特許第6569835号(P6569835)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社ナカヨ

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社ナカヨの特許一覧

特許6569835不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム
<>
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000002
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000003
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000004
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000005
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000006
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000007
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000008
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000009
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000010
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000011
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000012
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000013
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000014
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000015
  • 特許6569835-不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム 図000016
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6569835
(24)【登録日】2019年8月16日
(45)【発行日】2019年9月4日
(54)【発明の名称】不審メール検出方法、不審メール検出システム、不審メール検出装置、メール端末、およびコンピュータで読み取り可能なプログラム
(51)【国際特許分類】
   G06F 13/00 20060101AFI20190826BHJP
【FI】
   G06F13/00 610Q
【請求項の数】10
【全頁数】25
(21)【出願番号】特願2019-73734(P2019-73734)
(22)【出願日】2019年4月8日
【審査請求日】2019年4月8日
【早期審査対象出願】
(73)【特許権者】
【識別番号】000134707
【氏名又は名称】株式会社ナカヨ
(74)【代理人】
【識別番号】100104570
【弁理士】
【氏名又は名称】大関 光弘
(72)【発明者】
【氏名】齊木 あずさ
(72)【発明者】
【氏名】佐々木 昌樹
(72)【発明者】
【氏名】弥田 紘一
【審査官】 小林 義晴
(56)【参考文献】
【文献】 特開2000−353133(JP,A)
【文献】 特許第6485584(JP,B1)
【文献】 特開2003−348162(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
不審メール検出装置を用いて、複数のメール端末が受信したメールのなかから不審メールを検出する不審メール検出方法であって、
前記不審メール検出装置は、
前記メール端末毎に、受信メールのメール本文中の文面により定まる所定のパターン情報を、当該受信メールのメールIDに紐付けて蓄積し、
ばらまき型攻撃メールあるいはその可能性があると判断されたメールについて、前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、当該メールのメール本文中の文面により定まる前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを、当該メール端末に通知し、
前記メール端末は、
前記不審メール検出装置より通知された前記メールIDにより特定されるメールに対する注意喚起を表示する
ことを特徴とする不審メール検出方法。
【請求項2】
請求項1に記載の不審メール検出方法であって、
前記不審メール検出装置は、
前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、ばらまき型攻撃メールの可能性があると判断されたメールのメール本文中の文面により定まる前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを含む注意喚起通知を、当該メール端末に送信するとともに、当該ばらまき型攻撃メールの可能性があると判断されたメールの前記所定のパターン情報を、検証による確認状態が未確認であることを示すフラグとともに蓄積し、
前記ばらまき型攻撃メールの可能性があると判断されたメールの検証が終了して、当該メールの前記所定のパターン情報に付加されているフラグが、その検証結果を示すフラグに更新されたならば、前記注意喚起通知を送信した前記メール端末に、当該メールIDおよび検証結果に応じたメッセージを含む検証結果通知を送信し、
前記メール端末は、
前記不審メール検出装置より通知された前記注意喚起通知および前記検証結果通知を表示する
ことを特徴とする不審メール検出方法。
【請求項3】
請求項2に記載の不審メール検出方法であって、
前記メール端末は、
メールを受信する毎に、受信メールから前記所定のパターン情報を抽出して、抽出した前記所定のパターン情報を、当該受信メールの前記メールIDとともに前記不審メール検出装置に送信し、
閲覧中の受信メールに対して操作者から所定の操作を受け付けた場合に、当該閲覧中の受信メールをばらまき型攻撃メールの可能性があるメールとして、当該閲覧中の受信メールの前記メールIDを含む不審メール通報を前記不審メール検出装置に送信し、
前記不審メール検出装置は、
前記不審メール通報を受信した場合に、当該不審メール通報の送信元の前記メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、当該不審メール通報に含まれている前記メールIDに紐付けられている、ばらまき型攻撃メールの可能性があると判断されたメールの前記所定のパターン情報を特定し、
前記不審メール通報の送信元以外の前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、前記特定したばらまき型攻撃メールの可能性があると判断されたメールの前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを含む前記注意喚起通知を、当該メール端末に通知する
ことを特徴とする不審メール検出方法。
【請求項4】
請求項2に記載の不審メール検出方法であって、
前記メール端末は、
メールを受信する毎に、受信メールから前記所定のパターン情報を抽出して、抽出した前記所定のパターン情報を、当該受信メールの前記メールIDとともに前記不審メール検出装置に送信し、
閲覧中の受信メールに対して操作者から所定の操作を受け付けた場合に、当該閲覧中の受信メールをばらまき型攻撃メールの可能性があるメールとして、当該閲覧中の受信メールの前記所定のパターン情報を含む不審メール通報を前記不審メール検出装置に送信し、
前記不審メール検出装置は、
前記不審メール通報を受信した場合に、前記不審メール通報の送信元以外の前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、前記不審メール通報に含まれている前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを含む前記注意喚起通知を、当該メール端末に通知する
ことを特徴とする不審メール検出方法。
【請求項5】
請求項3または4に記載の不審メール検出方法であって、
前記メール端末は、
操作者から未開封の受信メールに対する開封操作を受け付けた場合に、当該受信メールの前記メールIDを含む開封通知を前記不審メール検出装置に送信し、
前記不審メール検出装置は、
前記メール端末毎に、受信メールの前記所定のパターン情報を、当該受信メールの前記メールIDおよび開封状態に紐付けて蓄積し、
前記開封通知を受信した場合に、当該開封通知の送信元の前記メール端末に対応付けられて当該開封通知に含まれている前記メールIDとともに蓄積されている開封状態を「未開封」から「開封済」に更新し、
前記不審メール通報を受信した場合に、前記不審メール通報の送信元以外の前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、前記不審メール通報に含まれている前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDおよび前記開封状態に応じたメッセージを含む注意喚起通知を、当該メール端末に通知する
ことを特徴とする不審メール検出方法。
【請求項6】
複数のメール端末と、不審メールを検出する不審メール検出装置と、を有する不審メール検出システムであって、
前記メール端末は、
メールを受信する毎に、受信メールからメール本文中の文面により定まる所定のパターン情報を抽出して、抽出した前記所定のパターン情報を、当該受信メールのメールIDとともに、前記不審メール検出装置に送信するパターン情報送信手段と、
前記不審メール検出装置より通知された前記メールIDにより特定されるメールに対する注意喚起を表示する注意喚起手段と、を備え、
前記不審メール検出装置は、
前記メール端末毎に、受信メールのメール本文中の文面により定まる所定のパターン情報を、当該受信メールのメールIDに紐付けて蓄積する蓄積手段と、
ばらまき型攻撃メールあるいはその可能性があると判断されたメールについて、前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、当該メールのメール本文中の文面により定まる前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを、当該メール端末に通知する通知手段と、を備える
ことを特徴とする不審メール検出システム。
【請求項7】
複数のメール端末が受信したメールのなかから不審メールを検出する不審メール検出装置であって、
前記メール端末毎に、受信メールのメール本文中の文面により定まる所定のパターン情報を、当該受信メールのメールIDに紐付けて蓄積する蓄積手段と、
ばらまき型攻撃メールあるいはその可能性があると判断されたメールについて、前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、当該メールのメール本文中の文面により定まる前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを、当該メール端末に通知する通知手段と、を備える
ことを特徴とする不審メール検出装置。
【請求項8】
不審メールを検出する不審メール検出装置とともに不審メール検出システムを構成するメール端末であって、
メールを受信する毎に、受信メールからメール本文中の文面により定まる所定のパターン情報を抽出して、抽出した前記所定のパターン情報を、当該受信メールのメールIDとともに、前記不審メール検出装置に送信するパターン情報送信手段と、
閲覧中の受信メールに対して操作者から所定の操作を受け付けた場合に、当該閲覧中の受信メールをばらまき型攻撃メールの可能性があるメールとして、当該閲覧中の受信メールの前記メールIDあるいは前記所定のパターン情報を含む不審メール通報を前記不審メール検出装置に送信する不審メール通報手段と、
前記不審メール検出装置より通知された前記メールIDにより特定されるメールに対する注意喚起を表示する注意喚起手段と、を備える
ことを特徴とするメール端末。
【請求項9】
コンピュータで読み取り可能なプログラムであって、
前記プログラムは、
前記コンピュータを、複数のメール端末が受信したメールのなかから不審メールを検出する不審メール検出装置として機能させ、
前記不審メール検出装置は、
前記メール端末毎に、受信メールのメール本文中の文面により定まる所定のパターン情報を、当該受信メールのメールIDに紐付けて蓄積する蓄積手段と、
ばらまき型攻撃メールあるいはその可能性があると判断されたメールについて、前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、当該メールのメール本文中の文面により定まる前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを、当該メール端末に通知する通知手段と、を備える
ことを特徴とするコンピュータで読み取り可能なプログラム。
【請求項10】
コンピュータで読み取り可能なプログラムであって、
前記プログラムは、
前記コンピュータを、不審メールを検出する不審メール検出装置とともに不審メール検出システムを構成するメール端末として機能させ、
前記メール端末は、
メールを受信する毎に、受信メールからメール本文中の文面により定まる所定のパターン情報を抽出して、抽出した前記所定のパターン情報を、当該受信メールのメールIDとともに、前記不審メール検出装置に送信するパターン情報送信手段と、
閲覧中の受信メールに対して操作者から所定の操作を受け付けた場合に、当該閲覧中の受信メールをばらまき型攻撃メールの可能性があるメールとして、当該閲覧中の受信メールの前記メールIDあるいは前記所定のパターン情報を含む不審メール通報を前記不審メール検出装置に送信する不審メール通報手段と、
前記不審メール検出装置より通知された前記メールIDにより特定されるメールに対する注意喚起を表示する注意喚起手段と、を備える
ことを特徴とするコンピュータで読み取り可能なプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不審メールの検出技術に関し、特に、ばらまき型攻撃メールの検出に好適な不審メールの検出技術に関する。
【背景技術】
【0002】
近年、不特定多数に送信されるばらまき型攻撃メールの脅威が増大している。このようなばらまき型攻撃メールを含む迷惑メールの判定リストの作成における負担を軽減する技術として、特許文献1に記載のメール判定リスト作成装置がある。
【0003】
このメール判定リスト作成装置は、過去にやり取りされたメール毎に、ヘッダ情報からメール送信元IPアドレスおよびメール送信元ホスト名を抽出する。そして、抽出した各メールのメール送信元IPアドレスおよびメール送信元ホスト名のなかから、複数のメール送信元ホスト名が組み合わされているメール送信元IPアドレスを特定して、この特定されたメール送信元IPアドレスが掲載されたブラックリストを作成する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2016−71728号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
一般に、迷惑メール送信者は、メールサーバに対して任意に設定可能なホスト名を頻繁に変更する。このため、迷惑メールは、メール送信元ホスト名が異なっても、メール送信元IPアドレスが同一である場合が多い。特許文献1に記載のメール判定リスト作成装置は、このことを利用してブラックリストを作成している。
【0006】
しかしながら、最近のばらまき型攻撃メールでは、メール送信元IPアドレスを含むヘッダ情報が偽装されているケースもあり、特許文献1に記載のメール判定リスト作成装置では、このようなケースに対応できない。
【0007】
また、特許文献1に記載のメール判定リスト作成装置は、ブラックリストの作成前に、このブラックリストにメール送信元IPアドレスが掲載されているばらまき型攻撃メールをすでに受信しているメール端末について、その対策を考慮していない。
【0008】
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、ばらまき型攻撃メールの検出に好適な不審メールの検出技術を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明では、不特定多数に送信されるばらまき型攻撃メールが、一般に、メール本文中に記述された電話番号、メールアドレス等の連絡先、および/または、メール本文中の記述に設定されたリンク先はメール毎に変更されるが、メール本文中の文面はそのままであることに着目している。メール端末毎に、受信メールのメール本文中の文面により定まる所定のパターン情報を、この受信メールのヘッダ情報に含まれているメッセージID等の固有のメールIDに紐付けて蓄積する。そして、ばらまき型攻撃メールあるいはその可能性があると判断されたメールについて、メール端末毎に、蓄積された所定のパターン情報のなかから、指定されたメールのメール本文中の文面により定まる所定のパターン情報を検索して、この所定のパターン情報を有する受信メールのメールIDを、この受信メールを受信したメール端末に通知する。
【0010】
ここで、ばらまき型攻撃メールの可能性があると人為的に判断されたメールのメール本文中の文面により定まる所定のパターン情報を、検証による確認状態が未確認であることを示すフラグとともに蓄積しておき、このメールの検証が終了して、このメールの所定のパターン情報に付加されているフラグが、検証結果を示すフラグに更新されたならば、この所定のパターン情報を有する受信メールのメールIDを、更新されたフラグが示す検証結果に応じたメッセージとともに、この受信メールを受信したメール端末に通知してもよい。
【0011】
例えば、本発明の不審メール検出方法は、
不審メール検出装置を用いて、複数のメール端末が受信したメールのなかから不審メールを検出する不審メール検出方法であって、
前記不審メール検出装置は、
前記メール端末毎に、受信メールのメール本文中の文面により定まる所定のパターン情報を、当該受信メールのメールIDに紐付けて蓄積し、
ばらまき型攻撃メールあるいはその可能性があると判断されたメールについて、前記メール端末毎に、当該メール端末に対応付けられて蓄積された前記所定のパターン情報のなかから、当該メールのメール本文中の文面により定まる前記所定のパターン情報を検索し、検索された前記所定のパターン情報に紐付けられている前記メールIDを、当該メール端末に通知し、
前記メール端末は、
前記不審メール検出装置より通知された前記メールIDにより特定されるメールに対する注意喚起を表示する。
【発明の効果】
【0012】
本発明では、不特定多数に送信されるばらまき型攻撃メールが、一般に、メール本文中に記述された電話番号、メールアドレス等の連絡先、および/または、メール本文中の記述に設定されたリンク先はメール毎に変更されるが、メール本文中の文面はそのままであることに着目し、メール端末毎に、メールIDに紐付けて蓄積された受信メールのメール本文中の文面により定まる所定のパターン情報のなかから、ばらまき型攻撃メールあるいはその可能性があると判断されたメールのメール本文中の文面により定まる所定のパターン情報を検索して、この所定のパターン情報を有する受信メールのメールIDを、この受信メールを受信したメール端末に通知する。このため、ヘッダ情報が偽装されている場合でも、ばらまき型攻撃メールを検出できる可能性が高まる。また、ばらまき型攻撃メールあるいはその可能性があると判断される前に、このメールをすでに受信しているメール端末に、このメールに対する注意を喚起することができる。したがって、本発明によれば、ばらまき型攻撃メールの検出に好適な不審メールの検出技術を提供することができる。
【図面の簡単な説明】
【0013】
図1図1は、本発明の一実施の形態に係る不審メール検出システムの概略構成図である。
図2図2は、本発明の一実施の形態に係る不審メール検出システムの動作例を説明するためのシーケンス図である。
図3図3は、本発明の一実施の形態に係る不審メール検出システムの動作例を説明するためのシーケンス図であり、図2の続きである。
図4図4は、本発明の一実施の形態に係る不審メール検出システムの動作例を説明するためのシーケンス図であり、図3の続きである。
図5図5は、メール端末1の概略機能構成図である。
図6図6は、メール本文中の文面から半角文字を削除することにより得られる全角文字列情報のハッシュ値を、メール本文中の文面により定まる所定のパターン情報として抽出する場合の原理を説明するための図である。
図7図7は、HTML形式の電子メールのメール本文から、その文面を構成するHTML文書のタグ情報のハッシュ値を、メール本文中の文面により定まる所定のパターン情報として抽出する場合の原理を説明するための図である。
図8図8は、HTML形式の電子メールのメール本文から、その文面を構成するHTML文書のタグ情報のハッシュ値を、メール本文中の文面により定まる所定のパターン情報として抽出する場合の原理を説明するための図であり、図7の続きである。
図9図9は、メール端末1の動作を説明するためのフロー図である。
図10図10は、注意喚起表示画面115の一例を示す図である。
図11図11は、検証結果表示画面116の一例を示す図である。
図12図12は、不審メール検出サーバ2の概略機能構成図である。
図13図13は、パターン情報リスト記憶部202の登録内容例を模式的に表した図である。
図14図14は、不審メールリスト記憶部203の登録内容例を模式的に表した図である。
図15図15は、不審メール検出サーバ2の動作を説明するためのフロー図である。
【発明を実施するための形態】
【0014】
以下に、本発明の一実施の形態について図面を参照して説明する。
【0015】
図1は、本実施の形態に係る不審メール検出システムの概略構成図である。
【0016】
図示するように、本実施の形態に係る不審メール検出システムは、メールサーバ6を介して電子メールを送受信する複数のメール端末1−1〜1−n(以下、単に、メール端末1とも呼ぶ)と、不審メール検出サーバ2とが、LAN3に接続されて構成されている。LAN3は、ゲートウェイ4を介してWAN5に接続されている。
【0017】
メール端末1は、メールサーバ6を介して電子メールを送受信する。なお、図1では、メールサーバ6をWAN5に接続しているが、LAN3に接続してもよい。
【0018】
不審メール検出サーバ2は、メール端末1が受信した電子メールのなかから不審メールを検出する。なお、図1では、不審メール検出サーバ2をLAN3に接続しているが、WAN5に接続してもよい。
【0019】
図2図4は、本実施の形態に係る不審メール検出システムの動作例を説明するためのシーケンス図である。
【0020】
まず、攻撃者のメール端末7が、メール本文中の文面はそのままに、メール本文中に記述された電話番号、メールアドレス等の連絡先、および/または、メール本文中の記述に設定されたリンク先をメール毎に変更して、メール端末1−1〜1−nのそれぞれを送信先とする複数の未知のばらまき型攻撃メールを作成して送信したものとする(S100)。これらのばらまき型攻撃メールは、それぞれ、メールサーバ6を介して送信先のメール端末1−1〜1−nに送信される。
【0021】
これを受けて、メール端末1−1〜1−nは、メール端末7から受信した電子メール(ばらまき型攻撃メール)のメール本文から、その文面により定まる所定のパターン情報を抽出する(S101、S105、S109)。ここで、所定のパターン情報には、例えば、メール本文中の文面から半角文字(バイト文字)を削除することにより得られる全角文字(マルチバイト文字)列情報のハッシュ値が用いられる。あるいは、電子メールがHTML(Hyper Text Markup Language)形式である場合、メール本文中の文面を構成するHTML文書から抽出したタグ情報であってタグ内の属性値が削除されたタグ情報のハッシュ値が用いられる。
【0022】
それから、メール端末1−1〜1−nは、メール端末7から受信した電子メールのヘッダ情報に含まれているメッセージIDをメールIDに設定し、このメールIDと、この電子メールのメール本文から抽出した所定のパターン情報と、を含むパターン登録依頼を生成して、このパターン登録依頼を不審メール検出サーバ2に送信する(S102、S106、S110)。
【0023】
つぎに、不審メール検出サーバ2は、メール端末1−1〜1−nのそれぞれから受信したパターン登録依頼に含まれている所定のパターン情報を、電子メールの開封状態(ここでは「未開封」)とともに、このパターン登録依頼に含まれているメールIDに紐付けて、該当するメール端末1のパターン情報リストに登録する(S103、S107、S111)。また、不審メール検出サーバ2は、ばらまき型攻撃メールの可能性があると例えば人為的に判断された電子メールである不審メールのメール本文中の文面により定まる所定のパターン情報が登録された不審メールリストから、メール端末1のそれぞれから受信したパターン登録依頼に含まれている所定のパターン情報を検索する(S104、S108、S112)。
【0024】
ここで、メール端末7がメール端末1−1〜1−nに送信した電子メールは未知のばらまき型攻撃メールであるので、これらのメール端末1から受信したパターン登録依頼に含まれている所定のパターン情報は、不審メールリストに登録されていない。この場合は、パターン登録依頼の送信元のメール端末1に対する応答処理は実施しない。
【0025】
なお、メール端末1から受信したパターン登録依頼に含まれている所定のパターン情報が不審メールリストに登録されている場合は、パターン登録依頼の送信元のメール端末1に対する応答処理を実施して、この所定のパターン情報に紐付けられて不審メールリストに登録されている検証結果に応じたメッセージを、パターン登録依頼に含まれているメールIDとともにパターン登録依頼の送信元のメール端末1に送信する。
【0026】
つぎに、メール端末1−1が、メールサーバ6経由でメール端末7から受信した電子メール(ばらまき型攻撃メール)の開封操作をユーザより受け付けたものとする(S113)。これを受けて、メール端末1−1は、開封した電子メールのメールID(ヘッダ情報に含まれているメッセージID)を含む開封通知を不審メール検出サーバ2に送信する(S114)。不審メール検出サーバ2は、メール端末1−1からの開封通知を受信すると、この開封通知に含まれているメールIDに紐付けられてメール端末1−1のパターン情報リストに登録されている開封状態を「未開封」から「開封済」に更新する(S115)。
【0027】
同様に、メール端末1−2がメールサーバ6経由でメール端末7から受信した電子メールの開封操作をユーザより受け付けたものとする(S116)。これを受けて、メール端末1−2は、開封した電子メールのメールIDを含む開封通知を不審メール検出サーバ2に送信する(S117)。不審メール検出サーバ2は、メール端末1−2からの開封通知を受信すると、この開封通知に含まれているメールIDに紐付けられてメール端末1−2のパターン情報リストに登録されている開封状態を「未開封」から「開封済」に更新する(S118)。
【0028】
つぎに、メール端末1−2が、メール端末7から受信した電子メールを閲覧したユーザから、この電子メールにばらまき型攻撃メールの可能性があるとする通報操作を受け付けたものとする(S119)。これを受けて、メール端末1−2は、この電子メールを不審メールに設定して、不審メールおよびこの不審メールのメールIDを含む不審メール通報を不審メール検出サーバ2に送信する(S120)。
【0029】
不審メール検出サーバ2は、メール端末1−2からの不審メール通報を受信すると、メール端末1−2のパターン情報リストを参照し、この不審メール通報に含まれているメールIDに紐付けられてメール端末1−2のパターン情報リストに登録されている所定のパターン情報を特定する。そして、特定した所定のパターン情報およびこの不審メール通報に含まれている不審メールを、検証による確認状態(ここでは「未確認」)を示すフラグ(以下、確認状態フラグ)とともに不審メールリストに登録する(S121)。
【0030】
つぎに、不審メール検出サーバ2は、不審メール通報の送信元であるメール端末1−2以外のメール端末1−1、1−3〜1−nのそれぞれについて、該当するメール端末1−1、1−3〜1−nのパターン情報リストから、不審メールリストに登録した所定のパターン情報を検索する(S122)。
【0031】
そして、不審メール検出サーバ2は、不審メール通報の送信元であるメール端末1−2以外のメール端末1−1、1−3〜1−nのそれぞれについて、該当するメール端末1−1、1−3〜1−nのパターン情報リストから、不審メールリストに登録した所定のパターン情報を検索できたならば、この所定のパターン情報に紐付けられて不審メールリストに登録されている確認状態が「未確認」であることを確認して、この所定のパターン情報に紐付けられて該当するメール端末1−1、1−3〜1−nのパターン情報リストに登録されている開封状態に応じた注意喚起メッセージを生成する。
【0032】
具体的には、開封状態「未開封」に対しては、例えば「第三者により不審メールが通報されました。安全性が確認されるまで開封しないでください。」というように、安全性が確認されるまで開封しないことを要求する注意喚起メッセージを生成し、開封状態「開封済」に対しては、例えば「第三者により不審メールが通報されました。安全性が確認されるまでメールの使用を中止してください。」というように、安全性が確認されるまでメールの使用中止を要求する注意喚起メッセージを生成する。それから、不審メール検出サーバ2は、生成した注意喚起メッセージと、この所定のパターン情報に紐付けられて該当するメール端末1−1、1−3〜1−nのパターン情報リストに登録されているメールIDと、を含む注意喚起通知を、該当するメール端末1−1、1−3〜1−nに送信する(S123、S124)。
【0033】
ここで、不審メール通報の送信元であるメール端末1−2以外のメール端末1−1、1−3〜1−nのうち、メール端末1−1は不審メールを開封済なので、このメール端末1−1に対しては、開封状態「開封済」に応じた注意喚起メッセージと、不審メールリストに登録した所定のパターン情報に紐付けられてメール端末1−1のパターン情報リストに登録されているメールIDと、を含む注意喚起通知を送信する(S123)。
【0034】
一方、メール端末1−3〜1−nに対しては、いずれのメール端末1−3〜1−nも不審メールを未開封なので、開封状態「未開封」に応じた注意喚起メッセージと、不審メールリストに登録した所定のパターン情報に紐付けられてそれぞれのメール端末1−3〜1−nのパターン情報リストに登録されているメールIDと、を含む注意喚起通知を送信する(S124)。
【0035】
メール端末1−1、1−3〜1−nは、不審メール検出サーバ2からの注意喚起通知を受信すると、この注意喚起通知に含まれているメールIDにより特定される電子メールの件名、差出人、宛先、受信日時等の諸情報を特定し、これらの諸情報を、注意喚起通知に含まれている注意喚起メッセージとともに表示する(S125、S126)。
【0036】
つぎに、S121において所定のパターン情報とともに不審メールリストに登録された不審メールについてセキュリティ機関等による検証が終了して、不審メール検出サーバ2が、この所定のパターン情報とともに不審メールリストに登録された確認状態フラグに検証結果を反映させるための確認状態更新操作を、管理者より受け付けたものとする(S127)。これを受けて、不審メール検出サーバ2は、受け付けた検証結果に従い、S121において所定のパターン情報とともに不審メールリストに登録された確認状態フラグを更新する(S128)。具体的には、確認状態フラグを「未確認」から「安全」あるいは「危険」に更新する。
【0037】
つぎに、不審メール検出サーバ2は、すべてのメール端末1−1〜1−nのそれぞれについて、該当するメール端末1−1〜1−nのパターン情報リストから、検証結果を反映させた確認状態フラグに対応付けられて不審メールリストに登録されている所定のパターン情報を検索する(S129)。
【0038】
そして、不審メール検出サーバ2は、すべてのメール端末1−1〜1−nのそれぞれについて、該当するメール端末1−1〜1−nのパターン情報リストから、検証結果を反映させた確認状態フラグに対応付けられて不審メールリストに登録されている所定のパターン情報を検索できたならば、この所定のパターン情報に紐付けられて該当するメール端末1−1〜1−nのパターン情報リストに登録されている開封状態と、この所定のパターン情報に紐付けられて不審メールリストに登録されている確認状態フラグが示す確認状態(ここでは「安全」または「危険」)と、に応じて検証結果メッセージを生成する。
【0039】
具体的には、確認状態「安全」かつ開封状態「未開封」に対しては、例えば「安全性が確認されました。開封しても問題ありません」というように、安全に開封可能であることを知らせる検証結果メッセージを生成し、確認状態「安全」かつ開封状態「開封済」に対しては、例えば「安全性が確認されました。メールを使用しても問題ありません。」というように、安全にメールを使用可能であることを知らせる検証結果メッセージを生成する。また、確認状態「危険」かつ開封状態「未開封」に対しては、例えば「ばらまき型攻撃メールであることが確認されました。開封することなく削除してください」というように、未開封のまま削除することを要求する検証結果メッセージを生成し、確認状態「危険」かつ開封状態「開封済」に対しては、例えば「ばらまき型攻撃メールであることが確認されました。感染の可能性があります。電源をオフにしてネットワークを切断し、管理者に連絡してください。」というように、ネットワークからの隔離および管理者への連絡を要求する検証結果メッセージを生成する。それから、不審メール検出サーバ2は、生成した検証結果メッセージと、検証結果を反映させた確認状態フラグとともに不審メールリストに登録されている所定のパターン情報に紐付けられて、該当するメール端末1−1〜1−nのパターン情報リストに登録されているメールIDと、を含む検証結果通知を、該当するメール端末1−1〜1−nに送信する(S130〜S132)。
【0040】
ここで、メール端末1−1は不審メールを開封済なので、このメール端末1−1に対しては、確認状態「安全または危険」かつ開封状態「開封済」に応じた検証結果メッセージと、検証結果を反映させた確認状態フラグとともに不審メールリストに登録されている所定のパターン情報に紐付けられてメール端末1−1のパターン情報リストに登録されているメールIDと、を含む検証結果通知を送信する(S130)。
【0041】
同様に、メール端末1−2は不審メールを開封済なので、このメール端末1−2に対しては、確認状態「安全または危険」かつ開封状態「開封済」に応じた検証結果メッセージと、検証結果を反映させた確認状態フラグとともに不審メールリストに登録されている所定のパターン情報に紐付けられてメール端末1−2のパターン情報リストに登録されているメールIDと、を含む検証結果通知を送信する(S131)。
【0042】
一方、他のメール端末1−3〜1−nはいずれも不審メールを未開封なので、これらのメール端末1−3〜1−nに対しては、確認状態「安全または危険」かつ開封状態「未開封」に応じた検証結果メッセージと、検証結果を反映させた確認状態フラグとともに不審メールリストに登録されている所定のパターン情報に紐付けられてそれぞれのメール端末1−3〜1−nのパターン情報リストに登録されているメールIDと、を含む検証結果通知を送信する(S132)。
【0043】
メール端末1−1〜1−nは、不審メール検出サーバ2から検証結果通知を受信すると、この検証結果通知に含まれているメールIDにより特定される電子メールの件名、差出人、宛先、受信日時等の諸情報を特定し、これらの諸情報を、検証結果通知に含まれている検証結果メッセージとともに表示する(S133〜S135)。
【0044】
つぎに、本実施の形態に係る不審メール検出システムを構成するメール端末1および不審メール検出サーバ2の詳細を説明する。
【0045】
まず、メール端末1の詳細を説明する。
【0046】
図5は、メール端末1の概略機能構成図である。
【0047】
図示するように、メール端末1は、ネットワークインターフェース部100と、マンマシンインターフェース部101と、メーラ102と、パターン情報抽出部103と、パターン登録依頼送信部104と、開封通知送信部105と、不審メール通報部106と、通知受信部107と、通知表示部108と、を備えている。
【0048】
ネットワークインターフェース部100は、LAN3に接続するためのインターフェースである。
【0049】
マンマシンインターフェース部101は、ユーザに情報を表示したり、ユーザから各種操作を受け付けたりするためのインターフェースであり、キーボード、マウス等の入力装置と、液晶ディスプレイ等の表示装置と、を有している。
【0050】
メーラ102は、電子メールクライアントとして必要な処理を実行する。例えば、自メール端末1を送信先とする電子メールをメールサーバ6から受信する。また、マンマシンインターフェース部101を介してユーザより受け付けた開封操作に従い、メールサーバ6から受信した電子メールのなかから、この開封操作により指定された電子メールをマンマシンインターフェース部101に表示する。また、マンマシンインターフェース部101と連携して電子メールを作成し、メールサーバ6に送信する。
【0051】
パターン情報抽出部103は、メーラ102がネットワークインターフェース部100を介してメールサーバ6から電子メールを受信する毎に、受信した電子メールのメール本文から、その文面により定まる所定のパターン情報を抽出する。上述したように、所定のパターン情報には、例えば、メール本文中の文面から半角文字(バイト文字)を削除することにより得られる全角文字(マルチバイト文字)列情報のハッシュ値が用いられる。あるいは、電子メールがHTML形式である場合、メール本文中の文面を構成するHTML文書から抽出したタグ情報であってタグ内の属性値が削除されたタグ情報のハッシュ値が用いられる。
【0052】
図6は、メール本文中の文面から半角文字を削除することにより得られる全角文字列情報のハッシュ値を、メール本文中の文面により定まる所定のパターン情報として抽出する場合の原理を説明するための図である。
【0053】
図6において、メール本文110は、ばらまき型攻撃メールのメール本文例である。上述したように、ばらまき型攻撃メールは、メール本文110中の文面はそのままに、メール本文110中に記述された電話番号1101、メールアドレス1102等の連絡先、および/または、メール本文110中の記述に設定されたリンク先1103をメール毎に変更して大量に作成されて、不特定多数に個別送信される。ここで、リンク先1103には半角文字が用いられる。また、電話番号1101、メールアドレス1102にも、半角文字が用いられる可能性が高い。そこで、メール本文110中から半角文字を削除して、大量に作成されるばらまき型攻撃メールにおいて共通する(メール毎に変更されない)可能性の高い全角文字列情報111を抽出する。この例では、電話番号1101、メールアドレス1102、リンク先1103の他に、周期的に配列された記号等の半角記号1104も削除して、メール本文110から全角文字列情報111を抽出している。そして、抽出した全角文字列情報111のハッシュ値を算出し、このハッシュ値を、メール本文110中の文面により定まる所定のパターン情報とする。
【0054】
図7および図8は、HTML形式の電子メールのメール本文から、その文面を構成するHTML文書のタグ情報であってタグ内の属性値が削除されたタグ情報のハッシュ値を、メール本文中の文面により定まる所定のパターン情報として抽出する場合の原理を説明するための図である。
【0055】
図7において、メール本文(HTML文書)112は、HTML形式のばらまき型攻撃メールのメール本文例である。上述したように、大量に作成されるばらまき型攻撃メール間において、メール本文112中に記述された電話番号、メールアドレス等の連絡先、および/または、メール本文中の記述に設定されたリンク先はメール毎に変更されるが、メール本文112中の文面は同じである可能性が高い。そこで、メール本文112を構成するHTML文書からタグ情報(属性値あり)113を抽出し、さらに、このタグ情報(属性値あり)113から、タグ内のアドレス等の属性値1130、1131を削除する。これにより、図8に示すように、タグ情報(属性値なし)114を抽出する。そして、抽出したタグ情報(属性値なし)114のハッシュ値を算出し、このハッシュ値を、メール本文(HTML文書)112中の文面により定まる所定のパターン情報とする。
【0056】
図5に戻って説明を続ける。
【0057】
パターン登録依頼送信部104は、パターン情報抽出部103によって電子メールのメール本文からパターン情報が抽出される毎に、この電子メールのヘッダ情報に含まれているメッセージIDをメールIDに設定し、このメールIDと、この電子メールのメール本文から抽出されたパターン情報と、を含むパターン登録依頼を生成する。そして、このパターン登録依頼を、ネットワークインターフェース部100を介して不審メール検出サーバ2に送信する。
【0058】
開封通知送信部105は、メーラ102がマンマシンインターフェース部101を介してユーザから未開封の電子メールの指定を伴う開封操作を受け付けた場合に、この開封操作で指定された電子メールのヘッダ情報に含まれているメッセージIDをメールIDに設定し、このメールIDを含む開封通知を、ネットワークインターフェース部100を介して不審メール検出サーバ2に送信する。
【0059】
不審メール通報部106は、メーラ102によってマンマシンインターフェース部101に表示された閲覧中の電子メールについて、マンマシンインターフェース部101を介してユーザから、ばらまき型攻撃メールの可能性があるとする通報操作を受け付けた場合に、この電子メールのヘッダ情報に含まれているメッセージIDをメールIDに設定し、このメールIDおよび電子メールを含む不審メール通報を生成する。そして、この不審メール通報を、ネットワークインターフェース部100を介して不審メール検出サーバ2に送信する。
【0060】
通知受信部107は、ネットワークインターフェース部100を介して不審メール検出サーバ2から注意喚起通知および検証結果通知を受信する。
【0061】
通知表示部108は、通知受信部107が注意喚起通知を受信すると、この注意喚起通知に含まれているメールIDにより特定される電子メールの件名、差出人、宛先、受信日時等の諸情報をメーラ102から取得する。そして、取得した諸情報を、この注意喚起通知に含まれている注意喚起メッセージとともに表示する。また、通知表示部108は、通知受信部107が検証結果通知を受信すると、この検証結果通知に含まれているメールIDにより特定される電子メールの件名、差出人、宛先、受信日時等の諸情報をメーラ102から取得する。そして、取得した諸情報を、この検証結果通知に含まれている検証結果メッセージとともに表示する。
【0062】
図9は、メール端末1の動作を説明するためのフロー図である。
【0063】
メーラ102がネットワークインターフェース部100を介してメールサーバ6から電子メールを受信すると(S200でYES)、パターン情報抽出部103は、この電子メールのメール本文からその文面により定まる所定のパターン情報を抽出する(S201)。そして、抽出したパターン情報を、この電子メールのヘッダ情報に含まれているメッセージIDとともにパターン登録依頼送信部104に渡す。
【0064】
これを受けて、パターン登録依頼送信部104は、パターン情報抽出部103から受け取ったメッセージIDをメールIDに設定し、このメールIDと、このメールIDとともにパターン情報抽出部103から受け取ったパターン情報と、を含むパターン登録依頼を生成する。そして、このパターン登録依頼を、ネットワークインターフェース部100を介して不審メール検出サーバ2に送信する(S202)。
【0065】
また、メーラ102が、未開封の電子メールの指定を伴う開封操作を、マンマシンインターフェース部101を介してユーザから受け付けると(S203でYES)、開封通知送信部105は、この開封操作で指定されている電子メールのヘッダ情報に含まれているメッセージIDをメールIDに設定する。そして、このメールIDを含む開封通知を、ネットワークインターフェース部100を介して不審メール検出サーバ2に送信する(S204)。
【0066】
また、不審メール通報部106は、メーラ102によってマンマシンインターフェース部101に表示された閲覧中の電子メールについて、マンマシンインターフェース部101を介してユーザから通報操作を受け付けると(S205でYES)、この電子メールのヘッダ情報に含まれているメッセージIDをメールIDに設定する。そして、このメールIDおよびマンマシンインターフェース部101に表示中の電子メールを含む不審メール通報を生成し、この不審メール通報を、ネットワークインターフェース部100を介して不審メール検出サーバ2に送信する(S206)。
【0067】
また、通知受信部107は、ネットワークインターフェース部100を介して不審メール検出サーバ2から注意喚起通知を受信すると(S207でYES)、この注意喚起通知を通知表示部108に渡す。これを受けて、通知表示部108は、メーラ102を参照して、メーラ102に保存されている受信メールのなかから、この注意喚起通知に含まれているメールIDをメッセージIDとしてヘッダ情報に含む電子メールを特定する。そして、特定した電子メールの件名、差出人、宛先、受信日時等の諸情報を取得する。それから、通知表示部108は、取得した諸情報と、この注意喚起通知に含まれている注意喚起メッセージと、を含む注意喚起表示画面を生成して、この注意喚起表示画面をマンマシンインターフェース部101に表示する(S208)。
【0068】
図10は、注意喚起表示画面115の一例を示す図である。
【0069】
図10において、符号1150は、注意喚起通知に含まれている注意喚起メッセージの表示欄である。ここでは、注意喚起通知の送信先のメール端末1−3〜1−nにおいて、注意喚起通知に含まれているメールIDにより特定される電子メールの開封状態が「未開封」である場合の表示例を示している。また、符号1151は、注意喚起通知に含まれているメールIDをメッセージIDとしてヘッダ情報に含む電子メールの諸情報であり、例えば、件名、差出人、宛先、受信日時を含む。また、符号1152、1153は、注意喚起表示画面115を閉じるための終了ボタンである。マンマシンインターフェース部101を介してユーザより、終了ボタン1152が選択された場合、通知表示部108は、マンマシンインターフェース部101への注意喚起表示画面115の表示を終了する。一方、終了ボタン1153が選択された場合、通知表示部108は、マンマシンインターフェース部101への注意喚起表示画面115の表示を終了するとともに、注意喚起通知に含まれているメールIDをメーラ102に通知して電子メールの削除を要求する。これを受けて、メーラ102は、このメールIDをメッセージIDとしてヘッダ情報に含む電子メールを削除する。
【0070】
また、通知受信部107は、ネットワークインターフェース部100を介して不審メール検出サーバ2から検証結果通知を受信すると(S209でYES)、この検証結果通知を通知表示部108に渡す。これを受けて、通知表示部108は、メーラ102を参照して、メーラ102に保存されている受信メールのなかから、この検証結果通知に含まれているメールIDをメッセージIDとしてヘッダ情報に含む電子メールを特定する。そして、特定した電子メールの件名、差出人、宛先、受信日時等の諸情報を取得する。それから、通知表示部108は、取得した諸情報と、この検証結果通知に含まれている検証結果メッセージと、を含む検証結果表示画面を生成して、この検証結果表示画面をマンマシンインターフェース部101に表示する(S210)。
【0071】
図11は、検証結果表示画面116の一例を示す図である。
【0072】
図11において、符号1160は、検証結果通知に含まれている検証結果メッセージの表示欄である。ここでは、検証結果通知の送信先のメール端末1−3〜1−nにおいて、この検証結果通知に含まれているメールIDにより特定される電子メールの確認状態(検証結果)が「危険」であり、かつ、このメール端末1−3〜1−nにおけるこの電子メールの開封状態が「未開封」である場合の表示例を示している。また、符号1161は、検証結果通知に含まれているメールIDをメッセージIDとしてヘッダ情報に含む電子メールの諸情報であり、例えば、件名、差出人、宛先、受信日時を含む。また、符号1162、1163は、検証結果表示画面116を閉じるための終了ボタンである。マンマシンインターフェース部101を介してユーザより、終了ボタン1162が選択された場合、通知表示部108は、マンマシンインターフェース部101への検証結果表示画面116の表示を終了する。一方、終了ボタン1163が選択された場合、通知表示部108は、マンマシンインターフェース部101への検証結果表示画面116の表示を終了するとともに、検証結果通知に含まれているメールIDをメーラ102に通知して電子メールの削除を要求する。これを受けて、メーラ102は、このメールIDをメッセージIDとしてヘッダ情報に含む電子メールを削除する。
【0073】
つぎに、不審メール検出サーバ2の詳細を説明する。
【0074】
図12は、不審メール検出サーバ2の概略機能構成図である。
【0075】
図示するように、不審メール検出サーバ2は、ネットワークインターフェース部200と、マンマシンインターフェース部201と、パターン情報リスト記憶部202と、不審メールリスト記憶部203と、パターン登録依頼処理部204と、開封通知処理部205と、不審メール通報処理部206と、注意喚起通知送信部207と、確認状態更新部208と、検証結果通知送信部209と、を備えている。
【0076】
ネットワークインターフェース部200は、LAN3に接続するためのインターフェースである。
【0077】
マンマシンインターフェース部201は、管理者(不審メールの解析者)に情報を表示したり、管理者から各種操作を受け付けたりするためのインターフェースであり、キーボード、マウス等の入力装置と、液晶ディスプレイ等の表示装置と、を有している。
【0078】
パターン情報リスト記憶部202には、メール端末1毎に、メール端末1が受信した電子メールのパターン情報リストが記憶される。
【0079】
図13は、パターン情報リスト記憶部202の登録内容例を模式的に表した図である。
【0080】
図示するように、パターン情報リスト記憶部202には、メール端末1毎に、パターン情報リストのテーブル2020が記憶されている。パターン情報リストのテーブル2020には、メール端末1が受信した電子メール毎にパターン情報のレコード2021が記憶される。パターン情報のレコード2021は、登録日時を登録するフィールド2022と、メールIDを登録するフィールド2023と、パターン情報を登録するフィールド2024と、該当するメール端末1における電子メールの開封状態(「開封済」または「未開封」)を登録するフィールド2025と、フィールド2025の開封状態が「未開封」から「開封済」に更新された場合にその更新日時を登録するフィールド2026と、を有する。
【0081】
不審メールリスト記憶部203には不審メールリストが記憶されている。
【0082】
図14は、不審メールリスト記憶部203の登録内容例を模式的に表した図である。
【0083】
図示するように、不審メールリスト記憶部203には、不審メール通報された不審メール毎に、不審メールのレコード2030が登録されている。不審メールのレコード2030は、不審メール通報の通報日時を登録するフィールド2031と、不審メール通報の通報元のメール端末1を登録するフィールド2032と、不審メールのメールIDを登録するフィールド2033と、不審メールあるいはその格納先を登録するフィールド2034と、不審メールの安全性の確認状態(「安全」、「危険」または「未確認」)を表す確認状態フラグを登録するフィールド2035と、フィールド2035の確認状態フラグが「未確認」から「安全」または「危険」に更新された場合にその更新日時を登録するフィールド2036と、を有する。
【0084】
パターン登録依頼処理部204は、ネットワークインターフェース部200を介してメール端末1から受信したパターン登録依頼を処理する。
【0085】
開封通知処理部205は、ネットワークインターフェース部200を介してメール端末1から受信した開封通知を処理する。
【0086】
不審メール通報処理部206は、ネットワークインターフェース部200を介してメール端末1から受信した不審メール通報を処理する。
【0087】
注意喚起通知送信部207は、不審メールリスト記憶部203に不審メールのレコード2030が追加される毎に、あるいは、パターン登録依頼処理部204より受け取った注意喚起通知送信指示に従い、注意喚起通知の送信処理を実施する。
【0088】
確認状態更新部208は、マンマシンインターフェース部201を介して管理者(不審メールの解析者)から受け付けた確認状態更新操作に従い、不審メールリスト記憶部203に記憶されている不審メールのレコード2030の確認状態フラグを更新する。
【0089】
検証結果通知送信部209は、不審メールリスト記憶部203に登録されているいずれかの不審メールのレコード2030のフィールド2035に登録されている確認状態フラグが更新される毎に、あるいは、パターン登録依頼処理部204より受け取った検証結果通知送信指示に従い、検証結果通知の送信処理を実施する。
【0090】
図15は、不審メール検出サーバ2の動作を説明するためのフロー図である。
【0091】
パターン登録依頼処理部204は、ネットワークインターフェース部200を介してメール端末1からパターン登録依頼を受信すると(S300でYES)、パターン登録依頼の送信元のメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されているパターン情報リストのテーブル2020にパターン情報のレコード2021を追加して、このレコード2020のフィールド2022に現在日時を登録するとともに、フィールド2023、2024にパターン登録依頼に含まれているメールID、パターン情報を登録する。また、フィールド2025に開封状態「未開封」を登録し、フィールド2026を空欄(Null)とする(S301)。
【0092】
つぎに、パターン登録依頼処理部204は、パターン登録依頼の送信元以外のメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されているパターン情報リストのテーブル2020各々について、パターン登録依頼に含まれているパターン情報がフィールド2024に登録されているパターン情報のレコード2021を検索する。そして、該当するパターン情報リストのレコード2021が検索できたならば、このレコード2021を含むパターン情報リストのテーブル2020に対応付けられているメール端末1が不審メール通報の送信元としてフィールド2032に登録され、検索したパターン情報のレコード2021のフィールド2023に登録されているメールIDがフィールド2033に登録されている不審メールのレコード2030を、不審メールリスト記憶部203から検索する(S302)。
【0093】
そして、該当する不審メールのレコード2030を検索できたならば(S303でYES)、パターン登録依頼処理部204は、検索した不審メールのレコード2030のフィールド2035に登録されている確認状態フラグが「未確認」であるか否かを判断する(S304)。
【0094】
ここで、確認状態フラグが「未確認」である場合(S304でYES)、パターン登録依頼処理部204は、パターン登録依頼の送信元と、パターン登録依頼に含まれているメールIDと、検索したパターン情報リストのレコード2021のフィールド2025の開封状態「未開封」と、を含む注意喚起通知送信指示を、注意喚起通知送信部207に出力する。これを受けて、注意喚起通知送信部207は、パターン登録依頼処理部204から受け付けた注意喚起通知送信指示に含まれているメールIDと、この注意喚起通知送信指示に含まれている開封状態「未開封」に応じた注意喚起メッセージと、を含む注意喚起通知を生成し、この注意喚起通知を、ネットワークインターフェース部200を介して、この注意喚起通知送信指示に含まれているパターン登録依頼の送信元のメール端末1に送信する(S305)。
【0095】
一方、確認状態フラグが「未確認」でない場合(S304でNO)、つまり確認状態フラグが「安全」または「危険」である場合、パターン登録依頼処理部204は、パターン登録依頼の送信元と、パターン登録依頼に含まれているメールIDと、検索したパターン情報リストのレコード2021のフィールド2025の開封状態「未開封」と、確認状態フラグが示す確認状態(「安全」または「危険」)と、を含む検証結果通知送信指示を、検証結果通知送信部209に出力する。これを受けて、検証結果通知送信部209は、パターン登録依頼処理部204から受け取った検証結果通知送信指示に含まれているメールIDと、この検証結果通知送信指示に含まれている開封状態「未開封」および確認状態(「安全」または「危険」)に応じた検証結果メッセージと、を含む検証結果通知を生成し、生成した検証結果通知を、ネットワークインターフェース部200を介して、この検証結果通知送信指示に含まれているパターン登録依頼の送信元のメール端末1に送信する(S306)。
【0096】
また、不審メール通報処理部206は、ネットワークインターフェース部200を介してメール端末1から不審メール通報を受信すると(S307でYES)、不審メールリスト記憶部203に不審メールのレコード2030を追加して、このレコード2030のフィールド2031に現在日時を登録し、フィールド2032に不審メール通報の送信元を登録し、そして、フィールド2033に不審メール通報に含まれているメールIDを登録するとともに、フィールド2034に不審メール通報に含まれている不審メールあるいはその格納先を登録する。また、フィールド2035に確認状態フラグ「未確認」を登録し、フィールド2036を空欄(Null)とする(S308)。
【0097】
注意喚起通知送信部207は、不審メールリスト記憶部203に不審メールのレコード2030が追加されると、この不審メールのレコード2030のフィールド2032に登録されている不審メール通報の送信元のメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されているパターン情報リストのテーブル2020から、この不審メールのレコード2030のフィールド2033に登録されているメールIDがフィールド2023に登録されているパターン情報のレコード2021を検索し、検索したレコード2021のフィールド2024に登録されているパターン情報を取得する。それから、不審メール通報の送信元以外のメール端末1各々について、該当するメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されているパターン情報リストのテーブル2020から、取得したパターン情報がフィールド2024に登録されているパターン情報のレコード2021を検索する(S309)。
【0098】
そして、パターン情報のレコード2021を検索できたならば(S310でYES)、検索したパターン情報のレコード2021各々について、該当するレコード2021のフィールド2023に登録されているメールIDと、このレコード2021のフィールド2025に登録されている開封状態(「開封済」あるいは「未開封」)に応じた注意喚起メッセージと、を含む注意喚起通知を生成し、この注意喚起通知を、ネットワークインターフェース部200を介して、該当するレコード2021が検索されたパターン情報リストのテーブル2020に対応付けられているメール端末1に送信する(S311)。
【0099】
また、確認状態更新部208は、マンマシンインターフェース部201を介して管理者から、不審メール通報の送信元、メールID、および検証結果の指定を伴う確認状態更新操作を受け付けると(S312でYES)、不審メールリスト記憶部203から、確認状態更新操作で指定された送信元、メールIDがフィールド2032、2033に登録されている不審メールのレコード2030を検索する。そして、検索したレコード2030のフィールド2035に登録されている確認状態フラグを、「未確認」から、確認状態更新操作で指定された検証結果(「安全」または「危険」)に更新するとともに、フィールド2036に現在日時を登録する(S313)。
【0100】
つぎに、検証結果通知送信部209は、更新された不審メールのレコード2030のフィールド2032に登録されている不審メール通報の送信元のメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されているパターン情報リストのテーブル2020から、更新された不審メールのレコード2030のフィールド2033に登録されているメールIDがフィールド2023に登録されているパターン情報のレコード2021を検索し、検索したレコード2021のフィールド2024に登録されているパターン情報を取得する。それから、パターン情報リスト記憶部202に記憶されているすべてのパターン情報リストのテーブル2020各々について、取得したパターン情報がフィールド2024に登録されているパターン情報のレコード2021を検索する(S314)。
【0101】
つぎに、検証結果通知送信部209は、検索されたパターン情報のレコード2021各々について、検索したレコード2021のフィールド2023に登録されているメールIDと、このレコード2021のフィールド2025に登録されている開封状態(「開封済」あるいは「未開封」)および更新された不審メールのレコード2030のフィールド2035の確認状態フラグ(「安全」あるいは「危険」)に応じた検証結果メッセージと、を含む検証結果通知を生成して、この検証結果通知を、ネットワークインターフェース部200を介して、該当するレコード2021が検索されたパターン情報リストのテーブル2020に対応付けられているメール端末1に送信する(S315)。
【0102】
また、開封通知処理部205は、ネットワークインターフェース部200を介してメール端末1から開封通知を受信すると(S316でYES)、開封通知の送信元のメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されているパターン情報リストのテーブル2020から、開封通知に含まれているメールIDがフィールド2023に登録されているパターン情報のレコード2021を検索する。そして、検索したレコード2021のフィールド2025に登録されている開封状態を「未開封」から「開封済」に更新するとともに、フィールド2026に現在日時を登録する(S317)。
【0103】
以上、本発明の一実施の形態について説明した。
【0104】
本実施の形態では、不特定多数に送信されるばらまき型攻撃メールでは、一般に、メール本文中に記述された電話番号、メールアドレス等の連絡先、および/または、メール本文中の記述に設定されたリンク先はメール毎に変更されるが、メール本文中の文面はそのままであることに着目し、不審メール検出サーバ2が、メール端末1毎に蓄積された受信メールのメール本文中の文面により定まる所定のパターン情報のなかから、ばらまき型攻撃メールあるいはその可能性があると例えば人為的に判断された電子メールのメール本文中の文面により定まる所定のパターン情報を検索して、この所定のパターン情報を有する受信メールのメールIDを、この受信メールを受信したメール端末1に通知する。このため、ヘッダ情報が偽装されている場合でも、ばらまき型攻撃メールを検出できる可能性が高まる。また、ばらまき型攻撃メールあるいはその可能性があると例えば人為的に判断される前にこのメールを受信しているメール端末1のユーザにも、このメールに対する注意を喚起することができる。
【0105】
また、本実施の形態において、不審メール検出サーバ2は、不審メール通報に応じて、パターン情報リスト記憶部202にメール端末1毎に記憶されているパターン情報リストのテーブル2020のなかから、ばらまき型攻撃メールの可能性があると例えば人為的に判断された電子メールのパターン情報が登録されたパターン情報のレコード2021を検索し、検索したレコード2021に登録されているメールIDを含む注意喚起通知を、このレコード2021が検索されたパターン情報リストのテーブル2020に対応付けられているメール端末1に送信するとともに、不審メールリスト記憶部203に、ばらまき型攻撃メールの可能性があると例えば人為的に判断された電子メールおよびそのメールIDと、検証による確認状態「未確認」と、を含む不審メールのレコード2030を登録する。また、ばらまき型攻撃メールの可能性があると例えば人為的に判断された電子メールの検証が終了して、不審メールのレコード2030に含まれている確認状態フラグが「未確認」からその検証結果(「安全」または「危険」)に更新されたならば、注意喚起通知の送信先のメール端末1に、この不審メールのレコード2030に含まれているメールIDおよび確認状態フラグに応じたメッセージを含む検証結果通知を送信する。したがって、メール端末1のユーザは、受信メールにばらまき型攻撃メールの可能性があることを速やかに知ることができるとともに、後からその検証結果を知ることができるので、ばらまき型攻撃メールの可能性があると判断された受信メールに対して、適切な対応を行うことができる。
【0106】
また、本実施の形態において、メール端末1は、電子メールを受信する毎に、受信メールからパターン情報を抽出して、抽出したパターン情報およびこの受信メールのメールIDを含むパターン登録依頼を不審メール検出サーバ2に送信する。また、閲覧中の受信メールに対して操作者から通報操作を受け付けた場合に、この閲覧中の受信メールをばらまき型攻撃メールの可能性があるメールとして、この閲覧中の受信メールのメールIDを含む不審メール通報を不審メール検出サーバ2に送信する。一方、不審メール検出サーバ2は、メール端末1からパターン登録依頼を受信する毎に、このパターン登録依頼に含まれているメールIDおよびパターン情報が登録されたパターン情報のレコード2021を、パターン登録依頼の送信元のメール端末1に対応付けられてパターン情報リスト記憶部202に記憶されたパターン情報リストのテーブル2020に追加する。メール端末1から不審メール通報を受信した場合、この不審メール通報の送信元のメール端末1に対応付けられたパターン情報リストのテーブル2020から、不審メール通報に含まれているメールIDに紐付けられているパターン情報のレコード2021を特定する。そして、不審メール通報の送信元以外のメール端末1それぞれのパターン情報リストのテーブル2020から、不審メール通報の送信元のメール端末1に対応付けられたパターン情報リストのテーブル2020から特定したレコード2021に登録されているパターン情報が登録されているパターン情報のレコード2021を検索する。そして、検索したレコード2021に登録されているメールIDを含む注意喚起通知を、このレコード2021を含むパターン情報リストのテーブル2020に対応付けられたメール端末1に送信する。このため、あるメール端末1が不審メール通報を不審メール検出サーバ2に送信することで、この不審メール通報においてばらまき型攻撃メールの可能性が指摘されている電子メールを受信した他のメール端末1各々にも注意喚起することができるので、ばらまき型攻撃メールの被害の拡大を迅速に防止することができる。
【0107】
なお、本発明は上記の実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【0108】
例えば、上記の実施の形態では、電子メールのメール本文中の文面により定まる所定のパターン情報が、ばらまき型攻撃メールあるいはその可能性があると例えば人為的に判断された電子メールのそれと一致するか否かにより、この電子メールがばらまき型攻撃メールであるか否かあるいはその可能性があるか否かを判定している。しかしながら、本発明はこれに限定されない。例えば、電子メールのメール本文中の文面に電子メールの件名および添付ファイル名の少なくとも一方を組合せ、この組合せにより定まる所定のパターン情報(例えば、この組合せから半角文字を削除することにより得られる全角文字列情報のハッシュ値)が、ばらまき型攻撃メールあるいはその可能性があると例えば人為的に判断された電子メールである不審メールのそれと一致するか否かにより、対象メールにばらまき型攻撃メールの可能性があるか否かを判定してもよい。
【0109】
また、上記の実施の形態では、電子メールのメールIDとして、電子メールのヘッダ情報に含まれているメッセージIDを用いているが、本発明はこれに限定されない。メールIDは、電子メールから得られる電子メールを識別可能な固有の情報であればどのようなものでもよい。例えば、電子メールの件名あるいは差出人と受信日時との組合せをメールIDとして用いてもよい。
【0110】
また、上記の実施の形態では、メール本文中の文面から半角文字(バイト文字)を削除することにより得られる全角文字(マルチバイト文字)列情報のハッシュ値を所定のパターン情報の一例として挙げているが、半角文字に加えて、スペース、絵文字等の記号を削除してもよい。
【0111】
また、上記の実施の形態では、メール端末1が受信メールからパターン情報を抽出して、この抽出したパターン情報およびメールIDを含むパターン登録依頼を不審メール検出サーバ2に送信している。しかしながら、本発明はこれに限定されない。メール端末1は、受信メールおよびメールIDを含むパターン登録依頼を不審メール検出サーバ2に送信し、不審メール検出サーバ2が、パターン登録依頼に含まれている受信メールからパターン情報を抽出するようにしてもよい。
【0112】
また、上記の実施の形態では、メール端末1がばらまき型攻撃メールの可能性がある電子メールおよびそのメールIDを含む不審メール通報を不審メール検出サーバ2に送信し、不審メール検出サーバ2が、不審メール通報の送信元のメール端末1に対応付けられたパターン情報リストのテーブル2020から、不審メール通報のメールIDが登録されているパターン情報のレコード2021を検索し、このレコード2021からばらまき型攻撃メールの可能性がある電子メールのパターン情報を取得している。しかし、本発明はこれに限定されない。メール端末1がばらまき型攻撃メールの可能性がある電子メールおよびそのパターン情報を含む不審メール通報を不審メール検出サーバ2に送信し、不審メール検出サーバ2が、ばらまき型攻撃メールの可能性がある電子メールのパターン情報を不審メール通報から取得してもよい。あるいは、メール端末1がばらまき型攻撃メールの可能性がある電子メールを含む不審メール通報を不審メール検出サーバ2に送信し、不審メール検出サーバ2が、不審メール通報に含まれているばらまき型攻撃メールの可能性がある電子メールからパターン情報を抽出してもよい。
【0113】
また、上記の実施の形態では、メール端末1がLAN3に接続された有線端末である場合を例にとり説明したが、本発明はこれに限定されない。メール端末1は、無線を介してLAN3に接続された無線端末であってもよい。
【0114】
また、上記の実施の形態において、図5に示すメール端末1および図12に示す不審メール検出サーバ2の機能構成は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などの集積ロジックICによりハード的に実現されるか、DSP(Digital Signal Processor)等の計算機によりソフトウエア的に実現される。あるいは、CPUと、メモリと、ハードディスク、フラッシュメモリ等の補助記憶装置と、NIC(Network Interface Card)、無線アダプタ等の通信インターフェースと、を備えたPC、タブレットPC、スマートフォン等の汎用コンピュータにおいて、CPUが、所定のプログラムを、補助記憶装置からメモリ上にロードして実行することにより実現される。
【符号の説明】
【0115】
1、1−1〜1−n:メール端末 2:不審メール検出サーバ
3:LAN 4:ゲートウェイ 5:WAN 6:メールサーバ
7:メール端末(攻撃者) 100:ネットワークインターフェース部
101:マンマシンインターフェース部 102:メーラ
103:パターン情報抽出部 104:パターン登録依頼送信部
105:開封通知送信部 106:不審メール通報部
107:通知受信部 108:通知表示部
200:ネットワークインターフェース部
201:マンマシンインターフェース部 202:パターン情報リスト記憶部
203:不審メールリスト記憶部 204:パターン登録依頼処理部
205:開封通知処理部 206:不審メール通報処理部
207:注意喚起通知送信部 208:確認状態更新部
209:検証結果通知送信部
【要約】
【課題】ばらまき型攻撃メールの検出に好適な不審メールの検出技術を提供する。
【解決手段】不審メール検出サーバ2は、メール端末1毎に、受信メールのメール本文中の文面により定まる所定のパターン情報をこの受信メールのメールIDとともに蓄積する。そして、メール端末1毎に、ばらまき型攻撃メールあるいはその可能性があると判断された電子メールのメール本文中の文面により定まる所定のパターン情報を、該当するメール端末1に対応付けられて蓄積された所定のパターン情報のなかから検索する。そして、パターン情報を検索できたならば、このパターン情報に紐付けられているメールIDを、該当するメール端末1に通知する。
【選択図】図1
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.