JP6282217B2 - 不正プログラム対策システムおよび不正プログラム対策方法 - Google Patents

不正プログラム対策システムおよび不正プログラム対策方法 Download PDF

Info

Publication number
JP6282217B2
JP6282217B2 JP2014237432A JP2014237432A JP6282217B2 JP 6282217 B2 JP6282217 B2 JP 6282217B2 JP 2014237432 A JP2014237432 A JP 2014237432A JP 2014237432 A JP2014237432 A JP 2014237432A JP 6282217 B2 JP6282217 B2 JP 6282217B2
Authority
JP
Japan
Prior art keywords
countermeasure
malicious program
behavior
malware
processing result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014237432A
Other languages
English (en)
Other versions
JP2016099857A (ja
Inventor
直樹 下間
直樹 下間
林 直樹
直樹 林
倫宏 重本
倫宏 重本
哲郎 鬼頭
哲郎 鬼頭
仲小路 博史
博史 仲小路
淳弥 楠美
淳弥 楠美
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2014237432A priority Critical patent/JP6282217B2/ja
Publication of JP2016099857A publication Critical patent/JP2016099857A/ja
Application granted granted Critical
Publication of JP6282217B2 publication Critical patent/JP6282217B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、不正プログラム対策システムおよび不正プログラム対策方法に関するものであり、具体的には、不正プログラムに適切に対処し、かつ対象システムへの適用時における業務処理への悪影響を回避できる駆除プログラムを効率的に生成する技術に関する。
近年、さまざまな業態の企業が、多種多様な不正プログラムの攻撃に日々さらされており、そうした不正プログラムに対する対策手法の生成、提供が急務となっている。特に、不正プログラムや業態の多種多様性に応じた適切な対策手法を迅速に特定することは重要である。こうした不正プログラム対策手法の生成、提供の迅速化を図るためには、該当処理の自動化、高速化、および不正プログラムの振る舞いを的確に解析する技術(動的解析)が必要である。
上述のごとき対策手法の生成、提供の自動化や高速化、動的解析技術に関連する既存の発明としては、例えば、検査対象のコンピュータ上における不正プログラムを高速かつ低負荷で検出すると共に、未知の不正プログラムであっても高精度に解析可能とすることを課題として、検査サーバ装置が、不正プログラムを探索する探索プログラムを対象コンピュータに送付して実行させ、その実行結果としてマルウェアの実行コードを対象コンピュータから取得し、解析システムにおいて上述の実行結果を解析して解析結果を出力し、この解析結果から、不正プログラムの対策方法(駆除プログラム)を自動生成するコンピュータ検査システム(特許文献1参照)などが提案されている。
特開2010−198054号公報
一方、企業の業態や企業の有するシステムが異なると、同じ不正プログラムに関して適切な対策手法が異なってくる場合がある。例えば、ある不正プログラムへの対策手法が、A社のシステムでは適切な対策であるのに対し、B社では従来業務に悪影響を及ぼしてしまうケースなどが該当する。或いは、同じ不正プログラムについて、C社ではそもそも放置しても問題がないといったケースもありうる。つまり従来技術においては、生成した対策手法が検査対象のコンピュータに及ぼす、平時の業務処理への影響が考慮されていないという問題が残されている。また、上述の対策手法を特段の考慮無く生成する場合、対策手法の候補数が膨大となって、処理効率が著しく低下するといった懸念もある。
そこで本発明の目的は、不正プログラムに適切に対処し、かつ対象システムへの適用時における業務処理への悪影響を回避できる駆除プログラムを効率的に生成する技術を提供することにある。
上記課題を解決する本発明の不正プログラム対策システムは、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を規定したテーブルを格納した記憶装置と、不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を特定する処理と、前記特定した不正プログラム対策候補を前記
模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果であった場合に、前記不正プログラム対策候補を適切な不正プログラム対策として、出力装置に出力または前記コンピュータに適用する処理と、を実行する演算装置を備えることを特徴とする。
また、本発明の不正プログラム対策方法は、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を規定したテーブルを格納した記憶装置を備えたコンピュータが、不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を特定する処理と、前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果であった場合に、前記不正プログラム対策候補を適切な不正プログラム対策として、出力装置に出力または前記コンピュータに適用する処理を実行することを特徴とする。
本発明によれば、不正プログラムに適切に対処し、かつ対象システムへの適用時における業務処理への悪影響を回避できる駆除プログラムを効率的に生成できる。
本実施形態の不正プログラム対策システムの構成例を示す図である。 本実施形態の不正プログラム対策システムのハードウェア構成例を示す図である。 本実施形態におけるシステム構成情報DBの構成例を示す図である。 本実施形態における対処DBの構成例を示す図である。 本実施形態における業務のテストメッセージDBの構成例を示す図である。 本実施形態における業務処理手順DBの構成例を示す図である。 本実施形態の企業ポリシーDBにおける対策レベル遷移テーブルの構成例を示す図である。 本実施形態の企業ポリシーDBにおける不正プログラム判定基準テーブルの構成例を示す図である。 本実施形態の企業ポリシーDBにおける業務処理保全レベルテーブルの構成例を示す図である。 本実施形態における不正プログラム対策方法の処理手順例1を示すフロー図である。 本実施形態における解析結果DBの構成例を示す図である。 本実施形態における不正プログラム実行時の挙動間の親子関係を示すプロセスツリーの例1を示す図である。 本実施形態における不正プログラム実行時の挙動間の親子関係を示すプロセスツリーの例2を示す図である。 本実施形態における対策方法DBの構成例を示す図である。 本実施形態における不正プログラム対策方法の処理手順例2を示すフロー図である。 本実施形態における不正プログラム対策方法の処理手順例3を示すフロー図である。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態の不正プログラム対策システム101の構成例を示す図である。図1に示す不正プログラム対策システム101は、不正プログラムに適切に対処し、かつ対象システムへの適用時における業務処理への悪影響を回避できる駆除プログラムを効率的に生成するコンピュータシステムである。
図1に例示する不正プログラム対策システム101は、その構成要素として、システム構成情報DB102、対処DB103、解析結果DB105、対策方法DB105、企業ポリシーDB106、業務処理手順DB107、業務のテストメッセージDB108、模擬環境構築機能109、不正プログラム解析機能110、対策素案生成機能111、対策方法改善・選択機能112、対策方法適用機能113、対策方法評価機能114、および業務テスト機能115を有している。
上述のシステム構成情報DB102〜業務のテストメッセージDB108の各データベースの具体的な構成については後述するが、このうちシステム構成情報DB102、対処DB103、企業ポリシーDB106、業務処理手順DB107、および業務のテストメッセージDB108については、不正プログラム対策システム101が予め保持しているものとする。特に、対処DB103については不正プログラム対策システム101が元々保持するものであり、システム構成情報DB102、企業ポリシーDB106、業務処理手順DB107、および業務のテストメッセージDB108については企業ごとに異なる情報を保持することを想定している。
一方、上述の各機能109〜115は、不正プログラム対策システム101を構成するコンピュータが、各機能に対応するプログラムを実行することで実装される機能である。以下に、こうした本実施形態の不正プログラム対策システム101が備える機能について説明する。
まず、模擬環境構築機能109は、企業等が運用する対策対象システムの仕様等が規定されたシステム構成情報DB102の情報を基に、不正プログラムの解析、駆除プログラムの生成に際して用いる模擬環境を構築する機能である。
また、不正プログラム解析機能110は、上述の模擬環境構築機能109が構築した模擬環境に対して、対策対象のシステムに侵入した不正プログラムを投入し、その際の挙動を解析した結果を解析結果DB104に格納する機能である。具体的には、不正プログラムを投入した模擬環境において、通常の業務処理を実行させ、その際の挙動を一連のプロセスとして特定し、特定したプロセスの情報を解析結果DB104に格納するものとなる。
なお、この不正プログラム解析機能110は、上述の解析結果DB104の情報から一連の挙動間の親子関係に対応したプロセスツリーを生成し、これを記憶装置203に格納するとすれば好適である。プロセスツリーの生成は、対策素案生成機能111が実行するとしてもよい。
また、対策素案生成機能111は、上述の模擬環境での挙動に応じた不正プログラム対策候補を格納した対処DB103、上述の模擬環境での実際の挙動履歴を格納した解析結果DB104、およびユーザの所望する対策レベルの強度や業務処理保全レベル等の情報を格納した企業ポリシーDB106に基づいて、企業ポリシーを満たす制約下にて各挙動に応じた不正プログラム対策候補を特定して対策方法素案を生成し、対策方法DB105に格納する機能である。この対策素案生成機能111は、上述の対策方法素案を生成する
に際し、解析結果DB104に基づくプロセスツリー、企業ポリシーDB106の対策遷移テーブル901、業務保全テーブル903の情報を踏まえる。
また、対策方法改善・選択機能112は、上述の対策素案生成機能111が生成した対策方法の素案に基づいて、該当素案が企業ポリシーDB106の示すポリシーに従ったものであるか判定し、その判定結果に応じて、上述の素案が示す不正プログラム対策候補に代えて、より対策レベルの低い又は高い、他の不正プログラム対策候補を選択し、各種の判定処理を再実行する機能である。この対策方法改善・選択機能112は、上述の不正プログラム対策候補の駆除プログラムを模擬環境に適用した際の業務処理結果が正常でなかった場合に、該当処理結果を生み出した該当挙動に代えて、上述のプロセスツリーが示す各挙動間の親子関係に基づいて、該当挙動と親子関係にある他挙動を特定し、各種の判定処理を再実行する機能も含んでいる。
また、対策方法適用機能113は、上述の対策方法改善・選択機能112が選択した不正プログラム対策候補に応じた駆除プログラムを生成し、上述の模擬環境に適用する機能である。
また、対策方法評価機能114は、上述の対策方法適用機能113が不正プログラム対策候補の駆除プログラムを適用した模擬環境において、不正プログラム解析機能110を呼出して不正プログラムを解析し、併せて業務テスト機能115を呼び出して評価を行う機能である。
また、業務テスト機能115は、上述の不正プログラム対策候補の駆除プログラムを模擬環境に適用した際の、対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容(業務処理手順DB107)と異なるものとなるか判定する機能である。また、この判定に先立ち、不正プログラム対策候補の駆除プログラムの適用対象となった挙動が、予め定めた対策成否の判定基準(不正プログラム判定基準テーブル902)を満たすものであるか判定する処理を実行する機能も含む。
−−−ハードウェア構成−−−
また、不正プログラム対策システム101を実現するコンピュータのハードウェア構成は以下の如くとなる。不正プログラム対策システム101は、演算装置たるCPU201、メモリ202、記憶装置203、入力装置204、出力装置205、および通信制御装置206が、バス207によって相互に接続された構成となっている。
このうちCPU201は、記憶装置203に保持されるプログラム210をメモリ202に読み出すなどして実行し、装置自体の統括制御を行なうとともにデータ類211(データベース102〜108など)を用いた各種判定、演算及び制御処理を行なう演算装置である。なお、メモリ202は、RAMなど揮発性記憶素子で構成され、記憶装置203は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。
また、入力装置204は、ユーザからのキー入力や音声入力を受け付ける、例えばキーボード、マウスなどであり、出力装置205は、処理データの表示を行う、例えばディスプレイである。また、通信制御装置206は、他装置との通信処理を担う装置であって、例えば無線ネットワークインターフェース、ネットワークインターフェースカードである。
−−−データ構造例−−−
次に、本実施形態の不正プログラム対策システム101が用いるデータ類211、すな
わちデータベースのうち、不正プログラム対策システム101が予め記憶装置203にて保持している各データベースの構造例について説明する。
ここではまず、図3を用いてシステム構成情報DB102の構成について示す。このシステム構成情報DB102は、不正プログラム対策システム101が不正プログラムの解析、駆除プログラムの生成、適用の対象とする、すなわち対策対象システムの構成情報を保持するデータベースである。
システム構成情報DB102は、機器種別302をキーとして、機器名称・OS・バージョン等303、および設定情報304の各値を対応付けたレコードの集合体となっている。このうち機器種別302は、対策対象システムを構成する機器の種別(例えばWebサーバの役割を果たす機器であるのか、プロキシの役割を果たす機器であるのかなど)の情報を保持する。また、機器名称・OS・バージョン等303は、上述の機器種別302が規定する機器の具体的な名称やOS、バージョンなど(例えば機器名称が“PC1”でOSが“ABCD”、バージョンは“64bit”など)の情報を保持する。また、設定情報304は、上述の機器種別302および機器名称・OS・バージョン等303が規定する機器構成において、該当各機器の設定情報(例:機器種別“Proxy”の役割を果たす“PC8”が管理している使用ポートの情報やブラックリスト情報など)を保持する。
次に、図4を用いて対処DB103の構成を示す。図4で例示する対処DB103は、不正プログラム対策システム101が、不正プログラム対策候補として不正プログラムの駆除プログラムの処理を生成する素となる、実行コードレベルの対処内容を挙動内容ごとに保持するデータベースである。この対処DB103は、カテゴリ402、挙動403、対策レベル404、対処405、および対処機器種別406の各値を対応付けたレコードの集合体となっている。このうち、カテゴリ402と挙動403の各値は、不正プログラムの振る舞いが、対策対象システムにおいてどのような対象に関してどのような処理(挙動)に関して検知されるか(“ファイル”の“作成”をした状況なのか、または“ネットワーク”で“送受信”をした状況なのかなど)の情報を保持する。また、対策レベル404と対処405の各値は、不正プログラムへの対策レベルの強度(換言すると厳しさ)と、その具体的な対処方法(例えば対処方法が“削除”であれば対処レベルが“強”であり、対処方法が“アクセス制限”であれば対処レベルが“弱”であるなど)の情報を保持する。また、対処機器種別406の値は、上述の対処405を実行する機器種別(ProxyやDBなど)の情報を保持する。
続いて図5を用いて、業務のテストメッセージDB108の構成について説明する。図5にて例示する、業務のテストメッセージDB108は、上述の対策対象のシステムが平時に扱う業務処理のテストメッセージを保持するデータベースである。こうした業務のテストメッセージDB108は、テストメッセージ番号702をキーとして、ファイル名・変数名703、および本文・値704の各値を対応付けたレコードの集合体となっている。このうちテストメッセージ番号702の値は、該当テストメッセージに固有の番号である。また、ファイル名・変数名703の値は、該当テストメッセージのファイル名・変数名を保持する。また、本文・値704の値は、該当テストメッセージの本文や値(例えばファイル名“Test.txt”の本文の内容が“Test Message”であるなど)を保持する。
次に、図6を用いて業務処理手順DB107の構成について説明する。図6にて例示する業務処理手順DB107は、上述の業務のテストメッセージDB108と同様に、対策対象システムが平時に扱う業務処理の処理手順を保持するデータベースである。こうした業務処理手順DB107は、業務処理番号802をキーとして、該当業務処理で取り扱う
テストメッセージを一意に示すテストメッセージ番号803、該当業務処理における業務処理手順804、および該当業務処理における正常出力結果805の各値を対応付けたレコードの集合体となっている。
このうち業務処理番号802は、該当業務処理に固有の番号であり、テストメッセージ番号803は、上述の業務のテストメッセージDB108におけるテストメッセージ番号702と紐づく値である。また、業務処理手順804は、該当業務処理の流れの情報を保持する。また、正常出力結果805は、該当業務処理における業務テストを実行した際の、正常時の出力結果(例えば業務処理番号“0003”では、テストメッセージ番号“0002”の変数XYZについて、業務処理手順“XYZの値を書換え”処理を行い、この変数XYZの出力結果が“200”に書き換わっていれば正常出力であると判定できる)を保持する。
続いて図7〜9を用いて企業ポリシーDB106の構成について説明する。なお、企業ポリシーDB106は、対策レベル遷移テーブル901、不正プログラム判定基準テーブル902、および業務処理保全レベル903を含んでいる。これら各テーブル901〜903の内容は企業ごとに異なるものとする。よって、不正プログラム対策システム101は企業ポリシーDB106において、各企業ごとに上述の各テーブル901〜903を保持している。
このうち図7にて例示する対策レベル遷移テーブル901は、不正プログラム対策システム101が対処DB103を基に駆除プログラムを生成する際、どの対策レベルの不正プログラム対策候補を優先的に選択して駆除プログラムを生成するかの情報(例えば、対策レベルの強い駆除プログラムから対策レベルの弱い駆除プログラムを順に生成していくなど)を保持する。
また、図8にて例示する不正プログラム判定基準テーブル902は、上述の対策対象システムの模擬環境に上述の駆除プログラムを適用して業務を実行した際に、該当駆除プログラムの適用によって不正プログラムの悪い振る舞いを抑止出来ているか判定する基準情報(例えば、駆除プログラムの適用後、業務処理手順DB107で定義されているアクセス先ホスト以外のホストへのアクセスがあった場合、該当不正プログラムへの対策に成功していないと判定するなど)を保持する。
また、図9にて例示する業務処理保全レベルテーブル903は、上述の対策対象システムの模擬環境に上述の駆除プログラムを適用して業務を実行した際に生じる業務処理への影響を、ユーザ企業がどれだけ許容するかの情報(例えば、業務処理保全レベルが“強”であれば、全ての業務処理が保全されるべきことを示し、業務処理保全レベルが“弱”であれば、例えば所定の業務処理については当該業務処理のネットワークアクセスで使用するポート番号の変更を許す、など)を保持する。
−−−全体フロー−−−
以下、本実施形態における不正プログラム対策方法の実際手順について図に基づき説明する。以下で説明する不正プログラム対策方法に対応する各種動作は、不正プログラム対策システム101がメモリ202等に読み出して実行するプログラム210によって実現される。そして、このプログラム210は、以下に説明される各種の動作を行うためのコードから構成されている。
図10は、本実施形態における不正プログラム対策方法の処理手順例1を示すフロー図である。ここではまず、本実施形態における不正プログラム対策方法の全体処理フローについて説明する。この場合、不正プログラム対策システム101における模擬環境構築機
能109が、システム構成情報DB102の情報を基に、ユーザ企業の対策対象システムを模した模擬環境を構築する(ステップ1001)。この模擬環境構築機能109による模擬環境の構築手法としては、例えば、機器種別302が示す機器をバーチャルマシンとして所定のコンピュータ装置(不正プログラムの漏洩抑止等に配慮したセキュアなコンピュータ)上で生成し、このバーチャルマシンである機器に機器名称・OS・バージョン等303が示すOS等をインストールし、設定情報304が示す内容を設定する、といった手法が想定出来るが、これに限定されない。
次に、不正プログラム対策システム101における不正プログラム解析機能110が、上述のステップ1001で構築された模擬環境に対し、駆除プログラムの適用対象となる不正プログラムを投入した上で、所定業務処理を実行させ、その際の挙動をモニタリングして得た情報を解析し、当該解析の結果を解析結果DB104に格納する(ステップ1002)。なお、上述の模擬環境に投入する不正プログラムは、例えば企業ユーザからの提供ないし指示を受けて、不正プログラム対策システム101が予め記憶装置203にて保持しているものとする。また、模擬環境における挙動のモニタリングは、模擬環境のOS等に予め備わるプロセスのログ記録機能等を利用すればよいが、勿論これに限定されない。
ここで、不正プログラム解析機能110が解析結果を格納した解析結果DB104の構成例を図11にて示す。図11にて例示する解析結果DB104は、一連の挙動を実行順に一意に特定する番号502およびプロセスID503をキーとして、該当プロセスの起源となった親プロセスを一意に特定する親プロセスID504、該当プロセスのカテゴリ505、値506、および挙動507の各値を対応付けたレコードの集合体となっている。 このうち番号502は、上述のステップ1002の解析で得た各プロセスに対し、例えば該当プロセスの実行順に固有番号を割り当てたものである。また、プロセスID503は、該当プロセスを一意に特定するプロセスID、親プロセスID504はプロセスID503が示す該当プロセスの親プロセスのIDの情報を保持する。また、カテゴリ505、値506、および挙動507は、該当プロセスの振る舞いを分類した情報(例えば番号が“1”でプロセスID“524”のプロセスは、親プロセスを持たず、“abc.dat”ファイルを“作成”など)を保持する。
また、不正プログラム解析機能110は、上述の解析結果DB104の情報が示す各プロセス間の因果関係(例えば、あるプロセスにおける“xxx.exe”の実行に応じて次なるプロセス“browser.exe”が実行され、更に、これに応じてプロセス“gyoumu.com”にポート“8080”経由でアクセスする、といったプロセス相互の関係)に応じて、各プロセスとそのルーツとなる親プロセスの関係を特定することで、図12、13に示すような各プロセス間の親子関係を示すプロセスツリー、すなわちプロセス間の階層に対応したツリー構造を生成するとすれば好適である。図12、13でそれぞれ例示するツリー構造では、プロセスID(PID)の集合ごとに、ブロック単位で部分木として表現している。
例えば図13の例では、PIDが“30”のプロセスの集合をツリー構造の根に近い部分木として表現し、PIDが“30”のプロセスを親プロセスIDに持つプロセス(PIDが“43”のプロセス)の集合を、葉に近い部分木として表現している。一方、図12の例では、PIDが“524”のプロセスの集合のみでツリー構造を形成しており、ツリー構造上の親子関係にある部分木は存在していない例を示している。
こうしたブロック単位の部分木の内部における各ノード(各プロセス)の親子関係は、順不同であるが、本実施形態の不正プログラム対策システム101の不正プログラム解析機能110によって得られた解析結果において各プロセスのタイムスタンプ情報が得られ
る場合には、順序付けを行うこともできる。
続いて不正プログラム対策システム101における対策素案生成機能111は、対処DB103と解析結果DB104、および企業ポリシーDB106に基づき、不正プログラム対策候補を特定して対策方法の素案を生成し、これを対策方法DB105に格納する(ステップ1003)。このステップ1003における対策素案生成機能111は、例えば、企業ポリシーDB106の業務処理保全レベルテーブル903で“強”と定義されている場合、上述の解析結果DB104に基づくプロセスツリー(図12、13)の葉のノード(つまり階層における末端ノード)のプロセスから対処したほうが平時の業務処理への影響が少なく業務処理を保全出来ると認識し、葉のノードのプロセスから、不正プログラム対策候補を選択することを決定し、また、企業ポリシーDB106の対策レベル遷移テーブル901で“強→中”と指定されている場合、上述の葉のノードのプロセスから、対策レベルが“強”の不正プログラム対策候補を優先して選択し、この不正プログラム対策候補を対策素案として生成し、これを対策方法DB105にする。
他方、例えば、企業ポリシーDB106の業務処理保全レベルテーブル903で“中”と定義されている場合、上述の解析結果DB104に基づくプロセスツリー(図12、13)での中位のノード(つまり階層における末端ノードとルートノードとの中間ノード)のプロセスから対処しても業務処理への影響の観点で問題が少ないと認識し、中位ノードのプロセスから、不正プログラム対策候補を選択することを決定し、また、企業ポリシーDB106の対策レベル遷移テーブル901で“中→強”と指定されている場合、上述の中位のノードのプロセスから、対策レベルが“中”の不正プログラム対策候補を優先して選択し、この不正プログラム対策候補を対策素案として生成し、これを対策方法DB105にする。企業ポリシーDB106の業務処理保全レベルテーブル903で“低”と定義されている場合、また、企業ポリシーDB106の対策レベル遷移テーブル901で“低→中”などと指定されている場合も同様である。
図14を用いて上述の対策方法DB105の構成例について説明する。図14にて例示する対策方法DB105は、対策番号602および対象603をキーとして、対処604、対処レベル605、および対処機器種別606の各値を対応付けたレコードの集合体となっている。このうち対策番号602は、該当対策方法すなわち不正プログラム対策候補に固有の番号を割り当てたものである。また、対象603、対処604、対処レベル605、および対処機器種別606は、どの種別の機器でどのような対処を行うかの情報(例えば、対策番号“1”の対策方法(不正プログラム対策候補)では、対処機器種別“Proxy”で、対象となるURL“Malware.com:8080”と“gyoumu.com:8080”へのアクセスについて、対処レベルが“強”の対処である“ポート8080をブロック”など)を保持する。
次に、不正プログラム対策システム101における対策方法改善・選択機能112は、上述のステップ1003で生成された対策素案を取得し、図16のフロー図に示す処理を行う(ステップ1004)。図16のフロー図において、対策方法改善・選択機能112は、対策素案生成機能111から対策素案を取得した際には、当該フローの1回目の処理となるため(ステップ1201:Yes)、取得した対策素案が、企業ポリシーDB106の示す企業ポリシーに沿ったものであるとして、これを模擬環境に適用する不正プログラム対策として選択する(ステップ1205)。図13のプロセスツリーを例にとった場合、“対策方法1”として、“ポート8080のブロック”処理を選択したものとする。なお、当該ステップ1004での処理が2回目以降であれば、対策方法改善・選択機能112は、図16のフローにおけるステップ1202以降の対策方法改善・選択処理を行う。このステップ1202以降の処理詳細については後述する。
ここで図10のフローの説明に戻る。続いて、不正プログラム対策システム101の対策方法適用機能113は、上述のステップ1004で選択された対策方法の情報を取得し、当該対策方法の処理を実行する駆除プログラムを生成し、上述の対策対象システムの模擬環境に適用する(ステップ1005)。このステップ1005における駆除プログラムの生成は、例えば、対処DB103において該当不正プログラム対策候補に紐付けされている駆除プログラムを記憶装置203から抽出し、これを駆除プログラムとする手順などが想定できるが、これに限定されない。
次に、不正プログラム対策システム101の対策方法評価機能114は、上述のステップ1005で対策方法を適用した模擬環境において所定の業務処理を実行させ、その際の模擬環境の挙動を不正プログラム解析機能110によってモニタリングさせ、その結果によって不正プログラムの挙動解析を実行すると共に、業務テスト機能115によって所定の評価処理を実行する(ステップ1006)。
このステップ1006での評価処理の詳細については図15を用いて説明する。この場合、上述の対策方法すなわち駆除プログラムを適用した模擬環境において、不正プログラム解析機能110が不正プログラム解析(ステップ1101)を実行し、また、業務テスト機能115が業務テスト(ステップ1102)を実行する。
このうち不正プログラム解析機能110による不正プログラム解析処理は、上述の不正プログラムを投入した模擬環境において、通常の業務処理を実行させ、その際の挙動を一連のプロセスとして特定し、特定したプロセスの情報を解析結果DB104に格納するものとなる。なおこの際、上述の解析結果DB104の情報から一連の挙動間の親子関係に対応したプロセスツリーを生成し、これを記憶装置203に格納するとすれば好適である。
また、業務テスト機能115による業務テスト処理は、上述の駆除プログラムを模擬環境に適用した際の、対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容(業務処理手順DB107)と異なるものとなるか判定する処理となる。またこの判定に際し、駆除プログラムの適用対象となった挙動が、予め定めた対策成否の判定基準(不正プログラム判定基準テーブル902)を満たすものであるか判定する処理もあわせて実行される。
対策方法評価機能114は、上述のステップ1101、ステップ1102の結果を受けて、ステップ1004で選択した対策方法で不正プログラム対策に成功したかどうか判定する(ステップ1103)。この判定の結果、不正プログラム対策に成功したことが判明した場合(ステップ1103:Yes)、対策方法評価機能114は、処理をステップ1104に進める。
例えば、本実施形態について図13、14で示した通り、対策素案生成機能111で生成した対策素案は“ポート8080のブロック”である。よって、ステップ1103において、この対策方法は、不正プログラム判定基準テーブル902の規定に対応した「業務処理でアクセスするホスト先以外のホスト(Malware.com)へのアクセスは防げる」ものとなるため、不正プログラム対策ができていると判定できる。
一方、不正プログラム対策に成功しなかったことが判明した場合(ステップ1103:No)、対策方法評価機能114は、上述のステップ1004で選択した対策方法では不正プログラム対策ができなかったことを示す所定情報を、対策方法改善・選択機能112に通知し、ステップ1004に処理を戻す(ステップ1106)。
次にステップ1104において、対策方法評価機能114は、ステップ1004で選択した対策方法が模擬環境における業務処理を妨げていないか、ステップ1102の業務テストの結果に基づき判定する。このステップ1104での判定の結果、該当対策方法が模擬環境における業務処理を妨げていないことが判明した場合(ステップ1104:Yes)、対策方法評価機能114は、処理をステップ1105に進める。他方、該当対策方法が模擬環境における業務処理を妨げていることが判明した場合(ステップ1104:No)、対策方法評価機能114は、ステップ1004で選択した対策方法が模擬環境における業務処理を妨げてしまう対策方法であることを示す所定情報を、対策方法改善・選択機能112に通知し、処理をステップ1004に戻す(ステップ1107)。
例えば、本実施形態について図6、図9で示した通り、業務処理手順DB107の業務処理番号“0100”の業務処理において、“ポート8080”を使用する業務処理が存在し、業務処理保全レベルテーブル903において、業務保全レベルが“強”と指定されているため、業務処理番号“0100”の業務処理で使用するポート“8080の変更”も許されないことが判定できる。よって、対策素案の“ポート8080のブロック”処理は業務処理を妨げてしまう対策方法であると判定できる。
上述のステップ1106、1104の結果、すなわち、「選択した対策方法では不正プログラム対策ができなかった」、「該当対策方法が模擬環境における業務処理を妨げている」に応じて再実行されるステップ1004については後述するものとする。
続いてステップ1105において、対策方法評価機能114は、ステップ1004で選択した対策方法が対策対象システムでの平時の業務処理への影響を考慮したものであると判定し、これを出力装置205に出力または対策対象システムに適用する処理を実行し、フローを終了する。なお、対策方法評価機能114は、上述のステップ1104の判定結果に応じて、図10のフローにおけるステップ1007も同様に実行するものとする。よって、ステップ1104での判定の結果、該当対策方法が模擬環境における業務処理を妨げていないことが判明した場合(ステップ1104:Yes)、対策方法評価機能114は、図10のフローにおけるステップ1007でも、模擬環境における業務処理を妨げずに該当対策方法を適用できたと判定し(ステップ1007:Yes)、図10に示す全体フローも終了する。以上が、本実施形態の不正プログラム対策方法における全体処理フローとなる。
−−−企業ポリシーに応じた不正プログラム対策候補の再選択等−−−
ここで、上述のステップ1106、1104の結果、すなわち、「選択した対策方法では不正プログラム対策ができなかった」、「該当対策方法が模擬環境における業務処理を妨げている」に応じて再実行されるステップ1004について説明する。
このフローの実行は、対策素案生成機能111から対策素案を取得した際に実行されるものではなく、上述したように2回目以降のステップ1004に関するものとなる。よって、対策方法改善・選択機能112は、当該フローにおけるステップ1201において、2回目の処理と判定し(ステップ1201:No)、処理をステップ1202に進める。
このステップ1202における対策方法改善・選択機能112は、図15で示したフローのステップ1103の判定結果が、不正プログラム対策に成功しなかったものであった場合(ステップ1202:No)、ステップ1004で選択した対策方法では不正プログラム対策が出来ていなかったと判定し、対処DB103における不正プログラム対策候補のうち、より対策レベルが強いものを対策方法として選択する(ステップ1204)。
この処理に際し、対策方法改善・選択機能112は、例えば図13に示すプロセスツリーに基づき、該当プロセス(ステップ1004で選択した対策方法の適用先のプロセス)の親プロセスのブロック内にあるプロセスに対して対処を行うほうが対策レベルがより高い対策方法である可能性が高いと認識し、親プロセスのブロック内のプロセスに対して対策レベルが“強”の不正プログラム対策候補を対処DB103から選定する。例えば、図13に例示したプロセスツリーにおいて、プロセスID“56”のブロックの親プロセスにあたるプロセスID“30”のブロックにおけるプロセス“XXX.exe実行”について、対策レベル“強”の不正プログラム対策候補として、対処DB103より、カテゴリ“ファイル”、挙動“実行”、対策レベル“強”、対処“停止”なる対処を不正プログラム対策候補として選定出来る。
或いは、対策方法改善・選択機能112は、このステップ1204において、例えば図11の解析結果DB104、図13に示すプロセスツリーに基づき、該当プロセス内で該当処理より前に実行される前処理(親プロセスではない)に対して対処を行うほうが対策レベルがより高い対策方法である可能性が高いと認識し、上述の前処理に対して対策レベルが“強”の不正プログラム対策候補を対処DB103から選定するとしてもよい。例えば、図13に例示したプロセスツリーにおいて、プロセスID“56”のブロックにおける処理「“gyoumu.com:8080”に“アクセス”」の前処理にあたる「“browser.exe”の実行」について、対策レベル“強”の不正プログラム対策候補として、対処DB103より、カテゴリ“ファイル”、挙動“実行”、対策レベル“強”、対処“停止”なる対処を不正プログラム対策候補“対策方法2”として選定出来る。
なお、こうしてあらためて選定した対処のうち、例えば上述の対策方法2を、ステップ1005、ステップ1006で適用、評価すると、業務処理手順DB107の業務処理番号“0100”における業務処理手順“browser.exe実行”処理を妨げてしまう対策方法であると判定されることとなる。したがってこの場合、図15で既に示したフローのうちステップ1104の判定で、上述の「対策方法2」が模擬環境における業務処理を妨げてしまう対策方法と判定され、このステップに続くステップ1107の実行を経て、再びステップ1004に処理が戻されることになる。
一方、ステップ1103の判定結果が、不正プログラム対策に成功したものであった場合(ステップ1202:Yes)、対策方法改善・選択機能112は、ステップ1004で選択した対策方法は不正プログラム対策に成功したものの、業務処理に悪影響があった(図15のステップ1104:No)ものであったと判定し、処理をステップ1203に進める。このステップ1203における対策方法改善・選択機能112は、対処DB103における不正プログラム対策候補のうち、より対策レベルが弱いものを対策方法として選択する。この処理に際し、対策方法改善・選択機能112は、例えば図13に示すプロセスツリーにおいて、プロセスID“56”に関して選択していた対策方法1“ポート8080をブロック”より、対策レベルが低い対処を、対処DB103より、カテゴリ“ネットワーク”、挙動“送受信”、対策レベル“中”、対処“接続先ホストブロック”なる対処を不正プログラム対策候補“対策方法3”として選定出来る。図13のプロセスツリーの場合、「”Malware.com”へのアクセスブロック」なる対処が“対策方法3”となる。
なお、こうして選定した、すなわち改善した上述の「対策方法3」を、ステップ1005、ステップ1006で適用、評価すると、業務処理手順DB107の業務処理番号“0100”における業務処理手順の各処理を妨げることもなく、不正プログラム対策に成功するものであると判定されることとなる。したがってこの場合、図15で既に示したフローのうちステップ1104の判定で、上述の「対策方法3」が模擬環境における業務処理を妨げない対策方法と判定され、このステップに続くステップ1105および図10のフ
ローにおけるステップ1007の実行を経て、全体フローを終了することとなる。
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
こうした本実施形態によれば、適用対象となるシステムにおける、平時の業務処理への悪影響を排除した、不正プログラムの駆除プログラムが、その生成時における候補数を適宜低減して効率的に得られる。このように駆除プログラムの効率的な、すなわち迅速な生成により、不正プログラムの感染拡大も効果的に防止することができる。
すなわち、不正プログラムに適切に対処し、かつ対象システムへの適用時における業務処理への悪影響を回避できる駆除プログラムを効率的に生成できる。
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の不正プログラム対策システムにおいて、前記演算装置は、前記所定業務の処理結果に関する正常処理結果の判定処理に先立ち、前記不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの挙動のうち、該当不正プログラム対策候補の適用対象となった挙動が、予め定めた対策成否の判定基準を満たすものであるか判定する処理を更に実行し、前記判定の結果、該当不正プログラム対策候補が不正プログラム対策に成功していた場合に、前記所定業務の処理結果に関する正常処理結果の判定処理を実行するものであるとしてもよい。
これによれば、不正プログラム対策に成功した、すなわち不正プログラムの動作や悪影響を排除出来たことを前提として、上述の対策対象のコンピュータにおける業務への悪影響判定を実行することで、不正プログラム対策の適用による業務への悪影響回避と不正プログラム対策の成功を共に必要な条件として考慮し、精度良好な不正プログラム対策を効率良く特定し、適用することが出来る。
また、本実施形態の不正プログラム対策システムにおいて、前記演算装置は、前記所定業務の処理結果に関する正常処理結果の判定処理に際し、前記模擬環境にて前記不正プログラムを実行させた場合の挙動内容より、当該挙動内容の含む一連の各挙動間の親子関係を特定する処理と、前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果でなかった場合に、該当処理結果を生み出した該当挙動に代えて、前記各挙動間の親子関係に基づく前記該当挙動と親子関係にある他挙動を特定し、当該他挙動に対応する不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理とを更に実行するものであるとしてもよい。
これによれば、不正プログラム対策候補が業務処理に悪影響を及ぼすことが判明した際に、他の全ての不正プログラム対策についてあらためて処理を実行するといった事態を回避して、不正プログラム対策候補を選定する範囲を上述の親子関係をベースとした効率的なものと出来る。
また、本実施形態の不正プログラム対策システムにおいて、前記記憶装置は、前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を対策レベルと対応づけて格納したものであり、前記演算装置は、前記不正プログラム対策候補を特定する処理に際し、不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内
容の含む各挙動に対応する不正プログラム対策候補を、予めユーザが指定した対策レベルの優先順に応じて特定するものであるとしてもよい。
これによれば、該当企業におけるシステムセキュリティのポリシーに基づいてシステム管理者等が指定した上述の優先順に基づいた、不正プログラム対策候補の選定が可能となり、ひいては、企業個々のシステム構成やその事情により的確に対応した不正プログラム対策がなされることとなる。
また、本実施形態の不正プログラム対策システムにおいて、前記記憶装置は、前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を対策レベルと対応づけて格納したものであり、前記演算装置は、前記所定業務の処理結果に関する正常処理結果の判定処理に際し、前記所定業務の処理結果が正常処理結果でなかった場合に、業務処理の保全について予めユーザが指定した要求内容が、前記処理結果を許容するか判定する処理と、前記判定の結果、前記要求内容が前記処理結果を許容するものであった場合、前記不正プログラム対策候補を適切な不正プログラム対策とし、前記要求内容が前記処理結果を許容しないものであった場合、前記不正プログラム対策候補に代えて、より対策レベルの低い他の不正プログラム対策候補を前記テーブルにて特定し、当該他の不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理とを更に実行するものである、としてもよい。
これによれば、該当企業における業務処理に関する保全要求のポリシー(不正プログラム対策適用による業務処理への影響をどれほど許容出来るかを示すポリシー)に基づいてシステム管理者等が指定した上述の要求内容に基づいた、不正プログラム対策候補の選定が可能となり、ひいては、企業個々のシステム構成やその業務処理のクリティカル度などの事情により的確に対応した不正プログラム対策がなされることとなる。
また、本実施形態の不正プログラム対策方法において、前記コンピュータが、前記所定業務の処理結果に関する正常処理結果の判定処理に先立ち、前記不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの挙動のうち、該当不正プログラム対策候補の適用対象となった挙動が、予め定めた対策成否の判定基準を満たすものであるか判定する処理を更に実行し、前記判定の結果、該当不正プログラム対策候補が不正プログラム対策に成功していた場合に、前記所定業務の処理結果に関する正常処理結果の判定処理を実行するとしてもよい。
また、本実施形態の不正プログラム対策方法において、前記コンピュータが、前記所定業務の処理結果に関する正常処理結果の判定処理に際し、前記模擬環境にて前記不正プログラムを実行させた場合の挙動内容より、当該挙動内容の含む一連の各挙動間の親子関係を特定する処理と、前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果でなかった場合に、該当処理結果を生み出した該当挙動に代えて、前記各挙動間の親子関係に基づく前記該当挙動と親子関係にある他挙動を特定し、当該他挙動に対応する不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理を更に実行するとしてもよい。
また、本実施形態の不正プログラム対策方法において、前記コンピュータが、前記記憶装置の前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を対策レベルと対応づけて格納して、前記不正プログラム対策候補を特定する処理に際し、不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プロ
グラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を、予めユーザが指定した対策レベルの優先順に応じて特定するとしてもよい。
また、本実施形態の不正プログラム対策方法において、前記コンピュータが、前記記憶装置の前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を対策レベルと対応づけて格納して、前記所定業務の処理結果に関する正常処理結果の判定処理に際し、前記所定業務の処理結果が正常処理結果でなかった場合に、業務処理の保全について予めユーザが指定した要求内容が、前記処理結果を許容するか判定する処理と、前記判定の結果、前記要求内容が前記処理結果を許容するものであった場合、前記不正プログラム対策候補を適切な不正プログラム対策とし、前記要求内容が前記処理結果を許容しないものであった場合、前記不正プログラム対策候補に代えて、より対策レベルの低い他の不正プログラム対策候補を前記テーブルにて特定し、当該他の不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理を更に実行するとしてもよい。
101 不正プログラム対策システム
102 システム構成情報DB
103 対処DB
104 解析結果DB
105 対策方法DB
106 企業ポリシーDB
107 業務処理手順DB
108 業務のテストメッセージDB
109 模擬環境構築機能
110 対策素案生成機能
111 対策方法改善・選択機能
112 対策方法適用機能
113 対策方法評価機能
114 不正プログラム解析機能
115 業務テスト機能
201 CPU(演算装置)
202 メモリ
203 記憶装置
204 入力装置
205 出力装置
206 通信制御装置
210 プログラム
211 データ類

Claims (10)

  1. コンピュータにおける各挙動に対して適用する不正プログラム対策候補を規定したテーブルを格納した記憶装置と、
    不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を特定する処理と、
    前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果であった場合に、前記不正プログラム対策候補を適切な不正プログラム対策として、出力装置に出力または前記コンピュータに適用する処理と、を実行する演算装置と、
    を備えることを特徴とする不正プログラム対策システム。
  2. 前記演算装置は、
    前記所定業務の処理結果に関する正常処理結果の判定処理に先立ち、
    前記不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの挙動のうち、該当不正プログラム対策候補の適用対象となった挙動が、予め定めた対策成否の判定基準を満たすものであるか判定する処理を更に実行し、
    前記判定の結果、該当不正プログラム対策候補が不正プログラム対策に成功していた場合に、前記所定業務の処理結果に関する正常処理結果の判定処理を実行するものである、
    ことを特徴とする請求項1に記載の不正プログラム対策システム。
  3. 前記演算装置は、
    前記所定業務の処理結果に関する正常処理結果の判定処理に際し、
    前記模擬環境にて前記不正プログラムを実行させた場合の挙動内容より、当該挙動内容の含む一連の各挙動間の親子関係を特定する処理と、
    前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果でなかった場合に、該当処理結果を生み出した該当挙動に代えて、前記各挙動間の親子関係に基づく前記該当挙動と親子関係にある他挙動を特定し、当該他挙動に対応する不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理と、
    を更に実行するものである、
    ことを特徴とする請求項1に記載の不正プログラム対策システム。
  4. 前記記憶装置は、
    前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を対策レベルと対応づけて格納したものであり、
    前記演算装置は、
    前記不正プログラム対策候補を特定する処理に際し、
    不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を、予めユーザが指定した対策レベルの優先順に応じて特定するものである、
    ことを特徴とする請求項1に記載の不正プログラム対策システム。
  5. 前記記憶装置は、
    前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム
    対策候補を対策レベルと対応づけて格納したものであり、
    前記演算装置は、
    前記所定業務の処理結果に関する正常処理結果の判定処理に際し、
    前記所定業務の処理結果が正常処理結果でなかった場合に、業務処理の保全について予めユーザが指定した要求内容が、前記処理結果を許容するか判定する処理と、
    前記判定の結果、前記要求内容が前記処理結果を許容するものであった場合、前記不正プログラム対策候補を適切な不正プログラム対策とし、前記要求内容が前記処理結果を許容しないものであった場合、前記不正プログラム対策候補に代えて、より対策レベルの低い他の不正プログラム対策候補を前記テーブルにて特定し、当該他の不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理と、
    を更に実行するものである、
    ことを特徴とする請求項1に記載の不正プログラム対策システム。
  6. コンピュータにおける各挙動に対して適用する不正プログラム対策候補を規定したテーブルを格納した記憶装置を備えたコンピュータが、
    不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を特定する処理と、
    前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果であった場合に、前記不正プログラム対策候補を適切な不正プログラム対策として、出力装置に出力または前記コンピュータに適用する処理と、
    を実行することを特徴とする不正プログラム対策方法。
  7. 前記コンピュータが、
    前記所定業務の処理結果に関する正常処理結果の判定処理に先立ち、
    前記不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの挙動のうち、該当不正プログラム対策候補の適用対象となった挙動が、予め定めた対策成否の判定基準を満たすものであるか判定する処理を更に実行し、
    前記判定の結果、該当不正プログラム対策候補が不正プログラム対策に成功していた場合に、前記所定業務の処理結果に関する正常処理結果の判定処理を実行する、
    ことを特徴とする請求項6に記載の不正プログラム対策方法。
  8. 前記コンピュータが、
    前記所定業務の処理結果に関する正常処理結果の判定処理に際し、
    前記模擬環境にて前記不正プログラムを実行させた場合の挙動内容より、当該挙動内容の含む一連の各挙動間の親子関係を特定する処理と、
    前記特定した不正プログラム対策候補を前記模擬環境に適用し、当該適用時における前記対策対象のコンピュータでの所定業務の処理結果が、該当業務の正常処理結果について予め定めた規定内容と異なるものとなるか判定し、前記所定業務の処理結果が正常処理結果でなかった場合に、該当処理結果を生み出した該当挙動に代えて、前記各挙動間の親子関係に基づく前記該当挙動と親子関係にある他挙動を特定し、当該他挙動に対応する不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理と、
    を更に実行することを特徴とする請求項6に記載の不正プログラム対策方法。
  9. 前記コンピュータが、
    前記記憶装置の前記テーブルにおいて、コンピュータにおける各挙動に対して適用する
    不正プログラム対策候補を対策レベルと対応づけて格納して、
    前記不正プログラム対策候補を特定する処理に際し、
    不正プログラムの対策対象であるコンピュータの模擬環境にて、不正プログラムを実行させた場合の挙動内容を前記テーブルに照合して、前記挙動内容の含む各挙動に対応する不正プログラム対策候補を、予めユーザが指定した対策レベルの優先順に応じて特定する、
    ことを特徴とする請求項6に記載の不正プログラム対策方法。
  10. 前記コンピュータが、
    前記記憶装置の前記テーブルにおいて、コンピュータにおける各挙動に対して適用する不正プログラム対策候補を対策レベルと対応づけて格納して、
    前記所定業務の処理結果に関する正常処理結果の判定処理に際し、
    前記所定業務の処理結果が正常処理結果でなかった場合に、業務処理の保全について予めユーザが指定した要求内容が、前記処理結果を許容するか判定する処理と、
    前記判定の結果、前記要求内容が前記処理結果を許容するものであった場合、前記不正プログラム対策候補を適切な不正プログラム対策とし、前記要求内容が前記処理結果を許容しないものであった場合、前記不正プログラム対策候補に代えて、より対策レベルの低い他の不正プログラム対策候補を前記テーブルにて特定し、当該他の不正プログラム対策候補を前記模擬環境に適用し、前記所定業務の処理結果に関する正常処理結果の判定処理を再度実行する処理と、
    を更に実行することを特徴とする請求項6に記載の不正プログラム対策方法。
JP2014237432A 2014-11-25 2014-11-25 不正プログラム対策システムおよび不正プログラム対策方法 Expired - Fee Related JP6282217B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014237432A JP6282217B2 (ja) 2014-11-25 2014-11-25 不正プログラム対策システムおよび不正プログラム対策方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014237432A JP6282217B2 (ja) 2014-11-25 2014-11-25 不正プログラム対策システムおよび不正プログラム対策方法

Publications (2)

Publication Number Publication Date
JP2016099857A JP2016099857A (ja) 2016-05-30
JP6282217B2 true JP6282217B2 (ja) 2018-02-21

Family

ID=56077149

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014237432A Expired - Fee Related JP6282217B2 (ja) 2014-11-25 2014-11-25 不正プログラム対策システムおよび不正プログラム対策方法

Country Status (1)

Country Link
JP (1) JP6282217B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6712207B2 (ja) * 2016-09-12 2020-06-17 株式会社日立アドバンストシステムズ セキュリティ対策装置
KR101883713B1 (ko) * 2016-09-22 2018-07-31 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
JP2018109910A (ja) 2017-01-05 2018-07-12 富士通株式会社 類似度判定プログラム、類似度判定方法および情報処理装置
JP6866645B2 (ja) 2017-01-05 2021-04-28 富士通株式会社 類似度判定プログラム、類似度判定方法および情報処理装置
JP7078562B2 (ja) * 2019-02-07 2022-05-31 株式会社日立製作所 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置
US11914711B2 (en) * 2020-07-30 2024-02-27 Versa Networks, Inc. Systems and methods for automatically generating malware countermeasures

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP2006243878A (ja) * 2005-03-01 2006-09-14 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
JP4773332B2 (ja) * 2006-12-28 2011-09-14 三菱電機株式会社 セキュリティ管理装置及びセキュリティ管理方法及びプログラム
KR101057432B1 (ko) * 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
US8677493B2 (en) * 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology

Also Published As

Publication number Publication date
JP2016099857A (ja) 2016-05-30

Similar Documents

Publication Publication Date Title
US11086983B2 (en) System and method for authenticating safe software
US7845006B2 (en) Mitigating malicious exploitation of a vulnerability in a software application by selectively trapping execution along a code path
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
US11216342B2 (en) Methods for improved auditing of web sites and devices thereof
CN107451040B (zh) 故障原因的定位方法、装置及计算机可读存储介质
US20040181677A1 (en) Method for detecting malicious scripts using static analysis
CN107004088B (zh) 确定装置、确定方法及记录介质
EP3367288B1 (en) Classification method, classification device, and classification program
CN117556432B (zh) 一种基于传播影响分析的同源漏洞安全响应方法和系统
CN110909349A (zh) docker容器内反弹shell的检测方法和系统
CN108268773B (zh) Android应用升级包本地存储安全性检测方法
CN104252447A (zh) 文件行为分析方法及装置
US20260072723A1 (en) Cloud computing environment asset monitoring
CN112579330B (zh) 操作系统异常数据的处理方法、装置及设备
EP3945441B1 (en) Detecting exploitable paths in application software that uses third-party libraries
CN115982713A (zh) 漏洞修复方法、装置、电子设备和计算机可读存储介质
CN112905534B (zh) 一种基于沙箱环境的样本分析方法和装置
CN115292707A (zh) 基于动态类调用序列的可信度判断方法及装置
JPWO2020065778A1 (ja) 情報処理装置、制御方法、及びプログラム
CN113378172B (zh) 用于识别敏感网页的方法、装置、计算机系统和介质
US20070074172A1 (en) Software problem administration
CN117034210B (zh) 一种事件画像的生成方法、装置、存储介质及电子设备
JP2020160679A (ja) スクリプト検出装置、方法及びプログラム
CN110719274B (zh) 网络安全控制方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170315

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180123

R150 Certificate of patent or registration of utility model

Ref document number: 6282217

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees