ホーム > 特許ランキング > 株式会社ギウォンテク
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6483227
(24)【登録日】2019年2月22日
(45)【発行日】2019年3月13日
(54)【発明の名称】詐欺メールの危険度を判断する方法およびそのための装置
(51)【国際特許分類】
G06F 13/00 20060101AFI20190304BHJP
G06F 21/55 20130101ALI20190304BHJP
【FI】
G06F13/00 610Q
G06F21/55 320
【請求項の数】9
【全頁数】21
(21)【出願番号】特願2017-237201(P2017-237201)
(22)【出願日】2017年12月11日
(65)【公開番号】特開2019-8768(P2019-8768A)
(43)【公開日】2019年1月17日
【審査請求日】2017年12月11日
(31)【優先権主張番号】10-2017-0082082
(32)【優先日】2017年6月28日
(33)【優先権主張国】KR
(73)【特許権者】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH
(74)【代理人】
【識別番号】110001139
【氏名又は名称】SK特許業務法人
(74)【代理人】
【識別番号】100130328
【弁理士】
【氏名又は名称】奥野 彰彦
(74)【代理人】
【識別番号】100130672
【弁理士】
【氏名又は名称】伊藤 寛之
(72)【発明者】
【氏名】ギム、ドンチョル
(72)【発明者】
【氏名】キム、ギナム
【審査官】
森田 充功
(56)【参考文献】
【文献】
特表2008−522291(JP,A)
【文献】
国際公開第2012/032606(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
詐欺メールの危険度を判断する装置において、
メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出部と;
前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較し、前記送信ドメインおよび前記顧客ドメインとの間の類似度を決定するドメイン比較部と;
前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析部とを含み、
前記ドメイン比較部は、
前記送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して前記送信ドメインのコード合算値を算出し、前記送信ドメインのコード合算値と前記顧客ドメインのそれぞれに対するコード合算値とを比較して前記類似度を決定することを特徴とする。
メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出部と;
前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較し、前記送信ドメインおよび前記顧客ドメインとの間の類似度を決定するドメイン比較部と;
前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析部とを含み、
前記ドメイン比較部は、
前記送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して前記送信ドメインのコード合算値を算出し、前記送信ドメインのコード合算値と前記顧客ドメインのそれぞれに対するコード合算値とを比較して前記類似度を決定することを特徴とする。
【請求項2】
前記ドメイン比較部は、
前記送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在する場合、前記送信ドメインと前記顧客ドメインを同じドメインと判断し、前記危険度分析部は前記受信メールの危険度を最も低く決定することを特徴とする、請求項1に記載のメールファイアウォール装置。
前記送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在する場合、前記送信ドメインと前記顧客ドメインを同じドメインと判断し、前記危険度分析部は前記受信メールの危険度を最も低く決定することを特徴とする、請求項1に記載のメールファイアウォール装置。
【請求項3】
前記ドメイン比較部は、
前記送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在しない場合、前記連絡先リストのうち前記送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインを抽出し、前記送信ドメインと前記抽出された顧客ドメインとの間の前記類似度を決定することを特徴とする、請求項1に記載のメールファイアウォール装置。
前記送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在しない場合、前記連絡先リストのうち前記送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインを抽出し、前記送信ドメインと前記抽出された顧客ドメインとの間の前記類似度を決定することを特徴とする、請求項1に記載のメールファイアウォール装置。
【請求項4】
前記危険度分析部は、
前記連絡先リストのうち前記送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインが存在しない場合、前記受信メールの本文の内容により前記送信ドメインを新規メールアドレスまたは詐欺メールアドレスとして登録するために、本文検査処理されるようにすることを特徴とする、請求項3に記載のメールファイアウォール装置。
前記連絡先リストのうち前記送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインが存在しない場合、前記受信メールの本文の内容により前記送信ドメインを新規メールアドレスまたは詐欺メールアドレスとして登録するために、本文検査処理されるようにすることを特徴とする、請求項3に記載のメールファイアウォール装置。
【請求項5】
前記ドメイン比較部は、
前記送信ドメインを構成する文字のコードと前記抽出された顧客ドメインを構成する文字のコードとを順に比較して、前記送信ドメインと前記抽出された顧客ドメインとの間の前記類似度を決定することを特徴とする、請求項3に記載のメールファイアウォール装置。
前記送信ドメインを構成する文字のコードと前記抽出された顧客ドメインを構成する文字のコードとを順に比較して、前記送信ドメインと前記抽出された顧客ドメインとの間の前記類似度を決定することを特徴とする、請求項3に記載のメールファイアウォール装置。
【請求項6】
前記ドメイン比較部は、
前記送信ドメインおよび前記抽出された顧客ドメイン間の異なる文字ペアの個数により前記類似度を決定することを特徴とする、請求項5に記載のメールファイアウォール装置。
前記送信ドメインおよび前記抽出された顧客ドメイン間の異なる文字ペアの個数により前記類似度を決定することを特徴とする、請求項5に記載のメールファイアウォール装置。
【請求項7】
前記危険度分析部は、
前記異なる文字ペアの個数が一個であるとき前記詐欺危険度を最も高く設定し、前記異なる文字ペアの個数が増加するにつれて前記詐欺危険度を低く設定することを特徴とする、請求項6に記載のメールファイアウォール装置。
前記異なる文字ペアの個数が一個であるとき前記詐欺危険度を最も高く設定し、前記異なる文字ペアの個数が増加するにつれて前記詐欺危険度を低く設定することを特徴とする、請求項6に記載のメールファイアウォール装置。
【請求項8】
メールファイアウォール装置が詐欺メールの危険度を判断する方法において、
メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出過程と;
前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較し、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較過程と;
前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析過程とを含み、
前記送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して前記送信ドメインのコード合算値を算出し、前記送信ドメインのコード合算値と前記顧客ドメインのそれぞれに対するコード合算値とを比較して前記類似度を決定することを特徴とする、詐欺メール危険度分析方法。
メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出過程と;
前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較し、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較過程と;
前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析過程とを含み、
前記送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して前記送信ドメインのコード合算値を算出し、前記送信ドメインのコード合算値と前記顧客ドメインのそれぞれに対するコード合算値とを比較して前記類似度を決定することを特徴とする、詐欺メール危険度分析方法。
【請求項9】
データ処理機器に、
メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出過程と;
前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較し、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較過程と;
前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析過程と、
前記送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して前記送信ドメインのコード合算値を算出し、前記送信ドメインのコード合算値と前記顧客ドメインのそれぞれに対するコード合算値とを比較して前記類似度を決定する過程と、を具現させるためのプログラムを記録した、コンピュータ可読記録媒体。
メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出過程と;
前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較し、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較過程と;
前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析過程と、
前記送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して前記送信ドメインのコード合算値を算出し、前記送信ドメインのコード合算値と前記顧客ドメインのそれぞれに対するコード合算値とを比較して前記類似度を決定する過程と、を具現させるためのプログラムを記録した、コンピュータ可読記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本実施例は詐欺メールの危険度を判断する方法およびそのための装置に関するものである。
【背景技術】
【0002】
この部分に記述された内容は単純に本実施例に対する背景情報を提供するだけのものであって、従来技術を構成するものではない。
【0003】
インターネットインフラが世界的に拡大、発展するにつれて、インターネットを通じての詐欺事件が増加しており、特にEメールを通じてのセキュリティーおよび詐欺事件が急増している。これに伴い、Eメールの安全な受信および送信が重要な問題として台頭している。
【0004】
一般にスパムメールを管理するシステムでは、スパムメールに該当する送信者のメールアドレスをスパムリストに登録させてスパムメールを防止している。
【0005】
しかし、このような方法では、メールを受信する使用者がすべてのメールに対して受信/削除の決定を処理しなければならない不便さがある。また、ハッカーが類似するドメインアドレスを利用してメールを送信する場合には、使用者が安全な送信者と誤認する可能性が高く、類似するドメインアドレスをスパムメールに登録できない確率が高い。
【0006】
したがって、使用者が既存に送受信していたメールアドレスと肉眼で識別できないほどの類似ドメインでメールを送信するハッカーの詐欺手法に対応するためのセキュリティー技術が必要である。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本実施例は、文字コード値に基づいて受信メールの送信ドメインと顧客ドメインとを比較して送信ドメインおよび顧客ドメイン間の類似度を決定し、決定された類似度に基づいて受信メールの詐欺メール危険度を判断する詐欺メールの危険度を判断する方法およびそのための装置を提供することに主な目的がある。
【課題を解決するための手段】
【0008】
本実施例の一側面によると、詐欺メールの危険度を判断する装置において、メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出部と;前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較して、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較部と;前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析部とを含むことを特徴とする、メールファイアウォール装置を提供する。
【0009】
また、本実施例の他の側面によると、メールファイアウォール装置が詐欺メールの危険度を判断する方法において、メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出過程と;前記送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較して、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較過程と;前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析過程とを含むことを特徴とする、詐欺メール危険度分析方法を提供する。
【0010】
また、本実施例の他の側面によると、データ処理機器に、メールサーバーから受信者に伝達される受信メールを取得し、前記受信メールの送信ドメインを抽出するドメイン抽出過程と;前記送信ドメインと連絡先リストに既に保存された少なくとも一つの顧客ドメインとを比較して、前記送信ドメインおよび前記顧客ドメイン間の類似度を決定するドメイン比較過程と;前記類似度に基づいて前記受信メールの詐欺メール危険度を判断する危険度分析過程とを具現させるためのプログラムを記録したコンピュータ可読記録媒体を提供する。
【発明の効果】
【0011】
以上で説明した通り、本実施例によると、メールファイアウォール装置は詐欺メールに対する危険度を判断することによって、受信者が詐欺メールによって被害を受ける前に事前に対応できる効果がある。
【0012】
また、メールファイアウォール装置は詐欺メールに対する危険度を複数のレベル(等級)に判断することによって、使用者が詐欺メールの危険の程度を正確に認知できる効果がある。
【0013】
また、メールファイアウォール装置は使用者が肉眼で識別し難い類似ドメインを正確に検出できる効果がある。
【図面の簡単な説明】
【0014】
【図1】本実施例に係る詐欺メールの危険度を判断するためのメールファイアウォールシステムを示した構成図である。
【図2】本実施例に係る詐欺メールの危険度を判断するためのメールファイアウォール装置を概略的に示したブロック構成図である。
【図4】詐欺メールの被害事例を説明するための例示図である。
【図5】本実施例に係る詐欺メールの危険度を判断するためにドメインを比較する動作を説明するための例示図である。
【図6】本実施例に係る詐欺メールの判断結果を出力した例示図である。
【図7】本発明の第2実施例に係るメールサーバーの概略的な構成を図示したブロック図である。
【図8】本発明の第2実施例に係るメールサーバーでのメール受信処理過程を図示したフローチャートである。
【図9】本発明の第2実施例に係る正常な送信(発信/発送)者とメールサーバー間のメールの送受信処理過程を図示したフローチャートである。
【図10】本発明の各第2実施例に係る送信者またはメールの類型に相応する有効期間を図示したテーブルである。
【図11】本発明の各第2実施例に係る送信者またはメールの類型に相応する有効期間を図示したテーブルである。
【図12】本発明の第2実施例に係る第2メールサーバーが各IPアドレスのメール送信履歴に基づいて維持期間を設定してホワイトリストを管理する概略的な手続きを図示したフローチャートである。
【図13】イメージ変換部が詐欺性メールを受信者に転送することを表す順次図である。
【図14】メールファイアウォール装置とイメージ変換部を表す図面である。
【発明を実施するための形態】
【0015】
以下、本実施例を添付された図面を参照して詳細に説明する。
【0016】
図1は、本実施例に係る詐欺メールの危険度を判断するためのメールファイアウォールシステムを示した構成図である。
【0017】
本実施例に係るメールファイアウォールシステムは、第1メールサーバー120およびメールファイアウォール装置130を含む。
【0018】
第1メールサーバー120は、送信者110と受信者140との間にEメールが送受信できるように動作する装置であって、送信者110と受信者140との間の通信を媒介する役割を遂行する。
【0019】
本実施例に係る第1メールサーバー120は、受信者140側に受信されるEメールの詐欺危険度を判断するために、送信者110から送信されたEメールを受信者140に伝達する動作を中心に説明するが、必ずしもこれに限定されるものではない。
【0020】
一方、本実施例で送信者110および受信者140は送信者端末および受信者端末で具現され得る。送信者110は受信者140の端末にEメールを送信する端末であり得、受信者140は送信者110の端末からEメールを受信する端末であり得る。送信者110の端末および受信者140の端末は少なくとも一つのパーソナルコンピューター(PC)が好ましいが、スマートフォンのような移動通信端末でもよい。送信者110の端末および受信者140の端末は、Eメールの送受信ができるように構成された多様な形態の端末で具現され得、本発明の技術的範囲内で当該関連分野の通常の知識を有する当業者によって選択された端末であり得る。
【0021】
送信者110および受信者140間のEメール通信を可能にする第1メールサーバー120は、通常的に掲載された公知の技術であって、当該関連分野の通常の知識を有する当業者が多様に変更設計できることは言うまでもない。
【0022】
メールファイアウォール装置130は受信者140に詐欺メールが伝達されることを防止するための装置を意味する。
【0023】
本実施例に係るメールファイアウォール装置130は、第1メールサーバー120から受信者140に伝達される受信メールを取得して受信メールが詐欺メールである危険度を判断する。
【0024】
メールファイアウォール装置130は、受信メールの送信ドメインと連絡先リストに既保存された顧客ドメインとを比較して、送信ドメインと顧客ドメインと間の類似度を決定し、類似度に基づいて受信メールが詐欺メールである危険度を判断する。
【0025】
図1において、メールファイアウォール装置130は第1メールサーバー120と別途の装置とで具現され得、このような場合、メールファイアウォール装置130は一般に使われている既存の第1メールサーバーを維持しつつ、第1メールサーバーと受信者端末との間に連結される形態で具現されて詐欺メールを感知することができる。一方、メールファイアウォール装置130は、第1メールサーバー120と結合した一つの装置で具現されてもよい。例えば、第1メールサーバー120内にメールファイアウォール処理部(図示されず)のようなハードウェアまたは第1メールサーバー120に設置されたソフトウェアのような形態で具現され得る。メールファイアウォール装置130での受信メールが詐欺メールである危険度を判断する動作は、図2で詳しく説明する。
【0026】
図2は、本実施例に係る詐欺メールの危険度を判断するためのメールファイアウォール装置を概略的に示したブロック構成図である。
【0027】
本実施例に係るメールファイアウォール装置130は、ドメイン抽出部210、ドメイン比較部220、類似する文字(類似文字)DB222、本文検査部224および危険度分析部230を含む。図2に図示されたメールファイアウォール装置130は一実施例に係るものであって、図2に図示されたすべてのブロックが必須構成要素ではなく、他の実施例においてメールファイアウォール装置130に含まれた一部のブロックが追加、変更または削除され得る。
【0028】
ドメイン抽出部210は、第1メールサーバー120から受信者140側に伝達される受信メールを取得し、受信メールの送信ドメインを抽出する。送信ドメインは、<ユーザー名@ドメイン名>で構成された送信メールアドレスのうち「ドメイン名」に該当するドメイン領域を意味する。例えば、<AAA@KIWONTECH.com>の送信メールアドレスを有する受信メールを第1メールサーバー120から取得した場合、ドメイン抽出部210は<KIWONTECH.com>のドメイン領域を送信ドメインとして抽出する。
【0029】
ドメイン抽出部210は、ドメイン領域だけを抽出すると記載しているが、必ずしもこれに限定されず、使用者または管理者の設定により「ユーザー名」に該当する個別ID領域を含む送信メールアドレス全体を抽出してもよい。ドメイン比較部220は、送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較して、送信ドメインおよび顧客ドメイン間の類似度を決定する。ここで、連絡先リストは、受信者140と既にEメールをやり取りしたことのある複数の顧客のメールアドレスを含むリストを意味し、ドメイン比較部220は連絡先リストに含まれた顧客のメールアドレスのドメイン領域を顧客ドメインとして抽出して送信ドメインと比較する。連絡先リストは、メールファイアウォール装置130内に既保存された情報すなわち、連絡先保存部(図示されず)のようなモジュールに保存されたリスト情報であり得るが、必ずしもこれに限定されるものではなく、受信者140の端末から呼び出したリスト情報でもよい。
【0030】
以下、ドメイン比較部220で送信ドメインと顧客ドメインとを比較する動作について説明する。
【0031】
ドメイン比較部220は、文字に対するコード値を利用して送信ドメインと顧客ドメインとを比較する。ここで、文字に対するコード値は、アスキーコード(ASCII Code)であることが好ましいが、必ずしもこれに限定されず、文字が識別できるのであれば多様な形態の識別値を適用してもよい。
【0032】
ドメイン比較部220は、送信ドメインに含まれた複数の文字のそれぞれに対するコード値を合算して送信ドメインのコード合算値を算出し、送信ドメインのコード合算値と顧客ドメインのコード合算値とを比較して送信ドメインと同じ顧客ドメインの存在有無を判断する。換言すると、ドメイン比較部220は、送信ドメインのコード合算値と連絡先リストに含まれた顧客ドメインのそれぞれに対するコード合算値を比較して、送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在する場合、送信ドメインと顧客ドメインを同じドメインと判断する。ここで、ドメイン比較部220は、顧客ドメインのそれぞれのコード合算値を算出して送信ドメインのコード合算値と比較することが好ましいが、必ずしもこれに限定されず、連絡先リストに既保存されたコード合算値を利用して送信ドメインのコード合算値と比較してもよい。
【0033】
ドメイン比較部220は、コード合算値を比較して送信ドメインと顧客ドメインとが同じドメインと判断された場合、別途に類似度を決定せず、危険度分析部230で詐欺危険度が最も低く設定されるようにする。
【0034】
一方、ドメイン比較部220は、送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在しない場合、連絡先リストのうち送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインを抽出し、送信ドメインと抽出された顧客ドメインとの間の類似度を決定する。例えば、<KIWONTECH.com>に対する送信ドメインのコード合算値は1049であり、ドメイン比較部220は送信ドメインのコード合算値との差が30(臨界値)以下である顧客ドメインを抽出する。ここで、臨界値は使用者または管理者の設定により変更され得る。
【0035】
ドメイン比較部220は、連絡先リストのうち前記送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインが存在しない場合、受信メールの本文の内容によって送信ドメインを新規メールアドレスまたは詐欺メールアドレスとして登録するために、本文検査処理されるようにする。本文の検査は本文検査部224で処理される。
【0036】
一方、ドメイン比較部220は、送信ドメインのコード合算値との差が臨界値以下である顧客ドメインが少なくとも一つ以上存在する場合、抽出された顧客ドメインと送信ドメインとを文字単位で比較する。具体的には、ドメイン比較部220は送信ドメインを構成する文字のコードと抽出された顧客ドメインを構成する文字のコードとを順に比較して、異なる文字ペアの個数を判断する。ここで、異なる文字ペアとは、送信ドメインと抽出された顧客ドメインとを比較して異なるものと確認された二つの文字を意味する。例えば、送信ドメイン<KlWONTECH.com>と顧客ドメイン<KIWONTECH.com>とを比較する場合、異なる文字ペアは(l、I)を意味する。異なる文字ペア(l、I)は、小文字エル(l)と大文字アイ(I)を含む。また、送信ドメイン<KIWONXXCH.com>と顧客ドメイン<KIWONTECH.com>とを比較する場合、異なる文字ペアは(X、T)および(X、E)を意味する。異なる文字ペア(X、T)は大文字エックス(X)と大文字ティー(T)を含み、異なる文字ペア(X、E)は大文字エックス(X)と大文字イー(E)を含む。
【0037】
ドメイン比較部220は、送信ドメインおよび抽出された顧客ドメイン間の異なる文字ペアの個数により送信ドメインと抽出された顧客ドメインとの間の類似度を決定する。ここで、類似度は送信ドメインおよび顧客ドメイン間の類似する程度を示した設定値を意味し、最上、上、中、下、最下などの既設定された複数の等級に設定され得るが、必ずしもこれに限定されず、1〜10のレベルのような既設定された数値レベルに設定されてもよい。
【0038】
ドメイン比較部220は、異なる文字ペアを構成する二つの文字が類似文字であるかを判断し、類似文字からなる文字ペアの個数により類似度を決定する。ここで、類似文字とは、肉眼で差を区別し難い二つの文字を意味し、使用者の経験で設定された文字または既定義された文字であり得る。
【0039】
ドメイン比較部220は、類似文字DB222を参照して異なる文字ペアが類似文字であるかの可否を判断することができる。例えば、ドメイン比較部220は、異なる文字ペアが類似文字DB222に既保存されている場合、異なる文字ペアを構成する二つの文字が類似文字であると判断することができる。
【0040】
一実施例によると、ドメイン比較部220は、異なる文字ペアが類似文字であるかの可否を判断するために、類似文字DB222から類似文字ペアリストを取得し、類似文字ペアリストに異なる文字ペアが含まれているかを確認することができる。
【0041】
さらなる実施例によると、ドメイン比較部220は、異なる文字ペアに対する文字情報を類似文字DB222に伝送し、類似文字DB222からマッチングされる文字ペアが存在するかの可否に対するマッチング結果を応答信号として受信して、異なる文字ペアの類似文字の可否を判断してもよい。
【0042】
ドメイン比較部220は、類似文字からなる異なる文字ペアの個数が少ないほど類似度を高いレベル(等級)に設定し、異なる文字ペアの個数が多いほど類似度を低いレベル(等級)に設定する。類似度は、異なる文字ペアの個数が少ないほど肉眼での認識が難しいため、類似度を高く設定する。例えば、ドメイン比較部220は、類似文字からなる異なる文字ペアが一個の場合、類似度を「最上」等級に設定し、異なる文字ペアが二つである場合、類似度を「上」等級に設定することができる。ドメイン比較部220は、異なる文字ペアの個数によって決定された類似度が高いほど、受信メールが詐欺メールである危険度は増加する。
【0043】
ドメイン比較部220は既設定されたレベル(等級)範囲内で類似度を設定することが好ましく、既設定されたレベル(等級)範囲は使用者または管理者の設定により変更され得る。
【0044】
類似文字DB222は、類似文字を保存および管理するデータベースを意味する。ここで、類似文字とは、肉眼で差を認知し難い二つの文字を意味し、使用者の経験で設定された文字または既定義された文字であり得る。
【0045】
類似文字DB222は、(l、I)、(l、1)、(m、rn)、(O、0)等のような類似文字を保存することができ、このような類似文字は、使用者が類似するものと判断して入力したものであるか外部の装置(図示されず)から既収集された情報であり得る。(l、I)は小文字エル(l)と大文字アイ(I)を含み、(l、1)は小文字エル(l)と数字1を含む。また、(m、rn)は小文字エム(m)と小文字アール(r)/エヌ(n)を含み、(O、0)は大文字オウ(O)と数字0を含む。
【0046】
本文検査部224は、受信メールの本文の内容を検査する動作を遂行する。本文検査部224は、ドメイン比較部220で送信ドメインのコード合算値と所定の範囲(コード合算値の差が臨界値以下)に該当する顧客ドメインが存在しない場合、受信メールに対する本文検査を遂行する。
【0047】
本文検査部224は、受信メールの本文の内容を検査した結果、安全なメールであると判断されると受信メールの送信ドメインを新規メールアドレスとして登録させる。一方、本文検査部224は受信メールの本文の内容を検査した結果、安全でないメールであると判断されると受信メールの送信ドメインを詐欺メールアドレスとして登録させる。
【0048】
本文検査部224は、受信メールの本文の内容に既保存された危険語句に該当する単語の存在の有無を判断するか、テキスト認識を通じて本文の内容を判断して本文検査を遂行することが好ましいが、必ずしもこれに限定されるものではない。
【0049】
危険度分析部230はドメイン比較部220で決定された類似度に基づいて受信メールの詐欺メール危険度を判断する。ここで、詐欺メールの危険度は受信メールが詐欺メールであろうと予測された推定値を意味し、最上、上、中、下、最下などの既設定された複数の等級に設定され得るが、必ずしもこれに限定されず、1〜10のレベルのような既設定された数値レベルに設定されてもよい。
【0050】
危険度分析部230は、類似度が低いレベルに設定されると受信者140に伝達される受信メールが詐欺メールである危険度を低く判断する。例えば、危険度分析部230は、類似度が「下」等級の場合、受信メールが詐欺メールである危険度を「下」等級に決定する。
【0051】
一方、危険度分析部230は、類似度が高いレベルに設定されると受信者140に伝達される受信メールが詐欺メールである危険度を高く判断する。ここで、危険度分析部230は、受信メールに対する詐欺メール危険度が既設定された通知基準等級または通知基準数値以上のものと判断された場合、第1メールサーバー120の使用者または管理者に緊急警告通知メッセージを伝送して、受信メールが受信者140に伝達されないように制御する。緊急警告通知メッセージは、受信メール情報、送信ドメイン、送信ドメインと類似する顧客ドメイン、異なる文字ペア情報、類似度情報、危険度情報などを含むことができる。例えば、危険度分析部230は、類似度が「上」等級の場合、受信メールが詐欺メールである危険度を「上」等級に決定する。ここで、危険度分析部230は通知基準等級が「中」に設定された場合、当該受信メールに対する緊急警告通知メッセージを第1メールサーバー120の使用者または管理者に伝送する。
【0052】
危険度分析部230は、本文検査を処理して新規メールアドレスとして登録された送信ドメインが存在する場合、当該送信ドメインを利用する受信メールの危険度を最も低く例えば、「最下」等級に設定することができる。
【0054】
図3aは、メールファイアウォール装置130で詐欺メールの危険度を判断する方法を概略的に示したフローチャートである。
【0055】
メールファイアウォール装置130は、第1メールサーバー120から受信者140に伝達される受信メールを取得し(S310)、受信メールの送信ドメインを抽出する(S320)。ここで、送信ドメインは<ユーザー名@ドメイン名>で構成された送信メールアドレスのうち「ドメイン名」に該当するドメイン領域を意味する。例えば、<AAA@KIWONTECH.com>の送信メールアドレスを有する受信メールを第1メールサーバー120から取得した場合、メールファイアウォール装置130は<KIWONTECH.com>のドメイン領域を送信ドメインとして抽出する。
【0056】
メールファイアウォール装置130は送信ドメインと連絡先リストに既保存された少なくとも一つの顧客ドメインとを比較して送信ドメインおよび顧客ドメインとの間の類似度を決定する(S330)。ここで、連絡先リストは受信者140と既にEメールをやり取りしたことがある複数の顧客のメールアドレスを含むリストを意味する。
【0057】
メールファイアウォール装置130は連絡先リストに含まれた顧客のメールアドレスのドメイン領域を顧客ドメインとして抽出して送信ドメインと比較し、比較結果に基づいて送信ドメインおよび顧客ドメイン間の類似度を決定する。ここで、類似度は送信ドメインおよび顧客ドメイン間の類似する程度を示した設定値を意味し、最上、上、中、下、最下などの既設定された複数の等級に設定され得るが、必ずしもこれに限定されず、1〜10のレベルのような既設定された数値レベルに設定されてもよい。類似度を設定する動作は図3bで詳細に説明する。
【0058】
メールファイアウォール装置130は類似度に基づいて受信メールの詐欺メール危険度を判断する(S340)。ここで、詐欺メールの危険度は受信メールが詐欺メールであろうと予測された推定値を意味する。
【0059】
メールファイアウォール装置130は、類似度が低いレベルに設定されると受信者140に伝達される受信メールが詐欺メールである危険度を低く判断し、類似度が高いレベルに設定されると受信者140に伝達される受信メールが詐欺メールである危険度を高く判断する。
【0060】
メールファイアウォール装置130は、受信メールに対する詐欺メール危険度が既設定された通知基準等級または通知基準数値以上のものと判断された場合、第1メールサーバー120の使用者または管理者に緊急警告通知メッセージを伝送して受信メールが受信者140に伝達されないように制御する。
【0061】
図3aでは段階S310〜段階S340を順に実行するものと記載しているが、これは本実施例の技術思想を例示的に説明したものに過ぎず、本実施例が属する技術分野で通常の知識を有する者であれば、本実施例の本質的な特性から逸脱しない範囲で図3aに記載された順序を変更して実行したり、段階S310〜段階S340のうち一つ以上の段階を並列的に実行するものに多様に修正および変形して適用可能であろうため、図3aは時系列的な順序に限定されるものではない。
【0063】
メールファイアウォール装置130は、送信ドメインのコード合算値を算出する(S350)。メールファイアウォール装置130は、送信ドメインに含まれた文字のそれぞれに対するコード値を合算して送信ドメインのコード合算値を算出する。ここで、文字に対するコード値はアスキーコード(ASCII Code)であることが好ましいが、必ずしもこれに限定されるものではない。
【0064】
メールファイアウォール装置130は送信ドメインのコード合算値と顧客ドメインのコード合算値とを比較し(S352)、送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在するかの有無を判断する(S360)。
【0065】
段階S360で送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在する場合、メールファイアウォール装置130は送信ドメインと顧客ドメインを同じドメインと判断する(S362)。メールファイアウォール装置130は送信ドメインと同じ顧客ドメインが存在すると当該受信メールが詐欺メールである危険度を最も低いレベル(等級)に決定する(S364)。
【0066】
段階S360で送信ドメインのコード合算値と同じコード合算値を有する顧客ドメインが存在しない場合、メールファイアウォール装置130は連絡先リストのうち送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインが存在するかの有無を判断する(S370)。
【0067】
段階S370で送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインが存在しない場合、メールファイアウォール装置130は受信メールの本文の内容によって送信ドメインを新規メールアドレスまたは詐欺メールアドレスとして登録するために、本文検査処理を遂行する(S372)。段階S372でメールファイアウォール装置130は本文検査結果により受信メールに対する送信ドメインを新規メールアドレスまたは詐欺メールアドレスとして登録することができる。
【0068】
段階S370で送信ドメインのコード合算値との差が臨界値以下であるコード合算値を有する顧客ドメインが存在する場合、メールファイアウォール装置130は当該顧客ドメインを抽出する(S380)。
【0069】
メールファイアウォール装置130は送信ドメインを構成する文字のコードと抽出された顧客ドメインを構成する文字のコードとを順に比較し(S382)、送信ドメインおよび抽出された顧客ドメイン間の異なる文字ペアの個数により類似度を決定する(S384)。ここで、類似度は送信ドメインおよび顧客ドメイン間の類似する程度を示した設定値を意味し、最上、上、中、下、最下などの既設定された複数の等級に設定され得るが、必ずしもこれに限定されず、1〜10のレベルのような既設定された数値レベルに設定されてもよい。
【0070】
段階S382の比較結果に基づいてメールファイアウォール装置130は、類似文字DB222を参照して異なる文字ペアを構成する二つの文字が類似文字であるかを判断し、類似文字からなる文字ペアの個数により類似度を決定する。
【0071】
メールファイアウォール装置130は類似度により受信メールの危険度を設定する(S390)。段階S390に対する内容は、図3aの段階S340の動作と類似するため詳しい説明は省略する。
【0072】
図3bでは段階S350〜段階S390を順に実行するもので記載しているが、これは本実施例の技術思想を例示的に説明したものに過ぎず、本実施例が属する技術分野で通常の知識を有する者であれば、本実施例の本質的な特性から逸脱しない範囲で図3bに記載された順序を変更して実行したり、段階S350〜段階S390のうち一つ以上の段階を並列的に実行するものに多様に修正および変形して適用可能であろうため、図3bは時系列的な順序に限定されるものではない。
【0073】
前述した通り、図3aおよび図3bに記載された本実施例に係るメールファイアウォール装置130の動作はプログラムで具現され、コンピュータ可読記録媒体に記録され得る。本実施例に係るメールファイアウォール装置130の動作を具現するためのプログラムが記録され、コンピュータ可読記録媒体はコンピュータシステムによって読み取りできるデータが保存されるすべての種類の記録装置を含む。このようなコンピュータ可読記録媒体の例としては、ROM、RAM、CD−ROM、磁気テープ、フロッピーディスク、光データ保存装置などがあり、また、キャリアウェーブ(例えば、インターネットを通じての伝送)の形態で具現されるものも含む。また、コンピュータ可読記録媒体はネットワークに連結されたコンピュータシステムに分散され、分散方式でコンピュータが読み取りできるコードが保存され実行されてもよい。また、本実施例を具現するための機能的な(Functional)プログラム、コードおよびコードセグメントは、本実施例が属する技術分野のプログラマーによって容易に推論できるはずである。
【0074】
図4は詐欺メールの被害事例を説明するための例示図である。
【0075】
図4に図示された通り、「業者A」および「業者B」は持続的にメールをやり取りして取り引きをしていた業者である。「ハッカー(Hacker)」は、「業者A」および「業者B」間のメール内容をモニタリングして送信メールアドレスを類似ドメインに変調することができる。
【0076】
例えば、「業者A」および「業者B」のそれぞれが<A@60127406.com>および<B@60127406.com>というメールアドレスで取り引きをしている場合、「ハッカー」は<A@6O127406.com>という類似ドメインに変調して「業者B」とメールをやり取りすることができる。「ハッカー」が使用した類似ドメイン<A@6O127406.com>は、肉眼では「業者A」のメールアドレスとおなじように見えるが、実際にはドメイン領域である「6O127406.com」の2番目の数字「0」を大文字オウ「O」に変調した詐欺メールアドレスである。
【0077】
本発明では前述した被害状況を事前に防止するために、メールファイアウォール装置130を利用して受信メールが詐欺メールである危険度を判断する。
【0078】
図5は本実施例に係る詐欺メールの危険度を判断するためにドメインを比較する動作を説明するための例示図である。
【0079】
図5に図示された通り、メールファイアウォール装置130は、類似性ドメイン検査を通じて送信ドメイン<1@KlWONTECH.com>と顧客ドメイン<1@KIWONTECH.com>間の異なる文字ペアを検出することができる。メールファイアウォール装置130は二つのドメインアドレス間の類似性を判断して、詐欺メールの危険度を使用者に警告するメッセージを伝達することができる。
【0080】
図5に図示された通り、メールファイアウォール装置130は、人の視線で区分することが難いほど、類似度が高いものと判断する。ここで、類似度が高いということは、受信メールが詐欺メールである危険度が高いことを意味する。例えば、メールファイアウォール装置130は類似文字からなる異なる文字ペアが一個である場合、類似度を「上」等級に設定し、異なる文字ペアが二個である場合、類似度を「中」等級に設定することができる。
【0081】
メールファイアウォール装置130は異なる文字ペアの個数により決定された類似度が高いレベル(等級)であるほど、受信メールが詐欺メールである危険度が高いものと判断する。
【0082】
図6は、本実施例に係る詐欺メールの判断結果を出力した例示図である。
【0083】
図6に図示された通り、メールファイアウォール装置130は、<@dhl.com>と類似するドメインで受信メールが入ってきた場合、当該類似ドメインである<@dlhl.com>を検出して検出結果を受信者140または管理者に出力することができる。ここで、検出された類似ドメインは類似度および詐欺メール危険度を判断した後出力され、出力時に類似度および詐欺メール危険度を共に提供することができる。
【0084】
図7は本発明の第2実施例に係るメールサーバーの概略的な構成を図示したブロック図である。
【0085】
図7を参照すると、第2実施例に係る第2メールサーバー400は、通信部310、保存部330および制御部350を含むものの、制御部350はIP確認部351、スパム処理部353、DB管理部355を含むことができる。
【0086】
通信部310はインターネット網などの通信網を通じてのデータ通信のためのものであって、第2メールサーバー400は通信部310によってメールを送信する送信者の端末またはメールを受信する受信者の端末などと通信網を通じてデータを送受信する。
【0087】
サーバー装置での通信機能は当業者には自明であるため、通信部310についてのより詳細な説明は省略する。
【0088】
保存部330にはメールサービスのための各種データ(例えば、顧客情報、送受信されたメール情報など)が保存されるが、特に第2実施例によると、ホワイトリストについての情報が保存される。第2実施例に係るホワイトリストとは、正常なメールを送信した履歴がある送信者についての情報であって、IPアドレス(IP address)を含む。ここで、送信者はメールを送信した者のコンピューティング装置であって、個人の端末装置であり得、または他のメールサーバーなどのサーバー装置であり得る。
【0089】
換言すると、第2実施例に係る第2メールサーバー400は、スパムメールではない正常なメールを送信した履歴がある送信者についての情報(IPアドレスなど)をホワイトリストとして登録してデータベース332に保存する。ホワイトリストにはIPアドレスだけでなく、その履歴(メールを送信した日など)をさらに保存することもできる。すなわち、Aという送信者が正常なメールを送信したのであれば、AのIPアドレスとそのメールを送信した履歴(日、時間などの日時情報など)についての情報をホワイトリストとして保存する。
【0090】
制御部350は、各機能部(通信部310および保存部330等)の全般的な制御機能を遂行するものの、特に受信されたメールを送信しようとする送信者のIPアドレスを利用して当該送信者が正常なメールを送信しようとする正常な送信者であるか、それともスパムメールを送信しようとするボットネットであるかの可否などを判断し、それによりメール受信を処理する。
【0091】
IP確認部351は、メールを送信したか試みる(セッション連結後メール送信)送信者のIPアドレスを確認し、そのIPアドレスがホワイトリストとして登録されてあるかの可否を判断する。送信者のIPアドレスがホワイトリストとしてあらかじめ登録されてあるかの可否が確認されると、当該確認された情報に基づいてスパム処理部353は送信者からのメールについて正常処理またはスパムメール処理を遂行する。
【0092】
一例によると、スパム処理部353は、送信者のIPアドレスがホワイトリストに登録されていない場合、当該メールに対する受信拒絶処理を遂行する。もちろん、その反対にホワイトリストに送信者のIPアドレスが登録されている場合には、当該メールがボットネットによるスパムではなく正常な送信者によるメールとみなして正常にメールを受信処理する。
【0093】
そして、スパム処理部353は、受信拒絶処理した後、特定の時間内に同じ送信者からメール送信が再び試みられると、当該メールを正常に受信する。
【0094】
例えば、第2メールサーバー400は、送信者のIPアドレスがデータベース332に保存されたホワイトリストとして登録されていない新規IPアドレスの場合、初期接続1回に限ってSMTP Reply Code 421に回答後セッション連結を終了し、その時点の以降に同じ送信者でのセッションの連結は正常にメールを受信することである。一般にSMTP規約(RFC821)に基づいて、正常なメール送信サーバーは421 Reply Codeを受信した場合、短い時間の後にセッションの連結をやり直してメール交信に問題がないように構築されている。したがって、初期接続1回の連結の試みで終わるボットネットによったスパムメールを検出してボットネットによる被害を予防することができるのである。
【0095】
送信者からのメール再送信によって正常にメール受信が処理されると、DB管理部355は当該送信者のIPアドレスをホワイトリストとして登録する。すなわち、DB管理部355は、データベースに情報を登録、修正、削除する管理機能を遂行するが、送信者のIPアドレスがホワイトリストに存在しない新規IPアドレスであって、正常な送信者と判断された場合には、当該送信者についての情報(IPアドレスおよび履歴など)をホワイトリストとして新しく登録するのである。
【0096】
また、DB管理部355はホワイトリストとして登録された各送信者についての情報を更新することができるが、例えば一定期間(例えば、一ヶ月)内に新しいメールを送信した履歴がない送信者はホワイトリストから削除され得る。その他にも多様な条件によってホワイトリストとして登録された送信者情報を修正および更新することができ、これについては詳細に後述する。
【0097】
そして、図面には図示していないが、保存部330にはブラックリストがさらに保存され得るが、ブラックリストにはボットネットと判断された送信者についての情報(例えばIPアドレス、メール送信履歴など)が保存され得る。すなわち、スパム処理部353は新規IPアドレスを有する送信者がメール送信を試みるにしたがって受信拒絶処理をした後、当該送信者から再びメール送信の試みがないのであれば、当該送信者をボットネットとして処理することができるであろう。したがって、DB管理部355はボットネットと判断された送信者についての情報をブラックリストとして保存部330に保存し、同様に当該情報を修正したり削除したりすることができる。
【0098】
以下では第2メールサーバー400でのメール受信処理過程を説明する。
【0099】
図8は本発明の第2実施例に係るメールサーバーでのメール受信処理過程を図示したフローチャートであり、図9は本発明の第2実施例に係る正常な送信者とメールサーバー間のメールの送受信処理過程を図示したフローチャートである。
【0100】
図8を参照すると、第2メールサーバー400はメール送信者のIPアドレスを確認し(S410)、当該IPアドレスがホワイトリストとして登録されているかの可否を判断する(S420)。
【0101】
第2メールサーバー400は送信者のIPアドレスがホワイトリストに登録されていない場合、メール受信拒絶処理を遂行し(S430)、これとは異なり、ホワイトリストにあらかじめ登録されたIPアドレスである場合には正常にメールを受信処理する(S435)。
【0102】
メール受信拒絶処理された後、第2メールサーバー400は当該送信者からメールの再送信が試みられているかの可否を判断し(S440)、再送信の試みがあれば当該送信者からのメールを正常に受信処理し、送信者情報(IPアドレスなど)をホワイトリストに登録する(S450)。
【0103】
そして、一例による図面に図示された通り、第2メールサーバー400は特定時間が経過するまでにメール再送信の試みがなければ当該送信者をボットネットとして処理する(S455)。もちろんこれは一つの例に過ぎず、メール受信拒絶処理後、特定時間が経過するまでにメール再送信の試みがない場合にはいかなる処理もしなくてもよい。
【0104】
理解の便宜のために、ボットネットでない正常な送信者と第2メールサーバー400間のメール送受信処理過程について説明する。
【0105】
図8を参照すると、正常な送信者320がメール送信のために第2メールサーバー400にセッションを連結すると(S510)、第2メールサーバー400は当該送信者320のIPアドレスを確認して(S520)ホワイトリストとして登録されていない新規のIPアドレスであるかの可否を判断する(S530)。万一、正常な送信者320のIPアドレスがホワイトリストに登録されている場合、第2メールサーバー400は正常に送信者320からのメールを受信処理する(S540)。
【0106】
これとは異なり、正常な送信者320のIPアドレスがホワイトリストに登録されていない場合、第2メールサーバー400はSMTP Reply Code 421メッセージを正常な送信者320に伝送し、連結されたセッションを終了する(S550)。
【0107】
正常な送信者320が再び第2メールサーバー400にセッションを連結してメールの再送信を試みると(S560)、第2メールサーバー400は当該送信者320からのメール受信を正常に処理し(S570)、送信者320についての情報としてIPアドレスおよびメール送信履歴を保存する(S580)。
【0108】
第2メールサーバー400は、メール受信拒絶処理後に当該送信者からのメール再送信の試みがあるかの可否を判断するが、特に期間を限定することなく再送信の試みの存在の有無を判断してもよいが、他の一例によると特定の期間内になされた再送信の試みに対してのみ正常な処理を遂行してもよい。
【0109】
ここで、前記した特定の期間はあらかじめ設定された一定の期間(例えば、1分、5分、10分、一日など)でもよいが、状況によって可変できる期間でもよい。
【0110】
再送信の試みが認められる特定の期間(以下、有効期間と称する)は、送信者または送信しようとするメールによって異なり得る。
【0111】
以下、可変的な有効期間の設定方式について詳細に説明する。
【0113】
まず、送信者の類型に応じて有効期間が設定される図10を参照すると、送信者の類型は、ホワイトリスト履歴の存在、ブラックリスト履歴の存在、新規IP(韓国内)および新規IP(海外)等に区分され得る。ホワイトリスト履歴の存在とは、送信者のIPアドレスが現在には新規のアドレスであっても以前にホワイトリストとして登録された履歴がある場合を意味する。例えば、IPアドレスaが以前にホワイトリストとして登録されていたが、あらかじめ設定された条件を満足させることができなかったためホワイトリストから削除された履歴があるのであれば、当該IPアドレスaは[ホワイトリスト履歴の存在]として区分されて有効期間は10分に設定され得るものである。
【0114】
ブラックリスト履歴の存在は、同様に送信者のIPアドレスが上述したようなブラックリストとして登録された履歴が存在する場合を意味する。ブラックリストの履歴が存在するということは、当該送信者がボットネットである可能性がより高いと判断され得るので、有効期間をより短く設定するのであり、その反対にホワイトリストの履歴が存在するということは当該送信者がボットネットではない可能性が高いので有効期間をもう少し長く設定するのである。
【0115】
新規IPの場合には、前記2つの条件を満足しないものであって、いかなる履歴もない新しいIPアドレスである場合であり、国内と海外に区分され得る。一般にIPアドレスの体系は国ごとに割り当てられるアドレス帯域が定められており、IPアドレスだけでも国を確認することができる。したがって、送信者のIPアドレスを通じて送信者が国内に存在するのかまたは海外に存在するのかが分かる。
【0116】
他の一例による図11を参照すると、送信者が送信しようとするメールを受信し、当該メールを分析することによって、それにより有効期間を設定することもできる。もちろんこのためには、送信者とのセッションの連結後にすぐに受信拒絶処理するのではなく、まずメールを受信しなければならないという手続きが必要である。
【0117】
メールの総容量、添付ファイルの存在の有無およびその個数/容量、他のウェブサイトなどへのリンクの存在の有無、特定のテキスト(例えば、広告、会員加入、住民番号など)の存在の有無によって有効期間が異なり得る。例えば、図面に図示された通り、ファイルの容量が大きいほど、添付ファイルが添付されるほど、リンクが存在するほど、特定のテキストが存在するほど有効期間は反比例して短くなり得る。
【0118】
そして、上述した通り、第2メールサーバー400はホワイトリスト(またはブラックリスト)を管理するが、新しいIPアドレスを登録したり、既存に登録されたIPリストを削除することもできる。一例によると、各IPアドレスごとに同じ維持期間(例えば、一ヶ月など)が設定され得、新しくメールを送信したIPアドレスについてはその維持期間が初期化され得る。例えば、IPアドレスaがホワイトリストとして登録されると維持期間がカウントされ、維持期間が経過するまでにIPアドレスaから新しいメールの送信がなければホワイトリストからIPアドレスaは削除されるのであり、維持期間が経過する前に新しいメールの送信が処理されるとその時点から再び維持期間はカウントされるのである。
【0119】
他の実施例によると、前記した維持期間も可変的に設定され得るが、一例によるとメールの履歴によってIPアドレスの維持期間が変わり得る。
【0120】
図12は本発明の第2実施例に係る第2メールサーバー400が各IPアドレスのメール送信履歴に基づいて維持期間を設定してホワイトリストを管理する概略的な手続きを図示したフローチャートである。
【0121】
図12を参照すると、第2メールサーバー400はホワイトリストに登録されたIPアドレスごとに、メールの送信履歴を確認する
【0122】
ここで、第2実施例では送信者から送信されたメールの履歴のみを利用するものを例に挙げたが、他の一例によると当該IPアドレスを目的地として送信されるメールも履歴として活用され得る。
【0123】
メールの送信回数(総回数または一定期間の間の回数)、メール送信の平均周期、送信されたメールの平均容量または平均添付ファイルの数等がメールの送信履歴として確認され得る。
【0124】
第2メールサーバー400は各IPアドレスのメール履歴に応じた維持期間を設定する(S620)。例えば、メールの送信回数が多いほど維持期間がより短く設定され得、またはメールの送信平均周期が長いほど維持期間も長く設定され得、またはメールの平均容量または添付ファイルの数が多い又はその容量が大きいほど維持期間は短く設定され得る。
【0125】
第2メールサーバー400はこのようにそれぞれ設定されたIPアドレスの維持時間に基づいてホワイトリストを管理するが、万一、維持期間が経過するまでに新しいメールの送信を遂行していないIPアドレスが存在するのであれば当該IPアドレスをホワイトリストから削除する。
【0126】
前述した本発明に係る送信者のIPアドレスを利用したスパムメール処理方法は、コンピュータ可読記録媒体にコンピュータが読み取りできるコードとして具現することが可能である。コンピュータ可読記録媒体としては、コンピュータシステムによって解読され得るデータが保存されたすべての種類の記録媒体を含む。例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、磁気テープ、磁気ディスク、フラッシュメモリー、光データ保存装置などであり得る。また、コンピュータ可読記録媒体はコンピュータ通信網に連結されたコンピュータシステムに分散され、分散方式で読み取りできるコードとして保存され実行され得る。
【0127】
本発明の第3実施例による詐欺性メールの危険度を判断する方法及びそのための装置は、前記の実施例による詐欺性メールの危険度を判断する方法及びそのための装置の構成に加えて、メール防火壁130にイメージ変換部240をさらに備える。図13は、イメージ変換部240が詐欺性メールを受信者に転送することを表す順次図であり、図14は、メールファイアウォール装置130とイメージ変換部240を表す図面である。イメージ変換部240は、受信されたメールが詐欺性メールと判断される場合や、その他に悪性コードが含まれていると認知した場合、当該メールのtext形式の本文をイメージ変換させる。詳細に、イメージ変換部240は、受信したメールが詐欺性メールと分類された場合、text 形式の本文をイメージに変換させ、これを受信者に転送することで、使用者が text形式の本文リンクを接続し、悪性コードに感染されることを防止できる。追加的に、詐欺性メールと分類され、イメージかしたファイルが使用者に転送された場合、詐欺性メールの原文は、第1メールサーバー120やメールファイアウォール装置240、または、その他の記録媒体に記録でき、記録された詐欺性メールの原文は、使用者によって閲覧できる。詳細に、イメージ化され、使用者に転送されるメールは、使用者が原文を閲覧できるように原文が記録された位置のリンクが一緒に含まれるように転送される。また、詐欺性メールと分類された場合、 text形式の添付ファイルがあると、前記のように添付ファイルもイメージ化した後これを使用者に転送する。また、添付されたファイルがイメージである場合も、前記のようにさらにイメージ化されることで、イメージに含まれた悪性コードを遮断できる。
【0128】
以上の説明は本実施例の技術思想を例示的に説明したものに過ぎず、本実施例が属する技術分野で通常の知識を有する者であれば、本実施例の本質的な特性から逸脱しない範囲で多様な修正および変形が可能であろう。したがって、本実施例は本実施例の技術思想を限定するためのものではなく説明するためのものであって、このような実施例によって本実施例の技術思想の範囲が限定されるものではない。本実施例の保護範囲は下記の特許請求の範囲によって解釈されるべきであり、それと同等な範囲内にあるすべての技術思想は本実施例の権利範囲に含まれるものと解釈されるべきである。
【符号の説明】
【0129】
110:送信者120:第1メールサーバー
130:メールファイアウォール装置
140:受信者
210:ドメイン抽出部
220:ドメイン比較部
222:類似文字DB
224:本文検査部
230:危険度分析部
240:イメージ変換部
310:通信部
320:正常な送信者
330:保存部
332:ホワイトリスト
350:制御部
351:IP確認部
353:スパム処理部
355:DB管理部
400:第2メールサーバー