知財求人 - 知財ポータルサイト「IP Force」
▶ キヤノンマーケティングジャパン株式会社の特許一覧 ▶ キヤノンITソリューションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6531805
(24)【登録日】2019年5月31日
(45)【発行日】2019年6月19日
(54)【発明の名称】情報処理装置、情報処理システム、制御方法、及びプログラム
(51)【国際特許分類】
G06F 13/00 20060101AFI20190610BHJP
H04L 12/58 20060101ALI20190610BHJP
【FI】
G06F13/00 610Q
H04L12/58 100A
【請求項の数】15
【全頁数】14
(21)【出願番号】特願2017-189558(P2017-189558)
(22)【出願日】2017年9月29日
(65)【公開番号】特開2019-66988(P2019-66988A)
(43)【公開日】2019年4月25日
【審査請求日】2018年10月16日
(73)【特許権者】
【識別番号】390002761
【氏名又は名称】キヤノンマーケティングジャパン株式会社
(73)【特許権者】
【識別番号】592135203
【氏名又は名称】キヤノンITソリューションズ株式会社
(74)【代理人】
【識別番号】100189751
【弁理士】
【氏名又は名称】木村 友輔
(72)【発明者】
【氏名】大和 大輝
(72)【発明者】
【氏名】山内 覚
【審査官】
小林 義晴
(56)【参考文献】
【文献】
米国特許第07366764(US,B1)
【文献】
特開2002−354044(JP,A)
【文献】
特開2005−208780(JP,A)
【文献】
特開2005−128922(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
H04L 12/58
(57)【特許請求の範囲】
【請求項1】
コンピュータを、
電子メールを受け付ける受付手段と、
前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、
前記特定手段によって特定した電子メールのうち、宛先に、記憶部に予め記憶された所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行手段と、
して機能させるためのプログラム。
電子メールを受け付ける受付手段と、
前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、
前記特定手段によって特定した電子メールのうち、宛先に、記憶部に予め記憶された所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行手段と、
して機能させるためのプログラム。
【請求項2】
前記記憶部に予め記憶された所定の宛先は、公開された宛先であり、
前記実行手段を、前記特定手段によって特定した電子メールのうち、宛先に、当該公開された宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行するものとして機能させるための請求項1に記載のプログラム。
前記実行手段を、前記特定手段によって特定した電子メールのうち、宛先に、当該公開された宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行するものとして機能させるための請求項1に記載のプログラム。
【請求項3】
前記実行手段を、異なる宛先に前記予め記憶された所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを行するものとして機能させるための請求項1または2に記載のプログラム。
【請求項4】
前記実行手段を、異なる宛先に前記予め記憶された所定の異なる宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行するものとして機能させるための請求項1乃至3の何れか1項に記載のプログラム。
【請求項5】
前記実行手段を、異なる宛先が前記予め記憶された所定の異なる宛先の電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行するものとして機能させるための請求項1乃至4の何れか1項に記載のプログラム。
【請求項6】
前記実行手段を、前記特定手段に特定した電子メールが、前記予め記憶された所定の宛先を有する電子メールが含まれる場合、前記予め記憶された所定の宛先を有する電子メールを含まない場合よりも小さい所定数を用いて、電子メールに係るアクションを実行するものとして機能させるための請求項1乃至5の何れか1項に記載のプログラム。
【請求項7】
前記所定数を満たすときとは、所定時間以内に前記所定数を満たすときとすることを特徴とする請求項1乃至6の何れか1項に記載のプログラム。
【請求項8】
前記実行手段を、前記特定手段に特定した電子メールが、前記予め記憶された所定の宛先を有する電子メールが含まれる場合、前記予め記憶された所定の宛先を有する電子メールを含まない場合よりも短い所定時間を用いて、電子メールに係るアクションを実行するものとして機能させるための請求項7に記載のプログラム。
【請求項9】
前記実行手段を、前記電子メールを保留するアクションを実行するものとして機能させるための請求項1乃至8の何れか1項に記載のプログラム。
【請求項10】
前記コンピュータを、
電子メールに記載されたアクセス先の情報を取得する取得手段を含めて機能させ、
前記実行手段を、前記取得手段によって取得したアクセス先の情報を有する電子メールの受信を制御するアクションを実行するものとして機能させるための請求項1乃至9の何れか1項に記載のプログラム。
電子メールに記載されたアクセス先の情報を取得する取得手段を含めて機能させ、
前記実行手段を、前記取得手段によって取得したアクセス先の情報を有する電子メールの受信を制御するアクションを実行するものとして機能させるための請求項1乃至9の何れか1項に記載のプログラム。
【請求項11】
前記実行手段を、アクセスの中継を制御する中継制御装置へ前記取得手段によって取得したアクセス先の情報を登録するものとして機能させるための請求項10に記載のプログラム。
【請求項12】
電子メールを中継する情報処理装置であって、
電子メールを受け付ける受付手段と、
前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、
予め定めた所定の宛先に関する情報を記憶する記憶手段と、
前記特定手段によって特定した電子メールのうち、宛先に前記記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行手段と、
を備えたことを特徴とする情報処理装置。
電子メールを受け付ける受付手段と、
前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、
予め定めた所定の宛先に関する情報を記憶する記憶手段と、
前記特定手段によって特定した電子メールのうち、宛先に前記記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行手段と、
を備えたことを特徴とする情報処理装置。
【請求項13】
電子メールを中継するメール中継装置とアクセスを中継するアクセス中継装置とが通信可能な情報処理システムであって、
前記メール中継装置は、
電子メールを受け付ける受付手段と、
前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、
予め定めた所定の宛先に関する情報を記憶する記憶手段と、
前記特定手段によって特定した電子メールのうち、宛先に前記記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに記載されたアクセス先の情報を取得する取得手段と、
を備え、
前記アクセス中継装置は、
前記取得手段によって取得したアクセス先の情報を記憶する記憶手段と、
前記記憶手段に記憶されたアクセス先の情報に基づいて、アクセスの中継を制御する制御手段と、
を備えたことを特徴とする情報処理システム。
前記メール中継装置は、
電子メールを受け付ける受付手段と、
前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、
予め定めた所定の宛先に関する情報を記憶する記憶手段と、
前記特定手段によって特定した電子メールのうち、宛先に前記記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに記載されたアクセス先の情報を取得する取得手段と、
を備え、
前記アクセス中継装置は、
前記取得手段によって取得したアクセス先の情報を記憶する記憶手段と、
前記記憶手段に記憶されたアクセス先の情報に基づいて、アクセスの中継を制御する制御手段と、
を備えたことを特徴とする情報処理システム。
【請求項14】
電子メールを中継する情報処理装置の制御方法であって、
前記情報処理装置は、
電子メールを受け付ける受付ステップと、
前記受付ステップにより受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定ステップと、
前記特定ステップによって特定した電子メールのうち、宛先に、予め定めた所定の宛先に関する情報を記憶する記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行ステップと、
を実行することを特徴とする情報処理装置の制御方法。
前記情報処理装置は、
電子メールを受け付ける受付ステップと、
前記受付ステップにより受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定ステップと、
前記特定ステップによって特定した電子メールのうち、宛先に、予め定めた所定の宛先に関する情報を記憶する記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行ステップと、
を実行することを特徴とする情報処理装置の制御方法。
【請求項15】
電子メールを中継するメール中継装置とアクセスを中継するアクセス中継装置とが通信可能な情報処理システムの制御方法であって、
前記メール中継装置は、
電子メールを受け付ける受付ステップと、
前記受付ステップにより受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定ステップと、
前記特定ステップによって特定した電子メールのうち、宛先に、予め定めた所定の宛先に関する情報を記憶する記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに記載されたアクセス先の情報を取得する取得ステップと、
を実行し、
前記アクセス中継装置は、
前記取得ステップによって取得したアクセス先の情報を記憶する記憶ステップと、
前記記憶ステップに記憶されたアクセス先の情報に基づいて、アクセスの中継を制御する制御ステップと、
を実行することを特徴とする情報処理システムの制御方法。
前記メール中継装置は、
電子メールを受け付ける受付ステップと、
前記受付ステップにより受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定ステップと、
前記特定ステップによって特定した電子メールのうち、宛先に、予め定めた所定の宛先に関する情報を記憶する記憶手段に記憶されている予め定めた所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに記載されたアクセス先の情報を取得する取得ステップと、
を実行し、
前記アクセス中継装置は、
前記取得ステップによって取得したアクセス先の情報を記憶する記憶ステップと、
前記記憶ステップに記憶されたアクセス先の情報に基づいて、アクセスの中継を制御する制御ステップと、
を実行することを特徴とする情報処理システムの制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、標的型攻撃メールを特定する方法に関する。
【背景技術】
【0002】
ネットワーク技術の発展に伴い、多様な情報が流通するようになり、このような情報を多くのユーザに提供する非常に利便性の高いツールが存在する。
【0003】
例えば、インターネット上のHTMLや画像などといったリソースの場所を特定するためのURLをクリックすることで、ユーザが所望するリソースを入手することが可能である。
【0004】
しかしながら、最近では、このようなツールの利便性を悪用し、不正にリソースへアクセスさせることで、ウイルスへの感染や多額の支払いを求められるなどの被害が発生している。
【0005】
このようなツールを悪用した被害例として、不正なリソースの場所を特定するURLが付与された電子メールを企業のユーザへ一方的に送り付け、当該ユーザがこの電子メールを開いて、誤って電子メールのURLをクリックするといった被害が発生している。
【0006】
そこで、このような問題を解消する方法として、受信した電子メールの特徴を保存しておき、新たに受信する電子メールの特徴と過去に受信した電子メールの特徴との類似度が基準値より低い場合、標的型攻撃メールとして特定する技術が開示されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2013−236308号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
近年、標的型攻撃メールとして、企業等の組織体に対して、同じあるいは類似した電子メールを多くの従業員のメールアドレスに対して送り付ける、いわゆるばらまき型攻撃メールが存在する。
【0009】
しかしながら、特許文献1に記載された技術では、新たに受信した電子メールが過去に受信した電子メールとの類似度を求めることで、当該新たに受信した電子メールの正当性を判断しており、ばらまき型攻撃メールのように、組織内で拡散された電子メールをまとめて特定することについてまでは、記載や示唆はされていない。
【0010】
従って、ばらまき型攻撃メールを受信した際に、システムの管理者等は、ばらまき型攻撃メールを受信した従業員等を特定することで、その影響範囲をいち早くつかみ、対処しなければならないが、特許文献1に記載の技術では、このような課題を解決するには至らない。
【0011】
そこで、本発明では、悪意ある電子メールを容易に特定することが可能な情報処理装置、情報処理システム、制御方法、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
上記課題を解決するための本発明は、コンピュータを、電子メールを受け付ける受付手段と、前記受付手段により受け付けた電子メールのなかから、同一または類似する電子メールを特定する特定手段と、前記特定手段によって特定した電子メールのうち、宛先に、記憶部に予め記憶された所定の宛先を含む電子メールが所定数を満たすとき、当該電子メールに係るアクションを実行する実行手段と、して機能させるためのプログラムである。
【発明の効果】
【0013】
本発明によれば、悪意ある電子メールを容易に特定することができる、という効果を奏する。
【図面の簡単な説明】
【0014】
【図1】情報処理システムの概略構成を示す構成図である。
【図2】アクセス中継装置、メール中継装置、メールサーバ、外部サーバ、及びクライアント端末のハードウェアの概略構成を示す構成図である。
【図3】メール中継装置の機能構成を示す構成図である。
【図4】標的型攻撃メールの特定処理を示すフローチャートである。
【図5】各テーブルの構成を示す構成図である。
【発明を実施するための形態】
【0016】
図1に示すように、本実施形態に係る情報処理システム100は、アクセス中継装置102、メールサーバ104、メール中継装置106、クライアント端末108(少なくとも1台以上備える)、及びLAN110を含む構成を備えており、広域ネットワーク112を介して外部サーバ114と接続されている。
【0017】
アクセス中継装置102は、情報処理装置として機能する装置であり、クライアント端末108と広域ネットワーク112を介してデータの通信を行う外部サーバ114との中継を行う。
【0018】
また、アクセス中継装置102は、クライアント端末108と外部サーバ114との間で送受信されるデータを中継するか、あるいは、中継しないかを決定するための中継制御ルールに従って、当該データの通信を制御している。
【0019】
メールサーバ104は、電子メールの送受信を行うために用いられる情報処理装置であって、電子メールのメールアドレス管理や、当該メールアドレスに送信されてきた電子メールを保存する等の機能を有している。
【0020】
メール中継装置106は、メールサーバ104やクライアント端末108から送信される電子メールに対する送信制御処理を、送信制御ルールを用いて行うとともに、外部サーバ114から送信される電子メールに対する受信制御処理を、後述する受信制御ルールを用いて行う。
【0021】
また、メール中継装置106は、クライアント端末108を操作するユーザからの要求に応じて、電子メールの送信制御処理(受信制御処理)に用いる送信制御ルール(受信制御ルール)の入力を受け付けたり、送信制御処理(受信制御処理)の結果、送信(受信)が保留された電子メールに対する送信(受信)、送信禁止(受信禁止)の入力(監査入力)を受け付けたりする。
【0022】
さらに、メール中継装置106は、クライアント端末108を操作するユーザからの要求に応じて、既に受信した電子メールのなかから、不正な電子メールを特定し、管理者や受信者へ警告通知などを行う。
【0023】
クライアント端末108は、メールサーバ104で管理されているメールアドレスを使用して電子メールのやり取りを行うユーザが操作する端末装置である。
【0024】
また、クライアント端末108は、外部サーバ114から提供される様々なコンテンツ等をユーザへ提供する端末装置でもある。
【0025】
さらに、クライアント端末108は、LAN110を介してアクセス中継装置102及びメール中継装置106に記憶した中継制御ルール、送信制御ルール、及び受信制御ルールの参照や登録等を行うことが可能である。
【0026】
外部サーバ114は、様々なコンテンツ等をユーザへ提供する装置であり、サービス事業者や個人ユーザ等によって設置されたものであったり、外部のユーザが所有するメールサーバとして設置されたものであったりする。
【0027】
次に、図2では、アクセス中継装置102、メールサーバ104、メール中継装置106、及びクライアント端末108に適用可能な情報処理装置のハードウェア構成の一例について説明する。
【0028】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0029】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0030】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、CRTディスプレイ(CRT)210等の表示器への表示を制御する。
【0031】
なお、図2では、CRT210と記載しているが、表示器はCRTだけでなく、液晶ディスプレイ等の他の表示器であってもよい。これらは必要に応じて管理者が使用するものである。
【0032】
207はメモリコントローラで、ブートプログラム、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶するハードディスク(HD)や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0033】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN110)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0034】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、CRT210上での表示を可能としている。また、CPU201は、CRT210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0035】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。
【0036】
さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0037】
次に、図3を用いてメール中継装置106の機能構成について説明する。尚、各機能の詳細については、後述するフローチャートなどで説明を行う。
【0038】
メール中継装置106は、記憶部300、ルール情報取得部302、メール取得部304、及び動作部306を備えている。
【0039】
記憶部300は、電子メールの受信を制御するためのルールや、標的型攻撃メールを特定するためのルール、公開アドレスの情報、受信した電子メールに関する情報等を記憶管理する。
【0040】
ルール情報取得部302は、記憶部300によって記憶管理される標的型攻撃メールを特定するためのルールに関する情報を取得し、メール取得部304は、記憶部300によって記憶管理される電子メールに関する情報を取得する。
【0041】
動作部306は、標的型攻撃メールとして特定された電子メールに対して、この特定に至り該当したルールに対して定義されたアクションを実行する。
【0042】
次に、図4に示すフローチャートを用いて標的型攻撃メールの特定処理について説明を行う。
【0043】
ステップS100では、ルール情報取得部302は、記憶部300における判定ルールDB(図5参照)より、電子メールが標的型攻撃メールか否かを判定する際に用いる判定ルール情報を取得する。
【0044】
図5の最上段には、判定ルールDBの構成が示されており、電子メールが標的型攻撃メールか否かを判定するための判定ルールを一意に識別すためのID、所定時間内に受信した電子メールを特定するために、当該所定時間を定めた時間範囲、所定時間内に受信した電子メールの数を特定するために、当該電子メールの数を示す電子メール数、公開アドレスのIDを示す公開アドレスID、標的型攻撃メールの特徴を識別するための攻撃区分、判定ルールに該当した場合、電子メールに対する動作を示すアクションを含んで構成されている。
【0045】
図5では、判定ルールの一例が示されており、例えば、最上段のレコードのように、IDが1、時間範囲が10分、電子メール数が100、公開アドレスIDがNULL(詳細後述)、攻撃区分が2or3、アクションが自動でフィルタリングルールに反映が判定ルールDBへ記憶されているとする。
【0046】
この判定ルールは、10分以内に100件以上の電子メールを受信した場合であって、それらの電子メールが標的型攻撃の特徴として、偽装されたURLが電子メールに付与されている、あるいは、二重拡張子とみなされたファイルが添付されているといった電子メールである場合(詳細後述)、その電子メールに関する動作として、今後受信する電子メールをフィルタリングするために、自動でフィルタリングの条件を設定することが示されている。
【0047】
フィルタリングの条件の例としては、標的型攻撃メールとして特定された電子メールの送信者のアドレスを条件として設定しておくことで、設定後、当該送信者が電子メールを送信してきた場合、その電子メールを一意時的に保留する、あるいは削除する等の対応をとることが可能である。
【0048】
尚、公開アドレスIDについては、図5の最上段から3段目の左に示される公開アドレスリストDBに記憶されているIDに対応する。
【0049】
公開アドレスリストDBは、公開アドレスを一意に識別するためのIDと公開されたアドレスを示す公開アドレスを含む構成を備えている。
【0050】
この公開アドレスとは、例えば、自社の広報や人事等への問い合わせや、お客様窓口等に関して、外部へ公開しているアドレスを示している。
【0051】
また、攻撃区分については、図5の最上段から3段目に示される標的型攻撃区分DBに記憶されているIDに対応する。
【0052】
標的型攻撃区分DBは、受信した電子メールに関して、標的型攻撃メールであるか否かを判定するためのルールによって、標的型攻撃メールであると判定した理由に関する情報を記憶しており、その理由を一意に識別するためのID、その理由に対応する攻撃内容を含む構成を備えている。
【0053】
このような判定ルールによって、標的型攻撃メールのうち、特にばらまき型の攻撃メールを特定することが可能となる。
【0054】
また、最上段から2段目のレコードのように、時間範囲が3分、電子メール数が3、公開アドレスIDが3、攻撃区分がNULL、アクションが管理者に通知、受信者に通知、ホームページ表示が判定ルールDBへ記憶されているとする。
【0055】
このレコードは、3分以内に3件以上の電子メールを受信した場合であって、受信者のメールアドレスに公開アドレスIDから特定される公開アドレスが含まれている場合、その電子メールに関して、管理者、受信者に標的型攻撃メールが送信されてきている旨を示す通知を行う、自社が開設しているホームページへ標的型攻撃メールが送信されてきている旨を示す情報を表示する。
【0056】
公開アドレス自体は、標的型攻撃メールのターゲットになり易く、頻繁に公開アドレスを使っての送受信者間でのやり取りが行われることは稀であることから、時間範囲と電子メール数については、最上段からのレコードと比較して、小さい値を設定することが可能である。
【0057】
尚、公開アドレスIDに関しては、複数のIDを記憶することが可能であり、例えば、送信者が所定時間内で電子メールを送信する可能性が低い宛先として、相互に関連性の低い製品に係る窓口と就職に係る窓口とに、電子メールが送信された場合、標的型攻撃メールの可能性が高いので、このような電子メールをも特定することが可能となる。
【0058】
この場合、判定ルールDBには、電子メール数を設定せず、公開アドレスIDに対して、複数の値を設定することが可能である。
【0059】
このような判定ルールによって、同様に、標的型攻撃メールのうち、特にばらまき型の攻撃メールを特定することが可能となる。
【0060】
ステップS102では、ルール情報取得部302は、ステップS100において判定ルール情報を取得した結果、取得できたと判定した場合は、ステップS104へ処理を進め、取得できたと判定しない場合は、処理を終了する。
【0061】
ステップS104では、ルール情報取得部302は、記憶部300における除外ルールDB(図5参照)より、電子メールが判定ルールによって標的型攻撃メールとして特定されても、例外として、標的型攻撃メールと見做さないことを定めるための除外判定ルール情報を取得する。
【0062】
図5の最上段から2段目には、除外ルールDBの構成が示されており、除外ルールDBは、例外として、標的型攻撃メールと見做さないことを定めるための除外判定ルールを一意に識別するためのID、電子メールの送信者のアドレスを示す送信者、電子メールの受信者のアドレスを示す受信者、及び電子メールの件名を含む構成を備えている。
【0063】
図5では、除外判定ルールの一例が示されており、例えば、最上段のレコードのように、送信者のアドレスがnews−week example.netであり、件名がweekly magazineの場合、判定ルールによって標的型攻撃メールとして特定された電子メールであっても、標的型攻撃メールとして見做さない。
【0064】
また、最上段から2段目のレコードのように、送信者のアドレスがnews−daily example.netであり、受信者のアドレスがsales canon−its.co.jp、件名が先頭にdailyを含む語の場合、判定ルールによって標的型攻撃メールとして特定された電子メールであっても、標的型攻撃メールとして見做さない。
【0065】
これらの除外判定ルールはメールマガジンやニュースなどの特定の安全な送信者から大量に同一あるいは類似の電子メールが所定時間内に送信されてくるため、こういった電子メールを標的型攻撃メールと見做さないことで、標的型攻撃メールを特定するための手間を軽減することが可能である。
【0066】
ステップS106では、ルール情報取得部302は、ステップS104において除外判定ルール情報を取得できたか否かを判定し、取得できたと判定しない場合は、ステップS108へ処理を進め、取得できたと判定した場合は、ステップS110へ処理を進める。
【0067】
ステップS108では、メール取得部304は、ステップS100においてルール情報取得部302によって取得した判定ルール情報に基づいて記憶部300におけるメールログDB(図5参照)から電子メールに関する情報を取得する。
【0068】
図5の最下段には、既に受信した電子メールの情報を記憶するメールログDBの構成が示されており、電子メールを一意に識別するためのID、電子メールを受信した時刻を示す受信日時、電子メールの送信者、電子メールの受信者、電子メールの件名、及び標的型攻撃の特徴を識別する攻撃区分を含んで構成されている。
【0069】
尚、攻撃区分については、前述したように、電子メールを受信した際に、標的型攻撃メールであるか否かを判定するためのルールによって、標的型攻撃メールであると判定した理由に関する情報を記憶している。
【0070】
本ステップでは、まず、メールログDBに記憶された電子メールのうち、送信者のアドレスが同一、あるいは、件名が同一または類似、あるいは、本文が同一または類似、あるいは、これらの全ての条件、あるいは、任意の組み合わせた条件を満たし、さらに受信者のアドレスが異なる、あるいは受信者のアドレスは同じものでも良い等の条件を満たす電子メールを特定する。
【0071】
そして、このような条件で特定された電子メールであって、さらに判定ルール情報を満たす電子メールであれば、標的型攻撃メールであるとして、その電子メールに関する情報を取得する。
【0072】
例えば、判定ルール情報として、図5の最上段のレコードを適用すると、10分間に100件以上の受信がなされ、攻撃区分が2or3であることから、図5に示すように、メールログDBの送信者が、attacker example.comであり、受信者が異なる電子メールとして、IDが1から7・・・が特定され、この特定された電子メールの受信日時が10分以内で100件以上受信しており、攻撃区分が2or3の電子メールに関する情報を取得する。
【0073】
一方、判定ルール情報として、図5の最上段から2段目のレコードを適用すると、3分以内に3件以上の公開アドレスIDが3であることから、メールログDBの送信者が、attacker example.comであり、受信者が異なる電子メールとして、IDが1から7・・・が特定され、この特定された電子メールの受信日時が3分以内で3件以上受信しており、送信者がsupport canon−its.co.jpの電子メールに関する情報を取得する。
【0074】
ステップS110では、メール取得部304は、ステップS100においてルール情報取得部302によって取得した判定ルール情報、及びステップS104においてルール情報取得部302によって取得した除外判定ルール情報に基づいて記憶部300におけるメールログDBから電子メールに関する情報を取得する。
【0075】
本ステップでは、まず、判定ルール情報に基づいて記憶部300におけるメールログDBから電子メールを特定するが、ステップS108と同様な処理を行うため説明を省略する。
【0076】
続いて、判定ルール情報に従って特定された電子メールに対して、除外判定ルール情報を満たす電子メールを標的型攻撃メールと見做さず、除外判定ルール情報を満たさない電子メールを標的型攻撃メールと見做して、当該電子メールに関する情報をメールログDBから取得する。
【0077】
例えば、除外判定ルール情報として、図5の最上段のレコードを適用すると、判定ルール情報に従って特定された電子メールの送信者がnews−week example.netであり、件名がweekly magazineの場合、当該電子メールは標的型攻撃メールと見做さないが、判定ルール情報に従って特定された電子メールの送信者がnews−week example.netでない、あるいは、件名がweekly magazineでない場合、当該電子メールを標的型攻撃メールと見做す。
【0078】
一方、除外判定ルール情報として、図5の最上段から2段目のレコードを適用すると、判定ルール情報に従って特定された電子メールの送信者がnews−daily example.netであり、受信者のアドレスがsales canon−its.co.jp、件名が先頭にdailyを含む語の場合、当該電子メールを標的型攻撃メールと見做さないが、判定ルール情報に従って特定された電子メールの送信者がnews−daily example.netでない、あるいは、受信者のアドレスがsales canon−its.co.jpでない、あるいは、件名が先頭にdailyを含む語でない場合、当該電子メールを標的型攻撃メールと見做す。
【0079】
ステップS112では、動作部306は、ステップS108あるいはステップS110においてメール取得部304によって標的型攻撃メールとしてメールログDBから取得した電子メールに関して、当該電子メールが満たした判定ルールにおけるアクションを実行する。
【0080】
このアクションを行う際に、標的型攻撃メールとして見做された電子メールに付与されたURL等のリソースを特定する情報を抽出し、アクセス中継装置102へ送信した後、アクセス中継装置102は、このリソースを特定する情報を自身に登録しておくことで、クライアント端末108から外部サーバ114の当該リソースへアクセスする際に、その通信の中継を制御することが可能である。
【0081】
以上、本発明によれば、悪意ある電子メールを容易に特定することができる。
【0082】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0083】
以上、一実施形態について示したが、本発明は、例えば、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。
【0084】
また、本発明におけるプログラムは、図4に示すフローチャートの処理方法をコンピュータが実行可能なプログラムである。
【0085】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0086】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0087】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク、ソリッドステートドライブ等を用いることができる。
【0088】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0089】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0090】
また、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0091】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0092】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【符号の説明】
【0093】
100 情報処理システム102 アクセス中継装置
104 メールサーバ
106 メール中継装置
108 クライアント端末
110 LAN
112 広域ネットワーク
114 外部サーバ