JP2013236308A - Mail check method, mail check device, and mail check program - Google Patents
Mail check method, mail check device, and mail check program Download PDFInfo
- Publication number
- JP2013236308A JP2013236308A JP2012108491A JP2012108491A JP2013236308A JP 2013236308 A JP2013236308 A JP 2013236308A JP 2012108491 A JP2012108491 A JP 2012108491A JP 2012108491 A JP2012108491 A JP 2012108491A JP 2013236308 A JP2013236308 A JP 2013236308A
- Authority
- JP
- Japan
- Prior art keywords
- feature information
- information
- received
- weighting factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、メールチェック方法、メールチェック装置、及び、メールチェックプログラムに関する。 The present invention relates to a mail check method, a mail check device, and a mail check program.
近年、特定の組織や個人のコンピュータに格納された情報の窃盗を目的とした標的型攻撃メールが急増している。標的型攻撃メールは、不特定多数に対する攻撃ではなく、ある特定の対象を定めて攻撃が行われる特徴を有する。例えば、標的型攻撃メールは、実在の組織や個人の発信元を詐称し、正当な業務や依頼であるかのように見せかける件名や本文のメールとして送りつけられる。そして、受信者に添付ファイルを開くことによるウイルス感染や、特定のサイトへの誘導によるウイルス送信を誘発させる。 In recent years, the number of targeted attack emails for the purpose of stealing information stored in computers of specific organizations and individuals has increased rapidly. Targeted attack mail is not an attack on an unspecified number of people, but has a feature that an attack is performed by specifying a specific target. For example, a targeted attack email is sent as a subject or body email that spoofs a real organization or individual sender and pretends to be a legitimate business or request. Then, the recipient is caused to induce virus infection by opening an attached file or to send a virus by induction to a specific site.
このように、標的型攻撃メールは実在の送信元を装い、正規のメールであるかのように見せかけられて送信される。しかしながら、受信者それぞれが、受信対象のメールについて、メールヘッダー、添付ファイル、本文、送信者アドレス等の整合性を逐一チェックし、標的型攻撃メールを判別する処理には限界がある。このため、メーラーによるメール受信前に、メールチェッカーによって標的型攻撃メールが自動検出されることが望ましい。 In this way, the target-type attack email pretends to be an actual sender and is sent as if it were a legitimate email. However, there is a limit to the process in which each recipient checks the consistency of the mail header, attached file, body text, sender address, etc. for each mail to be received and discriminates the targeted attack mail. For this reason, it is desirable that the target-type attack mail be automatically detected by the mail checker before the mail is received by the mailer.
近年のメールチェッカーでは、高頻度で出現する特徴的な単語等を、人手や自動学習によって指定することで、スパムメールの検出を実現している(例えば、特許文献1)。また、例えば、受信メールサーバが、送信元メールアドレスのドメインの検証し、当該ドメインが正規のサーバであるか否かを判定することによって、非正規のメールを検出する方法がある。これにより、標的型攻撃メールやスパムメール等の非正規のメールが検出される。 In recent mail checkers, spam mails are detected by designating characteristic words or the like that appear frequently with manual or automatic learning (for example, Patent Document 1). Further, for example, there is a method in which a received mail server detects a non-regular mail by verifying a domain of a transmission source mail address and determining whether or not the domain is a regular server. As a result, unauthorized mail such as targeted attack mail and spam mail is detected.
しかしながら、標的型攻撃メールはスパムメールと異なり数が少ないことから、メールチェッカーが、標的型攻撃メールから得られる情報に基づいて特徴を学習することは困難である。また、受信メールサーバがドメインの検証を行うためには、メールサーバそれぞれについて、ドメイン検証機能を搭載する必要があり、容易ではない。このように、標的型攻撃メールを効率的に検出することが困難であった。 However, since the number of targeted attack emails is small, unlike spam emails, it is difficult for a mail checker to learn features based on information obtained from targeted attack emails. In addition, in order for the received mail server to verify the domain, it is necessary to mount a domain verification function for each mail server, which is not easy. As described above, it is difficult to efficiently detect the targeted attack mail.
本発明は、標的型攻撃メール候補を効率的に検出するメールチェック方法、メールチェック装置、及び、メールチェックプログラムを提供することにある。 An object of the present invention is to provide a mail check method, a mail check apparatus, and a mail check program for efficiently detecting a targeted attack mail candidate.
第1の側面は、新たに受信する対象メールから警戒メール候補を検出するメールチェック方法であって、正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成工程と、受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する。 The first aspect is a mail check method for detecting a warning mail candidate from a newly received target mail, and for a plurality of legitimate received mails, a plurality of feature information included in the mail header of the received mail is extracted. And a feature information database generating step for generating a feature information database (hereinafter referred to as DB), a plurality of first feature information included in the mail header of the reception target mail, and the reception target mail referenced from the feature information DB If the similarity between the plurality of received mails having the same source address and the second plurality of feature information is less than the reference similarity, the reception target mail is detected as a warning mail candidate.
第1の側面によれば、標的型攻撃メール候補を効率的に検出する。 According to the first aspect, targeted attack mail candidates are efficiently detected.
以下、図面にしたがって本発明の実施の形態について説明する。ただし、本発明の技術的範囲はこれらの実施の形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. However, the technical scope of the present invention is not limited to these embodiments, but extends to the matters described in the claims and equivalents thereof.
[メールチェック装置200の構成]
図1は、本実施の形態例におけるメールチェック装置200の構成の一例を示す図である。本実施の形態例におけるメールチェック装置200は、例えば、メールチェック部10、メーラー21、アラートユーザインターフェ−ス22を有する。メールチェック装置200は、インターネットを介して、他のメールサーバ100と接続される。なお、本実施の形態例におけるメールチェック装置200は、サーバ側、クライアント側のいずれにあってもよい。
[Configuration of Mail Check Device 200]
FIG. 1 is a diagram illustrating an example of the configuration of a
本実施の形態例におけるメールチェック部10は、受信対象のメールを検出すると、受信対象のメールと正規の受信済みのメールとの特徴情報を比較して類似度を求める。そして、メールチェック部10は、類似度が低い受信対象メールについて、非正規のメール、即ち、標的型攻撃メールである可能性があるとして、アラートユーザインターフェ−ス22等を介して、表示画面等に警告情報を通知する。受信者(以下、ユーザ)は、受信対象のメールについて警告情報が通知されると、受信対象メールを確認する。そして、ユーザは、受信対象メールについて、標的型攻撃メールであると判定した場合は受信を許可しない。
When the
図1のメールチェック部10は、例えば、メールサーバ11、メール受信装置12、メール特徴抽出部13、標的型攻撃メール検出部14、アラート発生部15、特徴情報DBd1、送信者毎の重み係数情報d2、表記揺れ辞書d3を有する。メール受信装置12は、受信対象のメールを検知し、メールサーバ11に通知する。メールサーバ11は、メールの送受信に係る制御を行うと共に、受信対象のメールが検知されると、標的型攻撃メール検出部14を呼び出す。
1 includes, for example, a
標的型攻撃メール検出部14は、受信対象のメールのメールヘッダーに含まれる特徴情報を抽出すると共に、特徴情報DBd1を参照して受信対象メールと同一の送信元アドレスの正規の受信済みメールの特徴情報を読み出す。そして、標的型攻撃メール検出部14は、受信対象のメールと受信済みのメールとの特徴情報の類似度を求め、類似度が基準類似度未満の場合、アラート発生部15に受信対象メールを警戒メール候補として通知する。アラート発生部15は、通知された警戒メール候補の情報をアラートユーザインターフェ−ス22に表示させる。
The target-type attack
メール特徴抽出部13は、正規の受信済みメール毎に、各メールのメールヘッダーに含まれる特徴情報を抽出し特徴情報DBd1を生成する。また、メール特徴抽出部13は、表記揺れ語句のリストである表記揺れ辞書d3を有する。メール特徴抽出部13は、表記揺れ辞書d3を参照して、メールヘッダーに含まれるタイトル情報が有する表記揺れ語句を特徴情報として検出する。詳細については後述する。
The mail
また、送信者重み係数情報d2は、送信元アドレス毎の複数の特徴情報それぞれについて重み係数を有する。標的型攻撃メール検出部14は、それぞれの特徴情報に対応する重み係数情報d2を参照し類似度の算出時に反映する。
Further, the sender weight coefficient information d2 has a weight coefficient for each of a plurality of feature information for each source address. The target-type attack
このように、本実施の形態例におけるメールチェック部10は、正規の複数の受信済みメールについて、メールのメールヘッダーに含まれる複数の特徴情報を抽出し、特徴情報DBd1を生成する。そして、メールチェック部10は、受信する対象メールのメールヘッダーに含まれる特徴情報と、特徴情報DBd1から参照される受信対象メールと送信元アドレスが同一の複数の受信済みメールの特徴情報との類似度を判定する。そして、メールチェック部10は、類似度が基準類似度未満の場合に、受信対象のメールを警戒メール候補として検出する。
As described above, the
ここで、特徴情報について説明する。 Here, the feature information will be described.
[特徴情報]
特徴情報とは、メールのメールヘッダーに含まれる情報の一部を示す。本実施の形態例では、特徴情報とは、例えば、送信元メールサーバのIPアドレス、送信元メールサーバのドメイン情報、タイムゾーン情報、送信者が使用するメーラーのソフトウェア種別、送信曜日、送信時刻、タイトル情報におけるパターン情報、宛先情報等を示す。これらの特徴情報のうちいずれかの複数の特徴情報が、受信対象メールと受信済みメールとの間で比較される。比較処理の具体例については、フローチャート図に基づいて後述する。
[Feature information]
The characteristic information indicates a part of information included in the mail header of the mail. In the present embodiment, the feature information is, for example, the IP address of the sender mail server, the domain information of the sender mail server, the time zone information, the software type of the mailer used by the sender, the sending day, the sending time, Indicates pattern information, destination information, etc. in title information. Any one of these pieces of feature information is compared between the reception target mail and the received mail. A specific example of the comparison process will be described later based on a flowchart.
続いて、ここでメールヘッダーの具体例について説明する。 Next, a specific example of the mail header will be described here.
[メールヘッダー]
図2は、メールヘッダーMhの一例を示す図である。同図のメールヘッダーMhは、例えば、アドレス「bbbbb@domain2.com」から、アドレス「aaaaa@domain1.com」に送信された受信対象メールのメールヘッダーMhの一例である。
[Mail header]
FIG. 2 is a diagram illustrating an example of the mail header Mh. The mail header Mh in the figure is an example of the mail header Mh of the reception target mail transmitted from the address “bbbbbb@domain2.com” to the address “aaaaa@domain1.com”, for example.
図2のように、メールヘッダーMhは、例えば、「From」、「Sender」、「To」、「Subject」、「Message−ID」、「Date」、「Received」、「Reply−To」、「X−Mailer」等の項目を含む。ただし、メールヘッダーMhに含まれる情報及びその書式は、メーラーのソフトウェアの種別によって異なるため、図2の例に限定されるものではない。 As shown in FIG. 2, the mail header Mh includes, for example, “From”, “Sender”, “To”, “Subject”, “Message-ID”, “Date”, “Received”, “Reply-To”, “Reply-To”, “ It includes items such as “X-Mailer”. However, since the information included in the mail header Mh and its format differ depending on the type of mailer software, it is not limited to the example of FIG.
具体的に、From情報は送信元アドレスを、To情報は宛先アドレスを示す。Reply−To情報はメールの返信先を示し、Subject情報はメールのタイトル情報を示す。また、Message−ID情報は、メールを特定するためのユニークな識別IDであって、送信日付、時刻、送信元メールサーバのドメイン等の情報に基づいて生成される情報を示す。また、Date情報はメールの送信日時、X−Mailer情報は、メール送信者が使用するメーラーのソフトウェア名を示す。 Specifically, From information indicates a transmission source address, and To information indicates a destination address. The Reply-To information indicates a mail reply destination, and the Subject information indicates mail title information. Message-ID information is a unique identification ID for identifying a mail, and indicates information generated based on information such as a transmission date, time, and a domain of a transmission source mail server. Date information indicates the mail transmission date and time, and X-Mailer information indicates the name of the mailer software used by the mail sender.
そして、Received情報は、メールの経路サーバのIPアドレス及びドメイン名、送信元サーバのIPアドレス及びドメイン名の情報を示す。Received情報は、経路したサーバの数分、下から順に記録される。つまり、一番下のReceived情報が送信元で、一番上のReceived情報が自身のメールサーバを示す。この例において、1行目のReceived情報は、受信サーバの記録を、2行目のReceived情報は、送信サーバの記録を示す。Received情報のフォーマットは、例えば、「Received:fromサーバ[IPアドレス]by受信サーバ名[with転送プロトコル]idユニークID for宛先メールアドレス:処理日時」である。処理日時には、経由サーバの送信曜日情報、送信時刻情報、タイムゾーン情報が含まれる。 The Received information indicates information on the IP address and domain name of the mail route server and the IP address and domain name of the transmission source server. Received information is recorded in order from the bottom for the number of routed servers. That is, the lowest Received information indicates the sender, and the highest Received information indicates its mail server. In this example, the Received information on the first line indicates a record of the receiving server, and the Received information on the second line indicates a record of the transmitting server. The format of the Received information is, for example, “Received: from server [IP address] by receiving server name [with transfer protocol] id unique ID for destination mail address: processing date and time”. The processing date / time includes transmission day information, transmission time information, and time zone information of the transit server.
図2のメールヘッダーMhの例によると、From情報H1に基づいて送信元アドレスが「bbbbb@domain2.com」、To情報H3に基づいて送信先アドレスが「aaaaa@domain1.com」であることがわかる。また、Date情報H8に基づいて、送信日時が2010年11月22日(月)の10:02:13(中国時間)であることが判明する。同様にして、Subject情報H2に基づいて、メールのタイトルが「次回−打ち合わせについて」であり、X-Mailer情報H8に基づいて、メール送信時に使用されたソフトウェアがFoxmailであることがわかる。また、Message−ID情報H7に基づいて、送信元のメールサーバのドメインがdomain2.comであることがわかる。 According to the example of the mail header Mh in FIG. 2, the source address is “bbbbbb@domain2.com” based on the From information H1, and the destination address is “aaaaaa@domain1.com” based on the To information H3. Recognize. Further, based on the Date information H8, it is found that the transmission date is 10:02:13 (China time) on November 22, 2010 (Monday). Similarly, based on the Subject information H2, it can be seen that the title of the mail is “Next-About Meeting”, and based on the X-Mailer information H8, the software used at the time of mail transmission is Foxmail. Further, based on the Message-ID information H7, the domain of the sender mail server is domain2. com.
また、図2のメールヘッダーMhにおける1番目のReceived情報H11に基づいて、2010年11月22日(月)の10:02:13(日本時間)に、宛先aaaaa@domain1.comのメールを、IPアドレスx0.26.xxx.xxxの受信サーバreceivehost.co.jpから受信したことがわかる。そして、2番目のReceived情報H12に基づいて、2010年11月22日(月)の10:02:13(中国時間H4)に、サーバreceivehost.co.jpによって、IPアドレス210.xxx.xxx.226(H5)の送信元サーバsendhost.co.jpからメールを受信したことがわかる。 Further, based on the first Received information H11 in the mail header Mh of FIG. 2, the mail of the destination aaaaaa@domain1.com is sent at 10:02:13 (Japan time) on November 22, 2010 (Monday). It can be seen that the message was received from the receiving server receivehost.co.jp of the IP address x0.26.xxx.xxx. Then, based on the second Received information H12, at 10:02:13 (China time H4) on November 22, 2010 (Monday), the server receivehost.co.jp sends the IP address 210.xxx.xxx. It can be seen that the mail is received from the transmission source server sendhost.co.jp of H.226 (H5).
このように、図2で示したようなメールのメールヘッダーMhから、複数の種別の特徴情報が検出される。続いて、それぞれの特徴情報について、具体例に基づいて説明する。 Thus, a plurality of types of feature information are detected from the mail header Mh of the mail as shown in FIG. Subsequently, each feature information will be described based on a specific example.
[特徴情報:送信日時]
図3は、受信済みメールから抽出された送信日時(特徴情報)の具体例を示す図である。同図のリストL1は、3つの送信元アドレスsuzuki、tanaka、itpml2の受信済みメールのメールヘッダーに含まれる送信日時の具体例を示す。この例において、送信元アドレスは、例えば、suzukiのように、メールアドレスにおけるローカル部(@以前の情報)として表される。図2で前述したとおり、送信日時は、Date情報に基づいて取得される。
[Feature information: Send date / time]
FIG. 3 is a diagram showing a specific example of the transmission date and time (feature information) extracted from the received mail. The list L1 in the figure shows a specific example of the transmission date and time included in the mail headers of the received mails of the three transmission source addresses suzuki, tanaka, and itpml2. In this example, the source address is represented as a local part (information before @) in the mail address, for example, Suzuki. As described above with reference to FIG. 2, the transmission date and time is acquired based on the Date information.
例えば、図3の日時リストL1における情報L1−1は、送信元アドレスitpml2の受信済みメールが、2012年3月1日の12時41分に送信されたことを示す。同様にして、日時リストL1における情報L1−2は、送信元アドレスsuzukiの受信済みメールが、2012年3月1日の10時14分に送信されたことを示す。このように、それぞれの受信済みメールに基づいて、送信日時、時刻に含まれる送信時刻、送信曜日等が特徴情報として抽出される。 For example, information L1-1 in the date / time list L1 in FIG. 3 indicates that the received mail with the transmission source address itpml2 was transmitted at 12:41 on March 1, 2012. Similarly, information L1-2 in the date / time list L1 indicates that the received mail of the transmission source address suzuki was transmitted at 10:14 on March 1, 2012. As described above, the transmission date and time, the transmission time included in the time, the transmission day of the week, and the like are extracted as feature information based on each received mail.
また、図3のグラフ時刻tg1〜tg3は、同図のリストL1に基づいて、送信元アドレス別に、送信時刻毎の受信済みメール数がグラフ化された図である。時刻グラフtg1〜tg3の横軸は送信時刻を、縦軸は受信メール数を示す。そして、同図の曜日グラフwg1〜wg3は、リストL1に基づいて、送信元アドレス別に、送信曜日毎の受信済みメール数がグラフ化された図である。曜日グラフwg1〜wg3の横軸は送信曜日を、縦軸は受信メール数を示す。 Graph times tg1 to tg3 in FIG. 3 are graphs showing the number of received emails for each transmission time for each source address based on the list L1 in FIG. In the time graphs tg1 to tg3, the horizontal axis indicates the transmission time, and the vertical axis indicates the number of received mails. The day of week graphs wg1 to wg3 in the same figure are graphs showing the number of received emails for each day of the transmission for each source address based on the list L1. In the day of week graphs wg1 to wg3, the horizontal axis indicates the transmission day of the week, and the vertical axis indicates the number of received mails.
まず、送信元アドレスtanakaの送信日時について説明する。送信元アドレスtanakaの時刻グラフtg1によると、送信元アドレスtanakaからの受信済みメールは、全て、8時から10時近くに送信されている。一方、送信元アドレスtanakaの曜日グラフwg1によると、送信元アドレスtanakaからの受信済みメールは、月曜日から金曜日まで偏りなく送信されている。つまり、送信元アドレスtanakaからの受信済みメールは、月曜日から金曜日のいずれかの曜日に、8時から10時近くに送信される傾向を有する。 First, the transmission date and time of the transmission source address tanaka will be described. According to the time graph tg1 of the transmission source address tanaka, all the received mails from the transmission source address tanaka are transmitted from 8:00 to nearly 10:00. On the other hand, according to the day-of-week graph wg1 of the transmission source address tanaka, the received mail from the transmission source address tanaka is transmitted evenly from Monday to Friday. That is, the received mail from the transmission source address tanaka tends to be transmitted from 8 o'clock to 10 o'clock on any day of the week from Monday to Friday.
続いて、送信元アドレスsuzukiの送信日時について説明する。送信元アドレスsuzukiの時刻グラフtg2によると、送信元アドレスsuzukiからの受信済みメールは、時刻に偏りなく送信されている。また、送信元アドレスsuzukiの曜日グラフwg2によると、送信元アドレスsuzukiからの受信済みメールは、月曜日から土曜日の間、偏りなく送信されている。このため、送信元アドレスsuzukiの受信済みメールについて、送信時刻、送信曜日のばらつき度合いは大きい。 Next, the transmission date and time of the transmission source address suzuki will be described. According to the time graph tg2 of the transmission source address suzuki, the received mail from the transmission source address suzuki is transmitted evenly in time. Further, according to the day-of-week graph wg2 of the transmission source address suzuki, the received mail from the transmission source address suzuki is transmitted evenly from Monday to Saturday. For this reason, the degree of variation of the transmission time and the transmission day of the received mail with the transmission source address Suzuki is large.
続いて、送信元アドレスitpml2の送信日時について説明する。送信元アドレスitpml2の時刻グラフtg3によると、送信元アドレスitpml2からの受信済みメールは、全て12時に送信されている。また、送信元アドレスitpml2の曜日グラフwg3によると、送信元アドレスitpml2からの受信済みメールは、必ず水曜日または金曜日かに送信されている。このため、送信元アドレスitpml2の受信済みメールについて、送信時刻、送信曜日のばらつき度合いは小さい。送信元アドレスitpml2の受信済みメールは、例えば、メールマガジン等の定期送信メールである。 Next, the transmission date and time of the transmission source address itpml2 will be described. According to the time graph tg3 of the transmission source address itpml2, all received mails from the transmission source address itpml2 are transmitted at 12:00. Further, according to the day-of-week graph wg3 of the transmission source address itpml2, the received mail from the transmission source address itpml2 is always transmitted on Wednesday or Friday. For this reason, the degree of variation between the transmission time and the transmission day of the received mail with the transmission source address itpml2 is small. The received mail at the transmission source address itpml2 is a periodic transmission mail such as a mail magazine.
このように、それぞれの受信済みメールから、メールヘッダーMhに基づいて、送信日時に含まれる送信時刻や送信曜日が特徴情報として取得される。送信時刻、送信曜日の特徴的傾向や情報のばらつき度合いは、送信者、即ち、送信元アドレスによって異なる。また、送信日時は、第3者によってなりすましし難い情報である。このため、タイトル情報に含まれる送信日時情報が特徴情報として比較の対象とされることによって、より細やかな類似判定を可能にする。 As described above, the transmission time and the transmission day of the week included in the transmission date and time are acquired as feature information from each received mail based on the mail header Mh. The characteristic tendency of the transmission time, the transmission day of the week, and the degree of variation in information differ depending on the sender, that is, the source address. The transmission date and time is information that is difficult to impersonate by a third party. For this reason, the transmission date and time information included in the title information is used as a comparison target as feature information, thereby enabling more detailed similarity determination.
なお、図3の例では、送信時刻を時間単位の情報として抽出する例について述べたが、送信時刻は時間帯単位の情報として抽出されてもよい。この場合、送信時刻は、例えば、就業時間内、就業時間外の時間帯、深夜時間帯のように、時間帯の情報として取得される。 In the example of FIG. 3, the example in which the transmission time is extracted as time unit information has been described, but the transmission time may be extracted as information in time zone units. In this case, the transmission time is acquired as time zone information, for example, within working hours, outside working hours, and late night hours.
[特徴情報:タイトル情報におけるパターン情報]
図4は、受信済みメールに基づいて取得されるタイトル情報に含まれるパターン情報の具体例と表記揺れ辞書d3の例を示す図である。同図のリストL2−1〜L2−3は、3つの送信元アドレスsuzuki、tanaka、itpml2の受信済みメールのメールヘッダーが含むタイトル情報の具体例を示す。図2で前述したとおり、タイトル情報はSubject情報に基づいて取得される。パターン情報は、例えば、表記揺れ語句や、接頭、接尾語句を示す。
[Feature information: Pattern information in title information]
FIG. 4 is a diagram illustrating a specific example of pattern information included in title information acquired based on a received mail and an example of a notation fluctuation dictionary d3. Lists L2-1 to L2-3 in the figure show specific examples of title information included in the mail headers of the received mails of three transmission source addresses suzuki, tanaka, and itpml2. As described above with reference to FIG. 2, the title information is acquired based on the subject information. The pattern information indicates, for example, a notation fluctuation phrase, a prefix, and a suffix phrase.
図4における表記揺れ辞書d3は、表記揺れの発生し易い語句が予め登録される辞書である。表記揺れとは、同音、同意味の1つの語句について異なる文字表記が存在することを指す。表記揺れ語句とは、例えば、括弧の種別や記号種別、記号の全角、半角の揺れ等である。具体的に、表記揺れ語句は、「サーバー」と「サーバ」、「打ち合わせ」と「打合せ」、「−(全角)」と「-(半角)」、「『』」と「[]」等である。 The notation fluctuation dictionary d3 in FIG. 4 is a dictionary in which words and phrases that are likely to cause notation fluctuation are registered in advance. The notation fluctuation means that different character notation exists for one phrase having the same sound and the same meaning. The notation shaking phrase is, for example, a bracket type, a symbol type, a full-width or half-width swing of a symbol, and the like. Specifically, the notation swing phrases are "server" and "server", "meeting" and "meeting", "-(full-width)" and "-(half-width)", "" "and" [] ", etc. is there.
同一送信元アドレスの正規の受信済みメールにおけるタイトル情報は、送信者の語句の選択の傾向的特性を有する。このため、同一送信元アドレスの正規の受信済みメールにおけるタイトル情報には、同一の表記揺れ語句や接頭、接尾語句が存在することが多い。また、同一送信元アドレスのメールマガジン等のタイトル情報にも、共通の接頭、接尾語句が存在する。 Title information in legitimate received mail with the same source address has a tendency characteristic of selection of the sender's word. For this reason, the title information in the legitimate received mail having the same source address often has the same written phrase, prefix, and suffix. Also, common prefixes and suffixes exist in title information such as a mail magazine with the same source address.
まず、送信元アドレスtanakaからの受信済みメールのタイトル情報リストL2−1について説明する。タイトル情報のリストL2−1におけるタイトル情報T1は、表記揺れ辞書d3に含まれる表記揺れ語句「−(半角ハイフン)」を有する。そこで、タイトル情報T1から半角文字のハイフンが特徴情報として抽出される。また、タイトル情報T1には、他の受信済みメールと共通の接頭語句「☆業務」が含まれる。そこで、タイトル情報T1に基づいて、接頭語句「☆業務」についても特徴情報として抽出される。他の同一送信元アドレスの受信済みメールについても、同様にして、それぞれのタイトル情報に基づいて特徴情報が抽出される。 First, the received mail title information list L2-1 from the transmission source address tanaka will be described. The title information T1 in the title information list L2-1 has the notation fluctuation phrase “-(half-width hyphen)” included in the notation fluctuation dictionary d3. Therefore, a hyphen of a single-byte character is extracted as feature information from the title information T1. Further, the title information T1 includes a prefix phrase “☆ business” common to other received mails. Therefore, the prefix phrase “☆ business” is also extracted as feature information based on the title information T1. In the same manner, feature information is extracted based on the title information of other received mails with the same source address.
続いて、送信元アドレスsuzukiからの受信済みメールのタイトル情報リストL2−2に基づいて説明する。タイトル情報のリストL2−2におけるタイトル情報T2には、表記揺れ語句「打合せ」、「: (半角コロン)」、「−(半角ハイフン)」が含まれる。そこで、タイトル情報T2から、「打合せ」、「: (半角コロン)」「−(半角ハイフン)」が特徴情報として抽出される。他の受信済みメールについても、同様にして、タイトル情報に基づいて特徴情報が抽出される。 Next, description will be made based on the title information list L2-2 of the received mail from the transmission source address suzuki. The title information T2 in the title information list L2-2 includes the notation fluctuation phrases “meeting”, “: (half-width colon)”, and “-(half-width hyphen)”. Therefore, “meeting”, “: (half-width colon)”, and “− (half-width hyphen)” are extracted as feature information from the title information T2. For other received mails, feature information is extracted based on the title information in the same manner.
そして、送信元アドレスitpml2からの受信済みメールのタイトル情報リストL2−3に基づいて説明する。タイトル情報のリストL2−3におけるタイトル情報T3には、表記揺れ語句(『』)、及び、接尾語句「X通信News−号」が含まれる。そこで、タイトル情報T3から、「『』」、「X通信News−号」が特徴情報として抽出される。他の受信済みメールについても、同様にして、それぞれのタイトル情報に含まれるパターン情報が特徴情報として抽出される。 The description will be made based on the title information list L2-3 of the received mail from the source address itpml2. The title information T3 in the title information list L2-3 includes a notation swing phrase ("") and a suffix "X communication News-No." Therefore, ““ ”” and “X Communication News-No.” Are extracted as feature information from the title information T3. Similarly, pattern information included in each title information is extracted as feature information for other received mails.
このように、それぞれの受信済みメールに基づいて、タイトル情報に含まれる表記揺れや接頭、接尾語句等のパターン情報が特徴情報として取得される。また、タイトル情報におけるパターン情報は、送信者によって傾向が異なるものの、第3者によってなりすましし難い情報である。このため、タイトル情報におけるパターン情報が特徴情報として比較の対象とされることによって、より綿密で柔軟な類似判定が可能となる。 In this manner, pattern information such as notation fluctuation, prefix, and suffix included in the title information is acquired as feature information based on each received mail. The pattern information in the title information is information that is difficult to impersonate by a third party, although the tendency varies depending on the sender. For this reason, pattern information in the title information is used as a comparison target as feature information, so that a more detailed and flexible similarity determination can be performed.
[特徴情報:宛先情報]
図5は、受信済みメールに基づいて取得される宛先情報の具体例を示す図である。同図の宛先情報リストL3−1〜L3−3は、3つの送信元アドレスsuzuki、tanaka、itpml2の受信済みメールのメールヘッダーが含む宛先情報の具体例を示す。宛先情報はメールヘッダーにおけるTo情報、Cc情報に基づいて取得される。同図の例では、宛先を示すアドレスは、例えば、佐藤、山田B、Mgm−mlのように、識別し易い名前によって表されている。
[Feature information: Destination information]
FIG. 5 is a diagram illustrating a specific example of the destination information acquired based on the received mail. Destination information lists L3-1 to L3-3 in the figure show specific examples of the destination information included in the mail headers of the received mails of the three transmission source addresses suzuki, tanaka, and itpml2. The destination information is acquired based on the To information and Cc information in the mail header. In the example shown in the figure, the address indicating the destination is represented by an easily identifiable name such as Sato, Yamada B, or Mgm-ml.
具体的に、送信元アドレスtanakaからの受信済みメールの宛先情報リストL3−1における一番目の宛先情報によると、Toに佐藤、Ccに山田BとMgm−mlが指定される。同様にして、送信元アドレスsuzukiからの受信済みメールの宛先情報リストL3−2における一番目の宛先情報によると、Toに佐藤、Ccに山本Bと鈴木(送信者自身)が指定される。 Specifically, according to the first destination information in the destination information list L3-1 of the received mail from the source address tanaka, Sato is specified for To and Yamada B and Mgm-ml are specified for Cc. Similarly, according to the first destination information in the destination information list L3-2 of the received mail from the source address suzuki, Sato is specified for To and Yamamoto B and Suzuki (sender himself) are specified for Cc.
図5の宛先情報リストL4−1〜L4−3は、宛先情報リストL3−1〜L3−3が有する宛先情報のパターンを示す。例えば、送信元アドレスtanakaの宛先情報リストL3−1は、Toに佐藤、Ccに山田BとMgm−mlが指定される宛先情報を多数有する。また、送信元アドレスsuzukiの宛先情報リストL3−2は、Toに佐藤、Ccに山本Bと鈴木が指定される宛先情報を多数有する。同様にして、送信元アドレスitpml2の宛先情報リストL3−3は、Toに佐藤、田中、鈴木、Ccに加藤が指定される宛先情報を多数有する。 The destination information lists L4-1 to L4-3 in FIG. 5 show patterns of destination information included in the destination information lists L3-1 to L3-3. For example, the destination information list L3-1 of the source address tanaka has a lot of destination information in which Sato is designated as To and Yamada B and Mgm-ml are designated as Cc. Further, the destination information list L3-2 of the transmission source address suzuki has a lot of destination information in which Sato is designated as To and Yamamoto B and Suzuki are designated as Cc. Similarly, the destination information list L3-3 of the source address itpml2 has a lot of destination information in which Sato, Tanaka, Suzuki, and Kato are specified for To.
このように、それぞれの受信済みメールに基づいて、宛先情報に含まれるTo情報、Cc情報が特徴情報として取得される。また、宛先情報には、送信元アドレス毎に、高頻度に指定される宛先情報のパターンが存在することがある。 As described above, To information and Cc information included in the destination information are acquired as feature information based on each received mail. The destination information may include a destination information pattern that is frequently specified for each source address.
なお、宛先情報リストL3−2において、Ccに指定された鈴木は、送信者自身のメールアドレスを示す。これは、送信者自身にメールを送信する場合を示す。一般的に、標的型攻撃メールでは、Ccに送信者のメールアドレスが指定され難い。送信者が詐称される標的型攻撃メールは、Ccに送信元メールアドレスや他のアドレスが指定されることにより、早期に検知される可能性を高めてしまうためである。このため、本実施の形態例では、To情報に加えてCc情報についても、特徴情報として比較判定の対象とされることによって、標的型攻撃メールの検知の精度が向上する。 In the destination information list L3-2, Suzuki designated as Cc indicates the mail address of the sender. This indicates a case where mail is transmitted to the sender. Generally, in a targeted attack mail, it is difficult to specify the sender's mail address in Cc. This is because the target-type attack mail in which the sender is misrepresented increases the possibility of being detected early by designating the sender mail address or other address in Cc. For this reason, in this embodiment, the accuracy of detection of the target-type attack mail is improved by making Cc information in addition to To information subject to comparison and determination as feature information.
[特徴情報:送信元IPアドレス]
図6は、受信済みメールに基づいて取得される送信元サーバのIPアドレスの具体例L5、及び、経由タイムゾーンの具体例L6を示す図である。同図のリストL5は、3つの送信元アドレスsuzuki、tanaka、itpml2の受信済みメールのメールヘッダーが含む送信元サーバのIPアドレスの具体例を示す。図2で前述したとおり、2行目のReceived情報は送信サーバの記録を示し、送信サーバのIPアドレス情報が含まれる。
[Feature information: Source IP address]
FIG. 6 is a diagram illustrating a specific example L5 of the IP address of the transmission source server acquired based on the received mail and a specific example L6 of the transit time zone. A list L5 in the figure shows a specific example of the IP address of the transmission source server included in the mail headers of the received mails of the three transmission source addresses Suzuki, tanaka, and itpml2. As described above with reference to FIG. 2, the Received information on the second line indicates a record of the transmission server and includes the IP address information of the transmission server.
例えば、図6のIPアドレスリストL5の情報L5−1は、送信元アドレスitpml2の受信済みメールが、IPアドレス「x0.26.0.***(上位3レベル)」のサーバから送信されたことを示す。この例において、IPアドレスにおける*は、比較対象外の値を示す。同様にして、IPアドレスリストL5の情報L5−2は、送信元アドレスsuzukiの受信済みメールが、IPアドレス「x4.65.5.***」のサーバから送信されたことを示す。 For example, in the information L5-1 of the IP address list L5 in FIG. 6, the received mail of the source address itpml2 is transmitted from the server of the IP address “x0.26.0. *** (higher three levels)”. It shows that. In this example, * in the IP address indicates a value that is not compared. Similarly, the information L5-2 in the IP address list L5 indicates that the received mail having the transmission source address Suzuki is transmitted from the server having the IP address “x4.65.5. ***”.
図6の例では、送信サーバのIPアドレスは、上位の3レベルの情報が特徴情報として取得される。このように、本実施の形態例において、送信サーバのIPアドレスにおける上位の所定レベルが特徴情報として取得される。例えば、「x4.65.***.***」のように、上位の2レベルの情報が特徴情報として取得されてもよい。送信サーバのIPアドレスの下位レベルは、IPアドレスが動的に割り当てられる場合や、送信サーバが分散運用される場合、変動し易いためである。 In the example of FIG. 6, the upper three-level information is acquired as the feature information for the IP address of the transmission server. Thus, in this embodiment, the upper predetermined level in the IP address of the transmission server is acquired as the feature information. For example, upper two-level information such as “x4.65. ***. ***. ***” may be acquired as the feature information. This is because the lower level of the IP address of the transmission server is likely to fluctuate when the IP address is dynamically assigned or when the transmission server is distributedly operated.
また、会社と自宅のように複数の送信サーバによって、同一の送信元アドレスからメールが送信される場合、正規の受信済みメールであっても送信元サーバのIPアドレスは異なる。ただし、このような場合、送信元サーバのIPアドレスは、会社と自宅から送信する場合における2パターンのIPアドレスに限定されることになる。 Further, when mails are transmitted from the same transmission source address by a plurality of transmission servers such as a company and a home, the IP address of the transmission source server is different even if it is a legitimate received mail. However, in such a case, the IP address of the transmission source server is limited to two patterns of IP addresses when transmitting from the company and home.
このように、それぞれの受信済みメールに基づいて、Receive情報に含まれる送信元サーバのIPアドレス情報(この例では、上位3レベル)が特徴情報として抽出される。また、IPアドレス情報は、送信元アドレス毎に、特定のパターンに限定され易い情報であるため、特徴情報として比較の対象とされることによって、標的型攻撃メールの検知の精度が向上する。 As described above, based on each received mail, the IP address information (in this example, the upper three levels) of the transmission source server included in the Receive information is extracted as the feature information. Further, since the IP address information is information that is easily limited to a specific pattern for each source address, the accuracy of detection of the target-type attack mail is improved by being compared as feature information.
[特徴情報:経由タイムゾーン]
また、図6のリストL6は、3つの送信元アドレスsuzuki、tanaka、itpml2の受信済みメールのメールヘッダーが含む経由タイムゾーンの具体例を示す。経由タイムゾーンは、発信元の送信サーバから受信サーバまでに経由される1つまたは複数のサーバのReceived情報に含まれるタイムゾーン情報に基づいて取得される。
[Feature information: Via time zone]
A list L6 in FIG. 6 shows a specific example of the transit time zone included in the mail headers of the received mails of the three transmission source addresses suzuki, tanaka, and itpml2. The transit time zone is acquired based on the time zone information included in the Received information of one or a plurality of servers that are routed from the transmission server of the transmission source to the reception server.
例えば、図6の経由タイムゾーンリストL6の情報L6−1は、送信元アドレスsuzukiの受信済みメールが、+0800(中国)のタイムゾーンのサーバを経由して送信されたことを示す。同様にして、経由タイムゾーンリストL6の情報L6−2は、送信元アドレスsuzukiの受信済みメールが、タイムゾーン+0800(中国)のサーバ、及び、タイムゾーン+0900(日本)のサーバを経由して送信されたことを示す。 For example, the information L6-1 of the transit time zone list L6 in FIG. 6 indicates that the received mail with the transmission source address suzuki is transmitted via the server of the time zone of +0800 (China). Similarly, the information L6-2 of the transit time zone list L6 is transmitted via the server of time zone +0800 (China) and the server of time zone +0900 (Japan) by the received mail of the sender address suzuki. Indicates that
このように、それぞれの受信済みメールに基づいて、経由サーバ情報(Receive情報)に含まれる各タイムゾーン情報が特徴情報として抽出される。標的型攻撃メールは、海外のサーバを経由して送信される場合がある。このため、受信対象メールの経由サーバのタイムゾーンが特徴情報として比較の対象とされることによって、標的型攻撃メールの検知の精度が向上する。 Thus, based on each received mail, each time zone information included in the transit server information (Receive information) is extracted as feature information. A targeted attack email may be sent via an overseas server. For this reason, the accuracy of detection of the target-type attack mail is improved by using the time zone of the transit server of the mail to be received as a comparison target as the feature information.
[特徴情報:使用メーラー]
図2で前述したとおり、使用メーラーの情報はX−Mailer情報に基づいて取得される。メール送信時に使用するメーラーのソフトウェアは、送信者によって、ほとんど変化しないことが一般的である。このため、同一の送信元アドレスの受信済みメールに基づいて取得される使用メーラーの情報は、同一である可能性が高い。このため、使用メーラー情報が特徴情報として比較の対象とされることによって、標的型攻撃メールの検知の精度が向上する。
[Feature information: Mailer used]
As described above with reference to FIG. 2, the used mailer information is acquired based on the X-Mailer information. In general, the mailer software used when sending an email hardly changes depending on the sender. For this reason, the information of the used mailer acquired based on the received mail of the same transmission source address is highly likely to be the same. For this reason, the accuracy of detection of the target-type attack mail is improved by using the used mailer information as feature information.
[特徴情報:組み合わせ情報]
図7は、受信済みメールに基づいて取得される組み合わせ特徴情報の具体例を示す図である。同図のメールヘッダーMhは、図2のメールヘッダーMhと同一である。同図における送信元サーバのドメイン情報H7と、送信元サーバのIPアドレスH5と、送信元サーバのタイムゾーンH4は、メールの送信元環境に係る情報(送信元情報)を示す。同図では、これらの送信元情報のうち、複数の送信元情報を組み合わせた特徴情報(組み合わせ特徴情報)について説明する。
[Feature information: Combination information]
FIG. 7 is a diagram illustrating a specific example of the combination feature information acquired based on the received mail. The mail header Mh in the figure is the same as the mail header Mh in FIG. The domain information H7 of the transmission source server, the IP address H5 of the transmission source server, and the time zone H4 of the transmission source server in the figure indicate information (transmission source information) related to the mail transmission source environment. In the figure, feature information (combination feature information) obtained by combining a plurality of pieces of transmission source information among these pieces of transmission source information will be described.
標的型攻撃メールは正規の送信者を詐称して送信される。このため、標的型攻撃メールと正規の受信済みメールとでは、組み合わせ特徴情報のうち一部の送信元情報が一致したとしても、複数の送信元情報の組み合わせは一致し難い。一方、送信元アドレスが同一の正規の受信済みメール間では、複数の送信元情報の組み合わせは一致する。また、たとえ、自宅と会社のように、複数の拠点のサーバによって同一の送信元アドレスから送信された正規の受信済みメールであっても、送信元情報の組み合わせは特定パターンに限定される。このため、特徴情報として、組み合わせ特徴情報が比較の対象とされ類似度に反映されることによって、標的型攻撃メールの検知の精度が向上する。 Targeted attack emails are sent with spoofed legitimate senders. For this reason, even if a part of the source information of the combination feature information matches between the targeted attack mail and the legitimate received mail, the combination of the plurality of source information is difficult to match. On the other hand, a combination of a plurality of pieces of source information matches between legitimate received emails having the same source address. Moreover, even if it is a legitimate received mail transmitted from the same transmission source address by a plurality of base servers, such as home and office, the combination of transmission source information is limited to a specific pattern. For this reason, as the feature information, the combination feature information is used as a comparison target and reflected in the similarity, thereby improving the accuracy of detection of the target-type attack mail.
図7の表L7は、組み合わせ特徴情報として、送信元サーバのドメイン、IPアドレス、タイムゾーンの組み合わせの一例を示す。例えば、表L7におけるL7−1には、タイムゾーンが日本であって、ドメインがaaa.xx.com、IPアドレスが「x21.23.01.***(上位3レベル)」の組み合わせが例示されている。このように、送信元アドレスに対して、送信元サーバのドメイン、IPアドレス、タイムゾーンは特定パターンに限定される。このため、例えば、受信対象メールのメールヘッダーMhにおいて、送信元サーバのドメイン、IPアドレス、タイムゾーンの一部が詐称されている場合であっても、組み合わせ特徴情報として一致せず類似度に反映される。 A table L7 in FIG. 7 shows an example of a combination of the domain, IP address, and time zone of the transmission source server as the combination feature information. For example, in L7-1 in Table L7, the time zone is Japan and the domain is aaa. xx. com and the IP address is “x21.23.01. *** (upper three levels)”. Thus, the domain, IP address, and time zone of the source server are limited to a specific pattern with respect to the source address. For this reason, for example, even when a part of the domain, IP address, and time zone of the transmission source server is misrepresented in the mail header Mh of the mail to be received, the combination feature information does not match and is reflected in the similarity Is done.
図3〜図7で説明してきたとおり、受信済みメールのメールヘッダーMhに基づいて複数の特徴情報が抽出される。複数の正規の受信済みメールに基づいて、受信済みメールそれぞれについて特徴情報が抽出され特徴情報DBd1が生成される。続いて、受信済みメールのメールヘッダーMhに基づいて生成された特徴情報DBd1の一例について説明する。 As described with reference to FIGS. 3 to 7, a plurality of feature information is extracted based on the mail header Mh of the received mail. Based on a plurality of regular received mails, feature information is extracted for each received mail, and a feature information DBd1 is generated. Next, an example of the feature information DBd1 generated based on the mail header Mh of the received mail will be described.
[特徴情報DBd1の具体例]
図8は、特徴情報DBd1の具体例を示す図である。同図の特徴情報DBd1は、例えば、送信元メールアドレス毎に、送信元サーバのIPアドレス、タイムゾーン、送信時間帯、使用メーラー、経由タイムゾーン、送信元サーバのドメイン情報、To情報、Cc情報、タイトル情報におけるパターン情報を特徴情報として有する。ただし、特徴情報DBd1が有する特徴情報の例は、この例に限定されるものではない。
[Specific Example of Feature Information DBd1]
FIG. 8 is a diagram illustrating a specific example of the feature information DBd1. The feature information DBd1 in FIG. 5 includes, for example, for each source mail address, the IP address of the source server, the time zone, the transmission time zone, the mailer used, the transit time zone, the domain information of the source server, To information, and Cc information. The pattern information in the title information is included as feature information. However, the example of the feature information included in the feature information DBd1 is not limited to this example.
図8の例において、メールアドレスは、例えば、ID4、ID20のように表わされる。また、同図の特徴情報DBd1は、時間帯、及び使用メーラーの情報を、数値等の簡易な情報に変換して保持する。例えば、時間帯に係る値1は8時〜10時を、値2は10時〜12時を示す。また、例えば、使用メーラーに係る値1はFoxmail、値2はThunderbirdを示す。
In the example of FIG. 8, e-mail addresses are represented as ID4 and ID20, for example. Further, the feature information DBd1 in FIG. 6 converts the time zone and mailer information into simple information such as numerical values and holds the information. For example, a
また、図8の特徴情報DBd1は、サブジェクト情報についても、数値等の簡易な情報に変換して保持する。例えば、サブジェクト情報(1,1)における1番目の引数の値1は「−(ハイフン)」、2番目の引数の値1は全角文字であることを示す。同様にして、例えば、サブジェクト情報(1,2)における1番目の引数の値1は「(ハイフン)」、2番目の引数の値2は半角文字であることを示す。また、例えば、サブジェクト情報(7,7)は、接頭語句「X通信」を示す。
Further, the feature information DBd1 in FIG. 8 also stores the subject information after converting it into simple information such as numerical values. For example, the
図8の特徴情報DBd1において、ID=1の特徴情報は、1つの受信済みメールのメールヘッダーに基づいて抽出された特徴情報の例を示す。具体的に、ID=1の受信済みメールから抽出される特徴情報について、送信元アドレスはID4、送信元サーバのIPアドレスにおける上位3レベルは「x8.103.124.***」、時間帯は2(10時〜12時)、使用メーラーは1(Foxmail)であることを示す。さらに、経由タイムゾーンは+0900(日本)のみであり、送信元サーバのドメインは「aaaa.bbbb.com」、Toに受信者に加えてアドレスID31が指定され、CcにアドレスID4(送信者自身)が指定されることを示す。また、タイトル情報に「−(全角のハイフン)」に加え、接頭語句「X通信」を含むことを示す。
In the feature information DBd1 of FIG. 8, the feature information with ID = 1 indicates an example of feature information extracted based on the mail header of one received mail. Specifically, for the feature information extracted from the received mail with ID = 1, the source address is ID4, the upper three levels in the IP address of the source server are “x8.103.124. ***”, the time zone Indicates 2 (10 o'clock to 12 o'clock), and the mailer used is 1 (Foxmail). Furthermore, the transit time zone is only +0900 (Japan), the domain of the transmission source server is “aaaa.bbbb.com”, the
このように、各受信済みメールに基づいて、それぞれ特徴情報が抽出される。図8の特徴情報DBd1における他の受信済みメールに基づいて抽出される特徴情報についても同様である。 In this way, feature information is extracted based on each received mail. The same applies to feature information extracted based on other received mails in the feature information DBd1 of FIG.
なお、図8の特徴情報DBd1は、例えば、直近の一定期間内に受信したメール、または、直近の一定量の受信済みメールのいずれかまたは両方の受信済みメールに基づいて生成される。ただし、メールの送信元アドレスによって送信頻度が異なることから、直近の一定期間内に受信したメールに基づくと抽出対象の受信済みメールの数が十分ではないことがある。そのため、直近の一定量の受信済みメールが抽出の対象とされてもよい。 Note that the feature information DBd1 in FIG. 8 is generated based on, for example, received mails of either or both of the mails received within the latest fixed period and the last fixed amount of received mails. However, since the transmission frequency varies depending on the mail source address, the number of received mails to be extracted may not be sufficient based on mails received within the most recent fixed period. For this reason, a certain amount of received mails may be extracted.
また、受信済みメールに基づいて抽出される特徴情報は、メール送信者の環境の変化によって変移することがある。例えば、メール送信者の転勤や部署異動が発生した場合、送信元サーバのIPアドレスや、ドメイン情報、宛先情報等の特徴情報が変化する可能性がある。そこで、特徴情報の変化が適宜反映されるように、特徴情報DBd1は、定期的に更新されることが望ましい。これにより、適宜更新された特徴情報DBd1に基づいて、受信対象メールと受信済みメールとの類似度がタイムリーに判定される。 In addition, feature information extracted based on received mail may change due to changes in the environment of the mail sender. For example, when a mail sender is transferred or a department is changed, there is a possibility that characteristic information such as the IP address of the transmission source server, domain information, and destination information will change. Therefore, it is desirable that the feature information DBd1 is periodically updated so that changes in the feature information are appropriately reflected. As a result, the similarity between the reception target mail and the received mail is determined in a timely manner based on the appropriately updated feature information DBd1.
続いて、本実施の形態例におけるメールチェック処理の流れについて、フローチャート図に基づいて説明する。 Next, the flow of the mail check process in the present embodiment will be described based on the flowchart diagram.
[フローチャート:類似判定処理の流れ]
図9は、本実施の形態例のメールチェック装置200における類似判定処理の流れを説明するフローチャート図である。同図の処理において、メール特徴抽出部13によって、例えば、直近の一か月の正規の受信済みメールに基づいて、特徴情報DBd1が生成されているものとする。
[Flowchart: Flow of similarity determination processing]
FIG. 9 is a flowchart for explaining the flow of similarity determination processing in the
メールチェック部10のメール受信部が受信対象のメールを検出すると(S11)、メールチェック部10の標的型攻撃メール検出部14は、受信対象メールと送信元アドレスが同一、即ち、同一送信者の受信履歴があるか否かを判定する(S12)。受信履歴は、特徴情報DBd1が特徴情報の抽出の対象とした受信メールのリストを示す。同一送信者の受信履歴がある場合(S12のYES)、標的型攻撃メール検出部14は、受信対象のメールと、同一送信者のN個(i=1〜N)の受信済みのメール(hi〜hN)とをそれぞれ比較する。
When the mail receiving unit of the
図9のフローチャート図では、受信対象メールがN個の受信済みメールそれぞれと比較され、受信対象メールとの総一致量値simが基準一致量値thを超える受信済みメール(類似受信済みメール)の数SNが類似度として判定される。そして、類似受信済みメールの数SNが基準類似度mmを越える場合に、受信対象メールが正規メールと判定される。基準一致量値th、及び、基準数mmは、予め定められる(S13)。また、初め、類似受信対象メールの数mmは0個に初期化されている(S14)。 In the flowchart of FIG. 9, the received mail is compared with each of the N received mails, and the received mail (similar received mail) whose total matching amount value sim with the receiving target mail exceeds the reference matching amount value th. The number SN is determined as the similarity. When the number SN of similar received mails exceeds the reference similarity mm, the reception target mail is determined to be a regular mail. The reference matching amount value th and the reference number mm are determined in advance (S13). Initially, the number mm of similar reception target mails is initialized to 0 (S14).
標的型攻撃メール検出部14は、受信対象メールと送信元アドレスが同一の複数の受信済みメールとをそれぞれ比較して、総一致量値simを算出する(S15)。続いて、標的型攻撃メール検出部14は、算出した総一致量値simが基準一致量値thを超えるか否かを判定する(S16)。基準一致量値thを超える場合(S16のYES)、標的型攻撃メール検出部14は、基準一致量値thを超える類似受信済みメールカウントSNをカウントアップする(S17)。次に、標的型攻撃メール検出部14は、類似受信済みメール数SNが基準類似度mmを超えるか否かを判定する(S18)。
The target-type attack
類似受信済みメール数SNが基準類似度を超えない場合(S18のNO)、または、総一致量値simが基準一致量値thを超えない場合(S16のNO)、標的型攻撃メール検出部14は、変数iをインクリメントし、送信元アドレスが同一の次の受信済みメールを判定の対象とする(S19)。判定済みの受信済みメール数(i)がN個に達していない場合(S20のNO)、標的型攻撃メール検出部14は、同様にして、受信済みメールと受信対象メールとの類似度を算出し(S15)、類似度の判定を行う。
When the number of similar received mails SN does not exceed the reference similarity (NO in S18), or when the total matching amount value sim does not exceed the reference matching amount value th (NO in S16), the target-type attack
一方、類似受信済みメール数SNが基準類似度mmを超える場合(S18のYES)、正規の受信済みメールとの特徴情報の類似度が高いことから、正規メールであると判定される。そこで、標的型攻撃メール検出部14は、当該受信対象メールの情報を受信履歴情報に追加し、特徴情報DBd1の抽出対象とする(S24)。そして、メールサーバは、受信対象メールを受信する(S25)。
On the other hand, when the number of similar received mails SN exceeds the reference similarity mm (YES in S18), it is determined that the mail is a legitimate mail because the similarity of the feature information with the legitimate received mail is high. Therefore, the target-type attack
工程S12の判定に戻り、同一送信者の受信履歴がない場合(S12のNO)、特徴情報DBd1に同一送信者の受信済みメールの特徴情報がないことを示す。即ち、受信対象メールが新規送信者からメールであることを示す。そこで、アラート発生部15は、新規送信者からのメールであり、ユーザによる確認が必要なメールであるとして警告情報を表示する(S21)。このように、本実施の形態例において新規送信者からのメールの場合、特徴情報DBに受信済みメールの特徴情報がないことから警告情報が表示されるが、新規送信者からのメールに対する警告情報の表示の抑制方法については別途検討される。
Returning to the determination in step S12, if there is no reception history of the same sender (NO in S12), it indicates that there is no feature information of the received mail of the same sender in the feature information DBd1. That is, it indicates that the reception target mail is a mail from a new sender. Therefore, the
また、工程S20において、判定済みの受信済みメール数がN個に達した場合(S20のYES)、類似受信済みメール数SNが基準類似度mmを超えない間に(S18のNO)、即ち、正規メールであると判定されない間に、送信元アドレスが同一の全ての受信済みメールについて判定されたことを示す。そこで、アラート発生部15は、受信対象メールと類似する受信済みメールが存在していない旨の警告情報を表示する(S22)。
In step S20, when the determined number of received emails reaches N (YES in S20), while the number of similar received emails SN does not exceed the reference similarity mm (NO in S18), that is, This indicates that all received mails having the same source address have been determined while it is not determined to be a regular mail. Therefore, the
受信対象メールが新規送信者からのメールである旨の警告情報(S21)、または、受信対象メールが類似度を満たしていない旨の警告情報(S22)が表示画面等に表示されると、ユーザは、受信対象メールの受信を許可するか否かを判定する(S23)。受信対象メールの受信が許可された場合(S23のYES)、標的型攻撃メール検出部14は、当該受信対象メールの情報を受信履歴情報に追加し(S24)、メールサーバは受信対象メールを受信する(S25)。一方、受信対象メールの受信が許可されない場合(S23のNO)、標的型攻撃メール検出部14は、受信対象メールを破棄する(S26)。ただし、標的型攻撃メール検出部14は、受信対象メールに対して安全化処理を行った上で、安全化処理後の受信対象メールを受信してもよい。安全化処理とは、例えば、添付ファイルの削除や本文への警告文の追加、本文におけるリンク削除等である。
When warning information (S21) that the received mail is a mail from a new sender or warning information (S22) that the received mail does not satisfy the similarity is displayed on the display screen or the like, the user Determines whether or not the reception of the reception target mail is permitted (S23). When reception of the reception target mail is permitted (YES in S23), the targeted attack
続いて、図9のフローチャート図における工程S15における総一致量値simの算出処理について、次のフローチャート図に基づいて説明する。 Next, the calculation process of the total matching amount value sim in step S15 in the flowchart of FIG. 9 will be described based on the following flowchart.
[フローチャート:総一致量値simの算出処理の流れ]
図10は、受信対象メールと受信済みメールとの特徴情報の総一致量値simの算出処理を説明するフローチャート図である。初めに、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれるDate情報に基づいて、送信日時情報を取得する(S32)。続いて、標的型攻撃メール検出部14は、取得した送信日時情報における送信曜日が、比較対象の受信済みメールから抽出された送信曜日と一致するか否かを判定する(S33)。
[Flowchart: Flow of processing for calculating total matching amount value sim]
FIG. 10 is a flowchart for explaining the calculation processing of the total matching amount value sim of the feature information of the reception target mail and the received mail. First, the targeted attack
標的型攻撃メール検出部14は、一致する場合(S33のYES)、変数Scoreに値5を加算し(S34)、一致しない場合(S33のNO)、変数Scoreに加算を行わない。続いて、標的型攻撃メール検出部14は、取得した送信日時情報における送信時間帯が、比較対象の受信済みメールにおける送信時間帯と一致するか否かを判定する(S35)。標的型攻撃メール検出部14は、一致する場合(S35のYES)、変数Scoreに値5を加算し(S36)、一致しない場合(S35のNO)、変数Scoreに加算を行わない。
The target-type attack
次に、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれるSubject情報に基づいて、タイトル情報におけるパターン情報を取得する(S38)。続いて、標的型攻撃メール検出部14は、取得したパターン情報が、比較対象の受信済みメールから抽出されたパターン情報と一致するか否かを判定する(S38)。標的型攻撃メール検出部14は、一致する場合(S38のYES)、変数Scoreに値5を加算し(S39)、一致しない場合(S38のNO)、変数Scoreに加算を行わない。
Next, the target-type attack
次に、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれるTo、Cc情報に基づいて、宛先情報を取得する(S40)。続いて、標的型攻撃メール検出部14は、取得した宛先情報が、比較対象の受信済みメールから抽出された宛先情報と一致するか否かを判定する(S41)。標的型攻撃メール検出部14は、一致する場合(S41のYES)、変数Scoreに値5を加算し(S42)、一致しない場合(S41のNO)、変数Scoreに加算を行わない。
Next, the target-type attack
次に、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれるX−mailer情報に基づいて、使用メーラー情報を取得する(S43)。続いて、標的型攻撃メール検出部14は、取得した使用メーラー情報が、比較対象の受信済みメールから抽出された使用メーラー情報と一致するか否かを判定する(S44)。標的型攻撃メール検出部14は、一致する場合(S44のYES)、変数Scoreに値5を加算し(S45)、一致しない場合(S44のNO)、変数Scoreに加算を行わない。
Next, the target-type attack
次に、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる送信元サーバのReceived情報を取得し(S46)、当該Received情報に基づいて送信元サーバのIPアドレス情報を抽出する(S47)。続いて、標的型攻撃メール検出部14は、取得したIPアドレス情報が、比較対象の受信済みメールから抽出されたIPアドレス情報と一致するか否かを判定する(S48)。標的型攻撃メール検出部14は、一致する場合(S48のYES)、変数Scoreに値5を加算し(S49)、一致しない場合(S48のNO)、変数Scoreに加算を行わない。
Next, the targeted attack
次に、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる経由送信サーバのReceived情報に基づく経由タイムゾーン情報が、比較対象の受信済みメールから抽出される経由タイムゾーン情報と一致するか否かを判定する(S50)。標的型攻撃メール検出部14は、一致する場合(S50のYES)、変数Scoreに値5を加算し(S51)、一致しない場合(S50のNO)、変数Scoreに加算を行わない。
Next, the target-type attack
そして、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる送信元情報を示す送信元サーバのドメイン、IPアドレス、タイムゾーンの組み合わせ情報(組み合わせ特徴情報)が、比較対象の受信済みメールから抽出された組み合わせ特徴情報と一致するか否かを判定する(S52)。標的型攻撃メール検出部14は、一致する場合(S52のYES)、変数Scoreに値5を加算し(S53)、一致しない場合(S52のNO)、変数Scoreに加算を行わない。
Then, the targeted attack
このように、累計値である変数Scoreが、受信対象メールと1つの受信済みメールとの総一致量値simとして算出される。そして、総一致量値simは、基準一致量値thと比較され(図9のS16)、類似受信済みメールか否かが判定される。 Thus, the variable Score, which is a cumulative value, is calculated as the total matching amount value sim between the reception target mail and one received mail. Then, the total match amount value sim is compared with the reference match amount value th (S16 in FIG. 9), and it is determined whether or not it is a similar received mail.
このように、本実施の形態例におけるメールチェック部10は、正規の複数の受信済みメールについて、受信済みメールのメールヘッダーが含む複数の特徴情報を抽出して、特徴情報DBd1を生成する。そして、メールチェック部10は、受信する対象メールのメールヘッダーが含む特徴情報と、特徴情報DBd1から参照される受信対象メールと送信元アドレスが同一の複数の受信済みメールの複数の特徴情報との類似度を判定する。そして、メールチェック部10は、類似度が基準類似度未満、即ち、類似度が低い受信対象メールを非正規メールである可能性があると判定し、警告メールとしてユーザに通知する。また、各受信対象メールについて、複数の特徴情報について比較されるため、警告メール検出の精度が向上する。なお、図10のフローチャート図で比較される特徴情報の項目例は、一例である。メールヘッダーに含まれる複数の特徴情報のうち、いずれの特徴情報が比較され、類似度が算出されてもよい。
As described above, the
なお、図9、図10のフローチャート図では、受信対象メールと送信元アドレスが同一であって、受信対象メールとの総一致量値simが基準一致量値thを超える受信済みメール(類似受信済みメール)の数SNが類似度として算出され判定される。これにより、類似した受信済みメールが基準数分(基準類似度)存在する場合に、正規メールであると判定される。ただし、この例に限定されるものではない。例えば、メールチェック部10は、送信元アドレスが同一であって、正規の所定数の受信対象メールとの総一致量値simの総累計値を類似度として算出し、基準類似度と比較してもよい。
In the flowcharts of FIGS. 9 and 10, received mail (similar received) whose reception target mail and source address are the same and whose total match amount value sim with the reception target mail exceeds the reference match amount value th. Email) SN is calculated and determined as the similarity. As a result, when the number of similar received mails is equal to the reference number (reference similarity), it is determined that the mail is a regular mail. However, it is not limited to this example. For example, the
[具体例]
図9のフローチャート図における具体例について、図8の特徴情報DBd1に基づいて説明する。この例において、基準一致量値thは値20、基準類似度は10であるものとする。
[Concrete example]
A specific example in the flowchart of FIG. 9 will be described based on the feature information DBd1 of FIG. In this example, it is assumed that the reference coincidence value th is 20 and the reference similarity is 10.
また、受信対象メールの送信元アドレスがID4であり、送信元サーバのIPアドレスにおける上位3レベルが「x8.103.124.***」、時間帯が3、使用メーラーの識別値がFoxmail、経由タイムゾーンが+0900(日本)のみであり、送信元サーバのドメインが「aaaa.bbbb.com」、Toに受信者に加えてID31、CcにID4が指定される場合を示す。また、タイトル情報に、半角のハイフンが含まれる。また、受信対象メールの送信曜日は、例えば、火曜日であるものとする。 The sender address of the mail to be received is ID4, the upper three levels in the IP address of the sender server are “x8.103.124. ***”, the time zone is 3, the identification value of the mailer used is Foxmail, A case where the transit time zone is only +0900 (Japan), the domain of the transmission source server is “aaaa.bbbb.com”, ID31 is specified in addition to the receiver in To, and ID4 is specified in Cc. The title information includes a half-width hyphen. In addition, the transmission day of the reception target mail is assumed to be Tuesday, for example.
例えば、図8の特徴情報DBd1における、受信対象メールと送信元アドレスID4が同一の受信済みメールが比較判定の対象とされる場合を例示する。図8の特徴情報DBd1において、送信元アドレスがID4である受信済みメールの特徴情報は、ID=1、3の特徴情報を示す。なお、図示していないが、図8の特徴情報DBd1には、送信元アドレスがID4である90個分の受信済みメールの特徴情報が抽出されているものとする。 For example, a case where a received mail having the same source address ID4 as the reception target mail in the feature information DBd1 of FIG. In the feature information DBd1 of FIG. 8, the feature information of the received mail whose transmission source address is ID4 indicates the feature information of ID = 1 and 3. Although not shown, it is assumed that the feature information DBd1 in FIG. 8 has extracted feature information of 90 received mails whose source address is ID4.
まず、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる送信日時情報を取得し(S32)、取得した送信日時情報における送信曜日が、ID=1の受信済みメールから抽出された送信曜日と一致するか否かを判定する(S33)。図8の特徴情報DBd1の例において、送信曜日は抽出されていないが、例えば、ID=1の受信済みメールの送信曜日は、金曜日であるものとする。この場合、送信曜日が一致しないため(S33のNO)、変数Scoreは0のままである。
First, the targeted attack
続いて、標的型攻撃メール検出部14は、送信時間帯について比較する(S35)。この例において、受信対象メールの送信時間帯は3、ID=1の受信済みメールの送信時間帯は2であるため、送信時間帯は一致しない(S35のNO)。そのため、変数Scoreは値0のままである。次に、標的型攻撃メール検出部14は、タイトル情報におけるパターン情報を取得し(S37)、比較する(S38)。この例において、受信対象メールとID=1の受信済みメールのタイトル情報は一致しないため(S38のNO)、変数Scoreは値0のままである。
Subsequently, the target-type attack
続いて、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる宛先情報を取得し(S40)、比較する(S41)。この例において、受信対象メールとID=1の受信済みメールの宛先情報は一致するため(S38のYES)、Scoreに値5が加算される。続いて、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる使用メーラー情報を取得し(S43)、比較する(S44)。この例において、受信対象メールとID=1の受信済みメールの使用メーラー情報は一致するため(S44のYES)、Scoreの値は10に増加する。
Subsequently, the target-type attack
続いて、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる送信サーバのIP情報を抽出し(S46、S47)、比較する(S48)。この例において、受信対象メールの送信元サーバと、ID=1の受信済みメールの送信元サーバのIPアドレス(上位3レベル)は一致するため(S48のYES)、変数Scoreの値は15に増加する。続いて、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる経由タイムゾーン情報を比較するが(S50)、一致することにより(S50のYES)、変数Scoreの値は20に増加する。
Subsequently, the target-type attack
そして、標的型攻撃メール検出部14は、受信対象メールのメールヘッダーに含まれる送信元サーバのドメイン、送信元サーバのIPアドレス、送信元サーバのタイムゾーンの組み合わせを比較する(S52)。この例において、受信対象メールの送信元サーバのドメインは、aaaa.bbbb.com、IPアドレスは「x8.103.124.***(上位3レベル)」、タイムゾーンは+0900(日本)である。このため、受信対象メールの組み合わせ特徴情報と、図8のID=1の組み合わせ特徴情報とは一致する。このため、変数Scoreの値は25に増加する。
Then, the target-type attack
そして、算出された変数Scoreの値、即ち、総一致量値simが、基準一致致量値th(この例では、20)と比較される。この例において、総一致量値sim(変数Score=25)が基準一致量値thを超えるため(S16のYES)、類似受信済みメールカウントSNがインクリメントされる。続いて、受信対象メールが特徴情報DBd1におけるID=3の受信済みメールと比較され、同様にして総一致量値simが算出され、基準一致量値thと比較される。この判定が、特徴情報DBd1に格納された、送信元アドレスがID4である他の受信済みメールについても行われる。そして、類似受信済みメールカウントSNが基準類似度mm(この例では、10)を超えると(S18のYES)、正規メールであると判定され受信が許可される(S24、S25)。 Then, the value of the calculated variable Score, that is, the total matching amount value sim is compared with the reference matching amount value th (20 in this example). In this example, since the total matching amount value sim (variable Score = 25) exceeds the reference matching amount value th (YES in S16), the similar received mail count SN is incremented. Subsequently, the reception target mail is compared with the received mail of ID = 3 in the feature information DBd1, and the total matching amount value sim is calculated in the same manner and compared with the reference matching amount value th. This determination is also performed for the other received mail stored in the feature information DBd1 and whose source address is ID4. When the similar received mail count SN exceeds the reference similarity mm (10 in this example) (YES in S18), it is determined that the mail is a regular mail and reception is permitted (S24, S25).
また、例えば、具体例において、受信対象メールのメールヘッダーに含まれる使用メーラー情報が一致しない場合(S44のNO)、変数Scoreの値は20となる。このとき、変数Scoreの値(総一致量値sim)は、基準一致致量値th(この例では、20)を超えないため(S16のNO)、類似受信済みメールカウントSNはインクリメントされない。このように、複数の特徴情報の一致結果に基づいて、受信対象メールの類似度が判定される。基準一致致量値thは、比較対象の特徴情報の数やばらつき度合い等に基づいて適切に設定される。 Further, for example, in the specific example, when the used mailer information included in the mail header of the mail to be received does not match (NO in S44), the value of the variable Score is 20. At this time, since the value of the variable Score (total match value sim) does not exceed the reference match value th (20 in this example) (NO in S16), the similar received mail count SN is not incremented. As described above, the similarity of the reception target mail is determined based on the matching result of the plurality of pieces of feature information. The reference coincidence threshold value th is appropriately set based on the number of feature information to be compared, the degree of variation, and the like.
なお、図10のフローチャート図では、いずれの特徴情報の内容が一致した場合であっても、変数Scoreに常に値5が加算される場合における総一致量値simの算出方法について述べた。ただし、特徴情報が一致したときに加算される加算値は、特徴情報によって変更されてもよい。続いて、特徴情報に対してそれぞれ設定され、特徴情報が一致したときにおける加算値を変化させる重み係数について説明する。 In the flowchart of FIG. 10, the calculation method of the total matching amount value sim when the value “5” is always added to the variable Score is described regardless of the content of any feature information. However, the added value added when the feature information matches may be changed by the feature information. Next, a weighting factor that is set for each feature information and changes the added value when the feature information matches will be described.
[重み係数]
同一送信元アドレスの複数の受信済みメールの特徴情報のばらつきの度合いは、特徴情報の種別によって異なる。つまり、特徴情報の種別によって、内容が固定化またはパターン化されやすい特徴情報についてはばらつきの度合いが小さく、内容がパターン化されにくい特徴情報についてはばらつきの度合いが大きい。
[Weighting factor]
The degree of variation in the feature information of a plurality of received mails with the same source address varies depending on the type of feature information. That is, depending on the type of feature information, the degree of variation is small for feature information whose contents are easily fixed or patterned, and the degree of variation is large for feature information whose contents are difficult to be patterned.
例えば、使用メーラーや、送信元サーバのドメイン、タイムゾーン、経由タイムゾーン等の特徴情報等は送信環境に依存する情報であることから、同一送信元アドレスの受信済みメール間での特徴情報のばらつき度合いは小さい。つまり、これらの特徴情報については、内容が1つまたは特定パターンに限定されるため、同一の送信元アドレスの正規の受信済みメール間で一致し易い。また、送信元サーバのIPアドレスについては、送信者によってばらつき度合いが異なる。例えば、自宅や会社、出張先等の複数の拠点から送信する送信者の送信元サーバのIPアドレスのばらつき度合いは大きく、会社等の特定の拠点から送信する送信者の送信元サーバのIPアドレスのばらつき度合いは小さい。 For example, feature information such as used mailer, source server domain, time zone, transit time zone, etc. is information that depends on the transmission environment, so variation in feature information between received emails of the same source address The degree is small. That is, since the content of these feature information is limited to one or a specific pattern, it is easy to match between legitimate received mails having the same source address. Also, the degree of variation of the IP address of the transmission source server varies depending on the sender. For example, the degree of variation in the IP address of a sender server of a sender that transmits from a plurality of bases such as a home, a company, a business trip destination, etc. is large, and the IP address of the sender server of the sender that transmits from a specific base such as a company The degree of variation is small.
一方、タイトル情報におけるパターン情報や定型語句、送信時間帯、送信曜日、宛先情報等は、送信者によって人為的に指定される情報であることから、受信済みメール間での特徴情報のばらつき度合いが大きい。つまり、これらの特徴情報については、同一の送信元アドレスの正規の受信済みメール間で一致し難い。 On the other hand, since the pattern information, fixed phrases, transmission time zone, transmission day of the week, destination information, etc. in the title information are information artificially specified by the sender, the degree of variation in the feature information among the received mails large. In other words, these pieces of feature information are unlikely to match between legitimate received mails having the same source address.
そこで、特徴情報の種別によって重み係数が付与される。重み係数は、例えば、図10のフローチャート図におけるScoreに乗算される。つまり、重み係数が3である場合、当該特徴情報に対応する一致量値は15(=5*3)となる。ただし、この例に限定されるものではなく、例えば、一致量値8(=5+3)のように、重み係数がScoreに加算されてもよい。類似度に対して重み係数が反映されればいずれの方法でもよい。 Therefore, a weighting coefficient is given depending on the type of feature information. For example, the weight coefficient is multiplied by Score in the flowchart of FIG. That is, when the weight coefficient is 3, the matching amount value corresponding to the feature information is 15 (= 5 * 3). However, the present invention is not limited to this example. For example, a weighting factor may be added to Score as in the matching amount value 8 (= 5 + 3). Any method may be used as long as the weighting factor is reflected on the similarity.
そこで、例えば、特徴情報のうち、ばらつき度合いが小さく内容が所定パターンに特定され易い特徴情報については重み係数が大きく、ばらつき度合いが大きく内容が特定され難い特徴情報については重み係数が小さく設定される。この結果、受信対象メールと各受信済みメールとの総一致量値において、重み係数が大きい特徴情報に対応する一致量値の比重は大きくなり、重み係数が小さい特徴情報に対応する一致量値の比重は小さくなる。これにより、受信済みメールにおける内容のばらつき度合いが小さく、信頼性の高い特徴情報の比較結果がより顕著に類似度に反映され、標的型攻撃メール候補がより的確に検出される。 Therefore, for example, among the feature information, the weight information is set to be small for the feature information having a small variation degree and the content is easily specified as the predetermined pattern, and the weight coefficient is set to be small for the feature information having a large variation degree and the content is difficult to specify. . As a result, in the total match value between the mail to be received and each received mail, the specific gravity of the match value corresponding to the feature information having a large weighting coefficient is large, and the match value corresponding to the feature information having a small weighting coefficient is Specific gravity becomes small. As a result, the degree of content variation in the received mail is small, and the comparison result of the highly reliable feature information is more remarkably reflected in the similarity, and the target-type attack mail candidate is detected more accurately.
また、前述した送信元サーバのIPアドレスの例のように、送信者によって、受信済みメールにおける特徴情報のばらつき度合いの傾向は異なる。このため、重み係数は、同一送信元アドレスの受信済みメールの特徴情報のばらつき度合いに基づいて、送信元アドレス単位に調整されてもよい。つまり、送信者毎のばらつき度合いの相違は、各送信者それぞれについて設定される各特徴情報の重み係数によって吸収され、対応される。なお、重み係数は、直近の所定量の受信済みメールに基づいて、適宜更新される。これにより、送信者毎の特徴情報の重み係数は、各送信者の受信済みメールの特徴情報のばらつき度合いに基づいて最適な値に設定される。 Further, as in the example of the IP address of the transmission source server described above, the tendency of the variation degree of the characteristic information in the received mail varies depending on the sender. For this reason, the weighting factor may be adjusted in units of source addresses based on the degree of variation in the characteristic information of received mails with the same source address. That is, the difference in the degree of variation for each sender is absorbed and dealt with by the weight coefficient of each feature information set for each sender. The weighting factor is updated as appropriate based on the most recent predetermined amount of received mail. Thereby, the weighting coefficient of the feature information for each sender is set to an optimum value based on the degree of variation in the feature information of the received mail of each sender.
これにより、同一送信元アドレスの受信済みメールにおける内容のばらつき度合いの小さい特徴情報の比較結果がより顕著に類似度に反映されることにより、標的型攻撃メール候補がより高精度に検出される。例えば、メールマガジン等のように特定の送信日時に送信されるメールの送信元アドレスについては、送信日時(送信曜日、送信時刻)に係る特徴情報の重み係数が大きな値に設定される。 Thereby, the comparison result of the feature information with a small degree of content variation in the received mail of the same source address is more remarkably reflected in the similarity, so that the targeted attack mail candidate is detected with higher accuracy. For example, with respect to the transmission source address of a mail transmitted at a specific transmission date and time such as a mail magazine, the weighting factor of feature information related to the transmission date and time (transmission day of the week and transmission time) is set to a large value.
また、例えば、特徴情報のうち、送信元メールサーバのIPアドレス、送信元メールサーバのドメイン情報、タイムゾーン情報、送信メーラー種別を示す送信環境に依存する第1特徴情報群の重み係数は大きく、送信曜日、送信時刻、タイトル情報、宛先情報を示す送信者に因る人為的な第2特徴情報群の重み係数は小さく設定される。正規の受信済みメールにおいて、第1特徴情報群の特徴情報の内容は特定のパターンに限定され易くばらつき度合いが小さく、第2特徴情報群の特徴情報の内容は、傾向が限定され難くばらつき度合いが大きいという特性を有するためである。 Also, for example, among the feature information, the weighting factor of the first feature information group depending on the transmission environment indicating the IP address of the sender mail server, the domain information of the sender mail server, the time zone information, and the sender mailer type is large, The weighting factor of the artificial second feature information group due to the sender indicating the transmission day of the week, transmission time, title information, and destination information is set small. In a legitimate received mail, the content of the feature information in the first feature information group is easily limited to a specific pattern and the degree of variation is small, and the content of the feature information in the second feature information group is less likely to be limited in tendency to vary. This is because it has a characteristic of being large.
そこで、受信対象メールと各受信済みメールとの総一致量値について、第1特徴情報群の特徴情報の重み係数を大きくして対応する一致量値の比重を大きくすると共に、第2特徴情報群の特徴情報の重み係数を小さくして対応する一致量値の比重を小さくする。これにより、受信済みメールにおける送信環境に依存する特徴情報の比較結果がより顕著に類似度に反映されるため、標的型攻撃メール候補がより高精度に検出可能となる。 Therefore, for the total match value of the received mail and each received mail, the weighting factor of the feature information of the first feature information group is increased to increase the specific gravity of the corresponding match value, and the second feature information group The weight coefficient of the feature information is reduced to reduce the specific gravity of the corresponding match value. As a result, the comparison result of the feature information depending on the transmission environment in the received mail is more remarkably reflected in the similarity, so that the targeted attack mail candidate can be detected with higher accuracy.
また、送信元メールサーバのIPアドレス、ドメイン情報、タイムゾーン情報を含む送信元情報群のうち複数の送信元情報を組み合わせた特徴情報(組み合わせ特徴情報)の重み係数は、送信元情報それぞれ示す各特徴情報の重み係数より大きい値に設定されてもよい。例えば、組み合わせ特徴情報の重み係数は、送信元メールサーバのIPアドレス、ドメイン情報等を示す個々の特徴情報の重み係数より大きな値に設定される。 In addition, the weighting factor of the feature information (combined feature information) obtained by combining a plurality of pieces of source information in the source information group including the IP address, domain information, and time zone information of the source mail server is shown for each source information. It may be set to a value larger than the weight coefficient of the feature information. For example, the weighting factor of the combination feature information is set to a value larger than the weighting factor of the individual feature information indicating the IP address of the transmission source mail server, domain information, and the like.
標的型攻撃メールは正規の送信者を詐称して送信されるため、標的型攻撃メールと正規の受信済みメールとでは、組み合わせ特徴情報のうち一部の送信元情報が一致したとしても、複数の送信元情報の組み合わせは一致し難い。そのため、信頼性の高い特徴情報を示す組み合わせ特徴情報の重み係数がより大きい値に設定され、その比較結果が類似度により顕著に反映されることにより、標的型攻撃メール候補がより高精度に検出される。 Since targeted attack emails are sent with spoofed legitimate senders, even if some of the source information of the combination feature information matches between the targeted attack email and the legitimate received email, multiple Combinations of source information are difficult to match. Therefore, the weighting coefficient of the combination feature information indicating highly reliable feature information is set to a larger value, and the comparison result is more prominently reflected in the similarity, so that the target-type attack mail candidate is detected with higher accuracy. Is done.
図11は、送信元アドレス毎の特徴情報の重み係数情報d2の一例を示す図である。この例では、送信元アドレス毎に特徴情報それぞれについて重み係数が付与されている。ただし、すべての送信元アドレスに対して、共通の値として、特徴情報それぞれについて重み係数が付与されてもよい。 FIG. 11 is a diagram illustrating an example of the weighting factor information d2 of the feature information for each transmission source address. In this example, a weighting coefficient is assigned to each feature information for each source address. However, a weighting coefficient may be given to each feature information as a common value for all transmission source addresses.
図11の重み係数の例において、具体的に、送信元アドレスがID4の送信元サーバのIPアドレス、タイムゾーン、ドメイン、使用メーラー、経由タイムゾーンには重み係数10が付与されている。つまり、送信環境に依存する特徴情報には、大きい値の重み係数(この例では、10)が付与されている。一方、送信時間帯には重み係数7が、宛先のTo、Ccには重み係数5が、タイトル情報のパターン情報には重み係数3が付与されている。つまり、人為的に指定されることにより内容が変動しやすい特徴情報にはより小さい値の重み係数(この例では、3、5、7)が、内容のばらつき度合いが小さく信頼性の高い特徴情報にはより大きな値の重み係数(この例では、10)が付与されている。
In the example of the weighting factor of FIG. 11, specifically, the
また、送信元アドレスがID20の各特徴情報の重み係数は、パターン情報以外大きな値が付与されている。これは、例えば、メールマガジン等の送信元アドレスの重み係数を示す。例えば、メールマガジン等では、送信時間帯や宛先情報等の特徴情報の内容が固定的であるため、大きい重み係数が付与される。なお、図11には図示していないが、組み合わせ特徴情報についても同様に重み係数が付与される。 In addition, a large value other than the pattern information is assigned to the weighting coefficient of each feature information whose source address is ID20. This indicates, for example, a weighting factor of a source address such as a mail magazine. For example, in a mail magazine or the like, since the content of feature information such as a transmission time zone and destination information is fixed, a large weighting coefficient is given. Although not shown in FIG. 11, weighting factors are similarly assigned to the combination feature information.
これにより、受信対象メールが正規のメールについて、タイトル情報におけるパターン情報や、宛先情報が一致しない場合であっても、重み係数の大きい送信元サーバのIPアドレス等の特徴情報が一致することにより、総一致量値が基準一致量値thを超える。これにより、受信対象メールが正規メールとして判定されることになる。 As a result, even if the pattern information in the title information and the destination information do not match with respect to the legitimate mail to be received, the feature information such as the IP address of the transmission source server having a large weighting coefficient matches, The total matching amount value exceeds the reference matching amount value th. As a result, the mail to be received is determined as a regular mail.
また、重み係数は、特徴情報DBd1と同様にして、直近の正規の受信済みメールに基づいて適宜更新されることが望ましい。これにより、特徴情報のばらつき度合いが変化した場合であっても、各特徴情報に対応する一致量値の総一致量値における比重が調整されることにより、受信対象メールの類似度がタイムリーに判定される。 Further, it is desirable that the weighting coefficient is appropriately updated based on the latest regular received mail in the same manner as the feature information DBd1. As a result, even when the degree of variation in the feature information changes, the similarity of the mail to be received is timely adjusted by adjusting the specific gravity of the match value corresponding to each feature information in the total match value. Determined.
以上のようにして、本実施の形態例におけるメールチェック装置200は、正規の複数の受信済みメールについて、受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報DBd1を生成する。そして、メールチェック装置200は、受信対象メールのメールヘッダーが含む第1の複数の特徴情報と、特徴情報DBd1から参照される当該受信対象メールと送信元アドレスが同一の複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、受信対象メールを警戒メール候補として検出する。
As described above, the
標的型攻撃メールは正規な送信者を詐称して送信されるため人による判定は困難であることが多いが、メールチェック装置200は、受信対象のメールと、送信者が同一の正規の受信済みメールとの類似度を判定し、類似度の低い受信対象メールを警告通知することにより、標的型攻撃メールの候補を自動検出することができる。これにより、メールチェック装置200は、メーラーによる受信前に、標的型攻撃メールの候補を検出することができ、被害の回避を可能にする。
Targeted attack e-mails are sent with spoofed legitimate senders, so it is often difficult for humans to judge, but the
また、本実施の形態例におけるメールチェック装置200は、PCや携帯端末等のクライアント環境での動作を可能にするため、サーバ環境で各ユーザの受信履歴情報や特徴情報を管理する必要がない。また、特徴情報は、受信済みメールのメールヘッダーに含まれる情報のうち一部の情報であるため、特定の個人が特定され難い。これにより、個人情報保持の観点においても有効である。
In addition, since the
また、本実施の形態例におけるメールチェック装置200において、複数の特徴情報は、送信元メールサーバのIPアドレス、前記送信元メールサーバのドメイン情報、タイムゾーン情報、送信メーラー種別を有する第1特徴情報群のうちいずれか1つまたは複数を有する。これにより、メールチェック装置200は、メールの送信環境に依存することによりばらつき度合いの小さい特徴情報に基づいて、受信対象メールと受信済みメールの類似度をより高精度に判定することができる。
In the
また、本実施の形態例におけるメールチェック装置200において、複数の特徴情報は、さらに、送信曜日、送信時刻、タイトル情報、宛先情報を有する第2特徴情報群のうちいずれか1つまたは複数を有する。これにより、メールチェック装置200は、メールの送信環境に依存する特徴情報に加えて、さらに、送信者による人為的な傾向的特徴を有する特徴情報に基づいて、受信対象メールと受信済みメールの類似度をより綿密に判定することができる。これにより、メールチェック装置200は、なりすましし難い特徴情報を比較対象とすることにより、メールヘッダーにおける送信環境に係る特徴情報が詐称されている場合であっても、標的型攻撃メール候補を検出することができる。
In the
また、本実施の形態例におけるメールチェック装置200において、特徴情報DBd1は、特徴情報毎に重み係数を有し、重み係数は、複数の受信済みメールについて、特徴情報のばらつき度合いが第1の度合い(ばらつき度合いが小さい)の場合に第1の重み係数(例えば10)に設定され、特徴情報のばらつき度合いが第1の度合いより大きい第2の度合いの(ばらつき度合いが大きい)場合に第1の重み係数より小さい第2の重み係数(例えば5)に設定される。そして、メールチェック装置200は、検出工程において、受信対象メールの複数の特徴情報と、送信元アドレスが同一の複数の受信済みメールにおける複数の特徴情報とがそれぞれ一致するか否かを判定し、一致した特徴情報に対応する重み係数が反映された各一致量値の累計加算値に応じて類似度を求める。
In the
このように、ばらつき度合いが小さく内容が所定パターンに特定され易い特徴情報については重み係数が大きく、ばらつき度合いが大きく内容が特定され難い特徴情報については重み係数が小さく設定される。この結果、受信対象メールと各受信済みメールとの総一致量値において、重み係数が大きい特徴情報に対応する一致量値の比重は大きくなり、重み係数が小さい特徴情報に対応する一致量値の比重は小さくなる。これにより、受信済みメールにおける内容のばらつき度合いの小さい特徴情報の比較結果がより顕著に類似度に反映され、標的型攻撃メール候補がより高精度に検出可能となる。 As described above, the weighting coefficient is set to be large for feature information whose content of variation is small and the content is easily specified in a predetermined pattern, and the weighting factor is set to be small for feature information whose content is difficult to specify. As a result, in the total match value between the mail to be received and each received mail, the specific gravity of the match value corresponding to the feature information having a large weighting coefficient is large, and the match value corresponding to the feature information having a small weighting coefficient is Specific gravity becomes small. As a result, the comparison result of the feature information with a small degree of content variation in the received mail is more remarkably reflected in the similarity, and the targeted attack mail candidate can be detected with higher accuracy.
または、本実施の形態例におけるメールチェック装置200において、送信元メールサーバのIPアドレス、送信元メールサーバのドメイン情報、タイムゾーン情報、送信メーラー種別を示す第1特徴情報群の特徴情報の重み係数は第1の重み係数(例えば、10)に設定される。そして、送信曜日、送信時刻、タイトル情報、宛先情報を示す第2特徴情報群の特徴情報の重み係数は第1の重み係数より小さい第2の重み係数(例えば、5)に設定される。そして、メールチェック装置200は、検出工程において、受信対象メールの複数の特徴情報と、送信元アドレスが同一の複数の受信済みメールにおける複数の特徴情報とがそれぞれ一致するか否かを判定し、一致した特徴情報に対応する重み係数が反映された各一致量値の累計加算値に応じて類似度を求める。
Alternatively, in the
このように、送信環境に依存することにより内容が特定パターンに限定され易い特徴情報については重み係数が大きく、送信者に依存することにより内容が特定され難い特徴情報については重み係数が小さく設定される。この結果、受信対象メールと各受信済みメールとの総一致量値において、内容が所定パターンに特定され易い特徴情報に対応する一致量値の比重は大きくなり、内容が特定され難い特徴情報に対応する一致量値の比重は小さくなる。これにより、受信対象メールが正規メールである場合、各受信済みメールとの特徴情報の総一致量値が大きくなり、より高精度に標的型攻撃メールが検出される。 As described above, the feature information whose content is likely to be limited to a specific pattern due to the transmission environment has a large weighting factor, and the feature information whose content is difficult to be specified due to the dependency on the sender is set to a small weighting factor. The As a result, in the total match value of the mail to be received and each received mail, the weight of the match value corresponding to the feature information whose contents are easily specified in a predetermined pattern becomes large, and it corresponds to the feature information whose contents are difficult to specify. The specific gravity of the coincidence amount value becomes small. Thereby, when the reception target mail is a regular mail, the total matching amount value of the feature information with each received mail becomes large, and the target attack mail is detected with higher accuracy.
さらに、本実施の形態例におけるメールチェック装置200において、特徴情報は、送信元メールサーバのIPアドレス、ドメイン情報、タイムゾーン情報を含む送信元情報群のうち複数の送信元情報を組み合わせた組み合わせ特徴情報を含み、組み合わせ特徴情報の重み係数は送信元情報それぞれ示す各特徴情報の重み係数より大きい第3の重み係数(例えば、10より大きい値)に設定される。そして、メールチェック装置200は、検出工程において、組み合わせ特徴情報である複数の送信元情報の組み合わせが一致するか否かを判定する。
Furthermore, in the
標的型攻撃メールは正規の送信者を詐称して送信されるため、標的型攻撃メールと正規の受信済みメールとでは、送信環境に依存する特徴情報の組み合わせは一致し難い。そこで、メールチェック装置200は、送信元情報を示す情報の組み合わせである組み合わせ特徴情報を比較し類似度に反映することによって、より高精度に標的型攻撃メールを検出することを可能にする。このため、メールチェック装置200は、信頼性の高い特徴情報である組み合わせ特徴情報の重み係数を大きくし、その比較結果をより顕著に類似度に反映することにより、標的型攻撃メール候補の検出をより高精度にする。
Since the targeted attack mail is transmitted by spoofing a legitimate sender, the combination of feature information depending on the transmission environment is unlikely to match between the targeted attack mail and the legitimate received mail. Therefore, the
なお、特徴情報毎の重み係数は、送信元アドレス毎に設けられてもよい。このとき、送信元アドレス毎の重み係数は、送信元アドレスが同一の複数の受信済みメールにおける特徴情報のばらつき度合いに基づいて決定される。これにより、送信元アドレスによって特徴情報のばらつき度合いの傾向性が異なる場合、受信対象メールが、同一の送信元アドレスの受信済みメールと同様の特徴を有するか否かがより高精度に判定可能となる。つまり、同一送信元アドレスの受信済みメールにおける特徴情報のばらつき度合いの特性が的確に類似度に反映されることにより、標的型攻撃メール候補がより高精度に検出される。 A weighting factor for each feature information may be provided for each source address. At this time, the weighting coefficient for each transmission source address is determined based on the degree of variation in feature information among a plurality of received mails having the same transmission source address. As a result, when the tendency of the variation degree of the feature information varies depending on the transmission source address, it is possible to determine with higher accuracy whether the reception target mail has the same characteristics as the received mail of the same transmission source address. Become. In other words, the target attack mail candidate is detected with higher accuracy by accurately reflecting the characteristic of the variation degree of the characteristic information in the received mail of the same source address in the similarity.
また、本実施の形態例のメールチェック装置200は、定期的に、直近の一定期間内の受信済みメール、または、直近の一定量の受信済みメールのいずれかまたは両方における正規の複数の受信済みメールについて、受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報DBd1を生成、更新する。これにより、メールチェック装置200は、正規の受信済みメールに基づいて特徴情報DBd1を適宜更新することにより、受信対象メールの類似度を最新の特徴情報に従ってタイムリーに判定することができる。このため、正規の送信者の送信環境が変化した場合でも、直近の正規の受信済みメールに基づいて特徴情報DBd1が適宜更新されることにより、標的型攻撃メール候補が常時、適切に検出される。
In addition, the
なお、本実施の形態例におけるメールチェック装置200において、類似度は、一致量値の累計加算値が基準一致量値を超える受信済みメール数を示す。つまり、メールチェック装置200は、受信対象メールと特徴情報の一致度合いが高い受信済みメールが基準の数分、検出された場合に正規メールと判定する。これにより、複数の受信済みメールとの類似度に基づいて判定されることから、メールチェック装置200は、より高精度に標的型攻撃メールを検出することができる。
In the
なお、本実施の形態例におけるメールチェック処理は、コンピュータ読み取り可能な記録媒体にプログラムとして記憶され、当該プログラムをコンピュータが読み出して実行することによって行われてもよい。 The mail check process in the present embodiment may be stored as a program in a computer-readable recording medium, and may be performed by the computer reading and executing the program.
以上の実施の形態をまとめると、次の付記のとおりである。 The above embodiment is summarized as follows.
(付記1)
新たに受信する対象メールから警戒メール候補を検出するメールチェック方法であって、
正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成工程と、
受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する検出工程と、を有するメールチェック方法。
(Appendix 1)
An email check method for detecting a warning email candidate from a newly received target email,
A feature information DB generating step for extracting a plurality of feature information included in a mail header of the received email and generating a feature information database (hereinafter referred to as DB) for a plurality of regular received emails;
The first plurality of characteristic information included in the mail header of the reception target mail, and the second plurality of characteristics of the plurality of received mails having the same source address as the reception target mail referenced from the characteristic information DB. And a detection step of detecting the reception target mail as a warning mail candidate when the similarity with the information is less than the reference similarity.
(付記2)
付記1において、
前記第1、第2の複数の特徴情報は、送信元メールサーバのIPアドレス、前記送信元メールサーバのドメイン情報、タイムゾーン情報、送信メーラー種別を有する第1特徴情報群のうちいずれか1つまたは複数を有するメールチェック方法。
(Appendix 2)
In
The first and second plurality of feature information is one of an IP address of a sender mail server, domain information of the sender mail server, time zone information, and a first feature information group having a sender mailer type. Or an email check method with multiple.
(付記3)
付記2において、
前記第1、第2の複数の特徴情報は、さらに、送信曜日、送信時刻、タイトル情報におけるパターン情報、宛先情報を有する第2特徴情報群のうちいずれか1つまたは複数を有するメールチェック方法。
(Appendix 3)
In
The first and second plurality of feature information further includes one or more of a second feature information group having a transmission day of the week, a transmission time, pattern information in title information, and destination information.
(付記4)
付記1乃至3のいずれかにおいて、
前記特徴情報DBは、前記特徴情報毎に重み係数を有し、
前記重み係数は、前記複数の受信済みメールについて、前記特徴情報のばらつき度合いが第1の度合いの場合に第1の重み係数に設定され、前記特徴情報のばらつき度合いが前記第1の度合いより大きい第2の度合いの場合に前記第1の重み係数より小さい第2の重み係数に設定され、
前記検出工程は、前記第1の複数の特徴情報と前記第2の複数の特徴情報とがそれぞれ一致するか否かを判定し、一致した特徴情報に対応する前記重み係数が反映された各一致量値の累計加算値に応じて前記類似度を求めるメールチェック方法。
(Appendix 4)
In any one of
The feature information DB has a weighting factor for each feature information,
The weighting factor is set to a first weighting factor when the variation degree of the feature information is the first degree for the plurality of received mails, and the variation degree of the feature information is larger than the first degree. Set to a second weighting factor that is smaller than the first weighting factor in the case of a second degree;
The detection step determines whether or not the first plurality of feature information and the second plurality of feature information match each other, and each match in which the weighting factor corresponding to the matched feature information is reflected A mail check method for obtaining the similarity according to a cumulative addition value of quantity values.
(付記5)
付記3において、
前記特徴情報DBは、前記特徴情報毎に重み係数を有し、
前記第1特徴情報群の特徴情報の重み係数は第1の重み係数に設定され、前記第2特徴情報群の特徴情報の重み係数は前記第1の重み係数より小さい第2の重み係数に設定され、
前記検出工程は、前記第1の複数の特徴情報と前記第2の複数の特徴情報とがそれぞれ一致するか否かを判定し、一致した特徴情報に対応する前記重み係数が反映された各一致量値の累計加算値に応じて前記類似度を求めるメールチェック方法。
(Appendix 5)
In
The feature information DB has a weighting factor for each feature information,
The weighting factor of the feature information of the first feature information group is set to a first weighting factor, and the weighting factor of the feature information of the second feature information group is set to a second weighting factor smaller than the first weighting factor. And
The detection step determines whether or not the first plurality of feature information and the second plurality of feature information match each other, and each match in which the weighting factor corresponding to the matched feature information is reflected A mail check method for obtaining the similarity according to a cumulative addition value of quantity values.
(付記6)
付記1乃至3のいずれかにおいて、
前記特徴情報DBは、前記特徴情報毎に重み係数を有し、
前記特徴情報は、さらに、送信元メールサーバのIPアドレス、ドメイン情報、タイムゾーン情報を含む送信元情報群のうち複数の送信元情報を組み合わせた組み合わせ特徴情報を含み、
前記組み合わせ特徴情報の前記重み係数は、前記送信元情報それぞれ示す各特徴情報の重み係数より大きい第3の重み係数に設定され、
前記検出工程は、前記受信対象メールについて、各前記複数の受信済みメールと前記組み合わせ特徴情報である前記複数の送信元情報の組み合わせが一致するか否かを判定し、一致した特徴情報に対応する前記重み係数が反映された各一致量値の累計加算値に応じて前記類似度を求めるメールチェック方法。
(Appendix 6)
In any one of
The feature information DB has a weighting factor for each feature information,
The feature information further includes combination feature information obtained by combining a plurality of pieces of sender information from a sender information group including a sender mail server IP address, domain information, and time zone information,
The weighting factor of the combination feature information is set to a third weighting factor that is larger than the weighting factor of each feature information indicated by the transmission source information,
The detection step determines whether or not each of the plurality of received mails matches the combination of the plurality of transmission source information as the combination feature information for the reception target mail, and corresponds to the matched feature information A mail check method for obtaining the similarity according to a cumulative addition value of each matching amount value in which the weighting factor is reflected.
(付記7)
付記4において、
前記重み係数は前記送信元アドレス毎に設けられ、
前記特徴情報のばらつき度合いは、前記送信元アドレスが同一の前記複数の受信済みメールにおける前記特徴情報のばらつき度合いであるメールチェック方法。
(Appendix 7)
In
The weighting factor is provided for each source address,
The mail check method, wherein the variation degree of the feature information is a variation degree of the feature information in the plurality of received mails having the same transmission source address.
(付記8)
付記1乃至7のいずれかにおいて、
前記複数の受信済みのメールは、直近の一定期間内の受信済みメール、または、直近の一定量の受信済みメールのいずれかまたは両方を示し、
前記特徴情報DB生成手段は、定期的に前記特徴情報DBを更新するメールチェック方法。
(Appendix 8)
In any one of
The plurality of received emails may indicate either or both of emails received within a recent period of time, or a certain amount of emails that have been received most recently.
The feature information DB generation means is a mail check method for periodically updating the feature information DB.
(付記9)
付記4乃至6のいずれかにおいて、
前記類似度は、前記一致量値の累計加算値が基準一致量値を超える受信済みメール数を示すメールチェック方法。
(Appendix 9)
In any of
The similarity check is an email check method that indicates the number of received emails in which a cumulative addition value of the match value exceeds a reference match value.
(付記10)
付記2において、
前記送信元メールサーバのIPアドレスは、IPアドレスのうち、基準上位レベルのIPアドレスであるメールチェック方法。
(Appendix 10)
In
The mail check method, wherein the IP address of the sender mail server is a reference upper level IP address among IP addresses.
(付記11)
新たに受信する対象メールから警戒メール候補を検出するメールチェック装置であって、
正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成手段と、
受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する検出手段と、を有するメールチェック装置。
(Appendix 11)
A mail check device that detects a warning mail candidate from a newly received target mail,
A feature information DB generating means for extracting a plurality of feature information included in a mail header of the received email and generating a feature information database (hereinafter referred to as DB) for a plurality of legitimate received emails;
The first plurality of characteristic information included in the mail header of the reception target mail, and the second plurality of characteristics of the plurality of received mails having the same source address as the reception target mail referenced from the characteristic information DB. And a detecting unit that detects the reception target mail as a warning mail candidate when the similarity to the information is less than the reference similarity.
(付記12)
新たに受信する対象メールから警戒メール候補を検出するメールチェック処理をコンピュータに実行させるコンピュータ読み取り可能なメールチェックプログラムであって、
前記メールチェック処理は、
正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成工程と、
受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する検出工程と、を有するメールチェックプログラム。
(Appendix 12)
A computer-readable mail check program for causing a computer to execute a mail check process for detecting a warning mail candidate from a newly received target mail,
The email check process
A feature information DB generating step for extracting a plurality of feature information included in a mail header of the received email and generating a feature information database (hereinafter referred to as DB) for a plurality of regular received emails;
The first plurality of characteristic information included in the mail header of the reception target mail, and the second plurality of characteristics of the plurality of received mails having the same source address as the reception target mail referenced from the characteristic information DB. And a detection step of detecting the reception target email as a warning email candidate when the similarity to the information is less than a reference similarity.
200:メールチェック装置、10:メールチェック部、21:メーラー、
22:アラートユーザインターフェ−ス、11:メールサーバ、12:メール受信装置、
13:メール特徴抽出部、14:標的型攻撃メール検出部、15:アラート発生部15、
d1:特徴情報DB、d2:重み係数情報、d3:表記揺れ辞書
200: mail check device, 10: mail check unit, 21: mailer,
22: Alert user interface, 11: Mail server, 12: Mail receiving device,
13: Mail feature extraction unit, 14: Targeted attack mail detection unit, 15:
d1: Feature information DB, d2: Weight coefficient information, d3: Notation fluctuation dictionary
Claims (12)
正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成工程と、
受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する検出工程と、を有するメールチェック方法。 An email check method for detecting a warning email candidate from a newly received target email,
A feature information DB generating step for extracting a plurality of feature information included in a mail header of the received email and generating a feature information database (hereinafter referred to as DB) for a plurality of regular received emails;
The first plurality of characteristic information included in the mail header of the reception target mail, and the second plurality of characteristics of the plurality of received mails having the same source address as the reception target mail referenced from the characteristic information DB. And a detection step of detecting the reception target mail as a warning mail candidate when the similarity with the information is less than the reference similarity.
前記第1、第2の複数の特徴情報は、送信元メールサーバのIPアドレス、前記送信元メールサーバのドメイン情報、タイムゾーン情報、送信メーラー種別を有する第1特徴情報群のうちいずれか1つまたは複数を有するメールチェック方法。 In claim 1,
The first and second plurality of feature information is one of an IP address of a sender mail server, domain information of the sender mail server, time zone information, and a first feature information group having a sender mailer type. Or an email check method with multiple.
前記第1、第2の複数の特徴情報は、さらに、送信曜日、送信時刻、タイトル情報におけるパターン情報、宛先情報を有する第2特徴情報群のうちいずれか1つまたは複数を有するメールチェック方法。 In claim 2,
The first and second plurality of feature information further includes one or more of a second feature information group having a transmission day of the week, a transmission time, pattern information in title information, and destination information.
前記特徴情報DBは、前記特徴情報毎に重み係数を有し、
前記重み係数は、前記複数の受信済みメールについて、前記特徴情報のばらつき度合いが第1の度合いの場合に第1の重み係数に設定され、前記特徴情報のばらつき度合いが前記第1の度合いより大きい第2の度合いの場合に前記第1の重み係数より小さい第2の重み係数に設定され、
前記検出工程は、前記第1の複数の特徴情報と前記第2の複数の特徴情報とがそれぞれ一致するか否かを判定し、一致した特徴情報に対応する前記重み係数が反映された各一致量値の累計加算値に応じて前記類似度を求めるメールチェック方法。 In any one of Claims 1 thru | or 3,
The feature information DB has a weighting factor for each feature information,
The weighting factor is set to a first weighting factor when the variation degree of the feature information is the first degree for the plurality of received mails, and the variation degree of the feature information is larger than the first degree. Set to a second weighting factor that is smaller than the first weighting factor in the case of a second degree;
The detection step determines whether or not the first plurality of feature information and the second plurality of feature information match each other, and each match in which the weighting factor corresponding to the matched feature information is reflected A mail check method for obtaining the similarity according to a cumulative addition value of quantity values.
前記特徴情報DBは、前記特徴情報毎に重み係数を有し、
前記第1特徴情報群の特徴情報の重み係数は第1の重み係数に設定され、前記第2特徴情報群の特徴情報の重み係数は前記第1の重み係数より小さい第2の重み係数に設定され、
前記検出工程は、前記第1の複数の特徴情報と前記第2の複数の特徴情報とがそれぞれ一致するか否かを判定し、一致した特徴情報に対応する前記重み係数が反映された各一致量値の累計加算値に応じて前記類似度を求めるメールチェック方法。 In claim 3,
The feature information DB has a weighting factor for each feature information,
The weighting factor of the feature information of the first feature information group is set to a first weighting factor, and the weighting factor of the feature information of the second feature information group is set to a second weighting factor smaller than the first weighting factor. And
The detection step determines whether or not the first plurality of feature information and the second plurality of feature information match each other, and each match in which the weighting factor corresponding to the matched feature information is reflected A mail check method for obtaining the similarity according to a cumulative addition value of quantity values.
前記特徴情報DBは、前記特徴情報毎に重み係数を有し、
前記特徴情報は、さらに、送信元メールサーバのIPアドレス、ドメイン情報、タイムゾーン情報を含む送信元情報群のうち複数の送信元情報を組み合わせた組み合わせ特徴情報を含み、
前記組み合わせ特徴情報の前記重み係数は、前記送信元情報それぞれ示す各特徴情報の重み係数より大きい第3の重み係数に設定され、
前記検出工程は、前記受信対象メールについて、各前記複数の受信済みメールと前記組み合わせ特徴情報である前記複数の送信元情報の組み合わせが一致するか否かを判定し、一致した特徴情報に対応する前記重み係数が反映された各一致量値の累計加算値に応じて前記類似度を求めるメールチェック方法。 In any one of Claims 1 thru | or 3,
The feature information DB has a weighting factor for each feature information,
The feature information further includes combination feature information obtained by combining a plurality of pieces of sender information from a sender information group including a sender mail server IP address, domain information, and time zone information,
The weighting factor of the combination feature information is set to a third weighting factor that is larger than the weighting factor of each feature information indicated by the transmission source information,
The detection step determines whether or not each of the plurality of received mails matches the combination of the plurality of transmission source information as the combination feature information for the reception target mail, and corresponds to the matched feature information A mail check method for obtaining the similarity according to a cumulative addition value of each matching amount value in which the weighting factor is reflected.
前記重み係数は前記送信元アドレス毎に設けられ、
前記特徴情報のばらつき度合いは、前記送信元アドレスが同一の前記複数の受信済みメールにおける前記特徴情報のばらつき度合いであるメールチェック方法。 In claim 4,
The weighting factor is provided for each source address,
The mail check method, wherein the variation degree of the feature information is a variation degree of the feature information in the plurality of received mails having the same transmission source address.
前記複数の受信済みのメールは、直近の一定期間内の受信済みメール、または、直近の一定量の受信済みメールのいずれかまたは両方を示し、
前記特徴情報DB生成手段は、定期的に前記特徴情報DBを更新するメールチェック方法。 In any one of Claims 1 thru | or 7,
The plurality of received emails may indicate either or both of emails received within a recent period of time, or a certain amount of emails that have been received most recently.
The feature information DB generation means is a mail check method for periodically updating the feature information DB.
前記類似度は、前記一致量値の累計加算値が基準一致量値を超える受信済みメール数を示すメールチェック方法。 In any one of Claims 4 thru | or 6.
The similarity check is an email check method that indicates the number of received emails in which a cumulative addition value of the match value exceeds a reference match value.
前記送信元メールサーバのIPアドレスは、IPアドレスのうち、基準上位レベルのIPアドレスであるメールチェック方法。 In claim 2,
The mail check method, wherein the IP address of the sender mail server is a reference upper level IP address among IP addresses.
正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成手段と、
受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する検出手段と、を有するメールチェック装置。 A mail check device that detects a warning mail candidate from a newly received target mail,
A feature information DB generating means for extracting a plurality of feature information included in a mail header of the received email and generating a feature information database (hereinafter referred to as DB) for a plurality of legitimate received emails;
The first plurality of characteristic information included in the mail header of the reception target mail, and the second plurality of characteristics of the plurality of received mails having the same source address as the reception target mail referenced from the characteristic information DB. And a detecting unit that detects the reception target mail as a warning mail candidate when the similarity to the information is less than the reference similarity.
前記メールチェック処理は、
正規の複数の受信済みメールについて、前記受信済みメールのメールヘッダーが含む複数の特徴情報を抽出し特徴情報データーベース(以下、DB)を生成する特徴情報DB生成工程と、
受信対象メールの前記メールヘッダーが含む第1の複数の特徴情報と、前記特徴情報DBから参照される当該受信対象メールと送信元アドレスが同一の前記複数の受信済みメールの第2の複数の特徴情報との類似度が基準類似度未満の場合、前記受信対象メールを警戒メール候補として検出する検出工程と、を有するメールチェックプログラム。 A computer-readable mail check program for causing a computer to execute a mail check process for detecting a warning mail candidate from a newly received target mail,
The email check process
A feature information DB generating step for extracting a plurality of feature information included in a mail header of the received email and generating a feature information database (hereinafter referred to as DB) for a plurality of regular received emails;
The first plurality of characteristic information included in the mail header of the reception target mail, and the second plurality of characteristics of the plurality of received mails having the same source address as the reception target mail referenced from the characteristic information DB. And a detection step of detecting the reception target email as a warning email candidate when the similarity to the information is less than a reference similarity.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012108491A JP6094056B2 (en) | 2012-05-10 | 2012-05-10 | Email check method, email check device, and email check program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012108491A JP6094056B2 (en) | 2012-05-10 | 2012-05-10 | Email check method, email check device, and email check program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013236308A true JP2013236308A (en) | 2013-11-21 |
JP6094056B2 JP6094056B2 (en) | 2017-03-15 |
Family
ID=49762050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012108491A Active JP6094056B2 (en) | 2012-05-10 | 2012-05-10 | Email check method, email check device, and email check program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6094056B2 (en) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014102708A (en) * | 2012-11-20 | 2014-06-05 | Ntt Software Corp | Illegal mail determination device, illegal mail determination method, and program |
WO2015186662A1 (en) * | 2014-06-06 | 2015-12-10 | 日本電信電話株式会社 | Log analysis device, attack detection device, attack detection method and program |
JP2017028666A (en) * | 2015-07-28 | 2017-02-02 | ビッグローブ株式会社 | Transmission email system, transmission email control device, transmission email control method, and program |
WO2019053844A1 (en) | 2017-09-14 | 2019-03-21 | 三菱電機株式会社 | Email inspection device, email inspection method, and email inspection program |
WO2019224907A1 (en) * | 2018-05-22 | 2019-11-28 | 三菱電機株式会社 | Unauthorized email determination device, unauthorized email determination method and unauthorized email determination program |
JP2020004220A (en) * | 2018-06-29 | 2020-01-09 | キヤノンマーケティングジャパン株式会社 | Information processing apparatus, client terminal, control method, and program |
CN112154422A (en) * | 2018-06-01 | 2020-12-29 | 三菱电机株式会社 | Suspicious mail detection device, suspicious mail detection method, and suspicious mail detection program |
WO2022070339A1 (en) * | 2020-09-30 | 2022-04-07 | 富士通株式会社 | Verification method, verification program, and information processing device |
JP7111990B2 (en) | 2019-05-23 | 2022-08-03 | キヤノンマーケティングジャパン株式会社 | Information processing device, information processing system, control method, and program |
-
2012
- 2012-05-10 JP JP2012108491A patent/JP6094056B2/en active Active
Non-Patent Citations (1)
Title |
---|
JPN6016003604; 梅田 昴翔 Takato Umeda: '電子メールヘッダの特徴情報を用いた標的型攻撃の検知 Targeted Attack Detection by Analyzing Character' コンピュータセキュリティシンポジウム2010 論文集 [第一分冊] Computer Security Symposium 2010 第2010巻, 20101012, 第109頁〜第113頁, 一般社団法人情報処理学会 Information Processing S * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014102708A (en) * | 2012-11-20 | 2014-06-05 | Ntt Software Corp | Illegal mail determination device, illegal mail determination method, and program |
WO2015186662A1 (en) * | 2014-06-06 | 2015-12-10 | 日本電信電話株式会社 | Log analysis device, attack detection device, attack detection method and program |
CN106415507A (en) * | 2014-06-06 | 2017-02-15 | 日本电信电话株式会社 | Log analysis device, attack detection device, attack detection method and program |
JPWO2015186662A1 (en) * | 2014-06-06 | 2017-04-20 | 日本電信電話株式会社 | Log analysis device, attack detection device, attack detection method and program |
US10243982B2 (en) | 2014-06-06 | 2019-03-26 | Nippon Telegraph And Telephone Corporation | Log analyzing device, attack detecting device, attack detection method, and program |
CN106415507B (en) * | 2014-06-06 | 2019-05-21 | 日本电信电话株式会社 | Log analysis device, attack detecting device, attack detection method and program |
JP2017028666A (en) * | 2015-07-28 | 2017-02-02 | ビッグローブ株式会社 | Transmission email system, transmission email control device, transmission email control method, and program |
US20210092139A1 (en) * | 2017-09-14 | 2021-03-25 | Mitsubishi Electric Corporation | Email inspection device, email inspection method, and computer readable medium |
WO2019053844A1 (en) | 2017-09-14 | 2019-03-21 | 三菱電機株式会社 | Email inspection device, email inspection method, and email inspection program |
WO2019224907A1 (en) * | 2018-05-22 | 2019-11-28 | 三菱電機株式会社 | Unauthorized email determination device, unauthorized email determination method and unauthorized email determination program |
JPWO2019224907A1 (en) * | 2018-05-22 | 2020-09-03 | 三菱電機株式会社 | Fraudulent email judgment device, fraudulent email judgment method and fraudulent email judgment program |
CN112189190A (en) * | 2018-05-22 | 2021-01-05 | 三菱电机株式会社 | Unauthorized mail determination device, unauthorized mail determination method, and unauthorized mail determination program |
CN112154422A (en) * | 2018-06-01 | 2020-12-29 | 三菱电机株式会社 | Suspicious mail detection device, suspicious mail detection method, and suspicious mail detection program |
US20210021617A1 (en) * | 2018-06-01 | 2021-01-21 | Mitsubishi Electric Corporation | Suspicious mail detection device, suspicious mail detection method, and computer readable medium |
JP2020004220A (en) * | 2018-06-29 | 2020-01-09 | キヤノンマーケティングジャパン株式会社 | Information processing apparatus, client terminal, control method, and program |
JP7111990B2 (en) | 2019-05-23 | 2022-08-03 | キヤノンマーケティングジャパン株式会社 | Information processing device, information processing system, control method, and program |
WO2022070339A1 (en) * | 2020-09-30 | 2022-04-07 | 富士通株式会社 | Verification method, verification program, and information processing device |
Also Published As
Publication number | Publication date |
---|---|
JP6094056B2 (en) | 2017-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6094056B2 (en) | Email check method, email check device, and email check program | |
US11677783B2 (en) | Analysis of potentially malicious emails | |
CA2606998C (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
US8095612B2 (en) | Ranking messages in an electronic messaging environment | |
EP1738519B1 (en) | Method and system for url-based screening of electronic communications | |
US20160078124A1 (en) | Using distinguishing properties to classify messages | |
KR20080058415A (en) | Determining the reputation of a sender of communications | |
US8122025B2 (en) | Method of managing locations of information and information location management device | |
US20060190533A1 (en) | System and Method for Registered and Authenticated Electronic Messages | |
JP5121828B2 (en) | E-mail processing apparatus, e-mail processing method, e-mail processing program, and e-mail processing system | |
US20140040403A1 (en) | System, method and computer program product for gathering information relating to electronic content utilizing a dns server | |
US20080235798A1 (en) | Method for filtering junk messages | |
CN114760119B (en) | Phishing mail attack detection method, device and system | |
JP6039378B2 (en) | Unauthorized mail determination device, unauthorized mail determination method, and program | |
JP2014050057A (en) | Electronic mail monitoring device, transmission mail server, electronic mail monitoring method, and program | |
JP2018173682A (en) | Determination program, determination method, determination device, and information processing system | |
JP6247490B2 (en) | Fraud mail determination device and program | |
JP4998302B2 (en) | Mail misdelivery prevention system, mail misdelivery prevention method, and mail misdelivery prevention program | |
CN101094197A (en) | Method and mail server of anti garbage mail | |
WO2014191769A1 (en) | List hygiene tool | |
JP6266487B2 (en) | Mail information extraction device, mail judgment list creation device, mail information extraction method, mail judgment list creation method, and computer program | |
JP6316380B2 (en) | Unauthorized mail determination device, unauthorized mail determination method, and program | |
JP2018180871A (en) | Electronic mail processing device and electronic mail processing program | |
JP2020166544A (en) | Electronic mail check system, check device and electronic mail check method | |
JP6509749B2 (en) | Communication system and server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160209 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160406 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160726 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160921 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170117 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6094056 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |