JP2011254533A - Different-route warning device and different-route warning program - Google Patents
Different-route warning device and different-route warning program Download PDFInfo
- Publication number
- JP2011254533A JP2011254533A JP2011172014A JP2011172014A JP2011254533A JP 2011254533 A JP2011254533 A JP 2011254533A JP 2011172014 A JP2011172014 A JP 2011172014A JP 2011172014 A JP2011172014 A JP 2011172014A JP 2011254533 A JP2011254533 A JP 2011254533A
- Authority
- JP
- Japan
- Prior art keywords
- information
- path
- route
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、例えば、電子メールデータの配信経路に何らかの不正等が介在すると認められる場合に、警告を送信する技術に関する。 The present invention relates to a technique for transmitting a warning when, for example, it is recognized that some fraud or the like is present in a delivery route of electronic mail data.
ネットワークの所定の箇所を通過する電子メールデータを全てデータベースに蓄積するメールアーカイバサーバが存在する。メールアーカイバサーバでは、過去に蓄積した電子メールデータを検索、解析等することができる。そして、不正等が行われた事実が明らかになった場合に、メールアーカイバサーバでは、その不正の立証に必要な電子メールデータを特定することができる。 There is a mail archiver server that stores all e-mail data passing through a predetermined part of a network in a database. The mail archiver server can search and analyze e-mail data accumulated in the past. When the fact that fraud has been performed becomes clear, the mail archiver server can specify e-mail data necessary for proof of the fraud.
しかし、電子メールを使用した不正が行われた場合であっても、その不正を検知することはできない。
本発明は、例えば、電子メールを利用した不正が行われた際、即時にその不正を検知し、管理者等に不正を認知させることを目的とする。
However, even if fraud using electronic mail is performed, the fraud cannot be detected.
An object of the present invention is, for example, to immediately detect fraud when fraud using electronic mail is performed, and to make an administrator recognize the fraud.
この発明に係る異経路警告装置は、
電子メールデータの送信元のユーザ毎に、電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との少なくともいずれかを、正経路情報として記憶装置に記憶する正経路情報記憶部と、
電子メールデータを取得するデータ取得部と、
上記データ取得部が取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報記憶部が正経路情報として記憶した情報を、実経路情報として取得する経路情報取得部と、
上記電子メールデータの送信元のユーザに対応して上記正経路情報記憶部が記憶した正経路情報と、上記経路情報取得部が取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを判定する経路判定部と、
上記正経路情報と上記実経路情報とが一致しないと上記経路判定部が判定した場合、警告を出力する警告出力部と
を備えることを特徴とする。
Another path warning device according to the present invention,
For each user of the e-mail data transmission source, at least one of a mailer type, an encoding method, a character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data A normal path information storage unit that stores information in a storage device;
A data acquisition unit for acquiring e-mail data;
The correct path information storage unit in the mailer type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data acquired by the data acquisition unit is the normal path. A route information acquisition unit that acquires information stored as information as actual route information;
The correct route information stored in the correct route information storage unit corresponding to the user of the transmission source of the e-mail data is compared with the actual route information acquired by the route information acquisition unit. A route determination unit that determines whether or not the actual route information matches,
And a warning output unit that outputs a warning when the route determination unit determines that the normal route information and the actual route information do not match.
この発明に係る異経路警告プログラムは、
電子メールデータの送信元のユーザ毎に、電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との少なくともいずれかを、正経路情報として記憶装置に記憶する正経路情報記憶処理と、
電子メールデータを取得するデータ取得処理と、
上記データ取得処理で取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報記憶処理で正経路情報として記憶した情報を、実経路情報として取得する経路情報取得処理と、
上記電子メールデータの送信元のユーザに対応して上記正経路情報記憶処理で記憶した正経路情報と、上記経路情報取得処理で取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを判定する経路判定処理と、
上記正経路情報と上記実経路情報とが一致しないと上記経路判定処理で判定した場合、警告を出力する警告出力処理と
をコンピュータに実行させることを特徴とする。
Another path warning program according to the present invention,
For each user of the e-mail data transmission source, at least one of a mailer type, an encoding method, a character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data A normal path information storage process for storing the information in a storage device;
A data acquisition process for acquiring email data;
Mail path type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data acquired in the data acquisition process are the normal paths in the normal path information storage process. Route information acquisition processing for acquiring information stored as information as actual route information;
The correct route information stored in the correct route information storage process corresponding to the user of the transmission source of the e-mail data is compared with the actual route information acquired in the route information acquisition process, and the correct route information and the A route determination process for determining whether or not the actual route information matches,
When the route determination process determines that the normal route information does not match the actual route information, the computer executes a warning output process for outputting a warning.
本発明に係る異経路警告装置及び異経路警告プログラムは、メーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との少なくともいずれかの情報である正経路情報と実際の電子メールデータについての上記情報である実経路情報とを比較する。そして、正経路情報と実経路情報とが一致しない場合には、その電子メールデータには不正が含まれると判定し、警告を出力する。したがって、スパムメール等の不正を含む可能性のある電子メールデータを即時に検出することができる。また、管理者等に不正を含む可能性のある電子メールデータが存在したことを認知させることができる。 The different path warning device and the different path warning program according to the present invention are at least one of mailer type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information. The normal route information is compared with the actual route information which is the above-mentioned information about the actual e-mail data. If the correct path information and the actual path information do not match, it is determined that the e-mail data includes fraud, and a warning is output. Therefore, it is possible to immediately detect e-mail data that may contain fraud such as spam mail. In addition, the administrator or the like can recognize that there is electronic mail data that may contain fraud.
図1は、実施の形態における異経路警告装置100を含むネットワークの構成の一例を示す図である。
図1において、サーバ908は、異経路警告装置100の一例である。異経路警告装置100は、複数のPC909(Personal Computer)、メールサーバ910を備える内部ネットワークとスイッチ941等を介して接続される。さらに、サーバ908は、インターネット940を介して、外部サーバA942、外部サーバB943と接続される。また、さらに、外部サーバA942は、LAN944に接続される。また、外部サーバB943は、LAN945に接続される。ここで、内部ネットワークとは、所定の企業等のグループ内のネットワークをいう。また、内部ネットワーク以外のネットワークを外部ネットワークという。
ここで、サーバ908は、コンピュータであり、例えば、LCD(液晶ディスプレイ)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)、CDD905(コンパクトディスク装置)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
FIG. 1 is a diagram illustrating an example of a configuration of a network including a different
In FIG. 1, the server 908 is an example of the different
Here, the server 908 is a computer, for example, an LCD (Liquid Crystal Display) 901, a keyboard 902 (Key / Board: K / B), a
図2は、実施の形態における異経路警告装置100の構成の一例を示す図である。
図2において、異経路警告装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、CDD905、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
FIG. 2 is a diagram illustrating an example of the configuration of the different
In FIG. 2, the different
RAM914は、揮発性メモリの一例である。ROM913、FDD904、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、FDD904、CDD905などは、入力装置の一例である。
通信ボード915は、通信装置の一例である。
The
A
The
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
An operating system 921 (OS), a
プログラム群923には、以下に述べる実施の形態の説明において「データ取得部102」、「経路情報取得部104」、「経路判定部106」、「警告出力部108」、「正経路情報記憶部110」、「分類取得部112」、「分類判定部114」、「経過時間取得部116」、「経過時間判定部118」、「受信判定部120」、「送信先取得部122」、「送信先判定部124」、「正経路情報入力部」等として説明する機能を実行するプログラム、及び、その他のプログラムがそれぞれ記憶されている。
ファイル群924には、以下に述べる実施の形態の説明において、「正経路情報」、「実経路情報」、「〜判定」として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース(DB)」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
The
In the
In addition, the arrows in the flowcharts described in the following description of the embodiments mainly indicate input / output of data and signals. The data and signal values are the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。又は、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, “to means”, and “to function”. Also, “to step”, “to procedure”, and “to processing” may be used. Further, what is described as “to process” may be “to step”. That is, what is described as “˜unit” may be realized by firmware stored in the
実施の形態1.
実施の形態1では、電子メールデータが送信されてから受信されるまでの間に実際に通った機器を経路情報として取り扱う異経路警告装置100について説明する。
Embodiment 1 FIG.
In the first embodiment, a description will be given of a different
まず、図3に基づき、実施の形態1に係る異経路警告装置100の概要について説明する。図3は、異経路警告装置100の機能の概要を示す図である。ここでは、構成を簡単にするためメールアーカイバサーバの機能を異経路警告装置100が備えているものとして説明する。
図3において、外部PC210は外部ネットワークに属するPCであり、内部PC220は内部ネットワークに属するPCである。外部PC210の使用者Aと内部PC220の使用者Bとは互いに電子メールデータを送受信している。そして、外部PC210と内部PC220との間のネットワークに接続された異経路警告装置100は、外部PC210の使用者Aと内部PC220の使用者Bとの間で送受信した電子メールデータのパケットを取得し、記憶装置に記憶する。また、異経路警告装置100は、併せて取得した電子メールデータの送受信経路情報を記憶装置に記憶する。送受信経路は、取得したパケット、若しくはパケットを解析したメールのヘッダ情報から、データベース等の記憶装置に記憶する。
そして、異経路警告装置100は、例えばある一定数以上電子メールデータの送受信があった場合等には、パターン化している経路情報を割り出す。そして、その経路情報を正経路情報としてデータベース等の記憶装置に記憶する。つまり、異経路警告装置100は、記憶装置に記憶した電子メールデータから使用者Aから使用者Bへの電子メールデータの正経路情報を割り出す。異経路警告装置100は、例えば、使用者Aから送信される電子メールデータは、外部PC210から送信される経路が正しい経路であるとする。
その後、使用者Aから使用者Bへ宛てた電子メールデータが外部PC230から送信された場合、異経路警告装置100は正しい経路とは異なる経路により送信された電子メールデータであると判定する。つまり、異経路警告装置100は上記電子メールデータを不正な電子メールデータの可能性があると判定する。そして、異経路警告装置100は電子メールデータ等で管理者や電子メールデータの受信者である使用者B等へ警告を出力する。
First, based on FIG. 3, the outline | summary of the different
In FIG. 3, an external PC 210 is a PC belonging to the external network, and an internal PC 220 is a PC belonging to the internal network. A user A of the external PC 210 and a user B of the internal PC 220 exchange e-mail data with each other. Then, the different
Then, the different
Thereafter, when the e-mail data addressed from the user A to the user B is transmitted from the external PC 230, the different
上述したように、ここでは、メールアーカイバサーバの機能を異経路警告装置100が備えているものとして説明した。しかし、これに限られるわけではなく、異経路警告装置100とは別にメールアーカイバサーバを備えている構成としても構わない。つまり、この場合、外部PC210の使用者Aと内部PC220の使用者Bとの間で送受信した電子メールデータのパケットと電子メールデータの経路情報とを記憶するのはメールアーカイバサーバである。一方、異経路警告装置100は、メールアーカイバサーバから電子メールデータのパケットと電子メールデータの経路情報とを取得し、使用者Aが送信した電子メールデータの正しい経路情報を割り出す。また、異経路警告装置100は、その後、使用者Aから送信された電子メールデータを取得し、正しい経路で送信されたか否かを判定するとともに、正しい経路でない場合には警告を出力する。つまり、電子メールデータは、電子メールのパケット、若しくはパケットを解析したメールデータのどちらであっても構わない。
以下、特に説明をしない場合には、メールアーカイバサーバは異経路警告装置100とは別に備える構成であるとして説明する。
As described above, here, it has been described that the function of the mail archiver server is provided in the different
In the following description, it is assumed that the mail archiver server is configured separately from the different
次に、図4から図6までに基づき、実施の形態1に係る異経路警告装置100の機能について詳細に説明する。図4は、実施の形態1に係る異経路警告装置100の機能を示す機能ブロック図である。図5は、実施の形態1に係る異経路警告装置100の動作の一例を示すフローチャートである。図6は、図5に示した例とは異なる実施の形態1に係る異経路警告装置100の動作の一例を示すフローチャートである。
Next, the function of the different
図4に示すように、実施の形態1に係る異経路警告装置100は、データ取得部102、経路情報取得部104、経路判定部106、警告出力部108、正経路情報記憶部110を備える。
データ取得部102は、ネットワークの所定の箇所を通過する電子メールデータを即時に(リアルタイムに)通信装置を介して取得する。
経路情報取得部104は、データ取得部102が取得した電子メールデータの通信経路を示す実経路情報を取得して記憶装置に記憶する。
経路判定部106は、後述する正経路情報記憶部110が記憶した正経路情報と、経路情報取得部104が取得した実経路情報とを比較する。そして、経路判定部106は、正経路情報と実経路情報とが一致するか否かを処理装置により判定する。
警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、警告を処理装置により出力する。
正経路情報記憶部110は、所定の単位毎に電子メールデータの正しい通信経路を示す正経路情報を記憶装置に記憶する。正経路情報記憶部110は、上述したように、異経路警告装置100は、例えばある一定数以上の送受信があった場合等、所定の条件を満たした場合にパターン化している経路情報を割り出す。そして、正経路情報記憶部110は、その経路情報を正経路情報として記憶する。
また、図示していないが、異経路警告装置100は、正経路情報を、適切な権限を有した使用者が登録、変更等行う正経路情報入力部を備えるとしても構わない。つまり、異経路警告装置100は、正経路情報を入力装置により入力する正経路情報入力部を備えており、正経路情報記憶部110は、正経路情報入力部が入力した正経路情報を記憶するとしても構わない。
As illustrated in FIG. 4, the different
The
The path
The
The
The correct path
Although not shown, the different
次に、図5に基づき、実施の形態1に係る異経路警告装置100の動作の一例を説明する。ここでは、正経路情報記憶部110は、送信元のドメイン毎に、過去に受信した電子メールデータの送信元のIPアドレスと、送信先のIPアドレスとを正経路情報として記憶する(正経路情報入力処理)。
まず、データ取得処理(S101)では、データ取得部102は電子メールデータを取得する。
次に、経路情報取得処理(S102)では、経路情報取得部104は、データ取得部102が取得した電子メールデータの送信元のIPアドレスと送信先のIPアドレスとを実経路情報として取得する。
次に、経路判定処理(S103)では、経路判定部106は、電子メールデータの送信元のドメインに対応する正経路情報と実経路情報とが一致するか否かを判定する。
そして、警告出力処理(S104)では、警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、電子メール等により管理者へ警告を出力する。
Next, an example of the operation of the different
First, in the data acquisition process (S101), the
Next, in the route information acquisition process (S102), the route
Next, in the route determination process (S103), the
In the warning output process (S104), the
上記説明では、正経路情報記憶部110は、送信元のIPアドレスと送信先のIPアドレスとを記憶するとした。しかし、正経路情報記憶部110は、過去に受信した電子メールデータの送信元のMAC(Media Access Control)アドレスと、送信先のMACアドレスとを正経路情報として記憶するとしても構わない。この場合、(S102)では、経路情報取得部104は、データ取得部102が取得した電子メールデータの送信元のMACアドレスと送信先のMACアドレスとを実経路情報として取得する。
In the above description, the normal path
次に、図6に基づき、上記とは異なる実施の形態1に係る異経路警告装置100の動作の一例を説明する。ここでは、正経路情報記憶部110は、送信元のドメイン毎に、過去に受信した電子メールデータを送信元から送信先まで転送する際に中継するMTA(Message Transfer Agent)のアドレスを正経路情報として記憶する。
まず、データ取得処理(S201)では、(S101)と同様に、データ取得部102は電子メールデータを取得する。
次に、経路情報取得処理(S202)では、経路情報取得部104は、データ取得部102が取得した電子メールデータを送信元から送信先まで転送した際に中継したMTAのアドレスを実経路情報として取得する。
次に、経路判定処理(S203)では、(S103)と同様に、経路判定部106は、電子メールデータの送信元のドメインに対応する正経路情報と実経路情報とが一致するか否かを判定する。
そして、警告出力処理(S204)では、(S104)と同様に、警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、電子メール等により管理者へ警告を出力する。
Next, based on FIG. 6, an example of operation | movement of the different
First, in the data acquisition process (S201), the
Next, in the route information acquisition process (S202), the route
Next, in the route determination process (S203), as in (S103), the
In the warning output process (S204), as in (S104), when the
ここでは、中継したMTAのアドレスにより、中継したMTAを特定することとした。ここで、MTAのアドレスとは、MTAのIPアドレスである。しかし、取得が可能な場合には、MTAのアドレスは、MTAのMACアドレスであるとしても構わない。
また、中継したMTAを特定するために、MTAのアドレスを用いるのではなく、MTAのホストネームを用いても構わない。さらに、中継したMTAを特定するために、MTAのアドレスとホストネームとの両方を用いても構わない。
Here, the relayed MTA is specified by the relayed MTA address. Here, the MTA address is the IP address of the MTA. However, if acquisition is possible, the MTA address may be the MTA MAC address.
Further, in order to specify the relayed MTA, the MTA host name may be used instead of the MTA address. Furthermore, in order to specify the relayed MTA, both the MTA address and the host name may be used.
図7と図8とに基づき、中継したメールサーバ情報の検知箇所の一例について説明する。図7は、中継したメールサーバ情報の検知箇所の一例を示す図である。図8は、電子メールデータのヘッダ情報の一例を示す図である。図8に示す電子メールデータのヘッダ情報は、図7に示す送信者から受信者へ送信された電子メールデータのヘッダ情報を示す。
経路情報(正経路情報記憶部110が記憶する正経路情報、及び、経路情報取得部104が取得する実経路情報)として扱う中継したMTAは、少なくとも図7に示す検知の必須箇所Aと検知の必須箇所Bとを含む。検知の必須箇所Aは、送信者の端末を初めに中継するMTAとその次に中継するMTAとである。また、検知の必須箇所Bは、受信者が受信する直近に中継したMTAとその前に中継したMTAとである。通常、電子メールデータはその他多くのMTAに中継されるが、検知の必須箇所A及び検知の必須箇所B以外のMTA(図7における検知の任意箇所)については経路情報に含めても含めなくても構わない。
電子メールデータのヘッダ情報においては、中継したMTAサーバはReceived句を参照することで検知することが可能である。図8に示すように、電子メールデータのヘッダ情報では、最後のReceived句とその前のReceived句とが検知の必須箇所Aを示す。また、初めのReceived句とその次のReceived句とが検知の必須箇所Bを示す。したがって、電子メールデータのヘッダ情報から少なくとも、最後のReceived句とその前のReceived句と、及び、初めのReceived句とその次のReceived句とを抽出することで検知の必須箇所Aと検知の必須箇所BとのMTAの情報を得ることができる。
Based on FIG. 7 and FIG. 8, an example of the detection part of the relayed mail server information will be described. FIG. 7 is a diagram illustrating an example of a detected location of relayed mail server information. FIG. 8 is a diagram illustrating an example of header information of e-mail data. The header information of the email data shown in FIG. 8 indicates the header information of the email data transmitted from the sender to the receiver shown in FIG.
The relayed MTA treated as the route information (the normal route information stored in the normal route
In the header information of the e-mail data, the relayed MTA server can be detected by referring to the Received phrase. As shown in FIG. 8, in the header information of the e-mail data, the last Received phrase and the preceding Received phrase indicate the required location A for detection. In addition, the first Received phrase and the next Received phrase indicate the essential part B for detection. Therefore, by detecting at least the last Received phrase and the preceding Received phrase, and the first Received phrase and the next Received phrase from the header information of the e-mail data, the detection mandatory part A and the detection essential MTA information with the location B can be obtained.
また、上記説明では、経路判定部106は、電子メールデータの送信元のドメインに対応する正経路情報と実経路情報とが一致するか否かを判定するとした。ここで言う一致とは、完全に一致することに限定するものではなく、一致率が所定以上であれば一致するとしても構わない。つまり、少なくとも所定の割合以上の経路情報が一致すれば、一致したものとしても構わない。また、検知の必須箇所Aと検知の必須箇所Bについては、完全に一致することを条件とし、合わせて検知の任意箇所について所定の割合以上経路情報が一致することを一致の条件としても構わない。
In the above description, the
上記説明では、正経路情報記憶部110は、送信元のドメイン毎に、送信元のIPアドレスと送信先のIPアドレスと、又は、送信元のMACアドレスと送信先のMACアドレスとを記憶するとした。
しかし、正経路情報記憶部110は、送信元のドメイン毎に、電子メールデータの送信元のIPアドレスとドメイン名とホスト名との少なくともいずれかの情報と、送信先のIPアドレスとドメイン名とホスト名との少なくともいずれかの情報とを正経路情報として記憶するとしても構わない。この場合、経路情報取得部104は、データ取得部102が取得した電子メールデータの送信元のIPアドレスとドメイン名とホスト名との中の正経路情報として記憶した情報と、送信先のIPアドレスとドメイン名とホスト名との中の正経路情報として記憶した情報とを実経路情報として取得する。そして、経路判定部106は、電子メールデータの送信元のドメインに対応する正経路情報と実経路情報とが一致するか否かを判定する。
また、正経路情報記憶部110は、送信元のドメイン毎に、電子メールデータの送信元のMACアドレスとドメイン名とホスト名との少なくともいずれかの情報と、送信先のMACアドレスとドメイン名とホスト名との少なくともいずれかの情報とを正経路情報として記憶するとしても構わない。経路情報取得部104は、データ取得部102が取得した電子メールデータの送信元のMACアドレスとドメイン名とホスト名との中の正経路情報として記憶した情報と、送信先のMACアドレスとドメイン名とホスト名との中の正経路情報として記憶した情報とを実経路情報として取得する。そして、経路判定部106は、電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する。
In the above description, the primary path
However, the primary path
In addition, for each source domain, the primary path
実施の形態1では、異経路警告装置100は、電子メールデータの送信元のIPアドレス(またはMACアドレス)と送信先のIPアドレス(またはMACアドレス)とを経路情報とした。また、実施の形態1では、異経路警告装置100は、電子メールデータを送信元から送信先まで転送する際に中継するMTAのアドレスを経路情報とした。そして、過去に送受信された電子メールデータから通常使用される経路を正経路情報とし、正経路情報と異なる経路で送信された電子メールデータについては不正が介在する可能性があるとして警告を出力する。
そのため、実施の形態1に係る異経路警告装置100によれば、例えば、他者のなりすましによる不正電子メールについて即時に管理者等が認知することが可能である。
In the first embodiment, the different
Therefore, according to the different
実施の形態2.
実施の形態2では、電子メールデータの転送経路、宛先の組合せを経路情報として取り扱う異経路警告装置100について説明する。
Embodiment 2. FIG.
In the second embodiment, a different
まず、実施の形態2に係る異経路警告装置100の概要について説明する。
実施の形態2に係る異経路警告装置100の動作は、概ね実施の形態1に係る異経路警告装置100と同様である。しかし、以下の点で、実施の形態2に係る異経路警告装置100は、実施の形態1に係る異経路警告装置100と異なる。
1つ目に、実施の形態2に係る異経路警告装置100が経路情報として取り扱う対象が異なる。実施の形態1に係る異経路警告装置100は、電子メールデータが送信されてから受信されるまでの間に実際に通った機器を経路として取り扱った。これにより、なりすましなどの不正を検知することを可能とした。しかし、実施の形態2に係る異経路警告装置100は、電子メールデータの転送経路や宛先の組合せを経路情報として取り扱う。つまり、本来の業務フローを逸脱して転送された電子メールデータを不正が介在する可能性がある電子メールデータであるとする。また、例えば、社外等へ送信する際必ず宛先(to句、cc句、bcc句)に加えておかなければならない送信先が宛先に入っていない電子メールデータを不正が介在する可能性がある電子メールデータであるとする。
2つ目に、正経路情報の取得方法が異なる。実施の形態1に係る異経路警告装置100は、記憶装置に蓄積された過去の電子メールデータに基づきパターン化している経路情報を割り出し正経路情報とした。しかし、実施の形態2に係る異経路警告装置100は、原則として、管理者等が予め正経路情報を入力装置等を用いて登録する。もちろん、実施の形態1に係る異経路警告装置100と同様に、記憶装置に蓄積された過去の電子メールデータに基づきパターン化している情報を割り出して正経路情報としても構わない。
First, the outline | summary of the different
The operation of the different
First, the different
Second, the method for acquiring the normal path information is different. The different
次に、図9と図10とに基づき、実施の形態2に係る異経路警告装置100の機能について詳細に説明する。図9は、実施の形態2に係る異経路警告装置100の機能を示す機能ブロック図である。図10は、実施の形態2に係る異経路警告装置100の動作の一例を示すフローチャートである。ここでは、実施の形態2に係る異経路警告装置100の機能について、実施の形態1に係る異経路警告装置100の機能と異なる部分のみを説明する。
Next, the function of the different
図9に示すように、実施の形態2に係る異経路警告装置100は、実施の形態1に係る異経路警告装置100に加え、さらに、分類取得部112、分類判定部114を備える。
分類取得部112は、電子メールデータのヘッダ情報のsubject句の情報を件名として取得して記憶装置に記憶する。ここで、分類取得部112は、subject句の情報から「Re:」や「Fw:」等メーラーによって付加される文字列を取り除いたものを件名とするとしても構わない。
分類判定部114は、分類取得部112が取得した件名が後述する正経路情報記憶部110が記憶した所定の件名であるか否かを処理装置により判定する。
また、正経路情報記憶部110は、所定の件名に対して、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶する。つまり、正経路情報記憶部110は、件名毎に正経路情報を記憶する。転送経路とは、例えば、「A担当者」から「B課長」へ送信され、「B課長」から「C部長」へ送信されるというような、電子メールデータが送信される経路をいう。また、当初送信者とは、上記例では、初めに電子メールデータを送信した「A担当者」である。最終受信者とは、上記例では、最後に電子メールデータを受信した「C部長」である。
経路情報取得部104は、データ取得部102が取得した電子メールデータの当初送信者から最終受信者までの転送経路を実経路情報として取得する。
そして、経路判定部106は、分類取得部112が取得した件名が所定の件名であると分類判定部114が判定した場合、正経路情報と実経路情報とが一致するか否かを判定する。
つまり、実施の形態2に係る異経路警告装置100は、所定の件名が付された電子メールデータについて、決められた転送経路で転送されたか否かを判定する。そして、決められた転送経路で転送されていない場合には管理者等へ警告を出力する。
また、実施の形態1と同様に、図示していないが、異経路警告装置100は、正経路情報を、適切な権限を有した使用者が登録、変更等行う入力部等を備えるとしても構わない。
As illustrated in FIG. 9, the different
The
The
Further, the correct path
The path
Then, when the
That is, the different
As in the first embodiment, although not shown, the different
次に、図10に基づき、実施の形態2に係る異経路警告装置100の動作の一例を説明する。ここでは、上述したように、正経路情報記憶部110は、所定の件名に対して、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶する。
まず、データ取得処理(S301)では、(S101)と同様に、データ取得部102は電子メールデータを取得する。
次に、分類取得処理(S302)では、分類取得部112は、電子メールデータのヘッダ情報のsubject句の情報を件名として取得する。
次に、分類判定処理(S303)では、分類判定部114は、分類取得部112が取得した件名が正経路情報記憶部110が記憶した所定の件名であるか否かを判定する。所定の件名であると分類判定部114が判定した場合(S303でYes)、(S304)へ進む。一方、所定の件名でないと分類判定部114が判定した場合(S303でNo)、処理を終了する。
次に、経路情報取得処理(S304)では、経路情報取得部104は、データ取得部102が取得した電子メールデータの当初送信者から最終受信者までの転送経路を実経路情報として取得する。
次に、経路判定処理(S305)では、経路判定部106は、分類取得部112が取得した件名が所定の件名であると分類判定部114が判定した場合、正経路情報と実経路情報とが一致するか否かを判定する。
そして、警告出力処理(S306)では、(S104)と同様に、警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、電子メール等により管理者へ警告を出力する。
Next, based on FIG. 10, an example of operation | movement of the different
First, in the data acquisition process (S301), as in (S101), the
Next, in the classification acquisition process (S302), the
Next, in the classification determination process (S303), the
Next, in the route information acquisition process (S304), the route
Next, in the route determination process (S305), when the
Then, in the warning output process (S306), as in (S104), the
上記説明では、所定の件名が付された電子メールデータについて、決められた転送経路で転送されたか否かを判定するとした。しかし、これに限られず、例えば、所定のファイル名の添付ファイルが付された電子メールデータについて、決められた転送経路で転送されたか否かを判定するとしても構わない。つまり、この場合、各機能は以下の処理を行う。
分類取得部112は、電子メールデータの添付ファイルのファイル名を取得する。
分類判定部114は、分類取得部112が取得したファイル名が正経路情報記憶部110が記憶した所定のファイル名であるか否かを処理装置により判定する。
正経路情報記憶部110は、所定のファイル名に対して、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶する。
In the above description, it is determined whether or not electronic mail data with a predetermined subject has been transferred through a predetermined transfer path. However, the present invention is not limited to this. For example, it may be determined whether or not the e-mail data with the attached file having a predetermined file name is transferred through a predetermined transfer path. That is, in this case, each function performs the following processing.
The
The
The normal path
次に、図11と図12とに基づき、上述した実施の形態2に係る異経路警告装置100に、さらに機能を追加した異経路警告装置100について説明する。図11は、図9に示す異経路警告装置100に、さらに機能を追加した異経路警告装置100の機能を示す機能ブロック図である。図12は、図11に示す異経路警告装置100の動作の一例を示すフローチャートである。
Next, based on FIG. 11 and FIG. 12, a different
図11に示すように、異経路警告装置100は、図9に示す異経路警告装置100に加え、さらに、経過時間取得部116、経過時間判定部118、受信判定部120を備える。
経過時間取得部116は、データ取得部102が取得した電子メールデータの当初送信元が送信してからデータ取得部102が取得するまでの経過時間を処理装置により取得する。
経過時間判定部118は、経過時間取得部116が取得した経過時間が所定の限度時間を越えているか否かを判定する。
受信判定部120は、電子メールデータを最終受信者が受信したか否かを処理装置により判定する。
また、正経路情報記憶部110は、所定の件名に対して、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶するとともに、電子メールデータを当初送信者が送信してから最終受信者が受信するまでの所定の限度時間を記憶する。
そして、警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、警告を出力するとともに、経過時間が限度時間を越えていると経過時間判定部118が判定し、かつ、最終受信者が受信していないと受信判定部120が判定した場合、警告を出力する。
As illustrated in FIG. 11, the different
The elapsed
The elapsed
The
Further, the correct path
The
次に、図12に基づき、図11に示す異経路警告装置100の動作の一例を説明する。ここでは、上述したように、正経路情報記憶部110は、所定の件名に対して、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶する。また、正経路情報記憶部110は、電子メールデータを当初送信者が送信してから最終受信者が受信するまでの所定の限度時間を記憶する。ここでは、図10に基づき説明した異経路警告装置100の動作と異なる部分のみ説明する。
(S401)から(S405)までの処理は、それぞれ(S301)から(S305)までの処理と同様である。ここで、(S403でYes)の場合、(S404)と(S406)とへ進む。一方、(S403でNo)の場合、処理を終了する。
経過時間取得処理(S406)では、経過時間取得部116は、データ取得部102が取得した電子メールデータの当初送信元が送信してからの経過時間を取得する。
次に、経過時間判定処理(S407)では、経過時間判定部118は、経過時間取得部116が取得した経過時間が所定の限度時間を越えているか否かを判定する。経過時間が所定の限度時間を越えていると経過時間判定部118が判定した場合(S407でYes)、(S408)へ進む。一方、経過時間が所定の限度時間を越えていないと経過時間判定部118が判定した場合(S407でNo)、処理を終了する。
次に、受信判定処理(S408)では、受信判定部120は、電子メールデータを最終受信者が受信したか否かを判定する。電子メールデータを最終受信者が受信したと判定した場合(S408でYes)、処理を終了する。一方、電子メールデータを最終受信者が受信していないと判定した場合(S408でNo)、(S409)へ進む。
そして、警告出力処理(S409)では、警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、電子メール等により管理者へ警告を出力する。また、警告出力部108は、電子メールデータを最終受信者が受信したと受信判定部120が判定した場合、電子メール等により管理者へ警告を出力する。
Next, based on FIG. 12, an example of operation | movement of the different
The processing from (S401) to (S405) is the same as the processing from (S301) to (S305), respectively. If (Yes in S403), the process proceeds to (S404) and (S406). On the other hand, if (No in S403), the process ends.
In the elapsed time acquisition process (S406), the elapsed
Next, in the elapsed time determination process (S407), the elapsed
Next, in the reception determination process (S408), the
In the warning output process (S409), the
次に、上記異経路警告装置100の動作の具体例を説明する。
正経路情報記憶部110は、所定の件名に対して、「A担当者又はB担当者又はC担当者」から「D課長又はE課長」へ、「D課長又はE課長」から「F部長」へとの転送経路を正経路情報として記憶している。また、正経路情報記憶部110は、上記所定の件名に対して、「A担当者又はB担当者又はC担当者」が送信してから「F部長」が受信するまでの限度時間をN日未満と記憶している。
ここで、上記所定の件名の電子メールデータが「A担当者」から「D課長又はE課長」を経ることなく「F部長」へ送信された場合、警告出力部108は警報を出力する。
また、上記所定の件名の電子メールデータが「A担当者」から「M課長」へ送信された場合、警告出力部108は警報を出力する。
一方、補足すると、上記所定の件名の電子メールデータが「A担当者」から「D課長」へ送信された時点では、警告は出力しない。つまり、正経路情報が記憶した最終受信者まで到達していない電子メールデータであっても、途中の転送経路が正しい電子メールデータは不正が介在していないものと判定する。
Next, a specific example of the operation of the different
The correct path
Here, when the e-mail data of the predetermined subject is transmitted from the “A person in charge” to the “F manager” without passing through the “D section manager or E section manager”, the
Further, when the e-mail data of the predetermined subject is transmitted from the “A person in charge” to the “M manager”, the
On the other hand, as a supplement, no warning is output when the e-mail data of the predetermined subject is transmitted from the “A person in charge” to the “D section manager”. That is, even if the e-mail data does not reach the final recipient stored in the correct path information, it is determined that the e-mail data with the correct transfer path in the middle is not fraudulent.
ここで、電子メールデータのヘッダ部のFrom句、To句、CC句、references句、in−reply−to句を参照することで、電子メールデータから転送経路を取得することが可能である。つまり、電子メールデータのヘッダ部のFrom句、To句、CC句、references句、in−reply−to句と、Subject句とを参照することで、上記処理を行うことが可能である。 Here, by referring to the From clause, To clause, CC clause, references clause, and in-reply-to clause in the header portion of the email data, it is possible to acquire the transfer path from the email data. That is, the above processing can be performed by referring to the From clause, To clause, CC clause, references clause, in-reply-to clause, and Subject clause in the header portion of the email data.
次に、図13と図14とに基づき、図9から図12までに示した例とは異なる実施の形態2に係る異経路警告装置100について説明する。図13は、図9と図11とに示した例とは異なる実施の形態2に係る異経路警告装置100の機能を示す機能ブロック図である。図14は、図10と図12とに示した例とは異なる実施の形態2に係る異経路警告装置100の動作の一例を示すフローチャートである。ここでは、実施の形態2に係る異経路警告装置100の機能について、実施の形態1に係る異経路警告装置100の機能と異なる部分のみを説明する。
Next, based on FIGS. 13 and 14, a different
図13に示すように、実施の形態2に係る異経路警告装置100は、実施の形態1に係る異経路警告装置100に加え、さらに、送信先取得部122、送信先判定部124を備える。
送信先取得部122は、電子メールデータの送信先のメールアドレスを取得して記憶装置に記憶する。
送信先判定部124は、送信先取得部122が取得した送信先のメールアドレスに所定のメールアドレス(第1のメールアドレス)が含まれているか否かを処理装置により判定する。
また、正経路情報記憶部110は、電子メールデータの送信先に第1のメールアドレスに対して、第2のメールアドレスを正経路情報として記憶する。
経路情報取得部104は、送信先のメールアドレスに第1のメールアドレスが含まれていると送信先判定部124が判定した場合、第1のメールアドレス以外の電子メールデータの送信先のメールアドレスを実経路情報として取得する。
経路判定部106は、第1のメールアドレスに対する正経路情報が実経路情報に含まれるいずれかのメールアドレスと一致するか否かを判定する。
警告出力部108は、第1のメールアドレスに対する正経路情報が実経路情報に含まれるいずれのメールアドレスとも一致しないと経路判定部106が判定した場合、警告を出力する。
つまり、実施の形態2に係る異経路警告装置100は、所定の宛先が含まれている電子メールデータについて、決められた送信先(メールアドレス)が宛先に含まれているか否かを判定する。そして、決められた送信先が宛先に含まれていない場合には管理者等へ警告を出力する。
また、実施の形態1と同様に、図示していないが、異経路警告装置100は、正経路情報を、適切な権限を有した使用者が登録、変更等行う入力部等を備えるとしても構わない。
As illustrated in FIG. 13, the different
The transmission
The transmission
Further, the correct path
When the
The
The
That is, the different
As in the first embodiment, although not shown, the different
次に、図14に基づき、図9から図12までに示した例とは異なる実施の形態2に係る異経路警告装置100の動作の一例を説明する。ここでは、上述したように、正経路情報記憶部110は、第1のメールアドレスに対して、第2のメールアドレスを正経路情報として記憶する。
まず、データ取得処理(S501)では、(S101)と同様に、データ取得部102は電子メールデータを取得する。
次に、送信先取得処理(S502)では、送信先取得部122は、電子メールデータの送信先のメールアドレスを取得する。
次に、送信先判定処理(S503)では、送信先判定部124は、送信先取得部122が取得した送信先のメールアドレスに第1のメールアドレスが含まれているか否かを判定する。送信先のメールアドレスに第1のメールアドレスが含まれていると送信先判定部124が判定した場合(S503でYes)、(S504)へ進む。一方、送信先のメールアドレスに第1のメールアドレスが含まれていないと送信先判定部124が判定した場合(S503でNo)、処理を終了する。
次に、経路情報取得処理(S504)では、経路情報取得部104は、第1のメールアドレス以外の電子メールデータの送信先のメールアドレスを実経路情報として取得する。
次に、経路判定処理(S505)では、経路判定部106は、第1のメールアドレスに対する正経路情報が実経路情報に含まれるいずれかのメールアドレスと一致するか否かを判定する。
そして、警告出力処理(S506)では、警告出力部108は、第1のメールアドレスに対する第2のメールアドレスが実経路情報に含まれるいずれのメールアドレスとも一致しないと経路判定部106が判定した場合、警告を出力する。
Next, based on FIG. 14, an example of operation | movement of the different
First, in the data acquisition process (S501), as in (S101), the
Next, in the transmission destination acquisition process (S502), the transmission
Next, in the transmission destination determination process (S503), the transmission
Next, in the route information acquisition process (S504), the route
Next, in the route determination process (S505), the
In the warning output process (S506), the
次に、上記異経路警告装置100の動作の具体例を説明する。
正経路情報記憶部110は、「A担当者又はB担当者又はC担当者」から「Z社」へ送信する場合、「D課長」を宛先に含めることを正経路情報として記憶する。ここで、宛先に含めるとはto句又はcc句にメールアドレスを記載することである。また、場合によっては、bcc句にメールアドレスを記載しても構わない。
ここで、「A担当者」から「Z社」へ電子メールデータを送信した場合に、「D課長」が宛先に入っていない場合、警告出力部108は警報を出力する。
Next, a specific example of the operation of the different
When transmitting from “A person in charge or B person in charge or C person in charge” to “Company Z”, the normal path
Here, when e-mail data is transmitted from “A person in charge” to “Company Z”, if “D section manager” is not in the destination, the
ここで、第1のメールアドレスと第2のメールアドレスとの例を上げる。
第1のメールアドレスは、例えば、社外のメールアドレス全てとすることができる。この場合、第2のメールアドレスは、例えば、上長のメールアドレスとなる。また、第1のメールアドレスを、取引先の企業毎に指定することもできる。この場合、第2のメールアドレスは、例えば、第1のメールアドレスで指定された企業の担当者のメールアドレスとなる。第1のメールアドレスを、取引先の企業毎に指定する場合には、例えば、ドメインにより各企業のメールアドレスを指定しても、各企業の全てのメールアドレスを指定しても構わない。
Here, examples of the first mail address and the second mail address are given.
The first mail address can be, for example, all external mail addresses. In this case, the second mail address is, for example, an upper mail address. In addition, the first mail address can be designated for each business partner. In this case, the second mail address is, for example, the mail address of the person in charge of the company specified by the first mail address. When the first email address is designated for each company of the business partner, for example, the email address of each company may be designated by the domain, or all the email addresses of each company may be designated.
また、図9と図10とに基づき説明したように、電子メールデータの件名によりチェックを行うか否かを決定する処理を加えても構わない。 Further, as described based on FIG. 9 and FIG. 10, processing for determining whether to perform a check based on the subject of the e-mail data may be added.
実施の形態2では、電子メールデータの転送経路及び当初送信者から最終受信者までの転送時間を経路情報とした。また、実施の形態2では、電子メールデータの宛先に所定の送信先が含まれている場合の他の送信先を経路情報とした。そして、予め定めた正経路情報と異なる経路で送信された電子メールデータについては不正が介在する可能性があるとして警告を出力する。
そのため、実施の形態2に係る異経路警告装置100によれば、例えば、社内の従業員が、不正経理等の業務上の不正行為を隠蔽する目的で、通常とは異なる経路で電子メールデータを送信した場合には、即時に管理者等が認知することが可能である。また、正しい承認経路から逸脱して電子メールデータの送受信をした場合には、即時に統制担当者等が認知することが可能である。
In the second embodiment, the transfer information of the e-mail data and the transfer time from the initial sender to the final receiver are used as the route information. Further, in the second embodiment, other destinations in the case where a predetermined destination is included in the destination of the e-mail data are set as route information. Then, a warning is output because there is a possibility that fraud is present in the e-mail data transmitted through a route different from the predetermined normal route information.
Therefore, according to the different
実施の形態3.
実施の形態3では、電子メールのメーラー種類、エンコード方式文字コード等を経路情報として取り扱う異経路警告装置100について説明する。
Embodiment 3 FIG.
In the third embodiment, a different
まず、実施の形態3に係る異経路警告装置100の概要について説明する。
実施の形態3に係る異経路警告装置100の動作は、経路情報として取り扱う対象が異なるという点において、実施の形態1に係る異経路警告装置100とは異なる。
実施の形態3に係る異経路警告装置100は、電子メールのメーラー(電子メール用ソフトウェア)種類、エンコード方式、文字コード等を経路情報として取り扱う。これにより、例えば、不正を行う者が他人になりすまして電子メールデータを送信した場合に、送信元のIPアドレス等を偽装したり、本来の使用者が使用するメーラーと異なるメーラーや通常と異なるエンコード方式や文字コード等を使用する場合が考えられる。このような場合に、不正が介在した可能性があることを認知できる。
First, the outline | summary of the different
The operation of the different
The different
次に、図15に基づき、実施の形態3に係る異経路警告装置100の機能について詳細に説明する。図15は、実施の形態3に係る異経路警告装置100の動作の一例を示すフローチャートである。実施の形態3に係る異経路警告装置100の構成は、図3に示した構成と同様である。ここでは、実施の形態3に係る異経路警告装置100の機能について、実施の形態1に係る異経路警告装置100の機能と異なる部分のみを説明する。
Next, the function of the different
実施の形態3に係る異経路警告装置100の構成は、実施の形態1に係る異経路警告装置100と同様である。つまり、実施の形態3に係る異経路警告装置100の機能を示す機能ブロック図は、図4に示す機能ブロック図と同様である。
正経路情報記憶部110は、送信元のユーザ毎に、メーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との少なくともいずれかを正経路情報として記憶する。
経路情報取得部104は、データ取得部102が取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報として記憶した情報を実経路情報として取得する。
経路判定部106は、電子メールデータの送信元のユーザに対応する正経路情報と実経路情報とが一致するか否かを判定する。
The configuration of the different
The normal path
The route
The
次に、図15に基づき、実施の形態3に係る異経路警告装置100の動作の一例を説明する。ここでは、正経路情報記憶部110は、送信元のユーザ毎に、メーラー種類とエンコード方式と文字コードとを正経路情報として記憶しているとする。
まず、データ取得処理(S601)では、(S101)と同様に、データ取得部102は電子メールデータを取得する。
次に、経路情報取得処理(S602)では、経路情報取得部104は、データ取得部102が取得した電子メールデータのメーラー種類とエンコード方式と文字コードを実経路情報として取得する。
次に、経路判定処理(S603)では、経路判定部106は、電子メールデータの送信元のユーザに対応する正経路情報と実経路情報とが一致するか否かを判定する。
そして、警告出力処理(S604)では、(S104)と同様に、警告出力部108は、正経路情報と実経路情報とが一致しないと経路判定部106が判定した場合、電子メール等により管理者へ警告を出力する。
Next, an example of the operation of the different
First, in the data acquisition process (S601), as in (S101), the
Next, in the route information acquisition process (S602), the route
Next, in the route determination process (S603), the
In the warning output process (S604), as in (S104), when the
ここでは、一例としてメーラー種類とエンコード方式と文字コードとを経路情報として扱った。しかし、上述したように、reply−to句、errors−to句、return−path句、from句(ニックネームを含む)等の有無や記載された内容を経路情報に加えても構わない。 Here, as an example, mailer type, encoding method, and character code are treated as route information. However, as described above, the presence / absence of the reply-to clause, the errors-to clause, the return-path clause, the from clause (including the nickname), and the like, and the described contents may be added to the route information.
実施の形態3では、メーラー種類とエンコード方式と文字コードと等を経路情報とした。そして、過去に送受信された電子メールデータから通常使用されるメーラー種類とエンコード方式と文字コードと等を正経路情報とし、受信した電子メールデータのメーラー種類とエンコード方式と文字コードとが正経路情報と異なる電子メールデータについては、不正が介在する可能性があるとして警告を出力する。
そのため、実施の形態3に係る異経路警告装置100によれば、他人の端末を使って電子メールデータを送信した場合に、本来の使用者と異なるメーラー等を使用した場合等に、不正が介在した可能性があることを認知できる。
In the third embodiment, the mailer type, encoding method, character code, and the like are used as route information. Then, the mailer type, encoding method, character code, etc. that are normally used from the email data sent and received in the past are used as the normal route information, and the mailer type, encoding method, and character code of the received email data are used as the normal route information. For e-mail data different from the above, a warning is output as there is a possibility of fraud.
Therefore, according to the different
以上をまとめると次のようになる。
上記実施の形態に係る異経路警告装置は、例えば、所定の単位毎に電子メールデータの正しい通信経路を示す正経路情報を記憶装置に記憶する正経路情報記憶部と、
電子メールデータを通信装置を介して取得するデータ取得部と、
上記データ取得部が取得した電子メールデータの通信経路を示す実経路情報を取得して記憶装置に記憶する経路情報取得部と、
上記正経路情報記憶部が記憶した正経路情報と、上記経路情報取得部が取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを処理装置により判定する経路判定部と、
上記正経路情報と上記実経路情報とが一致しないと上記経路判定部が判定した場合、警告を処理装置により出力する警告出力部と
を備えることを特徴とする。
The above is summarized as follows.
The different path warning device according to the above embodiment includes, for example, a normal path information storage unit that stores, in a storage device, normal path information indicating a correct communication path of e-mail data for each predetermined unit;
A data acquisition unit for acquiring e-mail data via a communication device;
A path information acquisition unit that acquires real path information indicating a communication path of the email data acquired by the data acquisition unit and stores the real path information in a storage device;
A processing device that compares the normal route information stored in the normal route information storage unit with the actual route information acquired by the route information acquisition unit to determine whether the correct route information matches the actual route information. A route determination unit for determining by
And a warning output unit that outputs a warning by a processing device when the route determination unit determines that the normal route information does not match the actual route information.
上記正経路情報記憶部は、送信元のドメイン毎に、電子メールデータの送信元のIP(Internet Protocol)アドレスとドメイン名とホスト名との少なくともいずれかの情報と、送信先のIPアドレスとドメイン名とホスト名との少なくともいずれかの情報とを正経路情報として記憶し、
上記経路情報取得部は、上記データ取得部が取得した電子メールデータの送信元のIPアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報と、送信先のIPアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報とを実経路情報として取得し、
上記経路判定部は、上記電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
The primary path information storage unit includes, for each transmission source domain, information on at least one of an IP (Internet Protocol) address, a domain name, and a host name of the e-mail data, an IP address of the transmission destination, and a domain Information of at least one of a name and a host name is stored as normal path information,
The route information acquisition unit includes information stored as the original route information in the IP address, domain name, and host name of the email data acquired by the data acquisition unit, the IP address of the transmission destination, and the domain Information stored as the normal path information in the first name and the host name is acquired as actual path information,
The path determination unit determines whether or not the normal path information corresponding to the domain of the transmission source of the e-mail data matches the actual path information.
上記正経路情報記憶部は、送信元のドメイン毎に、電子メールデータの送信元のMAC(Media Access Control)アドレスとドメイン名とホスト名との少なくともいずれかの情報と、送信先のMACアドレスとドメイン名とホスト名との少なくともいずれかの情報とを正経路情報として記憶し、
上記経路情報取得部は、上記データ取得部が取得した電子メールデータの送信元のMACアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報と、送信先のMACアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報とを実経路情報として取得し、
上記経路判定部は、上記電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
The primary path information storage unit includes, for each transmission source domain, information on at least one of a MAC (Media Access Control) address, a domain name, and a host name of a transmission source of email data, a transmission destination MAC address, Store at least one of domain name and host name information as correct path information,
The path information acquisition unit includes information stored as the normal path information in the MAC address, domain name, and host name of the transmission source of the email data acquired by the data acquisition unit, the MAC address of the transmission destination, and the domain Information stored as the normal path information in the first name and the host name is acquired as actual path information,
The path determination unit determines whether or not the normal path information corresponding to the domain of the transmission source of the e-mail data matches the actual path information.
上記正経路情報記憶部は、送信元のドメイン毎に、電子メールデータを送信元から送信先まで転送する際に中継するMTA(Message Transfer Agent)のアドレスを正経路情報として記憶し、
上記経路情報取得部は、上記データ取得部が取得した電子メールデータを送信元から送信先まで転送した際に中継したMTAのアドレスを実経路情報として取得し、
上記経路判定部は、上記電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
The correct path information storage unit stores, as correct path information, the address of an MTA (Message Transfer Agent) relayed when transferring e-mail data from the source to the destination for each source domain.
The path information acquisition unit acquires, as actual path information, the address of the MTA relayed when the e-mail data acquired by the data acquisition unit is transferred from the transmission source to the transmission destination.
The path determination unit determines whether or not the normal path information corresponding to the domain of the transmission source of the e-mail data matches the actual path information.
上記正経路情報記憶部は、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶し、
上記経路情報取得部は、上記データ取得部が取得した電子メールデータの当初送信者から最終受信者までの転送経路を実経路情報として取得する
ことを特徴とする。
The normal path information storage unit stores the transfer path from the initial sender of the e-mail data to the final receiver as normal path information,
The path information acquisition unit acquires the transfer path from the initial sender to the final receiver of the e-mail data acquired by the data acquisition unit as actual path information.
上記正経路情報記憶部は、所定の件名に対して上記正経路情報を記憶し、
上記異経路警告装置は、さらに、
上記電子メールデータのヘッダ情報のsubject句の情報を件名として取得して記憶装置に記憶する分類取得部と、
上記分類取得部が取得した件名が上記正経路情報記憶部が記憶した上記所定の件名であるか否かを処理装置により判定する分類判定部とを備え、
上記分類取得部が取得した件名が上記所定の件名であると上記分類判定部が判定した場合、上記経路判定部は、上記正経路情報と上記実経路情報とが一致するか否かを判定することを特徴とする。
The correct path information storage unit stores the correct path information for a predetermined subject,
The different path warning device further includes:
A classification acquisition unit that acquires the subject phrase information of the header information of the email data as a subject and stores the information in a storage device;
A classification determination unit that determines whether or not the subject acquired by the classification acquisition unit is the predetermined subject stored in the normal path information storage unit by a processing device;
When the classification determination unit determines that the subject acquired by the classification acquisition unit is the predetermined subject, the route determination unit determines whether or not the normal route information matches the actual route information. It is characterized by that.
上記正経路情報記憶部は、所定のファイル名に対して上記正経路情報を記憶し、
上記異経路警告装置は、さらに、
上記電子メールデータの添付ファイルのファイル名を取得して記憶装置に記憶する分類取得部と、
上記分類取得部が取得したファイル名が上記正経路情報記憶部が記憶した上記所定のファイル名であるか否かを処理装置により判定する分類判定部とを備え、
上記分類取得部が取得したファイル名が上記所定のファイル名であると上記分類判定部が判定した場合、上記経路判定部は、上記正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
The correct path information storage unit stores the correct path information for a predetermined file name,
The different path warning device further includes:
A classification acquisition unit that acquires the file name of the attached file of the email data and stores the file name in a storage device;
A classification determination unit that determines whether or not the file name acquired by the classification acquisition unit is the predetermined file name stored in the primary path information storage unit, by a processing device;
When the classification determination unit determines that the file name acquired by the classification acquisition unit is the predetermined file name, the route determination unit determines whether the normal route information matches the actual route information. It is characterized by determining.
上記正経路情報記憶部は、電子メールデータを当初送信者が送信してから最終受信者が受信するまでの限度時間を記憶し、
上記異経路警告装置は、さらに、
上記データ取得部が取得した電子メールデータの当初送信元が送信してからの経過時間を処理装置により取得する経過時間取得部と、
上記経過時間取得部が取得した経過時間が上記限度時間を越えているか否かを判定する経過時間判定部と、
上記電子メールデータを上記最終受信者が受信したか否かを処理装置により判定する受信判定部とを備え、
上記経過時間が上記限度時間を越えていると上記経過時間判定部が判定し、かつ、上記最終受信者が受信していないと上記受信判定部が判定した場合、上記警告出力部は、警告を出力する
ことを特徴とする。
The normal path information storage unit stores a time limit from when the initial sender transmits the e-mail data to when the final receiver receives the e-mail data,
The different path warning device further includes:
An elapsed time acquisition unit that acquires an elapsed time from the transmission of the initial transmission source of the e-mail data acquired by the data acquisition unit;
An elapsed time determination unit that determines whether or not the elapsed time acquired by the elapsed time acquisition unit exceeds the limit time;
A reception determination unit that determines whether or not the final recipient has received the e-mail data by a processing device;
When the elapsed time determination unit determines that the elapsed time exceeds the limit time and the reception determination unit determines that the final receiver has not received, the warning output unit outputs a warning. It is characterized by outputting.
上記正経路情報記憶部は、第1のメールアドレスに対して、第2のメールアドレスを正経路情報として記憶し、
上記異経路警告装置は、さらに、
上記電子メールデータの送信先のメールアドレスを取得して記憶装置に記憶する送信先取得部と、
上記送信先取得部が取得した送信先のメールアドレスに上記第1のメールアドレスが含まれているか否かを処理装置により判定する送信先判定部とを備え、
送信先のメールアドレスに上記第1のメールアドレスが含まれていると上記送信先判定部が判定した場合、上記経路情報取得部は、上記第1のメールアドレス以外の上記電子メールデータの送信先のメールアドレスを実経路情報として取得し、
上記経路判定部は、上記第1のメールアドレスに対する正経路情報が上記実経路情報に含まれるいずれかのメールアドレスと一致するか否かを判定し、
上記第1のメールアドレスに対する第2のメールアドレスが上記実経路情報に含まれるいずれのメールアドレスとも一致しないと上記経路判定部が判定した場合、上記警告出力部は、警告を出力する
ことを特徴とする。
The correct path information storage unit stores the second mail address as the correct path information with respect to the first mail address,
The different path warning device further includes:
A transmission destination acquisition unit for acquiring a mail address of the transmission destination of the email data and storing it in a storage device;
A transmission destination determination unit that determines whether or not the first email address is included in the email address of the transmission destination acquired by the transmission destination acquisition unit;
When the transmission destination determination unit determines that the first mail address is included in the transmission destination mail address, the route information acquisition unit transmits the transmission destination of the electronic mail data other than the first mail address. Is obtained as real route information,
The route determination unit determines whether or not the normal route information for the first email address matches any email address included in the actual route information,
When the route determination unit determines that the second email address for the first email address does not match any email address included in the actual route information, the warning output unit outputs a warning. And
上記正経路情報記憶部は、送信元のユーザ毎に、電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との少なくともいずれかを正経路情報として記憶し、
上記経路情報取得部は、上記データ取得部が取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報として記憶した情報を実経路情報として取得し、
上記経路判定部は、上記電子メールデータの送信元のユーザに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
The normal path information storage unit is configured to store at least one of a mailer type, an encoding method, a character code, reply-to information, errors-to information, return-path information, and From information of e-mail data for each transmission source user. Is stored as normal path information,
The route information acquisition unit includes the mailer type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information of the email data acquired by the data acquisition unit. Obtain information stored as route information as actual route information,
The path determination unit determines whether or not the normal path information corresponding to the user who is the transmission source of the e-mail data matches the actual path information.
上記異経路警告装置は、さらに、
正経路情報を入力装置により入力する正経路情報入力部を備え、
上記正経路情報記憶部は、上記正経路情報入力部が入力した正経路情報を記憶する
ことを特徴とする。
The different path warning device further includes:
A correct path information input unit for inputting correct path information by an input device;
The normal path information storage unit stores the normal path information input by the normal path information input unit.
上記実施の形態に係る異経路警告プログラムは、例えば、所定の単位毎に電子メールデータの正しい通信経路を示す正経路情報を記憶装置に記憶する正経路情報記憶処理と、
電子メールデータを通信装置を介して取得するデータ取得処理と、
上記データ取得処理で取得した電子メールデータの通信経路を示す実経路情報を取得して記憶装置に記憶する経路情報取得処理と、
上記正経路情報記憶処理で記憶した正経路情報と、上記経路情報取得処理で取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを処理装置により判定する経路判定処理と、
上記正経路情報と上記実経路情報とが一致しないと上記経路判定処理で判定した場合、警告を処理装置により出力する警告出力処理と
をコンピュータに実行させることを特徴とする。
The different path warning program according to the embodiment includes, for example, a normal path information storage process for storing, in a storage device, normal path information indicating a correct communication path of e-mail data for each predetermined unit;
A data acquisition process for acquiring e-mail data via a communication device;
A path information acquisition process for acquiring actual path information indicating a communication path of the e-mail data acquired in the data acquisition process and storing it in a storage device;
A processing device that compares the normal path information stored in the normal path information storage process with the actual path information acquired in the path information acquisition process to determine whether the normal path information matches the actual path information. Route determination processing determined by
When the route determination process determines that the normal route information and the actual route information do not match, the computer is caused to execute a warning output process for outputting a warning by a processing device.
上記正経路情報記憶処理では、送信元のドメイン毎に、電子メールデータの送信元のIP(Internet Protocol)アドレスとドメイン名とホスト名との少なくともいずれかの情報と、送信先のIPアドレスとドメイン名とホスト名との少なくともいずれかの情報とを正経路情報として記憶し、
上記経路情報取得処理では、上記データ取得処理で取得した電子メールデータの送信元のIPアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報と、送信先のIPアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報とを実経路情報として取得し、
上記経路判定処理では、上記電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
In the normal path information storage process, for each transmission source domain, information on at least one of an IP (Internet Protocol) address, a domain name, and a host name of the email data, an IP address of the transmission destination, and a domain Information of at least one of a name and a host name is stored as normal path information,
In the route information acquisition process, information stored as the original route information in the IP address, domain name, and host name of the e-mail data acquired in the data acquisition process, the IP address and domain of the destination Information stored as the normal path information in the first name and the host name is acquired as actual path information,
In the route determination process, it is determined whether or not the correct route information corresponding to the domain of the transmission source of the electronic mail data matches the actual route information.
上記正経路情報記憶処理では、送信元のドメイン毎に、電子メールデータの送信元のMAC(Media Access Control)アドレスとドメイン名とホスト名との少なくともいずれかの情報と、送信先のMACアドレスとドメイン名とホスト名との少なくともいずれかの情報とを正経路情報として記憶し、
上記経路情報取得処理では、上記データ取得処理で取得した電子メールデータの送信元のMACアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報と、送信先のMACアドレスとドメイン名とホスト名との中の上記正経路情報として記憶した情報とを実経路情報として取得し、
上記経路判定処理では、上記電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
In the normal path information storage process, for each source domain, information on at least one of a MAC (Media Access Control) address, a domain name, and a host name of e-mail data, a destination MAC address, Store at least one of domain name and host name information as correct path information,
In the route information acquisition process, the information stored as the original route information in the MAC address, domain name, and host name of the e-mail data acquired in the data acquisition process, the MAC address of the transmission destination, and the domain Information stored as the normal path information in the first name and the host name is acquired as actual path information,
In the route determination process, it is determined whether or not the correct route information corresponding to the domain of the transmission source of the electronic mail data matches the actual route information.
上記正経路情報記憶処理では、送信元のドメイン毎に、電子メールデータを送信元から送信先まで転送する際に中継するMTA(Message Transfer Agent)のアドレスを正経路情報として記憶し、
上記経路情報取得処理では、上記データ取得処理で取得した電子メールデータを送信元から送信先まで転送した際に中継したMTAのアドレスを実経路情報として取得し、
上記経路判定処理では、上記電子メールデータの送信元のドメインに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
In the normal path information storage process, for each transmission source domain, the address of an MTA (Message Transfer Agent) relayed when transferring e-mail data from the transmission source to the transmission destination is stored as normal path information.
In the route information acquisition process, the MTA address relayed when the e-mail data acquired in the data acquisition process is transferred from the transmission source to the transmission destination is acquired as actual route information.
In the route determination process, it is determined whether or not the correct route information corresponding to the domain of the transmission source of the electronic mail data matches the actual route information.
上記正経路情報記憶処理では、電子メールデータの当初送信者から最終受信者までの転送経路を正経路情報として記憶し、
上記経路情報取得処理では、上記データ取得処理で取得した電子メールデータの当初送信者から最終受信者までの転送経路を実経路情報として取得する
ことを特徴とする。
In the normal path information storage process, the transfer path from the initial sender to the final receiver of the email data is stored as the normal path information,
In the route information acquisition process, the transfer route from the initial sender to the final receiver of the e-mail data acquired in the data acquisition process is acquired as actual route information.
上記正経路情報記憶処理では、所定の件名に対して上記正経路情報を記憶し、
上記異経路警告プログラムは、さらに、
上記電子メールデータのヘッダ情報のsubject句の情報を件名として取得して記憶装置に記憶する分類取得処理と、
上記分類取得処理で取得した件名が上記正経路情報記憶処理で記憶した上記所定の件名であるか否かを処理装置により判定する分類判定処理とをコンピュータに実行させ、
上記分類取得処理で取得した件名が上記所定の件名であると上記分類判定処理で判定した場合、上記経路判定処理では、上記正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
In the normal route information storage process, the normal route information is stored for a predetermined subject,
The different path warning program further includes
A classification acquisition process for acquiring the subject phrase information of the header information of the email data as a subject and storing it in a storage device;
Causing the computer to execute a classification determination process in which the processing device determines whether the subject acquired in the classification acquisition process is the predetermined subject stored in the normal path information storage process,
When the classification determination process determines that the subject acquired in the classification acquisition process is the predetermined subject, the route determination process determines whether the normal route information matches the actual route information. It is characterized by that.
上記正経路情報記憶処理では、所定のファイル名に対して上記正経路情報を記憶し、
上記異経路警告装置は、さらに、
上記電子メールデータの添付ファイルのファイル名を取得して記憶装置に記憶する分類取得処理と、
上記分類取得処理で取得したファイル名が上記正経路情報記憶処理で記憶した上記所定のファイル名であるか否かを処理装置により判定する分類判定処理とをコンピュータに実行させ、
上記分類取得処理で取得したファイル名が上記所定のファイル名であると上記分類判定処理で判定した場合、上記経路判定処理は、上記正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
In the normal path information storage process, the normal path information is stored for a predetermined file name,
The different path warning device further includes:
A classification acquisition process for acquiring the file name of the attached file of the e-mail data and storing it in a storage device;
Causing the computer to execute a classification determination process in which the processing device determines whether the file name acquired in the classification acquisition process is the predetermined file name stored in the normal path information storage process,
When the classification determination process determines that the file name acquired in the classification acquisition process is the predetermined file name, the path determination process determines whether the correct path information matches the actual path information. It is characterized by determining.
上記正経路情報記憶処理では、電子メールデータを当初送信者が送信してから最終受信者が受信するまでの限度時間を記憶し、
上記異経路警告プログラムは、さらに、
上記データ取得処理で取得した電子メールデータの当初送信元が送信してからの経過時間を処理装置により取得する経過時間取得処理と、
上記経過時間取得処理で取得した経過時間が上記限度時間を越えているか否かを判定する経過時間判定処理と、
上記電子メールデータを上記最終受信者が受信したか否かを処理装置により判定する受信判定処理とをコンピュータに実行させ、
上記経過時間が上記限度時間を越えていると上記経過時間判定処理で判定し、かつ、上記最終受信者が受信していないと上記受信判定処理で判定した場合、上記警告出力処理では、警告を出力する
ことを特徴とする。
In the above-mentioned correct path information storage process, the time limit from when the initial sender transmits the e-mail data until the final receiver receives it is stored,
The different path warning program further includes
An elapsed time acquisition process in which the processing device acquires the elapsed time since the initial transmission source of the e-mail data acquired in the data acquisition process;
An elapsed time determination process for determining whether or not the elapsed time acquired in the elapsed time acquisition process exceeds the limit time;
Causing the computer to execute reception determination processing for determining whether or not the final recipient has received the email data by a processing device;
When the elapsed time exceeds the limit time, it is determined by the elapsed time determination process, and when it is determined by the reception determination process that the final receiver has not received, the warning output process outputs a warning. It is characterized by outputting.
上記正経路情報記憶処理では、第1のメールアドレスに対して、第2のメールアドレスを正経路情報として記憶し、
上記異経路警告プログラムは、さらに、
上記電子メールデータの送信先のメールアドレスを取得して記憶装置に記憶する送信先取得処理と、
上記送信先取得処理で取得した送信先のメールアドレスに上記第1のメールアドレスが含まれているか否かを処理装置により判定する送信先判定処理とをコンピュータに実行させ、
送信先のメールアドレスに上記第1のメールアドレスが含まれていると上記送信先判定処理で判定した場合、上記経路情報取得処理では、上記第1のメールアドレス以外の上記電子メールデータの送信先のメールアドレスを実経路情報として取得し、
上記経路判定処理では、上記第1のメールアドレスに対する正経路情報が上記実経路情報に含まれるいずれかのメールアドレスと一致するか否かを判定し、
上記第1のメールアドレスに対する第2のメールアドレスが上記実経路情報に含まれるいずれのメールアドレスとも一致しないと上記経路判定処理で判定した場合、上記警告出力処理では、警告を出力する
ことを特徴とする。
In the normal path information storage process, the second mail address is stored as the normal path information with respect to the first mail address,
The different path warning program further includes
A destination acquisition process for acquiring a destination email address of the email data and storing it in a storage device;
Causing the computer to execute a transmission destination determination process for determining by the processing device whether or not the first mail address is included in the transmission destination mail address acquired in the transmission destination acquisition process;
When the destination determination process determines that the first mail address is included in the destination mail address, the route information acquisition process determines the destination of the email data other than the first mail address. Is obtained as real route information,
In the route determination process, it is determined whether or not the normal route information for the first email address matches any email address included in the actual route information;
When the route determination process determines that the second email address corresponding to the first email address does not match any email address included in the actual route information, the warning output processing outputs a warning. And
上記正経路情報記憶処理では、送信元のユーザ毎に、電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との少なくともいずれかを正経路情報として記憶し、
上記経路情報取得処理では、上記データ取得処理で取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報として記憶した情報を実経路情報として取得し、
上記経路判定処理では、上記電子メールデータの送信元のユーザに対応する正経路情報と上記実経路情報とが一致するか否かを判定する
ことを特徴とする。
In the normal path information storage process, at least one of a mailer type, an encoding method, a character code, reply-to information, errors-to information, return-path information, and From information of e-mail data is provided for each transmission source user. Is stored as normal path information,
In the route information acquisition process, the mailer type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information of the email data acquired in the data acquisition process are correct. Obtain information stored as route information as actual route information,
In the route determination process, it is determined whether or not the normal route information corresponding to the user who is the transmission source of the electronic mail data matches the actual route information.
上記異経路警告プログラムは、さらに、
正経路情報を入力装置により入力する正経路情報入力処理をコンピュータに実行させ、
上記正経路情報記憶処理では、上記正経路情報入力処理で入力した正経路情報を記憶する
ことを特徴とする。
The different path warning program further includes
Causing the computer to execute normal path information input processing for inputting the normal path information by the input device;
In the normal path information storage process, the normal path information input in the normal path information input process is stored.
上記実施の形態に係る異経路警告方法は、例えば、通信装置が、電子メールデータを取得するデータ取得ステップと、
記憶装置が、上記データ取得ステップで取得した電子メールデータの通信経路を示す実経路情報を取得して記憶する経路情報取得ステップと、
処理装置が、記憶装置に記憶した所定の単位毎に電子メールデータの正しい通信経路を示す正経路情報と、上記経路情報取得ステップで取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを判定する経路判定ステップと、
処理装置が、上記正経路情報と上記実経路情報とが一致しないと上記経路判定ステップで判定した場合、警告を出力する警告出力ステップと
を備えることを特徴とする。
The different path warning method according to the above embodiment includes, for example, a data acquisition step in which the communication device acquires e-mail data;
A path information acquisition step in which the storage device acquires and stores real path information indicating the communication path of the email data acquired in the data acquisition step;
The processing device compares the normal route information indicating the correct communication route of the email data for each predetermined unit stored in the storage device with the actual route information acquired in the route information acquisition step, and A route determination step for determining whether or not the actual route information matches;
The processing apparatus includes a warning output step for outputting a warning when the path determination step determines that the normal path information does not match the actual path information.
100 異経路警告装置、102 データ取得部、104 経路情報取得部、106 経路判定部、108 警告出力部、110 正経路情報記憶部、112 分類取得部、114 分類判定部、116 経過時間取得部、118 経過時間判定部、120 受信判定部、122 送信先取得部、124 送信先判定部、210,230 外部PC、220 内部PC、901 LCD、902 K/B、903 マウス、904 FDD、905 CDD、908 サーバ、909 PC、910 メールサーバ、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916 サーバA、917 サーバB、918 サーバC、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、940 インターネット、941 スイッチ、942 外部サーバA、943 外部サーバB、944,945 LAN。
DESCRIPTION OF
Claims (2)
電子メールデータを取得するデータ取得部と、
上記データ取得部が取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報記憶部が正経路情報として記憶した情報を、実経路情報として取得する経路情報取得部と、
上記電子メールデータの送信元のユーザに対応して上記正経路情報記憶部が記憶した正経路情報と、上記経路情報取得部が取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを判定する経路判定部と、
上記正経路情報と上記実経路情報とが一致しないと上記経路判定部が判定した場合、警告を出力する警告出力部と
を備えることを特徴とする異経路警告装置。 For each user of the e-mail data transmission source, at least one of a mailer type, an encoding method, a character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data A normal path information storage unit that stores information in a storage device;
A data acquisition unit for acquiring e-mail data;
The correct path information storage unit in the mailer type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data acquired by the data acquisition unit is the normal path. A route information acquisition unit that acquires information stored as information as actual route information;
The correct route information stored in the correct route information storage unit corresponding to the user of the transmission source of the e-mail data is compared with the actual route information acquired by the route information acquisition unit. A route determination unit that determines whether or not the actual route information matches,
A different path warning device comprising: a warning output unit that outputs a warning when the path determination unit determines that the normal path information and the actual path information do not match.
電子メールデータを取得するデータ取得処理と、
上記データ取得処理で取得した電子メールデータのメーラー種類とエンコード方式と文字コードとreply−to情報とerrors−to情報とreturn−path情報とFrom情報との中の上記正経路情報記憶処理で正経路情報として記憶した情報を、実経路情報として取得する経路情報取得処理と、
上記電子メールデータの送信元のユーザに対応して上記正経路情報記憶処理で記憶した正経路情報と、上記経路情報取得処理で取得した実経路情報とを比較して、上記正経路情報と上記実経路情報とが一致するか否かを判定する経路判定処理と、
上記正経路情報と上記実経路情報とが一致しないと上記経路判定処理で判定した場合、警告を出力する警告出力処理と
をコンピュータに実行させることを特徴とする異経路警告プログラム。 For each user of the e-mail data transmission source, at least one of a mailer type, an encoding method, a character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data A normal path information storage process for storing the information in a storage device;
A data acquisition process for acquiring email data;
Mail path type, encoding method, character code, reply-to information, errors-to information, return-path information, and From information of the e-mail data acquired in the data acquisition process are the normal paths in the normal path information storage process. Route information acquisition processing for acquiring information stored as information as actual route information;
The correct route information stored in the correct route information storage process corresponding to the user of the transmission source of the e-mail data is compared with the actual route information acquired in the route information acquisition process, and the correct route information and the A route determination process for determining whether or not the actual route information matches,
A different path warning program that causes a computer to execute a warning output process that outputs a warning when the path determination process determines that the normal path information does not match the actual path information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011172014A JP2011254533A (en) | 2011-08-05 | 2011-08-05 | Different-route warning device and different-route warning program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011172014A JP2011254533A (en) | 2011-08-05 | 2011-08-05 | Different-route warning device and different-route warning program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007088112A Division JP4885780B2 (en) | 2007-03-29 | 2007-03-29 | Different path warning device, different path warning program, and different path warning method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011254533A true JP2011254533A (en) | 2011-12-15 |
Family
ID=45417995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011172014A Pending JP2011254533A (en) | 2011-08-05 | 2011-08-05 | Different-route warning device and different-route warning program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011254533A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017085486A (en) * | 2015-10-30 | 2017-05-18 | サイバネットシステム株式会社 | Transmission controller, transmission control method, and transmission control program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10341306A (en) * | 1997-06-06 | 1998-12-22 | Ricoh Co Ltd | Control method for network facsimile equipment |
JP2004260575A (en) * | 2003-02-26 | 2004-09-16 | Fujitsu Ltd | Abnormality detection method, abnormality detection program, server, computer |
JP2006101474A (en) * | 2004-09-06 | 2006-04-13 | Junichi Kamiyama | Mail reception method, mail-receiving device and mail server |
-
2011
- 2011-08-05 JP JP2011172014A patent/JP2011254533A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10341306A (en) * | 1997-06-06 | 1998-12-22 | Ricoh Co Ltd | Control method for network facsimile equipment |
JP2004260575A (en) * | 2003-02-26 | 2004-09-16 | Fujitsu Ltd | Abnormality detection method, abnormality detection program, server, computer |
JP2006101474A (en) * | 2004-09-06 | 2006-04-13 | Junichi Kamiyama | Mail reception method, mail-receiving device and mail server |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017085486A (en) * | 2015-10-30 | 2017-05-18 | サイバネットシステム株式会社 | Transmission controller, transmission control method, and transmission control program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11019094B2 (en) | Methods and systems for malicious message detection and processing | |
US20200358733A1 (en) | Authentication And Confidence Marking E-Mail Messages | |
US10303889B2 (en) | System and method to reduce inappropriate email and online behavior | |
TWI593266B (en) | Malicious message detection and processing | |
US20190312729A1 (en) | E-mail message authentication extending standards complaint techniques | |
US9043417B1 (en) | Detecting spam across a social network | |
US20080040243A1 (en) | Notification of mail deliveries in remote post office mailboxes | |
US20210126944A1 (en) | Analysis of potentially malicious emails | |
US9412096B2 (en) | Techniques to filter electronic mail based on language and country of origin | |
JP2008117153A (en) | Electronic mail transmission terminal device, method, and program | |
JP5936798B2 (en) | Log analysis device, unauthorized access audit system, log analysis program, and log analysis method | |
JP4885780B2 (en) | Different path warning device, different path warning program, and different path warning method | |
US9887950B2 (en) | Validating E-mails using message posting services | |
JP6039378B2 (en) | Unauthorized mail determination device, unauthorized mail determination method, and program | |
JP5668034B2 (en) | E-mail monitoring apparatus, outgoing mail server, e-mail monitoring method and program | |
CN108696422B (en) | Electronic mail processing apparatus and electronic mail processing method | |
US11218453B2 (en) | Exchanging encrypted messages among multiple agents | |
JP2011254533A (en) | Different-route warning device and different-route warning program | |
JP2008234437A (en) | Electronic mail incorrect transmission prevention device and electronic mail incorrect transmission prevention method and program | |
JP2011254532A (en) | Different-route warning device and different-route warning program | |
JP4322495B2 (en) | Spam mail suppression device, spam mail suppression method, and spam mail suppression program | |
JP6316380B2 (en) | Unauthorized mail determination device, unauthorized mail determination method, and program | |
JP2002091874A (en) | Proxy electronic mail processor and program storage medium | |
JP5846590B2 (en) | E-mail monitoring apparatus, outgoing mail server, e-mail monitoring method and program | |
US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121120 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130312 |