• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G06F
審判 査定不服 5項独立特許用件 特許、登録しない。 G06F
管理番号 1358309
審判番号 不服2018-14553  
総通号数 242 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2020-02-28 
種別 拒絶査定不服の審決 
審判請求日 2018-11-01 
確定日 2019-12-24 
事件の表示 特願2016-564985「危険ファイルに対応する挙動情報特定方法及び危険ファイルに対応する挙動情報特定装置」拒絶査定不服審判事件〔平成28年 9月22日国際公開、WO2016/145749、平成29年 7月27日国内公表、特表2017-520820〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1 手続の経緯

本件審判請求に係る出願(以下,「本願」という。)は,2015年6月25日(パリ条約による優先権主張外国庁受理,2015年3月18日(以下,「優先日」という。),中華人民共和国)を国際出願日とする出願であって,平成28年10月27日付けで特許法第184条の5第1項に規定される書面が提出されるとともに,同日付けで特許法第184条の4第1項の規定による国際出願日における明細書,請求の範囲,図面(図面の中の説明に限る。)及び要約の翻訳文が提出され,平成28年10月27日付けで審査請求がなされ,平成29年11月27日付けで拒絶理由通知(同年11月29日発送)がなされ,平成30年2月26日付けで意見書が提出されるとともに,同日付けで手続補正がなされたが,同年6月27日付けで拒絶査定(同年7月2日謄本送達)がなされたものである。
これに対して,「原査定を取り消す。本願の発明は特許すべきものとする、との審決を求める。」ことを請求の趣旨として,平成30年11月1日付けで本件審判請求がなされるとともに,同日付けで手続補正がなされ,同年12月12日付けで審査官により特許法第164条第3項に定める報告(前置報告)がなされた。

第2 平成30年11月1日付けの手続補正についての補正却下の決定

[補正却下の決定の結論]

平成30年11月1日付けの手続補正を却下する。

[理由]

1 補正の内容

ア 平成30年11月1日付けの手続補正(以下,「本件補正」という。)の内容は,平成30年2月26日付けの手続補正により補正された特許請求の範囲の請求項1ないし請求項19の記載,

「【請求項1】
コンピュータ装置において危険ファイルに対応する挙動情報を特定する方法であって、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動するステップと、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップとを含む、
ことを特徴とする危険ファイルに対応する挙動情報特定方法。
【請求項2】
前記少なくとも1つのバーチャルAPIは、現在実行中のアプリケーションを読取り可能なアプリケーション読取バーチャルAPIを含み、前記バーチャル環境において前記危険ファイルを稼動するステップは、
前記危険ファイルが前記アプリケーション読取バーチャルAPIを呼び出すと、前記危険ファイルに現在実行中のアプリケーションのアプリケーション情報を提供するステップを含む、
ことを特徴とする請求項1に記載の危険ファイルに対応する挙動情報特定方法。
【請求項3】
さらに、前記バーチャル環境において稼動している危険ファイルがリリーズした少なくとも1つのファイルを取得するステップを含み、
バーチャル環境において前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップは、
バーチャル環境において、前記危険ファイル及び前記少なくとも1つのファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップを含む、
ことを特徴とする請求項1又は2に記載の危険ファイルに対応する挙動情報特定方法。
【請求項4】
前記挙動情報は、
ファイル操作挙動に関する情報、
レジストリ操作挙動に関する情報、
プロセス操作挙動に関する情報、及び
スレッド操作挙動に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項1?3のいずれか1項に記載の危険ファイルに対応する挙動情報特定方法。
【請求項5】
さらに、前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のリアル環境を修復するステップを含む、
ことを特徴とする請求項1?4のいずれか1項に記載の危険ファイルに対応する挙動情報特定方法。
【請求項6】
前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のシステム環境を修復するステップは、
前記危険ファイルに対応する挙動情報に基づいて、該当する修復操作情報を特定するステップと、
前記修復操作情報に基づいて、前記コンピュータ装置のリアル環境を修復するステップとを含む、
ことを特徴とする請求項5に記載の危険ファイルに対応する挙動情報特定方法。
【請求項7】
前記修復操作情報は、
ファイル修復操作に関する情報、
レジストリ修復操作に関する情報、
プロセス修復操作に関する情報、及び
スレッド修復操作に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項6に記載の危険ファイルに対応する挙動情報特定方法。
【請求項8】
さらに、所定の終了条件を満足すると、バーチャル環境を閉じるステップを含む、
ことを特徴とする請求項1?7のいずれか1項に記載の危険ファイルに対応する挙動情報特定方法。
【請求項9】
前記所定の終了条件は、
バーチャル環境において前記危険ファイルがプロセス終了操作を実行すること、及び
バーチャル環境における前記危険ファイルの稼動時間が所定時間を超えることのうちの少なくとも1つを含む、
ことを特徴とする請求項8に記載の危険ファイルに対応する挙動情報特定方法。
【請求項10】
コンピュータ装置において危険ファイルに対応する挙動情報を特定する装置であって、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動するための装置と、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置とを備える、
ことを特徴とする危険ファイルに対応する挙動情報特定装置。
【請求項11】
前記少なくとも1つのバーチャルAPIは、現在実行中のアプリケーションを読取り可能なアプリケーション読取バーチャルAPIを含み、前記バーチャル環境において前記危険ファイルを稼動するための装置は、
前記危険ファイルが前記アプリケーション読取バーチャルAPIを呼び出すと、前記危険ファイルに現在実行中のアプリケーションのアプリケーション情報を提供するための装置を備える、
ことを特徴とする請求項10に記載の危険ファイルに対応する挙動情報特定装置。
【請求項12】
さらに、前記バーチャル環境において稼動している危険ファイルがリリーズした少なくとも1つのファイルを取得するための装置を含み、
バーチャル環境において前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置は、
バーチャル環境において、前記危険ファイル及び前記少なくとも1つのファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置を含む、
ことを特徴とする請求項10又は11に記載の危険ファイルに対応する挙動情報特定装置。
【請求項13】
前記挙動情報は、
ファイル操作挙動に関する情報、
レジストリ操作挙動に関する情報、
プロセス操作挙動に関する情報、及び
スレッド操作挙動に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項10?12のいずれか1項に記載の危険ファイルに対応する挙動情報特定装置。
【請求項14】
さらに、前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のリアル環境を修復するための装置を含む、
ことを特徴とする請求項10?13のいずれか1項に記載の危険ファイルに対応する挙動情報特定装置。
【請求項15】
前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のシステム環境を修復するための装置は、
前記危険ファイルに対応する挙動情報に基づいて、該当する修復操作情報を特定するための装置と、
前記修復操作情報に基づいて、前記コンピュータ装置のリアル環境を修復するための装置とを備える、
ことを特徴とする請求項14に記載の危険ファイルに対応する挙動情報特定装置。
【請求項16】
前記修復操作情報は、
ファイル修復操作に関する情報、
レジストリ修復操作に関する情報、
プロセス修復操作に関する情報、及び
スレッド修復操作に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項15に記載の危険ファイルに対応する挙動情報特定装置。
【請求項17】
さらに、所定の終了条件を満足すると、バーチャル環境を閉じるための装置を含む、
ことを特徴とする請求項10?16のいずれか1項に記載の危険ファイルに対応する挙動情報特定装置。
【請求項18】
前記所定の終了条件は、
-バーチャル環境において前記危険ファイルがプロセス終了操作を実行すること、及び
-バーチャル環境における前記危険ファイルの稼動時間が所定時間を超えることのうち
の少なくとも1つを含む、
ことを特徴とする請求項17に記載の危険ファイルに対応する挙動情報特定装置。
【請求項19】
コンピュータプログラムを格納した非一時的コンピュータ読取可能な記憶媒体であって、
前記コンピュータプログラムが、コンピュータ装置によって実行されるとき、前記コンピュータ装置は、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動し、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得する、
ことを特徴とする非一時的コンピュータ読取可能な記憶媒体。」(以下,この特許請求の範囲に記載された請求項各項を「補正前の請求項」という。)

を,

「【請求項1】
コンピュータ装置において危険ファイルに対応する挙動情報を特定する方法であって、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動するステップと、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップであって、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、ステップとを含む、
ことを特徴とする危険ファイルに対応する挙動情報特定方法。
【請求項2】
前記少なくとも1つのバーチャルAPIは、現在実行中のアプリケーションを読取り可能なアプリケーション読取バーチャルAPIを含み、前記バーチャル環境において前記危険ファイルを稼動するステップは、
前記危険ファイルが前記アプリケーション読取バーチャルAPIを呼び出すと、前記危険ファイルに現在実行中のアプリケーションのアプリケーション情報を提供するステップを含む、
ことを特徴とする請求項1に記載の危険ファイルに対応する挙動情報特定方法。
【請求項3】
さらに、前記バーチャル環境において稼動している危険ファイルがリリーズした少なくとも1つのファイルを取得するステップを含み、
バーチャル環境において前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップは、
バーチャル環境において、前記危険ファイル及び前記少なくとも1つのファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップを含む、
ことを特徴とする請求項1又は2に記載の危険ファイルに対応する挙動情報特定方法。
【請求項4】
前記挙動情報は、
ファイル操作挙動に関する情報、
レジストリ操作挙動に関する情報、
プロセス操作挙動に関する情報、及び
スレッド操作挙動に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項1?3のいずれか1項に記載の危険ファイルに対応する挙動情報特定方法。
【請求項5】
さらに、前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のリアル環境を修復するステップを含む、
ことを特徴とする請求項1?4のいずれか1項に記載の危険ファイルに対応する挙動情報特定方法。
【請求項6】
前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のシステム環境を修復するステップは、
前記危険ファイルに対応する挙動情報に基づいて、該当する修復操作情報を特定するステップと、
前記修復操作情報に基づいて、前記コンピュータ装置のリアル環境を修復するステップとを含む、
ことを特徴とする請求項5に記載の危険ファイルに対応する挙動情報特定方法。
【請求項7】
前記修復操作情報は、
ファイル修復操作に関する情報、
レジストリ修復操作に関する情報、
プロセス修復操作に関する情報、及び
スレッド修復操作に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項6に記載の危険ファイルに対応する挙動情報特定方法。
【請求項8】
さらに、所定の終了条件を満足すると、バーチャル環境を閉じるステップを含む、
ことを特徴とする請求項1?7のいずれか1項に記載の危険ファイルに対応する挙動情報特定方法。
【請求項9】
前記所定の終了条件は、
バーチャル環境において前記危険ファイルがプロセス終了操作を実行すること、及び
バーチャル環境における前記危険ファイルの稼動時間が所定時間を超えることのうちの少なくとも1つを含む、
ことを特徴とする請求項8に記載の危険ファイルに対応する挙動情報特定方法。
【請求項10】
コンピュータ装置において危険ファイルに対応する挙動情報を特定する装置であって、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動するための装置と、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置であって、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、装置とを備える、
ことを特徴とする危険ファイルに対応する挙動情報特定装置。
【請求項11】
前記少なくとも1つのバーチャルAPIは、現在実行中のアプリケーションを読取り可能なアプリケーション読取バーチャルAPIを含み、前記バーチャル環境において前記危険ファイルを稼動するための装置は、
前記危険ファイルが前記アプリケーション読取バーチャルAPIを呼び出すと、前記危険ファイルに現在実行中のアプリケーションのアプリケーション情報を提供するための装置を備える、
ことを特徴とする請求項10に記載の危険ファイルに対応する挙動情報特定装置。
【請求項12】
さらに、前記バーチャル環境において稼動している危険ファイルがリリーズした少なくとも1つのファイルを取得するための装置を含み、
バーチャル環境において前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置は、
バーチャル環境において、前記危険ファイル及び前記少なくとも1つのファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置を含む、
ことを特徴とする請求項10又は11に記載の危険ファイルに対応する挙動情報特定装置。
【請求項13】
前記挙動情報は、
ファイル操作挙動に関する情報、
レジストリ操作挙動に関する情報、
プロセス操作挙動に関する情報、及び
スレッド操作挙動に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項10?12のいずれか1項に記載の危険ファイルに対応する挙動情報特定装置。
【請求項14】
さらに、前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のリアル環境を修復するための装置を含む、
ことを特徴とする請求項10?13のいずれか1項に記載の危険ファイルに対応する挙動情報特定装置。
【請求項15】
前記危険ファイルに対応する挙動情報に基づいて、前記コンピュータ装置のシステム環境を修復するための装置は、
前記危険ファイルに対応する挙動情報に基づいて、該当する修復操作情報を特定するための装置と、
前記修復操作情報に基づいて、前記コンピュータ装置のリアル環境を修復するための装置とを備える、
ことを特徴とする請求項14に記載の危険ファイルに対応する挙動情報特定装置。
【請求項16】
前記修復操作情報は、
ファイル修復操作に関する情報、
レジストリ修復操作に関する情報、
プロセス修復操作に関する情報、及び
スレッド修復操作に関する情報のうちの少なくとも1つを含む、
ことを特徴とする請求項15に記載の危険ファイルに対応する挙動情報特定装置。
【請求項17】
さらに、所定の終了条件を満足すると、バーチャル環境を閉じるための装置を含む、
ことを特徴とする請求項10?16のいずれか1項に記載の危険ファイルに対応する挙動情報特定装置。
【請求項18】
前記所定の終了条件は、
-バーチャル環境において前記危険ファイルがプロセス終了操作を実行すること、及び
-バーチャル環境における前記危険ファイルの稼動時間が所定時間を超えることのうちの少なくとも1つを含む、
ことを特徴とする請求項17に記載の危険ファイルに対応する挙動情報特定装置。
【請求項19】
コンピュータプログラムを格納した非一時的コンピュータ読取可能な記憶媒体であって、
前記コンピュータプログラムが、コンピュータ装置によって実行されるとき、前記コンピュータ装置は、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動し、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得し、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、
ことを特徴とする非一時的コンピュータ読取可能な記憶媒体。」(以下,この特許請求の範囲に記載された請求項各項を「補正後の請求項」という。なお,下線は,補正箇所を示すものとして,出願人が付与したものである。)

に補正するものである。

イ そして,本件補正は,願書に最初に添付した明細書,特許請求の範囲又は図面に記載した事項の範囲内においてなされており,特許法第17条の2第3項の規定に適合している(同法第184条の12第2項参照)。

2 目的要件

本件補正が,特許法第17条の2第5項に規定する請求項の削除,特許請求の範囲の減縮(特許法第36条第5項の規定により請求項に記載した発明を特定するために必要な事項を限定するものであって,その補正前の当該請求項に記載された発明とその補正後の当該請求項に記載される発明の産業上の利用分野及び解決しようとする課題が同一であるもの(以下,単に「限定的減縮」という。)に限る。),誤記の訂正,あるいは,明りょうでない記載の釈明(拒絶理由通知に係る拒絶の理由に示す事項についてするものに限る。)のいずれかを目的としたものであるかについて,以下に検討する。

(1)請求項1について

ア 本件補正前の請求項1を本件補正後の請求項1に変更する補正は,下記の補正事項よりなるものである。

【補正事項1】

本件補正前の請求項1の
「バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップ」との記載を,
本件補正後の請求項1の
「バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップであって、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、ステップ」との記載に変更する補正。

イ 補正事項1の目的について検討する。

上記補正事項1は,本件補正前の請求項1が含む「危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行」について,本願明細書の【0016】に「バーチャル環境においてバーチャルAPIが呼び出されたとき」と記載されているところ,引き続き「当該バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果を奏するようにバーチャル化されるのが好ましい。」と記載され,バーチャルAPIの実行内容について特定していることに基づき,「前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する」との限定を加えたものであると認められる。そして,この補正によって当該発明の産業上の利用分野及び解決しようとする課題が格別変更されるものではない。
従って,上記補正事項1の目的は,限定的減縮に該当する。

(2)請求項10について

ア 本件補正前の請求項10を本件補正後の請求項10に変更する補正は,下記の補正事項よりなるものである。

【補正事項2】

本件補正前の請求項10の
「バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置」との記載を,
本件補正後の請求項10の
「バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するための装置であって、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、装置」との記載に変更する補正。

イ 補正事項2の目的について検討する。

上記補正事項2は,本件補正前の請求項10が含む「危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行」について,本願明細書の【0016】に「バーチャル環境においてバーチャルAPIが呼び出されたとき」と記載されているところ,引き続き「当該バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果を奏するようにバーチャル化されるのが好ましい。」と記載され,バーチャルAPIの実行内容について特定していることに基づき,「前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する」との限定を加えたものであると認められる。そして,この補正によって当該発明の産業上の利用分野及び解決しようとする課題が格別変更されるものではない。
従って,上記補正事項2の目的は,限定的減縮に該当する。

(3)請求項19について

ア 本件補正前の請求項19を本件補正後の請求項19に変更する補正は,下記の補正事項よりなるものである。

【補正事項3】

本件補正前の請求項19の
「バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得する」との記載を,
本件補正後の請求項19の
「バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得し、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する」との記載に変更する補正。

イ 補正事項3の目的について検討する。

上記補正事項3は,本件補正前の請求項19が含む「危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行」について,本願明細書の【0016】に「バーチャル環境においてバーチャルAPIが呼び出されたとき」と記載されているところ,引き続き「当該バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果を奏するようにバーチャル化されるのが好ましい。」と記載され,バーチャルAPIの実行内容について特定していることに基づき,「前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する」との限定を加えたものであると認められる。そして,この補正によって当該発明の産業上の利用分野及び解決しようとする課題が格別変更されるものではない。
従って,上記補正事項3の目的は,限定的減縮に該当する。

(4)小括

したがって,本件補正の目的は,限定的減縮に該当し,特許法第17条の2第5項第2号に掲げられる事項を目的とするものであると解することができる。

3 独立特許要件

以上のように,本件補正後の請求項1に記載された発明(以下,「本件補正発明」という。)は,本件補正前の請求項1に対して,限定的減縮を行ったものと認められる。そこで,本件補正発明が特許出願の際独立して特許を受けることができるものであるか(特許法第17条の2第6項において準用する同法第126条第7項の規定に適合するか)以下に検討する。

(1)本件補正発明

本件補正により,本件補正発明は,前記「1 補正の内容」の補正後の請求項1として引用した,次の記載のとおりのものである。

「コンピュータ装置において危険ファイルに対応する挙動情報を特定する方法であって、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動するステップと、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップであって、前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、ステップとを含む、
ことを特徴とする危険ファイルに対応する挙動情報特定方法。」

(2)引用文献及び参考文献

(2-1)引用文献1

ア 本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能とされ,原審の拒絶査定の理由である上記平成29年11月27日付けの拒絶理由通知において引用された文献である,特開2002-342106号公報(2002年11月29日公開。以下,「引用文献1」という。)には,図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

A 「【請求項1】 コンピュータウィルス検索・駆除方法であって、
コンピュータウィルスが存在する仮想のコンピュータ環境をコンピュータ内にシュミレーションとして作成するステップと、
ウィルス感染を誘発するためにコンピュータウィルスによって感染されるべき複数の対象すなわちバイトを提供するステップと、
シュミレーションとして作成された仮想コンピュータ環境に検索すべき目標対象をロードするステップと、
シュミレーション作成された仮想コンピュータ環境内にある検索されるべき目的対象をアクティブにし、前記目的対象に付着していた可能性のあるウィルスを誘引して感染されるべき複数の対象を感染させると共に、実際に感染した基準サンプルを生成させるステップと、そして、
前記アクティブにするステップで処理した後の複数の対象と、もともと提供された感染されるべき複数の対象とを比較し、変化があるかどうかを調べて、もし変化があれば検索されるべき目標対象はウィルスを含んでいた、また、変化がなければ目標対象はウィルスを含んでいなかったと決定するステップと、
を含んでなるコンピュータウィルス検索・駆除方法。」

B 「【0014】本発明は仮想コンピュータ環境中にあるウィルスの検索・駆除・報告・検索のための新しい技術に係るもので、行動・結果に従うウィルス撃退方法の一種である。本発明はウィルスの再生・拡散が認識される全てのプロセスにおいて、実際のコンピュータ環境をシュミレーションするための仮想コンピュータ環境を使う。同時にウィルスの再生や拡散の手順を観察し、ウィルスの感染方法を学習する。感染過程を逆に辿ることによりそのようなウィルスを駆除する方法が提供される。以下は細かい説明である。まずウィルスが存在し再生産される仮想環境が確立され、検索されるべき目標対象は仮想環境に置かれる。二番目に、疑いのある対象がアクティブにされる。もし本当にウィルスを持っていたら仮想環境は感染されたものとなる。様々な操作が仮想環境内のバイトに対して行われ、できる限りウィルスが感染するように誘引する。つまりウィルスの再生及び感染の実験は仮想環境でなされる。もしバイトがウィルスに感染していたら、検索されるべき目標対象はウィルスを持っていると言うこととなり、ウィルスによって感染したバイトは基準サンプルとなる。三番目に、もし前の再生ステップや感染の実験が成功したら、基準サンプルはウィルス分析装置の代わりのプログラムによって分析され、ウィルスの検索・駆除のために必要な情報が基準サンプルから引き出される。四番目に、プログラムの基準サンプルの分析から得られる情報はウィルスを駆除するためにウィルスを持つ感染した目標対象に当て嵌められる。
【0015】図1は本発明に係るコンピュータウィルス検索・駆除のためのコンピュータシステムの一実施態様におけるブロック図である。図1に示されているように、一般的なコンピュータシステム1はコンピュータによって実行される本発明に係るウィルス検索・駆除ユニット2を含む。コンピュータシステム1は一般的なCPU、メモリ、OS、周辺保存装置(ハードディスク、フロッピィディスク、など)(図1には示されていない)を含む。ウィルス検索・駆除ユニット2の全体のプログラムはコンピュータシステム1内のCPUによって実行される。コンピュータシステムはさらに目標対象19を含む。この目標対象19は、コンピュータシステム2内のハードディスクやフロッピィディスクのブートセクタにあるファイル、及び、ウィルスを持っている可能性のあるインターネットを通してダウンロードされ且つ伝送されるファイル及びデータである。」

C 「【0047】図2、図3及び図4は、それぞれ、本発明の一実施形態に係るウィルス駆除方法のプロセスの流れ図である。流れ図中の全てのステップは図1のそれぞれの処理ユニットで実行されもので、それにより、ウィルス検索・駆除プロセスの全体を構成する。図2に示されているように、まず検索されるべき目標対象19は、ハードディスク、フロッピィディスク、インターネット(ステップS101)を通じて入力されたデータから読み込まれる。そして、目標対象がウィルスを持っている可能性のある対象かどうかの決定がなされる(ステップS102)。ウィルスを持っている可能性のある対象は、理論的にウィルスに感染させるために利用できるが、ウィルスを持っている必要は必ずしもない。ウィルスを持っている可能性のある対象は、「.exe」、「.com」、「.bat」、「.doc」NEやPEタイプのファイル、ディスクのブートセクタや主ブートセクタのような実行可能な実在でなければならない。実行不能の実在、例えば、「.txt」は、ウィルスを持つことは不可能である。
・・・(略)・・・
【0049】ステップS103において、コンピュータシュミレーションユニット4は、仮想のCPU、仮想のOS、仮想の周辺保存装置(ハードディスクやフロッピィディスク)、仮想のメモリ、仮想のシステム時計を含む仮想のコンピュータ環境を作り、それにより、内部にウィルスを持っている可能性のある対象を仮想上実行する。ステップS104において、ウィルスに感染し得る複数のバイトを提供する。バイトは、上記のファイルタイプのバイトセットや仮想ハードディスクや仮想フロッピィディスクにおけるブートセクタタイプのバイトセットを含む。ステップS105において、目標対象19を仮想コンピュータ環境内に置く。ステップS106において、目標対象に付着していた可能性の有るウィルスがアクティブにされ、つまり、仮想コンピュータ環境及びバイトファイルが感染するように誘発する。一方、ステップS107において、バイトが感染したかどうかの決定がなされる。一方で、ステップS108において、仮想のコンピュータ環境が感染したかどうかの決定がなされる。すなわち、仮想のメモリ、仮想のハードディスクやフロッピィディスクが感染したかどうかの決定がなされる。もし、ステップS107において、バイトが感染していると判断されたら、プロセスは図3のステップS111に進む。そうでなければ、目標対象は汚染されていないと報告される。もし、ステップS111において、仮想のコンピュータ環境がウィルスを持っていると決定されたら、プロセスは図3のステップS110に進む。できる限り多くの操作を仮想コンピュータ環境内でバイトに対して行い、それにより、できる限りそれらが感染するようにウィルスを誘発する。その後、感染したバイトがあるかどうかもう一度判断するためにプロセスはステップS107に戻る。」

イ ここで,上記引用文献1に記載されている事項を検討する。

(ア)上記Bの【0015】の「コンピュータシステム1はコンピュータによって実行される」との記載,同じく【0015】の「コンピュータシステム1は一般的なCPU,メモリ,OS,周辺保存装置(ハードディスク,フロッピィディスク,など)」「を含む。」との記載から,引用文献1には,“CPU,メモリ,OS,周辺保存装置を含むコンピュータシステム”が記載されている。

(イ)上記Bの【0015】の「目標対象19は,コンピュータシステム2内のハードディスクやフロッピィディスクのブートセクタにあるファイル,及び,ウィルスを持っている可能性のあるインターネットを通してダウンロードされ且つ伝送されるファイル及びデータである。」との記載から,「目標対象」「は」,「ウィルスを持っている可能性のある」「ファイル」が含まれるので,引用文献1には,“ウィルスを持っている可能性のあるファイル”が記載されている。

(ウ)上記(イ)の認定に加え,上記Bの【0014】の「本発明はウィルスの再生・拡散が認識される全てのプロセスにおいて」、「同時にウィルスの再生や拡散の手順を観察し、ウィルスの感染方法を学習する。」との記載の「ウィルス」とは,上記Aの「目標対象はウィルスを含んでいた」との記載から,目標対象が含むものであるので,引用文献1には,“ウィルスを持っている可能性のあるファイルが含むウィルスの再生や手順を観察し,ウィルスの感染方法を学習する”点が記載されている。

(エ)上記Aの「コンピュータウィルス検索・駆除方法」との記載から,引用文献1には,“ウィルス検索方法”が記載されている。

(オ)上記(イ)での認定に加え,上記Cの【0047】の「目標対象がウィルスを持っている可能性のある対象かどうかの決定がなされる(ステップS102)。」との記載から,引用文献1には,“ウィルスを持っている可能性があるファイルかどうかの決定がなされる”点が記載されている。

(カ)上記Bの【0014】の「本発明はウィルスの再生・拡散が認識される全てのプロセスにおいて、実際のコンピュータ環境をシュミレーションするための仮想コンピュータ環境を使う。」との記載から,引用文献1には,“実際のコンピュータ環境をシュミレーションするための仮想のコンピュータ環境”が記載されている。

(キ)上記(オ)での認定に加え,ステップS102の次のプロセスであるステップS103について,上記Cの【0049】の「ステップS103において、コンピュータシュミレーションユニット4は、仮想のCPU、仮想のOS、仮想の周辺保存装置(ハードディスクやフロッピィディスク)、仮想のメモリ、仮想のシステム時計を含む仮想のコンピュータ環境を作り、それにより、内部にウィルスを持っている可能性のある対象を仮想上実行する。」との記載において,「仮想のコンピュータ環境」とは「仮想コンピュータ環境」と同義であると認められるところ,「内部にウィルスを持っている可能性のある対象」とは、上記(イ)での認定より,ウィルスを持っている可能性のあるファイルであると認められることから,引用文献1には,“仮想コンピュータ環境により,ウィルスを持っている可能性があるファイルを実行”する点が記載されている。

(ク)上記(ウ)の認定,及び,上記Bの【0014】の「実際のコンピュータ環境をシュミレーションするための仮想コンピュータ環境を使う。同時にウィルスの再生や拡散の手順を観察し,ウィルスの感染方法を学習する。」との記載から,引用文献1には,“仮想コンピュータ環境において,ウィルスを持っている可能性があるファイルが含むウィルスの再生や拡散の手順を観察し,ウィルスの感染方法を学習する”点が記載されている。

ウ 以上,(ア)ないし(ク)で検討した事項を踏まえると,引用文献1には,次の発明(以下,「引用発明」という。)が記載されているものと認められる。

「CPU,メモリ,OS,周辺保存装置を含むコンピュータシステムにおいて,ウィルスを持っている可能性のあるファイルが含むウィルスの再生や手順を観察し,ウィルスの感染方法を学習するウィルス検索方法であって,
ウィルスを持っている可能性があるファイルかどうかの決定がなされると,実際のコンピュータ環境をシュミレーションするための仮想コンピュータ環境により,ウィルスを持っている可能性があるファイルを実行し,
仮想コンピュータ環境において,ウィルスを持っている可能性があるファイルが含むウィルスの再生や拡散の手順を観察し,ウィルスの感染方法を学習する,
ウィルスを持っている可能性のあるファイルが含むウィルスの再生や手順を観察し,ウィルスの感染方法を学習するウィルス検索方法。」

(2-2)引用文献2

ア 本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能とされ,原審の拒絶査定の理由である上記平成29年11月27日付けの拒絶理由通知において引用された文献である,特開2012-64208号公報(2012年3月29日公開。以下,「引用文献2」という。)には,図面とともに,以下の技術的事項が記載されている。
(当審注:下線は、参考のために当審で付与したものである。)

D 「【0033】
ここで注意すべき点は、従来技術のようにウイルス特徴コードを利用することにより疑わしいファイルにおいてネットワークウイルスが存在するかどうかを判断するのとは異なり、本発明は、該疑わしいファイルを開くことによりその中に実行可能なプログラム、システムデータに対する変更、システムの弱点への攻撃が存在するかどうか及び該疑わしいファイルにネットワークアクセス要求等の情報が存在するかどうかに基づいてそれが悪質ファイル又は動作に属するかどうかを判断する。そのため、一般のウイルス対策ソフトウェアでは提供できない未知ウイルス及び特殊ウイルスを検知する能力を強化することができる。図5は、図4に示すステップS130におけるネットワークウイルス分析の処理フローである。下記のネットワークウイルスは、例えばゾンビネットワークウイルス(BOTNET)又はウイルス攻撃対象に対して指向性を有するターゲット型攻撃ウイルスである。まずステップS131を行い、捕獲された各クライアント21のネットワーク通信サービスにおいて存在した疑わしいファイルサンプルをサンドボックスに移動するとともに、該サンドボックスにおいて該疑わしいファイルサンプルを開き、そしてステップS132に進む。
・・・(略)・・・
【0035】
ステップS133において、該実行可能なプログラム又は攻撃プログラムコードによって実行される動作パターンが安全であるかどうか、例えば疑わしいファイルサンプルがシステムの弱点に対する攻撃、ブートセクター又はファイルシステムへの不法アクセスを行うかどうかを判断することで、実行可能なプログラムが悪質ファイルであるかどうかを判断し、YESであればステップS134に進む。NOであれば本発明に係るネットワークウイルス防止方法におけるネットワークウイルス実行分析の処理工程を終了し、図4に示すステップS110を行うことができる。」

イ ここで,上記引用文献2に記載されている事項を検討する。

(ア)上記Dの【0033】の「図5は、」「ネットワークウイルス分析の処理フローである。」との記載から,引用文献2には,“ウイルス分析の処理フロー”が記載されている。

(イ)上記Dの【0033】の「まずステップS131を行い、捕獲された各クライアント21のネットワーク通信サービスにおいて存在した疑わしいファイルサンプルをサンドボックスに移動するとともに、該サンドボックスにおいて該疑わしいファイルサンプルを開き、そしてステップS132に進む。」との記載から,引用文献2には,“疑わしいファイルサンプルをサンドボックスに移動するとともに、該サンドボックスにおいて該疑わしいファイルサンプルを開”くことが記載されている。

(ウ)上記Dの【0033】に続く処理として,上記Dの【0035】の「ステップS133において、該実行可能なプログラム又は攻撃プログラムコードによって実行される動作パターンが安全であるかどうか、例えば疑わしいファイルサンプルがシステムの弱点に対する攻撃、ブートセクター又はファイルシステムへの不法アクセスを行うかどうかを判断する」と記載されているところ,実行される動作パターンが安全であるかどうかを判断するためには,実行される動作パターンについて観測(すなわち,モニタリング)がなされるものと認められるから,引用文献2には,“動作パターンが安全であるかどうか判断するためモニタリングする”ことが記載されている。

ウ 以上,(ア)ないし(ウ)で検討した事項を踏まえると,引用文献2には,次の発明が記載されているものと認められる。

「疑わしいファイルサンプルをサンドボックスに移動するとともに、該サンドボックスにおいて該疑わしいファイルサンプルを開き,動作パターンが安全であるかどうか判断するためモニタリングする,ウイルス分析の処理フロー。」

(2-3)参考文献1

ア 本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能とされた文献である,藤野 朗稚 他,「自動化されたマルウェア動的解析システムで収集した大量APIコールログ」,CSS2013コンピュータセキュリティシンポジウム2013論文集,一般社団法人情報処理学会,2013年10月14日,情報処理学会シンポジウムシリーズ Vol.2013 No.4,p.618-625(以下,「参考文献1」という。)には,図面とともに,以下の技術的事項が記載されている。
(当審注:下線は、参考のために当審で付与したものである。)

E 「本研究で利用するデータセットを収集するために使われたオープンソースソフトウェアであるCuckoo Sandbox[3]はその一例であり,マルウェア解析における一連のデータ解析と記録をすべて自動化する.具体的にはPEフォーマット形式ファイルの簡易な静的解析結果の出力,仮想マシン上での実行時のAPIコールの詳細な記録,プロセス情報,アクセスファイル,レジストリ,ファイルハッシュ値,ネットワーク通信の記録等を自動化している.」(第619頁左欄第6行?第15行)

(2-4)参考文献2

ア 本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能とされた文献である,米国出願公開第2002/0056076号明細書(2002年5月9日公開。以下,「参考文献2」という。)には,図面とともに,以下の技術的事項が記載されている。

F 「[0041] In case of an API call, the call is passed to a procedure that attaches the relevant ordinal number to the call, and passes control to the virtual API. This virtual API contains procedures that simulate the response, but not the functionality, of the real operating system API. Monitoring of API functions is performed in each API procedure. API functions modify areas of virtual memory, so that subsequent virtual API calls can read back the correct and expected results.」
(当審訳:[0041] APIコールの場合、コールは、関連する序数をコールに付与し、仮想APIに制御を渡すプロシージャに送られる。この仮想APIは、実オペレーティングシステムAPIの機能ではなく,応答をシミュレートするプロシージャを含む。API機能のモニタリングは、各APIプロシージャにおいて実行される。API機能は、仮想メモリの領域を修正するため、その後の仮想APIコールは、正確な予測結果を読み返すことができる。)

(3)対比

本件補正発明と引用発明とを対比する。

ア 引用発明の「ウィルスを持っている可能性のあるファイル」は,明らかに危険性のあるファイルであることから,本件補正発明の「危険ファイル」に相当するといえる。

イ 引用発明の「ウィルスの再生や手順」は,再生や手順といった挙動を示すものであるから,本件補正発明の「挙動情報」に相当する。

ウ 上記イでの認定に加え,引用発明の「ウィルスの再生や手順を観察し,ウィルスの感染方法を学習するウィルス検索方法」は,観察し,ウィルスの感染方法を学習するには,引用発明の「ウィルスの再生や手順」を特定することは明らかであるので,本件補正発明の「挙動情報を特定する方法」に相当する。

エ 上記アの検討結果を踏まえると,引用発明の「ウィルスを持っている可能性があるファイルかどうかの決定がなされ」ることは,ウィルスを持っている可能性のあるファイルの存在が前提となることから,本件補正発明の「危険ファイルの存在を検知する」ことに相当するといえる。

オ 引用発明の「実際のコンピュータ環境」は,本件補正発明の「リアル環境」に相当し,引用発明の「仮想コンピュータ環境」は,本件補正発明の「バーチャル環境」に相当する。
そして,引用発明の「シュミレーションする」とは,同様の環境を構築することを意味するものと認められるので,引用発明の「実際のコンピュータ環境をシュミレーションするための仮想コンピュータ環境」は,本件補正発明の「リアル環境」「と同様の」「バーチャル環境」に相当するといえる。

カ 上記アでの認定に加え,引用発明の「ファイルを実行」するとは,ファイルを稼働することを意味するのは明らかであるので,引用発明の「ウィルスを持っている可能性があるファイルを実行」することは,本件補正発明の「前記危険ファイルを稼動する」ことに相当する。

キ 上記イでの認定に加え,引用発明の「ウィルスを持っている可能性があるファイルが含むウィルスの再生や拡散の手順を観察し,ウィルスの感染方法を学習する」ことは,観察するために観察対象の情報の取得が行われるのは明らかであるから,本件補正発明の「前記危険ファイルに対応する挙動情報を取得する」ことに相当する。

ク 以上,アないしキで検討した事項を踏まえると,本件補正発明と引用発明とは,以下の点で一致し,また,以下の点で相違する。

[一致点]

「危険ファイルに対応する挙動情報を特定する方法であって,
危険ファイルの存在を検知すると,リアル環境と同様のバーチャル環境において,前記危険ファイルを稼動するステップと,
バーチャル環境において,前記危険ファイルに対応する挙動情報を取得するステップを含む,
ことを特徴とする危険ファイルに対応する挙動情報特定方法。」

[相違点1]

本件補正発明が「コンピュータ装置において」なされる方法であるのに対して、引用発明は「コンピュータシステムにおいて」なされる方法であるものの,コンピュータシステムが装置であるとは特定されていない点。

[相違点2]

本件補正発明の「前記コンピュータ装置のリアル環境」及び「前記コンピュータ装置のバーチャル環境」との関係が,「少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる」のに対して,引用発明の「実際のコンピュータ環境」及び「仮想コンピュータ環境」との関係は,「同様」であることは読み取れるものの,APIの関係については明記されていない点。

[相違点3]

本件補正発明の「バーチャル環境において」,「前記危険ファイルに対応する挙動情報を取得するステップ」が,「稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリング」するのに対して,引用発明は,「仮想コンピュータ環境において」,「ウィルスを持っている可能性があるファイルが含むウィルスの再生や拡散の手順を観察し,ウィルスの感染方法を学習する」ことは記載されているものの,「稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリング」することについては,特に明記されていない点。

[相違点4]

本件補正発明が「前記バーチャルな実行では,バーチャルAPIの機能が実際には実行されず,バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する,ステップ」を含むのに対して,引用発明には,特に明記されていない点。

(4)判断

上記相違点1,相違点2,相違点3及び相違点4について検討する。

ア 相違点1について

引用発明におけるコンピュータシステムは,CPU,メモリ,OS,周辺保存装置を含むものであるところ,これらの構成を含む装置を構成することで,コンピュータ装置とすることは,当業者ならば容易になし得る周知慣用技術である。
してみると,相違点1は,実質的な相違点とはいえないものである。

イ 相違点2について

参考文献1(上記E参照)に記載されるように,“マルウェア解析における一連のデータ解析と記録において,仮想マシン上での実行時のAPIコールの詳細な記録を自動化”することは,本願の優先日前において,当業者が普通に採用している周知技術であった。
してみると,引用発明の,実際のコンピュータ環境をシュミレーションするための仮想コンピュータ環境において,ウィルスを持っている可能性があるファイルを実行する際,仮想コンピュータ環境上でAPIコールを行うべく,実際のコンピュータ環境でのAPIをシュミレーションするために仮想コンピュータ環境でAPIを備えることは,当業者ならば容易に想到し得たことである。

ウ 相違点3について

相違点2についての検討と同じく,“マルウェア解析における一連のデータ解析と記録において,仮想マシン上での実行時のAPIコールの詳細な記録を自動化”することは,本願の優先日前において,当業者が普通に採用している周知技術であった。
また,引用文献2には,“疑わしいファイルサンプルをサンドボックスに移動するとともに、該サンドボックスにおいて該疑わしいファイルサンプルを開き,動作パターンが安全であるかどうか判断するためモニタリングする”発明が記載されている。
そして,引用発明,参考文献1記載の上記周知技術,引用文献2記載の発明は,それぞれ,仮想コンピュータ環境,仮想マシン,サンドボックスといった仮想の環境において,ウィルス,マルウェア,疑わしいファイルサンプルといった危険なソフトウェアの解析を行う技術に関するものであるので,引用発明の,仮想コンピュータ環境において,ウィルスを持っている可能性があるファイルのウィルスの再生や拡散の手順を観察し,ウィルスの感染方法を学習する際,仮想コンピュータ環境上での実行時のAPIコールを記録し,当該APIコールが安全であるかどうか判断するためにモニタリングすることは,当業者ならば容易に想到し得たことである。

エ 相違点4について

参考文献2(上記F参照)に記載されるように,“APIコールは,仮想APIに制御を渡し,仮想APIは,実オペレーティングシステムAPIの機能ではなく,応答をシミュレートする”ことは,本願の優先日前において,当業者が普通に採用している周知技術であった。
してみると,引用発明における,バーチャル環境において,危険ファイルに対する挙動情報を取得する際,APIコールとして,仮想APIに制御を渡し,実オペレーションシステムAPIの機能ではなく,応答をシミュレートすることは,当業者ならば容易に想到し得たことである。

エ 小括

上記で検討したごとく,相違点1,相違点2,相違点3及び相違点4に係る構成は,いずれも当業者が容易に想到し得たものであり,そして,これらの相違点を総合的に勘案しても,本件補正発明の奏する作用効果は,引用発明,引用文献2に記載された発明,参考文献1及び参考文献2に記載された周知技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。

したがって,本件補正発明は,引用発明,引用文献2に記載された発明,参考文献1及び参考文献2に記載された周知技術に基づいて,当業者が容易に発明をすることができたものであり,特許法第29条第2項の規定により,特許出願の際独立して特許を受けることができない。

4 むすび

以上のように,上記「3 独立特許要件」で指摘したとおり,補正後の請求項1に記載された発明は,特許出願の際独立して特許を受けることができるものではないから,本件補正は,特許法第17条の2第6項において準用する同法第126条第7項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

よって,補正却下の決定の結論のとおり決定する。


第3 原審査定について

1 本願発明の認定

平成30年11月1日付けの手続補正は上記のとおり却下されたので,本願の請求項1に係る発明(以下,「本願発明」という。)は,平成30年2月26日付け手続補正書の特許請求の範囲の請求項1に記載された事項により特定される,以下のとおりのものである。

「コンピュータ装置において危険ファイルに対応する挙動情報を特定する方法であって、
危険ファイルの存在を検知すると、前記コンピュータ装置のリアル環境における少なくとも1つのリアルAPIと同様の少なくとも1つのバーチャルAPIが含まれる前記コンピュータ装置のバーチャル環境において、前記危険ファイルを稼動するステップと、
バーチャル環境において、稼動中に危険ファイルにより呼び出されたバーチャルAPIのバーチャルな実行に基づいて、前記危険ファイルの挙動をモニタリングし、前記危険ファイルに対応する挙動情報を取得するステップとを含む、
ことを特徴とする危険ファイルに対応する挙動情報特定方法。」

2 引用文献及び参考文献

原査定の拒絶の理由に引用された,引用文献及びその記載事項は,前記「第2 平成30年11月1日付けの手続補正についての補正却下の決定」の「3 独立特許要件」の「(2)引用文献及び参考文献」に記載したとおりである。

3 対比・判断

本願発明は,前記「第2 平成30年11月1日付けの手続補正についての補正却下の決定」の「3 独立特許要件」で検討した本件補正発明から,「前記バーチャルな実行では、バーチャルAPIの機能が実際には実行されず、バーチャルAPIに対応するリアルAPIを呼び出した効果のみをバーチャル化する、ステップ」との限定を省いたものである。

そうすると,本願発明の発明特定事項を全て含む本件補正発明が,上記「第2 平成30年11月1日付けの手続補正についての補正却下の決定」の「3 独立特許要件」の「(3)対比」及び「(4)判断」に記載したとおり,引用発明,引用文献2に記載された発明,参考文献1及び参考文献2に記載された周知技術に基づいて当業者が容易に発明をすることができたものであるから,上記特定の限定を省いた本願発明も同様の理由により,引用発明,引用文献2に記載された発明,参考文献1に記載された周知技術に基づいて,当業者が容易に発明をすることができたものである。

4 むすび

以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである。

よって,結論のとおり審決する。
 
別掲
 
審理終結日 2019-07-26 
結審通知日 2019-07-30 
審決日 2019-08-13 
出願番号 特願2016-564985(P2016-564985)
審決分類 P 1 8・ 121- Z (G06F)
P 1 8・ 575- Z (G06F)
最終処分 不成立  
前審関与審査官 上島 拓也  
特許庁審判長 田中 秀人
特許庁審判官 松平 英
石井 茂和
発明の名称 危険ファイルに対応する挙動情報特定方法及び危険ファイルに対応する挙動情報特定装置  
代理人 有馬 百子  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