• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 G06F
審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 取り消して特許、登録 G06F
管理番号 1357262
審判番号 不服2018-12064  
総通号数 241 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2020-01-31 
種別 拒絶査定不服の審決 
審判請求日 2018-09-07 
確定日 2019-12-10 
事件の表示 特願2016-552611「ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体」拒絶査定不服審判事件〔平成28年 6月23日国際公開、WO2016/095479、平成29年 4月27日国内公表、特表2017-511923、請求項の数(25)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯

本願は,2015年6月29日(パリ条約による優先権主張2014年12月19日(以下,「優先日」という。);中国)を国際出願日とする出願であって,平成29年8月28日付けで審査官により拒絶理由通知がされ,平成29年11月30日に意見書が提出されるとともに手続補正がされ,平成30年4月19日付けで拒絶査定(原査定)がされ,これに対し,平成30年9月7日に拒絶査定不服審判の請求がされると同時に手続補正がされ,令和元年5月30日付けで当審より拒絶理由通知(以下,「当審拒絶理由通知」という。)がされ,令和元年9月4日に意見書が提出されるとともに手続補正がされたものである。


第2 原査定の概要

原査定(平成30年4月19日付け拒絶査定)の概要は次のとおりである。

(1)本願請求項1ないし29に係る発明は,以下の引用文献1及び2に基づいて,その発明の属する技術の分野における通常の知識を有する者(以下,「当業者」という。)が容易に発明できたものであるから,特許法第29条第2項の規定により特許を受けることができない。

引用文献等一覧
1.特表2014-525639号公報
2.米国特許出願公開第2005/0188272号明細書

(2)請求項2ないし12,14ないし25,27,29に係る発明は不明確であり,本願は,特許法第36条第6項第2号に規定する要件を満たしていない。


第3 当審拒絶理由の概要

当審でなされた拒絶理由の概要は次のとおりである。

(1)本願請求項1ないし27は,特許請求の範囲の記載が特許法第36条第6項第2号に規定する要件を満たしていない。

(2)本願請求項1ないし27に係る発明は,その出願前に日本国内又は外国において,頒布された下記の刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基いて,その出願前にその発明の属する技術の分野における通常の知識を有する者が容易に発明をすることができたものであるから,特許法第29条第2項の規定により特許を受けることができない。

引用文献等一覧
A.特表2014-525639号公報(原査定時の引用文献1)
B.特表2013-529335号公報


第4 本願発明

本願請求項1ないし25に係る発明(以下,それぞれ「本願発明1」ないし「本願発明25」などという。)は,令和元年9月4日付けの手続補正で補正された特許請求の範囲の請求項1ないし25に記載された事項により特定される発明であり,以下のとおりの発明である。

「 【請求項1】
ウイルス処理装置により実行されるウイルス処理方法であって、
ウイルス決定ユニットが、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップと、
命令送信ユニットが、前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと、
を含み、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップは、
第1受信サブユニットが、前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するステップと、
マッチングサブユニットが、前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
を含むこと
を特徴とするウイルス処理方法。
【請求項2】
前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップは、
第2受信サブユニットが、前記クライアントにより報告された識別結果を受信するステップと、
取得サブユニットが、前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリーの情報を前記識別結果から取得するステップと、
を含むこと
を特徴とする請求項1に記載の方法。
【請求項3】
結合分析ユニットが、クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するステップと、
ライブラリ更新ユニットが、更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するステップと、
をさらに含むこと
を特徴とする請求項1に記載の方法。
【請求項4】
前記マッチングサブユニットにより前記スキャンログに含まれるウイルス本体挙動情報と、前記クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定した前記ウイルスファミリーの情報が前記識別結果から取得されたウイルスファミリーの情報と一致しない場合、前記命令送信ユニットは、前記スキャンログに含まれるウイルス本体挙動情報と、前記クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定した前記ウイルスファミリーの情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリーの情報によって、送信するウイルス除去命令を決定するステップをさらに含むこと
を特徴とする請求項2に記載の方法。
【請求項5】
前記ウイルス本体挙動情報は、
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
を特徴とする請求項1?4のいずれか一項に記載の方法。
【請求項6】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項1?4のいずれか一項に記載の方法。
【請求項7】
挙動スキャンユニットが、ウイルス本体挙動をスキャンするステップと、
ログ報告ユニットが、スキャンログをクラウドサービスプラットフォームに報告するステップと、及び/又は、
ウイルス識別ユニットが、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
命令処理ユニットが、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行するステップと、
を含み、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とするウイルス処理方法。
【請求項8】
ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、ウイルス除去ユニットが前記悪意のあるウイルス本体挙動に関連するコンテンツを除去するステップをさらに含むこと
を特徴とする請求項7に記載の方法。
【請求項9】
ライブラリ更新ユニットが、クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するステップをさらに含むこと
を特徴とする請求項7に記載の方法。
【請求項10】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項7?9のいずれか一項に記載の方法。
【請求項11】
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するためのウイルス決定ユニットと、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、前記ウイルス決定ユニットにより決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うための命令送信ユニットと、
を備え、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記ウイルス決定ユニットは、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するための第1受信サブユニットと、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するためのマッチングサブユニットであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、マッチングサブユニットと、
を備えること
を特徴とするウイルス処理装置。
【請求項12】
前記ウイルス決定ユニットは、
前記クライアントにより報告された識別結果を受信するための第2受信サブユニットと、
前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリーの情報を前記識別結果から取得するための取得サブユニットと、
を備えること
を特徴とする請求項11に記載の装置。
【請求項13】
前記クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するための結合分析ユニットと、
更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットと、
をさらに備えること
を特徴とする請求項11に記載の装置。
【請求項14】
前記マッチングサブユニットにより決定されたウイルスファミリーの情報が前記取得サブユニットにより取得されたウイルスファミリーの情報と一致しない場合、前記命令送信ユニットが、前記マッチングサブユニットにより決定されたウイルスファミリーの情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリーの情報によって、送信するウイルス除去命令を決定すること
を特徴とする請求項12に記載の装置。
【請求項15】
前記ウイルス本体挙動情報は、
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、
ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
を特徴とする請求項11?14のいずれか一項に記載の装置。
【請求項16】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項11?14のいずれか一項に記載の装置。
【請求項17】
ログ報告ユニットとウイルス識別ユニットの少なくとも1つと、挙動スキャンユニットと、命令処理ユニットとを備えており、
前記挙動スキャンユニットは、ウイルス本体挙動をスキャンすることに用いられ、
前記ログ報告ユニットは、スキャンログをクラウドサービスプラットフォームに報告することに用いられ、
前記ウイルス識別ユニットは、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を前記クラウドサービスプラットフォームに報告することに用いられ、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記命令処理ユニットは、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行することに用いられ、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
ことを特徴とするウイルス処理装置。
【請求項18】
前記ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に関連するコンテンツを除去するためのウイルス除去ユニットをさらに備えることを特徴とする請求項17に記載の装置。
【請求項19】
クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットをさらに備えること
を特徴とする請求項17に記載の装置。
【請求項20】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項17?19のいずれか一項に記載の装置。
【請求項21】
請求項11?14のいずれか一項に記載の装置を備えるクラウド処理プラットフォームと、
請求項17?19のいずれか一項に記載の装置を備えるクライアントと、
備えること
を特徴とするウイルス処理システム。
【請求項22】
1つ以上のプロセッサと、
メモリと、
前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、
これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定する1つ以上のプログラムと、
を備え、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とする機器。
【請求項23】
1つ以上のプロセッサと、
メモリと、
前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
ウイルス本体挙動をスキャンし、
スキャンログをクラウドサービスプラットフォームに報告し、及び/又は、
ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告し、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行する1つ以上のプログラムと、
を備え、
前記ウイルスファミリーは、挙動が類似する一群のウイルスからなり、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
ことを特徴とする機器。
【請求項24】
不揮発性コンピュータ記憶媒体であって、1つ以上のプログラムが記憶され、前記1つ以上のプログラムが1つの機器により実行される時に、前記機器は、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、
これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とする不揮発性コンピュータ記憶媒体。
【請求項25】
不揮発性コンピュータ記憶媒体であって、1つ以上のプログラムが記憶され、前記1つ以上のプログラムが1つの機器により実行される時、前記機器は、
ウイルス本体挙動をスキャンし、
スキャンログをクラウドサービスプラットフォームに報告し、及び/又は、
ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告し、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行し、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
ことを特徴とする不揮発性コンピュータ記憶媒体。」


第5 引用文献,引用発明等

1 引用文献1について

原査定の拒絶の理由に引用文献1として引用され,当審拒絶理由通知(引用文献A)にも引用された特表2014-525639号公報には,図面とともに次の事項が記載されている。(下線は当審により付与。以下同様。)

A 「【0006】
アンチウィルスアプリケーションは、ローカルデバイス上にインストールされたアンチウィルスアプリケーションを用いてマルウェアが検出される場合であっても、適切な駆除コードを有しない場合がある。 例えば、アンチウィルスアプリケーションは、ヒューリスティック検出技法を含む場合があり、この技法によれば、ソフトウェアは、システムファイルを既知のマルウェアのシグネチャと比較することによってではなく、システムファイルを評価して、マルウェアに類似する特性を検出することによってマルウェアを検出することができる。このタイプの検出を用いると、アンチウィルスソフトウェアは、特定のマルウェアを表すシグネチャを用いることなくマルウェアを検出することが可能である。この技法は、ファイルを特定の既知のマルウェアとして認識するのではなく、ファイルをマルウェアの一般的な特性と一致するものとして認識することによってマルウェアを検出するので、検出されたマルウェアに対処する定義ファイルの一部として特定の駆除コードが利用可能でない可能性がある。ここでもまた、ユーザーは、検出されたマルウェアに対処する適正な駆除コードを含む次のソフトウェア更新を待機した状態のままにされる場合がある。
【0007】
このため、従来技術に関連付けられたこれらの問題及び他の問題に対処する必要がある。」

B 「【0024】
図3を参照すると、例示的な実施形態において、クラウド技術を用いて動的マルウェア駆除を提供するプロセスが示される。明確にするために、マルウェア駆除の動作は、限定ではないが、任意のタイプの悪意のあるソフトウェアの影響を除去し、無効にし、隔離し(すなわち、システムの他のエリアへの有害な影響の拡散を阻止するようにシステムの単一のエリア内に孤立させ)、及び/又は修復しようとする動作を含む任意の動作を指す。示される実施形態では、動的マルウェア駆除を提供することは、デバイス上でマルウェアを検出するプロセスから始まる。デバイスは、例えば図1において上述したデバイスのうちの任意のもの等の、マルウェアによる影響を受ける可能性がある任意のデバイスであり得る。マルウェアはマルウェアを検出することが可能な任意の所望の技法を用いてデバイス上で検出することができる。デバイス上でマルウェアを検出するプロセスは、デバイスのファイルをデバイス上に記憶された既知のマルウェアシグネチャと比較することを含むことができる。代替的に、マルウェアを検出するプロセスは、デバイス上の疑わしいファイルに関する情報をパッケージ化してネットワークデバイスに送信し、そのファイルがマルウェアであるか否かに関して判断することを含むことができる。マルウェアは、ヒューリスティック検出技術、すなわち挙動に基づく検出技術を用いてデバイス上で検出することもできる。ステップ302においてマルウェアが検出されない場合、デバイス上でマルウェアを検出することを試みるプロセスが継続する。例えば、マルウェアの検索は、継続的に、又は以下で説明するようにデバイスにおける或る特定の発現に応答して実行することができる。
【0025】
一方、ステップ302においてマルウェアが検出される場合、ステップ304において、デバイス上で、検出されたマルウェアに対する適切な駆除手順が利用可能であるか否かが判断される。1つの実施形態では、マルウェアを検出する役割を果たすアンチウィルスアプリケーションは、検出された特定のマルウェアに対し、アンチウィルスアプリケーションの一部として駆除コードが利用可能であるか否かを判断することができる。1つの実施形態では、検出された特定のマルウェアに対する駆除手順が利用可能でないか、期限切れであるか、又は十分な結果をもたらす可能性が低い場合、デバイスにおいて適切な駆除手順が利用可能でないことがある。デバイスにおいて適切な駆除手順が利用可能である場合、306において、ローカルで利用可能な駆除手順を利用して、検出されたマルウェアを除去し、マルウェアの影響を修復する。1つの実施形態では、ローカルで利用可能な駆除手順を用いて、検出されたマルウェアを除去し、マルウェアの影響を修復すること(306)は、デバイス上にインストールされたアンチウィルスアプリケーションの一部であるプログラムコードを実行することを含むことができる。ローカルで利用可能な駆除手順を用いてマルウェアを除去し、マルウェアの影響を修復することは、任意の所望の方法で実行することができる。
【0026】
デバイスにおいて適切な駆除手段が利用可能でない場合、検出されたマルウェアに関する情報は、308において、デバイスのネットワーク接続を用いて通信ネットワークを介してサーバーに送信することができる。1つの実施形態では、サーバーはインターネット接続によりデバイスにアクセス可能とすることができる。しかしながら、サーバーは図1において上記で検討したような任意の所望のネットワーク接続によってデバイスにアクセス可能とすることができる。1つの実施形態では、サーバーは、デバイス上にインストールされたアンチウィルスアプリケーションのプロバイダーと連携するサーバーとすることができる。受信デバイスはサーバーとして説明されるが、受信デバイスは、デバイスから送信された情報を受信し、それに応じて情報を処理することが可能な任意のネットワークデバイスとすることができることが理解されよう。1つの実施形態では、デバイスからマルウェアの検出に関する情報を受信することが可能な複数のサーバーが存在することができる。適切なサーバーは、検出されるマルウェアのタイプ、デバイスのロケーション等に従って決定することができる。したがって、サーバーは、情報を受信し、デバイスに適切な応答を提供することが可能な任意のネットワークデバイスとすることができる。
【0027】
1つの実施形態では、サーバーに送信される情報は、検出されたマルウェアとして特定されるファイルのハッシュを含むことができる。1つの実施形態では、サーバーに送信される情報は暗号化することができる。情報は、秘密鍵暗号化(すなわち対称暗号化)又は公開暗号化(すなわち非対称暗号化)を用いて暗号化することができる。一方、サーバーに送信される情報は、サーバーが検出されたマルウェアに関連付けられた適切な駆除応答を特定することを可能にすることができる任意の情報を含むことができる。例えば、1つの実施形態では、サーバーがこの情報を用いて、特定のタイプのマルウェアと対応する駆除応答とを相互参照するデータベース検索を実行することができる。
【0028】
310において、サーバーは、検出されたマルウェアに関する情報の受信に応答して、適切な駆除応答を用いて応答することができる。以下で更に詳細に説明されるように、様々な実施形態において、サーバーによって提供される応答は、例えばデバイス上にインストールされたアンチウィルスアプリケーションの一部としてデバイス上に既に存在する駆除コードを参照することの命令、デバイスによって実行される駆除ルーチン、デバイス上の既存の駆除コードを参照することの命令とデバイスによって実行される駆除ルーチンとの組合せ、又は異なるネットワークデバイスから駆除応答を取得することの命令を含むことができる。一方、応答は、デバイスが検出されたマルウェアを除去し、マルウェアの影響を修復することを可能にすることができる任意のコンテンツを含むことができる。ステップ312において、デバイスは応答を利用して検出されたマルウェアを除去し、マルウェアの影響を修復することができる。」

C 「【0047】
図5を参照すると、1つの実施形態では、クラウド技術を用いた動的マルウェア駆除の要求を受信し処理するプロセスは、502において、デバイス402からネットワーク426を介してサーバー404においてマルウェア駆除要求418を受信することから始まる。受信デバイスはサーバーとして説明されているが、受信デバイスは、以下で説明するようにマルウェア駆除要求を受信し、要求を処理することが可能な任意のネットワークデバイスとすることができることが理解されよう。1つの実施形態では、ネットワーク426はインターネットとすることができるが、ネットワーク426は、例えば図1において上記で検討したネットワークのうちの任意のもの等の、デバイス402とサーバー404との間の通信を容易にすることが可能な任意の通信ネットワークとすることができる。1つの実施形態では、要求418は、デバイス上にインストールされたアンチウィルスアプリケーションのプロバイダーと提携するサーバー404によって受信することができる。1つの実施形態では、要求418はDNS要求とすることができる。要求418は、デバイス上で検出される特定のタイプのマルウェアを特定することができる。しかしながら、要求418は、受信デバイス404が検出されたマルウェアに関連付けられた適切な駆除応答を特定することを可能にすることができる任意の情報を含むことができる。
【0048】
ステップ504において、サーバー404は要求418のマルウェア定義部分を特定する。要求418のマルウェア定義部分は、デバイス402上で検出された特定のタイプのマルウェアを特定し、それによってサーバー404がこの検出されたマルウェアに関連付けられた適切な駆除応答420を特定することを可能にすることができる。1つの実施形態では、要求418のマルウェア定義部分を特定することは、デバイス402からの要求418を復号することを含むことができる。別の実施形態では、要求418のマルウェア定義部分を特定することは、要求をパースすることを含むことができる。例えば、要求418は、デバイス402上にインストールされたアンチウィルスアプリケーションと関連付けられたバージョン情報及びライセンス情報と、デバイス402の地理的ロケーション及び/又はネットワークロケーション等とを含むことができ、これらは要求418のマルウェア定義部分と分離することができる。
【0049】
サーバー404は、要求418のマルウェア定義部分を突き止めると、506において、特定されたマルウェア定義に一致するレコードを検索することができる。1つの実施形態では、サーバー404は、既知のマルウェア脅威を対応する駆除応答と関連付けるデータストア428においてデータベースルックアップを実行し、要求418において特定された特定のマルウェア定義に一致するレコードを取り出すことができる。別の実施形態では、要求418のマルウェア定義部分が、マルウェアとして検出されたファイルのハッシュを含む場合、そのハッシュを用いて、既知のマルウェア及び対応するマルウェア駆除応答420を表すファイルハッシュのデータストア428を検索することができる。
【0050】
508において、特定のマルウェア定義に一致するレコードが突き止められない場合、510において、特定のマルウェア定義に対応する新たなマルウェアレコードを作成することができる。1つの実施形態では、マルウェア定義は上記で説明したデータストア428に加えることができる。新たなマルウェアレコードは、マルウェア定義を含んでいた要求418に関する追加情報を組み込むことができる。例えば、マルウェアレコードは、デバイス402のシステム情報、デバイス402のロケーション等のような、サーバー404によって受信された要求418を開始したデバイスに関する情報を提供することができる。1つの実施形態では、新たなマルウェアレコードの作成によって、新たなマルウェア脅威が観察されたことのアラートを提供することができる。例えば、アラートは、アンチウィルスアプリケーションのプロバイダーに関連する1人又は複数人の人物に提供することができる。そのようなアラートは、新たに観察されたマルウェアに対する適切な駆除応答420を決定するプロセスを開始することができる。
【0051】
508において、要求のマルウェア定義部分に一致するレコードが突き止められた場合、512において、突き止められたレコードに利用可能な駆除応答420が関連付けられているか否かが判断される。1つの実施形態では、突き止められたレコードが存在するデータストア428に関連付けられた駆除フィールドがヌルでない場合、駆除応答420が存在すると判断することができる。512において、駆除応答420が利用可能でないと判断される場合、例えば、要求418のマルウェア定義に一致するマルウェア定義が以前に記録されたが、適切な駆除応答420がまだ決定していない場合、又は510において新たなマルウェアレコードが作成された場合、514において要求をキューイングすることができる。この要求は、このマルウェアを根絶させる適切な駆除応答420が決定されるまで保持することができる。1つの実施形態では、サーバーは、駆除応答420が利用可能になったときに提供されることの表示をデバイスに送信することができる。サーバーは、キューイングされた要求に応答して、マルウェア定義に一致するレコードを監視し続けて、駆除応答420が利用可能であるか否かを判断することができる。1つの実施形態では、要求418に関連付けられたマルウェアについて駆除応答420が利用可能であるとき、マルウェア定義に一致するデータストア428のレコードを、そのレコードの駆除フィールド内に適切な駆除応答420を含めるように更新することができる。
【0052】
512又は516のいずれかにおいて駆除応答420が利用可能であるとき、518において、要求418に対する駆除応答420がデバイスに送信される。上記で説明したように、応答420は、駆除応答420をデバイスに送達することが可能な任意の所望のネットワークプロトコルを利用することができる。駆除応答は、上記で説明した応答のうちの任意のものの形態をとることができる。さらに言えば、応答420は、ネットワークを介してマルウェア駆除を提供することが可能な任意の形態をとることができる。」

D 上記Cの【0052】における「応答420」の「ネットワークを介してマルウェア駆除を提供することが可能な任意の形態」について,上記Bの【0028】の記載から,「例えばデバイス上にインストールされたアンチウィルスアプリケーションの一部としてデバイス上に既に存在する駆除コードを参照することの命令、デバイスによって実行される駆除ルーチン、デバイス上の既存の駆除コードを参照することの命令とデバイスによって実行される駆除ルーチンとの組合せ、又は異なるネットワークデバイスから駆除応答を取得することの命令を含むことができる。一方、応答は、デバイスが検出されたマルウェアを除去し、マルウェアの影響を修復することを可能にすることができる任意のコンテンツを含むことができ」ることが読み取れ,
また,サーバー404に要求418を送信するデバイスでのマルウェア検出プロセスについて,上記Bの【0024】の記載から,「マルウェアを検出するプロセスは、デバイス上の疑わしいファイルに関する情報をパッケージ化してネットワークデバイスに送信し、そのファイルがマルウェアであるか否かに関して判断することを含むことができる。マルウェアは、ヒューリスティック検出技術、すなわち挙動に基づく検出技術を用いてデバイス上で検出することもできる」ことが読み取れる。

以上,上記AないしDの記載から,上記引用文献1には次の発明(以下,「引用発明」という。)が記載されていると認められる。

「クラウド技術を用いた動的マルウェア駆除の要求を受信し処理するプロセスであって,
デバイス402からネットワーク426を介してサーバー404においてマルウェア駆除要求418を受信し(ステップ502),
ここで,要求418は,デバイス上で検出される特定のタイプのマルウェアを特定することができ,また,要求418は,受信デバイス404が検出されたマルウェアに関連付けられた適切な駆除応答を特定することを可能にすることができる任意の情報を含むことができるものであり,
サーバー404は要求418のマルウェア定義部分を特定し(ステップ504),
要求418のマルウェア定義部分は,デバイス402上で検出された特定のタイプのマルウェアを特定し,それによってサーバー404がこの検出されたマルウェアに関連付けられた適切な駆除応答420を特定することを可能にすることができるものであり,また,例えば,要求418は,デバイス402上にインストールされたアンチウィルスアプリケーションと関連付けられたバージョン情報及びライセンス情報と,デバイス402の地理的ロケーション及び/又はネットワークロケーション等とを含むことができ,これらは要求418のマルウェア定義部分と分離することができるものであり,
サーバー404は,要求418のマルウェア定義部分を突き止めると,特定されたマルウェア定義に一致するレコードを検索することができ,既知のマルウェア脅威を対応する駆除応答と関連付けるデータストア428においてデータベースルックアップを実行し,要求418において特定された特定のマルウェア定義に一致するレコードを取り出すことができ(ステップ506),
ステップ508において,特定のマルウェア定義に一致するレコードが突き止められない場合,特定のマルウェア定義に対応する新たなマルウェアレコードを作成することができ(ステップ510),新たなマルウェアレコードの作成によって,新たなマルウェア脅威が観察されたことのアラートを提供することができ,アラートは,アンチウィルスアプリケーションのプロバイダーに関連する1人又は複数人の人物に提供することができ,そのようなアラートは,新たに観察されたマルウェアに対する適切な駆除応答420を決定するプロセスを開始することができ,
ステップ508において,要求のマルウェア定義部分に一致するレコードが突き止められた場合,突き止められたレコードに利用可能な駆除応答420が関連付けられているか否かが判断され(ステップ512),
ステップ512において,駆除応答420が利用可能でないと判断される場合,要求をキューイングすることができ(ステップ514),
この要求は,このマルウェアを根絶させる適切な駆除応答420が決定されるまで保持することができ,
ステップ512又は516のいずれかにおいて駆除応答420が利用可能であるとき,要求418に対する駆除応答420がデバイスに送信され(ステップ518),
駆除応答420は,ネットワークを介してマルウェア駆除を提供することが可能な任意の形態をとることができ,例えばデバイス上にインストールされたアンチウィルスアプリケーションの一部としてデバイス上に既に存在する駆除コードを参照することの命令,デバイスによって実行される駆除ルーチン,デバイス上の既存の駆除コードを参照することの命令とデバイスによって実行される駆除ルーチンとの組合せ,又は異なるネットワークデバイスから駆除応答を取得することの命令を含むことができ,
マルウェアを検出するプロセスは,デバイス上の疑わしいファイルに関する情報をパッケージ化してネットワークデバイスに送信し,そのファイルがマルウェアであるか否かに関して判断することを含むことができ,また,マルウェアは,ヒューリスティック検出技術,すなわち挙動に基づく検出技術を用いてデバイス上で検出することもできる,
プロセス。」

2 引用文献2について

原査定の拒絶の理由に引用文献2として引用された米国特許出願公開第2005/0188272号明細書には,図面とともに次の事項が記載されている。

E 「[0025] The dynamic behavior evaluation module 204 records the “interesting” behaviors exhibited by the executing code module 212 in a file, referred to as a behavior signature 210 . Once the code module 212 has completed its execution in the dynamic behavior evaluation module 204 , the behavior signature 210 is stored for subsequent use. A more detailed description of dynamic behavior evaluation modules may be found in co-pending patent applications entitled “System and Method for Gathering Behaviors for a .NET Code Module” and “System and Method for Gathering Behaviors for a Win32 Code Module”, which are incorporated herein by reference. 」
(当審訳 「[0025] 動的挙動評価モジュール204は,実行コード・モジュール212によって示される“関心”行動を,行動シグネチャ210と称するファイルに記録する。コードモジュール212は,一旦動的挙動評価モジュール204においてその実行を完了すると,行動シグネチャ210が,その後の使用のために記憶される。動的挙動評価モジュールのより詳細な説明は,「NETコードモジュールのための収集行動のシステムおよび方法」及び「Win32コードモジュールのための収集行動のシステムおよび方法」という表題の同時係属中の特許出願(参照により本明細書に援用される)に見出され得る。」)

3 引用文献Bについて

当審拒絶理由通知に引用された特表2013-529335号公報(以下,「引用文献B」という)の段落【0005】,【0010】?【0020】,【0026】?【0047】,【0053】,図1,図3には,サーバが,マルウェアの挙動シーケンスを収集して同様の挙動シーケンスをクラスタリングし,挙動シーケンスのクラスタを分析してマルウェアファミリの挙動シーケンスを説明する行動シグネチャを生成してクライアントに分配し,クライアントは,ソフトウェアの挙動と行動シグネチャとの一致を判断してマルウェアファミリを検出する技術が記載されている。


第6 対比・判断

1 本願発明1について
(1)対比
本願発明1と引用発明とを対比する。

ア 引用発明の「デバイス404」は,その上で「マルウェア」(本願発明における「ウィルス」に相当する)が検出されるコンピュータである点で,本願発明1における「クライアント」に相当する。
また,引用発明では,「マルウェアは,ヒューリスティック検出技術,すなわち挙動に基づく検出技術を用いてデバイス上で検出」し,それにより,「デバイス402からネットワーク426を介してサーバー404においてマルウェア駆除要求418を受信」し,「サーバー404は要求418のマルウェア定義部分を特定」するものであるところ,引用発明の「挙動」は本願発明1の「ウイルス本体挙動」に相当し,また,引用発明の「マルウェア定義部分」と本願発明1の「ウイルスファミリー情報」とは,上位概念では「ウイルスに関する情報」である点で共通するといえるから,引用発明の「ヒューリスティック検出技術,すなわち挙動に基づく検出技術を用いてデバイス上で検出」された「マルウェア」について,「サーバー404」上の構成が,「マルウェア駆除要求418を受信」し「要求418のマルウェア定義部分を特定」することと,本願発明1の「ウイルス決定ユニットが,クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップ」とは,上位概念では,“ウイルス決定ユニットが,クライアントによりスキャンされたウイルス本体挙動に対応するウイルスに関する情報を決定するステップ”である点で共通する。

イ 引用発明の「駆除応答420」は,「ネットワークを介してマルウェア駆除を提供することが可能な任意の形態をとることができ,例えばデバイス上にインストールされたアンチウィルスアプリケーションの一部としてデバイス上に既に存在する駆除コードを参照することの命令,デバイスによって実行される駆除ルーチン,デバイス上の既存の駆除コードを参照することの命令とデバイスによって実行される駆除ルーチンとの組合せ,又は異なるネットワークデバイスから駆除応答を取得することの命令を含むことができ」るものであるから,本願発明1の「ウイルス除去命令」に相当するものといえる。
そして,引用発明の「サーバー404」は,「要求418のマルウェア定義部分を突き止めると,特定されたマルウェア定義に一致するレコードを検索することができ,既知のマルウェア脅威を対応する駆除応答と関連付けるデータストア428においてデータベースルックアップを実行し,要求418において特定された特定のマルウェア定義に一致するレコードを取り出」しているところ,ここでの「既知のマルウェア脅威」は,「要求418において特定された特定のマルウェア定義」によって示されるものであり,「マルウェア(ウィルス)に関する情報」といえるから,引用発明の「既知のマルウェア脅威」と「対応する駆除応答」とを「関連付けるデータストア428」と,本願発明1の「ウイルスファミリー情報とウイルス除去命令との対応関係」とは,上位概念では,“ウイルスに関する情報とウイルス除去命令との対応関係”である点で共通する。

ウ 引用発明の「サーバー404」では,「ステップ508において,要求のマルウェア定義部分に一致するレコードが突き止められた場合,突き止められたレコードに利用可能な駆除応答420が関連付けられているか否かが判断され(ステップ512)」,「ステップ512又は516のいずれかにおいて駆除応答420が利用可能であるとき,要求418に対する駆除応答420がデバイスに送信され(ステップ518)」るから,上記イの検討を踏まえると,引用発明の「サーバー404」上の構成が上記プロセスを行うことと,本願発明1の「命令送信ユニット」が「ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて,決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信」する「ステップ」とは,“命令送信ユニットが,ウイルスに関する情報とウイルス除去命令との対応関係に基づいて,決定されたウイルスに関する情報に対応するウイルス除去命令を前記クライアントに送信するステップ”である点で共通する。
また,引用発明の「駆除応答420」は,「ネットワークを介してマルウェア駆除を提供することが可能な任意の形態をとることができ,例えばデバイス上にインストールされたアンチウィルスアプリケーションの一部としてデバイス上に既に存在する駆除コードを参照することの命令,デバイスによって実行される駆除ルーチン,デバイス上の既存の駆除コードを参照することの命令とデバイスによって実行される駆除ルーチンとの組合せ,又は異なるネットワークデバイスから駆除応答を取得することの命令を含むことができ」るものであるから,引用発明では,デバイスが「駆除応答420」に基づいてマルウェアの駆除を実行しているといえるので,上記の検討を踏まえると,引用発明の「サーバー404」から「送信」される「駆除応答420」により,デバイスがマルウェアの駆除を実行することと,本願発明1の「これにより,前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップ」とは,“これにより,前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップ”である点で共通する。

エ 引用発明の「検出されたマルウェアに関連付けられた適切な駆除応答420を特定する」「サーバー404」は本願発明1の「ウイルス処理装置」に相当するといえ,上記ア?ウの検討も踏まえると,引用発明と本願発明1とは,「ウイルス処理装置により実行されるウイルス処理方法」である点で共通する。

上記アないしエの対比によれば,本願発明1と引用発明とは,次の点で一致し,そして相違する。

[一致点]
ウイルス処理装置により実行されるウイルス処理方法であって,
ウイルス決定ユニットが,クライアントによりスキャンされたウイルス本体挙動に対応するウイルスに関する情報を決定するステップと,
命令送信ユニットが,前記ウイルスに関する情報とウイルス除去命令との対応関係に基づいて,決定されたウイルスに関する情報に対応するウイルス除去命令を前記クライアントに送信し,これにより,前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと,
を含む,
ウイルス処理方法。

[相違点1]
ウイルスに関する情報に関し,
本願発明1では,「ウイルスファミリー情報」であり,
ウイルス本体挙動に対応する当該「ウイルスファミリー情報」を決定し,当該「ウイルスファミリー情報」とウイルス除去命令との対応関係に基づいて,決定された当該「ウイルスファミリー情報」に対応するウイルス除去命令を前記クライアントに送信して実行しており,ここで,「前記ウイルスファミリーとは,挙動が類似するウイルス群であ」るのに対して,
引用発明では,ウイルス本体挙動に対応した「ウイルスに関する情報」を決定しているものの,「ウイルスファミリー情報」を決定するものではなく,また,ウイルス除去命令に対応させるものも「ウイルスファミリー情報」ではなく,「ウイルスに関する情報」である点。

[相違点2]
本願発明1は,「前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップは,
第1受信サブユニットが,前記クライアントにより報告された,前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するステップと,
マッチングサブユニットが,前記ウイルス本体挙動情報と,クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで,悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって,前記挙動チェーンスクリプトライブラリは,悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである,ステップと,
を含む」のに対して,引用発明は,そのような処理のステップを含んでいない点。

(2)相違点についての判断
事案に鑑み,相違点2について,先に検討する。

上記相違点2に係る本願発明1の構成のうち,「マッチングサブユニットが,前記ウイルス本体挙動情報と,クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで,悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって,前記挙動チェーンスクリプトライブラリは,悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである,ステップ」については,上記引用文献B,2に記載されておらず,特に,「悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである」,「挙動チェーンスクリプトライブラリ」とは,クライアントで検出された「ウイルス本体挙動情報」をもとに「ウイルスファミリー情報」を特定するためのものであって「ウイルス処理装置」内に存在するものであるところ,そのような構成は上記引用文献B,2に記載も示唆もされておらず,また,本願優先日前において周知技術であるともいえない。
そうすると,引用発明に基づいて,相違点2に係る本願発明1の構成とすることは,当業者が容易になし得ることであるとはいえない。

したがって,本願発明1は,相違点1を検討するまでもなく,当業者であっても引用発明,引用文献B,2に記載された技術的事項,及び,周知技術に基づいて容易に発明できたものであるとはいえない。

2 本願発明2ないし25について
本願発明7,11,17,21ないし25は,本願発明1と実質同様の構成を有するか,カテゴリーが異なるだけであり,本願発明1の相違点2に係る構成と同一または同様の構成を備えるものであるから,本願発明1と同様の理由により,引用発明,引用文献B,2に記載された技術的事項,及び,周知技術に基づいて容易に発明できたものであるとはいえない。
本願発明2ないし6,8ないし10,12ないし16,18ないし20は,本願発明1,7,11,17を更に限定したものであるので,本願発明1と同様の理由により,引用発明,引用文献B,2に記載された技術的事項,及び,周知技術に基づいて容易に発明できたものであるとはいえない。


第7 原査定についての判断

(1)特許法第29条第2項について

令和元年9月4日付けの手続補正により,補正後の請求項1ないし25は,「マッチングサブユニットが,前記ウイルス本体挙動情報と,クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで,悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって,前記挙動チェーンスクリプトライブラリは,悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである,ステップ」という技術的事項または実質的に同様の技術的事項を有するものとなった。当該技術的事項は,上記第6の1(2)でも示したとおり,原査定における引用文献1及び2には記載されておらず,本願優先日前における周知技術でもないので,本願発明1ないし25は,当業者であっても,原査定における引用文献1及び2に基づいて容易に発明できたものではない。
したがって,原査定の理由1を維持することはできない。

(2)特許法第36条第6項第2号について

令和元年9月4日付けの手続補正により,請求項1は「挙動チェーンスクリプトライブラリは,悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである」との記載を含むよう補正されており,原査定の理由2を維持することはできない。


第8 当審拒絶理由について

(1)特許法第36条第6項第2号について

ア 当審では,請求項1ないし11に記載の動作の主体が不明であるとの拒絶の理由を通知しているが,令和元年9月4日付けの手続補正において,各動作(ステップ)を実行する動作主体を明確にするよう補正がされた結果,この拒絶の理由は解消した。

イ 当審では,請求項2と請求項4の差異が不明確であり,また,請求項13と請求項15の差異が不明確であるとの拒絶の理由を通知しているが,令和元年9月4日付けの手続補正において,旧請求項4及び旧請求項15を削除する補正がされた結果,この拒絶の理由は解消した。

ウ 当審では,請求項1の「前記ウイルス本体挙動情報と,ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし,悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定する」との記載では,「挙動チェーンスクリプトライブラリ」が具体的にどのような構成のものであるのかが不明確であるため,「ウイルス本体挙動情報」と,「挙動チェーンスクリプトライブラリ」とを「マッチング」することによって,どのようにして,「ウイルスファミリー情報を決定する」ことができるのかが不明確であり,請求項2ないし27についても同様であるとの拒絶の理由を通知しているが,令和元年9月4日付けの手続補正において,「挙動チェーンスクリプトライブラリは,悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである」との記載を含むよう補正がされた結果,この拒絶の理由は解消した。

(2)特許法第29条第2項について

当審では,本願請求項1ないし27に係る発明は,引用文献A(原査定の引用文献1)及びBに基づいて,当業者が容易に発明できたものであるから,特許法第29条第2項の規定により特許を受けることができないとの拒絶の理由を通知しているが,令和元年9月4日付けの手続補正において,補正後の請求項1ないし25は,「マッチングサブユニットが,前記ウイルス本体挙動情報と,クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで,悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって,前記挙動チェーンスクリプトライブラリは,悪意のあるウイルス挙動情報と,挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである,ステップ」という技術的事項または実質的に同様の技術的事項を有するものとなり,そして,上記第6の1(2)で検討のとおり,当該技術的事項は,引用文献1,2,Bには記載されておらず,本願優先日前における周知技術でもないので,本願発明1ないし25は,当業者であっても,引用文献A及びBに基づいて容易に発明できたものとはいえない。よって,この拒絶の理由は解消した。


第9 むすび

以上のとおり,本願発明1ないし25は,当業者が引用発明,引用文献B,2に記載された技術的事項,及び,周知技術に基づいて容易に発明することができたものではない。
したがって,原査定の拒絶理由を検討してもその理由によって拒絶すべきものとすることはできない。
また,他に本願を拒絶すべき理由を発見しない。
よって,結論のとおり審決する。
 
審決日 2019-11-25 
出願番号 特願2016-552611(P2016-552611)
審決分類 P 1 8・ 121- WY (G06F)
P 1 8・ 537- WY (G06F)
最終処分 成立  
前審関与審査官 平井 誠  
特許庁審判長 田中 秀人
特許庁審判官 山崎 慎一
仲間 晃
発明の名称 ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体  
代理人 特許業務法人 信栄特許事務所  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