(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】2019145906
(43)【公開日】20190829
(54)【発明の名称】通信システム、通信装置、通信方法及び通信プログラム
(51)【国際特許分類】
   H04L 12/66 20060101AFI20190802BHJP
【FI】
   !H04L12/66 B
【審査請求】未請求
【請求項の数】8
【出願形態】OL
【全頁数】18
(21)【出願番号】2018026037
(22)【出願日】20180216
(71)【出願人】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
【住所又は居所】東京都千代田区大手町一丁目5番1号
(71)【出願人】
【識別番号】399041158
【氏名又は名称】西日本電信電話株式会社
【住所又は居所】大阪府大阪市中央区馬場町3番15号
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】橘 雄三
【住所又は居所】東京都千代田区大手町一丁目5番1号 日本電信電話株式会社内
(72)【発明者】
【氏名】工藤 伊知郎
【住所又は居所】東京都千代田区大手町一丁目5番1号 日本電信電話株式会社内
(72)【発明者】
【氏名】阪井 勝彦
【住所又は居所】東京都千代田区大手町一丁目5番1号 日本電信電話株式会社内
(72)【発明者】
【氏名】鈴木 裕志
【住所又は居所】東京都千代田区大手町一丁目5番1号 日本電信電話株式会社内
(72)【発明者】
【氏名】堤 康平
【住所又は居所】大阪府大阪市中央区馬場町3番15号 西日本電信電話株式会社内
(72)【発明者】
【氏名】仲川 宣秀
【住所又は居所】大阪府大阪市中央区馬場町3番15号 西日本電信電話株式会社内
(72)【発明者】
【氏名】田中 秀幸
【住所又は居所】大阪府大阪市中央区馬場町3番15号 西日本電信電話株式会社内
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HA08
5K030HC01
5K030HC13
5K030HD03
5K030JT02
5K030LC13
5K030MA04
5K030MB01
(57)【要約】
【課題】マルウェアに感染した疑いのある端末を特定する。
【解決手段】検知装置10は、加入者ネットワーク5からCPE40を介してキャリアネットワークへ転送された通信データが、攻撃によるものであることを検知する。また、コントローラ30は、検知装置10によって攻撃によるものであることが検知された通信データを基に、通信データを転送したCPE40に対し、通信データに関する情報を通知する。また、CPE40は、加入者ネットワーク5に接続された端末から送信された通信データをキャリアネットワークに転送する。また、CPE40は、コントローラ30によって通知された通信データに関する情報を基に、加入者ネットワーク5に接続された端末のうち、通信データの送信元の端末を感染端末として特定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
キャリアネットワークに備えられた制御システムと、加入者ネットワークに備えられた通信装置と、を有する通信システムであって、
前記制御システムは、
前記加入者ネットワークから前記通信装置を介して前記キャリアネットワークへ転送された通信データが、攻撃によるものであることを検知する検知部と、
前記検知部によって攻撃によるものであることが検知された通信データを基に、前記通信データを転送した通信装置に対し、前記通信データに関する情報を通知する通知部と、
を有し、
前記通信装置は、
前記加入者ネットワークに接続された端末から送信された通信データを前記キャリアネットワークに転送する転送部と、
前記通知部によって通知された前記通信データに関する情報を基に、前記加入者ネットワークに接続された端末のうち、前記通信データの送信元の端末を感染端末として特定する特定部と、
を有することを特徴とする通信システム。
【請求項2】
前記通信装置は、
前記感染端末から送信された通信データを、前記キャリアネットワークに対して遮断する遮断部をさらに有することを特徴とする請求項1に記載の通信システム。
【請求項3】
前記制御システムは、
前記通信装置によって転送された通信データを分析し、前記通信データが攻撃によるものであるか否かを判定する分析部をさらに有し、
前記転送部は、
前記加入者ネットワークに接続された端末のうち、前記感染端末以外の端末である非感染端末から送信された通信データを、前記キャリアネットワークに転送せずに前記分析部に転送することを特徴とする請求項1又は2に記載の通信システム。
【請求項4】
前記転送部は、前記分析部によって、前記非感染端末から送信された通信データが攻撃によるものでないと判定された場合、前記非感染端末から送信された通信データを、前記分析部に転送せずに前記キャリアネットワークに転送することを特徴とする請求項3に記載の通信システム。
【請求項5】
前記検知部は、ドメイン名を指定したDNSクエリが前記通信装置によって転送された場合、あらかじめ設定された攻撃情報に前記ドメイン名が含まれることを検知し、
前記通知部は、前記検知部によって前記攻撃情報に前記ドメイン名が含まれることが検知された場合、前記DNSクエリに対する応答に所定のコードを含めて前記通信装置に対し通知し、
前記特定部は、前記通知部によって通知された応答に前記所定のコードが含まれている場合、前記DNSクエリの送信元の端末を感染端末として特定することを特徴とする請求項1に記載の通信システム。
【請求項6】
加入者ネットワークに接続された端末から送信された通信データをキャリアネットワークに転送する転送部と、
前記キャリアネットワークに備えられた制御システムによって、前記転送部によって転送された前記通信データが攻撃によるものであることが検知された場合、前記端末のうち前記通信データの送信元の端末を感染端末として特定する特定部と、
を有することを特徴とする通信装置。
【請求項7】
キャリアネットワークに備えられた制御システムと、加入者ネットワークに備えられた通信装置と、を有する通信システムで実行される通信方法であって、
前記通信装置が、前記加入者ネットワークに接続された端末から送信された通信データを前記キャリアネットワークに転送する転送工程と、
前記制御システムが、前記通信装置から転送された通信データが攻撃によるものであることを検知する検知工程と、
前記制御システムが、前記検知工程によって攻撃によるものであることが検知された通信データを基に、前記通信データを転送した通信装置に対し、前記通信データに関する情報を通知する通知工程と、
前記通信装置が、前記通知工程によって通知された前記通信データに関する情報を基に、前記加入者ネットワークに接続された端末のうち、前記通信データの送信元の端末を感染端末として特定する特定工程と、
を含んだことを特徴とする通信方法。
【請求項8】
コンピュータに、
加入者ネットワークに接続された端末から送信された通信データをキャリアネットワークに転送する転送ステップと、
前記キャリアネットワークに備えられた制御システムによって、前記転送ステップによって転送された前記通信データが攻撃によるものであることが検知された場合、前記端末のうち前記通信データの送信元の端末を感染端末として特定する特定ステップと、
を実行させることを特徴とする通信プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信装置、通信方法及び通信プログラムに関する。
【背景技術】
【0002】
従来、マルウェアに感染した疑いのある端末からの通信を遮断し、当該端末の利用者に感染の疑いがある旨を通知するサービスが特定のISP(Internet Service Provider)から提供されている。提供されているサービスでは、DNS(Domain Name System)クエリを基に、ブラックリストに記載されたサイトへアクセスを行っている送信元のIP(Internet Protocol)アドレスを検知し、当該送信元IPアドレスが割り当てられた加入者ネットワークを特定する技術が利用されている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】NTTコミュニケーションズ、“OCN マルウェア不正通信ブロックサービス”、[online]、[平成30年1月22日検索]、インターネット(http://www.ntt.com/personal/ocn-security/info/malware.html)
【非特許文献2】SoftBank、“マルウェアブロッキング”、[online]、[平成30年1月22日検索]、インターネット(https://www.softbank.jp/ybb/special/malware/)
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の技術には、マルウェアに感染した疑いのある端末を特定することが困難な場合があるという問題がある。例えば、加入者ネットワークでNAPT(Network Address and Port Translation)が使用されている場合、ISP側では、感染端末を収容するCPE(Customer Premises Equipment)までしか特定することができない。つまり、この場合、ISP側では、感染端末のグローバルIPアドレスを特定することはできるが、プライベートIPアドレスを特定することができないため、加入者ネットワーク内のどの端末が感染端末であるかを特定することができないことがある。
【課題を解決するための手段】
【0005】
上述した課題を解決し、目的を達成するために、本発明の通信システムは、キャリアネットワークに備えられた制御システムと、加入者ネットワークに備えられた通信装置と、を有する通信システムであって、前記制御システムは、前記加入者ネットワークから前記通信装置を介して前記キャリアネットワークへ転送された通信データが、攻撃によるものであることを検知する検知部と、前記検知部によって攻撃によるものであることが検知された通信データを基に、前記通信データを転送した通信装置に対し、前記通信データに関する情報を通知する通知部と、を有し、前記通信装置は、前記加入者ネットワークに接続された端末から送信された通信データを前記キャリアネットワークに転送する転送部と、前記通知部によって通知された前記通信データに関する情報を基に、前記加入者ネットワークに接続された端末のうち、前記通信データの送信元の端末を感染端末として特定する特定部と、を有することを特徴とする。
【発明の効果】
【0006】
本発明によれば、マルウェアに感染した疑いのある端末を特定することができる。
【図面の簡単な説明】
【0007】
【図1】図1は、第1の実施形態に係る通信システムの概要を説明するための図である。
【図2】図2は、第1の実施形態に係る通信システムの概要を説明するための図である。
【図3】図3は、第1の実施形態に係る通信システムの概要を説明するための図である。
【図4】図4は、第1の実施形態に係る通信システムの概要を説明するための図である。
【図5】図5は、第1の実施形態に係るコントローラの構成例を示す図である。
【図6】図6は、第1の実施形態に係るコントローラの構成例を示す図である。
【図7】図7は、第1の実施形態に係るCPEの構成例を示す図である。
【図8】図8は、第1の実施形態に係る分析装置の構成例を示す図である。
【図9】図9は、第1の実施形態に係る通信システムの処理の流れを示すシーケンス図である。
【図10】図10は、第1の実施形態に係る通信システムの処理の流れを示すシーケンス図である。
【図11】図11は、第1の実施形態に係る通信システムの処理の流れを示すシーケンス図である。
【図12】図12は、第2の実施形態に係る通信システムの概要を説明するための図である。
【図13】図13は、第2の実施形態に係る検知装置の構成例を示す図である。
【図14】図14は、第2の実施形態に係る通信システムの処理の流れを示すシーケンス図である。
【図15】図15は、第2の実施形態に係る通信システムの処理の流れを示すシーケンス図である。
【図16】図16は、実施形態に係るCPEとして機能するコンピュータの一例を示す図である。
【発明を実施するための形態】
【0008】
以下に、本願に係る通信システム、通信装置、通信方法及び通信プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
【0009】
[第1の実施形態]
[第1の実施形態の構成]
まず、図1から4を用いて、第1の実施形態に係る通信システムの概要を説明する。図1から4は、第1の実施形態に係る通信システムの概要を説明するための図である。図1に示すように、通信システム1は、インターネットに接続されたISP−NW(Network)3、アクセスNW4及び加入者ネットワーク5に備えられた各装置を有する。通信システム1は、検知装置10、コントローラ20、コントローラ30、CPE40及び検疫センタに備えられた分析装置50を有する。また、例えば、ISP−NW3及びアクセスNW4は、AS(Autonomous System)単位のネットワークである。
【0010】
ここで、ISP−NW3及びアクセスNW4は、キャリアネットワークの一例である。また、検知装置10、コントローラ20、コントローラ30及び分析装置50を含んだシステムは、制御システムの一例である。また、CPE40は、通信装置の一例である。
【0011】
まず、図1の(1)及び(2)に示すように、検知装置10は、通信データを取得し、IDS(Intrusion Detection System)等の検知手段を用いて攻撃を検知し、検知情報を外部コントローラであるコントローラ20に通知する。
【0012】
通信データには、加入者ネットワーク5からCPE40を介してキャリアネットワークへ転送された通信データが含まれる。このため、検知装置10は、加入者ネットワーク5からCPE40を介してキャリアネットワークへ転送された通信データが、攻撃によるものであることを検知する。
【0013】
次に、図1の(3)及び(4)に示すように、コントローラ20は、検知情報に含まれる送信元アドレスから攻撃による通信データの依頼先のアクセスNW4を特定し、特定したアクセスNW4のコントローラ30に情報を通知する。
【0014】
そして、図1の(5)に示すように、コントローラ30は、通知された情報に含まれる送信元IPアドレスに該当するCPE40を特定する。また、図1の(6)及び(7)に示すように、コントローラ30は、CPE40へ感染端末の特定と通信遮断を指示し、さらに、非感染端末の通信の検疫センタへのステアリングを指示する。
【0015】
ここで、図1の(8)に示すように、CPE40は、NAPT(Network Address and Port Translation)テーブル及びARP(Address Resolution Protocol)テーブルを用いて感染端末を特定する。また、図1の(9)及び(10)に示すように、CPE40は、感染端末の通信を遮断し、非感染端末の通信を検疫センタへステアリングする。
【0016】
なお、図1の例では、端末400aが感染端末であり、端末400b及び400cが非感染端末である。感染端末は、コントローラ30によって通知された情報に含まれたポート番号等から特定される端末であって、検知装置10によって検知された攻撃による通信データの送信元であることが推定される端末である。非感染端末は、CPE40に収容される端末のうちの、感染端末以外の端末である。
【0017】
そして、図1の(11)及び(12)に示すように、検疫センタの分析装置50は、CPE40からステアリングされた非感染端末の通信を分析し、分析結果をコントローラ30へ通知する。つまり、分析装置50は、CPE40によって転送された通信データを分析し、通信データが攻撃によるものであるか否かを判定する。
【0018】
ここで、図2の(13)に示すように、コントローラ30は、分析装置50から、OKすなわち非感染端末がマルウェアに感染していないとの分析結果を通知された場合、非感染端末の通信のステアリングを停止し、通常ルートへ変更することをCPE40に指示する。そして、図2の(14)に示すように、CPE40は、指示を受けて非感染端末の通信を通常ルートへ変更する。
【0019】
さらに、図3の(15)に示すように、CPE40は、加入者が感染端末のマルウェアを駆除した後の通信再開に合わせて、感染端末の通信を検疫センタへステアリングする。そして、図3の(16)及び(17)に示すように、検疫センタの分析装置50は、ステアリングされた感染端末の通信を分析し、コントローラ30へ通信結果を通知する。
【0020】
ここで、図4の(18)に示すように、コントローラ30は、分析装置50から、OKすなわち感染端末がマルウェアに感染していないとの分析結果を通知された場合、感染端末の通信のステアリングを停止し、通常ルートへ変更することをCPE40に指示する。そして、図4の(19)に示すように、CPE40は、指示を受けて感染端末の通信を通常ルートへ変更する。
【0021】
以降の処理では、通信システム1では、感染端末又は非感染端末として扱われていた端末400a、400b及び400cを、感染端末及び非感染端末として扱わない。ただし、検知装置10によって攻撃が検知された場合は、図1から4を用いて説明した処理が再度行われる。
【0022】
図5を用いて、コントローラ20の構成例について説明する。図5は、第1の実施形態に係るコントローラの構成例を示す図である。図5に示すように、コントローラ20は、制御部21及び記憶部22を有する。
【0023】
制御部21は、コントローラ20全体を制御する。制御部21は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部21は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部21は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部21は、送受信部211、分析部212、取得部213及び通知部214を有する。
【0024】
記憶部22は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部22は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部22は、コントローラ20で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部22は、プログラムの実行で用いられる各種情報を記憶する。
【0025】
ここで、送受信部211は、各装置とのデータの送受信を行う。送受信部211は、例えば、検知装置10及びコントローラ30とのデータの送受信を行う。分析部212は、検知装置10によって検知された攻撃による通信データを基に、記憶部22に記憶されたリストと照合すること等により、当該通信データの送信元のアクセスNW4を特定する。
【0026】
このとき、分析部212がアクセスNW4を特定できない場合、取得部213は、IANA(Internet Assigned Numbers Authority)等の外部のシステムに問い合わせを行い、アクセスNWを特定するための情報を取得する。また、通知部214は、特定したアクセスNW4のコントローラ30に、通信データを通知する。例えば、通知部214は、コントローラ30に、通信データに含まれる送信元IPアドレス及びポート番号を通知する。
【0027】
次に、図6を用いて、コントローラ30の構成例について説明する。図6は、第1の実施形態に係るコントローラの構成例を示す図である。図6に示すように、コントローラ30は、制御部31及び記憶部32を有する。
【0028】
制御部31は、コントローラ30全体を制御する。制御部31は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部31は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部31は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部31は、送受信部311及び通知部312を有する。
【0029】
記憶部32は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部32は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部32は、コントローラ30で実行されるOSや各種プログラムを記憶する。さらに、記憶部32は、プログラムの実行で用いられる各種情報を記憶する。
【0030】
ここで、送受信部311は、各装置とのデータの送受信を行う。送受信部311は、例えば、コントローラ20、CPE40及び分析装置50とのデータの送受信を行う。通知部312は、検知装置10によって攻撃によるものであることが検知された通信データを基に、通信データを転送したCPE40に対し、通信データに関する情報を通知する。
【0031】
次に、図7を用いて、CPE40の構成例について説明する。図7は、第1の実施形態に係るCPEの構成例を示す図である。図7に示すように、CPE40は、制御部41及び記憶部42を有する。
【0032】
制御部41は、CPE40全体を制御する。制御部41は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部41は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部41は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部41は、送受信部411、特定部412、転送部413及び遮断部414を有する。
【0033】
記憶部42は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部42は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部42は、コントローラ30で実行されるOSや各種プログラムを記憶する。さらに、記憶部42は、プログラムの実行で用いられる各種情報を記憶する。例えば、記憶部42は、NAPTテーブル421及びARPテーブル422を記憶する。
【0034】
ここで、送受信部411は、各装置とのデータの送受信を行う。送受信部411は、例えば、コントローラ30及び分析装置50とのデータの送受信を行う。特定部412は、通知部312によって通知された通信データに関する情報を基に、加入者ネットワーク5に接続された端末のうち、通信データの送信元の端末を感染端末として特定する。
【0035】
特定部412は、NAPTテーブル421及びARPテーブル422を参照して感染端末を特定する。ここで、NAPTテーブル421には、グローバルIPアドレスと、ローカルIPアドレス及びポート番号とが対応付けられて格納されている。また、ARPテーブル422には、ローカルIPアドレスとMACアドレスとが対応付けられて格納されている。
【0036】
このため、コントローラ30から通信データのグローバルIPアドレスとポート番号が通知されている場合、特定部412は、NAPTテーブル421及びARPテーブル422を参照して端末のMACアドレスを抽出することができる。特定部412は、抽出したMACアドレスに対応する端末を感染端末として特定し、加入者ネットワーク5に接続された端末のうち、感染端末以外の端末を非感染端末として特定する。
【0037】
転送部413は、加入者ネットワーク5に接続された端末から送信された通信データをキャリアネットワークに転送する。ここで、まず、転送部413は、加入者ネットワーク5に接続された端末のうち、感染端末以外の端末である非感染端末から送信された通信データを、キャリアネットワークに転送せずに分析装置50に転送する。その後、転送部413は、非感染端末から送信された通信データが攻撃によるものでないと判定されたことが分析装置50によって通知された場合、非感染端末から送信された通信データを、分析装置50に転送せずにキャリアネットワークに転送する。
【0038】
遮断部414は、感染端末から送信された通信データを、キャリアネットワークに対して遮断する。例えば、遮断部414は、感染端末から送信されたパケットを廃棄することにより通信を遮断する。
【0039】
次に、図8を用いて、分析装置50の構成例について説明する。図8は、第1の実施形態に係る分析装置の構成例を示す図である。図8に示すように、分析装置50は、制御部51及び記憶部52を有する。
【0040】
制御部51は、分析装置50全体を制御する。制御部51は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部51は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部51は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部51は、送受信部511、分析部512及び通知部513を有する。
【0041】
記憶部52は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部52は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部52は、コントローラ30で実行されるOSや各種プログラムを記憶する。さらに、記憶部52は、プログラムの実行で用いられる各種情報を記憶する。
【0042】
ここで、送受信部511は、各装置とのデータの送受信を行う。送受信部511は、例えば、コントローラ30及びCPE40とのデータの送受信を行う。分析部512は、CPE40によって転送された通信データを分析し、通信データが攻撃によるものであるか否かを判定する。分析部512は、例えば、WAF(Web Application Firewall)、IPS及びIDS等を用いて分析を行う。
【0043】
通知部513は、分析部512による分析結果を、コントローラ30に通知する。ここで、分析部512によって、通信データが攻撃によるものでないと判定された場合、通知部513は、コントローラ30にOKを通知する。また、分析部512によって、通信データが攻撃によるものであると判定された場合、通知部513は、コントローラ30にNGを通知する。コントローラ30は、非感染端末の通信データの判定結果として、通知部513によってOKが通知された場合、CPE40に対し、当該非感染端末の分析装置50への転送を中止する指示を通知する。
【0044】
[第1の実施形態の処理]
図9から11は、第1の実施形態に係る通信システムの処理の流れを示すシーケンス図である。図9に示すように、まず、検知装置10は、攻撃を検知し、検知結果をコントローラ20に通知する(ステップS101)。次に、コントローラ20は、アクセスNW4を特定し(ステップS102)、アクセスNW4のコントローラ30に検知された攻撃に関する情報を通知する(ステップS103)。
【0045】
ここで、コントローラ30は、CPE40に攻撃に関する情報を通知し、感染端末の通信の停止及び非感染端末の通信のステアリングを指示する(ステップS104)。そして、CPE40は、感染端末を特定する(ステップS105)。
【0046】
図10に示すように、CPE40は、特定した感染端末の通信を遮断する(ステップS111)。そして、CPE40は、非感染端末の通信のステアリングを開始する(ステップS1112)。
【0047】
分析装置50は、非感染端末の通信を分析し(ステップS113)、分析結果をコントローラ30に通知する(ステップS114)。そして、コントローラ30は、感染端末の通信の遮断及び非感染端末の通信のステアリングの停止をCPE40に指示する(ステップS115)。ここで、CPE40は、非感染端末の通信のステアリングを停止する(ステップS116)。
【0048】
CPE40は、感染端末の通信が再開されたことを確認し(ステップS121)、感染端末の通信のステアリングを開始する(ステップS122)。次に、分析装置50は、感染端末の通信を分析し(ステップS123)、分析結果をコントローラ30に通知する(ステップS124)。
【0049】
コントローラ30は、分析結果を基に、感染端末の通信の遮断又はステアリングの停止をCPE40に指示する(ステップS125)。例えば、分析結果がOKであった場合、コントローラ30は、感染端末の通信のステアリングの停止をCPE40に指示する。このとき、CPE40は、感染端末の通信のステアリングを停止する(ステップS126)。また、例えば、分析結果がNGであった場合、コントローラ30は、感染端末の通信の遮断をCPE40に指示する。
【0050】
[第1の実施形態の効果]
検知装置10は、加入者ネットワーク5からCPE40を介してキャリアネットワークへ転送された通信データが、攻撃によるものであることを検知する。また、通知部312は、検知装置10によって攻撃によるものであることが検知された通信データを基に、通信データを転送したCPE40に対し、通信データに関する情報を通知する。また、転送部413は、加入者ネットワーク5に接続された端末から送信された通信データをキャリアネットワークに転送する。また、特定部412は、通知部312によって通知された通信データに関する情報を基に、加入者ネットワーク5に接続された端末のうち、通信データの送信元の端末を感染端末として特定する。
【0051】
このように、本実施形態では、キャリアネットワークで攻撃を検知した場合に、CPE40に情報を提供し、感染端末を特定させている。このため、本実施形態よれば、キャリアネットワークで感染端末を特定できない場合であっても、CPEと連携することで感染端末を特定することができるようになる。
【0052】
遮断部414は、感染端末から送信された通信データを、キャリアネットワークに対して遮断する。このように、本実施形態では、感染端末を特定するだけでなく通信の遮断を行うことも可能であるため、感染の拡大を抑止することができる。
【0053】
分析装置50は、CPE40によって転送された通信データを分析し、通信データが攻撃によるものであるか否かを判定する。また、転送部413は、加入者ネットワーク5に接続された端末のうち、感染端末以外の端末である非感染端末から送信された通信データを、キャリアネットワークに転送せずに分析装置50に転送する。感染端末と同一の加入者ネットワークに接続している端末には、マルウェア等が感染している可能性がある。本実施形態によれば、感染端末と同一の加入者ネットワークに接続している端末の検疫を行うことができる。
【0054】
転送部413は、非感染端末から送信された通信データが攻撃によるものでないと判定されたことが分析装置50によって通知された場合、非感染端末から送信された通信データを、分析装置50に転送せずにキャリアネットワークに転送する。このように、本実施形態によれば、感染の疑いが晴れた非感染端末について、自動的に通常の通信を再開させることができる。
【0055】
[第2の実施形態]
第2の実施形態について説明する。第1の実施形態の通信システムは、コントローラを用いてキャリアネットワークとCPEとを連携させ、感染端末を特定する。一方、第2の実施形態では、検知装置10がDNS(Domain Name System)サーバとして機能し、CPE40から送信されるDNSクエリを取得し、取得したDNSクエリに応じてCPE40への応答を行うことにより、感染端末の特定等が行われる。
【0056】
[第2の実施形態の構成]
まず、図12を用いて第2の実施形態に係る通信装置の構成について説明する。図12は、第2の実施形態に係る通信システムの概要を説明するための図である。図12に示すように、第2の実施形態における通信システム2の構成は、第1の実施形態における通信システム1の構成と同様である。
【0057】
ここで、図12の(1)に示すように、検知装置60は、DNSサーバとして機能し、ドメイン名を指定したDNSクエリを受信した場合、当該DNSクエリが攻撃サイトのドメイン名の問い合わせであることを検知する。なお、DNSクエリが攻撃サイトのドメイン名の問い合わせでない場合、検知装置60は、指定されたドメイン名に対応するIPアドレスを返す。
【0058】
一方、図12の(2)に示すように、DNSクエリが攻撃サイトのドメイン名の問い合わせであることを検知した場合、検知装置60は、特殊なDNSコードを応答する。これは、DNSクエリに対する応答クエリの中の所定の領域に、あらかじめ設定されたコードを書き込むことにより実現できる。
【0059】
ここで、図12の(3)、(4)及び(5)に示すように、CPE40は、検知装置60によって送信されたDNSクエリへの応答クエリと、DNS Proxyに保存されたセッション情報から、当該DNSクエリの送信元の端末を感染端末として特定する。そして、図12の(6)及び(7)に示すように、CPE40は、感染端末の通信を遮断し、非感染端末を検疫センタへステアリングする。
【0060】
そして、図12の(8)及び(9)に示すように、検疫センタの分析装置50は、CPE40からステアリングされた非感染端末の通信を分析し、分析結果をCPE40へ通知する。
【0061】
ここで、図12の(10)に示すように、CPE40は、分析装置50から、OKすなわち非感染端末がマルウェアに感染していないとの分析結果を通知された場合、非感染端末の通信のステアリングを停止し、通常ルートへ変更する。
【0062】
次に、図13を用いて、検知装置60の構成例について説明する。図13は、第2の実施形態に係る検知装置の構成例を示す図である。図13に示すように、検知装置60は、制御部61及び記憶部62を有する。
【0063】
制御部61は、検知装置60全体を制御する。制御部61は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部61は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部61は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部61は、送受信部611、判定部612、取得部613及び通知部614を有する。
【0064】
記憶部62は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部62は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部62は、コントローラ30で実行されるOSや各種プログラムを記憶する。さらに、記憶部62は、プログラムの実行で用いられる各種情報を記憶する。記憶部62は、例えば攻撃情報621を記憶する。
【0065】
ここで、送受信部611は、各装置とのデータの送受信を行う。送受信部611は、例えば、CPE40とのデータの送受信を行う。判定部612は、DNSクエリに含まれるドメイン名が、攻撃情報621に記憶されたものであるか否かを判定する。なお、攻撃情報621には、既知の攻撃サイトのドメイン名の一覧が記憶されている。
【0066】
DNSクエリには、CPE40から転送されるものが含まれる。つまり、検知装置60は、ドメイン名を指定したDNSクエリがCPE40によって転送された場合、あらかじめ設定された攻撃情報621にドメイン名が含まれることを検知する。
【0067】
取得部613は、IANA等の外部のシステムに問い合わせを行い、攻撃サイトのドメイン名を特定するための情報を取得する。このとき、判定部612は、取得部613が取得した情報を基にDNSクエリが攻撃サイトのドメイン名の問い合わせであるか否かを判定してもよい。
【0068】
また、通知部614は、検知装置10によって攻撃情報621にドメイン名が含まれることが検知された場合、DNSクエリに対する応答に所定のコードを含めてCPE40に対し通知する。この場合、CPE40の特定部412は、通知部614によって通知された応答に所定のコードが含まれている場合、DNSクエリの送信元の端末を感染端末として特定する。
【0069】
[第2の実施形態の処理]
図14から16は、第2の実施形態に係る通信システムの処理の流れを示すシーケンス図である。図14に示すように、まず、端末400aは、CPE40にDNSクエリを送信し、攻撃サイトのドメイン名を問い合わせる(ステップS201)。次に、CPE40は、DNSクエリを検知装置60に転送し、攻撃サイトのドメイン名を問い合わせる(ステップS202)。
【0070】
検知装置60は、DNSクエリが攻撃サイトの問い合わせであることを検知する(ステップS203)。そして、検知装置60は、DNSの特殊応答コードを含めた応答クエリをCPE40に通知する(ステップS204)。
【0071】
CPE40は、特殊応答コードとセッション情報を照合し(ステップS205)、感染端末を特定する(ステップS206)。そして、CPE40は、感染端末の通信の停止及び非感染端末の通信のステアリングを行う(ステップS207)。
【0072】
次に、図15に示すように、CPE40は、感染端末の通信を遮断し(ステップS211)、非感染端末の通信のステアリングを開始する(ステップS212)。分析装置50は、非感染端末の通信を分析し(ステップS213)、分析結果をCPE40に通知する(ステップS214)。そして、CPE40は、分析結果を基に、非感染端末の通信の遮断及び非感染端末の通信のステアリングの停止のいずれかを判定する(ステップS215)。ここでは、CPE40は、非感染端末の通信のステアリングを停止する(ステップS216)。
【0073】
[第2の実施形態の効果]
検知装置10は、ドメイン名を指定したDNSクエリがCPE40によって転送された場合、あらかじめ設定された攻撃情報にドメイン名が含まれることを検知する。また、通知部614は、検知装置10によって攻撃情報にドメイン名が含まれることが検知された場合、DNSクエリに対する応答に所定のコードを含めてCPE40に対し通知する。また、特定部412は、通知部614によって通知された応答に所定のコードが含まれている場合、DNSクエリの送信元の端末を感染端末として特定する。
【0074】
このように、第2の実施形態では、DNS問い合わせの際に発生する端末とDNSサーバとのやり取りを利用して感染端末を特定することができるため、既存の資源を生かしたシステムの構築が可能になる。また、本実施形態によれば、実際のファイルのやり取り等が発生する前の、DNS問い合わせの時点で攻撃を検知し止めることができるため、攻撃による被害をより小さくすることができる。
【0075】
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0076】
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0077】
[プログラム]
一実施形態として、通信システム1及び2の各装置は、パッケージソフトウェアやオンラインソフトウェアとして上記の通信制御を実行する制御プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の制御プログラムを情報処理装置に実行させることにより、ゲートウェイ装置等の各通信機器が含まれる。
【0078】
図16は、実施形態に係るCPEとして機能するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
【0079】
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
【0080】
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、CPE40の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、CPE40における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
【0081】
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
【0082】
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0083】
1、2 通信システム
10、60 検知装置
20、30 コントローラ
21、31、41、51、61 制御部
22、32、42、52、62 記憶部
40 CPE
50 分析装置
211、311、411、511、611 送受信部
212、512 分析部
213、613 取得部
214、312、513、614 通知部
412 特定部
413 転送部
414 遮断部
612 判定部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】