このアプリケーションの一部のコンテンツは現時点では利用できません。
このような状況が続く場合は、にお問い合わせくださいフィードバック & お問い合わせ
1. (WO2018181255) 不正パケット対策装置、システム、方法及びプログラム
Document

明 細 書

発明の名称 不正パケット対策装置、システム、方法及びプログラム

技術分野

0001  

背景技術

0002   0003   0004   0005  

先行技術文献

特許文献

0006  

発明の概要

発明が解決しようとする課題

0007   0008  

課題を解決するための手段

0009   0010   0011   0012  

発明の効果

0013  

図面の簡単な説明

0014  

発明を実施するための形態

0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058  

産業上の利用可能性

0059  

符号の説明

0060  

請求の範囲

1   2   3   4   5   6   7   8  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18  

明 細 書

発明の名称 : 不正パケット対策装置、システム、方法及びプログラム

技術分野

[0001]
 本開示は、コンピュータネットワークのセキュリティ技術に関する。

背景技術

[0002]
 近年、インターネットなどの通信ネットワークを介して工場内外のモノやサービスと連携することで、生産性を向上したり、今までにない価値を生み出したり、新しいビジネスモデルを構築したりすることを目指した取り組みが活発に行われている。
[0003]
 一方、インターネット空間では、ハッキングやマルウェアなどによるサイバー攻撃が活発化している。サイバー攻撃による不正侵入や情報漏えいなどの事例は年々増加しており、工場の製造システムにおいても、生産停止や設備破壊の事例が報告されている。このため、コンピュータネットワークのような通信システムを有する製造システムにおいては、通信システムの異常を検出することにより、セキュリティレベルを向上することが必要である。
[0004]
 例えば、特許文献1には、制御システムに対するセキュリティレベル向上の仕組みの例が記載されている。特許文献1のシステムは、複数の制御システムのそれぞれに対応する監視部から発信される異常通知を集計して評価する。評価結果から異常であると判定された制御システムを稼働させている保護領域に対し、少なくともその保護領域内からのアウトバウンドのトラフィックを制限する。
[0005]
 また、工場における製造システムにおいては、各製造装置が、ネットワークを介して接続され、互いに通信を行いながら製造を行う。このようなネットワークにつながる製造装置が不正な操作等で乗っ取られたり、ネットワークを流れるデータが改ざんされた場合には、不良品が製造されたり、製造装置が破壊されてしまうことがある。これに対処するために、通信を監視し、サイバー攻撃を行った端末からの接続要求を拒否するように構成された通信制御装置が、例えば特許文献2に記載されている。

先行技術文献

特許文献

[0006]
特許文献1 : 特開2012-168755号公報
特許文献2 : 特開2016-181874号公報

発明の概要

発明が解決しようとする課題

[0007]
 しかし、特許文献1に記載されているような、異常を検出するための仕組みを導入するためには、既存の通信システムを大幅に変更する必要がある。また、特許文献2に記載されている通信制御装置は、ネットワークとユーザ端末との間に配置されなければならない。このため、特許文献1又は2の装置を利用できるようにするためには、通信システムを一旦停止し、機器の交換を行う必要がある。しかし、常に稼働している製造システムにおいては、通信システムを停止すると、生産も停止してしまう。
[0008]
 本開示は、通信システムを停止させることなく、不正な通信に対して対策をとることができるようにすることを目的とする。

課題を解決するための手段

[0009]
 本開示による不正パケット対策装置は、第1通信装置と、中継装置と、前記中継装置を介して前記第1通信装置と接続されている第2通信装置とを有する通信システムに対する不正パケット対策装置であって、前記中継装置は、宛先MAC(media access control)アドレスが指定されたパケットを、前記宛先MACアドレスに送信するものである。前記不正パケット対策装置は、前記第1通信装置から送信されたパケットを、前記中継装置を介して受信パケットとして受信し、応答パケットを、前記中継装置を介して前記第1通信装置に送信する送受信機と、前記受信パケットが、前記第2通信装置のIP(internet protocol)アドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定する判定器と、前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、前記第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含む、前記第1通信装置宛てのパケットを前記応答パケットとして生成し、前記送受信機に出力するパケット生成器とを有する。
[0010]
 これによると、第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、第2通信装置のIPアドレスに対応するMACアドレスとして含む、第1通信装置宛てのパケットを応答パケットとして生成するので、不正パケット対策装置は、通信システムに対する不正パケット対策を行うことができる。不正パケット対策としては、例えば、第1通信装置と第2通信装置との間の通信の傍受又は遮断があり得る。不正パケット対策装置は、通信システムにおいて既に使用されている中継装置を経由して、通信システムの通信装置との間でパケットを送受信するので、通信システムを停止させる必要がない。
[0011]
 本開示による不正パケット対策方法は、第1通信装置と、中継装置と、前記中継装置を介して前記第1通信装置と接続されている第2通信装置とを有する通信システムに対する不正パケット対策方法であって、前記中継装置は、宛先MACアドレスが指定されたパケットを、前記宛先MACアドレスに送信するものである。前記不正パケット対策方法は、前記第1通信装置から送信されたパケットを、前記中継装置を介して受信パケットとして受信することと、前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定することと、前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、前記第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含む、前記第1通信装置宛ての応答パケットを生成することと、前記応答パケットを、前記中継装置を介して前記第1通信装置に送信することとを有する。
[0012]
 本開示による不正パケット対策プログラムは、第1通信装置と、中継装置と、前記中継装置を介して前記第1通信装置と接続されている第2通信装置とを有する通信システムに対する不正パケット対策方法をコンピュータに実行させるプログラムであって、前記中継装置は、宛先MACアドレスが指定されたパケットを、前記宛先MACアドレスに送信するものである。前記不正パケット対策方法は、前記第1通信装置から送信されたパケットを、前記中継装置を介して受信パケットとして受信することと、前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定することと、前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、前記第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含む、前記第1通信装置宛ての応答パケットを生成することと、前記応答パケットを、前記中継装置を介して前記第1通信装置に送信することとを有する。

発明の効果

[0013]
 本開示によれば、通信システムを停止させることなく、不正な通信に対して対策をとることができる。したがって、例えば工場において生産を停止させなくても、対策をとることができる。

図面の簡単な説明

[0014]
[図1] 図1は、本発明の実施形態に係る不正パケット対策装置を含む通信システムの構成例を示すブロック図である。
[図2] 図2は、図1の中継装置の構成例を示すブロック図である。
[図3] 図3は、図1の中継装置に格納されるMACアドレステーブルの例を示す図である。
[図4] 図4は、図1の各装置について、実際のIPアドレス及びMACアドレスの例を示す図である。
[図5] 図5は、図1のネットワーク2を流れるパケットの構成例を示す図である。
[図6] 図6は、ARPパケットのフォーマットの例を示す図である。
[図7] 図7は、IPパケットのフォーマットの例を示す図である。
[図8] 図8は、図1の通信装置における、パケットの送信時の動作の例を示すフローチャートである。
[図9] 図9は、図1の通信装置における、パケットの受信時の動作の例を示すフローチャートである。
[図10] 図10は、図1の中継装置における、パケットを中継する動作の例を示すフローチャートである。
[図11] 図11は、図1の第1の通信装置12から第2の通信装置14へパケットを送信する際のシーケンスの例を示す図である。
[図12] 図12は、図1の不正パケット対策装置の構成例を示すブロック図である。
[図13] 図13は、図1の不正パケット対策装置における動作の例を示すフローチャートである。
[図14] 図14は、図1の中継装置に不正パケット対策装置が接続されている場合における、図1の第1の通信装置と第2の通信装置との間でパケットを送信する際のシーケンスの例を示す図である。
[図15] 。図15は、書き換えられた第1の通信装置のARPテーブルの例を示す図である。
[図16] 図16は、書き換えられた第2の通信装置のARPテーブルの例を示す図である。
[図17] 図17は、図1の不正パケット対策装置における動作の他の例を示すフローチャートである。
[図18] 図18は、本発明の実施形態に係る不正パケット対策装置を実現するコンピュータシステムの構成例を示すブロック図である。

発明を実施するための形態

[0015]
 以下、本発明の実施の形態について、図面を参照しながら説明する。図面において同じ参照番号で示された構成要素は、同一の又は類似の構成要素である。
[0016]
 図1は、本発明の実施形態に係る不正パケット対策装置30を含む通信システム100の構成例を示すブロック図である。図1の通信システム100は、第1の通信装置12と、第2の通信装置14と、中継装置20とを有する。第1通信装置12と第2通信装置14とは、中継装置20を介して互いに接続されている。不正パケット対策装置30は、例えば中継装置20に接続されて、このような通信システム100に対する不正パケット対策を行う。
[0017]
 図2は、図1の中継装置20の構成例を示すブロック図である。図2の中継装置20は、制御装置22と、記憶装置23と、中継制御器24と、入出力装置26と、送受信機28A,28B,28C,28Dとを有する。中継装置20は、例えばスイッチングハブであり、送受信機28A~28Dは、中継装置20の4つのポートにそれぞれ対応している。送受信機28A~28Dには、第1の通信装置12、第2の通信装置14、及び不正パケット対策装置30等がそれぞれ接続される。中継装置20がより多くの送受信機を有し、より多くの通信装置がこれらの送受信機に接続されてもよい。
[0018]
 図3は、図1の中継装置20に格納されるMAC(media access control)アドレステーブルの例を示す図である。MACアドレステーブルは、送受信機28A~28Dのそれぞれと、それに接続されている装置のMACアドレスとの対応関係を示すテーブルである。図3では、例えば、送受信機番号1,2及び3は、送受信機28A,28B及び28Cにそれぞれ対応する。また、これらの送受信機番号は、中継装置20のポートの番号にそれぞれ対応する。図3は、例えば、送受信機番号1の送受信機に接続された装置のMACアドレスが00:00:00:00:00:01であることを示している。記憶装置23は、図3のようなMACアドレステーブルを格納する。
[0019]
 中継制御器24は、送受信機28A~28Dのいずれかから受信したパケットを、そのパケットの宛先MACアドレスに対応する送受信機に、記憶装置23のMACアドレステーブルに基づいて転送する。送受信機28A~28Dは、自身に接続されている装置に、受け取ったパケットを送信する。つまり、中継装置20は、宛先MACアドレスが指定されたパケットを、その宛先MACアドレスに転送するが、その他のアドレスには転送しない。このため、第1の通信装置12及び第2の通信装置14以外の通信装置は、中継装置20に接続されていても、第1の通信装置12と第2の通信装置14との間で宛先MACアドレスを指定して伝送されるパケット(例えば、ユニキャストのパケット)を受信することはできない。
[0020]
 図1の通信システム100は、例えば、工場の製造システムにおける通信システムである。第1の通信装置12は、例えば、製造システム全体の制御を行う製造制御装置である。第2の通信装置14は、例えば、製造システムにおいて、実際に製品を製造する製造装置である。第1の通信装置12は、例えば、制御コマンド等を第2の通信装置14に送信し、第2の通信装置14は、例えば、自身の状態を示す情報等を第1の通信装置12に送信する。
[0021]
 このように、第1の通信装置12、第2の通信装置14、及び不正パケット対策装置30は、中継装置20を含むネットワーク2で接続されている。ネットワーク2は、例えばLAN(local area network)であり、有線ネットワークであってもよいし、無線ネットワークであってもよい。ネットワーク2は、インターネットに接続されていてもよい。
[0022]
 図4は、図1の各装置について、実際のIP(internet protocol)アドレス及びMACアドレスの例を示す図である。図4に示されているような、IPアドレスとMACアドレスとの対応関係を示すテーブルは、ARP(address resolution protocol)テーブルと呼ばれる。図5は、図1のネットワーク2を流れるパケット(フレームとも呼ばれる)の構成例を示す図である。図6は、ARPパケットのフォーマットの例を示す図である。ARPパケットは、図5におけるペイロードとして格納される。図7は、IPパケットのフォーマットの例を示す図である。IPパケットも、図5におけるペイロードとして格納される。IPパケットには、送信元IPアドレス及び宛先IPアドレスが含まれる。
[0023]
 図8は、図1の通信装置12及び14における、パケットの送信時の動作の例を示すフローチャートである。図9は、図1の通信装置12及び14における、パケットの受信時の動作の例を示すフローチャートである。図10は、図1の中継装置20における、パケットを中継する動作の例を示すフローチャートである。図11は、図1の第1の通信装置12から第2の通信装置14へパケットを送信する際のシーケンスの例を示す図である。
[0024]
 通信装置12から通信装置14へパケットを送信する際の通常の動作について、図8~11を参照して説明する。図8のブロックB12において、通信装置12は、以前、通信装置14のMACアドレスを問い合わせてから、所定時間(例えば10分)が経過したか否かを判定する。所定の時間が経過している場合にはブロックB14に進み、経過していない場合にはブロックB16に進む。ブロックB14において、通信装置12は、送信先である通信装置14のIPアドレスに対応するMACアドレスを問い合わせるARPパケットを生成して、中継装置20に送信する(図11のブロックB112)。
[0025]
 中継装置20は、図10のブロックB42においてこのARPパケットを受信する。中継装置20は、ブロックB44において、MACアドレスが問い合わせられているか、すなわち、受信されたパケットがMACアドレスを問い合わせるARPパケットであるか否かを判定する。MACアドレスが問い合わせられている場合にはブロックB46に進み、その他の場合にはブロックB48に進む。ここでは、中継装置20はMACアドレスを問い合わせるARPパケットを受信するので、そのARPパケットを全ての送受信機に転送する(ブロックB48)。各送受信機は、自身に接続されている装置に、受け取ったARPパケットを送信する。このように、MACアドレスを問い合わせるARPパケットは、特定の宛先MACアドレスが指定されていないので、ブロードキャストされる。
[0026]
 通信装置14は、図9のブロックB32においてARPパケットを受信する。通信装置14は、ブロックB34において、自身のIPアドレスに対応するMACアドレスが問い合わせられているか、すなわち、ARPパケットの宛先IPアドレスフィールドに通信装置14のIPアドレスが含まれているか否かを判定する。ARPパケットの宛先IPアドレスフィールドに通信装置14のIPアドレスが含まれている場合にはブロックB36に進み、その他の場合にはブロックB32に戻る。ここでは、ARPパケットの宛先IPアドレスフィールドに通信装置14のIPアドレスが含まれているので、通信装置14は、通信装置14自身のMACアドレスを送信元の通信装置12に送信する(ブロックB36、図11のブロックB114)。より具体的には、通信装置14は、受信されたARPパケットにおいて、送信元IPアドレスと宛先IPアドレスとを入れ換え、送信元MACアドレスと宛先MACアドレスとを入れ換え、送信元MACアドレスフィールドに通信装置14のMACアドレスをセットする。通信装置14は、得られた応答用のパケット(ARP応答パケット)を送信する。
[0027]
 中継装置20は、ARP応答パケットを受信し(ブロックB42)、このパケットによってMACアドレスは問い合わせられていないと判定する(ブロックB44)。中継装置20は、ブロックB48において、ARP応答パケットの宛先MACアドレスに対応する送受信機にパケットを転送し(ブロックB48)、その送受信機は、自身に接続されている通信装置12に、受け取ったARP応答パケットを送信する。
[0028]
 通信装置12は、ARP応答パケットを受信し、これに基づいて自身のARPテーブルを更新する。より具体的には、通信装置12は、ARPテーブルにおいて、通信装置14のIPアドレスに対応するMACアドレスを更新する(ブロックB16,B116)。ブロックB18において、通信装置12は、送信すべき一般のパケットがあるか否かを判定する(ブロックB18)。送信すべき一般のパケットがある場合にはブロックB20に進み、その他の場合にはブロックB12に戻る。
[0029]
 ここでは、通信装置14に送信すべき一般のパケットがあるものとする。通信装置12は、ARPテーブルを参照して、送信先である通信装置14のIPアドレスに対応するMACアドレスを取得する(ブロックB20,B118)。通信装置12は、取得したMACアドレスにパケットを送信する(ブロックB22,B122)。その後、ブロックB12に戻る。
[0030]
 中継装置20は、通信装置12からのパケットを受信し(ブロックB42)、その宛先MACアドレスに対応する送受信機に転送する(ブロックB48,B124)。その送受信機は、自身に接続されている通信装置14に、受け取ったパケットを送信する。通信装置14は、そのパケットを受信する(ブロックB32,B126)。
[0031]
 図12は、図1の不正パケット対策装置30の構成例を示すブロック図である。不正パケット対策装置30は、送受信機32と、判定器34と、パケット生成器36とを有する。送受信機32は、第1の通信装置12から送信されたパケットを、中継装置20を介して受信パケットとして受信する。判定器34は、受信パケットが、第2の通信装置14のIPアドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定する。パケット生成器36は、受信パケットが、第2の通信装置14のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、第2の通信装置14のIPアドレスに対応するMACアドレス以外のMACアドレスを、第2の通信装置14のIPアドレスに対応するMACアドレスとして含む、第1の通信装置12宛ての応答パケットを生成する。送受信機32は、応答パケットを、中継装置20を介して第1の通信装置12に送信する。
[0032]
 図13は、図1の不正パケット対策装置30における動作の例を示すフローチャートである。図14は、図1の中継装置20に不正パケット対策装置30が接続されている場合における、図1の第1の通信装置12と第2の通信装置14との間でパケットを送信する際のシーケンスの例を示す図である。図15は、書き換えられた第1の通信装置12のARPテーブルの例を示す図である。
[0033]
 第1の通信装置12と第2の通信装置14との間の通信に対する不正パケット対策装置30の動作について、図8~15を参照して説明する。特に、図11のシーケンス図と異なる点について説明する。図11のブロックB112において、通信装置12は、通信装置14のIPアドレスに対応するMACアドレスを問い合わせるARPパケットを中継装置20に送信する。このパケットはブロードキャストされるので、通信装置14のみではなく不正パケット対策装置30も、このパケットを受信する。
[0034]
 図13のブロックB52において、不正パケット対策装置30の送受信機32は、このパケットを受信し、判定器34に出力する。ブロックB54において、判定器34は、受信パケットのヘッダを復号する。ブロックB56において、判定器34は、受信パケットが、第2の通信装置14のIPアドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定する。受信パケットがそのようなMACアドレスを問い合わせるパケットである場合には、ブロックB58に進み、それ以外の場合には、ブロックB60に進む。
[0035]
 ここでは、不正パケット対策装置30は、そのようなMACアドレスを問い合わせるARPパケットを受信しているので、ブロックB58に進む。ARPパケットの宛先IPアドレスフィールドに通信装置14のIPアドレスが含まれているにもかかわらず、不正パケット対策装置30は、通信装置14のIPアドレスに対応するMACアドレス以外のMACアドレスを、送信元の通信装置12に送信する(ブロックB58、図14のブロックB132)。ここでは、不正パケット対策装置30は、その装置30自身のMACアドレスを、通信装置12に送信する。
[0036]
 より具体的には、パケット生成器36は、受信されたARPパケットにおいて、送信元IPアドレスと宛先IPアドレスとを入れ換え、送信元MACアドレスと宛先MACアドレスとを入れ換え、送信元MACアドレスフィールドに不正パケット対策装置30のMACアドレスをセットする。送受信機32は、得られたARP応答パケットを、中継装置20を経由して通信装置12に送信する。その後、処理はブロックB52に戻る。
[0037]
 図14では、通信装置12は、通信装置14からのARP応答パケットを受信し、これに基づいて自身のARPテーブルを更新し(ブロックB116)、その後、不正パケット対策装置30からのARP応答パケットも受信し、これに基づいて自身のARPテーブルを更新する(ブロックB134)。通信装置12のARPテーブルは、ARP応答パケットを受信する毎に更新されるので、不正パケット対策装置30からのARP応答パケットに従って、図15のように更新される。
[0038]
 図15のようなARPテーブルに従って通信が行われるようにするためには、通信装置12が、不正パケット対策装置30からのARP応答パケットを、通信装置14からのARP応答パケットより後に受信する必要がある。そこで、送受信機32は、通信装置14のIPアドレスに対応するMACアドレスを問い合わせるパケットを送受信機32が受信してから所定時間T1(例えば1秒)経過後に、ARP応答パケットを送信する。なお、送受信機32は、所定時間T1の経過を待たずに、ARP応答パケットを複数回送信してもよい。
[0039]
 図11のブロックB118において、通信装置12は、ARPテーブルを参照して、送信先である通信装置14のIPアドレスに対応するMACアドレスを取得する(図8のブロックB20)。しかし、このとき参照されるARPテーブルは、図15の書き換えられたテーブルであるので、通信装置12は、通信装置14のIPアドレス(192.168.0.2)に対応するMACアドレスとして、MACアドレス00:00:00:00:00:ffを取得する。このMACアドレスは、不正パケット対策装置30のMACアドレスである。通信装置12は、取得したMACアドレスにパケットを送信する(ブロックB22,B142)。
[0040]
 中継装置20は、通信装置12からのパケットを受信し(ブロックB42)、その宛先MACアドレスに対応する送受信機に転送する(ブロックB48,B144)。その送受信機は、自身に接続されている不正パケット対策装置30に、受け取ったパケットを送信する。不正パケット対策装置30は、そのパケットを受信する(図13のブロックB52,B146)。判定器34は、受信パケットのヘッダを復号し(ブロックB54)、受信パケットはMACアドレスを問い合わせるパケットではないので、処理はブロックB64に進む。
[0041]
 ブロックB64において、パケット生成器36は、図4のような自身のARPテーブルを参照して、受信したパケットの宛先MACアドレスを、受信したパケットのIPアドレスに対応する本来のMACアドレス、すなわち、第2の通信装置14のMACアドレスに書き換える。送受信機32は、そのパケットを通信装置14に送信する。つまり、送受信機32は、受信したパケットを、それを本来受信すべきである第2の通信装置14に転送することになる(ブロックB148)。その後、図13の処理はブロックB52に戻る。
[0042]
 中継装置20は、不正パケット対策装置30からのパケットを受信し(ブロックB42)、その宛先MACアドレスに対応する送受信機に転送する(ブロックB48,B152)。その送受信機は、自身に接続されている通信装置14に、受け取ったパケットを送信する。第2の通信装置14は、そのパケットを受信する(図13のブロックB32,B126)。
[0043]
 このように、不正パケット対策装置30が、通信装置12からの、通信装置14のIPアドレスに対応するMACアドレスを問い合わせるARPパケットに対して応答したことにより、通信装置12から通信装置14へのパケットは、不正パケット対策装置30を経由して通信装置14に届くようになる。このため、不正パケット対策装置30は、通信システムに対する100に対する不正パケット対策を行うことができる。
[0044]
 不正パケット対策装置30は、例えば、パケットを受信してから送信するまでの間(図13のブロックB60とB64との間、又は図14のブロックB146とB148との間)において、受信したパケットを解析したり、格納したりしてもよい。つまり、不正パケット対策装置30は、通信装置12と通信装置14との間の通信を傍受し、監視することができる。
[0045]
 同様にして、通信装置14から通信装置12へパケットを送信する際にも、パケットが不正パケット対策装置30を経由してから通信装置12に届くようにしてもよい。この場合、通信装置12のIPアドレスに対応するMACアドレスを問い合わせる、通信装置14からのARPパケットに対して、不正パケット対策装置30が応答する。通信装置12のARPテーブルにおいて、通信装置12のIPアドレス(192:168:0:1)に対応するMACアドレスが、不正パケット対策装置30のMACアドレス(00:00:00:00:00:ff)に書き換えられる。図16は、書き換えられた第2の通信装置12のARPテーブルの例を示す図である。
[0046]
 より具体的には、不正パケット対策装置30が通信装置14からのARPパケットを受信した場合には、図13のブロックB60からブロックB62に進む。ブロックB62において、ARPパケットの宛先IPアドレスフィールドに通信装置12のIPアドレスが含まれているにもかかわらず、不正パケット対策装置30は、通信装置12のIPアドレスに対応するMACアドレス以外のMACアドレスを、送信元の通信装置14に送信する。ここでは、不正パケット対策装置30は、その装置30自身のMACアドレスを、通信装置14に送信する。
[0047]
 図17は、図1の不正パケット対策装置30における動作の他の例を示すフローチャートである。ブロックB52からブロックB62までの処理については、図13と同様であるので説明を省略する。ブロックB72において、図12の判定器34は、受信されたパケットが不正なパケットであるか否かを判定する。不正なパケットであると判定した場合にはブロックB74に進み、その他の場合にはブロックB76に進む。
[0048]
 パケットが不正なパケットであるか否かは、例えば、MAC認証子の正当性に基づいて判定してもよい。また、宛先アドレス又は送信元アドレスのホワイトリスト又はブラックリストに基づいて判定してもよいし、パケットの特徴に基づいて判定してもよい。不正なパケットの判定方法は、これらには限定されない。
[0049]
 ブロックB74において、判定器34は、受信されたパケットを破棄する。すなわち、送受信機32が、受信したパケットを、それを本来受信すべきである通信装置12又は14に転送すること(ブロックB64,B148)は、行わない。これにより、不正なパケットが通信装置12又は14によって受信されないようにすることができる。つまり、通信装置12と通信装置14との間の通信を遮断することができる。
[0050]
 なお、不正パケット対策装置30のパケット生成器36が、送信元MACアドレスフィールドに不正パケット対策装置30自身のMACアドレスがセットされたARP応答パケットを生成して、これを送受信機32がARPパケットを送信した装置に送信する例(図13,17のブロックB58,B62,図14のブロックB132)について説明したが、次のようにしてもよい。すなわち、不正パケット対策装置30自身のMACアドレスに代えて、実際には存在しない装置のMACアドレスを、ARPパケットによって問い合わせられたMACアドレスとして含むパケットARP応答パケットを、パケット生成器36が生成して、これを送受信機32が送信してもよい。この場合、ブロックB64,B148において本来の受信者に転送されたパケットは、いずれの装置によっても受信されないので、そのようなパケットは破棄されることになる。ARPパケットの宛先IPアドレスの装置に不正なパケットが送信されることが分かっている場合には、そのようなパケットの受信を防ぐことができる。
[0051]
 また、不正パケット対策装置30と、通信ネットワーク100に接続された仮想通信装置とを、不正パケット対策システムとして用いてもよい。仮想通信装置は、仮想化ソフトウェア(例えば、VMWare(登録商標)、VirtualBox(登録商標))上で構成され、中継装置20に接続される。パケット生成器36は、仮想通信装置のMACアドレスを、ARPパケットによって問い合わせられたMACアドレスとして含むパケットを、応答パケットとして生成する。この場合、ブロックB64,B148において本来の受信者に転送されたパケットは、仮想通信装置によって受信され、仮想通信装置がそのようなパケットを監視したり、破棄したりすることができる。つまり、仮想通信装置は、いわゆるハニーポットとして動作する。更に、仮想通信装置に代えて実際の通信装置を、不正パケット対策システムにおいて用いてもよい。
[0052]
 図18は、本発明の実施形態に係る不正パケット対策装置30を実現するコンピュータシステムの構成例を示すブロック図である。図18のコンピュータシステム80は、プロセッサ82と、送受信機84と、バス88と、メモリ92と、ファイル格納装置94と、入力デバイス96と、ディスプレイ98とを有する。
[0053]
 プロセッサ82は、バス88を経由して他の構成要素と通信する。送受信機84は、インターネット等の通信ネットワークとの間でデータを送受信する。送受信機84は、無線によって通信ネットワークに接続されていてもよい。
[0054]
 メモリ92は例えばRAM(random access memory)及びROM(read only memory)を含んでおり、データ及び命令を格納する。ファイル格納装置94は、1以上の揮発性又は不揮発性の、非過渡的な、コンピュータ読み取り可能な格納媒体である。本発明の実施形態がソフトウェアで実現される場合には、例えば、マイクロコード、アセンブリ言語のコード、又はより高レベルの言語のコードが用いられ得る。これらのコードで記述され、本発明の実施形態の機能を実現する命令を含むプログラムを、ファイル格納装置94は格納する。ファイル格納装置94は、RAM、ROM、EEPROM(electrically erasable programmable read only memory)、及びフラッシュメモリ等の半導体メモリ、ハードディスクドライブ等の磁気記録媒体、光記録媒体、これらの組み合わせ等を含み得る。
[0055]
 入力デバイス96は、タッチスクリーン、キーボード、リモートコントローラ、及びマウス等を含み得る。ディスプレイは、液晶ディスプレイ、有機EL(electroluminescence)ディスプレイ等のフラットパネルディスプレイを含み得る。
[0056]
 コンピュータシステム80は、図1の不正パケット対策装置30として動作し得る。プロセッサ82は、図12の判定器34及びパケット生成器36として動作し得る。送受信機84は、図12の送受信機32として動作し得る。
[0057]
 本明細書における各機能ブロックは、典型的にはハードウェアで実現され得る。代替としては各機能ブロックの一部又は全ては、ソフトウェアで実現され得る。例えばそのような機能ブロックは、プロセッサ及びプロセッサ上で実行されるプログラムによって実現され得る。換言すれば、本明細書で説明される各機能ブロックは、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよいし、ハードウェアとソフトウェアとの任意の組合せで実現され得る。
[0058]
 以上の実施形態は、本質的に好ましい例示であって、本発明、その適用物、あるいはその用途の範囲を制限することを意図するものではない。

産業上の利用可能性

[0059]
 以上説明したように、本発明は、不正パケット対策装置、システム、方法及びプログラム等について有用である。

符号の説明

[0060]
12,14 通信装置
20 中継装置
30 不正パケット対策装置
32 送受信機
34 判定器
36 パケット生成器
100 通信システム

請求の範囲

[請求項1]
 第1通信装置と、中継装置と、前記中継装置を介して前記第1通信装置と接続されている第2通信装置とを有する通信システムに対する不正パケット対策装置であって、
 前記中継装置は、宛先MAC(media access control)アドレスが指定されたパケットを、前記宛先MACアドレスに送信するものであり、
 前記不正パケット対策装置は、
 前記第1通信装置から送信されたパケットを、前記中継装置を介して受信パケットとして受信し、応答パケットを、前記中継装置を介して前記第1通信装置に送信する送受信機と、
 前記受信パケットが、前記第2通信装置のIP(internet protocol)アドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定する判定器と、
 前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、前記第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含む、前記第1通信装置宛てのパケットを前記応答パケットとして生成し、前記送受信機に出力するパケット生成器と
を備える不正パケット対策装置。
[請求項2]
 請求項1に記載の不正パケット対策装置において、
 前記パケット生成器は、前記不正パケット対策装置のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含むパケットを、前記応答パケットとして生成し、
 前記送受信機は、前記応答パケットを送信し、前記応答パケットの送信後に受信されたパケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットではない場合には、前記応答パケットの送信後に受信されたパケットを、前記中継装置を介して前記第2通信装置に送信する
不正パケット対策装置。
[請求項3]
 請求項2に記載の不正パケット対策装置において、
 前記判定器は、前記受信パケットが不正なパケットであるか否かを更に判定し、前記受信パケットが不正なパケットである場合には、前記受信パケットを破棄し、
 前記送受信機は、前記受信パケットが不正なパケットではない場合には、前記受信パケットを、前記中継装置を介して前記第2通信装置に送信する
不正パケット対策装置。
[請求項4]
 請求項1に記載の不正パケット対策装置において、
 前記パケット生成器は、存在しない装置のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含むパケットを、前記応答パケットとして生成する
不正パケット対策装置。
[請求項5]
 請求項1に記載の不正パケット対策装置において、
 前記送受信機は、受信パケットを受信してから所定時間経過後に、前記応答パケットを送信する
不正パケット対策装置。
[請求項6]
 請求項1に記載の不正パケット対策装置と、
 仮想化ソフトウェア上で構成され、前記中継装置に接続された仮想通信装置とを備え、
 前記パケット生成器は、前記仮想通信装置のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含むパケットを、前記応答パケットとして生成する
不正パケット対策システム。
[請求項7]
 第1通信装置と、中継装置と、前記中継装置を介して前記第1通信装置と接続されている第2通信装置とを有する通信システムに対する不正パケット対策方法であって、
 前記中継装置は、宛先MACアドレスが指定されたパケットを、前記宛先MACアドレスに送信するものであり、
 前記不正パケット対策方法は、
 前記第1通信装置から送信されたパケットを、前記中継装置を介して受信パケットとして受信することと、
 前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定することと、
 前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、前記第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含む、前記第1通信装置宛ての応答パケットを生成することと、
 前記応答パケットを、前記中継装置を介して前記第1通信装置に送信することと
を備える不正パケット対策方法。
[請求項8]
 第1通信装置と、中継装置と、前記中継装置を介して前記第1通信装置と接続されている第2通信装置とを有する通信システムに対する不正パケット対策方法をコンピュータに実行させるプログラムであって、
 前記中継装置は、宛先MACアドレスが指定されたパケットを、前記宛先MACアドレスに送信するものであり、
 前記不正パケット対策方法は、
 前記第1通信装置から送信されたパケットを、前記中継装置を介して受信パケットとして受信することと、
 前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットであるか否かを判定することと、
 前記受信パケットが、前記第2通信装置のIPアドレスに対応するMACアドレスを問い合わせるパケットである場合に、前記第2通信装置のIPアドレスに対応するMACアドレス以外のMACアドレスを、前記第2通信装置のIPアドレスに対応するMACアドレスとして含む、前記第1通信装置宛ての応答パケットを生成することと、
 前記応答パケットを、前記中継装置を介して前記第1通信装置に送信することと
を備える、
不正パケット対策プログラム。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]

[ 図 15]

[ 図 16]

[ 図 17]

[ 図 18]