JP2018063645A - 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム - Google Patents
電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム Download PDFInfo
- Publication number
- JP2018063645A JP2018063645A JP2016202645A JP2016202645A JP2018063645A JP 2018063645 A JP2018063645 A JP 2018063645A JP 2016202645 A JP2016202645 A JP 2016202645A JP 2016202645 A JP2016202645 A JP 2016202645A JP 2018063645 A JP2018063645 A JP 2018063645A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- monitoring
- terminal
- occurrence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行う。【解決手段】電子メール監視装置50は、電子メール71が不正動作を発生させる可能性がある不正情報710を含むことを表す解析結果に基づいて、電子メール71と、電子メール71を受信したあるいは今後受信する可能性がある端末装置60と、を関連付ける端末特定情報510を生成する生成部51と、端末特定情報510において、電子メール71と関連付けられた、外部からの指示に応じて不正動作の発生を監視する監視部61を備えた端末装置60に対して、不正動作の発生を監視することを指示する指示部52と、を備える。【選択図】 図4
Description
本願発明は、不正な電子メールによる不正動作を監視する技術に関する。
近年、不正な(悪性のある)電子メールを使用したサイバー攻撃が急増している。したがって、不正な電子メールを監視することによって、サイバー攻撃から防御する技術に対する期待が高まってきている。
このような技術に関連する技術として、特許文献1には、コンピュータウィルスによる不正な電子メールの送信を抑制する電子メール装置が開示されている。この装置は、送信が予定された電子メールがコンピュータウィルスによる不正な電子メールであるかどうかの判断を行なう。この装置は、電子メールの内容を表示装置に表示して、利用者に対して、本人認証及び電子メールの送信を意図しているかどうかの確認を要求することによって、前述した判断を行なう。この装置は、利用者が本人である旨の応答を受信し、又は、利用者が送信を意図した電子メールである旨の応答を受信した場合は、その電子メールは不正な電子メールでないと判断して、当該電子メールを送信する。
また、特許文献2には、コンピュータ処理能力に乏しい小型のメール端末に負担を発生させることなく、コンピュータウィルスの感染判定を行う電子メールシステムが開示されている。このシステムでは、メールサーバとメール端末とが、無線通信網を介して接続され、メール端末は、携帯電話や携帯情報端末の小型のメール端末として構成されている。このメールサーバにインターネット通信網を介して電子メールが到着したとき、メールサーバは、当該電子メールがウィルスに感染しているか否かを判定する。このメールサーバは、ウィルス感染に関する判定結果を、検査情報の全部又は一部として、電子メールのヘッダ内に追記する。メール端末は、検査情報に基づいてウィルス感染の有無等を検知し、電子メールがウィルスに感染している場合は、ブザーや振動等を正常なメール受信時と違えることにより、ユーザにウィルス感染を報知する。
また、特急文献3には、メールサーバと、検査コンピュータとを有するウィルス検査システムが開示されている。この検査コンピュータは、メールサーバから転送された電子メールの添付ファイルを実行する。このシステムは、検査コンピュータとパーソナルコンピュータに備えられている周辺機器とを接続するI(Input)/O(Output)ポートに対する、当該添付ファイルの実行によるアクセスの有無を検出することによって、ウィルスの侵入を検査する。
一般的な電子メールシステムでは、例えばサンドボックスを構築したメール解析装置によって、不正な電子メールを検知することができる。サンドボックスとは、調査対象である電子メールに不正情報が含まれているか否かを解析するために、例えば仮想環境として構築された隔離環境のことであり、不正情報による不正動作が発生してもシステムに影響を与えない保護された領域(ソフトウェアの実行環境)のことである。このサンドボックスを利用して不正な電子メールを検出する技術では、サンドボックスにおいて、当該電子メールに含まれるURL(Uniform Resource Locator)へのアクセスを行なった後に、あるいは、当該電子メールに添付されたファイルを実行した後などに、不正動作が発生しているか否かを解析する。
このようにメール解析装置によって不正な電子メールを検知した場合、例えば当該電子メールの宛先(メールアドレス)を把握することは可能であるが、当該電子メールを受信したあるいは今後受信する可能性がある端末装置を特定することまでは、一般的に行なわれていない。もし不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定できれば、当該端末装置に対して不正動作を監視する指示を与えることによって、不正動作の発生に対する監視を効率的に確実に行なうことができる。したがって、電子メールシステムにおいて、不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定し、特定した端末装置に対して不正動作を監視する指示を与えるようにすることが課題である。特許文献1乃至3は、この課題について言及していない。本願発明の主たる目的は、この課題を解決する電子メール監視装置等を提供することである。
本願発明の一態様に係る電子メール監視装置は、電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、を備える。
上記目的を達成する他の見地において、本願発明の一態様に係る電子メール監視方法は、電子メール監視装置によって、電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示し、前記端末装置によって、前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する。
また、上記目的を達成する更なる見地において、本願発明の一態様に係る電子メール監視プログラムは、電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成処理と、前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示処理と、をコンピュータに実行させるためのプログラムである。
更に、本願発明は、係る電子メール監視プログラム(コンピュータプログラム)が格納された、コンピュータ読み取り可能な、不揮発性の記録媒体によっても実現可能である。
本願発明は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことを可能とする。
以下、本願発明の実施の形態について図面を参照して詳細に説明する。
<第1の実施形態>
図1は、本願発明の第1の実施の形態に係る電子メール監視システム1の構成を概念的に示すブロック図である。電子メール監視システム1は、大別して、電子メール監視装置10、端末装置20、メールサーバ装置30、及び、メール解析装置40を有している。これらの装置は、通信可能に接続されている。図1には説明の便宜上、端末装置20を1つ示しているが、電子メール監視システム1は、端末装置20を複数有してもよい。また、図1には説明の便宜上、電子メール31を1つ示しているが、電子メール監視システム1は、多数の電子メール31に対する処理を行う。電子メール監視システム1では、電子メール監視装置10は、不正な電子メール31を受信した端末装置20に対して不正動作を監視することを指示し、端末装置20は、その指示に応じて、不正動作の発生を監視する。
図1は、本願発明の第1の実施の形態に係る電子メール監視システム1の構成を概念的に示すブロック図である。電子メール監視システム1は、大別して、電子メール監視装置10、端末装置20、メールサーバ装置30、及び、メール解析装置40を有している。これらの装置は、通信可能に接続されている。図1には説明の便宜上、端末装置20を1つ示しているが、電子メール監視システム1は、端末装置20を複数有してもよい。また、図1には説明の便宜上、電子メール31を1つ示しているが、電子メール監視システム1は、多数の電子メール31に対する処理を行う。電子メール監視システム1では、電子メール監視装置10は、不正な電子メール31を受信した端末装置20に対して不正動作を監視することを指示し、端末装置20は、その指示に応じて、不正動作の発生を監視する。
メールサーバ装置30は、電子メール31に含まれる宛先のメールアドレスを有するユーザが、端末装置20を使用してメールサーバ装置30に対してアクセスした場合、電子メール31を端末装置20へ配信する。メールサーバ装置30及び端末装置20は、この際、例えば、IMAP(Internet Message Access Protocol)、あるいはPOP(Post Office Protocol)等の電子メール用の通信プロトコルを使用する。メールサーバ装置30は、端末装置20からのアクセス履歴(ログイン履歴)を、アクセス履歴32として、内蔵する電子メモリや磁気ディスク等の記憶デバイス(不図示)に記憶している。
アクセス履歴32は、例えば、電子メール31に含まれる宛先のメールアドレスと、端末装置20を識別可能な識別子と、を関連付けた情報である。端末装置20を識別可能な識別子としては、例えば、IP(Internet Protocol)アドレスなどが使用できる。
メール解析装置40は、調査対象である電子メール(検体(被検体))に不正情報が含まれているか否かを解析するために、サンドボックスを構築した情報処理装置である。メール解析装置40は、メールサーバ装置30から電子メール31を入手して、入手した電子メール31に不正情報が含まれているか否かを解析する。メール解析装置40は、より具体的には、電子メール31に含まれるURLへのアクセスを行なった後に、あるいは、電子メール31に添付されたファイル(添付ファイル)を実行した後などに、不正動作が発生しているか否かを解析する。
メール解析装置40は、その解析結果41を、電子メール監視装置10へ送信する。解析結果41は、例えば、電子メール31に含まれる宛先のメールアドレスと、検体指標(indicator)を含んでいる。ただし、検体指標とは、電子メール31に含まれる不正情報を示す指標のことであり、例えば、アクセスによって不正動作を発生させるURL、あるいは実行によって不正動作を発生させる添付ファイルを識別可能な識別子などである。この添付ファイルを識別可能な識別子としては、例えば、当該添付ファイルのMD5(Message Digest Algorithm 5)ハッシュ値などがある。
本実施形態に係る電子メール監視装置10は、生成部11、指示部12、及び、端末特定情報記憶部13を備えている。
生成部11は、メール解析装置40から受信した解析結果41と、メールサーバ装置に記憶されているアクセス履歴32とに基づいて、端末特定情報130を生成する。端末特定情報130は、不正情報を含む電子メール31と、電子メール31を受信した可能性がある、あるいは今後受信する可能性がある端末装置20とを関連付ける情報である。
図2は、本実施形態に係る端末特定情報130の構成を、概念的に例示する図である。図2に例示する通り、端末特定情報130は、不正情報を含む電子メール31を受信した可能性がある、あるいは今後受信する可能性がある端末装置20のIPアドレスと、電子メール31に含まれる宛先のメールアドレスと、電子メール31に含まれる検体指標とが、関連付けされた情報である。
図2に例示する端末特定情報130は、例えば、IPアドレスが「IPアドレス0001」である端末装置20が、不正な添付ファイルAを含む、宛先のメールアドレスが「メールアドレス00001」である電子メール31を受信した可能性があることを示している。なお、図2に例示する端末特定情報130では、1つの宛先のメールアドレスに、1つのIPアドレスが関連付けされているが、あるユーザが複数の端末装置20を使用する場合などでは、1つの宛先のメールアドレスに、複数のIPアドレスが関連付けされる場合がある。
図1に示す生成部11は、生成した端末特定情報130を、端末特定情報記憶部13へ格納する。端末特定情報記憶部13は、例えば、磁気ディスクあるいは電子メモリ等の記憶デバイスである。
指示部12は、端末特定情報記憶部13に記憶された端末特定情報130を参照し、端末特定情報130にIPアドレスが登録されている端末装置20に対して、不正動作の発生を監視することを指示する。指示部12は、この際、端末特定情報130において、端末装置20と関連付けされている検体指標を、端末装置20へ通知する。
図1に示す本実施形態に係る端末装置20は、例えばパーソナルコンピュータなどの情報処理装置である。端末装置20は、IMAPあるいはPOP等の通信プロトコルを使用して、ユーザのメールアドレスによる認証を受けて、メールサーバ装置30と接続し、メールサーバ装置30から電子メール31を受信する。端末装置20は、ユーザによる操作入力に応じて、例えば、電子メール31に添付されたファイルに対する所定の処理や、電子メールに含まれる、通信ネットワークにおけるURL等のアクセスアドレスへのアクセスを行う機能を備える。端末装置20は、動作ログ生成部21、監視部22、及び、動作ログ記憶部23を備えている。
動作ログ生成部21は、端末装置20の動作を監視して、その監視結果を動作ログ230として、動作ログ記憶部23へ格納する。動作ログ記憶部23は、例えば、磁気ディスクあるいは電子メモリ等の記憶デバイスである。動作ログ生成部21は、例えば、端末装置20によって行なわれる下記の動作を監視する。
・ファイルへのアクセス:動作時刻、アクセスファイルの名称、アクセスファイルのMD5ハッシュ値、
・プロセスの起動及び終了:動作時刻、実行ファイルの名称、実行ファイルのMD5ハッシュ値、当該プロセスを呼び出した親プロセスに関する情報、
・HTTP(HyperText Transfer Protocol)通信:動作時刻、通信先のURL。
・ファイルへのアクセス:動作時刻、アクセスファイルの名称、アクセスファイルのMD5ハッシュ値、
・プロセスの起動及び終了:動作時刻、実行ファイルの名称、実行ファイルのMD5ハッシュ値、当該プロセスを呼び出した親プロセスに関する情報、
・HTTP(HyperText Transfer Protocol)通信:動作時刻、通信先のURL。
監視部22は、電子メール監視装置10における指示部12による指示に応じて、指示部12から通知された検体指標に基づいて、端末装置20における不正動作の発生を監視する。監視部22は、動作ログ記憶部23に格納済みである動作ログ230を確認するとともに、動作ログ生成部21によって、動作ログ230として追加される監視結果(動作ログ)も確認する。
監視部22は、例えば、検体指標として、図2に例示する「添付ファイルA」を通知された場合、端末装置20において行なわれる、「添付ファイルA」に対する所定の処理を監視する。例えば「添付ファイルA」が、実行形式のファイル(例えば拡張子が「exe」等であるファイル)である場合、監視部22は、「添付ファイルA」が端末装置20において実行されたことをもって、不正動作の発生を検知する。あるいは、「添付ファイルA」が、圧縮形式のファイル(例えば拡張子が「zip」等であるファイル)である場合、監視部22は、「添付ファイルA」が解凍された(圧縮状態が解除された)のちに、「添付ファイルA」に含まれるファイルに対する所定の処理が端末装置20において行なわれたことをもって、不正動作の発生を検知する。
監視部22は、例えば、検体指標として、図2に例示する「アクセス先URL001」を通知された場合、端末装置20において行なわれる、「アクセス先URL001」へのアクセスを契機とする不正動作を監視する。監視部22は、この場合、例えば、「アクセス先URL001」へのアクセスによって、端末装置20において、不審なプロセスが起動された、あるいは、不審な通信が発生したことなどをもって、不正動作の発生を検知する。
監視部22は、端末装置20における不正動作の発生を検知した場合、端末装置20が備えるモニター(不図示)に不正動作が発生したことを表示してもよいし、システム管理者の端末装置(不図示)等に、不正動作の発生を通知してもよい。
次に図3のフローチャートを参照して、本実施形態に係る電子メール監視システム1の動作(処理)について詳細に説明する。
電子メール監視装置10は、メール解析装置40から、電子メール31に不正情報が含まれることを示す解析結果41を受信する(ステップS101)。電子メール監視装置10における生成部11は、端末装置20からメールサーバ装置30へのアクセス履歴32と、解析結果41とに基づいて、電子メール31と、端末装置20とを関連付ける端末特定情報130を生成し、端末特定情報130を端末特定情報記憶部13へ格納する(ステップ102)。
電子メール監視装置10における指示部12は、端末特定情報130において、電子メール31と関連付けされた端末装置20に、解析結果41により示された検体指標による不正動作を監視することを指示する(ステップ103)。端末装置20は、電子メール監視装置10における指示部12からの指示に応じて、動作ログ230を参照することによって、不正動作の発生を監視し(ステップS104)、全体の処理は修了する。
本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことができる。その理由は、電子メール監視システム1では、電子メール監視装置10は、不正な電子メール31を受信した可能性がある端末装置20に対して不正動作を監視することを指示するからである。そして、端末装置20は、電子メール監視装置10からの指示に応じて、不正動作の発生を監視するからである。
以下に、本実施形態に係る電子メール監視システム1によって実現される効果について、詳細に説明する。
メール解析装置によって不正な電子メールを検知する場合、例えば当該電子メールの宛先(メールアドレス)を把握することは可能であるが、当該電子メールを受信したあるいは今後受信する可能性がある端末装置を特定することまでは、一般的に行なわれていない。もし不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定できれば、当該端末装置に対して不正動作を監視する指示を与えることによって、不正動作の発生に対する監視を効率的に確実に行なうことができる。したがって、電子メールシステムにおいて、不正な電子メールを受信したあるいは今後受信する可能性がある端末装置を特定し、特定した端末装置に対して不正動作を監視する指示を与えるようにすることが課題である。
このような課題に対して、本実施形態に係る電子メール監視装置10では、生成部11は、電子メール31が不正動作を発生させる可能性がある不正情報を含むことを表す解析結果41に基づいて、電子メール31と、電子メール31を受信したあるいは今後受信する可能性がある端末装置20とを関連付ける端末特定情報130を生成する。指示部12は、端末特定情報130において、電子メール31と関連付けられた、外部からの指示に応じて不正動作の発生を監視する監視部22を備えた端末装置20に対して、不正動作の発生を監視することを指示する。そして、端末装置20では、監視部22は、電子メール31を受信したあるいは今後受信する可能性があることを、電子メール監視装置10によって検出された場合に、電子メール監視装置10による指示に応じて、不正動作の発生を監視する。すなわち、本実施形態に係る電子メール監視システム1では、メール解析装置40によって検出された不正な電子メール31を受信したあるいは今後受信する可能性がある端末装置20のみが、電子メール監視装置10による指示に応じて、電子メール31に含まれる不正情報によって発生する不正動作の発生を監視する。これにより、本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことができる。
また、本実施形態に係る端末装置20のIPアドレスが、例えばDHCP(Dynamic Host Configuration Protocol)によって付与される場合、端末装置20のIPアドレスが流動的に変化する。この場合、生成部11は、端末特定情報130を生成する際に、端末装置20を識別可能な識別子として、IPアドレスの変わりに、MAC(Media Access Control)アドレスを使用可能である。生成部11は、この場合、DHCPサーバ装置の動作ログを解析することによって、端末特定情報130を生成する。そして、この場合、指示部12は、端末特定情報130にMACアドレスが登録されている端末装置20に対して、不正動作の発生を監視することを指示する。
また、本実施形態に係る電子メール監視装置10は、電子メール31を、電子メール31を一意に識別可能なメール識別子により管理してもよい。この場合、生成部11は、例えば、メール解析装置40による解析結果41から、電子メール31を一意に識別可能なメール識別子(例えばメッセージID(Message-ID)、IDは「Identifier」を示す)を抽出する。生成部11は、例えば、端末装置20がメールサーバ装置30からSMTPあるいはPOP等によって電子メール31を受信する可能性がある場合に、当該メール識別子と端末装置20とを関連付けた端末特定情報130を生成する。そして、指示部12は、端末特定情報130において、当該メール識別子と関連付けられた端末装置20に対して、不正動作の発生を監視することを指示する。これにより、本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、さらに効率的に確実に行うことができる。
また、本実施形態に係る指示部12は、電子メール31に添付された不正なファイルを識別可能なファイル識別情報、あるいは、電子メール31に含まれる不正なURL(通信ネットワークにおけるアクセスアドレス)を、端末装置20に対して通知する。そして、端末装置20における監視部22は、通知されたファイルに対する所定の処理(動作)が発生すること、及び、通知されたURLへのアクセスを契機とする所定の処理が発生することを監視する。前述した所定の処理は、複合的な処理も含んでいる。これにより、本実施形態に係る電子メール監視システム1は、不正な電子メールを受信することによる不正動作の発生に対する監視を、より効率的に確実に行うことができる。
<第2の実施形態>
図4は、本願発明の第2の実施形態に係る電子メール監視装置50の構成を概念的に示すブロック図である。電子メール監視装置50は、生成部51、及び、指示部52を備えている。
図4は、本願発明の第2の実施形態に係る電子メール監視装置50の構成を概念的に示すブロック図である。電子メール監視装置50は、生成部51、及び、指示部52を備えている。
生成部51は、電子メール71が不正動作を発生させる可能性がある不正情報710を含むことを表す解析結果に基づいて、電子メール71と、電子メール71を受信したあるいは今後受信する可能性がある端末装置60と、を関連付ける端末特定情報510を生成する。
指示部52は、端末特定情報510において、電子メール71と関連付けられた、外部からの指示に応じて不正動作の発生を監視する監視部61を備えた端末装置60に対して、その不正動作の発生を監視することを指示する。
本実施形態に係る電子メール監視装置50は、不正な電子メールを受信することによる不正動作の発生に対する監視を、効率的に確実に行うことができる、その理由は、電子メール監視装置50は、不正な電子メール71を受信したあるいは今後受信する可能性がある、不正動作の発生を監視する監視部61を備えた端末装置60に対して、不正動作を監視することを指示するからである。
<ハードウェア構成例>
上述した各実施形態において図1、及び、図4に示した電子メール監視装置における各部は、専用のHW(HardWare)(電子回路)によって実現することができる。また、図1、及び、図4において、少なくとも、下記構成は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。
・生成部11及び51、
・指示部12及び52、
但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図5を参照して説明する。
上述した各実施形態において図1、及び、図4に示した電子メール監視装置における各部は、専用のHW(HardWare)(電子回路)によって実現することができる。また、図1、及び、図4において、少なくとも、下記構成は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。
・生成部11及び51、
・指示部12及び52、
但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図5を参照して説明する。
図5は、本願発明の各実施形態に係る電子メール監視装置を実行可能な情報処理装置900(コンピュータ)の構成を例示的に説明する図である。即ち、図5は、図1、及び、図4に示した電子メール監視装置を実現可能なコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。
図5に示した情報処理装置900は、構成要素として下記を備えている。
・CPU(Central_Processing_Unit)901、
・ROM(Read_Only_Memory)902、
・RAM(Random_Access_Memory)903、
・ハードディスク(記憶装置)904、
・外部装置との通信インタフェース905、
・バス906(通信線)、
・CD−ROM(Compact_Disc_Read_Only_Memory)等の記録媒体907に格納されたデータを読み書き可能なリーダライタ908、
・入出力インタフェース909。
・CPU(Central_Processing_Unit)901、
・ROM(Read_Only_Memory)902、
・RAM(Random_Access_Memory)903、
・ハードディスク(記憶装置)904、
・外部装置との通信インタフェース905、
・バス906(通信線)、
・CD−ROM(Compact_Disc_Read_Only_Memory)等の記録媒体907に格納されたデータを読み書き可能なリーダライタ908、
・入出力インタフェース909。
即ち、上記構成要素を備える情報処理装置900は、これらの構成がバス906を介して接続された一般的なコンピュータである。情報処理装置900は、CPU901を複数備える場合もあれば、マルチコアにより構成されたCPU901を備える場合もある。
そして、上述した実施形態を例に説明した本願発明は、図5に示した情報処理装置900に対して、次の機能を実現可能なコンピュータプログラムを供給する。その機能とは、その実施形態の説明において参照したブロック構成図(図1、及び、図4)における上述した構成、或いはフローチャート(図3)の機能である。本願発明は、その後、そのコンピュータプログラムを、当該ハードウェアのCPU901に読み出して解釈し実行することによって達成される。また、当該装置内に供給されたコンピュータプログラムは、読み書き可能な揮発性のメモリ(RAM903)、または、ROM902やハードディスク904等の不揮発性の記憶デバイスに格納すれば良い。
また、前記の場合において、当該ハードウェア内へのコンピュータプログラムの供給方法は、現在では一般的な手順を採用することができる。その手順としては、例えば、CD−ROM等の各種記録媒体907を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等がある。そして、このような場合において、本願発明は、係るコンピュータプログラムを構成するコード或いは、そのコードが格納された記録媒体907によって構成されると捉えることができる。
以上、上述した実施形態を模範的な例として本願発明を説明した。しかしながら、本願発明は、上述した実施形態には限定されない。即ち、本願発明は、本願発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
尚、上述した各実施形態の一部又は全部は、以下の付記のようにも記載されうる。しかしながら、上述した各実施形態により例示的に説明した本発明は、以下には限られない。すなわち、
(付記1)
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備える電子メール監視装置。
(付記2)
前記生成手段は、前記電子メールを前記端末装置へ配信するメールサーバ装置に対して、前記端末装置がアクセスした履歴に基づいて、前記端末特定情報を生成する、
付記1に記載の電子メール監視装置。
(付記3)
前記生成手段は、前記電子メールと、前記端末装置に付与されたIPアドレスあるいはMACアドレスと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記IPアドレスあるいは前記MACアドレスによって特定される前記端末装置に対して、前記不正動作の発生を監視することを指示する、
付記1または2に記載の電子メール監視装置。
(付記4)
前記生成手段は、前記端末装置と、前記電子メールに含まれる宛先のメールアドレスあるいはメッセージIDと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記宛先のメールアドレスあるいはメッセージIDと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する、
付記1乃至3のいずれか一項に記載の電子メール監視装置。
(付記5)
前記生成手段は、前記電子メールに添付されたファイル、あるいは、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスを、前記不正情報として含む前記電子メールと、前記端末装置とを関連付ける前記端末特定情報を生成する、
付記1乃至4のいずれか一項に記載の電子メール監視装置。
(付記6)
前記生成手段は、前記電子メールに添付されたファイルを識別可能なハッシュ値を含む前記端末特定情報を生成する、
付記5に記載の電子メール監視装置。
(付記7)
前記指示手段は、前記電子メールに添付されたファイルを識別可能なファイル識別情報、あるいは、前記電子メールに含まれる前記アクセスアドレスを、前記端末装置に対して通知する、
付記5または6に記載の電子メール監視装置。
(付記8)
不正動作を発生させる可能性がある不正情報が含まれている電子メールを受信したあるいは今後受信する可能性があることを、電子メール監視装置によって検出された場合に、前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段
を備える端末装置。
(付記9)
前記監視手段は、前記電子メールに添付されたファイルに対する所定の処理が発生すること、及び、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスへのアクセスを契機とする所定の処理が発生することを監視する、
付記8に記載の端末装置。
(付記10)
前記監視手段は、前記電子メールに添付された実行形式のファイルが実行されたこと、及び、前記電子メールに添付された圧縮形式のファイルの圧縮状態が解除されたのちに前記圧縮形式のファイルに含まれるファイルに対する処理の処理が行われたこと、を監視する、
付記9に記載の端末装置。
(付記11)
前記監視手段は、前記電子メールに含まれる、前記アクセスアドレスへのアクセスを契機とする、不審なプロセスの起動、及び、不審な通信の発生を監視する、
付記9または10に記載の端末装置。
(付記12)
自装置の動作ログを記憶する動作ログ記憶手段をさらに備え、
前記監視手段は、前記動作ログ記憶手段に格納済みである前記動作ログ、あるいは、前記動作ログ記憶手段に新たに記憶される前記動作ログを確認することによって、前記不正動作の発生を監視する、
付記8乃至11のいずれか一項に記載の端末装置。
(付記13)
電子メール監視装置と、端末装置と、を有し、
前記電子メール監視装置は、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備え、
前記端末装置は、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段を備える、
電子メール監視システム。
(付記14)
電子メール監視装置によって、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示し、
前記端末装置によって、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する、
電子メール監視方法。
(付記15)
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成処理と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示処理と、
をコンピュータ実行させるための電子メール監視プログラム。
(付記1)
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備える電子メール監視装置。
(付記2)
前記生成手段は、前記電子メールを前記端末装置へ配信するメールサーバ装置に対して、前記端末装置がアクセスした履歴に基づいて、前記端末特定情報を生成する、
付記1に記載の電子メール監視装置。
(付記3)
前記生成手段は、前記電子メールと、前記端末装置に付与されたIPアドレスあるいはMACアドレスと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記IPアドレスあるいは前記MACアドレスによって特定される前記端末装置に対して、前記不正動作の発生を監視することを指示する、
付記1または2に記載の電子メール監視装置。
(付記4)
前記生成手段は、前記端末装置と、前記電子メールに含まれる宛先のメールアドレスあるいはメッセージIDと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記宛先のメールアドレスあるいはメッセージIDと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する、
付記1乃至3のいずれか一項に記載の電子メール監視装置。
(付記5)
前記生成手段は、前記電子メールに添付されたファイル、あるいは、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスを、前記不正情報として含む前記電子メールと、前記端末装置とを関連付ける前記端末特定情報を生成する、
付記1乃至4のいずれか一項に記載の電子メール監視装置。
(付記6)
前記生成手段は、前記電子メールに添付されたファイルを識別可能なハッシュ値を含む前記端末特定情報を生成する、
付記5に記載の電子メール監視装置。
(付記7)
前記指示手段は、前記電子メールに添付されたファイルを識別可能なファイル識別情報、あるいは、前記電子メールに含まれる前記アクセスアドレスを、前記端末装置に対して通知する、
付記5または6に記載の電子メール監視装置。
(付記8)
不正動作を発生させる可能性がある不正情報が含まれている電子メールを受信したあるいは今後受信する可能性があることを、電子メール監視装置によって検出された場合に、前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段
を備える端末装置。
(付記9)
前記監視手段は、前記電子メールに添付されたファイルに対する所定の処理が発生すること、及び、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスへのアクセスを契機とする所定の処理が発生することを監視する、
付記8に記載の端末装置。
(付記10)
前記監視手段は、前記電子メールに添付された実行形式のファイルが実行されたこと、及び、前記電子メールに添付された圧縮形式のファイルの圧縮状態が解除されたのちに前記圧縮形式のファイルに含まれるファイルに対する処理の処理が行われたこと、を監視する、
付記9に記載の端末装置。
(付記11)
前記監視手段は、前記電子メールに含まれる、前記アクセスアドレスへのアクセスを契機とする、不審なプロセスの起動、及び、不審な通信の発生を監視する、
付記9または10に記載の端末装置。
(付記12)
自装置の動作ログを記憶する動作ログ記憶手段をさらに備え、
前記監視手段は、前記動作ログ記憶手段に格納済みである前記動作ログ、あるいは、前記動作ログ記憶手段に新たに記憶される前記動作ログを確認することによって、前記不正動作の発生を監視する、
付記8乃至11のいずれか一項に記載の端末装置。
(付記13)
電子メール監視装置と、端末装置と、を有し、
前記電子メール監視装置は、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備え、
前記端末装置は、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段を備える、
電子メール監視システム。
(付記14)
電子メール監視装置によって、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示し、
前記端末装置によって、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する、
電子メール監視方法。
(付記15)
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成処理と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示処理と、
をコンピュータ実行させるための電子メール監視プログラム。
1 電子メール監視システム
10 電子メール監視装置
11 生成部
12 指示部
13 端末特定情報記憶部
130 端末特定情報
20 端末装置
21 動作ログ生成部
22 監視部
23 動作ログ記憶部
230 動作ログ
30 メールサーバ装置
31 電子メール
32 アクセス履歴
40 メール解析装置
41 解析結果
50 電子メール監視装置
51 生成部
510 端末特定情報
52 指示部
60 端末装置
61 監視部
71 電子メール
710 不正情報
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク(記憶装置)
905 通信インタフェース
906 バス
907 記録媒体
908 リーダライタ
909 入出力インタフェース
10 電子メール監視装置
11 生成部
12 指示部
13 端末特定情報記憶部
130 端末特定情報
20 端末装置
21 動作ログ生成部
22 監視部
23 動作ログ記憶部
230 動作ログ
30 メールサーバ装置
31 電子メール
32 アクセス履歴
40 メール解析装置
41 解析結果
50 電子メール監視装置
51 生成部
510 端末特定情報
52 指示部
60 端末装置
61 監視部
71 電子メール
710 不正情報
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク(記憶装置)
905 通信インタフェース
906 バス
907 記録媒体
908 リーダライタ
909 入出力インタフェース
Claims (10)
- 電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成手段と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する監視手段を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示手段と、
を備える電子メール監視装置。 - 前記生成手段は、前記電子メールを前記端末装置へ配信するメールサーバ装置に対して、前記端末装置がアクセスした履歴に基づいて、前記端末特定情報を生成する、
請求項1に記載の電子メール監視装置。 - 前記生成手段は、前記電子メールと、前記端末装置に付与されたIPアドレスあるいはMACアドレスと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記IPアドレスあるいは前記MACアドレスによって特定される前記端末装置に対して、前記不正動作の発生を監視することを指示する、
請求項1または2に記載の電子メール監視装置。 - 前記生成手段は、前記端末装置と、前記電子メールに含まれる宛先のメールアドレスあるいはメッセージIDと、を関連付ける前記端末特定情報を生成し、
前記指示手段は、前記宛先のメールアドレスあるいはメッセージIDと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示する、
請求項1乃至3のいずれか一項に記載の電子メール監視装置。 - 前記生成手段は、前記電子メールに添付されたファイル、あるいは、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスを、前記不正情報として含む前記電子メールと、前記端末装置とを関連付ける前記端末特定情報を生成する、
請求項1乃至4のいずれか一項に記載の電子メール監視装置。 - 前記指示手段は、前記電子メールに添付されたファイルを識別可能なファイル識別情報、あるいは、前記電子メールに含まれる前記アクセスアドレスを、前記端末装置に対して通知する、
請求項5に記載の電子メール監視装置。 - 不正動作を発生させる可能性がある不正情報が含まれている電子メールを受信した、あるいは今後受信する可能性があることを、電子メール監視装置によって検出された場合に、前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する監視手段
を備える端末装置。 - 前記監視手段は、前記電子メールに添付されたファイルに対する所定の処理が発生すること、及び、前記電子メールに含まれる、通信ネットワークにおけるアクセスアドレスへのアクセスを契機とする所定の処理が発生することを監視する、
請求項7に記載の端末装置。 - 電子メール監視装置によって、
電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成し、
前記端末特定情報において、前記電子メールと関連付けられた前記端末装置に対して、前記不正動作の発生を監視することを指示し、
前記端末装置によって、
前記電子メール監視装置による指示に応じて、前記不正動作の発生を監視する、
電子メール監視方法。 - 電子メールが不正動作を発生させる可能性がある不正情報を含むことを表す解析結果に基づいて、前記電子メールと、前記電子メールを受信したあるいは今後受信する可能性がある端末装置と、を関連付ける端末特定情報を生成する生成処理と、
前記端末特定情報において、前記電子メールと関連付けられた、外部からの指示に応じて前記不正動作の発生を監視する構成を備えた前記端末装置に対して、前記不正動作の発生を監視することを指示する指示処理と、
をコンピュータ実行させるための電子メール監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016202645A JP6984114B2 (ja) | 2016-10-14 | 2016-10-14 | 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016202645A JP6984114B2 (ja) | 2016-10-14 | 2016-10-14 | 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018063645A true JP2018063645A (ja) | 2018-04-19 |
| JP6984114B2 JP6984114B2 (ja) | 2021-12-17 |
Family
ID=61967857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016202645A Active JP6984114B2 (ja) | 2016-10-14 | 2016-10-14 | 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6984114B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008172457A (ja) * | 2007-01-10 | 2008-07-24 | Fujitsu Ltd | 端末特定プログラム、端末特定装置およびメールシステム |
| JP2013218444A (ja) * | 2012-04-06 | 2013-10-24 | Hitachi Ltd | プログラム解析システムおよびプログラム解析方法 |
-
2016
- 2016-10-14 JP JP2016202645A patent/JP6984114B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008172457A (ja) * | 2007-01-10 | 2008-07-24 | Fujitsu Ltd | 端末特定プログラム、端末特定装置およびメールシステム |
| JP2013218444A (ja) * | 2012-04-06 | 2013-10-24 | Hitachi Ltd | プログラム解析システムおよびプログラム解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6984114B2 (ja) | 2021-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10489583B2 (en) | Detecting malicious files | |
| US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| US11856011B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
| US9560059B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
| US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
| JP2020095753A (ja) | マルウェアのランタイム中の自動検出 | |
| US11861006B2 (en) | High-confidence malware severity classification of reference file set | |
| US8578174B2 (en) | Event log authentication using secure components | |
| US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
| US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
| US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
| US20130305368A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US8931102B2 (en) | Testing web applications for file upload vulnerabilities | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
| CN106294102A (zh) | 应用程序的测试方法、客户端、服务器及系统 | |
| US20140373158A1 (en) | Detecting security vulnerabilities on computing devices | |
| US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
| US20140366156A1 (en) | Method and device for protecting privacy information with browser | |
| JP6984114B2 (ja) | 電子メール監視装置、端末装置、電子メール監視方法、及び、電子メール監視プログラム | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| US8789185B1 (en) | Method and apparatus for monitoring a computer system for malicious software | |
| US9092306B1 (en) | Lightweight data leakage detection for mobile computing devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190913 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210106 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210615 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210914 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20210914 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20210927 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20210928 |
|
| TRDD | Decision of grant or rejection written | ||
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211021 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20211025 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211026 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6984114 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |