知財求人 - 知財ポータルサイト「IP Force」
特表2024-533009非承認の電子メールサーバーへのアクセス攻撃の検査を行う標的型電子メールの攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-12
(54)【発明の名称】非承認の電子メールサーバーへのアクセス攻撃の検査を行う標的型電子メールの攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240905BHJP
【FI】
G06F21/55
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023578195
(86)(22)【出願日】2023-07-19
(85)【翻訳文提出日】2023-12-19
(86)【国際出願番号】 KR2023010364
(87)【国際公開番号】W WO2024029796
(87)【国際公開日】2024-02-08
(31)【優先権主張番号】10-2022-0097174
(32)【優先日】2022-08-04
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2022-0151267
(32)【優先日】2022-11-14
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2022-0151268
(32)【優先日】2022-11-14
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2022-0166583
(32)【優先日】2022-12-02
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0092845
(32)【優先日】2023-07-18
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH CO., LTD.
【住所又は居所原語表記】509-Ho,53,Digital-ro 31-gil,Guro-gu,Seoul,Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(57)【要約】
本発明は、非承認の電子メールサーバーへのアクセス攻撃の検査を行う標的型電子メールの攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法に関するものであって、その方法は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するステップと、セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップと、新規受信メールまたは新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うステップと、を含み、標的型電子メールセキュリティ脅威の検査は、電子メール情報流出脅威の検査項目に対応する非承認電子メールサーバーへのアクセス攻撃の脅威の検査を含む。
【特許請求の範囲】
【請求項1】
電子メールセキュリティシステムを用いたサービス提供装置の動作方法において、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するステップと、
前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップと、
前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うステップと、
を含み、
前記標的型電子メールセキュリティ脅威の検査は、
電子メール情報流出脅威の検査項目に対応する非承認電子メールサーバーへのアクセス攻撃の脅威の検査を含む、サービス提供装置の動作方法。
【請求項2】
ウェブメール及びメールクライアントにアクセスする間に、登録されていないクライアントサーバープロトコル/メール転送プロトコル及び国へのアクセスを遮断する、請求項1に記載のサービス提供装置の動作方法。
【請求項3】
登録されたクライアントサーバープロトコル/メール転送プロトコル及び国への接続のみを許容する、請求項2に記載のサービス提供装置の動作方法。
【請求項4】
前記非承認電子メールサーバーへのアクセス攻撃の脅威の検査は、非承認の電子メールサーバー攻撃を判別するために、アクセスに関する詳しい情報を把握するものである、 請求項1に記載のサービス提供装置の動作方法。
【請求項5】
電子メールサーバー/IPアクセスの制御(Email server/IP access control)を行うことで、セキュリティ管理者がウェブメールまたはメールクライアントへのアクセスを制限してセキュリティ電子メールリンクを制御するようにする、請求項1に記載のサービス提供装置の動作方法。
【請求項6】
電子メールサーバーアクセスログ(Email server access log)を用いて、ユーザーのアクセスに対する承認または非承認の如何を決定する、請求項1に記載のサービス提供装置の動作方法。
【請求項7】
電子メールセキュリティシステムを用いたサービス提供装置において、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するセキュリティ脅威情報同期化処理部と、
前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行う標的型電子メールセキュリティ脅威検査部と、
前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うメール処理部と、
を備え、
前記標的型電子メールセキュリティ脅威検査部は、電子メール情報流出脅威の検査項目に対応する非承認電子メールサーバーへのアクセス攻撃の脅威の検査を行う、電子メールセキュリティシステムを用いたサービス提供装置。
【請求項8】
前記メール処理部は、ウェブメール及びメールクライアントにアクセスする間に、登録されていないクライアントサーバープロトコル/メール転送プロトコル及び国へのアクセスを遮断する、請求項7に記載の電子メールセキュリティシステムを用いたサービス提供装置。
【請求項9】
前記標的型電子メールセキュリティ脅威検査部は、非承認の電子メールサーバー攻撃を判別するために、アクセスに関する詳しい情報を把握する、請求項7に記載の電子メールセキュリティシステムを用いたサービス提供装置。
【請求項10】
前記メール処理部は、電子メールサーバー/IPアクセス制御(Email server/IP access control)を行うことで、セキュリティ管理者がウェブメールまたはメールクライアントへのアクセスを制限してセキュリティ電子メールリンクを制御するようにする、請求項7に記載の電子メールセキュリティシステムを用いたサービス提供装置。
【請求項11】
前記メール処理部は、電子メールサーバーアクセスログ(Email server access log)を用いて、ユーザーのアクセスに対する承認または非承認の如何を決定する、請求項7に記載の電子メールセキュリティシステムを用いたサービス提供装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法に関する。
【背景技術】
【0002】
最近のネットワーク攻撃技術の発達には目を見張るものがあり、これに伴い、現代社会において電子メールを用いたサイバー攻撃はどんどん進化しつつある。マルウェアと社会工学を用いた複雑なサイバー攻撃戦術を用いて、いわゆる標的電子メール攻撃と呼ばれる特定の対象を狙った悪性電子メールの活動が増えることに伴い、世界中の活動的なインターネットユーザーと企業が被害を蒙っている。
【0003】
このような標的電子メール攻撃は、不特定多数を対象とするスパムフィッシング攻撃とは異なり、個人や企業を対象として設定した後、特定の人を対象として対象主体の情報資産を毀損したり損なったりする攻撃を含む。
【0004】
標的型電子メールの攻撃を行うために、脅威行為者は、情報を収集してまるで実際かのように見える個人化した電子メールメッセージを作成して標的がこれに応答するように説得し、結局的にはセキュリティホールを作る。
【0005】
さらに、受信(インバウンド)及び発信(アウトバウンド)の電子メールに用いられる標的攻撃は、ヘッダー偽変造、類似電子メールアドレスまたはアカウント乗っ取り(ATO;アカウントテイクオーバー)などを用いて、未知の知能型悪性コードを添付したり、対象が信頼する正常的な発信者に成り済ましたりするなど精巧かつ未知の方法を用いるため、被害者は、攻撃者が誤って送金、データ流出、コンピューターシステム障害などを意図した添付ファイルをクリックしたり、個人情報が含まれている返答を送ったりするなどして電子メールに応答する。
【0006】
これは、被害者の情報資産に深刻な危険を招いてしまう虞がある。しかしながら、このような標的型電子メール攻撃の深刻性に比べて、これまで提案されてきた電子メールセキュリティソリューションは、単なるインバウンドスパムの遮断、インバウンドドメインの遮断などの断片的な技術に留まっているだけであり、既知の技術を総合的に活用して標的型電子メールの攻撃を有効に防いだり遮断したりするソリューションは未だに提案できずにいるのが現状である。
【0007】
特に、受信(インバウンド)側への標的型電子メールの攻撃は、結局として、発信(アウトバウンド)に対するセキュリティの問題点にもつながり、発信セキュリティの問題点が再び受信セキュリティの問題点にもつながるため、これを総合的に考慮して標的型電子メールの攻撃を遮断するための体系的なセキュリティシステムが求められてはいるが、適切なソリューションは未だに提案できずにいるのが現状である。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、上述したような問題点を解消するために案出されたものであって、インバウンド及びアウトバウンドのメールに対する段階的な標的型電子メール攻撃の脅威の検査プロセスを用いて、標的型電子メールの攻撃を有効に遮断し、これに対応する適切な対応プロセスと診断レポーティングを提供することのできる標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム装置及びその動作方法を提供することにその目的がある。
【課題を解決するための手段】
【0009】
上記のような目的を達成するための本発明の実施形態に係る方法は、電子メールセキュリティシステムを用いたサービス提供装置の動作方法において、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するステップと、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うステップと、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うステップと、を含み、前記標的型電子メールセキュリティ脅威の検査は、電子メール情報流出脅威の検査項目に対応する非承認電子メールサーバーへのアクセス攻撃の脅威の検査を含む。
【0010】
また、上記のような目的を達成するための本発明の実施形態に係る装置は、電子メールセキュリティシステムを用いたサービス提供装置において、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成するセキュリティ脅威情報同期化処理部と、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行う標的型電子メールセキュリティ脅威検査部と、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うメール処理部と、を備え、前記標的型電子メールセキュリティ脅威検査部は、電子メール情報流出脅威の検査項目に対応する非承認電子メールサーバーへのアクセス攻撃の脅威の検査を行う。
【0011】
一方、上記のような目的を達成するための本発明の実施形態に係る方法は、前記方法をコンピューターにて実行させるためのコンピューターにて読み取り可能な記録媒体及び前記記録媒体に記憶されるコンピュータープログラムにより実現されてもよい。
【発明の効果】
【0012】
本発明の実施形態によれば、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成し、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を段階的に行うことにより、効果的な標的型電子メール攻撃の脅威の検査プロセスを処理することができる。
【0013】
これにより、本発明は、インバウンド及びアウトバウンドメールに対する段階的な標的型電子メール攻撃の脅威の検査プロセスを用いて、標的型電子メールの攻撃を有効に遮断し、これに対応する適切な診断レポーティングと対応プロセスを提供することのできる標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム装置及びその動作方法を提供することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施形態に係る全体のシステムを概略的に示す概念図である。
【図2】本発明の実施形態に係るサービス提供装置を説明するためのブロック図である。
【図3】本発明の実施形態に係るサービス提供装置の一部の構成をより具体的に説明するためのブロック図である。
【図4】本発明の実施形態に係るサービス提供装置の一部の構成をより具体的に説明するためのブロック図である。
【図5】本発明の実施形態に係るシステムを用いたサービスプロセスを説明するためのフローチャートである。
【図6】本発明の実施形態に係るシステムを用いたサービスプロセスを説明するためのフローチャートである。
【図7】本発明の実施形態に係る大容量ファイルの流出の検査プロセスを説明するための図である。
【図8】本発明の実施形態に係る大容量ファイルのポリシーベースの承認プロセスを説明するための梯子図である。
【発明を実施するための形態】
【0015】
以下の内容は、単に本発明の原理を例示する。そのため、当業者であれば、たとえ本明細書に明らかに説明されたり図示されたりしていないものの、本発明の原理を実現し、本発明の概念と範囲に含まれている種々の装置と方法を発明することができるのである。なお、本明細書に列挙されたすべての条件付き用語及び実施形態は、原則として、本発明の概念が理解されるようにするための目的にしか明らかに意図されず、このように特別に列挙された実施形態及び状態に制限的ではないものと理解されるべきである。
【0016】
また、本発明の原理、観点及び実施形態だけではなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的及び機能的な均等物を含むように意図されるものであると理解されるべきである。なお、これらの均等物は、現在公知となっている均等物だけではなく、将来に開発されるべき均等物、すなわち、構造とは無関係に同一の機能を行うように発明されたあらゆる素子を網羅するものであると理解されるべきである。
【0017】
よって、例えば、本明細書のブロック図は、本発明の原理を具体化させる例示的な回路の概念的な観点を示すものであると理解されるべきである。これと同様に、すべてのフローチャート、状態変換図、擬似コードなどは、コンピューターにて読み取り可能な媒体に実質的に示すことができ、コンピューターまたはプロセッサーが明らかに示されているか否かを問わずに、コンピューターまたはプロセッサーにより行われる様々なプロセスを示すものであると理解されるべきである。
【0018】
また、プロセッサー、制御またはこれと略同じ概念として提示される用語の明確な使用は、ソフトウェアを実行する能力をもったハードウェアを排他的に引用して解釈されてはならず、制限なしにデジタル信号プロセッサー(DSP)ハードウェア、ソフトウェアを記憶するための読み込み専用メモリー(ROM)、ランダムアクセスメモリー(RAM)及び不揮発性メモリーを暗示的に含むものであると理解されるべきである。周知慣用の他のハードウェアもまた含まれ得る。
【0019】
上述した目的、特徴及びメリットは、添付図面と結び付けて行われる以下の詳細な説明からなお一層明らかになる筈であり、それにより、本発明が属する技術分野において通常の知識を有する者が本発明の技術的思想を容易に実施することができる筈である。なお、本発明を実施するに当たって、本発明と関わる公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合にはその詳細な説明を省略する。
【0020】
本出願において用いた用語は、単に特定の実施形態を説明するために用いられたものであり、本発明を限定しようとする意図はない。単数の表現は、文脈からみて明らかに他の意味を有さない限り、複数の言い回しを含む。本出願において、「備える」または「有する」などの用語は、明細書に記載の特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものに過ぎず、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないものと理解すべきである。
【0021】
以下、添付図面に基づいて、本発明の好適な実施形態について詳しく説明する。本発明について説明するにあたって、全体的に理解し易くするために、図中の同一の構成要素に対しては、同一の参照符号を付し、同一の構成要素についての重複する説明は省略する。
【0022】
本明細書中で使われる「メール(mail)」は、ユーザーが端末装置とここにインストールされるクライアントプログラムまたはウェブサイトを介して、コンピューター通信網を用いてやり取りする電子メール(Electronic mail)、ウェブメール(Webmail)、電子郵便、電子郵便物などの用語をまとめて用いることができる。
【0023】
図1は、本発明の一実施形態に係る全体のシステムを示す概念図である。
【0024】
図1を参照すると、本発明の一実施形態に係るシステムは、サービス提供装置100と、ユーザー端末200と、メールサーバー300と、を備える。
【0025】
より具体的には、サービス提供装置100と、ユーザー端末200及びメールサーバー300は、公衆網(Public network)と結ばれることで、有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であって、一般に、電話網、データ網、CATV網及び移動通信網などを網羅し、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供する。本発明においては、前記公衆網をネットワークに書き換える。
【0026】
また、前記サービス提供装置100と、ユーザー端末200及びメールサーバー300は、各通信網に相当するプロトコルにより通信するためのそれぞれの通信モジュールを備えていてもよい。
【0027】
前記サービス提供装置100は、メールセキュリティ及び診断サービスの提供のために、各ユーザー端末200及びメールサーバー300と有/無線ネットワークを介して接続さてもよく、各ネットワークに接続された装置または端末は、予め設定されたネットワークチャンネルを介して相互間の通信を行うことができる。
【0028】
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radio communication network)または衛星通信網などといったあらゆる種類の有/無線ネットワークにより実現されてもよい。
【0029】
本明細書中で説明されるサービス提供装置100は、メールを介した意図しないプログラムの実行とメール関連システムのデータ処理能の低下、フィッシング詐欺などを引き起こす攻撃を探知しかつ遮断することが可能なメールセキュリティサービスを提供することができる。
【0030】
さらに、サービス提供装置100は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成し、前記セキュリティ脅威情報の同期化データを用いて、新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査を行うことにより、前記新規受信メールまたは前記新規発信メールの前記標的型電子メールセキュリティ脅威の検査に伴う標的型電子メールセキュリティ脅威への対応処理を行うメールセキュリティサービスを提供することができる。
【0031】
ここで、前記新規受信メールまたは新規発信メールに対応する標的型電子メールセキュリティ脅威の検査は、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含んでいてもよく、セキュリティレベルに対応して事前定義された段階的検査プロセスに従い、標的型電子メールの検査を処理し、処理された検査データは、前記セキュリティ脅威情報の同期化データを更新するのに使用可能である。
【0032】
また、サービス提供装置100は、セキュリティ脅威情報の同期化データと、標的型電子メールの検査処理情報とを用いて、標的型電子メールの攻撃に対応するメールセキュリティ脅威要素の定量分析に基づくメール診断プロセスを行い、各電子メールシステムユーザー端末200に前記診断プロセスに基づく診断レポーティングを提供するメール診断サービスを提供することができる。
【0033】
そして、本明細書中で説明されるユーザー端末200は、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、個人用デジタル補助装置(PDA:Personal Digital Assistants)、携帯型マルチメディアプレーヤー(PMP:Portable Multimedia Player)などを網羅するが、本発明は、これらに何ら限定されるものではなく、公衆網または私設網などを介して、前記サービス提供装置100とメールサーバー300などと接続可能な装置であってもよい。
【0034】
これに加えて、それぞれの装置は、アプリケーションの駆動またはウェブブラウジングを用いた情報の入出力が可能な多種多様な装置であってもよい。特に、一般に、ユーザー端末200は、個別的なセキュリティネットワークを介して、前記サービス提供装置100と接続されてもよい。
【0035】
一方、前記メールサーバー300は、ユーザーがユーザー端末200を介して作成したメールを発信したり、相手方がユーザー端末200を介して作成したメールを受信したりできるように電子郵便の内容を中継及び保管するシステムである。前記メールサーバー300は、メールの受信及び発信処理という使用目的に応じて、予め設定されたプロトコルを活用して相互間の通信を行うことができる。
【0036】
一般に、前記プロトコルとしては、メールの受信処理に際して、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)が使用可能である。また、前記プロトコルとしては、メールの発信処理に際して、簡易メール転送プロトコル(SMTP:Simple Mail Transfer Protocol)が使用可能である。このように、メールサーバー300は、メールの送受信処理のためのサーバー(server)システムとして構成されて作動することができる。なお、前記メールサーバー300は、メール受信サーバーとメール発信サーバーとに細分化されてそれぞれの機能を提供することができる。
【0037】
【0038】
まず、図2を参照すると、本発明の一実施形態に係るサービス提供装置100は、制御部110と、検査データ収集部120と、標的型電子メールセキュリティ脅威検査部130と、セキュリティ脅威情報同期化処理部140と、受信メール処理部150と、発信メール処理部160と、レコード管理部170と、診断レポーティング部180及び通信部125を備える。
【0039】
制御部110は、前記サービス提供装置100の各構成要素の動作を全般的に制御するための一つ以上のハードウェアプロセッサーにより実現されてもよい。
【0040】
通信部125は、ユーザー端末200またはメールサーバー300が位置しているネットワークと通信するための一つ以上の通信モジュールを備えていてもよい。
【0041】
検査データ収集部120は、メールサーバー300を介して、一つ以上のユーザー端末200の間において送受信されるメール情報を収集することができる。前記メール情報は、電子メールヘッダー情報と、電子メールタイトルと、電子メール内容本文及び一定期間の受信回数などを含んでいてもよい。
【0042】
具体的には、前記電子メールヘッダー情報は、メール発信サーバーIPアドレス、メール発信サーバーホスト名情報、発信者メールドメイン情報、発信者メールアドレス、メール受信サーバーIPアドレス、メール受信サーバーホスト名情報、受信者メールドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時間情報、メール発信時間情報などを含んでいてもよい。
【0043】
また、前記電子メールヘッダーは、メールが送受信される過程において必要となるネットワーク経路情報、メールのやり取りのためのメールサービスシステム間の使用プロトコル情報などを含んでいてもよい。
【0044】
追加的に、前記メール情報は、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイル内容の本文、統一資源位置指定子(URL:Uniform Resource Locator)情報などを含んでいてもよい。前記添付ファイルは、発信者が受信者に転送しようとするメール本文の内容に加えて、追加的な情報を転送したり情報の返信を求めたりするためのさらなるコンテンツを含んでいてもよい。
【0045】
前記コンテンツは、テキスト、画像、動画などを提供することができる。受信者は、メールに添付されているファイルに対応するアプリケーションを実行してコンテンツを確認することができる。また、受信者は、メールに添付されているファイルをローカル格納装置にダウンロードして格納及び管理することが可能である。
【0046】
前記添付ファイルの拡張子は、ファイルの形式や種類を区別することができる。前記添付ファイルの拡張子は、一般に、ファイルの属性やファイルを生成したアプリケーションを示す文字列により区別されてもよい。例えば、テキストファイルは、[ファイル名].txt、MSワードファイルは、[ファイル名].doc(docx)、ハングルファイルは、[ファイル名].hwpなどの拡張子により区別されてもよい。また、画像ファイルは、gif、jpg、png、tifなどにより拡張子が区別されてもよい。
【0047】
追加的に、コード化した指令に従って指示された作業を行わせるコンピューターファイルである実行ファイルは、[ファイル名].com、[ファイル名].exe、[ファイル名].bat、[ファイル名].dll、[ファイル名].sys、[ファイル名].scrなどにより区別されてもよい。
【0048】
前記添付ファイルのハッシュ情報は、情報の偽変造を確認して情報の無欠性を保証することができる。ハッシュ情報またはハッシュ値は、ハッシュ関数を用いて、任意の長さを有する任意のデータに対して一定の長さのビット列にマッピングされてもよい。
【0049】
これを通して、最初に生成される添付ファイルに対して、ハッシュ関数を介して出力されるハッシュ情報は、固有の値を有することになる。前記出力されるハッシュ情報またはハッシュ値は、逆に、関数に入力されるデータを抽出できない一方向性を有する。また、ハッシュ関数は、一つの与えられた入力データに対して出力されたハッシュ情報またはハッシュ値と同一の出力を提供する他の入力データは、計算的に不可能な衝突回避性を保証することができる。これにより、前記添付ファイルのデータを修正したり追加したりすれば、ハッシュ関数の出力値は異なるように返される。
【0050】
このように、前記添付ファイルの固有のハッシュ情報は、メールを介してやり取りするファイルに対して、ハッシュ情報またはハッシュ値を比較することにより、ファイルの修正、偽変造の有無を確認することができる。また、前記ハッシュ情報は、固有の値に固定されるため、悪意的な意図をもって生成したファイルに対する過去のヒストリーのデータベースであるレピュテーション情報を活用することにより、事前防疫措置を取らせることができる。追加的に、前記ハッシュ関数は、一方向性と衝突回避性を保証可能な技術及びバージョンとして利用可能である。
【0051】
例えば、ハッシュ情報は、ウィルストータルウェブサイトやマルウェアズウェブサイトを介して、ファイルの悪性コードの有無に関する検索情報として活用可能である。前記ファイルのハッシュ情報の分析を提供するウェブサイトを介して、ファイルのプロバイダー、ファイルのハッシュ値などの情報の提供を受けることができる。また、ファイルのハッシュ情報に対する検索の結果は、多数のIT情報セキュリティソリューションを提供するグローバル会社において判別したレピュテーション情報をクロスチェックすることができて、さらに信頼性ある情報をもって判断することが可能である。
【0052】
標的型電子メールセキュリティ脅威検査部130は、予め設定された標的型電子メールセキュリティ脅威の検査プロセスに従い、前記メール情報に対応するメールセキュリティ検査プロセスの段階別のマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に伴うメールセキュリティの検査情報を格納及び管理することができる。
【0053】
ここで、前記標的型電子メールセキュリティ脅威の検査プロセスは、新規受信メールまたは新規発信メールに対応して、前記セキュリティ脅威情報の同期化データを用いた、特定の電子メールアカウントを対象とするスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査のうちの少なくとも一つを含んでいてもよい。
【0054】
また、このようなスパム攻撃の脅威の検査、悪性コード電子メール攻撃の脅威の検査、社会工学的な電子メール攻撃の脅威の検査、電子メール情報流出の脅威の検査は、各セキュリティ脅威類型に応じて、予め設定された段階的なプライオリティが設定され、順次に処理されてもよい。
【0055】
さらに、前記標的型電子メールセキュリティ脅威の検査プロセスは、新規受信メールまたは新規発信メールに対応する互いに異なるメールセキュリティプロセスが決定されてもよい。また、前記メールセキュリティプロセスの検査の対象、検査の順序または検査の方式は、同期化したセキュリティ脅威情報の同期化データにより予め決定されてもよい。
【0056】
前記標的型電子メールセキュリティ脅威の検査プロセスは、受信(インバウンド)または発信(アウトバウンド)のためのメール情報がユーザー端末200から伝送されれば、独立的に区分けされたプロセスをリソースとして割り当て、前記メール情報で割り当てられた検査領域において即座で実行可能である。流動的なリソースの割り当て方式は、仮想空間の概念であると説明可能である。前記仮想空間にリソースを割り当てる方式において、メールセキュリティプロセスは、処理が完了したとき、順次に流入してくるメール情報で割り当てられた検査領域において作業を即座で処理することができる。
【0057】
これとは対照的に、仮想環境、仮想マシンのように一つのリソース内において処理が制限される一定のプロセスが割り当てられた環境は、リクエストされる作業を処理するとき、特定のプロセスの処理が完了するまで他のプロセスが待機するアイドル(idle)タイムを有し得る。このように、プロセスを用いた分析方式において、流動的リソースは、固定型リソースと比較するときに処理速度及び性能の側面からみて優位を占めることができる。
【0058】
前記標的型電子メールセキュリティ脅威検査部130は、前記検査データ収集部120において収集された前記メール情報に基づいて受信または発信の目的にメールを区別することができる。この後、前記標的型電子メールセキュリティ脅威検査部130は、前記メールセキュリティプロセスを順次にまたは設定されたプライオリティに基づいてマッチングしかつ分析することにより、それぞれのメールに関する標的型電子メールセキュリティの検査情報を取得することができる。
【0059】
ここで、前記標的型電子メールセキュリティ脅威検査部130は、悪性コードを用いた電子メール脅威類型のみならず、悪性コードがない攻撃類型に対する検査をも処理することができる。標的型電子メール攻撃の具体的な類型は、悪性コード攻撃のみならず、なりすまし、アカウント乗っ取りなどといった社会工学的な攻撃があり得、これによる非故意的な情報の流出または故意的な情報の流出の攻撃なども相当し得る。
【0060】
これにより、標的型電子メールセキュリティ脅威検査部130は、それぞれの類型別の攻撃を段階的に検出するために、スパム攻撃脅威検査部131と、悪性コード攻撃脅威検査部133と、社会工学的な攻撃脅威検査部135及び情報流出検査部137を備える。
【0061】
ここで、標的型電子メールセキュリティ脅威検査部130は、セキュリティ脅威情報同期化処理部140において事前に構成されたセキュリティ脅威情報の同期化データを用いることができる。
【0062】
このために、セキュリティ脅威情報同期化処理部140は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて、セキュリティ脅威情報の同期化データを構成することができる。
【0063】
ここで、セキュリティ脅威情報の同期化データは、各検査プロセス及び外部のセキュリティサーバーから収集された悪性ファイル情報及び悪性アカウントに関する識別情報を含んでいてもよく、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて構成されてもよい。
【0064】
例えば、前記セキュリティ脅威情報の同期化データは、特定の受信メールの標的型電子メールセキュリティ脅威の検査に際して悪性脅威レベルが高いと検査されたファイル情報や、なりすましやアカウント乗っ取りの可能性が高いと検査された発信者アカウント情報を含んでいてもよい。
【0065】
また、前記セキュリティ脅威情報の同期化データは、特定の発信メールの標的型電子メールセキュリティ脅威の検査に際して、情報流出の脅威レベルが高いと検査されたファイル情報や、なりすましやアカウント乗っ取りの可能性が高いと検査された受信者アカウント情報を含んでいてもよい。
【0066】
そして、前記セキュリティ脅威情報の同期化データは、類似ドメインの攻撃と紐付けされたものとして検出された電子メールアカウント及びドメイン情報を含む類似ドメイン検査情報を含んでいてもよい。
【0067】
また、前記セキュリティ脅威情報の同期化データは、アカウント乗っ取りの攻撃と紐付けされたものとして検出された電子メールアカウント及びドメイン情報を含むアカウント乗っ取り攻撃の検査情報を含んでいてもよい。
【0068】
そして、前記セキュリティ脅威同期化データは、URLリンクのリダイレクト経路情報をメール受信日以降に変更するゼロデイURL攻撃検査情報と、システムセキュリティ脆弱点が見つかってからこれを防止可能なパッチが発表されるも前にこれを用いた悪性コードやハッキング攻撃を処理するゼロデイマルウェア(zero-day malware)検査情報を含んでいてもよい。
【0069】
また、前記セキュリティ脅威同期化データは、電子メールサーバー情報、経由地点情報及び発送者情報を含む伝送ルーティング検査情報(Delivery routing information)をさらに含んでいてもよい。
【0070】
さらに、前記セキュリティ脅威情報の同期化データは、標的型電子メールセキュリティ脅威検査部130の各処理部において処理される検査データを用いて更新処理され続けることができるため、これにより、発信及び受信セキュリティシステムの統合的なセキュリティ管理が可能であり、標的型電子メールの攻撃による内部システムの損傷や、外部への情報の流出を事前に有効に防ぐことができる。
【0071】
このようなセキュリティ脅威情報の同期化データは、後述する各セキュリティ検査プロセスにおいて検査される情報として、未知の悪性コード情報、添付ファイル悪性コード情報、URL悪性コード情報、ヘッダー偽変造情報、類似ドメイン情報、アカウント乗っ取り情報、URLフィッシング情報、故意的な情報流出情報、非故意的な情報流出情報、非承認の電子メールサーバーアクセス情報などが挙げられる。
【0072】
このような検査プロセスを行い、セキュリティ脅威情報の同期化データを構成するために、まず、前記標的型電子メールセキュリティ脅威検査部130は、スパムメール検査部131を備えていてもよい。
【0073】
前記スパムメール検査部131は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、メールヘッダー情報、メールタイトル、メール内容の本文、一定の期間の受信回数などを含む前記メール情報を予め設定したスパムインデックスと段階別にマッチングすることができる。
【0074】
ここで、前記スパムメール(迷惑メール、がらくたのメール、一括発信のメールとも呼ばれる。)セキュリティ脅威は、関係のない発信者と受信者の間において公告と広報などを目指して一方的に大量で不特定多数の人に無差別的に散布されるメール類型を含んでいてもよい。また、大量のスパムメールは、メールシステムのデータ処理能に負荷を与えてしまい、その結果、システムの処理能を低下させる原因になる虞がある。また、スパムメールは、内容本文などに含まれている無分別な情報に対してユーザーが意図せずに接続される虞もあり、潜在的なフィッシング詐欺のための情報に成り済まされ得るリスクがある。
【0075】
したがって、前記スパムメール検査部131は、メールヘッダー情報とメールタイトル、メール内容の本文などを含むメール情報に対してスパムメールとして区別可能な一定のパターン検査などを行うことで、スパムインデックスにおいて検査項目として用いることができる。これを通して、前記スパムメール検査部131は、前記スパムインデックスを段階別にマッチングしてスパムメール検査情報を取得し、かつ格納及び管理することができる。
【0076】
また、前記標的型電子メールセキュリティ脅威検査部130は、悪性コード攻撃脅威検査部132をさらに備えていてもよい。
【0077】
悪性コードは、被害者のコンピューターシステムにあるメモリーにアクセスしてファイルとプログラムを損傷したり削除したりする虞があるものであって、ここで、標的型電子メールセキュリティ脅威の検査の対象である悪性コード攻撃は、大きく3種類の攻撃にログ類型が区別可能であるが、悪性コード攻撃脅威検査部133は、各攻撃類型別の検査プロセスを行うための同期化したセキュリティ脅威情報の同期化データを確認することができ、検査結果に伴う検査データをセキュリティ脅威情報同期化処理部140に転送して、再びセキュリティ脅威情報の同期化データを更新するように処理することができる。
【0078】
まず、未知の悪性コードのための攻撃類型は、ビッグデータデータベースに登録されていないためワクチンテストにおいて探知し難い新たな未知の悪性コードを用いた攻撃を意味する。例えば、攻撃者は、発送当日ではない一定の時間以降にメール内のURLリンクや添付ファイルの接続経路をリダイレクトする方式により、悪性コードを伝送するゼロデイ脆弱点を悪用して、セキュリティソリューションが探知できない新たな悪性コードが埋め込まれている添付ファイルを埋め込み、ユーザーのクリックを誘導する電子メールを発送することができる。
【0079】
また、添付ファイルの悪性コード攻撃において、悪性電子メールの添付ファイルは、攻撃者が一般に電子メールで送るファイルの内部に悪性コードを隠す脅威類型であって、このような悪性電子メールの添付ファイルは、文書、コンパイル及び実行ファイル、さらには画像及びビデオファイルに成り済ましてもよく、他の拡張子を用いて暗号化したファイルであってもよい。さらに、実行ファイルを用いた攻撃には、悪性文書が含まれている電子メールを開くように受信者を騙すために送り手のアドレスを偽造してもよく、画像に悪性コードを埋め込んで電子メール本文に添付する攻撃を含んでいてもよい。
【0080】
一方、URLを用いた悪性コード攻撃は、ユーザーを悪性ウェブサイトへと誘う目的で電子メールに悪性コードが埋め込まれているクリック可能なリンクを埋め込む攻撃類型であってもよい。悪性URLは、大容量添付ファイルまたは電子メール本文に埋め込まれる可能性があるため、ユーザーが電子メールまたは通常添付ファイルのURLをクリックするときのみならず、転送時にのみ悪性コードが実行されるようにする攻撃も含まれ得る。
【0081】
前記悪性コード攻撃脅威検査部132は、前述した各類型別のセキュリティ検査プロセスを行うために、添付ファイルのハッシュ情報、添付ファイル名、添付ファイル内容の本文、URL(Uniform Resource Locator)情報などをさらに含む前記メール情報を予め設定した悪性コードインデックスと段階別にマッチングすることができる。
【0082】
前記悪性コード攻撃脅威検査部132は、添付ファイルの属性値で確認可能な添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名などとともに、添付ファイル内容の本文と内容の本文に埋め込まれるURL(Uniform Resource Locator)情報を悪性コードインデックスの検査項目として用いることができる。これを通して、前記悪性コード攻撃脅威検査部132は、前記悪性コードインデックスを各類型及び項目に応じて段階別にマッチングして悪性コード検査情報を取得し、レコード管理部170を用いて格納及び管理することができ、セキュリティ脅威情報同期化処理部140に提供して、セキュリティ脅威情報の同期化データの更新を処理することができる。
【0083】
前記悪性コードインデックスとしては、段階別にメール情報に含まれる項目に基づく検査項目と検査を用いたレベル値が設定されてもよく、各検査レベル値は、前述したセキュリティ脅威情報の同期化データに基づいて更新可能である。
【0084】
例えば、前記悪性コードインデックスLevel 1は、セキュリティ脅威情報の同期化データから取得されるビッグデータ及びレピュテーション情報に基づいて、メール情報に含まれる添付ファイル名、添付ファイルの拡張子をマッチングすることができる。これを通して、前記悪性コードインデックスLevel 1は、評価されたレベル値を悪性コードインデックスLevel 1の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 1の検査情報は、検査項目である添付ファイル名が「Trojan」、添付ファイルの拡張子が「exe」を含んでいるとき、前記ビッグデータ及びレピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区別されたレベル値において「1」と評価可能である。これを通して、悪性コードインデックスLevel 1の検査情報は、「1」として取得可能である。
【0085】
追加的に、前記悪性コードインデックスLevel 2は、セキュリティ脅威情報の同期化データから取得されるビッグデータ及びレピュテーション情報に基づいて、メール添付ファイルのハッシュ情報をマッチングすることができる。これを通して、評価されたレベル値を悪性コードインデックスLevel 2の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 2の検査情報は、検査項目である添付ファイルハッシュ情報が「a1b2c3d4」として分析されるとき、前記レピュテーション情報で悪性コードと定義された情報と一致する場合、0と1とに区別されたレベル値において「1」として評価可能である。これを通して、悪性コードインデックスLevel 2の検査情報は、「1」として取得可能である。
【0086】
次のステップとして、前記悪性コードインデックスLevel 3は、セキュリティ脅威情報の同期化データから取得されるURLレピュテーション情報に基づいて、添付ファイルまたはメール内容の本文に埋め込まれているURL(Uniform Resource Locator)情報をマッチングすることができる。これを通して、評価されたレベル値を悪性コードインデックスLevel 3の検査情報として取得することができる。例えば、前記悪性コードインデックスLevel 3の検査情報は、検査項目であるURL情報が「www.malicious-code.com」であると確認されるとき、前記URLレピュテーション情報で悪性コードファイルが含まれる有害サイトと定義された情報と一致する場合、0と1とに区別されたレベル値において「1」と評価可能である。これを通して、悪性コードインデックスLevel 3の検査情報は、「1」として取得可能である。そして、前記悪性コード攻撃脅威検査部132は、URLレピュテーション情報から漏れ得るゼロデイ攻撃に対応することができる。前記悪性コード攻撃脅威検査部132は、レピュテーション情報がないURLに関するリンクIPアドレスを特定のシステムのIPアドレスに変更し、変更されたIPアドレスをユーザー端末200に提供することができる。前記ユーザー端末200は、前記URLに接続しようとするとき、前記悪性コード攻撃脅威検査部132が変更した特定のシステムのIPアドレスに接続されてもよい。この前に、前記URLに対するリンクIPアドレスに変更された特定のシステムは、持続的にURLのエンドポイントまで悪性コードを含むか否かを検査することができる。
【0087】
一方、悪性コード攻撃脅威検査部133は、未知の悪性コードを識別するために、セキュリティ脅威情報の同期化データを用いた悪性コードの分類管理を行うことで、管理者が悪性ファイルとして識別された電子メールを分類構成できるようにし、これにより、ユーザーが再伝送をリクエストするとしても、ウィルスなどが伝達されないように処理することができる。
【0088】
また、悪性コード攻撃脅威検査部133は、未知の悪性コードの検査のために、多重分析検査を行うことができ、多重分析検査は、静的検査と動的検査とを組み合わせて、システムに対する悪性コードの行動を検査して1次検査において探知されていない新たなウィルスを探知することができる。行動検査結果は、例えば、「偽造」、「メモリーへのアクセス」、「フッキング警告」、「ファイル生成」、「ファイル削除」、「プロセス実行」に区別可能であり、これにより、悪性コード攻撃脅威検査部133は、行動検査を行った結果情報から悪性コード攻撃の脅威を検査し、検査結果をセキュリティ脅威情報同期化処理部140に転送して、セキュリティ脅威情報の同期化データの更新に用いることができる。
【0089】
例えば、悪性コード攻撃脅威検査部133は、3段階から構成されたウィルステストを行うことができるので、1次検査(ワクチン検査)、2次テスト(環境的なオペレーティングシステムの変更テスト)及び3次テスト(行動に基づく分析テスト)を段階的に処理して、各段階別の検査結果を用いた悪性コード攻撃の脅威を検査することができる。
【0090】
そして、悪性コード攻撃脅威検査部133は、セキュリティ脅威情報の同期化データ及びビッグデータに基づく検査を行うために、クラウドサービスを用いて、ユーザーのすべての受信(インバウンド)及び発信(アウトバウンド)電子メールデータを定期的にスキャンして追加検査が必要となる悪性添付ファイルを抽出することができる。
【0091】
そして、悪性コード攻撃脅威検査部133は、セキュリティ脅威情報の同期化データにより、セキュリティ脅威情報同期化処理部140においてビッグデータから構築されたデータを基に標的電子メール攻撃の危険有無を判断することができる。ビッグデータ分析機能は、偽造された拡張子(例えば、doc, .docx, .ppt, .pptx, .pdf, .txt, .rtfなど)までも悪性コード分析の対象として識別し、かつ感知することができる。
【0092】
一方、悪性コード攻撃脅威検査部133は、URLの悪性コードが検出された場合、受信メール処理部150に転送されるメール情報のURLデータを画像に変換処理することができる。これにより、添付された悪性URLが認識される危険な感知環境においてURLリンクを開けないように防止処理されることが可能になる。
【0093】
また、悪性コード攻撃脅威検査部133は、前述したエンドポイントURLモニターリングを行うことで、潜在的な危険をモニターリングし、電子メール本文または文書ファイル内のすべてのURLの最終宛先を持続的に追跡処理し続けることができる。ここで、悪性コード攻撃脅威検査部133は、すべてのURLを互いに接続されたn番目のURLとして追跡することができる。また、悪性コード攻撃脅威検査部133は、電子メール本文に埋め込まれている文書ファイルをURLにおいて確認し、特に、大容量添付ファイルの場合、電子メール本文のURLを迂回してダウンロードされる大容量添付ファイルに対しても、ダウンロード後の悪性添付ファイルまたは文書ファイルに対するすべてのURLを追跡することができる。
【0094】
そして、悪性コード攻撃脅威検査部133は、ユーザーが電子メールを受信した後、URLリンクのクリックを試みるとき、ファイル及びエンドポイントをスキャンすることで、リアルタイムにてURLへのアクセスを再点検し、危険が感知されれば、アクセスを制限するURLの事後テストを行うことができる。これに伴うURLの事後テスト情報は、セキュリティ脅威情報の同期化データにリアルタイムにて更新可能であり、受信メール処理部150及び発信メール処理部160は、このようなセキュリティ脅威情報の同期化データにより確認されたURLの事後テストの結果を参照して、標的型電子メールの攻撃に対する遮断、ユーザー報知などの処理を行うことができる。
【0095】
また、悪性コード攻撃脅威検査部133は、悪性コード攻撃を検査するための画像ベースのフィルターリングを行うことができるが、これは、テキストベースのフィルターリングまたは悪性添付ファイルのフィルターリングを避けるために構成されたテキスト悪性グラフィック画像を感知することができる。
【0096】
このように、前記悪性コードセキュリティプロセスを用いて、悪性コードインデックスレベル単位で取得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として格納及び管理可能である。このようにして合算された悪性コード検査情報は、セキュリティ脅威情報同期化処理部140に提供されて、セキュリティ脅威情報の同期化データの更新に利用可能である。
【0097】
上述したような悪性コード電子メール攻撃(Malware email attacks)の第1の類型であって、ゼロデイ悪性コード(Zero-day malware)は、ビッグデータデータベースに登録されていないため、攻撃者が使用する未知の悪性コードは、セキュリティシステムにおいて探知し難い。このようなゼロデイ悪性コードに対する脆弱点は、セキュリティシステムが探知できない未知の悪性コードを含む添付ファイルやクリック可能なリンクを埋め込み、ユーザーがクリックしてはいけない個所をクリックするように誘導する電子メールを送るのに悪用される可能性がある。また、ゼロデイ悪性コードは、ユーザーのコンピューターシステムにあるメモリーにアクセスしてファイルとプログラムを損傷させたり削除したりする可能性もある。
【0098】
一方、上述したようなゼロデイ悪性コード攻撃に対応するためのセキュリティ要求事項として、新たな悪性コード攻撃の脅威に対応するために、パターンに登録されていない新たなウィルスを探知するための行為ベースの分析検査(behavior-based analysis inspection)が行われなければならない。そして、新たに見つかったり探知されたりした悪性コードの動作に関する説明を手動または自動プロセスを用いて報告しなければならない。
【0099】
また、上述したようなゼロデイ悪性コードに対する対応策として、悪性コード分類管理(Malware classification management)及び多重分析検査(Multi-analysis inspection)が行われる。悪性コード分類管理を行うことで、セキュリティ管理者は、悪性ファイルとして識別された電子メールを設定することができ、ユーザーが再伝送をリクエストするとしても、ウィルスは伝達されない。そして、多重分析検査は、静的テスト(static testing)と動的テスト(dynamic testing)との組み合わせによりシステムに対する悪性コードの動作を検査する環境的な運用システム変更テスト(environmental operating system change testing)を行うことで、基本テスト(primary testing)において探知されていない未知の悪性コードを探知する。行為結果(behaviour results)は、例えば、「偽造(forgery)」、「メモリーアクセス(memory access)」、「フッキング警告(hooking warning)」、「ファイル生成(create file)」、「ファイル削除(delete file)」または「プロセス実行(run process)」に分けられる。
【0100】
上述したような悪性コード電子メール攻撃の第2の類型であって、添付ファイル悪性コード(Malware in attachment)は、攻撃者が悪性コードを一般に電子メールにより伝送されるファイルの内部に隠す攻撃類型である。このような悪性電子メールの内部の添付ファイルは、文書、実行ファイルまたは画像及び動画ファイルに成り済ますことができる。これらのファイルは、他の拡張子により暗号化されることもある。実行ファイルを用いた攻撃には、発信者のアドレスをスプーフィング(spoofing)して受信者を騙して悪性文書が含まれている電子メールを開くようにすることが含まれ得る。
【0101】
一方、上述したような添付ファイル悪性コード攻撃に対応するためのセキュリティ要求事項として、様々なファイル形式の偽造ファイル拡張子を検出し、電子メールレピュテーション分析(email reputation analysis)を提供することができる。
【0102】
また、上述したような添付ファイル悪性コードに対する対応策として、ビッグデータベースの検査(bigdata based inspection)が行われる。ビッグデータベースの検査は、クラウドサービスを用いて、ユーザーのすべてのインバウンド及びアウトバウンドの電子メールデータを定期的にスキャンして追加検査が必要となる悪性添付ファイルを抽出し、ビッグデータシステムに格納されたデータを基に標的電子メール攻撃の危険があるか否かを決定する。また、この機能は、偽造されたファイル拡張子を識別しかつ検出する。
【0103】
上述したような悪性コード電子メール攻撃の第3の類型であって、URL悪性コード(Malware in URL)攻撃は、ユーザーが悪性ウェブサイトを訪問するように誘導するために、悪性コードが埋め込まれているクリック可能なリンクを電子メールに埋め込む攻撃である。また、悪性URLは、大容量添付ファイル及び/又は電子メール本文に埋め込まれる場合もある。これは、伝送時のみならず、ユーザーが電子メールや通常添付ファイルのURLをクリックするときに悪性コードが実行されるようにする攻撃であってもよい。
【0104】
一方、上述したようなURL悪性コード攻撃に対応するためのセキュリティ要求事項として、すべてのURLに悪性コードがあるか否かを確認しながら、複数の接続されたURL内においてURLの最終宛先(final destination)を追跡しなければならない。また、ユーザーがメールを受信した後にURLを実行するとき、悪性コード攻撃を防ぐために、ポスト-URL(post-URL)を確認しなければならない。そして、ユーザーが誤って悪性URLをクリックしないように、「URLリンクを開く」を非活性化させてもよい。
【0105】
また、上述したようなURL悪性コードに対する対応策として、URL画像変換(URL image conversion)、エンドポイントURLモニターリング(Endpoint URL monitoring)及びURLポストテスト(URL post testing)が行われる。URL画像変換は、添付された悪性URLが認識される危険な環境下でURLリンクを開けないようにする。エンドポイントURLモニターリングは、潜在的な危険をモニターリングして、電子メールの本文または文書ファイル内にあるすべてのURLの最終宛先(final destination)を持続的に追跡し続ける。例えば、電子メール本文のURLを迂回(bypass)してダウンロードされる大容量添付ファイルについては、ダウンロード後に悪性添付ファイルまたは文書ファイルに対するすべてのURLを追跡できなければならない。そして、URLポストテストは、ユーザーが電子メールを受信した後、URLリンクをクリックしようとする試みをするとき、ファイル及びエンドポイント(endpoint)に対するスキャンを行うことで、リアルタイムにてURLアクセス(access)を再検査し、危険が感知されれば、アクセスを制限する。また、アクセスする度にインバウンド電子メールセキュリティを介して、新たなURLが検査のために生成され、問題がない場合、ユーザーを元のURLに移動させることができる。
【0106】
一方、前記標的型電子メールセキュリティ脅威検査部130は、社会工学的な攻撃脅威検査部133をさらに備えていてもよい。前記社会工学的な攻撃脅威検査部133は、メールセキュリティ検査プロセスが社会工学的な攻撃の脅威セキュリティプロセスである場合に実行され、セキュリティ脅威情報の同期化データ及び予め設定された社会工学的な攻撃セキュリティ脅威項目に基づいて、メール情報から取得される社会工学的な攻撃分析データを項目別にマッチングすることができる。前記社会工学的な攻撃分析データは、メール情報に対応する各攻撃類型別の分析プロセスを行って取得可能である。
【0107】
例えば、前記社会工学的な攻撃脅威検査部133は、正常と判別されたメールから抽出可能な受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを社会工学的な攻撃の脅威検査項目として用いることができる。これを通して、前記社会工学的な攻撃脅威検査部133は、前記社会工学的な攻撃の脅威検査項目別の類型検査を行って、社会工学的な攻撃の脅威の検査情報を取得し、格納及び管理することができる。
【0108】
より具体的には、社会工学的な攻撃脅威検査部135は、社会工学的な攻撃の脅威の検査項目別の攻撃類型の検査を行うに際して、ヘッダーの偽変造検査、類似ドメインの検査、アカウント乗っ取りの検査及びURLフィッシングの検査を行うことができる。
【0109】
偽造ヘッダー(Forged header)は、ヘッダー(header)のアカウント情報(account information)を偽造して検出を避ける社会工学的な攻撃の一つの類型である。攻撃者は、電子メールヘッダーの偽造を用いて、ユーザーが返信を送るとき、電子メールの宛先を迂回(bypass)するようにする。偽造ヘッダー攻撃を用いて、攻撃者は、会社の資格証明情報(credential information)及び個人情報(personal information)を含み得る正常ユーザーの電子メールを横取りすることができる。このようなヘッダー偽変造に対する検査は、攻撃者がユーザーの返答時のメールの宛先(送り先)を迂回するようにする電子メールヘッダーの偽造を検出する検査を含んでいてもよい。ヘッダーが偽変造された場合、攻撃者は、会社の資格証明情報及び個人情報が含まれ得る一般のユーザーの電子メールなどを横取りし得るリスクが存在する。
【0110】
上述したような偽造ヘッダー攻撃に対応するためのセキュリティ要求事項として、インバウンド電子メールに返信するとき、返信すべき電子メールアドレスが異なる場合、ユーザーを遮断したり警告したりしなければならず、電子メール通信プロトコルを遵守するか否かを確認する。これにより、社会工学的な攻撃脅威検査部135は、ヘッダー偽変造の検査を行うことで、このようなヘッダー偽変造の攻撃を事前に検出し、かつ遮断できるようにする。社会工学的な攻撃脅威検査部135の検査情報に基づいて、発信メール処理部160は、受信メールに返信するとき、返信すべき電子メールアドレスが異なる場合に予め遮断したり、発信ユーザーに警告処理を行ったりすることができる。このような処理のために、社会工学的な攻撃脅威検査部135は、電子メール通信プロトコルの認証有無を予め確認することができる。
【0111】
ヘッダー偽変造の検査に際して、社会工学的な攻撃脅威検査部135は、電子メール通信プロトコル認証の場合、発信者の電子メールが通信プロトコル(例えば、SPF(センダー・ポリシー・フレームワーク)、DKIM(ドメインキー識別メール)、DMARC(ドメインベースの認証、レポーティング、適合))が遵守しているか否かを確認して電子メールにおいて偽造された発信者アドレスを感知することができる。
【0112】
ヘッダー偽変造の検査に際して、また、社会工学的な攻撃脅威検査部135は、IPアドレス及びドメインの発信者のレピュテーションを管理し、電子メールアドレスに信頼可能なドメインがあるか否かを確認することができる。
【0113】
また、上述したような偽造ヘッダー攻撃に対する対応策として、電子メールヘッダー情報(Email header information)に関する分析と通信プロトコル認証(Communication protocol authentication)とが行われる。電子メールヘッダー情報を分析して受信メールの発信者のヘッダー値(From:<id@domain>)と返信アドレスのヘッダー値(Reply-To:<id@domain>)が同一であるか、それとも異なるかを確認し、各ヘッダー値のどのような部分が異なるかを確認してフィルターリング結果を提供する。そして、通信プロトコル認証は、通信プロトコル(例えば、センダー・ポリシー・フレームワーク(SPF:Sender Policy Framework)、ドメインキー識別メール(DKIM:Domain Keys Identified Mail)を遵守するか否かについて発信者の電子メールを検証して電子メールにおいて偽造された発信者のアドレスを検出し、IPアドレス及びドメインの発信者レピュテーション(sender reputation)を管理し、電子メールアドレスが信頼可能なドメインを有するか否かを確認する。例えば、ヘッダー偽変造の検査のために、社会工学的な攻撃脅威検査部135は、電子メールヘッダー情報を分析してインバウンド電子メールの発信者ヘッダー値(From:<id@domain>)と返信アドレスヘッダー値(Reply-To:<id@domain>)とが異なるか否かを確認することができる。
【0114】
そして、社会工学的な攻撃脅威検査部135は、各ヘッダー値のうちのどのような部分が異なるかを判断して、段階別のフィルターリング結果を検査結果として出力することができる。例えば、IDの偽変造である場合、発信者のヘッダー値(From:<ABC@XYZ.com>)と返信アドレスのヘッダー値(Reply-To:<BAC@XYZ.com>)の「ID」が互いに異なる電子メールである場合に相当し得る。また、ドメインの偽変造の場合、発信者のヘッダー値(From:<ABC@XYZ.com>)と返信アドレスのヘッダー値(Reply-To:<ABC@YXZ.com>)の「Domain」が互いに異なる電子メールである場合に相当し得る。そして、アドレスの偽変造の場合、返信時の発信者のアドレスが互いに異なる電子メールである場合に相当し得、署名の偽変造の場合、電子メールの内容の署名部分が互いに異なる電子メールである場合に相当し得る。
【0115】
類似ドメイン(Look-alike domain)の検査は、攻撃者が電子メールアドレスにおいて悪性電子メールを送る攻撃類型を検査するものであって、人間の目視では一般的であり、馴染みの発信者と見分けることができないほどに非常に類似しているものの、攻撃者の悪性ドメインである場合を含み得る。例えば、大文字「I」と小文字「l」は、形状が互いに似ていてこのような類似性が攻撃に悪用される可能性がある。
【0116】
上述したような類似ドメインの攻撃に対応するためのセキュリティ要求事項として、累積された電子メール履歴(email history)に基づいて、発信者のドメインが類似ドメインであると探知される場合、ユーザーに危険類似度レベル(level of risk similarity)を報知し、かつ遮断しなければならない。また、電子メールのアドレス数(number of email addresses)の差を類似電子メール詐欺攻撃を判断する基準として適用しなければならず、最上位ドメイン(top-level domain;TLD)が異なる場合、別途に管理しなければならない。そして、セキュリティ管理者が、疑わしい詐欺性の類似電子メールアドレスを自ら登録できるようにする。これにより、社会工学的な攻撃脅威検査部135は、累積された電子メール履歴を基に発信者の電子メールアドレスまたはドメインが類似ドメインであるか否かを検査することができ、受信メール処理部150は、危険類似度のレベルをユーザーに報知し、当該電子メールを遮断することができる。
【0117】
ここで、社会工学的な攻撃脅威検査部135は、新規メールの類似メール詐欺の攻撃有無と社会工学的な攻撃の脅威の可能性を判断する基準として、セキュリティ脅威情報の同期化データに累積管理された電子メール履歴のメールアドレスと、新規メールのヘッダー情報に含まれているメールアドレスとの間の互いに同一ではなく、かつ、類似の文字数の情報を用いることができる。例えば、社会工学的な攻撃脅威検査部135は、互いに同一ではなく、かつ、類似の文字数が少なければ少ないほど、社会工学的な攻撃の脅威の可能性を高く判断し、判断結果を危険レベルとして算出して検査結果として出力することができる。
【0118】
また、電子メールセキュリティ管理者が自ら疑わしい類似電子メールアドレスをセキュリティ脅威情報の同期化データに登録してもよく、電子メールアドレスは、類似しているものの、最上位ドメイン(TLD:top level domain)のみ異なる場合、別途に分類して管理処理されてもよい。
【0119】
より具体的には、社会工学的な攻撃脅威検査部135は、新規メールのヘッダー情報に含まれているドメイン情報と、セキュリティ脅威情報同期化処理部140において同期化処理されたセキュリティ脅威情報の同期化データのメール履歴に含まれている累積ドメイン情報との間の類似度を計算することで、ユーザーが一般に区別し難い特定の文字(例えば、3文字)以下の類似の文字数を含む類似ドメインのメールを社会工学的な攻撃の脅威メールとして検出することができる。
【0120】
これにより、受信メール処理部150または発信メール処理部160は、新規メールに対応する社会工学的な攻撃の脅威の検査結果に基づいて、メールの受信または伝送の遮断、メールの受信または伝送の遅延またはメールの削除、ユーザー警報メッセージの伝送などを含む標的型電子メールセキュリティ脅威への対応処理を行うことができる。
【0121】
上述したような類似ドメインの攻撃に対する対応策として、ドメイン類似度計算(Domain similarity calculation)が行われる。ドメイン類似度計算は、インバウンド電子メールの発信者ドメインを累積し、新たに受信された電子メールを累積されたドメインと比較して分析する。一方、識別し難い3文字(characters)以下の類似のドメインを遮断することができる。インバウンド電子メールは、最上位ドメイン(TLD)が修正される、文字列の配列の順序が変更される、あるいは、文字列のうちの一つが類似の文字または文字に変更されて文字列の集合を生成する場合に一時的に中断されたり遮断されたりする。但し、誤検出(false positives)が生じないように、文字数(number of characters)の単なる違いだけでドメイン類似性が決定されないこともある。例えば、社会工学的な攻撃脅威検査部135は、新規受信メールの発信者ドメインの最上位ドメイン(TLD:top level domain)が、セキュリティ脅威情報の同期化データに含まれている既存の他のメールヒストリー情報に比べて、一部の修正があるか、あるいは、文字列の配列が一部並べ替えられているか、あるいは、文字列のうちの一つが類似の文字または他の文字に変更されている場合、社会工学的な攻撃の脅威レベルを検出することができ、検出された脅威レベルを検査結果として受信メール処理部150に出力することができる。受信メール処理部150は、予め設定された類似ドメインの処理ポリシーに準拠して、前記脅威レベルに応じた新規受信メールの受信の遮断、受信の遅延または削除処理及びユーザー警報メッセージ処理などを選択的に行うことができる。
【0122】
このような社会工学的な攻撃の脅威の類似ドメインの危険レベルは、セキュリティ脅威情報の同期化データに含まれている既存の他のメールヒストリー情報に比べて、一致しないものの、似ている類似の文字の変更の度合いに応じて、下記のように5種類の段階に区別されることが挙げられる。
【0123】
すなわち、社会工学的な攻撃脅威検査部135は、前記類似ドメインの検査を行うことで、前記セキュリティ脅威情報の同期化データから取得される累積ドメイン情報を用いて、前記新規受信メールに含まれている発信者ドメインが累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であるか否かを段階的に検査する検査プロセスを行うことができ、下記のように5種類の段階に区別される社会工学的な攻撃の脅威の類似ドメインの攻撃の危険段階のレベルを検査結果として出力することができる。
【0124】
TLDレベル:電子メールドメインの最後のセグメント(例えば、.com、.net、.orgなど)が類似文字に変更された場合、
低いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に3つ以上変更された場合、
普通レベル:電子メールアドレスのアルファベットが、区別可能な類似文字に2つ変更された場合、
高いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に1つ変更された場合、
危険レベル:電子メールアドレスのアルファベットが、区別し難い(例えば、l(小文字エール)とI(大文字アイ)など)類似文字のみから構成された場合、
このような構成により、社会工学的な攻撃脅威検査部135は、前記段階的に検査する検査プロセスを用いて、累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であると検出された類似ドメインの類似の文字数ベースの類似度を段階的に算出し、前記類似の文字数ベースの類似度に基づいて、前記新規発信メールまたは新規受信メールの類似ドメインベースの社会工学的な電子メール攻撃の脅威レベルを決定することができる。
低いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に3つ以上変更された場合、
普通レベル:電子メールアドレスのアルファベットが、区別可能な類似文字に2つ変更された場合、
高いレベル:電子メールアドレスのアルファベットが、区別可能な類似文字に1つ変更された場合、
危険レベル:電子メールアドレスのアルファベットが、区別し難い(例えば、l(小文字エール)とI(大文字アイ)など)類似文字のみから構成された場合、
このような構成により、社会工学的な攻撃脅威検査部135は、前記段階的に検査する検査プロセスを用いて、累積ドメイン情報に含まれているドメインと一致せず、かつ、類似であると検出された類似ドメインの類似の文字数ベースの類似度を段階的に算出し、前記類似の文字数ベースの類似度に基づいて、前記新規発信メールまたは新規受信メールの類似ドメインベースの社会工学的な電子メール攻撃の脅威レベルを決定することができる。
【0125】
このような類似ドメインベースの社会工学的な電子メール攻撃の脅威レベル情報は、新規メールの標的型電子メールセキュリティ脅威の検査データから構成されて、受信メール処理部150または発信メール処理部160に転送され、これに対応する前述したメールの遮断、遅延または削除と、ユーザー警報プロセスが行われてもよい。
【0126】
一方、社会工学的な攻撃脅威検査部135は、アカウント乗っ取り(ATO:Account Takeover)の検査を行って、実際のユーザーのアカウントを用いる社会工学的な攻撃の脅威を検出することができる。
【0127】
アカウント乗っ取りの攻撃を通じて、攻撃者は、盗まれた電子メールアカウントにログインを試みた後、ユーザーのメール記録を探索して機密情報と潜在的な2次被害者を見つけることができる。例えば、攻撃者は、フィッシングサイトから盗んだアカウント情報を用いて、送金口座の変更をリクエストしたり、アカウントに格納された機密情報を外部に転送するようにリクエストしたりする虞がある。
【0128】
上述したようなアカウント乗っ取り(ATO)攻撃に対応するためのセキュリティ要求事項として、メールの発信者の位置が既存に受信したメールとは異なる場合、ユーザーに警告したりメールを遮断したりしなければならない。また、電子メールサーバーのIPアドレスが以前に受信した電子メールとは異なる場合、ユーザーに警告したり電子メールを遮断したりしなければならず、電子メールの伝送経路が以前に受け取った電子メールとは異なる場合、ユーザーに警告したり電子メールを遮断したりする。このために、セキュリティ脅威情報同期化処理部140は、アカウント乗っ取りの検査項目別の累積学習データを構成することができ、前記構成された学習データと実際のアカウント乗っ取りのケースの電子メール項目データとの間の人工知能モデルの学習処理に従い、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールである可能性を出力する学習モデルを構成することができる。ここで、人工知能モデルの学習処理は、周知の人工知能ディープラニングニューラルネットワーク技術であって、CNN(畳み込みニューラルネットワーク)、DNN(ディープニューラルネットワーク)、RNN(再帰型ニューラル ネットワーク)、LSTM(長・短期記憶)、回帰分析などの種々の周知の学習技術が応用可能である。
【0129】
そして、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの検査項目別の累積学習データの学習モデルに新規発信メールまたは新規受信メールのアカウント乗っ取りの検査項目データを適用することにより、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを行うことができる。
【0130】
例えば、前述した学習モデルに従い、セキュリティ脅威情報同期化処理部140は、アカウント乗っ取りの検査のためのメール情報のヘッダー構造情報を学習することができ、社会工学的な攻撃脅威検査部135は、構成されたヘッダー構造学習モデルに新規受信メールまたは新規発信メールのヘッダー構造情報を入力して、アカウント乗っ取りの検査に対応する有効性を検査することができる。このようなアカウント乗っ取りの検査方式は、電子メールに関する過去のデータの人工知能ベースの学習記録と現在の新規データとの間の比較分析を含む。
【0131】
また、社会工学的な攻撃脅威検査部135は、学習モデルのみならず、発信者ヒストリー情報を用いて、予め設定された検査プロセスに伴うアカウント乗っ取りの検査を行うことができる。
【0132】
より具体的には、前記アカウント乗っ取りの検査項目別の累積学習データは、受信メールまたは発信メールのメールヘッダーから取得される発信者ヒストリー情報を含んでいてもよく、社会工学的な攻撃脅威検査部135の前記アカウント乗っ取りの検査は、前記発信者ヒストリー情報の累積学習データと、前記新規発信メールまたは前記新規受信メールの発信者の位置情報または発信者のIP情報とを比較して、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含んでいてもよい。
【0133】
ここで、前記発信者ヒストリー情報は、メール発送IP及びメールサーバーIPに基づいて構成される初期宛先(destination)情報、経由地点(waypoint)情報及び最終宛先(destination)情報を含み、前記アカウント乗っ取りの検査は、前記新規発信メールまたは前記新規受信メールのヘッダーから取得される初期宛先(destination)情報、経由地点(waypoint)情報または最終宛先(destination)情報を比較して、前記新規発信メールまたは前記新規受信メールが乗っ取られたアカウントにより発送されるメールであるか否かを検査する検査プロセスを含んでいてもよい。
【0134】
より具体的には、アカウントの乗っ取りが生じた場合、発信者の位置またはIPアドレスが変更される可能性が高い。これにより、セキュリティ脅威情報同期化処理部140は、セキュリティ脅威情報の同期化データに発信者の位置情報とIP履歴情報をマッピングして累積管理することができ、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの検査のために、メール情報のヘッダー情報を分析して、発信者の位置情報とIP履歴情報が変更されたか否かを検査することができる。
【0135】
ここで、発信者の位置情報とIP履歴情報は、発信者の国の情報、発信者IPアドレスの情報、サーバーIPアドレスの情報を含んでいてもよい。特に、電子メールのヘッダー情報には、電子メールが最初に作成されて発信されたIP情報(初期宛先情報、Initial destination)と、メールが途中で転送されたサーバーIPアドレス(経由地点情報、waypoint)と、最終的に電子メールを発送したサーバーのIP(最終宛先情報、final destination)と、が含まれ得る。
【0136】
すなわち、電子メールヘッダー情報には、メールの伝送のための発信サーバーのIPアドレスヒストリーとして、初期宛先情報、経由地点情報及び最終宛先情報が含まれるため、セキュリティ脅威情報同期化処理部140は、セキュリティ脅威情報の同期化データに、前記初期宛先情報、経由地点情報及び最終宛先情報を含む発信者の位置情報とIP履歴情報をマッピングして累積管理することができるのである。
【0137】
そして、社会工学的な攻撃脅威検査部135は、各累積管理された発信者の位置情報とIP履歴情報から取得される前記初期宛先情報、経由地点情報及び最終宛先情報と、新規メールのヘッダー情報とを比較して、発信者のアカウントが乗っ取られたか否かを検査することができる。
【0138】
より具体的には、例えば、アカウントの乗っ取りであると決定する場合は、下記のようなものが挙げられる。
【0139】
-初期宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの初期宛先(最初に電子メールの発送のリクエストが行われたメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の初期宛先が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、初期宛先が3.3.3.3(国B)であり、最終宛先が2.2.2.2(国A)である場合)、
-最終宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの最終宛先(最後に電子メールを最終的に発送処理したメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の経由地点が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、経由地点が3.3.3.3(国B)であり、最終宛先が3.3.3.3(国B)に変更された場合)、
また、上述したようなアカウント乗っ取り(ATO)攻撃に対する対応策として、同一の発信者の電子メールデータ(email data for the same sender)に関する学習及び検証と、発信者位置変更検出(sender location change detection)の分析と、が行われる。同一の発信者に関する電子メールデータが学習された後に受信されたメールをリアルタイムにて分析して学習データ及び検証を行わなければならない。ここで、学習データ有効性の検査は、構成されたヘッダー構造とソーシャルグラフ(social graph)を学習し、電子メールを送るとき、過去の学習記録と現在のデータとを比較及び分析する。発信者位置変更検出は、受信メールのヘッダー情報を分析して発信者の位置のIP履歴を累積し、新たに受信したメールを累積された履歴の発信元のIP国と比較する。メールヘッダーには、メールが最初に作成されたIP、発送時点までのサーバーIP、メールが最終的に発送されたサーバーのIP情報が含まれる。それにより、すべての受信電子メールの宛先(最初の宛先、経由地、最終宛先)に関するIP履歴を蓄積して、新たな受信電子メールの発信者の位置のIPの国が以前の受信電子メールとは異なる場合、発信者の真偽有無を検出する。これにより、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの攻撃の検査を行い、検査結果を受信メール処理部150及び発信メール処理部160に転送することができる。
-最終宛先の変更の場合:新規メールのヘッダー情報に含まれている電子メールの発信者の位置及びIPの最終宛先(最後に電子メールを最終的に発送処理したメールサーバーのIPアドレス)が、各累積管理された発信者の位置情報及びIP履歴情報とは異なる変更された国として識別される場合(例えば、累積管理された発信者の経由地点が1.1.1.1(国A)であり、最終宛先が2.2.2.2(国A)であるが、新規メールのヘッダーは、経由地点が3.3.3.3(国B)であり、最終宛先が3.3.3.3(国B)に変更された場合)、
また、上述したようなアカウント乗っ取り(ATO)攻撃に対する対応策として、同一の発信者の電子メールデータ(email data for the same sender)に関する学習及び検証と、発信者位置変更検出(sender location change detection)の分析と、が行われる。同一の発信者に関する電子メールデータが学習された後に受信されたメールをリアルタイムにて分析して学習データ及び検証を行わなければならない。ここで、学習データ有効性の検査は、構成されたヘッダー構造とソーシャルグラフ(social graph)を学習し、電子メールを送るとき、過去の学習記録と現在のデータとを比較及び分析する。発信者位置変更検出は、受信メールのヘッダー情報を分析して発信者の位置のIP履歴を累積し、新たに受信したメールを累積された履歴の発信元のIP国と比較する。メールヘッダーには、メールが最初に作成されたIP、発送時点までのサーバーIP、メールが最終的に発送されたサーバーのIP情報が含まれる。それにより、すべての受信電子メールの宛先(最初の宛先、経由地、最終宛先)に関するIP履歴を蓄積して、新たな受信電子メールの発信者の位置のIPの国が以前の受信電子メールとは異なる場合、発信者の真偽有無を検出する。これにより、社会工学的な攻撃脅威検査部135は、アカウント乗っ取りの攻撃の検査を行い、検査結果を受信メール処理部150及び発信メール処理部160に転送することができる。
【0140】
例えば、発信メール処理部160は、発信者の現在の位置が以前に受信した電子メールとは異なる場合、アカウント乗っ取りの検査結果をユーザーに警告したり、発信電子メールを遮断処理したりすることができる。また、受信メール処理部150は、受信された電子メールサーバーのIPアドレスが以前に受信された電子メールとは異なる場合、アカウント乗っ取りの検査結果をユーザーに警告したり、電子メールを遮断処理したりすることができる。さらに、受信メール処理部150は、現在の電子メールが以前に受信した電子メールと発送経路が異なる場合、アカウント乗っ取りの検査結果をユーザーに警告したり、電子メールの遮断を推奨処理したりすることができる。また、社会工学的な攻撃脅威検査部135は、特定の帯域またはIP帯域に応じて、電子メールを遮断するインバウンド管理機能を行ってもよい。
【0141】
一方、社会工学的な攻撃脅威検査部135は、URLフィッシングの検査をさらに行うことができる。URLフィッシングとは、被害者のIDとパスワードを盗用するために、攻撃者がフィッシングページやウェブサイトを作成して電子メールに埋め込まれている悪性URLやファイルを介して、被害者がアカウント情報を入力するように誘導する攻撃をいう。
【0142】
上述したようなURLフィッシング攻撃に対応するためのセキュリティ要求事項として、個人情報の入力を誘導するウェブページが埋め込まれているURLの最終宛先を持続的に追跡し続けなければならない。例えば、フィッシング検査のために、社会工学的な攻撃脅威検査部135は、電子メールユーザーがフィッシングサイトに接続してIDとパスワードを入力するとき、当該URL内において当該URLの最終宛先を追跡するが、URLに個人情報の入力を誘導するウェブページが埋め込まれているか否かを確認することができる。
【0143】
また、URLフィッシング攻撃に対する対応策として、URLのエンドポイントに対する追跡(Endpoints of URL tracking)と、ウェブページのHTMLソースコードHTML(source code)に関する解析と、が行われる。URLのエンドポイントに対する追跡のために、すべてのURLの最終宛先を追跡して情報入力誘導(information input guidance)の可能性をモニターリングしなければならない。そして、ウェブページのHTMLソースコードを解析して、ユーザーが自分の個人情報やID、パスワードなどのアカウント情報を提供するように誘導する入力テキストボックス(input text box)があるか否かを確認し、入力情報が外部(third-party)サーバーに転送されるか否かを検査しなければならない。
【0144】
このように、前記社会工学的な攻撃の脅威の検査プロセスを用いて、検査情報は、最終的に合算(「3」)されて社会工学的な攻撃の脅威検査情報として格納及び管理されてもよい。このようにして合算された社会工学的な攻撃の脅威検査情報は、セキュリティ脅威情報同期化処理部140に転送されて、セキュリティ脅威情報の同期化データの更新格納及び管理に利用可能であり、受信メール処理部150及び発信メール処理部160に転送されて、セキュリティ脅威判別情報として活用可能である。
【0145】
一方、標的型電子メールセキュリティ脅威検査部130は、内部情報の流出セキュリティの脅威に対応できるように情報流出検査部137を備えていてもよい。ここで、情報流出検査部は、セキュリティ脅威情報の同期化データ及びメール情報の属性情報を活用して、発信メールの情報流出の有無を検査し、検査情報を発信メール処理部160に転送して、発信を遮断したり、発信メールのメールサーバー300を介した伝送の承認が拒絶されたりするように処理されてもよい。
【0146】
情報流出検査部137は、ユーザーによるアウトバウンド電子メールの脅威(Outbound email threats by user)、すなわち、ユーザーの電子メールの発信により生じる標的型電子メールの攻撃セキュリティ脅威としての情報流出を検査することができる。
【0147】
まず、情報流出検査部137は、故意的な(意図的な)情報の流出を探知することができる。情報流出検査部137は、発信メールに対応してセキュリティ管理者が設定した故意的な(意図的な)情報の流出に対応する特定の流出条件が一致する場合、発信メール処理部160に検査情報を転送して、メール発送の見合わせまたは遮断処理を行わせることができる。また、発信メール処理部160は、特定の流出条件に相当する場合、発信者が発信電子メールに対する伝送遅延時間を設定するようにする報知メッセージと警報メッセージなどをユーザー端末200に伝送処理することができる。
【0148】
まず、情報流出検査部137は、故意的な(意図的な)情報流出(intentional information leakage)を探知することができる。故意的な情報流出は、社内のセキュリティポリシーの部材によって、役職員が会社の機密情報及び/又は役職員の個人情報を業務用または個人用の電子メールを介して故意に外部に流出する行為である。情報流出検査部137は、発信メールに対応してセキュリティ管理者が設定した故意的な(意図的な)情報の流出に対応する特定の流出条件が一致する場合、発信メール処理部160に検査情報を転送して、メール発信の見合わせまたは遮断処理を行わせることができる。また、発信メール処理部160は、特定の流出条件に相当する場合、発信者が発信電子メールに対する伝送遅延時間を設定するようにする報知メッセージと警報メッセージなどをユーザー端末200に伝送処理することができる。
【0149】
一方、上述したようなユーザーによるアウトバウンド電子メール脅威のうち、故意的な情報流出に対応するためのセキュリティ要求事項として、セキュリティ管理者は、電子メールの伝送に関する条件を設定できなければならず、設定された条件が満たされていない場合には、電子メールの伝送を再考できる機能を使用できなければならない。
【0150】
そして、情報流出検査部137は、非故意的な(意図しない)情報の流出(unintentional information leakage)を探知し、探知情報を発信メール処理部160に転送して、非故意的情報流出を遮断したり、警告したり、遅らせたりすることができる。非故意的な情報流出は、内部の職員の不注意または過失による起こる可能性がある。一方、内部網分離(internal network isolation)を用いるアカウントユーザーが分離された内部網(isolated internal network)にある大容量添付ファイルを外部に送るとき、添付ファイルが会社の重要な情報や他の職員の個人情報などを含んでいる場合、深刻な情報流出の問題が起こる虞がある。
【0151】
一方、上述したようなユーザーによるアウトバウンド電子メール脅威のうち、非故意的な情報流出に対応するためのセキュリティ要求事項として、悪性電子メールアドレスとして分類された電子メールアドレスに返信したり電子メールを送ったりすることについて、ユーザーに警告を発したり自動的に遮断したりしなければならない。また、大容量添付ファイルを分離された内部網から外部網へとセキュアに伝送するために、電子メールを変換しなければならず、大容量添付ファイルを分離された内部網から外部網へとセキュアに転送するために、変換された電子メールを復元しなければならない。そして、情報流出を防ぐために、発信者が送った電子メールを回収(recall)できるようにしなければならず、メールを確認したIPアドレスと電子メールを開いた回数などといったように、特定の条件に見合うアウトバウンド電子メールについては、その内容を暗号化させる。
【0152】
情報流出検査部137は、セキュリティ脅威同期化データから取得される悪性アカウントデータから、類似電子メールアドレスとして分類された電子メールアドレス宛にユーザーが返信または発信する場合を探知して、非故意的な情報流出情報を構成し、発信メール処理部160に転送することができる。発信メール処理部160は、非故意的な情報流出情報に基づいて、発信メールに対する警告を提供したり、自動的に遮断したり、遅延処理したりすることができる。
【0153】
また、情報流出検査部137は、内部網と外部網とが離れ合っているセキュリティ網において、大容量添付ファイルを外部網へとセキュアに伝送するために、電子メールの大容量添付ファイルを通常添付ファイルに変換して網連携システムを通過させる場合、前記大容量添付ファイルに対応する非故意的または故意的な情報流出の探知のためのセキュリティリスクを検査することができる。これは、予め設定された電子メール伝送ポリシーに準拠して、大容量添付ファイルが網連携システムの承認を通過できるように通常添付ファイルに変換された場合を意味することであり、この場合、通常添付ファイルに変換されて挿入された大容量添付ファイルに対する悪性コードの検査、ウィルス検査及び内部情報流出リスクの検査を含んでいてもよい。ここで、内部情報流出リスクの検査は、予め設定されたセキュリティポリシーデータに基づいて、特定のセキュリティキーワードまたは特定のセキュリティ文句などが含まれているか否かと頻度数などをチェックする内部情報流出のリスク検査を含んでいてもよい。
【0154】
そして、情報流出検査部137は、内部網と外部網とが離れ合っているセキュリティ網において、外部網から内部網へと変換されて転送された大容量添付ファイルを復元した場合、悪性コードの検査、ウィルス検査及び内部情報流出のリスク検査を行うことができる。特に、大容量添付ファイルの暗号化した外部ネットワーク経路情報がURL情報として添付されたり、大容量添付ファイルの暗号化した外部ネットワーク経路情報にアクセス可能なウェブページファイルが通常添付ファイルとして添付されたりした場合に相当し得る。
【0155】
また、情報流出検査部137は、メールを確認したIPアドレス、メールを開いてみた回数などが一定の条件を満たす場合、当該発信メールの内容の暗号化を行わせることができ、発信済みのメールの回収は、個別ユーザーがアクセスできないように処理されることが好ましい。
【0156】
上述したようなユーザーによるアウトバウンド電子メール脅威に対する対応策として、セキュリティ電子メール(secure email)に対する管理、承認電子メール(approval email)のためのアプリケーションの構成、電子メールの配信制限(Email delivery restriction)に対する設定が行われる。受信者に実際の電子メールを送る代わりに、セキュリティウェブポータル(secure web portal)において電子メール情報(例えば、発信者、タイトル)を予め閲覧できるリンクを持ったセキュリティ電子メールを送り、このとき、ユーザーは、伝送されたセキュリティ電子メールを管理できなければならない。また、承認電子メールは、許可のリクエストに対する承認または拒否のために見合わせ中の作業があるとき、承認者がユーザーにこの旨を報知する電子メールを送るようにする識別アプリケーション(identity applications)を構成できるようにする。一方、メールに特定のキーワードと添付ファイルタイプが含まれている場合、承認者は、組織図(organization chart)に基づいて承認プロセスを設定する。タイトル、添付ファイルまたはファイル拡張子に承認が必要である特定のキーワードが含まれている電子メールの伝送を承認者が許容したり拒否したりするとき、このような電子メールが伝送可能である。そして、電子メールの配信制限を使用すれば、一回に送れる最大の電子メールの数に対する制限を設定することができ、一日につき送れるユーザーの数と電子メール当たりに受け取る受け手の人数を制限して、電子メールサーバーの状態とアカウントセキュリティを保持する。
【0157】
一方、ユーザーによるアウトバウンド電子メール脅威のうち、故意的な情報流出に対する対応策として、アウトバウンド遮断ポリシー(Outbound blocking policy)が設定され、発信電子メールの遅延及び検索/削除(Outbound email delay and retrieval/delete)機能が提供される。アウトバウンド遮断ポリシーは、企業に合うアウトバウンドポリシーを設定して、電子メールを介して、情報及びデータを流出しようとする試みを遮断する。遮断ポリシー条件(blocking policy conditions)は、添付ファイル、アウトバウンド電子メールの容量(大容量データの流出の試みの遮断)、大容量ファイルに対する容量の制限(capacity limitations)と、電子メール本文内における画像サイズ制限(limit image size)と、対象に対する例外発信者一覧(exception sender list)の設定と、個人情報を反映する数字または単語の形態であるキーワード(keyword)と、添付ファイルのファイル名またはファイル名拡張子を含む。そして、電子メールの遅延及び検索/削除は、電子メール発送時間(sending time)と転送される時間(delivered time)との間に遅延時間を設定することができ、遅延時間の間に電子メールの発送は取り消すことができる。遅延時間内にメールを取り消しできる権限は、セキュリティ管理者とユーザーに与えられ、一回取り消されたメールは、再び転送することができず、メールを再び作成しなければならない。
【0158】
また、ユーザーによるアウトバウンド電子メール脅威のうち、非故意的な情報流出に対する対応策として、電子メール暗号化(email encryption)、電子メール変換(email convert)及び電子メール復元(email retrieve)が行われる。電子メール暗号化は、電子メールと添付ファイルの内容を暗号化したり成り済ましたりして、意図した受信者以外の他の者が重要な情報を読み込めないように保護する。一方、電子メール変換条件(email convert consitions)として、大容量添付ファイルを有する電子メールを分離された内部網から外部網へとセキュアに伝送するために、電子メール変換に対する次の条件を満たすことが必要である。予め設定された電子メール転送ポリシーに準拠して通常添付ファイルとして分類されるように埋め込まれた大容量添付ファイルに対するセキュリティ危険を検査し、承認後に変換された電子メールを伝送する。そして電子メール復元条件(email retrieve conditions)として、大容量添付ファイルを有する電子メールを分離された内部網から外部網へとセキュアに伝送するために、変換された電子メールの復元に対する次の条件を満たすことが必要である。予め設定された電子メール伝送ポリシーに準拠して通常添付ファイルとして分類されるように埋め込まれた大容量添付ファイルに対するセキュリティ危険を検査し、変換されたメールから復元された大容量添付ファイルに関する暗号化した外部網経路情報(encrypted external network path information)がURL情報として添付されなければならず、大容量添付ファイルの暗号化した外部網経路情報にアクセス可能なウェブページファイル(web page file)が通常添付ファイルとして添付されなければならない。
【0159】
そして、標的型電子メールの攻撃脅威には、攻撃者によるアウトバウンド電子メール脅威(Outbound email threats by attackers)があり得、その類型には、乗っ取りアカウントの使用(using taken-over account)と非承認電子メールサーバーアクセス(Unauthorized email server access)とが含まれる。乗っ取りアカウントの使用に際して、アウトバウンド電子メール攻撃方法は、一般に、ユーザーアカウントが盗用されてから始まり、攻撃者は、盗んだアカウントを介して、ユーザーのインバウンド及びアウトバウンド電子メールにある他の人の個人情報を悪用する後続する電子メールを無造作で送る。それにより、攻撃を受けたユーザーと関わるアカウントは、潜在的に2次被害者になる可能性があり、この後、フィッシング攻撃に再び用いられる。
【0160】
一方、非承認電子メールサーバーアクセスは、攻撃者が電子メールサーバーを掌握してそれに対する制御を取得するアウトバウンド電子メール攻撃方法であって、攻撃者は、盗んだアカウント資格証明を用いてユーザーの会社の電子メールアカウントに無断でアクセスすることができる。例えば、電子メールサーバーが損傷されれば、攻撃者は、ユーザーの暗号を検索することができ、これを通して、攻撃者は、組織ネットワークの他のホストへのアクセス権限を有することができる。
【0161】
上述したような攻撃者によるアウトバウンド電子メール脅威に対応するためのセキュリティ要求事項として、乗っ取りアカウントを用いた攻撃については、セキュリティ管理者とユーザーに電子メールアカウントへのアクセスを許容する特定のIP及び国を設定するようにし、電子メールを送るとき、インバウンド電子メールセキュリティ要求事項が実現されることと同様の方式により悪性コード検出機能を実現する。
【0162】
また、非承認電子メールサーバーアクセス攻撃については、登録されていない簡易メール転送プロトコル(SMTP:Simple Mail Transfer Protocol)及び国のウェブメールサービスへのアクセスを遮断しなければならない。一方、非承認電子メールサーバー攻撃を判別するために、アクセスに関する詳しい情報を把握することが必要であり、非承認電子メールサーバー攻撃によるメールサーバーへのアクセスリクエスト情報を電子メールサーバーに転送しないことが求められる。そして、発信者のSMTP情報が受信者のSMTP情報と一致しない場合、メール転送を遮断しなければならない。
【0163】
また、上述したような外部の攻撃者によるアウトバウンドメール攻撃に対する対応策として、乗っ取りアカウントを用いた攻撃については、IP権限設定(IP permission setting)が行われる。IP権限設定は、セキュリティ管理者及びメールユーザーが「セキュリティIPの登録」または「許容された国の登録」にアクセスでkいる特定のIPアドレス及び国を登録して、許容されたIPアドレス及び国からのメールを受信することにより、電子メール攻撃を遮断できるようにする。
【0164】
一方、非承認電子メールサーバーアクセスについては、電子メールサーバー/IPアクセス制御(Email server/IP access control)を行うことで、セキュリティ管理者がウェブメールまたはメールクライアントへのアクセスを制限してセキュリティ電子メールリンクを制御できるようにする。そして、登録されたIPを介して、ウェブメールを遮断することができ、POP3(Client Server Protocol)/簡易メール転送プロトコル(SMTP:Mail Transfer Protocol)に基づく通信接続を制御してメールクライアント通信を遮断する。また、電子メールは、登録されたIPアドレス及び国から送られることができ、IPアドレス、日付けなどといった電子メールサーバーアクセス制限ログを提供することができる。電子メールサーバーアクセスログ(Email server access log)は、ユーザーのアクセスに対する承認または非承認有無を決定できるようにする。
【0165】
一方、受信メール処理部150及び発信メール処理部160は、前記メールセキュリティの検査情報及び前記メール情報の分析を行うことで取得される標的型電子メールセキュリティ脅威の判別情報に基づいてメール状態を処理することができる。
【0166】
前記受信メール処理部150及び発信メール処理部160は、前記標的型電子メールセキュリティ脅威の判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメール状態を処理することができる。これを通して、前記受信メール処理部150及び発信メール処理部160は、プライオリティに応じて、まず、検査段階において問題点が見つかった場合、その段階において必要となる処理のみを行い、検査の終了の有無を判断して後続する検査段階は行わずに終了することができる。これを通して、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
【0167】
前記メールセキュリティの検査情報としては、前記標的型電子メールセキュリティ脅威検査部130において算出されたスパムメール攻撃の脅威の検査情報と悪性コード攻撃の脅威の検査情報、社会工学的な攻撃の脅威の検査情報及び情報流出の検査情報をまとめて総合的に取得された情報を活用することができる。例えば、前記標的型電子メールセキュリティ脅威検査部130がメール情報に対する検査プロセスを行うことで、前記スパムメールの検査情報として算出されたスコアが「3」、悪性コード攻撃の脅威の検査情報として算出されたスコアが「2」、社会工学的な攻撃の脅威の検査情報が「1」、情報流出攻撃の脅威の検査情報として算出されたスコアが「0」である場合、標的型電子メール攻撃の脅威検査情報として合算されるスコアは「7」として取得可能である。このとき、予め設定されたセキュリティ脅威の判別情報を基準として総合スコアが0~3の範囲であるときに正常メール、4~6の範囲であるときにグレーメール、7~12の範囲であるときに非正常メールとして分類されてもよい。これにより、前記メールセキュリティの検査情報が「7」であるメールは、非正常メールであると判別可能である。そして、前記メール情報の検査情報に含まれるそれぞれの検査情報項目の結果値は、項目に応じて絶対的なプライオリティが指定されたり、重み付け値に応じた情報によりプライオリティが定められたりすることができる。
【0168】
そして、図4に示されているように、受信メール処理部150は、前記セキュリティ脅威の判別情報に基づいて正常メールであると判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理部151を備えていてもよい。
【0169】
また、前記受信メール処理部150は、前記セキュリティ脅威の判別情報に基づいて、非正常メールであると判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理部152をさらに備えていてもよい。
【0170】
追加的に、前記受信メール処理部150は、前記セキュリティ脅威の判別情報に基づいて、グレーメールであると判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように提供するメール無害化処理部153をさらに備えていてもよい。
【0171】
一般に、前記グレーメールは、スパムメールまたはジャンクメールとして区別されてもよく、逆に、正常メールとして区別されてもよい。本発明においては、前記グレーメールは、セキュリティ脅威の判別情報が正常または非正常と確定できない一定の範囲内における中間値として算出された場合に区別されるメール類型であると定義することができる。前記メール無害化処理部153は、疑わしい内容の本文などを含んでいるグレーメールを画像ファイルに変換し、ユーザー端末200が確認可能なメールの状態で提供することができる。また、前記メール無害化処理部153は、添付ファイル内の悪性コードであると疑われる部門を除去または修正してユーザー端末200に提供することができる。
【0172】
さらに、このようなメール振り分け処理部151と、メール廃棄処理部152及びメール無害化処理部153は、発信メール処理部160において処理される発信メールに対しても同一のプロセスを行うことができる。
【0173】
一方、発信メール処理部160は、発信メール承認システム連動部161及び発信メールフィルターリング処理部161を備える。
【0174】
発信メール承認システム連動部161は、発信メールのメール情報から情報流出などの標的型電子メールの攻撃セキュリティ脅威が判別される場合、メールサーバー300と接続されたメール承認システムにメール承認を拒絶するようにするリクエストメッセージを伝送したり、警報を処理したりすることができる。
【0175】
ここで、発信メール承認システム連動部161は、メール承認システムを介して、セキュリティ管理者が承認リクエストを承認したり、拒否及び見合わせしたりする場合、各処理状態情報をユーザーに報知する電子メールを伝送するように構成されてもよい。
【0176】
例えば、メール承認システムにおいては、管理者が設定した特定のキーワードと添付ファイルの形式が含まれている場合、組織図に基づいて承認を決定することができる。この場合、発信メール承認システム連動部161は、タイトル、添付ファイル、ファイル拡張子のうち、承認が必要となる特定のキーワードが検出されたとき、管理者が電子メールの伝送を許容または拒否するか否かを含む処理状態情報を電子メールとして構成して、発信者のアカウント宛てに発送することができる。
【0177】
さらに、発信メール承認システム連動部161は、メール承認システムへの電子メールの伝送制限をすることで、一回に送れる最大の電子メールの数に対する制限を設定してもよい。発信メール承認システム連動部161は、一日につき送れるユーザーの数と電子メール当たりに受け取る受け手の人数を制限して電子メールサーバーの状態とアカウントセキュリティを保持することができる。
【0178】
そして、発信メールフィルターリング処理部161は、発信メールのメール情報から悪性コードなどの標的型電子メールの攻撃セキュリティ脅威が判別される場合、発信メールを廃棄したり、無害化処理したりするなどのフィルターリング処理を行うことができる。
【0179】
例えば、発信メール処理部160は、発信のリクエストが行われた発信メールの標的型電子メールセキュリティ脅威が判別された場合、電子メール受信者に実際の電子メールを送る代わりに、無害化フィルターリングされた電子メールを予め閲覧できるリンクが埋め込まれているセキュリティ電子メールを伝送処理することができる。
【0180】
また、発信メール処理部160は、ユーザーのメールの発送後にも、発信メールに対する標的型電子メール攻撃のセキュリティ脅威に対応する事後管理サービスを処理することができる。事後管理サービスは、管理者などの特殊のアカウントにおいて処理できるように制限され、発信メール処理部160は、事後管理サービスを用いて、電子メールセキュリティのための受信者のアクセス及び照会の確認、受信者のセキュリティ電子メールへのアクセスIPの確認、受信者のセキュリティ電子メールへのアクセスの日付け及び時間の確認、セキュリティ電子メールへの受信者のアクセスの制御(許容/遮断)処理を行うことができる。
【0181】
また、発信メール処理部160は、セキュリティ脅威同期化データから取得される悪性アカウント情報のログモニターリング及び報知を行うことができるので、モニターリングされるログは、ID、位置(国)、IPアドレス、日付け、ステータス(成功または失敗)などといった詳しいログ情報を含んでいてもよい。
【0182】
発信メール処理部160は、ユーザーアカウントへの悪性ログインの試みを把握してユーザー端末に報知を提供し、当該報知をメールまたはダッシュボードインターフェースの上にディスプレイする方式により、電子メールサーバー内の悪性アカウントのモニターリング結果をレポーティングすることができる。
【0183】
一方、発信メール処理部160は、メールの意図的な情報の流出を防ぐために、電子メールの暗号化を処理することができる。電子メールの暗号化は、電子メール及び添付ファイルの内容を暗号化させたり成り済ましたりして、敏感な情報を意図した受信者以外の人が読み込めないように保護する。
【0184】
また、発信メール処理部160は、故意または非故意的な情報の流出を遮断するために、発信の遅延及び発信メールの照会と削除機能を提供することができる。ユーザーの故意または非故意的な情報の流出を防ぐために、発信メール処理部160は、メール発送時間(Sending time)と転送される時間(delivered time)との間に遅延時間を設定することができ、遅延時間以内にメールの発送は取り消し処理されてもよい。遅延時間内に電子メールの取り消し権限は管理者とユーザーに与えられることができ、一応取り消された発信電子メールは発送できなくなり、電子メールを再び作成せねばならない。
【0185】
そして、発信メール処理部160は、アカウント乗っ取りの攻撃を予め遮断するために、アカウントに対応する使用国及びIP制限を行うことができる。このような制限の設定のために、発信メール処理部160は、セキュリティ管理者及び電子メールユーザーが「セキュリティIP登録」または「許容国登録」にアクセス可能な特定のIPアドレス及び国を登録できるように機能を提供する。これにより、ユーザーは、許容されたIPアドレス及び国からのみ電子メールを発信することができる。
【0186】
また、発信メール処理部160は、電子メールサーバーIPへのアクセスの制御を行うことで、承認されていないメールの発信のための電子メールサーバーへのアクセスを予め遮断することができる。
【0187】
例えば、管理者は、ウェブメールまたはメールクライアントへのアクセスを制限して、伝送メール内の電子メールのリンク許容の有無などを制御することができる。例えば、発信メール処理部160は、登録されたIPを用いて、ウェブメールの接続発信を遮断することができ、POP3(クライアントサーバープロトコル)/SMTP(簡易メール転送プロトコル)に基づく通信アクセスを制御してメールクライアント通信ベースの発信を遮断することができる。
【0188】
また、発信メール処理部160は、登録されたIPアドレス及び国から電子メールを送る場合、IPアドレス、日付けなど電子メールサーバーへのアクセス制限ログを構成して格納及び管理することができる。そして、このような電子メールサーバーへのアクセス制限ログは、次回の接続時のユーザー発信の許容有無の確認に使用可能である。発信メール処理部160は、ユーザー発信の許容有無の確認のために、ユーザー識別情報、暗号化した電子メール情報、ユーザー暗号情報、装置識別情報、アクセスIP情報、アクセス時間情報、アクセス位置情報及び電子メールエンジンに関する通信プロトコル識別情報を含む電子メールサーバーアクセス制限ログを確認することができる。
【0189】
一方、図2に戻ると、レコード管理部170は、前記標的型電子メールの攻撃セキュリティ脅威の判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理部170は、前記標的型電子メールの攻撃セキュリティ脅威の判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メール内容の本文情報などを含む前記レコード情報を信頼認証情報として格納及び管理し、非正常メールとして処理される場合、前記レコード情報をセキュリティ脅威情報同期化処理部140に転送して、セキュリティ脅威情報の同期化データを更新するようにすることができる。
【0190】
また、レコード管理部170は、学習データ処理部171を備えて、前記正常メール及び前記非正常メール情報の学習に基づく標的型電子メール攻撃の遮断のためのセキュリティ脅威情報学習モデルを構築できるようにし、セキュリティ脅威情報学習モデルは、セキュリティ脅威情報同期化処理部140に転送されて、セキュリティ脅威情報の同期化データに含まれてもよい。
【0191】
一方、診断レポーティング部180は、標的型電子メールセキュリティ脅威検査部130の処理結果の情報を収集し、処理結果の情報から電子メールセキュリティの診断サービス情報を構成してユーザー端末200への電子メールセキュリティ診断サービスに提供することができる。
【0192】
より具体的には、診断レポーティング部180は、標的型電子メールセキュリティ脅威検査部130において処理されたメールセキュリティプロセスの段階別のマッチング結果情報を収集することができ、収集されたマッチング結果情報に対応する、一つ以上の定量分類条件を適用するための脅威レベル比率要素を決定することができる。
【0193】
そして、診断レポーティング部180は、マッチング結果から脅威レベル比率要素に対応する定量分析情報を算出することができ、定量分析情報に基づいて、診断の対象であるメールシステムと、各メール別の脅威レベル段階分類別のスコアを決定することができる。
【0194】
これにより、診断レポーティング部180は、脅威レベル段階分類別のスコアに基づく電子メールセキュリティの診断分析レポーティングを構成することができ、構成された電子メールセキュリティの診断分析レポーティングの情報は、ユーザー端末200に提供されることが可能になる。
【0195】
前述したように、前記標的型電子メールセキュリティ脅威検査部130は、スパムメールのセキュリティ脅威、悪性コードのセキュリティ脅威、社会工学的なセキュリティ脅威、内部情報の流出のセキュリティ脅威などに区別して処理することができ、前記セキュリティ脅威のアーキテクチャによりセキュリティ脅威の類型/レベル/プロセス/プライオリティ/処理順序が設定可能であり、これに対応する受信メール処理部150及び発信メール処理部160の処理プロセスを行うことが可能であるため、それぞれのマッチング処理結果を様々な定量分類条件に対応付けて、各脅威レベル比率要素のマッチング件数が算出可能である。このような定量分類条件は、脅威レベル要素の分類基準とも呼ばれ得る。
【0196】
また、診断レポーティング部180は、各脅威レベル比率要素の定量分析情報を予め設定された脅威レベル段階分類別のスコア算出式に適用することにより、診断の対象となる電子メールシステムの総合的なセキュリティ脅威の度合いを確認し、これに対応するユーザーの対応ガイドを提供可能な診断分析レポーティングの情報が構成されることが可能になる。
【0197】
これにより、ユーザー端末200においては、前記診断分析レポーティングの情報の提供を受けて、セキュリティ脅威のアーキテクチャに基づく電子メールのセキュリティ脅威の状態を、定量的な実際のデータを基に正確に確認することができ、これに対応するガイドの提供を受けて措置をとることにより、標的型電子メールの攻撃などのより多様化しつつあるセキュリティ脅威を予め遮断することが可能になる。
【0198】
また、診断レポーティング部180は、診断分析レポーティングの情報に基づいて、警告メッセージをユーザー端末200に提供することができる。警告メッセージは、ユーザーにメールボックスの電子メールのタイトルとともに、「スパム」、「類似ドメイン」、「偽造ヘッダー」といった用語で標的電子メール攻撃の危険を表示して、どのような種類の電子メールであるかを識別できるようにする。また、セキュリティ管理者は、疑わしい電子メールがユーザーに転送されたり転送されたかったりするように構成してもよく、警告メッセージの単語/構文もグループごとに設定して管理することができる。
【0199】
一方、診断レポーティング部180は、事前電子メールセキュリティのレポーティング情報を構成して、ユーザー端末200に提供することができる。事前電子メールセキュリティのレポーティング情報は、ユーザーが電子メールを開く前に報知として提供可能であり、受信された電子メールの危険性を提供することができる。
【0200】
このような事前電子メールセキュリティのレポーティング情報は、最小限に次の情報に対応してそれぞれ表示されたり、総合的な脅威レベルとして表示されたりしてもよい。
-受信内訳の報告:類似ドメインの確認のために以前に電子メールアドレス宛てに受信した履歴
-配信経路の報告:現在の配信経路及び電子メールの伝送の配信経路の変更履歴
-ヘッダー偽変造の報告:発信者のヘッダー偽変造の現況
-URL検査の報告:探知された悪性URLの数
-類似ドメイン:類似ドメインの危険レベル(例えば、TLD、低い、普通、高い及び危険)
-受信内訳の報告:類似ドメインの確認のために以前に電子メールアドレス宛てに受信した履歴
-配信経路の報告:現在の配信経路及び電子メールの伝送の配信経路の変更履歴
-ヘッダー偽変造の報告:発信者のヘッダー偽変造の現況
-URL検査の報告:探知された悪性URLの数
-類似ドメイン:類似ドメインの危険レベル(例えば、TLD、低い、普通、高い及び危険)
【0201】
そして、診断レポーティング部180は、事後電子メールセキュリティのレポーティング情報を構成して、ユーザー端末200に提供することができる。事後電子メールセキュリティのレポーティング情報は、セキュリティ管理者またはユーザーが電子メールセキュリティの状態を認識できるようにする細部要約報告書であって、次に掲げる項目を含んで危険メールの現在の状態に関する情報などの調査分析情報が含まれ得る。
-安全危険の評価:詐欺電子メールの一日数値、ユーザーアカウント当たりに受ける攻撃数、国別の攻撃地域の現況、現在の電子メールの危険についてのセキュリティ等級
-安全危険の分析:攻撃類型別の電子メールの攻撃現況(例:スパム、悪性コード、悪性URL及び添付ファイル、偽造ヘッダー、類似ドメイン)
-攻撃シナリオ(例えば、悪性コード、悪性URL、疑わしい発信者アドレス、偽造ヘッダー及び類似ドメインなど)
-安全危険の評価:詐欺電子メールの一日数値、ユーザーアカウント当たりに受ける攻撃数、国別の攻撃地域の現況、現在の電子メールの危険についてのセキュリティ等級
-安全危険の分析:攻撃類型別の電子メールの攻撃現況(例:スパム、悪性コード、悪性URL及び添付ファイル、偽造ヘッダー、類似ドメイン)
-攻撃シナリオ(例えば、悪性コード、悪性URL、疑わしい発信者アドレス、偽造ヘッダー及び類似ドメインなど)
【0202】
また、診断レポーティング部180は、状態ダッシュボードインターフェースをユーザー端末200に提供することができ、状態ダッシュボードインターフェースは、運用状態、構成及び運用環境といった選択された技術個体に対する運用に影響を及ぼす受信及び発信電子メールのリアルタイム技術状態についての概要を提供することができる。
【0203】
例えば、状態ダッシュボードインターフェースは、全体の標的型電子メール攻撃の遮断機能のリアルタイム情報パネル(例えば、電子メールの総数及び状態、インバウンド及びアウトバウンドの電子メールの失敗理由、受信された標的電子メールの攻撃数)を構成して、内部のセキュリティ管理者が認識及び制御できるようにする。
【0204】
これにより、診断レポーティング部180は、脅威レベル段階分類別のスコアに基づく標的型電子メールの攻撃に関する電子メールセキュリティの診断分析レポーティングを構成することができ、構成された電子メールセキュリティの診断分析レポーティングの情報は、ユーザー端末200に提供可能である。
【0205】
また、診断レポーティング部180は、各脅威レベル比率要素の定量分析情報を予め設定された脅威レベル段階分類別のスコア算出式に適用することにより、診断の対象となる電子メールシステム及び個別の電子メールの総合的なセキュリティ脅威の度合いを確認し、これに対応するユーザーの対応ガイドを提供可能な診断分析レポーティングの情報が構成されることが可能になる。
【0206】
より具体的には、個別の電子メールの総合的なセキュリティ脅威の度合いを確認するための判断基準は、脅威レベル要素の分類基準に応じて決定されてもよい。
【0207】
前記脅威レベル要素の分類基準の分類条件は、各標的型電子メール攻撃の危険の検出結果に対応して設定可能であり、例えば、悪性コードメールの検出、悪性コード行為の検出、ウィルスの検出、ランサムウェアの検出、悪性URLの検出、本文内のURLの検出、添付ファイル内のURLの検出、ヘッダー偽変造の検出、返答時のアドレス変更の検出、ID変更の検出、ドメイン変更の検出、ID&ドメインの順序変更の検出、発送元変更の検出、類似ドメインの検出、ヘッダー偽変造の注意メールの検出、スパムメール(広告性、業務性)の検出、信頼度の注意メールの検出のうちの少なくとも一つを含んでいてもよい。
【0208】
このような各分類条件に相当する場合、各分類条件には、スコアが割り当て可能であるため、各脅威レベル要素の分類基準の合算、平均などの演算により最終スコアが算出されることが可能になる。これにより、診断レポーティング部180は、診断の対象となるメールの脅威レベル段階分類別のスコアを決定することができる。
【0209】
より具体的には、脅威レベル段階分類別に前記分類条件がそれぞれ割り当て可能であり、前記分類条件に基づいて検出された定量分析値が前記各脅威レベル段階分類に対応して合算処理されることが可能であり、合算処理された値に応じて各脅威レベル段階分類別のスコアが決定されることが可能である。
【0210】
例えば、脅威レベル段階は、その危険度に応じて、第1段階、第2段階、第3段階、第4段階として分類可能であり、各段階別にスコアが算出されて合算処理されることが可能である。
【0211】
さらに、診断レポーティング部180は、前記各脅威レベル段階に対応する危険度の重み付け値を設定することができる。危険度の重み付け値は、第1のレベルに対応して10%、第2のレベルに対応して20%、第3のレベルに対応して30%、第4のレベルに対応して40%といったように割り当てられてもよい。
【0212】
これにより、診断レポーティング部180は、各脅威レベル段階別のスコアに、前記各危険度の重み付け値を積演算し、その結果を合算することにより、診断の対象となるメールの標的型電子メールの攻撃のセキュリティ脅威の危険度を算出することができる。
【0213】
このような標的型電子メールの攻撃のセキュリティ脅威の危険度は、予め設定された等級に応じてA、B、C、D、Eといったセキュリティ等級にマッピング可能であり、このようなマッピングにより、診断レポーティング部180は、特定のメールに対応する総合的なセキュリティ脅威の危険度をセキュリティ等級として表示する脅威レベルベースのガイドコンテンツを構成して、メールユーザー端末に提供することができる。
【0214】
ここで、診断レポーティング部180は、セキュリティ脅威情報の同期化データに基づいて、リアルタイムにて更新されるユーザーの電子メール履歴情報と設定情報を反映して前記スコアをリアルタイムにて変更算出することができる。
【0215】
例えば、ユーザーが特定の発信元の国に対する許容管理の設定を行う場合、当該発信元から受信されたメールは、危険性の判断対象から除外処理されるか、あるいは、危険度0点として処理されてもよい。
【0216】
このようなユーザー設定反映は、企業などのユーザーが電子メールの受発信環境に応じてカスタマイズして設定した状態での標的型電子メールの攻撃の危険性を診断しようとするものである。
【0217】
また、セキュリティ脅威情報の同期化データを用いて、既に発信されたメールデータの標的型電子メールの攻撃危険の検査結果が反映されるため、診断レポーティング部180は、発信メールにおいて危険であると判断される発信元アドレス、発信元の国及び検出された悪性コードなどを用いて、受信メールに関する各メール別の標的型電子メールの攻撃の危険スコアの算出を処理することができる。
【0218】
また、このような標的型電子メールの攻撃の危険スコアを算出するに際して、各脅威レベル要素の分類基準は、カテゴリーに応じて分類可能であり、分類されたカテゴリー別のスコアリングテーブルが予め構築されてもよい。
【0219】
例えば、脅威レベル要素の分類基準は、電子メールプロトコル及び広告性メールカテゴリーを含んでいてもよく、広告性関連の遮断履歴1点、警告履歴1点、信頼度の遮断履歴2点などのスコアが指定されてもよい。
【0220】
また、例えば、脅威レベル要素の分類基準は、悪性コードカテゴリーを含んでいてもよく、URLの検出(ゼロデイURLなど事後危険性を含む)3点、文書内の悪性リンク2点、ウィルス1点、ランサムウェア2点、行為ベースの検出3点などのスコアが指定されてもよい。
【0221】
また、例えば、脅威レベル要素の分類基準は、社会工学的な攻撃関係の基礎なりすまし性危険カテゴリーを含んでいてもよく、アドレスの偽変造2点、IDの偽変造1点、ドメインの偽変造1点、その他の偽変造3点などのスコアが指定されてもよい。
【0222】
また、例えば、脅威レベル要素の分類基準は、社会工学的な攻撃関係の知能型なりすまし性危険カテゴリーを含んでいてもよく、最初の発送元危険1点、最終的な発送元危険2点、その他の発送元危険3点、類似ドメイン危険に応じた危険3点、上2点、中1点、下1点、TLD(最上位ドメイン)2点などのスコアが指定されてもよい。
【0223】
診断レポーティング部180は、このような標的型電子メール攻撃の遮断のための電子メールの危険スコアを算出して、標的型電子メールの攻撃に関するセキュリティ等級をマッピングし、マッピングされたセキュリティ等級の情報をガイドコンテンツとして構成して、ユーザー端末に提供することができる。例えば、診断レポーティング部180は、ガイドコンテンツをテキストまたは画像マーカーとして構成して、電子メールデータに埋め込むことができ、マーカーは、電子メールのタイトルと隣り合う個所または電子メール本文の開始個所などに表示されることができる。
【0224】
また、診断レポーティング部180は、項目別の標的型攻撃危険スコアの総和が第1のしきい値以上であるか、あるいは、特定の項目の標的型攻撃危険スコアが第2のしきい値以上であるか、あるいは、項目別の標的型攻撃危険スコアの総和が第3のしきい値以上である期間が一定の期間以上続くか、あるいは、項目別の標的型攻撃危険スコアの総和が第3のしきい値以上であるメールの数が一定の期間内に一定の数以上である場合を判断し、各条件が判断された場合には、受信メール処理部150または発信メール処理部160に警報を提供することができる。受信メール処理部150または発信メール処理部160は、警報されたメールに対応する管理者の報知を処理したり、メールの自動遮断処理などを行ったりすることができる。
【0225】
これにより、ユーザー端末200においては、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させたセキュリティ脅威情報の同期化データに基づいて算出された標的型電子メールセキュリティ脅威の状態を、各メール及びシステム別に定量的な実際のデータを基に正確に確認することができ、これに対応するガイドの提供を受けて措置をとることにより、標的型電子メールの攻撃に対するどんどん多様化しつつあるセキュリティ脅威を予め遮断することが可能になる。
【0226】
【0227】
【0228】
そして、サービス提供装置100は、セキュリティ脅威情報の同期化データを用いて、新規受信メールに対応する標的型電子メールセキュリティ脅威の検査を行い、標的型電子メールセキュリティ脅威の検査は、スパム脅威の検査(S103)、マルウェア攻撃脅威の検査(S105)、社会工学的な脅威の検査(107)といった各段階別のマルチレベル検査を行うことができる。
【0229】
ここで、マルウェア攻撃脅威の検査は、未確認の悪性コード、添付ファイル悪性コード、URL悪性コードなどの標的型電子メール攻撃の脅威の検査を含んでいてもよく、社会工学的な脅威の検査は、ヘッダー偽変造、類似ドメイン、アカウント乗っ取り及びURLフィッシングの検査を含んでいてもよい。
【0230】
この後、検査結果に基づいて、サービス提供装置100は、ユーザー診断レポーティングを行うことができ(S109)、検査結果に基づいて、メールサーバーへの搬出または遮断を決定する(S111)。
【0231】
さらに、サービス提供装置100は、搬出、遮断または遅延に対応する警報メッセージを構成して管理者のユーザー端末200または受信者端末20に提供することができる。
【0232】
また、各検査結果は、受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とを同期化させて構成されたセキュリティ脅威情報の同期化データとして構成されてもよい(S113)。
【0233】
一方、図6は、発信メールの標的型電子メール攻撃の脅威の検査処理に関するものであって、サービス提供装置100は、発信メール情報を収集する(S201)。
【0234】
この後、サービス提供装置100は、各検査結果は受信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報と、発信メールの標的型電子メールセキュリティ脅威の検査を行うことにより構成された標的型電子メールセキュリティ脅威の情報とが同期化したセキュリティ脅威情報の同期化データから、これまで同期化したセキュリティ脅威の情報を取得する(S203)。
【0235】
そして、サービス提供装置100は、同期化したセキュリティ脅威の情報を用いて、発信承認システムに基づく情報流出の脅威の検査を行う(S205)。
【0236】
この後、サービス提供装置100は、同期化したセキュリティ脅威の情報を用いて、発信メールのフィルターリングの検査処理を行う。
【0237】
そして、サービス提供装置100は、発信メールの検査結果を用いて、メールサーバーへの搬出、遮断または遅延を決定する(S209)。
【0238】
さらに、サービス提供装置100は、搬出、遮断または遅延に対応する警報メッセージを構成して、管理者のユーザー端末200または発信者端末10に提供することができる。
【0239】
図7は、本発明の実施形態に係る大容量ファイルの流出の検査プロセスを説明するための図である。
【0240】
図7を参照すると、本発明の一実施形態に係るシステムは、発信者端末10と、第1のメール管理サーバー装置300と、メール変換処理装置30と、サービス提供装置100と、網連携メール承認装置500と、メール復元処理装置250と、第2のメール管理サーバー装置400及び受信者端末20を備える。
【0241】
より具体的には、発信者端末10と、第1のメール管理サーバー装置300及びメール変換処理装置30は、内部網として分離されたセキュリティネットワークを構成することができる。網が分離されたセキュリティネットワークは、網連携メール承認装置500を経由してはじめて外部ネットワークへのメール伝送を行うことが可能なネットワークであって、このための様々なネットワークインターフェース環境に基づくセキュリティ化した内部ネットワーク及びセキュリティ装置が構築されてもよい。
【0242】
このために、網連携メール承認装置500は、内部網においてメールサーバーを構築する第1のメール管理サーバー装置300から、外部網に伝送すべき電子メールデータの承認のリクエストを受け、予め設定された承認ポリシーと比較して承認及びセキュリティが検証されたメールのみ、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を処理し、外部ネットワークを介して、第2のメール管理サーバー装置400などに搬出処理することができる。
【0243】
ここで、予め設定された承認ポリシーは、管理者認証情報が確認される、発信者に対応する組織上の上級者の承認が確認される、あるいは、電子メールデータにセキュリティが脆弱であるか否かなどを検査するなどの様々なポリシーが複合的に適用されて承認が確認されてもよい。
【0244】
逆に、網連携メール承認装置500は、外部網の第2のメール管理サーバー装置400を介して、外部ユーザーの外部メールが内部網に受信された場合には、サービス提供装置100を介して、前記外部メールの添付ファイル及びURLセキュリティ検査などを行って検証されたメールのみを内部網に搬入する処理を行ってもよい。
【0245】
このような内部網システム及び網連携メール承認装置500の動作とは異なり、外部ネットワークに位置しているメール復元処理装置250と、第2のメール管理サーバー装置400及び受信者端末20は、公衆網(Public network)と結ばれることで、有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であって、一般に、電話網、データ網、CATV網及び移動通信網などを網羅し、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供することができる。
【0246】
一方、前記発信者端末10と、第1のメール管理サーバー装置300と、メール変換処理装置30及び網連携メール承認装置500は、内部網に相当する第1のプロトコルにより通信するためのそれぞれの通信モジュールを備えていてもよい。
【0247】
また、前記網連携メール承認装置500と、メール復元処理装置250と、第2のメール管理サーバー装置400及び受信者端末20は、外部網に相当する第2のプロトコルにより通信するためのそれぞれの通信モジュールを備えていてもよい。
【0248】
このように、各内部網分離セキュリティネットワークと、外部ネットワークを構成する各装置とは、相互間の有/無線ネットワークを介して接続可能であり、各ネットワークに接続された装置または端末は、互いにセキュリティ化したネットワークチャンネルを介して相互間の通信を行うことができる。
【0249】
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radio communication network)または衛星通信網などといったあらゆる種類の有/無線ネットワークにより実現されてもよい。
【0250】
そして、発信者端末10及び受信者端末20は、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、個人用デジタル補助装置(PDA:Personal Digital Assistants)、携帯型マルチメディアプレーヤー(PMP:Portable Multimedia Player)などを網羅するが、本発明は、これらに何ら限定されるものではなく、公衆網または私設網などを介して、第1のメール管理サーバー装置300または第2のメール管理サーバー装置400に接続可能な多種多様な装置が挙げられる。これらに加えて、発信者端末10及び受信者端末20のそれぞれは、アプリケーションの駆動またはウェブブラウジングを用いた情報の入出力が可能な多種多様な装置であってもよい。
【0251】
一方、各第1のメール管理サーバー装置300及び第2のメール管理サーバー装置400は、ユーザーが作成したメールを発信したり、相手方が作成したメールを受信したりできるように電子郵便の内容を中継及び保管するシステムを備え、メールの受信及び発信の処理という使用目的に応じて、予め設定されたプロトコルを活用して相互間の通信を行うことができる。
【0252】
一般に、前記メールプロトコルは、メールの受信処理に際して、ポストオフィスプロトコル3(POP3:Post Office Protocol 3)、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)が使用可能である。また、前記プロトコルとしては、メールの発信処理に際して、簡易メール転送プロトコル(SMTP:Simple Mail Transfer Protocol)が使用可能である。このように、各第1のメール管理サーバー装置300及び第2のメール管理サーバー装置400は、それぞれの分離された網の内部においてメールの送受信処理のためのサーバー(server)システムとして構成されてそれぞれ作動することができる。
【0253】
このようなシステム構成において、本発明の実施形態に係るメール変換処理装置30は、外部網と分離されたセキュリティネットワークの内部網に位置することができ、前記内部網に位置している大容量ファイルのリンク情報を含む電子メールを変換して、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を受けた後、網連携メール承認装置500の承認を受けて外部網のメール復元処理装置250に転送する機能を処理することができる。
【0254】
このために、まず、メール変換処理装置30は、前記内部網に位置している発信者端末10から伝送のリクエストを受けた伝送メールを第1のメール管理サーバー装置300を介して取得することができ、前記伝送メールから前記内部網に位置している大容量ファイルのリンク情報を識別し、前記リンク情報に基づいて、前記内部網に位置している大容量ファイルを取得することができる。
【0255】
そして、メール変換処理装置30は、前記大容量ファイルが前記伝送メールの通常添付ファイルとして区別されるように埋め込まれた変換メールを生成することができるため、このような変換メールは、網連携メール承認装置500を経由して、前記外部網に位置しているメール復元処理装置250に伝送されることが可能になる。
【0256】
この場合、網連携メール承認装置500は、予め設定されたメール発送ポリシーに準拠して、前記通常添付ファイルとして区別されるように埋め込まれた前記大容量ファイルのセキュリティ危険を検査し、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を受けた後、前記変換メールの発送を承認処理することができ、承認処理された変換メールは、第2のメール管理サーバー装置400に転送されるに先立ち、本発明の実施形態に係るメール復元処理装置250に受信されてもよい。
【0257】
メール復元処理装置250は、セキュリティネットワークの内部網と分離された外部網に位置することができ、網連携メール承認装置500を介して、前記内部網から変換されて伝送された変換メールを受信すれば、サービス提供装置100を介して、標的型電子メール攻撃の遮断のための流出検査を受けた後、前記変換メールから内部網の大容量ファイルが復元された復元メールを構成し、構成された復元メールを第2のメール管理サーバー装置400を経由して受信者端末20に転送する復元及び転送プロセスを行うことができる。
【0258】
より具体的には、メール復元処理装置250は、前記変換メールに埋め込まれている通常添付ファイルデータから、内部網の大容量ファイルを取得することができ、前記内部網の大容量ファイルを前記変換メールから分離して、暗号化した任意の外部網経路にアップロード処理する。
【0259】
そして、メール復元処理装置250は、前記大容量ファイルが分離された前記変換メールに、前記アップロードされた外部網経路の情報を含めて前記変換メールの復元メールを構成し、構成された復元メールは、第2のメール管理サーバー装置400に転送されて受信者端末に伝送処理されてもよい。
【0260】
このようなシステム構成により、外部網へのメールの搬出が不可能であった内部網の大容量ファイルがセキュリティ化した電子メールシステムを介して搬出できるように処理され、このようなプロセスによりメールシステムのセキュリティ体系をそのまま活用しながらも、外部網のメール受信側においても内部網の大容量ファイルを容易に確認できるようにするメールサービスが実現されることが可能になる。
【0261】
例えば、内部網の発信者端末10のユーザーがメールとして搬出すべきファイルを通常電子メールの大容量ファイルの添付として入力さえすれば、受信者端末20においては、発信メールの大容量ファイルの添付と同様に復元されてアップロードされた大容量ファイルを、受信メールに含まれている外部網経路の情報から取得することが可能になるので、実質的な大容量ファイルの搬出が処理されることが可能になる。
【0262】
また、このような外部網の大容量ファイルへのアクセス権限及び接続情報は、メール復元処理装置250において管理されることが可能になるので、既存のクラウド共有サービスなどを不可避に利用せざるを得なかった脆弱なセキュリティ環境を補い、より便利かつ安全な内部網ファイルの外部網へのメールの伝送を行うことを可能にする。
【0263】
図8は、本発明の実施形態に係る大容量ファイルのポリシーベースの承認プロセスを説明するための梯子図である。
【0264】
図8を参照すると、まず、第1のメール管理サーバー装置300は、発信者端末10のメール伝送のリクエストを受信して、メール変換処理装置30に伝達する(S1001)。
【0265】
この後、メール変換処理装置30は、伝送のリクエストが行われたメールから、内部網の大容量添付ファイルに対応する内部網リンク情報を識別する(S1003)。
【0266】
内部網リンクの情報の識別のために、本発明の実施形態に係るメール変換処理装置30は、内部網リンク識別部110を介して、まず、伝送リクエストの行われたメールに埋め込まれているリンク情報(URLまたはURI(統一資源識別子))を抽出し、リンク情報の追跡検査を行うことができる。
【0267】
より具体的には、メール変換処理装置30は、内部網リンク識別部110を介して、前記伝送のリクエストが行われたメールに埋め込まれているすべてのリンク情報または予め設定された内部網経路として指定された指定リンク情報(例えば、IPアドレスが内部網として設定された私設IPアドレスから始まるリンク情報)を抽出し、抽出されたリンク情報に接続してファイルダウンロードの有無及びファイルのサイズを検査することができる。
【0268】
これにより、メール変換処理装置30の内部網リンク識別部110は、ファイルダウンロードが可能であると検査されたリンク情報のうち、ダウンロードすべきファイルのサイズ情報を識別し、そのサイズ情報が一定のサイズ以上である場合、前記内部網大容量添付ファイルに対応するリンク情報として識別することができる。
【0269】
例えば、前記一定のサイズとしては、2メガバイトが挙げられ、内部網リンク識別部110は、すべてのリンク情報または指定リンク情報のうち、前記2メガバイトを超える内部網ファイルをダウンロードするリンク情報を抽出して、前記内部網大容量添付ファイルに対応する内部網リンク情報として識別することができる。
【0270】
そして、メール変換処理装置30は、内部網リンクから対象ファイルをダウンロード処理し、伝送メールからは、内部網の大容量リンクを削除処理する(S1005)。
【0271】
この後、メール変換処理装置30は、前記大容量リンクが削除処理された前記伝送メールに、対象ファイルを通常添付メールフォーマットの添付ファイルとして含めて、EMLデータを構成する(S1007)。
【0272】
そして、メール変換処理装置30は、網連携メール承認装置500に前記EMLデータベースの変換メールの伝送承認をリクエストする(S1009)。
【0273】
網連携メール承認装置500は、サービス提供装置100を用いた大容量ファイルの標的型電子メールの攻撃の検査処理を行い(S1010)、予め設定されたポリシーを基に、メールを承認するか否かを判断することができ(S1011)、承認が拒絶される場合には、拒絶メッセージを第1のメール管理サーバー装置300を介して、発信者端末10に転送し(S1013)、承認が確認された場合には、変換メールを外部網の第2のメール管理サーバー装置400に接続されたメール復元処理装置250に伝送する(S1015)。
【0274】
この後、メール復元処理装置250においては、前記変換メールの通常添付ファイルから対象ファイルを分離して、サービス提供装置100を用いた大容量ファイルの標的型電子メールの攻撃の検査処理を行い(S1016)、通常メールに復元して構成する(S1017)。
【0275】
そして、メール復元処理装置250は、前記分離された対象ファイルを任意の経路にアップロード処理し(S1019)、アップロード経路情報にアクセス可能なウェブページを構成する(S1021)。
【0276】
この後、メール復元処理装置250は、前記復元された通常メールの添付ファイルにウェブページを付加し(S1023)、前記復元された通常メールを第2のメール管理サーバー装置400を介して、受信者端末20に転送する(S1025, S1027)。
【0277】
本発明の実施形態において、前記アップロード経路情報は、ウェブページとして付加されるものが例示されているが、本発明は、これに何ら限定されるものではなく、前記アップロード経路情報は、リンク情報、URLテキストなど様々な方式により前記復元された通常メールに添付されてもよい。
【0278】
一方、標的型電子メールの攻撃に対応するための一般セキュリティ要求事項(general security requirements)として、収集された悪性ファイルとアカウントデータに対するインバウンド及びアウトバウンド検査との間の同期化が求められる。電子メールセキュリティシステムのフォルダー構造は、手動または自動的に周期的に変更されなければならず、ホワイトリストの他に悪性コードを検査する。そして、ユーザー、セキュリティ管理者及びウェブに対する悪意的なアカウント乗っ取りの試みをモニターリングする。
【0279】
また、電子メールセキュリティレポーティングシステムに対するセキュリティ要求事項として、開く前に受信された電子メールが安全であるか否かを確認するための報告書をユーザーに提供しなければならず、ドメインまたはサーバーの電子メールセキュリティの現況について収集されたデータを基に診断報告書を提供しなければならない。そして、すべてのインバウンド電子メールに対して計算された危険結果(risk results)を提供し、その結果を電子メールとともに表示しなければならない。遮断された詐欺性の電子メールに関する情報がセキュリティ管理者とユーザーに定期的に提供され、セキュリティ問題がある電子メールを転送するとき、ユーザーに電子メールタイトルとともに警告メッセージを提供する。一方、セキュリティ検査プロセスにおいて誤検出(false-positives)として探知された電子メールは、復元できるようにする。
【0280】
さらに、標的型電子メールの攻撃に対する一般対応策(general counter measures)として、電子メールホワイトリスト/ブラックリスト登録(email whitelist/blacklist registration)、電子メールセキュリティデータ同期化(email security data synchronization)及びログインログ(login log)に対するモニターリングが行われる。電子メールホワイトリスト/ブラックリスト登録を行うことで、セキュリティ管理者は、許容及び未許容の特定の電子メールアドレス、IPアドレス及びドメインを手動で入力することができる。これにより、電子メールを承認したり削除したりしてユーザーアクセスを自動的にフィルターリングする。一方、インバウンド及びアウトバウンド電子メールからの悪性コードの流入を遮断するために、ホワイトリストにある電子メールアカウントまたはIPアドレスに対して追加検査を行わなければならない。電子メールセキュリティデータ同期化は、インバウンド及びアウトバウンド電子メールから新規及び既存のデータを収集しかつ分析して、受信及び発信データを同期化させて遮断するために用いられる。電子メールセキュリティデータに関する詳しい情報には、ゼロデイ悪性コード、類似ドメイン及び配信経路情報(例えば、電子メールサーバー及び発信者の位置)が含まれる。そして、ログインログは、ID、位置(国)、IPアドレス、日付け及び状態(例えば、成功または失敗)などの詳しいログ情報とともに、ユーザー、セキュリティ管理者及びウェブへのログインの試みを表示して、電子メールサーバー内における悪意的なアカウント乗っ取りの試みをモニターリングする。
【0281】
そして、電子メールセキュリティレポーティングシステムと関わる対応策として、警告メッセージ(warning message)、電子メール危険スコア決定基準(email risk score determination criteria)、ユーザー用の電子メールセキュリティ報告書(email security report for users)及びステータス掲示板(status board)が提供される。警告メッセージは、ユーザーがどのような種類の悪性電子メールを受け取ったかを認識できるように、メールボックス(mailbox)において電子メールのタイトルとともに「類似ドメイン(look-alike domain)」及び「偽造されたヘッダー(forged header)」といったような用語で標的型電子メールの攻撃の危険についてユーザーに警告する。また、セキュリティ管理者は、疑わしい電子メールが転送されたり転送されなかったりするように構成することができ、メッセージの警告単語/文句は、グループごとに設定して管理することができる。電子メール危険スコア決定基準は、ユーザーが電子メールの危険性を容易にか直観的に判断したり認識したりできるようにする基準を提供し、電子メール危険スコアを計算する方法と実現条件とに分けられる。電子メールセキュリティ報告書(ユーザー向け)は、ユーザーが電子メールを開く前に報知として表示されて、受信された電子メールの危険性を示す。そのために、電子メールセキュリティ報告書には、類似ドメインとして確認された電子メールアドレスから以前に受信された記録(received history)、現在の配信経路及び電子メールの発送の配信経路履歴の変化(delivery route)、発信者のヘッダー偽造の状態(header forgery)、探知された悪性URLの数(URL inspection)及び類似ドメインの危険レベル(例えば、TLD、低い、高い及び危険)が表示される。ステータス掲示板は、運用状態、構成及び運用環境などといった選択された技術的なオブジェクトに対する作業に影響を及ぼすインバウンド及びアウトバウンド電子メールのリアルタイム技術的状態(real-time technical status)に関する概要を提供する。ここで、電子メールの総数と状態、インバウンド及びアウトバウンド電子メールの失敗理由、受信された標的型電子メールの攻撃の数などといったリアルタイム情報に関する完全な機能パネル(fully functioning panels)は、電子メールセキュリティに関する危険と中断を認知するために、内部セキュリティ管理者により制御されるように見られる。
【0282】
上述した本発明に係る方法は、コンピューターにおいて実行されるためのプログラムとして作成されてコンピューターにて読み取り可能な記録媒体に記憶可能であり、コンピューターにて読み取り可能な記録媒体の例には、読み出し専用メモリー(ROM:Read Only Memory)、ランダムアクセスメモリー(RAM:Random Access Memory)、コンパクトディスク(CD)による読み出し専用メモリー(CD-ROM:Compact Disc Read Only Memory)、磁気テープ、フロッピーディスク、光データ記憶装置などが挙げられる。
【0283】
また、コンピューターにて読み取り可能な記録媒体は、ネットワークにより結ばれたコンピューターに分散されて分散方式によりコンピューターにて読み取り可能なコードが記憶されかつ実行され得る。そして、前記方法を実現するための機能的なプログラム、コード及びコードセグメントは、本発明が属する技術分野におけるプログラマーにより容易に推論可能である。
【0284】
また、以上においては、本発明の好適な実施形態について図示及び説明したが、本発明は、上述した特定の実施形態に何ら限定されるものではなく、特許請求の範囲において請求する本発明の要旨から逸脱することなく、当該発明が属する技術分野において通常の知識を有する者により種々の変形実施が可能であるということはいうまでもなく、これらの変形された実施形態は、本発明の技術的思想や見通しから個別的に理解されてはならない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【国際調査報告】