JP5698494B2 - Mobile terminal and program - Google Patents

Mobile terminal and program Download PDF

Info

Publication number
JP5698494B2
JP5698494B2 JP2010231537A JP2010231537A JP5698494B2 JP 5698494 B2 JP5698494 B2 JP 5698494B2 JP 2010231537 A JP2010231537 A JP 2010231537A JP 2010231537 A JP2010231537 A JP 2010231537A JP 5698494 B2 JP5698494 B2 JP 5698494B2
Authority
JP
Japan
Prior art keywords
information
log
pattern
identification information
mobile terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010231537A
Other languages
Japanese (ja)
Other versions
JP2012084054A (en
Inventor
竹森 敬祐
敬祐 竹森
隆将 磯原
隆将 磯原
三宅 優
優 三宅
智秋 高野
智秋 高野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2010231537A priority Critical patent/JP5698494B2/en
Publication of JP2012084054A publication Critical patent/JP2012084054A/en
Application granted granted Critical
Publication of JP5698494B2 publication Critical patent/JP5698494B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Telephone Function (AREA)

Description

本発明は、携帯電話端末やスマートフォン等の携帯端末に関する。また、本発明は、本携帯端末としてコンピュータを機能させるためのプログラムにも関する。   The present invention relates to a mobile terminal such as a mobile phone terminal or a smartphone. The present invention also relates to a program for causing a computer to function as the portable terminal.

昨今、PCに近い高機能を実現したスマートフォンの普及が進んでいる。また、スマートフォンに実装されるOS(オペレーティングシステム)として、例えばオープンプラットフォームと呼ばれる汎用的なOSであるAndroid(登録商標)が採用されている。このようなOS上で動作する多数のアプリケーションがインターネット上で公開されており、スマートフォンのユーザは必要なアプリケーションを選択してスマートフォンにインストールすることが可能である。   In recent years, smartphones that realize high functionality close to PCs are becoming popular. As an OS (operating system) installed in a smartphone, for example, Android (registered trademark), which is a general-purpose OS called an open platform, is adopted. Many applications operating on such an OS are published on the Internet, and a smartphone user can select a necessary application and install it on the smartphone.

しかし、スマートフォンの普及に伴って、端末の内部で管理される電話番号等の重要な情報を勝手に外部のホストへ送信するスパイウェアが問題になっている。OSとしてAndroid(登録商標)を使用する端末では、アプリケーションに対して、READ_PHONE_STATEと呼ばれるパーミッション(権限)を与えることで、重要な情報を簡単に読み出すことができてしまう。したがって、重要な情報の漏洩を検知することの重要性が高まっている。   However, with the spread of smartphones, spyware that sends important information such as telephone numbers managed inside the terminal to an external host without permission has become a problem. In a terminal using Android (registered trademark) as an OS, important information can be easily read by giving a permission (authority) called READ_PHONE_STATE to an application. Therefore, the importance of detecting leakage of important information is increasing.

なお、特許文献1には、個人情報の一部をダミー情報として保持し、ダミー情報が示す宛先に通信が行われたこと、あるいはダミー情報がネットワーク上に公開されたことを検知することによって、個人情報の漏洩を検知する方法が記載されている。   In Patent Document 1, a part of personal information is held as dummy information, and by detecting that communication is performed to the destination indicated by the dummy information or the dummy information is disclosed on the network, A method for detecting leakage of personal information is described.

特開2006−79233号公報JP 2006-79233 A

しかし、特許文献1に記載された方法では、漏洩した個人情報を取得した第3者が、ダミー情報を使用して通信を行ったり、ダミー情報をネットワーク上に公開したりすることが前提となる。また、この方法では、重要な個人情報そのものが漏洩する挙動を直接的に監視するわけではない。このため、検知に漏れが発生する可能性がある。   However, in the method described in Patent Document 1, it is assumed that a third party who has acquired leaked personal information communicates using dummy information or publishes dummy information on a network. . Further, this method does not directly monitor the behavior of leakage of important personal information itself. For this reason, a leak may occur in detection.

本発明は、上述した課題に鑑みてなされたものであって、情報の漏洩を検知することができる携帯端末およびプログラムを提供することを目的とする。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a mobile terminal and a program capable of detecting information leakage.

本発明は、上記の課題を解決するためになされたもので、携帯端末の利用者を識別する第1の識別情報を記憶する第1の記憶部から前記第1の識別情報を取得し、携帯端末の個体を識別する第2の識別情報を記憶する第2の記憶部から前記第2の識別情報を取得する情報取得部と、前記情報取得部によって取得された前記第1の識別情報および前記第2の識別情報に基づいてパターンマッチング用のパターンを生成する生成部と、携帯端末の情報送信時の挙動を示す情報を含むログを記憶する第3の記憶部から前記ログを読み出し、前記ログに含まれる情報と前記パターンとのパターンマッチングを行う処理部と、を備え、前記生成部は、情報の送信を示す文字と前記第1の識別情報および前記第2の識別情報とを組み合わせた前記パターンを生成することを特徴とする携帯端末である。 The present invention has been made to solve the above-described problem, and obtains the first identification information from a first storage unit that stores first identification information for identifying a user of a portable terminal. An information acquisition unit that acquires the second identification information from a second storage unit that stores second identification information for identifying an individual terminal; the first identification information acquired by the information acquisition unit; and The log is read from a generation unit that generates a pattern for pattern matching based on the second identification information, and a third storage unit that stores information including information indicating behavior at the time of information transmission of the mobile terminal, and the log A processing unit that performs pattern matching between the information included in the information and the pattern, and the generation unit combines the character indicating the transmission of information, the first identification information, and the second identification information. pattern Generating a mobile terminal, characterized by.

