JP6946829B2 - Programs, information processing methods and information processing equipment - Google Patents
Programs, information processing methods and information processing equipment Download PDFInfo
- Publication number
- JP6946829B2 JP6946829B2 JP2017148702A JP2017148702A JP6946829B2 JP 6946829 B2 JP6946829 B2 JP 6946829B2 JP 2017148702 A JP2017148702 A JP 2017148702A JP 2017148702 A JP2017148702 A JP 2017148702A JP 6946829 B2 JP6946829 B2 JP 6946829B2
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- information
- interface
- malware
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、プログラム、情報処理方法及び情報処理装置に関する。 The present invention relates to programs, information processing methods and information processing devices.
従来、インターネットと、セキュリティ保護の対象となる社内イントラネットの外部に設けられる特定のサーバ装置との間に接続され、社内イントラネットへの未知のコンピュータウイルスの感染を防止する装置が知られている(例えば特許文献1〜3参照)。
Conventionally, there is known a device that is connected between the Internet and a specific server device provided outside the company intranet to be secured to prevent the infection of an unknown computer virus to the company intranet (for example). See
しかしながら、従来の技術では適切にマルウェアの拡散を防止することができないという問題がある。 However, there is a problem that the conventional technology cannot appropriately prevent the spread of malware.
一つの側面では、適切にマルウェアの拡散を防止することが可能となるプログラム等を提供することにある。 One aspect is to provide a program or the like that can appropriately prevent the spread of malware.
一つの案では、情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞し、閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を前記情報処理装置の表示部に対応付けて表示する処理を前記情報処理装置に実行させる。 In one plan, when malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device, and after the detection information is output, the information processing is performed. The device blocks the interface connected to the external network, and the access destination of the first interface, process information, and the first interface that is blocked after the block is blocked, and the second interface that is different from the first interface that is not blocked. The information processing device is made to execute a process of displaying the access destination of the second interface in association with the display unit of the information processing device.
一つの側面では、適切にマルウェアの拡散を防止することが可能となる。 On one side, it is possible to adequately prevent the spread of malware.
実施の形態1
以下実施の形態を、図面を参照して説明する。図1は情報処理システムの概要を示す説明図である。情報処理システムは情報処理装置2、管理装置1及び管理装置3を含む。情報処理装置2を管理する管理装置1は例えば、サーバコンピュータまたはパーソナルコンピュータ等である。実施形態では管理装置1をサーバコンピュータ1と読み替えて説明する。情報処理装置2は例えば、パーソナルコンピュータ、スマートフォン、携帯電話機またはタブレット等である。以下では情報処理装置2をコンピュータ2と読み替えて説明する。
Hereinafter, embodiments will be described with reference to the drawings. FIG. 1 is an explanatory diagram showing an outline of an information processing system. The information processing system includes an
サーバコンピュータ1を通じて、コンピュータ2を管理する管理装置3はパーソナルコンピュータ、スマートフォン、携帯電話機またはタブレット等である。サーバコンピュータ1、各コンピュータ2及び端末装置3は外部ネットワークであるインターネット、LAN(Local Area Network)、Wi-Fi網、Bluetooth(登録商標)等の近距離無線通信網、公衆回線網等の通信網Nを介して相互に接続されている。なお、実施形態1ではサーバコンピュータ1と管理装置3の2つを設ける例を示したが、サーバコンピュータ1または管理装置3のいずれか一つでコンピュータ2を管理するようにしても良い。
The
コンピュータ2はインストールされたウィルス対策ソフトウェアによりマルウェアを検知する。コンピュータ2はマルウェアを検知した場合、マルウェアを検知したことを示す検知情報をサーバコンピュータ1へ送信する。その後コンピュータ2は、外部ネットワークである通信網Nと接続するためのインタフェースを閉塞する。サーバコンピュータ1は検知情報を管理者の管理装置3へ送信する。以下詳細を説明する。
The
図2はコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2は制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、時計部28、及び、通信部26等を含む。CPU21は、バス27を介してハードウェア各部と接続されている。CPU21は記憶部25に記憶された制御プログラム25P及びOS(Operating System)251に従いハードウェア各部を制御する。なお、CPU21は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM22は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM22は、記憶部としても機能し、CPU21による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
FIG. 2 is a block diagram showing a hardware group of the
入力部23はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU21へ出力する。表示部24は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU21の指示に従い各種情報を表示する。通信部26はインタフェースである通信モジュールであり、サーバコンピュータ1等と間で情報の送受信を行う。通信部26は例えば、通信網Nに接続されるLANモジュール261、Wi-Fiモジュール等の無線通信部262、及び、Bluetooth規格に基づく近距離通信、または赤外線通信等を行う近距離通信モジュールである近距離通信部263である。時計部28は日時情報をCPU21へ出力する。記憶部25は大容量メモリまたはハードディスクであり、制御プログラム25P等を記憶している。
The
CPU21は、記憶部25に記憶したウィルス対策ソフトウェアによりマルウェアを検知する。CPU21は、マルウェアを検知した場合、LANモジュール261を介してサーバコンピュータ1へマルウェアを検知したことを示す検知情報を送信する。CPU21は、その後、LANモジュール261、無線通信部262及び近距離通信部263を含むすべてのインタフェースを閉塞する。具体的には、OS251から通信部26へインタフェースの閉塞を命じるコマンドを出力する。この場合、閉塞命令により、各通信部26の送受信が禁止され、または、電源供給が遮断され、情報の送受信が不可能となる。その他、閉塞命令を受けた場合、各通信部26は、各通信部26からの情報の送信先を、書き換える処理を行うことによって、通信を不能にしてもよい。
The
CPU21は、閉塞を行った後に、表示部24にアクセス先、プロセス情報及び通信部26を閉塞した閉塞日時を表示部24に表示する。図3は報告情報の表示イメージを示す説明図である。CPU21は、報告情報としてコンピュータ2のIPアドレス、マルウェアの検知日時、検知したマルウェア、及び通信部26の閉塞日時を表示部24に表示する。CPU21は、ウィルス対策ソフトウェアから出力された日時を検知日時として表示する。また通信部26の閉塞が完了した段階で時計部28の出力を参照し、閉塞日時を表示する。
After the blockage is performed, the
さらにCPU21は、RAM22または記憶部25に記憶された過去の通信ログに基づき、プロトコル、ローカルアドレス、外部アドレス及びプロセス情報等を表示する。プロトコルとしてはTCP(Transmission Control Protocol)等の通信の種別が表示される。プロセス情報は、実行ファイルであるXX.exe、System等のプロセスを特定するための情報が表示される。ローカルアドレスはプロセス実行時のコンピュータ2のIPアドレスである。外部アドレスとしては、プロセス実行時のアクセス先のIPアドレスまたはURL等が表示される。
Further, the
図4はサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1は制御部としてのCPU11、RAM12、入力部13、表示部14、記憶部15、時計部18、及び、通信部16等を含む。CPU11は、バス17を介してハードウェア各部と接続されている。CPU11は記憶部15に記憶された制御プログラム15Pに従いハードウェア各部を制御する。なお、CPU11は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM12は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM12は、記憶部としても機能し、CPU11による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
FIG. 4 is a block diagram showing a hardware group of the
入力部13はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU11へ出力する。表示部14は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU11の指示に従い各種情報を表示する。通信部16は通信モジュールであり、コンピュータ2等と間で情報の送受信を行う。時計部18は日時情報をCPU11へ出力する。記憶部15は大容量メモリまたはハードディスクであり、制御プログラム15P等を記憶している。
The
また実施形態では、サーバコンピュータ1は単体のものとして説明するがこれに限るものではない。例えば物理的に複数のサーバコンピュータ1、1、・・・により構成されていてもよく、また複数の仮想マシンにより構成されていてもよい。サーバコンピュータ1のCPU11は、コンピュータ2から検知情報及びコンピュータ2を特定するための識別情報を受信する。
Further, in the embodiment, the
コンピュータ1は、検知情報を送信したコンピュータ2に対しpingコマンド等の応答要求コマンドを出力する。CPU11は、応答要求コマンドに対する応答がない場合、コンピュータ2の通信部26の閉塞が完了したと判断する。CPU11は、受信した識別情報、検知情報及びコンピュータ2の通信部26が閉塞したことを示す閉塞情報を端末装置3へ送信する。なお、識別情報は、例えばコンピュータ名、IPアドレス、またはMAC(Media Access Control)アドレス等であればよい。本実施形態ではコンピュータ名であるものとして説明する。また、実施形態では検知情報及び閉塞情報を管理装置3に送信する例を示すがこれに限るものではない。CPU11は、検知情報または閉塞情報のいずれかを送信するようにしても良い。
The
図5は端末装置3のハードウェア群を示すブロック図である。端末装置3は制御部としてのCPU31、RAM32、入力部33、表示部34、記憶部35、時計部38、及び、通信部36等を含む。CPU31は、バス37を介してハードウェア各部と接続されている。CPU31は記憶部35に記憶された制御プログラム35Pに従いハードウェア各部を制御する。なお、CPU31は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM32は例えばSRAM、DRAM、フラッシュメモリ等である。RAM32は、記憶部としても機能し、CPU31による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
FIG. 5 is a block diagram showing a hardware group of the
入力部33はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU31へ出力する。表示部34は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU31の指示に従い各種情報を表示する。通信部36は通信モジュールであり、サーバコンピュータ1等と間で情報の送受信を行う。時計部38は日時情報をCPU31へ出力する。記憶部35は大容量メモリまたはハードディスクであり、制御プログラム35P及び状態DB351等を記憶している。
The
図6は状態DB351のレコードレイアウトを示す説明図である。状態DB351は、監視対象端末フィールド、検知情報フィールド及び閉塞情報フィールド等を含む。監視対象端末フィールドには、監視対象となっているコンピュータ2のコンピュータ名が記憶されている。検知情報フィールドには、コンピュータ名に対応付けて検知情報を受信したか否かの情報が記憶されている。閉塞情報フィールドには、コンピュータ名に対応付けて対応するコンピュータ2の通信部26が閉塞されているか否かの情報が記憶されている。
FIG. 6 is an explanatory diagram showing a record layout of the
図6の例では端末2は検知情報が未検知であり、閉塞情報が非閉塞と記憶されている。一方、端末1はマルウェアの検知に伴い、検知情報は検知と記憶されており、閉塞情報も閉塞と記憶されている。端末装置3のCPU31は、サーバコンピュータ1からコンピュータ名、検知情報及び閉塞情報を受信した場合、状態DB351にコンピュータ名に対応付けて検知情報を非検知から検知へと変更し、閉塞情報を非閉塞から閉塞へ変更する。
In the example of FIG. 6, the detection information is not detected in the
図7は閉塞状態の表示イメージを示す説明図である。管理装置3のCPU31は、状態DB351を参照し、表示部34にコンピュータ名、検知情報及び閉塞情報を表示する。
FIG. 7 is an explanatory diagram showing a display image of a blocked state. The
以上のハードウェア群において、各種ソフトウェア処理を、フローチャートを用いて説明する。図8及び図9は検知情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS81)。CPU21は、検知していないと判断した場合(ステップS81でNO)、ステップS81の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS81でYES)、処理をステップS82へ移行させる。
In the above hardware group, various software processes will be described with reference to a flowchart. 8 and 9 are flowcharts showing the output processing procedure of the detection information. The
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS82)。CPU21は、通信部26を閉塞すべき旨のOSコマンドを発行し通信部26を閉塞する(ステップS84)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS83)。CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS85)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS86)。CPU11は、応答があると判断した場合(ステップS86でNO)、処理をステップS85へ戻し、処理を繰り返す。
The
CPU11は、応答がないと判断した場合(ステップS86でYES)、処理をステップS87へ移行させる。CPU11は、管理装置3へコンピュータ名、検知情報、及び閉塞情報を送信する(ステップS87)。管理装置3のCPU31は、コンピュータ名、検知情報及び閉塞情報を受信する(ステップS88)。CPU31は、コンピュータ名、検知情報及び閉塞情報を、状態DB351に記憶する(ステップS89)。CPU31は、状態DB351に記憶したコンピュータ名、検知情報及び閉塞情報を表示部34に表示する(ステップS91)。
When the
コンピュータ2は報告情報として、IPアドレス、マルウェア検知日時、及び検知したマルウェアを表示部24に表示する(ステップS92)。マルウェア検知日時及び検知したマルウェアに関しては、ウィルス対策ソフトウェアから出力される情報をもとに表示すれば良い。CPU21は、RAM22に記憶したプロセス情報、各プロセス時におけるプロトコル、ローカルアドレス及び外部アドレスの時系列データを表示部24に表示する(ステップS93)。これにより、マルウェアの拡散を未然に防止することができる。またOSコマンドを利用することで、適切に通信部26の閉塞を行うことが可能となる。またコンピュータ2側においてユーザがマルウェア検知時の状態を容易に把握することが可能となる。さらに、管理装置3側においても現在の検知及び閉塞状況を適切に把握することが可能となる。
The
実施の形態2
実施の形態2はセキュリティポリシーに基づき閉塞する通信部26を決定する形態に関する。図10は実施の形態2に係るサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15にセキュリティポリシーテーブル352が新たに設けられている。図11は実施の形態2に係るハードウェア群を示すブロック図である。記憶部25にセキュリティポリシーテーブル252が新たに設けられている。
The second embodiment relates to a mode for determining a
図12はセキュリティポリシーテーブル352のレコードレイアウトを示す説明図である。セキュリティポリシーテーブル352は、IDフィールド及びポリシーフィールド等を含む。IDフィールドには、検知したマルウェアに対応するイベントを特定するための識別情報(ID)が記憶されている。図12の例では、IDとして「M01」、「M02」が記憶されている。例えばマルウェアAに対してはID「M01」が発行され、マルウェアAとは異なるマルウェアBについてはID「M02」が発行される。ポリシーフィールドには、通信部26の種類ごとに、IDに対応付けて閉塞または非閉塞の情報が記憶されている。
FIG. 12 is an explanatory diagram showing a record layout of the security policy table 352. The security policy table 352 includes an ID field, a policy field, and the like. In the ID field, identification information (ID) for identifying an event corresponding to the detected malware is stored. In the example of FIG. 12, "M01" and "M02" are stored as IDs. For example, the ID "M01" is issued to the malware A, and the ID "M02" is issued to the malware B different from the malware A. In the policy field, blocked or non-blocked information is stored in association with the ID for each type of
図12の例では、LANモジュール261、無線通信部262、および、近距離通信部263についてIDに対応付けて、閉塞または非閉塞の情報が記憶されている。例えばID「M01」については、LANモジュール261は閉塞、無線通信部262は閉塞、近距離通信部263は非閉塞と記憶されている。またID「M02」については、本実施形態ではLANモジュール261、無線通信部262、および、近距離通信部263の全てが非閉塞と記憶されている。このセキュリティポリシーテーブル352の記憶内容は、入力部33を通じて管理者が適宜変更することができる。
In the example of FIG. 12, blocked or non-blocked information is stored in association with the ID of the
管理装置3で作成したセキュリティポリシーテーブル352の記憶内容はサーバコンピュータ1およびコンピュータ2へ送信される。コンピュータ2のCPU21は、管理装置3からセキュリティポリシーテーブル352の記憶内容が送信された場合、同様の内容をセキュリティポリシーテーブル252に記憶する。CPU21は、マルウェアを検知した場合、ウィルス対策ソフトウェアから出力されるマルウェアに対応して発行されたIDを取得する。CPU21は、セキュリティポリシーテーブル252を参照し、IDに対応する各通信部26の閉塞または非閉塞の情報を読み出す。CPU21は、読み出した情報に基づき、各通信部26を閉塞または非閉塞とする。なお、セキュリティポリシーテーブルをサーバコンピュータ1の記憶部15に記憶するようにしてもよい。
The stored contents of the security policy table 352 created by the
図13及び図14は閉塞処理の手順を示すフローチャートである。管理装置3のCPU31は、入力部33を通じてセキュリティポリシーを受け付け、受け付けたセキュリティポリシーをセキュリティポリシーテーブル352に記憶する(ステップS131)。CPU31は、コンピュータ2へセキュリティポリシーテーブル352に記憶したセキュリティポリシーを送信する(ステップS132)。CPU21は、送信されたセキュリティポリシーを受信し、セキュリティポリシーテーブル252に記憶する(ステップS133)。
13 and 14 are flowcharts showing the procedure of the blocking process. The
コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS134)。CPU21は、検知していないと判断した場合(ステップS134でNO)、ステップS134の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS134でYES)、処理をステップS135へ移行させる。
The
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS135)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS136)。
The
CPU21は、マルウェア名に対応して発行されたIDに対応するセキュリティポリシーを、セキュリティポリシーテーブル252から読み出す(ステップS137)。CPU21は、セキュリティポリシーに応じて各通信部26を閉塞、または非閉塞とする(ステップS138)。具体的には、CPU21は、閉塞対象とする通信部26に対し、OSコマンドを個別に発行する。通信部26は閉塞すべき旨のOSコマンドを受け付けた場合に、閉塞処理を行う。
The
サーバコンピュータ1のCPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS139)。以降の処理は実施の形態1で述べたとおりであるので詳細な説明は省略する。これにより、セキュリティポリシーに応じて閉塞対象とする通信部26を特定した運用が可能となる。
The
実施の形態3
実施の形態3は、閉塞した通信部26及びアクセス先を表示する形態に関する。図15は表示処理手順を示すフローチャートである。CPU21は、セキュリティポリシーに基づき閉塞した通信部26のマルウェア検知時のアクセス先を取得する(ステップS151)。またCPU21は、閉塞した通信部26の閉塞時のアクセス先を取得する(ステップS152)。図3に示す報告情報について説明したように、CPU21は、通信時のプロトコル、ローカルアドレス、アクセス先及びプロセス情報等を時系列でRAM22に記憶しており、マルウェア検知時におけるアクセス先及び閉塞時におけるアクセス先を読み出す。なお、実施形態ではアクセス先はIPアドレスであるものとするが、URL、MACアドレス等であってもよい。
The third embodiment relates to a form in which the blocked
CPU21は、閉塞した通信部26を表示部24に表示する(ステップS153)。CPU21は、マルウェア検知時のアクセス先及び閉塞時のアクセス先を表示部24に、閉塞した通信部26に対応付けて表示する(ステップS154)。図16は閉塞状態のイメージを示す説明図である。図16の例では閉塞状況が示されており、閉塞している通信部26が、LANモジュール261及び無線通信部262であることが分かる。またLANモジュール261についてはマルウェア検知時のアクセス先及び閉塞時のアクセス先がそれぞれ表示されている。同様に無線通信部262のマルウェア検知時のアクセス先及び閉塞時のアクセス先が表示されている。なお、マルウェア検知時のアクセス先及び閉塞時のアクセス先の双方を記載する例を示したが、いずれか一方でもよい。
The
続いてCPU21は、閉塞していない通信部26及びアクセス先を表示する(ステップS155)。図16の例では、閉塞していない通信部26として近距離通信部263が表示されており、通信中のアクセス先が同時に表示されている。これにより、閉塞状況を容易に把握することが可能となる。またマルウェア検知時または閉塞時のアクセス先を容易に特定することが可能となる。
Subsequently, the
本実施の形態3は以上の如きであり、その他は実施の形態1または2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The third embodiment is as described above, and the other parts are the same as those of the first or second embodiment. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.
実施の形態4
実施の形態4は閉塞を解除したことを示す解除情報を表示する形態に関する。図17は実施の形態4に係るサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15にはさらに状態DB151が設けられている。
The fourth embodiment relates to a mode in which release information indicating that the blockage has been released is displayed. FIG. 17 is a block diagram showing a hardware group of the
図18は状態DB151のレコードレイアウトを示す説明図である。状態DB151は、監視対象端末フィールド、検知情報フィールド、日時フィールド、閉塞情報フィールド及び解除情報フィールド等を含む。監視対象端末フィールドには、同一ネットワークに属するコンピュータ2のコンピュータ名が記憶されている。なお、具体的にはIPアドレスのうち、相互に同一のネットワークアドレスを有するコンピュータ2、2・・・のコンピュータ名が、同一ネットワークに属するコンピュータ2として記憶されている。なお、オペレータが入力部13または通信部16を介して同一ネットワークに属するコンピュータ2を状態DB151に登録するようにしてもよい。また同一セグメントに属するコンピュータ2、2・・・だけではなく、あらかじめ特定した複数のセグメントに属するコンピュータ2、2・・・を同一ネットワークに属するコンピュータ2として登録としても良い。また本実施形態では他のネットワークに属するコンピュータ2の閉塞情報及び解除情報を記憶するようにしてもよい。
FIG. 18 is an explanatory diagram showing a record layout of the
検知情報フィールドには、コンピュータ名に対応付けてマルウェアを検知したか否かの情報が記憶されている。日時フィールドには、コンピュータ名に対応付けて、マルウェアを検知した検知日時または閉塞を解除した閉塞日時が記憶されている。なお、マルウェアの検知日時に代えて閉塞した日時を記憶するようにしてもよい。閉塞情報フィールドには、コンピュータ名及び検知日時に対応付けて閉塞または非閉塞の情報が記憶されている。解除情報フィールドには、コンピュータ名及び解除日時に対応付けて解除したか否かの情報が記憶されている。 In the detection information field, information on whether or not malware has been detected is stored in association with the computer name. In the date and time field, the date and time when malware was detected or the date and time when the block was released is stored in association with the computer name. It should be noted that the date and time of the blockage may be stored instead of the date and time when the malware was detected. In the blockage information field, blocked or non-blocked information is stored in association with the computer name and the detection date and time. In the release information field, information on whether or not the release is made is stored in association with the computer name and the release date and time.
図19及び図20は閉塞情報及び解除情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS191)。CPU21は、検知していないと判断した場合(ステップS191でNO)、ステップS191の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS191でYES)、処理をステップS192へ移行させる。
19 and 20 are flowcharts showing the output processing procedure of the blockage information and the release information. The
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS192)。CPU21は、通信部26を閉塞する(ステップS195)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS193)。CPU11は、コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS194)。なお、検知日時は検知情報を受信時に時計部18から出力された日時の他、コンピュータ2から検知情報とともに送信された検知日時を用いてもよい。
The
CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS196)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS197)。CPU11は、応答があると判断した場合(ステップS197でNO)、処理をステップS196へ戻し、処理を繰り返す。
The
CPU11は、応答がないと判断した場合(ステップS197でYES)、処理をステップS198へ移行させる。CPU11は、閉塞情報をコンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS198)。その後、コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。CPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS199)。
When the
CPU21は、解除処理を受け付けていないと判断した場合(ステップS199でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS199でYES)、処理をステップS201へ移行させる。CPU21は、コンピュータ名、解除情報をサーバコンピュータ1へ送信する(ステップS201)。CPU21は、通信部26の閉塞を解除する(ステップS2011)。サーバコンピュータ1のCPU11は、コンピュータ名及び解除情報を受信する(ステップS202)。CPU11は、コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS203)。
When the
CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS204)。なお、状態DB151の記憶内容は、記憶内容について更新がある度に、または、所定時間毎に管理装置3へ送信するようにしてもよい。また、CPU11は、解除情報を記憶してから、数日経過した場合、当該コンピュータ名に関するレコードを消去し、検知情報として未検知、閉塞情報を非閉塞と書き換えるようにしてもよい。
The
管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS205)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS206)。図21は閉塞情報及び解除情報の表示イメージを示す説明図である。CPU31は、管理者の入力部23を通じた表示指示を受け付けた場合、記憶部35に記憶した状態DB151の内容を読み出し、表示部34に表示する。具体的には、CPU11は、コンピュータ名、検知情報、日時、閉塞情報及び解除情報を表示する。
The
CPU31は、閉塞中のコンピュータ名が存在する場合、閉塞中のコンピュータ名を抽出して、注意を喚起する情報を表示するようにしてもよい。図21の例では「端末1が閉塞中です。」と閉塞中のコンピュータ名が抽出されて表示されている。これにより、管理者は同一ネットワークに属するコンピュータ2の閉塞、解除状態を容易に確認することができる。
When the blocked computer name exists, the
本実施の形態4は以上の如きであり、その他は実施の形態1から3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The fourth embodiment is as described above, and the other parts are the same as those of the first to third embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.
実施の形態5
実施の形態5は予防的に閉塞する形態に関する。図22は状態DB151のレコードレイアウトを示す説明図である。状態DB151の閉塞情報フィールドには、閉塞及び予防閉塞の2つが記憶されている。予防閉塞は、マルウェアを検知したコンピュータ2(以下、場合により第1コンピュータ2という)を通じて検知情報を取得した同一ネットワークに属する他のコンピュータ2(以下、場合により第2コンピュータ2という)が予防的に閉塞したことを示す。
図22の例では端末1がマルウェアを検知し通信部26を閉塞している。端末2及び端末3は、端末1からの検知情報を通じて通信部26を予防的に閉塞していることを示す。なお、その他の記憶内容は他の実施形態と同様であるので詳細な説明は省略する。
In the example of FIG. 22, the
図23から図26は閉塞処理の手順を示すフローチャートである。第1コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS231)。CPU21は、検知していないと判断した場合(ステップS231でNO)、ステップS231の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS231でYES)、処理をステップS232へ移行させる。
23 to 26 are flowcharts showing the procedure of the blocking process. The
CPU21は、検知情報及び第1コンピュータ名を第2コンピュータ2及びサーバコンピュータ1へ送信する(ステップS232)。具体的には、第1コンピュータ2のCPU21は、記憶部25にあらかじめ記憶した同一ネットワークに属するコンピュータ2のアドレスを読み出し、読み出したコンピュータ2へ第1コンピュータ名及び検知情報を送信すればよい。そのほか、検知情報及び第1コンピュータ名を受信したサーバコンピュータ1または管理装置3から、同一ネットワークアドレスを有する第2コンピュータ2へ検知情報及び第1コンピュータ名を送信するようにしてもよい。
The
第1コンピュータ2のCPU21は、通信部26を閉塞する(ステップS233)。第2コンピュータ2のCPU21は、検知情報及び第1コンピュータ名を受信する(ステップS234)。サーバコンピュータ1のCPU11は、検知情報及び第1コンピュータ名を受信する(ステップS235)。CPU11は、第1コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS236)。
The
サーバコンピュータ1のCPU11は、第1コンピュータ2へ応答要求コマンドを送信する(ステップS237)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS238)。CPU11は、応答があると判断した場合(ステップS238でNO)、処理をステップS237へ戻し、処理を繰り返す。
The
CPU11は、応答がないと判断した場合(ステップS238でYES)、処理をステップS239へ移行させる。CPU11は、閉塞情報を第1コンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS239)。
When the
第2コンピュータ2のCPU21は、第2コンピュータ名及び予防閉塞情報を、サーバコンピュータ1へ送信する(ステップS241)。第2コンピュータ2のCPU21は、通信部26を閉塞する(ステップS242)。これにより、同一ネットワークに属する複数のコンピュータ2の通信部26が閉塞されることとなる。
The
サーバコンピュータ1のCPU11は、第2コンピュータ名及び予防閉塞情報を受信する(ステップS243)。サーバコンピュータ1のCPU11は、第2コンピュータ2へ応答要求コマンドを送信する(ステップS2431)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS2432)。CPU11は、応答があると判断した場合(ステップS2432でNO)、処理をステップS2431へ戻し、処理を繰り返す。CPU11は、応答がないと判断した場合(ステップS2432でYES)、処理をステップS244へ移行させる。CPU11は、第2コンピュータ名、閉塞日時及び予防閉塞情報を状態DB151に記憶する(ステップS244)。なお、閉塞日時に代えて、ステップS236で記憶した検知日時を記憶するようにしてもよい。その後、第1コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。第1コンピュータ2のCPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS245)。
The
CPU21は、解除処理を受け付けていないと判断した場合(ステップS245でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS245でYES)、処理をステップS246へ移行させる。第1コンピュータ2のCPU21は、第1コンピュータ名、解除情報を第2コンピュータ2及びサーバコンピュータ1へ送信する(ステップS246)。CPU21は、通信部26の閉塞を解除する(ステップS247)。
When the
第2コンピュータ2のCPU21は、第1コンピュータ名及び解除情報を受信する(ステップS248)。CPU21は、通信部26の閉塞を解除する(ステップS249)。CPU21は、第2コンピュータ名及び解除情報を送信する(ステップS251)。サーバコンピュータ1のCPU11は、第1コンピュータ名、第2コンピュータ名及び解除情報を受信する(ステップS252)。CPU11は、各コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS253)。
The
CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS254)。管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS255)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS256)。これにより、同一ネットワークに属するコンピュータ2へのマルウェアの拡散を未然に予防することが可能となる。また権利者はどのコンピュータ2が閉塞したのか、どのコンピュータ2が予防的に閉塞したのかを把握することが可能となる。
The
本実施の形態5は以上の如きであり、その他は実施の形態1から4と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The fifth embodiment is as described above, and the other parts are the same as those of the first to fourth embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.
実施の形態6
図27は上述した形態のコンピュータ2の機能ブロック図である。CPU21が制御プログラム25Pを実行することにより、コンピュータ2は以下のように動作する。出力部271は、マルウェアを検知した場合、管理装置3へ前記マルウェアを検知したことを示す検知情報を出力する。閉塞部272は、前記検知情報を出力した後に、外部ネットワークと接続する通信部26を閉塞する。
FIG. 27 is a functional block diagram of the
図28は上述した形態のサーバコンピュータ1の動作を示す機能ブロック図である。CPU11が制御プログラム15Pを実行することにより、サーバコンピュータ1は以下のように動作する。取得部281は、マルウェアを検知した場合に、外部ネットワークと接続する通信部26を閉塞するコンピュータ2から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得する。出力部282は、検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する。
FIG. 28 is a functional block diagram showing the operation of the
図29は実施の形態6に係るコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2を動作させるためのプログラムは、ディスクドライブ、メモリーカードスロット等の読み取り部20AにCD−ROM、DVDディスク、メモリーカード、またはUSBメモリ等の可搬型記録媒体2Aを読み取らせて記憶部25に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ2Bをコンピュータ2内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。
FIG. 29 is a block diagram showing a hardware group of the
図29に示すコンピュータ2は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体2Aまたは半導体メモリ2Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム25Pとしてインストールされ、RAM22にロードして実行される。これにより、上述したコンピュータ2として機能する。
The
図30は実施の形態6に係るサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1を動作させるためのプログラムは、ディスクドライブ、メモリーカードスロット等の読み取り部10AにCD−ROM、DVDディスク、メモリーカード、またはUSBメモリ等の可搬型記録媒体1Aを読み取らせて記憶部15に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ1Bをコンピュータ1内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。
FIG. 30 is a block diagram showing a hardware group of the
図30に示すサーバコンピュータ1は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体1Aまたは半導体メモリ1Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム15Pとしてインストールされ、RAM12にロードして実行される。これにより、上述したサーバコンピュータ1として機能する。
The
本実施の形態6は以上の如きであり、その他は実施の形態1から5と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The sixth embodiment is as described above, and the other parts are the same as those of the first to fifth embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.
実施の形態7
実施の形態7はサーバコンピュータ1にて状態DB151を設ける形態に関する。実施の形態1では、状態DB353を管理装置3に設ける例を示したが、状態DB151をサーバコンピュータ1に設けても良い。図31及び図32は検知情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS311)。CPU21は、検知していないと判断した場合(ステップS311でNO)、ステップS311の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS311でYES)、処理をステップS312へ移行させる。
The seventh embodiment relates to a mode in which the
CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS312)。CPU21は、通信部26を閉塞すべき旨のOSコマンドを発行し通信部26を閉塞する(ステップS314)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS313)。CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS315)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS316)。CPU11は、応答があると判断した場合(ステップS316でNO)、処理をステップS315へ戻し、処理を繰り返す。
The
CPU11は、応答がないと判断した場合(ステップS316でYES)、処理をステップS317へ移行させる。CPU11は、コンピュータ名、検知情報及び閉塞情報を、状態DB151に記憶する(ステップS317)。CPU11は、管理装置3へコンピュータ名、検知情報、及び閉塞情報を送信する(ステップS318)。管理装置3のCPU31は、コンピュータ名、検知情報及び閉塞情報を受信する(ステップS319)。CPU31は、受信したコンピュータ名、検知情報及び閉塞情報を表示部34に表示する(ステップS321)。
When the
コンピュータ2は報告情報として、IPアドレス、マルウェア検知日時、及び検知したマルウェアを表示部24に表示する(ステップS322)。マルウェア検知日時及び検知したマルウェアに関しては、ウィルス対策ソフトウェアから出力される情報をもとに表示すれば良い。CPU21は、RAM22に記憶したプロセス情報、各プロセス時におけるプロトコル、ローカルアドレス及び外部アドレスの時系列データを表示部24に表示する(ステップS323)。これにより、マルウェアの拡散を未然に防止することが可能となる。
The
本実施の形態7は以上の如きであり、その他は実施の形態1から6と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The seventh embodiment is as described above, and the other parts are the same as those of the first to sixth embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.
実施の形態8
実施の形態8は検知情報を、サーバコンピュータ1を通じて他のコンピュータ2へ送信する形態に関する。図33から図37は閉塞処理の手順を示すフローチャートである。第1コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS331)。CPU21は、検知していないと判断した場合(ステップS331でNO)、ステップS331の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS331でYES)、処理をステップS332へ移行させる。
The eighth embodiment relates to a mode in which the detection information is transmitted to another
CPU21は、検知情報及び第1コンピュータ名をサーバコンピュータ1へ送信する(ステップS332)。第1コンピュータ2のCPU21は、通信部26を閉塞する(ステップS333)。サーバコンピュータ1のCPU11は、検知情報及び第1コンピュータ名を受信する(ステップS334)。CPU11は、第1コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS335)。
The
サーバコンピュータ1のCPU11は、第1コンピュータ2へ応答要求コマンドを送信する(ステップS336)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS337)。CPU11は、応答があると判断した場合(ステップS337でNO)、処理をステップS336へ戻し、処理を繰り返す。
The
CPU11は、応答がないと判断した場合(ステップS337でYES)、処理をステップS338へ移行させる。CPU11は、閉塞情報を第1コンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS338)。
When the
CPU11は、第1コンピュータ2と同一ネットワークに属する第2コンピュータ2へ通信部26を閉塞させることを示す閉塞命令を出力する(ステップS339)。第2コンピュータ2のCPU21は、閉塞命令を受信する(ステップS341)。CPU21は、第2コンピュータ名及び予防閉塞情報を、サーバコンピュータ1へ送信する(ステップS342)。第2コンピュータ2のCPU21は、通信部26を閉塞する(ステップS343)。なお、実施形態では説明を容易にするために、一つの第2コンピュータ2に閉塞命令を出力する例を示したがこれに限るものではない。複数の他の第3コンピュータ2、第4コンピュータ2・・・等へ同様に閉塞命令を出力してもよい。これにより、同一ネットワークに属する複数のコンピュータ2の通信部26が閉塞されることとなる。
The
サーバコンピュータ1のCPU11は、第2コンピュータ名及び予防閉塞情報を受信する(ステップS344)。サーバコンピュータ1のCPU11は、第2コンピュータ2へ応答要求コマンドを送信する(ステップS345)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS346)。CPU11は、応答があると判断した場合(ステップS346でNO)、処理をステップS345へ戻し、処理を繰り返す。CPU11は、応答がないと判断した場合(ステップS346でYES)、処理をステップS347へ移行させる。CPU11は、第2コンピュータ名、閉塞日時及び予防閉塞情報を状態DB151に記憶する(ステップS347)。その後、第1コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。第1コンピュータ2のCPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS348)。
The
CPU21は、解除処理を受け付けていないと判断した場合(ステップS348でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS348でYES)、処理をステップS349へ移行させる。第1コンピュータ2のCPU21は、第1コンピュータ名、解除情報をサーバコンピュータ1へ送信する(ステップS349)。CPU21は、通信部26の閉塞を解除する(ステップS351)。
When the
サーバコンピュータ1のCPU11は、第1コンピュータ名及び解除情報を受信する(ステップS352)。CPU11は解除命令を第2コンピュータ2へ送信する(ステップS353)。第2コンピュータ2のCPU21は解除命令を受信する(ステップS354)。第2コンピュータ2のCPU21は通信部26の閉塞を解除する(ステップS355)。CPU21は第2コンピュータ名及び解除情報を送信する(ステップS356)。CPU11は第2コンピュータ名及び解除情報を受信する(ステップS357)。CPU11は、各コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS358)。
The
CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS359)。管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS361)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS362)。これにより、同一ネットワークに属するコンピュータ2間でのマルウェアの拡散を未然に防止することが可能となる。また解除もコンピュータ2間で容易に実行することが可能となる。
The
本実施の形態8は以上の如きであり、その他は実施の形態1から7と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。なお、以上述べた各実施形態は適宜組み合わせることが可能である。 The eighth embodiment is as described above, and the other parts are the same as those of the first to seventh embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted. It should be noted that each of the above-described embodiments can be combined as appropriate.
以上の実施の形態1から8を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞する
処理を前記情報処理装置に実行させるプログラム。
(付記2)
あらかじめ記憶されたセキュリティポリシーを参照し、検知したマルウェアに応じて、複数のインタフェースの内閉塞するインタフェースを決定する
付記1に記載のプログラム。
(付記3)
OSコマンドの発行により閉塞する処理を行う
付記1または2に記載のプログラム。
(付記4)
閉塞を行った後に、アクセス先、プロセス情報及び前記インタフェースを閉塞した日時を含む報告情報を出力する
付記1から3のいずれか一つに記載のプログラム。
(付記5)
閉塞を行った後に閉塞したインタフェース及びアクセス先を出力する
付記1から4のいずれか一つに記載のプログラム。
(付記6)
閉塞を行った後に閉塞したインタフェース及びアクセス先と、閉塞を行っていないインタフェース及びアクセス先を出力する
付記1から4のいずれか一つに記載のプログラム。
(付記7)
同一のネットワークに属する他の情報処理装置を通じて検知情報を取得し、
前記検知情報を取得した場合に、前記インタフェースを閉塞する
付記1から6のいずれか一つに記載のプログラム。
(付記8)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得し、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する
処理をコンピュータに実行させるプログラム。
(付記9)
前記情報処理装置を特定するための識別情報、前記検知情報及び閉塞情報を出力する
付記8に記載のプログラム。
(付記10)
前記情報処理装置からインタフェースの閉塞を解除したことを示す解除情報を取得し、
前記解除情報を取得した場合、前記情報処理装置の識別情報及び解除情報を出力する
付記8または9に記載のプログラム。
(付記11)
前記情報処理装置と同一のネットワークに属する他の情報処理装置から前記検知情報を取得し、
前記他のコンピュータの識別情報、検知情報及び閉塞情報を出力する
付記8から10のいずれか一つに記載のプログラム。
(付記12)
前記他の情報処理装置からインタフェースの閉塞を解除したことを示す第2解除情報を取得し、
前記第2解除情報を取得した場合、前記他の情報処理装置の識別情報及び前記第2解除情報を出力する
付記11に記載のプログラム。
(付記13)
同一のネットワークに属する他の情報処理装置から検知情報を取得したことに伴い、前記情報処理装置のインタフェースを閉塞することを示す第2閉塞情報を、前記情報書処理装置から取得した場合に、前記情報処置装置の識別情報及び第2閉塞情報を出力する
付記8から12のいずれか一つに記載のプログラム。
(付記14)
前記情報処理装置から検知情報を取得した場合に、該情報処理装置と同一のネットワークに属する他の情報処理装置へインタフェースを閉塞させる閉塞命令を出力する
付記8から12のいずれか一つに記載のプログラム。
(付記15)
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞する
処理を前記情報処理装置に実行させる情報処理方法。
(付記16)
マルウェアを検知した場合、管理装置へ前記マルウェアを検知したことを示す検知情報を出力する出力部と、
前記検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する閉塞部と
を備える情報処理装置。
(付記17)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得し、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する
処理をコンピュータに実行させる情報処理方法。
(付記18)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得する取得部と、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する出力部と
を備える情報処理装置。
The following additional notes will be further disclosed with respect to the embodiments including the
(Appendix 1)
When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
A program that causes the information processing device to execute a process of blocking an interface connected to an external network by the information processing device after outputting the detection information.
(Appendix 2)
The program described in
(Appendix 3)
The program according to
(Appendix 4)
The program according to any one of
(Appendix 5)
The program according to any one of
(Appendix 6)
The program according to any one of
(Appendix 7)
Obtain detection information through other information processing devices belonging to the same network,
The program according to any one of
(Appendix 8)
When malware is detected, the information processing device that blocks the interface connected to the external network acquires the detection information indicating that the malware sent before the blockage was detected.
A program that causes a computer to execute a process that outputs detection information and blockage information indicating blockage when detection information is received.
(Appendix 9)
The program according to
(Appendix 10)
Obtaining release information indicating that the interface is released from the information processing device,
The program according to
(Appendix 11)
The detection information is acquired from another information processing device belonging to the same network as the information processing device, and the detection information is acquired.
The program according to any one of
(Appendix 12)
Obtaining the second release information indicating that the interface blockage has been released from the other information processing device,
The program according to
(Appendix 13)
When the second blockage information indicating that the interface of the information processing device is blocked is acquired from the information document processing device as the detection information is acquired from another information processing device belonging to the same network, the said The program according to any one of
(Appendix 14)
The description in any one of
(Appendix 15)
When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
An information processing method in which the information processing device executes a process of blocking an interface connected to an external network after the detection information is output.
(Appendix 16)
When malware is detected, an output unit that outputs detection information indicating that the malware has been detected to the management device, and an output unit.
An information processing device including a blocking portion that blocks an interface connected to an external network after outputting the detection information.
(Appendix 17)
When malware is detected, the information processing device that blocks the interface connected to the external network acquires the detection information indicating that the malware sent before the blockage was detected.
An information processing method that causes a computer to execute a process that outputs the detection information and the blockage information indicating that the blockage has occurred when the detection information is received.
(Appendix 18)
When malware is detected, an acquisition unit that acquires detection information indicating that malware transmitted before the blockage was detected from an information processing device that blocks the interface connected to the external network, and an acquisition unit.
An information processing device including an output unit that outputs detection information and blockage information indicating that the blockage has occurred when the detection information is received.
1 サーバコンピュータ(情報処理装置)
2 コンピュータ
3 管理装置
1A 可搬型記録媒体
1B 半導体メモリ
10A 読み取り部
2A 可搬型記録媒体
2B 半導体メモリ
20A 読み取り部
11 CPU
12 RAM
13 入力部
14 表示部
15 記憶部
15P 制御プログラム
16 通信部
18 時計部
21 CPU
22 RAM
23 入力部
24 表示部
25 記憶部
25P 制御プログラム
26 通信部
28 時計部
31 CPU
32 RAM
33 入力部
34 表示部
35 記憶部
35P 制御プログラム
36 通信部
38 時計部
151 状態DB
251 OS
252 セキュリティポリシーテーブル
261 LANモジュール
262 無線通信部
263 近距離通信部
271 出力部
272 閉塞部
281 取得部
282 出力部
351 状態DB
352 セキュリティポリシーテーブル
N 通信網
1 Server computer (information processing device)
2
12 RAM
13
22 RAM
23
32 RAM
33
251 OS
252 Security policy table 261
352 Security Policy Table N Communication Network
Claims (9)
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞し、
閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を前記情報処理装置の表示部に対応付けて表示する
処理を前記情報処理装置に実行させるプログラム。 When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
After outputting the detection information, the information processing device blocks the interface connected to the external network, and then blocks the interface .
Information processing is performed on the access destinations of the first interface, process information, and the first interface that are blocked after the blockage, and the access destinations of the second interface and the second interface that are different from the first interface that is not blocked. A program that causes the information processing device to execute a process of displaying in association with a display unit of the device.
請求項1に記載のプログラム。 The program according to claim 1, which refers to a security policy stored in advance and determines which of a plurality of interfaces is blocked according to the detected malware.
請求項1または2に記載のプログラム。 The program according to claim 1 or 2, which performs a process of blocking by issuing an OS command.
請求項1から3のいずれか一つに記載のプログラム。 The program according to any one of claims 1 to 3, which outputs report information including an access destination, process information, and a date and time when the interface is closed after blocking.
前記第1検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞し、
同一のネットワークに属する異なる第2情報処理装置がマルウェアを検知したことを示す第2検知情報を前記第2情報処理装置から取得し、
前記第1検知情報を出力する前に、前記第2検知情報を取得した場合に、前記インタフェースを閉塞する
処理をコンピュータに実行させるプログラム。 When malware is detected, the first detection information indicating that the malware has been detected is output.
After outputting the first detection information, the interface connected to the external network is closed, and the interface is closed.
Second detection information indicating that different second information processing devices belonging to the same network have detected malware is acquired from the second information processing device.
A program that causes a computer to execute a process of blocking the interface when the second detection information is acquired before the first detection information is output.
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞し、
閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を前記情報処理装置の表示部に対応付けて表示する
処理を前記情報処理装置に実行させる情報処理方法。 When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
After outputting the detection information, the information processing device blocks the interface connected to the external network, and then blocks the interface .
Information processing is performed on the access destinations of the first interface, process information, and the first interface that are blocked after the blockage, and the access destinations of the second interface and the second interface that are different from the first interface that is not blocked. An information processing method for causing the information processing device to execute a process of displaying in association with a display unit of the device.
前記検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する閉塞部と、
閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を表示する表示部と
を備える情報処理装置。 When malware is detected, an output unit that outputs detection information indicating that the malware has been detected to the management device, and an output unit.
After outputting the detection information, and a closing portion for closing the interface connected to an external network,
A display that displays the access destinations of the first interface, process information, and the first interface that have been blocked after the blockage, and the access destinations of the second interface and the second interface that are different from the first interface that has not been blocked. An information processing device equipped with a unit.
前記第1検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞し、
同一のネットワークに属する異なる第2情報処理装置がマルウェアを検知したことを示す第2検知情報を前記第2情報処理装置から取得し、
前記第1検知情報を出力する前に、前記第2検知情報を取得した場合に、前記インタフェースを閉塞する
処理をコンピュータに実行させる情報処理方法。 When malware is detected, the first detection information indicating that the malware has been detected is output.
After outputting the first detection information, the interface connected to the external network is closed, and the interface is closed.
Second detection information indicating that different second information processing devices belonging to the same network have detected malware is acquired from the second information processing device.
An information processing method in which a computer executes a process of blocking the interface when the second detection information is acquired before the first detection information is output.
前記第1検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する第1閉塞部と、
同一のネットワークに属する異なる第2情報処理装置がマルウェアを検知したことを示す第2検知情報を前記第2情報処理装置から取得する取得部と、
前記第1検知情報を出力する前に、前記第2検知情報を取得した場合に、前記インタフェースを閉塞する第2閉塞部と
を備える情報処理装置。 When malware is detected, an output unit that outputs the first detection information indicating that the malware has been detected, and an output unit.
After outputting the first detection information, the first blocking portion that blocks the interface connected to the external network and
An acquisition unit that acquires second detection information indicating that different second information processing devices belonging to the same network have detected malware from the second information processing device, and an acquisition unit.
An information processing device including a second blocking portion that blocks the interface when the second detection information is acquired before outputting the first detection information.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017148702A JP6946829B2 (en) | 2017-07-31 | 2017-07-31 | Programs, information processing methods and information processing equipment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017148702A JP6946829B2 (en) | 2017-07-31 | 2017-07-31 | Programs, information processing methods and information processing equipment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019028810A JP2019028810A (en) | 2019-02-21 |
| JP6946829B2 true JP6946829B2 (en) | 2021-10-13 |
Family
ID=65476395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017148702A Active JP6946829B2 (en) | 2017-07-31 | 2017-07-31 | Programs, information processing methods and information processing equipment |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6946829B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020170471A1 (en) | 2019-02-20 | 2020-08-27 | 富士ゼロックス株式会社 | Image forming device |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007041648A (en) * | 2005-07-29 | 2007-02-15 | Jfe Systems Inc | Virus-infected computer device exclusion method and virus-infected computer device exclusion management device |
| JP4001297B2 (en) * | 2005-11-10 | 2007-10-31 | 株式会社日立製作所 | Information processing system and its management server |
| JP2011145843A (en) * | 2010-01-14 | 2011-07-28 | Hitachi Ltd | Terminal connection control method on network |
| JP5655185B2 (en) * | 2011-06-28 | 2015-01-21 | 日本電信電話株式会社 | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program |
| WO2014049758A1 (en) * | 2012-09-26 | 2014-04-03 | 富士通株式会社 | Information processing device, information processing method, and information processing program |
| US9288221B2 (en) * | 2014-01-14 | 2016-03-15 | Pfu Limited | Information processing apparatus, method for determining unauthorized activity and computer-readable medium |
-
2017
- 2017-07-31 JP JP2017148702A patent/JP6946829B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019028810A (en) | 2019-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2589348C2 (en) | Entropy pools for virtual machines | |
| US9396082B2 (en) | Systems and methods of analyzing a software component | |
| JP6181493B2 (en) | Rewrite detection system, rewrite detection device, and information processing device | |
| US10656981B2 (en) | Anomaly detection using sequences of system calls | |
| CN111581005B (en) | Terminal restoration method, terminal and storage medium | |
| WO2016050112A1 (en) | Data storage method, storage apparatus and storage system | |
| JP2018005818A (en) | Abnormality detection system and abnormality detection method | |
| WO2021139308A1 (en) | Cloud server monitoring method, apparatus and device, and storage medium | |
| CN109462507B (en) | Configuration updating method, device and system and electronic equipment | |
| JP2005057701A5 (en) | ||
| US20210103663A1 (en) | Methods and apparatuses for vulnerability detection and maintenance prediction in industrial control systems using hash data analytics | |
| CN112416710A (en) | User-operated recording method, device, electronic device, and storage medium | |
| CN104750605B (en) | Include in user's dump by kernel objects information | |
| CN111209606A (en) | Method, device and equipment for early warning of hard disk change behind RAID card | |
| JP6946829B2 (en) | Programs, information processing methods and information processing equipment | |
| CN115967618A (en) | Multi-project BMC (baseboard management controller) sensor configuration management method and device | |
| US20160012245A1 (en) | Computer security responsive to an operating environment | |
| CN109997144B (en) | Separate encryption for solid state drives | |
| EP2362322A1 (en) | Information processing apparatus for conducting security processing and security processing method | |
| JP2022085148A (en) | Information processor, information processing system, and program | |
| US11513884B2 (en) | Information processing apparatus, control method, and program for flexibly managing event history | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| CN107392030A (en) | A kind of method and device for detecting virtual machine and starting safety | |
| US20240248987A1 (en) | Retrospective memory analysis | |
| EP3588353B1 (en) | Systems and methods of analyzing a software component |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170802 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170824 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200514 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210216 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210405 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210817 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210830 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6946829 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |