IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > KIWONTECH CO., LTD.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社ギウォンテクの特許一覧

特表2024-532043電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法
<>
  • 特表-電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法 図1
  • 特表-電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法 図2
  • 特表-電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法 図3
  • 特表-電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法 図4
  • 特表-電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法 図5
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-05
(54)【発明の名称】電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20240829BHJP
   H04L 43/08 20220101ALI20240829BHJP
   H04L 67/564 20220101ALI20240829BHJP
   H04L 67/141 20220101ALI20240829BHJP
   H04L 51/212 20220101ALI20240829BHJP
【FI】
G06F21/55
H04L43/08
H04L67/564
H04L67/141
H04L51/212
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023578197
(86)(22)【出願日】2023-07-19
(85)【翻訳文提出日】2023-12-19
(86)【国際出願番号】 KR2023010365
(87)【国際公開番号】W WO2024019506
(87)【国際公開日】2024-01-25
(31)【優先権主張番号】10-2022-0091025
(32)【優先日】2022-07-22
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH CO., LTD.
【住所又は居所原語表記】509-Ho,53,Digital-ro 31-gil,Guro-gu,Seoul,Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(57)【要約】
本発明の実施形態に係る方法は、メール接続セキュリティシステムのセキュリティ網を構成し、受信メールに対応するセキュリティ脅威の検査を行うセキュリティ脅威検査部及び前記セキュリティ脅威の検査が完了したメールを前記セキュリティ網の内部のメールサーバーに転送するメール処理部を備えたメールセキュリティ装置の動作方法において、前記メールセキュリティ装置が、前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信するステップと、前記メールセキュリティ装置が、前記セキュリティ脅威検査部及び前記メール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得するステップと、前記メールセキュリティ装置において、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定するステップと、前記メールセキュリティ装置において、前記決定された接続の遮断有無に応じて、前記メールサーバー接続リクエスト情報の前記メールサーバーへの転送を遮断するステップと、を含む。
【特許請求の範囲】
【請求項1】
メール接続セキュリティシステムのセキュリティ網を構成し、受信メールに対応するセキュリティ脅威の検査を行うセキュリティ脅威検査部及び前記セキュリティ脅威の検査が完了したメールを前記セキュリティ網の内部のメールサーバーに転送するメール処理部を備えたメールセキュリティ装置の動作方法において、
前記メールセキュリティ装置が、前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信するステップと、
前記メールセキュリティ装置が、前記セキュリティ脅威検査部及び前記メール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得するステップと、
前記メールセキュリティ装置において、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定するステップと、
前記メールセキュリティ装置において、前記決定された接続の遮断有無に応じて、前記メールサーバー接続リクエスト情報の前記メールサーバーへの転送を遮断するステップと、
を含む、メールセキュリティ装置の動作方法。
【請求項2】
前記メールサーバー接続リクエスト情報は、
通信プロトコルが、トランスポートレイヤーセキュリティ(TLS)プロトコルをベースとして暗号化したメールエンジン用の通信プロトコルから構成されたことを特徴とする、請求項1に記載のメールセキュリティ装置の動作方法。
【請求項3】
前記メールエンジン用の通信プロトコルは、簡易メール転送プロトコル(SMTP:Simple Mail Trasnfer Protococl)標準プロトコル、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)標準プロトコル、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)標準プロトコル、メッセージングアプリケーションプログラミングインタフェース(MAPI:Messageing Application Programming Interface)標準プロトコルのうちの少なくとも一つを含む、請求項2に記載のメールセキュリティ装置の動作方法。
【請求項4】
前記一つ以上の細部接続情報は、メールユーザー識別情報、暗号化したメールユーザー暗号情報、機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含む、請求項1に記載のメールセキュリティ装置の動作方法。
【請求項5】
前記接続の遮断有無を決定するステップは、
前記メールユーザー識別情報に対応して予め構成された遮断ポリシー情報と、前記機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つとがマッチングされる場合に前記接続の遮断有無を遮断として決定するステップを含む、請求項4に記載のメールセキュリティ装置の動作方法。
【請求項6】
前記遮断ポリシー情報は、前記メールユーザー識別情報に対応して予め収集された活動情報の学習データに基づいて可変的に構成される学習ベースの遮断ポリシー情報を含み、
前記活動情報は、前記メールユーザー識別情報に対応する機器識別情報、接続IP情報、接続位置情報、接続時間情報、メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含む、請求項5に記載のメールセキュリティ装置の動作方法。
【請求項7】
前記接続の遮断有無を決定するステップは、
前記メールユーザー識別情報に対応して予め設定されたメールエンジン用の通信プロトコル識別情報と、前記メールエンジン用の通信プロトコル識別情報とが互いに異なる場合、前記メールユーザー識別情報に対応して予め設定されたユーザー端末に前記メールサーバー接続リクエスト情報の遮断有無を問い合わせするステップと、
前記問い合わせに対応して前記ユーザー端末から受信される応答データに基づいて、前記接続の遮断有無を遮断として決定するステップと、
を含む、請求項4に記載のメールセキュリティ装置の動作方法。
【請求項8】
前記接続の遮断有無の決定に応じて遮断されていない前記メールサーバー接続リクエスト情報に基づいて、前記メールユーザー識別情報及び前記暗号化したメールユーザー暗号情報を含む認証問い合わせ情報をメールサーバーに転送するステップと、
前記認証問い合わせ情報に対応する前記メールサーバーの認証応答に応じて、前記メールサーバー接続リクエスト情報を前記メールサーバーに転送するステップと、
を含む、請求項4に記載のメールセキュリティ装置の動作方法。
【請求項9】
前記メールサーバーから、前記メールサーバー接続リクエスト情報に対応するメールサーバー接続応答情報を取得するステップと、
前記メールサーバー接続応答情報を前記外部メール接続装置に伝送するステップと、
を含む、請求項8に記載のメールセキュリティ装置の動作方法。
【請求項10】
メール接続セキュリティシステムのセキュリティ網を構成し、受信メールに対応するセキュリティ脅威の検査を行うセキュリティ脅威検査部及び前記セキュリティ脅威の検査が完了したメールを前記セキュリティ網の内部のメールサーバーに転送するメール処理部を備えたメールセキュリティ装置において、
前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信する通信部と、
前記セキュリティ脅威検査部及び前記メール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得するメールサーバー接続リクエスト情報処理部と、
前記メールセキュリティ装置において、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定する遮断有無決定部と、
前記メールセキュリティ装置において、前記決定された接続の遮断有無に応じて、前記メールサーバー接続リクエスト情報の前記メールサーバーへの転送を遮断する接続遮断処理部と、
を備える、メールセキュリティ装置。
【請求項11】
前記メールサーバー接続リクエスト情報は、
通信プロトコルが、トランスポートレイヤーセキュリティ(TLS)プロトコルをベースとして暗号化したメールエンジン用の通信プロトコルから構成されたことを特徴とする、請求項10に記載のメールセキュリティ装置。
【請求項12】
前記メールエンジン用の通信プロトコルは、簡易メール転送プロトコル(SMTP:Simple Mail Trasnfer Protococl)標準プロトコル、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)標準プロトコル、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)標準プロトコル、メッセージングアプリケーションプログラミングインタフェース(MAPI:Messageing Application Programming Interface)標準プロトコルのうちの少なくとも一つを含む、請求項11に記載のメールセキュリティ装置。
【請求項13】
前記一つ以上の細部接続情報は、メールユーザー識別情報、暗号化したメールユーザー暗号情報、機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含む、請求項10に記載の
メールセキュリティ装置。
【請求項14】
前記接続遮断処理部は、
前記メールユーザー識別情報に対応して予め構成された遮断ポリシー情報と、前記機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つとがマッチングされる場合に前記接続の遮断有無を遮断として決定する、請求項13に記載のメールセキュリティ装置。
【請求項15】
前記遮断ポリシー情報は、前記メールユーザー識別情報に対応して予め収集された活動情報の学習データに基づいて可変的に構成される学習ベースの遮断ポリシー情報を含み、
前記活動情報は、前記メールユーザー識別情報に対応する機器識別情報、接続IP情報、接続位置情報、接続時間情報、メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含む、請求項14に記載のメールセキュリティ装置。
【請求項16】
前記接続遮断処理部は、
前記メールユーザー識別情報に対応して予め設定されたメールエンジン用の通信プロトコル識別情報と、前記メールエンジン用の通信プロトコル識別情報と、が互いに異なる場合、前記通信部を介して、前記メールユーザー識別情報に対応して予め設定されたユーザー端末に前記メールサーバー接続リクエスト情報の遮断有無を問い合わせし、前記問い合わせに対応して前記ユーザー端末から前記通信部を介して受信される応答データに基づいて、前記接続の遮断有無を遮断として決定する、請求項13に記載のメールセキュリティ装置。
【請求項17】
前記接続の遮断有無決定に応じて遮断されていない前記メールサーバー接続リクエスト情報に基づいて、前記メールユーザー識別情報及び前記暗号化したメールユーザー暗号情報を含む認証問い合わせ情報をメールサーバーに転送し、前記認証問い合わせ情報に対応する前記メールサーバーの認証応答に応じて、前記メールサーバー接続リクエスト情報を前記メールサーバーに転送する認証処理部を備える、請求項10に記載のメールセキュリティ装置。
【請求項18】
前記認証処理部は、
前記メールサーバーから、前記メールサーバー接続リクエスト情報に対応するメールサーバー接続応答情報を取得し、前記メールサーバー接続応答情報を前記外部メール接続装置に伝送する、請求項17に記載のメールセキュリティ装置。
【請求項19】
請求項1から請求項9のいずれか一項に記載の発明をコンピューターにおいて実行させるためにコンピューターにて読み取り可能な不揮発性記録媒体に記憶されるコンピュータープログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、メールセキュリティ処理装置及びその動作方法に関する。より具体的には、本発明は、電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法に関する。
【背景技術】
【0002】
今日の社会は、全世界的にコンピューターと情報通信技術の発展とあいまって、社会生活の全分野にわたってサイバー依存度が高まりつつあり、これは、ますます加速化しつつある傾向にある。近頃では、超高速、超低遅延、超接続性をもった5G移動通信が商用化レベルに至っており、これをベースとした新たなサービスが登場することに伴い、サイバーセキュリティシステムは益々その重要性が高まりつつある。
【0003】
サイバーセキュリティシステムの構築に伴い、モノのインターネット(IoT)、クラウドシステム、ビッグデータ、人工知能(AI)などの技術分野は、情報通信技術と組み合わせられて新たなサービス環境を提供している。このようなサービスを提供するシステムは、インターネット網や無線網などを介してPCまたは携帯型の端末装置などと接続されて実際の生活において使用可能である。
【0004】
特に、情報通信技術において活用されている電子メールシステムは、コンピューター端末を介して、利用者間の通信回線を用いてメッセージをやり取りできるように内容本文を含む電子郵便物サービスを提供することができる。このとき、電子メールは、共有しようとする内容を含む電子ファイルを添付することができ、あるいは、リソース接続リンク(URL:Uniform Resource Locator)を本文に記載したり添付ファイル内に埋め込んだりすることができる。
【0005】
しかしながら、最近には、電子メール及び資料の交換に対するセキュリティへの懸念が高まりつつある一方である。特に、電子メールの送受信を処理するメールサーバーがハッキングやなりすましメール、アカウント乗っ取り、個人情報の流出などによって様々な脅威に晒されることに伴い、メールサーバーに対するセキュリティの必要性は日々高まりつつある。
【0006】
これにより、現在には、メールサーバーを保護する防火壁などのセキュリティシステムを別途に構築し、メールの受信のためのメールサーバーを保護するセキュリティ網を構成して、外部からメールサーバーに受信されるデータパケットに対する基本的な脅威を途中で検出し、脅威の検出の際に報知及びフィルターリングする様々なセキュリティシステムソリューションが開発及び適用されている。
【0007】
しかしながら、メールハッキング方式もまたどんどん高度化しつつあるが、最近には、このようなセキュリティ網を迂回し、データパケットの脅威の検査だけでは検出し難いメールエンジン用の通信プロトコルに基づくメールサーバー接続プロセスを用いてメールを乗っ取ったりアカウントを乗っ取ったりすることで、悪性メールを流布する攻撃の試みが行われている。
【0008】
これは、メールサーバーそれ自体に直接的に接続可能なメールエンジン用の通信プロトコルに基づく接続プロセスを攻撃に活用するものであって、防火壁や通常のセキュリティ検査システムだけではメールエンジン用の通信プロトコルパケットの電子メールの細部内容を確認し難いというシステムの脆弱点を悪用しているのである。
【0009】
より具体的には、メールエンジン用の通信プロトコルは、メールサーバーの電子メールプロトコル専用の接続アドレスが確認されれば、メールサーバーと直接的に通信して電子メールを送受信可能な規格であって、予め設定された電子メール用の通信プロトコルであり、電子メールを解読及び暗号化処理することが可能なメールエンジンモジュールがなければ、そのデータの内容を確認することができない。これらには、電子メール標準規格に従って、簡易メール転送プロトコル(SMTP:Simple Mail Trasnfer Protococl)標準プロトコル、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)標準プロトコル、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)標準プロトコル、メッセージングアプリケーションプログラミングインタフェース(MAPI:Messageing Application Programming Interface)標準プロトコルなどが用いられている。
【0010】
このようなメールエンジン用の通信プロトコルに基づくパケットは、トランスポートレイヤーセキュリティ(TLS)プロトコルを基にして暗号化して送受信されるものであって、各メールサーバーは、このようなトランスポートレイヤーセキュリティ(TLS)プロトコルを基にして通信して電子メールデータを送受信するためのメールプロトコル専用の接続アドレス情報を有することができる。
【0011】
そして、外部メール接続装置に主としてインストールされるアウトルックプログラムや様々なメールクライアントアプリケーションは、SMTP、POP3、IMAP、MAPIといった各メールプロトコル専用の接続アドレス経路(情報)とポート情報を設定できるように構成されており、メールプロトコル専用の接続アドレス経路(情報)とポート情報が設定されれば、外部メール接続装置は、通常のセキュリティシステム上においては解読し難いメールエンジン用の通信プロトコルに基づく電子メールパケットに対するメールサーバーとの直接的な送受信が可能になる。
【0012】
ところが、防火壁やパケット内の悪性コードの検出などのみを行う現在のセキュリティシステムにおいては、このような電子メールパケットの内容を確認可能なメールエンジンモジュールが備え付けられていないため、メールエンジン用の通信プロトコルに基づくパケットの細部的な内容を確認することはできず、したがって、攻撃者が悪意的な意図をもって上記のようなメールエンジン用の通信プロトコル専用の接続アドレス宛に電子メールIDまたはパスワードを無限定に変えながらアカウント乗っ取り用の接続攻撃を繰り返し試みたり、乗っ取られたアカウント宛に数多くのスパム及び悪性メールを発送するとしても、これを把握することができないという問題がある。
【0013】
さらに、現在のシステムは、メールエンジン用の通信プロトコル接続ベースの攻撃が試みられる場合、その攻撃がアカウント乗っ取りであるか、悪性メールの流布であるか、個人情報の流出であるかなど、いかなる類型の攻撃であるかさえも全く把握することができないのが現状である。
【発明の概要】
【発明が解決しようとする課題】
【0014】
本発明は、上記のような問題を解決するために案出されたものであって、既存のメールサーバーシステムは保持しながらも、前記メールサーバーシステムにより送受信されるメールに対応するセキュリティ脅威の検査を途中で行って電子メール攻撃からメールサーバーを保護するようにセキュリティ網を構築するメールセキュリティ装置に基づくセキュリティシステムを構築するが、メールエンジン用の通信プロトコルベースの接続経路情報を前記メールセキュリティ装置に誘導して、メールサーバーに対するメールエンジン用の通信プロトコルに基づく悪意的なメールサーバーへの接続の試みを、前記メールセキュリティ装置において予め検出及び遮断できるように構成し、これにより、メールサーバーに対するメールエンジンプトロコルに基づく攻撃から前記メールサーバーを効率よく保護することのできる電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法を提供することにその目的がある。
【課題を解決するための手段】
【0015】
上記のような目的を達成するための本発明の実施形態に係る方法は、メール接続セキュリティシステムのセキュリティ網を構成し、受信メールに対応するセキュリティ脅威の検査を行うセキュリティ脅威検査部及び前記セキュリティ脅威の検査が完了したメールを前記セキュリティ網の内部のメールサーバーに転送するメール処理部を備えたメールセキュリティ装置の動作方法において、前記メールセキュリティ装置が、前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信するステップと、前記メールセキュリティ装置が、前記セキュリティ脅威検査部及び前記メール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得するステップと、前記メールセキュリティ装置において、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定するステップと、前記メールセキュリティ装置において、前記決定された接続の遮断有無に応じて、前記メールサーバー接続リクエスト情報の前記メールサーバーへの転送を遮断するステップと、を含む。
【0016】
また、上記のような目的を達成するための本発明の実施形態に係る装置は、メール接続セキュリティシステムのセキュリティ網を構成し、受信メールに対応するセキュリティ脅威の検査を行うセキュリティ脅威検査部及び前記セキュリティ脅威の検査が完了したメールを前記セキュリティ網内部のメールサーバーに転送するメール処理部を備えたメールセキュリティ装置において、前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信する通信部と、前記セキュリティ脅威検査部及び前記メール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得するメールサーバー接続リクエスト情報処理部と、前記メールセキュリティ装置において、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定する遮断有無決定部と、前記メールセキュリティ装置において、前記決定された接続の遮断有無に応じて、前記メールサーバー接続リクエスト情報の前記メールサーバーへの転送を遮断する接続遮断処理部と、を備える。
【発明の効果】
【0017】
本発明の実施形態によれば、メール接続セキュリティシステムを構成するメールセキュリティ装置は、前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信し、前記セキュリティ脅威検査部及び前記メール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得し、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定することができる。
【0018】
これにより、本発明の実施形態に係るセキュリティシステムは、既存のメールサーバーシステムは保持しながらも、前記メールサーバーシステムにより送受信されるメールに対応するセキュリティ脅威の検査を途中で行って電子メール攻撃からメールサーバーを保護するようにセキュリティ網を構築するメールセキュリティ装置に基づくセキュリティシステムを構築するが、メールエンジン用の通信プロトコルベースの接続経路情報を前記メールセキュリティ装置に誘導して、メールサーバーに対するメールエンジン用の通信プロトコルに基づく悪意的なメールサーバーへの接続の試みを、前記メールセキュリティ装置において予め検出及び遮断できるように構成し、これにより、メールサーバーに対するメールエンジンプロトコルに基づく攻撃から前記メールサーバーを効率よく保護することが可能になる。
【0019】
このような本発明の実施形態に係るセキュリティシステムの構成により、メールエンジン用の通信プロトコルに基づく悪意的なメールサーバーへの直接的な接続の試みが遮断され、これは、メールサーバーに対する負荷を低減することができるのみならず、メールエンジン用の通信プロトコルに基づく悪意的なメールサーバーへの直接接続情報を解読して各攻撃類型を検出することができ、これによる適切な対応処理を取ることも可能になって、電子メールセキュリティシステムをより一層効率よく構築することが可能になるという長所がある。
【図面の簡単な説明】
【0020】
図1】本発明の実施形態に係る全体のシステムを概略的に示す概念図である。
図2】本発明の実施形態に係るメールセキュリティ装置をより具体的に示すブロック図である。
図3】本発明の実施形態に係るセキュリティ脅威検査部及びメール処理部をより具体的に示すブロック図である。
図4】本発明の実施形態に係るメールセキュリティ装置のメールサーバー接続セキュリティ認証処理部をより具体的に示すブロック図である。
図5】本発明の実施形態に係るメールセキュリティ装置の動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0021】
以下の内容は、単に本発明の原理を例示する。そのため、当業者であれば、たとえ本明細書に明らかに説明されたり図示されたりしていないものの、本発明の原理を実現し、本発明の概念と範囲に含まれている種々の装置と方法を発明することができるのである。なお、本明細書に列挙されたすべての条件付き用語及び実施形態は、原則として、本発明の概念が理解されるようにするための目的にしか明らかに意図されず、このように特別に列挙された実施形態及び状態に制限的ではないものと理解されるべきである。
【0022】
また、本発明の原理、観点及び実施形態だけではなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的及び機能的な均等物を含むように意図されるものであると理解されるべきである。なお、これらの均等物は、現在公知となっている均等物だけではなく、将来に開発されるべき均等物、すなわち、構造とは無関係に同一の機能を行うように発明されたあらゆる素子を網羅するものであると理解されるべきである。
【0023】
よって、例えば、本明細書のブロック図は、本発明の原理を具体化させる例示的な回路の概念的な観点を示すものであると理解されるべきである。これと同様に、すべてのフローチャート、状態変換図、擬似コードなどは、コンピューターにて読み取り可能な媒体に実質的に示すことができ、コンピューターまたはプロセッサーが明らかに示されているか否かを問わずに、コンピューターまたはプロセッサーにより行われる様々なプロセスを示すものであると理解されるべきである。
【0024】
また、プロセッサー、制御またはこれと略同じ概念として提示される用語の明確な使用は、ソフトウェアを実行する能力をもったハードウェアを排他的に引用して解釈されてはならず、制限なしにデジタル信号プロセッサー(DSP)ハードウェア、ソフトウェアを記憶するための読み込み専用メモリー(ROM)、ランダムアクセスメモリー(RAM)及び不揮発性メモリーを暗示的に含むものであると理解されるべきである。周知慣用の他のハードウェアもまた含まれ得る。
【0025】
上述した目的、特徴及びメリットは、添付図面と結び付けて行われる以下の詳細な説明からなお一層明らかになる筈であり、それにより、本発明が属する技術分野において通常の知識を有する者が本発明の技術的思想を容易に実施することができるのである。なお、本発明を実施するに当たって、本発明と関わる公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合にはその詳細な説明を省略する。
【0026】
本出願において用いた用語は、単に特定の実施形態を説明するために用いられたものであり、本発明を限定しようとする意図はない。単数の表現は、文脈からみて明らかに他の意味を有さない限り、複数の言い回しを含む。本出願において、「備える」または「有する」などの用語は、明細書に記載の特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものに過ぎず、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないものと理解すべきである。
【0027】
以下、添付図面に基づいて、本発明の好適な実施形態について詳しく説明する。本発明について説明するにあたって、全体的に理解し易くするために、図中の同一の構成要素に対しては、同一の参照符号を付し、同一の構成要素についての重複する説明は省略する。
【0028】
本明細書中で使われる「メール(mail)」は、ユーザーが端末装置とここにインストールされるクライアントプログラムまたはウェブサイトを介して、コンピューター通信網を用いてやり取りする電子メール(Electronic mail)、ウェブメール(Webmail)、電子郵便、電子郵便物などの用語をまとめて用いることができる。
【0029】
図1は、本発明の一実施形態に係る全体のシステムを示す概念図である。
【0030】
図1を参照すると、本発明の一実施形態に係るシステムは、ユーザー端末10と、受信メールセキュリティ装置100と、発信メールセキュリティ装置200と、メールサーバー300と、外部メール接続装置400と、を備える。
【0031】
より具体的には、受信メールセキュリティ装置100と、発信メールセキュリティ装置200及びメールサーバー300は、別途にセキュリティ化したセキュリティネットワークを構成することができる。セキュリティネットワークは、受信メールセキュリティ装置100及び発信メールセキュリティ装置200を経由しなければ、メールサーバー300とのメール伝送を行うことができないセキュリティネットワークであって、各装置には、このための様々なネットワークインターフェース環境に基づくセキュリティ化した内部ネットワーク及びセキュリティ装置が構築されてもよい。
【0032】
ここで、ネットワークを構成する各装置は、相互間の有/無線ネットワークを介して接続さてもよく、各ネットワークに接続された装置または端末は、相互間にセキュリティ化したネットワークチャンネルを介して相互間の通信を行うことができる。
【0033】
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radio communication network)または衛星通信網などといったあらゆる種類の有/無線ネットワークにより実現されてもよい。
【0034】
そして、本明細書中で説明されるユーザー端末10及び外部メール接続装置400は、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、個人用デジタル補助装置(PDA:Personal Digital Assistants)、携帯型マルチメディアプレーヤー(PMP:Portable Multimedia Player)などを網羅するが、本発明は、これらに何ら限定されるものではなく、内部網、公衆網または私設網などを介してメールサーバー300または受信メールセキュリティ装置100に接続可能な多種多様な装置が挙げられる。これらに加えて、ユーザー端末10及び外部メール接続装置400は、アプリケーションの駆動またはウェブブラウジングを用いた情報の入出力が可能な多種多様な装置であってもよい。
【0035】
そして、受信メールセキュリティ装置100及び発信メールセキュリティ装置200は、外部メール接続装置400からメールサーバー300を介してユーザー端末10のアカウントへと受発信される電子メールデータに対するセキュリティ脅威の検査を行うことができ、セキュリティ脅威の検査が完了したメールの受発信処理を遮断または許容するメールセキュリティシステムを構成することができる。
【0036】
図1においては、受信メールセキュリティ装置100及び発信メールセキュリティ装置200が分離されて構成されていることを示しているが、本発明の実施形態により、受信メールセキュリティ装置100及び発信メールセキュリティ装置200は、一つのメールセキュリティ装置として構成されてもよい。
【0037】
このようなセキュリティ網システム及び動作とは異なり、外部ネットワークに位置している外部メール接続装置400は、公衆網(Public network)との接続を介して有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であって、一般に、電話網、データ網、CATV網及び移動通信網などを網羅し、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供することができる。
【0038】
前述した背景技術によれば、外部メール接続装置400は、メールエンジン用の通信プロトコルに基づく悪意的なメールサーバーへの直接的な接続を試みるために、メールサーバー300のメールエンジン用の通信プロトコルベースの接続情報を確認し、その接続情報を基にしたメールエンジン用の通信プロトコルに基づく接続を試みることができる。このようなメールエンジン用の通信プロトコルは、通常、トランスポートレイヤーセキュリティ(TLS)プロトコルをベースとして暗号化したパケットから構成されてもよく、通常、メールサーバー300のメールエンジン用の通信プロトコルベースの接続情報は、外部メール接続装置400に配信される。
【0039】
ここで、前述したように、前記メールエンジン用の通信プロトコルは、簡易メール転送プロトコル(SMTP:Simple Mail Trasnfer Protococl)標準プロトコル、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)標準プロトコル、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)標準プロトコル、メッセージングアプリケーションプログラミングインタフェース(MAPI:Messageing Application Programming Interface)標準プロトコルのうちの少なくとも一つを含んでいてもよい。
【0040】
しかしながら、本発明の実施形態によれば、メールサーバー300のメールエンジン用の通信プロトコルベースの接続情報は、受信メールセキュリティ装置100のメールエンジン用の通信プロトコルベースの接続情報に置き換えられて配信されてもよい。すなわち、メールサーバー300に関するTLS通信プロトコル接続経路情報に対する配信それ自体が予め遮断されることができ、このような経路は、予め非活性化処理されてもよい。例えば、メールサーバー300においても既存のTLS通信プロトコル接続経路への接続それ自体を許容しないようにポート遮断設定などを行って予め非活性化処理することができる。
【0041】
このような接続経路の非活性化処理をすることで、外部メール接続装置400からは、受信メールセキュリティ装置100を経由してはじめて、メールサーバー300に接続することが可能になり、このためのTLS通信プロトコル接続経路が形成されてもよい。TLS通信プロトコル接続経路の形成のために、受信メールセキュリティ装置100は、前述したように、メールサーバー300のメールエンジン用の通信プロトコルベースの接続情報を、受信メールセキュリティ装置100のメールエンジン用の通信プロトコルベースの接続情報に置き換えて配信することができるのである。
【0042】
これにより、受信メールセキュリティ装置100は、前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置400から受信されるメールサーバー接続リクエスト情報を代わりに受信することができる。
【0043】
そして、受信メールセキュリティ装置100は、上述したような電子メールの受発信セキュリティのために配備されたセキュリティ脅威検査部及びメール処理部において用いられるメールエンジン用の通信プロトコル処理モジュールに、前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得することができる。
【0044】
そして、受信メールセキュリティ装置100は、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定することができ、前記決定された接続の遮断有無に応じて、前記メールサーバー接続リクエスト情報の前記メールサーバー300への転送を遮断したり、許容したりすることができる。
【0045】
ここで、前記一つ以上の細部接続情報は、メールユーザー識別情報、暗号化したメールユーザー暗号情報、機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含んでいてもよいため、受信メールセキュリティ装置100は、前記メールユーザー識別情報に対応して予め構成された遮断ポリシー情報と、前記機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つとがマッチングされる場合に前記接続の遮断有無を遮断として決定することができる。
【0046】
さらに、前記遮断ポリシー情報は、前記メールユーザー識別情報に対応して予め収集された活動情報の学習データに基づいて可変的に構成される学習ベースの遮断ポリシー情報を含んでいてもよく、前記活動情報は、前記メールユーザー識別情報に対応する機器識別情報、接続IP情報、接続位置情報、接続時間情報、メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含んでいてもよい。
【0047】
また、受信メールセキュリティ装置100は、前記メールユーザー識別情報に対応して予め設定されたメールエンジン用の通信プロトコル識別情報と、前記メールエンジン用の通信プロトコル識別情報と、が互いに異なる場合、前記メールユーザー識別情報に対応して予め設定されたユーザー端末10に前記メールサーバー接続リクエスト情報の遮断有無を問い合わせすることもできる。この場合、受信メールセキュリティ装置100は、前記問い合わせに対応して前記ユーザー端末10から受信される応答データに基づいて、前記接続の遮断有無を遮断として決定したり、許容として決定したりすることができる。
【0048】
また、受信メールセキュリティ装置100は、前記接続の遮断有無の決定に応じて遮断されず、結果的に、許容された前記メールサーバー接続リクエスト情報に基づいて、前記メールユーザー識別情報及び前記暗号化したメールユーザー暗号情報を含む認証問い合わせ情報をメールサーバー300に転送することができ、前記認証問い合わせ情報に対応する前記メールサーバー300の認証応答に応じて、前記メールサーバー接続リクエスト情報を前記メールサーバー300に転送処理することができる。
【0049】
この場合、受信メールセキュリティ装置100は、前記メールサーバー300から、前記メールサーバー接続リクエスト情報に対応するメールサーバー接続応答情報を取得し、前記メールサーバー接続応答情報を前記外部メール接続装置400に伝送することができる。
【0050】
このようなシステム構成により、実質的に外部メール接続装置400は、SMTP、POP3、IMAP、MAPIなどのメールエンジン用の通信プロトコルを用いたTLSベースの通信を行うとしても、受信メールセキュリティ装置100を経由してはじめて、メールサーバー300との電子メールデータの送受信を行うことが可能になり、受信メールセキュリティ装置100においては、セキュリティ脅威検査用の電子メールエンジンモジュールを用いて、メールエンジン用の通信プロトコルに基づく電子メールパケットの少なくとも一部を解読することにより、これを予め設定されたポリシーと比較して遮断したり、攻撃有無及び攻撃類型を把握してユーザー端末10に報知処理したりすることができる。
【0051】
これにより、本発明の実施形態に係る電子メールセキュリティシステムは、既存のメールサーバーベースの受発信セキュリティシステムは保持しながらも、別途の付加的なシステムの構築なしにメールサーバー300に対するメールエンジン用のプロトコルに基づく直接的な接続攻撃を識別して遮断することができ、正常的なメールエンジン用のプロトコルベースの接続リクエストの場合には、メールサーバー300との電子メールの交換を可能にするため、効率よく、しかもセキュアな電子メール受発信セキュリティシステムの構築を可能にする。
【0052】
図2から図4は、本発明の一実施形態に係る受信メールセキュリティ装置100をより具体的に説明するためのブロック図である。
【0053】
図2から図4を参照すると、まず、本発明の一実施形態に係る受信メールセキュリティ装置100は、制御部110と、収集部120と、セキュリティ脅威検査部130と、関係分析部140と、メール処理部150と、ユーザー情報管理部160と、レコード管理部170と、脆弱点テスト部180と、通信部125及びメールサーバー接続セキュリティ認証処理部190を備えていてもよい。
【0054】
制御部110は、前記受信メールセキュリティ装置100の各構成要素の動作を全般的に制御するための一つ以上のプロセッサーにより実現されてもよい。
【0055】
また、制御部110は、メールエンジン用の通信プロトコル処理モジュールを備えて、各構成部において処理される電子メール通信プロトコルに基づくデータを復号化させたり、暗号化させたり、変調処理したりすることにより、メールエンジン用の通信プロトコルパケットに対するデータ処理を可能にすることができる。
【0056】
通信部125は、ユーザー端末10またはメールサーバー300が位置しているネットワークまたは外部メール接続装置400と通信するための一つ以上の通信モジュールを備えていてもよい。
【0057】
そして、収集部120は、メールサーバー300または外部メール接続装置400から送受信されるメールエンジン用の通信プロトコルパケットを復元して、受発信される電子メールパケットデータのメール情報を収集することができる。前記メール情報は、電子メールヘッダー情報と、電子メールタイトルと、電子メール内容の本文及び一定期間の受信回数などを含んでいてもよい。
【0058】
具体的には、前記電子メールヘッダー情報は、メール発信サーバーIPアドレス、メール発信サーバーホスト名情報、発信者メールドメイン情報、発信者メールアドレス、メール受信サーバーIPアドレス、メール受信サーバーホスト名情報、受信者メールドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時間情報、メール発信時間情報などを含んでいてもよい。
【0059】
また、前記電子メールヘッダーは、メールが送受信される過程において必要となるネットワーク経路情報、メールのやり取りのためのメールサービスシステム間の使用プロトコル情報などを含んでいてもよい。
【0060】
追加的に、前記メール情報は、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイル内容の本文、統一資源位置指定子(URL:Uniform Resource Locator)情報などを含んでいてもよい。前記添付ファイルは、発信者が受信者に転送しようとするメール本文の内容に加えて、追加的な情報を転送したり情報の返信を求めたりするためのさらなるコンテンツを含んでいてもよい。
【0061】
前記コンテンツは、テキスト、画像、動画などを提供することができる。受信者は、メールに添付されているファイルに対応するアプリケーションを実行してコンテンツを確認することができる。また、受信者は、メールに添付されているファイルをローカル格納装置にダウンロードして格納及び管理することが可能である。
【0062】
前記添付ファイルの拡張子は、ファイルの形式や種類を区別することができる。前記添付ファイルの拡張子は、一般に、ファイルの属性やファイルを生成したアプリケーションを示す文字列により区別されてもよい。例えば、テキストファイルは、[ファイル名].txt、MSワードファイルは、[ファイル名].doc(docx)、ハングルファイルは、[ファイル名].hwpなどの拡張子により区別されてもよい。また、画像ファイルは、gif、jpg、png、tifなどにより拡張子が区別されてもよい。
【0063】
追加的に、コード化した指令に従って指示された作業を行わせるコンピューターファイルである実行ファイルは、[ファイル名].com、[ファイル名].exe、[ファイル名].bat、[ファイル名].dll、[ファイル名].sys、[ファイル名].scrなどにより区別されてもよい。
【0064】
前記添付ファイルのハッシュ情報は、情報の偽変造を確認して情報の無欠性を保証することができる。ハッシュ情報またはハッシュ値は、ハッシュ関数を用いて、任意の長さを有する任意のデータに対して一定の長さのビット列にマッピングされてもよい。
【0065】
これを通して、最初に生成される添付ファイルに対して、ハッシュ関数を介して出力されるハッシュ情報は、固有の値を有することになる。前記出力されるハッシュ情報またはハッシュ値は、逆に、関数に入力されるデータを抽出できない一方向性を有する。また、ハッシュ関数は、一つの与えられた入力データに対して出力されたハッシュ情報またはハッシュ値と同一の出力を提供する他の入力データは、計算的に不可能な衝突回避性を保証することができる。これにより、前記添付ファイルのデータを修正したり追加したりすれば、ハッシュ関数の出力値は異なるように返される。
【0066】
このように、前記添付ファイルの固有のハッシュ情報は、メールを介してやり取りするファイルに対して、ハッシュ情報またはハッシュ値を比較することにより、ファイルの修正、偽変造の有無を確認することができる。また、前記ハッシュ情報は、固有の値に固定されるため、悪意的な意図をもって生成したファイルに対する過去のヒストリーのデータベースであるレピュテーション情報を活用することにより、事前防疫措置を取らせることができる。追加的に、前記ハッシュ関数は、一方向性と衝突回避性を保証可能な技術及びバージョンとして利用可能である。
【0067】
例えば、ハッシュ情報は、ウィルストータルウェブサイトやマルウェアズウェブサイトを介してファイルの悪性コードの有無に関する検索情報として活用可能である。前記ファイルのハッシュ情報の分析を提供するウェブサイトを介してファイルのプロバイダー、ファイルのハッシュ値などの情報の提供を受けることができる。また、ファイルのハッシュ情報に対する検索の結果は、多数のIT情報セキュリティソリューションを提供するグローバル会社において判別したレピュテーション情報をクロスチェックすることができて、さらに信頼性のある情報をもって判断することが可能である。
【0068】
セキュリティ脅威検査部130は、予め設定されたセキュリティ脅威のアーキテクチャに従い、前記メール情報に対応するメールセキュリティプロセスの段階別のマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に伴うメールセキュリティ検査情報を格納及び管理することができる。
【0069】
前記セキュリティ脅威アーキテクチャは、スパムメールセキュリティ脅威、悪性コードセキュリティ脅威、社会工学的なセキュリティ脅威、内部情報流出セキュリティ脅威などに区別されてもよい。前記セキュリティ脅威アーキテクチャによりセキュリティ脅威類型/レベル/プロセス/プライオリティ/処理順序が設定されてもよい。
【0070】
前記セキュリティ脅威アーキテクチャに応じて対応するメールセキュリティプロセスは、スパムメールセキュリティプロセス、悪性コードセキュリティプロセス、なりすましメールセキュリティプロセス、メール搬出セキュリティプロセスなどを含んでいてもよい。
【0071】
前記メールセキュリティプロセスは、前記セキュリティ脅威アーキテクチャに応じて、受信メールであるか、それとも発信メールであるかに対応する互いに異なるメールセキュリティプロセスが決定されてもよい。また、前記メールセキュリティプロセスの検査順序または検査レベルは、予め設定したセキュリティステップ及びアーキテクチャにより決定されてもよい。
【0072】
前記メールセキュリティセキュリティプロセスは、受信または発信のためのメール情報がユーザー端末200から伝送されれば、独立的に区分けされたプロセスがリソースとして割り当てられ、前記メール情報で割り当てられた検査領域において即座で実行可能な流動的なリソースの割り当て方式は、仮想空間の概念であると説明可能である。前記仮想空間にリソースを割り当てる方式において、メールセキュリティプロセスは、処理が完了したとき、順次に流入してくるメール情報で割り当てられた検査領域において作業を即座で処理することができる。
【0073】
これとは対照的に、仮想環境、仮想マシンのように一つのリソース内において処理が制限される一定のプロセスが割り当てられた環境は、リクエストされる作業を処理するとき、特定のプロセスの処理が完了するまで他のプロセスが待機するアイドル(idle)タイムを有し得る。このように、プロセスを用いた分析方式において、流動的リソースは、固定型リソースと比較するときに処理速度及び性能の側面からみて優位を占めることができる。
【0074】
前記セキュリティ脅威検査部130は、前記収集部120において収集された前記メール情報に基づいて受信または発信の目的にメールを区別することができる。この後、前記セキュリティ脅威検査部130は、前記メールセキュリティプロセスを順次にまたは設定されたプライオリティに基づいてマッチングしかつ分析することにより、それぞれのメールに関するメールセキュリティ検査情報を取得することができる。
【0075】
図3(a)に示されているように、セキュリティ脅威検査部130は、スパムメール検査部131と、悪性コード検査部132と、なりすましメール検査部133と、メール搬出検査部134と、を備える。
【0076】
まず、スパムメール(迷惑メール、がらくたのメール、一括発信のメールとも呼ばれる。)セキュリティ脅威は、関係のない発信者と受信者の間において公告と広報などを目指して一方的に大量で不特定多数の人に無差別的に散布されるメール類型を含んでいてもよい。また、大量のスパムメールは、メールシステムのデータ処理能に負荷を与えてしまい、その結果、システムの処理能を低下させる原因になる虞がある。また、スパムメールは、内容本文などに含まれている無分別な情報に対してユーザーが意図せずに接続される虞もあり、潜在的なフィッシング詐欺のための情報に成り済まされ得るリスクがある。
【0077】
このようなスパムメールを検出しかつフィルターリングするために、前記セキュリティ脅威検査部130は、スパムメール検査部131を備えていてもよい。前記スパムメール検査部131は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、メールヘッダー情報、メールタイトル、メール内容の本文、一定の期間の受信回数などを含む前記メール情報を予め設定したスパムインデックスと段階別にマッチングすることができる。
【0078】
前記スパムメール検査部131は、メールヘッダー情報とメールタイトル、メール内容の本文などを含むメール情報に対してスパムメールとして区別可能な一定のパターン検査などを行うことで、スパムインデックスにおいて検査項目として用いることができる。これを通して、前記スパムメール検査部131は、前記スパムインデックスを段階別にマッチングしてスパムメール検査情報を取得し、かつ格納及び管理することができる。
【0079】
前記スパムインデックスとしては、段階別にメール情報に含まれる項目に基づく検査項目と検査を用いたレベル値が設定されてもよい。本発明の一実施形態によれば、スパムインデックスは、Level 1, Level 2, Level 3, ..., Level [n]に細分化及び段階化されて構成されてもよい。
【0080】
前記スパムインデックスLevel 1は、ビッグデータ及びレピュテーション情報に基づいて、メール情報に含まれるメールタイトルデータをマッチングすることができる。これを通して、前記スパムインデックスLevel 1は、評価されたレベル値をスパムインデックスLevel 1の検査情報として取得することができる。前記レベル値は、定量的に測定可能な情報に設定されてもよい。例えば、前記スパムインデックスLevel 1の検査情報は、検査項目であるメールタイトルに「広告」、「広報」などの文句が含まれているとき、前記ビッグデータ及びレピュテーション情報でスパムメールと定義した情報と一致する場合、0と1とに区分けされたレベル値において「1」として評価可能である。これを通して、スパムインデックスLevel 1の検査情報は、「1」として取得可能である。
【0081】
追加的に、前記スパムインデックスLevel 2は、ユーザー指定キーワードに基づいて、メール情報に含まれるデータをマッチングすることができる。これを通して、前記スパムインデックスLevel 2は、評価されたレベル値をスパムインデックスLevel 2の検査情報として取得することができる。例えば、前記スパムインデックスLevel 2の検査情報は、検査項目であるメール内容の本文に「お得価格」、「激安価格」、「セール」、「sale」、「売れ切れ」などを含むキーワードが含まれているとき、前記ユーザー指定キーワードでスパムメールと定義した情報と一致する場合、0と1とに区分けされたレベル値において「1」として評価可能である。これを通して、スパムインデックスLevel 2の検査情報は、「1」として取得可能である。
【0082】
次のステップとして、前記スパムインデックスLevel 3は、画像分析に基づいて、メール情報に含まれるデータをマッチングすることができる。これを通して、前記スパムインデックスLevel 3は、評価されたレベル値をスパムインデックスLevel 3の検査情報として取得することができる。例えば、前記スパムインデックスLevel 3の検査情報は、検査項目であるメール内容の本文に含まれる画像を分析して抽出したデータにおいて「080」から始まる電話番号などが含まれているとき、前記画像分析においてスパムメールと定義した情報と一致する場合、0と1とに区分けされたレベル値において「1」として評価可能である。これを通して、スパムインデックスLevel 3の検査情報は、「1」として取得可能である。
【0083】
このように、前記スパムメールセキュリティプロセスを用いて、スパムインデックスレベル単位で取得された検査情報は、最終的に合算(「3」)されてスパムメール検査情報として格納及び管理されてもよい。このようにして合算されたスパムメール検査情報は、前記メールセキュリティ検査情報に含まれて管理されてもよく、前記メール処理部150においてセキュリティ脅威の判別情報として活用されてもよい。
【0084】
前記セキュリティ脅威検査部130は、悪性コード検査部132をさらに備えていてもよい。前記悪性コード検査部132は、前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイル内容本文、URL(Uniform Resource Locator)情報などをさらに含む前記メール情報を予め設定した悪性コードインデックスと段階別にマッチングすることができる。
【0085】
前記悪性コード検査部132は、添付ファイルの属性値で確認可能な添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名などとともに、添付ファイル内容の本文と内容の本文に埋め込まれるURL(Uniform Resource Locator)情報を悪性コードインデックスの検査項目として用いることができる。これを通して、前記悪性コード検査部132は、前記悪性コードインデックスを各類型及び項目に応じて段階別にマッチングして悪性コード検査情報を取得し、格納及び管理することができる。
【0086】
前記悪性コードインデックスとしては、段階別にメール情報に含まれる項目に基づく検査項目と検査を用いたレベル値が設定されてもよい。本発明の一実施形態によれば、悪性コードインデックスは、Level 1, Level 2, Level 3, ..., Level [n]に細分化及び段階化されて構成されてもよい。
【0087】
前記悪性コードインデックスLevel 1は、ビッグデータ及びレピュテーション情報に基づいて、メール情報に含まれる添付ファイル名、添付ファイルの拡張子をマッチングすることができる。これを通して、前記悪性コードインデックスLevel 1は、評価されたレベル値を悪性コードインデックスLevel 1の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 1の検査情報は、検査項目である添付ファイル名が「Trojan」、添付ファイルの拡張子が「exe」を含んでいるとき、前記ビッグデータ及びレピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区分けされたレベル値において「1」と評価可能である。これを通して、悪性コードインデックスLevel 1の検査情報は、「1」として取得可能である。
【0088】
追加的に、前記悪性コードインデックスLevel 2は、ビッグデータ及びレピュテーション情報に基づいて、メール添付ファイルのハッシュ情報をマッチングすることができる。これを通して、評価されたレベル値を悪性コードインデックスLevel 2の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 2の検査情報は、検査項目である添付ファイルハッシュ情報が「a1b2c3d4」として分析されるとき、前記レピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区分けされたレベル値において「1」として評価可能である。これを通して、悪性コードインデックスLevel 2の検査情報は、「1」として取得可能である。
【0089】
次のステップとして、前記悪性コードインデックスLevel 3は、URLレピュテーション情報に基づいて、添付ファイルまたはメール内容の本文に埋め込まれているURL(Uniform Resource Locator)情報をマッチングすることができる。これを通して、評価されたレベル値を悪性コードインデックスLevel 3の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 3の検査情報は、検査項目であるURL情報が「www.malicious-code.com」であると確認されるとき、前記URLレピュテーション情報で悪性コードファイルが含まれる有害サイトと定義された情報と一致する場合、0と1とに区分けされたレベル値において「1」と評価可能である。これを通して、悪性コードインデックスLevel 3の検査情報は、「1」として取得可能である。そして、前記悪性コード検査部132は、URLレピュテーション情報から漏れ得るゼロデイ攻撃に対応することができる。前記悪性コード検査部132は、レピュテーション情報がないURLに関するリンクIPアドレスを特定のシステムのIPアドレスに変更し、変更されたIPアドレスをユーザー端末200に提供することができる。前記ユーザー端末200は、前記URLに接続しようとするとき、前記悪性コード検査部132が変更した特定のシステムのIPアドレスに接続されてもよい。この前に、前記URLに対するリンクIPアドレスに変更された特定のシステムは、持続的にURLのエンドポイントまで悪性コードを含むか否かを検査し続けることができる。
【0090】
このように、前記悪性コードセキュリティプロセスを用いて、悪性コードインデックスレベル単位で取得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として格納及び管理されてもよい。このようにして合算された悪性コード検査情報は、前記メールセキュリティ検査情報に含まれて管理されてもよく、前記メール処理部150においてセキュリティ脅威の判別情報として活用されてもよい。
【0091】
前記セキュリティ脅威検査部130は、なりすましメール検査部133をさらに備えていてもよい。前記なりすましメール検査部133は、メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合に、前記関係分析部140を介して取得される関係分析情報に対して予め設定した関係分析インデックスと段階別にマッチングすることができる。前記関係分析情報は、メール情報及び正常であると確認されたメールの属性情報などを含むメール情報の分析を行うことで取得されてもよい。
【0092】
前記なりすましメール検査部133は、正常であると判別されたメールから抽出可能な受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを関係分析インデックスの検査項目として用いることができる。これを通して、前記なりすましメール検査部133は、前記関係分析インデックスを項目に応じて段階別にマッチングしてなりすましメール検査情報を取得し、かつ格納及び管理することができる。これを通して、前記なりすましメール検査部133は、類似ドメインを検出することができ、メールの発送経路を追跡または検証してセキュリティ脅威を加え得るメールをフィルターリングすることができる。
【0093】
前記関係分析インデックスとしては、段階別に前記関係分析情報に基づく検査項目と検査を用いたレベル値が設定されてもよい。本発明の一実施形態によれば、関係分析インデックスは、Level 1, Level 2, Level 3, ..., Level [n]に細分化及び段階化されて構成されてもよい。
【0094】
前記関係分析インデックスLevel 1は、レピュテーション情報に基づいて、発信者メールのドメイン、発信者メールのアドレスなどをマッチングすることができる。これを通して、前記関係分析インデックスLevel 1は、評価されたレベル値を関係分析インデックスLevel 1の検査情報として取得することができる。例えば、前記関係分析インデックスLevel 1の検査情報は、検査項目である発信されたメールのドメインが「@なりすまし.com」であり、発信者メールのアドレスが「なりすまし@」を含んでいるとき、前記レピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区分けされたレベル値において「1」として評価可能である。
【0095】
追加的に、前記関係分析インデックスLevel 2は、前記関係分析情報に基づいて、発信者メールのドメイン、発信者メールのアドレスなどをマッチングすることができる。これを通して、前記関係分析インデックスLevel 2は、評価されたレベル値を関係分析インデックスLevel 2の検査情報として取得することができる。例えば、前記関係分析インデックスLevel 2の検査情報は、検査項目である発信されたメールのドメインが「@なりすまし.com」であり、発信者メールのアドレスが「なりすまし@」を含んでいるとき、前記関係分析情報で正常メールの属性情報と定義された情報と一致していない場合、0と1とに区分けされたレベル値において「1」として評価可能である。これを通して、関係分析インデックスLevel 3の検査情報は、「1」として取得可能である。
【0096】
次のステップとして、前記関係分析インデックスLevel 3は、前記関係分析情報に基づいて、メールルーティング情報などをマッチングすることができる。これを通して、前記関係分析インデックスLevel 3は、評価されたレベル値を関係分析インデックスLevel 3の検査情報として取得することができる。例えば、前記関係分析インデックスLevel 3の検査情報は、検査項目であるメールルーティング情報が「1.1.1.1」、「2.2.2.2」、「3.3.3.3」であると確認されるとき、メールの配信経路である前記ルーティング情報が前記関係分析情報で正常メールの属性情報と定義された情報と一致していない場合、0と1とに区分けされたレベル値において「1」として評価可能である。これを通して、関係分析インデックスLevel 3の検査情報は、「1」として取得可能である。
【0097】
このように、前記悪性コードセキュリティプロセスを用いて、悪性コードインデックスレベル単位で取得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として格納及び管理可能である。このようにして合算されたなりすましメール検査情報は、前記メールセキュリティ検査情報に含まれて管理されてもよく、前記メール処理部150においてセキュリティ脅威の判別情報として活用されてもよい。
【0098】
前記セキュリティ脅威検査部130は、内部情報流出セキュリティ脅威に対応できるようにメール搬出検査部134を備えていてもよい。前記メール搬出検査部134は、メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて、予め設定したメール搬出管理インデックスと段階別にマッチングすることができる。
【0099】
前記メール搬出検査部134は、前記メール情報の属性情報を活用してメール搬出管理インデックスの検査項目として用いることができる。また、前記管理インデックスの検査項目としては、内部的に管理されるユーザー端末200の割り当てIP情報が使用可能である。
【0100】
前記メール搬出管理インデックスとしては、段階別に予め設定された検査項目と検査を用いたレベル値が設定されてもよい。本発明の一実施形態によれば、メール搬出管理インデックスは、Level 1, Level 2, Level 3, ..., Level [n]に細分化及び段階化されて構成されてもよい。
【0101】
前記メール搬出管理インデックスは、発信環境の検査のためにユーザー端末200に割り当てられたIPアドレスにおいて許容されたIPアドレスのみがメール情報を登録できるように統制する項目を含んでいてもよい。未認証のユーザー端末は、内部情報を流出する可能性が相対的に高く、かつ、メールを介してセキュリティ脅威を加える可能性が相対的に高いため、これを予め遮断可能な管理インデックスを管理することができる。
【0102】
また、前記メール搬出検査部134は、前記メール搬出管理インデックスをIPアドレス情報、発送回数情報などの検査項目に区別してメール搬出管理インデックスとして活用することができる。また、前記メール搬出検査部134は、メール発信環境の検査項目として承認プロセスなどの統制部をさらに備えて、内部情報の流出脅威を低減することができる。これを通して、前記メール搬出検査部134は、メール搬出プロセスを用いて、検査項目とマッチングして算出されたレベル値をメール搬出検査情報として格納しかつ管理することができる。
【0103】
関係分析部140は、前記メール情報及び信頼認証ログ分析に基づいて取得される関係分析情報を格納及び管理することができる。前記信頼認証ログは、前記レコード管理部170においてセキュリティ脅威の判別情報に基づいてメール情報を正常メールとして処理する場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを含むレコード情報を含んでいてもよい。
【0104】
メール処理部150は、前記メールセキュリティ検査情報及び前記メール情報の分析を行うことで取得されるセキュリティ脅威の判別情報に基づいてメール状態を処理することができる。
【0105】
前記メール処理部150は、予め設定されたプライオリティに応じた前記メールセキュリティプロセスを行ってもよい。前記メール処理部150は、前記メールセキュリティプロセスを用いた前記セキュリティ脅威の判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメール状態を処理することができる。これを通して、前記メール処理部150は、プライオリティに応じて、まず、検査段階において問題点が見つかった場合、その段階において必要となる処理のみを行い、検査の終了の有無を判断して後続する検査段階は行わずに終了することができる。これを通して、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
【0106】
前記メールセキュリティ検査情報としては、前記セキュリティ脅威検査部130において算出されたスパムメール検査情報と悪性コード検査情報、なりすましメール検査情報、メール搬出検査情報をまとめて総合的に取得された情報を活用することができる。例えば、前記セキュリティ脅威検査部130がメール情報に対してプロセスを行うことで、前記スパムメール検査情報として算出されたスコアが「3」、悪性コード検査情報として算出されたスコアが「2」、なりすましメール検査情報として算出されたスコアが「1」、メール搬出検査情報として算出されたスコアが「0」である場合、メールセキュリティ検査情報として合算されるスコアは「7」として取得可能である。このとき、予め設定されたセキュリティ脅威の判別情報を基準として総合スコアが0~3の範囲であるときに正常メール、4~6の範囲であるときにグレーメール、7~12の範囲であるときに非正常メールとして分類されてもよい。これにより、前記メールセキュリティ検査情報が「7」であるメールは、非正常メールであると判別可能である。そして、前記メール情報の検査情報に含まれるそれぞれの検査情報項目の結果値は、項目に応じて絶対的なプライオリティが指定されたり、重み付け値に応じた情報によりプライオリティが定められたりすることができる。
【0107】
これにより、図3(b)に示されているように、メール処理部150は、メール振り分け処理部151と、メール廃棄処理部152と、メール無害化処理部153と、を備える。
【0108】
前記メール処理部150は、前記セキュリティ脅威の判別情報に基づいて正常メールであると判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理部151を備えていてもよい。
【0109】
また、前記メール処理部150は、前記セキュリティ脅威の判別情報に基づいて、非正常メールであると判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理部152をさらに備えていてもよい。
【0110】
追加的に、前記メール処理部150は、前記セキュリティ脅威の判別情報に基づいて、グレーメールであると判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように提供するメール無害化処理部153をさらに備えていてもよい。
【0111】
一般に、前記グレーメールは、スパムメールまたはジャンクメールとして区別されてもよく、逆に、正常メールとして区別されてもよい。本発明においては、前記グレーメールは、セキュリティ脅威の判別情報が正常または非正常と確定できない一定の範囲内における中間値として算出された場合に区別されるメール類型であると定義することができる。前記メール無害化処理部153は、疑わしい内容の本文などを含んでいるグレーメールを画像ファイルに変換し、ユーザー端末200が確認可能なメールの状態で提供することができる。また、前記メール無害化処理部153は、添付ファイル内の悪性コードであると疑われる個所を除去または修正してユーザー端末200に提供することができる。
【0112】
一方、ユーザー情報管理部160は、前記ユーザー端末10のユーザー情報を格納及び管理することができ、ユーザー情報は、例えば、ユーザーの名前情報、電子メールアカウント情報、接続IP情報、電話番号情報、接続機器情報、MAC情報などのうちの少なくとも一つを含んでいてもよい。
【0113】
そして、レコード管理部170は、前記攻撃セキュリティ脅威の判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理部170は、前記攻撃セキュリティ脅威の判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを含む前記レコード情報を信頼認証ログとして格納しかつ管理する関係情報管理部171をさらに備えていてもよい。これを通して、前記信頼認証ログは、受信者と発信者のメール情報に対して信頼可能な関係情報の分析に活用されることが可能になる。また、前記信頼認証ログに含まれている情報は、相互間の情報交換を行うことで、持続的にデータが蓄積され続けながらも、信頼度が保証されることが可能になる。
【0114】
また、前記レコード管理部170は、前記セキュリティ脅威の判別情報に基づいて非正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを含む前記レコード情報をメールセキュリティプロセスを行うときに非正常メールの判断インデックスとして活用することができる。
【0115】
脆弱点テスト部180は、前記セキュリティ脅威の判別情報に基づいて非正常メールであると判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信処理が行われるように提供することができる。前記脆弱点テスト部180は、前記非正常メールに対して受信または発信処理した前記ユーザー端末の識別情報を取得して類型別の脆弱情報として格納及び管理する脆弱情報管理部181を備えていてもよい。
【0116】
一方、メールサーバー接続セキュリティ認証処理部190は、通信部125を介してメール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置400から受信されるメールサーバー接続リクエスト情報が受信されれば、前記セキュリティ脅威検査部130及び前記メール処理部150において用いられるメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得し、前記一つ以上の細部接続情報を用いた接続の遮断有無を決定する認証処理を行う。
【0117】
このために、図4を参照すると、メールサーバー接続セキュリティ認証処理部190は、メールサーバー接続リクエスト情報処理部191と、遮断有無決定部193と、接続遮断処理部195と、認証処理部197及び接続情報モニターリング部199を備える。
【0118】
より具体的には、まず、メールサーバー接続リクエスト情報処理部191は、通信部125を介して前記メール接続セキュリティシステムの前記セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置から受信されるメールサーバー接続リクエスト情報を受信処理することができる。
【0119】
このために、メールサーバー接続リクエスト情報処理部191は、メールセキュリティ装置100に対応して予め設定されたメール通信プロトコルベースの接続経路情報を構成し、予め設定されたメール通信プロトコルベースの接続経路情報を外部メール接続装置400に配信することができる。ここで、配信方式は、公衆網またはその他の私設サーバーを介してブロードキャストしたり、接続可能な別途の案内サーバーから提供されるウェブページの上にアップロードしたり、電子メールまたはその他の様々なフォーマットの電子メッセージなどに転送したりする方式など、様々な方式が挙げられる。
【0120】
これにより、メールサーバー接続リクエスト情報処理部191は、トランスポートレイヤーセキュリティ(TLS)プロトコルをベースとして暗号化したメールエンジン用の通信プロトコルから構成された外部メール接続装置400のメールサーバー接続リクエスト情報を通信部125を介して受信することが可能になる。上述したように、TLS方式により暗号化したメールエンジン用の通信プロトコルとしては、簡易メール転送プロトコル(SMTP:Simple Mail Trasnfer Protococl)標準プロトコル、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)標準プロトコル、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)標準プロトコル、メッセージングアプリケーションプログラミングインタフェース(MAPI:Messageing Application Programming Interface)標準プロトコルのうちの少なくとも一つが使用可能である。
【0121】
そして、メールサーバー接続リクエスト情報処理部191は、前記セキュリティ脅威検査部130及び前記メール処理部150において用いられる制御部110のメールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得することができ、細部接続情報は、遮断有無決定部193に転送されてもよい。
【0122】
ここで、前記細部接続情報は、電子メールサーバー接続リクエストパケットの少なくとも一部を、メールエンジン用の通信プロトコルに従い復号化させて取得されるものであって、メールユーザー識別情報、暗号化したメールユーザー暗号情報、機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含んでいてもよい。
【0123】
すなわち、メールサーバー接続リクエスト情報は、外部メール接続装置400において従来のメールサーバー300に接続しようとするリクエスト情報をメールエンジン用の通信プロトコルに従って暗号化させた情報であって、メールサーバー接続リクエスト情報処理部191は、メールサーバー接続リクエスト情報のうちの少なくとも一部を、メールエンジン用の通信プロトコル処理モジュールを用いて複合化させ、細部接続情報を抽出して遮断有無決定部193に転送することができるのである。
【0124】
そして、遮断有無決定部193は、前記細部接続情報を用いて、前記メールサーバー接続リクエスト情報がメールエンジン用の通信プロトコルベースの接続攻撃に対応する可能性を予め算出し、メールエンジン用の通信プロトコルベースの接続攻撃に対応する可能性がしきい値以上である場合、そのメールサーバー接続リクエスト情報に対する遮断を処理することができる。
【0125】
このために、遮断有無決定部193は、予め設定された接続遮断アルゴリズムに従って、前記細部接続情報を用いたメールエンジン用の通信プロトコルベースの接続攻撃の有無と遮断有無を決定することができる。
【0126】
例えば、遮断有無決定部193は、前記メールユーザー識別情報に対応して予め構成された遮断ポリシー情報と、前記機器識別情報、接続IP情報、接続位置情報、接続時間情報、前記メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つとがマッチングされる場合に前記接続の遮断有無を遮断として決定することができる。
【0127】
このような遮断ポリシー情報は、前記メールユーザー識別情報に対応して予め収集された活動情報の学習データに基づいて可変的に構成される学習ベースの遮断ポリシー情報を含んでいてもよく、前記活動情報は、前記メールユーザー識別情報に対応する機器識別情報、接続IP情報、接続位置情報、接続時間情報、メールエンジン用の通信プロトコル識別情報のうちの少なくとも一つを含んでいてもよい。
【0128】
ここで、前記学習データに基づいて学習データに基づいて可変的に構成される学習ベースの遮断ポリシー情報は、前記メールユーザー識別情報に対応する機器識別情報、接続IP情報、接続位置情報、接続時間情報、メールエンジン用の通信プロトコル識別情報を、予め設定された攻撃ケースの学習データとデイ―プラニングをベースとして関連付け学習させた機械学習モデルにより構成されてもよい。ここで、デイ―プラニングをベースとした連関付け学習技術としては、周知のCNN(畳み込みニューラルネットワーク)、DNN(ディープニューラルネットワーク)、RNN(再帰型ニューラルネットワーク)、LSTM(長・短期記憶)、回帰分析など様々な機械学習技術が使用可能である。
【0129】
例えば、本発明の実施形態に係る遮断有無決定部193は、外部メール接続装置400のメールエンジン用の通信プロトコルベースの接続リクエスト情報から取得される細部接続情報のIP情報が、予め学習されたり遮断ポリシー情報で指定されたりしたIPアドレスとは異なる場合、その外部メール接続装置400の接続を遮断処理することができる。
【0130】
また、例えば、本発明の実施形態に係る遮断有無決定部193は、外部メール接続装置400のメールエンジン用の通信プロトコルベースの接続リクエスト情報から取得される細部接続情報の接続国情報が、予め学習されたり遮断ポリシー情報で指定されたりした国情報とは異なる場合、その外部メール接続装置400の接続を遮断処理することができる。
【0131】
また、例えば、本発明の実施形態に係る遮断有無決定部193は、外部メール接続装置400のメールエンジン用の通信プロトコルベースの接続リクエスト情報から取得される細部接続情報のメールエンジン用の通信プロトコル識別情報が、予め学習されたり遮断ポリシー情報で指定されたりしたメールエンジン用の通信プロトコル識別情報とは異なる場合、その外部メール接続装置400の接続を遮断処理することができる。より具体的には、遮断有無決定部193は、特定のユーザーがPOP3プロトコルのみを用いて一定の期間以上電子メールアプリケーションを用いていたが、いきなり外部メール接続装置400において他のIMAPのようなプロトコルを用いた接続が一定の時間以内に一定の回数以上生じた場合、その外部メール接続装置400の接続を遮断処理することができるのである。
【0132】
また、例えば、本発明の実施形態に係る遮断有無決定部193は、外部メール接続装置400のメールエンジン用の通信プロトコルベースの接続リクエスト情報から取得される細部接続情報の機器識別情報が、予め学習されたり遮断ポリシー情報で指定されたりした機器識別情報とは異なる場合であっても、その外部メール接続装置400の接続を遮断処理することができる。
【0133】
遮断有無決定部193は、このような遮断のための一定の時間条件及び回数条件を予め設定することができる。例えば、攻撃可能性がしきい値以上高く判断されるか、あるいは、遮断ポリシーにマッチングされない細部接続情報を有するメールエンジン用の通信プロトコルベースの接続リクエスト情報が一定の時間以内に一定の回数以上受信されたりした場合、その接続を遮断処理することができるのである。このような時間及び回数の設定は、各細部接続情報の種類及び類型ごとに互いに異なるように処理されてもよい。
【0134】
一方、接続遮断処理部195は、遮断有無決定部193において遮断として決定された外部メール接続装置400のメールサーバー300の接続を遮断処理することができる。但し、接続遮断処理部195は、遮断処理に先立ち、ユーザー端末10への問い合わせに伴う応答情報を確認し、応答情報に伴う接続遮断の遂行有無を決定することができる。
【0135】
例えば、接続遮断処理部195は、遮断有無決定部193において前記メールユーザー識別情報に対応して予め設定されたメールエンジン用の通信プロトコル識別情報と、前記メールエンジン用の通信プロトコル識別情報と、が互いに異なっていて遮断として決定されたメールエンジン用の通信プロトコルベースの接続リクエスト情報に対応して、前記メールユーザー識別情報に対応して予め設定されたユーザー端末10に前記メールサーバー接続リクエスト情報の遮断有無を問い合わせすることができ、前記問い合わせに対応して前記ユーザー端末10から受信される応答データに基づいて、前記接続の遮断有無を遮断として決定し、外部メール接続装置400との接続を遮断することができる。接続遮断処理部195は、接続遮断に伴う遮断応答情報を構成して、外部メール接続装置400に伝送することができる。
【0136】
これにより、攻撃者であると判断された外部メール接続装置400においては、メールエンジン用の通信プロトコルベースのメールサーバー300の通信が遮断され、別途の経路を介して本人認証などの遮断解除を行ってはじめて、正常的なメールエンジン用の通信プロトコルベースのメールサーバー300とのデータの送受信が可能になる。
【0137】
さらに、接続遮断処理部195は、接続遮断処理されたメールエンジン用の通信プロトコルベースの接続リクエスト情報の細部接続情報を接続情報モニターリング部199に転送することができる。
【0138】
そして、接続情報モニターリング部199は、接続遮断処理されたメールエンジン用の通信プロトコルベースの接続リクエスト情報の細部接続情報を分析して、その攻撃類型を分類判断することができる。例えば、接続情報モニターリング部199は、同一のアカウントに対応する繰り返し的な電子メールアカウントログインの試みが確認される場合、パスワード乗っ取り攻撃であると判断することができ、多数のアカウントが全く異なる国において大量で接続される場合、スパムまたは悪性コード攻撃であると判断することもできる。
【0139】
そして、接続情報モニターリング部199は、分類された攻撃類型情報をレポートインターフェースとして構成してユーザー端末10に提供することができる。
【0140】
一方、認証処理部197は、前記接続の遮断有無決定に応じて遮断されていない前記メールサーバー接続リクエスト情報に基づいて、前記メールユーザー識別情報及び前記暗号化したメールユーザー暗号情報を含む認証問い合わせ情報をメールサーバー300に転送し、前記認証問い合わせ情報に対応する前記メールサーバー300の認証応答に応じて、前記メールサーバー接続リクエスト情報を前記メールサーバー300に転送することができる。
【0141】
そして、認証処理部197は、前記メールサーバー300から、前記メールサーバー接続リクエスト情報に対応するメールサーバー接続応答情報を取得し、前記メールサーバー接続応答情報を前記外部メール接続装置400に伝送することができる。
【0142】
これにより、認証処理部197は、接続遮断されていない正常のメールエンジン用の通信プロトコルに基づく接続を許容することができ、接続認証後に受発信されるメールデータは、セキュリティ脅威検査部130及びメール処理部150を介して保護処理されるため、システム脆弱点が解消されてセキュアなメールセキュリティシステムを提供することが可能になる。
【0143】
本発明の実施形態において、受信メールセキュリティ装置100の動作に重点をおいて説明したが、メールエンジン用のプロトコルに基づくメールサーバー接続リクエスト情報の遮断機能及び動作は、発信メールセキュリティ装置200の場合にも同様に構成可能である。したがって、本発明の実施形態に係るメールサーバー接続セキュリティ認証処理部190は、発信メールセキュリティ装置200と連動するとしても、同一の方式により動作することができる。すなわち、上述したように、本発明の実施形態に係る受信メールセキュリティ装置100及び発信メールセキュリティ装置200は、メールサーバー接続セキュリティ認証処理部190を共通して備える一つのメールセキュリティ装置を構成することができ、その名称により制限されるものではない。
【0144】
図5は、本発明の実施形態に係るメールセキュリティ装置の動作を説明するためのフローチャートである。
【0145】
図5を参照すると、本発明の実施形態に係るメールセキュリティ装置100は、まず、セキュリティ網の外部に予め配信されたメール通信プロトコルベースの接続経路情報に基づいて、外部メール接続装置400から受信されるメールサーバー接続リクエスト情報を受信する(S101)。
【0146】
そして、メールセキュリティ装置100は、メールエンジン用の通信プロトコル処理モジュールに前記メールサーバー接続リクエスト情報を入力して、前記メールサーバー接続リクエスト情報に含まれている一つ以上の細部接続情報を取得する(S103)。
【0147】
この後、メールセキュリティ装置100は、細部接続情報に基づいて、接続の遮断有無を決定する(S105)。
【0148】
接続遮断として決定された場合、メールセキュリティ装置100は、メールユーザー識別情報及び暗号化したメールユーザー暗号情報を含む認証問い合わせ情報をメールサーバー300に転送する(S109)。
【0149】
そして、メールセキュリティ装置100は、前記メールサーバー300から、前記メールサーバー接続リクエスト情報に対応するメールサーバー接続応答情報を取得して、前記外部メール接続装置に伝送する(S111)。
【0150】
この後、メールセキュリティ装置100は、認証された外部メール接続装置とのメールデータの受発信のモニターリングを行って(S113)、セキュリティ脅威検査を行い、メール内容に基づいて、スパムメール、悪性メール、社会工学的な攻撃などをさらに遮断することができる。
【0151】
一方、ステップS105において、接続遮断として決定された場合、メールセキュリティ装置100は、外部メール接続装置400の前記メールサーバー接続リクエスト情報の前記メールサーバー300への転送を遮断する(S107)。
【0152】
ここで、前記遮断に伴う遮断応答情報が構成されて、外部メール接続装置400に転送されてもよい。遮断応答情報には、例えば、別途の外部ユーザー認証リクエスト情報が含まれていてもよい。この場合、外部メール接続装置400は、別途の外部ユーザー認証を行い、認証値を含むメールサーバー接続リクエスト情報を構成して、メールセキュリティ装置100に再びリクエストすることもでき、このような認証値が含まれているメールサーバー接続リクエスト情報が受信された場合、メールセキュリティ装置100は、接続遮断を解除し、ステップS109~ステップS113を再び行うことができる。
【0153】
上述した本発明に係る方法は、コンピューターにおいて実行されるためのプログラムとして作成されてコンピューターにて読み取り可能な記録媒体に記憶可能であり、コンピューターにて読み取り可能な記録媒体の例には、読み出し専用メモリー(ROM:Read Only Memory)、ランダムアクセスメモリー(RAM:Random Access Memory)、コンパクトディスク(CD)による読み出し専用メモリー(CD-ROM:Compact Disc Read Only Memory)、磁気テープ、フロッピーディスク、光データ記憶装置などが挙げられる。
【0154】
また、コンピューターにて読み取り可能な記録媒体は、ネットワークにより結ばれたコンピューターに分散されて分散方式によりコンピューターにて読み取り可能なコードが記憶されかつ実行され得る。そして、前記方法を実現するための機能的なプログラム、コード及びコードセグメントは、本発明が属する技術分野におけるプログラマーにより容易に推論可能である。
【0155】
また、以上においては、本発明の好適な実施形態について図示及び説明したが、本発明は、上述した特定の実施形態に何ら限定されるものではなく、特許請求の範囲において請求する本発明の要旨から逸脱することなく、当該発明が属する技術分野において通常の知識を有する者により種々の変形実施が可能であるということはいうまでもなく、これらの変形された実施形態は、本発明の技術的思想や見通しから個別的に理解されてはならない。
図1
図2
図3
図4
図5
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.