WO2006016407A1 - Ｊａｖａアプレット、ＪＡＲファイル生成方法、ＪＡＲファイル生成プログラム、ＪＡＲファイル生成装置 - Google Patents

Abstract

　複数の所定のＪａｖａアプレットプログラムをコンピュータに実行させるＪａｖａアプレットであって、該Ｊａｖａアプレットは出所を保証するための電子署名を施されたものであり、前記複数の所定のＪａｖａアプレットプログラムそれぞれの所在について定義する配備情報の改ざんを検出するための同一性確認用情報に基づいて、前記配備情報の改ざんを検出する改ざん検出ステップと、前記複数の所定のＪａｖａアプレットプログラムをロードするためのロード用プログラムを起動させるロード用プログラム起動ステップと、前記改ざん検出ステップにおいて改ざんが検出されなかった場合に、前記配備情報に基づいて、前記起動させたロード用プログラムにより前記複数の所定のＪａｖａアプレットプログラムをロードさせるロードステップとをコンピュータに実行させる。

Description

明 細 書

Javaァプレット、 JARファイル生成方法、 JARファイル生成プログラム、 JA Rファイル生成装置

技術分野

[0001] 本発明は、 Javaアブレットに関し、特に Javaアブレットの悪用を防止する技術に関 するものである。

背景技術

[0002] 従来、電気通信回線等を介してダウンロードされ avaアブレット（以下、アブレット )をクライアント端末における Webアプリケーション (Webブラウザ等）等に実装され RE (Java Runtime Environment)により実行して、クライアント端末側での処理を行う 技術が提供されている。

[0003] このようなァプレットを用いた処理を行う際にァプレットを実行する JREでは、安全上 の理由から、アブレットがユーザに被害を与える可能性のある動作をすることを禁じて いる。

[0004] 図 21は、電子署名のないァプレットが実行される場合の通常の処理について説明 するための概念図である。ここでは、攻撃者が不正な JARファイル evil. jar91を用いて 、クライアント端末 Cにおける保護されたシステム資源 (データや個人情報など） 13に 不正アクセスしょうとする場合を示してレ、る。ここでは、 JARファイル evil.jar91には電 子署名は施されていないものとする。

[0005] クライアント端末 Cのユーザ力 攻撃者の Webサイトにアクセスすると、 Webブラウザ

11によりインターネット Nを介して攻撃者の Webサイトの HTMLデータ「evil.html」が ダウンロードされる（S71)。

[0006] Webブラウザ 11は、「evil.html」に含まれる当該不正なァプレットのタグに基づいて 、JRE12のァプレット起動部 12aに当該不正なァプレットの起動を要求する（S72)。 ァプレット起動部 12aは、当該要求に基づレ、て、 JARファイル evil.jar91をロードする（ S73)。

[0007] この場合、不正な JARファイル evil. jar91は、出所を保証するための電子署名がなさ れていないことを理由に信頼できないものとみなされる。よって、不正な JARファイル evil.jar91 (不正なァプレット）による、保護されたシステム資源 13へのアクセス要求（ S74)は、セキュリティマネージャ 12bにより禁止される（S75)。

[0008] このように、セキュリティマネージャ 12bのアクセス制限のもとでは、出所の保証され ていないァプレットを用いて、保護されたシステム資源 13にアクセスすることはできず 、ユーザが被害を受けることはない。

[0009] ところで、上述のようなアクセス制限は、 Webアプリケーションを開発する上での障 害となる場合がある。例えば、電子政府システムなどでは、ユーザがクライアント端末 Cにおけるローカルデバイスに格納されている情報を使って申請書等に電子署名を 施すことが必要となる場合がある。しかし上述のように、通常はアブレットを用いたクラ イアント端末側のローカルデバイスへのアクセスは禁じられており、上述のようなシス テムは実現できない。

[0010] そこで、電子署名等によって出所が保証されたアブレットについては、アブレットに は通常禁止されているような動作（ファイルアクセスやコマンド実行など）を行うことを ユーザが特別に許可することのできるようにする仕組みが用意されている。出所を保 証する方法としては、上述のようにアブレットに電子署名を施す方法が一般的である

[0011] このような仕組みによれば、電子署名を施されたアブレット（以下、署名付きアブレツ ト）力 SJRE12によってロードされた場合、当該アブレットの実行時に動的にセキユリテ ィ制限の解除を要求するダイアログを表示させ、ユーザに解除を許可するか否かの 選択を促すことができ、あらかじめユーザにセキュリティ設定を変更してもらうような手 間を省くことができるという利点がある。

[0012] 図 22は、署名付きアブレットが実行される場合の処理について説明するための概 念図である。ここでは、署名付きァプレットとして foo.jar93および bar.jar92力 S、 HTM Lファイル「goodj.html」と共に配備されている場合を示している。以下、図中において 二重線の枠で囲まれているものは、署名が施されていることを意味するものとする。

[0013] クライアント端末 Cのユーザ力 Webサイトにおける「goodj.html」にアクセスすると、 Webブラウザ 11によりインターネット Nを介して HTMLファイル「goodj.html」がダウン ロードされる（S81)。

[0014] Webブラウザ 11は、「goodj.html」に含まれるァプレットのタグに基づいて、 JRE12 のアブレット起動部 12aに当該アブレットの起動を要求する（S82)。アブレット起動部 12aは、当該要求に基づいて、 JARファイル bar.jar92および foo.jar93をロードする（ 383；)。

[0015] ここでは、ロードされる JARファイル bar.jar92および foo.jar93には、共に出所を保 証するための電子署名が施されているため、ァプレット起動部 12aは当該署名の内 容を検証し、検証結果をユーザに確認させるためのダイアログを表示させる（S84)。 ユーザが当該ダイアログにより検証結果を確認し、問題がないと判断した場合、セキ ユリティマネージャ 12bにおいて JARファイル bar.jar92および foo.jar93は信頼できる ものであるとみなされる。

[0016] 信頼できるものとみなされたァプレットについては、ァプレットには通常禁止されて レ、るような動作が可能になる。よって、セキュリティマネージャ 12bによるアクセス制限 の下でも、これら信頼できるものとみなされたアブレットにより保護されたシステム資源 13に対するアクセス要求が出された場合（S85)、当該アクセス要求は許可される（S 86)。

[0017] しかし、上述のような署名付きアブレットに対してアクセス許可を行う仕組みは有用 である反面、攻撃者が署名付きアブレットを再利用し、その機能を悪用してユーザに 被害を与えるおそれがあるという問題がある。

[0018] 署名付きアブレットは、署名付き JARファイルといった再利用可能な部品から構成さ れている。よって、攻撃者はそれらの署名付き JARファイルを攻撃者自らの部品（不 正 ¾[ARファイル）と組み合わせて、署名付き JARファイルに含まれるクラスのメソッド を呼び出したりフィールドを改ざんしたりすることで、それら署名付き JARファイルを作 成した者の本来の意図とは異なる不正な目的で使用すること（いわゆる、不正な再構 成攻撃）を試みること力できる。

[0019] 図 23は、上述のような不正な再構成攻撃の一例について説明するための図である 。ここでは、攻撃者が、電子署名付き JARファイル foo.j_ar93を入手し、当該電子署名 付き JARファイルと自ら作成した不正 ¾[ARファイル evil.jar91とを不正に再構成し、 HTMLフアイノレ「evil2.html」と共に配備してレ、る場合を示してレ、る。

[0020] クライアント端末 Cのユーザ力 Webサイトにおける「evil2.html」にアクセスすると、 ロードされる（S91)。

[0021] Webブラウザ 11は、「evil2.html」に含まれるァプレットのタグに基づいて、 JRE12の ァプレット起動部 12aに当該ァプレットの起動を要求する（S92)。ァプレット起動部 1 2aは、当該要求に基づいて、 JARファイル evil.jar91および foo.jar93をロードする（S 93)。

[0022] ここでは、ロードされる JARファイル foo.jar93には、出所を保証するための電子署名 がなされているため、アブレット起動部 12aは当該署名の内容を検証し、検証結果を ユーザに確認させるためのダイアログを表示させる（S94)。ユーザが当該ダイアログ により検証結果を確認し、問題がないと判断された場合、セキュリティマネージャ 12b において JARファイル foo.jar93は信頼できるものであるとみなされる。一方、署名の なレ、JARファイル evil. jar91につレ、ては、信頼できなレ、ものとみなされる。

[0023] し力し、上述のように、信頼できるものとみなされ ARファイル foo.jar93について は、ァプレットには通常禁止されているような動作が可能になる。このとき、 evil.jar91 力 o.jar93を利用して保護されたシステム資源 13に対するアクセス要求を出させ（S 95)、 foo.jar93を経由して保護されたシステム資源 13にアクセスしてしまうおそれが ある（S96)。

[0024] 上述のような不正な再構成は、信頼されたプログラムが自らの持つ機能を自らの責 任において信頼できないプログラムに提供するための仕組みである「特権コード」の 悪用や、メインロジックを実行するパッケージと、メインロジックが逐次利用するユーテ イリティ的なパッケージを区別しているプログラムについて、ユーティリティ的なパッケ ージのクラスだけを置き換えてメインロジックの動作を自由に制御する攻撃や、対象 プログラムに含まれるリソースの不正な置き換えなどを可能とし、ユーザに被害を与え るおそれがある。

[0025] また、このような署名付き JARファイルが一旦流出してしまうと被害の拡大を抑えるこ とが難しレ、。電子政府システムなどにおいてこの種の攻撃を許すことは、行政システ ムの根幹を揺るがすことにもなりかねないため、上述のような攻撃に対する対策技術 の確立が急務となっている。

発明の開示

発明が解決しょうとする課題

[0026] 本発明は上述した問題点を解決するためになされたものであり、電子署名され a vaアブレットが不正に再利用されることを簡単かつ確実に防止することを目的とする。 課題を解決するための手段

[0027] 上述した課題を解決するため、本発明に係る Javaァプレットは、複数の所定の Java ァプレットプログラムをコンピュータに実行させる Javaァプレットであって、窗 avaァプ レットは出所を保証するための電子署名を施されたものであり、前記複数の所定の Ja vaアブレットプログラムそれぞれの所在について定義する配備情報の改ざんを検出 するための同一性確認用情報に基づレ、て、前記配備情報の改ざんを検出する改ざ ん検出ステップと、前記複数の所定の Javaアブレットプログラムをロードするための口 ード用プログラムを起動させるロード用プログラム起動ステップと、前記改ざん検出ス テツプにおいて改ざんが検出されなかった場合に、前記配備情報に基づいて、前記 起動させたロード用プログラムにより前記複数の所定の Javaアブレットプログラムを口 ードさせるロードステップとをコンピュータに実行させる構成となっている。

[0028] このように、同一性確認用情報に基づレ、て改ざんされてレ、なレ、ことが確認された配 備情報により複数の所定の Javaアブレットプログラムをロードする構成とすることで、 J avaァプレットが改ざんされて当窗 avaァプレットの作成者の意図とは異なる他の Jav aアブレットプログラムがロードされることを防止することができる。すなわち、電子署名 され ^avaアブレットが不正に再利用されることを簡単かつ確実に防止することがで きる。

[0029] また、上述のような構成の Javaアブレットにおいて、前記同一性確認用情報は、前 記配備情報のハッシュ値または前記配備情報のデータの一部または全部を含むこと が好ましい。

[0030] なお、上述のような構成の Javaァプレットにおいて、前記同一性確認用情報は、前 記複数の所定の Javaァプレットプログラムそれぞれのハッシュ値または前記複数の所 定の Javaアブレットプログラムそれぞれのデータの一部または全部を含み、前記改ざ ん検出ステップは、前記同一性確認用情報に基づいて、前記複数の所定の Javaァ ブレットプログラムそれぞれの改ざんを検出する構成とすることもできる。

[0031] このような構成によれば、同一性確認用情報に基づいて配備情報および複数の所 定の Javaァプレットプログラムが改ざんされてレ、なレ、ことを確認した上で、当該配備 情報により複数の所定の Javaァプレットプログラムをロードすることができ、当謝 ava ァプレットおよび複数の所定の Javaァプレットプログラムが改ざんされて当謝 avaァ プレットの作成者の意図とは異なる他の Javaァプレットプログラムがロードされることを 防止することができる。

[0032] なお、上述のような構成の Javaァプレットにおいて、窗 avaァプレットにおけるメイン クラスに対して、 Javaスクリプトを使用したメソッド呼び出し要求があった場合に、該呼 び出し要求に基づくメソッド呼び出し処理を、前記複数の所定の Javaァプレットプロ グラムの内の前記呼び出されたメソッドに対応するメソッドに委譲させる委譲ステップ を有することが好ましい。

[0033] このような構成によれば、 JREにて保持されている動作中のァプレットリストに複数の 所定の Javaアブレットプログラムがない場合でも、例えばラッパ一メソッド等を用いるこ とにより、 Javaスクリプトを使用したメソッド呼び出し要求に基づくメソッド呼び出し処理 をこれら複数の所定の Javaァプレットプログラムに対して行わせるようにすることがで きる。

[0034] この他、上述のような構成の Javaァプレットにおいて、窗 avaァプレットに対して設 定されているァプレットスタブを、前記ロードステップにおいてロードされた複数の所 定の Javaァプレットプログラムに対して設定するァプレットスタブ設定ステップを有す る構成とすることあでさる。

[0035] このように、ァプレットスタブをロードされた複数の所定の Javaァプレットプログラムに 対して設定することで、複数の所定の Javaアブレットプログラムが正常に動作できるよ うになる。

[0036] 上述した課題を解決するため、本発明に係る JARファイル生成方法は、コンピュー タカ 複数の所定の Javaァプレットプログラムをコンピュータに実行させる Javaアブレ ットを含む JARファイルを生成する処理を行う JARファイル生成方法であって、前記コ ンピュータが、前記複数の所定の Javaァプレットプログラムそれぞれの所在にっレ、て 定義する配備情報に基づいて、前記配備情報の改ざんを検出するための同一性確 認用情報を生成する同一性確認用情報生成ステップと、前記配備情報および同一 性確認用情報に基づレ、て、前記配備情報および同一性確認用情報を含む JARファ ィルであり、前記同一性確認用情報が所定のパッケージにおけるクラスファイルとし て定義されている JARファイルを生成する JARファイル生成ステップとを実行すること を特徴とする。

[0037] このように、配備情報の改ざんを検出するための同一性確認用情報を、所定のパッ ケージにおけるクラスファイルとして定義することで、当窗 ARファイルに電子署名が 施された場合に、「same-package-same-signer」の仕組みによって、当該同一性確認 用情報の不正な改ざんを防ぐことができる。

[0038] また、上述のような構成の JARファイル生成方法において、前記同一性確認用情 報は、前記配備情報のハッシュ値または前記配備情報のデータの一部または全部を 含むことが好ましい。

[0039] なお、上述のような構成の JARファイル生成方法において、前首 SJARファイル生成 ステップは、前記配備情報および同一性確認用情報に基づいて、前記配備情報、同 一性確認用情報、前記複数の所定の Javaアブレットプログラムをロードするための口 ード用プログラムおよび前記ロード用プログラムを起動させるための起動用プログラム を含む JARファイルであり、前記同一性確認用情報、ロード用プログラムおよび起動 用プログラムが同一パッケージにおけるクラスファイルとして定義されている JARファ ィルを生成する構成とすることもできる。

[0040] このように、 JARファイル生成ステップにおレ、て生成する JARファイルに、複数の所 定の Javaァプレットプログラムをロードするためのロード用プログラムおよび該ロード 用プログラムを起動させるための起動用プログラムを含ませるようにしたことで、当窗

ARファイルをダウンロードする端末において複数の所定の Javaァプレットプログラム をロードするための機能を実現するプログラムを予めインストールしておかずとも、こ の JARファイルをダウンロードするだけで複数の所定の Javaァプレットプログラムを安 全にロードさせることができる。

[0041] また、上述のような構成の JARファイル生成方法において、前首 SJARファイル生成 ステップは、前記複数の所定の Javaアブレットプログラム、前記配備情報および同一 性確認用情報に基づいて、前記複数の所定の Javaアブレットプログラム、前記配備 情報および同一性確認用情報を含む JARファイルであり、前記同一性確認用情報が 所定のパッケージにおけるクラスファイルとして定義されている JARファイルを生成す ることが好ましい。

[0042] このように、 JARファイル生成ステップにおレ、て生成する JARファイルに、前記複数 の所定の Javaアブレットプログラム、前記配備情報および同一性確認用情報を含ま せるようにしたことで、当謝 ARファイルをダウンロードする端末において複数の所定 の Javaァプレットプログラムを外部からロードせずとも、この JARファイルをダウンロー ドするだけで複数の所定の Javaァプレットプログラムを安全にロードさせることができ る。

[0043] 上述のような構成の JARファイル生成方法において、前記同一性確認用情報は、 前記複数の所定の Javaアブレットプログラムそれぞれのハッシュ値または前記複数の 所定の Javaアブレットプログラムそれぞれのデータの一部または全部を含む構成とす ること力 Sできる。

[0044] この他、上述のような構成の JARファイル生成方法において、前首 SJARファイル生 成ステップは、前記複数の所定の Javaアブレットプログラム、前記配備情報および同 一性確認用情報に基づいて、前記複数の所定の Javaアブレットプログラム、前記配 備情報、前記同一性確認用情報、前記複数の所定の Javaアブレットプログラムを口 ードするためのロード用プログラムおよび前記ロード用プログラムを起動させるための 起動用プログラムを含む JARファイルであり、前記同一性確認用情報、ロード用プロ グラムおよび起動用プログラムが同一パッケージにおけるクラスファイルとして定義さ れてレ、る JARファイルを生成することが望ましレ、。

[0045] このような構成とすることにより、当謝 ARファイルをロードし、実行する JREに対して 何ら変更を加えることなぐ電子署名され^ avaアブレットが不正に再利用されること を簡単かつ確実に防止することができる。 [0046] また、本発明に係る JARファイル生成プログラムは、複数の所定の Javaァプレットプ ログラムをコンピュータに実行させる Javaァプレットを含む JARファイルを生成する処 理をコンピュータに実行させる JARファイル生成プログラムであって、前記複数の所 定の Javaアブレットプログラムそれぞれの所在について定義する配備情報に基づい て、前記配備情報の改ざんを検出するための同一性確認用情報を生成する同一性 確認用情報生成ステップと、前記配備情報および同一性確認用情報に基づレ、て、 前記配備情報および同一性確認用情報を含む JARファイルであり、前記同一性確 認用情報が所定のパッケージにおけるクラスファイルとして定義されている JARフアイ ルを生成する JARファイル生成ステップとをコンピュータに実行させることを特徴とす る。

[0047] 上述のような構成の JARファイル生成プログラムにおいて、前記同一性確認用情報 は、前記配備情報のハッシュ値または前記配備情報のデータの一部または全部を含 むことが好ましい。

[0048] また、上述のような構成の JARファイル生成プログラムにおいて、前首 SJARフアイノレ 生成ステップは、前記配備情報および同一性確認用情報に基づいて、前記配備情 報、同一性確認用情報、前記複数の所定の Javaアブレットプログラムをロードするた めのロード用プログラムおよび前記ロード用プログラムを起動させるための起動用プ ログラムを含む JARファイルであり、前記同一性確認用情報、ロード用プログラムおよ び起動用プログラムが同一パッケージにおけるクラスファイルとして定義されている JA Rファイルを生成する構成とすることもできる。

[0049] 上述のような構成の JARファイル生成プログラムにおいて、前言 ファイル生成ス テツプは、前記複数の所定の Javaアブレットプログラム、前記配備情報および同一性 確認用情報に基づいて、前記複数の所定の Javaアブレットプログラム、前記配備情 報および同一性確認用情報を含む JARファイルであり、前記同一性確認用情報が所 定のパッケージにおけるクラスファイルとして定義されている JARファイルを生成する ことが望ましい。

[0050] また、上述のような構成の JARファイル生成プログラムにおいて、前記同一性確認 用情報は、前記複数の所定の Javaアブレットプログラムそれぞれのハッシュ値または 前記複数の所定の Javaアブレットプログラムそれぞれのデータの一部または全部を 含むことが好ましい。

[0051] なお、上述のような構成の JARファイル生成プログラムにおいて、前首 ファイル 生成ステップは、前記複数の所定の Javaアブレットプログラム、前記配備情報および 同一性確認用情報に基づいて、前記複数の所定の Javaアブレットプログラム、前記 配備情報、同一性確認用情報、前記複数の所定の Javaアブレットプログラムをロード するためのロード用プログラムおよび前記ロード用プログラムを起動させるための起 動用プログラムを含む JARファイルであり、前記同一性確認用情報、ロード用プログ ラムおよび起動用プログラムが同一パッケージにおけるクラスファイルとして定義され ている JARファイルを生成する構成とすることもできる。

[0052] この他、本発明に係る JARファイル生成装置は、複数の所定の Javaァプレットプロ グラムをコンピュータに実行させる Javaァプレットを含む JARファイルを生成する JAR ファイル生成装置であって、前記複数の所定の Javaアブレットプログラムそれぞれの 所在について定義する配備情報に基づいて、同一性確認用情報を生成する同一性 確認用情報生成部と、前記配備情報および同一性確認用情報に基づいて、前記配 備情報および同一性確認用情報を含む JARファイルであり、前記同一性確認用情 報が所定のパッケージにおけるクラスファイルとして定義されている JARファイルを生 成する JARファイル生成部とを備えてなることを特徴とする。

[0053] 上述のような構成の JARファイル生成装置において、前記同一性確認用情報は、 前記配備情報のハッシュ値または前記配備情報のデータの一部または全部を含む ことが好ましい。

[0054] なお、上述のような構成の JARファイル生成装置において、前言 ARファイル生成 部は、前記配備情報および同一性確認用情報に基づいて、前記配備情報、同一性 確認用情報、前記複数の所定の Javaァプレットプログラムをロードするためのロード 用プログラムおよび前記ロード用プログラムを起動させるための起動用プログラムを 含む JARファイルであり、前記同一性確認用情報、ロード用プログラムおよび起動用 プログラムが同一パッケージにおけるクラスファイルとして定義されている JARフアイ ルを生成する構成とすることができる。 [0055] また、上述のような構成の JARファイル生成装置において、前首 SJARファイル生成 部は、前記複数の所定の Javaアブレットプログラム、前記配備情報および同一性確 認用情報に基づいて、前記複数の所定の Javaアブレットプログラム、前記配備情報 および同一性確認用情報を含む JARファイルであり、前記同一性確認用情報が所定 のパッケージにおけるクラスファイルとして定義されている JARファイルを生成すること が望ましい。

[0056] この他、上述のような構成の JARファイル生成装置において、前記同一性確認用情 報は、前記複数の所定の Javaァプレットプログラムそれぞれのハッシュ値または前記 複数の所定の Javaァプレットプログラムそれぞれのデータの一部または全部を含む 構成とすることちできる。

[0057] 上述のような構成の JARファイル生成装置において、前曾 dJARファイル生成部は、 前記複数の所定の Javaアブレットプログラム、前記配備情報および同一性確認用情 報に基づいて、前記複数の所定の Javaアブレットプログラム、前記配備情報、同一性 確認用情報、前記複数の所定の Javaアブレットプログラムをロードするためのロード 用プログラムおよび前記ロード用プログラムを起動させるための起動用プログラムを 含む JARファイルであり、前記同一性確認用情報、ロード用プログラムおよび起動用 プログラムが同一パッケージにおけるクラスファイルとして定義されている JARフアイ ルを生成することが好ましレ、。

[0058] なお、上述し AVAァプレットおよび JARファイル生成プログラムは、コンピュータ により読取り可能な記録媒体に記憶させることによって、コンピュータに実行させるこ とが可能となる。なお、上記コンピュータにより読取り可能な記録媒体としては、 CD- ROMやフレキシブルディスク、 DVDディスク、光磁気ディスク、 ICカードなどの半導 体記憶装置等の可搬型記憶媒体、コンピュータに実装される R〇M、 RAMや磁気記 録装置等の固定型記憶装置や、コンピュータプログラムを保持するデータベース、或 レ、は、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含 むものである。

[0059] このように、 JARファイル生成プログラムをコンピュータに実行させることにより、上述 し ARファイル生成方法における各ステップが実現される。 図面の簡単な説明

[図 1]本実施の形態における電子署名されたアブレットの不正利用の防止について 説明するための概念図である。

[図 2]図 1にて示した電子署名されたアブレットの不正利用を防止するための具体的 な構成の一例を示す図である。

[図 3]特殊形 ¾JARファイル 2の内部構成の詳細について説明するための図である。

[図 4]特殊ァプレットプログラム 24について説明するための図である。

[図 5]図 4に示した構成の特殊形 八1ファイル 2に対して電子署名を施したものを示 す図である。

[図 6]JARファイル Tの構成例を示す図である。

[図 7]JARフアイノレ（descriptor, jar) Dの構成を示す図である。

[図 8]配備記述子（cozilet.properties)の詳細を示す図である。

[図 9]同一性確認用情報としてハッシュ値を坦め込んだ CoziletData.javaのソースコー ドである。

[図 10]同一性確認用情報として配備記述子そのものを埋め込んだ CoziletData.java のソースコードである。

[図 11]特殊ァプレットが起動されてから対象ァプレットへの入れ替えが完了するまで のフローチャートである。

[図 12]JARファイル (target.jar) Tを特殊形 ¾JARファイルに含まなレ、構成にっレ、て 説明するための図である。

[図 13]ァプレット等の内の一部をクライアント端末 Cの外部力 ダウンロードし、残りを クライアント端末 Cの内部に予め配備しておく構成について説明するための図である

[図 14]特殊形 ¾JARファイル 202の構成の詳細を示す図である。

[図 15]特殊形 八尺ファイル 203として、同一性確認用情報としての

CoziletData.class24cおよび JARファイル（descriptor.jar) Dを含む構成とした場合の 図である。

[図 16]ラッパ一メソッドを追加した Coziletクラス（起動用プログラムに相当）のソースコ 一ドの例を示す図である。

[図 17]直列化を無効にする実装を施した Coziletクラスのソースコードの例を示す図で ある。

[図 18]特殊形 ¾JARファイルを生成するための JARファイル生成装置について説明 するための図である。

[図 19]JARファイル生成装置における処理の流れについて説明するためのフローチ ヤートである。

[図 20]その他のアブレット等をクライアント端末 Cの内部に予め配備しておく構成につ いて説明するための図である。

[図 21]電子署名のないアブレットが実行される場合の通常の処理について説明する ための概念図である。

[図 22]署名付きアブレットが実行される場合の処理について説明するための概念図 である。

[図 23]不正な再構成攻撃の一例について説明するための図である。

発明を実施するための最良の形態

[0061] 以下、本発明の実施の形態について図面を参照して詳細に説明する。

[0062] 従来、電子署名付き JARファイルと不正 ¾[ARファイルとが不正に再構成されたも のを、クライアント端末における JREにてロードした場合、これら JARファイルが不正に 再構成されていることを JRE側で検出することができず、署名付アブレットにのみ許さ れる処理等 (保護されたシステム資源に対するアクセスなど）を不正に実行されてしま う場合があった。よって、アブレットを正規な構成（そのアブレットの作成者の意図に 沿った構成）でのみ実行させるような構成とする必要がある。以下、上述のようなアブ レットの作成者の意図に沿ったロードさせるべき正規な構成の複数の所定の Javaァ プレットプログラムを、対象ァプレットプログラムと呼ぶ。

[0063] 図 1は、本実施の形態における電子署名されたァプレットの不正利用の防止につい て説明するための概念図である。なお同図では、図 23にてすでに示したものと同一 の部分については同一符号を付し、説明は割愛する。

[0064] 本実施の形態では、 JRE12にァプレットプログラムを正規な構成でのみ実行させる ための機能 12cをもたせている。これにより、不正に再構成され^ JARファイル (例え ば、署名付 JARファイルである foo.jar93と不正な JARファイルである evil.jar91との再 構成ファイル）力 SJRE12にてロードされた場合（S 11)でも、ァプレットプログラムを正 規な構成でのみ実行させるための機能 12cによって、署名付アブレットに対して許可 された処理を悪用させなレ、（S 12)ようにしてレ、る。

[0065] なお、クライアント端末 Cにおける JRE12に、ァプレットプログラムを正規な構成での み実行させるための機能 12cをもたせるための主な構成例としては、 (1)当該機能 1 2cを実現するためのァプレット等（ァプレットやこれに関連するデータ）をクライアント 端末 Cの外部からダウンロードし、 JRE12にて起動させる構成、（2)当該機能 12cを 実現するァプレットプログラム等の内の一部をクライアント端末 Cの外部からダウン口 ードし、残りをクライアント端末 Cの内部に予め配備しておく構成、（3)当該機能 12c を実現するアブレットプログラム等の内、クライアント端末 Cの外部に配備すべきデー タのみ外部に配備し、その他のアブレットプログラム等はクライアント端末 Cの内部に 予め配備しておく構成の 3つが挙げられる。

[0066] まず、（1)クライアント端末 Cにおける JRE12に、アブレットプログラムを正規な構成 でのみ実行させるための機能 12cを実現するためのァプレットプログラム等（ァプレツ トプログラムやこれに関連するデータ）をクライアント端末 Cの外部からダウンロードし 、JRE12にて起動させる構成について説明する。

[0067] 図 2は、図 1にて示した電子署名されたァプレットの不正利用を防止するための具 体的な構成の一例を示す図である。なお同図においても、図 23にてすでに示したも のと同一の部分については同一符号を付し、説明は割愛する。

[0068] 図 2に示す構成では、電子署名されており且つ内部の構成が特殊な特殊形 ¾JAR ファイル 2を使用することによって、電子署名されたアブレットの機能の不正利用を防 止している。具体的に、特殊形 ¾JARファイル 2は、対象アブレットプログラムとしての bar.jar21および foo.jar22と、対象ァプレットプログラム（複数の所定の Javaァプレット プログラム）それぞれの所在について定義する配備記述子（配備情報に相当） 23と、 特殊ァプレットプログラム 24とを含んでいる。これら bar. jar21 特殊ァプレットプログ ラム 24は、個別には電子署名を施されておらず、これら bar. jar21 特殊ァプレットプ ログラム 24を含む JARファイル全体に対して電子署名が施されている。なお、クライ アント端末 Cは、図 23にて示した従来のクライアント端末と同様な構成である。

[0069] 特殊形 八尺ファイル 2がクライアント端末 Cにおける JRE12にロードされると、当該 ロードされた特殊形 ARファイル 2に含まれる特殊ァプレットプログラム 24がアブレ ット起動部 12aにより実行され、特殊アブレット 12dが起動される。

[0070] このようにして起動される特殊アブレット 12d (起動用プログラムに相当）は、特殊形 ¾JARファイル 2に含まれたかたちで JRE12にロードされている配備記述子 23に基 づいて、アブレットを正規な構成でのみロードさせる機能をもつ特殊アブレット起動部 12e (ロード用プログラムに相当）を有する。

[0071] このような構成により、 JRE12にアブレットプログラムを正規な構成でのみ実行させ るための機能をもたせ、電子署名されたアブレットが不正に再利用されることを防止し ている。

[0072] 以下、 JRE12において上述のような機能を実現させるための特殊形 ARファイル

2の内部構成の詳細について説明する。図 3に示すように、本実施の形態では特殊 形 八尺ファイル 2は、特殊ァプレットプログラム 24、】八1ファィル & 61^ 丁ぉょ び JARファイル（descriptor, jar) Dを含んだ構成となっている。

[0073] まず、特殊ァプレットプログラム 24につレ、て説明する（図 4参照）。特殊ァプレットプ ログラム 24は、実行時に対象アブレットと入れ替わる機能を有する特殊アブレットプロ

) 24a、配備記述子をもとに対象アブレットのプログラムをロードする機能を有する特 対応） 24bおよび CoziletData.class (同一性確認用情報に相当） 24cを含んでいる。 また、これらのクラスファイルは全て同じパッケージ com.aaa.labs.sec.coziletに所属し ているので、特殊形 ¾JARファイル 2全体に対して電子署名を施すことによって、攻 撃者がこれらのクラスファイル群を不正に置き換えることは

same-package- same- signerの仕組みによって防がれる。図 5は、図 4に示した構成の 特殊形 ¾JARファイル 2に対して電子署名を施したものを示す図である。

[0074] 続いて、特殊形 ¾JARファイル 2に含まれる JARファイル (target. jar) Tについて説 明する。図 6に、 JARファイル Tの構成例を示す。具体的に、対象ァプレットは、当該 対象アブレットの実行に必要なクラスファイル群やリソースファイル群、そしてそれらを 格納する JARファイル群を指す。同図では、 JARファイル Tは、対象ァプレットプログ ラムである JARファイル群 targetl.jar、 target2.jarを含んでいる。ここで fお ARファイル (target.jar) Tは署名のなレ、JARファイルである。 JARフアイノレ（target.jar) Tに含まれ る対象ァプレットプログラムは、特殊ァプレットプログラム 24の実行時に特殊クラス口 ーダ（ロード用プログラム）によってのみロードされ、 JREの標準のクラスローダでは口 ードされなレ、。よって、対象アブレットプログラムが攻撃者に悪用されることを防ぐこと ができる。

[0075] 次に、特殊形 ARファイル 2に含まれる JARファイル（descriptor. jar) Dについて 説明する。図 7に、 JARファイル（descriptor. jar) Dの構成を示す。ここで、 JARフアイ ノレ（descriptor.jar) Dは、 Java標準のプロパティフアイノレ cozilet.properties23 (図 3参 照）を含んでいる。ここでは、配備記述子 cozilet.properties23が対象ァプレットプログ ラムの配備情報に相当する。 JARファイル Dは署名のない JARファイルである。また、 JARファイル D (配備情報に相当）は必ず特殊形 八1ファイル 2に含まれている。

[0076] 図 8に配備記述子（cozilet. properties) 23の詳細を示す。 main— classプロパティは 対象アブレットのメインクラスの名前である。特殊アブレットはプロパティをもとに対象 ァプレットプログラムを実行する。 class— pathプロパティは対象ァプレットプログラムの うち、特殊形 八尺ファイルには含まれないものが配備されている URLのリストである 。同図の例では、信頼されたサイト上に配備された outerl.jarの URLと、ユーザの口 一カルディスク上に予めインストールされた outer2.jarのパスが記述されてレ、る。特殊 クラスローダはプロパティをもとに対象ァプレットプログラムをロードする。攻撃者に悪 用されることを防ぐために、これらの UR お REが標準でロード可能な場所 (エタステ ンシヨンディレクトリなど）以外の場所にしておくことが望ましい。

[0077] library_pathプロパティは対象ァプレットプログラムのうち、 nativeメソッドの実行に 必要な nativeライブラリ群が配備されているパスのリストである。 nativeライブラリはロー カルディスク上にインストールされている必要があるので、プロパティでは URLではな くローカルディスク上のパスを指定する。特殊クラスローダはプロパティをもとに native ライブラリ群をロードする。攻撃者に悪用されることを防ぐために、これらのパスは JRE が標準でロード可能な場所 (システムディレクトリなど)以外の場所にしておくことが望 ましい。

[0078] tmsted_urlプロパティは、特殊ァプレットを坦め込む HTML文書が配備されるべき 信頼されたサイトの URLのリストである。特殊ァプレットは、実行直後に自らが埋め込 まれてレ、る HTML文書が配備されてレ、る URLを取得し、プロパティに含まれる URL と比較することにより、 自らが信頼されたサイトに配備された HTML文書によって坦め 込まれてレ、るかどうかを検查できる。

[0079] exclusive_modeプロパティは、特殊ァプレットの実行中に信頼できないァプレットの 実行を防ぐ機能を有効にするかどうかを決定するフラグである。プロパティの値が〇N の場合、特殊アブレットは上述の機能を有効にする。一方、プロパティの値力 ffの場 合、この機能は無効になる。

[0080] 次に、特殊ァプレットプログラム 24に含まれる CoziletData.class24cについて説明 する。 CoziletData.class24cは、対象ァプレットプログラムや配備記述子の改ざんを検 出するための同一性確認用情報を含むクラスファイルである。図 9に、同一性確認用 情報として対象ァプレットプログラムや配備記述子の SHA1ハッシュ値 Hを定数フィ 一ルドとして埋め込んだクラス CoziletDataのソースコード CoziletData.javaを示す。こ のソースコードをコンパイルすることにより、 CoziletData.class24cを生成することがで きる。

[0081] CoziletDataクラスは、 inner― hash, outer― hash, descriptor― hashの 3つの定数フィ 一ルドを含んでレ、る。 inner— hashには target.jarTの SHA1ハッシュ値が含まれる。 outer_hashには class_pathプロパティで指定された URLに配備された対象ァプレツ トプログラム全体の SHA1ハッシュィ直が含まれる。 descriptor_hashには descriptor. jar Dの SHA1ハッシュ値が含まれる。 CoziletDataクラスは他の特殊ァプレットプログラム であるクラスファイル群と同じパッケージ com.aaa.labs.sec.coziletに所属しており、特 殊形 ¾JARファイルに電子署名を施すことで、 same-package- same- signerの仕組み により攻撃者による不正な置き換えを防止できる。

[0082] ところで、特殊形 ARファイルに含まれる target.jarT及び descriptor.jarDは、クラ スファイルではなくリソースファイルであるため、攻撃者により不正に置き換えられるお それがある。そこで、特殊クラスローダがこれらのリソースファイルをロードする際に、 ロードしたリソースの SHA1ハッシュ値を CoziletDataクラスの定数フィールドに含まれ る SHA1ハッシュ値 Hとそれぞれ比較することによって、リソースファイルが改ざんさ れていないかどうか検出することができる。

[0083] なお、上述の例では CoziletData.class24cに、 target. jarT及び descriptor. jarDの S HA1ハッシュ値 Hを含ませる構成としている力 これに限られるものではなぐ target.jarT及び descriptor. jarDのデータの一部または全部を含む定数フィールドを 含む構成としてもよレ、。図 10に、 descriptor.jarDそのものを含む定数フィールド descriptor_valueを含む CoziletData.class24cのソースコードの例を示す。この場合 は、特殊形 ARファイル 2は descriptor. jarDを含む必要はなぐ特殊ァプレットプロ グラム 24の実行時に定数フィーノレド descriptor_valueから descriptor.jarDの値を取り 出すことができる。

[0084] 続いて、上述の特殊ァプレットプログラム 24を JREにて実行させる場合の動作につ いて、図 11のフローチャートを用いて説明する。

[0085] まず、本実施の形態による特殊形 八1ファイル 2は、例えばサーバ上に配備され 、 Webブラウザ等を介して JREによりロードされることで、特殊ァプレットプログラム 24 力 SJREにて実行される。

[0086] 通常、複数の所定の Javaアブレットプログラムは、例えば、

、 applet coae= jp. example. bomeApplet

archive= target l.jar,target2. jar

width="400" height="400" > < /applet >

のような appletタグを含む HTML文書によって起動される。

[0087] 一方、本実施の形態における特殊形 ARファイル 2を用いて複数の所定の Java アブレットプログラムを JREにて起動させる場合、

、 applet coae= com.aaa.laDs.sec.cozilet.uoziiet

archive= cozilet.jar

width="400" height="400" > < /applet > のような appletタグを含む HTML文書によって、対象ァプレットの代わりに特殊アブレ ットを配備してこれを起動させ（S21)、対象アブレットプログラムを起動させればょレ、

[0088] 続レ、て、 JREにて Coziletクラス 24aがロードされインスタンスが生成される（S22)。

Coziletクラスは静的初期化子において特殊形 ¾JARファイル 2に含まれる

cozilet.properties23を取り出す。 CoziletData.class24cによる改ざん防止がなされて レ、る場合には、 cozilet.properties23が改ざんされているかどうか検証し（改ざん検出 ステップ）（S23)、改ざんされている場合（S24，ある）には実行を強制終了する（S2

9)。改ざんされていなければ（S24，ない）、 cozilet.properties23から

java.util.Propertiesインスタンスを生成する。以下、このインスタンスを cozilet配備記述 子と呼ぶ。このように、複数の所定の Javaァプレットプログラムそれぞれの所在につい て定義する配備情報の改ざんを検出するための同一性確認用情報に基づいて、配 備情報の改ざんを検出する。

[0089] 次に、 cozilet配備記述子力ら exclusive— modeプロパティの値を参照し、 ONであれ ば特殊アブレットプログラム 24の実行中に信頼できないアブレットの実行を防ぐ機能 を有効にする（S25)。この機能では、 JREに含まれる Java仮想マシンにおけるクラス ローデイングとクラス定義の制限機能を利用してレ、る。クラスローデイング制限機能で は、セキュリティプロパティ" package.access"に指定された文字列で始まるパッケージ 群に含まれるクラスについて、信頼できないプログラムがロードすることを禁止できる。 また、クラス定義制限機能では、セキュリティプロパティ" package.definition"に指定さ れた文字列で始まるパッケージ群について、信頼できないプログラムが新しいクラス を定義することを禁止できる。そこで、これらのプロパティに「java.」、「javax.」、「 com. 」および「org」等のような値を設定することにより、信頼できないプログラムは実行に必 要なクラス（例えば、 java.applet.Appletクラス）をロードすることができなくなるため、結 果的に実行できなくなる。

[0090] 次に、 JREは Coziletクラスの init()を呼び出す（S26)。 Coziletクラスは init()メソッドに おいて、 自らの埋め込み元の HTML文書の配備されたサイトの URL力 cozilet配備 記述子の trusted urlプロパティの値に含まれる URLのリストと比較して信頼できるも のかどうかを調べる（S27)。坦め込み元の HTML文書の配備されたサイトの URLは 、 java.applet.Appletクラスの getDocumentBaseOにより取得できる。ここでは、この UR L力 ^trusted— urlプロパティに含まれる各 URLのいずれ力 1つに一致すれば十分で ある。また、 URLを前方一致で比較する構成とすることもできる。もし、 trusted_urlプ 口パティに含まれるいずれの URLにも一致しな力、つた場合（S27,できない）、実行を 強制終了する（S29)。

[0091] 上述のチェックに問題がなければ（S27,できる）、 Coziletクラス 24aは、複数の所 定の Javaァプレットプログラムをロードするためのロード用プログラムとしての

CoziletClassLoaderクラス 24bのインスタンスを生成する（ロード用プログラム起動ステ ップ）（S28)。 CoziletClassLoaderクラス 24bはコンストラクタにおいて、特殊形 AR ファイル 2に含まれる target. jarT、 cozilet配備記述子の class_pathプロパティで指定 された URL、そして cozilet配備記述子の library_pathプロパティで指定されたパスに 存在する対象アブレットプログラムについて、ロード可能な状態にする。もし

CoziletData.class24cによる改ざん防止がなされている場合には、対象ァプレットプロ グラムの完全性を検証し (S2a)、改ざんが検出された場合（S2b，ある）、実行を強制 終了する（S29)。

[0092] CoziletClassLoaderクラス 24bのインスタンスの生成に成功したら、 Coziletクラス 24a は cozilet配備記述子の main— classプロパティから取得できる対象ァプレットのメイン クラスの名前を、 CoziletClassLoaderクラス 24bの loadClassOに引数として渡して呼び プ)。すなわち、改ざん検出ステップにおいて改ざんが検出されなかった場合に、配 備情報に基づいて、ロード用プログラムに複数の所定の Javaァプレットプログラムを口 ードさせる。そして、そのクラスインスタンスのコンストラクタを Javaのリフレクションの仕 組みにより呼び出して、その対象アブレットのメインクラスのインスタンスを得る（S2c)

[0093] ァプレットのレ、くつかの処理はァプレットスタブに委譲されている

(getDocumentBaseOの呼び出しなど)。ァプレットスタブは最初は特殊ァプレットにセッ トされる。 Coziletクラスは自らのァプレットスタブを対象ァプレットの setStubOを呼び出 してセットする（S2d)。アブレットスタブは対象アブレットを正常に実行させるために必 要である。ァプレットスタブは java.applet.Appletクラスの privateフィールドとして格納さ れており、 Coziletクラス 24aはそのフィールドにはアクセスできなレ、。ここで、 Java仮想 マシンにおいて、 Coziletクラスのインスタンスが登録されている特殊ァプレットの親パ ネルがァプレットスタブの機能を有してレ、る場合、 Coziletクラスから親パネルのインス タンスを得ることは容易なので、そのインスタンスをァプレットスタブとして対象アブレ ットにセットする（S2d)。

[0094] ァプレットは親パネルに登録されていることで、ブラウザ上に表示されたり、 GUIィ ベントを処理できるようになつている。親パネルには最初は特殊ァプレットが登録され ているため、 Coziletクラス 24aは親パネルに登録された自らのインスタンスを削除し、 これによつて、 JREから送られる GUIイベントが特殊ァプレット 24に対してではなく対 象アブレットに通知されるようになり、対象アブレットがアブレットとして正常に動作で きるようになる。

[0095] そして、 Coziletクラス 24aは対象ァプレットのメインクラスの init()を呼び出す（S2f)。

これ以降、特殊アブレットの代わりに対象アブレットがアブレットとして動作するように なり、アブレットの入れ替えが完了する（S2g)。

[0096] このように、同一性確認用情報に基づレ、て改ざんされてレ、なレ、ことが確認された配 備情報により複数の所定の Javaアブレットプログラムをロードする構成とすることで、 J avaァプレットが改ざんされて当窗 avaァプレットの作成者の意図とは異なる他の Jav aアブレットプログラムがロードされることを防止することができる。すなわち、電子署名 され ^avaアブレットが不正に再利用されることを簡単かつ確実に防止することがで きる。

[0097] また、特殊ァプレットの publicメソッドは攻撃者に悪用されるおそれがあるので、各メ ソッドの冒頭で、スタック検查による呼び出し元の検查を行っている。具体的には、各 メソッドの 頭で、 java.security.AccessControllerクフスの checkPermissionOを、引数 として java.security.AUPermissionクラスのインスタンスを渡して呼び出してレ、る。これ により、アクセス権 AllPermissionを持たなレ、クラス、つまり攻撃者のクラスは上述の特 殊ァプレットの publicメソッドを呼び出すことができなくなる。 checkPermissionOに渡す アクセス権は、必ずしも AllPermissionでなくともよぐ攻撃者の呼び出しを妨げるのに 十分なアクセス権でよい。

[0098] なお、上述した特殊形 ARファイル 2は、起動用プログラムとしての Cozilet.class2 4a、ロード用プログラムとしての CoziletClassLoader.class24b、同一性確認用情報と しての CoziletData.class24c、 JARフアイノレ（target.jar) Tおよび JARフアイノレ（ descriptor.jar) Dを含む構成となっている力 S (図 3参照）、これに限られるものではなく 、例えば target.jarTは必ずしも特殊形 ARファイル 2に含まれる必要はなレ、。なお 、図 12に示す特殊形 ARファイル 201のように、 JARフアイノレ（target.jar) Tを特殊 形 ¾JARファイルに含まなレ、構成とする場合、 JARフアイノレ (target.jar) Tfお REにて ロード可能な場所に配備されている必要がある。

[0099] この他、上述したように、（2)ァプレットを正規な構成でのみ実行させるための機能 1 2cを実現するァプレット等の内の一部をクライアント端末 Cの外部力 ダウンロードし 、残りをクライアント端末 Cの内部に予め配備しておく構成とすることもできる（図 13参 照）。同図では、特殊形 ARファイル 202として、同一性確認用情報としての

CoziletData.class24c、 JARフアイノレ (target.jar) Tおよび JARフアイノレ (descriptor.jar ) Dを含む構成を示している。同図に示す構成の特殊形 八1 ファイル 202を使用 する場合、起動用プログラムとしての Cozilet.class24aおよびロード用プログラムとして の CoziletClassLoader.class24bは、 JREを備えたクライアント端末の記憶領域に予め 格納されていることが好ましい。図 14は、特殊形 八尺ファイル 202の構成の詳細を 示す図である。

[0100] また、特殊形 ¾JARファイル 203として、同一性確認用情報としての

CoziletData.class24cおよび JARファイル（descriptor.jar) Dを含む構成とすることもで きる（図 15参照）。この場合、起動用プログラムとしての Cozilet.class24aおよびロード 用プログラムとしての CoziletClassLoader.class24bは、 JREを備えたクライアント端末 の記憶領域に予め格納され、 JARファイル (target.jar) Τίお REにてロード可能な場 所に配備されてレ、る必要がある。

[0101] このように、本実施の形態における特殊形 ¾JARファイルは、図 3、図 12、図 13お よび図 15に示すように、様々な形式に分割することが可能である力 上述したどの形 式の特殊形 ARファイルにおレ、ても、結果として分割された構成要素全てが JRE にロードされ、図 11に示した各ステップが実行される点では共通している。

[0102] 上述したように、対象ァプレットを特殊ァプレットの代わりに親パネルに登録すること により、 GUIイベントは正常に通知されるため、 GUI関連の対象ァプレットのメソッド について ίお REによって正常に実行される。しかし、 GUI関連以外の対象ァプレット のメソッドについては、 JREが内部的に保持している動作中ァプレットのリストに対象 ァプレットが登録されていないため、 JREによって正常に実行されず、依然として特殊 ァプレットのメソッドが実行されてしまう。そこで、これらのメソッドについては、特殊ァ プレットの各メソッドにおいて、 JREからのメソッド呼び出しを対象ァプレットの該当メソ ッドに委譲するようにしている。

[0103] 具体的には、対象アブレット配備情報として入力されたメソッドシグネチヤ群と同じ シグネチヤを持つラッパ一メソッド群を特殊ァプレットのメインクラスに追加し、ラッパ 一メソッド群力 S自分自身へのメソッド呼び出し処理を対象ァプレットのメインクラスの同 じシグネチヤを持つメソッドに委譲させる構成としている。

[0104] 図 16に、ラッパ一メソッドを追加した Coziletクラス（起動用プログラムに相当 )のソー スコードの例を示す。このソースコードをコンパイルすることにより、ラッパ一メソッド力 S 追加された Cozilet.classを生成できる。同図の例では、配備情報として入力されたメソ ッドシグネチヤ doSomething(java.lang.String)と同じシグネチヤを持つラッノ一メソッド を追加し、ラッパ一メソッド内で同じシグネチヤを持つ対象ァプレットのメインクラスのメ ソッドを、 Javaのリフレクションの仕組みを利用して呼び出している。

[0105] JavaScriptからァプレットのメソッドの呼び出しがあると、呼び出し依頼力 SJREに伝え られる。 JREは動作中のアブレットリストを保持しており、このリストをもとに該当するァ プレットのメソッドを呼び出す。ただし、ァプレットリストは特殊ァプレットから操作するこ とができなレ、。そこで、上述した特殊形 ¾JARファイルに含まれる特殊ァプレットのメ インクラスに該当メソッドのラッパ一メソッドを追加することで、ラッパ一メソッドが呼び 出された場合には、スクリプトコードがラッパ一メソッドを経由して対象ァプレットのメソ ッドを呼び出せるようにすること力 Sできる。 [0106] また、本実施の形態における特殊アブレットは自らの直列化が無効になるように実 装されている。特殊アブレットの直列化が有効になっていると、攻撃者は直列化や直 歹 IJ化からの復元を行うインターフェイスを利用して、特殊ァプレットのセキュリティ上重 要な privateフィールドの値を盗み出したり改ざんしたりすることが可能である。

java.applet.Appletクラスは直列化可能として実装されてレ、るので、それを継承してレヽ る Coziletクラスも直列化可能となっている。そこで、 Cozilet.class24aは、直列化に関 連するメソッドにおいて強制的に例外を発生するように実装することにより、 自らの直 列化を無効にしている。図 17に直列化を無効にする実装を施した Coziletクラスのソ ースコードの例を示す。

[0107] 続いて、図 18を用いて上述のような構成の特殊形 ARファイル（図 3、図 12、図 1 3および図 15)を生成するための JARファイル生成装置 5について説明する。本装置 は、複数の所定の Javaァプレットプログラムをコンピュータに実行させる Javaァプレツ トを含む JARファイルを生成する機能を有し、対象アブレットプログラム及び配備情報 を入力することによって、対象アブレットプログラムを特殊形 八尺ファイルに変換す

[0108] 本実施の形態による JARファイル生成装置 5は、同一性確認用情報生成部 51、 JA Rファイル生成部 52、記憶部 53、 CPU54および特殊ァプレット生成部 55を備えて なる構成となっている。

[0109] 同一性確認用情報生成部 51は、対象アブレットプログラム (複数の所定の Javaァ ブレットプログラム）それぞれの所在について定義する配備情報に基づいて、配備情 報の改ざんを検出するための同一性確認用情報を生成する役割を有する。

[0110] JARファイル生成部 52は、複数の所定の Javaァプレットプログラム、配備情報およ び同一性確認用情報に基づレ、て、複数の所定の Javaアブレットプログラム、配備情 報、同一性確認用情報、複数の所定の Javaァプレットプログラムをロードするための ロード用プログラムおよびロード用プログラムを起動させるための起動用プログラムを 含む JARファイルであり、同一性確認用情報、ロード用プログラムおよび起動用プロ グラムが同一パッケージにおけるクラスファイルとして定義されている JARファイルを 生成する。また、 JARファイル生成部 52は、生成する JARファイルに対して電子署名 を施す機能を有している。

[0111] 特殊ァプレット生成部 55は、上述した起動用プログラムとしての Cozilet.class24aお よびロード用プログラムとしての CoziletClassLoader.class24bを生成する役割を有す る。

[0112] 記憶部（コンピュータにより読取り可能な記録媒体） 53は、 RAMや ROM等の記憶 領域力 構成されており、 JARファイル生成装置 5において実行されるプログラムや 種々のァプレット等を格納する役割を有してレ、る。 CPU (コンピュータ） 54は、 JARフ アイル生成装置 5における各種処理を行うために、記憶部 53に格納されているプログ ラムを実行する役割等を有してレ、る。

[0113] 図 19は、上述のような JARファイル生成装置 5における処理の流れ JARファイル 生成方法）について説明するためのフローチャートである。ここでは、図 3に示すデー タ形式の特殊形 ARファイルを生成する場合について述べる。

[0114] まず、 JARファイル生成装置 5において、入力データとして対象ァプレットプログラム

(ここでは、 bar.jar21および foo.jar22)および当該対象ァプレットプログラムの所在に ついて定義する配備情報 (格納場所や URL等）を取得する（S61)。

[0115] 次に、同一性確認用情報生成部 51は、取得された配備情報に基づいて、当該配 備情報の改ざんを検出するための同一性確認用情報としての JARファイル（ descriptor. jar) Dを生成する（同一性確認用情報生成ステップ）（S62)。 具体的に、 同一性確認用情報生成部 51は、同一性確認用情報として、配備情報のハッシュ値 または配備情報のデータの一部または全部を含む JARファイル、対象ァプレットプロ グラムそれぞれのハッシュ値または対象ァプレットプログラムそれぞれのデータの一 部または全部を含む JARファイル、配備情報および対象アブレットプログラム両方の ハッシュ値またはそれぞれのデータの一部または全部を含む JARファイルを生成す ること力 Sできる。

[0116] 続いて、 JARファイル生成部 52は、対象ァプレットプログラム（bar. jar21および foo.jar22)、配備情報および同一性確認用情報に基づいて、対象ァプレットプロダラ ム、配備情報、同一性確認用情報、対象ァプレットプログラムをロードするためのロー ド用プログラムおよびロード用プログラムを起動させるための起動用プログラムを含む JARファイルを生成する。このとき、同一性確認用情報、ロード用プログラムおよび起 動用プログラムは、図 3に示すように、生成される JARファイルにおいて同一パッケ一 ジにおけるクラスファイルとして定義される OARファイル生成ステップ）（S63)。このよ うに、配備情報の改ざんを検出するための同一性確認用情報を、所定のパッケージ におけるクラスファイルとして定義することで、当窗 ARファイルに電子署名が施され た場合に、「same-package-same- signer」の仕組みによって、当該同一性確認用情 報の不正な改ざんを防ぐことができる。また、生成する JARファイルに、複数の所定の Javaァプレットプログラムをロードするためのロード用プログラムおよび該ロード用プロ グラムを起動させるための起動用プログラムを含ませるようにしたことで、当^ [ARフ アイルをダウンロードする端末において複数の所定の Javaァプレットプログラムをロー ドするための機能を実現するプログラムを予めインストールしておかずとも、この JAR ファイルをダウンロードするだけで複数の所定の Javaァプレットプログラムを安全に口 ードさせることができる。すなわち、当謝 ARファイルをロードし、実行する JREに対し て何ら変更を加えることなぐ電子署名され avaアブレットが不正に再利用されるこ とを簡単かつ確実に防止することができる。

[0117] 上述のようにして生成され ARファイルは、必要に応じて JARファイル生成部 52 にて電子署名を施されて出力される（S64)。

[0118] 上述の JARファイル生成方法における各ステップは、記憶部 53に格納されている】 ARファイル生成プログラムを、 CPU54に実行させることにより実現される。

[0119] 上述のようなステップにより、特殊アブレットプログラムであるクラスファイル群、対象 アブレットプログラムおよび配備情報を含む図 3にて示したような特殊形 八1フアイ ルを生成することができる。

[0120] なお、 JARファイル生成部 52は、特殊形 ¾JARファイルに含ませる特殊アブレット プログラムであるクラスファイル群（ロード用プログラムおよび起動用プログラムなど）を 、記憶部 53に予め格納されているデータ中から選択することができる。もちろん、特 殊ァプレット生成部 55にて生成された特殊アブレットを、特殊形 ARファイルに含 ませるクラスフアイノレ群とするように生成することもできる。

[0121] また、 JARファイル生成部 52は、図 12に示すデータ形式の特殊形 ARファイル 2 01のように、対象ァプレットプログラムを特殊形 ARファイルには含めずに生成す ることもできる。この場合、 JARファイル生成部 52は、配備情報および同一性確認用 情報に基づいて、配備情報、同一性確認用情報、対象アブレットプログラムをロード するためのロード用プログラムおよびロード用プログラムを起動させるための起動用 プログラムを含む JARファイルを生成する。このとき、 JARファイル生成部 52により、 同一†生確認用情報、ロード用プログラムおよび起動用プログラムが同一パッケージに

[0122] また、 JARファイル生成部 52は、図 13に示すデータ形式の特殊形 ARファイル 2 02のように、特殊ァプレットプログラム（ロード用プログラムおよび起動用プログラムな ど）を特殊形 ¾JARファイルには含めずに生成することもできる。この場合、 JARファ ィル生成部 52は、対象アブレットプログラム、配備情報および同一性確認用情報に 基づいて、対象アブレットプログラム、配備情報および同一性確認用情報を含む JAR ファイルを生成する。このとき、 JARファイル生成部 52により、同一性確認用情報が 所定のパッケージにおけるクラスファイルとして定義される。

[0123] この他、 JARファイル生成部 52は、図 15に示すデータ形式の特殊形 八1フアイ プログラムおよび起動用プログラムなど）を特殊形 八尺ファイルには含めずに生成 することもできる。この場合、 JARファイル生成部 52は、配備情報および同一性確認 用情報に基づレ、て、配備情報および同一性確認用情報を含む JARファイルを生成 する。このとき、 JARファイル生成部 52により、同一性確認用情報が所定のパッケ一 ジにおけるクラスファイルとして定義される。

[0124] なお、上述した構成の他、（3)ァプレットを正規な構成でのみ実行させるための機 能 12cを実現するアブレット等の内、クライアント端末 Cの外部に配備すべきデータの み外部に配備し、その他のアブレット等はクライアント端末 Cの内部に予め配備して おく構成とすることもできる（図 20)。同図では、クライアント端末 Cの内部に予め配備 されたアブレットプログラム等を起動することにより、ロード用プログラムおよび起動用 プログラムとしての役割を有する特殊アブレット起動部 12a'が実現されている様子を 示している。 産業上の利用可能性

以上に説明したように、本発明によれば、電子署名され avaァプレットが不正に 再利用されることを簡単かつ確実に防止することができる。

Claims

請求の範囲

[1] 複数の所定の Javaァプレットプログラムをコンピュータに実行させる Javaァプレット であって、

^Javaァプレットは出所を保証するための電子署名を施されたものであり、 前記複数の所定の Javaァプレットプログラムそれぞれの所在について定義する配 備情報の改ざんを検出するための同一性確認用情報に基づいて、前記配備情報の 改ざんを検出する改ざん検出ステップと、

前記複数の所定の Javaアブレットプログラムをロードするためのロード用プログラム を起動させるロード用プログラム起動ステップと、

前記改ざん検出ステップにおいて改ざんが検出されなかった場合に、前記配備情 報に基づいて、前記起動させたロード用プログラムにより前記複数の所定の Javaアブ レットプログラムをロードさせるロードステップと

をコンピュータに実行させる Javaァプレット。

[2] 請求項 1に記載の Javaァプレットにおいて、

前記同一性確認用情報は、前記配備情報のハッシュ値または前記配備情報のデ ータの一部または全部を含む Javaァプレット。

[3] 請求項 1に記載の Javaァプレットにおいて、

前記同一性確認用情報は、前記複数の所定の Javaアブレットプログラムそれぞれ のハッシュ値または前記複数の所定の Javaァプレットプログラムそれぞれのデータの 一部または全部を含み、

前記改ざん検出ステップは、前記同一性確認用情報に基づいて、前記複数の所定 の Javaァプレットプログラムそれぞれの改ざんを検出する Javaァプレット。

[4] 請求項 1に記載の Javaァプレットにおいて、

言^ [avaァプレットにおけるメインクラスに対して、 Javaスクリプトを使用したメソッド呼 び出し要求があった場合に、該呼び出し要求に基づくメソッド呼び出し処理を、前記 複数の所定の Javaアブレットプログラムの内の前記呼び出されたメソッドに対応するメ ソッドに委譲させる委譲ステップを有する Javaァプレット。

[5] 請求項 1に記載の Javaァプレットにおいて、 言 avaァプレットに対して設定されているァプレットスタブを、前記ロードステップに おいてロードされた複数の所定の _Javaアブレットプログラムに対して設定するアブレツ トスタブ設定ステップを有する Javaァプレット。

[6] コンピュータが、複数の所定の Javaァプレットプログラムをコンピュータに実行させる Javaァプレットを含む JARファイルを生成する処理を行う JARファイル生成方法であ つて、

前記コンピュータが、

前記複数の所定の Javaァプレットプログラムそれぞれの所在について定義する配 備情報に基づいて、前記配備情報の改ざんを検出するための同一性確認用情報を 生成する同一性確認用情報生成ステップと、

前記配備情報および同一性確認用情報に基づレ、て、前記配備情報および同一性 確認用情報を含む JARファイルであり、前記同一性確認用情報が所定のパッケージ におけるクラスファイルとして定義されている JARファイルを生成する JARファイル生 成ステップとを実行することを特徴とする JARファイル生成方法。

[7] 請求項 6に記載の JARファイル生成方法において、

前記同一性確認用情報は、前記配備情報のハッシュ値または前記配備情報のデ ータの一部または全部を含む JARファイル生成方法。

[8] 請求項 6に記載の JARファイル生成方法において、

前首 SJARファイル生成ステップは、前記配備情報および同一性確認用情報に基づ いて、前記配備情報、同一性確認用情報、前記複数の所定の Javaアブレットプログ ラムをロードするためのロード用プログラムおよび前記ロード用プログラムを起動させ るための起動用プログラムを含む JARファイルであり、前記同一性確認用情報、ロー ド用プログラムおよび起動用プログラムが同一パッケージにおけるクラスファイルとし て定義されている JARファイルを生成する JARファイル生成方法。

[9] 請求項 6に記載の JARファイル生成方法において、

前言 ARファイル生成ステップは、前記複数の所定の Javaァプレットプログラム、前 記配備情報および同一性確認用情報に基づいて、前記複数の所定の Javaアブレツ トプログラム、前記配備情報および同一性確認用情報を含む JARファイルであり、前 記同一性確認用情報が所定のパッケージにおけるクラスファイルとして定義されてい る JARファイルを生成する JARファイル生成方法。

[10] 請求項 9に記載の JARファイル生成方法において、

前記同一性確認用情報は、前記複数の所定の Javaアブレットプログラムそれぞれ のハッシュ値または前記複数の所定の Javaァプレットプログラムそれぞれのデータの 一部または全部を含む JARファイル生成方法。

[11] 請求項 6に記載の JARファイル生成方法において、

前言 ARファイル生成ステップは、前記複数の所定の Javaァプレットプログラム、前 記配備情報および同一性確認用情報に基づいて、前記複数の所定の Javaアブレツ トプログラム、前記配備情報、同一性確認用情報、前記複数の所定の Javaアブレット プログラムをロードするためのロード用プログラムおよび前記ロード用プログラムを起 動させるための起動用プログラムを含む JARファイルであり、前記同一性確認用情報 、ロード用プログラムおよび起動用プログラムが同一パッケージにおけるクラスフアイ ルとして定義されている JARファイルを生成する JARファイル生成方法。

[12] 複数の所定の Javaァプレットプログラムをコンピュータに実行させる Javaァプレット を含む JARファイルを生成する処理をコンピュータに実行させる JARファイル生成プ ログラムであって、

前記複数の所定の Javaアブレットプログラムそれぞれの所在について定義する配 備情報に基づレ、て、前記配備情報の改ざんを検出するための同一性確認用情報を 生成する同一性確認用情報生成ステップと、

前記配備情報および同一性確認用情報に基づレ、て、前記配備情報および同一性 確認用情報を含む JARファイルであり、前記同一性確認用情報が所定のパッケージ におけるクラスファイルとして定義されている JARファイルを生成する JARファイル生 成ステップとをコンピュータに実行させることを特徴とする JARファイル生成プログラム

[13] 請求項 12に記載の JARファイル生成プログラムにおいて、

前記同一性確認用情報は、前記配備情報のハッシュ値または前記配備情報のデ ータの一部または全部を含む JARファイル生成プログラム。

[14] 請求項 12に記載の JARファイル生成プログラムにおいて、

前首 SJARファイル生成ステップは、前記配備情報および同一性確認用情報に基づ いて、前記配備情報、同一性確認用情報、前記複数の所定の Javaアブレットプログ ラムをロードするためのロード用プログラムおよび前記ロード用プログラムを起動させ るための起動用プログラムを含む JARファイルであり、前記同一性確認用情報、ロー ド用プログラムおよび起動用プログラムが同一パッケージにおけるクラスファイルとし て定義されている JARファイルを生成する JARファイル生成プログラム。

[15] 請求項 12に記載の JARファイル生成プログラムにおいて、

前言 ARファイル生成ステップは、前記複数の所定の Javaァプレットプログラム、前 記配備情報および同一性確認用情報に基づいて、前記複数の所定の Javaアブレツ トプログラム、前記配備情報および同一性確認用情報を含む JARファイルであり、前 記同一性確認用情報が所定のパッケージにおけるクラスファイルとして定義されてい る JARファイルを生成する JARファイル生成プログラム。

[16] 請求項 15に記載の JARファイル生成プログラムにおいて、

前記同一性確認用情報は、前記複数の所定の Javaアブレットプログラムそれぞれ のハッシュ値または前記複数の所定の Javaァプレットプログラムそれぞれのデータの 一部または全部を含む JARファイル生成プログラム。

[17] 請求項 12に記載の JARファイル生成プログラムにおいて、

前首 SJARファイル生成ステップは、前記複数の所定の Javaァプレットプログラム、前 記配備情報および同一性確認用情報に基づいて、前記複数の所定の Javaアブレツ トプログラム、前記配備情報、同一性確認用情報、前記複数の所定の Javaアブレット プログラムをロードするためのロード用プログラムおよび前記ロード用プログラムを起 動させるための起動用プログラムを含む JARファイルであり、前記同一性確認用情報 、ロード用プログラムおよび起動用プログラムが同一パッケージにおけるクラスフアイ ルとして定義されている JARファイルを生成する JARファイル生成プログラム。

[18] 複数の所定の Javaァプレットプログラムをコンピュータに実行させる Javaァプレット を含む JARファイルを生成する JARファイル生成装置であって、

前記複数の所定の Javaァプレットプログラムそれぞれの所在について定義する配 備情報に基づいて、同一性確認用情報を生成する同一性確認用情報生成部と、 前記配備情報および同一性確認用情報に基づレ、て、前記配備情報および同一性 確認用情報を含む JARファイルであり、前記同一性確認用情報が所定のパッケージ におけるクラスファイルとして定義されている JARファイルを生成する JARファイル生 成部とを備えてなる JARファイル生成装置。

[19] 請求項 18に記載の JARファイル生成装置において、

前記同一性確認用情報は、前記配備情報のハッシュ値または前記配備情報のデ ータの一部または全部を含む JARファイル生成装置。

[20] 請求項 18に記載の JARファイル生成装置において、

前言 ARファイル生成部は、前記配備情報および同一性確認用情報に基づレ、て、 前記配備情報、同一性確認用情報、前記複数の所定の Javaアブレットプログラムを ロードするためのロード用プログラムおよび前記ロード用プログラムを起動させるため の起動用プログラムを含む JARファイルであり、前記同一性確認用情報、ロード用プ ログラムおよび起動用プログラムが同一パッケージにおけるクラスファイルとして定義 されている JARファイルを生成する JARファイル生成装置。

[21] 請求項 18に記載の JARファイル生成装置において、

前 miARファイル生成部は、前記複数の所定の Javaアブレットプログラム、前記配 備情報および同一性確認用情報に基づいて、前記複数の所定の Javaアブレットプロ グラム、前記配備情報および同一性確認用情報を含む JARファイルであり、前記同 一性確認用情報が所定のパッケージにおけるクラスファイルとして定義されている JA Rファイルを生成する JARファイル生成装置。

[22] 請求項 21に記載の JARファイル生成装置にぉレ、て、

前記同一性確認用情報は、前記複数の所定の Javaアブレットプログラムそれぞれ のハッシュ値または前記複数の所定の Javaァプレットプログラムそれぞれのデータの 一部または全部を含む JARファイル生成装置。

[23] 請求項 18に記載の JARファイル生成装置において、

前言 ARファイル生成部は、前記複数の所定の Javaァプレットプログラム、前記配 備情報および同一性確認用情報に基づいて、前記複数の所定の Javaアブレットプロ グラム、前記配備情報、同一性確認用情報、前記複数の所定の Javaアブレットプロ グラムをロードするためのロード用プログラムおよび前記ロード用プログラムを起動さ せるための起動用プログラムを含む JARファイルであり、前記同一性確認用情報、口 ード用プログラムおよび起動用プログラムが同一パッケージにおけるクラスファイルと して定義されている JARファイルを生成する JARファイル生成装置。