JP2008172457A - 端末特定プログラム、端末特定装置およびメールシステム - Google Patents

端末特定プログラム、端末特定装置およびメールシステム Download PDF

Info

Publication number
JP2008172457A
JP2008172457A JP2007002859A JP2007002859A JP2008172457A JP 2008172457 A JP2008172457 A JP 2008172457A JP 2007002859 A JP2007002859 A JP 2007002859A JP 2007002859 A JP2007002859 A JP 2007002859A JP 2008172457 A JP2008172457 A JP 2008172457A
Authority
JP
Japan
Prior art keywords
mail
terminal
new virus
information
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007002859A
Other languages
English (en)
Inventor
Yuji Ito
雄司 伊藤
Shinichi Kuranari
真一 倉成
Masaya Oda
雅也 織田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007002859A priority Critical patent/JP2008172457A/ja
Priority to US11/971,039 priority patent/US20080168563A1/en
Publication of JP2008172457A publication Critical patent/JP2008172457A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ウィルスによってネットワークに与えられる被害を縮小すること。
【解決手段】ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、メールサーバが記憶する電子メールの情報を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、特定された新規ウィルス添付電子メールのアカウント情報を取得し、取得されたアカウント情報と、メールサーバが記憶する端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の端末特定情報を新規ウィルス感染端末特定情報として抽出する。
【選択図】 図2

Description

この発明は、端末特定プログラム、端末特定装置およびメールシステムに関する。
従来より、電子メールを媒介とするウィルスがあるが、このようなウィルスによってネットワークに与えられる被害は、例えば、ネットワークにおけるサービスの停止やデータの喪失/漏洩など甚大なものである。ウィルスによってネットワークに与えられる被害に対する一般的な処理方法としては、セキュリティ会社の提供するアンチウィルスソフトウェアおよびウィルスパターン情報を用い、例えば、メールサーバやメールゲートウェイが、ネットワーク内およびインターネットから送受信した電子メールの内容をチェックし、ウィルス添付メールを削除する処理方法が知られている。
また、特許文献1では、専用のプロトコルを組み込んだウィルスチェックサーバを設置して、ウィルスチェックサーバは、送受信する電子メールなどの通信データをチェックし、ウィルスが添付された通信データを検出した際には、ウィルスを駆除する方法を開示している。
これとは別に、特許文献2では、ウィルス感染により不具合が生じた端末を特定してネットワークから隔離処理を行うネットワーク管理システムを提唱している。
特開2004−78648号公報 特開2005−204055号公報
ところで、上記した一般的な従来の技術は、メールサーバやメールゲートウェイに「新規ウィルス群」の情報が更新されて登録されるまでの間、「新規ウィルス群」に含まれる新規ウィルスが添付された電子メールはチェックおよび削除されない結果、当該新規ウィルスに感染した可能性のある端末がそのまま放置されるので、ウィルスによってネットワークに与えられる被害が拡大するという問題点があった。
また、上記した特許文献1の技術は、ウィルスのチェックには専用のプロトコルが別途必要とされるとともに、上記した一般的な従来の技術と同様に、「新規ウィルス群」が登録されるまでの間、「新規ウィルス群」に含まれる新規ウィルスが添付された電子メールはチェックおよび削除されない結果、新規ウィルスに感染した可能性のある端末がそのまま放置されるので、ウィルスによってネットワークに与えられる被害が拡大するという問題点があった。
また、上記した特許文献2の技術は、ウィルスに感染し、例えば、データが喪失するなどの不具合が生じた端末しか特定してネットワークから隔離できないとともに、上記した一般的な従来の技術と同様に、「新規ウィルス群」が登録されるまでの間、「新規ウィルス群」に含まれる新規ウィルスが添付された電子メールはチェックおよび削除されない結果、新規ウィルスに感染した可能性のある端末がそのまま放置されるので、ウィルスによってネットワークに与えられる被害が拡大するという問題点があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ウィルスによってネットワークに与えられる被害を縮小できる端末特定プログラム、端末特定装置およびメールシステムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバとしてのコンピュータに、ウィルス定義ファイルに基づいて前記電子メールを検査し、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定する端末特定方法を実行させる端末特定プログラムであって、前記ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手順と、前記新規ウィルス添付電子メール特定手順によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手順と、前記アカウント情報取得手順によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手順と、をコンピュータに実行させることを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記感染端末特定情報抽出手順は、前記新規ウィルス感染端末特定情報として、IPアドレスを抽出することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記メールサーバは、他のメールサーバに接続され、前記感染端末特定情報抽出手順によって参照される前記配信要求履歴に、前記アカウント情報取得手順によって取得された前記アカウント情報がない場合は、前記他のメールサーバに当該アカウント情報を通知するアカウント情報通知手順をさらにコンピュータに実行させ、前記感染端末特定情報抽出手順は、他のメールサーバから前記アカウント情報の通知を受けた場合に、当該アカウント情報を用いて前記新規ウィルス感染端末特定情報を抽出することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記感染端末特定情報抽出手順は、前記新規ウィルス添付電子メールを前記メールサーバが受信した受信時刻以降、前記アカウント情報を有する前記端末が配信要求を行なった履歴が前記配信要求履歴にない場合は、前記メールサーバが記憶する前記電子メールの情報から当該新規ウィルス添付電子メールの情報を削除することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記メールサーバは、前記端末を操作するクライアントを特定できるクライアント特定情報を用いて、前記端末からのネットワークへの接続を認証するたびに、前記端末に前記端末特定情報を発行し、前記クライアント特定情報と前記端末特定情報とを対応付けたアクセス管理情報を記憶する認証サーバと接続され、前記感染端末特定情報抽出手順は、前記認証サーバに前記端末特定情報の探索の要求を送信し、前記認証サーバから受信した当該端末特定情報を前記新規ウィルス感染端末特定情報として抽出することを特徴とする。
また、請求項6に係る発明は、電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバに適用され、ウィルス定義ファイルに基づいて前記電子メールを検査し、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定する端末特定装置であって、前記ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手段と、前記新規ウィルス添付電子メール特定手段によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手段と、前記アカウント情報取得手段によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手段と、を備えたことを特徴とする。
また、請求項7に係る発明は、電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバと、前記メールサーバと前記端末との間で前記電子メールの送受信を中継する一つまたは複数の中継装置とからなるメールシステムであって、前記メールサーバは、ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手段と、前記新規ウィルス添付電子メール特定手段によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手段と、前記アカウント情報取得手段によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手段と、前記感染端末特定情報抽出手段によって抽出された前記新規ウィルス感染端末特定情報を、前記中継装置に送信する感染端末特定情報送信手段と、を備え、前記中継装置は、前記感染端末特定情報送信手段によって前記メールサーバから送信された前記新規ウィルス感染端末特定情報を受信する感染端末特定情報受信手段と、前記感染端末特定情報受信手段によって受信した前記新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、当該中継装置の中継する端末に含まれるか否かを判定する感染端末判定手段と、前記感染端末判定手段によって前記新規ウィルス感染端末が、当該中継装置の中継する端末に含まれる場合は、当該新規ウィルス感染端末をネットワークから検疫する検疫手段と、を備えたことを特徴とする。
請求項1または6の発明によれば、ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、メールサーバが記憶する電子メールの情報を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、特定された新規ウィルス添付電子メールのアカウント情報を取得し、取得されたアカウント情報と、メールサーバが記憶する配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の端末特定情報を新規ウィルス感染端末特定情報として抽出するので、新規ウィルスに感染した可能性のある端末を特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、請求項2の発明によれば、新規ウィルス感染端末特定情報として、IPアドレスを抽出するので、新規ウィルスに感染した可能性のある端末をIPアドレスによって容易に特定することが可能であり、その結果、メールサーバの管理者は、当該端末を特定して処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、請求項3の発明によれば、メールサーバは、他のメールサーバに接続され、参照される配信要求履歴に、取得されたアカウント情報がない場合は、他のメールサーバに当該アカウント情報を通知し、他のメールサーバからアカウント情報の通知を受けた場合に、当該アカウント情報を用いて新規ウィルス感染端末特定情報を抽出するので、メールゲートウェイと複数のメールサーバとが設置されるネットワークにおいて、メールゲートウェイに新規ウィルス添付電子メールの配信要求を行なった端末だけでなく、メールゲートウェイから新規ウィルス添付電子メールを受信したメールサーバに配信要求を行なった端末を新規ウィルスに感染した可能性のある端末として特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、請求項4の発明によれば、新規ウィルス添付電子メールをメールサーバが受信した受信時刻以降、アカウント情報を有する端末が配信要求を行なった履歴が配信要求履歴にない場合は、メールサーバが記憶する電子メールの情報から当該新規ウィルス添付電子メールの情報を削除するので、新規ウィルス添付電子メールが端末へ配信されることを回避でき、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、請求項5の発明によれば、メールサーバは、端末を操作するクライアントを特定できるクライアント特定情報を用いて、端末からのネットワークへの接続を認証するたびに、端末に端末特定情報を発行し、クライアント特定情報と端末特定情報とを対応付けたアクセス管理情報を記憶する認証サーバと接続され、認証サーバに端末特定情報の探索の要求を送信し、認証サーバから受信した当該端末特定情報を新規ウィルス感染端末特定情報として抽出するので、ISDNやADSLなど、インターネットプロバイダを経由してインターネットに接続するたびにIPアドレスが変更するネットワークであっても、認証サーバが抽出した情報を元に新規ウィルスに感染した可能性のある端末を特定することが可能であり、その結果、メールサーバの管理者は、当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、請求項7の発明によれば、メールサーバは、ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、メールサーバが記憶する電子メールの情報を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、特定された新規ウィルス添付電子メールのアカウント情報を取得し、取得されたアカウント情報と、メールサーバが記憶する配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の端末特定情報を新規ウィルス感染端末特定情報として抽出し、抽出された新規ウィルス感染端末特定情報を、中継装置に送信し、中継装置は、メールサーバから送信された新規ウィルス感染端末特定情報を受信し、受信した新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、当該中継装置の中継する端末に含まれるか否かを判定し、新規ウィルス感染端末が、当該中継装置の中継する端末に含まれる場合は、当該新規ウィルス感染端末をネットワークから検疫するので、中継装置は、メールサーバが抽出した新規ウィルスに感染した可能性のある端末を特定する情報を取得して当該端末を検疫することができ、ウィルスによってネットワークに与えられる被害をより容易に縮小することが可能になる。
以下に添付図面を参照して、この発明に係る端末特定プログラム、端末特定装置およびメールシステムの実施例を詳細に説明する。なお、以下では、この発明に係る端末特定プログラムを実行するメールサーバを含んで構成されるメールシステムを実施例として説明する。また、以下では、実施例1におけるメールシステムの構成および処理の手順、実施例1の効果を順に説明し、次に、実施例1と同様に、実施例2に係るメールシステム、実施例3に係るメールシステム、実施例4に係るメールシステム、実施例5に係るメールシステム、について順に説明する。
[実施例1におけるメールシステムの概要および特徴]
まず最初に、図1〜3を用いて、実施例1におけるメールシステムの主たる特徴を具体的に説明する。図1は、実施例1におけるメールシステムの概要を説明するための図であり、図2および図3は、実施例1におけるメールシステムの特徴を説明するための図である。
実施例1におけるメールシステムは、電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする電子メールを配信し、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバと、メールサーバと端末との間で電子メールの送受信を中継する一つまたは複数のルータとから構成される。なお、「ルータ」は、特許請求の範囲に記載の「中継装置」に対応する。
具体的には、図1に示すように、「ドメイン名:jp.xyz.com」を管理するメールサーバ(mail.jp.xyz.com、「IPアドレス:10.10.30.1」)は、インターネットから受信した電子メールおよび内包するネットワークにある端末から受信して送信した電子メールの情報を「メールアーカイブ情報」に記憶する。例えば、図1に示すように、電子メールを一意に識別するために付与した「メッセージID:AAAAAAAA.11111111@jp.xyz.com」、電子メールをメールサーバが受信した「受信時刻:2006年11月24日金曜日15時40分09秒」、「送信元メールアドレス:xxx@yyy.com」および「送信先メールアドレス:aaa@jp.xyz.com」などを、当該電子メールの「本文」および、当該電子メールに添付された「添付ファイル」と対応付けて記憶する。
また、図1に示すように、メールサーバは、例えば、「アカウント情報:aaa」を持つクライアントが使用する「IPアドレス:192.168.20.100」の端末からの配信要求に応じて、「aaa@jp.xyz.com」を宛先とする電子メールを当該端末に配信する。
その際、図1に示すように、メールサーバは、「aaa@jp.xyz.com」と当該端末を特定するための情報である端末特定情報としての「IPアドレス:192.168.20.100」とを対応付けて「配信要求履歴」に記憶する。なお、端末からの配信要求を受け付けた「配信要求時刻:2006年11月24日金曜日15時42分12秒」も合わせて記憶する。
そして、メールサーバは、ウィルスの特徴を収録したファイルである「ウィルス定義ファイル」を記憶し、ウィルス定義ファイルに基づいて、受信した電子メールを検査する。具体的には、図1に示すように、受信した電子メールを「ウィルス定義ファイル」に収録された各ウィルスのパターン(ウィルスパターン1、ウィルスパターン2など)に照合し、パターンとの一致が見られると当該電子メールにウィルスが添付されていると判定する。
さらに、図1に示すように、メールサーバと端末との間には複数のルータが設置され、例えば、第一ルータは、サブネットワーク「IPアドレス:192.168.20.0/24」に内包される端末を管理し、スイッチを介して、メールサーバと端末との間での電子メールの送受信を中継する。
そして、実施例1におけるメールシステムは、上記したメールサーバにおいて、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定し、上記した中継装置において、メールサーバが特定した当該端末をネットワークから検疫することを概要とし、ウィルスによってネットワークに与えられる被害を縮小することが可能になることに主たる特徴がある。
この主たる特徴について簡単に説明すると、実施例1におけるメールシステムを構成するメールサーバは、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する。
具体的には、図2に示すように、「ウィルス定義ファイル」に、例えば、セキュリティ会社からインターネットを介して、新規ウィルスの定義(ウィルスパターンN1、ウィルスパターンN2など)が追加されると、メールサーバは、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する(図2の(1)参照)。例えば、「メールアーカイブ情報」を検査して、図2に示す電子メール(「メッセージID:AAAAAAAA.11111111@jp.xyz.com」、「受信時刻:2006年11月24日金曜日15時40分09秒」、「送信元メールアドレス:xxx@yyy.com」、「送信先メールアドレス:aaa@jp.xyz.com」)に、新規ウィルス(例えば、ウィルスパターンN1)が添付されていることを特定する。ここで、当該新規ウィルス添付電子メールは、メールサーバが受信した時点では、「ウィルス定義ファイル」に収録されていなかった新規ウィルスが添付された電子メールである。
そして、実施例1におけるメールシステムを構成するメールサーバは、特定された新規ウィルス添付電子メールのアカウント情報を取得する。すなわち、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する(図2の(2)参照)。
そして、実施例1におけるメールシステムを構成するメールサーバは、取得されたアカウント情報と、「配信要求履歴」とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」を新規ウィルス感染端末特定情報として抽出する。例えば、「配信要求履歴」を参照して、「アカウント情報:aaa」を用いて配信要求を行なった端末の「IPアドレス」が「192.168.20.100」であるとする新規ウィルス感染端末特定情報を抽出する(図2の(3)参照)。
そして、実施例1におけるメールシステムを構成するメールサーバは、抽出された新規ウィルス感染端末特定情報を、ルータに送信する。すなわち、メールサーバは、「IPアドレス:192.168.20.100」である端末の検疫依頼をルータに送信する(図3の(4)参照)。なお、本実施例では、第一ルータを介して、第二ルータおよび第三ルータに当該新規ウィルス感染端末特定情報が転送されるものとする。
そして、実施例1におけるメールシステムを構成するルータは、メールサーバから送信された新規ウィルス感染端末特定情報を受信する。すなわち、第一ルータは、メールサーバから新規ウィルス感染端末特定情報として、「IPアドレス:192.168.20.100」を受信する(図3の(5)参照)。
そして、実施例1におけるメールシステムを構成するルータは、受信した新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、当該ルータの中継する端末に含まれるか否かを判定する。例えば、「IPアドレス:192.168.20.100」を受信した第一ルータは、図3の表に示すルーティングテーブルを参照して、「宛先アドレス:192.168.20.0/24」の「NextHop」が「connected」であることから、「IPアドレス:192.168.20.100」の端末が、自身が中継する端末に含まれると判定する(図3の(6)参照)。
そして、実施例1におけるメールシステムを構成するルータは、新規ウィルス感染端末が、自身の中継する端末に含まれる場合は、当該新規ウィルス感染端末を前記ネットワークから検疫する。すなわち、第一ルータは、「IPアドレス:192.168.20.100」の端末が、自身の中継する端末に含まれるので、当該新規ウィルス感染端末をネットワークから検疫する(図3の(7)参照)。具体的には、パケットフィルタリングなどの手法を用いて、「IPアドレス:192.168.20.100」の新規ウィルス感染端末に対し、パケットの送受信を遮断する処理を行う。
なお、その際、検疫対象である端末(「IPアドレス:192.168.20.100」)が搭載するOSのUpdateや「ウィルス定義ファイル」の更新などを行なうための通信のみは、実施可能にしてもよい。また、当該端末から、OSのUpdateや「ウィルス定義ファイル」の更新が終了したことをルータに通知し、ルータは、パケットの送受信を遮断する処理を解除するようにしてもよい。
このようなことから、実施例1におけるメールシステムは、新規ウィルスに感染した可能性のある端末を特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、上記した主たる特徴の通り、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
[実施例1におけるメールサーバの構成]
次に、図4〜10を用いて、実施例1におけるメールサーバの構成を説明する。図4は、実施例1におけるメールサーバの構成を示すブロック図であり、図5は、ウィルス定義ファイル記憶部を説明するための図であり、図6は、実施例1におけるメールサーバのメールアーカイブ情報記憶部を説明するための図であり、図7は、実施例1におけるメールサーバのアカウント情報取得部を説明するための図であり、図8は、実施例1におけるメールサーバの配信要求履歴記憶部を説明するための図であり、図9は、実施例1におけるメールサーバの感染端末特定情報抽出部を説明するための図であり、図10は、実施例1におけるメールサーバからルータへ送信される端末特定情報を説明するための図である。
図4に示すように、実施例1におけるメールサーバ10は、通信制御部11と、記憶部12と、処理部13とから構成される。
通信制御部11は、ネットワークを通じて送受信されるデータの転送を制御する。具体的には、通信プロトコルであるSMTP/POP3プロトコルによって、電子メールの送受信や、「新規ウィルスの定義」の受信や、「新規ウィルス感染端末特定情報」の送信などを行う。ここで、通信制御部11は、特許請求の範囲に記載の「感染端末特定情報送信手段」に対応する。
記憶部12は、処理部13による各種処理に用いるデータや、処理部13による各種処理結果を記憶し、特に本発明に密接に関連するものとしては、図4に示すように、ウィルス定義ファイル記憶部12aと、メールアーカイブ情報記憶部12bと、特定新規ウィルス添付電子メール記憶部12cと、取得アカウント情報記憶部12dと、配信要求履歴記憶部12eとを備える。ウィルス定義ファイル記憶部12aは、ウィルスの特徴を収録したファイルである「ウィルス定義ファイル」を記憶し、メールアーカイブ情報記憶部12bは、インターネットから受信した電子メールおよび内包するネットワークにある端末が送信した電子メールの情報を記憶し、特定新規ウィルス添付電子メール記憶部12cは、後述する新規ウィルス添付電子メール特定部13aが特定した新規ウィルス添付電子メールの情報を記憶し、取得アカウント情報記憶部12dは、後述するアカウント情報取得部13bが取得した新規ウィルス添付電子メールのアカウント情報を記憶し、配信要求履歴記憶部12eは、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶する。なお、各部については、後に詳述する。
処理部13は、通信制御部11から転送されたデータと、記憶部12が記憶するデータに基づき各種処理を実行し、特に本発明に密接に関連するものとしては、図4に示すように、新規ウィルス添付電子メール特定部13aと、アカウント情報取得部13bと、感染端末特定情報抽出部13cとを備える。ここで、新規ウィルス添付電子メール特定部13aは、特許請求の範囲に記載の「新規ウィルス添付電子メール特定手順」に対応し、アカウント情報取得部13bは、同じく、「アカウント情報取得手順」に対応し、感染端末特定情報抽出部13cは、同じく、「感染端末特定情報抽出手順」に対応する。
新規ウィルス添付電子メール特定部13aは、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査する。具体的には、図5に示すように、ウィルス定義ファイル記憶部12aが記憶するウィルス定義(ウィルスパターン1、ウィルスパターン2など)に新規ウィルスの定義(ウィルスパターンN1、ウィルスパターンN2など)が追加されると、電子メールを一意に識別するために付与した「メッセージID」、電子メールをメールサーバが受信した「受信時刻」、「送信元メールアドレス:xxx@yyy.com」および「送信先メールアドレス」を、当該電子メールの「本文」および、当該電子メールに添付された「添付ファイル」と対応付けて記憶するメールアーカイブ情報記憶部12b(図6参照)を検査する。
そして、新規ウィルス添付電子メール特定部13aは、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、その結果を、特定新規ウィルス添付電子メール記憶部12cに格納する。具体的には、図6に示すメールアーカイブ情報記憶部12bを検査して、例えば、『「メッセージID:AAAAAAAA.11111111@jp.xyz.com」、「受信時刻:2006年11月24日金曜日15時40分09秒」、「送信元メールアドレス:xxx@yyy.com」、「送信先メールアドレス:aaa@jp.xyz.com」』である電子メールに、新規ウィルス(例えば、ウィルスパターンN1)が添付されていることを特定する。
アカウント情報取得部13bは、特定新規ウィルス添付電子メール記憶部12cが記憶する新規ウィルス添付電子メールの情報からアカウント情報を取得し、その結果を、取得アカウント情報記憶部12dに格納する。例えば、図7に示すように、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する。
感染端末特定情報抽出部13cは、取得アカウント情報記憶部12dが記憶するアカウント情報と、配信要求履歴記憶部12eが記憶する「配信要求履歴」とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」を新規ウィルス感染端末特定情報として抽出する。具体的には、図8に示す「アカウント情報」と、「IPアドレス」と、「配信要求時刻」とを対応付けた「配信要求履歴」を記憶する配信要求履歴記憶部12eを参照して、取得アカウント情報記憶部12dが記憶するアカウント情報に対応する「IPアドレス」を抽出する。例えば、図9に示すように、「アカウント情報:aaa」を用いて配信要求を行なった端末の「IPアドレス」が「192.168.20.100」であるとする新規ウィルス感染端末特定情報を抽出する。
メールサーバ10は、通信制御部11を介して、抽出された新規ウィルス感染端末特定情報を、後述するルータ20に送信する。例えば、図10に示すようなIPパケットをルータ20に送信する。すなわち、IPヘッダにおける宛先IPアドレスとして、『新規ウィルス感染端末特定情報である「IPアドレス:192.168.20.100」』が設定され、TCPヘッダにおける宛先ポート番号として、「新規ウィルス感染端末特定情報によって特定される端末を検疫する要求メッセージであることを示すアプリケーション層用のポート番号」が設定され、データのタイプとして、「メールサーバからルータへの検疫要求」であることを示す識別子が設定され、データとして、『新規ウィルス感染端末特定情報である「IPアドレス:192.168.20.100」』が設定される。なお、IPパケットにおいて、TCPヘッダではなく、UDPヘッダを使用する場合であってもよい。
[実施例1におけるルータの構成]
続いて、図11〜13を用いて、実施例1におけるルータの構成を説明する。図11は、実施例1におけるルータの構成を示すブロック図であり、図12は、経路情報記憶部を説明するための図であり、図13は、感染端末判定部を説明するための図である。
図11に示すように、実施例1におけるルータ20は、通信制御部21と、記憶部22と、処理部23とから構成される。
通信制御部21は、メールサーバ10と端末との間でデータの通信を制御する。具体的には、メールサーバ10と端末との間で送受信される電子メールの通信や、メールサーバ10からの「新規ウィルス感染端末特定情報」の受信などを行う。ここで、通信制御部21は、特許請求の範囲に記載の「感染端末特定情報受信手段」に対応する。
ここで、通信制御部21は、例えば、図10に示すようなIPパケットを、メールサーバ10から受信すると、データのタイプとして、「メールサーバからルータへの検疫要求」であることを示す識別子が設定されていることから、当該IPパケットを、「宛先IPアドレス:192.168.20.100」宛ではなく、後述する感染端末判定部23aに中継する。
記憶部22は、処理部23による各種処理に用いるデータを記憶し、特に本発明に密接に関連するものとしては、図11に示すように、経路情報記憶部22aと、感染端末判定結果記憶部22bとを備える。経路情報記憶部22aは、ルータ20のルーティングテーブルを記憶し、感染端末判定結果記憶部22bは、後述する感染端末判定部23aによって、「新規ウィルス感染端末特定情報」に対応する新規ウィルス感染端末が、ルータ20の中継する端末に含まれるか否かを判定した結果を記憶する。なお、各部については、後に詳述する。
処理部23は、通信制御部21から転送されたデータと、記憶部22が記憶するデータに基づき各種処理を実行し、特に本発明に密接に関連するものとしては、図11に示すように、感染端末判定部23aと、検疫部23bとを備える。ここで、感染端末判定部23aは、特許請求の範囲に記載の「感染端末判定手段」に対応し、検疫部23bは、同じく、「検疫手段」に対応する。
感染端末判定部23aは、メールサーバ10から受信した新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、中継する端末に含まれるか否かを、経路情報記憶部22aが記憶するルーティングテーブルを参照して判定し、その結果を、感染端末判定結果記憶部22bに格納する。具体的には、図12に示すように、「宛先アドレス」と「NextHop」とを対応付けたルーティングテーブルを記憶する経路情報記憶部22aを参照して、『新規ウィルス感染端末特定情報である「IPアドレス:192.168.20.100」』の端末が、ルータ20の中継する端末に含まれるか否かを判定する。例えば、図13に示すように、「宛先アドレス:192.168.20.0/24」の「NextHop」が「connected」であることから、「IPアドレス:192.168.20.100」の端末が、ルータ20が中継する端末に含まれると判定する。
また、感染端末判定部23aは、受信した新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、中継する端末に含まれなかった場合は、別のルータに、当該新規ウィルス感染端末特定情報を送信する。例えば、図12の表に示すルーティングテーブルを参照して、第二ルータに、当該新規ウィルス感染端末特定情報を送信する。
なお、メールサーバ(「IPアドレス:10.10.30.1」)から受信した新規ウィルス感染端末特定情報(IPアドレス)が、ルータ20が管理するサブネットワーク(IPアドレス:192.168.20.0/24)が内包する端末のIPアドレスである場合のみ、感染端末判定部23aに通知し、それ以外のIPアドレスの場合は、第二ルータに、当該IPアドレスを送信するように、構成定義情報を予めルータ20に設定してもよい。
検疫部23bは、感染端末判定結果記憶部22bが記憶する判定結果において、新規ウィルス感染端末が、ルータ20の中継する端末に含まれる場合は、当該新規ウィルス感染端末を前記ネットワークから検疫する(図3の(7)参照)。例えば、検疫部23bは、「IPアドレス:192.168.20.100」の端末が、ルータ20の中継する端末に含まれるので、当該新規ウィルス感染端末をネットワークから検疫する。具体的には、パケットフィルタリングなどの手法を用いて、「IPアドレス:192.168.20.100」の新規ウィルス感染端末に対し、パケットの送受信を遮断する処理を行う。
なお、その際、検疫対象である端末(「IPアドレス:192.168.20.100」)が搭載するOSのUpdateや「ウィルス定義ファイル」の更新などを行なうための通信のみは、実施可能にしてもよい。また、当該端末から、OSのUpdateや「ウィルス定義ファイル」の更新が終了したことをルータに通知し、ルータは、パケットの送受信を遮断する処理を解除するようにしてもよい。
[実施例1におけるメールサーバによる処理の手順]
次に、図14を用いて、実施例1におけるメールサーバ10による処理を説明する。図14は、実施例1におけるメールサーバの処理の手順を説明するための図である。
まず、実施例1におけるメールサーバ10は、ウィルス定義ファイル記憶部12aが記憶する「ウィルス定義ファイル」に「新規ウィルスの定義」が追加されると(ステップS1401肯定)、新規ウィルス添付電子メール特定部13aは、メールアーカイブ情報記憶部12bが記憶する「メールアーカイブ情報」を検査し(ステップS1402)、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定されなかった場合は(ステップS1402否定)、処理を終了する。
これに反して、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定された場合は(ステップS1402肯定)、アカウント情報取得部13bは、特定新規ウィルス添付電子メール記憶部12cが記憶する新規ウィルス添付電子メールの情報からアカウント情報を取得する(ステップS1403)。例えば、図7に示すように、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する。
そして、感染端末特定情報抽出部13cは、取得されたアカウント情報と、「配信要求履歴」とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」を新規ウィルス感染端末特定情報として抽出する(ステップS1404)。具体的には、図9に示すように、「アカウント情報:aaa」を用いて配信要求を行なった端末の「IPアドレス」が「192.168.20.100」であるとする新規ウィルス感染端末特定情報を抽出する。
続いて、メールサーバ10は、新規ウィルス感染端末特定情報として「IPアドレス」をルータ20に送信して(ステップS1405)、処理を終了する。例えば、図10に示すIPパケットを、ルータ20に送信する。
なお、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定された場合は(ステップS1402肯定)、当該新規ウィルス添付電子メールの情報をメールアーカイブ情報記憶部12bが記憶する「メールアーカイブ情報」から削除するようにしてもよいが、本発明はこれに限定されるものではない。
[実施例1におけるルータによる処理の手順]
次に、図15を用いて、実施例1におけるルータ20による処理を説明する。図15は、実施例1におけるルータの処理の手順を説明するための図である。
まず、実施例1におけるルータ20は、メールサーバ10から新規ウィルス感染端末特定情報としてIPアドレスを受信すると(ステップS1501肯定)、感染端末判定部23aは、当該新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、中継する端末に含まれるか否かを判定し(ステップS1502)、新規ウィルス感染端末が、中継する端末に含まれない場合は(ステップS1502否定)、別のルータに、当該新規ウィルス感染端末特定情報を送信する(ステップS1504)。例えば、図12の表に示すルーティングテーブルを参照して、第二ルータに、当該新規ウィルス感染端末特定情報を送信する。
これに反して、新規ウィルス感染端末が、中継する端末に含まれる場合は(ステップS1502肯定)、検疫部23bは、当該新規ウィルス感染端末を前記ネットワークから検疫し(ステップS1503)、処理を終了する。例えば、図13に示すように、「宛先アドレス:192.168.20.0/24」の「NextHop」が「connected」であることから、「IPアドレス:192.168.20.100」の端末が、ルータ20が中継する端末に含まれると判定すると、検疫部23bは、「IPアドレス:192.168.20.100」の端末を、ネットワークから検疫する。具体的には、パケットフィルタリングなどの手法を用いて、「IPアドレス:192.168.20.100」の新規ウィルス感染端末に対し、パケットの送受信を遮断する処理を行う。
なお、その際、検疫対象である端末(「IPアドレス:192.168.20.100」)が搭載するOSのUpdateや「ウィルス定義ファイル」の更新などを行なうための通信のみは、実施可能にしてもよい。また、当該端末から、OSのUpdateや「ウィルス定義ファイル」の更新が終了したことをルータに通知し、ルータは、パケットの送受信を遮断する処理を解除するようにしてもよい。
[実施例1の効果]
上記したように、実施例1によれば、ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、メールサーバ10が記憶する電子メールの情報を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、特定された新規ウィルス添付電子メールのアカウント情報を取得し、取得されたアカウント情報と、メールサーバ10が記憶する配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の端末特定情報を新規ウィルス感染端末特定情報として抽出するので、新規ウィルスに感染した可能性のある端末を特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、実施例1によれば、新規ウィルス感染端末特定情報として、IPアドレスを抽出するので、新規ウィルスに感染した可能性のある端末をIPアドレスによって容易に特定することが可能であり、その結果、メールサーバの管理者は、当該端末を特定して処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、実施例1によれば、抽出された新規ウィルス感染端末特定情報であるIPアドレスを、ルータ20に送信するので、新規ウィルスに感染した可能性のある端末を特定する情報をルータ20が取得することが可能であり、ルータ20が端末に対して検疫機能を備えている場合は、メールサーバの管理者が処理することなく、端末を検疫することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、実施例1によれば、ルータ20は、メールサーバ10から送信された新規ウィルス感染端末特定情報を受信し、受信した新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、当該中継装置の中継する端末に含まれるか否かを判定し、新規ウィルス感染端末が、ルータ20の中継する端末に含まれる場合は、当該新規ウィルス感染端末をネットワークから検疫するので、ルータ20は、メールサーバが抽出した新規ウィルスに感染した可能性のある端末を特定する情報を取得して当該端末を検疫することができ、ウィルスによってネットワークに与えられる被害をより容易に縮小することが可能になる。
上述した実施例1では、メールサーバがひとつの場合について説明したが、実施例2では、メールサーバに他のメールサーバが接続され、そのうちのひとつがメールゲートウェイとして機能する場合について説明する。
[実施例2におけるメールシステムの概要および特徴]
まず最初に、図16〜18を用いて、実施例2におけるメールシステムの主たる特徴を具体的に説明する。図16は、実施例2におけるメールシステムの概要を説明するための図であり、図17および18は、実施例2におけるメールシステムの特徴を説明するための図である。
実施例2におけるメールシステムは、メールゲートウェイと複数のメールサーバとに接続されるメールサーバとルータから構成される。例えば、図16に示すように、メールゲートウェイとして機能する第一メールサーバは、第二メールサーバに接続され、第二メールサーバは、第三メールサーバに接続される。
ここで、図16に示すように、「ドメイン名:jp.xyz.com」を管理する第一メールサーバ(mail1.jp.xyz.com、「IPアドレス:10.10.30.1」)は、メールゲートウェイとして機能し、実施例1におけるメールサーバと同様に、電子メールの情報を「メールアーカイブ情報」に記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた「配信要求履歴」を記憶し、「ウィルス定義ファイル」に基づいて、受信した電子メールを検査する。
また、メールゲートウェイ以外のメールサーバ(図16に示す第二メールサーバおよび第三メールサーバ)は、実施例1におけるメールサーバと同様に、送受信した電子メールの情報を「メールアーカイブ情報」に記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた「配信要求履歴」を記憶するが、「ウィルス定義ファイル」は保持しておらず、受信した電子メールの検査は行わない。
例えば、図16に示す第三メールサーバ(mail3.jp.xyz.com、「IPアドレス:10.10.30.3」)は、メールゲートウェイから第二メールサーバを経由して受信した電子メールおよび内包するネットワークにある端末から受診して送信した電子メールの情報を「メールアーカイブ情報」に記憶し、「アカウント情報:aaa」を持つクライアントが使用する「IPアドレス:192.168.20.100」の端末からの配信要求に応じて、メールサーバは、「aaa@jp.xyz.com」を宛先とする電子メールを当該端末に配信し、「アカウント情報:aaa」と当該端末を特定するための情報である端末特定情報としての「IPアドレス:192.168.20.100」とを対応付けて「配信要求履歴」に記憶する。なお、端末からの配信要求を受け付けた「配信要求時刻」も合わせて記憶する。
さらに、メールサーバと端末との間にはルータが設置され、例えば、図11に示すルータは、サブネットワーク「IPアドレス:192.168.20.0/24」に内包される端末を管理し、スイッチを介して、メールサーバと端末との間での電子メールの送受信を中継する。
まず、実施例2におけるメールシステムを構成するメールゲートウェイは、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する。具体的には、図17に示すように、「ウィルス定義ファイル」に、例えば、セキュリティ会社からインターネットを介して、新規ウィルスの定義が追加されると、メールサーバは、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する。例えば、「aaa@jp.xyz.com」を宛先とする電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)に新規ウィルスが添付されていることを特定する(図17の(1)参照)。
そして、実施例2におけるメールシステムを構成するメールゲートウェイは、特定された新規ウィルス添付電子メールのアカウント情報を取得する。例えば、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する(図17の(2)参照)。
そして、実施例2におけるメールシステムを構成するメールゲートウェイは、参照される「配信要求履歴」にアカウント情報がない場合は、複数のメールサーバに当該アカウント情報を通知する。すなわち、メールゲートウェイの「配信要求履歴」に、「アカウント情報:aaa」からの配信要求履歴がないので(図17の(3)参照)、第二メールサーバや第三メールサーバに「アカウント情報:aaa」を通知する(図18の(4)参照)。例えば、第二メールサーバ(mail2.jp.xyz.com)および第三メールサーバ(mail3.jp.xyz.com)に、図18に示すような電子メールの形式で、「アカウント情報:aaa」を通知する。なお、本実施例では、「メッセージID=AAAAAAAA.11111111@jp.xyz.com」も通知する。ここで、図18に示す電子メールの拡張ヘッダには、端末の検疫要求であることを表すために「X−trans:ON」が記載されている。
そして、実施例2におけるメールシステムを構成するメールサーバは、メールゲートウェイからアカウント情報の通知を受けると、当該アカウント情報を取得し、さらに、「メールアーカイブ情報」を参照して新規ウィルス添付電子メールの受信時刻を取得する。例えば、第三メールサーバは、メールゲートウェイから第二メールサーバを経由して、図18に示す「mail3.jp.xyz.com」宛の電子メールを受信すると(図18の(5)参照)、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を取得し(図18の(6)参照)、「メールアーカイブ情報」を参照して「アカウント情報:aaa」宛の電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)をメールゲートウェイから第二メールサーバを経由して受信した受信時刻が「2006年11月24日金曜日15時40分09秒」であることを取得する(図18の(7)参照)。なお、電子メールの受信時刻は、SMTPの受信ログを参照して取得してもよい。
そして、実施例2におけるメールシステムを構成するメールサーバは、取得したアカウント情報と新規ウィルス添付電子メールの受信時刻とを用いて、配信要求履歴を参照して、新規ウィルス感染端末特定情報であるIPアドレスを抽出する。例えば、第三メールサーバは、図18の表に示す「配信要求履歴」のうち、「2006年11月24日金曜日15時40分09秒」以降の「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求(「配信要求時刻:2006年11月24日金曜日17時00分12秒」)に応じて、当該新規ウィルス添付電子メールを受信した端末の「IPアドレス」が「192.168.20.100」であるとする新規ウィルス感染端末特定情報を抽出する(図18の(8)参照)。
そして、実施例2におけるメールシステムを構成するメールサーバは、実施例1と同様に、抽出された新規ウィルス感染端末特定情報を、ルータに送信し(図3の(4)参照)、実施例2におけるメールシステムを構成するルータは、実施例1と同様に、新規ウィルス感染端末が、自身の中継する端末に含まれる場合は、当該新規ウィルス感染端末を前記ネットワークから検疫する(図3の(7)参照)。
このようなことから、実施例2におけるメールシステムは、メールゲートウェイと複数のメールサーバとが設置されるネットワークにおいて、メールゲートウェイに新規ウィルス添付電子メールの配信要求を行なった端末だけでなく、メールゲートウェイから新規ウィルス添付電子メールを受信したメールサーバに配信要求を行なった端末を新規ウィルスに感染した可能性のある端末として特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
[実施例2におけるメールゲートウェイの構成]
次に、図19〜21を用いて、実施例2におけるメールゲートウェイの構成を説明する。図19は、実施例2におけるメールゲートウェイの構成を示すブロック図であり、図20は、実施例2におけるメールゲートウェイのアカウント情報取得部を説明するための図であり、図21は、実施例2におけるメールゲートウェイからメールサーバへ送信されるアカウント情報を説明するための図である。
図19に示すように、実施例2におけるメールゲートウェイ30は、通信制御部31と、記憶部32と、処理部33とから構成される。
通信制御部31は、ネットワークを通じて送受信されるデータの転送を制御する。具体的には、通信プロトコルであるSMTP/POP3プロトコルによって、電子メールの送受信や、「ウィルス定義ファイル」の受信や、「アカウント情報」の通知や、「新規ウィルス感染端末特定情報」の送信などを行う。ここで、通信制御部31は、特許請求の範囲に記載の「アカウント情報通知手順」および「感染端末特定情報送信手段」に対応する。
記憶部32は、処理部33による各種処理に用いるデータや、処理部33による各種処理結果を記憶し、特に本発明に密接に関連するものとしては、図19に示すように、ウィルス定義ファイル記憶部32aと、メールアーカイブ情報記憶部32bと、特定新規ウィルス添付電子メール記憶部32cと、取得アカウント情報記憶部32dと、配信要求履歴記憶部32eとを備える。ウィルス定義ファイル記憶部32aは、ウィルスの特徴を収録したファイルである「ウィルス定義ファイル」を記憶し、メールアーカイブ情報記憶部32bは、インターネットから受信した電子メールおよび内包するネットワークにある端末から受信して送信した電子メールの情報を記憶し、特定新規ウィルス添付電子メール記憶部32cは、後述する新規ウィルス添付電子メール特定部33aが特定した新規ウィルス添付電子メールの情報を記憶し、取得アカウント情報記憶部32dは、後述するアカウント情報取得部33bが取得した新規ウィルス添付電子メールのアカウント情報を記憶し、配信要求履歴記憶部32eは、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶する。
処理部33は、通信制御部31から転送されたデータと、記憶部32が記憶するデータに基づき各種処理を実行し、特に本発明に密接に関連するものとしては、図19に示すように、新規ウィルス添付電子メール特定部33aと、アカウント情報取得部33bと、感染端末特定情報抽出部33cとを備える。ここで、新規ウィルス添付電子メール特定部33aは、特許請求の範囲に記載の「新規ウィルス添付電子メール特定手順」に対応し、アカウント情報取得部33bは、同じく、「アカウント情報取得手順」に対応し、感染端末特定情報抽出部33cは、同じく、「感染端末特定情報抽出手順」に対応する。
新規ウィルス添付電子メール特定部33aは、実施例1における新規ウィルス添付電子メール特定部13aと同様に、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査する。具体的には、図5に示すように、ウィルス定義ファイル記憶部32aが記憶するウィルス定義(ウィルスパターン1、ウィルスパターン2など)に新規ウィルスの定義(ウィルスパターンN1、ウィルスパターンN2など)が追加されると、電子メールを一意に識別するために付与した「メッセージID」、電子メールをメールサーバが受信した「受信時刻」、「送信元メールアドレス:xxx@yyy.com」および「送信先メールアドレス」を、当該電子メールの「本文」および、当該電子メールに添付された「添付ファイル」と対応付けて記憶するメールアーカイブ情報記憶部32bを検査する。
そして、新規ウィルス添付電子メール特定部33aは、実施例1における新規ウィルス添付電子メール特定部13aと同様に、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、その結果を、特定新規ウィルス添付電子メール記憶部32cに格納する。具体的には、メールアーカイブ情報記憶部32bを検査して、例えば、「aaa@jp.xyz.com」を宛先とする電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)に新規ウィルスが添付されていることを特定する(図17の(1)参照)。
アカウント情報取得部33bは、実施例1におけるアカウント情報取得部13bと同様に、特定新規ウィルス添付電子メール記憶部32cが記憶する新規ウィルス添付電子メールの情報からアカウント情報を取得し、その結果を、取得アカウント情報記憶部32dに格納する。例えば、図20に示すように、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を、「メッセージID:AAAAAAAA.11111111@jp.xyz.com」とともに取得する。
感染端末特定情報抽出部33cは、実施例1における感染端末特定情報抽出部13cと同様に、取得アカウント情報記憶部32dが記憶するアカウント情報と、配信要求履歴記憶部32eが記憶する「配信要求履歴」とを参照して、当該アカウント情報が「配信要求履歴」に含まれる場合は、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」を新規ウィルス感染端末特定情報として抽出するが、参照される「配信要求履歴」にアカウント情報がない場合は、複数のメールサーバに当該アカウント情報を、通信制御部31を介して、通知する。すなわち、配信要求履歴記憶部32eが記憶する「配信要求履歴」に、「アカウント情報:aaa」からの配信要求履歴がない場合は(図17の(3)参照)、第二メールサーバや第三メールサーバに「アカウント情報:aaa」を通知する(図18の(4)参照)。例えば、第三メールサーバ(mail3.jp.xyz.com)に、図21に示すような電子メールの形式で、「アカウント情報:aaa」を通知する。なお、本実施例では、「メッセージID=AAAAAAAA.11111111@jp.xyz.com」も通知する。ここで、図21に示す電子メールの拡張ヘッダには、端末の検疫要求であることを表すために「X−trans:ON」が記載されている。
[実施例2におけるメールサーバの構成]
続いて、図22〜25を用いて、実施例2におけるメールサーバの構成を説明する。図22は、実施例2におけるメールサーバの構成を示すブロック図であり、図23は、実施例2におけるメールサーバのメールアーカイブ情報記憶部を説明するための図であり、図24は、実施例2におけるメールサーバの配信要求履歴記憶部を説明するための図であり、図25は、実施例2におけるメールサーバの感染端末特定情報抽出部を説明するための図である。
図22に示すように、実施例2におけるメールサーバ40は、通信制御部41と、記憶部42と、処理部43とから構成される。
通信制御部41は、ネットワークを通じて送受信されるデータの転送を制御する。具体的には、通信プロトコルであるSMTP/POP3プロトコルによって、電子メールの送受信や、「アカウント情報」の受信や、「新規ウィルス感染端末特定情報」の送信などを行う。
記憶部42は、処理部43による各種処理に用いるデータや、処理部43による各種処理結果を記憶し、特に本発明に密接に関連するものとしては、図22に示すように、メールアーカイブ情報記憶部42aと、受信アカウント情報記憶部42bと、配信要求履歴記憶部42cとを備える。メールアーカイブ情報記憶部42aは、メールゲートウェイ30から受信した電子メールおよび内包するネットワークにある端末から受信して送信した電子メールの情報を記憶し、受信アカウント情報記憶部42bは、メールゲートウェイ30から受信した新規ウィルス添付電子メールのアカウント情報などを記憶し、配信要求履歴記憶部42cは、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶する。
処理部43は、通信制御部41から転送されたデータと、記憶部42が記憶するデータに基づき各種処理を実行し、特に本発明に密接に関連するものとしては、図22に示すように、感染端末特定情報抽出部43aを備える。ここで、感染端末特定情報抽出部43aは、特許請求の範囲に記載の「感染端末特定情報抽出手順」に対応する。
感染端末特定情報抽出部43aは、受信アカウント情報記憶部42bが記憶するメールゲートウェイ30から受信した新規ウィルス添付電子メールのアカウント情報から、当該アカウント情報を取得し、さらに、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」を参照して新規ウィルス添付電子メールの受信時刻を取得する。例えば、メールゲートウェイ30から受信した図21に示す「mail3.jp.xyz.com」宛の電子メールから、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を取得し(図18の(6)参照)、さらに、図23に示す、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」を参照して、「アカウント情報:aaa」宛の電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)をメールゲートウェイ30から受信した受信時刻が「2006年11月24日金曜日15時40分09秒」であることを取得する。なお、電子メールの受信時刻は、SMTPの受信ログを参照して取得してもよい。
そして、感染端末特定情報抽出部43aは、取得したアカウント情報と新規ウィルス添付電子メールの受信時刻とを用いて、配信要求履歴記憶部42cが記憶する「配信要求履歴」を参照して、新規ウィルス感染端末特定情報であるIPアドレスを抽出する。例えば、図24に示す配信要求履歴記憶部42cが記憶する「配信要求履歴」のうち、「2006年11月24日金曜日15時40分09秒」以降の「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求(「配信要求時刻:2006年11月24日金曜日17時00分12秒」)に応じて、当該新規ウィルス添付電子メールを受信した端末の「IPアドレス」が「192.168.20.100」であるとする新規ウィルス感染端末特定情報を抽出する(図25参照)。
メールサーバ40は、実施例1のメールサーバ10と同様に、通信制御部41を介して、抽出された新規ウィルス感染端末特定情報を、ルータ20に送信し(図3の(4)参照)、ルータ20は、実施例1と同様に、新規ウィルス感染端末が、自身の中継する端末に含まれる場合は、当該新規ウィルス感染端末を前記ネットワークから検疫する(図3の(7)参照)。
なお、実施例2におけるルータの構成および各部の機能は、図11を用いて上述した実施例1におけるルータの構成および各部の機能と同様であるので、説明を省略する。
[実施例2におけるメールゲートウェイによる処理の手順]
次に、図26を用いて、実施例2におけるメールゲートウェイ30による処理を説明する。図26は、実施例2におけるメールゲートウェイの処理の手順を説明するための図である。
まず、実施例2におけるメールゲートウェイ30は、ウィルス定義ファイル記憶部32aが記憶する「ウィルス定義ファイル」に「新規ウィルスの定義」が追加されると(ステップS2601肯定)、新規ウィルス添付電子メール特定部33aは、メールアーカイブ情報記憶部32bが記憶する「メールアーカイブ情報」を検査し(ステップS2602)、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定されなかった場合は(ステップS2602否定)、処理を終了する。
これに反して、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定された場合は(ステップS2602肯定)、アカウント情報取得部33bは、特定新規ウィルス添付電子メール記憶部32cが記憶する新規ウィルス添付電子メールの情報からアカウント情報を取得する(ステップS2603)。例えば、図20に示すように、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を、「メッセージID:AAAAAAAA.11111111@jp.xyz.com」とともに取得する。
そして、感染端末特定情報抽出部33cは、取得されたアカウント情報と、配信要求履歴記憶部32eが記憶する「配信要求履歴」とを参照し(ステップS2604)、当該新規ウィルス添付電子メールの配信要求を行なった端末の新規ウィルス感染端末特定情報である「IPアドレス」が抽出された場合は(ステップS2604肯定)、メールゲートウェイ30は、抽出された新規ウィルス感染端末特定情報を、自身に直接接続されるルータに送信して(ステップS2605)、処理を終了する。
これに反して、新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」が新規ウィルス感染端末特定情報として抽出されなかった場合は(ステップS2604否定)、メールゲートウェイ30は、メールサーバ40に「アカウント情報:aaa」を、「メッセージID:AAAAAAAA.11111111@jp.xyz.com」とともに通知して(ステップS2606)、処理を終了する。例えば、図21に示すような電子メールの形式で、「アカウント情報:aaa」を「メッセージID=AAAAAAAA.11111111@jp.xyz.com」とともに通知する。
なお、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定された場合は(ステップS2602肯定)、当該新規ウィルス添付電子メールの情報をメールアーカイブ情報記憶部32bが記憶する「メールアーカイブ情報」から削除するようにしてもよいが、本発明はこれに限定されるものではない。
[実施例2におけるメールサーバによる処理の手順]
次に、図27を用いて、実施例2におけるメールサーバ40による処理を説明する。図27は、実施例2におけるメールサーバの処理の手順を説明するための図である。
まず、実施例2におけるメールサーバ40は、メールゲートウェイ30から「アカウント情報」を受信すると(ステップS2701肯定)、感染端末特定情報抽出部43aは、アカウント情報を取得し、さらに、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」を参照して新規ウィルス添付電子メールの受信時刻を取得する(ステップS2702)。
例えば、メールゲートウェイ30から受信した図21に示す「mail3.jp.xyz.com」宛の電子メールから、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を取得し(図18の(6)参照)、さらに、図23に示す、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」を参照して、「アカウント情報:aaa」宛の電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)をメールゲートウェイ30から受信した受信時刻が「2006年11月24日金曜日15時40分09秒」であることを取得する。
そして、感染端末特定情報抽出部43aは、「アカウント情報」と「受信時刻」を用いて、「配信要求履歴」を参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」を新規ウィルス感染端末特定情報として抽出する(ステップS2703)。例えば、図24に示す配信要求履歴記憶部42cが記憶する「配信要求履歴」のうち、「2006年11月24日金曜日15時40分09秒」以降の「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求(「配信要求時刻:2006年11月24日金曜日17時00分12秒」)に応じて、当該新規ウィルス添付電子メールを受信した端末の「IPアドレス」が「192.168.20.100」であるとする新規ウィルス感染端末特定情報を抽出する(図25参照)。
そして、実施例2におけるメールサーバ40は、抽出された新規ウィルス感染端末特定情報を、自身に直接接続されるルータ20に送信して(ステップS2704)、処理を終了する。
なお、実施例2におけるルータ20の処理の手順は、図15を用いて上述した実施例1におけるルータ20の処理の手順と同様であるので、説明を省略する。
[実施例2の効果]
上記したように、実施例2によれば、メールゲートウェイ30によって参照される配信要求履歴に、アカウント情報がない場合は、メールサーバ40に当該アカウント情報を通知し、メールサーバ40は、メールゲートウェイ30からアカウント情報の通知を受けた場合に、当該アカウント情報を用いて新規ウィルス感染端末特定情報を抽出するので、メールゲートウェイと複数のメールサーバとが設置されるネットワークにおいて、メールゲートウェイに新規ウィルス添付電子メールの配信要求を行なった端末だけでなく、メールゲートウェイから新規ウィルス添付電子メールを受信したメールサーバに配信要求を行なった端末を新規ウィルスに感染した可能性のある端末として特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
また、実施例2によれば、メールサーバ30は、メールアーカイブ情報に電子メールを受信した受信時刻を記憶し、特定された新規ウィルス添付電子メールの受信時刻をさらに参照して、新規ウィルス感染端末特定情報としてIPアドレスを抽出するので、例えば、メールサーバが新規ウィルス添付電子メールを受信した時刻以降の配信要求履歴のみを参照して、新規ウィルスに感染した可能性のある端末を効率的に特定することが可能であり、その結果、メールサーバの管理者は当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
上述した実施例2では、配信要求履歴を参照して新規ウィルス感染端末特定情報が抽出された場合に、ルータに当該新規ウィルス感染端末特定情報を送信するメールサーバについて説明したが、実施例3では、配信要求履歴を参照して新規ウィルス感染端末特定情報が抽出されなかった場合には、新規ウィルス添付電子メールの情報を削除するメールサーバについて説明する。
[実施例3におけるメールシステムの概要および特徴]
まず最初に、図28を用いて、実施例3におけるメールシステムの主たる特徴を具体的に説明する。図28は、実施例3におけるメールシステムの概要および特徴を説明するための図である。
実施例3におけるメールシステムは、実施例2におけるメールシステムと同様に、メールゲートウェイと複数のメールサーバとに接続されるメールサーバとルータから構成される。例えば、図28に示すように、第三メールサーバは、メールゲートウェイとして機能する第一メールサーバと、第二メールサーバを経由して接続される。
まず、実施例3におけるメールシステムを構成するメールゲートウェイは、実施例2と同様に、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定し、特定された新規ウィルス添付電子メールのアカウント情報を取得し、参照される「配信要求履歴」にアカウント情報がない場合は、複数のメールサーバに当該アカウント情報を通知する(図17の(1)〜(3)および図18の(4)参照)。例えば、第二メールサーバ(mail2.jp.xyz.com)および第三メールサーバ(mail3.jp.xyz.com)に、図21に示すような電子メールの形式で、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を通知する。
そして、実施例3におけるメールシステムを構成する複数のメールサーバは、実施例2と同様に、メールゲートウェイからアカウント情報の通知を受けると、当該アカウント情報を取得し、さらに、「メールアーカイブ情報」を参照して新規ウィルス添付電子メールの受信時刻を取得する。例えば、第三メールサーバは、メールゲートウェイから第二メールサーバを経由して、図28に示す「mail3.jp.xyz.com」宛の電子メールを受信すると(図28の(1)参照)、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を取得し(図28の(2)参照)、「メールアーカイブ情報」を参照して「アカウント情報:aaa」宛の電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)をメールゲートウェイから第二メールサーバを経由して受信した受信時刻が「2006年11月24日金曜日15時40分09秒」であることを取得する(図28の(3)参照)。
そして、実施例3におけるメールシステムを構成するメールサーバは、取得したアカウント情報と新規ウィルス添付電子メールの受信時刻とを用いて、配信要求履歴を参照して、新規ウィルス感染端末特定情報であるIPアドレスを抽出するが、配信要求履歴に当該新規ウィルス添付電子メールをメールサーバがメールゲートウェイから受信した受信時刻以降、当該アカウント情報を有する端末が配信要求を行なった履歴がない場合は、メールサーバが記憶する「メールアーカイブ情報」から当該新規ウィルス添付電子メールの情報を削除する。
すなわち、「配信要求履歴」のうち、「2006年11月24日金曜日15時40分09秒」以降の「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求がない場合は(図28の(4)参照)、第三メールサーバは、「メールアーカイブ情報」から「アカウント情報:aaa」宛の電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)の情報を削除する(図28の(5)参照)。
このようなことから、実施例3におけるメールシステムは、新規ウィルス添付電子メールが端末へ配信されることを回避でき、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
[実施例3におけるメールサーバの構成]
次に、図22を用いて、実施例3におけるメールサーバの構成を説明する。なお、実施例3におけるメールゲートウェイ30の構成および各部の機能は、図19を用いて上述した実施例2におけるメールゲートウェイ30の構成および各部の機能と同様であるので、説明を省略する。図22は、実施例2におけるメールサーバの構成を示すブロック図である。
図22に示すように、実施例3におけるメールサーバ40は、実施例2におけるメールサーバ40と同様の構成であるが、感染端末特定情報抽出部43aの処理内容が異なる。以下、これを中心に説明する。
感染端末特定情報抽出部43aは、受信アカウント情報記憶部42bが記憶するメールゲートウェイ30から受信した新規ウィルス添付電子メールのアカウント情報から、当該アカウント情報を取得し、さらに、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」を参照して新規ウィルス添付電子メールの受信時刻を取得する。例えば、図28に示すように、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を取得し、受信時刻が「2006年11月24日金曜日15時40分09秒」を取得する。なお、電子メールの受信時刻は、SMTPの受信ログを参照して取得してもよい。
そして、感染端末特定情報抽出部43aは、取得したアカウント情報と新規ウィルス添付電子メールの受信時刻とを用いて、配信要求履歴記憶部42cが記憶する「配信要求履歴」を参照して、新規ウィルス感染端末特定情報であるIPアドレスを抽出するが、配信要求履歴に当該新規ウィルス添付電子メールをメールサーバがメールゲートウェイから受信した受信時刻以降、当該アカウント情報を有する端末が配信要求を行なった履歴がない場合は、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」から当該新規ウィルス添付電子メールの情報を削除する。例えば、配信要求履歴記憶部42cが記憶する「配信要求履歴」のうち、「2006年11月24日金曜日15時40分09秒」以降の「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求がない場合は(図28の(4)参照)、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」から「アカウント情報:aaa」宛の電子メール(メッセージID=AAAAAAAA.11111111@jp.xyz.com)の情報を削除する(図28の(5)参照)。
[実施例3におけるメールサーバによる処理の手順]
次に、図29を用いて、実施例3におけるメールサーバ40による処理を説明する。なお、実施例3におけるメールゲートウェイ30による処理の手順は、図26を用いて上述した実施例2におけるメールゲートウェイ30による処理の手順と同様であるので、説明を省略する。図29は、実施例3におけるメールサーバの処理の手順を説明するための図である。
まず、実施例3におけるメールサーバ40は、メールゲートウェイ30から「アカウント情報」を受信すると(ステップS2901肯定)、感染端末特定情報抽出部43aは、アカウント情報を取得し、さらに、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」を参照して新規ウィルス添付電子メールの受信時刻を取得する(ステップS2902)。例えば、図28に示すように、「アカウント情報:aaa」および「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を取得し、受信時刻が「2006年11月24日金曜日15時40分09秒」を取得する。
そして、感染端末特定情報抽出部43aは、「アカウント情報」と「受信時刻」を用いて、「配信要求履歴」を参照し(ステップS2903)、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」を新規ウィルス感染端末特定情報として抽出された場合は(ステップS2903肯定)、メールサーバ40は、抽出された新規ウィルス感染端末特定情報を、自身に直接接続されるルータ20に送信して(ステップS2904)、処理を終了する。
これに反して、当該新規ウィルス添付電子メールの配信要求を行なった端末の「IPアドレス」が抽出されなかった場合は(ステップS2903否定)、感染端末特定情報抽出部43aは、メールアーカイブ情報記憶部42aが記憶する「メールアーカイブ情報」から当該新規ウィルス添付電子メールの情報を削除して(ステップS2905)、処理を終了する。例えば、図28に示すように、「メールアーカイブ情報」を参照して「アカウント情報:aaa」宛の電子メール「メッセージID=AAAAAAAA.11111111@jp.xyz.com」を受信した受信時刻(2006年11月24日金曜日15時40分09秒)以降、「アカウント情報:aaa」から配信要求を行なった履歴がないので、メールサーバが記憶する「メールアーカイブ情報」から当該新規ウィルス添付電子メールの情報を削除する。
[実施例3の効果]
上記したように、実施例3によれば、新規ウィルス添付電子メールをメールサーバ40が受信した受信時刻以降、アカウント情報を有する端末が配信要求を行なった履歴が配信要求履歴にない場合は、メールサーバ40が記憶するメールアーカイブ情報から当該新規ウィルス添付電子メールの情報を削除するので、新規ウィルス添付電子メールが端末へ配信されることを回避でき、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
上述した実施例1〜3では、端末特定情報であるIPアドレスが固定されている場合について説明したが、実施例4では、ネットワークに接続するたびに、端末特定情報であるIPアドレスが変更される場合について説明する。
[実施例4におけるメールシステムの概要および特徴]
まず最初に、図30〜32を用いて、実施例4におけるメールシステムの主たる特徴を具体的に説明する。図30は、実施例4におけるメールシステムの概要を説明するための図であり、図31および図32は、実施例4におけるメールシステムの特徴を説明するための図である。
実施例4におけるメールシステムは、実施例1と同様、図30に示すように、電子メールの情報を「メールアーカイブ情報」に記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた「配信要求履歴」を記憶し、「ウィルス定義ファイル」に基づいて、受信した電子メールを検査するメールサーバと、メールサーバと端末との間で電子メールの送受信を中継するルータ(例えば、ブロードバンドルータ)とから構成される。
一方、実施例4におけるメールシステムを構成するメールサーバは、端末を操作するクライアントを特定できるクライアント特定情報である「認証アカウント」を用いて、端末からのネットワークへの接続を認証するたびに、端末に端末特定情報である「IPアドレス」を発行し、「認証アカウント」と「IPアドレス」とを対応付けた「アクセス管理情報」を記憶する認証サーバと接続される。なお、「認証アカウント」は、特許請求の範囲に記載の「クライアント特定情報」に対応する。
具体的には、図30に示すように、例えば、ブロードバンドルータであるルータが内包するネットワークにある端末を所有し「認証アカウント:AA」であるクライアントがインターネットに接続する際に、「ドメイン名:jp.xyz.com」を管理するメールサーバと接続する認証サーバに対し、「認証アカウント:AA」および適切なパスワードを通知すると、認証サーバは、これを認証して端末に端末特定情報である「IPアドレス:192.168.20.15」を発行し、「認証アカウント」と「IPアドレス」とを対応付けた「アクセス管理情報」を記憶する。例えば、図30に示すように、「認証アカウント」と「IPアドレス」と「認証時刻」とを、「Account−Name:“AA”、IP−Adress:192.168.20.15、Fri Nov 24 15:40:09 2006」と記憶する。
実施例4におけるメールシステムを構成するメールサーバは、「認証アカウント:AA、アカウント情報:aaa」であるクライアントが所有し、「IPアドレス:192.168.20.15」が割り振られた端末からの配信要求に応じて、「aaa@jp.xyz.com」を宛先とする電子メールを、ルータを介して、当該端末に配信する。
それとともに、実施例4におけるメールシステムを構成するメールサーバは、図30に示すように、「aaa@jp.xyz.com」と当該端末を特定するための情報である端末特定情報として「IPアドレス:192.168.20.100」とを対応付けて「配信要求履歴」に記憶する。なお、端末からの配信要求を受け付けた「配信要求時刻:2006年11月24日金曜日15時42分12秒」も合わせて記憶する。
そして、実施例4におけるメールシステムを構成するメールサーバは、実施例1と同様に、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する。
具体的には、図31の(A)に示すように、「ウィルス定義ファイル」に、新規ウィルスの定義が追加されると、メールサーバは、「メールアーカイブ情報」を検査して新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する。例えば、「aaa@jp.xyz.com」を宛先とする電子メールに新規ウィルスが添付されていることを特定する(図31の(A)の(1)参照)。
そして、実施例4におけるメールシステムを構成するメールサーバは、実施例1と同様に、特定された新規ウィルス添付電子メールのアカウント情報を取得する。例えば、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する(図31の(A)の(2)参照)。
そして、実施例4におけるメールシステムを構成するメールサーバは、新規ウィルス添付電子メールの配信要求を行った際に認証サーバが端末に発行した「IPアドレス」と、当該端末が当該新規ウィルス添付電子メールの配信要求を行った配信要求時刻とを「配信要求履歴」から抽出する。
具体的には、図30に示す「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求に応じて、当該新規ウィルス添付電子メールを受信した端末の「IPアドレス:192.168.20.15」と、「配信要求時刻:2006年11月24日金曜日15時42分12秒」とを抽出する(図31の(A)の(3)参照)。
そして、実施例4におけるメールシステムを構成するメールサーバは、現時点での「IPアドレス」の探索を要求するために、抽出された「IPアドレス」と「配信要求時刻」とを認証サーバに送信する。すなわち、「IPアドレス:192.168.20.15」と、「配信要求時刻:2006年11月24日金曜日15時42分12秒」とを認証サーバに送信する(図31の(B)の(4)参照)。
そして、実施例4におけるメールシステムを構成する認証サーバは、メールサーバが送信した「IPアドレス」と「配信要求時刻」を受信し(図31の(B)の(5)参照)、受信した『「IPアドレス」および「配信要求時刻」』と「アクセス管理情報」とを参照して、新規ウィルス添付電子メールを受信した端末に対応する「認証アカウント」を抽出する。
具体的には、配信要求時刻以前の「アクセス管理情報」から、「IPアドレス」が発行された「認証アカウント」を抽出する。例えば、図30に示す「アクセス管理情報」から、配信要求時刻「2006年11月24日金曜日15時42分12秒」以前の「2006年11月24日金曜日15時40分09秒」に、「IPアドレス:192.168.20.15」が発行された「認証アカウント:AA」を抽出する(図31の(B)の(6)参照)。
そして、実施例4におけるメールシステムを構成する認証サーバは、当該「認証アカウント」を認証して新たなIPアドレスが端末に発行されている場合は、当該新たなIPアドレスを新規ウィルス感染端末特定情報として抽出する。
例えば、図31の(B)に示すように、現時点(例えば、2006年11月27日月曜日12時12分00秒)での「アクセス管理情報」を参照して、「Account−Name:“AA”、IP−Adress:192.168.20.100、Mon Nov 27 12:10:05 2006」を検出し、「認証アカウント:AA」を認証して新たなIPアドレス(192.168.20.100)が「2006年11月27日月曜日12時10分05秒」に端末に発行されているので、「IPアドレス:192.168.20.100」を新規ウィルス感染端末特定情報として抽出する(図31の(B)の(7)参照)。
そして、実施例4におけるメールシステムを構成する認証サーバは、メールサーバに新規ウィルス感染端末特定情報をメールサーバに送信し、メールサーバは、受信した新規ウィルス感染端末特定情報を抽出してブロードバンドルータに送信し、ブロードバンドルータは、実施例1と同様に、新規ウィルス感染端末が、自身の中継する端末に含まれる場合は、当該新規ウィルス感染端末を前記ネットワークから検疫する。
すなわち、図32に示すように、認証サーバからメールサーバを経由して「IPアドレス:192.168.20.100」を受信したブロードバンドルータは、実施例1と同様に、中継する端末に「IPアドレス:192.168.20.100」含まれる場合は、当該新規ウィルス感染端末を前記ネットワークから検疫する。
このようなことから、実施例4におけるメールシステムは、ISDNやADSLなど、インターネットプロバイダを経由してインターネットに接続するたびにIPアドレスが変更するネットワークであっても、認証サーバが抽出した情報を元に新規ウィルスに感染した可能性のある端末を特定することが可能であり、その結果、メールサーバの管理者は、当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
[実施例4におけるメールサーバの構成]
次に、図4および図33を用いて、実施例4におけるメールサーバの構成を説明する。図4は、実施例1におけるメールサーバの構成を示すブロック図であり、図33は、実施例4におけるメールサーバの感染端末特定情報抽出部を説明するための図である。
図4に示すように、実施例4におけるメールサーバ10は、実施例1におけるメールサーバ10と同様の構成であるが、通信制御部11と、感染端末特定情報抽出部13cとの処理内容が異なる。以下、これを中心に説明する。
通信制御部11は、ネットワークを通じて送受信されるデータの転送を制御する。具体的には、通信プロトコルであるSMTP/POP3プロトコルによって、電子メールの送受信や、「新規ウィルスの定義」の受信や、認証サーバとの通信や、「新規ウィルス感染端末特定情報」の送信などを行う。
実施例1と同様に、新規ウィルス添付電子メール特定部13aは、「ウィルス定義ファイル」に新規ウィルスの定義が追加された場合に、「メールアーカイブ情報」を検査して新規ウィルス添付電子メールを特定し、アカウント情報取得部13bは、当該新規ウィルス添付電子メールから「アカウント情報」を取得する。例えば、新規ウィルス添付電子メール特定部13aは、「送信先メールアドレス:aaa@jp.xyz.com」である新規ウィルス添付電子メールを特定し、アカウント情報取得部13bは、当該新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する。
感染端末特定情報抽出部13cは、取得アカウント情報記憶部12dが記憶するアカウント情報と、配信要求履歴記憶部12eが記憶する「配信要求履歴」とを参照し、新規ウィルス添付電子メールの配信要求を行った際に認証サーバが端末に発行した「IPアドレス」と、当該端末が当該新規ウィルス添付電子メールの配信要求を行った「配信要求時刻」とを「配信要求履歴」から抽出する。
具体的には、図33に示すように、「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求に応じて、当該新規ウィルス添付電子メールを受信した端末の「IPアドレス:192.168.20.15」と、「配信要求時刻:2006年11月24日金曜日15時42分12秒」とを抽出する。
通信制御部11は、感染端末特定情報抽出部13cが取得した「IPアドレス」と「配信要求時刻」とを、現時点での「IPアドレス」の探索を要求するために、認証サーバに送信する。
また、通信制御部11は、認証サーバが抽出した新規ウィルス感染端末特定情報である「IPアドレス」を受信して抽出し、当該「IPアドレス」をルータ20に送信する。
[実施例4における認証サーバの構成]
続いて、図34〜36を用いて、実施例4におけるメールサーバの構成を説明する。図34は、実施例4における認証サーバの構成を示すブロック図であり、図35は、アクセス管理情報記憶部を説明するための図であり、図36は、実施例4における認証サーバの感染端末特定情報抽出部を説明するための図である。
図34に示すように、実施例4における認証サーバ50は、通信制御部51と、記憶部52と、処理部53とから構成される。
通信制御部51は、端末からの「認証アカウント」の受信や、メールサーバ10からの「IPアドレス」および「配信要求時刻」の受信や、メールサーバ10への「新規ウィルス感染端末特定情報」の送信などを行なう。
記憶部52は、処理部53による各種処理に用いるデータを記憶し、特に本発明に密接に関連するものとしては、図34に示すように、アクセス管理情報記憶部52aを備える。
アクセス管理情報記憶部52aは、認証サーバ50が、端末を操作するクライアントから「認証アカウント」を受信して、当該端末に発行した「IPアドレス」を「アクセス管理情報」として記憶する。例えば、図35に示すように、端末からの「認証アカウント:AA」を認証して、当該端末に「IPアドレス:192.168.20.15」を発行し、その「認証時刻」が「2006年11月24日金曜日15時40分09秒」であるとする情報を対応付けて記憶する。
処理部53は、通信制御部51から転送されたデータと、記憶部52が記憶するデータに基づき各種処理を実行し、特に本発明に密接に関連するものとしては、図34に示すように、感染端末特定情報抽出部53aを備える。
感染端末特定情報抽出部53aは、メールサーバ10から受信した「IPアドレス」および「配信要求時刻」と、アクセス管理情報記憶部52aが記憶する「アクセス管理情報」とを参照して、新規ウィルス添付電子メールを受信した端末に対応する「認証アカウント」を抽出する。
具体的には、配信要求時刻以前の「アクセス管理情報」から、「IPアドレス」が発行された「認証アカウント」を抽出する。例えば、図36に示すように、「配信要求時刻:2006年11月24日金曜日15時42分12秒」および「IPアドレス:192.168.20.15」を用いて配信要求時刻以前の「アクセス管理情報」を参照し(図36の(1)参照)、配信要求時刻以前の「2006年11月24日金曜日15時40分09秒」に、「IPアドレス:192.168.20.15」が発行された「認証アカウント:AA」を抽出する(図36の(2)参照)。
そして、感染端末特定情報抽出部53aは、当該「認証アカウント」を認証して新たなIPアドレスが端末に発行されている場合は、当該新たなIPアドレスを新規ウィルス感染端末特定情報として抽出する。
例えば、図36に示すように、現時点(例えば、2006年11月27日月曜日12時12分00秒)での「アクセス管理情報」を参照して、「認証アカウント:AA」に新たなIPアドレスが発行されているかを検索し(図36の(3)参照)、「Account−Name:“AA”、IP−Adress:192.168.20.100、Mon Nov 27 12:10:05 2006」の情報を検出し、「IPアドレス:192.168.20.100」を新規ウィルス感染端末特定情報として抽出する(図36の(4)参照)。
認証サーバ50は、感染端末特定情報抽出部53aが抽出した新規ウィルス感染端末特定情報を、メールサーバ10に送信する。例えば、新規ウィルス感染端末特定情報として「IPアドレス:192.168.20.100」を送信する。
なお、実施例4におけるルータの構成および各部の機能は、図11を用いて上述した実施例1におけるルータの構成および各部の機能と同様であるので、説明を省略する。
[実施例4におけるメールサーバによる処理の手順]
次に、図37を用いて、実施例4におけるメールサーバ10による処理を説明する。図37は、実施例4におけるメールサーバの処理の手順を説明するための図である。
まず、実施例1におけるメールサーバ10は、ウィルス定義ファイル記憶部12aが記憶する「ウィルス定義ファイル」に「新規ウィルスの定義」が追加されると(ステップS3701肯定)、新規ウィルス添付電子メール特定部13aは、メールアーカイブ情報記憶部12bが記憶する「メールアーカイブ情報」を検査し(ステップS3702)、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定されなかった場合は(ステップS3702否定)、処理を終了する。
これに反して、新規ウィルスが添付された電子メールである新規ウィルス添付電子メールが特定された場合は(ステップS3702肯定)、アカウント情報取得部13bは、特定新規ウィルス添付電子メール記憶部12cが記憶する新規ウィルス添付電子メールの情報からアカウント情報を取得する(ステップS3703)。例えば、特定された新規ウィルス添付電子メールから、「アカウント情報:aaa」を取得する(図31の(2)参照)。
そして、感染端末特定情報抽出部13cは、取得されたアカウント情報と、配信要求履歴記憶部12eが記憶する「配信要求履歴」とを参照し、新規ウィルス添付電子メールの配信要求を行った際に認証サーバが端末に発行した「IPアドレス」と、当該端末が当該新規ウィルス添付電子メールの配信要求を行った「配信要求時刻」とを「配信要求履歴」から抽出する(ステップS3704)。具体的には、図33に示すように、「配信要求履歴」を参照して、「アカウント情報:aaa」からの配信要求に応じて、当該新規ウィルス添付電子メールを受信した端末の「IPアドレス:192.168.20.15」と、「配信要求時刻:2006年11月24日金曜日15時42分12秒」とを抽出する。
続いて、メールサーバ10は、感染端末特定情報抽出部13cが取得した「IPアドレス」と「配信要求時刻」とを認証サーバに送信する(ステップS3705)。
そののち、メールサーバ10は、認証サーバ50から新規ウィルス感染端末特定情報として新たなIPアドレスを受信すると(ステップS3706肯定)、ルータ20に、新規ウィルス感染端末特定情報として抽出した当該新たなIPアドレスをルータ20に送信して(ステップS3707)、処理を終了する。
[実施例4におけるメールサーバによる処理の手順]
次に、図38を用いて、実施例4における認証サーバ50による処理を説明する。図38は、実施例4における認証サーバの処理の手順を説明するための図である。
まず、実施例4における認証サーバ50は、メールサーバ10から、「IPアドレス」および「配信要求時刻」を受信すると(ステップS3801肯定)、感染端末特定情報抽出部53aは、受信した「IPアドレス」および「配信要求時刻」と、アクセス管理情報記憶部52aが記憶する「アクセス管理情報」とを参照して、新規ウィルス添付電子メールを受信した端末に対応する「認証アカウント」を抽出する(ステップS3802)。
例えば、図36に示すように、「配信要求時刻:2006年11月24日金曜日15時42分12秒」および「IPアドレス:192.168.20.15」を用いて配信要求時刻以前の「アクセス管理情報」を参照し(図36の(1)参照)、配信要求時刻以前の「2006年11月24日金曜日15時40分09秒」に、「IPアドレス:192.168.20.15」が発行された「認証アカウント:AA」を抽出する(図36の(2)参照)。
そして、感染端末特定情報抽出部53aは、当該「認証アカウント」を認証して新たなIPアドレスが端末に発行されている場合は(ステップS3803肯定)、当該新たなIPアドレスを新規ウィルス感染端末特定情報として抽出する(ステップS3804)。
例えば、図36に示すように、現時点(例えば、2006年11月27日月曜日12時12分00秒)での「アクセス管理情報」を参照して、「認証アカウント:AA」に新たなIPアドレスが発行されているかを検索し(図36の(3)参照)、「IPアドレス:192.168.20.100」を新規ウィルス感染端末特定情報として抽出する(図36の(4)参照)。
続いて、認証サーバ50は、感染端末特定情報抽出部53aが抽出した新規ウィルス感染端末特定情報をメールサーバ10に送信して(ステップS3805)、処理を終了する。例えば、新規ウィルス感染端末特定情報として「IPアドレス:192.168.20.100」を送信する。
なお、実施例4におけるルータ20の処理の手順は、図15を用いて上述した実施例1におけるルータ20の処理の手順と同様であるので、説明を省略する。
[実施例4の効果]
上記したように、実施例4によれば、メールサーバ10は、端末を操作するクライアントを特定できるアカウント情報を用いて、端末からのネットワークへの接続を認証するたびに、端末にIPアドレスを発行し、アカウント情報とIPアドレスとを対応付けたアクセス管理情報を記憶する認証サーバ50と接続され、認証サーバ50に「現時点でのIPアドレス」の探索の要求を送信し、認証サーバ50から受信した「現時点でのIPアドレス」を新規ウィルス感染端末特定情報として抽出するので、ISDNやADSLなど、インターネットプロバイダを経由してインターネットに接続するたびにIPアドレスが変更するネットワークであっても、認証サーバが抽出した情報を元に新規ウィルスに感染した可能性のある端末を特定することが可能であり、その結果、メールサーバの管理者は、当該端末を処理することができ、ウィルスによってネットワークに与えられる被害を縮小することが可能になる。
さて、これまで実施例1〜4におけるメールシステムについて説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてもよいものである。そこで、以下では、実施例5におけるメールシステムとして、種々の異なる実施例を(1)〜(3)に区分けして説明する。
(1)新規感染端末特定情報の送信
上記の実施例1では、メールサーバから送信された新規感染端末特定情報をルータが受信して、内包するサブネットワーク内に対応する端末がないと判定すると、別のルータに当該新規感染端末特定情報を転送する場合について説明したが、本発明はこれに限定されるものではなく、メールサーバがすべてのルータに新規感染端末特定情報を一斉に送信する場合であってもよい。
また、上記の実施例1では、新規感染端末特定情報であるIPアドレスを、IPヘッダとデータに重複させて指定するIPパケットをルータに送信する場合について説明したが、本発明はこれに限定されるものではなく、IPヘッダのみに新規感染端末特定情報であるIPアドレスを指定するIPパケットをルータに送信する場合であってもよい。
(2)システム構成等
また、上記の実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動でおこなうこともでき(例えば、新規ウィルスの定義が追加された場合、自動的にメールアーカイブ情報の検査を開始するのではなく、メールサーバの管理者が検査の開始を指示するなど)、あるいは、手動的におこなうものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文章中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各処理部および各記憶部の分散・統合の具体的形態(例えば、図4の形態など)は図示のものに限られず、例えば、アカウント情報取得部13bと感染端末特定情報抽出部13cとを統合するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(3)端末特定プログラム
ところで上記の実施例1〜4では、ハードウェアロジックによって各種の処理を実現する場合を説明したが、本発明はこれに限定されるものではなく、あらかじめ用意されたプログラムをコンピュータで実行するようにしてもよい。そこで以下では、図39を用いて、上記の実施例1に示したメールシステムを構成するメールサーバ10と同様の機能を有する端末特定プログラムを実行するコンピュータの一例を説明する。図39は、実施例1における端末特定プログラムを実行するコンピュータを示す図である。
図39に示すように、情報処理装置としてのコンピュータ390は、キーボード391、ディスプレイ392、CPU393、ROM394、HDD395、RAM396および通信制御部11をバス397などで接続して構成され、さらに、ルータ20に接続される。
ROM394には、上記の実施例1に示したメールサーバ10と同様の機能を発揮する端末特定プログラム、つまり、図39に示すように、新規ウィルス添付電子メール特定プログラム394a、アカウント情報取得プログラム394b、感染端末特定情報抽出プログラム394cが予め記憶されている。なお、これらのプログラム394a〜394cについては、図4に示したメールサーバ10の各構成要素と同様、適宜統合または分散してもよい。
そして、CPU393が、これらのプログラム394a〜394cをROM394から読みだして実行することで、図39に示すように、各プログラム394a〜394cは、新規ウィルス添付電子メール特定プロセス393a、アカウント情報取得プロセス393b、感染端末特定情報抽出プロセス393cとして機能するようになる。なお、各プロセス393a〜393cは、図4に示した、新規ウィルス添付電子メール特定部13a、アカウント情報取得部13b、感染端末特定情報抽出部13cにそれぞれ対応する。
また、HDD395には、図39に示すように、ウィルス定義ファイルデータ395aと、メールアーカイブ情報データ395bと、配信要求履歴データ395cとが設けられる。このウィルス定義ファイルデータ395aは、図4に用いたウィルス定義ファイル記憶部12aに対応し、メールアーカイブ情報データ395bは、メールアーカイブ情報記憶部12bに対応し、配信要求履歴データ395cは、配信要求履歴記憶部12eに対応する。そしてCPU393は、ウィルス定義ファイルデータ396aをウィルス定義ファイルデータ395aに対して登録し、メールアーカイブ情報データ396bをメールアーカイブ情報データ395bに対して登録し、配信要求履歴データ396eを配信要求履歴データ395cに対して登録し、このウィルス定義ファイルデータ396aと、メールアーカイブ情報データ396bと、配信要求履歴データ396eを読み出してRAM396に格納し、RAM396に格納されたウィルス定義ファイルデータ396aと、メールアーカイブ情報データ396bと、特定新規ウィルス添付電子メールデータ396cと、取得アカウント情報データ396dと、配信要求履歴データ396eとに基づいて端末特定処理を実行する。
なお、上記した各プログラム394a〜394cについては、必ずしも最初からROM394に記憶させておく必要はなく、例えばコンピュータ390に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータ390の内外に備えられるHDDなどの「固定用物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ390に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ390がこれらから各プログラムを読み出して実行するようにしてもよい。
(付記1)電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバとしてのコンピュータに、ウィルス定義ファイルに基づいて前記電子メールを検査し、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定する端末特定方法を実行させる端末特定プログラムであって、
前記ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手順と、
前記新規ウィルス添付電子メール特定手順によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手順と、
前記アカウント情報取得手順によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手順と、
をコンピュータに実行させることを特徴とする端末特定プログラム。
(付記2)前記感染端末特定情報抽出手順は、前記新規ウィルス感染端末特定情報として、IPアドレスを抽出することを特徴とする付記1に記載の端末特定プログラム。
(付記3)前記メールサーバは、前記電子メールの情報として、当該電子メールを受信した受信時刻をさらに記憶し、
前記感染端末特定情報抽出手順は、前記新規ウィルス添付電子メール特定手順によって特定された前記新規ウィルス添付電子メールの前記受信時刻をさらに参照して、前記新規ウィルス感染端末特定情報を抽出することを特徴とする付記1に記載の端末特定プログラム。
(付記4)前記メールサーバは、他のメールサーバに接続され、
前記感染端末特定情報抽出手順によって参照される前記配信要求履歴に、前記アカウント情報取得手順によって取得された前記アカウント情報がない場合は、前記他のメールサーバに当該アカウント情報を通知するアカウント情報通知手順をさらにコンピュータに実行させ、
前記感染端末特定情報抽出手順は、他のメールサーバから前記アカウント情報の通知を受けた場合に、当該アカウント情報を用いて前記新規ウィルス感染端末特定情報を抽出することを特徴とする付記1〜3のいずれか一つに記載の端末特定プログラム。
(付記5)前記感染端末特定情報抽出手順は、前記新規ウィルス添付電子メールを前記メールサーバが受信した受信時刻以降、前記アカウント情報を有する前記端末が配信要求を行なった履歴が前記配信要求履歴にない場合は、前記メールサーバが記憶する前記電子メールの情報から当該新規ウィルス添付電子メールの情報を削除することを特徴とする付記4に記載の端末特定プログラム。
(付記6)前記メールサーバは、前記端末を操作するクライアントを特定できるクライアント特定情報を用いて、前記端末からのネットワークへの接続を認証するたびに、前記端末に前記端末特定情報を発行し、前記クライアント特定情報と前記端末特定情報とを対応付けたアクセス管理情報を記憶する認証サーバと接続され、
前記感染端末特定情報抽出手順は、前記認証サーバに前記端末特定情報の探索の要求を送信し、前記認証サーバから受信した当該端末特定情報を前記新規ウィルス感染端末特定情報として抽出することを特徴とする付記1〜5のいずれか一つに記載の端末特定プログラム。
(付記7)前記感染端末特定情報抽出手順によって抽出された前記新規ウィルス感染端末特定情報を、前記メールサーバと前記端末との間で前記電子メールの送受信を中継する一つまたは複数の中継装置に送信する感染端末特定情報送信手順をさらにコンピュータに実行させることを特徴とする付記1〜6のいずれか一つに記載の端末特定プログラム。
(付記8)電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバに適用され、ウィルス定義ファイルに基づいて前記電子メールを検査し、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定する端末特定装置であって、
前記ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手段と、
前記新規ウィルス添付電子メール特定手段によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手段と、
前記アカウント情報取得手段によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手段と、
を備えたことを特徴とする端末特定装置。
(付記9)電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバと、前記メールサーバと前記端末との間で前記電子メールの送受信を中継する一つまたは複数の中継装置とからなるメールシステムであって、
前記メールサーバは、
ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手段と、
前記新規ウィルス添付電子メール特定手段によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手段と、
前記アカウント情報取得手段によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手段と、
前記感染端末特定情報抽出手段によって抽出された前記新規ウィルス感染端末特定情報を、前記中継装置に送信する感染端末特定情報送信手段と、
を備え、
前記中継装置は、
前記感染端末特定情報送信手段によって前記メールサーバから送信された前記新規ウィルス感染端末特定情報を受信する感染端末特定情報受信手段と、
前記感染端末特定情報受信手段によって受信した前記新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、当該中継装置の中継する端末に含まれるか否かを判定する感染端末判定手段と、
前記感染端末判定手段によって前記新規ウィルス感染端末が、当該中継装置の中継する端末に含まれる場合は、当該新規ウィルス感染端末をネットワークから検疫する検疫手段と、
を備えたことを特徴とするメールシステム。
以上のように、本発明に係る端末特定プログラム、端末特定装置およびメールシステムは、メールサーバにおいて、ウィルス定義ファイルに基づいて電子メールを検査し、ウィルスが添付された電子メールを配信要求した端末を特定する場合に有用であり、特に、ウィルスによってネットワークに与えられる被害を縮小することに適する。
実施例1におけるメールシステムの概要を説明するための図である。 実施例1におけるメールシステムの特徴を説明するための図である。 実施例1におけるメールシステムの特徴を説明するための図である。 実施例1におけるメールサーバの構成を示すブロック図である。 ウィルス定義ファイル記憶部を説明するための図である。 実施例1におけるメールサーバのメールアーカイブ情報記憶部を説明するための図である。 実施例1におけるメールサーバのアカウント情報取得部を説明するための図である。 実施例1におけるメールサーバの配信要求履歴記憶部を説明するための図である。 実施例1におけるメールサーバの感染端末特定情報抽出部を説明するための図である。 実施例1におけるメールサーバからルータへ送信される端末特定情報を説明するための図である。 実施例1におけるルータの構成を示すブロック図である。 経路情報記憶部を説明するための図である。 感染端末判定部を説明するための図である。 実施例1におけるメールサーバの処理を説明するための図である。 実施例1におけるルータの処理を説明するための図である。 実施例2におけるメールシステムの概要を説明するための図である。 実施例2におけるメールシステムの特徴を説明するための図である。 実施例2におけるメールシステムの特徴を説明するための図である。 実施例2におけるメールゲートウェイの構成を示すブロック図である。 実施例2におけるメールゲートウェイのアカウント情報取得部を説明するための図である。 実施例2におけるメールゲートウェイからメールサーバへ送信されるアカウント情報を説明するための図である。 実施例2におけるメールサーバの構成を示すブロック図である。 実施例2におけるメールサーバのメールアーカイブ情報記憶部を説明するための図である。 実施例2におけるメールサーバの配信要求履歴記憶部を説明するための図である。 実施例2におけるメールサーバの感染端末特定情報抽出部を説明するための図である。 実施例2におけるメールゲートウェイの処理を説明するための図である。 実施例2におけるメールサーバの処理を説明するための図である。 実施例3におけるメールシステムの概要および特徴を説明するための図である。 実施例3におけるメールサーバの処理を説明するための図である。 実施例4におけるメールシステムの概要を説明するための図である。 実施例4におけるメールシステムの特徴を説明するための図である。 実施例4におけるメールシステムの特徴を説明するための図である。 実施例4におけるメールサーバの感染端末特定情報抽出部を説明するための図である。 実施例4における認証サーバの構成を示すブロック図である。 アクセス管理情報記憶部を説明するための図である。 実施例4における認証サーバの感染端末特定情報抽出部を説明するための図である。 実施例4におけるメールサーバの処理を説明するための図である。 実施例4における認証サーバの処理を説明するための図である。 実施例1の端末特定プログラムを実行するコンピュータを示す図である。
符号の説明
10 メールサーバ
11 通信制御部
12 記憶部
12a ウィルス定義ファイル記憶部
12b メールアーカイブ情報記憶部
12c 特定新規ウィルス添付電子メール記憶部
12d 取得アカウント情報記憶部
12e 配信要求履歴記憶部
13 処理部
13a 新規ウィルス添付電子メール特定部
13b アカウント情報取得部
13c 感染端末特定情報抽出部
20 ルータ
21 通信制御部
22 記憶部
22a 経路情報記憶部
22b 感染端末判定結果記憶部
23 処理部
23a 感染端末判定部
23b 検疫部

Claims (7)

  1. 電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバとしてのコンピュータに、ウィルス定義ファイルに基づいて前記電子メールを検査し、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定する端末特定方法を実行させる端末特定プログラムであって、
    前記ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手順と、
    前記新規ウィルス添付電子メール特定手順によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手順と、
    前記アカウント情報取得手順によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手順と、
    をコンピュータに実行させることを特徴とする端末特定プログラム。
  2. 前記感染端末特定情報抽出手順は、前記新規ウィルス感染端末特定情報として、IPアドレスを抽出することを特徴とする請求項1に記載の端末特定プログラム。
  3. 前記メールサーバは、他のメールサーバに接続され、
    前記感染端末特定情報抽出手順によって参照される前記配信要求履歴に、前記アカウント情報取得手順によって取得された前記アカウント情報がない場合は、前記他のメールサーバに当該アカウント情報を通知するアカウント情報通知手順をさらにコンピュータに実行させ、
    前記感染端末特定情報抽出手順は、他のメールサーバから前記アカウント情報の通知を受けた場合に、当該アカウント情報を用いて前記新規ウィルス感染端末特定情報を抽出することを特徴とする請求項1または2に記載の端末特定プログラム。
  4. 前記感染端末特定情報抽出手順は、前記新規ウィルス添付電子メールを前記メールサーバが受信した受信時刻以降、前記アカウント情報を有する前記端末が配信要求を行なった履歴が前記配信要求履歴にない場合は、前記メールサーバが記憶する前記電子メールの情報から当該新規ウィルス添付電子メールの情報を削除することを特徴とする請求項3に記載の端末特定プログラム。
  5. 前記メールサーバは、前記端末を操作するクライアントを特定できるクライアント特定情報を用いて、前記端末からのネットワークへの接続を認証するたびに、前記端末に前記端末特定情報を発行し、前記クライアント特定情報と前記端末特定情報とを対応付けたアクセス管理情報を記憶する認証サーバと接続され、
    前記感染端末特定情報抽出手順は、前記認証サーバに前記端末特定情報の探索の要求を送信し、前記認証サーバから受信した当該端末特定情報を前記新規ウィルス感染端末特定情報として抽出することを特徴とする請求項1〜4のいずれか一つに記載の端末特定プログラム。
  6. 電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバに適用され、ウィルス定義ファイルに基づいて前記電子メールを検査し、ウィルスが添付された電子メールであるウィルス添付電子メールを配信要求した端末を特定する端末特定装置であって、
    前記ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手段と、
    前記新規ウィルス添付電子メール特定手段によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手段と、
    前記アカウント情報取得手段によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手段と、
    を備えたことを特徴とする端末特定装置。
  7. 電子メールの情報を記憶するとともに、端末からの配信要求に応じて当該端末を宛先とする前記電子メールを配信し、前記端末からの配信要求と当該端末を特定するための情報である端末特定情報とを対応付けた配信要求履歴を記憶するメールサーバと、前記メールサーバと前記端末との間で前記電子メールの送受信を中継する一つまたは複数の中継装置とからなるメールシステムであって、
    前記メールサーバは、
    ウィルス定義ファイルに新規ウィルスの定義が追加された場合に、前記メールサーバが記憶する前記電子メールの情報を検査して前記新規ウィルスが添付された電子メールである新規ウィルス添付電子メールを特定する新規ウィルス添付電子メール特定手段と、
    前記新規ウィルス添付電子メール特定手段によって特定された前記新規ウィルス添付電子メールのアカウント情報を取得するアカウント情報取得手段と、
    前記アカウント情報取得手段によって取得された前記アカウント情報と、前記メールサーバが記憶する前記配信要求履歴とを参照し、当該新規ウィルス添付電子メールの配信要求を行なった端末の前記端末特定情報を新規ウィルス感染端末特定情報として抽出する感染端末特定情報抽出手段と、
    前記感染端末特定情報抽出手段によって抽出された前記新規ウィルス感染端末特定情報を、前記中継装置に送信する感染端末特定情報送信手段と、
    を備え、
    前記中継装置は、
    前記感染端末特定情報送信手段によって前記メールサーバから送信された前記新規ウィルス感染端末特定情報を受信する感染端末特定情報受信手段と、
    前記感染端末特定情報受信手段によって受信した前記新規ウィルス感染端末特定情報に対応する新規ウィルス感染端末が、当該中継装置の中継する端末に含まれるか否かを判定する感染端末判定手段と、
    前記感染端末判定手段によって前記新規ウィルス感染端末が、当該中継装置の中継する端末に含まれる場合は、当該新規ウィルス感染端末をネットワークから検疫する検疫手段と、
    を備えたことを特徴とするメールシステム。
JP2007002859A 2007-01-10 2007-01-10 端末特定プログラム、端末特定装置およびメールシステム Withdrawn JP2008172457A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007002859A JP2008172457A (ja) 2007-01-10 2007-01-10 端末特定プログラム、端末特定装置およびメールシステム
US11/971,039 US20080168563A1 (en) 2007-01-10 2008-01-08 Storage medium storing terminal identifying program terminal identifying apparatus, and mail system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007002859A JP2008172457A (ja) 2007-01-10 2007-01-10 端末特定プログラム、端末特定装置およびメールシステム

Publications (1)

Publication Number Publication Date
JP2008172457A true JP2008172457A (ja) 2008-07-24

Family

ID=39595454

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007002859A Withdrawn JP2008172457A (ja) 2007-01-10 2007-01-10 端末特定プログラム、端末特定装置およびメールシステム

Country Status (2)

Country Link
US (1) US20080168563A1 (ja)
JP (1) JP2008172457A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011248763A (ja) * 2010-05-28 2011-12-08 Canon Inc 情報処理装置及び情報処理方法
JP2013164787A (ja) * 2012-02-13 2013-08-22 Nippon Telegr & Teleph Corp <Ntt> 電子メールサーバ、メール配信システム及びメール配信方法
JP2017156837A (ja) * 2016-02-29 2017-09-07 富士通株式会社 管理プログラム、管理方法、及び管理装置
JP2018063645A (ja) * 2016-10-14 2018-04-19 日本電気株式会社 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102098272B (zh) * 2009-12-10 2014-02-19 华为技术有限公司 一种协议识别的方法、装置和系统
JP5884964B2 (ja) * 2010-10-22 2016-03-15 株式会社リコー 伝送システム、及び伝送方法
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002093334A2 (en) * 2001-04-06 2002-11-21 Symantec Corporation Temporal access control for computer virus outbreaks
US7690038B1 (en) * 2005-04-26 2010-03-30 Trend Micro Incorporated Network security system with automatic vulnerability tracking and clean-up mechanisms

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011248763A (ja) * 2010-05-28 2011-12-08 Canon Inc 情報処理装置及び情報処理方法
JP2013164787A (ja) * 2012-02-13 2013-08-22 Nippon Telegr & Teleph Corp <Ntt> 電子メールサーバ、メール配信システム及びメール配信方法
JP2017156837A (ja) * 2016-02-29 2017-09-07 富士通株式会社 管理プログラム、管理方法、及び管理装置
JP2018063645A (ja) * 2016-10-14 2018-04-19 日本電気株式会社 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム

Also Published As

Publication number Publication date
US20080168563A1 (en) 2008-07-10

Similar Documents

Publication Publication Date Title
US10491561B2 (en) Equipment for offering domain-name resolution services
EP2149237B1 (en) Method and apparatus for electronic mail filtering
US8615010B1 (en) System and method for managing traffic to a probe
JP2008172457A (ja) 端末特定プログラム、端末特定装置およびメールシステム
US20160036848A1 (en) Intercloud security as a service
WO2005036831A1 (ja) フレーム中継装置
CA2574248A1 (en) Method of operating a network with test packets
US20080104241A1 (en) Terminal device management system, data relay device, internetwork connection device, and quarantine method of terminal device
US20200036682A1 (en) Communication apparatus and communication system
CN109964469B (zh) 用于在网络节点处更新白名单的方法和系统
WO2014185394A1 (ja) 中継装置および中継装置の制御方法
Wan et al. Analysis of BGP prefix origins during Google's May 2005 outage
US10666771B2 (en) Method and system for allowing the use of domain name based network policies stored in a second device in enforcing network policy at a first device
US9344352B2 (en) Transfer device, communication system, and roundabout path detecting method
US20210136030A1 (en) Method for Sending an Information Item and for Receiving an Information Item for the Reputation Management of an IP Resource
JP4321375B2 (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
US11729140B2 (en) Method and system for managing DHCP servers
US10291435B2 (en) Router device, packet control method based on prefix management, and program
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP7230593B2 (ja) 中継装置及びプログラム
KR101142986B1 (ko) 아이피-기반 스팸메일 차단 시스템 및 그 방법
CN111314503B (zh) IPoE用户表的恢复方法及装置
de Rooij et al. Exchange Transport
JP2005182311A (ja) 端末管理支援方法及びパッチ確認サーバ
Wesselius et al. Message Hygiene

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091014

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20101027