特許 7307648 フィッシングメールに対して逆フィッシングを行うシステム、囮ＰＣ、制御装置、方法及びプログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-07-04

(45)【発行日】2023-07-12

(54)【発明の名称】フィッシングメールに対して逆フィッシングを行うシステム、囮ＰＣ、制御装置、方法及びプログラム

(51)【国際特許分類】

   H04L 51/212 20220101AFI20230705BHJP

   G06F 21/55 20130101ALI20230705BHJP

【ＦＩ】

H04L51/212

G06F21/55

【請求項の数】 8

(21)【出願番号】P 2019179668

(22)【出願日】2019-09-30

(65)【公開番号】P2021056795

(43)【公開日】2021-04-08

【審査請求日】2022-08-03

(73)【特許権者】

【識別番号】302064762

【氏名又は名称】株式会社日本総合研究所

(74)【代理人】

【識別番号】110002871

【氏名又は名称】弁理士法人坂本国際特許商標事務所

(74)【代理人】

【識別番号】100144048

【弁理士】

【氏名又は名称】坂本 智弘

(72)【発明者】

【氏名】白崎 隆一

【審査官】小林 義晴

(56)【参考文献】

【文献】米国特許出願公開第２００５／００５０３５３（ＵＳ，Ａ１）

【文献】特開２０１８－０７３３９７（ＪＰ，Ａ）

【文献】特開２０１９－１５２９１２（ＪＰ，Ａ）

【文献】国際公開第２０１９／１６７１３２（ＷＯ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ ５１／２１２

Ｇ０６Ｆ ２１／５５

(57)【特許請求の範囲】

【請求項1】

フィッシングメールに対する反撃である逆フィッシングを行うためのシステムであって、
ネットワークから隔離された環境にある制御装置と、前記フィッシングメールに対して囮となる１又は複数の囮ＰＣとを備え、
前記制御装置は、
実環境でメールを受信する実環境ＰＣから取得されたフィッシングメール候補からフィッシングメールを判別し、フィッシングメール管理リストに格納する手段と、
前記フィッシングメール管理リストに格納されたフィッシングメールの送信元に対してあらかじめ定義された反撃アクションを選択する手段と、を備え、
前記囮ＰＣは、
インターネット接続時に、前記反撃アクションが定義された反撃アクション定義ファイルに基づいて、前記フィッシングメールに対する前記反撃アクションを実行する手段を備えることを特徴とするシステム。

【請求項2】

前記囮ＰＣは、インターネット接続をオン・オフすることが可能なインターネット接続制御手段を備えることを特徴とする請求項１に記載のシステム。

【請求項3】

フィッシングメールに対する反撃である逆フィッシングを行うための囮ＰＣであって、
反撃対象のフィッシングメールのパターンに応じて選択され、意図的に個人情報を漏らすための囮データを保持する手段と、
インターネット接続時に、反撃アクションが定義された反撃アクション定義ファイルに基づいて、前記フィッシングメールに対する前記反撃アクションを実行する手段と、
インターネット接続をオン・オフすることが可能なインターネット接続制御手段と、を備える囮ＰＣ。

【請求項4】

フィッシングメールに対する反撃である逆フィッシングを行うシステムの制御装置であって、
実環境ＰＣで受信したフィッシングメールを取得し、フィッシングメール管理ＤＢに格納する手段と、
前記フィッシングメール管理ＤＢに格納されたフィッシングメールのうちから反撃対象のフィッシングメールを選択する反撃対象抽出手段と、
前記反撃対象のフィッシングメールのパターンに応じて、意図的に個人情報を漏らすための囮データ及び反撃アクションを選択する反撃アクション選択手段と、
前記逆フィッシングとして、前記反撃対象に対して前記反撃アクションを実行する囮ＰＣを制御する手段と、
を備えることを特徴とする制御装置。

【請求項5】

前記囮ＰＣとフィッシングサイトの間のアクセスログを取得し、前記フィッシングサイトのパターンごとに集計して分析するフィッシングサイトアクセス分析手段を更に備えることを特徴とする請求項４に記載の制御装置。

【請求項6】

前記囮ＰＣは、前記フィッシングメールごとの仮想空間上に構築されることを特徴とする請求項４又は５に記載の制御装置。

【請求項7】

前記フィッシングメールの内容及び前記アクセスログに基づいて、前記フィッシングメールに対する評価を行うフィッシングサイト評価手段を更に備えることを特徴とする請求項５に記載の制御装置。

【請求項8】

フィッシングメールに対する反撃である逆フィッシングを行うシステムのコンピュータが実行する方法であって、
実環境ＰＣで受信したフィッシングメールを取得し、フィッシングメール管理ＤＢに格納するステップと、
前記フィッシングメール管理ＤＢに格納されたフィッシングメールのうちから反撃対象のフィッシングメールを選択するステップと、
前記反撃対象のフィッシングメールのパターンに応じて、意図的に個人情報を漏らすための囮データ及び反撃アクションを選択するステップと、
を含むことを特徴とする方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、フィッシング詐欺メール対策のためのシステムに関する。

【背景技術】

【0002】

従来、フィッシング詐欺防止のための様々な技術が開示されている。例えば、特許文献１によれば、受信したメールを解析してそのメールに含まれる企業名とＵＲＬとを抽出し、抽出されたＵＲＬごとに、メールにおける企業名とＵＲＬとの位置関係から、そのＵＲＬに関係の深い企業を抽出して対応する企業ＩＤを出力するＵＲＬ－企業名関係算出部と、企業とその企業に対応する正当なサイトのＵＲＬとを記載したＵＲＬホワイトリストと、いずれかのＵＲＬが選択された場合に、ＵＲＬホワイトリストを参照して、選択されたＵＲＬが、企業ＩＤが示す企業に対応するＵＲＬとしてＵＲＬホワイトリストに記載されているか否かに応じて、そのＵＲＬが示すサイトの正当性を検証するホワイトリスト確認部、を設けるようにしている。

【0003】

また、特許文献２によれば、送信元の検証装置が、送信先であるユーザの互いに異なる複数のメールアドレスをメールアドレス記憶手段から抽出する手段を備え、検証装置のメール送信手段は、抽出された複数のメールアドレス宛に、同一内容のメールを送信する。また、それぞれのメールには、もう一方のメールを確認しないと分からないような合言葉を含めるようにし、メールアドレスの記憶手段は、別々に管理されたものにして、安全性を高めるようにしている。

【先行技術文献】

【特許文献】

【0004】

【文献】特開２００７－１５６６９０号公報

【文献】特開２０１８－１６００１５号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

個人(私人）のメールアドレスには毎日、会社のメールアドレスでも毎週のように、フィッシングメールが送付されている。フィッシング（phishing）とは、インターネットのユーザから経済的価値がある情報（例えば、ユーザ名、パスワード、クレジットカード情報など）を奪うために行われる詐欺行為である。典型的には、信頼されている主体に成りすましたＥメールによって偽りのＷＥＢサーバ（フィッシングサイト）に誘導することによって行われる。被害のリスクを避けるため、受信メールサーバが自動的に判断して迷惑メールのような専用メールＢＯＸに移動してくれるが、それ以上の対策は取られることはなく、フィッシングメール自体は減る傾向にない。

【0006】

したがって、本発明では、従来のようにフィッシングメールを専用メールＢＯＸに移動という「守りの対策」でなく、フィッシングメールの発信者に対して「攻めの対策」（反撃：以下、「逆フィッシング」と呼ぶ）を取ることができるシステムを提供することを目的とする。

【課題を解決するための手段】

【0007】

上記課題を解決するため、本発明は、以下のような解決手段を提供する。

【0008】

（１）フィッシングメールに対する反撃である逆フィッシングを行うためのシステムであって、ネットワークから隔離された環境にある制御装置と、前記フィッシングメールに対して囮となる１又は複数の囮ＰＣとを備え、前記制御装置は、実環境でメールを受信する実環境ＰＣから取得されたフィッシングメール候補からフィッシングメールを判別し、フィッシングメール管理リストに格納する手段と、前記フィッシングメール管理リストに格納されたフィッシングメールの送信元に対してあらかじめ定義された反撃アクションを選択する手段と、を備え、前記囮ＰＣは、インターネット接続時に、前記反撃アクションが定義された反撃アクション定義ファイルに基づいて、前記フィッシングメールに対する前記反撃アクションを実行する手段を備えることを特徴とする。

【0009】

（２）上記（１）に記載の構成において、前記囮ＰＣは、インターネット接続をオン・オフすることが可能なインターネット接続制御手段を備えることを特徴とする。

【0010】

（３）フィッシングメールに対する反撃である逆フィッシングを行うための囮ＰＣであって、反撃対象のフィッシングメールのパターンに応じて選択され、意図的に個人情報を漏らすための囮データを保持する手段と、インターネット接続時に、反撃アクションが定義された反撃アクション定義ファイルに基づいて、前記フィッシングメールに対する前記反撃アクションを実行する手段と、インターネット接続をオン・オフすることが可能なインターネット接続制御手段と、を備える。

【0011】

（４）フィッシングメールに対する反撃である逆フィッシングを行うシステムの制御装置であって、実環境ＰＣで受信したフィッシングメールを取得し、フィッシングメール管理ＤＢに格納する手段と、前記フィッシングメール管理ＤＢに格納されたフィッシングメールのうちから反撃対象のフィッシングメールを選択する反撃対象抽出手段と、前記反撃対象のフィッシングメールのパターンに応じて、意図的に個人情報を漏らすための囮データ及び反撃アクションを選択する反撃アクション選択手段と、を備えることを特徴とする。

【0012】

（５）上記（４）に記載の構成において、前記囮ＰＣとフィッシングサイトの間のアクセスログを取得し、前記フィッシングサイトのパターンごとに集計して分析するフィッシングサイトアクセス分析手段を更に備えることを特徴とする。

【0013】

（６）上記（４）又は（５）に記載の構成において、前記囮ＰＣは、前記フィッシングメールごとの仮想空間上に構築されることを特徴とする。

【0014】

（７）上記（５）に記載の構成において、前記フィッシングメールの内容及び前記アクセスログに基づいて、前記フィッシングメールに対する評価を行うフィッシングサイト評価手段を更に備えることを特徴とする。

【0015】

（８）フィッシングメールに対する反撃である逆フィッシングを行うシステムのコンピュータが実行する方法であって、実環境ＰＣで受信したフィッシングメールを取得し、フィッシングメール管理ＤＢに格納するステップと、前記フィッシングメール管理ＤＢに格納されたフィッシングメールのうちから反撃対象のフィッシングメールを選択するステップと、前記反撃対象のフィッシングメールのパターンに応じて、意図的に個人情報を漏らすための囮データ及び反撃アクションを選択するステップと、を含むことを特徴とする。

【0016】

（９）上記（８）に記載の各ステップをコンピュータに実行させることを特徴とするプログラム。

【発明の効果】

【0017】

本発明によれば、従来のように「守りの対策」でなく、フィッシングメールの発信者に対して「攻めの対策」を取ることができるシステムを提供することができる。

【図面の簡単な説明】

【0018】

【図1】逆フィッシングシステムの概要を示す図である。

【図2】フィッシングメール管理リストの一例を示す図である。

【図3】逆フィッシングシステムの機能ブロックを示す図である。

【図4】フィッシングメール判別処理のフロー図である。

【図5】反撃対象抽出処理のフロー図である。

【図6】反撃アクション実行処理のフロー図である。

【図7】フィッシングサイト評価処理のフロー図である。

【発明を実施するための形態】

【0019】

以下、添付図面を参照して、本発明を実施するための形態（以下、実施形態）について詳細に説明する。以降の図においては、実施形態の説明の全体を通して同じ要素には同じ番号又は符号を付している。また、機能構成の図において、機能ブロック間の矢印は、データの流れ方向、又は処理の流れ方向を表す。

【0020】

＜基本概念＞
図１は、逆フィッシングを行うためのシステム（逆フィッシングシステム）の概念を示す図である。図示するように、実環境ＰＣにおいて、受信メールＢＯＸに格納されたメールデータからフィッシングメールを判別し、通常のネットワークから隔離された環境にある隔離環境ＰＣのフィッシングメール格納専用ＢＯＸに移動する。受信メールＢＯＸのうち迷惑メールに振り分けられたメールを優先的に判別し、フィッシングメール格納専用ＢＯＸに移動してもよい。ここで、隔離環境ＰＣは、逆フィッシングシステムの制御装置として機能する。メールの隔離環境ＰＣへの移動は、外部からの汚染を避けるためネットワーク経由でなくオフライン下で、記憶メディア等を経由して行うことが望ましい。なお、受信メールＢＯＸからフィッシングメールを判別する方法は公知の技術を用いてもよいが、フィッシングメールには新種が次々と登場するので人間の判断を含めた独自のロジックを組み合わせてもよい。

【0021】

隔離環境ＰＣのフィッシングメール格納専用ＢＯＸでは、フィッシングメールをリストで管理し、フィッシングメールごとにＩＤ（識別子）を採番する。同時にそのメールに記載された各リンク先等もＩＤごとに管理する。また、個々のフィッシングメールごとに「反撃」アクションを用意しておき、フィッシングメール送信者（悪用者）に反撃を取れるようにする。そのために、別途、囮ＰＣを1又は複数用意し、フィッシングメールのＩＤごとに囮ＰＣ内に仮想空間を生成し、各仮想空間の囮のＤＢに、悪用者が欲しがるような囮の個人情報（個人名、住所、生年月日、メールアドレス、カード情報など）を登録しておく。そして、囮ＰＣを仮想空間ごとにそれぞれインターネットに接続し、囮ＰＣからフィッシングメールに記載されたリンク先等にアクセスし、意図的に囮の情報を外部に漏らすようにする。そして、どのフィッシングメールにアクセスして漏れた情報なのかを管理しておく。なお、フィッシングメール格納専用ＢＯＸは、囮ＰＣからアクセスすることはできないようにする。

【0022】

囮の情報に対する悪用者のアクション（例えば、カード番号不正利用、支払要求送信等）も、元のメールごとに管理する。また、ＳＮＳ業者や加盟店などと事前に連携しておき、悪用者が囮の情報を入手して不正アクセスした場合は即座に通報する仕組みを構築しておく。すなわち、ＳＮＳで悪用された場合は、不正のあったアクセスポイントを辿ることで犯人の拠点の解明につなげる。また、通販でカード情報が悪用された場合は、商品の送付先の住所から犯人のアジトを割り出す。このような対策を取ることで、犯人の逮捕に直結できなくても、フィッシングメールによる犯罪への牽制効果が期待できる。

【0023】

（フィッシングメール管理リスト）
図２は、フィッシングメールを管理するためのフィッシングメール管理リストの一例を示した図である。フィッシングメール管理リストには、図示するように、フィッシングメールのＩＤ、差出人メールアドレス、宛先メールアドレス、件名、送信日時、メール本文、リンク先ＵＲＬ，もしあれば添付ファイル、その他、メール本文に記載された連絡電話番号があればそれも格納してもよい。フィッシングメール管理リストには、フィッシングメールＩＤごとに、その特徴又は種類（件名、本文の内容、送信先のアドレス及びその数、送信元の名称又はアドレス、リンク先ＵＲＬの有無、添付ファイルの有無、連絡先電話番号の有無等）に応じて定められた反撃アクションのロジック（手順）を定義したファイル、が格納される。反撃対象として選択されていないフィッシングメールＩＤに対しては、反撃アクションはブランク（未定義）とする。なお、同じフィッシングメールが複数みつかった場合はその出現回数も格納する。また、後述するように、反撃アクションとして囮の個人情報を用いた場合は、あらかじめ準備した囮の個人情報のうちどれを使用したのか（あるいは囮の個人情報に付与した識別番号を）フィッシングメール管理リストに登録してもよい。

【0024】

フィッシングメール管理リストの中の多数のフィッシングメールから反撃する対象を選択し、囮ＰＣから、実際に反撃アクションを実行する。反撃アクションの具体例については後述する。

【0025】

フィッシングメールに向かって囮データを使って意図的に情報を漏らしているのに反応がない場合は、フィッシングメールに記載されたリンク情報や返信用メールアドレスを何度もアクセス（連打）するか、反応がないフィッシングメールを集計して、リンク情報等を分析するようにしてもよい。メールアドレスは成りすましが多いが、返信を待ってメールアドレスが実際に使われているかどうかを確認する犯人もいる。したがって、メールに返信するだけでも犯人の反応を誘うことができる。また、反応がないメールに記載されたＵＲＬに共通性があるか無いかも判断する。一見関係なさそうなメール同士でも、ＵＲＬが似ている場合は、同じ犯人の可能性があるからである。また、ＵＲＬの表示と実際のリンク先が異なることもあるので、実際のリンク先が関連付けられていれば実際のリンク先を分析するようにする。

【0026】

また、後述するように、フィッシングメールの出来具合（釣られ易さ）の評価を行うこともできる。

【0027】

＜逆フィッシングシステムの機能構成＞
図３は、逆フィッシングシステム（以下、本システムと呼ぶ）の機能ブロックを示した図である。図示するように本システムは、逆フィッシング制御装置１０と、１又は複数の実環境ＰＣ２０と、１又は複数の囮ＰＣ３０とを備える。実環境ＰＣ２０は実際の業務に使用しているＰＣでもよいが、フィッシングメールを収集するための専用のＰＣであってもよい。

【0028】

（逆フィッシング制御装置）
逆フィッシング制御装置１０（以下、単に制御装置と呼ぶことがある。）は、外部とつながるネットワークから隔離された環境下にある装置であり、フィッシングメール候補ＤＢ１１、フィッシングメール判別手段１２、フィッシングメール管理ＤＢ１３、反撃対象抽出手段１４、反撃アクション選択手段１５、囮データＤＢ１６Ａ、反撃アクションＤＢ１６Ｂ、フィッシングサイトアクセス分析手段１７、フィッシングサイト評価手段１８を備えている。

【0029】

フィッシングメール候補ＤＢ１１は、実環境ＰＣ２０から収集されたフィッシングメールの候補を格納するデータベースである。フィッシング詐欺は、電子メールを使うものだけでなく、郵便物を使う場合もある。したがって、実環境ＰＣ２０から収集されたフィッシングメールの候補には、疑わしい郵便物をスキャナーで取り込み電子化したものを含むものとする。実環境ＰＣ２０の各ＰＣの受信メールＢＯＸから直接で疑わしいものを選んでもよいし、いったん迷惑メールとして振り分けられたメールからフィッシングメールの候補を選んでもよい。またＰＣにダウンロードされたメールから選んでもよいし、メールサーバ（図示せず）から選んでもよい。なお、逆フィッシング制御装置１０へのメールデータの移動は、外部からの侵入を避けるためネットワーク経由でなく、ＵＳＢ等の記憶媒体を使ってオフラインで行うことが望ましい。あるいは外部と遮断された専用ネットワークであればその専用ネットワーク経由でメールデータの移動を行ってもよい。

【0030】

フィッシングメール判別手段１２は、フィッシングメール候補ＤＢ１１に格納されたフィッシングメールの候補から、よりフィッシングメールであると疑われるメールを判別する。この判別においては公知の方法を利用してよいが、完全に機械任せではなく、人間の判断も加えられるようにすることが望ましい。

【0031】

フィッシングメール管理ＤＢ１３は、フィッシングメール判別手段１２が判別したフィッシングメールにＩＤをつけて管理する図２で示したフィッシングメール管理リストを格納する。また、フィッシングメール管理ＤＢ１３にはフィッシングメール管理リスト以外にも、フィッシングメールに対する評価値、各種記録なども格納される。

【0032】

反撃対象抽出手段１４は、フィッシングメール管理ＤＢ１３に格納されたフィッシングメール管理リストから、反撃を行う対象を選択する。具体的には前述したように、同じタイトルや送信元メールアドレスで複数（多数）来ているものを反撃対象として選択してもよい。

【0033】

反撃アクション選択手段１５は、複数の囮データが格納された囮データＤＢ１６Ａから反撃対象のフィッシングメールの特徴（パターン）に合った囮データを選択する。例えば、そのフィッシングメールが女性をターゲットとしていると判断されるときは架空の女性の個人情報を選択する。ターゲットが判断できない場合はランダムに個人情報を選択し、犯人からしばらく反応がないときは別の個人情報を選択するようにしてもよい。また、囮データには、フィッシングメールに返信するメールの文章に枝番を付けて格納しておく。

【0034】

また、反撃アクション選択手段１５は、フィッシングメールに応じた適切な反撃アクションを反撃アクションＤＢ１６Ｂから選択する。ここで、反撃アクションＤＢ１６Ｂには、フィッシングメールのパターンに応じた様々な反撃手段（反撃ロジック）が記載された反撃アクション定義ファイルを格納しているものとする。ここでいう反撃ロジックとは、フィッシングメールが成りすましている相手によって、フィッシングメールに対する反応を変化させるためのプログラムである。

【0035】

より具体的には、反撃アクション選択手段１５は、フィッシングメールがどんな企業、団体、個人に成りすましているかを判断し、成りすまし先に応じた囮の個人情報や反撃アクションを選択する。すなわち、反撃対象ごとに漏らす情報及びアクションを変える。例えば、フィッシングメールがカード会社に成りすましている場合は、囮データの中から「半年前に○○店で利用した請求が来ないがいつになるか？」の旨のメールを選択して返信したり、あるいは、携帯電話会社に成りすましている場合は、「料金プランを変更したい」旨のメールを選択して返信したりするなどである。

【0036】

なお、フィッシングメールのパターンには、ターゲットが利用者数の多い大企業のユーザである場合が多い。普段からメールが届くような企業やサービスを偽装するので騙されてしまう人が多いからである。例えば、アンケートを装ってプレゼントや謝礼で釣るパターン、ショッピングサイトなどからの事務的連絡に偽装するパターン、セキュリティに関する「重要なお知らせ」で不安を煽って騙すパターンなどがある。またメール経由ではないが、ユーザが検索した際に表示されるＷｅｂサイトを偽装したＷｅｂ経由のものもある。これらのパターンに応じて、囮データや反撃アクション用意しておいてもよい。

【0037】

フィッシングサイトアクセス分析手段１７は、囮ＰＣ３０とフィッシングサイトの間で記録されたアクセスログを収集し、フィッシングサイトのパターンごとに集計する。またアクセスしたフィッシングサイトのリンク先のＷＥＢページと成りすまし先の正規のページとの差異をチェックし、識別困難性などを分析する。フィッシングサイトのＵＲＬの類似度やメール本文の類似度などを分析する。正規のページをそっくりコピーしたようなページは識別困難性が高いので、特にその微妙な差異（リンク情報の差異など）を抽出する。分析された類似度によってタイプ分けし、そのタイプごとに集計してもよい。

【0038】

フィッシングサイト評価手段１８は、フィッシングメールの内容及び囮ＰＣ３０のアクセスログに基づいて、フィッシングメールの出来具合（釣られ易さ）を評価する。出来具合の評価は、既に受信した当該発信先のメールとの類似性、日本語の自然さ、行数、ロゴマークが発信者欄に表示されるか等について行う。また、このような仕組みは人間（制御装置のオペレータ）の判断を加えるようにもしてもよい。すなわち、オペレータの評価を受け付ける手段を備えて、評価に加味してもよい。

【0039】

（囮ＰＣ）
囮ＰＣ３０は、１又は複数の物理ＰＣから構成され、各物理ＰＣには、それぞれ複数の仮想ＰＣ３１，３２，３３を構築し、互いに干渉しないようにする。仮想ＰＣ３１，３２，３３は、ＯＳを格納するハードディスクやＳＳＤなどの記憶装置をパーテーション領域に分けるなどして実現できる。あるいは、動的に物理ＰＣに1又は複数の仮想空間を構築する公知の技術を用いてもよい。仮想ＰＣ３１，３２，３３は、それぞれ、囮データ格納手段３１ａ，３２ａ，３３ａ、反撃アクション実行手段３１ｂ，３２ｂ，３３ｂ、インターネット接続制御手段３１c，３２c，３３c、アクセスログ記憶手段３１ｄ、３２ｄ、３３ｄを備える。

【0040】

囮データ格納手段３１ａ，３２ａ，３３ａは、フィッシングサイトに意図的に漏らすための個人情報を格納したデータベースである。このデータベースには、フィッシングメールのパターンに応じた多数の囮データが保持され、新しいパターンが出現したときなどには内容を更新する。また、前述したように、囮データには識別番号に加え、枝番をつけて細分化してもよい。

【0041】

反撃アクション実行手段３１ｂ，３２ｂ，３３ｂは、囮データ格納手段３１ａ，３２ａ，３３ａを利用し、制御装置の反撃アクション選択手段１５によって当該フィッシングサイト用に選択された反撃アクションファイルを読み込み、当該フィッシングサイトに対する反撃アクションを実行する。

【0042】

インターネット接続制御手段３１c，３２c，３３cは、各仮想ＰＣ３１，３２，３３をそれぞれ独立にインターネット接続をオン・オフする機能を有する。具体的には、インターネットへの接続を物理的にオン・オフできるようなスイッチでもよいし、論理的に接続を開始、遮断する手段であってもよい。アクセスログ記憶手段３１ｄ、３２ｄ、３３ｄにはインターネットに接続された間の外部とのアクセスのログが記録され、制御装置のフィッシングサイトアクセス分析手段１７によって回収される。なお、仮想ＰＣ３１，３２，３３に制御装置から囮データや反撃アクションファイルを格納する間やアクセスログを制御装置に回収する間などはインターネットの接続をオフし、実際に囮として機能させるとき（逆フィッシングを開始するとき）はインターネットの接続をオンにする。

【0043】

以上で本システムの機能構成の説明を終わるが、上記の機能構成は、あくまで一例であり、一つの機能ブロック（データベース及び機能処理部）を分割したり、複数の機能ブロックをまとめて一つの機能ブロックとして構成したりしてもよい。各機能処理部は、装置に内蔵されたＣＰＵ（Central Processing Unit）が、ＲＯＭ（Read Only Memory）、フラッシュメモリ、ＳＳＤ(Solid State Drive)、ハードディスク等の記憶装置に格納されたコンピュータ・プログラムを読み出し、ＣＰＵにより実行されたコンピュータ・プログラムによって実現される。すなわち、各機能処理部は、このコンピュータ・プログラムが、記憶装置に格納されたデータベース（ＤＢ;Data Base)やメモリ上の記憶領域からテーブル等の必要なデータを読み書きし、場合によっては、関連するハードウェア（例えば、入出力装置、表示装置、通信インターフェース装置）を制御することによって実現される。また、本発明の実施形態におけるデータベース（ＤＢ）は、商用データベースであってよいが、単なるテーブルやファイルの集合体をも意味し、データベースの内部構造自体は問わないものとする。

【0044】

＜処理フロー＞
以下、制御装置が実行するフィッシングメール判別処理、反撃対象抽出処理、反撃アクション選択処理、フィッシングサイト評価処理、及び、囮ＰＣ３０が実行する反撃アクション実行処理の詳細について、処理フロー図（フローチャート）を用いて更に説明を加える。なお、以下の処理フロー図においては、各ステップの入力と出力の関係を損なわない限り、各ステップの処理順序を入れ替えてもよい。また以降の処理フロー図は一例であり、それらの処理手順に限定されるものではない。

【0045】

（フィッシングメール判別処理）
図４は、制御装置が実行するフィッシングメール判別処理のフロー図である。以下各処理のステップについて逐次説明する。

【0046】

ステップＳ１０：実環境ＰＣ２０又はメールサーバの受信メールＢＯＸ又は迷惑メールＢＯＸの中からフィッシングメールの疑いのあるメールデータを制御装置のフィッシングメール候補ＤＢ１１に移動する。メールが郵便物の場合は、この段階で電子化されたデータをフィッシングメール候補ＤＢ１１に移動する。この移動は、外部からの侵入を避けるためオフラインで行われる。フィッシングメールは、迷惑メールに振り分けられる場合も多いが、巧妙なものは迷惑メールに振り分けられない場合もあるので、受信メールＢＯＸ全体をチェックし、疑わしいものは移動対象としてもよい。ここで、リンク先のＵＲＬや添付ファイルがないもの、連絡先の電話番号がないメールは、フィッシングメール候補から除外してもよい。逆に、宛先人の氏名又はＩＤの記載がないもの、日本語がおかしいもの、返事を急がせたり強要したりするもの、その他何か不自然なものは積極的にフィッシングメール候補ＤＢ１１に格納する。なお、すべてのフィッシングメールを完全に判別してすべてに反撃する必要はなく、優先度が高いもの、影響力の大きそうなものから反撃を開始するようにしてもよい。

【0047】

ステップＳ１１：フィッシングメール判別手段１２は、フィッシングメール候補ＤＢ１１に格納されたメールを順次解析し、既知のフィッシングメールであると判断できる場合はステップＳ１９に移る。

【0048】

ステップＳ１２：メールの送信元は既に反撃対象として登録済みか否かをチェックし、登録済みであればステップＳ１９に移る。

【0049】

ステップＳ１３：メールにファイルが添付されているか否かをチェックし、添付されていればステップＳ１４に移る。添付ファイルがなければステップＳ１５に移る。

【0050】

ステップＳ１４：添付ファイルが暗号化されているか否かをチェックし、暗号化されていればステップＳ１７に移り、人間によるチェックを行う。暗号化されてない場合はステップＳ１５に移る。暗号化された添付ファイルはフィッシングメールである可能性は低いが、自動的に判断するのは難しいからである。

【0051】

ステップＳ１５：メール本文にリンク先ＵＲＬがあるか否かをチェックし、ＵＲＬがなければ処理を終了するが、ＵＲＬがあればステップＳ１６に移る。

【0052】

ステップＳ１６：ＵＲＬのドメインが正規のものか否かをチェックする。このチェックには、公共機関、企業、その他の団体の正規ドメインのリスト（ホワイトリスト）が用いられる。正規ドメインであれば処理を終了するが、そうでない場合はステップＳ１７で人間の判断を求める。

【0053】

ステップＳ１７：最終的に人間によるチェックを行い、フィッシングメールでないと判断されれば処理を終了するが、フィッシングメールであると判断されればステップＳ１８に移る。なお、フィッシングメールであると断定できない場合もステップＳ１８の登録に移るが、その場合は断定困難であることを示す保留フラグ等を付与し、反撃対象からはひとまず除外させるようにしてもよい。

【0054】

ステップＳ１８：フィッシングメールとして新たにＩＤを付与し、フィッシングメール管理ＤＢ１３に格納されたフィッシングメール管理リストに登録する。

【0055】

ステップＳ１９：既知のフィッシングメールの場合は、フィッシングメール管理リストの当該フィッシングメールの出現数を1増加し、処理を終了する。

【0056】

なお、上記のフィッシングメール判別処理は、ＡＩ技術を用いて学習機能を持たせるようにしてもよい。以上でフィッシングメール判別処理の説明を終わる。

【0057】

（反撃対象抽出処理）
図５は、制御装置が実行する反撃対象抽出処理のフロー図である。以下各処理のステップについて逐次説明する。

【0058】

ステップＳ２０：フィッシングメール管理ＤＢ１３のフィッシングメール管理リストを読み込み、フィッシングメール候補を以下の手順でチェックしていく。

【0059】

ステップＳ２１：フィッシングメール候補に保留フラグがある場合は、いったん反撃対象の選択から除外し、ステップＳ２７に移る。

【0060】

ステップＳ２２：メールの件名が同一か又は同一送信元が複数あるか否かをチェックする。同一のものが複数ある場合は、ステップＳ２４に移り、人間の最終判断を求める。そうでない場合はステップＳ２３に移る。

【0061】

ステップＳ２３：宛先が複数（多数）か否かをチェックし、複数の場合はステップＳ２４に移り、そうでない場合は、ステップＳ２７に移る。

【0062】

ステップＳ２４：メールの内容をみて人間が最終判断を行う。判断結果が「黒」の場合（フィッシングメールであると判断された）はステップＳ２５に移る。判断結果が「白」又は「グレー」の場合（フィッシングメールではないと判断された、又は、フィッシングメールであるか断定できなかった場合）はステップＳ２６に移る。

【0063】

ステップＳ２５：反撃対象として登録する。具体的にはフィッシングメール管理リストの当該ＩＤのフィッシングメールに反撃対象のフラグを立てる。ただし、反撃対象の登録はフラグではなく、反撃する優先度を高、中、低などの値で登録してもよい。

【0064】

ステップＳ２６：反撃対象としては登録しないが、最終判断結果をその日時と共に記録する。

【0065】

ステップＳ２７：未処理のメールがあるか否かをチェックし、未処理のものがあればステップＳ２１に戻る。すべてのメールの判定が終われば処理を終了する。

【0066】

上記の反撃対象抽出処理は定期的に繰り返し行い、状況の変化、データの蓄積に合わせて精度を上げることができる。そのため、いったん白と判別されたメールでも、後日、黒と判別されることがあるし、逆に、黒と判別されたものが、後日、白又はグレーと判定されることもある。また、いったん設定された保留フラグも解除されることもある。
以上で反撃対象抽出処理の説明を終わる。

【0067】

（反撃アクション実行処理）
図６は、囮ＰＣ３０が実行する反撃アクション実行処理のフロー図である。以下各処理のステップについて逐次説明する。

【0068】

ステップＳ３０：フィッシングメール管理ＤＢ１３のフィッシングメール管理リストを読み出し、以下の処理手順でフィッシングメールを個々にチェックする。

【0069】

ステップＳ３１：フィッシングメールに既に反撃アクション定義ファイルがあれば、ステップＳ３５に移る。反撃アクション定義ファイルがなければ、ステップＳ３２に移る。

【0070】

ステップＳ３２：メールの内容（件名、本文、送信元など）から成りすまし先を判定する。特に成りすまし先が特定できない場合は、成りすまし先不特定と判断する。

【0071】

ステップＳ３３：囮データＤＢ１６Ａ及び反撃アクションＤＢ１６Ｂを参照して、成りすまし先に応じた囮データ及び反撃アクションのロジックを選択する。成りすまし先不特定の場合は、ランダムに囮の個人情報を選択し、一般的な問い合わせを装った返信メッセージを作成し、その返信メッセージにその個人情報を記載するようにしてもよい。

【0072】

ステップＳ３４：ステップＳ３３で選択した囮データ及び反撃アクションのロジックを記載した反撃アクション定義ファイルを生成する。

【0073】

ステップＳ３５：生成された反撃アクション定義ファイルを該当囮ＰＣ３０の記憶装置に格納する。また、フィッシングメールのパターンに応じて選択された囮データも該当囮ＰＣ３０の囮データ格納手段３１ａ、３２ａ、又は３３ａに格納する。なお、このとき、制御装置に外部からの侵入を避けるためオフラインで行うようにする。

【0074】

ステップＳ３６：未処理のメールがあればステップＳ３１に戻り、未処理のメールがなくなるまで処理を繰り返す。以上で反撃アクション選択処理の説明を終わる。

【0075】

（フィッシングサイト評価手段）
図７は、制御装置が実行するフィッシングサイト評価処理のフロー図である。以下各処理のステップについて逐次説明する。

【0076】

ステップＳ４０：評価の対象とするフィッシングメールを選択し、そのデータをフィッシングメール管理ＤＢ１３から取得する。

【0077】

ステップＳ４１：フィッシングメール及びリンク先の出来栄えに対する評価をオペレータに依頼し、その評価結果を取得する。ここでのオペレータの評価（１次評価）では、メールの件名や本文に不自然さがないか、返答を急がせたり強要したりするような表現がないか、日本語がおかしくないか、などが評価される。不自然さがないほど出来栄え度は高くなる。実際にフィッシングメールに釣られる役のオペレータが画面を見た印象による評価も加えてもよい。例えば、Ａ：余程用心深くないとかなりの人が騙されそう、Ｂ：油断していると釣られるかもしれない、Ｃ：気をつけていれば疑似サイトと判断できそう、Ｄ：この程度なら疑似サイトとすぐ分かる、などの定性的な評価であってもよい。

【0078】

また成りすましが疑われる場合は、前述したように、リンク先のＷＥＢページと成りすまし先の正規のページとの差異をチェックし、識別困難性が評価される。成りすまし先のＷＥＢページをそっくり真似ているよう場合は、識別困難性は高くなる。

【0079】

また、メールに添付ファイルがある場合は、隔離された安全な環境下で、添付ファイルを実際に動作させ、その結果を調べてもよい。また、メール本文に連絡用の電話番号が記載されている場合は、その番号が、成りすまし先が存在する地域の電話番号であるか、携帯電話番号でないかチェックする。

【0080】

オペレータの評価では、評価項目ごとに評価値があらかじめ定義されており、各評価値が評価結果に含まれる。なお、オペレータの評価の時点でフィッシングメールでないことが明らかになった場合は、そのことを示す情報をフィッシングメール管理ＤＢ１３に記載し、反撃対象にならないようにする。

【0081】

ステップＳ４２：メールの宛先の数が判定できる場合は、宛先の数に応じて頒布度を決定する。例えば、宛先が１つの場合は頒布度１、宛先が２～数十の場合は頒布度２、それ以上の場合は頒布度３などとする。

【0082】

ステップＳ４３：囮ＰＣ３０からアクセスログを回収する。このときのデータ移動もオフライン下で行われる。

【0083】

ステップＳ４４：アクセスログを分析し、フィッシングサイトからの反応があったか否かを判定する。すなわち、フィッシングサイトからの反応があった場合はステップＳ４５に移るが、反応がなかった場合は本処理を終了する。

【0084】

ステップＳ４５：フィッシングサイトから反応があった場合は、囮ＰＣ３０が作動してから反応があったときまでの時間、及び反応があった回数に応じて反応度を決定する。また、囮ＰＣ３０からのどのようなアクションに対して反応があったのかも記録する。囮ＰＣ３０からなんらアクションを取ってないのに反応があった場合、その反応度は最高値とする。

【0085】

ステップＳ４６：フィッシングサイトから反応の内容に応じて反応内容値をあらかじめら定義しておき、実際の反応内容に応じて反応内容値を記録する。

【0086】

ステップＳ４７：オペレータにフィッシングサイトの危険度評価を依頼し、その評価結果を取得する。ステップＳ４１で出来栄えの評価（１次評価）を既に行っているが、実際にフィッシングサイトからアクセスがあった後に再度評価してもらい、出来栄えの評価と今回の危険度評価との相関を判断してもらうようにしてもよい。そのため、ここでのオペレ－タの評価は、ステップＳ４１の１次評価と区別するため２次評価と呼ぶ。

【0087】

ステップＳ４８：最後に評価日時、評価項目ごとの評価値、総合評価値等をフィッシングメール管理ＤＢ１３に評価記録として格納する。

【0088】

（実施形態の効果）
本システムによれば、従来のようにフィッシングメールを検出して専用メールＢＯＸに移動という「守りの対策」でなく、フィッシングメールの発信者に対して「攻めの対策」を取ることができる。ここで、やみくもに反撃するのではなく、よりフィッシングメールの可能性が高いものを反撃対象として選択して優先的に反撃を加えることも可能となる。反撃アクションとしては、フィッシングメールの連絡先に返信することで意図的に囮の個人情報を漏らし、フィッシングサイトからの反応に応じて反撃アクションを変えることも可能となる。

【0089】

本システムの中核となる制御装置は、外部とのネットワークからは遮断された環境下に置かれるので制御装置自体を停止されたり改竄されたりするなどの危険性がない。また、実際に反撃アクションを実行する囮ＰＣは、フィッシングメールＩＤごとに構築された仮想空間上で動作するので、互いに干渉を受けない。

【0090】

また、囮ＰＣには、いつでもインターネット接続をオン・オフ可能なインターネット接続制御手段を備えているので、囮として機能している間以外ではインターネット接続をオフし、外部と遮断した状態で、囮データや反撃アクション定義ファイルを格納・更新したり、アクセスログを回収したりすることができる。

【0091】

また、フィッシングサイトとのアクセスログからフィッシングサイトを分析したり、フィッシングサイトの出来具合（釣られ易さ）、危険度などを評価したりすることもできる。

【0092】

なお、上記の実施形態では、主にフィッシングメールの対策について説明したが、メール以外の手段でフィッシングサイトに誘導するケース（例えばバナー広告など）にも適用が可能である。

【0093】

以上、実施形態を用いて本発明を説明したが、本発明の技術的範囲は上記実施形態に記載の範囲に限定されないことは言うまでもない。上記実施形態に多様な変更又は改良を加えることが可能であることが当業者に明らかである。また、そのような変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。

【0094】

なお、上記の実施形態では、本発明を物の発明として、逆フィッシングシステム及びその制御装置を中心に説明したが、本発明は、方法の発明（制御方法）又はコンピュータ・プログラムの発明（制御プログラム）としても捉えることができる。

【符号の説明】

【0095】

１０ 逆フィッシングシステム制御装置
１１ フィシングメール候補ＤＢ
１２ フィッシングメール判別手段
１３ フィッシングメール管理ＤＢ
１４ 反撃対象抽出手段
１５ 反撃アクション選択手段
１６Ａ 囮データＤＢ
１６Ｂ 反撃アクションＤＢ
１７ フィッシングサイトアクセス分析手段
１８ フィッシングサイト評価手段
２０ 実環境ＰＣ
２０ａ，２０ｂ，２０ｃ メール受信ＢＯＸ
３０ 囮ＰＣ
３１，３２，３３ 仮想ＰＣ
３１ａ，３２ａ，３３ａ 囮データ格納手段
３１ｂ，３２ｂ，３３ｂ 反撃アクション実行手段
３１ｃ，３２ｃ，３３ｃ インターネット接続制御手段
３１ｄ，３２ｄ，３３ｄ アクセスログ記憶手段

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】