特許ウォッチ

公開番号2024151970
公報種別公開特許公報(A)
公開日2024-10-25
出願番号2023065825
出願日2023-04-13
発明の名称プログラム、情報処理装置および情報処理システム
出願人富士通株式会社
代理人弁理士法人扶桑国際特許事務所
主分類H04L 12/22 20060101AFI20241018BHJP(電気通信技術)
要約【課題】悪性の疑いのある通信を効率的に判定可能にする。
【解決手段】通信部12は、第1ドメインのサブドメインである第2ドメインが入力されると、第2ドメインの名前解決の要求と第1ドメインの名前解決の要求とを送信する。処理部13は、第2ドメインに対応するIP(Internet Protocol)アドレスの応答があり、かつ、第1ドメインに対応するIPアドレスの応答がないことを検知すると、第2ドメインに対する通信が悪性通信である可能性があると判定する。
【選択図】図1
特許請求の範囲【請求項１】
コンピュータに、
第１ドメインのサブドメインである第２ドメインが入力されると、前記第２ドメインの名前解決の要求と前記第１ドメインの名前解決の要求とを送信し、
前記第２ドメインに対応するＩＰ（Internet Protocol）アドレスの応答があり、かつ、前記第１ドメインに対応するＩＰアドレスの応答がないことを検知すると、前記第２ドメインに対する通信が悪性通信である可能性があると判定する、
処理を実行させるプログラム。
続きを表示（約 1,800 文字）【請求項２】
偽ショッピングサイトのＵＲＬ（Uniform Resource Locator）群の情報に基づいて、悪用されているサブドメインに対応する独自ドメインを学習し、
学習した前記独自ドメインと前記第１ドメインとの比較に基づいて、前記第２ドメインが偽ショッピングサイトのドメインである可能性があることを検出する、
処理を前記コンピュータに実行させる請求項１記載のプログラム。
【請求項３】
前記学習では、パッシブＤＮＳ（Domain Name System）の情報に基づいて、学習した複数の独自ドメインそれぞれに対してサブドメイン数および最終応答日時を記録し、サブドメイン数および最終応答日時により前記複数の独自ドメインをソートし、
前記比較では、学習した前記複数の独自ドメインのうち、サブドメイン数が多く、かつ、最終応答日時が新しい独自ドメインを優先的に前記第１ドメインと比較する、
処理を前記コンピュータに実行させる請求項２記載のプログラム。
【請求項４】
前記第１ドメインが学習した前記独自ドメインに該当しない場合に、前記第２ドメインの名前解決の要求に対する応答と前記第１ドメインの名前解決の要求に対する応答とに基づいて、前記第２ドメインに対する通信が悪性通信である可能性があるか否かを判定する、
処理を前記コンピュータに実行させる請求項２記載のプログラム。
【請求項５】
前記第１ドメインと標的型攻撃に用いられる既知のドメインとの比較に基づいて、前記第２ドメインが標的型攻撃に用いられるドメインである可能性があることを検出し、
前記第１ドメインが前記標的型攻撃に用いられるドメインに該当しない場合に、前記第２ドメインの名前解決の要求に対する応答と前記第１ドメインの名前解決の要求に対する応答とに基づいて、前記第２ドメインに対する通信が悪性通信である可能性があるか否かを判定する、
処理を前記コンピュータに実行させる請求項１記載のプログラム。
【請求項６】
前記第２ドメインのサブドメイン部分の文字列と特定のブランドに対応するキーワードとの比較に基づいて、前記第２ドメインがフィッシングサイトのドメインである可能性があることを検出し、
前記第２ドメインのサブドメイン部分の文字列が前記キーワードに該当しない場合に、前記第２ドメインの名前解決の要求に対する応答と前記第１ドメインの名前解決の要求に対する応答とに基づいて、前記第２ドメインに対する通信が悪性通信である可能性があるか否かを判定する、
処理を前記コンピュータに実行させる請求項１記載のプログラム。
【請求項７】
前記第２ドメインに対応するＩＰアドレスの応答があり、かつ、前記第１ドメインに対応するＩＰアドレスの応答がないことを検知すると、前記第２ドメインに対する通信を制限する、
処理を前記コンピュータに実行させる請求項１記載のプログラム。
【請求項８】
前記第２ドメインに対応するＩＰアドレスの応答があり、かつ、前記第１ドメインに対応するＩＰアドレスの応答があることを検知すると、前記第２ドメインに関する通信を許可する、
処理を前記コンピュータに実行させる請求項１記載のプログラム。
【請求項９】
第１ドメインのサブドメインである第２ドメインが入力されると、前記第２ドメインの名前解決の要求と前記第１ドメインの名前解決の要求とを送信する通信部と、
前記第２ドメインに対応するＩＰアドレスの応答があり、かつ、前記第１ドメインに対応するＩＰアドレスの応答がないことを検知すると、前記第２ドメインに対する通信が悪性通信である可能性があると判定する処理部と、
を有する情報処理装置。
【請求項１０】
第１ドメインのサブドメインである第２ドメインが入力されると、前記第２ドメインの名前解決の要求と前記第１ドメインの名前解決の要求とを送信する通信部と、
前記第２ドメインに対応するＩＰアドレスの応答があり、かつ、前記第１ドメインに対応するＩＰアドレスの応答がないことを検知すると、前記第２ドメインに対する通信が悪性通信である可能性があると判定する処理部と、
を有する情報処理システム。

発明の詳細な説明【技術分野】
【０００１】
本発明はプログラム、情報処理装置および情報処理システムに関する。
続きを表示（約 1,300 文字）【背景技術】
【０００２】
現在、フィッシングサイト、ブランド名の悪用および偽ショッピングサイトなどによる被害が増えている。そこで、これらの被害を防ぐための方法が考えられている。
例えば、ＤＮＳ（Domain Name System）レコードから既知の正規または悪性のドメインに関する特徴データを取得し、当該特徴データから悪性ドメインの検知モデルを生成し、検知モデルに基づいて新たなドメインの悪性度を判定する検知装置の提案がある。
【０００３】
また、判定対象の攻撃による通信先を示す通信先情報を指定した名前解決要求の有無、または当該名前解決要求の送信元に基づいて、サイバー攻撃の種別（「標的型」または「ばら撒き型」）を判定する攻撃種別判定装置の提案がある。
【０００４】
更に、利用者端末により指定された接続先のドメイン登録情報やＩＰ（Internet Protocol）アドレス割当情報を利用者端末に表示させることで、利用者により実際の接続先が意図した接続先と異なることを確認できるようにする装置の提案がある。
【先行技術文献】
【特許文献】
【０００５】
特開２０２２－１１２１６９号公報
特開２０１９－１２５０３７号公報
特開２００７－３１０７８１号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
端末装置があるドメインを指定した通信を行う際、当該ドメインが悪性のものであるとしても通信時に該当のドメインが悪性のものとして未検知の場合には、当該通信が行われてしまう可能性がある。例えば、上記提案のように検知モデルによりドメインの悪性度を判定する方法では、既知のドメインに関する特徴データの取得や特徴データに基づく検知モデルの作成を要する。このため、検知モデルが古いと悪性度を適切に判定できなかったり、検知モデルを最新の状態に保つためのコストが生じたりする問題がある。
【０００７】
１つの側面では、本発明は、悪性の疑いのある通信を効率的に判定可能にすることを目的とする。
【課題を解決するための手段】
【０００８】
１つの態様では、プログラムが提供される。このプログラムは、コンピュータに次の処理を実行させる。コンピュータは、第１ドメインのサブドメインである第２ドメインが入力されると、第２ドメインの名前解決の要求と第１ドメインの名前解決の要求とを送信する。コンピュータは、第２ドメインに対応するＩＰアドレスの応答があり、かつ、第１ドメインに対応するＩＰアドレスの応答がないことを検知すると、第２ドメインに対する通信が悪性通信である可能性があると判定する。
【０００９】
また、１つの態様では、通信部と処理部とを有する情報処理装置が提供される。また、１つの態様では、通信部と処理部とを有する情報処理システムが提供される。
【発明の効果】
【００１０】
１つの側面では、悪性の疑いのある通信を効率的に判定できる。
【図面の簡単な説明】
（【００１１】以降は省略されています）

関連特許