Webサーバーやクライアントに対する通信攻撃を防止する為の技術

2022.10.20 By 東京電機大学

情報

技術概要

漏れの無いWebサーバーの自動調査と柔軟な発信規制を実現し、クライアントに対するサーバーからの攻撃と、Webサーバーに対するクライアントからの攻撃を防止する。

用途・応用

・安全・安心な通信システム
・サイバーセキュリティー

背景

 図1は、関連技術に係るインターネットを介したWebサーバとクライアント間の接続構成例を示す。図1では、理解の容易のため、第1のISP(Internet Service Provider)の管理するISP網91と、第2のISPの管理するISP網92と、がインターネット93を介して接続されている例を示す。クライアント12はISP網91内に接続されている端末の1つであり、ISP網91とインターネット93との境界にあるゲートウェイルータ(以下、GWと称する。)11に接続し、GW11はISP網91内のキャッシュDNSサーバ15と接続している。

 Webサーバ22はISP網92内に接続されている端末の1つであり、ISP網92とインターネットとの境界にあるGW21に接続し、GW21はISP網92内の権威DNS(Domain Name System)サーバ23と接続している。なお、以下では、説明を簡易にするため、権威DNSサーバが管理するURLの範囲(ゾーン)に対応するWebサーバ22は、ISP網92に接続するWebサーバ22の範囲として説明する。

 GW11及びGW21は、ISP網内からの発信はすべて通過させるが、外部からの発信は権威DNSサーバ及びWebサーバのIPアドレス宛の通信のみ、内部に転送する。GW11とGW21は、インターネット93を介して接続し、インターネット93はGW11及びGW21から受信したIPパケットのIPアドレスを参照し、宛先となるGW21及びGW11に転送する。

 ASP(Application Service Provider)のIDS(Intrusion Detection System)サーバ14,24は、それぞれ、インターネット93に接続するWebサーバ間のリンク情報を用いて、各Webサーバに周期的に接続し、IDS技術を活用して、各Webサーバからクライアントへのマルウェア感染や、他Webサーバへの成りすましなどクライアントの安全を脅かす処理(通信攻撃)がないか調査し、危険な処理を行うWebサーバのURLのリスト(ブラックリスト)や安全なWebサーバのURLのリスト(ホワイトリスト)を管理する。ASPは、例えば、Google(登録商標)及びMicrosoft(登録商標)である。なお、図1では、Webサーバ22以外のWebサーバの図示を省略している。

 クライアント12のWebブラウザは、IDSサーバ14,24と通信し、当該ブラックリストまたはホワイトリストを活用して発信の制御を行う。なお、2016年5月の時点で、Firefox(登録商標)、Safari(登録商標)、Chrome(登録商標)はGoogle(登録商標)社が提供するブラックリストを、Internet Explorer(登録商標)やEdge(登録商標)はMicrosoft(登録商標)社が提供するホワイトリストを使用することが可能である。以下、Firefox(登録商標)の処理概要について、公開情報を元に説明する。

 Firefox(登録商標)は、Google Safe Browsing(登録商標)というAPI(Application Programming Interface)を利用し、当該ブラックリストをクライアント端末内にダウンロードする。ブラックリストは、危険なURLのそれぞれをハッシュしたリストである。ユーザが、クライアントのFirefox(登録商標)を用いて、ユーザが指定したURLとの接続を指示すると、Webブラウザは、当該URLのハッシュ値がブラックリストにある場合は、IDSサーバ14,24に当該URLを通知する。IDSサーバ14,24は当該URLがブラックリストにあるかどうかを、Firefox(登録商標)に応答する。当該URLがブラックリストにあった場合、Firefox(登録商標)はユーザに警告を表示し、ユーザは危険なWebサーバに接続することを控えることができる。接続先WebサーバのURLがブラックリストにない場合、クライアント(スタブリゾルバとも呼ばれる)は、当該URLに対応するWebサーバのIPアドレスをDNSクエリ(図2)により、キャッシュDNSサーバ(フルサービスリゾルバとも呼ばれる)に問い合わせる。URLがWebサーバ22のホスト名の場合、キャッシュDNSはDNSプロトコルにより、root DNSサーバや上位ドメインのDNSサーバに当該URLの対応する情報の管理を行っている権威DNSサーバ23のIPアドレスを再帰検索により入手し、当該権威DNSサーバ23にDNSクエリを転送する。ここで、権威DNSサーバ23は、コンテンツサーバとも呼ばれ、図の例ではISP網92の権威DNSサーバ23として機能する。なお図1では、root DNSサーバや上位ドメインのDNSサーバの表記を省略している。

 権威DNSサーバ23は図3に示すように、Webサーバ22のIPアドレス(アンサー部)と、当該権威DNSサーバが持つゾーン署名鍵(公開鍵と秘密鍵のペアで構成)の公開鍵(DNSKEY(Domain Name System KEY)レコード)と当該公開鍵に対応する秘密鍵で当該IPアドレスのハッシュ値を暗号化した署名(RRSIG(Resource Record Signature)レコード)を含むDNSレスポンスをキャッシュDNSサーバ15に返送する。キャッシュDNSサーバ15は既存のDNSSEC(DNS SECurity Extensions)のプロトコル手順を用いて、root DNSサーバからの信頼性チェーンにより、キャッシュDNSサーバ15のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いて受信したDNSレスポンスの署名を復号して、署名範囲のハッシュ値と比較する。一致した場合署名範囲に改ざんがないと判断し、当該IPアドレスを含むDNSレスポンスをクライアント12に返却する。以上により、クライアント12は、Webサーバ22のIPアドレスを入手し、Webサーバ22とのIP通信が可能になる。

 関連技術では、以下の課題がある。
 第1の課題:ASPによる巡回調査の遅れ。2015年時点で世界中のドメイン数は3億を超過している。このため、1つのASPが全Webサーバを巡回して調査すると、調査間隔が長くなってしまい、調査の間に、攻撃者によりWebサーバが汚染され、クライアントにとって危険なWebサーバとなる可能性が無視できない。

 第2の課題:リンクの無い悪意サーバの潜在化。クライアントに感染させたマルウェアと通信し、クライアント端末を遠隔操作するC&Cサーバなどの悪意サーバは、URLをDNSサーバに登録せず、他のWebサーバからのリンクもない場合がある。当該サーバについては、Webリンクによる巡回調査が出来ない問題がある。

 第3の課題:クライアントの通信プライバシのASPへの流出。ブラックリストを攻撃者が解読すると攻撃のヒントになるため、クライアントは危険な可能性のあるURLをASPに通知し、ASPが最終的な判定を行っている。このため、クライアントは通信の安全性と引き換えに、通信プライバシの一部をASPに公開せざるを得ない問題がある。

 第4の課題:クライアントの負荷。クライアントは、ブラックリストのASPからの入手や、ハッシュ照合などの処理が必要であり、またそのためには、PKI証明書の検証が必要である。センサなど電力や計算処理能力が低いマシン端末には負担が大きい。

【先行技術文献】
【特許文献】
【特許文献1】特開2012-080358号公報
【特許文献2】特開2009-232116号公報

課題

 本開示は、ASPによる巡回調査の遅れ、リンクの無い悪意のWebサーバの潜在化、柔軟な通信制御ができない、クライアントの通信プライバシのASPへの流出、及び、クライアントの負荷の課題を解決することを目的とする。

手段

 具体的には、本開示のデータ通信システムは、第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、を備える。

 具体的には、本開示のキャッシュDNS装置は、自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う。

 具体的には、本開示の通信攻撃防止方法は、第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、を備える。

効果

 本開示によれば、ASPによる巡回調査の遅れ、リンクの無い悪意のWebサーバの潜在化、クライアントの通信プライバシのASPへの流出、及び、クライアントの負荷の課題を解決することができる。

問い合わせ・詳細資料閲覧

特許情報詳細や資料のダウンロード等については無料会員登録後に閲覧していただけます。

本研究に関するご質問や、話を聞いてみたいなどご興味をお持ちになりましたら、是非お気軽に以下のフォームにお問い合わせください。

特許情報

特開2018ー074395

239特許証