[发明专利]验证装置、验证程序和验证方法

说明书

取得部(91)取得接收数据(103)。第1提取部(92)从接收数据(103)中提取下载域名即域名(108)。第2提取部(93)提取表示接收数据(103)中包含的公开密钥证书的所有者的所有者信息(107)。检索部(16)将所有者信息(107)作为检索关键字来检索域信息检索服务(6)，取得所有者信息(107)所示的所有者管理的管理域名(202)。判定部(18)通过管理域名(202)和域名(108)的核对，判定接收数据(103)中包含的程序是否非法。

技术领域

本发明涉及验证被赋予代码签名的程序是否合法的验证装置、验证程序和验证方法。

背景技术

当恶意软件在OS(Operating System：操作系统)中活动时，恶意软件例如采取驱动器的形式。下面，以驱动器为例进行说明。最近的OS对驱动器要求正式的代码签名。但是，有时通过被盗用的“代码签名密钥和公开密钥证书”对在网络攻击中使用的当前的恶意软件赋予合法的代码签名，不存在检测被盗用的手段。因此，用户安装伪装成驱动器的程序，终端感染恶意软件。可认为攻击者事前通过网络攻击从企业或组织盗取代码签名密钥和公开密钥证书，对恶意软件进行签名，滥用于其他网络攻击。

作为秘密密钥的代码签名密钥应该在合法的所有者中安全地运用。存在安全地保存代码签名密钥并对输入的数据赋予签名的专用硬件(HSM：Hardware Security Module)。代码签名密钥无法从HSM提取到外部，因此，不能通过网络攻击提取代码签名密钥。但是，运用HSM要花费购入和维护的费用，因此，有时不被利用。该情况下，可认为代码签名密钥和公开密钥证书作为文件保存在OS上进行管理。

在网络攻击的报告中，报告了许多检索保存有密钥和公开密钥证书且扩展符为“.p12”的文件的例子。可知攻击者的目标是作为文件保存在OS上的密钥和公开密钥证书。该情况下，不一定必须是代码签名用的密钥和公开密钥证书，但是，可认为攻击者的目标还是代码签名用的数据。

作为代码签名密钥和公开密钥证书的防盗，可考虑通过在事件日志中发现正在检索扩展符“p12”的文件的可疑进程来检测盗取的方法。但是，这是代码签名密钥和公开密钥证书的所有者侧的对策，与HSM相同，无法保证所有者必须作为对策来实施。因此，作为不感染带代码签名的恶意软件的对策，需要的是接受带代码签名的恶意软件的一侧的检查功能。

作为现有技术，存在检查为了验证代码签名的正确性而使用的与代码签名密钥成对的公开密钥证书是否有效的技术(例如非专利文献1和非专利文献2)。

现有技术文献

非专利文献

非专利文献1：Certificate Revocation List(CRL),IETF RFC 5280,InternetX.509Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile.

非专利文献2：Online Certificate Status Protocol(OCSP),IETF RFC2560,X.509Internet Public Key Infrastructure Online Certificate Status Protocol-OCSP.

CRL(Certificate Revocation List)是揭示了失效的公开密钥证书的信息的失效列表，OCSP是在线查询公开密钥证书的失效状态的协议，但是，它们只能判断为“失效的公开密钥证书”无效。失效由于第三方或所有者的申报而成立，因此，只要没人发觉被盗或者所有者没有发觉，则不产生该申报。此外，很难认为攻击者申报失效。由此，作为针对带代码签名的恶意软件的对策，这些技术不是有效的。

由此，在现有技术中，无法防止利用被攻击者盗取的代码签名密钥和公开密钥证书进行带代码签名的恶意软件的非法安装。

发明内容