JP7499669B2 - Deception system, deception method, and deception program - Google Patents
Deception system, deception method, and deception program Download PDFInfo
- Publication number
- JP7499669B2 JP7499669B2 JP2020168731A JP2020168731A JP7499669B2 JP 7499669 B2 JP7499669 B2 JP 7499669B2 JP 2020168731 A JP2020168731 A JP 2020168731A JP 2020168731 A JP2020168731 A JP 2020168731A JP 7499669 B2 JP7499669 B2 JP 7499669B2
- Authority
- JP
- Japan
- Prior art keywords
- directory
- dummy
- regular
- icon image
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本開示は、サイバー攻撃を阻害する欺瞞機構に関するものである。 This disclosure relates to a deception mechanism that thwarts cyber attacks.
攻撃者は、様々な手法によって標的人物にメールを開かせることでコンピュータをマルウェアに感染させる。その後、攻撃者は、マルウェアを通して組織内部を探索し、情報窃取または破壊活動のような目的を達成する。多層防御の考え方に基づき、攻撃者に侵入された後でも、攻撃者の活動を阻害する技術が求められる。 Attackers use various methods to get targets to open emails and infect their computers with malware. The attackers then use the malware to explore the inside of an organization and achieve their goals, such as stealing information or engaging in destructive activities. Based on the concept of defense in depth, there is a need for technology that can hinder attacker activities even after an attacker has infiltrated a system.
非特許文献1は、正規の環境に欺瞞機構を搭載する手法を提案している。
欺瞞機構は、監視対象の環境を模擬し、配置した餌情報(bait information)を監視する。これにより、欺瞞機構は、攻撃者が餌情報に引っ掛かった際に、攻撃者の活動を検知することができる。欺瞞機構により、マルウェアの活動をプロアクティブに検知すること、および、攻撃者の活動を阻害すること、が可能になる。
Non-Patent
The deception mechanism simulates the environment of the monitored target and monitors the deployed bait information. This allows the deception mechanism to detect the activity of an attacker when the attacker falls for the bait information. The deception mechanism makes it possible to proactively detect malware activity and to disrupt attacker activity.
非特許文献1の手法では、正規ユーザの利便性向上を目的として、欺瞞機構が、正規ユーザによって操作されているシステム上では欺瞞機能をオフにする。
In the method described in
非特許文献1の手法では、正規ユーザを「GUIを利用するユーザ」と定義し、攻撃者を「CUIを利用するユーザ」と定義する。
そして、正規ユーザの利用中はダミーファイルが表示されず、正規ユーザの利便性が損なわれない。
しかし、正規ユーザの利用中は、CUI上でもダミーファイルが表示されない。そのため、CUIを用いる攻撃者は、正規ユーザの利用時間を特定することで、どのファイルが正規ファイルであるかを推定することが可能である。
また、正規ユーザが利用するOSにおいては、正規プログラムも稼働している。
そのため、非特許文献1のように、単純に「CUIを利用するユーザ」を攻撃者と定義する手法の場合は、正規プログラムの動作も阻害されてしまう。
In the technique of Non-Patent
Furthermore, the dummy file is not displayed while the authorized user is using the system, so convenience for the authorized user is not impaired.
However, dummy files are not displayed on the CUI when a legitimate user is using the system. Therefore, an attacker using the CUI can infer which files are legitimate by identifying the usage time of the legitimate user.
Furthermore, legitimate programs are also running on the OS used by legitimate users.
Therefore, in the case of a method such as that described in
本開示は、正規ユーザの利便性を保ちながら攻撃者の活動を阻害できるようにすることを目的とする。 The purpose of this disclosure is to make it possible to hinder the activities of attackers while maintaining convenience for legitimate users.
本開示の欺瞞システムは、
グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインタフェースを使ってアクセスするサイバー攻撃に対処するためのシステムである。
前記欺瞞システムは、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、を備える。
The deception system of the present disclosure comprises:
This is a system for dealing with cyber attacks that use a character user interface to access a legitimate directory that is accessed by a legitimate user using a graphical user interface.
The deception system comprises:
a configuration management unit that determines an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and designates a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
The system further includes a monitoring target generation unit that generates the monitoring target directory based on an internal configuration list indicating the determined internal configuration, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory.
本開示によれば、ダミーディレクトリの存在によって攻撃者の活動が阻害される。さらに、正規ユーザはアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザの利便性が保たれる。つまり、正規ユーザの利便性を保ちながら攻撃者の活動を阻害することが可能となる。 According to the present disclosure, the presence of a dummy directory hampers the activities of an attacker. Furthermore, since a legitimate user can check the icon image and distinguish between a legitimate directory and a dummy directory, convenience for the legitimate user is maintained. In other words, it is possible to hinder the activities of an attacker while maintaining convenience for the legitimate user.
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。 In the embodiments and drawings, the same or corresponding elements are given the same reference numerals. Explanations of elements given the same reference numerals as previously described elements are omitted or simplified as appropriate. Arrows in the drawings primarily indicate data flow or processing flow.
実施の形態1.
欺瞞システム100について、図1から図14に基づいて説明する。
The deception system 100 will be described with reference to FIGS.
***構成の説明***
図1に基づいて、欺瞞システム100の構成を説明する。
欺瞞システム100は、GUIを使って正規ユーザ101からアクセスされるディレクトリにCUIを使ってアクセスするサイバー攻撃に対処するためのシステムである。
GUIは、グラフィカルユーザインタフェースの略称である。
CUIは、キャラクタユーザインタフェースの略称である。キャラクタユーザインタフェースは、キャラクタベースユーザインタフェース(CUI)、コンソールユーザインタフェース(CUI)またはコマンドラインインタフェース(CLI)ともいう。
***Configuration Description***
The configuration of the deception system 100 will be described with reference to FIG.
The deception system 100 is a system for dealing with cyber attacks that use a CUI to access a directory that is accessed by a
GUI is an abbreviation for Graphical User Interface.
CUI is an abbreviation for Character User Interface, which is also called Character-Based User Interface (CUI), Console User Interface (CUI) or Command Line Interface (CLI).
欺瞞システム100は、ファイルサーバ200と、管理装置300と、を備える。
ファイルサーバ200は、ディレクトリおよびファイルを管理するコンピュータである。
管理装置300は、サイバー攻撃によるファイルサーバ200へのアクセスに対処するためのコンピュータである。
正規ユーザ101は、ファイルサーバ200へのアクセスが許可されたユーザである。例えば、正規ユーザ101は、ファイルサーバ200を管理する組織に属する人である。正規ユーザ101は、GUIを使ってファイルサーバ200にアクセスする。例えば、正規ユーザ101は、ユーザ端末に表示されるアイコン画像をクリックすることによって、ディレクトリまたはファイルを開く。
正規プログラム102は、ファイルサーバ200へのアクセスが許可されたプログラムである。例えば、正規プログラム102は、正規ユーザ101のユーザ端末にインストールされたアンチウィルスソフトウェアである。正規プログラム102は、CUIを使ってファイルサーバ200にアクセスする。
攻撃者103は、サイバー攻撃を行う者である。攻撃者103は、不正プログラム104を使ってファイルサーバ200にアクセスする。
不正プログラム104は、サイバー攻撃のためのプログラムである。例えば、不正プログラム104は、正規ユーザ101のユーザ端末にインストールされたマルウェアである。不正プログラム104は、CUIを使ってファイルサーバ200にアクセスする。
The deception system 100 includes a
The
The
The authorized
The
The
The
図2に基づいて、ファイルサーバ200の構成を説明する。
ファイルサーバ200は、プロセッサ201とメモリ202と補助記憶装置203と通信装置204と入出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
The configuration of the
The
プロセッサ201は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ201は、CPU、DSPまたはGPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
DSPは、Digital Signal Processorの略称である。
GPUは、Graphics Processing Unitの略称である。
The
IC is an abbreviation for Integrated Circuit.
CPU is an abbreviation for Central Processing Unit.
DSP is an abbreviation for Digital Signal Processor.
GPU is an abbreviation for Graphics Processing Unit.
メモリ202は揮発性または不揮発性の記憶装置である。メモリ202は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ202はRAMである。メモリ202に記憶されたデータは必要に応じて補助記憶装置203に保存される。
RAMは、Random Access Memoryの略称である。
The
RAM is an abbreviation for Random Access Memory.
補助記憶装置203は不揮発性の記憶装置である。例えば、補助記憶装置203は、ROM、HDDまたはフラッシュメモリである。補助記憶装置203に記憶されたデータは必要に応じてメモリ202にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
The
ROM is an abbreviation for Read Only Memory.
HDD is an abbreviation for Hard Disk Drive.
通信装置204はレシーバ及びトランスミッタである。例えば、通信装置204は通信チップまたはNICである。
NICは、Network Interface Cardの略称である。
The
NIC is an abbreviation for Network Interface Card.
入出力インタフェース205は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース205はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
USBは、Universal Serial Busの略称である。
The input/
USB is an abbreviation for Universal Serial Bus.
ファイルサーバ200は、構成通知部211と監視対象生成部212とアクセスログ記録部213といった要素を備える。これらの要素はソフトウェアで実現される。
The
補助記憶装置203には、監視対象ディレクトリ220が記憶される。
補助記憶装置203には、構成通知部211と監視対象生成部212とアクセスログ記録部213としてコンピュータを機能させるためのファイルサーバプログラムが記憶されている。ファイルサーバプログラムは、メモリ202にロードされて、プロセッサ201によって実行される。
補助記憶装置203には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
プロセッサ201は、OSを実行しながら、ファイルサーバプログラムを実行する。
OSは、Operating Systemの略称である。
The
The
The
The
OS is an abbreviation for Operating System.
ファイルサーバプログラムの入出力データは記憶部に記憶される。
メモリ202は記憶部として機能する。但し、補助記憶装置203、プロセッサ201内のレジスタおよびプロセッサ201内のキャッシュメモリなどの記憶装置が、メモリ202の代わりに、又は、メモリ202と共に、記憶部として機能してもよい。
Input and output data of the file server program is stored in the storage unit.
The
ファイルサーバ200は、プロセッサ201を代替する複数のプロセッサを備えてもよい。
The
ファイルサーバプログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。 The file server program can be recorded (stored) in a computer-readable manner on a non-volatile recording medium such as an optical disk or flash memory.
図3に基づいて、管理装置300の構成を説明する。
管理装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
The configuration of the
The
プロセッサ301は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ301はCPU、DSPまたはGPUである。
メモリ302は揮発性または不揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。
入出力インタフェース305は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
The
The
The
The
The input/
管理装置300は、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314といった要素を備える。これらの要素はソフトウェアで実現される。
The
補助記憶装置303には、ログデータベース320が記憶される。
補助記憶装置303には、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314としてコンピュータを機能させるための管理プログラムが記憶されている。管理プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
補助記憶装置303には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
プロセッサ301は、OSを実行しながら、管理プログラムを実行する。
The
The
The
The
管理プログラムの入出力データは記憶部390に記憶される。
メモリ302は記憶部390として機能する。但し、補助記憶装置303、プロセッサ301内のレジスタおよびプロセッサ301内のキャッシュメモリなどの記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
Input and output data for the management program is stored in
The
管理装置300は、プロセッサ301を代替する複数のプロセッサを備えてもよい。
The
管理プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。 The management program can be recorded (stored) in a computer-readable manner on a non-volatile recording medium such as an optical disk or flash memory.
***動作の説明***
欺瞞システム100の動作の手順は欺瞞方法に相当する。また、欺瞞システム100の動作の手順は欺瞞プログラムによる処理の手順に相当する。欺瞞プログラムは、ファイルサーバプログラムと管理プログラムとを含む。
*** Operation Description ***
The operation procedure of the deception system 100 corresponds to a deception method. The operation procedure of the deception system 100 corresponds to a processing procedure by a deception program. The deception program includes a file server program and a management program.
図4に基づいて、欺瞞方法の準備段階について説明する。
ステップS110において、欺瞞指示部311は、生成指示を送信する。
生成指示は、監視対象ディレクトリ220の生成の指示を示すデータである。
The preparatory steps of the deception method will now be described with reference to FIG.
In step S110, the
The creation instruction is data indicating an instruction to create the monitoring target directory 220 .
ステップS120において、監視対象生成部212は、正規ディレクトリを監視対象ディレクトリ220に置き換える。
正規ディレクトリは、ダミーの生成の対象となるディレクトリであり、ファイルサーバ200に予め存在する。
正規ディレクトリのダミーとなるディレクトリを「ダミーディレクトリ」と称する。
監視対象ディレクトリ220は、正規ディレクトリとダミーディレクトリとを含むディレクトリ群である。
ステップS120の詳細について後述する。
In step S<b>120 , the monitoring
The regular directory is a directory for which a dummy directory is to be generated, and exists in advance in the
A directory that is a dummy of a regular directory is called a "dummy directory".
The monitored directories 220 are a group of directories including regular directories and dummy directories.
Step S120 will be described in detail later.
ステップS130において、監視対象生成部212は、監視対象ディレクトリ220の中の各ディレクトリのアイコン画像を変更する。
つまり、監視対象生成部212は、正規ディレクトリとダミーディレクトリとのそれぞれのアイコン画像を変更する。
ステップS130の詳細について後述する。
In step S 130 , the monitoring
That is, the monitoring
Step S130 will be described in detail later.
図5に基づいて、ステップS120の手順を説明する。
ステップS121において、構成通知部211は、生成指示を受信する。
そして、構成通知部211は、正規ディレクトリの構成情報を得る。ディレクトリの構成情報はディレクトリの中の構成(内部構成)を示す情報である。例えば、構成通知部211は、正規ディレクトリの構成情報をOSから取得する。
The procedure of step S120 will be described with reference to FIG.
In step S121, the
Then, the
ステップS122において、構成通知部211は、正規構成通知を送信する。
正規構成通知は、正規ディレクトリの構成情報を示すデータである。
In step S122, the
The formal configuration notification is data that indicates the configuration information of a formal directory.
ステップS123において、構成管理部312は、正規構成通知を受信する。
次に、構成管理部312は、正規構成通知に示される正規ディレクトリの内部構成に基づいて、監視対象ディレクトリ220の内部構成を決定する。
そして、構成管理部312は、内部構成リストを生成する。内部構成リストは、監視対象ディレクトリ220の内部構成を示す。例えば、内部構成リストは、監視対象ディレクトリ220の中の各ディレクトリの名称およびパスを示す。
また、構成管理部312は、内部構成リストを記憶部390に保存する。これにより、ファイルサーバ200において、内部構成リストを参照して各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
In step S123, the
Next, the
Then, the
Furthermore, the
ステップS124において、構成管理部312は、内部構成リストを送信する。
In step S124, the
ステップS125において、監視対象生成部212は、内部構成リストを受信する。
そして、監視対象生成部212は、内部構成リストに示される内部構成を有するディレクトリを生成する。生成されるディレクトリが監視対象ディレクトリ220である。このとき、正規ディレクトリは監視対象ディレクトリ220に統合される。
その後、監視対象生成部212は、内部構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
In step S125, the monitoring
Then, the monitoring
Thereafter, the monitoring
図6に、正規ディレクトリ221と監視対象ディレクトリ220とのそれぞれの構成の例を示す。
正規ディレクトリ221は、ディレクトリA、ディレクトリBおよびディレクトリCで構成されている。ディレクトリA、ディレクトリBおよびディレクトリCは、rootディレクトリの下に配置されている。ディレクトリA、ディレクトリBおよびディレクトリCは階層を成している。
監視対象ディレクトリ220は、正規ディレクトリ221と、正規ディレクトリ221に対するダミーディレクトリと、を含んでいる。
ディレクトリA1は、正規ディレクトリ221であるディレクトリAに相当する。
ディレクトリA1の下において、ディレクトリB1は正規ディレクトリ221であるディレクトリBに相当し、ディレクトリB1の下のディレクトリC1は正規ディレクトリ221であるディレクトリCに相当する。
FIG. 6 shows an example of the configuration of each of the regular directory 221 and the monitored directory 220. In FIG.
The regular directory 221 is made up of a directory A, a directory B, and a directory C. The directories A, B, and C are arranged under the root directory. The directories A, B, and C form a hierarchy.
The monitored directory 220 includes a regular directory 221 and a dummy directory for the regular directory 221 .
The directory A1 corresponds to the directory A which is the regular directory 221 .
Under the directory A1, the directory B1 corresponds to the directory B which is a regular directory 221, and under the directory B1, the directory C1 corresponds to the directory C which is a regular directory 221.
監視対象ディレクトリ220において、その他のディレクトリは全てダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB1の下のディレクトリC2は、ディレクトリB1の下のディレクトリC1に対するダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB2は、ディレクトリB1に対するダミーディレクトリであり、ディレクトリB1と同じ構成を有している。
ディレクトリA2は、ディレクトリA1に対するダミーディレクトリであり、ディレクトリA1と同じ構成を有している。
このように、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれと同じ構成を有するダミーディレクトリを含む。これにより、攻撃者103が正規ディレクトリ221にアクセスする手間を増やし、攻撃者103の攻撃コストを増大させることができる。
In the monitored directory 220, all other directories are dummy directories.
Under directory A1, directory C2 under directory B1 is a dummy directory for directory C1 under directory B1.
Under the directory A1, the directory B2 is a dummy directory for the directory B1, and has the same structure as the directory B1.
Directory A2 is a dummy directory for directory A1 and has the same structure as directory A1.
In this way, the monitored directory 220 includes dummy directories having the same configuration as each of the regular directories 221. This increases the effort required for the
図7に、正規ディレクトリ221と監視対象ディレクトリ220とのそれぞれの構成の例を示す。
正規ディレクトリ221は、ディレクトリA、ディレクトリB、ディレクトリCおよびディレクトリDで構成されている。
監視対象ディレクトリ220において、ディレクトリA1の下のディレクトリD1は、正規ディレクトリ221であるディレクトリDに相当する。ディレクトリD2は、ディレクトリD1に対するダミーディレクトリである。
攻撃者103は、監視対象ディレクトリ220の中の正規ディレクトリ221にアクセスするために、常に2択を迫られる。
FIG. 7 shows an example of the configuration of each of the regular directory 221 and the monitored directory 220. In FIG.
The regular directory 221 is made up of a directory A, a directory B, a directory C, and a directory D.
In the monitoring target directory 220, a directory D1 under a directory A1 corresponds to the directory D which is a regular directory 221. A directory D2 is a dummy directory for the directory D1.
In order to access the regular directory 221 in the monitored directory 220, the
監視対象ディレクトリ220の構成は、図6または図7に示すような構成に限られない。例えば、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれに対して2つ以上のダミーディレクトリを含んでもよい。 The configuration of the monitored directory 220 is not limited to the configuration shown in FIG. 6 or FIG. 7. For example, the monitored directory 220 may include two or more dummy directories for each regular directory 221.
図8に、監視対象ディレクトリ220の内部構成リストを生成するためのプログラムコードの例を示す。
「dir」は、プログラムコードの入力を表す。入力dirは、例えば、辞書形式で与えられる。具体的には、入力dirはハッシュテーブルである。
FIG. 8 shows an example of program code for generating the internal configuration list of the monitored directory 220. In FIG.
"dir" represents an input of a program code. The input dir is given in a dictionary format, for example. Specifically, the input dir is a hash table.
図7の場合、入力dirは以下のように表される。
dir = {“root”:[“A”],“A”:[“B”,“D”],“B”:[“C”],“C”:[],“D”:[]}
“X”のXは、ディレクトリ名を表す。
“X”:[“Y”]は、ディレクトリYがディレクトリXの下のディレクトリであることを意味する。
In the case of FIG. 7, the input dir is expressed as follows:
dir = {"root":["A"], "A":["B", "D"], "B":["C"], "C":[], "D":[]}
The X in "X" represents a directory name.
"X":["Y"] means that directory Y is a directory below directory X.
上記の入力dirに対してプログラムコードが実行されることにより、以下のような出力が得られる。
{‘root’:[‘A1’,‘A2’],‘A1:[‘B1’,‘B2’,‘D1’,‘D2’],‘A2’:[‘B1’,‘B2’,‘D1’,‘D2’],‘B1’:[‘C1’,‘C2’],‘B2’:[‘C1’,‘C2’],‘C1’:[],‘C2’:[],‘D1’:[],‘D2’:[]}
‘X’のXは、ディレクトリ名を表す。
ディレクトリ名の末尾が「1」であるディレクトリが正規ディレクトリ221である。つまり、A1/B1/C1およびA1/D1が正規ディレクトリ221である。X/Yは、ディレクトリXおよびディレクトリXの下のディレクトリYを表す。
By executing the program code on the above input dir, the following output is obtained:
{'root':['A1','A2'],'A1:['B1','B2','D1','D2'],'A2':['B1','B2','D1','D2'],'B1':['C1','C2'],'B2':['C1','C2'],'C1':[],'C2':[],'D1':[],'D2':[]}
The X in 'X' represents a directory name.
A directory whose name ends with "1" is a regular directory 221. That is, A1/B1/C1 and A1/D1 are regular directories 221. X/Y represents directory X and directory Y below directory X.
なお、正規ディレクトリ221の中にファイルが存在する場合、ダミーディレクトリの中にダミーファイルが生成される。正規ディレクトリ221の中のファイルを「正規ファイル」と称する。
ダミーファイルの名称およびアイコン画像は、正規ファイルの名称およびアイコン画像と同じである。
ダミーファイルの中身は、正規ファイルの中身と異なる。具体的には、ダミーファイルを特定する情報がダミーファイルに記載される。例えば、ダミーファイルには「dummy」という単語が記載される。これにより、正規ユーザ101がダミーファイルを開いた場合に、正規ユーザ101は、誤ってダミーファイルを開いたことに気づくことができる。
ダミーファイルのサイズは、正規ファイルのサイズと同じにする。これにより、攻撃者103は、ファイルサイズの情報を参照して正規ファイルとダミーファイルとを識別できない。
It should be noted that if a file exists in the regular directory 221, a dummy file is generated in the dummy directory. A file in the regular directory 221 is called a "regular file".
The name and icon image of the dummy file are the same as the name and icon image of the regular file.
The contents of a dummy file are different from the contents of a regular file. Specifically, information that identifies the dummy file is written in the dummy file. For example, the word "dummy" is written in the dummy file. This allows the
The size of the dummy file is set to be the same as the size of the legitimate file, so that the
図9に基づいて、ステップS130の手順を説明する。
ステップS131において、構成管理部312は、監視対象ディレクトリ220の中の各ディレクトリのためのアイコン画像を得る。
つまり、構成管理部312は、正規ディレクトリのためのアイコン画像と、ダミーディレクトリのためのアイコン画像と、を得る。
正規ディレクトリのためのアイコン画像を「正規アイコン画像」と称する。正規アイコン画像は正規ディレクトリを表す。
ダミーディレクトリのためのアイコン画像を「ダミーアイコン画像」と称する。ダミーアイコン画像はダミーディレクトリを表す。
The procedure of step S130 will be described with reference to FIG.
In step S 131 , the
That is, the
The icon image for a canonical directory is referred to as a "canonical icon image." The canonical icon image represents a canonical directory.
The icon image for the dummy directory is referred to as a “dummy icon image.” The dummy icon image represents the dummy directory.
図10に、正規アイコン画像223とダミーアイコン画像224とのそれぞれの例を示す。
正規アイコン画像223には丸印が記されている。正規アイコン画像223のようなアイコン画像が使用されることにより、正規ユーザ101は、正規ディレクトリを一目で識別することができる。
ダミーアイコン画像224にはバツ印が記されている。ダミーアイコン画像224のようなアイコン画像が使用されることにより、正規ユーザ101は、ダミーディレクトリを一目で識別することができる。
正規アイコン画像223とダミーアイコン画像224は、記憶部390に予め記憶される。
構成管理部312は、正規ディレクトリの数と同じ数だけ正規アイコン画像223を複製する。
構成管理部312は、ダミーディレクトリの数と同じ数だけダミーアイコン画像224を複製する。
FIG. 10 shows examples of the regular icon image 223 and the dummy icon image 224.
A circle is marked on the regular icon image 223. By using an icon image such as the regular icon image 223, the
A cross is marked on the dummy icon image 224. By using an icon image such as the dummy icon image 224, the authorized
The regular icon image 223 and the dummy icon image 224 are stored in advance in the
The
The
図9に戻り、ステップS132から説明を続ける。
ステップS132において、構成管理部312は、各アイコン画像の名称を生成する。つまり、構成管理部312は、正規アイコン画像の名称と、ダミーアイコン画像の名称と、を生成する。
正規アイコン画像の名称を「正規アイコン名」と称する。
ダミーアイコン画像の名称を「ダミーアイコン名」と称する。
Returning to FIG. 9, the description will continue from step S132.
In step S132, the
The name of the genuine icon image is called the "genuine icon name."
The name of the dummy icon image is called a "dummy icon name."
正規アイコン名およびダミーアイコン名は以下のように生成される。
まず、構成管理部312は、正規アイコン画像のための識別子と、ダミーアイコン画像のための識別子と、をランダムに生成する。
正規アイコン画像のための識別子を「正規識別子」と称する。ダミーアイコン画像のための識別子を「ダミー識別子」と称する。
具体的には、構成管理部312は、ランダムに文字列を生成する。生成される文字列を「ランダム文字列」と称する。そして、構成管理部312は、正規ディレクトリ用の記号をランダム文字列に付加して正規識別子を生成し、ダミーディレクトリ用の記号をランダム文字列に付加してダミー識別子を生成する。
例えば、「g」が正規ディレクトリ用の記号であり、「d」がダミーディレクトリ用の記号である場合、「g_ランダム文字列」が正規識別子となり、「d_ランダム文字列」がダミー識別子となる。
そして、構成管理部312は、正規識別子を暗号化して暗号化正規識別子を生成する。暗号化正規識別子が正規アイコン名として使用される。また、構成管理部312は、ダミー識別子を暗号化して暗号化ダミー識別子を生成する。暗号化ダミー識別子がダミーアイコン名として使用される。
暗号化または復号に用いられる鍵(暗号鍵)は記憶部390に予め登録される。例えば、共通鍵が暗号鍵として用いられる。そして、共通鍵暗号によって正規識別子とダミー識別子とのそれぞれが暗号化される。また、正規アイコン名が正規識別子に復号され、ダミ
ーアイコン名がダミー識別子に復号される。
The regular icon names and dummy icon names are generated as follows.
First, the
An identifier for a genuine icon image is referred to as a "genuine identifier", and an identifier for a dummy icon image is referred to as a "dummy identifier".
Specifically, the
For example, if "g" is the symbol for a regular directory and "d" is the symbol for a dummy directory, then "g_random character string" is the regular identifier and "d_random character string" is the dummy identifier.
Then, the
A key (encryption key) used for encryption or decryption is registered in advance in the
ステップS133において、構成管理部312は、内部構成リストと正規アイコン画像と正規アイコン名とダミーアイコン画像とダミーアイコン名とを用いて、対象構成リストを生成する。
対象構成リストは、内部構成リストの内容を示し、監視対象ディレクトリ220の中の各ディレクトリに対応付けてアイコン画像と名称とを示す。例えば、対象構成リストは表形式で生成される。
In step S133, the
The target configuration list indicates the contents of the internal configuration list, and indicates an icon image and a name in association with each directory in the monitoring target directory 220. For example, the target configuration list is generated in a table format.
また、構成管理部312は、対象構成リストを記憶部390に保存する。これにより、管理装置300において、対象構成リストを参照して監視対象ディレクトリ220の中の各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
対象構成リストと内部構成リストとの両方が管理されてもよいし、内部構成リストが対象構成リストに統合されてもよい。
Furthermore, the
Both the target configuration list and the internal configuration list may be managed, or the internal configuration list may be integrated into the target configuration list.
ステップS134において、構成管理部312は、対象構成リストを送信する。
対象構成リストによって、監視対象ディレクトリ220の各ディレクトリに対するアイコン画像および名称が指定される。
In step S134, the
The target configuration list specifies an icon image and a name for each directory in monitored directory 220 .
ステップS135において、監視対象生成部212は、対象構成リストを受信する。
そして、監視対象生成部212は、対象構成リストを参照し、監視対象ディレクトリ220の中の各ディレクトリに対象構成リストに示されるアイコン画像を設定する。
つまり、監視対象生成部212は、正規ディレクトリに正規アイコン画像を設定し、ダミーディレクトリにダミーアイコン画像を設定する。
In step S135, the monitoring
The monitoring
That is, the monitoring
ステップS136において、監視対象生成部212は、対象構成リストを参照し、各アイコン画像に対象構成リストに示される名称を設定する。
つまり、監視対象生成部212は、正規アイコン画像に正規アイコン名を設定し、ダミーアイコン画像にダミーアイコン名を設定する。
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各アイコン画像の名称を参照して各アイコン画像が正規アイコン画像とダミーアイコン画像とのいずれであるか特定されない。
In step S136, the monitoring
That is, the monitoring
Thereafter, the monitoring
図11に、アイコン画像群の例を示す。
正規アイコン画像223のそれぞれには、正規アイコン名が設定されている。
ダミーアイコン画像224のそれぞれには、ダミーアイコン名が設定されている。
正規アイコン名とダミーアイコン名とのそれぞれは、暗号化された識別子である。そのため、アイコン画像の名称を参照しても、アイコン画像が正規ディレクトリとダミーディレクトリとのいずれのものであるか判定することはできない。
これにより、不正プログラム104は、正規ディレクトリとダミーディレクトリとを判別することができない。
FIG. 11 shows an example of a group of icon images.
Each of the regular icon images 223 has a regular icon name set thereto.
A dummy icon name is set for each of the dummy icon images 224.
The regular icon name and the dummy icon name are each an encrypted identifier, so even if you refer to the name of the icon image, it is not possible to determine whether the icon image is in a regular directory or a dummy directory.
This prevents the
一方、正規プログラム102は、暗号鍵を用いてアイコン画像の名称からディレクトリの識別子を復号し、ディレクトリの識別子を参照することによって正規ディレクトリとダミーディレクトリとを判別することができる。暗号鍵は、ダミーアクセス検知部313が所持する。
On the other hand, the
以降において、欺瞞方法の運用段階について説明する。
図12に基づいて、欺瞞方法におけるアクセスログの記録について説明する。
ステップS141において、アクセスログ記録部213は、監視対象ディレクトリ220へのアクセスを監視する。
例えば、アクセスログ記録部213は、OSのイベントログを参照する。
In the following, the operational stages of the deception method will be described.
The recording of an access log in the deception method will be described with reference to FIG.
In step S 141 , the access
For example, the access
ステップS142において、アクセスログ記録部213は、監視対象ログを得る。
監視対象ログは、監視対象ディレクトリ220へのアクセスを示すアクセスログである。アクセスログは、アクセス元名称およびアクセス先名称などを示す。
例えば、アクセスログ記録部213は、OSのイベントログから監視対象ログを抽出する。
In step S142, the access
The monitoring target log is an access log that indicates access to the monitoring target directory 220. The access log indicates the name of the access source and the name of the access destination, etc.
For example, the access
ステップS143において、アクセスログ記録部213は、管理装置300と通信することによって、監視対象ログをログデータベース320に記録する。
In step S143, the access
図13に基づいて、欺瞞方法における不正なアクセスの検知について説明する。
ステップS151において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
具体的には、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスを示すアクセスログがログデータベース320に記録されているか判定する。
アクセスログに示されるアクセス先名称が対象構成リスト(または内部構成リスト)に示されるダミーディレクトリ名またはダミーアイコン名と一致する場合、そのアクセスログはダミーディレクトリへのアクセスを示している。
Detection of unauthorized access in the deception method will be described with reference to FIG.
In step S151, the dummy
Specifically, the dummy
When the access destination name shown in the access log matches the dummy directory name or dummy icon name shown in the target configuration list (or the internal configuration list), the access log indicates an access to the dummy directory.
ステップS152において、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスが正規プログラム102によるアクセスであるか判定する。
具体的には、ダミーアクセス検知部313は、アクセスログに示されるアクセス元名称がホワイトリストに記されているか判定する。
ホワイトリストは、正規プログラム102のリストであり、記憶部390に予め記憶される。正規プログラム102は、正規ユーザ101が利用するOSにおいて稼働している。つまり、ホワイトリストには、正規ユーザ101が利用するOSにおいて稼働している正規プログラム102が記されている。そして、ホワイトリストは、正規プログラム102と不正プログラム104とを切り分けるために使用される。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、不正プログラム104によるダミーディレクトリへのアクセスは検知されず、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、不正プログラム104によるダミーディレクトリへのアクセスが検知され、処理はステップS153に進む。
In step S152, the dummy
Specifically, the dummy
The whitelist is a list of
If the access to the dummy directory is an access by the
If the access to the dummy directory is not made by the
ステップS153において、アラート発生部314は、アラートを発生させる。
例えば、アラート発生部314は、アラートをディスプレイに表示する。
In step S153, the
For example, the
図14に基づいて、欺瞞方法における監視対象ディレクトリ220の更新について説明する。
ステップS161において、欺瞞指示部311は、定期的に更新指示を送信する。例えば、欺瞞指示部311は、1日に1回、更新指示を送信する。
更新指示は、監視対象ディレクトリ220の更新の指示を示すデータである。
The update of the monitoring target directory 220 in the deception method will be described with reference to FIG.
In step S161, the
The update instruction is data indicating an instruction to update the monitoring target directory 220 .
ステップS162において、構成通知部211は、更新指示を受信する。
そして、構成通知部211は、監視対象ディレクトリ220の構成情報を得る。例えば、構成通知部211は、監視対象ディレクトリ220の構成情報をOSから取得する。
In step S162, the
Then, the
ステップS163において、構成通知部211は、対象構成通知を送信する。
対象構成通知は、監視対象ディレクトリ220の構成情報を示すデータである。
In step S163, the
The target configuration notification is data indicating the configuration information of the monitoring target directory 220 .
ステップS164において、構成管理部312は、対象構成通知を受信する。
そして、構成管理部312は、対象構成通知に示される監視対象ディレクトリ220の内部構成に基づいて、対象構成リストを更新する。
具体的には、構成管理部312は、多重化されていない正規ディレクトリに対するダミーディレクトリ、つまり、ダミーディレクトリが存在しない正規ディレクトリに対するダミーディレクトリ、を監視対象ディレクトリ220に追加する。また、構成管理部312は、追加されるダミーディレクトリにダミーアイコン画像とダミーアイコン名とを対応付ける。
多重化されていない正規ディレクトリは、監視対象ディレクトリ220の構成情報を参照して特定される。多重化されていない正規ディレクトリは、ステップS162において構成通知部211によって特定されてもよいし、ステップS164において構成管理部312によって特定されてもよい。
In step S164, the
Then, the
Specifically, the
The regular directory that is not multiplexed is identified by referring to the configuration information of the monitoring target directory 220. The regular directory that is not multiplexed may be identified by the
ステップS165において、構成管理部312は、更新後の対象構成リストを送信する。
In step S165, the
ステップS166において、監視対象生成部212は、更新後の対象構成リストを受信する。
そして、監視対象生成部212は、更新後の対象構成リストに従って、監視対象ディレクトリ220を更新する。つまり、監視対象生成部212は、ダミーディレクトリが存在しない正規ディレクトリにダミーディレクトリを追加し、
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
In step S166, the monitoring
Then, the monitoring
Thereafter, the monitoring
***実施の形態1の効果***
実施の形態1により、ダミーディレクトリの存在によって攻撃者103の活動が阻害される。さらに、正規ユーザ101はアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザ101利便性が保たれる。つまり、正規ユーザ101の利便性を保ちながら攻撃者103の活動を阻害することが可能となる。
***Advantages of First Embodiment***
According to the first embodiment, the presence of the dummy directory hinders the activities of the
各ディレクトリのアイコン画像は、例えば、OSの機能を利用すれば変更することが可能である。
アイコン画像が変更された場合、プロパティ情報を参照することにより、指定されたアイコン画像のパスが判明する。そのため、正規ディレクトリ用のアイコン画像とダミーディレクトリ用のアイコン画像との二種類のアイコン画像だけが用意された場合、次のようなことが懸念される。攻撃者103は、いずれかのダミーディレクトリを1つ見付けてしまえば、当該ダミーディレクトリのプロパティ情報を参照してアイコン画像を特定し、特定したアイコン画像を使用しているディレクトリがすべてダミーディレクトリであると判断することができる。そのため、CUIが使用される場合であっても、どのディレクトリが正規ディレクトリであるか確認することができてしまう。
そこで、欺瞞システム100は、個々のディレクトリに対して個別のアイコン画像を用意する。ここで、正規ディレクトリが使用するアイコン画像はすべて同じ絵柄である。同様に、ダミーディレクトリが使用するアイコン画像はすべて同じ絵柄である。正規ディレクトリのアイコン画像の名称もダミーディレクトリのアイコン画像の名称も暗号化識別子
となっており、すべてのアイコン画像の名称は異なる。
正規ユーザ101はGUIを使用する。そのため、正規ユーザ101は、アイコン画像を見て正規ディレクトリとダミーディレクトリとを判別することができる。一方、攻撃者103はCUIを使用する。しかし、攻撃者103はアイコン画像の名称を見て正規ディレクトリとダミーディレクトリとを判別することができない。
The icon image of each directory can be changed by using, for example, the functions of the OS.
When an icon image is changed, the path of the specified icon image is identified by referring to the property information. Therefore, if only two types of icon images, an icon image for a regular directory and an icon image for a dummy directory, are prepared, the following concerns arise. Once an
Therefore, the deception system 100 prepares individual icon images for each directory. Here, all the icon images used by the regular directories have the same design. Similarly, all the icon images used by the dummy directories have the same design. The names of the icon images of the regular directories and the dummy directories are both encrypted identifiers, and all the names of the icon images are different.
The
欺瞞システム100において、全てのディレクトリおよびファイルが多重化される。そのため、ディレクトリの階層ごとに、ダミーを含む二つ以上の選択肢が存在することとなる。また、ダミーディレクトリへのアクセスが発生した際に攻撃者103に対する通知はない。そのため、攻撃者103は、ダミーファイルを開くまでは、自身がダミーディレクトリを探索していた事実に気づくことはない。また、検索ツールを利用しても、名前が同じディレクトリが複数見つかり、ディレクトリを絞り込むことができない。そのため、検索ツールは攻撃者103にとっての有効な手段にはならない。また、ダミーディレクトリへのアクセスは攻撃検知アラートの出力のきっかけとなる。そのため、攻撃者103は、何か1つのファイルを探索するにも、ダミーディレクトリへのアクセスを避けながら行う必要がある。よって、攻撃者に負担を与えることができる。
In the deception system 100, all directories and files are multiplexed. Therefore, there are two or more options, including a dummy, for each directory hierarchy. Furthermore, the
正規ユーザ101がダミーディレクトリを含むディレクトリ構成上でファイルブラウジングを実施することを考える。この時、正規ユーザ101であっても、ダミーディレクトリを誤って選択する可能性がある。しかし、最下層以外のダミーディレクトリが選択された場合、表示されるディレクトリは全てダミーディレクトリであるため、全てのアイコン画像にバツ印が記されている。そして、表示されている全てのアイコン画像がダミーディレクトリのアイコン画像であるため、正規ユーザ101は、ダミーディレクトリを誤って選択してしまったことに気づくことができる。また、最下層のダミーディレクトリが選択された場合、ダミーディレクトリにはファイルしか存在しないので、ダミーディレクトリのアイコン画像は表示されない。この場合、正規ユーザ101はダミーディレクトリの中のファイル(ダミーファイル)を開くことになる。しかし、ダミーファイルの中にはダミーファイルを特定する情報が記されている。そのため、正規ユーザ101は、ダミーファイルを開いた時点で、ダミーディレクトリを誤って選択してしまったことに気づくことができる。
Consider that the authorized
正規プログラム102によるダミーディレクトリへのアクセスについては、ホワイトリストを使って正規プログラム102によるアクセスを除外することで、アラートの発生を防ぐことができる。具体的には、ダミーディレクトリにアクセスしたプログラムがホワイトリストに記されているプログラム(正規プログラム102)である場合にアラートを発生させないようにすることができる。このように、ホワイトリストを使用することにより、正規プログラム102と不正プログラム104とを切り分けることができる。
Regarding access to the dummy directory by the
上記の理由から、欺瞞システム100によって、正規ユーザ101および正規プログラム102の利便性を保ちながら、不正プログラム104によるアクセスの誤検知を減らすことができる。
さらに、サイバー攻撃が発覚した後に、ダミーディレクトリへのアクセス状況を把握することができるため、攻撃者103の活動を把握し、インシデントレスポンスを行うことが可能となる。
For the reasons described above, the deception system 100 can reduce false positives of access by
Furthermore, after a cyber attack is discovered, it is possible to grasp the access status to the dummy directory, thereby making it possible to grasp the activities of the
実施の形態2.
不正なアクセスの誤検知を低減する形態について、主に実施の形態1と異なる点を図15および図16に基づいて説明する。
Embodiment 2.
The embodiment for reducing false detection of unauthorized access will be described with reference to Figs. 15 and 16, focusing mainly on the differences from the first embodiment.
***構成の説明***
欺瞞システム100の構成は、実施の形態1における構成と同じである(図1を参照)。但し、管理装置300の構成の一部が実施の形態1における構成と異なる。
***Configuration Description***
The configuration of the deception system 100 is the same as that in the first embodiment (see FIG. 1). However, part of the configuration of the
図15に基づいて、管理装置300の構成を説明する。
管理装置300は、さらに、アクセス確認部315とアクセス確認ログ記録部316といった要素を備える。
管理プログラムは、さらに、アクセス確認部315とアクセス確認ログ記録部316としてコンピュータを機能させる。
The configuration of the
The
The management program further causes the computer to function as an
***動作の説明***
欺瞞方法の準備段階については、実施の形態1における動作と同じである(図4を参照)。
欺瞞方法の運用段階において、記録および更新については、実施の形態1における動作と同じである(図12および図14を参照)。
*** Operation Description ***
The preparation stage of the deception method is the same as the operation in the first embodiment (see FIG. 4).
During the operation phase of the deception method, the operations for recording and updating are the same as those in embodiment 1 (see Figures 12 and 14).
図16に基づいて、欺瞞方法における不正なアクセスの検知について説明する。 Based on Figure 16, we will explain how to detect unauthorized access using the deception method.
ステップS251において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
ステップS251は、実施の形態1におけるステップS151と同じである。
In step S251, the dummy
Step S251 is the same as step S151 in the first embodiment.
ステップS252において、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスが正規プログラム102によるアクセスであるか判定する。
ステップS252は、実施の形態1におけるステップS152と同じである。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、処理はステップS253に進む。
In step S252, the dummy
Step S252 is the same as step S152 in the first embodiment.
If the access to the dummy directory is made by the
If the access to the dummy directory is not made by the
ステップS253において、アクセス確認部315は、正規ユーザ101のユーザ端末と通信することによって、正規ユーザ101のユーザ端末にアクセス確認画面を表示させる。
アクセス確認画面は、ダミーディレクトリへのアクセスが正規ユーザ101の操作によるものであるか確認するための画面である。アクセス確認画面は、ディレクトリ名、パスの情報およびアクセス時間など、ダミーディレクトリへのアクセスについて正規ユーザ101の判断に必要な情報を提示する。
アクセス確認画面の具体的な形態は「ポップアップ」である。
In step S253, the
The access confirmation screen is a screen for confirming whether or not access to the dummy directory is the result of an operation by the authorized
The specific form of the access confirmation screen is a "pop-up."
ステップS254において、アクセス確認ログ記録部316は、一定時間、アクセス確認画面に対する回答を受け付ける。
In step S254, the access confirmation
ステップS255において、アクセス確認ログ記録部316は、アクセス確認画面に対する回答結果を含んだアクセス確認ログを生成する。
アクセス確認画面に対する回答結果は次のような情報を示す。一定時間に回答が得られなかった(未回答)。正規ユーザ101がダミーディレクトリにアクセスした。正規ユーザ101がダミーディレクトリにアクセスしていない。アクセス確認画面に対する回答が人間の操作によるものではない。アクセス確認画面に対する回答が人間の操作によるものであるか否かは、CAPCHAと呼ばれるツールなどを用いて判定することができる。
そして、アクセス確認ログ記録部316は、アクセス確認ログをログデータベース320に記録する。
In step S255, the access confirmation
The response to the access confirmation screen indicates the following information: No response was received within a certain period of time (no response).
Then, the access confirmation
ステップS256において、アラート発生部314は、ログデータベース320の中のアクセス確認ログを参照し、アクセス確認画面に対する回答結果に基づいてアラートの要否を判定する。
攻撃者103および不正プログラム104によってダミーディレクトリへのアクセスが発生した場合には、アラートの発生が必要である。
例えば、アクセス確認画面に対する回答が得られなかった場合、アラート発生部314はアラートが必要であると判定する。また、正規ユーザ101がダミーディレクトリにアクセスしていないという回答が得られた場合、アラート発生部314はアラートが必要であると判定する。また、アクセス確認画面に対する回答が人間の操作によるものではない場合、アラート発生部314はアラートが必要であると判定する。
アラートが必要である場合、処理はステップS257に進む。
アラートが必要でない場合、処理は終了する。
In step S256, the
When the
For example, if no response is received on the access confirmation screen, the
If an alert is required, processing proceeds to step S257.
If no alert is required, the process ends.
ステップS257において、アラート発生部314は、アラートを発生させる。
ステップS257は、実施の形態1におけるステップS153と同じである。
In step S257, the
Step S257 is the same as step S153 in the first embodiment.
***実施の形態2の効果***
欺瞞システム100は、ダミーディレクトリへのアクセスを検知した際に、正規ユーザ101に対してポップアップ(アクセス確認画面の一例)を表示する。正規ユーザ101はGUIを使用するので、正規ユーザ101はポップアップに対応することが可能である。そのため、ダミーディレクトリへのアクセスが正規ユーザ101によるものか、CUIを使用する攻撃者103によるものか判断することができる。これにより、不正なアクセスの誤検知を低減することができる。
***Advantages of the Second Embodiment***
When the deception system 100 detects access to the dummy directory, it displays a pop-up (an example of an access confirmation screen) to the authorized
つまり、欺瞞システム100は、ダミーディレクトリへのアクセスに対してポップアップ承認を行うことができる。GUIを使用している正規ユーザ101であれば、正しく承認を行うことができる。そのため、正規ユーザ101の誤操作によるダミーディレクトリへのアクセスについてのログを除外し、不正なアクセスの誤検知を減らすことができる。一方、CUIを使用する攻撃者103は、ポップアップ承認を通過することができない。正規ユーザ101は、自身が行った記憶がないアクセスに対してポップアップ承認が要求されるため、サイバー攻撃にいち早く気づくことができる。
In other words, the deception system 100 can perform pop-up approval for access to the dummy directory. If the user is a
***実施の形態の補足***
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
***Additional Information on the Implementation ***
Each embodiment is an example of a preferred embodiment, and is not intended to limit the technical scope of the present disclosure. Each embodiment may be implemented in part or in combination with other embodiments. The procedures described using flow charts, etc. may be modified as appropriate.
欺瞞システム100は、1台の装置(コンピュータ)または3台以上の装置によって実現されてもよい。ファイルサーバ200と管理装置300とのそれぞれは、2台以上の装置によって実現されてもよい。
欺瞞システム100の要素である「部」は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
欺瞞システム100の要素である「部」は、「処理」または「工程」と読み替えてもよい。
The deception system 100 may be realized by one device (computer) or three or more devices. Each of the
The elements of the deception system 100, that is, the "units", may be realized as software, hardware, firmware or a combination of these.
The "part" which is an element of the deception system 100 may be read as a "process" or a "step."
100 欺瞞システム、101 正規ユーザ、102 正規プログラム、103 攻撃者、104 不正プログラム、200 ファイルサーバ、201 プロセッサ、202
メモリ、203、補助記憶装置、204 通信装置、205 入出力インタフェース、211 構成通知部、212 監視対象生成部、213 アクセスログ記録部、220 監視対象ディレクトリ、221 正規ディレクトリ、223 正規アイコン画像、224 ダミーアイコン画像、300 管理装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 通信装置、305 入出力インタフェース、311 欺瞞指示部、312 構成管理部、313 ダミーアクセス検知部、314 アラート発生部、315 アクセス確認部、316 アクセス確認ログ記録部、320 ログデータベース、390 記憶部。
100 Deception system, 101 Regular user, 102 Regular program, 103 Attacker, 104 Malicious program, 200 File server, 201 Processor, 202
Memory, 203, auxiliary storage device, 204, communication device, 205, input/output interface, 211, configuration notification unit, 212, monitoring target generation unit, 213, access log recording unit, 220, monitoring target directory, 221, regular directory, 223, regular icon image, 224, dummy icon image, 300, management device, 301, processor, 302, memory, 303, auxiliary storage device, 304, communication device, 305, input/output interface, 311, deception instruction unit, 312, configuration management unit, 313, dummy access detection unit, 314, alert generation unit, 315, access confirmation unit, 316, access confirmation log recording unit, 320, log database, 390, storage unit.
Claims (9)
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、
を備える欺瞞システム。 A deception system for dealing with a cyber attack in which a regular directory accessed by a regular user using a graphical user interface is accessed using a character user interface , comprising:
a configuration management unit that determines an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and designates a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
a monitoring target generating unit that generates the monitoring target directory based on an internal configuration list indicating the determined internal configuration, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory;
A deception system comprising:
前記監視対象生成部は、前記暗号化正規識別子を前記正規アイコン画像の名称として前記正規アイコン画像に設定し、前記暗号化ダミー識別子を前記ダミーアイコン画像の名称として前記ダミーアイコン画像に設定する
請求項1に記載の欺瞞システム。 the configuration management unit generates a regular identifier that is an identifier for the regular icon image, encrypts the regular identifier to generate an encrypted regular identifier, generates a dummy identifier that is an identifier for the dummy icon image, and encrypts the dummy identifier to generate an encrypted dummy identifier;
The deception system of claim 1 , wherein the monitoring target generation unit sets the encrypted regular identifier to the regular icon image as the name of the regular icon image, and sets the encrypted dummy identifier to the dummy icon image as the name of the dummy icon image.
前記ログデータベースと前記内部構成リストとを参照して前記ダミーディレクトリへのアクセスを検知し、正規プログラムのリストであるホワイトリストを参照して不正プログラムによる前記ダミーディレクトリへのアクセスを検知するダミーアクセス検知部と、
前記不正プログラムによる前記ダミーディレクトリへのアクセスが検知された場合にアラートを発生させるアラート発生部と、
を備える
請求項1または請求項2に記載の欺瞞システム。 an access log recording unit that monitors access to the monitoring target directory and records the access log in a log database;
a dummy access detection unit that detects an access to the dummy directory by referring to the log database and the internal configuration list, and detects an access to the dummy directory by a malicious program by referring to a whitelist that is a list of legitimate programs;
an alert generating unit that generates an alert when access to the dummy directory by the malicious program is detected;
The deception system according to claim 1 or 2, comprising:
前記ログデータベースと前記内部構成リストとを参照して前記ダミーディレクトリへのアクセスを検知し、正規プログラムのリストであるホワイトリストを参照して前記ダミーディレクトリへのアクセスが正規プログラムによるアクセスであるか判定するダミーアクセス検知部と、
前記ダミーディレクトリへのアクセスが正規プログラムによるアクセスでない場合に、前記正規ユーザのユーザ端末に、前記ダミーディレクトリへのアクセスが前記正規ユーザの操作によるものであるか確認するためのアクセス確認画面を表示させるアクセス確認部と、
前記アクセス確認画面に対する回答結果に基づいてアラートの要否を判定し、アラートが必要であると判定した場合にアラートを発生させるアラート発生部と、
を備える
請求項1または請求項2に記載の欺瞞システム。 an access log recording unit that monitors access to the monitoring target directory and records the access log in a log database;
a dummy access detection unit that detects an access to the dummy directory by referring to the log database and the internal configuration list, and determines whether the access to the dummy directory is an access made by a legitimate program by referring to a whitelist that is a list of legitimate programs;
an access confirmation unit that, when an access to the dummy directory is not an access made by a legitimate program, displays an access confirmation screen on a user terminal of the legitimate user for confirming whether or not the access to the dummy directory is made by an operation of the legitimate user;
an alert generating unit that determines whether an alert is necessary based on a response result to the access confirmation screen, and generates an alert when it is determined that an alert is necessary;
The deception system according to claim 1 or 2, comprising:
前記監視対象ディレクトリの生成を指示する生成指示を送信する欺瞞指示部と、
前記生成指示を受信し、前記正規ディレクトリの内部構成を示す正規構成通知を送信する構成通知部と、
を備え、
前記構成管理部は、前記正規構成通知を受信し、前記正規構成通知に示される前記正規ディレクトリの前記内部構成に基づいて前記監視対象ディレクトリの前記内部構成を決定し、前記内部構成リストを送信し、
前記監視対象生成部は、前記内部構成リストを受信し、前記内部構成リストに基づいて前記監視対象ディレクトリを生成する
請求項1から請求項4のいずれか1項に記載の欺瞞システム。 The deception system comprises:
a deception instruction unit that transmits a generation instruction for instructing the generation of the monitoring target directory;
a configuration notification unit that receives the generation instruction and transmits a regular configuration notification indicating an internal configuration of the regular directory;
Equipped with
the configuration management unit receives the normal configuration notification, determines the internal configuration of the monitoring target directory based on the internal configuration of the normal directory indicated in the normal configuration notification, and transmits the internal configuration list;
The deception system according to claim 1 , wherein the monitoring target generation unit receives the internal configuration list and generates the monitoring target directory based on the internal configuration list.
前記監視対象生成部は、前記対象構成リストを受信し、前記対象構成リストを参照し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する
請求項5に記載の欺瞞システム。 the configuration management unit generates a target configuration list indicating the internal configuration of the monitoring target directory, indicating the regular icon image in association with the regular directory, and indicating the dummy icon image in association with the dummy directory, and transmits the target configuration list;
The deception system described in claim 5, wherein the monitoring target generation unit receives the target configuration list, refers to the target configuration list, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory.
前記構成通知部は、前記更新指示を受信し、前記監視対象ディレクトリの内部構成を示す対象構成通知を送信し、
前記構成管理部は、前記対象構成通知を受信し、前記対象構成通知に示される前記監視対象ディレクトリの前記内部構成に基づいて前記対象構成リストを更新し、更新後の対象構成リストを送信し、
前記監視対象生成部は、前記更新後の対象構成リストを受信し、前記更新後の対象構成リストに従って前記監視対象ディレクトリを更新する
請求項6に記載の欺瞞システム。 The deception instruction unit periodically transmits an update instruction to instruct updating of the monitoring target directory,
the configuration notification unit receives the update instruction and transmits a target configuration notification indicating an internal configuration of the monitoring target directory;
The configuration management unit receives the target configuration notification, updates the target configuration list based on the internal configuration of the monitoring target directory indicated in the target configuration notification, and transmits the updated target configuration list;
The deception system of claim 6 , wherein the monitoring target generation unit receives the updated target configuration list and updates the monitoring target directory in accordance with the updated target configuration list.
構成管理部が、前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定し、
監視対象生成部が、決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する
欺瞞方法。 A deception method for dealing with a cyber attack in which a legitimate directory accessed by a legitimate user using a graphical user interface is accessed using a character user interface , comprising:
a configuration management unit determines an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and specifies a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
A deception method in which a monitoring target generation unit generates the monitoring target directory based on an internal configuration list indicating a determined internal configuration, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory.
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理処理と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成処理と、
をコンピュータに実行させるための欺瞞プログラム。 A deception program for dealing with a cyber attack in which a regular directory accessed by a regular user using a graphical user interface is accessed using a character user interface , comprising:
a configuration management process for determining an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and for designating a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
a monitoring target generating process for generating the monitoring target directory based on an internal configuration list indicating the determined internal configuration, setting the regular icon image in the regular directory, and setting the dummy icon image in the dummy directory;
A deceptive program that causes a computer to execute the following.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020168731A JP7499669B2 (en) | 2020-10-05 | 2020-10-05 | Deception system, deception method, and deception program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020168731A JP7499669B2 (en) | 2020-10-05 | 2020-10-05 | Deception system, deception method, and deception program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022060950A JP2022060950A (en) | 2022-04-15 |
| JP7499669B2 true JP7499669B2 (en) | 2024-06-14 |
Family
ID=81125172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020168731A Active JP7499669B2 (en) | 2020-10-05 | 2020-10-05 | Deception system, deception method, and deception program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7499669B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024121950A1 (en) * | 2022-12-06 | 2024-06-13 | 三菱電機株式会社 | Placement location selection device, placement location selection method, and placement location selection program |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003036243A (en) | 2001-07-24 | 2003-02-07 | Kddi Corp | Intrusion prevention system |
| US20110302655A1 (en) | 2010-06-08 | 2011-12-08 | F-Secure Corporation | Anti-virus application and method |
| JP2016033690A (en) | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | Illegal intrusion detection device, illegal intrusion detection method, illegal intrusion detection program, and recording medium |
| JP2017138906A (en) | 2016-02-05 | 2017-08-10 | 株式会社ラック | Icon display device, icon display method, and program |
-
2020
- 2020-10-05 JP JP2020168731A patent/JP7499669B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003036243A (en) | 2001-07-24 | 2003-02-07 | Kddi Corp | Intrusion prevention system |
| US20110302655A1 (en) | 2010-06-08 | 2011-12-08 | F-Secure Corporation | Anti-virus application and method |
| JP2016033690A (en) | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | Illegal intrusion detection device, illegal intrusion detection method, illegal intrusion detection program, and recording medium |
| JP2017138906A (en) | 2016-02-05 | 2017-08-10 | 株式会社ラック | Icon display device, icon display method, and program |
Non-Patent Citations (1)
| Title |
|---|
| 青池 優 ほか,欺瞞機構に伴う利便性低下を防止するためのおとりファイル非表示化,情報処理学会 シンポジウム コンピュータセキュリティシンポジウム 2019,情報処理学会,2019年10月14日,P691~696 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022060950A (en) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12282549B2 (en) | Methods and apparatus for malware threat research | |
| JP6639588B2 (en) | System and method for detecting malicious files | |
| JP7084778B2 (en) | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks | |
| JP4828199B2 (en) | System and method for integrating knowledge base of anti-virus software applications | |
| JP6370747B2 (en) | System and method for virtual machine monitor based anti-malware security | |
| US7765400B2 (en) | Aggregation of the knowledge base of antivirus software | |
| JP6001781B2 (en) | Unauthorized access detection system and unauthorized access detection method | |
| KR20180032566A (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
| JP2022553061A (en) | Ransomware prevention | |
| Pont et al. | A roadmap for improving the impact of anti-ransomware research | |
| CN114417326A (en) | Abnormality detection method, abnormality detection device, electronic apparatus, and storage medium | |
| Khan | An introduction to computer viruses: problems and solutions | |
| Lemmou et al. | Infection, self-reproduction and overinfection in ransomware: the case of teslacrypt | |
| JP7499669B2 (en) | Deception system, deception method, and deception program | |
| US11275828B1 (en) | System, method, and apparatus for enhanced whitelisting | |
| Lemmou et al. | Inside gandcrab ransomware | |
| Alzahrani et al. | An overview of ransomware in the windows platform | |
| KR102309695B1 (en) | File-based deception technology for thwarting malicious users | |
| US20240126882A1 (en) | Instructions to process files in virtual machines | |
| JP2019008568A (en) | Whitelist management system and whitelist management method | |
| RU2673407C1 (en) | System and method for identifying malicious files | |
| US20250173430A1 (en) | Virtual canary files to mitigate ransomware attacks | |
| Rabaiotti | Counter intrusion software: Malware detection using structural and behavioural features and machine learning | |
| CN115758360A (en) | File management and storage system | |
| Rabaiotti | Counter Intrusion Software |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20201015 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20201015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230729 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240221 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240305 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240401 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240604 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7499669 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |