特表2024-533008標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-12
(54)【発明の名称】標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240905BHJP
【FI】
G06F21/55
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023578183
(86)(22)【出願日】2022-12-02
(85)【翻訳文提出日】2023-12-19
(86)【国際出願番号】 KR2022019497
(87)【国際公開番号】W WO2024029666
(87)【国際公開日】2024-02-08
(31)【優先権主張番号】10-2022-0097174
(32)【優先日】2022-08-04
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2022-0151267
(32)【優先日】2022-11-14
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2022-0151268
(32)【優先日】2022-11-14
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2022-0166583
(32)【優先日】2022-12-02
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH CO., LTD.
【住所又は居所原語表記】509-Ho,53,Digital-ro 31-gil,Guro-gu,Seoul,Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(57)【要約】
電子メールセキュリティシステムの動作方法は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するステップと、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップと、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うステップと、を含む。
【特許請求の範囲】
【請求項1】
電子メールセキュリティシステムの動作方法において、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するステップと、
前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップと、
前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うステップと、
を含み、
新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査は、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含む、電子メールセキュリティシステムの動作方法。
【請求項2】
前記新規受信メールまたは新規発信メールの標的型電子メールセキュリティ脅威の検査結果に基づいて、前記セキュリティ脅威情報の同期化データを更新するステップをさらに含む、請求項1に記載の電子メールセキュリティシステムの動作方法。
【請求項3】
前記セキュリティ脅威情報の同期化データは、悪性コード電子メール攻撃の脅威の検査用のURL最終宛先追跡検査情報を含む、請求項1に記載の電子メールセキュリティシステムの動作方法。
【請求項4】
前記セキュリティ脅威情報の同期化データは、社会工学的な攻撃の脅威の検査用のヘッダー偽変造の検査情報、類似ドメイン検査情報、アカウント乗っ取りの検査情報のうちの少なくとも一つを含む、請求項1に記載の電子メールセキュリティシステムの動作方法。
【請求項5】
前記セキュリティ脅威情報の同期化データは、電子メール情報流出検査用の故意的な情報流出検査情報、非故意的情報流出検査情報のうちの少なくとも一方を含む、請求項1に記載の電子メールセキュリティシステムの動作方法。
【請求項6】
前記新規受信メールまたは前記新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップは、前記新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うに際して、前記セキュリティ脅威情報の同期化データを用いて、前記新規発信メールの受信者が詐欺性の類似メールアドレスとして分類されるか否かを決定するステップを含む、請求項5に記載の電子メールセキュリティシステムの動作方法。
【請求項7】
前記標的型電子メールセキュリティ脅威への対応処理を行うステップは、前記受信者が前記詐欺性の類似メールアドレスとして分類された場合、前記新規発信メールの発送を自動的に遮断するか、あるいは、発信者に警告するステップを含む、請求項6に記載の電子メールセキュリティシステムの動作方法。
【請求項8】
前記新規受信メールまたは前記新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップは、前記新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うに際して、前記セキュリティ脅威情報の同期化データを用いて、メールポリシーに準拠して前記新規発信メールに通常メールに変換されて添付されるべき大容量添付ファイルのセキュリティ脅威の検査を行うステップを含む、請求項5に記載の電子メールセキュリティシステムの動作方法。
【請求項9】
前記標的型電子メールセキュリティ脅威への対応処理を行うステップは、前記大容量添付ファイルのセキュリティ脅威検査に伴い、前記通常メールに変換されて添付されるべき大容量添付ファイルの変換が承認されるステップをさらに含む、請求項8に記載の電子メールセキュリティシステムの動作方法。
【請求項10】
電子メールセキュリティシステムを用いたサービス提供装置において、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するセキュリティ脅威情報同期化処理部と、
前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行う標的型電子メールセキュリティ脅威検査部と、
前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うメール処理部と、
を備え、
新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査は、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含む、電子メールセキュリティシステムを用いたサービス提供装置。
【請求項11】
前記社会工学的な電子メール攻撃の脅威の検査は、前記セキュリティ脅威情報の同期化データから取得される累積ドメイン情報を用いて、類似ドメインを用いた社会工学的な攻撃の脅威を検出する類似ドメイン検査を含む、請求項10に記載のサービス提供装置。
【請求項12】
前記類似ドメイン検査は、前記セキュリティ脅威情報の同期化データから取得される累積ドメイン情報を用いて、前記新規受信メールに含まれている発信者ドメインが累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であるか否かを段階的に検査する検査プロセスを含む、請求項11に記載のサービス提供装置。
【請求項13】
前記類似ドメイン検査は、前記セキュリティ脅威情報の同期化データから取得される累積ドメイン情報を用いて、前記新規発信メールに含まれている受信者ドメインが累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であるか否かを段階的に検査する検査プロセスを含む、請求項11に記載のサービス提供装置。
【請求項14】
前記類似ドメイン検査は、前記セキュリティ脅威情報の同期化データから取得される累積ドメイン情報を用いて、前記新規発信メールまたは新規受信メールに含まれている受信者または発信者ドメインが、累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であるか否かを段階的に検査する検査プロセスを含み、前記段階的に検査する検査プロセスは、累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であると検出された類似ドメインの類似文字数ベースの類似度を段階的に算出し、
前記標的型電子メールセキュリティ脅威の検査を行うステップは、前記類似文字数ベースの類似度に基づいて、前記新規発信メールまたは新規受信メールの類似ドメインベースの社会工学的な電子メール攻撃の脅威レベルを決定するステップをさらに含む、請求項11に記載のサービス提供装置。
【請求項15】
前記社会工学的な電子メール攻撃の脅威の検査は、前記セキュリティ脅威情報の同期化データから取得されるアカウント乗っ取りの検査項目別の学習データを用いて、アカウント乗っ取りを用いた社会工学的な攻撃の脅威を検出するアカウント乗っ取りの検査を含む、請求項10に記載のサービス提供装置。
【請求項16】
前記アカウント乗っ取りの検査は、前記セキュリティ脅威情報の同期化データから取得されるアカウント乗っ取りの検査項目別の累積学習データを用いて、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含む、請求項15に記載のサービス提供装置。
【請求項17】
前記アカウント乗っ取りの検査項目別の累積学習データは、受信メールまたは発信メールのメールヘッダーから取得される発信者ヒストリー情報を含み、前記アカウント乗っ取りの検査は、前記発信者ヒストリー情報の累積学習データと、前記新規発信メールまたは前記新規受信メールの発信者の位置情報または発信者のIP情報とを比較して、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含む、請求項16に記載のサービス提供装置。
【請求項18】
前記発信者ヒストリー情報は、メール発送IP及びメールサーバーIPに基づいて構成される初期宛先(destination)情報、経由地点(waypoint)情報及び最終宛先(destination)情報を含み、前記アカウント乗っ取りの検査は、前記新規発信メールまたは前記新規受信メールのヘッダーから取得される初期宛先(destination)情報、経由地点(waypoint)情報または最終宛先(destination)情報を比較して、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含む、請求項17に記載のサービス提供装置。
【請求項19】
前記標的型電子メールセキュリティ脅威の検査結果に基づいて、前記新規受信メールまたは新規受信メールに対応する診断レポーティングを行うステップをさらに含み、前記診断レポーティングを行うステップは、
前記標的型電子メールセキュリティ脅威の検査結果に基づいて、脅威レベル要素の分類基準に対応する項目別のスコアを決定するステップを含む、請求項10に記載のサービス提供装置。
【請求項20】
前記診断レポーティングを行うステップは、前記項目別のスコアを用いて、標的型電子メールの攻撃電子メール危険スコアを算出するステップと、
前記標的型電子メールの攻撃電子メール危険スコアに対応するセキュリティ等級を決定するステップと、
前記決定されたセキュリティ等級に応じて、ガイドコンテンツを構成して、電子メールデータに埋め込むステップと、
をさらに含む、請求項19に記載のサービス提供装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法に関する。
【背景技術】
【0002】
最近のネットワーク攻撃技術の発達には目を見張るものがあり、これに伴い、現代社会において電子メールを用いたサイバー攻撃はどんどん進化しつつある。マルウェアと社会工学を用いた複雑なサイバー攻撃戦術を用いて、いわゆる標的電子メール攻撃と呼ばれる特定の対象を狙った悪性電子メールの活動が増えることに伴い、世界中の活動的なインターネットユーザーと企業が被害を蒙っている。
【0003】
このような標的電子メール攻撃は、不特定多数を対象とするスパムフィッシング攻撃とは異なり、個人や企業を対象として設定した後、特定の人を対象として対象主体の情報資産を毀損したり損なったりする攻撃を含む。
【0004】
標的型電子メールの攻撃を行うために、脅威行為者は、情報を収集してまるで実際かのように見える個人化した電子メールメッセージを作成して標的がこれに応答するように説得し、結局にはセキュリティホールを作る。
【0005】
さらに、受信(インバウンド)及び発信(アウトバウンド)の電子メールに用いられる標的攻撃は、ヘッダー偽変造、類似電子メールアドレスまたはアカウント乗っ取り(ATO;アカウントテイクオーバー)などを用いて、未知の知能型悪性コードを添付したり、対象が信頼する正常的な発信者に成り済ましたりするなど精巧かつ未知の方法を用いるため、被害者は、攻撃者が誤って送金、データ流出、コンピューターシステム障害などを意図した添付ファイルをクリックしたり、個人情報が含まれている返答を送ったりするなどして電子メールに応答する。
【0006】
これは、被害者の情報資産に深刻な危険を招いてしまう虞がある。しかしながら、このような標的型電子メール攻撃の深刻性に比べて、これまで提案されてきた電子メールセキュリティソリューションは、単なるインバウンドスパムの遮断、インバウンドドメインの遮断などの断片的な技術に留まっているだけであり、既知の技術を総合的に活用して標的型電子メールの攻撃を有効に防いだり遮断したりするソリューションは未だに提案できずにいるのが現状である。
【0007】
特に、受信(インバウンド)側への標的型電子メールの攻撃は、結局として、発信(アウトバウンド)に対するセキュリティの問題点にもつながり、発信セキュリティの問題点が再び受信セキュリティの問題点にもつながるため、これを総合的に考慮して標的型電子メールの攻撃を遮断するための体系的なセキュリティシステムが求められてはいるが、適切なソリューションは未だに提案できずにいるのが現状である。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、上述したような問題点を解消するために案出されたものであって、インバウンド及びアウトバウンドのメールに対する段階的な標的型電子メール攻撃の脅威の検査プロセスを用いて、標的型電子メールの攻撃を有効に遮断し、これに対応する適切な対応プロセスと診断レポーティングを提供することのできる標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム装置及びその動作方法を提供することにその目的がある。
【課題を解決するための手段】
【0009】
上記のような目的を達成するための本発明の実施形態に係る電子メールセキュリティシステムの動作方法は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するステップと、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップと、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うステップと、を含み、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査は、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含む。
【0010】
上記のような目的を達成するための本発明の実施形態に係る電子メールセキュリティシステムを用いたサービス提供装置は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するセキュリティ脅威情報同期化処理部と、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行う標的型電子メールセキュリティ脅威検査部と、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うメール処理部と、を備え、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査は、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含む。
【0011】
一方、上記のような目的を達成するための本発明の実施形態に係る方法は、前記方法をコンピューターにて実行させるためのコンピューターにて読み取り可能な記録媒体及び前記記録媒体に記憶されるコンピュータープログラムにより実現されてもよい。
【発明の効果】
【0012】
本発明の実施形態によれば、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成し、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を段階的に行うことにより、効果的な標的型電子メール攻撃の脅威の検査プロセスを処理することができる。
【0013】
これにより、本発明は、インバウンド及びアウトバウンドメールに対する段階的な標的型電子メール攻撃の脅威の検査プロセスを用いて、標的型電子メールの攻撃を有効に遮断し、これに対応する適切な診断レポーティングと対応プロセスを提供することのできる標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム装置及びその動作方法を提供することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施形態に係る全体のシステムを概略的に示す概念図である。
【図2】本発明の実施形態に係るサービス提供装置を説明するためのブロック図である。
【図3】本発明の実施形態に係るサービス提供装置の一部の構成をより具体的に説明するためのブロック図である。
【図4】本発明の実施形態に係るサービス提供装置の一部の構成をより具体的に説明するためのブロック図である。
【図5】本発明の実施形態に係るシステムを用いたサービスプロセスを説明するためのフローチャートである。
【図6】本発明の実施形態に係るシステムを用いたサービスプロセスを説明するためのフローチャートである。
【図7】本発明の実施形態に係る大容量ファイルの流出の検査プロセスを説明するための図である。
【図8】本発明の実施形態に係る大容量ファイルのポリシーベースの承認プロセスを説明するための梯子図である。
【発明を実施するための形態】
【0015】
以下の内容は、単に本発明の原理を例示する。そのため、当業者であれば、たとえ本明細書に明らかに説明されたり図示されたりしていないものの、本発明の原理を実現し、本発明の概念と範囲に含まれている種々の装置と方法を発明することができるのである。なお、本明細書に列挙されたすべての条件付き用語及び実施形態は、原則として、本発明の概念が理解されるようにするための目的にしか明らかに意図されず、このように特別に列挙された実施形態及び状態に制限的ではないものと理解されるべきである。
【0016】
また、本発明の原理、観点及び実施形態だけではなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的及び機能的な均等物を含むように意図されるものであると理解されるべきである。なお、これらの均等物は、現在公知となっている均等物だけではなく、将来に開発されるべき均等物、すなわち、構造とは無関係に同一の機能を行うように発明されたあらゆる素子を網羅するものであると理解されるべきである。
【0017】
よって、例えば、本明細書のブロック図は、本発明の原理を具体化させる例示的な回路の概念的な観点を示すものであると理解されるべきである。これと同様に、すべてのフローチャート、状態変換図、擬似コードなどは、コンピューターにて読み取り可能な媒体に実質的に示すことができ、コンピューターまたはプロセッサーが明らかに示されているか否かを問わずに、コンピューターまたはプロセッサーにより行われる様々なプロセスを示すものであると理解されるべきである。
【0018】
また、プロセッサー、制御またはこれと略同じ概念として提示される用語の明確な使用は、ソフトウェアを実行する能力をもったハードウェアを排他的に引用して解釈されてはならず、制限なしにデジタル信号プロセッサー(DSP)ハードウェア、ソフトウェアを記憶するための読み込み専用メモリー(ROM)、ランダムアクセスメモリー(RAM)及び不揮発性メモリーを暗示的に含むものであると理解されるべきである。周知慣用の他のハードウェアもまた含まれ得る。
【0019】
上述した目的、特徴及びメリットは、添付図面と結び付けて行われる以下の詳細な説明からなお一層明らかになる筈であり、それにより、本発明が属する技術分野において通常の知識を有する者が本発明の技術的思想を容易に実施することができる筈である。なお、本発明を実施するに当たって、本発明と関わる公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合にはその詳細な説明を省略する。
【0020】
本出願において用いた用語は、単に特定の実施形態を説明するために用いられたものであり、本発明を限定しようとする意図はない。単数の表現は、文脈からみて明らかに他の意味を有さない限り、複数の言い回しを含む。本出願において、「備える」または「有する」などの用語は、明細書に記載の特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものに過ぎず、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないものと理解すべきである。
【0021】
以下、添付図面に基づいて、本発明の好適な実施形態について詳しく説明する。本発明について説明するにあたって、全体的に理解し易くするために、図中の同一の構成要素に対しては、同一の参照符号を付し、同一の構成要素についての重複する説明は省略する。
【0022】
本明細書中で使われる「メール(mail)」は、ユーザーが端末装置とここにインストールされるクライアントプログラムまたはウェブサイトを介して、コンピューター通信網を用いてやり取りする電子メール(Electronic mail)、ウェブメール(Webmail)、電子郵便、電子郵便物などの用語をまとめて用いることができる。
【0023】
図1は、本発明の一実施形態に係る全体のシステムを示す概念図である。
【0024】
図1を参照すると、本発明の一実施形態に係るシステムは、サービス提供装置100と、ユーザー端末200と、メールサーバー300と、を備える。
【0025】
より具体的には、サービス提供装置100と、ユーザー端末200及びメールサーバー300は、公衆網(Public network)と結ばれることで、有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であって、一般に、電話網、データ網、CATV網及び移動通信網などを網羅し、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供する。本発明においては、前記公衆網をネットワークに書き換える。
【0026】
また、前記サービス提供装置100と、ユーザー端末200及びメールサーバー300は、各通信網に相当するプロトコルにより通信するためのそれぞれの通信モジュールを備えていてもよい。
【0027】
前記サービス提供装置100は、メールセキュリティ及び診断サービスの提供のために、各ユーザー端末200及びメールサーバー300と有/無線ネットワークを介して接続さてもよく、各ネットワークに接続された装置または端末は、予め設定されたネットワークチャンネルを介して相互間の通信を行うことができる。
【0028】
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radio communication network)または衛星通信網などといったあらゆる種類の有/無線ネットワークにより実現されてもよい。
【0029】
本明細書中で説明されるサービス提供装置100は、メールを介した意図しないプログラムの実行とメール関連システムのデータ処理能の低下、フィッシング詐欺などを引き起こす攻撃を探知しかつ遮断することが可能なメールセキュリティサービスを提供することができる。
【0030】
さらに、サービス提供装置100は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成し、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うことにより、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うメールセキュリティサービスを提供することができる。
【0031】
ここで、前記新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査は、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含んでいてもよく、セキュリティレベルに対応して事前定義された段階的検査プロセスに従い、標的型電子メールの検査を処理し、処理された検査データは、前記セキュリティ脅威情報の同期化データを更新するのに使用可能である。
【0032】
また、サービス提供装置100は、セキュリティ脅威情報の同期化データと、標的型電子メールの検査処理情報とを用いて、標的型電子メールの攻撃に対応するメールセキュリティ脅威要素の定量分析に基づくメール診断プロセスを行い、各電子メールシステムユーザー端末200に前記診断プロセスに基づく診断レポーティングを提供するメール診断サービスを提供することができる。
【0033】
そして、本明細書中で説明されるユーザー端末200は、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、個人用デジタル補助装置(PDA:Personal Digital Assistants)、携帯型マルチメディアプレーヤー(PMP:Portable Multimedia Player)などを網羅するが、本発明は、これらに何ら限定されるものではなく、公衆網または私設網などを介して、前記サービス提供装置100とメールサーバー300などと接続可能な装置であってもよい。
【0034】
これに加えて、それぞれの装置は、アプリケーションの駆動またはウェブブラウジングを用いた情報の入出力が可能な多種多様な装置であってもよい。特に、一般に、ユーザー端末200は、個別的なセキュリティネットワークを介して、前記サービス提供装置100と接続されてもよい。
【0035】
一方、前記メールサーバー300は、ユーザーがユーザー端末200を介して作成したメールを発信したり、相手方がユーザー端末200を介して作成したメールを受信したりできるように電子郵便の内容を中継及び保管するシステムである。前記メールサーバー300は、メールの受信及び発信処理という使用目的に応じて、予め設定されたプロトコルを活用して相互間の通信を行うことができる。
【0036】
一般に、前記プロトコルとしては、メールの受信処理に際して、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)が使用可能である。また、前記プロトコルとしては、メールの発信処理に際して、簡易メール転送プロトコル(SMTP:Simple Mail Transfer Protocol)が使用可能である。このように、メールサーバー300は、メールの送受信処理のためのサーバー(server)システムとして構成されて作動することができる。なお、前記メールサーバー300は、メール受信サーバーとメール発信サーバーとに細分化されてそれぞれの機能を提供することができる。
【0037】
【0038】
まず、図2を参照すると、本発明の一実施形態に係るサービス提供装置100は、制御部110と、検査データ収集部120と、標的型電子メールセキュリティ脅威検査部130と、セキュリティ脅威情報同期化処理部140と、受信メール処理部150と、発信メール処理部160と、レコード管理部170と、診断レポーティング部180及び通信部125を備える。
【0039】
制御部110は、前記サービス提供装置100の各構成要素の動作を全般的に制御するための一つ以上のハードウェアプロセッサーにより実現されてもよい。
【0040】
通信部125は、ユーザー端末200またはメールサーバー300が位置しているネットワークと通信するための一つ以上の通信モジュールを備えていてもよい。
【0041】
検査データ収集部120は、メールサーバー300を介して、一つ以上のユーザー端末200の間において送受信されるメール情報を収集することができる。前記メール情報は、電子メールヘッダー情報と、電子メールタイトルと、電子メール内容本文及び一定期間の受信回数などを含んでいてもよい。
【0042】
具体的には、前記電子メールヘッダー情報は、メール発信サーバーIPアドレス、メール発信サーバーホスト名情報、発信者メールドメイン情報、発信者メールアドレス、メール受信サーバーIPアドレス、メール受信サーバーホスト名情報、受信者メールドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時間情報、メール発信時間情報などを含んでいてもよい。
【0043】
また、前記電子メールヘッダーは、メールが送受信される過程において必要となるネットワーク経路情報、メールのやり取りのためのメールサービスシステム間の使用プロトコル情報などを含んでいてもよい。
【0044】
追加的に、前記メール情報は、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイル内容の本文、統一資源位置指定子(URL:Uniform Resource Locator)情報などを含んでいてもよい。前記添付ファイルは、発信者が受信者に転送しようとするメール本文の内容に加えて、追加的な情報を転送したり情報の返信を求めたりするためのさらなるコンテンツを含んでいてもよい。
【0045】
前記コンテンツは、テキスト、画像、動画などを提供することができる。受信者は、メールに添付されているファイルに対応するアプリケーションを実行してコンテンツを確認することができる。また、受信者は、メールに添付されているファイルをローカル格納装置にダウンロードして格納及び管理することが可能である。
【0046】
前記添付ファイルの拡張子は、ファイルの形式や種類を区別することができる。前記添付ファイルの拡張子は、一般に、ファイルの属性やファイルを生成したアプリケーションを示す文字列により区別されてもよい。例えば、テキストファイルは、[ファイル名].txt、MSワードファイルは、[ファイル名].doc(docx)、ハングルファイルは、[ファイル名].hwpなどの拡張子により区別されてもよい。また、画像ファイルは、gif、jpg、png、tifなどにより拡張子が区別されてもよい。
【0047】
追加的に、コード化した指令に従って指示された作業を行わせるコンピューターファイルである実行ファイルは、[ファイル名].com、[ファイル名].exe、[ファイル名].bat、[ファイル名].dll、[ファイル名].sys、[ファイル名].scrなどにより区別されてもよい。
【0048】
前記添付ファイルのハッシュ情報は、情報の偽変造を確認して情報の無欠性を保証することができる。ハッシュ情報またはハッシュ値は、ハッシュ関数を用いて、任意の長さを有する任意のデータに対して一定の長さのビット列にマッピングされてもよい。
【0049】
これを通して、最初に生成される添付ファイルに対して、ハッシュ関数を介して出力されるハッシュ情報は、固有の値を有することになる。前記出力されるハッシュ情報またはハッシュ値は、逆に、関数に入力されるデータを抽出できない一方向性を有する。また、ハッシュ関数は、一つの与えられた入力データに対して出力されたハッシュ情報またはハッシュ値と同一の出力を提供する他の入力データは、計算的に不可能な衝突回避性を保証することができる。これにより、前記添付ファイルのデータを修正したり追加したりすれば、ハッシュ関数の出力値は異なるように返される。
【0050】
このように、前記添付ファイルの固有のハッシュ情報は、メールを介してやり取りするファイルに対して、ハッシュ情報またはハッシュ値を比較することにより、ファイルの修正、偽変造の有無を確認することができる。また、前記ハッシュ情報は、固有の値に固定されるため、悪意的な意図をもって生成したファイルに対する過去のヒストリーのデータベースであるレピュテーション情報を活用することにより、事前防疫措置を取らせることができる。追加的に、前記ハッシュ関数は、一方向性と衝突回避性を保証可能な技術及びバージョンとして利用可能である。
【0051】
例えば、ハッシュ情報は、ウィルストータルウェブサイトやマルウェアズウェブサイトを介して、ファイルの悪性コードの有無に関する検索情報として活用可能である。前記ファイルのハッシュ情報の分析を提供するウェブサイトを介して、ファイルのプロバイダー、ファイルのハッシュ値などの情報の提供を受けることができる。また、ファイルのハッシュ情報に対する検索の結果は、多数のIT情報セキュリティソリューションを提供するグローバル会社において判別したレピュテーション情報をクロスチェックすることができて、さらに信頼性ある情報をもって判断することが可能である。
【0052】
標的型電子メールセキュリティ脅威検査部130は、予め設定された標的型電子メールセキュリティ脅威の検査プロセスに従い、前記メール情報に対応するメールセキュリティ検査プロセスの段階別のマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に伴うメールセキュリティの検査情報を格納及び管理することができる。
【0053】
ここで、前記標的型電子メールセキュリティ脅威の検査プロセスは、新規受信メールまたは新規発信メールに対応して、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含んでいてもよい。
【0054】
また、このようなスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査は、各セキュリティ脅威類型に応じて、予め設定された段階的なプライオリティが設定され、順次に処理されてもよい。
【0055】
さらに、前記標的型電子メールセキュリティ脅威の検査プロセスは、新規受信メールまたは新規発信メールに対応する互いに異なるメールセキュリティプロセスが決定されてもよい。また、前記メールセキュリティプロセスの検査の対象、検査の順序または検査の方式は、同期化したセキュリティ脅威情報の同期化データにより予め決定されてもよい。
【0056】
前記標的型電子メールセキュリティ脅威の検査プロセスは、受信(インバウンド)または発信(アウトバウンド)のためのメール情報がユーザー端末200から伝送されれば、独立的に区分けされたプロセスをリソースとして割り当て、前記メール情報で割り当てられた検査領域において即座に実行可能である。流動的なリソースの割り当て方式は、仮想空間の概念であると説明可能である。前記仮想空間にリソースを割り当てる方式において、メールセキュリティプロセスは、処理が完了したとき、順次に流入してくるメール情報で割り当てられた検査領域において作業を即座に処理することができる。
【0057】
これとは対照的に、仮想環境、仮想マシンのように一つのリソース内において処理が制限される一定のプロセスが割り当てられた環境は、リクエストされる作業を処理するとき、特定のプロセスの処理が完了するまで他のプロセスが待機するアイドル(idle)タイムを有し得る。このように、プロセスを用いた分析方式において、流動的リソースは、固定型リソースと比較するときに処理速度及び性能の側面からみて優位を占めることができる。
【0058】
前記標的型電子メールセキュリティ脅威検査部130は、前記検査データ収集部120において収集された前記メール情報に基づいて受信または発信の目的にメールを区別することができる。この後、前記標的型電子メールセキュリティ脅威検査部130は、前記メールセキュリティプロセスを順次にまたは設定されたプライオリティに基づいてマッチングしかつ分析することにより、それぞれのメールに関する標的型電子メールセキュリティの検査情報を取得することができる。
【0059】
ここで、前記標的型電子メールセキュリティ脅威検査部130は、悪性コードを用いた電子メール脅威類型のみならず、悪性コードがない攻撃類型に対する検査をも処理することができる。標的型電子メール攻撃の具体的な類型は、悪性コード攻撃のみならず、なりすまし、アカウント乗っ取りなどといった社会工学的な攻撃があり得、これによる非故意的な情報の流出または故意的な情報の流出の攻撃なども相当し得る。
【0060】
これにより、標的型電子メールセキュリティ脅威検査部130は、それぞれの類型別の攻撃を段階的に検出するために、スパム攻撃脅威検査部131と、悪性コード攻撃脅威検査部133と、社会工学的な攻撃脅威検査部135及び情報流出検査部137を備える。
【0061】
ここで、標的型電子メールセキュリティ脅威検査部130は、セキュリティ脅威情報同期化処理部140において事前に構成されたセキュリティ脅威情報の同期化データを用いることができる。
【0062】
このために、セキュリティ脅威情報同期化処理部140は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成することができる。
【0063】
ここで、セキュリティ脅威情報の同期化データは、各検査プロセス及び外部のセキュリティサーバーから収集された悪性ファイル情報及び悪性アカウントに関する識別情報を含んでいてもよく、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて構成されてもよい。
【0064】
例えば、前記セキュリティ脅威情報の同期化データは、特定の受信メールの標的型電子メールセキュリティ脅威の検査に際して悪性脅威レベルが高いと検査されたファイル情報や、なりすましやアカウント乗っ取りの可能性が高いと検査された発信者アカウント情報を含んでいてもよい。
【0065】
また、前記セキュリティ脅威情報の同期化データは、特定の発信メールの標的型電子メールセキュリティ脅威の検査に際して、情報流出の脅威レベルが高いと検査されたファイル情報や、なりすましやアカウント乗っ取りの可能性が高いと検査された受信者アカウント情報を含んでいてもよい。
【0066】
そして、前記セキュリティ脅威情報の同期化データは、類似ドメインの攻撃と紐付けされたものとして検出された電子メールアカウント及びドメイン情報を含む類似ドメイン検査情報を含んでいてもよい。
【0067】
また、前記セキュリティ脅威情報の同期化データは、アカウント乗っ取りの攻撃と紐付けされたものとして検出された電子メールアカウント及びドメイン情報を含むアカウント乗っ取り攻撃の検査情報を含んでいてもよい。
【0068】
そして、前記セキュリティ脅威同期化データは、URLリンクのリダイレクト経路情報をメール受信日以降に変更するゼロデイURL攻撃検査情報と、システムセキュリティ脆弱点が見つかってからこれを防止可能なパッチが発表されるも前にこれを用いた悪性コードやハッキング攻撃を処理するゼロデイマルウェア(zero-day malware)検査情報を含んでいてもよい。
【0069】
また、前記セキュリティ脅威同期化データは、電子メールサーバー情報、経由地点情報及び発送者情報を含む配信ルーティング検査情報(Delivery routing information)をさらに含んでいてもよい。
【0070】
さらに、前記セキュリティ脅威情報の同期化データは、標的型電子メールセキュリティ脅威検査部130の各処理部において処理される検査データを用いて更新処理され続けることができるため、これにより、発信及び受信セキュリティシステムの統合的なセキュリティ管理が可能であり、標的型電子メールの攻撃による内部システムの損傷や、外部への情報の流出を事前に有効に防ぐことができる。
【0071】
このようなセキュリティ脅威情報の同期化データは、後述する各セキュリティ検査プロセスにおいて検査される情報として、未知の悪性コード情報、添付ファイル悪性コード情報、URL悪性コード情報、ヘッダー偽変造情報、類似ドメイン情報、アカウント乗っ取り情報、URLフィッシング情報、故意的な情報流出情報、非故意的な情報流出情報、非承認の電子メールサーバーアクセス情報などが挙げられる。
【0072】
このような検査プロセスを行い、セキュリティ脅威情報の同期化データを構成するために、まず、前記標的型電子メールセキュリティ脅威検査部130は、スパムメール検査部131を備えていてもよい。
【0073】
前記スパムメール検査部131は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、メールヘッダー情報、メールタイトル、メール内容の本文、一定の期間の受信回数などを含む前記メール情報を予め設定したスパムインデックスと段階別にマッチングすることができる。
【0074】
ここで、前記スパムメール(迷惑メール、がらくたのメール、一括発信のメールとも呼ばれる。)セキュリティ脅威は、関係のない発信者と受信者の間において公告と広報などを目指して一方的に大量で不特定多数の人に無差別的に散布されるメール類型を含んでいてもよい。また、大量のスパムメールは、メールシステムのデータ処理能に負荷を与えてしまい、その結果、システムの処理能を低下させる原因になる虞がある。また、スパムメールは、内容本文などに含まれている無分別な情報に対してユーザーが意図せずに接続される虞もあり、潜在的なフィッシング詐欺のための情報に成り済まされ得るリスクがある。
【0075】
したがって、前記スパムメール検査部131は、メールヘッダー情報とメールタイトル、メール内容の本文などを含むメール情報に対してスパムメールとして区別可能な一定のパターン検査などを行うことで、スパムインデックスにおいて検査項目として用いることができる。これを通して、前記スパムメール検査部131は、前記スパムインデックスを段階別にマッチングしてスパムメール検査情報を取得し、かつ格納及び管理することができる。
【0076】
また、前記標的型電子メールセキュリティ脅威検査部130は、悪性コード攻撃脅威検査部132をさらに備えていてもよい。
【0077】
悪性コードは、被害者のコンピューターシステムにあるメモリーにアクセスしてファイルとプログラムを損傷したり削除したりする虞があるものであって、ここで、標的型電子メールセキュリティ脅威の検査の対象である悪性コード攻撃は、大きく3種類の攻撃にログ類型が区別可能であるが、悪性コード攻撃脅威検査部133は、各攻撃類型別の検査プロセスを行うための同期化したセキュリティ脅威情報の同期化データを確認することができ、検査結果に伴う検査データをセキュリティ脅威情報同期化処理部140に転送して、再びセキュリティ脅威情報の同期化データを更新するように処理することができる。
【0078】
まず、未知の悪性コードのための攻撃類型は、ビッグデータデータベースに登録されていないためワクチンテストにおいて探知し難い新たな未知の悪性コードを用いた攻撃を意味する。例えば、攻撃者は、発送当日ではない一定の時間以降にメール内のURLリンクや添付ファイルの接続経路をリダイレクトする方式により、悪性コードを配信するゼロデイ脆弱点を悪用して、セキュリティソリューションが探知できない新たな悪性コードが埋め込まれている添付ファイルを埋め込み、ユーザーのクリックを誘導する電子メールを発送することができる。
【0079】
また、添付ファイルの悪性コード攻撃において、悪性電子メールの添付ファイルは、攻撃者が一般に電子メールで送るファイルの内部に悪性コードを隠す脅威類型であって、このような悪性電子メールの添付ファイルは、文書、コンパイル及び実行ファイル、さらには画像及びビデオファイルに成り済ましてもよく、他の拡張子を用いて暗号化したファイルであってもよい。さらに、実行ファイルを用いた攻撃には、悪性文書が含まれている電子メールを開くように受信者を騙すために送り手のアドレスを偽造してもよく、画像に悪性コードを埋め込んで電子メール本文に添付する攻撃を含んでいてもよい。
【0080】
一方、URLを用いた悪性コード攻撃は、ユーザーを悪性ウェブサイトへと誘う目的で電子メールに悪性コードが埋め込まれているクリック可能なリンクを埋め込む攻撃類型であってもよい。悪性URLは、大容量添付ファイルまたは電子メール本文に埋め込まれる可能性があるため、ユーザーが電子メールまたは通常添付ファイルのURLをクリックするときのみならず、転送時にのみ悪性コードが実行されるようにする攻撃も含まれ得る。
【0081】
前記悪性コード攻撃脅威検査部132は、前述した各類型別のセキュリティ検査プロセスを行うために、添付ファイルのハッシュ情報、添付ファイル名、添付ファイル内容の本文、URL(Uniform Resource Locator)情報などをさらに含む前記メール情報を予め設定した悪性コードインデックスと段階別にマッチングすることができる。
【0082】
前記悪性コード攻撃脅威検査部132は、添付ファイルの属性値で確認可能な添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名などとともに、添付ファイル内容の本文と内容の本文に埋め込まれるURL(Uniform Resource Locator)情報を悪性コードインデックスの検査項目として用いることができる。これを通して、前記悪性コード攻撃脅威検査部132は、前記悪性コードインデックスを各類型及び項目に応じて段階別にマッチングして悪性コード検査情報を取得し、レコード管理部170を用いて格納及び管理することができ、セキュリティ脅威情報同期化処理部140に提供して、セキュリティ脅威情報の同期化データの更新を処理することができる。
【0083】
前記悪性コードインデックスとしては、段階別にメール情報に含まれる項目に基づく検査項目と検査を用いたレベル値が設定されてもよく、各検査レベル値は、前述したセキュリティ脅威情報の同期化データに基づいて更新可能である。
【0084】
例えば、前記悪性コードインデックスLevel 1は、セキュリティ脅威情報の同期化データから取得されるビッグデータ及びレピュテーション情報に基づいて、メール情報に含まれる添付ファイル名、添付ファイルの拡張子をマッチングすることができる。これを通して、前記悪性コードインデックスLevel 1は、評価されたレベル値を悪性コードインデックスLevel 1の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 1の検査情報は、検査項目である添付ファイル名が「Trojan」、添付ファイルの拡張子が「exe」を含んでいるとき、前記ビッグデータ及びレピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区別されたレベル値において「1」と評価可能である。これを通して、悪性コードインデックスLevel 1の検査情報は、「1」として取得可能である。
【0085】
追加的に、前記悪性コードインデックスLevel 2は、セキュリティ脅威情報の同期化データから取得されるビッグデータ及びレピュテーション情報に基づいて、メール添付ファイルのハッシュ情報をマッチングすることができる。これを通して、評価されたレベル値を悪性コードインデックスLevel 2の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 2の検査情報は、検査項目である添付ファイルハッシュ情報が「a1b2c3d4」として分析されるとき、前記レピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区別されたレベル値において「1」として評価可能である。これを通して、悪性コードインデックスLevel 2の検査情報は、「1」として取得可能である。
【0086】
次のステップとして、前記悪性コードインデックスLevel 3は、セキュリティ脅威情報の同期化データから取得されるURLレピュテーション情報に基づいて、添付ファイルまたはメール内容の本文に埋め込まれているURL(Uniform Resource Locator)情報をマッチングすることができる。これを通して、評価されたレベル値を悪性コードインデックスLevel 3の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 3の検査情報は、検査項目であるURL情報が「www.malicious-code.com」であると確認されるとき、前記URLレピュテーション情報で悪性コードファイルが含まれる有害サイトと定義された情報と一致する場合、0と1とに区別されたレベル値において「1」と評価可能である。これを通して、悪性コードインデックスLevel 3の検査情報は、「1」として取得可能である。そして、前記悪性コード攻撃脅威検査部132は、URLレピュテーション情報から漏れ得るゼロデイ攻撃に対応することができる。前記悪性コード攻撃脅威検査部132は、レピュテーション情報がないURLに関するリンクIPアドレスを特定のシステムのIPアドレスに変更し、変更されたIPアドレスをユーザー端末200に提供することができる。前記ユーザー端末200は、前記URLに接続しようとするとき、前記悪性コード攻撃脅威検査部132が変更した特定のシステムのIPアドレスに接続されてもよい。この前に、前記URLに対するリンクIPアドレスに変更された特定のシステムは、持続的にURLのエンドポイントまで悪性コードを含むか否かを検査することができる。
【0087】
一方、悪性コード攻撃脅威検査部133は、未知の悪性コードを識別するために、セキュリティ脅威情報の同期化データを用いた悪性コードの分類管理を行うことで、管理者が悪性ファイルとして識別された電子メールを分類構成できるようにし、これにより、ユーザーが再伝送をリクエストするとしても、ウィルスなどが伝達されないように処理することができる。
【0088】
また、悪性コード攻撃脅威検査部133は、未知の悪性コードの検査のために、多重分析検査を行うことができ、多重分析検査は、静的検査と動的検査とを組み合わせて、システムに対する悪性コードの行動を検査して1次検査において探知されていない新たなウィルスを探知することができる。行動検査結果は、例えば、「偽造」、「メモリーへのアクセス」、「フッキング警告」、「ファイル生成」、「ファイル削除」、「プロセス実行」に区別可能であり、これにより、悪性コード攻撃脅威検査部133は、行動検査を行った結果情報から悪性コード攻撃の脅威を検査し、検査結果をセキュリティ脅威情報同期化処理部140に転送して、セキュリティ脅威情報の同期化データの更新に用いることができる。
【0089】
例えば、悪性コード攻撃脅威検査部133は、3段階から構成されたウィルステストを行うことができるので、1次検査(ワクチン検査)、2次テスト(環境的なオペレーティングシステムの変更テスト)及び3次テスト(行動に基づく分析テスト)を段階的に処理して、各段階別の検査結果を用いた悪性コード攻撃の脅威を検査することができる。
【0090】
そして、悪性コード攻撃脅威検査部133は、セキュリティ脅威情報の同期化データ及びビッグデータに基づく検査を行うために、クラウドサービスを用いて、ユーザーのすべての受信(インバウンド)及び発信(アウトバウンド)電子メールデータを定期的にスキャンして追加検査が必要となる悪性添付ファイルを抽出することができる。
【0091】
そして、悪性コード攻撃脅威検査部133は、セキュリティ脅威情報の同期化データにより、セキュリティ脅威情報同期化処理部140においてビッグデータから構築されたデータを基に標的電子メール攻撃の危険有無を判断することができる。ビッグデータ分析機能は、偽造された拡張子(例えば、doc, .docx, .ppt, .pptx, .pdf, .txt, .rtfなど)までも悪性コード分析の対象として識別し、かつ感知することができる。
【0092】
一方、悪性コード攻撃脅威検査部133は、URLの悪性コードが検出された場合、受信メール処理部150に転送されるメール情報のURLデータを画像に変換処理することができる。これにより、添付された悪性URLが認識される危険な感知環境においてURLリンクを開けないように防止処理されることが可能になる。
【0093】
また、悪性コード攻撃脅威検査部133は、前述したエンドポイントURLモニターリングを行うことで、潜在的な危険をモニターリングし、電子メール本文または文書ファイル内のすべてのURLの最終宛先を持続的に追跡処理し続けることができる。ここで、悪性コード攻撃脅威検査部133は、すべてのURLを互いに接続されたn番目のURLとして追跡することができる。また、悪性コード攻撃脅威検査部133は、電子メール本文に埋め込まれている文書ファイルをURLにおいて確認し、特に、大容量添付ファイルの場合、電子メール本文のURLを迂回してダウンロードされる大容量添付ファイルに対しても、ダウンロード後の悪性添付ファイルまたは文書ファイルに対するすべてのURLを追跡することができる。
【0094】
そして、悪性コード攻撃脅威検査部133は、ユーザーが電子メールを受信した後、URLリンクのクリックを試みるとき、ファイル及びエンドポイントをスキャンすることで、リアルタイムにてURLへのアクセスを再点検し、危険が感知されれば、アクセスを制限するURLの事後テストを行うことができる。これに伴うURLの事後テスト情報は、セキュリティ脅威情報の同期化データにリアルタイムにて更新可能であり、受信メール処理部150及び発信メール処理部160は、このようなセキュリティ脅威情報の同期化データにより確認されたURLの事後テストの結果を参照して、標的型電子メールの攻撃に対する遮断、ユーザー報知などの処理を行うことができる。
【0095】
また、悪性コード攻撃脅威検査部133は、悪性コード攻撃を検査するための画像ベースのフィルターリングを行うことができるが、これは、テキストベースのフィルターリングまたは悪性添付ファイルのフィルターリングを避けるために構成されたテキスト悪性グラフィック画像を感知することができる。
【0096】
このように、前記悪性コードセキュリティプロセスを用いて、悪性コードインデックスレベル単位で取得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として格納及び管理可能である。このようにして合算された悪性コード検査情報は、セキュリティ脅威情報同期化処理部140に提供されて、セキュリティ脅威情報の同期化データの更新に利用可能である。
【0097】
一方、前記標的型電子メールセキュリティ脅威検査部130は、社会工学的な攻撃脅威検査部133をさらに備えていてもよい。前記社会工学的な攻撃脅威検査部133は、メールセキュリティ検査プロセスが社会工学的な攻撃の脅威セキュリティプロセスである場合に実行され、セキュリティ脅威情報の同期化データ及び予め設定された社会工学的な攻撃セキュリティ脅威項目に基づいて、メール情報から取得される社会工学的な攻撃分析データを項目別にマッチングすることができる。前記社会工学的な攻撃分析データは、メール情報に対応する各攻撃類型別の分析プロセスを行って取得可能である。
【0098】
例えば、前記社会工学的な攻撃脅威検査部133は、正常と判別されたメールから抽出可能な受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを社会工学的な攻撃の脅威検査項目として用いることができる。これを通して、前記社会工学的な攻撃脅威検査部133は、前記社会工学的な攻撃の脅威検査項目別の類型検査を行って、社会工学的な攻撃の脅威の検査情報を取得し、格納及び管理することができる。
【0099】
より具体的には、社会工学的な攻撃脅威検査部135は、社会工学的な攻撃の脅威の検査項目別の攻撃類型の検査を行うに際して、ヘッダーの偽変造検査、類似ドメインの検査、アカウント乗っ取りの検査及びURLフィッシングの検査を行うことができる。
【0100】
ヘッダー偽変造の検査は、攻撃者がユーザーの返答時のメールの宛先(送り先)を迂回するようにする電子メールヘッダーの偽造を検出する検査を含んでいてもよい。ヘッダーが偽変造された場合、攻撃者は、会社の資格証明情報及び個人情報が含まれ得る一般のユーザーの電子メールなどを横取りし得るリスクが存在する。
【0101】
これにより、社会工学的な攻撃脅威検査部135は、ヘッダー偽変造の検査を行うことで、このようなヘッダー偽変造の攻撃を事前に検出し、かつ遮断できるようにする。社会工学的な攻撃脅威検査部135の検査情報に基づいて、発信メール処理部160は、受信メールに返信するとき、返信すべき電子メールアドレスが異なる場合に予め遮断したり、発信ユーザーに警告処理を行ったりすることができる。このような処理のために、社会工学的な攻撃脅威検査部135は、電子メール通信プロトコルの認証有無を予め確認することができる。
【0102】
ヘッダー偽変造の検査に際して、社会工学的な攻撃脅威検査部135は、電子メール通信プロトコル認証の場合、発信者の電子メールが通信プロトコル(例えば、SPF(センダー・ポリシー・フレームワーク)、DKIM(ドメインキー識別メール)、DMARC(ドメインベースの認証、レポーティング、適合))が遵守しているか否かを確認して電子メールにおいて偽造された発信者アドレスを感知することができる。
【0103】
ヘッダー偽変造の検査に際して、また、社会工学的な攻撃脅威検査部135は、IPアドレス及びドメインの発信者のレピュテーションを管理し、電子メールアドレスに信頼可能なドメインがあるか否かを確認することができる。
【0104】
例えば、ヘッダー偽変造の検査のために、社会工学的な攻撃脅威検査部135は、電子メールヘッダー情報を分析してインバウンド電子メールの発信者ヘッダー値(From:<id@domain>)と返信アドレスヘッダー値(Reply-To:<id@domain>)とが異なるか否かを確認することができる。
【0105】
そして、社会工学的な攻撃脅威検査部135は、各ヘッダー値のうちのどのような部分が異なるかを判断して、段階別のフィルターリング結果を検査結果として出力することができる。例えば、IDの偽変造である場合、発信者のヘッダー値(From:<ABC@XYZ.com>)と返信アドレスのヘッダー値(Reply-To:<BAC@XYZ.com>)の「ID」が互いに異なる電子メールである場合に相当し得る。また、ドメインの偽変造の場合、発信者のヘッダー値(From:<ABC@XYZ.com>)と返信アドレスのヘッダー値(Reply-To:<ABC@YXZ.com>)の「Domain」が互いに異なる電子メールである場合に相当し得る。そして、アドレスの偽変造の場合、返信時の発信者のアドレスが互いに異なる電子メールである場合に相当し得、署名の偽変造の場合、電子メールの内容の署名部分が互いに異なる電子メールである場合に相当し得る。
【0106】
類似ドメインの検査は、攻撃者が電子メールアドレスにおいて悪性電子メールを送る攻撃類型を検査するものであって、人間の目視では一般の発信者と見分けることができないほどに類似しているものの、攻撃者の悪性ドメインである場合を含み得る。例えば、大文字「I」と小文字「l」は、外形が互いに似ていて攻撃用に悪用される可能性がある。
【0107】
これにより、社会工学的な攻撃脅威検査部135は、累積された電子メール履歴を基に発信者の電子メールアドレスまたはドメインが類似ドメインであるか否かを検査することができ、受信メール処理部150は、危険類似度のレベルをユーザーに報知し、当該電子メールを遮断することができる。
【0108】
ここで、社会工学的な攻撃脅威検査部135は、新規メールの類似メール詐欺の攻撃有無と社会工学的な攻撃の脅威の可能性を判断する基準として、セキュリティ脅威情報の同期化データに累積管理された電子メール履歴のメールアドレスと、新規メールのヘッダー情報に含まれているメールアドレスとの間の互いに同一ではなく、かつ、類似の文字数の情報を用いることができる。例えば、社会工学的な攻撃脅威検査部135は、互いに同一ではなく、かつ、類似の文字数が少なければ少ないほど、社会工学的な攻撃の脅威の可能性を高く判断し、判断結果を危険レベルとして算出して検査結果として出力することができる。
【0109】
また、電子メールセキュリティ管理者が自ら疑わしい類似電子メールアドレスをセキュリティ脅威情報の同期化データに登録してもよく、電子メールアドレスは、類似しているものの、最上位ドメイン(TLD:top level domain)のみ異なる場合、別途に分類して管理処理されてもよい。
【0110】
より具体的には、社会工学的な攻撃脅威検査部135は、新規メールのヘッダー情報に含まれているドメイン情報と、セキュリティ脅威情報同期化処理部140において同期化処理されたセキュリティ脅威情報の同期化データのメール履歴に含まれている累積ドメイン情報との間の類似度を計算することで、ユーザーが一般に区別し難い特定の文字(例えば、3文字)以下の類似の文字数を含む類似ドメインのメールを社会工学的な攻撃の脅威メールとして検出することができる。
【0111】
これにより、受信メール処理部150または発信メール処理部160は、新規メールに対応する社会工学的な攻撃の脅威の検査結果に基づいて、メールの受信または伝送の遮断、メールの受信または伝送の遅延またはメールの削除、ユーザー警報メッセージの伝送などを含む標的型電子メールセキュリティ脅威への対応処理を行うことができる。
【0112】
例えば、社会工学的な攻撃脅威検査部135は、新規受信メールの発信者ドメインの最上位ドメイン(TLD:top level domain)が、セキュリティ脅威情報の同期化データに含まれている既存の他のメールヒストリー情報に比べて、一部の修正があるか、あるいは、文字列の配列が一部並べ替えられているか、あるいは、文字列のうちの一つが類似の文字または他の文字に変更されている場合、社会工学的な攻撃の脅威レベルを検出することができ、検出された脅威レベルを検査結果として受信メール処理部150に出力することができる。受信メール処理部150は、予め設定された類似ドメインの処理ポリシーに準拠して、前記脅威レベルに応じた新規受信メールの受信の遮断、受信の遅延または削除処理及びユーザー警報メッセージ処理などを選択的に行うことができる。
【0113】
このような社会工学的な攻撃の脅威の類似ドメインの危険レベルは、セキュリティ脅威情報の同期化データに含まれている既存の他のメールヒストリー情報に比べて、一致しないものの、似ている類似の文字の変更の度合いに応じて、下記のように5種類の段階に区別されることが挙げられる。
【0114】
すなわち、社会工学的な攻撃脅威検査部135は、前記類似ドメインの検査を行うことで、前記セキュリティ脅威情報の同期化データから取得される累積ドメイン情報を用いて、前記新規受信メールに含まれている発信者ドメインが累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であるか否かを段階的に検査する検査プロセスを行うことができ、下記のように5種類の段階に区別される社会工学的な攻撃の脅威の類似ドメインの攻撃の危険段階のレベルを検査結果として出力することができる。
【0115】
TLDレベル:電子メールドメインの最後のセグメント(例えば、.com、.net、.orgなど)が類似文字に変更された場合、
低いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に3つ以上変更された場合、
普通レベル:電子メールアドレスのアルファベットが、区別可能な類似文字に2つ変更された場合、
高いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に1つ変更された場合、
危険レベル:電子メールアドレスのアルファベットが、区別し難い(例えば、l(小文字エール)とI(大文字アイ)など)類似文字のみから構成された場合、
このような構成により、社会工学的な攻撃脅威検査部135は、前記段階的に検査する検査プロセスを用いて、累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であると検出された類似ドメインの類似の文字数ベースの類似度を段階的に算出し、前記類似の文字数ベースの類似度に基づいて、前記新規発信メールまたは新規受信メールの類似ドメインベースの社会工学的な電子メール攻撃の脅威レベルを決定することができる。
低いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に3つ以上変更された場合、
普通レベル:電子メールアドレスのアルファベットが、区別可能な類似文字に2つ変更された場合、
高いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に1つ変更された場合、
危険レベル:電子メールアドレスのアルファベットが、区別し難い(例えば、l(小文字エール)とI(大文字アイ)など)類似文字のみから構成された場合、
このような構成により、社会工学的な攻撃脅威検査部135は、前記段階的に検査する検査プロセスを用いて、累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であると検出された類似ドメインの類似の文字数ベースの類似度を段階的に算出し、前記類似の文字数ベースの類似度に基づいて、前記新規発信メールまたは新規受信メールの類似ドメインベースの社会工学的な電子メール攻撃の脅威レベルを決定することができる。
【0116】
このような類似ドメインベースの社会工学的な電子メール攻撃の脅威レベル情報は、新規メールの標的型電子メールセキュリティ脅威の検査データから構成されて、受信メール処理部150または発信メール処理部160に転送され、これに対応する前述したメールの遮断、遅延または削除と、ユーザー警報プロセスが行われてもよい。
【0117】
一方、社会工学的な攻撃脅威検査部135は、アカウント乗っ取り(ATO:Account Takeover)の検査を行って、実際のユーザーのアカウントを用いる社会工学的な攻撃の脅威を検出することができる。
【0118】
アカウント乗っ取りの攻撃を通じて、攻撃者は、盗まれた電子メールアカウントにログインを試みた後、ユーザーのメール記録を探索して機密情報と潜在的な2次被害者を見つけることができる。例えば、攻撃者は、フィッシングサイトから盗んだアカウント情報をもって送金口座の変更をリクエストする電子メールを送ったり、アカウントに格納された機密情報を外部に転送したりする虞がある。
【0119】
これを防ぐために、本発明の実施形態に係る社会工学的な攻撃脅威検査部135は、セキュリティ脅威情報同期化処理部140の前記セキュリティ脅威情報の同期化データから取得されるアカウント乗っ取りの検査項目別の学習データを用いて、アカウント乗っ取りを用いた社会工学的な攻撃の脅威を検出するアカウント乗っ取りの検査を行うことができる。
【0120】
このために、セキュリティ脅威情報同期化処理部140は、アカウント乗っ取りの検査項目別の累積学習データを構成することができ、前記構成された学習データと実際のアカウント乗っ取りのケースの電子メール項目データとの間の人工知能モデルの学習処理に従い、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールである可能性を出力する学習モデルを構成することができる。ここで、人工知能モデルの学習処理は、周知の人工知能ディープラニングニューラルネットワーク技術であって、CNN(畳み込みニューラルネットワーク)、DNN(ディープニューラルネットワーク)、RNN(再帰型ニューラル ネットワーク)、LSTM(長・短期記憶)、回帰分析などの種々の周知の学習技術が応用可能である。
【0121】
そして、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの検査項目別の累積学習データの学習モデルに新規発信メールまたは新規受信メールのアカウント乗っ取りの検査項目データを適用することにより、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを行うことができる。
【0122】
例えば、前述した学習モデルに従い、セキュリティ脅威情報同期化処理部140は、アカウント乗っ取りの検査のためのメール情報のヘッダー構造情報を学習することができ、社会工学的な攻撃脅威検査部135は、構成されたヘッダー構造学習モデルに新規受信メールまたは新規発信メールのヘッダー構造情報を入力して、アカウント乗っ取りの検査に対応する有効性を検査することができる。このようなアカウント乗っ取りの検査方式は、電子メールに関する過去のデータの人工知能ベースの学習記録と現在の新規データとの間の比較分析を含む。
【0123】
また、社会工学的な攻撃脅威検査部135は、学習モデルのみならず、発信者ヒストリー情報を用いて、予め設定された検査プロセスに伴うアカウント乗っ取りの検査を行うことができる。
【0124】
より具体的には、前記アカウント乗っ取りの検査項目別の累積学習データは、受信メールまたは発信メールのメールヘッダーから取得される発信者ヒストリー情報を含んでいてもよく、社会工学的な攻撃脅威検査部135の前記アカウント乗っ取りの検査は、前記発信者ヒストリー情報の累積学習データと、前記新規発信メールまたは前記新規受信メールの発信者の位置情報または発信者のIP情報とを比較して、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含んでいてもよい。
【0125】
ここで、前記発信者ヒストリー情報は、メール発送IP及びメールサーバーIPに基づいて構成される初期宛先(destination)情報、経由地点(waypoint)情報及び最終宛先(destination)情報を含み、前記アカウント乗っ取りの検査は、前記新規発信メールまたは前記新規受信メールのヘッダーから取得される初期宛先(destination)情報、経由地点(waypoint)情報または最終宛先(destination)情報を比較して、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含んでいてもよい。
【0126】
より具体的には、アカウントの乗っ取りが生じた場合、発信者の位置またはIPアドレスが変更される可能性が高い。これにより、セキュリティ脅威情報同期化処理部140は、セキュリティ脅威情報の同期化データに発信者の位置情報とIP履歴情報をマッピングして累積管理することができ、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの検査のために、メール情報のヘッダー情報を分析して、発信者の位置情報とIP履歴情報が変更されたか否かを検査することができる。
【0127】
ここで、発信者の位置情報とIP履歴情報は、発信者の国の情報、発信者IPアドレスの情報、サーバーIPアドレスの情報を含んでいてもよい。特に、電子メールのヘッダー情報には、電子メールが最初に作成されて発信されたIP情報(初期宛先情報、Initial destination)と、メールが途中で転送されたサーバーIPアドレス(経由地点情報、waypoint)と、最終的に電子メールを発送したサーバーのIP(最終宛先情報、final destination)と、が含まれ得る。
【0128】
すなわち、電子メールヘッダー情報には、メールの伝送のための発信サーバーのIPアドレスヒストリーとして、初期宛先情報、経由地点情報及び最終宛先情報が含まれるため、セキュリティ脅威情報同期化処理部140は、セキュリティ脅威情報の同期化データに、前記初期宛先情報、経由地点情報及び最終宛先情報を含む発信者の位置情報とIP履歴情報をマッピングして累積管理することができるのである。
【0129】
そして、社会工学的な攻撃脅威検査部135は、各累積管理された発信者の位置情報とIP履歴情報から取得される前記初期宛先情報、経由地点情報及び最終宛先情報と、新規メールのヘッダー情報とを比較して、発信者のアカウントが乗っ取られたか否かを検査することができる。
【0130】
より具体的には、例えば、アカウントの乗っ取りであると決定する場合は、下記のようなものが挙げられる。
-初期宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの初期宛先(最初に電子メールの発送のリクエストが行われたメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の初期宛先が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、初期宛先が3.3.3.3(国B)であり、最終宛先が2.2.2.2(国A)である場合)、
-最終宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの最終宛先(最後に電子メールを最終的に発送処理したメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の経由地点が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、経由地点が3.3.3.3(国B)であり、最終宛先が3.3.3.3(国B)に変更された場合)、
これにより、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの攻撃の検査を行い、検査結果を受信メール処理部150及び発信メール処理部160に転送することができる。
-初期宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの初期宛先(最初に電子メールの発送のリクエストが行われたメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の初期宛先が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、初期宛先が3.3.3.3(国B)であり、最終宛先が2.2.2.2(国A)である場合)、
-最終宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの最終宛先(最後に電子メールを最終的に発送処理したメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の経由地点が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、経由地点が3.3.3.3(国B)であり、最終宛先が3.3.3.3(国B)に変更された場合)、
これにより、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの攻撃の検査を行い、検査結果を受信メール処理部150及び発信メール処理部160に転送することができる。
【0131】
例えば、発信メール処理部160は、発信者の現在の位置が以前に受信した電子メールとは異なる場合、アカウント乗っ取りの検査結果をユーザーに警告したり、発信電子メールを遮断処理したりすることができる。また、受信メール処理部150は、受信された電子メールサーバーのIPアドレスが以前に受信された電子メールとは異なる場合、アカウント乗っ取りの検査結果をユーザーに警告したり、電子メールを遮断処理したりすることができる。さらに、受信メール処理部150は、現在の電子メールが以前に受信した電子メールと発送経路が異なる場合、アカウント乗っ取りの検査結果をユーザーに警告したり、電子メールの遮断を推奨処理したりすることができる。また、社会工学的な攻撃脅威検査部135は、特定の帯域またはIP帯域に応じて、電子メールを遮断するインバウンド管理機能を行ってもよい。
【0132】
一方、社会工学的な攻撃脅威検査部135は、URLフィッシングの検査をさらに行うことができる。URLフィッシング(URL phishing)とは、被害者のIDとパスワードを盗み取る攻撃のことをいい、攻撃者は、フィッシングページやウェブサイトを作成して電子メールに埋め込まれている悪性URLやファイルを用いて、被害者がアカウント情報を入力するように誘導する。
【0133】
例えば、フィッシング検査のために、社会工学的な攻撃脅威検査部135は、電子メールユーザーがフィッシングサイトに接続してIDとパスワードを入力するとき、当該URL内において当該URLの最終宛先を追跡するが、URLに個人情報の入力を誘導するウェブページが埋め込まれているか否かを確認することができる。
【0134】
このように、前記社会工学的な攻撃の脅威の検査プロセスを用いて、検査情報は、最終的に合算(「3」)されて社会工学的な攻撃の脅威検査情報として格納及び管理されてもよい。このようにして合算された社会工学的な攻撃の脅威検査情報は、セキュリティ脅威情報同期化処理部140に転送されて、セキュリティ脅威情報の同期化データの更新格納及び管理に利用可能であり、受信メール処理部150及び発信メール処理部160に転送されて、セキュリティ脅威判別情報として活用可能である。
【0135】
一方、標的型電子メールセキュリティ脅威検査部130は、内部情報の流出セキュリティの脅威に対応できるように情報流出検査部137を備えていてもよい。ここで、情報流出検査部は、セキュリティ脅威情報の同期化データ及びメール情報の属性情報を活用して、発信メールの情報流出の有無を検査し、検査情報を発信メール処理部160に転送して、発信を遮断したり、発信メールのメールサーバー300を介した伝送の承認が拒絶されたりするように処理されてもよい。
【0136】
情報流出検査部137は、特に、ユーザーによる発信により生じる標的型電子メールの攻撃セキュリティ脅威としての情報流出を検査することができる。
【0137】
まず、情報流出検査部137は、故意的な(意図的な)情報の流出を探知することができる。情報流出検査部137は、発信メールに対応してセキュリティ管理者が設定した故意的な(意図的な)情報の流出に対応する特定の流出条件が一致する場合、発信メール処理部160に検査情報を転送して、メール発送の見合わせまたは遮断処理を行わせることができる。また、発信メール処理部160は、特定の流出条件に相当する場合、発信者が発信電子メールに対する伝送遅延時間を設定するようにする報知メッセージと警報メッセージなどをユーザー端末200に伝送処理することができる。
【0138】
そして、情報流出検査部137は、非故意的な(意図しない)情報の流出を探知し、探知情報を発信メール処理部160に転送して、非故意的情報流出を遮断したり、警告したり、遅らせたりすることができる。
【0139】
情報流出検査部137は、セキュリティ脅威同期化データから取得される悪性アカウントデータから、類似電子メールアドレスとして分類された電子メールアドレス宛にユーザーが返信または発信する場合を探知して、非故意的な情報流出情報を構成し、発信メール処理部160に転送することができる。発信メール処理部160は、非故意的な情報流出情報に基づいて、発信メールに対する警告を提供したり、自動的に遮断したり、遅延処理したりすることができる。
【0140】
また、情報流出検査部137は、内部網と外部網とが離れ合っているセキュリティ網において、大容量添付ファイルを外部網へとセキュアに伝送するために、電子メールの大容量添付ファイルを通常添付ファイルに変換して網連携システムを通過させる場合、前記大容量添付ファイルに対応する非故意的または故意的な情報流出の探知のためのセキュリティリスクを検査することができる。これは、予め設定された電子メール伝送ポリシーに準拠して、大容量添付ファイルが網連携システムの承認を通過できるように通常添付ファイルに変換された場合を意味することであり、この場合、通常添付ファイルに変換されて挿入された大容量添付ファイルに対する悪性コードの検査、ウィルス検査及び内部情報流出リスクの検査を含んでいてもよい。ここで、内部情報流出リスクの検査は、予め設定されたセキュリティポリシーデータに基づいて、特定のセキュリティキーワードまたは特定のセキュリティ文句などが含まれているか否かと頻度数などをチェックする内部情報流出のリスク検査を含んでいてもよい。
【0141】
そして、情報流出検査部137は、内部網と外部網とが離れ合っているセキュリティ網において、外部網から内部網へと変換されて転送された大容量添付ファイルを復元した場合、悪性コードの検査、ウィルス検査及び内部情報流出のリスク検査を行うことができる。特に、大容量添付ファイルの暗号化した外部ネットワーク経路情報がURL情報として添付されたり、大容量添付ファイルの暗号化した外部ネットワーク経路情報にアクセス可能なウェブページファイルが通常添付ファイルとして添付されたりした場合に相当し得る。
【0142】
また、情報流出検査部137は、メールを確認したIPアドレス、メールを開いてみた回数などが一定の条件を満たす場合、当該発信メールの内容の暗号化を行わせることができ、発信済みのメールの回収は、個別ユーザーがアクセスできないように処理されることが好ましい。
【0143】
一方、受信メール処理部150及び発信メール処理部160は、前記メールセキュリティの検査情報及び前記メール情報の分析を行うことで取得される標的型電子メールセキュリティ脅威の判別情報に基づいてメール状態を処理することができる。
【0144】
前記受信メール処理部150及び発信メール処理部160は、前記標的型電子メールセキュリティ脅威の判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメール状態を処理することができる。これを通して、前記受信メール処理部150及び発信メール処理部160は、プライオリティに応じて、まず、検査段階において問題点が見つかった場合、その段階において必要となる処理のみを行い、検査の終了の有無を判断して後続する検査段階は行わずに終了することができる。これを通して、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
【0145】
前記メールセキュリティの検査情報としては、前記標的型電子メールセキュリティ脅威検査部130において算出されたスパムメール攻撃の脅威の検査情報と悪性コード攻撃の脅威の検査情報、社会工学的な攻撃の脅威の検査情報及び情報流出の検査情報をまとめて総合的に取得された情報を活用することができる。例えば、前記標的型電子メールセキュリティ脅威検査部130がメール情報に対する検査プロセスを行うことで、前記スパムメールの検査情報として算出されたスコアが「3」、悪性コード攻撃の脅威の検査情報として算出されたスコアが「2」、社会工学的な攻撃の脅威の検査情報が「1」、情報流出攻撃の脅威の検査情報として算出されたスコアが「0」である場合、標的型電子メール攻撃の脅威検査情報として合算されるスコアは「7」として取得可能である。このとき、予め設定されたセキュリティ脅威の判別情報を基準として総合スコアが0~3の範囲であるときに正常メール、4~6の範囲であるときにグレーメール、7~12の範囲であるときに非正常メールとして分類されてもよい。これにより、前記メールセキュリティの検査情報が「7」であるメールは、非正常メールであると判別可能である。そして、前記メール情報の検査情報に含まれるそれぞれの検査情報項目の結果値は、項目に応じて絶対的なプライオリティが指定されたり、重み付け値に応じた情報によりプライオリティが定められたりすることができる。
【0146】
そして、図4に示されているように、受信メール処理部150は、前記セキュリティ脅威の判別情報に基づいて正常メールであると判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理部151を備えていてもよい。
【0147】
また、前記受信メール処理部150は、前記セキュリティ脅威の判別情報に基づいて、非正常メールであると判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理部152をさらに備えていてもよい。
【0148】
追加的に、前記受信メール処理部150は、前記セキュリティ脅威の判別情報に基づいて、グレーメールであると判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように提供するメール無害化処理部153をさらに備えていてもよい。
【0149】
一般に、前記グレーメールは、スパムメールまたはジャンクメールとして区別されてもよく、逆に、正常メールとして区別されてもよい。本発明においては、前記グレーメールは、セキュリティ脅威の判別情報が正常または非正常と確定できない一定の範囲内における中間値として算出された場合に区別されるメール類型であると定義することができる。前記メール無害化処理部153は、疑わしい内容の本文などを含んでいるグレーメールを画像ファイルに変換し、ユーザー端末200が確認可能なメールの状態で提供することができる。また、前記メール無害化処理部153は、添付ファイル内の悪性コードであると疑われる部門を除去または修正してユーザー端末200に提供することができる。
【0150】
さらに、このようなメール振り分け処理部151と、メール廃棄処理部152及びメール無害化処理部153は、発信メール処理部160において処理される発信メールに対しても同一のプロセスを行うことができる。
【0151】
一方、発信メール処理部160は、発信メール承認システム連動部161及び発信メールフィルターリング処理部161を備える。
【0152】
発信メール承認システム連動部161は、発信メールのメール情報から情報流出などの標的型電子メールの攻撃セキュリティ脅威が判別される場合、メールサーバー300と接続されたメール承認システムにメール承認を拒絶するようにするリクエストメッセージを伝送したり、警報を処理したりすることができる。
【0153】
ここで、発信メール承認システム連動部161は、メール承認システムを介して、セキュリティ管理者が承認リクエストを承認したり、拒否及び見合わせしたりする場合、各処理状態情報をユーザーに報知する電子メールを伝送するように構成されてもよい。
【0154】
例えば、メール承認システムにおいては、管理者が設定した特定のキーワードと添付ファイルの形式が含まれている場合、組織図に基づいて承認を決定することができる。この場合、発信メール承認システム連動部161は、タイトル、添付ファイル、ファイル拡張子のうち、承認が必要となる特定のキーワードが検出されたとき、管理者が電子メールの伝送を許容または拒否するか否かを含む処理状態情報を電子メールとして構成して、発信者のアカウント宛てに発送することができる。
【0155】
さらに、発信メール承認システム連動部161は、メール承認システムへの電子メールの伝送制限をすることで、一回に送れる最大の電子メールの数に対する制限を設定してもよい。発信メール承認システム連動部161は、一日につき送れるユーザーの数と電子メール当たりに受け取る受け手の人数を制限して電子メールサーバーの状態とアカウントセキュリティを保持することができる。
【0156】
そして、発信メールフィルターリング処理部161は、発信メールのメール情報から悪性コードなどの標的型電子メールの攻撃セキュリティ脅威が判別される場合、発信メールを廃棄したり、無害化処理したりするなどのフィルターリング処理を行うことができる。
【0157】
例えば、発信メール処理部160は、発信のリクエストが行われた発信メールの標的型電子メールセキュリティ脅威が判別された場合、電子メール受信者に実際の電子メールを送る代わりに、無害化フィルターリングされた電子メールを予め閲覧できるリンクが埋め込まれているセキュリティ電子メールを伝送処理することができる。
【0158】
また、発信メール処理部160は、ユーザーのメールの発送後にも、発信メールに対する標的型電子メール攻撃のセキュリティ脅威に対応する事後管理サービスを処理することができる。事後管理サービスは、管理者などの特殊のアカウントにおいて処理できるように制限され、発信メール処理部160は、事後管理サービスを用いて、電子メールセキュリティのための受信者のアクセス及び照会の確認、受信者のセキュリティ電子メールへのアクセスIPの確認、受信者のセキュリティ電子メールへのアクセスの日付け及び時間の確認、セキュリティ電子メールへの受信者のアクセスの制御(許容/遮断)処理を行うことができる。
【0159】
また、発信メール処理部160は、セキュリティ脅威同期化データから取得される悪性アカウント情報のログモニターリング及び報知を行うことができるので、モニターリングされるログは、ID、位置(国)、IPアドレス、日付け、ステータス(成功または失敗)などといった詳しいログ情報を含んでいてもよい。
【0160】
発信メール処理部160は、ユーザーアカウントへの悪性ログインの試みを把握してユーザー端末に報知を提供し、当該報知をメールまたはダッシュボードインターフェースの上にディスプレイする方式により、電子メールサーバー内の悪性アカウントのモニターリング結果をレポーティングすることができる。
【0161】
一方、発信メール処理部160は、メールの意図的な情報の流出を防ぐために、電子メールの暗号化を処理することができる。電子メールの暗号化は、電子メール及び添付ファイルの内容を暗号化させたり成り済ましたりして、敏感な情報を意図した受信者以外の人が読み込めないように保護する。
【0162】
また、発信メール処理部160は、故意または非故意的な情報の流出を遮断するために、発信の遅延及び発信メールの照会と削除機能を提供することができる。ユーザーの故意または非故意的な情報の流出を防ぐために、発信メール処理部160は、メール発送時間(Sending time)と転送される時間(delivered time)との間に遅延時間を設定することができ、遅延時間以内にメールの発送は取り消し処理されてもよい。遅延時間内に電子メールの取り消し権限は管理者とユーザーに与えられることができ、一応取り消された発信電子メールは発送できなくなり、電子メールを再び作成せねばならない。
【0163】
そして、発信メール処理部160は、アカウント乗っ取りの攻撃を予め遮断するために、アカウントに対応する使用国及びIP制限を行うことができる。このような制限の設定のために、発信メール処理部160は、セキュリティ管理者及び電子メールユーザーが「セキュリティIP登録」または「許容国登録」にアクセス可能な特定のIPアドレス及び国を登録できるように機能を提供する。これにより、ユーザーは、許容されたIPアドレス及び国からのみ電子メールを発信することができる。
【0164】
また、発信メール処理部160は、電子メールサーバーIPへのアクセスの制御を行うことで、承認されていないメールの発信のための電子メールサーバーへのアクセスを予め遮断することができる。
【0165】
例えば、管理者は、ウェブメールまたはメールクライアントへのアクセスを制限して、伝送メール内の電子メールのリンク許容の有無などを制御することができる。例えば、発信メール処理部160は、登録されたIPを用いて、ウェブメールの接続発信を遮断することができ、POP3(クライアントサーバープロトコル)/SMTP(簡易メール転送プロトコル)に基づく通信アクセスを制御してメールクライアント通信ベースの発信を遮断することができる。
【0166】
また、発信メール処理部160は、登録されたIPアドレス及び国から電子メールを送る場合、IPアドレス、日付けなど電子メールサーバーへのアクセス制限ログを構成して格納及び管理することができる。そして、このような電子メールサーバーへのアクセス制限ログは、次回の接続時のユーザー発信の許容有無の確認に使用可能である。発信メール処理部160は、ユーザー発信の許容有無の確認のために、ユーザー識別情報、暗号化した電子メール情報、ユーザー暗号情報、装置識別情報、アクセスIP情報、アクセス時間情報、アクセス位置情報及び電子メールエンジンに関する通信プロトコル識別情報を含む電子メールサーバーアクセス制限ログを確認することができる。
【0167】
一方、図2に戻ると、レコード管理部170は、前記標的型電子メールの攻撃セキュリティ脅威の判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理部170は、前記標的型電子メールの攻撃セキュリティ脅威の判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを含む前記レコード情報を信頼認証情報として格納及び管理し、非正常メールとして処理される場合、前記レコード情報をセキュリティ脅威情報同期化処理部140に転送して、セキュリティ脅威情報の同期化データを更新するようにすることができる。
【0168】
また、レコード管理部170は、学習データ処理部171を備えて、前記正常メール及び前記非正常メール情報の学習に基づく標的型電子メール攻撃の遮断のためのセキュリティ脅威情報学習モデルを構築できるようにし、セキュリティ脅威情報学習モデルは、セキュリティ脅威情報同期化処理部140に転送されて、セキュリティ脅威情報の同期化データに含まれてもよい。
【0169】
一方、診断レポーティング部180は、標的型電子メールセキュリティ脅威検査部130の処理結果の情報を収集し、処理結果の情報から電子メールセキュリティの診断サービス情報を構成してユーザー端末200への電子メールセキュリティ診断サービスに提供することができる。
【0170】
より具体的には、診断レポーティング部180は、標的型電子メールセキュリティ脅威検査部130において処理されたメールセキュリティプロセスの段階別のマッチング結果情報を収集することができ、収集されたマッチング結果情報に対応する、一つ以上の定量分類条件を適用するための脅威レベル比率要素を決定することができる。
【0171】
そして、診断レポーティング部180は、マッチング結果から脅威レベル比率要素に対応する定量分析情報を算出することができ、定量分析情報に基づいて、診断の対象であるメールシステムと、各メール別の脅威レベル段階分類別のスコアを決定することができる。
【0172】
これにより、診断レポーティング部180は、脅威レベル段階分類別のスコアに基づく電子メールセキュリティの診断分析レポーティングを構成することができ、構成された電子メールセキュリティの診断分析レポーティングの情報は、ユーザー端末200に提供されることが可能になる。
【0173】
前述したように、前記標的型電子メールセキュリティ脅威検査部130は、スパムメールのセキュリティ脅威、悪性コードのセキュリティ脅威、社会工学的なセキュリティ脅威、内部情報の流出のセキュリティ脅威などに区別して処理することができ、前記セキュリティ脅威のアーキテクチャによりセキュリティ脅威の類型/レベル/プロセス/プライオリティ/処理順序が設定可能であり、これに対応する受信メール処理部150及び発信メール処理部160の処理プロセスを行うことが可能であるため、それぞれのマッチング処理結果を様々な定量分類条件に対応付けて、各脅威レベル比率要素のマッチング件数が算出可能である。このような定量分類条件は、脅威レベル要素の分類基準とも呼ばれ得る。
【0174】
また、診断レポーティング部180は、各脅威レベル比率要素の定量分析情報を予め設定された脅威レベル段階分類別のスコア算出式に適用することにより、診断の対象となる電子メールシステムの総合的なセキュリティ脅威の度合いを確認し、これに対応するユーザーの対応ガイドを提供可能な診断分析レポーティングの情報が構成されることが可能になる。
【0175】
これにより、ユーザー端末200においては、前記診断分析レポーティングの情報の提供を受けて、セキュリティ脅威のアーキテクチャに基づく電子メールのセキュリティ脅威の状態を、定量的な実際のデータを基に正確に確認することができ、これに対応するガイドの提供を受けて措置をとることにより、標的型電子メールの攻撃などのより多様化しつつあるセキュリティ脅威を予め遮断することが可能になる。
【0176】
また、診断レポーティング部180は、診断分析レポーティングの情報に基づいて、警告メッセージをユーザー端末200に提供することができる。警告メッセージは、ユーザーにメールボックスの電子メールのタイトルとともに、「スパム」、「類似ドメイン」、「偽造ヘッダー」といった用語で標的電子メール攻撃の危険を表示して、どのような種類の電子メールであるかを識別できるようにする。また、セキュリティ管理者は、疑わしい電子メールがユーザーに転送されたり転送されたかったりするように構成してもよく、警告メッセージの単語/構文もグループごとに設定して管理することができる。
【0177】
一方、診断レポーティング部180は、事前電子メールセキュリティのレポーティング情報を構成して、ユーザー端末200に提供することができる。事前電子メールセキュリティのレポーティング情報は、ユーザーが電子メールを開く前に報知として提供可能であり、受信された電子メールの危険性を提供することができる。
【0178】
このような事前電子メールセキュリティのレポーティング情報は、最小限に次の情報に対応してそれぞれ表示されたり、総合的な脅威レベルとして表示されたりしてもよい。
-受信内訳の報告:類似ドメインの確認のために以前に電子メールアドレス宛てに受信した履歴
-配信経路の報告:現在の配信経路及び電子メールの伝送の配信経路の変更履歴
-ヘッダー偽変造の報告:発信者のヘッダー偽変造の現況
-URL検査の報告:探知された悪性URLの数
-類似ドメイン:類似ドメインの危険レベル(例えば、TLD、低い、普通、高い及び危険)
-受信内訳の報告:類似ドメインの確認のために以前に電子メールアドレス宛てに受信した履歴
-配信経路の報告:現在の配信経路及び電子メールの伝送の配信経路の変更履歴
-ヘッダー偽変造の報告:発信者のヘッダー偽変造の現況
-URL検査の報告:探知された悪性URLの数
-類似ドメイン:類似ドメインの危険レベル(例えば、TLD、低い、普通、高い及び危険)
【0179】
そして、診断レポーティング部180は、事後電子メールセキュリティのレポーティング情報を構成して、ユーザー端末200に提供することができる。事後電子メールセキュリティのレポーティング情報は、セキュリティ管理者またはユーザーが電子メールセキュリティの状態を認識できるようにする細部要約報告書であって、次に掲げる項目を含んで危険メールの現在の状態に関する情報などの調査分析情報が含まれ得る。
-安全危険の評価:詐欺電子メールの一日数値、ユーザーアカウント当たりに受ける攻撃数、国別の攻撃地域の現況、現在の電子メールの危険についてのセキュリティ等級
-安全危険の分析:攻撃類型別の電子メールの攻撃現況(例:スパム、悪性コード、悪性URL及び添付ファイル、偽造ヘッダー、類似ドメイン)
-攻撃シナリオ(例えば、悪性コード、悪性URL、疑わしい発信者アドレス、偽造ヘッダー及び類似ドメインなど)
-安全危険の評価:詐欺電子メールの一日数値、ユーザーアカウント当たりに受ける攻撃数、国別の攻撃地域の現況、現在の電子メールの危険についてのセキュリティ等級
-安全危険の分析:攻撃類型別の電子メールの攻撃現況(例:スパム、悪性コード、悪性URL及び添付ファイル、偽造ヘッダー、類似ドメイン)
-攻撃シナリオ(例えば、悪性コード、悪性URL、疑わしい発信者アドレス、偽造ヘッダー及び類似ドメインなど)
【0180】
また、診断レポーティング部180は、状態ダッシュボードインターフェースをユーザー端末200に提供することができ、状態ダッシュボードインターフェースは、運用状態、構成及び運用環境といった選択された技術個体に対する運用に影響を及ぼす受信及び発信電子メールのリアルタイム技術状態についての概要を提供することができる。
【0181】
例えば、状態ダッシュボードインターフェースは、全体の標的型電子メール攻撃の遮断機能のリアルタイム情報パネル(例えば、電子メールの総数及び状態、インバウンド及びアウトバウンドの電子メールの失敗理由、受信された標的電子メールの攻撃数)を構成して、内部のセキュリティ管理者が認識及び制御できるようにする。
【0182】
これにより、診断レポーティング部180は、脅威レベル段階分類別のスコアに基づく標的型電子メールの攻撃に関する電子メールセキュリティの診断分析レポーティングを構成することができ、構成された電子メールセキュリティの診断分析レポーティングの情報は、ユーザー端末200に提供可能である。
【0183】
また、診断レポーティング部180は、各脅威レベル比率要素の定量分析情報を予め設定された脅威レベル段階分類別のスコア算出式に適用することにより、診断の対象となる電子メールシステム及び個別の電子メールの総合的なセキュリティ脅威の度合いを確認し、これに対応するユーザーの対応ガイドを提供可能な診断分析レポーティングの情報が構成されることが可能になる。
【0184】
より具体的には、個別の電子メールの総合的なセキュリティ脅威の度合いを確認するための判断基準は、脅威レベル要素の分類基準に応じて決定されてもよい。
【0185】
前記脅威レベル要素の分類基準の分類条件は、各標的型電子メール攻撃の危険の検出結果に対応して設定可能であり、例えば、悪性コードメールの検出、悪性コード行為の検出、ウィルスの検出、ランサムウェアの検出、悪性URLの検出、本文内のURLの検出、添付ファイル内のURLの検出、ヘッダー偽変造の検出、返答時のアドレス変更の検出、ID変更の検出、ドメイン変更の検出、ID&ドメインの順序変更の検出、発送元変更の検出、類似ドメインの検出、ヘッダー偽変造の注意メールの検出、スパムメール(広告性、業務性)の検出、信頼度の注意メールの検出のうちの少なくとも一つを含んでいてもよい。
【0186】
このような各分類条件に相当する場合、各分類条件には、スコアが割り当て可能であるため、各脅威レベル要素の分類基準の合算、平均などの演算により最終スコアが算出されることが可能になる。これにより、診断レポーティング部180は、診断の対象となるメールの脅威レベル段階分類別のスコアを決定することができる。
【0187】
より具体的には、脅威レベル段階分類別に前記分類条件がそれぞれ割り当て可能であり、前記分類条件に基づいて検出された定量分析値が前記各脅威レベル段階分類に対応して合算処理されることが可能であり、合算処理された値に応じて各脅威レベル段階分類別のスコアが決定されることが可能である。
【0188】
例えば、脅威レベル段階は、その危険度に応じて、第1段階、第2段階、第3段階、第4段階として分類可能であり、各段階別にスコアが算出されて合算処理されることが可能である。
【0189】
さらに、診断レポーティング部180は、前記各脅威レベル段階に対応する危険度の重み付け値を設定することができる。危険度の重み付け値は、第1のレベルに対応して10%、第2のレベルに対応して20%、第3のレベルに対応して30%、第4のレベルに対応して40%といったように割り当てられてもよい。
【0190】
これにより、診断レポーティング部180は、各脅威レベル段階別のスコアに、前記各危険度の重み付け値を積演算し、その結果を合算することにより、診断の対象となるメールの標的型電子メールの攻撃のセキュリティ脅威の危険度を算出することができる。
【0191】
このような標的型電子メールの攻撃のセキュリティ脅威の危険度は、予め設定された等級に応じてA、B、C、D、Eといったセキュリティ等級にマッピング可能であり、このようなマッピングにより、診断レポーティング部180は、特定のメールに対応する総合的なセキュリティ脅威の危険度をセキュリティ等級として表示する脅威レベルベースのガイドコンテンツを構成して、メールユーザー端末に提供することができる。
【0192】
ここで、診断レポーティング部180は、セキュリティ脅威情報の同期化データに基づいて、リアルタイムにて更新されるユーザーの電子メール履歴情報と設定情報を反映して前記スコアをリアルタイムにて変更算出することができる。
【0193】
例えば、ユーザーが特定の発信元の国に対する許容管理の設定を行う場合、当該発信元から受信されたメールは、危険性の判断対象から除外処理されるか、あるいは、危険度0点として処理されてもよい。
【0194】
このようなユーザー設定反映は、企業などのユーザーが電子メールの受発信環境に応じてカスタマイズして設定した状態での標的型電子メールの攻撃の危険性を診断しようとするものである。
【0195】
また、セキュリティ脅威情報の同期化データを用いて、既に発信されたメールデータの標的型電子メールの攻撃危険の検査結果が反映されるため、診断レポーティング部180は、発信メールにおいて危険であると判断される発信元アドレス、発信元の国及び検出された悪性コードなどを用いて、受信メールに関する各メール別の標的型電子メールの攻撃の危険スコアの算出を処理することができる。
【0196】
また、このような標的型電子メールの攻撃の危険スコアを算出するに際して、各脅威レベル要素の分類基準は、カテゴリーに応じて分類可能であり、分類されたカテゴリー別のスコアリングテーブルが予め構築されてもよい。
【0197】
例えば、脅威レベル要素の分類基準は、電子メールプロトコル及び広告性メールカテゴリーを含んでいてもよく、広告性関連の遮断履歴1点、警告履歴1点、信頼度の遮断履歴2点などのスコアが指定されてもよい。
【0198】
また、例えば、脅威レベル要素の分類基準は、悪性コードカテゴリーを含んでいてもよく、URLの検出(ゼロデイURLなど事後危険性を含む)3点、文書内の悪性リンク2点、ウィルス1点、ランサムウェア2点、行為ベースの検出3点などのスコアが指定されてもよい。
【0199】
また、例えば、脅威レベル要素の分類基準は、社会工学的な攻撃関係の基礎なりすまし性危険カテゴリーを含んでいてもよく、アドレスの偽変造2点、IDの偽変造1点、ドメインの偽変造1点、その他の偽変造3点などのスコアが指定されてもよい。
【0200】
また、例えば、脅威レベル要素の分類基準は、社会工学的な攻撃関係の知能型なりすまし性危険カテゴリーを含んでいてもよく、最初の発送元危険1点、最終的な発送元危険2点、その他の発送元危険3点、類似ドメイン危険に応じた危険3点、上2点、中1点、下1点、TLD(最上位ドメイン)2点などのスコアが指定されてもよい。
【0201】
診断レポーティング部180は、このような標的型電子メール攻撃の遮断のための電子メールの危険スコアを算出して、標的型電子メールの攻撃に関するセキュリティ等級をマッピングし、マッピングされたセキュリティ等級の情報をガイドコンテンツとして構成して、ユーザー端末に提供することができる。例えば、診断レポーティング部180は、ガイドコンテンツをテキストまたは画像マーカーとして構成して、電子メールタイトルと隣り合う個所または電子メール本文の開始個所などに埋め込むことができる。
【0202】
また、診断レポーティング部180は、項目別の標的型攻撃危険スコアの総和が第1のしきい値以上であるか、あるいは、特定の項目の標的型攻撃危険スコアが第2のしきい値以上であるか、あるいは、項目別の標的型攻撃危険スコアの総和が第3のしきい値以上である期間が一定の期間以上続くか、あるいは、項目別の標的型攻撃危険スコアの総和が第3のしきい値以上であるメールの数が一定の期間内に一定の数以上である場合を判断し、各条件が判断された場合には、受信メール処理部150または発信メール処理部160に警報を提供することができる。受信メール処理部150または発信メール処理部160は、警報されたメールに対応する管理者の報知を処理したり、メールの自動遮断処理などを行ったりすることができる。
【0203】
これにより、ユーザー端末200においては、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させたセキュリティ脅威情報の同期化データに基づいて算出された標的型電子メールセキュリティ脅威の状態を、各メール及びシステム別に定量的な実際のデータを基に正確に確認することができ、これに対応するガイドの提供を受けて措置をとることにより、標的型電子メールの攻撃に対するどんどん多様化しつつあるセキュリティ脅威を予め遮断することが可能になる。
【0204】
【0205】
【0206】
そして、サービス提供装置100は、セキュリティ脅威情報の同期化データを用いて、新規受信メールに対応する標的型電子メールセキュリティ脅威の検査を行い、標的型電子メールセキュリティ脅威の検査は、スパム脅威の検査(S103)、マルウェア攻撃脅威の検査(S105)、社会工学的な脅威の検査(107)といった各段階別のマルチレベル検査を行うことができる。
【0207】
ここで、マルウェア攻撃脅威の検査は、未確認の悪性コード、添付ファイル悪性コード、URL悪性コードなどの標的型電子メール攻撃の脅威の検査を含んでいてもよく、社会工学的な脅威の検査は、ヘッダー偽変造、類似ドメイン、アカウント乗っ取り及びURLフィッシングの検査を含んでいてもよい。
【0208】
この後、検査結果に基づいて、サービス提供装置100は、ユーザー診断レポーティングを行うことができ(S109)、検査結果に基づいて、メールサーバーへの搬出または遮断を決定する(S111)。
【0209】
さらに、サービス提供装置100は、搬出、遮断または遅延に対応する警報メッセージを構成して管理者のユーザー端末200または受信者端末20に提供することができる。
【0210】
また、各検査結果は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて構成されたセキュリティ脅威情報の同期化データとして構成されてもよい(S113)。
【0211】
一方、図6は、発信メールの標的型電子メール攻撃の脅威の検査処理に関するものであって、サービス提供装置100は、発信メール情報を収集する(S201)。
【0212】
この後、サービス提供装置100は、各検査結果は受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とが同期化したセキュリティ脅威情報の同期化データから、これまで同期化したセキュリティ脅威の情報を取得する(S203)。
【0213】
そして、サービス提供装置100は、同期化したセキュリティ脅威の情報を用いて、発信承認システムに基づく情報流出の脅威の検査を行う(S205)。
【0214】
この後、サービス提供装置100は、同期化したセキュリティ脅威の情報を用いて、発信メールのフィルターリングの検査処理を行う。
【0215】
そして、サービス提供装置100は、発信メールの検査結果を用いて、メールサーバーへの搬出、遮断または遅延を決定する(S209)。
【0216】
さらに、サービス提供装置100は、搬出、遮断または遅延に対応する警報メッセージを構成して、管理者のユーザー端末200または発信者端末10に提供することができる。
【0217】
図7は、本発明の実施形態に係る大容量ファイルの流出の検査プロセスを説明するための図である。
【0218】
図7を参照すると、本発明の一実施形態に係るシステムは、発信者端末10と、第1のメール管理サーバー装置300と、メール変換処理装置30と、サービス提供装置100と、網連携メール承認装置500と、メール復元処理装置250と、第2のメール管理サーバー装置400及び受信者端末20を備える。
【0219】
より具体的には、発信者端末10と、第1のメール管理サーバー装置300及びメール変換処理装置30は、内部網として分離されたセキュリティネットワークを構成することができる。網が分離されたセキュリティネットワークは、網連携メール承認装置500を経由してはじめて外部ネットワークへのメール伝送を行うことが可能なネットワークであって、このための様々なネットワークインターフェース環境に基づくセキュリティ化した内部ネットワーク及びセキュリティ装置が構築されてもよい。
【0220】
このために、網連携メール承認装置500は、内部網においてメールサーバーを構築する第1のメール管理サーバー装置300から、外部網に伝送すべき電子メールデータの承認のリクエストを受け、予め設定された承認ポリシーと比較して承認及びセキュリティが検証されたメールのみ、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を処理し、外部ネットワークを介して、第2のメール管理サーバー装置400などに搬出処理することができる。
【0221】
ここで、予め設定された承認ポリシーは、管理者認証情報が確認される、発信者に対応する組織上の上級者の承認が確認される、あるいは、電子メールデータにセキュリティが脆弱であるか否かなどを検査するなどの様々なポリシーが複合的に適用されて承認が確認されてもよい。
【0222】
逆に、網連携メール承認装置500は、外部網の第2のメール管理サーバー装置400を介して、外部ユーザーの外部メールが内部網に受信された場合には、サービス提供装置100を介して、前記外部メールの添付ファイル及びURLセキュリティ検査などを行って検証されたメールのみを内部網に搬入する処理を行ってもよい。
【0223】
このような内部網システム及び網連携メール承認装置500の動作とは異なり、外部ネットワークに位置しているメール復元処理装置250と、第2のメール管理サーバー装置400及び受信者端末20は、公衆網(Public network)と結ばれることで、有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であって、一般に、電話網、データ網、CATV網及び移動通信網などを網羅し、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供することができる。
【0224】
一方、前記発信者端末10と、第1のメール管理サーバー装置300と、メール変換処理装置30及び網連携メール承認装置500は、内部網に相当する第1のプロトコルにより通信するためのそれぞれの通信モジュールを備えていてもよい。
【0225】
また、前記網連携メール承認装置500と、メール復元処理装置250と、第2のメール管理サーバー装置400及び受信者端末20は、外部網に相当する第2のプロトコルにより通信するためのそれぞれの通信モジュールを備えていてもよい。
【0226】
このように、各内部網分離セキュリティネットワークと、外部ネットワークを構成する各装置とは、相互間の有/無線ネットワークを介して接続可能であり、各ネットワークに接続された装置または端末は、互いにセキュリティ化したネットワークチャンネルを介して相互間の通信を行うことができる。
【0227】
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radio communication network)または衛星通信網などといったあらゆる種類の有/無線ネットワークにより実現されてもよい。
【0228】
そして、発信者端末10及び受信者端末20は、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、個人用デジタル補助装置(PDA:Personal Digital Assistants)、携帯型マルチメディアプレーヤー(PMP:Portable Multimedia Player)などを網羅するが、本発明は、これらに何ら限定されるものではなく、公衆網または私設網などを介して、第1のメール管理サーバー装置300または第2のメール管理サーバー装置400に接続可能な多種多様な装置が挙げられる。これらに加えて、発信者端末10及び受信者端末20のそれぞれは、アプリケーションの駆動またはウェブブラウジングを用いた情報の入出力が可能な多種多様な装置であってもよい。
【0229】
一方、各第1のメール管理サーバー装置300及び第2のメール管理サーバー装置400は、ユーザーが作成したメールを発信したり、相手方が作成したメールを受信したりできるように電子郵便の内容を中継及び保管するシステムを備え、メールの受信及び発信の処理という使用目的に応じて、予め設定されたプロトコルを活用して相互間の通信を行うことができる。
【0230】
一般に、前記メールプロトコルは、メールの受信処理に際して、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)が使用可能である。また、前記プロトコルとしては、メールの発信処理に際して、簡易メール転送プロトコル(SMTP:Simple Mail Transfer Protocol)が使用可能である。このように、各第1のメール管理サーバー装置300及び第2のメール管理サーバー装置400は、それぞれの分離された網の内部においてメールの送受信処理のためのサーバー(server)システムとして構成されてそれぞれ作動することができる。
【0231】
このようなシステム構成において、本発明の実施形態に係るメール変換処理装置30は、外部網と分離されたセキュリティネットワークの内部網に位置することができ、前記内部網に位置している大容量ファイルのリンク情報を含む電子メールを変換して、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を受けた後、網連携メール承認装置500の承認を受けて外部網のメール復元処理装置250に転送する機能を処理することができる。
【0232】
このために、まず、メール変換処理装置30は、前記内部網に位置している発信者端末10から伝送のリクエストを受けた伝送メールを第1のメール管理サーバー装置300を介して取得することができ、前記伝送メールから前記内部網に位置している大容量ファイルのリンク情報を識別し、前記リンク情報に基づいて、前記内部網に位置している大容量ファイルを取得することができる。
【0233】
そして、メール変換処理装置30は、前記大容量ファイルが前記伝送メールの通常添付ファイルとして区別されるように埋め込まれた変換メールを生成することができるため、このような変換メールは、網連携メール承認装置500を経由して、前記外部網に位置しているメール復元処理装置250に伝送されることが可能になる。
【0234】
この場合、網連携メール承認装置500は、予め設定されたメール発送ポリシーに準拠して、前記通常添付ファイルとして区別されるように埋め込まれた前記大容量ファイルのセキュリティ危険を検査し、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を受けた後、前記変換メールの発送を承認処理することができ、承認処理された変換メールは、第2のメール管理サーバー装置400に転送されるに先立ち、本発明の実施形態に係るメール復元処理装置250に受信されてもよい。
【0235】
メール復元処理装置250は、セキュリティネットワークの内部網と分離された外部網に位置することができ、網連携メール承認装置500を介して、前記内部網から変換されて伝送された変換メールを受信すれば、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を受けた後、前記変換メールから内部網の大容量ファイルが復元された復元メールを構成し、構成された復元メールを第2のメール管理サーバー装置400を経由して受信者端末20に転送する復元及び転送プロセスを行うことができる。
【0236】
より具体的には、メール復元処理装置250は、前記変換メールに埋め込まれている通常添付ファイルデータから、内部網の大容量ファイルを取得することができ、前記内部網の大容量ファイルを前記変換メールから分離して、暗号化した任意の外部網経路にアップロード処理する。
【0237】
そして、メール復元処理装置250は、前記大容量ファイルが分離された前記変換メールに、前記アップロードされた外部網経路の情報を含めて前記変換メールの復元メールを構成し、構成された復元メールは、第2のメール管理サーバー装置400に転送されて受信者端末に伝送処理されてもよい。
【0238】
このようなシステム構成により、外部網へのメールの搬出が不可能であった内部網の大容量ファイルがセキュリティ化した電子メールシステムを介して搬出できるように処理され、このようなプロセスによりメールシステムのセキュリティ体系をそのまま活用しながらも、外部網のメール受信側においても内部網の大容量ファイルを容易に確認できるようにするメールサービスが実現されることが可能になる。
【0239】
例えば、内部網の発信者端末10のユーザーがメールとして搬出すべきファイルを通常電子メールの大容量ファイルの添付として入力さえすれば、受信者端末20においては、発信メールの大容量ファイルの添付と同様に復元されてアップロードされた大容量ファイルを、受信メールに含まれている外部網経路の情報から取得することが可能になるので、実質的な大容量ファイルの搬出が処理されることが可能になる。
【0240】
また、このような外部網の大容量ファイルへのアクセス権限及び接続情報は、メール復元処理装置250において管理されることが可能になるので、既存のクラウド共有サービスなどを不可避に利用せざるを得なかった脆弱なセキュリティ環境を補い、より便利かつ安全な内部網ファイルの外部網へのメールの伝送を行うことを可能にする。
【0241】
図8は、本発明の実施形態に係る大容量ファイルのポリシーベースの承認プロセスを説明するための梯子図である。
【0242】
図8を参照すると、まず、第1のメール管理サーバー装置300は、発信者端末10のメール伝送のリクエストを受信して、メール変換処理装置30に伝達する(S1001)。
【0243】
この後、メール変換処理装置30は、伝送のリクエストが行われたメールから、内部網の大容量添付ファイルに対応する内部網リンク情報を識別する(S1003)。
【0244】
内部網リンクの情報の識別のために、本発明の実施形態に係るメール変換処理装置30は、内部網リンク識別部110を介して、まず、伝送リクエストの行われたメールに埋め込まれているリンク情報(URLまたはURI(統一資源識別子))を抽出し、リンク情報の追跡検査を行うことができる。
【0245】
より具体的には、メール変換処理装置30は、内部網リンク識別部110を介して、前記伝送のリクエストが行われたメールに埋め込まれているすべてのリンク情報または予め設定された内部網経路として指定された指定リンク情報(例えば、IPアドレスが内部網として設定された私設IPアドレスから始まるリンク情報)を抽出し、抽出されたリンク情報に接続してファイルダウンロードの有無及びファイルのサイズを検査することができる。
【0246】
これにより、メール変換処理装置30の内部網リンク識別部110は、ファイルダウンロードが可能であると検査されたリンク情報のうち、ダウンロードすべきファイルのサイズ情報を識別し、そのサイズ情報が一定のサイズ以上である場合、前記内部網大容量添付ファイルに対応するリンク情報として識別することができる。
【0247】
例えば、前記一定のサイズとしては、2メガバイトが挙げられ、内部網リンク識別部110は、すべてのリンク情報または指定リンク情報のうち、前記2メガバイトを超える内部網ファイルをダウンロードするリンク情報を抽出して、前記内部網大容量添付ファイルに対応する内部網リンク情報として識別することができる。
【0248】
そして、メール変換処理装置30は、内部網リンクから対象ファイルをダウンロード処理し、伝送メールからは、内部網の大容量リンクを削除処理する(S1005)。
【0249】
この後、メール変換処理装置30は、前記大容量リンクが削除処理された前記伝送メールに、対象ファイルを通常添付メールフォーマットの添付ファイルとして含めて、EMLデータを構成する(S1007)。
【0250】
そして、メール変換処理装置30は、網連携メール承認装置500に前記EMLデータベースの変換メールの伝送承認をリクエストする(S1009)。
【0251】
網連携メール承認装置500は、サービス提供装置100を用いた大容量ファイルの標的型電子メールの攻撃の検査処理を行い(S1010)、予め設定されたポリシーを基に、メールを承認するか否かを判断することができ(S1011)、承認が拒絶される場合には、拒絶メッセージを第1のメール管理サーバー装置300を介して、発信者端末10に転送し(S1013)、承認が確認された場合には、変換メールを外部網の第2のメール管理サーバー装置400に接続されたメール復元処理装置250に伝送する(S1015)。
【0252】
この後、メール復元処理装置250においては、前記変換メールの通常添付ファイルから対象ファイルを分離して、サービス提供装置100を用いた大容量ファイルの標的型電子メールの攻撃の検査処理を行い(S1016)、通常メールに復元して構成する(S1017)。
【0253】
そして、メール復元処理装置250は、前記分離された対象ファイルを任意の経路にアップロード処理し(S1019)、アップロード経路情報にアクセス可能なウェブページを構成する(S1021)。
【0254】
この後、メール復元処理装置250は、前記復元された通常メールの添付ファイルにウェブページを付加し(S1023)、前記復元された通常メールを第2のメール管理サーバー装置400を介して、受信者端末20に転送する(S1025, S1027)。
【0255】
本発明の実施形態において、前記アップロード経路情報は、ウェブページとして付加されるものが例示されているが、本発明は、これに何ら限定されるものではなく、前記アップロード経路情報は、リンク情報、URLテキストなど様々な方式により前記復元された通常メールに添付されてもよい。
【0256】
上述した本発明に係る方法は、コンピューターにおいて実行されるためのプログラムとして作成されてコンピューターにて読み取り可能な記録媒体に記憶可能であり、コンピューターにて読み取り可能な記録媒体の例には、読み出し専用メモリー(ROM:Read Only Memory)、ランダムアクセスメモリー(RAM:Random Access Memory)、コンパクトディスク(CD)による読み出し専用メモリー(CD-ROM:Compact Disc Read Only Memory)、磁気テープ、フロッピーディスク、光データ記憶装置などが挙げられる。
【0257】
また、コンピューターにて読み取り可能な記録媒体は、ネットワークにより結ばれたコンピューターに分散されて分散方式によりコンピューターにて読み取り可能なコードが記憶されかつ実行され得る。そして、前記方法を実現するための機能的なプログラム、コード及びコードセグメントは、本発明が属する技術分野におけるプログラマーにより容易に推論可能である。
【0258】
また、以上においては、本発明の好適な実施形態について図示及び説明したが、本発明は、上述した特定の実施形態に何ら限定されるものではなく、特許請求の範囲において請求する本発明の要旨から逸脱することなく、当該発明が属する技術分野において通常の知識を有する者により種々の変形実施が可能であるということはいうまでもなく、これらの変形された実施形態は、本発明の技術的思想や見通しから個別的に理解されてはならない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【国際調査報告】