JP6590481B2 - ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム - Google Patents

ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム Download PDF

Info

Publication number
JP6590481B2
JP6590481B2 JP2014550901A JP2014550901A JP6590481B2 JP 6590481 B2 JP6590481 B2 JP 6590481B2 JP 2014550901 A JP2014550901 A JP 2014550901A JP 2014550901 A JP2014550901 A JP 2014550901A JP 6590481 B2 JP6590481 B2 JP 6590481B2
Authority
JP
Japan
Prior art keywords
virus
file
intrusion route
operation history
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014550901A
Other languages
English (en)
Other versions
JPWO2014087597A1 (ja
Inventor
泰志 萩原
泰志 萩原
四柳 敬志
敬志 四柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Publication of JPWO2014087597A1 publication Critical patent/JPWO2014087597A1/ja
Application granted granted Critical
Publication of JP6590481B2 publication Critical patent/JP6590481B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、コンピュータウイルスに感染した経路を特定する技術に関する。
コンピュータウイルスはますます巧妙化している。コンピュータウイルスの感染を防ぐためには、コンピュータウイルスの感染経路を特定することが重要である。なお、あるウイルスが見つかったときにそのウイルスがどこからやってきたのかを辿る作業をバックトレースと呼び、そのウイルスがさらにどの端末に伝搬してしまっているかを予測する作業をフォワードトレースと呼ぶことにする。
特許文献1には、バックトレースに関する発明が記載されている。特許文献1によれば、中央装置は中央装置を経由して端末装置から送信されるファイルからウイルスを検出したときに、ワクチンを登録した日時、そのファイルを前回送信した日時およびそのファイルの今回の送信日時から、ウイルスの感染時期を推定している。とりわけ、そのファイルを前回送信した日時がワクチンを登録した日時以降であれば感染経路を中央装置以外と測定し、そのファイルを前回送信した日時がワクチンを登録した日時より前であれば、感染経路を中央装置または他のISPと特定している。
特許文献2には、フォワードトレースに関する発明が記載されている。特許文献2によれば、クライアント端末において、あるファイルからウイルスが検出されたときに、そのファイルに対して過去にアクセスしたことがある別のクライアント端末をすでにウイルスに感染している可能性がある端末として特定する被害範囲予測システムが開示されている。
特開2002−287991号公報 特開2009−176132号公報
特許文献1によれば、中央装置を経由した感染したのか、それ以外から感染したのかといった2通りの感染経路しか特定できない。しかしながら、現実の感染経路を多岐にわたっている。たとえば、メールに添付されていたファイルからウイルスに感染したり、USBメモリなどのリムーバブルメディアから感染したり、ウェブサイトを閲覧しているときにダウンロードしたファイルやスクリプトによって感染したりする場合もある。したがって、ファイルの送信日時だけでは具体的な感染経路を特定することができない。また、特許文献1では基本的に中央装置でウイルスを検出しており、中央装置を経由しないファイルについてはウイルスを検出できず、また、その感染経路も特定できない。つまり、端末装置のみでは感染経路を特定できない。また、特許文献1ではファイルの送信日時だけに着目しているため、送信されないファイルについては感染経路を特定できない。このようにファイルの送信履歴だけでは、中央装置を経由して感染したのか、他の経路を経由した感染したのかといった程度しか感染経路を特定できない。
また、ファイルは新規に作成された後で、コピーされたり、上書きされたり、リネームされたりする。また、メールに添付されていたファイルを展開して生成される一時ファイルからウイルスが検出されるときがあるが、一時ファイルにはランダムなファイル名が付与されることがあり、このような場合にも感染経路を特定しにくくなる。また、あるファイルを閲覧するための専用のビューワソフトウエアは、ウェブブラウザからOLE(Object Linking and Embedding)によって呼びだされることがある。この場合に、ビューワソフトウエアの実行日時だけを監視していたのでは、ウイルスの感染経路を十分に特定できない。すなわち、そのファイルがウェブブラウザによって取得されたことまでは特定できないからである。
特許文献2によれば、あるクライアント端末でウイルスが見つかったときに、それと同じウイルスに感染している可能性がある他のクライアント端末を特定できる(これをフォワードトレースと呼ぶ)。しかし、特許文献2では、最初にウイルスが見つかったクライアント端末に対して、そのウイルスがそもそもどこからやってきたのかを特定するバックトレースを実行することができない。
本発明は、たとえば、操作履歴を用いることで従来よりも詳細にウイルスの感染経路をバックトレースできるようにすることを目的とする。
本発明は、たとえば、
端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成する作成手段と、
前記作成手段により作成された操作履歴を記憶する操作履歴記憶手段と、
前記端末装置において起動されたプロセスがウイルスとして検出されると、当該ウイルスとして検出されたプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスとして検出されたプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定手段と、
前記特定手段にて特定されたウイルスの侵入経路を示す情報を出力する出力手段と
を有することを特徴とするウイルス侵入経路特定装置を提供する。
本発明によれば、操作履歴を用いることで従来よりも詳細にウイルスの感染経路をバックトレースできるようになる。
本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。
添付図面は明細書に含まれ、その一部を構成し、本発明の実施の形態を示し、その記述と共に本発明の原理を説明するために用いられる。
ウイルス侵入経路検索システムの一例を示す図である。 各種プログラムを実行することでCPUなどによって実現される機能を示したブロック図である。 ウイルスの侵入経路検索処理を示すフローチャートである。 ウイルスの侵入経路検索処理の他の例を示すフローチャートである。 ウイルスの侵入経路検索処理の例を示すフローチャートである。 ウェブ閲覧によってウイルスに感染したときのバックトレースの一例を示す図である。 リムーバブルデバイスによってウイルスに感染したときのバックトレースの一例を示す図である。 ファイル共有プロトコルによってウイルスに感染したときのバックトレースの一例を示す図である。 メーラーによってウイルスに感染したときのバックトレースの一例を示す図である。 ウイルス侵入経路検索処理(バックトレース)の一例を示すフローチャートである。 ウイルスの感染経路の一例を示す図である。 操作履歴に基づいたバックトレースの一例を示す図である。 ウイルスの感染経路の一例を示す図である。 操作履歴に基づいたバックトレースの一例を示す図である。 バックトレースの一例を示すフローチャートである。 ウイルスの感染経路の一例を示す図である。 操作履歴に基づいたバックトレースの一例を示す図である。 バックトレースの一例を示すフローチャートである。 ウイルスの感染経路の一例を示す図である。 操作履歴に基づいたバックトレースの一例を示す図である。 バックトレースの一例を示すフローチャートである。 複数のバックトレース結果が生じる例を示す図である。 重みづけ処理を示すフローチャートである。 重みづけ処理を示す詳細なフローチャートである。 操作履歴に基づいたバックトレースの一例を示す図である。
<基本的な考え方>
コンピュータウイルスの侵入経路としては、一般的に、次の経路が考えられる。
(I)メールの添付ファイルからの感染(メール送信者の特定)
(II)リムーバブルメディアからの感染(USBメモリであれば、そのベンダーID
やシリアルIDの特定)
(III)ウェブサイトからの感染(ウェブサイトのURLの特定)
(IV)ファイル共有ネットワークからの感染(ネットワークにおけるパス名等の特定)
なお、感染の要因としては、たとえば、次のようなものが考えられる。
(a)リムーバブルメディア
(b)ファイル実行
(c)ファイルコピー/移動
(d)ウェブサイトの閲覧
(e)スクリプトの実行
(f)OLE(Object Linking and Embedding)
(g)脆弱性攻撃
(h)メーラー
(i)URLクリック
(j)ウェブメール
(k)ウイルス感染
(l)ファイルダウンロード
(m)ファイルの保存
(n)名前を付けて保存
(o)フラッシュ実行
(p)ZIP(圧縮ファイル)の解凍処理
などがある。さらに、これらの感染要因の組み合わせによる侵入経路は次のように細分化できる。
(1)リムーバブルメディアに記憶されているファイルを実行すること(a=>b)
(2)リムーバブルメディアに記憶されているファイルをコピーすること(a=>c)
(3)リムーバブルメディアに記憶されているZIPファイルを解凍すること(a=>)
(4)ローカルでファイルをコピーしてそれを実行すること(c=>b)
(5)ローカルでZIPファイルを解凍して作成されたファイルを実行(=>b)
(6)ローカルでZIPファイルを解凍して作成されたファイルをコピーすること(=>
(7)ファイルを実行することによるウェブサイトの閲覧(b=>d)
(8)ウェブサイトを閲覧してスクリプトを実行(d=>e)
(9)ファイルを実行してOLEの呼出し(b=>f)
(10)OLEによるファイルの実行(f=>b)
(11)スクリプトの実行による脆弱性攻撃(e=>
(12)ファイル実行による脆弱性攻撃(b=>h)
(13)ウェブ閲覧によるファイルダウンロード(d=>
(14)メーラーの実行による添付URLのクリック(=>
(15)ウェブメールによるファイルのダウンロード(=>
(16)ウェブメールによる添付URLのクリック(=>
(17)メーラーによるファイルのダウンロード(=>
(18)脆弱性攻撃によるウイルス感染(=>
(19)添付URLクリックによるウェブサイトの閲覧(=>d)
(20)ファイルを保存してそれを実行(=>b)
(21)ファイルに名前を付けて保存し、それを実行(=>b)
(22)ファイルをダウンロードしてそれを実行(=>b)
(23)ファイルをダウンロードしてそれを保存(=>
(24)ファイルをダウンロードしてそれに名前を付けて保存(=>
(25)ウェブ閲覧によるフラッシュの実行(d=>
(26)フラッシュの実行による脆弱性攻撃(=>
(27)メール転送(=>
実際の侵入経路はさらにこれらの複合的な組み合わせとなる。たとえば、ウェブサイトの閲覧、ファイル(ZIP)をダウンロード、ダウンロードしたファイル(ZIP)を保存、保存したファイル(ZIP)を解凍、解凍されたファイルを実行、脆弱性攻撃、そしてウイルス感染(d=>=>=>=>b=>=>)といった経路となる。また、メールを起点とした完成経路としては、たとえば、メーラーの実行、添付ファイルのダウンロード、添付ファイルを保存、保存したファイルを実行、脆弱性攻撃、そしてウイルス感染(=>=>=>b=>=>)といった経路となる。USBメモリなどのリムーバブルメディアからの侵入経路は、たとえば、リムーバブルメディア、ファイルコピー、ファイル実行、脆弱性攻撃、そしてウイルス感染(a=>c=>b=>=>)といった経路となる。ファイル共有ネットワークからの感染の場合、ファイルのコピー、ファイルを実行、脆弱性攻撃、そしてウイルス感染(c=>b=>=>)といった経路となる。ウイルス検知ソフトウエアは、ウイルス特有のコードを探索することで、ウイルスに感染しているファイルを発見し、そのファイルを実行しようとしたプロセスのプロセス名(プロセスパス名)とプロセスIDを特定する。よって、プロセスパス名とプロセスIDを検索キーとして操作履歴を探索することで、感染ファイルがどのような経路で端末に作成されたのか、すなわち侵入経路を特定できるようになる。
操作履歴は、ユーザが端末装置に対して実行した操作の内容、操作日時などを記録する。操作内容としては、ウェブ閲覧に関するものとして、ウェブサイトのURL、ダウンロードしたファイルのパス名、アップロードしたファイルのパス名などを記録する。ファイル操作に関する操作内容としては、操作対象となったファイルのパス名(コピー元のパス名、コピー先のパス名)、操作の種類(ファイルオープン、名前変更、削除、新規作成、上書き保存、名前を付けて保存)などである。リムーバブルメディアに関する操作内容としては、リムーバブルデバイスの接続、取り外し、デバイス名、デバイスID、ベンダーID、シリアルID、などである。メーラーに関する操作内容としては、送信・受信の区別、添付ファイルの有無、送信先、送信元のメールアドレス、件名、MessageIDなどである。FTPに関する
操作内容としては、ファイルアップロード、ファイルダウンロード、ファイル削除などである。アクティブウインドウに関する操作内容としては、URLアクセス、アクティブウインドウ、ウインドウタイトル変更、名前を付けて保存ダイアログなどである。
操作履歴から侵入経路を探索するには、たとえば、パス名、プロセス名、プロセスIDなどが検査キーの中心となる。たとえば、あるファイルを実行しようとしたときにウイルスが検知されたと仮定する。この場合、ファイルのパス名、そのファイルを実行しようとしたプロセス名、プロセスIDなどがウイルス検知ソフトウエアによって特定される。ウイルスの侵入経路を検索する侵入経路検索部は、これらを検索キーとして操作履歴を検索し、検索キーにマッチしたレコードを見つける。侵入経路検索部は、見つかったレコードの作成日時に沿ってレコードを並べたときに、ウイルスの検出されたファイルを最初に保存したプロセス名やそのときのファイルのパス名を特定する。例えば、そのファイルが最初に端末装置に保存されたときにその保存に関与したプロセスが、メーラーであれば、メール経由でウイルスに感染したことがわかる。また、そのプロセスがウェブブラウザであれば、ウェブ経由でウイルスに感染したことがわかる。また、そのプロセスがファイルマネージャであり、コピー元のパス名がリムーバブルデバイスであれば、リムーバブルデバイス経由でウイルスに感染したことがわかる。また、パス名に¥¥がついていればファイル共有プロトコルによって共有されているファイルサーバからウイルスに感染したことがわかる。また、ここで「保存」とはファイルの新規作成や上書き保存を含む概念である。
なお、OLEが関与している場合、OLEによってプロセスを呼び出した親プロセスを操作履歴から特定することで、さらに詳細なウイルスの侵入経路を特定できるようになろう。
ところで、操作履歴の一部またはすべてをネットワーク上のサーバに転送してしまい、端末装置には、十分な操作履歴が残されていないことも考えられる。この場合、ウイルスの侵入経路を十分に特定できないおそれもある。そこで、この場合は、端末装置がサーバに侵入経路のバックトレースの依頼をリクエストする。サーバ装置も端末装置と同様の侵入経路検索部を備えているとともに、複数の端末装置の操作履歴をデータベース化して保持している。このように、端末装置がサーバ装置と連携することで、より過去の操作履歴まで辿ってウイルスの侵入経路を特定してもよい。また、サーバ装置には複数の端末装置の操作履歴が保存されていることを応用して、複数の端末装置にまたがった侵入経路を特定してもよい。
<実施例>
図1は、クライアント装置10a、10b(以下、単にクライアント装置10と称す。)と操作履歴を収集するサーバ装置20とを含むウイルス侵入経路検索システムの一例を示す図である。本発明にとってサーバ装置20は必須ではないが、一部の実施例ではサーバ装置20が必要となるため、図1に示されている。クライアント装置10は、たとえば、企業、学校、行政機関または家庭などに設置され、ユーザの業務履歴(操作履歴ないしは閲覧履歴)を取得するコンピュータの一例である。なお、クライアント装置10は、パーソナルコンピュータに限定されず、スキャナ装置、複合機、デジタルカメラ、携帯端末装置でもよい。サーバ装置20は、複数のクライアント装置10から操作履歴を取得して、データベース化したり、ウイルス侵入経路を検索したりするコンピュータである。なお、サーバ装置20は、オプションであり、必ずしも必要ではない。クライアント装置10は、インターネットやイントラネットなどのネットワーク100を介してサーバ装置20やWebサーバ、FTPサーバ、メールサーバなどと接続されている。
クライアント装置10は、オフィス(企業、学校および行政機関)や家庭などに配置されるパーソナルコンピュータなどの情報処理装置(端末装置)である。クライアント装置10では、記憶装置15に記憶されているソフトウエアにしたがってCPU11が各種手段として機能する。記憶装置15は、ハードディスクドライブ(HDD)やSSDなどである。メモリ13は、RAMやROMなどを含む。ROMには、BIOSなどのブートプログラムが記憶されている。ブートプログラムにしたがって、オペレーティングシステム(OS)が起動され、さらにOSにしたがって、各種の常駐プログラム(エージェントサービスやウイルス検知プログラム、ウイルス侵入経路検索プログラムなど)が起動される。RAMは、ワークエリアとして機能する。ネットワークインターフェース14は、ネットワーク100を通じて他のコンピュータと通信するための通信回路である。CPU11およびネットワークインターフェース14は、情報をサーバ装置から受信する受信手段や情報をサーバ装置に送信する送信手段として機能する。記憶装置15は、Webブラウザやメーラーだけでなく、OSや、エージェントサービスやウイルス検知プログラム、ウイルス侵入経路検索プログラム、操作履歴データベースなどを記憶する。エージェントサービスは、操作履歴の監視と記録を担当するプログラムである。OSとしては、一例として、Windows(登録商標)について説明するが、MacOS、Linux(登録商標)、iOS、Androidなどであってもよい。入力部16は、ポインティングデバイス(マウスやタッチパネル)やキーボードなどである。キーボードはソフトウエアキーボードであってもよい。また、入力部16は、入力された操作者の音声を音声認識機能により認識してCPU11へ指示を入力する音声認識入力部であってもよい。表示装置12は、情報を表示するためのユーザインタフェースである。外部インタフェース17は、USBインタフェースなどであり、リムーバブルデバイス18を接続する。リムーバブルデバイス18は、たとえば、ストレージクラスとして認識されるUSBメモリなどである。
サーバ装置20の記憶装置25は、ハードディスクドライブ(HDD)やSSDなどであり、サーバプログラムを記憶している。メモリ23は、RAMやROMなどを含む。CPU21は、サーバプログラムをRAMにロードし、複数のクライアント装置10から操作履歴データを取得して、データベース化したり、ウイルス侵入経路を検索したりする。ネットワークインターフェース24は、ネットワーク100を通じて他のコンピュータと通信するための通信回路である。表示装置12は、情報を表示するためのユーザインタフェースである。
図2は、各種プログラムを実行することでCPUなどによって実現される機能を示したブロック図である。クライアント装置10のエージェントサービス201は、サーバ装置20の管理部225から設定される設定情報をウイルス侵入経路検索部202に設定したり、ユーザの操作を監視して操作履歴をデータベース204に記録したり、ウイルス侵入経路検索部202の検索結果を取得したり、サーバ装置20に対してウイルス侵入経路の検索を依頼するためのリクエストを送信したりする。ウイルス侵入経路検索部202は、ウイルス検知部203からウイルス情報(感染ファイルのパス名、ウイルス名、ウイルスに関連したプロセスパス名など)を取得すると、そのウイルスの侵入経路を操作履歴に基づいてバックトレースする。ウイルス検知部203は、ウイルス定義ファイルに基づいて既知のウイルスや未知のウイルスを検知する。操作履歴データベース204には、ユーザがクライアント装置10において実行した各種の操作内容と操作日時などが操作履歴として記録されている。エージェントサービス201は、所定のタイミングになると操作履歴の一部またはすべてをサーバ装置20に転送し、転送済みの操作履歴を削除してもよい。また、クライアント装置10のエージェントサービス201、ウイルス侵入経路検索部202、ウイルス検知部203、データベース204の一部、または全てをシンクライアント(たとえば、ターミナルサービス)により実現してもよい。ターミナルサービスとは、クライアントコンピュータがサーバコンピュータにリモート接続し、サーバコンピュータ上に生成された仮想デスクトップ環境を利用してサーバコンピュータ上でアプリケーションプログラムを実行できるようにするサービスである。このとき、複数のユーザが同時並行的にそれぞれのユーザアカウントを用いて、サーバコンピュータが提供するサービスにログインし、仮想デスクトップ環境を利用することができる。
サーバ装置20は、クライアント装置10のウイルス侵入経路検索部202と同様の機能を有したウイルス侵入経路検索部222を有している。ウイルス侵入経路検索部222は、情報取得部223を通じてウイルス侵入経路の検索リクエストを受信すると、そのクライアント装置の操作履歴を検索対象として検索し、ウイルスの侵入経路を特定する。この検索結果はビューワ211によって表示装置22に表示されたり、クライアント装置10に送信されたりする。ログ処理部221は、エージェントサービス201により転送されてきた操作履歴を操作履歴データベース224に書き込む。サーバ装置20の操作履歴データベース224は、クライアント装置10の操作履歴データベース204と比較して、長期間にわたる操作履歴のデータが記憶されている。情報取得部223は、クライアント装置10との間でのデータの送受信などを担当する。情報取得部223は、エージェントサービス201から検索リクエストを受信すると、リクエストをウイルス侵入経路検索部222に渡す。また、情報取得部223は、エージェントサービス201から操作履歴を受信すると、ログ処理部221に渡す。例えばこれらの通信処理はHTTP通信で行われる。情報取得部223は、ウイルス侵入経路検索部222からバックトレースの結果を受信すると、リクエストを送信してきたクライアント装置10に結果を送信する。ログ処理部221は、クライアント装置10から受信した操作履歴を操作履歴データベース224に書き込む。ビューワ211は、ウイルス侵入経路検索部222から受信したバックトレースの結果を表示装置22に表示させる。管理部225は、エージェントサービス201に対して各種の設定(操作履歴の記録対象、操作履歴の保持期間の設定など)を行う。
図3は、クライアント装置10のCPU11が実行するウイルスの侵入経路検索処理を示すフローチャートである。
S301で、CPU11は、OSにしたがってエージェントサービスプログラム、ウイルス検知プログラムおよび侵入経路検索プログラムなどを起動する。これにより、エージェントサービス201、ウイルス侵入経路検索部202およびウイルス検知部203などが動作を開始する。
S302で、CPU11は、ウイルス検知部203がウイルスを検知したかどうかを判定する。ウイルス検知部203がウイルスを検知したことをCPU11(ウイルス侵入経路検索部202)に通知してくると、S303に進む。ウイルス検知部203は、ウイルスに関連したプロセスのプロセスパス名、検出日時、プロセスIDなどの情報(これをウイルス検知情報と称す。)をCPU11(ウイルス侵入経路検索部202)に通知する。なお、CPU11(ウイルス侵入経路検索部202)は、ウイルス検知部203が作成するウイルス検知ログをサーチすることで、ウイルスが検知されたことを認識してもよい。この場合、侵入経路検索プログラムと連携することを想定していないウイルス検知プログラムであっても、本発明を適用できる利点がある。
S303で、CPU11(ウイルス侵入経路検索部202)は、ウイルス検知情報に含まれている検索キーにしたがって操作履歴データベース204を検索する。これにより、ウイルスに関連したファイルやプロセスが最初にクライアント装置10に作成された日時や侵入経路を特定できるようになる。このようなバックトレースの詳細については後述する。
S304で、CPU11(ウイルス侵入経路検索部202)は、エージェントサービス201を通じて、バックトレースの結果をサーバ装置20に送信する。サーバ装置20は、情報取得部223を通じてバックトレースの結果を受信すると、ビューワ211によって表示装置22に通じてバックトレースの結果を表示する。これにより、システム管理者はウイルスの侵入経路を容易に把握できるようになる。
上述したように、クライアント装置10に操作履歴が全くなかったり、一部の操作履歴しか残っていなかったりすると、バックトレースに失敗してしまうことがある。そこで、本発明では、サーバ装置20にバックトレースを依頼することで、クライアント装置10とサーバ装置20とが連携してバックトレースを実行する例について説明する。
図4は、クライアント装置10のCPU11が実行するウイルスの侵入経路検索処理の他の例を示すフローチャートである。すでに説明した処理には同一の参照符号を付与することで、説明を省略する。ここでは、S301ないしS303を実行した後で、S401に進む。
S401で、CPU11(ウイルス侵入経路検索部202)は、バックトレースに失敗したかどうかを判定する。たとえば、ウイルスに関連したプロセスのパス名を記録したレコードが1つも見つからなかったり、レコードは見つかったとしてもそのレコードからは侵入経路を特定できなかったりしたときに、CPU11は、バックトレースに失敗したと判定する。バックトレースに失敗すると、S402に進む。
S402で、CPU11(ウイルス侵入経路検索部202)は、エージェントサービス201を通じて、サーバ装置20に対してバックトレースを依頼するためのリクエストを送信する。この際にCPU11は、バックトレースを実行するために必要なウイルス検出情報と、当該クライアント装置10を特定するための識別情報(ネットワークアドレスやコンピュータ名)などもサーバ装置20に送信する。
S403で、CPU11(ウイルス侵入経路検索部202)は、エージェントサービス201を通じて、バックトレースの実行結果をサーバ装置20から受信する。CPU11は、バックトレースの実行結果を表示装置12に表示してもよい。これによりユーザは、ウイルスの侵入経路を把握できるようになる。
一方で、S401で、バックトレースに成功したと判定すると、S404に進む。S404で、CPU11(ウイルス侵入経路検索部202)は、エージェントサービス201を通じて、バックトレースの結果をサーバ装置20に送信する。サーバ装置20は、情報取得部223を通じてバックトレースの結果を受信すると、ビューワ211によって表示装置22に通じてバックトレースの結果を表示する。
図5は、サーバ装置20のCPU21が実行するウイルスの侵入経路検索処理の例を示すフローチャートである。
S501で、CPU21(ウイルス侵入経路検索部222)は、情報取得部223を通じて、バックトレースの実行を依頼するリクエストを受信したかどうかを判定する。当該リクエストを受信すると、S502に進む。
S502で、CPU21(ウイルス侵入経路検索部222)は、バックトレースを実行する。たとえば、CPU21は、クライアント装置10から受信したウイルス検出情報と、当該クライアント装置10を特定するための識別情報とを検索キーとして、操作履歴データベース224にアクセスして検索を実行する。そして見つかったレコードから最初にウイルスに関連したファイルがクライアント装置10に作成された日時と侵入経路(たとえば、ウェブ閲覧、メーラー、リムーバブルデバイス、ファイル共有プロトコル)を特定する。
S503で、CPU21(ウイルス侵入経路検索部222)は、バックトレースの結果をビューワ211に表示させたり、クライアント装置10に送信したりする。
<バックトレースの詳細>
図6は、ウェブ閲覧によってウイルスに感染したときのバックトレースの一例を示す。ここでは、操作履歴600に記憶されている操作の内容からバックトレースを実行する例を説明する。操作履歴600は、たとえば、操作名601、ファイル名602、プロセス名603、添付ファイル名604、URL605、操作日時606などを含んでいる。図6が示すように、エージェントサービス201またはログ処理部221は、ユーザの操作ごとに、操作の内容を示す操作名601、操作の対象であるファイルの識別情報であるファイル名602、操作に関与したプロセスの識別情報であるプロセス名603、添付ファイルの識別情報である添付ファイル名604、URL605、操作が実行された日時である操作日時606などを含むレコードを作成する。URL605はネットワークのアクセスログから特定されてもよいし、対象のプロセスのアクティブウインドウのウィンドウ名(タイトル名)/アドレスバー名から判断されてもよい。なお、プロセスによっては、あるプロセス(親プログラム)が元になって何らかのプログラム(子プログラム)を生成する場合がある。その場合は、親プログラム/子プログラムのウィンドウ名(タイトル名)/アドレスバー名からURL605が判断されてもよい。ウイルス検知部203がウイルスを検出すると、そのプロセス名(例:Malware.exe)やプロセスIDなどがウイルス検知部203からウイルス侵入経路検索部202に渡される。ウイルス侵入経路検索部202は、プロセス名(例:Malware.exe)やプロセスIDを検索キーとして操作履歴600を検索し、日時の新しい操作内容から順番に経路をバックトレースして行く。この例では、ウイルス(Malware.exe)がウェブアクセスを実行していることがわかる。さらに、ウイルス侵入経路検索部202は、過去の操作履歴を遡ってゆく。この例では、2012年11月20日13時5分30秒にウイルス(Malware.exe)が保存されたことがわかる。なお、プロセス名603やファイル名602はパスを含むパス名としてもよい。これにより、さらに正確にバックトレースを実行できるからである。さらに、ウイルス侵入経路検索部202は、過去の操作履歴を遡り、ウイルス(Malware.exe)がwebbrowser.exeによって、あるサイト(http://www.jp)からダウンロードされたことを突き止める。ファイルダウンロードは、ウイルス(Malware.exe)が最初にクライアント装置10に侵入した動作の一例である。このように、ウイルス(Malware.exe)が最初にクライアント装置10に侵入したタイミングが操作名601から判断できる。
図7は、リムーバブルデバイスによってウイルスに感染したときのバックトレースの一例を示す。この例では、操作履歴600にファイルのコピー元を示すコピー元情報701が追加されている。つまり、図7が示すように、エージェントサービス201またはログ処理部221は、ユーザの操作ごとに、操作の内容(例:ファイルコピー)を示す操作名601、操作の対象であるファイル名602(例:Malware.exe)、操作に関与したプロセス名603(例:filemanager.exe)、コピー元情報701(例:リムーバブル)、URL605、操作が実行された日時である操作日時606などを含むレコードを作成する。上述したように、ウイルス侵入経路検索部202は、プロセス名に従って過去の操作履歴を遡り、操作名として最初の侵入に関与した操作である「ファイルコピー」を見つける。見つかったレコードにおけるコピー元情報701は、リムーバブルデバイスがコピー元であったことを示している。よって、ウイルス侵入経路検索部202は、ウイルス(Malware.exe)の侵入経路は、リムーバブルデバイスであると特定する。なお、操作履歴600の当該レコードにリムーバブルデバイスのプロダクトIDやベンダーIDやシリアルIDなどを記録しておけば、具体的にどのリムーバブルデバイスであったかを特定できるようになる。
図8は、ファイル共有プロトコルによってウイルスに感染したときのバックトレースの一例を示す。なお、図8が示すように、エージェントサービス201またはログ処理部221は、ユーザの操作ごとに、操作の内容(例:ファイルコピー)を示す操作名601、操作の対象であるファイル名602(例:Malware.exe)、操作に関与したプロセス名603(例:filemanager.exe)、コピー元情報701(例:\\server\Malware.exe)、URL605、操作が実行された日時である操作日時606などを含むレコードを作成する。上述したように、ウイルス侵入経路検索部202は、プロセス名に従って過去の操作履歴を遡り、操作名として最初の侵入に関与した操作である「ファイルコピー」を見つける。見つかったレコードにおけるコピー元情報701には、コピー元を示すパス名が記録されており、しかしそのパス名にはネットワークドライブからのコピーを示す"¥¥"が含まれている。よって、ウイルス侵入経路検索部202は、ウイルス(Malware.exe)の侵入経路がネットワークドライブ(ファイル共有プロトコル)であると特定する。
図9は、メーラーによってウイルスに感染したときのバックトレースの一例を示す。なお、図9が示すように、エージェントサービス201またはログ処理部221は、ユーザの操作ごとに、操作の内容(例:メール受信)を示す操作名601、操作の対象であるファイル名602、操作に関与したプロセス名603(例:Mailer.exe)、添付ファイル名604(例:ABCD.pdf)、メールアドレス901、操作が実行された日時である操作日時606などを含むレコードを作成する。ウイルス侵入経路検索部202は、プロセス名に従って過去の操作履歴を遡り、操作名として最初の侵入に関与した疑いのある操作である「新規作成」を見つける。操作名601として「ウイルス検出」を含むレコードと操作名601として「新規作成」を含むレコードとは、Malware.exeというパス名を介して相互に関係したレコードとして検索により見つかる。つまり、これらのレコードは、プロセス名「Malware.exe」とファイル名「Malware.exe」とが相互に関係していることから、相互に関係したレコードとして抽出される。しかし、ウイルス(Malware.exe)のファイルを新規に作成したプロセスは、OLE関連のプロセス(例:Reader.exe)であり、このプロセスは他のプロセス(親プロセス)から呼び出された可能性がある。そこで、ウイルス侵入経路検索部202は、この他のプロセスによる日時の近い操作内容を検索し、「ファイルオープン」といった操作内容を見つける。つまり、ウイルス(Malware.exe)は、ABCD.pdfをReader.exeが開いたときに、Reader.exeの脆弱性を突かれて生成されたウイルスであることがわかる。なお、操作名601として「新規作成」を含むレコードと操作名601として「ファイルオープン」を含むレコードとは、Reader.exeというプロセス名(パス名)を介して相互に関係したレコードとして見つかる。ウイルス侵入経路検索部202は、あらたに、ファイル名(ABCD.pdf)が最初に保存された日時とその操作内容を探索する。ファイル名602(ABCD.pdf)を含むレコードに対して相互に関係した添付ファイル名604(ABCD.pdf)を含む他のレコードが、相互に関係したレコードとして検索により見つける。その結果、ウイルス侵入経路検索部202は、メーラー(Mailer.exe)によって、あるメールアドレス(a@b.c.jp)から受信したメールに添付されていたファイル(ABCD.pdf)が侵入経路であったと特定できる。このように、ウイルス侵入経路検索部202は、端末装置において起動されたプロセスがウイルスとして検出されると、ウイルスとして検出されたプロセスのプロセス識別情報を検索キーとして操作履歴のバックトレースを開始し、ウイルスとして検出されたプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する。なお、相互に関係した一連のレコードが検索により見つからない場合は、検索が終了する。たとえば、検索により見つかった操作が、後述する侵入関連操作である場合には、そこで検索が終了する。
このようにファイルをオープンするために使用されたプロセスがOLEによって親プロセスから呼び出されることがあるプロセスについては、予めテーブルにそのプロセス名を登録しておき、そのプロセス名が操作履歴から検索により見つかったときは、そのプロセスを呼び出した親プロセスを操作履歴から検索することで、本当の侵入口を見つけることが可能となる。
図10は、ウイルス侵入経路検索処理(バックトレース)の一例を示すフローチャートである。
S1001で、ウイルス侵入経路検索部202は、ウイルス検知部203から受け取ったウイルス情報(例:プロセス名など)に基づいて操作履歴を検索する。
S1002で、ウイルス侵入経路検索部202は、検索により見つかったレコードをそこに記録されている操作日時順にソートする。なお、ソート処理は省略されてもよい。
S1003で、ウイルス侵入経路検索部202は、新しいレコードから順番に古いレコードを調査し、レコードに記録されているファイル名が侵入関連操作(例:メール受信、ウェブ閲覧、ダウンロード、ファイル新規作成、リムーバブルデバイスからのファイルのコピー・移動、ファイル共有プロトコルによるファイルのコピー・移動など)かどうかを判定する。操作名が侵入関連操作でなければ、S1004に進む。操作名が侵入関連操作であれば、S1006に進む。S1006で、ウイルス侵入経路検索部202は、発見したウイルス侵入に関与したレコードから必要な情報を抽出し、検索結果を作成する。
S1004で、ウイルス侵入経路検索部202は、検索により見つかった複数のレコードのうち、今調査を終了したレコードより次に新しいレコードを検索して調査する。
S1005で、ウイルス侵入経路検索部202は、次に新しいレコードが存在しなければ、そこでバックトレースを打ち切って、S1006に進む。S1006で、ウイルス侵入経路検索部202はバックトレースを打ち切るまでに見つかったウイルスの移動経路(ファイルコピーや移動など)を検索結果としてまとめる。一方で、次に新しいレコードが存在すれば、S1003に戻り、ウイルス侵入経路検索部202は、次に新しいレコードに記録されているファイル名などを調査する。
なお、S1003の侵入関連操作の判定処理では、図9に示したように親子プロセスの関連性やファイルのリネームなども考慮して、バックトレースを継続して行く。
なお、サーバ装置20において実行されるバックトレースも基本的に図10に示した手順となる。なお、サーバ装置20のウイルス侵入経路検索部222が検索結果を作成するときは、クライアント装置10から受け取った検索結果も反映して全体としての検索結果を作成する。たとえば、クライアント装置10が2013年10月11日から2013年9月11日まで検索し、サーバ装置20が2013年9月10日から2012年9月11日まで検索した場合、サーバ装置20は、2013年10月11日から2012年9月11日までのバックトレース結果を検索結果として作成する。
以上説明したように、本実施例によれば、予め操作履歴を記憶しておくことで、操作履歴を検索することで、ウイルスの侵入経路や移動経路をバックトレースすることが可能となる。なお、ウイルス侵入経路検索部は、端末装置だけに存在してもよいし、サーバ装置だけに存在してもよいし、双方に存在してもよい。端末装置だけにウイルス侵入経路検索部を設ければ、比較的に簡易にウイルス侵入経路を検索できるようになる。サーバ装置だけにウイルス侵入経路検索部を設ければ、端末装置の検索負荷を軽減できる利点がある。さらに、端末装置とサーバ装置に双方にウイルス侵入経路検索部を設ければ、端末装置で途中までしか侵入経路を特定できなかったとしても、サーバ装置において最初の侵入口まで特定できるようになろう。また、ウイルスの侵入口はいくつかの種類に分類できる。よって、侵入操作といえる特定の操作内容が現れるまでバックトレースを実行することで、侵入口を特定してもよい。つまり、バックトレースを実行して操作履歴を遡っても特定の操作内容が見つからなければ、検索に失敗したと判定できる。また、その結果、サーバ装置への検索を依頼してもよい。
なお、一見すると侵入口が見つかったようなケースでもその操作が子プロセスによって実行された操作であれば、さらに親プロセスを特定することで真の侵入口を見つけられるようになろう。
<その他>
上述した実施例によれば、あるクライアント装置10についてウイルスが侵入してきた侵入口を特定することが可能となる。ところで、ネットワークでファイル共有プロトコルによってファイルサーバからファイルをコピーすることでウイルスに感染した場合、そのファイルはだれがアップロードしたかが問題となる。一方で、サーバ装置20は、自己の配下にある複数のクライアント装置10のそれぞれの操作履歴を保持している。よって、ウイルスに感染したファイル名(パス名)と操作日時がわかれば、そのファイルをファイルサーバにアップロード(コピー)した他のクライアント装置10をサーバ装置20は特定できる。さらに、他のクライアント装置10において当該ファイルがどのように操作(コピー、リネーム、ダウンロード、保存)されたかもサーバ装置20は、操作履歴から特定できる。よって、ファイル共有プロトコルによってファイルを共有しているドメイン内へのウイルスの侵入経路もサーバ装置20のウイルス侵入経路検索部222は特定することができる。
なお、上述した実施例では、クライアント装置10にウイルス侵入経路検索部202が存在することを前提としたが、サーバ装置20にだけウイルス侵入経路検索部222が存在してもよい。この場合、エージェントサービス201は、操作履歴をすべてサーバ装置20に転送しておき、さらにウイルス検知部203からのウイルス検知情報も検索リクエストともにサーバ装置20に送信してもよい。
また、ウイルス検知部203は、スクリプト型のウイルスやレジストリに保存されるウイルス、メモリ上に展開されたウイルスを検知できる。よって、ウイルス侵入経路検索部202は、スクリプトを実行したプロセス、レジストリへのウイルスコードを書き込んだプロセス、メモリ上へのウイルスを展開したプロセスを操作履歴から特定し、スクリプトをダウンロードさせたサイトのURLや、レジストリへ書き込まれたウイルスコードを含んでいたファイルの入手先、メモリ上へのウイルスを展開したプロセスの侵入経路を特定してもよい。
●[ネットワーク経由でファイルまたはプログラムを実行した場合のバックトレース]
図11が示すように、インターネットやイントラネットなどではネットワーク100に対して複数のクライアント装置10a、10b、10c、10dが接続されている。クライアント装置10aは、例えばSMBなどでアクセスが許可されているフォルダ1101がある。フォルダ1101のパス名は、たとえば、¥¥CleientAである。フォルダ1101には、任意のファイル(ここでは、Malware.pdf)が記憶されている。クライアント装置10b、10cからはこのフォルダにアクセスして、当該ファイルを開いたり、コピーしたりするなど、ファイル操作が許可されている。このような前提の下、クライアント装置10b、10cがフォルダ1101のファイルをプロセス(Viewer.exe)により操作したところ、ウイルス検知部203がウイルスを検知した。このような場合において、ウイルスの侵入経路が他の端末装置であることを特定する。なお、以降の説明では、クライアント装置10aの識別情報の一例として「ClientA」、クライアント装置10bの識別情報の一例として「ClientB」、クライアント装置10cの識別情報の一例として「ClientC」として説明する。
図12は、バックトレースの一例を示している。操作履歴600には、操作を実行したクライアント装置の識別情報であるPC名1200やプロセス識別情報であるプロセスIDが含まれている。
(i)ウイルス検知部203がウイルスを検知すると、ウイルス侵入経路検索部202は、ウイルス検知情報からウイルスとの関連性が指摘されたプロセスのプロセス識別情報(プロセス名603とプロセスID1201)を取得する。さらに、ウイルス侵入経路検索部202は、プロセス識別情報にしたがって操作履歴600を検索し、そのプロセスが起動した操作履歴のレコードを発見する。
(ii)ウイルス侵入経路検索部202は、プロセス識別情報が共通するレコードのうち、プロセスがスタートした時刻からウイルスが検知された時刻までに当該プロセスが何らかのファイルをオープンしたことを示す操作履歴のレコードを特定する。
(iii)ウイルス侵入経路検索部202は、発見したレコードに含まれてファイルのパス名を取得する。ウイルス侵入経路検索部202は、取得したパス名に「¥¥」が含まれていることから、ネットワークで共有されているファイルであることを認識し、さらに、パス名に「ClientA」というクライアント装置10aの識別情報が含まれていることから、クライアント装置10aをクライアント装置10bへのウイルスの侵入経路と特定する。
なお、ウイルス侵入経路検索部202は、見つかったパス名をサーバ装置のウイルス侵入経路検索部222に渡すことで、サーバ装置のウイルス侵入経路検索部222がさらに侵入経路を特定してもよい。サーバ装置20の操作履歴データベース224には、複数の端末の操作履歴が記録されている。よって、ウイルス侵入経路検索部222は、複数のクライアント装置間でのファイルの移動をトレースできる。ウイルス侵入経路検索部222は、ウイルス侵入経路検索部202からのリクエストを受信すると、そのリクエスト(パス名)にしたがってフォルダ1101にファイルが書き込まれた経緯をバックトレースする。これにより、クライアント装置10aへのウイルスの侵入経路も特定できる。
このように、サーバ装置20に設けられた操作履歴データベース224は、複数の端末装置において取得された操作履歴を記憶しており、サーバ装置20に設けられたウイルス侵入経路検索部222は、複数の端末装置のうちの1つの端末装置においてウイルスが見つかると、そのウイルスに関連したパス名またはプロセスの識別情報をもとに複数の端末装置の操作履歴を検索して、当該ウイルスの侵入経路を特定する。
図13は、ネットワークフォルダに記憶されているファイルを実行することでクライアント装置においてウイルスが検知された事例を示している。ここでは、クライアント装置10aのフォルダ1101に問題のファイル「Malware.exe」が記憶されており、他のクライアント装置10b、10cがそれを実行したと仮定している。
図14は、バックトレースの一例を示している。
(i)クライアント装置10bのウイルス検知部203がウイルスを検知すると、ウイルス侵入経路検索部202は、ウイルス検知情報からウイルスとの関連性が指摘されたプロセスのプロセス識別情報(プロセス名603とプロセスID1201)を取得する。図14において、プロセス名603には、「¥¥ClientA¥¥Malware.exe」というパス名が保存されている。さらに、ウイルス侵入経路検索部202は、プロセス識別情報にしたがって操作履歴600を検索し、そのプロセスが起動した操作履歴のレコードを発見する。
(ii)ウイルス侵入経路検索部202は、プロセス識別情報が共通するレコードのうち、プロセスがスタートした時刻からウイルスが検知された時刻までに当該プロセスが何らかのファイルをオープンしたことを示す操作履歴のレコードを特定する。図14に示した事例では、別のプロセスがテキストファイルを開いたことを示すレコードが存在するものの、ウイルスに関連したプロセス(¥¥ClientA¥¥Malware.exe)は何のファイル操作も実行していない。よって、ウイルス侵入経路検索部202は、プロセス(¥¥ClientA¥¥Malware.exe)自体がウイルスであり、そのパス名からクライアント装置10aが侵入口であると特定する。
ここでは、クライアント装置10で侵入経路を特定するものとして説明したが、すでに言及したように、サーバ装置20だけで侵入経路を特定してもよいし、クライアント装置10のウイルス侵入経路検索部202とサーバ装置20のウイルス侵入経路検索部222とが連携してウイルス侵入経路特定処理を実行してもよい。サーバ装置20に設けられた操作履歴記憶手段には、クライアント装置10に設けられた操作履歴記憶手段に記憶されている操作履歴の期間よりも長期間にわたる操作履歴が記憶されている。よって、クライアント装置10は、自己が記憶している操作履歴だけでは侵入経路を途中までしか特定できなかったときに、さらに過去の操作履歴についてのバックトレースをサーバ装置20に依頼してもよい。サーバ装置20は、クライアント装置10から受けとったリクエストにしたがって、過去の操作履歴をサーチする。
図15は、サーバ装置が実行するバックトレースの手順を示したフローチャートである。バックトレースは、クライアント装置10で実行されるものとして説明するが、一部またはすべてをサーバ装置20で実行してもよい。
S1501で、ウイルス侵入経路検索部202は、クライアント装置10のウイルス検知部203がウイルスを検知したかどうかを判定する。(サーバ装置20のウイルス侵入経路検索部222がバックトレースを実行するときは、ウイルス検知部203がウイルスを検知すると、ウイルスを検知したことをクライアント装置10のエージェントサービス201がウイルス侵入経路検索部222に通知する。)ウイルスが検知されると、S1502に進む。
S1502で、ウイルス侵入経路検索部202は、クライアント装置10のウイルス検知部203から上述したウイルス検知情報を取得する。
S1503で、ウイルス侵入経路検索部202は、ウイルス検知情報に含まれているプロセス識別情報によって特定されるプロセスがファイルをオープンしているかどうかを、操作履歴データベース204に記憶されている操作履歴600にしたがって判定する。なお、サーバ装置20がバックトレースを実行する場合、ウイルス侵入経路検索部222は、各クライアント装置10に操作履歴をサーバ装置20に転送するよう指示してもよい。これにより、最新の操作履歴を検索の対象とすることがきる。ファイルをオープンしていれば、S1504に進む。
S1504で、ウイルス侵入経路検索部202は、オープンされているファイルのファイルパスがネットワーク共有ファイルであることを示す特定の記号「¥」から始まっているかどうかを判定する。ファイルパスが記号「¥」から始まっていれば、S1505に進む。
S1505で、ウイルス侵入経路検索部202は、ウイルスに関連したファイルはネットワーク上に存在することを認識する。
S1506で、ウイルス侵入経路検索部202は、ウイルスに関連したファイルのパス名からウイルスを保持しているクライアント装置を特定する。
S1507で、ウイルス侵入経路検索部202は、ウイルスを保持しているクライアント装置の操作履歴をさらに検索するかどうかを判定する。たとえば、ウイルスを保持しているクライアント装置が自分自身であれば、ウイルス侵入経路検索部202は、データベース204をさらに過去にさかのぼって検索を実行する必要がある。この場合は、ウイルス侵入経路検索部202は、データベース204をさらに過去にさかのぼって検索を実行する。一方で、ウイルスを保持しているクライアント装置が他の端末であれば、ウイルス侵入経路検索部202は、さらなる検索を実行できないため、サーバ装置20に検索を依頼する必要がある。また、ウイルス侵入経路検索部202は、データベース204をさらに過去にさかのぼって検索を実行したところ、操作履歴が不足していることもある。この場合は、S1508に進む。
S1508で、ウイルス侵入経路検索部202は、エージェントサービス201を通じてサーバ装置20に検索を依頼する。この依頼には、検索の対象となる他のクライアント装置の識別情報や、ファイルのパス名などが含まれている。サーバ装置20のウイルス侵入経路検索部222は、依頼にしたがって侵入経路を特定する。
●[メールにウイルスファイルが添付されており、メール受信者がファイルを開かずに他の人へ転送し、転送先でウイルスに感染したケースにおけるバックトレース]
図16は、メールの転送によってウイルスに感染するケースを示している。ウイルスがメールに添付されている場合、添付ファイルを実行したときにそのウイルスがウイルス検知部203によって検知される。よって、メールを受信したとしても添付ファイルを操作せずにそのまま転送した場合にはウイルスが検知されないおそれがある。
図16によれば、クライアント装置10cが外部の送信者からメールを受信し、添付ファイルを操作することなくそのメールをクライアント装置10bに転送したと仮定する。さらに、クライアント装置10bも、添付ファイルを操作することなくそのメールをクライアント装置10aに転送したと仮定する。クライアント装置10aは、運悪くそのメールの添付ファイルを実行してしまい、ウイルスを検知したと仮定する。この場合、クライアント装置10aは、上述した手順により、クライアント装置10bが侵入経路であると特定できるが、そこから先の侵入経路までを特定することができない。
一方で、サーバ装置20は、複数のクライアント装置10a〜10dのメーラーの動作も操作履歴として記憶している。よって、サーバ装置20のウイルス侵入経路検索部222であれば、データベース224を利用してさらに詳細な侵入経路をバックトレースできる。
図17は、メールの転送が関与するウイルスの侵入経路についてのバックトレースの一例を示している。ここで、サーバ装置20のウイルス侵入経路検索部222がバックトレースを実行するものと仮定する。
(i)ウイルス検知部203がウイルスを検知し、ウイルスに関連するプロセス名603とプロセスID1201をウイルス侵入経路検索部202およびエージェントサービス201を介してウイルス侵入経路検索部222に渡す。エージェントサービス201は、PC名もウイルス侵入経路検索部222に渡す。ウイルス侵入経路検索部222は、ウイルス検知情報に含まれているウイルスに関連するプロセス名603、プロセスID1201およびPC名を元に、そのプロセスがスタートしたときの操作履歴をデータベース224から見つける。
(ii)ウイルス侵入経路検索部222は、プロセスがスタートしたときの操作履歴を見つけると、さらにそのプロセスの実行ファイルのパス名からその実行ファイルを新規作成したときに記録された操作履歴をデータベース224から見つける。ここでは、メーラーによってウイルスに関連した実行ファイル(Malware.exe)が作成されたことがわかる。
(iii)ウイルス侵入経路検索部222は、メーラーが実行ファイル(Malware.exe)を添付ファイルとして受信したときの操作履歴を検索して抽出する。さらに、ウイルス侵入経路検索部222は、見つかった操作履歴のレコードに記録されている差出人メールアドレス1701を抽出することで、メールを送信してきた他のクライアント装置10bを特定する。
なお、(i)から(iii)までは、ウイルスを検出したクライアント装置10aにおいて実行されてもよい。
(iv)ウイルス侵入経路検索部222は、差出人メールアドレス1701および添付ファイル名604に基づいて、問題の添付ファイルを受信したことを示す操作履歴のレコードをデータベース224から検索して抽出する。ウイルス侵入経路検索部222は、そのレコードに含まれている差出人メールアドレス1701を抽出することで、メールを送信してきた他のクライアント装置10cを特定する。
(v)ウイルス侵入経路検索部222は、差出人メールアドレス1701および添付ファイル名604に基づいて、問題の添付ファイルを受信したことを示す操作履歴のレコードをデータベース224から検索して抽出する。ウイルス侵入経路検索部222は、そのレコードに含まれている差出人メールアドレス1701を抽出することで、メールを送信してきた外部の差出人(unknown@maiware.jp)を特定する。なお、サーバ装置20の管理下への最初の侵入口はクライアント装置10cであることが特定される。
また、ウイルス侵入経路検索部222は、メーラーが実行ファイル(Malware.exe)を添付ファイルとして受信したときの操作履歴に基づいてメールの送信元を特定するのみならず、メーラーが実行ファイルを新規作成した直前にメーラーが開いていたメール情報(メールのオープンログ)に基づいてメールの送信元を特定してもよい。
図25は、メールの転送が関与するウイルスの侵入経路についてのバックトレースの他の一例を示している。ここで、サーバ装置20のウイルス侵入経路検索部222がバックトレースを実行するものと仮定する。
(i)ウイルス検知部203がウイルスを検知し、ウイルスに関連するプロセス名603とプロセスID1201をウイルス侵入経路検索部202およびエージェントサービス201を介してウイルス侵入経路検索部222に渡す。エージェントサービス201は、これらの情報に加えPC名もウイルス検知情報としてウイルス侵入経路検索部222に渡す。ウイルス侵入経路検索部222は、ウイルス検知情報に含まれているウイルスに関連するプロセス名603、プロセスID1201およびPC名を元に、そのプロセスがスタートしたときの操作履歴をデータベース224から見つける。
(ii)ウイルス侵入経路検索部222は、プロセスがスタートしたときの操作履歴を見つけると、さらにそのプロセスの実行ファイルのパス名からその実行ファイルを新規作成したときに記録された操作履歴をデータベース224から見つける。ここでは、メーラーによってウイルスに関連した実行ファイル(Malware.exe)が作成されたことがわかる。
(iii−i)ウイルス侵入経路検索部222は、メーラーが実行ファイル(Malware.exe)を添付ファイルとして受信したときの操作履歴を検索して抽出する。さらに、ウイルス侵入経路検索部222は、見つかった操作履歴のレコードに記録されている差出人メールアドレス1701を抽出することで、メールを送信してきた他のクライアント装置10bを特定する。
また、(iii−i)でなく、(iii−ii)の経路で対象のメールを送信してきた他のクライアント装置10bを特定してもよい。
(iii−ii)ウイルス侵入経路検索部222は、メーラーが実行ファイル(Malware.exe)を新規作成した直前に対象のメーラーが開いていたメールのメール情報(メールのオープンログ)を抽出し、そのメールのオープンログに記載されているMessageIDが一致する、メールの受信ログを抽出する。さらに、ウイルス侵入経路検索部222は、見つかった操作履歴のレコードに記録されている差出人メールアドレス1701を抽出することで、メールを送信してきた他のクライアント装置10bを特定する。
またウイルス侵入経路検索部222は、(iii−i)と(iii−ii)の両方を複合して使用して対象のメールを送信してきた他のクライアント装置10bを特定してもよい。
なお、(i)から(iii−ii)までは、ウイルスを検出したクライアント装置10aにおいて実行されてもよい。
(iv)ウイルス侵入経路検索部222は、差出人メールアドレス1701および添付ファイル名604に基づいて、問題の添付ファイルを受信したことを示す操作履歴のレコードをデータベース224から検索して抽出する。ウイルス侵入経路検索部222は、そのレコードに含まれている差出人メールアドレス1701を抽出することで、メールを送信してきた他のクライアント装置10cを特定する。
(v)ウイルス侵入経路検索部222は、差出人メールアドレス1701および添付ファイル名604に基づいて、問題の添付ファイルを受信したことを示す操作履歴のレコードをデータベース224から検索して抽出する。ウイルス侵入経路検索部222は、そのレコードに含まれている差出人メールアドレス1701を抽出することで、メールを送信してきた外部の差出人(unknown@malware.jp)を特定する。なお、サーバ装置20の管理下への最初の侵入口はクライアント装置10cであることが特定される。
図18は、バックトレースの手順を示したフローチャートである。S1801〜S1803はウイルスを検知したクライアント装置が実行し、S1804〜S1807はサーバ装置20が実行する。
S1801で、ウイルス侵入経路検索部202は、ウイルス検知情報と操作履歴600とに基づいてウイルスの実行ファイルを作成したプロセスがメーラーであることを特定する。
S1802で、ウイルス侵入経路検索部202は、データベース204からメーラーに関する操作履歴を検索して抽出し、ウイルスに関連した添付ファイルを送信してきた送信者アドレスを特定する。
S1803で、ウイルス侵入経路検索部202は、送信者アドレスが同一ドメイン内のアドレスか、それとも同一ドメイン外のアドレスかに基づいて、サーバ装置20に検索を依頼するかどうかを判定する。送信者アドレスが同一ドメイン外であれば、そこで侵入口は特定されたことになるため、バックトレースを終了する。一方で、送信者アドレスが同一ドメイン内のアドレスであれば、サーバ装置20のデータベース224からさらにバックトレースを継続できる。そこで、送信者アドレスが同一ドメイン内のアドレスであれば、S1804に進む。
S1804で、サーバ装置20のウイルス侵入経路検索部222は、クライアント装置10からの検索依頼に付随した添付ファイル名に基づいてデータベース224を検索し、その添付ファイルを受信した操作履歴を抽出する。
S1805で、ウイルス侵入経路検索部222は、見つかった操作履歴のメールアドレス情報(送信者アドレス1701)に基づいて、ウイルスを保持している可能性のある端末(添付ファイルを送信してきクライアント装置)を特定する。
S1806で、ウイルス侵入経路検索部222は、ウイルスを保持している可能性のある端末のアドレス情報に基づいて、さらに他のクライアント装置の操作履歴をバックトレースするかどうかを判定する。ウイルスを保持している可能性のある端末のアドレスが同一ドメイン内のアドレスであれば、データベース224にはその操作履歴が保存されている。よって、ウイルス侵入経路検索部222は、さらに検索を実行するためにS1807に進む。S1807で、ウイルス侵入経路検索部222は、S1804ないしS1806を実行する。S1804ないしS1807を繰り返し実行することで、ウイルス侵入経路検索部222は、同一ドメイン内でウイルスに関連した添付ファイルを最初に送信した送信者(クライアント端末)を特定する。上述したように、外部から当該添付ファイル付きのメールを受信して同一ドメイン内の他のアドレスに転送したクライアント端末を特定する。一方で、ウイルスを保持している可能性のある端末のアドレスが同一ドメイン外のアドレスであれば、侵入口が特定できたため、バックトレースを終了する。
●[リムーバブルデバイスによって複数のクライアント装置間でウイルスが移動したケース]
上述したようにUSBメモリなどのリムーバブルデバイスは複数のクライアント装置間で使用することができる。よって、リムーバブルデバイスを経由して物理的にウイルスに関連したファイルが搬送されることがある。いずれかのクライアント装置でリムーバブルデバイスから読み出したファイルからウイルスが検知された場合に、どのクライアント装置によってどのリムーバブルデバイスにそのファイルが書き込まれてかを特定することは有意義であろう。
図19によれば、クライアント装置10bにアタッチ(接続)されたリムーバブルデバイス18に対してクライアント装置10bがウイルス関連ファイル(Malware.doc)を書き込んだことを示している。さらに、リムーバブルデバイス18は、別のクライアント装置10aに接続され、ウイルス関連ファイルがクライアント装置10aの記憶装置に15にコピーされたり、CPU11によってオープンされたりする。その結果、ウイルス検知部203がウイルス関連ファイル(Malware.doc)にウイルスコードが含まれていることを検知する。
図20は、バックトレースの一例が示されている。
(i)ウイルス検知部203は、文書編集ソフトウエア(wordproc.exe)がウイルスコードを実行したことを検知する。ウイルス侵入経路検索部202は、ウイルスに関連したプロセスである文書編集ソフトウエア(wordproc.exe)が起動したことを示す操作履歴を探すために、ウイルス検知部203が受け取ったウイルス検知情報(プロセス名603、プロセスID120)に基づいてデータベース204を検索する。その結果、ウイルス侵入経路検索部202は、ウイルスに関連したプロセスが起動したことを示す操作履歴のレコードを発見する。
(ii)ウイルス侵入経路検索部202は、プロセスがスタートしたときの操作履歴を見つけると、プロセス識別情報が共通するレコードのうち、プロセスがスタートした時刻からウイルスが検知された時刻までに当該プロセスが何らかのファイルをオープンしたことを示す操作履歴のレコードを特定する。ウイルス侵入経路検索部202は、当該レコードを発見すると、そのレコードからオープンされたファイルのパス名(Malware.doc)を取得する。ウイルス侵入経路検索部202は、パス名に含まれているドライブレターがリムーバブルデバイスに割り当てられたドライブレターであることを認識する。
(iii)ウイルス侵入経路検索部202は、ドライブレター「F:」を割り当てられたリムーバブルデバイスがアタッチされたことを示す操作履歴のレコードをデータベース204から検索して抽出する。
(iv)ウイルス侵入経路検索部202は、発見したレコードからリムーバブルデバイスの識別情報(たとえば、ベンダーID2002、プロダクトID2003、シリアルID)を抽出する。さらに、ウイルス侵入経路検索部202は、抽出したリムーバブルデバイスの識別情報とウイルス関連ファイルのパス名(Malware.doc)とを検索依頼に付随してサーバ装置20に送信する。
(v)サーバ装置20のウイルス侵入経路検索部222は、検索依頼を受信すると、リムーバブルデバイス18の識別情報を元にデータベース224を検索し、リムーバブルデバイス18がアタッチされた操作履歴のレコードを特定する。この段階で、どのクライアント装置にリムーバブルデバイス18が接続されていたかがわかる。さらに、ウイルス侵入経路検索部222は、そのレコードからリムーバブルデバイス18に割り当てられたドライブレターを特定し、ウイルス関連ファイルのパス名(Malware.doc)にドライブレターを加えてパス名(D:¥Malware.doc)を作成し、作成したパス名を含む操作履歴のレコードを検索して抽出する。この例では、クライアント装置10bにおいてファイル管理ソフト(filemanager.exe)によって問題のファイルがリムーバブルデバイスに書き込まれたことが判明する。
なお、これ以降の侵入経路の検索処理はすでに説明したとおりである。
図21は、バックトレースの手順を示したフローチャートである。
S2101で、ウイルス侵入経路検索部202は、操作履歴600に記録されたファイルのパス名からウイルスがリムーバブルデバイス18を経由してきたことを特定する。
S2102で、ウイルス侵入経路検索部202は、操作履歴600からリムーバブルデバイス18の識別情報(たとえば、ベンダーID2002、プロダクトID2003、シリアルID)を抽出する。
S2103で、ウイルス侵入経路検索部202は、サーバ装置20で検索を行うかどうかを判定する。たとえば、サーバ装置20が複数の端末装置の操作履歴を保持しているときは、サーバで検索を実行すると判定する。サーバ装置20で実行しないと判定したときはバックトレースを終了し、サーバ装置20で実行すべき判定したときは、サーバ装置20に検索依頼を送信し、S2104に進む。
S2104で、サーバ装置20のウイルス侵入経路検索部222は、受信した検索依頼に付随したリムーバブルデバイスの識別情報とウイルスファイルのパス名とからリムーバブルデバイスにウイルスファイルを格納した操作履歴のレコードを操作履歴データベース224から特定する。
S2105で、ウイルス侵入経路検索部222は、発見した操作履歴のレコードに含まれているPC名からウイルスを保持しているクライアント装置を特定する。
S2106で、ウイルス侵入経路検索部222は、ウイルスを保持しているクライアント装置の操作履歴をさらに特定するかどうかを判定する。たとえば、サーバ装置20の管理者が実行を指示すると、S2107に進み、ウイルス侵入経路検索部222は、さらに侵入経路を特定する。これにより、ウイルスファイルがメールやウェブサイトのいずれか来たものであるかを特定できるようになる。
●[バックトレースによって2つ以上の侵入経路が見つかった場合の絞り込み]
上述したようにバックトレースを実行すると、プロセスが起動してからウイルスが検知されるまでに、当該プロセスが複数のファイルを開いていることが多々ある。この場合、バックトレースの結果が複数となってしまい、どちらのファイルがウイルスに関連したファイルであるかを特定することができない。
そこで、本実施例では、ウイルス侵入経路検索部202が、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルを特定し、複数のファイルが特定されたときに、当該複数のファイルに対して重みづけを実行することで、前記ウイルスの侵入経路に関連した1つのファイルを絞り込む。
重みづけは、たとえば、ファイルが操作された日時、当該ファイルの実行結果、当該ファイルに対してウイルス検知を実行した結果、ネットワーク上で提供されるウイルス情報、および、ユーザにより入力された情報のうちの少なくとも1つにしたがって実行されてもよい。また重みづけを決定する処理は、外部のシステムからの情報提供を元に行っても良い。
図23は、バックトレースの手順を示したフローチャートである。このフローチャートは、クライアント装置10で実行されてもよいし、サーバ装置20で実行されてもよい。ここでは、クライアント装置10が実行するものとして説明する。
S2301で、ウイルス侵入経路検索部202は、バックトレースを実行する。
S2302で、ウイルス侵入経路検索部202は、バックトレースの実行結果が2つ以上であるかどうかを判定する。複数の実行結果が得られたときはS2303に進み、1つの実行結果が得られたときは、S2305に進み、実行結果をサーバ装置20に送信する。
S2303で、ウイルス侵入経路検索部202は、重みづけを行うかどうかを判定する。たとえば、管理者がキーボードやポインティングデバイスによって重みづけの可否を入力する。重みづけを行わない場合は、S2305に進み、複数の実行結果をサーバ装置20に通知する。一方で、重みづけを実行するときは、S2304に進む。
S2304で、ウイルス侵入経路検索部202は、複数の実行結果に対して重みづけを実行することで、ウイルスの侵入経路に関連した1つの実行結果に絞り込む。重みづけは、たとえば、ファイルが操作された日時、当該ファイルの実行結果、当該ファイルに対してウイルス検知を実行した結果、および、ユーザにより入力された情報のうちの少なくとも1つにしたがって実行されてもよい。
図24は、サーバ装置20で実行する重みづけ処理を示したフローチャートである。
S2401で、ウイルス侵入経路検索部222は、バックトレースの結果をクライアント装置10から取得する。
S2402で、ウイルス侵入経路検索部222は、取得したバックトレース結果から検索対象数Nを決定する。Nには、最初にバックトレース結果の数が代入される。
S2403で、ウイルス侵入経路検索部222は、検索対象数Nがゼロになったかどうかを判定する。ゼロでなければ、S2404に進む。
S2404で、ウイルス侵入経路検索部222は、N個の検索対象から1つの検索対象を任意に抽出する。
S2405で、ウイルス侵入経路検索部222は、抽出した検索対象について操作履歴データベース224を用いてバックトレースを実行する。
S2406で、ウイルス侵入経路検索部222は、バックトレースの結果を記憶装置25に書き込む。
S2407で、ウイルス侵入経路検索部222は、N個の検索対象から今回検索した検索対象を削除し、さらにNを1つ減算する。その後、S2401に戻る。
S2403で、Nがゼロになると、S2408に進む。
S2408で、ウイルス侵入経路検索部222は、記録した結果を分析し、重みづけを実行する。
S2409で、重みづけによって特定されたバックトレースの結果をクライアント装置10に通知する。
以上説明したように本実施例によれば、端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置が提供される。操作履歴データベース204、224は、端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段として機能する。ウイルス侵入経路検索部202、222は、端末装置においてウイルスが検出されると、操作履歴記憶手段に記憶されている当該操作履歴から当該ウイルスが端末装置に最初に保存された日時を特定し、当該特定した日時に実行された操作の内容からウイルスの侵入経路を特定する特定手段として機能する。本発明によれば、操作履歴を用いることで従来よりも詳細にウイルスの感染経路をバックトレースできるようになる。
また、本実施例によれば、ウイルス侵入経路特定装置は、クライアント装置10に設けられてもよいし、サーバ装置20に設けられてもよい。クライアント装置10に設ければ、スタンドアローン環境でも侵入経路を特定できるようになる。サーバ装置20に設ければ、クライアント装置10の特定処理による負荷を軽減できる。
また、クライアント装置10は、ウイルスを検出するウイルス検出手段として機能するウイルス検知部203と、ウイルス検出手段が検出したウイルスの侵入経路を特定するよう依頼するためのリクエストをサーバ装置に対して送信するリクエスト送信手段として機能するエージェントサービス201やウイルス侵入経路検索部202を備えていてもよい。クライアント装置10の負荷を軽減できるだけでなく、サーバ装置においてさらに詳細に経路を特定できるようになろう。
ウイルス侵入経路特定装置がクライアント装置10に設けられているとともに、クライアント装置10置に接続されたサーバ装置20にも設けられていてもよい。クライアント装置10に設けられたウイルス侵入経路特定装置と、サーバ装置20に設けられたウイルス侵入経路特定装置とが連携して端末装置へのウイルスの侵入経路を特定してもよい。これにより、負荷を分散できる。また、クライアント装置10に記憶する操作履歴を削減できる。
クライアント装置10は、クライアント装置10の操作履歴記憶手段に記憶されている操作履歴をサーバ装置に記憶させるために転送し、転送した操作履歴のすべてまたは一部を削除する操作履歴管理手段と、特定手段が、操作履歴記憶手段に記憶されている操作履歴からウイルスの侵入経路を特定できなかったときに、サーバ装置に記憶されている操作履歴からウイルスの侵入経路を特定するよう依頼するためのリクエストをサーバ装置に対して送信するリクエスト送信手段として機能するエージェントサービス201やウイルス侵入経路検索部202をさらに有していてもよい。
また、ウイルス侵入経路検索部202、222は、操作履歴を構成する各レコードに含まれている操作の内容が、ウイルスが侵入する際に実行される特定の操作内容かどうかを判定することで、ウイルスが端末装置に侵入した侵入口を特定してもよい。
また、ウイルス侵入経路検索部202、222は、ウイルスの保存に関与した子プロセスを呼び出した親プロセスについても操作履歴から検索することで、当該ウイルスの侵入経路を特定してもよい。
サーバ装置20に設けられた操作履歴記憶手段(データベース224)には、クライアント装置10に設けられた操作履歴記憶手段(データベース204)に記憶されている操作履歴の期間よりも長期間にわたる操作履歴が記憶されていてもよい。
また、サーバ装置20に設けられた特定手段(ウイルス侵入経路検索部222)は、端末装置に設けられた特定手段(ウイルス侵入経路検索部202)が調査した期間よりもさらに過去の期間に取得された操作履歴についてウイルスの侵入経路を特定してもよい。
また、サーバ装置20に設けられた操作履歴記憶手段は、複数の端末装置において取得された操作履歴を記憶しており、サーバ装置20に設けられた特定手段は、複数の端末装置のうちの1つの端末装置においてウイルスが見つかると、そのウイルスに関連したパス名またはプロセスの識別情報をもとに複数の端末装置の操作履歴を検索して、当該ウイルスの侵入経路を特定してもよい。
また、ウイルス侵入経路検索部202、222は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルのパス名を操作履歴記憶手段から検索し、検索により発見されたパス名に基づいてファイルを提供した端末装置を特定してもよい。
また、ウイルス侵入経路検索部202、222は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルのパス名を操作履歴記憶手段から検索し、当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルが発見されなかったときは、当該プロセスそれ自体をウイルスと認定してもよい。
また、ウイルス侵入経路検索部202、222は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスの実行ファイルを作成した他のプロセスを特定し、当該他のプロセスがメーラーかどうかを判定し、当該メーラーが当該プロセスの実行ファイルを添付したメールを受信したことを示す操作履歴を特定し、当該操作履歴に基づいて当該メールの差出人を特定し、当該差出人が当該メールを転送したことを示す操作履歴を特定し、当該メールを転送した差出人が当該メールをさらに他の差出人から受信したことを示す操作履歴を特定し、当該操作履歴に基づいて当該ウイルスの侵入経路を特定してもよい。
また、ウイルス侵入経路検索部202、222は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが操作したファイルのパス名を特定し、当該ファイルのパス名に基づいて当該ファイルがリムーバブルデバイスに記憶されていたことを示す操作履歴を特定し、当該操作履歴から当該リムーバブルデバイスの識別情報を特定し、当該リムーバブルデバイスの識別情報から、当該リムーバブルデバイスを接続したことのある他の端末装置を特定し、当該他の端末装置の操作履歴からウイルスの侵入経路を特定してもよい。
また、ウイルス侵入経路検索部202、222は、検知されたウイルスがすでにウェブサイトにアップロードされていた場合、当該ウイルスを参照してアップロードしたプロセスに基づき当該ウェブサイトのURLを特定し、ウイルスの侵入経路および拡散経路を特定してもよい。
また、ウイルス侵入経路検索部202、222は、検知されたウイルスがメールに添付されて送信されていた場合、当該ウイルスを参照して添付したプロセスから当該メールのMessageID、From、Toなどメール情報を特定し、ウイルスの拡散経路や侵入経路を特定してもよい。
また、ウイルス侵入経路検索部202、222を保持する端末装置で検知されたウイルスが、ファイル共有により他の端末装置から当該端末装置内に作成されたファイルであることもある。この場合、当該端末装置の操作履歴だけではどの端末装置によって当該ウイルスが作成されたのかを特定できないことがある。その場合、ウイルス侵入経路検索部202、222は、ファイル共有に関与ないしは参加している他の端末装置の操作履歴を取得してその操作履歴からウイルスの侵入経路を特定してもよい。
また、ウイルス侵入経路検索部202、222は、検知されたウイルスを作成したプロセスがZIPファイルを参照していた場合、当該ZIPファイルから解凍されて作成されたファイルと、ウイルス侵入検知部202、222が検知したウイルスを紐付けすることで、ウイルスの侵入経路を特定してもよい。
なお、検知されたウイルスに関与したプロセスが複数のZIPファイルを参照していた場合、ウイルス侵入経路検索部202、222は、当該複数のZIPファイルに対して重みづけを実行することで、ウイルスの侵入経路に関連した一つのファイルを絞り込むように構成されてもよい。
なお、重みづけとしての一例として、ウイルスファイルが新規作成された時間の直前に参照されたZIPファイルに大きな重みを付与する方法が採用されてもよいし、またそれ以外の重みづけが(例えば、ファイルが操作された日時、当該ファイルの実行結果、当該ファイルに対してウイルス検知を実行した結果、および、ユーザにより入力された情報など)が実行されてもよい。これにより、ウイルスの侵入経路に関連した一つのファイルが絞り込まれる。このように、ウイルスファイルが新規作成された時刻に最も近い時刻に参照されたZIPファイルには最も大きな重みが付与されることになろう。
また、ウイルス侵入経路検索部202、222は、対象のウイルスファイルがZIP圧縮されていた場合も同様に、該当ウイルスファイルが含まれたZIPファイルを特定し、ウイルスの経路を特定してもよい。
また、ウイルス侵入経路検索部202、222は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルを特定し、複数のファイルが特定されたときに、当該複数のファイルに対して重みづけを実行することで、ウイルスの侵入経路に関連した1つのファイルを絞り込むように構成されていてもよい。
なお、重みづけは、ファイルが操作された日時、当該ファイルの実行結果、当該ファイルに対してウイルス検知を実行した結果、および、ユーザにより入力された情報のうちの少なくとも1つにしたがって実行されてもよい。
ウイルス侵入経路検索部202、222によって1つまたは複数の結果(侵入経路)が特定された場合、ウイルス侵入経路検索部202、222は、その結果単体を考慮したり、または組み合わせを考慮したりして、結果に対して重みを設定してもよい。
またアンチウイルスソフト(ウイルス検知部203)がウイルスを検知した際に、その結果をウイルス侵入経路検索部202に自動で通知する、通知しないに関らず、手動でウイルスが検知されたクライアント装置、または、そのクライアント装置を管理しているサーバ上に存在するウイルス侵入経路検索部222にウイルス情報を通知して、任意のタイミングでバックトレースを行ってもよい。
上述した各種の手段は、コンピュータがプログラムを実行することで実現されてもよい。また、バックトレースの結果に基づいて、クライアント装置やサーバ装置の操作を制限してもよい。例えば、バックトレース結果から、ウイルスは特定のウェブサイトを閲覧したときにダウンロードされたものである事が判明した場合、エージェントサービス201や管理部225は、そのウェブサイトへのアクセスを禁止し、そのウイルスに対しても動作を制限または禁止する。これにより、ウイルスからの攻撃を未然に防止することも可能となる。
またエージェントサービス201や管理部225は、ウイルスと判断されたファイルを隔離したり、削除したりしてもよい。
またウイルス検知部203は、ウイルスと判断したファイルを管理部225に送信し、そのファイルを管理部225が収集してもよいし、管理部225の外部に設けられたサーバが収集してもよい。
本発明は上記実施の形態に制限されるものではなく、本発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。従って、本発明の範囲を公にするために、以下の請求項を添付する。
本願は、2012年12月07日提出の日本国特許出願特願2012−268785号を基礎として優先権を主張するものであり、その記載内容の全てを、ここに援用する。

Claims (16)

  1. 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
    前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成する作成手段と、
    前記作成手段により作成された操作履歴を記憶する操作履歴記憶手段と、
    前記端末装置において起動されたプロセスがウイルスとして検出されると、当該ウイルスとして検出されたプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスとして検出されたプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定手段と、
    前記特定手段にて特定されたウイルスの侵入経路を示す情報を出力する出力手段と
    を有することを特徴とするウイルス侵入経路特定装置。
  2. 前記ウイルス侵入経路特定装置が前記端末装置に設けられていることを特徴とする請求項1に記載のウイルス侵入経路特定装置。
  3. 前記ウイルス侵入経路特定装置が前記端末装置に接続されたサーバ装置に設けられていることを特徴とする請求項1に記載のウイルス侵入経路特定装置。
  4. 前記端末装置は、
    ウイルスを検出するウイルス検出手段と、
    前記ウイルス検出手段が検出したウイルスの侵入経路を特定するよう依頼するためのリクエストを前記サーバ装置に対して送信するリクエスト送信手段と
    を有することを特徴とする請求項3に記載のウイルス侵入経路特定装置。
  5. 前記端末装置は、
    前記端末装置の前記操作履歴記憶手段に記憶されている操作履歴をサーバ装置に記憶させるために転送し、転送した操作履歴のすべてまたは一部を削除する操作履歴管理手段をさらに有することを特徴とする請求項3または4に記載のウイルス侵入経路特定装置。
  6. 前記特定手段は、ウイルスの保存に関与した子プロセスを呼び出した親プロセスについても前記操作履歴から検索することで、当該ウイルスの侵入経路を特定することを特徴とする請求項1ないし5のいずれか1項に記載のウイルス侵入経路特定装置。
  7. 前記サーバ装置に設けられた前記操作履歴記憶手段には、前記端末装置に設けられた前記操作履歴記憶手段に記憶されている操作履歴の期間よりも長期間にわたる操作履歴が記憶されていることを特徴とする請求項3、4および5のいずれか1項に記載のウイルス侵入経路特定装置。
  8. 前記サーバ装置に設けられた前記操作履歴記憶手段は、複数の端末装置において取得された操作履歴を記憶しており、
    前記サーバ装置に設けられた前記特定手段は、前記複数の端末装置のうちの1つの端末装置においてウイルスが見つかると、そのウイルスに関連したパス名またはプロセス識別情報をもとに前記複数の端末装置の操作履歴を検索して、当該ウイルスの侵入経路を特定することを特徴とする請求項3、4、および5のいずれか1項に記載のウイルス侵入経路特定装置。
  9. 前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルのパス名を前記操作履歴記憶手段から検索し、検索により発見されたパス名に基づいて前記ファイルを提供した端末装置を特定することを特徴とする請求項1ないし8のいずれか1項に記載のウイルス侵入経路特定装置。
  10. 前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルのパス名を前記操作履歴記憶手段から検索し、当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルが発見されなかったときは、当該プロセスそれ自体をウイルスと認定することを特徴とする請求項1ないし9のいずれか1項に記載のウイルス侵入経路特定装置。
  11. 前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスの実行ファイルを作成した他のプロセスを特定し、当該他のプロセスがメーラーかどうかを判定し、当該メーラーが当該プロセスの実行ファイルを添付したメールを受信したことを示すレコードを特定し、当該レコードに基づいて当該メールの差出人を特定し、当該差出人が当該メールを転送したことを示すレコードを特定し、当該メールを転送した差出人が当該メールをさらに他の差出人が受信したことを示すレコードを特定し、当該レコードに基づいて当該ウイルスの侵入経路を特定することを特徴とする請求項3、4および5のいずれか1項に記載のウイルス侵入経路特定装置。
  12. 前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが操作したファイルのパス名を特定し、当該ファイルのパス名に基づいて当該ファイルがリムーバブルデバイスに記憶されていたことを示すレコードを特定し、当該レコードから当該リムーバブルデバイスの識別情報を特定し、当該リムーバブルデバイスの識別情報から、当該リムーバブルデバイスを接続したことのある他の端末装置を特定し、当該他の端末装置の操作履歴から前記ウイルスの侵入経路を特定することを特徴とする請求項3、4および5のいずれか1項に記載のウイルス侵入経路特定装置。
  13. 前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルを特定し、複数のファイルが特定されたときに、当該複数のファイルに対して重みづけを実行することで、前記ウイルスの侵入経路に関連した1つのファイルを絞り込み、
    前記重みづけは、前記ファイルが操作された日時、当該ファイルの実行結果、当該ファイルに対してウイルス検知を実行した結果、および、ユーザにより入力された情報のうちの少なくとも1つにしたがって実行されることを特徴とする請求項1ないし12のいずれか1項に記載のウイルス侵入経路特定装置。
  14. 前記特定手段は、前記操作履歴記憶手段に記憶されている当該操作履歴から、前記ウイルスの拡散経路を特定することを特徴とする請求項1ないし13のいずれか1項に記載のウイルス侵入経路特定装置。
  15. 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定方法であって、
    前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成する作成工程と、
    前記作成工程において作成された操作履歴を記憶する操作履歴記憶工程と、
    前記端末装置において起動されたプロセスがウイルスとして検出されると、当該ウイルスとして検出されたプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスとして検出されたプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定工程と、
    前記特定工程において特定されたウイルスの侵入経路を示す情報を出力する出力工程とを有し、
    前記ウイルスの侵入経路を示す情報には前記ウイルスの移動経路を示す情報が含まれ、
    前記特定工程は、前記操作の内容が、ウイルスが侵入する際に実行される特定の操作内容かどうかを判定することで、ウイルスが前記端末装置に侵入した侵入口を特定することを特徴とするウイルス侵入経路特定方法。
  16. 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定処理をコンピュータに実行させるプログラムであって、
    当該コンピュータに、
    前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成する作成手段と、
    前記作成手段により作成された操作履歴を記憶する操作履歴記憶手段と、
    前記端末装置において起動されたプロセスがウイルスとして検出されると、当該ウイルスとして検出されたプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスとして検出されたプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定手段と、
    前記特定手段にて特定されたウイルスの侵入経路を示す情報を出力する出力手段として機能させ、
    前記ウイルスの侵入経路を示す情報には前記ウイルスの移動経路を示す情報が含まれ、
    前記特定手段は、前記操作の内容が、ウイルスが侵入する際に実行される特定の操作内容かどうかを判定することで、ウイルスが前記端末装置に侵入した侵入口を特定することを特徴とするプログラム。
JP2014550901A 2012-12-07 2013-11-21 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム Active JP6590481B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012268785 2012-12-07
JP2012268785 2012-12-07
PCT/JP2013/006842 WO2014087597A1 (ja) 2012-12-07 2013-11-21 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2018137988A Division JP6549767B2 (ja) 2012-12-07 2018-07-23 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2014087597A1 JPWO2014087597A1 (ja) 2017-01-05
JP6590481B2 true JP6590481B2 (ja) 2019-10-16

Family

ID=50883039

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014550901A Active JP6590481B2 (ja) 2012-12-07 2013-11-21 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
JP2018137988A Active JP6549767B2 (ja) 2012-12-07 2018-07-23 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2018137988A Active JP6549767B2 (ja) 2012-12-07 2018-07-23 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム

Country Status (3)

Country Link
US (1) US10326792B2 (ja)
JP (2) JP6590481B2 (ja)
WO (1) WO2014087597A1 (ja)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6590481B2 (ja) 2012-12-07 2019-10-16 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
DE102014201908A1 (de) * 2014-02-03 2015-08-06 Duerr Cyplan Ltd. Verfahren zur Führung eines Fluidstroms, Strömungsapparat und dessen Verwendung
CN106796635B (zh) * 2014-10-14 2019-10-22 日本电信电话株式会社 确定装置、确定方法
JP6461992B2 (ja) * 2014-11-05 2019-01-30 キヤノン電子株式会社 特定装置、その制御方法、及びプログラム
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法
JP6577241B2 (ja) * 2015-05-21 2019-09-18 日本電信電話株式会社 ログ抽出システム、ログ抽出方法およびログ抽出プログラム
JP6404771B2 (ja) * 2015-05-26 2018-10-17 日本電信電話株式会社 ログ判定装置、ログ判定方法、およびログ判定プログラム
US9553885B2 (en) * 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9967273B2 (en) * 2015-06-15 2018-05-08 Microsoft Technology Licensing, Llc. Abusive traffic detection
US10462160B2 (en) * 2015-12-09 2019-10-29 Check Point Software Technologies Ltd. Method and system for identifying uncorrelated suspicious events during an attack
US10440036B2 (en) * 2015-12-09 2019-10-08 Checkpoint Software Technologies Ltd Method and system for modeling all operations and executions of an attack and malicious process entry
US10880316B2 (en) * 2015-12-09 2020-12-29 Check Point Software Technologies Ltd. Method and system for determining initial execution of an attack
US10291634B2 (en) 2015-12-09 2019-05-14 Checkpoint Software Technologies Ltd. System and method for determining summary events of an attack
CN106934287B (zh) * 2015-12-31 2020-02-11 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
CN106934288B (zh) * 2015-12-31 2021-04-16 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
JP6759610B2 (ja) * 2016-02-04 2020-09-23 富士通株式会社 安全性判定装置、安全性判定プログラムおよび安全性判定方法
US10200374B1 (en) * 2016-02-29 2019-02-05 Symantec Corporation Techniques for detecting malicious files
JP6720607B2 (ja) * 2016-03-18 2020-07-08 日本電気株式会社 履歴解析装置、履歴解析方法、履歴解析システム及びプログラム
GB2563530B (en) * 2016-04-04 2019-12-18 Mitsubishi Electric Corp Process search apparatus and process search program
US9928366B2 (en) 2016-04-15 2018-03-27 Sophos Limited Endpoint malware detection using an event graph
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
JP6786959B2 (ja) 2016-08-26 2020-11-18 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
EP3513308A1 (en) 2016-09-16 2019-07-24 Oracle International Corporation Internet cloud-hosted natural language interactive messaging system with entity-based communication
CN106850564B (zh) * 2016-12-29 2020-07-28 北京安天网络安全技术有限公司 一种定位文件横向移动路径的方法及***
JP2018109910A (ja) * 2017-01-05 2018-07-12 富士通株式会社 類似度判定プログラム、類似度判定方法および情報処理装置
JP6866645B2 (ja) 2017-01-05 2021-04-28 富士通株式会社 類似度判定プログラム、類似度判定方法および情報処理装置
TWI648650B (zh) * 2017-07-20 2019-01-21 中華電信股份有限公司 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
US11194903B2 (en) 2018-02-23 2021-12-07 Crowd Strike, Inc. Cross-machine detection techniques
US11050764B2 (en) 2018-02-23 2021-06-29 Crowdstrike, Inc. Cardinality-based activity pattern detection
EP3531325B1 (en) 2018-02-23 2021-06-23 Crowdstrike, Inc. Computer security event analysis
WO2019176062A1 (ja) * 2018-03-15 2019-09-19 日本電気株式会社 分析装置、分析方法、及び、記録媒体
CN108804122B (zh) * 2018-06-04 2022-04-29 北京知道创宇信息技术股份有限公司 信息安全处理***、虚拟专用服务器及其控制方法
US10404747B1 (en) 2018-07-24 2019-09-03 Illusive Networks Ltd. Detecting malicious activity by using endemic network hosts as decoys
US10382483B1 (en) 2018-08-02 2019-08-13 Illusive Networks Ltd. User-customized deceptions and their deployment in networks
US10333977B1 (en) * 2018-08-23 2019-06-25 Illusive Networks Ltd. Deceiving an attacker who is harvesting credentials
US10432665B1 (en) 2018-09-03 2019-10-01 Illusive Networks Ltd. Creating, managing and deploying deceptions on mobile devices
US11729208B2 (en) 2018-09-25 2023-08-15 Nec Corporation Impact range estimation apparatus, impact range estimation method, and computer-readable recording medium
CN112100618B (zh) * 2019-06-18 2023-12-29 深信服科技股份有限公司 一种病毒文件检测方法、***、设备及计算机存储介质
JP7281998B2 (ja) * 2019-08-23 2023-05-26 キヤノン電子株式会社 情報処理装置、情報処理方法、情報処理システム及びプログラム
CN115349123A (zh) * 2020-03-19 2022-11-15 三菱电机株式会社 感染范围确定装置和感染范围确定程序
CN112052454B (zh) * 2020-10-12 2022-04-15 腾讯科技(深圳)有限公司 应用的病毒查杀方法、装置、设备及计算机存储介质

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06110718A (ja) 1992-09-30 1994-04-22 Toshiba Corp ウィルス防御方式
JPH0944432A (ja) * 1995-05-24 1997-02-14 Fuji Xerox Co Ltd 情報処理方法および情報処理装置
JPH11134190A (ja) * 1997-10-31 1999-05-21 Hitachi Ltd ウイルス検出通知システム、方法、および該方法に係るプログラムを格納した記憶媒体
JP2002287991A (ja) 2001-03-26 2002-10-04 Fujitsu Ltd コンピュータウィルス感染情報提供方法及びコンピュータウィルス感染情報提供システム
JP2004086241A (ja) * 2002-08-22 2004-03-18 Hitachi Information Systems Ltd コンピュータウィルス感染元検知システム
US7111000B2 (en) * 2003-01-06 2006-09-19 Microsoft Corporation Retrieval of structured documents
JP3912676B2 (ja) * 2003-02-27 2007-05-09 ソニー株式会社 記録装置、ファイル管理方法、ファイル管理方法のプログラム、ファイル管理方法のプログラムを記録した記録媒体
JP2005025378A (ja) * 2003-06-30 2005-01-27 Nidek Co Ltd コンピュータウイルス検出方法及び該方法を用いたネットワークシステム
US20090144826A2 (en) * 2005-06-30 2009-06-04 Webroot Software, Inc. Systems and Methods for Identifying Malware Distribution
US7937758B2 (en) * 2006-01-25 2011-05-03 Symantec Corporation File origin determination
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8181244B2 (en) * 2006-04-20 2012-05-15 Webroot Inc. Backward researching time stamped events to find an origin of pestware
US20070250818A1 (en) * 2006-04-20 2007-10-25 Boney Matthew L Backwards researching existing pestware
JP2008052570A (ja) 2006-08-25 2008-03-06 Hitachi Software Eng Co Ltd 操作履歴管理システム
US7797335B2 (en) 2007-01-18 2010-09-14 International Business Machines Corporation Creation and persistence of action metadata
KR100922582B1 (ko) * 2007-07-20 2009-10-21 한국전자통신연구원 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
JP4705961B2 (ja) * 2008-01-25 2011-06-22 Sky株式会社 ウィルス被害範囲予測システム
US8695094B2 (en) 2008-06-24 2014-04-08 International Business Machines Corporation Detecting secondary infections in virus scanning
US8745703B2 (en) * 2008-06-24 2014-06-03 Microsoft Corporation Identifying exploitation of vulnerabilities using error report
US20110029819A1 (en) * 2009-07-31 2011-02-03 Virendra Kumar Mehta System and method for providing program tracking information
JP4788808B2 (ja) * 2009-08-06 2011-10-05 コニカミノルタビジネステクノロジーズ株式会社 ジョブ処理システム、画像処理装置、ウイルス検出方法およびウイルス検出プログラム
US8190647B1 (en) * 2009-09-15 2012-05-29 Symantec Corporation Decision tree induction that is sensitive to attribute computational complexity
JP5417533B2 (ja) 2010-06-28 2014-02-19 株式会社日立製作所 計算機システムの管理方法及びクライアントコンピュータ
US8413244B1 (en) * 2010-11-11 2013-04-02 Symantec Corporation Using temporal attributes to detect malware
JP5736881B2 (ja) * 2011-03-22 2015-06-17 日本電気株式会社 ログ収集システム、装置、方法及びプログラム
US9038176B2 (en) * 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US8627465B2 (en) * 2011-04-18 2014-01-07 International Business Machines Corporation Automatic inference of whitelist-based validation as part of static analysis for security
WO2013091159A1 (zh) * 2011-12-19 2013-06-27 北京瑞星信息技术有限公司 变频杀毒技术
US20130312099A1 (en) * 2012-05-21 2013-11-21 Mcafee, Inc. Realtime Kernel Object Table and Type Protection
US9767280B2 (en) 2012-10-09 2017-09-19 Canon Denshi Kabushiki Kaisha Information processing apparatus, method of controlling the same, information processing system, and information processing method
US9275223B2 (en) * 2012-10-19 2016-03-01 Mcafee, Inc. Real-time module protection
JP6590481B2 (ja) * 2012-12-07 2019-10-16 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
US10409980B2 (en) 2012-12-27 2019-09-10 Crowdstrike, Inc. Real-time representation of security-relevant system state
WO2014116888A1 (en) * 2013-01-25 2014-07-31 REMTCS Inc. Network security system, method, and apparatus
JP6352140B2 (ja) * 2013-10-22 2018-07-04 キヤノン電子株式会社 ウェブシステム、サーバ切替装置、サーバ切替方法およびプログラム
US9471912B2 (en) * 2014-02-06 2016-10-18 Verto Analytics Oy Behavioral event measurement system and related method
JP6461992B2 (ja) 2014-11-05 2019-01-30 キヤノン電子株式会社 特定装置、その制御方法、及びプログラム
KR101676366B1 (ko) * 2016-06-23 2016-11-15 국방과학연구소 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법

Also Published As

Publication number Publication date
JP6549767B2 (ja) 2019-07-24
US20150264062A1 (en) 2015-09-17
JPWO2014087597A1 (ja) 2017-01-05
JP2018185860A (ja) 2018-11-22
US10326792B2 (en) 2019-06-18
WO2014087597A1 (ja) 2014-06-12

Similar Documents

Publication Publication Date Title
JP6590481B2 (ja) ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
US11995186B2 (en) Ransomware attack onset detection
US8856937B1 (en) Methods and systems for identifying fraudulent websites
JP5417533B2 (ja) 計算機システムの管理方法及びクライアントコンピュータ
JP5525048B2 (ja) 不正操作検知方法、及び、不正操作を検知する計算機
US8627404B2 (en) Detecting addition of a file to a computer system and initiating remote analysis of the file for malware
KR100968126B1 (ko) 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
US20210165785A1 (en) Remote processing of memory and files residing on endpoint computing devices from a centralized device
US20150286663A1 (en) Remote processing of memory and files residing on endpoint computing devices from a centralized device
JP2020013532A (ja) コンピュータシステムにおける不正行為を検出するためのシステム及び方法
JP5274227B2 (ja) ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム
US9239907B1 (en) Techniques for identifying misleading applications
US11720702B2 (en) Application-based file exfiltration detection
Quick et al. Quick analysis of digital forensic data
JP2009128936A (ja) 履歴保存方法及び装置及びプログラム
JP7001180B2 (ja) フィッシングサイト検知装置、フィッシングサイト検知方法、および、フィッシングサイト検知プログラム
JP7003571B2 (ja) 情報処理装置及びプログラム
JP6404771B2 (ja) ログ判定装置、ログ判定方法、およびログ判定プログラム
US20220083646A1 (en) Context Based Authorized External Device Copy Detection
Martini et al. Detecting and manipulating compressed alternate data streams in a forensics investigation
KR100874989B1 (ko) 단말에 대한 감사 장치, 방법 및 프로그램이 기록된기록매체
WO2023168319A1 (en) System and method for light data file upload prevention
Mendoza et al. Tracking Malware using Internet Activity Data
Turedi et al. Automatic forensic log file analysis for Mac OS X systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150522

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A527

Effective date: 20150522

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171106

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180723

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180730

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20180831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190523

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190917

R150 Certificate of patent or registration of utility model

Ref document number: 6590481

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250