JP2019125243A - マルウェア検知システムおよびマルウェア検知方法 - Google Patents

マルウェア検知システムおよびマルウェア検知方法 Download PDF

Info

Publication number
JP2019125243A
JP2019125243A JP2018006388A JP2018006388A JP2019125243A JP 2019125243 A JP2019125243 A JP 2019125243A JP 2018006388 A JP2018006388 A JP 2018006388A JP 2018006388 A JP2018006388 A JP 2018006388A JP 2019125243 A JP2019125243 A JP 2019125243A
Authority
JP
Japan
Prior art keywords
sandbox
environment
clone
mail
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018006388A
Other languages
English (en)
Inventor
将之 大類
Masayuki Orui
将之 大類
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018006388A priority Critical patent/JP2019125243A/ja
Publication of JP2019125243A publication Critical patent/JP2019125243A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】ユーザ環境と同一の環境でマルウェアを解析し検知するシステムおよび方法を、限られたリソースの中で提供する。【解決手段】メールの添付ファイルを解析するマルウェア検知システムにおいて、クライアント端末を宛先とし、添付ファイルを含むメールを受信し、受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、選択の結果と添付ファイルを、サンドボックス環境での解析のために送信するメールサーバと、前記メールサーバから送信された選択の結果と添付ファイルを受信し、受信した選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、受信した添付ファイルを実行することにより解析するサンドボックス管理装置と、を備える。【選択図】図1

Description

本発明は、マルウェア検知システムおよびマルウェア検知方法に関する。
企業等の組織は、他組織と連携をして業務を進めるために、インターネットを利用して情報を送受信するのが一般的となっている。一方で、インターネット上には悪意を持ったユーザが存在し、それらのユーザから送付されるマルウェア等の悪性プログラムが添付されたメールを受信し、その悪性に気付かずに実行すると、組織外部への情報漏えいや組織内のシステムダウンを引き起こす恐れがある。
そうした悪性プログラムの対策として、ファイルのパターンを検知し駆除する技術が用いられている。そうした技術は既知の悪性プログラムには有効であるが、未知もしくは新種の悪性プログラムを検知し、駆除することは困難である。
また、悪性プログラムが実行されても被害を受けない環境を用意し、実際に悪性プログラムの可能性があるファイルを実行して動作を確認する方法もある。そうした方法の代表例には、特許文献1で示されるサンドボックスと呼ばれる外部から隔離された仮想マシン環境下で分析対象のファイルを実行する技術が挙げられる。
特開2017−129893号公報
特許文献1に示されたサンドボックスでは、ユーザ環境に合わせた仮想マシンを選択して使用しているが、ユーザ環境と同一の環境までは提供できていない。あくまでも類似の環境であることから、環境に依存するマルウェアに対し、確実な検知ができない可能性も残っている。
そこで、本発明の目的は、ユーザ環境と同一の環境でマルウェアを解析し検知するシステムおよび方法を、限られたリソースの中で提供することにある。
本発明では、上記課題を解決するため、メールの添付ファイルを解析するマルウェア検知システムにおいて、クライアント端末を宛先とし、添付ファイルを含むメールを受信し、受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、選択の結果と添付ファイルを、サンドボックス環境での解析のために送信するメールサーバと、前記メールサーバから送信された選択の結果と添付ファイルを受信し、受信した選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、受信した添付ファイルを実行することにより解析するサンドボックス管理装置と、を備えたことを特徴とする。
本発明によれば、ユーザ環境と同一の環境でマルウェアを解析し検知するシステムおよび方法を、限られたリソースの中で提供することが可能になる。
マルウェア検知システムの例を示す図である。 解析判定用テーブルの例を示す図である。 端末管理テーブルの例を示す図である。 サンドボックス管理テーブルの例を示す図である。 サンドボックス環境選択の処理フローの例を示す図である。 選択されたサンドボックス環境を用いる解析の処理フローの例を示す図である。
以下、本発明によるクローンを用いたサンドボックスによるマルウェア検知システムの実施形態を、実施例として、図面を用いて説明する。
図1は、一実施形態によるクローンを用いたサンドボックスによるマルウェア検知システムの例を示す図である。図1に示すように、マルウェア検知システムは、メールサーバ兼判定用装置111とサンドボックス管理装置121とを有し、これらの装置間及びクライアント端末101との間はネットワークで結ばれている。
図1の例では、クライアント端末101が複数であり、メールサーバ兼判定用装置111とサンドボックス管理装置121のそれぞれは1台ずつであるが、メールサーバ兼判定用装置111とサンドボックス管理装置121のそれぞれは複数であってもよい。また、メールサーバ兼判定用装置111とサンドボックス管理装置121は1台の装置であってもよい。さらに、ネットワークは有線でも無線でもよい。
メールサーバ兼判定用装置111は、メールの処理を実行するメール受信部114と、添付ファイル解析部115と、メール送信部116とを有し、情報が格納された解析判定用テーブル117と端末管理テーブル118とを有する。
メールサーバ兼判定用装置111は、一般的なコンピュータであってもよい。この場合、メール受信部114と、添付ファイル解析部115と、メール送信部116との処理内容にそれぞれ相当する図示を省略したプログラムが有り、それらのプログラムを演算装置112が実行することによって、演算装置112が各部と成る。
また、解析判定用テーブル117と端末管理テーブル118とは、DB(Data Base)として記憶装置113に格納される。ここで、演算装置112はCPU(Central Processing Unit)であってもよく、記憶装置113はメモリまたはHDD(Hard Disk Drive)またはSSD(Solid State Drive)であってもよい。
メールサーバ兼判定用装置111は、演算装置112と記憶装置113以外のハードウェアを有してもよく、例えばネットワークアダプタなどを有してもよい。そして、メール受信部114などの一部にネットワークアダプタが含まれてもよい。
メール受信部114は、メールサーバ兼判定用装置111がクライアント端末101のメールサーバとなるために、マルウェア検知システムの外部またはクライアント端末101のいずれかから、クライアント端末101宛に送信されたメールをクライアント端末101より前に受信する。
なお、メール受信部114は、メールサーバ兼判定用装置111がクライアント端末101のメールサーバとなるために、クライアント端末101からマルウェア検知システムの外部宛に送信されたメールを受信してもよい。
添付ファイル解析部115は、メール受信部114で受信されたメールを解析し、解析した情報に基づいて、添付ファイルを、クローンを用いたサンドボックス環境、または標準のサンドボックス環境のいずれで実行するかのサンドボックスの種別を選択し、選択した種別の情報や添付ファイルなどの添付ファイルの実行に必要な情報をサンドボックス管理装置へ送信する。
メール送信部116は、サンドボックス管理装置121から受信したサンドボックス環境での実行による解析結果に基づいて、解析済みのメールを、メールの宛先のクライアント端末101に送信するか、または送信せずに遮断する。
解析判定用テーブル117は、添付ファイルに関する情報と、サンドボックス環境に関する情報とを対応付けるテーブルであり、端末管理テーブル118は、宛先メールアドレスと、宛先メールアドレスに対応する端末に関する情報のテーブルである。これらのテーブルについては、図2A、2Bを用いてさらに説明する。
クライアント端末101は、ユーザが用いる情報端末であり、メールを送受信するメール機能を有する一般的なコンピュータやタブレットなどの情報機器である。また、クライアント端末101は、(プログラム)ファイルを実行できる情報機器であり、これにより受信したメールの添付ファイルを実行することができる。
クライアント端末101のファイルの実行環境として、個別環境103を有する。個別環境103は、複数のクライアント端末101それぞれで異なってもよい環境であり、例えば、ファイルを実行するためのプログラムやライブラリまたはパラメタの設定などである。
表データのファイルにマクロや組み込みプログラムが含まれる場合、それを実行するための表計算プログラムが必要であるが、このような表計算プログラムがインストールされていることなども、個別環境103に含まれるし、このような表計算プログラムのインストールされているバージョンなども、個別環境103に含まれる。
次に説明するような、プラットフォーム102が仮想環境のためのハイパーバイザである場合、個別環境103は、ハイパーバイザ上で実行される仮想マシンのイメージファイルであってもよい。
個別環境103は、プラットフォーム102の上に構築される。プラットフォーム102は、仮想環境のためのハイパーバイザであってもよいし、クライアント端末101のハードウェアリソースであってもよい。ただし、個別環境103はソフトウェアリソースのみとなるようなプラットフォーム102であることが好ましい。
また、プラットフォーム102は、複数のクライアント端末101において、個別環境103に共通のインターフェイスを提供するものであることが好ましい。なお、プラットフォーム102以外のもので、クライアント端末101とサンドボックス管理装置121の違いを吸収できるのであれば、プラットフォーム102は無くてもよい。
サンドボックス管理装置121は、サンドボックスに関する処理を実行するクローン環境構築部124とサンドボックス管理部125とを有し、プログラムまたはデータが格納されたクローンサンドボックス環境131と、サンドボックス管理テーブル127と、標準サンドボックス環境126とを有する。
サンドボックス管理装置121は、一般的なコンピュータであってもよい。この場合、クローン環境構築部124とサンドボックス管理部125の処理内容にそれぞれ相当する図示を省略したプログラムが有り、それらのプログラムを演算装置122が実行することによって、演算装置122が各部と成る。
また、クローンサンドボックス環境131と、サンドボックス管理テーブル127と、標準サンドボックス環境126とは記憶装置123に格納される。ここで、演算装置122はCPUであってもよく、記憶装置123はメモリまたはHDDまたはSSDであってもよい。
サンドボックス管理装置121は、演算装置122と記憶装置123以外のハードウェアを有してもよく、例えばネットワークアダプタなどを有してもよい。そして、サンドボックス管理部125などの一部にネットワークアダプタが含まれてもよい。また、プラットフォーム132のために、クライアント端末101と同じハードウェアを有してもよい。
サンドボックス管理部125は、添付ファイル解析部115から送信されたサンドボックスの種別に基づき、クローンサンドボックス環境131または標準サンドボックス環境126のいずれかを選択し、添付ファイル解析部115から転送された受信メールの添付ファイルをサンドボックス環境に送付する。
ここで、サンドボックス管理部125が、クローンサンドボックス環境131を選択する場合は、添付ファイル解析部115から転送された受信メールの宛先となるクライアント端末101のIPアドレス情報に基づき、該当するクローンサンドボックス環境131を選択して添付ファイルを送付する。
なお、サンドボックス管理部125からクローンサンドボックス環境131への添付ファイルの送付は、クローン環境構築部124経由で送付されてもよいし、直接に送付されてもよい。
クローンサンドボックス環境131は、クライアント端末101と同一の実行環境を有し、標準サンドボックス環境126は複数の実行環境を有しており、それぞれサンドボックス管理部125から送付された添付ファイルを実行して解析する。
クローンサンドボックス環境131は、クライアント端末101の個別環境103と同一の個別環境133を有することにより、クライアント端末101と同一の実行環境を実現する。クローンサンドボックス環境131のプラットフォーム132は、クライアント端末101のプラットフォーム102の個別環境103に対するインターフェイスと共通のインターフェイスを提供する。
また、プラットフォーム132は、ハイパーバイザであってもよいし、クライアント端末101と同じハードウェアリソースを含んでいてもよい。ただし、個別環境133に対するインターフェイスが共通であれば、プラットフォーム132は、クライアント端末101のプラットフォーム102と同一でなくてもよい。
さらに、クライアント端末101がネットワークに接続された時点などの、クライアント端末101のプラットフォーム102が固定された時点で、プラットフォーム132はサンドボックス管理装置121の中に構築されるのが好ましい。なお、クライアント端末101にプラットフォーム102が無い場合は、プラットフォーム132も無くてもよい。
サンドボックス管理部125が添付ファイル解析部115から情報を受信した時点で、クローンサンドボックス環境131が構築されていない場合、サンドボックス管理部125はクローン環境構築部124に受信メールの宛先の端末のIPアドレス情報を送付し、クローンサンドボックス環境131を構築させる。
このために、クローン環境構築部124は、IPアドレス情報を基にクライアント端末101から個別環境103をネットワーク経由で取得することによりコピーし、コピーしたものを個別環境133としてクローンサンドボックス環境131を構築する。これにより、クライアント端末101と同一の実行環境が実現される。
標準サンドボックス環境126は、OS(Operating System)がインストールされただけの環境であってもよく、基本的なアプリケーションプログラムがさらにインストールされただけの環境であってもよい。クローンサンドボックス環境131の構築との対比において、標準サンドボックス環境126は、クライアント端末101の環境(個別環境103)を利用しないで構築された環境というものであってもよい。
サンドボックス管理装置121は同一環境の複数の標準サンドボックス環境126を有してもよく、サンドボックス管理部125は、複数の標準サンドボックス環境126のそれぞれへ、添付ファイルを順次振り分けてもよい。
なお、メールサーバ兼判定用装置111は、既存のメールサーバを改造したものでもよく、この意味で、メールサーバ兼判定用装置111はメールサーバと称してもよい。マルウェア検知システムは、メールを処理するシステムであるので、メールシステムと称してもよい。
図2A〜2Cは、マルウェア検知システム内で使用されるデータの一例を示す図である。図2Aに示す解析判定用テーブル117は、識別子であるID201と、添付ファイルの形式202と、添付ファイルに対応するサンドボックス種別203から構成される。
例えば、ID201が「001」では、添付ファイルの形式202が「.xxx」と、対応するサンドボックス種別203として「クローンサンドボックス」が格納され、ID201が「002」及び「003」では、添付ファイルの形式202「.yyy」及び「.zzz」に対応するサンドボックス種別203として「標準サンドボックス」が格納されている。
これにより、解析判定用テーブル117は、添付ファイルの形式202に基づき、サンドボックス種別203が選択可能な情報となっている。この例において、添付ファイルの形式202の「.xxx」は添付ファイルのファイル名の拡張子であるが、添付ファイルの形式202は一例であり、添付ファイルの他の情報であってもよい。
また、添付ファイルの情報に限定されるものではなく、受信メールに含まれるメールヘッダの送信元、宛先、または主題、あるいは本文など、図2Aに示した添付ファイルの形式202以外の情報とサンドボックス種別203が対応付けられてもよい。そして、その情報に基づき、サンドボックス環境の種別が選択されてもよい。
解析判定用テーブル117には、予め情報が格納されていてもよいし、メールサーバ兼判定用装置111が稼働中に、ネットワーク経由で得られた情報または図1では図示を省略した入力装置から得られた情報が格納されてもよい。
図2Bに示す端末管理テーブル118は、識別子であるID211と、クライアント端末101のメールアドレスであるメールアドレス212と、メールアドレス212のメールアドレスに対応するクライアント端末101の端末IPアドレス213から構成される。
端末管理テーブル118には、予めクライアント端末101の情報が格納されている。例えば、ID211が「001」では、メールアドレス212が「[email protected]」に対応するクライアント端末101の端末IPアドレス213が「192.168.10.1」である。
図2Cに示すサンドボックス管理テーブル127は、識別子であるID221と、クライアント端末101のIPアドレスである端末IPアドレス222と、対応するサンドボックス環境のIPアドレスであるサンドボックスIPアドレス223と、サンドボックス種別224と、サンドボックスの環境225から構成される。
サンドボックス管理テーブル127には、クローンサンドボックス環境131及び標準サンドボックス環境126の情報が格納される。1つのサンドボックス環境にID221の1つの識別子が割り当てられ、サンドボックスIPアドレス223の1つのIPアドレスが割り当てられる。このため、サンドボックス環境のそれぞれは、ID221あるいはサンドボックスIPアドレス223の情報により識別可能である。
格納される情報は、例えば、ID221が「001」では、端末IPアドレス222が「192.168.10.1」に対応するクローンサンドボックスのサンドボックスIPアドレス223が「10.10.10.1」であり、サンドボックス種別224としては「クローンサンドボックス」が該当し、環境225は端末IPアドレス222の「192.168.10.1」のクライアント端末101と「同一環境」である。
また、ID221が「003」では、サンドボックス種別224が「標準サンドボックス」のため、サンドボックスIPアドレス223の「10.10.20.1」に対応するクライアント端末101は存在しないため、端末IPアドレス222の情報は有していない。
そして、ID221が「003」では、環境225がOSとして「OS Ver 1.0」がインストールされていることを示す情報であるが、この環境225の情報は一例であり、OS以外の情報としてアプリケーションの情報などが含まれてもよい。
サンドボックス管理テーブル127には、クローンサンドボックス環境131の情報が予め格納されていなくてもよく、受信メールに応じて、クローン環境構築部124が構築した時点で格納されてもよい。または、端末IPアドレス222以外の情報が予め格納されており、クローン環境構築部124が構築した時点で、構築対象のクライアント端末101のIPアドレスが端末IPアドレス222に格納されてもよい。
サンドボックス管理テーブル127には、標準サンドボックス環境126の情報が予め格納されていてもよく、標準サンドボックス環境126が構築された時点で格納されてもよい。
図3Aは、サンドボックス環境選択の処理フローの例を示す図である。図3Aに示す処理フローは、メールサーバ兼判定用装置111が、クライアント端末101またはマルウェア検知システムの外のメールサーバから、クライアント端末101宛の添付ファイル付のメールを受信するところを開始とする。
ステップ301で、メールサーバ兼判定用装置111のメール受信部114は、まず添付ファイル付のメールを受信する。ステップ302で、メール受信部114は、受信したメールを添付ファイル解析部115に送付する。ステップ303で、添付ファイル解析部115は、受信メールの情報から添付ファイルの情報及び宛先メールアドレスを取得する。
ステップ304で、添付ファイル解析部115は、ステップ303で取得した添付ファイルの情報と一致する添付ファイルの形式202の情報を探索し、探索により見つかった添付ファイルの形式202の情報に対応するサンドボックス種別203の情報を解析判定用テーブル117から取得する。
また、ステップ304で、添付ファイル解析部115は、ステップ303で取得した宛先メールアドレスと一致するメールアドレス212の情報を端末管理テーブル118から探索し、探索により見つかったメールアドレス212の情報に対応する端末IPアドレス213の情報を端末管理テーブル118から取得する。
サンドボックス種別203の情報を取得することにより、添付ファイル解析部115は、ステップ303で取得した添付ファイルが環境に依存する添付ファイルであるかを判定したことになる。
ステップ305及びステップ306で、添付ファイル解析部115は、ステップ304の判定の結果すなわち解析判定用テーブル117から取得したサンドボックス種別203の情報に基づき、標準サンドボックス環境126(ステップ305)またはクローンサンドボックス環境131(ステップ306)を選択する。
なお、ステップ305、306の選択では、標準サンドボックス環境126またはクローンサンドボックス環境131を示す何らかの情報を設定してもよい。また、ステップ304、305、306において、添付ファイル解析部115は、判定と選択の代わりに、サンドボックス種別203などの情報を取得し、次に説明するステップ307で利用可能にするだけでもよい。
ステップ307で、添付ファイル解析部115は、サンドボックス管理装置121のサンドボックス管理部125に対し、ステップ305またはステップ306で選択したサンドボックス環境の情報と、端末IPアドレス213の情報と、ステップ301で受信したメールの添付ファイルを送信する。
以上の処理により、サンドボックス管理装置121は、メールサーバ兼判定用装置111から、解析対象となる添付ファイルを受け取る。この際、ステップ302〜306の実行により、環境に依存する添付ファイルなど、クローンを用いたサンドボックス環境を必要とする添付ファイルである場合は、クローンサンドボックス環境131を選択し、それ以外の場合は標準サンドボックス環境126を選択することが可能となる。
これによって、ユーザは所持する多くのクライアント端末101の中で、標準サンドボックス環境126を利用しつつ、より最適な環境での解析が必要の場合には、限られたリソースであるクローンサンドボックス環境131を利用することができる。
図3Bは、選択されたサンドボックス環境を用いる解析の処理フローの例を示す図である。図3Bに示す処理フローは、サンドボックス管理装置121が、メールサーバ兼判定用装置111から、選択されたサンドボックス環境の情報と、端末IPアドレス213の情報と、添付ファイルを受信するところを開始とする。
ステップ311で、サンドボックス管理部125は、選択されたサンドボックス環境の情報と、端末IPアドレス213の情報と、添付ファイルを受信する。
ステップ312で、サンドボックス管理部125は、選択されたサンドボックス環境の情報がクローンサンドボックス環境を示す場合、ステップ311で受信した端末IPアドレス213の情報と一致するIPアドレスをサンドボックス管理テーブル127の端末IPアドレス222で探索することにより、使用するサンドボックス環境がないかを判定する。
すなわち、端末IPアドレス222の探索により一致するIPアドレスが見つかった場合は、その見つかったIPアドレスに対応するサンドボックスIPアドレス223のIPアドレスが、使用対象のクローンサンドボックス環境131のものであるので、使用するサンドボックス環境があると判定され、探索により一致するIPアドレスが見つからなかった場合は、使用するサンドボックス環境がないと判定される。
また、ステップ312で、サンドボックス管理部125は、選択されたサンドボックス環境の情報が標準サンドボックス環境126を示す場合、標準サンドボックス環境は存在するため、使用するサンドボックス環境はあると判定する。
使用するサンドボックス環境がないと判定された場合、ステップ313で、サンドボックス管理部125はクローン環境構築部124へサンドボックス環境の構築を指示する。クローン環境構築部124は、ステップ311で受信された端末IPアドレス213の情報に基づいて、クライアント端末101から個別環境103のコピーを取得する。
そして、クローン環境構築部124は、取得したコピーを個別環境133として、プラットフォーム132と合わせてクローンサンドボックス環境131を構築し、構築したクローンサンドボックス環境131の情報をサンドボックス管理テーブル127へ登録する。
ステップ312の探索により見つかったクローンサンドボックス環境131、ステップ313で構築されたクローンサンドボックス環境131、あるいは標準サンドボックス環境126へ、サンドボックス管理部125は、ステップ314で添付ファイルを送付する。標準サンドボックス環境126が複数であり、標準サンドボックス環境126へ送付される場合、複数の標準サンドボックス環境126へ順次振り分けるように送付されてもよい。
添付ファイルが送付されたクローンサンドボックス環境131または標準サンドボックス環境126は添付ファイルを実行し、その実行による解析結果をサンドボックス管理部125に送付する。ここで、添付ファイルの実行と解析は、本実施形態の特徴ではないため、詳しい説明を省略する。
ステップ315で、サンドボックス管理部125は、メールサーバ兼判定用装置111のメール送信部116に解析結果を送信する。
ステップ316で、メール送信部116は、受信した解析結果に悪意のある挙動があるかを判定し、悪意のある挙動があると判定した場合、ステップ318でメールの送信を遮断し、悪意のある挙動がないと判定した場合、ステップ317で宛先のクライアント端末101にメールを送信する。
このために、添付ファイルを実行したサンドボックス環境そのもの、またはサンドボックス管理部125が、悪意のある挙動を検知して解析結果に検知の内容を含め、メール送信部116が解析結果に含まれた検知の内容をステップ316で判定してもよい。
または、サンドボックス環境そのものは添付ファイルの実行による挙動そのものの情報を解析結果とし、サンドボックス管理部125は解析結果を単に転送し、メール送信部116が解析結果に含まれる挙動の情報から悪意のある挙動を検知することにより、ステップ316で判定してもよい。
以上の処理により、サンドボックス管理装置121は、受信メールの宛先のクライアント端末101の個別環境103と同一の個別環境133を有するクローンサンドボックス環境131で、受信メールの添付ファイルを実行して解析できる。
これにより、添付ファイルに悪意のある挙動をするマルウェアが含まれている可能性のある場合、そのマルウェアを実環境と同一の環境で検知することが可能になる。そして、クライアント端末101へのマルウェアの脅威を防ぐことができる。
また、多数のクライアント端末101に対してサンドボックス管理装置121のリソースが十分に確保できない場合、クローンサンドボックス環境131までは必要のない添付ファイルを標準サンドボックス環境126で実行して解析することも可能となるので、リソース不足によるマルウェアの見逃しを抑えることができる。
サンドボックス管理装置121の不要なリソースの増加を抑えるため、またはクライアント端末101の個別環境103の変化に対応するため、クローンサンドボックス環境131は削除されてもよい。
例えば、図3Bに示したステップ315で、サンドボックス管理部125は、ステップ314の実行に使用されたクローンサンドボックス環境131を削除し、サンドボックス管理テーブル127内の削除されたクローンサンドボックス環境131に関する情報を削除してもよい。
このようなステップ315での削除は、特に、クライアント端末101の個別環境103の変更が頻繁である場合、その個別環境103とクローンサンドボックス環境131の個別環境133とを一致させる効果がある。
また、予め設定された時間、例えば1日毎(毎日の予め設定された時刻)で、サンドボックス管理部125は、クローンサンドボックス環境131とその情報を削除してもよい。または、構築されてから予め設定された時間の経過したクローンサンドボックス環境131とその情報を、サンドボックス管理部125は削除してもよい。
また、予め設定された時間に、添付ファイルの実行回数が予め設定された回数未満、またはクライアント端末101の個別環境103の変更回数が予め設定された回数を超えるクローンサンドボックス環境131とその情報を、サンドボックス管理部125は削除してもよい。
さらに、クライアント端末101の個別環境103が変更されると、その変更の通知を受けて、サンドボックス管理部125は、変更された個別環境103のコピーである個別環境133を有するクローンサンドボックス環境131とその情報を削除してもよい。
以上のようにクローンサンドボックス環境131を削除することにより、サンドボックス管理装置121のリソース消費量を減らし、新たなクローンサンドボックス環境131を構築できる余地を残すことが可能となる。
101:クライアント端末、103:個別環境、111:メールサーバ兼判定用装置、115:添付ファイル解析部、117:解析判定用テーブル、121:サンドボックス管理装置、124:クローン環境構築部、126:標準サンドボックス環境、131:クローンサンドボックス環境、133:個別環境

Claims (15)

  1. メールの添付ファイルを解析するマルウェア検知システムにおいて、
    クライアント端末を宛先とし、添付ファイルを含むメールを受信し、
    受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、
    選択の結果と添付ファイルを、サンドボックス環境での解析のために送信するメールサーバと、
    前記メールサーバから送信された選択の結果と添付ファイルを受信し、
    受信した選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、受信した添付ファイルを実行することにより解析するサンドボックス管理装置と、
    を備えたことを特徴とするマルウェア検知システム。
  2. 請求項1に記載のマルウェア検知システムにおいて、
    前記メールサーバは、
    受信メールに含まれる添付ファイルのファイル名の拡張子に基づいて、サンドボックス環境の種別を選択すること
    を特徴とするマルウェア検知システム。
  3. 請求項1に記載のマルウェア検知システムにおいて、
    前記メールサーバは、
    受信メールのヘッダの情報に基づいて、サンドボックス環境の種別を選択すること
    を特徴とするマルウェア検知システム。
  4. 請求項2に記載のマルウェア検知システムにおいて、
    前記メールサーバは、
    選択の結果と添付ファイルと、さらに受信メールの宛先の情報を、サンドボックス環境での解析のために、前記サンドボックス管理装置へ送信し、
    前記サンドボックス管理装置は、
    複数のクローンサンドボックス環境を有し、
    前記メールサーバから送信された選択の結果と添付ファイルと、さらに受信メールの宛先の情報を受信し、
    受信した選択の結果がクローンサンドボックス環境である場合、受信した受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つかったクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析すること
    を特徴とするマルウェア検知システム。
  5. 請求項4に記載のマルウェア検知システムにおいて、
    前記サンドボックス管理装置は、
    受信した選択の結果がクローンサンドボックス環境である場合、受信した受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つからないと、受信した受信メールの宛先の前記クライアント端末の環境を利用してクローンサンドボックス環境を構築し、構築したクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析すること
    を特徴とするマルウェア検知システム。
  6. 請求項5に記載のマルウェア検知システムにおいて、
    前記サンドボックス管理装置は、
    受信した受信メールの宛先の前記クライアント端末の環境をコピーし、コピーした環境を含むクローンサンドボックス環境を構築すること
    を特徴とするマルウェア検知システム。
  7. 請求項6に記載のマルウェア検知システムにおいて、
    前記サンドボックス管理装置は、
    複数の標準サンドボックス環境を有し、
    受信した選択の結果が標準サンドボックス環境である場合、複数の標準サンドボックスの中から順次選択した標準サンドボックス環境で、受信した添付ファイルを実行することにより解析すること
    を特徴とするマルウェア検知システム。
  8. 請求項7に記載のマルウェア検知システムにおいて、
    前記サンドボックス管理装置は、
    構築したクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析した後、構築したクローンサンドボックス環境を削除すること
    を特徴とするマルウェア検知システム。
  9. 請求項8に記載のマルウェア検知システムにおいて、
    前記サンドボックス管理装置は、
    構築したクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析した後、構築から予め設定された時間経過すると、構築したクローンサンドボックス環境を削除すること
    を特徴とするマルウェア検知システム。
  10. 請求項7に記載のマルウェア検知システムにおいて、
    前記サンドボックス管理装置は、
    解析の結果を前記メールサーバへ送信し、
    前記メールサーバは、
    前記サンドボックス管理装置から送信された解析の結果を受信し、受信した解析の結果にしたがって、受信メールを前記クライアント端末へ送信する、または前記クライアント端末への送信を遮断すること
    を特徴とするマルウェア検知システム。
  11. メールの添付ファイルを解析するメールシステムのマルウェア検知方法において、
    前記メールシステムは、
    クライアント端末を宛先とし、添付ファイルを含むメールを受信し、
    受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、
    選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、添付ファイルを実行することにより解析すること
    を特徴とするマルウェア検知方法。
  12. 請求項11に記載のマルウェア検知方法において、
    前記メールシステムは、
    受信メールに含まれる添付ファイルのファイル名の拡張子に基づいて、サンドボックス環境の種別を選択すること
    を特徴とするマルウェア検知方法。
  13. 請求項12に記載のマルウェア検知方法において、
    前記メールシステムは、
    選択の結果がクローンサンドボックス環境である場合、受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つかったクローンサンドボックス環境で、添付ファイルを実行することにより解析すること
    を特徴とするマルウェア検知方法。
  14. 請求項13に記載のマルウェア検知方法において、
    前記メールシステムは、
    選択の結果がクローンサンドボックス環境である場合、受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つからないと、受信メールの宛先の前記クライアント端末の環境をコピーし、コピーした環境を含むクローンサンドボックス環境を構築し、構築したクローンサンドボックス環境で、添付ファイルを実行することにより解析すること
    を特徴とするマルウェア検知方法。
  15. 請求項14に記載のマルウェア検知方法において、
    前記メールシステムは、
    解析の結果にしたがって、受信メールを前記クライアント端末へ送信する、または前記クライアント端末への送信を遮断すること
    を特徴とするマルウェア検知方法。
JP2018006388A 2018-01-18 2018-01-18 マルウェア検知システムおよびマルウェア検知方法 Pending JP2019125243A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018006388A JP2019125243A (ja) 2018-01-18 2018-01-18 マルウェア検知システムおよびマルウェア検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018006388A JP2019125243A (ja) 2018-01-18 2018-01-18 マルウェア検知システムおよびマルウェア検知方法

Publications (1)

Publication Number Publication Date
JP2019125243A true JP2019125243A (ja) 2019-07-25

Family

ID=67399125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018006388A Pending JP2019125243A (ja) 2018-01-18 2018-01-18 マルウェア検知システムおよびマルウェア検知方法

Country Status (1)

Country Link
JP (1) JP2019125243A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021002257A1 (ja) 2019-07-04 2021-01-07 株式会社カネカ ウイルスまたはウイルス様粒子の精製方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021002257A1 (ja) 2019-07-04 2021-01-07 株式会社カネカ ウイルスまたはウイルス様粒子の精製方法

Similar Documents

Publication Publication Date Title
US10326792B2 (en) Virus intrusion route identification device, virus intrusion route identification method, and program
US8255926B2 (en) Virus notification based on social groups
US9367685B2 (en) Dynamically optimizing performance of a security appliance
TW201642135A (zh) 文件檢測方法、裝置及系統
US20220027470A1 (en) Context-based analysis of applications
JP6196740B2 (ja) ダウンロードに利用可能なアプリケーションについてユーザに知らせるためのシステム及び方法
US20180007077A1 (en) Scalable computer vulnerability testing
JP2014179025A (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
JPWO2014188780A1 (ja) 情報処理装置及び特定方法
US8086627B2 (en) Software inventorying system for a shared file system
US10200374B1 (en) Techniques for detecting malicious files
JP2019125243A (ja) マルウェア検知システムおよびマルウェア検知方法
WO2023124041A1 (zh) 一种勒索病毒检测方法以及相关***
JP2017204173A (ja) データ保護プログラム、データ保護方法及びデータ保護装置
KR101512462B1 (ko) 배양기반 악성코드 분석시스템의 악성코드 업데이트 여부분석 방법
JP6205013B1 (ja) アプリケーション利用システム
JP5667957B2 (ja) マルウェア検知装置およびプログラム
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
US20140366084A1 (en) Management system, management method, and non-transitory storage medium
JP2017129893A (ja) マルウェア検知方法及びシステム
US8015207B2 (en) Method and apparatus for unstructured data mining and distributed processing
JP2016218984A (ja) ログ判定装置、ログ判定方法、およびログ判定プログラム
JP6949672B2 (ja) コンピュータ装置
JP6687844B2 (ja) マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム
JP2016042312A (ja) セキュリティ管理システム及び方法