知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-17
(45)【発行日】2024-07-25
(54)【発明の名称】通信システム、通信方法及びプログラム
(51)【国際特許分類】
H04L 51/212 20220101AFI20240718BHJP
G06F 21/55 20130101ALI20240718BHJP
H04L 12/66 20060101ALI20240718BHJP
H04L 51/21 20220101ALI20240718BHJP
H04L 67/564 20220101ALI20240718BHJP
【FI】
H04L51/212
G06F21/55
H04L12/66
H04L51/21
H04L67/564
【請求項の数】
9
(21)【出願番号】P 2021193906
(22)【出願日】2021-11-30
(62)【分割の表示】P 2020105258の分割
【原出願日】2017-03-23
(65)【公開番号】P2022031826
(43)【公開日】2022-02-22
【審査請求日】2021-11-30
【審判番号】
【審判請求日】2023-06-20
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100077838
【弁理士】
【氏名又は名称】池田 憲保
(74)【代理人】
【識別番号】100129023
【弁理士】
【氏名又は名称】佐々木 敬
(72)【発明者】
【氏名】藤原 飛日
【合議体】
【審判長】篠塚 隆
【審判官】富澤 哲生
【審判官】北元 健太
(56)【参考文献】
【文献】特表2014-516183(JP,A)
【文献】特開2016-148967(JP,A)
【文献】特開2007-226608(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 51/212
(57)【特許請求の範囲】
【請求項1】
受信したメッセージに含まれる、ネットワーク上のリソースを特定する識別子を抽出する抽出手段と、前記リソースに脅威があるか否かを判定する処理を行う脅威判定手段と、
前記メッセージが表示されたメッセージ表示装置から前記リソースへのアクセス要求に対して、前記リソースへのアクセスを制御するアクセス制御手段と
を具備する通信システムにおいて、
前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記メッセージ表示装置に警告メッセージを表示させる
ことを特徴とする通信システム。
【請求項2】
前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記リソースへのアクセスを制限することを特徴とする請求項1に記載の通信システム。
【請求項3】
前記制限とは、アクセスを禁止することであることを特徴とする請求項2に記載の通信システム。
【請求項4】
前記アクセス制御手段は、前記判定の結果に基づいて、前記リソースに脅威がない場合に前記リソースへのアクセスの制限を解除することを特徴とする請求項1~3のいずれかに記載の通信システム。
【請求項5】
抽出手段が、受信したメッセージに含まれる、ネットワーク上のリソースを特定する識別子を抽出し、脅威判定手段が、前記リソースに脅威があるか否かを判定する処理をし、
アクセス制御手段が、前記メッセージが表示されたメッセージ表示装置から前記リソースへのアクセス要求に対して、前記リソースへのアクセスを制御する通信方法において、
前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記メッセージ表示装置に警告メッセージを表示させる
ことを特徴とする通信方法。
【請求項6】
前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記リソースへのアクセスを制限することを特徴とする請求項5に記載の通信方法。
【請求項7】
前記制限とは、アクセスを禁止することであることを特徴とする請求項6に記載の通信方法。
【請求項8】
前記アクセス制御手段は、前記判定の結果に基づいて、前記リソースに脅威がない場合に前記リソースへのアクセスの制限を解除することを特徴とする請求項5~7のいずれかに記載の通信方法。
【請求項9】
受信したメッセージに含まれる、ネットワーク上のリソースを特定する識別子を抽出する抽出手段と、前記リソースに脅威があるか否かを判定する処理を行う脅威判定手段と、
前記メッセージが表示されたメッセージ表示装置から前記リソースへのアクセス要求に対して、前記リソースへのアクセスを制御するアクセス制御手段と
してコンピュータを機能させるためのプログラムにおいて、
前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記メッセージ表示装置に警告メッセージを表示させる
ことを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信システムに関する。本発明は、特に、URL(Uniform Resource Locator)が示すリソースへのアクセスの制御に関し、特に、メールに含まれるURLへのアクセス制御に関する。
【背景技術】
【0002】
近年、特定の組織、特定の個人といった特定の相手を標的として情報窃盗等を行う標的型攻撃による被害が多発している。特に、メールを用いた標的型攻撃が問題となっている。
【0003】
標的型攻撃に対抗する技術として、所謂社内LAN(Local Area Network)のような組織内ネットワークから、インターネットに代表される組織外ネットワーク上のウェブサイトにアクセスするのにあたり、ウェブプロキシサーバを経由してアクセスを行うものがある。これにより、アクセス効率の向上や脅威を含むサイトへのアクセスの制限を図るものである。
【0004】
一般に、ウェブプロキシサーバでは、アクセスを制限すべきURLを運用者が個別に設定することにより、アクセス制限を行っている。或いは、予め脅威ありと判定されたURLをリスト化したアクセス制限リストを提供するサービスがインターネット上に存在するので、こうした外部のアクセス制限リストを参照してアクセス制限を行うものもある。
【0005】
この種のウェブプロキシサーバによれば、運用者がアクセス制限すべきURLとして設定しない限り、そのURLへのアクセスは容認される。外部のアクセス制限リストを参照する場合も同様である。従って、上記したウェブプロキシサーバを用いた方法は新たな脅威URLを用いた標的型攻撃に対抗することができない。
【0006】
他の対抗技術としては、最初にメールに含まれるURLについて脅威の有無を判定し、その判定結果に応じて、そのメールに関する追加処理を行うと共にそのメールを宛先に配送するか、或いは、そのメールを破棄するものがある。ここで追加処理とは、メールの内容を更新する、そのメールの代わりに、或いは、そのメールと共に警告メッセージを送信する、といった処理である。
【0007】
この種のメール配送装置では、まず、URLについて脅威の有無を判定し、次に、その判定結果に応じてメールを宛先のメールクライアントに配送する。このため、URLについての判定が終了するまではそのメールを宛先に配送することができない。従って、メール配送の遅延を引き起こす恐れがある。
【0008】
URLの脅威を検出し、そのURLに脅威があるか否かを判定する方式として所謂振る舞い検知方式がある。振る舞い検知方式は高い精度で脅威の有無を判定することができるものの、判定に要する時間が長い。このため、上述のメール配送装置の脅威検出方式として振る舞い検知方式を採用すると、特にメール配送の遅延を引き起こしやすい。
【0009】
標的型攻撃に対抗する技術が特許文献1に記載されている。同文献によれば、セキュアプロキシサーバ上に構築した仮想マシンでウェブブラウザを実行し、そのウェブブラウザでメールに含まれているURLにアクセスする。仮想マシンのブラウザによるアクセスに問題がなければ、ユーザ端末からそのURLにアクセスする。
【0010】
特許文献1の手法では、仮想マシンを介して間接的に目的のURLにアクセスすることにより、URLに脅威が存在する場合であっても、ユーザ端末がその影響を回避することができる。
【先行技術文献】
【特許文献】
【0011】
【文献】特開2013-246474号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
特許文献1によれば、URLが脅威であるか否かの判定を開始するのは、ユーザ端末からそのURLへのアクセスを試みたときである。特許文献1によれば、仮にそのURLに脅威があるとしても、その影響は仮想マシンに留まるため、ユーザ端末は影響を受けない。しかし、一度はそのURLへのアクセスを試みない限り、脅威があるか否かは不明である。
【0013】
また、「アクセスが許容されないアクセス先のアドレス情報のパターン」(同文献請求項2)或いは「アクセスが許容されるアクセス先のアドレス情報のパターン」(同文献請求項3)を事前に記憶することは記載されている。しかし、同文献は、URLに脅威があるか否かの判定をどのようにして行うのかについては言及していない。このため、ユーザ端末から仮想マシン経由で脅威があるURLにアクセスしたとき、実際に脅威を引き起こすような操作(例えばそのURLのウェブページから、ウイルスを含むファイルをダウンロードし、実行することを許可するような操作)をしない限り、そのURLに脅威があるかどうかそのユーザ端末からは分からない。このため、仮想マシン経由であり、ユーザ端末に直接の影響はないとしても、そのURLへのアクセスは許可された状態が続く。
【0014】
本発明はこのような状況を鑑みてなされたものであり、本発明が解決しようとする課題は、メールに含まれるURLの脅威検出の実行と、遅滞のないメール配信とを両立することが可能な通信システム、通信方法及びプログラムを提供することである。特に、メールに含まれるURLに対して予防的にアクセス制限を実施する通信システム、通信方法及びプログラムを提供することである。
【課題を解決するための手段】
【0015】
上述の課題を解決するため、本発明は、その一態様として、受信したメッセージに含まれる、ネットワーク上のリソースを特定する識別子を抽出する抽出手段と、前記リソースに脅威があるか否かを判定する処理を行う脅威判定手段と、前記メッセージが表示されたメッセージ表示装置から前記リソースへのアクセス要求に対して、前記リソースへのアクセスを制御するアクセス制御手段とを具備する通信システムにおいて、前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記メッセージ表示装置に警告メッセージを表示させることを特徴とする通信システムを提供する。
【0016】
また、本発明は、他の一態様として、抽出手段が、受信したメッセージに含まれる、ネットワーク上のリソースを特定する識別子を抽出し、脅威判定手段が、前記リソースに脅威があるか否かを判定する処理をし、アクセス制御手段が、前記メッセージが表示されたメッセージ表示手段から前記リソースへのアクセス要求に対して、前記リソースへのアクセスを制御する通信方法において、前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記メッセージ表示装置に警告メッセージを表示させることを特徴とする通信方法を提供する。
【0017】
また、本発明は、他の一態様として、受信したメッセージに含まれる、ネットワーク上のリソースを特定する識別子を抽出する抽出手段と、前記リソースに脅威があるか否かを判定する処理を行う脅威判定手段と、前記メッセージが表示されたメッセージ表示装置から前記リソースへのアクセス要求に対して、前記リソースへのアクセスを制御するアクセス制御手段としてコンピュータを機能させるためのプログラムにおいて、前記アクセス制御手段は、前記アクセス要求に応じて、前記脅威判定手段での判定する処理において、前記リソースに脅威があるか否かの判定が未定である場合に、前記リソースに脅威があるか否かの判定の結果を待たずに前記メッセージ表示装置に警告メッセージを表示させることを特徴とするプログラムを提供する。
【発明の効果】
【0018】
本発明によれば、メールに含まれるURLの脅威検出の実行と、遅滞のないメール配信とを両立することが可能な通信システム、通信方法及びプログラムを提供することができる。特に、メールに含まれるURLに対して予防的にアクセス制限を実施する通信システム、通信方法及びプログラムを提供することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の第1実施形態であるアクセス制限システム100のブロック図である。
【図2】アクセス制限システム100のメール配送サーバ1、ウェブプロキシサーバ3、脅威検出装置8について更に説明するためのブロック図である。
【図3】アクセス制限システム100におけるメール配送サーバ1、脅威検出装置8及びリスト記憶装置7の動作を説明するためのフローチャートである。
【図4】アクセス制限システム100における脅威URL一覧7Aの一例である脅威URL一覧7A1を説明するためのテーブルである。
【図5】アクセス制限システム100におけるウェブプロキシサーバ3、メール表示装置6及びリスト記憶装置7の動作を説明するためのフローチャートである。
【図6】本発明の第2の実施の形態であるアクセス制限システム200のブロック図である。
【図7】アクセス制限システム200における脅威URL一覧7Aの一例である脅威URL一覧7A2を説明するためのテーブルである。
【図8】アクセス制限システム200におけるメール配送サーバ1、脅威検出装置8、脅威検出装置9及びリスト記憶装置7の動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0020】
(第1実施形態)
本発明の第1の実施の形態であるアクセス制限システム100について説明する。図1を参照すると、アクセス制限システム100は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、脅威検出装置8を備える。
本発明の第1の実施の形態であるアクセス制限システム100について説明する。図1を参照すると、アクセス制限システム100は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、脅威検出装置8を備える。
【0021】
メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7、脅威検出装置8は、それぞれ、一乃至複数のCPU(Central Processing Unit)、LAN(Local Area Network)カード等のネットワークインタフェース装置を備えるコンピュータである。リスト記憶装置7はネットワークインタフェース装置を備える記憶装置であってもよいし、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、脅威検出装置8のうちのいずれかの記憶装置の領域をリスト記憶装置7として割り当てたものであってもよい。
【0022】
メール配送サーバ1は、組織外ネットワーク5から届いたメールを、組織内ネットワーク4経由で受け取る機能を有する。また、メール配送サーバ1は受け取ったメールの内容を走査する機能を有する。また、メール配送サーバ1は、走査の結果に応じて、リスト記憶装置7に格納した脅威URL(Uniform Resource Locator)一覧7Aを更新する機能を有すると共に、受け取ったメールをメール格納サーバ2に転送する機能を有する。
【0023】
図2を参照してメール配送サーバ1について更に説明する。メール配送サーバ1は、メール受信処理部11、メールURL抽出部12、メールURL通知部13、メール格納処理部14を備える。
【0024】
メール受信処理部11は、SMTP(Simple Mail Transfer Protocol)プロトコルに従ってメールを受け取る。受け取ったメールと、その時に使ったSMTPプロトコルのコマンド情報(MAIL FROMコマンドやRCPT TOコマンドの内容)は、一時的にメール配送サーバ1内に保持され、以降の処理で参照される。
【0025】
メールURL抽出部12はメールの内容を走査する。また、メール本体をはじめとするメールデータからURLを抽出する。一般に、メールの内容はRFC(Request For Comments)822等の規約で定められた書式に従って記載されている。メールからURLを抽出するため、メールURL抽出部12はこの書式の解析を行う。その上で、メールURL抽出部12は、所定のURL文字列の書式に基づいてURL文字列を見つける。URL文字列の書式はRFC3986等に定められている。
【0026】
メールURL通知部13はメールURL抽出部12が出力したURLを脅威検出装置8に送出する。送出処理の完了後、メールURL通知部13はメール格納処理部14での処理に遷移する。
【0027】
メール格納処理部14は、メール受信処理部11、メールURL抽出部12、メールURL通知部13での処理が終わったメールを、メール格納サーバ2に転送する。
【0028】
メール格納サーバ2は、メールの宛先であるメール表示装置6からの要求に応答して、そのメール表示装置6(或いはそのメール表示装置6のユーザ)を宛先とするメールの内容や、メールの一覧を送信する。また、この転送に備えて、メール格納処理部14から受け取ったメールを格納する記憶装置を備える。
【0029】
組織内ネットワーク4には、複数のメール表示装置6が存在する。また、組織内ネットワーク4内にはウェブブラウザを実行する不図示の端末が存在してもよい。これらメール表示装置及びウェブブラウザ端末は、ウェブプロキシサーバ3に対し、URLを指定してリソースを要求する。URLは組織外ネットワーク5上のリソースを特定するための文字列である。ウェブプロキシサーバ3は、要求において指定されたURLから、ウェブページ等のリソースを取得する機能を有する。また、取得したリソースを、要求元のメール表示装置6、ウェブブラウザに対して転送する機能を有する。
【0030】
図2を参照してウェブプロキシサーバ3について更に説明する。ウェブプロキシサーバ3は、脅威URL一覧7Aに記載のURLによって特定されるリソースへのアクセスを制限する。ウェブプロキシサーバ3によるアクセス制限の対象となるのは、メール表示装置6に代表される、組織内ネットワーク4の各種クライアントである。尚、脅威検出装置8はウェブプロキシサーバ3によるアクセス制限の対象外である。ウェブプロキシサーバ3はリクエスト受信部31、リクエスト解析部32及びリクエスト発行部33を備える。
【0031】
リクエスト受信部31は、メール表示装置6やウェブブラウザからの要求を受け取って、移行の処理に必要なデータを、リクエスト解析部32に渡す。メール表示装置6やウェブブラウザからの要求とは、いわゆるHTTP(Hypertext Transport Protocol)やHTTPS(Hypertext Transport Protocol Secure)等のプロトコルに沿って発行されたリクエストである。
【0032】
リクエスト解析部32はリクエスト受信部31からURLを受け取る。リクエスト解析部32はそのURLが脅威URL一覧7Aに含まれているか否かを判定する。そのURLが脅威URL一覧7Aに含まれている場合、リクエスト解析部32は、そのURLの要求元であるメール表示装置6やウェブブラウザに対してエラー応答を返信する。他方、そのURLが脅威URL一覧7Aに含まれていない場合、リクエスト解析部32はそのURLを含む必要なデータをリクエスト発行部33に渡す。
【0033】
リクエスト発行部33は、組織内ネットワーク4及び組織外ネットワーク5を介して、リクエスト解析部32から受け取ったURLが示すリソースを取得する。また、リクエスト発行部33は、取得したリソースをその要求元であるメール表示装置6やウェブブラウザに転送する。
【0034】
組織内ネットワーク4は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7及び脅威検出装置8を相互に接続するデータ通信ネットワークである。組織内ネットワーク4は組織外ネットワーク5に接続されている。組織内ネットワーク4から組織外ネットワーク5へのアクセスは、特定のサーバや要求元からのみアクセスできるように制御されている。
【0035】
組織外ネットワーク5は、組織内ネットワーク4の外部のデータ通信ネットワークであり、例えばインターネットである。
【0036】
メール表示装置6はウェブページを表示可能なメールクライアントである。ここでは、メール表示装置6は特にメールの宛先となる端末として動作する。通常、組織内ネットワーク4には複数のメール表示装置6が接続されるが、本発明ではどのメール表示装置6も同じ動作をする。このため、図1では、組織内ネットワーク4にメール表示装置6を1台だけ図示している。
【0037】
メール表示装置6は液晶表示装置、CRT(Cathode Ray Tube)等の表示装置を備える情報処理装置である。メール表示装置6として動作する情報処理装置のハードウェアの種類は問わない。例えば、メール表示装置6は、デスクトップコンピュータ、ラップトップコンピュータ、ワークステーション、タブレット、スマートフォン等であってもよい。
【0038】
また、メール表示装置6は、これらのハードウェアの上で専用のメールクライアントプログラムを動作させるものであってもよいし、ウェブブラウザを動作させてウェブメールのメールクライアントとして動作させてもよい。専用のメールクライアントプログラムを動作させる場合、そのメールクライアントプログラム自体がウェブページを表示する機能を有することとしてもよい。或いは、メールクライアントプログラムが、そのメールクライアントプログラムとは別のウェブブラウザプログラムを呼び出してウェブページを表示することとしてもよい。
【0039】
メール表示装置6は、メール格納サーバ2から情報を取得して、メールの一覧や、メールの内容を表示する機能を有する。また、メール表示装置6は、表示したメールに対する操作者の操作に応じて、ウェブプロキシサーバ3に対して要求を発行し、その内容を表示する機能を有する。例えば、表示したメールの中にURLが記載されていて、操作者がそのURLをマウス等のポインティングデバイスにてクリックしたときに、メール表示装置6は、そのURLが示すリソースをウェブプロキシサーバに対して要求する。
【0040】
リスト記憶装置7は脅威URL一覧7Aを記憶する記憶装置である。脅威URL一覧7Aは、受信したメールに含まれていたURLのリストである。URLはネットワーク上のリソースを一意に特定可能な識別子である。脅威URL一覧7Aに含まれるURLは識別子全体を記録するのではなく、運用設計に基づいて前方の一部を記録し、例えばコンピュータホスト名部分までのみとして、前方一致するか否かで該当するかどうかを判断する方式としてもよい。リスト記憶装置7は、例えば所謂NAS(Network Attached Storage)のように、組織内ネットワーク4に接続するためのネットワークインタフェースを備える記憶装置であってもよい。或いは、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3の記憶装置の一部領域を、リスト記憶装置7として用いることとしてもよい。
【0041】
リスト記憶装置7が脅威URL一覧7Aを格納する方式は特に問わない。例えば、単なるテキストファイルとして記憶することとしてもよいし、RDBMS(Relational Database Management System)などのデータベースサーバを用いて記憶することとしてもよい。
【0042】
脅威URL一覧7Aは、アクセスすることにより攻撃を受ける恐れがあるURLのリストであり、ブラックリストと呼ばれることもある。本実施形態では、脅威検出装置8が脅威URL一覧7Aを生成、更新する。また、ウェブプロキシサーバ3が脅威URL一覧7Aを参照する。
【0043】
脅威検出装置8は、入力されたURLが脅威であるか否かを判定し、判定結果に応じて脅威URL一覧7Aを更新する装置である。脅威検出装置8は、検出前脅威一覧更新処理部81、脅威検出部82、検出後脅威一覧更新処理部83を備える。
【0044】
検出前脅威一覧更新処理部81は、メールURL通知部13から通知されたURLを、リスト記憶装置7の脅威URL一覧7Aに追加する。脅威URL一覧7AへのURLの追加は、脅威検出部82がそのURLを判定するのに先立って行われることが好ましく、遅くとも、この判定の完了前に行われる。また、検出前脅威一覧更新処理部81は、通知されたURLを脅威検出部82に渡す。
【0045】
脅威検出部82は検出前脅威一覧更新処理部81から受け取ったURLによって特定されるリソースに実際に脅威があるか否かを判定(脅威検出)する処理を行う。脅威検出処理の方式には様々なものがあり、どのような方式であってもよいが、特に、所要時間が長くても検出精度が高い方式が適している。脅威検出の結果、そのURLに脅威を検出しなかった場合、脅威検出部82はその旨を検出後脅威一覧更新処理部83に通知する。
【0046】
脅威検出部82の脅威検出方式として好適な方式としては振る舞い検知方式がある。振る舞い検知方式は、ビヘイビア法、ダイナミックヒューリスティック法等とも呼ばれる方式である。振る舞い検知方式では、仮想的な実行環境を用意して判定対象となるURLにアクセスし、異常な行動を起こさないか調べる。この場合、脅威検出部82は、メール表示装置6を仮想化した装置を含む構成とする。この仮想化装置によって判定対象となるURLにアクセスし、その後の仮想化装置の振る舞いを観察して、異常な行動をするか否かを判定する。
【0047】
検出後脅威一覧更新処理部83は、脅威検出部82での脅威検出の結果に応じて、リスト記憶装置7の脅威URL一覧7Aを更新する。脅威検出の結果、そのURLに脅威がないと脅威検出部82が判定した場合、検出後脅威一覧更新処理部83は、リスト記憶装置7にアクセスし、脅威URL一覧7AからそのURLを削除する。
【0048】
【0049】
組織外ネットワーク5から組織内ネットワーク4にメールMが届く。ここで、メールMにはURLが記載されているものとし、その値をURL_Xとする。また、メールMの宛先をメール表示装置6の操作者とする。
【0050】
メール配送装置1のメール受信処理部11がメールMを受信して、メール配送装置1の内部にメールMのデータを一時的に蓄積する(ステップS1)。次に、メールURL抽出部12はメールMからURL_Xを抽出する(ステップS2)。次に、メールURL通知部13は、脅威検出装置8の検出前脅威一覧更新処理部81及びメール格納処理部14にURL_Xを渡す(ステップS3)。
【0051】
脅威検出装置8の検出前脅威一覧更新処理部81はURL_Xを脅威URL一覧7Aに追加する(ステップS4)。以後、ウェブプロキシサーバ3は、URL_Xが追加された脅威一覧URL一覧7Aに基づいて、組織内ネットワーク4内のメール表示装置6、ブラウザ端末その他によるURL_Xへのアクセスを禁止する。つまり、ウェブプロキシサーバ3は、URL_Xへのアクセス制限を開始する。脅威URL一覧7Aの一例として脅威URL一覧7A1を図4に示す。脅威URL一覧7A1は、左から順に、項番、URL、登録日時を格納する欄を有するテーブルである。
【0052】
また、検出前脅威一覧更新処理部81はURL_Xを脅威検出部82に通知する。通知を受けて、脅威検出部82はURL_Xを対象とした脅威検出処理を開始する(ステップS5)。言い換えると、ウェブプロキシサーバ3がURL_Xへのアクセス制限を開始するのとほぼ同時に、脅威検出部82は、URL_Xの脅威検出処理を開始する。
【0053】
この時点でURL_Xへのアクセス制限を実行しているものの、URL_Xが実際に脅威であるか否かの判定は未定である。本発明では、メールから抽出したURLについての脅威検出の結果を待たずに、そのURLへのアクセス制限を開始し、脅威なしの結果が出た後でアクセス制限を解除する。
【0054】
脅威検出部82がURL_Xの脅威検出処理を完了し、脅威がないとの判定結果を得た場合、脅威検出部82はその旨を検出後脅威一覧更新処理部83に通知する(ステップS6)。この通知を受けて、検出後脅威一覧更新処理部83は、リスト記憶装置7にアクセスし、脅威URL一覧7AからURL_Xを削除する。一方、脅威検出処理の結果が脅威ありの場合は何もしない。
【0055】
ステップS3に戻り、メールURL通知部13からURL_Xを通知されたメール格納処理部14は、ステップS1にて一時的に蓄積したメールMをメール格納サーバ2に転送する(ステップS7)。
【0056】
次に、メール格納サーバ2がメールMを格納した後のメール表示装置6とウェブプロキシサーバ3の動作について説明する。図5において、ステップS11、S12、S16はメール表示装置6の動作である。また、ステップS13、S14、S15、S17はウェブプロキシサーバ3の動作である。
【0057】
メール表示装置6の操作者は任意のタイミングでメール格納サーバ2からメールMを受信、表示する(ステップS11)。このとき、メール表示装置6は、メール格納サーバ2に対し、当該メール表示装置6或いは当該メール表示装置6の操作者を宛先とするメールMの転送をメール格納サーバ2に要求し、メール格納サーバ2は、この要求に応答してメールMを当該メール表示装置6に転送する。
【0058】
操作者がメールMに記載されたURL_Xを、例えばマウス等のポインティングデバイスでクリックし、URL_Xが示す組織外ネットワーク5上のリソース、即ち、外部情報の取得を試みる。このとき、メール表示装置6は、リクエスト受信部31にURL_Xへのアクセス要求を送信する(ステップS12)。
【0059】
リクエスト受信部31は、アクセス要求からURL_Xを抽出して、抽出されたURL_Xをウェブプロキシサーバ3のリクエスト解析部32に渡す。リクエスト解析部32はURL_Xが脅威URL一覧7Aに含まれているか否かを判定する(ステップS13、S14)。
【0060】
まず、URL_Xが脅威URL一覧7Aに登録されていない場合について説明する。これは、上述のステップS4において、脅威URL一覧7AにURL_Xを一度登録したものの、その後、ステップS5の脅威検出において脅威なしと判定し、ステップS6にて脅威URL一覧7AからURL_Xを削除した場合である。
【0061】
この場合、リクエスト解析部32はURL_Xへのアクセスに必要なデータをリクエスト発行部33に渡す。リクエスト発行部33は組織内ネットワーク4、組織外ネットワーク5を介してURL_Xが示すリソースを取得する(ステップS15)。リクエスト発行部33はアクセス要求の要求元であるメール表示装置6に取得した外部情報を転送する。メール表示装置6は、転送された外部情報を表示する(ステップS16)。
【0062】
次に、URL_Xが脅威URL一覧7Aに登録されている場合について説明する。これは、上述のステップS4において、脅威URL一覧7AにURL_Xが登録された後、ステップS5の脅威検出において脅威ありとの判定が出て、ステップS6にて脅威URL一覧7Aから削除されなかった場合である。或いは、ステップS5の脅威検出がまだ完了していない場合である。
【0063】
この場合、リクエスト解析部32はメール表示装置6からのアクセス要求に対して、取得エラーを返す(ステップS17)。この場合、メール表示装置6は操作者に対して取得エラーを表示し、URL_Xが示す外部情報の表示を行わない。
【0064】
本実施形態では、メールMの宛先人が操作者であるメール表示装置6におけるアクセス制限に関して説明した。組織内ネットワーク4内のウェブブラウザ端末はすべて、ウェブプロキシサーバ3を介して組織外ネットワーク5のウェブページにアクセスする。このため、メール表示装置6以外のウェブブラウザ端末等であってもステップS12以後の動作は同様である。
【0065】
このように、本実施形態では、メールURL抽出部12を用いてメールからURLを抽出(ステップS2)した後、脅威検出装置8を用いて当該URLの判定を開始する(ステップS5)のと並行してまたは前後して、メール格納サーバ2に当該メールを格納する(ステップS7)。言い換えると、組織内ネットワーク4にURLを含むメールが届くと、そのURLが実際に脅威であるか否かに関わらず、ウェブプロキシサーバ3にてそのURLへのアクセス制限を開始する。その一方で、そのメールをメール格納サーバ2に転送することにより、そのメールの配信処理を進める。更に、脅威検出装置8によってそのURLの脅威検出を並行して開始する。脅威検出が完了し、脅威がないと確認した後、そのURLへのアクセス制限を解除する。
【0066】
このため、本実施の形態によれば、脅威検出の実行に起因するメール配信の遅延を回避しつつ、脅威の恐れがあるURLに対するアクセスを予防的に制限し、安全が確認されたURLについてはアクセスを許可するので、利便性と安全性の両立を図ることができる。
【0067】
(第2実施形態)
図6は本発明の第2の実施の形態に係るアクセス制限システム200である。アクセス制限システム200は、図2に示されたアクセス制限システム100にもう一つの脅威検出装置9を追加したものである。この関係で、図2と対応する図6の部分には、図2と同じ参照番号が付されている。即ち、アクセス制限システム200は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、及び2つの脅威検出装置8、9を備える。ここでは、脅威検出装置8、9を順に第1及び第2の脅威検出装置とも呼ぶ。
図6は本発明の第2の実施の形態に係るアクセス制限システム200である。アクセス制限システム200は、図2に示されたアクセス制限システム100にもう一つの脅威検出装置9を追加したものである。この関係で、図2と対応する図6の部分には、図2と同じ参照番号が付されている。即ち、アクセス制限システム200は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、及び2つの脅威検出装置8、9を備える。ここでは、脅威検出装置8、9を順に第1及び第2の脅威検出装置とも呼ぶ。
【0068】
第2の脅威検出装置9は第1の脅威検出装置8と同様に、一乃至複数のCPUと、LANカード等のネットワークインタフェース装置を備えるコンピュータである。図6に示すように、脅威検出装置8及び9は、メール配送サーバ1及びリスト記憶装置7に対して互いに並列に接続されている。第1の脅威検出装置8と同様に、第2の脅威検出装置9は、入力されたURLが脅威であるか否かを判定し、判定結果に応じて脅威URL一覧7Aを更新する装置である。図6では記載を省略しているが、第2の脅威検出装置9も、第1の脅威検出装置8と同様、検出前脅威一覧更新処理部91、脅威検出部92、検出後脅威一覧更新処理部93を備える。各機能ブロックの動作は、脅威検出装置8の対応する機能ブロックと同様である。ただし、脅威検出部92の脅威検出方式は、脅威検出装置8の脅威検出部82のものとは異なる。異なる脅威検出方式であればどのようなものであってもよいが、検出の原理、精度、所要時間が異なるものであることが好ましい。
【0069】
また、アクセス制限システム200では、リスト記憶装置7に格納するテーブルの構造が異なる。本システムでは、リスト記憶装置7に図7のような脅威URL一覧7A2のような構造のテーブルを格納する。脅威URL一覧7A2は、項番、URL、登録日時に加えて、安全と判断された回数を格納する点で脅威URL一覧7A1と異なる。
【0070】
また、図2のアクセス制限システム100では、脅威検出部82があるURLを脅威なしと判定したとき、検出後脅威一覧更新処理部82は、そのURLを脅威URL一覧7Aから削除した。
【0071】
これに対して、本システムでは、第1及び第2の脅威検出装置8、9のそれぞれにおいて、あるURLが脅威ありかなしかを独自に判定する。第1及び第2の脅威検出装置8、9が脅威なしと判定した回数を脅威URL一覧に記録する。記録した回数が2回になったとき、そのURLには脅威がないと判定し、そのURLを脅威URL一覧から削除する。
【0072】
図8を参照してアクセス制限システム200の動作を説明する。ステップS21、S22はそれぞれ上述のステップS1、S2と同様である。
【0073】
ステップS3では、メールURL通知部13は検出前脅威一覧更新処理部81にURLを通知した。これに対して、ステップS23では、メールURL通知部13は検出前脅威一覧更新処理部81及び検出前脅威一覧更新処理部91にURLを通知する。
【0074】
第1の脅威検出装置8は次のように動作する。検出前脅威一覧更新処理部81は、URLを脅威URL一覧7A2に登録する際、そのURLと同じ行の「安全と判断された回数」欄にゼロを格納する(ステップS24A)。次に、脅威検出部82があるURLについて脅威の有無を判定する(ステップS25A)。次に、検出後脅威一覧更新処理部83は、脅威検出部82の判定結果と、そのURLの「安全と判断された回数」に応じて脅威URL一覧7A2を更新する(ステップS26A)。判定結果が脅威ありの場合、検出後脅威一覧更新処理部83は何もしない。判定結果が脅威なしの場合、検出後脅威一覧更新処理部83は、そのURLの「安全と判断された回数」欄の値に1を加算する。そして、加算後の値が2の場合、そのURLの行を脅威URL一覧7A2から削除する。
【0075】
第2の脅威検出装置9の動作であるステップS24B、S25B、S26Bは、上述の第1の脅威検出装置8のステップS24A、S25A、S26Aの動作において、検出前脅威一覧更新処理部81、脅威検出部82、検出後脅威一覧更新処理部83を、それぞれ、検出前脅威一覧更新処理部91、脅威検出部92、検出後脅威一覧更新処理部93と読み替えたものである。ただし、上述のように、脅威検出部82と脅威検出部92は、脅威検出の方式が互いに異なるものとする。
【0076】
本実施形態によれば、先に説明した第1実施形態の効果に加えて、複数の脅威検出方式によって脅威がないと確認したURLに限ってアクセス制限を解除するので、安全性を更に高めることができる。
【0077】
(変形)
本発明は上述の第1及び第2実施形態に限定されるものではなく、様々な変形が可能である。
本発明は上述の第1及び第2実施形態に限定されるものではなく、様々な変形が可能である。
【0078】
例えば、アクセス制限システム100、200は組織内ネットワーク4内の複数のノード装置を組み合わせて構成した。しかし、本発明はこれに限定されるものではない。説明の都合上、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7、脅威検出装置8、9を別々の装置として説明したが、これらの装置のいくつかを適宜組み合わせて単体の装置として構築可能であることは当業者であれば理解できるであろう。
【0079】
また、アクセス制限システム200は2つの脅威検出装置8、9を備えるものとして説明したが、3つ以上の脅威検出装置を備えることとしてもよい。3つ以上の脅威検出装置は、それぞれが異なる脅威検出方式に従って脅威検出を行うことが好ましいが、少なくとも2種類の脅威検出方式を含む、言い換えれば、脅威検出方式が互いに異なるものが含まれればよい。
【0080】
また、上述の実施形態では、アクセス制限の手法として、脅威ありと判定したURLへのアクセスを禁止した。アクセスを禁止する代わりに、或いは、アクセスの禁止と共に、ウェブプロキシサーバ3は、脅威ありと判定したURLへのアクセス要求に対して、メール表示装置6に警告メッセージを表示させることとしてもよい。
【0081】
また、上述の実施形態では、脅威検出部82、92において脅威を検出する際に用いる脅威検出方式の例として、振る舞い検知方式を挙げて説明したが、本発明はこれに限定されるものではない。検出精度は高いが、複雑な演算処理を含むために処理時間は長いような脅威検出方式は、どのような方式であっても脅威検出部82、92が行う脅威検出方式として好適である。また、脅威検出部82、92は、本発明の通信システムの外部のシステムや装置と連動して脅威検出を行うものであってもよい。この場合、外部のシステムや装置による処理時間が発生するが、本発明によれば、この種の処理時間によるメールの配送遅延は発生しない。
【0082】
また、上述の実施形態では、脅威検出装置8、9を組織内ネットワーク4の中に設けているが、組織外ネットワーク5に設けることとしてもよい。特に、第2実施形態では、脅威検出装置8、9を両方とも組織内ネットワーク4の中に設けているが、一方を組織内ネットワーク4内に設け、他方を組織外ネットワーク5に設けることとしてもよい。例えば、第1の脅威検出装置8を自社の組織内ネットワーク4に設けると共に、他社がインターネット上で提供する脅威検出サービスを第2の脅威検出装置9として用いることが考えられる。
【0083】
また、第2実施形態では、2つの脅威検出装置を設けたが、3つ以上の脅威検出装置を設けることとしてもよい。この場合、全ての脅威検出装置が脅威なしと判定するURLに限って、脅威URL一覧から削除することとしてもよい。或いは、複数の脅威検出装置の少なくともひとつがURLを脅威ありと判定している間は、そのURLを脅威URL一覧に記載しておき、ウェブプロキシサーバ3で当該URLへのアクセスを制限することとしてもよい。或いは、例えば3つの脅威検出装置のうちの2つがURLを脅威なしと判定したとき、そのURLを脅威URL一覧から削除して、ウェブプロキシサーバ3によるそのURLへのアクセス制限を解除することとしてもよい。
【0084】
また、上述の実施形態では、メールに含まれるURLへのアクセスを制限するものとして説明したが、メールではなく所謂インスタントメッセージにも本発明を適用可能であることは当業者には明らかであろう。このため、本願では、メール、インスタントメッセージ等、データ通信ネットワークを介して指定した宛先に送信されるテキスト、画像、動画等を総称してメッセージと呼ぶものとする。
【0085】
また、上述の実施形態では、URLによって特定されたリソースに関して説明したが、本発明はこれに限定されるものではなく、例えば、IPアドレスのように、ネットワーク上のリソースを特定可能な識別子であれば、本発明を同様に適用することができる。
【0086】
上記の実施形態の一部又は全部は以下の付記のようにも記載されうるが、以下には限られない。
【0087】
(付記1)
受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースをアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、
ユーザによる前記メッセージに対する操作に基づき前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、当該リソースへのアクセスを制限する制限手段と、
を備える通信システム。
受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースをアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、
ユーザによる前記メッセージに対する操作に基づき前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、当該リソースへのアクセスを制限する制限手段と、
を備える通信システム。
【0088】
(付記2)
前記制限手段は、
前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該リソースへのアクセスを制限する、付記1に記載の通信システム。
前記制限手段は、
前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該リソースへのアクセスを制限する、付記1に記載の通信システム。
【0089】
(付記3)
前記制限とは、
当該アクセス要求の要求元に対し、アクセスを禁止する、付記1または付記2に記載の通信システム。
前記制限とは、
当該アクセス要求の要求元に対し、アクセスを禁止する、付記1または付記2に記載の通信システム。
【0090】
(付記4)
前記制限とは、
当該アクセス要求の要求元に対し、警告を表示する、付記1~3のいずれかに記載の通信システム。
前記制限とは、
当該アクセス要求の要求元に対し、警告を表示する、付記1~3のいずれかに記載の通信システム。
【0091】
(付記5)
当該アクセス要求の要求元に対し、エラーメッセージを送信する送信手段を更に備える、付記1~3のいずれかに記載の通信システム。
当該アクセス要求の要求元に対し、エラーメッセージを送信する送信手段を更に備える、付記1~3のいずれかに記載の通信システム。
【0092】
(付記6)
検出前脅威一覧更新処理手段が、受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースをアクセス制限の対象に追加し、
脅威検出手段が、前記リソースに脅威があるか否かを判定する、脅威検出判定を実行し、
制限手段が、ユーザによる前記メッセージに対する操作に基づき前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、当該リソースへのアクセスを制限する、
通信方法。
検出前脅威一覧更新処理手段が、受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースをアクセス制限の対象に追加し、
脅威検出手段が、前記リソースに脅威があるか否かを判定する、脅威検出判定を実行し、
制限手段が、ユーザによる前記メッセージに対する操作に基づき前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、当該リソースへのアクセスを制限する、
通信方法。
【0093】
(付記7)
前記制限手段は、前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該リソースへのアクセスを制限する、付記6に記載の通信方法。
前記制限手段は、前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該リソースへのアクセスを制限する、付記6に記載の通信方法。
【0094】
(付記8)
前記制限とは、
当該アクセス要求の要求元に対し、アクセスを禁止する、付記6または付記7に記載の通信方法。
前記制限とは、
当該アクセス要求の要求元に対し、アクセスを禁止する、付記6または付記7に記載の通信方法。
【0095】
(付記9)
前記制限とは、
当該アクセス要求の要求元に対し、警告を表示する、付記6~8のいずれかに記載の通信方法。
前記制限とは、
当該アクセス要求の要求元に対し、警告を表示する、付記6~8のいずれかに記載の通信方法。
【0096】
(付記10)
送信手段が、当該アクセス要求の要求元に対し、エラーメッセージを送信する、付記6~8のいずれかに記載の通信方法。
送信手段が、当該アクセス要求の要求元に対し、エラーメッセージを送信する、付記6~8のいずれかに記載の通信方法。
【0097】
(付記11)
受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースをアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、
ユーザによる前記メッセージに対する操作に基づき前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、当該リソースへのアクセスを制限する制限手段と
してコンピュータを機能させるためのプログラム。
受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースをアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、
ユーザによる前記メッセージに対する操作に基づき前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、当該リソースへのアクセスを制限する制限手段と
してコンピュータを機能させるためのプログラム。
【0098】
(付記12)
前記制限手段は、
前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該リソースへのアクセスを制限する、付記11に記載のプログラム。
前記制限手段は、
前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該リソースへのアクセスを制限する、付記11に記載のプログラム。
【0099】
(付記13)
前記制限とは、
当該アクセス要求の要求元に対し、アクセスを禁止する、付記11または付記12に記載のプログラム。
前記制限とは、
当該アクセス要求の要求元に対し、アクセスを禁止する、付記11または付記12に記載のプログラム。
【0100】
(付記14)
前記制限とは、
当該アクセス要求の要求元に対し、警告を表示する、付記11~13のいずれかに記載のプログラム。
前記制限とは、
当該アクセス要求の要求元に対し、警告を表示する、付記11~13のいずれかに記載のプログラム。
【0101】
(付記15)
当該アクセス要求の要求元に対し、エラーメッセージを送信する送信手段として前記コンピュータを更に機能させる、付記11~13のいずれかに記載のプログラム。
当該アクセス要求の要求元に対し、エラーメッセージを送信する送信手段として前記コンピュータを更に機能させる、付記11~13のいずれかに記載のプログラム。
【符号の説明】
【0102】
1 メール配送サーバ
2 メール格納サーバ
3 ウェブプロキシサーバ
4 組織内ネットワーク
5 組織外ネットワーク
6 メール表示装置
7 リスト記憶装置
7A、7A1、7A2 脅威URL一覧
8、9 脅威検出装置
11 メール受信処理部
12 メールURL抽出部
13 メールURL通知部
14 メール格納処理部
31 リクエスト受信部
32 リクエスト解析部
33 リクエスト発行部
100、200 アクセス制限システム
2 メール格納サーバ
3 ウェブプロキシサーバ
4 組織内ネットワーク
5 組織外ネットワーク
6 メール表示装置
7 リスト記憶装置
7A、7A1、7A2 脅威URL一覧
8、9 脅威検出装置
11 メール受信処理部
12 メールURL抽出部
13 メールURL通知部
14 メール格納処理部
31 リクエスト受信部
32 リクエスト解析部
33 リクエスト発行部
100、200 アクセス制限システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】