また、本発明の携帯端末において、前記生成部は、正規表現で表現された前記パターンを生成することを特徴とする。   In the mobile terminal of the present invention, the generation unit generates the pattern expressed by a regular expression.

また、本発明の携帯端末は、前記パターンマッチングの結果を表示する表示部をさらに備えたことを特徴とする。   The portable terminal of the present invention further includes a display unit that displays the result of the pattern matching.

また、本発明の携帯端末において、前記ログは、アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのいずれかであることを特徴とする。   Further, in the portable terminal of the present invention, the log is any one of an application log recording application behavior, a kernel log recording kernel behavior, and a communication log recording packet information transmitted and received during communication. It is characterized by being.

また、本発明の携帯端末において、前記第1の識別情報は、電話番号、メールアドレス、IMSI(International Mobile Subscriber Identity)、SIM(Subscriber Identity Module) Serial Numberのいずれかを含むことを特徴とする。   In the mobile terminal of the present invention, the first identification information includes any one of a telephone number, a mail address, an IMSI (International Mobile Subscriber Identity), and a SIM (Subscriber Identity Module) Serial Number.

また、本発明の携帯端末において、前記第2の識別情報は、IMEI(International Mobile Equipment Identity)またはAndroid(登録商標) IDを含むことを特徴とする。   In the mobile terminal of the present invention, the second identification information includes IMEI (International Mobile Equipment Identity) or Android (registered trademark) ID.

また、本発明は、上記の携帯端末としてコンピュータを機能させるためのプログラムである。   Moreover, this invention is a program for functioning a computer as said portable terminal.

本発明によれば、携帯端末上で動作するアプリケーションの情報送信時の挙動を示す情報を含むログに含まれる情報と、携帯端末の利用者を識別する第1の識別情報および携帯端末の個体を識別する第2の識別情報に基づいて生成されたパターンとのパターンマッチングを行うことによって、情報の漏洩を検知することができる。   According to the present invention, the information included in the log including the information indicating the behavior at the time of information transmission of the application operating on the mobile terminal, the first identification information for identifying the user of the mobile terminal, and the individual mobile terminal Information leakage can be detected by performing pattern matching with a pattern generated based on the second identification information to be identified.

本発明の一実施形態による携帯端末の構成を示すブロック図である。It is a block diagram which shows the structure of the portable terminal by one Embodiment of this invention. 本発明の一実施形態による携帯端末の動作の手順を示すフローチャートである。It is a flowchart which shows the procedure of operation | movement of the portable terminal by one Embodiment of this invention.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による携帯端末の構成を示している。図1に示す携帯端末は、アプリケーション10、仮想マシン11、カーネル12、通信部13、操作部14、表示部15、アプリケーション監視部16、システムコール監視部17、パケット監視部18、ログ生成部19、端末記憶部20、カード記憶部21、重要情報取得部22、パターン生成部23、情報漏洩監視部24を有する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows a configuration of a mobile terminal according to an embodiment of the present invention. 1 includes an application 10, a virtual machine 11, a kernel 12, a communication unit 13, an operation unit 14, a display unit 15, an application monitoring unit 16, a system call monitoring unit 17, a packet monitoring unit 18, and a log generation unit 19. A terminal storage unit 20, a card storage unit 21, an important information acquisition unit 22, a pattern generation unit 23, and an information leakage monitoring unit 24.

アプリケーション10は仮想マシン11上で動作する。図1では1つのアプリケーションのみを図示しているが、複数のアプリケーションが動作することが可能である。仮想マシン11は、Android(登録商標)プラットフォームで提供されているdalvikに相当し、OSであるAndroid(登録商標)上に実装されている。カーネル12はAndroid(登録商標)の中核部分であり、プロセス管理、メモリ管理、通信部13等のデバイスに係るデバイス管理、システムコールの制御を行う。   The application 10 operates on the virtual machine 11. Although only one application is illustrated in FIG. 1, a plurality of applications can operate. The virtual machine 11 corresponds to dalvik provided on the Android (registered trademark) platform, and is implemented on Android (registered trademark) which is an OS. The kernel 12 is the core part of Android (registered trademark), and performs process management, memory management, device management related to devices such as the communication unit 13, and control of system calls.

通信部13は、ネットワークを介して外部の通信装置と通信を行う。操作部14は、ユーザが操作するキー等の操作部材を有する。表示部15は、各種の情報を表示する。   The communication unit 13 communicates with an external communication device via a network. The operation unit 14 includes operation members such as keys operated by the user. The display unit 15 displays various information.

アプリケーション監視部16は、アプリケーション10と仮想マシン11の間で入出力される情報を監視し、アプリケーション10の実行条件や状態に関する情報を出力する。アプリケーション監視部16の機能は、例えばDDMSやLogcatを利用することで実現することができる。システムコール監視部17は、カーネル12内でシステムコールを監視し、アプリケーション10の処理に関連するプロセスが呼び出したシステムコールの情報を出力する。システムコール監視部17の機能は、例えばstraceを利用することで実現することができる。   The application monitoring unit 16 monitors information input / output between the application 10 and the virtual machine 11 and outputs information related to the execution condition and state of the application 10. The function of the application monitoring unit 16 can be realized by using, for example, DDMS or Logcat. The system call monitoring unit 17 monitors system calls in the kernel 12 and outputs information on system calls called by processes related to the processing of the application 10. The function of the system call monitoring unit 17 can be realized by using, for example, strace.

パケット監視部18は、通信部13が送受信するパケットを監視し、パケットの宛先等の情報を出力する。パケット監視部18の機能は、例えばtcpdumpを利用することで実現することができる。ログ生成部19は、アプリケーション監視部16から出力された情報を記録したアプリケーションログ、システムコール監視部17から出力された情報を記録したカーネルログ、パケット監視部18から出力された情報を記録した通信ログを生成し、端末記憶部20に格納する。   The packet monitoring unit 18 monitors packets transmitted and received by the communication unit 13 and outputs information such as packet destinations. The function of the packet monitoring unit 18 can be realized by using, for example, tcpdump. The log generation unit 19 is an application log in which information output from the application monitoring unit 16 is recorded, a kernel log in which information output from the system call monitoring unit 17 is recorded, and a communication in which information output from the packet monitoring unit 18 is recorded. A log is generated and stored in the terminal storage unit 20.

上記のように、端末記憶部20には、携帯端末の挙動(特に情報送信時の挙動)を記録した各ログが格納される。アプリケーションログには、アプリケーションの挙動に関する各種情報が記録されている。カーネルログには、カーネルの挙動、特にシステムコールの挙動が記録されている。通信ログには、通信時に送受信されるパケットの情報が記録されている。端末記憶部20は上記のログのほか、アプリケーション10の実行ファイル等の各種ファイルを記憶する。   As described above, the terminal storage unit 20 stores each log that records the behavior of the mobile terminal (particularly the behavior during information transmission). In the application log, various types of information related to application behavior are recorded. The kernel log records the behavior of the kernel, especially the behavior of system calls. In the communication log, packet information transmitted and received during communication is recorded. In addition to the above log, the terminal storage unit 20 stores various files such as an execution file of the application 10.

また、端末記憶部20は、携帯端末の個体を識別する識別情報である端末情報を記憶する。本実施形態の端末情報は、IMEI(International Mobile Equipment Identity)およびAndroid(登録商標) IDである。IMEIは、携帯端末の製造元や、機種、シリアル番号等の情報を含む。Android(登録商標) IDは、携帯端末においてAndroid(登録商標) OSが最初に起動するときにランダムに生成される64ビットの情報である。   The terminal storage unit 20 stores terminal information that is identification information for identifying an individual mobile terminal. The terminal information of this embodiment is IMEI (International Mobile Equipment Identity) and Android (registered trademark) ID. IMEI includes information such as the manufacturer, model, and serial number of the mobile terminal. The Android (registered trademark) ID is 64-bit information randomly generated when the Android (registered trademark) OS is first started in the mobile terminal.

カード記憶部21は、取り外しが可能なSIM(Subscriber Identity Module)カード内の記憶部であり、携帯端末の利用者を識別する個人情報および契約者情報を記憶する。本実施形態の個人情報は電話番号およびメールアドレスである。また、本実施形態の契約者情報はIMSI(International Mobile Subscriber Identity)およびSIM Serial Numberである。IMSIは、契約者毎にユニークな識別子である。SIM Serial NumberはSIMカードのシリアル番号である。端末記憶部20内の端末情報とカード記憶部21内の個人情報および契約者情報が、漏洩させてはいけない重要情報である。   The card storage unit 21 is a storage unit in a removable SIM (Subscriber Identity Module) card, and stores personal information and contractor information for identifying a user of the mobile terminal. The personal information in this embodiment is a telephone number and an e-mail address. Further, the contractor information in the present embodiment is an IMSI (International Mobile Subscriber Identity) and a SIM Serial Number. IMSI is a unique identifier for each contractor. SIM Serial Number is the serial number of the SIM card. The terminal information in the terminal storage unit 20 and the personal information and contractor information in the card storage unit 21 are important information that should not be leaked.

重要情報取得部22は、カード記憶部21から個人情報および契約者情報を読み出し、端末記憶部20から端末情報を読み出すことで、重要情報を取得する。重要情報取得部22は、READ_PHONE_STATEをパーミッション(権限)として与えられて動作する。   The important information acquisition unit 22 reads the personal information and the contractor information from the card storage unit 21 and reads the terminal information from the terminal storage unit 20 to acquire the important information. The important information acquisition unit 22 operates with READ_PHONE_STATE given as a permission.

パターン生成部23は、重要情報取得部22が取得した重要情報に基づいて、パターンマッチングに使用するパターンを生成する。情報漏洩監視部24は、端末記憶部20に格納されているアプリケーションログ、カーネルログ、通信ログに記録されている情報と、パターン生成部23が生成したパターンとのパターンマッチングを行い、重要情報の漏洩を監視する。   The pattern generation unit 23 generates a pattern used for pattern matching based on the important information acquired by the important information acquisition unit 22. The information leakage monitoring unit 24 performs pattern matching between the information recorded in the application log, kernel log, and communication log stored in the terminal storage unit 20 and the pattern generated by the pattern generation unit 23, Monitor for leaks.

次に、パターンマッチング用のパターンについて説明する。パターン生成部23は、アプリケーションログ用のパターン、カーネルログ用のパターン、通信ログ用のパターンをそれぞれ生成する。パターン生成部23が生成するパターンは、正規表現で表現された文字列である。以下はパターンの一例である。   Next, a pattern matching pattern will be described. The pattern generation unit 23 generates an application log pattern, a kernel log pattern, and a communication log pattern. The pattern generated by the pattern generation unit 23 is a character string expressed by a regular expression. The following is an example of a pattern.

アプリケーションログ用のパターン:send(.*(xxx|yyy|zzz).*\)
カーネルログ用のパターン:recv\(.*( xxx|yyy|zzz).*\)
通信ログ用のパターン: xxx|yyy|zzz Application log pattern: send (. * (Xxx | yyy | zzz). * \)
Kernel log pattern: recv \ (. * (Xxx | yyy | zzz). * \)
Communication log pattern: xxx | yyy | zzz

アプリケーションログ用のパターンは、外部への送信を示す文字列である“send”と重要情報とを組み合わせた文字列パターンである。“.”は任意の文字を示し、“*”は0文字以上の繰り返しを示す。したがって、“.*”は任意の文字が0文字以上繰り返されることを示す。“xxx”は個人情報を示す。上記の例では個人情報を文字列xxxで表現しているが、実際のパターンでは文字列xxxは具体的な個人情報の文字列である。“yyy”は契約者情報を示す。上記の例では契約者情報を文字列yyyで表現しているが、実際のパターンでは文字列yyyは具体的な契約者情報の文字列である。“zzz”は端末情報を示す。上記の例では端末情報を文字列zzzで表現しているが、実際のパターンでは文字列zzzは具体的な端末情報の文字列である。“|”は前後の文字列を択一的に選択することを示す。   The pattern for application log is a character string pattern in which “send” that is a character string indicating transmission to the outside is combined with important information. “.” Indicates an arbitrary character, and “*” indicates a repetition of zero or more characters. Therefore, “. *” Indicates that any character is repeated zero or more times. “Xxx” indicates personal information. In the above example, personal information is expressed by a character string xxx, but in an actual pattern, the character string xxx is a specific character information character string. “Yyy” indicates contractor information. In the above example, the contractor information is represented by the character string yyy, but in the actual pattern, the character string yyy is a specific character string of the contractor information. “Zzz” indicates terminal information. In the above example, the terminal information is represented by the character string zzz. However, in the actual pattern, the character string zzz is a character string of specific terminal information. “|” Indicates that the preceding and following character strings are selected alternatively.

アプリケーションログにおいて、“send(”の後に任意の文字列が続いた後、“(”の直後に個人情報、契約者情報、端末情報のいずれかの文字列と“)”が続き、その後、任意の文字列が続いた後、“\)”が続く文字列があった場合、アプリケーションログの情報とパターンとが一致したことになる。   In the application log, “send (” is followed by an arbitrary character string, followed by “(” followed by a character string of any of personal information, contractor information, and terminal information, and “)”. If there is a character string followed by “\)”, the information in the application log matches the pattern.

カーネルログ用のパターンは、外部への送信を示す文字列である“recv\”と重要情報とを組み合わせた文字列パターンである。パターンの内容はアプリケーションログ用のパターンと同様である。   The pattern for the kernel log is a character string pattern in which “recv \” that is a character string indicating transmission to the outside is combined with important information. The contents of the pattern are the same as the application log pattern.

通信ログ用のパターンは、重要情報を含む文字列パターンである。“xxx|yyy|zzz”は個人情報、契約者情報、端末情報のいずれかを示す。通信ログにおいて、1つのパケットの情報を記録した部分のSource IPに携帯端末自身のIPアドレスが記載され、かつ、同じ1つのパケットの情報を記録した部分に個人情報、契約者情報、端末情報のいずれかの文字列があった場合、通信ログの情報とパターンとが一致したことになる。   The communication log pattern is a character string pattern including important information. “Xxx | yyy | zzz” indicates any of personal information, contractor information, and terminal information. In the communication log, the IP address of the mobile terminal itself is described in the source IP of the part where the information of one packet is recorded, and the personal information, the contractor information, and the terminal information are recorded in the part where the information of the same one packet is recorded. If any character string exists, the communication log information matches the pattern.

携帯端末自身のIPアドレスを取得する方法として、例えば以下の方法がある。第1の方法は、ifconfigコマンドを利用する方法である。root権限を持つシェルを起動し、ifconfigコマンドを実行することで、携帯端末自身に割り当てられたIPアドレスを取得することが可能である。   As a method for acquiring the IP address of the mobile terminal itself, for example, there are the following methods. The first method uses the ifconfig command. By starting a shell with root authority and executing the ifconfig command, it is possible to obtain the IP address assigned to the mobile terminal itself.

第2の方法は、通信ログから携帯端末自身のIPアドレスを取得する方法である。OSにAndroid(登録商標)を使用している全ての携帯端末は28分周期でDestination IP=72.14.203.188、Destination Port=5228/TCP の通信を発生する。通信相手のIPアドレスであるDestination IPは変動する可能性があるが、通信相手のPort番号であるDestination Portは必ず5228/TCPとなる。したがって、通信ログにおいて、Destination Portに5228/TCPが記載された1つのパケットの情報を検出し、同じ1つのパケットの情報を記録した部分に含まれるSource IPを検出することで、携帯端末自身に割り当てられたIPアドレスを取得することが可能である。   The second method is a method for acquiring the IP address of the mobile terminal itself from the communication log. All mobile terminals that use Android (registered trademark) as the OS generate Destination IP = 72.14.203.188 and Destination Port = 5228 / TCP communications every 28 minutes. The Destination IP that is the IP address of the communication partner may vary, but the Destination Port that is the Port number of the communication partner is always 5228 / TCP. Therefore, by detecting the information of one packet in which 5228 / TCP is described in the Destination Port in the communication log, and detecting the source IP included in the portion where the information of the same one packet is recorded, It is possible to obtain the assigned IP address.

上記の各パターンは、各ログのフォーマットに合わせて適宜変更することが可能である。例えば、アプリケーションログによっては、外部への送信を示す文字列が“send”でない場合があるので、そのアプリケーションログのフォーマットで外部への送信を示す文字列を用いてパターンを生成すればよい。   Each of the above patterns can be appropriately changed according to the format of each log. For example, depending on the application log, the character string indicating the transmission to the outside may not be “send”. Therefore, the pattern may be generated using the character string indicating the transmission to the outside in the format of the application log.

本実施形態では、一般的な文字列のパターンマッチングに使用される正規表現を使用しているので、様々な条件に対応したパターンマッチングを容易に行うことができる。   In the present embodiment, since a regular expression used for pattern matching of general character strings is used, pattern matching corresponding to various conditions can be easily performed.

次に、重要情報の漏洩の監視に係る動作を説明する。図2は、重要情報の漏洩の監視を行う際の処理を示している。端末記憶部20には、ログ生成部19が生成したアプリケーションログ、カーネルログ、通信ログが格納されているものとする。   Next, an operation related to monitoring of leakage of important information will be described. FIG. 2 shows processing when monitoring leakage of important information. It is assumed that the terminal storage unit 20 stores application logs, kernel logs, and communication logs generated by the log generation unit 19.

まず、重要情報取得部22は、カード記憶部21から個人情報および契約者情報を読み出し、端末記憶部20から端末情報を読み出すことで重要情報を取得し、パターン生成部23へ出力する(ステップS100)。続いて、パターン生成部23は、ステップS100で取得された重要情報に基づいて、正規表現で表現されたパターンマッチング用のパターンを生成し、情報漏洩監視部24へ出力する(ステップS105)。   First, the important information acquisition unit 22 reads the personal information and the contractor information from the card storage unit 21, acquires the important information by reading the terminal information from the terminal storage unit 20, and outputs the important information to the pattern generation unit 23 (Step S100). ). Subsequently, the pattern generation unit 23 generates a pattern matching pattern expressed by a regular expression based on the important information acquired in step S100, and outputs the pattern matching pattern to the information leakage monitoring unit 24 (step S105).

続いて、情報漏洩監視部24は、端末記憶部20に格納されているアプリケーションログ、カーネルログ、通信ログに記録されている情報と、パターン生成部23が生成したパターンとのパターンマッチングを行う(ステップS110)。以下、パターンマッチングの詳細な手順を説明する。   Subsequently, the information leakage monitoring unit 24 performs pattern matching between the information recorded in the application log, kernel log, and communication log stored in the terminal storage unit 20 and the pattern generated by the pattern generation unit 23 ( Step S110). Hereinafter, a detailed procedure of pattern matching will be described.

情報漏洩監視部24は、端末記憶部20に格納されている解析対象であるアプリケーションログ、カーネルログ、通信ログの中からいずれか1つを選択する(ステップS111)。続いて、情報漏洩監視部24は、ステップS111で選択した解析対象を構成するデータを選択し、端末記憶部20から読み出す(ステップS112)。このとき、例えばログ中の1つの記録単位分のデータが選択される。   The information leakage monitoring unit 24 selects one of application logs, kernel logs, and communication logs that are analysis targets stored in the terminal storage unit 20 (step S111). Subsequently, the information leakage monitoring unit 24 selects data constituting the analysis target selected in step S111 and reads it from the terminal storage unit 20 (step S112). At this time, for example, data for one recording unit in the log is selected.

続いて、情報漏洩監視部24は、解析対象を構成するデータとパターンとを比較する(ステップS113)。続いて、情報漏洩監視部24は、解析対象を構成するデータとパターンとが一致したか否かを判定する(ステップS114)。解析対象を構成するデータとパターンとが一致した場合、重要情報の漏洩が検知されたことになる。この場合、パターンマッチングが終了し、情報漏洩監視部24は、重要情報の漏洩が検知されたことを利用者に知らせるための情報を表示部15へ出力し、その情報に基づく表示を行わせる(ステップS120)。このとき、どのような重要情報が漏洩したのかを利用者に知らせるため、漏洩した重要情報の種別(個人情報、契約者情報、端末情報)を判別し、その種別を表示してもよい。   Subsequently, the information leakage monitoring unit 24 compares the data constituting the analysis target with the pattern (step S113). Subsequently, the information leakage monitoring unit 24 determines whether the data constituting the analysis target matches the pattern (step S114). When the data constituting the analysis target matches the pattern, the leakage of important information is detected. In this case, the pattern matching is completed, and the information leakage monitoring unit 24 outputs information for notifying the user that leakage of important information has been detected to the display unit 15 and performs display based on the information ( Step S120). At this time, in order to inform the user what kind of important information has been leaked, the type of leaked important information (personal information, contractor information, terminal information) may be determined and the type displayed.

一方、解析対象を構成するデータとパターンとが一致しなかった場合、重要情報の漏洩が検知されなかったことになる。この場合、情報漏洩監視部24は、解析対象中の全てのデータの解析が終了したか否かを判定する(ステップS115)。解析を行っていないデータが存在する場合、処理がステップS112に戻り、次のデータが選択される。また、解析対象中の全てのデータの解析が終了した場合、情報漏洩監視部24は、全ての解析対象の解析が終了したか否かを判定する(ステップS116)。解析を行っていない解析対象が存在する場合、処理がステップS111に戻り、次の解析対象が選択される。全ての解析対象の解析が終了した場合、パターンマッチングが終了する。   On the other hand, when the data constituting the analysis target and the pattern do not match, leakage of important information is not detected. In this case, the information leakage monitoring unit 24 determines whether or not the analysis of all data being analyzed has been completed (step S115). If there is data that has not been analyzed, the process returns to step S112, and the next data is selected. Further, when the analysis of all the data being analyzed is completed, the information leakage monitoring unit 24 determines whether the analysis of all the analysis objects is completed (Step S116). If there is an analysis target that has not been analyzed, the process returns to step S111, and the next analysis target is selected. When the analysis of all the analysis targets is finished, the pattern matching is finished.

上記では、重要情報の漏洩が検知された時点でパターンマッチングが終了するため、解析対象を構成するデータの一部については解析が行われないことがある。解析が行われなかったデータから別の重要情報の漏洩が検知される可能性もある。そこで、全ての解析対象のデータの解析が終了するまで、解析を継続してもよい。例えば、ステップS114で重要情報の漏洩が検知された場合に、重要情報の漏洩が発生したことを示す情報を端末記憶部20に一時保持してステップS115に進み、全ての解析対象の解析が終了した後、端末記憶部20に一時保持した情報に基づいて重要情報の漏洩の発生の有無を判定し、重要情報の漏洩が発生している場合に、その旨を表示部15に表示してもよい。複数の重要情報の漏洩が発生していた場合には、その旨が表示部15に表示される。   In the above, since pattern matching ends when leakage of important information is detected, analysis may not be performed on a part of data constituting the analysis target. There is a possibility that leakage of other important information may be detected from data that has not been analyzed. Therefore, the analysis may be continued until the analysis of all data to be analyzed is completed. For example, when leakage of important information is detected in step S114, information indicating that leakage of important information has occurred is temporarily stored in the terminal storage unit 20, and the process proceeds to step S115, where analysis of all analysis targets is completed. After that, whether or not important information has leaked is determined based on the information temporarily stored in the terminal storage unit 20, and if important information has leaked, the fact is displayed on the display unit 15. Good. When leakage of a plurality of important information has occurred, the fact is displayed on the display unit 15.

上述したように、本実施形態によれば、携帯端末上で動作するアプリケーションの情報送信時の挙動を示す情報を含むアプリケーションログ、カーネルログ、通信ログに含まれる情報と、携帯端末の利用者を識別する個人情報および契約者情報や、携帯端末の個体を識別する端末情報に基づいて生成されたパターンとのパターンマッチングを行うことによって、重要情報の漏洩を検知することができる。   As described above, according to the present embodiment, the information included in the application log, the kernel log, the communication log including information indicating the behavior at the time of information transmission of the application operating on the mobile terminal, and the user of the mobile terminal Leakage of important information can be detected by performing pattern matching with the personal information to be identified and the contractor information and the pattern generated based on the terminal information for identifying the individual mobile terminal.

また、情報の送信を示す文字列(“send”等)と個人情報、契約者情報、または端末情報とを組み合わせたパターンを生成することによって、携帯端末から外部への重要情報の漏洩をより確実に検知することができる。さらに、正規表現で表現されたパターンを生成することによって、様々な条件に対応したパターンマッチングを容易に行うことができる。   In addition, by generating a pattern that combines a character string indicating information transmission (such as “send”) with personal information, contractor information, or terminal information, leakage of important information from the mobile terminal to the outside is more reliable. Can be detected. Furthermore, by generating a pattern expressed by a regular expression, pattern matching corresponding to various conditions can be easily performed.

また、パターンマッチングの結果を表示することによって、重要情報の漏洩が発生したか否かを利用者に通知することができる。パターンマッチングの結果として、重要情報の漏洩が発生したことを表示した場合には、携帯端末を安全な状態に修復するように利用者に促すことができる。   Further, by displaying the pattern matching result, it is possible to notify the user whether or not leakage of important information has occurred. If it is displayed as a result of pattern matching that leakage of important information has occurred, the user can be prompted to restore the mobile terminal to a safe state.

本実施形態の利用形態として、携帯電話等の利用者が上記の携帯端末を利用することを想定しているが、これ以外の利用形態も可能である。例えば、携帯端末用のアプリケーションを販売する販売元において、アプリケーションの販売の可否を決定するために、本実施形態の携帯端末を用いてアプリケーションの特性解析を行ってもよい。   As a usage form of the present embodiment, it is assumed that a user such as a mobile phone uses the above mobile terminal, but other usage forms are possible. For example, in a sales agency that sells an application for a mobile terminal, application characteristics analysis may be performed using the mobile terminal of the present embodiment in order to determine whether the application can be sold.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による携帯端末の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。   As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the mobile terminal according to the above-described embodiment may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read and executed by the computer. .

ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.

10・・・アプリケーション、11・・・仮想マシン、12・・・カーネル、13・・・通信部、14操作部、15・・・表示部、16・・・アプリケーション監視部、17・・・システムコール監視部、18・・・パケット監視部、19・・・ログ生成部、20・・・端末記憶部(第2の記憶部、第3の記憶部)、21・・・カード記憶部(第1の記憶部)、22・・・重要情報取得部(情報取得部)、23・・・パターン生成部(生成部)、24・・・情報漏洩監視部(処理部)   DESCRIPTION OF SYMBOLS 10 ... Application, 11 ... Virtual machine, 12 ... Kernel, 13 ... Communication part, 14 operation part, 15 ... Display part, 16 ... Application monitoring part, 17 ... System Call monitoring unit, 18 ... packet monitoring unit, 19 ... log generation unit, 20 ... terminal storage unit (second storage unit, third storage unit), 21 ... card storage unit (first storage unit) 1 storage unit), 22 ... important information acquisition unit (information acquisition unit), 23 ... pattern generation unit (generation unit), 24 ... information leakage monitoring unit (processing unit)

Claims (7)

携帯端末の利用者を識別する第1の識別情報を記憶する第1の記憶部から前記第1の識別情報を取得し、携帯端末の個体を識別する第2の識別情報を記憶する第2の記憶部から前記第2の識別情報を取得する情報取得部と、
前記情報取得部によって取得された前記第1の識別情報および前記第2の識別情報に基づいてパターンマッチング用のパターンを生成する生成部と、
携帯端末の情報送信時の挙動を示す情報を含むログを記憶する第3の記憶部から前記ログを読み出し、前記ログに含まれる情報と前記パターンとのパターンマッチングを行う処理部と、
を備え、
前記生成部は、情報の送信を示す文字と前記第1の識別情報および前記第2の識別情報とを組み合わせた前記パターンを生成する
ことを特徴とする携帯端末。 The second identification information is acquired from the first storage unit for storing the first identification information for identifying the user of the portable terminal, and the second identification information for identifying the individual portable terminal is stored. An information acquisition unit for acquiring the second identification information from a storage unit;
A generation unit that generates a pattern for pattern matching based on the first identification information and the second identification information acquired by the information acquisition unit;
A processing unit that reads the log from a third storage unit that stores a log including information indicating behavior at the time of information transmission of the mobile terminal, and performs pattern matching between the information included in the log and the pattern;
With
The said generation part produces | generates the said pattern which combined the character which shows transmission of information, and said 1st identification information and said 2nd identification information. The portable terminal characterized by the above-mentioned. 前記生成部は、正規表現で表現された前記パターンを生成することを特徴とする請求項に記載の携帯端末。 The mobile terminal according to claim 1 , wherein the generation unit generates the pattern expressed by a regular expression. 前記パターンマッチングの結果を表示する表示部をさらに備えたことを特徴とする請求項1または請求項2に記載の携帯端末。 The mobile terminal according to claim 1 or claim 2, further comprising a display unit for displaying the result of said pattern matching. 前記ログは、アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのいずれかであることを特徴とする請求項1〜請求項のいずれか一項に記載の携帯端末。 The log is one of an application log in which application behavior is recorded, a kernel log in which kernel behavior is recorded, and a communication log in which information on packets transmitted and received during communication is recorded. The portable terminal as described in any one of Claims 1-3 . 前記第1の識別情報は、電話番号、メールアドレス、IMSI(International Mobile Subscriber Identity)、SIM(Subscriber Identity Module) Serial Numberのいずれかを含むことを特徴とする請求項1〜請求項のいずれか一項に記載の携帯端末。 The first identification information, telephone number, email address, IMSI (International Mobile Subscriber Identity) , any one of claims 1 to 4, characterized in that it comprises either a SIM (Subscriber Identity Module) Serial Number The mobile terminal according to one item. 前記第2の識別情報は、IMEI(International Mobile Equipment Identity)またはAndroid(登録商標) IDを含むことを特徴とする請求項1〜請求項のいずれか一項に記載の携帯端末。 The mobile terminal according to any one of claims 1 to 5 , wherein the second identification information includes an IMEI (International Mobile Equipment Identity) or an Android (registered trademark) ID. 請求項1〜請求項のいずれか一項に記載の携帯端末としてコンピュータを機能させるためのプログラム。 The program for functioning a computer as a portable terminal as described in any one of Claims 1-6 .
JP2010231537A 2010-10-14 2010-10-14 Mobile terminal and program Active JP5698494B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010231537A JP5698494B2 (en) 2010-10-14 2010-10-14 Mobile terminal and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010231537A JP5698494B2 (en) 2010-10-14 2010-10-14 Mobile terminal and program

Publications (2)

Publication Number Publication Date
JP2012084054A JP2012084054A (en) 2012-04-26
JP5698494B2 true JP5698494B2 (en) 2015-04-08

Family

ID=46242833

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010231537A Active JP5698494B2 (en) 2010-10-14 2010-10-14 Mobile terminal and program

Country Status (1)

Country Link
JP (1) JP5698494B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9637835B2 (en) 2012-07-10 2017-05-02 Byd Company Limited Metal composite and method of preparing the same

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5865180B2 (en) * 2012-05-29 2016-02-17 Kddi株式会社 Portable communication terminal, data communication detection device, data communication detection method, and program
JP2015530665A (en) * 2012-09-07 2015-10-15 ティヴァーサ アイピー インコーポレイテッド Snippet verification in file sharing networks
JP7062581B2 (en) * 2018-12-07 2022-05-06 Kddi株式会社 Privacy policy verification device, computer program and privacy policy verification method
JP7324648B2 (en) * 2019-08-05 2023-08-10 尚久 矢作 DATA MONITORING DEVICE, DATA MONITORING PROGRAM, AND COMPUTER-READABLE RECORDING MEDIUM

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (en) * 2001-04-18 2002-10-31 Teamgia:Kk Method and system for processing communication log
JP2007148946A (en) * 2005-11-30 2007-06-14 Hitachi Ltd Unauthorized access detection method
JP4897454B2 (en) * 2006-12-06 2012-03-14 三菱電機株式会社 Regular expression generation device, regular expression generation method, and regular expression generation program
JP2010271875A (en) * 2009-05-20 2010-12-02 Hitachi Ltd Network management system and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9637835B2 (en) 2012-07-10 2017-05-02 Byd Company Limited Metal composite and method of preparing the same

Also Published As

Publication number Publication date
JP2012084054A (en) 2012-04-26

Similar Documents

Publication Publication Date Title
US10187855B2 (en) Message processing method and apparatus
US20160203320A1 (en) Privacy Protection for Mobile Devices
US20120066346A1 (en) Reputation checking obtained files
JP5698494B2 (en) Mobile terminal and program
CN110313147B (en) Data processing method, device and system
CN110025955B (en) Information processing method, terminal, computer-readable storage medium, and computer device
JP6050162B2 (en) Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program
CN111177729B (en) Program bug test method and related device
WO2015029195A1 (en) Simulation device, information generation device, simulation method, and simulation program
TW201611544A (en) Privacy enhanced email service
JP2012103436A (en) Confirmation device, confirmation method and confirmation program
JP2013161150A (en) Information processing apparatus, information processing method, and program
JP5613000B2 (en) Application characteristic analysis apparatus and program
JP5632315B2 (en) Terminal remote operation system and remote operation method
US10013707B1 (en) Address modification for advertisement mediation
US9984395B1 (en) Advertisement mediation of supply-demand communications
US10055757B1 (en) IP address hashing in advertisement gateway
CN113922972B (en) Data forwarding method and device based on MD5 identification code
CN108737350B (en) Information processing method and client
CN111782291B (en) Method and device for starting test page
CN111625278B (en) Source code file generation method and related equipment
CN110868479A (en) Equipment addressing method, device and system
CN107172092B (en) Equipment information protection method and device
JP5478381B2 (en) Application determination system and program
CN106101219A (en) The data transmission method of sing on web Service and device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130821

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130821

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140521

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150213

R150 Certificate of patent or registration of utility model

Ref document number: 5698494

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150