JP2017130921A - 悪意の電子メッセージを検出するための技術 - Google Patents

悪意の電子メッセージを検出するための技術 Download PDF

Info

Publication number
JP2017130921A
JP2017130921A JP2017001084A JP2017001084A JP2017130921A JP 2017130921 A JP2017130921 A JP 2017130921A JP 2017001084 A JP2017001084 A JP 2017001084A JP 2017001084 A JP2017001084 A JP 2017001084A JP 2017130921 A JP2017130921 A JP 2017130921A
Authority
JP
Japan
Prior art keywords
message
malicious
signature
receiving device
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017001084A
Other languages
English (en)
Other versions
JP6904709B2 (ja
Inventor
ハーガー マーティン
Hager Martin
ハーガー マーティン
グラウフォーグル ミヒャエル
Grauvogl Michael
グラウフォーグル ミヒャエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Retarus GmbH
Original Assignee
Retarus GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Retarus GmbH filed Critical Retarus GmbH
Publication of JP2017130921A publication Critical patent/JP2017130921A/ja
Application granted granted Critical
Publication of JP6904709B2 publication Critical patent/JP6904709B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】メッセージ送信装置からメッセージ受信装置へ送信される悪意の電子メッセージを検出する。
【解決手段】メッセージ送信装置からメッセージ受信装置へ送信される電子メッセージに係るシグネチャを生成し、生成されたシグネチャを記憶し、電子メッセージが悪意のメッセージであるか否かを判定し、電子メッセージが悪意のメッセージであると判定される場合、生成されたシグネチャに基づき、悪意のメッセージであると判定されたメッセージと同一視可能な電子メッセージが過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置へ送信されたものであるか否かを判定し、悪意のメッセージであると判定されたメッセージと同一視可能な電子メッセージが過去に悪意のないメッセージに分類されて少なくとも1つのメッセージ受信装置へ送信されたものであると判定される場合、脅威の可能性についてメッセージ受信装置に通知する。
【選択図】図3a

Description

本発明は概して、情報技術のセキュリティの側面に関する。特に本発明は、少なくとも1つのメッセージ送信装置から少なくとも1つのメッセージ受信装置へ送信される悪意の電子メッセージを検出するための技術に関する。
背景技術
電子メールメッセージ(またはEメール)、インスタントメッセージおよびファックス等の電子メッセージは、互いに情報を交換するための選り抜きの手法である。電子メッセージの使用が非常に広く普及されるにつれて、Eメール等の電子メッセージがマルウェア拡散のために使用されることが多くなったことは、驚くことではない。本願において「マルウェア」または「悪意のソフトウェア」との用語は、コンピュータ動作を妨害し、脆弱な情報を収集し、または個人用もしくは共用のコンピュータシステムへのアクセス権限を得るために使用される全てのソフトウェアまたはソフトウェア部分をいう。電子メッセージに埋め込まれまたは添付されて電子メッセージを介して配布されるマルウェアは特に、ウィルス、ワーム、トロイの木馬、ランサムウェア、スケアウェア、アドウェアおよび/または他の悪意のプログラムを含み得る。
通信ネットワークにおけるマルウェア拡散を阻止するため、種々の保護手法または戦法に従った数多くのアンチマルウェア手段が市場に流通している。たとえば、到着した全てのネットワークデータをスキャンしてマルウェアの有無を検出し、検出されたいかなる脅威も直ちにブロックすることによって、コンピュータ装置への悪意のソフトウェアのインストールのリアルタイム防止を実現するように構成されたアンチマルウェア手段が入手可能である。また、コンピュータ装置上に既にインストールされた悪意のソフトウェアを検出して除去するように構成されたアンチマルウェア手段も入手可能である。
さらに、通信ネットワークにおいてマルウェア拡散を効率的に阻止するため、1つまたは複数のメッセージ送信装置から送信されたメッセージを1つまたは複数のメッセージ受信装置へ転送するように構成された、通信ネットワークの遠隔のメッセージングサーバに対応して、適切なアンチマルウェア手段が提供されている。かかるアンチマルウェア手段は通常、各メッセージごとにアンチマルウェア検査を行うように構成されたソフトウェアモジュールまたはハードウェアモジュールをメッセージングサーバに実装した形態で実現される。具体的には、メッセージングサーバはメッセージをスキャンしてマルウェアの有無を検出し、異常無しのメッセージのみ(すなわち悪意のないメッセージのみ)がメッセージ受信装置へ転送されるのに対し、悪意のメッセージは受信装置に到達することができる前に既に、メッセージングサーバによってフィルタリング除去される。
かかるアンチマルウェア手段は通常、メッセージ内容と既知のウィルスシグネチャとの比較に基づいて機能する。ウィルスシグネチャは、特定のウィルスの指紋として使用できるアルゴリズムまたは静的ハッシュ(すなわち、当該ウィルスに対して一意のコードの一部分の数値)である。かかるアンチマルウェア検出技術は非常に効率的であるが、アンチマルウェアソフトウェアに既知であるウィルスしか効率的にフィルタリング除去できないという欠点を有する。アンチマルウェアモジュールの既知のウィルスシグネチャを定期的に更新している場合であっても、最新世代のマルウェア(いわゆる「ゼロデイマルウェア」)は未検出のままになり得るというある程度のリスクは存在する。よって、通信システムまたは通信ネットワークのための公知のアンチマルウェア検出は、最新世代のマルウェアが比較的長期間にわたって未検出のままになるというリスクを有する。これにより、誤って異常無しと判断された悪意のメッセージがフィルタリング除去されることなくメッセージ受信装置へ転送されてしまう場合がある。
したがって、上記の技術的欠点を解消できる、通信ネットワークにおける効率的なマルウェア検出技術を実現する必要がある。
発明の概要
上記にて特定した技術的問題を解消するため、第1の側面では、少なくとも1つのメッセージ送信装置から少なくとも1つのメッセージ受信装置へ送信される悪意の電子メッセージの検出方法を提供する。本方法は、
前記少なくとも1つのメッセージ送信装置から前記少なくとも1つのメッセージ受信装置へ送信される電子メッセージに係る少なくとも1つのシグネチャを生成するステップと、
生成された少なくとも1つのシグネチャをデータ記憶ユニットに記憶するステップと、
電子メッセージが悪意のメッセージであるか否かを判定するステップと、
電子メッセージが悪意のメッセージであると判定される場合、生成された少なくとも1つのシグネチャに基づき、悪意のメッセージであると判定されたメッセージと同一視可能な電子メッセージが過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置へ送信されたものであるか否かを判定するステップと、
悪意のメッセージであると判定されたメッセージと同一視可能な電子メッセージが過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置へ送信されたものであると判定される場合、脅威の可能性について当該少なくとも1つのメッセージ受信装置に通知するステップと
を有する。
本発明において「電子メッセージ」(または単に「メッセージ」)との用語は、広義に解すべき場合がある。「電子メッセージ」または「メッセージ」とは、記号、英字ならびに/もしくは数字およびグラフィック要素等の形態のメッセージを含む全てのデジタルデータ項目または全てのデジタルデータ部分であって、マルウェアを埋め込みまたは添付するために使用できるものを指すことができる。たとえば「電子メッセージ」または「メッセージ」とは、電子メールメッセージ、インスタントメッセージまたは他の全ての種類の電子メッセージを指すことができる。
本方法は、メッセージングサーバ上で実施することができる。メッセージングサーバは、少なくとも1つのメッセージ送信装置から少なくとも1つのメッセージ受信装置へメッセージを送信できる通信ネットワーク内に配置することができる。メッセージングサーバは、メッセージを少なくとも1つのメッセージ送信装置から、当該メッセージの送信先である少なくとも1つのメッセージ受信装置へ転送するように構成することができる。こうするためには、メッセージングサーバを少なくとも1つのメッセージ送信装置および少なくとも1つのメッセージ受信装置と(連続)通信接続することができる。サーバは、上記方法を実施するように構成された単独のコンピュータ装置、または分散された複数のコンピュータ装置を含むコンピュータシステムとして実装することができる。
少なくとも1つのメッセージ送信装置は、たとえばスマートフォン、タブレット、パーソナルコンピュータおよび/または他の任意の個人用もしくは共用のコンピュータ装置等、電子メッセージを送信するように構成された任意の装置とすることができる。少なくとも1つのメッセージ受信装置も同様に、たとえばスマートフォン、タブレット、パーソナルコンピュータおよび/または他の任意の個人用もしくは共用のコンピュータ装置等、電子メッセージを送信するように構成された任意の装置とすることができる。
少なくとも1つのシグネチャを生成するステップ、少なくとも1つのシグネチャをデータ記憶ユニットに記憶するステップ、および、メッセージが悪意のメッセージであるか否かを判定するステップは、少なくとも1つのメッセージ受信装置へ送信される新規のメッセージごとに(すなわち、連続的なメッセージフローでは、現時点で受信されているメッセージごとに)繰り返し実施することができる。具体的にはメッセージングサーバは、少なくとも1つのメッセージ送信装置から現時点で受信されているメッセージごとに、シグネチャ生成ステップと、記憶ステップと、アンチマルウェア判定ステップとを繰り返すことができる。このようにして、時間の経過と共に多数のシグネチャを収集することができ、各シグネチャを、受信および配布された特定のメッセージに関連付けることができる。よって、データ記憶ユニットは多数のメッセージシグネチャを含むことができ、これら多数のメッセージシグネチャを、過去に少なくとも1つのメッセージ受信装置へ受信および配布されたメッセージと関連付けることができる。
さらに、特定の悪意の振舞いまたは悪意の内容が初めて識別された新規受信されたメッセージについて、悪意のメッセージであると判定されたメッセージと同一視可能なメッセージが過去に悪意のないメッセージに分類されて少なくとも1つのメッセージ受信装置へ送信されたものであるか否かを判定する上述のステップ(すなわち、請求項1におけるステップd)、および、脅威の可能性について当該少なくとも1つのメッセージ受信装置に通知するステップ(すなわち、請求項1におけるステップe)を繰り返し実施することもできる。新規受信された異常無しのメッセージ(すなわち、悪意の振舞いまたは悪意の内容が検出されなかったメッセージ)については、これらのステップを省略することができる。
悪意のメッセージであると判定されたメッセージと同一視可能なメッセージが過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置へ送信されたものであるか否かを判定するステップ(すなわち、請求項1のステップd)はさらに、以下のサブステップ:
過去に送信されたメッセージと関連付けることができる、データ記憶ユニットに既に記憶されたシグネチャと、悪意のメッセージであると判定されたメッセージの少なくとも1つのシグネチャを比較するサブステップと、
過去に送信されたメッセージのシグネチャであって、悪意のメッセージであると判定されたメッセージの少なくとも1つのシグネチャと同一視可能であると判定されたシグネチャを、データ記憶ユニットから選択するサブステップと
のうち少なくとも1つを含むことができる。データ記憶ユニットに記憶されているシグネチャと、悪意のメッセージであると判定されたメッセージの少なくとも1つのシグネチャとが互いに同一または高度に類似する場合、データ記憶ユニットに記憶されているシグネチャは、悪意のメッセージであると判定されたメッセージの少なくとも1つのシグネチャと同一視可能であるとみなすことができる。2つのシグネチャが高度に類似するか否かは、当該2つのシグネチャ間の類似度が、予め定められた閾値を超えるか否かを判断することにより判定することができる。
少なくとも1つのシグネチャを生成するステップはさらに、少なくとも1つのメッセージ受信装置へ送信される各電子メッセージに対してメッセージ識別子(ID)を生成することを含むことができる。また、生成された少なくとも1つのシグネチャをデータ記憶ユニットに記憶するステップはさらに、送信される各メッセージごとに、生成されたメッセージIDを、当該生成された少なくとも1つのシグネチャと共に当該データ記憶ユニットに記憶することを含むことができる。生成されたシグネチャと、対応するIDとを関連付けることにより、データ記憶ユニット内の各シグネチャを、後の時期に特定のメッセージ受信装置へ送信される特定のメッセージと関連付けることができる。
1つの実施形態では、少なくとも1つのシグネチャを生成するステップはさらに、送信される各メッセージごとに、送信された当該メッセージを後の時期にて分類するのに適した特定のメッセージ情報を生成することを含むことができる。生成されたこの特定のメッセージ情報は、生成された少なくとも1つのシグネチャ(および生成されたID)と共に、データ記憶ユニットに記憶することができる。生成された特定のメッセージ情報は、
メッセージの送信時期、
メッセージ送信者情報、
メッセージ宛先情報、および、
メッセージ添付物に関する情報
のうち少なくとも1つを含むことができる。よって、生成された特定のメッセージ情報を使用して、特定のメッセージがいつ送信されたか、どのメッセージ送信装置から当該特定のメッセージが受信されたのか、および/または、どのメッセージ受信装置へ当該特定のメッセージが送信されたのかを識別することができる。
送信される各メッセージごとに、
少なくとも1つのメッセージ添付物特性と、
送信元のメッセージ送信装置のURL情報と
のうち少なくとも1つに基づいて、少なくとも1つのシグネチャを生成することができる。メッセージ添付物特性としては、添付物の名前、添付物のファイル種類(たとえば、添付物がテキストファイル、音楽ファイル、画像ファイル等であるか否か)、およびファイル拡張情報(たとえばファイルが実行可能なファイルであるか)のうち少なくとも1つを使用することができる。添付物特性は、ハッシュ値として設けることができる。URL情報は、URL全部を含むことができ、または、URLのうち特定のメッセージ送信装置と関連付けることができる一部分を含むことができる。
電子メッセージが悪意のメッセージであるか否かを判定するステップは、当該電子メッセージと既知のウィルスシグネチャとを比較すること、および、メッセージが当該既知のウィルスシグネチャのうち1つと十分に一致する場合には当該電子メッセージを悪意のメッセージに分類することを含むことができる。比較を行うためには、既知のウィルスシグネチャを含むブラックリスト(BL)を使用することができる。既知のウィルスシグネチャを含むこのBLは、アンチウィルスソフトウェア販売者によって提供することができ、定期的に更新することができる。これと共に、またはこれに代えて、悪意の電子メッセージを検出するためにヒューリスティック手法を用いることもできる。
1つの実施形態では、少なくとも1つのメッセージ受信装置に通知するステップは、過去に送信された特定のメッセージが悪意のメッセージであること(すなわち、脅威を有する可能性があること)を示す情報を、当該少なくとも1つのメッセージ受信装置へ供給することを含むことができる。
本方法はさらに、
メッセージが悪意のないメッセージに分類された場合、(宛先に指定された)少なくとも1つのメッセージ受信装置へ当該メッセージを送信するステップと、
メッセージが悪意のメッセージに分類された場合、当該メッセージをブロックするステップと
を含むことができる。
他の1つの側面では、コンピュータ装置上(たとえばメッセージングサーバ上等)において実行されるときに上記の方法を実施するために構成されたプログラムコード部分を含むコンピュータプログラム製品を提供する。かかるコンピュータプログラム製品は、(非一時的な)コンピュータ可読記録媒体上に記憶することができる。
他の1つの側面では、少なくとも1つのメッセージ送信装置から受信した電子メッセージを少なくとも1つのメッセージ受信装置へ送信するように構成されたメッセージングサーバを提供する。メッセージングサーバはさらに、悪意の電子メッセージを検出するように構成されており、以下の構成要素:
前記少なくとも1つのメッセージ送信装置から前記少なくとも1つのメッセージ受信装置へ送信される電子メッセージに対応する少なくとも1つのシグネチャを生成するように構成された生成ユニットと、
生成された少なくとも1つのシグネチャを記憶するように構成されたデータ記憶ユニットと、
電子メッセージが悪意のメッセージであるか否かを判定するように構成されたアンチウィルスユニットと、
悪意のメッセージであると判定される場合、悪意のメッセージであると判定されたメッセージと同一視可能である電子メッセージが過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置へ送信されたものであるか否かを判定するように構成された判定ユニットと、
悪意のメッセージであると判定されたメッセージと同一視可能な電子メッセージが過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置へ送信されたものであると判定される場合、少なくとも1つのメッセージ受信装置に対して脅威の可能性をシグナリングするように構成されたシグナリングユニットと
を備える。
メッセージングサーバは、少なくとも1つのメッセージ送信装置および少なくとも1つのメッセージ受信装置から遠隔地にあるネットワーク内に配置された単独のコンピュータ装置の形態または分散された複数のコンピュータ装置の形態で実装することができる。メッセージングサーバは、少なくとも1つのメッセージ送信装置からメッセージを受信するため、および、受信したメッセージを少なくとも1つのメッセージ受信装置へ送信するため、少なくとも1つのメッセージ送信装置および少なくとも1つのメッセージ受信装置と(連続)通信接続することができる。
さらに他の1つの側面では、上記のメッセージングサーバと、少なくとも1つのメッセージ送信装置と、少なくとも1つのメッセージ受信装置とを備えたメッセージングシステムを提供する。メッセージングサーバは、当該少なくとも1つのメッセージ送信装置および少なくとも1つのメッセージ受信装置と通信接続されている。
以下の図面を参酌すれば、本願にて開示している発明の他の具体的構成、側面および利点が明らかである。
本発明の一実施例の、悪意の電子メッセージを検出するように構成されたメッセージングシステムを示すブロック図である。 本発明の一実施例の、悪意の電子メッセージを検出するように構成されたメッセージングサーバを示すブロック図である。 本発明の一実施例の悪意の電子メッセージの検出方法を示すフローチャートである。 本発明の一実施例の悪意の電子メッセージの検出方法を示すフローチャートである。 図3の方法の他の概略図である。
詳細な説明
以下の記載では説明を目的として、本願にて開示されている技術を詳しく理解できるようにするため、特定の具体的な詳細事項を記載しているが、これは本発明を限定するためのものではない。当業者であれば、これらの特定の具体的な詳細事項と相違する他の実施形態においても、開示されている技術を実施できることは明らかである。
図1は、一実施例のメッセージングシステム1を示すブロック図であり、これは、悪意の電子メッセージを検出するための以下説明する技術を具現化することができるものである。
メッセージングシステム1は、少なくとも1つのメッセージングサーバ1000と、1つまたは複数のメッセージ送信装置110,120,130と、1つまたは複数のメッセージ受信装置210,220,230とを備えている。1つまたは複数のメッセージ送信装置110,120,130および1つまたは複数のメッセージ受信装置210,220,230はそれぞれ、ポータブルユーザ端末(たとえばPDA、携帯電話機、スマートフォン、ノートブック等)または据置型コンピュータ装置の形態で実現することができる。メッセージングサーバ1000は、単独のコンピュータ装置の形態で、または、ネットワーク2を介して分散されている2つ以上のコンピュータ装置の形態で実現することができる。本発明は、メッセージングサーバ1000、メッセージ送信装置110,120,130およびメッセージ受信装置210,220,230の上述のハードウェア実装の具体的構成に依存するものではない。
図1に示されているように、メッセージングサーバ1000は、対応するメッセージ送信装置110,120,130およびメッセージ受信装置210,220,230から遠隔地に配置されている。メッセージングサーバ1000は、1つまたは複数のメッセージ送信装置110,120,130から受信したメッセージ100を、当該メッセージの送信先である1つまたは複数の特定のメッセージ受信装置210へ転送するように構成されている。こうするためにはメッセージングサーバ1000は、各メッセージ送信装置110,120,130および各メッセージ受信装置210,220,230と(連続)通信接続されるように設置されている。メッセージングサーバ1000と、対応するメッセージ送信装置110,120,130およびメッセージ受信装置210,220,230との間の通信は、対応する無線通信路および/または有線通信路を介して確立することができる。さらに、メッセージ送信装置110,120,130とメッセージ受信装置210,220,230との間で1つまたは複数のメッセージ100を伝送するために、任意の公知の通信規格を使用することもできる。たとえば、メッセージ伝送のためにTCP/IPプロトコルを用いることができる。
メッセージングサーバ1000は、通信するメッセージ送信装置110,120,130から1つまたは複数のメッセージ100を受信して、この受信したメッセージ100を、当該受信したメッセージ100の宛先に指定された対応するメッセージ受信装置210,220,230へ転送するように構成されている。図1に示されている実施例ではメッセージングサーバ1000は、メッセージ送信装置110から受信したメッセージ100を、宛先に指定されたメッセージ受信装置230へ転送するように構成されている。
サーバ1000はさらに、受信した各メッセージ100ごとに、当該メッセージ100を対応するメッセージ受信装置210,220,230へ転送する前にアンチマルウェア検査(たとえばアンチウィルススキャン)を行うように構成されている。サーバ1000は、悪意のメッセージ(すなわち、悪意の内容を含むメッセージ)であると識別されたメッセージ100を全部ブロックし、これに対して、悪意のないメッセージ(すなわち異常無しのメッセージ)であると識別されたメッセージ100は、対応するメッセージ受信装置210,220,230へ直接転送される。
図2を参照して、メッセージングサーバ1000の構造および機能を詳細に説明する。
サーバ1000は、生成ユニット1010とアンチウィルスユニット1020(図2では「AVユニット」という)と比較ユニット1030とシグナリングユニット1040とデータ記憶ユニット1050とを備えている。サーバ1000はさらに、第1の通信インタフェース1070と第2の通信インタフェース1080とを備えている。ユニット1010,1020,1030,1040,1050およびインタフェース1070,1080は互いに通信接続されている。
生成ユニット1010、比較ユニット1030、シグナリングユニット1040およびAVユニット1020はそれぞれ、別個のソフトウェアモジュール、ハードウェアモジュールまたはソフトウェア/ハードウェア複合モジュールとして実装することができる。これに代えて、生成ユニット1010、比較ユニット1030、シグナリングユニット1040およびAVユニット1020を、図1において点線のボックスにより示されているように、1つの共同で構成されたソフトウェアおよび/またはハードウェアモジュールのサブモジュールとして実装することもできる。当業者であれば、プログラミングされたマイクロプロセッサと協働するソフトウェアを使用して、特定用途集積回路(ASIC)、デジタル信号処理プロセッサ(DSP)または汎用コンピュータを使用して、上述のユニット1010,1020,1030,1040を実装できることが明らかである。
上記の具体的構成の如何にかかわらず、生成ユニット1010は入力ユニット1070と通信接続されており、当該入力ユニット1070から受信したメッセージ100に基づいて、各電子メッセージ100ごとに少なくとも1つのシグネチャを生成する。1つの実施形態では生成ユニット1010は、少なくとも1つのシグネチャが生成される各メッセージ100ごとに、メッセージ識別子(ID)も生成するように構成されている。
データ記憶ユニット1050は各メッセージ100ごとに、生成ユニット1010によって生成されて引き渡された上述の少なくとも1つのシグネチャと、これに関連するメッセージIDとを記憶するように構成されている。
AVユニット1020は、入力ユニット1070を介して受信された各電子メッセージ100ごとにアンチウィルス解析(AV解析)を行うように構成されている。AV解析は、アンチウィルスソフトウェア販売者により提供される更新可能なブラックリスト(BL)に基づいて行われる比較解析を含む。BLは、全ての既知のマルウェアのマルウェアシグネチャの完全なリストを含み、これとメッセージ内容(メッセージ添付物を含む)が比較される。さらに、BLは更新可能であるから、BLに最新のマルウェアシグネチャを定期的に追加することも可能である。ここで留意すべき点は、本発明は特定のAV解析技術に依存しないことである。また、AVユニット1020が上述のBL比較の他にさらに、ヒューリスティック技術および/またはエミュレーション技術を使用することも可能である。さらに、受信されたメッセージ100について1つまたは複数のAV検査を行うため、上述のAVユニット1020に代えて、またはAVユニット1020と共に、外部のAV解析システムまたは外部のAV解析サービスを使用することも可能である。
AVユニット1020はさらに、悪意の内容を含むと認定されたメッセージ100をフィルタリング除去してブロックするようにも構成されている。かかるメッセージはAVユニット1020によって、悪意のメッセージに分類される。よってAVユニット1020により、異常無しであると認定されたメッセージ100のみをメッセージ受信装置210,220,230へ送信することが可能になる。
比較ユニット1030は、新種の脅威を示す、現時点で受信されているまたは最近受信された悪意のメッセージ100の生成されたシグネチャ(すなわち、ゼロデイマルウェアを含むメッセージに対して生成ユニット1010により生成されたシグネチャ)と、過去に受信されてデータ記憶ユニット1050に記憶されたメッセージ100のシグネチャとを比較するように構成されている。比較ユニット1030はさらに、データ記憶ユニット1050の過去に送信されたメッセージ100に関連付けられたシグネチャであって、現時点で受信されているまたは最近受信された悪意のメッセージ100の生成されたシグネチャと同一視可能であると認定されたシグネチャを選択するようにも構成されている。さらに比較ユニット1030は、この選択されたシグネチャと、これに関連するメッセージIDとに基づき、過去に送信されて異常無しのメッセージ(すなわち悪意のないメッセージ)であると判断された対応するメッセージを識別するようにも構成されている。
シグナリングユニット1040は、識別されたメッセージに基づき、過去に送信された特定のメッセージが悪意のメッセージである可能性があることを示す少なくとも1つの通知105を生成するように構成されている。この(1つまたは複数の)通知105は、過去に異常無しのメッセージであると認定されたが、初めて悪意のメッセージに分類された現在のメッセージの(1つまたは複数の)シグネチャと同一視可能なシグネチャを示すと認定されたメッセージのリストを含むことができる。
第1の通信インタフェース1070は、対応するメッセージ送信装置110,120,130から電子メッセージ100を受信して、この受信した電子メッセージ100を比較ユニット1030およびAVユニット1020へ供給するように構成されている。また第2の通信インタフェース1080は、AVユニット1020によって異常無しであると判定された(よって、AVユニット1020によってブロックされない)メッセージ100を、メッセージ受信装置210,220,230へ送信するように構成されている。さらに第2の通信インタフェース1080は、生成された(1つまたは複数の)通知105を各メッセージ受信装置210,220,230へ送信するようにも構成することができる。両通信インタフェース1070,1080は、各メッセージ送信装置110,120,130とメッセージ受信装置210,220,230との間の通信をどのように実現するかに依存して、無線通信インタフェース(たとえば高周波伝送インタフェース)および/または有線通信インタフェースの形態で実装することができる。
図2に示された各ユニット1010,1020,1030,1040の機能について、図3aおよび図3bの2つのフローチャート300,350を参照して詳細に説明する。両フローチャート300,350は、1つまたは複数のメッセージ送信装置110,120,130から1つまたは複数のメッセージ受信装置210,220,230へ送信される悪意の電子メッセージ100の検出方法を示している。当該方法は、上記にて図2を参照して既に説明されたようなメッセージングサーバ1000において実施され、少なくとも1つのメッセージ送信装置210,220,230から受信された各メッセージ100ごとに、以下のステップを行う。
本方法は、図3aではステップ310により開始する。このステップ310では、受信された各メッセージ100ごとに、メッセージの特性を示す少なくとも1つのシグネチャが生成ユニット1010によって生成される。生成された少なくとも1つのシグネチャは、たとえばメッセージ添付物特性(たとえば、メッセージ添付物の名前、ファイル種類およびファイル拡張の少なくとも1つ)、当該メッセージの送信元であるメッセージ受信装置に関連付けられたURL情報等のメッセージ特性をマッピングすることができる。ここで留意すべき点は、メッセージ100が到着する度にリアルタイムで生成ユニット1010によってメッセージシグネチャが生成されることである。さらに、生成されるメッセージシグネチャは、アンチウィルスソフトウェア販売者によって提供されてAVユニット1020によって使用されるマルウェアシグネチャとは異なることができる。また、シグネチャを後の時期においてメッセージ100に関連付けることができるように、受信された各メッセージ100ごとにメッセージIDが生成され、生成された少なくとも1つのシグネチャに割り当てられる。
また、1つの実施形態ではさらに、送信されたメッセージを分類および識別するのに適した特定のメッセージ情報を各メッセージ100ごとに生成することもできる。かかる情報は、メッセージ時期、メッセージ送信者情報、メッセージ宛先情報、および、当該メッセージを少なくとも1つのメッセージ送信装置110,120,130から受信した時点においてメッセージングサーバ1000が利用できるメッセージ添付物情報のうち少なくとも1つを含むことができる。メッセージ時期は、当該メッセージ100がメッセージ送信装置110,120,130から受信された時点、またはメッセージ受信装置210,220,230へ送信された時点を示すことができる。送信者情報は、名前、IPアドレス、または、受信された当該メッセージ100の送信元であるメッセージ送信装置110,120,130を識別するための他の情報を含むことができる。宛先情報も同様に、名前、IPアドレス、または、当該メッセージ100の送信先となったメッセージ受信装置210,220,230を識別するための他の情報を含むことができる。メッセージ添付物情報はたとえば少なくとも、添付物名前、またはこれに類する、添付物の識別のための情報を含むことができる。
次のステップ315において、受信された各メッセージ100ごとに、生成された少なくとも1つのシグネチャ(およびオプションとして、特定のメッセージ情報)を、生成されたIDと共にデータ記憶ユニット1050に記憶する。よって、少なくとも1つのメッセージ送信装置110,120,130から少なくとも1つのメッセージ受信装置210,220,230への連続的なメッセージフローにおいて、メッセージシグネチャ(およびオプションとして、特定のメッセージ情報)を各メッセージ100ごとに記録し、過去に送信されたメッセージ100がマルウェアを含んでいたか否かを回顧的に解析するために使用できるようにする。
次のステップ320において、受信された各メッセージ100をAVユニット1020へ供給する。AVユニット1020は直ちに、受信されたメッセージ100が悪意のメッセージであるか否かを判定するためにAV解析を行う。受信されたメッセージ100が悪意のメッセージであるか否かを判定するため、AVユニット1020は、上記にて図2を参照して説明したようなAV検出技術を適用することができる。
AVユニット1020によって、受信されたメッセージ100が悪意のメッセージでないと判定された場合(図3aの判断ステップ325および「いいえ」分岐を参照のこと)、メッセージ100は、対応するメッセージ受信装置210,220,230へ送信される(図3aのステップ330)。かかる場合、判断処理がなされているメッセージ100については本方法は終了し、新規受信されたメッセージ100(すなわち、メッセージフローにおいて次に受信されたメッセージ100)について再開する。
しかし、AVユニット1020によって、受信されたメッセージ100が悪意のメッセージであると判定された場合(図3aの「はい」分岐を参照のこと)、少なくとも1つのメッセージ受信装置210,220,230へ送信されるメッセージ100はブロックされる。オプションとして、メッセージ100が悪意のメッセージに分類されたのでブロックされたことを示す通知を、宛先に指定されたメッセージ受信装置302,304,306へ送信することができる(図3aでは示されていない)。
AVユニット1020によって、受信されたメッセージ100が悪意のメッセージであると判定された場合(図3aの「はい」分岐を参照のこと)、追加的にさらに次のステップ345において、この悪意のメッセージ100が、現時点までにAVユニット1020によって検出されたことがない新規のマルウェア(すなわち新規の脅威)を含むか否かを検査する。具体的には、マルウェアと判定されたものが、アンチウィルスソフトウェア供給者によって提供される最新のマルウェアシグネチャを考慮した場合にしかAVユニット1020によって検出できないゼロデイマルウェアであるか否かを検査する。マルウェアまたは脅威であると判定されたものが既に過去に検出されていると認定された場合、このマルウェアは新規ではないとみなされ、現在判断処理中のメッセージについてはアルゴリズムを停止する(図3aの「いいえ」分岐を参照のこと)。当該マルウェアがAVユニット1020によって初めて検出されたと認定される場合には、当該マルウェアはゼロデイマルウェアであるとみなされ、本方法はステップ350および360へ進む(図3aの「はい」分岐を参照のこと)。
ステップ350において、生成された少なくとも1つのシグネチャに基づき、悪意のメッセージであると判定されたメッセージ100と同一視可能なメッセージ100が過去に悪意のないメッセージに分類されて少なくとも1つのメッセージ受信装置210,220,230へ送信されたものであるか否かを判定する。この判定ステップ350は比較ユニット1030によって行われ、図3bのフローチャートに示された以下のサブステップを含む。サブステップ352において、悪意のメッセージであると判定されたメッセージ100の生成された少なくとも1つのシグネチャと、過去に送信された電子メッセージ100について生成されてデータ記憶ユニット1050に記憶された、データ記憶ユニット1050のシグネチャとを比較する。この比較は、類似性検査に基づいて行われる。具体的には、互いに比較される両シグネチャが同一または高度に類似していると認定される場合、両シグネチャは同一視可能であるとみなす。ここで留意すべき点は、比較される両シグネチャのシグネチャ情報が100%一致する場合、両シグネチャは同一であるとみなすことである。互いに比較される両シグネチャの各シグネチャ情報の一致度が、予め定められた閾値を超える場合、両シグネチャは高度に類似するとみなす。有利には、両シグネチャが高度に類似すると判断するためには、シグネチャ情報の一致度が80%以上であることを要する。より有利なのは、両シグネチャが高度に類似すると判断するために、シグネチャ情報の一致度が90%以上であることを要することである。
記憶ユニット1050に記憶されたシグネチャの中に、生成された少なくとも1つのシグネチャ(判断ステップ353の「いいえ」分岐を参照のこと)と同一視可能である(すなわち同一または高度に類似する)と認定されるものが無い場合、現時点で受信されているメッセージ100についてはアルゴリズムは停止し(ステップ354)、新規受信されたメッセージ100についてステップ310において再開する。しかし、記憶ユニット1050に記憶されているシグネチャのうちいずれかが、生成された少なくとも1つのシグネチャと同一視可能であると認定される場合(判断ステップ353の「はい」分岐)、本方法はサブステップ355へ進み、過去に送信された電子メッセージのうち同一視可能なシグネチャを有すると認定されたものを識別する。かかるメッセージ識別は、記憶ユニット1050に記憶されたメッセージID(および追加のメッセージ情報)と、記憶されている各シグネチャとを組み合わせてこれらに基づいて行われる。
識別されたメッセージに基づき、次のステップ360(図3aを再度参照のこと)においてシグナリングユニット1040が、送信された(1つまたは複数の)メッセージ100に脅威がある可能性について、少なくとも1つのメッセージ受信装置210,220,230に通知する。1つの実施形態では上記通知は、識別されたメッセージと、オプションとして各メッセージについて識別された脅威の種類とのリストを含む通知105を生成して、少なくとも1つのメッセージ受信装置210,220,230へ送信することを含む。よって、少なくとも1つのメッセージ送信装置210,220,230は通知105を受信することにより、当該少なくとも1つのメッセージ送信装置210,220,230に新規のマルウェアが潜伏しているとの警告を受けることができる。かかる情報に基づき、メッセージ送信装置210,220,230のユーザは、潜伏しているマルウェアによって生じ得る可能性のある損害を制限するために適切なセキュリティ対策をとることができる。これと共に、またはこれに代えて、通知105が、自動的なセキュリティ対策の実行をメッセージ受信装置210,230にさせることができる。具体的には、悪意のメッセージ100により生じる可能性のある損害を制限するため、メッセージ受信装置230からの通知105がメッセージ受信装置210,230において自動的なセキュリティ対策をトリガすることができる。かかるセキュリティ対策は、
メッセージ100のフラグ設定、
メッセージを特定のディレクトリに移動させること、
メッセージの検疫、
メッセージを更なるユーザ側AV解析にかけること、および、
メッセージ100の削除
のうち少なくとも1つの対策を含むことができる。メッセージ受信装置210,230は、メッセージの脅威の識別された種類に依存して、上掲のセキュリティ対策のうち少なくとも1つを自動的に選択することができる。
識別されたメッセージ100全てが、各メッセージ受信装置210,220,230へ送信されるわけではないので、各特定のメッセージ受信装置210,220,230ごとに、識別されたメッセージのうち各特定のメッセージ受信装置210,220,230へ送信されたもののみを個別に含むメッセージリストを生成することができる。すなわち、各特定のメッセージ受信装置210,220,230ごとに、各特定のメッセージ受信装置210,220,230へ送信されるメッセージのみを含む固有のリストを生成する。
ここで留意すべき点は、受信された各メッセージ100ごとに本方法はステップ356をもって終了し、次の新規のメッセージについてステップ310において再開することである。
上述のマルウェア検出技術の利点について、図4を参照して詳細に説明する。図4は、縦方向の時間軸と横方向のイベント軸とを有する図である。時間軸は複数の異なる時点t0,t1およびt2を有し、t0は現在の時点を表す。これは図4では「観察時点」とも称される。時点t1およびt2は、それより早い時点を表す。具体的には、t2は、新規のマルウェアまたは脅威がメッセージ100に現れた可能性がある時点を表すが、AVユニット1020はこの新規のマルウェアを未だ検知できる状態ではないので、この新規のマルウェアまたは脅威はAVユニット1020によって検出されないままである。またt1は、t0とt2との間の時点であって、AVユニット1020が当該新規のマルウェアを含むメッセージを検出してフィルタリング除去するために新規のウィルスシグネチャを使用できるようになった時点を表す。
よって、図3bにおいて縦方向の矢印によって示されているように、t1より後の時点でしか、新規のマルウェアを検出して、当該新規のマルウェアを含むメッセージをフィルタリング除去することができない。また、t1からt2までの間には、新規マルウェアが既に存在する期間があるが、AVユニット1020には未だ適切なマルウェアシグネチャが存在しないため、かかる期間を検出することはできない。本発明の検出技術を実施しない従来のメッセージングサーバでは、この期間を埋めることができず、新規のマルウェアは妨害されずに多数のメッセージング装置に拡散することができる。その上、メッセージング装置のユーザは通常、メッセージングサーバのマルウェアフィルタリング機能に依拠しているので、メッセージ受信装置において長い期間にわたって新規のマルウェアが未検出状態に留まる可能性は高い。
本発明にて開示したマルウェア検出技術は、送信された全てのメッセージに係るシグネチャ、すなわちt1とt2との間に送信されたメッセージに係るシグネチャを収集して記憶することにより、この期間を埋めることができる。収集されたシグネチャは、t1より後の時点において検出された新規のマルウェア(すなわち、ゼロデイマルウェアメッセージ)を含む悪意のメッセージのシグネチャと比較される。t1とt2との間に送信されたメッセージが、この検出されたゼロデイマルウェアメッセージのシグネチャと同一視可能なシグネチャを有して存在する場合には、当該ゼロデイマルウェアメッセージが過去に送信されたことを示す通知を生成して、対応するメッセージ受信装置へ送信する。よって、本願に係るマルウェア検出技術を用いることにより、早期の段階においてメッセージ受信装置のユーザに対し、ゼロデイマルウェアメッセージについて警告することができ、これにより、ユーザは適切な対抗措置をとることができる。さらに本発明のマルウェア検出技術は、アンチウィルスソフトウェア販売者によって提供されるマルウェアシグネチャとは異なり得る自己のシグネチャを生成して比較するので、本発明のかかる技術は、特定のAV検出技術に依存しない。むしろ、本願に係るマルウェア検出技術は、従来のいかなるAV検出技術とも同等のものである。よって、本願のマルウェア検出技術は、既存のメッセージングサーバに容易に実装することができる。
本願にて開示している技術について特定の実施形態を参酌して説明したが、当業者であれば、本発明は本願にて記載および図示されている特定の実施形態に限定されないことを認識することができる。本願の開示内容は説明のためであると解すべきである。したがって本発明は、添付の特許請求の範囲によってのみ限定されるべきものである。

Claims (15)

  1. 少なくとも1つのメッセージ送信装置(110,120,130)から少なくとも1つメッセージ受信装置(210,220,230)へ送信される悪意の電子メッセージ(100)の検出方法であって、
    a)前記少なくとも1つのメッセージ送信装置から前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信される電子メッセージ(100)に係る少なくとも1つのシグネチャを生成するステップと、
    b)生成された前記少なくとも1つのシグネチャをデータ記憶ユニット(1050)に記憶するステップと、
    c)前記電子メッセージ(100)が悪意のメッセージであるか否かを判定するステップと、
    d)前記電子メッセージが悪意のメッセージであると判定される場合、前記生成された少なくとも1つのシグネチャに基づき、当該悪意のメッセージであると判定されたメッセージ(100)と同一視可能な電子メッセージ(100)が過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信されたか否かを判定するステップと、
    e)前記悪意のメッセージであると判定されたメッセージ(100)と同一視可能な電子メッセージ(100)が過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信されたと判定される場合、脅威の可能性について当該少なくとも1つのメッセージ受信装置(210,220,230)に通知するステップと
    を有することを特徴とする検出方法。
  2. 前記少なくとも1つのメッセージ送信装置(110,120,130)から前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信される新規のメッセージごとに、少なくとも前記ステップ(a)から(c)までを繰り返し実施する、
    請求項1記載の検出方法。
  3. 前記ステップ(d)はさらに、
    過去に送信された電子メッセージ(100)に関連する、前記データ記憶ユニット(1050)内のシグネチャと、前記悪意のメッセージであると判定されたメッセージの前記少なくとも1つの生成されたシグネチャとを比較することを含む、
    請求項1記載の検出方法。
  4. 前記ステップ(a)およびステップ(b)はさらに、
    前記電子メッセージ(100)に対してメッセージ識別子(ID)を生成することと、
    生成された前記メッセージIDを、前記生成された少なくとも1つのシグネチャと共に、前記データ記憶ユニット(1050)に記憶することと
    を含む、
    請求項1記載の検出方法。
  5. 前記ステップ(a)はさらに、
    送信される前記メッセージ(100)について、送信された当該メッセージを後の時期にて分類するのに適した特定のメッセージ情報を生成することを含む、
    請求項1記載の検出方法。
  6. 前記ステップ(b)はさらに、
    生成された前記特定のメッセージ情報を、前記生成された少なくとも1つのシグネチャと共に、前記データ記憶ユニット(1050)に記憶することを含む、
    請求項5記載の検出方法。
  7. 前記特定のメッセージ情報は、
    メッセージの送信時期、
    メッセージ送信者情報、
    メッセージ宛先情報、および、
    メッセージ添付物に関する情報
    のうち少なくとも1つの情報を含む、
    請求項5または6記載の検出方法。
  8. 少なくとも1つのメッセージ添付物特性と、
    前記メッセージの送信元である前記メッセージ送信装置に関連付けられたURL情報と
    のうち少なくとも1つの要素に基づいて、前記シグネチャを生成する、
    請求項1記載の検出方法。
  9. 前記ステップ(c)はさらに、
    前記電子メッセージ(100)と既知のウィルスシグネチャとを比較することと、
    前記メッセージ(100)が前記既知のウィルスシグネチャのうち1つと十分に一致する場合、当該電子メッセージ(100)を悪意のメッセージに分類することと
    を含む、
    請求項1記載の検出方法。
  10. 前記検出方法はさらに、
    前記メッセージ(100)が悪意のないメッセージに分類された場合、前記少なくとも1つのメッセージ受信装置へ当該電子メッセージ(100)を送信するステップと、
    前記メッセージ(100)が悪意のメッセージに分類された場合、当該電子メッセージ(100)をブロックするステップと
    のうち少なくとも1つを含む、
    請求項1記載の検出方法。
  11. 前記ステップ(e)はさらに、
    過去に送信された特定のメッセージが悪意のメッセージである可能性があることを示す情報を、前記少なくとも1つのメッセージ受信装置(110,120,130)へ供給することを含む、
    請求項1記載の検出方法。
  12. コンピュータ装置上にて実行されるときに請求項1から11までの少なくとも1項記載の検出方法を実施するためのプログラムコード部分を有することを特徴とする、コンピュータプログラム製品。
  13. コンピュータ可読記録媒体に記憶されている、
    請求項12記載のコンピュータプログラム製品。
  14. 少なくとも1つのメッセージ送信装置(110,120,130)から少なくとも1つのメッセージ受信装置(210,220,230)へ電子メッセージ(100)を送信するように構成されたメッセージングサーバ(1000)であって、
    前記メッセージングサーバ(1000)は、悪意の電子メッセージ(100)を検出するように構成されており、
    前記メッセージングサーバ(1000)は、
    前記少なくとも1つのメッセージ送信装置(110,120,130)から前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信される電子メッセージ(100)に係る少なくとも1つのシグネチャを生成するように構成された生成ユニット(1010)と、
    生成された前記少なくとも1つのシグネチャを記憶するように構成されたデータ記憶ユニット(1050)と、
    前記電子メッセージ(100)が悪意のメッセージであるか否かを判定するように構成されたアンチウィルスユニット(1020)と、
    悪意のメッセージであると判定される場合、前記悪意のメッセージであると判定されたメッセージ(100)と同一視可能である電子メッセージ(100)が過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信されたか否かを判定するように構成された判定ユニット(1030)と、
    前記悪意のメッセージであると判定されたメッセージ(100)と同一視可能な電子メッセージ(100)が過去に悪意のないメッセージに分類されて前記少なくとも1つのメッセージ受信装置(210,220,230)へ送信されたと判定される場合、前記少なくとも1つのメッセージ受信装置(210,220,230)に対して脅威の可能性をシグナリングするように構成されたシグナリングユニット(1040)と
    を備えることを特徴とするメッセージングサーバ(1000)。
  15. メッセージングシステム(1)であって、
    少なくとも1つのメッセージ送信装置(110,120,130)と、
    少なくとも1つのメッセージ受信装置(210,220,230)と、
    前記少なくとも1つのメッセージ送信装置(110,120,130)および前記少なくとも1つのメッセージ受信装置(210,220,230)と通信接続されている、請求項14記載のメッセージングサーバ(1000)と
    を備えることを特徴とするメッセージングシステム(1)。
JP2017001084A 2016-01-08 2017-01-06 悪意の電子メッセージを検出するための技術 Active JP6904709B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP16150573.0 2016-01-08
EP16150573.0A EP3190767B1 (en) 2016-01-08 2016-01-08 Technique for detecting malicious electronic messages

Publications (2)

Publication Number Publication Date
JP2017130921A true JP2017130921A (ja) 2017-07-27
JP6904709B2 JP6904709B2 (ja) 2021-07-21

Family

ID=55077436

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017001084A Active JP6904709B2 (ja) 2016-01-08 2017-01-06 悪意の電子メッセージを検出するための技術

Country Status (7)

Country Link
US (1) US10659493B2 (ja)
EP (1) EP3190767B1 (ja)
JP (1) JP6904709B2 (ja)
KR (1) KR20170083494A (ja)
ES (1) ES2703861T3 (ja)
LT (1) LT3190767T (ja)
SG (1) SG10201610952XA (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
CN112005234A (zh) * 2018-01-31 2020-11-27 帕洛阿尔托网络公司 恶意软件检测的上下文剖析
KR101851233B1 (ko) * 2018-02-13 2018-04-23 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003348162A (ja) * 2002-05-24 2003-12-05 Nec Corp 迷惑メール防止方法及び迷惑メール防止システム
JP2013128327A (ja) * 2007-02-08 2013-06-27 Dlb Finance & Consultancy Bv 電子メッセージの拡散を減少させる方法およびシステム
JP2013164787A (ja) * 2012-02-13 2013-08-22 Nippon Telegr & Teleph Corp <Ntt> 電子メールサーバ、メール配信システム及びメール配信方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7539871B1 (en) * 2004-02-23 2009-05-26 Sun Microsystems, Inc. System and method for identifying message propagation
US7694150B1 (en) * 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
US7630381B1 (en) * 2004-09-27 2009-12-08 Radix Holdings, Llc Distributed patch distribution
EP1999925B1 (en) * 2006-03-27 2011-07-06 Telecom Italia S.p.A. A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US8510834B2 (en) * 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US8402529B1 (en) * 2007-05-30 2013-03-19 M86 Security, Inc. Preventing propagation of malicious software during execution in a virtual machine
RU2541120C2 (ru) * 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов
KR102131826B1 (ko) * 2013-11-21 2020-07-09 엘지전자 주식회사 이동 단말기 및 이의 제어 방법
US11023968B2 (en) * 2015-03-05 2021-06-01 Goldman Sachs & Co. LLC Systems and methods for updating a distributed ledger based on partial validations of transactions
US10298602B2 (en) * 2015-04-10 2019-05-21 Cofense Inc. Suspicious message processing and incident response

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003348162A (ja) * 2002-05-24 2003-12-05 Nec Corp 迷惑メール防止方法及び迷惑メール防止システム
JP2013128327A (ja) * 2007-02-08 2013-06-27 Dlb Finance & Consultancy Bv 電子メッセージの拡散を減少させる方法およびシステム
JP2013164787A (ja) * 2012-02-13 2013-08-22 Nippon Telegr & Teleph Corp <Ntt> 電子メールサーバ、メール配信システム及びメール配信方法

Also Published As

Publication number Publication date
EP3190767A1 (en) 2017-07-12
US10659493B2 (en) 2020-05-19
ES2703861T3 (es) 2019-03-12
EP3190767B1 (en) 2018-12-12
JP6904709B2 (ja) 2021-07-21
US20170201529A1 (en) 2017-07-13
KR20170083494A (ko) 2017-07-18
LT3190767T (lt) 2019-01-10
SG10201610952XA (en) 2017-08-30

Similar Documents

Publication Publication Date Title
US20190215335A1 (en) Method and system for delaying message delivery to users categorized with low level of awareness to suspicius messages
US20240154996A1 (en) Secure Notification on Networked Devices
US9560059B1 (en) System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US11882140B1 (en) System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US7237008B1 (en) Detecting malware carried by an e-mail message
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
US20170244736A1 (en) Method and system for mitigating malicious messages attacks
US20160232349A1 (en) Mobile malware detection and user notification
US20140259168A1 (en) Malware identification using a hybrid host and network based approach
JP6904709B2 (ja) 悪意の電子メッセージを検出するための技術
US20060070130A1 (en) System and method of identifying the source of an attack on a computer network
KR102119718B1 (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
CN108134761A (zh) 一种apt检测方法、系统及装置
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
EP3195140B1 (en) Malicious message detection and processing
US11924228B2 (en) Messaging server credentials exfiltration based malware threat assessment and mitigation
AU2023202044B2 (en) Network vulnerability assessment
US9092306B1 (en) Lightweight data leakage detection for mobile computing devices
CN114070634A (zh) 一种基于smtp协议的窃密行为检测方法、装置及电子设备
JP2017142552A (ja) マルウェア注意喚起装置および方法
KR20130032974A (ko) 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191029

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200924

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210624

R150 Certificate of patent or registration of utility model

Ref document number: 6904709

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150