All rights are reserved and copyright of this manuscript belongs to the authors. This manuscript have been published without reviewing and editing as received from the authors: posting the manuscript to SCIS 2007 does not prevent future submissions to any journals or conferences with proceedings. SCIS 2007 The 2007 Symposium on Cryptography and Information Security Sasebo, Japan, Jan. 23-26, 2007 The Institute of Electronics, Information and Communication Engineers アンチウイルスソフトを活用した情報漏洩対策の提案 A Proposal for The Deterrence of Information Leakage using AntiVirus Software 長谷 巧* Takumi Nagaya 竹森 敬祐† Keisuke Takemori 三宅 優† Yutaka Miyake 西垣 正勝** Masakatsu Nishigaki あらまし 近年,P2P ファイル共有ソフトによる機密ファイルの漏洩が問題となっている.一度機密 ファイルが P2P ネットワーク上に漏洩すると,不特定多数の PC に急速に拡散するため,被害が広範 囲に及ぶ危険性が高い.そこで本稿では,漏洩した機密ファイルを漏洩先の P2P ユーザの PC におい て削除させることによって,P2P ネットワーク上に漏洩した機密ファイルの拡散を抑止する方式を提 案する.本方式では,アンチウイルスソフトがウイルスの特徴パターンに反応して,当該ファイルを 自動的に隔離・削除するという特性に着目する.ウイルスの特徴パターンを活用し機密ファイルをウ イルス感染ファイルのように見せかけることで,漏洩先の PC にインストールされているアンチウイ ルスソフトに機密ファイルを自動的に削除させることが本方式のコンセプトである. キーワード P2P ファイル共有ソフト,情報漏洩,アンチウイルスソフト,ウイルスの特徴パターン 1 を抑止する等の対策を講じている企業は多い.しかしな がら,P2P による機密ファイルの漏洩問題が後を絶たな いのが現状である.一部のセキュリティ意識の低いユー ザが,機密ファイルを安易に P2P ソフトがインストール されている私物の PC に持ち出した上に,Antinny 等の ウイルスに感染した結果,P2P ネットワーク上に機密フ ァイルが漏洩していると考えられる.セキュリティ意識 の低いユーザが組織内に一人でもいる限り,機密情報の 出口管理を行うだけでは不十分である. そこで本稿では,漏洩してしまった機密ファイルを漏 洩先のP2P ユーザのPC において削除することによって, P2P ネットワーク上に流出した機密ファイルの拡散を 抑止する方式を提案する.本方式を出口管理(機密ファ イルが内部ネットワークから外部へ漏洩することそのも のを防ぐ対策)とともに併用することにより,機密情報 の漏洩リスクおよび被害を大きく低減することができる と期待される. 本方式では,アンチウイルスソフトがウイルスの特徴 パターンに反応してウイルスファイルを自動的に隔離・ 削除するという特性に着目する.ウイルスの特徴パター ンを活用し機密ファイルをウイルス感染ファイルのよう に見せかけることで,漏洩先の PC にインストールされ ているアンチウイルスソフトに漏洩した機密ファイルを 自動的に削除させる.特に近年では,ウイルス被害の増 加や,Antinny 等のウイルスによる情報漏洩が取り立た されており,企業や個人においてもアンチウイルスソフ トの導入率は増加している[2,3,4]ことから,アンチウイ ルスソフトを利用した情報漏洩対策は有効であると考え はじめに 近年,P2P ファイル共有ソフト(以下,P2P)による 機密ファイルの漏洩が問題となっている.P2P による機 密ファイルの漏洩問題の特徴として,P2P を悪用して PC 内のファイルを漏洩させる Antinny[1]等のウイルス の存在が挙げられる. このようなウイルスに感染すると, ユーザの意図とは無関係にPC 内のファイルがP2P ネッ トワーク上にアップロードされるため,PC 内の個人情 報や内部資料といった機密ファイルが P2P を媒体とし て P2P ネットワーク上に漏洩することとなる. P2P による機密ファイル漏洩の問題点として,漏洩し た機密ファイルを入手したユーザを特定することができ ないことが挙げられる.P2P は end-to-end 間の通信を 行うため,誰がどのファイルにアクセスをしたのかとい うログを管理することができない.そのため,漏洩した 機密ファイルの入手者を特定することができず,漏洩し た機密ファイルの回収は非常に困難であるといえる.さ らに,一度漏洩した機密ファイルは,P2P ネットワーク 全体に拡散するため, 被害が広範囲に及ぶ危険性が高い. この問題に対処するため,内部ネットワークからの機 密ファイルの漏洩や,外部への機密ファイルの持ち出し * 静岡大学情報学部, 〒432-8011 静岡県浜松市城北 3-5-1, Faculty of Informatics, Shizuoka University, 3-5-1 Johoku, Hamamatsu, 432-8011, Japan ** 静岡大学創造科学技術大学院, 〒432-8011 静岡県浜松市城北 3-5-1, Graduate School of Science and Technology, Shizuoka University, 3-5-1 Johoku, Hamamatsu, 432-8011, Japan † ㈱KDDI研究所, 〒356-8502 埼玉県ふじみ野市大原 2-1-15, KDDI R&D Laboratories Inc. 2-1-15 Ohara, Fujimino, Saitama, 356-8502, Japan 1 られる. 2 3 既存の対策技術とその問題点 3.1 機密情報の漏洩問題に対して,PC から P2P ソフトを 自動的に削除するツール[5,6]の導入やシンクライアン トによる機密ファイルのサーバでの一括管理[7],機密フ ァイルの取り扱いに対する認証機構の導入[8],機密ファ イルの外部メディアへのコピー禁止[9],機密ファイルへ のアクセスログを残す[8,10]等の対策が講じられている. しかし,P2P による機密ファイルの漏洩問題は後を絶た ない.残念ながら,このような機密情報の出口管理を行 うだけでは機密情報漏洩対策としては不十分であるとい うのが現状である.また,これらの出口管理の対策はい ずれもユーザビリティを少なからず低下させてしまうと いう問題が存在する. 一方,内部ネットワークから外部へ流出してしまった 機密ファイルに対する対策としては,外部ネットワーク を流れるファイルを検査する方式が提案されている[11]. この方式は,機密情報であることを示す電子署名をあら かじめ機密ファイルに付加しておき,通信事業者の通信 機器において,通信データの中に電子署名が埋め込まれ ているファイルが存在するかを検査し,署名が検出され た場合には当該ファイルを強制的に削除する[11].なお, 同様の機構を内部ネットワークと外部ネットワークを接 続するゲートウェイにて実装すれば,署名が付加された 機密ファイルが外部ネットワークへ流出することを防止 するという出口管理の方式としても運用可能である[12]. しかし,これらの方式には,機密ファイルが end-to-end 間で暗号化通信されるような場合には署名の検査はでき ないという根本的な問題が存在する.また,電子署名が 付いていることが,そのファイルが機密情報であること を他人に知らせてしまうことにつながる. 別のアプローチとして,P2P ネットワーク上に漏洩し た機密ファイルへのアクセスを阻害する P2P ネットワ ークポイゾニング[13]という方式が考えられている.こ の方式は,P2P ネットワーク上に機密ファイルが漏洩し た場合に,同様の形式(例えば同じファイル名)のダミ ーファイルを大量に作成しアップロードすることによっ て,本物の機密ファイルをダミーファイルの中に紛れ込 ませる.これにより P2P ユーザが本物の機密ファイルへ アクセスする可能性が抑えられ,結果として,漏洩した 機密ファイルの拡散が抑止されることになる.しかし, この方式は,機密ファイルが漏洩したと気付いた後に行 う事後対策である.Antinny のようなウイルスはユーザ の意図とは無関係にファイルをアップロードするため, 漏洩の事実に気付かず対策が遅れる可能性が大きい.ま た,大量のダミーファイルがアップロードされれば,そ れと同じファイル名の機密ファイルが P2P ネットワー クに漏洩したのであろうということを他人に知らせてし まうことにつながる. 提案方式 コンセプト 提案方式では,P2P ネットワーク上に漏洩した機密フ ァイルを,漏洩先の PC において自動的に削除すること によって,漏洩した機密ファイルの P2P ネットワーク上 での拡散を抑止する.すなわち本方式は,内部ネットワ ークから外部へ流出してしまった機密ファイルに対する 対策に位置付けられる.本方式を出口管理(機密ファイ ルが内部ネットワークから外部へ漏洩することそのもの を防ぐ対策)とともに併用することにより,機密情報の 漏洩リスクおよび被害を更に低減することができると期 待される. 流出した機密ファイルの削除を達成するために,本方 式では,ウイルスの特徴パターンに反応して当該ファイ ルを自動的に隔離・削除するというアンチウイルスソフ トの特性[14,15,16]に着目する.アンチウイルスソフト は,検査対象となるファイルにウイルスの特徴パターン が含まれているか否かを検査し,ウイルスの特徴パター ンが検出された場合に,当該ファイルに対して自動的に 隔離や削除を行うソフトウェアである.本方式では,あ らかじめ機密ファイルの管理者側において,機密ファイ ルにウイルスの「特徴パターン」を埋め込む(アンチウ イルスソフトにウイルスとして検知されるビット列を埋 め込むのであり,ウイルスの機能そのものを埋め込むの ではない) . 機密ファイルに特徴パターンを埋め込むこと で,たとえ機密ファイルが漏洩した場合でも,機密ファ イルを入手した PC 側にインストールされているアンチ ウイルスソフトが機密ファイルに埋め込まれている特徴 パターンをウイルスと判定し,自動的に機密ファイルを 削除することが可能であると期待される. 本方式は,漏洩先 PC 上にて機密ファイルを自動的に 削除することが可能であるため,たとえ P2P ネットワー ク上に機密ファイルが漏洩したとしても,その被害を最 小限に抑えることが可能であると期待される.また文献 [2,3,4]からも分かるように,昨今のウイルス被害の増加 から,企業や個人においてもアンチウイルスソフトの導 入率が増加しているため,本方式の導入は比較的容易で あると推測できる.特にアンダーグラウンドなファイル が流通する傾向にある P2P ネットワークにおいては,不 正なファイルに遭遇する危険性も高いため,一般的なユ ーザと比べると P2P を利用するユーザは(機密情報漏洩 の発端となる一部のセキュリティ意識の低いユーザを除 き)比較的アンチウイルスソフトの導入率が高い[17]と 考えられる. 「流出してしまった機密ファイルを削除する」という 観点では,本方式は文献[11]の方式と同じコンセプトを 有する.しかし本方式は,通信事業者の通信機器にて機 密ファイルを監視する方式と異なり,漏洩した機密ファ イルが暗号化されていたとしても有効に機能する.P2P 2 とえこの機密ファイルが外部に流出したとしても,アン チウイルスソフトをインストールしているユーザの PC においては,アンチウイルスソフトにより当該機密ファ イルが削除されることになり,結果として機密ファイル の拡散を抑止することが可能であると期待される. ただし,機密ファイルを所持する組織内の PC におい てもアンチウイルスソフトが稼動しているため,組織内 の PC においても当該機密ファイルが削除されてしまう こととなる.そこで,管理者は同時にホワイトリスト(例 えば当該機密ファイルのファイル名)を生成し,このホ ワイトリストを組織内の PC のアンチウイルスソフトに 通知しておく.アンチウイルスソフトは,特徴パターン が検出されたファイルであっても,ホワイトリストに登 録されているファイルであれば,これを削除しない.な お,具体的な特徴パターンの生成方法や,ホワイトリス トの生成方法, 特徴パターンの埋め込み方法に関しては, 今後,詳細を詰めていきたい. (2) アンチウイルスベンダによるパターンファイルの配 布 アンチウイルスベンダは,実存するウイルスのパター ンファイルを作成して管理する.新種のウイルスが発見 される度にパターンファイルはアップデートされていく. 最新パターンファイルはネットワークを通じて各クライ アント PC に配布される. ネットワークにおけるファイル転送では,ファイルを暗 号化して通信を行っているものも存在する[18].そのた めゲートウェイ等で通信を監視しても,通信されている ファイルの中身を検査することはできない.一方,本方 式であれば,たとえ通信経路上ではファイルが暗号化さ れていたとしても,漏洩した機密ファイルを入手した第 三者がこれを読むためにファイルを復号した途端に,フ ァイルに埋め込まれた特徴パターンがアンチウイルスソ フトによって検出され,当該ファイルを自動的に隔離・ 削除するものと期待される. 3.2 運用方式 提案方式の仕組みを図 1 に示す.本方式は,3 つの大 きなフェーズ(1)~(3)から構成される.なお,この内の(2), (3)は既存のアンチウイルスソフトにおいて行われてい る運用とまったく変わりないものである. (1) 管理者による特徴パターンの埋め込み 機密ファイルの管理者は,アンチウイルスソフトベン ダから供給されているアンチウイルスソフト用のウイル ス特徴パターンリスト(以下,パターンファイル)の中 のいずれかの特徴パターンを機密ファイルへ埋め込む. 特徴パターン埋め込み後は,機密ファイルに埋め込ま れた特徴パターンにアンチウイルスソフトが反応し,当 該ファイルは自動的に隔離・削除される.そのため,た 図 1 提案方式の仕組み 3 うになっている[18].ユーザは,この大量のキーの中か ら,自分が入手したいファイルを選び,ダウンロードす る.すなわちユーザは,入手したいファイルをキーの中 から検索する必要がある.そこで,ユーザがファイルの 検索を行う場合に,当該ファイルをダウンロードするこ とをユーザに躊躇させるような仕組みを採り入れる. 具体的には,アンチウイルスソフトの機能を拡張し, P2P ソフトがダウンロードした「A」というファイル名 のファイルがウイルスであると判定された場合に,当該 ファイルを隔離・削除するのと同時に, 「A はウイルスで す.txt」等のファイル名を持つ警告ファイルを P2P ネッ トワークにアップロードする機能を追加する.今,機密 ファイル「Confidential.pdf」が P2P ネットワーク上に 漏洩してしまったとしよう.ここで,Confidential.pdf には組織内の管理者が前もって特徴パターンを埋め込ん でおる.よって,追加機能付きアンチウイルスソフトを 使用しているユーザが当該ファイルをダウンロードした 場合には,Confidential.pdf がそのユーザの PC から削 除されるとともに,「Confidential.pdf はウイルスで す.txt」という警告ファイルが P2P ネットワークにアッ プロードされる.その結果,P2P ネットワークには 「Confidential.pdf」というファイルのキーだけでなく, 「Confidential.pdf はウイルスです.txt」というファイル のキーも拡散していくことになる.すなわち,それ以降 は,その P2P ネットワークに参加しているユーザの PC には, 「Confidential.pdf」と「Confidential.pdf はウイ ルスです.txt」という二つのキーがいっしょに蓄えられ ていく.よって,その後,P2P ユーザが自分の PC 内の キーの中からファイル名を頼りに「Confidential.pdf」と (3) 漏洩先 PC におけるアンチウイルスソフトによる機 密ファイルの削除 アンチウイルスソフトがインストールされている PC は,パターンファイルを用いて,すべての受信ファイル のウイルス検査を行う.もしパターンファイルに登録さ れている特徴パターンのいずれかが検出されると,当該 ファイルをウイルスファイルとみなして,自動的に隔 離・削除する. 3.3 アンチウイルスソフト利用者以外への機密フ ァイルの漏洩に対する対策 本方式はアンチウイルスソフトを利用した情報漏洩 対策であるため,当然ながらアンチウイルスソフトをイ ンストールしていないユーザの PC においては機密ファ イルは削除されない.ゆえに,これらのユーザの手元に は機密ファイルが漏洩してしまう.そこで本方式では, P2P のファイル検索機能に着目し,アンチウイルスソフ トをインストールしていないユーザに対しても機密ファ イルのダウンロードを躊躇させるような仕組みを提供す ることによって,機密ファイル漏洩に対する抑止効果を 高める方法を提案する. P2P ネットワーク上には多数のファイルがアップロ ードされており,P2P ユーザは「キー」と呼ばれるファ イルの要約情報を入手している場合に当該ファイルのダ ウンロードが可能となる.P2P ソフトは周囲の PC と定 期的にキーの交換を行っており,それぞれの P2P ユーザ の PC には常に数千~数万個のキーが蓄えられているよ 図 2 アンチウイルスソフト利用者以外への対策 4 3.2 節では,機密ファイルの管理者が当該ファイルに 「実在するウイルスの特徴パターン」を埋め込むという 形態での運用方式を示したが,機密ファイルの管理者が 任意のビット列を新規の特徴パターンとしてアンチウイ ルスソフトベンダへ登録申請を行い,これを機密ファイ ルに埋め込むということも可能である. この場合,機密ファイルの管理者からアンチウイルス ソフトベンダに届けられた新規の特徴パターンは,パタ ーンファイルのアップデート情報の中に追加され,すべ ての PC のアンチウイルスソフトへ供給される.ただし, 特徴パターンの登録を行った機密ファイルを所持する組 織内の PC に対しては,アンチウイルスソフトに供給さ れるパターンファイルのアップデート情報の中に当該パ ターンが含まれないようになっている.これにより,こ の機密ファイルを所持する組織内の PC においては,当 該ファイルがウイルスとして検知されないようになって いる.これを図 3 に示す. いうファイル名を検索した際には, 「Confidential.pdf」 というファイルとともに「Confidential.pdf はウイルス です.txt」という警告ファイルも見つかることとなる. 当然ながら,追加機能付きアンチウイルスソフトは機密 ファイルを発見したときにのみ警告ファイルをアップロ ードするのではなく,本当のウイルスファイルを発見し た際にも警告ファイルをアップロードする.P2P ネット ワーク上には不正なファイルも数多く流れているため, キーの検索によって「Confidential.pdf はウイルスで す.txt」という警告ファイルが見つかったということは, Confidential.pdf は(機密ファイルであるかもしれない が,恐らく)本当のウイルスファイルである可能性が高 い.このため,キー検索によって警告ファイルが発見さ れた場合,多くのユーザは Confidential.pdf のダウンロ ードを躊躇すると考えられる. 以上をまとめると図2のようになる.このような仕組 みを運用することによって,P2P ネットワークに参加し ているユーザの多くがアンチウイルスソフトを導入して いれば,アンチウイルスソフトを利用していないユーザ に対しても漏洩した機密ファイルのダウンロードを躊躇 させることができると期待される. 3.4 4 まとめ 本稿では,アンチウイルスソフトが反応する特徴パタ ーンを機密ファイルに埋め込み,P2P ネットワーク上に 漏洩した機密ファイルをアンチウイルスソフトによって 削除させることによって,P2P ネットワーク上での機密 ファイルの拡散を抑止する方式を提案した.本方式は, アンチウイルスソフトベンダによる特徴パタ ーンの管理 図 3 新規の特徴パターンを登録する方式 5 [12] 矢野 義博,西村 記代子:情報漏洩防止システム, 特願 2003-333420,特開 2005-100123 [13] Internet Watch:Winny 流出には「P2P ネットワ ークポイゾニング」が有効, http://internet.watch.impress.co.jp/cda/event/2006/ 03/27/11378.html [14] Trend Micro:ウイルスバスター, http://www.trendmicro.co.jp/home/ [15] Symantec:Norton Internet Security, http://www.symantec.com/index.htm [16] McAfee:Internet Security Suite, http://www.mcafee.com/japan/mcafee/home/ [17] NetSecurity:ビジネスユーザの Winny 等の P2P ファイル共有/交換ソフト利用状況調査結果 https://www.netsecurity.ne.jp/3_6308.html [18]金子勇:Winny の技術,株式会社アスキー,2005 年 10 月 流出した機密ファイルを漏洩先 PC にて削除する方式で あるため,本方式を出口管理(機密ファイルが内部ネッ トワークから外部へ漏洩することそのものを防ぐ対策) とともに併用することにより,機密情報の漏洩リスクお よび被害を最小限に抑えることが可能であると期待され る.特に P2P による情報漏洩は,漏洩した機密ファイル が急速に拡散するため,本方式のような「流出してしま った機密ファイルを削除できる方式」の必要性は高いと 考えられる.また,通信経路が暗号化されている場合に も,漏洩した機密ファイルの削除を支障なく行えること ができることは本方式の大きな利点であると言える. 今後は,提案方式における特徴パターンやホワイトリ ストの生成方法,特徴パターンの効果的な埋め込み方法 等について検討していく.また,シミュレーションを通 じて,提案方式を実装した場合の有効性や妥当性につい ても検証していきたい. 参考文献 [1]SymantecSecurityResponse:W32.HLLW.Antinny , http://www.symantec.com/region/jp/avcenter/venc/ data/jp-w32.hllw.antinny.html [2] 総務省:情報通信白書平成13年度版, http://www.johotsusintokei.soumu.go.jp/whitepaper/ ja/h13/index.html [3] 総務省:情報通信白書平成15年度版, http://www.johotsusintokei.soumu.go.jp/whitepaper/ ja/h15/index.html [4] 総務省:情報通信白書平成17年度版, http://www.johotsusintokei.soumu.go.jp/whitepaper/ ja/h17/index.html [5] アークン: ScanIF Winny 対応版, https://www.ahkun.jp/resource/dl.html#scanif [6] ハンモック:Asset View HYPER Winny 対策ソ リューション, http://www.hammock.jp/winny/winny_sol.html [7] サンマイクロシステムズ:シンクライアント, http://jp.sun.com/products/desktop/sunray/ [8] Quality:DKS Plus, http://www.quality.co.jp/products/DKSP/index.html [9] H2soft:デバイスコントロール, http://filesecurity.jp/iss/dc/index.htm [10] インサイトテクノロジー:PISO, http://www.insight-tec.com/products/service_piso. html [11] Slashdot:総務省が特定のファイルをネット上から 消滅させる技術の開発を計画, http://slashdot.jp/security/article.pl?sid=06/08/23/ 0055230 6
© Copyright 2024 Paperzz
