JP3836472B2 - 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法 - Google Patents

通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法 Download PDF

Info

Publication number
JP3836472B2
JP3836472B2 JP2004100475A JP2004100475A JP3836472B2 JP 3836472 B2 JP3836472 B2 JP 3836472B2 JP 2004100475 A JP2004100475 A JP 2004100475A JP 2004100475 A JP2004100475 A JP 2004100475A JP 3836472 B2 JP3836472 B2 JP 3836472B2
Authority
JP
Japan
Prior art keywords
address
mac address
infected computer
computer
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004100475A
Other languages
English (en)
Other versions
JP2005286877A (ja
Inventor
和正 大神
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Solutions Corp filed Critical Toshiba Solutions Corp
Priority to JP2004100475A priority Critical patent/JP3836472B2/ja
Publication of JP2005286877A publication Critical patent/JP2005286877A/ja
Application granted granted Critical
Publication of JP3836472B2 publication Critical patent/JP3836472B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、コンピュータワームによる攻撃を受けた感染コンピュータから他のコンピュータへの攻撃を防ぐ通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法に関する。
近年のコンピュータネットワークの発達に伴い、コンピュータワーム、ウィルス、ハッキングなどの不正アクセスも増加し、コンピュータネットワークを介して機密情報が流出したりサービス不能攻撃を受けたりする場合がある。コンピュータワームは、例えばNimda、Code Red等が挙げられ、コンピュータにインストールされるオペレーションシステムやソフトウェアのセキュリティホールと呼ばれるバグを狙ってコンピュータを攻撃する。感染速度が早く危険度も高いコンピュータワームが度々発生され、莫大な損害を与える場合もある。
しかし、ネットワークの利便性を享受しながら安全性も確保するためには、適切なセキュリティ対策が不可欠である。特に企業や団体などの組織においては、この様に不正アクセスに対して、ファイアウォールを設けたりウィルス対策ソフトウェアをインストールすることにより不正アクセスを防御する対策が求められている。
しかし、TCP/IPを採用したコンピュータネットワークにおいてファイアウォールは、送信元のIPアドレスやポート番号によって通信を許可するか否かを判定しているので、ファイアウォールのみによるセキュリティ対策は安全性の確保が困難になっている。これを踏まえ、ファイアウォールを通過してきた通信を監視し、不正アクセスの侵入を検知するIDS(Intrusion Detection System)や更に保護対象となるサーバを侵入から保護するIDP(Intrusion Detection and Prevention)などへの期待が高まっている。
また、DDoSなどの不正アクセスに対応するために、DDoS攻撃を検出した場合に、防御側ネットワークの管理者の指示により攻撃遮断機に通信制御の指示を出す不正アクセス防御システムがある(例えば特許文献1)。この特許文献1に記載の不正アクセス防御システムでは、DDoS攻撃のプログラムを仕組まれた踏み台ホストは、通信制御の指示を受け取ると通信を制御する。
一方、MACアドレスの問合要求を受けると、ARPサーバとなって問合要求を受けたMACアドレスを返信することによって、LAN内のトラフィックの軽減、セキュリティ対策を図ることのできるネットワークブリッジ装置がある(特許文献2)。この特許文献2に記載のネットワークブリッジ装置は、MACアドレスとIPアドレスとを予め対応付けて登録したアドレステーブルを備えており、このアドレステーブルを参照して、MACアドレスを返信する。
特開2002−158660号公報 特開2003−319955号公報
しかし、IDPは保護対象となるサーバを保護するものであるので、社内イントラネットなどの通信ネットワークに存在する全ての情報機器をIDPによって保護することは不可能である。
例えば、コンピュータは、ウィルス対策ソフトウェアについて常に最新のウィルスパターンファイルを取得し、セキュリティホールを修正する修正ファイルを適用することにより、不正アクセスから防御できる場合も多い。しかし、組織の通信ネットワーク上に存在する全てのコンピュータを防御するためには、多大なコストと労力とを引換に厳密に管理されなければならない。従ってウィルスパターンファイルの管理や修正ファイルの管理によって全てのコンピュータを不正アクセスから防御することは事実上不可能で、管理されないコンピュータの脆弱性が高くなってしまう。
従って、通信ネットワークに不正アクセスが侵入しコンピュータに感染してしまうと、脆弱性の高いコンピュータが狙われ更に被害が拡大してしまう問題がある。
また、上述した特許文献1に記載のシステムにおいては、DDoS攻撃などの時間を要して被害を与える不正アクセスに対しては有効なシステムである。しかし、Nimda、Code Red等などのコンピュータワームは、自己増殖を繰り返しながら破壊活動を行うので、ひとたび感染すれば瞬時にその被害が広まってしまう問題がある。
また、上述した特許文献2に記載の装置においては、定期的にMACアドレスを問い合わせ、応答されたMACアドレスを抽出してアドレステーブルに登録されたものと一致しない場合、警告メールを送信することにより、セキュリティ対策を採っていると思料される。この特許文献2に記載の装置は、コンピュータのMACアドレスが変更された場合に有効なセキュリティ対策であって、コンピュータのワームに対するセキュリティ対策ではない。
従って本発明の目的は、コンピュータワームによる攻撃を受けた感染コンピュータから他のコンピュータへの攻撃を防ぐ通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法を提供することである。
上記課題を解決するために、本発明の第1の特徴に係る通信妨害サーバは、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段と、感染コンピュータのIPアドレスと、感染コンピュータの真のMACアドレスと、感染コンピュータに割り当てたダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶する手段とを備える。これにより、本発明の第1の特徴に係る通信妨害サーバは、感染コンピュータと感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない。
ここで、ダミーMACアドレスは、ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは通信妨害サーバのMACアドレスであることが好ましい。これにより、感染コンピュータから送信される攻撃パケットを他の情報機器に送信させることができなくなる。
更に、所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信する手段と、記憶装置からダミーMACアドレス対応テーブルを読み出して、所定のIPアドレスが、感染コンピュータIPアドレスである場合、感染コンピュータIPアドレスとダミーMACアドレスとを関連づけるリクエストに対するリプライを生成して送信する手段とを更に備えることが好ましい。これによれば、複数のコンピュータが感染された場合にでも対応することができる。
本発明の第2の特徴に係る通信妨害サーバは、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶するステップと、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、感染コンピュータのIPアドレスと、感染コンピュータの真のMACアドレスと、感染コンピュータに割り当てたダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶するステップとをコンピュータに実行させることにより、感染コンピュータと感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない。
更に、ダミーMACアドレスは、ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは通信妨害サーバのMACアドレスであることが好ましい。
更に、所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信するステップと、記憶装置からダミーMACアドレス対応テーブルを読み出して、所定のIPアドレスが、感染コンピュータIPアドレスである場合、感染コンピュータIPアドレスとダミーMACアドレスとを関連づけるリクエストに対するリプライを生成して送信するステップとを更にコンピュータに実行させることが好ましい。
本発明の第3の特徴に係る通信妨害方法は、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶するステップと、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、感染コンピュータのIPアドレスと、感染コンピュータの真のMACアドレスと、感染コンピュータに割り当てたダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶するステップとを備え、感染コンピュータと感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない。
本発明の第4の特徴に係る情報通信システムは、ネットワークセグメントの識別子と、ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリストを記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを取得し、感染コンピュータのIPアドレスに基づいて感染コンピュータが設置されたネットワークセグメントを判定し、感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出し、抽出された通信妨害サーバに対して感染コンピュータのIPアドレスを送信する手段を備えるコントローラサーバと、コントローラサーバから感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段と、感染コンピュータのIPアドレスと、感染コンピュータの真のMACアドレスと、感染コンピュータに割り当てたダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶する手段とを備える通信妨害サーバと、感染コンピュータと同一のネットワークセグメントに設置され、通信妨害サーバから送信されたダミーMACアドレス設定命令を受信すると、同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、感染コンピュータIPアドレスに対応するMACアドレスを、ダミーMACアドレスに書き換える手段を備える情報機器とを備える。
本発明の第5の特徴に係る情報通信方法は、コントローラサーバが、ネットワークセグメントの識別子と、ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリストを記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを取得するステップと、コントローラサーバが、感染コンピュータのIPアドレスに基づいて感染コンピュータが設置されたネットワークセグメントを判定し、感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出するステップと、コントローラサーバが、抽出された通信妨害サーバに対して感染コンピュータのIPアドレスを送信するステップと、通信妨害サーバが、コントローラサーバから感染コンピュータのIPアドレスを受信するステップと、通信妨害サーバが、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成するステップと、通信妨害サーバが、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、通信妨害サーバが、感染コンピュータのIPアドレスと、感染コンピュータの真のMACアドレスと、感染コンピュータに割り当てたダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶するステップと、情報機器が、通信妨害サーバから送信されたダミーMACアドレス設定命令を受信するステップと、情報機器が、同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、感染コンピュータIPアドレスに対応するMACアドレスを、ダミーMACアドレスに書き換えるステップとを備える。
本発明によれば、コンピュータワームによる攻撃を受けた感染コンピュータから他のコンピュータへの攻撃を防ぐ通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法を提供することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。
(最良の実施の形態)
図1に示すように、本発明の最良の実施の形態に係る情報通信システムは、例えば、第1のネットワークセグメント10aと、第2のネットワークセグメント10bを備えており、第1のネットワークセグメント10aには通信妨害サーバ1bが、第2のネットワークセグメント10bには通信妨害サーバ1aがそれぞれ接続されている。第1のネットワークセグメント10a及び第2のネットワークセグメント10bは、ルータ5を介して相互に接続されている。第1のネットワークセグメント10a及び第2のネットワークセグメント10bにおいては、それぞれTCP−IPに基づいて通信される。
第1のネットワークセグメント10aには、第1のネットワークセグメント10aへの不正アクセスの侵入を検知するIDS装置7及びIDP装置8、コントローラサーバ6、妨害サーバ1bが接続されている。更に、IDP装置8には、IDP装置8によって保護されるウェブサーバ9が接続されている。第2のネットワークセグメント10bには、侵入したコンピュータワームによって感染された感染コンピュータ2、セキュリティパッチやウィルスパターンファイルの管理が弱い脆弱コンピュータ3、コンピュータ4、通信妨害サーバ1aが接続されている。
ここで、第1の通信妨害サーバ1aにはIPアドレス「M」が、第2の通信妨害サーバ1bにはIPアドレス「N」が、感染コンピュータ2にはIPアドレス「A」がそれぞれ割り当てられているとする。また、感染コンピュータ2のMACアドレスは、「MAC_A」であるとする。第1のネットワークセグメント10aと第2のネットワークセグメント10bとの境界に設置されたルータ5は、図2に示すようなARPテーブル51aを備えているとする。ARPテーブル51aでは、感染コンピュータ2のIPアドレス「A」にMACアドレス「MAC_A」が関連づけられている。その他の情報機器も図2に示すようなARPテーブルを備えている。
コントローラサーバ6は、IDS装置7及びIDP装置8によって検出された不正アクセスの情報を取得し、通信妨害サーバ1a及び1bに通信を妨害する命令を出すサーバである。
コントローラサーバ6は、ネットワークセグメントの識別子と、ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリスト61を備えており、通信妨害サーバリスト61は、コントローラサーバ6によって読み出し可能な内蔵又は外付けの記憶装置に記憶されている。通信妨害サーバリスト61は、図3に示すように、「第1のネットワークセグメント」に通信妨害サーバ1bのIPアドレス「N」が関連づけられている。
コントローラサーバ6は、通信妨害サーバリスト61を記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータ2のIPアドレス(A)を取得し、感染コンピュータのIPアドレス(A)に基づいて感染コンピュータが設置されたネットワークセグメントを判定する。ここでは、コントローラサーバ6は、感染コンピュータ2が第2のネットワークセグメント10bに設置されていると判定する。更に、コントローラサーバ6は、感染コンピュータ2が設置された第2のネットワークセグメント10bに設置された通信妨害サーバ1bの識別子を抽出し、抽出された通信妨害サーバ1bに対して感染コンピュータ2のIPアドレス(A)を送信する。
通信妨害サーバ1aは、コントローラサーバ6から感染コンピュータ2のIPアドレス(A)を受信し、感染コンピュータIPアドレス11として記憶装置107に記憶する。通信妨害サーバ1aは、記憶装置107から感染コンピュータIPアドレス11を読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、感染コンピュータ2と同一のネットワークセグメント10bに存在する感染コンピュータ2、脆弱コンピュータ3、ルータ5などの情報機器にダミーMACアドレス設定命令を送信する。
感染コンピュータ2、脆弱コンピュータ3、ルータ5などの情報機器は、通信妨害サーバ1aから送信されたダミーMACアドレス設定命令を受信すると、同一のネットワークセグメント10bに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、感染コンピュータIPアドレスに対応するMACアドレスを、ダミーMACアドレスに書き換える。
ここで、図4を参照して、本発明の最良の実施の形態に係る情報通信システムの処理の流れを説明する。
IDS装置7やIDP装置8によってコンピュータワームの侵入が検出されると、まず、ステップS101において、コントローラサーバ6は、コンピュータワームに感染された感染コンピュータ2のIPアドレス(A)を取得する。更に、ステップS102において、感染コンピュータ2が属しているネットワークセグメントを特定し、通信妨害サーバリスト61からそのネットワークセグメントに設置された通信妨害サーバ1aを検索する。更に、コントローラサーバ6は、ステップS103において、ステップS102で検索された通信妨害サーバ1aに感染コンピュータ2のIPアドレス(A)を送信し、感染コンピュータ2の通信を妨害する命令を送信する。
妨害命令を受信すると通信妨害サーバ1aは、ステップS104a及びステップS104bにおいて、同じネットワークセグメント10bに設置された情報機器、即ち脆弱コンピュータ3、ルータ5などに妨害命令をブロードキャスト送信する。具体的には、感染コンピュータ2のIPアドレス(A)に対応するMACアドレスをダミーMACアドレスである「MAC_X」に変更するようにGratuitous ARPを送信する。
妨害命令を受信すると、脆弱コンピュータ3及びルータ5などは、ステップS105a及びステップS105bにおいて、予め記憶されたARPテーブルに対して、感染コンピュータ2のIPアドレス(A)に対応するMACアドレスをダミーMACアドレスである「MAC_X」に変更する。例えば、ルータ5は、図5のARPテーブル51bの様に、感染コンピュータ2のIPアドレス「A」に対応するMACアドレスを「MAC_A」に変更する。
一方、感染コンピュータ2は、新たな感染先となる脆弱コンピュータ3に攻撃パケットを送信しようとする。
詳細には、感染コンピュータ2は、ステップS106において、脆弱コンピュータ3に攻撃パケットを送信するために、SYN(接続要求)パケットを送信し、感染コンピュータ2と脆弱コンピュータ3との間の通信コネクションを確立しようとする。
これに対し、脆弱コンピュータ3は、ステップS107において、SYNパケットに対する返答であるSYN_ACK(接続要求確認)パケットを感染コンピュータ2に送信しようとする。このとき、脆弱コンピュータ3は、脆弱コンピュータ3に備えられたARPテーブルを読み出し、感染コンピュータ2のMACアドレスが「MAC_X」に対してSYN_ACKパケットを送信する。しかし、MACアドレス「MAC_X」は、第2のネットワークセグメント10b上に存在しないため、SYN_ACKパケットは感染コンピュータ2に到達しない。
従って、感染コンピュータ2は、脆弱コンピュータ3にACK(確認応答)パケットを送信することができないので、感染コンピュータ2と脆弱コンピュータ3との間で通信コネクションが確立されない。これにより、感染コンピュータ2は脆弱コンピュータ3に攻撃パケットを送信することができないので、脆弱コンピュータ3が感染コンピュータ2からコンピュータワームに感染することはない。感染コンピュータ2は、脆弱コンピュータ3以外の情報機器とも通信コネクションを確立できないので、感染コンピュータ2による二次感染を防ぐことができる。
また、通信妨害サーバ1aは、ネットワークセグメント10b上で送信されたARPリクエストに対してその返答を行う。
図6に示すように、ネットワークセグメント10b上に存在するコンピュータ4は、ステップS201a乃至ステップS201dにおいて、ネットワークセグメント10b上に存在する全ての情報機器に感染コンピュータ2のIPアドレス「A」に対応するMACアドレスを問い合わせるARPリクエストを送信する。そのとき通信妨害サーバ1aは、感染コンピュータ2のIPアドレス「A」に対応するMACアドレスをダミーMACアドレス「MAC_X」であるARPリプライをコンピュータ4に送信する。
これにより、コンピュータ4と感染コンピュータ2との間で通信コネクションを確立させなくすることができる。
ここで、本発明の最良の実施の形態に係る通信妨害サーバ1aについて詳述する。
図7に示すように本発明の最良の実施の形態に係る通信妨害サーバ1aは、感染コンピュータIPアドレス11、ダミーMACアドレス対応テーブル12、対象IPアドレス13、感染コンピュータアドレス通知受信手段31、ダミーMACアドレス設定命令送信手段32、ARPリクエスト受信手段33及びARPリプライ送信手段34を備えている。
図8に示すように、本発明の最良の実施の形態に係る通信妨害サーバ1aは、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から通信妨害サーバ1aを起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、通信妨害サーバ1aをインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
本発明の第1の実施の形態に係る通信妨害サーバ1aの記憶装置107には、通信妨害プログラムが記憶されるとともに、感染コンピュータIPアドレス11、ダミーMACアドレス対応テーブル12、対象IPアドレス13が記憶される。また、通信妨害プログラムが通信妨害サーバ1aの中央処理制御装置101に読み込まれ実行されることによって、感染コンピュータアドレス通知受信手段31、ダミーMACアドレス設定命令送信手段32、ARPリクエスト受信手段33及びARPリプライ送信手段34が通信妨害サーバ1aに実装される。
感染コンピュータアドレス通知受信手段31は、コンピュータワームによる攻撃を受けた感染コンピュータ2のIPアドレス(A)を受信し、感染コンピュータIPアドレス11として記憶装置107に記憶する。
ダミーMACアドレス設定命令送信手段32は、記憶装置107から感染コンピュータIPアドレス11を読み出して、感染コンピュータ2のMACアドレスをダミーMACアドレス「MAC_X」に設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する。ここで、「ダミーMACアドレス」は、ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言である。具体的には、ダミーMACアドレス設定命令送信手段32は、感染コンピュータ2のMACアドレスをダミーMACアドレス「MAC_X」に設定するGratuitous ARP21を生成して、ネットワークセグメント10bに存在する情報機器にブロードキャスト送信する。
このとき、ダミーMACアドレス設定命令送信手段32は、感染コンピュータ2のIPアドレスと、感染コンピュータ2に割り当てたMACアドレスとを対応付けたダミーMACアドレス対応テーブル12を備えても良い。
具体的にダミーMACアドレス対応テーブル12は、図9に示すように感染コンピュータ2のIPアドレス「A」と、感染コンピュータ2の真のMACアドレス「MAC_A」と、感染コンピュータ2に割り当てた「MAC_X」とが関連づけられて記憶装置107に記憶されている。このとき、Gratuitous ARP21を送信した時刻も関連づけられるのが好ましい。
ARPリクエスト受信手段33は、所定のIPアドレスに基づいてMACアドレスを問い合わせるARPリクエスト22を受信する。ARPリクエスト受信手段33は、ARPリクエスト22から対象となる対象IPアドレス13を抽出し、記憶装置107に記憶する。
ARPリプライ送信手段34は、記憶装置107から対象IPアドレス13を読み出すとともに、所定のIPアドレス13が、感染コンピュータIPアドレスである場合、感染コンピュータIPアドレスとダミーMACアドレスとを関連づけるリクエストに対するARPリプライ23を生成して送信する。
このとき、記憶装置107からダミーMACアドレス対応テーブル12を読み出して、対象IPアドレス13がダミーMACアドレス対応テーブル12に登録されているか否かを判定する。登録されている場合、ARPリプライ送信手段34は、対象IPアドレス13に対応付けられたダミーMACアドレスを返信する。一方、登録されていない場合、ARPリプライ送信手段34は、自身が備えるARPテーブル(図示せず)に記憶された情報に基づいて、ARPリプライ23を生成して送信する。
これにより、本発明の最良の実施の形態に係る通信妨害サーバ1aは、感染コンピュータ2と感染コンピュータ2と同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させなくすることができる。従って、本発明の最良の実施の形態に係る通信妨害サーバ1aは、感染コンピュータ2からの二次被害を防止することができる。
また、本発明の最良の実施の形態における通信妨害サーバ1aは、感染コンピュータ2のIPアドレスにダミーMACアドレスを対応付けさせることにより通信コネクションを確立させない。この様に、本発明の最良の実施の形態における通信妨害サーバ1aは、MACアドレスによって通信されるネットワークセグメント、即ちルータを超えないネットワークセグメント内において有効である。従って、ルータで区切られたネットワークセグメント毎に妨害サーバを設けるのが好ましい。
(最良の実施の形態の変形例)
本発明の最良の実施の形態の変形例に係る通信妨害サーバ1aは、ダミーMACアドレスとして、通信妨害サーバ1a自身のMACアドレスを設定したGratuitous ARP21を送信する。
本発明の最良の実施の形態の変形例に係る通信妨害サーバ1aによれば、感染コンピュータ2は通信妨害サーバ1aと通信コネクションを確立し、通信妨害サーバ1aに攻撃パケットを送信する。通信妨害サーバ1a自身によって攻撃パケットが受信されるので、他の情報機器への攻撃パケットの送信を防止することができる。また、通信妨害サーバ1aが攻撃パケットを受信することにより、攻撃パケットを受信した頻度や攻撃パケットの内容に基づいて、通信妨害サーバ1aが対応しても良い。
(その他の実施の形態)
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
例えば、本発明の最良の実施の形態においては、コントローラサーバ、IDS装置7、IDP装置8、通信妨害サーバ1a、1bなどの情報機器は、それぞれ異なるハードウェア上に実現される様に記載したが、一つのハードウェア上に任意の複数の情報機器の機能を備えさせても良い。
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
本発明の最良の実施の形態に係る情報通信システムのシステム構成図である。 本発明の最良の実施の形態に係る情報機器が備えるARPテーブルの一例であって、感染コンピュータが検知される前のARPテーブルの一例である。 本発明の最良の実施の形態に係るコントローラサーバが備える通信妨害サーバリストのデータ構造とデータの一例である。 本発明の最良の実施の形態に係る情報通信システムの処理を示すシーケンス図である。 本発明の最良の実施の形態に係る情報機器が備えるARPテーブルの一例であって、感染コンピュータが検知された後のARPテーブルの一例である。 本発明の最良の実施の形態に係る情報通信システムにおいて、所定のコンピュータからARPリクエストが送信された場合の処理を示すシーケンス図である。 本発明の最良の実施の形態に係る通信妨害サーバの機能ブロック図である。 本発明の最良の実施の形態に係る通信妨害サーバのハードウェア構成図である。 本発明の最良の実施の形態に係る通信妨害サーバが備えるダミーMACアドレス対応テーブルのデータ構造とデータの一例である
符号の説明
1a,1b…通信妨害サーバ
2…感染コンピュータ
3…脆弱コンピュータ
4…コンピュータ
5…ルータ
6…コントローラサーバ
7…IDS装置
8…IDP装置
9…ウェブサーバ
10a、10b…ネットワークセグメント
11…感染コンピュータIPアドレス
12…アドレス対応テーブル
13…対象IPアドレス
21…Gratuitous ARP
22…ARPリクエスト
23…ARPリプライ
31…感染コンピュータアドレス通知受信手段
32…アドレス設定命令送信手段
33…ARPリクエスト受信手段
34…ARPリプライ送信手段
51a、51n…ARPテーブル
61…通信妨害サーバリスト
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス

Claims (9)

  1. コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、
    前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段と
    前記感染コンピュータのIPアドレスと、前記感染コンピュータの真のMACアドレスと、前記感染コンピュータに割り当てた前記ダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶する手段とを備え、
    前記感染コンピュータと前記感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない
    ことを特徴とする通信妨害サーバ。
  2. 前記ダミーMACアドレスは、前記ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは前記通信妨害サーバのMACアドレスであることを特徴とする請求項1に記載の通信妨害サーバ。
  3. 所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信する手段と、
    前記記憶装置から前記ダミーMACアドレス対応テーブルを読み出して、前記所定のIPアドレスが、前記感染コンピュータIPアドレスである場合、前記感染コンピュータIPアドレスと前記ダミーMACアドレスとを関連づける前記リクエストに対するリプライを生成して送信する手段
    とを更に備えることを特徴とする請求項1又は2に記載の通信妨害サーバ。
  4. コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶するステップと、
    前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、
    前記感染コンピュータのIPアドレスと、前記感染コンピュータの真のMACアドレスと、前記感染コンピュータに割り当てた前記ダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶するステップ
    とをコンピュータに実行させることにより、前記感染コンピュータと前記感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない
    ことを特徴とする通信妨害プログラム。
  5. 前記ダミーMACアドレスは、前記ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは前記通信妨害サーバのMACアドレスであることを特徴とする請求項4に記載の通信妨害プログラム。
  6. 所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信するステップと、
    前記記憶装置から前記ダミーMACアドレス対応テーブルを読み出して、前記所定のIPアドレスが、前記感染コンピュータIPアドレスである場合、前記感染コンピュータIPアドレスと前記ダミーMACアドレスとを関連づける前記リクエストに対するリプライを生成して送信するステップ
    とを更にコンピュータに実行させることを特徴とする請求項4又は5に記載の通信妨害プログラム。
  7. コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶するステップと、
    前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと
    前記感染コンピュータのIPアドレスと、前記感染コンピュータの真のMACアドレスと、前記感染コンピュータに割り当てた前記ダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶するステップとを備え、
    前記感染コンピュータと前記感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない
    ことを特徴とする通信妨害方法。
  8. ネットワークセグメントの識別子と、前記ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリストを記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを取得し、前記感染コンピュータのIPアドレスに基づいて前記感染コンピュータが設置されたネットワークセグメントを判定し、前記感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出し、抽出された前記通信妨害サーバに対して前記感染コンピュータのIPアドレスを送信する手段を備えるコントローラサーバと、
    前記コントローラサーバから前記感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段と、前記感染コンピュータのIPアドレスと、前記感染コンピュータの真のMACアドレスと、前記感染コンピュータに割り当てた前記ダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶する手段とを備える通信妨害サーバと、
    前記感染コンピュータと同一のネットワークセグメントに設置され、前記通信妨害サーバから送信された前記ダミーMACアドレス設定命令を受信すると、前記同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、前記感染コンピュータIPアドレスに対応するMACアドレスを、前記ダミーMACアドレスに書き換える手段を備える情報機器
    とを備えることを特徴とする情報通信システム。
  9. コントローラサーバが、ネットワークセグメントの識別子と、前記ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリストを記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを取得するステップと、
    前記コントローラサーバが、前記感染コンピュータのIPアドレスに基づいて前記感染コンピュータが設置されたネットワークセグメントを判定し、前記感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出するステップと、
    前記コントローラサーバが、抽出された前記通信妨害サーバに対して前記感染コンピュータのIPアドレスを送信するステップと、
    前記通信妨害サーバが、前記コントローラサーバから前記感染コンピュータのIPアドレスを受信するステップと、
    前記通信妨害サーバが、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成するステップと、
    前記通信妨害サーバが、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、
    前記通信妨害サーバが、前記感染コンピュータのIPアドレスと、前記感染コンピュータの真のMACアドレスと、前記感染コンピュータに割り当てた前記ダミーMACアドレスとを対応付けたダミーMACアドレス対応テーブルを記憶装置に記憶するステップと、
    前記情報機器が、前記通信妨害サーバから送信された前記ダミーMACアドレス設定命令を受信するステップと、
    前記情報機器が、前記同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、前記感染コンピュータIPアドレスに対応するMACアドレスを、前記ダミーMACアドレスに書き換えるステップ
    とを備えることを特徴とする情報通信方法。
JP2004100475A 2004-03-30 2004-03-30 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法 Expired - Fee Related JP3836472B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004100475A JP3836472B2 (ja) 2004-03-30 2004-03-30 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004100475A JP3836472B2 (ja) 2004-03-30 2004-03-30 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法

Publications (2)

Publication Number Publication Date
JP2005286877A JP2005286877A (ja) 2005-10-13
JP3836472B2 true JP3836472B2 (ja) 2006-10-25

Family

ID=35184770

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004100475A Expired - Fee Related JP3836472B2 (ja) 2004-03-30 2004-03-30 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法

Country Status (1)

Country Link
JP (1) JP3836472B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070266239A1 (en) * 2006-03-08 2007-11-15 David Vismans Method for providing a cryptographically signed command
JP2017005519A (ja) * 2015-06-11 2017-01-05 三菱電機株式会社 通信機器及び通信方法

Also Published As

Publication number Publication date
JP2005286877A (ja) 2005-10-13

Similar Documents

Publication Publication Date Title
US7653941B2 (en) System and method for detecting an infective element in a network environment
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
US8191141B2 (en) Method and system for cloaked observation and remediation of software attacks
US8769687B2 (en) Network security architecture
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
JP2020515962A (ja) Apt攻撃に対する防御
US7474655B2 (en) Restricting communication service
US20060282893A1 (en) Network information security zone joint defense system
US11303673B1 (en) System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network
US20100071065A1 (en) Infiltration of malware communications
US20060256730A1 (en) Intelligent quarantine device
US11171985B1 (en) System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints
US11303669B1 (en) System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection
JP2006262019A (ja) ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
KR20130124692A (ko) 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
JP2017204721A (ja) セキュリティシステム
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
JP3836472B2 (ja) 通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法
JP2006100996A (ja) ネットワーク統合監視装置、ネットワーク統合監視方法及びネットワーク統合監視システム
JP2011030223A (ja) フロー別の動的接近制御システム及び方法
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
JP2005157421A (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
JP2005293246A (ja) サーバ計算機保護装置及びサーバ計算機保護プログラム
JP2011186728A (ja) ユーザ端末保護方法、およびシステム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060418

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060718

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060726

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100804

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100804

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110804

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees