JP2020521221A - 電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システム - Google Patents
電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システム Download PDFInfo
- Publication number
- JP2020521221A JP2020521221A JP2019563383A JP2019563383A JP2020521221A JP 2020521221 A JP2020521221 A JP 2020521221A JP 2019563383 A JP2019563383 A JP 2019563383A JP 2019563383 A JP2019563383 A JP 2019563383A JP 2020521221 A JP2020521221 A JP 2020521221A
- Authority
- JP
- Japan
- Prior art keywords
- address
- inspection
- link address
- module
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】【解決手段】本発明は電子メール本文に掲示されるリンクアドレスを確認して悪性であるかを把握し、前記リンクアドレスを介して電子メール受信者が悪質なサイトに接続することを防止する電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システムに関するもので、リンクアドレスと受信者情報の中で一つ以上と代替アドレスを記憶するアドレスDBと、電子メール本文に掲載されたリンクアドレスを抽出して代替アドレスに取り替え、該当リンクアドレスと受信者情報の中で一つ以上と前記代替アドレスを前記アドレスDBに記憶するリンクアドレス代替モジュールと、電子メールサーバーに接続した受信端末に電子メールモジュールの代替アドレス実行を確認すれば、前記アドレスDBで該当リンクアドレスを検索して検査対象ウェブサイトに接続して悪性であるかを検査するリンクアドレス検査モジュールと、前記リクアドレス検査モジュールから前記検査対象ウェブサイトの検査結果を前記受信端末に伝送する検査情報案内モジュールとを含むものである。【選択図】 図2
Description
本発明は電子メール本文に掲示されるリンクアドレスを確認して悪性であるかを把握し、前記リンクアドレスを介して電子メール受信者が悪質なサイトに接続することを防止する電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システムに関する。
オンラインを介してのメール手段である電子メールは時間と場所などにかかわらず発信者のメッセージを受信者に伝達することができる基本的な通信手段として日常に用いられており、電子メールを用いた個人間の情報交換はもちろんのこと、役所又は一般企業体の各種の案内情報までも受信者に伝達する通信手段として広く活用されている。
しかし、電子メールは受信者が望まない広告性情報はもちろんのこと、受信者に金銭的/精神的被害を与えることができる各種のフィッシングメール及び悪質なコードを含むとともに、受信者の個人情報を無断で流出するか受信者に金銭的な被害を与える悪意的な通信手段として活用された。
このような悪質な電子メールが氾濫するにつれて、電子メールを対象とする多様な従来の保安技術が開発された。従来の保安技術は一般的なスパムメールはもちろんのこと、悪質なコードが含まれた電子メールをフィルタリングして、受信者が選択的に閲覧することができるようにしたものであり、受信者はより安全に電子メールを受信して活用することができた。
一方、電子メール本文には特定のウェブサイトのURLアドレス(以下‘リンクアドレス’)を掲載するようになっているので、受信者は前記リンクアドレスをクリックすることのみでも前記特定のウェブサイトに手軽く接続することができる。このようなリンクアドレスは使用者がウェブサイトに接続するためにウェブブラウザに該当URLアドレスをいちいち入力する煩わしさを解消する便利さがある。
しかし、前述した従来の保安技術の保安機能を避けるために、近年悪質な電子メールは電子メールそのものに悪質なコードなどを含ませず、電子メール本文に掲載されたリンクアドレスの該当ウェブサイトに悪質なコードを含ませた。結局、受信者がリンクアドレスを介して該当ウェブサイトに接続すれば、前記リンクアドレスのウェブサイトに含まれた悪質なコードは受信者の端末を汚染させて、受信端末に含まれた各種の個人情報などを流出させた。
もちろん、従来の保安技術は悪質なコードを含むリンクアドレスを管理データとして記憶及び管理しながらリンクアドレス自体の危険性を確認する機能を備えていたが、悪質なコードで汚染されたウェブサイトのリンクアドレスは続いて新規アドレスに更新するので、既存の管理データのみでは新規アドレスの悪性リンクアドレスをフィルタリングするのに限界があった。
結局、従来の保安技術はリンクアドレスを介しての悪質なコード汚染をフィルタリングする保安機能は備えていないので、受信者が無意識的にリンクアドレス又はリンクアドレスが含まれたイメージ又は文字をクリックすれば端末が悪質なコードによって汚染されて被害を被る問題があった。
このような問題を解消するために、サンドボックスを活用して悪質なコードを探知する他の従来の保安技術が開発された。サンドボックス方式は電子メールの本文又は添付ファイルを隔離されたサンドボックス環境で閲覧するので、受信端末20の感染状態を安全に探知することができた。しかし、サンドボックスを活用した従来の保安技術は電子メール本文に掲載されたリンクアドレスを介してのフィッシングは感知することができないという限界があった。
一方、悪質なアドレスリストに基づいてリンクアドレスが悪性であるかを検査する他の従来の保安技術が開発された。しかし、このような保安方式は、検査当時に悪質なアドレスリストに含まれた悪質なアドレスのみフィルタリングすることができたし、大部分の悪質なアドレスは生成されてから数時間乃至数日が経った後に悪質なアドレスリストを更新することができるので、新規の悪質なアドレスはフィルタリングすることができないという限界があった。
その外にも、電子メール本文に掲載されたリンクアドレスが悪質なアドレスの場合、受信者が前記リンクアドレスを選択すれば接続トラフィックが異常に増加するという点を応用した他の従来の保安技術が開発された。このような従来の保安技術は接続トラフィックが基準値以上になれば該当リンクアドレスを悪質なアドレスと見なして実行を制限した。しかし、前記従来の保安技術の保安方式はネットワーク負荷が非常に大きく発生し、検査前までは受信者がインターネットに接続することができなくなる遅延問題のため、リンクアドレスの悪質なアドレス検査方式が非効率的であるという限界があった。
したがって、本発明は前記のような問題を解消するために発明されたもので、悪質なコード又はスパムなどで汚染された電子メールの受信を防止することはもちろんのこと、電子メール本文に含まれたリンクアドレスの該当ウェブサイト接続も前もって確認して接続することができるようにして、受信者が安全に電子メールを受信して情報通信ができるようにする、電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システムの提供を解決しようとする課題とする。
前記の課題を達成するために、本発明は、リンクアドレスと受信者情報の中で一つ以上と代替アドレスを記憶するアドレスDBと、電子メール本文に掲載されたリンクアドレスを抽出して代替アドレスに取り替え、該当リンクアドレスと受信者情報の中で一つ以上と前記代替アドレスを前記アドレスDBに記憶するリンクアドレス代替モジュールと、電子メールサーバーに接続した受信端末の電子メールモジュールの代替アドレス実行を確認すれば、前記アドレスDBで該当リンクアドレスを検索して検査対象ウェブサイトに接続し、悪性であるかを検査するリンクアドレス検査モジュールと、前記リンクアドレス検査モジュールから前記検査対象ウェブサイトの検査結果を前記受信端末に伝送する検査情報案内モジュールとを含む電子メール本文に掲載されたリンクアドレスの悪性検査システムである。
前記の他の技術的課題を達成するために、本発明は、代替サーバーのリンクアドレス代替モジュールが電子メール本文に掲載されたリンクアドレスを抽出して代替アドレスに取り替え、該当リンクアドレスと受信者情報の中で一つ以上と前記代替アドレスを前記アドレスDBに記憶するリンクアドレス代替段階と、受信端末の電子メールモジュールが電子メールサーバーに接続して受信電子メールを確認する電子メール確認段階と、リンクアドレス検査モジュールが電子メール本文に掲載された代替アドレスの接続実行を確認し、前記アドレスDBで前記代替アドレスに対するリンクアドレスを検索する対象ウェブサイト確認段階と、前記リンクアドレス検査モジュールが前記アドレスDBで検索したリンクアドレスの検査対象ウェブサイトに接続して悪性であるかを検査するリンクアドレス検査段階と、検査情報案内モジュールが前記リンクアドレス検査モジュールから受信した前記検査対象ウェブサイトの検査結果情報を前記受信端末に伝送する段階とを含む電子メール本文に掲載されたリンクアドレスの悪性検査方法である。
本発明は、悪質なコードで汚染された電子メールの受信を防止することはもちろんのこと、電子メール本文に掲載されたリンクアドレスの該当ウェブサイト接続も前もって確認して接続することができるようにして、受信者が安全に電子メールを受信して情報を交換することができるようにする効果がある。
また、本発明は、受信する電子メールをいちいち防疫する必要なしに使用者がリンクアドレスをクリックするときだけ該当防疫のための保安機能を遂行すれば良いので、保安システムの負荷を大きく減らすことができ、より早い保安速度で保安機能を実行することができる効果がある。
上述した本発明の特徴及び効果は添付図面を参照する以降の詳細な説明によって明らかになるはずであり、それによって本発明が属する技術分野で通常の知識を有する者が本発明の技術的思想を容易に実施することが可能であろう。本発明は多様な変更を加えることができ、さまざまな形態を有することができるが、特定の実施例を図面に例示し本文で詳細に説明しようとする。しかし、これは本発明を特定の開示形態に限定しようとするものではなく、本発明の思想及び技術範囲に含まれる全ての変更、均等物又は代替物を含むものに理解されなければならない。本出願で使用した用語は単に特定の実施例を説明するために使用されたもので、本発明を限定しようとする意図ではない。
以下、本発明を具体的な内容を添付図面に基づいて詳細に説明する。
図1は本発明による検査システムのネットワーク連結構成を概略的に示す図、図2は本発明による検査システムを示すブロック図である。
本実施例の検査システムは、電子メール本文に含まれたリンクアドレスを確認して代替アドレスに取り替える代替サーバー200と、代替アドレスを介してのウェブブラウザの接近を確認し、該当リンクアドレスのウェブサイトを検査する検査サーバー300とを含む。
周知のように、発信者と受信者は通信網に接続可能なラップトップ10、20、モバイル10’、20’、タブレットなどの通信端末を用いて電子メールデータを発信及び受信することができ、電子メールサーバー100は発信端末10、10’(以下、10)と受信端末20、20’(以下、20)間の電子メール通信を中継する。
代替サーバー200は、電子メールデータに構成された電子メール本文からリンクアドレスを抽出して代替アドレスに取り替えるリンクアドレス代替モジュール210と、リンクアドレスと代替アドレスを対にして連結して記憶するアドレスDB220とを含む。
検査サーバー300は、前記代替アドレスを介してのウェブブラウザの通信試みを確認すれば、アドレスDB220で該当リンクアドレス及び受信者情報の中で選択された一つ以上を検索して検査対象ウェブサイト30が悪性であるかを確認するリンクアドレス検査モジュール310と、リンクアドレス検査モジュール310の検査結果によって検査対象ウェブサイト30に対する前記ウェブブラウザの通信を印加し、検査情報を案内する検査情報案内モジュール320とを含む。本実施例の検査サーバー300は代替サーバー200からハードウェア的に独立したサーバーであるものにしたが、代替サーバー200と検査サーバー300はハードウェア的に一体であってもよい。
一方、本実施例の検査システムは、検査情報案内モジュール320と通信しながら検査情報を受信端末20から出力させ、受信端末20の入力情報を検査サーバー300に伝送させる検査情報確認モジュール22を含む。
以上で説明した本実施例の検査システムを介してリンクアドレスが悪性であるかを検査する方法を以下で詳細に説明する。
図3は本発明による検査方法の一実施例を順に示したフローチャート、図4は本発明による検査システムが検査する電子メール本文の一実施形態を示したイメージ、図5及び図6は図4に示した電子メール本文のソースコードの一実施形態を示したイメージ、図7は本発明による検査システムが電子メールリンクアドレスのウェブページを示して質疑する一実施形態を示したイメージである。
S10;リンクアドレス代替段階
本実施例の検査方法は、電子メール本文に掲載されたリンクアドレスを検査サーバー300のアドレスである代替アドレスに変更することで始める。
本実施例の検査方法は、電子メール本文に掲載されたリンクアドレスを検査サーバー300のアドレスである代替アドレスに変更することで始める。
電子メール本文に掲載されたリンクアドレス代替のための通信方式はフラックス方式とブリッジ方式とEmlファイルを介してのアドレス代替方式などが例示できるが、以下ではリンクアドレス代替のための通信方式としてフラックス方式を説明する。
参考までに、フラックス方式は、DNSサーバーのMXレコードを変更し、代替サーバー200が電子メールサーバー100に流入していた電子メールを先に受信し、リンクアドレスを代替アドレスに取り替え、代替アドレスに取り替えられた電子メールを電子メールサーバー100に伝達する。
ブリッジ方式は、代替サーバー200を電子メールサーバー100と一直線上に位置させ、電子メールサーバー100へのSMTPトラフィックが代替サーバー200となるように設定してリンクアドレスを代替アドレスに取り替える。
Emlファイルを介してのアドレス代替方式は、電子メールサーバー100でリンクアドレス代替対象である電子メールをemlファイル形態として代替サーバー200に伝達し、代替サーバー200がリンクアドレスを代替アドレスに取り替えるようにする。
図4の(a)は‘naver’単語が掲載された電子メール本文、図4の(b)は‘http://www.naver.com/’のURLアドレスがリンクアドレスとして掲載された電子メール本文である。
ところで、図4の(a)に示した電子メール本文の内容は一般単語であるので、図5に示したソースコードには‘naver’のみ確認される。一方、図4の(b)に示した電子メール本文はURL形式のリンクアドレスであるので、図6に示したソースコードでは‘http://www.naver.com/’として確認される。
代替サーバー200のリンクアドレス代替モジュール210は、電子メールサーバー100の電子メール中継モジュール110と連動して発信者の発送電子メールのソースコードルを分析し、これによって図6に示したリンクアドレスがあることを確認する。
ついで、リンクアドレス代替モジュール210は、電子メール本文で確認されたリンクアドレスを検査サーバー300の代替アドレスに変更する。一例を挙げて説明すれば、電子メール本文のソースコードに含まれたリンクアドレスである‘http://www.naver.com/’を検査サーバー300のURLアドレスである‘http://TEST1.com/’に変更する。結局、電子メール本文に掲載された元のリンクアドレスである‘http://www.naver.com/’は代替アドレスである‘http://TEST1.com/’に変更される。
リンクアドレスに対する代替アドレス変更が完了すれば、リンクアドレス代替モジュール210は前記リンクアドレスと代替アドレス又はリンクアドレスと代替アドレスと受信者情報を対にして連結してアドレスDB220に記憶する。ここで、前記受信者情報は受信者電子メールアドレスであってもよい。
参考までに、電子メールサーバー100は幾多の発信者及び受信者の間に電子メールの発信及び受信を中継し、電子メール本文には幾多のリンクアドレスが含まれることができる。したがって、本実施例のリンクアドレス代替モジュール210は互いに異なる多様な形態の代替アドレスをリンクアドレス別に対にする。すなわち、電子メール本文に掲載されたリンクアドレスが‘http://www.naver.com/’とともに‘http://www.daum.net/’の2個であれば、リンクアドレス代替モジュール210は‘http://www.naver.com/’に‘http://TEST1.com/’を代替アドレスにして対をなし、‘http://www.daum.net/’に‘http://TEST2.com/’を代替アドレスにして対をなすものである。
しかし、互いに異なる形態の‘http://TEST1.com/’と‘http://TEST2.com/’は同じ検査サーバー300に接続することができるようにして、受信者がどの代替アドレスを選択しても検査サーバー300にのみ接続されるようにする。
その外にも、他の実施例のリンクアドレス代替モジュール210は電子メール本文に掲載されたリンクアドレスの変更を一つの代替アドレスのみにし、アドレスDB220に記憶するときには受信者の電子メールアドレスとリンクアドレスを対にすることができる。
その外にも、他の実施例のリンクアドレス代替モジュール210は電子メール本文に掲載された多数のリンクアドレスの変更をそれぞれ互いに異なる代替アドレスにし、アドレスDB220に記憶するときには受信者の電子メールアドレスとリンクアドレス及び代替アドレスを対にして、互いに異なる代替アドレスの個数を大きく減らすことができる。
その外にも、他の実施例のリンクアドレス代替モジュール210は電子メール本文に掲載されたリンクアドレスを確認して、安全なウェブサイトのリンクアドレスとして管理される場合には、該当リンクアドレスは代替アドレスに変更されずに維持されるようにすることができる。
その外にも、代替アドレスの形式を‘http://TEST.com/リンクアドレス/’にして、代替アドレス自体に該当リンクアドレスを含ませ、リンクアドレス検査モジュール310は代替アドレスに基づいて該当リンクアドレスを確認することができる。ここで、アドレスDB220は代替アドレスと受信者情報のみを対にして連結して記憶することができる。
S20;電子メール確認段階
受信者は、受信端末20のウェブブラウザに基づいて実行する電子メールモジュール21が電子メールサーバー100に接続してログインすれば、電子メール中継モジュール110は前記受信者の受信電子メールを検索して電子メールモジュール21に提示し、電子メール中継モジュール110は提示された受信電子メールを受信端末20に出力させる。
受信者は、受信端末20のウェブブラウザに基づいて実行する電子メールモジュール21が電子メールサーバー100に接続してログインすれば、電子メール中継モジュール110は前記受信者の受信電子メールを検索して電子メールモジュール21に提示し、電子メール中継モジュール110は提示された受信電子メールを受信端末20に出力させる。
ついで、電子メールモジュール21は受信者が選択した電子メール本文を電子メール中継モジュール110に要請し、電子メール中継モジュール110は該当電子メール本文を検索して電子メールモジュール21に提示する。
電子メールモジュール21は提示された電子メール本文を受信して出力する。
これにより受信者は自分の受信端末20で電子メール本文を確認することができる。
電子メールサーバー100と受信端末20間の電子メール本文出力技術は既に公知の技術であるので、ここでは電子メール本文を閲覧する具体的なプロセスの説明は省略する。
S30;対象ウェブサイト確認段階
受信者は受信端末20に出力された電子メール本文で代替アドレスを選択してクリックし、受信端末20のウェブブラウザは前記代替アドレスに相当する検査サーバー300に接続する。
受信者は受信端末20に出力された電子メール本文で代替アドレスを選択してクリックし、受信端末20のウェブブラウザは前記代替アドレスに相当する検査サーバー300に接続する。
検査サーバー300のリンクアドレス検査モジュール310は前記代替アドレスと受信者電子メールアドレスの中で選択された一つ以上に基づいてアドレスDB220を検索して、受信者が接続しようとした元の対象ウェブサイトのリンクアドレスを確認する。
S40;対象ウェブサイト接続段階
リンクアドレス検査モジュール310は、アドレスDB220で検索したリンクアドレスによって元のウェブサイトに接続する。
リンクアドレス検査モジュール310は、アドレスDB220で検索したリンクアドレスによって元のウェブサイトに接続する。
S50;リンクアドレス悪性検査段階
本実施例の検査サーバー300は遠隔接続代行サーバーの一種であり、リンクアドレス検査モジュール310が自体ウェブブラウザを実行して該当リンクアドレスに接続する。
本実施例の検査サーバー300は遠隔接続代行サーバーの一種であり、リンクアドレス検査モジュール310が自体ウェブブラウザを実行して該当リンクアドレスに接続する。
リンクアドレス検査モジュール310のウェブブラウザは該当リンクアドレスのウェブページを確認し、検査情報案内モジュール320は、図7に示したように、前記ウェブページのイメージをキャプチャーしてキャプチャーイメージとして収集する。
ここで、リンクアドレス検査モジュール310は、リンクアドレスの悪質なコードの実行とこれによるインターネットトラフィックの発生を制限するように仮想領域を生成させ、前記リンクアドレスへの接続が隔離された仮想領域内でなされる。結局、リンクアドレスに含まれた悪質なコードの実行によって悪性プログラムの組込みが進行されても、前記仮想領域内で組み込まれるので、悪質なコードはリンクアドレス検査モジュール310はもちろんのこと、受信端末20にも影響を及ぼさない。リンクアドレス検査モジュール310は、悪質なコードで仮想領域が汚染されれば、前記仮想領域自体を削除するか仮想領域に記憶された外部データ及び追加データを削除すれば良いので、検査サーバー300は悪質なコードによる負担なしに検査対象ウェブサイト30と安全に通信することができる。
ついで、検査情報案内モジュール320は、前記キャプチャーイメージを受信端末20の検査情報確認モジュール22に伝送し、検査情報確認モジュール22は前記キャプチャーイメージを、図7に示したように、受信端末20に出力する。受信者は受信端末20に出力された前記キャプチャーイメージを確認して悪質なサイトであるかを判断し、該当リンクアドレスのウェブサイトへの接続を決定する。
S60;対象ウェブサイト連結段階
本実施例で、検査情報案内モジュール320はキャプチャーイメージとともに受信者が選択することができる‘はい’と‘いいえ’メニューを提示し、リンクアドレスに相当する検査対象ウェブサイトへの接続を決定すれば、受信端末20のウェブブラウザを前記リンクアドレスに相当する検査対象ウェブサイトに接続させる。
本実施例で、検査情報案内モジュール320はキャプチャーイメージとともに受信者が選択することができる‘はい’と‘いいえ’メニューを提示し、リンクアドレスに相当する検査対象ウェブサイトへの接続を決定すれば、受信端末20のウェブブラウザを前記リンクアドレスに相当する検査対象ウェブサイトに接続させる。
S70;検査情報案内段階
その外にも、リンクアドレス検査モジュール310は、自体検査によってリンクアドレスのウェブサイトが悪性であるかを確認することができ、悪性であると確認されれば、検査情報案内モジュール320は該当リンクアドレスと悪質なコードの種類及び名称などを掲示した報告書を生成して受信端末20の検査情報確認モジュール22に伝送する。
その外にも、リンクアドレス検査モジュール310は、自体検査によってリンクアドレスのウェブサイトが悪性であるかを確認することができ、悪性であると確認されれば、検査情報案内モジュール320は該当リンクアドレスと悪質なコードの種類及び名称などを掲示した報告書を生成して受信端末20の検査情報確認モジュール22に伝送する。
検査情報確認モジュール22は前記報告書形式の検査情報を出力して受信者に接続制限理由を案内する。
図8は本発明による検査システムの他の実施例を示すブロック図、図9は本発明による検査方法の他の実施例を順に示したフローチャートである。
本実施例の検査システムは、安全なウェブサイトアドレス情報と悪質なコードで感染されたウェブサイトアドレス情報の中で選択された一つ以上を記憶するウェブサイトDB340と、受信者が接続を許容したウェブサイトアドレス情報と接続を許容しなかったウェブサイトアドレス情報の中で選択された一つ以上を記憶する受信者DB330と、ウェブサイトDB340と受信者DB330に基づいてリンクアドレスの接続有無を決定する接続管理モジュール350とをさらに含む。
ウェブサイトDB340は、公認ウェブサイトである一般ポータルサイトと企業ウェブサイト、役所ウェブサイトなどのウェブサイトアドレス情報を記憶することができ、悪質なコードで感染されたことが確認されたウェブサイトアドレス情報を記憶することができる。
受信者DB330は、受信者が接続を承認したか承認しなかったウェブサイトのアドレス情報を記憶することができる。
接続管理モジュール350は、リンクアドレス検査モジュール310が確認したリンクアドレスをウェブサイトDB340及び受信者DB330で先に検索して、リンクアドレス検査モジュール310が該当ウェブサイトに接続するに先立ち接続有無を決定する(S35、S36)。接続管理モジュール350が接続を承認すれば、検査情報案内モジュール320は受信端末20のウェブブラウザが該当リンクアドレスのウェブサイトに接続するようにし、接続管理モジュール350が接続を承認しなければ、検査情報案内モジュール320は該当リンクアドレスと悪質なコードの種類及び名称などを掲示した報告書を生成して受信端末20の検査情報確認モジュール22に伝送する。
検査情報確認モジュール22は前記報告書形式の検査情報を出力して、受信者に接続制限理由を案内する。
参考までに、本実施例の受信者DB330は受信端末20のIP又は受信者の電子メールアドレスなどの受信者別識別情報を記憶し、接続管理モジュール350は前記識別情報を基準に受信者別に入力された接続承印可否関連ウェブサイトアドレス情報を区分することができる。
本実施例で、ウェブサイトDB340と受信者DB330がリンクアドレス検査モジュール310の検査に記憶データを反映するものにしたが、リンクアドレス代替モジュール210のリンクアドレス代替の際に記憶データを反映することで、安全が公認されたウェブサイトのリンクアドレス又は受信者が承認したウェブサイトのリンクアドレスは代替アドレスへの代替なしにその状態を維持するようにすることもできる。
前述した本発明の詳細な説明では本発明の好適な実施例を参照して説明したが、当該技術分野の熟練した当業者又は当該技術分野に通常の知識を有する者であれば後述する特許請求範囲に掲載された本発明の思想及び技術の領域から逸脱しない範疇内で本発明を多様に修正及び変更することができることが理解可能であろう。
Claims (5)
- リンクアドレスと受信者情報の中で一つ以上と代替アドレスを記憶するアドレスDBと、
受信者の識別情報と、受信者が入力した接続承印加否関連ウェブサイトアドレス情報をそれぞれ記憶する受信者DBと、
電子メール本文に掲載されたリンクアドレスを抽出して代替アドレスに取り替え、該当リンクアドレスと受信者情報の中で一つ以上と前記代替アドレスを前記アドレスDBに記憶するリンクアドレス代替モジュールと、
電子メールサーバーに接続した受信端末の電子メールモジュールの代替アドレス実行を確認すれば、前記アドレスDBで該当リンクアドレスを検索し、隔離された仮想領域で自体ウェブブラウザを用いて検査対象ウェブサイトに接続し、悪性であるかを検査するリンクアドレス検査モジュールと、
前記リンクアドレス検査モジュールが接続した検査対象ウェブサイトの画面をキャプチャーし、該当キャプチャーイメージを受信端末に伝送し、前記リンクアドレス検査モジュールから前記検査対象ウェブサイトの検査結果を前記受信端末に伝送する検査情報案内モジュールと、
前記リンクアドレス検査モジュールが確認したリンクアドレスを前記受信者DBで検索し、ウェブアドレス別接続承印加否によって該当ウェブサイトへの接続を決定する接続管理モジュールと、
を含むことを特徴とする、電子メール本文に掲載されたリンクアドレスの悪性検査システム。 - 前記リンクアドレス代替モジュールは、電子メールデータを電子メールサーバーより先に受信した後にリンクアドレスを取り替え、電子メールサーバーに伝送するか、電子メールデータを受信した電子メールサーバーが検査対象電子メールを前記リンクアドレス代替モジュールに伝送することを特徴とする、請求項1に記載の電子メール本文に掲載されたリンクアドレスの悪性検査システム。
- 前記リンクアドレス代替モジュールは、代替対象から除かれたリンクアドレスは代替なしに電子メール本文に維持させることを特徴とする、請求項1に記載の電子メール本文に掲載されたリンクアドレスの悪性検査システム。
- 安全性が確認されたウェブサイトアドレス情報と悪質なコード汚染が確認されたウェブサイトアドレス情報の中で一つ以上を記憶するウェブサイトDBをさらに含み、
前記接続管理モジュールは、前記リンクアドレス検査モジュールが確認したリンクアドレスをウェブサイトDBで検索して該当ウェブサイトへの接続可否を決定することを特徴とする、請求項1に記載の電子メール本文に掲載されたリンクアドレスの悪性検査システム。 - 代替サーバーのリンクアドレス代替モジュールが電子メール本文に掲載されたリンクアドレスを抽出して代替アドレスに取り替え、該当リンクアドレスと受信者情報の中で一つ以上と前記代替アドレスを前記アドレスDBに記憶するリンクアドレス代替段階と、
受信端末の電子メールモジュールが電子メールサーバーに接続して受信電子メールを確認する電子メール確認段階と、
リンクアドレス検査モジュールが前記アドレスDBで前記代替アドレスに対するリンクアドレスを検索し、受信者の識別情報と前記受信者が入力した接続承印加否関連ウェブサイトアドレス情報をそれぞれ記憶した受信者DBで接続管理モジュールが前記リンクアドレスを検索して前記リンクアドレスのウェブサイト接続可否を決定する対象ウェブサイト確認段階と、
前記対象ウェブサイト確認段階で確認された前記リンクアドレスへの接続可否によって検査対象ウェブサイトへの接続が決定され、前記対象ウェブサイト確認段階で接続可否が決定されなければ、隔離された仮想領域で前記リンクアドレス検査モジュールが前記アドレスDBで検索したリンクアドレスの検査対象ウェブサイトに接続して悪性を検査し、前記リンクアドレス検査モジュールが接続した検査対象ウェブサイトの画面を検査情報案内モジュールがキャプチャーし、該当キャプチャーイメージを受信端末に伝送するリンクアドレス検査段階と、
前記検査情報案内モジュールが前記リンクアドレス検査モジュールから受信した前記検査対象ウェブサイトの検査結果情報とキャプチャーイメージを前記受信端末に伝送する段階と、
前記検査結果情報とキャプチャーイメージを受信した前記受信端末の検査情報確認モジュールが出力する段階と、
を含むことを特徴とする、電子メール本文に掲載されたリンクアドレスの悪性検査方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170062100A KR101907392B1 (ko) | 2017-05-19 | 2017-05-19 | 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템 |
| KR10-2017-0062100 | 2017-05-19 | ||
| PCT/KR2018/004071 WO2018212455A1 (ko) | 2017-05-19 | 2018-04-06 | 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020521221A true JP2020521221A (ja) | 2020-07-16 |
| JP7141643B2 JP7141643B2 (ja) | 2022-09-26 |
Family
ID=63876650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019563383A Active JP7141643B2 (ja) | 2017-05-19 | 2018-04-06 | 電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200074079A1 (ja) |
| JP (1) | JP7141643B2 (ja) |
| KR (1) | KR101907392B1 (ja) |
| CN (1) | CN110637302A (ja) |
| WO (1) | WO2018212455A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190106044A (ko) * | 2018-03-07 | 2019-09-18 | 삼성전자주식회사 | 웹 페이지의 표시 방법 및 전자 장치 |
| KR102232206B1 (ko) * | 2020-01-03 | 2021-03-26 | (주)새움소프트 | 발송메일의 오동작 패턴을 기초로 위험성을 자동 감지하는 방법 및 컴퓨터 프로그램 |
| US10735436B1 (en) * | 2020-02-05 | 2020-08-04 | Cyberark Software Ltd. | Dynamic display capture to verify encoded visual codes and network address information |
| KR102527260B1 (ko) * | 2020-09-15 | 2023-04-27 | 주식회사 카카오 | 스팸 url을 판단하는 방법 및 시스템 |
| KR102184485B1 (ko) | 2020-10-05 | 2020-11-30 | 크리니티(주) | 악성 메일 처리 시스템 및 방법 |
| US20240015182A1 (en) * | 2020-12-29 | 2024-01-11 | Kiwontech Co., Ltd. | Device for providing protective service against email security-based zero-day url attack and method for operating same |
| US11943257B2 (en) * | 2021-12-22 | 2024-03-26 | Abnormal Security Corporation | URL rewriting |
| KR102448188B1 (ko) * | 2022-05-06 | 2022-09-28 | (주)지란지교시큐리티 | 웹 격리 기술 기반의 메일 보안 시스템 및 메일 보안 서비스 제공 방법 |
| CN115134147A (zh) * | 2022-06-29 | 2022-09-30 | 中国工商银行股份有限公司 | 电子邮件检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007202046A (ja) * | 2006-01-30 | 2007-08-09 | Nec Corp | 不正サイトへの誘導防止システム、方法、プログラム、及び、メール受信装置 |
| US7516488B1 (en) * | 2005-02-23 | 2009-04-07 | Symantec Corporation | Preventing data from being submitted to a remote system in response to a malicious e-mail |
| JP2013246474A (ja) * | 2012-05-23 | 2013-12-09 | Nippon Telegr & Teleph Corp <Ntt> | 中継サーバおよび代理アクセス方法 |
| JP2014225120A (ja) * | 2013-05-16 | 2014-12-04 | ヤマハ株式会社 | 中継装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9106694B2 (en) * | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| KR100885634B1 (ko) * | 2006-09-22 | 2009-02-26 | 주식회사 소프트런 | 피싱 방지를 위한 웹 사이트 및 메일 검증 방법과 그 방법에 대한 컴퓨터 프로그램을 저장한 기록매체 |
| US20100299735A1 (en) * | 2009-05-19 | 2010-11-25 | Wei Jiang | Uniform Resource Locator Redirection |
| KR101940310B1 (ko) * | 2013-05-24 | 2019-01-21 | 한국전자통신연구원 | 웹 사이트 검증 장치 및 그 방법 |
| KR20150019663A (ko) * | 2013-08-14 | 2015-02-25 | 소프트캠프(주) | 이메일의 첨부파일 처리시스템과 처리방법 |
| KR20150062644A (ko) * | 2013-11-29 | 2015-06-08 | (주)노르마 | 스미싱 메시지 검출 시스템과 이에 사용되는 서버 및 프로그램을 기록한 기록매체 |
| CN105491053A (zh) * | 2015-12-21 | 2016-04-13 | 用友网络科技股份有限公司 | 一种Web恶意代码检测方法及系统 |
-
2017
- 2017-05-19 KR KR1020170062100A patent/KR101907392B1/ko active IP Right Grant
-
2018
- 2018-04-06 CN CN201880033035.1A patent/CN110637302A/zh active Pending
- 2018-04-06 US US16/614,044 patent/US20200074079A1/en not_active Abandoned
- 2018-04-06 WO PCT/KR2018/004071 patent/WO2018212455A1/ko active Application Filing
- 2018-04-06 JP JP2019563383A patent/JP7141643B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7516488B1 (en) * | 2005-02-23 | 2009-04-07 | Symantec Corporation | Preventing data from being submitted to a remote system in response to a malicious e-mail |
| JP2007202046A (ja) * | 2006-01-30 | 2007-08-09 | Nec Corp | 不正サイトへの誘導防止システム、方法、プログラム、及び、メール受信装置 |
| JP2013246474A (ja) * | 2012-05-23 | 2013-12-09 | Nippon Telegr & Teleph Corp <Ntt> | 中継サーバおよび代理アクセス方法 |
| JP2014225120A (ja) * | 2013-05-16 | 2014-12-04 | ヤマハ株式会社 | 中継装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101907392B1 (ko) | 2018-10-12 |
| US20200074079A1 (en) | 2020-03-05 |
| CN110637302A (zh) | 2019-12-31 |
| JP7141643B2 (ja) | 2022-09-26 |
| WO2018212455A1 (ko) | 2018-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7141643B2 (ja) | 電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システム | |
| US9635042B2 (en) | Risk ranking referential links in electronic messages | |
| US11595353B2 (en) | Identity-based messaging security | |
| US20220086158A1 (en) | Domain-based isolated mailboxes | |
| CN109495377B (zh) | 即时的电子邮件内嵌url的信誉确定设备、系统和方法 | |
| US8095602B1 (en) | Spam whitelisting for recent sites | |
| US8209381B2 (en) | Dynamic combatting of SPAM and phishing attacks | |
| US9787636B2 (en) | Relay device and control method of relay device | |
| US20060271631A1 (en) | Categorizing mails by safety level | |
| US20070156900A1 (en) | Evaluating a questionable network communication | |
| US20080209028A1 (en) | Discovering and determining characteristics of network proxies | |
| US8862675B1 (en) | Method and system for asynchronous analysis of URLs in messages in a live message processing environment | |
| Banday | Techniques and Tools for Forensic Investigation of E-mail | |
| TW201414260A (zh) | 惡意訊息之偵測及處理 | |
| KR102648653B1 (ko) | 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법 | |
| Onaolapo et al. | {SocialHEISTing}: Understanding Stolen Facebook Accounts | |
| US7558829B1 (en) | Apparatus and method for filtering email using disposable email addresses | |
| Khan et al. | Introduction to email, web, and message forensics | |
| CN104811418A (zh) | 病毒检测的方法及装置 | |
| Mishra et al. | Forensic analysis of e-mail date and time spoofing | |
| Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
| JP2006268335A (ja) | 電子メールシステム、電子メールシステムにおけるリンク先のフィルタ方法およびプログラム | |
| JP2024533008A (ja) | 標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法 | |
| KR20240019669A (ko) | 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법 | |
| JP2024533009A (ja) | 非承認の電子メールサーバーへのアクセス攻撃の検査を行う標的型電子メールの攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220104 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220328 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220606 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220701 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220809 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220831 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7141643 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |