JP2019145168A - 情報処理装置、情報処理方法、プログラム - Google Patents
情報処理装置、情報処理方法、プログラム Download PDFInfo
- Publication number
- JP2019145168A JP2019145168A JP2019096650A JP2019096650A JP2019145168A JP 2019145168 A JP2019145168 A JP 2019145168A JP 2019096650 A JP2019096650 A JP 2019096650A JP 2019096650 A JP2019096650 A JP 2019096650A JP 2019145168 A JP2019145168 A JP 2019145168A
- Authority
- JP
- Japan
- Prior art keywords
- determination
- processing unit
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】 標的型攻撃メールによる被害を防ぐこと【解決手段】 過去に受信した電子メールから定型部を抽出し、当該電子メールの送信元と、定型部の特徴とを対応付けて記憶する。新たに受信した電子メールを解析し、記憶した情報に基づき当該新たに受信した電子メールの送信元を推定する。推定した送信元と、実際の送信元とが一致するか否かにより、詐称メールであるか否かを判定し、判定結果を通知する。【選択図】 図1
Description
本発明は、情報処理装置、情報処理方法、プログラムに関する。
近年、特定の組織や人物から金銭や重要情報の窃取を目的とした標的型攻撃が増加している。標的型攻撃では、目的を達成するために、標的となる組織や人物に特化した情報に基づき、多様な手法を組み合わせて攻撃が行われる。
標的型攻撃では、初期侵入手段として、標的型攻撃メールと呼ばれる電子メールを用いるのが典型的な方法である。標的型攻撃メールでは、標的となる受信者の興味を引く内容や、受信者と関連があると誤認させる内容を本文に記載し、電子メールに添付したファイルや記載されたリンク先に仕込まれた不正プログラムを実行させることを狙う。標的が不正ブログラムを実行してしまうとバッグドアが設置され更なる攻撃の侵入口となってしまう。
標的型攻撃の対策としては多層防御の考え方が基本となるが、初期段階である標的型攻撃メールを防ぐことできれば最も効果的で望ましい。
標的型攻撃メールには、標的の興味・関心や誤認を利用するだけでなく、標的と関連の深い人物や組織を偽装するものがある。標的となった受信者は、知人からのメールと思って警戒を怠ってしまい、攻撃が成功する確率が高くなる。
特許文献1には、標的が過去に受信したことのある電子メールの送信者アドレスを偽装した電子メールを検知する技術について開示されている。
特許文献1には、過去に受信したメールから抽出したメールヘッダの特徴を記憶し、新規メールを受信した際に同じ送信者アドレスを持つ過去メールのヘッダの特徴と新規メールのヘッダの特徴の類似度を求め、類似度が規定値以下である場合に警告を発する旨が記載されている。すなわち、同じ送信元なのにいつもと異なるメール文面である場合に警告を発するものである。
しかしながら、特許文献1は、送信者アドレスが偽装された場合に対しては効果的であるが、全く異なるアドレスから本文の詐称による攻撃メールには効果が得られないという課題がある。
一般に、メールの受信時には、未読メールの一覧から件名と送信者を確認し、次に本文を見る。一覧では送信者として表示名が使われることが多く、本文の内容に違和感がない場合、送信者のアドレスの確認を怠ってしまう場合がある。また、誤認を狙って、偽装対象と関連する単語を一部に含むなど、紛らわしいアドレスを用いている場合もある。
上述したようなケースでは、当然、送信者が不明な(新規)アドレスであることが多く、その旨の警告を出すことは可能であるが、明示的に攻撃である旨を警告するほうがより望ましい。
そこで、本発明は、過去に受信したメールと同様の文面を持つが異なるアドレスから送信されたメール(詐称メール)について警告し送信者の確認を促すことで、標的型攻撃メールによる被害を防ぐことを目的とする。
本発明の情報処理装置は、過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定手段と、前記判定手段による判定結果に基づき、警告を通知する通知手段と、を備えることを特徴とする。
本発明の情報処理方法は、情報処理装置における情報処理方法であって、過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定工程と、前記判定工程による判定結果に基づき、警告を通知する通知工程と、を備えることを特徴とする。
本発明のプログラムは、情報処理装置を、過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定手段と、前記判定手段による判定結果に基づき、警告を通知する通知手段として機能させるためのプログラム。
本発明によれば、標的型攻撃メールによる被害を低減させることが可能となる。
以下、図面を参照して、本発明の実施形態を詳細に説明する。
図1は、本発明の実施形態における詐称メール検査装置のシステム構成の一例を示す図である。
詐称メール検査装置100と、メールサーバ120とは、ローカルエリアネットワーク130を介して接続される構成となっている。またメールサーバ120は、外部ネットワーク140に接続可能な構成となっている。
詐称メール検査装置100は、一般的な電子メールクライアントの機能を持ち、電子メールの閲覧機能とメールサーバからの受信機能を有する。更に、電子メールを新たに受信した際に、過去に受信済みの電子メールから得た知識に基づき、新たに受信した電子メールに対する詐称の有無の判定(電子メールの本文は、過去に受信した電子メールと同様の文面を含みながら(類似する文面でありながら)、当該過去に受信した電子メールの送信元とは異なる送信元から送信された電子メールであるか否かの判定)を行ない、電子メールが詐称の可能性があると判断された場合、電子メールの詐称箇所を強調表示し目視確認を促す。
また、詐称メール検査装置100は、新たに受信したメールが詐称でないという判断がなされた際に、詐称を判定する知識を更新する。
メールサーバ120は一般的なメールの受信サーバ(POP3またはIMAPサーバ)であり、外部またはローカルの送信先から受け取ったメールを電子メールクライアントの要求に応じて転送する。
図2は、本発明の実施形態における詐称メール検査装置100のハードウェア構成の一例を示すブロック図である。
図2に示すように、情報処理装置は、システムバス204を介してCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、よび通信I/Fコントローラ208が接続される。
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
ROM202あるいは外部メモリ211は、CPU201が実行する制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、本情報処理方法を実現するためのコンピュータ読み取り実行可能なプログラムおよび必要な各種データ(データテーブルを含む)を保持している。
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
入力コントローラ205は、キーボード209や不図示のマウス等のポインティングデバイス等の入力装置からの入力を制御する。入力装置がタッチパネルの場合、ユーザがタッチパネルに表示されたアイコンやカーソルやボタンに合わせて押下(指等でタッチ)することにより、各種の指示を行うことができることとする。
また、タッチパネルは、マルチタッチスクリーンなどの、複数の指でタッチされた位置を検出することが可能なタッチパネルであってもよい。
ビデオコントローラ206は、ディスプレイ210などの外部出力装置への表示を制御する。ディスプレイは本体と一体になったノート型パソコンのディスプレイも含まれるものとする。なお、外部出力装置はディスプレイに限ったものははく、例えばプロジェクタであってもよい。また、前述のタッチ操作を受け付け可能な装置については、入力装置も提供する。
なおビデオコントローラ206は、表示制御を行うためのビデオメモリ(VRAM)を制御することが可能で、ビデオメモリ領域としてRAM203の一部を利用することもできるし、別途専用のビデオメモリを設けることも可能である。
メモリコントローラ207は、外部メモリ211へのアクセスを制御する。外部メモリとしては、ブートプログラム、各種アプリケーション、フォントデータ、ユーザファイル、編集ファイル、および各種データ等を記憶する外部記憶装置(ハードディスク)、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等を利用可能である。
通信I/Fコントローラ209は、ネットワークを介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信やISDNなどの電話回線、および携帯電話の3G回線を用いた通信が可能である。
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
次に図3を参照して、本発明の実施形態における各種装置の機能構成の一例について説明する。
受信処理部301は、メールサーバ120から電子メールを受信する機能を備える。
検査処理部302は、受信処理部301で受信した電子メールについて、詐称メール(過去に受信した電子メールと文面が類似する(同様の文面を含む)メールであるが、送信元が当該類似するメールの送信元とは異なるメール)であるか否かの判定を行う機能等を備える。
メール保存領域303は、電子メールを記憶する領域であり、詐称情報や判定情報を関連付けて電子メールを記憶する機能を備える。
判定知識保存領域304は、電子メールが詐称メールであるかの判定に用いる各種情報や学習した知識を記憶する機能を備える。
閲覧処理部305は、メール閲覧画面等を表示し、詐称メールである旨の警告等を表示する機能を備える。
判定知識構築処理部306は、電子メールが詐称メールであるかを判定するための知識を構築する処理を実行する機能を備える。
(メール検査処理)
次に図4のフローチャートを用いて、本発明の実施形態における検査処理部302が実行する電子メールの検査処理について説明する。
次に図4のフローチャートを用いて、本発明の実施形態における検査処理部302が実行する電子メールの検査処理について説明する。
図4のフローチャートは、詐称メール検査装置100のCPU201が所定の制御プログラムを読み出して実行する処理であり、受信処理部301において電子メールを受信した際、電子メールが詐称されている可能性の有無を検査する処理を示すフローチャートである。
ステップS401では、検査処理部302は、メール受信処理部301で受信された電子メールを受け取る。
ステップS402では、検査処理部302は、ステップS401で受け取った電子メールに対し、詐称の有無(詐称の可能性)を判定し、詐称情報を取得する。詐称判定処理の詳細については図20を用いて後述する。
ステップS403では、検査処理部302は、ステップS402で詐称の可能性ありと判定した場合、ステップS404に処理を移す。詐称の可能性なしと判断した場合は、ステップS405に処理を移す。
ステップS404では、検査処理部302は、ステップS402で取得した詐称情報を処理対象である電子メールと関連付ける。
ステップS405では、検査処理部302は、電子メールをメール保存領域303のメールテーブル501に保存する。
図5はメール保存領域303の構成であり、メールテーブル501を有する。具体的なデータ内容については、図6を用いて説明する。
図6に示すメールテーブル501は、検査処理部302が受け取った電子メールを保存するテーブルであり、電子メールの各項目( 具体的には、電子メールの本文、受信者(送信先)、送信者、送信日時など)から構成される。
(メール判定処理)
次に図8のフローチャートを用いて、ユーザによるメール判定処理について説明する。
次に図8のフローチャートを用いて、ユーザによるメール判定処理について説明する。
詐称メール検査装置は、ユーザが起動(またはログイン)すると一般のメールクライアントと同様に図7に示すようなメール一覧画面701を表示する。メール一覧画面701の内容は、メールテーブル501の内容に基づく。詐称情報があり、かつ判定情報がないメールに対しては警告アイコン702が表示される。
ユーザが一覧に表示されている任意のメールに対して閲覧の指示を行うと、閲覧処理部305は、図8に示すフローチャートの処理を実行する。
ステップS801では、閲覧処理部305はユーザが指定した電子メールに対し、メールテーブル501から取得した情報に基づき、図9に示すようなメール閲覧画面901を表示する。電子メールに詐称情報がある場合、警告表示領域902に詐称情報の詳細を表示する。
ユーザが閉じるボタン905を押下すると、メール閲覧画面901を閉じて処理をステップS802に処理を移す。
ステップS802では、閲覧処理部305は、メール閲覧画面901の判定指示領域904の状態を判定情報として取得する。「詐称メールです。」がアクティブな場合(ユーザにより詐称メールである旨が選択された場合)は判定情報として「詐称」を取得し、「詐称メールではありません。」がアクティブな場合(ユーザにより詐称メールではない旨が選択された場合)は判定情報として「非詐称」を取得する。
判定情報が「詐称」となったメールは一覧に表示しないように構成してもよいし、自動で削除するように構成してもよい。
ステップS803では、閲覧処理部305は、ステップS802で取得した判定情報を、メールテーブル501の該当する電子メールに関連付けて保存する。
(判定知識構築処理)
次に図10のフローチャートを用いて、判定知識構築処理について説明する。本発明の実施例において、判定知識構築処理は、メール判定処理とは非同期に実行される。判定知識構築処理は、定期的に実行されるように構成してもよいし、前回処理から保存されたメールの状態に基づき実行を判断するように構成してもよい。
次に図10のフローチャートを用いて、判定知識構築処理について説明する。本発明の実施例において、判定知識構築処理は、メール判定処理とは非同期に実行される。判定知識構築処理は、定期的に実行されるように構成してもよいし、前回処理から保存されたメールの状態に基づき実行を判断するように構成してもよい。
また、本発明の実施形態においては、説明が容易になるように、全ての判定知識を構築しなおすように構成しているが、部分的に判定知識を更新するように構成してもよい。
ステップS1001では、判定知識構築処理部306は、メールテーブル501から判定情報が「非詐称」に設定されている電子メールを取得する。取得する電子メールについては「直近半年に送ったメール」というように知識構築の対象となる過去メールの限定を行なうように構成してもよい。
ステップS1002では、判定知識構築処理部306は、ステップS1001で取得した電子メールに対して、ステップS1005までの繰り返し処理を開始する。
ステップS1003では、判定知識構築処理部306は、処理対象となった電子メールの本文に対し、形態素解析などを用いて、電子メールを構成する単語を取得する。単語の取得に際しては、助詞・助動詞などの付属語の除外を行なってもよいし、同義語辞書を用いるなどの正規化を行なってもよい。
ステップS1004では、判定知識構築処理部306は、ステップS1003で分割した単語に対して、単語統計テーブル1101を更新する。同時に、送信者と関連付けて送信者別単語統計テーブル1102を更新する。
ステップS1005では、判定知識構築処理部306は、処理対象となる電子メールがまだあれば、ステップS1002からの繰り返し処理を実施する。処理対象となる電子メールがなければ、ステップS1006に処理を移す。
ステップS1006では、判定知識構築処理部306は、ステップS1004で取得した単語の集計結果から、単語の出現確率を算出して単語統計テーブル1101および送信者別単語統計テーブル1102を更新する。
ステップS1007では、判定知識構築処理部306は、ステップS1001で取得した電子メールに対して、ステップS1010までの繰り返し処理を開始する。
ステップS1008では、判定知識構築処理部306は、処理対処である電子メールに対し、定型部を抽出する。定型部の抽出処理については図17を用いて後述する。
ステップS1009では、判定知識構築処理部306は、ステップS1008で抽出した電子メールの定型部を構成する単語を、対象となる電子メールと関連付けて、一時領域に保存する。単語の抽出は、ステップS1003の結果を再利用するように構成してもよい。
ステップS1010では、判定知識構築処理部306は、処理対象となる電子メールがまだあれば、ステップS1007からの繰り返し処理を実施する。処理対象となる電子メールがなければ、ステップS1011に処理を移す。
ステップS1011では、判定知識構築処理部306は、一時領域に蓄えられた、電子メールと定型部の単語の組みをベクトル化し、ベクトル化に必要な情報を判定知識保存領域304におけるベクトル化情報テーブル1103に保存する。ベクトル化はtf・idfなどの一般的な方法による。単語の組みを持たない、または規定の数より少ない単語しか持たない電子メールは対象外とするように構成してもよい。
ステップS1012では、判定知識構築処理部306は、ステップS1011で取得したベクトルに対し、関連付けられている電子メールの送信者(From:)を関連付けて学習を行ない、学習知識を判定知識保存領域304における学習知識テーブル1104に保存する。
学習には多クラスの分類を行なうことができる、一般的な分類器を用いるものとする
(判定知識構築処理具体例)
次に判定知識構築処理の具体例として、図6に示すメールテーブル501に対して図10に示す処理が実施された場合について説明する。
次に判定知識構築処理の具体例として、図6に示すメールテーブル501に対して図10に示す処理が実施された場合について説明する。
ステップS1001では、判定知識構築処理部306は、電子メール601から始まる一連の電子メールを取得する。
ステップS1002では、判定知識構築処理部306は、電子メール601に対して、ステップS1005までの繰り返し処理を開始する。
ステップS1003では、判定知識構築処理部306は、電子メール601の本文から単語として「ニューセレクト」「近藤」「様」「お世話」「トサロジスティクス」「坂本」「納品書」「件」などを取得する(本具体例においては、助詞・助動詞などの付属語は対象外とする)。
ステップS1004では、判定知識構築処理部306は、ステップS1003で分割した単語に対して単語統計テーブル1101を更新する。具体的には、単語がなければ単語を単語統計テーブル1101に追加し、出現頻度(出現文書数)を1とする。単語があれば出現頻度(出現文書数)を1加算する。また同様に送信者「sakamoto@tosa.co.jp」と関連付けて送信者別単語統計テーブル1102も更新する。
ステップS1005では、判定知識構築処理部306は、処理対象となる電子メール602があるので、ステップS1002からの繰り返し処理を実施する。
以下、全ての電子メールに対して同様の処理を繰り返す。
ステップS1006では、判定知識構築処理部306は、ステップS1001〜ステップS1005で更新した単語統計テーブル1101に対し、単語の出現確率を算出して単語統計テーブル1101を更新し、結果として図12に示す単語統計テーブルを得る。また送信者別単語統計テーブル1102に対しても同様に単語の出現確率を求めて更新する。
ステップS1007では、判定知識構築処理部306は、電子メール601から始まる一連の電子メールに対して、ステップS1010までの繰り返し処理を開始する。
ステップS1008では、判定知識構築処理部306は、電子メール601に対する定型部抽出処理の結果、メール冒頭の挨拶や署名等の定型的に記述されている部分として「ニューセレクト 近藤様 お世話になっております。トサロジスティクス坂本です。」と「−− トサロジスティクス株式会社 Tel: 123−4567 Fax: 123−4568 坂本 辰雄」を抽出する。定型部抽出の具体例については後述する。
ステップS1009では、判定知識構築処理部306は、ステップS1008で抽出した電子メールの定型部を構成する単語として「ニューセレクト」、「近藤」、「様」、「お世話」、「トサロジスティクス」、「坂本」、「以上」、「よろしく」、「お願い」、「株式」、「会社」、「tel」、「123−4567」、「fax」、「123−4568」、「辰雄」を、電子メール601と関連付けて、一時領域に保存する。
ステップS1010では、判定知識構築処理部306は、電子メール602があるので、ステップS1007からの繰り返し処理を実施する。
以下、同様の処理を繰り返し、図14の結果を一時領域に得る。
ステップS1011では、判定知識構築処理部306は、一時領域に蓄えられた、電子メールと定型の単語の組みをベクトル化して図15に示すベクトルを得る。ベクトル化に必要な情報を判定知識保存領域304におけるベクトル化情報テーブル1103に保存する。
ステップS1012では、判定知識構築処理部306は、ステップS1011で取得したベクトルに対し、関連付けられている電子メールの送信者を関連付けて学習を行ない、学習した知識を判定知識保存領域304における学習知識テーブル1104に保存する。
結果として、誤送信防止装置100は、ステップS1011で取得したベクトル化情報とステップS1012で取得した学習知識を用いることで、電子メールの挨拶部に対する送信先候補を確度付きで推測することが可能となる。図16に分類器による送信先候補推測の概要について示す。
(定型部抽出処理)
次に図17のフローチャートを用いて、ステップS1008において、判定知識構築処理部306が電子メールから定型部を抽出する定型部抽出処理について説明する。
次に図17のフローチャートを用いて、ステップS1008において、判定知識構築処理部306が電子メールから定型部を抽出する定型部抽出処理について説明する。
本発明の実施形態の説明では、出現する単語の出現頻度や出現確率を用いて定型部を特定するが、他の方法によって抽出するように構成しても構わない。
ステップS1701では、判定知識構築処理部306は、処理対象の電子メールから本文を取得する。
ステップS1702では、判定知識構築処理部306は、ステップS1701で取得した本文の各行に対して、ステップS1706までの繰り返し処理を開始する。
ステップS1703では、判定知識構築処理部306は、処理対象の行を単語に分割する。
ステップS1704では、判定知識構築処理部306は、ステップS1703で取得した単語それぞれに対し単語統計テーブル1101からの出現確率を全文書出現確率として取得する。また送信者別単語統計テーブル1102から出現確率を送信者別出現確率として取得する。送信者別単語統計テーブル1102からは1つの単語に対して複数の出現確率が得られる。全文書出現確率と送信者別出現確率の最大のものをその単語の出現確率とする。
ステップS1705では、判定知識構築処理部306は、ステップS1704で取得した出現確率の調和平均を行の重みとして算出する。行に有効な単語が1つも出現しない場合は行の重みを0とする。
ステップS1706では、判定知識構築処理部306は、処理対象となる行がまだあれば、ステップS1702からの繰り返し処理を実施する。処理対象となる行がなければ、ステップS1707に処理を移す。
ステップS1707では、判定知識構築処理部306は、行の重みが規定値以上である行を定型部として抽出する。全ての行が規定値に満たない場合は定型部がないものと判断する。
上記のように構成することで、電子メールに記述されている定型部を抽出することが可能となる。
(定型部抽出処理具体例)
次に定型部抽出処理の具体例として、図18に示す電子メール1801に対して図17に示す処理が実施された場合について説明する。
次に定型部抽出処理の具体例として、図18に示す電子メール1801に対して図17に示す処理が実施された場合について説明する。
ステップS1701では、判定知識構築処理部306は、処理対象の電子メール1801から本文1802を取得する。
ステップS1702では、判定知識構築処理部306は、ステップS1701で取得した本文1802に対して、ステップS1706までの繰り返し処理を開始する。
ステップS1703では、判定知識構築処理部306は、本文1802の最初の行「ニューセレクト 近藤様」を単語に分割し、「ニューセレクト」「近藤」「様」を得る。
ステップS1704では、判定知識構築処理部306は、ステップS1703で取得した単語「ニューセレクト」「近藤」「様」に対し、単語統計テーブル1101から「1.000」「0.630」「0.630」を出現確率として取得する。同様に送信者別単語統計テーブル1102から「1.000」「1.000」「1.000」を得る。最終的に単語「ニューセレクト」「近藤」「様」に対する出現確率として「1.000」「1.000」「1.000」を得る。
ステップS1705では、判定知識構築処理部306は、「1.000」「1.000」「1.000」の調和平均「1.00」を行の重みとして得る。
ステップS1707では、判定知識構築処理部306は、行の重みが規定値(本実施形態では0.3とする)以上である行として定型部1803を抽出する。
(詐称判定処理)
次に図20のフローチャートを用いて、検査処理部302が実行するメール検査処理におけるステップS402の詐称判定処理の詳細について説明する。
次に図20のフローチャートを用いて、検査処理部302が実行するメール検査処理におけるステップS402の詐称判定処理の詳細について説明する。
ステップS2001では、検査処理部302は、対象となる電子メールから定型部を抽出する。定型部抽出処理は、図17に示した判定知識構築処理部306における定型部抽出処理と同様である。
ステップS2002では、検査処理部302は、ステップS2001で定型部がなければ、ステップS2003に処理を移す。定型部があれば、ステップS2004に処理を移す。
ステップS2003では、検査処理部302は、対象となる電子メールを「定型部なし」と判定する。
ステップS2004では、検査処理部302は、ステップS2001で抽出した定型部を単語に分割する。
ステップS2005では、検査処理部302は、ステップS2006で抽出した単語の集合を、ベクトル化情報テーブル1103を参照してベクトル化する。
ステップS2006では、検査処理部302は、ステップS2005で取得したベクトルに対して、学習知識テーブル1104を参照した分類器を用いて確度が規定値以上の送信者を候補として取得する。
ステップS2007では、検査処理部302は、ステップS2006で推定した送信者候補がなければ、ステップS2008に処理を移す。送信者候補があれば、ステップS2011に処理を移す。
ステップS2008では、検査処理部302は、メールテーブル501を参照して、対象となる電子メールの送信者からの送信実績が過去にあるかを判定する。送信実績がなければ、ステップS2009に処理を移す。送信実績があれば、ステップS2010に処理を移す。
ステップS2009では、検査処理部302は、対象となる電子メールを「新規送信者」と判定する。
ステップS2010では、検査処理部302は、対象となる電子メールを「送信者要確認」と判定する。
ステップS2011では、検査処理部302は、送信者候補の中に、対象となる電子メールの送信者が含まれているかを判定する。送信者候補の中に送信者が含まれていなければ、ステップS2012に処理を移す。送信者が含まれていれば、ステップS2013に処理を移す。
ステップS2012では、検査処理部302は、対象となる電子メールを「詐称」と判定する。また、確度が最上位の送信者候補を正しい送信者として、警告時に提示するように構成する。
ステップS2013では、検査処理部302は、送信先と一致した送信先候補の確度がもっとも高いかを判定する。確度が最上位の値でなければ、ステップS2010に処理を移す。確度が最上位の値であれば、処理を終了する。
(詐称判定処理具体例)
次に詐称判定処理の具体例として、図21に示す電子メール2101に対して図20に示す処理が実施された場合について説明する。
次に詐称判定処理の具体例として、図21に示す電子メール2101に対して図20に示す処理が実施された場合について説明する。
ステップS2001では、検査処理部302は、対象となる電子メール2101から定型部2102を抽出する。
ステップS2002では、検査処理部302は、ステップS2001で定型部2102を取得したので、ステップS2004に処理を移す。
ステップS2004では、検査処理部302は、ステップS2001で抽出した定型部2102を単語に分割し、「ニューセレクト」、「近藤様」、「萩産業」、「高杉」、「お世話」、「依頼」、「見積書」、「送付」、「添付」、「ファイル」、「確認」、「株」、「東日本営業部」、「新太郎」、「tel」、「987−6543」、「email」、「takasugi@hagi.com」を得る。
ステップS2005では、検査処理部302は、ステップS2006で抽出した単語の集合を、ベクトル化情報テーブル1103を参照してベクトル化する。
ステップS2006では、検査処理部302は、ステップS2005で取得したベクトルに対して、学習知識テーブル1104を参照した分類器を用いて、図22に示す送信者候補2201(takasugi@hagi.com)および送信者候補2202(kogoro@hagi.com)を取得する。
ステップS2007では、検査処理部302は、ステップS2006で推定した送信者候補があるので、ステップS2011に処理を移す。
ステップS2011では、検査処理部302は、送信者候補の中に、対象となる電子メールの送信者2103(a2b3c4@attacker.com)が含まれていないので、ステップS2012に処理を移す。
ステップS2012では、検査処理部302は、対象となる電子メールを「詐称」と判定する。また、確度が最上位の送信者候補2201(takasugi@hagi.com)を正しい送信者として取得し処理を終了する。
結果として、定型部2102に対する送信者2103(a2b3c4@attacker.com)が整合せず詐称の可能性があると判定し、正しい送信者の候補として送信者候補2201(takasugi@hagi.com)を提示することが可能となる。ユーザは送信者2103(a2b3c4@attacker.com)が信者候補2201(takasugi@hagi.com)を詐称してメールを送ってきたと容易に判断することが可能となる。
上記のように構成することで、メールの定型部が似ているメールを過去に送信してきた送信者と対象となるメールの送信者が異なる場合を判定することが可能となり、詐称の可能性が高い状態を検出することが可能となる。さらに詐称と判定した場合に正しいと推測される送信者を提示することができ、容易な確認が可能となる。
本発明の実施形態においては、メールクライアントとして実施する構成とした場合について説明したが、いわゆるWebメールを提供するシステムやメールフィルタリングの機能として構成してもよい。
本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、本発明におけるプログラムは、図4、図8、図10、図17、図20に示すフローチャートの処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図4、図8、図10、図17、図20の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図4、図8、図10、図17、図20の各装置の処理方法ごとのプログラムであってもよい。
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
100 詐称メール検査装置(情報処理装置)
120 メールサーバ
130 LAN
140 外部ネットワーク
120 メールサーバ
130 LAN
140 外部ネットワーク
Claims (7)
- 過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定手段と、
前記判定手段による判定結果に基づき、警告を通知する通知手段と、
を備えることを特徴とする情報処理装置。 - 過去に受信した電子メールを用いて学習した知識に基づき、前記新たに受信した電子メールの送信元を推定する推定手段をさらに備え、
前記判定手段は、前記推定手段により推定した送信元と、前記新たに受信した電子メールの送信元とが一致するか否かにより、詐称メールか否かを判定することを特徴とする請求項1に記載の情報処理装置。 - 前記通知手段は、前記判定手段により、前記推定された送信元と、前記新たに受信した電子メールの送信元とが一致しないと判定された場合に、その旨を通知することを特徴とする請求項2に記載の情報処理装置。
- 過去に受信した電子メールの本文から定型部を抽出する抽出手段と、
前記抽出手段により抽出された定型部に基づく特徴と、当該電子メールの送信元とを対応付けて記憶する記憶手段をさらに備え、
前記推定手段は、前記記憶手段に記憶された情報に基づき、前記新たに受信した電子メールの送信元を推定することを特徴とする請求項2または3に記載の情報処理装置。 - 前記通知手段は、さらに、
前記推定手段により推定した送信元と、前記新たに受信した電子メールの送信元とが一致しない場合、前記推定手段により推定された送信元を通知することを特徴とする請求項2乃至4のいずれか1項に記載の情報処理装置。 - 情報処理装置における情報処理方法であって、
過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定工程と、
前記判定工程による判定結果に基づき、警告を通知する通知工程と、
を備えることを特徴とする情報処理方法。 - 情報処理装置を、
過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定手段と、
前記判定手段による判定結果に基づき、警告を通知する通知手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019096650A JP7068587B2 (ja) | 2019-05-23 | 2019-05-23 | 情報処理装置、情報処理方法、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019096650A JP7068587B2 (ja) | 2019-05-23 | 2019-05-23 | 情報処理装置、情報処理方法、プログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017147453A Division JP6531793B2 (ja) | 2017-07-31 | 2017-07-31 | 情報処理装置、情報処理方法、プログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019145168A true JP2019145168A (ja) | 2019-08-29 |
| JP2019145168A5 JP2019145168A5 (ja) | 2020-08-13 |
| JP7068587B2 JP7068587B2 (ja) | 2022-05-17 |
Family
ID=67773249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019096650A Active JP7068587B2 (ja) | 2019-05-23 | 2019-05-23 | 情報処理装置、情報処理方法、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7068587B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101289109B1 (ko) | 2011-03-15 | 2013-07-23 | 주식회사 포스코 | 분위기 가열장치 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1065811A (ja) * | 1996-08-20 | 1998-03-06 | Canon Inc | 電子メール読み上げ装置および方法 |
| JP2001257712A (ja) * | 2000-09-19 | 2001-09-21 | Yochi Kaihatsu Kk | 電子メールシステム及びファックス装置や電話機による電子メールの送受信方法 |
| JP2003264594A (ja) * | 2002-03-07 | 2003-09-19 | Ntt Docomo Inc | メールサーバ及びメール処理方法 |
| JP2004242199A (ja) * | 2003-02-07 | 2004-08-26 | Fujitsu Ltd | メール管理方法、プログラム及び装置 |
| JP2005286740A (ja) * | 2004-03-30 | 2005-10-13 | Fujitsu Ltd | 管理装置、管理方法、およびプログラム |
| JP2012078922A (ja) * | 2010-09-30 | 2012-04-19 | Nifty Corp | Webメールサーバ、メールクライアントプログラム及びメールサーバ |
| US8566938B1 (en) * | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
| JP2015069395A (ja) * | 2013-09-30 | 2015-04-13 | エヌ・ティ・ティ・ソフトウェア株式会社 | 不正メール判定装置、及びプログラム |
| JP2018180871A (ja) * | 2017-04-12 | 2018-11-15 | 富士ゼロックス株式会社 | 電子メール処理装置および電子メール処理プログラム |
-
2019
- 2019-05-23 JP JP2019096650A patent/JP7068587B2/ja active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1065811A (ja) * | 1996-08-20 | 1998-03-06 | Canon Inc | 電子メール読み上げ装置および方法 |
| JP2001257712A (ja) * | 2000-09-19 | 2001-09-21 | Yochi Kaihatsu Kk | 電子メールシステム及びファックス装置や電話機による電子メールの送受信方法 |
| JP2003264594A (ja) * | 2002-03-07 | 2003-09-19 | Ntt Docomo Inc | メールサーバ及びメール処理方法 |
| JP2004242199A (ja) * | 2003-02-07 | 2004-08-26 | Fujitsu Ltd | メール管理方法、プログラム及び装置 |
| JP2005286740A (ja) * | 2004-03-30 | 2005-10-13 | Fujitsu Ltd | 管理装置、管理方法、およびプログラム |
| JP2012078922A (ja) * | 2010-09-30 | 2012-04-19 | Nifty Corp | Webメールサーバ、メールクライアントプログラム及びメールサーバ |
| US8566938B1 (en) * | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
| JP2015069395A (ja) * | 2013-09-30 | 2015-04-13 | エヌ・ティ・ティ・ソフトウェア株式会社 | 不正メール判定装置、及びプログラム |
| JP2018180871A (ja) * | 2017-04-12 | 2018-11-15 | 富士ゼロックス株式会社 | 電子メール処理装置および電子メール処理プログラム |
Non-Patent Citations (2)
| Title |
|---|
| 吉岡 孝司 ほか: "電子メールの特徴情報を用いた標的型メールへのクライアント対策技術の提案 A Client-side Solution for P", 情報処理学会 論文誌(ジャーナル) VOL.55 NO.10 [ONLINE], vol. 第55巻, JPN6021018309, 15 October 2014 (2014-10-15), JP, pages 2290 - 2299, ISSN: 0004666824 * |
| 吉岡 孝司 ほか: "電子メールの特徴情報を用いた標的型メールへのクライアント対策技術の提案 A Client-side Solution for P", 情報処理学会研究報告 2012(平成24)年度▲2▼ [CD−ROM], JPN6021018310, 15 August 2012 (2012-08-15), JP, pages 1 - 8, ISSN: 0004508761 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7068587B2 (ja) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Sonowal et al. | SmiDCA: an anti-smishing model with machine learning approach | |
| US8688690B2 (en) | Method for calculating semantic similarities between messages and conversations based on enhanced entity extraction | |
| JP4742618B2 (ja) | 情報処理システム、プログラム及び情報処理方法 | |
| US8055078B2 (en) | Filter for blocking image-based spam | |
| US11677783B2 (en) | Analysis of potentially malicious emails | |
| US11836730B2 (en) | Fraud detection based on an analysis of messages in a messaging account | |
| JP2006243803A (ja) | 情報処理システム、プログラム及び情報処理方法 | |
| JP2008117153A (ja) | 電子メール送信端末装置、電子メール送信方法、及び電子メール送信プログラム | |
| US11258811B2 (en) | Email attack detection and forensics | |
| Balim et al. | Automatic detection of smishing attacks by machine learning methods | |
| JP7068587B2 (ja) | 情報処理装置、情報処理方法、プログラム | |
| CN112039874B (zh) | 一种恶意邮件的识别方法及装置 | |
| WO2017019968A1 (en) | Systems and methods for identifying electronic messages containing malicious content | |
| JP6531793B2 (ja) | 情報処理装置、情報処理方法、プログラム | |
| JP2008234437A (ja) | 電子メール誤送信防止装置、電子メール誤送信防止方法およびプログラム | |
| US11257090B2 (en) | Message processing platform for automated phish detection | |
| US20170032484A1 (en) | Systems, devices, and methods for detecting firearm straw purchases | |
| JP6493497B1 (ja) | 情報処理装置、情報処理方法、プログラム | |
| JP2018180871A (ja) | 電子メール処理装置および電子メール処理プログラム | |
| Shravasti et al. | Smishing detection: Using artificial intelligence | |
| US10608972B1 (en) | Messaging service integration with deduplicator | |
| Stringhini et al. | That ain't you: detecting spearphishing emails before they are sent | |
| US20120110094A1 (en) | Electronic messaging systems supporting provision of entire forwarding history regarding the sending, receiving, and time zone information, of an email after the email is forwarded by a number of users | |
| US20120158868A1 (en) | Protecting privacy in groups e-mail messages | |
| CN109525630B (zh) | 发送数据分析委托请求的方法、装置、介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200630 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200630 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210428 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210518 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210716 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220301 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220310 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220329 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220411 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7068587 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |