部26等を含む。CPU21は、バス27を介してハードウェア各部と接続されている。CPU21は記憶部25に記憶された制御プログラム25P及びOS(Operating System)251に従いハードウェア各部を制御する。なお、CPU21は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM22は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM22は、記憶部としても機能し、CPU21による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
入力部23はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU21へ出力する。表示部24は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU21の指示に従い各種情報を表示する。通信部26はインタフェースである通信モジュールであり、サーバコンピュータ1等と間で情報の送受信を行う。通信部26は例えば、通信網Nに接続されるLANモジュール261、Wi-Fiモジュール等の無線通信部262、及び、Bluetooth規格に基づく近距離通信、または赤外線通信等を行う近距離通信モジュールである近距離通信部263である。時計部28は日時情報をCPU21へ出力する。記憶部25は大容量メモリまたはハードディスクであり、制御プログラム25P等を記憶している。
CPU21は、記憶部25に記憶したウィルス対策ソフトウェアによりマルウェアを検知する。CPU21は、マルウェアを検知した場合、LANモジュール261を介してサーバコンピュータ1へマルウェアを検知したことを示す検知情報を送信する。CPU21は、その後、LANモジュール261、無線通信部262及び近距離通信部263を含むすべてのインタフェースを閉塞する。具体的には、OS251から通信部26へインタフェースの閉塞を命じるコマンドを出力する。この場合、閉塞命令により、各通信部26の送受信が禁止され、または、電源供給が遮断され、情報の送受信が不可能となる。その他、閉塞命令を受けた場合、各通信部26は、各通信部26からの情報の送信先を、書き換える処理を行うことによって、通信を不能にしてもよい。
CPU21は、閉塞を行った後に、表示部24にアクセス先、プロセス情報及び通信部26を閉塞した閉塞日時を表示部24に表示する。図3は報告情報の表示イメージを示す説明図である。CPU21は、報告情報としてコンピュータ2のIPアドレス、マルウェアの検知日時、検知したマルウェア、及び通信部26の閉塞日時を表示部24に表示する。CPU21は、ウィルス対策ソフトウェアから出力された日時を検知日時として表示する。また通信部26の閉塞が完了した段階で時計部28の出力を参照し、閉塞日時を表示する。
さらにCPU21は、RAM22または記憶部25に記憶された過去の通信ログに基づき、プロトコル、ローカルアドレス、外部アドレス及びプロセス情報等を表示する。プロトコルとしてはTCP(Transmission Control Protocol)等の通信の種別が表示される。プロセス情報は、実行ファイルであるXX.exe、System等のプロセスを特定するための情報が表示される。ローカルアドレスはプロセス実行時のコンピュータ2のIPアドレスである。外部アドレスとしては、プロセス実行時のアクセス先のIPアドレスまたはURL等が表示される。
図4はサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1は制御部としてのCPU11、RAM12、入力部13、表示部14、記憶部15、時計部18、及び、通信部16等を含む。CPU11は、バス17を介してハードウェア各部と接続されている。CPU11は記憶部15に記憶された制御プログラム15Pに従いハードウェア各部を制御する。なお、CPU11は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM12は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM12は、記憶部としても機能し、CPU11による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
入力部13はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU11へ出力する。表示部14は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU11の指示に従い各種情報を表示する。通信部16は通信モジュールであり、コンピュータ2等と間で情報の送受信を行う。時計部18は日時情報をCPU11へ出力する。記憶部15は大容量メモリまたはハードディスクであり、制御プログラム15P等を記憶している。
また実施形態では、サーバコンピュータ1は単体のものとして説明するがこれに限るものではない。例えば物理的に複数のサーバコンピュータ1、1、・・・により構成されていてもよく、また複数の仮想マシンにより構成されていてもよい。サーバコンピュータ1のCPU11は、コンピュータ2から検知情報及びコンピュータ2を特定するための識別情報を受信する。
コンピュータ1は、検知情報を送信したコンピュータ2に対しpingコマンド等の応答要求コマンドを出力する。CPU11は、応答要求コマンドに対する応答がない場合、コンピュータ2の通信部26の閉塞が完了したと判断する。CPU11は、受信した識別情報、検知情報及びコンピュータ2の通信部26が閉塞したことを示す閉塞情報を端末装置3へ送信する。なお、識別情報は、例えばコンピュータ名、IPアドレス、またはMAC(Media Access Control)アドレス等であればよい。本実施形態ではコンピュータ名であるものとして説明する。また、実施形態では検知情報及び閉塞情報を管理装置3に送信する例を示すがこれに限るものではない。CPU11は、検知情報または閉塞情報のいずれかを送信するようにしても良い。
図5は端末装置3のハードウェア群を示すブロック図である。端末装置3は制御部としてのCPU31、RAM32、入力部33、表示部34、記憶部35、時計部38、及び、通信部36等を含む。CPU31は、バス37を介してハードウェア各部と接続されている。CPU31は記憶部35に記憶された制御プログラム35Pに従いハードウェア各部を制御する。なお、CPU31は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM32は例えばSRAM、DRAM、フラッシュメモリ等である。RAM32は、記憶部としても機能し、CPU31による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
入力部33はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU31へ出力する。表示部34は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU31の指示に従い各種情報を表示する。通信部36は通信モジュールであり、サーバコンピュータ1等と間で情報の送受信を行う。時計部38は日時情報をCPU31へ出力する。記憶部35は大容量メモリまたはハードディスクであり、制御プログラム35P及び状態DB351等を記憶している。
図6は状態DB351のレコードレイアウトを示す説明図である。状態DB351は、監視対象端末フィールド、検知情報フィールド及び閉塞情報フィールド等を含む。監視対象端末フィールドには、監視対象となっているコンピュータ2のコンピュータ名が記憶されている。検知情報フィールドには、コンピュータ名に対応付けて検知情報を受信したか否かの情報が記憶されている。閉塞情報フィールドには、コンピュータ名に対応付けて対応するコンピュータ2の通信部26が閉塞されているか否かの情報が記憶されている。
図6の例では端末2は検知情報が未検知であり、閉塞情報が非閉塞と記憶されている。一方、端末1はマルウェアの検知に伴い、検知情報は検知と記憶されており、閉塞情報も閉塞と記憶されている。端末装置3のCPU31は、サーバコンピュータ1からコンピュータ名、検知情報及び閉塞情報を受信した場合、状態DB351にコンピュータ名に対応付けて検知情報を非検知から検知へと変更し、閉塞情報を非閉塞から閉塞へ変更する。
図7は閉塞状態の表示イメージを示す説明図である。管理装置3のCPU31は、状態DB351を参照し、表示部34にコンピュータ名、検知情報及び閉塞情報を表示する。
以上のハードウェア群において、各種ソフトウェア処理を、フローチャートを用いて説明する。図8及び図9は検知情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS81)。CPU21は、検知していないと判断した場合(ステップS81でNO)、ステップS81の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS81でYES)、処理をステップS82へ移行させる。
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS82)。CPU21は、通信部26を閉塞すべき旨のOSコマンドを発行し通信部26を閉塞する(ステップS84)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS83)。CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS85)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS86)。CPU11は、応答があると判断した場合(ステップS86でNO)、処理をステップS85へ戻し、処理を繰り返す。
CPU11は、応答がないと判断した場合(ステップS86でYES)、処理をステップS87へ移行させる。CPU11は、管理装置3へコンピュータ名、検知情報、及び閉塞情報を送信する(ステップS87)。管理装置3のCPU31は、コンピュータ名、検知情報及び閉塞情報を受信する(ステップS88)。CPU31は、コンピュータ名、検知情報及び閉塞情報を、状態DB351に記憶する(ステップS89)。CPU31は、状態DB351に記憶したコンピュータ名、検知情報及び閉塞情報を表示部34に表示する(ステップS91)。
コンピュータ2は報告情報として、IPアドレス、マルウェア検知日時、及び検知したマルウェアを表示部24に表示する(ステップS92)。マルウェア検知日時及び検知したマルウェアに関しては、ウィルス対策ソフトウェアから出力される情報をもとに表示すれば良い。CPU21は、RAM22に記憶したプロセス情報、各プロセス時におけるプロトコル、ローカルアドレス及び外部アドレスの時系列データを表示部24に表示する(ステップS93)。これにより、マルウェアの拡散を未然に防止することができる。またOSコマンドを利用することで、適切に通信部26の閉塞を行うことが可能となる。またコンピュータ2側においてユーザがマルウェア検知時の状態を容易に把握することが可能となる。さらに、管理装置3側においても現在の検知及び閉塞状況を適切に把握することが可能となる。
実施の形態2
実施の形態2はセキュリティポリシーに基づき閉塞する通信部26を決定する形態に関する。図10は実施の形態2に係るサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15にセキュリティポリシーテーブル352が新たに設けられている。図11は実施の形態2に係るハードウェア群を示すブロック図である。記憶部25にセキュリティポリシーテーブル252が新たに設けられている。
図12はセキュリティポリシーテーブル352のレコードレイアウトを示す説明図である。セキュリティポリシーテーブル352は、IDフィールド及びポリシーフィールド等を含む。IDフィールドには、検知したマルウェアに対応するイベントを特定するための識別情報(ID)が記憶されている。図12の例では、IDとして「M01」、「M02」が記憶されている。例えばマルウェアAに対してはID「M01」が発行され、マルウェアAとは異なるマルウェアBについてはID「M02」が発行される。ポリシーフィールドには、通信部26の種類ごとに、IDに対応付けて閉塞または非閉塞の情報が記憶されている。
図12の例では、LANモジュール261、無線通信部262、および、近距離通信部263についてIDに対応付けて、閉塞または非閉塞の情報が記憶されている。例えばID「M01」については、LANモジュール261は閉塞、無線通信部262は閉塞、近距離通信部263は非閉塞と記憶されている。またID「M02」については、本実施形態ではLANモジュール261、無線通信部262、および、近距離通信部263の全てが非閉塞と記憶されている。このセキュリティポリシーテーブル352の記憶内容は、入力部33を通じて管理者が適宜変更することができる。
管理装置3で作成したセキュリティポリシーテーブル352の記憶内容はサーバコンピュータ1およびコンピュータ2へ送信される。コンピュータ2のCPU21は、管理装置3からセキュリティポリシーテーブル352の記憶内容が送信された場合、同様の内容をセキュリティポリシーテーブル252に記憶する。CPU21は、マルウェアを検知した場合、ウィルス対策ソフトウェアから出力されるマルウェアに対応して発行されたIDを取得する。CPU21は、セキュリティポリシーテーブル252を参照し、IDに対応する各通信部26の閉塞または非閉塞の情報を読み出す。CPU21は、読み出した情報に基づき、各通信部26を閉塞または非閉塞とする。なお、セキュリティポリシーテーブルをサーバコンピュータ1の記憶部15に記憶するようにしてもよい。
図13及び図14は閉塞処理の手順を示すフローチャートである。管理装置3のCPU31は、入力部33を通じてセキュリティポリシーを受け付け、受け付けたセキュリティポリシーをセキュリティポリシーテーブル352に記憶する(ステップS131)。CPU31は、コンピュータ2へセキュリティポリシーテーブル352に記憶したセキュリティポリシーを送信する(ステップS132)。CPU21は、送信されたセキュリティポリシーを受信し、セキュリティポリシーテーブル252に記憶する(ステップS133)。
コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS134)。CPU21は、検知していないと判断した場合(ステップS134でNO)、ステップS134の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS134でYES)、処理をステップS135へ移行させる。
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS135)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS136)。
CPU21は、マルウェア名に対応して発行されたIDに対応するセキュリティポリシーを、セキュリティポリシーテーブル252から読み出す(ステップS137)。CPU21は、セキュリティポリシーに応じて各通信部26を閉塞、または非閉塞とする(ステップS138)。具体的には、CPU21は、閉塞対象とする通信部26に対し、OSコマンドを個別に発行する。通信部26は閉塞すべき旨のOSコマンドを受け付けた場合に、閉塞処理を行う。
サーバコンピュータ1のCPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS139)。以降の処理は実施の形態1で述べたとおりであるので詳細な説明は省略する。これにより、セキュリティポリシーに応じて閉塞対象とする通信部26を特定した運用が可能となる。
実施の形態3
実施の形態3は、閉塞した通信部26及びアクセス先を表示する形態に関する。図15は表示処理手順を示すフローチャートである。CPU21は、セキュリティポリシーに基づき閉塞した通信部26のマルウェア検知時のアクセス先を取得する(ステップS151)。またCPU21は、閉塞した通信部26の閉塞時のアクセス先を取得する(ステップS152)。図3に示す報告情報について説明したように、CPU21は、通信時のプロトコル、ローカルアドレス、アクセス先及びプロセス情報等を時系列でRAM22に記憶しており、マルウェア検知時におけるアクセス先及び閉塞時におけるアクセス先を読み出す。なお、実施形態ではアクセス先はIPアドレスであるものとするが、URL、MACアドレス等であってもよい。
CPU21は、閉塞した通信部26を表示部24に表示する(ステップS153)。CPU21は、マルウェア検知時のアクセス先及び閉塞時のアクセス先を表示部24に、閉塞した通信部26に対応付けて表示する(ステップS154)。図16は閉塞状態のイメージを示す説明図である。図16の例では閉塞状況が示されており、閉塞している通信部26が、LANモジュール261及び無線通信部262であることが分かる。またLANモジュール261についてはマルウェア検知時のアクセス先及び閉塞時のアクセス先がそれぞれ表示されている。同様に無線通信部262のマルウェア検知時のアクセス先及び閉塞時のアクセス先が表示されている。なお、マルウェア検知時のアクセス先及び閉塞時のアクセス先の双方を記載する例を示したが、いずれか一方でもよい。
続いてCPU21は、閉塞していない通信部26及びアクセス先を表示する(ステップS155)。図16の例では、閉塞していない通信部26として近距離通信部263が表示されており、通信中のアクセス先が同時に表示されている。これにより、閉塞状況を容易に把握することが可能となる。またマルウェア検知時または閉塞時のアクセス先を容易に特定することが可能となる。
本実施の形態3は以上の如きであり、その他は実施の形態1または2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
実施の形態4
実施の形態4は閉塞を解除したことを示す解除情報を表示する形態に関する。図17は実施の形態4に係るサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15にはさらに状態DB151が設けられている。
図18は状態DB151のレコードレイアウトを示す説明図である。状態DB151は、監視対象端末フィールド、検知情報フィールド、日時フィールド、閉塞情報フィールド及び解除情報フィールド等を含む。監視対象端末フィールドには、同一ネットワークに属するコンピュータ2のコンピュータ名が記憶されている。なお、具体的にはIPアドレスのうち、相互に同一のネットワークアドレスを有するコンピュータ2、2・・・のコンピュータ名が、同一ネットワークに属するコンピュータ2として記憶されている。なお、オペレータが入力部13または通信部16を介して同一ネットワークに属するコンピュータ2を状態DB151に登録するようにしてもよい。また同一セグメントに属するコンピュータ2、2・・・だけではなく、あらかじめ特定した複数のセグメントに属するコンピュータ2、2・・・を同一ネットワークに属するコンピュータ2として登録としても良い。また本実施形態では他のネットワークに属するコンピュータ2の閉塞情報及び解除情報を記憶するようにしてもよい。
検知情報フィールドには、コンピュータ名に対応付けてマルウェアを検知したか否かの情報が記憶されている。日時フィールドには、コンピュータ名に対応付けて、マルウェアを検知した検知日時または閉塞を解除した閉塞日時が記憶されている。なお、マルウェアの検知日時に代えて閉塞した日時を記憶するようにしてもよい。閉塞情報フィールドには、コンピュータ名及び検知日時に対応付けて閉塞または非閉塞の情報が記憶されている。解除情報フィールドには、コンピュータ名及び解除日時に対応付けて解除したか否かの情報が記憶されている。
図19及び図20は閉塞情報及び解除情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS191)。CPU21は、検知していないと判断した場合(ステップS191でNO)、ステップS191の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS191でYES)、処理をステップS192へ移行させる。
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS192)。CPU21は、通信部26を閉塞する(ステップS195)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS193)。CPU11は、コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS194)。なお、検知日時は検知情報を受信時に時計部18から出力された日時の他、コンピュータ2から検知情報とともに送信された検知日時を用いてもよい。
CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS196)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS197)。CPU11は、応答があると判断した場合(ステップS197でNO)、処理をステップS196へ戻し、処理を繰り返す。
CPU11は、応答がないと判断した場合(ステップS197でYES)、処理をステップS198へ移行させる。CPU11は、閉塞情報をコンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS198)。その後、コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。CPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS199)。
CPU21は、解除処理を受け付けていないと判断した場合(ステップS199でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS199でYES)、処理をステップS201へ移行させる。CPU21は、コンピュータ名、解除情報をサーバコンピュータ1へ送信する(ステップS201)。CPU21は、通信部26の閉塞を解除する(ステップS2011)。サーバコンピュータ1のCPU11は、コンピュータ名及び解除情報を受信する(ステップS202)。CPU11は、コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS203)。
CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS204)。なお、状態DB151の記憶内容は、記憶内容について更新がある度に、または、所定時間毎に管理装置3へ送信するようにしてもよい。また、CPU11は、解除情報を記憶してから、数日経過した場合、当該コンピュータ名に関するレコードを消去し、検知情報として未検知、閉塞情報を非閉塞と書き換えるようにしてもよい。
管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS205)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS206)。図21は閉塞情報及び解除情報の表示イメージを示す説明図である。CPU31は、管理者の入力部23を通じた表示指示を受け付けた場合、記憶部35に記憶した状態DB151の内容を読み出し、表示部34に表示する。具体的には、CPU11は、コンピュータ名、検知情報、日時、閉塞情報及び解除情報を表示する。
CPU31は、閉塞中のコンピュータ名が存在する場合、閉塞中のコンピュータ名を抽出して、注意を喚起する情報を表示するようにしてもよい。図21の例では「端末1が閉塞中です。」と閉塞中のコンピュータ名が抽出されて表示されている。これにより、管理者は同一ネットワークに属するコンピュータ2の閉塞、解除状態を容易に確認することができる。
本実施の形態4は以上の如きであり、その他は実施の形態1から3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
実施の形態5
実施の形態5は予防的に閉塞する形態に関する。図22は状態DB151のレコードレイアウトを示す説明図である。状態DB151の閉塞情報フィールドには、閉塞及び予防閉塞の2つが記憶されている。予防閉塞は、マルウェアを検知したコンピュータ2(以下、場合により第1コンピュータ2という)を通じて検知情報を取得した同一ネットワークに属する他のコンピュータ2(以下、場合により第2コンピュータ2という)が予防的に閉塞したことを示す。
図22の例では端末1がマルウェアを検知し通信部26を閉塞している。端末2及び端末3は、端末1からの検知情報を通じて通信部26を予防的に閉塞していることを示す。なお、その他の記憶内容は他の実施形態と同様であるので詳細な説明は省略する。
図23から図26は閉塞処理の手順を示すフローチャートである。第1コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS231)。CPU21は、検知していないと判断した場合(ステップS231でNO)、ステップS231の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS231でYES)、処理をステップS232へ移行させる。
CPU21は、検知情報及び第1コンピュータ名を第2コンピュータ2及びサーバコンピュータ1へ送信する(ステップS232)。具体的には、第1コンピュータ2のCPU21は、記憶部25にあらかじめ記憶した同一ネットワークに属するコンピュータ2のアドレスを読み出し、読み出したコンピュータ2へ第1コンピュータ名及び検知情報を送信すればよい。そのほか、検知情報及び第1コンピュータ名を受信したサーバコンピュータ1または管理装置3から、同一ネットワークアドレスを有する第2コンピュータ2へ検知情報及び第1コンピュータ名を送信するようにしてもよい。
第1コンピュータ2のCPU21は、通信部26を閉塞する(ステップS233)。第2コンピュータ2のCPU21は、検知情報及び第1コンピュータ名を受信する(ステップS234)。サーバコンピュータ1のCPU11は、検知情報及び第1コンピュータ名を受信する(ステップS235)。CPU11は、第1コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS236)。
サーバコンピュータ1のCPU11は、第1コンピュータ2へ応答要求コマンドを送信する(ステップS237)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS238)。CPU11は、応答があると判断した場合(ステップS238でNO)、処理をステップS237へ戻し、処理を繰り返す。
CPU11は、応答がないと判断した場合(ステップS238でYES)、処理をステップS239へ移行させる。CPU11は、閉塞情報を第1コンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS239)。
第2コンピュータ2のCPU21は、第2コンピュータ名及び予防閉塞情報を、サーバコンピュータ1へ送信する(ステップS241)。第2コンピュータ2のCPU21は、通信部26を閉塞する(ステップS242)。これにより、同一ネットワークに属する複数のコンピュータ2の通信部26が閉塞されることとなる。
サーバコンピュータ1のCPU11は、第2コンピュータ名及び予防閉塞情報を受信する(ステップS243)。サーバコンピュータ1のCPU11は、第2コンピュータ2へ応答要求コマンドを送信する(ステップS2431)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS2432)。CPU11は、応答があると判断した場合(ステップS2432でNO)、処理をステップS2431へ戻し、処理を繰り返す。CPU11は、応答がないと判断した場合(ステップS2432でYES)、処理をステップS244へ移行させる。CPU11は、第2コンピュータ名、閉塞日時及び予防閉塞情報を状態DB151に記憶する(ステップS244)。なお、閉塞日時に代えて、ステップS236で記憶した検知日時を記憶するようにしてもよい。その後、第1コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。第1コンピュータ2のCPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS245)。
CPU21は、解除処理を受け付けていないと判断した場合(ステップS245でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS245でYES)、処理をステップS246へ移行させる。第1コンピュータ2のCPU21は、第1コンピュータ名、解除情報を第2コンピュータ2及びサーバコンピュータ1へ送信する(ステップS246)。CPU21は、通信部26の閉塞を解除する(ステップS247)。
第2コンピュータ2のCPU21は、第1コンピュータ名及び解除情報を受信する(ステップS248)。CPU21は、通信部26の閉塞を解除する(ステップS249)。CPU21は、第2コンピュータ名及び解除情報を送信する(ステップS251)。サーバコンピュータ1のCPU11は、第1コンピュータ名、第2コンピュータ名及び解除情報を受信する(ステップS252)。CPU11は、各コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS253)。
CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS254)。管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS255)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS256)。これにより、同一ネットワークに属するコンピュータ2へのマルウェアの拡散を未然に予防することが可能となる。また権利者はどのコンピュータ2が閉塞したのか、どのコンピュータ2が予防的に閉塞したのかを把握することが可能となる。
本実施の形態5は以上の如きであり、その他は実施の形態1から4と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
実施の形態6
図27は上述した形態のコンピュータ2の機能ブロック図である。CPU21が制御プログラム25Pを実行することにより、コンピュータ2は以下のように動作する。出力部271は、マルウェアを検知した場合、管理装置3へ前記マルウェアを検知したことを示す検知情報を出力する。閉塞部272は、前記検知情報を出力した後に、外部ネットワークと接続する通信部26を閉塞する。
図28は上述した形態のサーバコンピュータ1の動作を示す機能ブロック図である。CPU11が制御プログラム15Pを実行することにより、サーバコンピュータ1は以下のように動作する。取得部281は、マルウェアを検知した場合に、外部ネットワークと接続する通信部26を閉塞するコンピュータ2から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得する。出力部282は、検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する。
図29は実施の形態6に係るコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2を動作させるためのプログラムは、ディスクドライブ、メモリーカードスロット等の読み取り部20AにCD−ROM、DVDディスク、メモリーカード、またはUSBメモリ等の可搬型記録媒体2Aを読み取らせて記憶部25に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ2Bをコンピュータ2内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。
図29に示すコンピュータ2は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体2Aまたは半導体メモリ2Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム25Pとしてインストールされ、RAM22にロードして実行される。これにより、上述したコンピュータ2として機能する。
図30は実施の形態6に係るサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1を動作させるためのプログラムは、ディスクドライブ、メモリーカードスロット等の読み取り部10AにCD−ROM、DVDディスク、メモリーカード、またはUSBメモリ等の可搬型記録媒体1Aを読み取らせて記憶部15に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ1Bをコンピュータ1内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。
図30に示すサーバコンピュータ1は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体1Aまたは半導体メモリ1Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム15Pとしてインストールされ、RAM12にロードして実行される。これにより、上述したサーバコンピュータ1として機能する。
本実施の形態6は以上の如きであり、その他は実施の形態1から5と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
実施の形態7
実施の形態7はサーバコンピュータ1にて状態DB151を設ける形態に関する。実施の形態1では、状態DB353を管理装置3に設ける例を示したが、状態DB151をサーバコンピュータ1に設けても良い。図31及び図32は検知情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS311)。CPU21は、検知していないと判断した場合(ステップS311でNO)、ステップS311の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS311でYES)、処理をステップS312へ移行させる。
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS312)。CPU21は、通信部26を閉塞すべき旨のOSコマンドを発行し通信部26を閉塞する(ステップS314)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS313)。CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS315)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS316)。CPU11は、応答があると判断した場合(ステップS316でNO)、処理をステップS315へ戻し、処理を繰り返す。
CPU11は、応答がないと判断した場合(ステップS316でYES)、処理をステップS317へ移行させる。CPU11は、コンピュータ名、検知情報及び閉塞情報を、状態DB151に記憶する(ステップS317)。CPU11は、管理装置3へコンピュータ名、検知情報、及び閉塞情報を送信する(ステップS318)。管理装置3のCPU31は、コンピュータ名、検知情報及び閉塞情報を受信する(ステップS319)。CPU31は、受信したコンピュータ名、検知情報及び閉塞情報を表示部34に表示する(ステップS321)。
コンピュータ2は報告情報として、IPアドレス、マルウェア検知日時、及び検知したマルウェアを表示部24に表示する(ステップS322)。マルウェア検知日時及び検知したマルウェアに関しては、ウィルス対策ソフトウェアから出力される情報をもとに表示すれば良い。CPU21は、RAM22に記憶したプロセス情報、各プロセス時におけるプロトコル、ローカルアドレス及び外部アドレスの時系列データを表示部24に表示する(ステップS323)。これにより、マルウェアの拡散を未然に防止することが可能となる。
本実施の形態7は以上の如きであり、その他は実施の形態1から6と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
実施の形態8
実施の形態8は検知情報を、サーバコンピュータ1を通じて他のコンピュータ2へ送信する形態に関する。図33から図37は閉塞処理の手順を示すフローチャートである。第1コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS331)。CPU21は、検知していないと判断した場合(ステップS331でNO)、ステップS331の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS331でYES)、処理をステップS332へ移行させる。
CPU21は、検知情報及び第1コンピュータ名をサーバコンピュータ1へ送信する(ステップS332)。第1コンピュータ2のCPU21は、通信部26を閉塞する(ステップS333)。サーバコンピュータ1のCPU11は、検知情報及び第1コンピュータ名を受信する(ステップS334)。CPU11は、第1コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS335)。
サーバコンピュータ1のCPU11は、第1コンピュータ2へ応答要求コマンドを送信する(ステップS336)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS337)。CPU11は、応答があると判断した場合(ステップS337でNO)、処理をステップS336へ戻し、処理を繰り返す。
CPU11は、応答がないと判断した場合(ステップS337でYES)、処理をステップS338へ移行させる。CPU11は、閉塞情報を第1コンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS338)。
CPU11は、第1コンピュータ2と同一ネットワークに属する第2コンピュータ2へ通信部26を閉塞させることを示す閉塞命令を出力する(ステップS339)。第2コンピュータ2のCPU21は、閉塞命令を受信する(ステップS341)。CPU21は、第2コンピュータ名及び予防閉塞情報を、サーバコンピュータ1へ送信する(ステップS342)。第2コンピュータ2のCPU21は、通信部26を閉塞する(ステップS343)。なお、実施形態では説明を容易にするために、一つの第2コンピュータ2に閉塞命令を出力する例を示したがこれに限るものではない。複数の他の第3コンピュータ2、第4コンピュータ2・・・等へ同様に閉塞命令を出力してもよい。これにより、同一ネットワークに属する複数のコンピュータ2の通信部26が閉塞されることとなる。
サーバコンピュータ1のCPU11は、第2コンピュータ名及び予防閉塞情報を受信する(ステップS344)。サーバコンピュータ1のCPU11は、第2コンピュータ2へ応答要求コマンドを送信する(ステップS345)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS346)。CPU11は、応答があると判断した場合(ステップS346でNO)、処理をステップS345へ戻し、処理を繰り返す。CPU11は、応答がないと判断した場合(ステップS346でYES)、処理をステップS347へ移行させる。CPU11は、第2コンピュータ名、閉塞日時及び予防閉塞情報を状態DB151に記憶する(ステップS347)。その後、第1コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。第1コンピュータ2のCPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS348)。
CPU21は、解除処理を受け付けていないと判断した場合(ステップS348でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS348でYES)、処理をステップS349へ移行させる。第1コンピュータ2のCPU21は、第1コンピュータ名、解除情報をサーバコンピュータ1へ送信する(ステップS349)。CPU21は、通信部26の閉塞を解除する(ステップS351)。
サーバコンピュータ1のCPU11は、第1コンピュータ名及び解除情報を受信する(ステップS352)。CPU11は解除命令を第2コンピュータ2へ送信する(ステップS353)。第2コンピュータ2のCPU21は解除命令を受信する(ステップS354)。第2コンピュータ2のCPU21は通信部26の閉塞を解除する(ステップS355)。CPU21は第2コンピュータ名及び解除情報を送信する(ステップS356)。CPU11は第2コンピュータ名及び解除情報を受信する(ステップS357)。CPU11は、各コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS358)。
CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS359)。管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS361)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS362)。これにより、同一ネットワークに属するコンピュータ2間でのマルウェアの拡散を未然に防止することが可能となる。また解除もコンピュータ2間で容易に実行することが可能となる。
本実施の形態8は以上の如きであり、その他は実施の形態1から7と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。なお、以上述べた各実施形態は適宜組み合わせることが可能である。
以上の実施の形態1から8を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞する
処理を前記情報処理装置に実行させるプログラム。
(付記2)
あらかじめ記憶されたセキュリティポリシーを参照し、検知したマルウェアに応じて、複数のインタフェースの内閉塞するインタフェースを決定する
付記1に記載のプログラム。
(付記3)
OSコマンドの発行により閉塞する処理を行う
付記1または2に記載のプログラム。
(付記4)
閉塞を行った後に、アクセス先、プロセス情報及び前記インタフェースを閉塞した日時を含む報告情報を出力する
付記1から3のいずれか一つに記載のプログラム。
(付記5)
閉塞を行った後に閉塞したインタフェース及びアクセス先を出力する
付記1から4のいずれか一つに記載のプログラム。
(付記6)
閉塞を行った後に閉塞したインタフェース及びアクセス先と、閉塞を行っていないインタフェース及びアクセス先を出力する
付記1から4のいずれか一つに記載のプログラム。
(付記7)
同一のネットワークに属する他の情報処理装置を通じて検知情報を取得し、
前記検知情報を取得した場合に、前記インタフェースを閉塞する
付記1から6のいずれか一つに記載のプログラム。
(付記8)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得し、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する
処理をコンピュータに実行させるプログラム。
(付記9)
前記情報処理装置を特定するための識別情報、前記検知情報及び閉塞情報を出力する
付記8に記載のプログラム。
(付記10)
前記情報処理装置からインタフェースの閉塞を解除したことを示す解除情報を取得し、
前記解除情報を取得した場合、前記情報処理装置の識別情報及び解除情報を出力する
付記8または9に記載のプログラム。
(付記11)
前記情報処理装置と同一のネットワークに属する他の情報処理装置から前記検知情報を取得し、
前記他のコンピュータの識別情報、検知情報及び閉塞情報を出力する
付記8から10のいずれか一つに記載のプログラム。
(付記12)
前記他の情報処理装置からインタフェースの閉塞を解除したことを示す第2解除情報を取得し、
前記第2解除情報を取得した場合、前記他の情報処理装置の識別情報及び前記第2解除情報を出力する
付記11に記載のプログラム。
(付記13)
同一のネットワークに属する他の情報処理装置から検知情報を取得したことに伴い、前記情報処理装置のインタフェースを閉塞することを示す第2閉塞情報を、前記情報書処理装置から取得した場合に、前記情報処置装置の識別情報及び第2閉塞情報を出力する
付記8から12のいずれか一つに記載のプログラム。
(付記14)
前記情報処理装置から検知情報を取得した場合に、該情報処理装置と同一のネットワークに属する他の情報処理装置へインタフェースを閉塞させる閉塞命令を出力する
付記8から12のいずれか一つに記載のプログラム。
(付記15)
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞する
処理を前記情報処理装置に実行させる情報処理方法。
(付記16)
マルウェアを検知した場合、管理装置へ前記マルウェアを検知したことを示す検知情報を出力する出力部と、
前記検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する閉塞部と
を備える情報処理装置。
(付記17)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得し、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する
処理をコンピュータに実行させる情報処理方法。
(付記18)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得する取得部と、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する出力部と
を備える情報処理装置。