JP2007172401A - 不正メール検知装置 - Google Patents

不正メール検知装置 Download PDF

Info

Publication number
JP2007172401A
JP2007172401A JP2005370940A JP2005370940A JP2007172401A JP 2007172401 A JP2007172401 A JP 2007172401A JP 2005370940 A JP2005370940 A JP 2005370940A JP 2005370940 A JP2005370940 A JP 2005370940A JP 2007172401 A JP2007172401 A JP 2007172401A
Authority
JP
Japan
Prior art keywords
mail
dummy
mail server
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005370940A
Other languages
English (en)
Inventor
Toshibumi Kai
俊文 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005370940A priority Critical patent/JP2007172401A/ja
Publication of JP2007172401A publication Critical patent/JP2007172401A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】 不正な処理によってメールサーバ名を取得するウイルスの動作を防止することができる不正メール検知装置を提供する。
【解決手段】 コンピュータウィルスによって、不正な電子メールが配信されることを検知する不正メール検知装置であって、電子メールを送信するために必要な正規のメールサーバ情報14と、当該メールサーバ情報14に対してダミーのダミーメールサーバ情報33とを記憶しておき、ダミーメールサーバ情報設定ソフト実行部15によって、不正ソフトウェア実行部13によるダミーメールサーバ情報を用いて電子メールを作成する処理、又は、ダミーメールサーバ情報を用いて電子メールを送信する処理を検知した場合に、不正な電子メールが配信されることを検知する。
【選択図】 図2

Description

本発明は、ネットワーク上のウィルスのうち、不正なアプリケーションデータが添付されたメールデータの伝染を遮断するための不正メール検知装置に関する。
従来より、ウィルス検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、「http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf」に記載されているようなものも挙げられる。
しかしながら、従来において、ウィルスの定義ファイルを用意しておくパターンマッチング型のウィルス検知技術では、定義ファイルがない新種のウィルスや亜種のウィルスを検知することができないといった問題がある。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、不正な処理によってメールサーバ名を取得するウイルスの動作を防止することができる不正メール検知装置を提供することを目的とする。
本発明は、コンピュータウィルスによって、不正な電子メールが配信されることを検知する不正メール検知装置であって、上述の課題を解決するために、電子メールを送信するために必要な正規の設定情報と、当該設定情報に対してダミーの設定情報とを記憶した記憶手段と、正規の設定情報を用いて、電子メールを送信する送信手段と、コンピュータウィルスによる動作によって、ダミーの設定情報を用いて電子メールを作成する処理、又は、ダミーの設定情報を用いて電子メールを送信する処理を検知した場合に、不正な電子メールが配信されることを検知する検知手段とを備える。
本発明に係る不正メール検知装置によれば、電子メールを送信するために必要な正規の設定情報と、当該設定情報に対してダミーの設定情報とを記憶手段に予め記憶しておき、コンピュータウィルスによる動作によって、ダミーの設定情報を用いて電子メールを作成する処理、又は、ダミーの設定情報を用いて電子メールを送信する処理を検知した場合に、不正な電子メールが配信されることを検知するので、不正な処理によってメールサーバ名を取得するウイルスの動作を防止することができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、例えば図1に示すように、端末1A、1Bと、メールサーバ2,3と、ダミーメールサーバ100とを有し、端末1Aにコンピュータウィルスが感染して、不正な電子メールデータをメールサーバ2,3に送信するコンピュータウィルスの動作を検知する不正メール検知システムに適用される。この実施形態では、例えば端末1Aがコンピュータウィルスに感染してしまい、端末1Aから送信される不正な電子メールデータを検知する場合について説明する。
通常、この不正メール検知システムにおいて、端末1Aから端末1Bにメールデータを送信する場合、先ず端末1Aは、宛先メールアドレスを「hanako@osaka.jp」としたメールデータを作成すると、当該端末1Aのメールクライアント設定で登録されているメールサーバ名「mail.tokyo.jp」のメールサーバ(SMTP(Simple Mail Transfer Protocol)サーバ)2に、電子メールデータを送信する。
この電子メールデータは、ホスト名「mail.tokyo.jp」のメールサーバ2で受信されると、メールサーバ2は、当該電子メールデータに含まれている電子メールデータの宛先を認識し、当該電子メールデータの宛先の端末1Bがアクセスできるメールサーバ3に電子メールデータを転送する。そして、端末1Bは、メールサーバ3にアクセスしてメールボックスを確認することによって、端末1Aから送信された電子メールデータを取得できる。
不正メール検知システムは、端末1Aに設定されたメールサーバ2のメールサーバ名を取得して不正な電子メールデータをメールサーバ2に送信するタイプのコンピュータウィルスの動作(以下、タイプ(1)と呼ぶ。)、端末1Aから送信した電子メールデータを盗聴してメールサーバ名を不正に取得して、不正な電子メールデータをメールサーバ2に送信するタイプのコンピュータウィルスの動作(以下、タイプ(2)と呼ぶ。)、端末1Aから電子メール送信先の端末が接続するメールサーバ3のメールサーバ名を予測して不正な電子メールデータをメールサーバ3に送信するコンピュータウィルスの動作(以下、タイプ(3)と呼ぶ。)を防止できる。
このようなタイプ(1)〜(3)のコンピュータウィルスの動作を検知するために、不正メール検知システムにおける端末1Aは、図1に示すように、端末1A内部に、正規のメールサーバ2,3に関する設定情報のみならず、ダミーのメールサーバに関する情報を記憶しておき、当該ダミーの情報を使用した不正な電子メールデータがネットワークを介して送信されている場合に、当該電子メールデータを不正なものと判定する。
以下、タイプ(1)のコンピュータウィルスによる不正な電子メールデータの配信を防止する第1実施形態、タイプ(2)のコンピュータウィルスによる不正な電子メールデータの配信を防止する第2実施形態、タイプ(3)のコンピュータウィルスによる不正な電子メールデータの配信を防止する第3実施形態についてそれぞれ説明する。
[第1実施形態]
図1に示すように、端末1Aが、端末の設定からメールサーバ名を取得するタイプ(1)の不正なウィルスに感染して、図2に示すように不正ソフトウェア実行部13が形成されてしまうと、当該不正ソフトウェア実行部13の機能によって、正規なメールサーバ名が取得されてしまう(図1の(1))。そして、不正ソフトウェア実行部13は、当該取得したメールサーバ名のメールサーバ2に、アドレス「hanako@osaka.jp」を宛先としウィルスファイルを添付した電子メールデータMに送信すると(図1の(2))、当該メールサーバ2からメールサーバ3に電子メールデータMが転送され(図1の(3))、端末1Bがメールサーバ3のメールボックスの確認を行うと(図1の(4))、ウィルスファイルを添付した電子メールデータMが端末1Bで取得されてしまう(図1の(5))。
タイプ(1)のコンピュータウィルスに対抗する端末1Aには、図2に示すように、例えば他の端末から送信された不正なメール内容をプレビュー又は不正な添付ファイルを実行してしまったために、アプリケーション層に不正ソフトウェア実行部13が実装されている。また、端末1Aは、基本ソフトウェアとメールクライアントソフトウェアとダミーメールサーバ情報設定ソフトウェアがインストールされることによって、基本ソフトウェア実行部11と、メールクライアントソフトウェアを実行するメールクライアントソフトウェア実行部12とダミーメールサーバ情報設定ソフト実行部15とを備え、更に、メールサーバ情報記憶部14を備えて構成されている。
メールサーバ情報記憶部14には、電子メールデータを転送する正規のメールサーバ2を特定するメールサーバ情報と、当該メールサーバ情報に対してダミーのダミーメールサーバ情報とを含む設定データが格納されている。
メールサーバ情報は、正規のメールサーバ2のメールサーバ名及びIPアドレス、自己のメールアドレス、電子メール送信先のメールアドレス帳等を含み、メールクライアントソフトウェア実行部12によって参照されて正規の電子メールデータが作成可能となっている。また、ダミーメールサーバ情報は、ダミーメールサーバ100のメールサーバ名及びIPアドレス等である。
メールサーバ情報とダミーメールサーバ情報とは、予め設定された記述位置にメールサーバ情報及びダミーメールサーバ情報を記述しても良く、ランダムな記述順序、又は、端末1Aのユーザによって任意の記述順序としても良い。また、このメールサーバ情報及びダミーメールサーバ情報は、例えばメールクライアントソフトウェア実行部12のバージョンアップ等によって、設定データの形式が変更となった場合には、メールサーバ情報及びダミーメールサーバ情報の記述形式が変更される。ダミーメールサーバ情報は、後述のダミー情報設定部34によってメールサーバ情報記憶部14に格納され、メールサーバ情報に対する記述順序が設定される。
メールクライアントソフトウェア実行部12は、メールサーバ情報記憶部14を参照して、電子メールデータを作成する。メールクライアントソフトウェア実行部12は、メールサーバ情報記憶部14の設定データのうち、メールサーバ情報を読み込むように設定されている。メールクライアントソフトウェア実行部12は、正規のメールサーバ2のメールサーバ名及び当該メールサーバ名のIPアドレス、電子メール送信先のアドレスをメールサーバ情報記憶部14から取得して、電子メールデータを作成する。
基本ソフトウェア実行部11は、ネットワークと接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP(Internet Protocol)通信制御部22と、ダミーメールサーバ情報設定ソフト実行部15で検知された不正ソフトウェア実行部13で作成された可能性のあるファイルを管理するファイル管理部23と、不正ソフトウェア実行部13が実装された場合に当該不正ソフトウェア実行部13のプロセスを管理できるプロセス管理部24とを備える。
この基本ソフトウェア実行部11は、メールクライアントソフトウェア実行部12によってメールサーバ情報記憶部14のメールサーバ情報を参照して正規の電子メールデータが作成されると、当該電子メールデータがTCP/IP通信制御部22に渡される。TCP/IP通信制御部22は、受け渡された電子メールデータの先頭にTCPヘッダ又はUDP(User Datagram Protocol)ヘッダのトランスポート層ヘッダ,IP層ヘッダを付加したIPパケットを作成して、ダミーメールサーバ情報設定ソフト実行部15に出力する。そして、この電子メールデータは、通信インターフェース部21によって当該IPパケットにリンク層ヘッダ等を付加して所定の変調処理等が施されて、ネットワークに送出される。
また、ネットワークから端末1A宛に送信された電子メールデータを含むIPパケットは、通信インターフェース部21によって復調処理等が施された後に、TCP/IP通信制御部22で解析されて、メールクライアントソフトウェア実行部12に渡される。
不正ソフトウェア実行部13は、端末1Aに実装されると、上述の図1に示した(1)、(2)の手順を実現させるために、メールサーバ情報記憶部14にアクセスして、メールサーバ2のメールサーバ名又はダミーメールサーバ100のメールサーバ名を取得すると、当該何れかのメールサーバ名を使用して電子メールデータを作成して基本ソフトウェア実行部11から送信させる。
このような不正ソフトウェア実行部13で実現される機能に対し、端末1Aは、TCP/IP通信制御部22で作成されたパケットを監視して不正な電子メールデータの送信を遮断するための機能として、ダミーメールサーバ情報設定ソフト実行部15を備えている。ダミーメールサーバ情報設定ソフト実行部15は、パケットフック部31と、駆除部32と、ダミーメールサーバ情報記憶部33と、ダミー情報設定部34とを備える。
ダミーメールサーバ情報記憶部33には、メールサーバ情報記憶部14に格納するダミーメールサーバ100のダミーメールサーバ名を含むダミーメールサーバ情報が記憶されている。ダミー情報設定部34は、ダミーメールサーバ情報記憶部33に記憶されたダミーメールサーバ情報を読み出して、メールサーバ情報記憶部14に記憶させる。ダミー情報設定部34は、ダミーメールサーバ情報をメールサーバ情報記憶部14に記憶させる場合に、その記述順序をランダム又は任意とする。
このダミー情報設定部34は、図3に示すように、先ずメールクライアントソフトウェア実行部12の設定ファイルやレジストリの位置、フォーマット(形式)をメールサーバ情報記憶部14又は外部から取り出す(ステップS1)。次にダミー情報設定部34は、正規のメールサーバ情報に対するダミーメールサーバ情報の記述順序を決定する(ステップS2)。このとき、ダミー情報設定部34は、予め設定された先頭位置にダミーメールサーバ情報を配置するように記述順序を決定しても良く、図示しないユーザインターフェースからの命令によってダミーメールサーバ情報の記述順序を決定しても良く、更には乱数によってランダムな配置となるようにダミーメールサーバ情報の記述順序を決定しても良い。そして、ダミー情報設定部34は、当該記述順序となるようにメールサーバ情報記憶部14にダミーメールサーバ情報を追加する(ステップS3)。
このように、ダミー情報設定部34によって、メールサーバ情報に対するダミーメールサーバ情報の記述順序を調整することによって、設定データの先頭に記述されて一番最初に検出されたメールサーバ名を不正に取得するコンピュータウィルスや、設定データの色々なメールサーバ名を総当たり的に利用するコンピュータウィルスによって不正ソフトウェア実行部13が実装されても、後述のダミーメールサーバ情報設定ソフト実行部15によって、双方のタイプのコンピュータウィルスの動作を検知可能とする。
パケットフック部31は、TCP/IP通信制御部22で作成されて、通信インターフェース部21に渡されるべきIPパケットを横取りすると、当該IPパケットを駆除部32に出力する。
駆除部32は、電子メールデータの宛先がダミーメールサーバ100であるか否かを判定する。駆除部32は、電子メールデータの宛先がダミーメールサーバ100のメールサーバ名である場合、IPパケットを破棄する。また、電子メールデータの宛先がダミーメールサーバ100ではない場合、IPパケットをパケットフック部31を介して通信インターフェース部21に転送する。
駆除部32は、ダミーメールサーバ100が宛先となっている不正な電子メールデータを判定した場合、当該不正な電子メールデータを送信するプロセスを特定する。また、駆除部32は、不正な電子メールデータを作成する実行ファイルを特定する。
このとき、駆除部32は、プロセス管理部24で管理している基本ソフトウェア及びアプリケーション層ソフトウェアで行っているプロセスの情報(ログ情報)から、不正な電子メールデータを作成して送信するプロセスを特定する。そして、駆除部32は、基本ソフトウェア及びアプリケーション層ソフトウェアで不正な電子メールデータを作成して送信するプロセスがプロセス管理部24で検出されたことを示す情報を取得した場合には、当該プロセスを強制終了させる。また、駆除部32は、ファイル管理部23で管理している実行ファイルから、不正な電子メールデータを作成して送信するプロセスを実行している実行ファイルを特定し、当該実行ファイルを削除するようにファイル管理部23を制御する。これによって、不正ソフトウェア実行部13を削除できる。
このような端末1Aにおける駆除部32の処理は、図4に示すように、ステップS11において、電子メールデータを含むIPパケットの宛先がダミーメールサーバ100宛か否かを判定し、そうである場合にはステップS12に処理を進め、ダミーメールサーバ100ではなくメールサーバ2宛であると判定した場合にはステップS14に処理を進める。
ステップS12において、駆除部32は、IPパケットのトランスポート層ヘッダがTCPヘッダか否かを判定し、そうである場合にはステップS13に処理を進め、UDPパケットである場合にはステップS14に処理を進める。
ステップS13において、駆除部32は、TCPヘッダに含まれているポート番号が、電子メールデータ転送プロトコルであるSMTP(Simple Mail Transfer Protocol)ポート宛か否かを判定し、そうである場合にはステップS15に処理を進め、そうでない場合にはステップS14に処理を進める。
ステップS14において、駆除部32は、パケットフック部31からのIPパケットに不正な電子メールデータが含まれていないために、電子メールデータを含むIPパケットをパケットフック部31及び基本ソフトウェア実行部11を介して送信させる。一方、駆除部32は、ステップS11〜ステップS13において全て「YES」と判定された場合には、当該IPパケットに不正な電子メールデータが含まれていると判定して、当該不正な電子メールデータが送信されることを防止するためにステップS15以降に処理を進める。
ステップS15において、駆除部32は、プロセス管理部24で管理しているプロセスのうち不正な電子メールデータを作成して送信するプロセスを特定し、ステップS16において、ファイル管理部23で管理している実行ファイルのうち不正な電子メールデータを作成して送信させる実行ファイルを特定する。
次に駆除部32は、ステップS17において、ステップS15で特定した不正なプロセスを強制終了する。このとき、駆除部32は、不正なプロセスによるログ情報を記録して他の装置に送信する処理や、不正なプロセスが発生しているという警報を端末1Aのユーザや管理者に通知又は他の装置に送信する処理を行っても良い。
次に駆除部32は、ステップS18において、不正な電子メールデータを含むIPパケットを破棄し、ステップS19において、ステップS16で特定された実行ファイルを削除する。このとき、駆除部32は、不正な実行ファイルによるログ情報を記録して他の装置に送信する処理や、不正な実行ファイルがインストールされていたという警報を端末1Aのユーザや管理者に通知又は他の装置に送信する処理を行っても良い。
これによって、駆除部32は、実行ファイルによって実装された不正ソフトウェア実行部13のプロセスを検知して不正な電子メールデータの送信を停止すると共に、不正な電子メールデータを作成して送信する実行ファイルを検出して、当該実行ファイルを削除することができる。
つぎに、ダミーメールサーバ100の構成及び動作について説明する。
ダミーメールサーバ100は、図5に示すように、基本ソフトウェアとダミーメールサーバソフトウェアとがインストールされて、基本ソフトウェア実行部101と、ダミーメールサーバソフトウェア実行部102とを備えて構成されている。
基本ソフトウェア実行部101は、ネットワークを介してあらゆるネットワーク機器と接続された通信インターフェース部111とTCP/IP通信制御部112とを備える。
基本ソフトウェア実行部101は、通信インターフェース部111によってデータの復変調処理及びデータリンク層処理を行い、TCP/IP通信制御部112によってネットワーク層処理及びトランスポート層処理を行う。この基本ソフトウェア実行部101は、ネットワークから受信したパケットに含まれる電子メールデータをダミーメールサーバソフトウェア実行部102に渡すと共に、ダミーメールサーバソフトウェア実行部102から渡されたデータに所定の処理を行ってパケットとして送信する。
ダミーメールサーバソフトウェア実行部102は、メール受信部121と、警告メッセージ受信部122と、警告メッセージ送信部123と、感染ホスト情報記憶部124とを備える。
メール受信部121は、基本ソフトウェア実行部101で受信したパケットに含まれる電子メールデータを受信すると、当該電子メールデータから送信元IPアドレス、送信時刻、メール内容を含むログ情報を作成した後に、当該電子メールデータを破棄する。そして、メール受信部121は、ログ情報を警告メッセージ送信部123に渡す。
警告メッセージ送信部123は、メール受信部121から受け取ったログ情報を用いて、ダミーメールサーバ情報を用いて作成された不正な電子メールデータが検出されたことを警告する警告メッセージを生成して、基本ソフトウェア実行部101に渡す。この警告メッセージには、不正な電子メールデータの送信元であって、コンピュータウィルスに感染した端末を特定する情報が含まれる。これにより、基本ソフトウェア実行部101は、予め警告メッセージの送信先として設定された管理者の端末やその他のネットワーク機器等に警告メッセージを送信できる。
ここで、警告メッセージ送信部123は、警告メッセージを送信する前に、感染ホスト情報記憶部124に格納された感染ホスト情報を参照して、警告メッセージを送信するか否かを判定しても良い。この感染ホスト情報記憶部124に格納された感染ホスト情報は、コンピュータウィルスに感染したホストを特定するIPアドレス等を含んでいる。そして、警告メッセージ送信部123は、不正な電子メールデータの送信元が既に感染ホスト情報として感染ホスト情報記憶部124に格納されている場合には、警告メッセージの送信を中止する。
また、ダミーメールサーバ100は、不正メール検知システムにおいて複数のダミーメールサーバ100が存在する場合に、他のダミーメールサーバ100からの警告メッセージを受信し、当該警告メッセージを警告メッセージ受信部122で受け取る。そして、警告メッセージ受信部122は、当該警告メッセージに含まれる不正な電子メールデータの送信元のIPアドレス等を感染ホスト情報として感染ホスト情報記憶部124に格納する。
このようなダミーメールサーバ100は、メール受信部121によって電子メールデータを受信した時、図6に示すように、ステップS21において、当該電子メールデータからログ情報を作成して電子メールデータを破棄し、ステップS22において、TCP/IP通信制御部112から送信元のIPアドレスを受け取って、感染ホストを特定して警告メッセージ送信部123に渡す。
次に警告メッセージ送信部123は、ステップS23において、感染ホスト情報記憶部124に格納された感染ホスト情報を参照して、ステップS22において受け取った送信元IPアドレスが感染ホスト情報に含まれるか否かを判定して、既に警告メッセージが配信されている感染ホスト情報か否かを判定し、そうである場合には警告メッセージを送信せずに処理を終了する。
一方、警告メッセージ送信部123は、受け取った送信元IPアドレスが感染ホスト情報に含まれていない場合には、ステップS24に処理を進めて、送信元IPアドレスを感染ホスト情報として感染ホスト情報記憶部124に登録し、ステップS25において、警告メッセージを基本ソフトウェア実行部101を介して送信させる。ここで、ダミーメールサーバ100は、コンピュータウィルスに感染している端末のIPアドレスを記憶しておき、複数回に亘って当該端末からの電子メールデータを受信した場合に、警告メッセージの送信を制限するために、ステップS25の処理回数を制限しても良い。
また、ダミーメールサーバ100は、図7に示すように、外部から警告メッセージを基本ソフトウェア実行部101を介して警告メッセージ受信部122で受信した場合(ステップS31)、ステップS32において、警告メッセージ受信部122によって、当該警告メッセージに含まれるコンピュータウィルスに感染したホストを特定する送信元IPアドレス等を感染ホスト情報記憶部124に記憶する。このように、不正メール検知システムは、他のネットワーク機器から送信された警告メッセージを受信した場合に自己の感染ホスト情報を更新するので、新種のコンピュータウィルスが発生して新たにコンピュータウィルスに感染したホストを短時間で検出できる。
このダミーメールサーバ100は、図8に示すように、例えば端末1Aといったコンピュータウィルスの感染ホストから、ダミーメールサーバ100宛の電子メールデータM1をダミーメールサーバ100で受信した場合、ダミーメールサーバ100から警告メッセージM2を正当なメールサーバ2に送信できる。その後、正当なメールサーバ2は、警告メッセージに含まれる感染ホストからの電子メールデータM3を受信した場合には、当該電子メールデータの転送を禁止できる。
つぎに、メールサーバ2の構成及び動作について説明する。
メールサーバ2は、図9に示すように、基本ソフトウェアとメールサーバソフトウェアとがインストールされて、基本ソフトウェア実行部41と、メールサーバソフトウェア実行部42とを備えて構成されている。
基本ソフトウェア実行部41は、ネットワークを介してあらゆるネットワーク機器と接続された通信インターフェース部51とTCP/IP通信制御部52とを備える。
基本ソフトウェア実行部41は、通信インターフェース部51によってデータの復変調処理及びデータリンク層処理を行い、TCP/IP通信制御部52によってネットワーク層処理及びトランスポート層処理を行う。この基本ソフトウェア実行部41は、ネットワークから受信したパケットに含まれる電子メールデータをメールサーバソフトウェア実行部42に渡すと共に、メールサーバソフトウェア実行部42から渡された電子メールデータに所定の処理を行ってパケットとして送信する。
メールサーバソフトウェア実行部42は、メール受信部61と、メールチェック部62と、感染ホスト情報記憶部63と、警告メッセージ受信部64と、メール転送部65と、不審メール処理部66と、メールボックス67とを備える。
メール受信部61は、基本ソフトウェア実行部41で受信したパケットに含まれる電子メールデータを受け取ると、当該電子メールデータをメールチェック部62に渡す。
メールチェック部62は、メール受信部61から受け取った電子メールデータの送信元のIPアドレスを取得し、当該送信元のIPアドレスが、感染ホスト情報として感染ホスト情報記憶部63に登録されているか否かを判定する。送信元のIPアドレスが感染ホスト情報記憶部63に登録されている場合、メールチェック部62は、当該送信元のIPアドレスで送信された電子メールデータを不審メール処理部66に渡す。一方、送信元のIPアドレスが感染ホスト情報記憶部63に登録されている場合、メールチェック部62は、当該送信元のIPアドレスで送信された電子メールデータをメール転送部65に渡す。
この感染ホスト情報記憶部63に記憶された感染ホスト情報は、上述のダミーメールサーバ100で行う図7の処理と同様に、警告メッセージ受信部64で警告メッセージを受信すると、当該警告メッセージに含まれたコンピュータウィルスに感染した感染ホストを特定する情報であるIPアドレスが警告メッセージ受信部64によって登録される。
不審メール処理部66は、メールチェック部62から受け取った電子メールデータの転送を保留、又は、電子メールデータの破棄、又は、電子メールデータに添付されたコンピュータウィルスを除去する改変処理を行う。不審メール処理部66は、不正な電子メールデータに対する処理が予め設定情報として設定されており、当該設定情報に従って、不正な電子メールデータの保留、破棄、又は改変を行う。
不審メール処理部66は、不正な電子メールデータを保留する場合、図示しない不正な電子メールデータ用のバッファに記憶させる。また、不審メール処理部66は、電子メールデータを改変した場合、当該電子メールデータを転送させるためにメール転送部65に渡す。
メール転送部65は、メールチェック部62で不正な電子メールデータではないと判定された電子メールデータ及び不審メール処理部66で改変された電子メールデータを受け取ると、当該電子メールデータの宛先IPアドレスを取得する。メール転送部65は、宛先IPアドレスから自己のドメイン宛であると判定した場合には、ユーザごとに区分されたメールボックス67に格納する。また、受け取った電子メールデータの宛先IPアドレスから自己のドメイン宛ではないと判定した場合、メール転送部65は、基本ソフトウェア実行部41を介して宛先ドメインのメールサーバに電子メールデータを転送させる。
このようなメールサーバ2は、図10に示すように、ステップS41において、基本ソフトウェア実行部41を介してメール受信部61で電子メールデータを受信すると、ステップS42において、メールチェック部62により、当該電子メールデータの送信元IPアドレスが感染ホスト情報に登録されているか否かを判定し、そうである場合には、当該電子メールデータを不審メール処理部66に渡してステップS43に処理を進め、そうでない場合には、当該電子メールデータをメール転送部65に渡してステップS47に処理を進める。
ステップS43において、不審メール処理部66は、不正な電子メールデータに対する処理を設定データから取得して、当該不正な電子メールデータを破棄する場合には、ステップS44において電子メールデータを破棄して処理を終了する。
不正な電子メールデータを保留する場合には、ステップS45において、メールサーバ2の管理者等に通知することでチェックさせて、ステップS47に処理を進める。なお、このステップS45において、不審メール処理部66は、一定時間だけ不正な電子メールデータをバッファに記憶させて、管理者のチェックがなされたか否かに拘わらずメール転送部65に電子メールデータを転送させても良い。
更に、不正な電子メールデータを改変する場合、ステップS46においてコンピュータウィルスが添付されている可能性があるために取り扱いに注意させる警告文をメール本文中などに追記し、ステップS50において添付ファイルを削除してステップS47に処理を進める。この警告文は、例えば「このメールはウィルスによって送信された可能性があります」といった文章が挙げられる。なお、ステップS46及びステップS50の処理は、何れかを行うように設定されていても良い。
ステップS47において、メール転送部65は、電子メールデータの宛先ドメインが自己のものであるか否かを判定し、そうである場合には、ステップS48において電子メールデータをメールボックス67に保存して処理を終了し、そうでない場合には、ステップS49において電子メールデータを他のメールサーバに転送させるために当該電子メールデータを基本ソフトウェア実行部41に渡す。
このようなメールサーバ2によれば、警告メッセージを受信して感染ホスト情報を記憶しておき、当該感染ホスト情報として登録された送信元のIPアドレスで電子メールデータが送信された場合に、当該電子メールデータを保留、破棄又は改変できるので、コンピュータウィルスに感染した端末1Aを検知して、不正な電子メールデータがそのまま転送されることを防止できる。
[第2実施形態]
つぎに、タイプ(2)に対抗する端末1Aを備えた不正メール検知システムについて説明する。なお、上述の第1実施形態と同様の構成及び処理については、同一符号を付することによって、その詳細な説明を省略する。
端末1Aが、送信される電子メールデータからメールサーバ名を盗聴するタイプ(2)の不正なウィルスに感染して、後述の図12に示すように不正ソフトウェア実行部13が形成されてしまうと、当該不正ソフトウェア実行部13の機能によって、図11に示すように、正規な電子メールデータM12の送信時に正規なメールサーバ名が盗聴されてしまう(図11の(1))。そして、不正ソフトウェア実行部13は、当該盗聴したメールサーバ名のメールサーバ2に、アドレス「hanako@osaka.jp」を宛先としウィルスファイルを添付した電子メールデータM11に送信すると(図11の(2))、当該メールサーバ2からメールサーバ3に電子メールデータM11が転送され(図11の(3))、端末1Bがメールサーバ3のメールボックスの確認を行うと(図11の(4))、ウィルスファイルを添付した電子メールデータM11が端末1Bで取得されてしまう(図11の(5))。
このような動作を行う不正メール検知システムにおいて、ウィルスに感染した端末1Aには、図12に示すように、図1におけるダミーメールサーバ情報設定ソフト実行部15からダミーメールサーバ情報記憶部33及びダミー情報設定部34を除外し、更に、ダミーメール送信ソフトウェア実行部16を追加して備えている。
ダミーメール送信ソフトウェア実行部16は、ダミーメール送信部16aと、ダミーメールサーバ情報記憶部16bと、メール送信検知部16cとを備える。
ダミーメールサーバ情報記憶部16bには、ダミーメールサーバ100のダミーメールサーバ名を含むダミーメールサーバ情報が記憶されている。このダミーメールサーバ情報は、ダミーメール送信部16aに読み込まれて、ダミーメール送信部16aがダミー電子メールデータを作成するために使用される。
メール送信検知部16cは、ダミーメール送信部16aによってダミー電子メールデータを送信するタイミングと、メールクライアントソフトウェア実行部12によって正規の電子メールデータを送信するタイミングとを調整する。メール送信検知部16cは、所定時間を計時するタイマによってダミーメール送信部16aのダミー電子メールデータの送信タイミングが設定されている場合に、当該ダミー電子メールデータの送信タイミングとは異なるタイミングで正規な電子メールデータを送信させる。
このタイマーによってダミー電子メールデータの送信タイミングを制御する処理は、図13に示すように、ダミーメール送信部16aは、内部のタイマーが固定値又はランダム値の設定時間を計時して通知されるタイミングを待つ(ステップS51)。そして、ダミーメール送信部16aは、タイマーが所定時間を計時したことが通知されると、ステップS52において、ダミーメールサーバ情報記憶部16bのダミーメールサーバ情報を読み込んで、送信先のダミーメールサーバ100を決定し、ステップS53において、ダミー電子メールデータを生成する。なお、タイマーが所定時間を計時してダミー電子メールデータを送信するタイミングとなった場合、その旨の通知をメール送信検知部16cにも送信する。
また、ダミーメール送信部16aは、ステップS54において、生成したダミー電子メールデータが、正規な電子メールデータではないダミーであることをダミーメールサーバ100で識別させるダミーメール識別子を追加して、ステップS55において、複数のダミー電子メールデータを所定の時間間隔又はランダムな時間間隔で送信する。
次にダミーメール送信部16aは、次回にダミー電子メールデータを送信するタイミングを経時するために、タイマーの計時時間を固定値又はランダム値にセットして、処理を終了する。
また、メール送信検知部16cは、正規の電子メールデータの送信タイミングの前後にダミー電子メールデータを送信するように調整しても良い。
メール送信検知部16cは、メールクライアントソフトウェア実行部12からメール送信開始信号が供給されると、当該メール送信開始信号をダミーメール送信部16aに通知する。これに応じて、ダミーメール送信部16aは、予め設定されたランダムなタイミングで一又は複数のダミー電子メールデータを作成して、基本ソフトウェア実行部11を介して送信させ、その後に、メール送信検知部16cにダミー電子メールデータの送信が終了したことを通知する。メール送信検知部16cは、ダミーメール送信部16aからダミー電子メールデータの送信が終了した通知を受けると、メールクライアントソフトウェア実行部12にメール送信開始許可信号を送信して、メールクライアントソフトウェア実行部12から正規の電子メールデータを送信させ、その旨をダミーメール送信部16aに通知する。ダミーメール送信部16aは、メールクライアントソフトウェア実行部12から電子メールデータの送信が終了したことに応じて、再度、一又は複数のダミー電子メールデータをランダムなタイミングで送信させる。
この処理は、図14に示すように、メール送信検知部16cによって、ステップS61において、メールクライアントソフトウェア実行部12からのメール送信開始信号が供給されるのを待ち、メール送信開始信号が供給された後に、ステップS62において、メール送信検知部16cによって、ダミー電子メールデータの送信数P1を設定する。このダミー電子メールデータの送信数P1は、固定数でも良く、ランダムであっても良い。
次に、ダミーメール送信部16aは、図13と同様にステップS52〜ステップS55の処理を行うことによってダミー電子メールデータを送信し、ステップS63において、ダミー電子メールデータの送信回数がステップS62で決定した送信数P1に達したか否かを判定して、達していない場合にはステップS52〜ステップS55の処理を繰り返す。ダミー電子メールデータの送信回数が送信数P1に達した場合、メール送信検知部16cは、ステップS64において、メールクライアントソフトウェア実行部12にメール送信開始許可信号を送信して正規な電子メールデータを送信させる。
次に、メール送信検知部16cは、ステップS65において、正規な電子メールデータの後に送信するダミー電子メールデータの送信数P2を決定し、ダミーメール送信部16aは、ステップS52〜ステップS55の処理行ってダミー電子メールデータを送信し、ステップS66において、ダミー電子メールデータの送信回数がステップS65で決定した送信数P2に達したか否かを判定して、達していない場合にはステップS52〜ステップS55の処理を繰り返す。ダミー電子メールデータの送信回数が送信数P2に達した場合に処理を終了する。
タイプ(2)の不正ソフトウェア実行部13は、端末1Aに実装されると、上述の図11に示した(1)、(2)の手順を実現させるために、TCP/IP通信制御部22又は通信インターフェース部21によって送信される正規の電子メールデータを監視して、メールサーバ2のメールサーバ名又はダミーメールサーバ100のメールサーバ名を盗聴すると、当該何れかのメールサーバ名を使用して電子メールデータを作成して基本ソフトウェア実行部11から送信させる。
パケットフック部31は、TCP/IP通信制御部22で作成されて、通信インターフェース部21に渡されるべきIPパケットを横取りすると、当該IPパケットを駆除部32に出力し、駆除部32は、電子メールデータの宛先がダミーメールサーバ100であるか否かを判定する。
このとき、駆除部32は、電子メールデータの宛先がダミーメールサーバ100のメールサーバ名であり、且つダミーメール識別子が含まれていない場合、IPパケットを破棄する。また、電子メールデータの宛先がダミーメールサーバ100ではない、又は、電子メールデータの宛先がダミーメールサーバ100であってダミーメール識別子が含まれている場合、IPパケットをパケットフック部31を介して通信インターフェース部21に転送する。
駆除部32は、ダミーメールサーバ100が宛先となっていて、ダミーメール識別子を含まない不正な電子メールデータを判定した場合、当該不正な電子メールデータを送信するプロセスを特定する。また、駆除部32は、不正な電子メールデータを作成する実行ファイルを特定する。なお、この駆除部32の処理は、図4に示したようになり、図4におけるステップS11〜ステップS13の判定に、ダミーメール識別子が含まれるか否かを含んだものとなる。
このような端末1Aに対するダミーメールサーバ100は、図15に示すように、図5に示したダミーメールサーバ100に対して、ダミーメール判定部125を備えたものとなる。
ダミーメール判定部125は、メール受信部121から受け取った電子メールデータにダミーメール識別子が含まれているか否かを判定して、当該電子メールデータが端末1Aで正規に作成されたものか、不正ソフトウェア実行部13で作成されたものかを判定する。そして、ダミーメール判定部125は、ダミーメール識別子が含まれている電子メールデータであれば破棄をする。
一方、ダミーメール判定部125は、ダミーメール識別子が含まれていない電子メールデータである場合には、当該電子メールデータから送信元IPアドレス、送信時刻、メール内容を含むログ情報を作成した後に、当該電子メールデータを破棄する。また、ダミーメール判定部125は、ダミーメール識別子が含まれているか否かのみならず、端末1Aがダミー電子メールデータを送信するタイミングとは異なるタイミングでダミー電子メールデータを受信した場合に不正な電子メールデータと判定してログ情報を作成してもよく、送信者名から不正な電子メールデータを判定してログ情報を作成しても良い。そして、ダミーメール判定部125は、ログ情報を警告メッセージ送信部123に渡す。
このようなダミーメールサーバ100は、メール受信部121によって電子メールデータを受信した時、図16に示すように、ダミーメール判定部125によって、電子メールデータにダミーメール識別子が含まれている場合には、当該電子メールデータが正当なダミー電子メールデータであると判定して(ステップS71)、ステップS72においてダミー電子メールデータを破棄して処理を終了する。
一方、ダミーメール判定部125は、ステップS71においてダミーメール識別子が含まれていない場合には正当なダミー電子メールデータではないと判定し、ステップS73において、ログ情報を作成してダミー電子メールデータを破棄し、ステップS22において、TCP/IP通信制御部112から送信元のIPアドレスを受け取って、感染ホストを特定して警告メッセージ送信部123に渡す。
そして、警告メッセージ送信部123は、上述のステップS23〜ステップS25を、図6と同様に行うことになる。
更に、このダミーメールサーバ100も、第1実施形態と同様に、図7の処理を行い、メールサーバ2,3は、図9と同様の構成を有し、図10と同様の処理を行うことができる。
[第3実施形態]
つぎに、タイプ(3)に対抗する端末1Aを備えた不正メール検知システムについて説明する。なお、上述の第1,第2実施形態と同様の構成及び処理については、同一符号を付することによって、その詳細な説明を省略する。
端末1Aが、送信される電子メールデータからメールサーバ名を盗聴するタイプ(3)の不正なウィルスに感染して、後述の図18に示すように不正ソフトウェア実行部13が形成されてしまうと、当該不正ソフトウェア実行部13の機能によって、図17に示すように、正規なメールサーバ名が予測されて、メールサーバ3への接続が試行されてしまう(図17の(1))。そして、不正ソフトウェア実行部13は、メールサーバ名「mx.osaka.jp」という正規のメールサーバ3を予測できた場合には、当該メールサーバ3に、メール送信先として登録されているメールアドレス「hanako@osaka.jp」を宛先としウィルスファイルを添付した電子メールデータMを送信してしまう(図17の(2))。そして、端末1Bがメールサーバ3のメールボックスの確認を行うと(図17の(3))、ウィルスファイルを添付した電子メールデータMが端末1Bで取得されてしまう(図17の(4))。
このような動作を行う不正メール検知システムにおいて、ウィルスに感染した端末1Aには、図2に示すように、例えば他の端末から送信された不正なメール内容をプレビュー又は不正な添付ファイルを実行してしまったために、アプリケーション層に不正ソフトウェア実行部13が実装されている。また、端末1Aは、基本ソフトウェアとメールクライアントソフトウェアと予測サーバ名情報設定ソフトウェアがインストールされることによって、基本ソフトウェア実行部11と、メールクライアントソフトウェアを実行するメールクライアントソフトウェア実行部12と予測サーバ名情報設定ソフト実行部17とを備えて構成されている。
なお、図2に示す構成に対して、図18の端末1Aは、メールサーバ情報記憶部14が無い構成となっているが、メールクライアントソフトウェア実行部12には、電子メールデータを転送する正規のメールサーバ2を特定するメールサーバ情報が格納されている。このメールサーバ情報は、正規のメールサーバ2のメールサーバ名及びIPアドレス、自己のメールアドレス、電子メール送信先を登録したメールアドレス帳等を含み、メールクライアントソフトウェア実行部12によって参照されて正規の電子メールデータが作成可能となっている。
端末1Aは、不正ソフトウェア実行部13で実現される機能に対し、TCP/IP通信制御部22で作成されたパケットを監視して不正な電子メールデータの送信を遮断するための機能として、予測サーバ名情報設定ソフト実行部17を備えている。予測サーバ名情報設定ソフト実行部17は、パケットフック部31と、駆除部32と、予測サーバ情報記憶部35と、予測サーバ名情報設定部36とを備える。
予測サーバ情報記憶部35には、少なくともダミーメールサーバ100のダミーメールサーバ名を含む予測サーバ名情報が記憶されている。この予測サーバ名情報は、実際に存在するメールサーバ2,3の正規のメールサーバ名「mx.osaka.jp」から予測されやすいメールサーバ名が登録されている。また、予測サーバ名情報設定部36は、ダミーメールサーバ100のメールサーバ名のみならず、不正ソフトウェア実行部13に予測されやすいメールサーバ名として、ms,mx1,mail,mailserver等を予測サーバ名情報として予測サーバ情報記憶部35に記憶することが望ましい。
このように、予測サーバ名情報設定部36によって、あらゆる予測サーバ名情報を登録することによって、不正ソフトウェア実行部13によって実際には存在しないメールサーバ2,3への接続の試行を検出できる。
パケットフック部31は、TCP/IP通信制御部22で作成されて、通信インターフェース部21に渡されるべきIPパケットを横取りすると、当該IPパケットを駆除部32に出力する。
駆除部32は、電子メールデータの宛先が、予測サーバ情報記憶部35に登録されたダミーメールサーバ100又はメールサーバ2,3から予測されやすいメールサーバ名である予測サーバ名情報に該当するか否かを判定する。駆除部32は、電子メールデータの宛先が予測サーバ名情報に登録されている場合、IPパケットを破棄する。また、電子メールデータの宛先が予測サーバ名情報に登録されていない場合、IPパケットをパケットフック部31を介して通信インターフェース部21に転送する。
このような端末1Aにおける駆除部32の処理は、図4のステップS11において、電子メールデータを含むIPパケットの宛先がダミーメールサーバ100宛、その他の予測サーバ名情報に含まれる宛先か否かを判定し、そうである場合にはステップS12に処理を進め、ダミーメールサーバ100、その他の予測サーバ名情報に含まれる宛先ではなく正規のメールサーバ宛であると判定した場合にはステップS14に処理を進める。そして、駆除部32は、図4と同様に、ステップS12〜ステップS19の処理を行うことによって、不正ソフトウェア実行部13のプロセスを停止させ、実行ファイルを削除できる。
ステップS3において、駆除部32は、TCPヘッダに含まれているポート番号が、電子メールデータ転送プロトコルであるSMTP(Simple Mail Transfer Protocol)ポート宛か否かを判定し、そうである場合にはステップS5に処理を進め、そうでない場合にはステップS4に処理を進める。
ステップS4において、駆除部32は、パケットフック部31からのIPパケットに不正な電子メールデータが含まれていないために、電子メールデータを含むIPパケットをパケットフック部31及び基本ソフトウェア実行部11を介して送信させる。一方、駆除部32は、ステップS1〜ステップS3において全て「YES」と判定された場合には、当該IPパケットに不正な電子メールデータが含まれていると判定して、当該不正な電子メールデータが送信されることを防止するためにステップS5以降に処理を進める。
ステップS5において、駆除部32は、プロセス管理部24で管理しているプロセスのうち不正な電子メールデータを作成して送信するプロセスを特定し、ステップS6において、ファイル管理部23で管理している実行ファイルのうち不正な電子メールデータを作成して送信させる実行ファイルを特定する。
次に駆除部32は、ステップS7において、ステップS5で特定した不正なプロセスを強制終了する。このとき、駆除部32は、不正なプロセスによるログ情報を記録して他の装置に送信する処理や、不正なプロセスが発生しているという警報を端末1Aのユーザや管理者に通知又は他の装置に送信する処理を行っても良い。
次に駆除部32は、ステップS8において、不正な電子メールデータを含むIPパケットを破棄し、ステップS9において、ステップS6で特定された実行ファイルを削除する。このとき、駆除部32は、不正な実行ファイルによるログ情報を記録して他の装置に送信する処理や、不正な実行ファイルがインストールされていたという警報を端末1Aのユーザや管理者に通知又は他の装置に送信する処理を行っても良い。
これによって、駆除部32は、実行ファイルによって実装された不正ソフトウェア実行部13のプロセスを検知して不正な電子メールデータの送信を停止すると共に、不正な電子メールデータを作成して送信する実行ファイルを検出して、当該実行ファイルを削除することができる。
また、この端末1Aと接続されたダミーメールサーバ100は、図5に示した構成と同様であるが、メール受信部121は、正規なメールサーバとして実在しないメールサーバ名であれば、単一のダミーメールサーバ100のメールサーバ名のみならず、端末1Aの予測サーバ情報記憶部35に登録された全てのメールサーバ名が与えられていても良い。これによって、不正ソフトウェア実行部13によって予測するメールサーバ名を用いて作成された不正な電子メールデータを高い確率でダミーメールサーバ100によって受信できる。
更に、このダミーメールサーバ100も、第1実施形態と同様に、図6,図7の処理を行い、メールサーバ2,3は、図9と同様の構成を有し、図10と同様の処理を行うことができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
すなわち、上述した実施形態における不正な電子メールデータを検知するため機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてメール機能を具備する家電機器がコンピュータウィルスに感染した場合であっても、当該家電機器から外部ネットワークへと不正なコンピュータウィルスを含む電子メールが送信されることを検知することができる。
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。
より具体的には、上述した不正な電子メールを検知する機能を有する端末1A、ダミーメールサーバ100、メールサーバ2,3等のネットワーク機器にEMIT技術を実現するEMITソフトウェアを搭載して、当該EMITソフトウェアを搭載した端末、中継装置、メールサーバ2,3、ダミーメールサーバ100と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。
このようなEMIT技術を実装したシステムによれば、ユーザ機器は、端末、メールサーバ2、ダミーメールサーバ100、中継装置、横付け機器によって不正な電子メールデータをどのくらいの頻度で検知したかを遠隔監視でき、不正な電子メールを遮断又は警報する送信元アドレスを追加制御できる。
本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムの構成及び動作を説明するシステム図である。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末の構成を示すブロック図である。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末によってダミーメールサーバ情報を設定する処理手順を示すフローチャートである。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末によって不正な電子メールデータを作成して送信するプロセスを遮断する処理手順を示すフローチャートである。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するダミーメールサーバの構成を示すブロック図である。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するダミーメールサーバによって電子メールデータを受信した時の処理手順を示すフローチャートである。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するダミーメールサーバによって警告メッセージを受信した時の処理手順を示すフローチャートである。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムにおいて、端末から不正な電子メールデータが送信された場合にダミーメールサーバから警告メッセージをメールサーバに送信する構成及び動作を説明するシステム図である。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するメールサーバの構成を示すブロック図である。 本発明を適用したタイプ(1)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するメールサーバによって電子メールデータを受信した時の処理手順を示すフローチャートである。 本発明を適用したタイプ(2)のコンピュータウィルスの動作を検知する不正メール検知システムの構成及び動作を説明するシステム図である。 本発明を適用したタイプ(2)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末の構成を示すブロック図である。 本発明を適用したタイプ(2)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末によって、タイマーを参照してダミー電子メールデータを作成して送信する処理手順を示すフローチャートである。 本発明を適用したタイプ(2)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末によって、正規の電子メールデータを送信と混合して、ダミー電子メールデータを作成して送信する処理手順を示すフローチャートである。 本発明を適用したタイプ(2)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するダミーメールサーバの構成を示すブロック図である。 本発明を適用したタイプ(2)のコンピュータウィルスの動作を検知する不正メール検知システムを構成するダミーメールサーバによって電子メールデータを受信した時の処理手順を示すフローチャートである。 本発明を適用したタイプ(3)のコンピュータウィルスの動作を検知する不正メール検知システムの構成及び動作を説明するシステム図である。 本発明を適用したタイプ(3)のコンピュータウィルスの動作を検知する不正メール検知システムを構成する端末の構成を示すブロック図である。
符号の説明
1A,1B 端末
2,3 メールサーバ
11,41,101 基本ソフトウェア実行部
12 メールクライアントソフトウェア実行部
13 不正ソフトウェア実行部
14 メールサーバ情報記憶部
15 ダミーメールサーバ情報設定ソフト実行部
16 ダミーメール送信ソフトウェア実行部
16a ダミーメール送信部
16b ダミーメールサーバ情報記憶部
16c メール送信検知部
17 予測サーバ名情報設定ソフト実行部
21,51,111 通信インターフェース部
22,52,112 TCP/IP通信制御部
23 ファイル管理部
24 プロセス管理部
31 パケットフック部
32 駆除部
33 ダミーメールサーバ情報記憶部
34 ダミー情報設定部
35 予測サーバ情報記憶部
36 予測サーバ名情報設定部
42 メールサーバソフトウェア実行部
61,121 メール受信部
62 メールチェック部
63,124 感染ホスト情報記憶部
64,122 警告メッセージ受信部
65 メール転送部
66 不審メール処理部
67 メールボックス
100 ダミーメールサーバ
102 ダミーメールサーバソフトウェア実行部
123 警告メッセージ送信部
125 ダミーメール判定部

Claims (14)

  1. コンピュータウィルスによって、不正な電子メールが配信されることを検知する不正メール検知装置であって、
    電子メールを送信するために必要な正規の設定情報と、当該設定情報に対してダミーの設定情報とを記憶した記憶手段と、
    前記正規の設定情報を用いて、電子メールを送信する送信手段と、
    前記コンピュータウィルスによる動作によって、前記ダミーの設定情報を用いて電子メールを作成する処理、又は、前記ダミーの設定情報を用いて電子メールを送信する処理を検知した場合に、不正な電子メールが配信されることを検知する検知手段と
    を備えることを特徴とする不正メール検知装置。
  2. 前記記憶手段は、前記正規の設定情報として電子メールを転送する正規のメールサーバを特定するメールサーバ情報を記憶すると共に、前記ダミーの設定情報として当該メールサーバ情報に対してダミーのダミーメールサーバ情報を記憶し、
    前記検知手段は、前記記憶手段に記憶されたダミーメールサーバ情報を用いて、前記ダミーのメールサーバ宛の電子メールを作成する処理、又は、前記ダミーメールサーバ情報を用いて作成した電子メールを前記送信手段を介して送信する処理を検知した場合に、不正な電子メールが配信されることを検知すること
    を特徴とする請求項1に記載の不正メール検知装置。
  3. 前記端末は、前記ダミーメールサーバ情報を設定データに含める設定を行う設定手段を更に備え、
    当該設定手段は、前記メールサーバ情報と前記ダミーメールサーバ情報との記述順序を、ランダムな記述順序にして、前記ダミーメールサーバ情報を設定データ中に記述することを特徴とする請求項2に記載の不正メール検知装置。
  4. 前記端末は、前記ダミーメールサーバ情報を設定データに含める設定を行う設定手段を更に備え、
    当該設定手段は、前記メールサーバ情報と前記ダミーメールサーバ情報との記述順序を、ユーザの命令に従って任意の記述順序にして、前記ダミーメールサーバ情報を設定データ中に記述することを特徴とする請求項2に記載の不正メール検知装置。
  5. 前記端末は、前記ダミーメールサーバ情報を設定データに含める設定を行う設定手段を更に備え、
    当該設定手段は、前記設定データの形式変更に対応して、前記メールサーバ情報及び前記ダミーメールサーバ情報の記述形式を更新することを特徴とする請求項2に記載の不正メール検知装置。
  6. 前記記憶手段は、前記正規の設定情報として電子メールを転送する正規のメールサーバを特定するメールサーバ情報を記憶すると共に、前記ダミーの設定情報として前記メールサーバ情報に対してダミーのダミーメールサーバ情報を記憶し、
    前記送信手段は、前記記憶手段に記憶されたメールサーバ情報を用いて前記正規のメールサーバ宛の電子メールを送信する処理を行うと共に、予め設定したタイミングで前記記憶手段に記憶されたダミーメールサーバ情報を用いて電子メールを送信する処理とを行い、
    前記検知手段は、前記予め設定したタイミング以外のタイミングで、前記ダミーメールサーバ情報を用いて前記ダミーメールサーバ宛の電子メールを作成する処理、又は、前記ダミーメールサーバ情報を用いて作成した電子メールを前記送信手段を介して送信する処理を検知した場合に、不正な電子メールが配信されることを検知すること
    を特徴とする請求項1に記載の不正メール検知装置。
  7. 前記送信手段は、定期的なタイミングでダミーメールサーバ情報を用いて電子メールを送信する処理を行うことを特徴とする請求項6に記載の不正メール検知装置。
  8. 前記送信手段は、ランダムなタイミングでダミーメールサーバ情報を用いて電子メールを送信する処理を行うことを特徴とする請求項6に記載の不正メール検知装置。
  9. 前記記憶手段には、前記複数のダミーのホスト名を表すダミーメールサーバ情報が記憶され、
    前記送信手段は、電子メールを送信する処理ごとに、ランダムに何れかのダミーメールサーバ情報を用いることを特徴とする請求項6乃至請求項8の何れか一項に記載の不正メール検知装置。
  10. 前記送信手段は、前記ダミーメールサーバ情報を用いて作成された電子メールに、コンピュータウィルスによって作成された電子メールとは異なる電子メールであることを識別する識別子を付加することを特徴とする請求項6乃至請求項9の何れか一項に記載の不正メール検知装置。
  11. 前記記憶手段は、前記正規の設定情報として電子メールの送信先端末を特定する電子メールアドレスを登録して記憶したアドレス記憶手段と、前記ダミーの設定情報として前記アドレス記憶手段に記憶された電子メールアドレスのドメイン名から、予測されやすいダミーのメール転送サーバのホスト名を記憶するダミー情報記憶手段とを有し、
    前記送信手段は、前記アドレス記憶手段に記憶された電子メールアドレスを送信先とした電子メールを送信し、
    前記検知手段は、前記ダミー情報記憶手段に記憶されたダミーのメール転送サーバのホスト名を宛先とした電子メールを作成する処理、又は、当該電子メールを前記送信手段を介して送信する処理を検知した場合に、不正な電子メールが配信されることを検知することを特徴とする請求項1に記載の不正メール検知装置。
  12. 前記端末は、前記ダミーの設定情報へのアクセスを検出して、不正な電子メールが配信されることを検知することを特徴とする請求項1、2、6、11の何れか一項に記載の不正メール検知装置。
  13. 前記端末は、前記ダミーの設定情報へのアクセスを試みているプロセスが検出された場合に、当該プロセスを終了させる遮断手段を更に備えることを特徴とする請求項12に記載の不正メール検知装置。
  14. 前記遮断手段は、前記ダミーの設定情報へのアクセスを試みているプロセスを実行させている実行ファイルを検出して、当該実行ファイルを駆除することを特徴とする請求項12に記載の不正メール検知装置。
JP2005370940A 2005-12-22 2005-12-22 不正メール検知装置 Pending JP2007172401A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005370940A JP2007172401A (ja) 2005-12-22 2005-12-22 不正メール検知装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005370940A JP2007172401A (ja) 2005-12-22 2005-12-22 不正メール検知装置

Publications (1)

Publication Number Publication Date
JP2007172401A true JP2007172401A (ja) 2007-07-05

Family

ID=38298863

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005370940A Pending JP2007172401A (ja) 2005-12-22 2005-12-22 不正メール検知装置

Country Status (1)

Country Link
JP (1) JP2007172401A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10785259B2 (en) 2016-04-19 2020-09-22 Mitsubishi Electric Corporation Relay device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10785259B2 (en) 2016-04-19 2020-09-22 Mitsubishi Electric Corporation Relay device

Similar Documents

Publication Publication Date Title
JP4072150B2 (ja) ホストベースのネットワーク侵入検出システム
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
US8032937B2 (en) Method, apparatus, and computer program product for detecting computer worms in a network
US7574741B2 (en) Method and system for preventing operating system detection
US7007302B1 (en) Efficient management and blocking of malicious code and hacking attempts in a network environment
US8495739B2 (en) System and method for ensuring scanning of files without caching the files to network device
US7434262B2 (en) Methods and systems that selectively resurrect blocked communications between devices
US20020194489A1 (en) System and method of virus containment in computer networks
JP2005044277A (ja) 不正通信検出装置
JPH11316677A (ja) コンピュ―タネットワ―クの保安方法
JP2008278272A (ja) 電子システム、電子機器、中央装置、プログラム、および記録媒体
JP4170301B2 (ja) DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
US8234503B2 (en) Method and systems for computer security
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
JP2019046397A (ja) メール監視システム、メール監視装置およびメール監視プログラム
JP2007172401A (ja) 不正メール検知装置
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
JP2007174402A (ja) 不正メール検知システム
JP2007172402A (ja) 不正メール検知システム
JP2008141352A (ja) ネットワークセキュリティシステム
JP2007174386A (ja) 不正メール検知システム
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP2007174385A (ja) 不正メール検知システム
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
JP4418211B2 (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム