特許第6493497号(P6493497)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > キヤノンマーケティングジャパン株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ キヤノンマーケティングジャパン株式会社の特許一覧 ▶ キヤノンITソリューションズ株式会社の特許一覧

特許6493497情報処理装置、情報処理方法、プログラム
<>
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000002
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000003
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000004
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000005
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000006
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000007
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000008
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000009
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000010
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000011
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000012
  • 特許6493497-情報処理装置、情報処理方法、プログラム 図000013
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6493497
(24)【登録日】2019年3月15日
(45)【発行日】2019年4月3日
(54)【発明の名称】情報処理装置、情報処理方法、プログラム
(51)【国際特許分類】
   G06F 13/00 20060101AFI20190325BHJP
【FI】
   G06F13/00 610Q
【請求項の数】7
【全頁数】18
(21)【出願番号】特願2017-230618(P2017-230618)
(22)【出願日】2017年11月30日
【審査請求日】2018年10月16日
(73)【特許権者】
【識別番号】390002761
【氏名又は名称】キヤノンマーケティングジャパン株式会社
(73)【特許権者】
【識別番号】592135203
【氏名又は名称】キヤノンITソリューションズ株式会社
(74)【代理人】
【識別番号】100189751
【弁理士】
【氏名又は名称】木村 友輔
(72)【発明者】
【氏名】田中 靖大
【審査官】 佐々木 洋
(56)【参考文献】
【文献】 特開2009−188671(JP,A)
【文献】 特開2004−127145(JP,A)
【文献】 特開2007−193717(JP,A)
【文献】 特開2012−078922(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
組織名と電子メールの送信元に係る情報とを対応付けて記憶するコンピュータを、
受信した電子メールの本文について、行ごとに行種別を特定する行種別特定手段と、
前記行種別特定手段により特定された行種別が所定の行種別である行から組織名を抽出する抽出手段と、
前記抽出手段により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定手段と、
前記特定手段により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知手段として機能させるためのプログラム。
【請求項2】
前記抽出手段を、前記行種別特定手段により、行種別が名乗りとして特定された行から組織名を抽出する手段として機能させるための請求項1に記載のプログラム。
【請求項3】
前記抽出手段を、前記行種別特定手段により、行種別が署名部として特定された行から組織名を抽出する手段として機能させるための請求項1または2に記載のプログラム。
【請求項4】
前記抽出手段を、前記電子メールのヘッダ情報から組織名を抽出する手段として機能させるための請求項1乃至3のいずれか1項に記載のプログラム。
【請求項5】
前記通知手段を、前記抽出手段により抽出された組織名から特定される送信元と、当該電子メールの送信元とを異なる形態で表示することで、警告を通知する手段として機能させるための請求項1乃至4のいずれか1項に記載のプログラム。
【請求項6】
組織名と電子メールの送信元に係る情報とを対応付けて記憶する記憶手段と、
受信した電子メールの本文について、行ごとに行種別を特定する行種別特定手段と、
前記行種別特定手段により特定された行種別が所定の行種別である行から組織名を抽出する抽出手段と、
前記抽出手段により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定手段と、
前記特定手段により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知手段と、
を備えることを特徴とする情報処理装置。
【請求項7】
組織名と電子メールの送信元に係る情報とを対応付けて記憶する情報処理装置における情報処理方法であって、
前記情報処理装置の行種別特定手段が、受信した電子メールの本文について、行ごとに行種別を特定する行種別特定工程と、
前記情報処理装置の抽出手段が、前記行種別特定工程により特定された行種別が所定の行種別である行から組織名を抽出する抽出工程と、
前記情報処理装置の特定手段が、前記抽出工程により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定工程と、
前記情報処理装置の通知手段が、前記特定工程により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知工程と、
を備えることを特徴とする情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法、プログラムに関する。
【背景技術】
【0002】
近年、特定の組織や人物から金銭や重要情報の窃取を目的とした標的型攻撃が増加している。標的型攻撃では、目的を達成するために、標的となる組織や人物に特化した情報に基づき、多様な手法を組み合わせて攻撃が行われる。
【0003】
標的型攻撃における初期侵入手段としては、標的型攻撃メールと呼ばれる電子メールを用いる方法が典型的である。標的型攻撃メールでは、標的となる受信者の興味を引く内容や、受信者が自身と関連があると誤認する内容を本文に記載し、電子メールに添付したファイルや記載されたリンク先に仕込まれた不正プログラムを実行させることを狙う。標的が不正プログラムを実行してしまうとバッグドアが設置され更なる攻撃の侵入口となってしまう。
【0004】
標的型攻撃メールには大きく分けて2つの種類がある。1つめは、特定の個人を標的とした「やりとり型攻撃」であり、2つめは、多くの人に当てはまる属性に関する内容のメールを不特定多数に送信することで、特定の属性を持つ人を標的とする「ばらまき型攻撃」である。
【0005】
「ばらまき型攻撃」では、多くの人に当てはまる属性が使われるため、利用者の多いサービスや商品を扱う組織からの通知や連絡を偽装することが多い。
【0006】
詐称される組織は、一般的に認知度、信頼度ともに高く、標的となったユーザは組織の名前だけで無条件に信頼してしまいがちである。また、メールアドレスやURLが実際に該当組織に所属することを判断するには、メールアドレスはURLにおいて組織に対応するドメイン部から判断する必要があり、一般的なユーザには難しい。
【0007】
特許文献1には、電子メール本文に記載されたURLと、予め登録されている組織名を抽出し、抽出したURLと組織名の位置関係からそれらを関連付け、組織名に関連づけられた抽出URLが予め組織名と関連付けられたURLリストに含まれているかにより正当性を判定する技術が開示されている。
【0008】
また、特許文献2には、電子メール本文に記載されたURLを抽出し、URLのドメインと電子メールの差出人アドレスのドメインを比較し、一致しなければ警告を発する技術が開示されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−156690号公報
【特許文献2】特許第4429971号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
特許文献1および特許文献2ともにフィッシング対策の技術でありURLの正当性を検証する手段となっており、メールによる詐欺そのものを判定しているわけではないため、添付ファイルによる攻撃には対応できないという課題がある。
【0011】
また、特許文献2は、攻撃者が正当なアドレスを用いて、差出人を詐称している場合には有効ではあるが、攻撃者が正当なアドレスと誤認するようなドメインを使用し、URLと差出人アドレスのドメインが一致している場合は、検出することができないという課題がある。
【0012】
そのため、受信した電子メールが、本文冒頭における名乗りや末尾の署名において自称している組織の正当なアドレスから送信されたか否かを判定できることが望まれる。
【0013】
そこで、本発明は、電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐことを目的とする。
【課題を解決するための手段】
【0014】
本発明の情報処理装置は、電子メール本文から組織名を抽出する抽出手段と、前記抽出手段により抽出された組織名に対応するドメインを特定するドメイン特定手段と、前記ドメイン特定手段により特定されたドメインと、前記電子メールの差出人アドレスのドメインとに基づき、組織詐称の可能性を通知する通知手段と、を備えることを特徴とする。
【発明の効果】
【0015】
本発明によれば、電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐことが可能となる。
【図面の簡単な説明】
【0016】
図1】本発明の実施形態における、組織詐称メール検査装置のシステム構成の一例を示す図である。
図2】本発明の実施形態における、組織詐称メール検知装置のハードウェア構成の一例を示すブロック図である。
図3】本発明の実施形態における、組織詐称メール検知装置の機能構成の一例を示す図である。
図4】本発明の実施形態における、メールを検査する処理の一例を示すフローチャートである。
図5】本発明の実施形態における、メール本文における挨拶部の組織名を抽出する処理の一例を示すフローチャートである。
図6】本発明の実施形態における、判定知識保存領域の構成の一例を示す図である。
図7】本発明の実施形態における、行種別テーブルの一例を示す図である。
図8】本発明の実施形態における、組織ドメインテーブルの一例を示す図である。
図9】本発明の実施形態における、電子メールの一例を示す図である。
図10】本発明の実施形態における、メール本文における署名部の組織名を抽出する処理の一例を示すフローチャートである。
図11】本発明の実施形態における、メールの組織詐称を判定する処理の一例を示すフローチャートである。
図12】本発明の実施形態における、メール閲覧画面の一例を示す図である。
【発明を実施するための形態】
【0017】
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0018】
図1は、本発明の実施形態における組織詐称メール検査装置のシステム構成の一例を示す図である。
【0019】
組織詐称メール検査装置100と、メールサーバ120とは、ローカルエリアネットワーク130を介して接続される構成となっている。またメールサーバ120は、外部ネットワーク140に接続可能な構成となっている。
【0020】
組織詐称メール検査装置100は、一般的な電子メールクライアントの機能を持ち、電子メールの閲覧機能とメールサーバからの受信機能を有する。
【0021】
更に、受信した電子メールを表示する際に、表示する電子メールに対する組織詐称の有無の判定を行ない、電子メールが組織詐称の可能性があると判断された場合、電子メールの組織詐称箇所を強調表示し目視確認を促す。
【0022】
メールサーバ120は一般的なメールの受信サーバ(POP3またはIMAPサーバ)であり、外部またはローカルの送信先から受け取ったメールを電子メールクライアントの要求に応じて転送する。
【0023】
本実施形態では、組織詐称メール検査装置を電子メールクライアントとした場合について説明するが、ゲートウェイ型の電子メール監査システムやWebメールシステムとして実施しても構わない。
【0024】
図2は、本発明の実施形態における組織詐称メール検査装置(情報処理装置)100のハードウェア構成の一例を示すブロック図である。
【0025】
図2に示すように、情報処理装置は、システムバス204を介してCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、よび通信I/Fコントローラ208が接続される。
【0026】
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
【0027】
ROM202あるいは外部メモリ211は、CPU201が実行する制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、本情報処理方法を実現するためのコンピュータ読み取り実行可能なプログラムおよび必要な各種データ(データテーブルを含む)を保持している。
【0028】
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
【0029】
入力コントローラ205は、キーボード209や不図示のマウス等のポインティングデバイス等の入力装置からの入力を制御する。入力装置がタッチパネルの場合、ユーザがタッチパネルに表示されたアイコンやカーソルやボタンに合わせて押下(指等でタッチ)することにより、各種の指示を行うことができることとする。
【0030】
また、タッチパネルは、マルチタッチスクリーンなどの、複数の指でタッチされた位置を検出することが可能なタッチパネルであってもよい。
【0031】
ビデオコントローラ206は、ディスプレイ210などの外部出力装置への表示を制御する。ディスプレイは本体と一体になったノート型パソコンのディスプレイも含まれるものとする。なお、外部出力装置はディスプレイに限ったものははく、例えばプロジェクタであってもよい。また、前述のタッチ操作を受け付け可能な装置については、入力装置も提供する。
【0032】
なおビデオコントローラ206は、表示制御を行うためのビデオメモリ(VRAM)を制御することが可能で、ビデオメモリ領域としてRAM203の一部を利用することもできるし、別途専用のビデオメモリを設けることも可能である。
【0033】
メモリコントローラ207は、外部メモリ211へのアクセスを制御する。外部メモリとしては、ブートプログラム、各種アプリケーション、フォントデータ、ユーザファイル、編集ファイル、および各種データ等を記憶する外部記憶装置(ハードディスク)、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等を利用可能である。
【0034】
通信I/Fコントローラ209は、ネットワークを介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信やISDNなどの電話回線、および携帯電話の3G回線を用いた通信が可能である。
【0035】
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0036】
次に図3を用いて、組織詐称メール検査装置(情報処理装置)の機能について説明する。
【0037】
一覧表示部301は、メールサーバ120から受信した電子メールを表示部に一覧表示する機能を備える。一覧表示された電子メールに対する選択を受け付ける(閲覧要求を受け付ける)ことで、図4のフローチャートで示す処理が実行される。
【0038】
検査処理部302は、図4図5図10図11のフローチャートで示す処理を実行する機能を備える。詳細は、各フローチャートを用いて説明する。
【0039】
判定知識保存領域は、図7図8に示すデータが保存された領域である。
【0040】
閲覧処理部304は、閲覧要求を受け付けた電子メールを表示する機能を備え、組織詐称の可能性がある旨の通知等を行う機能を備える
【0041】
(メール検査処理)
次に図4のフローチャートを用いて、本発明の実施形態における検査処理部302が実行する電子メールの検査処理について説明する。
【0042】
図4のフローチャートは、組織詐称メール検査装置100のCPU201が所定の制御プログラムを読み出して実行する処理であり、一覧表示部301において閲覧を指示された電子メールを表示する前に実行される処理を示すフローチャートである。
【0043】
ステップS401では、検査処理部302は、メール受信処理部301で閲覧を指示された電子メールを取得する。
【0044】
ステップS402では、検査処理部302は、ステップS401で受け取った電子メールから電子メール本文冒頭の挨拶部を特定し、挨拶部に記述されている組織名を抽出する。本ステップの処理の詳細は、図5のフローチャートを用いて後述する。
【0045】
ステップS403では、検査処理部302は、ステップS401で受け取った電子メールから電子メール本文末尾の署名部を特定し、署名部に記述されている組織名を抽出する。本ステップの処理の詳細は、図10のフローチャートを用いて後述する。
【0046】
ステップS404では、検査処理部302は、電子メールヘッダの差出人のフィールド(From)の実名部から組織名を抽出する。
【0047】
ステップS405では、検査処理部302は、ステップS402からS404で取得した組織名と差出人アドレスから組織詐称の有無を判定する。本ステップの処理の詳細は、図11のフローチャートを用いて後述する
【0048】
(挨拶部組織名抽出処理)
次に図5のフローチャートを用いて、ステップS402の挨拶部組織名抽出処理について説明する。
【0049】
ステップS501では、検査処理部302は、ステップS401で取得した電子メールの本文から空行と引用行を除去する。引用行は、返信メールや転送メール等において、返信元のメールや転送元のメールに記載されていた部分である。行頭に「>」が付されていること等に基づき判断することが可能である。
【0050】
ステップS502では、検査処理部302は、ステップS501で空行と引用行が除去された本文の先頭から規定数だけ行を取得する。
【0051】
ステップS503では、検査処理部302は、ステップS502で取得した行に対して、ステップS508までの繰り返し処理を開始する。
【0052】
ステップS504では、検査処理部302は、図6に示す判定知識保存領域303における行種別テーブル601を用いて、対象の行の種別を判定する。
【0053】
行種別の判断は、行種別テーブル601に登録されたパターン(正規表現)に合致した種別と判断される。合致するパターンがない場合、種別は「なし」とする。行種別テーブル601の一例を図7に示す。
【0054】
本発明の実施形態では、正規表現を用いたが、単語や特定文字列の出現頻度や割合などにより判断するように構成しても構わない。
【0055】
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「挨拶」「宛名」「名乗り」のいずれかと判定された場合は、ステップS506に処理を移す。行種別が「挨拶」「宛名」「名乗り」のいずれでもないと判断された場合、処理を終了する。
【0056】
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「名乗り」と判定された場合は、ステップS507に処理を移す。行種別が「名乗り」でないと判断された場合、ステップS508に処理を移す。
【0057】
ステップS507では、検査処理部302は、対象の行から組織名を抽出し、処理を終了する。
【0058】
組織名の抽出については、詳細は省略するが、判定知識保存領域303における組織ドメインテーブル602における「組織名」および「別名・ブランド名」に登録されている文字列を抽出する。組織ドメインテーブル602の一例を図8に示す。
【0059】
ステップS508では、検査処理部302は、処理対象となる行がまだあれば、ステップS503からの繰り返し処理を実施する。処理対象となる行がなければ、処理を終了する。
【0060】
結果として、電子メール冒頭の挨拶部分で、差出人が自称している組織名を取得する
【0061】
(挨拶部組織名抽出処理具体例)
次に挨拶部組織名抽出処理の具体例として、図9に示す電子メール901に対して図5に示す処理が実施された場合について説明する。
【0062】
ステップS501では、検査処理部302は、電子メール901の本文904から空行と引用行を除去する。
【0063】
ステップS502では、検査処理部302は、ステップS501で空行と引用行が除去された本文904の先頭から規定数だけ行を取得する(905)。本具体例では規定数を5とする。
【0064】
ステップS503では、検査処理部302は、ステップS502で取得した行「ニューセレクト 近藤様」に対して、ステップS508までの繰り返し処理を開始する。
【0065】
ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「ニューセレクト 近藤様」の種別を「宛名」(701に合致)と判定する。
【0066】
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「宛名」と判定されたので、ステップS506に処理を移す。
【0067】
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「宛名」と判定されたので、ステップS508に処理を移す。
【0068】
ステップS508では、検査処理部302は、処理対象となる行「お世話になっております。」があるので、ステップS503からの繰り返し処理を実施する。
【0069】
ステップS503では、検査処理部302は、次の行「お世話になっております。」に対して、ステップS508までの繰り返し処理を開始する。
【0070】
ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「お世話になっております。」の種別を「挨拶」(702に合致)と判定する。
【0071】
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「挨拶」と判定されたので、ステップS506に処理を移す。
【0072】
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「挨拶」と判定されたので、ステップS508に処理を移す。
【0073】
ステップS508では、検査処理部302は、処理対象となる行「長防銀の大村です。」がまだあるので、ステップS503からの繰り返し処理を実施する。
【0074】
ステップS503では、検査処理部302は、次の行「長防銀の大村です。」に対して、ステップS508までの繰り返し処理を開始する。
【0075】
ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「長防銀の大村です。」の種別を「名乗り」(703に合致)と判定する。
【0076】
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行「長防銀の大村です。」の行種別が「名乗り」と判定されたので、ステップS506に処理を移す。
【0077】
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行「長防銀の大村です。」の行種別が「名乗り」と判定されたので、ステップS507に処理を移す。
【0078】
ステップS507では、検査処理部302は、対象の行「長防銀の大村です。」から組織名「長防銀」(801に合致)を抽出し、処理を終了する。
【0079】
結果として、電子メール901冒頭から、差出人が自称している組織名として「長防銀」を取得する
【0080】
(署名部組織名抽出処理)
次に図10のフローチャートを用いて、ステップS403の署名部組織名抽出処理について説明する。
【0081】
ステップS1001では、検査処理部302は、一時領域に署名部バッファを確保し初期化する。
【0082】
ステップS1002では、検査処理部302は、ステップS401で取得した電子メールの本文から空行と引用行を除去する。
【0083】
ステップS1003では、検査処理部302は、ステップS1002で空行と引用行が除去された本文の末尾から規定数だけ行を取得する。
【0084】
ステップS1004では、検査処理部302は、ステップS1003で取得した行に対して、末尾からステップS1008までの繰り返し処理を開始する。
【0085】
ステップS1005では、検査処理部302は、ステップS504と同様に、判定知識保存領域303における行種別テーブル601を用いて、対象行の行種別を判定する。
【0086】
ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行の行種別が「本文」または「本文末」と判定された場合は、ステップS1009に処理を移す。行種別が「本文」または「本文末」でないと判断された場合、ステップS1007に処理を移す。
【0087】
ステップS1007では、検査処理部302は、対象行を署名バッファに追加する。
【0088】
ステップS1008では、検査処理部302は、処理対象となる行がまだあれば、ステップS1004からの繰り返し処理を実施する。処理対象となる行がなければ、ステップS1009に処理を移す。
【0089】
ステップS1009では、検査処理部302は、ステップS507と同様に、署名部バッファに追加された行から組織名を抽出する。
【0090】
結果として、電子メール末尾の署名部分で、差出人が自称している組織名を取得する
【0091】
(署名部組織名抽出処理具体例)
次に署名部組織名抽出処理の具体例として、図9に示す電子メール901に対して図10に示す処理が実施された場合について説明する。
【0092】
ステップS1001では、検査処理部302は、一時領域に署名部バッファを確保し初期化する。
【0093】
ステップS1002では、検査処理部302は、電子メール901の本文904から空行と引用行を除去する。
【0094】
ステップS1003では、検査処理部302は、ステップS1002で空行と引用行が除去された本文904の末尾から規定数だけ行を取得する(907)。本具体例では規定数を8とする。
【0095】
ステップS1004では、検査処理部302は、ステップS1003で取得した末尾の行「■■■■■■■■■■■■■■■■■■■■■■」に対して、からステップS1008までの繰り返し処理を開始する。
【0096】
ステップS1005では、検査処理部302は、図7の行種別テーブル601を用いて、対象行「■■■■■■■■■■■■■■■■■■■■■■」に合致するルールがないので行種別を「なし」と判定する。
【0097】
ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行「■■■■■■■■■■■■■■■■■■■■■■」の行種別が「なし」と判断されたので、ステップS1007に処理を移す。
【0098】
ステップS1007では、検査処理部302は、対象行「■■■■■■■■■■■■■■■■■■■■■■」を署名バッファに追加する。
【0099】
ステップS1008では、検査処理部302は、処理対象となる行「大村 益二」がまだあるので、ステップS1004からの繰り返し処理を実施する。
【0100】
以下、「大村 益二」、「E−Mail: oomura@chobo−bank.co.jp」、「Tel: XXXXXXX FAX:YYYYYYY」、「長防銀行 本店 営業部」、「長防銀行 本店 営業部」の各行についても同様の処理を行う。
【0101】
ステップS1004では、検査処理部302は、ステップS1003で取得した行「以上」に対して、末尾からステップS1008までの繰り返し処理を開始する。
【0102】
ステップS1005では、検査処理部302は、図7の行種別テーブル601を用いて、対象行「以上」の行種別を「本文末」(704に合致)と判定する。
【0103】
ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行「以上」の行種別が「本文末」と判断されたので、ステップS1009に処理を移す。
【0104】
ステップS1009では、検査処理部302は、ステップS507と同様に、署名部バッファに追加された行(908と同内容)から組織名「長防銀行」を抽出する。
【0105】
結果として、電子メール901末尾署名部から、差出人が自称している組織名として「長防銀行」を取得する。
【0106】
(組織詐称判定処理)
次に図11のフローチャートを用いて、ステップS405の組織詐称判定処理について説明する。
【0107】
ステップS1101では、検査処理部302は、一時領域に結果バッファを確保し初期化する。
【0108】
ステップS1102では、検査処理部302は、ステップS401で取得した電子メールのヘッダーにおける差出人(From)のアドレスからドメイン部分を差出人ドメインとして取得する。
【0109】
ステップS1103では、検査処理部302は、ステップS402からステップS404で取得した組織名に対して、ステップS1109までの繰り返し処理を開始する。
【0110】
ステップS1104では、検査処理部302は、組織ドメインテーブル602を用いて、対象の組織名に対するドメインを組織ドメインとして取得する。
【0111】
ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメインに対して、ステップS1107までの繰り返し処理を開始する。
【0112】
ステップS1106では、検査処理部302は、対象となる組織ドメインと差出人ドメインを比較し、一致すればステップS1109に処理を移す。一致しなければステップS1107に処理を移す。
【0113】
ステップS1107では、検査処理部302は、処理対象となる組織ドメインがまだあれば、ステップS1105からの繰り返し処理を実施する。処理対象となる組織ドメインがなければ、ステップS1108に処理を移す。
【0114】
ステップS1108では、検査処理部302は、差出人ドメインと組織名の組み合わせを結果バッファに追加する。
【0115】
ステップS1109では、検査処理部302は、処理対象となる組織名がまだあれば、ステップS1103からの繰り返し処理を実施する。処理対象となる行がなければ、処理を終了する。
【0116】
結果として、電子メールの本文において組織を自称しているが、差出人アドレスのドメインが、自称した組織が使用するドメインと異なる場合、差出人アドレスと自称した組織の差異を結果バッファに取得する。
【0117】
結果バッファが空であれば、差出人ドメインすべてが対応する正当なドメインがあったことを示し詐称がないと判断することが可能となる。結果バッファが空でなければ、差出人のドメインが対応する正当なドメインが存在せず、組織を詐称している可能性が高いことを示しており、組織詐称と判定することが可能となる
【0118】
(組織詐称判定処理具体例)
次に組織詐称判定処理の具体例として、図9に示す電子メール901に対して図11に示す処理が実施された場合について説明する。
【0119】
ステップS1101では、検査処理部302は、一時領域に結果バッファを確保し初期化する。
【0120】
ステップS1102では、検査処理部302は、電子メール901のヘッダー902おける差出人(From)903のアドレス「oomura@chobo−bank.attacker.com」からドメイン部分「chobo−bank.attacker.com」を差出人ドメインとして取得する。
【0121】
前述した具体例に示したように、ステップS402では「長防銀」を、ステップS403では「長防銀行」を組織名として取得しており、また、ステップS404では、差出人903の実名部から「長防銀行」を抽出しており、組織名としては「長防銀」と「長防銀行」が取得されているものとする。
【0122】
ステップS1103では、検査処理部302は、組織名「長防銀」に対して、ステップS1109までの繰り返し処理を開始する。
【0123】
ステップS1104では、検査処理部302は、図8の組織ドメインテーブル602を用いて、対象の組織名「長防銀」に対するドメインを組織ドメインとして「chobo−bank.co.jp」を取得する。
【0124】
ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメイン「chobo−bank.co.jp」に対して、ステップS1107までの繰り返し処理を開始する。
【0125】
ステップS1106では、検査処理部302は、対象となる組織ドメイン「chobo−bank.co.jp」と差出人ドメイン「chobo−bank.attacker.com」を比較し、一致しないのでステップS1107に処理を移す。
【0126】
ステップS1107では、検査処理部302は、処理対象となる組織ドメインがないので、ステップS1108に処理を移す。
【0127】
ステップS1108では、検査処理部302は、差出人ドメイン「chobo−bank.attacker.com」と組織名「長防銀」の組み合わせを結果バッファに追加する。
【0128】
ステップS1109では、検査処理部302は、処理対象となる組織名「長防銀行」がまだあるので、ステップS1103からの繰り返し処理を実施する。
【0129】
ステップS1103では、検査処理部302は、組織名「長防銀行」に対して、ステップS1109までの繰り返し処理を開始する。
【0130】
ステップS1104では、検査処理部302は、図8の組織ドメインテーブル602を用いて、対象の組織名「長防銀行」に対するドメインを組織ドメインとして「chobo−bank.co.jp」を取得する。
【0131】
ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメイン「chobo−bank.co.jp」に対して、ステップS1107までの繰り返し処理を開始する。
【0132】
ステップS1106では、検査処理部302は、対象となる組織ドメイン「chobo−bank.co.jp」と差出人ドメイン「chobo−bank.attacker.com」を比較し、一致しないのでステップS1107に処理を移す。
【0133】
ステップS1107では、検査処理部302は、処理対象となる組織ドメインがないので、ステップS1108に処理を移す。
【0134】
ステップS1108では、検査処理部302は、差出人ドメイン「chobo−bank.attacker.com」と組織名「長防銀行」の組み合わせを結果バッファに追加する。
【0135】
ステップS1109では、検査処理部302は、処理対象となる組織名がもうないので、処理を終了する。
【0136】
結果として、一時領域の結果バッファに、差出人ドメイン「chobo−bank.attacker.com」、組織名「長防銀」の組と差出人ドメイン「chobo−bank.attacker.com」、組織名「長防銀行」の組の2つの組み合わせを取得する
【0137】
(メール閲覧処理)
次に、検査処理部302がメール検査処理により取得した結果バッファの情報を用いて、閲覧処理部304が、ユーザに対して、電子メールの内容を表示するとともに、組織を詐称していると判定した根拠となる箇所を強調することで、詐称の有無の判断を促すためのメール閲覧画面の一例を図12に示す。
【0138】
図12に示すメール閲覧画面では、検査処理部302で取得した結果バッファに含まれる組織名と、組織名に対する組織ドメインを強調表示する。また、結果バッファに含まれる差出人ドメインを異なる表現で強調表示する。結果として、組織名に対応していないドメインが別の表現で表示されるため、ユーザは組織が詐称されていることを容易に理解できるようになる。
【0139】
本発明の実施形態においては、電子メールに挨拶部や署名部がない場合は、組織名が抽出できず、警告を行わないが、挨拶部や署名部など自称している箇所がないことを警告するように構成してもよい。
【0140】
また、本発明の実施形態においては、電子メールのヘッダーに記載された差出人(From)のアドレスを対象として説明したが、実際の差出人アドレス(エンベロープFrom)を対象とするように構成してもよい。
【0141】
以上、情報処理装置としての実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0142】
また、本発明におけるプログラムは、図4図5図10図11に示すフローチャートの処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図4図5図10図11の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図4図5図10図11の各装置の処理方法ごとのプログラムであってもよい。
【0143】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。
【0144】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。
【0145】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。
【0146】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0147】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0148】
また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0149】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【符号の説明】
【0150】
100 組織詐称メール検査装置(情報処理装置)
120 メールサーバ
【要約】
【課題】 電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐこと
【解決手段】 受信した電子メールの本文から組織名を抽出し、抽出された組織名に対応するドメインを特定する。特定されたドメインと、前記電子メールの差出人アドレスのドメインとに基づき、組織詐称の可能性を通知する。
【選択図】 図1
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.