JP2013171437A - Misrepresentation mail processing device, misrepresentation mail processing method, and program - Google Patents
Misrepresentation mail processing device, misrepresentation mail processing method, and program Download PDFInfo
- Publication number
- JP2013171437A JP2013171437A JP2012034940A JP2012034940A JP2013171437A JP 2013171437 A JP2013171437 A JP 2013171437A JP 2012034940 A JP2012034940 A JP 2012034940A JP 2012034940 A JP2012034940 A JP 2012034940A JP 2013171437 A JP2013171437 A JP 2013171437A
- Authority
- JP
- Japan
- Prior art keywords
- address
- transmission source
- source
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、送信元のメールアドレスが詐称された詐称メールを処理する詐称メール処理装置、詐称メール処理方法、及びプログラムに関する。 The present invention relates to a spoofed mail processing device, a spoofed mail processing method, and a program for processing a spoofed mail in which a sender's mail address is spoofed.
電子メールの受信者は、送信元が正規な電子メールのみならず、送信元のメールアドレスが詐称された詐称メールを受信することがある。このような詐称メールの受信を拒否するための技術として、例えば特許文献1には、送信元のIP(Internet Protocol)アドレス及びメールアドレス毎に、当該IPアドレス及びメールアドレスを送信元とする電子メールの受信総数が記憶され、電子メールを受信すると、その送信元のIPアドレス及びメールアドレスに対応する記憶された受信総数に応じたスコアを取得し、取得したスコアに応じて、詐称メールか否かを判別する技術がある。 An e-mail recipient may receive not only a legitimate e-mail from a sender but also a spoofed mail in which the sender's mail address is spoofed. As a technique for refusing the reception of such a spoofed mail, for example, Patent Document 1 discloses, for each source IP (Internet Protocol) address and email address, an email having the IP address and email address as the source. Is stored, and when an e-mail is received, a score corresponding to the stored total number of receptions corresponding to the IP address and e-mail address of the sender is obtained, and whether or not it is a spoofed mail according to the obtained score There is a technique to discriminate.
しかし、特許文献1に開示された技術では、受信総数に基づいてスコアを取得し、受信した電子メールが詐称メールか否かを判別するため、例えばメールマガジンのような多数の宛先に送信される電子メールは、送信元を詐称していなくても、単位時間あたりの受信総数が多いためにスコアが高くなり、詐称メールとして誤検知されるおそれがある。 However, in the technique disclosed in Patent Document 1, a score is acquired based on the total number of received messages, and is transmitted to a number of destinations such as a mail magazine in order to determine whether the received electronic mail is a spoofed mail. Even if the sender of the e-mail is not spoofed, the score is high because the total number of received messages per unit time is large, and the e-mail may be erroneously detected as a spoofed mail.
本発明は、上述の事情の下になされたもので、受信した電子メールが詐称メールか否かの判別精度を向上させることが可能な詐称メール処理装置、詐称メール処理方法、及びプログラムを提供することを目的とする。 The present invention has been made under the above circumstances, and provides a spoofed mail processing device, a spoofed mail processing method, and a program capable of improving the accuracy of determining whether or not a received electronic mail is a spoofed mail. For the purpose.
上記目的を達成するため、本発明に係る詐称メール処理装置は、
受信した電子メールの送信元のメールアドレスを表す送信元アドレスと、該電子メールの送信元のIPアドレスを表す送信元IPアドレスと、該電子メールの識別情報とを取得し、取得した前記送信元アドレスと、前記送信元IPアドレスと、前記識別情報とを対応付けて受信実績記憶部に記憶させる受信実績取得部と、
受信した電子メールのうち、ユーザが応答した電子メールの識別情報を取得し、取得した前記識別情報を応答実績記憶部に記憶させる応答実績取得部と、
前記受信実績記憶部に記憶された前記送信元IPアドレス毎に、前記応答実績記憶部に記憶された前記識別情報に基づいて、前記送信元IPアドレスが表す送信元から受信した電子メールのうち、前記ユーザが応答した電子メールの総数を取得し、取得した総数に基づいて、前記送信元IPアドレスに対応する前記送信元アドレスのドメイン名が、送信元の正規なメールアドレスのドメイン名か否かを判別し、送信元の正規なメールアドレスのドメイン名であると判別された前記送信元アドレスのドメイン名と、該送信元アドレスのドメイン名に対応する前記送信元IPアドレスとを、正規アドレス記憶部に記憶させる正規アドレス判別部と、
前記正規アドレス記憶部に記憶された前記送信元アドレスのドメイン名と前記送信元IPアドレスとに基づいて、受信した電子メールの送信元アドレスが詐称されている可能性があるか否かを判別する送信元判別部と、
を備えることを特徴とする。
In order to achieve the above object, the spoofed mail processing device according to the present invention is
The transmission source address indicating the transmission source mail address of the received electronic mail, the transmission source IP address indicating the transmission source IP address of the electronic mail, and the identification information of the electronic mail are acquired, and the acquired transmission source A reception result acquisition unit that associates an address, the transmission source IP address, and the identification information with each other and stores them in the reception result storage unit;
Among the received e-mails, a response record acquisition unit that acquires identification information of an e-mail that the user responds to and stores the acquired identification information in a response record storage unit;
For each of the transmission source IP addresses stored in the reception performance storage unit, based on the identification information stored in the response performance storage unit, among the emails received from the transmission source represented by the transmission source IP address, The total number of e-mails that the user responds to is acquired, and based on the acquired total number, whether the domain name of the source address corresponding to the source IP address is the domain name of the regular e-mail address of the source The domain name of the source address determined to be the domain name of the sender's regular mail address and the source IP address corresponding to the domain name of the source address are stored in the regular address storage. A normal address discriminating unit to be stored in the unit,
Based on the domain name of the source address and the source IP address stored in the regular address storage unit, it is determined whether or not the source address of the received e-mail may be spoofed A transmission source discrimination unit;
It is characterized by providing.
本発明によれば、受信した電子メールが詐称メールか否かの判別精度を向上させることができる。 According to the present invention, it is possible to improve the accuracy of determining whether or not a received electronic mail is a spoofed mail.
図1は、本発明の実施形態に係る詐称メール処理装置1の構成を示すブロック図である。詐称メール処理装置1は、インターネットやLAN(Local Area Network)等から構成されるネットワーク2を介して、メール送信側装置3及びメール受信側装置4と接続されている。メール送信装置3及びメール受信装置は、携帯電話やPC(Personal Computer)等の電子メールを送受信する機能を備える装置である。本実施形態において、メール送信装置3から、メール受信装置4宛てに送信された電子メールは、ネットワーク2を介して詐称メール処理装置1に送信される。そして、詐称メール処理装置1は、受信した電子メールが詐称メールであるか否か判別し、その判別結果に基づいて、受信したメールをメール受信装置4に送信する。ここで、「詐称メール」とは、送信元のメールアドレスが詐称された電子メールを表す。
FIG. 1 is a block diagram showing a configuration of a spoofing mail processing apparatus 1 according to an embodiment of the present invention. The spoofed mail processing device 1 is connected to a mail transmitting side device 3 and a mail receiving side device 4 via a
詐称メール処理装置1は、図1に示すように、通信部100と、外部インターフェース(I/F)200と、制御部300と、ROM(Read Only Memory)400と、RAM(Random Access Memory)500と、記憶部600と、から構成される。
As shown in FIG. 1, the fraudulent mail processing device 1 includes a
通信部100は、例えば、NIC(Network Interface Card)やルータ等の通信装置から構成される。通信部100は、ネットワーク2を介して、メール送信装置4及びメール受信装置4と接続し、電子メールの送受信を行う。
The
外部I/F200は、CD(Compact Disc)等のリムーバブルディスクに対して読み書きするためのドライブ装置(図示せず)や、ハードディスクドライブ等から構成される外部記憶装置等に接続するためのインターフェースである。
The external I /
制御部300は、例えば、CPU(Central Processing Unit)から構成されており、詐称メール処理装置1の全体の制御を行う。例えば、制御部300は、通信部100が電子メールを受信すると、その受信した電子メールが詐称メールか否かを判別し、判別結果に基づいて、その受信した電子メールを送信先のメールアドレス宛に通信部100により送信する。
The
ROM400は、制御部300が詐称メール処理装置1の全体を制御するためのプログラム等を格納する不揮発性メモリである。例えば、ROM400は、後述する各種処理を実行するためのプログラムを格納している。
The
RAM500は、制御部300が生成した各種情報や、当該各種情報を生成するために必要なデータを一時的に格納するための揮発性メモリである。
The
記憶部600は、ハードディスクドライブ等の記憶装置から構成される。例えば、記憶部600は、正規アドレス管理DB(データベース)610と、受信実績管理DB620と、応答実績管理DB630と、添付ファイル管理DB640とを記憶する。
The
正規アドレス管理DB610は、正規な電子メールの送信元を表す正規アドレス情報を格納する。ここで、「正規な電子メール」とは、送信元のメールアドレスが詐称されていない電子メールを表す。正規アドレス管理DBに格納された正規アドレス情報の一例を図2に示す。正規アドレス情報は、正規送信元ドメイン名と、正規送信元IPアドレスとを含む。正規送信元ドメイン名は、正規な電子メールの送信元のメールアドレスのドメイン名を表す。正規送信元IPアドレスは、正規な電子メールの送信元のメールサーバのIPアドレスを表す。 The regular address management DB 610 stores regular address information representing a sender of a regular electronic mail. Here, “regular e-mail” represents an e-mail whose sender mail address is not spoofed. An example of the regular address information stored in the regular address management DB is shown in FIG. The regular address information includes a regular source domain name and a regular source IP address. The legitimate sender domain name represents the domain name of the mail address of the legitimate electronic mail sender. The regular transmission source IP address represents the IP address of the mail server that is the transmission source of the regular electronic mail.
受信実績管理DB620は、通信部100から受信した電子メールの受信実績情報を格納する。受信実績情報とは、受信した電子メールの送信元のIPアドレス毎の、その送信元のIPアドレスから受信した電子メールの総数を表す情報である。受信実績管理DB620に格納された受信実績情報の一例を図3に示す。図3に示すように、受信実績情報は、送信元IPアドレスと、受信総数と、登録情報と、送信元アドレスと、メール識別情報とを含む。送信元IPアドレスは、受信した電子メールの送信元のメールサーバのIPアドレスを表す。受信総数は、送信元IPアドレスから送信された受信メールの総数を表す。登録情報は、送信元IPアドレスと、送信元ドメイン名とが、正規アドレス情報として、正規アドレス管理DB610に登録されたか否かを表す情報である。登録情報が「Yes」の場合、その登録情報に対応する送信元IPアドレス及び送信元ドメイン名は、正規アドレス管理DB610に登録されている。また、登録情報が「No」の場合、その登録情報に対応する送信元IPアドレス及び送信元ドメイン名は、正規アドレス管理DB610に登録されていない。送信元アドレスは、受信した電子メールの送信元のメールアドレスを表す。メール識別情報は、受信した電子メールを識別するための情報であり、例えば、受信した電子メールのヘッダ情報に含まれる「Message ID」が表す情報である。送信元IPアドレスと、送信元アドレスと、メール識別情報とは、受信した電子メールのヘッダ情報から取得される。また、受信総数と、登録情報とは、後述するように、制御部300により取得される。
The reception result management DB 620 stores the reception result information of the e-mail received from the
応答実績管理DB630は、受信した電子メールへの応答実績情報を格納する。応答実績情報とは、受信した電子メールのうち、ユーザが応答した電子メールの情報を表す。図4に、応答実績管理DB630に格納された応答実績情報の一例を示す。図4に示すように、応答実績情報は、ユーザが応答した電子メールの送信元アドレスと、ユーザが応答した電子メールのメール識別情報とを含む。
The response
添付ファイル管理DB640は、受信した電子メールのうち、詐称メールの可能性があると判別された電子メールに添付されている添付ファイルに関する情報を表す添付ファイル情報を格納する。図5に、添付ファイル管理DB640に格納された添付ファイル情報の一例を示す。図5に示すように、添付ファイル情報は、受信した電子メールに添付されていた添付ファイルの保存先を表す保存先情報と、その添付ファイル名とを含む。
The attached
次に、詐称メール処理装置1の機能的構成について説明する。図5に示すように、制御部300は、送信元判別部310、受信実績取得部320、詐称メール処理部330、応答実績取得部340、正規アドレス判別部350、として機能する。
Next, a functional configuration of the spoof mail processing device 1 will be described. As illustrated in FIG. 5, the
送信元判別部310は、正規アドレス管理DB610に登録されている正規アドレス情報に基づいて、受信した電子メールが詐称メールである可能性があるか否かを判別する。
The transmission
具体的には、送信元判別部310は、受信した電子メールのヘッダ情報に含まれる送信元ドメイン名と送信元IPアドレスとの組が、正規アドレス管理DB610に正規送信ドメイン名と正規送信元IPアドレスの組として登録されている場合、受信した電子メールは、詐称メールではない、すなわち送信元が正規な電子メールであると判別する。
Specifically, the transmission
また、受信した電子メールのヘッダ情報に含まれる送信元ドメイン名は正規アドレス管理DB610に登録されているが、その送信元ドメイン名に対応する送信元IPアドレスが、登録されている正規送信元アドレスに対応する正規送信元IPアドレスと一部異なる場合、または、送信元ドメイン名が正規アドレス管理DB610に登録されていない場合、送信元判別部310は、受信した電子メールは、詐称メールの可能性があると判別する。
The source domain name included in the header information of the received e-mail is registered in the regular
また、受信した電子メールのヘッダ情報に含まれる送信元ドメイン名は正規アドレス管理DB610に登録されているが、その送信元ドメイン名に対応する送信元IPアドレスが、登録されている正規送信元ドメイン名に対応する正規送信元IPアドレスと大きく異なる場合、送信元判別部310は、受信した電子メールは、詐称メールであると判別する。
Further, the source domain name included in the header information of the received electronic mail is registered in the regular
受信実績取得部320は、受信した電子メールから、送信元アドレスと、送信元IPアドレスと、メール識別情報とを取得し、それらを対応付けて受信実績管理DB620に格納する。具体的には、受信実績取得部320は、送信元アドレス、送信元IPアドレス、及びメール識別情報を、受信した電子メールのヘッダ情報から取得する。また、受信実績取得部320は、受信した電子メールから、送信元アドレスと、送信元IPアドレスと、メール識別情報とを取得して、受信実績管理DB620に格納するたびに、その送信元IPアドレスに対応する受信総数を更新する。
The reception result
詐称メール処理部330は、送信元判別部310により、詐称メールの可能性があると判別された電子メールについて、ユーザにその電子メールが詐称メールの可能性があることを認識させるためのアラート処理を実行する。具体的には、詐称メール処理部330は、アラート通知部331と、添付ファイル処理部332と、URL変換部332と、とを備える。
The spoofed
アラート通知部331は、送信元判別部310が詐称メールの可能性があると判別した電子メールに、該電子メールの送信元アドレスが詐称されている可能性がある旨のアラート情報を付加する。アラート情報は、例えば、「このメールは、送信元が詐称されている可能性があります。」のようなメッセージとして、電子メールの本文の冒頭に追加される。アラート情報が付加された電子メールは、通信部100により、メール受信装置4に送信される。
The
添付ファイル処理部332は、送信元判別部310が詐称メールの可能性があると判別した電子メールに、添付ファイルが添付されている場合、その添付ファイルを例えば外部の記憶装置に記憶させる。そして、添付ファイル処理部332は、その記憶装置における添付ファイルの保存先を表す保存先情報と、添付ファイル名とを対応付けて添付ファイル情報として添付ファイル管理DB640に記憶させる。そして、添付ファイル処理部332は、添付ファイル情報を、その添付ファイルが添付されていた電子メールに付加し、その電子メールから添付ファイルを削除する。添付ファイル情報は、例えば、「この電子メールに添付されていたファイル“先週の会議の議事録.pdf”は、“http://file.co.jp/qazwsx011”に保存されています。」のようなメッセージとして、受信メールの本文の冒頭に追加される。添付ファイル情報が付加された電子メールは、通信部100により、メール受信装置4に送信される。
When the attachment file is attached to the e-mail that the transmission
URL変換部333は、送信元判別部310が詐称メールの可能性があると判別した電子メールの本文中にURLが記述されている場合、該URLを、該URLが示すファイルへのリンクが無効となるように変換する。例えば、受信した電子メールの本文に、「http://....」といったURLが記述されていた場合、URL変換部333は、そのURLから先頭の「h」を削除し、「ttp://....」のようにURLを変換する。これにより、例えば、受信した電子メールをオートリンク機能を備えるメールソフトにより開いた場合、変換されたURLは、リンクとして認識されず、URLが示すファイルへのリンクが無効となる。
If the URL is described in the body of the e-mail that the
応答実績取得部340は、受信した電子メールのうち、ユーザが応答した電子メールの応答実績情報を取得し、取得した応答実績情報を応答実績管理DB630に格納する。具体的には、応答実績取得部340は、返信実績取得部341と、報告情報取得部342とを備える。
The response
返信実績取得部341は、受信した電子メールのうち、ユーザが返信した電子メールの応答実績情報を取得し、取得した応答実績情報を応答実績管理DB630に格納する。具体的には、返信実績取得部341は、受信した電子メールに対する返信メールに含まれるヘッダ情報から、受信した電子メールの送信元アドレスと、メール識別情報とを、応答実績情報として取得する。なお、返信実績取得部341は、受信した電子メールのヘッダ情報に含まれる「In-Reply-To」が表す情報を、メール識別情報として取得する。
The reply
報告情報取得部342は、報告情報をユーザの操作により取得し、取得した報告情報に含まれる応答実績情報を応答実績管理DB630に格納する。ここで、報告情報は、受信した電子メールの送信元アドレスは、正規なメールアドレスである旨を表す情報であり、その受信した電子メールの送信元アドレスと、メール識別情報とを含む。例えば、送信元判別部310により詐称メールの可能性があると判別された電子メールには、その電子メールの報告情報をユーザの操作により報告情報取得部342に送信するためのURL等の情報が追加される。そして、その電子メールを見たユーザは、受信した電子メールの送信元アドレスは、正規なメールアドレスであると判断した場合、電子メールに追加されたURLを操作することにより、報告情報を送信する。これにより、報告情報取得部342は、受信した電子メールを見たユーザが詐称メールでないと判断した電子メールの送信元アドレス及びメール識別情報を、応答実績情報として取得する。
Report
正規アドレス判別部350は、受信実績管理DB620に格納された受信実績情報と、応答実績管理DB630とに格納された応答実績情報とに基づいて、正規アドレス情報を取得し、正規アドレス管理DB610に格納する。
The regular
具体的には、正規アドレス判別部350は、受信実績管理DB620に格納された受信実績情報に含まれる送信元IPアドレス毎に、応答実績管理DB630に格納された応答実績情報に含まれるメール識別情報に基づいて、送信元IPアドレスが表す送信元から受信した電子メールのうち、ユーザが応答した電子メールの総数(応答総数)を取得する。そして、送信元IPアドレスが表す送信元から受信した電子メールの総数(受信総数)に対する応答総数の割合が、所定値以上である場合、正規アドレス判別部350は、その送信元IPアドレスに対応する送信元ドメイン名は、送信元の正規なメールアドレスのドメイン名であると判別する。そして、正規アドレス判別部350は、その送信元IPアドレスと、送信元ドメイン名とを、それぞれ正規送信元IPアドレスと、正規送信元ドメイン名として、正規アドレス管理DB610に格納する。
Specifically, the regular
次に、詐称メール処理装置1が実行する正規アドレス判別処理の流れについて説明する。図7は、詐称メール処理装置1が実行する正規アドレス判別処理の流れの一例を示すフローチャートである。図7に示す正規アドレス判別処理は、例えば、毎日所定の時刻に開始される。 Next, the flow of regular address discrimination processing executed by the spoofed mail processing device 1 will be described. FIG. 7 is a flowchart showing an example of the flow of regular address discrimination processing executed by the spoofed mail processing device 1. The regular address determination process shown in FIG. 7 is started at a predetermined time every day, for example.
正規アドレス判別部350は、受信実績管理DB620から、登録情報が「No」を表す送信元IPアドレスを1つ選択し、その送信元IPアドレスに対応する全てのメール識別情報のうち、対応するメール識別情報が、応答実績管理DB630に含まれている数を応答総数として取得する(ステップS11)。
The regular
例えば、正規アドレス判別部350は、図3に示す受信実績管理DB620において、登録情報が「No」を表す送信元IPアドレス「xxx.xxx.xxx.xxx」を選択したとする。そして、送信元IPアドレス「xxx.xxx.xxx.xxx」に対応するメール識別情報「QWERT11@company1.co.jp」は、図4に示す応答実績管理DB630に含まれているため、応答総数として“1”をカウントする。この処理を、送信元IPアドレス「xxx.xxx.xxx.xxx」に対応するメール識別情報に対して行うことにより、応答総数を取得する。
For example, it is assumed that the regular
次に、正規アドレス判別部350は、ステップS11において取得した応答総数の、選択された送信元IPアドレスの受信総数に対する割合を算出する(ステップS12)。
Next, the regular
次に、正規アドレス判別部350は、ステップS12において算出した割合が、所定値以上か否かを判別する(ステップS13)。割合が所定値以上ではないと判別した場合(ステップS13;No)、ステップS15に処理を進める。
Next, the regular
割合が所定値以上の場合(ステップS13;Yes)、正規アドレス判別部350は、その送信元IPアドレスと、その送信元IPアドレスに対応する送信元ドメイン名とを、それぞれ正規送信元IPアドレス及び正規送信元ドメイン名として、正規アドレス管理DB610に格納する(ステップS14)。そして、正規アドレス判別部350は、受信実績管理DB620において、その送信元IPアドレスに対応する登録情報を「Yes」に更新する。
When the ratio is equal to or greater than the predetermined value (step S13; Yes), the regular
次に、正規アドレス判別部350は、受信実績管理DB620に格納された、登録情報が「No」を表す全ての送信元IPアドレスに対して、ステップS11〜S14の処理を実行したか否かを判別する(ステップS15)。全ての送信元IPアドレスに対して、上記の処理を実行していないと判別した場合(ステップS15;No)、全てについて処理したと判別するまで、ステップS11〜S14の処理を繰り返す。
Next, the regular
全ての送信元IPアドレスに対して、ステップS11〜S14の処理を実行したと判別した場合(ステップS15;Yes)、正規アドレス判別部350は、本処理を終了する。
When it is determined that the processing in steps S11 to S14 has been executed for all the transmission source IP addresses (step S15; Yes), the regular
次に、詐称メール処理装置1が実行する送信元判別処理の流れについて説明する。図8は、詐称メール処理装置1が実行する送信元判別処理の流れの一例を示すフローチャートである。図8に示す送信元判別処理は、例えば、通信部100を介して、詐称メール処理装置1がメール送信装置3から電子メールを受信したことを契機として開始される。
Next, the flow of the sender discrimination process executed by the spoofed mail processing device 1 will be described. FIG. 8 is a flowchart illustrating an example of the flow of a sender determination process executed by the spoofed mail processing device 1. The transmission source determination process illustrated in FIG. 8 is started when the spoofing mail processing device 1 receives an email from the mail transmission device 3 via the
まず、送信元判別部310は、受信した電子メールの送信元ドメイン名が、正規アドレス管理DB610に登録されているか否かを判別する(ステップS21)。具体的には、送信元判別部310は、受信した電子メールのヘッダ情報から、その電子メールの送信元ドメイン名を取得し、取得した送信元アドレスと一致するメールアドレスが、正規送信元アドレスとして、正規アドレス管理DB610に登録されているか否かを判別する。
First, the transmission
次に、送信元判別部310は、ステップS21において、受信した電子メールの送信元ドメイン名がすでに正規アドレス管理DB610に登録されていると判別した場合(ステップS21;Yes)、受信した電子メールの送信元IPアドレスと、ステップ21において登録されていると判別された送信元アドレスに対応する正規送信元IPアドレスとが、一致するか否かを判別する(ステップS22)。
Next, in step S21, the transmission
次に、送信元判別部310は、受信した電子メールの送信元IPアドレスと、受信した電子メールの送信元アドレスに対応する正規送信元IPアドレスとが、一致しないと判別した場合(ステップS22;No)、送信元判別部310は、受信した電子メールの送信元IPアドレスと、受信した電子メールの送信元アドレスに対応する正規送信元IPアドレスとが、一部相違するか否か判別する(ステップS23)。
Next, the transmission
具体的には、例えば、送信元判別部310は、受信した電子メールの送信元IPアドレスと、受信した電子メールの送信元アドレスに対応する正規送信元IPアドレスとの、先頭から3組の数字が一致するか否かを判別する。先頭から3組の数字が一致する場合、送信元判別部310は、一部相違すると判別する。また、先頭から3組の数字が一致しない場合、一部相違しない、すなわち大きく異なると判別する。例えば、受信した電子メールの送信元IPアドレスが「192.168.0.1」であり、受信した電子メールの送信元ドメイン名に対応する正規送信元IPアドレスが「192.168.0.255」の場合、先頭3組の数字「192.168.0」は一致するため、送信元判別部310は、受信した電子メールの送信元IPアドレスと、受信した電子メールの送信元ドメイン名に対応する正規送信元IPアドレスとが、一部相違すると判別する。
Specifically, for example, the transmission
送信元判別部310は、送信元アドレスが正規アドレス管理DB610に登録されていないと判別した場合(ステップS21;No)、または、受信した電子メールの送信元IPアドレスと、受信した電子メールの送信元ドメイン名に対応する正規送信元IPアドレスとが、一部相違すると判別した場合(ステップS23;Yes)、詐称メール処理部330は、受信した電子メールに対してアラート処理を実行する(ステップS24)。
The transmission
具体的には、例えば、アラート通知部331は、受信した電子メールの本文冒頭に、その電子メールが詐称メールの可能性が高い旨を表すメッセージを追加する。また、ユーザが、その電子メールが正規な送信元のメールアドレスから送信されたものと判断した場合に、その旨とその電子メールの情報とを報告情報として送信するためURLが、受信した電子メールの本文に追加される。また、電子メールに添付ファイルが添付されている場合は、添付ファイル処理部332は、その添付ファイルを記憶装置に保存するとともに、その保存先情報と添付ファイル名とを電子メールの本文に追加し、電子メールから添付ファイルを削除する。また、添付ファイル情報を添付ファイル管理DB640に格納する。また、電子メール本文中にURLが記述されている場合は、URL変換部333は、そのURLを、そのURLが示すファイルへのリンクが無効となるように変換する。
Specifically, for example, the
そして、送信元判別部310は、受信した電子メールを通信部100により送信先(メール受信装置4)に送信し(ステップS25)、本処理を終了する。
Then, the transmission
また、受信した電子メールの送信元IPアドレスと、受信した電子メールの送信元ドメイン名に対応する正規送信元IPアドレスとが、一部相違しないと判別した場合(ステップS23;No)、送信元判別部310は、受信した電子メールが詐称メールであると判別し、受信メールを削除する(ステップS26)。そして、本処理を終了する。
When it is determined that the source IP address of the received e-mail and the regular source IP address corresponding to the source domain name of the received e-mail are not partly different (step S23; No), the source The
すなわち、送信元判別処理において、受信した電子メールの送信元ドメイン名及び送信元IPアドレスの組が、正規アドレス管理DB610に正規送信元ドメイン名及び正規送信元IPアドレスの組として、登録されている場合は、電子メールはそのまま送信先に送信される。また、電子メールの送信元ドメイン名が正規送信元ドメイン名として登録されていない場合、または送信元ドメイン名は正規送信元ドメイン名として登録されているが、送信元IPアドレスが正規送信元IPアドレスとして登録されているものと一部相違する場合、受信した電子メールは、詐称メールの可能性があると判別されて、アラート処理が実行された後、送信先に送信される。また、送信元ドメイン名は正規送信元ドメイン名として登録されているが、送信元IPアドレスが正規送信元IPアドレスとして登録されているものと大きく相違する場合、受信した電子メールは、詐称メールであると判別されて、削除される。
That is, in the transmission source discrimination process, the combination of the transmission source domain name and the transmission source IP address of the received e-mail is registered in the normal
以上説明したように、本実施形態に係る詐称メール処理装置1において、受信した電子メールに対するユーザからの応答実績情報に基づいて、正規アドレス情報が取得され、正規アドレス管理DB610に格納される。そして、この正規アドレス管理DB610に格納された正規アドレス情報に基づいて、詐称メールか否かの判別が実行されるため、より精度良く詐称メールを判別することができる。
As described above, in the spoofing mail processing apparatus 1 according to the present embodiment, the regular address information is acquired based on the response result information from the user with respect to the received electronic mail and stored in the regular
また、応答実績情報は、受信した電子メールに対するユーザの返信メールの情報、または受信した電子メールのメールアドレスは正規である旨のユーザからの報告情報から取得することができる。従って、メールマガジンのような多数の宛先に送信される電子メールについても、詐称メールとして判別されることを防ぐことができる。 Further, the response record information can be acquired from the user's reply mail information for the received electronic mail or the report information from the user that the mail address of the received electronic mail is valid. Therefore, it is possible to prevent an e-mail transmitted to a large number of destinations such as a mail magazine from being identified as a spoofed mail.
また、詐称メールの可能性がある電子メールに対しては、アラート情報が付加される。また、本文中にURLが記述されている場合には、そのリンクが無効となるようにURLが変換される。また、電子メールに添付された添付ファイルは、別途保存され、その保存先情報と添付ファイル名が付加される。これにより、ウィルス感染や不正サイトへのアクセスを防止できる。また、管理者の負担を低減することができる。 Also, alert information is added to an e-mail that may be a spoofed mail. If a URL is described in the text, the URL is converted so that the link becomes invalid. Also, the attached file attached to the e-mail is saved separately, and the save destination information and attached file name are added. This prevents virus infection and access to unauthorized sites. In addition, the burden on the administrator can be reduced.
以上、本発明の実施形態について説明したが、本発明は実施形態によって限定されるものではない。 As mentioned above, although embodiment of this invention was described, this invention is not limited by embodiment.
例えば、上記の実施形態において、詐称メール処理装置1と、メール送信装置3と、メール受信装置4とは、同じネットワーク2に接続されている場合について説明したが、詐称メール処理装置1と、メール送信装置3とが接続されているネットワークは、詐称メール処理装置1と、メール受信装置4とが接続されているネットワークと異なるものであってもよい。
For example, in the above embodiment, the case where the spoofed mail processing device 1, the mail transmitting device 3, and the mail receiving device 4 are connected to the
また、本発明に係る詐称メール処理装置は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、ネットワークに接続されているコンピュータに、上記動作を実行するためのプログラムを、コンピュータシステムが読み取り可能な記録媒体(CD−ROM、MO等)に格納して配布し、当該プログラムをコンピュータシステムにインストールすることにより、上述の処理を実行する詐称メール処置装置を構成してもよい。 Further, the spoofing mail processing apparatus according to the present invention can be realized using a normal computer system, not a dedicated system. For example, a program for executing the above operation is stored in a computer-readable recording medium (CD-ROM, MO, etc.) and distributed to a computer connected to a network, and the program is distributed to the computer system. You may comprise the spoofing mail processing apparatus which performs the above-mentioned process by installing.
また、コンピュータにプログラムを提供する方法は任意である。例えば、プログラムは、通信回線の掲示板(BBS)にアップロードされ、通信回線を介してコンピュータに配信されてもよい。また、プログラムは、プログラムを表す信号により搬送波を変調した変調波により伝送され、この変調波を受信した装置が変調波を復調してプログラムを復元するようにしてもよい。そして、コンピュータは、このプログラムを起動して、OSの制御のもと、他のアプリケーションと同様に実行する。これにより、コンピュータは、上述の処理を実行する詐称メール処理装置として機能する。 Further, the method for providing the program to the computer is arbitrary. For example, the program may be uploaded to a bulletin board (BBS) on a communication line and distributed to a computer via the communication line. The program may be transmitted by a modulated wave obtained by modulating a carrier wave with a signal representing the program, and a device that receives the modulated wave may demodulate the modulated wave to restore the program. Then, the computer activates this program and executes it in the same manner as other applications under the control of the OS. As a result, the computer functions as a spoofed mail processing device that executes the above-described processing.
1 詐称メール処理装置
100 通信部
200 外部I/F
300 制御部
310 送信元判別部
320 受信実績取得部
330 詐称メール処理部
331 アラート通知部
332 添付ファイル処理部
333 URL変換部
340 応答実績取得部
341 返信実績取得部
342 報告情報取得部
350 正規アドレス判別部
400 ROM
500 RAM
600 記憶部
610 正規アドレス管理DB
620 受信実績管理DB
630 応答実績管理DB
640 添付ファイル管理DB
2 ネットワーク
3 メール送信装置
4 メール受信装置
1 spoofed
300
500 RAM
600
620 Received record management DB
630 Response record management DB
640 Attached file management DB
2 Network 3 Mail sending device 4 Mail receiving device
Claims (8)
受信した電子メールのうち、ユーザが応答した電子メールの識別情報を取得し、取得した前記識別情報を応答実績記憶部に記憶させる応答実績取得部と、
前記受信実績記憶部に記憶された前記送信元IPアドレス毎に、前記応答実績記憶部に記憶された前記識別情報に基づいて、前記送信元IPアドレスが表す送信元から受信した電子メールのうち、前記ユーザが応答した電子メールの総数を取得し、取得した総数に基づいて、前記送信元IPアドレスに対応する前記送信元アドレスのドメイン名が、送信元の正規なメールアドレスのドメイン名か否かを判別し、送信元の正規なメールアドレスのドメイン名であると判別された前記送信元アドレスのドメイン名と、該送信元アドレスのドメイン名に対応する前記送信元IPアドレスとを、正規アドレス記憶部に記憶させる正規アドレス判別部と、
前記正規アドレス記憶部に記憶された前記送信元アドレスのドメイン名と前記送信元IPアドレスとに基づいて、受信した電子メールの送信元アドレスが詐称されている可能性があるか否かを判別する送信元判別部と、
を備えることを特徴とする詐称メール処理装置。 The transmission source address indicating the transmission source mail address of the received electronic mail, the transmission source IP address indicating the transmission source IP address of the electronic mail, and the identification information of the electronic mail are acquired, and the acquired transmission source A reception result acquisition unit that associates an address, the transmission source IP address, and the identification information with each other and stores them in the reception result storage unit;
Among the received e-mails, a response record acquisition unit that acquires identification information of an e-mail that the user responds to and stores the acquired identification information in a response record storage unit;
For each of the transmission source IP addresses stored in the reception performance storage unit, based on the identification information stored in the response performance storage unit, among the emails received from the transmission source represented by the transmission source IP address, The total number of e-mails that the user responds to is acquired, and based on the acquired total number, whether the domain name of the source address corresponding to the source IP address is the domain name of the regular e-mail address of the source The domain name of the source address determined to be the domain name of the sender's regular mail address and the source IP address corresponding to the domain name of the source address are stored in the regular address storage. A normal address discriminating unit to be stored in the unit,
Based on the domain name of the source address and the source IP address stored in the regular address storage unit, it is determined whether or not the source address of the received e-mail may be spoofed A transmission source discrimination unit;
A spoofing mail processing device comprising:
ことを特徴とする請求項1に記載の詐称メール処理装置。 The response record acquisition unit acquires the identification information of the email returned by the user among the received emails, and stores the acquired identification information in the response record storage unit.
The spoofed mail processing device according to claim 1.
ことを特徴とする請求項1または2に記載の詐称メール処理装置。 The response record acquisition unit acquires identification information of an e-mail whose sender address is a regular e-mail address among the received e-mails by a user operation, and stores the acquired identification information in a response record storage unit ,
The fraudulent mail processing device according to claim 1 or 2.
ことを特徴とする請求項1乃至3のいずれか1項に記載の詐称メール処理装置。 When it is determined that the sender address of the email received by the sender discriminator may be spoofed, alert information indicating that the sender address of the email may be spoofed is displayed. An alert notification unit to be added to the e-mail;
The fraudulent mail processing device according to any one of claims 1 to 3.
ことを特徴とする請求項1乃至4のいずれか1項に記載の詐称メール処理装置。 When it is determined that there is a possibility that the sender address of the email received by the sender discrimination unit is misrepresented, the file attached to the email is stored in the attached file storage unit, and the file is stored in the file An attachment file processing unit for adding storage location information representing a location stored in the attachment file storage unit to the email and deleting the file attached to the email;
The spoofed mail processing device according to any one of claims 1 to 4.
ことを特徴とする請求項1乃至5にいずれか1項に記載の詐称メール処理装置。 When it is determined by the transmission source determination unit that the transmission source address of the received email is likely to be spoofed, the URL described in the body of the email is linked to the file indicated by the URL Further includes a URL conversion unit that converts the URL to be invalid.
The fraudulent mail processing apparatus according to any one of claims 1 to 5, wherein
受信した電子メールのうち、ユーザが応答した電子メールの識別情報を取得し、取得した前記識別情報を応答実績記憶部に記憶させるステップと、
前記受信実績記憶部に記憶された前記送信元IPアドレス毎に、前記応答実績記憶部に記憶された前記識別情報に基づいて、前記送信元IPアドレスが表す送信元から受信した電子メールのうち、前記ユーザが応答した電子メールの総数を取得し、取得した総数に基づいて、前記送信元IPアドレスに対応する前記送信元アドレスのドメイン名が、送信元の正規なメールアドレスのドメイン名か否かを判別し、送信元の正規なメールアドレスのドメイン名であると判別された前記送信元アドレスのドメイン名と、該送信元アドレスのドメイン名に対応する前記送信元IPアドレスとを、正規アドレス記憶部に記憶させるステップと、
前記正規アドレス記憶部に記憶された前記送信元アドレスのドメイン名と前記送信元IPアドレスとに基づいて、受信した電子メールの送信元アドレスが詐称されている可能性があるか否かを判別するステップと、
を有することを特徴とする詐称メール処理方法。 The transmission source address indicating the transmission source mail address of the received electronic mail, the transmission source IP address indicating the transmission source IP address of the electronic mail, and the identification information of the electronic mail are acquired, and the acquired transmission source Storing the address, the source IP address, and the identification information in association with each other in the reception result storage unit;
Of the received e-mail, acquiring the identification information of the e-mail that the user responded to, and storing the acquired identification information in the response record storage unit,
For each of the transmission source IP addresses stored in the reception performance storage unit, based on the identification information stored in the response performance storage unit, among the emails received from the transmission source represented by the transmission source IP address, The total number of e-mails that the user responds to is acquired, and based on the acquired total number, whether the domain name of the source address corresponding to the source IP address is the domain name of the regular e-mail address of the source The domain name of the source address determined to be the domain name of the sender's regular mail address and the source IP address corresponding to the domain name of the source address are stored in the regular address storage. Storing it in a part;
Based on the domain name of the source address and the source IP address stored in the regular address storage unit, it is determined whether or not the source address of the received e-mail may be spoofed Steps,
A spoofing mail processing method characterized by comprising:
受信した電子メールの送信元のメールアドレスを表す送信元アドレスと、該電子メールの送信元のIPアドレスを表す送信元IPアドレスと、該電子メールの識別情報とを取得し、取得した前記送信元アドレスと、前記送信元IPアドレスと、前記識別情報とを対応付けて受信実績記憶部に記憶させる受信実績取得手段、
受信した電子メールのうち、ユーザが応答した電子メールの識別情報を取得し、取得した前記識別情報を応答実績記憶部に記憶させる応答実績取得手段、
前記受信実績記憶部に記憶された前記送信元IPアドレス毎に、前記応答実績記憶部に記憶された前記識別情報に基づいて、前記送信元IPアドレスが表す送信元から受信した電子メールのうち、前記ユーザが応答した電子メールの総数を取得し、取得した総数に基づいて、前記送信元IPアドレスに対応する前記送信元アドレスのドメイン名が、送信元の正規なメールアドレスのドメイン名か否かを判別し、送信元の正規なメールアドレスのドメイン名であると判別された前記送信元アドレスのドメイン名と、該送信元アドレスのドメイン名に対応する前記送信元IPアドレスとを、正規アドレス記憶部に記憶させる正規アドレス判別手段、
前記正規アドレス記憶部に記憶された前記送信元アドレスのドメイン名と前記送信元IPアドレスとに基づいて、受信した電子メールの送信元アドレスが詐称されている可能性があるか否かを判別する送信元判別手段、
として機能させるためのプログラム。 Computer
The transmission source address indicating the transmission source mail address of the received electronic mail, the transmission source IP address indicating the transmission source IP address of the electronic mail, and the identification information of the electronic mail are acquired, and the acquired transmission source A reception record acquisition means for storing an address, the transmission source IP address, and the identification information in association with each other in a reception record storage unit;
Response history acquisition means for acquiring the identification information of the email to which the user responded among the received emails, and storing the acquired identification information in the response history storage unit,
For each of the transmission source IP addresses stored in the reception performance storage unit, based on the identification information stored in the response performance storage unit, among the emails received from the transmission source represented by the transmission source IP address, The total number of e-mails that the user responds to is acquired, and based on the acquired total number, whether the domain name of the source address corresponding to the source IP address is the domain name of the regular e-mail address of the source The domain name of the source address determined to be the domain name of the sender's regular mail address and the source IP address corresponding to the domain name of the source address are stored in the regular address storage. Normal address discrimination means to be stored in the unit,
Based on the domain name of the source address and the source IP address stored in the regular address storage unit, it is determined whether or not the source address of the received e-mail may be spoofed Source discrimination means,
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012034940A JP5843653B2 (en) | 2012-02-21 | 2012-02-21 | False mail processing device, false mail processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012034940A JP5843653B2 (en) | 2012-02-21 | 2012-02-21 | False mail processing device, false mail processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013171437A true JP2013171437A (en) | 2013-09-02 |
JP5843653B2 JP5843653B2 (en) | 2016-01-13 |
Family
ID=49265321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012034940A Expired - Fee Related JP5843653B2 (en) | 2012-02-21 | 2012-02-21 | False mail processing device, false mail processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5843653B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021120884A (en) * | 2018-03-15 | 2021-08-19 | デジタルア−ツ株式会社 | Information processing device, information processing method, program, and recording medium |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007317113A (en) * | 2006-05-29 | 2007-12-06 | Oki Electric Ind Co Ltd | Receiving device, and method, system and program for detecting junk electronic messages |
JP2010061406A (en) * | 2008-09-03 | 2010-03-18 | Yamaha Corp | Relay device and program |
-
2012
- 2012-02-21 JP JP2012034940A patent/JP5843653B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007317113A (en) * | 2006-05-29 | 2007-12-06 | Oki Electric Ind Co Ltd | Receiving device, and method, system and program for detecting junk electronic messages |
JP2010061406A (en) * | 2008-09-03 | 2010-03-18 | Yamaha Corp | Relay device and program |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021120884A (en) * | 2018-03-15 | 2021-08-19 | デジタルア−ツ株式会社 | Information processing device, information processing method, program, and recording medium |
JP7155332B2 (en) | 2018-03-15 | 2022-10-18 | デジタルアーツ株式会社 | Information processing device, information processing method, program and recording medium |
Also Published As
Publication number | Publication date |
---|---|
JP5843653B2 (en) | 2016-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2009858B1 (en) | Method and apparatus for creating predictive filters for messages | |
US10178060B2 (en) | Mitigating email SPAM attacks | |
US20070124388A1 (en) | Method and system for a method for evaluating a message based in part on a registrar reputation | |
JP2011034417A (en) | Device, method and program for determining junk mail | |
KR101213935B1 (en) | Reducing unwanted and unsolicited electronic messages | |
JP5366504B2 (en) | Mail receiving server, spam mail receiving method and program | |
JP2011130358A (en) | Electronic mail system and unsolicited mail discriminating method in the electronic mail system | |
JP5843653B2 (en) | False mail processing device, false mail processing method, and program | |
TWI677834B (en) | Method for warning an unfamiliar email | |
JP2006251882A (en) | Unsolicited mail handling system, unsolicited mail handling method and program | |
JP2018173682A (en) | Determination program, determination method, determination device, and information processing system | |
JP6266487B2 (en) | Mail information extraction device, mail judgment list creation device, mail information extraction method, mail judgment list creation method, and computer program | |
JP2009188805A (en) | Electronic mail system | |
US20080313285A1 (en) | Post transit spam filtering | |
JP6509749B2 (en) | Communication system and server | |
JP2020166544A (en) | Electronic mail check system, check device and electronic mail check method | |
JP2007317113A (en) | Receiving device, and method, system and program for detecting junk electronic messages | |
JP7453886B2 (en) | Detection device, detection method and detection program | |
JP4477396B2 (en) | E-mail transmission / reception system | |
JP2007251554A (en) | Electronic mail filter device, electronic mail filter method, program, and record medium | |
JP5244453B2 (en) | Mail server | |
JP5862321B2 (en) | E-mail information output program, e-mail information output method, and e-mail information output device | |
JP3871625B2 (en) | Communication device | |
JP4403108B2 (en) | Mail server, mail delivery control method, mail delivery control program | |
JP6329458B2 (en) | Mail judging device, mail judging method and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150928 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151020 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151117 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5843653 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |