知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-16
(45)【発行日】2023-05-24
(54)【発明の名称】信頼度評価装置、信頼度評価方法及び信頼度評価プログラム
(51)【国際特許分類】
G06Q 50/10 20120101AFI20230517BHJP
【FI】
G06Q50/10
【請求項の数】
10
(21)【出願番号】P 2019223741
(22)【出願日】2019-12-11
(65)【公開番号】P2021093010
(43)【公開日】2021-06-17
【審査請求日】2021-11-30
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】澤谷 雪子
(72)【発明者】
【氏名】窪田 歩
【審査官】永野 一郎
(56)【参考文献】
【文献】特開2008-197986(JP,A)
【文献】米国特許第09058393(US,B1)
【文献】米国特許出願公開第2013/0159319(US,A1)
【文献】米国特許出願公開第2015/0262193(US,A1)
【文献】米国特許出願公開第2006/0168021(US,A1)
【文献】特開2014-064234(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00-99/00
(57)【特許請求の範囲】
【請求項1】
ドメインの登録価格を、価格設定されているドメイン名の単位毎に定期的に取得する取得部と、新たなドメインが観測された際に、観測時点より前の所定期間を、当該ドメインの登録時期と判定する判定部と、
前記登録時期における前記新たなドメインに対する複数の登録業者による登録価格の平均である平均価格に基づいて、当該ドメインの信頼度を算出する算出部と、を備える信頼度評価装置。
【請求項2】
前記判定部は、前記新たなドメインの観測時点から所定時間さかのぼった日時を含む前後の所定期間を、前記登録時期と判定する請求項1に記載の信頼度評価装置。
【請求項3】
前記算出部は、WHOIS情報により前記新たなドメインの登録業者が特定された場合に、前記平均価格に代えて、当該特定された登録業者による登録価格に基づいて、前記信頼度を算出する請求項1又は請求項2に記載の信頼度評価装置。
【請求項4】
前記算出部は、前記登録時期における前記平均価格の時間平均に基づいて、前記信頼度を算出する請求項1から請求項3のいずれかに記載の信頼度評価装置。
【請求項5】
前記算出部は、前記登録時期における前記平均価格の最低値に基づいて、前記信頼度を算出する請求項1から請求項3のいずれかに記載の信頼度評価装置。
【請求項6】
前記新たなドメインを検索キーとしてWeb検索を行う検索部を備え、前記算出部は、前記検索部による検索結果の数が多いほど、前記信頼度を高く調整する請求項1から請求項5のいずれかに記載の信頼度評価装置。
【請求項7】
前記算出部は、前記新たなドメインを登録する際に必要な情報の数が多いほど、前記信頼度を高く算出する請求項1から請求項6のいずれかに記載の信頼度評価装置。
【請求項8】
前記算出部は、前記新たなドメインを登録する際に必要な情報が所定の種類を含む場合、前記信頼度をより高く算出する請求項1から請求項7のいずれかに記載の信頼度評価装置。
【請求項9】
ドメインの登録価格を、価格設定されているドメイン名の単位毎に定期的に取得する取得ステップと、新たなドメインが観測された際に、観測時点より前の所定期間を、当該ドメインの登録時期と判定する判定ステップと、
前記登録時期における前記新たなドメインに対する複数の登録業者による登録価格の平均である平均価格に基づいて、当該ドメインの信頼度を算出する算出ステップと、をコンピュータが実行する信頼度評価方法。
【請求項10】
請求項1から請求項8のいずれかに記載の信頼度評価装置としてコンピュータを機能させるための信頼度評価プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ドメインの信頼度を評価するための装置に関する。
【背景技術】
【0002】
従来、メール本文などに記述されたURLによって詐欺サイト又は不正サイトなどに誘導されるといった攻撃被害が発生している。そこで、このようなURLの信頼度を評価し、被害を未然に防ぐ手法が望まれている。
【0003】
例えば、非特許文献1に示されたGoogle Safe Browsingは、安全でないウェブサイトのリストを保有し、ユーザのアプリケーションがこれに対し問い合わせを行うことにより安全かどうかを判定する仕組みを提供している。安全でないウェブサイトとして、フィッシングサイト及び詐欺サイトなどが含まれるソーシャルエンジニアリングサイト、マルウェア又は不要なソフトウェアをホストするサイトなどのカテゴリがある。
【0004】
また、例えば、非特許文献2では、悪性URL群における木構造の共通部分と各URLの状態とに基づき、フィルタリングに利用する部分URLの粒度を決定する手法が提案されている。そして、非特許文献3では、類似するURL構造をルール化し、類似度を算出する手法が提案されている。
さらに、例えば、非特許文献4では、WHOIS情報(登録者名、登録日、連絡先など)をもとに機械学習を行い、ボットネットに関わる悪性ドメインを特定する手法が提案されている。
さらに、例えば、非特許文献4では、WHOIS情報(登録者名、登録日、連絡先など)をもとに機械学習を行い、ボットネットに関わる悪性ドメインを特定する手法が提案されている。
【先行技術文献】
【非特許文献】
【0005】
【文献】“Google Safe Browsing,”[online],[2019年11月27日検索],インターネット<https://developers.google.com/safe-browsing/v4/>.
【文献】秋山 満昭,八木 毅,伊藤 光恭,“悪性URL群の木構造に着目したURLフィルタリングの粒度決定,”一般社団法人電子情報通信学会,電子情報通信学会技術研究報告.ICSS,情報通信システムセキュリティ:IEICE technical report,110(266),2010年11月5日,pp.53-58.
【文献】P. Prakash, M. Kumar, R. Kompella, and M. Gupta, “Phishnet: Predictive blacklisting to detect phishing attacks”, in INFOCOM, 2010 Proceedings IEEE, March 2010, pp. 1-5.
【文献】久山 真宏,佐々木 良一,ドメインのWHOIS構造を用いた悪性ドメインの判別手法,マルチメディア、分散、協調とモバイルシンポジウム2016論文集,pp.1711-1716,2016年7月.
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、Google Safe Browsingなどのブラックリストに基づくサービスは、問い合わせの際のURLがハッシュされていないため、アクセスしようとしているURLが全てサービス提供者側に保持される。また、全ての検索要求は、サーバによって処理されるため処理時間が長い。さらに、リストに掲載されるまでの時間が長い場合もある上に、リストの網羅性に欠け、見逃しが多く生じる。
【0007】
また、URLの構造に基づく検知手法を用いる場合には、悪性サイトは日々変化しているため、フィルタリングに利用する部分URL文字列のルールを一意に決めることは難しい。さらに、機械学習を用いて悪性サイトを検知するためには、正規サイト及び悪性サイトの情報が必要となる。
WHOIS情報は、レスポンスが遅い、あるいはWHOISサーバの応答数に制限が設けられているなどの理由から取得に時間を要する。さらに、近年では、WHOIS情報をプライバシ保護しているドメインも存在し、悪性サイトを検知するための情報が乏しくなりつつある。
WHOIS情報は、レスポンスが遅い、あるいはWHOISサーバの応答数に制限が設けられているなどの理由から取得に時間を要する。さらに、近年では、WHOIS情報をプライバシ保護しているドメインも存在し、悪性サイトを検知するための情報が乏しくなりつつある。
【0008】
本発明は、悪性サイトの検知率を向上させるために、ドメインの信頼度を容易に評価できる信頼度評価装置、信頼度評価方法及び信頼度評価プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る信頼度評価装置は、ドメインの登録価格を、価格設定されているドメイン名の単位毎に定期的に取得する取得部と、新たなドメインが観測された際に、観測時点より前の所定期間を、当該ドメインの登録時期と判定する判定部と、前記登録時期における前記新たなドメインの登録価格に基づいて、当該ドメインの信頼度を算出する算出部と、を備える。
【0010】
前記判定部は、前記新たなドメインの観測時点から所定時間さかのぼった日時を含む前後の所定期間を、前記登録時期と判定してもよい。
【0011】
前記算出部は、複数の登録業者による登録価格の平均に基づいて、前記信頼度を算出してもよい。
【0012】
前記算出部は、前記新たなドメインの登録業者が特定された場合に、複数の登録業者のうち、当該特定された登録業者による登録価格に基づいて、前記信頼度を算出してもよい。
【0013】
前記算出部は、前記登録時期における登録価格の時間平均に基づいて、前記信頼度を算出してもよい。
【0014】
前記算出部は、前記登録時期における登録価格の最低値に基づいて、前記信頼度を算出してもよい。
【0015】
前記信頼度評価装置は、前記新たなドメインを検索キーとしてWeb検索を行う検索部を備え、前記算出部は、前記検索部による検索結果の数に基づいて、前記信頼度を調整してもよい。
【0016】
前記算出部は、前記新たなドメインを登録する際に必要な情報の種類に基づいて、前記信頼度に重み付けしてもよい。
【0017】
本発明に係る信頼度評価方法は、ドメインの登録価格を、価格設定されているドメイン名の単位毎に定期的に取得する取得ステップと、新たなドメインが観測された際に、観測時点より前の所定期間を、当該ドメインの登録時期と判定する判定ステップと、前記登録時期における前記新たなドメインの登録価格に基づいて、当該ドメインの信頼度を算出する算出ステップと、をコンピュータが実行する。
【0018】
本発明に係る信頼度評価プログラムは、前記信頼度評価装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0019】
本発明によれば、ドメインの信頼度を容易に評価できる。
【図面の簡単な説明】
【0020】
【図1】実施形態における信頼度評価装置の機能構成を示す図である。
【図2】実施形態における登録価格テーブルを例示する図である。
【図3】実施形態における登録価格の時系列データを例示する図である。
【図4】実施形態におけるドメインの登録時期の判定方法を説明する図である。
【発明を実施するための形態】
【0021】
以下、本発明の実施形態の一例について説明する。
本実施形態の信頼度評価方法では、悪性サイトを見分けるための指標として、ドメインの取得価格に基づき、このドメインの信頼度が決定される。
本実施形態の信頼度評価方法では、悪性サイトを見分けるための指標として、ドメインの取得価格に基づき、このドメインの信頼度が決定される。
【0022】
企業サイトなどの正規のサイトは、「.co.jp」などの登録価格が高額で、かつ、登録に企業情報などが必要なドメイン、すなわち信頼度の高いドメインを利用する傾向にある。一方、悪性サイトでは、単体での検知を逃れるために多数ドメインを取得し、個々のドメインを使い捨てにし、一時的なサイト運営を行っている場合が多い。したがって、攻撃者は、ドメイン取得のコストを下げるために、安価かつ登録時に必要な情報が少ないドメインを取得する傾向にある。
【0023】
そこで、本実施形態の信頼度評価方法では、ドメイン毎の登録価格が取得され、価格が下落した、あるいは定常的に低価格なドメインの情報が蓄積される。そして、新たに観測されたドメインが、直近で価格が下落したか、あるいは定常的に低価格であるかどうかによって、観測されたドメインの信頼度が決定される。
【0024】
図1は、本実施形態における信頼度評価装置1の機能構成を示す図である。
信頼度評価装置1は、サーバ又はパーソナルコンピュータなどの情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイスなどを備える。
信頼度評価装置1は、サーバ又はパーソナルコンピュータなどの情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイスなどを備える。
【0025】
制御部10は、信頼度評価装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0026】
記憶部20は、ハードウェア群を信頼度評価装置1として機能させるための各種プログラム、及び各種データなどの記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)などであってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(信頼度評価プログラム)、各種パラメータ、ドメイン登録業者毎の登録価格テーブル21などを記憶する。
【0027】
制御部10は、取得部11と、判定部12と、検索部13と、算出部14とを備える。
制御部10は、これらの機能部により、観測されたドメインの信頼度を、登録価格に基づいて評価する。
制御部10は、これらの機能部により、観測されたドメインの信頼度を、登録価格に基づいて評価する。
【0028】
取得部11は、ドメインの登録価格を、価格設定されているドメイン名の単位毎に定期的に取得する。
【0029】
図2は、本実施形態における登録価格テーブル21を例示する図である。
この例では、登録業者毎にテーブルが設けられ、価格設定の単位(例えば、TLD)である「jp」、「com」などのドメイン名に対して、日別の登録価格が格納されている。
このように、取得部11は、複数のドメイン登録業者が公開している登録価格を、1日毎など定期的に取得しておく。時系列の登録価格の中には、キャンペーンなどにより安価(例えば、0円)になっているデータも含まれる。
この例では、登録業者毎にテーブルが設けられ、価格設定の単位(例えば、TLD)である「jp」、「com」などのドメイン名に対して、日別の登録価格が格納されている。
このように、取得部11は、複数のドメイン登録業者が公開している登録価格を、1日毎など定期的に取得しておく。時系列の登録価格の中には、キャンペーンなどにより安価(例えば、0円)になっているデータも含まれる。
【0030】
また、取得部11は、価格設定の単位毎に、複数の登録業者それぞれにおける登録価格の時系列データを作成する。さらに、取得部11は、複数の登録業者の時系列データを統計処理し、平均価格の推移を示す時系列データを作成する。
【0031】
図3は、本実施形態における登録価格の時系列データを例示する図である。
例えば、jpドメインの登録価格は、登録業者Bでは一定となっているが、登録業者Aでは、価格の下落が見られる。また、comドメインでは、ある期間において、登録業者Aによる登録価格の低下が見られる。
いずれのドメインについても、複数の登録業者における全体の傾向を示すデータとして、平均価格の時系列データが作成されている。
例えば、jpドメインの登録価格は、登録業者Bでは一定となっているが、登録業者Aでは、価格の下落が見られる。また、comドメインでは、ある期間において、登録業者Aによる登録価格の低下が見られる。
いずれのドメインについても、複数の登録業者における全体の傾向を示すデータとして、平均価格の時系列データが作成されている。
【0032】
判定部12は、評価対象である新たなドメインが観測された際に、観測時点より前の所定期間を、このドメインの登録時期と判定する。
【0033】
図4は、本実施形態におけるドメインの登録時期の判定方法を説明する図である。
判定部12は、例えば、新たなドメインの観測時点Tから所定時間Dさかのぼった日時T-Dを含む前後の所定期間(T-D-dからT-D+dまで)を、登録時期と判定する。
仮に、この登録時期において、ドメインの登録価格が低下している場合、悪性サイトの運営者がこの時期をねらって登録したドメインである可能性が高いため、信頼度が低いと考えられる。
判定部12は、例えば、新たなドメインの観測時点Tから所定時間Dさかのぼった日時T-Dを含む前後の所定期間(T-D-dからT-D+dまで)を、登録時期と判定する。
仮に、この登録時期において、ドメインの登録価格が低下している場合、悪性サイトの運営者がこの時期をねらって登録したドメインである可能性が高いため、信頼度が低いと考えられる。
【0034】
検索部13は、新たなドメインを検索キーとしてWeb検索を行う。
検索結果として得られた件数は、信頼度の調整のために、算出部14に提供される。
検索結果として得られた件数は、信頼度の調整のために、算出部14に提供される。
【0035】
算出部14は、登録時期における新たなドメインの登録価格に基づいて、このドメインの信頼度を算出する。
このとき、算出部14は、複数の登録業者による登録価格の平均に基づいて信頼度を算出してよい。また、算出部14は、WHOIS情報などによって新たなドメインの登録業者が特定された場合には、平均ではなく、複数の登録業者のうち特定された登録業者による登録価格に基づいて信頼度を算出してもよい。
このとき、算出部14は、複数の登録業者による登録価格の平均に基づいて信頼度を算出してよい。また、算出部14は、WHOIS情報などによって新たなドメインの登録業者が特定された場合には、平均ではなく、複数の登録業者のうち特定された登録業者による登録価格に基づいて信頼度を算出してもよい。
【0036】
ドメインの信頼度は、例えば、次のように算出される。
まず、あるドメインに対する登録価格の時系列データC(T)を、ドメインの登録業者の平均価格と定義する。
すると、時刻Tにおいて観測されたドメインの信頼度X(T)は、
のように、登録時期における登録価格の時間平均として算出される。
ここで、Dは観測時刻Tと登録時刻との差分であり、dは登録推定時刻の揺らぎ(申請から登録までの時間など)である。
まず、あるドメインに対する登録価格の時系列データC(T)を、ドメインの登録業者の平均価格と定義する。
すると、時刻Tにおいて観測されたドメインの信頼度X(T)は、
【数1】
ここで、Dは観測時刻Tと登録時刻との差分であり、dは登録推定時刻の揺らぎ(申請から登録までの時間など)である。
【0037】
なお、WHOIS情報を確認しない限り、正確な登録日時は不明な場合が多いため、実際の運用上は、Dは経験的に定義されてよい。
例えば、複数のメールサーバを運用しており、受信メールのドメインを監視できる条件であれば、ある時点から使われ始めるスパム送信ドメインを大量に観測することができる。これらのドメインをサンプリング抽出し、WHOIS情報を取得することでスパム送信ドメインの登録から利用までの平均的な期間Dを算出することができる。
例えば、複数のメールサーバを運用しており、受信メールのドメインを監視できる条件であれば、ある時点から使われ始めるスパム送信ドメインを大量に観測することができる。これらのドメインをサンプリング抽出し、WHOIS情報を取得することでスパム送信ドメインの登録から利用までの平均的な期間Dを算出することができる。
【0038】
また、信頼度は、登録価格の時間平均の他、登録時期(T-D-dからT-D+dまで)における登録価格の最低値に基づいて算出されてもよい。
【0039】
さらに、算出部14は、検索部13による検索結果の件数に基づいて、信頼度を調整する。
例えば、観測されたドメインが既に長い期間使われており、ドメインの実際の登録価格が不明である場合がある。このような場合、直近の価格が値下げされていると、信頼度が低く算出される可能性がある。そこで、算出部14は、信頼度が低いとされたドメイン名を検索キーとしたWeb検索の結果、検索結果が多数ある場合に信頼度を高く調整するなど、知名度に関係する検索件数と登録価格とを組み合わせて、信頼度を総合的に決定する。
例えば、観測されたドメインが既に長い期間使われており、ドメインの実際の登録価格が不明である場合がある。このような場合、直近の価格が値下げされていると、信頼度が低く算出される可能性がある。そこで、算出部14は、信頼度が低いとされたドメイン名を検索キーとしたWeb検索の結果、検索結果が多数ある場合に信頼度を高く調整するなど、知名度に関係する検索件数と登録価格とを組み合わせて、信頼度を総合的に決定する。
【0040】
また、算出部14は、新たなドメインを登録する際に必要な企業情報又は組織情報などの情報の種類に基づいて、信頼度に重み付けをしてもよい。例えば、登録情報の数が多い、あるいは、登記など信憑性の高い情報が必要といった、登録のための敷居が高いドメインは、信頼度が高く算出されてよい。
なお、重み付けの大きさは、ドメイン毎に予め設定されていてもよく、例えば、高等教育機関などが登録できる「ac.jp」、又は政府機関などが登録できる「go.jp」といったドメインが予め信頼度の高いリストに登録されてもよい。あるいは、信頼度評価装置1は、これら所定のドメインが観測された際には、信頼度の算出を省略し、信頼できるドメインであると判定してもよい。
なお、重み付けの大きさは、ドメイン毎に予め設定されていてもよく、例えば、高等教育機関などが登録できる「ac.jp」、又は政府機関などが登録できる「go.jp」といったドメインが予め信頼度の高いリストに登録されてもよい。あるいは、信頼度評価装置1は、これら所定のドメインが観測された際には、信頼度の算出を省略し、信頼できるドメインであると判定してもよい。
【0041】
本実施形態によれば、信頼度評価装置1は、観測されたドメインが登録された時期における登録価格に基づいて信頼度を算出することで、容易にドメインを評価でき、悪性サイトの検知率を向上させることができる。
特に、従来からの検知手法と組み合わせることにより、例えば、算出された信頼度を機械学習のパラメータとして用い、悪性サイトの判定をより詳細に行って精度を高めることが可能となる。
特に、従来からの検知手法と組み合わせることにより、例えば、算出された信頼度を機械学習のパラメータとして用い、悪性サイトの判定をより詳細に行って精度を高めることが可能となる。
【0042】
また、信頼度評価装置1は、WHOIS情報などの問い合わせを行わないことにより、アクセスデータ(URL)の外部への漏洩を防ぐことができる。さらに、信頼度評価装置1は、予め取得済みの登録価格の情報を用いてローカルで処理できるため、外部との時間的及び金銭的な通信コストを低減できる。
【0043】
信頼度評価装置1は、新たなドメインの観測時点から所定時間さかのぼった日時を含む前後の所定期間を登録時期と判定することにより、簡易に登録時期を推定できる。
【0044】
信頼度評価装置1は、複数の登録業者による登録価格の平均に基づいて信頼度を算出することにより、登録業者が特定されない場合の誤判定を抑制し、複数の登録業者全体の傾向に従って、信頼度を適切に評価できる。
【0045】
信頼度評価装置1は、新たなドメインの登録業者が特定された場合に、複数の登録業者のうち、特定された登録業者による登録価格に基づいて信頼度を算出することで、より正確な登録価格に基づき、信頼度を適切に評価できる。
【0046】
信頼度評価装置1は、登録時期における登録価格の時間平均に基づいて前記信頼度を算出することにより、正確な登録日時を特定できない際にも、登録時期における登録価格の傾向を適切に捉え、信頼度を適切に評価できる。
【0047】
信頼度評価装置1は、登録時期における登録価格の最低値に基づいて前記信頼度を算出することにより、もっともらしい登録価格を推定し、より安全に信頼度を評価できる。
【0048】
信頼度評価装置1は、評価対象のドメインを検索キーとしてWeb検索を行い、検索結果の数に基づいて信頼度を調整することにより、知名度に関係する検索件数と登録価格とを組み合わせて、より適切な信頼度を総合的に評価できる。
【0049】
信頼度評価装置1は、評価対象のドメインを登録する際に必要な情報の種類に基づいて信頼度に重み付けすることにより、登録の難しさを指標として、より適切な信頼度を総合的に評価できる。
【0050】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0051】
前述の実施形態では、受信メール本文に記述されたURLを評価対象のドメインとして説明したが、これには限られない。例えば、SPF(Sender Policy Framework)などによってメール送信元ドメインが詐称されていないことが検査されている場合には、この送信元ドメインを評価対象として信頼度を評価することもできる。
【0052】
信頼度評価装置1による信頼度評価方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0053】
1 信頼度評価装置
10 制御部
11 取得部
12 判定部
13 検索部
14 算出部
20 記憶部
21 登録価格テーブル
10 制御部
11 取得部
12 判定部
13 検索部
14 算出部
20 記憶部
21 登録価格テーブル
【図1】
【図2】
【図3】
【図4】