JP2013229656A - メール処理方法及びシステム - Google Patents
メール処理方法及びシステム Download PDFInfo
- Publication number
- JP2013229656A JP2013229656A JP2012098737A JP2012098737A JP2013229656A JP 2013229656 A JP2013229656 A JP 2013229656A JP 2012098737 A JP2012098737 A JP 2012098737A JP 2012098737 A JP2012098737 A JP 2012098737A JP 2013229656 A JP2013229656 A JP 2013229656A
- Authority
- JP
- Japan
- Prior art keywords
- received
- risk
- entropy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】標的型攻撃メールの疑いがあるかどうかを判別してユーザーに対して警告を発することにより、よりセキュアに電子メールを利用できるようにする。
【解決手段】一般的なメーラーに攻撃メール判定制御部を付加し、過去のメール送信時の宛先アドレスに基づくメールアドレスのホワイトリストを用いたチェックと、受信メールでの経路情報の送信元ドメインと送信者メールアドレスのドメインとが一致するかのチェックとを組み合わせ、さらにエントロピー算出による差分比較との統合処理とを行い、危険を有する可能性がある場合に、ユーザーがメールを開く際に警告を発する。
【選択図】 図2
【解決手段】一般的なメーラーに攻撃メール判定制御部を付加し、過去のメール送信時の宛先アドレスに基づくメールアドレスのホワイトリストを用いたチェックと、受信メールでの経路情報の送信元ドメインと送信者メールアドレスのドメインとが一致するかのチェックとを組み合わせ、さらにエントロピー算出による差分比較との統合処理とを行い、危険を有する可能性がある場合に、ユーザーがメールを開く際に警告を発する。
【選択図】 図2
Description
本発明は、電子メールを処理する方法及び装置に関し、特に、標的型攻撃メールによる被害を防止するための方法及び装置に関する。
インターネットの普及に伴って、迷惑メールと称される電子メールが目立つようになってきた。従来はいわゆるスパムメールと呼ばれる大量発信型の迷惑メールが主流であったが、最近では、攻撃や機密情報漏洩などを目的として特定企業や個人を対象として送りつけられる標的型攻撃メールが横行するようになってきた。
標的型攻撃メールは、メールの宛先となる当事者すなわち受信者を特定した上で、差出人として特定の人物を装ったり、メールの件名や本文を受信者の業務内容と関連するものとすることによって、受信者にそのメールが真正なものであると誤認させるように偽装されている。メールの受信者は、PC(パーソナルコンピュータ)上で実行されるメーラー(電子メール送受信用のソフトウエア)によってメールを受信して閲覧するが、偽装されていること気づかずに受信者が標的型攻撃メールの添付ファイルを開いたり、メール文中に記載されているURL(Uniform Resource Locator)を参照したりすると、そこに仕組まれていた不正プログラムやウィルスに受信者のPCが感染し、機密情報漏洩などの被害を受けることになる(例えば、非特許文献1参照)。特に、メールの「差出人」が受信者にとって既知の人物である場合、メールの「差出人」が偽装されているか否かを例えば送信元のメールアドレスに基づいて確認することをせずに受信者が添付ファイルを開いたりメール文中のURLを参照してしまうことは、ままあることである。また、メールヘッダー中の「From」フィールドに差出人名が送信者メールアドレスとは別に記録されている場合に、メーラーによっては、送信者メールアドレスを表示しないものもある。また、送信者メールアドレス自体も偽装可能であるから、標的型攻撃メールをより確実に見破ろうとするためにはそのメールのメールヘッダに記録されている経路情報も参照する必要があるが、一般的な受信者にそこまでのことを要求することは現実的ではない。
「IPAテクニカルウォッチ 標的型攻撃メールの分析に関するレポート 〜だましのテクニック事件4例の紹介と標的型攻撃メールの分析・対策〜」、[Online]、2011年10月3日、独立行政法人情報処理推進機構 技術本部 セキュリティセンター、[2012年4月16日検索]、インターネット<URL:http://www.ipa.go.jp/about/technicalwatch/pdf/111003report.pdf>
メーラーにおいて、メールの文面などから受信したメールがスパムメールかどうかを判定し、スパムメールであれば「ゴミ箱フォルダ」などにそのメールを自動的に移動させる処理は、一般的に行われている。しかしながら、標的型攻撃メールによって想定される被害はスパムメールよりもずっと深刻であるにも関わらず、これまで、一般的に使用されているメーラーにおいて、そのメーラーの機能として標的型攻撃メールか否かを判別してその被害をシステム的に防止するように構成されているものはない。標的型攻撃メールの被害を防ぐためには受信者であるユーザーが用心深く対処するしかないが、ユーザー個人の自覚及び力量に委ねる方法では限界があり、標的型攻撃メールによる被害が多発しているのが現状である。
本発明の目的は、標的型攻撃メールの疑いがあるかどうかを判別してユーザーに対して警告を発することができ、よりセキュアに電子メールを利用できるようにするメール処理方法及びシステムを提供することにある。
本発明のメール処理方法は、電子メールを処理するメール処理方法であって、過去に発信した電子メールの宛先アドレスを保持するホワイトリストを参照して、受信した電子メールの送信者メールアドレスがホワイトリストに含めていないか、あるいは、送信者メールアドレスのドメインと受信した電子メールの送信元のドメインとが一致しない場合に、受信した電子メールは危険性を有するとして第1の危険度指標を設定をする段階と、受信した電子メールからエントロピー値を算出し、過去の電子メールから算出されたエントロピー値と比較し、比較によって得られた結果に応じて受信した電子メールに対して第2の危険性指標を設定する段階と、第1の危険性指標と第2の危険性指標とを統合して、受信したメールの危険性を評価する段階と、受信した電子メールに関し、統合処理部により危険性が示されている場合に、ユーザーに対して危険性を通知してメールを表示することの可否を問い合わせる段階と、を有する。
本発明のメール処理システムは、電子メールを処理するメール処理システムであって、過去に発信した電子メールの宛先アドレスをホワイトリストとして保持するホワイトリスト格納部と、受信した電子メールの送信者メールアドレスがホワイトリストに含めていないか、あるいは、送信者メールアドレスのドメインと受信した電子メールの送信元のドメインとが一致しない場合に、受信した電子メールは危険性を有するとして第1の危険度指標を設定をするホワイトリスト参照手段と、受信した電子メールからエントロピー値を算出し、過去の電子メールから算出されたエントロピー値と比較し、比較によって得られた結果に応じて受信した電子メールに対して第2の危険性指標を設定するエントロピー算出手段と、第1の危険性指標と第2の危険性指標とを統合して、受信したメールの危険性を評価する統合処理手段と、受信した電子メールに関し、統合処理手段により危険性が示されている場合に、ユーザーに対して危険性を通知してメールを表示することの可否を問い合わせる警告表示手段と、を有する。
本発明は、電子メールを受信した際に、送受信履歴に基づくホワイトリストとそのメールに含まれるアドレス、経路情報、本文及び添付ファイルから算出されたエントロピー値とを用いて標的型攻撃メールのおそれがあるかどうかを判定し、標的型攻撃メールのおそれがあるメールに関しては受信者に対して自動的に警告を行うことにより、受信者はその警告に基づいて当該メールを廃棄するなどの処理を行うことができるようになる。本発明によれば、標的型のメール攻撃に対する防御機能を果たす効果が期待でき、よりセキュアなメール使用が可能となる。近年、情報漏洩などが企業等にもたらすダメージは計り知れないものとなっており、本発明によって標的型攻撃メールによる被害を防止する効果が高まることは、非常に意義深いことである。
次に、本発明の実施の形態について、図面を参照して説明する。
図1に示した本発明の一実施形態のメール処理システムは、例えば、PCなどのハードウエアに、本発明に基づく方法によって電子メールを処理するソフトウエアであるメーラー20を実装することによって実現されるものである。以下に説明するメーラー20が有する機能を実現する専用ハードウエアによっても、本発明に基づくメール処理システムを構成することができる。
PCなどでは、一般に、各種のアプリケーションソフトは、オペレーティングシステム(OS)の制御の下で動作し、かつ、OSを介して入力装置や表示装置などの各種のハードウエアコンポーネントにアクセスする。本実施形態のメール処理システムにおいても、OS11の制御の下でメーラー20が動作し、メーラー20は、OS11を介して、ネットワークインタフェース12、入力装置13及び表示装置14との間で必要なデータをやり取りする。ネットワークインタフェース12は、例えばインターネットなどのネットワーク10に接続している。入力装置13は例えばマウスやキーボードなどであり、表示装置14は例えば液晶ディスプレイである。タッチセンサー型の入力装置と液晶ディスプレイからなる表示装置とが一体化したタッチスクリーンを入力装置13及び表示装置14として用いることもできる。
本実施形態においてメーラー20は、メールの作成、表示、送受信など一般的な処理を行う通常処理部21と、本発明に基づく方法に特有な処理を行う攻撃メール判定制御部22とから構成されている。通常処理部21が行う処理は、既存の一般的なメーラーのソフトウエアが行う処理であるから、本実施形態のメーラー20は、既存の一般的なメーラーソフトウエアを改造し、攻撃メール判定制御部22に相当する部分を実装することによって実現できる。
攻撃メール判定制御部22は、受信したメールの危険性をホワイトリストに基づいて評価するホワイトリスト参照部23と、ホワイトリスト参照部23で用いるホワイトリストをホワイトリストテーブルとして保持するホワイトリスト格納部24と、受信したメールから算出されるエントロピーに基づいてそのメールの危険性を評価するエントロピー算出部25と、ホワイストリスト参照部23とエントロピー算出部25の各々での危険性評価の結果に基づいて受信メールの危険性を総合的に評価する統合処理部26と、危険性を有すると判断されたメールに関してユーザー(受信者)に対して警告を表示するための処理を行う警告表示部27と、エントロピー算出部25において算出されたメールごとのエントロピー値を保持するエントロピー格納部28と、を備えている。以下、攻撃メール判定制御部22についてさらに詳しく説明する。
図2は、攻撃メール判定制御部22の動作の概要を説明する図である。図2では、ネットワーク10としてインターネットが用いられており、インターネットから電子メールがこのメール処理システムに到着し、そのメールがOS11を介してメーラー20に渡されたものとしている。インターネット側では、ユーザーA〜Cの3者がメールの送信者となっているが、このうち、ユーザーAは善意のユーザーであって、既にその送信者メールアドレスがホワイトリストに登録されている。ユーザーBについてはその送信者メールアドレスはホワイトリストには登録されていない。ユーザーCは、標的型のメール攻撃を行おうとする悪意のユーザーであって送信者メールアドレスを偽装しており、その偽装された送信者メールアドレスがホワイトリストに登録されているとする。
ホワイトリスト参照部23は、メーラー20がメールを受信したときに、このメーラー20がこれまでにメールを送信した相手先の宛先アドレスを記録するホワイトリストを参照して危険性を判断し、また、受信メールの経路情報と送信者のドメイン情報を用いて標的型攻撃メールの危険性を判断するものである。また、ホワイトリスト参照部23は、ホワイトリストを構築するため、このメーラー20によってメールを送信したときに、その宛先アドレスを通常処理部21から取得し、ホワイトリスト格納部24に格納されたホワイトリストテーブルに記録する。
図3は、ユーザーがメールを送信したときのホワイトリストへの登録の処理を示している。この処理は、ユーザが何らかの形で宛先メールアドレスを指定した場合、その指定されたメールアドレスは信頼できるアドレスであるとして、ホワイトリストにこのアドレスが未登録であれば登録する処理である。まず、ホワイトリスト参照部23は、通常処理部21から通知された送信メールデータから宛先アドレスを抽出し(ステップ101)、ホワイトリスト格納部24内のホワイトリストテーブルを検索して、抽出されたアドレスがホワイトリストに登録されているかどうかを判定する。既に登録されているときは、ステップ104に移行し、そのまま通常処理部21によってメール送信がなされ、処理が終了する。一方、アドレスがホワイトリストに登録されていない場合には、当該アドレスをホワイトリストに追加し(ステップ103)、その後、ステップ104においてメールが送信されて、処理が終了する。
図4は、ユーザーがメールを受信したときのホワイトリスト参照部23の処理を示している。ここでの処理の目的は、受信したメールをユーザーが開く前に、ホワイトリストの検索に基づくチェックと、受信メールにおける経路情報での送信元ドメインと送信者メールアドレスのドメインとが一致するかのチェックを行い、結果に応じて次のような動作をさせるためのためのものである。
(a)ホワイトリストに送信者メールアドレスがない場合には、警告を出す;
(b)ホワイトリストに送信者メールアドレスが登録されているあっても、経路情報での送信元ドメインと送信者メールアドレスのドメインとが一致していない場合には、送信者メールアドレスの偽装が行われているものとして、警告を出す;
(c)信頼できるアドレスとしてホワイトリストに送信者メールアドレスが登録されていて、かつ経路情報の送信元ドメインと送信者メールアドレスのドメインが一致している場合には、偽装の疑いも一応ないものとして、通常どおりのメーラーの動作をさせる。
(b)ホワイトリストに送信者メールアドレスが登録されているあっても、経路情報での送信元ドメインと送信者メールアドレスのドメインとが一致していない場合には、送信者メールアドレスの偽装が行われているものとして、警告を出す;
(c)信頼できるアドレスとしてホワイトリストに送信者メールアドレスが登録されていて、かつ経路情報の送信元ドメインと送信者メールアドレスのドメインが一致している場合には、偽装の疑いも一応ないものとして、通常どおりのメーラーの動作をさせる。
ホワイトリスト参照部23は、まず、受信メールから送信者メールアドレスと経路情報とを抽出し(ステップ111)、ホワイトリスト格納部24を参照してホワイトリストテーブルに送信者メールアドレスが登録されているかを判別する(ステップ112)。登録されていない場合には、ステップ115に移行して、危険度フラグを(高)に設定する。送信者メールアドレスが登録されている場合には、次に、経路情報での送信元ドメインが送信者メールアドレスのドメインと一致しているかどうかを判別する(ステップ113)。一致している場合には、ステップ114に移行して危険度フラグを(低)に設定し、一致していない場合には、ステップ115に移行して危険度フラグを(高)に設定する。ステップ114,115のいずれかの処理によりホワイトリスト参照部23の処理は終了し、次に、エントロピー算出部25での処理に移行する(図5:ステップ121参照)。
図2に示した例の場合、ユーザーAからのメールについては、送信者メールアドレスがホワイトリストにあってしかもドメインが一致するので、危険度フラグが(低)に設定され、ユーザーBからのメールについては、送信者メールアドレスがホワイトリストに登録されていないので危険度フラグが(高)に設定され、ユーザーCからのメールについては、送信者メールアドレスがホワイトリストにあるがドメインが一致しないので危険度フラグが(高)に設定されることになる。
エントロピー算出部25は、受信したメールをそのエントロピーに基づいて分類し、標的型攻撃メールであるかどうかを判定しようとするものである。ここでいうエントロピーは、情報理論におけるエントロピーであり、完全一致サーチでは検索漏れとなってしまうが相互に近似しているファイルを見つける際に有効となる指標である。ここでいうファイルとは、何らかのひとかたまりの情報のことであり、例えば、メールから抽出されたアドレス、本文、添付ファイル、経路情報などが挙げられる。ここでは、ファイルをバイト単位(1バイト=8ビット)のデータの集合として扱うこととすると、この集合に含まれる要素(すなわち元)は0から255までのいずれかの整数をとることになる。この集合(すなわちファイル)全体で見たときには、0から255までの各整数値の出現確率に基づいて平均情報量が算出されることになり、この平均情報量がエントロピーということになる。0から255までのバイト値が万遍なく現れるようになるほど、すなわち、ランダムに出現するようになるほど、エントロピーの値は大きくなる。ここではファイルをバイト単位の集合として扱っているので、ファイルのエントロピーの値は0から8までの実数値をとることになる。
エントロピーがとる値には、ファイルの種類によって異なる傾向を示す。例えば、テキストファイルのような規則性の存在しやすいデータからなるファイルは、低いエントロピー値を示し、逆に、圧縮されたファイルや暗号化ファイルなどのような複雑で規則性の少ないデータのファイルは、高いエントロピー値を示す傾向がある。
本発明では、近似したファイルが同じようなエントロピー値を示すことから、過去に危険性が高いと判断された電子メールと同じようなエントロピー値を示すメールは危険性が高いものと判断するが、エントロピー値自体はデータのランダム状態を表現するものに過ぎないため、偶然に内容が全く異なるデータが同じようなエントロピー値を持つこともあり得る。そこで本発明では、ホワイトリスト参照部23での処理とエントロピー値による判断とを組み合わせ、後述するように、最終的に危険性の判断を行うようにしている。
電子メールのエントロピー値について、転送されたメールは一般的に近似の値をとり、一連のメールスレッドについては個別メールのエントロピーは近くなる場合もあるが、添付ファイルがあるとエントロピーの値は遠くなる場合があるという性質がある。
エントロピー算出部25は、受信した電子メールを「メールヘッダ」、「本文」及び「添付ファイル」に分割し、それぞれのエントロピーを算出する。メールヘッダについては、さらに、「あて先メールアドレス」、「送信者メールアドレス」及び「経路情報」に分割してそれぞれのエントロピーを算出するようにしてもよい。算出したエントロピー値などは、次のメールの処理などで使用するために、エントロピー格納部28に格納される。
その上で、エントロピー算出部25は、エントロピー格納部28に格納された過去のメールのエントロピー値を参照して、今回受信したメールのエントロピーについて、
(a−1)これまでに受信した全ての電子メール(メールヘッダ、本文、添付ファイル)のエントロピーの平均値との差分;
(a−2)これまでに受信した全ての電子メールのファイルサイズとの差分;
(b−1)ホワイトリスト参照部23での処理において過去に危険度(高)フラグが設定された電子メール(メールヘッダ、本文、添付ファイル)のエントロピーの平均値との差分;
(b−2)ホワイトリスト参照部23での処理において過去に危険度(高)フラグが設定された電子メールのファイルサイズとの差分
を求め、これらの差分が小さい場合、すなわち距離が小さい場合に、この今回受信したメールは攻撃メールである可能性があると判定し、警告表示のために危険度(高)フラグを設定する。
(a−1)これまでに受信した全ての電子メール(メールヘッダ、本文、添付ファイル)のエントロピーの平均値との差分;
(a−2)これまでに受信した全ての電子メールのファイルサイズとの差分;
(b−1)ホワイトリスト参照部23での処理において過去に危険度(高)フラグが設定された電子メール(メールヘッダ、本文、添付ファイル)のエントロピーの平均値との差分;
(b−2)ホワイトリスト参照部23での処理において過去に危険度(高)フラグが設定された電子メールのファイルサイズとの差分
を求め、これらの差分が小さい場合、すなわち距離が小さい場合に、この今回受信したメールは攻撃メールである可能性があると判定し、警告表示のために危険度(高)フラグを設定する。
図5に示すフローチャートは、エントロピー算出部25での処理を示している。ここでは、メールヘッダを「送信者メールアドレス」、「宛先メールアドレス」及び「経路情報」に分解するものとして、エントロピー算出部25は、まず、受信メールを「送信者メールアドレス」、「宛先メールアドレス」、「経路情報」、「本文」及び「添付ファイル」に分解し(ステップ121)、次に、今回受信したメールについて、「送信者メールアドレス」、「あて先メールアドレス」、「経路情報」、「本文」、「添付ファイル」の各項目ごと、過去にホワイトリスト参照部において危険度(高)と判定された電子メールでのエントロピーと比較を行う(ステップ122)。そして、エントロピーの距離が近い、すなわち差分がしきい値未満であるかどうかを判定する(ステップ123)。この判定では、送信者メールアドレス、宛先メールアドレス、経路情報、本文及び添付ファイルに関し、例えば、アドレス>経路情報>本文>添付ファイルとなるような重み付けを行う。ステップ123においてしきい値未満であった項目に対して危険度(高)フラグを設定し(ステップ124)、しきい値以上であった項目に対して危険度(低)フラグを設定する(ステップ125)。しきい値と重みの例が図6(a)に示されている。また、エントロピーの距離が近いということは、概念図として図6(b)に示されている。ステップ124,125のいずれかの処理によりエントロピー算出部25の処理は終了し、次に、統合処理部26での処理に移行する(図7:ステップ131参照)。
次に、統合処理部26と警告表示部27での処理について、図7を用いて説明する。
統合処理部26が、まず、ホワイトリスト参照部23及びエントロピー算出部25での処理結果から、危険度フラグを再設定し、再設定の結果に応じてホワイトリストテーブルの情報を更新する(ステップ131)。ここでの危険度フラグの再設定は、ホワイトリスト参照部23及びエントロピー算出部25において設定された危険度フラグのうち少なくとも1つが(高)の危険度フラグであれば危険度(高)フラグを設定し、ホワイトリスト参照部23及びエントロピー算出部25において設定された危険度フラグの全てが(低)の危険度フラグである場合にのみ危険度(低)フラグを設定するというものである。図2に示した例では、ユーザーAからの受信メールに対しては危険度(低)が設定されているのに対し、ユーザーCからの受信メールに対しては危険度(高)が設定されている。
上述したようにエントロピー値による危険性の判断では、偶然の一致などが起こり得るので、次に統合処理部26は、フラグの再設定によって危険度(高)とされた受信メールに関し、警告に値する危険性なのかどうかをしきい値との比較によって判定する(ステップ132)。この比較は、例えば、ホワイトリスト参照部23及びエントロピー算出部25での処理によって設定された危険度(高)フラグの数としきい値との比較によって行われる。この際、より危険度が高いと思われる項目(例えば、送信者メールアドレスの偽装)には大きな重みが与えられるように重み付けを行ってもよい。ここでしきい値以下であれば、ステップ135に移行して通常処理部21に通常のメール処理を実行させて処理を終了する。これに対してステップ132においてしきい値を超えている場合には、次に、警告表示部27は、当該メールは攻撃メールの可能性がある旨の警告表示を行い、受信者(ユーザー)に対して本当にそのメールを開くかどうかを問い合わせる(ステップ133)。ここで受信者が表示をすることを選択した場合には、ステップ135に移行して通常処理部21に通常のメール処理を実行させて処理を終了する。また、ステップ133において表示することが選択されなかった場合には、当該メールをゴミ箱フォルダに移動させて(ステップ134)、処理を終了する。
本実施形態では、一般的なメーラーに攻撃メール判定制御部22を付加し、過去のメール送信時の宛先アドレスに基づくメールアドレスのホワイトリストを用いたチェックと、受信メールでの経路情報の送信元ドメインと送信者メールアドレスのドメインとが一致するかのチェックとを組み合わせ、さらにエントロピー算出による差分比較との統合処理とを行い、危険を有する可能性がある場合に、ユーザーがメールを開く際に警告を発する処理を行うようにしている。メーラーに対してこのような処理を行わせることにより、うっかりユーザーが「差出人」の詐称されたメールの添付ファイルを開いたりURLを参照して被害にあうことに歯止めをかけることができ、標的型メール攻撃への対策を施すことができるようになる。
10 ネットワーク
11 オペレーティングシステム
12 ネットワークインタフェース
13 入力装置
14 表示装置
20 メーラー
21 通常処理部
22 攻撃メール判定制御部
23 ホワイトリスト参照部
24 ホワイトリスト格納部
25 エントロピー算出部
26 統合処理部
27 警告表示部
28 エントロピー格納部
101〜104,111〜115,121〜125,131〜135 ステップ
11 オペレーティングシステム
12 ネットワークインタフェース
13 入力装置
14 表示装置
20 メーラー
21 通常処理部
22 攻撃メール判定制御部
23 ホワイトリスト参照部
24 ホワイトリスト格納部
25 エントロピー算出部
26 統合処理部
27 警告表示部
28 エントロピー格納部
101〜104,111〜115,121〜125,131〜135 ステップ
Claims (8)
- 電子メールを処理するメール処理システムであって、
過去に発信した電子メールの宛先アドレスをホワイトリストとして保持するホワイトリスト格納部と、
受信した電子メールの送信者メールアドレスが前記ホワイトリストに含めていないか、あるいは、前記送信者メールアドレスのドメインと前記受信した電子メールの送信元のドメインとが一致しない場合に、前記受信した電子メールは危険性を有するとして第1の危険度指標を設定をするホワイトリスト参照手段と、
前記受信した電子メールからエントロピー値を算出し、過去の電子メールから算出されたエントロピー値と比較し、前記比較によって得られた結果に応じて前記受信した電子メールに対して第2の危険性指標を設定するエントロピー算出手段と、
前記第1の危険性指標と前記第2の危険性指標とを統合して、前記受信したメールの危険性を評価する統合処理手段と、
前記受信した電子メールに関し、前記統合処理手段により危険性が示されている場合に、ユーザーに対して危険性を通知して当該メールを表示することの可否を問い合わせる警告表示手段と、
を有するメール処理システム。 - 前記エントロピー算出手段は、前記受信した電子メールから、項目としてメールヘッダ、本文及び添付ファイルを分離して抽出し、抽出された項目ごとに、前記エントロピー値の算出と比較とを行い、前記受信した電子メールから算出されたエントロピー値と前記過去の電子メールから算出されたエントロピー値との差分がしきい値未満である場合に、危険性を示す前記第2の危険性指標を設定する、請求項1に記載のメール処理システム。
- 前記エントロピー算出手段は、前記項目ごとに重み付けを行って前記エントロピー値の算出を行う、請求項2に記載のメール処理システム。
- 電子メールを処理するメール処理方法であって、
過去に発信した電子メールの宛先アドレスを保持するホワイトリストを参照して、受信した電子メールの送信者メールアドレスが前記ホワイトリストに含めていないか、あるいは、前記送信者メールアドレスのドメインと前記受信した電子メールの送信元のドメインとが一致しない場合に、前記受信した電子メールは危険性を有するとして第1の危険度指標を設定をする段階と、
前記受信した電子メールからエントロピー値を算出し、過去の電子メールから算出されたエントロピー値と比較し、前記比較によって得られた結果に応じて前記受信した電子メールに対して第2の危険性指標を設定する段階と、
前記第1の危険性指標と前記第2の危険性指標とを統合して、前記受信したメールの危険性を評価する段階と、
前記受信した電子メールに関し、前記統合処理部により危険性が示されている場合に、ユーザーに対して危険性を通知して当該メールを表示することの可否を問い合わせる段階と、
を有するメール処理方法。 - 前記第2の危険性指標を設定する段階において、前記受信した電子メールから、項目としてメールヘッダ、本文及び添付ファイルを分離して抽出し、抽出された項目ごとに、前記エントロピー値の算出と比較とを行い、前記受信した電子メールから算出されたエントロピー値と前記過去の電子メールから算出されたエントロピー値との差分がしきい値未満である場合に、危険性を示す前記第2の危険性指標を設定する、請求項4に記載のメール処理方法。
- 前記第2の危険性指標を設定する段階において、前記項目ごとに重み付けを行って前記エントロピー値の算出を行う、請求項5に記載のメール処理方法。
- 電子メールを処理するコンピュータを、
過去に発信した電子メールの宛先アドレスを保持するホワイトリストを参照して、受信した電子メールの送信者メールアドレスが前記ホワイトリストに含めていないか、あるいは、前記送信者メールアドレスのドメインと前記受信した電子メールの送信元のドメインとが一致しない場合に、前記受信した電子メールは危険性を有するとして第1の危険度指標を設定をするホワイトリスト参照手段、
前記受信した電子メールからエントロピー値を算出し、過去の電子メールから算出されたエントロピー値と比較し、前記比較によって得られた結果に応じて前記受信した電子メールに対して第2の危険性指標を設定するエントロピー算出手段、
前記第1の危険性指標と前記第2の危険性指標とを統合して、前記受信したメールの危険性を評価する統合処理手段、
前記受信した電子メールに関し、前記統合処理部により危険性が示されている場合に、ユーザーに対して危険性を通知して当該メールを表示することの可否を問い合わせる警告表示手段、
として機能させるプログラム。 - 前記エントロピー算出手段は、前記受信した電子メールから、項目としてメールヘッダ、本文及び添付ファイルを分離して抽出し、抽出された項目ごとに、前記エントロピー値の算出と比較とを行い、前記受信した電子メールから算出されたエントロピー値と前記過去の電子メールから算出されたエントロピー値との差分がしきい値未満である場合に、危険性を示す前記第2の危険性指標を設定する、請求項7に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012098737A JP2013229656A (ja) | 2012-04-24 | 2012-04-24 | メール処理方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012098737A JP2013229656A (ja) | 2012-04-24 | 2012-04-24 | メール処理方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013229656A true JP2013229656A (ja) | 2013-11-07 |
Family
ID=49676914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012098737A Pending JP2013229656A (ja) | 2012-04-24 | 2012-04-24 | メール処理方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013229656A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101604986B1 (ko) | 2015-04-09 | 2016-03-21 | (주)이월리서치 | 발신자정보의 통계적 지표를 통한 컨텐츠의 검사 의사 결정 방법 |
| CN108304876A (zh) * | 2018-01-31 | 2018-07-20 | 国信优易数据有限公司 | 分类模型训练方法、装置及分类方法及装置 |
| CN108460415A (zh) * | 2018-02-28 | 2018-08-28 | 国信优易数据有限公司 | 伪标签生成模型训练方法及伪标签生成方法 |
| JP2018190374A (ja) * | 2017-05-08 | 2018-11-29 | デジタルア−ツ株式会社 | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
| JP2020522826A (ja) * | 2017-05-16 | 2020-07-30 | アップル インコーポレイテッドApple Inc. | ピアツーピア転送用ユーザインタフェース |
| US10909524B2 (en) | 2018-06-03 | 2021-02-02 | Apple Inc. | User interfaces for transfer accounts |
| US11074572B2 (en) | 2016-09-06 | 2021-07-27 | Apple Inc. | User interfaces for stored-value accounts |
| US11100498B2 (en) | 2018-06-03 | 2021-08-24 | Apple Inc. | User interfaces for transfer accounts |
| US11221744B2 (en) | 2017-05-16 | 2022-01-11 | Apple Inc. | User interfaces for peer-to-peer transfers |
| US11328352B2 (en) | 2019-03-24 | 2022-05-10 | Apple Inc. | User interfaces for managing an account |
| US11481769B2 (en) | 2016-06-11 | 2022-10-25 | Apple Inc. | User interface for transactions |
| US11784956B2 (en) | 2021-09-20 | 2023-10-10 | Apple Inc. | Requests to add assets to an asset account |
| US11921992B2 (en) | 2021-05-14 | 2024-03-05 | Apple Inc. | User interfaces related to time |
-
2012
- 2012-04-24 JP JP2012098737A patent/JP2013229656A/ja active Pending
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101604986B1 (ko) | 2015-04-09 | 2016-03-21 | (주)이월리서치 | 발신자정보의 통계적 지표를 통한 컨텐츠의 검사 의사 결정 방법 |
| US11481769B2 (en) | 2016-06-11 | 2022-10-25 | Apple Inc. | User interface for transactions |
| US11074572B2 (en) | 2016-09-06 | 2021-07-27 | Apple Inc. | User interfaces for stored-value accounts |
| JP2018190374A (ja) * | 2017-05-08 | 2018-11-29 | デジタルア−ツ株式会社 | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
| US11221744B2 (en) | 2017-05-16 | 2022-01-11 | Apple Inc. | User interfaces for peer-to-peer transfers |
| JP2020522826A (ja) * | 2017-05-16 | 2020-07-30 | アップル インコーポレイテッドApple Inc. | ピアツーピア転送用ユーザインタフェース |
| US11222325B2 (en) | 2017-05-16 | 2022-01-11 | Apple Inc. | User interfaces for peer-to-peer transfers |
| CN108304876A (zh) * | 2018-01-31 | 2018-07-20 | 国信优易数据有限公司 | 分类模型训练方法、装置及分类方法及装置 |
| CN108304876B (zh) * | 2018-01-31 | 2021-07-06 | 国信优易数据股份有限公司 | 分类模型训练方法、装置及分类方法及装置 |
| CN108460415A (zh) * | 2018-02-28 | 2018-08-28 | 国信优易数据有限公司 | 伪标签生成模型训练方法及伪标签生成方法 |
| CN108460415B (zh) * | 2018-02-28 | 2021-06-15 | 国信优易数据股份有限公司 | 一种语种识别方法 |
| US10909524B2 (en) | 2018-06-03 | 2021-02-02 | Apple Inc. | User interfaces for transfer accounts |
| US11100498B2 (en) | 2018-06-03 | 2021-08-24 | Apple Inc. | User interfaces for transfer accounts |
| US11514430B2 (en) | 2018-06-03 | 2022-11-29 | Apple Inc. | User interfaces for transfer accounts |
| US11900355B2 (en) | 2018-06-03 | 2024-02-13 | Apple Inc. | User interfaces for transfer accounts |
| US11328352B2 (en) | 2019-03-24 | 2022-05-10 | Apple Inc. | User interfaces for managing an account |
| US11610259B2 (en) | 2019-03-24 | 2023-03-21 | Apple Inc. | User interfaces for managing an account |
| US11669896B2 (en) | 2019-03-24 | 2023-06-06 | Apple Inc. | User interfaces for managing an account |
| US11688001B2 (en) | 2019-03-24 | 2023-06-27 | Apple Inc. | User interfaces for managing an account |
| US11921992B2 (en) | 2021-05-14 | 2024-03-05 | Apple Inc. | User interfaces related to time |
| US11784956B2 (en) | 2021-09-20 | 2023-10-10 | Apple Inc. | Requests to add assets to an asset account |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2013229656A (ja) | メール処理方法及びシステム | |
| US20190215335A1 (en) | Method and system for delaying message delivery to users categorized with low level of awareness to suspicius messages | |
| US11019094B2 (en) | Methods and systems for malicious message detection and processing | |
| US10992645B2 (en) | Mitigating communication risk by detecting similarity to a trusted message contact | |
| US11470029B2 (en) | Analysis and reporting of suspicious email | |
| US11936604B2 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
| US10425444B2 (en) | Social engineering attack prevention | |
| US8141132B2 (en) | Determining an invalid request | |
| JP5118020B2 (ja) | 電子メッセージ中での脅威の識別 | |
| US20170244736A1 (en) | Method and system for mitigating malicious messages attacks | |
| US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
| Dewan et al. | Analyzing social and stylometric features to identify spear phishing emails | |
| US8719352B2 (en) | Reputation management for network content classification | |
| US20190028510A1 (en) | System and method for detecting phishing e-mails | |
| CN108347370A (zh) | 一种针对性攻击邮件的检测方法及系统 | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| WO2018081016A1 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
| WO2021050990A1 (en) | Data analytics tool | |
| JP6509752B2 (ja) | 通信システムおよびサーバ | |
| KR102546068B1 (ko) | 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법 | |
| Wardman et al. | Reeling in big phish with a deep md5 net | |
| JP6149508B2 (ja) | メールチェックプログラム、メールチェック装置及びメールチェックシステム | |
| Shah | The Threat, Vulnerability, Attack, and Impact Spectrum-SquirrelWaffle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20141031 |