JP2011237979A - Terminal, device, method and program for website determination - Google Patents

Terminal, device, method and program for website determination Download PDF

Info

Publication number
JP2011237979A
JP2011237979A JP2010108245A JP2010108245A JP2011237979A JP 2011237979 A JP2011237979 A JP 2011237979A JP 2010108245 A JP2010108245 A JP 2010108245A JP 2010108245 A JP2010108245 A JP 2010108245A JP 2011237979 A JP2011237979 A JP 2011237979A
Authority
JP
Japan
Prior art keywords
website
determination
domain
unit
domain name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010108245A
Other languages
Japanese (ja)
Inventor
Yukiko Sawatani
雪子 澤谷
Masaru Miyake
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2010108245A priority Critical patent/JP2011237979A/en
Publication of JP2011237979A publication Critical patent/JP2011237979A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a website determination terminal, a website determination device, a website determination method and a website determination program capable of detecting websites which are very likely to be malicious among websites which accept registration of mail addresses.SOLUTION: The website determination terminal 1 is provided with a domain determination part 14 which identifies a domain name by performing a forward lookup and a reverse lookup of the domain name in a DNS server and determines matching of a domain name obtained by a domain obtaining part 13 and the identified domain name, an organization determination part 15 which determines whether an organization corresponding to the domain name obtained by the domain obtaining part 13 belongs to the prescribed types of organization or not with reference to a WHOIS server, and a website determination part 16 which determines that a website is a malicious website in cases where the domain determination part 14 determines that the domain names do not match and the organization determination part 15 determines that the organization does not belong to the prescribed types of organization.

Description

本発明は、会員登録を受け付けるウェブサイトが悪意のあるウェブサイトであるかを判定するウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムに関する。   The present invention relates to a website determination terminal, a website determination apparatus, a website determination method, and a website determination program that determine whether a website that accepts member registration is a malicious website.

近年、ネットワークの発展により、気軽に電子メール(以下、メールという)を送受信することが可能になったことに伴い、スパムメール(spammail)の数が増大している。ここで、「スパムメール」とは、メールの受信者の意図を無視して、事前の要請や同意なしに無差別かつ大量発信されるメールをいう。なお、このスパムメールの同義語として、「迷惑メール」、「ジャンクメール」、「UCE(UnsolicitedCommercialEmail)」、「UBE(UnsolicitedBulkEmail)」等がある。   In recent years, with the development of networks, it has become possible to easily send and receive electronic mail (hereinafter referred to as mail), and the number of spam mails has increased. Here, “spam mail” refers to mail that is sent indiscriminately and in large quantities without prior request or consent, ignoring the intention of the mail recipient. Synonyms for this spam mail include “junk mail”, “junk mail”, “UCE (Unsolicited Commercial Email)”, “UBE (Unsolicited Bulk Email)”, and the like.

スパムメールを受信するようになる一因は、ユーザが、スパムメールを発信する事業者により開設され、会員登録を受け付けるウェブサイトに誘導され、このウェブサイトで会員登録を行ってしまうことにより、会員登録情報として、ユーザ自身が使用するメールアドレスを開示してしまうことが挙げられる。しかしながら、会員登録を受け付けるウェブサイトは、フィッシングサイトのように明らかに違法なサイトとはいえず、メールアドレス等のユーザの個人情報が漏洩する可能性があるといった問題点があるに過ぎない。よって、このような問題点に鑑みて、会員登録を受け付けるウェブサイトを悪意があるサイトと認定し、検知を行うことは困難である。   Part of the reason for receiving spam emails is that users are set up by a business operator that sends spam emails and are directed to a website that accepts membership registration. As registration information, the e-mail address used by the user himself / herself is disclosed. However, websites that accept membership registration are not clearly illegal sites like phishing sites, and there is only a problem that personal information of users such as e-mail addresses may be leaked. Therefore, in view of such problems, it is difficult to identify and detect a website that accepts member registration as a malicious site.

ところで、悪意があるウェブサイトを検知する仕組みとして、ウェブブラウザに設けられたツールバーによりウェブサイトの安全性を検知する方法が開示されている(非特許文献1参照)。この方法では、ウェブサイトを提供するサーバが安全であるか否かを認証情報として管理する認証サーバを設けておき、ウェブブラウザがウェブサイトを表示する場合に、ウェブブラウザのツールバーがこのウェブサイトの情報を認証サーバから受信する。そして、ツールバーは、認証情報に基づいて、ウェブサイトが安全であるか否かをツールバー上に表示する。   By the way, as a mechanism for detecting a malicious website, a method for detecting the safety of a website using a toolbar provided in a web browser is disclosed (see Non-Patent Document 1). In this method, an authentication server that manages whether or not a server that provides a website is secure is provided as authentication information. When a web browser displays a website, the toolbar of the web browser is displayed on the website. Receive information from the authentication server. Then, the toolbar displays on the toolbar whether or not the website is secure based on the authentication information.

しかしながら、この方法では、認証情報が作成されていないウェブサイトが安全であるか否かを判定することができない。   However, this method cannot determine whether a website for which authentication information has not been created is safe.

また、悪意があるウェブサイトを検知する別の仕組みとして、ウェブサイトを表示する際に、このウェブサイトに対応するWHOIS情報、ドメイン情報、リンク情報、サイト運営年数等に基づいて、ウェブサイトが安全であるか否かを判定し、判定結果を報知する方法が開示されている(非特許文献2参照)。   Also, as another mechanism for detecting malicious websites, when displaying a website, the website is safe based on the WHOIS information, domain information, link information, site operation age, etc. corresponding to this website. Is disclosed, and a method for notifying the determination result is disclosed (see Non-Patent Document 2).

しかしながら、この方法は、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録を受け付けるウェブサイトを表示する際には有効ではない。   However, although this method is effective when displaying a maliciously malicious phishing site or a site where malware or the like is installed, it is not effective when displaying a website that accepts member registration.

また、悪意があるウェブサイトを検知する別の仕組みとして、WHOIS情報及びDNS(Domain Name System)を利用して、フィッシングサイトの判定を行う方法が開示されている(非特許文献3参照)。この方法は、ウェブブラウザに表示するウェブサイトのドメイン名について、DNSにより正引きを行うことでIPアドレスを取得し、さらに、このIPアドレスからDNSにより逆引きを行うことでドメイン名を特定する。続いて、この方法は、ウェブブラウザに表示するウェブサイトのドメイン名及び特定したドメイン名の整合性により、悪意のあるサイトか否かを判定する。また、この方法は、TLD(Top Level Domain)が「jp」の場合、WHOISサーバに接続してWHOIS情報を取得し、この情報に基づいて、悪意のあるサイトか否かを判定する。   Further, as another mechanism for detecting a malicious website, a method for determining a phishing site using WHOIS information and DNS (Domain Name System) is disclosed (see Non-Patent Document 3). In this method, an IP address is acquired by performing forward lookup with DNS for a domain name of a website displayed on a web browser, and further, a domain name is specified by performing reverse lookup with DNS from this IP address. Subsequently, this method determines whether the site is a malicious site based on the consistency between the domain name of the website displayed on the web browser and the identified domain name. Also, in this method, when the TLD (Top Level Domain) is “jp”, the WHOIS server is acquired by connecting to the WHOIS server, and based on this information, it is determined whether or not the site is a malicious site.

しかしながら、この方法も、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録を受け付けるウェブサイトを表示する際には有効ではない。また、この方法は、WHOIS情報の具体的な使用方法について示されていない。   However, this method is also effective when displaying a clearly malicious phishing site or a site where malware or the like is installed, but is not effective when displaying a website that accepts member registration. Also, this method is not shown for a specific method of using the WHOIS information.

フィッシング詐欺対策ソリューション(PhishWall)[平成22年4月5日]、インターネット<http://www.securebrain.co.jp/products/phishwall/client.html>Anti-phishing solution (FishWall) [April 5, 2010], Internet <http: // www. securebrain. co. jp / products / phishwall / client. html> 詐欺対策ツール(SagiWall)[平成22年4月5日]、インターネット<http://www.securebrain.co.jp/products/sagiwall/index.html>Scam Countermeasure Tool (SagiWall) [April 5, 2010], Internet <http: // www. securebrain. co. jp / products / sagiwall / index. html> 中村元彦、寺田真敏、千葉雄司、土居範久、“proxyを使用したHTTPリクエスト解析によるAntiPhishingシステムの提案”、情報処理学会研究報告.マルチメディア通信と分散処理研究会報告、IPSJ SIG Notes 2006(26)pp.13−18 20060316Motohiko Nakamura, Masatoshi Terada, Yuji Chiba, Norihisa Doi, “Proposal of AntiPhishing System by HTTP Request Analysis Using Proxy”, Information Processing Society of Japan. Multimedia Communication and Distributed Processing Study Group Report, IPSJ SIG Notes 2006 (26) pp. 13-18 20060316

つまり、非特許文献1〜3に示された方法では、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録等によりメールアドレスの登録を受け付けるウェブサイトを表示する際には有効ではない。そこで、本発明は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できるウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムを提供することを目的とする。   In other words, although the methods shown in Non-Patent Documents 1 to 3 are effective when displaying a clearly malicious phishing site or a site in which malware or the like is installed, the e-mail address can be changed by member registration or the like. It is not valid when displaying a website that accepts registration. Therefore, the present invention provides a website determination terminal, a website determination apparatus, a website determination method, and a website determination program that can detect a website that is highly likely to be malicious among websites that accept registration of email addresses. The purpose is to do.

本発明者らは、以下のような解決手段を提供する。   The present inventors provide the following solutions.

(1)ウェブサイトを表示する表示部と、前記表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出部と、前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、前記ウェブサイト判定部による判定結果を報知する報知部と、を備えるウェブサイト判定端末。   (1) A display unit that displays a website, a detection unit that detects that the website displayed on the display unit includes an input form for inputting an email address, and the detection unit includes the input form. A website determination terminal comprising: a website determination unit that determines that the website displayed on the display unit is a malicious website; and a notification unit that notifies a determination result by the website determination unit .

このような構成によれば、ウェブサイト判定端末は、表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出し、入力フォームを含むことを検出した場合、表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定する。よって、ウェブサイト判定端末は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。   According to such a configuration, when the website determination terminal detects that the website displayed on the display unit includes the input form related to the input of the mail address, and detects that the website includes the input form, the display unit The website displayed in is determined to be a malicious website. Therefore, the website determination terminal can detect websites that are highly likely to be malicious among websites that accept registration of email addresses.

また、ウェブサイト判定端末は、表示部に表示されたウェブサイトが悪意のあるウェブサイトであるかについての判定結果を報知する。よって、ウェブサイト判定端末は、ウェブサイト判定端末のユーザに、表示部に表示されているウェブサイトが悪意のあるウェブサイトであるかについて留意させることができる。   In addition, the website determination terminal notifies a determination result as to whether the website displayed on the display unit is a malicious website. Therefore, the website determination terminal can make the user of the website determination terminal pay attention to whether the website displayed on the display unit is a malicious website.

(2)前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、WHOISサーバを参照し、前記ドメイン取得部により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部と、をさらに備え、前記ウェブサイト判定部は、前記検出部により前記入力フォームを含むことを検出した場合、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織種別ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定する(1)に記載のウェブサイト判定端末。   (2) When the detection unit detects that the input form is included, a domain acquisition unit that acquires a domain name of a web server corresponding to the website displayed on the display unit, and the domain for the DNS server The domain name obtained by the obtaining unit is forward-looked to specify the IP address, the IP address specified to the DNS server is reverse-looked to identify the domain name, and obtained by the domain obtaining unit Whether the organization corresponding to the domain name acquired by the domain acquisition unit is a predetermined organization type with reference to a domain determination unit that determines the consistency between the domain name and the identified domain name, and a WHOIS server An organization determination unit for determining the website, and the website determination unit includes the input form by the detection unit. Is detected by the domain determination unit, and when the organization determination unit determines that the predetermined organization type is not determined, the website is determined to be a malicious website ( The website determination terminal according to 1).

この構成によれば、ウェブサイト判定端末は、ドメイン取得部により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部に表示されたウェブサイトが悪意のあるウェブサイトであると判定する。よって、ウェブサイト判定端末は、会員登録等によりメールアドレスの登録を受け付けるウェブサイトが悪意のあるウェブサイトか否かを判定して、悪意のあるウェブサイトである可能性を、ウェブサイト判定端末のユーザに示唆することができる。   According to this configuration, the website determination terminal is configured such that the domain name acquired by the domain acquisition unit does not match the domain name obtained by performing reverse lookup, and the organization to which the corresponding owner belongs is a predetermined organization. When it is determined that it is not a type, it is determined that the website displayed on the display unit is a malicious website. Therefore, the website determination terminal determines whether the website that accepts the registration of the e-mail address by member registration or the like is a malicious website, and the possibility of being a malicious website is determined by the website determination terminal. It can be suggested to the user.

(3)ユーザからウェブサイトの判定指示を受け付ける受付部をさらに備え、前記検出部は、前記受付部により前記判定指示を受け付けたことに応じて、前記表示部に表示されたウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する(1)又は(2)に記載のウェブサイト判定端末。   (3) The information processing apparatus further includes a reception unit that receives a determination instruction for a website from a user, and the detection unit receives an e-mail address from the website displayed on the display unit in response to receiving the determination instruction by the reception unit. The website determination terminal according to (1) or (2), wherein it is detected that an input form related to registration is included.

このような構成によれば、ウェブサイト判定端末は、ユーザから、表示部に表示されているウェブサイトが悪意であるか否かの判定指示を受け付ける。よって、ウェブサイト判定端末のユーザは、自らの意思で、所定のウェブサイトについて、悪意があるウェブサイトであるかの判定を指示することができる。   According to such a configuration, the website determination terminal receives from the user an instruction to determine whether or not the website displayed on the display unit is malicious. Therefore, the user of the website determination terminal can instruct his / her own intention to determine whether a predetermined website is a malicious website.

(4)端末から、ウェブサイトのURLを受け付けるURL受付部と、前記URL受付部により受け付けた前記URLに基づいて、前記ウェブサイトを取得するページ取得部と、前記ページ取得部により取得した前記ウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する検出部と、前記検出部により前記入力フォームを含むことを検出した場合、前記ページ取得部により取得したウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、WHOISサーバに接続して前記ドメイン取得部により取得されたドメイン名が所属する組織が所定の組織であるか否かを判定する組織判定部と、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、前記ウェブサイト判定部による判定結果を前記端末に送信する判定結果送信部とを備えるウェブサイト判定装置。   (4) A URL receiving unit that receives a URL of a website from a terminal, a page acquisition unit that acquires the website based on the URL received by the URL receiving unit, and the web acquired by the page acquisition unit A detection unit that detects that the site includes an input form related to registration of an email address, and a web server corresponding to the website acquired by the page acquisition unit when the detection unit detects that the input form is included. A domain acquisition unit that acquires a domain name, forward-references the domain name acquired by the domain acquisition unit to a DNS server, specifies an IP address, and reverses the IP address specified for the DNS server The domain name acquired by the domain acquisition unit A domain determination unit for determining the consistency of the identified domain name, and determining whether an organization to which the domain name acquired by the domain acquisition unit by connecting to a WHOIS server belongs is a predetermined organization Website determination that determines that the website is a malicious website when it is determined that the organization determination unit and the domain determination unit do not match each other and the organization determination unit determines that the organization is not the predetermined organization And a determination result transmission unit that transmits a determination result by the website determination unit to the terminal.

このような構成によれば、ウェブサイト判定装置は、端末からウェブサイトのURLを受け付けたことに応じて、ウェブサイトが悪意のあるウェブサイトか否かを判定し、判定結果を端末に送信する。よって、ウェブサイト判定装置は、端末におけるウェブサイト判定処理に係る負荷を軽減させることができる。   According to such a configuration, the website determination device determines whether the website is a malicious website in response to receiving the URL of the website from the terminal, and transmits the determination result to the terminal. . Therefore, the website determination device can reduce the load related to the website determination processing in the terminal.

(5)端末が、悪意のあるウェブサイトを判定するウェブサイト判定方法であって、前記端末が、ウェブサイトを表示する表示ステップと、前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行するウェブサイト判定方法。   (5) A website determination method in which the terminal determines a malicious website, wherein the terminal displays a website, and the website displayed in the display step is used to input an email address. A detection step for detecting that the input form is included, and a domain acquisition for acquiring the domain name of the web server corresponding to the website displayed in the display step when the detection step detects that the input form is included And the forward lookup of the domain name obtained by the domain acquisition step to the DNS server to identify the IP address, and the reverse lookup of the identified IP address to the DNS server to identify the domain name And the domain name acquired by the domain acquisition step And a domain determination step for determining the consistency of the identified domain name and a WHOIS server, and determining whether or not the organization corresponding to the domain name acquired by the domain acquisition step is a predetermined organization type A website that determines that the website is a malicious website when it is determined that there is a mismatch between the organization determination step and the domain determination step, and the organization determination step determines that the organization is not the predetermined organization A website determining method for executing the determining step.

このような構成によれば、当該ウェブサイト判定方法を端末が実行することにより、(1)と同様の効果が期待できる。   According to such a configuration, an effect similar to (1) can be expected when the terminal executes the website determination method.

(6)端末に、悪意のあるウェブサイトを判定させるウェブサイト判定プログラムであって、前記端末に、ウェブサイトを表示する表示ステップと、前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行させるウェブサイト判定プログラム。   (6) A website determination program for causing a terminal to determine a malicious website, wherein the terminal displays a website on the terminal, and the website displayed in the display step is used to input an e-mail address. A detection step for detecting that the input form is included, and a domain acquisition for acquiring the domain name of the web server corresponding to the website displayed in the display step when the detection step detects that the input form is included And the forward lookup of the domain name obtained by the domain acquisition step to the DNS server to identify the IP address, and the reverse lookup of the identified IP address to the DNS server to identify the domain name And the domain acquired in the domain acquisition step. A domain determination step for determining consistency between an in-name and the identified domain name, and whether or not an organization corresponding to the domain name acquired by the domain acquisition step is a predetermined organization type with reference to a WHOIS server When it is determined that the organization determination step and the domain determination step do not match each other and the organization determination step determines that the predetermined organization is not determined, the website is determined to be a malicious website. A website determination program for executing the website determination step;

このような構成によれば、当該鍵交換プログラムを端末に実行させることにより、(1)と同様の効果が期待できる。   According to such a configuration, the same effect as in (1) can be expected by causing the terminal to execute the key exchange program.

本発明によれば、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。   According to the present invention, it is possible to detect a website that is highly likely to be malicious among websites that accept registration of email addresses.

第1実施形態に係るウェブサイト判定システムの全体構成を示す図である。It is a figure showing the whole website judging system composition concerning a 1st embodiment. 第1実施形態に係るウェブサイト判定端末における処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process in the website determination terminal which concerns on 1st Embodiment. 第2実施形態に係るウェブサイト判定システムの機能構成を示す図である。It is a figure which shows the function structure of the website determination system which concerns on 2nd Embodiment. 第2実施形態に係るウェブサイト判定端末及びウェブサイト判定サーバにおける処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process in the website determination terminal and website determination server which concern on 2nd Embodiment.

<第1実施形態>
以下、本発明の第1実施形態について図1及び図2を参照しながら説明する。 <First Embodiment>
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS. 1 and 2.

図1は、本実施形態に係るウェブサイト判定システム100の全体構成を示す図である。
ウェブサイト判定システム100は、ウェブサイト判定端末1と、DNS(Domain Name System)サーバ2と、WHOISサーバ3と、ウェブサーバ4と、を備える。 FIG. 1 is a diagram illustrating an overall configuration of a website determination system 100 according to the present embodiment.
The website determination system 100 includes a website determination terminal 1, a DNS (Domain Name System) server 2, a WHOIS server 3, and a web server 4.

ウェブサイト判定端末1は、ネットワークNを介して、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4に接続可能である。このウェブサイト判定端末1は、会員登録を受け付けるウェブサイトが悪意のあるウェブサイトである可能性を示唆する。詳細については後述する。   The website determination terminal 1 can be connected to the DNS server 2, the WHOIS server 3, and the web server 4 via the network N. This website determination terminal 1 suggests the possibility that the website that accepts member registration is a malicious website. Details will be described later.

DNSサーバ2は、ネットワークNに接続可能なコンピュータのドメイン名と、このドメイン名に対応するIPアドレスとを関連付けて管理するサーバである。本実施形態では、DNSサーバ2において、ドメイン名に対応するIPアドレスを特定することを「正引き」といい、IPアドレスに対応するドメイン名を特定することを「逆引き」という。   The DNS server 2 is a server that manages a domain name of a computer connectable to the network N and an IP address corresponding to the domain name in association with each other. In this embodiment, specifying the IP address corresponding to the domain name in the DNS server 2 is called “forward lookup”, and specifying the domain name corresponding to the IP address is called “reverse lookup”.

WHOISサーバ3は、ネットワークN上での、ドメイン名を所有する所有者の情報を管理するサーバである。WHOISサーバ3は、ドメイン名を所有する所有者の情報として、所有者名、所有者の住所、所有者の連絡先等を管理する。   The WHOIS server 3 is a server that manages information on owners who own domain names on the network N. The WHOIS server 3 manages the owner name, the owner address, the contact information of the owner, and the like as information on the owner who owns the domain name.

ウェブサーバ4は、ウェブサイト判定端末1等の端末が備えるウェブブラウザに対して、HTML(HyperText Markup Language)ドキュメント、画像、動画といったコンテンツにより構成されるウェブサイトを提供するサーバである。ウェブサーバ4は、ネットワークNに複数接続されている。   The web server 4 is a server that provides a website composed of contents such as an HTML (HyperText Markup Language) document, an image, and a moving image to a web browser included in a terminal such as the website determination terminal 1. A plurality of web servers 4 are connected to the network N.

ネットワークNは、ウェブサイト判定端末1と、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4との間で通信を行うための、例えば、インターネット等の通信回線である。ネットワークNは、有線であってもよいし、その一部又は全部が無線であってもよい。   The network N is a communication line such as the Internet for performing communication among the website determination terminal 1, the DNS server 2, the WHOIS server 3, and the web server 4. The network N may be wired or part or all of it may be wireless.

続いて、ウェブサイト判定端末1の機能について説明する。
ウェブサイト判定端末1は、制御部10と、記憶部20と、通信部21と、入力部22と、表示部23と、を備える。 Next, functions of the website determination terminal 1 will be described.
The website determination terminal 1 includes a control unit 10, a storage unit 20, a communication unit 21, an input unit 22, and a display unit 23.

制御部10は、ウェブサイト判定端末1の全体を制御する部分であり、CPU(Central Processing Unit)等により構成される。制御部10は、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、このウェブサイト判定端末1を構成するハードウェアと協働し、本実施形態における各種機能を実現する。なお、制御部10が備える各部の機能は後述する。   The control part 10 is a part which controls the whole website determination terminal 1, and is comprised by CPU (Central Processing Unit) etc. FIG. The control unit 10 reads and executes various programs stored in the storage unit 20 as appropriate, thereby cooperating with hardware configuring the website determination terminal 1 to realize various functions in the present embodiment. In addition, the function of each part with which the control part 10 is provided is mentioned later.

記憶部20は、ハードウェアをウェブサイト判定端末1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるプログラム等を記憶する。   The storage unit 20 stores various programs for causing hardware to function as the website determination terminal 1, programs for causing the control unit 10 to execute various functions of the present embodiment, and the like.

通信部21は、ネットワークNを介して外部装置と通信を行うネットワーク・アダプタである。通信部21は、ウェブサイト判定端末1とウェブサーバ4との通信を確立し、ウェブサイトのデータの受信を行う。   The communication unit 21 is a network adapter that communicates with an external device via the network N. The communication unit 21 establishes communication between the website determination terminal 1 and the web server 4 and receives website data.

入力部22は、ユーザからの指示入力を受け付けるインタフェース装置である。入力部22は、例えば、キーボード、マウス及びタッチパネル等により構成される。   The input unit 22 is an interface device that receives an instruction input from a user. The input unit 22 includes, for example, a keyboard, a mouse, a touch panel, and the like.

表示部23は、ユーザにデータの入力を受け付ける画面を表示したり、ウェブサイトを表示するためのウェブブラウザを表示したり、ウェブサイト判定端末1による処理結果の画面を表示したりするものである。表示部23は、ブラウン管表示装置(CRT)や液晶表示装置(LCD)等により構成される。   The display unit 23 displays a screen for accepting data input to the user, displays a web browser for displaying a website, and displays a processing result screen by the website determination terminal 1. . The display unit 23 includes a cathode ray tube display (CRT), a liquid crystal display (LCD), or the like.

続いて、制御部10が備える各部の機能について説明する。
制御部10は、指示受付部11と、検出部12と、ドメイン取得部13と、ドメイン判定部14と、組織判定部15と、ウェブサイト判定部16と、報知制御部17と、を備える。 Next, functions of each unit included in the control unit 10 will be described.
The control unit 10 includes an instruction receiving unit 11, a detection unit 12, a domain acquisition unit 13, a domain determination unit 14, a tissue determination unit 15, a website determination unit 16, and a notification control unit 17.

指示受付部11は、入力部22を介して、ユーザからウェブサイトの判定指示を受け付ける。具体的には、表示部23にウェブブラウザが表示され、このウェブブラウザにウェブサイトが表示されている場合、指示受付部11は、入力部22において所定の操作が行われたことにより、ウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトか否かの判定指示を受け付ける。   The instruction receiving unit 11 receives a website determination instruction from the user via the input unit 22. Specifically, when a web browser is displayed on the display unit 23 and a web site is displayed on the web browser, the instruction accepting unit 11 performs a predetermined operation on the input unit 22 to display the web browser. An instruction to determine whether or not the website displayed in is a malicious website is accepted.

検出部12は、表示部23のウェブブラウザに表示されたウェブサイトが、メールアドレスの入力に係る入力フォームを含むことを検出する。具体的には、検出部12は、ウェブブラウザに表示されているウェブサイトを構成するHTMLドキュメントを解析し、メールアドレスの入力欄があるか、を検出する。   The detection unit 12 detects that the website displayed on the web browser of the display unit 23 includes an input form related to input of an email address. Specifically, the detection unit 12 analyzes an HTML document constituting the website displayed on the web browser, and detects whether there is a mail address input field.

メールアドレスの入力欄があるかについて、検出部12は、例えば、以下のように検出する。すなわち、ウェブサイト判定端末1は、HTMLドキュメントのソースコードに、フォームタグのインプットタグのパラメータに「mail」が含まれるか、フォームタグのインプットタグのタイプパラメータが「text」であるか、HTMLドキュメントに、「メールアドレスを入力してください」や「読者登録」といった登録に係る文字列が含まれるか、といったような複数の条件を記憶部20に予め記憶しておく。そして、検出部12は、HTMLドキュメントのソースコードを解析し、これら複数の条件の少なくとも1つに該当した場合に、メールアドレスの入力に係る入力フォームを含むことを検出する。   For example, the detection unit 12 detects whether there is a mail address input field as follows. That is, the website determination terminal 1 determines whether the source code of the HTML document includes “mail” in the input tag parameter of the form tag, the type tag input parameter of the form tag is “text”, or the HTML document. Are stored in advance in the storage unit 20 such as whether or not a character string related to registration, such as “Please enter email address” or “Reader registration” is included. Then, the detection unit 12 analyzes the source code of the HTML document, and detects that an input form related to the input of the mail address is included when at least one of the plurality of conditions is satisfied.

なお、検出部12は、HTMLドキュメントのソースコードを解析し、メールソフトを起動するスクリプトについてもメールアドレスの入力に係る入力フォームがあるとみなす。すなわち、検出部12は、HTMLドキュメントにメールソフトを起動するスクリプトが含まれている場合、メールアドレスの入力に係る入力フォームを含むことを検出する。   The detection unit 12 analyzes the source code of the HTML document and regards the script for starting the mail software as having an input form related to the input of the mail address. That is, when the HTML document includes a script for starting mail software, the detection unit 12 detects that an input form relating to input of a mail address is included.

ドメイン取得部13は、検出部12により、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。具体的には、ドメイン取得部13は、ウェブブラウザに表示されているウェブサイトのURL(Uniform Resource Locator)からドメイン名を取得する。   When the detection unit 12 detects that the input form is included, the domain acquisition unit 13 acquires the domain name of the web server 4 corresponding to the website displayed on the web browser of the display unit 23. Specifically, the domain acquisition unit 13 acquires a domain name from a URL (Uniform Resource Locator) of a website displayed on the web browser.

また、ドメイン取得部13は、ウェブブラウザに表示されているウェブサイトを構成するHTMLドキュメントを以下のように解析してドメイン名を取得する。すなわち、ドメイン取得部13は、HTMLドキュメントを解析して、フォームタグのアクションパラメータに記載されているドメイン名を取得したり、アンカータグに「mailto:info@example.com」といったようにメールアドレスが含まれている場合に、このメールアドレスのドメイン名(メール送信先ホスト名)を取得したりする。なお、HTMLドキュメントの解析は、上述の例に限らず、他の方法によりドメイン名を取得してもよい。   Further, the domain acquisition unit 13 analyzes the HTML document constituting the website displayed on the web browser as follows to acquire the domain name. That is, the domain acquisition unit 13 analyzes the HTML document and acquires the domain name described in the action parameter of the form tag, or the mail address such as “mailto: info@example.com” in the anchor tag. If it is included, the domain name (email destination host name) of this email address is acquired. The analysis of the HTML document is not limited to the above example, and the domain name may be acquired by other methods.

ドメイン判定部14は、DNSサーバ2に対して、ドメイン取得部13により取得されたドメイン名の正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。   The domain determination unit 14 is configured such that the domain name acquired by performing forward and reverse lookup of the domain name acquired by the domain acquisition unit 13 on the DNS server 2, and the domain name acquired by the domain acquisition unit 13 Judge consistency.

具体的には、ドメイン判定部14は、DNSサーバ2に対して、ドメイン取得部13により取得されたドメイン名の正引きを行い、このドメイン名に対応するIPアドレスを特定する。続いて、ドメイン判定部14は、DNSサーバ2に対して、特定されたIPアドレスの逆引きを行い、このIPアドレスに対応するドメイン名を特定する。続いて、ドメイン判定部14は、ドメイン取得部13により取得されたドメイン名と、逆引きにより特定されたドメイン名の整合性を判定する。続いて、ドメイン判定部14は、判定結果を記憶部20に一時的に記憶させる。
ここで、ドメイン判定部14は、2つのドメイン名が完全一致又は部分一致した場合に整合性があると判定する。部分一致の度合いは、適宜設定可能である。
なお、ドメイン判定部14は、正引き、逆引きによる整合性の判定を、ドメイン取得部13により取得されたドメイン名の全てに対して行い、いずれか1つのドメイン名が部分一致した場合に、整合性があると判定する。 Specifically, the domain determination unit 14 forwards the domain name acquired by the domain acquisition unit 13 to the DNS server 2 and specifies an IP address corresponding to the domain name. Subsequently, the domain determination unit 14 performs reverse lookup of the identified IP address with respect to the DNS server 2 and identifies a domain name corresponding to the IP address. Subsequently, the domain determination unit 14 determines the consistency between the domain name acquired by the domain acquisition unit 13 and the domain name specified by reverse lookup. Subsequently, the domain determination unit 14 temporarily stores the determination result in the storage unit 20.
Here, the domain determination unit 14 determines that there is consistency when two domain names are completely matched or partially matched. The degree of partial matching can be set as appropriate.
Note that the domain determination unit 14 performs consistency determination by forward lookup and reverse lookup for all domain names acquired by the domain acquisition unit 13, and when any one domain name partially matches, It is determined that there is consistency.

組織判定部15は、WHOISサーバ3を参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織であるか否かを判定する。具体的には、組織判定部15は、WHOISサーバ3に接続して、ドメイン取得部13により取得されたドメイン名に対応する所有者の情報を取得する。続いて、組織判定部15は、取得した所有者の情報から、ドメイン名に対応する所有者が属する組織が所定の組織種別(「Ltd」、「Corporation」、「Inc」)であるか否かを判定する。すなわち、組織判定部15は、所有者の情報から、所有者が会社であるか、所有者が「Ltd」、「Corporation」、「Inc」といった比較的規模が大きい組織であるかを判定する。続いて、組織判定部15は、判定結果を記憶部20に一時的に記憶させる。   The organization determination unit 15 refers to the WHOIS server 3 and determines whether or not the organization corresponding to the domain name acquired by the domain acquisition unit 13 is a predetermined organization. Specifically, the organization determination unit 15 connects to the WHOIS server 3 and acquires owner information corresponding to the domain name acquired by the domain acquisition unit 13. Subsequently, the organization determination unit 15 determines whether the organization to which the owner corresponding to the domain name belongs is a predetermined organization type (“Ltd”, “Corporation”, “Inc”) from the acquired owner information. Determine. That is, the organization determination unit 15 determines from the owner information whether the owner is a company or whether the owner is a relatively large organization such as “Ltd”, “Corporation”, or “Inc”. Subsequently, the tissue determination unit 15 temporarily stores the determination result in the storage unit 20.

なお、WHOISサーバ3から取得される所有者の情報は、登録者情報(Registrant Organization,Registant Name)、組織名情報(Organization)といった情報であり、所有者が所属する組織を特定可能な情報である。また、取得される所有者の情報は、上述に列挙したものに限らず、所有者が所属する組織を特定可能な情報であればよい。   The owner information acquired from the WHOIS server 3 is information such as registrant information (Registration Organization, Registant Name) and organization name information (Organization), and is information that can identify the organization to which the owner belongs. . Further, the acquired owner information is not limited to the information listed above, but may be information that can identify the organization to which the owner belongs.

ウェブサイト判定部16は、ドメイン判定部14で整合しないと判定され、かつ、組織判定部15で所定の組織ではないと判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。
具体的には、ウェブサイト判定部16は、記憶部20に一時的に記憶されているドメイン判定部14の判定結果及び組織判定部15の判定結果を参照し、ドメイン取得部13により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部16は、ドメイン判定部14で整合すると判定した場合、又は組織判定部15で所定の組織であると判定した場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のないウェブサイトであると判定する。また、ウェブサイト判定部16は、この判定が終了すると、記憶部20に一時的に記憶されている判定結果を消去させる。 If the domain determination unit 14 determines that the domain determination unit 14 does not match and the organization determination unit 15 determines that the website is not a predetermined organization, the website displayed on the web browser of the display unit 23 is malicious. It is determined that the website has
Specifically, the website determination unit 16 is acquired by the domain acquisition unit 13 with reference to the determination result of the domain determination unit 14 and the determination result of the tissue determination unit 15 temporarily stored in the storage unit 20. When it is determined that the domain name does not match the domain name obtained by performing reverse lookup and the organization to which the corresponding owner belongs is not the predetermined organization type, the domain name is displayed on the web browser of the display unit 23. The website is determined to be a malicious website. In addition, when the website determining unit 16 determines that the domain determining unit 14 matches, or when the organization determining unit 15 determines that it is a predetermined organization, the website displayed on the web browser of the display unit 23 is malicious. It is determined that there is no website. Moreover, the website determination part 16 will delete the determination result temporarily memorize | stored in the memory | storage part 20, if this determination is complete | finished.

報知制御部17は、ウェブサイト判定部16による判定結果を報知する。具体的には、報知制御部17は、ウェブサイト判定部16の判定結果を表示部23に表示させることにより、判定結果を報知する。なお、報知制御部17は、表示部23に表示させることにより判定結果を報知するに限らず、例えば、音や光により報知してもよい。   The notification control unit 17 notifies the determination result by the website determination unit 16. Specifically, the notification control unit 17 notifies the determination result by causing the display unit 23 to display the determination result of the website determination unit 16. The notification control unit 17 is not limited to notifying the determination result by being displayed on the display unit 23, but may be notified by sound or light, for example.

図2は、本実施形態に係るウェブサイト判定端末1における処理の流れを示すフローチャートである。本処理は、記憶部20に記憶されているプログラムが、制御部10により実行されることにより行われる。   FIG. 2 is a flowchart showing a flow of processing in the website determination terminal 1 according to the present embodiment. This process is performed when the control unit 10 executes a program stored in the storage unit 20.

ステップS1(受付ステップ)では、制御部10(指示受付部11)は、ユーザからウェブサイトの判定指示を受け付ける。   In step S1 (reception step), the control unit 10 (instruction reception unit 11) receives a website determination instruction from the user.

ステップS2(検出ステップ)では、制御部10(検出部12)は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する。   In step S <b> 2 (detection step), the control unit 10 (detection unit 12) detects that the website displayed on the web browser of the display unit 23 includes an input form related to input of an email address.

ステップS3(ドメイン取得ステップ)では、制御部10(ドメイン取得部13)は、ステップS2において入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。   In step S3 (domain acquisition step), if the control unit 10 (domain acquisition unit 13) detects that an input form is included in step S2, the web server corresponding to the website displayed on the web browser of the display unit 23 4 domain name is acquired.

ステップS4(ドメイン判定ステップ)では、制御部10(ドメイン判定部14)は、ドメイン取得部13により取得されたドメイン名についてDNSサーバ2で正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。また、ドメイン判定部14は、判定結果を記憶部20に一時的に記憶させる。   In step S4 (domain determination step), the control unit 10 (domain determination unit 14) obtains the domain name obtained by performing forward lookup and reverse lookup on the DNS server 2 for the domain name acquired by the domain acquisition unit 13, and The consistency with the domain name acquired by the domain acquisition unit 13 is determined. The domain determination unit 14 temporarily stores the determination result in the storage unit 20.

ステップS5(組織判定ステップ)では、制御部10(組織判定部15)は、WHOISサーバ3を参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織であるか否かを判定する。また、組織判定部15は、判定結果を記憶部20に一時的に記憶させる。   In step S5 (organization determination step), the control unit 10 (organization determination unit 15) refers to the WHOIS server 3 and determines whether the organization corresponding to the domain name acquired by the domain acquisition unit 13 is a predetermined organization. Determine. In addition, the tissue determination unit 15 temporarily stores the determination result in the storage unit 20.

ステップS6(ウェブサイト判定ステップ)では、制御部10(ウェブサイト判定部16)は、ステップS4で整合しないと判定され、かつ、ステップS5で所定の組織ではないと判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部16は、記憶部20に一時的に記憶されている判定結果を消去させる。   In step S6 (website determination step), the control unit 10 (website determination unit 16) determines that there is no matching in step S4, and if it is determined in step S5 that it is not a predetermined organization, the display unit 23 It is determined that the website displayed on the web browser is a malicious website. The website determination unit 16 deletes the determination result temporarily stored in the storage unit 20.

ステップS7(判定結果表示ステップ)では、制御部10(報知制御部17)は、ステップS6で判定した結果を表示部23に表示させる。   In step S7 (determination result display step), the control unit 10 (notification control unit 17) causes the display unit 23 to display the result determined in step S6.

以上のように、本実施形態によれば、ウェブサイト判定端末1は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出し、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトと判定する。よって、ウェブサイト判定端末1は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。   As described above, according to the present embodiment, the website determination terminal 1 detects that the website displayed on the web browser of the display unit 23 includes the input form related to the input of the mail address, and displays the input form. When the inclusion is detected, the website displayed on the web browser of the display unit 23 is determined to be a malicious website. Therefore, the website determination terminal 1 can detect websites that are highly likely to be malicious from websites that accept registration of email addresses.

また、ウェブサイト判定端末1は、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであるかについての判定結果を報知する。よって、ウェブサイト判定端末1は、ウェブサイト判定端末1のユーザに、表示部23のウェブブラウザに表示されているウェブサイトが悪意のあるウェブサイトであるかについて留意させることができる。   Moreover, the website determination terminal 1 alert | reports the determination result about whether the website displayed on the web browser of the display part 23 is a malicious website. Therefore, the website determination terminal 1 can make the user of the website determination terminal 1 note whether the website displayed on the web browser of the display unit 23 is a malicious website.

また、ウェブサイト判定端末1は、ドメイン取得部13により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。よって、ウェブサイト判定端末1は、会員登録等によりメールアドレスの登録を受け付けるウェブサイトが悪意のあるウェブサイトか否かを判定して、悪意のあるウェブサイトである可能性を、ウェブサイト判定端末1のユーザに示唆することができる。   Further, the website determination terminal 1 determines that the domain name acquired by the domain acquisition unit 13 does not match the domain name obtained by performing reverse lookup, and the organization to which the corresponding owner belongs is a predetermined organization type. When it is determined that there is not, it is determined that the website displayed on the web browser of the display unit 23 is a malicious website. Therefore, the website determination terminal 1 determines whether the website that accepts the registration of the e-mail address by member registration or the like is a malicious website, and determines whether the website is a malicious website. 1 user can be suggested.

また、ウェブサイト判定端末1は、ユーザから、表示部23に表示されているウェブサイトが悪意であるか否かの判定指示を受け付ける。よって、ユーザは、自らの意思で、所定のウェブサイトについて、悪意があるウェブサイトであるかの判定を指示することができる。   Moreover, the website determination terminal 1 receives from the user an instruction to determine whether the website displayed on the display unit 23 is malicious. Therefore, the user can instruct his / her own intention to determine whether a predetermined website is a malicious website.

<第2実施形態>
以下、本発明の第2実施形態について図を参照しながら説明する。なお、第1実施形態と同様の構成には同一の符号を付し、適宜説明を省略又は簡略化する。
図3は、本実施形態に係るウェブサイト判定システム100Aの全体構成を示す図である。
本実施形態では、ウェブサイト判定サーバ5が、ウェブサイト判定端末1Aからドメイン名を受信し、このドメイン名に基づいて、悪意のあるウェブサイトか否かを判定する処理を行う点が第1実施形態と異なる。 Second Embodiment
Hereinafter, a second embodiment of the present invention will be described with reference to the drawings. In addition, the same code | symbol is attached | subjected to the structure similar to 1st Embodiment, and description is abbreviate | omitted or simplified suitably.
FIG. 3 is a diagram showing an overall configuration of a website determination system 100A according to the present embodiment.
In the present embodiment, the first point is that the website determination server 5 receives a domain name from the website determination terminal 1A and performs a process of determining whether the website is a malicious website based on the domain name. Different from form.

ウェブサイト判定システム100Aは、ウェブサイト判定端末1Aと、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4と、ウェブサイト判定サーバ5と、を備える。   The website determination system 100A includes a website determination terminal 1A, a DNS server 2, a WHOIS server 3, a web server 4, and a website determination server 5.

ウェブサイト判定端末1Aは、制御部10Aを備えており、制御部10Aは、指示受付部11Aと、検出部12Aと、ドメイン取得部13Aと、報知制御部17Aと、を備える。   The website determination terminal 1A includes a control unit 10A, and the control unit 10A includes an instruction reception unit 11A, a detection unit 12A, a domain acquisition unit 13A, and a notification control unit 17A.

指示受付部11A及び検出部12Aは、第1実施形態の指示受付部11及び検出部12と、それぞれ同一の機能であるので、説明を省略する。   Since the instruction receiving unit 11A and the detection unit 12A have the same functions as the instruction receiving unit 11 and the detection unit 12 of the first embodiment, description thereof will be omitted.

ドメイン取得部13Aは、検出部12Aにより、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得し、通信部21を介して、このドメイン名をウェブサイト判定サーバ5に送信する。なお、ドメイン取得部13Aにおけるドメイン名を取得する処理は、第1実施形態のドメイン取得部13と同一の機能であるので、説明を省略する。   When the detecting unit 12A detects that the input form is included, the domain acquiring unit 13A acquires the domain name of the web server 4 corresponding to the website displayed on the web browser of the display unit 23, and the communication unit 21 Then, this domain name is transmitted to the website determination server 5. Note that the process of acquiring a domain name in the domain acquisition unit 13A has the same function as that of the domain acquisition unit 13 of the first embodiment, and thus description thereof is omitted.

報知制御部17Aは、通信部21を介して、ウェブサイト判定サーバ5から、判定対象のウェブサイトが悪意のあるウェブサイトであるか否かの判定結果を受信し、この判定結果を表示部23に表示させる。   The notification control unit 17A receives a determination result as to whether or not the determination target website is a malicious website from the website determination server 5 via the communication unit 21, and displays the determination result on the display unit 23. To display.

ウェブサイト判定サーバ5は、サーバ側制御部50と、サーバ側記憶部60と、サーバ側通信部61と、を備える。
サーバ側制御部50は、ドメイン判定部51と、組織判定部52と、ウェブサイト判定部53と、判定結果送信部としての送信制御部54と、を備える。 The website determination server 5 includes a server-side control unit 50, a server-side storage unit 60, and a server-side communication unit 61.
The server-side control unit 50 includes a domain determination unit 51, an organization determination unit 52, a website determination unit 53, and a transmission control unit 54 as a determination result transmission unit.

ドメイン判定部51は、サーバ側通信部61を介して、ウェブサイト判定端末1Aからドメイン名を受信し、DNSサーバ2に対して、受信したドメイン名の正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。なお、ドメイン判定部51における整合性を判定する処理は、第1実施形態のドメイン判定部14と同一の機能であるので、説明を省略する。   The domain determination unit 51 is obtained by receiving the domain name from the website determination terminal 1A via the server-side communication unit 61, and performing forward and reverse lookup of the received domain name on the DNS server 2. The consistency between the domain name and the domain name acquired by the domain acquisition unit 13 is determined. Note that the processing for determining consistency in the domain determination unit 51 has the same function as the domain determination unit 14 of the first embodiment, and thus description thereof is omitted.

組織判定部52は、WHOISサーバ3を参照し、ドメイン判定部51により受信されたドメイン名に対応する組織が所定の組織であるか否かを判定する。
ウェブサイト判定部53は、ドメイン判定部51で整合しないと判定され、かつ、組織判定部52で所定の組織ではないと判定された場合、受信したドメイン名に対応するウェブサイト、すなわち、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。
なお、組織判定部52及びウェブサイト判定部53の判定に係る処理は、第1実施形態の組織判定部15及びウェブサイト判定部16それぞれ同一の機能であるので、説明を省略する。 The organization determination unit 52 refers to the WHOIS server 3 and determines whether or not the organization corresponding to the domain name received by the domain determination unit 51 is a predetermined organization.
When it is determined that the domain determination unit 51 does not match and the organization determination unit 52 determines that the website is not a predetermined organization, the website determination unit 53 is a website corresponding to the received domain name, that is, a display unit It is determined that the website displayed on the web browser 23 is a malicious website.
Note that the processes related to the determination by the organization determination unit 52 and the website determination unit 53 have the same functions as the organization determination unit 15 and the website determination unit 16 of the first embodiment, and thus the description thereof is omitted.

送信制御部54は、ウェブサイト判定部53による判定結果を、ウェブサイト判定端末1Aに送信する。   The transmission control part 54 transmits the determination result by the website determination part 53 to the website determination terminal 1A.

図4は、本実施形態に係るウェブサイト判定端末1A及びウェブサイト判定サーバ5における処理の流れを示すフローチャートである。   FIG. 4 is a flowchart showing a processing flow in the website determination terminal 1A and the website determination server 5 according to the present embodiment.

ステップS11(受付ステップ)では、制御部10A(指示受付部11A)は、ユーザからウェブサイトの判定指示を受け付ける。   In step S11 (reception step), control unit 10A (instruction reception unit 11A) receives a website determination instruction from the user.

ステップS12(検出ステップ)では、制御部10A(検出部12A)は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する。   In step S12 (detection step), the control unit 10A (detection unit 12A) detects that the website displayed on the web browser of the display unit 23 includes an input form for inputting an email address.

ステップS13(ドメイン取得ステップ)では、制御部10A(ドメイン取得部13A)は、ステップS12において入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。   In step S13 (domain acquisition step), when the control unit 10A (domain acquisition unit 13A) detects that an input form is included in step S12, the web server corresponding to the website displayed on the web browser of the display unit 23 4 domain name is acquired.

ステップS14(ドメイン送信ステップ)では、制御部10A(ドメイン取得部13A)は、ステップS13において取得されたドメイン名を、通信部21を介して、ウェブサイト判定サーバ5に送信する。   In step S14 (domain transmission step), the control unit 10A (domain acquisition unit 13A) transmits the domain name acquired in step S13 to the website determination server 5 via the communication unit 21.

ステップS15(ドメイン受信ステップ)では、サーバ側制御部50(ドメイン判定部51)は、サーバ側通信部61を介して、ウェブサイト判定端末1Aからドメイン名を受信する。   In step S15 (domain reception step), the server-side control unit 50 (domain determination unit 51) receives the domain name from the website determination terminal 1A via the server-side communication unit 61.

ステップS16(ドメイン判定ステップ)では、サーバ側制御部50(ドメイン判定部51)は、ステップS15にて受信したドメイン名についてDNSサーバ2で正引き及び逆引きを行うことで得られるドメイン名と、受信したドメイン名との整合性を判定する。また、ドメイン判定部51は、判定結果を記憶部20に一時的に記憶させる。   In step S16 (domain determination step), the server-side control unit 50 (domain determination unit 51) obtains the domain name obtained by performing forward lookup and reverse lookup on the DNS server 2 for the domain name received in step S15, Determine consistency with the received domain name. Moreover, the domain determination unit 51 temporarily stores the determination result in the storage unit 20.

ステップS17(組織判定ステップ)では、サーバ側制御部50(組織判定部52)は、WHOISサーバ3を参照し、ステップS15にて受信したドメイン名に対応する組織が所定の組織であるか否かを判定する。また、組織判定部52は、判定結果を記憶部20に一時的に記憶させる。   In step S17 (organization determination step), the server-side control unit 50 (organization determination unit 52) refers to the WHOIS server 3 and determines whether the organization corresponding to the domain name received in step S15 is a predetermined organization. Determine. In addition, the tissue determination unit 52 temporarily stores the determination result in the storage unit 20.

ステップS18(ウェブサイト判定ステップ)では、サーバ側制御部50(ウェブサイト判定部53)は、ステップS16で整合しないと判定され、かつ、ステップS17で所定の組織ではないと判定された場合、ステップS15にて受信したドメイン名に対応するウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部53は、記憶部20に一時的に記憶されている判定結果を消去させる。   In step S18 (website determination step), if it is determined in step S16 that the server-side control unit 50 (website determination unit 53) does not match, and if it is determined in step S17 that the organization is not a predetermined organization, step It is determined that the website corresponding to the domain name received in S15 is a malicious website. The website determination unit 53 deletes the determination result temporarily stored in the storage unit 20.

ステップS19(判定結果送信ステップ)では、サーバ側制御部50(送信制御部54)は、ステップS18で判定した結果をウェブサイト判定端末1Aに送信する。   In step S19 (determination result transmission step), the server-side control unit 50 (transmission control unit 54) transmits the result determined in step S18 to the website determination terminal 1A.

ステップS20(判定結果受信ステップ)では、制御部10A(報知制御部17A)は、通信部21を介して、ステップS19で送信した判定結果を受信する。   In step S20 (determination result reception step), the control unit 10A (notification control unit 17A) receives the determination result transmitted in step S19 via the communication unit 21.

ステップS21(判定結果報知ステップ)では、制御部10A(報知制御部17A)は、ステップS20で受信した判定結果を表示部23に表示することにより、判定結果をユーザに報知する。   In step S21 (determination result notifying step), the control unit 10A (notification control unit 17A) notifies the user of the determination result by displaying the determination result received in step S20 on the display unit 23.

以上のように、本実施形態によれば、ウェブサイト判定サーバ5は、ウェブサイト判定端末1Aからドメイン名を受信したことに応じて、このドメイン名に対応するウェブサイトが悪意のあるウェブサイトか否かを判定し、判定結果をウェブサイト判定端末1Aに送信する。よって、ウェブサイト判定サーバ5は、ウェブサイト判定端末1Aにおけるウェブサイト判定処理に係る負荷を軽減させることができる。   As described above, according to the present embodiment, the website determination server 5 determines whether the website corresponding to the domain name is a malicious website in response to receiving the domain name from the website determination terminal 1A. It is determined whether or not, and the determination result is transmitted to the website determination terminal 1A. Therefore, the website determination server 5 can reduce the load related to the website determination process in the website determination terminal 1A.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.

例えば、第2実施形態では、ウェブサイト判定サーバ5が、ウェブサイト判定端末1Aからドメイン名を受信し、このドメイン名に基づいて、悪意のあるウェブサイトか否かを判定する処理を行うこととしたが、これに限らない。例えば、ウェブサイト判定サーバ5が、ウェブサイト判定端末1AからウェブサイトのURLを受信し、このURLに対応するページがメールアドレスの入力に係る入力フォームを含むことを検出し、悪意のあるウェブサイトか否かを判定するまでの処理を行うこととしてもよい。   For example, in the second embodiment, the website determination server 5 receives a domain name from the website determination terminal 1A, and performs a process of determining whether the website is a malicious website based on the domain name. However, it is not limited to this. For example, the website determination server 5 receives the URL of the website from the website determination terminal 1A, detects that the page corresponding to this URL includes an input form for inputting an e-mail address, and malicious website It is good also as performing the process until it determines whether it is.

1、1A ウェブサイト判定端末
2 DNSサーバ
3 WHOISサーバ
4 ウェブサーバ
5 ウェブサイト判定サーバ(ウェブサイト判定装置)
10、10A 制御部
11、11A 指示受付部
12、12A 検出部
13、13A ドメイン取得部
14、51 ドメイン判定部
15、52 組織判定部
16、53 ウェブサイト判定部
17、17A 報知制御部(報知部)
20 記憶部
21 通信部
22 入力部
23 表示部
54 送信制御部(判定結果送信部)
60 サーバ側記憶部
61 サーバ側通信部
N ネットワーク 1, 1A Website determination terminal 2 DNS server 3 WHOIS server 4 Web server 5 Website determination server (website determination device)
10, 10A control unit 11, 11A instruction reception unit 12, 12A detection unit 13, 13A domain acquisition unit 14, 51 domain determination unit 15, 52 organization determination unit 16, 53 website determination unit 17, 17A notification control unit (notification unit) )
20 storage unit 21 communication unit 22 input unit 23 display unit 54 transmission control unit (determination result transmission unit)
60 Server-side storage unit 61 Server-side communication unit N Network

Claims (6)

ウェブサイトを表示する表示部と、
前記表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出部と、
前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、
前記ウェブサイト判定部による判定結果を報知する報知部と、を備えるウェブサイト判定端末。 A display for displaying a website;
A detection unit for detecting that the website displayed on the display unit includes an input form for inputting an email address;
When the detection unit detects that the input form is included, a website determination unit that determines that the website displayed on the display unit is a malicious website;
A website determination terminal comprising: a notification unit that notifies a determination result by the website determination unit. 前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、
DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、
WHOISサーバを参照し、前記ドメイン取得部により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部と、をさらに備え、
前記ウェブサイト判定部は、前記検出部により前記入力フォームを含むことを検出した場合、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織種別ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定する請求項1に記載のウェブサイト判定端末。 When the detection unit detects that the input form is included, a domain acquisition unit that acquires a domain name of a web server corresponding to the website displayed on the display unit;
The DNS server performs forward lookup of the domain name acquired by the domain acquisition unit to specify the IP address, performs reverse lookup of the IP address specified to the DNS server to specify the domain name, and A domain determination unit that determines the consistency between the domain name acquired by the domain acquisition unit and the identified domain name;
An organization determination unit that refers to a WHOIS server and determines whether the organization corresponding to the domain name acquired by the domain acquisition unit is a predetermined organization type;
When the detection unit detects that the input form is included, the website determination unit determines that the domain determination unit does not match, and the organization determination unit determines that it is not the predetermined organization type. The website determination terminal according to claim 1, wherein the website is determined to be a malicious website. ユーザからウェブサイトの判定指示を受け付ける受付部をさらに備え、
前記検出部は、前記受付部により前記判定指示を受け付けたことに応じて、前記表示部に表示されたウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する請求項1又は2に記載のウェブサイト判定端末。 A reception unit for receiving a website determination instruction from the user;
3. The detection unit according to claim 1 or 2, wherein the detection unit detects that the website displayed on the display unit includes an input form related to registration of an e-mail address in response to receiving the determination instruction by the reception unit. The described website determination terminal. 端末から、ウェブサイトのURLを受け付けるURL受付部と、
前記URL受付部により受け付けた前記URLに基づいて、前記ウェブサイトを取得するページ取得部と、
前記ページ取得部により取得した前記ウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する検出部と、
前記検出部により前記入力フォームを含むことを検出した場合、前記ページ取得部により取得したウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、
DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、
WHOISサーバに接続して前記ドメイン取得部により取得されたドメイン名が所属する組織が所定の組織であるか否かを判定する組織判定部と、
前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、
前記ウェブサイト判定部による判定結果を前記端末に送信する判定結果送信部とを備えるウェブサイト判定装置。 A URL receiving unit for receiving a URL of a website from a terminal;
A page acquisition unit for acquiring the website based on the URL received by the URL reception unit;
A detection unit for detecting that the website acquired by the page acquisition unit includes an input form relating to registration of an email address;
If the detection unit detects that the input form is included, a domain acquisition unit that acquires a domain name of a web server corresponding to the website acquired by the page acquisition unit;
The DNS server performs forward lookup of the domain name acquired by the domain acquisition unit to specify the IP address, performs reverse lookup of the IP address specified to the DNS server to specify the domain name, and A domain determination unit that determines the consistency between the domain name acquired by the domain acquisition unit and the identified domain name;
An organization determination unit that connects to a WHOIS server and determines whether the organization to which the domain name acquired by the domain acquisition unit belongs is a predetermined organization;
If it is determined that the domain determination unit does not match and the organization determination unit determines that the domain is not the predetermined organization, the website determination unit determines that the website is a malicious website;
A website determination apparatus provided with the determination result transmission part which transmits the determination result by the said website determination part to the said terminal. 端末が、悪意のあるウェブサイトを判定するウェブサイト判定方法であって、
前記端末が、
ウェブサイトを表示する表示ステップと、
前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、
前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、
DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、
WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、
前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行するウェブサイト判定方法。 A website determination method in which a terminal determines a malicious website,
The terminal is
A display step for displaying the website;
A detecting step for detecting that the website displayed in the displaying step includes an input form for inputting an email address;
A domain acquisition step of acquiring a domain name of a web server corresponding to the website displayed in the display step when the detection step detects that the input form is included;
The DNS server performs forward lookup of the domain name obtained in the domain obtaining step to identify an IP address, performs reverse lookup of the IP address identified to the DNS server to identify a domain name, and A domain determination step for determining the consistency between the domain name acquired in the domain acquisition step and the identified domain name;
An organization determination step that refers to a WHOIS server and determines whether the organization corresponding to the domain name acquired in the domain acquisition step is a predetermined organization type;
Executing a website determination step of determining that the website is a malicious website when it is determined that the domain determination step does not match and the organization determination step determines that the website is not the predetermined organization; Website determination method. 端末に、悪意のあるウェブサイトを判定させるウェブサイト判定プログラムであって、
前記端末に、
ウェブサイトを表示する表示ステップと、
前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、
前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、
DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、
WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、
前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行させるウェブサイト判定プログラム。
A website determination program that causes a terminal to determine a malicious website,
In the terminal,
A display step for displaying the website;
A detecting step for detecting that the website displayed in the displaying step includes an input form for inputting an email address;
A domain acquisition step of acquiring a domain name of a web server corresponding to the website displayed in the display step when the detection step detects that the input form is included;
The DNS server performs forward lookup of the domain name obtained in the domain obtaining step to identify an IP address, performs reverse lookup of the IP address identified to the DNS server to identify a domain name, and A domain determination step for determining the consistency between the domain name acquired in the domain acquisition step and the identified domain name;
An organization determination step that refers to a WHOIS server and determines whether the organization corresponding to the domain name acquired in the domain acquisition step is a predetermined organization type;
Executing a website determination step of determining that the website is a malicious website when it is determined that the domain determination step does not match and the organization determination step determines that the website is not the predetermined organization; Website judgment program to let you.
JP2010108245A 2010-05-10 2010-05-10 Terminal, device, method and program for website determination Pending JP2011237979A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010108245A JP2011237979A (en) 2010-05-10 2010-05-10 Terminal, device, method and program for website determination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010108245A JP2011237979A (en) 2010-05-10 2010-05-10 Terminal, device, method and program for website determination

Publications (1)

Publication Number Publication Date
JP2011237979A true JP2011237979A (en) 2011-11-24

Family

ID=45325897

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010108245A Pending JP2011237979A (en) 2010-05-10 2010-05-10 Terminal, device, method and program for website determination

Country Status (1)

Country Link
JP (1) JP2011237979A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019528509A (en) * 2016-07-11 2019-10-10 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for detecting online fraud
JP7427073B2 (en) 2019-07-22 2024-02-02 インターナショナル・ビジネス・マシーンズ・コーポレーション Methods, systems and programs for isolating network traffic into web containers

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006106928A (en) * 2004-10-01 2006-04-20 Mitsubishi Electric Corp Access prevention apparatus, method, and program of preventing access
JP2006313517A (en) * 2005-05-03 2006-11-16 E-Lock Corp Sdn Bhd Safety on internet
JP2008090586A (en) * 2006-10-02 2008-04-17 Tsukuba Secure Network Research Co Ltd Web-site validity determination support system
JP2009187058A (en) * 2008-02-01 2009-08-20 Fujitsu Ltd Information processor, information processing method and computer program
JP2009206626A (en) * 2008-02-26 2009-09-10 Mitsubishi Electric Corp Name resolution method, domain name system (dns) server, client terminal, communication system, and name resolution program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006106928A (en) * 2004-10-01 2006-04-20 Mitsubishi Electric Corp Access prevention apparatus, method, and program of preventing access
JP2006313517A (en) * 2005-05-03 2006-11-16 E-Lock Corp Sdn Bhd Safety on internet
JP2008090586A (en) * 2006-10-02 2008-04-17 Tsukuba Secure Network Research Co Ltd Web-site validity determination support system
JP2009187058A (en) * 2008-02-01 2009-08-20 Fujitsu Ltd Information processor, information processing method and computer program
JP2009206626A (en) * 2008-02-26 2009-09-10 Mitsubishi Electric Corp Name resolution method, domain name system (dns) server, client terminal, communication system, and name resolution program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019528509A (en) * 2016-07-11 2019-10-10 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for detecting online fraud
JP7427073B2 (en) 2019-07-22 2024-02-02 インターナショナル・ビジネス・マシーンズ・コーポレーション Methods, systems and programs for isolating network traffic into web containers
US11979334B2 (en) 2019-07-22 2024-05-07 International Business Machines Corporation Internet activity compartmentalization

Similar Documents

Publication Publication Date Title
US7668921B2 (en) Method and system for phishing detection
CN108989266B (en) Processing method for preventing webpage hijacking, client and server
US9038181B2 (en) Prioritizing malicious website detection
US9344449B2 (en) Risk ranking referential links in electronic messages
US10148681B2 (en) Automated identification of phishing, phony and malicious web sites
US8145710B2 (en) System and method for filtering spam messages utilizing URL filtering module
US9628513B2 (en) Electronic message manager system, method, and computer program product for scanning an electronic message for unwanted content and associated unwanted sites
US20060070126A1 (en) A system and methods for blocking submission of online forms.
US9235536B2 (en) Information registration apparatus, information registration method, information registration program, and recording medium
US8782157B1 (en) Distributed comment moderation
US20120203929A1 (en) Visual preview of shortened url
TW201602828A (en) Detecting and preventing phishing attacks
AU2006324171A1 (en) Email anti-phishing inspector
US8856931B2 (en) Network browser system, method, and computer program product for scanning data for unwanted content and associated unwanted sites
US20170318041A1 (en) Method and system for detecting malicious behavior, apparatus and computer storage medium
US10447633B2 (en) Method and system for optimizing and preventing failure of sender policy framework (SPF) lookups
JP2006221242A (en) Authentication information fraud prevention system, program, and method
EP2449481A1 (en) System and method for enhancing digital content
CN104125215A (en) Website domain name hijacking detection method and system
US20120166552A1 (en) Managing Messaging Subscriptions in a Messaging System
CN104486397A (en) Method for carrying out data transmission in browser, client and mobile terminal
US9537807B2 (en) Automatically transitioning a user from a call to action to an enrollment interface
JP2011237979A (en) Terminal, device, method and program for website determination
JP6053421B2 (en) Spam mail detection device, method and program
JP6418422B2 (en) Mail delivery device and Web proxy server

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120803

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131224

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140422