JP6253333B2 - 情報処理装置、情報処理システムおよび情報処理方法 - Google Patents
情報処理装置、情報処理システムおよび情報処理方法 Download PDFInfo
- Publication number
- JP6253333B2 JP6253333B2 JP2013211424A JP2013211424A JP6253333B2 JP 6253333 B2 JP6253333 B2 JP 6253333B2 JP 2013211424 A JP2013211424 A JP 2013211424A JP 2013211424 A JP2013211424 A JP 2013211424A JP 6253333 B2 JP6253333 B2 JP 6253333B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- list
- information processing
- information
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 33
- 238000003672 processing method Methods 0.000 title claims 3
- 238000012545 processing Methods 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 21
- 230000004913 activation Effects 0.000 claims description 20
- 230000008859 change Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 description 87
- 230000008569 process Effects 0.000 description 80
- 230000006870 function Effects 0.000 description 13
- 238000012508 change request Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 7
- 238000012217 deletion Methods 0.000 description 7
- 230000037430 deletion Effects 0.000 description 7
- 241000700605 Viruses Species 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 210000000707 wrist Anatomy 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Description
図1のブロックによりホワイトリスト制御システムの構成例を示す。ホワイトリスト制御システムは、情報処理装置と、情報処理装置を管理するサーバ装置を含む。
クライアント10において、演算装置10Cはマイクロプロセッサ(CPU)である。演算装置10Cは、メモリ10EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置10Bに格納されたオペレーティングシステム(OS)を起動し、さらにOSに従い各種の常駐プログラム(例えば制御プログラム113など)を起動する。その際、演算装置10Cは、メモリ10EのRAMをワークエリアとして使用する。また、OSは例えばWindows(登録商標)、Mac OS(登録商標)、Linux(登録商標)、iOS(商標)、Android(商標)などである。
サーバ20において、演算装置20Cはマイクロプロセッサ(CPU)である。演算装置20Cは、メモリ20EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置20Bに格納されたOSを起動する。さらに、演算装置20Cは、記憶装置20Bから管理コンソール210をメモリ20EのRAMにロードする。そして、複数のクライアント10から情報(例えば、ホワイトリスト120の情報など)を取得してデータベース化したり、逆に、クライアント10に対して情報を送信してホワイトリスト120の更新などを行う。
識別プログラム110は、演算装置10Cによって実行され、別途起動されるプログラムからファイル名(プログラム名)、ハッシュ値、バージョン情報、ファイルサイズ、ファイルパス、ディジタル署名などの情報(以下、プログラム情報)を取得する。また、プログラム情報には、当該プログラムが格納されているPC名も含まれる。そして、取得したプログラム情報に基づき当該プログラムを識別する識別機能を有する。また、識別プログラム110は、取得したプログラム情報と後述する昇格基準ルール130を照会して、当該プログラムが昇格基準を満たすか否かを判定する。
●処理の概要
検知プログラム112は、グローバルフック(APIフック、フィルタドライバ)などを用いて、クライアント10におけるプログラムの起動を検知し、プログラムの起動を検知すると識別プログラム110を呼び出す。識別プログラム110は、起動されるプログラムのプログラム情報を取得して、当該プログラムが昇格基準ルール130を満たすか否かを検証する。
図5のフローチャートによりホワイトリスト制御処理の一例を説明する。
ステップS201において、検知プログラム112は、リストとの比較により、起動されるプログラムが記憶装置10Bに予め格納されているインストーラプログラム(例えばWindows(登録商標)におけるmsiexec.exe)か否かを判定する。そして、インストーラプログラム(以下、インストーラ)の起動と判定された場合、インストーラの動作が他のプログラムの動作と異なるため、ステップS202以降の処理を切り替える。
昇格権限を持った親プログラムから生成された子プログラムが親プログラムによって起動された場合、昇格権限を継承するが、以下のような場合も昇格権限を継承または付与してもよい。
図5において、同一の親プログラムから複数の子孫プログラムが生成される場合を考える。このとき、子孫プログラムの中で親プログラムから昇格権限を継承したものがあり、昇格権限を継承した子孫プログラムが、他の子孫プログラムを起動した場合、昇格権限を継承してもよいものとする。
