JP2017156837A - Management program, management method, and management device - Google Patents
Management program, management method, and management device Download PDFInfo
- Publication number
- JP2017156837A JP2017156837A JP2016037398A JP2016037398A JP2017156837A JP 2017156837 A JP2017156837 A JP 2017156837A JP 2016037398 A JP2016037398 A JP 2016037398A JP 2016037398 A JP2016037398 A JP 2016037398A JP 2017156837 A JP2017156837 A JP 2017156837A
- Authority
- JP
- Japan
- Prior art keywords
- information
- file
- message
- attached
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims description 104
- 208000015181 infectious disease Diseases 0.000 claims abstract description 139
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000008569 process Effects 0.000 claims abstract description 51
- 230000004044 response Effects 0.000 claims abstract description 20
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 238000012217 deletion Methods 0.000 claims description 28
- 230000037430 deletion Effects 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 28
- 230000010365 information processing Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 description 53
- 238000012544 monitoring process Methods 0.000 description 14
- 238000009825 accumulation Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 208000035415 Reinfection Diseases 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000000605 extraction Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 101150035381 abc2 gene Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Abstract
Description
本発明は、管理プログラム、管理方法、及び管理装置に関する。 The present invention relates to a management program, a management method, and a management apparatus.
近年、マルウェアの携帯は多種に渡り、かつ、その仕組みを巧妙に変化させている。電子メール(単に、「メール」と言う場合がある)等により進入した様々なマルウェアが企業等のシステムに脅威を与えている。マルウェアそのものを検出することに加えて、マルウェアが進入した経路を特定することが重要である。 In recent years, there are many types of malware carrying, and the mechanism has been skillfully changed. Various malware that has entered by e-mail (sometimes simply referred to as “mail”) and the like poses a threat to corporate systems. In addition to detecting the malware itself, it is important to identify the path that the malware entered.
電子メール本文、電子メールのヘッダ情報等と、添付ファイルとを関連付けて管理する技術を利用することで、添付ファイルがマルウェアに感染していた場合には、電子メール本文等の電子メールの情報から感染経路を調査できる可能性がある。また、メールサーバにおいて、予め添付ファイルの感染を検出する技術等が知られている。 If the attachment file is infected with malware by using a technology that associates and manages the email body, email header information, etc., with the attached file, the email information such as the email body It may be possible to investigate the route of infection. Also, a technique for detecting an infection of an attached file in advance in a mail server is known.
電子メールの添付ファイルによるマルウェアの検出は、上述した技術によりメールサーバでも行うことが可能である。しかしながら、マルウェアの検出のために、電子メールの配信が遅延するようでは、企業等において業務に支障を来す。 Malware detection using an attached file of an e-mail can also be performed by a mail server using the above-described technique. However, if the delivery of e-mail is delayed due to the detection of malware, the business or the like will be hindered.
特に、特定の日時に動作するマルウェア(所謂、ゼロデイ攻撃)の場合、特定の日時まで、電子メール配信を停止しておくということは運用上現実的ではない。そもそも、その特定の日時を知り得ない場合がある。 In particular, in the case of malware that operates at a specific date and time (so-called zero-day attack), it is not practically practical to stop email distribution until a specific date and time. In the first place, there are cases where the specific date and time cannot be known.
また、近年、配信される電子メール数は増加の一途であり、その数は膨大である。一方で、甚大な被害をもたらすマルウェアに感染した電子メール数は、配信する電子メールの全体数と比して、ほんの僅かな数の配信である。 In recent years, the number of electronic mails delivered has been increasing and the number is enormous. On the other hand, the number of e-mails infected with malware causing tremendous damage is only a small number compared to the total number of e-mails to be distributed.
したがって、1つの側面では、本発明は、感染元の電子メールを効率的に特定することを目的とする。 Therefore, in one aspect, the present invention aims to efficiently identify the original email.
一態様によれば、コンピュータに、メッセージに添付されたファイルデータを特定する添付ファイル情報毎に、該メッセージを特定する特定情報を対応付けて記憶部に記憶し、前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する処理を実行させる管理プログラムが提供される。 According to one aspect, for each attached file information for specifying file data attached to a message, the computer stores the specific information for specifying the message in the storage unit in association with each other, and any one of the transmission destinations of the message The attached file information specified by the safety information stored in the storage unit is deleted from the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from A management program for executing the processing is provided.
また、上記課題を解決するための手段として、管理方法、及び情報処理装置とすることもできる。 In addition, as a means for solving the above problems, a management method and an information processing apparatus can be used.
感染元の電子メールを効率的に特定することができる。 It is possible to efficiently identify the original email.
以下、本発明の実施の形態を図面に基づいて説明する。先ず、マルウェアによる感染源ファイルを特定する既存の手法(I)、(II)、(III)について説明する。
(I)メールサーバが、仮想的環境で、電子メールの各添付ファイルを実行し、その結果、マルウェアの存在が確認されなかった場合に、電子メールを配信する。
(II)利用者端末において、ファイルの格納、実行に応じて、マルウェアを検出するエンドポイント型センサにより、マルウェアが検出された場合、隔離、削除等の検疫を実行する。
(III)ファイル、プロセス等の追跡システムにより、検出されたマルウェアのファイル名から生成元のプログラム名、ファイル名を追跡して感染源ファイルを特定する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. First, existing methods (I), (II), and (III) for identifying an infection source file by malware will be described.
(I) A mail server executes each attached file of an electronic mail in a virtual environment, and as a result, when the presence of malware is not confirmed, the electronic mail is distributed.
(II) In the user terminal, when malware is detected by an endpoint type sensor that detects malware according to storage and execution of a file, quarantine such as quarantine and deletion is executed.
(III) By using a tracking system for files, processes, etc., the source program name and file name are tracked from the detected malware file name to identify the infection source file.
図1は、既存の手法による感染源ファイルを特定する例を説明するための図である。図1において、メールサーバ300は、複数の電子メール3を蓄積し、利用者端末500からのダウンロード要求に応じて、電子メール3が利用者端末500にダウンロードされる。この際に、マルウェア93wに感染した感染源メール9aがダウンロードされてしまう場合がある。
FIG. 1 is a diagram for explaining an example of specifying an infection source file by an existing method. In FIG. 1, the
メールサーバ300は、上述した手法(I)を用いて、仮想的環境で、各電子メール3の添付ファイルを実行し、マルウェアの存在を確認する。しかしながら、メールサーバ300は、ゼロデイ攻撃のマルウェアの場合には、即時にマルウェアを検出できない。また、ゼロデイ攻撃のマルウェアの存在を前提としてしまうと、電子メール3をいつまでたっても配信できない。
The
従って、運用上は、メールサーバ300が電子メール3を受信に応じて行った検証においてマルウェアが検出されなかった場合は、電子メール3は、配信可能な状態となる。従って、配信可能な電子メール3には感染源メール9aが含まれる可能性がある。利用者端末500は、メールサーバ300にアクセスし、配信可能となった電子メール3から感染源メール9aをダウンロードしてしまった場合について説明する。
Therefore, in operation, when no malware is detected in the verification performed by the
利用者端末500において、利用者がメールソフト510を用いて、メールサーバ300に接続し、配信可能な電子メール3の中から安全な電子メール3として感染源メール9aをダウンロードする。
In the
ダウンロードされた感染源メール9aの添付ファイルである感染源ファイル91eが、利用者によって実行される。感染源ファイル91eは、文書データ、表計算データ、プレゼンテーションデータ、イメージファイル等の対応するアプリケーションにより実行されるファイル、又は、プログラムの実行ファイルそのものであってもよい。
An infection source file 91e, which is an attached file of the downloaded
感染源ファイル91eは、利用者端末500の利用者の操作により、1回目の実行が行われる。感染源ファイル91eは実行されると、更に、別のファイル92eを生成し、そのファイル92eが実行される。そして、ファイル92eは、更に、別のファイル(マルウェア93w)を生成し、実行する。
The infection source file 91e is executed for the first time by the user's operation of the
利用者端末500では、エンドポイント型センサ等によるマルウェア検出部513により、マルウェア53wが検出され、マルウェア53wの隔離又は削除等の検疫が実行される。その後、マルウェア39wのプロセス名、ファイル等が管理者へ通知される。マルウェア検出部513は、生成経路追跡部515へもマルウェア39wのプロセス名、ファイル等を通知する。
In the
マルウェア検出部513からのマルウェア検出通知により、生成経路追跡部515は、マルウェア検出部513が検出したマルウェア53wの生成元を追跡する。即ち、マルウェア53wを生成したプロフラムファイル92eを特定し、プロフラムファイル92eを生成した感染源ファイル91eを特定する。生成経路追跡部515は、更に、感染源ファイル91eがメールソフト510によってダウンロードされたことを突き止める。
In response to the malware detection notification from the
感染源ファイル91eを生成したファイルは存在しないため、感染源ファイル91eが大元であると特定する。また、マルウェア検出部513は、メールソフト510により取り出されたことまでを特定する。
Since the file that generated the infection source file 91e does not exist, the infection source file 91e is identified as the source. In addition, the
しかしながら、生成経路追跡部515は、マルウェア53wの生成元を辿ることができても、感染源ファイル91eが取り出された感染源メール9aを複数の電子メール3の中から特定することができない。そのため、感染源ファイル91eが利用者端末500に存在することになった原因を知ることができない。具体的には、どの電子メール3から取り出されたのかを突き詰めることができない。
However, even if the generation
上記において、生成経路追跡部515は、マルウェア検出部513の機能の一部であってもよい。
In the above, the generation
マルウェア93wは、利用者端末500がメールサーバ300から受信した感染源メール9aから利用者端末500で発病した例で説明したが、外部記憶媒体を介して、他の利用者の利用者端末500から受信した感染源ファイル91eを取得したことで、マルウェア93wが活性化される場合もある。その場合には、より一層、感染源となった、感染源メール9aを特定することが困難となる。
The
感染源である感染源メール9aを特定するためには、感染源ファイル91eの内容をもとに、メッセージIDを対応付けて管理することが考えられる。ファイル名での判定の場合、利用者がファイル名を変更して取り出したり、"setup.exe"などのような特徴のないファイル名の場合には特定が難しくなってしまう。
In order to identify the
本実施例では、利用者端末500にダウンロードされる電子メール3のファイル名と添付ファイルのファイル情報とを記録することで、メッセージIDを特定可能である。メッセージIDを用いることでメールサーバ300で保持されている感染源メール9aに対して対処可能とする。
In this embodiment, the message ID can be specified by recording the file name of the
しかしながら、感染源メール9aの数は、安全に受信可能な電子メール3の数に比して、非常に少ない。全ての電子メール3に対して、メッセージIDを蓄積保存することは、ハードウェアリソースの観点において、好ましくない。
However, the number of
従って、本実施例では、更に、蓄積したメッセージIDに関して、セキュリティ脅威(単に、「脅威」と言う)を検出しなかった場合に、該当する電子メール3とメッセージIDとの対応付けた情報を削除することで、感染源メール9aを特定するために保持し管理する情報量を大幅に小さくする。本実施例では、脅威を検出しなかった結果を得た場合、「安全」であると判断する。
Therefore, in the present embodiment, when a security threat (simply referred to as “threat”) is not detected for the accumulated message ID, information associated with the
図2は、本実施例におけるシステム構成図を示す図である。図2に示すシステム1000は、FW(Fire Wall)3と、SMTP(Simple Mail Transfer Protocol)サーバ100と、メールサーバ300と、対応付け管理サーバ400と、利用者端末500、脅威レポート管理サーバ600とを有する。
FIG. 2 is a diagram showing a system configuration diagram in this embodiment. 2 includes an FW (Fire Wall) 3, an SMTP (Simple Mail Transfer Protocol)
FW(Fire Wall)3は、インターネット2からの攻撃からメール配信に係るネットワークを保護する装置である。SMTPサーバ100は、電子メール3を送信するサーバである。メールサーバ300は、送受信する電子メール3を保管するサーバである。
The FW (Fire Wall) 3 is a device that protects a network related to mail distribution from attacks from the Internet 2. The
対応付け管理サーバ400は、メールサーバ300で受信した電子メール3の添付ファイル情報とメッセージIDとの対応付けをして管理するサーバである。マルウェアの驚異の検出通知を受信すると、特定されたマルウェアの感染源ファイル91eに基づいて、感染源ファイル91eを添付していた感染源メール9aを特定し、メールサーバ300に、保持している感染源メール9aの削除を要求する。
The
利用者端末500は、スタンドアロン型、ノートブック、タブレット等のPC(Personal Computer)であり、利用者によって、少なくとも電子メール3を受信するために利用される端末である。
The
脅威レポート管理サーバ600は、利用者端末500のマルウェア検出部513が脅威を検出した旨の通知を受信し、対応付け管理サーバ400へと通知する。対応付け管理サーバ400は、マルウェアの情報を記憶する。
The threat
本実施例では、脅威の検出通知は、メールサーバ300へも通知され、メールサーバ300は、保持している電子メール3の中から、脅威が検出された感染源メール9aを削除する。感染源メール9aが削除されることで、感染源メール9aの転送等による拡散を防止することができる。
In this embodiment, the threat detection notification is also notified to the
また、本実施例では、マルウェア検出部513によって脅威なしの検出結果を得られた情報を対応付け管理サーバ400に通知することで、脅威なしのメッセージIDに係る情報を削除する。そのため、対応付け管理サーバ400による感染源ファイル91eが添付された感染源メール9aを特定するための情報量を削減することができる。
Further, in this embodiment, the information related to the message ID without threat is deleted by notifying the
感染源ファイル91eが添付されていた感染源メール9aを特定するための情報管理を担う対応付け管理サーバ400は、図3に示すようなハードウェア構成を有する。
The
図3は、対応付け管理サーバのハードウェア構成を示す図である。図3において、対応付け管理サーバ400は、コンピュータによって制御される情報処理装置であって、CPU(Central Processing Unit)11と、主記憶装置12と、補助記憶装置13と、入力装置14と、表示装置15と、通信I/F(インターフェース)17と、ドライブ装置18とを有し、バスBに接続される。
FIG. 3 is a diagram illustrating a hardware configuration of the association management server. In FIG. 3, the
CPU11は、主記憶装置12に格納されたプログラムに従って対応付け管理サーバ400を制御するプロセッサに相当する。主記憶装置12には、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU11にて実行されるプログラム、CPU11での処理に必要なデータ、CPU11での処理にて得られたデータ等を記憶又は一時保存する。
The
補助記憶装置13には、HDD(Hard Disk Drive)等が用いられ、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置13に格納されているプログラムの一部が主記憶装置12にロードされ、CPU11に実行されることによって、各種処理が実現される。記憶部130は、主記憶装置12及び補助記憶装置13に相当する。
The
入力装置14は、マウス、キーボード等を有し、管理者が対応付け管理サーバ400による処理に必要な各種情報を入力するために用いられる。表示装置15は、CPU11の制御のもとに必要な各種情報を表示する。入力装置14と表示装置15とは、一体化したタッチパネル等によるユーザインタフェースであってもよい。通信I/F17は、有線又は無線などのネットワークを通じて通信を行う。通信I/F17による通信は無線又は有線に限定されるものではない。
対応付け管理サーバ400によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体19によって対応付け管理サーバ400に提供される。
The
A program for realizing the processing performed by the
ドライブ装置18は、ドライブ装置18にセットされた記憶媒体19(例えば、CD−ROM等)と対応付け管理サーバ400とのインターフェースを行う。
The
また、記憶媒体19に、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体19に格納されたプログラムは、ドライブ装置18を介して対応付け管理サーバ400にインストールされる。インストールされたプログラムは、対応付け管理サーバ400により実行可能となる。
In addition, the
尚、プログラムを格納する記憶媒体19はCD−ROMに限定されず、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。
The
SMTPサーバ100、メールサーバ300、利用者端末500、及び脅威レポート管理サーバ600等も同様のハードウェア構成を有するコンピュータであるため、その説明を省略する。
Since the
図2のシステム1000における、主な処理は、以下の通りである。
−添付ファイル情報格納処理 (ステップA)
−添付ファイル取り出し監視処理(ステップB)
−感染源メール特定処理 (ステップC)
−不要情報削除処理 (ステップD)
−感染源メール対処処理 (ステップE)
これら各処理についてフローチャート図で説明する。
The main processes in the system 1000 of FIG. 2 are as follows.
-Attached file information storage processing (step A)
-Attachment file retrieval monitoring process (step B)
-Infection source mail identification processing (Step C)
-Unnecessary information deletion processing (Step D)
-Infection source mail handling process (Step E)
Each of these processes will be described with reference to a flowchart.
図4は、添付ファイル情報格納処理(図2のステップA)を説明するためのフローチャート図である。添付ファイル情報格納処理(ステップA)は、SMTPサーバ100とメールサーバ300との間に設けられたコンピュータの常駐プログラムとして動作し、電子メール3が中継される毎に実行される。又は、メールサーバ300の受信側の処理の一部として組み込まれていてもよい。
FIG. 4 is a flowchart for explaining the attached file information storing process (step A in FIG. 2). The attached file information storage process (step A) operates as a computer resident program provided between the
図4より、添付ファイル情報格納処理(ステップA)において、SMTPサーバ100から、リレーされた電子メール3を受信すると(ステップS11)、受信した電子メール3から添付ファイルを取り出し(ステップS12)、添付ファイル情報を対応付け管理サーバ400へ送信して格納させた後(ステップS13)、電子メール3をメールサーバ300へリレーする(ステップS14)。添付ファイル情報格納処理(ステップA)は、電子メール3を受信する毎に終了する。
As shown in FIG. 4, when the relayed
添付ファイル情報格納処理(ステップA)において、添付ファイル情報は、電子メール3を特定するメッセージIDと対応付けられて、対応付け管理サーバ400の対応付け情報蓄積DB460(図10)で蓄積され管理される。添付ファイル情報は、添付ファイルを圧縮した内容である。
In the attached file information storing process (step A), the attached file information is associated with the message ID that identifies the
図5は、添付ファイル取り出し監視処理(図2のステップB)を説明するためのフローチャート図である。添付ファイル取り出し監視処理(ステップB)は、利用者端末500の常駐プログラムとして動作し、メールソフト510によるファイル生成を監視する処理である。
FIG. 5 is a flowchart for explaining the attached file retrieval monitoring process (step B in FIG. 2). The attached file retrieval monitoring process (step B) is a process that operates as a resident program of the
図5において、利用者端末500において、メールソフト510によって電子メール3から添付ファイルが取り出されることによってファイルが生成されるのを監視する(ステップS21)。
In FIG. 5, the
利用者端末500において、メールソフト510が生成したファイルが読み込み(ステップS22)、読み込んだファイルの内容を示すファイル情報を利用者端末500内の記憶部に格納する(ステップS23)。ファイル情報は、添付ファイルを圧縮した内容であり、ダウンロードされた日時、格納先等と共に、利用者端末500内に保持される。
In the
ファイル情報の格納後、ファイル生成の監視へ戻り(ステップS24)、生成された次のファイルに対して、上記同様の処理を繰り返す。 After the file information is stored, the process returns to the file generation monitoring (step S24), and the same process is repeated for the next generated file.
図6は、感染源メール特定処理(図2のステップC)を説明するためのフローチャート図である。感染源メール特定処理(ステップC)は、利用者端末500と、対応付け管理サーバ400とにおいて行われる処理である。
FIG. 6 is a flowchart for explaining the infection source mail identification process (step C in FIG. 2). The infection source mail identification process (step C) is a process performed in the
図6において、マルウェア検出部513がマルウェア93wを検出することでマルウェア情報を取得する(ステップS31)。マルウェア93wの検出に応じて、生成経路追跡部515がマルウェア情報に基づいて、マルウェア93wのファイルの生成元を辿ることで追跡し、感染源ファイル91eを特定する(ステップS32)。
In FIG. 6, the
感染源ファイル91eのファイル情報(「感染源ファイル情報」と言う場合がある)が取得され(ステップS33)、感染源ファイル情報は、対応付け管理サーバ400へ通知される。
The file information of the infection source file 91e (sometimes referred to as “infection source file information”) is acquired (step S33), and the infection source file information is notified to the
対応付け管理サーバ400では、通知された感染源ファイル情報と、自装置で保持している電子メール3の添付ファイルのファイル情報(「添付ファイル情報」と言う場合がある)とを突き合わせて、感染元の電子メール3を特定する(ステップS34)。
The
図7は、不要情報削除処理(図2のステップD)を説明するためのフローチャート図である。不要情報削除処理(ステップD)は、1日1回などの定期的なバックグラウンド処理として行われ、対応付け管理サーバ400に蓄積された脅威なしと判断されたファイル情報が削除される。図7において、利用者端末500は、定期的間隔で動作開始する(ステップS41)。生成経路追跡部515は、メールソフト510が生成したファイルを追跡する(ステップS42)。
FIG. 7 is a flowchart for explaining the unnecessary information deletion processing (step D in FIG. 2). The unnecessary information deletion process (step D) is performed as a regular background process such as once a day, and the file information determined to have no threat stored in the
追跡して得られた、生成ファイルと、派生ファイルとを、マルウェア検出部513による検知結果と突き合わせて(ステップS43)、生成ファイルと、派生ファイルとに脅威がなければ、対応付け管理サーバ400に、「脅威なし」を通知する(ステップS44)。添付ファイル情報が通知される。
The generated file and the derived file obtained by tracking are matched with the detection result by the malware detection unit 513 (step S43), and if there is no threat in the generated file and the derived file, the
対応付け管理サーバは、生成ファイルと一致する添付ファイルの電子メールの受信者へ危険性のない旨を通知して、添付ファイル情報をデータベースから削除する(ステップS45)。そして、不要情報削除処理は終了する。 The association management server notifies the recipient of the email of the attached file that matches the generated file that there is no danger, and deletes the attached file information from the database (step S45). Then, the unnecessary information deletion process ends.
図8は、感染源メール対処処理(図2のステップE)を説明するためのフローチャート図である。感染源メール対処処理(ステップE)は、感染源メール9aが特定される毎に、対応付け管理サーバ400によって実行される。
FIG. 8 is a flowchart for explaining the infection source mail handling process (step E in FIG. 2). The infection source mail handling process (step E) is executed by the
図8において、対応付け管理サーバ400は、感染源メール9aのメッセージIDを取得する(ステップS51)。複数のメッセージIDを取得する場合がある。対応付け管理サーバ400は、メッセージIDから得られる内容と一致するファイルを添付した電子メール3の情報を、メールサーバ300から取得する(ステップS52)。
In FIG. 8, the
メッセージIDから得られる内容と一致するファイルを添付した電子メール3を、「対象電子メール」と言い、その電子メール3の情報を「メール情報」と言う。
The
対応付け管理サーバ400は、取得したメール情報に基づいて、メールサーバ300に対して対象電子メールの削除を要求し、また、対象電子メールの受信元等へと注意喚起を行う(ステップS54)。受信元へは、電子メールで注意喚起内容を知らせてもよい。
The
対応付け管理サーバ400は、全ての対象メールを処理したか否かを判断する(ステップS54)。未処理の対象メールがある場合(ステップS54のNO)、対応付け管理サーバ400は、ステップS52へと戻り、上述同様の処理を繰り返す。一方、未処理の対象メールがある場合(ステップS54のYES)、対応付け管理サーバ400は、この感染源メール対処処理を終了する。
The
次に、システム1000における機能構成例を説明する。図9は、本実施例におけるシステムの機能構成例を示す図である。 Next, a functional configuration example in the system 1000 will be described. FIG. 9 is a diagram illustrating an example of a functional configuration of the system according to the present embodiment.
図9の説明において、感染源メール9aを含めて、総称して電子メール3という場合がある。図9に示すシステム1000において、本実施例では、SMTPサーバ100とメールサーバ300の途中経路に添付ファイル管理部330が設けられる。
In the description of FIG. 9, the term “
添付ファイル管理部330における処理は、プラグインプログラムによって実現され、添付ファイル情報取得部350を有する。添付ファイル情報取得部350は、電子メール3に添付されている添付ファイル2fの情報(添付ファイル情報)を取得する。添付ファイル管理部330は、添付ファイル情報取得部350が取得した添付ファイル情報と、電子メール3を特定するメッセージIDとを含む対応付け情報7aを対応付け管理サーバ400に送信し、保持させる。
The processing in the attached
添付ファイル情報は、一例として、ハッシュ関数を用いて、添付ファイル2fの内容を要約化した値である。メッセージIDは、一例として、送信者が利用したメールサーバで付与した値を示し、送信者のメールアドレスの一部を示す情報である。 The attached file information is, for example, a value obtained by summarizing the contents of the attached file 2f using a hash function. The message ID is, for example, a value given by the mail server used by the sender and is information indicating a part of the sender's mail address.
利用者端末500は、メールソフト510と、マルウェア検出部513と、生成経路追跡部515と、エージェント530とを有する。利用者端末500は、また、エージェントDB540を記憶部に有する。
The
メールソフト510は、電子メール3の送受信等を含む種々の機能を提供するソフトウェアである。
The
マルウェア検出部513は、利用者が利用者端末500に対して行う操作(振る舞い)から、脅威を検出する。マルウェア検出部513は、利用者の操作によって、メールソフト510が電子メール3から添付ファイル2fを取り出して実行すると、実行に応じて生成されたファイルの動作を監視する。マルウェア検出部513は、マルウェア93wが生成されると、マルウェア93wの生成を検出する。
The
検出結果は、結果ログ514に蓄積される。マルウェア検出部513の一例として、エンドポイント型センサと呼ばれるソフトウェアが利用される。マルウェア検出部513によって検出した脅威の情報(マルウェア情報)9mは、脅威レポート管理サーバ600に集約される。結果ログ514には、ファイル名又はフルパス名、検出結果等の情報が、プログラムファイルが生成される毎に蓄積される。
The detection results are accumulated in the
生成経路追跡部515は、エージェント530からの関数呼び出しにより実行され、エージェントDBを参照して、マルウェア93wが生成されるまでの経路を追跡し、感染源ファイル91eを特定する。
The generation
エージェント530は、マルウェア検出部513の結果ログ514を参照し、「脅威なし」を示すファイルに係る情報を削除する。エージェント530は、更に、取出し監視部532と、ファイル情報取得部534とを有する。
The
取出し監視部532は、メールソフト510が書き出したファイルを検出する。ファイル情報取得部534は、取出し監視部532によって検出したファイルの内容に基づいて、ファイル情報を作成し、ファイル名と、作成したファイル情報等をエージェントDB540に格納する。
The take-out
エージェントDB540は、メールソフト510から書き出されたファイルに関する情報を記憶し管理するデータベースであり、少なくとも、書き出された各ファイルの、ファイル名、ファイル情報等を記憶する。
The
対応付け管理サーバ400は、メールサーバ300の添付ファイル管理部330から受信した電子メール3から得た対応付け情報7aを蓄積して記憶し、利用者端末500から受信する情報に応じて、蓄積した対応付け情報7aから感染源メール9aを特定、又は、蓄積した対応付け情報7aを削除する。
The
対応付け管理サーバ400は、対応付け情報受信部410と、対応付け情報削除部430と、メッセージID特定部450と、感染源ファイル特定部470とを有する。対応付け管理サーバ400は、対応付け情報蓄積DB460、マルウェア情報DB490等を記憶部130に記憶する。
The
対応付け情報受信部410は、添付ファイル管理部330から対応付け情報7aを受信すると、対応付け情報蓄積DB460にレコードを追加して記憶する。
When the association information receiving unit 410 receives the association information 7 a from the attached
対応付け情報削除部430は、利用者端末500から安全なファイル情報8aを受信すると、対応付け情報蓄積DB460から、安全なファイル情報8aと一致する添付ファイル情報を記憶したレコードを削除する。
When the association
メッセージID特定部450は、利用者端末500から感染源ファイル情報8bを受信すると、感染源ファイル情報8bと一致する添付ファイル情報を記憶したレコードからメッセージIDを特定し、特定したメッセージIDを用いて、メールサーバ300が保持する感染源メール9aを削除する。
When receiving the infection
感染源ファイル特定部470は、脅威レポート管理サーバ600からマルウェア情報9mを受信すると、マルウェア情報DB490にレコードを追加して記憶し、受信したマルウェア情報9mを利用者端末500に通知する。特定された感染源ファイル91eに関する感染源ファイル情報8bがメッセージID特定部450に通知される。
When receiving the
上述した機能構成における全体動作について、図9で説明する。
・電子メールの受信
<1> 感染源メール9aを含む複数の電子メール3をSMTPサーバ100が受信する。
The overall operation in the functional configuration described above will be described with reference to FIG.
-Reception of electronic mail <1> The
<2> SMTPサーバ100は、メールサーバ300へ電子メール3をリレーする。
<2> The
<3> 添付ファイル管理部330は、SMTPサーバ100とメールサーバ300の途中経路で電子メール3から添付ファイル2fを取り出し、添付ファイル情報取得部350によって、添付ファイル2fのファイル情報(添付ファイル情報)を取得する。
<3> The attached
<4> 添付ファイル管理部330は、添付ファイル情報と、メッセージIDとを示す対応付け情報7aを対応付け管理サーバ400に送信する。
<4> The attached
<5> 対応付け管理サーバ400では、対応付け情報受信部410が、受信した対応付け情報7aを対応付け情報蓄積部460にレコードを追加して記憶する。
<5> In the
<6> 利用者端末500は、メールソフト510によって電子メール3を受信する。メールソフト510は、利用者の添付ファイル2fの取り出し操作、又は、添付ファイル実行操作により添付ファイル2fをダウンロードする。
<6> The
<7> エージェント530は、取り出し監視部532により、利用者による添付ファイル2fの取り出し操作を監視し、少なくとも、取り出された添付ファイル2fのファイル名と、ファイル情報とをエージェントDB540に保管する。ファイル名と、ファイル情報とは、ファイル情報取得部534によって取得される。
<7> The
電子メール3から取り出された最初のファイルのファイル情報は、添付ファイル管理部330の添付ファイル情報取得部350が取得した添付ファイル情報と一致する。
The file information of the first file taken out from the
<8> 利用者が添付ファイル2fを実行する。 <8> The user executes the attached file 2f.
<9> マルウェア検出部513は、実行した添付ファイル2fに係るプログラムの動作を監視する。
・脅威なしの場合
<10> 実行したプログラムが問題なく終了し、マルウェア検出部513は「脅威ない」と判断する。
<9> The
When there is no threat <10> The executed program ends without any problem, and the
<11> エージェント530は、マルウェア検出部513の結果ログ514を参照し、「脅威なし」の結果を「安全」なファイルと判断する。
<11> The
<12> エージェント530は、生成経路追跡部515を利用して、マルウェア検出部513が「脅威なし」と判断した添付ファイル2fの生成元ファイルを特定する。
<12> The
<13> エージェント530は、「脅威なし」と判断し添付ファイル2fの生成元ファイルの情報をエージェントDB540に、「安全」を示す検出結果と共に格納する。
<13> The
<14> エージェント530は、1日1回などのタイミングで、「安全」と判断されたファイル情報を安全なファイル情報8aとして対応付け管理サーバ400に送信し、送信した安全なファイル情報8aのレコードをエージェントDB540から削除する。
<14> The
<15> 対応付け管理サーバ400は、利用者端末500から受信した安全なファイル情報8aと一致する添付ファイル情報のレコードを対応付け情報蓄積DB460から削除する。
・脅威ありの場合
<21> マルウェア検出部513は、実行したプログラムの動作を監視し、マルウェア93wを検出する。
<15> The
When there is a threat <21> The
<22> マルウェア検出部513は、マルウェアの情報(マルウェア情報9m)を脅威レポート管理サーバ600へ通知する。
<22> The
<23> 脅威レポート管理サーバ600は、マルウェア情報9mを対応付け管理サーバ400へ送信する。
<23> The threat
<24> 対応付け管理サーバ400は、マルウェア情報DB490にレコードを追加して受信したマルウェア情報9mを記憶する。
<24> The
<25> 対応付け管理サーバ400は、利用者端末500のエージェント530に、マルウェア検出部513から受信したマルウェア情報9mを送信して、感染源ファイル91eの特定を要求する。
<25> The
<26> エージェント530は、マルウェア情報9mからマルウェアのファイル名を取り出して、生成経路追跡部51を用いて、感染源ファイル91eを特定する。
<26> The
<27> エージェント530は、感染源ファイル91eのファイル情報をエージェントDB540から取得して、対応付け管理サーバ400へ感染源ファイル情報8bとして送信する。
<27> The
<28> 対応付け管理サーバ400では、メッセージID特定部450が、対応付け情報蓄積DB460から、感染源ファイル情報8bと一致する添付ファイル情報を検索し、一致したレコードから1以上のメッセージIDを取得する。
<28> In the
<29> メッセージID特定部450は、メールサーバ300に対して、取得したメッセージIDを送信して、感染源メール9aを含む感染源の候補となる電子メール3の削除を依頼するとともに、疑わしい電子メール3をダウンロードした利用者へ注意喚起(ダウンロードファイルの削除等)するよう通知する。
<29> The message
<30> 対応付け情報蓄積DB460から検索した添付ファイル情報に、複数のメッセージIDが存在する場合、全てのメッセージIDの電子メール3に対して、削除依頼及び注意喚起を行う。感染源メール9a以外に、同一の内容の添付ファイル2fが別のメールへ別のファイル名で添付された場合等では、複数のメッセージIDが存在する場合がある。このような場合において削除依頼及び注意喚起を行うことで、感染した添付ファイル2fが実行される前の疑わしい電子メール3に対して事前に対処できる。
<30> When there are a plurality of message IDs in the attached file information retrieved from the association
次に、種々のDB及び情報のデータ構成例について説明する。図10は、対応付け情報蓄積DBのデータ構成例を示す図である。図10において、対応付け情報蓄積DB460は、添付ファイル情報を蓄積し、添付ファイル情報毎に、メッセージIDを対応付けて記憶し管理するデータベースであり、添付ファイル情報、複数のメッセージID等の項目を有する。
Next, various DB and information data configuration examples will be described. FIG. 10 is a diagram illustrating a data configuration example of the association information accumulation DB. In FIG. 10, the association
添付ファイル情報の項目には、対応付け情報7aに含まれていた添付ファイル情報が記憶される。メッセージIDの項目には、対応付け情報7aに含まれていたメッセージIDが記憶される。メッセージIDは、送信者の電子メールアドレスの一部又は全部を示す。メッセージIDとして、少なくとも「ユーザ名@ドメイン名」までを記憶する。 In the attached file information item, the attached file information included in the association information 7a is stored. In the item of message ID, the message ID included in the association information 7a is stored. The message ID indicates a part or all of the sender's e-mail address. At least “user name @ domain name” is stored as the message ID.
対応付け情報受信部410は、対応付け情報7aを添付ファイル管理部330から受信すると、対応付け情報7aに含まれる添付ファイル情報で、対応付け情報蓄積DB460を検索し、一致するレコードに、対応付け情報7aで示されるメッセージIDが存在しなければ、そのメッセージIDを追加する。
When the association information receiving unit 410 receives the association information 7a from the attached
一致するレコードが存在しない場合、対応付け情報受信部410は、レコードを追加し、受信した対応付け情報7aの添付ファイル情報とメッセージIDとを記憶する。 If there is no matching record, the association information receiving unit 410 adds a record and stores the attached file information and the message ID of the received association information 7a.
図10のデータ構成例では、添付ファイル情報「Fsad#%321」に対して、1つのメッセージID「avc@dimain24」が対応付けられている。また、添付ファイル情報「eGr6wea%t5#$」に対して、1つのメッセージID「arw@dimain24」が対応付けられている。更に、添付ファイル情報「Fasdr4$Y3」に対して、2つのメッセージID「arw@dimain24」、「arw@dimain25」が対応付けられている。他のレコードについても同様である。
In the data configuration example of FIG. 10, one message ID “avc @ dimain24” is associated with the attached file information “
マルウェア93wの感染源の添付ファイル2fのファイル情報が添付ファイル情報「eGr6wea%t5#$」であった場合、対応付け管理サーバ400は、「eGr6wea%t5#$」を示す感染源ファイル情報8bを受信する。
When the file information of the attachment file 2f of the infection source of the
メッセージID特定部450は、受信した感染源ファイル情報8bと一致する添付ファイル情報「eGr6wea%t5#$」のレコードから、メッセージID「arw@dimain24」を取得する。取得したメッセージID「arw@dimain24」をメールサーバ300に送信することで感染源メール9aを特定し、メールサーバ300に削除を依頼する。
The message
また、メッセージID特定部450は、特定した感染源メール9aの受信者に対して、注意喚起のメッセージを電子メール等により通知する。
In addition, the message
図11は、エージェントDBのデータ構成例を示す図である。図11において、エージェントDB540は、時系列に生成されたファイルに係る情報を記憶するデータベースであり、生成日時、ファイル名、ファイル情報、検出結果等の項目を有する。
FIG. 11 is a diagram illustrating a data configuration example of the agent DB. In FIG. 11, an
生成日時は、ファイルが生成された日時を示す。生成日時は、必須ではなく、省略可能である。ファイル名は、少なくとも、生成されたファイル名を含む情報を示す。格納場所を示す、ファイル名までを含めたディレクトリ、URL(Uniform Resource Locator)等であればよくフルパス名でよい。ファイル情報は、ファイル情報取得部534によって生成されたファイル内容をハッシュ関数を用いて要約化した値である。
The creation date / time indicates the date / time when the file was created. The generation date and time is not essential and can be omitted. The file name indicates information including at least the generated file name. A full path name may be used as long as it is a directory including a file name indicating a storage location, a URL (Uniform Resource Locator), or the like. The file information is a value obtained by summarizing the file contents generated by the file
検出結果は、マルウェア検出部513によって得られた結果ログ514に基づいて、ファイルの追跡結果により、メールソフト510から取り出された最初の添付ファイル2fに対して判断された危険性を示す。
The detection result indicates the risk determined for the first attached file 2f extracted from the
検出結果として、「未確認」、「危険」、「安全」等のいずれかが示される。「未確認」は、ファイルの生成直後等であって、「危険」であるのか「安全」であるのかの判別ができていない状態を示す。「危険」は、マルウェア93wに感染したファイルであることを示す。「安全」は、脅威を検出しなかったファイルであることを示す。
As the detection result, one of “unconfirmed”, “danger”, “safety”, and the like is indicated. “Unconfirmed” indicates a state immediately after generation of a file or the like, and it is not possible to determine whether it is “dangerous” or “safe”. “Danger” indicates that the file is infected with
マルウェア93wの生成元のメールソフト510から最初の添付ファイル2fに対しては、最初の添付ファイル2fが「安全」の判定であったとしても、「危険」が設定される。最初の添付ファイル2fが「安全」の判定であり、その後、派生して生成されるファイルがいずれも「安全」である場合には、最初の添付ファイル2fに対して「安全」が設定される。
“Danger” is set for the first attached file 2f from the
エージェントDB540では、「安全」が確認されたファイルは、そのファイル名とファイル情報とが、安全なファイル情報8aとして対応付け管理サーバ400に通知されることで、対応付け管理サーバ400が保持する対応付け情報蓄積DB460の情報量を削減できる。
In the
図11のデータ構成例において、最初のレコードでは、生成日時「2015/06/01 13:51」に生成されたファイルについてファイル名「C:\Programfiles\Programdata\temp\abc.exe」を参照すると、生成されたのは実行ファイル「abc.exe」であり、ディレクトリ「C:\Programfiles\Programdata\temp」に格納されていることが示されている。また、検出結果は「未確認」である。 In the data configuration example of FIG. 11, in the first record, if the file name “C: \ Programfiles \ Programdata \ temp \ abc.exe” is referred to for the file generated on the generation date “2015/06/01 13:51” The generated file is “abc.exe”, which is stored in the directory “C: \ Programfiles \ Programdata \ temp”. The detection result is “unconfirmed”.
第2のレコードでは、生成日時「2015/06/01 13:55」に生成されたファイルについてファイル名「D:\work\xyz.exe」を参照すると、生成されたのは実行ファイル「xyz.exe」であり、ディレクトリ「d」に格納されていることが示されている。また、検出結果は「危険」である。 In the second record, when the file name “D: \ work \ xyz.exe” is referred to for the file generated on the generation date “2015/06/01 13:55”, the generated file “xyz.exe” is generated. “exe”, which is stored in the directory “d”. The detection result is “dangerous”.
第3のレコードでは、生成日時「2015/06/01 13:59」に生成されたファイルについてファイル名「e:\app\qwert.exe」を参照すると、生成されたのは実行ファイル「qwert.exe」であり、ディレクトリ「e:\app」に格納されていることが示されている。また、検出結果は「危険」である。他のレコードについても同様である。 In the third record, when the file name “e: \ app \ qwert.exe” is referred to for the file generated on the generation date “2015/06/01 13:59”, the generated file “qwert.exe” is generated. exe ", which is stored in the directory" e: \ app ". The detection result is “dangerous”. The same applies to other records.
図11では、前述した対応付け情報蓄積DB460と、後述されるマルウェア情報9mとの関連付けを合わせて示している。エージェントDB540と対応付け情報蓄積DB460との間では、添付ファイル情報によって関連付けされ、エージェントDB540とマルウェア情報9mとでは、フルパス名によって関連付けられる。
FIG. 11 also shows the association between the above-described association
図12は、マルウェア情報のデータ構成例を示す図である。図12において、マルウェア情報9mは、マルウェア検出部513が検出したマルウェア93wの情報を示し、発生日時、名称、ファイル名、危険度、フルパス名等の項目を有する。
FIG. 12 is a diagram illustrating a data configuration example of malware information. In FIG. 12, the
発生日時は、マルウェア93wが発生した日時を示す。名称は、マルウェア93wの名称を示す。ファイル名は、生成されたファイル名を示す。危険度は、マルウェア93wが与える脅威のレベルを示す。「high」は脅威レベルが高いことを示し、「medium」は脅威レベルが中位であることを示し、及び「low」は脅威レベルが低いことを示す。感染源ファイル情報は、マルウェア93wを確認したフルパス名を示す情報である。
The occurrence date and time indicates the date and time when the
図12のデータ構成例では、発生日「XX:XX」に、名称「Aboor」のマルウェア93wが検出され、検出されたマルウェア93wのファイル名は「xyz.exe」であり、存在場所(即ち、格納場所)はフルパス名で示される「D:\work\abc2.exe」であることが示されている。
In the data configuration example of FIG. 12, the
図13は、メール情報保管DBのデータ構成例を示す図である。図13において、メール情報保管DB6は、利用者へ注意喚起する際、利用者への視認性を向上させるために、表題などの情報を管理しておくデータベースであり、メッセージID、受信日時、送信者、受信者、表題等の項目を有する。
FIG. 13 is a diagram illustrating a data configuration example of the mail information storage DB. In FIG. 13, the mail
メール情報保管DB6は、必須のデータベースではないが、メール情報保管DB6を備えることにより、メールサーバ300、配送ログ等にアクセスせずに、受信者の情報を取得でき、迅速に注意喚起することができる。
The mail
メールサーバ300、配送ログ等では、配信した電子メール3のログを保持している場合があるが、保管期間などの理由で削除され、受信者の情報を得ることができない場合がある。ゼロデイ攻撃等に十分に対応するためには、推奨されるデータベースである。
The
メッセージIDは、対応付け情報蓄積DB460で管理されるメッセージIDであり、送信者の電子メールアドレスの一部又は全部を示す。受信日時は、メッセージIDで特定される電子メール3を受信した日時である。
The message ID is a message ID managed by the association
送信者は、電子メール3の送信者の電子メールアドレスを示す。受信者は、電子メール3の受信者の電子メールアドレスを示す。表題は、電子メール3に設定されていた表題を示す。
The sender indicates the email address of the sender of the
図13のデータ構成例では、メッセージID「ark@dimain24」の電子メール3を、「2015/06/01 13:51」に受信し、送信者の電子メールアドレスは「abc@abc.com」であり、受信者の電子メールアドレスは「zyx@xyz.jp」であり、表題は「昨日の御礼」であったことが示されている。他の電子メール3についても同様である。
In the data configuration example of FIG. 13, the
図9に示す機能構成例に基づいて、図2の各ステップA、B、C、D、及びEについて詳述する。 Each step A, B, C, D, and E of FIG. 2 will be described in detail based on the functional configuration example shown in FIG.
図14は、図4の添付ファイル情報格納処理(ステップA)を詳述するためのフローチャート図である。図14において、SMTPサーバ100は、電子メール3の送出を開始する(ステップS111)。
FIG. 14 is a flowchart for explaining the attached file information storage process (step A) in FIG. 4 in detail. In FIG. 14, the
添付ファイル管理部330では、SMTPサーバ100から送られてくる電子メール3に対する受信処理を開始し(ステップS311)、受信した電子メール3を一次保存する(ステップS312)。
The attached
添付ファイル管理部330は、一次保存した電子メール3を解析し、添付ファイル2fを抽出して一次保存する(ステップS313)。添付ファイル管理部330は、エンコード方式をボディヘッダから確認し、確認できた方式でデコードし、添付ファイル2fを抽出する。
The attached
添付ファイル管理部330は、抽出した添付ファイル2fのファイル情報(添付ファイル情報)を作成し(ステップS314)、対応付け管理サーバ400へ、少なくとも、添付ファイル情報とメッセージIDとを含む対応付け情報7aを送信する(ステップS315)。対応付け情報7aに、更に、電子メール3の受信日時、送信者の電子メールアドレス、受信者の電子メールアドレス、表題等の情報を含めてもよい。この場合、対応付け管理サーバ400にて、図13に示すようなメール情報保管DB6を備えることができる。
The attached
そして、添付ファイル管理部330は、一次保管した電子メールをメールサーバ300へリレーして(ステップS316)、受信した電子メール3毎の処理を終了する。次の電子メール3を受信すると、ステップS311から、上述した同様の処理が繰り返される。
Then, the attached
一方、対応付け管理サーバ400では、添付ファイル管理部330から対応付け情報7aを受信すると、対応付け情報蓄積DB460に格納する(ステップS411)。
On the other hand, when the
図15は、図5の添付ファイル取り出し監視処理(ステップB)を詳述するためのフローチャート図である。図15において、利用者端末500では、メールソフト510が添付ファイル2fを書き出すと(ステップS521)、エージェント530は、取り出し監視部532によって、ファイルシステムを監視し、メールソフト510が書き出した添付ファイル2fを読み込む(ステップS521)。
FIG. 15 is a flowchart for explaining in detail the attached file retrieval monitoring process (step B) of FIG. In FIG. 15, in the
添付ファイル2fを読み込むと、エージェント530は、ファイル情報取得部534によって、添付ファイル2fを要約化した添付ファイル情報を作成し、エージェントDB540に格納する(ステップS523)。そして、添付ファイル取り出し監視処理は終了する。
When the attached file 2f is read, the
図16は、図6の感染源メール特定処理(ステップC)を詳述するためのフローチャート図である。感染源メール特定処理は、利用者端末500におけるマルウェア93wの検出によって開始される。
FIG. 16 is a flowchart for explaining the infection source mail identification process (step C) in FIG. 6 in detail. The infection source mail identification process is started by detecting the
図16より、利用者端末500において、マルウェア検出部513がマルウェア93wを検出すると(ステップS531)、脅威レポート管理サーバ600を介して、対応付け管理サーバ400にマルウェア情報9mを送信する(ステップS532)。
16, when the
対応付け管理サーバ400では、感染源ファイル特定部470が、受信したマルウェア情報9mをマルウェア情報DB490に格納する(ステップS431)。そして、感染源ファイル特定部470は、マルウェア情報9mを利用者端末500のエージェント530に送信することで、マルウェア93wの感染源ファイル91eの特定を依頼する(ステップS432)。
In the
利用者端末500では、マルウェア情報9mを受信すると、エージェント530が、受信したマルウェア情報9mを生成経路追跡部515に通知し、生成経路追跡部515により、感染源ファイル91eを特定する(ステップS533)。感染源ファイル91eの特定によって、感染源ファイル91eのフルパス名が取得される。
In the
エージェント530は、取得したフルパス名を用いて、エージェントDB540を検索し、フルパス名が一致するレコードに記憶されている添付ファイル情報を取得し、感染源ファイル情報8bとして対応付け管理サーバ400へ送信する(ステップS534)。
The
そして、対応付け管理サーバ400では、メッセージID特定部450が、受信した感染源ファイル情報8bを用いて、対応付け情報蓄積DB460を検索し、メッセージIDを特定する(ステップS433)。
In the
対応付け情報蓄積DB460において、受信した感染源ファイル情報8bと一致する添付ファイル情報のレコードから1以上のメッセージIDが特定される。特定した1以上のメッセージIDは、記憶部130に記憶され、後述される感染源メール処理(ステップE)にて利用される。
In the association
図17は、図7の不要情報削除処理(ステップD)を詳述するためのフローチャート図である。不要情報削除処理は、利用者端末500と対応付け管理サーバ400とにより行われ、利用者端末500が定期的に、安全なファイル情報8aを特定し、対応付け管理サーバ400で保持する対応付け情報7aの情報量を削減する。
FIG. 17 is a flowchart for explaining the unnecessary information deleting process (step D) in FIG. 7 in detail. The unnecessary information deletion process is performed by the
図17より、利用者端末500は、エージェント530は、エージェントDB540からファイル名を1つ取得し(ステップS541)、マルウェア検出部513による結果ログ514と突き合わせ、検出状況を判定する(ステップS542)。「検出未実施」、「検出済み脅威あり」、及び「検出済み脅威なし」の判定結果を得る。
17, the
検出状況が「検出未実施」又は「検出済み脅威あり」であると判定した場合、エージェント530は、ステップS546へと進む。
If it is determined that the detection status is “not detected yet” or “there is a detected threat”, the
検出状況が「検出済み脅威なし」であると判定した場合、エージェント530は、生成経路追跡部515により、派生して生成されたファイルに脅威があるか否かを判断する(ステップS543)。「全て脅威なし」、「一部脅威あり」、及び「一部検出未実施」のいずれかが判断結果として示される。
When it is determined that the detection status is “no detected threat”, the
「一部脅威あり」又は「一部検出未実施」と判断した場合、エージェント530は、ステップS546へと進む。一方、「全て脅威なし」と判断した場合、エージェント530は、ステップS541で取得したファイル名のファイルは、安全なファイルであると判定し、添付ファイル情報をエージェントDB540から取得して、安全なファイル情報8aとして対応付け管理サーバ400へ送信することで、削除を依頼する(ステップS534)。
If it is determined that “partially threated” or “partially not detected”, the
対応付け管理サーバ400では、安全なファイル情報8aを受信すると、対応付け情報削除部430は、対応付け情報蓄積DB460から安全なファイル情報8aと一致する添付ファイル情報のレコードを削除する(ステップS441)。
When the
メール情報保管DB6を備えている場合には、安全なファイル情報8aと一致する添付ファイル情報のレコードからメッセージIDを取得し、更に、メール情報保管DB6から受信者を特定できる。メール情報保管DB6を備えていない場合、メッセージIDをメールサーバ300に送信して、受信者のメールアドレスを取得すればよい。
When the mail
従って、対応付け情報削除部430は、受信者に、安全な(危険性のない)添付ファイルである旨を通知するようにしてもよい。そして、受信者に通知後に、安全なファイル情報8aと一致する添付ファイル情報のレコードを削除するようにする。
Therefore, the association
図10のデータ構成例において、添付ファイル情報「eGr6wea%t5#$」のレコードの削除がこの処理によって行われる。 In the data configuration example of FIG. 10, the record of the attached file information “eGr6wea% t5 # $” is deleted by this process.
その後、エージェント530は、エージェントDB540から、添付ファイル情報のレコードを削除する(ステップS545)。
Thereafter, the
ステップS541で取得したファイル名に対する処理を終了すると、エージェントDB540は、次のファイル名があるか否かを判断する(ステップS546)。次のファイル名が存在する場合(ステップS546のYES)、エージェント530は、ステップS541へと戻り上述同様の処理を繰り返す。一方、次のファイル名が存在しない場合(ステップS546のNO)、この不要情報削除処理が終了する。
When the process for the file name acquired in step S541 ends, the
図18は、図8の感染源メール対処処理(ステップE)を詳述するためのフローチャート図である。感染源メール対処処理は、対応付け管理サーバ400とメールサーバ300とにより行われ、感染源メール9aの削除と、感染源メール9aの受信者への注意喚起を行う。
FIG. 18 is a flowchart for explaining the infection source mail handling process (step E) in FIG. 8 in detail. The infection source mail handling process is performed by the
図18より、対応付け管理サーバ400において、メッセージID特定部450は、記憶部130に記憶された1以上のメッセージIDから1つを取得する(ステップS451)。記憶部130に記憶された1以上のメッセージIDは、感染源メール特定処理(図16)において特定した感染源ファイル情報8bに基づいて特定したメッセージIDである。
18, in the
メッセージID特定部450は、メッセージIDを用いて感染源メール9aの受信者などの情報を取得する(ステップS452)。感染源メール9aの受信者などの情報は、メッセージIDでメールサーバに問い合わせて取得しても良いし、対応付け管理サーバ400がメール情報保管DB6(図13)を備えている場合には、メール情報保管DB6をメッセージIDで検索して、受信者などの情報を取得してもよい。
The message
メッセージID特定部450は、ステップS451で取得したメッセージIDをメールサーバ300に送信して、感染源メール9aの削除を依頼する(ステップS453)。
The message
メールサーバ300では、対応付け管理サーバ400からメッセージIDを受信すると、メッセージIDに基づいて、メールサーバ300内の記憶領域で保持している感染源メール9aを特定して削除し、対応付け管理サーバ400に削除完了を通知する(ステップS351)。
When the
対応付け管理サーバ400では、感染源メール9aの削除完了の通知を受けると、メッセージID特定部450は、感染源メール9aの受信者宛てに、注意喚起と電子メールの削除結果通知とを内容とした電子メールの送信を依頼する(ステップS454)。少なくとも、感染源メール9aの受信者の電子メールアドレスがメールサーバ300へ送信される。受信者の電子メールアドレスと共に、注意喚起と電子メールの削除結果通知の内容をメールサーバ300へ送信してもよい。
When the
メールサーバ300では、対応付け管理サーバ400から、少なくとも受信者の電子メールアドレスが指定された依頼を受信すると、感染源メール9aの受信者宛てに電子メールを送信し、対応付け管理サーバ400に完了結果を通知する(ステップS352)。
When the
対応付け管理サーバ400では、メールサーバ300から完了結果を受信すると、全てのメッセージIDに対して処理を終了したか否かを判断する(ステップS455)。未処理のメッセージIDが存在する場合(ステップS455のYES)、メッセージID特定部450は、ステップS451へと戻り上述した同様の処理を繰り返す。
When the
メッセージIDが2以上存在する場合、感染源ファイル91eが複数の電子メール3に添付されていたことを意味する。そのため、同じ添付ファイルを含む電子メール3(この場合、感染源電子メール9となる)を削除する。
If there are two or more message IDs, it means that the infection source file 91e is attached to a plurality of
一方、全てのメッセージIDに対して処理を終了した場合(ステップS455のNO)、感染源メール対処処理が終了する。 On the other hand, when the process is completed for all message IDs (NO in step S455), the infection source mail handling process is terminated.
上述したように、本実施例では、電子メール3の添付ファイルの情報(添付ファイル情報)と、電子メール3を特定するメッセージIDとを対応付けて管理する対応付け管理サーバ400が、利用者端末500から安全なファイル情報8aを受信できる仕組みとすることで、感染源メール9aを特定するために蓄積した対応付け情報7aの情報量を削減できる。
As described above, in the present embodiment, the
情報量の削減について、発明者等によって試算された結果を下記に示す。先ず、単に、添付ファイルを持つ電子メール3のメッセージIDと、添付ファイル情報とを保管した場合の情報量について考察する。
The results calculated by the inventors for reducing the amount of information are shown below. First, the amount of information when the message ID of the
メッセージIDに使用する文字列の最大長は規格などで定義されていないが、一般的に64バイト程度から、256バイトの長さが利用されている。添付ファイル情報は、ファイルの内容をハッシュ関数などで要約し、文字列に変換した情報であり、数十バイトの文字列となる。 Although the maximum length of the character string used for the message ID is not defined by the standard or the like, generally, a length of about 64 bytes to 256 bytes is used. The attached file information is information obtained by summarizing the contents of a file with a hash function or the like and converted into a character string, and is a character string of several tens of bytes.
発明者等は、環境を以下のように想定した場合で、保管する情報量を算出した。
・メール流通量:1日20万通(従業員2000人の企業で一人当たり100通の利用の場合)
・添付ファイル含有率:50%
・添付ファイル個数:1電子メール当たり平均2個
・メッセージID長:平均128バイト
・ファイル情報長:平均80バイト
である。
The inventors calculated the amount of information to be stored when the environment was assumed as follows.
・ Email distribution volume: 200,000 mails per day (in a company with 2000 employees, 100 mails per person)
・ Attached file content rate: 50%
-Number of attached files: average 2 per email-Message ID length: average 128 bytes-File information length: average 80 bytes
また、
・メッセージID文字列総量:20万通×50%×128バイト
=12800000バイト=約12MB
・ファイル情報総量:20万通×50%×2個×80バイト
=16000000バイト=約16MB
・1日当たりの合計:約28MB
・5年間運用した場合の合計:28MB×1825日
=51100MB=約50GB
となった。
Also,
-Total message ID string: 200,000 x 50% x 128 bytes
= 12800000 bytes = about 12MB
・ Total amount of file information: 200,000 copies x 50% x 2 pieces x 80 bytes
= 16000000 bytes = about 16MB
・ Total per day: about 28MB
-Total for 5 years of operation: 28MB x 1825 days
= 51100MB = about 50GB
It became.
即ち、5年間運用を行った状態で、利用者端末500でマルウェアが検出されると、約50GB、1億8250万レコードの中からメッセージIDを検索することになり、多くの時間とCPUコストを消費することになる。
・1万人を超えるような大規模ユーザを想定すると、非現実的な情報量となり、運用が困難になると考えられる。
In other words, when malware is detected in the
・ Assuming a large-scale user exceeding 10,000, it is considered that the amount of information becomes unrealistic and operation becomes difficult.
しかしながら、本実施例では、対応付け管理サーバ400が、利用者端末500のエージェントが、マルウェア検出部513の結果ログ514を用いて判定した安全なファイル情報8aを受信することで、対応付け情報蓄積DB460での蓄積情報量の増加を削減することができる。
However, in the present embodiment, the
次に、本実施例における再感染による防御について説明する。近年、電子メールによる標的型攻撃が巧妙化し、マルウェア93wを即時検出するためにエンドポイント型センサが利用されている。本実施例において、利用者端末500のマルウェア検出部513がエンドポイント型センサに相当する。標的型攻撃とは、特定の企業や組織のユーザを狙ったサイバー攻撃の一つである。
エンドポイント型センサは、利用者端末500上で異常な振る舞いを行うマルウェア93wのファイル名を特定できるが、感染源メール9aを特定することができない。従って、メールサーバ300に感染源メール9aが残り続け、再感染や、社外などへの転送により加害者となって企業の信頼低下につながることが問題視されている。
Next, the defense by reinfection in a present Example is demonstrated. In recent years, targeted attacks by e-mail have become more sophisticated, and endpoint sensors have been used to immediately detect
The endpoint type sensor can specify the file name of the
本実施例では、感染源メール9aを特定し、メールサーバ300に特定した感染源メール9aの削除、及び利用者にダウンロード済み感染源ファイル91eの削除を、禁則に要請できる。
In the present embodiment, the
更には、再感染を防止する効果もある。メールサーバ300に感染源メール9aが残存すると、利用者が再度その感染源メール9aを操作したときに再感染する可能性がある。また、利用者による感染源メール9aの他の利用者への転送等の操作により、感染が拡大する可能性がある。
Furthermore, it has the effect of preventing reinfection. If the
再感染した場合においても、各利用者端末500において、エンドポイント型センサが脅威を検出し報告することはできる。このため、再感染について対処不要と考えられる。しかしながら、振る舞い型センサの場合、プログラムが動作してから検知を実施することになるため、コンピュータシステムの破壊時、改変時に脅威を検知することになる。このため、従来のシグネチャ型検知とは異なり、再感染すると再度被害が進行することになる。エンドポイント型センサによりマルウェア93wを検出できる状況であっても、即時、メールサーバ300で感染源メール9aを削除することが重要である。
Even in the case of re-infection, the endpoint sensor can detect and report a threat at each
本実施例では、メールサーバ300に対して感染源メール9aの削除を依頼できるため、再感染に対する脅威を最小限に抑えることができる。
In this embodiment, since it is possible to request the
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、主々の変形や変更が可能である。 The present invention is not limited to the specifically disclosed embodiments, and can be principally modified and changed without departing from the scope of the claims.
以上の実施例を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
コンピュータに、
メッセージに添付されたファイルデータを特定する添付ファイル情報毎に、該メッセージを特定する特定情報を対応付けて記憶部に記憶し、
前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する
処理を実行させる管理プログラム。
(付記2)
前記コンピュータに、
前記ファイルデータが感染している旨の感染情報を受信したことに応じて、前記記憶部に記憶した、前記感染情報で特定される前記添付ファイル情報に対応付けられた前記特定情報に基づいて前記メッセージを特定し、該メッセージを保持する装置及び該メッセージの送信先に対して、該メッセージの削除を要求する
処理を実行させる付記1記載の管理プログラム。
(付記3)
前記コンピュータに、
危険なファイルデータを通知する危険情報を受信したことに応じて、該危険情報で示される該危険なファイルデータの前記添付ファイル情報の特定を、通知元に要求する処理を実行させ、
前記要求に応じて特定された前記添付ファイル情報を指定した前記感染情報を受信することを特徴とする付記2記載の管理プログラム。
(付記4)
前記コンピュータに、
前記ファイルデータが危険性がない旨の前記安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報に対応付けられた前記特定情報に基づいて前記メッセージを特定し、該メッセージの送信先に対して、該メッセージの削除を要求して、該記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する
処理を実行させることを特徴とする付記3記載の管理プログラム。
(付記5)
前記コンピュータに、
少なくとも、前記メッセージを特定する前記特定情報と、該メッセージの送信先の情報とを関連付けて前記記憶部に記憶させる処理を実行させ、
前記感染情報で特定される前記添付ファイル情報に対応付けられた前記特定情報に関連付けられる前記送信先の情報を取得させることを特徴とする付記2又は3記載の管理プログラム。
(付記6)
コンピュータが、
メッセージに添付されたファイルデータを特定する添付ファイル情報毎に、該メッセージを特定する特定情報を対応付けて記憶部に記憶し、
前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する
処理を行う管理方法。
(付記7)
メッセージに添付されたファイルデータを特定する添付ファイル情報毎に、該メッセージを特定する特定情報を対応付けて記憶部に記憶する対応付け部と、
前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する削除部と
を有する情報処理装置。
The following additional notes are further disclosed with respect to the embodiment including the above examples.
(Appendix 1)
On the computer,
For each attached file information that specifies file data attached to the message, the specific information that specifies the message is associated and stored in the storage unit,
The attachment specified by the safety information stored in the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from any one of the transmission destinations of the message A management program for executing processing for deleting file information from the storage unit.
(Appendix 2)
In the computer,
Based on the specific information associated with the attached file information specified by the infection information stored in the storage unit in response to receiving the infection information indicating that the file data is infected. The management program according to
(Appendix 3)
In the computer,
In response to receiving the danger information for notifying the dangerous file data, the process of requesting the notification source to specify the attached file information of the dangerous file data indicated by the danger information is executed.
The management program according to appendix 2, wherein the infection information specifying the attached file information specified in response to the request is received.
(Appendix 4)
In the computer,
Based on the specific information associated with the attached file information specified by the safety information stored in the storage unit in response to receiving the safety information that the file data is not dangerous. Processing for identifying the message, requesting the message destination to delete the message, and deleting the attached file information specified by the safety information stored in the storage unit from the storage unit The management program according to
(Appendix 5)
In the computer,
At least, the processing for storing the specific information for specifying the message and the transmission destination information of the message in association with each other is executed,
The management program according to
(Appendix 6)
Computer
For each attached file information that specifies file data attached to the message, the specific information that specifies the message is associated and stored in the storage unit,
The attachment specified by the safety information stored in the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from any one of the transmission destinations of the message A management method for performing processing for deleting file information from the storage unit.
(Appendix 7)
For each attached file information that identifies file data attached to a message, an association unit that associates specific information that identifies the message and stores the associated information in a storage unit;
The attachment specified by the safety information stored in the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from any one of the transmission destinations of the message An information processing apparatus comprising: a deletion unit that deletes file information from the storage unit.
2f 添付ファイル
3 電子メール
7a 対応付け情報
8a 安全なファイル情報
8b 感染源ファイル情報
9a 感染源メール
9m マルウェア情報
91e 感染源ファイル
100 SMTPサーバ
300 メールサーバ
330 添付ファイル管理部
350 添付ファイル情報取得部
400 対応付け管理サーバ
410 対応付け情報受信部、 430 対応付け情報削除部
450 メッセージID特定部、 460 対応付け情報蓄積部
470 感染源ファイル特定部、 490 マルウェア情報DB
500 利用者端末
510 メールソフト
513 マルウェア検出部、 515 生成経路追跡部
514 結果ログ
530 エージェント
532 取り出し監視部、 534 ファイル情報取得部
540 エージェントDB
1000 システム
2f
500
1000 systems
Claims (6)
メッセージに添付されたファイルデータを特定する添付ファイル情報毎に、該メッセージを特定する特定情報を対応付けて記憶部に記憶し、
前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する
処理を実行させる管理プログラム。 On the computer,
For each attached file information that specifies file data attached to the message, the specific information that specifies the message is associated and stored in the storage unit,
The attachment specified by the safety information stored in the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from any one of the transmission destinations of the message A management program for executing processing for deleting file information from the storage unit.
前記ファイルデータが感染している旨の感染情報を受信したことに応じて、前記記憶部に記憶した、前記感染情報で特定される前記添付ファイル情報に対応付けられた前記特定情報に基づいて前記メッセージを特定し、該メッセージを保持する装置及び該メッセージの送信先に対して、該メッセージの削除を要求する
処理を実行させる請求項1記載の管理プログラム。 In the computer,
Based on the specific information associated with the attached file information specified by the infection information stored in the storage unit in response to receiving the infection information indicating that the file data is infected. The management program according to claim 1, wherein a message is specified, and processing for requesting deletion of the message is executed to an apparatus that holds the message and a transmission destination of the message.
危険なファイルデータを通知する危険情報を受信したことに応じて、該危険情報で示される該危険なファイルデータの前記添付ファイル情報の特定を、通知元に要求する処理を実行させ、
前記要求に応じて特定された前記添付ファイル情報を指定した前記感染情報を受信することを特徴とする請求項2記載の管理プログラム。 In the computer,
In response to receiving the danger information for notifying the dangerous file data, the process of requesting the notification source to specify the attached file information of the dangerous file data indicated by the danger information is executed.
The management program according to claim 2, wherein the infection information specifying the attached file information specified in response to the request is received.
前記ファイルデータが危険性がない旨の前記安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報に対応付けられた前記特定情報に基づいて前記メッセージを特定し、該メッセージの送信先に対して、該メッセージの削除を要求して、該記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する
処理を実行させることを特徴とする請求項1乃至3のいずれか一項記載の管理プログラム。 In the computer,
Based on the specific information associated with the attached file information specified by the safety information stored in the storage unit in response to receiving the safety information that the file data is not dangerous. Processing for identifying the message, requesting the message destination to delete the message, and deleting the attached file information specified by the safety information stored in the storage unit from the storage unit The management program according to any one of claims 1 to 3, wherein the management program is executed.
メッセージに添付されたファイルデータを特定する添付ファイル情報毎に、該メッセージを特定する特定情報を対応付けて記憶部に記憶し、
前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する
処理を行う管理方法。 Computer
For each attached file information that specifies file data attached to the message, the specific information that specifies the message is associated and stored in the storage unit,
The attachment specified by the safety information stored in the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from any one of the transmission destinations of the message A management method for performing processing for deleting file information from the storage unit.
前記メッセージの送信先のいずれかから、添付された前記ファイルデータについての危険性がない旨の安全情報を受信したことに応じて、前記記憶部に記憶した、前記安全情報で特定される前記添付ファイル情報を前記記憶部から削除する削除部と
を有する情報処理装置。 For each attached file information that identifies file data attached to a message, an association unit that associates specific information that identifies the message and stores the associated information in a storage unit;
The attachment specified by the safety information stored in the storage unit in response to receiving safety information indicating that there is no danger with respect to the attached file data from any one of the transmission destinations of the message An information processing apparatus comprising: a deletion unit that deletes file information from the storage unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016037398A JP6736913B2 (en) | 2016-02-29 | 2016-02-29 | Management program, management method, and management device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016037398A JP6736913B2 (en) | 2016-02-29 | 2016-02-29 | Management program, management method, and management device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017156837A true JP2017156837A (en) | 2017-09-07 |
JP6736913B2 JP6736913B2 (en) | 2020-08-05 |
Family
ID=59809846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016037398A Expired - Fee Related JP6736913B2 (en) | 2016-02-29 | 2016-02-29 | Management program, management method, and management device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6736913B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220083679A1 (en) * | 2020-09-14 | 2022-03-17 | Box, Inc. | Broker-assisted workflows |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007018182A (en) * | 2005-07-06 | 2007-01-25 | Mitsubishi Electric Corp | Virus inspection device and virus inspection system |
US20080168563A1 (en) * | 2007-01-10 | 2008-07-10 | Fujitsu Limited | Storage medium storing terminal identifying program terminal identifying apparatus, and mail system |
JP2008289157A (en) * | 2008-05-16 | 2008-11-27 | Fujitsu Ltd | Messaging virus check program or the like |
JP2013164787A (en) * | 2012-02-13 | 2013-08-22 | Nippon Telegr & Teleph Corp <Ntt> | Electronic mail server, mail distribution system and mail distribution method |
-
2016
- 2016-02-29 JP JP2016037398A patent/JP6736913B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007018182A (en) * | 2005-07-06 | 2007-01-25 | Mitsubishi Electric Corp | Virus inspection device and virus inspection system |
US20080168563A1 (en) * | 2007-01-10 | 2008-07-10 | Fujitsu Limited | Storage medium storing terminal identifying program terminal identifying apparatus, and mail system |
JP2008172457A (en) * | 2007-01-10 | 2008-07-24 | Fujitsu Ltd | Terminal specification program, terminal specification device and mail system |
JP2008289157A (en) * | 2008-05-16 | 2008-11-27 | Fujitsu Ltd | Messaging virus check program or the like |
JP2013164787A (en) * | 2012-02-13 | 2013-08-22 | Nippon Telegr & Teleph Corp <Ntt> | Electronic mail server, mail distribution system and mail distribution method |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220083679A1 (en) * | 2020-09-14 | 2022-03-17 | Box, Inc. | Broker-assisted workflows |
Also Published As
Publication number | Publication date |
---|---|
JP6736913B2 (en) | 2020-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210248230A1 (en) | Detecting Irregularities on a Device | |
US10489583B2 (en) | Detecting malicious files | |
US9686297B2 (en) | Malicious message detection and processing | |
US6851058B1 (en) | Priority-based virus scanning with priorities based at least in part on heuristic prediction of scanning risk | |
KR102093274B1 (en) | Content scanning agent, content scanning method, and storage media on which the program is recorded | |
US9723484B2 (en) | Proactive intrusion protection system | |
US11627164B2 (en) | Multi-perspective security context per actor | |
US10659493B2 (en) | Technique for detecting malicious electronic messages | |
JP6493606B1 (en) | Information processing apparatus, client terminal, control method, and program | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
EP3195140B1 (en) | Malicious message detection and processing | |
JP2016063443A (en) | Mail monitoring device and method | |
JP6736913B2 (en) | Management program, management method, and management device | |
US8239946B2 (en) | Methods and systems for computer security | |
US20230283632A1 (en) | Detecting malicious url redirection chains | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
JP6761181B2 (en) | Policy setting device, policy setting method and policy setting program | |
JP2009176137A (en) | Virus suffering range prediction system | |
JP2016181191A (en) | Management program, management unit and management method | |
Kaur | Network Security: Anti-virus. | |
CN108063771B (en) | Method and device for monitoring encrypted compressed file | |
WO2016186902A1 (en) | Detecting malicious files | |
US20070294396A1 (en) | Method and system for researching pestware spread through electronic messages | |
AU2009101137A4 (en) | Scheme for automatic valuation and protection of digital content | |
JP2020004375A (en) | Information processing apparatus, client terminal, control method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181112 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191001 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200616 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200629 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6736913 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |