Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7499669B2 - Deception system, deception method, and deception program - Google Patents
[go: Go Back, main page]

JP7499669B2 - Deception system, deception method, and deception program - Google Patents

Deception system, deception method, and deception program Download PDF

Info

Publication number
JP7499669B2
JP7499669B2 JP2020168731A JP2020168731A JP7499669B2 JP 7499669 B2 JP7499669 B2 JP 7499669B2 JP 2020168731 A JP2020168731 A JP 2020168731A JP 2020168731 A JP2020168731 A JP 2020168731A JP 7499669 B2 JP7499669 B2 JP 7499669B2
Authority
JP
Japan
Prior art keywords
directory
dummy
regular
icon image
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020168731A
Other languages
Japanese (ja)
Other versions
JP2022060950A (en
Inventor
正勝 西垣
航汰 上原
遼 澤村
弘毅 西川
匠 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shizuoka University NUC
Mitsubishi Electric Corp
Original Assignee
Shizuoka University NUC
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shizuoka University NUC, Mitsubishi Electric Corp filed Critical Shizuoka University NUC
Priority to JP2020168731A priority Critical patent/JP7499669B2/en
Publication of JP2022060950A publication Critical patent/JP2022060950A/en
Application granted granted Critical
Publication of JP7499669B2 publication Critical patent/JP7499669B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本開示は、サイバー攻撃を阻害する欺瞞機構に関するものである。 This disclosure relates to a deception mechanism that thwarts cyber attacks.

攻撃者は、様々な手法によって標的人物にメールを開かせることでコンピュータをマルウェアに感染させる。その後、攻撃者は、マルウェアを通して組織内部を探索し、情報窃取または破壊活動のような目的を達成する。多層防御の考え方に基づき、攻撃者に侵入された後でも、攻撃者の活動を阻害する技術が求められる。 Attackers use various methods to get targets to open emails and infect their computers with malware. The attackers then use the malware to explore the inside of an organization and achieve their goals, such as stealing information or engaging in destructive activities. Based on the concept of defense in depth, there is a need for technology that can hinder attacker activities even after an attacker has infiltrated a system.

非特許文献1は、正規の環境に欺瞞機構を搭載する手法を提案している。
欺瞞機構は、監視対象の環境を模擬し、配置した餌情報(bait information)を監視する。これにより、欺瞞機構は、攻撃者が餌情報に引っ掛かった際に、攻撃者の活動を検知することができる。欺瞞機構により、マルウェアの活動をプロアクティブに検知すること、および、攻撃者の活動を阻害すること、が可能になる。
Non-Patent Document 1 proposes a method of incorporating a deception mechanism into a regular environment.
The deception mechanism simulates the environment of the monitored target and monitors the deployed bait information. This allows the deception mechanism to detect the activity of an attacker when the attacker falls for the bait information. The deception mechanism makes it possible to proactively detect malware activity and to disrupt attacker activity.

非特許文献1の手法では、正規ユーザの利便性向上を目的として、欺瞞機構が、正規ユーザによって操作されているシステム上では欺瞞機能をオフにする。 In the method described in Non-Patent Document 1, in order to improve convenience for legitimate users, the deception mechanism turns off the deception function on a system operated by a legitimate user.

青池優, 神薗雅紀, 衛藤将史, 松本倫子, & 吉田紀彦. (2019). 欺瞞機構に伴う利便性低下を防止するためのおとりファイル非表示化. コンピュータセキュリティシンポジウム 2019 論文集, 2019, 691-696.Aochi, Y., Kamizono, M., Eto, M., Matsumoto, M., & Yoshida, N. (2019). Hiding decoy files to prevent the degradation of convenience caused by deception mechanisms. Computer Security Symposium 2019 Proceedings, 2019, 691-696.

非特許文献1の手法では、正規ユーザを「GUIを利用するユーザ」と定義し、攻撃者を「CUIを利用するユーザ」と定義する。
そして、正規ユーザの利用中はダミーファイルが表示されず、正規ユーザの利便性が損なわれない。
しかし、正規ユーザの利用中は、CUI上でもダミーファイルが表示されない。そのため、CUIを用いる攻撃者は、正規ユーザの利用時間を特定することで、どのファイルが正規ファイルであるかを推定することが可能である。
また、正規ユーザが利用するOSにおいては、正規プログラムも稼働している。
そのため、非特許文献1のように、単純に「CUIを利用するユーザ」を攻撃者と定義する手法の場合は、正規プログラムの動作も阻害されてしまう。
In the technique of Non-Patent Document 1, a legitimate user is defined as a "user who uses a GUI" and an attacker is defined as a "user who uses a CUI."
Furthermore, the dummy file is not displayed while the authorized user is using the system, so convenience for the authorized user is not impaired.
However, dummy files are not displayed on the CUI when a legitimate user is using the system. Therefore, an attacker using the CUI can infer which files are legitimate by identifying the usage time of the legitimate user.
Furthermore, legitimate programs are also running on the OS used by legitimate users.
Therefore, in the case of a method such as that described in Non-Patent Document 1, in which an attacker is simply defined as a "user who uses a CUI," the operation of legitimate programs is also hindered.

本開示は、正規ユーザの利便性を保ちながら攻撃者の活動を阻害できるようにすることを目的とする。 The purpose of this disclosure is to make it possible to hinder the activities of attackers while maintaining convenience for legitimate users.

本開示の欺瞞システムは、
グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインタフェースを使ってアクセスするサイバー攻撃に対処するためのシステムである。
前記欺瞞システムは、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、を備える。
The deception system of the present disclosure comprises:
This is a system for dealing with cyber attacks that use a character user interface to access a legitimate directory that is accessed by a legitimate user using a graphical user interface.
The deception system comprises:
a configuration management unit that determines an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and designates a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
The system further includes a monitoring target generation unit that generates the monitoring target directory based on an internal configuration list indicating the determined internal configuration, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory.

本開示によれば、ダミーディレクトリの存在によって攻撃者の活動が阻害される。さらに、正規ユーザはアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザの利便性が保たれる。つまり、正規ユーザの利便性を保ちながら攻撃者の活動を阻害することが可能となる。 According to the present disclosure, the presence of a dummy directory hampers the activities of an attacker. Furthermore, since a legitimate user can check the icon image and distinguish between a legitimate directory and a dummy directory, convenience for the legitimate user is maintained. In other words, it is possible to hinder the activities of an attacker while maintaining convenience for the legitimate user.

実施の形態1における欺瞞システム100の構成図。FIG. 1 is a configuration diagram of a deception system 100 in embodiment 1. 実施の形態1におけるファイルサーバ200の構成図。FIG. 2 is a configuration diagram of a file server 200 according to the first embodiment. 実施の形態1における管理装置300の構成図。FIG. 2 is a configuration diagram of a management device 300 according to the first embodiment. 実施の形態1における欺瞞方法(準備)のフローチャート。13 is a flowchart of a deception method (preparation) in embodiment 1. 実施の形態1におけるステップS120のフローチャート。13 is a flowchart of step S120 in the first embodiment. 実施の形態1における監視対象ディレクトリ220の一例を示す図。FIG. 2 is a diagram showing an example of a monitoring target directory 220 according to the first embodiment. 実施の形態1における監視対象ディレクトリ220の一例を示す図。FIG. 2 is a diagram showing an example of a monitoring target directory 220 according to the first embodiment. 実施の形態1における監視対象ディレクトリ220の内部構成リストの生成コードの例を示す図。13 is a diagram showing an example of a generation code for an internal configuration list of a monitoring target directory 220 according to the first embodiment. 実施の形態1におけるステップS130のフローチャート。13 is a flowchart of step S130 in the first embodiment. 実施の形態1におけるアイコン画像の例を示す図。4A to 4C are diagrams showing examples of icon images according to the first embodiment. 実施の形態1におけるアイコン画像群の例を示す図。4A to 4C are diagrams showing examples of icon images according to the first embodiment. 実施の形態1における欺瞞方法(記録)のフローチャート。13 is a flowchart of a deception method (recording) in embodiment 1. 実施の形態1における欺瞞方法(検知)のフローチャート。13 is a flowchart of a deception method (detection) in embodiment 1. 実施の形態1における欺瞞方法(更新)のフローチャート。13 is a flowchart of a deception method (update) in embodiment 1. 実施の形態2における管理装置300の構成図。FIG. 11 is a configuration diagram of a management device 300 according to a second embodiment. 実施の形態2における欺瞞方法(検知)のフローチャート。13 is a flowchart of a deception method (detection) in embodiment 2.

実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。 In the embodiments and drawings, the same or corresponding elements are given the same reference numerals. Explanations of elements given the same reference numerals as previously described elements are omitted or simplified as appropriate. Arrows in the drawings primarily indicate data flow or processing flow.

実施の形態1.
欺瞞システム100について、図1から図14に基づいて説明する。
Embodiment 1.
The deception system 100 will be described with reference to FIGS.

***構成の説明***
図1に基づいて、欺瞞システム100の構成を説明する。
欺瞞システム100は、GUIを使って正規ユーザ101からアクセスされるディレクトリにCUIを使ってアクセスするサイバー攻撃に対処するためのシステムである。
GUIは、グラフィカルユーザインタフェースの略称である。
CUIは、キャラクタユーザインタフェースの略称である。キャラクタユーザインタフェースは、キャラクタベースユーザインタフェース(CUI)、コンソールユーザインタフェース(CUI)またはコマンドラインインタフェース(CLI)ともいう。
***Configuration Description***
The configuration of the deception system 100 will be described with reference to FIG.
The deception system 100 is a system for dealing with cyber attacks that use a CUI to access a directory that is accessed by a legitimate user 101 using a GUI.
GUI is an abbreviation for Graphical User Interface.
CUI is an abbreviation for Character User Interface, which is also called Character-Based User Interface (CUI), Console User Interface (CUI) or Command Line Interface (CLI).

欺瞞システム100は、ファイルサーバ200と、管理装置300と、を備える。
ファイルサーバ200は、ディレクトリおよびファイルを管理するコンピュータである。
管理装置300は、サイバー攻撃によるファイルサーバ200へのアクセスに対処するためのコンピュータである。
正規ユーザ101は、ファイルサーバ200へのアクセスが許可されたユーザである。例えば、正規ユーザ101は、ファイルサーバ200を管理する組織に属する人である。正規ユーザ101は、GUIを使ってファイルサーバ200にアクセスする。例えば、正規ユーザ101は、ユーザ端末に表示されるアイコン画像をクリックすることによって、ディレクトリまたはファイルを開く。
正規プログラム102は、ファイルサーバ200へのアクセスが許可されたプログラムである。例えば、正規プログラム102は、正規ユーザ101のユーザ端末にインストールされたアンチウィルスソフトウェアである。正規プログラム102は、CUIを使ってファイルサーバ200にアクセスする。
攻撃者103は、サイバー攻撃を行う者である。攻撃者103は、不正プログラム104を使ってファイルサーバ200にアクセスする。
不正プログラム104は、サイバー攻撃のためのプログラムである。例えば、不正プログラム104は、正規ユーザ101のユーザ端末にインストールされたマルウェアである。不正プログラム104は、CUIを使ってファイルサーバ200にアクセスする。
The deception system 100 includes a file server 200 and a management device 300 .
The file server 200 is a computer that manages directories and files.
The management device 300 is a computer for dealing with access to the file server 200 caused by cyber attacks.
The authorized user 101 is a user who is permitted to access the file server 200. For example, the authorized user 101 is a person who belongs to an organization that manages the file server 200. The authorized user 101 accesses the file server 200 using a GUI. For example, the authorized user 101 opens a directory or a file by clicking an icon image displayed on the user terminal.
The legitimate program 102 is a program that is permitted to access the file server 200. For example, the legitimate program 102 is antivirus software installed on the user terminal of the legitimate user 101. The legitimate program 102 accesses the file server 200 using a CUI.
The attacker 103 is a person who carries out a cyber attack. The attacker 103 uses a malicious program 104 to access the file server 200.
The malicious program 104 is a program for a cyber attack. For example, the malicious program 104 is malware installed on the user terminal of the authorized user 101. The malicious program 104 accesses the file server 200 by using a CUI.

図2に基づいて、ファイルサーバ200の構成を説明する。
ファイルサーバ200は、プロセッサ201とメモリ202と補助記憶装置203と通信装置204と入出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
The configuration of the file server 200 will be described with reference to FIG.
The file server 200 is a computer that includes hardware such as a processor 201, a memory 202, an auxiliary storage device 203, a communication device 204, and an input/output interface 205. These pieces of hardware are connected to each other via signal lines.

プロセッサ201は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ201は、CPU、DSPまたはGPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
DSPは、Digital Signal Processorの略称である。
GPUは、Graphics Processing Unitの略称である。
The processor 201 is an IC that performs arithmetic processing and controls other hardware. For example, the processor 201 is a CPU, a DSP, or a GPU.
IC is an abbreviation for Integrated Circuit.
CPU is an abbreviation for Central Processing Unit.
DSP is an abbreviation for Digital Signal Processor.
GPU is an abbreviation for Graphics Processing Unit.

メモリ202は揮発性または不揮発性の記憶装置である。メモリ202は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ202はRAMである。メモリ202に記憶されたデータは必要に応じて補助記憶装置203に保存される。
RAMは、Random Access Memoryの略称である。
The memory 202 is a volatile or non-volatile storage device. The memory 202 is also called a primary storage device or a main memory. For example, the memory 202 is a RAM. Data stored in the memory 202 is saved in the secondary storage device 203 as necessary.
RAM is an abbreviation for Random Access Memory.

補助記憶装置203は不揮発性の記憶装置である。例えば、補助記憶装置203は、ROM、HDDまたはフラッシュメモリである。補助記憶装置203に記憶されたデータは必要に応じてメモリ202にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
The auxiliary storage device 203 is a non-volatile storage device. For example, the auxiliary storage device 203 is a ROM, a HDD, or a flash memory. Data stored in the auxiliary storage device 203 is loaded into the memory 202 as needed.
ROM is an abbreviation for Read Only Memory.
HDD is an abbreviation for Hard Disk Drive.

通信装置204はレシーバ及びトランスミッタである。例えば、通信装置204は通信チップまたはNICである。
NICは、Network Interface Cardの略称である。
The communication device 204 is a receiver and a transmitter. For example, the communication device 204 is a communication chip or a NIC.
NIC is an abbreviation for Network Interface Card.

入出力インタフェース205は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース205はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
USBは、Universal Serial Busの略称である。
The input/output interface 205 is a port to which an input device and an output device are connected. For example, the input/output interface 205 is a USB terminal, the input device is a keyboard and a mouse, and the output device is a display.
USB is an abbreviation for Universal Serial Bus.

ファイルサーバ200は、構成通知部211と監視対象生成部212とアクセスログ記録部213といった要素を備える。これらの要素はソフトウェアで実現される。 The file server 200 includes elements such as a configuration notification unit 211, a monitoring target generation unit 212, and an access log recording unit 213. These elements are realized by software.

補助記憶装置203には、監視対象ディレクトリ220が記憶される。
補助記憶装置203には、構成通知部211と監視対象生成部212とアクセスログ記録部213としてコンピュータを機能させるためのファイルサーバプログラムが記憶されている。ファイルサーバプログラムは、メモリ202にロードされて、プロセッサ201によって実行される。
補助記憶装置203には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
プロセッサ201は、OSを実行しながら、ファイルサーバプログラムを実行する。
OSは、Operating Systemの略称である。
The auxiliary storage device 203 stores a monitoring target directory 220 .
The auxiliary storage device 203 stores a file server program for causing the computer to function as a configuration notification unit 211, a monitoring target generation unit 212, and an access log recording unit 213. The file server program is loaded into the memory 202 and executed by the processor 201.
The auxiliary storage device 203 further stores an OS. At least a part of the OS is loaded into the memory 202 and executed by the processor 201.
The processor 201 executes a file server program while executing the OS.
OS is an abbreviation for Operating System.

ファイルサーバプログラムの入出力データは記憶部に記憶される。
メモリ202は記憶部として機能する。但し、補助記憶装置203、プロセッサ201内のレジスタおよびプロセッサ201内のキャッシュメモリなどの記憶装置が、メモリ202の代わりに、又は、メモリ202と共に、記憶部として機能してもよい。
Input and output data of the file server program is stored in the storage unit.
The memory 202 functions as a storage unit. However, a storage unit such as the auxiliary storage unit 203, a register in the processor 201, or a cache memory in the processor 201 may function as a storage unit instead of the memory 202 or together with the memory 202.

ファイルサーバ200は、プロセッサ201を代替する複数のプロセッサを備えてもよい。 The file server 200 may have multiple processors that replace the processor 201.

ファイルサーバプログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。 The file server program can be recorded (stored) in a computer-readable manner on a non-volatile recording medium such as an optical disk or flash memory.

図3に基づいて、管理装置300の構成を説明する。
管理装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
The configuration of the management device 300 will be described with reference to FIG.
The management device 300 is a computer that includes hardware such as a processor 301, a memory 302, an auxiliary storage device 303, a communication device 304, and an input/output interface 305. These pieces of hardware are connected to each other via signal lines.

プロセッサ301は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ301はCPU、DSPまたはGPUである。
メモリ302は揮発性または不揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。
入出力インタフェース305は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
The processor 301 is an IC that performs arithmetic processing and controls other hardware. For example, the processor 301 is a CPU, a DSP, or a GPU.
The memory 302 is a volatile or non-volatile storage device. The memory 302 is also called a primary storage device or a main memory. For example, the memory 302 is a RAM. Data stored in the memory 302 is saved in the secondary storage device 303 as necessary.
The auxiliary storage device 303 is a non-volatile storage device. For example, the auxiliary storage device 303 is a ROM, a HDD, or a flash memory. The data stored in the auxiliary storage device 303 is loaded into the memory 302 as needed.
The communication device 304 is a receiver and a transmitter. For example, the communication device 304 is a communication chip or a NIC.
The input/output interface 305 is a port to which an input device and an output device are connected. For example, the input/output interface 305 is a USB terminal, the input device is a keyboard and a mouse, and the output device is a display.

管理装置300は、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314といった要素を備える。これらの要素はソフトウェアで実現される。 The management device 300 includes elements such as a deception instruction unit 311, a configuration management unit 312, a dummy access detection unit 313, and an alert generation unit 314. These elements are realized by software.

補助記憶装置303には、ログデータベース320が記憶される。
補助記憶装置303には、欺瞞指示部311と構成管理部312とダミーアクセス検知部313とアラート発生部314としてコンピュータを機能させるための管理プログラムが記憶されている。管理プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
補助記憶装置303には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
プロセッサ301は、OSを実行しながら、管理プログラムを実行する。
The auxiliary storage device 303 stores a log database 320 .
The auxiliary storage device 303 stores a management program for causing the computer to function as a deception instruction unit 311, a configuration management unit 312, a dummy access detection unit 313, and an alert generation unit 314. The management program is loaded into the memory 302 and executed by the processor 301.
The auxiliary storage device 303 further stores an OS. At least a part of the OS is loaded into the memory 302 and executed by the processor 301.
The processor 301 executes the management program while executing the OS.

管理プログラムの入出力データは記憶部390に記憶される。
メモリ302は記憶部390として機能する。但し、補助記憶装置303、プロセッサ301内のレジスタおよびプロセッサ301内のキャッシュメモリなどの記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
Input and output data for the management program is stored in memory unit 390 .
The memory 302 functions as the storage unit 390. However, a storage device such as the auxiliary storage device 303, a register in the processor 301, or a cache memory in the processor 301 may function as the storage unit 390 instead of the memory 302 or together with the memory 302.

管理装置300は、プロセッサ301を代替する複数のプロセッサを備えてもよい。 The management device 300 may have multiple processors that replace the processor 301.

管理プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。 The management program can be recorded (stored) in a computer-readable manner on a non-volatile recording medium such as an optical disk or flash memory.

***動作の説明***
欺瞞システム100の動作の手順は欺瞞方法に相当する。また、欺瞞システム100の動作の手順は欺瞞プログラムによる処理の手順に相当する。欺瞞プログラムは、ファイルサーバプログラムと管理プログラムとを含む。
*** Operation Description ***
The operation procedure of the deception system 100 corresponds to a deception method. The operation procedure of the deception system 100 corresponds to a processing procedure by a deception program. The deception program includes a file server program and a management program.

図4に基づいて、欺瞞方法の準備段階について説明する。
ステップS110において、欺瞞指示部311は、生成指示を送信する。
生成指示は、監視対象ディレクトリ220の生成の指示を示すデータである。
The preparatory steps of the deception method will now be described with reference to FIG.
In step S110, the deception instruction unit 311 transmits a generation instruction.
The creation instruction is data indicating an instruction to create the monitoring target directory 220 .

ステップS120において、監視対象生成部212は、正規ディレクトリを監視対象ディレクトリ220に置き換える。
正規ディレクトリは、ダミーの生成の対象となるディレクトリであり、ファイルサーバ200に予め存在する。
正規ディレクトリのダミーとなるディレクトリを「ダミーディレクトリ」と称する。
監視対象ディレクトリ220は、正規ディレクトリとダミーディレクトリとを含むディレクトリ群である。
ステップS120の詳細について後述する。
In step S<b>120 , the monitoring target generation unit 212 replaces the regular directory with the monitoring target directory 220 .
The regular directory is a directory for which a dummy directory is to be generated, and exists in advance in the file server 200 .
A directory that is a dummy of a regular directory is called a "dummy directory".
The monitored directories 220 are a group of directories including regular directories and dummy directories.
Step S120 will be described in detail later.

ステップS130において、監視対象生成部212は、監視対象ディレクトリ220の中の各ディレクトリのアイコン画像を変更する。
つまり、監視対象生成部212は、正規ディレクトリとダミーディレクトリとのそれぞれのアイコン画像を変更する。
ステップS130の詳細について後述する。
In step S 130 , the monitoring target creation unit 212 changes the icon image of each directory in the monitoring target directory 220 .
That is, the monitoring target generation unit 212 changes the icon images of the regular directory and the dummy directory.
Step S130 will be described in detail later.

図5に基づいて、ステップS120の手順を説明する。
ステップS121において、構成通知部211は、生成指示を受信する。
そして、構成通知部211は、正規ディレクトリの構成情報を得る。ディレクトリの構成情報はディレクトリの中の構成(内部構成)を示す情報である。例えば、構成通知部211は、正規ディレクトリの構成情報をOSから取得する。
The procedure of step S120 will be described with reference to FIG.
In step S121, the configuration notification unit 211 receives a generation instruction.
Then, the configuration notification unit 211 obtains configuration information of the regular directory. The configuration information of the directory is information that indicates the internal configuration of the directory. For example, the configuration notification unit 211 obtains the configuration information of the regular directory from the OS.

ステップS122において、構成通知部211は、正規構成通知を送信する。
正規構成通知は、正規ディレクトリの構成情報を示すデータである。
In step S122, the configuration notification unit 211 transmits a normal configuration notification.
The formal configuration notification is data that indicates the configuration information of a formal directory.

ステップS123において、構成管理部312は、正規構成通知を受信する。
次に、構成管理部312は、正規構成通知に示される正規ディレクトリの内部構成に基づいて、監視対象ディレクトリ220の内部構成を決定する。
そして、構成管理部312は、内部構成リストを生成する。内部構成リストは、監視対象ディレクトリ220の内部構成を示す。例えば、内部構成リストは、監視対象ディレクトリ220の中の各ディレクトリの名称およびパスを示す。
また、構成管理部312は、内部構成リストを記憶部390に保存する。これにより、ファイルサーバ200において、内部構成リストを参照して各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
In step S123, the configuration management unit 312 receives the normal configuration notification.
Next, the configuration management unit 312 determines the internal configuration of the monitoring target directory 220 based on the internal configuration of the regular directory indicated in the regular configuration notification.
Then, the configuration management unit 312 generates an internal configuration list. The internal configuration list indicates the internal configuration of the monitoring target directory 220. For example, the internal configuration list indicates the name and path of each directory in the monitoring target directory 220.
Furthermore, the configuration management unit 312 stores the internal configuration list in the storage unit 390. This allows the file server 200 to refer to the internal configuration list and identify whether each directory is a regular directory or a dummy directory.

ステップS124において、構成管理部312は、内部構成リストを送信する。 In step S124, the configuration management unit 312 sends the internal configuration list.

ステップS125において、監視対象生成部212は、内部構成リストを受信する。
そして、監視対象生成部212は、内部構成リストに示される内部構成を有するディレクトリを生成する。生成されるディレクトリが監視対象ディレクトリ220である。このとき、正規ディレクトリは監視対象ディレクトリ220に統合される。
その後、監視対象生成部212は、内部構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
In step S125, the monitoring target generation unit 212 receives the internal configuration list.
Then, the monitoring target generation unit 212 generates a directory having the internal structure shown in the internal structure list. The generated directory is the monitoring target directory 220. At this time, the regular directory is integrated into the monitoring target directory 220.
Thereafter, the monitoring target generation unit 212 erases the internal configuration list, so that it is not possible to specify in the file server 200 whether each directory is a regular directory or a dummy directory.

図6に、正規ディレクトリ221と監視対象ディレクトリ220とのそれぞれの構成の例を示す。
正規ディレクトリ221は、ディレクトリA、ディレクトリBおよびディレクトリCで構成されている。ディレクトリA、ディレクトリBおよびディレクトリCは、rootディレクトリの下に配置されている。ディレクトリA、ディレクトリBおよびディレクトリCは階層を成している。
監視対象ディレクトリ220は、正規ディレクトリ221と、正規ディレクトリ221に対するダミーディレクトリと、を含んでいる。
ディレクトリA1は、正規ディレクトリ221であるディレクトリAに相当する。
ディレクトリA1の下において、ディレクトリB1は正規ディレクトリ221であるディレクトリBに相当し、ディレクトリB1の下のディレクトリC1は正規ディレクトリ221であるディレクトリCに相当する。
FIG. 6 shows an example of the configuration of each of the regular directory 221 and the monitored directory 220. In FIG.
The regular directory 221 is made up of a directory A, a directory B, and a directory C. The directories A, B, and C are arranged under the root directory. The directories A, B, and C form a hierarchy.
The monitored directory 220 includes a regular directory 221 and a dummy directory for the regular directory 221 .
The directory A1 corresponds to the directory A which is the regular directory 221 .
Under the directory A1, the directory B1 corresponds to the directory B which is a regular directory 221, and under the directory B1, the directory C1 corresponds to the directory C which is a regular directory 221.

監視対象ディレクトリ220において、その他のディレクトリは全てダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB1の下のディレクトリC2は、ディレクトリB1の下のディレクトリC1に対するダミーディレクトリである。
ディレクトリA1の下において、ディレクトリB2は、ディレクトリB1に対するダミーディレクトリであり、ディレクトリB1と同じ構成を有している。
ディレクトリA2は、ディレクトリA1に対するダミーディレクトリであり、ディレクトリA1と同じ構成を有している。
このように、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれと同じ構成を有するダミーディレクトリを含む。これにより、攻撃者103が正規ディレクトリ221にアクセスする手間を増やし、攻撃者103の攻撃コストを増大させることができる。
In the monitored directory 220, all other directories are dummy directories.
Under directory A1, directory C2 under directory B1 is a dummy directory for directory C1 under directory B1.
Under the directory A1, the directory B2 is a dummy directory for the directory B1, and has the same structure as the directory B1.
Directory A2 is a dummy directory for directory A1 and has the same structure as directory A1.
In this way, the monitored directory 220 includes dummy directories having the same configuration as each of the regular directories 221. This increases the effort required for the attacker 103 to access the regular directory 221, thereby increasing the attacking cost of the attacker 103.

図7に、正規ディレクトリ221と監視対象ディレクトリ220とのそれぞれの構成の例を示す。
正規ディレクトリ221は、ディレクトリA、ディレクトリB、ディレクトリCおよびディレクトリDで構成されている。
監視対象ディレクトリ220において、ディレクトリA1の下のディレクトリD1は、正規ディレクトリ221であるディレクトリDに相当する。ディレクトリD2は、ディレクトリD1に対するダミーディレクトリである。
攻撃者103は、監視対象ディレクトリ220の中の正規ディレクトリ221にアクセスするために、常に2択を迫られる。
FIG. 7 shows an example of the configuration of each of the regular directory 221 and the monitored directory 220. In FIG.
The regular directory 221 is made up of a directory A, a directory B, a directory C, and a directory D.
In the monitoring target directory 220, a directory D1 under a directory A1 corresponds to the directory D which is a regular directory 221. A directory D2 is a dummy directory for the directory D1.
In order to access the regular directory 221 in the monitored directory 220, the attacker 103 is always forced to make two choices.

監視対象ディレクトリ220の構成は、図6または図7に示すような構成に限られない。例えば、監視対象ディレクトリ220は、正規ディレクトリ221のそれぞれに対して2つ以上のダミーディレクトリを含んでもよい。 The configuration of the monitored directory 220 is not limited to the configuration shown in FIG. 6 or FIG. 7. For example, the monitored directory 220 may include two or more dummy directories for each regular directory 221.

図8に、監視対象ディレクトリ220の内部構成リストを生成するためのプログラムコードの例を示す。
「dir」は、プログラムコードの入力を表す。入力dirは、例えば、辞書形式で与えられる。具体的には、入力dirはハッシュテーブルである。
FIG. 8 shows an example of program code for generating the internal configuration list of the monitored directory 220. In FIG.
"dir" represents an input of a program code. The input dir is given in a dictionary format, for example. Specifically, the input dir is a hash table.

図7の場合、入力dirは以下のように表される。
dir = {“root”:[“A”],“A”:[“B”,“D”],“B”:[“C”],“C”:[],“D”:[]}
“X”のXは、ディレクトリ名を表す。
“X”:[“Y”]は、ディレクトリYがディレクトリXの下のディレクトリであることを意味する。
In the case of FIG. 7, the input dir is expressed as follows:
dir = {"root":["A"], "A":["B", "D"], "B":["C"], "C":[], "D":[]}
The X in "X" represents a directory name.
"X":["Y"] means that directory Y is a directory below directory X.

上記の入力dirに対してプログラムコードが実行されることにより、以下のような出力が得られる。
{‘root’:[‘A1’,‘A2’],‘A1:[‘B1’,‘B2’,‘D1’,‘D2’],‘A2’:[‘B1’,‘B2’,‘D1’,‘D2’],‘B1’:[‘C1’,‘C2’],‘B2’:[‘C1’,‘C2’],‘C1’:[],‘C2’:[],‘D1’:[],‘D2’:[]}
‘X’のXは、ディレクトリ名を表す。
ディレクトリ名の末尾が「1」であるディレクトリが正規ディレクトリ221である。つまり、A1/B1/C1およびA1/D1が正規ディレクトリ221である。X/Yは、ディレクトリXおよびディレクトリXの下のディレクトリYを表す。
By executing the program code on the above input dir, the following output is obtained:
{'root':['A1','A2'],'A1:['B1','B2','D1','D2'],'A2':['B1','B2','D1','D2'],'B1':['C1','C2'],'B2':['C1','C2'],'C1':[],'C2':[],'D1':[],'D2':[]}
The X in 'X' represents a directory name.
A directory whose name ends with "1" is a regular directory 221. That is, A1/B1/C1 and A1/D1 are regular directories 221. X/Y represents directory X and directory Y below directory X.

なお、正規ディレクトリ221の中にファイルが存在する場合、ダミーディレクトリの中にダミーファイルが生成される。正規ディレクトリ221の中のファイルを「正規ファイル」と称する。
ダミーファイルの名称およびアイコン画像は、正規ファイルの名称およびアイコン画像と同じである。
ダミーファイルの中身は、正規ファイルの中身と異なる。具体的には、ダミーファイルを特定する情報がダミーファイルに記載される。例えば、ダミーファイルには「dummy」という単語が記載される。これにより、正規ユーザ101がダミーファイルを開いた場合に、正規ユーザ101は、誤ってダミーファイルを開いたことに気づくことができる。
ダミーファイルのサイズは、正規ファイルのサイズと同じにする。これにより、攻撃者103は、ファイルサイズの情報を参照して正規ファイルとダミーファイルとを識別できない。
It should be noted that if a file exists in the regular directory 221, a dummy file is generated in the dummy directory. A file in the regular directory 221 is called a "regular file".
The name and icon image of the dummy file are the same as the name and icon image of the regular file.
The contents of a dummy file are different from the contents of a regular file. Specifically, information that identifies the dummy file is written in the dummy file. For example, the word "dummy" is written in the dummy file. This allows the regular user 101 to realize that he or she has opened the dummy file by mistake when the regular user 101 opens the dummy file.
The size of the dummy file is set to be the same as the size of the legitimate file, so that the attacker 103 cannot distinguish between legitimate files and dummy files by referring to the file size information.

図9に基づいて、ステップS130の手順を説明する。
ステップS131において、構成管理部312は、監視対象ディレクトリ220の中の各ディレクトリのためのアイコン画像を得る。
つまり、構成管理部312は、正規ディレクトリのためのアイコン画像と、ダミーディレクトリのためのアイコン画像と、を得る。
正規ディレクトリのためのアイコン画像を「正規アイコン画像」と称する。正規アイコン画像は正規ディレクトリを表す。
ダミーディレクトリのためのアイコン画像を「ダミーアイコン画像」と称する。ダミーアイコン画像はダミーディレクトリを表す。
The procedure of step S130 will be described with reference to FIG.
In step S 131 , the configuration manager 312 obtains an icon image for each directory in the monitored directory 220 .
That is, the configuration management unit 312 obtains an icon image for the regular directory and an icon image for the dummy directory.
The icon image for a canonical directory is referred to as a "canonical icon image." The canonical icon image represents a canonical directory.
The icon image for the dummy directory is referred to as a “dummy icon image.” The dummy icon image represents the dummy directory.

図10に、正規アイコン画像223とダミーアイコン画像224とのそれぞれの例を示す。
正規アイコン画像223には丸印が記されている。正規アイコン画像223のようなアイコン画像が使用されることにより、正規ユーザ101は、正規ディレクトリを一目で識別することができる。
ダミーアイコン画像224にはバツ印が記されている。ダミーアイコン画像224のようなアイコン画像が使用されることにより、正規ユーザ101は、ダミーディレクトリを一目で識別することができる。
正規アイコン画像223とダミーアイコン画像224は、記憶部390に予め記憶される。
構成管理部312は、正規ディレクトリの数と同じ数だけ正規アイコン画像223を複製する。
構成管理部312は、ダミーディレクトリの数と同じ数だけダミーアイコン画像224を複製する。
FIG. 10 shows examples of the regular icon image 223 and the dummy icon image 224.
A circle is marked on the regular icon image 223. By using an icon image such as the regular icon image 223, the regular user 101 can identify the regular directory at a glance.
A cross is marked on the dummy icon image 224. By using an icon image such as the dummy icon image 224, the authorized user 101 can identify the dummy directory at a glance.
The regular icon image 223 and the dummy icon image 224 are stored in advance in the storage unit 390 .
The configuration management unit 312 copies the regular icon images 223 the same number as the number of regular directories.
The configuration management unit 312 copies the dummy icon images 224 the same number as the number of dummy directories.

図9に戻り、ステップS132から説明を続ける。
ステップS132において、構成管理部312は、各アイコン画像の名称を生成する。つまり、構成管理部312は、正規アイコン画像の名称と、ダミーアイコン画像の名称と、を生成する。
正規アイコン画像の名称を「正規アイコン名」と称する。
ダミーアイコン画像の名称を「ダミーアイコン名」と称する。
Returning to FIG. 9, the description will continue from step S132.
In step S132, the configuration management unit 312 generates names for each icon image. That is, the configuration management unit 312 generates names for the regular icon images and names for the dummy icon images.
The name of the genuine icon image is called the "genuine icon name."
The name of the dummy icon image is called a "dummy icon name."

正規アイコン名およびダミーアイコン名は以下のように生成される。
まず、構成管理部312は、正規アイコン画像のための識別子と、ダミーアイコン画像のための識別子と、をランダムに生成する。
正規アイコン画像のための識別子を「正規識別子」と称する。ダミーアイコン画像のための識別子を「ダミー識別子」と称する。
具体的には、構成管理部312は、ランダムに文字列を生成する。生成される文字列を「ランダム文字列」と称する。そして、構成管理部312は、正規ディレクトリ用の記号をランダム文字列に付加して正規識別子を生成し、ダミーディレクトリ用の記号をランダム文字列に付加してダミー識別子を生成する。
例えば、「g」が正規ディレクトリ用の記号であり、「d」がダミーディレクトリ用の記号である場合、「g_ランダム文字列」が正規識別子となり、「d_ランダム文字列」がダミー識別子となる。
そして、構成管理部312は、正規識別子を暗号化して暗号化正規識別子を生成する。暗号化正規識別子が正規アイコン名として使用される。また、構成管理部312は、ダミー識別子を暗号化して暗号化ダミー識別子を生成する。暗号化ダミー識別子がダミーアイコン名として使用される。
暗号化または復号に用いられる鍵(暗号鍵)は記憶部390に予め登録される。例えば、共通鍵が暗号鍵として用いられる。そして、共通鍵暗号によって正規識別子とダミー識別子とのそれぞれが暗号化される。また、正規アイコン名が正規識別子に復号され、ダミ
ーアイコン名がダミー識別子に復号される。
The regular icon names and dummy icon names are generated as follows.
First, the configuration management unit 312 randomly generates an identifier for a regular icon image and an identifier for a dummy icon image.
An identifier for a genuine icon image is referred to as a "genuine identifier", and an identifier for a dummy icon image is referred to as a "dummy identifier".
Specifically, the configuration management unit 312 randomly generates a character string. The generated character string is referred to as a “random character string.” The configuration management unit 312 then adds a symbol for a regular directory to the random character string to generate a regular identifier, and adds a symbol for a dummy directory to the random character string to generate a dummy identifier.
For example, if "g" is the symbol for a regular directory and "d" is the symbol for a dummy directory, then "g_random character string" is the regular identifier and "d_random character string" is the dummy identifier.
Then, the configuration management unit 312 encrypts the regular identifier to generate an encrypted regular identifier. The encrypted regular identifier is used as a regular icon name. Also, the configuration management unit 312 encrypts the dummy identifier to generate an encrypted dummy identifier. The encrypted dummy identifier is used as a dummy icon name.
A key (encryption key) used for encryption or decryption is registered in advance in the storage unit 390. For example, a common key is used as the encryption key. Then, the regular identifier and the dummy identifier are each encrypted by the common key encryption. In addition, the regular icon name is decrypted into the regular identifier, and the dummy icon name is decrypted into the dummy identifier.

ステップS133において、構成管理部312は、内部構成リストと正規アイコン画像と正規アイコン名とダミーアイコン画像とダミーアイコン名とを用いて、対象構成リストを生成する。
対象構成リストは、内部構成リストの内容を示し、監視対象ディレクトリ220の中の各ディレクトリに対応付けてアイコン画像と名称とを示す。例えば、対象構成リストは表形式で生成される。
In step S133, the configuration management unit 312 generates a target configuration list using the internal configuration list, the regular icon images, the regular icon names, the dummy icon images, and the dummy icon names.
The target configuration list indicates the contents of the internal configuration list, and indicates an icon image and a name in association with each directory in the monitoring target directory 220. For example, the target configuration list is generated in a table format.

また、構成管理部312は、対象構成リストを記憶部390に保存する。これにより、管理装置300において、対象構成リストを参照して監視対象ディレクトリ220の中の各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定することができる。
対象構成リストと内部構成リストとの両方が管理されてもよいし、内部構成リストが対象構成リストに統合されてもよい。
Furthermore, the configuration management unit 312 stores the target configuration list in the storage unit 390. This allows the management device 300 to refer to the target configuration list and identify whether each directory in the monitoring target directory 220 is a regular directory or a dummy directory.
Both the target configuration list and the internal configuration list may be managed, or the internal configuration list may be integrated into the target configuration list.

ステップS134において、構成管理部312は、対象構成リストを送信する。
対象構成リストによって、監視対象ディレクトリ220の各ディレクトリに対するアイコン画像および名称が指定される。
In step S134, the configuration management unit 312 transmits the target configuration list.
The target configuration list specifies an icon image and a name for each directory in monitored directory 220 .

ステップS135において、監視対象生成部212は、対象構成リストを受信する。
そして、監視対象生成部212は、対象構成リストを参照し、監視対象ディレクトリ220の中の各ディレクトリに対象構成リストに示されるアイコン画像を設定する。
つまり、監視対象生成部212は、正規ディレクトリに正規アイコン画像を設定し、ダミーディレクトリにダミーアイコン画像を設定する。
In step S135, the monitoring target generation unit 212 receives the target configuration list.
The monitoring target generation unit 212 then refers to the target configuration list and sets an icon image shown in the target configuration list to each directory in the monitoring target directory 220 .
That is, the monitoring target generation unit 212 sets a regular icon image in the regular directory, and sets a dummy icon image in the dummy directory.

ステップS136において、監視対象生成部212は、対象構成リストを参照し、各アイコン画像に対象構成リストに示される名称を設定する。
つまり、監視対象生成部212は、正規アイコン画像に正規アイコン名を設定し、ダミーアイコン画像にダミーアイコン名を設定する。
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各アイコン画像の名称を参照して各アイコン画像が正規アイコン画像とダミーアイコン画像とのいずれであるか特定されない。
In step S136, the monitoring target generation unit 212 refers to the target configuration list and sets the names shown in the target configuration list to each icon image.
That is, the monitoring target generation unit 212 sets a regular icon name to the regular icon image, and sets a dummy icon name to the dummy icon image.
Thereafter, the monitoring target generation unit 212 deletes the target configuration list. As a result, in the file server 200, it is not possible to specify whether each icon image is a regular icon image or a dummy icon image by referring to the name of each icon image.

図11に、アイコン画像群の例を示す。
正規アイコン画像223のそれぞれには、正規アイコン名が設定されている。
ダミーアイコン画像224のそれぞれには、ダミーアイコン名が設定されている。
正規アイコン名とダミーアイコン名とのそれぞれは、暗号化された識別子である。そのため、アイコン画像の名称を参照しても、アイコン画像が正規ディレクトリとダミーディレクトリとのいずれのものであるか判定することはできない。
これにより、不正プログラム104は、正規ディレクトリとダミーディレクトリとを判別することができない。
FIG. 11 shows an example of a group of icon images.
Each of the regular icon images 223 has a regular icon name set thereto.
A dummy icon name is set for each of the dummy icon images 224.
The regular icon name and the dummy icon name are each an encrypted identifier, so even if you refer to the name of the icon image, it is not possible to determine whether the icon image is in a regular directory or a dummy directory.
This prevents the malicious program 104 from distinguishing between a regular directory and a dummy directory.

一方、正規プログラム102は、暗号鍵を用いてアイコン画像の名称からディレクトリの識別子を復号し、ディレクトリの識別子を参照することによって正規ディレクトリとダミーディレクトリとを判別することができる。暗号鍵は、ダミーアクセス検知部313が所持する。 On the other hand, the regular program 102 can use the encryption key to decrypt the directory identifier from the name of the icon image, and distinguish between a regular directory and a dummy directory by referring to the directory identifier. The encryption key is held by the dummy access detection unit 313.

以降において、欺瞞方法の運用段階について説明する。
図12に基づいて、欺瞞方法におけるアクセスログの記録について説明する。
ステップS141において、アクセスログ記録部213は、監視対象ディレクトリ220へのアクセスを監視する。
例えば、アクセスログ記録部213は、OSのイベントログを参照する。
In the following, the operational stages of the deception method will be described.
The recording of an access log in the deception method will be described with reference to FIG.
In step S 141 , the access log recording unit 213 monitors access to the monitoring target directory 220 .
For example, the access log recording unit 213 refers to the event log of the OS.

ステップS142において、アクセスログ記録部213は、監視対象ログを得る。
監視対象ログは、監視対象ディレクトリ220へのアクセスを示すアクセスログである。アクセスログは、アクセス元名称およびアクセス先名称などを示す。
例えば、アクセスログ記録部213は、OSのイベントログから監視対象ログを抽出する。
In step S142, the access log recording unit 213 obtains the monitoring target log.
The monitoring target log is an access log that indicates access to the monitoring target directory 220. The access log indicates the name of the access source and the name of the access destination, etc.
For example, the access log recording unit 213 extracts the monitoring target log from the OS event log.

ステップS143において、アクセスログ記録部213は、管理装置300と通信することによって、監視対象ログをログデータベース320に記録する。 In step S143, the access log recording unit 213 records the monitored log in the log database 320 by communicating with the management device 300.

図13に基づいて、欺瞞方法における不正なアクセスの検知について説明する。
ステップS151において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
具体的には、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスを示すアクセスログがログデータベース320に記録されているか判定する。
アクセスログに示されるアクセス先名称が対象構成リスト(または内部構成リスト)に示されるダミーディレクトリ名またはダミーアイコン名と一致する場合、そのアクセスログはダミーディレクトリへのアクセスを示している。
Detection of unauthorized access in the deception method will be described with reference to FIG.
In step S151, the dummy access detection unit 313 refers to the log database 320 and detects access to the dummy directory.
Specifically, the dummy access detection unit 313 determines whether an access log indicating an access to the dummy directory is recorded in the log database 320 .
When the access destination name shown in the access log matches the dummy directory name or dummy icon name shown in the target configuration list (or the internal configuration list), the access log indicates an access to the dummy directory.

ステップS152において、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスが正規プログラム102によるアクセスであるか判定する。
具体的には、ダミーアクセス検知部313は、アクセスログに示されるアクセス元名称がホワイトリストに記されているか判定する。
ホワイトリストは、正規プログラム102のリストであり、記憶部390に予め記憶される。正規プログラム102は、正規ユーザ101が利用するOSにおいて稼働している。つまり、ホワイトリストには、正規ユーザ101が利用するOSにおいて稼働している正規プログラム102が記されている。そして、ホワイトリストは、正規プログラム102と不正プログラム104とを切り分けるために使用される。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、不正プログラム104によるダミーディレクトリへのアクセスは検知されず、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、不正プログラム104によるダミーディレクトリへのアクセスが検知され、処理はステップS153に進む。
In step S152, the dummy access detection unit 313 determines whether the access to the dummy directory is an access by the regular program 102 or not.
Specifically, the dummy access detection unit 313 determines whether the name of the access source indicated in the access log is written in the whitelist.
The whitelist is a list of legitimate programs 102, and is stored in advance in the storage unit 390. The legitimate programs 102 run on the OS used by the legitimate user 101. In other words, the whitelist lists the legitimate programs 102 running on the OS used by the legitimate user 101. The whitelist is used to distinguish between the legitimate programs 102 and the malicious programs 104.
If the access to the dummy directory is an access by the legitimate program 102, the access to the dummy directory by the malicious program 104 is not detected and the process ends.
If the access to the dummy directory is not made by the legitimate program 102, access to the dummy directory by the malicious program 104 is detected, and the process proceeds to step S153.

ステップS153において、アラート発生部314は、アラートを発生させる。
例えば、アラート発生部314は、アラートをディスプレイに表示する。
In step S153, the alert generating unit 314 generates an alert.
For example, the alert generating unit 314 displays an alert on a display.

図14に基づいて、欺瞞方法における監視対象ディレクトリ220の更新について説明する。
ステップS161において、欺瞞指示部311は、定期的に更新指示を送信する。例えば、欺瞞指示部311は、1日に1回、更新指示を送信する。
更新指示は、監視対象ディレクトリ220の更新の指示を示すデータである。
The update of the monitoring target directory 220 in the deception method will be described with reference to FIG.
In step S161, the deception instruction unit 311 periodically transmits an update instruction. For example, the deception instruction unit 311 transmits an update instruction once a day.
The update instruction is data indicating an instruction to update the monitoring target directory 220 .

ステップS162において、構成通知部211は、更新指示を受信する。
そして、構成通知部211は、監視対象ディレクトリ220の構成情報を得る。例えば、構成通知部211は、監視対象ディレクトリ220の構成情報をOSから取得する。
In step S162, the configuration notification unit 211 receives the update instruction.
Then, the configuration notification unit 211 obtains the configuration information of the monitoring target directory 220. For example, the configuration notification unit 211 obtains the configuration information of the monitoring target directory 220 from the OS.

ステップS163において、構成通知部211は、対象構成通知を送信する。
対象構成通知は、監視対象ディレクトリ220の構成情報を示すデータである。
In step S163, the configuration notification unit 211 transmits a target configuration notification.
The target configuration notification is data indicating the configuration information of the monitoring target directory 220 .

ステップS164において、構成管理部312は、対象構成通知を受信する。
そして、構成管理部312は、対象構成通知に示される監視対象ディレクトリ220の内部構成に基づいて、対象構成リストを更新する。
具体的には、構成管理部312は、多重化されていない正規ディレクトリに対するダミーディレクトリ、つまり、ダミーディレクトリが存在しない正規ディレクトリに対するダミーディレクトリ、を監視対象ディレクトリ220に追加する。また、構成管理部312は、追加されるダミーディレクトリにダミーアイコン画像とダミーアイコン名とを対応付ける。
多重化されていない正規ディレクトリは、監視対象ディレクトリ220の構成情報を参照して特定される。多重化されていない正規ディレクトリは、ステップS162において構成通知部211によって特定されてもよいし、ステップS164において構成管理部312によって特定されてもよい。
In step S164, the configuration management unit 312 receives the target configuration notification.
Then, the configuration management unit 312 updates the target configuration list based on the internal configuration of the monitoring target directory 220 indicated in the target configuration notification.
Specifically, the configuration management unit 312 adds a dummy directory for a regular directory that is not multiplexed, that is, a dummy directory for a regular directory in which no dummy directory exists, to the monitoring target directory 220. The configuration management unit 312 also associates a dummy icon image and a dummy icon name with the added dummy directory.
The regular directory that is not multiplexed is identified by referring to the configuration information of the monitoring target directory 220. The regular directory that is not multiplexed may be identified by the configuration notification unit 211 in step S162, or may be identified by the configuration management unit 312 in step S164.

ステップS165において、構成管理部312は、更新後の対象構成リストを送信する。 In step S165, the configuration management unit 312 sends the updated target configuration list.

ステップS166において、監視対象生成部212は、更新後の対象構成リストを受信する。
そして、監視対象生成部212は、更新後の対象構成リストに従って、監視対象ディレクトリ220を更新する。つまり、監視対象生成部212は、ダミーディレクトリが存在しない正規ディレクトリにダミーディレクトリを追加し、
その後、監視対象生成部212は、対象構成リストを消去する。これにより、ファイルサーバ200において、各ディレクトリが正規ディレクトリとダミーディレクトリとのいずれであるか特定されない。
In step S166, the monitoring target generation unit 212 receives the updated target configuration list.
Then, the monitoring target creation unit 212 updates the monitoring target directory 220 according to the updated target configuration list. In other words, the monitoring target creation unit 212 adds a dummy directory to a regular directory where no dummy directory exists,
Thereafter, the monitoring target generation unit 212 erases the target configuration list, so that it is not possible to specify whether each directory in the file server 200 is a regular directory or a dummy directory.

***実施の形態1の効果***
実施の形態1により、ダミーディレクトリの存在によって攻撃者103の活動が阻害される。さらに、正規ユーザ101はアイコン画像を確認して正規ディレクトリとダミーディレクトリとを識別することができるので、正規ユーザ101利便性が保たれる。つまり、正規ユーザ101の利便性を保ちながら攻撃者103の活動を阻害することが可能となる。
***Advantages of First Embodiment***
According to the first embodiment, the presence of the dummy directory hinders the activities of the attacker 103. Furthermore, since the authorized user 101 can distinguish between the authorized directory and the dummy directory by checking the icon images, convenience for the authorized user 101 is maintained. In other words, it is possible to hinder the activities of the attacker 103 while maintaining convenience for the authorized user 101.

各ディレクトリのアイコン画像は、例えば、OSの機能を利用すれば変更することが可能である。
アイコン画像が変更された場合、プロパティ情報を参照することにより、指定されたアイコン画像のパスが判明する。そのため、正規ディレクトリ用のアイコン画像とダミーディレクトリ用のアイコン画像との二種類のアイコン画像だけが用意された場合、次のようなことが懸念される。攻撃者103は、いずれかのダミーディレクトリを1つ見付けてしまえば、当該ダミーディレクトリのプロパティ情報を参照してアイコン画像を特定し、特定したアイコン画像を使用しているディレクトリがすべてダミーディレクトリであると判断することができる。そのため、CUIが使用される場合であっても、どのディレクトリが正規ディレクトリであるか確認することができてしまう。
そこで、欺瞞システム100は、個々のディレクトリに対して個別のアイコン画像を用意する。ここで、正規ディレクトリが使用するアイコン画像はすべて同じ絵柄である。同様に、ダミーディレクトリが使用するアイコン画像はすべて同じ絵柄である。正規ディレクトリのアイコン画像の名称もダミーディレクトリのアイコン画像の名称も暗号化識別子
となっており、すべてのアイコン画像の名称は異なる。
正規ユーザ101はGUIを使用する。そのため、正規ユーザ101は、アイコン画像を見て正規ディレクトリとダミーディレクトリとを判別することができる。一方、攻撃者103はCUIを使用する。しかし、攻撃者103はアイコン画像の名称を見て正規ディレクトリとダミーディレクトリとを判別することができない。
The icon image of each directory can be changed by using, for example, the functions of the OS.
When an icon image is changed, the path of the specified icon image is identified by referring to the property information. Therefore, if only two types of icon images, an icon image for a regular directory and an icon image for a dummy directory, are prepared, the following concerns arise. Once an attacker 103 finds any one of the dummy directories, he or she can identify the icon image by referring to the property information of the dummy directory and determine that all directories using the identified icon image are dummy directories. Therefore, even when a CUI is used, it is possible to confirm which directories are regular directories.
Therefore, the deception system 100 prepares individual icon images for each directory. Here, all the icon images used by the regular directories have the same design. Similarly, all the icon images used by the dummy directories have the same design. The names of the icon images of the regular directories and the dummy directories are both encrypted identifiers, and all the names of the icon images are different.
The regular user 101 uses a GUI. Therefore, the regular user 101 can distinguish between a regular directory and a dummy directory by looking at the icon images. On the other hand, the attacker 103 uses a CUI. However, the attacker 103 cannot distinguish between a regular directory and a dummy directory by looking at the names of the icon images.

欺瞞システム100において、全てのディレクトリおよびファイルが多重化される。そのため、ディレクトリの階層ごとに、ダミーを含む二つ以上の選択肢が存在することとなる。また、ダミーディレクトリへのアクセスが発生した際に攻撃者103に対する通知はない。そのため、攻撃者103は、ダミーファイルを開くまでは、自身がダミーディレクトリを探索していた事実に気づくことはない。また、検索ツールを利用しても、名前が同じディレクトリが複数見つかり、ディレクトリを絞り込むことができない。そのため、検索ツールは攻撃者103にとっての有効な手段にはならない。また、ダミーディレクトリへのアクセスは攻撃検知アラートの出力のきっかけとなる。そのため、攻撃者103は、何か1つのファイルを探索するにも、ダミーディレクトリへのアクセスを避けながら行う必要がある。よって、攻撃者に負担を与えることができる。 In the deception system 100, all directories and files are multiplexed. Therefore, there are two or more options, including a dummy, for each directory hierarchy. Furthermore, the attacker 103 is not notified when a dummy directory is accessed. Therefore, the attacker 103 does not realize that he or she is searching a dummy directory until he or she opens the dummy file. Furthermore, even if a search tool is used, multiple directories with the same name are found, and the directory cannot be narrowed down. Therefore, the search tool is not an effective means for the attacker 103. Furthermore, access to a dummy directory triggers the output of an attack detection alert. Therefore, even if the attacker 103 searches for a single file, he or she must do so while avoiding access to the dummy directory. This places a burden on the attacker.

正規ユーザ101がダミーディレクトリを含むディレクトリ構成上でファイルブラウジングを実施することを考える。この時、正規ユーザ101であっても、ダミーディレクトリを誤って選択する可能性がある。しかし、最下層以外のダミーディレクトリが選択された場合、表示されるディレクトリは全てダミーディレクトリであるため、全てのアイコン画像にバツ印が記されている。そして、表示されている全てのアイコン画像がダミーディレクトリのアイコン画像であるため、正規ユーザ101は、ダミーディレクトリを誤って選択してしまったことに気づくことができる。また、最下層のダミーディレクトリが選択された場合、ダミーディレクトリにはファイルしか存在しないので、ダミーディレクトリのアイコン画像は表示されない。この場合、正規ユーザ101はダミーディレクトリの中のファイル(ダミーファイル)を開くことになる。しかし、ダミーファイルの中にはダミーファイルを特定する情報が記されている。そのため、正規ユーザ101は、ダミーファイルを開いた時点で、ダミーディレクトリを誤って選択してしまったことに気づくことができる。 Consider that the authorized user 101 performs file browsing on a directory structure that includes a dummy directory. At this time, even the authorized user 101 may mistakenly select a dummy directory. However, if a dummy directory other than the lowest level is selected, all the directories displayed are dummy directories, and therefore all icon images are marked with a cross. And since all the icon images displayed are icon images of dummy directories, the authorized user 101 can realize that he has mistakenly selected the dummy directory. Also, if the lowest level dummy directory is selected, only files exist in the dummy directory, and therefore no icon image of the dummy directory is displayed. In this case, the authorized user 101 opens a file (dummy file) in the dummy directory. However, the dummy file contains information that identifies the dummy file. Therefore, the authorized user 101 can realize that he has mistakenly selected the dummy directory at the time of opening the dummy file.

正規プログラム102によるダミーディレクトリへのアクセスについては、ホワイトリストを使って正規プログラム102によるアクセスを除外することで、アラートの発生を防ぐことができる。具体的には、ダミーディレクトリにアクセスしたプログラムがホワイトリストに記されているプログラム(正規プログラム102)である場合にアラートを発生させないようにすることができる。このように、ホワイトリストを使用することにより、正規プログラム102と不正プログラム104とを切り分けることができる。 Regarding access to the dummy directory by the legitimate program 102, an alert can be prevented from being generated by excluding access by the legitimate program 102 using a whitelist. Specifically, it is possible to prevent an alert from being generated if the program that has accessed the dummy directory is a program (legitimate program 102) that is listed on the whitelist. In this way, by using the whitelist, it is possible to distinguish between the legitimate program 102 and the malicious program 104.

上記の理由から、欺瞞システム100によって、正規ユーザ101および正規プログラム102の利便性を保ちながら、不正プログラム104によるアクセスの誤検知を減らすことができる。
さらに、サイバー攻撃が発覚した後に、ダミーディレクトリへのアクセス状況を把握することができるため、攻撃者103の活動を把握し、インシデントレスポンスを行うことが可能となる。
For the reasons described above, the deception system 100 can reduce false positives of access by malicious programs 104 while maintaining convenience for legitimate users 101 and legitimate programs 102 .
Furthermore, after a cyber attack is discovered, it is possible to grasp the access status to the dummy directory, thereby making it possible to grasp the activities of the attacker 103 and implement an incident response.

実施の形態2.
不正なアクセスの誤検知を低減する形態について、主に実施の形態1と異なる点を図15および図16に基づいて説明する。
Embodiment 2.
The embodiment for reducing false detection of unauthorized access will be described with reference to Figs. 15 and 16, focusing mainly on the differences from the first embodiment.

***構成の説明***
欺瞞システム100の構成は、実施の形態1における構成と同じである(図1を参照)。但し、管理装置300の構成の一部が実施の形態1における構成と異なる。
***Configuration Description***
The configuration of the deception system 100 is the same as that in the first embodiment (see FIG. 1). However, part of the configuration of the management device 300 is different from that in the first embodiment.

図15に基づいて、管理装置300の構成を説明する。
管理装置300は、さらに、アクセス確認部315とアクセス確認ログ記録部316といった要素を備える。
管理プログラムは、さらに、アクセス確認部315とアクセス確認ログ記録部316としてコンピュータを機能させる。
The configuration of the management device 300 will be described with reference to FIG.
The management device 300 further includes elements such as an access confirmation unit 315 and an access confirmation log recording unit 316 .
The management program further causes the computer to function as an access confirmation unit 315 and an access confirmation log recording unit 316 .

***動作の説明***
欺瞞方法の準備段階については、実施の形態1における動作と同じである(図4を参照)。
欺瞞方法の運用段階において、記録および更新については、実施の形態1における動作と同じである(図12および図14を参照)。
*** Operation Description ***
The preparation stage of the deception method is the same as the operation in the first embodiment (see FIG. 4).
During the operation phase of the deception method, the operations for recording and updating are the same as those in embodiment 1 (see Figures 12 and 14).

図16に基づいて、欺瞞方法における不正なアクセスの検知について説明する。 Based on Figure 16, we will explain how to detect unauthorized access using the deception method.

ステップS251において、ダミーアクセス検知部313は、ログデータベース320を参照し、ダミーディレクトリへのアクセスを検知する。
ステップS251は、実施の形態1におけるステップS151と同じである。
In step S251, the dummy access detection unit 313 refers to the log database 320 and detects access to the dummy directory.
Step S251 is the same as step S151 in the first embodiment.

ステップS252において、ダミーアクセス検知部313は、ダミーディレクトリへのアクセスが正規プログラム102によるアクセスであるか判定する。
ステップS252は、実施の形態1におけるステップS152と同じである。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスである場合、処理は終了する。
ダミーディレクトリへのアクセスが正規プログラム102によるアクセスでない場合、処理はステップS253に進む。
In step S252, the dummy access detection unit 313 determines whether the access to the dummy directory is an access by the regular program 102 or not.
Step S252 is the same as step S152 in the first embodiment.
If the access to the dummy directory is made by the regular program 102, the process ends.
If the access to the dummy directory is not made by the regular program 102, the process proceeds to step S253.

ステップS253において、アクセス確認部315は、正規ユーザ101のユーザ端末と通信することによって、正規ユーザ101のユーザ端末にアクセス確認画面を表示させる。
アクセス確認画面は、ダミーディレクトリへのアクセスが正規ユーザ101の操作によるものであるか確認するための画面である。アクセス確認画面は、ディレクトリ名、パスの情報およびアクセス時間など、ダミーディレクトリへのアクセスについて正規ユーザ101の判断に必要な情報を提示する。
アクセス確認画面の具体的な形態は「ポップアップ」である。
In step S253, the access confirmation unit 315 communicates with the user terminal of the authorized user 101 to cause the user terminal of the authorized user 101 to display an access confirmation screen.
The access confirmation screen is a screen for confirming whether or not access to the dummy directory is the result of an operation by the authorized user 101. The access confirmation screen presents information necessary for the authorized user 101 to judge whether or not access to the dummy directory has been made, such as the directory name, path information, and access time.
The specific form of the access confirmation screen is a "pop-up."

ステップS254において、アクセス確認ログ記録部316は、一定時間、アクセス確認画面に対する回答を受け付ける。 In step S254, the access confirmation log recording unit 316 accepts responses to the access confirmation screen for a certain period of time.

ステップS255において、アクセス確認ログ記録部316は、アクセス確認画面に対する回答結果を含んだアクセス確認ログを生成する。
アクセス確認画面に対する回答結果は次のような情報を示す。一定時間に回答が得られなかった(未回答)。正規ユーザ101がダミーディレクトリにアクセスした。正規ユーザ101がダミーディレクトリにアクセスしていない。アクセス確認画面に対する回答が人間の操作によるものではない。アクセス確認画面に対する回答が人間の操作によるものであるか否かは、CAPCHAと呼ばれるツールなどを用いて判定することができる。
そして、アクセス確認ログ記録部316は、アクセス確認ログをログデータベース320に記録する。
In step S255, the access confirmation log recording unit 316 generates an access confirmation log including the response to the access confirmation screen.
The response to the access confirmation screen indicates the following information: No response was received within a certain period of time (no response). Authorized user 101 accessed a dummy directory. Authorized user 101 did not access the dummy directory. The response to the access confirmation screen was not the result of a human operation. Whether or not the response to the access confirmation screen was the result of a human operation can be determined using a tool called CAPCHA.
Then, the access confirmation log recording unit 316 records the access confirmation log in the log database 320 .

ステップS256において、アラート発生部314は、ログデータベース320の中のアクセス確認ログを参照し、アクセス確認画面に対する回答結果に基づいてアラートの要否を判定する。
攻撃者103および不正プログラム104によってダミーディレクトリへのアクセスが発生した場合には、アラートの発生が必要である。
例えば、アクセス確認画面に対する回答が得られなかった場合、アラート発生部314はアラートが必要であると判定する。また、正規ユーザ101がダミーディレクトリにアクセスしていないという回答が得られた場合、アラート発生部314はアラートが必要であると判定する。また、アクセス確認画面に対する回答が人間の操作によるものではない場合、アラート発生部314はアラートが必要であると判定する。
アラートが必要である場合、処理はステップS257に進む。
アラートが必要でない場合、処理は終了する。
In step S256, the alert generating unit 314 refers to the access confirmation log in the log database 320, and determines whether or not an alert is necessary based on the response to the access confirmation screen.
When the attacker 103 or the malicious program 104 accesses the dummy directory, an alert must be issued.
For example, if no response is received on the access confirmation screen, the alert generating unit 314 determines that an alert is necessary. If a response is received that the authorized user 101 is not accessing the dummy directory, the alert generating unit 314 determines that an alert is necessary. If the response on the access confirmation screen is not the result of a human operation, the alert generating unit 314 determines that an alert is necessary.
If an alert is required, processing proceeds to step S257.
If no alert is required, the process ends.

ステップS257において、アラート発生部314は、アラートを発生させる。
ステップS257は、実施の形態1におけるステップS153と同じである。
In step S257, the alert generating unit 314 generates an alert.
Step S257 is the same as step S153 in the first embodiment.

***実施の形態2の効果***
欺瞞システム100は、ダミーディレクトリへのアクセスを検知した際に、正規ユーザ101に対してポップアップ(アクセス確認画面の一例)を表示する。正規ユーザ101はGUIを使用するので、正規ユーザ101はポップアップに対応することが可能である。そのため、ダミーディレクトリへのアクセスが正規ユーザ101によるものか、CUIを使用する攻撃者103によるものか判断することができる。これにより、不正なアクセスの誤検知を低減することができる。
***Advantages of the Second Embodiment***
When the deception system 100 detects access to the dummy directory, it displays a pop-up (an example of an access confirmation screen) to the authorized user 101. Since the authorized user 101 uses a GUI, the authorized user 101 can respond to the pop-up. Therefore, it is possible to determine whether the access to the dummy directory is made by the authorized user 101 or by an attacker 103 using a CUI. This makes it possible to reduce false positives of unauthorized access.

つまり、欺瞞システム100は、ダミーディレクトリへのアクセスに対してポップアップ承認を行うことができる。GUIを使用している正規ユーザ101であれば、正しく承認を行うことができる。そのため、正規ユーザ101の誤操作によるダミーディレクトリへのアクセスについてのログを除外し、不正なアクセスの誤検知を減らすことができる。一方、CUIを使用する攻撃者103は、ポップアップ承認を通過することができない。正規ユーザ101は、自身が行った記憶がないアクセスに対してポップアップ承認が要求されるため、サイバー攻撃にいち早く気づくことができる。 In other words, the deception system 100 can perform pop-up approval for access to the dummy directory. If the user is a legitimate user 101 using a GUI, approval can be performed correctly. This makes it possible to exclude logs of access to the dummy directory due to incorrect operation by the legitimate user 101, thereby reducing false positives of unauthorized access. On the other hand, an attacker 103 using a CUI cannot pass the pop-up approval. The legitimate user 101 can quickly become aware of a cyber attack because a pop-up approval is required for an access that the legitimate user 101 does not remember making.

***実施の形態の補足***
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
***Additional Information on the Implementation ***
Each embodiment is an example of a preferred embodiment, and is not intended to limit the technical scope of the present disclosure. Each embodiment may be implemented in part or in combination with other embodiments. The procedures described using flow charts, etc. may be modified as appropriate.

欺瞞システム100は、1台の装置(コンピュータ)または3台以上の装置によって実現されてもよい。ファイルサーバ200と管理装置300とのそれぞれは、2台以上の装置によって実現されてもよい。
欺瞞システム100の要素である「部」は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
欺瞞システム100の要素である「部」は、「処理」または「工程」と読み替えてもよい。
The deception system 100 may be realized by one device (computer) or three or more devices. Each of the file server 200 and the management device 300 may be realized by two or more devices.
The elements of the deception system 100, that is, the "units", may be realized as software, hardware, firmware or a combination of these.
The "part" which is an element of the deception system 100 may be read as a "process" or a "step."

100 欺瞞システム、101 正規ユーザ、102 正規プログラム、103 攻撃者、104 不正プログラム、200 ファイルサーバ、201 プロセッサ、202
メモリ、203、補助記憶装置、204 通信装置、205 入出力インタフェース、211 構成通知部、212 監視対象生成部、213 アクセスログ記録部、220 監視対象ディレクトリ、221 正規ディレクトリ、223 正規アイコン画像、224 ダミーアイコン画像、300 管理装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 通信装置、305 入出力インタフェース、311 欺瞞指示部、312 構成管理部、313 ダミーアクセス検知部、314 アラート発生部、315 アクセス確認部、316 アクセス確認ログ記録部、320 ログデータベース、390 記憶部。
100 Deception system, 101 Regular user, 102 Regular program, 103 Attacker, 104 Malicious program, 200 File server, 201 Processor, 202
Memory, 203, auxiliary storage device, 204, communication device, 205, input/output interface, 211, configuration notification unit, 212, monitoring target generation unit, 213, access log recording unit, 220, monitoring target directory, 221, regular directory, 223, regular icon image, 224, dummy icon image, 300, management device, 301, processor, 302, memory, 303, auxiliary storage device, 304, communication device, 305, input/output interface, 311, deception instruction unit, 312, configuration management unit, 313, dummy access detection unit, 314, alert generation unit, 315, access confirmation unit, 316, access confirmation log recording unit, 320, log database, 390, storage unit.

Claims (9)

グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインタフェースを使ってアクセスするサイバー攻撃に対処するための欺瞞システムであって、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理部と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成部と、
を備える欺瞞システム。
A deception system for dealing with a cyber attack in which a regular directory accessed by a regular user using a graphical user interface is accessed using a character user interface , comprising:
a configuration management unit that determines an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and designates a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
a monitoring target generating unit that generates the monitoring target directory based on an internal configuration list indicating the determined internal configuration, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory;
A deception system comprising:
前記構成管理部は、前記正規アイコン画像のための識別子である正規識別子を生成し、前記正規識別子を暗号化して暗号化正規識別子を生成し、前記ダミーアイコン画像のための識別子であるダミー識別子を生成し、前記ダミー識別子を暗号化して暗号化ダミー識別子を生成し、
前記監視対象生成部は、前記暗号化正規識別子を前記正規アイコン画像の名称として前記正規アイコン画像に設定し、前記暗号化ダミー識別子を前記ダミーアイコン画像の名称として前記ダミーアイコン画像に設定する
請求項1に記載の欺瞞システム。
the configuration management unit generates a regular identifier that is an identifier for the regular icon image, encrypts the regular identifier to generate an encrypted regular identifier, generates a dummy identifier that is an identifier for the dummy icon image, and encrypts the dummy identifier to generate an encrypted dummy identifier;
The deception system of claim 1 , wherein the monitoring target generation unit sets the encrypted regular identifier to the regular icon image as the name of the regular icon image, and sets the encrypted dummy identifier to the dummy icon image as the name of the dummy icon image.
前記監視対象ディレクトリへのアクセスを監視し、アクセスログをログデータベースに記録するアクセスログ記録部と、
前記ログデータベースと前記内部構成リストとを参照して前記ダミーディレクトリへのアクセスを検知し、正規プログラムのリストであるホワイトリストを参照して不正プログラムによる前記ダミーディレクトリへのアクセスを検知するダミーアクセス検知部と、
前記不正プログラムによる前記ダミーディレクトリへのアクセスが検知された場合にアラートを発生させるアラート発生部と、
を備える
請求項1または請求項2に記載の欺瞞システム。
an access log recording unit that monitors access to the monitoring target directory and records the access log in a log database;
a dummy access detection unit that detects an access to the dummy directory by referring to the log database and the internal configuration list, and detects an access to the dummy directory by a malicious program by referring to a whitelist that is a list of legitimate programs;
an alert generating unit that generates an alert when access to the dummy directory by the malicious program is detected;
The deception system according to claim 1 or 2, comprising:
前記監視対象ディレクトリへのアクセスを監視し、アクセスログをログデータベースに記録するアクセスログ記録部と、
前記ログデータベースと前記内部構成リストとを参照して前記ダミーディレクトリへのアクセスを検知し、正規プログラムのリストであるホワイトリストを参照して前記ダミーディレクトリへのアクセスが正規プログラムによるアクセスであるか判定するダミーアクセス検知部と、
前記ダミーディレクトリへのアクセスが正規プログラムによるアクセスでない場合に、前記正規ユーザのユーザ端末に、前記ダミーディレクトリへのアクセスが前記正規ユーザの操作によるものであるか確認するためのアクセス確認画面を表示させるアクセス確認部と、
前記アクセス確認画面に対する回答結果に基づいてアラートの要否を判定し、アラートが必要であると判定した場合にアラートを発生させるアラート発生部と、
を備える
請求項1または請求項2に記載の欺瞞システム。
an access log recording unit that monitors access to the monitoring target directory and records the access log in a log database;
a dummy access detection unit that detects an access to the dummy directory by referring to the log database and the internal configuration list, and determines whether the access to the dummy directory is an access made by a legitimate program by referring to a whitelist that is a list of legitimate programs;
an access confirmation unit that, when an access to the dummy directory is not an access made by a legitimate program, displays an access confirmation screen on a user terminal of the legitimate user for confirming whether or not the access to the dummy directory is made by an operation of the legitimate user;
an alert generating unit that determines whether an alert is necessary based on a response result to the access confirmation screen, and generates an alert when it is determined that an alert is necessary;
The deception system according to claim 1 or 2, comprising:
前記欺瞞システムは、
前記監視対象ディレクトリの生成を指示する生成指示を送信する欺瞞指示部と、
前記生成指示を受信し、前記正規ディレクトリの内部構成を示す正規構成通知を送信する構成通知部と、
を備え、
前記構成管理部は、前記正規構成通知を受信し、前記正規構成通知に示される前記正規ディレクトリの前記内部構成に基づいて前記監視対象ディレクトリの前記内部構成を決定し、前記内部構成リストを送信し、
前記監視対象生成部は、前記内部構成リストを受信し、前記内部構成リストに基づいて前記監視対象ディレクトリを生成する
請求項1から請求項4のいずれか1項に記載の欺瞞システム。
The deception system comprises:
a deception instruction unit that transmits a generation instruction for instructing the generation of the monitoring target directory;
a configuration notification unit that receives the generation instruction and transmits a regular configuration notification indicating an internal configuration of the regular directory;
Equipped with
the configuration management unit receives the normal configuration notification, determines the internal configuration of the monitoring target directory based on the internal configuration of the normal directory indicated in the normal configuration notification, and transmits the internal configuration list;
The deception system according to claim 1 , wherein the monitoring target generation unit receives the internal configuration list and generates the monitoring target directory based on the internal configuration list.
前記構成管理部は、前記監視対象ディレクトリの前記内部構成を示し、前記正規ディレクトリに対応付けて前記正規アイコン画像を示し、前記ダミーディレクトリに対応付けて前記ダミーアイコン画像を示す対象構成リストを生成し、前記対象構成リストを送信し、
前記監視対象生成部は、前記対象構成リストを受信し、前記対象構成リストを参照し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する
請求項5に記載の欺瞞システム。
the configuration management unit generates a target configuration list indicating the internal configuration of the monitoring target directory, indicating the regular icon image in association with the regular directory, and indicating the dummy icon image in association with the dummy directory, and transmits the target configuration list;
The deception system described in claim 5, wherein the monitoring target generation unit receives the target configuration list, refers to the target configuration list, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory.
前記欺瞞指示部は、前記監視対象ディレクトリの更新を指示する更新指示を定期的に送信し、
前記構成通知部は、前記更新指示を受信し、前記監視対象ディレクトリの内部構成を示す対象構成通知を送信し、
前記構成管理部は、前記対象構成通知を受信し、前記対象構成通知に示される前記監視対象ディレクトリの前記内部構成に基づいて前記対象構成リストを更新し、更新後の対象構成リストを送信し、
前記監視対象生成部は、前記更新後の対象構成リストを受信し、前記更新後の対象構成リストに従って前記監視対象ディレクトリを更新する
請求項6に記載の欺瞞システム。
The deception instruction unit periodically transmits an update instruction to instruct updating of the monitoring target directory,
the configuration notification unit receives the update instruction and transmits a target configuration notification indicating an internal configuration of the monitoring target directory;
The configuration management unit receives the target configuration notification, updates the target configuration list based on the internal configuration of the monitoring target directory indicated in the target configuration notification, and transmits the updated target configuration list;
The deception system of claim 6 , wherein the monitoring target generation unit receives the updated target configuration list and updates the monitoring target directory in accordance with the updated target configuration list.
グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインタフェースを使ってアクセスするサイバー攻撃に対処するための欺瞞方法であって、
構成管理部が、前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定し、
監視対象生成部が、決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する
欺瞞方法。
A deception method for dealing with a cyber attack in which a legitimate directory accessed by a legitimate user using a graphical user interface is accessed using a character user interface , comprising:
a configuration management unit determines an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and specifies a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
A deception method in which a monitoring target generation unit generates the monitoring target directory based on an internal configuration list indicating a determined internal configuration, sets the regular icon image in the regular directory, and sets the dummy icon image in the dummy directory.
グラフィカルユーザインタフェースを使って正規ユーザからアクセスされる正規ディレクトリにキャラクタユーザインタフェースを使ってアクセスするサイバー攻撃に対処するための欺瞞プログラムであって、
前記正規ディレクトリと前記正規ディレクトリのダミーとなるダミーディレクトリとを含んだ監視対象ディレクトリの内部構成を決定し、前記正規ディレクトリのためのアイコン画像である正規アイコン画像と前記ダミーディレクトリのためのアイコン画像であるダミーアイコン画像とを指定する構成管理処理と、
決定された内部構成を示す内部構成リストに基づいて前記監視対象ディレクトリを生成し、前記正規ディレクトリに前記正規アイコン画像を設定し、前記ダミーディレクトリに前記ダミーアイコン画像を設定する監視対象生成処理と、
をコンピュータに実行させるための欺瞞プログラム。
A deception program for dealing with a cyber attack in which a regular directory accessed by a regular user using a graphical user interface is accessed using a character user interface , comprising:
a configuration management process for determining an internal configuration of a monitoring target directory including the regular directory and a dummy directory that is a dummy of the regular directory, and for designating a regular icon image that is an icon image for the regular directory and a dummy icon image that is an icon image for the dummy directory;
a monitoring target generating process for generating the monitoring target directory based on an internal configuration list indicating the determined internal configuration, setting the regular icon image in the regular directory, and setting the dummy icon image in the dummy directory;
A deceptive program that causes a computer to execute the following.
JP2020168731A 2020-10-05 2020-10-05 Deception system, deception method, and deception program Active JP7499669B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020168731A JP7499669B2 (en) 2020-10-05 2020-10-05 Deception system, deception method, and deception program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020168731A JP7499669B2 (en) 2020-10-05 2020-10-05 Deception system, deception method, and deception program

Publications (2)

Publication Number Publication Date
JP2022060950A JP2022060950A (en) 2022-04-15
JP7499669B2 true JP7499669B2 (en) 2024-06-14

Family

ID=81125172

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020168731A Active JP7499669B2 (en) 2020-10-05 2020-10-05 Deception system, deception method, and deception program

Country Status (1)

Country Link
JP (1) JP7499669B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024121950A1 (en) * 2022-12-06 2024-06-13 三菱電機株式会社 Placement location selection device, placement location selection method, and placement location selection program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003036243A (en) 2001-07-24 2003-02-07 Kddi Corp Intrusion prevention system
US20110302655A1 (en) 2010-06-08 2011-12-08 F-Secure Corporation Anti-virus application and method
JP2016033690A (en) 2012-12-26 2016-03-10 三菱電機株式会社 Illegal intrusion detection device, illegal intrusion detection method, illegal intrusion detection program, and recording medium
JP2017138906A (en) 2016-02-05 2017-08-10 株式会社ラック Icon display device, icon display method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003036243A (en) 2001-07-24 2003-02-07 Kddi Corp Intrusion prevention system
US20110302655A1 (en) 2010-06-08 2011-12-08 F-Secure Corporation Anti-virus application and method
JP2016033690A (en) 2012-12-26 2016-03-10 三菱電機株式会社 Illegal intrusion detection device, illegal intrusion detection method, illegal intrusion detection program, and recording medium
JP2017138906A (en) 2016-02-05 2017-08-10 株式会社ラック Icon display device, icon display method, and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
青池 優 ほか,欺瞞機構に伴う利便性低下を防止するためのおとりファイル非表示化,情報処理学会 シンポジウム コンピュータセキュリティシンポジウム 2019,情報処理学会,2019年10月14日,P691~696

Also Published As

Publication number Publication date
JP2022060950A (en) 2022-04-15

Similar Documents

Publication Publication Date Title
US12282549B2 (en) Methods and apparatus for malware threat research
JP6639588B2 (en) System and method for detecting malicious files
JP7084778B2 (en) Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
JP4828199B2 (en) System and method for integrating knowledge base of anti-virus software applications
JP6370747B2 (en) System and method for virtual machine monitor based anti-malware security
US7765400B2 (en) Aggregation of the knowledge base of antivirus software
JP6001781B2 (en) Unauthorized access detection system and unauthorized access detection method
KR20180032566A (en) Systems and methods for tracking malicious behavior across multiple software entities
JP2022553061A (en) Ransomware prevention
Pont et al. A roadmap for improving the impact of anti-ransomware research
CN114417326A (en) Abnormality detection method, abnormality detection device, electronic apparatus, and storage medium
Khan An introduction to computer viruses: problems and solutions
Lemmou et al. Infection, self-reproduction and overinfection in ransomware: the case of teslacrypt
JP7499669B2 (en) Deception system, deception method, and deception program
US11275828B1 (en) System, method, and apparatus for enhanced whitelisting
Lemmou et al. Inside gandcrab ransomware
Alzahrani et al. An overview of ransomware in the windows platform
KR102309695B1 (en) File-based deception technology for thwarting malicious users
US20240126882A1 (en) Instructions to process files in virtual machines
JP2019008568A (en) Whitelist management system and whitelist management method
RU2673407C1 (en) System and method for identifying malicious files
US20250173430A1 (en) Virtual canary files to mitigate ransomware attacks
Rabaiotti Counter intrusion software: Malware detection using structural and behavioural features and machine learning
CN115758360A (en) File management and storage system
Rabaiotti Counter Intrusion Software

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20201015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20201015

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230729

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240604

R150 Certificate of patent or registration of utility model

Ref document number: 7499669

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150