JP5440973B2 - コンピュータ検査システム、コンピュータ検査方法 - Google Patents
コンピュータ検査システム、コンピュータ検査方法 Download PDFInfo
- Publication number
- JP5440973B2 JP5440973B2 JP2009038741A JP2009038741A JP5440973B2 JP 5440973 B2 JP5440973 B2 JP 5440973B2 JP 2009038741 A JP2009038741 A JP 2009038741A JP 2009038741 A JP2009038741 A JP 2009038741A JP 5440973 B2 JP5440973 B2 JP 5440973B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- search
- analysis
- computer
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 title claims description 84
- 238000000034 method Methods 0.000 title claims description 63
- 238000004458 analytical method Methods 0.000 claims description 144
- 230000005540 biological transmission Effects 0.000 claims description 33
- 238000004891 communication Methods 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 19
- 230000003068 static effect Effects 0.000 claims description 16
- 230000006399 behavior Effects 0.000 description 50
- 230000008569 process Effects 0.000 description 24
- 238000005516 engineering process Methods 0.000 description 14
- 238000012544 monitoring process Methods 0.000 description 13
- 238000001514 detection method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000004452 microanalysis Methods 0.000 description 10
- 241000700605 Viruses Species 0.000 description 9
- 208000015181 infectious disease Diseases 0.000 description 9
- 230000002155 anti-virotic effect Effects 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 7
- 238000010219 correlation analysis Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012731 temporal analysis Methods 0.000 description 2
- 238000000700 time series analysis Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000000750 constant-initial-state spectroscopy Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 229940049705 immune stimulating antibody conjugate Drugs 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 238000010183 spectrum analysis Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Description
本発明は、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査システムに関し、特に対象コンピュータにおける不正プログラムの探索方法と、その解析方法に特徴を有する。
近年、マルウェア(不正プログラム)に関して、実行コード(ここではスクリプトまたはプログラムのソースコードを指す。)を意図的に読みにくくする「難読化」や、実行コードが意図的に動的に変更される「自己変貌化」等の手法の開発が進んできている。これにより、機能が似通ったウイルスの亜種が大量発生し、しかもそれぞれのウイルスは解析が困難であるという状況が引き起こされている。このような既知のものではないマルウェアに対しては、シグネチャ(マルウェア検査パターン)等の既存技術による検出や駆除だけで対応することには自ずと限界がある。
こうしたマルウェアに関しては、駆除ツールを生成するために、感染行動等の挙動を把握することが重要となる。しかしながら、感染しても正規の実行コードを装い、それに気付かせないようにするものや、外部の指令サーバからの攻撃命令を待ち受けるなど、挙動を示すまでに一定の時間を要するものが存在する。
このため、ユーザのパソコン内で稼動・常駐しているプログラムがマルウェアであるかどうかを判別するためには、当該プログラムの実行コードを詳細に解析することが現時点で最も有用である。
このため、ユーザのパソコン内で稼動・常駐しているプログラムがマルウェアであるかどうかを判別するためには、当該プログラムの実行コードを詳細に解析することが現時点で最も有用である。
しかしながら、ユーザのパソコン内で稼動・常駐している多種多様なプログラムのうち、大多数は正規の実行コードであることから、そのようなプログラムの中からマルウェアの疑いのある怪しい実行コードのみを的確に選別することは難しい状況である。
また、ユーザのパソコン上で、実行コードを詳細に解析することは、安全性の観点から非常に困難である。
また、ユーザのパソコン上で、実行コードを詳細に解析することは、安全性の観点から非常に困難である。
他方、アンチウイルスソフトを提供するセキュリティベンダーにおいても、このような新しいマルウェアが現出するたびに、詳細な解析を行い、パターンファイルの更新や提供を行ってきているが、新規のマルウェアの出現頻度に解析が追いつかず、ユーザが必要なときに、必要なものをタイムリーに提供するところまでには至っていない。
一方、関連する要素技術としては様々な方法が提案されている。
まず、マルウェアを検出するための技術としては周知のアンチウイルスソフトウェアがある。アンチウイルスソフトウェアは、現在のウイルス対策の主流であるが、上述したようにシグネチャベースの手法では未知のマルウェアに対して限界がある。
未知のウイルス等に対応するために、例えばキヤノンITソリューションズ株式会社「NOD32アンチウイルス」(非特許文献1参照)にはヒューリスティック(発見的手法)機能と呼ばれるウイルス的挙動の監視機能を備えている。この機能は、検査対象となるファイル・電子メールに対して解析したコードを理解し、不審な挙動を検出し、入手できたすべての情報を総合して、ウイルス的な挙動を行うかどうかの判断を行う。挙動が不審と思われると判断された場合は、ウイルス警告を発して、ユーザに注意を促す機能である。
その他、ウイルス検出に関連する特許文献としては、特許文献1〜3を挙げることができる。
まず、マルウェアを検出するための技術としては周知のアンチウイルスソフトウェアがある。アンチウイルスソフトウェアは、現在のウイルス対策の主流であるが、上述したようにシグネチャベースの手法では未知のマルウェアに対して限界がある。
未知のウイルス等に対応するために、例えばキヤノンITソリューションズ株式会社「NOD32アンチウイルス」(非特許文献1参照)にはヒューリスティック(発見的手法)機能と呼ばれるウイルス的挙動の監視機能を備えている。この機能は、検査対象となるファイル・電子メールに対して解析したコードを理解し、不審な挙動を検出し、入手できたすべての情報を総合して、ウイルス的な挙動を行うかどうかの判断を行う。挙動が不審と思われると判断された場合は、ウイルス警告を発して、ユーザに注意を促す機能である。
その他、ウイルス検出に関連する特許文献としては、特許文献1〜3を挙げることができる。
しかし、これらのマルウェアを検出する技術の問題点としては、典型的な挙動やすぐに顕在化する挙動であれば検出できても、新たな挙動や特定の条件が整った場合だけ作用するマルウェアなどの場合には検出を逃れる恐れが大きかった。
また、マルウェアを見逃さないために、少しでも不審な挙動があればユーザに通知するようにすると、誤った通知が増加して信頼性が低下する上、ユーザの作業の障害にもなる。
また、マルウェアを見逃さないために、少しでも不審な挙動があればユーザに通知するようにすると、誤った通知が増加して信頼性が低下する上、ユーザの作業の障害にもなる。
この他、ネットワークインシデントの研究分野では、スペクトラム解析アルゴリズムや時系列解析アルゴリズムといったアルゴリズムを用いた、さまざまなトラフィック解析手法が提案されている。
非特許文献2に開示される研究では定点観測網から得られるパケット数の変動に着目した解析を行っている。これは、送信元および送信先のIPアドレスとポート番号といったパラメータ毎のパケット数の変動データに対してウェーブレット解析を施し、そこで得られる時間周波数成分の変化に基づいて脅威を検知する手法である。
非特許文献2に開示される研究では定点観測網から得られるパケット数の変動に着目した解析を行っている。これは、送信元および送信先のIPアドレスとポート番号といったパラメータ毎のパケット数の変動データに対してウェーブレット解析を施し、そこで得られる時間周波数成分の変化に基づいて脅威を検知する手法である。
また、非特許文献3に開示される研究では、非特許文献2の技術と同様、パケット数の変動に着目した解析を行っている。ここでは系列データ(単位時間あたりのパケット数)に対してSDAR(Sequential Discounting AR estimating)と呼ばれる時系列解析アルゴリズムを用いることで軽快な処理を実現し、リアルタイムでの異常検知を可能としている。
このようなマルウェアの検出技術とは別に、あるプログラムがマルウェアであるかどうかを解析する技術も開発されている。
例えば、本件出願人によるnicter(Network Incident analysis Center for Tactical
Emergency Response)(非特許文献4)がある。nicterでは、ネットワークモニタリングによるスキャン等の振る舞いの把握を目的とする「マクロ解析システム」、収集されたマルウェア等の検体の静的・動的解析を目的とする「ミクロ解析システム」、相互の結果を突合し、関連性を導き出すことを目的とする「マクロ−ミクロ相関分析システム」の3つを主要な分析コンポーネントとしている。
例えば、本件出願人によるnicter(Network Incident analysis Center for Tactical
Emergency Response)(非特許文献4)がある。nicterでは、ネットワークモニタリングによるスキャン等の振る舞いの把握を目的とする「マクロ解析システム」、収集されたマルウェア等の検体の静的・動的解析を目的とする「ミクロ解析システム」、相互の結果を突合し、関連性を導き出すことを目的とする「マクロ−ミクロ相関分析システム」の3つを主要な分析コンポーネントとしている。
マルウェアの解析技術は、特許文献4及び5にも開示されるように、不正なパケットの通信などを検出するセンサ手段を備えたり、ハニーポットを用意してマルウェアの挙動を観測する場合もあり、ユーザが使用中のコンピュータでは解析が難しい問題がある。特に、感染したコンピュータ上ではそもそも解析自体が妨害されていることが多い。
マルウェアを駆除する技術においては、マルウェアの検出・解析と連動して、解析結果に基づいて必要となる駆除ツールを生成し、それを感染に該当するユーザに対して迅速に提供していくための仕組みと必要機能を開発することが重要である。
マルウェアの駆除ツールの生成・提供機能については、多種多様なユーザや多種多様なマルウェアに対応しなければならない点や、ユーザにとって駆除が必要なときに、タイムリーに駆除ツールが提供されなければならない点等について対応することが重要であることを勘案すると、自動化かつ高速化を図ることが必要となる。
マルウェアの駆除ツールの生成・提供機能については、多種多様なユーザや多種多様なマルウェアに対応しなければならない点や、ユーザにとって駆除が必要なときに、タイムリーに駆除ツールが提供されなければならない点等について対応することが重要であることを勘案すると、自動化かつ高速化を図ることが必要となる。
従来の技術では、駆除ツールについても上記アンチウイルスソフトウェアに搭載された機能を利用するのが一般的であり、既知のウイルスについては駆除できることが多いが、未知のウイルスにはほとんど対応できない問題がある。
このほか、端末装置がマルウェアに感染したことを検出して、対策を講じるための技術として、特許文献6が挙げられる。本特許文献では、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムを提供する。
監視装置は、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルの特徴情報などを含んで定義されたソフトウェアの特徴情報を格納する第1データベースを有し、端末装置は自ら有するファイルの特徴情報を逐次取得して保持する第2データベースを有する。監視装置は、ネットワークを介して検証要求と共に、上記第1データベースに格納された特徴情報を端末装置へ送信する。端末装置では、第2データベースを検索して上記特徴情報に関連するファイルの有無を検証し、検証結果を監視装置へ送信する。
監視装置では受信した検証結果に基づいて、端末装置の脆弱性又はマルウェア感染状況を判断し、アクセス制御を実施し、被害の拡大を防止する。
監視装置は、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルの特徴情報などを含んで定義されたソフトウェアの特徴情報を格納する第1データベースを有し、端末装置は自ら有するファイルの特徴情報を逐次取得して保持する第2データベースを有する。監視装置は、ネットワークを介して検証要求と共に、上記第1データベースに格納された特徴情報を端末装置へ送信する。端末装置では、第2データベースを検索して上記特徴情報に関連するファイルの有無を検証し、検証結果を監視装置へ送信する。
監視装置では受信した検証結果に基づいて、端末装置の脆弱性又はマルウェア感染状況を判断し、アクセス制御を実施し、被害の拡大を防止する。
本技術は、上記シグネチャベースの検出方法を、監視装置と端末装置との分担により実行する方法であるが、この方法では少なくとも監視装置において既知のマルウェアでなければ検出することができず、上記問題の解決にはつながらない。
インターネットURL http://canon-its.jp/product/nd/product_5.html2009年2月10日検索
石黒正揮、鈴木裕信、村瀬一郎著「ウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威検出法」電子情報通信学会(2006年暗号と情報セキュリティシンポジウム(SCIS2006))2006年1月
竹内純一、佐藤靖士、力武健次、中尾康二著「変化点検出エンジンを利用したインシデント検知システムの構築」電子情報通信学会(2006年暗号と情報セキュリティシンポジウム(SCIS2006))2006年1月
中尾康二、吉岡克成、衛藤将史、井上大介、力武健次著「nicter: An Incident Analysis System using Correlation betweenNetwork Monitoring and Malware Analysis」Proceedings of The1st Joint Workshop on Information Security,JWIS2006,Page363-377, 2006年9月
Bailey, M., Cooke, E., Jahanian, F., Nazario, J., Watson, D.: Theinternet motion sensor: a distributed blackhole monitoring system, The 12th AnnualNetwork and Distributed System Security Symposium (NDSS05), 2005年
Moore, D.: Network telescopes:tracking Denial-of-Service attacks and internet worms around the globe, 17thLarge Installation Systems Administration Conference (LISA’03), USENIX, 2003年
Yegneswaran, V., Barford, P.,Plonka, D.: On the design and use of Internet sinks for network abuse monitoring.Recent Advances in Intrusion Detection (RAID 2004), LNCS 3224, pp 146 - 165,2004年
Honeypot project, http://www.leurrecom.org/
Internet Motion Sensor, http://ims.eecs.umich.edu/
IT Security Center,Information-Technology Promotion Agency, Japan, https://www.ipa.go.jp/security/index-e.html
Japan Computer Emergency ResponseTeam Coordination Center, http://jpcert.jp/isdas/index-en.html
National Cyber Security Center,Korea, http://www.ncsc.go.kr/eng/
REN-ISAC: Research and Education Networking Information Sharing andAnalysis Center, http://www.ren-isac.net/
SANS Internet Storm Center,http://isc.sans.org/
Telecom Information Sharing and Analysis Center, Japan,https://www.telecom-isac.jp/
@police, http://www.cyberpolice.go.jp/english/obs_e.html
Bailey, M., Cooke, E.,Jahanian, F., Myrick, A., Sinha, S.: Practical darknet measurement, 2006Conference on Information Sciences and Systems (CISS '06), pp. 1496 - 1501,2006年
Alata, E., Nicomette, V., Kaaniche,M., Dacier, M.: Lessons learned from the deployment of a high-interaction honeypot,6th European Dependable Computing Conference (EDCC-6), pp. 39 - 44, 2006年
Leita, C., Dacier, M.,Massicotte, F.: Automatic handling of protocol dependencies and reaction to 0-dayattacks with ScriptGen based honeypots, 9th International Symposium on RecentAdvances in Intrusion Detection (RAID2006), pp. 185 - 205, 2006年
Provos, N.: Honeyd A virtual honeypotdaemon. 10th DFN-CERT Workshop, 2003年
Provos, N.: A virtual honeypot framework.13th USENIX Security Symposium, pp 1 - 14, 2004年
Nakao, K., Matsumoto, F.,Inoue, D., Baba, S., Suzuki, K., Eto, M., Yoshioka, K., Rikitake, K., Hori, Y.:Visualization technologies of nicter incident analysis system, IEICE Technical Report,vol.106, no.ISEC-176 pp.83 - 89, 2006年
Isawa, R., Ichikawa, S.,Shiraishi, Y., Mohri, M, Morii, M.: A virus analysis supporting system; forautomatic grasping virus behavior by code-analysis result, The Computer SecuritySymposium 2005 (CSS2005), vol. 1, pp. 169 - 174, 2006年
Hoshizawa, Y., Morii, M.,Nakao, K.: A proposal of automated malware behavior analysis system,Information and Communication System Security, IEICE, ICSS2006-07, pp. 41 - 46,2006年
C. Willems, T. Holz, and F.Freiling, "Toward Automated Dynamic Malware Analysis Using CWSandbox"Security & Privacy Magazine, IEEE, Volume 5, Issue 2, pp. 32 - 39, 2007年
Nakao, K., Matsumoto, F.,Inoue, D., Baba, S., Suzuki, K., Eto, M., Yoshioka, K., Rikitake, K., Hori, Y.:Visualization technologies of nicter incident analysis system, IEICE Technical Report, vol.106, no.ISEC-176 pp.83 - 89,2006年
本発明は、上記従来技術の有する問題点に鑑みて創出されたものであり、検査対象のコンピュータ上における不正と疑われる挙動を示すプログラムを高速かつ低負荷で検出すると共に、未知の不正プログラムであっても高精度に解析可能な技術を提供することを目的とする。
上記課題を解決するため、本発明は次のようなコンピュータ検査システムを提供する。
すなわち、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査システムであって、対象コンピュータと検査サーバ装置とが通信ネットワークで接続される。本発明における不正プログラムには、不正と疑われる挙動を示す(不審なプログラム)や、所定の方法で不正であると判定されたものを含む。
本発明の検査サーバ装置には、対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段、探索プログラムを対象コンピュータに送信する探索プログラム送信手段、探索プログラムの実行結果を受信する探索結果受信手段、探索結果を解析して解析結果を出力する不正プログラム解析手段、解析結果を対象コンピュータに送信する解析結果送信手段、の各手段を少なくとも備える。
すなわち、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査システムであって、対象コンピュータと検査サーバ装置とが通信ネットワークで接続される。本発明における不正プログラムには、不正と疑われる挙動を示す(不審なプログラム)や、所定の方法で不正であると判定されたものを含む。
本発明の検査サーバ装置には、対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段、探索プログラムを対象コンピュータに送信する探索プログラム送信手段、探索プログラムの実行結果を受信する探索結果受信手段、探索結果を解析して解析結果を出力する不正プログラム解析手段、解析結果を対象コンピュータに送信する解析結果送信手段、の各手段を少なくとも備える。
また、対象コンピュータには、探索プログラムを受信する探索プログラム受信手段、探索プログラムを実行処理する探索プログラム実行手段、探索プログラムの実行結果を検査サーバ装置に送信する探索結果送信手段、解析結果を受信する解析結果受信手段、の各手段を少なくとも備える。
上記コンピュータ検査システムにおいて、探索プログラムが探索プログラム実行手段に対して、対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、実行結果としてコードを送信する処理を行わせる構成でもよい。
不正プログラム解析手段が、探索結果受信手段が受信したコードを試行してその動作を解析する動的解析を行うこともできる。また、不正プログラム解析手段が、探索結果受信手段が受信したコードの内容を解析する静的解析を行うこともできる。本発明では、上記動的解析及び静的解析のいずれか一方、または両方を組み合わせて行うことができる。
本発明のコンピュータ検査システムでは、不正プログラム解析手段を、上記のように検査サーバ装置に設けず、通信ネットワークで接続される外部サーバ装置に配置することもできる。あるいは、不正プログラム解析手段の一部を検査サーバ装置に備え、残部を外部サーバ装置に設けてもよい。
上記構成に加え、不正プログラム解析手段の解析結果に基づいて、その不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成手段と、駆除プログラムを対象コンピュータに送信する駆除プログラム送信手段を備えてもよい。これらの各手段は、上記検査サーバ装置や、上記不正プログラム解析手段を備えた外部サーバ装置、又はいずれとも異なる外部サーバ装置に設けることができる。
そして、対象コンピュータに、駆除プログラム受信手段と、駆除プログラムを実行処理する駆除プログラム実行手段とを備える。
そして、対象コンピュータに、駆除プログラム受信手段と、駆除プログラムを実行処理する駆除プログラム実行手段とを備える。
本発明は、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査方法として提供することもできる。コンピュータの処理方法として提供する本発明の方法は次の各ステップを有する。
(S10)検査サーバ装置に、対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納し、検査サーバ装置から対象コンピュータに通信ネットワークを介して探索プログラムを送信する探索プログラム送信ステップ
(S11)対象コンピュータの探索プログラム実行手段が、探索プログラムを実行処理する探索プログラム実行ステップ
(S12)対象コンピュータから検査サーバ装置に通信ネットワークを介して探索プログラムの実行結果を送信する探索結果送信ステップ
(S13)不正プログラム解析手段が、探索結果を解析して解析結果を出力する不正プログラム解析ステップ
(S14)検査サーバ装置から対象コンピュータに通信ネットワークを介して解析結果を送信する解析結果送信ステップ
(S10)検査サーバ装置に、対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納し、検査サーバ装置から対象コンピュータに通信ネットワークを介して探索プログラムを送信する探索プログラム送信ステップ
(S11)対象コンピュータの探索プログラム実行手段が、探索プログラムを実行処理する探索プログラム実行ステップ
(S12)対象コンピュータから検査サーバ装置に通信ネットワークを介して探索プログラムの実行結果を送信する探索結果送信ステップ
(S13)不正プログラム解析手段が、探索結果を解析して解析結果を出力する不正プログラム解析ステップ
(S14)検査サーバ装置から対象コンピュータに通信ネットワークを介して解析結果を送信する解析結果送信ステップ
上記の探索プログラム実行ステップ(S11)において、探索プログラムが探索プログラム実行手段に対して、対象コンピュータにおける不正と疑われる挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、実行結果としてコードを送信する処理を行わせる構成でもよい。
不正プログラム解析ステップ(S13)において、探索結果受信手段が受信したコードを試行してその動作を解析する動的解析を行う構成、あるいは探索結果受信手段が受信したコードの内容を解析する静的解析を行う構成、の少なくともいずれかでもよい。
上記不正プログラム解析ステップの解析結果に基づいて、解析結果送信ステップ(S14)の後に次の各ステップを有してもよい。
(S20)駆除プログラム生成手段が、不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成ステップ
(S21)駆除プログラム生成手段から対象コンピュータに通信ネットワークを介して駆除プログラムを送信する駆除プログラム送信ステップ
(S22)対象コンピュータの駆除プログラム実行手段が、駆除プログラムを実行処理する駆除プログラム実行ステップ
(S20)駆除プログラム生成手段が、不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成ステップ
(S21)駆除プログラム生成手段から対象コンピュータに通信ネットワークを介して駆除プログラムを送信する駆除プログラム送信ステップ
(S22)対象コンピュータの駆除プログラム実行手段が、駆除プログラムを実行処理する駆除プログラム実行ステップ
本発明は上記コンピュータ検査システムにおける検査サーバ装置のみを提供してもよい。
また、対象コンピュータ上の不正プログラムを探索する探索プログラムを提供してもよい。
また、対象コンピュータ上の不正プログラムを探索する探索プログラムを提供してもよい。
本発明は、以上の構成を備えることにより、次の効果を奏する。
すなわち、検査サーバ装置には、常に最新の探索プログラムを備えて、対象コンピュータに提供することにより、新しいソフトウェアに対応し、効率的な不正プログラムの探索を行わせることができる。
また、対象コンピュータ上で詳細な解析を行わず、不審と疑われる挙動を示すプログラムのみを探索し、検査サーバ装置に送ることで、網羅的にプログラムを探索できると共に、対象コンピュータにおける負荷を最低限に抑制することができる。
すなわち、検査サーバ装置には、常に最新の探索プログラムを備えて、対象コンピュータに提供することにより、新しいソフトウェアに対応し、効率的な不正プログラムの探索を行わせることができる。
また、対象コンピュータ上で詳細な解析を行わず、不審と疑われる挙動を示すプログラムのみを探索し、検査サーバ装置に送ることで、網羅的にプログラムを探索できると共に、対象コンピュータにおける負荷を最低限に抑制することができる。
一方、検査サーバ装置では、高度な解析処理を行うことができる。例えば、対象コンピュータからソースコードやオブジェクトコードを受信して、それを試験的に実行処理する動的解析により、不正な挙動を検出することができる。
また、コードの静的解析においても、対象コンピュータの負荷を低減し、大規模なデータベースに基づく解析処理を行うことができる。
また、コードの静的解析においても、対象コンピュータの負荷を低減し、大規模なデータベースに基づく解析処理を行うことができる。
駆除プログラム生成手段を設けることで、対象コンピュータに対して感染したマルウェアを駆除する駆除プログラムを提供することができる。特に、不正プログラム解析手段による解析結果に基づいて駆除プログラムを生成することで、未知のマルウェアにも有効な駆除プログラムを高速に作成することができる。
このように迅速に駆除プログラムが提供されることで、ネットワークにおけるマルウェアの感染拡大も防ぐことができる。
このように迅速に駆除プログラムが提供されることで、ネットワークにおけるマルウェアの感染拡大も防ぐことができる。
以下、本発明の実施形態を、図面に示す実施例を基に説明する。なお、実施形態は下記に限定されるものではない。
最初に、図1に示すコンピュータ検査システムの全体構成図を用いて、本発明の概要を説明する。本システムを構成する要素として、検査サーバ(1)、検査対象コンピュータであるユーザPC(2)、マルウェアの解析システム(4)、駆除ツールの生成システム(5)がある。各システムは、公知のパーソナルコンピュータやワークステーション等で構成することが簡便であり、各要素間は例えばインターネットなどの通信ネットワークで接続する。通信ネットワークはWAN(ワイドエリアネットワーク)や、LAN(ローカルエリアネットワーク)、携帯電話、PHS等の公衆回線網でもよい。
最初に、図1に示すコンピュータ検査システムの全体構成図を用いて、本発明の概要を説明する。本システムを構成する要素として、検査サーバ(1)、検査対象コンピュータであるユーザPC(2)、マルウェアの解析システム(4)、駆除ツールの生成システム(5)がある。各システムは、公知のパーソナルコンピュータやワークステーション等で構成することが簡便であり、各要素間は例えばインターネットなどの通信ネットワークで接続する。通信ネットワークはWAN(ワイドエリアネットワーク)や、LAN(ローカルエリアネットワーク)、携帯電話、PHS等の公衆回線網でもよい。
検査サーバ(1)から、ユーザPC(2)に対して探索プログラムの送付(1a)を行う。ユーザPC(2)上で探索プログラムを起動し、稼働させる(2a)ことで、不正な挙動が行うマルウェアがないかどうか探索する。
その結果、不正な挙動が発見された場合には、その実行コードを検出し、検査サーバ(1)に送出(2b)する。
その結果、不正な挙動が発見された場合には、その実行コードを検出し、検査サーバ(1)に送出(2b)する。
検査サーバ(1)では、実行コードを受信するとすぐに解析を開始(1b)する。本発明では、この解析にマルウェアの解析システム(4)を用いる。解析システム(4)に実行コードを送り、そのコードを静的解析(4a)、動的解析(4b)する。このような解析はミクロ解析として様々な技術が提案されており、それらを任意に用いることができる。
静的解析とは、マルウェアのコードを分析し、どのような不正処理を行うかを分析する手法であり、具体的には実行コードを逆アセンブリして処理内容を取得する方法がある。
動的解析とは、マルウェアを実際に動作させて、例えば不正パケットの送出や、ファイル操作処理など、不正処理の詳細を把握する方法である。
これらの解析結果(1c)は検査サーバ(1)に返される。解析結果(1c)はユーザPC(2)の探索プログラム(2a)に通知して、探索プログラムから表示するようにしてもよい。
静的解析とは、マルウェアのコードを分析し、どのような不正処理を行うかを分析する手法であり、具体的には実行コードを逆アセンブリして処理内容を取得する方法がある。
動的解析とは、マルウェアを実際に動作させて、例えば不正パケットの送出や、ファイル操作処理など、不正処理の詳細を把握する方法である。
これらの解析結果(1c)は検査サーバ(1)に返される。解析結果(1c)はユーザPC(2)の探索プログラム(2a)に通知して、探索プログラムから表示するようにしてもよい。
また、解析結果(1c)に基づいて、駆除ツール生成システム(5)で駆除ツール生成(5a)を行うことができる。
本発明では、マルウェアに応じて駆除ツールを生成することができるが、簡便な方法としては、上記静的解析(4a)によって発見された不正なコードの削除や、動的解析(4b)によって検出された不正な処理を中止させる新たな処理の追加などが含まれる。
生成された駆除ツール(1d)は検査サーバ(1)を経てユーザPC(2)の探索プログラム(2a)に送られ、駆除(2c)が実行される。
本発明では、マルウェアに応じて駆除ツールを生成することができるが、簡便な方法としては、上記静的解析(4a)によって発見された不正なコードの削除や、動的解析(4b)によって検出された不正な処理を中止させる新たな処理の追加などが含まれる。
生成された駆除ツール(1d)は検査サーバ(1)を経てユーザPC(2)の探索プログラム(2a)に送られ、駆除(2c)が実行される。
(実施例1)
次に、本発明の具体的実施例を示す。実施例1としては、本発明システムを検査サーバ(1)とユーザPC(2)、両者を接続するインターネット(3)で構成し、駆除ツールの生成を含まない構成を説明する。
図2は、検査サーバ(1)の構成図、図3はユーザPC(2)の構成図、図4は本実施例のフローチャートである。
次に、本発明の具体的実施例を示す。実施例1としては、本発明システムを検査サーバ(1)とユーザPC(2)、両者を接続するインターネット(3)で構成し、駆除ツールの生成を含まない構成を説明する。
図2は、検査サーバ(1)の構成図、図3はユーザPC(2)の構成図、図4は本実施例のフローチャートである。
検査サーバ(1)は、インターネット上に配置されるサーバ装置として構成されているが、本発明に必須な要素として、CPU(10)、イーサネット(登録商標)カードや無線LAN通信カードなどの通信アダプタ(11)、ハードディスク等の記憶装置(12)を備える。この他、公知のように、CPU(10)と協働するメモリや、管理者からの入力を受け付けるキーボード、モニタ等を備えることもできるが、ここでは省略する。
記憶装置(12)には、ユーザPC(2)で実行する探索プログラム(120)を格納し、これは常に最新版に改訂されることが望ましい。
CPU(10)には、探索プログラム送信部(100)、探索結果受信部(101)、不正プログラム解析部(102)、解析結果送信部(103)を備える。
CPU(10)には、探索プログラム送信部(100)、探索結果受信部(101)、不正プログラム解析部(102)、解析結果送信部(103)を備える。
一方、ユーザPC(2)は、インターネット上に配置される端末装置として構成され、一般的なパーソナルコンピュータの他、PDA(Personal Digital Assistants)や携帯電話、PHSなどでもよい。
ユーザPC(2)には、CPU(20)、画面表示を行うモニタ(21)、記憶装置(22)、通信アダプタ(23)を備える。他に付属する機器については省略する。
ユーザPC(2)には、CPU(20)、画面表示を行うモニタ(21)、記憶装置(22)、通信アダプタ(23)を備える。他に付属する機器については省略する。
CPU(20)には、探索プログラム受信部(200)、探索プログラム実行部(201)、探索結果送信部(202)、解析結果受信部(203)を備える。
以上の構成により、図4に示す処理を行う。
まず、探索プログラム送信部(100)が、記憶装置(12)の探索プログラム(120)を読み出し、インターネット(3)を介して探索プログラム受信部(200)に探索プログラムを送信する(S10)。
本ステップ(S10)は、公知のアンチウイルスソフトと同様に、最初はパッケージ等で販売してCDロム等のメディアからユーザPC(2)にインストールしてもよいが、最新版を実行するために、検査サーバ(1)から最新版にアップデートできるようにする。本発明で送信する探索プログラム(120)はプログラム全体の他、すでにインストール済みの差分も含む。
なお、本実施例では探索プログラム(120)の記憶手段と探索プログラム送信手段を検査サーバ(1)内に設けているが、これらを外部のサーバ装置に備えて探索プログラムの提供をユーザPC(2)に直接行うこともできる。
まず、探索プログラム送信部(100)が、記憶装置(12)の探索プログラム(120)を読み出し、インターネット(3)を介して探索プログラム受信部(200)に探索プログラムを送信する(S10)。
本ステップ(S10)は、公知のアンチウイルスソフトと同様に、最初はパッケージ等で販売してCDロム等のメディアからユーザPC(2)にインストールしてもよいが、最新版を実行するために、検査サーバ(1)から最新版にアップデートできるようにする。本発明で送信する探索プログラム(120)はプログラム全体の他、すでにインストール済みの差分も含む。
なお、本実施例では探索プログラム(120)の記憶手段と探索プログラム送信手段を検査サーバ(1)内に設けているが、これらを外部のサーバ装置に備えて探索プログラムの提供をユーザPC(2)に直接行うこともできる。
ユーザPC(2)では受信した探索プログラムを探索プログラム実行部(201)が実行処理(S11)する。探索プログラム(120)はユーザPC(2)の起動と共に常駐することが好ましく、常にユーザPC(2)における不審な挙動を監視する。このような動作態様も公知のアンチウイルスソフトと同様に構成することができる。
探索プログラム(120)は、ユーザPC(2)内で稼働、常駐しているプログラムの中からマルウェアの疑いのある怪しいオブジェクトコード(実行コード)を探索して収集する。
本発明ではマルウェアかどうかの解析を検査サーバ(1)で行うことができるため、ユーザPC(2)の負荷や、ユーザへの誤った通知の恐れを考慮する必要がない。そこで、探索プログラム(120)はフォールスポジティブを許容する(不正でない対象を、不正と誤判定することを許す状態)という考え方に基づいて、不審なプログラムはすべて抽出することが望ましい。
本発明ではマルウェアかどうかの解析を検査サーバ(1)で行うことができるため、ユーザPC(2)の負荷や、ユーザへの誤った通知の恐れを考慮する必要がない。そこで、探索プログラム(120)はフォールスポジティブを許容する(不正でない対象を、不正と誤判定することを許す状態)という考え方に基づいて、不審なプログラムはすべて抽出することが望ましい。
単純な方法としては、未知のプログラムをすべて抽出することが挙げられる。探索プログラムに検査サーバで検査済みのプログラムの情報を備えておき、そのプログラムリストにないプログラムを抽出する方法がある。
この場合、単純にファイル名だけでなく、ファイル容量やハッシュ値などの比較などを組み合わせて同一性を判定することができる。なお、ファイルバックアップソフトウェア等において、ファイルの同一性の判定技術、差分の抽出技術については公知であり、それらを用いてもよい。
この場合、単純にファイル名だけでなく、ファイル容量やハッシュ値などの比較などを組み合わせて同一性を判定することができる。なお、ファイルバックアップソフトウェア等において、ファイルの同一性の判定技術、差分の抽出技術については公知であり、それらを用いてもよい。
より高度な方法としては、探索プログラムがプログラムの挙動を監視する方法がある。例えば、不正なポート番号へのパケットの送出や、ファイルの削除、移動等のファイル管理処理が行われるかどうかを監視し、所定の処理を行った場合には不審な挙動を行うプログラムを抽出する。
このような方法においても、抽出漏れがないように少しでも不審な挙動がある場合には抽出することが望ましい。
このような方法においても、抽出漏れがないように少しでも不審な挙動がある場合には抽出することが望ましい。
本発明では、抽出量を減らすための有効な方法として、検査済みのプログラムについてホワイトリスト情報を備えることもできる。ホワイトリスト情報は、探索プログラム(120)に格納し、不審な挙動と判断される場合でもホワイトリスト情報にあるプログラムについては抽出しない。
このとき、特定のポート番号へのパケットの送出など、特定の挙動についてもホワイトリスト情報に格納し、プログラム毎に問題のない挙動を登録しておくこともできる。
このとき、特定のポート番号へのパケットの送出など、特定の挙動についてもホワイトリスト情報に格納し、プログラム毎に問題のない挙動を登録しておくこともできる。
探索結果として抽出する対象は、稼働中のプロセスから特定されるオブジェクトコードの他、記憶装置に格納されているソースコードでもよい。UNIX(登録商標)等においては、ソースコードとインストールのパッケージが共に配布されていることが多く、稼働中のオブジェクトコードとソースコードが関連付けられる場合には、両者を送信することで後段の解析処理の高精度化に寄与することができる。
探索されたコードは、探索結果送信部(202)からインターネット(3)を介して探索結果受信部(101)に向けて送信(S12)される。このとき、必要に応じて送信に適切な形式に変換することもできる。
探索結果は不正プログラム解析部(102)において解析処理(S13)される。不正プログラム解析部にホワイトリスト情報を格納し、検索プログラムから受信したプログラムのうちホワイトリスト情報のあるプログラムについては解析をスキップすることもできる。
解析処理については本件出願人によるnicter(非特許文献4)の技術や、周知の解析技術を用いることができる。
解析処理については本件出願人によるnicter(非特許文献4)の技術や、周知の解析技術を用いることができる。
ここで、nicterについて簡単に説明する。
nicterは、広域のネットワークモニタリングによって収集したイベントを解析し、その中からインシデントを検出するマクロ解析システムと、マルウェアの検体を収集・解析して、それらの挙動を抽出するミクロ解析システムという2つのサブシステム経由の解析パスを持つ(図9参照)。
nicterは、広域のネットワークモニタリングによって収集したイベントを解析し、その中からインシデントを検出するマクロ解析システムと、マルウェアの検体を収集・解析して、それらの挙動を抽出するミクロ解析システムという2つのサブシステム経由の解析パスを持つ(図9参照)。
これら2つサブシステムにおける解析結果は、相関分析システムにおいてその相関関係が分析され、インシデントの「現象」と「原因」を対応付けることが可能となる。換言すると、マクロ解析システムではネットワーク上で発生しているインシデントの現象を捉えることができ、一方、ミクロ解析システムではインシデントの原因と考えられるマルウェアの挙動を把握できるため、双方の解析結果を照合することで、発生中のインシデントの原因特定が可能となり、さらに、特定されたマルウェアに応じた対策導出も可能となる。その結果、ネットワークモニタリングによって観測された統計データ等の提示に留まらず、インシデントの原因とその対策にまでを出力することができる。
マクロ解析システムは、複数の観測地点におけるネットワークモニタリングで得られたトラフィックを入力として受ける。nicterは現状、日本国内の12万を超える未使用IPアドレスを観測している。未使用IPアドレスには本来、外部からのパケットは到着しないはずであるが、実際には相当数のパケットが到着する。これらのパケットの多くは、マルウェアの感染行為の第一段階であるスキャンや、DoS攻撃、送信元IPアドレスが詐称されたDoS攻撃への返信であるBackscatterなどが含まれる。
このように、未使用IPアドレスに到着するトラフィックを収集・分析することで、広域ネットワークにおける攻撃活動の傾向を把握することが可能になる。
マクロ解析システムに備える振舞分析エンジンは、nicterが観測したトラフィックを送信元ホストごとにスライスし、各ホストの短時間(30秒間)の振舞を自動分析するエンジンである。以下のパラメータを用いて振舞を自動分類し、DBに逐次蓄積する。
送信元/宛先ポート番号
宛先IPアドレス
プロトコル種別
スキャンタイプ(Sequential/Random)
この自動分類によって、ある送信元ホストの振舞が既知の攻撃パターンであるのか、あるいは新規の攻撃パターンであるのかを瞬時に判定することが可能となる。
さらに、長期振舞分析エンジンでは、nicterに蓄積された数年に渡るトラフィック情報を長期的なスパンで分析するため、スロースキャン等にも対応可能である。
マクロ解析システムに備える振舞分析エンジンは、nicterが観測したトラフィックを送信元ホストごとにスライスし、各ホストの短時間(30秒間)の振舞を自動分析するエンジンである。以下のパラメータを用いて振舞を自動分類し、DBに逐次蓄積する。
送信元/宛先ポート番号
宛先IPアドレス
プロトコル種別
スキャンタイプ(Sequential/Random)
この自動分類によって、ある送信元ホストの振舞が既知の攻撃パターンであるのか、あるいは新規の攻撃パターンであるのかを瞬時に判定することが可能となる。
さらに、長期振舞分析エンジンでは、nicterに蓄積された数年に渡るトラフィック情報を長期的なスパンで分析するため、スロースキャン等にも対応可能である。
マクロ解析システムに備える変化点分析エンジンは、特定ポートへの単位時間あたりパケット数や、送信元のユニークホスト数などを時系列データと見なし、その急激な変化を迅速に検出するため、nicterでは2段階の学習アルゴリズムによって高速計算を実現している。
マクロ解析システムに備える自己組織化マップ分析エンジンは、送信元ホストの攻撃パターンの多角的な属性を特徴ベクトルとして自己組織化マップに入力し、同種の挙動を持つ(つまり同種のマルウェアに感染している可能性の高い)ホストをクラスタリングし、クラスタの増減や、発生・消滅などを検出・分析する。これにより、ボットネットの動作の迅速な把握も可能となる。
nicterには、上記マクロ解析システムと共にミクロ解析システムを備えている。
ミクロ解析システムは、ハニーポット等で捕獲した大量のマルウェアの検体を、1検体あたり5〜10分で自動解析し、その性質や挙動を抽出し、マルウェア情報プールに蓄積することを目的とする。以下、ミクロ解析システムの主要なエンジンについての概要を述べる。
ミクロ解析システムは、ハニーポット等で捕獲した大量のマルウェアの検体を、1検体あたり5〜10分で自動解析し、その性質や挙動を抽出し、マルウェア情報プールに蓄積することを目的とする。以下、ミクロ解析システムの主要なエンジンについての概要を述べる。
・静的解析エンジン
マルウェアの典型的解析法として、マルウェアの実行コードを逆アセンブルして、その特徴を抽出する静的解析がある。しかしながら、マルウェアの実行コードには、逆アセンブルを阻害するコード難読化(code obfuscation)がなされているものがあり、静的解析をより困難なものとしている。そこで、nicterの静的解析エンジンでは、コード難読化されたマルウェアを一旦計算機上で実行し、メモリ上に展開(自己復号)されたコードを取得して逆アセンブルすることで、難読化の効果を無効化可能とする技術が用いられている。
マルウェアの典型的解析法として、マルウェアの実行コードを逆アセンブルして、その特徴を抽出する静的解析がある。しかしながら、マルウェアの実行コードには、逆アセンブルを阻害するコード難読化(code obfuscation)がなされているものがあり、静的解析をより困難なものとしている。そこで、nicterの静的解析エンジンでは、コード難読化されたマルウェアを一旦計算機上で実行し、メモリ上に展開(自己復号)されたコードを取得して逆アセンブルすることで、難読化の効果を無効化可能とする技術が用いられている。
・動的解析エンジン
マルウェアのもう1つの典型的解析法に、マルウェアを実行状態に置き、その際にマルウェアが使用するAPIやサーバアクセスなどの挙動を解析する動的解析がある。しかしながら、近年のマルウェアは、自己の周囲のネットワーク環境などを監視して、異常を察知すると沈黙状態となるなど、動的解析を困難にする機能を持つものが多い。そこで、nicterの動的解析エンジンでは、マルウェアを実行する箱庭環境に、DNSやIRCをはじめ多数のダミーサーバを用意することで実インターネット環境を模倣し、スキャンを含むマルウェアの挙動を抽出する。
マルウェアのもう1つの典型的解析法に、マルウェアを実行状態に置き、その際にマルウェアが使用するAPIやサーバアクセスなどの挙動を解析する動的解析がある。しかしながら、近年のマルウェアは、自己の周囲のネットワーク環境などを監視して、異常を察知すると沈黙状態となるなど、動的解析を困難にする機能を持つものが多い。そこで、nicterの動的解析エンジンでは、マルウェアを実行する箱庭環境に、DNSやIRCをはじめ多数のダミーサーバを用意することで実インターネット環境を模倣し、スキャンを含むマルウェアの挙動を抽出する。
さらに、上記マクロ解析システムとミクロ解析システムとを相関分析する相関分析システムを備えている。相関分析システムでは、マクロ解析システムにおいて検出された攻撃パターンを各種の属性に沿ってプロファイル化し、ミクロ解析システムにおいて解析済みであるマルウェアのプロファイルとの照合を行い、インシデントの原因と考えられるマルウェアの候補を探し出す。
本発明では、このようなnicterの主にミクロ分析システムで用いられる技術を使って、不正プログラム解析部(102)の処理とする他、相関分析システムの分析結果を用いて当該マルウェアの挙動の詳細な分析を行ってもよい。
このほか、マルウェアの解析手法としては、多様な商業的なプロジェクト、学問的なプロジェクト、または政府支援によるプロジェクトが研究を進めている。(非特許文献4〜16参照)。
従前のステップとして、これらのプロジェクトの多くは、ネットワーク・イベント監視に基づいて、特定のポート番号でのアクセスの急激な増加等、統計的なデータの提供に集中している。これらの活動の過程で、世界的に公表されている未使用のIPアドレス(非特許文献5、6、17参照)の集合であるダークアドレス空間を監視することが一般的な手法である。
従前のステップとして、これらのプロジェクトの多くは、ネットワーク・イベント監視に基づいて、特定のポート番号でのアクセスの急激な増加等、統計的なデータの提供に集中している。これらの活動の過程で、世界的に公表されている未使用のIPアドレス(非特許文献5、6、17参照)の集合であるダークアドレス空間を監視することが一般的な手法である。
これらのアドレス空間では、多様なマルウェアをひき付けるためにハニーポットを設置したり、あるいはマルウェアが感染先を探索するために行う走査、DDoS攻撃のバックスキャタ等を含む入信パケットを監視する(ブラックホール監視)センサを用意する(非特許文献18〜21参照)。
他方、実際のマルウェア実行ファイルを分析することには別の課題がある。マルウェアの構造を解析する際、マルウェア実行ファイルを逆アセンブルするためにリバース・エンジニアリング技法が適用される(非特許文献22、23参照)。
また、マルウェア・コードが実際には閉じられた(アクセスが制御された)実験環境で実行されるサンドボックス分析はその挙動を観察することができる(非特許文献22、24〜26参照)。
また、マルウェア・コードが実際には閉じられた(アクセスが制御された)実験環境で実行されるサンドボックス分析はその挙動を観察することができる(非特許文献22、24〜26参照)。
不正プログラム解析部(102)ではこれらの文献をはじめとする公知の解析処理によって、探索結果のコードがマルウェアであるかどうかを解析する。
そして、解析結果を解析結果送信部(103)からインターネット(3)を介して解析結果受信部(203)に送信(S14)する。
そして、解析結果を解析結果送信部(103)からインターネット(3)を介して解析結果受信部(203)に送信(S14)する。
ここで、解析結果送信ステップは、マルウェアと判定された場合にのみ送信する構成でもよいし、マルウェアでない場合にも送信してもよい。後者の場合は、上記ホワイトリスト情報として記録することもできる。
探索プログラムには、解析結果受信部(203)で受信した解析結果をモニタ(21)から表示する機能をもたせてもよい。すなわち、解析結果を出力(S15)処理は、ユーザにマルウェアが稼働していることを通知する重要な処理であり、通常はこの処理を行うことが望ましい。
もっとも、ユーザが操作する手段を持たない専用端末等の特殊な対象コンピュータの場合には、出力する意味がないため、必ずしも出力ステップ(S15)を行わなくてもよい。
もっとも、ユーザが操作する手段を持たない専用端末等の特殊な対象コンピュータの場合には、出力する意味がないため、必ずしも出力ステップ(S15)を行わなくてもよい。
本発明の実施例1は、以上のような構成により、探索プログラム(120)を検査サーバ(1)からユーザPC(2)に送信して、探索プログラム(120)による網羅的なマルウェアの探索を実現することができる。解析は検査サーバ(1)が行うため、ユーザPC(2)に大きな負荷がかからず、かつ高精度な解析を行うことが出来る点に最大の特徴がある。
(実施例2)
本発明の第2の実施例として、駆除プログラムを生成する機能を備えた構成について説明する。
図5は実施例2に係る検査サーバ(1)の構成図、図6は同ユーザPC(2)の構成図、図7は実施例2の処理のフローチャートである。各図において、実施例1と同様の構成については同符号で示し、説明を省略する。
本発明の第2の実施例として、駆除プログラムを生成する機能を備えた構成について説明する。
図5は実施例2に係る検査サーバ(1)の構成図、図6は同ユーザPC(2)の構成図、図7は実施例2の処理のフローチャートである。各図において、実施例1と同様の構成については同符号で示し、説明を省略する。
検査サーバ(1)のCPU(10)には、新たに駆除プログラム生成部(104)と、駆除プログラム送信部(105)とを備える。必要に応じて、記憶装置(12)に駆除パターン(121)のデータベースを格納してもよい。
ユーザPC(2)のCPU(20)には、新たに駆除プログラム受信部(204)と駆除プログラム実行部(205)とを備える。
ユーザPC(2)のCPU(20)には、新たに駆除プログラム受信部(204)と駆除プログラム実行部(205)とを備える。
図7に示すように、探索プログラム送信ステップ(S10)、探索プログラム実行ステップ(S11)によりユーザPC(2)における不審な挙動を起こすプログラムを探索し、発見された場合に検査サーバ(1)で不正プログラム解析ステップ(S13)、解析結果送信ステップ(S14)を行うことは上記と同様である。
加えて、本実施例2では、駆除プログラム生成部(104)が、不正プログラム解析部(102)の解析結果を用いて、マルウェアを駆除するプログラムを生成(S20)する。駆除プログラムは、オブジェクトコード又はスクリプトのいずれでもよい。
駆除プログラム生成部(104)の処理についても、公知の駆除技術を用いることができる。例えば、プログラム毎にマルウェアに感染する前のコードを駆除パターン(121)として格納しておき、探索結果のコードを、感染前のコードに復元する差分ファイルを駆除プログラムとして生成することもできる。
不正プログラム解析部(102)の静的解析結果から、コード中の不正な処理を行う箇所について、当該箇所を削除する駆除プログラムを生成してもよい。
動的解析結果から、当該プログラムが実際に行う挙動に従って、当該挙動を無効化する処理を行ってもよい。無効化処理としては、例えば、マルウェアによって行われた処理を復元する処理や、行われようとする処理を中止させる処理がある。前者の例としてはレジストリの書き換え処理が行われた後に元に戻す処理、後者の例としては、パケットの送信処理が行われようとしたときに、その送信動作をスキップする処理などがある。
動的解析結果から、当該プログラムが実際に行う挙動に従って、当該挙動を無効化する処理を行ってもよい。無効化処理としては、例えば、マルウェアによって行われた処理を復元する処理や、行われようとする処理を中止させる処理がある。前者の例としてはレジストリの書き換え処理が行われた後に元に戻す処理、後者の例としては、パケットの送信処理が行われようとしたときに、その送信動作をスキップする処理などがある。
マルウェアの挙動は、パターン化されていることが多いため、駆除パターン(121)に各パターンに対する駆除プログラムの要素を格納しておくこともできる。そして、探索結果のマルウェアの挙動に従って、駆除パターン(121)中の要素を組み合わせて駆除プログラムを生成することもできる。
生成された駆除プログラムは駆除プログラム送信部(105)からインターネット(3)を介して駆除プログラム受信部(204)に送信(S21)される。
そして、駆除プログラム実行部(205)で実行処理(S22)されてマルウェアが駆除される。
本発明では、探索プログラム(120)に、駆除プログラムの受信(S21)と実行(S22)の処理を自動的に行わせることで、ユーザの操作を要さずに探索から駆除までを一貫して行うことができる。
そして、駆除プログラム実行部(205)で実行処理(S22)されてマルウェアが駆除される。
本発明では、探索プログラム(120)に、駆除プログラムの受信(S21)と実行(S22)の処理を自動的に行わせることで、ユーザの操作を要さずに探索から駆除までを一貫して行うことができる。
以上の実施例2の構成によれば、探索プログラムの探索結果に従い、最適な駆除プログラムを生成し、ユーザに提供することができる。本発明の検査サーバ(1)を複数のユーザで共有することにより、ユーザPC(2)のいずれかで探索され、駆除プログラムが生成されたマルウェアについては、それを他のユーザPC(2)の探索・駆除時に利用することで高速な対応にも寄与する。
(別実施例)
最後に、本発明の各要素を複数の外部サーバ装置に分散配置する例を説明する。
図8は不正プログラム解析部(102)と、駆除プログラム生成部(104)をそれぞれ、解析システム(4)と駆除ツール生成システム(5)に設けた場合の構成図である。
各システム(4)(5)も、パーソナルコンピュータやワークステーション等によって実現可能であり、CPU(40)(50)と共に、インターネット(3)に接続する通信アダプタ(41)(51)を備える。駆除ツール生成システム(5)には、記憶手段(52)を備えて、駆除パターン(121)を格納してもよい。
最後に、本発明の各要素を複数の外部サーバ装置に分散配置する例を説明する。
図8は不正プログラム解析部(102)と、駆除プログラム生成部(104)をそれぞれ、解析システム(4)と駆除ツール生成システム(5)に設けた場合の構成図である。
各システム(4)(5)も、パーソナルコンピュータやワークステーション等によって実現可能であり、CPU(40)(50)と共に、インターネット(3)に接続する通信アダプタ(41)(51)を備える。駆除ツール生成システム(5)には、記憶手段(52)を備えて、駆除パターン(121)を格納してもよい。
本実施例でも処理は上記実施例1、2と同様の処理を行うが、各処理部間で情報を伝達する際に、ネットワークを介する点が異なる。
すなわち、探索結果受信部(101)で受信した探索結果は、インターネット(3)を通して不正プログラム解析部(102)に至り、その解析結果が、再び解析結果送信部(103)に戻されてからユーザPC(2)に送られる。なお、解析結果送信部(103)も解析システム(4)に設けて、直接ユーザPC(2)に送信する構成でもよい。
すなわち、探索結果受信部(101)で受信した探索結果は、インターネット(3)を通して不正プログラム解析部(102)に至り、その解析結果が、再び解析結果送信部(103)に戻されてからユーザPC(2)に送られる。なお、解析結果送信部(103)も解析システム(4)に設けて、直接ユーザPC(2)に送信する構成でもよい。
また、不正プログラム解析部(102)の解析結果も、インターネット(3)を通して駆除プログラム生成部(104)に送られ、生成された駆除プログラムは駆除プログラム送信部(105)に届いてからユーザPC(2)に送信される。
上記同様、駆除プログラム送信部(105)を駆除ツール生成システム(5)に設けてもよい。
上記同様、駆除プログラム送信部(105)を駆除ツール生成システム(5)に設けてもよい。
このように解析処理や駆除プログラム生成処理を、異なる外部サーバに分散することにより、既存のシステムを利用したり、装置毎の負荷の低減を図ることができる。
本実施例の配置は一例であり、不正プログラム解析部と駆除プログラム生成部を1つのサーバに設ける構成など組み合わせは任意に変更することができる。
本実施例の配置は一例であり、不正プログラム解析部と駆除プログラム生成部を1つのサーバに設ける構成など組み合わせは任意に変更することができる。
1 検査サーバ
1a 探索プログラム送付
1b 実行コード解析開始
1c 該当実行コード基礎解析結果
1d 駆除ツール
2 ユーザPC
2a 探索プログラム起動・稼働
2b 実行コード検出・送出
2c 駆除
3 インターネット
4 解析システム
4a マルウェア静的解析
4b マルウェア動的解析
5 駆除ツール生成システム
5a 駆除ツール生成
1a 探索プログラム送付
1b 実行コード解析開始
1c 該当実行コード基礎解析結果
1d 駆除ツール
2 ユーザPC
2a 探索プログラム起動・稼働
2b 実行コード検出・送出
2c 駆除
3 インターネット
4 解析システム
4a マルウェア静的解析
4b マルウェア動的解析
5 駆除ツール生成システム
5a 駆除ツール生成
Claims (14)
- 対象コンピュータ上の不正又は不審なプログラム(以下、不正プログラム)を検査サーバ装置により検査するコンピュータ検査システムであって、該対象コンピュータと該検査サーバ装置とが通信ネットワークで接続される構成において、
該検査サーバ装置には、
該対象コンピュータ上で実行し、該検査サーバ装置における未知の不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段と、
該探索プログラムを該対象コンピュータに送信する探索プログラム送信手段と、
該探索プログラムの実行結果を受信する探索結果受信手段と、
該探索結果を解析して解析結果を出力する不正プログラム解析手段と、
該解析結果を該対象コンピュータに送信する解析結果送信手段と
を備えると共に、
該対象コンピュータには、
該探索プログラムを受信する探索プログラム受信手段と、
該探索プログラムを実行処理する探索プログラム実行手段と、
該探索プログラムの実行結果であるソースコード又はオブジェクトコードの少なくともいずれかのコードを該検査サーバ装置に送信する探索結果送信手段と、
該解析結果を受信する解析結果受信手段と
を備える
ことを特徴とするコンピュータ検査システム。 - 前記探索プログラムが前記探索プログラム実行手段に対して、
前記対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、前記実行結果として該コードを送信する処理を行わせる
請求項1に記載のコンピュータ検査システム。 - 前記不正プログラム解析手段が、
前記探索結果受信手段が受信した前記コードを試行してその動作を解析する動的解析を行う
請求項2に記載のコンピュータ検査システム。 - 前記不正プログラム解析手段が、
前記探索結果受信手段が受信した前記コードの内容を解析する静的解析を行う
請求項2又は3に記載のコンピュータ検査システム。 - 前記コンピュータ検査システムにおいて、
前記不正プログラム解析手段を、前記検査サーバ装置と通信ネットワークで接続される外部サーバ装置に配置する
請求項1ないし4のいずれかに記載のコンピュータ検査システム。 - 前記コンピュータ検査システムにおいて、
前記不正プログラム解析手段の解析結果に基づいて、その不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成手段と、該駆除プログラムを前記対象コンピュータに送信する駆除プログラム送信手段とを、それぞれ前記検査サーバ装置又は該検査サーバ装置と通信ネットワークで接続される外部サーバ装置に設け、
該対象コンピュータに、該駆除プログラム受信手段と、該駆除プログラムを実行処理する駆除プログラム実行手段とを備えた
請求項1ないし5のいずれかに記載のコンピュータ検査システム。 - 対象コンピュータ上の不正又は不審なプログラム(以下、不正プログラム)を検査サーバ装置により検査するコンピュータ検査方法であって、
該対象コンピュータ上で実行し、該検査サーバ装置における未知の不正プログラムを探索する探索プログラムを該検査サーバ装置に予め格納して用いる構成において、
該検査サーバ装置から該対象コンピュータに通信ネットワークを介して該探索プログラムを送信する探索プログラム送信ステップ、
該対象コンピュータの探索プログラム実行手段が、該探索プログラムを実行処理する探索プログラム実行ステップ、
該対象コンピュータから該検査サーバ装置に通信ネットワークを介して該探索プログラムの実行結果であるソースコード又はオブジェクトコードの少なくともいずれかのコードを送信する探索結果送信ステップ、
該検査サーバ装置の不正プログラム解析手段が、該探索結果を解析して解析結果を出力する不正プログラム解析ステップ、
該検査サーバ装置から該対象コンピュータに通信ネットワークを介して該解析結果を送信する解析結果送信ステップ
を有する
ことを特徴とするコンピュータ検査方法。 - 前記探索プログラム実行ステップにおいて、
前記探索プログラムが前記探索プログラム実行手段に対して、
前記対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、前記実行結果として該コードを送信する処理を行わせる
請求項7に記載のコンピュータ検査方法。 - 前記不正プログラム解析ステップにおいて、
前記探索結果受信手段が受信した前記コードを試行してその動作を解析する動的解析を行う
請求項8に記載のコンピュータ検査方法。 - 前記不正プログラム解析ステップにおいて、
前記探索結果受信手段が受信した前記コードの内容を解析する静的解析を行う
請求項8又は9に記載のコンピュータ検査方法。 - 前記コンピュータ検査方法において、
前記不正プログラム解析ステップの解析結果に基づいて、
駆除プログラム生成手段が、不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成ステップ、
該駆除プログラム生成手段から該対象コンピュータに通信ネットワークを介して該駆除プログラムを送信する駆除プログラム送信ステップ、
該対象コンピュータの駆除プログラム実行手段が、該駆除プログラムを実行処理する駆除プログラム実行ステップ
を有する
請求項7ないし10のいずれかに記載のコンピュータ検査方法。 - 対象コンピュータ上の不正又は不審なプログラム(以下、不正プログラム)を検査する検査サーバ装置であって、
該対象コンピュータ上で実行し、該検査サーバ装置における未知の不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段と、
該探索プログラムを該対象コンピュータに通信ネットワークを介して送信する探索プログラム送信手段と、
該探索プログラムの実行結果であるソースコード又はオブジェクトコードの少なくともいずれかのコードを受信する探索結果受信手段と、
該探索結果を解析して解析結果を出力する不正プログラム解析手段と、
該解析結果を該対象コンピュータに送信する解析結果送信手段と
を備える
ことを特徴とする検査サーバ装置。 - 前記検査サーバ装置において、
前記不正プログラム解析手段の解析結果に基づいて、その不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成手段と、
該駆除プログラムを前記対象コンピュータに送信する駆除プログラム送信手段と
を備える
請求項12に記載の検査サーバ装置。 - 前記請求項1ないし6のいずれかに記載のコンピュータ検査システムにおいて用いられ、前記検査サーバ装置から前記対象コンピュータに送信される探索プログラムであって、
該対象コンピュータの探索プログラム実行手段に対して、
該対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出させると共に、
該対象コンピュータの探索結果送信手段に対して、
検査サーバ装置に通信ネットワークを介して実行結果である該コードを送信させる
ことを特徴とする探索プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009038741A JP5440973B2 (ja) | 2009-02-23 | 2009-02-23 | コンピュータ検査システム、コンピュータ検査方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009038741A JP5440973B2 (ja) | 2009-02-23 | 2009-02-23 | コンピュータ検査システム、コンピュータ検査方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010198054A JP2010198054A (ja) | 2010-09-09 |
| JP5440973B2 true JP5440973B2 (ja) | 2014-03-12 |
Family
ID=42822757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009038741A Active JP5440973B2 (ja) | 2009-02-23 | 2009-02-23 | コンピュータ検査システム、コンピュータ検査方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5440973B2 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| TWI407328B (zh) * | 2010-09-15 | 2013-09-01 | Chunghwa Telecom Co Ltd | 網路病毒防護方法及系統 |
| JP2012083849A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検知装置、及びその方法とプログラム |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US8677493B2 (en) * | 2011-09-07 | 2014-03-18 | Mcafee, Inc. | Dynamic cleaning for malware using cloud technology |
| EP2782039B1 (en) * | 2011-11-15 | 2021-10-13 | Japan Science and Technology Agency | Program analysis/verification service provision system, control method for same, control program, control program for directing computer to function, program analysis/verification device, program analysis/verification tool management device |
| US9430640B2 (en) * | 2012-09-28 | 2016-08-30 | Intel Corporation | Cloud-assisted method and service for application security verification |
| EP2909775B1 (en) * | 2012-10-19 | 2022-01-26 | McAfee, LLC | Mobile application management |
| CN103761176A (zh) * | 2013-12-11 | 2014-04-30 | 中国广核集团有限公司 | 一种电脑巡检的方法和装置 |
| US10469531B2 (en) * | 2014-04-25 | 2019-11-05 | SecureBrain Corporation & Hitachi Systems, Ltd. | Fraud detection network system and fraud detection method |
| EP3738836B1 (en) * | 2014-09-12 | 2022-03-02 | Panasonic Intellectual Property Corporation of America | Vehicle communication device, in-vehicle network system, and vehicle communication method |
| JP2016115072A (ja) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
| CN104766006B (zh) * | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
| WO2016203759A1 (ja) * | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
| CN106686599B (zh) * | 2015-11-05 | 2020-10-20 | 创新先进技术有限公司 | 一种用于应用信息的风险管理的方法与设备 |
| GB201522315D0 (en) * | 2015-12-17 | 2016-02-03 | Irdeto Bv | Securing webpages, webapps and applications |
| US10713110B2 (en) | 2018-03-27 | 2020-07-14 | Accenture Global Solutions Limited | Automated issue detection and resolution framework for enterprise resource planning |
| JP2019185183A (ja) * | 2018-04-03 | 2019-10-24 | 積水ハウス株式会社 | 通信装置保護管理サーバおよび通信装置保護システム |
| JP7484498B2 (ja) | 2020-07-01 | 2024-05-16 | 株式会社リコー | 情報処理システム、画像形成装置、情報処理方法、およびプログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4567275B2 (ja) * | 2002-02-28 | 2010-10-20 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信端末、情報処理装置、中継サーバ装置、情報処理システム及び情報処理方法 |
| JP2004252642A (ja) * | 2003-02-19 | 2004-09-09 | Matsushita Electric Ind Co Ltd | ウイルス検出方法、ウイルス検出装置、ウイルス検出サーバ及びウイルス検出クライアント |
| JP2005092485A (ja) * | 2003-09-17 | 2005-04-07 | Nomura Research Institute Ltd | ネットワーク管理システム |
| JP4668596B2 (ja) * | 2004-12-02 | 2011-04-13 | 株式会社エヌ・ティ・ティ・ドコモ | 通信端末、サーバ装置及び監視システム |
| US20060136374A1 (en) * | 2004-12-17 | 2006-06-22 | Microsoft Corporation | System and method for utilizing a search engine to prevent contamination |
-
2009
- 2009-02-23 JP JP2009038741A patent/JP5440973B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010198054A (ja) | 2010-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5440973B2 (ja) | コンピュータ検査システム、コンピュータ検査方法 | |
| JP5083760B2 (ja) | マルウェアの類似性検査方法及び装置 | |
| US11785040B2 (en) | Systems and methods for cyber security alert triage | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| Inoue et al. | nicter: An incident analysis system toward binding network monitoring with malware analysis | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| US20100257592A1 (en) | Honey Monkey Network Exploration | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| Eto et al. | Nicter: A large-scale network incident analysis system: Case studies for understanding threat landscape | |
| Dodiya et al. | Malicious Traffic analysis using Wireshark by collection of Indicators of Compromise | |
| Nakao et al. | Practical correlation analysis between scan and malware profiles against zero-day attacks based on darknet monitoring | |
| Almarri et al. | Optimised malware detection in digital forensics | |
| JP5476578B2 (ja) | ネットワーク監視システム及びその方法 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Nakao et al. | A novel concept of network incident analysis based on multi-layer observations of malware activities | |
| Sharma et al. | Comparative analysis of open-source vulnerability assessment tools for campus area network | |
| Choi et al. | A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic | |
| Gashi et al. | A study of the relationship between antivirus regressions and label changes | |
| Nursidiq et al. | Cyber Threat Hunting to Detect Unknown Threats in the Enterprise Network | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| Meliboev | IOT NETWORK INTRUSION DETECTION SYSTEM USING MACHINE LEARNING TECHNIQUES | |
| Karie et al. | Cybersecurity Incident Response in the Enterprise | |
| US20210288991A1 (en) | Systems and methods for assessing software vulnerabilities through a combination of external threat intelligence and internal enterprise information technology data | |
| CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120123 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130507 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130520 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130603 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131112 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131206 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5440973 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |