JP7485451B2 - Unauthorized access point detection system, access point, method, and program - Google Patents
Unauthorized access point detection system, access point, method, and program Download PDFInfo
- Publication number
- JP7485451B2 JP7485451B2 JP2022005514A JP2022005514A JP7485451B2 JP 7485451 B2 JP7485451 B2 JP 7485451B2 JP 2022005514 A JP2022005514 A JP 2022005514A JP 2022005514 A JP2022005514 A JP 2022005514A JP 7485451 B2 JP7485451 B2 JP 7485451B2
- Authority
- JP
- Japan
- Prior art keywords
- access point
- identification information
- unauthorized
- authorized
- legitimate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、不正アクセスポイント検知システム、アクセスポイント、方法、及びプログラムに関する。 The present invention relates to an unauthorized access point detection system, an access point, a method, and a program.
近年では、様々な場所(例えば、ホテル、飲食店、コンビニエンスストア、空港など)で、アクセスポイント(公衆無線LAN(Local Area Network)、無料Wi-Fi(登録商標)等)が提供されている。そのような場所では、利用者に対して、アクセスポイントを利用するためのSSID(Service Set Identifier:ESSID(Extended Service Set Identifier)という場合あり)及びパスワードの公開を行っている。そのような中で、悪意をもったサービス提供者により、正規アクセスポイントのSSID及びパスワードと同じSSID及びパスワードの不正アクセスポイントが設置されることがある。その不正アクセスポイントに端末を接続することで、端末の情報を抜き取って悪用されるなどのリスクがある。アクセスポイントは、現在、簡単に設置できる環境にあるため、不正アクセスポイントによるリスクは今後も増大する可能性がある。そこで、不正アクセスポイントを検知する方法が提案されている(例えば、特許文献1~3参照)。 In recent years, access points (public wireless LAN (Local Area Network), free Wi-Fi (registered trademark), etc.) are provided in various places (for example, hotels, restaurants, convenience stores, airports, etc.). In such places, the SSID (Service Set Identifier, sometimes called ESSID (Extended Service Set Identifier)) and password for using the access point are made public to users. In such a situation, malicious service providers may install unauthorized access points with the same SSID and password as those of legitimate access points. By connecting a terminal to such an unauthorized access point, there is a risk that information on the terminal may be extracted and misused. Since access points are currently in an environment where they can be easily installed, the risk from unauthorized access points may continue to increase in the future. Therefore, methods for detecting unauthorized access points have been proposed (for example, see Patent Documents 1 to 3).
例えば、特許文献1では、LAN内の無線LAN装置を管理する管理端末を用いて、正規無線LAN装置(BSSID(Basic Service Set Identifier)、ESSID、フラグ)をリストに登録し、無線LAN装置のビーコンを取得し、前記ビーコンのビーコン情報(BSSID、ESSIDを含む)と前記リストとを用いて不正無線LAN装置を判別し、前記判別の結果を管理担当者に通知する方法が開示されている。 For example, Patent Document 1 discloses a method in which a management terminal that manages wireless LAN devices in a LAN is used to register authorized wireless LAN devices (BSSID (Basic Service Set Identifier), ESSID, flags) in a list, acquire beacons of the wireless LAN devices, and use the beacon information of the beacons (including BSSID and ESSID) and the list to identify unauthorized wireless LAN devices, and notify an administrator of the results of the identification.
また、特許文献2では、正規アクセスポイントを用いて、受信した信号から、前記正規アクセスポイントが送信する特定の識別情報と同じ識別情報を送信する他のアクセスポイントを検出した場合に、検出した前記他のアクセスポイントとの間で、前記正規アクセスポイントの配下の無線通信端末と無線通信を行うための第1MACアドレスと異なる第2MACアドレスを用いて無線通信を行い、前記他のアクセスポイントがパスワードを要求しないこと、又は、前記他のアクセスポイントの認証方式が前記正規アクセスポイントの認証方式と異なることを検出した場合に、前記他のアクセスポイントを不正アクセスポイントとして検出して前記他のアクセスポイントの情報を管理装置に送信する方法が開示されている。 Patent Document 2 also discloses a method in which, when a legitimate access point detects another access point that transmits the same identification information as the specific identification information transmitted by the legitimate access point from a received signal, wireless communication is performed between the detected other access point and the other access point using a second MAC address different from a first MAC address for wireless communication with a wireless communication terminal under the legitimate access point, and when it is detected that the other access point does not request a password or that the authentication method of the other access point is different from that of the legitimate access point, the other access point is detected as an unauthorized access point and information about the other access point is transmitted to a management device.
さらに、特許文献3では、無線ローカルエリアネットワーク中にある検出器で、シーケンス番号及びMACアドレスを含むビーコンフレームを受信し、このビーコンフレームが1つ以上のアクセスポイントにより無線ローカルエリアネットワーク上に送信され、無線ローカルエリアネットワーク内の偽造アクセスポイントを検出するため、受信されたビーコンフレームのシーケンス番号及びMACアドレスを検出器で解析(あらかじめ登録されたシーケンス番号及びMACアドレス)する方法が開示されている。 Furthermore, Patent Document 3 discloses a method in which a detector in a wireless local area network receives a beacon frame including a sequence number and a MAC address, and this beacon frame is transmitted onto the wireless local area network by one or more access points, and the detector analyzes the sequence number and MAC address of the received beacon frame (pre-registered sequence number and MAC address) to detect a counterfeit access point within the wireless local area network.
以下の分析は、本願発明者により与えられる。 The following analysis is provided by the present inventors.
しかしながら、特許文献1の方法では、無線LAN装置とは別に管理端末を追加しているので、広範囲で不正アクセスポイントを監視するには多くの管理端末が必要になり、大きなコストがかかる。また、特許文献2の方法では、広範囲で不正アクセスポイントを監視するには、エリア内にある正規アクセスポイントの全てが不正アクセスポイントを検出する機能を備えていることが必要であるので、大きなコストがかかる。さらに、特許文献3の方法では、広範囲で不正アクセスポイントを監視するには複数台の検出器を用意する必要があるので、大きなコストがかかる。 However, in the method of Patent Document 1, a management terminal is added in addition to the wireless LAN device, so many management terminals are required to monitor unauthorized access points over a wide area, which incurs high costs. In addition, in the method of Patent Document 2, in order to monitor unauthorized access points over a wide area, all legitimate access points within the area must have the function of detecting unauthorized access points, which incurs high costs. Furthermore, in the method of Patent Document 3, multiple detectors must be prepared to monitor unauthorized access points over a wide area, which incurs high costs.
本発明の主な課題は、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる不正アクセスポイント検知システム、アクセスポイント、方法、及びプログラムを提供することである。 The main objective of the present invention is to provide a rogue access point detection system, access point, method, and program that can contribute to monitoring rogue access points at low cost and over a wide area.
第1の視点に係る不正アクセスポイント検知システムは、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムであって、前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントは、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、前記第1正規アクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するように構成されたリクエスト送信部と、を備え、前記第2正規アクセスポイントは、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、前記管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、を備える。 The unauthorized access point detection system according to the first aspect is an unauthorized access point detection system in which a plurality of authorized access points and a management terminal are connected to be able to communicate with each other via a network, and which is configured to transmit an email to the management terminal when an unauthorized access point is detected at any one of the plurality of authorized access points, notifying the management terminal of the presence of the unauthorized access point, and one or more first authorized access points among the plurality of authorized access points transmit a password related to the same identification information as that of the first authorized access point itself to another access point, attempting a wireless connection with the other access point, and when the wireless connection with the other access point is successful, acquiring identification information related to the other access point from the other access point, and a wireless connection unit configured to transmit the password related to the first authorized access point to the other access point when the wireless connection with the other access point is successful, A request sending unit configured to send request information including the identification information of the other access point to a second legitimate access point among the plurality of legitimate access points that is different from the first legitimate access point when the identification information of the other access point is acquired, the second legitimate access point having a management database in which data on whether the access point is an acceptable access point based on the identification information of the access point is registered, an analysis unit configured to analyze whether the other access point related to the identification information included in the request information is the unauthorized access point based on the management database, and an email sending unit configured to send an email to the management terminal notifying the existence of the unauthorized access point when the other access point is determined to be the unauthorized access point.
第2の視点に係るアクセスポイント(第1正規アクセスポイントに相当)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)であって、他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信するように構成されたリクエスト送信部と、を備える。 The access point according to the second aspect (corresponding to the first authorized access point) is one or more predetermined access points (corresponding to the first authorized access point) among the plurality of authorized access points in an unauthorized access point detection system in which a plurality of authorized access points and a management terminal are connected to be able to communicate with each other via a network, and an email informing the management terminal of the presence of an unauthorized access point is sent when an unauthorized access point is detected at any of the plurality of authorized access points. The access point includes a wireless connection unit configured to transmit a password related to the same identification information as that of the predetermined access point itself to the other access points to attempt a wireless connection with the other access point, and to obtain identification information related to the other access point from the other access point when the wireless connection with the other access point is successful, and a request transmission unit configured to transmit request information including the identification information related to the other access point to one other predetermined access point (corresponding to the second authorized access point) among the plurality of authorized access points that is different from the predetermined access point when the identification information related to the other access point is obtained by the wireless connection unit of the predetermined access point.
第3の視点に係るアクセスポイント(第2正規アクセスポイントに相当)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)であって、前記所定のアクセスポイントは、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、前記管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、を備える。 The access point according to the third aspect (corresponding to the second legitimate access point) is a specific access point (corresponding to the second legitimate access point) among a plurality of legitimate access points in an unauthorized access point detection system in which a plurality of legitimate access points and a management terminal are connected to be able to communicate with each other via a network, and an email notifying the management terminal of the existence of an unauthorized access point when an unauthorized access point is detected at any of the plurality of legitimate access points is sent. The specific access point includes a management database in which data on whether or not the access point is an acceptable access point for identification information related to the access point is registered, an analysis unit configured to analyze, based on the management database, whether or not another access point related to identification information included in request information from another specific access point (corresponding to the first legitimate access point) among the plurality of legitimate access points that is different from the specific access point is the unauthorized access point, and an email sending unit configured to send an email notifying the management terminal of the existence of the unauthorized access point when the other access point is determined to be the unauthorized access point.
第4の視点に係る不正アクセスポイント検知方法は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムを用いて前記不正アクセスポイントを検知する不正アクセスポイント検知方法であって、前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントにおいて、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するステップと、前記第1正規アクセスポイントにおいて、前記第1正規アクセスポイントで前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するステップと、前記第2正規アクセスポイントにおいて、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するステップと、前記第2正規アクセスポイントにおいて、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するステップと、を含む。 A fourth aspect of the unauthorized access point detection method is a method for detecting an unauthorized access point using an unauthorized access point detection system in which a plurality of authorized access points and a management terminal are connected to be able to communicate with each other via a network, and an email is sent to the management terminal when an unauthorized access point is detected at any one of the plurality of authorized access points, the method comprising the steps of: at one or more first authorized access points among the plurality of authorized access points, transmitting a password related to the same identification information as that of the first authorized access point itself to another access point, attempting to establish a wireless connection with the other access point, and, when the wireless connection with the other access point is successful, acquiring identification information related to the other access point from the other access point; and, The method includes a step of, in the legitimate access point, when the first legitimate access point acquires the identification information related to the other access point, transmitting request information including the identification information related to the other access point to a second legitimate access point among the plurality of legitimate access points that is different from the first legitimate access point; a step of, in the second legitimate access point, analyzing whether the other access point related to the identification information included in the request information is the unauthorized access point based on a management database in which data on whether the access point is an acceptable access point based on the identification information related to the access point is registered; and a step of, in the second legitimate access point, sending an email to the management terminal notifying the existence of the unauthorized access point when it is determined that the other access point is the unauthorized access point.
第5の視点に係るプログラム(第1正規アクセスポイント用プログラム)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得する処理と、前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信する処理と、を前記所定のアクセスポイント(第1正規アクセスポイントに相当)に実行させる。 The program according to the fifth aspect (program for a first legitimate access point) is a program for causing one or more predetermined access points (corresponding to a first legitimate access point) among a plurality of legitimate access points in a rogue access point detection system configured to communicate with a plurality of legitimate access points and a management terminal via a network, and to transmit an email informing the management terminal of the presence of a rogue access point when any of the plurality of legitimate access points detects the rogue access point, and causes the predetermined access point (corresponding to a first legitimate access point) to perform the following processes: transmit a password related to the same identification information as that of the predetermined access point itself to the other access point, attempt a wireless connection with the other access point, and obtain identification information related to the other access point from the other access point when the wireless connection with the other access point is successful; and transmit request information including the identification information related to the other access point to one other predetermined access point (corresponding to a second legitimate access point) among the plurality of legitimate access points that is different from the predetermined access point when the wireless connection unit of the predetermined access point obtains the identification information related to the other access point.
第6の視点に係るプログラム(第2正規アクセスポイント用プログラム)は、複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析する処理と、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信する処理と、を前記所定のアクセスポイント(第2正規アクセスポイントに相当)に実行させる。 The program according to the sixth aspect (program for a second legitimate access point) is a program for causing a predetermined access point (corresponding to a second legitimate access point) among a plurality of legitimate access points in an unauthorized access point detection system configured to communicate with a plurality of legitimate access points and a management terminal via a network, and to transmit an email notifying the management terminal of the presence of an unauthorized access point when an unauthorized access point is detected at any of the plurality of legitimate access points, to execute a process of detecting the unauthorized access point, and causes the predetermined access point (corresponding to a first legitimate access point) among the plurality of legitimate access points to execute a process of analyzing whether or not another access point related to identification information included in request information from another predetermined access point (corresponding to a first legitimate access point) different from the predetermined access point among the plurality of legitimate access points is the unauthorized access point, based on a management database in which data on whether or not the identification information related to the access point is an acceptable access point is registered, and a process of sending an email notifying the management terminal of the presence of the unauthorized access point when the other access point is determined to be the unauthorized access point.
なお、プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。また、本開示では、コンピュータプログラム製品として具現することも可能である。プログラムは、コンピュータ装置に入力装置又は外部から通信インタフェイスを介して入力され、記憶装置に記憶されて、プロセッサを所定のステップないし処理に従って駆動させ、必要に応じ中間状態を含めその処理結果を段階毎に表示装置を介して表示することができ、あるいは通信インタフェイスを介して、外部と交信することができる。そのためのコンピュータ装置は、一例として、典型的には互いにバスによって接続可能なプロセッサ、記憶装置、入力装置、通信インタフェイス、及び必要に応じ表示装置を備える。 The program can be recorded on a computer-readable storage medium. The storage medium can be a non-transient medium such as a semiconductor memory, a hard disk, a magnetic recording medium, or an optical recording medium. In addition, the present disclosure can be embodied as a computer program product. The program is input to the computer device from an input device or an external device via a communication interface, stored in a storage device, and drives the processor according to a predetermined step or process, and can display the processing results, including intermediate states as necessary, at each stage via a display device, or can communicate with the outside via the communication interface. As an example, a computer device for this purpose typically includes a processor, a storage device, an input device, a communication interface, and a display device as necessary, all of which can be connected to each other via a bus.
前記第1~第6の視点によれば、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる。 The first to sixth aspects can contribute to monitoring unauthorized access points at low cost and over a wide area.
以下、実施形態について図面を参照しつつ説明する。なお、本出願において図面参照符号を付している場合は、それらは、専ら理解を助けるためのものであり、図示の態様に限定することを意図するものではない。また、下記の実施形態は、あくまで例示であり、本発明を限定するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インタフェイスも同様である。プログラムはコンピュータ装置を介して実行され、コンピュータ装置は、例えば、プロセッサ、記憶装置、入力装置、通信インタフェイス、及び必要に応じ表示装置を備え、コンピュータ装置は、通信インタフェイスを介して装置内又は外部の機器(コンピュータを含む)と、有線、無線を問わず、交信可能に構成される。 The following describes the embodiments with reference to the drawings. Note that when reference symbols are used in this application, they are intended to aid understanding and are not intended to limit the invention to the illustrated form. The following embodiments are merely illustrative and do not limit the invention. The connection lines between blocks in the drawings and the like referred to in the following description include both bidirectional and unidirectional lines. One-way arrows are used to diagrammatically indicate the flow of the main signal (data) and do not exclude bidirectionality. Furthermore, although not explicitly shown in the circuit diagrams, block diagrams, internal configuration diagrams, connection diagrams, and the like shown in this disclosure, input ports and output ports exist at the input and output ends of each connection line. The same is true for input/output interfaces. The program is executed via a computer device, which includes, for example, a processor, a storage device, an input device, a communication interface, and a display device as necessary, and the computer device is configured to be able to communicate with devices inside or outside the device (including a computer) via the communication interface, regardless of whether it is wired or wireless.
[実施形態1]
実施形態1に係る不正アクセスポイント検知システムについて図面を用いて説明する。図1は、実施形態1に係る不正アクセスポイント検知システムの構成を模式的に示したブロック図である。図2は、実施形態1に係る不正アクセスポイント検知システムを適用したときの構成の一例を模式的に示したブロック図である。図3は、実施形態1に係る不正アクセスポイント検知システムにおいて用いられる管理用データベースの構成を模式的に示したテーブルである。図4は、実施形態1に係る不正アクセスポイント検知システムにおいて用いられるリクエスト情報の構成を模式的に示したテーブルである。
[Embodiment 1]
The unauthorized access point detection system according to the first embodiment will be described with reference to the drawings. FIG. 1 is a block diagram showing a schematic configuration of the unauthorized access point detection system according to the first embodiment. FIG. 2 is a block diagram showing a schematic example of a configuration when the unauthorized access point detection system according to the first embodiment is applied. FIG. 3 is a table showing a schematic configuration of a management database used in the unauthorized access point detection system according to the first embodiment. FIG. 4 is a table showing a schematic configuration of request information used in the unauthorized access point detection system according to the first embodiment.
不正アクセスポイント検知システム1は、第1正規アクセスポイント10A~10N及び第2正規アクセスポイント20を用いて、不正アクセスポイント50を検知するシステムである(図1、図2参照)。不正アクセスポイント検知システム1では、第1正規アクセスポイント10A~10N及び第2正規アクセスポイント20が、自身のSSID及びパスワードと同じSSID及びパスワードの不正アクセスポイント50と接続を試みる。不正アクセスポイント検知システム1では、接続成功時に当該不正アクセスポイント50に係る識別情報(例えば、MACアドレスを含むBSSID)を取得し、取得した識別情報(例えば、BSSID、MACアドレス)について第2正規アクセスポイント20に登録されている識別情報(例えば、図3の登録MACアドレス)と一致するものがあるかを検索する。不正アクセスポイント検知システム1では、一致する識別情報(例えば、MACアドレス)がない場合、又は、一致する識別情報(例えば、MACアドレス)があるがNGである場合、第2正規アクセスポイント20から管理端末30に不正アクセスポイント50を検知したことを知らせるメールを送信する。不正アクセスポイント検知システム1は、第1正規アクセスポイント10A~10Nと、第2正規アクセスポイント20と、管理端末30と、ネットワーク40と、を備える。
The unauthorized access point detection system 1 is a system that detects
第1正規アクセスポイント10A~10Nは、他のアクセスポイント(不正アクセスポイント50、正規アクセスポイント)に係る識別情報(例えば、MACアドレス)の取得を行う機能を有する正規のアクセスポイントである(図1、図2参照)。第1正規アクセスポイント10A~10Nは、他のアクセスポイントに係る識別情報(例えば、MACアドレス)の解析を行う機能を有さない。第1正規アクセスポイント10A~10Nは、図1、図2においてN台存在するが、少なくとも1台存在すればよい。第1正規アクセスポイント10A~10Nは、ネットワーク40に通信可能に有線接続されている。第1正規アクセスポイント10A~10Nは、自身のSSIDに係るパスワードを送ってきた利用者端末60と無線接続し、利用者端末60とネットワーク40との間を通信可能にする。第1正規アクセスポイント10A~10Nは、自身のSSIDに係るパスワードを他のアクセスポイントに送信して、当該他のアクセスポイントとの無線接続を試みる。第1正規アクセスポイント10A~10Nは、当該他のアクセスポイントとの無線接続が成功した場合、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得し、取得した識別情報(例えば、BSSID、MACアドレス)を含むリクエスト情報を第2正規アクセスポイント20に送信する。第1正規アクセスポイント10A~10Nは、プロセッサ、メモリ、ネットワークインタフェイス等を含むコンピュータを備える。第1正規アクセスポイント10A~10Nは、メモリを利用しながら、プロセッサにおいてプログラムを実行することにより、仮想的に、無線提供部11と、無線接続部12と、リクエスト送信部13と、を備えた構成とすることができる。
The first
無線提供部11は、第1正規アクセスポイント10A~10N自身のSSIDに係るパスワードを送ってきた利用者端末(図2の60)に対して無線接続を提供する機能部である(図1参照)。無線提供部11には、第1正規アクセスポイント10A~10N自身のSSID及びパスワードが登録されている。無線提供部11は、利用者端末60に対し、第1正規アクセスポイント10A~10N自身のSSIDに係るパスワードを要求し、利用者端末60から送られてきたSSIDに係るパスワードと、登録されているSSIDに係るパスワードを照合し、一致したときに、利用者端末60とネットワーク40との間の通信を可能にする。
The
無線接続部12は、他のアクセスポイント(不正アクセスポイント(図2の50)、正規アクセスポイント)に対して、定期的(例えば、予め指定した時刻)に、第1正規アクセスポイント10A~10N自身のSSIDに係るパスワードを送信して、当該他のアクセスポイントとの無線接続を試みる機能部である(図1参照)。無線接続部12は、当該他のアクセスポイントとの無線接続が成功したときに、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得する。
The
リクエスト送信部13は、無線接続部12で他のアクセスポイントからの識別情報(例えば、他のアクセスポイントに係るBSSID)を取得したときに、当該識別情報(BSSIDから抽出したMACアドレスでも可)を含むリクエスト情報(図4参照)を第2正規アクセスポイント20に送信する機能部である(図1参照)。リクエスト情報は、リクエスト情報に含まれた識別情報について第2正規アクセスポイント20での解析を要求する情報である。リクエスト情報の送信には、例えば、HTTP(Hypertext Transfer Protocol)通信を使用することができ、無線提供部11で使用する通信方法と異なる他の通信方法を使用してもよい。
The
第2正規アクセスポイント20は、他のアクセスポイント(不正アクセスポイント50、正規アクセスポイント)に係る識別情報(例えば、BSSID、MACアドレス)の取得及び解析を行う機能を有する正規のアクセスポイントである(図1、図2参照)。第2正規アクセスポイント20は、図1、図2において1台存在するが、2台以上存在していてもよいが、第1正規アクセスポイント10A~10Nの台数よりも少ないことが好ましい。第2正規アクセスポイント20は、ネットワーク40に通信可能に有線接続されている。第2正規アクセスポイント20は、自身のSSIDに係るパスワードを送ってきた利用者端末60と無線接続し、利用者端末60とネットワーク40との間を通信可能にする。第2正規アクセスポイント20は、自身のSSIDに係るパスワードを他のアクセスポイントに送信して、当該他のアクセスポイントとの無線接続を試みる。第2正規アクセスポイント20は、当該他のアクセスポイントとの無線接続が成功した場合、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得する(BSSIDからMACアドレスを抽出しても可)。第2正規アクセスポイント20は、第1正規アクセスポイント10A~10Nからのリクエスト情報を受信することにより、リクエスト情報から識別情報(他のアクセスポイントに係るBSSID、MACアドレス)を抽出する。第2正規アクセスポイント20は、取得又は抽出された識別情報(例えば、MACアドレス)について、予め管理用データベース25に登録された識別情報(例えば、MACアドレス)と一致するものがあるかを検索する。第2正規アクセスポイント20は、一致する識別情報(例えば、MACアドレス)がない場合、又は、一致する識別情報(例えば、MACアドレス)があるがNGである場合、第2正規アクセスポイント20から管理端末30に不正アクセスポイント50を検知したことを知らせるメールを送信する。第2正規アクセスポイント20は、一致する識別情報(例えば、MACアドレス)がない場合、抽出された識別情報(例えば、MACアドレス)をNGとして管理用データベース25に登録する。第2正規アクセスポイント20は、プロセッサ、メモリ、ネットワークインタフェイス等を含むコンピュータを備える。第2正規アクセスポイント20は、メモリを利用しながら、プロセッサにおいてプログラムを実行することにより、無線提供部21と、無線接続部22と、リクエスト受信部23と、解析部24と、管理用データベース25と、メール送信部26と、を備えた構成とすることができる。
The second
無線提供部21は、第2正規アクセスポイント20自身のSSIDに係るパスワードを送ってきた利用者端末(図2の60)に対して無線接続を提供する機能部である(図1参照)。無線提供部21には、第2正規アクセスポイント20自身のSSID及びパスワードが登録されている。無線提供部21は、利用者端末60に、第2正規アクセスポイント20自身のSSIDに係るパスワードを要求し、利用者端末60から送られてきたSSIDに係るパスワードと、登録されているSSIDに係るパスワードを照合し、一致したときに、利用者端末60とネットワーク40との間の通信を可能にする。
The wireless providing unit 21 is a functional unit that provides wireless connection to a user terminal (60 in FIG. 2) that has sent a password related to the SSID of the second authorized
無線接続部22は、他のアクセスポイント(不正アクセスポイント(図2の50)、正規アクセスポイント)に対して、定期的(例えば、予め指定した時刻)に、第2正規アクセスポイント20自身のSSIDに係るパスワードを送信して、当該他のアクセスポイントとの無線接続を試みる機能部である(図1参照)。無線接続部22は、当該他のアクセスポイントとの無線接続が成功したときに、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報(例えば、MACアドレスを含むBSSID)を取得する。
The
リクエスト受信部23は、第1正規アクセスポイント10A~10Nからのリクエスト情報(図4参照)を受信する機能部である(図1参照)。
The
解析部24は、管理用データベース25に基づいて、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報(図4参照)に含まれた識別情報(例えば、MACアドレス)に係るアクセスポイントが不正アクセスポイント(図2の50)であるか否かを解析する機能部である(図1参照)。解析部24は、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、図3の登録MACアドレス)を検索し、一致するものがあり、かつ、識別情報(例えば、図3の登録MACアドレス)の許否がNGである場合に、不正アクセスポイント50が存在すると判断する。解析部24は、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、図3の登録MACアドレス)を検索し、一致するものがない場合に、不正アクセスポイント50が存在すると判断し、当該識別情報(例えば、MACアドレス)、及び、その許否がNGであることを管理用データベース25に登録する。解析部24は、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、図3の登録MACアドレス)を検索し、一致するものがあり、かつ、識別情報(例えば、図3の登録MACアドレス)の許否がOKである場合に、不正アクセスポイントが存在しないと判断する。
The
管理用データベース25は、識別情報(図3の登録MACアドレス)について許容できるアクセスポイント(正規アクセスポイント)であるか否かのデータを登録した管理用のデータベースである。管理用データベース25では、識別情報(図3の登録MACアドレス)と許否(OK/NG)とが関連付けてられている。管理用データベース25は、管理端末30からの操作により、事前に(又は、正規アクセスポイントの台数を変更したときは変更時に)登録(又は更新)される。また、管理用データベース25には、解析部24で、取得した識別情報(例えば、BSSIDに含まれたMACアドレス)、又は、受信したリクエスト情報に含まれた識別情報(例えば、MACアドレス)について、管理用データベース25に登録された識別情報(例えば、図3の登録MACアドレス)と一致するものがない場合に、自動的に、当該識別情報(例えば、MACアドレス)、及び、その許否がNGであることが登録される。
The
メール送信部26は、解析部24で、不正アクセスポイント(図2の50)に係る識別情報(例えば、MACアドレス)であると判断されたときに、当該識別情報(例えば、MACアドレス)に係る不正アクセスポイント50が存在することを知らせるメールを、予め登録されたメールアドレスに係る管理端末30に送信する機能部である(図1参照)。メールアドレスは、管理端末30からの操作により、メール送信部26に登録される。メールには、不正アクセスポイント50に係る識別情報(例えば、MACアドレス)の他、例えば、当該識別情報(例えば、MACアドレス)が新規登録であるか既存登録であるかの情報、当該識別情報(例えば、MACアドレス)を取得した第2正規アクセスポイント20に係る識別情報、メール送信元情報(例えば、第2正規アクセスポイント20に係る識別情報)等の情報を含めるようにしてもよい。
The
管理端末30は、不正アクセスポイント検知システム1の管理者が使用する端末である(図1参照)。管理端末30は、ネットワーク40に通信可能に接続(有線接続又は無線接続)されている。管理端末30には、プロセッサ、メモリ、ネットワークインタフェイス等を含むコンピュータを備えるものを用いることができ、例えば、パーソナルコンピュータ、タブレット端末、スマートフォン等を用いることができる。管理端末30は、情報を入力及び出力(表示を含む)する機能を有する。管理端末30は、管理者の操作により、第2正規アクセスポイント20に登録される管理用データベース25及びメールアドレスを入力して送信することが可能である。管理端末30は、第2正規アクセスポイント20からのメールを受信して表示することが可能である。
The
ネットワーク40は、第1正規アクセスポイント10A~10Nと第2正規アクセスポイント20と管理端末30との間を通信可能に接続する有線又は無線の通信網である(図1参照)。ネットワーク40には、例えば、PAN(Personal Area Network)、LAN(Local Area Network)、MAN(Metropolitan Area Network)、WAN(Wide Area Network)、GAN(Global Area Network)等の通信網を用いることができる。
The
なお、不正アクセスポイント50は、不正アクセスポイント検知システム(図1の1)の構成部ではないが、不正アクセスポイント検知システム1のネットワーク40に寄生して悪意を持って設置される不正なアクセスポイントである(図2参照)。不正アクセスポイント50は、正規アクセスポイント10A~10N、20のいずれかのSSIDに係るパスワードと同じSSIDに係るパスワードが設定されている。不正アクセスポイント50は、ネットワーク40に通信可能に有線接続されている。不正アクセスポイント50は、正規アクセスポイント10A~10N、20のいずれかのSSIDに係るパスワードを送ってきた利用者端末(図2の60)又は正規アクセスポイント10A~10N、20に対して無線接続を提供する機能を有する。不正アクセスポイント50は、アクセスしてきた利用者端末60又は正規アクセスポイント10A~10N、20に対し、正規アクセスポイント10A~10N、20のいずれかのSSIDに係るパスワードを要求する。不正アクセスポイント50は、利用者端末60又は正規アクセスポイント10A~10N、20から送られてきたSSIDに係るパスワードと、不正アクセスポイント50自身に設定されているSSIDに係るパスワードを照合し、一致したときに、不正アクセスポイント50自身に係る識別情報(例えば、BSSID、MACアドレス)を利用者端末60又は正規アクセスポイント10A~10N、20に送信し、利用者端末60又は正規アクセスポイント10A~10N、20とネットワーク40との間の通信を可能にする。
The
利用者端末60は、アクセスポイントを利用する利用者が使用する端末である(図2参照)。利用者端末60は、アクセスポイントと無線接続可能に構成されている。利用者端末60には、例えば、スマートフォン、タブレット端末、ノート型パーソナルコンピュータ等を用いることができる。
The
なお、各アクセスポイント(10A~10N、20、50)には、他のアクセスポイントに係る通信用の識別情報とは異なる固有の通信用の識別情報(例えば、BSSID、MACアドレス)が付与されている。当該識別情報は、アクセスポイントと利用者端末60との間の無線接続が成功したときに当該アクセスポイントから利用者端末60に送信される。
Each access point (10A to 10N, 20, 50) is assigned unique communication identification information (e.g., BSSID, MAC address) that is different from the communication identification information of other access points. The identification information is transmitted from the access point to the
実施形態1に係る不正アクセスポイント検知システムの動作について説明する。 The operation of the unauthorized access point detection system according to the first embodiment will be described.
最初に、第1正規アクセスポイント10A~10Nのいずれかで不正アクセスポイント50に無線接続したときの不正アクセスポイント検知システム1の動作について図面を用いて説明する。図5は、実施形態1に係る不正アクセスポイント検知システムの第1正規アクセスポイントで不正アクセスポイントと無線接続したときの動作を模式的に示したフローチャート図である。
First, the operation of the unauthorized access point detection system 1 when any of the first authorized
まず、第2正規アクセスポイント20は、事前に(又は、正規アクセスポイントの台数を変更したときは変更時に)、管理端末30からの操作により、管理用データベース25及びメールアドレス(管理端末30に係るメールアドレス)を登録(又は更新)する(ステップA1)。
First, the second authorized
次に、第1正規アクセスポイント(ここでは第1正規アクセスポイント10Aとする)は、定期的(例えば、予め指定した時刻)に、第1正規アクセスポイント10A自身のSSIDに係るパスワードを送信して、他のアクセスポイントとの無線接続を試みる(ステップA2)。なお、他のアクセスポイントとの無線接続に成功できない場合、不正アクセスポイントは存在しないと判断し、終了する。
Next, the first legitimate access point (here, the first
他のアクセスポイント(ここでは不正アクセスポイント50とする)との無線接続に成功した場合、不正アクセスポイント50は、不正アクセスポイント50自身に係る識別情報(ここではMACアドレスを含むBSSIDとする)を第1正規アクセスポイント10Aに送信する(ステップA3)。
If a wireless connection with another access point (here, the unauthorized access point 50) is successful, the
次に、第1正規アクセスポイント10Aは、不正アクセスポイント50からのBSSIDを受信することにより、受信したBSSIDからMACアドレスを取得する(ステップA4)。
Next, the first
次に、第1正規アクセスポイント10Aは、取得したMACアドレスを含むリクエスト情報を生成する(ステップA5)。
Next, the first
次に、第1正規アクセスポイント10Aは、生成されたリクエスト情報を第2正規アクセスポイント20に送信する(ステップA6)。ここで、リクエスト情報の送信は、第1正規アクセスポイント10Aと不正アクセスポイント50との間の通信方法とは異なる通信方法(例えば、HTTP通信)で行うことができる。
Next, the first
次に、第2正規アクセスポイント20は、第1正規アクセスポイント10Aからのリクエスト情報を受信することにより、受信したリクエスト情報からMACアドレスを取得する(ステップA7)。
Next, the second
次に、第2正規アクセスポイント20は、取得したMACアドレスについて、予め管理用データベース25に登録された識別情報(ここでは登録MACアドレス)と一致するものがあるかを検索する(ステップA8)。一致する登録MACアドレスがあり、かつ、許否がOKである場合、不正アクセスポイントが存在しないと判断し、終了する。
Next, the second
一致する登録MACアドレスがない場合、第2正規アクセスポイント20は、不正アクセスポイント50が存在すると判断し、取得したMACアドレス、及び、その許否がNGであることを管理用データベース25に登録(管理用データベース25を更新)する(ステップA9)。なお、一致する登録MACアドレスがあり、かつ、許否がNGである場合、不正アクセスポイント50が存在すると判断し、ステップA9をスキップして、ステップA10に進む。
If there is no matching registered MAC address, the second
ステップA8の後、第2正規アクセスポイント20は、不正アクセスポイント50が存在することを知らせるメールを、予め登録されたメールアドレスに係る管理端末30に送信し(ステップA10)、その後、終了する。
After step A8, the second
次に、第2正規アクセスポイント20で不正アクセスポイント50に無線接続したときの不正アクセスポイント検知システム1の動作について図面を用いて説明する。図6は、実施形態1に係る不正アクセスポイント検知システムの第2正規アクセスポイントで不正アクセスポイントと無線接続したときの動作を模式的に示したフローチャート図である。
Next, the operation of the unauthorized access point detection system 1 when the second authorized
まず、第2正規アクセスポイント20は、事前に(又は、正規アクセスポイントの台数を変更したときは変更時に)、管理端末30からの操作により、管理用データベース25及びメールアドレス(管理端末30に係るメールアドレス)を登録(又は更新)する(ステップB1)。
First, the second authorized
次に、第2正規アクセスポイント20は、定期的(例えば、予め指定した時刻)に、第2正規アクセスポイント20自身のSSIDに係るパスワードを送信して、他のアクセスポイントとの無線接続を試みる(ステップB2)。なお、他のアクセスポイントとの無線接続に成功できない場合、不正アクセスポイントは存在しないと判断し、終了する。
Next, the second authorized
他のアクセスポイント(ここでは不正アクセスポイント50とする)との無線接続に成功した場合、不正アクセスポイント50は、不正アクセスポイント50自身に係る識別情報(ここではMACアドレスを含むBSSIDとする)を第2正規アクセスポイント20に送信する(ステップB3)。
If a wireless connection with another access point (here, the unauthorized access point 50) is successful, the
次に、第2正規アクセスポイント20は、不正アクセスポイント50からのBSSIDを受信することにより、受信したBSSIDからMACアドレスを取得する(ステップB4)。
Next, the second
次に、第2正規アクセスポイント20は、取得したMACアドレスについて、予め管理用データベース25に登録された識別情報(ここでは登録MACアドレス)と一致するものがあるかを検索する(ステップB5)。一致する登録MACアドレスがあり、かつ、許否がOKである場合、不正アクセスポイントが存在しないと判断し、終了する。
Next, the second
一致する登録MACアドレスがない場合、第2正規アクセスポイント20は、不正アクセスポイント50が存在すると判断し、取得したMACアドレス、及び、その許否がNGであることを管理用データベース25に登録(管理用データベース25を更新)する(ステップB6)。なお、一致する登録MACアドレスがあり、かつ、許否がNGである場合、不正アクセスポイント50が存在すると判断し、ステップB6をスキップして、ステップB7に進む。
If there is no matching registered MAC address, the second
ステップB6の後、第2正規アクセスポイント20は、不正アクセスポイント50が存在することを知らせるメールを、予め登録されたメールアドレスに係る管理端末30に送信し(ステップB7)、その後、終了する。
After step B6, the second
実施形態1によれば、正規アクセスポイント10A~10N、20のいずれかが他のアクセスポイントとの無線接続に成功したときに、他のアクセスポイントから取得した他のアクセスポイントに係る識別情報を第2正規アクセスポイント20に集めて不正アクセスポイント50の検知を行っているので、第1正規アクセスポイント10A~10Nの構成を簡素化することができるとともに、複数存在する正規アクセスポイント10A~10N、20によって広範囲にわたってて不正アクセスポイント50を監視することができるので、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる。
According to the first embodiment, when any of the
[実施形態2]
実施形態2に係る不正アクセスポイント検知システムについて図面を用いて説明する。図7は、実施形態2に係る不正アクセスポイント検知システムの構成を模式的に示したブロック図である。
[Embodiment 2]
The unauthorized access point detection system according to the second embodiment will be described with reference to the drawings. Fig. 7 is a block diagram showing a schematic configuration of the unauthorized access point detection system according to the second embodiment.
不正アクセスポイント検知システム1は、不正アクセスポイントを検知するシステムである。不正アクセスポイント検知システム1は、正規アクセスポイント10A~10N、20及び管理端末30がネットワーク40を介して通信可能に接続された構成となっている。不正アクセスポイント検知システム1は、正規アクセスポイント10A~10N、20のいずれか(例えば、正規アクセスポイント10A)で不正アクセスポイントを検知したときに、当該不正アクセスポイントの存在を知らせるメールを管理端末30に送信するように構成されている。正規アクセスポイント10A~10N、20は、第1正規アクセスポイント10A~10Nと、第2正規アクセスポイント20と、を備える。
The unauthorized access point detection system 1 is a system that detects unauthorized access points. The unauthorized access point detection system 1 is configured such that authorized
第1正規アクセスポイント10A~10Nは、無線接続部12と、リクエスト送信部13と、を備える。無線接続部12は、他のアクセスポイントに対して、第1正規アクセスポイント10A~10N自身と同じ識別情報に係るパスワードを送信して、当該他のアクセスポイントとの無線接続を試みるとともに、当該他のアクセスポイントとの無線接続が成功したときに、当該他のアクセスポイントから、当該他のアクセスポイントに係る識別情報を取得するように構成されている。リクエスト送信部13は、無線接続部12で他のアクセスポイントに係る識別情報を取得したときに、当該他のアクセスポイントに係る識別情報を含むリクエスト情報を、第2正規アクセスポイント20に送信するように構成されている。
The first
第2正規アクセスポイント20は、管理用データベース25と、解析部24と、メール送信部26と、を備える。管理用データベース25には、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録されている。解析部24は、管理用データベース25に基づいて、リクエスト情報に含まれた識別情報に係る他のアクセスポイントが不正アクセスポイントであるか否かを解析するように構成されている。メール送信部26は、他のアクセスポイントが不正アクセスポイントであると判断されたときに、不正アクセスポイントの存在を知らせるメールを管理端末30に送信するように構成されている。
The second
実施形態2によれば、第1正規アクセスポイント10A~10Nのいずれかが他のアクセスポイントとの無線接続に成功したときに、他のアクセスポイントから取得した他のアクセスポイントに係る識別情報を第2正規アクセスポイント20に集めて不正アクセスポイントの検知を行っているので、第1正規アクセスポイント10A~10Nの構成を簡素化することができるとともに、第1正規アクセスポイント10A~10Nによって広範囲にわたって不正アクセスポイント50を監視することができるので、低コストかつ広範囲で不正アクセスポイントを監視することに貢献することができる。
According to the second embodiment, when any of the first
なお、実施形態1、2に係る不正アクセスポイント検知システムにおけるアクセスポイントは、いわゆるハードウェア資源(情報処理装置、コンピュータ)を備えた構成とすることができ、ハードウェア資源として図8に例示する構成を備えたものを用いることができる。例えば、ハードウェア資源100は、内部バス104により相互に接続される、プロセッサ101、メモリ102、ネットワークインタフェイス103等を備える。
The access point in the unauthorized access point detection system according to the first and second embodiments can be configured to include so-called hardware resources (information processing device, computer), and the hardware resource can include the configuration shown in FIG. 8. For example, the
なお、図8に示す構成は、ハードウェア資源100のハードウェア構成を限定する趣旨ではない。ハードウェア資源100は、図示しないハードウェア(例えば、入出力インタフェイス)を含んでもよい。あるいは、装置に含まれるプロセッサ101等のユニットの数も図8の例示に限定する趣旨ではなく、例えば、複数のプロセッサ101がハードウェア資源100に含まれていてもよい。プロセッサ101には、例えば、CPU(Central Processing Unit)、MPU(Micro Processor Unit)、GPU(Graphics Processing Unit)等を用いることができる。
Note that the configuration shown in FIG. 8 is not intended to limit the hardware configuration of the
メモリ102には、例えば、RAM(RandoMACcess Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等を用いることができる。
ネットワークインタフェイス103には、例えば、LAN(Local Area Network)カード、ネットワークアダプタ、ネットワークインタフェイスカード等を用いることができる。
The
ハードウェア資源100の機能は、上述の処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ102に格納されたプログラムをプロセッサ101が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能は、何らかのハードウェアにおいてソフトウェアが実行されることによって実現できればよい。
The functions of the
上記実施形態の一部または全部は以下の付記のようにも記載され得るが、以下には限られない。 A part or all of the above embodiments may be described as follows, but is not limited to the following:
[付記1]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムであって、
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントは、
他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記第1正規アクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するように構成されたリクエスト送信部と、
を備え、
前記第2正規アクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
不正アクセスポイント検知システム。
[付記2]
前記第2正規アクセスポイントは、他のアクセスポイントに対して、前記第2正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部をさらに備え、
前記解析部は、前記管理用データベースに基づいて、前記第2正規アクセスポイントの前記無線接続部で取得した前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成されている、
付記1記載の不正アクセスポイント検知システム。
[付記3]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがない場合に、前記不正アクセスポイントが存在すると判断する、
付記1又は2記載の不正アクセスポイント検知システム。
[付記4]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがない場合に、許容できないアクセスポイントとして前記管理用データベースに登録するように構成されている、
付記1乃至3のいずれか一に記載の不正アクセスポイント検知システム。
[付記5]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがあり、かつ、許容できないアクセスポイントとして前記管理用データベースに登録されている場合に、前記不正アクセスポイントが存在すると判断するように構成されている、
付記1乃至4のいずれか一に記載の不正アクセスポイント検知システム。
[付記6]
前記リクエスト送信部は、HTTP通信で前記リクエスト情報を前記第2正規アクセスポイントに送信するように構成されている、
付記1乃至5のいずれか一に記載の不正アクセスポイント検知システム。
[付記7]
前記他のアクセスポイントに係る前記識別情報は、MACアドレス又はBSSIDである、
付記1乃至6のいずれか一に記載の不正アクセスポイント検知システム。
[付記8]
前記リクエスト送信部は、前記第1正規アクセスポイントと前記他のアクセスポイントとの間の通信方法とは異なる通信方法で前記リクエスト情報を前記第2正規アクセスポイントに送信するように構成されている、
付記1乃至7のいずれか一に記載の不正アクセスポイント検知システム。
[付記9]
前記解析部は、前記他のアクセスポイントに係る前記識別情報について、前記管理用データベースに登録された前記識別情報と一致するものがあり、かつ、許容できるアクセスポイントとして前記管理用データベースに登録されている場合に、前記不正アクセスポイントが存在しないと判断するように構成されている、
付記1乃至8のいずれか一に記載の不正アクセスポイント検知システム。
[付記10]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)であって、
他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信するように構成されたリクエスト送信部と、
を備える、
アクセスポイント(第1正規アクセスポイントに相当)。
[付記11]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)であって、
前記所定のアクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
アクセスポイント(第2正規アクセスポイントに相当)。
[付記12]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムを用いて前記不正アクセスポイントを検知する不正アクセスポイント検知方法であって、
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントにおいて、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するステップと、
前記第1正規アクセスポイントにおいて、前記第1正規アクセスポイントで前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するステップと、
前記第2正規アクセスポイントにおいて、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するステップと、
前記第2正規アクセスポイントにおいて、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するステップと、
を含む、
不正アクセスポイント検知方法。
[付記13]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちの1又は複数の所定のアクセスポイント(第1正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、
他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得する処理と、
前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイント(第2正規アクセスポイントに相当)に送信する処理と、
を前記所定のアクセスポイント(第1正規アクセスポイントに相当)に実行させるプログラム。
[付記14]
複数の正規アクセスポイント及び管理端末がネットワークを介して通信可能に接続されるとともに、前記複数の正規アクセスポイントのいずれかで不正アクセスポイントを検知したときに前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成された不正アクセスポイント検知システムにおける前記複数の正規アクセスポイントのうちのいずれか一の所定のアクセスポイント(第2正規アクセスポイントに相当)に、前記不正アクセスポイントを検知する処理を実行させるプログラムであって、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイント(第1正規アクセスポイントに相当)からのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析する処理と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信する処理と、
を前記所定のアクセスポイント(第2正規アクセスポイントに相当)に実行させるプログラム。
[Appendix 1]
1. An unauthorized access point detection system, comprising: a plurality of authorized access points and a management terminal connected to each other via a network so as to be capable of communicating with each other; and configured to transmit an email to the management terminal when an unauthorized access point is detected by any one of the plurality of authorized access points, the email notifying the management terminal of the presence of the unauthorized access point,
One or more first authorized access points among the plurality of authorized access points are
a wireless connection unit configured to transmit a password related to the same identification information as that of the first authorized access point to another access point, to attempt a wireless connection with the other access point, and to obtain, from the other access point, the identification information related to the other access point when the wireless connection with the other access point is successful;
a request sending unit configured, when the wireless connection unit of the first authorized access point acquires the identification information related to the other access point, to send request information including the identification information related to the other access point to a second authorized access point other than the first authorized access point among the plurality of authorized access points;
Equipped with
The second authorized access point is
a management database in which data is registered as to whether or not an access point is an acceptable access point with respect to identification information relating to the access point;
an analysis unit configured to analyze, based on the management database, whether the other access point associated with the identification information included in the request information is the unauthorized access point;
an email sending unit configured to send an email notifying the management terminal of the existence of the unauthorized access point when the other access point is determined to be the unauthorized access point;
Equipped with
Rogue access point detection system.
[Appendix 2]
the second authorized access point further includes a wireless connection unit configured to transmit a password related to the same identification information as that of the second authorized access point itself to another access point to attempt a wireless connection with the other access point, and to obtain, from the other access point, the identification information related to the other access point when the wireless connection with the other access point is successful;
the analysis unit is configured to analyze, based on the management database, whether or not the other access point related to the identification information acquired by the wireless connection unit of the second legitimate access point is the unauthorized access point.
2. The unauthorized access point detection system of claim 1.
[Appendix 3]
the analysis unit determines that the unauthorized access point is present when the identification information related to the other access point does not match the identification information registered in the management database.
3. The unauthorized access point detection system according to claim 1 or 2.
[Appendix 4]
the analysis unit is configured to register the other access point in the management database as an unacceptable access point when the identification information related to the other access point does not match the identification information registered in the management database.
4. The unauthorized access point detection system according to claim 1,
[Appendix 5]
the analysis unit is configured to determine that the unauthorized access point exists when the identification information related to the other access point matches the identification information registered in the management database and is registered in the management database as an unacceptable access point.
5. The unauthorized access point detection system according to claim 1 ,
[Appendix 6]
the request transmission unit is configured to transmit the request information to the second authorized access point through HTTP communication.
6. The unauthorized access point detection system according to claim 1,
[Appendix 7]
The identification information of the other access point is a MAC address or a BSSID.
7. The unauthorized access point detection system according to claim 1 ,
[Appendix 8]
the request transmission unit is configured to transmit the request information to the second authorized access point by a communication method different from a communication method between the first authorized access point and the other access point;
8. The unauthorized access point detection system according to claim 1 ,
[Appendix 9]
the analysis unit is configured to determine that the unauthorized access point does not exist when the identification information related to the other access point matches the identification information registered in the management database and is registered in the management database as an allowable access point.
9. An unauthorized access point detection system according to any one of claims 1 to 8.
[Appendix 10]
A unauthorized access point detection system in which a plurality of authorized access points and a management terminal are communicably connected via a network, and which is configured to transmit an email notifying the management terminal of the presence of an unauthorized access point when any of the authorized access points detects an unauthorized access point, said unauthorized access point being one or more predetermined access points (corresponding to a first authorized access point) among the plurality of authorized access points;
a wireless connection unit configured to transmit a password related to the same identification information as that of the predetermined access point itself to another access point, to attempt a wireless connection with the other access point, and to obtain, from the other access point, the identification information related to the other access point when the wireless connection with the other access point is successful;
a request transmission unit configured to transmit, when the wireless connection unit of the predetermined access point acquires the identification information related to the other access point, request information including the identification information related to the other access point to one other predetermined access point (corresponding to a second legitimate access point) different from the predetermined access point among the plurality of legitimate access points;
Equipped with
Access point (corresponding to the first authorized access point).
[Appendix 11]
A unauthorized access point detection system in which a plurality of authorized access points and a management terminal are communicably connected via a network, and which is configured to transmit an email notifying the management terminal of the presence of an unauthorized access point when any of the authorized access points detects an unauthorized access point, said predetermined access point (corresponding to a second authorized access point) among the plurality of authorized access points,
The predetermined access point is
a management database in which data is registered as to whether or not an access point is an acceptable access point with respect to identification information relating to the access point;
an analysis unit configured to analyze, based on the management database, whether or not a second access point associated with identification information included in request information from another predetermined access point (corresponding to a first legitimate access point) different from the first predetermined access point among the plurality of legitimate access points is the unauthorized access point;
an email sending unit configured to send an email notifying the management terminal of the existence of the unauthorized access point when the other access point is determined to be the unauthorized access point;
Equipped with
Access point (corresponding to the second regular access point).
[Appendix 12]
A method for detecting a rogue access point using a rogue access point detection system, the system being configured such that a plurality of authorized access points and a management terminal are communicably connected via a network, and that when a rogue access point is detected by any of the plurality of authorized access points, the system transmits an email notifying the management terminal of the presence of the rogue access point, the method comprising:
a step of transmitting, in one or more first authorized access points among the plurality of authorized access points, a password related to the same identification information as that of the first authorized access point itself to another access point to attempt a wireless connection with the other access point, and acquiring, when the wireless connection with the other access point is successful, the identification information related to the other access point from the other access point;
a step of transmitting, in the first legitimate access point, when the first legitimate access point acquires the identification information related to the other access point, request information including the identification information related to the other access point to a second legitimate access point among the plurality of legitimate access points that is different from the first legitimate access point;
a step of analyzing, in the second legitimate access point, whether or not the other access point associated with the identification information included in the request information is the unauthorized access point based on a management database in which data on whether or not the access point is an allowable access point according to identification information associated with the access point is registered;
a step of, when the second authorized access point determines that the other access point is the unauthorized access point, sending an email to the management terminal to notify the existence of the unauthorized access point;
including,
A method for detecting unauthorized access points.
[Appendix 13]
A unauthorized access point detection system is configured such that a plurality of authorized access points and a management terminal are communicably connected via a network, and when an unauthorized access point is detected at any one of the plurality of authorized access points, the unauthorized access point detection system transmits an email notifying the management terminal of the presence of the unauthorized access point, the program causing one or more predetermined access points (corresponding to a first authorized access point) among the plurality of authorized access points to execute a process of detecting the unauthorized access point,
a process of transmitting a password related to the same identification information as that of the predetermined access point itself to another access point to attempt a wireless connection with the other access point, and acquiring identification information related to the other access point from the other access point when the wireless connection with the other access point is successful;
a process of transmitting, when the wireless connection unit of the predetermined access point acquires the identification information related to the other access point, request information including the identification information related to the other access point to one other predetermined access point (corresponding to a second legitimate access point) different from the predetermined access point among the plurality of legitimate access points;
The program causes the predetermined access point (corresponding to the first authorized access point) to execute the above.
[Appendix 14]
A program for causing a predetermined access point (corresponding to a second authorized access point) among a plurality of authorized access points in a unauthorized access point detection system, the unauthorized access point detection system being configured such that a plurality of authorized access points and a management terminal are communicably connected via a network, and an email notifying the management terminal of the presence of an unauthorized access point when an unauthorized access point is detected by any of the plurality of authorized access points, the program causing the predetermined access point (corresponding to a second authorized access point) among the plurality of authorized access points to execute a process for detecting the unauthorized access point,
a process of analyzing whether an access point associated with identification information included in request information from another predetermined access point (corresponding to a first legitimate access point) different from the predetermined access point among the plurality of legitimate access points is the unauthorized access point based on a management database in which data on whether the access point is an allowable access point according to identification information associated with the access point is registered;
a process of sending an email to the management terminal when the other access point is determined to be the unauthorized access point, notifying the management terminal of the existence of the unauthorized access point;
The program causes the predetermined access point (corresponding to the second authorized access point) to execute the above.
なお、上記の特許文献の各開示は、本書に引用をもって繰り込み記載されているものとし、必要に応じて本発明の基礎ないし一部として用いることが出来るものとする。本発明の全開示(特許請求の範囲及び図面を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせないし選択(必要により不選択)が可能である。すなわち、本発明は、請求の範囲及び図面を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。また、本願に記載の数値及び数値範囲については、明記がなくともその任意の中間値、下位数値、及び、小範囲が記載されているものとみなされる。さらに、上記引用した文献の各開示事項は、必要に応じ、本願発明の趣旨に則り、本願発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれる(属する)ものと、みなされる。 The disclosures of the above patent documents are incorporated herein by reference and may be used as the basis or part of the present invention as necessary. Within the framework of the entire disclosure of the present invention (including the claims and drawings), and further based on the basic technical ideas, modifications and adjustments of the embodiments and examples are possible. Furthermore, within the framework of the entire disclosure of the present invention, various combinations or selections (or non-selection as necessary) of various disclosed elements (including each element of each claim, each element of each embodiment or example, each element of each drawing, etc.) are possible. In other words, the present invention naturally includes various modifications and corrections that a person skilled in the art would be able to make in accordance with the entire disclosure, including the claims and drawings, and the technical ideas. Furthermore, with regard to the numerical values and numerical ranges described in this application, any intermediate value, lower numerical value, and small range are considered to be described even if not specified. Furthermore, the disclosures of the above cited documents may be used in part or in whole in combination with the descriptions in this document as part of the disclosure of the present invention in accordance with the spirit of the present invention as necessary, and are considered to be included (belong) to the disclosures of this application.
1 不正アクセスポイント検知システム
10A~10N 第1正規アクセスポイント
11 無線提供部
12 無線接続部
13 リクエスト送信部
20 第2正規アクセスポイント
21 無線提供部
22 無線接続部
23 リクエスト受信部
24 解析部
25 管理用データベース
26 メール送信部
30 管理端末
40 ネットワーク
50 不正アクセスポイント
60 利用者端末
100 ハードウェア資源
101 プロセッサ
102 メモリ
103 ネットワークインタフェイス
104 内部バス
1 Unauthorized access
Claims (10)
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントは、
他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記第1正規アクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するように構成されたリクエスト送信部と、
を備え、
前記第2正規アクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
不正アクセスポイント検知システム。 1. An unauthorized access point detection system, comprising: a plurality of authorized access points and a management terminal connected to each other via a network so as to be capable of communicating with each other; and configured to transmit an email to the management terminal when an unauthorized access point is detected by any one of the plurality of authorized access points, the email notifying the management terminal of the presence of the unauthorized access point,
One or more first authorized access points among the plurality of authorized access points are
a wireless connection unit configured to transmit a password related to the same identification information as that of the first authorized access point to another access point, to attempt a wireless connection with the other access point, and to obtain, from the other access point, the identification information related to the other access point when the wireless connection with the other access point is successful;
a request sending unit configured, when the wireless connection unit of the first authorized access point acquires the identification information related to the other access point, to send request information including the identification information related to the other access point to a second authorized access point other than the first authorized access point among the plurality of authorized access points;
Equipped with
The second authorized access point is
a management database in which data on whether an access point is an acceptable access point is registered based on identification information relating to the access point;
an analysis unit configured to analyze, based on the management database, whether the other access point associated with the identification information included in the request information is the unauthorized access point;
an email sending unit configured to send an email notifying the management terminal of the existence of the unauthorized access point when the other access point is determined to be the unauthorized access point;
Equipped with
Rogue access point detection system.
前記解析部は、前記管理用データベースに基づいて、前記第2正規アクセスポイントの前記無線接続部で取得した前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成されている、
請求項1記載の不正アクセスポイント検知システム。 the second authorized access point further includes a wireless connection unit configured to transmit a password related to the same identification information as that of the second authorized access point itself to another access point to attempt a wireless connection with the other access point, and to obtain, from the other access point, the identification information related to the other access point when the wireless connection with the other access point is successful;
the analysis unit is configured to analyze, based on the management database, whether or not the other access point related to the identification information acquired by the wireless connection unit of the second legitimate access point is the unauthorized access point.
2. The unauthorized access point detection system according to claim 1.
請求項1又は2記載の不正アクセスポイント検知システム。 the analysis unit determines that the unauthorized access point is present when the identification information related to the other access point does not match the identification information registered in the management database.
3. The unauthorized access point detection system according to claim 1 or 2.
請求項1乃至3のいずれか一に記載の不正アクセスポイント検知システム。 the analysis unit is configured to register the other access point in the management database as an unacceptable access point when the identification information related to the other access point does not match the identification information registered in the management database.
4. The unauthorized access point detection system according to claim 1.
請求項1乃至4のいずれか一に記載の不正アクセスポイント検知システム。 the analysis unit is configured to determine that the unauthorized access point exists when the identification information related to the other access point matches the identification information registered in the management database and the unauthorized access point is registered in the management database as an unacceptable access point.
5. The unauthorized access point detection system according to claim 1.
請求項1乃至5のいずれか一に記載の不正アクセスポイント検知システム。 the request transmission unit is configured to transmit the request information to the second authorized access point by HTTP communication.
6. The unauthorized access point detection system according to claim 1.
請求項1乃至6のいずれか一に記載の不正アクセスポイント検知システム。 The identification information of the other access point is a MAC address or a BSSID.
7. The unauthorized access point detection system according to claim 1.
他のアクセスポイントに対して、前記所定のアクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するように構成された無線接続部と、
前記所定のアクセスポイントの前記無線接続部で前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる一の他の所定のアクセスポイントに送信するように構成されたリクエスト送信部と、
を備える、
アクセスポイント。 A unauthorized access point detection system is configured such that a plurality of authorized access points and a management terminal are communicably connected via a network, and when an unauthorized access point is detected at any one of the authorized access points, the unauthorized access point detects the presence of the unauthorized access point by transmitting an email to the management terminal, the email including one or more predetermined access points among the authorized access points,
a wireless connection unit configured to transmit a password related to the same identification information as that of the predetermined access point itself to another access point, to attempt a wireless connection with the other access point, and to obtain, from the other access point, the identification information related to the other access point when the wireless connection with the other access point is successful;
a request transmission unit configured to transmit, when the wireless connection unit of the predetermined access point acquires the identification information related to the other access point, request information including the identification information related to the other access point to one other predetermined access point different from the predetermined access point among the plurality of authorized access points;
Equipped with
access point.
前記所定のアクセスポイントは、
アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースと、
前記管理用データベースに基づいて、前記複数の正規アクセスポイントのうちの前記所定のアクセスポイントと異なる他の所定のアクセスポイントからのリクエスト情報に含まれた識別情報に係る他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するように構成された解析部と、
前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するように構成されたメール送信部と、
を備える、
アクセスポイント。 A predetermined access point among a plurality of authorized access points in an unauthorized access point detection system, the predetermined access point being configured to transmit an email to the management terminal when a unauthorized access point is detected by any one of the authorized access points, the email notifying the management terminal of the presence of the unauthorized access point,
The predetermined access point is
a management database in which data is registered as to whether or not an access point is an acceptable access point with respect to identification information relating to the access point;
an analysis unit configured to analyze, based on the management database, whether or not another access point related to identification information included in request information from another predetermined access point different from the predetermined access point among the plurality of authorized access points is the unauthorized access point;
an email sending unit configured to send an email notifying the management terminal of the existence of the unauthorized access point when the other access point is determined to be the unauthorized access point;
Equipped with
access point.
前記複数の正規アクセスポイントのうちの1又は複数の第1正規アクセスポイントにおいて、他のアクセスポイントに対して、前記第1正規アクセスポイント自身と同じ識別情報に係るパスワードを送信して、前記他のアクセスポイントとの無線接続を試みるとともに、前記他のアクセスポイントとの無線接続が成功したときに、前記他のアクセスポイントから、前記他のアクセスポイントに係る識別情報を取得するステップと、
前記第1正規アクセスポイントにおいて、前記第1正規アクセスポイントで前記他のアクセスポイントに係る前記識別情報を取得したときに、前記他のアクセスポイントに係る前記識別情報を含むリクエスト情報を、前記複数の正規アクセスポイントのうちの前記第1正規アクセスポイントと異なる一の第2正規アクセスポイントに送信するステップと、
前記第2正規アクセスポイントにおいて、アクセスポイントに係る識別情報について許容できるアクセスポイントであるか否かのデータが登録された管理用データベースに基づいて、前記リクエスト情報に含まれた前記識別情報に係る前記他のアクセスポイントが前記不正アクセスポイントであるか否かを解析するステップと、
前記第2正規アクセスポイントにおいて、前記他のアクセスポイントが前記不正アクセスポイントであると判断されたときに、前記不正アクセスポイントの存在を知らせるメールを前記管理端末に送信するステップと、
を含む、
不正アクセスポイント検知方法。 A method for detecting a rogue access point using a rogue access point detection system, the system being configured such that a plurality of authorized access points and a management terminal are communicably connected via a network, and that when a rogue access point is detected by any of the plurality of authorized access points, the system transmits an email to the management terminal notifying the presence of the rogue access point, the method comprising:
a step of transmitting, in one or more first authorized access points among the plurality of authorized access points, a password related to the same identification information as that of the first authorized access point itself to another access point to attempt a wireless connection with the other access point, and acquiring, when the wireless connection with the other access point is successful, the identification information related to the other access point from the other access point;
a step of transmitting, in the first legitimate access point, when the first legitimate access point acquires the identification information related to the other access point, request information including the identification information related to the other access point to a second legitimate access point among the plurality of legitimate access points that is different from the first legitimate access point;
a step of analyzing, in the second legitimate access point, whether or not the other access point associated with the identification information included in the request information is the unauthorized access point based on a management database in which data on whether or not the access point is an allowable access point according to identification information associated with the access point is registered;
a step of, when the second authorized access point determines that the other access point is the unauthorized access point, sending an email to the management terminal to notify the existence of the unauthorized access point;
including,
A method for detecting unauthorized access points.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022005514A JP7485451B2 (en) | 2022-01-18 | 2022-01-18 | Unauthorized access point detection system, access point, method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022005514A JP7485451B2 (en) | 2022-01-18 | 2022-01-18 | Unauthorized access point detection system, access point, method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023104494A JP2023104494A (en) | 2023-07-28 |
| JP7485451B2 true JP7485451B2 (en) | 2024-05-16 |
Family
ID=87379159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022005514A Active JP7485451B2 (en) | 2022-01-18 | 2022-01-18 | Unauthorized access point detection system, access point, method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7485451B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024154236A1 (en) * | 2023-01-17 | 2024-07-25 | 三菱電機株式会社 | Monitoring device, monitoring method, and monitoring program |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007174287A (en) | 2005-12-22 | 2007-07-05 | Nec Corp | Radio packet communication system, radio packet base station, radio packet terminal and illegal communication canceling method |
| JP2017168909A (en) | 2016-03-14 | 2017-09-21 | 富士通株式会社 | Radio communication program, method, and device |
| US20200120506A1 (en) | 2018-10-15 | 2020-04-16 | Qualcomm Incorporated | Method and apparatus for detecting rogue access point in wireless networks |
-
2022
- 2022-01-18 JP JP2022005514A patent/JP7485451B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007174287A (en) | 2005-12-22 | 2007-07-05 | Nec Corp | Radio packet communication system, radio packet base station, radio packet terminal and illegal communication canceling method |
| JP2017168909A (en) | 2016-03-14 | 2017-09-21 | 富士通株式会社 | Radio communication program, method, and device |
| US20200120506A1 (en) | 2018-10-15 | 2020-04-16 | Qualcomm Incorporated | Method and apparatus for detecting rogue access point in wireless networks |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023104494A (en) | 2023-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101788495B1 (en) | Security gateway for a regional/home network | |
| EP3072334B1 (en) | Method, system and apparatus for automatically connecting to wlan | |
| US20180077572A1 (en) | Dynamic beacon streaming network and associated systems and methods | |
| US8782745B2 (en) | Detection of unauthorized wireless access points | |
| CN106134117A (en) | The detection of undelegated Wireless Telecom Equipment | |
| US20180324200A1 (en) | Method for blocking connection in wireless intrusion prevention system and device therefor | |
| CN103891331A (en) | Mobile risk assessment | |
| US10638323B2 (en) | Wireless communication device, wireless communication method, and computer readable storage medium | |
| JP2005522132A5 (en) | ||
| US12218963B2 (en) | Cybersecurity system to manage security of a computing environment (CE) | |
| US12133080B2 (en) | Terminal device and method for identifying malicious AP by using same | |
| WO2016086763A1 (en) | Wireless access node detecting method, wireless network detecting system and server | |
| JP2010263310A (en) | Wireless communication apparatus, wireless communication monitoring system, wireless communication method, and program | |
| CN106060072A (en) | Authentication method and device | |
| CN107197456A (en) | A kind of client-based identification puppet AP detection method and detection means | |
| CN106961683B (en) | A method, system and discoverer AP for detecting illegal AP | |
| CN106230788A (en) | The reorientation method of a kind of portal certification, radio reception device, portal server | |
| JP7485451B2 (en) | Unauthorized access point detection system, access point, method, and program | |
| WO2017054307A1 (en) | Recognition method and apparatus for user information | |
| CN106302519A (en) | The method of a kind of internet security management and terminal | |
| KR101366622B1 (en) | Apparatus for recognizing platform to identify a node for the control of unauthorized access | |
| CN105391720A (en) | User terminal login method and device | |
| CN112153645A (en) | Anti-network-rubbing method and device and router | |
| US11601422B2 (en) | Communication node, multi-hop network, equipment validity check method, and program | |
| RU2602956C2 (en) | System and method for protection from leakage of confidential data in wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230512 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240308 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240402 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240425 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7485451 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |