JP6984114B2 - E-mail monitoring device, terminal device, e-mail monitoring method, and e-mail monitoring program - Google Patents
E-mail monitoring device, terminal device, e-mail monitoring method, and e-mail monitoring program Download PDFInfo
- Publication number
- JP6984114B2 JP6984114B2 JP2016202645A JP2016202645A JP6984114B2 JP 6984114 B2 JP6984114 B2 JP 6984114B2 JP 2016202645 A JP2016202645 A JP 2016202645A JP 2016202645 A JP2016202645 A JP 2016202645A JP 6984114 B2 JP6984114 B2 JP 6984114B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- monitoring
- terminal
- fraudulent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本願発明は、不正な電子メールによる不正動作を監視する技術に関する。 The present invention relates to a technique for monitoring unauthorized operation due to unauthorized e-mail.
近年、不正な(悪性のある)電子メールを使用したサイバー攻撃が急増している。したがって、不正な電子メールを監視することによって、サイバー攻撃から防御する技術に対する期待が高まってきている。 In recent years, cyber attacks using malicious (malicious) emails have increased rapidly. Therefore, there are increasing expectations for technology to protect against cyber attacks by monitoring malicious email.
このような技術に関連する技術として、特許文献1には、コンピュータウィルスによる不正な電子メールの送信を抑制する電子メール装置が開示されている。この装置は、送信が予定された電子メールがコンピュータウィルスによる不正な電子メールであるかどうかの判断を行なう。この装置は、電子メールの内容を表示装置に表示して、利用者に対して、本人認証及び電子メールの送信を意図しているかどうかの確認を要求することによって、前述した判断を行なう。この装置は、利用者が本人である旨の応答を受信し、又は、利用者が送信を意図した電子メールである旨の応答を受信した場合は、その電子メールは不正な電子メールでないと判断して、当該電子メールを送信する。 As a technique related to such a technique, Patent Document 1 discloses an e-mail device that suppresses the transmission of an unauthorized e-mail due to a computer virus. This device determines whether the e-mail scheduled to be sent is malicious e-mail due to a computer virus. This device makes the above-mentioned determination by displaying the contents of the e-mail on the display device and requesting the user to authenticate the person and confirm whether or not the e-mail is intended to be transmitted. If the device receives a response to the effect that the user is who he or she is, or receives a response to the effect that the email is intended to be sent by the user, the device determines that the email is not fraudulent. And send the e-mail.
また、特許文献2には、コンピュータ処理能力に乏しい小型のメール端末に負担を発生させることなく、コンピュータウィルスの感染判定を行う電子メールシステムが開示されている。このシステムでは、メールサーバとメール端末とが、無線通信網を介して接続され、メール端末は、携帯電話や携帯情報端末の小型のメール端末として構成されている。このメールサーバにインターネット通信網を介して電子メールが到着したとき、メールサーバは、当該電子メールがウィルスに感染しているか否かを判定する。このメールサーバは、ウィルス感染に関する判定結果を、検査情報の全部又は一部として、電子メールのヘッダ内に追記する。メール端末は、検査情報に基づいてウィルス感染の有無等を検知し、電子メールがウィルスに感染している場合は、ブザーや振動等を正常なメール受信時と違えることにより、ユーザにウィルス感染を報知する。 Further, Patent Document 2 discloses an e-mail system for determining infection of a computer virus without causing a burden on a small-sized mail terminal having poor computer processing capacity. In this system, a mail server and a mail terminal are connected via a wireless communication network, and the mail terminal is configured as a small mail terminal of a mobile phone or a mobile information terminal. When an e-mail arrives at this mail server via the Internet communication network, the mail server determines whether or not the e-mail is infected with a virus. This mail server adds the determination result regarding virus infection in the header of the e-mail as all or part of the inspection information. The mail terminal detects the presence or absence of virus infection based on the inspection information, and if the e-mail is infected with a virus, the buzzer, vibration, etc. are different from when the normal e-mail is received, so that the user is infected with the virus. Notify.
また、特許文献3には、メールサーバと、検査コンピュータとを有するウィルス検査システムが開示されている。この検査コンピュータは、メールサーバから転送された電子メールの添付ファイルを実行する。このシステムは、検査コンピュータとパーソナルコンピュータに備えられている周辺機器とを接続するI(Input)/O(Output)ポートに対する、当該添付ファイルの実行によるアクセスの有無を検出することによって、ウィルスの侵入を検査する。
Further, Patent Document 3 discloses a virus inspection system including a mail server and an inspection computer. This inspection computer executes the email attachments forwarded from the mail server. This system invades the I (Input) / O (Output) port that connects the inspection computer and the peripheral devices provided in the personal computer by detecting the presence or absence of access by executing the attached file. To inspect.
一般的な電子メールシステムでは、例えばサンドボックスを構築したメール解析装置によって、不正な電子メールを検知することができる。サンドボックスとは、調査対象である電子メールに不正情報が含まれているか否かを解析するために、例えば仮想環境として構築された隔離環境のことであり、不正情報による不正動作が発生してもシステムに影響を与えない保護された領域(ソフトウェアの実行環境)のことである。このサンドボックスを利用して不正な電子メールを検出する技術では、サンドボックスにおいて、当該電子メールに含まれるURL(Uniform Resource Locator)へのアクセスを行なった後に、あるいは、当該電子メールに添付されたファイルを実行した後などに、不正動作が発生しているか否かを解析する。 In a general e-mail system, for example, a mail analysis device having a sandbox can be used to detect malicious e-mail. A sandbox is an isolated environment constructed as a virtual environment, for example, in order to analyze whether or not the e-mail to be investigated contains malicious information. Is a protected area (software execution environment) that does not affect the system. In the technology for detecting malicious e-mail using this sandbox, after accessing the URL (Uniform Resource Locator) contained in the e-mail in the sandbox, or attached to the e-mail. Analyze whether or not an illegal operation has occurred, such as after executing the file.
このようにメール解析装置によって不正な電子メールを検知した場合、例えば当該電子メールの宛先(メールアドレス)を把握することは可能であるが、当該電子メールを受信したあるいは今後受信する可能性がある端末装置を特定することまでは、一般的に行なわれていない。もし不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定できれば、当該端末装置に対して不正動作を監視する指示を与えることによって、不正動作の発生に対する監視を効率的に確実に行なうことができる。したがって、電子メールシステムにおいて、不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定し、特定した端末装置に対して不正動作を監視する指示を与えるようにすることが課題である。特許文献1乃至3は、この課題について言及していない。本願発明の主たる目的は、この課題を解決する電子メール監視装置等を提供することである。 When an unauthorized e-mail is detected by the mail analysis device in this way, for example, it is possible to grasp the destination (e-mail address) of the e-mail, but the e-mail may be received or may be received in the future. It is not generally done until the terminal device is specified. If a terminal device that has received or may receive fraudulent e-mail can be identified, it is possible to efficiently monitor the occurrence of fraudulent operation by giving instructions to the terminal device to monitor the fraudulent operation. Can be done. Therefore, in the e-mail system, it is a challenge to identify the terminal device that has received or may receive malicious e-mail in the future, and to give an instruction to monitor the unauthorized operation to the specified terminal device. be. Patent Documents 1 to 3 do not refer to this subject. A main object of the present invention is to provide an e-mail monitoring device or the like that solves this problem.
本願発明の一態様に係る電子メール監視装置は、電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、を備える。 The e-mail monitoring device according to one aspect of the present invention has received or received the e-mail and the e-mail based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation. A generation means for generating terminal specific information associated with a terminal device that may be received in the future, and the occurrence of the illegal operation in the terminal specific information in response to an external instruction associated with the e-mail. The terminal device provided with the monitoring means for monitoring is provided with an instruction means for instructing the terminal device to monitor the occurrence of the unauthorized operation.
上記目的を達成する他の見地において、本願発明の一態様に係る電子メール監視方法は、電子メール監視装置によって、電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示し、前記端末装置によって、前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する。 From another point of view to achieve the above object, the e-mail monitoring method according to one aspect of the present invention is an analysis result showing that the e-mail contains fraudulent information that may cause fraudulent operation by the e-mail monitoring device. Based on the above, the terminal specific information that associates the e-mail with the terminal device that has received or may receive the e-mail is generated, and in the terminal specific information, the e-mail is associated with the e-mail. The terminal device is instructed to monitor the occurrence of the fraudulent operation, and the terminal device monitors the occurrence of the fraudulent operation in response to the instruction from the e-mail monitoring device.
また、上記目的を達成する更なる見地において、本願発明の一態様に係る電子メール監視プログラムは、電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成処理と、前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示処理と、をコンピュータに実行させるためのプログラムである。 Further, from the further viewpoint of achieving the above object, the e-mail monitoring program according to one aspect of the present invention is based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation. A generation process that generates terminal-specific information that associates the e-mail with a terminal device that has received or may receive the e-mail, and an external device associated with the e-mail in the terminal-specific information. A program for causing a computer to execute an instruction process for instructing a terminal device having a configuration for monitoring the occurrence of an illegal operation in response to an instruction from the user to monitor the occurrence of the illegal operation. be.
更に、本願発明は、係る電子メール監視プログラム(コンピュータプログラム)が格納された、コンピュータ読み取り可能な、不揮発性の記録媒体によっても実現可能である。 Further, the present invention can also be realized by a computer-readable, non-volatile recording medium in which such an e-mail monitoring program (computer program) is stored.
本願発明は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことを可能とする。 The invention of the present application makes it possible to efficiently and reliably monitor the occurrence of fraudulent operation due to receiving fraudulent e-mail.
以下、本願発明の実施の形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
<第1の実施形態>
図1は、本願発明の第1の実施の形態に係る電子メール監視システム1の構成を概念的に示すブロック図である。電子メール監視システム1は、大別して、電子メール監視装置10、端末装置20、メールサーバ装置30、及び、メール解析装置40を有している。これらの装置は、通信可能に接続されている。図1には説明の便宜上、端末装置20を1つ示しているが、電子メール監視システム1は、端末装置20を複数有してもよい。また、図1には説明の便宜上、電子メール31を1つ示しているが、電子メール監視システム1は、多数の電子メール31に対する処理を行う。電子メール監視システム1では、電子メール監視装置10は、不正な電子メール31を受信した端末装置20に対して不正動作を監視することを指示し、端末装置20は、その指示に応じて、不正動作の発生を監視する。
<First Embodiment>
FIG. 1 is a block diagram conceptually showing the configuration of the e-mail monitoring system 1 according to the first embodiment of the present invention. The e-mail monitoring system 1 is broadly divided into an
メールサーバ装置30は、電子メール31に含まれる宛先のメールアドレスを有するユーザが、端末装置20を使用してメールサーバ装置30に対してアクセスした場合、電子メール31を端末装置20へ配信する。メールサーバ装置30及び端末装置20は、この際、例えば、IMAP(Internet Message Access Protocol)、あるいはPOP(Post Office Protocol)等の電子メール用の通信プロトコルを使用する。メールサーバ装置30は、端末装置20からのアクセス履歴(ログイン履歴)を、アクセス履歴32として、内蔵する電子メモリや磁気ディスク等の記憶デバイス(不図示)に記憶している。
The
アクセス履歴32は、例えば、電子メール31に含まれる宛先のメールアドレスと、端末装置20を識別可能な識別子と、を関連付けた情報である。端末装置20を識別可能な識別子としては、例えば、IP(Internet Protocol)アドレスなどが使用できる。
The
メール解析装置40は、調査対象である電子メール(検体(被検体))に不正情報が含まれているか否かを解析するために、サンドボックスを構築した情報処理装置である。メール解析装置40は、メールサーバ装置30から電子メール31を入手して、入手した電子メール31に不正情報が含まれているか否かを解析する。メール解析装置40は、より具体的には、電子メール31に含まれるURLへのアクセスを行なった後に、あるいは、電子メール31に添付されたファイル(添付ファイル)を実行した後などに、不正動作が発生しているか否かを解析する。
The
メール解析装置40は、その解析結果41を、電子メール監視装置10へ送信する。解析結果41は、例えば、電子メール31に含まれる宛先のメールアドレスと、検体指標(indicator)を含んでいる。ただし、検体指標とは、電子メール31に含まれる不正情報を示す指標のことであり、例えば、アクセスによって不正動作を発生させるURL、あるいは実行によって不正動作を発生させる添付ファイルを識別可能な識別子などである。この添付ファイルを識別可能な識別子としては、例えば、当該添付ファイルのMD5(Message Digest Algorithm 5)ハッシュ値などがある。
The
本実施形態に係る電子メール監視装置10は、生成部11、指示部12、及び、端末特定情報記憶部13を備えている。
The
生成部11は、メール解析装置40から受信した解析結果41と、メールサーバ装置に記憶されているアクセス履歴32とに基づいて、端末特定情報130を生成する。端末特定情報130は、不正情報を含む電子メール31と、電子メール31を受信した可能性がある、あるいは今後受信する可能性がある端末装置20とを関連付ける情報である。
The
図2は、本実施形態に係る端末特定情報130の構成を、概念的に例示する図である。図2に例示する通り、端末特定情報130は、不正情報を含む電子メール31を受信した可能性がある、あるいは今後受信する可能性がある端末装置20のIPアドレスと、電子メール31に含まれる宛先のメールアドレスと、電子メール31に含まれる検体指標とが、関連付けされた情報である。
FIG. 2 is a diagram conceptually illustrating the configuration of the terminal specific information 130 according to the present embodiment. As illustrated in FIG. 2, the terminal specific information 130 is included in the
図2に例示する端末特定情報130は、例えば、IPアドレスが「IPアドレス0001」である端末装置20が、不正な添付ファイルAを含む、宛先のメールアドレスが「メールアドレス00001」である電子メール31を受信した可能性があることを示している。なお、図2に例示する端末特定情報130では、1つの宛先のメールアドレスに、1つのIPアドレスが関連付けされているが、あるユーザが複数の端末装置20を使用する場合などでは、1つの宛先のメールアドレスに、複数のIPアドレスが関連付けされる場合がある。
The terminal identification information 130 illustrated in FIG. 2 is, for example, an e-mail in which the
図1に示す生成部11は、生成した端末特定情報130を、端末特定情報記憶部13へ格納する。端末特定情報記憶部13は、例えば、磁気ディスクあるいは電子メモリ等の記憶デバイスである。
The
指示部12は、端末特定情報記憶部13に記憶された端末特定情報130を参照し、端末特定情報130にIPアドレスが登録されている端末装置20に対して、不正動作の発生を監視することを指示する。指示部12は、この際、端末特定情報130において、端末装置20と関連付けされている検体指標を、端末装置20へ通知する。
The
図1に示す本実施形態に係る端末装置20は、例えばパーソナルコンピュータなどの情報処理装置である。端末装置20は、IMAPあるいはPOP等の通信プロトコルを使用して、ユーザのメールアドレスによる認証を受けて、メールサーバ装置30と接続し、メールサーバ装置30から電子メール31を受信する。端末装置20は、ユーザによる操作入力に応じて、例えば、電子メール31に添付されたファイルに対する所定の処理や、電子メールに含まれる、通信ネットワークにおけるURL等のアクセスアドレスへのアクセスを行う機能を備える。端末装置20は、動作ログ生成部21、監視部22、及び、動作ログ記憶部23を備えている。
The
動作ログ生成部21は、端末装置20の動作を監視して、その監視結果を動作ログ230として、動作ログ記憶部23へ格納する。動作ログ記憶部23は、例えば、磁気ディスクあるいは電子メモリ等の記憶デバイスである。動作ログ生成部21は、例えば、端末装置20によって行なわれる下記の動作を監視する。
・ファイルへのアクセス:動作時刻、アクセスファイルの名称、アクセスファイルのMD5ハッシュ値、
・プロセスの起動及び終了:動作時刻、実行ファイルの名称、実行ファイルのMD5ハッシュ値、当該プロセスを呼び出した親プロセスに関する情報、
・HTTP(HyperText Transfer Protocol)通信:動作時刻、通信先のURL。
The operation
-File access: operation time, access file name, MD5 hash value of access file,
-Process startup and termination: operating time, executable file name, MD5 hash value of the executable file, information about the parent process that called the process,
-HTTP (HyperText Transfer Protocol) communication: Operation time, URL of communication destination.
監視部22は、電子メール監視装置10における指示部12による指示に応じて、指示部12から通知された検体指標に基づいて、端末装置20における不正動作の発生を監視する。監視部22は、動作ログ記憶部23に格納済みである動作ログ230を確認するとともに、動作ログ生成部21によって、動作ログ230として追加される監視結果(動作ログ)も確認する。
The
監視部22は、例えば、検体指標として、図2に例示する「添付ファイルA」を通知された場合、端末装置20において行なわれる、「添付ファイルA」に対する所定の処理を監視する。例えば「添付ファイルA」が、実行形式のファイル(例えば拡張子が「exe」等であるファイル)である場合、監視部22は、「添付ファイルA」が端末装置20において実行されたことをもって、不正動作の発生を検知する。あるいは、「添付ファイルA」が、圧縮形式のファイル(例えば拡張子が「zip」等であるファイル)である場合、監視部22は、「添付ファイルA」が解凍された(圧縮状態が解除された)のちに、「添付ファイルA」に含まれるファイルに対する所定の処理が端末装置20において行なわれたことをもって、不正動作の発生を検知する。
For example, when the
監視部22は、例えば、検体指標として、図2に例示する「アクセス先URL001」を通知された場合、端末装置20において行なわれる、「アクセス先URL001」へのアクセスを契機とする不正動作を監視する。監視部22は、この場合、例えば、「アクセス先URL001」へのアクセスによって、端末装置20において、不審なプロセスが起動された、あるいは、不審な通信が発生したことなどをもって、不正動作の発生を検知する。
For example, when the
監視部22は、端末装置20における不正動作の発生を検知した場合、端末装置20が備えるモニター(不図示)に不正動作が発生したことを表示してもよいし、システム管理者の端末装置(不図示)等に、不正動作の発生を通知してもよい。
When the
次に図3のフローチャートを参照して、本実施形態に係る電子メール監視システム1の動作(処理)について詳細に説明する。 Next, the operation (processing) of the e-mail monitoring system 1 according to the present embodiment will be described in detail with reference to the flowchart of FIG.
電子メール監視装置10は、メール解析装置40から、電子メール31に不正情報が含まれることを示す解析結果41を受信する(ステップS101)。電子メール監視装置10における生成部11は、端末装置20からメールサーバ装置30へのアクセス履歴32と、解析結果41とに基づいて、電子メール31と、端末装置20とを関連付ける端末特定情報130を生成し、端末特定情報130を端末特定情報記憶部13へ格納する(ステップ102)。
The
電子メール監視装置10における指示部12は、端末特定情報130において、電子メール31と関連付けされた端末装置20に、解析結果41により示された検体指標による不正動作を監視することを指示する(ステップ103)。端末装置20は、電子メール監視装置10における指示部12からの指示に応じて、動作ログ230を参照することによって、不正動作の発生を監視し(ステップS104)、全体の処理は修了する。
In the terminal identification information 130, the
本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことができる。その理由は、電子メール監視システム1では、電子メール監視装置10は、不正な電子メール31を受信した可能性がある端末装置20に対して不正動作を監視することを指示するからである。そして、端末装置20は、電子メール監視装置10からの指示に応じて、不正動作の発生を監視するからである。
The e-mail monitoring system 1 according to the present embodiment can efficiently and reliably monitor the occurrence of fraudulent operations due to receiving fraudulent e-mails. The reason is that in the e-mail monitoring system 1, the
以下に、本実施形態に係る電子メール監視システム1によって実現される効果について、詳細に説明する。 The effects realized by the e-mail monitoring system 1 according to the present embodiment will be described in detail below.
メール解析装置によって不正な電子メールを検知する場合、例えば当該電子メールの宛先(メールアドレス)を把握することは可能であるが、当該電子メールを受信したあるいは今後受信する可能性がある端末装置を特定することまでは、一般的に行なわれていない。もし不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定できれば、当該端末装置に対して不正動作を監視する指示を与えることによって、不正動作の発生に対する監視を効率的に確実に行なうことができる。したがって、電子メールシステムにおいて、不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定し、特定した端末装置に対して不正動作を監視する指示を与えるようにすることが課題である。 When an unauthorized e-mail is detected by a mail analysis device, for example, it is possible to know the destination (e-mail address) of the e-mail, but a terminal device that has received or may receive the e-mail in the future. Until it is specified, it is not generally done. If a terminal device that has received or may receive fraudulent e-mail can be identified, it is possible to efficiently monitor the occurrence of fraudulent operation by giving instructions to the terminal device to monitor the fraudulent operation. Can be done. Therefore, in the e-mail system, it is a challenge to identify the terminal device that has received or may receive the malicious e-mail in the future, and to give an instruction to monitor the unauthorized operation to the specified terminal device. be.
このような課題に対して、本実施形態に係る電子メール監視装置10では、生成部11は、電子メール31が不正動作を発生させる可能性がある不正情報を含むことを表す解析結果41に基づいて、電子メール31と、電子メール31を受信したあるいは今後受信する可能性がある端末装置20とを関連付ける端末特定情報130を生成する。指示部12は、端末特定情報130において、電子メール31と関連付けられた、外部からの指示に応じて不正動作の発生を監視する監視部22を備えた端末装置20に対して、不正動作の発生を監視することを指示する。そして、端末装置20では、監視部22は、電子メール31を受信したあるいは今後受信する可能性があることを、電子メール監視装置10によって検出された場合に、電子メール監視装置10による指示に応じて、不正動作の発生を監視する。すなわち、本実施形態に係る電子メール監視システム1では、メール解析装置40によって検出された不正な電子メール31を受信したあるいは今後受信する可能性がある端末装置20のみが、電子メール監視装置10による指示に応じて、電子メール31に含まれる不正情報によって発生する不正動作の発生を監視する。これにより、本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことができる。
In response to such a problem, in the
また、本実施形態に係る端末装置20のIPアドレスが、例えばDHCP(Dynamic Host Configuration Protocol)によって付与される場合、端末装置20のIPアドレスが流動的に変化する。この場合、生成部11は、端末特定情報130を生成する際に、端末装置20を識別可能な識別子として、IPアドレスの変わりに、MAC(Media Access Control)アドレスを使用可能である。生成部11は、この場合、DHCPサーバ装置の動作ログを解析することによって、端末特定情報130を生成する。そして、この場合、指示部12は、端末特定情報130にMACアドレスが登録されている端末装置20に対して、不正動作の発生を監視することを指示する。
Further, when the IP address of the
また、本実施形態に係る電子メール監視装置10は、電子メール31を、電子メール31を一意に識別可能なメール識別子により管理してもよい。この場合、生成部11は、例えば、メール解析装置40による解析結果41から、電子メール31を一意に識別可能なメール識別子(例えばメッセージID(Message-ID)、IDは「Identifier」を示す)を抽出する。生成部11は、例えば、端末装置20がメールサーバ装置30からSMTPあるいはPOP等によって電子メール31を受信する可能性がある場合に、当該メール識別子と端末装置20とを関連付けた端末特定情報130を生成する。そして、指示部12は、端末特定情報130において、当該メール識別子と関連付けられた端末装置20に対して、不正動作の発生を監視することを指示する。これにより、本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、さらに効率的に確実に行うことができる。
Further, the
また、本実施形態に係る指示部12は、電子メール31に添付された不正なファイルを識別可能なファイル識別情報、あるいは、電子メール31に含まれる不正なURL(通信ネットワークにおけるアクセスアドレス)を、端末装置20に対して通知する。そして、端末装置20における監視部22は、通知されたファイルに対する所定の処理(動作)が発生すること、及び、通知されたURLへのアクセスを契機とする所定の処理が発生することを監視する。前述した所定の処理は、複合的な処理も含んでいる。これにより、本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、より効率的に確実に行うことができる。
Further, the
<第2の実施形態>
図4は、本願発明の第2の実施形態に係る電子メール監視装置50の構成を概念的に示すブロック図である。電子メール監視装置50は、生成部51、及び、指示部52を備えている。
<Second embodiment>
FIG. 4 is a block diagram conceptually showing the configuration of the
生成部51は、電子メール71が不正動作を発生させる可能性がある不正情報710を含むことを表す解析結果に基づいて、電子メール71と、電子メール71を受信したあるいは今後受信する可能性がある端末装置60と、を関連付ける端末特定情報510を生成する。
The
指示部52は、端末特定情報510において、電子メール71と関連付けられた、外部からの指示に応じて不正動作の発生を監視する監視部61を備えた端末装置60に対して、その不正動作の発生を監視することを指示する。
The
本実施形態に係る電子メール監視装置50は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことができる、その理由は、電子メール監視装置50は、不正な電子メール71を受信したあるいは今後受信する可能性がある、不正動作の発生を監視する監視部61を備えた端末装置60に対して、不正動作を監視することを指示するからである。
The
<ハードウェア構成例>
上述した各実施形態において図1、及び、図4に示した電子メール監視装置における各部は、専用のHW(HardWare)(電子回路)によって実現することができる。また、図1、及び、図4において、少なくとも、下記構成は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。
・生成部11及び51、
・指示部12及び52、
但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図5を参照して説明する。
<Hardware configuration example>
In each of the above-described embodiments, each part of the e-mail monitoring device shown in FIGS. 1 and 4 can be realized by a dedicated HW (HardWale) (electronic circuit). Further, in FIGS. 1 and 4, at least the following configuration can be regarded as a function (processing) unit (software module) of a software program.
-
・
However, the division of each part shown in these drawings is a configuration for convenience of explanation, and various configurations can be assumed at the time of mounting. An example of the hardware environment in this case will be described with reference to FIG.
図5は、本願発明の各実施形態に係る電子メール監視装置を実行可能な情報処理装置900(コンピュータ)の構成を例示的に説明する図である。即ち、図5は、図1、及び、図4に示した電子メール監視装置を実現可能なコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。 FIG. 5 is a diagram illustrating an example of a configuration of an information processing device 900 (computer) capable of executing an e-mail monitoring device according to each embodiment of the present invention. That is, FIG. 5 is a configuration of a computer (information processing device) capable of realizing the e-mail monitoring device shown in FIGS. 1 and 4, and is a hardware environment capable of realizing each function in the above-described embodiment. Represents.
図5に示した情報処理装置900は、構成要素として下記を備えている。
・CPU(Central_Processing_Unit)901、
・ROM(Read_Only_Memory)902、
・RAM(Random_Access_Memory)903、
・ハードディスク(記憶装置)904、
・外部装置との通信インタフェース905、
・バス906(通信線)、
・CD−ROM(Compact_Disc_Read_Only_Memory)等の記録媒体907に格納されたデータを読み書き可能なリーダライタ908、
・入出力インタフェース909。
The
-CPU (Central_Processing_Unit) 901,
-ROM (Read_Only_Memory) 902,
-RAM (Random_Access_Memory) 903,
-Hard disk (storage device) 904,
-
・ Bus 906 (communication line),
A reader /
-I /
即ち、上記構成要素を備える情報処理装置900は、これらの構成がバス906を介して接続された一般的なコンピュータである。情報処理装置900は、CPU901を複数備える場合もあれば、マルチコアにより構成されたCPU901を備える場合もある。
That is, the
そして、上述した実施形態を例に説明した本願発明は、図5に示した情報処理装置900に対して、次の機能を実現可能なコンピュータプログラムを供給する。その機能とは、その実施形態の説明において参照したブロック構成図(図1、及び、図4)における上述した構成、或いはフローチャート(図3)の機能である。本願発明は、その後、そのコンピュータプログラムを、当該ハードウェアのCPU901に読み出して解釈し実行することによって達成される。また、当該装置内に供給されたコンピュータプログラムは、読み書き可能な揮発性のメモリ(RAM903)、または、ROM902やハードディスク904等の不揮発性の記憶デバイスに格納すれば良い。
The present invention described by taking the above-described embodiment as an example supplies the
また、前記の場合において、当該ハードウェア内へのコンピュータプログラムの供給方法は、現在では一般的な手順を採用することができる。その手順としては、例えば、CD−ROM等の各種記録媒体907を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等がある。そして、このような場合において、本願発明は、係るコンピュータプログラムを構成するコード或いは、そのコードが格納された記録媒体907によって構成されると捉えることができる。
Further, in the above case, as a method of supplying a computer program into the hardware, a general procedure can be adopted at present. As the procedure, for example, there are a method of installing in the apparatus via
以上、上述した実施形態を模範的な例として本願発明を説明した。しかしながら、本願発明は、上述した実施形態には限定されない。即ち、本願発明は、本願発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。 The invention of the present application has been described above by taking the above-described embodiment as a model example. However, the invention of the present application is not limited to the above-described embodiment. That is, the invention of the present application can apply various aspects that can be understood by those skilled in the art within the scope of the invention of the present application.
尚、上述した各実施形態の一部又は全部は、以下の付記のようにも記載されうる。しかしながら、上述した各実施形態により例示的に説明した本発明は、以下には限られない。すなわち、
(付記1)
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備える電子メール監視装置。
(付記2)
前記生成手段は、前記電子メールを前記端末装置へ配信するメールサーバ装置に対して、前記端末装置がアクセスした履歴に基づいて、前記端末特定情報を生成する、
付記1に記載の電子メール監視装置。
(付記3)
前記生成手段は、前記電子メールと、前記端末装置に付与されたIPアドレスあるいはMACアドレスと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記IPアドレスあるいは前記MACアドレスによって特定される前記端末装置に対して、前記不正動作の発生を監視することを指示する、
付記1または2に記載の電子メール監視装置。
(付記4)
前記生成手段は、前記端末装置と、前記電子メールに含まれる宛先のメールアドレスあるいはメッセージIDと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記宛先のメールアドレスあるいはメッセージIDと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する、
付記1乃至3のいずれか一項に記載の電子メール監視装置。
(付記5)
前記生成手段は、前記電子メールに添付されたファイル、あるいは、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスを、前記不正情報として含む前記電子メールと、前記端末装置とを関連付ける前記端末特定情報を生成する、
付記1乃至4のいずれか一項に記載の電子メール監視装置。
(付記6)
前記生成手段は、前記電子メールに添付されたファイルを識別可能なハッシュ値を含む前記端末特定情報を生成する、
付記5に記載の電子メール監視装置。
(付記7)
前記指示手段は、前記電子メールに添付されたファイルを識別可能なファイル識別情報、あるいは、前記電子メールに含まれる前記アクセスアドレスを、前記端末装置に対して通知する、
付記5または6に記載の電子メール監視装置。
(付記8)
不正動作を発生させる可能性がある不正情報が含まれている電子メールを受信したあるいは今後受信する可能性があることを、電子メール監視装置によって検出された場合に、前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段
を備える端末装置。
(付記9)
前記監視手段は、前記電子メールに添付されたファイルに対する所定の処理が発生すること、及び、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスへのアクセスを契機とする所定の処理が発生することを監視する、
付記8に記載の端末装置。
(付記10)
前記監視手段は、前記電子メールに添付された実行形式のファイルが実行されたこと、及び、前記電子メールに添付された圧縮形式のファイルの圧縮状態が解除されたのちに前記圧縮形式のファイルに含まれるファイルに対する処理の処理が行われたこと、を監視する、
付記9に記載の端末装置。
(付記11)
前記監視手段は、前記電子メールに含まれる、前記アクセスアドレスへのアクセスを契機とする、不審なプロセスの起動、及び、不審な通信の発生を監視する、
付記9または10に記載の端末装置。
(付記12)
自装置の動作ログを記憶する動作ログ記憶手段をさらに備え、
前記監視手段は、前記動作ログ記憶手段に格納済みである前記動作ログ、あるいは、前記動作ログ記憶手段に新たに記憶される前記動作ログを確認することによって、前記不正動作の発生を監視する、
付記8乃至11のいずれか一項に記載の端末装置。
(付記13)
電子メール監視装置と、端末装置と、を有し、
前記電子メール監視装置は、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備え、
前記端末装置は、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段を備える、
電子メール監視システム。
(付記14)
電子メール監視装置によって、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示し、
前記端末装置によって、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する、
電子メール監視方法。
(付記15)
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成処理と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示処理と、
をコンピュータ実行させるための電子メール監視プログラム。
In addition, a part or all of each of the above-mentioned embodiments may be described as the following appendix. However, the present invention exemplified by each of the above-described embodiments is not limited to the following. That is,
(Appendix 1)
Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. A generation method for generating terminal-specific information, and
In the terminal specific information, monitoring the occurrence of the fraudulent operation with respect to the terminal device provided with a monitoring means for monitoring the occurrence of the fraudulent operation in response to an external instruction associated with the e-mail. And the instruction means to instruct
E-mail monitoring device equipped with.
(Appendix 2)
The generation means generates the terminal specific information based on the history of access by the terminal device to the mail server device that delivers the e-mail to the terminal device.
The e-mail monitoring device according to Appendix 1.
(Appendix 3)
The generation means generates the terminal specific information that associates the e-mail with the IP address or MAC address assigned to the terminal device.
The instruction means instructs the terminal device specified by the IP address or the MAC address to monitor the occurrence of the unauthorized operation.
The e-mail monitoring device according to Appendix 1 or 2.
(Appendix 4)
The generation means generates the terminal specific information that associates the terminal device with the destination email address or message ID included in the e-mail.
The instruction means instructs the terminal device associated with the destination e-mail address or message ID to monitor the occurrence of the unauthorized operation.
The e-mail monitoring device according to any one of Supplementary note 1 to 3.
(Appendix 5)
The generation means includes the file attached to the e-mail or the e-mail containing an access address in a communication network included in the e-mail as the malicious information, and the terminal-specific information for associating the terminal device with the e-mail. To generate,
The e-mail monitoring device according to any one of Supplementary note 1 to 4.
(Appendix 6)
The generation means generates the terminal identification information including a hash value that can identify the file attached to the e-mail.
The e-mail monitoring device according to Appendix 5.
(Appendix 7)
The instruction means notifies the terminal device of file identification information that can identify a file attached to the e-mail or the access address included in the e-mail.
The e-mail monitoring device according to Appendix 5 or 6.
(Appendix 8)
Instructions from the e-mail monitoring device when the e-mail monitoring device detects that an e-mail containing malicious information that may cause fraudulent operation has been received or may be received in the future. A terminal device provided with a monitoring means for monitoring the occurrence of the fraudulent operation according to the above.
(Appendix 9)
The monitoring means generates a predetermined process for a file attached to the e-mail, and a predetermined process triggered by an access to an access address in a communication network included in the e-mail. To monitor,
The terminal device according to Appendix 8.
(Appendix 10)
The monitoring means converts the compressed file attached to the e-mail into the compressed file after the executable file attached to the e-mail is executed and the compressed state of the compressed file attached to the e-mail is released. Monitor that processing has been performed on the contained files,
The terminal device according to Appendix 9.
(Appendix 11)
The monitoring means monitors the activation of a suspicious process and the occurrence of suspicious communication contained in the e-mail, triggered by the access to the access address.
The terminal device according to
(Appendix 12)
Further equipped with an operation log storage means for storing the operation log of the own device,
The monitoring means monitors the occurrence of the illegal operation by checking the operation log stored in the operation log storage means or the operation log newly stored in the operation log storage means.
The terminal device according to any one of Supplementary Provisions 8 to 11.
(Appendix 13)
It has an e-mail monitoring device and a terminal device,
The e-mail monitoring device is
Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. A generation method for generating terminal-specific information, and
In the terminal specific information, an instruction means for instructing the terminal device associated with the e-mail to monitor the occurrence of the unauthorized operation, and
Equipped with
The terminal device is
A monitoring means for monitoring the occurrence of the fraudulent operation in response to an instruction from the e-mail monitoring device is provided.
Email monitoring system.
(Appendix 14)
By email monitoring device
Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. Generate device specific information,
In the terminal specific information, the terminal device associated with the e-mail is instructed to monitor the occurrence of the fraudulent operation.
By the terminal device
In response to instructions from the e-mail monitoring device, the occurrence of the fraudulent operation is monitored.
Email monitoring method.
(Appendix 15)
Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. Generation processing to generate terminal specific information and
In the terminal specific information, monitoring the occurrence of the fraudulent operation is performed for the terminal device having a configuration for monitoring the occurrence of the fraudulent operation in response to an external instruction associated with the e-mail. Instruction processing to instruct and
An email monitoring program for running your computer.
1 電子メール監視システム
10 電子メール監視装置
11 生成部
12 指示部
13 端末特定情報記憶部
130 端末特定情報
20 端末装置
21 動作ログ生成部
22 監視部
23 動作ログ記憶部
230 動作ログ
30 メールサーバ装置
31 電子メール
32 アクセス履歴
40 メール解析装置
41 解析結果
50 電子メール監視装置
51 生成部
510 端末特定情報
52 指示部
60 端末装置
61 監視部
71 電子メール
710 不正情報
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク(記憶装置)
905 通信インタフェース
906 バス
907 記録媒体
908 リーダライタ
909 入出力インタフェース
1
902 ROM
903 RAM
904 Hard disk (storage device)
905
Claims (10)
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記端末装置によって行われる動作に関する動作ログを参照して前記不正動作の発生を監視することを指示する指示手段と、
を備える電子メール監視装置。 Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. A generation method for generating terminal-specific information, and
In the terminal specific information, an operation related to an operation performed by the terminal device with respect to the terminal device provided with a monitoring means for monitoring the occurrence of the unauthorized operation in response to an external instruction associated with the e-mail. An instruction means for instructing to monitor the occurrence of the above-mentioned illegal operation by referring to the log, and
E-mail monitoring device equipped with.
請求項1に記載の電子メール監視装置。 The generation means generates the terminal specific information based on the history of access by the terminal device to the mail server device that delivers the e-mail to the terminal device.
The e-mail monitoring device according to claim 1.
前記指示手段は、前記IPアドレスあるいは前記MACアドレスによって特定される前記端末装置に対して、前記不正動作の発生を監視することを指示する
請求項1または2に記載の電子メール監視装置。 The generation means generates the terminal specific information that associates the e-mail with the IP address or MAC address assigned to the terminal device.
The e-mail monitoring device according to claim 1 or 2, wherein the instruction means instructs the terminal device specified by the IP address or the MAC address to monitor the occurrence of the fraudulent operation.
前記指示手段は、前記宛先のメールアドレスあるいはメッセージIDと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する、
請求項1乃至3のいずれか一項に記載の電子メール監視装置。 The generation means generates the terminal specific information that associates the terminal device with the destination email address or message ID included in the e-mail.
The instruction means instructs the terminal device associated with the destination e-mail address or message ID to monitor the occurrence of the unauthorized operation.
The e-mail monitoring device according to any one of claims 1 to 3.
請求項1乃至4のいずれか一項に記載の電子メール監視装置。 The generation means includes the file attached to the e-mail or the e-mail containing an access address in a communication network included in the e-mail as the malicious information, and the terminal-specific information for associating the terminal device with the e-mail. To generate,
The e-mail monitoring device according to any one of claims 1 to 4.
請求項5に記載の電子メール監視装置。 The instruction means notifies the terminal device of file identification information that can identify a file attached to the e-mail or the access address included in the e-mail.
The e-mail monitoring device according to claim 5.
を備える端末装置。 When the e-mail monitoring device detects that an e-mail containing malicious information that may cause a fraudulent operation has been received or may be received in the future, the e-mail monitoring device is used. A terminal device including a monitoring means for monitoring the occurrence of the abnormal operation by referring to an operation log related to an operation performed by the terminal device in response to an instruction.
請求項7に記載の端末装置。 The monitoring means generates a predetermined process for a file attached to the e-mail, and a predetermined process triggered by an access to an access address in a communication network included in the e-mail. To monitor,
The terminal device according to claim 7.
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記端末装置によって行われる動作に関する動作ログを参照して前記不正動作の発生を監視することを指示し、
前記端末装置によって、
前記電子メール監視装置による指示に応じて、前記端末装置によって行われる動作に関する前記動作ログを参照して前記不正動作の発生を監視する、
電子メール監視方法。 By email monitoring device
Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. Generate device specific information,
In the terminal specific information, the terminal device associated with the e-mail is instructed to monitor the occurrence of the unauthorized operation by referring to the operation log related to the operation performed by the terminal device.
By the terminal device
In response to an instruction from the e-mail monitoring device, the occurrence of the fraudulent operation is monitored by referring to the operation log regarding the operation performed by the terminal device.
Email monitoring method.
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記端末装置によって行われる動作に関する動作ログを参照して前記不正動作の発生を監視することを指示する指示処理と、
をコンピュータに実行させるための電子メール監視プログラム。 Based on the analysis result indicating that the e-mail contains fraudulent information that may cause fraudulent operation, the e-mail is associated with the terminal device that has received or may receive the e-mail in the future. Generation processing to generate terminal specific information and
In the terminal specific information, an operation log relating to an operation performed by the terminal device with respect to the terminal device having a configuration for monitoring the occurrence of the unauthorized operation in response to an external instruction associated with the e-mail. And the instruction processing instructing to monitor the occurrence of the above-mentioned illegal operation by referring to
E-mail monitoring program for causing a computer to execute the.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016202645A JP6984114B2 (en) | 2016-10-14 | 2016-10-14 | E-mail monitoring device, terminal device, e-mail monitoring method, and e-mail monitoring program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016202645A JP6984114B2 (en) | 2016-10-14 | 2016-10-14 | E-mail monitoring device, terminal device, e-mail monitoring method, and e-mail monitoring program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018063645A JP2018063645A (en) | 2018-04-19 |
| JP6984114B2 true JP6984114B2 (en) | 2021-12-17 |
Family
ID=61967857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016202645A Expired - Fee Related JP6984114B2 (en) | 2016-10-14 | 2016-10-14 | E-mail monitoring device, terminal device, e-mail monitoring method, and e-mail monitoring program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6984114B2 (en) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008172457A (en) * | 2007-01-10 | 2008-07-24 | Fujitsu Ltd | Terminal identification program, terminal identification device, and mail system |
| JP5892840B2 (en) * | 2012-04-06 | 2016-03-23 | 株式会社日立製作所 | Program analysis system |
-
2016
- 2016-10-14 JP JP2016202645A patent/JP6984114B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018063645A (en) | 2018-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103843007B (en) | Assess the method and system of the social risk caused owing to exposing from the contact person of association | |
| US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| JP6013455B2 (en) | Electronic message analysis for malware detection | |
| TWI593266B (en) | Malicious message detection and processing | |
| CN102694817B (en) | The whether abnormal method of the network behavior of a kind of recognizer, Apparatus and system | |
| US8621282B1 (en) | Crash data handling | |
| JP2020095753A (en) | Automatic detection during malware runtime | |
| JP4938576B2 (en) | Information collection system and information collection method | |
| US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
| JP5920169B2 (en) | Unauthorized connection detection method, network monitoring apparatus and program | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| JP4995170B2 (en) | Fraud detection method, fraud detection device, fraud detection program, and information processing system | |
| US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
| WO2013086141A1 (en) | Detecting malware using stored patterns | |
| JP5779334B2 (en) | Output control device, output control program, output control method, and output control system | |
| GB2491434A (en) | Testing web applications for file upload vulnerabilities | |
| US12430437B2 (en) | Specific file detection baked into machine learning pipelines | |
| WO2013086176A1 (en) | Detecting malware using patterns | |
| CN103679027A (en) | Searching and killing method and device for kernel level malware | |
| CN108959917A (en) | A kind of method, apparatus, equipment and the readable storage medium storing program for executing of Email detection | |
| WO2025016487A2 (en) | Device code-based risk scanning method and system, and computing device | |
| JP6984114B2 (en) | E-mail monitoring device, terminal device, e-mail monitoring method, and e-mail monitoring program | |
| US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
| CN114285588A (en) | Method, device, equipment and storage medium for acquiring attack object information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190913 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210106 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210615 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210914 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20210914 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20210927 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20210928 |
|
| TRDD | Decision of grant or rejection written | ||
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211021 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20211025 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211026 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6984114 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |