JP6730692B2 - Information processing apparatus, information processing method, and information processing program - Google Patents
Information processing apparatus, information processing method, and information processing program Download PDFInfo
- Publication number
- JP6730692B2 JP6730692B2 JP2018215086A JP2018215086A JP6730692B2 JP 6730692 B2 JP6730692 B2 JP 6730692B2 JP 2018215086 A JP2018215086 A JP 2018215086A JP 2018215086 A JP2018215086 A JP 2018215086A JP 6730692 B2 JP6730692 B2 JP 6730692B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- link destination
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。 Embodiments of the present invention relate to an information processing device, an information processing method, and an information processing program.
電子メールの送信元を偽り、あたかも適切なメールかのように偽装して送信する、いわゆる「なりすまし」メールが問題となっている。特に、悪意の第三者が、特定の法人や団体に対して送信元をより巧妙に偽装した電子メールを送信して、メール内に記載されたリンク先情報などを介してユーザの端末をマルウェアなどに感染させて、個人情報などのデータを窃取する標的型のメール攻撃への対策が必要となっている。 The problem is so-called "spoofing" emails, in which the sender of the email is spoofed and the email is disguised as if it were an appropriate email and sent. In particular, a malicious third party sends an e-mail with a more sophisticated disguise of the sender to a specific corporation or organization, and the user's terminal is infected with malware via the link destination information etc. described in the mail. It is necessary to take measures against targeted e-mail attacks that steal data such as personal information by infecting e.g.
従来では、偽装された電子メールに対して対処するために、ユーザ宛の電子メールを予め記憶しておき、この電子メールに設定されたメールアドレスに基づいて当該電子メールが偽装されたメールであるか否かを判定するメールサーバを利用する技術が開示されている。 Conventionally, in order to deal with a forged electronic mail, an electronic mail addressed to a user is stored in advance, and the electronic mail is a forged mail based on the mail address set in this electronic mail. A technique of using a mail server for determining whether or not it is disclosed.
ところで、企業のメールマガジンの送信などで広く利用されているように、当該企業が他の会社に電子メールの送信を委託などすることで、企業のメールサーバとは異なるサーバから電子メールが送信される場合がある。この場合、実際の送信元のメールアドレスがその企業に対応するメールアドレスとは異なる場合があり、従来のように、送信元のメールアドレスを確認することによりメールが偽装されている否か判定する方法では、適切なメールであっても偽装と誤って判定してしまうおそれがある。 By the way, as is widely used for sending e-mail newsletters of companies, e-mails are sent from a server different from the mail server of the company by entrusting the company to send e-mails to other companies. There are cases where In this case, the email address of the actual sender may be different from the email address corresponding to the company, and as in the conventional case, it is determined whether the email is forged by checking the email address of the sender. According to the method, there is a possibility that even a proper email may be mistakenly determined to be a forgery.
本発明はこのような事情を考慮してなされたもので、偽装メールを精度良くフィルタリングできる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。 The present invention has been made in consideration of such circumstances, and an object of the present invention is to provide an information processing apparatus, an information processing method, and an information processing program capable of accurately filtering forged mail.
本発明の実施形態に係る情報処理装置は、受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出するメール情報抽出部と、前記送信元に対応するメールアドレスのドメインと前記リンク先情報のドメインを比較することにより前記電子メールが適切か否かを判定する判定部と、組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNとの組み合わせを予め保存する照合データ保存部と、を備えて、前記判定部は、受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLのFQDNとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする。 An information processing apparatus according to an exemplary embodiment of the present invention includes a mail information extraction unit that extracts mail information including sender and link information of a received electronic mail, a domain of a mail address corresponding to the sender, and the link destination. A collation data storage that stores in advance a combination of a determination unit that determines whether the e-mail is appropriate by comparing information domains, a domain of each organization's email address, and an FQDN of the organization corresponding to the domain. The determination unit includes a combination of the domain of the header From of the received email and the FQDN of the link destination URL that is the actual access destination, which is extracted from the link destination information. It is characterized in that the electronic mail is collated with a storage unit to judge whether the electronic mail is appropriate or not.
本発明の実施形態により、偽装メールを精度良くフィルタリングできる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。 According to the embodiments of the present invention, an information processing device, an information processing method, and an information processing program capable of filtering forged mail with high accuracy are provided.
以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、第1実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す構成図である。
Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.
FIG. 1 is a configuration diagram showing an example of the configuration of an electronic mail system to which the
情報処理装置10は、外部メールサーバを介して、外部端末(図示省略)から電子メールを受信して、受信した電子メールを内部端末20に送信するサーバである。情報処理装置10は、例えばインターネットからの接続が制限される内部ネットワーク11に設けられてもよく、内部ネットワーク11とインターネットと任意に接続可能な外部ネットワークとの境界(DMZ:DeMilitarized Zone)に設けられてもよい。
The
内部端末20は、情報処理装置10から電子メールを受信するクライアント端末である。なお、ここでは、内部端末20を3つで構成する例を示しているが、内部端末20の数量、配置は図1に限定されるものでは無い。
The
通信部12は、外部端末から送信された電子メールを情報処理装置10に転送する中継装置である。通信部12は、内部ネットワーク11と外部ネットワークとを接続する境界に設けられてもよいし、外部ネットワークに設けられてもよい。通信部12としては、MTA(Message Transfer Agent)が例示される。
The
外部名前解決装置13は、電子メールの送信元が適切か否かを識別するための判別情報を保有するサーバであり、例えばDNS(Domain Name System)サーバである。判別情報としては、送信元のドメインとIPアドレスの組み合わせが例示される。情報処理装置10は、電子メールを受信したときに、通信部12を介して外部名前解決装置13に問い合わせて、受信した電子メールの送信元が外部名前解決装置13の判別情報と一致するか否かを照合して、当該電子メールの送信元が適切か否かを判定してもよい。
The external
第1実施形態に係る情報処理装置10は、送受信部14と、メール情報抽出部15と、判定部16と、記憶部17と、を備えている。
The
なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
The function of each unit forming the
送受信部14は、通信部12から転送されて受信した電子メールの受信制御、及び、内部端末20から発信される電子メールの送信制御を実行する。
The transmission/
メール情報抽出部15は、受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出する。抽出される送信元の情報には、メールエンベロープに記載された送信元アドレス(エンベロープFrom)、メールヘッダ内に記載された送信元アドレス(ヘッダFrom)、ヘッダ内に記載された送信元IPアドレス等が含まれる。また、リンク先情報には、メール本文、電子メールに添付された添付ファイル、添付ファイルのマクロ等から取得されるリンク先に関する一切の情報が含まれている。なお、添付ファイル内のリンク先情報とは、例えばファイル内に記載されたURLやファイルを起動した際に外部のURLにアクセスを誘導するスクリプト(例えばマクロ)がファイルに組み込まれる場合において、誘導先となるURLなどを意味する。
The mail
判定部16は、受信した電子メールの送信元のドメインとリンク先情報のドメインを比較することにより電子メールが適切か否かを判定する。
The
具体的には、判定部16は、電子メールから抽出されたヘッダFromのドメインと、リンク先情報において、ユーザによる実際のアクセス先となるリンク先URLのドメインとを比較する。両者のドメインが一致する場合は、受信した電子メールに含まれるリンク先URLは無害であり、適切なメールと判断する。一方で、一致しない場合には、受信した電子メールに含まれるリンク先URLは有害であり、偽装メールと判断する。具体的な判断方法については後述する。なお、ここで、有害なURLとは、ユーザがアクセスさせることで、悪意のあるファイルのダウンロードやWebサイトへの接続に内部端末20を誘導するURLを意味する。
Specifically, the
また、判定部16は、ヘッダFromのドメインとアクセス先URLのドメインとを比較するとき、ヘッダFromのドメインが、アクセス先URLにおいてサブドメインを除いた親ドメイン(ルートドメイン)の部分で一致した場合に、受信した電子メールに含まれるリンク先URLは無害であり、適切なメールと判断してもよい。
In addition, when the
また、判定部16は、無料メールドメインやプロバイダ管轄のドメインなど、個人用に用いられるプライベート用のメールアドレスのドメイン(以下、プライベートドメインと省略する)を予め保存しておき、判定部16は、受信した電子メールのヘッダFromのドメインが、予め保存されたプライベートドメインと一致する場合には、受信した電子メールに含まれるリンク先URLは有害の可能性があるとして、偽装されたメールと判断してもよい。
Further, the
また、判定部16は、抽出された電子メールの送信元に対応するエンベロープFrom及びヘッダFromのドメインを比較して、両ドメインが一致しない場合において、ヘッダFromのドメインとリンク先URLのドメインとを比較判定する構成としてもよい。送信元に対応するエンベロープFrom及びヘッダFromのドメインが一致する場合には、電子メールに含まれるリンク先URLは無害である、適切なメールと判断して、ヘッダFromのドメインとリンク先URLのドメインとの比較判定は実行しないこととしてもよい。
Further, the
また、判定部16は、外部名前解決装置13に問い合わせて、受信した電子メールの送信元が外部名前解決装置13の判別情報と一致するか否かを照合して、当該電子メールの送信元が適切と判定された上で、ヘッダFromのドメインとリンク先URLのドメインとの比較判定を行う構成としてもよい。あるいは、記憶部17において、適切な送信元のドメインとIPアドレスの組み合わせを予め保存しておき、受信した電子メールのエンベロープFromのドメインと送信元IPアドレスを保存された組み合わせのデータと照合して、一致を確認した上で、ヘッダFromのドメインとリンク先URLのドメインとの比較判定を行う構成としてもよい。
Further, the
判定部16において、電子メールに含まれるリンク先URLは無害であり適切なメールと判断されたメールについては、送受信部14を介して内部端末20(電子メールで設定された送信先に対応する端末)に転送される。一方で、電子メールに含まれるリンク先URLは有害であり偽装メールと判断されたメールについては、内部端末20に送信されること無く隔離されて、例えば記憶部17に保存されてもよい。
If the
なお、電子メールに添付される添付ファイルに関連付けられたリンク先URLについても上述と同様の偽装判定の処理を実行する。なお、偽装判定処理において、電子メールに添付されている添付ファイルが、階層的に構成されたフォルダにより内に保存されている場合について、当該電子メールを、偽装された疑いのある偽装メールとして判定してもよい。 The same forgery determination processing as described above is executed for the link destination URL associated with the attachment file attached to the e-mail. In addition, in the camouflage judgment process, if the attachment file attached to the e-mail is stored in a hierarchically structured folder, the e-mail is judged as the camouflaged mail suspected of being camouflaged. You may.
続けて、電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとに基づいて、電子メールが適切か否かを判断する処理方法について、具体例を挙げて説明する。なお、図2〜5に示す電子メールは、電子メールに含まれるリンク先URLは無害である場合について検討する。 Next, a specific example of a processing method for determining whether or not the e-mail is appropriate based on the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user I will give you an explanation. Note that the electronic mails shown in FIGS. 2 to 5 will be examined when the link destination URL included in the electronic mail is harmless.
図2は、電子メールにリンクアンカーが設定されて、メール本文に表示される表示URLとユーザによる実際のアクセス先となるリンク先URLとが異なる場合に、本実施形態における偽装判定の方法を説明する図である。 FIG. 2 illustrates a method of determining impersonation according to the present embodiment when a link anchor is set in an email and the display URL displayed in the email body differs from the link destination URL that is the actual access destination by the user. FIG.
ここで、リンクアンカーとは、htmlメールにおいて、メール本文にリンク先となるURLが表示されており、ユーザがクリックすると、このURLに対応付けられたURL(実際のアクセス先となるリンク先URL)にユーザの端末を接続させる方法を意味する。 Here, the link anchor is the URL that is the link destination in the body of the email in the html email, and when the user clicks it, the URL associated with this URL (the link destination URL that is the actual access destination) Means connecting a user's terminal to.
図2の例では、電子メールのエンベロープFromのドメインとヘッダFromのドメインが一致せず、メール本文には「http://abc.com」とのURLが表示されており、このURLに対応付けられた実際のリンク先URLは「http://abc.com/xx」となっている。 In the example of FIG. 2, the domain of the envelope From of the e-mail does not match the domain of the header From, and the URL "http://abc.com" is displayed in the body of the e-mail, and the URL is associated with this URL. The URL actually linked to is "http://abc.com/xx".
電子メールに含まれるリンク先URLは有害であり適切なメールであっても、例えばメール本文の表示を簡潔にするために、メール本文に表示されたURLと実際のアクセス先となるURLとが異なる場合がある。加えて、企業が送るメールマガジンなどでは、他社の配信メールサービスを利用する場合があるため、電子メールの実際の送信元を示すエンベロープFromのドメインはその配信サービス元のドメインとなり、ヘッダFromはその企業のドメインとなる場合がある。 Even if the link destination URL included in the email is harmful and is appropriate, for example, in order to simplify the display of the email text, the URL displayed in the email text is different from the URL that is the actual access destination. There are cases. In addition, since the e-mail newsletter sent by a company may use the delivery e-mail service of another company, the domain of the envelope From which indicates the actual sender of the e-mail becomes the domain of the delivery service, and the header From of the domain. It may be a corporate domain.
通常の偽装判定方法では、メール本文に表示されたURLと実際のアクセス先となるURLとが異なる場合に、電子メールに含まれるリンク先URLが有害な偽装メールと判断しており、図2で示すように偽装の疑いの無い適切なメールであっても誤検知してしまうおそれがある。 In the normal disguise determination method, if the URL displayed in the email body differs from the URL that is the actual access destination, the link destination URL included in the email is determined to be a malicious disguise email. As shown in the figure, there is a risk of false detection even for an appropriate email that has no suspicion of forgery.
電子メールに含まれるリンク先URLが無害である適切な電子メールの場合、例えば電子メールの送信者が自社のURLへ誘導したい場合、電子メールのヘッダFromには自社のドメインを使用したメールアドレスが記載され、また、その電子メールの本文中のURLには自社のURLドメインが記載されるため、そのメールアドレスのドメインは、ユーザによって実際にアクセスされるリンク先URLのドメインと一致する。 If the linked URL included in the e-mail is a proper e-mail, for example, if the sender of the e-mail wants to direct the e-mail to the company's URL, the e-mail header From will contain the e-mail address using the company's domain. Also, since the URL domain of the company is described in the URL in the body of the e-mail, the domain of the e-mail address matches the domain of the link destination URL actually accessed by the user.
本実施形態ではこの性質を利用して、電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致する場合に、電子メールに含まれるリンク先URLは無害である、適切なメールと判断する。図2の例では、ヘッダFromのドメインとリンク先URLのドメインは、「abc.com」で一致している。一方で、ドメインが一致しない場合には、電子メールに含まれるリンク先URLが有害な偽装メールと判断される。このようにすることで、偽装メールの判定における誤検知を低減できる。 In the present embodiment, by utilizing this property, when the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user match, the link destination included in the email. The URL is considered harmless and is an appropriate email. In the example of FIG. 2, the domain of the header From and the domain of the link destination URL are the same in “abc.com”. On the other hand, if the domains do not match, the link destination URL included in the e-mail is determined to be harmful spoofed e-mail. By doing so, it is possible to reduce false detection in the determination of the forged email.
図3は、電子メールにリンクキーワードが設定されて、電子メール本文に表示されたキーワードを介してリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する図である。 FIG. 3 is a diagram for explaining the method of determining forgery according to the present embodiment when a link keyword is set in an electronic mail and the linked URL is accessed via the keyword displayed in the body of the electronic mail.
ここで、リンクキーワードとは、htmlメールにおいて、メール本文にキーワードが表示されて、そのキーワードをユーザがクリックすると、キーワードに対応付けられたURL(実際のアクセス先となるリンク先URL)に接続させる方法を意味する。 Here, the link keyword is displayed in the body of the email in the html email, and when the user clicks the keyword, the link keyword is connected to the URL associated with the keyword (link destination URL that is the actual access destination). Means the way.
図3の例では、電子メールのエンベロープFromのドメインとヘッダFromのドメインが一致せず、メール本文内にリンクキーワードが表示されている。 In the example of FIG. 3, the domain of the envelope From of the e-mail does not match the domain of the header From, and the link keyword is displayed in the body of the e-mail.
通常の偽装判定方法では、禁止ワードを予め設定しておき、メール本文内にリンクキーワードとして禁止ワードが設定されている場合に、電子メールに含まれるリンク先URLが有害である偽装メールと判断する。しかし、リンク先URLが無害な適切なメールであっても、リンクキーワードを介してリンク先URLにアクセスさせる場合があり、図3で示すように偽装の疑いの無い適切なメールであっても誤検知してしまうおそれがある。 In the normal disguise determination method, a prohibited word is set in advance, and when the prohibited word is set as a link keyword in the email body, it is determined that the link destination URL included in the email is a malicious forged email. .. However, even if the link destination URL is a harmless proper email, the link destination URL may be accessed via a link keyword, and as shown in FIG. It may be detected.
本実施形態では、リンクキーワードの有無に基づき偽装判定するだけでは無く、さらに電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致するか否かに基づいて電子メールに含まれるリンク先URLが有害であるか否かを判定する。このようにすることで、偽装メールの判定における誤検知を低減できる。 In the present embodiment, not only the camouflage determination is made based on the presence or absence of the link keyword, but also the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user match or not. It is determined whether the linked URL included in the electronic mail is harmful or not. By doing so, it is possible to reduce false detection in the determination of the forged email.
図4は、電子メールにイメージリンクが設定されて、メールに組み込まれたイメージを介してリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する図である。 FIG. 4 is a diagram for explaining the method of determining forgery according to the present embodiment when an image link is set in an electronic mail and the linked URL is accessed via an image incorporated in the mail.
ここで、イメージリンクとは、htmlメールにおいて、メール本文にイメージを表示させて、イメージが設定された部分にユーザがクリックした場合に、イメージに対応付けられた(実際のアクセス先となるリンク先URL)に接続させる方法である。 Here, the image link is associated with the image when the image is displayed in the mail body of the html mail and the user clicks on the portion where the image is set (the link destination that is the actual access destination). URL).
図4の例では、電子メールのエンベロープFromのドメインとヘッダFromのドメインが一致せず、メール本文内にイメージリンクが設定されている。 In the example of FIG. 4, the domain of the envelope From of the electronic mail and the domain of the header From do not match, and an image link is set in the mail body.
偽装メールのフィルタリングを掻い潜るため、文字を画像化して視覚的に偽装する傾向にあることから、通常の偽装チェックでは、イメージリンクが設定記載されている場合、電子メールに含まれるリンク先URLが有害である偽装メールと判断する。しかし、電子メールに含まれるリンク先URLが無害な適切なメールであっても、イメージリンクを介してリンク先URLにアクセスさせる場合があり、誤検知してしまうおそれがある。 Since it is difficult to filter camouflaged emails, there is a tendency to visually disguise characters by visualizing them, so in the usual camouflage check, if the image link is set and described, the link destination URL included in the email will be Judge as a fake email that is harmful. However, even if the link destination URL included in the e-mail is an appropriate harmless mail, the link destination URL may be accessed via the image link, and there is a risk of false detection.
本実施形態では、イメージリンクの有無に基づき偽装判定するだけでは無く、さらに電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致するか否かに基づいて電子メールに含まれるリンク先URLが有害であるか否かを判定する。これにより、偽装メールの判定における誤検知を低減できる。 In the present embodiment, not only the camouflage determination is made based on the presence or absence of the image link, but also the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user match. It is determined whether the linked URL included in the electronic mail is harmful or not. As a result, it is possible to reduce erroneous detection in determining a forged email.
図5は、禁止拡張子を含んで記載されたリンク先URLにアクセスさせる場合において、本実施形態における偽装判定の方法を説明する図である。なお、ここで、禁止拡張子とは、電子メールに記載されたリンクファイルの拡張子において、ユーザがアクセスした場合に、マルウェアをダウンロードさせたり、実行したりするなどの可能性がある、潜在的に「危険な」拡張子を意味する。禁止拡張子として、exe、zipが例示され、情報処理装置10の管理者により予め設定される。
FIG. 5 is a diagram for explaining a method of determining forgery according to the present embodiment when accessing a link destination URL that includes a prohibited extension. Here, the prohibited extension is the extension of the link file described in the e-mail, which may cause malware to be downloaded or executed when the user accesses it. Means "dangerous" extension. Examples of prohibited extensions are exe and zip, which are set in advance by the administrator of the
通常の偽装判定方法では、アクセスを禁止するための禁止拡張子を設定しておき、リンク先URLに禁止拡張子が設定されている場合には、電子メールに含まれるリンク先URLが有害である偽装されたメールと判断する。しかし、偽装されていない適切なメールであっても、禁止拡張子を含んで記載されたリンク先URLにアクセスさせる場合があり、誤検知してしまうおそれがある。 In a normal impersonation determination method, a prohibited extension for prohibiting access is set in advance, and when the prohibited extension is set in the link destination URL, the link destination URL included in the email is harmful. Judge as forged email. However, even a proper email that is not disguised may access the link destination URL that includes the prohibited extension, which may result in erroneous detection.
本実施形態では、禁止拡張子を含むリンク先URLの有無に基づき偽装判定するだけでは無く、さらに電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致するか否かに基づいて電子メールに含まれるリンク先URLが有害であるか否かを判定する。これにより、偽装メールの判定における誤検知を低減できる。 In the present embodiment, not only the camouflage determination is made based on the presence or absence of the link destination URL including the prohibited extension, but also the domain of the header From extracted from the email and the domain of the link destination URL that is the actual access destination by the user. It is determined whether or not the link destination URL included in the electronic mail is harmful based on whether or not and are matched. As a result, it is possible to reduce erroneous detection in determining a forged email.
図6は、本実施形態による情報処理方法の処理手順の一例を示すフローチャートである(適宜、図1参照)。 FIG. 6 is a flowchart showing an example of the processing procedure of the information processing method according to the present embodiment (see FIG. 1 as appropriate).
メール情報抽出部15は、受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出する(S10)。
The mail
判定部16は、実際のユーザによるアクセス先となるリンク先URLのドメインが、ヘッダFromのドメインとが一致する場合、電子メールに含まれるリンク先URLが無害である適切なメールであるとして、S13に進む(S11:YES)。一方で、リンク先URLのドメインが、ヘッダFromのドメインと一致しない場合、電子メールに含まれるリンク先URLが有害である偽装メールであるとして隔離する(S11:NO、S12)。なお、判定部16は、偽装メールであるとして隔離された場合、隔離した旨を内部端末20(電子メールで設定された送信先に対応する端末)に通知してもよい。
When the domain of the link destination URL that is the access destination of the actual user matches the domain of the header From, the
さらに、判定部16は、リンク先URLのドメインが、ヘッダFromのドメインと一致する場合、ヘッダFromのドメインがプライベートドメインと一致するかを判定する(S13)。ヘッダFromのドメインがプライベートドメインと一致する場合、送信元が偽装された偽装メールであるとして隔離する(S13:YES、S12)。
Furthermore, when the domain of the link destination URL matches the domain of the header From, the
一方で、ヘッダFromのドメインがプライベートドメインと一致しない場合には、送信元が偽装されていない適切なメールであると判定して、内部端末20に電子メールを転送する(S13:NO、S14)。 On the other hand, if the domain of the header From does not match the private domain, it is determined that the sender is a proper email that has not been forged, and the email is transferred to the internal terminal 20 (S13: NO, S14). ..
このように、第1実施形態では、受信した電子メールの送信元のドメインとリンク先情報のドメインを比較することにより電子メールに含まれるリンク先URLが有害であるか否かを判定することで、偽装メールの判定における誤検知を低減でき、偽装メールを精度良くフィルタリングできる。 As described above, in the first embodiment, it is possible to determine whether the link destination URL included in the email is harmful by comparing the domain of the transmission source of the received email with the domain of the link destination information. In addition, it is possible to reduce false detection in the determination of the forged mail, and to filter the forged mail with high accuracy.
また、電子メールの送信者が法人とは限らず、プライベートドメインを用いる場合には、ヘッダFromのドメインとリンク先URLのドメインとが一致していたとしても、安全なURLとは断定できない場合がある。このため、ヘッダFromのドメインがプライベートドメインと一致するときには、電子メールのリンク先URLは有害の可能性があるとして、偽装されたメールと判断する。これにより、電子メールが偽装か否かをより正確に判定できる。 If the sender of the e-mail is not necessarily a corporation and a private domain is used, even if the domain of the header From and the domain of the link destination URL match, it may not be concluded that the URL is safe. is there. For this reason, when the domain of the header From matches the private domain, the link destination URL of the e-mail is determined to be a forged mail because it may be harmful. This makes it possible to more accurately determine whether or not the email is forged.
(第2実施形態)
図7は、第2実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す図である。なお、図7において第1実施形態(図1)と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
(Second embodiment)
FIG. 7 is a diagram showing an example of the configuration of an electronic mail system to which the
第2実施形態に係る情報処理装置10では、組織(法人や団体など)それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDN(Fully Qulified Domain Name)との組み合わせを予め保存する照合データ保存部18をさらに備えている。なお、FQDNとは、DNSなどのホスト名、ドメイン名などすべてを省略せずに指定した記述形式を意味する。
In the
判定部16は、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URLのFQDNとの組み合わせを照合データ保存部18のデータと照合して、電子メールが偽装されているかを判定する。具体的には、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URLのFQDNとの組み合わせが、照合データ保存部18に保存されている組み合わせと一致する場合には、電子メールに含まれるリンク先URLが無害である適切なメールと判定する。
The
図8(A)は、組織のメールアドレスとして正当性の確認がとれているメールアドレスのドメインと、このドメインに対応する組織のFQDNとの対応関係の一例を示す表である。図8(A)に示すように、組織のそれぞれのFQDNに対応付けてメールアドレスのドメインが予め登録されており、例えばABC社について、メールアドレスのドメインとこのABC社のFQDNとが対応付けて保存されている。 FIG. 8A is a table showing an example of the correspondence relationship between the domain of an email address whose validity is confirmed as the email address of the organization and the FQDN of the organization corresponding to this domain. As shown in FIG. 8A, the domain of the mail address is registered in advance in association with each FQDN of the organization. For example, for ABC company, the domain of the mail address is associated with the FQDN of this ABC company. It has been saved.
企業のURLのFQDNは、当該企業に対応するメールアドレスのドメインと異なる親ドメインを利用することが増えている。組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNの組み合わせを照合データ保存部18に登録しておき、この登録データに基づいて偽装判定することで、適切なメールを簡易かつ正確に判定でき、偽装メールの判定における誤検知を低減できる。 The FQDN of a company URL is increasingly using a parent domain different from the domain of the mail address corresponding to the company. The combination of the domain of each organization's email address and the FQDN of the organization corresponding to the domain is registered in the collation data storage unit 18, and the forgery determination is performed based on this registration data, so that an appropriate email can be easily and accurately generated. Therefore, it is possible to reduce erroneous detection in the determination of forged email.
さらに、照合データ保存部18は、組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織の短縮URLとの組み合わせを予め保存してもよい。なお、短縮URLとは、長い文字列のURLを短くしたものであり、リダイレクトを利用して本来の長いURLに接続するために利用されものである。リダイレクトとは、コンテンツの保存されたサーバに直接接続せずに、別のサーバを経由することを意味する。 Furthermore, the collation data storage unit 18 may store in advance the combination of the domain of the mail address of each organization and the shortened URL of the organization corresponding to the domain. The shortened URL is a shortened URL of a long character string and is used to connect to the original long URL by using redirect. Redirection means to go through another server without directly connecting to the server where the content is stored.
この場合、判定部16は、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URLの組み合わせを、照合データ保存部18に保存されたデータと照合して、電子メールに含まれるリンク先URLが有害であるか否かを判定する。具体的には、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URL組み合わせが、照合データ保存部18のデータに保存されている組み合わせと一致する場合には、偽装の疑いのない適切なメールと判定する。
In this case, the
図8(B)は、組織のメールアドレスとして正当性の確認がとれているメールアドレスのドメインと、このドメインに対応する組織が有する短縮URLとの対応関係の一例を示す表である。図8(B)に示すように、組織のそれぞれの短縮URLに対応付けてメールアドレスのドメインが予め登録されており、例えばABC社について、メールアドレスのドメインとこのABC社の短縮URLが対応付けて保存されている。 FIG. 8B is a table showing an example of a correspondence relationship between a domain of an email address whose validity is confirmed as an email address of an organization and a shortened URL held by an organization corresponding to this domain. As shown in FIG. 8B, the domain of the mail address is registered in advance in association with each shortened URL of the organization. For example, for ABC company, the domain of the mail address and the shortened URL of this ABC company are associated with each other. Have been saved.
短縮URLは短縮URLかメール内に記載されているか否かにより偽装判定をする場合では、メール偽装判定において誤検知が増えるおそれがあるが、送信元ドメインとその短縮URLとの組み合わせを予め保存しておき、送信元ドメインと短縮URLとの組み合わせにより偽装を判定することで、適切なメールを簡易に判定でき、偽装メールの判定における誤検知を低減できる。 When the forgery determination is made based on whether the shortened URL is written in the shortened URL or in the email, false detection may increase in the email forgery determination, but the combination of the sender domain and the shortened URL is saved in advance. In addition, by determining the forgery based on the combination of the sender domain and the shortened URL, it is possible to easily determine an appropriate email and reduce false detection in the forgery email determination.
なお、第2実施形態における偽装判定と第1実施形態で示した偽装判定とを組み合わせることで、偽装メールの判定における誤検知を低減でき、偽装メールをより精度良くフィルタリングできる。 By combining the camouflage determination in the second embodiment and the camouflage determination shown in the first embodiment, false detection in the camouflaged mail determination can be reduced, and the camouflaged mail can be filtered more accurately.
以上述べた各実施形態の情報処理装置によれば、電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとに基づいて電子メールが偽装されているか否かを判定することで、偽装メールの判定における誤検知を低減でき、偽装メールを精度良くフィルタリングできる。 According to the information processing apparatus of each embodiment described above, is the e-mail disguised based on the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user? By determining whether or not it is possible to reduce erroneous detection in the determination of the forged email, and it is possible to accurately filter the forged email.
なお、情報処理装置10で実行されるプログラムは、ROM等から構成されるハードディスクに予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD−ROM、CD−R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
The program executed by the
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 Although some embodiments of the present invention have been described, these embodiments are presented as examples and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and their modifications are included in the scope and gist of the invention, and are also included in the invention described in the claims and the scope of equivalents thereof.
10…情報処理装置、11…内部ネットワーク、12…通信部、13…外部名前解決装置、14…送受信部、15…メール情報抽出部、16…判定部、17…記憶部、18…照合データ保存部、20…内部端末。 10... Information processing device, 11... Internal network, 12... Communication unit, 13... External name resolution device, 14... Send/receive unit, 15... Mail information extraction unit, 16... Judgment unit, 17... Storage unit, 18... Collation data storage Department, 20... Internal terminal.
Claims (6)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018215086A JP6730692B2 (en) | 2018-11-15 | 2018-11-15 | Information processing apparatus, information processing method, and information processing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018215086A JP6730692B2 (en) | 2018-11-15 | 2018-11-15 | Information processing apparatus, information processing method, and information processing program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020086547A JP2020086547A (en) | 2020-06-04 |
| JP6730692B2 true JP6730692B2 (en) | 2020-07-29 |
Family
ID=70908061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018215086A Active JP6730692B2 (en) | 2018-11-15 | 2018-11-15 | Information processing apparatus, information processing method, and information processing program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6730692B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7121779B2 (en) * | 2020-08-27 | 2022-08-18 | デジタルアーツ株式会社 | Information processing device, information processing method, and information processing program |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3871941B2 (en) * | 2002-02-22 | 2007-01-24 | 日本電気通信システム株式会社 | Spam mail automatic disposal method, mail server and program in mail server of mobile phone |
| JP2006285844A (en) * | 2005-04-04 | 2006-10-19 | Katsuyoshi Nagashima | Phishing fraud prevention system |
| JP4652153B2 (en) * | 2005-07-04 | 2011-03-16 | 日本電気株式会社 | Email filtering system, email filter, and program |
| JP4682855B2 (en) * | 2006-01-30 | 2011-05-11 | 日本電気株式会社 | System, method, program, and mail receiver for preventing unauthorized site guidance |
| US20160142429A1 (en) * | 2014-11-19 | 2016-05-19 | Royce Renteria | Preventing access to malicious content |
-
2018
- 2018-11-15 JP JP2018215086A patent/JP6730692B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020086547A (en) | 2020-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11689559B2 (en) | Anti-phishing | |
| US12316591B2 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
| US8621604B2 (en) | Evaluating a questionable network communication | |
| US10084791B2 (en) | Evaluating a questionable network communication | |
| US9674145B2 (en) | Evaluating a questionable network communication | |
| Chen et al. | Composition kills: A case study of email sender authentication | |
| JP4950606B2 (en) | COMMUNICATION SYSTEM, SECURITY MANAGEMENT DEVICE, AND ACCESS CONTROL METHOD | |
| US7320021B2 (en) | Authenticating electronic communications | |
| US9130989B2 (en) | Securing email communications | |
| JP2008506210A (en) | Method and apparatus for detecting suspicious, deceptive and dangerous links in electronic messages | |
| US20070083670A1 (en) | Method and system for protecting an internet user from fraudulent ip addresses on a dns server | |
| US20090328208A1 (en) | Method and apparatus for preventing phishing attacks | |
| US20080028444A1 (en) | Secure web site authentication using web site characteristics, secure user credentials and private browser | |
| JP2016532381A (en) | Evaluation of suspicious network communication | |
| CN113630397A (en) | E-mail security control method, client and system | |
| JP6730692B2 (en) | Information processing apparatus, information processing method, and information processing program | |
| JP7591071B2 (en) | Information processing device, information processing method, and information processing program | |
| JP6669954B2 (en) | Information processing apparatus, information processing method, and information processing program | |
| WO2017162997A1 (en) | A method of protecting a user from messages with links to malicious websites containing homograph attacks | |
| JP4564916B2 (en) | Phishing fraud countermeasure method, terminal, server and program | |
| Fung et al. | SSLock: sustaining the trust on entities brought by SSL | |
| KR100925402B1 (en) | Phishing Domain Detection System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190130 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191021 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191025 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191212 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200520 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200616 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6730692 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |