JP2014050057A - 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム - Google Patents

電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム Download PDF

Info

Publication number
JP2014050057A
JP2014050057A JP2012193748A JP2012193748A JP2014050057A JP 2014050057 A JP2014050057 A JP 2014050057A JP 2012193748 A JP2012193748 A JP 2012193748A JP 2012193748 A JP2012193748 A JP 2012193748A JP 2014050057 A JP2014050057 A JP 2014050057A
Authority
JP
Japan
Prior art keywords
identification information
mail
communication terminal
unit
unique number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012193748A
Other languages
English (en)
Other versions
JP5668034B2 (ja
Inventor
Masato Kato
理人 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biglobe Inc
Original Assignee
NEC Biglobe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Biglobe Ltd filed Critical NEC Biglobe Ltd
Priority to JP2012193748A priority Critical patent/JP5668034B2/ja
Priority to PCT/JP2013/063010 priority patent/WO2014038246A1/ja
Priority to US14/425,476 priority patent/US20150256505A1/en
Publication of JP2014050057A publication Critical patent/JP2014050057A/ja
Application granted granted Critical
Publication of JP5668034B2 publication Critical patent/JP5668034B2/ja
Priority to US15/590,636 priority patent/US10467596B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/222Monitoring or handling of messages using geographical location information, e.g. messages transmitted or received in proximity of a certain spot or area
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/224Monitoring or handling of messages providing notification on incoming messages, e.g. pushed notifications of received messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/234Monitoring or handling of messages for tracking messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Abstract

【課題】迷惑メールの送信をより正確に検出する。
【解決手段】取得部101が取得した電子メールから、抽出部102が、利用者識別情報と通信端末識別情報とを抽出し、算出部103が、抽出した利用者識別情報ごとに、通信端末識別情報のユニーク数を算出し、検証部104が、算出した利用者識別情報ごとの通信端末識別情報のユニーク数が所定の閾値を超えたかどうかを判定した場合、通知部105が、所定の通知をあらかじめ設定された通知先へ行う。
【選択図】図2

Description

本発明は、送信された電子メールを監視する電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラムに関する。
近年、悪意を持って他人の電子メールアドレスを使用し、電子メールの送信者(発信者)になりすまし、いわゆる迷惑メールを送信するという行為が問題となっている。迷惑メールは大量に送信されることが多く、それにより、通信回線が逼迫してしまうおそれもある。
このような迷惑メールの送信を減少させるために、同じ電子メールアドレスから1日あたりに送信できるメール数を制限する技術が考えられている(例えば、特許文献1参照。)。これにより、大量に送信される迷惑メールの送信を抑制することができる。
特開2006−128917号公報
しかしながら、特許文献1に記載されたような技術においては、大量に送信された電子メールが正当な利用者から送信されたものであっても、その送信が抑制されてしまうという問題点がある。
本発明の目的は、上述した課題を解決する電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラムを提供することである。
本発明の電子メール監視装置は、
通信端末から送信された電子メールを取得する取得部と、
前記取得部が取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う通知部とを有する。
また、通信端末から送信された電子メールを取得する取得部と、
前記取得部が取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う通知部とを有する。
また、本発明の送信メールサーバは、
利用者を認証する認証部と、
前記認証を行うための認証情報を記憶する記憶部と、
前記認証部が前記記憶部に記憶された認証情報を用いて前記利用者の認証に成功した場合、通信端末から送信された電子メールを取得する取得部と、
前記認証情報から前記電子メールを送信した利用者を示す利用者識別情報を抽出し、前記取得部が取得した電子メールまたは前記通信端末との接続処理から該電子メールを送信した通信端末に付与された通信端末識別情報を抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う通知部とを有する。
また、利用者を認証する認証部と、
前記認証を行うための認証情報を記憶する記憶部と、
前記認証部が前記記憶部に記憶された認証情報を用いて前記利用者の認証に成功した場合、通信端末から送信された電子メールを取得する取得部と、
前記認証情報から前記電子メールを送信した利用者を示す利用者識別情報を抽出し、前記取得部が取得した電子メールまたは前記通信端末との接続処理から該電子メールを送信した通信端末に付与された通信端末識別情報を抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う通知部とを有する。
また、本発明の電子メール監視方法は、
通信端末から送信された電子メールを監視する電子メール監視方法であって、
前記通信端末から送信された電子メールを取得する処理と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する処理と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する処理と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する処理と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う処理とを行う。
また、通信端末から送信された電子メールを監視する電子メール監視方法であって、
前記通信端末から送信された電子メールを取得する処理と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する処理と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する処理と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する処理と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う処理とを行う。
また、本発明のプログラムは、
コンピュータに実行させるためのプログラムであって、
通信端末から送信された電子メールを取得する手順と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する手順と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する手順と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する手順と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う手順とを実行させる。
また、コンピュータに実行させるためのプログラムであって、
通信端末から送信された電子メールを取得する手順と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する手順と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する手順と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する手順と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う手順とを実行させる。
以上説明したように、本発明においては、迷惑メールの送信をより正確に検出することができる。
本発明の電子メール監視装置を有する通信システムの実施の一形態を示す図である。 図1に示した電子メール監視装置の内部構成の一例を示す図である。 図2に示した記憶部に記憶された対応付けの一例を示す図である。 図2に示した記憶部に記憶された対応付けの他の例を示す図である。 図1に示した電子メール監視装置における電子メール監視方法の一例を説明するためのフローチャートである。 図2に示した記憶部に記憶された国情報の一例を示す図である。 図1に示した電子メール監視装置における国情報を用いた電子メール監視方法の一例を説明するためのフローチャートである。 本発明の送信メールサーバを有する通信システムの実施の一形態を示す図である。 図8に示した送信メールサーバの内部構成の一例を示す図である。 図9に示した記憶部に記憶されている認証情報の一例を示す図である。 図8に示した送信メールサーバにおける電子メール監視方法の一例を説明するためのフローチャートである。 図8に示した送信メールサーバにおける国情報を用いた電子メール監視方法の一例を説明するためのフローチャートである。
以下に、本発明の実施の形態について図面を参照して説明する。
(第1の実施の形態)
図1は、本発明の電子メール監視装置を有する通信システムの実施の一形態を示す図である。
本形態は図1に示すように、本発明の電子メール監視装置100と、送信メールサーバ200と、受信メールサーバ300と、管理者端末400と、通信端末500−1〜500−n(nは、整数)とから構成されている。
電子メール監視装置100は、通信端末500−1〜500−nから送信された電子メールを監視する。
図2は、図1に示した電子メール監視装置100の内部構成の一例を示す図である。
図1に示した電子メール監視装置100には図2に示すように、取得部101と、抽出部102と、算出部103と、検証部104と、通知部105と、送信制御部106と、記憶部107とが設けられている。
取得部101は、通信端末500−1〜500−nから送信メールサーバ200を介して受信メールサーバ300へ送信された電子メールを取得する。
抽出部102は、取得部101が取得した電子メールから、その電子メールを送信した利用者を示す送信元の電子メールアドレス等の利用者識別情報と、その電子メールを送信した通信端末に付与されたIP(Internet Protocol)アドレス等の通信端末識別情報とを抽出する。これらの情報は、一般的に取得部101が取得した電子メールのヘッダに含まれている。また、抽出部102は、抽出した利用者識別情報と通信端末識別情報とを日時情報と対応付けて記憶部107に書き込む。
算出部103は、抽出部102が抽出した電子メールアドレスごとに、IPアドレスのユニーク数(互いに異なるIPアドレスの数)を算出する。ここで、算出部103は、あらかじめ設定された単位時間(例えば、1分間や1時間等)において、取得部101が取得した電子メールのIPアドレスのユニーク数を算出する。また、算出部103は、算出したIPアドレスのユニーク数を検証部104へ出力する。
検証部104は、算出部103から出力されてきたIPアドレスのユニーク数と、あらかじめ設定されている閾値(第1の閾値)とを比較し、IPアドレスのユニーク数がその第1の閾値を超えたかどうかを判定する。この第1の閾値は、記憶部107に記憶されている。また、検証部104は、判定の結果を通知部105および送信制御部106へ通知する。
通知部105は、検証部104からの通知が、IPアドレスのユニーク数が第1の閾値を超えたことを示すものである場合、所定の通知(第1の通知)をあらかじめ設定された通知先である管理者端末400へ行う。この通知には、IPアドレスのユニーク数が第1の閾値を超えた電子メールのメールアドレスが含まれ、さらにそのIPアドレスと日時情報とが含まれるものであっても良い。
送信制御部106は、検証部104からの通知が、IPアドレスのユニーク数が第1の閾値を超えたことを示すものである場合、IPアドレスのユニーク数が第1の閾値を超えた電子メールのメールアドレスを発信元とする電子メールの送信を停止する。また、送信制御部106は、検証部104からの通知が、IPアドレスのユニーク数が第1の閾値を超えてはいないことを示すものである場合、その電子メールのメールアドレスを発信元とする電子メールを、受信メールサーバ300へ送信する。
記憶部107は、抽出部102によって書き込まれた利用者識別情報と通信端末識別情報とを日時情報と対応付けて記憶する。
図3は、図2に示した記憶部107に記憶された対応付けの一例を示す図である。
図2に示した記憶部107には図3に示すように、電子メールの送信元の利用者識別情報であるメールアドレスと、電子メールの送信元の通信端末識別情報であるIPアドレスと、日時情報とが対応付けられて記憶されている。さらに、その電子メールの宛先数もこれらの情報と対応付けられていても良い。図3に示すように、互いに同じメールアドレスから送信されたにもかかわらず、IPアドレスが互いに異なる電子メールが存在する。また、日時情報は、送信メールサーバ200が電子メールを受信した日時、送信メールサーバ200が電子メールを送信した日時、取得部101が電子メールを取得した日時や、記憶部107が対応付けを記憶した日時等を示すものである。
また、取得部101が、メールアドレスに対応する会員IDを送信メールサーバ200から取得して、記憶部107が、会員IDとIPアドレスと日時情報とを対応付けて記憶するものであっても良い。
図4は、図2に示した記憶部107に記憶された対応付けの他の例を示す図である。
図2に示した記憶部107には図4に示すように、電子メールの送信元の利用者識別情報である会員IDと、電子メールの送信元の通信端末識別情報であるIPアドレスと、日時情報とが対応付けられて記憶されている。さらに、その電子メールの宛先数もこれらの情報と対応付けられていても良い。
なお、この会員IDは、取得部101が送信メールサーバ200から取得するものではなく、メールアドレスに対応する会員IDがあらかじめ登録されており、その会員IDがメールアドレスと対応付けて、記憶部107が記憶しているものであっても良い。
送信メールサーバ200は、接続してきた通信端末500−1〜500−nを利用する利用者の認証を行う。このとき、送信メールサーバ200は、あらかじめ設定されている利用者の電子メールアドレスまたは会員ID(会員識別情報)と、パスワードとの認証情報を用いて、利用者の認証を行う。また、送信メールサーバ200は、認証に成功した場合、通信端末500−1〜500−nから送信されてきた電子メールを電子メール監視装置100へ送信する。なお、図1においては、送信メールサーバ200が1台である場合を例に挙げて示しているが、複数台設けられていても良い。
受信メールサーバ300は、通信端末500−1〜500−nから送信メールサーバ200および電子メール監視装置100を介して送信されてきた電子メールを、電子メールのヘッダに含まれる宛先情報が示す宛先へ送信する。
管理者端末400は、電子メール監視装置100を管理する管理者が操作する通信装置である。管理者端末400には、ディスプレイやスピーカ等の出力部が具備されており、通知部105からの通知を出力部から出力することができる。これにより、管理者が通知部105からの通知を認識することができる。
通信端末500−1〜500−nは、利用者が操作し、電子メールを送信できる通信装置である。また、通信端末500−1〜500−nは、正当な利用者が操作する場合もあるし、上述したような迷惑メールを送信しようとする悪意を持った利用者が操作する場合もある。
以下に、図1に示した電子メール監視装置100における電子メール監視方法について説明する。
図5は、図1に示した電子メール監視装置100における電子メール監視方法の一例を説明するためのフローチャートである。
まず、通信端末500−1〜500−nから送信された電子メールを、送信メールサーバ200を介して電子メール監視装置100が受信すると、受信した電子メールを取得部101が取得する(ステップS1)。続いて、抽出部102が、取得部101が取得した電子メールから送信元のメールアドレスと、送信元のIPアドレスとを抽出する(ステップS2)。抽出部102は、抽出したメールアドレスとIPアドレスとを、日時情報と対応付けて記憶部107に書き込む。
算出部103が、単位時間毎に、記憶部107を参照し、その単位時間において抽出部102が抽出したIPアドレスのユニーク数をメールアドレスごとに算出する(ステップS3)。続いて、検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が、あらかじめ設定されている第1の閾値を超えたかどうかを判定する(ステップS4)。
例えば、抽出部102が記憶部107に書き込んだ対応付けが図3に示したようなものであり、単位時間を5秒間(ここでは、2012年7月1日10時1分25秒から30秒までの5秒間)とした場合、算出部103は、メールアドレス「aaa@mail.***.jp」についてのIPアドレスのユニーク数は「4」であると算出する。また、算出部103は、メールアドレス「bbb@mail.***.jp」についてのIPアドレスのユニーク数は「2」であると算出する。そして、第1の閾値が「3」である場合、検証部104は、メールアドレス「aaa@mail.***.jp」についてのIPアドレスのユニーク数は、第1の閾値を超えていると判定する。また、検証部104は、メールアドレス「bbb@mail.***.jp」についてのIPアドレスのユニーク数は、第1の閾値を超えていないと判定する。
検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が第1の閾値を超えたと判定した場合、通知部105は、迷惑メール(なりすましメール)が送信されたおそれがある旨を示す通知(第1の通知)を通知先である管理者端末400へ行う(ステップS5)。この通知には、該当する送信元のメールアドレスが含まれる。さらに、この通知に送信元のIPアドレスや日時情報が含まれるものであっても良い。
また、検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が第1の閾値を超えたと判定した場合、送信制御部106が、該当するメールアドレスから送信されてきた電子メールの送信を停止させるものであっても良い(ステップS6)。一方、検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が第1の閾値を超えていないと判定した場合は、送信制御部106は、該当するメールアドレスから送信されてきた電子メールの送信を行う(ステップS7)。
通信端末500−1〜500−nが固定のPC(パソコン)等である通信や、通信端末500−1〜500−nから会員IDおよびパスワードを用いてサーバに接続(ログイン)して行うデータ通信の場合、通信端末500−1〜500−nに付与されるIPアドレスは半固定となる。そのため、複数の電子メールの送信元のメールアドレスが同じであってもIPアドレスが互いに異なるものであれば、他人が当該メールアドレスを悪用した可能性が高くなる。さらに、その電子メールの送信頻度(単位時間内の送信数)が高いものであれば、それらの電子メールが迷惑メール(なりすましメール)である可能性が高いと判定できる。これらの性質を用いて、上述したような処理を行うことで、迷惑メール(なりすましメール)の特定を容易に行うことができる。
また、上述したように、迷惑メール(なりすましメール)の判定基準をIPアドレスのユニーク数とすることだけではなく、送信元の国を加えるものであっても良い。一般に、IPアドレスは国ごとにその使用可能な範囲が決められている。つまり、IPアドレスの所定のビットを参照すれば、そのIPアドレスがどこの国で使用されたものあるかを判定することができる。このIPアドレスの範囲と、国を示す情報(国識別子)とを対応付けて国情報として記憶部107に記憶しておき、検証部104がその国情報に基づいて、送信されてきた電子メールが迷惑メール(なりすましメール)であるおそれがあるかどうかを判定するものであっても良い。
図6は、図2に示した記憶部107に記憶された国情報の一例を示す図である。
図2に示した記憶部107には図6に示すように、IPアドレスの範囲と国識別子とが対応付けられて記憶されている。この国に対応するIPアドレスの範囲は、全世界であらかじめ決められているものである。また、国識別子は、国を識別できるものであれば良く、国ごとにあらかじめ設定された国番号のようなものであっても良い。
以下に、図1に示した電子メール監視装置100における国情報を用いた電子メール監視方法について説明する。
図7は、図1に示した電子メール監視装置100における国情報を用いた電子メール監視方法の一例を説明するためのフローチャートである。
まず、通信端末500−1〜500−nから送信された電子メールを、送信メールサーバ200を介して電子メール監視装置100が受信すると、受信した電子メールを取得部101が取得する(ステップS11)。続いて、抽出部102が、取得部101が取得した電子メールから送信元のメールアドレスと、送信元のIPアドレスとを抽出する(ステップS12)。抽出部102は、抽出したメールアドレスとIPアドレスとを、日時情報と対応付けて記憶部107に書き込む。
すると、算出部103が、単位時間において抽出部102が抽出したIPアドレスのユニーク数をメールアドレスごとに算出する(ステップS13)。続いて、検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が、あらかじめ設定されている第1の閾値を超えたかどうかを判定する(ステップS14)。
検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が第1の閾値を超えたと判定した場合、算出部103は、単位時間において抽出部102が抽出したメールアドレスに対応するIPアドレスと記憶部107に記憶されている国情報とに基づいて、そのIPアドレスに対応する国情報を抽出し、単位時間における送信元の国のユニーク数をメールアドレスごとに算出する(ステップS15)。続いて、検証部104が、算出部103が算出したメールアドレスごとの国のユニーク数が、あらかじめ設定されている第2の閾値を超えたかどうかを判定する(ステップS16)。
検証部104が、算出部103が算出したメールアドレスごとの国のユニーク数が第2の閾値を超えたと判定した場合、通知部105は、迷惑メール(なりすましメール)が送信されたおそれがある旨を示す通知(第2の通知)を通知先である管理者端末400へ行う(ステップS17)。この通知には、該当する送信元のメールアドレスが含まれる。さらに、この通知に送信元のIPアドレスや日時情報、国名が含まれるものであっても良い。
例えば、第1の閾値が「5」、第2の閾値が「3」とし、メールアドレス「aaa@mail.***.jp」から単位時間内に送信された電子メールのIPアドレスが、「133.***.***.010(JP)」であるものが2件、「133.***.***.012(JP)」であるものが1件、「134.***.***.023(DE)」であるものが1件、「134.***.***.024(DE)」であるものが1件、「135.***.***.009(US)」であるものが2件、「139.***.***.123(DE)」であるものが1件である場合を考える。この場合、IPアドレスのユニーク数は「6」となり、国のユニーク数は「4」となるため、通知部105は通知を行う。また、例えば、メールアドレス「bbb@mail.***.jp」から単位時間内に送信された電子メールのIPアドレスが、「133.***.***.014(JP)」であるものが2件、「133.***.***.018(JP)」であるものが1件、「133.***.***.015(JP)」であるものが2件、「133.***.***.024(JP)」であるものが1件、「133.***.***.033(JP)」であるものが2件、「133.***.***.123(JP)」であるものが1件である場合を考える。この場合、IPアドレスのユニーク数は「6」となり、国のユニーク数は「1」となるため、通知部105は通知を行わない。
また、検証部104が、算出部103が算出したメールアドレスごとの国のユニーク数が第2の閾値を超えたと判定した場合、送信制御部106が、該当するメールアドレスから送信されてきた電子メールの送信を停止させるものであっても良い(ステップS18)。
一方、検証部104が、算出部103が算出したメールアドレスごとのIPアドレスのユニーク数が第1の閾値を超えていないと判定した場合、または算出部103が算出したメールアドレスごとの国のユニーク数が第2の閾値を超えていないと判定した場合は、送信制御部106は、該当するメールアドレスから送信されてきた電子メールの送信を行う(ステップS19)。
なお、ステップS12の処理の後、抽出部102が、抽出したメールアドレスとIPアドレスとを、日時情報と対応付けて記憶部107に書き込みした後に、ステップS13およびS14の処理を行わず、ステップS15にて、算出部103が、単位時間において抽出部102が抽出したメールアドレスに対応するIPアドレスと記憶部107に記憶されている国情報とに基づいて、そのIPアドレスに対応する国情報を抽出し、単位時間における送信元の国のユニーク数をメールアドレスごとに算出するものであっても良い。このようにすることで、検証部104が、メールアドレスごとの送信元のIPアドレスのユニーク数が第1の閾値を超えていない場合であっても、メールアドレスごとの送信元の国のユニーク数が第2の閾値を超えているか否か判定できる。
このように、IPアドレスのユニーク数に加えて、国のユニーク数を判定基準とすることで、迷惑メール(なりすましメール)の特定精度を向上させることができる。つまり、短時間の間に複数の国から電子メールを送信することは困難であるから、単位時間を短く設定し、IPアドレスの属する範囲に基づいて送信元の国を判定することで、所定の数以上の国から送信された電子メールが迷惑メール(なりすましメール)である可能性が高いと判定できる。
なお、上述した例では、利用者識別情報としてメールアドレスを用いた場合を例に挙げて説明したが、利用者識別情報として取得部101がメールアドレスをキーにして送信メールサーバ200から取得した会員IDを用いるものであっても良い。
また、迷惑メール(なりすましメール)の判定基準として、送信元の国だけではなく、送信元のIPアドレスに基づいて送信元の地域(例えば、関東地方やアジア地域等)を特定できる場合は、その地域を用いても良い。
(第2の実施の形態)
上述した電子メール監視装置100の機能を送信メールサーバ200が具備するものであっても良い。
図8は、本発明の送信メールサーバを有する通信システムの実施の一形態を示す図である。
本形態は図8に示すように、本発明の送信メールサーバ210と、受信メールサーバ300と、管理者端末400と、通信端末500−1〜500−n(nは、整数)とから構成されている。
受信メールサーバ300、管理者端末400および通信端末500−1〜500−nはそれぞれ、図1に示したものと同じである。
送信メールサーバ210は、図1に示した送信メールサーバ200が具備する機能と電子メール監視装置100が具備する機能とを兼ね備えた通信装置である。
図9は、図8に示した送信メールサーバ210の内部構成の一例を示す図である。
図8に示した送信メールサーバ210には図9に示すように、取得部201と、抽出部202と、算出部203と、検証部204と、通知部205と、送信制御部206と、記憶部207と、認証部208とが設けられている。なお、図9には、図8に示した送信メールサーバ210に設けられた構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。
抽出部202は、図2に示した抽出部102と同じ機能を具備する。
算出部203は、図2に示した算出部103と同じ機能を具備する。
検証部204は、図2に示した検証部104と同じ機能を具備する。
通知部205は、図2に示した通知部105と同じ機能を具備する。
送信制御部206は、図2に示した送信制御部106と同じ機能を具備する。
認証部208は、通信端末500−1〜500−nを操作している利用者を認証する。このとき、認証部208は、通信端末500−1〜500−nから送信されてきた認証情報と記憶部207に記憶されている認証情報とを照合して、利用者の認証を行う。この認証情報は、利用者のメールアドレスや会員IDといった利用者識別情報およびパスワードである。また、具体的な認証方法は、一般的なものと同じで良い。
記憶部207は、図2に示した記憶部107が記憶している情報に加えて、通信端末500−1〜500−nを操作している利用者を認証するための認証情報を記憶する。
図10は、図9に示した記憶部207に記憶されている認証情報の一例を示す図である。
図9に示した記憶部207には図10に示すように、認証情報として、メールアドレスと会員IDとパスワードとが記憶されている。これらは、あらかじめ記憶されているものである。
取得部201は、認証部208が記憶部207に記憶された認証情報を用いて利用者の認証に成功した場合、通信端末500−1〜500−nから送信された電子メールを取得する。
以下に、図8に示した送信メールサーバ210における電子メール監視方法について説明する。
図11は、図8に示した送信メールサーバ210における電子メール監視方法の一例を説明するためのフローチャートである。
まず、通信端末500−1〜500−nから認証情報(会員IDまたはメールアドレスおよびパスワード)が送信されてくると、認証部208は、送信されてきた認証情報と記憶部207にあらかじめ記憶されている認証情報とを照合することで、利用者の認証を行う(ステップS21)。
認証部208が認証に成功した場合、通信端末500−1〜500−nから送信された電子メールを、送信メールサーバ210が受信する。受信した電子メールを取得部201が取得する(ステップS22)。続いて、抽出部202が、取得部201が取得した電子メール、または、通信端末500−1〜500−nとの接続処理(例えば、SMTPセッション)から、送信元のIPアドレスを抽出する(ステップS23)。抽出部202は、抽出したIPアドレスと、認証部208が認証に用いたメールアドレスまたは会員ID(以下、会員IDを例に挙げて記載)とを、日時情報と対応付けて記憶部207に書き込む(例えば、図4に示した対応付け)。この日時情報は、送信メールサーバ210が電子メールを受信した日時、送信メールサーバ210が電子メールを送信した日時、取得部201が電子メールを取得した日時や、記憶部207が対応付けを記憶した日時等を示すものである。
すると、算出部203が、単位時間において抽出部202が抽出したIPアドレスのユニーク数を会員IDごとに算出する(ステップS24)。続いて、検証部204が、算出部203が算出した会員IDごとのIPアドレスのユニーク数が、あらかじめ設定されている第1の閾値を超えたかどうかを判定する(ステップS25)。
検証部204が、算出部203が算出した会員IDごとのIPアドレスのユニーク数が第1の閾値を超えたと判定した場合、通知部205は、迷惑メール(なりすましメール)が送信されたおそれがある旨を示す通知(第1の通知)を通知先である管理者端末400へ行う(ステップS26)。この通知には、該当する送信元のメールアドレスが含まれる。さらに、この通知に送信元のIPアドレスや日時情報が含まれるものであっても良い。
また、検証部204が、算出部203が算出した会員IDごとのIPアドレスのユニーク数が第1の閾値を超えたと判定した場合、送信制御部206が、該当する会員IDに対応するメールアドレスから送信されてきた電子メールの送信を停止させるものであっても良い(ステップS27)。一方、検証部204が、算出部203が算出した会員IDごとのIPアドレスのユニーク数が第1の閾値を超えていないと判定した場合は、送信制御部206は、該当する会員IDに対応するメールアドレスから送信されてきた電子メールの送信を行う(ステップS28)。
また、第1の実施の形態と同様に、迷惑メール(なりすましメール)の判定基準をIPアドレスのユニーク数とすることだけではなく、送信元の国を加えるものであっても良い。
以下に、図8に示した送信メールサーバ210における国情報を用いた電子メール監視方法について説明する。
図12は、図8に示した送信メールサーバ210における国情報を用いた電子メール監視方法の一例を説明するためのフローチャートである。
まず、通信端末500−1〜500−nから認証情報(会員IDまたはメールアドレスおよびパスワード)が送信されてくると、認証部208は、送信されてきた認証情報と記憶部207にあらかじめ記憶されている認証情報とを照合することで、利用者の認証を行う(ステップS31)。
認証部208が認証に成功した場合、通信端末500−1〜500−nから送信された電子メールを、送信メールサーバ210が受信する。受信した電子メールを取得部201が取得する(ステップS32)。続いて、抽出部202が、取得部201が取得した電子メールから送信元のIPアドレスを抽出する(ステップS33)。抽出部202は、抽出したIPアドレスと、認証部208が認証に用いたメールアドレスまたは会員IDとを、日時情報と対応付けて記憶部207に書き込む。この日時情報は、ステップS23の後に抽出部202が記憶部207に書き込むものと同じである。
すると、算出部203が、単位時間において抽出部202が抽出したIPアドレスのユニーク数を会員IDごとに算出する(ステップS34)。続いて、検証部204が、算出部203が算出した会員IDごとのIPアドレスのユニーク数が、あらかじめ設定されている第1の閾値を超えたかどうかを判定する(ステップS35)。
検証部204が、算出部203が算出した会員IDごとのIPアドレスのユニーク数が第1の閾値を超えたと判定した場合、算出部203は、単位時間において抽出部202が抽出したIPアドレスと記憶部207に記憶されている国情報とに基づいて、そのIPアドレスに対応する国情報を抽出し、単位時間における送信元の国のユニーク数を会員IDごとに算出する(ステップS36)。続いて、検証部204が、算出部203が算出した会員IDごとの国のユニーク数が、あらかじめ設定されている第2の閾値を超えたかどうかを判定する(ステップS37)。
検証部204が、算出部203が算出した会員IDごとの国のユニーク数が第2の閾値を超えたと判定した場合、通知部205は、迷惑メール(なりすましメール)が送信されたおそれがある旨を示す通知(第2の通知)を通知先である管理者端末400へ行う(ステップS38)。この通知には、該当する会員IDに対応する送信元のメールアドレスが含まれる。さらに、この通知に送信元のIPアドレスや日時情報、国名が含まれるものであっても良い。
また、検証部204が、算出部203が算出した会員IDごとの国のユニーク数が第2の閾値を超えたと判定した場合、送信制御部206が、該当する会員IDに対応するメールアドレスから送信されてきた電子メールの送信を停止させるものであっても良い(ステップS39)。一方、検証部204が、算出部203が算出した会員IDごとの国のユニーク数が第2の閾値を超えていないと判定した場合は、送信制御部206は、該当する会員IDに対応するメールアドレスから送信されてきた電子メールの送信を行う(ステップS40)。
なお、ステップS33の処理の後、抽出部202が、抽出したIPアドレスと認証に用いた会員IDとを、日時情報と対応付けて記憶部207に書き込みした後に、ステップS34およびS35の処理を行わず、ステップS36にて、算出部203が、単位時間において抽出部202が抽出したIPアドレスと記憶部207に記憶されている国情報とに基づいて、そのIPアドレスに対応する国情報を抽出し、単位時間における送信元の国のユニーク数を会員IDごとに算出するものであっても良い。このようにすることで、検証部204が、会員IDごとの送信元のIPアドレスのユニーク数が第1の閾値を超えていない場合であっても、会員IDごとの送信元の国のユニーク数が第2の閾値を超えているか否か判定できる。
また、第1の実施の形態と同様に、迷惑メール(なりすましメール)の判定基準として、送信元の国だけではなく、送信元のIPアドレスに基づいて送信元の地域(例えば、関東地方やアジア地域等)を特定できる場合は、その地域を用いても良い。
このように、第1の実施の形態における電子メール監視装置100の機能を、第2の実施の形態における送信メールサーバ210に持たせることで、第2の実施の形態においても、第1の実施の形態における効果と同様の効果を奏することができる。
なお、上述した実施の形態において、IPアドレスのユニーク数をメールアドレスまたは会員IDごとに算出する処理や、国または地域のユニーク数をメールアドレスまたは会員IDごとに算出する処理は、所定の単位時間ごと(定期的)に行っても良いし、取得部101,201が電子メールを取得し、抽出部102,202がIPアドレスを抽出したタイミングごと(電子メールを受信した都度)に行っても良い。電子メールを受信した都度にこれらの処理を行う場合は、電子メールを受信した日時から所定の時間前(例えば、5秒前)までにすでに受信した、当該電子メールのメールアドレス(会員ID)について、IPアドレスや国または地域のユニーク数を算出する。
上述した電子メール監視装置100、送信メールサーバ210それぞれに設けられた各構成要素が行う処理は、目的に応じてそれぞれ作製された論理回路で行うようにしても良い。また、処理内容を手順として記述したコンピュータプログラム(以下、プログラムと称する)を電子メール監視装置100、送信メールサーバ210それぞれにて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムを電子メール監視装置100、送信メールサーバ210それぞれに読み込ませ、実行するものであっても良い。電子メール監視装置100、送信メールサーバ210それぞれにて読取可能な記録媒体とは、フロッピー(登録商標)ディスク、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、電子メール監視装置100、送信メールサーバ210それぞれに内蔵されたROM、RAM等のメモリやHDD等を指す。この記録媒体に記録されたプログラムは、電子メール監視装置100、送信メールサーバ210それぞれに設けられたCPU(不図示)にて読み込まれ、CPUの制御によって、上述したものと同様の処理が行われる。ここで、CPUは、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。
上記の実施の形態の一部または全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)通信端末から送信された電子メールを取得する取得部と、
前記取得部が取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う通知部とを有する電子メール監視装置。
(付記2)前記算出部は、前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に基づいて、国または地域のユニーク数を算出し、
前記検証部は、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定し、
前記通知部は、前記第1の通知を行わず、前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知を前記通知先へ行うことを特徴とする、付記1に記載の電子メール監視装置。
(付記3)前記検証部が、前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した利用者識別情報、または、前記国または地域のユニーク数が前記第2の閾値を超えたと判定した利用者識別情報を発信元とする電子メールの送信を停止する送信制御部を有することを特徴とする、付記2に記載の電子メール監視装置。
(付記4)前記取得部は、当該電子メール監視装置と接続された送信メールサーバから、前記電子メールを送信した利用者の会員識別情報を取得し、
前記算出部は、前記会員識別情報ごとに、前記通信端末識別情報のユニーク数、または、前記国または地域のユニーク数を算出することを特徴とする、付記2または付記3に記載の電子メール監視装置。
(付記5)通信端末から送信された電子メールを取得する取得部と、
前記取得部が取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う通知部とを有する電子メール監視装置。
(付記6)前記抽出部は、前記利用者識別情報として電子メールアドレスまたは会員識別情報を抽出し、前記通信端末識別情報としてIPアドレスを抽出することを特徴とする、付記1から5のいずれか1項に記載の電子メール監視装置。
(付記7)利用者を認証する認証部と、
前記認証を行うための認証情報を記憶する記憶部と、
前記認証部が前記記憶部に記憶された認証情報を用いて前記利用者の認証に成功した場合、通信端末から送信された電子メールを取得する取得部と、
前記認証情報から前記電子メールを送信した利用者を示す利用者識別情報を抽出し、前記取得部が取得した電子メールまたは前記通信端末との接続処理から該電子メールを送信した通信端末に付与された通信端末識別情報を抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う通知部とを有する送信メールサーバ。
(付記8)利用者を認証する認証部と、
前記認証を行うための認証情報を記憶する記憶部と、
前記認証部が前記記憶部に記憶された認証情報を用いて前記利用者の認証に成功した場合、通信端末から送信された電子メールを取得する取得部と、
前記認証情報から前記電子メールを送信した利用者を示す利用者識別情報を抽出し、前記取得部が取得した電子メールまたは前記通信端末との接続処理から該電子メールを送信した通信端末に付与された通信端末識別情報を抽出する抽出部と、
単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する算出部と、
前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する検証部と、
前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う通知部とを有する送信メールサーバ。
(付記9)通信端末から送信された電子メールを監視する電子メール監視方法であって、
前記通信端末から送信された電子メールを取得する処理と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する処理と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する処理と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する処理と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う処理とを行う電子メール監視方法。
(付記10)通信端末から送信された電子メールを監視する電子メール監視方法であって、
前記通信端末から送信された電子メールを取得する処理と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する処理と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する処理と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する処理と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う処理とを行う電子メール監視方法。
(付記11)コンピュータに、
通信端末から送信された電子メールを取得する手順と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する手順と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する手順と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する手順と、
前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う手順とを実行させるためのプログラム。
(付記12)コンピュータに、
通信端末から送信された電子メールを取得する手順と、
前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する手順と、
単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する手順と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する手順と、
前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う手順とを実行させるためのプログラム。
100 電子メール監視装置
101,201 取得部
102,202 抽出部
103,203 算出部
104,204 検証部
105,205 通知部
106,206 送信制御部
107,207 記憶部
200,210 送信メールサーバ
208 認証部
300 受信メールサーバ
400 管理者端末
500−1〜500−n 通信端末

Claims (12)

  1. 通信端末から送信された電子メールを取得する取得部と、
    前記取得部が取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する抽出部と、
    単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する算出部と、
    前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する検証部と、
    前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う通知部とを有する電子メール監視装置。
  2. 請求項1に記載の電子メール監視装置において、
    前記算出部は、前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に基づいて、国または地域のユニーク数を算出し、
    前記検証部は、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定し、
    前記通知部は、前記第1の通知を行わず、前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知を前記通知先へ行うことを特徴とする電子メール監視装置。
  3. 請求項2に記載の電子メール監視装置において、
    前記検証部が、前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した利用者識別情報、または、前記国または地域のユニーク数が前記第2の閾値を超えたと判定した利用者識別情報を発信元とする電子メールの送信を停止する送信制御部を有することを特徴とする電子メール監視装置。
  4. 請求項2または請求項3に記載の電子メール監視装置において、
    前記取得部は、当該電子メール監視装置と接続された送信メールサーバから、前記電子メールを送信した利用者の会員識別情報を取得し、
    前記算出部は、前記会員識別情報ごとに、前記通信端末識別情報のユニーク数、または、前記国または地域のユニーク数を算出することを特徴とする電子メール監視装置。
  5. 通信端末から送信された電子メールを取得する取得部と、
    前記取得部が取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する抽出部と、
    単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する算出部と、
    前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する検証部と、
    前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う通知部とを有する電子メール監視装置。
  6. 請求項1から5のいずれか1項に記載の電子メール監視装置において、
    前記抽出部は、前記利用者識別情報として電子メールアドレスまたは会員識別情報を抽出し、前記通信端末識別情報としてIPアドレスを抽出することを特徴とする電子メール監視装置。
  7. 利用者を認証する認証部と、
    前記認証を行うための認証情報を記憶する記憶部と、
    前記認証部が前記記憶部に記憶された認証情報を用いて前記利用者の認証に成功した場合、通信端末から送信された電子メールを取得する取得部と、
    前記認証情報から前記電子メールを送信した利用者を示す利用者識別情報を抽出し、前記取得部が取得した電子メールまたは前記通信端末との接続処理から該電子メールを送信した通信端末に付与された通信端末識別情報を抽出する抽出部と、
    単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する算出部と、
    前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する検証部と、
    前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う通知部とを有する送信メールサーバ。
  8. 利用者を認証する認証部と、
    前記認証を行うための認証情報を記憶する記憶部と、
    前記認証部が前記記憶部に記憶された認証情報を用いて前記利用者の認証に成功した場合、通信端末から送信された電子メールを取得する取得部と、
    前記認証情報から前記電子メールを送信した利用者を示す利用者識別情報を抽出し、前記取得部が取得した電子メールまたは前記通信端末との接続処理から該電子メールを送信した通信端末に付与された通信端末識別情報を抽出する抽出部と、
    単位時間において前記抽出部が抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する算出部と、
    前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する検証部と、
    前記検証部が、前記算出部が算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う通知部とを有する送信メールサーバ。
  9. 通信端末から送信された電子メールを監視する電子メール監視方法であって、
    前記通信端末から送信された電子メールを取得する処理と、
    前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する処理と、
    単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する処理と、
    前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する処理と、
    前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う処理とを行う電子メール監視方法。
  10. 通信端末から送信された電子メールを監視する電子メール監視方法であって、
    前記通信端末から送信された電子メールを取得する処理と、
    前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する処理と、
    単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する処理と、
    前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する処理と、
    前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う処理とを行う電子メール監視方法。
  11. コンピュータに、
    通信端末から送信された電子メールを取得する手順と、
    前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する手順と、
    単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報のユニーク数を算出する手順と、
    前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が所定の第1の閾値を超えたかどうかを判定する手順と、
    前記算出した前記利用者識別情報ごとの前記通信端末識別情報のユニーク数が前記第1の閾値を超えたと判定した場合、所定の第1の通知をあらかじめ設定された通知先へ行う手順とを実行させるためのプログラム。
  12. コンピュータに、
    通信端末から送信された電子メールを取得する手順と、
    前記取得した電子メールから、該電子メールを送信した利用者を示す利用者識別情報と、該電子メールを送信した通信端末に付与された通信端末識別情報とを抽出する手順と、
    単位時間において前記抽出した利用者識別情報ごとに、前記通信端末識別情報に対応する国または地域のユニーク数を算出する手順と、
    前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が所定の第2の閾値を超えたかどうかを判定する手順と、
    前記算出した前記利用者識別情報ごとの前記国または地域のユニーク数が前記第2の閾値を超えたと判定した場合、所定の第2の通知をあらかじめ設定された通知先へ行う手順とを実行させるためのプログラム。
JP2012193748A 2012-09-04 2012-09-04 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム Active JP5668034B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2012193748A JP5668034B2 (ja) 2012-09-04 2012-09-04 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム
PCT/JP2013/063010 WO2014038246A1 (ja) 2012-09-04 2013-05-09 電子メール監視
US14/425,476 US20150256505A1 (en) 2012-09-04 2013-05-09 Electronic mail monitoring
US15/590,636 US10467596B2 (en) 2012-09-04 2017-05-09 Electronic mail monitoring

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012193748A JP5668034B2 (ja) 2012-09-04 2012-09-04 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2014217702A Division JP5846590B2 (ja) 2014-10-24 2014-10-24 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2014050057A true JP2014050057A (ja) 2014-03-17
JP5668034B2 JP5668034B2 (ja) 2015-02-12

Family

ID=50236871

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012193748A Active JP5668034B2 (ja) 2012-09-04 2012-09-04 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム

Country Status (3)

Country Link
US (2) US20150256505A1 (ja)
JP (1) JP5668034B2 (ja)
WO (1) WO2014038246A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017085486A (ja) * 2015-10-30 2017-05-18 サイバネットシステム株式会社 送信制御装置、送信制御方法及び送信制御プログラム
JP2018074570A (ja) * 2016-09-19 2018-05-10 リタラス ゲゼルシャフト ミット ベシュレンクテル ハフツングretarus GmbH 疑わしい電子メッセージを検出する技術

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9917803B2 (en) * 2014-12-03 2018-03-13 International Business Machines Corporation Detection of false message in social media
CN113329016A (zh) * 2021-05-28 2021-08-31 北京天空卫士网络安全技术有限公司 一种处理邮件的方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004021700A (ja) * 2002-06-18 2004-01-22 Konica Minolta Holdings Inc 情報管理システム
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置
JP2009512082A (ja) * 2005-10-21 2009-03-19 ボックスセントリー ピーティーイー リミテッド 電子メッセージ認証
JP2010191693A (ja) * 2009-02-18 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> 電子メール送信ホスト分類システムおよび電子メール送信ホスト分類方法ならびにそのためのプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653698B2 (en) * 2003-05-29 2010-01-26 Sonicwall, Inc. Identifying e-mail messages from allowed senders
JP4188802B2 (ja) * 2003-11-04 2008-12-03 株式会社エヌ・ティ・ティ・ドコモ メールサーバ及びプログラム
JP2005208780A (ja) * 2004-01-21 2005-08-04 Nec Corp メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法
JP4484663B2 (ja) * 2004-02-02 2010-06-16 株式会社サイバー・ソリューションズ 不正情報検知システム及び不正攻撃元探索システム
JP2006128917A (ja) 2004-10-27 2006-05-18 Canon Inc 電子メール制御装置、電子メール制御方法、プログラムおよび記憶媒体
JP2006310902A (ja) * 2005-04-26 2006-11-09 Hitachi Ltd 電子メールサービス制御システム、装置、方法及びメールサービス停止システム、装置、方法
CN1863170A (zh) * 2005-05-10 2006-11-15 光宝科技股份有限公司 处理垃圾电子邮件的方法及计算机可读取存储媒体
JP4739077B2 (ja) * 2006-03-28 2011-08-03 ニフティ株式会社 メール制御方法及びサーバ装置
AU2009299539B2 (en) * 2008-10-01 2016-01-28 Network Box Corporation Limited Electronic communication control

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004021700A (ja) * 2002-06-18 2004-01-22 Konica Minolta Holdings Inc 情報管理システム
JP2009512082A (ja) * 2005-10-21 2009-03-19 ボックスセントリー ピーティーイー リミテッド 電子メッセージ認証
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置
JP2010191693A (ja) * 2009-02-18 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> 電子メール送信ホスト分類システムおよび電子メール送信ホスト分類方法ならびにそのためのプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013039223; S. ABU-NIMEH et al.: 'Proliferation and Detection of Blog Spam' Security & Privacy, IEEE Volume 8, Issue 5, 201010, p.42-p.47 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017085486A (ja) * 2015-10-30 2017-05-18 サイバネットシステム株式会社 送信制御装置、送信制御方法及び送信制御プログラム
JP2018074570A (ja) * 2016-09-19 2018-05-10 リタラス ゲゼルシャフト ミット ベシュレンクテル ハフツングretarus GmbH 疑わしい電子メッセージを検出する技術
JP7049087B2 (ja) 2016-09-19 2022-04-06 リタラス ゲゼルシャフト ミット ベシュレンクテル ハフツング 疑わしい電子メッセージを検出する技術

Also Published As

Publication number Publication date
US10467596B2 (en) 2019-11-05
US20150256505A1 (en) 2015-09-10
JP5668034B2 (ja) 2015-02-12
US20170255905A1 (en) 2017-09-07
WO2014038246A1 (ja) 2014-03-13

Similar Documents

Publication Publication Date Title
US8255983B2 (en) Method and apparatus for email communication
CN105847245B (zh) 一种电子邮箱登录认证方法和装置
US20190319905A1 (en) Mail protection system
US20160226897A1 (en) Risk Ranking Referential Links in Electronic Messages
US7950047B2 (en) Reporting on spoofed e-mail
US9852276B2 (en) System and methods for validating and managing user identities
WO2010075741A1 (zh) 一种基于邮箱和im互联互通的方法及通讯装置
US10467596B2 (en) Electronic mail monitoring
US11329997B2 (en) Signed message header storing sender account authentication method
US9740858B1 (en) System and method for identifying forged emails
JP5846590B2 (ja) 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム
JP6039378B2 (ja) 不正メール判定装置、不正メール判定方法、及びプログラム
JP2014063402A (ja) スパムメール検知装置、方法及びプログラム
JP6266487B2 (ja) メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム
JP2018180871A (ja) 電子メール処理装置および電子メール処理プログラム
Routh et al. Attacks and vulnerability analysis of e-mail as a password reset point
CN103001977B (zh) 一种安全传输电子邮件的方法
JP6316380B2 (ja) 不正メール判定装置、不正メール判定方法、及びプログラム
JP2008252252A (ja) 異経路警告装置、異経路警告プログラム及び異経路警告方法
KR20150104667A (ko) 인증 방법
JP2011204050A (ja) 認証装置および認証方法
Schmidt et al. Sender Scorecards for the prevention of unsolicited communication
JP6361512B2 (ja) ユーザ判定装置、方法、及びプログラム
CN104883352B (zh) 一种用于社交软件中的消息防伪方法及装置
JP2011254533A (ja) 異経路警告装置及び異経路警告プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140114

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20140430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141024

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141215

R150 Certificate of patent or registration of utility model

Ref document number: 5668034

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250