(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-02-14
(45)【発行日】2023-02-22
(54)【発明の名称】情報処理装置、情報処理方法、及び情報処理プログラム
(51)【国際特許分類】
H04L 51/00 20220101AFI20230215BHJP
G06F 21/56 20130101ALI20230215BHJP
【FI】
H04L51/00
G06F21/56 360
(21)【出願番号】P 2020061652
(22)【出願日】2020-03-30
【審査請求日】2021-02-03
(73)【特許権者】
【識別番号】500147023
【氏名又は名称】デジタルアーツ株式会社
(72)【発明者】
【氏名】佐藤 光成
(72)【発明者】
【氏名】田澤 智也
【審査官】大石 博見
(56)【参考文献】
【文献】特開2009-289245(JP,A)
【文献】特開2019-053613(JP,A)
【文献】米国特許第08448241(US,B1)
【文献】特開2006-163446(JP,A)
【文献】特表2020-503635(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
H04L 51/00
(57)【特許請求の範囲】
【請求項1】
クライアント端末に送信される電子メールを中継する情報処理装置であって、
前記電子メールを受信して、前記電子メールに含まれるURL情報を抽出するURL情報抽出部と、
ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存する展開条件保存部と、
抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを照合する照合部と、
リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する判定部と、を備えて、
前記展開条件は配信サーバから一定期間ごとに配信されて、
前記展開条件保存部は、前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、
前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件
については接続先URLを展開して取得するものに設定して、
前記判定部は、抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する、
ことを特徴とする記載の情報処理装置。
【請求項2】
前記展開条件保存部は、アクセス先のURLからリダイレクトさせる短縮URLのドメインのリストを予め保存しており、
前記照合部は、抽出された前記URL情報に含まれるアクセス先のURLのドメインと保存されたドメインとを照合することによりリダイレクトするか否かを判定する、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
クライアント端末に送信される電子メールを中継する情報処理方法であって、
前記電子メールを受信して、前記電子メールに含まれるURL情報を抽出するステップと、
ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存するステップと、
抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを判定するステップと、
リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定するステップと、を含み、
前記展開条件は配信サーバから一定期間ごとに配信されて、
前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、
前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件
については接続先URLを展開して取得するものに設定して、
抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する、
ことを特徴とする情報処理方法。
【請求項4】
コンピュータを、
電子メールを受信して、前記電子メールに含まれるURL情報を抽出する機能、
ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存する機能、
抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを判定する機能、
リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する機能、として実行させて、
前記展開条件は配信サーバから一定期間ごとに配信されて、
前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、
前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件
については接続先URLを展開して取得するものに設定して、
抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する、
ことを特徴とする記載の情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
【背景技術】
【0002】
電子メールの送信元を偽り、あたかも適切なメールかのように偽装して送信する、いわゆる「なりすまし」メールが問題となっている。悪意の第三者が、特定の法人や団体に対して送信元をより巧妙に偽装した電子メールを送信して、メール内に記載されたリンク先情報などを介してユーザの端末をマルウェアなどに感染させて、個人情報などのデータを窃取する標的型のメール攻撃が近年増加しており、標的型のメール攻撃への対策が必要となっている。
【0003】
特に、メールの送信元を偽装するとともに、メール内に記載された、ユーザがクリックしてアクセスするリンク先情報について実際の接続先となるURLを巧妙に隠して、悪意のサイトに誘導する攻撃が増加している。
【0004】
従来では、ユーザがクリックしてアクセスするURLと、当該URLから転送(リダイレクト)される実際の接続先となるURLを比較して、接続先となるURLが適切なものであるか否かを判定する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【発明の概要】
【発明が解決しようとする課題】
【0006】
一方で、企業や団体で広く普及している短縮URLサービスのように、ユーザがクリックしてアクセスするアクセス先のURLから別のURLにリダイレクトされるような場合、実際の接続先のURLは適切な接続先となる。つまり、リダイレクトされるようなアクセス先のURLであっても適切な接続先となる場合があり、リダイレクトの有無により適切か否かを判定する従来の方法では偽装メールを誤検知してしまうおそれがある。
【0007】
本発明はこのような事情を考慮してなされたもので、リンク先が巧妙に偽装されている場合であっても偽装メールを精度良く検出できる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の実施形態に係る情報処理装置は、クライアント端末に送信される電子メールを中継する情報処理装置であって、前記電子メールを受信して、前記電子メールに含まれるURL情報を抽出するURL情報抽出部と、ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存する展開条件保存部と、抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを照合する照合部と、リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する判定部と、を備えて、前記展開条件は配信サーバから一定期間ごとに配信されて、前記展開条件保存部は、前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件については接続先URLを展開して取得するものに設定して、前記判定部は、抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する。
【発明の効果】
【0009】
本発明の実施形態により、リンク先が偽装されている場合であっても偽装メールを精度良く検出できる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
【図面の簡単な説明】
【0010】
【
図1】本実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。
【
図2】(A)リダイレクトを実行する展開条件(スクリプト)のリスト、(B)リダイレクトを実行する展開条件(短縮URL)のリストを示す説明図。
【
図3】展開条件を含む電子メールの一例を説明する説明図。
【
図4】本実施形態による情報処理方法の処理手順の一例を示すフローチャート。
【発明を実施するための形態】
【0011】
以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、第1実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す構成図である。
【0012】
情報処理装置10は、外部メールサーバを介して、外部端末(図示省略)から電子メールを受信して、受信した電子メールをクライアント端末20に送信するサーバである。情報処理装置10は、例えばインターネットからの接続が制限される内部ネットワーク11に設けられてもよく、内部ネットワーク11とインターネットと任意に接続可能な外部ネットワークとの境界(DMZ:DeMilitarized Zone)に設けられてもよい。
【0013】
クライアント端末20は、情報処理装置10から電子メールを受信する端末である。なお、ここでは、クライアント端末20を3つで構成する例を示しているが、クライアント端末20の数量、配置は
図1に限定されるものでは無い。また、クライアント端末20は、情報処理装置10と同様に、内部ネットワーク11に配置されている必要はなく、例えば内部ネットワーク11の外部から情報処理装置10に接続されてもよい。
【0014】
通信部12は、外部端末から送信された電子メールを情報処理装置10に転送する中継装置である。通信部12は、内部ネットワーク11と外部ネットワークとを接続する境界に設けられてもよいし、外部ネットワークに設けられてもよい。通信部12としては、MTA(Message Transfer Agent)が例示される。
【0015】
外部名前解決装置13は、電子メールの送信元が適切か否かを識別するための判別情報を保有するサーバであり、例えばDNS(Domain Name System)サーバである。判別情報としては、送信元のドメインとIPアドレスの組み合わせが例示される。情報処理装置10は、電子メールを受信したときに、通信部12を介して外部名前解決装置13に問い合わせて、受信した電子メールの送信元が外部名前解決装置13の判別情報と一致するか否かを照合して、当該電子メールの送信元が適切か否かを判定してもよい。
【0016】
本実施形態に係る情報処理装置10は、送受信部14と、URL情報抽出部15と、展開条件保存部16と、照合部17と、判定部18と、を備えている。
【0017】
なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
【0018】
送受信部14は、通信部12から転送されて受信した電子メールの受信制御、及び、クライアント端末20から発信される電子メールの送信制御を実行する。
【0019】
URL情報抽出部15は、受信した電子メール内から、URL情報を抽出する。ここで、URL情報とは、ユーザのアクセス先のURLを含む連続する文字列を意味しており、リダイレクトを実行するスクリプトを挟んでアクセス先のURLと他のURLが記載されている場合にはアクセス先のURLから連続する文字列全体となる。URL情報は、電子メール内を検索して抽出される。また、メール本文のみならず、電子メールに添付された添付ファイル、添付ファイルのマクロ等から取得されるリンク先に関する一切の情報についてURL情報を抽出する。
【0020】
展開条件保存部16は、ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせる展開条件を予め保存する。展開条件とは、ユーザのアクセス先のURLから別のURLに転送(リダイレクト)させる条件を意味している。展開条件として、リダイレクトする文字列のパターン(正規表現)を保存してもよく、リダイレクトするドメインやスクリプト、あるいはURLが設定されてもよい。例えば、URL情報に短縮URLのドメインが含まれる場合が例示される。この場合、展開条件保存部16は、短縮URLのドメインのリストを予め保存している。また、展開条件として、URL情報内に、アクセス先のURLから他のURLにリダイレクトさせるスクリプトが含まれてもよい。この場合、展開条件保存部16は、リダイレクトさせるスクリプトを予め保存する。
【0021】
展開条件保存部16に保存される展開条件は、情報処理装置10の外部に配置された展開条件を配信するための展開条件配信サーバ19から一定期間ごとに配信されてもよい。展開条件配信サーバ19では、新たな展開条件が更新される。
【0022】
なお、短縮URLとは、長い文字列のURLを短くしたものであり、リダイレクトを利用して本来の長いURLに転送するためのURLである。
【0023】
また、展開条件保存部16は、展開条件のそれぞれに対応付けて、実際の接続先URLを展開して取得するか否かの設定を保存してもよい。具体的には、展開条件のそれぞれについて、後述する判定部18において、リダイレクトによる実際の接続先を取得するか否かの設定であり、「展開する」と設定した場合には実際の接続先を取得する一方で、「展開しない」と設定した場合には実際の接続先を取得しない。
【0024】
例えば、展開してURLが適切か否かを判定する必要がある短縮URLサービスについては「展開する」に設定し、企業や団体が設定する短縮URLのドメインについては悪意のおそれがないとして「展開しない」に設定してもよい。加えて、いずれの設定にも該当しない展開条件については、適切か否かを判定する必要があるものとして「展開する」に設定してもよい。
【0025】
照合部17は、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合する。具体的には、抽出されたURL情報が、展開条件保存部16に保存されている展開条件を含むか否かを判定する。展開条件を含む場合には、当該URL情報はリダイレクトするものとなる。
【0026】
例えば、照合部17は、抽出されたURL情報に含まれるアクセス先のURLのドメインと保存されたドメインとを照合することにより、アクセス先のURLからリダイレクトするか否かを判定する。あるいは、照合部17は、抽出されたURL情報にリダイレクトのスクリプトが含まれるか否かにより、アクセス先のURLからリダイレクトするか否かを判定する。
【0027】
判定部18は、リダイレクトすると判定されたURL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する。ここで、適切でない(有害な)URLとは、ユーザがアクセスさせることで、悪意のあるファイルのダウンロードやWebサイトへの接続にクライアント端末20を誘導するURLを意味する。URLが適切か否の判定は、具体的には、マルウェアなどの悪意のサイトのおそれがあるURLのドメインやIPアドレスなどの悪性情報を予め記録しておき、この悪性情報と接続先URLとを照合することにより適切か否かを判定する。また、URLの拡張子について、マルウェアなどをダウンロードするおそれのあるものについて禁止拡張子として設定して、接続先URLの拡張子と比較することで適切か否かを判定してもよい。また、適切な(アクセスしても無害な)URLをホワイトリストとして予め保存しておき、接続先URLがこのホワイトリストに該当しない場合には、適切でないと判断してもよい。
【0028】
また、判定部18は、URL情報から展開して取得された情報において、展開条件保存部の展開条件との照合により展開条件がさらに含まれる場合には、実際の接続先URLを取得するために、さらに展開して接続先URLを取得してもよい。
【0029】
なお、展開条件保存部16において、展開条件のそれぞれに対応付けて、実際の接続先URLを展開して取得するか否かの設定している場合には、判定部18は、URL情報内に展開して取得すると設定された展開条件が含まれる場合、実際の接続先URLを取得して、当該接続先URLが適切か否かを判定してもよい。接続先URLが適切でないと判定された場合、当該電子メールは偽装メールの疑いがあると判断される。
【0030】
判定部18において、電子メールに含まれるURL情報は適切であるとされたメールについては、送受信部14を介してクライアント端末20(電子メールで設定された送信先に対応する端末)に転送される。一方で、送受信部14は、電子メールに含まれるURL情報が不適切と判定された場合にはクライアント端末20に電子メールを送信せずに、情報処理装置10の内部にメールを隔離する。これにより、電子メールを受信するクライアント端末20がウィルスに感染するなどのリスクが回避されて、端末の安全性が担保される。
【0031】
また、展開条件に合致するURL情報を展開するためのサーバを別途配置して、判定部18はURL情報をこのサーバに送信して、当該サーバ上においてリダイレクトされる実際の接続先URLを取得してもよい。判定部18は、接続先URLをサーバから受け付けて、当該接続先URLが適切か否かを判定してもよい。
【0032】
図2(A)は、リダイレクトを実行する展開条件(スクリプト)のリストである。例えば、「scriptA」では、ユーザのアクセス先となるURLを先頭に配置して、スクリプトを挟んで実際の接続先URLを記載することでリダイレクトを実行させるものである。照合部17は、抽出したURL情報に展開条件が含まれるか否かを照合する。また、展開条件のそれぞれについて、判定部18においてリダイレクトによる実際の接続先を取得するか否かの設定がされており、「scriptA」は展開有無が“〇”に設定されて実際の接続先を取得する一方で、「scriptB」は展開有無が“×”に設定されて実際の接続先を取得しない設定となる。実際の接続先を取得しない展開不要の条件については、適切なURLと判断される。
【0033】
また、
図2(B)は、リダイレクトを実行する展開条件(短縮URL)のリストを示す説明図である。照合部17は、抽出したURL情報に短縮URLが含まれるか否かを照合する。また、展開条件のそれぞれについて、判定部18においてリダイレクトによる実際の接続先を取得するか否かの設定されており、「tanshukuA」は展開有無が“〇”に設定されて実際の接続先を取得する一方で、「tanshukuB」は“×”に設定されて実際の接続先を取得しない設定となる。実際の接続先を取得しない展開不要の条件については、適切なURLと判断される。展開の有無を設定することで、適切か否かの判定が必要なURLのみ接続先を取得することなり、効率的にURLの判定ができる。
【0034】
図3は、展開条件を含む電子メールの一例を説明する説明図である。
電子メールの本文内にURL情報が記載されており、URL情報にあらかじめ設定された展開条件として「scriptA」が含まれている。この場合、判定部18は、リダイレクト先と判定されたURL情報について実際の接続先URL(http://malicious.com)を取得して、当該接続先URLが適切か否かを判定する。このように、アクセス先のURLからリダイレクトさせる展開条件を予め保存して、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合する。そして、リダイレクトすると判定されたURL情報について実際の接続先URLを取得し、当該接続先URLが適切か否かを判定することで、偽装メールを精度良く検出できる。
【0035】
図4は、本実施形態による情報処理方法の処理手順の一例を示すフローチャートである。
【0036】
URL情報抽出部15は、受信した電子メール内から、URL情報を抽出する(S10)。
【0037】
照合部17は、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合する(S11)。具体的には、照合部17は、抽出されたURL情報が、展開条件保存部16に保存されている展開条件を含むか否かを照合して、展開条件を含む場合には、当該URL情報はリダイレクトするものとする(S11:YES)。
【0038】
判定部18は、リダイレクトすると判定されたURL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する(S12、S13)。判定部18は、適切と判定した場合、電子メールをクライアント端末20に転送する(S13:YES15)。
【0039】
一方で、判定部18は、適切でないと判定した場合、電子メールに含まれるURL情報が有害である偽装メールであるとして隔離する(S13:NO、S14)。なお、判定部18は、偽装メールであるとして隔離された場合、隔離した旨をクライアント端末20(電子メールで設定された送信先に対応する端末)に通知してもよい。また、情報処理装置10が、送信元のドメイン、IPアドレスなどの送信元情報など複数の判定基準を用いて偽装メールか否かの判定をしている場合は、判定部18において当該接続先URLが適切でないと判定された場合に、この判定結果や送信元情報などの複数の基準に基づいて偽装メールか否かを判断してもよい。
【0040】
このように、従前のリダイレクトするか否かにより電子メールの偽装判定をする場合では、メール偽装判定において誤検知が増えるおそれがあるが、リダイレクトさせる展開条件に基づいて電子メールに含まれるURL情報が適切か否かを判定することで、リンク先が偽装されている場合であっても偽装メールを精度良く検出でき、偽装メールの判定における誤検知を低減できる。
【0041】
以上述べた各実施形態の情報処理装置によれば、ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせる展開条件を予め保存して、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合し、リダイレクトすると判定されたURL情報について実際の接続先URLを取得し、当該接続先URLが適切か否かを判定することにより、リンク先が偽装されている場合であっても偽装メールを精度良く検出できる。
【0042】
なお、情報処理装置10で実行されるプログラムは、ROM等から構成されるハードディスクに予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
【0043】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0044】
10…情報処理装置、11…内部ネットワーク、12…通信部、13…外部名前解決装置、14…送受信部、15…URL情報抽出部、16…展開条件保存部、17…照合部、18…判定部、19…展開条件配信サーバ、20…クライアント端末。