図6において、インストーラが他のプログラムから起動される場合を考える。このとき、昇格権限をもつプログラムがインストーラを起動した場合、インストーラが昇格権限を継承してもよいものとする。
図5において、昇格権限をもつプログラムから生成された子プログラムを、昇格権限をもたないプログラムが起動する場合を考える。このとき「生成プログラム群」と「起動プログラム群」という二種類のプログラム群を予め定義する。そして、生成プログラム群に属すプログラムから生成され、かつ、起動プログラム群に属すプログラムから起動されたプログラムには昇格権限を付与する処理を行ってもよいものとする。
図7のフローチャートによりネットワークアクセス制御を説明する。ネットワークアクセス制御はOSを実行する演算装置10Cによって実行される。プログラムごとのネットワークアクセスの許可または禁止を示す情報(例えばアクセス制御リスト(ACL))は、制御プログラム113により、メモリ10EのRAMや記憶装置10Bの所定領域にテーブルとして格納されている。
ホワイトリスト制御システムの運用には、運用環境に適したホワイトリスト120を作成する必要がある。
図5においては、プログラムが昇格基準ルール130を満たさず、かつ、ホワイトリスト120に存在しない場合(S206のNO)、制御プログラム113はプログラムのネットワークアクセスを禁止する(S204)と説明した。また、図6においては、パッケージが昇格基準ルール130を満たさず、かつ、ホワイトリスト120に存在しない場合(S225のNO)、制御プログラム113はインストーラの起動を禁止する(S223)と説明した。しかし、そのようなプログラムやパッケージ(以下、未登録プログラム)が検出された場合、ホワイトリスト120を更新を試みることが可能である。
上記では、プログラム起動をトリガとしてホワイトリスト候補250にプログラムを追加する処理を説明した。しかし、例えばOS標準のファイル検索ツールなどを用いてプログラムを検索し、検出したプログラムをホワイトリスト候補250の登録することもできる。このようにすれば、クライアント10の記憶装置10Bに格納されたすべてのプログラムをホワイトリスト候補250に追加することができる。
上記では、登録プログラム111によってホワイトリスト120に登録されるレコードには、接続先のIPアドレスやポート番号を制限を設定しない例(例えば図3の三行目)を説明した。しかし、例えば、アップデート前とアップデート後のプログラム名が同じ場合でも、アップデートされるプログラムが特定可能な場合、アップデート前のプログラム(関連するプログラム)と、同一/一部同一の設定情報(接続先のIPアドレスやポート番号)に制限することができる。なお、設定情報は、IPアドレスやポート番号に限定されず、例えばMACアドレス等、端末情報を用いて制限することも可能である。
例えば、昇格権限を有するプロセスによってホワイトリスト120に登録されたプログラムが上書アップデートされる場合に、プロセスの書込処理を監視することで、ホワイトリスト120を適切に設定する例を説明する。なお、上書アップデートとは、例えば、アップデート前のデータ(ファイル)にアップデート後のデータ(ファイル)を上書きすることである。
上記では上書アップデートの例を説明したが、以下では、置換アップデートについて説明する。置換アップデートとは、例えば、ファイルを削除または移動、あるいは、ファイル名を変更した後、アップデート後のファイルを作成または移動、あるいは、ファイル名を変更するなどにより、プログラムをアップデートする処理のことである。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記録媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (17)
- プログラムの起動およびプログラムの生成または変更の検知、もしくは、プログラムの検索を行う検知手段と、
プログラムを識別する識別手段と、
ネットワークアクセスが許可されたプログラムのリストであるホワイトリスト、およびネットワークアクセスが禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段とを有し、
前記識別手段は、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、
前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする情報処理装置。 - 前記識別手段は、前記検知または検出されたプログラムが前記ホワイトリストおよび前記ブラックリストのうち他方のリストに登録されているか否かを判定し、
前記登録手段は、前記他方のリストに登録されていないと判定された前記検知または検出されたプログラムに前記昇格権限を付与する請求項1に記載された情報処理装置。 - 前記登録手段は、前記検知手段によって前記昇格権限が付与されたプログラムによる次の世代のプログラムの生成または変更が検知されると、前記次の世代のプログラムを前記一方のリストに登録する処理を再帰的に繰り返すことを特徴とする請求項1に記載された情報処理装置。
- 前記検知手段によって前記昇格権限が付与されたプログラムによる前記次の世代のプログラムの起動が検知された場合、前記登録手段は、前記次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項3に記載された情報処理装置。
- 前記検知手段によって前記昇格権限が付与された前記次の世代のプログラムによる他の次の世代のプログラムの起動が検知された場合、前記登録手段は、前記他の次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項3に記載された情報処理装置。
- 前記検知手段によって前記昇格権限を付与されたプログラムによるインストーラの起動が検知された場合、前記登録手段は、前記インストーラに前記昇格権限を付与することを特徴とする請求項3に記載された情報処理装置。
- 前記登録手段は、予め記憶された生成プログラム群に属するプログラムから生成され、かつ、予め記憶された起動プログラム群に属するプログラムから起動されたプログラムに、前記昇格権限を付与することを特徴とする請求項3に記載された情報処理装置。
- 前記識別手段は、前記検知手段によって前記昇格権限が付与されたプログラムによる次の世代のプログラムの生成または変更が検知されると、前記次の世代のプログラムのプログラム情報に基づき、前記次の世代のプログラムが前記ホワイトリストおよび前記ブラックリストのうち他方のリストに登録されているか否かを判定し、
前記登録手段は、前記他方のリストに登録されていないと判定された次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項4から請求項7の何れか一項に記載された情報処理装置。 - 前記登録手段は、前記他方のリストに登録されていると判定された次の世代のプログラムの登録を前記一方のリストから削除することを特徴とする請求項8に記載された情報処理装置。
- 前記検知手段によって前記昇格権限が付与されたプログラムによる次の世代のプログラムの起動が検知された場合、前記識別手段は、前記起動が検知されたプログラムのプログラム情報に基づき、前記プログラムが、前記ホワイトリストおよび前記ブラックリストのうち他方のリストに登録されているか否かの判定、または、前記一方のリストに登録されているか否かの判定を行い、
前記登録手段は、前記他方のリストに登録されていないと判定されたプログラム、または、前記一方のリストに登録されていないと判定されたプログラムについて、前記一方のリストに登録するための処理を実行することを特徴とする請求項1から請求項9の何れか一項に記載された情報処理装置。 - 前記識別手段は、前記所定の基準を満たすと判定されたプログラムと関連するプログラムの設定情報を取得し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムと、前記識別手段によって取得された設定情報と、を関連付けて登録することを特徴とする請求項10に記載された情報処理装置。 - さらに、前記一方のリストに基づいてプログラムのネットワークアクセスを許可する、または前記ホワイトリストおよび前記ブラックリストのうち他方のリストに基づいてプログラムのネットワークアクセスを禁止する制御手段を有することを特徴とする請求項1から請求項11の何れか一項に記載された情報処理装置。
- 前記プログラム情報にはディジタル署名が含まれることを特徴とする請求項1から請求項12の何れか一項に記載された情報処理装置。
- プログラムの起動およびプログラムの生成または変更の検知、もしくは、プログラムの検索を行う検知手段、プログラムを識別する識別手段、ネットワークアクセスが許可されたプログラムのリストであるホワイトリスト、およびネットワークアクセスが禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段を有する情報処理装置の情報処理方法であって、
前記識別手段が、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、
前記登録手段が、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、
前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする情報処理方法。 - 請求項1から請求項13の何れか一項に記載された情報処理装置と、
ネットワークを介して、前記情報処理装置に前記一方のリストのデータを送信するサーバ装置とを有することを特徴とする情報処理システム。 - 前記サーバ装置は、前記ネットワークを介して、前記情報処理装置から前記一方のリストに登録すべきプログラムに関する情報を受信することを特徴とする請求項15に記載された情報処理システム。
- コンピュータを請求項1から請求項13の何れか一項に記載された情報処理装置の各手段として機能させるためのプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013211424A JP6253333B2 (ja) | 2012-10-09 | 2013-10-08 | 情報処理装置、情報処理システムおよび情報処理方法 |
PCT/JP2013/006022 WO2014057668A1 (ja) | 2012-10-09 | 2013-10-09 | 情報処理装置およびその制御方法、情報処理システム、並びに、情報処理方法 |
US14/664,410 US9767280B2 (en) | 2012-10-09 | 2015-03-20 | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012224575 | 2012-10-09 | ||
JP2012224575 | 2012-10-09 | ||
JP2013211424A JP6253333B2 (ja) | 2012-10-09 | 2013-10-08 | 情報処理装置、情報処理システムおよび情報処理方法 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014096143A JP2014096143A (ja) | 2014-05-22 |
JP2014096143A5 JP2014096143A5 (ja) | 2016-11-04 |
JP6253333B2 true JP6253333B2 (ja) | 2017-12-27 |
Family
ID=50939129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013211424A Active JP6253333B2 (ja) | 2012-10-09 | 2013-10-08 | 情報処理装置、情報処理システムおよび情報処理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6253333B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6478026B2 (ja) * | 2015-01-28 | 2019-03-06 | 株式会社リコー | 情報処理装置、プログラム、及び記録媒体 |
JP6387195B2 (ja) * | 2015-10-27 | 2018-09-05 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007316780A (ja) * | 2006-05-24 | 2007-12-06 | Nec Corp | 計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラム |
JP4806751B2 (ja) * | 2007-03-19 | 2011-11-02 | Necパーソナルプロダクツ株式会社 | ファイルアクセス先制御装置、その方法及びそのプログラム |
JP5346608B2 (ja) * | 2009-02-06 | 2013-11-20 | Kddi株式会社 | 情報処理装置およびファイル検証システム |
JP5402169B2 (ja) * | 2009-03-31 | 2014-01-29 | 富士通株式会社 | 実行制御プログラムおよび情報処理システム |
JP5381670B2 (ja) * | 2009-12-10 | 2014-01-08 | 富士通株式会社 | 実行制御方法、実行制御プログラムおよび実行制御装置 |
WO2012027588A1 (en) * | 2010-08-25 | 2012-03-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US8566937B2 (en) * | 2010-10-04 | 2013-10-22 | Panasonic Corporation | Information processing apparatus and method for preventing unauthorized cooperation of applications |
JP5572573B2 (ja) * | 2011-03-07 | 2014-08-13 | Kddi株式会社 | 携帯端末、プログラム、および通信システム |
-
2013
- 2013-10-08 JP JP2013211424A patent/JP6253333B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014096143A (ja) | 2014-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11093625B2 (en) | Adaptive file access authorization using process access patterns | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
EP3430556B1 (en) | System and method for process hollowing detection | |
JP7084778B2 (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
US10354068B2 (en) | Anonymized application scanning for mobile devices | |
JP6254414B2 (ja) | 情報処理装置、情報処理システムおよび情報処理方法 | |
JP6001781B2 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
JP2015212979A (ja) | バーチャルマシーンモニタベースのアンチマルウェアセキュリティのためのシステム及び方法 | |
US9917862B2 (en) | Integrated application scanning and mobile enterprise computing management system | |
JP6165469B2 (ja) | 情報処理装置およびその制御方法、並びに、情報処理システム | |
JP6253333B2 (ja) | 情報処理装置、情報処理システムおよび情報処理方法 | |
JP7320462B2 (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
US10963569B2 (en) | Early boot driver for start-up detection of malicious code | |
WO2023124041A1 (zh) | 一种勒索病毒检测方法以及相关*** | |
Kazoleas et al. | A novel malicious remote administration tool using stealth and self-defense techniques | |
JP6884652B2 (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
WO2014057668A1 (ja) | 情報処理装置およびその制御方法、情報処理システム、並びに、情報処理方法 | |
JP7281998B2 (ja) | 情報処理装置、情報処理方法、情報処理システム及びプログラム | |
US12013932B2 (en) | System, method, and apparatus for enhanced blacklisting | |
US11182486B2 (en) | Early boot driver for start-up detection of malicious code | |
Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
Briones et al. | Implementation of a Laboratory for Malware Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160913 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160913 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170926 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171128 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6253333 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |