特許第6871357号(P6871357)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ビットディフェンダー アイピーアール マネジメント リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ビットディフェンダー アイピーアール マネジメント リミテッドの特許一覧

特許6871357オンライン詐欺を検出するためのシステムおよび方法
<>
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000002
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000003
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000004
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000005
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000006
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000007
  • 特許6871357-オンライン詐欺を検出するためのシステムおよび方法 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6871357
(24)【登録日】2021年4月19日
(45)【発行日】2021年5月12日
(54)【発明の名称】オンライン詐欺を検出するためのシステムおよび方法
(51)【国際特許分類】
   G06F 21/44 20130101AFI20210426BHJP
   G06F 16/906 20190101ALI20210426BHJP
   G06F 13/00 20060101ALI20210426BHJP
   G06F 16/955 20190101ALI20210426BHJP
【FI】
   G06F21/44
   G06F16/906
   G06F13/00 510A
   G06F16/955
【請求項の数】21
【全頁数】18
(21)【出願番号】特願2019-501555(P2019-501555)
(86)(22)【出願日】2017年7月10日
(65)【公表番号】特表2019-528509(P2019-528509A)
(43)【公表日】2019年10月10日
(86)【国際出願番号】EP2017067192
(87)【国際公開番号】WO2018011104
(87)【国際公開日】20180118
【審査請求日】2020年1月28日
(31)【優先権主張番号】15/206,761
(32)【優先日】2016年7月11日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】312016539
【氏名又は名称】ビットディフェンダー アイピーアール マネジメント リミテッド
(74)【代理人】
【識別番号】100140109
【弁理士】
【氏名又は名称】小野 新次郎
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100120112
【弁理士】
【氏名又は名称】中西 基晴
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(72)【発明者】
【氏名】ダミアン,アリン−オクタヴィアン
【審査官】 吉田 歩
(56)【参考文献】
【文献】 特開2015−179416(JP,A)
【文献】 特開2011−237979(JP,A)
【文献】 特開2011−193343(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 13/00
G06F 16/906
G06F 16/955
(57)【特許請求の範囲】
【請求項1】
逆アドレスマッパと、前記逆アドレスマッパに接続された登録データフィルタと、前記登録データフィルタに接続されたコンテンツ分析器とを動作させるように構成された少なくとも1つのハードウェアプロセッサを備えるコンピュータシステムであって、
前記逆アドレスマッパは、知られている詐欺的インターネットドメインに従って、共同ホストされたインターネットドメインのセットを識別するように構成され、前記知られている詐欺的インターネットドメインは、ターゲットインターネットプロトコル(IP)アドレスに位置し、共同ホストされたインターネットドメインの前記セットを識別することは、共同ホストされたインターネットドメインの前記セットのすべてのメンバーが、前記ターゲットIPアドレスに位置するように、共同ホストされたインターネットドメインの前記セットを選択することを含み、
前記登録データフィルタは、詐欺候補ドメインのサブセットを生成するために、共同ホストされたインターネットドメインの前記セットをフィルタ処理するように構成され、共同ホストされたインターネットドメインの前記セットをフィルタ処理することは、
共同ホストされたインターネットドメインの前記セットのドメインを特徴づけるドメイン名登録データに従って、選択条件が満たされるかどうかを判定することと、
それに応答して、前記選択条件が満たされるときに、前記ドメインを、詐欺候補ドメインの前記サブセットへと選択することと
を含み、
前記コンテンツ分析器は、
詐欺候補ドメインの前記サブセットから選択された候補ドメインによって配信された電子ドキュメントを、前記電子ドキュメントが詐欺的であるかどうかを判定するために分析することと、
それに応答して、前記電子ドキュメントが詐欺的であるときに、前記候補ドメインが詐欺的であると判定することと
を行うように構成された、
コンピュータシステム。
【請求項2】
請求項1に記載のコンピュータシステムであって、前記選択条件が満たされるかどうかを判定することは、前記ドメインを特徴づける前記ドメイン名登録データを、前記知られている詐欺的インターネットドメインを特徴づけるドメイン名登録データと比較することを含む、コンピュータシステム。
【請求項3】
請求項2に記載のコンピュータシステムであって、前記選択条件が満たされるかどうかを判定することは、前記ドメインの登録タイムスタンプを、前記知られている詐欺的インターネットドメインの登録タイムスタンプと比較することを含む、コンピュータシステム。
【請求項4】
請求項1に記載のコンピュータシステムであって、前記ドメインを特徴づける前記ドメイン名登録データは、電子メールアドレスを含み、前記登録データフィルタは、前記電子メールアドレスに従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項5】
請求項4に記載のコンピュータシステムであって、前記登録データフィルタは、前記電子メールアドレスの長さに従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項6】
請求項4に記載のコンピュータシステムであって、前記登録データフィルタは、前記電子メールアドレスに送られた電子メールを扱うメールサーバの識別情報に従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項7】
請求項4に記載のコンピュータシステムであって、前記登録データフィルタは、前記電子メールアドレスのプロバイダが匿名電子メールアカウントを許可するかどうかに従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項8】
請求項4に記載のコンピュータシステムであって、前記登録データフィルタは、前記電子メールアドレスが自動的に生成された可能性に従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項9】
請求項1に記載のコンピュータシステムであって、前記ドメインを特徴づける前記ドメイン名登録データは、電話番号を含み、前記登録データフィルタは、前記電話番号に従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項10】
請求項9に記載のコンピュータシステムであって、前記選択条件が満たされるかどうかを判定することは、前記電話番号を所有するエンティティを決定するために、逆電話番号ルックアップを実施することを含み、前記登録データフィルタは、前記逆電話番号ルックアップの結果に従って、前記選択条件が満たされるかどうかを判定するように構成された、コンピュータシステム。
【請求項11】
詐欺的インターネットドメインを識別する方法であって、前記方法は、
少なくとも1つのハードウェアプロセッサを用いて、知られている詐欺的インターネットドメインに従って、共同ホストされたインターネットドメインのセットを識別するステップであって、前記知られている詐欺的インターネットドメインは、ターゲットインターネットプロトコル(IP)アドレスに位置し、共同ホストされたインターネットドメインの前記セットを識別するステップは、共同ホストされたインターネットドメインの前記セットのすべてのメンバーが、前記ターゲットIPアドレスに位置するように、共同ホストされたインターネットドメインの前記セットを選択するステップを含む、識別するステップと、
前記少なくとも1つのハードウェアプロセッサを用いて、詐欺候補ドメインのサブセットを生成するために、共同ホストされたインターネットドメインの前記セットをフィルタ処理するステップであって、共同ホストされたインターネットドメインの前記セットをフィルタ処理するステップは、
共同ホストされたインターネットドメインの前記セットのドメインを特徴づけるドメイン名登録データに従って、選択条件が満たされるかどうかを判定するステップと、
それに応答して、前記選択条件が満たされるときに、前記ドメインを、詐欺候補ドメインの前記サブセットへと選択するステップと
を含む、フィルタ処理するステップと、
前記少なくとも1つのハードウェアプロセッサを用いて、詐欺候補ドメインの前記サブセットから選択された候補ドメインによって配信された電子ドキュメントを、前記電子ドキュメントが詐欺的であるかどうかを判定するために分析するステップと、
前記電子ドキュメントを分析するステップに応答して、前記電子ドキュメントが詐欺的であるときに、前記候補ドメインが詐欺的であると判定するステップと
を含む、方法。
【請求項12】
請求項11に記載の方法であって、前記選択条件が満たされるかどうかを判定するステップは、前記ドメインを特徴づける前記ドメイン名登録データを、前記知られている詐欺的インターネットドメインを特徴づけるドメイン名登録データと比較するステップを含む、方法。
【請求項13】
請求項12に記載の方法であって、前記選択条件が満たされるかどうかを判定するステップは、前記ドメインの登録タイムスタンプを、前記知られている詐欺的インターネットドメインの登録タイムスタンプと比較するステップを含む、方法。
【請求項14】
請求項11に記載の方法であって、前記ドメインを特徴づける前記ドメイン名登録データは、電子メールアドレスを含み、前記方法は、前記電子メールアドレスに従って、前記選択条件が満たされるかどうかを判定するステップを含む、方法。
【請求項15】
請求項14に記載の方法であって、前記電子メールアドレスの長さに従って、前記選択条件が満たされるかどうかを判定するステップを含む方法。
【請求項16】
請求項14に記載の方法であって、前記電子メールアドレスに送られた電子メールを扱うメールサーバの識別情報に従って、前記選択条件が満たされるかどうかを判定するステップを含む方法。
【請求項17】
請求項14に記載の方法であって、前記電子メールアドレスのプロバイダが匿名電子メールアカウントを許可するかどうかに従って、前記選択条件が満たされるかどうかを判定するステップを含む方法。
【請求項18】
請求項14に記載の方法であって、前記電子メールアドレスが自動的に生成された可能性に従って、前記選択条件が満たされるかどうかを判定するステップを含む方法。
【請求項19】
請求項11に記載の方法であって、前記ドメインを特徴づける前記ドメイン名登録データは、電話番号を含み、前記方法は、前記電話番号に従って、前記選択条件が満たされるかどうかを判定するステップを含む、方法。
【請求項20】
請求項19に記載の方法であって、前記選択条件が満たされるかどうかを判定するステップは、前記電話番号を所有するエンティティを決定するために、逆電話番号ルックアップを実施するステップを含み、前記方法は、前記逆電話番号ルックアップの結果に従って、前記選択条件が満たされるかどうかを判定するステップを含む、方法。
【請求項21】
少なくとも1つのハードウェアプロセッサによって実行されたときに、前記ハードウェアプロセッサに、逆アドレスマッパと、前記逆アドレスマッパに接続された登録データフィルタと、前記登録データフィルタに接続されたコンテンツ分析器とを形成させる命令を記憶した非一時的コンピュータ可読媒体であって、
前記逆アドレスマッパは、知られている詐欺的インターネットドメインに従って、共同ホストされたインターネットドメインのセットを識別するように構成され、前記知られている詐欺的インターネットドメインは、ターゲットインターネットプロトコル(IP)アドレスに位置し、共同ホストされたインターネットドメインの前記セットを識別することは、共同ホストされたインターネットドメインの前記セットのすべてのメンバーが、前記ターゲットIPアドレスに位置するように、共同ホストされたインターネットドメインの前記セットを選択することを含み、
前記登録データフィルタは、詐欺候補ドメインのサブセットを生成するために、共同ホストされたインターネットドメインの前記セットをフィルタ処理するように構成され、共同ホストされたインターネットドメインの前記セットをフィルタ処理することは、
共同ホストされたインターネットドメインの前記セットのドメインを特徴づけるドメイン名登録データに従って、選択条件が満たされるかどうかを判定することと、
それに応答して、前記選択条件が満たされるときに、前記ドメインを、詐欺候補ドメインの前記サブセットへと選択することと
を含み、
前記コンテンツ分析器は、
詐欺候補ドメインの前記サブセットから選択された候補ドメインによって配信された電子ドキュメントを、前記電子ドキュメントが詐欺的であるかどうかを判定するために分析することと、
それに応答して、前記電子ドキュメントが詐欺的であるときに、前記候補ドメインが詐欺的であると判定することと
を行うように構成された、
非一時的コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
[0001]本発明は、コンピュータセキュリティシステムおよび方法に関し、特に、オンライン詐欺、たとえば、詐欺的ウェブページを検出するためのシステムおよび方法に関する。
【背景技術】
【0002】
[0002]電子通信、オンライン商取引、およびオンラインバンキング商取引などのサービスの急速な発展は、電子犯罪の増加を伴ってきた。特に、フィッシングおよびなりすまし犯罪の形態のインターネット詐欺が、世界中のインターネットユーザへの増加する脅威をもたらしている。インターネット上で活動する国際犯罪ネットワークによって詐欺的に取得された機密識別情報およびクレジットカード詳細が、様々なオンライントランザクションに資金を供給するために使用され、および/または、さらに、第三者に販売される。個人への直接的金融損害のほかに、インターネット詐欺は、会社のための増加したセキュリティコスト、より高い小売価格およびバンキング手数料、下落する株価、より低い賃金および減少した税収など、様々な不要な副作用をも引き起こす。
【0003】
[0003]例示的なフィッシング試行では、偽のウェブサイトが、オンライン小売業者または金融機関に属する本物のウェブページになりすまし、何らかの個人情報(たとえば、ユーザ名、パスワード)および/または金融情報(たとえば、クレジットカード番号、口座番号、セキュリティコード)を入力するようにユーザを誘う。疑いをもたないユーザによって情報が提示されると、その情報は偽のウェブサイトによって採取され得る。さらに、ユーザは、ユーザのコンピュータ上に悪意のあるソフトウェアをインストールし得る別のウェブページにダイレクトされることがある。悪意のあるソフトウェア(たとえば、ウイルス、トロイの木馬)は、いくつかのウェブページを訪問している間にユーザによって押されたキーを記録することによって個人情報を盗み続け得、ユーザのコンピュータを、他の悪意のある攻撃を起動するためのプラットフォームに変換し得る。
【0004】
[0004]インターネットユーザのコンピュータシステム上で動作するソフトウェアが、詐欺的ウェブドキュメントを識別し、警告を出し、および/またはそのようなドキュメントへのアクセスを阻止するために使用され得る。詐欺的ウェブページを識別するためのいくつかの手法が提案されている。例示的なストラテジーは、ウェブページのアドレスを、知られている詐欺的アドレスおよび/または信用できるアドレスのリストと照合することを含む(それぞれ、ブラックリスティングおよびホワイトリスティングと呼ばれる技法)。そのような検出を回避するために、詐欺師は、自分のウェブサイトのアドレスを頻繁に変更する。
【0005】
[0005]オンライン詐欺を検出し、妨げるための方法、および特にプロアクティブ検出を実施することが可能な方法を開発することに対する持続的な関心がある。
【発明の概要】
【0006】
[0006]一態様によれば、コンピュータシステムは、逆アドレスマッパと、逆アドレスマッパに接続された登録データフィルタと、登録データフィルタに接続されたコンテンツ分析器とを動作させるように構成された少なくとも1つのハードウェアプロセッサを備える。逆アドレスマッパは、知られている詐欺的インターネットドメインに従って、共同ホストされた(co−hosted)インターネットドメインのセットを識別するように構成され、知られている詐欺的インターネットドメインは、ターゲットインターネットプロトコル(IP)アドレスに位置し、共同ホストされたインターネットドメインのセットを識別することは、共同ホストされたインターネットドメインのセットのすべてのメンバーが、ターゲットIPアドレスに位置するように、共同ホストされたインターネットドメインのセットを選択することを含む。登録データフィルタは、詐欺候補ドメインのサブセットを生成するために、共同ホストされたインターネットドメインのセットをフィルタ処理するように構成される。共同ホストされたインターネットドメインのセットをフィルタ処理することは、共同ホストされたインターネットドメインのセットのドメインを特徴づけるドメイン名登録データに従って、選択条件が満たされるかどうかを判定することと、それに応答して、選択条件が満たされるとき、詐欺候補ドメインのサブセット中にドメインを選択することとを含む。コンテンツ分析器は、詐欺候補ドメインのサブセットから選択された候補ドメインによって配信された電子ドキュメントを、電子ドキュメントが詐欺的であるかどうかを判定するために分析することと、それに応答して、電子ドキュメントが詐欺的であるとき、候補ドメインが詐欺的であると判定することとを行うように構成される。
【0007】
[0007]別の態様によれば、詐欺的インターネットドメインを識別する方法は、少なくとも1つのハードウェアプロセッサを用いて、知られている詐欺的インターネットドメインに従って、共同ホストされたインターネットドメインのセットを識別するステップであって、知られている詐欺的インターネットドメインは、ターゲットインターネットプロトコル(IP)アドレスに位置し、共同ホストされたインターネットドメインのセットを識別するステップは、共同ホストされたインターネットドメインのセットのすべてのメンバーが、ターゲットIPアドレスに位置するように、共同ホストされたインターネットドメインのセットを選択するステップを含む、識別するステップを含む。本方法は、少なくとも1つのハードウェアプロセッサを用いて、詐欺候補ドメインのサブセットを生成するために、共同ホストされたインターネットドメインのセットをフィルタ処理するステップをさらに含む。共同ホストされたインターネットドメインのセットをフィルタ処理するステップは、共同ホストされたインターネットドメインのセットのドメインを特徴づけるドメイン名登録データに従って、選択条件が満たされるかどうかを判定するステップと、それに応答して、選択条件が満たされるとき、詐欺候補ドメインのサブセット中にドメインを選択するステップとを含む。本方法は、少なくとも1つのハードウェアプロセッサを用いて、詐欺候補ドメインのサブセットから選択された候補ドメインによって配信された電子ドキュメントを、電子ドキュメントが詐欺的であるかどうかを判定するために分析するステップをさらに含む。本方法は、電子ドキュメントを分析するステップに応答して、電子ドキュメントが詐欺的であるとき、候補ドメインが詐欺的であると判定するステップをさらに含む。
【0008】
[0008]別の態様によれば、非一時的コンピュータ可読媒体は、少なくとも1つのハードウェアプロセッサによって実行されたとき、ハードウェアプロセッサに、逆アドレスマッパと、逆アドレスマッパに接続された登録データフィルタと、登録データフィルタに接続されたコンテンツ分析器とを形成させる命令を記憶する。逆アドレスマッパは、知られている詐欺的インターネットドメインに従って、共同ホストされたインターネットドメインのセットを識別するように構成され、知られている詐欺的インターネットドメインは、ターゲットインターネットプロトコル(IP)アドレスに位置し、共同ホストされたインターネットドメインのセットを識別することは、共同ホストされたインターネットドメインのセットのすべてのメンバーが、ターゲットIPアドレスに位置するように、共同ホストされたインターネットドメインのセットを選択することを含む。登録データフィルタは、詐欺候補ドメインのサブセットを生成するために、共同ホストされたインターネットドメインのセットをフィルタ処理するように構成される。共同ホストされたインターネットドメインのセットをフィルタ処理することは、共同ホストされたインターネットドメインのセットのドメインを特徴づけるドメイン名登録データに従って、選択条件が満たされるかどうかを判定することと、それに応答して、選択条件が満たされるとき、詐欺候補ドメインのサブセット中にドメインを選択することとを含む。コンテンツ分析器は、詐欺候補ドメインのサブセットから選択された候補ドメインによって配信された電子ドキュメントを、電子ドキュメントが詐欺的であるかどうかを判定するために分析することと、それに応答して、電子ドキュメントが詐欺的であるとき、候補ドメインが詐欺的であると判定することとを行うように構成される。
【0009】
[0009]本発明の前述の態様および利点は、以下の詳細な説明を読み、図面を参照すると、より良く理解されるようになるであろう。
【図面の簡単な説明】
【0010】
図1】[0010]本発明のいくつかの実施形態による、オンライン詐欺から保護されたクライアントシステムの例示的なセットを示す図である。
図2】[0011]図2−Aは、本発明のいくつかの実施形態による、クライアントシステムの例示的なハードウェア構成を示す図である。 [0012]図2−Bは、本発明のいくつかの実施形態による、サーバコンピュータシステムの例示的なハードウェア構成を示す図である。
図3】[0013]本発明のいくつかの実施形態による、クライアントシステム上で実行する例示的なソフトウェア構成要素を示す図である。
図4】[0014]本発明のいくつかの実施形態による、クライアントシステムとセキュリティサーバとの間の例示的なデータ交換を示す図である。
図5】[0015]本発明のいくつかの実施形態による、クライアントシステムを電子詐欺から保護するために、詐欺対策モジュールおよびセキュリティサーバによって実施されるステップの例示的なシーケンスを示す図である。
図6】[0016]本発明のいくつかの実施形態による、詐欺識別サーバの例示的な構成要素を示す図である。
図7】[0017]本発明のいくつかの実施形態による、詐欺識別サーバによって実施されるステップの例示的なシーケンスを示す図である。
【発明を実施するための形態】
【0011】
[0018]以下の説明では、構造間のすべての列挙された接続が、直接の動作的な接続、または中間構造を通しての間接の動作的な接続であり得ることを理解されたい。要素のセットは、1つまたは複数の要素を含む。要素の任意の列挙は、少なくとも1つの要素を指すと理解される。複数の要素は、少なくとも2つの要素を含む。別段に必要とされない限り、説明される方法ステップは、必ずしも特定の示される順序で実施される必要があるとは限らない。第2の要素から導出された第1の要素(たとえばデータ)は、第2の要素に等しい第1の要素、ならびに第2の要素および随意に他のデータを処理することによって生成された第1の要素を包含する。パラメータに従って決定または判定を行うことは、パラメータに従っておよび随意に他のデータに従って決定または判定を行うことを包含する。別段に規定されていない限り、何らかの量/データのインジケータは、量/データ自体であるか、または量/データ自体とは異なるインジケータであり得る。コンピュータプログラムは、タスクを行うプロセッサ命令のシーケンスである。本発明のいくつかの実施形態で説明されるコンピュータプログラムは、他のコンピュータプログラムのスタンドアロンソフトウェアエンティティまたはサブエンティティ(たとえば、サブルーチン、ライブラリ)であり得る。別段に規定されていない限り、コンピュータセキュリティは、機器およびデータを違法のアクセス、変更、および/または破壊から保護することを包含する。別段に規定されていない限り、オンライン詐欺という用語は、詐欺的ウェブサイトに限定されず、電子メール、インスタントメッセージ、ならびに電話テキストメッセージおよびマルチメディアメッセージなど、他の違法のまたは迷惑な商業電子通信をも包含する。インターネットドメイン(または単にドメイン)は、特定の個人または団体によって所有、制御、または運営されるコンピューティングリソース(現実または仮想コンピュータシステム、ネットワークアドレス)のサブセットである。詐欺的インターネットドメインは、詐欺的電子ドキュメントをホストおよび/または配信するドメインである。ドメイン名は、それぞれのインターネットドメインを表す英数字エイリアスである。詐欺的ドメイン名は、詐欺的ドメインのドメイン名である。コンピュータ可読媒体は、磁気、光、および半導体記憶媒体などの非一時的媒体(たとえばハードドライブ、光ディスク、フラッシュメモリ、DRAM)、ならびに導電性ケーブルおよび光ファイバーリンクなどの通信リンクを包含する。いくつかの実施形態によれば、本発明は、とりわけ、本明細書で説明される方法を実施するようにプログラムされたハードウェア(たとえば1つまたは複数のプロセッサ)を備えるコンピュータシステム、ならびに本明細書で説明される方法を実施するための命令を符号化するコンピュータ可読媒体を提供する。
【0012】
[0019]以下の説明は、本発明の実施形態を例として示し、必ずしも限定として示すとは限らない。
[0020]図1は、本発明のいくつかの実施形態による、例示的な詐欺対策システムを示す。複数のクライアントシステム10a〜dが、セキュリティサーバ14および詐欺識別サーバ12によってオンライン詐欺から保護される。クライアントシステム10a〜dは、プロセッサとメモリとを有し、通信ネットワークに接続することが可能である電子デバイスを総称的に表す。例示的なクライアントデバイスは、特に、パーソナルコンピュータ、ラップトップ、モバイルコンピューティングデバイス(たとえば、タブレットコンピュータ)、携帯電話、ウェアラブルデバイス(たとえば、ウォッチ、フィットネスモニタ)、ゲーム機、TV、および家庭用器具(たとえば、冷蔵庫、メディアプレーヤ)を含む。クライアントシステム10a〜dは、企業ネットワークまたはインターネットなど、通信ネットワーク13を介して相互接続される。ネットワーク13の部分は、ローカルエリアネットワーク(LAN)および/または電気通信ネットワーク(たとえば、3Gネットワーク)を含み得る。
【0013】
[0021]各サーバ12、14は、互いに物理的に近接しないことがある、通信可能に結合されたコンピュータシステムのセットを総称的に表す。いくつかの実施形態では、セキュリティサーバ14は、クライアントシステムからクエリを受信することであって、クエリが、ウェブページまたは電子メッセージなどの電子ドキュメントを示す、受信することと、それぞれのドキュメントが詐欺的である可能性があるかどうかを示す評価インジケータで応答することとを行うように構成される。いくつかの実施形態では、詐欺の可能性は、それぞれのドキュメントのロケーションインジケータに従って判定される。例示的なロケーションインジケータは、それぞれの電子ドキュメントをホストまたは配信するコンピュータシステムのドメイン名、ホスト名、およびインターネットプロトコル(IP)アドレスを含む。ドメイン名は、通常、個人または団体によって所有および/または制御される、インターネットの特定の領域を識別する文字の一意のシーケンスを示すために当技術分野で使用される用語である。ドメイン名は、電子ドキュメントをホストおよび/または配信するコンピュータのネットワークアドレス(たとえば、IPアドレス)のセットのアブストラクション(たとえば、エイリアス)を構成する。ドメイン名は、一般に、ドットによって画定されたラベルの連結されたシーケンス、たとえば、www.bitdefender.comを備える。
【0014】
[0022]詐欺識別サーバ12は、たとえば、詐欺的ドキュメントのロケーションインジケータ(ドメイン名、IPアドレスなど)のリストを含む、オンライン詐欺に関する情報を集めるように構成される。いくつかの実施形態では、詐欺識別サーバ12は、詐欺を示す情報を詐欺的ドメインデータベース15に記憶し、詐欺的ドメインデータベース15は、さらに、電子ドキュメントが詐欺的である可能性を判定する際にセキュリティサーバ14によって使用され得る。そのような機能の詳細が以下で与えられる。
【0015】
[0023]図2−Aは、図1中のシステム10a〜dなど、クライアントシステム10の例示的なハードウェア構成を示す。簡単のために、図示されたクライアントシステムは、コンピュータシステムであり、携帯電話、スマートウォッチなどの他のクライアントシステムのハードウェア構成は、図示された構成とはいくらか異なり得る。クライアントシステム10は、ハードウェアプロセッサ20とメモリユニット22とを含む、物理デバイスのセットを備える。プロセッサ20は、信号および/またはデータのセットを用いた計算および/または論理動作を実行するように構成された物理デバイス(たとえばマイクロプロセッサ、半導体基板上に形成されたマルチコア集積回路など)を備える。いくつかの実施形態では、そのような動作は、プロセッサ命令のシーケンスの形態(たとえば機械コードまたは他のタイプの符号化)でプロセッサ20に示される。メモリユニット22は、プロセッサ20によってアクセスまたは生成される命令および/またはデータを記憶する揮発性コンピュータ可読媒体(たとえばDRAM、SRAM)を備え得る。
【0016】
[0024]入力デバイス24は、ユーザがデータおよび/または命令をクライアントシステム10に導入することを可能にするそれぞれのハードウェアインターフェースおよび/またはアダプタを含む、特に、コンピュータキーボード、マウス、およびマイクロフォンを含み得る。出力デバイス26は、ディスプレイデバイス(たとえば、モニタ、液晶ディスプレイ)およびスピーカー、ならびにクライアントシステム10がデータをユーザに通信することを可能にする、グラフィックカードなどのハードウェアインターフェース/アダプタを含み得る。いくつかの実施形態では、入力デバイス24および出力デバイス26は、1つの共通ハードウェア、たとえば、タッチスクリーンデバイスを共有し得る。ストレージユニット28は、ソフトウェア命令および/またはデータの不揮発性記憶、読取り、および書込みを可能にするコンピュータ可読媒体を含む。例示的なストレージデバイス28は、磁気ディスクおよび光ディスクおよびフラッシュメモリデバイス、ならびにCDおよび/またはDVDのディスクおよびドライブなどのリムーバブル媒体を含む。ネットワークアダプタ32のセットは、クライアントシステム10がコンピュータネットワークおよび/または他の電子デバイスに接続することを可能にする。コントローラハブ30は、複数のシステム、周辺機器、および/またはチップセットバス、ならびに/あるいはプロセッサ20とデバイス22、24、26、28、および32との間の通信を可能にするすべての他の回路を表す。たとえば、コントローラハブ30は、特に、メモリコントローラ、入出力(I/O)コントローラ、および割込みコントローラを含み得る。別の例では、コントローラハブ30は、プロセッサ20をメモリ22に接続するノースブリッジ、および/またはプロセッサ20をデバイス24、26、28、および32に接続するサウスブリッジを備え得る。
【0017】
[0025]図2−Bは、本発明のいくつかの実施形態による、詐欺識別サーバ12の例示的なハードウェア構成を示す。セキュリティサーバ14は同様の構成を有し得る。詐欺識別サーバ12は、少なくとも1つのハードウェアプロセッサ120(たとえば、マイクロプロセッサ、マルチコア集積回路)と、物理メモリ122と、サーバストレージデバイス128と、サーバネットワークアダプタ132のセットとを備える。アダプタ132は、詐欺識別サーバ12が通信ネットワーク13に接続することを可能にする、ネットワークカードおよび他の通信インターフェースを含み得る。サーバストレージデバイス128は、詐欺ドメインデータベース15からの記録の少なくともサブセットを記憶し得る。代替実施形態では、サーバ12は、ネットワーク13を介してデータベース15から詐欺記録にアクセスし得る。いくつかの実施形態では、サーバ12は、機能の点で、それぞれ、クライアントシステム10の入出力デバイス24および26と同様であり得る、入出力デバイスをさらに備える。
【0018】
[0026]図3は、本発明のいくつかの実施形態による、クライアントシステム10上で実行する例示的なソフトウェアを示す。オペレーティングシステム(OS)34が、クライアントシステム10のハードウェアと、ソフトウェアアプリケーションのセットとの間のインターフェースを与える。例示的なOSは、特に、Windows(登録商標)、MacOS(登録商標)、iOS(登録商標)、およびAndroid(登録商標)を含む。アプリケーション36は、特に、ワードプロセシング、画像処理、スプレッドシート、カレンダー、オンラインゲーム、ソーシャルメディア、ウェブブラウザ、および電子通信アプリケーションなどのユーザアプリケーションを総称的に表す。
【0019】
[0027]詐欺対策モジュール38は、たとえば、クライアントシステム10が詐欺的電子ドキュメント(たとえば、詐欺的ウェブサイト、電子メールメッセージなど)にアクセスするのを妨げることによって、クライアントシステム10を電子詐欺から保護する。いくつかの実施形態では、詐欺対策モジュール38の動作は、クライアントシステム10のユーザによってオンおよび/またはオフにされ得る。詐欺対策モジュール38は、スタンドアロンアプリケーションであり得るか、またはクライアントシステム10を、悪意のあるソフトウェア(マルウェア)、スパイウェア、および不正な侵入などのコンピュータセキュリティ脅威から保護するコンピュータプログラムのスイートの一部を形成し得る。モジュール38は、プロセッサ特権の様々なレベル(たとえば、ユーザモード、カーネルモード)で動作し得る。いくつかの実施形態では、モジュール38は、たとえば、プラグイン、アドオン、またはツールバーとしてアプリケーション36と統合される。
【0020】
[0028]いくつかの実施形態では、詐欺対策モジュール38は、リモートドキュメントにアクセスしたいとのクライアントシステム10による要求をインターセプトすることと、それぞれの要求を選択的に阻止することとを行うように構成されたネットワークフィルタ39を含み得る。モジュール38によって検出された例示的なアクセス要求は、クライアントシステム10によって発行されたハイパーテキスト転送プロトコル(HTTP)要求を含む。ネットワークフィルタ39は、たとえば、OS34に登録されたドライバとして動作し得る。OS34およびアプリケーション36が仮想マシン内で実行する一実施形態では、詐欺対策モジュール38(または少なくともネットワークフィルタ39)は、たとえば、ハイパーバイザのプロセッサ特権レベルでそれぞれの仮想マシン外で実行し得る。そのような構成は、モジュール38および/またはネットワークフィルタ39を、場合によっては仮想マシンに感染するマルウェアから効率的に保護し得る。また別の実施形態では、詐欺対策モジュール38は、少なくとも部分的に、クライアントシステム10とは別個の電子デバイス上で、たとえば、クライアントシステム10をインターネットなどの拡張ネットワークに接続するために使用される、ルータ、プロキシサーバ、またはゲートウェイデバイス上で動作し得る。
【0021】
[0029]図4は、クライアントシステム10とセキュリティサーバ14との間の例示的なデータ交換を介した詐欺対策モジュール38の動作を示す。図5は、本発明のいくつかの実施形態による、クライアントシステム10を電子詐欺から保護するために、詐欺対策モジュール38および/またはセキュリティサーバ14によって実施されるステップの例示的なシーケンスをさらに示す。アプリケーション36がウェブブラウザを備える例示的な例では、ユーザがリモートドキュメント(たとえば、ウェブサイト)にアクセスすることを試みたとき、アプリケーション36は、それぞれのドキュメントにアクセスしたいとの要求をサービスプロバイダサーバに通信ネットワーク13を介して送り得る。一般的な要求は、それぞれのリソースのロケーションの符号化を含み得る。例示的なロケーション符号化は、特に、ドメイン名、ホスト名、ユニフォームリソース識別子(URI)、ユニフォームリソースロケータ(URL)、およびインターネットプロトコル(IP)アドレスを含む。
【0022】
[0030]アクセス要求(たとえば、ウェブブラウザによって発行されたHTTP要求)を検出すると、詐欺対策モジュール38のいくつかの実施形態は、それぞれの要求のそれの意図された宛先への送信を少なくとも一時的に中断し、代わりにドキュメントインジケータ42をセキュリティサーバ14に送信する。いくつかの実施形態では、ドキュメントインジケータ42は、要求されたドキュメントのロケーションの符号化(たとえば、ドメイン名、URL、IPアドレス)を含み、インターセプトされたアクセス要求を分析することによって詐欺対策モジュール38によって取得された他の情報をさらに含み得る。そのような情報は、特に、要求されたドキュメントのタイプのインジケータ、要求アプリケーションのインジケータ、および要求元ユーザの識別子を含み得る。ドキュメントインジケータ42を受信したことに応答して、ステップ208〜210(図5)のシーケンスにおいて、セキュリティサーバ14のいくつかの実施形態は、要求されたドキュメントが詐欺的である可能性があるかどうかを示す評価インジケータ44を構築し、インジケータ44をクライアントシステム10に送信する。いくつかの実施形態では、詐欺の可能性は、ブール値(たとえば、0/1、はい/いいえ)として、または下限と上限との間の(たとえば、0と100との間の)数として定量化される。
【0023】
[0031]いくつかの実施形態では、ステップ212において、詐欺対策モジュール38は、評価インジケータ44に従って、要求されたドキュメントが詐欺的である可能性があるかどうかを判定する。はいのとき、ステップ214は、たとえば、元のアクセス要求をそれの意図された宛先に送信することによって、クライアントシステム10(たとえば、アプリケーション36)がそれぞれのドキュメントにアクセスすることを可能にする。いいえのとき、ステップ216は、それぞれのドキュメントへのアクセスを阻止し得る。いくつかの実施形態は、通知(たとえば、警告スクリーン、アイコン、説明など)をユーザにさらに表示し得、および/またはクライアントシステム10のシステム管理者に通知し得る。
【0024】
[0032]代替実施形態では、クライアントシステム10上でまたはクライアントシステム10をインターネットに接続するルータ上で実行する詐欺対策モジュール38は、分析のために、リモートドキュメントにアクセスしたいとのすべての要求をセキュリティサーバ14にリダイレクトし得る。したがって、セキュリティサーバ14は、クライアントシステム10と、それぞれのリソースへのアクセスを与えるリモートサーバとの間のプロキシサーバの位置に配置され得る。そのような実施形態では、ステップ212、214、216は、セキュリティサーバ14によって実行され得る。
【0025】
[0033]クライアントシステム10のユーザを詐欺的電子メッセージ(たとえば、電子メール)から保護する例示的な実施形態では、詐欺対策モジュール38は、メッセージリーダーアプリケーションに対するプラグインまたはアドオンとしてインストールされ得る。メッセージを受信すると、モジュール38は、たとえば、それぞれのメッセージの送信側の電子アドレスおよび/またはそれぞれのメッセージを配信する電子メールサーバのドメイン名を含むドキュメントインジケータを抽出するために、それぞれのメッセージのヘッダをパースし得る。モジュール38は、次いで、ドキュメントインジケータ42をセキュリティサーバ14に送信し、それに応答して、評価インジケータ44をサーバ14から受信し得る。詐欺対策モジュール38は、インジケータ44に従って、それぞれのメッセージが詐欺的である可能性があるかどうかを判定し、はいのとき、ユーザへのそれぞれのメッセージのコンテンツの表示を妨げ得る。いくつかの実施形態では、モジュール38は、詐欺的である可能性があると見なされるメッセージを別個のメッセージフォルダに入れ得る。
【0026】
[0034]代替実施形態では、詐欺対策モジュール38は、複数のクライアントシステム、たとえば、図1中のクライアントシステム10a〜dのために電子メッセージングを管理するサーバコンピュータシステム(たとえば、電子メールサーバ)上で実行し得る。メッセージが詐欺的である可能性があると判定したことに応答して、モジュール38は、それぞれのメッセージの、それの意図された受信側への配信を阻止し得る。
【0027】
[0035]詐欺の可能性を判定する際に、セキュリティサーバ14は、詐欺的ドメインデータベース15を照会し得る(図5中のステップ208)。いくつかの実施形態では、データベース15は、記録のセットを備え、各記録は詐欺的ドメイン名に対応し、記録のそのようなセットは、ブラックリストとして当技術分野で知られていることがある。いくつかの実施形態では、ステップ208は、ドキュメントインジケータ42によって示されたドメイン名が、データベース15のブラックリストに載せられた記録に一致するかどうかを判定することを含む。はいのとき、セキュリティサーバ14は、要求されたドキュメントが詐欺的である可能性があると判定し得る。
【0028】
[0036]詐欺的ドメインデータベース15は、詐欺識別サーバ12によってポピュレートおよび維持され得る。いくつかの実施形態では、サーバ12は、本明細書ではシードドメインと呼ばれる、知られている詐欺的インターネットドメインを分析することから導出された知識に基づいて、前に知られていなかった詐欺的ドメインのセットを識別する。次いで、新たに発見された詐欺的ドメインのドメイン名が、データベース15に追加され得る。図6は、本発明のいくつかの実施形態による、詐欺識別サーバ12の例示的な構成要素を示す。サーバ12は、逆アドレスマッパ52と、逆アドレスマッパ52に接続された登録データフィルタ54と、フィルタ54に接続されたコンテンツ分析器56とを備え得る。図7は、本発明のいくつかの実施形態による、詐欺的インターネットドメインを発見するために詐欺識別サーバ12によって実施されるステップの例示的なシーケンスを示す。
【0029】
[0037]本発明のいくつかの実施形態は、1つの詐欺的ドメインに属する物理的コンピューティングリソースが、しばしば、他の詐欺的ドメインにも属するという見解に依拠する。たとえば、同じサーバおよび/またはIPアドレスが、複数の詐欺的ウェブサイトをホストし得る。そのようなサーバまたはネットワークアドレスは、詐欺師によって所有され得るか、または、たとえば、慎重に細工された悪意のあるソフトウェアを使用することによって、それらの正当な所有者/事業者についての知識なしにハイジャックされ得る。以下の説明は、1つの詐欺的ドメインについての知識が、他の前に知られていなかった詐欺的ドメインを見つけるためにどのように使用され得るかを示す。
【0030】
[0038]いくつかの実施形態では、逆アドレスマッパ52は、シードドメインのインジケータ(たとえば、図6中のシードドメイン名62)を受信することと、共同ホストされたドメイン64のセットを出力することと(図7中のステップ234)を行うように構成される。シードドメインは、知られている詐欺的ドメイン、すなわち、詐欺的ドキュメントをホストまたは配信することが知られているドメインを表す。そのようなドメインの例は、偽の銀行ウェブサイト、偽のオンライン賭けサイト、偽のローンサイトなどをホストするドメインを含む。シードドメイン名は、たとえば、コンピュータセキュリティ会社において調査員によって検出され得るか、あるいはインターネットユーザによってまたはオンライン詐欺を調査する当局によって報告され得る。シードドメイン名はまた、当技術分野で知られているツールのアレイ、たとえば、ハニーポットによって自動的に発見され得る。
【0031】
[0039]いくつかの実施形態では、共同ホストされたドメイン64は、共通ネットワークアドレス(たとえば、共通IPアドレス)をシードドメインと共有するドメインのセットを備える。共同ホストされたドメイン64の例示的なセットは、電子ドキュメントを配信するために同じ物理サーバを使用する。単一のネットワーク/IPアドレスが、複数の別個のコンピュータシステムに対応し得るので、共同ホストされたドメイン64は、必ずしもシードドメインと同じ物理マシンを含むとは限らない。しかしながら、ドメイン名サーバは、シードドメイン名62とすべての共同ホストされたドメイン64のドメイン名とを同じネットワークアドレスにマッピングすることになる。共同ホストされたドメイン64を識別するために、詐欺識別サーバ12は、コンピュータネットワーキングの技術分野で知られている任意の方法を使用し得る。そのような動作は、一般に、逆IP分析、逆ドメイン名システム(DNS)ルックアップ、または逆DNS解決として知られている。1つの例示的な手法では、サーバ12は、ダイレクトDNSルックアップ(すなわち、ドメイン名に従ってIPアドレスを決定すること)を実施するために使用されるネームサーバを動作させ、逆DNSマップを構築するためにネームサーバを使用する。別の手法は、特定のドメイン、たとえば、in−addr.arpaまたはip6.arpaのポインタDNS記録タイプ(PTR記録)をルックアップし得る。
【0032】
[0040]すべての共同ホストされたドメイン64が詐欺的である必要があるとは限らない。上記で説明されたように、時々、合法のドメインに属するコンピュータシステムが詐欺師によってハイジャックされ、詐欺師は、次いで、詐欺的ドメインのセットをホストするためにそれぞれのマシンを使用する。時々、そのような詐欺的ドメインは、短い時間期間の間のみそれぞれのマシン上でホストされ、次いで、検出または対策を回避するために別のサーバに移動される。いくつかの実施形態では、詐欺識別サーバ12の登録データフィルタ54は、詐欺的であることが疑われるドメインを表す、詐欺候補ドメイン66のセットを選択するために、共同ホストされたドメイン64のセットをフィルタ処理する(図7中のステップ236)ように構成される。詐欺候補ドメイン66は、以下に示されるように、さらなる精査を受け得る。
【0033】
[0041]ステップ236は、以下に示される詐欺分析は計算コストが高いことがあるので、最適化と見なされ得る。共同ホストされたドメイン64のセットを事前フィルタ処理することは、詐欺分析のための候補ドメインのサブセットを選択するための比較的コストがかからないルールを使用することによって、計算負担を低下させ得る。登録データフィルタ54のいくつかの実施形態は、各共同ホストされたドメインのドメイン名登録記録に従って、詐欺候補ドメイン66を選択する。登録記録は、ドメイン登録当局(たとえば、インターネットレジストラ)によって生成および/または維持される。各登録されたドメイン名について、例示的な登録記録は、それぞれのドメイン名の登録者、所有者、または管理者のための連絡先データ(たとえば、名前、アドレス、電話番号、電子メールアドレスなど)、ならびにレジストラのIDなどの自動的に生成されたデータ、およびそれぞれのドメイン名が登録されたとき、それぞれの登録記録が最後に修正されたとき、それぞれの登録記録が満了するときなどの時間的瞬間を示す様々なタイムスタンプを含み得る。
【0034】
[0042]何らかのドメイン名登録データが、公開されており、特定のコンピュータ命令および/またはWHOISなどのプロトコルを介して照会され得る。いくつかの実施形態では、登録データフィルタ54は、たとえば、WHOISプロトコルを使用することによって、共同ホストされたドメイン64に関係するドメイン名登録データをドメイン登録データベース17から取得する。フィルタ54は、次いで、ドメインが詐欺的である可能性がある否かを判定するために、各共同ホストされたドメインのドメイン名登録データ内で詐欺を示すパターンのセットを探索し得る。いくつかの実施形態は、詐欺的ドメイン名の登録が、しばしば、時間的にクラスタリングされる(ドメイン名登録のバースト)という見解に依拠し、そのような実施形態は、シードドメイン名62の登録タイムスタンプを、共同ホストされたドメイン64の登録タイムスタンプと比較し、比較の結果に従って(たとえば、2つの登録が時間的に互いに極めて近いとき)、詐欺候補ドメイン66のセット中にそれぞれの共同ホストされたドメインを選択し得る。
【0035】
[0043]別の例示的な詐欺を示す特徴は、ドメイン名の登録者(たとえば、所有者、管理者など)である。フィルタ54のいくつかの実施形態は、登録者の証明書を、シードドメイン名62などの知られている詐欺的ドメインのドメイン名登録データからハーベスティングされた、知られている名前、電話番号、アドレス、電子メールなどのリストと照合することを試み得る。一致は、それぞれの共同ホストされたドメインが詐欺的である可能性があることを示し、したがって、それぞれの共同ホストされたドメインが、詐欺候補66のセット中に含まれることを正当化し得る。
【0036】
[0044]いくつかの実施形態では、フィルタ54は、登録者の電話番号のいくつかの詐欺を示す特徴を探し得る。一例では、いくつかのエリアコードまたは国コードが詐欺を示すと見なされ得る。別の例では、電話番号内のいくつかの桁組合せが、自動呼リダイレクションサービスに対応し、それぞれの電話番号は、合法の番号であるように見え得るが、その番号に電話をかけると、それぞれの呼が、場合によっては別の国における、別の番号にリダイレクトされることになる。そのような呼リダイレクションパターンは、詐欺を示すと見なされ得る。登録データフィルタ54のいくつかの実施形態は、逆電話番号ルックアップを実施し、ルックアップの結果を、アドレスまたは名前など、他のドメイン登録データと比較し得る。不一致は、詐欺を示すと見なされ得、それぞれの共同ホストされたドメインが、詐欺候補セット中に含まれ得る。
【0037】
[0045]詐欺候補ドメイン66のセット中にドメインを選択するためのまた別の例示的な基準は、登録者の電子メールアドレスである。フィルタ54のいくつかの実施形態は、それぞれの電子メールアドレスを、知られている詐欺的ドキュメント(たとえば、ウェブページ、電子メールメッセージ)からハーベスティングされた電子メールアドレスのブラックリストと照合することを試み得る。ブラックリストは、知られている詐欺的ドメインのドメイン登録データからハーベスティングされた電子メールアドレスをさらに備え得る。フィルタ54のいくつかの実施形態は、文字の明らかにランダムなシーケンス、異常に長い電子メールアドレスなど、登録者の電子メールにおけるいくつかのパターンを探し得る。そのようなパターンは、それぞれのアドレスが自動的に生成されたことを示し得、これは詐欺を示すものであり得る。いくつかの実施形態では、フィルタ54は、電子メールアドレスのプロバイダに従って、たとえば、それぞれのプロバイダが匿名電子メールアカウントを許可するかどうかに従って、それぞれの電子メールアドレスが無料で与えられたかどうかなどに従って、共同ホストされたドメインを詐欺候補セット中に含めるべきかどうかを判定し得る。いくつかの実施形態は、それぞれの電子メールアドレスに宛てられた電子メールおよび/またはそれぞれの電子メールアドレスから発信する電子メールを扱う電子メールサーバを識別し、そのようなサーバの識別情報に従って、共同ホストされたドメインを詐欺候補セット中に含めるべきかどうかを判定し得る。
【0038】
[0046]詐欺候補ドメイン66を選択したことに応答して、いくつかの実施形態では、コンテンツ分析器56は、詐欺候補ドメインのセットのいずれかが実際に詐欺的であるかどうかを判定するために、コンテンツ分析を実施する(図7中のステップ238)。コンテンツ分析は、詐欺候補ドメインにアクセスすることと、それぞれのドメインによってホストまたは配信された電子ドキュメントのコンテンツを分析することとを含み得る。コンテンツ分析が、電子ドキュメントが詐欺的であると判定したとき、ステップ240は、それぞれの詐欺候補ドメインが実際に詐欺的であると判定し得、新たに識別された詐欺的ドメイン名を詐欺的ドメインデータベース15に保存し得る。
【0039】
[0047]ハイパーテキストマークアップ言語(HTML)ドキュメントの例示的なコンテンツ分析は、特に、それぞれのドキュメントがユーザ認証(ログイン)ページを備えるかどうかを判定することを含む。そのような判定は、それぞれのウェブページが、フォームフィールドおよび/または複数のユーザ認証キーワードのいずれか(たとえば、「ユーザ名」、「パスワード」、金融機関の名前および/または頭字語)を含んでいるかどうかを判定することを含み得る。
【0040】
[0048]コンテンツ分析は、それぞれのHTMLドキュメントを、知られている詐欺的ドキュメントのセットおよび/または合法のドキュメントのセットと比較することをさらに含み得る。いくつかの実施形態は、それぞれのドキュメントが、知られている詐欺的ドキュメントと十分に類似しているとき、ドキュメントが詐欺的であると判定する。そのような方法は、詐欺師が、しばしば、成功したドキュメントテンプレートを再利用するので、一般に、ほぼ同じデザインおよび/またはフォーマッティングを使用するいくつかの詐欺的ドキュメントがあるという見解に依拠する。
【0041】
[0049]しかしながら、ドキュメントは、そのドキュメントが、特定の合法のドキュメントと十分に類似しているときも、詐欺的であり得る。1つのそのような例では、ウェブページは、金融機関(たとえば、銀行、保険会社など)の合法のウェブページになりすますことによって、ユーザを欺くことを試み得る。したがって、コンテンツ分析器56のいくつかの実施形態は、詐欺候補ドメインに位置するHTMLドキュメントが、合法のウェブページの違法のクローンであるかどうかを判定するために、コンテンツ分析を使用する。そのような判定は、精査対象のドキュメントのグラフィック要素(たとえば、画像、ロゴ、配色、フォント、フォントスタイル、フォントサイズなど)のセットを分析することと、そのような要素を、合法のウェブページのセットからハーベスティングされたグラフィック要素と比較することとを含み得る。
【0042】
[0050]コンテンツ分析は、それぞれの電子ドキュメントのテキスト部分の分析をさらに含み得る。そのようなテキスト分析は、いくつかのキーワードを探索すること、いくつかのワードおよび/またはワードシーケンスの発生頻度を計算すること、他のワードに関するいくつかのワードの相対位置を決定することなどを含み得る。いくつかの実施形態は、ターゲットドキュメントと基準ドキュメントとの間の類似度(詐欺的または合法のいずれか)を示すドキュメント間距離を決定し、計算された距離に従って、ターゲットドキュメントが合法であるかどうかを判定する。
【0043】
[0051]テキストに基づくコンテンツ分析の別の例は、HTMLドキュメントまたは電子メールメッセージなど、電子ドキュメントから連絡先情報(たとえば、アドレス、連絡先電話番号、連絡先電子メールアドレスなど)を識別および抽出することを含む。コンテンツ分析器56は、次いで、それぞれの連絡先データを、知られている詐欺的ドキュメントから抽出された同様のデータのブラックリストと照合することを試み得る。たとえば、ウェブページが詐欺的ウェブサイト上に掲載されている連絡先電話番号をリストしているとき、いくつかの実施形態は、ウェブページも詐欺的であると結論付け得る。他の実施形態は、連絡先データ中の詐欺を示すパターン、たとえば、いくつかの国コードおよび/または市外局番をもつ電話番号、呼リダイレクションサービスを示す電話番号桁のパターンなどを探す(ドメイン登録データの分析に関しては上記を参照)。
【0044】
[0052]コンテンツ分析方法の別の例示的なセットは、トラフィック追跡コードなど、電子ドキュメント内に配置されたコードのスニペットを識別する。そのようなコードの一例は、ウェブページの使用に関係する様々なデータ、すなわち、訪問の回数、リファラ、訪問元の国などを計算および報告するために、ウェブ分析サービス(たとえば、Google(登録商標) Analytics(登録商標))によって使用される。そのようなコードは、一般に、それぞれの分析サービスが、それぞれの電子ドキュメントを特定のクライアントに関連付けることを可能にする一意のクライアントID(たとえば、トラッキングID)を備える。コンテンツ分析器56のいくつかの実施形態は、トラッキングIDを識別し、それぞれのIDを、知られている詐欺的ドキュメントからハーベスティングされたそのようなIDのブラックリストと照合することを試み得る。一致は、現在分析されたドキュメントも詐欺的であることを示し得る。
【0045】
[0053]上記で説明された例示的なシステムおよび方法は、インターネット詐欺、たとえば、詐欺的ウェブページおよび電子メッセージの自動検出を可能にする。いくつかの実施形態は、詐欺的インターネットドメイン名、すなわち、詐欺的ドキュメントをホストまたは配信するドメインの名前を自動的に識別し、ユーザがそれぞれの詐欺的ドメイン名にアクセスするのを妨げる。代替実施形態は、知られている詐欺的ドメイン名にアクセスする試みが行われたとき、警報を表示し、および/またはシステム管理者に通知する。
【0046】
[0054]いくつかの実施形態は、知られている詐欺的ドメイン名を分析することから導出された知識に基づいて、前に知られていなかった詐欺的ドメイン名のセットを自動的に発見する。そのような自動検出は、新生の詐欺試みに対する素早い応答を可能にし、登録されているが、詐欺的活動を行うためにまだ使用されていないドメイン名を検出することによって、詐欺防止に対するプロアクティブ手法さえも可能にし得る。
【0047】
[0055]いくつかの実施形態は、知られている詐欺的ドメインと同じ(1つまたは複数の)マシン上でホストされたドメインのセットの中から詐欺候補ドメインを選択する。候補セットは、さらに、ドメイン登録データに従ってプルーニングされ得る。次いで、候補のセット内の真に詐欺的なドメインを識別するために、コンテンツ分析が使用され得る。
【0048】
[0056]上記実施形態が本発明の範囲から逸脱することなく多くのやり方で変更され得ることは、当業者にとって明らかであろう。したがって、本発明の範囲は、以下の特許請求の範囲およびそれらの法的均等物によって決定されるべきである。
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.