取得部(91)取得接收數據(103)。第1提取部(92)從接收數據(103)中提取下載域名即域名(108)。第2提取部(93)提取表示接收數據(103)中包含的公開密鑰證書的所有者的所有者信息(107)。檢索部(16)將所有者信息(107)作為檢索關鍵字來檢索域信息檢索服務(6)，取得所有者信息(107)所示的所有者管理的管理域名(202)。判定部(18)通過管理域名(202)和域名(108)的核對，判定接收數據(103)中包含的程序是否非法。

技術領域

本發明涉及驗證被賦予代碼簽名的程序是否合法的驗證裝置、驗證程序和驗證方法。

背景技術

當惡意軟件在OS(Operating System：操作系統)中活動時，惡意軟件例如采取驅動器的形式。下面，以驅動器為例進行說明。最近的OS對驅動器要求正式的代碼簽名。但是，有時通過被盜用的“代碼簽名密鑰和公開密鑰證書”對在網絡攻擊中使用的當前的惡意軟件賦予合法的代碼簽名，不存在檢測被盜用的手段。因此，用戶安裝偽裝成驅動器的程序，終端感染惡意軟件。可認為攻擊者事前通過網絡攻擊從企業或組織盜取代碼簽名密鑰和公開密鑰證書，對惡意軟件進行簽名，濫用于其他網絡攻擊。

作為秘密密鑰的代碼簽名密鑰應該在合法的所有者中安全地運用。存在安全地保存代碼簽名密鑰并對輸入的數據賦予簽名的專用硬件(HSM：Hardware Security Module)。代碼簽名密鑰無法從HSM提取到外部，因此，不能通過網絡攻擊提取代碼簽名密鑰。但是，運用HSM要花費購入和維護的費用，因此，有時不被利用。該情況下，可認為代碼簽名密鑰和公開密鑰證書作為文件保存在OS上進行管理。

在網絡攻擊的報告中，報告了許多檢索保存有密鑰和公開密鑰證書且擴展符為“.p12”的文件的例子。可知攻擊者的目標是作為文件保存在OS上的密鑰和公開密鑰證書。該情況下，不一定必須是代碼簽名用的密鑰和公開密鑰證書，但是，可認為攻擊者的目標還是代碼簽名用的數據。

作為代碼簽名密鑰和公開密鑰證書的防盜，可考慮通過在事件日志中發現正在檢索擴展符“p12”的文件的可疑進程來檢測盜取的方法。但是，這是代碼簽名密鑰和公開密鑰證書的所有者側的對策，與HSM相同，無法保證所有者必須作為對策來實施。因此，作為不感染帶代碼簽名的惡意軟件的對策，需要的是接受帶代碼簽名的惡意軟件的一側的檢查功能。

作為現有技術，存在檢查為了驗證代碼簽名的正確性而使用的與代碼簽名密鑰成對的公開密鑰證書是否有效的技術(例如非專利文獻1和非專利文獻2)。

現有技術文獻

非專利文獻

非專利文獻1：Certificate Revocation List(CRL),IETF RFC 5280,InternetX.509Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile.

非專利文獻2：Online Certificate Status Protocol(OCSP),IETF RFC2560,X.509Internet Public Key Infrastructure Online Certificate Status Protocol-OCSP.

CRL(Certificate Revocation List)是揭示了失效的公開密鑰證書的信息的失效列表，OCSP是在線查詢公開密鑰證書的失效狀態的協議，但是，它們只能判斷為“失效的公開密鑰證書”無效。失效由于第三方或所有者的申報而成立，因此，只要沒人發覺被盜或者所有者沒有發覺，則不產生該申報。此外，很難認為攻擊者申報失效。由此，作為針對帶代碼簽名的惡意軟件的對策，這些技術不是有效的。

由此，在現有技術中，無法防止利用被攻擊者盜取的代碼簽名密鑰和公開密鑰證書進行帶代碼簽名的惡意軟件的非法安裝。

發明內容