JP2006517310A - 組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム - Google Patents
組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム Download PDFInfo
- Publication number
- JP2006517310A JP2006517310A JP2004561947A JP2004561947A JP2006517310A JP 2006517310 A JP2006517310 A JP 2006517310A JP 2004561947 A JP2004561947 A JP 2004561947A JP 2004561947 A JP2004561947 A JP 2004561947A JP 2006517310 A JP2006517310 A JP 2006517310A
- Authority
- JP
- Japan
- Prior art keywords
- organization
- email message
- malicious code
- sender
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本発明は、組織の電子メールメッセージにおいて悪質コードの存在を検知する方法と、そのためのシステムとを対象とするものである。前記方法は、前記組織の着信電子メールメッセージおよび送信電子メールメッセージまたはいずれか一方に関する情報を収集するステップ(202)と、前記メッセージ中で悪質コードの存在を指摘し得る前記収集情報の共通点を発見するために前記収集情報を分析するステップ(203)と、発見した共通点および発見した共通点の組み合わせまたはそのいずれか一方により、前記電子メールメッセージ中での悪質コードの存在の嫌疑を決定するステップ(204)と、前記電子メールメッセージ中での悪質コードの存在の嫌疑を確定した時点で、警報手順を起動するステップ(205)とを含む。
Description
本発明は、悪質コード検知の分野に関する。より詳細には、本発明は、組織の電子メールメッセージにおいて悪質コードの存在を検知するための方法およびシステムに関する。
インターネットが通信媒体として普及するほど、ユーザーが電子メールサービスを利用する度合いも増大する。その結果、電子メールは、コンピューターウイルスをはじめとするその他の悪質コードを伝搬する主要な経路の1つとなる。
電子メールを通じて悪質コードを伝搬する最も一般的な方法は、電子メールメッセージに悪質コードを添付するものである。場合によっては、添付ファイルについて、ユーザーが例えばアイコンで知らせを受けると、それをもとに実行可能ファイルを起動するか否かを決定することができる。しかし、場合によっては、メッセージが開かれる瞬間、もしくは開かれる以前のメッセージがプレビューされる際に、悪質コードが自動的に実行される(いくつかの電子メールソフトウェアバージョンでは、ユーザーが電子メールメッセージを開く前に電子メールメッセージをプレビューできるようになっている)。例えば、HTML形式の電子メールメッセージを表示すると、悪質コードを含むおそれのあるコード(例えばJava(登録商標) Applet)をも実行する場合がある。
電子メールクライアントソフトウェア製品では、ユーザーが通信する際に使用する通信相手の電子メールアドレスを含むアドレス帳を保存できるようになっている。電子メールクライアントは、また選択された送信済み電子メールメッセージおよび受信済み電子メールメッセージまたはそのいずれか一方を格納するが、それらもまた送信者の電子メールアドレスを含んでおり、さらに追加的な受信者がいる場合には、その電子メールアドレスも含んでいる。この電子メールアドレスの蓄積は、悪質コードを伝搬する悪意の目的に利用できる。なおまた、アドレス帳や電子メールメッセージからアドレスが引用された受信者が送信者と懇意である場合、多くの場合、受信者は、受け取った電子メールに悪質コードが含まれているとは疑わない。
電子メールを通じて悪質コードを伝搬する最も一般的な方法は、電子メールメッセージに悪質コードを添付するものである。場合によっては、添付ファイルについて、ユーザーが例えばアイコンで知らせを受けると、それをもとに実行可能ファイルを起動するか否かを決定することができる。しかし、場合によっては、メッセージが開かれる瞬間、もしくは開かれる以前のメッセージがプレビューされる際に、悪質コードが自動的に実行される(いくつかの電子メールソフトウェアバージョンでは、ユーザーが電子メールメッセージを開く前に電子メールメッセージをプレビューできるようになっている)。例えば、HTML形式の電子メールメッセージを表示すると、悪質コードを含むおそれのあるコード(例えばJava(登録商標) Applet)をも実行する場合がある。
電子メールクライアントソフトウェア製品では、ユーザーが通信する際に使用する通信相手の電子メールアドレスを含むアドレス帳を保存できるようになっている。電子メールクライアントは、また選択された送信済み電子メールメッセージおよび受信済み電子メールメッセージまたはそのいずれか一方を格納するが、それらもまた送信者の電子メールアドレスを含んでおり、さらに追加的な受信者がいる場合には、その電子メールアドレスも含んでいる。この電子メールアドレスの蓄積は、悪質コードを伝搬する悪意の目的に利用できる。なおまた、アドレス帳や電子メールメッセージからアドレスが引用された受信者が送信者と懇意である場合、多くの場合、受信者は、受け取った電子メールに悪質コードが含まれているとは疑わない。
電子メールメッセージにおいて悪質コードを検知する従来の方法では、電子メールをローカルレベルで検査、すなわち各々のメッセージとその付属の実行可能ファイルを1つずつ調べる。
ファイルにおけるウイルスやその他の形をとる悪質コードの検知は、2つの主要な方法、すなわちウイルスシグネチャーとコードの分析によって遂行される。しかし実際には、このことを目的とする従来技術において、周知の方法は、他にも多数存在する。
「ウイルスシグネチャー」は、感染したコードにウイルスが残す特有のビットパターンである。これを指紋のように、特定のウイルスの検知と識別に役立てることができる。前記シグネチャー分析の大きな欠点は、最初に(感染したコードを元のコードと比較することにより)ウイルスを検知し、隔離しなければならないことである。そのようにして、初めてウイルス対策の企業は、ユーザーの間でシグネチャー特性を配布できる。
前記シグネチャー分析の別の欠点として、ウイルスの「作者」は、非有効機械語コマンドを有効機械語コマンド間に追加することによって、シグネチャーのなり済ましをすることがある。さらに、追加するコマンドは、無作為に選択できるため、シグネチャーが一定になることを回避できる。
実行可能ファイル内で悪質コードを検知する他の方法は、その動作を分析することである。悪質コードは、通常、実行可能ファイルの末尾に追加され、その実行可能ファイルは、実行されるべき最初のコマンドが追加されたコードとなるよう変更されるため、このような動作パターンは、悪質コードの指標となり得る。コード分析方法の大きな欠点は、その手順が単純ではないこと、またその結果、有意義な成果を得るまでに多大な労力を余儀なくされることである。そのうえ、感染の成果にはあたらない悪質な実行可能ファイルは、実際には「正当な」実行可能ファイルであり、したがって悪質なものとして指摘するのは、非常に困難である。
前記組織レベルでは、組織のローカルネットワークのゲートウェイか、またはそのメールサーバーにおいてフィルタリング機構を設置するのが一般的であり、それにより、ユーザーのメールボックスに届けられるよりも前に、各着信電子メールメッセージを検査することが可能になる。実際、この解決法によれば、前記組織は、単一のユーザーとして扱われる。アラジン ノゥリッジ システムズ(Aladdin Knowledge Systems)(www.eAladdin.com)が製造および販売しているeSafe Gatewayは、そのような製品の一例である。また、ユーザーのマシンだけでウイルスをフィルターする他の組織もある。この場合には、例えば自身のウイルス対策プログラムの更新を怠ったために感染したユーザーが、組織全体に被害を与えるおそれがある。
組織レベルで作動するフィルタリング機構は、ローカルレベルのフィルタリング機構と同じ仕組みで作動する。すなわち、各着信電子メールメッセージを別々に検査するため、前述したローカルフィルタリング機構と同じ欠点を有する。
ファイルにおけるウイルスやその他の形をとる悪質コードの検知は、2つの主要な方法、すなわちウイルスシグネチャーとコードの分析によって遂行される。しかし実際には、このことを目的とする従来技術において、周知の方法は、他にも多数存在する。
「ウイルスシグネチャー」は、感染したコードにウイルスが残す特有のビットパターンである。これを指紋のように、特定のウイルスの検知と識別に役立てることができる。前記シグネチャー分析の大きな欠点は、最初に(感染したコードを元のコードと比較することにより)ウイルスを検知し、隔離しなければならないことである。そのようにして、初めてウイルス対策の企業は、ユーザーの間でシグネチャー特性を配布できる。
前記シグネチャー分析の別の欠点として、ウイルスの「作者」は、非有効機械語コマンドを有効機械語コマンド間に追加することによって、シグネチャーのなり済ましをすることがある。さらに、追加するコマンドは、無作為に選択できるため、シグネチャーが一定になることを回避できる。
実行可能ファイル内で悪質コードを検知する他の方法は、その動作を分析することである。悪質コードは、通常、実行可能ファイルの末尾に追加され、その実行可能ファイルは、実行されるべき最初のコマンドが追加されたコードとなるよう変更されるため、このような動作パターンは、悪質コードの指標となり得る。コード分析方法の大きな欠点は、その手順が単純ではないこと、またその結果、有意義な成果を得るまでに多大な労力を余儀なくされることである。そのうえ、感染の成果にはあたらない悪質な実行可能ファイルは、実際には「正当な」実行可能ファイルであり、したがって悪質なものとして指摘するのは、非常に困難である。
前記組織レベルでは、組織のローカルネットワークのゲートウェイか、またはそのメールサーバーにおいてフィルタリング機構を設置するのが一般的であり、それにより、ユーザーのメールボックスに届けられるよりも前に、各着信電子メールメッセージを検査することが可能になる。実際、この解決法によれば、前記組織は、単一のユーザーとして扱われる。アラジン ノゥリッジ システムズ(Aladdin Knowledge Systems)(www.eAladdin.com)が製造および販売しているeSafe Gatewayは、そのような製品の一例である。また、ユーザーのマシンだけでウイルスをフィルターする他の組織もある。この場合には、例えば自身のウイルス対策プログラムの更新を怠ったために感染したユーザーが、組織全体に被害を与えるおそれがある。
組織レベルで作動するフィルタリング機構は、ローカルレベルのフィルタリング機構と同じ仕組みで作動する。すなわち、各着信電子メールメッセージを別々に検査するため、前述したローカルフィルタリング機構と同じ欠点を有する。
したがって、本発明の目的は、前記組織レベルで実施される個別ウイルス検知方法よりも優れた、組織の電子メールメッセージにおいて悪質コードの存在を検知するための方法とシステムとを提供することである。
本発明の他の目的は、未知のウイルスを検知できる、組織の電子メールメッセージにおいて悪質コードの存在を検知するための方法とシステムとを提供することである。
本発明の他の目的と利点は、説明が進むにつれて明らかとなろう。
本発明の他の目的は、未知のウイルスを検知できる、組織の電子メールメッセージにおいて悪質コードの存在を検知するための方法とシステムとを提供することである。
本発明の他の目的と利点は、説明が進むにつれて明らかとなろう。
1つの態様において、本発明は、組織の電子メールメッセージにおいて悪質コードの存在を検知する方法を対象とするものであって、前記組織の着信電子メールメッセージおよび送信電子メールメッセージまたはそのいずれか一方に関する情報を収集するステップと、前記メッセージ中で悪質コードの存在を指摘し得る収集情報の共通点を発見するために収集情報を分析するステップと、発見した共通点および発見した共通点の組み合わせまたはそのいずれか一方により、前記電子メールメッセージ中で悪質コードの存在の嫌疑を決定するステップと、そして前記電子メールメッセージ中での悪質コードの存在の嫌疑を確定した時点で、警報手順を起動するステップを含む。
別の態様において、本発明は、組織の電子メールメッセージにおいて悪質コードの存在を検知するシステムを対象とするものであって、前記システムは、着信電子メールメッセージおよび送信電子メールメッセージに関する収集情報を格納する格納手段と、電子メールメッセージ内での悪質コードの存在の可能性を決定する際に共通点を格納情報の中で決定する、1つまたは複数のアナライザーとを備える。
別の態様において、本発明は、組織の電子メールメッセージにおいて悪質コードの存在を検知するシステムを対象とするものであって、前記システムは、着信電子メールメッセージおよび送信電子メールメッセージに関する収集情報を格納する格納手段と、電子メールメッセージ内での悪質コードの存在の可能性を決定する際に共通点を格納情報の中で決定する、1つまたは複数のアナライザーとを備える。
本発明は、添付の図面を参照することで、より良く理解されよう。
本明細書において「悪質コード」という用語は、ユーザーが自らのコンピューターを意図した通りに使用することを阻むあらゆる種類のソフトウェアを指す。ここには実行可能ファイル(例えばWindows(登録商標) EXEファイル)、敵対的なJava(登録商標) Applet、ActiveXバンダル、トロイの木馬、スクリプト、バンダル、デジタル情報を破壊、もしくは盗用すべく設計されたウイルスや、その他のものが含まれる。したがって、「悪質な活動」という用語は、本明細書において、ユーザーが自らのコンピューターを意図した通りに使用することを阻むことを目的とした悪質コードの、あらゆる活動を指す。
図1は、従来技術による、電子メール送達およびフィルタリングの動作とインフラストラクチャーとを概略的に示す図である。メールサーバー10は、ユーザー41から44にそれぞれ帰属する電子メールアカウント11から14を保持する。別のメールサーバー20は、ユーザー21から23のために働くものである。前記メールサーバー10は、また着信電子メールメッセージ内で悪質コードの存在を検知するための電子メールフィルタリング機構15を備える。メールサーバーは、メール転送エージェント(MTA)によって別のメールサーバーと通信する。前記MTAは、前記メールサーバーの一部であることも、独立した存在であることもある。図1を参照すると、MTA19と結合するメールサーバー10は、MTA19によって、インターネット100を通じてメールサーバー20のMTA29と通信する。
例えばユーザー21から例えばユーザー42にかけて送信される電子メールメッセージは、前記メールサーバー20を通過し、前記インターネット100を通じて、メールサーバー10に到達する。前記メールサーバー10では、前記フィルタリング機構15によってこの電子メールメッセージがスキャンされ、さらに悪質コードが検知されない場合には、ユーザー42に帰属する電子メールボックス12の中に格納される。次回、ユーザー42は自身のメールボックス12を開ける際に、送達された電子メールメッセージに気付く。
本明細書において「悪質コード」という用語は、ユーザーが自らのコンピューターを意図した通りに使用することを阻むあらゆる種類のソフトウェアを指す。ここには実行可能ファイル(例えばWindows(登録商標) EXEファイル)、敵対的なJava(登録商標) Applet、ActiveXバンダル、トロイの木馬、スクリプト、バンダル、デジタル情報を破壊、もしくは盗用すべく設計されたウイルスや、その他のものが含まれる。したがって、「悪質な活動」という用語は、本明細書において、ユーザーが自らのコンピューターを意図した通りに使用することを阻むことを目的とした悪質コードの、あらゆる活動を指す。
図1は、従来技術による、電子メール送達およびフィルタリングの動作とインフラストラクチャーとを概略的に示す図である。メールサーバー10は、ユーザー41から44にそれぞれ帰属する電子メールアカウント11から14を保持する。別のメールサーバー20は、ユーザー21から23のために働くものである。前記メールサーバー10は、また着信電子メールメッセージ内で悪質コードの存在を検知するための電子メールフィルタリング機構15を備える。メールサーバーは、メール転送エージェント(MTA)によって別のメールサーバーと通信する。前記MTAは、前記メールサーバーの一部であることも、独立した存在であることもある。図1を参照すると、MTA19と結合するメールサーバー10は、MTA19によって、インターネット100を通じてメールサーバー20のMTA29と通信する。
例えばユーザー21から例えばユーザー42にかけて送信される電子メールメッセージは、前記メールサーバー20を通過し、前記インターネット100を通じて、メールサーバー10に到達する。前記メールサーバー10では、前記フィルタリング機構15によってこの電子メールメッセージがスキャンされ、さらに悪質コードが検知されない場合には、ユーザー42に帰属する電子メールボックス12の中に格納される。次回、ユーザー42は自身のメールボックス12を開ける際に、送達された電子メールメッセージに気付く。
図2は、従来技術による、組織に着信する電子メールのフィルタリング活動を概略的に示す図である。組織の前記メールサーバー10に到着した電子メールメッセージ1は、前記フィルタリング機構15によってスキャンされる。前記電子メールメッセージ1内で悪質コードが発見されなければ、前記組織内のしかるべき電子メールクライアントに前記電子メールメッセージが送達され、悪質コードが発見された場合は、受信者に対して適宜なメッセージが送信される。勿論、発見された悪質コードについて受信者に通知する代わりに、あるいは通知することに加えて、前記フィルタリング機構15は、前記電子メールメッセージから前記悪質ファイルを取り除いてもよく、また、前記ファイルから前記悪質コードを除去してもよい。
図3は、本発明の好適な実施形態により、組織に着信する不審な電子メールを検知する処理とシステムを概略的に示す図である。
本発明の好適な実施形態によると、各々の着信電子メールメッセージを個別に検査する従来技術とは反対に、送信/着信電子メールメッセージの電子メールアドレスの中で共通点を判定することによって、前記組織レベルで悪質な活動の検知を遂行する。
本発明の好適な実施形態によると、悪質な活動の検知に用いる情報は、前記組織の着信/送信メールの電子メールアドレスである。
電子メール形式は、フィールド、例えば送信者の電子メールアドレス、受信者(一名または複数名)の電子メールアドレス、電子メールメッセージ本文、その他から成る。電子メールアドレスもまたフィールドから成る。
例:
"owner_name"<mailbox_name@mail_server_name>は、一般的な電子メールアドレス形式である。"Joseph Smith"<jsmith@hotmail.com>は、この形式に一致する電子メールアドレスである。
図3は、本発明の好適な実施形態により、組織に着信する不審な電子メールを検知する処理とシステムを概略的に示す図である。
本発明の好適な実施形態によると、各々の着信電子メールメッセージを個別に検査する従来技術とは反対に、送信/着信電子メールメッセージの電子メールアドレスの中で共通点を判定することによって、前記組織レベルで悪質な活動の検知を遂行する。
本発明の好適な実施形態によると、悪質な活動の検知に用いる情報は、前記組織の着信/送信メールの電子メールアドレスである。
電子メール形式は、フィールド、例えば送信者の電子メールアドレス、受信者(一名または複数名)の電子メールアドレス、電子メールメッセージ本文、その他から成る。電子メールアドレスもまたフィールドから成る。
例:
"owner_name"<mailbox_name@mail_server_name>は、一般的な電子メールアドレス形式である。"Joseph Smith"<jsmith@hotmail.com>は、この形式に一致する電子メールアドレスである。
本発明の好適な実施形態によると、ある1つの送信元から受信した複数のメッセージから成る集団のowner_nameフィールドがアルファベット順に並んでいる場合、それは当該の送信元を信用できないこと、したがって、この送信元からのメッセージは、悪質な内容を含んでいる可能性があることを指摘するものである。メールボックス名フィールドにも同じことが当てはまる。したがって、アルファベット順に並んだある1つの送信元からの着信電子メールメッセージは、不審なものとして扱うことができる。
ここで図3を参照すると、データベース17は、着信電子メールメッセージおよび送信電子メールメッセージ1またはそのいずれか一方に関する情報を格納している(例えば、着信電子メールメッセージの宛先電子メールアドレスとその送信元の電子メールアドレス)。分析機構16(ソフトウェアモジュール等)は、共通点を発見するため、例えば特定の送信者から届いたメッセージがアルファベット順で並んでいることを発見するため、データベース17の中で収集された情報を検索し、分析する。
前記着信電子メールメッセージおよびその送信者またはそのいずれか一方が不審であると前記分析機構16が指摘する場合には、その嫌疑を確証できるかまたは嫌疑の誤りを証明できるまで、電子メールメッセージの送達を一時的に保留してもよい。
勿論、着信電子メールメッセージを個別に分析するためにフィルタリング機構15を利用してもよい。
ここで図3を参照すると、データベース17は、着信電子メールメッセージおよび送信電子メールメッセージ1またはそのいずれか一方に関する情報を格納している(例えば、着信電子メールメッセージの宛先電子メールアドレスとその送信元の電子メールアドレス)。分析機構16(ソフトウェアモジュール等)は、共通点を発見するため、例えば特定の送信者から届いたメッセージがアルファベット順で並んでいることを発見するため、データベース17の中で収集された情報を検索し、分析する。
前記着信電子メールメッセージおよびその送信者またはそのいずれか一方が不審であると前記分析機構16が指摘する場合には、その嫌疑を確証できるかまたは嫌疑の誤りを証明できるまで、電子メールメッセージの送達を一時的に保留してもよい。
勿論、着信電子メールメッセージを個別に分析するためにフィルタリング機構15を利用してもよい。
前記データベース17の中に格納されるデータは、一時的な性質のものであるため、暫く時間を置いた後、例えば12時間後に、前記データベースから削除してもよい。
着信電子メールメッセージ中の共通点の例:
− ある送信者からの前記着信電子メールメッセージの受信者の名前がアルファベット順に並んでいる。
− ある送信者からの前記着信電子メールメッセージの電子メールアドレスがアルファベット順に並んでいる。
− ある送信者からの着信メッセージの前記受信者の大多数が、前記組織において有効ではないアドレスにあたる(たとえメールサーバー名が有効であっても。元来メールサーバー名が有効でなければ、その電子メールメッセージは、そのメールサーバーで受け付けられない)。
着信または送信電子メールメッセージ中の共通点の例:
− 着信/送信メールメッセージで繰り返される本文および添付ファイルまたはそのいずれか一方。
− 着信/送信メールメッセージで添付ファイル(1つまたは複数)が繰り返される。
− 着信/送信メールメッセージで添付ファイルの名称(1つまたは複数)が繰り返される。
なお、データベースという用語は、本明細書において、例えばメモリーアレイ等、あらゆる格納手段および検索手段を指すことに留意されたい。
着信電子メールメッセージ中の共通点の例:
− ある送信者からの前記着信電子メールメッセージの受信者の名前がアルファベット順に並んでいる。
− ある送信者からの前記着信電子メールメッセージの電子メールアドレスがアルファベット順に並んでいる。
− ある送信者からの着信メッセージの前記受信者の大多数が、前記組織において有効ではないアドレスにあたる(たとえメールサーバー名が有効であっても。元来メールサーバー名が有効でなければ、その電子メールメッセージは、そのメールサーバーで受け付けられない)。
着信または送信電子メールメッセージ中の共通点の例:
− 着信/送信メールメッセージで繰り返される本文および添付ファイルまたはそのいずれか一方。
− 着信/送信メールメッセージで添付ファイル(1つまたは複数)が繰り返される。
− 着信/送信メールメッセージで添付ファイルの名称(1つまたは複数)が繰り返される。
なお、データベースという用語は、本明細書において、例えばメモリーアレイ等、あらゆる格納手段および検索手段を指すことに留意されたい。
図4は、本発明の好適な実施形態により、組織から送信する不審な電子メールを検知する処理とシステムとを概略的に示す図である。着信する電子メールメッセージの分析は、前記組織に害を及ぼす企てを示唆することもあるが、他方で、送信する電子メールの分析は、前記組織内ですでに実行された悪質な活動を示唆することもある。
図4を参照すると、電子メールボックス11から送信された電子メールメッセージ2に関する情報は、データベース17で収集される。分析機構16は、データ中で共通点(1つまたは複数)の発見を試み、このような共通点が発見された場合には、前記電子メールが送信される以前の悪質コードの活動の可能性を推定するため、いくつかの発見的方法が実施される。
送信電子メールメッセージ中の共通点の例:
− 前記組織内のある送信者から送信する電子メールメッセージの受信者または電子メールアドレスがアルファベット順に並んでいる。
− 前記組織内のある送信者から送信する電子メールメッセージの前記受信者の大多数が、前記送信者のアドレス帳の中に存在する。
− 前記組織内のある送信者から送信する電子メールメッセージの受信者の大多数が、前記組織のアドレス帳の中に存在する。
− 前記組織内のある送信者から送信する電子メールメッセージの受信者の大多数が、前記組織のアドレス帳の中に存在しない。
− 前記組織内のある送信者から送信する電子メールメッセージの受信者の大多数が、前記送信者/組織のアドレス帳の順序で並んでいる。
− コンピューターがアイドル状態の時(例えば、ユーザーが(メールソフトウェアなどを)立ち上げていない時)に前記送信電子メールメッセージが送出された。
図4を参照すると、電子メールボックス11から送信された電子メールメッセージ2に関する情報は、データベース17で収集される。分析機構16は、データ中で共通点(1つまたは複数)の発見を試み、このような共通点が発見された場合には、前記電子メールが送信される以前の悪質コードの活動の可能性を推定するため、いくつかの発見的方法が実施される。
送信電子メールメッセージ中の共通点の例:
− 前記組織内のある送信者から送信する電子メールメッセージの受信者または電子メールアドレスがアルファベット順に並んでいる。
− 前記組織内のある送信者から送信する電子メールメッセージの前記受信者の大多数が、前記送信者のアドレス帳の中に存在する。
− 前記組織内のある送信者から送信する電子メールメッセージの受信者の大多数が、前記組織のアドレス帳の中に存在する。
− 前記組織内のある送信者から送信する電子メールメッセージの受信者の大多数が、前記組織のアドレス帳の中に存在しない。
− 前記組織内のある送信者から送信する電子メールメッセージの受信者の大多数が、前記送信者/組織のアドレス帳の順序で並んでいる。
− コンピューターがアイドル状態の時(例えば、ユーザーが(メールソフトウェアなどを)立ち上げていない時)に前記送信電子メールメッセージが送出された。
図5は、本発明の好適な実施形態による、不審な着信/送信電子メールメッセージを検知する処理のハイレベル・フローチャートである。
− 前記処理は、ステップ201で始まり、そこでは着信/送信電子メールメッセージ(1つまたは複数)が、それぞれの宛先に送付されるべく、メールサーバーに到着する。
− ステップ202では、宛先(1つまたは複数)、送信元および着信/送信電子メールメッセージの他の特徴についての情報を収集する。
− ステップ203では、データ中での共通点(1つまたは複数)を決定するため、収集情報を分析する。
− ステップ204では、1つまたは複数の共通点が指摘された場合に、前記着信/送信電子メールメッセージにおける悪質な存在の嫌疑を指摘するため、共通点(1つまたは複数)を用いる発見的方法(1つまたは複数)を実施する。
− 悪質なものの存在の嫌疑が指摘された場合には、処理は、ステップ205に進み、そこで警報手順を起動し、指摘されない場合には、処理は、ステップ206に進んで終了する。
本発明の好適な実施形態によると、組織の電子メールメッセージにおいて悪質コードの存在を検知するシステムは、
− 着信および送信電子メールメッセージに関する収集情報を格納する格納手段と、
− 格納された情報の中で少なくとも1つの共通点を決定し、さらに決定した共通点のうちの少なくとも1つおよび決定した共通点のうちの少なくとも2つの組み合わせまたはそのいずれか一方によって、前記電子メールメッセージ中での悪質コードの存在の可能性を指摘する、少なくとも1つのアナライザー、例えばソフトウェアアプリケーションを備える。
このような情報は、前記組織のメールサーバーおよび組織のクライアントマシンまたはそのいずれか一方によって収集してもよい。後者の場合には、情報をアナライザーに転送してもよく、あるいはローカルアナライザーによって分析してもよく、メインアナライザーには結論(すなわち、発見された共通点)のみを転送する。当業者にとって周知のように、このようなシステムでは、様々なアーキテクチャーを実現できる。
当業者であれば、本発明の範囲を損なうことなく、他の形式や方法によって本発明を実施できることを理解できよう。本明細書に記載された実施形態は、本発明を制限するものではなく、例示として見なすべきものである。
− 前記処理は、ステップ201で始まり、そこでは着信/送信電子メールメッセージ(1つまたは複数)が、それぞれの宛先に送付されるべく、メールサーバーに到着する。
− ステップ202では、宛先(1つまたは複数)、送信元および着信/送信電子メールメッセージの他の特徴についての情報を収集する。
− ステップ203では、データ中での共通点(1つまたは複数)を決定するため、収集情報を分析する。
− ステップ204では、1つまたは複数の共通点が指摘された場合に、前記着信/送信電子メールメッセージにおける悪質な存在の嫌疑を指摘するため、共通点(1つまたは複数)を用いる発見的方法(1つまたは複数)を実施する。
− 悪質なものの存在の嫌疑が指摘された場合には、処理は、ステップ205に進み、そこで警報手順を起動し、指摘されない場合には、処理は、ステップ206に進んで終了する。
本発明の好適な実施形態によると、組織の電子メールメッセージにおいて悪質コードの存在を検知するシステムは、
− 着信および送信電子メールメッセージに関する収集情報を格納する格納手段と、
− 格納された情報の中で少なくとも1つの共通点を決定し、さらに決定した共通点のうちの少なくとも1つおよび決定した共通点のうちの少なくとも2つの組み合わせまたはそのいずれか一方によって、前記電子メールメッセージ中での悪質コードの存在の可能性を指摘する、少なくとも1つのアナライザー、例えばソフトウェアアプリケーションを備える。
このような情報は、前記組織のメールサーバーおよび組織のクライアントマシンまたはそのいずれか一方によって収集してもよい。後者の場合には、情報をアナライザーに転送してもよく、あるいはローカルアナライザーによって分析してもよく、メインアナライザーには結論(すなわち、発見された共通点)のみを転送する。当業者にとって周知のように、このようなシステムでは、様々なアーキテクチャーを実現できる。
当業者であれば、本発明の範囲を損なうことなく、他の形式や方法によって本発明を実施できることを理解できよう。本明細書に記載された実施形態は、本発明を制限するものではなく、例示として見なすべきものである。
1、2 電子メールメッセージ、10、20 メールサーバー、11〜14 電子メールアカウント、15 電子メールフィルタリング機構、16 分析機構、17 データベース、19、29 MTA、21〜23、41〜44 ユーザー、100 インターネット。
Claims (11)
- 組織の着信電子メールメッセージおよび送信電子メールメッセージまたはそのいずれか一方において悪質コードの存在を検知する方法であって、前記方法は、
a)前記電子メールメッセージに関する情報を収集するステップと、
b)前記メッセージ中で悪質コードの存在を指摘し得る前記収集情報の少なくとも1つの共通点を発見するために、前記収集情報を分析するステップと、
c)少なくとも1つの発見された共通点および複数の発見された共通点の組み合わせまたはそのいずれか一方により、前記電子メールメッセージ中で悪質コードの存在の嫌疑を決定するステップと、
d)前記電子メールメッセージ中で悪質コードの存在の嫌疑を確定した時点で、警報手順を起動するステップ、と、
を含む、悪質コードの存在を検知する方法。 - 前記情報は、前記電子メールメッセージの少なくとも1つのフィールドを含む、請求項1に記載の方法。
- 前記情報は、前記電子メールメッセージの電子メールアドレスの少なくとも1つのフィールドを含む、請求項1に記載の方法。
- 前記着信電子メールメッセージの前記少なくとも1つの共通点は、
− ある送信者から送信された電子メールメッセージの受信者のフィールドの内容がアルファベット順に並んでいる、
− ある送信者から送信された前記電子メールメッセージの前記電子メールアドレスがアルファベット順に並んでいる、
− ある送信者からの前記電子メールメッセージの前記受信者の大多数が前記組織において有効でないアドレスにあたる、
− 前記電子メールメッセージで本文および添付ファイル(1つまたは複数)またはそのいずれか一方が繰り返されている、
を含むグループから選ばれることにより、前記組織の外から悪質コードを送信する企てを指摘することを可能にする、請求項1に記載の方法。 - 送信電子メールメッセージの前記少なくとも1つの共通点は、
− 前記組織内のある送信者からの前記電子メールメッセージの前記宛先電子メールアドレスの少なくとも1つのフィールドのデータがアルファベット順に並んでいる、
− 前記組織内のある送信者からの前記送信電子メールメッセージの前記受信者の大多数が前記送信者のアドレス帳の中に存在する、
− 前記組織内のある送信者からの前記送信電子メールメッセージの前記受信者の大多数が前記送信者のアドレス帳の中に存在しない、
− 前記組織内のある送信者からの前記送信電子メールメッセージの前記受信者の大多数が前記組織のアドレス帳の中に存在する、
− 前記組織内のある送信者からの前記送信電子メールメッセージの前記受信者の大多数が前記送信者の前記アドレス帳の順序で並んでいる、
− 前記組織内のある送信者からの前記送信電子メールメッセージの前記受信者の大多数が前記組織の前記アドレス帳の順序で並んでいる、
− 前記コンピューターがアイドル状態の時に前記送信電子メールメッセージ(1つまたは複数)が送信された、
− 前記電子メールメッセージで本文および添付ファイルまたはそのいずれか一方が繰り返されている、
を含むグループから選ばれることにより、前記組織からの送信電子メールメッセージ中で悪質コードの存在を指摘することを可能にする、請求項1に記載の方法。 - 組織の着信電子メールメッセージおよび送信電子メールメッセージまたはそのいずれか一方において悪質コードの存在を検知するシステムであって、前記システムは、
− 着信電子メールメッセージおよび送信電子メールメッセージに関する収集情報を格納する格納手段と、
− 前記格納情報の中で少なくとも1つの共通点を決定し、かつ前記決定した共通点のうち少なくとも1つおよび前記決定した共通点のうち少なくとも2つから成る組み合わせまたはそのいずれか一方により、前記電子メールメッセージ中での悪質コードの存在の可能性を指摘する少なくとも1つのアナライザーと、を備える、悪質コードの存在を検知するシステム。 - − ローカル情報を分析するため、前記組織の前記対応するクライアントマシン(1つまたは複数)で作動できる少なくとも1つのローカルアナライザーと、
− 前記組織レベルで情報を分析するための、少なくとも1つの中央アナライザーと、をさらに備え、前記少なくとも1つのローカルアナライザーが前記少なくとも1つの中央アナライザーによってアクセス可能である、請求項6に記載のシステム。 - 前記格納手段は、前記組織の少なくとも1つのメールサーバー内に存在する、請求項6に記載のシステム。
- 前記格納手段は、前記組織の前記クライアントマシン(1つまたは複数)に存在する、請求項6に記載のシステム。
- 前記格納手段は、前記組織の少なくとも1つのメールサーバーによってアクセス可能である、請求項6に記載のシステム。
- 前記アナライザーは、ソフトウェアアプリケーションである、請求項6に記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/331,543 US20040128536A1 (en) | 2002-12-31 | 2002-12-31 | Method and system for detecting presence of malicious code in the e-mail messages of an organization |
| PCT/IL2003/001048 WO2004057435A2 (en) | 2002-12-31 | 2003-12-10 | A method for detecting malicious code in email |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006517310A true JP2006517310A (ja) | 2006-07-20 |
Family
ID=32654763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004561947A Pending JP2006517310A (ja) | 2002-12-31 | 2003-12-10 | 組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20040128536A1 (ja) |
| EP (1) | EP1573546A2 (ja) |
| JP (1) | JP2006517310A (ja) |
| AU (1) | AU2003285737A1 (ja) |
| WO (1) | WO2004057435A2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8271774B1 (en) * | 2003-08-11 | 2012-09-18 | Symantec Corporation | Circumstantial blocking of incoming network traffic containing code |
| US20060031357A1 (en) * | 2004-05-26 | 2006-02-09 | Northseas Advanced Messaging Technology, Inc. | Method of and system for management of electronic mail |
| US8707251B2 (en) * | 2004-06-07 | 2014-04-22 | International Business Machines Corporation | Buffered viewing of electronic documents |
| US9154511B1 (en) | 2004-07-13 | 2015-10-06 | Dell Software Inc. | Time zero detection of infectious messages |
| US7343624B1 (en) | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
| JP4519909B2 (ja) * | 2005-09-30 | 2010-08-04 | 株式会社エヌ・ティ・ティ・ドコモ | 情報通信装置およびメッセージ表示方法 |
| US7881700B2 (en) * | 2005-09-30 | 2011-02-01 | Ntt Docomo, Inc. | Information communication apparatus and message displaying method |
| US8196204B2 (en) * | 2008-05-08 | 2012-06-05 | Lawrence Brent Huston | Active computer system defense technology |
| US8995775B2 (en) * | 2011-05-02 | 2015-03-31 | Facebook, Inc. | Reducing photo-tagging spam |
| TWI459232B (zh) * | 2011-12-02 | 2014-11-01 | Inst Information Industry | 釣魚網站處理方法、系統以及儲存其之電腦可讀取記錄媒體 |
| US20140358939A1 (en) * | 2013-05-31 | 2014-12-04 | Emailvision Holdings Limited | List hygiene tool |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6763462B1 (en) * | 1999-10-05 | 2004-07-13 | Micron Technology, Inc. | E-mail virus detection utility |
| US6701440B1 (en) * | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
| US20020095607A1 (en) * | 2001-01-18 | 2002-07-18 | Catherine Lin-Hendel | Security protection for computers and computer-networks |
| JP2002223256A (ja) * | 2001-01-29 | 2002-08-09 | Fujitsu Ltd | メールウイルス検出用コンピュータ・プログラム |
-
2002
- 2002-12-31 US US10/331,543 patent/US20040128536A1/en not_active Abandoned
-
2003
- 2003-12-10 EP EP03778722A patent/EP1573546A2/en not_active Withdrawn
- 2003-12-10 AU AU2003285737A patent/AU2003285737A1/en not_active Abandoned
- 2003-12-10 JP JP2004561947A patent/JP2006517310A/ja active Pending
- 2003-12-10 WO PCT/IL2003/001048 patent/WO2004057435A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP1573546A2 (en) | 2005-09-14 |
| WO2004057435A3 (en) | 2004-11-11 |
| WO2004057435A2 (en) | 2004-07-08 |
| AU2003285737A1 (en) | 2004-07-14 |
| AU2003285737A8 (en) | 2004-07-14 |
| US20040128536A1 (en) | 2004-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7877807B2 (en) | Method of and system for, processing email | |
| JP5118020B2 (ja) | 電子メッセージ中での脅威の識別 | |
| US9992165B2 (en) | Detection of undesired computer files using digital certificates | |
| US6757830B1 (en) | Detecting unwanted properties in received email messages | |
| US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
| US10069851B2 (en) | Managing infectious forwarded messages | |
| KR101745624B1 (ko) | 실시간 스팸 탐색 시스템 | |
| US7801960B2 (en) | Monitoring electronic mail message digests | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| US8775521B2 (en) | Method and apparatus for detecting zombie-generated spam | |
| US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
| AU2004235515B2 (en) | A method of, and system for, heuristically determining that an unknown file is harmless by using traffic heuristics | |
| US20040054742A1 (en) | Method and system for detecting malicious activity and virus outbreak in email | |
| JP2006517310A (ja) | 組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| JP2006014136A (ja) | 電子メール配信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080520 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081111 |