JP2006253757A - 電子メールの送信方向判別システム及び判別プログラム - Google Patents
電子メールの送信方向判別システム及び判別プログラム Download PDFInfo
- Publication number
- JP2006253757A JP2006253757A JP2005063441A JP2005063441A JP2006253757A JP 2006253757 A JP2006253757 A JP 2006253757A JP 2005063441 A JP2005063441 A JP 2005063441A JP 2005063441 A JP2005063441 A JP 2005063441A JP 2006253757 A JP2006253757 A JP 2006253757A
- Authority
- JP
- Japan
- Prior art keywords
- address
- transmission direction
- virus
- infected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】外部ネットワークから内部ネットワークを防護するファイアーウォールサーバ12と社内メールサーバ22との間に設置されたメール中継サーバ20に組み込まれたシステムであって、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶部42と、受信した電子メールの接続元IPアドレスを取得する感染メール情報通知部38及びアドレス詐称検知部36と、この接続元IPアドレスと基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定部40を備えた電子メールの送信方向判別システム30。
【選択図】 図2
Description
また、ウィルスチェックプログラムは単にウィルス感染メールを破棄したりウィルスの駆除を行うだけでなく、企業内のシステム管理者に対してその都度警告の電子メールを送信する機能を備えている(非特許文献1、2参照)。
また、現実問題として外部から送られてくるウィルス感染メールの数は膨大であるため、それらについて一々警告メールが送信されてもシステム管理者としては対応しきれないという事情もある。
このため、ウィルスチェックプログラムの多くは、社内から外部に向かうウィルス感染メールに関してシステム管理者に警告メールを送信し、逆方向のウィルス感染メールについては警告メールを送信しないように設定可能となっている。
メールゲートウェイシステム[平成17年2月7日検索] インターネットURL:http://www.cc.mie-u.ac.jp/cc/mailgw.html 電子メール・ゲートウェイ向けウイルス対策ソフトを発売[平成17年2月7日検索] インターネットURL:http://ascii24.com/news/i/soft/article/2002/10/22/639427-000.html?geta
この結果、社内のウィルスに感染したコンピュータの発見が遅れるのはもちろんであるが、外部から送信されたウィルス感染メールに関する警告メールがシステム管理者の元に大量に送り付けられることとなり、正常な業務の遂行を妨げる事態も生じる。
しかしながら、そもそもアドレスを詐称しているような電子メールは、送信方向の如何を問わず企業にとって有益である筈がない。
例えば、社内から外部に向けてアドレスを詐称した電子メールが発信されるパターンとしては、社内のコンピュータに感染したウィルスの動作により、アドレス帳に登録された取引先の電子メールアドレスをFromアドレスに記載した電子メールが生成され、同じくアドレス帳に登録された第三の企業に向けて送信される場合が想定される。この際、当該企業の機密ファイルが添付される危険性もある。
これに対し、外部から社内に向けてアドレス詐称メールが送信されるパターンとしては、当該企業のある社員を陥れる目的で、当該社員のアドレスを騙った誹謗中傷メールが外部から他の社員に送信される場合が想定される。
このように、アドレス詐称メールは企業にとって百害あって一利なしであるにもかかわらず、これまでは送信方向の判別をヘッダ情報に基づいて行っていたため、アドレス詐称の有無を検知すること自体が不可能であった。
この結果、例えば送信方向がOutboundであるウィルス感染メールに関する情報のみを、管理者に対し確実に伝達することが可能となる。
この結果、企業にとって有害なアドレス詐称メールの送受信を事前に排除等することが可能となる。
社内ネットワーク18は、ファイアーウォールサーバ12に接続されたメール中継サーバ20と、このメール中継サーバ20に接続された複数の社内メールサーバ22と、各メールサーバ22に接続された多数の社内クライアントPC24とから構成される。
また、クライアントPCの中の少なくとも一台は、システム管理者によって利用され、管理者端末26として機能する。
図2は、メール中継サーバ20の機能構成を示すブロック図であり、中継処理部32と、ウィルス検知部34と、感染メール情報記憶部36と、感染メール情報通知部38と、送信方向判定部40と、基準IPアドレス記憶部42と、管理者情報記憶部44と、アドレス詐称検知部36とを備えている。
上記中継処理部32、ウィルス検知部34、感染メール情報通知部38、送信方向判定部40及びアドレス詐称検知部36は、メール中継サーバ20のCPUが、OS及び専用のアプリケーションプログラムに従って必要な処理を実行することによって実現される。
また、上記感染メール情報記憶部36、基準IPアドレス記憶部42及び管理者情報記憶部44は、メール中継サーバ20のハードディスク内に設けられている。
基準IPアドレス記憶部42には、電子メールの送信方向を判定する際の基準となるコンピュータのIPアドレスから予め登録されている。ここでは、社内メールサーバ22のIPアドレスが登録されているものとする。
管理者情報記憶部44には、予めシステム管理者の氏名、役職、電子メールアドレスが登録されている。
まず、メール中継サーバ20の中継処理部32が新たな電子メールを受信すると(S10)、ウィルス検知部34が起動し、ウィルス定義ファイルに登録されたコンピュータウィルスが当該電子メールに含まれているか否かをチェックする。
ここでウィルスに感染していることが判明した場合(S12)、中継処理部32は当該電子メールを破棄する(S14)。
同時に、ウィルス検知部34によって当該ウィルス感染メールに関するログ情報が感染メール情報記憶部36に格納される(S16)。感染メール情報記憶部36に格納される情報の項目として、少なくともウィルス感染メールのヘッダ情報及び接続元IPアドレスが含まれている。
これを受けた送信方向判定部40は、基準IPアドレス記憶部42に登録された社内メールサーバ22の各IPアドレスとウィルス感染メールの接続元IPアドレスとを比較し、両者が一致するか否かを判定する(S20)。
ここで、ウィルス感染メールの接続元IPアドレスが社内メールサーバ22の何れかのIPアドレスと一致した場合、送信方向判定部40は当該ウィルス感染メールの送信方向をOutbound、すなわち社内から外部に向けて送信されたものと認定し、その結果を感染メール情報通知部38に返す。
つぎに感染メール情報通知部38は、この警告メールを社内メールサーバ22経由でシステム管理者のクライアントPC26に送信する。
この警告メールを受信したシステム管理者は、直ちに発信源となったクライアントPC24を特定し、コンピュータウィルスのチェック及び駆除を実行する。
この場合、感染メール情報通知部38はシステム管理者に対して報告する必要がない事案と判断し、システム管理者に宛てた警告メールの送信を行わない。
これを受けた送信方向判定部40は、基準IPアドレス記憶部42に登録された社内メールサーバ22の各IPアドレスとウィルス非感染メールの接続元IPアドレスとを比較し、両者が一致するか否かを判定する。
ここで、ウィルス非感染メールの接続元IPアドレスが社内メールサーバ22の何れかのIPアドレスと一致した場合(S32)、送信方向判定部40は当該ウィルス非感染メールの送信方向をOutbound、すなわち社内から外部に向けて送信されたものと認定し、その結果をアドレス詐称検知部36に返す。
ここで、Fromアドレスが社内ドメイン名と一致する場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が整合するため適正な電子メールであると認定され、中継処理部32を通じて外部のメールサーバ14に中継される(S38)。
これに対し、Fromアドレスが社内ドメイン名と一致しない場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が矛盾するためアドレス詐称メールであると認定され、中継処理部32によって破棄される(S40)。
ここで、Fromアドレスが社内ドメイン名と一致しない場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が整合するため適正な電子メールであると認定され、中継処理部32を通じて社内メールサーバ22に中継される(S38)。
これに対し、Fromアドレスが社内ドメイン名と一致した場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が矛盾するためアドレス詐称メールであると認定され、中継処理部32によって破棄される(S40)。
例えば、ファイアーウォールサーバ12のIPアドレスを基準IPアドレスとして基準IPアドレス記憶部42に登録しておいた場合、送信方向判定部40はその接続元IPアドレスが基準IPアドレスと一致する電子メールをInboundと判定し、一致しない電子メールをOutboundと判定する。
また、この発明に係る電子メールの送信方向判別システムを、上記のようにメール中継サーバ20の一機能としてこれに組み込む代わりに、独立した装置として構成することも当然に可能である。
12 ファイアーウォールサーバ
14 メールサーバ
18 社内ネットワーク
20 メール中継サーバ
22 社内メールサーバ
26 管理者端末
30 電子メールの送信方向判別システム
32 中継処理部
34 ウィルス検知部
36 アドレス詐称検知部
36 感染メール情報記憶部
38 感染メール情報通知部
40 送信方向判定部
42 アドレス記憶部
44 管理者情報記憶部
Claims (6)
- 外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムであって、
電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段と、
受信した電子メールの接続元IPアドレスを取得する手段と、
この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段と、
を備えたことを特徴とする電子メールの送信方向判別システム。 - 受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段と、
当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段と、
を備えたことを特徴とする請求項1に記載の電子メールの送信方向判別システム。 - 上記ファイアーウォールのIPアドレスが基準IPアドレス記憶手段に格納されており、
上記送信方向判定手段は、電子メールの接続元IPアドレスがファイアーウォールのIPアドレスと一致する場合に当該電子メールの送信方向を外部から内部に向かうInboundと判定し、一致しない場合には内部から外部に向かうOutboundと判定することを特徴とする請求項1または2に記載の電子メールの送信方向判別システム。 - 上記内部ネットワークに接続されたメールサーバのIPアドレスが基準IPアドレス記憶手段に格納されており、
上記送信方向判定手段は、電子メールの接続元IPアドレスが当該メールサーバのIPアドレスと一致する場合に当該電子メールの送信方向を内部から外部に向かうOutboundと判定し、一致しない場合には外部から内部に向かうInboundと判定することを特徴とする請求項1または2に記載の電子メールの送信方向判別システム。 - 外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムを実現するためのコンピュータプログラムであって、
コンピュータを、
電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段、
受信した電子メールの接続元IPアドレスを取得する手段、
この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段、
として機能させることを特徴とする電子メールの送信方向判別プログラム。 - コンピュータを、
受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段、
当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段、
として機能させることを特徴とする請求項5に記載の電子メールの送信方向判別プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005063441A JP4480604B2 (ja) | 2005-03-08 | 2005-03-08 | 電子メールの送信方向判別システム及び判別プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005063441A JP4480604B2 (ja) | 2005-03-08 | 2005-03-08 | 電子メールの送信方向判別システム及び判別プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006253757A true JP2006253757A (ja) | 2006-09-21 |
JP4480604B2 JP4480604B2 (ja) | 2010-06-16 |
Family
ID=37093815
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005063441A Expired - Fee Related JP4480604B2 (ja) | 2005-03-08 | 2005-03-08 | 電子メールの送信方向判別システム及び判別プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4480604B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009302823A (ja) * | 2008-06-12 | 2009-12-24 | Nec Biglobe Ltd | 電子メールシステム、電子メール転送方法、プログラム |
JP2011507453A (ja) * | 2007-12-18 | 2011-03-03 | ソーラーウィンズ ワールドワイド、エルエルシー | フロー情報に基づくネットワークデバイスのacl構成方法 |
-
2005
- 2005-03-08 JP JP2005063441A patent/JP4480604B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011507453A (ja) * | 2007-12-18 | 2011-03-03 | ソーラーウィンズ ワールドワイド、エルエルシー | フロー情報に基づくネットワークデバイスのacl構成方法 |
JP2009302823A (ja) * | 2008-06-12 | 2009-12-24 | Nec Biglobe Ltd | 電子メールシステム、電子メール転送方法、プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP4480604B2 (ja) | 2010-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8677487B2 (en) | System and method for detecting a malicious command and control channel | |
US10637880B1 (en) | Classifying sets of malicious indicators for detecting command and control communications associated with malware | |
US9122877B2 (en) | System and method for malware and network reputation correlation | |
US9392002B2 (en) | System and method of providing virus protection at a gateway | |
US7610375B2 (en) | Intrusion detection in a data center environment | |
US9413785B2 (en) | System and method for interlocking a host and a gateway | |
US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
EP2401849B1 (en) | Detecting malicious behaviour on a computer network | |
US7607010B2 (en) | System and method for network edge data protection | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
US8869268B1 (en) | Method and apparatus for disrupting the command and control infrastructure of hostile programs | |
US20060288418A1 (en) | Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis | |
CA2940644A1 (en) | System and method for verifying and detecting malware | |
US20130097661A1 (en) | System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file | |
KR20140045448A (ko) | 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 | |
US20140137189A1 (en) | Cross-site request forgery protection | |
US8082584B1 (en) | System, method, and computer program product for conditionally performing a scan on data based on an associated data structure | |
JP2007179523A (ja) | 悪意データを検出する端末装置及び関連方法 | |
JP4480604B2 (ja) | 電子メールの送信方向判別システム及び判別プログラム | |
Mooloo et al. | An SSL-based client-oriented anti-spoofing email application | |
US20160337394A1 (en) | Newborn domain screening of electronic mail messages | |
Overton | Anti-malware tools: intrusion detection systems | |
JP4447479B2 (ja) | データ処理装置 | |
JP4768064B2 (ja) | データ処理装置 | |
JP2024038784A (ja) | 情報処理システム、サーバ装置、サーバ装置の制御方法、クライアント端末装置、クライアント端末装置の制御方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070920 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091008 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091027 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091225 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100309 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100316 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130326 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140326 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |