JP2007156690A - Method for taking countermeasure to fishing fraud, terminal, server and program - Google Patents

Method for taking countermeasure to fishing fraud, terminal, server and program Download PDF

Info

Publication number
JP2007156690A
JP2007156690A JP2005349138A JP2005349138A JP2007156690A JP 2007156690 A JP2007156690 A JP 2007156690A JP 2005349138 A JP2005349138 A JP 2005349138A JP 2005349138 A JP2005349138 A JP 2005349138A JP 2007156690 A JP2007156690 A JP 2007156690A
Authority
JP
Japan
Prior art keywords
url
company
mail
terminal
white list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005349138A
Other languages
Japanese (ja)
Other versions
JP4564916B2 (en
Inventor
Yosuke Arakane
陽助 荒金
Kensuke Shibata
賢介 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005349138A priority Critical patent/JP4564916B2/en
Publication of JP2007156690A publication Critical patent/JP2007156690A/en
Application granted granted Critical
Publication of JP4564916B2 publication Critical patent/JP4564916B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To surely issue warning when fishing fraud is suspected even in a terminal whose user interface is limited such as a portable telephone. <P>SOLUTION: This system is provided with a URL/enterprise name relation calculation part 25 for analyzing received mail to extract an enterprise name and URL included in the mail, and for extracting an enterprise deeply relating to the URL from the positional relation of the enterprise name and the URL in the mail for every extracted URL, and for outputting the corresponding enterprise ID; a URL white list 23 in which the enterprise and the URL of the legal site corresponding to the enterprise are carried; and a white list confirmation part 26 for, when any URL is selected, verifying the validity of the site shown by the URL according to whether or not the selected URL is carried in an URL white list 23 as the URL corresponding to the enterprise shown by the enterprise ID by referring to the URL white list 23. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワークセキュリティの分野に関し、特にフィッシング詐欺による被害を防止するための対策方法と、この対策方法に適合したサーバ及び端末に関する。   The present invention relates to the field of network security, and in particular, to a countermeasure method for preventing damage caused by phishing scams, and a server and a terminal adapted to this countermeasure method.

昨今のネットワーク技術の発達に伴い、電子メールやウェブなどのネットワークツールを利用して、氏名・年齢・住所・電話番号などの個人情報や、クレジットカード番号・ID・パスワードなどの信用情報を盗むフィッシング詐欺が多発するようになってきている。   With the recent development of network technology, phishing that steals personal information such as name, age, address, phone number, and credit information such as credit card number, ID, password, etc. using network tools such as e-mail and web Scams are becoming more frequent.

フィッシング詐欺は、個人情報の確認や修正を要求する内容のメールの送信から始まることが多い。この同メールは、受信者(被害者)を“釣る”ために、あたかも有名な銀行やクレジットカード会社が送信したかのように装い、受信者を偽装ウェブサイトに誘って、その偽装ウェブサイトにおいて個人情報や信用情報の入力・修正などを要求するものである。このようなメールのことをフィッシングメールと呼ぶ。フィッシングメールには、偽造ウェブサイトのURL(uniform resource locator)が記載されているが、もちろんそのURLは、正規の(すなわち本来の銀行やクレジットカード会社の)ウェブページのURLとな異なっている。偽装ウェブサイトの画面は、正規のウェブサイトの画面と酷似していたり、ウェブページ閲覧ソフトウェア(ブラウザソフトウェア)でのアドレスバーの表示が詐称されていたりして、フィッシング詐欺に用いられる偽装サイトだと利用者に気づかれないように装っている。以下、フィッシング詐欺に用いられる偽装サイトのことをフィッシングサイトと呼ぶ。   Phishing scams often begin with the sending of emails that ask for confirmation or correction of personal information. This email looks as if it was sent by a famous bank or credit card company to “fish” the recipient (victim), invites the recipient to the camouflage website, and on the camouflage website Requests input / correction of personal information and credit information. Such mail is called phishing mail. In the phishing mail, a URL (uniform resource locator) of a counterfeit website is described, but the URL is of course different from the URL of a regular (ie, original bank or credit card company) web page. The screen of the camouflage website is very similar to the screen of the legitimate website, or the address bar display in the web page browsing software (browser software) is spoofed, and it is a camouflage site used for phishing It pretends to be invisible to the user. Hereinafter, a camouflaged site used for a phishing scam is referred to as a phishing site.

このようなフィッシング詐欺への対策として、様々な技術が提案されている。   Various techniques have been proposed as countermeasures against such phishing scams.

CoreStreet(コアストリート)社のSpoofStick(商標)は、ウェブブラウザでの表示画面のツールバーにおいて、現在接続しているサイト名を巨大に表示する手法を取ることで、利用者の注意を喚起し、アドレスの表示がIP(Internet protocol)アドレスだけであるといった、疑わしいウェブサイトが分かりやすいようにしている〈URL:http://www.corestreet.com/spoofstick/〉。   CoreStreet's SpoofStick (trademark) alerts the user by using a technique that displays the name of the currently connected site on the toolbar of the display screen in the web browser, and addresses Suspicious websites, such as only IP (Internet protocol) addresses, are easy to understand <URL: http://www.corestreet.com/spoofstick/>.

Deepnet Technologies(ディープネットテクノロジーズ)社のDeepnet Explorer(商標)は、フィッシングサイトとしてブラックリストに載ったサイトを閲覧しようとした場合や、アドレス表示がIPアドレスだけであるなどのイレギュラーなウェブサイトを閲覧しようとした場合には、ポップアップダイアログにて利用者の注意を喚起する手法を採用している〈URL:http://www.deepnetexplorer.com/〉。   Deepnet Explorer (trademark) of Deepnet Technologies, Inc. browses irregular websites such as when trying to browse blacklisted sites as phishing sites, or only IP addresses are displayed. When trying to do so, a method to alert the user with a pop-up dialog is adopted <URL: http://www.deepnetexplorer.com/>.

Netscape(ネットスケープ)社のNetscape 8.0(商標)は、ブラックリストを用いてフィッシングサイトを排除する手法を採用している〈URL:http://browser.netscape.com/nsb/support/relnotes.jsp〉。   Netscape 8.0 (trademark) of Netscape has adopted a method of eliminating phishing sites using a blacklist <URL: http://browser.netscape.com/nsb/support/relnotes.jsp> .

これらの技術においては、疑わしいことが既に分かっているサイトを記載したリストであるブラックリストを用いて、フィッシングサイトである疑いのあるサイトへの接続を防ごうとしているが、以下の理由により、ブラックリストを用いた方法には危険性があるものと考えられる。   These technologies attempt to prevent connections to suspicious sites that are phishing sites using a blacklist that lists sites that are already known to be suspicious. The method using lists is considered dangerous.

第1に、全てのフィッシングサイトをインターネット上から発見することは非常に困難であり、どうしても漏れが生じる。   First, it is very difficult to find all phishing sites on the Internet, and leakage always occurs.

第2に、フィッシング偽装サイトがオンラインになってから(すなわちインターネットからアクセス可能になってから)、そのフィッシング偽装サイトを発見してブラックリストに登録するまでには一定の期間が必要である。しかしながら、フィッシング偽装サイトは、その開設後、短時間のうちに閉鎖されるのが一般的であって、その平均寿命は6日未満であるので、あるフィッシングサイトがブラックリストに登録されてから、そのサイトがオフラインとなって消滅するまでの「ブラックリスト有効期間」が非常に短くなる。ブラックリストへの登録が、そのフィッシングサイトが消滅後になる可能性も高い。   Second, after the phishing camouflage site is online (ie, accessible from the Internet), it takes a certain period of time to find the phishing camouflage site and register it on the blacklist. However, phishing sites are usually closed within a short time after their opening, and their average life span is less than 6 days, so when a phishing site is blacklisted, The “blacklist lifetime” until the site goes offline and disappears becomes very short. It is highly possible that blacklisting will occur after the phishing site disappears.

第3に、利用者は、ブラックリストに記載されていないサイトは「危険なサイトではない」と判断しがちであるため、ブラックリストを用いる方法は、上記のような理由でブラックリストに未登録のフィッシングサイトに対しては効果が全くなく、かえって利用者の警戒が緩みがちであるので、ブラックリストとのマッチングが失敗(リストに存在しない)した場合にフェール・アウト(fail out)なシステムとなっている.
そこで、安全であると考えられるサイトの登録するホワイトリストを用いる方法が提案されている。そのようなシステムとして、例えば、SecureBrain(セキュアブレイン)社のPhishWall(商標)(非特許文献1)及びNetMove(ネットムーブ)社のnProtect:Netizen(商標)(非特許文献2)がある。 Third, users tend to judge that sites not listed on the blacklist are not “dangerous sites”, so the method using the blacklist is not registered in the blacklist for the reasons described above. Since there is no effect on phishing sites, and the user's alertness tends to be relaxed, if the matching with the black list fails (does not exist in the list), the system will fail out It has become.
Therefore, a method using a white list registered by a site considered to be safe has been proposed. As such a system, for example, there is PhishWall (trademark) (Non-patent Document 1) of SecureBrain and nProtect: Netizen (trademark 2) of NetMove.

また、フィッシング詐欺はフィッシングメールを発端として行われるが、フィッシングメールに対する対策を謳っているのは、アンチウィルスソフトウェアを開発している各社によるソフトウェアである。代表的なものとして、シマンテック(symantec)社のNorton Internet Security(商標)〈URL:http://www.symantec.co.jp/region/jp/products/nis/index.html〉や、トレンドマイクロ(TrendMicro)社のウイルスバスター(商標)〈URL:http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm〉がある。   Also, phishing scams are triggered by phishing emails, but the countermeasures against phishing emails are software by companies that develop anti-virus software. Typical examples include Symantec's Norton Internet Security (trademark) <URL: http://www.symantec.co.jp/region/jp/products/nis/index.html>, Trend Micro ) Virus Buster (trademark) <URL: http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm>.

しかしこれらのソフトウェア製品でのフィッシングメール対策は、アンチスパムメール技術を流用したものであるが、金融機関などからのメールを偽ったフィッシングメールには、スパムメールの検出に用いられるような不適切な表現はほとんど見受けられないことから、その実効性は十分であるとは言えない。   However, the anti-spam email technology used in these software products is diverted to anti-spam email technology. However, phishing emails that spoof emails from financial institutions are inappropriate for spam email detection. Since the expression is hardly seen, its effectiveness is not sufficient.

上述した従来のフィッシング詐欺対策技術やソフトウェア製品は、パーソナルコンピュータ(PC)をその主たる対象としているが、携帯電話に対するフィッシング詐欺も現れてきている。携帯電話をターゲットとしたフィッシング詐欺の例は、例えば、警視庁のホームページ〈URL:http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm#170613〉に示されている。
“PhishWallサーバ”、[online]、セキュアブレイン(SecureBrain)社、[2005年11月4日検索]、インターネット〈URL:http://www.securebrain.co.jp/products/phishwall/index.html〉 “nProtect:Netizen”、[online]、ネットムーブ(NetMove)社、[2005年11月4日検索]、インターネット〈URL:http://nprotect.jp/netizen/〉 The conventional anti-phishing technology and software products described above are mainly targeted at personal computers (PCs), but phishing fraud on mobile phones has also appeared. An example of a phishing scam targeting mobile phones is shown on the Tokyo Metropolitan Police Department website <URL: http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm#170613>, for example.
“PhishWall Server”, [online], SecureBrain, [Retrieved November 4, 2005], Internet <URL: http://www.securebrain.co.jp/products/phishwall/index.html> “NProtect: Netizen”, [online], NetMove, [searched November 4, 2005], Internet <URL: http://nprotect.jp/netizen/>

上述したように、従来のフィッシング詐欺対策技術やソフトウェア製品では、携帯電話などの携帯端末に対するフィッシング詐欺を防ぐものは見当たらない。携帯電話機などの携帯端末では、パーソナルコンピュータと比較して画面サイズが小さいなどの理由により、利用者にとってフィッシング詐欺かどうかの判断に利用できる情報が極端に少ない。そのため、携帯端末をターゲットとしたフィッシング詐欺がひとたび流行し始めれば、その被害は甚大となることが予想される。   As described above, none of the conventional anti-phishing technology and software products prevent phishing fraud against mobile terminals such as mobile phones. In a portable terminal such as a cellular phone, there is extremely little information available for a user to determine whether or not it is a phishing scam because the screen size is smaller than that of a personal computer. Therefore, once a phishing scam targeting mobile devices starts to become popular, the damage is expected to be enormous.

また、非特許文献1、非特許文献2に記載の製品で管理しているリストは、URLのホワイトリストであり、利用者が選択した(クリックした)URLがそのリストに記載されているか否かで、利用者に対して警告を出さないか出すかが決定されていた。このため、警告が出た場合に、ホワイトリストに登録されている企業であるがクリックしたURLがそのリストに含まれていないために警告が出たのか、あるいは、そもそもホワイトリストに登録されていない企業であるため警告が出たのかの区別を行うことができず、利用者への警告として不完全である、という問題がある。   Further, the list managed by the products described in Non-Patent Document 1 and Non-Patent Document 2 is a white list of URLs, and whether or not the URL selected (clicked) by the user is described in the list. Therefore, it was decided whether or not to issue a warning to the user. For this reason, when a warning is issued, it is a company that is registered in the white list, but the clicked URL is not included in the list, or the warning is issued, or it is not registered in the white list in the first place. Since it is a company, it cannot be distinguished whether a warning has been issued, and there is a problem that it is incomplete as a warning to the user.

そこで本発明の目的は、上述した従来の技術の課題を解決し、携帯電話や携帯端末をはじめとする端末に対するフィッシング詐欺による被害を確実に防止するためのフィッシング詐欺対策方法と、このような方法を実行するためのプログラムと、このような対策方法に適合したサーバ及び端末を提供することを目的とする。   Therefore, an object of the present invention is to solve the above-described problems of the prior art and to prevent a phishing scam to prevent damage caused by phishing scams on terminals such as mobile phones and mobile terminals, and such a method. It is an object to provide a program and a server and a terminal suitable for such a countermeasure method.

本発明は、携帯電話等の端末に対するフィッシング詐欺を防ぐために、端末に着信したあるいは端末に配信すべきメールを解析し、その解析結果に基づいて、フィッシングメールが詐称しようとしている企業名を抽出し、それをその企業サイトのホワイトリストと比較することで、フィッシング詐欺を防ごうとするものである。   In order to prevent a phishing scam with respect to a terminal such as a mobile phone, the present invention analyzes a mail that arrives at the terminal or is to be delivered to the terminal, and extracts a company name that the phishing mail is trying to spoof based on the analysis result By comparing it to the white list of the company site, it tries to prevent phishing scams.

すなわち本発明の第1のフィッシング詐欺対策方法は、フィッシング詐欺による被害を防止するためのフィッシング詐欺対策方法であって、関係算出手段が、端末において受信したメールを解析してメールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、メールにおける企業名とそのURLとの位置関係から、そのURLに関係の深い企業を抽出し、抽出された企業を特定する情報を出力する段階と、メールに含まれるいずれかのURLが利用者によって選択された場合に、確認手段が、企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストを参照して、選択されたURLが、出力された情報が示す企業に対応するURLとしてホワイトリストに記載されているか否かに応じて、選択されたURLに対応するサイトの正当性を検証する段階と、を有する。   That is, the first anti-phishing method of the present invention is a anti-phishing method for preventing damage caused by a phishing scam, and the relationship calculation means analyzes the mail received at the terminal and the company name included in the mail And URLs are extracted, for each extracted URL, a company closely related to the URL is extracted from the positional relationship between the company name in the mail and the URL, and information for identifying the extracted company is output. If any URL included in the email is selected by the user, the confirmation means is selected with reference to the white list that describes the company and the URL of a legitimate site corresponding to the company. Depending on whether or not the URL is listed in the white list as the URL corresponding to the company indicated by the output information, It has a stage for verifying the validity of the response to the site, the.

本発明の第2のフィッシング詐欺対策方法は、フィッシング詐欺による被害を防止するためのフィッシング詐欺対策方法であって、メールサーバが、端末に配信すべきメールを解析して、解析してメールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、メールにおける企業名とそのURLとの位置関係から、そのURLに関係の深い企業を抽出し、抽出された企業を特定する情報を付加してメールを端末に配信する段階と、プロキシサーバが、端末からURLと特定する情報とを伴ってアクセス要求を受け付けたときに、企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストを参照して、アクセス要求に含まれるURLが、特定する情報が示す企業に対応するURLとしてホワイトリストに記載されているか否かに応じて、選択されたURLに対応するサイトの正当性を検証する段階と、を有する。この場合、メールサーバは、企業名と企業ごとに一意に定まる企業IDとを保持した企業名リストを参照して、URLに関係の深い企業を抽出し、企業を特定する情報として企業IDを、対応するURLと関連付けてメールに付加することが好ましい。また、端末が、メールサーバからメールを受信する段階と、メールに含まれるいずれかのURLが利用者によって選択された場合に、端末が、選択されたURLと該選択されたURLに対応する特定する情報とをプロキシサーバに送信する段階と、をさらに有することが好ましい。   The second phishing countermeasure method of the present invention is a phishing countermeasure method for preventing damage caused by a phishing scam, and the mail server analyzes the mail to be delivered to the terminal, analyzes it and includes it in the mail. For each extracted URL, a company closely related to the URL is extracted from the positional relationship between the company name and the URL in the mail, and information for specifying the extracted company is extracted. In addition, the stage of delivering the mail to the terminal and the URL of the legitimate site corresponding to the company when the proxy server receives an access request from the terminal with the URL and the information specified Referring to the white list, the URL included in the access request is described in the white list as the URL corresponding to the company indicated by the specified information. Depending on Dolphin whether, having the steps of verifying the validity of the site corresponding to the selected URL, and. In this case, the mail server refers to the company name list holding the company name and the company ID uniquely determined for each company, extracts the company closely related to the URL, and uses the company ID as information for identifying the company. It is preferable to add it to the mail in association with the corresponding URL. In addition, when the terminal receives the mail from the mail server and when any URL included in the mail is selected by the user, the terminal identifies the selected URL and the selected URL. It is preferable to further include the step of transmitting information to be transmitted to the proxy server.

本発明の端末は、メールを受信する機能と外部サイトにアクセスする機能とを有する端末であって、受信したメールを解析して受信したメールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、受信したメールにおける企業名とそのURLとの位置関係から、そのURLに関係の深い企業を抽出し、抽出された企業を特定する情報を出力する関係算出手段と、企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストと、受信したメールに含まれるいずれかのURLが利用者によって選択された場合に、ホワイトリストを参照して、選択されたURLが、出力された情報が示す企業に対応するURLとしてホワイトリストに記載されているか否かに応じて、選択されたURLに対応するサイトの正当性を検証する確認手段と、を有する。   The terminal of the present invention is a terminal having a function of receiving a mail and a function of accessing an external site, and extracts a company name and a URL included in the received mail by analyzing the received mail. For each URL, a relationship calculation means for extracting a company closely related to the URL from the positional relationship between the company name in the received mail and the URL, and outputting information specifying the extracted company, the company and its When the user selects a white list that describes the URL of a legitimate site corresponding to the company and any URL included in the received email, the selected URL is The legitimacy of the site corresponding to the selected URL is checked according to whether or not it is described in the white list as the URL corresponding to the company indicated by the output information. Has a confirmation means that, a.

本発明のメールサーバは、受信したメールを端末に配信するメールサーバであって、端末に配信すべきメールを解析して、解析してメールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、メールにおける企業名とそのURLとの位置関係から、そのURLに関係の深い企業を抽出する関係算出手段と、抽出された企業を特定する情報をメールに付加して端末に配信する企業情報埋込手段と、を有する。   The mail server of the present invention is a mail server that delivers received mail to a terminal, analyzes the mail to be delivered to the terminal, extracts the company name and URL included in the mail, and extracts them For each URL, a relationship calculation means for extracting a company closely related to the URL from the positional relationship between the company name and the URL in the mail, and information identifying the extracted company is added to the mail and distributed to the terminal And corporate information embedding means.

本発明のプロキシサーバは、端末からの要求を代理して外部サイトにアクセスするプロキシサーバであって、企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストと、端末からURLと特定する情報とを伴ってアクセス要求を受け付けたときに、ホワイトリストを参照して、アクセス要求に含まれるURLが、特定する情報が示す企業に対応するURLとしてホワイトリストに記載されているか否かに応じて、選択されたURLに対応するサイトの正当性を検証する確認手段と、を有する。   The proxy server of the present invention is a proxy server that accesses an external site on behalf of a request from a terminal, and includes a white list that describes a company and a URL of a legitimate site corresponding to the company, and a URL from the terminal. Whether or not the URL included in the access request is described in the white list as the URL corresponding to the company indicated by the specified information when the access request is received with the specified information, by referring to the white list. And confirming means for verifying the legitimacy of the site corresponding to the selected URL.

本発明では、端末またはサーバにおいて企業名抽出やホワイトリストとの照合を行うため、端末が、ユーザインタフェース上、ユーザに与えられる情報の少ない携帯電話であっても、フィッシング詐欺による被害の抑止を確実に行うことができる。   In the present invention, since the company name is extracted and collated with the whitelist in the terminal or server, even if the terminal is a mobile phone with little information given to the user on the user interface, damage caused by phishing is surely suppressed. Can be done.

また、企業名が抽出されたかどうかでその企業がホワイトリストに登録されているものかどうかを判別することが可能になるので、警告が出た場合、それが、ホワイトリストに登録されている企業であるがURLがそのリストに含まれていないために警告が出たのか、あるいは、そもそもホワイトリストに登録されていない企業であるため警告が出たのかの区別を行うことが可能になる。   In addition, it is possible to determine whether the company is whitelisted based on whether the company name has been extracted, so if a warning is issued, it is the company that is registered in the whitelist. However, it is possible to distinguish whether a warning is issued because the URL is not included in the list, or whether a warning is issued because the company is not registered in the white list in the first place.

次に、本発明の好ましい実施の形態について、図面を参照して説明する。   Next, a preferred embodiment of the present invention will be described with reference to the drawings.

(第1の実施形態)
図1は、本発明の第1の実施形態のフィッシング詐欺対策システムの構成を示すブロック図である。 (First embodiment)
FIG. 1 is a block diagram showing the configuration of a phishing countermeasure system according to the first embodiment of the present invention.

図1に示したものは、携帯端末においてフィッシング詐欺対策を行うようにしたものである。ここでは、携帯端末が携帯電話端末10である場合を説明する。携帯電話端末10は、メール11を受信する機能を有するとともに、インターネット12を介して外部のウェブサイト13にアクセスして情報の閲覧や送信を行うことができるように構成されている。そのため、携帯電話端末10内には、メール11を処理するためのメーラー(メール処理部)20と、ウェブサイト13にアクセスして情報を閲覧・送信するためのブラウザ30が設けられている。メーラー20とブラウザ30は連携しており、メール11内に記述されたURLのサイトをブラウザ30でアクセスできるようになっている。   The one shown in FIG. 1 is a countermeasure for phishing countermeasures in a mobile terminal. Here, a case where the mobile terminal is the mobile phone terminal 10 will be described. The mobile phone terminal 10 has a function of receiving mail 11 and is configured to be able to browse and transmit information by accessing an external website 13 via the Internet 12. Therefore, a mailer (email processing unit) 20 for processing the mail 11 and a browser 30 for accessing the website 13 to browse and transmit information are provided in the mobile phone terminal 10. The mailer 20 and the browser 30 are linked so that the browser 30 can access the URL site described in the mail 11.

本実施形態では、メーラー20内でフィッシング詐欺対策を実行する。具体的には、受信したメールを解析してそのメールに含まれる企業名を割り出し、正規のサイトのURLが記載されているURLホワイトリストと照合することによって、メールに含まれる企業名やURLの正当性を検証する。そのため、メーラー20には、メール11を受信して利用者に対して表示するメール閲覧部21と、企業名リスト22とURLホワイトリスト23を保持するデータベース24と、企業名リスト22を参照してメール11中のURLと企業名との関係を算出するURL−企業名関係算出部25と、URLホワイトリスト23を参照して、接続しようとするURLの正当性を検証するホワイトリスト確認部26と、が設けられている。   In the present embodiment, anti-phishing measures are executed in the mailer 20. Specifically, the received mail is analyzed, the company name included in the mail is determined, and the company name or URL included in the mail is checked by checking against the URL whitelist in which the URL of the legitimate site is described. Verify correctness. Therefore, the mailer 20 refers to the mail browsing unit 21 that receives the mail 11 and displays it to the user, the database 24 that holds the company name list 22 and the URL white list 23, and the company name list 22. A URL-company name relationship calculation unit 25 that calculates the relationship between the URL in the mail 11 and the company name, a white list confirmation unit 26 that verifies the validity of the URL to be connected with reference to the URL white list 23, and , Is provided.

次に、本実施形態の動作について説明する。   Next, the operation of this embodiment will be described.

携帯電話端末10に着信したメール11を利用者が閲覧し、そのメール内のURLをクリックしてそのURLの指し示すサイトの情報をブラウザ30によって閲覧しようとした際に、URL−企業名関係算出部25及びホワイトリスト確認部26が起動して、本実施形態におけるフィッシング詐欺対策のプロセスが開始する。   When the user browses the mail 11 received at the mobile phone terminal 10 and clicks the URL in the mail and tries to browse the information on the site indicated by the URL by the browser 30, the URL-company name relationship calculation unit 25 and the white list confirmation unit 26 are activated, and the process of countermeasures against phishing in this embodiment is started.

URL−企業名関係算出部25は、企業名リスト22を用いて、メール11内から企業名とその出現位置を抽出するとともに、クリックされたURLと関係の深い企業名を特定する。図2は、企業名リスト22の記述例を示している。企業名リスト12は、企業ごとに一意に割り振られたIDと、その企業を示す1または複数の表現から構成される。ここで企業を示す表現が複数あってもよいのは、ある企業を特定する場合に、正式名称、略称、英文略称なども種々の表記があり得るからである。一般的に、企業名リスト22内の企業名の各内容は、異なるIDにおいて、(略称が同じであるなどの理由により)同一のものがあってもよい。そして、URL−企業名関係算出部25は、例えば、下記に示すルールによって、対象となっている(すなわちクリックされた)URLと関係の深い企業名(企業ID)を特定する。   The URL-company name relationship calculation unit 25 uses the company name list 22 to extract a company name and its appearance position from the mail 11 and specifies a company name closely related to the clicked URL. FIG. 2 shows a description example of the company name list 22. The company name list 12 includes an ID uniquely assigned to each company and one or a plurality of expressions indicating the company. The reason why there are a plurality of expressions indicating companies is that there can be various notations such as formal names, abbreviations, and English abbreviations when specifying a certain company. In general, the contents of the company names in the company name list 22 may be the same for different IDs (for example, because the abbreviations are the same). Then, the URL-company name relationship calculation unit 25 specifies a company name (company ID) that is closely related to the target URL (ie, clicked), for example, according to the following rules.

まず、そのURLに対する、企業IDがnである企業に対する得点P(Cn)を First, the score P (C n ) for the company whose company ID is n for the URL is

Figure 2007156690
Figure 2007156690

で求める。ここで、L(U)は、対象となっているメールにおける対象となっているURLの出現位置を示し、L(Cn(k))は、企業IDがnである企業の企業名の、メールにおけるk番目に出現した位置を示し、mは、対象となっているURLに対する企業名出現位置関係の重みである。上式によれば、メールにおいてURLと企業名とが近接して記載されているほど、得点P(Cn)が高くなる。さらに、メール11のサブジェクト(件名)に、対象となっている企業名が発見された場合には、サブジェクトに記載されたことをもって得点を高くするために、hを定数として、P(Cn)=P(Cn)+hとする。 Ask for. Here, L (U) indicates the appearance position of the target URL in the target mail, and L (C n (k)) is the company name of the company whose company ID is n. The kth position in the mail is shown, and m is the weight of the company name appearance position relationship with respect to the target URL. According to the above formula, the score P (C n ) increases as the URL and the company name are described closer in the mail. Further, when the subject company name is found in the subject (subject) of the mail 11, P (C n ) with h as a constant in order to increase the score by being described in the subject. = P (C n ) + h.

その後、企業IDを得点P(Cn)でソートし,上位x番目、または得点P(Cn)>yとなる企業ID(ソート済み)を、対象となっているURLと関係の深い企業の企業IDとする。ここで、x,yはあらかじめ定められる定数である。対象となっているURLに対する関係が深い企業が複数発見された場合には、企業IDは、企業ID列として得られることになる。 Then, sort the company ID in the score P (C n), the higher the x-th, or score P (C n)> y to become corporate ID the (pre-sorting), the relationship with the URL that has been the subject deep of companies Company ID. Here, x and y are predetermined constants. When a plurality of companies having a deep relationship with the target URL are found, the company ID is obtained as a company ID string.

ホワイトリスト確認部26は、対象となっているURLと、関係の深い企業名(企業ID列)とを受け取り、URLホワイトリスト23を用いてその正当性検証を試みる。図3は、URLホワイトリスト23の内容の一例を示している。URLホワイトリスト23では、企業IDごとにその企業のウェブサイトのURLとが対応付けられている。   The white list confirmation unit 26 receives the target URL and the closely related company name (company ID string), and attempts to verify the validity using the URL white list 23. FIG. 3 shows an example of the contents of the URL white list 23. In the URL white list 23, the URL of the company website is associated with each company ID.

ホワイトリスト確認部26は、対象となっている(すなわち利用者によって選択された)URLが、URLホワイトリスト23内で、URL−企業名関係算出部25によって発見された関係の深い企業IDに対応するURLに記述される範囲に含まれるのであれば、その対象となっているURLは正当であると判断し、そのURLをブラウザ30に渡す。その結果、ブラウザ30は、対象となっているURLのサイトにアクセスし、情報を取得・閲覧を可能とする。一方、対象となっているURLが、URLホワイトリスト23内において、関係の深い企業IDと対応するURLとして記述されている範囲に含まれない場合には、ホワイトリスト確認部26は、そのURLがフィッシング詐欺サイトである可能性があるとして、利用者に警告する。なお、あるURLに対する関係の深い企業がURL−企業名関係算出部25によって見つけられていない場合に、そのURLが利用者によって選択された場合にも、ホワイトリスト確認部26は、利用者に対して警告する。この場合、URLに対する関係の深い企業が見つかっている場合か見つかっていない場合かに応じて、ホワイトリスト確認部26は、異なる種類の警告を発することが好ましい。これにより、利用者は、警告が出た場合に、URLホワイトリストに登録されている企業であるがURLがそのリストに含まれていないために警告が出たのか、あるいは、そもそもURLホワイトリストに登録されていない企業であるため警告が出たのかを判別することができるようになる。   The white list confirmation unit 26 corresponds to a deeply related company ID in which the target URL (ie, selected by the user) is found by the URL-company name relationship calculation unit 25 in the URL white list 23. If it is included in the range described in the URL to be processed, it is determined that the target URL is valid, and the URL is passed to the browser 30. As a result, the browser 30 accesses the site of the target URL and can acquire and view information. On the other hand, if the target URL is not included in the range described as the URL corresponding to the closely related company ID in the URL white list 23, the white list confirmation unit 26 determines that the URL is Warn users of possible phishing sites. Note that even when a company closely related to a URL is not found by the URL-company name relationship calculation unit 25, the whitelist confirmation unit 26 also asks the user when the URL is selected by the user. Warning. In this case, it is preferable that the whitelist confirmation unit 26 issues different types of warnings depending on whether a company closely related to the URL is found or not. As a result, when the warning is issued, the user is a company registered in the URL white list, but the URL is not included in the list, or the warning is issued, or in the first place, the URL white list. It is possible to determine whether a warning has been issued because the company is not registered.

以上説明した携帯電話端末10において、企業名リスト22及びURLホワイトリスト23は、定期的に、あるいは随時、ネットワーク側からダウンロードされるようにすることが好ましい。   In the mobile phone terminal 10 described above, it is preferable that the company name list 22 and the URL white list 23 are downloaded from the network side regularly or at any time.

この第1の実施形態では、メール内に記載されたURLに対し、そのURLに関係の深い企業名を割り出すようにしている。そして、そのメールがフィッシングメールであった場合、フィッシング詐欺師が犠牲者を誤誘導させようと詐称している企業名を“関係の深い企業名”として明らかにし、その企業の正当なサイトであれば条件が満たされるべきURLホワイトリストとの整合性を求めている。その結果、本実施形態によれば、ホワイトリストに登録されている企業を詐称したフィッシング詐欺の被害を大幅に減ずることが可能となる。   In the first embodiment, a company name closely related to the URL is determined for the URL described in the mail. And if the email is a phishing email, clarify the name of the company that the phishing scammers have misrepresented to mislead the victim as a “relevant company name” and be a legitimate site for that company. For example, consistency with a URL white list that satisfies the condition is required. As a result, according to the present embodiment, it is possible to greatly reduce the damage of phishing scams in which companies registered in the white list are misrepresented.

(第2の実施形態)
図4は、本発明の第2の実施形態のフィッシング詐欺対策システムの構成を示すブロック図である。図4に示したものは、図1に示したものと同様に、携帯端末の側でホワイトリストとの照合を行うようにしているが、ホワイトリストとの照合が、URLを用いてサイトにアクセスしようとするときではなく、そのサイトに対して情報の送信を行おうとする場合に行われる点で、図1に示したものと異なっている。したがって、図4に示す携帯電話端末10では、メーラー20内には、メール閲覧部21と企業名リスト22とURL−企業名算出部25が設けられ、ブラウザ30内に、URLホワイトリスト23とホワイトリスト確認部26とサイト閲覧処理部27とが設けられている。したがって、データベース部24は、メーラー20とブラウザ30とにまたがって設けられていることになる。 (Second Embodiment)
FIG. 4 is a block diagram showing a configuration of a phishing countermeasure system according to the second embodiment of the present invention. 4 is similar to that shown in FIG. 1 in that the mobile terminal performs collation with the white list, but the collation with the white list uses the URL to access the site. This is different from the one shown in FIG. 1 in that it is performed not when trying to transmit information but when transmitting information to the site. Therefore, in the mobile phone terminal 10 shown in FIG. 4, the mailer 20 is provided with a mail browsing unit 21, a company name list 22, and a URL-company name calculation unit 25. A list confirmation unit 26 and a site browsing processing unit 27 are provided. Therefore, the database unit 24 is provided across the mailer 20 and the browser 30.

サイト閲覧処理部27は、外部のウェブサイト13に対してアクセスして情報の閲覧と送信との処理を実行するものである。特にサイト閲覧処理部27は、URL−企業名関係算出部25から、対象となるURLとそのURLと関係の深い企業ID列を受け取って、ホワイトリスト確認部26でのURLの正当性検証の結果に基づいて、情報の送信の処理を実行する。   The site browsing processing unit 27 accesses the external website 13 and executes processing of browsing and transmitting information. In particular, the site browsing processing unit 27 receives the target URL and the company ID string closely related to the URL from the URL-company name relationship calculating unit 25, and the result of the validity verification of the URL by the whitelist confirmation unit 26 The information transmission process is executed based on the above.

次に、本実施形態の動作について説明する。   Next, the operation of this embodiment will be described.

URL−企業名関係算出部25での処理までは、上述した第1の実施形態と同様である。ここで、URL−企業名関係算出部25は、ブラウザ30に対し、対象となっているURLだけでなく、そのURLと関係の深い企業ID列も渡す。その結果、ブラウザ30のサイト閲覧処理部27では、サイトの閲覧中はフィッシング詐欺対策のための処理を特には行わないが、ウェブページ中の「from」タグなどを用いて携帯電話端末10からサイトに対し情報を送信する際に、ホワイトリスト確認部26によるサイト正当性検証を行う。ホワイトリスト確認部26によるサイト正当性検証は、第1の実施形態におけるものと同様に行われる。   The processes up to the URL-company name relationship calculation unit 25 are the same as those in the first embodiment. Here, the URL-company name relationship calculation unit 25 passes not only the target URL but also a company ID string closely related to the URL to the browser 30. As a result, the site browsing processing unit 27 of the browser 30 does not particularly perform processing for countermeasures against phishing while browsing the site, but the site can be accessed from the mobile phone terminal 10 using the “from” tag in the web page. When the information is transmitted, the site validity verification is performed by the white list confirmation unit 26. The site validity verification by the whitelist confirmation unit 26 is performed in the same manner as in the first embodiment.

この第2の実施形態では、重要情報を詐取されてしまうというフィッシング詐欺の「情報送信」の部分に的を絞って正当性検証・警告を行うため、利用者に対する警告回数を大幅に減ずるとともに、その警告精度を向上させることができるため、利用者の利便性を大きく向上させることが可能となる。   In this second embodiment, since the validity verification / warning is focused on the “information transmission” part of the phishing scam where important information is fraudulent, the number of warnings to the user is greatly reduced, Since the warning accuracy can be improved, the convenience for the user can be greatly improved.

(第3の実施形態)
上述した第1及び第2の実施形態では、フィッシング詐欺対策の処理を携帯端末側で実行していたが、この第3の実施形態では、フィッシング詐欺対策のための処理の主要な部分をサーバ側で実行することとする。図5は、本発明の第3の実施形態のフィッシング詐欺対策システムの構成を示すブロック図である。 (Third embodiment)
In the first and second embodiments described above, the phishing countermeasure process is executed on the mobile terminal side. In the third embodiment, the main part of the phishing countermeasure process is performed on the server side. It will be executed in. FIG. 5 is a block diagram showing a configuration of a phishing countermeasure system according to the third embodiment of the present invention.

この実施形態では、携帯端末として、メール受信機能やウェブ閲覧機能を携帯電話15が用いられるものとする。携帯電話15は、メールサーバ16を介してメール11を受け取るともに、プロキシサーバ17を介して、インターネット12上のウェブサイト13にアクセスするようになっている。   In this embodiment, it is assumed that the mobile phone 15 has a mail reception function and a web browsing function as a mobile terminal. The mobile phone 15 receives the mail 11 via the mail server 16 and accesses the website 13 on the Internet 12 via the proxy server 17.

メールサーバ16には、第1及び第2の実施形態での企業名リストやURL−企業名関係算出部と同様の企業名リスト61及びURL−企業名関係算出部62が設けられるとともに、URL−企業名関係算出部62で抽出された企業IDをメールに挿入して携帯電話15に送信する企業情報埋込部63を備えている。携帯電話15は、メーラー64とブラウザ部65を備えており、メーラー64は、受信したメールから企業IDを抽出する企業ID抽出部66を備えている。プロキシサーバ17は、第1及び第2の実施形態でのURLホワイトリストやホワイトリスト確認部と同様のURLホワイトリスト67及びホワイトリスト確認部68を備えている。   The mail server 16 is provided with a company name list 61 and a URL-company name relationship calculation unit 62 similar to the company name list and URL-company name relationship calculation unit in the first and second embodiments, and the URL- A company information embedding unit 63 that inserts the company ID extracted by the company name relation calculating unit 62 into an email and transmits the mail to the mobile phone 15 is provided. The mobile phone 15 includes a mailer 64 and a browser unit 65. The mailer 64 includes a company ID extraction unit 66 that extracts a company ID from the received mail. The proxy server 17 includes a URL white list 67 and a white list confirmation unit 68 similar to the URL white list and the white list confirmation unit in the first and second embodiments.

次に、本実施形態の動作を説明する。   Next, the operation of this embodiment will be described.

メールサーバ16では、外部から携帯電話15に宛てて受信したメール11に対して、第1の実施形態の場合と同様に、URL−企業名関係算出部62が、メール内の各URLに対する関係の深い企業(1または複数)を求める。次に、企業情報埋込部63は、URL−企業名関係算出部62で算出された関係の深い企業の企業IDまたは企業ID列を、検出されたURLと関連付けて、携帯電話15に対するメールに埋め込む。例えば、企業IDは、メールのヘッダに埋め込んでもよいし、メールをマルチパート(muliti-part)メールにして、本文とは別のパートに格納するようにしてもよい。なお、ここで用いられるヘッダ名やパート名(Content−Disposition)は、全てのメールに関し、受信時にそれらのヘッダフィールドやパートを削除することで、フィッシング詐欺師に悪用されないようにすることが可能である。   In the mail server 16, for the mail 11 received from the outside addressed to the mobile phone 15, as in the case of the first embodiment, the URL-company name relationship calculation unit 62 determines the relationship for each URL in the mail. Seeking deep company (s). Next, the company information embedding unit 63 associates the company ID or company ID string of the company closely calculated by the URL-company name relationship calculating unit 62 with the detected URL, and sends it to the email to the mobile phone 15. Embed. For example, the company ID may be embedded in a mail header, or the mail may be stored in a part different from the main text by making the mail a multi-part mail. Note that the header name and part name (Content-Disposition) used here can be prevented from being abused by phishing scammers by deleting their header fields and parts at the time of reception for all mails. is there.

ヘッダフィールドを用いた記述例としては、ヘッダにおける任意定義フィールド(X-で始まるフィールド)を用い、例えば、図6に示すように、X-URL-Corporationsなどというフィールドをメールヘッダ内に定義して利用する手法が考えられる。図6では、簡単のため、このフィールドのみを記載する。   As a description example using a header field, an arbitrarily defined field (a field starting with X-) is used in the header. For example, as shown in FIG. 6, a field such as X-URL-Corporations is defined in the mail header. A method to use can be considered. In FIG. 6, only this field is described for simplicity.

一方、マルチパートメールにおける別パートを用いる場合には、図7に例示するように、URL-CorporationsなどというContents-dispositionを定義する手法が考えられる。図7は、簡単のため、別パートに関連する部分のみを示している。   On the other hand, when using another part in multi-part mail, a method of defining Contents-disposition such as URL-Corporations can be considered as illustrated in FIG. FIG. 7 shows only a part related to another part for the sake of simplicity.

本実施形態の場合、同一のメール内に同一のURLが複数回出現した場合への対応が必要となる。同一のメールが複数回出現した場合、例えば、あるメールに同一URLがURL(1)〜URL(S)としてS個存在した場合、それぞれのURLについて、企業IDがnである企業の得点PS(Cn)を求める。そして、同一のnについて、URL(1)〜URL(S)の値を和算することで、そのURLに対する企業IDの重みを求め、それをソートしたものをメールに添付する情報とする。 In the case of this embodiment, it is necessary to cope with the case where the same URL appears multiple times in the same mail. When the same mail appears multiple times, for example, when there are S same URLs as URL (1) to URL (S) in a certain mail, the score P S of the company whose company ID is n for each URL. Find (C n ). Then, for the same n, the values of URL (1) to URL (S) are added to obtain the weight of the company ID for the URL, and the sorted information is used as information attached to the mail.

メールサーバ16においてこのようにして関係の深い企業IDが添付されたメールは、携帯電話15に届く。携帯電話15の利用者は、このメールに対し、従来のメールのように閲覧などの操作を行うが、ここで利用者がメール内のURLをクリックし、そのURLに対応するサイトにアクセスしようとすると、メーラー64の企業ID抽出部66が動作を開始する。メールに企業IDが添付されていれば、企業ID抽出部66は、利用者が選択したURLとそれに対応する企業ID列とをブラウザ部65に送出する。   In the mail server 16, the mail to which the company ID closely related in this way is attached reaches the mobile phone 15. The user of the mobile phone 15 performs an operation such as browsing for this mail like a conventional mail. Here, the user clicks a URL in the mail and tries to access a site corresponding to the URL. Then, the company ID extraction unit 66 of the mailer 64 starts operation. If the company ID is attached to the mail, the company ID extraction unit 66 sends the URL selected by the user and the corresponding company ID string to the browser unit 65.

ブラウザ部65は、メーラー64より送られたきた企業ID列を保持しておき、サイトに対して情報を送信しようとした際に、送信先となるURLと保持しておいた企業ID列とを用いて、プロキシサーバ17に問い合わせを行う。   The browser unit 65 retains the company ID string sent from the mailer 64, and when sending information to the site, the browser unit 65 displays the URL as the transmission destination and the retained company ID string. To make an inquiry to the proxy server 17.

プロキシサーバ17では、ホワイトリスト確認部68が、URLホワイトリスト67を用いて、ブラウザ部65より通知された企業IDに対応するURL構成を検索し、URLホワイトリスト67から検索されたURL構成の中に、ブラウザ部65より通知されたURLが含まれるかどうか検証する。通知されたURLがURLホワイトリスト67に含まれるとき、すなわち、URLホワイトリスト67を用いた正当性検証がOKであれば、通知されたURLのサイトに対して、プロキシサーバ17から情報が送信される。これに対し、通知されたURLがURLホワイトリスト67に含まれない場合、すなわち、URLホワイトリスト67を用いた正当性検証がNGであれば、ホワイトリスト確認部68からその旨が携帯電話15に送られ、利用者に対して警告が通知される。   In the proxy server 17, the white list confirmation unit 68 uses the URL white list 67 to search for the URL configuration corresponding to the company ID notified from the browser unit 65, and the URL configuration that is searched from the URL white list 67 Whether the URL notified from the browser unit 65 is included. When the notified URL is included in the URL white list 67, that is, if the validity verification using the URL white list 67 is OK, information is transmitted from the proxy server 17 to the site of the notified URL. The On the other hand, if the notified URL is not included in the URL white list 67, that is, if the validity verification using the URL white list 67 is NG, the white list confirmation unit 68 notifies the mobile phone 15 of the fact. Sent and alerted to the user.

この第3の実施形態では、フィッシング詐欺対策のための処理のほとんどがサーバ側(メールサーバ16及びプロキシサーバ17)で行われるため、特に、データベース類への検索を必要とする処理が全てサーバ上で行われるため、携帯電話15での処理を軽くすることができる。携帯電話15での操作レスポンスとしては、フィッシング詐欺対策を行わない場合とほぼ同程度までの高速化を見込むことができる。また、企業名リスト61やURLホワイトリスト67などのデータベースとしてメンテナンスを要する部分がサーバ側に配置されることで、携帯端末内のデータの更新というセキュリティリスクを伴うプロセスから不要とする、という利点も有する。   In the third embodiment, most of the processing for countermeasures against phishing is performed on the server side (the mail server 16 and the proxy server 17). Therefore, the processing by the mobile phone 15 can be lightened. The operation response on the mobile phone 15 can be expected to increase to almost the same speed as when phishing countermeasures are not taken. In addition, there is an advantage that a part requiring maintenance as a database such as the company name list 61 and the URL white list 67 is arranged on the server side, so that it is unnecessary from a process involving a security risk of updating data in the mobile terminal. Have.

以上、本発明の好ましい実施の形態について説明したが、第1及び第2の実施形態での携帯電話端末10や、第3の実施形態での携帯電話15は、ソフトウェアによって実現できるものである。すなわち、近年の携帯電話機は、一般に、マイクロプロセッサなどを内蔵してそのマイクロプロセッサ上で実行されるソフトウェアプログラムによってその動作が制御されるようになっている。そこで、携帯電話機を制御するためのソフトウェアプログラムに、上述した携帯電話端末10や携帯電話15での処理を実現する部分を追加することにより、そのような各実施形態での携帯電話端末10や携帯電話15として機能することになる。携帯電話機へのそのようなプログラムの導入方法としては、出荷時に不揮発性メモリに書き込む方法や、プログラムダウンロードによる方法などを用いることができる。   Although the preferred embodiments of the present invention have been described above, the mobile phone terminal 10 in the first and second embodiments and the mobile phone 15 in the third embodiment can be realized by software. That is, recent mobile phones generally have a built-in microprocessor and the operation is controlled by a software program executed on the microprocessor. Therefore, by adding a part for realizing the processing in the mobile phone terminal 10 and the mobile phone 15 to the software program for controlling the mobile phone, the mobile phone terminal 10 and the mobile phone in each of such embodiments are added. It will function as the telephone 15. As a method for introducing such a program into a mobile phone, a method of writing in a nonvolatile memory at the time of shipment, a method by program download, or the like can be used.

また、第3の実施形態におけるメールサーバ16及びプロキシサーバ17も、それを実現するためのコンピュータプログラムを、サーバ用コンピュータなどのコンピュータに読み込ませ、そのプログラムを実行させることによっても実現できる。メールサーバやプロキシサーバを実現するためのプログラムは、磁気テープやCD−ROMなどの記録媒体によって、あるいは、ネットワークを介して、コンピュータに読み込まれる。   The mail server 16 and the proxy server 17 in the third embodiment can also be realized by causing a computer program such as a server computer to read a computer program for realizing it and executing the program. A program for realizing a mail server or a proxy server is read into a computer by a recording medium such as a magnetic tape or a CD-ROM, or via a network.

本発明の範疇には、ここで述べたようなソフトウェアプログラムも含まれる。   The category of the present invention includes software programs as described herein.

以上では、携帯電話などの携帯端末に対するフィッシング詐欺を防止する場合を例に挙げて説明した。本発明のフィッシング詐欺対策の手法は、携帯端末以外の端末(例えばパーソナルコンピュータなど)にも適用できるものである。   In the above, the case where the phishing scam with respect to portable terminals, such as a mobile phone, was prevented was mentioned as an example. The phishing countermeasure method of the present invention can be applied to terminals other than mobile terminals (for example, personal computers).

本発明の第1の実施形態のフィッシング詐欺対策システムの構成を示すブロック図である。It is a block diagram which shows the structure of the phishing countermeasure system of the 1st Embodiment of this invention. 企業名リストの記述例を示す図である。It is a figure which shows the example of a description of a company name list. URLホワイトリストの一例を示す図である。It is a figure which shows an example of URL white list. 本発明の第2の実施形態のフィッシング詐欺対策システムの構成を示すブロック図である。It is a block diagram which shows the structure of the anti-phishing system of the 2nd Embodiment of this invention. 本発明の第3の実施形態のフィッシング詐欺対策システムの構成を示すブロック図である。It is a block diagram which shows the structure of the phishing countermeasure system of the 3rd Embodiment of this invention. ヘッダフィールドの記述の一例を示す図である。It is a figure which shows an example of the description of a header field. 別パートでの記述の一例を示す図である。It is a figure which shows an example of the description in another part.

符号の説明Explanation of symbols

10 携帯電話端末
11 メール
12 インターネット
13 ウェブサイト
15 携帯電話
16 メールサーバ
17 プロキシサーバ
20,64 メーラー
21 メール閲覧部
22,61 企業名リスト
23,67 URLホワイトリスト
24 データベース
25,62 URL−企業名関係算出部
26,68 ホワイトリスト確認部
27 サイト閲覧処理部
30 ブラウザ
63 企業情報埋込部
65 ブラウザ部
66 企業ID抽出部 DESCRIPTION OF SYMBOLS 10 Mobile phone terminal 11 Mail 12 Internet 13 Website 15 Mobile phone 16 Mail server 17 Proxy server 20, 64 Mailer 21 Mail browsing part 22, 61 Company name list 23, 67 URL white list 24 Database 25, 62 URL-company name relation Calculation unit 26, 68 White list confirmation unit 27 Site browsing processing unit 30 Browser 63 Company information embedding unit 65 Browser unit 66 Company ID extraction unit

Claims (10)

フィッシング詐欺による被害を防止するためのフィッシング詐欺対策方法であって、
関係算出手段が、端末において受信したメールを解析して前記メールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、前記メールにおける前記企業名と当該URLとの位置関係から、当該URLに関係の深い企業を抽出し、前記抽出された企業を特定する情報を出力する段階と、
前記メールに含まれるいずれかのURLが利用者によって選択された場合に、確認手段が、企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストを参照して、前記選択されたURLが、前記出力された情報が示す企業に対応するURLとして前記ホワイトリストに記載されているか否かに応じて、前記選択されたURLに対応するサイトの正当性を検証する段階と、
を有するフィッシング詐欺対策方法。 A phishing countermeasure method to prevent damage caused by phishing scams,
The relationship calculation means analyzes the email received at the terminal and extracts the company name and URL included in the email, and for each extracted URL, from the positional relationship between the company name and the URL in the email, Extracting a company closely related to the URL, and outputting information identifying the extracted company;
When any URL included in the e-mail is selected by the user, the confirmation means refers to the white list that describes the company and the URL of a legitimate site corresponding to the company, and the selected means is selected. Verifying the legitimacy of the site corresponding to the selected URL according to whether the URL is listed in the whitelist as a URL corresponding to the company indicated by the output information;
Anti-phishing method. フィッシング詐欺による被害を防止するためのフィッシング詐欺対策方法であって、
メールサーバが、端末に配信すべきメールを解析して、解析して前記メールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、前記メールにおける前記企業名と当該URLとの位置関係から、当該URLに関係の深い企業を抽出し、前記抽出された企業を特定する情報を付加して前記メールを前記端末に配信する段階と、
プロキシサーバが、前記端末からURLと前記特定する情報とを伴ってアクセス要求を受け付けたときに、企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストを参照して、前記アクセス要求に含まれるURLが、前記特定する情報が示す企業に対応するURLとして前記ホワイトリストに記載されているか否かに応じて、前記選択されたURLに対応するサイトの正当性を検証する段階と、
を有する、フィッシング詐欺対策方法。 A phishing countermeasure method to prevent damage caused by phishing scams,
The mail server analyzes the mail to be delivered to the terminal, analyzes and extracts the company name and URL included in the mail, and for each extracted URL, the company name and the URL in the mail Extracting a company closely related to the URL from the positional relationship, adding information specifying the extracted company, and delivering the mail to the terminal;
When the proxy server accepts an access request with the URL and the specified information from the terminal, the proxy server refers to the white list that describes the company and the URL of a legitimate site corresponding to the company. Verifying the legitimacy of the site corresponding to the selected URL according to whether the URL included in the request is listed in the whitelist as a URL corresponding to the company indicated by the specified information; ,
A phishing countermeasure method. 前記メールサーバは、企業名と企業ごとに一意に定まる企業IDとを保持した企業名リストを参照して、前記URLに関係の深い企業を抽出し、前記企業を特定する情報として前記企業IDを、対応するURLと関連付けて前記メールに付加する、請求項2に記載のフィッシング詐欺対策方法。   The mail server refers to a company name list holding a company name and a company ID uniquely determined for each company, extracts a company closely related to the URL, and uses the company ID as information for identifying the company. The phishing countermeasure method according to claim 2, wherein the method is added to the mail in association with a corresponding URL. 前記端末が、前記メールサーバから前記メールを受信する段階と、
前記メールに含まれるいずれかのURLが利用者によって選択された場合に、前記端末が、前記選択されたURLと該選択されたURLに対応する前記特定する情報とを前記プロキシサーバに送信する段階と、
をさらに有する、請求項2または3に記載のフィッシング詐欺対策方法。 The terminal receiving the mail from the mail server;
When any URL included in the mail is selected by the user, the terminal transmits the selected URL and the specified information corresponding to the selected URL to the proxy server. When,
The phishing countermeasure method according to claim 2 or 3, further comprising: メールを受信する機能と外部サイトにアクセスする機能とを有する端末であって、
受信したメールを解析して前記受信したメールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、前記受信したメールにおける前記企業名と当該URLとの位置関係から、当該URLに関係の深い企業を抽出し、前記抽出された企業を特定する情報を出力する関係算出手段と、
企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストと、
前記受信したメールに含まれるいずれかのURLが利用者によって選択された場合に、前記ホワイトリストを参照して、前記選択されたURLが、前記出力された情報が示す企業に対応するURLとして前記ホワイトリストに記載されているか否かに応じて、前記選択されたURLに対応するサイトの正当性を検証する確認手段と、
を有する端末。 A terminal having a function of receiving mail and a function of accessing an external site,
The received mail is analyzed to extract the company name and URL included in the received mail, and for each extracted URL, the URL is determined based on the positional relationship between the company name and the URL in the received mail. A relationship calculating means for extracting a deeply related company and outputting information for identifying the extracted company;
A whitelist listing the company and the URL of the legitimate site corresponding to that company,
When any URL included in the received mail is selected by the user, the selected URL is referred to as the URL corresponding to the company indicated by the output information with reference to the white list. Checking means for verifying the legitimacy of the site corresponding to the selected URL according to whether it is listed in the white list;
A terminal having 受信したメールを端末に配信するメールサーバであって、
端末に配信すべきメールを解析して、解析して前記メールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、前記メールにおける前記企業名と当該URLとの位置関係から、当該URLに関係の深い企業を抽出する関係算出手段と、
前記抽出された企業を特定する情報を前記メールに付加して前記端末に配信する企業情報埋込手段と、
を有する、メールサーバ。 A mail server that delivers received emails to the device,
Analyzing the mail to be delivered to the terminal, analyzing and extracting the company name and URL included in the mail, and for each extracted URL, from the positional relationship between the company name and the URL in the mail, A relationship calculating means for extracting a company closely related to the URL;
Company information embedding means for adding information identifying the extracted company to the mail and distributing it to the terminal;
Having a mail server. 端末からの要求を代理して外部サイトにアクセスするプロキシサーバであって、
企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストと、
前記端末からURLと前記特定する情報とを伴ってアクセス要求を受け付けたときに、前記ホワイトリストを参照して、前記アクセス要求に含まれるURLが、前記特定する情報が示す企業に対応するURLとして前記ホワイトリストに記載されているか否かに応じて、前記選択されたURLに対応するサイトの正当性を検証する確認手段と、
を有する、プロキシサーバ。 It is a proxy server that accesses external sites on behalf of requests from terminals,
A whitelist listing the company and the URL of the legitimate site corresponding to that company,
When an access request is received from the terminal with the URL and the specified information, the URL included in the access request is referred to as the URL corresponding to the company indicated by the specified information with reference to the white list. Checking means for verifying the legitimacy of the site corresponding to the selected URL according to whether it is listed in the white list;
Having a proxy server. メールを受信する機能と外部サイトにアクセスする機能とを有するコンピュータを、
受信したメールを解析して前記受信したメールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、前記受信したメールにおける前記企業名と当該URLとの位置関係から、当該URLに関係の深い企業を抽出し、前記抽出された企業を特定する情報を出力する関係算出手段、
企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストを格納する格納手段、
前記受信したメールに含まれるいずれかのURLが利用者によって選択された場合に、前記ホワイトリストを参照して、前記選択されたURLが、前記出力された情報が示す企業に対応するURLとして前記ホワイトリストに記載されているか否かに応じて、前記選択されたURLに対応するサイトの正当性を検証する確認手段、
として機能させるプログラム。 A computer having a function of receiving mail and a function of accessing an external site;
The received mail is analyzed to extract the company name and URL included in the received mail, and for each extracted URL, the URL is determined based on the positional relationship between the company name and the URL in the received mail. A relationship calculating means for extracting a deeply related company and outputting information for identifying the extracted company;
A storage means for storing a whitelist describing a company and a URL of a legitimate site corresponding to the company;
When any URL included in the received mail is selected by the user, the selected URL is referred to as the URL corresponding to the company indicated by the output information with reference to the white list. Confirmation means for verifying the legitimacy of the site corresponding to the selected URL, depending on whether it is listed in the white list;
Program to function as. コンピュータを、
端末に配信すべきメールを解析して、解析して前記メールに含まれる企業名とURLとを抽出し、抽出されたURLごとに、前記メールにおける前記企業名と当該URLとの位置関係から、当該URLに関係の深い企業を抽出する関係算出手段、
前記抽出された企業を特定する情報を前記メールに付加して前記端末に配信する企業情報埋込手段、
として機能させるプログラム。 Computer
Analyzing the mail to be delivered to the terminal, analyzing and extracting the company name and URL included in the mail, and for each extracted URL, from the positional relationship between the company name and the URL in the mail, A relationship calculation means for extracting companies closely related to the URL;
Company information embedding means for adding the information specifying the extracted company to the mail and distributing it to the terminal;
Program to function as. ネットワークを介して外部サイトに接続可能なコンピュータを、
企業とその企業に対応する正当なサイトのURLとを記載したホワイトリストを格納する格納手段、
端末からURLと前記特定する情報とを伴ってアクセス要求を受け付けたときに、前記ホワイトリストを参照して、前記アクセス要求に含まれるURLが、前記特定する情報が示す企業に対応するURLとして前記ホワイトリストに記載されているか否かに応じて、前記選択されたURLに対応するサイトの正当性を検証し、前記端末からの正当なサイトへのアクセスを仲介する確認手段、
として機能させるプログラム。 A computer that can be connected to an external site via a network
A storage means for storing a whitelist describing a company and a URL of a legitimate site corresponding to the company;
When an access request is received with a URL and the information to be specified from a terminal, the URL included in the access request is referred to as the URL corresponding to the company indicated by the information to be specified with reference to the white list. Confirming means for verifying the legitimacy of the site corresponding to the selected URL according to whether it is described in the white list, and mediating access to the legitimate site from the terminal;
Program to function as.
JP2005349138A 2005-12-02 2005-12-02 Phishing fraud countermeasure method, terminal, server and program Expired - Fee Related JP4564916B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005349138A JP4564916B2 (en) 2005-12-02 2005-12-02 Phishing fraud countermeasure method, terminal, server and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005349138A JP4564916B2 (en) 2005-12-02 2005-12-02 Phishing fraud countermeasure method, terminal, server and program

Publications (2)

Publication Number Publication Date
JP2007156690A true JP2007156690A (en) 2007-06-21
JP4564916B2 JP4564916B2 (en) 2010-10-20

Family

ID=38240995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005349138A Expired - Fee Related JP4564916B2 (en) 2005-12-02 2005-12-02 Phishing fraud countermeasure method, terminal, server and program

Country Status (1)

Country Link
JP (1) JP4564916B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007202046A (en) * 2006-01-30 2007-08-09 Nec Corp System, method and program for preventing guide to illegal site, and mail receiver
WO2012043650A1 (en) * 2010-09-29 2012-04-05 楽天株式会社 Display program, display device, information processing method, recording medium, and information processing device
JP2013081146A (en) * 2011-10-05 2013-05-02 Mitsubishi Electric Corp Address extraction device
JP2014182513A (en) * 2013-03-18 2014-09-29 Haruaki Yamazaki Data transmission/reception method and data transmission/reception system utilizing wide-area communication network
JP2015524587A (en) * 2012-07-06 2015-08-24 マイクロソフト コーポレーション Providing consistent security information
CN114205111A (en) * 2021-11-02 2022-03-18 恒安嘉新(北京)科技股份公司 Method, device, equipment and medium for automatically processing fraud-related websites

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006285844A (en) * 2005-04-04 2006-10-19 Katsuyoshi Nagashima Phishing fraud prevention system
JP2006338494A (en) * 2005-06-03 2006-12-14 Nippon Telegr & Teleph Corp <Ntt> Method and device for verifying valid site, and program
JP2007156697A (en) * 2005-12-02 2007-06-21 Nippon Telegr & Teleph Corp <Ntt> White list collection method and device in legal site verification method
JP2008507005A (en) * 2004-05-02 2008-03-06 マークモニター インコーポレイテッド Online fraud solution

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008507005A (en) * 2004-05-02 2008-03-06 マークモニター インコーポレイテッド Online fraud solution
JP2006285844A (en) * 2005-04-04 2006-10-19 Katsuyoshi Nagashima Phishing fraud prevention system
JP2006338494A (en) * 2005-06-03 2006-12-14 Nippon Telegr & Teleph Corp <Ntt> Method and device for verifying valid site, and program
JP2007156697A (en) * 2005-12-02 2007-06-21 Nippon Telegr & Teleph Corp <Ntt> White list collection method and device in legal site verification method

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007202046A (en) * 2006-01-30 2007-08-09 Nec Corp System, method and program for preventing guide to illegal site, and mail receiver
JP4682855B2 (en) * 2006-01-30 2011-05-11 日本電気株式会社 System, method, program, and mail receiver for preventing unauthorized site guidance
WO2012043650A1 (en) * 2010-09-29 2012-04-05 楽天株式会社 Display program, display device, information processing method, recording medium, and information processing device
JP5595509B2 (en) * 2010-09-29 2014-09-24 楽天株式会社 Display program, display device, information processing method, and information processing device
US9471714B2 (en) 2010-09-29 2016-10-18 Rakuten, Inc. Method for increasing the security level of a user device that is searching and browsing web pages on the internet
JP2013081146A (en) * 2011-10-05 2013-05-02 Mitsubishi Electric Corp Address extraction device
JP2015524587A (en) * 2012-07-06 2015-08-24 マイクロソフト コーポレーション Providing consistent security information
JP2014182513A (en) * 2013-03-18 2014-09-29 Haruaki Yamazaki Data transmission/reception method and data transmission/reception system utilizing wide-area communication network
CN114205111A (en) * 2021-11-02 2022-03-18 恒安嘉新(北京)科技股份公司 Method, device, equipment and medium for automatically processing fraud-related websites

Also Published As

Publication number Publication date
JP4564916B2 (en) 2010-10-20

Similar Documents

Publication Publication Date Title
US11019094B2 (en) Methods and systems for malicious message detection and processing
US11924242B2 (en) Fraud prevention via distinctive URL display
JP6871357B2 (en) Systems and methods for detecting online scams
US9985978B2 (en) Method and system for misuse detection
EP2859494B1 (en) Dashboards for displaying threat insight information
EP2805286B1 (en) Online fraud detection dynamic scoring aggregation systems and methods
EP2859495B1 (en) Malicious message detection and processing
US8615802B1 (en) Systems and methods for detecting potential communications fraud
US20090089859A1 (en) Method and apparatus for detecting phishing attempts solicited by electronic mail
US20140250526A1 (en) Detecting fraudulent activity by analysis of information requests
US20130031630A1 (en) Method and Apparatus for Identifying Phishing Websites in Network Traffic Using Generated Regular Expressions
US20050289148A1 (en) Method and apparatus for detecting suspicious, deceptive, and dangerous links in electronic messages
US20080028444A1 (en) Secure web site authentication using web site characteristics, secure user credentials and private browser
JP4564916B2 (en) Phishing fraud countermeasure method, terminal, server and program
EP3195140B1 (en) Malicious message detection and processing
Abiodun et al. Linkcalculator—An efficient link-based phishing detection tool
Xiaopeng et al. A multi-dimensional spam filtering framework based on threat intelligence

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100506

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100721

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100802

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130806

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees