ホーム > 特許ランキング > 学校法人福岡工業大学
知財求人 - 知財ポータルサイト「IP Force」
特開2024-58806フィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024058806
(43)【公開日】2024-04-30
(54)【発明の名称】フィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法
(51)【国際特許分類】
H04L 43/04 20220101AFI20240422BHJP
H04L 43/16 20220101ALI20240422BHJP
【FI】
H04L43/04
H04L43/16
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022166139
(22)【出願日】2022-10-17
(71)【出願人】
【識別番号】500372717
【氏名又は名称】学校法人福岡工業大学
(74)【代理人】
【識別番号】100114627
【弁理士】
【氏名又は名称】有吉 修一朗
(74)【代理人】
【識別番号】100182501
【弁理士】
【氏名又は名称】森田 靖之
(74)【代理人】
【識別番号】100175271
【弁理士】
【氏名又は名称】筒井 宣圭
(74)【代理人】
【識別番号】100190975
【弁理士】
【氏名又は名称】遠藤 聡子
(72)【発明者】
【氏名】種田 和正
(57)【要約】
【課題】フィッシングを引き起こすフィッシングサイトのドメインを早期かつ確実に特定し、フィッシングを未然に防止することができるフィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法を提供することを目的とする。
【解決手段】フィッシング防止システム1は、利用者端末10、フィッシング検査装置20、種ドメイン収集装置30、データベース40から主に構成されている。フィッシング検査装置20は、利用者端末10で所定の電子情報を受信すると、当該電子情報に表示されたURLのドメインを検査ドメインとして抽出する。そして、判定部22において、検査ドメインと選択種ドメインとの登録時刻の差分の絶対値の最小値が演算され、当該最小値が所定の閾値以内である場合には、検査ドメインはフィッシングを引き起こす悪意あるドメインであると判定する。
【選択図】図1
【解決手段】フィッシング防止システム1は、利用者端末10、フィッシング検査装置20、種ドメイン収集装置30、データベース40から主に構成されている。フィッシング検査装置20は、利用者端末10で所定の電子情報を受信すると、当該電子情報に表示されたURLのドメインを検査ドメインとして抽出する。そして、判定部22において、検査ドメインと選択種ドメインとの登録時刻の差分の絶対値の最小値が演算され、当該最小値が所定の閾値以内である場合には、検査ドメインはフィッシングを引き起こす悪意あるドメインであると判定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワーク回線を経由して所定の電子情報の送受信が可能な利用者端末と、
ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインを収集する種ドメイン収集装置と、
該種ドメイン収集装置で収集した複数の前記種ドメインからなるデータ群であり、該データ群が前記種ドメインのドメイン名を含む所定のドメイン情報と関連付けて登録されたデータベースと、
前記利用者端末で受信した前記電子情報に含まれるURLのドメインである検査ドメインを抽出する抽出部、前記検査ドメインと前記データ群とを照合し、前記データ群のうち前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する判定部、を有するフィッシング検査装置と、を備える
フィッシング防止システム。
ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインを収集する種ドメイン収集装置と、
該種ドメイン収集装置で収集した複数の前記種ドメインからなるデータ群であり、該データ群が前記種ドメインのドメイン名を含む所定のドメイン情報と関連付けて登録されたデータベースと、
前記利用者端末で受信した前記電子情報に含まれるURLのドメインである検査ドメインを抽出する抽出部、前記検査ドメインと前記データ群とを照合し、前記データ群のうち前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する判定部、を有するフィッシング検査装置と、を備える
フィッシング防止システム。
【請求項2】
前記閾値をth、前記検査ドメインの登録時刻と前記種ドメイン集合体の平均登録時刻との標準偏差をσ、前記閾値を規定する比例定数をx、とそれぞれ定義した場合に、以下の関係式で表される
請求項1に記載のフィッシング防止システム。
th=σ×x
請求項1に記載のフィッシング防止システム。
th=σ×x
【請求項3】
前記フィッシング検査装置は、
前記照合部において、前記検査ドメインのドメイン名と前記データ群の少なくとも一の前記種ドメインのドメイン名とが一致すると判定された場合には、その判定結果を前記利用者端末に出力する出力部を有する
請求項1または請求項2に記載のフィッシング防止システム。
前記照合部において、前記検査ドメインのドメイン名と前記データ群の少なくとも一の前記種ドメインのドメイン名とが一致すると判定された場合には、その判定結果を前記利用者端末に出力する出力部を有する
請求項1または請求項2に記載のフィッシング防止システム。
【請求項4】
前記出力部は、
前記照合部において、前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しないと判定された場合に、前記選択種ドメインに基づいて前記判定部による判定を行い、判定結果を前記利用者端末に出力する
請求項3に記載のフィッシング防止システム。
前記照合部において、前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しないと判定された場合に、前記選択種ドメインに基づいて前記判定部による判定を行い、判定結果を前記利用者端末に出力する
請求項3に記載のフィッシング防止システム。
【請求項5】
前記種ドメイン収集装置は、前記ソフトウェアが組み込まれ、ネットワーク回線を経由したコマンドの実行が可能な感染端末を有し、
該感染端末の送受信ログに含まれるドメイン情報から前記種ドメインを特定して前記データベースに送信する
請求項1または請求項2に記載のフィッシング防止システム。
該感染端末の送受信ログに含まれるドメイン情報から前記種ドメインを特定して前記データベースに送信する
請求項1または請求項2に記載のフィッシング防止システム。
【請求項6】
ネットワーク回線を経由して所定の電子情報の送受信が可能な利用者端末で受信した電子情報に含まれるURLのドメインである検査ドメインを抽出する抽出部と、
ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである複数の種ドメインからなるデータ群と前記検査ドメインとを照合し、前記データ群のうち前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する判定部と、を備える
フィッシング検査装置。
ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである複数の種ドメインからなるデータ群と前記検査ドメインとを照合し、前記データ群のうち前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する判定部と、を備える
フィッシング検査装置。
【請求項7】
ネットワーク回線を経由して利用者端末で受信した所定の電子情報に含まれるURLから、検査対象となるドメインである検査ドメインを抽出するステップと、
前記検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合するステップと、
前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しない場合に、前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出するステップと、
前記選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定するステップと、
前記差分の絶対値の最小値が前記閾値の範囲内である場合に、その判定結果を前記利用者端末に対して出力するステップと、をコンピュータに実行させる フィッシング防止プログラム。
前記検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合するステップと、
前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しない場合に、前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出するステップと、
前記選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定するステップと、
前記差分の絶対値の最小値が前記閾値の範囲内である場合に、その判定結果を前記利用者端末に対して出力するステップと、をコンピュータに実行させる フィッシング防止プログラム。
【請求項8】
前記検査ドメインと前記種ドメインからなるデータ群とを照合するステップにおいて、前記検査ドメインのドメイン名と前記データ群の少なくなくとも一の前記種ドメインのドメイン名とが一致すると判定された場合には、その判定結果を前記利用者端末に対して出力するステップを有する
請求項7に記載フィッシング防止プログラム。
請求項7に記載フィッシング防止プログラム。
【請求項9】
ネットワーク回線を経由して利用者端末で受信した所定の電子情報に含まれるURLから、検査対象となるドメインである検査ドメインを抽出する工程と、
前記検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合する工程と、
前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しない場合に、前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出する工程と、
前記選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する工程と、
前記差分の絶対値が前記閾値の範囲内である場合に、その判定結果を前記利用者端末に対して出力する工程と、を備える
フィッシング防止方法。
前記検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合する工程と、
前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しない場合に、前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出する工程と、
前記選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する工程と、
前記差分の絶対値が前記閾値の範囲内である場合に、その判定結果を前記利用者端末に対して出力する工程と、を備える
フィッシング防止方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、フィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法に関する。詳しくは、ドメイン情報に基づいてフィッシングサイトを早期かつ確実に特定し、フィッシングを未然に防止することができるフィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法に係るものである。
【背景技術】
【0002】
パソコンやスマートフォンをはじめとするネットワーク回線を利用した通信機器の普及に伴いフィッシングが世界的に多発している。フィッシングとは、有名企業を詐称した電子メール(Eメール)を利用者端末に送り付け、本文のURLをクリックさせることで正規のウェブサイトとそっくりの悪意ある偽のウェブサイト(フィッシングサイト)に利用者を誘導し、不正に個人IDとパスワードをはじめとする個人情報を盗み出す詐欺行為である。
【0003】
フィッシングは、オンラインバンキングの普及を背景に、金融機関を名乗った手口が一般的であったが、近年では、金融機関以外にも、例えば大手ショッピングサイトや宅配業者などを名乗るフィッシングサイトも横行している。また利用者に対する誘導方法も、Eメールの送信だけではなく、携帯電話番号によるショートメッセージサービス(SMS)を利用した詐欺(SMSを利用したフィッシングを特に「スミッシング」と呼ぶ。)をはじめとして、その手段も広範囲に及び、フィッシングを見破るための難易度は増している。
【0004】
特にスミッシングは、インターネットサービスを提供するプロバイダーやファイアウォール、或いはメールサーバーによるフィルタリング機能がないか、またはフィルタリング機能が弱いため、Eメールによるフィッシングに比べて検出が困難であり、近年のフィッシング詐欺の主流となりつつある。
【0005】
日本では2015年に初めてスミッシングが報告され、特に市場シェアが高く、セキュリティの弱いオペレーションシステムが搭載された携帯機器がハッカー集団の標的となり易いという現状があり、その対策として、日本の大手携帯キャリアは2022年からスミッシングを引き起こすマルウェア検知を開始することを発表している。
【0006】
以上のような課題に対して、例えば特許文献1には、フィッシングサイトを特定する方法が開示されている。具体的には、ユーザーが利用者端末からアクセスするURLに対応するドメイン名が正規のウェブサイトのドメイン名としてデータベースに登録されているか否かを判定し、登録されている場合には警告を行わず、登録されていない場合には正規のウェブサイトの過去の表示画面との類似度を演算し、過去の表示画面との類似度が所定以上である場合にはフィッシングサイトの可能性があると判断して警告を行うものである。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特許第5753302号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、前記した特許文献1に開示の技術によれば、正規のウェブサイトとフィッシングサイトのそれぞれの情報を事前にデータベースに登録をしておく必要があるが、これらの情報収集が可能となるのは、被害がある程度拡大した段階であることが多い。従って、特許文献1に開示の技術では、初期の段階からのフィッシングの防止には不十分であった。
【0009】
この点、本願の発明者は鋭意研究をした結果、フィッシングを行うハッカー集団は、大量のドメインを一括して登録する傾向があることに着目をしたうえで、既知のフィッシングサイトのドメイン(種ドメイン)と種ドメインに関連する新たに登録された悪意あるドメインとの登録時刻差、及び利用者端末における電子情報の受信状況を考慮することで、抽出されたドメインの母集団のうち、悪意あるドメインとして判定される確率(TPR)、及び悪意のないドメインを悪意あるドメインとして誤検出する偽陽性率(FPR)を大幅に改善できることを見出した。
【0010】
本発明は、以上の点に鑑みて創案されたものであり、ドメイン情報に基づいてフィッシングサイトを早期かつ確実に特定し、フィッシングを未然に防止することができるフィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法を提供することを目的とするものである。
【課題を解決するための手段】
【0011】
前記の目的を達成するために、本発明のフィッシング防止システムは、ネットワーク回線を経由して所定の電子情報の送受信が可能な利用者端末と、ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインを収集する種ドメイン収集装置と、該種ドメイン収集装置で収集した複数の前記種ドメインからなるデータ群であり、該データ群が前記種ドメインのドメイン名を含む所定のドメイン情報と関連付けて登録されたデータベースと、前記利用者端末で受信した前記電子情報に含まれるURLのドメインである検査ドメインを抽出する抽出部、前記検査ドメインと前記データ群とを照合し、前記データ群のうち前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する判定部、を有するフィッシング検査装置とを備える。
【0012】
ここで、ネットワーク回線を経由して所定の電子情報の送受信が可能な利用者端末を備えることにより、利用者端末で受信した電子情報からフィッシングサイトのURLをはじめとする所定の情報を抽出することができる。そして、抽出した所定の情報に基づいて、後記するフィッシング検査装置による検査を実行し、検査結果を利用者端末に出力することで、利用者端末で受信した電子情報がフィッシングを引き起こす可能性がある場合には、その旨を利用者に対して警告することができる。
【0013】
また、ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインを収集する種ドメイン収集装置を備えることにより、フィッシングサイトのURLの任意のドメインを収集して、後記するデータベースに登録することができる。
【0014】
また、種ドメイン収集装置で収集した複数の種ドメインからなるデータ群であり、データ群が種ドメインのドメイン名を含む所定のドメイン情報と関連付けて登録されたデータベースを備えることにより、ネットワーク回線を介して送受信される種ドメインをデータベース化しておくことで、種ドメインの情報を活用することができる。
【0015】
また、利用者端末で受信した電子情報に含まれるURLのドメインである検査ドメインを抽出し、検査ドメインを所定の判定条件のもとで判定して悪意あるドメインであるか否かを判定するフィッシング検査装置を備えることにより、URLに含まれる検査ドメインのドメイン情報に基づいて、種ドメイン、或いは種ドメインと関連して登録された悪意あるドメインであるか否かを判定することができる。そして、判定結果を利用者端末に出力することで、フィッシングによる被害を未然に防止することができる。
【0016】
そして、フィッシング検査装置は、検査ドメインとデータベースに登録された種ドメインのデータ群とを照合することで、例えば、検査ドメインのドメイン名とデータベースに登録されている種ドメインのドメイン名とが一致する場合には、検査ドメインは種ドメインであると判定して、利用者端末に対して直ちに判定結果を出力することができる。
【0017】
一方、検査ドメインと種ドメインのドメイン名が一致しない場合には、検査ドメインのドメイン情報のうち、ドメイン名以外のドメイン情報(例えば登記国や登記者)の一部が共通する種ドメインの集合体である種ドメイン集合体から選択される任意の一の選択種ドメインの登録時刻と検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かに基づいて、検査ドメインが悪意あるドメインであるか否かが判定される。
【0018】
即ち、ハッカー集団は、大量のドメインを一括して同時期に登録する傾向があるため、種ドメインと時間差なく登録されたドメインは種ドメインに関連して登録された悪意あるドメインであると推定することができる。そして、種ドメイン集合体から選択される一の選択種ドメインの登録時刻と検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値内であれば、検査ドメインは選択種ドメインと時間差なく登録された悪意あるドメインであると判定することで、検査ドメインのドメイン名が、データベースに登録されている種ドメインのドメイン名と一致しない場合であっても、悪意あるドメインであると直ちに判定することができる。
【0019】
また、閾値thは、検査ドメインの登録時刻と種ドメイン集合体の平均登録時刻との標準偏差をσ、閾値を規定する比例定数をxとそれぞれ定義し、th=σ×xで表される場合には、当該関係式に基づいて一律に検査ドメインが悪意あるドメインであるか否かを判定することができる。
【0020】
また、フィッシング検査装置は、判定部において、検査ドメインのドメイン名とデータ群の少なくとも一の種ドメインのドメイン名とが一致すると判定されたときに、その判定結果を利用者端末に出力する出力部を有する場合には、検査ドメインのドメイン名と種ドメインのドメイン名とが一致すると判定されると、検査ドメインは悪意あるドメインであると直ちに判定して利用者端末に判定結果を出力し、利用者に対して警告することができる。
【0021】
また、検査ドメインのドメイン名とデータ群の種ドメインのドメイン名とが一致しないと判定されたときに、さらに種ドメイン集合体から選択された選択種ドメインに基づいた判定を行い、判定結果を利用者端末に出力する場合には、例え検査ドメインのドメイン名とデータ群の種ドメインのドメイン名とが一致しないときでも、選択種ドメインに基づいて検査ドメインが悪意あるドメインであるか否かを判定することができるため、悪意あるドメインの検出率を高めることができる。
【0022】
また、種ドメイン収集装置は、ソフトウェアが組み込まれ、ネットワーク回線を経由したコマンドの実行が可能な感染端末を有し、感染端末の送受信ログに含まれるドメイン情報から種ドメインを特定してデータベースに送信する場合には、ハッカー集団から送信される電子情報を感染端末で受信することができる。そして、受信した電子情報から種ドメインを特定するとともに、特定した種ドメインをデータベースに送信してデータベースを常時アップデートすることで、判定部における悪意あるドメインの検出率を高めることができる。
【0023】
前記の目的を達成するために、本発明のフィッシング検査装置は、ネットワーク回線を経由して所定の電子情報の送受信が可能な利用者端末で受信した電子情報に含まれるURLのドメインである検査ドメインを抽出する抽出部と、ネットワーク回線を経由したコマンドによりフィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである複数の種ドメインからなるデータ群と前記検査ドメインとを照合し、前記データ群のうち前記検査ドメインのドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する判定部とを備える。
【0024】
以上の構成により、利用者端末で受信した電子情報に含まれるURLのドメインが種ドメインであるか否か、仮に種ドメインに該当しなくとも、悪意あるドメインであるか否かを直ちに判定し、その判定結果を利用者端末に出力することができるため、フィッシング被害を未然に防止することができる。
【0025】
前記の目的を達成するために、本発明のフィッシング防止プログラムは、ネットワーク回線を経由して利用者端末で受信した所定の電子情報に含まれるURLから、検査対象となるドメインである検査ドメインを抽出するステップと、前記検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合するステップと、前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しない場合に、前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出するステップと、前記選択種ドメインの登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定するステップと、前記差分の絶対値が前記閾値の範囲内である場合に、その判定結果を前記利用者端末に対して出力するステップと、をコンピュータに実行させるものである。
【0026】
ここで、ネットワーク回線を経由して利用者端末で受信した所定の電子情報に含まれるURLから、検査対象となるドメインである検査ドメインを抽出するステップを備えることにより、URLに含まれるドメイン名を被検査対象として抽出することができる。
【0027】
また、検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合するステップを備えることにより、例えば検査ドメインのドメイン名と、データ群を構成する一の種ドメインのドメイン名とを照合し、それぞれのドメイン名が一致する場合には、検査ドメインは種ドメインであると直ちに判定して、利用者端末に対して判定結果を出力することができる。
【0028】
また、検査ドメインのドメイン名とデータ群の種ドメインのドメイン名とが一致しない場合に、検査ドメインのドメイン名以外のドメイン情報の一部が共通する種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出するステップを備えることにより、検査ドメインのドメイン名と種ドメインのドメイン名とが一致しない場合でも、ドメイン名以外のドメイン情報(例えば登記国や登記者)が一致する種ドメインの集合体を種ドメイン集合体として定義し、該種ドメイン集合体から選択された任意の一の選択種ドメインに基づいて、検査ドメインが悪意あるドメインであるか否かを判定することができるため、悪意あるドメインの検出率を高めることができる。
【0029】
また、選択種ドメインの登録時刻と検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定するステップを備えることにより、選択種ドメインと時間差なく登録されたドメインは、選択種ドメインに関連して登録された悪意あるドメインであると推定して、検査ドメインが悪意あるドメインであるか否かを判定することができる。
【0030】
また、差分の絶対値の最小値が閾値の範囲内である場合に、その判定結果を利用者端末に対して出力するステップを備えることにより、受信した電子情報が悪意あるドメインを含む可能性があることを利用者に通知することで、フィッシング被害を未然に防止することができる。
【0031】
また、検査ドメインと種ドメインからなるデータ群とを照合するステップにおいて、検査ドメインのドメイン名とデータ群に含まれる一の種ドメインのドメイン名とが一致すると判定されたときには、その判定結果を利用者端末に対して出力するステップを有する場合には、検査ドメインのドメイン名と種ドメインのドメイン名とが一致すると判定されると、検査ドメインは悪意あるドメインと直ちに判定して利用者端末に判定結果を出力し、利用者に対して警告することができる。
【0032】
前記の目的を達成するために、本発明のフィッシング防止方法は、ネットワーク回線を経由して利用者端末で受信した所定の電子情報に含まれるURLから、検査対象となるドメインである検査ドメインを抽出する工程と、前記検査ドメインと、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLのドメインである種ドメインからなるデータ群とを照合する工程と、前記検査ドメインのドメイン名と前記データ群の前記種ドメインのドメイン名とが一致しない場合に、前記検査ドメインのドメイン名以外のドメイン情報の一部が共通する前記種ドメインの集合体である種ドメイン集合体から任意に選択された一の選択種ドメインを抽出する工程と、前記選択種ドメイン集合体の登録時刻と前記検査ドメインの登録時刻との差分の絶対値の最小値が所定の閾値の範囲内であるか否かを判定する工程と、前記差分の絶対値が前記閾値の範囲内である場合に、その判定結果を前記利用者端末に対して出力する工程とを備える。
【0033】
以上の工程に従うことで、利用者端末で受信した電子情報に含まれるURLのドメインが種ドメインであるか否か、仮に種ドメインに該当しなくとも、悪意あるドメインであるか否かを直ちに判定し、その判定結果を利用者端末に出力することができるため、フィッシング被害を未然に防止することができる。
【発明の効果】
【0034】
本発明に係るフィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法は、ドメイン情報に基づいてフィッシングサイトを早期かつ確実に特定し、フィッシングを未然に防止することができるものとなっている。
【図面の簡単な説明】
【0035】
【図1】本発明の実施形態に係るフィッシング防止システムの概要図である。
【図2】任意のマルウェアの検査ドメインと種ドメインとの偏差を示すグラフである。
【図3】FNRとSMSの受信率毎のFPRとの関係を示すグラフである。
【図4】種ドメインのデータベースへの登録フローを示す図である。
【図5】フィッシング検査装置における判定フローを示す図である。
【図6】任意のマルウェアの検査結果を示す図である。
【発明を実施するための形態】
【0036】
以下、本発明の実施形態に係るフィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法ついて図面等を用いて詳細に説明し、本発明の理解に供する。
【0037】
図1は本発明の実施形態に係るフィッシング防止システム1の全体構成を示す図である。フィッシング防止システム1は、利用者端末10、フィッシング検査装置20、種ドメイン収集装置30、データベース40から主に構成されており、これら各構成要素がネットワーク回線50を通じて互いに通信可能な状態となっている。
【0038】
[利用者端末]
利用者端末10は、利用者が保有する携帯端末(スマートフォン、タブレット端末等)、或いはパーソナルコンピュータを含み、ネットワーク回線50を通じて図示しないサーバーとの間で通信し、他の通信端末との間で所定の電子情報(電子メール、ショートメッセージ)の送受信が可能となっている。
利用者端末10は、利用者が保有する携帯端末(スマートフォン、タブレット端末等)、或いはパーソナルコンピュータを含み、ネットワーク回線50を通じて図示しないサーバーとの間で通信し、他の通信端末との間で所定の電子情報(電子メール、ショートメッセージ)の送受信が可能となっている。
【0039】
[種ドメイン収集装置]
種ドメイン収集装置30は、ネットワーク回線50を経由したコマンドにより、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLを識別可能なドメインである種ドメインを収集する機能を有しており、ハッカー集団の管理下にあるボットネット(悪質なアクティビティを実行するコンピュータにより構築されているネットワーク)を構成する一部のボット31と、該ボット31の電子情報を収集する制御装置32から構成されている。
種ドメイン収集装置30は、ネットワーク回線50を経由したコマンドにより、フィッシングを引き起こすソフトウェアが組み込まれたウェブサイトのURLを識別可能なドメインである種ドメインを収集する機能を有しており、ハッカー集団の管理下にあるボットネット(悪質なアクティビティを実行するコンピュータにより構築されているネットワーク)を構成する一部のボット31と、該ボット31の電子情報を収集する制御装置32から構成されている。
【0040】
ここで、種ドメイン収集装置30で収集するドメインとしては、特に限定されるものではないが、例えばURLを識別する任意のドメイン、或いは複数のドメインの組み合わせを収集することができるものとする。
【0041】
ボット31は、フィッシング引き起こすソフトウェアがインストールされ、ハッカー集団が管理する管理サーバー60との間で通信可能であり、このボット31を介して不特定多数の通信端末に対してハッカー集団からの指令を送信する送信元として機能するものである。
【0042】
なお、本発明の実施形態においては、フィッシングを引き起こすソフトウェアを予め任意の携帯端末にインストールしてボット31として機能させ、該ボット31は管理サーバー60、及び制御装置32との間でのみ通信可能な状態とし、他の通信機器との間では通信が制限されているものとする。そして、ボット31が管理サーバー60との間で通信を開始すると、制御装置32はボット31と管理サーバー60との間で交わされる通信情報を取得する。
【0043】
[データベース]
データベース40は、種ドメイン収集装置30で収集した複数の種ドメインが登録される記憶装置である。制御装置32によりボット31が受信した電子情報に含まれるURLからドメイン名が特定されると、特定されたドメインがデータベース40に送信される。データベース40では、ドメインを受信すると、外部にあるドメイン名レジストリ70から、当該ドメインに対応する所定の情報(ドメインの登録時刻、ドメインの登記者、ドメインの登記国等)を参照して、これら情報をドメイン名と関連付けてドメイン情報としてデータベース化し、一群のデータ群を構成している。
データベース40は、種ドメイン収集装置30で収集した複数の種ドメインが登録される記憶装置である。制御装置32によりボット31が受信した電子情報に含まれるURLからドメイン名が特定されると、特定されたドメインがデータベース40に送信される。データベース40では、ドメインを受信すると、外部にあるドメイン名レジストリ70から、当該ドメインに対応する所定の情報(ドメインの登録時刻、ドメインの登記者、ドメインの登記国等)を参照して、これら情報をドメイン名と関連付けてドメイン情報としてデータベース化し、一群のデータ群を構成している。
【0044】
そしてボット31は、管理サーバー60と通信可能な状態であるため、管理サーバー60から新たな電子情報を受信すると、その都度、制御装置32で受信した電子情報を解析し、解析の結果、新たなドメインを抽出すると、抽出したドメインをデータベース40に送信する。従って、データベース40に登録されているデータ群は常に最新の状態に更新されたものとなる。
【0045】
なお、一般的にハッカー集団は、一定期間経過後に一括登録したドメイン群を放棄して新たなドメイン群を取得する傾向がある。従って、データベース40に登録されているドメイン情報のうち、所定の期間が経過したドメイン情報についてはデータベース40から自動的に削除し、記憶領域を確保して常に最新のドメイン情報が登録できる状態にしておくようにしてもよい。
【0046】
[フィッシング検査装置]
フィッシング検査装置20は利用者端末10にインストールされており、利用者端末10で受信した電子情報に含まれるURLのドメインが、フィッシングを引き起こす悪意あるドメインであるか否かを判定するプログラムが実行可能であり、抽出部21、判定部22、及び出力部23から構成されている。
フィッシング検査装置20は利用者端末10にインストールされており、利用者端末10で受信した電子情報に含まれるURLのドメインが、フィッシングを引き起こす悪意あるドメインであるか否かを判定するプログラムが実行可能であり、抽出部21、判定部22、及び出力部23から構成されている。
【0047】
ここで、必ずしも、フィッシング検査装置20は利用者端末10にインストールされている必要ない。例えば、外付けのフィッシング検査装置20を利用者端末10と無線または有線で通信可能なように構成してもよい。
【0048】
抽出部21は、電子情報に含まれるURLからドメインを特定して抽出する機能を有している。抽出されたドメイン(以下、「検査ドメイン」という。)は、判定部22において悪意あるドメインであるか否かが判定される。そして、判定部22における判定結果は、出力部23から利用者端末10に出力される。従って、利用者は、利用者端末10を通じて判定結果を確認することで、受信した電子情報が悪意あるドメインを含むURLであるか否かを直ちに判別することができる。
【0049】
以上がフィッシング防止システム1の主なハードウェア構成である。次に、判定部22における検査ドメインに対する具体的な検査方法について説明する。判定部22では、検査ドメインのドメイン名がデータベース40に登録されたデータ群のうち少なくとも一つの種ドメインのドメイン名と合致する場合には、検査ドメインは悪意あるドメインと判定されるが、そうでない場合には、以下の演算式に従って、検査ドメインが悪意あるドメインであるか否かの判定がされる。
【0050】
まず、利用者端末10で電子情報を受信したら、受信した電子情報に含まれるURLに表示されている検査ドメインdiを抽出し、検査ドメインdiの登録時刻(生成時刻)をt(di)と定義する。そして、以下の式(1)を満たす選択種ドメインdjの登録時刻t(dj)が存在する場合、検査ドメインdiは悪意あるドメインであると判断する。
|t(di)-t(dj)|≦th (1)
|t(di)-t(dj)|≦th (1)
【0051】
前記の式(1)で定義した閾値thを求めるには、偽陰性率(FNR)と偽陽性率(FPR)をそれぞれ計算する。まず、任意のOS向けのマルウェアである一括して登録されたドメインの集合をG(種ドメイン集合体)、任意のOS向けのマルウェアとは無関係のドメインの集合をG´とそれぞれ定義する。ここで、種ドメイン集合体は、各ドメインのドメイン名はそれぞれ異なるが、その他のドメイン情報(登記国、登記者等)が全て一致するドメインの集合体であり、この種ドメイン集合体を構成する種ドメインのうち、登録時刻が最小の種ドメインを、前記した選択種ドメインdjと定義する。
【0052】
ここで、必ずしも、種ドメイン集合体を構成する各ドメインは、ドメイン名以外の他の全てのドメイン情報が一致する必要はなく、一部のドメイン情報が一致するドメインにより構成されていてもよい。
【0053】
FNRとFPRは、それぞれ以下の式(2)、式(3)の関係となる。なお、後記する通り、本実施形態においては、FNRとFPRが一致する場合の閾値thを使用するものとする。
FNR=P(|t(di)-t(dj)|>th|di,dj∈G) (2)
FPR=P(|t(di)-t(dj)|≦th|di∈G´,dj∈G) (3)
FNR=P(|t(di)-t(dj)|>th|di,dj∈G) (2)
FPR=P(|t(di)-t(dj)|≦th|di∈G´,dj∈G) (3)
【0054】
次に、式(4)に示すように、t(di)とt(G)との偏差Liを定義する。
Li=t(di)-t(dj) (4)
なお、t(G)は種ドメイン集合体に含まれるドメインの平均登録時刻であって、式(5)で表すことができる。
t(G)=Σd∈Gt(d)/|G| (5)
Li=t(di)-t(dj) (4)
なお、t(G)は種ドメイン集合体に含まれるドメインの平均登録時刻であって、式(5)で表すことができる。
t(G)=Σd∈Gt(d)/|G| (5)
【0055】
図2は、任意のマルウェアに対して計測した偏差Liであり、横軸はドメインの登録時刻を示す。なお、図2における標準偏差σは任意の種ドメイン集合体における値であり、本実施形態においては4.4秒である。ここで、Liは平均0、分散σ2の正規分布N(0、σ2)に従うと仮定する。このとき、登録されるドメイン数は、一般的に複合ポアソン過程に従う。そして、時間(0、t)に登録されるドメインdk∈G´の数Z(t)も同じ法則に従うと仮定して、式(6)のように定義する。
Z(t)=Y1+Y2+・・・YN(t) (6)
Z(t)=Y1+Y2+・・・YN(t) (6)
【0056】
ここで、N(t)はバッチ生成率λのポアソン分布、「Y1+Y2+・・・」は平均バッチサイズμの独立同一分布ポアソン確率変数である。従って、Z(t)の期待値はE(Z(t))=λμtで表すことができる。なお、λμはドメイン登録率であるとともに、利用者端末10におけるURLを含む電子情報の到着率(到着頻度)である。
【0057】
以上の偏差Liとドメイン数Z(t)の仮定に基づき、FNRとFPRはそれぞれ以下の式(7)、及び式(8)で表すことができる。なお、x=th/σである。
FNR=1-erf(x/2) (7)
FPR=1-exp(-2λσx(1―e-μ)) (8)
FNR=1-erf(x/2) (7)
FPR=1-exp(-2λσx(1―e-μ)) (8)
【0058】
FNRは単調減少関数、FPRは単調増加関数であり、それぞれグラフに表すと図3のようになり、交点が一つ存在する。なお、横軸xは閾値thを規定する比例定数である。交点はFNRとFPRとが一致する等誤り率(EER)を表し、その時の横軸xの値から閾値th=xσを決定することができる。例えば、SMSはEメールとは異なり、利用者端末10での受信頻度はそれほど多くはなく、SMSの到着率を1日1件(λμ=1)と仮定した場合はER=0.05%となり、悪意あるドメインを確実に検出できるものとなる。
【0059】
次に、本発明の実施形態に係るフィッシング防止プログラムについて説明する。図4は、種ドメイン収集装置30で収集した種ドメインのデータベース40への登録フローを示す図である。
【0060】
まず、ボット31と管理サーバー60とが通信を行い、管理サーバー60から受信した電子情報に含まれるURLからドメイン名が特定されると(STEP11)、ドメイン名レジストリからの情報に基づいてドメイン名とともに登記国や登記者、或いは登録時刻を含むドメイン情報がデータベース40に登録され(STEP12)、さらにマルウェア毎の標準偏差であるσの値が更新される(STEP13)。以上のSTEP11~STEP13を繰り返すことにより、データベース40のデータ群は常に最新の状態に更新されることになる。
【0061】
次に、図5に基づいて、利用者端末10で電子情報を受信した際のフィッシング検査装置20における判定フローについて説明する。
【0062】
まず、利用者端末10でURLを含む電子情報を受信したら(STEP21)、電子情報に含まれるURLから検査ドメインdiを特定する(STEP22)。そして、STEP22で特定された検査ドメインdiのドメイン名と同一のドメイン名の種ドメインがデータベース40に登録されているか否かを照合する(STEP23)。
【0063】
STEP23において「YES」の場合、即ち、検査ドメインdiのドメイン名と同一のドメイン名の種ドメインがデータベース40に登録されている場合には、検査ドメインdiはフィッシングサイトの悪意あるドメインであるとして、その判定結果を利用者端末10に出力する(STEP24)。
【0064】
一方、STEP23において「NO」の場合、即ち、検査ドメインdiのドメイン名と同一のドメイン名の種ドメインがデータベース40に登録されていない場合には、前記した式(1)に基づいて、検査ドメインdiと種ドメイン集合体から選択された任意の選択種ドメインdjの登録時刻との差分の絶対値の最小値δを演算する(STEP25)。
【0065】
そして、フィッシング検査装置20は、予め設定された標準偏差σ、利用者端末10の電子情報の受信率λ、及び平均バッチサイズμに基づいて、EER(図3の交点)と閾値thを演算して、δ≦thであるか否かを判定する(STEP26)。STEP26の判定で「YES」の場合には、検査ドメインdiは選択種ドメインdjに関連して登録された悪意あるドメインと判定する。一方、STEP26で「NO」の場合には悪意のないドメインであると判定する。そして、その判定結果は出力部23から利用者端末10に出力される(STEP27)。
【0066】
図6は、マルウェア検査を行うウェブサイト(VirusTotal)による任意のマルウェア(FakeSpy)のセカンドレベルドメイン(SLD)の検査結果である。なお、ファーストレベルドメインは全て「com」である。図6において、「到着日」は利用者端末10で電子情報を受信した日であり、「登録日」は各ドメインが登録された日(時刻情報を含む)である。そして、同じ登録日のSLDは一括登録されたドメインの集合に含まれる。なお、VirusTotalは94のセキュリティ会社のデータセットやスキャンエンジンを使って、悪意あるドメインと判断した会社数を出力するサイトである。図6に示す通り、到着日から数日間の検出結果は殆ど0(未検出)であることがわかる。
【0067】
これに対して、図6中の「0」に対応するSLDは、種ドメイン(登録日が同じで、かつ検査結果が0より大きいドメイン)が存在するため、前記の式(1)が成立し、悪意あるドメインを検出できる可能性ある。例えばλ=0.1の場合、図3より、th=xσ=5.7×4.4>25であり、図2より、―10<Li<15となる。従って、本発明を適用することで、図6中の「0」のセルについては、悪意あるドメインの検出ができるため、検出結果を改善できる可能性がある。
【0068】
以上、本発明を適用したフィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法においては、フィッシングを引き起こすフィッシングサイトのドメインを早期かつ確実に特定し、フィッシングを未然に防止することができるものとなる。
【符号の説明】
【0069】
1 フィッシング防止システム
10 利用者端末
20 フィッシング検査装置
21 抽出部
22 判定部
23 出力部
30 種ドメイン収集装置
31 ボット
32 制御装置
40 データベース
50 ネットワーク回線
60 管理サーバー
70 ドメイン名レジストリ
10 利用者端末
20 フィッシング検査装置
21 抽出部
22 判定部
23 出力部
30 種ドメイン収集装置
31 ボット
32 制御装置
40 データベース
50 ネットワーク回線
60 管理サーバー
70 ドメイン名レジストリ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】