Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6730692B2 - Information processing apparatus, information processing method, and information processing program - Google Patents
[go: Go Back, main page]

JP6730692B2 - Information processing apparatus, information processing method, and information processing program - Google Patents

Information processing apparatus, information processing method, and information processing program Download PDF

Info

Publication number
JP6730692B2
JP6730692B2 JP2018215086A JP2018215086A JP6730692B2 JP 6730692 B2 JP6730692 B2 JP 6730692B2 JP 2018215086 A JP2018215086 A JP 2018215086A JP 2018215086 A JP2018215086 A JP 2018215086A JP 6730692 B2 JP6730692 B2 JP 6730692B2
Authority
JP
Japan
Prior art keywords
domain
mail
email
link destination
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018215086A
Other languages
Japanese (ja)
Other versions
JP2020086547A (en
Inventor
登志夫 道具
登志夫 道具
松本 卓也
卓也 松本
光成 佐藤
光成 佐藤
Original Assignee
デジタルア−ツ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジタルア−ツ株式会社 filed Critical デジタルア−ツ株式会社
Priority to JP2018215086A priority Critical patent/JP6730692B2/en
Publication of JP2020086547A publication Critical patent/JP2020086547A/en
Application granted granted Critical
Publication of JP6730692B2 publication Critical patent/JP6730692B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。 Embodiments of the present invention relate to an information processing device, an information processing method, and an information processing program.

電子メールの送信元を偽り、あたかも適切なメールかのように偽装して送信する、いわゆる「なりすまし」メールが問題となっている。特に、悪意の第三者が、特定の法人や団体に対して送信元をより巧妙に偽装した電子メールを送信して、メール内に記載されたリンク先情報などを介してユーザの端末をマルウェアなどに感染させて、個人情報などのデータを窃取する標的型のメール攻撃への対策が必要となっている。 The problem is so-called "spoofing" emails, in which the sender of the email is spoofed and the email is disguised as if it were an appropriate email and sent. In particular, a malicious third party sends an e-mail with a more sophisticated disguise of the sender to a specific corporation or organization, and the user's terminal is infected with malware via the link destination information etc. described in the mail. It is necessary to take measures against targeted e-mail attacks that steal data such as personal information by infecting e.g.

従来では、偽装された電子メールに対して対処するために、ユーザ宛の電子メールを予め記憶しておき、この電子メールに設定されたメールアドレスに基づいて当該電子メールが偽装されたメールであるか否かを判定するメールサーバを利用する技術が開示されている。 Conventionally, in order to deal with a forged electronic mail, an electronic mail addressed to a user is stored in advance, and the electronic mail is a forged mail based on the mail address set in this electronic mail. A technique of using a mail server for determining whether or not it is disclosed.

特開2012−78922号公報JP, 2012-78922, A

ところで、企業のメールマガジンの送信などで広く利用されているように、当該企業が他の会社に電子メールの送信を委託などすることで、企業のメールサーバとは異なるサーバから電子メールが送信される場合がある。この場合、実際の送信元のメールアドレスがその企業に対応するメールアドレスとは異なる場合があり、従来のように、送信元のメールアドレスを確認することによりメールが偽装されている否か判定する方法では、適切なメールであっても偽装と誤って判定してしまうおそれがある。 By the way, as is widely used for sending e-mail newsletters of companies, e-mails are sent from a server different from the mail server of the company by entrusting the company to send e-mails to other companies. There are cases where In this case, the email address of the actual sender may be different from the email address corresponding to the company, and as in the conventional case, it is determined whether the email is forged by checking the email address of the sender. According to the method, there is a possibility that even a proper email may be mistakenly determined to be a forgery.

本発明はこのような事情を考慮してなされたもので、偽装メールを精度良くフィルタリングできる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。 The present invention has been made in consideration of such circumstances, and an object of the present invention is to provide an information processing apparatus, an information processing method, and an information processing program capable of accurately filtering forged mail.

本発明の実施形態に係る情報処理装置は、受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出するメール情報抽出部と、前記送信元に対応するメールアドレスのドメインと前記リンク先情報のドメインを比較することにより前記電子メールが適切か否かを判定する判定部と、組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNとの組み合わせを予め保存する照合データ保存部と、を備えて、前記判定部は、受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLのFQDNとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする。 An information processing apparatus according to an exemplary embodiment of the present invention includes a mail information extraction unit that extracts mail information including sender and link information of a received electronic mail, a domain of a mail address corresponding to the sender, and the link destination. A collation data storage that stores in advance a combination of a determination unit that determines whether the e-mail is appropriate by comparing information domains, a domain of each organization's email address, and an FQDN of the organization corresponding to the domain. The determination unit includes a combination of the domain of the header From of the received email and the FQDN of the link destination URL that is the actual access destination, which is extracted from the link destination information. It is characterized in that the electronic mail is collated with a storage unit to judge whether the electronic mail is appropriate or not.

本発明の実施形態により、偽装メールを精度良くフィルタリングできる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。 According to the embodiments of the present invention, an information processing device, an information processing method, and an information processing program capable of filtering forged mail with high accuracy are provided.

第1実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。The block diagram which shows an example of a structure of the electronic mail system to which the information processing apparatus which concerns on 1st Embodiment is applied. 電子メール本文に表示される表示URLと実際のアクセス先となるリンク先URLとが異なる場合において、本実施形態の偽装判定の方法を説明する説明図。Explanatory drawing explaining the method of the camouflage determination of this embodiment, when the display URL displayed in the email body differs from the link destination URL which is the actual access destination. 電子メール本文に表示されたキーワードを介して実際のアクセス先となるリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する説明図。Explanatory drawing explaining the method of the forgery determination of this embodiment, when making it access to the link destination URL used as an actual access destination via the keyword displayed on the email body. 電子メールに組み込まれたイメージを介して実際のアクセス先となるリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する説明図。Explanatory drawing explaining the method of the camouflage determination of this embodiment, when making it access to the link destination URL used as an actual access destination via the image incorporated in the email. 禁止拡張子を含んで記載されたリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する説明図。Explanatory drawing explaining the method of the camouflage determination of this embodiment, when making it access to the link destination URL described including the prohibition extension. 本実施形態による情報処理方法の処理手順の一例を示すフローチャート。6 is a flowchart showing an example of a processing procedure of the information processing method according to the present embodiment. 第2実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。The block diagram which shows an example of a structure of the electronic mail system to which the information processing apparatus which concerns on 2nd Embodiment is applied. (A)送信元のメールアドレスのドメインと、組織のFQDNとの組み合わせの対応関係の一例を示す表、(B)送信元のメールアドレスのドメインと、組織の短縮URLとの組み合わせの対応関係の一例を示す表。(A) A table showing an example of the correspondence relationship between the sender's email address domain and the organization's FQDN, and (B) The correspondence relationship between the sender's email address domain and the organization's shortened URL. A table showing an example.

以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、第1実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す構成図である。
Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.
FIG. 1 is a configuration diagram showing an example of the configuration of an electronic mail system to which the information processing apparatus 10 according to the first embodiment is applied.

情報処理装置10は、外部メールサーバを介して、外部端末(図示省略)から電子メールを受信して、受信した電子メールを内部端末20に送信するサーバである。情報処理装置10は、例えばインターネットからの接続が制限される内部ネットワーク11に設けられてもよく、内部ネットワーク11とインターネットと任意に接続可能な外部ネットワークとの境界(DMZ:DeMilitarized Zone)に設けられてもよい。 The information processing device 10 is a server that receives an electronic mail from an external terminal (not shown) via the external mail server and sends the received electronic mail to the internal terminal 20. The information processing device 10 may be provided in, for example, an internal network 11 that is restricted from being connected to the Internet, and is provided at a boundary (DMZ: DeMilitarized Zone) between the internal network 11 and an external network that can be arbitrarily connected to the Internet. May be.

内部端末20は、情報処理装置10から電子メールを受信するクライアント端末である。なお、ここでは、内部端末20を3つで構成する例を示しているが、内部端末20の数量、配置は図1に限定されるものでは無い。 The internal terminal 20 is a client terminal that receives an electronic mail from the information processing device 10. Although an example in which the number of internal terminals 20 is three is shown here, the number and arrangement of internal terminals 20 are not limited to those shown in FIG.

通信部12は、外部端末から送信された電子メールを情報処理装置10に転送する中継装置である。通信部12は、内部ネットワーク11と外部ネットワークとを接続する境界に設けられてもよいし、外部ネットワークに設けられてもよい。通信部12としては、MTA(Message Transfer Agent)が例示される。 The communication unit 12 is a relay device that transfers the electronic mail transmitted from the external terminal to the information processing device 10. The communication unit 12 may be provided at the boundary connecting the internal network 11 and the external network, or may be provided in the external network. An example of the communication unit 12 is an MTA (Message Transfer Agent).

外部名前解決装置13は、電子メールの送信元が適切か否かを識別するための判別情報を保有するサーバであり、例えばDNS(Domain Name System)サーバである。判別情報としては、送信元のドメインとIPアドレスの組み合わせが例示される。情報処理装置10は、電子メールを受信したときに、通信部12を介して外部名前解決装置13に問い合わせて、受信した電子メールの送信元が外部名前解決装置13の判別情報と一致するか否かを照合して、当該電子メールの送信元が適切か否かを判定してもよい。 The external name resolution device 13 is a server that holds determination information for identifying whether or not the sender of an electronic mail is appropriate, and is, for example, a DNS (Domain Name System) server. An example of the determination information is a combination of the source domain and the IP address. When receiving the e-mail, the information processing device 10 inquires of the external name resolution device 13 via the communication unit 12 whether the sender of the received e-mail matches the discrimination information of the external name resolution device 13. Whether or not the sender of the electronic mail is appropriate may be determined by collating the above.

第1実施形態に係る情報処理装置10は、送受信部14と、メール情報抽出部15と、判定部16と、記憶部17と、を備えている。 The information processing device 10 according to the first embodiment includes a transmission/reception unit 14, a mail information extraction unit 15, a determination unit 16, and a storage unit 17.

なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。 The function of each unit forming the information processing apparatus 10 may be realized by executing a predetermined program code using a processor, and is not limited to such software processing, and for example, an ASIC or the like is used. The hardware processing may be realized, or the software processing and the hardware processing may be combined.

送受信部14は、通信部12から転送されて受信した電子メールの受信制御、及び、内部端末20から発信される電子メールの送信制御を実行する。 The transmission/reception unit 14 executes reception control of the electronic mail transferred and received from the communication unit 12 and transmission control of the electronic mail transmitted from the internal terminal 20.

メール情報抽出部15は、受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出する。抽出される送信元の情報には、メールエンベロープに記載された送信元アドレス(エンベロープFrom)、メールヘッダ内に記載された送信元アドレス(ヘッダFrom)、ヘッダ内に記載された送信元IPアドレス等が含まれる。また、リンク先情報には、メール本文、電子メールに添付された添付ファイル、添付ファイルのマクロ等から取得されるリンク先に関する一切の情報が含まれている。なお、添付ファイル内のリンク先情報とは、例えばファイル内に記載されたURLやファイルを起動した際に外部のURLにアクセスを誘導するスクリプト(例えばマクロ)がファイルに組み込まれる場合において、誘導先となるURLなどを意味する。 The mail information extraction unit 15 extracts mail information including the sender and link destination information of the received electronic mail. The extracted sender information includes the sender address (envelope From) described in the mail envelope, the sender address (header From) described in the mail header, and the sender IP address described in the header. Is included. In addition, the link destination information includes all information about the link destination acquired from the mail body, the attached file attached to the electronic mail, the attached file macro, and the like. Note that the link destination information in the attached file is, for example, the URL described in the file, or a script (for example, a macro) that guides access to an external URL when the file is activated, when the file is linked. Means a URL or the like.

判定部16は、受信した電子メールの送信元のドメインとリンク先情報のドメインを比較することにより電子メールが適切か否かを判定する。 The determination unit 16 determines whether the email is appropriate by comparing the domain of the transmission source of the received email with the domain of the link destination information.

具体的には、判定部16は、電子メールから抽出されたヘッダFromのドメインと、リンク先情報において、ユーザによる実際のアクセス先となるリンク先URLのドメインとを比較する。両者のドメインが一致する場合は、受信した電子メールに含まれるリンク先URLは無害であり、適切なメールと判断する。一方で、一致しない場合には、受信した電子メールに含まれるリンク先URLは有害であり、偽装メールと判断する。具体的な判断方法については後述する。なお、ここで、有害なURLとは、ユーザがアクセスさせることで、悪意のあるファイルのダウンロードやWebサイトへの接続に内部端末20を誘導するURLを意味する。 Specifically, the determination unit 16 compares the domain of the header From extracted from the electronic mail with the domain of the link destination URL that is the actual access destination of the user in the link destination information. If both domains match, the link destination URL included in the received electronic mail is harmless and is determined to be an appropriate mail. On the other hand, if they do not match, the link destination URL included in the received e-mail is harmful and is determined as a forged mail. A specific determination method will be described later. Here, the harmful URL means a URL that, when accessed by the user, guides the internal terminal 20 to download a malicious file or connect to a website.

また、判定部16は、ヘッダFromのドメインとアクセス先URLのドメインとを比較するとき、ヘッダFromのドメインが、アクセス先URLにおいてサブドメインを除いた親ドメイン(ルートドメイン)の部分で一致した場合に、受信した電子メールに含まれるリンク先URLは無害であり、適切なメールと判断してもよい。 In addition, when the determination unit 16 compares the domain of the header From and the domain of the access destination URL, when the domain of the header From matches the parent domain (root domain) excluding the sub domain in the access destination URL. In addition, the link destination URL included in the received electronic mail is harmless and may be determined to be an appropriate mail.

また、判定部16は、無料メールドメインやプロバイダ管轄のドメインなど、個人用に用いられるプライベート用のメールアドレスのドメイン(以下、プライベートドメインと省略する)を予め保存しておき、判定部16は、受信した電子メールのヘッダFromのドメインが、予め保存されたプライベートドメインと一致する場合には、受信した電子メールに含まれるリンク先URLは有害の可能性があるとして、偽装されたメールと判断してもよい。 Further, the determination unit 16 stores in advance a domain of a private email address (hereinafter, abbreviated as private domain) such as a free email domain or a domain under the jurisdiction of a provider, and the determination unit 16 If the domain of the header From of the received e-mail matches the pre-stored private domain, the linked URL included in the received e-mail is considered to be harmful and it is determined as a forged e-mail. May be.

また、判定部16は、抽出された電子メールの送信元に対応するエンベロープFrom及びヘッダFromのドメインを比較して、両ドメインが一致しない場合において、ヘッダFromのドメインとリンク先URLのドメインとを比較判定する構成としてもよい。送信元に対応するエンベロープFrom及びヘッダFromのドメインが一致する場合には、電子メールに含まれるリンク先URLは無害である、適切なメールと判断して、ヘッダFromのドメインとリンク先URLのドメインとの比較判定は実行しないこととしてもよい。 Further, the determination unit 16 compares the domains of the envelope From and the header From corresponding to the sender of the extracted email, and when both domains do not match, determines the domain of the header From and the domain of the link destination URL. It may be configured to make a comparison and determination. If the domain of the envelope From and the domain of the header From corresponding to the sender match, the link destination URL included in the email is harmless, it is determined as an appropriate email, and the domain of the header From and the domain of the link destination URL are determined. The comparison judgment with may not be executed.

また、判定部16は、外部名前解決装置13に問い合わせて、受信した電子メールの送信元が外部名前解決装置13の判別情報と一致するか否かを照合して、当該電子メールの送信元が適切と判定された上で、ヘッダFromのドメインとリンク先URLのドメインとの比較判定を行う構成としてもよい。あるいは、記憶部17において、適切な送信元のドメインとIPアドレスの組み合わせを予め保存しておき、受信した電子メールのエンベロープFromのドメインと送信元IPアドレスを保存された組み合わせのデータと照合して、一致を確認した上で、ヘッダFromのドメインとリンク先URLのドメインとの比較判定を行う構成としてもよい。 Further, the determination unit 16 inquires of the external name resolution device 13 to check whether the transmission source of the received email matches the determination information of the external name resolution device 13, and the transmission source of the email is The configuration may be such that, after being determined to be appropriate, the domain of the header From and the domain of the link destination URL are compared and determined. Alternatively, in the storage unit 17, an appropriate combination of the source domain and the IP address is stored in advance, and the domain and the source IP address of the envelope From of the received e-mail are compared with the stored combination data. , And the domain of the header From and the domain of the link destination URL may be compared and determined.

判定部16において、電子メールに含まれるリンク先URLは無害であり適切なメールと判断されたメールについては、送受信部14を介して内部端末20(電子メールで設定された送信先に対応する端末)に転送される。一方で、電子メールに含まれるリンク先URLは有害であり偽装メールと判断されたメールについては、内部端末20に送信されること無く隔離されて、例えば記憶部17に保存されてもよい。 If the determination unit 16 determines that the link destination URL included in the electronic mail is harmless and is appropriate, the internal terminal 20 (the terminal corresponding to the destination set in the electronic mail) is transmitted via the transmission/reception unit 14. ) Is transferred to. On the other hand, the link URL included in the electronic mail may be harmful and may be quarantined without being sent to the internal terminal 20, and may be stored in the storage unit 17, for example, if the email is determined to be a forged email.

なお、電子メールに添付される添付ファイルに関連付けられたリンク先URLについても上述と同様の偽装判定の処理を実行する。なお、偽装判定処理において、電子メールに添付されている添付ファイルが、階層的に構成されたフォルダにより内に保存されている場合について、当該電子メールを、偽装された疑いのある偽装メールとして判定してもよい。 The same forgery determination processing as described above is executed for the link destination URL associated with the attachment file attached to the e-mail. In addition, in the camouflage judgment process, if the attachment file attached to the e-mail is stored in a hierarchically structured folder, the e-mail is judged as the camouflaged mail suspected of being camouflaged. You may.

続けて、電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとに基づいて、電子メールが適切か否かを判断する処理方法について、具体例を挙げて説明する。なお、図2〜5に示す電子メールは、電子メールに含まれるリンク先URLは無害である場合について検討する。 Next, a specific example of a processing method for determining whether or not the e-mail is appropriate based on the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user I will give you an explanation. Note that the electronic mails shown in FIGS. 2 to 5 will be examined when the link destination URL included in the electronic mail is harmless.

図2は、電子メールにリンクアンカーが設定されて、メール本文に表示される表示URLとユーザによる実際のアクセス先となるリンク先URLとが異なる場合に、本実施形態における偽装判定の方法を説明する図である。 FIG. 2 illustrates a method of determining impersonation according to the present embodiment when a link anchor is set in an email and the display URL displayed in the email body differs from the link destination URL that is the actual access destination by the user. FIG.

ここで、リンクアンカーとは、htmlメールにおいて、メール本文にリンク先となるURLが表示されており、ユーザがクリックすると、このURLに対応付けられたURL(実際のアクセス先となるリンク先URL)にユーザの端末を接続させる方法を意味する。 Here, the link anchor is the URL that is the link destination in the body of the email in the html email, and when the user clicks it, the URL associated with this URL (the link destination URL that is the actual access destination) Means connecting a user's terminal to.

図2の例では、電子メールのエンベロープFromのドメインとヘッダFromのドメインが一致せず、メール本文には「http://abc.com」とのURLが表示されており、このURLに対応付けられた実際のリンク先URLは「http://abc.com/xx」となっている。 In the example of FIG. 2, the domain of the envelope From of the e-mail does not match the domain of the header From, and the URL "http://abc.com" is displayed in the body of the e-mail, and the URL is associated with this URL. The URL actually linked to is "http://abc.com/xx".

電子メールに含まれるリンク先URLは有害であり適切なメールであっても、例えばメール本文の表示を簡潔にするために、メール本文に表示されたURLと実際のアクセス先となるURLとが異なる場合がある。加えて、企業が送るメールマガジンなどでは、他社の配信メールサービスを利用する場合があるため、電子メールの実際の送信元を示すエンベロープFromのドメインはその配信サービス元のドメインとなり、ヘッダFromはその企業のドメインとなる場合がある。 Even if the link destination URL included in the email is harmful and is appropriate, for example, in order to simplify the display of the email text, the URL displayed in the email text is different from the URL that is the actual access destination. There are cases. In addition, since the e-mail newsletter sent by a company may use the delivery e-mail service of another company, the domain of the envelope From which indicates the actual sender of the e-mail becomes the domain of the delivery service, and the header From of the domain. It may be a corporate domain.

通常の偽装判定方法では、メール本文に表示されたURLと実際のアクセス先となるURLとが異なる場合に、電子メールに含まれるリンク先URLが有害な偽装メールと判断しており、図2で示すように偽装の疑いの無い適切なメールであっても誤検知してしまうおそれがある。 In the normal disguise determination method, if the URL displayed in the email body differs from the URL that is the actual access destination, the link destination URL included in the email is determined to be a malicious disguise email. As shown in the figure, there is a risk of false detection even for an appropriate email that has no suspicion of forgery.

電子メールに含まれるリンク先URLが無害である適切な電子メールの場合、例えば電子メールの送信者が自社のURLへ誘導したい場合、電子メールのヘッダFromには自社のドメインを使用したメールアドレスが記載され、また、その電子メールの本文中のURLには自社のURLドメインが記載されるため、そのメールアドレスのドメインは、ユーザによって実際にアクセスされるリンク先URLのドメインと一致する。 If the linked URL included in the e-mail is a proper e-mail, for example, if the sender of the e-mail wants to direct the e-mail to the company's URL, the e-mail header From will contain the e-mail address using the company's domain. Also, since the URL domain of the company is described in the URL in the body of the e-mail, the domain of the e-mail address matches the domain of the link destination URL actually accessed by the user.

本実施形態ではこの性質を利用して、電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致する場合に、電子メールに含まれるリンク先URLは無害である、適切なメールと判断する。図2の例では、ヘッダFromのドメインとリンク先URLのドメインは、「abc.com」で一致している。一方で、ドメインが一致しない場合には、電子メールに含まれるリンク先URLが有害な偽装メールと判断される。このようにすることで、偽装メールの判定における誤検知を低減できる。 In the present embodiment, by utilizing this property, when the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user match, the link destination included in the email. The URL is considered harmless and is an appropriate email. In the example of FIG. 2, the domain of the header From and the domain of the link destination URL are the same in “abc.com”. On the other hand, if the domains do not match, the link destination URL included in the e-mail is determined to be harmful spoofed e-mail. By doing so, it is possible to reduce false detection in the determination of the forged email.

図3は、電子メールにリンクキーワードが設定されて、電子メール本文に表示されたキーワードを介してリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する図である。 FIG. 3 is a diagram for explaining the method of determining forgery according to the present embodiment when a link keyword is set in an electronic mail and the linked URL is accessed via the keyword displayed in the body of the electronic mail.

ここで、リンクキーワードとは、htmlメールにおいて、メール本文にキーワードが表示されて、そのキーワードをユーザがクリックすると、キーワードに対応付けられたURL(実際のアクセス先となるリンク先URL)に接続させる方法を意味する。 Here, the link keyword is displayed in the body of the email in the html email, and when the user clicks the keyword, the link keyword is connected to the URL associated with the keyword (link destination URL that is the actual access destination). Means the way.

図3の例では、電子メールのエンベロープFromのドメインとヘッダFromのドメインが一致せず、メール本文内にリンクキーワードが表示されている。 In the example of FIG. 3, the domain of the envelope From of the e-mail does not match the domain of the header From, and the link keyword is displayed in the body of the e-mail.

通常の偽装判定方法では、禁止ワードを予め設定しておき、メール本文内にリンクキーワードとして禁止ワードが設定されている場合に、電子メールに含まれるリンク先URLが有害である偽装メールと判断する。しかし、リンク先URLが無害な適切なメールであっても、リンクキーワードを介してリンク先URLにアクセスさせる場合があり、図3で示すように偽装の疑いの無い適切なメールであっても誤検知してしまうおそれがある。 In the normal disguise determination method, a prohibited word is set in advance, and when the prohibited word is set as a link keyword in the email body, it is determined that the link destination URL included in the email is a malicious forged email. .. However, even if the link destination URL is a harmless proper email, the link destination URL may be accessed via a link keyword, and as shown in FIG. It may be detected.

本実施形態では、リンクキーワードの有無に基づき偽装判定するだけでは無く、さらに電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致するか否かに基づいて電子メールに含まれるリンク先URLが有害であるか否かを判定する。このようにすることで、偽装メールの判定における誤検知を低減できる。 In the present embodiment, not only the camouflage determination is made based on the presence or absence of the link keyword, but also the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user match or not. It is determined whether the linked URL included in the electronic mail is harmful or not. By doing so, it is possible to reduce false detection in the determination of the forged email.

図4は、電子メールにイメージリンクが設定されて、メールに組み込まれたイメージを介してリンク先URLにアクセスさせる場合において、本実施形態の偽装判定の方法を説明する図である。 FIG. 4 is a diagram for explaining the method of determining forgery according to the present embodiment when an image link is set in an electronic mail and the linked URL is accessed via an image incorporated in the mail.

ここで、イメージリンクとは、htmlメールにおいて、メール本文にイメージを表示させて、イメージが設定された部分にユーザがクリックした場合に、イメージに対応付けられた(実際のアクセス先となるリンク先URL)に接続させる方法である。 Here, the image link is associated with the image when the image is displayed in the mail body of the html mail and the user clicks on the portion where the image is set (the link destination that is the actual access destination). URL).

図4の例では、電子メールのエンベロープFromのドメインとヘッダFromのドメインが一致せず、メール本文内にイメージリンクが設定されている。 In the example of FIG. 4, the domain of the envelope From of the electronic mail and the domain of the header From do not match, and an image link is set in the mail body.

偽装メールのフィルタリングを掻い潜るため、文字を画像化して視覚的に偽装する傾向にあることから、通常の偽装チェックでは、イメージリンクが設定記載されている場合、電子メールに含まれるリンク先URLが有害である偽装メールと判断する。しかし、電子メールに含まれるリンク先URLが無害な適切なメールであっても、イメージリンクを介してリンク先URLにアクセスさせる場合があり、誤検知してしまうおそれがある。 Since it is difficult to filter camouflaged emails, there is a tendency to visually disguise characters by visualizing them, so in the usual camouflage check, if the image link is set and described, the link destination URL included in the email will be Judge as a fake email that is harmful. However, even if the link destination URL included in the e-mail is an appropriate harmless mail, the link destination URL may be accessed via the image link, and there is a risk of false detection.

本実施形態では、イメージリンクの有無に基づき偽装判定するだけでは無く、さらに電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致するか否かに基づいて電子メールに含まれるリンク先URLが有害であるか否かを判定する。これにより、偽装メールの判定における誤検知を低減できる。 In the present embodiment, not only the camouflage determination is made based on the presence or absence of the image link, but also the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user match. It is determined whether the linked URL included in the electronic mail is harmful or not. As a result, it is possible to reduce erroneous detection in determining a forged email.

図5は、禁止拡張子を含んで記載されたリンク先URLにアクセスさせる場合において、本実施形態における偽装判定の方法を説明する図である。なお、ここで、禁止拡張子とは、電子メールに記載されたリンクファイルの拡張子において、ユーザがアクセスした場合に、マルウェアをダウンロードさせたり、実行したりするなどの可能性がある、潜在的に「危険な」拡張子を意味する。禁止拡張子として、exe、zipが例示され、情報処理装置10の管理者により予め設定される。 FIG. 5 is a diagram for explaining a method of determining forgery according to the present embodiment when accessing a link destination URL that includes a prohibited extension. Here, the prohibited extension is the extension of the link file described in the e-mail, which may cause malware to be downloaded or executed when the user accesses it. Means "dangerous" extension. Examples of prohibited extensions are exe and zip, which are set in advance by the administrator of the information processing device 10.

通常の偽装判定方法では、アクセスを禁止するための禁止拡張子を設定しておき、リンク先URLに禁止拡張子が設定されている場合には、電子メールに含まれるリンク先URLが有害である偽装されたメールと判断する。しかし、偽装されていない適切なメールであっても、禁止拡張子を含んで記載されたリンク先URLにアクセスさせる場合があり、誤検知してしまうおそれがある。 In a normal impersonation determination method, a prohibited extension for prohibiting access is set in advance, and when the prohibited extension is set in the link destination URL, the link destination URL included in the email is harmful. Judge as forged email. However, even a proper email that is not disguised may access the link destination URL that includes the prohibited extension, which may result in erroneous detection.

本実施形態では、禁止拡張子を含むリンク先URLの有無に基づき偽装判定するだけでは無く、さらに電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとが一致するか否かに基づいて電子メールに含まれるリンク先URLが有害であるか否かを判定する。これにより、偽装メールの判定における誤検知を低減できる。 In the present embodiment, not only the camouflage determination is made based on the presence or absence of the link destination URL including the prohibited extension, but also the domain of the header From extracted from the email and the domain of the link destination URL that is the actual access destination by the user. It is determined whether or not the link destination URL included in the electronic mail is harmful based on whether or not and are matched. As a result, it is possible to reduce erroneous detection in determining a forged email.

図6は、本実施形態による情報処理方法の処理手順の一例を示すフローチャートである(適宜、図1参照)。 FIG. 6 is a flowchart showing an example of the processing procedure of the information processing method according to the present embodiment (see FIG. 1 as appropriate).

メール情報抽出部15は、受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出する(S10)。 The mail information extraction unit 15 extracts mail information including the sender and link destination information of the received electronic mail (S10).

判定部16は、実際のユーザによるアクセス先となるリンク先URLのドメインが、ヘッダFromのドメインとが一致する場合、電子メールに含まれるリンク先URLが無害である適切なメールであるとして、S13に進む(S11:YES)。一方で、リンク先URLのドメインが、ヘッダFromのドメインと一致しない場合、電子メールに含まれるリンク先URLが有害である偽装メールであるとして隔離する(S11:NO、S12)。なお、判定部16は、偽装メールであるとして隔離された場合、隔離した旨を内部端末20(電子メールで設定された送信先に対応する端末)に通知してもよい。 When the domain of the link destination URL that is the access destination of the actual user matches the domain of the header From, the determination unit 16 determines that the link destination URL included in the email is an appropriate mail that is harmless, and the S13 (S11: YES). On the other hand, if the domain of the link destination URL does not match the domain of the header From, the link destination URL included in the electronic mail is quarantined as a malicious forged email (S11: NO, S12). Note that the determination unit 16 may notify the internal terminal 20 (the terminal corresponding to the destination set in the e-mail) that the content has been quarantined if it is quarantined as a forged email.

さらに、判定部16は、リンク先URLのドメインが、ヘッダFromのドメインと一致する場合、ヘッダFromのドメインがプライベートドメインと一致するかを判定する(S13)。ヘッダFromのドメインがプライベートドメインと一致する場合、送信元が偽装された偽装メールであるとして隔離する(S13:YES、S12)。 Furthermore, when the domain of the link destination URL matches the domain of the header From, the determination unit 16 determines whether the domain of the header From matches the private domain (S13). If the domain of the header From matches the private domain, the sender is quarantined as a forged forged email (S13: YES, S12).

一方で、ヘッダFromのドメインがプライベートドメインと一致しない場合には、送信元が偽装されていない適切なメールであると判定して、内部端末20に電子メールを転送する(S13:NO、S14)。 On the other hand, if the domain of the header From does not match the private domain, it is determined that the sender is a proper email that has not been forged, and the email is transferred to the internal terminal 20 (S13: NO, S14). ..

このように、第1実施形態では、受信した電子メールの送信元のドメインとリンク先情報のドメインを比較することにより電子メールに含まれるリンク先URLが有害であるか否かを判定することで、偽装メールの判定における誤検知を低減でき、偽装メールを精度良くフィルタリングできる。 As described above, in the first embodiment, it is possible to determine whether the link destination URL included in the email is harmful by comparing the domain of the transmission source of the received email with the domain of the link destination information. In addition, it is possible to reduce false detection in the determination of the forged mail, and to filter the forged mail with high accuracy.

また、電子メールの送信者が法人とは限らず、プライベートドメインを用いる場合には、ヘッダFromのドメインとリンク先URLのドメインとが一致していたとしても、安全なURLとは断定できない場合がある。このため、ヘッダFromのドメインがプライベートドメインと一致するときには、電子メールのリンク先URLは有害の可能性があるとして、偽装されたメールと判断する。これにより、電子メールが偽装か否かをより正確に判定できる。 If the sender of the e-mail is not necessarily a corporation and a private domain is used, even if the domain of the header From and the domain of the link destination URL match, it may not be concluded that the URL is safe. is there. For this reason, when the domain of the header From matches the private domain, the link destination URL of the e-mail is determined to be a forged mail because it may be harmful. This makes it possible to more accurately determine whether or not the email is forged.

(第2実施形態)
図7は、第2実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す図である。なお、図7において第1実施形態(図1)と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
(Second embodiment)
FIG. 7 is a diagram showing an example of the configuration of an electronic mail system to which the information processing device 10 according to the second embodiment is applied. Note that, in FIG. 7, parts having the same configurations or functions as those of the first embodiment (FIG. 1) are denoted by the same reference numerals, and overlapping description will be omitted.

第2実施形態に係る情報処理装置10では、組織(法人や団体など)それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDN(Fully Qulified Domain Name)との組み合わせを予め保存する照合データ保存部18をさらに備えている。なお、FQDNとは、DNSなどのホスト名、ドメイン名などすべてを省略せずに指定した記述形式を意味する。 In the information processing apparatus 10 according to the second embodiment, collation data that stores in advance a combination of the domain of the mail address of each organization (corporation, organization, etc.) and the FQDN (Fully Qulified Domain Name) of the organization corresponding to the domain. The storage unit 18 is further provided. Note that FQDN means a description format specified without omitting all host names such as DNS and domain names.

判定部16は、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URLのFQDNとの組み合わせを照合データ保存部18のデータと照合して、電子メールが偽装されているかを判定する。具体的には、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URLのFQDNとの組み合わせが、照合データ保存部18に保存されている組み合わせと一致する場合には、電子メールに含まれるリンク先URLが無害である適切なメールと判定する。 The determination unit 16 compares the combination of the domain of the header From of the received e-mail and the FQDN of the link destination URL that is the actual access destination with the data of the collation data storage unit 18 to determine whether the e-mail is forged. judge. Specifically, if the combination of the domain of the header From of the received e-mail and the FQDN of the link destination URL that is the actual access destination matches the combination stored in the collation data storage unit 18, the The link URL included in the email is determined to be a proper email that is harmless.

図8(A)は、組織のメールアドレスとして正当性の確認がとれているメールアドレスのドメインと、このドメインに対応する組織のFQDNとの対応関係の一例を示す表である。図8(A)に示すように、組織のそれぞれのFQDNに対応付けてメールアドレスのドメインが予め登録されており、例えばABC社について、メールアドレスのドメインとこのABC社のFQDNとが対応付けて保存されている。 FIG. 8A is a table showing an example of the correspondence relationship between the domain of an email address whose validity is confirmed as the email address of the organization and the FQDN of the organization corresponding to this domain. As shown in FIG. 8A, the domain of the mail address is registered in advance in association with each FQDN of the organization. For example, for ABC company, the domain of the mail address is associated with the FQDN of this ABC company. It has been saved.

企業のURLのFQDNは、当該企業に対応するメールアドレスのドメインと異なる親ドメインを利用することが増えている。組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNの組み合わせを照合データ保存部18に登録しておき、この登録データに基づいて偽装判定することで、適切なメールを簡易かつ正確に判定でき、偽装メールの判定における誤検知を低減できる。 The FQDN of a company URL is increasingly using a parent domain different from the domain of the mail address corresponding to the company. The combination of the domain of each organization's email address and the FQDN of the organization corresponding to the domain is registered in the collation data storage unit 18, and the forgery determination is performed based on this registration data, so that an appropriate email can be easily and accurately generated. Therefore, it is possible to reduce erroneous detection in the determination of forged email.

さらに、照合データ保存部18は、組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織の短縮URLとの組み合わせを予め保存してもよい。なお、短縮URLとは、長い文字列のURLを短くしたものであり、リダイレクトを利用して本来の長いURLに接続するために利用されものである。リダイレクトとは、コンテンツの保存されたサーバに直接接続せずに、別のサーバを経由することを意味する。 Furthermore, the collation data storage unit 18 may store in advance the combination of the domain of the mail address of each organization and the shortened URL of the organization corresponding to the domain. The shortened URL is a shortened URL of a long character string and is used to connect to the original long URL by using redirect. Redirection means to go through another server without directly connecting to the server where the content is stored.

この場合、判定部16は、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URLの組み合わせを、照合データ保存部18に保存されたデータと照合して、電子メールに含まれるリンク先URLが有害であるか否かを判定する。具体的には、受信した電子メールのヘッダFromのドメインと実際のアクセス先となるリンク先URL組み合わせが、照合データ保存部18のデータに保存されている組み合わせと一致する場合には、偽装の疑いのない適切なメールと判定する。 In this case, the determination unit 16 compares the combination of the domain of the header From of the received e-mail and the link destination URL that is the actual access destination with the data stored in the collation data storage unit 18 and includes it in the e-mail. It is determined whether or not the linked URL provided is harmful. Specifically, when the combination of the domain of the header From of the received e-mail and the link destination URL that is the actual access destination matches the combination stored in the data of the collation data storage unit 18, it is suspected of being camouflaged. It is determined to be an appropriate email without

図8(B)は、組織のメールアドレスとして正当性の確認がとれているメールアドレスのドメインと、このドメインに対応する組織が有する短縮URLとの対応関係の一例を示す表である。図8(B)に示すように、組織のそれぞれの短縮URLに対応付けてメールアドレスのドメインが予め登録されており、例えばABC社について、メールアドレスのドメインとこのABC社の短縮URLが対応付けて保存されている。 FIG. 8B is a table showing an example of a correspondence relationship between a domain of an email address whose validity is confirmed as an email address of an organization and a shortened URL held by an organization corresponding to this domain. As shown in FIG. 8B, the domain of the mail address is registered in advance in association with each shortened URL of the organization. For example, for ABC company, the domain of the mail address and the shortened URL of this ABC company are associated with each other. Have been saved.

短縮URLは短縮URLかメール内に記載されているか否かにより偽装判定をする場合では、メール偽装判定において誤検知が増えるおそれがあるが、送信元ドメインとその短縮URLとの組み合わせを予め保存しておき、送信元ドメインと短縮URLとの組み合わせにより偽装を判定することで、適切なメールを簡易に判定でき、偽装メールの判定における誤検知を低減できる。 When the forgery determination is made based on whether the shortened URL is written in the shortened URL or in the email, false detection may increase in the email forgery determination, but the combination of the sender domain and the shortened URL is saved in advance. In addition, by determining the forgery based on the combination of the sender domain and the shortened URL, it is possible to easily determine an appropriate email and reduce false detection in the forgery email determination.

なお、第2実施形態における偽装判定と第1実施形態で示した偽装判定とを組み合わせることで、偽装メールの判定における誤検知を低減でき、偽装メールをより精度良くフィルタリングできる。 By combining the camouflage determination in the second embodiment and the camouflage determination shown in the first embodiment, false detection in the camouflaged mail determination can be reduced, and the camouflaged mail can be filtered more accurately.

以上述べた各実施形態の情報処理装置によれば、電子メールから抽出されたヘッダFromのドメインと、ユーザによる実際のアクセス先となるリンク先URLのドメインとに基づいて電子メールが偽装されているか否かを判定することで、偽装メールの判定における誤検知を低減でき、偽装メールを精度良くフィルタリングできる。 According to the information processing apparatus of each embodiment described above, is the e-mail disguised based on the domain of the header From extracted from the e-mail and the domain of the link destination URL that is the actual access destination of the user? By determining whether or not it is possible to reduce erroneous detection in the determination of the forged email, and it is possible to accurately filter the forged email.

なお、情報処理装置10で実行されるプログラムは、ROM等から構成されるハードディスクに予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD−ROM、CD−R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。 The program executed by the information processing device 10 is provided by being pre-installed in a hard disk composed of a ROM or the like. Alternatively, the program is provided as an installable or executable file stored in a computer-readable storage medium such as a CD-ROM, a CD-R, a memory card, a DVD, and a flexible disk. May be. The program executed by the information processing device 10 may be stored in a computer connected to a network such as the Internet and may be provided by being downloaded via the network.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 Although some embodiments of the present invention have been described, these embodiments are presented as examples and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and their modifications are included in the scope and gist of the invention, and are also included in the invention described in the claims and the scope of equivalents thereof.

10…情報処理装置、11…内部ネットワーク、12…通信部、13…外部名前解決装置、14…送受信部、15…メール情報抽出部、16…判定部、17…記憶部、18…照合データ保存部、20…内部端末。 10... Information processing device, 11... Internal network, 12... Communication unit, 13... External name resolution device, 14... Send/receive unit, 15... Mail information extraction unit, 16... Judgment unit, 17... Storage unit, 18... Collation data storage Department, 20... Internal terminal.

Claims (6)

受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出するメール情報抽出部と、 前記送信元に対応するメールアドレスのドメインと前記リンク先情報のドメインを比較することにより前記電子メールが適切か否かを判定する判定部と、 組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNとの組み合わせを予め保存する照合データ保存部と、を備えて、 前記判定部は、受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLのFQDNとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする情報処理装置。 A mail information extraction unit that extracts mail information including the sender and link destination information of the received electronic mail, and the electronic mail is obtained by comparing the domain of the mail address corresponding to the sender and the domain of the link destination information. The determination unit includes a determination unit that determines whether or not it is appropriate, a domain of the email address of each organization, and a collation data storage unit that stores in advance a combination of the FQDN of the organization corresponding to the domain . The combination of the domain of the header From of the received e-mail and the FQDN of the link destination URL, which is the actual access destination, extracted from the link destination information is collated with the collation data storage unit to make the e-mail appropriate. An information processing apparatus, characterized by determining whether or not it is . 前記判定部は、ヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLのドメインとが一致する場合に、電子メールに含まれる前記リンク先URLが無害である適切な電子メールと判定する、ことを特徴とする請求項1に記載の情報処理装置。 If the domain of the header From and the domain of the link destination URL that is the actual access destination that is extracted from the link destination information match, the link destination URL included in the e-mail is harmless. The information processing apparatus according to claim 1, wherein the information processing apparatus determines that the email is appropriate. 組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織の短縮URLとの組み合わせを予め保存する照合データ保存部を、さらに備えて、 前記判定部は、受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする請求項1または請求項2に記載の情報処理装置。 The determination unit further includes a collation data storage unit that stores in advance a combination of the domain of the email address of each organization and the shortened URL of the organization corresponding to the domain, and the determination unit includes the domain of the header From of the received email. And a link destination URL that is an actual access destination and is extracted from the link destination information is collated with the collation data storage unit to determine whether or not the e-mail is appropriate. The information processing device according to claim 1. 受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出するメール情報抽出部と、 前記送信元に対応するメールアドレスのドメインと前記リンク先情報のドメインを比較することにより前記電子メールが適切か否かを判定する判定部と、 組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織の短縮URLとの組み合わせを予め保存する照合データ保存部と、を備えて、 前記判定部は、受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする情報処理装置。 The e-mail is obtained by comparing the domain of the e-mail address corresponding to the sender and the domain of the link destination information with a mail information extraction unit that extracts mail information including the sender and link destination information of the received e-mail. a determination section for determining appropriate or not, includes a domain organization each email address, and verification data storage unit which previously stored the combination of the shortening URL of tissue corresponding to the domain, wherein the determination unit , The combination of the domain of the header From of the received e-mail and the link destination URL that is the actual access destination extracted from the link destination information is collated with the collation data storage unit to determine whether the e-mail is appropriate. An information processing apparatus, characterized by determining whether or not . 受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出するステップと、 前記送信元に対応するメールアドレスのドメインと前記リンク先情報のドメインを比較することにより前記電子メールが適切か否かを判定するステップと、 組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNとの組み合わせを照合データ保存部に予め保存するステップと、を含み、 受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLのFQDNとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする情報処理方法。 The step of extracting mail information including the sender and link information of the received email, and comparing the domain of the mail address corresponding to the sender with the domain of the link information to determine whether the email is appropriate or not. And a step of pre-storing a combination of the domain of the mail address of each organization and the FQDN of the organization corresponding to the domain in the collation data storage unit, the header From of the received e-mail From Of the domain and the FQDN of the link destination URL that is the actual access destination, which is extracted from the link destination information, is collated with the collation data storage unit to determine whether the email is appropriate or not. An information processing method characterized by: コンピュータに、 受信した電子メールの送信元及びリンク先情報を含むメール情報を抽出する機能、 前記送信元に対応するメールアドレスのドメインと前記リンク先情報のドメインを比較することにより前記電子メールが適切か否かを判定する機能、 組織それぞれのメールアドレスのドメインと、当該ドメインに対応する組織のFQDNとの組み合わせを照合データ保存部に予め保存する機能、を有して、 受信した前記電子メールのヘッダFromのドメインと前記リンク先情報から抽出される、実際のアクセス先となるリンク先URLのFQDNとの組み合わせを前記照合データ保存部と照合して、前記電子メールが適切か否かを判定する、ことを特徴とする記載の情報処理プログラム。 A function of extracting mail information including sender and link information of the received electronic mail in a computer, comparing the domain of the mail address corresponding to the sender with the domain of the link information, and the email is appropriate. determining whether or not function, and the domain organization each email address, the ability to pre-stored in the combined verification data storage unit of the FQDN of the organization corresponding to the domain, a, the e-mail received The combination of the domain of the header From and the FQDN of the link destination URL that is the actual access destination extracted from the link destination information is collated with the collation data storage unit to determine whether the email is appropriate or not. the information processing program, wherein a.
JP2018215086A 2018-11-15 2018-11-15 Information processing apparatus, information processing method, and information processing program Active JP6730692B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018215086A JP6730692B2 (en) 2018-11-15 2018-11-15 Information processing apparatus, information processing method, and information processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018215086A JP6730692B2 (en) 2018-11-15 2018-11-15 Information processing apparatus, information processing method, and information processing program

Publications (2)

Publication Number Publication Date
JP2020086547A JP2020086547A (en) 2020-06-04
JP6730692B2 true JP6730692B2 (en) 2020-07-29

Family

ID=70908061

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018215086A Active JP6730692B2 (en) 2018-11-15 2018-11-15 Information processing apparatus, information processing method, and information processing program

Country Status (1)

Country Link
JP (1) JP6730692B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7121779B2 (en) * 2020-08-27 2022-08-18 デジタルアーツ株式会社 Information processing device, information processing method, and information processing program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3871941B2 (en) * 2002-02-22 2007-01-24 日本電気通信システム株式会社 Spam mail automatic disposal method, mail server and program in mail server of mobile phone
JP2006285844A (en) * 2005-04-04 2006-10-19 Katsuyoshi Nagashima Phishing fraud prevention system
JP4652153B2 (en) * 2005-07-04 2011-03-16 日本電気株式会社 Email filtering system, email filter, and program
JP4682855B2 (en) * 2006-01-30 2011-05-11 日本電気株式会社 System, method, program, and mail receiver for preventing unauthorized site guidance
US20160142429A1 (en) * 2014-11-19 2016-05-19 Royce Renteria Preventing access to malicious content

Also Published As

Publication number Publication date
JP2020086547A (en) 2020-06-04

Similar Documents

Publication Publication Date Title
US11689559B2 (en) Anti-phishing
US12316591B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US8621604B2 (en) Evaluating a questionable network communication
US10084791B2 (en) Evaluating a questionable network communication
US9674145B2 (en) Evaluating a questionable network communication
Chen et al. Composition kills: A case study of email sender authentication
JP4950606B2 (en) COMMUNICATION SYSTEM, SECURITY MANAGEMENT DEVICE, AND ACCESS CONTROL METHOD
US7320021B2 (en) Authenticating electronic communications
US9130989B2 (en) Securing email communications
JP2008506210A (en) Method and apparatus for detecting suspicious, deceptive and dangerous links in electronic messages
US20070083670A1 (en) Method and system for protecting an internet user from fraudulent ip addresses on a dns server
US20090328208A1 (en) Method and apparatus for preventing phishing attacks
US20080028444A1 (en) Secure web site authentication using web site characteristics, secure user credentials and private browser
JP2016532381A (en) Evaluation of suspicious network communication
CN113630397A (en) E-mail security control method, client and system
JP6730692B2 (en) Information processing apparatus, information processing method, and information processing program
JP7591071B2 (en) Information processing device, information processing method, and information processing program
JP6669954B2 (en) Information processing apparatus, information processing method, and information processing program
WO2017162997A1 (en) A method of protecting a user from messages with links to malicious websites containing homograph attacks
JP4564916B2 (en) Phishing fraud countermeasure method, terminal, server and program
Fung et al. SSLock: sustaining the trust on entities brought by SSL
KR100925402B1 (en) Phishing Domain Detection System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191025

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200520

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200616

R150 Certificate of patent or registration of utility model

Ref document number: 6730692

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250