JP2014191494A - 警告情報制御プログラム、警告情報制御装置 - Google Patents

警告情報制御プログラム、警告情報制御装置 Download PDF

Info

Publication number
JP2014191494A
JP2014191494A JP2013065044A JP2013065044A JP2014191494A JP 2014191494 A JP2014191494 A JP 2014191494A JP 2013065044 A JP2013065044 A JP 2013065044A JP 2013065044 A JP2013065044 A JP 2013065044A JP 2014191494 A JP2014191494 A JP 2014191494A
Authority
JP
Japan
Prior art keywords
mail
received
warning information
information control
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013065044A
Other languages
English (en)
Other versions
JP6040827B2 (ja
Inventor
Takeaki Terada
剛陽 寺田
Masanobu Morinaga
正信 森永
Satoru Torii
悟 鳥居
Hiroshi Tsuda
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013065044A priority Critical patent/JP6040827B2/ja
Publication of JP2014191494A publication Critical patent/JP2014191494A/ja
Application granted granted Critical
Publication of JP6040827B2 publication Critical patent/JP6040827B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】 より効果的に、不審メールに対する注意喚起を行う警告情報制御プログラム、警告情報制御装置を提供する。
【解決手段】 メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、警告情報制御処理は、受信メールについて、受信メールの確認処理に要する時間を計測し、計測した時間を受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した時間が短い送信元を検出する検出工程と、検出した送信元からのメールの受信時に、警告情報を出力する警告情報出力工程と、を有する。
【選択図】図6

Description

本発明は、警告情報制御プログラム、警告情報制御装置に関する。
近年、情報の価値の高まりに伴い、機密情報窃取及びシステム破壊を目的として、組織のITネットワークシステムを狙うサイバー攻撃が増加の一途をたどっている。サイバー攻撃においては、標的とする組織への侵入経路としてメールが使用されており、これらのメールは不特定多数を対象とする従来のスパムメールとは区別して、標的型メールと呼ばれる。
標的型メールは、標的となる組織の従業員の関係者等を装って、マルウェアが仕込まれた添付ファイルの開封やマルウェアへのURLへのアクセス等を行わせることにより、ネットワークシステムをマルウェアに感染させる。標的型メールは一見しただけでは正常なメールと区別が難しいため、標的型メールを防ぐために、メールチェッカー等によって安全性が疑わしいメールが抽出される。ユーザである従業員は、抽出されたメールに対して念入りに確認を行い、正常なメールであるか否かを判断する。
メールチェッカーを使用して不審なメールを抽出する技術として、信頼度の低い差出人から送信されたメールを受信したとき、ユーザに注意を促す技術が公開される(例えば、特許文献1、2)
特開2005-346716号公報 特開2012-59111号公報
しかしながら、組織の従業員の業務内容によっては、該従業員が受信するメールには、初めて受信する差出人からのメールも多く含まれる。前述したメールチェッカーは、初めて受信する差出人からのメールは安全性が疑わしいと判断してアラートを発生させる。これにより、初めて受信する差出人からのメールが多量の場合、注意が促されたメールのほとんどが正常なメールとなり得る。このような状態が継続すると、従業員は、メールチェッカーによって注意が促されたメールであっても正常なメールであると予測するようになり、メール内容の確認がおろそかになってしまう。
また、攻撃型メールは、組織の従業員を騙って送信されることがある。このため、2回目以降に受信する差出人からのメールや、信頼の篤い差出人からのメールについても、メール内容の確認が必要となる。特に、信頼が篤く、警戒心が低下し易い差出人からのメール場合、事例に基づいたアドバイスが提供されていても、効果を発揮しないことがある。
そこで、1つの側面では、本発明では、より効果的に、不審メールに対する注意喚起を行う警告情報制御プログラム、警告情報制御装置を提供することにある。
第1の側面は、メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、前記警告情報制御処理は、受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出工程と、検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を有する。
第1の側面によれば、より効果的に、不審メールに対する注意喚起が行われる。
本実施の形態例における警告情報制御装置のブロック図の一例を示す図である。 本実施の形態例における警告情報の出力例について例示する図である。 本実施の形態例における警告情報制御装置の処理の概要を説明するフローチャート図である。 警告情報制御装置のメール受信時の処理を説明するフローチャート図である。 受信メールデータ収集処理について詳細に説明するフローチャート図である。 受信メール情報データテーブルの一例について説明する図である。 用心深さ判定処理について説明するフローチャート図である。 標準化データに基づく統計データテーブルの一例を示す図である。 添付開封判断時間に基づく標準正規分布の一例を示す図である。 Z検定、またはt検定に基づく統計データテーブルの一例を示す図である。 Z検定、または、t検定における分布図の一例を示す図である。 F検定に基づく統計データテーブルの一例を示す図である。 F検定における分布図の一例を示す図である。 第2の実施の形態例における警告情報制御装置のブロック図を示す例図である。 一般的な受信確認画面DG2の一例を示す図である。 第2の実施の形態例における警告情報の出力例について例示する図である。 警告情報制御装置のメール受信時の処理を説明するフローチャート図である。 受信メールデータ収集処理について詳細に説明するフローチャート図である。 第2の実施の形態例における受信メール情報データテーブルの一例について説明する図である。 用心深さ判定処理について説明するフローチャート図である。 本実施の形態例における警告情報制御装置の構成の一例を示す図である。
以下、図面にしたがって本発明の実施の形態について説明する。ただし、本発明の技術的範囲はこれらの実施の形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。
[第1の実施の形態例]
[警告情報制御装置の構成図]
図21は、本実施の形態例における警告情報制御装置10の構成の一例を示す図である。同図の警告情報制御装置10は、例えば、一般的なコンピュータである。警告情報制御装置10は、例えば、プロセッサ21、表示部22、入力部23、通信部24、メモリ25を有する。各部は、バス26を介して相互に接続される。
図21において、表示部22は、例えば、コンピュータの液晶モニタ等を示し、入力部23は、キーボードやマウス等を示す。通信部24は、メールサーバ200との通信処理を制御する。また、同図の例において、RAM(Random Access Memory)等のメモリ25には、本実施の形態例における警告情報制御プログラムPR、及び、メーラープログラムMLが記憶される。プロセッサ21は、警告情報制御プログラムPRと協働して、本実施の形態例における警告情報制御処理を実現する。また、プロセッサ21は、メーラープログラムMLと協働して、メーラーの処理を実現する。なお、本実施の形態例における警告情報制御処理は、例えば、メールサーバ200とメーラープログラムMLとの間を仲介して動作する。
[警告情報制御装置のブロック図]
図1は、本実施の形態例における警告情報制御装置10のブロック図の一例を示す図である。警告情報制御装置10とメールサーバ200、警告情報制御装置10とメールソフト100とは、相互に通信可能である。なお、本実施の形態例において、警告情報制御装置10は、メールソフト100と同一の筐体に配置されるが、警告情報制御装置10は、メールサーバ200と同一の筐体に配置されてもよい。
警告情報制御装置10は、例えば、受信メールヘッダ情報管理手段11、メール開封確認手段13、添付ファイル開封確認手段14、時間計測手段16、用心深さ判定手段15、警告手段12、受信メール情報記憶装置17を有する。受信メールヘッダ情報管理手段11は、受信メールのヘッダ情報を記憶する。例えば、受信メールヘッダ情報管理手段11は、メールヘッダにおけるMessage-ID情報、From情報を、受信メール情報記憶装置17が有する受信メール情報データテーブルに格納する。Message−ID情報は、メールを特定するためのユニークな識別IDである。また、From情報は、受信メールの送信元のアドレス、即ち、差出人を示す。
また、メール開封確認手段13は、受信メールをメールソフト100に回送する前に、メールヘッダに、Disposition-Notification-To情報を付加する。Disposition-Notification-To情報は、開封確認の返送先の開封確認用アドレスを示す。また、メール開封確認手段13は、受信メールが開封されたときに送信される開封確認メールの送信日時を記録する。
また、添付ファイル開封確認手段14は、添付開封判断時間を計測するために、受信メールをメールソフト100に回送する前に、添付ファイルの切り離し処理を行う。具体的に、添付ファイル開封確認手段14は、受信メールから添付ファイルを切り離し、警告情報制御装置10におけるwebサーバに保存すると共に、添付ファイルにアクセスするためのwebサーバにおけるURLをメール本文に付与する。そして、添付ファイル開封確認手段14は、分離した添付ファイルのURLを、Message-ID情報及びFrom情報に紐付けて、受信メール情報データテーブルに記憶する。そして、ユーザがメール本文におけるURLにアクセスすると、添付ファイル開封確認手段14は、アクセス時刻を、添付ファイル開封時刻として、受信メール情報データテーブルに記録する。
また、時間計測手段16は、メールソフト100において、ユーザが受信メールを開封してから当該受信メールの添付ファイルを開封するまでの時間を、添付開封判断時間として算出する。また、用心深さ判定手段15は、差出人ごとに仕分けされた受信メールについて、添付開封判断時間の統計量を計算する。そして、用心深さ判定手段15は、判定対象の差出人の統計量と、他の差出人の統計量とを比較し、判定対象の差出人の用心深さが低下しているか否かを判定する。
警告手段12は、メールソフト100において、用心深さが低下している差出人からメールを受信したときに、警告情報を出力する。また、受信メール情報記憶装置17は、メールサーバ200からの受信メールの情報を格納する受信メール情報データテーブル、及び、差出人ごとの受信メールの統計量を格納する統計データテーブルを記憶する。受信メール情報記憶装置17は、例えば、ROM/RAM等のメモリである。
本実施の形態例における警告情報制御装置10は、例えば、警告情報制御装置10の各手段が実装された警告情報制御プログラムによって実現される。警告情報制御プログラムは、ROM等のメモリに記憶され、プロセッサと協働することによって、警告情報制御処理が実現される。
[警告情報の出力]
図2は、本実施の形態例における警告情報の出力例について例示する図である。例えば、警告情報制御装置10の警告手段12は、メールソフト100において、用心深さが低下している差出人からのメールを受信するときに、同図のようなダイアログDG1をポップアップ表示する。ダイアログDG1には、例えば、差出人からの受信メールに対して、用心深さ、即ち、慎重さが低下している旨の警告情報が表示される。ダイアログDG1は、例えば、ユーザがOKボタンを押下すると終了する。なお、警告情報は、音声等によって出力されてもよい。
ユーザは、図2のような警告情報を認識することにより、受信しようとしているメールの差出人について、用心深さが低下していることを検知可能になる。これにより、ユーザは、たとえ、信頼できる差出人からの受信メールであったとしても、添付ファイルにアクセスしても安全か否かを十分に時間をかけて確認するようになる。これにより、信頼できる差出人を騙る標的型メールを受信した場合、十分な確認が行われることなく添付ファイルが開封されてしまい、問題が生じることが回避される。
続いて、本実施の形態例における警告情報制御装置10の処理について、フローチャート図に基づいて説明する。
[フローチャート図]
図3は、本実施の形態例における警告情報制御装置10の処理の概要を説明するフローチャート図である。本実施の形態例における警告情報制御装置10は、警告情報提示処理工程(S100)の一部として、受信メールデータ収集処理工程(S12)を行う。そして、警告情報制御装置10は、用心深さが低下した送信元の判定処理として、収集した受信メール情報に基づいて用心深さが低下している送信元を検出する(S200)。用心深さが低下した送信元の判定処理(S200)は、例えば、定期的に行われる。用心深さが低下そた送信元の判定処理は、例えば、営業日の毎朝10時に行われる。
[メール受信時のフローチャート]
図4は、メールサーバ200からのメールを受信したときの、警告情報制御装置10の処理について説明するフローチャート図である。この処理は、メールサーバ200からメール受信時、当該メールがメールソフト100に回送される前に行われる。また、同図のフローチャート図に示される処理は、図3のフローチャート図における工程S100に含まれる。
警告情報制御装置10は、メールサーバ200からメールを受信すると、受信メールが添付ファイルを有するメールか否かを判定する(S11)。受信メールが添付ファイルを有する場合(S11のYES)、警告情報制御装置10は、続いて、受信メールデータ収集処理を行う(S12)。警告情報制御装置10は、具体的に、受信メールの情報を収集し、受信メール情報データテーブルに記憶する。処理の詳細については後述する。これにより、添付ファイルを有する受信メールそれぞれについて、受信メールの情報が受信メール情報データテーブルに記憶される。
続いて、警告情報制御装置10は、受信メール情報データテーブルに基づいて生成された統計データテーブルを参照する(S13)。統計データテーブルは、図3のフローチャート図における用心深さ判定処理(図3のS200)によって生成される。統計データテーブルの生成処理の詳細については、後述する。そして、警告情報制御装置10は、受信メールの差出人が、統計量のデータテーブルにおいて用心深さが低下していると判定された差出人に当たるか否かを判定する(S14)。用心深さの低下している差出人に当たる場合(S14のYES)、警告情報制御装置10は、図2で例示するような、当該差出人からの受信メールに対する用心深さが低下している旨の警告情報を表示する(S15)。
[受信メールデータ収集処理のフローチャート]
図5は、受信メールデータ収集処理について詳細に説明するフローチャート図である。同図のフローチャートの処理は、図4のフローチャート図における工程S12に該当する。警告情報制御装置10の受信メールヘッダ情報管理手段11は、受信メールのメールヘッダ情報を記録する(S21)。具体的に、受信メールヘッダ情報管理手段11は、メールのメールヘッダのうち、Message−ID情報及びFrom情報を、受信メール情報データテーブルに記憶する。ただし、受信メールヘッダ情報管理手段11は、From情報のみを記憶してもよく、各受信メールの情報が識別可能に記憶されれば、必ずしもMessage−ID情報が記憶される必要はない。
続いて、警告情報制御装置10のメール開封確認手段13は、メールヘッダに、開封確認メールの受信用のヘッダ情報を付与する(S22)。具体的に、メール開封確認手段13は、受信メールのヘッダ情報に、警告情報制御装置10における開封確認用アドレスを指すDisposition-Notification-To情報を付与する。これにより、メールソフト100上でユーザがメールを開封したとき、警告情報制御装置10における開封確認用アドレスに、開封確認メールが送信される。
次に、警告情報制御装置10の添付ファイル開封確認手段14は、メールから添付ファイルを分離し、分離した添付ファイルを、警告情報制御装置10における添付ファイル保存用のwebサーバに記憶する(S23)。このとき、添付ファイル開封確認手段14は、webサーバから添付ファイルのダウンロードを指示するURLをメール本文に付与すると共に(S24)、URLを受信メール情報データテーブルに記憶する(S25)。これにより、ユーザは、URLにアクセスすることによって、受信メールの添付ファイルをダウンロード可能になる。ウィルスによっては、ウィルスを有する添付ファイルのダウンロードによって感染が生じる。このため、この例において、例えば、添付ファイルのオープン時刻ではなく、添付ファイルへのアクセス時刻、即ち、ダウンロード時刻が、添付ファイル開封時刻とみなされる。
続いて、警告情報制御装置10は、メールサーバ200から受信したメールを、ユーザのメールソフト100に回送する(S26)。そして、ユーザが、メールソフト100上でメールの受信を行い、メールを開封すると(S27のYES)、メールヘッダに付与されたDisposition-Notification-To情報に基づいて、警告情報制御装置10のメール開封確認手段13に開封確認メールが発送される。開封確認メールを受信すると、メール開封確認手段13は、開封確認メールの発送時刻を、メール開封時刻として受信メール情報データテーブルに記憶する(S28)。
また、メールの本文に付与された添付ファイルのダウンロードを指示するURLが、ユーザによってアクセスされると(S29のYES)、警告情報制御装置10の添付ファイル開封確認手段14は、アクセスが発生した時刻を、添付ファイル開封時刻として受信メール情報データテーブルに記憶する(S30)。また、このとき、警告情報制御装置10の時間計測手段16は、メール開封時刻と添付ファイル開封時刻とに基づいて添付開封判断時間を算出し、受信メール情報データテーブルに記憶する。具体的に、時間計測手段16は、添付ファイル開封時刻からメール開封時刻を減算して、添付開封判断時間を算出する。
続いて、警告情報制御装置10は、添付開封判断時間の外れ値判定を行う(S31)。添付開封判断時間が、予め設定された外れ値を超える場合、警告情報制御装置10は、対応する受信メールの情報を統計量の算出対象外とする。具体的に、警告情報制御装置10は、例えば、受信メール情報データテーブルにおいて、添付開封判断時間が外れ値を超える受信メールの外れ値判定フラグを、外れ値を超えていることを示す値×に設定する。この例において、外れ値は、例えば300秒に設定される。続いて、外れ値について説明する。
[外れ値]
外れ値とは、統計量の算出の対象とする添付開封判断時間の範囲を示す閾値である。前述したとおり、添付開封判断時間は、メールを開封し添付ファイルにアクセスするまでの時間を示す。本実施の形態例では、メールの開封と添付ファイルへのアクセスが一連の流れで行われる場合における添付開封判断時間を統計の対象とする。そこで、メールの開封と添付ファイルへのアクセスが一連の流れで行われない場合における添付開封判断時間が、外れ値に基づいて除外される。
具体的に、受信メールによっては、受信者にとってメールが緊急性を有しないメールである場合、メールの内容についてのみ確認が行われ、添付ファイルの開封処理は後から別のタイミングで行われることがある。このような場合における添付開封判断時間は、添付ファイルの開封判断に要した時間を示さない。即ち、メールの開封と添付ファイルへのアクセスが別の場面で行われる受信メールの添付開封判断時間は、用心深さを判定するためのデータとしての意味をなさない。
そこで、添付開封判断時間が大幅に長いメールの添付開封判断時間は、添付ファイルの開封判断に要した時間を示さないとみなされ、統計の対象外とされる。即ち、閾値である外れ値を超える添付開封判断時間は、用心深さの判定のための統計の対象外とされる。これにより、ユーザがメールの開封後、メール内容の確認作業以外の作業を行うような場合における添付開封判断時間は、用心深さの判定のための統計データの対象外とされる。
このように、本実施の形態例において、添付開封判断時間が外れ値以内である受信メールの情報に基づいて、用心深さの判定処理が行われる。これにより、受信メールの確認処理に要する時間としての意味を為す添付開封判断時間の統計に基づいて用心深さの判定が行われることにより、判定の精度が高まり、用心深さが低下している差出人が的確に検出される。
続いて、受信メール情報データテーブルについて説明する。
[受信メール情報データテーブル]
図6は、受信メール情報データテーブルTB1−1の一例について説明する図である。同図の受信メール情報データテーブルTB1−1は、例えば、Message−ID情報、差出人メールアドレスを示すFrom情報、添付ファイルの有無、添付ファイル格納URL、メール開封時刻、添付ファイル開封時刻、添付開封判断時間、添付開封フラグ、外れ値判定フラグを有する。外れ値判定フラグは、添付開封判断時間が外れ値を超えるか否かを示すフラグである。外れ値判定フラグが○の場合、添付開封判断時間が外れ値を超えないことを示す。
図6の受信メール情報データテーブルTB1−1において、Message−ID情報は簡易的に表されているが、実際には、Message−ID情報は、送信日付、時刻、送信元メールサーバのドメイン等の情報に基づいて生成される。同図の例において、例えば、Message−ID情報「1」の受信メールについて、メール開封時刻は2012/01/23 14:56:01であって、添付ファイル開封時刻は、2012/01/23 14:58:23である。このため、Message−ID情報「1」の受信メールの添付開封判断時間は、142(=14:58:23−14:56:01)秒である。この場合、添付開封判断時間は外れ値300秒以内であることから、外れ値判定フラグは○に設定される。また、添付ファイルが開封されていることにより、添付開封フラグは○に設定される。
図6の例における受信メール情報データテーブルTB1−1は、添付ファイルを有する受信メールの情報を保持する。ただし、受信メール情報データテーブルTB1−1は、添付ファイルを有しない受信メールの情報についても保持してよい。全ての受信メールの情報を有する場合、受信メール情報データテーブルTB1−1は、例えば、添付ファイルの有無を示すフラグを有し、添付ファイルの有無を識別可能にする。
続いて、図3のフローチャート図における用心深さ判定処理について説明する。警告情報制御装置10の用心深さ判定手段15は、図6に示したような受信メール情報データテーブルTB1−1に基づいて、統計データテーブルを生成する。
[用心深さ判定処理のフローチャート図]
図7は、用心深さ判定処理について説明するフローチャート図である。用心深さ判定手段15は、所定の日時に達すると、受信メール情報データテーブルを参照して、所定の日数分の情報を取得する(S41)。所定の日数分の情報とは、例えば、直近の1カ月に受信したメールの情報である。例えば、直近の1カ月に受信したメールの情報に基づくことにより、最近の期間において、用心深さが低下している差出人が検出可能になる。または、用心深さ判定処理は、例えば、直近の100通の受信メールの情報に基づいてもよい。
続いて、用心深さ判定手段15は、取得した添付開封判断時間を、差出人ごとに分類する(S42)。そして、用心深さ判定手段15は、差出人ごとに分類した添付開封判断時間の情報に基づいて、統計量を算出し、統計データテーブルに記憶する(S43)。そして、統計に基づいて、ある差出人の添付開封判断時間が、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に短いと判定される場合に、用心深さが低下している差出人として判定される。または、統計に基づいて、ある差出人の添付開封判断時間のばらつき度合いが、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に小さいと判定される場合に、用心深さが低下している差出人として判定される。
続いて、添付開封判断時間の統計量の算出処理について具体的に説明する。本実施の形態例では、添付開封判断時間の標準化データに基づく統計、Z検定及びt検定に基づく統計、F検定に基づく統計について、順次説明する。まず、標準化データに基づく統計について説明する。
[標準化データによる統計]
図8は、標準化データに基づく統計データテーブルTB2−1の一例を示す図である。同図の統計データテーブルTB2−1は、メールの差出人ごと、及び、全ての差出人について、添付開封判断時間の平均値(秒)、及び、標本標準偏差の値を有する。また、同図の統計データテーブルTB2−1は、全ての差出人からの受信メールに基づく標本標準偏差値0.6、標準化データ値z、判定値を有する。判定値は、差出人が用心深さが低下している差出人であるか否かを示す。判定値が異常を示す場合、差出人の用心深さが低下していることを示す。
なお、統計量の元となるデータは、添付ファイルが開封済みであって、添付開封判断時間が外れ値を超えない受信メールの情報である。即ち、受信メール情報データテーブルTB1−1において、添付開封判断時間を有し、外れ値判定フラグが○を示す情報に基づいて、統計量が算出される。
続いて、統計量の算出処理の流れについて説明する。用心深さ判定手段15は、まず、全ての差出人からの受信メールにおける添付開封判断時間の平均値m(秒)、及び、判定対象の差出人からの受信メールにおける添付開封判断時間の平均値x(秒)を算出する。また、用心深さ判定手段15は、全ての差出人からの受信メールの添付開封判断時間に基づく標準偏差値sを算出する。この例において、標準偏差値sは、値0.6である。
次に、用心深さ判定手段15は、全ての差出人、それぞれの差出人について添付開封判断時間の平均値m、x(秒)、及び、標準偏差値0.6に基づいて、標準化データ値zを算出する。具体的に、標準化データ値zは、数式「z=(x−m)/s」に基づいて算出される。数式によって、全ての差出人からの受信メールにおける添付開封判断時間に基づく標準正規分布における、判定対象の差出人からの受信メールにおける添付開封判断時間の平均値の分布位置が算出される。
[標準正規分布図]
図9は、全ての差出人が受信メールにおける添付開封判断時間に基づく標準正規分布の一例を示す図である。同図において、中央の値X0は0を、値X1は−標本標準偏差値(この例では−0.6)を、値X2は+標本標準偏差値(この例では+0.6)を示す。このため、矢印EX1で示される範囲内の分布は、全ての差出人からの受信メールにおける約68%に当たる。また、値X0は全ての差出人からの受信メールにおける添付開封判断時間の平均値m(この例では3秒)に対応する。
図9の表P1に示されるとおり、数式「z=(x−m)/s」に基づいて算出される判定対象の差出人の標準化データ値zが値0の場合、判定対象の差出人からの受信メールの添付開封時間の平均値が、全ての差出人からの受信メールにおける添付開封判断時間と同一であることを示す。また、標準化データ値zが値−1以上、且つ、値1以下である場合、判定対象の差出人からの受信メールの添付開封時間の平均値が、±標本標準偏差値s範囲内に含まれることを示す。
一方、標準化データ値zが、値−1を下回る場合、全ての差出人からの受信メールにおける添付開封判断時間に基づく分布において、判定対象の差出人からの受信メールの添付開封時間の平均値が、顕著に短い場合を示す。図9の分布図において、標準化データ値zが値−1を下回る場合、矢印EX2で示される分布範囲に対応することを示す。即ち、判定対象の差出人からの受信メールの添付開封時間の平均値が、全ての差出人からの受信メールにおける添付開封判断時間に基づく分布における下位16%の分布範囲に対応することを意味する。これにより、判定対象の差出人からの受信メールについて、ユーザの用心深さが低下しているものとみなされる。そこで、図8の統計データテーブルにおいて、異常と設定される。
具体的に、例えば、差出人Cからの受信メールの平均値は2.28(秒)である。このため、数式「(2.28−3)/0.6」に基づいて、標準化データ値−1.2が算出される。標準化データ値1.2は、−1を下回ることから、異常と判定される。これにより、新たに、差出人Cからのメールを受信した場合、用心深さが低下している旨の警告情報がユーザに出力される。
なお、この例では、分布における−標本標準偏差値に対応する値を基準値としたが、この例に限定されるものではない。基準値は、分布の平均より小さい値であれば、例えば、分布における−2×標本標準偏差値に対応する値であってもよい。基準値を変更することにより、異常検知の検知度合いを調整することが可能となる。
このように、全ての差出人からの受信メールに基づく分布に基づいた基準値(この例では、値−1)より、受信メールの添付開封判断時間の平均値が短い差出人が、用心深さが低下している差出人として検出される。これにより、受信メールの開封から添付ファイルの開封までの確認時間が顕著に低下している受信メールの差出人が、受信メールの添付開封判断時間の分布に基づいて、高精度に検出される。
また、この例では、全ての差出人からの受信メールに基づく分布に基づいた基準値より、添付開封判断時間の平均値が短い差出人が、用心深さが低下している差出人として検出される。ただし、例えば、全ての期間における判定対象の差出人からの受信メールに基づく分布に基づいた基準値より、直近の基準期間内における当該差出人からの受信メールにおける添付開封判断時間の平均値が短い差出人について、用心深さが低下している差出人として検出されてもよい。これにより、直近の1カ月内に受信したメールに対する用心深さが、1カ月以前に受信した同一の差出人からの受信メールに対して、顕著に低下している差出人が検出可能になる。
続いて、Z検定、またはt検定に基づく統計について説明する。
[Z検定、またはt検定による統計]
図10は、Z検定、またはt検定に基づく統計データテーブルTB2−2の一例を示す図である。同図の統計データテーブルTB2−2は、受信メールの差出人ごとに、受信メールの数n、添付開封判断時間の平均値x(秒)を有する。また、統計データテーブルTB2−2は、判定対象の差出人を除く差出人からの受信メールの添付開封時間の平均値m(秒)、及び、標本標準偏差値sを有する。そして、統計データテーブルTB2−2は、判定対象の差出人からの受信メールの添付開封時間に基づくZ値またはt値、判定対象の差出人を除く差出人からの受信メールに基づく分布における有意水準5%の下側のZ値またはt値、及び、判定値を有する。なお、統計量の元となるデータは、図8、図9で示した標準化データに基づく統計と同様にして、添付ファイルが開封済みであって、添付開封判断時間が外れ値を超えない受信メールの情報である。
この例において、判定対象の差出人からの受信メールの数が30以上の場合はZ検定が、30未満の場合はt検定が用いられる。Z検定は、正規分布を用いる統計学的検定法であって、標本の平均と母集団の平均とが統計学的にみて有意に異なるかどうかを検定する方法である。また、t検定は、2つの標本の平均値に有意差があるかどうかを調べる検定法の一種であって、t分布と呼ばれる確率分布が利用される。この例において、警告情報制御装置10は、Z検定またはt検定を用いて、判定対象の差出人からの受信メールにおける添付開封判断時間の平均値と、それ以外の差出人からの受信メールにおける添付開封判断時間の平均値との間に相違があるかを検定する。
続いて、統計量の算出処理の流れについて説明する。用心深さ判定手段15は、まず、判定対象の差出人からの受信メールの数nと、添付開封判断時間の平均値x(秒)を算出する。また、用心深さ判定手段15は、判定対象の差出人を除く全ての差出人からの受信メールにおける添付開封判断時間の平均値m(秒)と、標本標準偏差値sを算出する。そして、用心深さ判定手段15は、算出した値に基づいて、判定対象の差出人に係るZ値またはt値を算出する。具体的に、Z値またはt値は、数式「Z、t=(x−m)/(s/√n)」に基づいて算出される。そして、用心深さ判定手段15は、Z検定の場合は標準正規分布、t検定の場合はt分布に基づく、例えば、1%または5%の有意水準の下側に対応する確率変数を算出し、判定対象の差出人に係るZ値またはt値が下回る場合に用心深さが低下しているものと判定する。
[Z検定、または、t検定における分布図]
図11は、Z検定、または、t検定における分布図の一例を示す図である。同図の分布図は、Z検定の場合は標準正規分布に対応し、t検定の場合は、判定対象の差出人からの受信メールの数がnの場合、自由度n−1のt分布に対応する。同図において、値Y1は分布図における有意水準5%の下側の値、値Y2は分布図における有意水準5%の上側の値を示す。本実施の形態例では、例えば、有意水準の5%の下側の値が、用心深さの判定のための基準値に対応する。つまり、同図において、矢印EX3で示される範囲内の分布は、判定対象の差出人を除く全ての差出人からの受信メールに基づく分布における下位の2.5%に当たる。
この例において、数式「Z、t=(x−m)/(s/√n)」に基づいて算出される、判定対象の差出人のZ値またはt値が値Y1を下回る場合、用心深さが低下していると判定される。図11の分布図において、Z値またはt値が値Y1を下回る場合、判定対象の差出人からの受信メールの添付開封時間の平均値が、判定対象の差出人を除く差出人からの受信メールに基づく分布における下位2.5%に対応する値より短いことを示す。これは、判定対象の差出人からの受信メールの添付開封判断時間の平均値が、判定対象の差出人を除く差出人からの受信メールにおける添付開封判断時間の平均値と、添付開封判断時間の短い方向に異なっていることを意味する。つまり、添付開封判断時間について、判定対象の差出人からの受信メールは、判定対象の差出人を除く差出人からの受信メールに対して顕著に短いことを示すため、図10の統計データテーブルにおいて異常として設定される。
具体的に、判定対象の差出人を差出人Cとする場合を例示する。差出人Cからの受信メールの数nは50であるため、Z検定が適用される。この例において、差出人Cからの受信メールにおける添付開封判断時間の平均値xは3.0(秒)である。また、差出人Cを除く全ての差出人からの受信メールにおける添付開封判断時間の平均値mは3.2(秒)、及び、標本標準偏差値sは0.71である。このため、数式「(3.0−3.2)/(0.71/√50)に基づいて、Z値−2.0が算出される。Z値−2.0は、標準正規分布における有意水準5%の下側の基準値−1.96を下回ることから、異常と判定される。これにより、新たに、差出人Cからのメールを受信した場合、用心深さが低下している旨の警告情報がユーザに出力される。
また、判定対象の差出人を差出人Aとする場合を例示する。差出人Aからの受信メールの数nは20であるため、t検定が適用される。この例において、差出人Aからの受信メールにおける添付開封判断時間の平均値xは4.0(秒)である。また、差出人Aを除く全ての差出人からの受信メールにおける添付開封判断時間の平均値mは3.0(秒)、及び、標本標準偏差値sは2.23である。このため、数式「(4.0−3.0)/(2.23/√20)」に基づいて、t値2.0が算出される。t値2.0は、自由度19(=n−1)のt分布における有意水準5%の下側の基準値−2.09を上回ることから、正常と判定される。これにより、新たに、差出人Aからのメールを受信した場合、警告情報は出力されない。
このように、判定対象の差出人を除く差出人からの受信メールに基づく分布に基づいた基準値(この例では、値Y1)より、受信メールの添付開封判断時間の平均値が短い差出人が、用心深さが低下している差出人として検出される。Z検定、または、t検定に基づくことにより、受信メールの開封から添付ファイルの開封までの確認時間が顕著に低下している受信メールの差出人が、受信メールの添付開封判断時間の分布に基づいて、さらに、高精度に検出される。
なお、この例では、分布における有意水準5%の下側に対応する値を基準値としたが、この例に限定されるものではない。基準値は、分布における有意水準1%の下側に対応する値であってもよい。有意水準の値を変更することにより、異常検知の検知度合いを調整することが可能となる。例えば、有意水準を大きくすることにより、異常がより頻繁に検知されるように調整される。
また、前述したとおり、この例においても、判定対象の差出人からの、基準期間以前の期間における受信メールに基づく分布に基づいた基準値より、直近の基準期間内における当該差出人からの受信メールにおける添付開封判断時間の平均値が短い差出人について、用心深さが低下している差出人として検出されてもよい。これにより、直近の1カ月内に受信したメールに対する用心深さが、1カ月以前に受信した同一の差出人からの受信メールに対して、顕著に低下している差出人がより高精度に検出可能になる。
[F検定による統計]
続いて、F検定に基づく統計について説明する。F検定では、添付開封判断時間の分散度合いに基づいて用心深さの判定を行う。ある差出人からの受信メールについて、添付開封判断時間の分散度合いが小さい場合、いずれの受信メールについても、添付開封判断時間が一定であることを示す。これは、受信メールの内容が吟味されずに、添付ファイルが機械的に開封されていることを示す。一方、添付開封判断時間の分散度合いが大きい場合、添付開封判断時間が受信メールそれぞれについて異なることを示し、受信メールの内容が吟味された上で添付ファイルが開封されていることを示す。そこで、判定対象の差出人からの受信メールにおける添付開封判断時間の分散度合いが顕著に小さい場合、当該差出人からの受信メールについて、用心深さが低下しているものと判定される。
図12は、F検定に基づく統計データテーブルTB2−3の一例を示す図である。同図の統計データテーブルTB2−3は、メールの差出人ごとに、受信メールの数n、添付開封判断時間の不偏分散v1を有する。また、統計データテーブルTB2−3は、判定対象の差出人を除く差出人からの受信メールの数n2、添付開封時間の不偏分散v2を有する。そして、統計データテーブルTB2−3は、不偏分散v1、v2に基づくF値、及び、判定対象の差出人からの受信メールの数n1と、判定対象の差出人を除く差出人からの受信メールの数n2とに基づく分布における有意水準5%の下側のF値を有する。なお、統計量の元となるデータは、図8、図9で示した標準化データに基づく統計と同様にして、添付ファイルが開封済みであって、添付開封判断時間が外れ値を超えない受信メールの情報である。
この例では、用心深さ判定手段15は、F検定を用いて、判定対象の差出人からの受信メールにおける添付開封判断時間の分散v1が、判定対象の差出人以外の差出人からの受信メールにおける添付開封判断時間の分散v2と、異なるか否かを検定する。判定対象の差出人からの受信メールにおける添付開封判断時間の分散v1が、分散度合いの小さい方に異なる場合、判定対象の差出人からの受信メールについて用心深さが低下していると判定される。
続いて、統計量の算出処理の流れについて説明する。用心深さ判定手段15は、まず、判定対象の差出人からの受信メールの数n1と、添付開封判断時間の不偏分散v1を算出する。また、用心深さ判定手段15は、判定対象の差出人を除く全ての差出人からの受信メールの数n2と、添付開封判断時間の不偏分散v2を算出する。そして、用心深さ判定手段15は、判定対象の差出人に係るF値を、数式「F=v1/v2」に基づいて算出する。そして、用心深さ判定手段15は、自由度n1−1、n2−1のF分布に基づく、例えば、1%または5%の有意水準の下側に対応する確率変数を算出し、判定対象の差出人に係るF値が下回る場合に用心深さが低下しているものと判定する。
[F検定における分布図]
図13は、F分布の一例を示す図である。F分布は、自由度n1−1、n2−1に基づく分布である。同図において、値Z1は分布図における有意水準5%の下側の値を示す。本実施の形態例では、例えば、有意水準の5%の下側の値が、用心深さの判定のための基準値に対応する。つまり、同図において、矢印EX4で示される範囲内の分布は、判定対象の差出人からの受信メール、及び、判定対象の差出人を除く全ての差出人からの受信メールの数に基づく分布における下位の2.5%に当たる。
この例において、数式「F=v1/v2」に基づいて算出される、判定対象の差出人のF値が、値Z1を下回る場合、用心深さが低下していると判定される。図13の分布図において、F値が値Z1を下回る場合、判定対象の差出人からの受信メールの添付開封時間の分散度合いが、判定対象の差出人を除く差出人からの受信メールに基づく分布における下位2.5%に対応する値より小さいことを示す。これは、判定対象の差出人からの受信メールの添付開封判断時間の分散度合いが、判定対象の差出人を除く差出人からの受信メールにおける添付開封判断時間の分散度合いと、分散度合いの小さい方向に異なっていることを意味する。つまり、添付開封判断時間の分散度合いについて、判定対象の差出人からの受信メールは、判定対象の差出人を除く差出人からの受信メールに対して顕著に小さいことを示すため、図12の統計データテーブルにおいて異常として設定される。
具体的に、判定対象の差出人を差出人Cとする場合を例示する。この例において、差出人Cからの受信メールの数n1は50であって、不偏分散v1は45.0である。また、差出人Cを除く全ての差出人からの受信メールの数n2は150であって、不偏分散v2は75.0である。このため、数式「45.0/75.0」に基づいて、F値0.6が算出される。F値0.6は、自由度49(=n1−1)、自由度149(=n2−1)のF分布における有意水準5%の下側の基準値0.617を下回ることから、異常と判定される。これにより、新たに、差出人Cからのメールを受信した場合、用心深さが低下している旨の警告情報がユーザに出力される。
このように、判定対象の差出人からの受信メール、及び、判定対象の差出人を除く差出人からの受信メールの数に基づく分布に基づいた基準値(この例では、値Z1)より、受信メールの添付開封判断時間の分散度合いが小さい差出人が、用心深さが低下している差出人として検出される。F検定に基づくことにより、受信メールの開封から添付ファイルの開封までの確認時間のばらつきが顕著に小さい受信メールの差出人が、受信メールの添付開封判断時間の分布に基づいて、高精度に検出される。
なお、この例では、分布における有意水準5%の下側に対応する値を基準値としたが、この例に限定されるものではない。基準値は、分布における有意水準1%の下側に対応する値であってもよい。有意水準の値を変更することにより、異常検知の検知度合いを調整することが可能となる。例えば、有意水準を大きくすることにより、異常がより頻繁に検知されるように調整される。
また、前述したとおり、この例においても、判定対象の差出人からの、基準期間以前の期間における受信メールに基づく分布に基づいた基準値より、直近の基準期間内における当該差出人からの受信メールにおける添付開封判断時間の分散度合いが小さい差出人について、用心深さが低下している差出人として検出されてもよい。これにより、直近の1カ月内に受信したメールに対する用心深さが、1カ月以前に受信した同一の差出人からの受信メールに対して、顕著に低下している差出人がより高精度に検出可能になる。
なお、用心深さの判定のための統計手法は、本実施の形態例において説明した手法に限定されるものではない。用心深さの判定は、添付開封判断時間に基づく別の統計手法に基づいてもよい。または、用心深さの判定は、複数の統計手法の組み合わせに基づいてもよい。例えば、Z検定及びt検定に基づく統計と、F検定に基づく統計とが組み合わされることによって、用心深さが低下している差出人が検出される。これにより、警告情報制御装置10は、添付開封判断時間が短く、且つ、添付開封判断時間の分散度合いが小さい差出人を用心深さが低下している差出人が検出可能になる。これにより、添付開封判断時間に基づいて、より効果的に、用心深さの低下している差出人が検出可能になる。
[第2の実施の形態例]
第1の実施の形態例では、添付開封判断時間に基づいて、用心深さが低下している差出人を検出する形態を例示した。第2の実施の形態例では、不審メールに対して表示される受信確認画面の表示時間に基づいて、用心深さが低下している差出人を検出する。
[警告情報制御装置のブロック図]
図14は、第2の実施の形態例における警告情報制御装置50のブロック図の一例を示す図である。第2の実施の形態例における警告情報制御装置50は、例えば、メールサーバ200と、ユーザが使用するメールソフト(メーラー)100との間に配置される。警告情報制御装置50とメールサーバ200、警告情報制御装置50とメールソフト100とは、相互に通信可能である。なお、本実施の形態例における警告情報制御装置50は、メールソフト100と同一の筐体に配置されるが、警告情報制御装置50は、メールサーバ200と同一の筐体に配置されてもよい。
警告情報制御装置50は、例えば、受信メールヘッダ情報管理手段51、受信確認画面表示手段58、警告手段52、時間計測手段56、用心深さ判定手段55、受信メール情報記憶装置57を有する。受信メールヘッダ情報管理手段51は、受信メールのヘッダ情報を記憶する。受信メールヘッダ情報管理手段51は、第1の実施の形態例と同様に、メールヘッダにおけるMessage-ID情報、From情報を、受信メール情報データテーブルに格納する。また、受信確認画面表示手段58は、次に例示するポリシーに基づいて、標的型メールの可能性があるメールについて受信確認画面をポップアップ表示し、ユーザに注意を促す。ポリシーは、例えば、初めて受け取るアドレスまたは組織外のアドレスからの受信メール、添付ファイルやURLが付与された受信メール、送信経路が通常と異なる受信メール等である。
また、時間計測手段56は、受信確認画面がポップアップ表示され、ユーザが受信確認画面を閉じるまでの時間を、受信確認画面表示時間として算出する。用心深さ判定手段55は、差出人ごとに仕分けされた受信メールについて、受信確認画面表示時間の統計量を計算する。そして、用心深さ判定手段55は、判定対象の差出人の統計量と、他の差出人の統計量とを比較し、判定対象の差出人の用心深さが低下しているか否かを判定する。
警告手段52は、メールソフト100において、ユーザが、用心深さが低下している差出人からメールを受信したときに、警告情報を出力する。なお、警告手段52は、受信確認画面表示手段58を呼び出すことによって、警告情報を表示してもよい。また、受信メール情報記憶装置57は、メールサーバ200からの受信メールの情報をそれぞれ格納するデータテーブル、及び、差出人ごとの受信メールの統計量を格納するデータテーブルを記憶する。受信メール情報記憶装置57は、例えば、ROM/RAM等のメモリである。
[受信確認画面]
図15は、一般的な受信確認画面DG2の一例を示す図である。ユーザが不審メールを受信すると、同図のような受信確認画面DG2がポップアップ表示される。受信確認画面DG2には、例えば、対象の受信メールが標的型メールである可能性を有する旨のメッセージが表示される。そして、ユーザは、受信確認画面DG2を確認し、受信確認画面DG2に表示されるボタンを押下する。しかしながら、受信確認画面DG2は、注視されることなく機械的に終了されてしまうことがある。このため、受信確認画面DG2が表示されても、ユーザの注意が喚起されず、受信確認画面DG2を表示する効果が発揮されない。
そこで、第2の実施の形態例では、受信確認画面DG2の表示時間に基づいて、用心深さを判定する。具体的に、警告情報制御装置50は、受信メールの差出人のうち、受信確認画面DG2表示時間が顕著に短い、または、受信確認画面表示時間の分散度合いが顕著に小さい差出人を、用心深さが低下している差出人として検出する。そして、用心深さが低下している差出人からのメールを受信した際に、警告情報を出力する。
[警告情報の出力]
図16は、第2の実施の形態例における警告情報の出力例について例示する図である。警告情報制御装置50の警告手段52は、用心深さが低下している差出人からのメールを受信すると、例えば、同図のような警告情報MSを受信確認画面DG3に表示する。警告情報MSには、例えば、差出人からの受信メールに対して、用心深さ、即ち、慎重さが低下している旨のメッセージが表示される。なお、警告情報MSは、受信確認画面DG3とは別のダイアログ等によって出力されてもよいし、音声等によって出力されてもよい。
これにより、ユーザは、受信しようとしているメールの差出人からのメールについて、用心深さが低下していることを検知可能になる。これにより、ユーザは、たとえ、差出人が信頼できる差出人からの受信メールであったとしても、十分に時間をかけて確認するようになる。これにより、信頼できる差出人を騙る標的型メールを受信した場合、十分な確認が行われなかったことに起因して問題が生じることが回避される。
続いて、本実施の形態例における警告情報制御装置50の処理について、フローチャート図に基づいて説明する。第2の実施の形態例における警告情報制御装置50の処理の概要については、第1の実施の形態例と同様である。第2の実施の形態例における警告情報制御装置50においても、警告情報提示処理工程(図3のS100)の一部として、受信メールデータ収集処理工程(図3のS12)が行われる。そして、警告情報制御装置50は、用心深さが低下した送信元の判定処理として、収集した受信メール情報に基づいて用心深さが低下している送信元を検出する(図3のS200)。
[メール受信時のフローチャート]
図17は、メールサーバ200からのメールを受信したときの、警告情報制御装置50の処理について説明するフローチャート図である。この処理は、メールサーバ200からメール受信時、当該メールがメールソフト100に回送される前に行われる。また、同図のフローチャート図に示される処理は、図3のフローチャート図における工程S100に含まれる。
警告情報制御装置50は、メールサーバ200からメールを受信すると、当該受信メールが受信確認画面の表示対象を示す所定のポリシーに合致するか否かを判定する(S51)。所定のポリシーに合致する場合(S51のYES)、警告情報制御装置50は、受信メールデータ収集処理を行う(S52)。警告情報制御装置50は、具体的に、受信メールの情報を収集し、受信メール情報データテーブルに記憶する。処理の詳細については後述する。これにより、添付ファイルを有する受信メールそれぞれについて、受信メールの情報が受信メール情報データテーブルに記憶される。
続いて、警告情報制御装置50は、受信メール情報データテーブルに基づいて生成される統計データテーブルを参照する(S53)。統計データテーブルは、用心深さ判定処理によって生成される。統計データテーブルの生成処理については、第1の実施の形態例と同様である。ただし、第2の実施の形態例では、用心深さを判定するための時間として、添付開封判断時間の替わりに、受信確認画面表示時間が用いられる。
そして、警告情報制御装置50は、受信メールの差出人が、統計量のデータテーブルにおいて用心深さの低下していると判定された差出人に当たるか否かを判定する(S54)。受信メールが用心深さが低下している差出人に当たる場合(S54のYES)、警告情報制御装置50は、図16で例示したような、当該差出人からの受信メールに対する用心深さが低下している旨の警告情報を、受信確認画面に追加する(S55)。そして、警告情報制御装置50は、受信確認画面を表示する(S56)。
[受信メールデータ収集処理のフローチャート]
図18は、受信メールデータ収集処理について詳細に説明するフローチャート図である。同図のフローチャートの処理は、図17のフローチャート図における工程S52に該当する。警告情報制御装置50の受信メールヘッダ情報管理手段51は、受信メールのメールヘッダ情報を記録する(S61)。具体的に、受信メールヘッダ情報管理手段51は、メールのメールヘッダのうち、Message−ID情報、及びFrom情報を、受信メール情報データテーブルに記憶する。ただし、受信メールヘッダ情報管理手段51は、From情報のみを記憶してもよい。
続いて、警告情報制御装置50は、メールサーバ200から受信したメールを、ユーザのメールソフト100に回送する(S62)。そして、受信確認画面の表示対象の受信メールである場合、警告情報制御装置50の受信確認画面表示手段58が受信確認画面を表示すると、警告情報制御装置50の時間計測手段56は、受信確認画面が表示された時間を受信確認画面表示時間として計測する(S63)。受信確認画面表示時間は、受信メール情報データテーブルに記憶される。次に、警告情報制御装置50は、受信確認画面表示時間の外れ値判定を行う(S64)。受信確認画面表示時間が外れ値を超える場合、警告情報制御装置50は、対応する受信メールの情報を統計量の算出対象外とする。具体的に、警告情報制御装置10は、例えば、受信メール情報データテーブルにおいて、受信確認画面表示時間が外れ値を超える受信メールの外れ値判定フラグを、外れ値を超えていることを示す値×に設定する。この例において、外れ値は、例えば60秒に設定される。
[外れ値]
本実施の形態例では、メールソフト100におけるメールの受信と、受信確認画面の確認処理とが、一連の流れで行われる場合における受信確認画面表示時間を統計の対象とする。そこで、受信確認画面表示時間が大幅に長い受信メールにおける受信確認画面表示時間は、受信確認画面の確認に要した時間を示さないとみなされ、統計の対象外とされる。即ち、閾値である外れ値を超える受信確認画面表示時間は、用心深さの判定のための統計の対象外とされる。これにより、受信メールの確認処理に要する時間としての意味を為す受信確認画面表示時間の統計に基づくことにより、本実施の形態例における用心深さの判定の精度が高まり、的確に、用心深さの低下した差出人が検出される。
続いて、第2の実施の形態例における受信メール情報データテーブルについて説明する。
[受信メール情報データテーブル]
図19は、第2の実施の形態例における受信メール情報データテーブルTB1−2の一例について説明する図である。同図の受信メール情報データテーブルTB1−2は、例えば、Message−ID情報、差出人メールアドレスを示すFrom情報、受信確認画面表示フラグ、受信確認画面表示時間、外れ値判定フラグを有する。受信確認画面表示フラグは、受信確認画面の表示対象であるか否かを示すフラグである。また、外れ値判定フラグは、受信確認画面表示時間が外れ値を超えるか否かを示すフラグである。外れ値判定フラグが○の場合、受信確認画面表示時間が外れ値を超えないことを示す。
続いて、第2の実施の形態例における用心深さ判定処理について説明する。警告情報制御装置50の用心深さ判定手段55は、図19のような、受信メール情報データテーブルTB1−2に基づいて、統計データテーブルを生成する。
[用心深さ判定処理のフローチャート図]
図20は、用心深さ判定処理について説明するフローチャート図である。用心深さ判定手段55は、所定の日時に達すると、受信メール情報データテーブルを参照して、所定の日数分の情報を取得する(S71)。所定の日数分の情報とは、例えば、直近の1カ月に受信したメールの情報である。例えば、直近の1カ月に受信したメールの情報に基づくことにより、最近の期間において、用心深さが低下する傾向を有する差出人が検出可能になる。
続いて、用心深さ判定手段55は、取得した受信確認画面表示時間を、差出人ごとに分類する(S72)。そして、用心深さ判定手段55は、差出人ごとに分類した受信確認画面表示時間の情報に基づいて、統計量を算出し、統計データテーブルに記憶する(S73)。受信確認画面表示時間の統計量の算出処理については、第1の実施の形態例と同様である。第2の実施の形態例においても、例えば、受信確認画面表示時間の標準化データに基づく統計、Z検定及びt検定に基づく統計、F検定に基づく統計について、用心深さが判定される。
これにより、警告情報制御装置50は、受信確認画面表示時間が、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に短いと判定される受信メールの差出人を、用心深さが低下している差出人として検出することができる。または、警告情報制御装置50は、受信確認画面表示時間の分散度合いが、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に小さいと判定される受信メールの差出人を、用心深さが低下している差出人として検出することができる。
以上のように、本実施の形態例における警告情報制御プログラムにおける警告情報制御処理は、受信メールについて、受信メールの確認処理に要する時間を計測し、計測した時間を受信メールの送信元と関連付けて記憶する受信メール情報記憶工程を有する。また、警告情報制御処理は、記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した時間が短い送信元を検出する検出工程と、検出した送信元からのメールの受信時に、警告情報を出力する警告情報出力工程と、を有する。
これにより、本実施の形態例における警告情報制御プログラムは、特定の差出人からの受信メールについて用心深さが低下している、即ち、受信メールの内容確認が疎かになっていることを検出し、ユーザに警告することができる。また、本実施の形態例における警告情報制御プログラムは、計測した時間の長さに基づいて、判定対象の差出人からの受信メールに対する用心深さを判定する。これにより、警告情報制御プログラムは、メールの開封や添付ファイルの開封を煽りメールの確認時間が短くになり易い差出人からのメールに対して、十分な確認を行うことをユーザに習慣付けることができる。また、警告情報制御プログラムは、計測した時間に基づくことにより、信頼できる差出人からの受信メールについても注意喚起を促すことができ、標的型メールに対する対処を可能にする。
また、本実施の形態例における警告情報制御処理において、検出工程は、さらに、複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した時間の分散度合いが小さい送信元を検出する。
これにより、本実施の形態例における警告情報制御プログラムは、時間の短さに加え、時間の分散度合いに基づいて、用心深さを判定することができる。具体的に、警告情報制御プログラムは、メールの内容確認時間が短くなり易く、且つ、メールの内容確認が機械的になり易い差出人からの受信メールについて、警告情報を出力ことができる。これにより、警告情報制御プログラムは、受信メールに対して十分な確認を行うことを、ユーザに習慣付けることができる。
または、本実施の形態例における警告情報制御処理は、受信メールについて、受信メールの確認処理に要する時間を計測し、計測した時間を受信メールの送信元と関連付けて記憶する受信メール情報記憶工程を有する。また、警告情報制御処理は、記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した時間の分散度合いが小さい送信元を検出する検出工程と、検出した送信元からのメールの受信時に、警告情報を出力する警告情報出力工程と、を有する。
これにより、本実施の形態例における警告情報制御プログラムは、時間の分散度合いに基づいて、用心深さを判定することにより、メールの確認が機械的になり易い差出人からのメールに対して、十分な確認を行うことをユーザに習慣付けることができる。また、警告情報制御プログラムは、時間に基づくことにより、信頼できる差出人からの受信メールについても注意喚起を促すことができる。
また、本実施の形態例において、受信メールの確認処理に要する時間は、受信メールの開封から添付ファイルへのアクセスまでの時間(本実施の形態例では、添付開封判断時間)、または、不審メールの候補を対象として出力される不審メール受信確認画面の表示から表示終了までの時間(本実施の形態例では、受信確認画面標示時間)のいずれかである。
これにより、警告情報制御プログラムは、受信メールの開封から添付ファイルへのアクセスまでの時間や、不審メール受信確認画面の表示から表示終了までの時間を、受信メールの確認処理に要する時間として注目することにより、ユーザの受信メールへの用心深さを測ることができる。そして、警告情報制御プログラムは、受信メールの確認処理に要する時間を示す時間に基づいて、特定の差出人からのメールに対する、ユーザの用心深さを判定することができる。
また、本実施の形態例において、検出工程は、検出対象の送信元の受信メールの記憶した時間の平均が、第1の基準値より短い場合に、検出対象の送信元を検出する。これにより、警告情報制御プログラムは、時間の低下傾向にある差出人を高精度に検出することができる。
また、本実施の形態例において、第1の基準値は、複数の受信メールに基づく分布の平均より小さい値である。また、本実施の形態例において、第2の基準値は、複数の受信メールに基づく分布の平均より小さい値である。これにより、警告情報制御プログラムは、時間が比較対象の分布の平均よりも短い、または、時間の分散度合いが比較対象の分布の平均よりも小さい、差出人を検出することができる。
また、本実施の形態例において、複数の受信メールに基づく分布は、複数の受信メールの数、または、記憶した時間のいずれかまたは両方に基づく分布である。これにより、警告情報制御プログラムは、受信メールの情報に基づいて、用心深さの判定における比較対象となる分布を生成することができる。
また、本実施の形態例において、複数の受信メールに基づく分布は、検出対象の送信元の受信メールを含む受信メールに基づく分布、または、検出対象の送信元を除く送信元の受信メールを含む受信メールに基づく分布のいずれかである。これにより、警告情報制御プログラムは、標準化データ、Z検定、t検定、F検定等に基づいて、判定対象の差出人からの受信メールにおける時間が、判定対象以外の差出人からの受信メールにおける時間と異なるか否かを判定することができる。
また、本実施の形態例において、検出対象の送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである。これにより、警告情報制御プログラムは、直近の基準期間内の受信メールに基づいて、用心深さが低下している差出人を検出することができる。例えば、警告情報制御プログラムは、直近の1カ月内に受信したメールに基づいて、用心深さが低下している差出人を検出することができる。これにより、警告情報制御プログラムは、最近の期間において、用心深さが低下している差出人が検出可能になる。このため、警告情報制御プログラムは、最近の期間において用心深さが低下した差出人の情報に基づいて、より適切に、警告情報を出力することができる。
また、本実施の形態例において、複数の受信メールに基づく分布は、検出対象の送信元の直近の基準期間内の受信メールを含む受信メールに基づく分布、または、当該検出対象の送信元の直近の基準期間内を除く基準期間以前の受信メールを含む受信メールに基づく分布のいずれかであって、検出対象の送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである。これにより、警告情報制御プログラムは、判定対象の差出人からの、直近の基準期間(例えば、1カ月)内の受信メールにおける時間が、同一の差出人からの基準期間以前の受信メールにおける時間と異なるか否かを判定することができる。
また、本実施の形態例において、複数の受信メールに基づく分布は、記憶した時間が基準閾値(外れ値)以内の受信メールに基づく分布である。これにより、警告情報制御プログラムは、メール開封と添付ファイルへのアクセスが一連の流れで行われる場合における時間に基づいて、用心深さの判定を行うことができる。または、警告情報制御プログラムは、メールソフト100におけるメールの受信と、受信確認画面の確認処理とが、一連の流れで行われる場合における時間に基づいて、用心深さの判定を行うことができる。これにより、統計の対象から、用心深さを判定するための時間としての意味を為さない時間に対応する情報が除外され、統計の精度が高まることにより、用心深さの低下した差出人が的確に検出可能になる。
以上の実施の形態をまとめると、次の付記のとおりである。
(付記1)
メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
前記警告情報制御処理は、
受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出工程と、
前記検出した送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。
(付記2)
付記1または2において、
前記検出工程は、さらに、前記複数の受信メールに基づく分布に基づいた第2の基準値より、前記記憶した時間の分散度合いが小さい前記送信元を検出する警告情報制御プログラム。
(付記3)
メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
前記警告情報制御処理は、
受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出工程と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。
(付記4)
付記1乃至3のいずれかにおいて、
前記受信メールの確認処理に要する時間は、前記受信メールの開封から添付ファイルへのアクセスまでの時間、または、前記不審メールの候補を対象として出力される不審メール受信確認画面の表示から表示終了までの時間のいずれかである警告情報制御プログラム。
(付記5)
付記1または2において、
前記検出工程は、検出対象の前記送信元の受信メールの前記記憶した時間の平均が、前記第1の基準値より短い場合に、前記検出対象の送信元を検出する警告情報制御プログラム。
(付記6)
付記1または2において、
前記第1の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。
(付記7)
付記2または3において、
前記第2の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。
(付記8)
付記1乃至7のいずれかにおいて、
前記複数の受信メールに基づく分布は、前記複数の受信メールの数、または、前記複数の受信メールの前記記憶した時間のいずれかまたは両方に基づく分布である警告情報制御プログラム。
(付記9)
付記1乃至8のいずれかにおいて、
前記複数の受信メールに基づく分布は、検出対象の前記送信元の受信メールを含む受信メールに基づく分布、または、前記検出対象の前記送信元を除く送信元の受信メールを含む受信メールに基づく分布のいずれかである警告情報制御プログラム。
(付記10)
付記項1乃至9のいずれかにおいて、
検出対象の前記送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである警告情報制御プログラム。
(付記11)
付記1乃至8のいずれかにおいて、
前記複数の受信メールに基づく分布は、検出対象の送信元の直近の基準期間内の受信メールを含む受信メールに基づく分布、または、当該検出対象の送信元の直近の基準期間内を除く前記基準期間以前の受信メールを含む受信メールに基づく分布のいずれかであって、
検出対象の前記送信元の受信メールは、当該検出対象の送信元の前記直近の基準期間内の受信メールである警告情報制御プログラム。
(付記12)
付記1乃至11のいずれかにおいて、
前記複数の受信メールに基づく分布は、前記記憶した時間が基準閾値以内の受信メールに基づく分布である警告情報制御プログラム。
(付記13)
メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出手段と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。
(付記14)
メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出手段と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。
10:警告情報制御装置、11:受信メールヘッダ情報管理手段、12:警告手段、13:メール開封確認手段、14:添付ファイル開封確認手段、15:用心深さ判定手段、16:時間計測手段、17:受信メール情報記憶装置、100:メールソフト、200:メールサーバ

Claims (14)

  1. メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
    前記警告情報制御処理は、
    受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
    前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出工程と、
    検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。
  2. 請求項1において、
    前記検出工程は、さらに、前記複数の受信メールに基づく分布に基づいた第2の基準値より、前記記憶した時間の分散度合いが小さい前記送信元を検出する警告情報制御プログラム。
  3. メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
    前記警告情報制御処理は、
    受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
    前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出工程と、
    検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。
  4. 請求項1乃至3のいずれかにおいて、
    前記受信メールの確認処理に要する時間は、前記受信メールの開封から添付ファイルへのアクセスまでの時間、または、前記不審メールの候補を対象として出力される不審メール受信確認画面の表示から表示終了までの時間のいずれかである警告情報制御プログラム。
  5. 請求項1または2において、
    前記検出工程は、検出対象の前記送信元の受信メールの前記記憶した時間の平均が、前記第1の基準値より短い場合に、前記検出対象の送信元を検出する警告情報制御プログラム。
  6. 請求項1または2において、
    前記第1の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。
  7. 請求項2または3において、
    前記第2の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。
  8. 請求項1乃至7のいずれかにおいて、
    前記複数の受信メールに基づく分布は、前記複数の受信メールの数、または、前記複数の受信メールの前記記憶した時間のいずれかまたは両方に基づく分布である警告情報制御プログラム。
  9. 請求項1乃至8のいずれかにおいて、
    前記複数の受信メールに基づく分布は、検出対象の前記送信元の受信メールを含む受信メールに基づく分布、または、前記検出対象の送信元を除く前記送信元の受信メールを含む受信メールに基づく分布のいずれかである警告情報制御プログラム。
  10. 請求項1乃至9のいずれかにおいて、
    検出対象の前記送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである警告情報制御プログラム。
  11. 請求項1乃至8のいずれかにおいて、
    前記複数の受信メールに基づく分布は、検出対象の送信元の直近の基準期間内の受信メールを含む受信メールに基づく分布、または、当該検出対象の送信元の直近の基準期間内を除く前記基準期間以前の受信メールを含む受信メールに基づく分布のいずれかであって、
    検出対象の前記送信元の受信メールは、当該検出対象の送信元の前記直近の基準期間内の受信メールである警告情報制御プログラム。
  12. 請求項1乃至11のいずれかにおいて、
    前記複数の受信メールに基づく分布は、前記記憶した時間が基準閾値以内の受信メールに基づく分布である警告情報制御プログラム。
  13. メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
    前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
    前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出手段と、
    検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。
  14. メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
    前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
    前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出手段と、
    検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。
JP2013065044A 2013-03-26 2013-03-26 警告情報制御プログラム、警告情報制御装置 Expired - Fee Related JP6040827B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013065044A JP6040827B2 (ja) 2013-03-26 2013-03-26 警告情報制御プログラム、警告情報制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013065044A JP6040827B2 (ja) 2013-03-26 2013-03-26 警告情報制御プログラム、警告情報制御装置

Publications (2)

Publication Number Publication Date
JP2014191494A true JP2014191494A (ja) 2014-10-06
JP6040827B2 JP6040827B2 (ja) 2016-12-07

Family

ID=51837714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013065044A Expired - Fee Related JP6040827B2 (ja) 2013-03-26 2013-03-26 警告情報制御プログラム、警告情報制御装置

Country Status (1)

Country Link
JP (1) JP6040827B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016184187A (ja) * 2015-03-25 2016-10-20 富士通株式会社 メール処理サーバ、メール処理方法、およびメール処理プログラム
JP2017079042A (ja) * 2015-10-22 2017-04-27 富士通株式会社 注意喚起対処支援プログラム、注意喚起対処支援装置、及び注意喚起対処支援方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221694A (ja) * 2010-04-07 2011-11-04 Chugoku Electric Power Co Inc:The メール優先度判定装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221694A (ja) * 2010-04-07 2011-11-04 Chugoku Electric Power Co Inc:The メール優先度判定装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016038861; 田中秀明,他2名: 'メールの重要度と開封時間の関係性の調査' 電子情報通信学会2012年総合大会講演論文集 情報・システム1 , 20120306, p.50, 社団法人電子情報通信学会 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016184187A (ja) * 2015-03-25 2016-10-20 富士通株式会社 メール処理サーバ、メール処理方法、およびメール処理プログラム
JP2017079042A (ja) * 2015-10-22 2017-04-27 富士通株式会社 注意喚起対処支援プログラム、注意喚起対処支援装置、及び注意喚起対処支援方法

Also Published As

Publication number Publication date
JP6040827B2 (ja) 2016-12-07

Similar Documents

Publication Publication Date Title
EP3552363B1 (en) Near real-time detection of suspicious outbound traffic
US10819744B1 (en) Collaborative phishing attack detection
US10616272B2 (en) Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
US20190052655A1 (en) Method and system for detecting malicious and soliciting electronic messages
US9398038B2 (en) Collaborative phishing attack detection
US9253207B2 (en) Collaborative phishing attack detection
US8549642B2 (en) Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US20180013790A1 (en) Anti-phishing protection
CN108170580A (zh) 一种基于规则的日志报警方法、装置及系统
US8601065B2 (en) Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions
US20090043853A1 (en) Employing pixel density to detect a spam image
US20120143650A1 (en) Method and system of assessing and managing risk associated with compromised network assets
US20090126012A1 (en) Risk Scoring System For The Prevention of Malware
US20100161734A1 (en) Determining spam based on primary and secondary email addresses of a user
JP2015060361A (ja) メール作成プログラム、メール作成方法、及び情報処理装置
US11258811B2 (en) Email attack detection and forensics
JP2013229656A (ja) メール処理方法及びシステム
WO2021242301A1 (en) Actionability metric generation for events
EP3038005A1 (en) Alert transmission program, alert transmission method, and alert transmission apparatus
AU2013243223A1 (en) An electronic message management system
JP6040827B2 (ja) 警告情報制御プログラム、警告情報制御装置
JP2018200642A (ja) 脅威検出プログラム、脅威検出方法および情報処理装置
US9740858B1 (en) System and method for identifying forged emails
US8751596B2 (en) Communication monitoring and management system
US20050198181A1 (en) Method and apparatus to use a statistical model to classify electronic communications

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161011

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161024

R150 Certificate of patent or registration of utility model

Ref document number: 6040827

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees