JP6721874B2 - Communication system, communication method and program - Google Patents
Communication system, communication method and program Download PDFInfo
- Publication number
- JP6721874B2 JP6721874B2 JP2018193313A JP2018193313A JP6721874B2 JP 6721874 B2 JP6721874 B2 JP 6721874B2 JP 2018193313 A JP2018193313 A JP 2018193313A JP 2018193313 A JP2018193313 A JP 2018193313A JP 6721874 B2 JP6721874 B2 JP 6721874B2
- Authority
- JP
- Japan
- Prior art keywords
- threat
- url
- access
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 38
- 238000004891 communication Methods 0.000 title claims description 34
- 238000001514 detection method Methods 0.000 claims description 180
- 238000012545 processing Methods 0.000 claims description 78
- 238000004458 analytical method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000012546 transfer Methods 0.000 description 9
- 238000000605 extraction Methods 0.000 description 6
- 230000008520 organization Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 102220615148 Calcyphosin_S24A_mutation Human genes 0.000 description 2
- 102220615152 Calcyphosin_S25A_mutation Human genes 0.000 description 2
- 102220471545 Single-stranded DNA cytosine deaminase_S26A_mutation Human genes 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
本発明は通信システムに関する。本発明は、特に、URL(Uniform Resource Locator)が示すリソースへのアクセスの制御に関し、特に、メールに含まれるURLへのアクセス制御に関する。 The present invention relates to communication systems. The present invention particularly relates to control of access to a resource indicated by a URL (Uniform Resource Locator), and particularly to control of access to a URL included in a mail.
近年、特定の組織、特定の個人といった特定の相手を標的として情報窃盗等を行う標的型攻撃による被害が多発している。特に、メールを用いた標的型攻撃が問題となっている。 2. Description of the Related Art In recent years, damage has been frequently caused by targeted attacks that steal information or the like by targeting specific opponents such as specific organizations and specific individuals. In particular, targeted attacks using email have become a problem.
標的型攻撃に対抗する技術として、所謂社内LAN(Local Area Network)のような組織内ネットワークから、インターネットに代表される組織外ネットワーク上のウェブサイトにアクセスするのにあたり、ウェブプロキシサーバを経由してアクセスを行うものがある。これにより、アクセス効率の向上や脅威を含むサイトへのアクセスの制限を図るものである。 As a technique to counter targeted attacks, when accessing a website on an external network represented by the Internet from an internal network such as a so-called in-house LAN (Local Area Network), a web proxy server is used. Some have access. This will improve access efficiency and limit access to sites containing threats.
一般に、ウェブプロキシサーバでは、アクセスを制限すべきURLを運用者が個別に設定することにより、アクセス制限を行っている。或いは、予め脅威ありと判定されたURLをリスト化したアクセス制限リストを提供するサービスがインターネット上に存在するので、こうした外部のアクセス制限リストを参照してアクセス制限を行うものもある。 Generally, in a web proxy server, an operator individually sets URLs to which access should be restricted, thereby restricting access. Alternatively, since there is a service on the Internet that provides an access restriction list that lists URLs that have been determined to have a threat in advance, access restriction may be performed by referring to such an external access restriction list.
この種のウェブプロキシサーバによれば、運用者がアクセス制限すべきURLとして設定しない限り、そのURLへのアクセスは容認される。外部のアクセス制限リストを参照する場合も同様である。従って、上記したウェブプロキシサーバを用いた方法は新たな脅威URLを用いた標的型攻撃に対抗することができない。 According to this kind of web proxy server, access to the URL is permitted unless the operator sets it as the URL to be restricted. The same applies when referring to an external access restriction list. Therefore, the method using the web proxy server described above cannot counter the targeted attack using the new threat URL.
他の対抗技術としては、最初にメールに含まれるURLについて脅威の有無を判定し、その判定結果に応じて、そのメールに関する追加処理を行うと共にそのメールを宛先に配送するか、或いは、そのメールを破棄するものがある。ここで追加処理とは、メールの内容を更新する、そのメールの代わりに、或いは、そのメールと共に警告メッセージを送信する、といった処理である。 As another countermeasure technology, first, it is judged whether there is a threat in the URL included in the mail, and depending on the judgment result, additional processing regarding the mail is performed and the mail is delivered to the destination, or the mail is sent. There is something to discard. Here, the adding process is a process of updating the contents of the mail, sending a warning message instead of the mail, or with the mail.
この種のメール配送装置では、まず、URLについて脅威の有無を判定し、次に、その判定結果に応じてメールを宛先のメールクライアントに配送する。このため、URLについての判定が終了するまではそのメールを宛先に配送することができない。従って、メール配送の遅延を引き起こす恐れがある。 In this type of mail delivery device, first, the presence/absence of a threat is determined for the URL, and then the mail is delivered to the destination mail client according to the determination result. Therefore, the mail cannot be delivered to the destination until the determination of the URL is completed. Therefore, mail delivery may be delayed.
URLの脅威を検出し、そのURLに脅威があるか否かを判定する方式として所謂振る舞い検知方式がある。振る舞い検知方式は高い精度で脅威の有無を判定することができるものの、判定に要する時間が長い。このため、上述のメール配送装置の脅威検出方式として振る舞い検知方式を採用すると、特にメール配送の遅延を引き起こしやすい。 There is a so-called behavior detection method as a method for detecting a threat of a URL and determining whether or not the URL has a threat. The behavior detection method can determine the presence or absence of a threat with high accuracy, but the determination requires a long time. For this reason, if the behavior detection method is adopted as the threat detection method of the above-described mail delivery device, a delay in mail delivery is particularly likely to occur.
標的型攻撃に対抗する技術が特許文献1に記載されている。同文献によれば、セキュアプロキシサーバ上に構築した仮想マシンでウェブブラウザを実行し、そのウェブブラウザでメールに含まれているURLにアクセスする。仮想マシンのブラウザによるアクセスに問題がなければ、ユーザ端末からそのURLにアクセスする。
A technique for countering a targeted attack is described in
特許文献1の手法では、仮想マシンを介して間接的に目的のURLにアクセスすることにより、URLに脅威が存在する場合であっても、ユーザ端末がその影響を回避することができる。
In the method of
特許文献1によれば、URLが脅威であるか否かの判定を開始するのは、ユーザ端末からそのURLへのアクセスを試みたときである。特許文献1によれば、仮にそのURLに脅威があるとしても、その影響は仮想マシンに留まるため、ユーザ端末は影響を受けない。しかし、一度はそのURLへのアクセスを試みない限り、脅威があるか否かは不明である。
According to
また、「アクセスが許容されないアクセス先のアドレス情報のパターン」(同文献請求項2)或いは「アクセスが許容されるアクセス先のアドレス情報のパターン」(同文献請求項3)を事前に記憶することは記載されている。しかし、同文献は、URLに脅威があるか否かの判定をどのようにして行うのかについては言及していない。このため、ユーザ端末から仮想マシン経由で脅威があるURLにアクセスしたとき、実際に脅威を引き起こすような操作(例えばそのURLのウェブページから、ウイルスを含むファイルをダウンロードし、実行することを許可するような操作)をしない限り、そのURLに脅威があるかどうかそのユーザ端末からは分からない。このため、仮想マシン経由であり、ユーザ端末に直接の影響はないとしても、そのURLへのアクセスは許可された状態が続く。
In addition, “a pattern of address information of an access destination in which access is not permitted” (
本発明はこのような状況を鑑みてなされたものであり、本発明が解決しようとする課題は、メールに含まれるURLの脅威検出の実行と、遅滞のないメール配信とを両立することが可能な通信システム、通信方法及びプログラムを提供することである。特に、メールに含まれるURLに対して予防的にアクセス制限を実施する通信システム、通信方法及びプログラムを提供することである。 The present invention has been made in view of such circumstances, and the problem to be solved by the present invention is to achieve both threat detection of URLs included in emails and email delivery without delay. Communication system, communication method, and program. In particular, it is to provide a communication system, a communication method, and a program that preventively restrict access to a URL included in an email.
上述の課題を解決するため、本発明は、その一態様として、受信したメッセージに含まれる識別子によって特定されるネットワーク上のリソースを一時的にアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、前記リソースに脅威があるか否かを判定する脅威検出手段と、判定結果が脅威なしの場合、アクセス制限を解除するアクセス制限手段と、を備える通信システムを提供する。 In order to solve the above-mentioned problem, the present invention, as one aspect thereof, is a pre-detection threat list update processing means for temporarily adding a resource on a network specified by an identifier included in a received message to a target of access restriction. And a mail storage processing unit that stores the message in a mail storage server so that the user can receive it, a threat detection unit that determines whether or not there is a threat to the resource , and an access restriction if the determination result is no threat. There is provided a communication system including:
また、本発明は、他の一態様として、検出前脅威一覧更新処理手段が、受信したメッセージに含まれる識別子によって特定されるネットワーク上のリソースを一時的にアクセス制限の対象に追加し、メール格納処理手段が、ユーザが受信可能に前記メッセージをメール格納サーバに格納し、脅威検出手段が、前記リソースに脅威があるか否かを判定し、アクセス制限手段が、判定結果が脅威なしの場合、アクセス制限を解除する、通信方法を提供する。 Further, as another aspect of the present invention, the pre-detection threat list update processing means temporarily adds a resource on the network identified by the identifier included in the received message to a target of access restriction and stores the mail. When the processing unit stores the message in the mail storage server so that the user can receive it, the threat detecting unit determines whether or not the resource has a threat , and the access limiting unit determines that the determination result is no threat, release the access restriction, to provide a communication method.
また、本発明は、他の一態様として、受信したメッセージに含まれる識別子によって特定されるネットワーク上のリソースを一時的にアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、前記リソースに脅威があるか否かを判定する脅威検出手段と、判定結果が脅威なしの場合、アクセス制限を解除するアクセス制限手段としてコンピュータを機能させるためのプログラムを提供する。 As another aspect of the present invention, a pre-detection threat list update processing unit that temporarily adds a resource on a network specified by an identifier included in a received message to a target of access restriction, and a user-received threat list update processing unit. A mail storage processing unit that stores the message in a mail storage server as much as possible, a threat detection unit that determines whether or not there is a threat to the resource , and an access restriction unit that releases the access restriction when the result of the determination is no threat. To provide a program for operating a computer.
また、本発明は、他の一態様として、受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースを一時的にアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、または、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該アクセス要求の要求元に対し、警告メッセージを送信する出力手段と、を備える通信システムを提供する。 In addition, as another aspect of the present invention, a pre-detection threat list update processing unit that temporarily adds a resource on a network, which is specified by an identifier included in a received message, to a target of access restriction, and a user A mail storage processing unit that stores the message in a mail storage server in a receivable manner, a threat detection unit that performs a threat detection determination that determines whether the resource has a threat, and the identifier that is specified by the identifier If the threat detection determination for the identifier is in progress at the time of requesting access to the resource, or if the threat detection determination for the identifier is completed and it is determined that there is a threat, the access request And an output unit for transmitting a warning message to the requesting source.
また、本発明は、他の一態様として、検出前脅威一覧更新処理手段が、受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースを一時的にアクセス制限の対象に追加し、メール格納処理手段が、ユーザが受信可能に前記メッセージをメール格納サーバに格納し、脅威検出手段が、前記リソースに脅威があるか否かを判定する、脅威検出判定を実行し、出力手段が、前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、または、当該識別子についての前記脅威検出判定が完了し、前記判定結果が脅威ありと判定済みの場合、当該アクセス要求の要求元に対し、警告メッセージを送信する、通信方法を提供する。 Further, as another aspect of the present invention, the pre-detection threat list update processing means temporarily adds a resource on the network, which is identified by an identifier included in the received message, to a target of access restriction, and sends a mail. The storage processing means stores the message in a mail storage server so that the user can receive it, the threat detection means performs threat detection determination to determine whether or not the resource has a threat , and the output means to output the message to the user. When there is a request for access to the resource specified by the identifier, if the threat detection determination for the identifier is in progress, or if the threat detection determination for the identifier is completed and the determination result is threat If a determination already, to the request source of the access request, that sends a warning message, to provide a communication method.
本発明によれば、メールに含まれるURLの脅威検出の実行と、遅滞のないメール配信とを両立することが可能な通信システム、通信方法及びプログラムを提供することができる。特に、メールに含まれるURLに対して予防的にアクセス制限を実施する通信システム、通信方法及びプログラムを提供することができる。 According to the present invention, it is possible to provide a communication system, a communication method, and a program capable of achieving both threat detection of a URL included in an email and mail delivery without delay. In particular, it is possible to provide a communication system, a communication method, and a program that preventively restrict access to a URL included in an email.
(第1実施形態)
本発明の第1の実施の形態であるアクセス制限システム100について説明する。図1を参照すると、アクセス制限システム100は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、脅威検出装置8を備える。
(First embodiment)
The
メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7、脅威検出装置8は、それぞれ、一乃至複数のCPU(Central Processing Unit)、LAN(Local Area Network)カード等のネットワークインタフェース装置を備えるコンピュータである。リスト記憶装置7はネットワークインタフェース装置を備える記憶装置であってもよいし、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、脅威検出装置8のうちのいずれかの記憶装置の領域をリスト記憶装置7として割り当てたものであってもよい。
Each of the
メール配送サーバ1は、組織外ネットワーク5から届いたメールを、組織内ネットワーク4経由で受け取る機能を有する。また、メール配送サーバ1は受け取ったメールの内容を走査する機能を有する。また、メール配送サーバ1は、走査の結果に応じて、リスト記憶装置7に格納した脅威URL(Uniform Resource Locator)一覧7Aを更新する機能を有すると共に、受け取ったメールをメール格納サーバ2に転送する機能を有する。
The
図2を参照してメール配送サーバ1について更に説明する。メール配送サーバ1は、メール受信処理部11、メールURL抽出部12、メールURL通知部13、メール格納処理部14を備える。
The
メール受信処理部11は、SMTP(Simple Mail Transfer Protocol)プロトコルに従ってメールを受け取る。受け取ったメールと、その時に使ったSMTPプロトコルのコマンド情報(MAIL FROMコマンドやRCPT TOコマンドの内容)は、一時的にメール配送サーバ1内に保持され、以降の処理で参照される。
The mail
メールURL抽出部12はメールの内容を走査する。また、メール本体をはじめとするメールデータからURLを抽出する。一般に、メールの内容はRFC(Request For Comments)822等の規約で定められた書式に従って記載されている。メールからURLを抽出するため、メールURL抽出部12はこの書式の解析を行う。その上で、メールURL抽出部12は、所定のURL文字列の書式に基づいてURL文字列を見つける。URL文字列の書式はRFC3986等に定められている。
The mail
メールURL通知部13はメールURL抽出部12が出力したURLを脅威検出装置8に送出する。送出処理の完了後、メールURL通知部13はメール格納処理部14での処理に遷移する。
The mail
メール格納処理部14は、メール受信処理部11、メールURL抽出部12、メールURL通知部13での処理が終わったメールを、メール格納サーバ2に転送する。
The mail
メール格納サーバ2は、メールの宛先であるメール表示装置6からの要求に応答して、そのメール表示装置6(或いはそのメール表示装置6のユーザ)を宛先とするメールの内容や、メールの一覧を送信する。また、この転送に備えて、メール格納処理部14から受け取ったメールを格納する記憶装置を備える。
The
組織内ネットワーク4には、複数のメール表示装置6が存在する。また、組織内ネットワーク4内にはウェブブラウザを実行する不図示の端末が存在してもよい。これらメール表示装置及びウェブブラウザ端末は、ウェブプロキシサーバ3に対し、URLを指定してリソースを要求する。URLは組織外ネットワーク5上のリソースを特定するための文字列である。ウェブプロキシサーバ3は、要求において指定されたURLから、ウェブページ等のリソースを取得する機能を有する。また、取得したリソースを、要求元のメール表示装置6、ウェブブラウザに対して転送する機能を有する。
The in-house network 4 has a plurality of
図2を参照してウェブプロキシサーバ3について更に説明する。ウェブプロキシサーバ3は、脅威URL一覧7Aに記載のURLによって特定されるリソースへのアクセスを制限する。ウェブプロキシサーバ3によるアクセス制限の対象となるのは、メール表示装置6に代表される、組織内ネットワーク4の各種クライアントである。尚、脅威検出装置8はウェブプロキシサーバ3によるアクセス制限の対象外である。ウェブプロキシサーバ3はリクエスト受信部31、リクエスト解析部32及びリクエスト発行部33を備える。
The
リクエスト受信部31は、メール表示装置6やウェブブラウザからの要求を受け取って、移行の処理に必要なデータを、リクエスト解析部32に渡す。メール表示装置6やウェブブラウザからの要求とは、いわゆるHTTP(Hypertext Transport Protocol)やHTTPS(Hypertext Transport Protocol Secure)等のプロトコルに沿って発行されたリクエストである。
The
リクエスト解析部32はリクエスト受信部31からURLを受け取る。リクエスト解析部32はそのURLが脅威URL一覧7Aに含まれているか否かを判定する。そのURLが脅威URL一覧7Aに含まれている場合、リクエスト解析部32は、そのURLの要求元であるメール表示装置6やウェブブラウザに対してエラー応答を返信する。他方、そのURLが脅威URL一覧7Aに含まれていない場合、リクエスト解析部32はそのURLを含む必要なデータをリクエスト発行部33に渡す。
The
リクエスト発行部33は、組織内ネットワーク4及び組織外ネットワーク5を介して、リクエスト解析部32から受け取ったURLが示すリソースを取得する。また、リクエスト発行部33は、取得したリソースをその要求元であるメール表示装置6やウェブブラウザに転送する。
The
組織内ネットワーク4は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7及び脅威検出装置8を相互に接続するデータ通信ネットワークである。組織内ネットワーク4は組織外ネットワーク5に接続されている。組織内ネットワーク4から組織外ネットワーク5へのアクセスは、特定のサーバや要求元からのみアクセスできるように制御されている。
The in-house network 4 is a data communication network that interconnects the
組織外ネットワーク5は、組織内ネットワーク4の外部のデータ通信ネットワークであり、例えばインターネットである。 The external network 5 is a data communication network outside the internal network 4, and is, for example, the Internet.
メール表示装置6はウェブページを表示可能なメールクライアントである。ここでは、メール表示装置6は特にメールの宛先となる端末として動作する。通常、組織内ネットワーク4には複数のメール表示装置6が接続されるが、本発明ではどのメール表示装置6も同じ動作をする。このため、図1では、組織内ネットワーク4にメール表示装置6を1台だけ図示している。
The
メール表示装置6は液晶表示装置、CRT(Cathode Ray Tube)等の表示装置を備える情報処理装置である。メール表示装置6として動作する情報処理装置のハードウェアの種類は問わない。例えば、メール表示装置6は、デスクトップコンピュータ、ラップトップコンピュータ、ワークステーション、タブレット、スマートフォン等であってもよい。
The
また、メール表示装置6は、これらのハードウェアの上で専用のメールクライアントプログラムを動作させるものであってもよいし、ウェブブラウザを動作させてウェブメールのメールクライアントとして動作させてもよい。専用のメールクライアントプログラムを動作させる場合、そのメールクライアントプログラム自体がウェブページを表示する機能を有することとしてもよい。或いは、メールクライアントプログラムが、そのメールクライアントプログラムとは別のウェブブラウザプログラムを呼び出してウェブページを表示することとしてもよい。
The
メール表示装置6は、メール格納サーバ2から情報を取得して、メールの一覧や、メールの内容を表示する機能を有する。また、メール表示装置6は、表示したメールに対する操作者の操作に応じて、ウェブプロキシサーバ3に対して要求を発行し、その内容を表示する機能を有する。例えば、表示したメールの中にURLが記載されていて、操作者がそのURLをマウス等のポインティングデバイスにてクリックしたときに、メール表示装置6は、そのURLが示すリソースをウェブプロキシサーバに対して要求する。
The
リスト記憶装置7は脅威URL一覧7Aを記憶する記憶装置である。脅威URL一覧7Aは、受信したメールに含まれていたURLのリストである。URLはネットワーク上のリソースを一意に特定可能な識別子である。脅威URL一覧7Aに含まれるURLは識別子全体を記録するのではなく、運用設計に基づいて前方の一部を記録し、例えばコンピュータホスト名部分までのみとして、前方一致するか否かで該当するかどうかを判断する方式としてもよい。リスト記憶装置7は、例えば所謂NAS(Network Attached Storage)のように、組織内ネットワーク4に接続するためのネットワークインタフェースを備える記憶装置であってもよい。或いは、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3の記憶装置の一部領域を、リスト記憶装置7として用いることとしてもよい。
The
リスト記憶装置7が脅威URL一覧7Aを格納する方式は特に問わない。例えば、単なるテキストファイルとして記憶することとしてもよいし、RDBMS(Relational Database Management System)などのデータベースサーバを用いて記憶することとしてもよい。
The method for storing the
脅威URL一覧7Aは、アクセスすることにより攻撃を受ける恐れがあるURLのリストであり、ブラックリストと呼ばれることもある。本実施形態では、脅威検出装置8が脅威URL一覧7Aを生成、更新する。また、ウェブプロキシサーバ3が脅威URL一覧7Aを参照する。
The
脅威検出装置8は、入力されたURLが脅威であるか否かを判定し、判定結果に応じて脅威URL一覧7Aを更新する装置である。脅威検出装置8は、検出前脅威一覧更新処理部81、脅威検出部82、検出後脅威一覧更新処理部83を備える。
The
検出前脅威一覧更新処理部81は、メールURL通知部13から通知されたURLを、リスト記憶装置7の脅威URL一覧7Aに追加する。脅威URL一覧7AへのURLの追加は、脅威検出部82がそのURLを判定するのに先立って行われることが好ましく、遅くとも、この判定の完了前に行われる。また、検出前脅威一覧更新処理部81は、通知されたURLを脅威検出部82に渡す。
The pre-detection threat list
脅威検出部82は検出前脅威一覧更新処理部81から受け取ったURLによって特定されるリソースに実際に脅威があるか否かを判定(脅威検出)する処理を行う。脅威検出処理の方式には様々なものがあり、どのような方式であってもよいが、特に、所要時間が長くても検出精度が高い方式が適している。脅威検出の結果、そのURLに脅威を検出しなかった場合、脅威検出部82はその旨を検出後脅威一覧更新処理部83に通知する。
The
脅威検出部82の脅威検出方式として好適な方式としては振る舞い検知方式がある。振る舞い検知方式は、ビヘイビア法、ダイナミックヒューリスティック法等とも呼ばれる方式である。振る舞い検知方式では、仮想的な実行環境を用意して判定対象となるURLにアクセスし、異常な行動を起こさないか調べる。この場合、脅威検出部82は、メール表示装置6を仮想化した装置を含む構成とする。この仮想化装置によって判定対象となるURLにアクセスし、その後の仮想化装置の振る舞いを観察して、異常な行動をするか否かを判定する。
A behavior detection method is suitable as a threat detection method of the
検出後脅威一覧更新処理部83は、脅威検出部82での脅威検出の結果に応じて、リスト記憶装置7の脅威URL一覧7Aを更新する。脅威検出の結果、そのURLに脅威がないと脅威検出部82が判定した場合、検出後脅威一覧更新処理部83は、リスト記憶装置7にアクセスし、脅威URL一覧7AからそのURLを削除する。
The post-detection threat list
次に、図3を参照して、図2に示されたメール配送サーバ1及び脅威検出装置8を中心として、アクセス制限システム100の動作を説明する。
Next, the operation of the
組織外ネットワーク5から組織内ネットワーク4にメールMが届く。ここで、メールMにはURLが記載されているものとし、その値をURL_Xとする。また、メールMの宛先をメール表示装置6の操作者とする。
The mail M arrives at the internal network 4 from the external network 5. Here, the URL is described in the mail M, and its value is URL_X. Further, the destination of the mail M is the operator of the
メール配送装置1のメール受信処理部11がメールMを受信して、メール配送装置1の内部にメールMのデータを一時的に蓄積する(ステップS1)。次に、メールURL抽出部12はメールMからURL_Xを抽出する(ステップS2)。次に、メールURL通知部13は、脅威検出装置8の検出前脅威一覧更新処理部81及びメール格納処理部14にURL_Xを渡す(ステップS3)。
The mail
脅威検出装置8の検出前脅威一覧更新処理部81はURL_Xを脅威URL一覧7Aに追加する(ステップS4)。以後、ウェブプロキシサーバ3は、URL_Xが追加された脅威一覧URL一覧7Aに基づいて、組織内ネットワーク4内のメール表示装置6、ブラウザ端末その他によるURL_Xへのアクセスを禁止する。つまり、ウェブプロキシサーバ3は、URL_Xへのアクセス制限を開始する。脅威URL一覧7Aの一例として脅威URL一覧7A1を図4に示す。脅威URL一覧7A1は、左から順に、項番、URL、登録日時を格納する欄を有するテーブルである。
The pre-detection threat list
また、検出前脅威一覧更新処理部81はURL_Xを脅威検出部82に通知する。通知を受けて、脅威検出部82はURL_Xを対象とした脅威検出処理を開始する(ステップS5)。言い換えると、ウェブプロキシサーバ3がURL_Xへのアクセス制限を開始するのとほぼ同時に、脅威検出部82は、URL_Xの脅威検出処理を開始する。
Further, the pre-detection threat list
この時点でURL_Xへのアクセス制限を実行しているものの、URL_Xが実際に脅威であるか否かの判定は未定である。本発明では、メールから抽出したURLについての脅威検出の結果を待たずに、そのURLへのアクセス制限を開始し、脅威なしの結果が出た後でアクセス制限を解除する。 Although access control to URL_X is being executed at this point, it is undecided whether URL_X is actually a threat. In the present invention, the access restriction to the URL is started without waiting for the threat detection result of the URL extracted from the mail, and the access restriction is released after the result of no threat is obtained.
脅威検出部82がURL_Xの脅威検出処理を完了し、脅威がないとの判定結果を得た場合、脅威検出部82はその旨を検出後脅威一覧更新処理部83に通知する(ステップS6)。この通知を受けて、検出後脅威一覧更新処理部83は、リスト記憶装置7にアクセスし、脅威URL一覧7AからURL_Xを削除する。一方、脅威検出処理の結果が脅威ありの場合は何もしない。
When the
ステップS3に戻り、メールURL通知部13からURL_Xを通知されたメール格納処理部14は、ステップS1にて一時的に蓄積したメールMをメール格納サーバ2に転送する(ステップS7)。
Returning to step S3, the mail
次に、メール格納サーバ2がメールMを格納した後のメール表示装置6とウェブプロキシサーバ3の動作について説明する。図5において、ステップS11、S12、S16はメール表示装置6の動作である。また、ステップS13、S14、S15、S17はウェブプロキシサーバ3の動作である。
Next, operations of the
メール表示装置6の操作者は任意のタイミングでメール格納サーバ2からメールMを受信、表示する(ステップS11)。このとき、メール表示装置6は、メール格納サーバ2に対し、当該メール表示装置6或いは当該メール表示装置6の操作者を宛先とするメールMの転送をメール格納サーバ2に要求し、メール格納サーバ2は、この要求に応答してメールMを当該メール表示装置6に転送する。
The operator of the
操作者がメールMに記載されたURL_Xを、例えばマウス等のポインティングデバイスでクリックし、URL_Xが示す組織外ネットワーク5上のリソース、即ち、外部情報の取得を試みる。このとき、メール表示装置6は、リクエスト受信部31にURL_Xへのアクセス要求を送信する(ステップS12)。
The operator clicks the URL_X described in the mail M with a pointing device such as a mouse, and tries to acquire the resource on the network 5 outside the organization indicated by the URL_X, that is, the external information. At this time, the
リクエスト受信部31は、アクセス要求からURL_Xを抽出して、抽出されたURL_Xをウェブプロキシサーバ3のリクエスト解析部32に渡す。リクエスト解析部32はURL_Xが脅威URL一覧7Aに含まれているか否かを判定する(ステップS13、S14)。
The
まず、URL_Xが脅威URL一覧7Aに登録されていない場合について説明する。これは、上述のステップS4において、脅威URL一覧7AにURL_Xを一度登録したものの、その後、ステップS5の脅威検出において脅威なしと判定し、ステップS6にて脅威URL一覧7AからURL_Xを削除した場合である。
First, the case where URL_X is not registered in the
この場合、リクエスト解析部32はURL_Xへのアクセスに必要なデータをリクエスト発行部33に渡す。リクエスト発行部33は組織内ネットワーク4、組織外ネットワーク5を介してURL_Xが示すリソースを取得する(ステップS15)。リクエスト発行部33はアクセス要求の要求元であるメール表示装置6に取得した外部情報を転送する。メール表示装置6は、転送された外部情報を表示する(ステップS16)。
In this case, the
次に、URL_Xが脅威URL一覧7Aに登録されている場合について説明する。これは、上述のステップS4において、脅威URL一覧7AにURL_Xが登録された後、ステップS5の脅威検出において脅威ありとの判定が出て、ステップS6にて脅威URL一覧7Aから削除されなかった場合である。或いは、ステップS5の脅威検出がまだ完了していない場合である。
Next, a case where URL_X is registered in the
この場合、リクエスト解析部32はメール表示装置6からのアクセス要求に対して、取得エラーを返す(ステップS17)。この場合、メール表示装置6は操作者に対して取得エラーを表示し、URL_Xが示す外部情報の表示を行わない。
In this case, the
本実施形態では、メールMの宛先人が操作者であるメール表示装置6におけるアクセス制限に関して説明した。組織内ネットワーク4内のウェブブラウザ端末はすべて、ウェブプロキシサーバ3を介して組織外ネットワーク5のウェブページにアクセスする。このため、メール表示装置6以外のウェブブラウザ端末等であってもステップS12以後の動作は同様である。
In the present embodiment, the access restriction in the
このように、本実施形態では、メールURL抽出部12を用いてメールからURLを抽出(ステップS2)した後、脅威検出装置8を用いて当該URLの判定を開始する(ステップS5)のと並行してまたは前後して、メール格納サーバ2に当該メールを格納する(ステップS7)。言い換えると、組織内ネットワーク4にURLを含むメールが届くと、そのURLが実際に脅威であるか否かに関わらず、ウェブプロキシサーバ3にてそのURLへのアクセス制限を開始する。その一方で、そのメールをメール格納サーバ2に転送することにより、そのメールの配信処理を進める。更に、脅威検出装置8によってそのURLの脅威検出を並行して開始する。脅威検出が完了し、脅威がないと確認した後、そのURLへのアクセス制限を解除する。
As described above, in the present embodiment, after the URL is extracted from the mail using the mail URL extracting unit 12 (step S2), the determination of the URL is started using the threat detection device 8 (step S5). Then, before or after, the mail is stored in the mail storage server 2 (step S7). In other words, when the mail including the URL arrives at the in-house network 4, the
このため、本実施の形態によれば、脅威検出の実行に起因するメール配信の遅延を回避しつつ、脅威の恐れがあるURLに対するアクセスを予防的に制限し、安全が確認されたURLについてはアクセスを許可するので、利便性と安全性の両立を図ることができる。 Therefore, according to the present embodiment, while avoiding the delay of mail delivery due to the execution of threat detection, access to URLs that may be threatened is proactively restricted, and URLs for which safety has been confirmed are Since access is permitted, both convenience and safety can be achieved.
(第2実施形態)
図6は本発明の第2の実施の形態に係るアクセス制限システム200である。アクセス制限システム200は、図2に示されたアクセス制限システム100にもう一つの脅威検出装置9を追加したものである。この関係で、図2と対応する図6の部分には、図2と同じ参照番号が付されている。即ち、アクセス制限システム200は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、及び2つの脅威検出装置8、9を備える。ここでは、脅威検出装置8、9を順に第1及び第2の脅威検出装置とも呼ぶ。
(Second embodiment)
FIG. 6 shows an
第2の脅威検出装置9は第1の脅威検出装置8と同様に、一乃至複数のCPUと、LANカード等のネットワークインタフェース装置を備えるコンピュータである。図6に示すように、脅威検出装置8及び9は、メール配送サーバ1及びリスト記憶装置7に対して互いに並列に接続されている。第1の脅威検出装置8と同様に、第2の脅威検出装置9は、入力されたURLが脅威であるか否かを判定し、判定結果に応じて脅威URL一覧7Aを更新する装置である。図6では記載を省略しているが、第2の脅威検出装置9も、第1の脅威検出装置8と同様、検出前脅威一覧更新処理部91、脅威検出部92、検出後脅威一覧更新処理部93を備える。各機能ブロックの動作は、脅威検出装置8の対応する機能ブロックと同様である。ただし、脅威検出部92の脅威検出方式は、脅威検出装置8の脅威検出部82のものとは異なる。異なる脅威検出方式であればどのようなものであってもよいが、検出の原理、精度、所要時間が異なるものであることが好ましい。
The second
また、アクセス制限システム200では、リスト記憶装置7に格納するテーブルの構造が異なる。本システムでは、リスト記憶装置7に図7のような脅威URL一覧7A2のような構造のテーブルを格納する。脅威URL一覧7A2は、項番、URL、登録日時に加えて、安全と判断された回数を格納する点で脅威URL一覧7A1と異なる。
Further, in the
また、図2のアクセス制限システム100では、脅威検出部82があるURLを脅威なしと判定したとき、検出後脅威一覧更新処理部82は、そのURLを脅威URL一覧7Aから削除した。
Further, in the
これに対して、本システムでは、第1及び第2の脅威検出装置8、9のそれぞれにおいて、あるURLが脅威ありかなしかを独自に判定する。第1及び第2の脅威検出装置8、9が脅威なしと判定した回数を脅威URL一覧に記録する。記録した回数が2回になったとき、そのURLには脅威がないと判定し、そのURLを脅威URL一覧から削除する。
On the other hand, in the present system, in each of the first and second
図8を参照してアクセス制限システム200の動作を説明する。ステップS21、S22はそれぞれ上述のステップS1、S2と同様である。
The operation of the
ステップS3では、メールURL通知部13は検出前脅威一覧更新処理部81にURLを通知した。これに対して、ステップS23では、メールURL通知部13は検出前脅威一覧更新処理部81及び検出前脅威一覧更新処理部91にURLを通知する。
In step S3, the mail
第1の脅威検出装置8は次のように動作する。検出前脅威一覧更新処理部81は、URLを脅威URL一覧7A2に登録する際、そのURLと同じ行の「安全と判断された回数」欄にゼロを格納する(ステップS24A)。次に、脅威検出部82があるURLについて脅威の有無を判定する(ステップS25A)。次に、検出後脅威一覧更新処理部83は、脅威検出部82の判定結果と、そのURLの「安全と判断された回数」に応じて脅威URL一覧7A2を更新する(ステップS26A)。判定結果が脅威ありの場合、検出後脅威一覧更新処理部83は何もしない。判定結果が脅威なしの場合、検出後脅威一覧更新処理部83は、そのURLの「安全と判断された回数」欄の値に1を加算する。そして、加算後の値が2の場合、そのURLの行を脅威URL一覧7A2から削除する。
The first
第2の脅威検出装置9の動作であるステップS24B、S25B、S26Bは、上述の第1の脅威検出装置8のステップS24A、S25A、S26Aの動作において、検出前脅威一覧更新処理部81、脅威検出部82、検出後脅威一覧更新処理部83を、それぞれ、検出前脅威一覧更新処理部91、脅威検出部92、検出後脅威一覧更新処理部93と読み替えたものである。ただし、上述のように、脅威検出部82と脅威検出部92は、脅威検出の方式が互いに異なるものとする。
Steps S24B, S25B, and S26B that are operations of the second
本実施形態によれば、先に説明した第1実施形態の効果に加えて、複数の脅威検出方式によって脅威がないと確認したURLに限ってアクセス制限を解除するので、安全性を更に高めることができる。 According to the present embodiment, in addition to the effects of the first embodiment described above, access restriction is released only for URLs that are confirmed to have no threat by a plurality of threat detection methods, so that safety is further enhanced. You can
(変形)
本発明は上述の第1及び第2実施形態に限定されるものではなく、様々な変形が可能である。
(Transformation)
The present invention is not limited to the above-described first and second embodiments, and various modifications are possible.
例えば、アクセス制限システム100、200は組織内ネットワーク4内の複数のノード装置を組み合わせて構成した。しかし、本発明はこれに限定されるものではない。説明の都合上、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7、脅威検出装置8、9を別々の装置として説明したが、これらの装置のいくつかを適宜組み合わせて単体の装置として構築可能であることは当業者であれば理解できるであろう。
For example, the
また、アクセス制限システム200は2つの脅威検出装置8、9を備えるものとして説明したが、3つ以上の脅威検出装置を備えることとしてもよい。3つ以上の脅威検出装置は、それぞれが異なる脅威検出方式に従って脅威検出を行うことが好ましいが、少なくとも2種類の脅威検出方式を含む、言い換えれば、脅威検出方式が互いに異なるものが含まれればよい。
Further, the
また、上述の実施形態では、アクセス制限の手法として、脅威ありと判定したURLへのアクセスを禁止した。アクセスを禁止する代わりに、或いは、アクセスの禁止と共に、ウェブプロキシサーバ3は、脅威ありと判定したURLへのアクセス要求に対して、メール表示装置6に警告メッセージを表示させることとしてもよい。
Further, in the above-described embodiment, as a method of restricting access, access to the URL determined to have a threat is prohibited. Instead of prohibiting access, or in addition to prohibiting access, the
また、上述の実施形態では、脅威検出部82、92において脅威を検出する際に用いる脅威検出方式の例として、振る舞い検知方式を挙げて説明したが、本発明はこれに限定されるものではない。検出精度は高いが、複雑な演算処理を含むために処理時間は長いような脅威検出方式は、どのような方式であっても脅威検出部82、92が行う脅威検出方式として好適である。また、脅威検出部82、92は、本発明の通信システムの外部のシステムや装置と連動して脅威検出を行うものであってもよい。この場合、外部のシステムや装置による処理時間が発生するが、本発明によれば、この種の処理時間によるメールの配送遅延は発生しない。
Further, in the above-described embodiment, the behavior detection method has been described as an example of the threat detection method used when the threats are detected by the
また、上述の実施形態では、脅威検出装置8、9を組織内ネットワーク4の中に設けているが、組織外ネットワーク5に設けることとしてもよい。特に、第2実施形態では、脅威検出装置8、9を両方とも組織内ネットワーク4の中に設けているが、一方を組織内ネットワーク4内に設け、他方を組織外ネットワーク5に設けることとしてもよい。例えば、第1の脅威検出装置8を自社の組織内ネットワーク4に設けると共に、他社がインターネット上で提供する脅威検出サービスを第2の脅威検出装置9として用いることが考えられる。
Further, although the
また、第2実施形態では、2つの脅威検出装置を設けたが、3つ以上の脅威検出装置を設けることとしてもよい。この場合、全ての脅威検出装置が脅威なしと判定するURLに限って、脅威URL一覧から削除することとしてもよい。或いは、複数の脅威検出装置の少なくともひとつがURLを脅威ありと判定している間は、そのURLを脅威URL一覧に記載しておき、ウェブプロキシサーバ3で当該URLへのアクセスを制限することとしてもよい。或いは、例えば3つの脅威検出装置のうちの2つがURLを脅威なしと判定したとき、そのURLを脅威URL一覧から削除して、ウェブプロキシサーバ3によるそのURLへのアクセス制限を解除することとしてもよい。
Further, in the second embodiment, two threat detection devices are provided, but three or more threat detection devices may be provided. In this case, only the URLs that all threat detection devices determine to have no threat may be deleted from the threat URL list. Alternatively, while at least one of the plurality of threat detection devices determines that the URL has a threat, the URL is listed in the threat URL list, and the
また、上述の実施形態では、メールに含まれるURLへのアクセスを制限するものとして説明したが、メールではなく所謂インスタントメッセージにも本発明を適用可能であることは当業者には明らかであろう。このため、本願では、メール、インスタントメッセージ等、データ通信ネットワークを介して指定した宛先に送信されるテキスト、画像、動画等を総称してメッセージと呼ぶものとする。 Further, although the above embodiment has been described as limiting the access to the URL included in the mail, it will be apparent to those skilled in the art that the present invention can be applied to so-called instant messages instead of mail. .. Therefore, in the present application, texts, images, moving images, etc., such as mails, instant messages, etc., which are transmitted to the designated destination via the data communication network are collectively referred to as a message.
また、上述の実施形態では、URLによって特定されたリソースに関して説明したが、本発明はこれに限定されるものではなく、例えば、IPアドレスのように、ネットワーク上のリソースを特定可能な識別子であれば、本発明を同様に適用することができる。 Further, although the resource specified by the URL has been described in the above embodiment, the present invention is not limited to this, and may be an identifier that can specify a resource on the network, such as an IP address. If so, the present invention can be similarly applied.
上記の実施形態の一部又は全部は以下の付記のようにも記載されうるが、以下には限られない。 The whole or part of the exemplary embodiments disclosed above can be described as, but not limited to, the following supplementary notes.
(付記1)
受信したメッセージに含まれる識別子によって特定されるネットワーク上のリソースを一時的にアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、
前記リソースに脅威があるか否かを判定する脅威検出手段と、
判定結果が脅威なしの場合、アクセス制限を解除するアクセス制限手段と、
を備える通信システム。
(Appendix 1)
Pre-detection threat list update processing means for temporarily adding a resource on the network identified by the identifier included in the received message to the target of access restriction,
Mail storage processing means for storing the message in a mail storage server so that the user can receive the message;
Threat detection means for determining whether the resource has a threat,
If the judgment result is no threat, access restriction means for canceling access restriction,
A communication system including.
(付記2)
前記識別子によって特定されるリソースへのアクセス制限を前記アクセス制限手段が行っている間に、前記識別子に基づくアクセス要求があった場合、前記アクセス制限手段は、前記アクセス要求の要求元に対し、警告メッセージを送信する、付記1に記載の通信システム。
(Appendix 2)
When there is an access request based on the identifier while the access restriction unit is restricting access to the resource specified by the identifier, the access restriction unit warns the request source of the access request. The communication system according to
(付記3)
前記判定結果が脅威ありの場合、前記アクセス制限手段はアクセス制限を継続する、付記1または付記2に記載の通信システム。
(Appendix 3)
The communication system according to
(付記4)
検出前脅威一覧更新処理手段が、受信したメッセージに含まれる識別子によって特定されるネットワーク上のリソースを一時的にアクセス制限の対象に追加し、
メール格納処理手段が、ユーザが受信可能に前記メッセージをメール格納サーバに格納し、
脅威検出手段が、前記リソースに脅威があるか否かを判定し、
アクセス制限手段が、判定結果が脅威なしの場合、アクセス制限を解除する、
通信方法。
(Appendix 4)
The pre-detection threat list update processing means temporarily adds the resource on the network identified by the identifier included in the received message to the target of access restriction,
The mail storage processing means stores the message in the mail storage server so that the user can receive it,
The threat detecting means determines whether or not the resource has a threat ,
Access restriction means is, if the result of the determination is no threat, you release the access restriction,
Communication method.
(付記5)
前記識別子によって特定されるリソースへのアクセス制限を前記アクセス制限手段が行っている間に、前記識別子に基づくアクセス要求があった場合、前記アクセス制限手段が、前記アクセス要求の要求元に対し、警告メッセージを送信する、付記4に記載の通信方法。
(Appendix 5)
If there is an access request based on the identifier while the access restriction unit is restricting access to the resource specified by the identifier, the access restriction unit warns the request source of the access request. The communication method according to attachment 4, which transmits a message.
(付記6)
前記判定結果が脅威ありの場合、前記アクセス制限手段が、アクセス制限を継続する、付記4または付記5に記載の通信方法。
(Appendix 6)
The communication method according to appendix 4 or appendix 5, wherein the access restriction unit continues access restriction when the determination result indicates threat.
(付記7)
受信したメッセージに含まれる識別子によって特定されるネットワーク上のリソースを一時的にアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、
前記リソースに脅威があるか否かを判定する脅威検出手段と、
判定結果が脅威なしの場合、アクセス制限を解除するアクセス制限手段と
してコンピュータを機能させるためのプログラム。
(Appendix 7)
Pre-detection threat list update processing means for temporarily adding a resource on the network identified by the identifier included in the received message to the target of access restriction,
Mail storage processing means for storing the message in a mail storage server so that the user can receive the message;
Threat detection means for determining whether the resource has a threat,
A program that causes a computer to function as an access restriction unit that releases access restrictions when the result of the determination is no threat.
(付記8)
前記識別子によって特定されるリソースへのアクセス制限を前記アクセス制限手段が行っている間に、前記識別子に基づくアクセス要求があった場合、前記アクセス制限手段は、前記アクセス要求の要求元に対し、警告メッセージを送信する、付記7に記載のプログラム。
(Appendix 8)
When there is an access request based on the identifier while the access restriction unit is restricting access to the resource specified by the identifier, the access restriction unit warns the request source of the access request. The program according to
(付記9)
前記判定結果が脅威ありの場合、前記アクセス制限手段はアクセス制限を継続する、付記7または付記8に記載のプログラム。
(Appendix 9)
The program according to
(付記10)
受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースを一時的にアクセス制限の対象に追加する検出前脅威一覧更新処理手段と、
ユーザが受信可能にメッセージをメール格納サーバに格納するメール格納処理手段と、
前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、
前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、または、当該識別子についての前記脅威検出判定が完了し、前記判定結果が脅威ありと判定済みの場合、当該アクセス要求の要求元に対し、警告メッセージを送信する出力手段と、
を備える通信システム。
(Appendix 10)
Pre-detection threat list update processing means for temporarily adding resources on the network, which are identified by the identifier included in the received message, to the access control target,
A mail storage processing means for storing a message in the mail storage server so that the user can receive it;
A threat detection unit for performing a threat detection determination, which determines whether the resource has a threat,
When there is a request for access to the resource specified by the identifier, if the threat detection determination for the identifier is in progress, or if the threat detection determination for the identifier is completed and the determination result is a threat If it is determined that there is, output means for transmitting a warning message to the request source of the access request,
A communication system including.
(付記11)
検出前脅威一覧更新処理手段が、受信したメッセージに含まれる識別子によって特定される、ネットワーク上のリソースを一時的にアクセス制限の対象に追加し、
メール格納処理手段が、ユーザが受信可能に前記メッセージをメール格納サーバに格納し、
脅威検出手段が、前記リソースに脅威があるか否かを判定する、脅威検出判定を実行し、
出力手段が、前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、または、当該識別子についての前記脅威検出判定が完了し、前記判定結果が脅威ありと判定済みの場合、当該アクセス要求の要求元に対し、警告メッセージを送信する、
通信方法。
(Appendix 11 )
The pre-detection threat list update processing means temporarily adds the resource on the network identified by the identifier included in the received message to the access restriction target,
The mail storage processing means stores the message in the mail storage server so that the user can receive it,
The threat detecting means determines whether or not the resource has a threat, performs a threat detection determination ,
When the output unit has a request for access to the resource specified by the identifier, the threat detection determination for the identifier is being executed, or the threat detection determination for the identifier is completed, and If the determination result is Yes threat determination already, to the request source of the access request, that sends a warning message,
Communication method.
1 メール配送サーバ
2 メール格納サーバ
3 ウェブプロキシサーバ
4 組織内ネットワーク
5 組織外ネットワーク
6 メール表示装置
7 リスト記憶装置
7A、7A1、7A2 脅威URL一覧
8、9 脅威検出装置
11 メール受信処理部
12 メールURL抽出部
13 メールURL通知部
14 メール格納処理部
31 リクエスト受信部
32 リクエスト解析部
33 リクエスト発行部
100、200 アクセス制限システム
1
Claims (9)
ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、
前記リソースに脅威があるか否かを判定する脅威検出手段と、
判定結果が脅威なしの場合、アクセス制限を解除するアクセス制限手段と、
を備える通信システム。 Pre-detection threat list update processing means for temporarily adding a resource on the network identified by the identifier included in the received message to the target of access restriction,
Mail storage processing means for storing the message in a mail storage server so that the user can receive the message;
Threat detection means for determining whether the resource has a threat,
If the judgment result is no threat, access restriction means for canceling access restriction,
A communication system including.
メール格納処理手段が、ユーザが受信可能に前記メッセージをメール格納サーバに格納し、
脅威検出手段が、前記リソースに脅威があるか否かを判定し、
アクセス制限手段が、判定結果が脅威なしの場合、アクセス制限を解除する、
通信方法。 The pre-detection threat list update processing means temporarily adds the resource on the network identified by the identifier included in the received message to the target of access restriction,
The mail storage processing means stores the message in the mail storage server so that the user can receive it,
The threat detecting means determines whether or not the resource has a threat ,
Access restriction means is, if the result of the determination is no threat, you release the access restriction,
Communication method.
ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、
前記リソースに脅威があるか否かを判定する脅威検出手段と、
判定結果が脅威なしの場合、アクセス制限を解除するアクセス制限手段と
してコンピュータを機能させるためのプログラム。 Pre-detection threat list update processing means for temporarily adding a resource on the network identified by the identifier included in the received message to the target of access restriction,
A mail storage processing means for storing the message in a mail storage server so that the user can receive it;
Threat detection means for determining whether or not the resource has a threat,
A program that causes a computer to function as an access restriction unit that releases access restrictions when the result of the determination is no threat.
ユーザが受信可能に前記メッセージをメール格納サーバに格納するメール格納処理手段と、
前記リソースに脅威があるか否かを判定する、脅威検出判定を実行するための脅威検出手段と、
前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、または、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該アクセス要求の要求元に対し、警告メッセージを送信する出力手段と、
を備える通信システム。 Pre-detection threat list update processing means for temporarily adding resources on the network, which are identified by the identifier included in the received message, to the access control target,
Mail storage processing means for storing the message in a mail storage server so that the user can receive the message;
A threat detection unit for performing a threat detection determination, which determines whether the resource has a threat,
When there is a request for access to the resource specified by the identifier, the threat detection determination for the identifier is being executed, or the threat detection determination for the identifier has been completed and it has been determined that there is a threat. In the case of, output means for transmitting a warning message to the request source of the access request,
A communication system including.
メール格納処理手段が、ユーザが受信可能に前記メッセージをメール格納サーバに格納し、
脅威検出手段が、前記リソースに脅威があるか否かを判定する、脅威検出判定を実行し、
出力手段が、前記識別子によって特定されるリソースへのアクセス要求があった時点で、当該識別子についての前記脅威検出判定が実行中の場合、または、当該識別子についての前記脅威検出判定が完了し、脅威ありと判定済みの場合、当該アクセス要求の要求元に対し、警告メッセージを送信する、
通信方法。 The pre-detection threat list update processing means temporarily adds the resource on the network identified by the identifier included in the received message to the access restriction target,
The mail storage processing means stores the message in the mail storage server so that the user can receive it,
The threat detecting means determines whether or not the resource has a threat, performs a threat detection determination ,
When the output unit makes a request for access to the resource specified by the identifier, the threat detection determination for the identifier is being executed, or the threat detection determination for the identifier is completed, and the threat If there a determination already, to the request source of the access request, that sends a warning message,
Communication method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018193313A JP6721874B2 (en) | 2018-10-12 | 2018-10-12 | Communication system, communication method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018193313A JP6721874B2 (en) | 2018-10-12 | 2018-10-12 | Communication system, communication method and program |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017056870A Division JP6418423B2 (en) | 2017-03-23 | 2017-03-23 | Communication system, communication method and program |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020105258A Division JP2020162158A (en) | 2020-06-18 | 2020-06-18 | Communication systems, communication methods and programs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019023921A JP2019023921A (en) | 2019-02-14 |
| JP6721874B2 true JP6721874B2 (en) | 2020-07-15 |
Family
ID=65369048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018193313A Active JP6721874B2 (en) | 2018-10-12 | 2018-10-12 | Communication system, communication method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6721874B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12028372B1 (en) * | 2020-12-30 | 2024-07-02 | Proofpoint, Inc. | Identifying threat similarity using forensics clustering |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5202370B2 (en) * | 2009-02-05 | 2013-06-05 | 三菱電機株式会社 | Gateway apparatus and access control method |
| JP5797597B2 (en) * | 2012-03-29 | 2015-10-21 | 西日本電信電話株式会社 | Relay device |
| JP2016148967A (en) * | 2015-02-12 | 2016-08-18 | 富士通株式会社 | Information processing apparatus, information processing method, and program |
-
2018
- 2018-10-12 JP JP2018193313A patent/JP6721874B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019023921A (en) | 2019-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11019094B2 (en) | Methods and systems for malicious message detection and processing | |
| US10356125B2 (en) | Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks | |
| US8839401B2 (en) | Malicious message detection and processing | |
| CN103957195B (en) | DNS systems and the defence method and defence installation of DNS attacks | |
| US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
| US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| US20140173726A1 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| US20170237753A1 (en) | Phishing attack detection and mitigation | |
| WO2017004947A1 (en) | Method and apparatus for preventing domain name hijacking | |
| CN105635064B (en) | CSRF attack detection method and device | |
| JP5549281B2 (en) | Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN106663176B (en) | Detection device and detection method | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| JP6721874B2 (en) | Communication system, communication method and program | |
| JP7522422B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
| JP6418422B2 (en) | Mail delivery device and Web proxy server | |
| JP6418423B2 (en) | Communication system, communication method and program | |
| JP2020162158A (en) | Communication systems, communication methods and programs | |
| JP2023118766A (en) | Communication system, communication method, and program | |
| CN108604273A (en) | Prevent Malware from downloading | |
| JP6900328B2 (en) | Attack type determination device, attack type determination method, and program | |
| JP5279601B2 (en) | Server apparatus, data processing system, form processing method, and program | |
| US20190007450A1 (en) | Detection of network sniffing activity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181012 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190918 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200520 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200602 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6721874 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |