JP2007174386A - 不正メール検知システム - Google Patents

不正メール検知システム Download PDF

Info

Publication number
JP2007174386A
JP2007174386A JP2005370832A JP2005370832A JP2007174386A JP 2007174386 A JP2007174386 A JP 2007174386A JP 2005370832 A JP2005370832 A JP 2005370832A JP 2005370832 A JP2005370832 A JP 2005370832A JP 2007174386 A JP2007174386 A JP 2007174386A
Authority
JP
Japan
Prior art keywords
mail
dummy
information
unit
email
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005370832A
Other languages
English (en)
Inventor
Toshibumi Kai
俊文 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005370832A priority Critical patent/JP2007174386A/ja
Publication of JP2007174386A publication Critical patent/JP2007174386A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 安価な構成であっても、不正な処理によってメールサーバ名を取得するウイルスの動作を防止することができる不正メール検知システムを提供する。
【解決手段】 コンピュータウィルスによって、不正な電子メールが配信されることを検知する不正メール検知システムであって、電子メールをメールサーバ3に送信するために必要な正規の設定情報と当該設定情報に対してダミーの設定情報とを記憶した記憶手段と、正規の設定情報を用いて、電子メールを送信する送信手段とを備えたホスト1と、コンピュータウィルスによる動作によって、ダミーの設定情報を用いて作成された電子メールをファイアウォール2で受信した場合に、不正な電子メールが配信されることを検知し、メールサーバ3に通知する。
【選択図】 図1

Description

本発明は、ネットワーク上のウィルスのうち、不正なアプリケーションデータが添付されたメールデータの伝染を遮断するための不正メール検知システムに関する。
従来より、ウィルス検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、「http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf」に記載されているようなものも挙げられる。
しかしながら、従来において、ウィルスの定義ファイルを用意しておくパターンマッチング型のウィルス検知技術では、定義ファイルがない新種のウィルスや亜種のウィルスを検知することができないといった問題がある。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、安価な構成であっても、不正な処理によってメールサーバ名を取得するウイルスの動作を防止することができる不正メール検知システムを提供することを目的とする。
本発明は、コンピュータウィルスによって、不正な電子メールが配信されることを検知する不正メール検知システムであって、上述の課題を解決するために、電子メールを送信するために必要な正規の設定情報と、当該設定情報に対してダミーの設定情報とを記憶した記憶手段と、正規の設定情報を用いて、電子メールを送信する送信手段とを備えた端末と、コンピュータウィルスによる動作によって、ダミーの設定情報を用いて作成された電子メールを受信した場合に、不正な電子メールが配信されることを検知するファイアウォールとを備える。
本発明に係る不正メール検知システムによれば、既存のファイアウォールに、コンピュータウィルスによる動作によって、予め端末に設定しておいたダミーの設定情報を用いて作成された電子メールを受信した場合に、不正な電子メールが配信されることを検知するので、安価な構成であっても、不正な処理によってメールサーバ名を取得するウイルスの動作を防止することができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、例えば端末等のホスト1がウィルスに感染した場合に、当該ホスト1の内部ネットワークと外部ネットワークとの間に設けられたファイアウォール2によって、当該ホスト1がウィルスに感染したことを検知して、正規のメールサーバ3にその旨を通知する不正メール検知システムに適用される。なお、以下では、ファイアウォール2によってコンピュータウィルスの動作を検知する場合について説明するが、ホスト1から送出されるパケットを検知するためにはIDS(Intrusion Detection System)等の横付け機器であっても良い。
これによって、不正メール検知システムは、ホスト1に設定されたメールサーバ3のメールサーバ名を取得して不正な電子メールデータをメールサーバ3に送信するタイプのコンピュータウィルスの動作(以下、タイプ(1)と呼ぶ。)、ホスト1から送信した電子メールデータを盗聴してメールサーバ名を不正に取得して、不正な電子メールデータをメールサーバ3に送信するタイプのコンピュータウィルスの動作(以下、タイプ(2)と呼ぶ。)、ホスト1から電子メール送信先の端末が接続するメールサーバ3のメールサーバ名を予測して不正な電子メールデータをメールサーバ3に送信するコンピュータウィルスの動作(以下、タイプ(3)と呼ぶ。)を防止できる。
なお、本例において、メールサーバ3は、ホスト1が接続するものであっても良く、ホスト1にメール送信先として登録されている端末が接続するものの何れであっても良い。
通常、この不正メール検知システムにおいて、ホスト1から他の端末にメールデータを送信する場合、先ずホスト1は、宛先メールアドレスを含む電子メールデータを作成すると、当該ホスト1のメールクライアント設定で登録されているメールサーバ名のメールサーバ(SMTP(Simple Mail Transfer Protocol)サーバ)3に、電子メールデータを送信する。
この電子メールデータは、メールサーバ3で受信されると、メールサーバ3は、当該電子メールデータに含まれている電子メールデータの宛先を認識し、当該電子メールデータの宛先の端末がアクセスできるメールサーバに電子メールデータを転送する。そして、メール送信先の端末は、メールサーバにアクセスしてメールボックスを確認することによって、ホスト1から送信された電子メールデータを取得できる。
このような通常のメール送信動作に対し、ホスト1が、ホスト1の設定からメールサーバ名を取得するタイプ(1)の不正なウィルスに感染して、後述の図4に示すように不正ソフトウェア実行部43が形成されてしまうと、当該不正ソフトウェア実行部43の機能によって、正規なメールサーバ名が取得されてしまう。そして、不正ソフトウェア実行部43は、メールサーバ3にウィルスファイルを添付した電子メールデータMに送信すると、当該メールサーバ3によって電子メールデータが正規に転送されてしまう。
また、ホスト1が、送信される電子メールデータからメールサーバ名を盗聴するタイプ(2)の不正なウィルスに感染して、後述の図6に示すように不正ソフトウェア実行部43が形成されてしまうと、当該不正ソフトウェア実行部43の機能によって、正規な電子メールデータの送信時に正規なメールサーバ名が盗聴されてしまう。そして、不正ソフトウェア実行部43は、当該盗聴したメールサーバ名のメールサーバ3に、ウィルスファイルを添付した電子メールデータに送信すると、当該メールサーバ3によって電子メールデータが正規に転送されてしまう。
更に、ホスト1が、ホスト1に登録されている電子メール送信先のアドレスからメールサーバ3のメールサーバ名を予測するタイプ(3)の不正なウィルスに感染すると、ホスト1のアドレス帳の送信先メールアドレスから、正規なメールサーバ名が予測されて、メールサーバ3への接続が試行されてしまう。そして、コンピュータウィルスによって正規のメールサーバ3が予測されてしまった場合には、当該メールサーバ3に、ウィルスファイルを添付した電子メールデータが送信されてしまい、正規に転送されてしまう。
このようなタイプ(1)〜(3)のコンピュータウィルスの動作を検知するために、ファイアウォール2は、図1に示すように、実在しない仮想的なファントムサーバの情報をダミーの情報として記憶しておき、当該ファントムサーバ宛の電子メールデータM1がネットワークを介してメールサーバ3に送信されている場合に、当該電子メールデータM1を不正なものと判定して、警告メッセージである不正な電子メールデータのログ情報M2をメールサーバ3に通知する。
このファイアウォール2は、図2に示すように、基本ソフトウェアとファイアウォールソフトウェアとがインストールされることによって、基本ソフトウェア実行部11と、ファイアウォールソフトウェア実行部12とを備えている。
基本ソフトウェア実行部11は、ネットワークと接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP(Internet Protocol)通信制御部22とを備える。
この基本ソフトウェア実行部11は、ネットワークを介してホスト1からの電子メールデータを受信すると、当該電子メールデータをファイアウォールソフトウェア実行部12に渡す。そして、基本ソフトウェア実行部11は、ファイアウォールソフトウェア実行部12から電子メールデータが渡されると、TCP/IP通信制御部22によって電子メールデータの先頭にTCPヘッダ又はUDP(User Datagram Protocol)ヘッダのトランスポート層ヘッダ,IP層ヘッダを付加したIPパケットを作成し、通信インターフェース部21によって当該IPパケットにリンク層ヘッダ等を付加して所定の変調処理等が施されて、ネットワークに送出される。
ファイアウォールソフトウェア実行部12は、パケットフィルタ部31と、ログ生成部32と、設定インターフェース部33とを備える。
パケットフィルタ部31は、TCP/IP通信制御部22から渡された電子メールデータを解析して、ファイアウォール2で電子メールデータを遮断させるか、通過させるを判定する。パケットフィルタ部31は、TCP/IP通信制御部22からの電子メールデータを含むパケットから、IPヘッダ、TCPヘッダ又はUDPヘッダ、基本ソフトウェア実行部11で電子メールデータを受信したインターフェース番号、ポート番号等から、パケットを解析する。そして、パケットフィルタ部31は、予め登録されたダミー情報であるファントムサーバ宛のパケットをIPヘッダから検出した場合には、当該パケットについてのログ情報をログ生成部32で生成させると共に当該パケットを破棄する。
このパケットフィルタ部31に設定されているダミーの情報は、設定インターフェース部33によって設定される。
パケットフィルタ部31は、パケットを通過させる場合には、そのままのパケットをTCP/IP通信制御部22に渡す。一方、ログ生成部32は、コンピュータウィルスに完成しているホスト1を特定する情報を含む警告メッセージであるログ情報を生成した場合には、当該ログ情報をメールサーバ3に送信させる命令をTCP/IP通信制御部22に渡す。このログ情報は、図3に示すように、ダミーの情報が格納されたパケットの受信日時、パケットに対する操作(破棄、通過)、パケットのトランスポート層プロトコル、送信元アドレス、送信元ポート、送信先アドレス、送信先ポートが含まれる。このログ情報は、ホスト1がコンピュータウィルスに感染している場合に、メールサーバ3によって、ログ情報に含まれる送信先アドレスから、ホスト1によってコンピュータウィルスに感染していることを認識させることができる。
つぎに、ホスト1の構成を説明すると共に、ファイアウォール2のパケットフィルタ部31に設定されているダミーの情報について説明する。なお、以下では、タイプ(1)〜タイプ(3)のそれぞれのコンピュータウィルスで作成された電子メールデータをファイアウォール2で検知できることについて説明するが、ファイアウォール2でタイプ(1)〜タイプ(3)で生成された全ての電子メールデータを検出できるのは勿論である。
先ず、ホスト1が、ホスト1に正規に設定されているメールサーバ情報を利用してコンピュータウィルスを拡大させるタイプ(1)のコンピュータウィルスに感染し、当該コンピュータウィルスによって作成された電子メールデータをファイアウォール2で検知できることについて説明する。
ホスト1は、図4に示すように、例えば他のホストから送信された不正なメール内容をプレビュー又は不正な添付ファイルを実行してしまったために、アプリケーション層に、タイプ(1)の動作を実現するための不正ソフトウェア実行部43が実装されている。また、ホスト1は、基本ソフトウェアとメールクライアントソフトウェアとダミーメールサーバ情報設定ソフトウェアがインストールされることによって、基本ソフトウェア実行部41と、メールクライアントソフトウェアを実行するメールクライアントソフトウェア実行部42とダミーメールサーバ情報設定ソフト実行部45とを備え、更に、メールサーバ情報記憶部44を備えて構成されている。
メールサーバ情報記憶部44には、電子メールデータを転送する正規のメールサーバ3を特定するメールサーバ情報と、当該メールサーバ情報に対してダミーのファントムメールサーバ情報とを含む設定データが格納されている。
メールサーバ情報は、正規のメールサーバ3のメールサーバ名及びIPアドレス、自己のメールアドレス、電子メール送信先のメールアドレス帳等を含み、メールクライアントソフトウェア実行部42によって参照されて正規の電子メールデータが作成可能となっている。また、ファントムメールサーバ情報は、ファントムメールサーバのメールサーバ名及びIPアドレス等である。
メールサーバ情報とファントムメールサーバ情報とは、予め設定された記述位置にメールサーバ情報及びファントムメールサーバ情報を記述しても良く、ランダムな記述順序、又は、ホスト1のユーザによって任意の記述順序としても良い。また、このメールサーバ情報及びファントムメールサーバ情報は、例えばメールクライアントソフトウェア実行部42のバージョンアップ等によって、設定データの形式が変更となった場合には、メールサーバ情報及びファントムメールサーバ情報の記述形式が変更される。ファントムメールサーバ情報は、後述のダミー情報設定部62によってメールサーバ情報記憶部44に格納され、メールサーバ情報に対する記述順序が設定される。
メールクライアントソフトウェア実行部42は、メールサーバ情報記憶部44を参照して、電子メールデータを作成する。メールクライアントソフトウェア実行部42は、メールサーバ情報記憶部44の設定データのうち、メールサーバ情報を読み込むように設定されている。メールクライアントソフトウェア実行部42は、正規のメールサーバ3のメールサーバ名及び当該メールサーバ名のIPアドレス、電子メール送信先のアドレスをメールサーバ情報記憶部44から取得して、電子メールデータを作成する。
基本ソフトウェア実行部41は、ネットワークと接続された通信インターフェース部51とTCP/IP通信制御部52とを備える。
この基本ソフトウェア実行部41は、メールクライアントソフトウェア実行部42によってメールサーバ情報記憶部44のメールサーバ情報を参照して正規の電子メールデータが作成されると、当該電子メールデータがTCP/IP通信制御部52に渡される。TCP/IP通信制御部52は、受け渡された電子メールデータの先頭にTCPヘッダ又はUDPヘッダのトランスポート層ヘッダ,IP層ヘッダを付加したIPパケットを作成し、この電子メールデータは、通信インターフェース部51によって当該IPパケットにリンク層ヘッダ等を付加して所定の変調処理等が施されて、ネットワークに送出される。
また、ネットワークからホスト1宛に送信された電子メールデータを含むIPパケットは、通信インターフェース部51によって復調処理等が施された後に、TCP/IP通信制御部52で解析されて、メールクライアントソフトウェア実行部42に渡される。
不正ソフトウェア実行部43は、ホスト1に実装されると、上述のタイプ(1)の動作を実現させるために、メールサーバ情報記憶部44にアクセスして、メールサーバ3のメールサーバ名又はファントムサーバのメールサーバ名を取得すると、当該何れかのメールサーバ名を使用して電子メールデータを作成して基本ソフトウェア実行部41から送信させる。
このような不正ソフトウェア実行部43で実現される機能に対し、ホスト1は、TCP/IP通信制御部52で作成されたパケットを監視して不正な電子メールデータの送信を遮断するための機能として、ダミーメールサーバ情報設定ソフト実行部45を備えている。ダミーメールサーバ情報設定ソフト実行部45は、ファントムメールサーバ情報記憶部61と、ダミー情報設定部62とを備える。
ファントムメールサーバ情報記憶部61には、メールサーバ情報記憶部44に格納するファントムサーバのメールサーバ名を含むファントムメールサーバ情報が記憶されている。ダミー情報設定部62は、ファントムメールサーバ情報記憶部61に記憶されたファントムメールサーバ情報を読み出して、メールサーバ情報記憶部44に記憶させる。ダミー情報設定部62は、ファントムメールサーバ情報をメールサーバ情報記憶部44に記憶させる場合に、その記述順序をランダム又は任意とする。
このダミー情報設定部62は、図5に示すように、先ずメールクライアントソフトウェア実行部42の設定ファイルやレジストリの位置、フォーマット(形式)をメールサーバ情報記憶部44又は外部から取り出す(ステップS1)。次にダミー情報設定部62は、正規のメールサーバ情報に対するファントムメールサーバ情報の記述順序を決定する(ステップS2)。このとき、ダミー情報設定部62は、予め設定された先頭位置にファントムメールサーバ情報を配置するように記述順序を決定しても良く、図示しないユーザインターフェースからの命令によってファントムメールサーバ情報の記述順序を決定しても良く、更には乱数によってランダムな配置となるようにファントムメールサーバ情報の記述順序を決定しても良い。そして、ダミー情報設定部62は、当該記述順序となるようにメールサーバ情報記憶部44にファントムメールサーバ情報を追加する(ステップS3)。
このように、ダミー情報設定部62によって、メールサーバ情報に対するファントムメールサーバ情報の記述順序を調整することによって、設定データの先頭に記述されて一番最初に検出されたメールサーバ名を不正に取得するコンピュータウィルスや、設定データの色々なメールサーバ名を総当たり的に利用するコンピュータウィルスによって不正ソフトウェア実行部43が実装されても、後述のダミーメールサーバ情報設定ソフト実行部45によって、双方のタイプのコンピュータウィルスの動作を検知可能とする。
このように、ホスト1からファントムメールサーバ宛のダミーの情報を含む電子メールデータを受信したことを検知するために、ファイアウォール2は、パケットフィルタ部31にファントムメールサーバ情報記憶部61に記憶されているファントムメールサーバ情報を登録しておく。そして、ファイアウォール2は、当該ファントムメールサーバ名の電子メールデータがホスト1から送信された場合に、パケットフィルタ部31で当該電子メールデータを含むパケットのログ情報を生成できる。
次に、ホスト1が、当該ホスト1から送信される電子メールデータを盗聴するタイプ(2)のコンピュータウィルスに感染し、当該コンピュータウィルスによって作成された電子メールデータをファイアウォール2で検知できることについて説明する。
ホスト1は、図6に示すように、例えば他のホストから送信された不正なメール内容をプレビュー又は不正な添付ファイルを実行してしまったために、アプリケーション層に、タイプ(2)の動作を実現するための不正ソフトウェア実行部43が実装されている。また、ホスト1は、基本ソフトウェアとメールクライアントソフトウェアとダミーメールサーバ送信ソフトウェアとがインストールされることによって、基本ソフトウェア実行部71と、メールクライアントソフトウェアを実行するメールクライアントソフトウェア実行部72とダミーメールサーバ送信ソフトウェア実行部73とを備えて構成されている。
基本ソフトウェア実行部71は、ネットワークと接続された通信インターフェース部81とTCP/IP通信制御部82とを備える。これら通信インターフェース部81及びTCP/IP通信制御部82は、図4のホスト1の通信インターフェース部51及びTCP/IP通信制御部52と同様に動作し、受信した電子メールデータをメールクライアントソフトウェア実行部72に渡し、メールクライアントソフトウェア実行部72又はダミーメールサーバ送信ソフトウェア実行部73からの電子メールデータをネットワークに送出する。
メールクライアントソフトウェア実行部72には、電子メールデータを転送する正規のメールサーバ3を特定するメールサーバ情報が格納されている。このメールサーバ情報は、正規のメールサーバ3のメールサーバ名及びIPアドレス、自己のメールアドレス、電子メール送信先のメールアドレス帳等を含み、メールクライアントソフトウェア実行部72によって参照されて正規の電子メールデータが作成可能となっている。
メールクライアントソフトウェア実行部72は、電子メールデータを送信する際に、メール送信検知部43にメール送信開始信号を供給する。これに対し、メールクライアントソフトウェア実行部72は、メール送信検知部43からメール送信開始許可信号を受信するまで電子メールデータの送信を保留し、メール送信開始許可信号を受信した後に電子メールデータを基本ソフトウェア実行部71に渡す。
ダミーメールサーバ送信ソフトウェア実行部73は、ダミーメール送信部91と、ダミーメールサーバ情報記憶部92と、メール送信検知部93とを備える。
ダミーメールサーバ情報記憶部92には、ファントムメールサーバのメールサーバ名を含むダミーメールサーバ情報が記憶されている。このダミーメールサーバ情報は、ダミーメール送信部91に読み込まれて、ダミーメール送信部91がダミー電子メールデータを作成するために使用される。
メール送信検知部93は、ダミーメール送信部91によってファントムメールサーバ宛のダミー電子メールデータを送信するタイミングと、メールクライアントソフトウェア実行部72によって正規の電子メールデータを送信するタイミングとを調整する。メール送信検知部93は、所定時間を計時するタイマによってダミーメール送信部91のダミー電子メールデータの送信タイミングが設定されている場合に、当該ダミー電子メールデータの送信タイミングとは異なるタイミングで正規な電子メールデータを送信させる。
このタイマーによってダミー電子メールデータの送信タイミングを制御する処理は、図7に示すように、ダミーメール送信部91は、内部のタイマーが固定値又はランダム値の設定時間を計時して通知されるタイミングを待つ(ステップS11)。そして、ダミーメール送信部91は、タイマーが所定時間を計時したことが通知されると、ステップS12において、ダミーメールサーバ情報記憶部92のダミーメールサーバ情報を読み込んで、送信先をファントムメールサーバ宛に決定し、ステップS13において、ダミー電子メールデータを生成する。なお、タイマーが所定時間を計時してダミー電子メールデータを送信するタイミングとなった場合、その旨の通知をメール送信検知部93にも送信する。
また、ダミーメール送信部91は、ステップS14において、生成したダミー電子メールデータが、正規な電子メールデータではないダミーであることをファイアウォール2で識別させるダミーメール識別子を追加して、ステップS15において、複数のダミー電子メールデータを所定の時間間隔又はランダムな時間間隔で送信する。
次にダミーメール送信部91は、次回にダミー電子メールデータを送信するタイミングを経時するために、タイマーの計時時間を固定値又はランダム値にセットして、処理を終了する。
また、メール送信検知部93は、正規の電子メールデータの送信タイミングの前後にダミー電子メールデータを送信するように調整しても良い。
メール送信検知部93は、メールクライアントソフトウェア実行部72からメール送信開始信号が供給されると、当該メール送信開始信号をダミーメール送信部91に通知する。これに応じて、ダミーメール送信部91は、予め設定されたランダムなタイミングで一又は複数のダミー電子メールデータを作成して、基本ソフトウェア実行部71を介して送信させ、その後に、メール送信検知部93にダミー電子メールデータの送信が終了したことを通知する。メール送信検知部93は、ダミーメール送信部91からダミー電子メールデータの送信が終了した通知を受けると、メールクライアントソフトウェア実行部72にメール送信開始許可信号を送信して、メールクライアントソフトウェア実行部72から正規の電子メールデータを送信させ、その旨をダミーメール送信部91に通知する。ダミーメール送信部91は、メールクライアントソフトウェア実行部72から電子メールデータの送信が終了したことに応じて、再度、一又は複数のダミー電子メールデータをランダムなタイミングで送信させる。
この処理は、図8に示すように、メール送信検知部93によって、ステップS21において、メールクライアントソフトウェア実行部72からのメール送信開始信号が供給されるのを待ち、メール送信開始信号が供給された後に、ステップS22において、メール送信検知部93によって、ダミー電子メールデータの送信数P1を設定する。このダミー電子メールデータの送信数P1は、固定数でも良く、ランダムであっても良い。
次に、ダミーメール送信部91は、図7と同様にステップS12〜ステップS15の処理を行うことによってダミー電子メールデータを送信し、ステップS23において、ダミー電子メールデータの送信回数がステップS22で決定した送信数P1に達したか否かを判定して、達していない場合にはステップS12〜ステップS15の処理を繰り返す。ダミー電子メールデータの送信回数が送信数P1に達した場合、メール送信検知部93は、ステップS24において、メールクライアントソフトウェア実行部72にメール送信開始許可信号を送信して正規な電子メールデータを送信させる。
次に、メール送信検知部93は、ステップS25において、正規な電子メールデータの後に送信するダミー電子メールデータの送信数P2を決定し、ダミーメール送信部91は、ステップS12〜ステップS15の処理行ってダミー電子メールデータを送信し、ステップS26において、ダミー電子メールデータの送信回数がステップS25で決定した送信数P2に達したか否かを判定して、達していない場合にはステップS12〜ステップS15の処理を繰り返す。ダミー電子メールデータの送信回数が送信数P2に達した場合に処理を終了する。
このように、ホスト1からファントムメールサーバ宛のダミーの情報を含み且つ、ダミーメール識別子を含む電子メールデータを受信したことを検知するために、ファイアウォール2は、パケットフィルタ部31に、ダミーメールサーバ情報記憶部92に記憶されているファントムメールサーバ情報を登録しておく。そして、ファイアウォール2は、当該ファントムメールサーバ名の電子メールデータがホスト1から送信された場合に、パケットフィルタ部31で当該電子メールデータにダミーメール識別子が含まれていない場合に、パケットのログ情報を生成できる。また、ファイアウォール2は、ホスト1が設定した所定のタイミングとは異なるタイミングでダミー電子メールデータが送信された場合に、当該電子メールデータを不正な電子メールデータとしてログ情報を生成できる。
更に、ファイアウォール2は、当該ホスト1に登録されている電子メール送信先のアドレスからメールサーバ3のメールサーバ名を予測するタイプ(3)のコンピュータウィルスに感染したホスト1からの不正な電子メールデータを検知するために、実在のメールサーバ3のメールサーバ名から予測されやすいメールサーバ名をファントムメールサーバの名前として記憶しておく。例えば、メールサーバ3の正規のメールサーバ名「mx.osaka.jp」に対し、ファイアウォール2には、予測されやすいメールサーバ名として、ms,mx1,mail,mailserver等を予測サーバ名情報として記憶しておく。これにより、ファイアウォール2は、あらゆる予測サーバ名情報を登録することによって、タイプ(3)のコンピュータウィルスによって実際には存在しないメールサーバ3への接続の試行を検出して、不正な電子メールデータのログ情報を生成できる。
このように、タイプ(1)〜タイプ(3)のコンピュータウィルスによって生成された不正な電子メールデータのログ情報を受信するメールサーバ3は、図9に示すように、基本ソフトウェアとメールサーバソフトウェアとがインストールされて、基本ソフトウェア実行部101と、メールサーバソフトウェア実行部102とを備えて構成されている。
基本ソフトウェア実行部101は、ネットワークを介してあらゆるネットワーク機器と接続された通信インターフェース部111とTCP/IP通信制御部112とを備える。
基本ソフトウェア実行部101は、通信インターフェース部111によってデータの復変調処理及びデータリンク層処理を行い、TCP/IP通信制御部112によってネットワーク層処理及びトランスポート層処理を行う。この基本ソフトウェア実行部101は、ホスト1及び他のメールサーバから受信したパケットに含まれる電子メールデータ及びファイアウォール2から受信したログ情報をメールサーバソフトウェア実行部102に渡すと共に、メールサーバソフトウェア実行部102から渡された電子メールデータに所定の処理を行ってパケットとして送信する。
メールサーバソフトウェア実行部102は、メール受信部121と、メールチェック部122と、感染ホスト情報記憶部123と、ログ解析部124と、ログフォーマット情報記憶部125と、不審メール処理部126と、メール転送部127と、メールボックス128とを備える。
メール受信部121は、基本ソフトウェア実行部101で受信したパケットに含まれる電子メールデータを受け取ると、当該電子メールデータをメールチェック部122に渡す。
メールチェック部122は、メール受信部121から受け取った電子メールデータの送信元のIPアドレスを取得し、当該送信元のIPアドレスが、感染ホスト情報として感染ホスト情報記憶部123に登録されているか否かを判定する。送信元のIPアドレスが感染ホスト情報記憶部123に登録されている場合、メールチェック部122は、当該送信元のIPアドレスで送信された電子メールデータを不審メール処理部126に渡す。一方、送信元のIPアドレスが感染ホスト情報記憶部123に登録されている場合、メールチェック部122は、当該送信元のIPアドレスで送信された電子メールデータをメール転送部127に渡す。
この感染ホスト情報記憶部123に記憶された感染ホスト情報は、ログ解析部124で警告メッセージを受信すると、当該ログ情報に含まれたコンピュータウィルスに感染した感染ホストを特定する情報であるIPアドレスがログ解析部124によって登録される。このとき、ログ解析部124は、図10に示すように、基本ソフトウェア実行部101からログ情報を受信すると(ステップS31)、ログフォーマット情報記憶部125のログフォーマット情報を取得し(ステップS32)、コンピュータウィルスに感染しているホスト1のIPアドレスを取得して、感染ホスト情報として感染ホスト情報記憶部123に記憶する。
不審メール処理部126は、メールチェック部122から受け取った電子メールデータの転送を保留、又は、電子メールデータの破棄、又は、電子メールデータに添付されたコンピュータウィルスを除去する改変処理を行う。不審メール処理部126は、不正な電子メールデータに対する処理が予め設定情報として設定されており、当該設定情報に従って、不正な電子メールデータの保留、破棄、又は改変を行う。
不審メール処理部126は、不正な電子メールデータを保留する場合、図示しない不正な電子メールデータ用のバッファに記憶させる。また、不審メール処理部126は、電子メールデータを改変した場合、当該電子メールデータを転送させるためにメール転送部127に渡す。
メール転送部127は、メールチェック部122で不正な電子メールデータではないと判定された電子メールデータ及び不審メール処理部126で改変された電子メールデータを受け取ると、当該電子メールデータの宛先IPアドレスを取得する。メール転送部127は、宛先IPアドレスから自己のドメイン宛であると判定した場合には、ユーザごとに区分されたメールボックス128に格納する。また、受け取った電子メールデータの宛先IPアドレスから自己のドメイン宛ではないと判定した場合、メール転送部127は、基本ソフトウェア実行部101を介して宛先ドメインのメールサーバに電子メールデータを転送させる。
このようなメールサーバ3は、図11に示すように、ステップS41において、基本ソフトウェア実行部101を介してメール受信部121で電子メールデータを受信すると、ステップS42において、メールチェック部122により、当該電子メールデータの送信元IPアドレスが感染ホスト情報に登録されているか否かを判定し、そうである場合には、当該電子メールデータを不審メール処理部126に渡してステップS43に処理を進め、そうでない場合には、当該電子メールデータをメール転送部127に渡してステップS48に処理を進める。
ステップS43において、不審メール処理部126は、不正な電子メールデータに対する処理を設定データから取得して、当該不正な電子メールデータを破棄する場合には、ステップS44において電子メールデータを破棄して処理を終了する。
不正な電子メールデータを保留する場合には、ステップS45において、メールサーバ3の管理者等に通知することでチェックさせて、ステップS48に処理を進める。なお、このステップS45において、不審メール処理部126は、一定時間だけ不正な電子メールデータをバッファに記憶させて、管理者のチェックがなされたか否かに拘わらずメール転送部127に電子メールデータを転送させても良い。
更に、不正な電子メールデータを改変する場合、ステップS46においてコンピュータウィルスが添付されている可能性があるために取り扱いに注意させる警告文をメール本文中などに追記し、ステップS47において添付ファイルを削除してステップS48に処理を進める。この警告文は、例えば「このメールはウィルスによって送信された可能性があります」といった文章が挙げられる。なお、ステップS46及びステップS47の処理は、何れかを行うように設定されていても良い。
ステップS48において、メール転送部127は、電子メールデータの宛先ドメインが自己のものであるか否かを判定し、そうである場合には、ステップS49において電子メールデータをメールボックス128に保存して処理を終了し、そうでない場合には、ステップS50において電子メールデータを他のメールサーバに転送させるために当該電子メールデータを基本ソフトウェア実行部101に渡す。
このようなメールサーバ3によれば、ログ情報を受信して感染ホスト情報を記憶しておき、当該感染ホスト情報として登録された送信元のIPアドレスで電子メールデータが送信された場合に、当該電子メールデータを保留、破棄又は改変できるので、コンピュータウィルスに感染したホスト1を検知して、不正な電子メールデータがそのまま転送されることを防止できる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
すなわち、上述した実施形態における不正な電子メールデータを検知するため機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてメール機能を具備する家電機器がコンピュータウィルスに感染した場合であっても、当該家電機器から外部ネットワークへと不正なコンピュータウィルスを含む電子メールが送信されることをファイアウォール2で検知することができる。
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。
より具体的には、上述した不正な電子メールを検知する機能を有するホスト1、ファイアウォール2、メールサーバ3等のネットワーク機器にEMIT技術を実現するEMITソフトウェアを搭載して、当該EMITソフトウェアを搭載した端末、中継装置、メールサーバ3と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。
このようなEMIT技術を実装したシステムによれば、ユーザ機器は、ホスト1、メールサーバ3、中継装置、横付け機器によって不正な電子メールデータをどのくらいの頻度で検知したかを遠隔監視でき、不正な電子メールを遮断又は警報する送信元アドレスを追加制御できる。
本発明を適用した不正メール検知システムの構成を示すシステム図である。 本発明を適用した不正メール検知システムにおいて、不正な電子メールデータを検知するファイアウォールの構成を示すブロック図である。 本発明を適用した不正メール検知システムを構成するファイアウォールによって生成されるログ情報を示す図である。 タイプ(1)のコンピュータウィルスに感染したホストの構成であって、当該コンピュータウィルスをファイアウォールで検知するための構成を含むブロック図である。 本発明を適用した不正メール検知システムを構成する端末によってダミーメールサーバ情報を設定する処理手順を示すフローチャートである。 タイプ(2)のコンピュータウィルスに感染したホストの構成であって、当該コンピュータウィルスをファイアウォールで検知するための構成を含むブロック図である。 本発明を適用した不正メール検知システムを構成する端末によって、タイマーを参照してダミー電子メールデータを作成して送信する処理手順を示すフローチャートである。 本発明を適用した不正メール検知システムを構成する端末によって、正規の電子メールデータを送信と混合して、ダミー電子メールデータを作成して送信する処理手順を示すフローチャートである。 ファイアウォールからのログ情報を受信して、感染ホスト情報を蓄積できるメールサーバの構成を示すブロック図である。 本発明を適用した不正メール検知システムを構成するメールサーバによってログ情報を受信した時の処理手順を示すフローチャートである。 本発明を適用した不正メール検知システムを構成するメールサーバによって電子メールデータを受信した時の処理手順を示すフローチャートである。
符号の説明
1 ホスト
2 ファイアウォール
3 メールサーバ
11,41,71,101 基本ソフトウェア実行部
12 ファイアウォールソフトウェア実行部
21,51,81,111 通信インターフェース部
22,52,82,112 TCP/IP通信制御部
31 パケットフィルタ部
32 ログ生成部
33 設定インターフェース部
42 メールクライアントソフトウェア実行部
43 メール送信検知部
43 不正ソフトウェア実行部
44 メールサーバ情報記憶部
45 ダミーメールサーバ情報設定ソフト実行部
61 ファントムメールサーバ情報記憶部
62 ダミー情報設定部
72 メールクライアントソフトウェア実行部
73 ダミーメールサーバ送信ソフトウェア実行部
91 ダミーメール送信部
92 ダミーメールサーバ情報記憶部
93 メール送信検知部
102 メールサーバソフトウェア実行部
121 メール受信部
122 メールチェック部
123 感染ホスト情報記憶部
124 ログ解析部
125 ログフォーマット情報記憶部
126 不審メール処理部
127 メール転送部
128 メールボックス

Claims (7)

  1. コンピュータウィルスによって、不正な電子メールが配信されることを検知する不正メール検知システムであって、
    電子メールを送信するために必要な正規の設定情報と、当該設定情報に対してダミーの設定情報とを記憶した記憶手段と、前記正規の設定情報を用いて、電子メールを送信する送信手段とを備えた端末と、
    前記コンピュータウィルスによる動作によって、前記ダミーの設定情報を用いて作成された電子メールを受信した場合に、不正な電子メールが配信されることを検知するファイアウォールと
    を備えることを特徴とする不正メール検知システム。
  2. 前記ファイアウォールは、前記ダミーの設定情報を用いて作成された電子メールを受信して、不正な電子メールが配信されることを検知した場合に、当該電子メールを遮断することを特徴とする請求項1に記載の不正メール検知システム。
  3. 前記ファイアウォールは、不正な電子メールを解析してコンピュータウィルスに感染している端末のアドレスを取得し、当該アドレスを含む警告メッセージを、前記正規な設定情報で特定されるメール転送サーバに送信することを特徴とする請求項1に記載の不正メール検知システム。
  4. 前記ファイアウォールは、前記警告メッセージとして、ログ情報を前記メール転送サーバに送信し、
    前記メール転送サーバは、予め記憶しておいたログフォーマット情報を参照して、受信したログ情報を解析し、コンピュータウィルスに感染してる端末のアドレス情報を抽出することを特徴とする請求項3に記載の不正メール検知システム。
  5. 前記端末の記憶手段は、前記正規の設定情報として電子メールを転送する正規のメール転送サーバを特定するメールサーバ情報を記憶すると共に、前記ダミーの設定情報として当該メールサーバ情報に対してダミーのダミーメールサーバ情報を記憶し、
    前記ファイアウォールは、前記記憶手段に記憶されたダミーメールサーバ情報を用いて作成された電子メールを受信した場合に、不正な電子メールが配信されることを検知すること
    を特徴とする請求項1乃至請求項4の何れか一項に記載の不正メール検知システム。
  6. 前記端末は、前記正規の設定情報として電子メールを転送する正規のメール転送サーバを特定するメールサーバ情報を記憶すると共に、前記ダミーの設定情報として前記メールサーバ情報に対してダミーのダミーメールサーバ情報を前記記憶手段に記憶し、前記送信手段によって、前記記憶手段に記憶されたメールサーバ情報を用いて前記正規のメール転送サーバ宛の電子メールを送信する処理を行うと共に、予め設定したタイミングで前記記憶手段に記憶されたダミーメールサーバ情報を用いて電子メールを送信する処理とを行い、
    前記ファイアウォールは、前記予め設定したタイミング以外のタイミングで、前記ダミーメールサーバ情報を用いて作成した電子メールを受信した場合に、不正な電子メールが配信されることを検知すること
    を特徴とする請求項1乃至請求項5の何れか一項に記載の不正メール検知システム。
  7. 前記端末は、前記記憶手段として、前記正規の設定情報として電子メールの送信先端末を特定する電子メールアドレスを登録して記憶したアドレス記憶手段と、前記ダミーの設定情報として前記アドレス記憶手段に記憶された電子メールアドレスのドメイン名から、予測されやすいダミーのメール転送サーバのホスト名を記憶するダミー情報記憶手段とを有し、前記送信手段によって、前記アドレス記憶手段に記憶された電子メールアドレスを送信先とした電子メールを送信し、
    前記ファイアウォールは、前記ダミー情報記憶手段に記憶されたダミーのメール転送サーバのホスト名を宛先とした電子メールを受信した場合に、不正な電子メールが配信されることを検知すること
    を特徴とする請求項1乃至請求項5の何れか一項に記載の不正メール検知システム。
JP2005370832A 2005-12-22 2005-12-22 不正メール検知システム Pending JP2007174386A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005370832A JP2007174386A (ja) 2005-12-22 2005-12-22 不正メール検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005370832A JP2007174386A (ja) 2005-12-22 2005-12-22 不正メール検知システム

Publications (1)

Publication Number Publication Date
JP2007174386A true JP2007174386A (ja) 2007-07-05

Family

ID=38300336

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005370832A Pending JP2007174386A (ja) 2005-12-22 2005-12-22 不正メール検知システム

Country Status (1)

Country Link
JP (1) JP2007174386A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10423784B2 (en) 2014-12-01 2019-09-24 Nec Corporation Dummy information insertion device, dummy information insertion method, and storage medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10423784B2 (en) 2014-12-01 2019-09-24 Nec Corporation Dummy information insertion device, dummy information insertion method, and storage medium
US11520884B2 (en) 2014-12-01 2022-12-06 Nec Corporation Dummy information insertion device, dummy information insertion method, and storage medium

Similar Documents

Publication Publication Date Title
JP4072150B2 (ja) ホストベースのネットワーク侵入検出システム
US9954873B2 (en) Mobile device-based intrusion prevention system
US8966631B2 (en) Detecting malicious behaviour on a computer network
US8495739B2 (en) System and method for ensuring scanning of files without caching the files to network device
JP3945438B2 (ja) 制御プログラムおよび制御装置
JP4195480B2 (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
JP2005044277A (ja) 不正通信検出装置
US20170070518A1 (en) Advanced persistent threat identification
WO2013059219A1 (en) System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file
JP3835421B2 (ja) 制御プログラムおよび制御装置
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
US8234503B2 (en) Method and systems for computer security
US20050259657A1 (en) Using address ranges to detect malicious activity
JP2007179523A (ja) 悪意データを検出する端末装置及び関連方法
JP2019046397A (ja) メール監視システム、メール監視装置およびメール監視プログラム
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
JP2006277633A (ja) セキュリティ保証機能を備えたコンピュータネットワーク、セキュリティの保証方法、及び、プログラム
JP2007174386A (ja) 不正メール検知システム
JP2008141352A (ja) ネットワークセキュリティシステム
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
JP2007174402A (ja) 不正メール検知システム
JP2007172401A (ja) 不正メール検知装置
Hindocha Threats to instant messaging
JP2007172402A (ja) 不正メール検知システム