(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-09-08
(45)【発行日】2022-09-16
(54)【発明の名称】メール検査システム、メール検査方法およびメール検査プログラム
(51)【国際特許分類】
H04L 51/00 20220101AFI20220909BHJP
G06F 21/55 20130101ALI20220909BHJP
【FI】
H04L51/00
G06F21/55
(21)【出願番号】P 2018188821
(22)【出願日】2018-10-04
【審査請求日】2021-08-04
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(73)【特許権者】
【識別番号】304023318
【氏名又は名称】国立大学法人静岡大学
(74)【代理人】
【識別番号】110002491
【氏名又は名称】弁理士法人クロスボーダー特許事務所
(72)【発明者】
【氏名】西川 弘毅
(72)【発明者】
【氏名】山本 匠
(72)【発明者】
【氏名】河内 清人
(72)【発明者】
【氏名】上原 航汰
(72)【発明者】
【氏名】西垣 正勝
【審査官】岩田 玲彦
(56)【参考文献】
【文献】特開2017-138860(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 51/00
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
電子メールの宛先ユーザに関するユーザ情報に基づいて、
前記宛先ユーザの性格を複数の性格要素について表す複数の性格値を、前記宛先ユーザの特性を表すユーザ特性情報
として取得するユーザ特性取得部と、
前記電子メールに基づいて、
前記電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を、前記電子メールの特徴を表すメール特徴情報
として取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と
を備えるメール検査システム。
【請求項2】
前記行動予測部は、前記複数の性格値に基づいて影響要素毎に影響閾値を決定し、影響要素毎に影響値を影響閾値と比較し、比較結果に基づいて予測を行う
請求項
1に記載のメール検査システム。
【請求項3】
前記行動予測部は、前記複数の性格値と、前記複数の影響値と、性格要素と影響要素との組毎の相関値を示す相関データとに基づいて、影響閾値と比較する代表値を算出し、前記代表値を前記影響閾値と比較し、比較結果に基づいて予測を行う
請求項
1に記載のメール検査システム。
【請求項4】
不審メールとして検知されてアラート情報が付加された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と
、
前記宛先ユーザが悪性行動を取ると予測された場合に前記電子メールに付加されたアラート情報を強調するアラート強調部と、
を備えるメール検査システム。
【請求項5】
パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックするフィードバック部を備える
請求項
4に記載のメール検査システム。
【請求項6】
不審メールとして検知された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と
、
パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックするフィードバック部と、
を備えるメール検査システム。
【請求項7】
ユーザ特性取得部が、電子メールの宛先ユーザに関するユーザ情報に基づいて、
前記宛先ユーザの性格を複数の性格要素について表す複数の性格値を、前記宛先ユーザの特性を表すユーザ特性情報
として取得し、
メール特徴取得部が、前記電子メールに基づいて、
前記電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を、前記電子メールの特徴を表すメール特徴情報
として取得し、
行動予測部が、前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する
メール検査方法。
【請求項8】
ユーザ特性取得部が、
不審メールとして検知されてアラート情報が付加された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得し、
メール特徴取得部が、前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得し、
行動予測部が、前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測
し、
アラート強調部が、前記宛先ユーザが悪性行動を取ると予測された場合に前記電子メールに付加されたアラート情報を強調する
メール検査方法。
【請求項9】
ユーザ特性取得部が、
不審メールとして検知された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得し、
メール特徴取得部が、前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得し、
行動予測部が、前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測
し、
フィードバック部が、パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックする
メール検査方法。
【請求項10】
電子メールの宛先ユーザに関するユーザ情報に基づいて、
前記宛先ユーザの性格を複数の性格要素について表す複数の性格値を、前記宛先ユーザの特性を表すユーザ特性情報
として取得するユーザ特性取得部と、
前記電子メールに基づいて、
前記電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を、前記電子メールの特徴を表すメール特徴情報
として取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部として
コンピュータを機能させるためのメール検査プログラム。
【請求項11】
不審メールとして検知されてアラート情報が付加された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部
と、
前記宛先ユーザが悪性行動を取ると予測された場合に前記電子メールに付加されたアラート情報を強調するアラート強調部として
コンピュータを機能させるためのメール検査プログラム。
【請求項12】
不審メールとして検知された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部
と、
パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックするフィードバック部として
コンピュータを機能させるためのメール検査プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子メールを検査するシステムに関するものである。
【背景技術】
【0002】
特定の組織または特定の人を標的として機密情報の窃取等の攻撃を行う標的型攻撃が深刻な脅威となっている。その中でも、電子メールを用いて行われる標的型メール攻撃は依然として重大な脅威の一つである。
一方、ヘッダおよび添付ファイルに基づいて明らかに不審な電子メールを検知するシステムが存在する。しかし、巧妙な標的型攻撃メールはこのようなシステムによって検知されない場合がある。そのため、巧妙な標的型攻撃メールについては、メール本文に基づいて不審さを検出し、ユーザに通知する必要がある。
【0003】
今や、企業および個人に関する多くの情報をOSINTによって容易に入手できる状況にある。そのため、攻撃者が標的に対する知識を持っていなくても、攻撃者はOSINTによって信憑性の高い標的型攻撃メールを作成することが可能である。
OSINTは、Open Source Intelligenceの略称である。
【0004】
特許文献1には、電子メールが受信されてから添付ファイルが開封されるまでの時間に基づいて電子メールに対する受信者の用心深さを計測する技術が開示されている。電子メールに対する注意力が低下していると判断された場合、受信者に対する通知がなされる。
【0005】
非特許文献1から非特許文献4については実施の形態において述べる。
【先行技術文献】
【特許文献】
【0006】
【非特許文献】
【0007】
【文献】Goldberg, Lewis R. “An Alternative “Description of Personality” : The Big-Five Factor Structure”, Journal of Personality and Social Psychology, 1990, Vol.59, No.6, 1216-1229.
【文献】IBM、Personality Insights、[online]、インターネット(URL:https://www.ibm.com/watson/services/personality-insights/)、[2018年9月11日検索]
【文献】Cialdini、 Robert B.、 Principles of Persuasion、[online]、インターネット(URL:https://www.influenceatwork.com/principles-of-persuasion/)、[2018年9月11日検索]
【文献】Alkis, N., & Temizel, T. T.(2015), “The impact of individual differences on influence strategies”, Personality and Individual Differences, 87, 147-152.
【発明の概要】
【発明が解決しようとする課題】
【0008】
OSINTのような手段が用いられた際の巧妙な標的型攻撃メールを防ぐ必要がある。
巧妙な標的型攻撃メールは、正規メールを模倣するアプローチ、または、心理的要因を利用するアプローチ、によって作成される。例えば、心理的要因とは、URLを思わずクリックしてしまうような要因である。
【0009】
巧妙な標的型攻撃メールを検知するための方法として、メール本文等から、人を説得する表現または各種攻撃に共通する特徴を抽出し、攻撃が試みられているか判断する、という方法がある。
このような方法では、検知漏れを防ぐために閾値が低く設定される傾向がある。また、人を説得する表現は通常のメールでも用いられる。そのため、このような方法では、誤検知が多く発生してしまう可能性がある。
【0010】
誤検知が多く発生した場合には誤検知に伴うアラートが増えてしまう。誤検知に伴うアラートの増大はユーザの慢心およびシステムの形骸化を生じさせる。
このような事情を考慮すると、全てのユーザに一律に同じセキュリティ対策を講じることは適切ではなく、それぞれのユーザの特性に応じてユーザ別にアラートを調整する必要がある。
【0011】
本発明は、ユーザの特性に応じてユーザ別にアラートを調整できるようにすることを目的とする。
【課題を解決するための手段】
【0012】
本発明のメール検査システムは、
電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部とを備える。
【発明の効果】
【0013】
本発明によれば、ユーザの特性情報に基づいて、ユーザに悪性行動を取らせる可能性が高い電子メールを検出することが可能となる。
そのため、検出された電子メールに対するアラートを強調することが可能となる。つまり、ユーザの特性に応じてユーザ別にアラートを調整することが可能となる。
【図面の簡単な説明】
【0014】
【
図1】実施の形態1におけるメール検査装置100の構成図。
【
図2】実施の形態1におけるメール検査システム200の構成図。
【
図3】実施の形態1における不審メール検知装置300の構成図。
【
図4】実施の形態1におけるメール検査方法のフローチャート。
【
図5】実施の形態1におけるユーザ特性情報取得手順の一例を示すシーケンス図。
【
図6】実施の形態1における性格グラフ204を示す図。
【
図7】実施の形態1における相関データ205を示す図。
【
図8】実施の形態2におけるメール検査システム200の構成図。
【
図9】実施の形態2におけるメール検査装置100の構成図。
【
図10】実施の形態2における不審メール検知装置300の構成図。
【
図11】実施の形態2におけるメール検査方法のフローチャート。
【発明を実施するための形態】
【0015】
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
【0016】
実施の形態1.
メール検査システムについて、
図1から
図7に基づいて説明する。
【0017】
***構成の説明***
図1に基づいて、メール検査装置100の構成を説明する。
メール検査装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
【0018】
プロセッサ101は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ101は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAM(Random Access Memory)である。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNIC(Network Interface Card)である。
入出力インタフェース105は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
【0019】
メール検査装置100は、メール受付部111とユーザ情報取得部112とユーザ特性取得部113とメール特徴取得部114と行動予測部115とアラート強調部116とメール出力部117といった要素を備える。これらの要素はソフトウェアで実現される。
【0020】
補助記憶装置103には、メール受付部111とユーザ情報取得部112とユーザ特性取得部113とメール特徴取得部114と行動予測部115とアラート強調部116とメール出力部117としてコンピュータを機能させるためのメール検査プログラムが記憶されている。メール検査プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
さらに、補助記憶装置103にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
つまり、プロセッサ101は、OSを実行しながら、メール検査プログラムを実行する。
メール検査プログラムを実行して得られるデータは、メモリ102、補助記憶装置103、プロセッサ101内のレジスタ、または、プロセッサ101内のキャッシュメモリといった記憶装置に記憶される。
【0021】
メモリ102は、メール検査装置100で使用されるデータを記憶する記憶部190として機能する。但し、他の記憶装置が、メモリ102の代わりに、又は、メモリ102と共に、記憶部190として機能してもよい。
【0022】
メール検査装置100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ101の役割を分担する。
【0023】
メール検査プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
【0024】
図2に基づいて、メール検査システム200の構成を説明する。
メール検査システム200において、メール検査装置100は、アラート調整装置100Aとして利用することができる。
【0025】
メール検査システム200は、不審メール検知装置300とアラート調整装置100Aとを備える。
不審メール検知装置300は、ユーザ201宛ての1つ以上の電子メールから不審メールを検知し、不審メールにアラート情報を付加し、アラート情報が付加された不審メールを出力する。アラート情報が付加された不審メールは、アラート調整装置100Aに入力される。
アラート調整装置100Aは、不審メールに付加されたアラート情報を調整し、調整されたアラート情報が付加された不審メールをユーザ201に提示する。アラート情報が調整される際には、インターネットに公開されたユーザ201の情報、または、情報データベースに登録されたユーザ201の情報、などが参照される。情報データベースは、例えば、社内情報を管理するためのデータベースである。
【0026】
不審メールは、不審な電子メールである。例えば、不審メールは、不審メール検知装置300によって標的型攻撃メールであると判断された電子メールである。
【0027】
アラート情報は、電子メールが不審メールであることを示す情報である。例えば、アラート情報は、電子メールが不審メールであることを知らせるメッセージである。
【0028】
図3に基づいて、不審メール検知装置300の構成を説明する。
不審メール検知装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
【0029】
プロセッサ301は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ301はCPU、DSPまたはGPUである。
メモリ302は揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。
入出力インタフェース305は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
【0030】
不審メール検知装置300は、メール受付部310と不審メール検知部320とメール出力部330といった要素を備える。これらの要素はソフトウェアで実現される。
不審メール検知部320は、表層解析部321と深層解析部322とを備える。
【0031】
補助記憶装置303には、メール受付部310と不審メール検知部320とメール出力部330としてコンピュータを機能させるための不審メール検知プログラムが記憶されている。不審メール検知プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
さらに、補助記憶装置303にはOSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
つまり、プロセッサ301は、OSを実行しながら、不審メール検知プログラムを実行する。
不審メール検知プログラムを実行して得られるデータは、メモリ302、補助記憶装置303、プロセッサ301内のレジスタ、または、プロセッサ301内のキャッシュメモリといった記憶装置に記憶される。
【0032】
メモリ302は、不審メール検知装置300で使用されるデータを記憶する記憶部390として機能する。但し、他の記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
【0033】
不審メール検知装置300は、プロセッサ301を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ301の役割を分担する。
【0034】
不審メール検知プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
【0035】
***動作の説明***
メール検査システム200またはメール検査装置100の動作はメール検査方法に相当する。また、メール検査方法の手順はメール検査プログラムの手順に相当する。メール検査システム200におけるメール検査プログラムには、不審メール検知プログラムが含まれる。
【0036】
図4に基づいて、メール検査方法を説明する。
ステップS110において、メール受付部111は、電子メールを受け付ける。
【0037】
具体的には、メール受付部111は、不審メール検知部320によって検知された不審メールを受け付ける。
不審メールを検知する方法は任意である。つまり、不審メールは、既存技術によって検知されてもよいし、新規技術によって検知されてもよい。
【0038】
不審メールは、以下のように受け付けられる。
まず、メール受付部310は、通信装置304を用いて、電子メールを受信する。
次に、不審メール検知部320は、受信された電子メールが不審メールであるか判定する。
受信された電子メールが不審メールである場合、メール出力部330は、通信装置304を用いて、不審メールをアラート調整装置100Aに送信する。不審メールには、アラートが付加される。
そして、メール受付部111は、通信装置104を用いて、不審メールを受信する。
【0039】
不審メールは、以下のような手順で検知される。
表層解析部321は、電子メールに対する表層解析を行う。そして、表層解析部321は、解析結果に基づいて、電子メールが不審メールであるか判定する。表層解析は、電子メールの表層情報に基づいて行われる解析である。表層情報は、電子メールの本文以外の情報である。例えば、表層情報は、電子メールのヘッダ情報、添付ファイルの情報、または、それらの組み合わせである。
深層解析部322は、表層解析において不審メールと判定されなかった電子メールに対して深層解析を行う。そして、深層解析部322は、解析結果に基づいて、電子メールが不審メールであるか判定する。深層解析は、電子メールの深層情報に基づいて行われる解析である。深層情報には、電子メールの本文が含まれる。つまり、深層解析は、メール全体に対する解析である。
表層解析の解析結果と比較される閾値および深層解析の解析結果と比較される閾値を低く設定することにより、検知漏れを防ぐことが可能となる。しかし、誤検知が多く発生する。
【0040】
ステップS120において、ユーザ情報取得部112は、データ通信によって、宛先ユーザのユーザ情報を取得する。
宛先ユーザは、電子メールの宛先アドレスで識別されるユーザである。
ユーザ情報は、宛先ユーザに関するユーザ情報である。
【0041】
ユーザ情報取得部112は、宛先ユーザのユーザ情報を以下のように取得する。
まず、ユーザ情報取得部112は、宛先ユーザ識別子を取得する。宛先ユーザ識別子は宛先ユーザを識別する。例えば、宛先ユーザが宛先ユーザ識別子をアラート調整装置100Aに入力し、ユーザ情報取得部112が宛先ユーザ識別子を受け付ける。宛先ユーザ識別子は電子メールから抽出されてもよい。電子メールの宛先アドレスは、宛先ユーザ識別子の一例である。
次に、ユーザ情報取得部112は、情報源にアクセスし、宛先ユーザ識別子に対応付けられた各種情報を情報源から収集する。情報源は情報システムともいう。情報源の一例は、インターネットおよび情報データベースである。インターネットに公開されている情報を公開情報という。情報データベースに登録されている情報を登録情報という。特に、社内で収集可能な登録情報を社内情報という。例えば、社内情報は、スケジュール、メール、ディレクトリまたは名刺管理ソフトなどの情報である。
そして、ユーザ情報取得部112は、収集された各種情報を集約する。集約された情報が宛先ユーザのユーザ情報である。
【0042】
公開情報の一例は、SNS(Social Networking Service)に公開された情報である。SNSの公開情報を得るために、SNSにおいて提供されるAPIが利用される。APIは、Application Programming Interfaceの略称である。
【0043】
ステップS130において、ユーザ特性取得部113は、宛先ユーザのユーザ情報に基づいて、宛先ユーザのユーザ特性情報を取得する。
宛先ユーザのユーザ特性情報は、宛先ユーザの特性を表す情報である。
【0044】
具体的には、ユーザ特性取得部113は、宛先ユーザの性格を複数の性格要素について表す複数の性格値を取得する。取得される複数の性格値が宛先ユーザのユーザ特性情報である。
【0045】
複数の性格要素の具体例はビッグファイブである。非特許文献1はビッグファイブについて記載されている。
ビッグファイブは、主要5因子性格モデルと呼ばれる性格評価尺度の1つである。主要5因子性格モデルは、パーソナリティを理解する上で包括的かつ明瞭なモデルであると言われ、医療または消費嗜好調査などの多くの領域で用いられる。
ビッグファイブに基づいて、以下の5つの要素について性格の数値化が行われる。
(1)知的好奇心(Openness)
(2)誠実性(Conscientiousness)
(3)外向性(Extroversion)
(4)協調性(Agreeableness)
(5)感情起伏(Neuroticism)
【0046】
ビッグファイブに基づく5つの値をビッグファイブスコアと呼ぶ。
ビッグファイブスコアは、Personality Insightsと呼ばれるサービスを利用することによって、得ることが可能である。また、ビッグファイブスコアはアンケートによって得ることも可能である。非特許文献2はPersonality Insightsについて記載されている。
【0047】
図5に基づいて、宛先ユーザのユーザ特性情報を取得する手順の一例を説明する。
メール検査システム200は、情報システム202と分析システム203とを備える。
情報システム202は、ユーザ情報を管理するシステムである。
分析システム203は、ユーザ情報に基づいてユーザの性格を分析するシステムである。
【0048】
(1)ユーザ201が、宛先ユーザ識別子をアラート調整装置100Aに入力する。ユーザ情報取得部112は、入力された宛先ユーザ識別子を受け付ける。図中の「ユーザID」は宛先ユーザ識別子を意味する。
宛先ユーザ識別子の具体例はTwitterIDである。「Twitter」は登録商標である。
(2)ユーザ情報取得部112は、宛先ユーザ識別子を用いて、情報システム202から宛先ユーザのユーザ情報を取得する。
情報システム202の具体例はTwitterのシステムである。宛先ユーザのユーザ情報の一例は宛先ユーザのツイートである。
例えば、ユーザ情報取得部112は、Twitterが提供しているAPIを利用し、宛先ユーザのツイートを取得する。
(3)ユーザ特性取得部113は、宛先ユーザのユーザ情報を分析システム203のAPI用のフォーマットに変換する。
分析システム203の具体例は、Personality Insightsのシステムである。
(4)ユーザ特性取得部113は、(変換後の)ユーザ情報を分析システム203に送信する。分析システム203は、ユーザ情報を受け付け、ユーザ情報に基づいて宛先ユーザの性格を分析し、分析結果を送信する。そして、ユーザ特性取得部113は、分析結果を受信する。分析結果は複数の性格値を含む。
複数の性格値の具体例はビッグファイブスコアである。
性格値のデータ形式は性格値をそのまま利用することが可能な形式になっており、複数の性格値は行動予測部115に入力される。
以降の処理(5)および(6)は、ビッグファイブスコアをユーザに提示する際の処理である。
(5)ユーザ特性取得部113は、分析結果に基づいて性格グラフを生成する。性格グラフは、分析結果に含まれる複数の性格値を示すグラフである。
(6)ユーザ特性取得部113は、入出力インタフェース105を介して、ディスプレイに性格グラフを表示する。
【0049】
図6に、性格グラフ204を示す。
性格グラフ204は、ビッグファイブスコアを示す性格グラフの一例である。具体的には、性格グラフ204は、ビッグファイブスコアを示すレーダーチャートである。
例えば、ユーザ特性取得部113は、性格グラフ204をディスプレイに表示することによって、ビッグファイブスコアをユーザ201に提示する。
【0050】
図4に戻り、ステップS140から説明を続ける。
ステップS140において、メール特徴取得部114は、受け付けられた電子メールに基づいて、受け付けられた電子メールのメール特徴情報を取得する。
メール特徴情報は、電子メールの特徴を表す情報である。
【0051】
具体的には、メール特徴取得部114は、電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を取得する。取得される複数の影響値がメール特徴情報である。
【0052】
複数の影響要素の具体例はチャルディーニの法則における6つの要素である。非特許文献3はチャルディーニの法則について記載されている。
チャルディーニの法則は、相手に影響を与えることによって相手を自分の思い通りに誘導するための心理法則である。
チャルディーニの法則における6つの要素は以下の通りである。
(1)好意(Liking)
(2)返報性(Reciprocation)
(3)社会的証明(Consensus)
(4)一貫性(Commitment)
(5)権威(Authority)
(6)希少性(Scarcity)
【0053】
例えば、メール特徴取得部114は、電子メールの文章を識別器に入力し、識別器から出力されるメール特徴情報を取得する。識別器は、識別部、識別関数または識別モジュールともいう。
識別器は、学習データを用いた機械学習によって予め生成される。学習データは、文章とその文章に対応付いた特徴量とのペアの配列である。識別器は、学習データの文章に対して、特徴量が出力されるように学習される。
【0054】
ステップS150において、行動予測部115は、メール特徴情報とユーザ特性情報とに基づいて、宛先ユーザが電子メールを受け取った場合に宛先ユーザが悪性行動を取るか否か、を予測する。
悪性行動は、電子メールによる指示に従う行動である。
電子メールによる指示は、電子メールの文章に記載された指示である。
以下の(1)および(2)は、悪性行動の具体例である。
(1)電子メールに添付された電子ファイル(添付ファイル)の開封
(2)電子メールの文章に含まれるハイパーリンクのクリック
ハイパーリンクは、URL(Uniform Resource Locator)を示し、URLによって指定されるウェブサイトにリンクされている。
【0055】
行動予測部115は以下のように予測を行う。
メール特徴情報が複数の影響値であり、ユーザ特性情報が複数の性格値であるものとする。
【0056】
まず、行動予測部115は、複数の性格値に基づいて影響要素毎に閾値を決定するために、宛先ユーザの性格値に基づいて、宛先ユーザの影響値を算出する。
宛先ユーザの影響値を算出するための式は、式(1)で表すことができる。但し、性格要素がビッグファイブの要素であり、影響要素がチャルディーニの法則の要素であるものとする。
「X」は、宛先ユーザの性格値の集合を表す。
「xi」は、宛先ユーザの性格値の要素を表す。つまり、要素xiは、集合Xの中の要素の一つである。
「I」は、宛先ユーザの影響値の集合を表す。
「icj」は、宛先ユーザの影響値の要素を表す。つまり、要素icjは、集合Iの中の要素の一つである。
「C」は、性格要素と影響要素との関係を示す行列を表す。
「ckn」は、第k性格要素と第n影響要素との組の相関値を表す。
【0057】
【0058】
次に、行動予測部115は、宛先ユーザの影響値に基づいて、各影響要素に対する宛先ユーザ用の閾値を算出する。
各影響要素に対する宛先ユーザの閾値を算出するための式は、式(2)で表すことができる。但し、影響要素がチャルディーニの法則の要素であるものとする。
「I」は、宛先ユーザの影響値の集合を表す。
「ici」は、宛先ユーザの影響値の要素を表す。つまり、要素iciは、集合Iの中の要素の一つである。
「Δ」は、各影響要素に対する宛先ユーザ用の閾値の集合を表す。
「δj」は、各影響要素に対する宛先ユーザ用の閾値を表す。つまり、閾値δjは、集合Δの中の要素の一つである。
「D」は、宛先ユーザの影響値から宛先ユーザ用の閾値への変換行列を表す。
「dkn」は、宛先ユーザの影響値から宛先ユーザ用の閾値への変換行列の要素を表す。つまり、要素dknは、変換行列Dの中の要素の一つである。
【0059】
【0060】
ここで挙げた方法は、各影響要素に対する宛先ユーザ用の閾値を算出するための方法の一例である。各影響要素に対する宛先ユーザ用の閾値は、別の方法によって算出されてもよい。
【0061】
そして、行動予測部115は、不審メールから抽出された各影響値を各影響要素に対する宛先ユーザ用の閾値と比較し、比較結果に基づいて予測を行う。予測例を以下に示す。
(1)少なくとも1つの影響要素について影響値が閾値を超えた場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
(2)全ての影響要素について影響値が閾値を超えた場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
(3)指定個数の影響要素について影響値が閾値を超えた場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
(4)行動予測部115は、複数の影響値の中の最大値に基づいて複数の影響値を正規化し、正規化後の複数の影響値の合計を算出する。正規化後の複数の影響値の合計が影響閾値を超える場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
【0062】
図7に基づいて、相関データ205を説明する。
相関データ205は、ビッグファイブの各要素が性格要素であり、チャルディーニの法則の各要素が特徴要素である場合の相関データである。
相関データ205には、第k性格要素と第n影響要素との組の相関値C
knが設定されている。
非特許文献4は、ビッグファイブとチャルディーニの法則との相関について記載されている。非特許文献4に記載された相関値は、相関データ205に設定する相関値の具体例である。
【0063】
図4に戻り、ステップS150の説明を続ける。
宛先ユーザが悪性行動を取ると予測された場合、処理はステップS160に進む。
宛先ユーザが悪性行動を取らないと予測された場合、処理はステップS170に進む。
【0064】
ステップS160において、アラート強調部116は、受け付けられた電子メール(不審メール)に付加されたアラート情報を強調する。
フォントサイズの拡大、書体の変更または情報のポップアップは強調の一例である。
【0065】
アラート強調部116は、電子メールの文章に含まれる影響要素(例えば、チャルディーニの法則)をアラート情報に追加してもよい。
アラート強調部116は、電子メールの文章の中で影響要素に該当する箇所(例えば、チャルディーニの法則に当てはまる箇所)を強調してもよい。
【0066】
ステップS170において、メール出力部117は、受け付けられた電子メールを出力する。
具体的には、メール出力部117は、入出力インタフェース105を介して、不審メールとアラート情報とをディスプレイに表示する。宛先ユーザが悪性行動を取ると予測された場合、アラート情報は強調された状態で表示される。
【0067】
***実施の形態1の効果***
実施の形態1において、人ごとに有効な心理的要因が抽出される。その要因がメール本文に用いられている場合には、その不審メールに対するアラートが強調され、その不審メールと強調されたアラートとがユーザに提示される。
これにより、アラートの形骸化を防ぎつつ、特に危険なメールをユーザに知らせることが可能となる。
【0068】
文章に含まれるチャルディーニの法則と個人のビッグファイブとの相関を見ることで、その個人がその文章によって説得される可能性が高いか判断することができる。
個人が説得される可能性が高い不審メールに対するアラートを強調して表示することで、個人が説得されやすい不審メールに対して、より注意を払わせることが可能となる。その結果、チャルディーニの法則を利用した巧妙な標的型攻撃メールによる被害を防止することができる。
【0069】
実施の形態2.
不審メールを検知する処理にユーザ特性情報をフィードバックする形態について、主に実施の形態1と異なる点を
図8から
図11に基づいて説明する。
【0070】
***構成の説明***
図8に基づいて、メール検査システム200の構成を説明する。
メール検査システム200の構成は、実施の形態1における構成と同じである(
図2参照)。
但し、アラート調整装置100Aから不審メール検知装置300にアラート調整の結果がフィードバックされる。具体的には、ユーザ特性情報がフィードバックされる。
【0071】
情報データベースには、ユーザがどの電子メールを開封してしまったかという記録も含まれている。つまり、情報データベースには、ユーザがどの電子メールに対して悪性行動を取ったかという記録も含まれている。
結果的に、情報データベースには、ユーザにとって引っかかりやすい電子メールがどのような内容であるか示す情報も含まれている。
【0072】
図9に基づいて、メール検査装置100の構成を説明する。
メール検査装置100は、さらに、フィードバック部118を備える。フィードバック部118はソフトウェアで実現される。
メール検査プログラムは、さらに、フィードバック部118としてコンピュータを機能させる。
【0073】
図10に基づいて、不審メール検知装置300の構成を説明する。
不審メール検知装置300において、不審メール検知部320は、さらに、パラメータ調整部323を備える。
【0074】
***動作の説明***
図11に基づいて、メール検査方法を説明する。
ステップS110からステップS170は、実施の形態1で説明した通りである(
図4参照)。
ステップS130の後、処理はステップS210に進む。
【0075】
ステップS210において、フィードバック部118は、不審メール検知部320に対してユーザ特性情報をフィードバックする。
不審メール検知部320は、パラメータを用いて不審メールを検知する。ユーザ特性情報は、パラメータを調整するための情報として使用される。
【0076】
具体的には、フィードバック部118は、通信装置104を用いて、ユーザ特性情報を送信する。そして、パラメータ調整部323が、通信装置304を用いて、ユーザ特性情報を受信する。
【0077】
パラメータ調整部323は、受信したユーザ特性情報を用いて、宛先ユーザ用のパラメータを以下のように調整する。
まず、パラメータ調整部323は、ユーザ特性情報に基づいて、調整が必要なパラメータを特定する。特定されるパラメータを対象パラメータと呼ぶ。
そして、パラメータ調整部323は、ユーザ特性情報に基づいて、対象パラメータを調整する。
例えば、パラメータ調整部323は、宛先ユーザに対して有効ではない特徴を有する電子メールが検知され難くなるように、深層解析で使用される閾値などのパラメータを調整する。
【0078】
***実施の形態2の効果***
アラート調整装置100Aで処理しきることができないような大量のアラートがメール検査システム200から出力された場合、ユーザの特性に応じてアラートを適切に調整することが困難となる。
実施の形態2では、深層解析部322のアラート閾値などのパラメータが、ユーザの特性に応じて調整される。これにより、メール検査システム200から出力されるアラートをユーザに特化したアラートに絞りこむことが可能となる。その結果、アラート調整装置100Aにおいてアラートを適切に調整することが可能となる。
【0079】
***実施の形態の補足***
メール検査システム200を構成する装置の数は、1つであってもよいし、2つであってもよいし、3つ以上であってもよい。
例えば、不審メール検知装置300とアラート調整装置100Aとが1つの装置で構成されてもよい。
【0080】
メール検査システム200に備わる各要素(機能)は、ソフトウェアとハードウェアとファームウェアとこれらの組み合わせとのいずれで実現されてもよい。
【0081】
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
【符号の説明】
【0082】
100 メール検査装置、100A アラート調整装置、101 プロセッサ、102 メモリ、103 補助記憶装置、104 通信装置、105 入出力インタフェース、111 メール受付部、112 ユーザ情報取得部、113 ユーザ特性取得部、114 メール特徴取得部、115 行動予測部、116 アラート強調部、117 メール出力部、118 フィードバック部、190 記憶部、200 メール検査システム、201 ユーザ、202 情報システム、203 分析システム、204 性格グラフ、205 相関データ、300 不審メール検知装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 通信装置、305 入出力インタフェース、310 メール受付部、320 不審メール検知部、321 表層解析部、322 深層解析部、323 パラメータ調整部、330 メール出力部、390 記憶部。