知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6502461
(24)【登録日】2019年3月29日
(45)【発行日】2019年4月17日
(54)【発明の名称】不正メール判定装置、不正メール判定方法、およびプログラム
(51)【国際特許分類】
H04L 12/58 20060101AFI20190408BHJP
G06F 13/00 20060101ALI20190408BHJP
【FI】
H04L12/58 100Z
G06F13/00 610Q
【請求項の数】13
【全頁数】11
(21)【出願番号】特願2017-215181(P2017-215181)
(22)【出願日】2017年11月8日
【審査請求日】2018年2月21日
(73)【特許権者】
【識別番号】500257300
【氏名又は名称】ヤフー株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100154852
【弁理士】
【氏名又は名称】酒井 太一
(74)【代理人】
【識別番号】100174986
【弁理士】
【氏名又は名称】林 康旨
(72)【発明者】
【氏名】野末 靖祐
(72)【発明者】
【氏名】三枝 勲生
(72)【発明者】
【氏名】高宮 彩夏
(72)【発明者】
【氏名】中村 成陽
【審査官】
松崎 孝大
(56)【参考文献】
【文献】
特開2007−213338(JP,A)
【文献】
特開2011−8730(JP,A)
【文献】
特開2012−78922(JP,A)
【文献】
特開2017−21760(JP,A)
【文献】
特開2017−142568(JP,A)
【文献】
特開2018−74570(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/58
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求めるハッシュ化部と、
ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記ハッシュ化部により求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定する判定部と、
を備える不正メール判定装置。
ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記ハッシュ化部により求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定する判定部と、
を備える不正メール判定装置。
【請求項2】
前記所定の処理は、前記電子メールを不正メールとしてリジェクトする処理である、
請求項1記載の不正メール判定装置。
請求項1記載の不正メール判定装置。
【請求項3】
前記所定の処理は、前記電子メールに注意喚起情報を付加する処理である、
請求項1記載の不正メール判定装置。
請求項1記載の不正メール判定装置。
【請求項4】
前記記憶部に記憶されている出現回数が基準回数以上であるハッシュ値のリストを作成するリスト作成部を更に備え、
前記判定部は、前記ハッシュ化部により求められたハッシュ値が前記リストに登録されている場合に、前記リストに登録されているハッシュ値が添付ファイルから求められた電子メールに対して前記所定の処理を行うと判定する、
請求項1から3のうちいずれか1項記載の不正メール判定装置。
前記判定部は、前記ハッシュ化部により求められたハッシュ値が前記リストに登録されている場合に、前記リストに登録されているハッシュ値が添付ファイルから求められた電子メールに対して前記所定の処理を行うと判定する、
請求項1から3のうちいずれか1項記載の不正メール判定装置。
【請求項5】
前記ハッシュ化部は、第1条件を満たす電子メールについて、当該電子メールの添付ファイルの内容をハッシュ化して求めたハッシュ値の出現回数を前記記憶部に記憶させる、
請求項1から4のうちいずれか1項記載の不正メール判定装置。
請求項1から4のうちいずれか1項記載の不正メール判定装置。
【請求項6】
前記第1条件は、前記電子メールがなりすましメールであることを含む、
請求項5記載の不正メール判定装置。
請求項5記載の不正メール判定装置。
【請求項7】
前記第1条件は、前記電子メールがなりすましメール、または、なりすましメールであるか否かが不明な電子メールであることを含む、
請求項5記載の不正メール判定装置。
請求項5記載の不正メール判定装置。
【請求項8】
前記判定部は、第2条件を満たす前記電子メールについて、前記記憶部に記憶されたハッシュ値のうち、前記ハッシュ化部により求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して前記所定の処理を行うか否かを判定する、
請求項1から7のうちいずれか1項記載の不正メール判定装置。
請求項1から7のうちいずれか1項記載の不正メール判定装置。
【請求項9】
前記第2条件は、前記電子メールがなりすましメール、または、なりすましメールであるか否かが不明な電子メールであることを含む、
請求項8記載の不正メール判定装置。
請求項8記載の不正メール判定装置。
【請求項10】
前記第2条件は、前記電子メールが、なりすましメールであるか否かが不明な電子メールであることを含み、
前記判定部は、前記電子メールがなりすましメールである場合、前記ハッシュ化部により求められるハッシュ値に拘わらず、前記電子メールに対して前記所定の処理を行うと判定する、
請求項8記載の不正メール判定装置。
前記判定部は、前記電子メールがなりすましメールである場合、前記ハッシュ化部により求められるハッシュ値に拘わらず、前記電子メールに対して前記所定の処理を行うと判定する、
請求項8記載の不正メール判定装置。
【請求項11】
前記ハッシュ化部および前記判定部は、前記電子メールの添付ファイルの拡張子が所定の拡張子でない場合、前記電子メールを前記所定の処理の対象としない、
請求項1から10のうちいずれか1項記載の不正メール判定装置。
請求項1から10のうちいずれか1項記載の不正メール判定装置。
【請求項12】
コンピュータが、
電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求め、
ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定する、
不正メール判定方法。
電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求め、
ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定する、
不正メール判定方法。
【請求項13】
コンピュータに、
電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求めさせ、
ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記求めさせたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定させる、
プログラム。
電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求めさせ、
ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記求めさせたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定させる、
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正メール判定装置、不正メール判定方法、およびプログラムに関する。
【背景技術】
【0002】
従来、ユーザ端末から受信した画像データをハッシュ化する手段と、その画像データのハッシュ値と登録された不正画像データのハッシュ値を記憶するハッシュ値記憶手段と、画像データのハッシュ値と同一のハッシュ値を、不正画像データのハッシュ値データベースから検出するハッシュ値検出手段と、ハッシュ値検出手段により、同一のハッシュ値が検出されなかった場合、画像データの画素を一または複数の経路に沿って抽出するマップ手段と、抽出した画素を示す第1マップ値と、あらかじめ認定された不正画像データの画素を前記の経路に沿って抽出した第2マップ値を記憶する手段と、第2マップ値のうち、第1マップ値と、所定の割合で同一と判断されるマップ値を検出する検出手段と、を備えた不正画像検出装置が知られている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第4740706号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記従来の技術は、オークションサイトなどに出品される際の画像をチェックすることを目的としたものであり、不適切な添付ファイルが付与された不正メールであるか否かを自動的に判定可能なものではない。
【0005】
本発明は、このような事情を考慮してなされたものであり、判定対象の電子メールが不正メールであるか否かを自動的に判定することができる不正メール判定装置、不正メール判定方法、およびプログラムを提供することを目的の一つとする。
【課題を解決するための手段】
【0006】
本発明の一態様は、電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求めるハッシュ化部と、ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記ハッシュ化部により求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定する判定部と、を備える不正メール判定装置である。
【発明の効果】
【0007】
本発明の一態様によれば、判定対象の電子メールが不正メールであるか否かを自動的に判定することができる。
【図面の簡単な説明】
【0008】
【図1】不正メール判定装置100を含むメールサーバ50の使用環境を示す図である。
【図2】第1実施形態の不正メール判定装置100の構成図である。
【図3】ハッシュ値ごと出現回数データ122の内容の一例を示す図である。
【図4】第1実施形態の不正メール判定装置100により実行される処理の流れの一例を示す図である。
【図5】第2実施形態の不正メール判定装置100Aの構成図である。
【図6】第2実施形態の不正メール判定装置100Aにより実行される処理の流れの一例を示すフローチャートである。
【図7】第3実施形態の不正メール判定装置100Bの構成図である。
【図8】第3実施形態の不正メール判定装置100Bにより実行される処理の流れの一例を示すフローチャートである。
【図9】第4実施形態の不正メール判定装置100Cの構成図である。
【発明を実施するための形態】
【0009】
以下、図面を参照し、本発明の不正メール判定装置、不正メール判定方法、およびプログラムの実施形態について説明する。
【0010】
<第1実施形態>図1は、不正メール判定装置100を含むメールサーバ50の使用環境を示す図である。メールサーバ50は、ネットワークNWを介して端末装置10から電子メールを受け取り、電子メールの宛先が示す他の端末装置10に送信する。ネットワークNWは、例えば、インターネット、WAN、LAN、プロバイダ端末、専用回線などを含む。端末装置10は、個人用または業務用のコンピュータ、携帯電話、タブレット端末などである。不正メール判定装置100は、メールサーバ50の一機能である仮想マシンであってもよいし、メールサーバ50に併設されるコンピュータ装置であってもよい。
【0011】
図1では、単にメールサーバ50と表記しているが、メールサーバは送信メールサーバと受信メールサーバに分かれて構成されてもよい。その場合、不正メール判定装置100は、(1−1)送信メールサーバから受信した電子メールのうち不正メールと判定した電子メールをリジェクトし、端末装置10に送信しない(受信バッファに格納しない)ものであってもよいし、(1−2)送信メールサーバから受信した電子メールのうち不正メールと判定した電子メールに注意喚起情報(スパムメールの可能性が高いことを示すマーク、文言、その他)を付加して端末装置10に送信するものであってもよい。また、不正メール判定装置100は、(2−1)受信メールサーバに送信しようとする電子メールのうち不正メールと判定した電子メールを内部的にリジェクトし、受信メールサーバに送信しない(送信せず破棄する)ものであってもよいし、(2−2)受信メールサーバに送信しようとする電子メールのうち不正メールと判定した電子メールに注意喚起情報を付加して受信メールサーバに送信するものであってもよい。(1−1)、(1−2)、(2−1)、または(2−2)の処理が、「所定の処理」の一例である。なお、(1−2)または(2−2)が行われる場合、注意喚起情報が付加された電子メールを受信するかどうかを、端末装置10の利用者が設定できるようにしてもよい。この場合、例えば、メールサーバ50が、端末装置10から設定情報を取得して内部的な設定を行う。以下の説明では、上記のうち(1−1)が実行されることを前提として説明する。
【0012】
図2は、第1実施形態の不正メール判定装置100の構成図である。不正メール判定装置100は、例えば、ハッシュ化部110と、記憶部120と、リスト作成部130と、判定部140とを備える。ハッシュ化部110、リスト作成部130、および判定部140は、例えば、CPU(Central Processing Unit)などのハードウェアプロセッサがプログラム(ソフトウェア)を実行することにより実現される。また、これらの構成要素のうち一部または全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、GPU(Graphics Processing Unit)などのハードウェア(回路部;circuitryを含む)によって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。
【0013】
記憶部120には、ハッシュ値ごと出現回数データ122、不正ハッシュ値リスト124などのデータが格納される。記憶部120は、例えば、HDD(Hard Disk Drive)やフラッシュメモリ、RAM(Random Access Memory)その他の記憶装置により実現される。記憶部120は、不正メール判定装置100からネットワークを介してアクセス可能な外部装置(例えば、NAS(Network Attached Storage))であってもよく、その場合、記憶部120は、不正メール判定装置100の構成要素から除外されてよい。
【0014】
ハッシュ化部110は、送信メールサーバから送られてきた電子メール(受信メール)について、まず、添付ファイルの拡張子が所定の拡張子であるか否かを判定する。所定の拡張子とは、例えば、exe、com、bat、cmd、wsf、wshなどの、実行ファイルであることを示す拡張子である。
【0015】
ハッシュ化部110は、添付ファイルの拡張子が所定の拡張子である電子メールについて、なりすましメールであるか否かを判定する。ハッシュ化部110は、例えば、SPF(Sender Policy Framework)やDKIM(Domainkeys Identified Mail)として知られる送信ドメイン認証を行うことで、電子メールがなりすましメールであるか、なりすましメールでないか、或いは、なりすましメールであるか否かが不明な電子メール(以下、Unknownと称する)であるかを判定する。
【0016】
第1実施形態において、ハッシュ化部110は、なりすましメール、或いはUnknownと判定した電子メールについて、添付ファイルの内容をハッシュ化し、ハッシュ値を求める。ハッシュ化部110は、例えば実行ファイルである添付ファイルを実行することなく、その内容(例えばプログラムコード)をハッシュ化する。そして、なりすましメールの添付ファイルから求めたハッシュ値と同じハッシュ値が、記憶部120のハッシュ値ごと出現回数データ122に登録されているか否かを判定し、登録されていればカウント値を1インクリメントし、登録されていなければハッシュ値ごと出現回数データ122に新たなレコードを作成する。図3は、ハッシュ値ごと出現回数データ122の内容の一例を示す図である。図示するように、ハッシュ値ごと出現回数データ122は、例えば、ハッシュ値に対して、出現回数と、リスト登録済フラグとが対応付けられたデータである。なお、ハッシュ化部110は、ハッシュ値ごと出現回数データ122に新たなレコードを作成した場合、出現回数を1に、リスト登録済フラグを0に設定する。
【0017】
リスト作成部130は、ハッシュ値ごと出現回数データ122におけるリスト登録済フラグが0であるハッシュ値のうち、出現回数が基準回数以上であるハッシュ値を抽出し、不正ハッシュ値リスト124に登録する。この際に、リスト作成部130は、ハッシュ値ごと出現回数データ122において、不正ハッシュ値リスト124に登録したハッシュ値に対応するリスト登録済フラグを1に設定する。
【0018】
判定部140は、ハッシュ化部110により電子メール(なりすましメール、またはUnknown)の添付ファイルから求められたハッシュ値を、不正ハッシュ値リスト124に登録されたハッシュ値のそれぞれと比較する。そして、ハッシュ化部110により電子メールの添付ファイルから求められたハッシュ値が、不正ハッシュ値リスト124に登録されたハッシュ値のいずれかと一致する場合、当該電子メールは不正メールであると判定し、リジェクトすると決定する。なお、前述したように、判定部140は、ハッシュ化部110により電子メールの添付ファイルから求められたハッシュ値が、不正ハッシュ値リスト124に登録されたハッシュ値のいずれかと一致する場合、注意喚起情報を電子メールに付加してもよい。
【0019】
不正ハッシュ値リスト124に登録されたハッシュ値は、何度も繰り返し電子メールに付与された添付ファイルから求められたものである。同じ添付ファイルが複数の電子メールに添付されて繰り返し送信されるという現象は、当該複数の電子メールが、悪意のある電子メールすなわち不正メールである蓋然性が高い現象である。従って、不正ハッシュ値リスト124に登録されたハッシュ値と一致するハッシュ値が添付ファイルから求められた電子メールは、不正メールであると判定することが妥当であるといえる。
【0020】
図4は、第1実施形態の不正メール判定装置100により実行される処理の流れの一例を示す図である。まず、ハッシュ化部110が、送信メールサーバから電子メールを受信するまで待機する(S100)。
【0021】
電子メールを受信すると、ハッシュ化部110は、受信した電子メールの添付ファイルの拡張子が所定の拡張子であるか否かを判定する(S102)。添付ファイルの拡張子が所定の拡張子でない場合、判定部140は、電子メールをリジェクトしないと決定する(S104)。
【0022】
添付ファイルの拡張子が所定の拡張子であると判定した場合、ハッシュ化部110は、受信した電子メールがなりすましメールであるか否かを判定する(S106)。電子メールがなりすましメールで無い場合、判定部140は、電子メールをリジェクトしないと決定する(S104)。
【0023】
受信した電子メールがなりすましメールであると判定した場合、ハッシュ化部110は、添付ファイルのハッシュ値を求め(S108)、ハッシュ値ごと出現回数データ122を更新する(S110)。リスト作成部130は、ハッシュ値ごと出現回数データ122が更新されたのに応じて、不正ハッシュ値リスト124を更新する(S112)。そして、判定部140は、S108で求められたハッシュ値が不正ハッシュ値リスト124に登録されているか否かを判定する(S114)。判定部140は、S108で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトしないと決定し(S104)、S108で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトすると決定する(S116)。
【0024】
一方、受信した電子メールがUnknownであると判定した場合、ハッシュ化部110は、添付ファイルのハッシュ値を求める(S118)。そして、判定部140は、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されているか否かを判定する(S114)。判定部140は、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトしないと決定し(S104)、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトすると決定する(S116)。
【0025】
なお、図4のフローチャートにおいて、ハッシュ化部110、リスト作成部130、および判定部140の処理が全て同期して実行されるように表現したが、これに限らず、例えば、ハッシュ化部110、および判定部140の処理はリアルタイムで実行され、リスト作成部130の処理はバッチ処理で実行されるようにしてもよい。
【0026】
以上説明した第1実施形態の不正メール判定装置100によれば、電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求めるハッシュ化部110と、ハッシュ値ごと出現回数データ122を記憶した記憶部120に記憶されたハッシュ値のうち、ハッシュ化部110により求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、電子メールを不正メールとしてリジェクトするか否かを判定する判定部140と、を備えることにより、判定対象の電子メールが不正メールであるか否かを自動的に判定することができる。
【0027】
<第2実施形態>以下、第2実施形態について説明する。図5は、第2実施形態の不正メール判定装置100Aの構成図である。第2実施形態に係る不正メール判定装置100Aは、第1実施形態とは異なり、拡張子が所定の拡張子であるなりすましメールに関しては、ハッシュ値に関する判定を行わずにリジェクトすると決定する(或いは、注意喚起情報を当該電子メールに付加する。)。
【0029】
図6において、受信した電子メールがなりすましメールであると判定した場合、ハッシュ化部110は、添付ファイルのハッシュ値を求め(S108)、ハッシュ値ごと出現回数データ122を更新する(S110)。リスト作成部130は、ハッシュ値ごと出現回数データ122が更新されたのに応じて、不正ハッシュ値リスト124を更新する(S112)。そして、判定部140は、電子メールをリジェクトすると決定する(S116)。
【0030】
一方、受信した電子メールがUnknownであると判定した場合、ハッシュ化部110は、添付ファイルのハッシュ値を求める(S118)。そして、判定部140は、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されているか否かを判定する(S124)。判定部140は、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトしないと決定し(S104)、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトすると決定する(S116)。
【0031】
以上説明した第2実施形態の不正メール判定装置100Aによれば、第1実施形態と同様の効果を奏することができ、第1実施形態よりも厳格に電子メールをリジェクトすることができる。なりすましメールに関してはハッシュ値に関する判定を行わずにリジェクトすると決定するからである。
【0032】
<第3実施形態>以下、第3実施形態について説明する。図7は、第3実施形態の不正メール判定装置100Bの構成図である。第3実施形態に係る不正メール判定装置100Bは、第1実施形態とは異なり、拡張子が所定の拡張子であるなりすましメールとUnknownの双方に基づいてハッシュ値ごと出現回数データ122を更新し、拡張子が所定の拡張子であるなりすましメールに関しては、ハッシュ値に関する判定を行わずにリジェクトすると決定する(或いは、注意喚起情報を当該電子メールに付加する。)。
【0034】
図8において、受信した電子メールがなりすましメールであると判定した場合、ハッシュ化部110は、添付ファイルのハッシュ値を求め(S108)、ハッシュ値ごと出現回数データ122を更新する(S110)。リスト作成部130は、ハッシュ値ごと出現回数データ122が更新されたのに応じて、不正ハッシュ値リスト124を更新する(S112)。そして、判定部140は、電子メールをリジェクトすると決定する(S116)。
【0035】
一方、受信した電子メールがUnknownであると判定した場合、ハッシュ化部110は、添付ファイルのハッシュ値を求め(S118)、ハッシュ値ごと出現回数データ122を更新する(S120)。リスト作成部130は、ハッシュ値ごと出現回数データ122が更新されたのに応じて、不正ハッシュ値リスト124を更新する(S122)。そして、判定部140は、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されているか否かを判定する(S124)。判定部140は、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトしないと決定し(S104)、S118で求められたハッシュ値が不正ハッシュ値リスト124に登録されていない場合、電子メールをリジェクトすると決定する(S116)。
【0036】
以上説明した第3実施形態の不正メール判定装置100Bによれば、第1実施形態と同様の効果を奏することができ、第2実施形態よりも更に厳格に電子メールをリジェクトすることができる。拡張子が所定の拡張子であるなりすましメールとUnknownの双方に基づいてハッシュ値ごと出現回数データ122を更新し(その結果、ハッシュ値ごと出現回数データ122の値が早く増加し)、ハッシュ値に関する判定を行わずにリジェクトすると決定するからである。
【0037】
<第4実施形態>以下、第4実施形態について説明する。図9は、第4実施形態の不正メール判定装置100Cの構成図である。第4実施形態に係る不正メール判定装置100Cは、第1実施形態とは異なり、拡張子が所定の拡張子であるなりすましメールとUnknownの双方に基づいてハッシュ値ごと出現回数データを更新する。
【0038】
第4実施形態において実行される処理の流れは、図4のフローチャートにおけるS106の処理において、電子メールがなりすましメールであると判定された場合と、Unknownであると判定された場合の双方において、S108に進むようにしたものである。これについての図示は省略する。
【0039】
以上説明した第4実施形態の不正メール判定装置100Bによれば、第1実施形態と同様の効果を奏することができ、第1実施形態よりも厳格に電子メールをリジェクトすることができる。拡張子が所定の拡張子であるなりすましメールとUnknownの双方に基づいてハッシュ値ごと出現回数データ122を更新するからである。
【0040】
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
【符号の説明】
【0041】
100 不正メール判定装置110 ハッシュ化部
120 記憶部
122 ハッシュ値ごと出現回数データ
124 不正ハッシュ値リスト
130 リスト作成部
140 判定部
【要約】
【課題】判定対象の電子メールが不正メールであるか否かを自動的に判定することができる不正メール判定装置、不正メール判定方法、およびプログラムを提供すること。【解決手段】電子メールの添付ファイルの内容をハッシュ化してハッシュ値を求めるハッシュ化部と、ハッシュ値ごとの出現回数を記憶した記憶部に記憶されたハッシュ値のうち、前記ハッシュ化部により求められたハッシュ値と一致するハッシュ値の出現回数に基づいて、前記電子メールに対して所定の処理を行うか否かを判定する判定部と、を備える不正メール判定装置。
【選択図】図1