JP2015191458A - ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム - Google Patents
ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム Download PDFInfo
- Publication number
- JP2015191458A JP2015191458A JP2014068266A JP2014068266A JP2015191458A JP 2015191458 A JP2015191458 A JP 2015191458A JP 2014068266 A JP2014068266 A JP 2014068266A JP 2014068266 A JP2014068266 A JP 2014068266A JP 2015191458 A JP2015191458 A JP 2015191458A
- Authority
- JP
- Japan
- Prior art keywords
- file
- icon image
- risk
- feature information
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- User Interface Of Digital Computer (AREA)
Abstract
【課題】ネットワークから受信したファイルのアイコン画像が巧妙に偽装されている場合でも、当該アイコン画像に基づいて、ファイルの危険性を判定する。
【解決手段】アイコン画像に基づいてファイルの危険性を判定するファイル危険性判定装置において、所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段と、ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出手段と、前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定手段と、前記判定手段により判定された前記対象ファイルの危険性に関する情報を出力する出力手段とを備える。
【選択図】図2
【解決手段】アイコン画像に基づいてファイルの危険性を判定するファイル危険性判定装置において、所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段と、ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出手段と、前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定手段と、前記判定手段により判定された前記対象ファイルの危険性に関する情報を出力する出力手段とを備える。
【選択図】図2
Description
本発明は、有害な動作を行う意図で作成された悪意のあるソフトウェアであるマルウェアを検知する技術に関連し、特に、ファイルのアイコン画像の偽装を検知することで、利用者にファイルの危険性を通知する技術に関連するものである。
近年、様々な配信形態のマルウェアが出現している。例えば、攻撃者からメールの添付ファイルとして配信されるマルウェアがある。添付ファイルとして配信されるマルウェアは一般に実行形式ファイルであり、クライアント端末で実行されることにより有害な動作を行う。従って、メールの受信者に怪しまれずにマルウェアをクリックさせて実行させるために、添付ファイルのアイコン画像を、良く知られた文書ファイル等のアイコン画像に差し替える攻撃手法が知られている。なお、マルウェアの検知に関する先行技術文献として特許文献1がある。
上記のような偽装アイコン画像に騙されて不注意に添付ファイルをクリックしてしまうことを防止するために、文書ファイルと同一のアイコン画像を予め記憶しておき、受信したメールの添付ファイルが実行形式ファイルである場合に、添付ファイルのアイコン画像と予め記憶したアイコン画像とを照合し、一致した場合に利用者に通知を行う技術を用いることが考えられる。
しかし、攻撃者は、図1の(a)に示すようなファイルのアイコン画像(一般に知られておらず、様々なバリエーションが存在)を、良く知られた文書ファイルのアイコン画像と同じではないが酷似するアイコン画像(b)に置き換えることが考えられる。このような巧妙な偽装が行われた場合、画像間の一致を検知する技術では、偽装を検知できない。このような場合、利用者は、添付ファイルのアイコン画像と、よく知られた文書ファイルのアイコン画像との違いを判別できないため、危険なファイルをクリックしてしまう恐れがある。
本発明は上記の点に鑑みてなされたものであり、メール等によりネットワークから受信したファイルのアイコン画像が巧妙に偽装されている場合でも、当該アイコン画像に基づいて、ファイルの危険性を判定し、判定結果を利用者に通知することを可能とする技術を提供することを目的とする。
本発明の実施の形態によれば、アイコン画像に基づいてファイルの危険性を判定するファイル危険性判定装置であって、
所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段と、
ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出手段と、
前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定手段と、
前記判定手段により判定された前記対象ファイルの危険性に関する情報を出力する出力手段とを備えるファイル危険性判定装置が提供される。
所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段と、
ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出手段と、
前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定手段と、
前記判定手段により判定された前記対象ファイルの危険性に関する情報を出力する出力手段とを備えるファイル危険性判定装置が提供される。
前記判定手段は、例えば、前記類似度が所定の閾値以上となる基本アイコン画像が存在する場合に、前記対象ファイルに危険性があると判定する。
また、本発明の実施の形態によれば、アイコン画像に基づいてファイルの危険性を判定するファイル危険性判定装置が実行するファイル危険性判定方法であって、
前記ファイル危険性判定装置は、所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段を備え、
ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出ステップと、
前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定ステップと、
前記判定ステップにより判定された前記対象ファイルの危険性に関する情報を出力する出力ステップとを備えるファイル危険性判定方法が提供される。
前記ファイル危険性判定装置は、所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段を備え、
ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出ステップと、
前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定ステップと、
前記判定ステップにより判定された前記対象ファイルの危険性に関する情報を出力する出力ステップとを備えるファイル危険性判定方法が提供される。
また、本発明の実施の形態によれば、コンピュータを、上記のファイル危険性判定装置における各手段として機能させるためのプログラムが提供される。
本発明の実施の形態によれば、メール等によりネットワークから受信したファイルのアイコン画像が巧妙に偽装されている場合でも、当該アイコン画像に基づいて、ファイルの危険性を判定し、判定結果を利用者に通知することを可能とする技術を提供することができる。
以下、図面を参照して本発明の実施の形態を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
(システム構成)
図2に本発明の実施の形態に係るシステム構成図を示す。図2に示すように、本実施の形態に係るシステムは、メールサーバ200とアイコン画像偽装検知装置100がネットワークで接続された構成を有する。図2に示す例では、アイコン画像偽装検知装置100は、メールサーバ200と通信することによりメールの送受信を行うクライアント端末に相当する。アイコン画像偽装検知装置100は、アイコン画像に基づいてファイルの危険性(危険であるか否か)を判定する装置であるから、ファイル危険性判定装置と称してもいよい。
図2に本発明の実施の形態に係るシステム構成図を示す。図2に示すように、本実施の形態に係るシステムは、メールサーバ200とアイコン画像偽装検知装置100がネットワークで接続された構成を有する。図2に示す例では、アイコン画像偽装検知装置100は、メールサーバ200と通信することによりメールの送受信を行うクライアント端末に相当する。アイコン画像偽装検知装置100は、アイコン画像に基づいてファイルの危険性(危険であるか否か)を判定する装置であるから、ファイル危険性判定装置と称してもいよい。
当該クライアント端末は、PC等の端末であってもよいし、携帯電話機、スマートフォン等の携帯端末であってもよい。
図2に示すように、アイコン画像偽装検知装置100は、メール受信制御部110、アイコン画像危険性検知部120、メーラ130、危険性通知画面表示部140を有する。本実施の形態に係るアイコン画像偽装検知装置100は、コンピュータにプログラムを実行させることにより実現されるものであり、当該プログラムは図2に示すOS(Operating System)150上で動作する。
メール受信制御部110は、メール一時格納部111を備え、メールサーバ200から受信したメールを当該メール一時格納部111に格納するとともに、メールに添付されたファイルのアイコン画像の危険性検知をアイコン画像危険性検知部120に依頼する。
また、メール受信制御部110は、アイコン画像危険性検知部120から「メール受信」の処理依頼を受けた場合、メーラ130にメール一時格納部111に格納した対象メールを送信し、「メール廃棄」の処理依頼を受けた場合、メール一時格納部111に格納した対象メールを削除する。
アイコン画像危険性検知部120は、アイコン画像抽出部121、類似度判定部122、類似度判定情報格納部123、及び危険性通知制御部124を有する。これらの機能部を含むアイコン画像危険性検知部120の機能動作については後に詳述する。
メーラ130は、一般的なメールのクライアントプログラムである。危険性通知画面表示部140は、アイコン画像危険性検知部120から危険性通知画面情報を受け取り、危険性通知画面を表示するとともに、利用者からの指示情報(「メール受信」、「メール破棄」等)を受け取り、当該指示情報をアイコン画像危険性検知部120に通知する。危険性通知画面表示部140は、ディスプレイやタッチパネル等の表示デバイス、表示のための処理機能、利用者による操作情報を受け取る機能等を含む機能部である。危険性通知画面表示部140自体は、既存の情報表示機能、操作情報取得機能により実現できる。
本実施の形態に係るアイコン画像偽装検知装置100は、メーラ130、及び危険性通知画面表示部140の機能を備えるコンピュータに、本実施の形態で説明するメール受信制御部110、及びアイコン画像危険性検知部120の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、アイコン画像偽装検知装置100におけるメール受信制御部110、及びアイコン画像危険性検知部120が有する機能は、当該コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、メール受信制御部110、及びアイコン画像危険性検知部120で実施される処理に対応するプログラムを実行することによって実現することが可能である。また、上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
なお、図2は、例として、本発明に係る機能をクライアント端末に実装した例を示すが、本発明に係る機能をクライアント端末とメールサーバとの間に設置したサーバに実装することも可能である。すなわち、当該サーバは、メール受信制御部110、及びアイコン画像危険性検知部120に対応する機能を備える。これらの機能を備えるサーバをアイコン画像偽装検知装置と称してもよい。
また、本実施の形態では、ネットワークから危険性判定対象となる対象ファイルを受信する例として、メールに添付されて送信されるファイルを受信する例を挙げているが、本発明の適用範囲はこれに限られない。本発明は、メール以外のプロトコルでファイルを受信する場合にも適用できる。例えば、本発明を、Webサイトからダウンロードしたファイルの危険性判定を行う装置に適用することも可能である。
また、本実施の形態では、ネットワークから受信したファイルを危険性判定対象としているが、例えば、物理的な媒体(USBメモリ等)から取得したファイルでも同様に危険性判定を行うことが可能である。
(動作詳細)
図3は、アイコン画像危険性検知部120の動作を示すフローチャートである。前述したとおり、メール受信制御部110がメールサーバ200から、ファイルが添付されたメールを受信すると、当該メールをメール一時格納部111に格納するとともに、添付ファイルをアイコン画像危険性検知部120に渡すことにより、アイコン画像の危険性検知の依頼を行う。以下では、偽装の危険性検知の対象となる添付ファイルのアイコン画像を主に対象アイコン画像と呼ぶ。
図3は、アイコン画像危険性検知部120の動作を示すフローチャートである。前述したとおり、メール受信制御部110がメールサーバ200から、ファイルが添付されたメールを受信すると、当該メールをメール一時格納部111に格納するとともに、添付ファイルをアイコン画像危険性検知部120に渡すことにより、アイコン画像の危険性検知の依頼を行う。以下では、偽装の危険性検知の対象となる添付ファイルのアイコン画像を主に対象アイコン画像と呼ぶ。
<図3のステップ101:アイコン画像の特徴情報抽出>
アイコン画像危険性検知部120が、アイコン画像の危険性検知の依頼を受けると、アイコン画像抽出部121は、添付ファイルから対象アイコン画像の特徴情報を抽出し、抽出した特徴情報を類似度判定部122に渡す。対象アイコン画像(のデータ)は、添付ファイルの中の所定の位置に格納されており、アイコン画像抽出部121は、当該所定の位置における対象アイコン画像から特徴情報を抽出する。
アイコン画像危険性検知部120が、アイコン画像の危険性検知の依頼を受けると、アイコン画像抽出部121は、添付ファイルから対象アイコン画像の特徴情報を抽出し、抽出した特徴情報を類似度判定部122に渡す。対象アイコン画像(のデータ)は、添付ファイルの中の所定の位置に格納されており、アイコン画像抽出部121は、当該所定の位置における対象アイコン画像から特徴情報を抽出する。
なお、アイコン画像抽出部121は、添付ファイルの拡張子及び/又は添付ファイルの中の情報に基づいて、添付ファイルが実行形式ファイルであるかどうかを確認し、実行形式ファイルである場合に、特徴情報の抽出を行い、実行形式ファイルでない場合に、危険はないと判断して、メール受信制御部110に対して「メール受信」を指示することとしてもよい。ここでの実行形式ファイルとは、exeファイルのみならず、アイコン画像偽装検知装置100(クライアント端末)において実行されるプログラムのファイル全般を含むものである。
本実施の形態において、対象アイコン画像から抽出する特徴情報は、特定の種類の特徴情報に限定されないが、例えば、特徴情報として、RGB情報、減色情報、エッジ情報、カラー情報等の情報を抽出することができる。
RGB情報としては、例えば、対象アイコン画像におけるピクセル毎のRGBの値を取得する。減色情報としては、例えば、各ピクセルに対してグレイスケール化や2値化を行い、当該グレイスケールの値や2値の値を取得する。エッジ情報としては、例えば、対象アイコン画像に対してエッジ検出処理を行って、検出されたエッジの情報を2値画像として取得する。カラー情報は、例えばカラーヒストグラムであり、対象アイコン画像中の色及び/又は明るさ毎のピクセル数や割合を取得する。
<図3のステップ102:類似度算出>
次に、類似度判定部122による類似度判定の処理をステップ102、103において説明する。ここでは図4を適宜参照して説明する。まず、ステップ102を説明する。
次に、類似度判定部122による類似度判定の処理をステップ102、103において説明する。ここでは図4を適宜参照して説明する。まず、ステップ102を説明する。
本実施の形態における類似度判定情報格納部123は、実行形式ファイルではないファイル(例:文書ファイル)のアイコン画像として一般に良く知られているアイコン画像である基本アイコン画像の特徴情報を格納している。このような基本アイコン画像は、実行形式ファイルではないファイルのアイコン画像として周知のアイコン画像なので、基本アイコン画像を周知アイコン画像と称することもできる。
図4は、基本アイコン画像の特徴情報の一例を示しており、この例では、基本アイコン画像の特徴情報として、上述したRGB、減色、エッジ、カラーの各情報が格納されている。なお、これは一例に過ぎない。例えば、複数の特徴情報を組み合わせた特徴情報を格納してもよい。この場合は、対象アイコン画像についても同じく当該複数の特徴情報を組み合わせた特徴情報を算出し、比較を行う。
類似度判定部122は、類似度判定情報格納部123に格納されている各基本アイコン画像の特徴情報と、対象アイコン画像の特徴情報との間の類似度を算出する。この類似度は、各基本アイコン画像と対象アイコン画像との間の類似度に相当する。特徴情報間の類似度の算出方法は特定の方法に限定されず、数値等の情報間の類似度(どの程度似ているか)を算出できる方法であればどのような方法を用いてもよい。
なお、実際にメールに添付されるファイルのアイコン画像には、例えば、256画素、48画素、16画素というように様々なサイズがある。そこで、例えば図5(a)に示すように、所定サイズの基本アイコン画像から特徴情報を抽出して類似度判定情報格納部123に格納しておき、対象アイコン画像を当該所定サイズに変換した後(正規化した後)に特徴抽出を行って、基本アイコン画像の特徴情報との類似度を求めることができる。
また、図5(b)に示すように、基本アイコン画像の特徴情報をサイズ毎に準備しておき、対象アイコン画像から特徴情報を抽出し、当該対象アイコン画像のサイズと同じサイズの基本アイコン画像の特徴情報との比較により類似度を算出することとしてもよい。また、図5(c)に示すように、サイズ毎に異なる特徴抽出方式を適用して類似度を算出してもよい。
<図3のステップ103:閾値判定>
類似度判定情報格納部123には、予め定めた閾値が格納されており、類似度判定部122は、ステップ102で算出した類似度に基づいて、類似度が閾値以上となる特徴情報を持つ基本アイコン画像が存在するか否かを判定する。本実施の形態では、当該基本アイコン画像が存在する場合、その数は1であることを想定するが、複数であっても構わない。ステップ103での判定結果がYes(存在する)である場合はステップ104に進み、No(存在しない)である場合はステップ106に進む。なお、本実施の形態では、類似度は0〜1の値をとることを想定し、閾値を0〜1の値としている。また、閾値は、例えば、実験等により、適切な値を決定することができる。
類似度判定情報格納部123には、予め定めた閾値が格納されており、類似度判定部122は、ステップ102で算出した類似度に基づいて、類似度が閾値以上となる特徴情報を持つ基本アイコン画像が存在するか否かを判定する。本実施の形態では、当該基本アイコン画像が存在する場合、その数は1であることを想定するが、複数であっても構わない。ステップ103での判定結果がYes(存在する)である場合はステップ104に進み、No(存在しない)である場合はステップ106に進む。なお、本実施の形態では、類似度は0〜1の値をとることを想定し、閾値を0〜1の値としている。また、閾値は、例えば、実験等により、適切な値を決定することができる。
<図3のステップ104:危険性通知画面表示処理>
ステップ103での判定の結果、類似度が閾値以上となる特徴情報を持つ基本アイコン画像が存在することを検知すると、図4に示すように、類似度判定部122は、当該基本アイコン画像に対応するファイル種類名(例:PDF)と、類似度の値を危険性通知制御部124に渡す。類似度が閾値以上となる特徴情報を持つ基本アイコン画像が存在することを検知したことは、対象アイコン画像が巧妙に偽装されており、添付ファイルがマルウェアである可能性が高い(添付ファイルの危険性が高い)ことを検知したことに相当する。
ステップ103での判定の結果、類似度が閾値以上となる特徴情報を持つ基本アイコン画像が存在することを検知すると、図4に示すように、類似度判定部122は、当該基本アイコン画像に対応するファイル種類名(例:PDF)と、類似度の値を危険性通知制御部124に渡す。類似度が閾値以上となる特徴情報を持つ基本アイコン画像が存在することを検知したことは、対象アイコン画像が巧妙に偽装されており、添付ファイルがマルウェアである可能性が高い(添付ファイルの危険性が高い)ことを検知したことに相当する。
ファイル種類名と類似度を受け取った危険性通知制御部124は、危険性通知画面の情報を作成し、当該情報を危険性通知画面表示部140に渡すことにより、危険性通知画面表示部140に危険性通知画面を表示させる。
図6に、危険性通知画面の一例を示す。図6に示す例では、危険性検知の対象となっている添付ファイルのアイコン画像、閾値、閾値以上であると判定されたファイル種類名(類似アイコン)、対象アイコン画像の類似度、危険性評価が表示されている。ここで、危険性評価の値については、例えば、類似度に対応付て予め定めておき、危険性通知制御部124が、類似度に対応する危険性評価の値(高、中、低、など)を決定する。類似度が高いほうが、巧妙な偽装が施されており、危険性は高いと判断できる。なお、図6には、閾値や類似度の値が示されているが、これらの値は表示しなくてもよい。また、危険性の程度を評価することを行わずに、閾値以上の類似度が得られた場合に、危険である(危険性がある)旨の通知を行ってもよい。
また、図3のフローの例では、類似度が閾値以上の添付ファイルのみを危険性通知画面表示の対象とするが、類似度の大きさに関わらずに、危険性通知画面表示を行ってもよい。その場合、例えば、類似度が最大となる基本アイコン画像のファイル種類名等を表示する。
<図3のステップ105:利用者からの指示に基づく処理>
利用者は、ステップ104において表示された危険性通知画面を見て、「メール受信」又は「メール廃棄」を選択する。
利用者は、ステップ104において表示された危険性通知画面を見て、「メール受信」又は「メール廃棄」を選択する。
利用者が「メール受信」を選択すると、「メール受信」に相当する指示情報が、危険性通知画面表示部140から危険性通知制御部124に渡され、危険性通知制御部124は、「メール受信」の処理をメール受信制御部110に対して依頼する。「メール受信」の処理依頼を受けたメール受信制御部110は、メール一時格納部111から対象メールを取り出し、当該対象メールをメーラ130に送信する。これにより、クライアント端末(アイコン画像偽装検知装置100)において、メールを正常に受信できる。
一方、利用者が「メール廃棄」を選択すると、「メール廃棄」に相当する指示情報が危険性通知制御部124に渡され、危険性通知制御部124は、「メール廃棄」の処理をメール受信制御部110に対して依頼する。「メール廃棄」の処理依頼を受けたメール受信制御部110は、メール一時格納部111に格納されている対象メールを削除する。
<図3のステップ106:メール受信依頼>
ステップ103において、類似度が閾値以上となる基本アイコン画像が存在しない場合、類似度判定部122は、閾値以上となる基本アイコン画像が存在しないことを危険性通知制御部124に通知し、危険性通知制御部124は、「メール受信」の処理をメール受信制御部110に対して依頼する。「メール受信」の処理依頼を受けたメール受信制御部110は、メール一時格納部111から対象メールを取り出し、当該対象メールをメーラ130に送信する。
ステップ103において、類似度が閾値以上となる基本アイコン画像が存在しない場合、類似度判定部122は、閾値以上となる基本アイコン画像が存在しないことを危険性通知制御部124に通知し、危険性通知制御部124は、「メール受信」の処理をメール受信制御部110に対して依頼する。「メール受信」の処理依頼を受けたメール受信制御部110は、メール一時格納部111から対象メールを取り出し、当該対象メールをメーラ130に送信する。
対象アイコン画像が、いずれの基本アイコン画像に対しても類似度が低い場合であっても、添付ファイルがマルウェアである可能性は低いとはいえないが、利用者は目視で見慣れないファイルであることを認識でき、注意をはらうことができるため、例えば添付ファイルをクリックせずに削除するといった対応をとることができる。その意味で、類似度が低い対象アイコン画像を危険性が低い(不注意にクリックしてしまう可能性が低い)と判断することができるため、本実施の形態では、上記のようにメーラ130へメールを送信することとしている。
一方、いずれかの基本アイコン画像との類似度が高い場合、対象アイコン画像と基本アイコン画像が似ており、利用者が添付ファイルを通常の文書ファイルであると認識して、不注意に添付ファイルをクリックしてしまう可能性が高くなるが、本実施の形態では、この類似度の高さを自動的に検知して、利用者に偽装の危険性が高いことを通知することとしているので、不注意な添付ファイルのクリックを防止できる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
100 アイコン画像偽装検知装置
110 メール受信制御部
111 メール一時格納部
120 アイコン画像危険性検知部
121 アイコン画像抽出部
122 類似度判定部
123 類似度判定情報格納部
124 危険性通知制御部
130 メーラ
140 危険性通知画面表示部
200 メールサーバ
110 メール受信制御部
111 メール一時格納部
120 アイコン画像危険性検知部
121 アイコン画像抽出部
122 類似度判定部
123 類似度判定情報格納部
124 危険性通知制御部
130 メーラ
140 危険性通知画面表示部
200 メールサーバ
Claims (4)
- アイコン画像に基づいてファイルの危険性を判定するファイル危険性判定装置であって、
所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段と、
ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出手段と、
前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定手段と、
前記判定手段により判定された前記対象ファイルの危険性に関する情報を出力する出力手段と
を備えることを特徴とするファイル危険性判定装置。 - 前記判定手段は、前記類似度が所定の閾値以上となる基本アイコン画像が存在する場合に、前記対象ファイルに危険性があると判定する
ことを特徴とする請求項1に記載のファイル危険性判定装置。 - アイコン画像に基づいてファイルの危険性を判定するファイル危険性判定装置が実行するファイル危険性判定方法であって、
前記ファイル危険性判定装置は、所定のファイルのアイコン画像である基本アイコン画像の特徴情報を当該所定のファイルの種類毎に格納する情報格納手段を備え、
ネットワークから危険性判定対象となる対象ファイルを受信し、当該対象ファイルのアイコン画像の特徴情報を抽出する抽出ステップと、
前記対象ファイルのアイコン画像の特徴情報と、前記基本アイコン画像の特徴情報との類似度を前記所定のファイルの種類毎に算出し、算出された類似度に基づいて前記対象ファイルの危険性を判定する判定ステップと、
前記判定ステップにより判定された前記対象ファイルの危険性に関する情報を出力する出力ステップと
を備えることを特徴とするファイル危険性判定方法。 - コンピュータを、請求項1又は2に記載のファイル危険性判定装置における各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014068266A JP2015191458A (ja) | 2014-03-28 | 2014-03-28 | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014068266A JP2015191458A (ja) | 2014-03-28 | 2014-03-28 | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015191458A true JP2015191458A (ja) | 2015-11-02 |
Family
ID=54425891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014068266A Pending JP2015191458A (ja) | 2014-03-28 | 2014-03-28 | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015191458A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5954915B1 (ja) * | 2016-02-05 | 2016-07-20 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| JP5982597B1 (ja) * | 2016-03-10 | 2016-08-31 | 株式会社Ffri | 情報処理装置、情報処理方法、プログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP6068711B1 (ja) * | 2016-06-10 | 2017-01-25 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| JP6069685B1 (ja) * | 2016-02-05 | 2017-02-01 | 株式会社ラック | アイコン表示装置、アイコン表示方法およびプログラム |
| WO2017135249A1 (ja) * | 2016-02-05 | 2017-08-10 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| CN109117635A (zh) * | 2018-09-06 | 2019-01-01 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
| KR102058393B1 (ko) * | 2017-11-30 | 2019-12-23 | 국민대학교산학협력단 | 스케치 기반의 영상표절 검사 방법 및 장치 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010198565A (ja) * | 2009-02-27 | 2010-09-09 | Hitachi Ltd | 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 |
-
2014
- 2014-03-28 JP JP2014068266A patent/JP2015191458A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010198565A (ja) * | 2009-02-27 | 2010-09-09 | Hitachi Ltd | 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5954915B1 (ja) * | 2016-02-05 | 2016-07-20 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| JP6069685B1 (ja) * | 2016-02-05 | 2017-02-01 | 株式会社ラック | アイコン表示装置、アイコン表示方法およびプログラム |
| WO2017135249A1 (ja) * | 2016-02-05 | 2017-08-10 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| WO2017135233A1 (ja) * | 2016-02-05 | 2017-08-10 | 株式会社ラック | アイコン表示装置、アイコン表示方法およびプログラム |
| JP5982597B1 (ja) * | 2016-03-10 | 2016-08-31 | 株式会社Ffri | 情報処理装置、情報処理方法、プログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP6068711B1 (ja) * | 2016-06-10 | 2017-01-25 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| KR102058393B1 (ko) * | 2017-11-30 | 2019-12-23 | 국민대학교산학협력단 | 스케치 기반의 영상표절 검사 방법 및 장치 |
| CN109117635A (zh) * | 2018-09-06 | 2019-01-01 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2018217323B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| JP2015191458A (ja) | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム | |
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| CA2856729C (en) | Detecting malware using stored patterns | |
| US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
| US9213837B2 (en) | System and method for detecting malware in documents | |
| US9686303B2 (en) | Web page vulnerability detection method and apparatus | |
| US11470097B2 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
| US8256000B1 (en) | Method and system for identifying icons | |
| US9003314B2 (en) | System, method, and computer program product for detecting unwanted data based on an analysis of an icon | |
| JP6500086B2 (ja) | 二次元コードの解析方法および装置、コンピュータ読み取り可能な記憶媒体、コンピュータプログラムおよび端末機器 | |
| US11809556B2 (en) | System and method for detecting a malicious file | |
| JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
| US8677495B1 (en) | Dynamic trap for detecting malicious applications in computing devices | |
| JP2020057295A (ja) | メール検査システム、メール検査方法およびメール検査プログラム | |
| JP2015028790A (ja) | 情報処理装置、プログラム及び情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170308 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170801 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171002 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20171107 |