知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-09
(45)【発行日】2022-05-17
(54)【発明の名称】解析装置、検出装置、システム及びプログラム
(51)【国際特許分類】
G06F 21/44 20130101AFI20220510BHJP
【FI】
G06F21/44
【請求項の数】
13
(21)【出願番号】P 2019149872
(22)【出願日】2019-08-19
(65)【公開番号】P2021033421
(43)【公開日】2021-03-01
【審査請求日】2021-06-25
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成28年度、国立研究開発法人情報通信研究機構、高度通信・放送研究開発委託研究/「Web媒介型攻撃対策技術の実用化に向けた研究開発」副題「Web媒介型攻撃の網羅的な観測・分析に基づくユーザ環境のセキュリティ高度化」、産業技術力強化法第17条の適用を受ける特許出願
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】田中 翔真
(72)【発明者】
【氏名】松中 隆志
(72)【発明者】
【氏名】山田 明
(72)【発明者】
【氏名】窪田 歩
【審査官】中里 裕正
(56)【参考文献】
【文献】特表2018-526721(JP,A)
【文献】特開2016-045754(JP,A)
【文献】特開2015-201071(JP,A)
【文献】特開2014-219708(JP,A)
【文献】特開2010-067037(JP,A)
【文献】国際公開第2016/132992(WO,A1)
【文献】米国特許出願公開第2018/0013789(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 13/00
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むアクセスログを取得する取得部と、前記アクセスログから、前記Webページに関する前記リソースの種類毎の統計情報を取得する解析部と、
前記WebページのURLが既知のフィッシングサイトのURLリストに含まれる場合に、当該Webページに関する前記統計情報を、フィッシングサイトを検出するためのブラックリストに記録するリスト生成部と、を備える解析装置。
【請求項2】
前記統計情報は、前記リソースの種類毎のアクセス数を含む請求項1に記載の解析装置。
【請求項3】
前記リスト生成部は、前記統計情報における前記アクセス数の総和が閾値以下の場合、当該統計情報をブラックリストに登録しない請求項2に記載の解析装置。
【請求項4】
前記統計情報は、前記リソースの種類毎のサイズの総和を含む請求項1から請求項3のいずれかに記載の解析装置。
【請求項5】
前記リスト生成部は、前記統計情報における所定のリソースの種類に対する前記サイズの総和が0の場合、当該統計情報をブラックリストに登録しない請求項4に記載の解析装置。
【請求項6】
前記統計情報は、前記リソースの種類毎のURLドメイン数を含む請求項1から請求項4のいずれかに記載の解析装置。
【請求項7】
ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及び大きさを含むアクセスログを取得する取得部と、前記アクセスログから、前記Webページに関する前記リソースの種類毎の統計情報を取得する解析部と、
前記統計情報が既知のフィッシングサイトの統計情報を記録したブラックリストに含まれる場合に、前記Webページをフィッシングサイトと判定する判定部と、を備える検出装置。
【請求項8】
前記判定部によりフィッシングサイトと判定された前記WebページのURLを、前記既知のフィッシングサイトのURLリストに追加登録するURL登録部を備え、前記判定部は、前記統計情報を前記ブラックリストと照合する前に、前記URLリストを参照し、前記WebページのURLが当該URLリストに含まれる場合に、前記Webページをフィッシングサイトと判定する請求項7に記載の検出装置。
【請求項9】
前記判定部は、前記Webページのドメインの出現頻度が閾値未満の場合にのみ、前記ブラックリストに基づくフィッシングサイトの判定を行う請求項7又は請求項8に記載の検出装置。
【請求項10】
請求項1から請求項6のいずれかに記載の解析装置と、ユーザ端末と、を備え、前記ユーザ端末は、前記ブラウザによるネットワークへのアクセスを監視し、ユーザのID及び前記ブラウザのタブを識別するIDを含む前記アクセスログを生成し、前記解析装置へ送信する解析システム。
【請求項11】
請求項7から請求項9のいずれかに記載の検出装置と、ユーザ端末と、を備え、前記ユーザ端末は、前記ブラウザによるネットワークへのアクセスを監視し、ユーザのID及び前記ブラウザのタブを識別するIDを含む前記アクセスログを生成し、前記検出装置へ送信する検出システム。
【請求項12】
請求項1から請求項6のいずれかに記載の解析装置としてコンピュータを機能させるための解析プログラム。
【請求項13】
請求項7から請求項9のいずれかに記載の検出装置としてコンピュータを機能させるための検出プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、フィッシングサイトを検出するための装置、システム及びプログラムに関する。
【背景技術】
【0002】
近年、有名企業又は公的機関等の信頼された主体になりすましてメールを送り、公式サイトを装った偽サイト(フィッシングサイト)に誘導することで、ログインID及びパスワード等の個人情報を盗み出す行為による被害が急増している。
このような被害を防ぐため、アクセス先がフィッシングサイトであることを検出する技術が望まれている。そこで、例えば、既知のフィッシングサイトのURLとの類似性に基づいて、未知のフィッシングサイトを検出する手法が提案されている(例えば、特許文献1参照)。
このような被害を防ぐため、アクセス先がフィッシングサイトであることを検出する技術が望まれている。そこで、例えば、既知のフィッシングサイトのURLとの類似性に基づいて、未知のフィッシングサイトを検出する手法が提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特表2012-521599号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、攻撃者は、フィッシングサイトのURLを頻繁に変更し、あるいは多数のURLを同時に利用して複数のサイトを作成する場合が多く、これらのURLは、必ずしも類似していない。このため、従来の手法では、検出対象は、URLの文字列が既知のフィッシングサイトと類似している場合に限定されるという課題があった。
【0005】
本発明は、精度良くフィッシングサイトを検出できる解析装置、検出装置、システム及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る解析装置は、ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むアクセスログを取得する取得部と、前記アクセスログから、前記Webページに関する前記リソースの種類毎の統計情報を取得する解析部と、前記WebページのURLが既知のフィッシングサイトのURLリストに含まれる場合に、当該Webページに関する前記統計情報を、フィッシングサイトを検出するためのブラックリストに記録するリスト生成部と、を備える。
【0007】
前記統計情報は、前記リソースの種類毎のアクセス数を含んでもよい。
【0008】
前記リスト生成部は、前記統計情報における前記アクセス数の総和が閾値以下の場合、当該統計情報をブラックリストに登録しなくてもよい。
【0009】
前記統計情報は、前記リソースの種類毎のサイズの総和を含んでもよい。
【0010】
前記リスト生成部は、前記統計情報における所定のリソースの種類に対する前記サイズの総和が0の場合、当該統計情報をブラックリストに登録しなくてもよい。
【0011】
前記統計情報は、前記リソースの種類毎のURLドメイン数を含んでもよい。
【0012】
本発明に係る検出装置は、ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及び大きさを含むアクセスログを取得する取得部と、前記アクセスログから、前記Webページに関する前記リソースの種類毎の統計情報を取得する解析部と、前記統計情報が既知のフィッシングサイトの統計情報を記録したブラックリストに含まれる場合に、前記Webページをフィッシングサイトと判定する判定部と、を備える。
【0013】
前記検出装置は、前記判定部によりフィッシングサイトと判定された前記WebページのURLを、前記既知のフィッシングサイトのURLリストに追加登録するURL登録部を備え、前記判定部は、前記統計情報を前記ブラックリストと照合する前に、前記URLリストを参照し、前記WebページのURLが当該URLリストに含まれる場合に、前記Webページをフィッシングサイトと判定してもよい。
【0014】
前記判定部は、前記Webページのドメインの出現頻度が閾値未満の場合にのみ、前記ブラックリストに基づくフィッシングサイトの判定を行ってもよい。
【0015】
本発明に係る解析システムは、前記解析装置と、ユーザ端末と、を備え、前記ユーザ端末は、前記ブラウザによるネットワークへのアクセスを監視し、ユーザのID及び前記ブラウザのタブを識別するIDを含む前記アクセスログを生成し、前記解析装置へ送信する。
【0016】
本発明に係る検出システムは、前記検出装置と、ユーザ端末と、を備え、前記ユーザ端末は、前記ブラウザによるネットワークへのアクセスを監視し、ユーザのID及び前記ブラウザのタブを識別するIDを含む前記アクセスログを生成し、前記検出装置へ送信する。
【0017】
本発明に係る解析プログラムは、前記解析装置としてコンピュータを機能させるためのものである。
【0018】
本発明に係る検出プログラムは、前記検出装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0019】
本発明によれば、精度良くフィッシングサイトを検出できる。
【図面の簡単な説明】
【0020】
【図1】実施形態における検出システムの機能構成を示すブロック図である。
【図2】実施形態におけるWebアクセスログが集計された統計情報を例示する図である。
【図3】実施形態におけるWebページ毎のリソースの統計情報と、ブラックリストとの照合の方法を例示する図である。
【図4】実施形態におけるブラックリストの生成、及びフィッシングサイトの検出を行う処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0021】
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態における検出システム1の機能構成を示すブロック図である。
検出システム1は、解析装置10と、ユーザ端末20とを備え、両者は、ネットワークを介して互いに接続される。
図1は、本実施形態における検出システム1の機能構成を示すブロック図である。
検出システム1は、解析装置10と、ユーザ端末20とを備え、両者は、ネットワークを介して互いに接続される。
【0022】
解析装置10は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部11及び記憶部12の他、各種データの入出力デバイス及び通信デバイス等を備える。
【0023】
ユーザ端末20は、パーソナルコンピュータ、タブレット端末又はスマートフォン等の情報処理装置(コンピュータ)であり、アプリケーション・ソフトウェアとしてブラウザを備え、インターネットに接続される。
また、ユーザ端末20は、例えばブラウザのアドオン機能として設けられたブラウザセンサ21により、ブラウザを介したネットワークへのアクセスを監視し、ユーザのID及びブラウザのタブを識別するIDを含むWebアクセスログを生成し、解析装置10へ送信する。
また、ユーザ端末20は、例えばブラウザのアドオン機能として設けられたブラウザセンサ21により、ブラウザを介したネットワークへのアクセスを監視し、ユーザのID及びブラウザのタブを識別するIDを含むWebアクセスログを生成し、解析装置10へ送信する。
【0024】
Webアクセスログは、ブラウザセンサ21によって取得されるWebブラウジングの履歴データであり、次の情報を含む。
(1)ユーザを識別するID(ユーザID)
(2)ブラウザのタブを識別するID(タブID)
(3)リソースの種類
(4)リソースのサイズ
(5)リソースのURL
(1)ユーザを識別するID(ユーザID)
(2)ブラウザのタブを識別するID(タブID)
(3)リソースの種類
(4)リソースのサイズ
(5)リソースのURL
【0025】
ここで、リソースは、Webページを構成する画像、動画又はスクリプト等の要素であり、例えば、WebAPIを介して、「main_frame」、「sub_frame」、「stylesheet」、「script」、「image」、「font」、「objet」、「xmlhttprequest」、「ping」、「csp_report」、「media」、「websocket」、「other」といった種類が特定される。
また、各リソースのサイズは、例えば、HTTPレスポンスヘッダの「content-length」であってよい。
また、各リソースのサイズは、例えば、HTTPレスポンスヘッダの「content-length」であってよい。
【0026】
なお、「main_frame」は、ブラウザのタブにロードされたトップレベルのドキュメントであり、次に「main_frame」がロードされる直前までの一連のWebアクセスログが、一つのWebページを構成するためのリソースを示している。
【0027】
解析装置10の制御部11は、記憶部12に格納されたソフトウェア(解析プログラム、検出プログラム)を読み出して実行することにより、取得部111、解析部112、リスト生成部113、判定部114、及びURL登録部115として機能する。
【0028】
解析装置10は、これらの機能部により、既知のフィッシングサイトのURLリスト121とは別に、これらのフィッシングサイトのWebページを構成する際にアクセスするリソースの統計情報をブラックリスト122として生成する。なお、URLリスト121は、記憶部12に予め記憶されていてもよいし、外部サーバにより提供されてもよい。
これにより、解析装置10は、ユーザ端末20がブラウザによりアクセスしたサイトのWebページを表示する際に、このWebページを構成するリソースの統計情報をブラックリスト122と照合して、アクセスしたサイトがフィッシングサイトであることを検出する。
これにより、解析装置10は、ユーザ端末20がブラウザによりアクセスしたサイトのWebページを表示する際に、このWebページを構成するリソースの統計情報をブラックリスト122と照合して、アクセスしたサイトがフィッシングサイトであることを検出する。
【0029】
取得部111は、ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むWebアクセスログを取得する。
【0030】
解析部112は、一連のWebアクセスログから、Webページそれぞれに関するリソースの種類毎の統計情報を取得する。
統計情報は、例えば、「main_frame」毎に集計される次の情報である。
(1)リソースの種類毎のアクセス数(例えば、画像の数)
(2)リソースの種類毎のサイズの総和(例えば、画像の総容量)
(3)リソースの種類毎のURLドメイン数(例えば、画像の取得先ドメインの数)
統計情報は、例えば、「main_frame」毎に集計される次の情報である。
(1)リソースの種類毎のアクセス数(例えば、画像の数)
(2)リソースの種類毎のサイズの総和(例えば、画像の総容量)
(3)リソースの種類毎のURLドメイン数(例えば、画像の取得先ドメインの数)
【0031】
図2は、本実施形態におけるWebアクセスログが集計された統計情報を例示する図である。
この例では、リソースの種類が「main_frame」であるWebアクセスログ(url1)に続いて、各種のリソース(resource01、resource02、…)に対するWebアクセスログ(url2、url3、・・・)が取得されている。
この例では、リソースの種類が「main_frame」であるWebアクセスログ(url1)に続いて、各種のリソース(resource01、resource02、…)に対するWebアクセスログ(url2、url3、・・・)が取得されている。
【0032】
ここで、urlXXXの次にWebアクセスログ(url(XXX+1))が「main_frame」であるため、url1へのアクセスにより表示されるWebページは、url1からurlXXXまでのリソースにより構成されていることが分かる。
したがって、統計情報は、url1に紐づけて、例えば、種類(resource01、resource02、…)毎のアクセス数と、種類毎のcontent-lengthの総和とがそれぞれ配列で記述される。
したがって、統計情報は、url1に紐づけて、例えば、種類(resource01、resource02、…)毎のアクセス数と、種類毎のcontent-lengthの総和とがそれぞれ配列で記述される。
【0033】
リスト生成部113は、WebページのURL(「main_frame」のURL)が既知のフィッシングサイトのURLリスト121に含まれる場合に、このWebページに関する統計情報を、フィッシングサイトを検出するために記憶部12に格納されたブラックリスト122に記録する。
【0034】
ここで、リスト生成部は、統計情報におけるリソースの種類毎のアクセス数の総和が閾値以下の場合、この統計情報をブラックリスト122に登録しない。
また、リスト生成部は、統計情報における所定のリソースの種類(例えば、「image」)に対するサイズの総和が0の場合、この統計情報をブラックリスト122に登録しない。
また、リスト生成部は、統計情報における所定のリソースの種類(例えば、「image」)に対するサイズの総和が0の場合、この統計情報をブラックリスト122に登録しない。
【0035】
判定部114は、統計情報が既知のフィッシングサイトの統計情報を記録したブラックリスト122に含まれる場合に、該当のWebページをフィッシングサイトと判定する。
ここで、判定部114は、アクセス頻度の高いドメインは通常のサイトと判断し、Webページのドメインの出現頻度が閾値未満の場合にのみ、ブラックリスト122に基づくフィッシングサイトの判定を行ってもよい。
ここで、判定部114は、アクセス頻度の高いドメインは通常のサイトと判断し、Webページのドメインの出現頻度が閾値未満の場合にのみ、ブラックリスト122に基づくフィッシングサイトの判定を行ってもよい。
【0036】
また、判定部114は、統計情報をブラックリスト122と照合する前に、既知のフィッシングサイトのURLリスト121を参照し、WebページのURLがこのURLリスト121に含まれる場合に、アクセスしたWebページをフィッシングサイトと判定してもよい。
【0037】
図3は、本実施形態におけるWebページ毎のリソースの統計情報と、ブラックリスト122との照合の方法を例示する図である。
【0038】
Webアクセスログから、トップレベルドキュメント(main_frame)のURL(url1、url2、…)毎に、リソースの統計情報が取得されている。
例えば、url1で提供されるWebページは、リソースの種類毎にそれぞれ2回,3回,…,4回のアクセスにより構成され、リソースの種類毎にそれぞれ500,600,…,700のサイズを有している。
例えば、url1で提供されるWebページは、リソースの種類毎にそれぞれ2回,3回,…,4回のアクセスにより構成され、リソースの種類毎にそれぞれ500,600,…,700のサイズを有している。
【0039】
ブラックリスト122には、既知のフィッシングサイトのURLに紐づけて、同様にリソースの統計情報が格納されている。
判定部114は、アクセス数の配列[3,4,…,5]及びサイズの総和の配列[600,700,…,800]が共に一致するurl2とPhishingSiteURLとが同一構成のWebページであると判断し、url2を未知のフィッシングサイトとして検出する。
判定部114は、アクセス数の配列[3,4,…,5]及びサイズの総和の配列[600,700,…,800]が共に一致するurl2とPhishingSiteURLとが同一構成のWebページであると判断し、url2を未知のフィッシングサイトとして検出する。
【0040】
URL登録部115は、判定部114により統計情報に基づいてフィッシングサイトと判定されたWebページのURLを、既知のフィッシングサイトのURLリスト121に追加登録する。
【0041】
図4は、本実施形態におけるブラックリスト122の生成、及びフィッシングサイトの検出を行う処理の流れを示すフローチャートである。
【0042】
ステップS1において、取得部111は、一定期間のWebアクセスログを取得する。
【0043】
ステップS2において、解析部112は、ステップS1で取得したWebアクセスログをユーザID及びタブIDでソートし、ユーザID及びタブID毎に以下の処理を実行する。
【0044】
ステップS3において、解析部112は、あるmain_frame(例えば、図2のmain_frame1)のURL(例えば、図2のurl1)へのアクセスに関して、次のmain_frame(例えば、図2のmain_frame2)のURL(例えば、図2のurl(XXX+1))にアクセスするまでの間にアクセスしたリソースの統計情報を取得し、Webページを構成するためのリソースの統計情報としてmain_frameのURL(url1)に紐付ける。
【0045】
ステップS4において、制御部11は、ステップS3で観測されたmain_frameのURLが既知のフィッシングサイトのURLリスト121に含まれるか否かを判定する。この判定がYESの場合、処理はステップS5に移り、判定がNOの場合、処理はステップS6に移る。
【0046】
ステップS5において、リスト生成部113は、既知のフィッシングサイトと判定されたWebページを構成するためのリソースの統計情報をブラックリスト122に記録する。
その後、処理はステップS8に移る。
その後、処理はステップS8に移る。
【0047】
ステップS6において、判定部114は、ステップS3で取得したリソースの統計情報がブラックリスト122に含まれるか否かを判定する。この判定がYESの場合、処理はステップS7に移り、判定がNOの場合、処理はステップS9に移る。
【0048】
ステップS7において、URL登録部115は、新たに判明したフィッシングサイトのURL(url1)をURLリスト121に登録する。
【0049】
ステップS8において、判定部114は、アクセスしたWebページ(url1)がフィッシングサイトであることを、判定結果として出力する。
【0050】
ステップS9において、判定部114は、アクセスしたWebページ(url1)がフィッシングサイトではないことを、判定結果として出力する。
【0051】
本実施形態によれば、検出システム1は、既知のフィッシングサイトを構成する際にアクセスするリソースの統計情報を、ブラックリスト122に記録する。
これにより、検出システム1は、ユーザ端末20がアクセスしたWebページを構成するリソースの統計情報をブラックリスト122と照合することにより、URLの類似性に関係なく、既知のフィッシングサイトとはURLが異なる未知のフィッシングサイトを精度良く検出できる。
また、検出システム1は、同一内容だがURLが異なる複数のフィッシングサイトを、単一の統計情報を用いて効率的に検出できる。
これにより、検出システム1は、ユーザ端末20がアクセスしたWebページを構成するリソースの統計情報をブラックリスト122と照合することにより、URLの類似性に関係なく、既知のフィッシングサイトとはURLが異なる未知のフィッシングサイトを精度良く検出できる。
また、検出システム1は、同一内容だがURLが異なる複数のフィッシングサイトを、単一の統計情報を用いて効率的に検出できる。
【0052】
検出システム1は、統計情報に、リソースの種類毎のアクセス数、サイズの総和、ドメイン数の少なくともいずれかを含むことで、各Webページの内容を効率的に識別し、URLが異なる未知のフィッシングサイトを精度良く検出できる。
【0053】
検出システム1は、統計情報におけるアクセス数の総和が閾値以下の場合、この統計情報をブラックリスト122に登録せず、リソースの数が閾値を超えるWebページのみを対象としてもよい。また、このような統計情報が得られたWebページについては、ブラックリスト122との照合の処理を省略してもよい。
これにより、検出システム1は、識別性が低い統計情報を除外することで、例えば画像がファビコンだけのようなサイトを除外して、リソース数が少ないと通常のサイトと偶然に一致してしまう事態を抑制できる。
これにより、検出システム1は、識別性が低い統計情報を除外することで、例えば画像がファビコンだけのようなサイトを除外して、リソース数が少ないと通常のサイトと偶然に一致してしまう事態を抑制できる。
【0054】
検出システム1は、統計情報における所定のリソースの種類に対するサイズの総和が0の場合、この統計情報をブラックリスト122に登録せず、所定のリソースを含むWebページのみを対象としてもよい。また、このような統計情報が得られたWebページについては、ブラックリスト122との照合の処理を省略してもよい。
これにより、検出システム1は、画像等の所定のリソースを含まない通常のサイトと偶然に一致してしまう事態を抑制できる。
これにより、検出システム1は、画像等の所定のリソースを含まない通常のサイトと偶然に一致してしまう事態を抑制できる。
【0055】
検出システム1は、統計情報に基づいてフィッシングサイトと判定したWebページのURLを、既知のフィッシングサイトのURLリスト121に追加してもよい。
これにより、検出システム1は、URLの類似性に基づいて検出できるフィッシングサイトの数を自動で拡張することができる。この結果、検出システム1は、統計情報に基づく判定の前にURLに基づく判定を行うことで、同一のURLに対する重複した処理を削減し、処理負荷を低減できる。
これにより、検出システム1は、URLの類似性に基づいて検出できるフィッシングサイトの数を自動で拡張することができる。この結果、検出システム1は、統計情報に基づく判定の前にURLに基づく判定を行うことで、同一のURLに対する重複した処理を削減し、処理負荷を低減できる。
【0056】
検出システム1は、ユーザ端末20においてブラウザによるネットワークへのアクセスを監視することにより、ユーザID及びタブIDを含むWebアクセスログを生成できる。
これにより、検出システム1は、ユーザの閲覧したWebページがフィッシングサイトであるか否かを適時に判定し、通知することができる。
これにより、検出システム1は、ユーザの閲覧したWebページがフィッシングサイトであるか否かを適時に判定し、通知することができる。
【0057】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0058】
前述の実施形態では、URLリスト121及びブラックリスト122が解析装置10の記憶部12に格納されることとしたが、これには限られず、外部サーバに格納されてもよい。
また、解析装置10の機能は、ブラックリスト122を生成する解析装置と、ブラックリスト122に基づいてフィッシングサイトを検出する検出装置とに分散されてもよい。
また、解析装置10の機能は、ブラックリスト122を生成する解析装置と、ブラックリスト122に基づいてフィッシングサイトを検出する検出装置とに分散されてもよい。
【0059】
検出システム1による解析方法及び検出方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0060】
1 検出システム(解析システム)
10 解析装置(検出装置)
11 制御部
12 記憶部
20 ユーザ端末
21 ブラウザセンサ
111 取得部
112 解析部
113 リスト生成部
114 判定部
115 URL登録部
121 URLリスト
122 ブラックリスト
10 解析装置(検出装置)
11 制御部
12 記憶部
20 ユーザ端末
21 ブラウザセンサ
111 取得部
112 解析部
113 リスト生成部
114 判定部
115 URL登録部
121 URLリスト
122 ブラックリスト
【図1】
【図2】
【図3】
【図4】