JP2021051483A - Camouflage site detecting device, camouflage site detecting program, and camouflage site detecting method - Google Patents
Camouflage site detecting device, camouflage site detecting program, and camouflage site detecting method Download PDFInfo
- Publication number
- JP2021051483A JP2021051483A JP2019173372A JP2019173372A JP2021051483A JP 2021051483 A JP2021051483 A JP 2021051483A JP 2019173372 A JP2019173372 A JP 2019173372A JP 2019173372 A JP2019173372 A JP 2019173372A JP 2021051483 A JP2021051483 A JP 2021051483A
- Authority
- JP
- Japan
- Prior art keywords
- site
- camouflaged
- domain
- detection
- dangerous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、偽装サイト検知装置、偽装サイト検知プログラム、及び偽装サイト検知方法に関し、例えば、正規サイトに似せた偽装サイト(危険サイト)を検出する偽装サイト検出装置に適用し得る。 The present invention relates to a fake site detection device, a fake site detection program, and a fake site detection method, and can be applied to, for example, a fake site detection device that detects a fake site (dangerous site) that resembles a legitimate site.
従来、偽の電子メールから偽のホームページに接続させたり、ソーシャル・ネットワーキング・サービス(SNS)にURL(Uniform Resource Locator)を記載し、危険なサイトに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出すフィッシング詐欺が存在する。 Conventionally, a credit card number is connected to a fake homepage from a fake e-mail, or a URL (Uniform Password) is described in a social networking service (SNS) to connect to a dangerous site. , There are phishing scams that steal important personal information such as account information (user ID, password, etc.).
フィッシング詐欺の対策として、上記のような危険サイトにアクセスしないようにするウイルス検知ソフトが存在する(例えば、非特許文献1)。 As a countermeasure against phishing fraud, there is virus detection software that prevents access to the above-mentioned dangerous sites (for example, Non-Patent Document 1).
例えば、非特許文献1を含む従来のウイルス検知ソフトでは、過去に不正プログラムの転送やオンライン詐欺に関わった危険性の高いWebサイトの情報が蓄積されているデータベースを活用している。Web脅威対策では、アクセスしようとしたURLの情報を暗号化して、ウイルス検知ソフトサービスを提供している業者(非特許文献1ではトレンドマイクロ社)のサーバへ送信し、そのWebサイトの安全性をチェックする。Webサイトの安全性が確認できないときはベージの表示をブロックする。 For example, conventional virus detection software including Non-Patent Document 1 utilizes a database in which information on websites having a high risk of being involved in the transfer of malicious programs or online fraud in the past is accumulated. In Web threat countermeasures, the information of the URL to be accessed is encrypted and sent to the server of a company that provides virus detection software services (Trend Micro in Non-Patent Document 1) to check the safety of the website. To do. If the safety of the website cannot be confirmed, the display of the page is blocked.
ここで、フィッシングサイトへの誘導の手口の一つとして、例えば、正規の安全なドメインのホスト名に類似させたり、正規ドメインを連想させる語句を含んだホスト名を使い偽装サイト(危険サイト)に誘導するものが従来から存在する。 Here, as one of the methods of guiding to a phishing site, for example, a host name that resembles the host name of a legitimate secure domain or contains a phrase reminiscent of a legitimate domain is used to make a spoofed site (dangerous site). There is a conventional one to induce.
しかしながら、上記非特許文献1を含む従来のウイルス検知ソフトでは、データベースの偽装サイトの定義が更新されなければ、偽装サイトの定義に存在しない偽装サイトを検知することができない。偽装サイトの定義は過去の事例から作成されるため、偽装サイトが新規に作られてもすぐに検知されないことがある。また、偽装サイトの定義は汎用的に作成されるため、特定ユーザにとってはアクセス頻度が高く、そのユーザにターゲットを絞った偽装サイトには対応できないことがあった。
However, conventional virus detection software including the above-mentioned Non-Patent
つまり、ユーザが正規ドメインを指定し、この正規ドメインに似せた偽装サイトが新規に作られた場合に、偽装サイトと知れ渡る前に、アクセスすることなく危険サイトと検知できる方法が存在しない。 In other words, if a user specifies a legitimate domain and a new spoofed site that resembles this legitimate domain is created, there is no way to detect it as a dangerous site without accessing it before it becomes known as a spoofed site.
そのため、正規ドメインに似せた偽装サイトが知れ渡る前段階で、当該偽装サイトへのアクセスを防止できる偽装サイト検知装置、偽装サイト検知プログラム、及び偽装サイト検知方法が望まれている。 Therefore, a fake site detection device, a fake site detection program, and a fake site detection method that can prevent access to the fake site are desired before the fake site that resembles a legitimate domain becomes known.
第1の本発明は、所定の正規ドメイン名リストに登録済みの第1のサイトについて、該第1のサイトの偽装サイトを検出する偽装サイト検知装置であって、(1)入力された第2のサイトのURL又はURLの一部から抽出された文字列である判定対象について、少なくとも所定の危険サイト検出ルールに基づき、前記第2のサイトが、前記第1のサイトの偽装サイトである危険サイト又は安全サイトであるかを判定する偽装サイト検索手段と、(2)前記偽装サイト検索手段で危険サイトであると判定された場合の判定結果のメッセージを生成する検知結果生成手段と、(3)前記判定結果のメッセージを他の装置に送信する検知結果送信手段とを備えることを特徴とする。 The first invention is a spoofed site detection device that detects a spoofed site of the first site registered in a predetermined regular domain name list, and (1) the input second. Regarding the judgment target which is the URL of the site or a character string extracted from a part of the URL, the second site is a dangerous site which is a camouflaged site of the first site, at least based on a predetermined dangerous site detection rule. Alternatively, a fake site search means for determining whether the site is a safe site, (2) a detection result generation means for generating a message of a determination result when the fake site search means determines that the site is a dangerous site, and (3). It is characterized by including a detection result transmitting means for transmitting the determination result message to another device.
第2の本発明の偽装サイト検知プログラムは、所定の正規ドメイン名リストに登録済みの第1のサイトについて、該第1のサイトの偽装サイトを検出する偽装サイト検知装置に搭載されるコンピュータを、(1)入力された第2のサイトのURL又はURLの一部から抽出された文字列である判定対象について、少なくとも所定の危険サイト検出ルールに基づき、前記第2のサイトが、前記第1のサイトの偽装サイトである危険サイト又は安全サイトであるかを判定する偽装サイト検索手段と、(2)前記偽装サイト検索手段で危険サイトであると判定された場合の判定結果のメッセージを生成する検知結果生成手段と、(3)前記判定結果のメッセージを他の装置に送信する検知結果送信手段として機能させることを特徴とする。 The second fake site detection program of the present invention uses a computer mounted on a fake site detection device for detecting a fake site of the first site registered in a predetermined regular domain name list. (1) Regarding the determination target which is the URL of the input second site or a character string extracted from a part of the URL, the second site is the first, based on at least a predetermined danger site detection rule. A fake site search means for determining whether a site is a fake site or a safe site, and (2) a detection that generates a message of a determination result when the fake site search means determines that the site is a dangerous site. It is characterized in that it functions as a result generating means and (3) a detection result transmitting means for transmitting the message of the determination result to another device.
第3の本発明は、所定の正規ドメイン名リストに登録済みの第1のサイトについて、該第1のサイトの偽装サイトを検出する偽装サイト検知装置に使用する偽装サイト検知方法であって、(1)偽装サイト検索手段は、入力された第2のサイトのURL又はURLの一部から抽出された文字列である判定対象について、少なくとも所定の危険サイト検出ルールに基づき、前記第2のサイトが、前記第1のサイトの偽装サイトである危険サイト又は安全サイトであるかを判定し、(2)検知結果生成手段は、前記偽装サイト検索手段で危険サイトであると判定された場合の判定結果のメッセージを生成し、(3)検知結果送信手段は、前記判定結果のメッセージを他の装置に送信することを特徴とする。 A third aspect of the present invention is a fake site detection method used for a fake site detection device that detects a fake site of the first site registered in a predetermined regular domain name list. 1) The camouflaged site search means is determined by the second site based on at least a predetermined dangerous site detection rule for the determination target which is the URL of the input second site or a character string extracted from a part of the URL. , It is determined whether it is a dangerous site or a safe site which is a fake site of the first site, and (2) a determination result when the detection result generation means is determined to be a dangerous site by the fake site search means. (3) The detection result transmitting means transmits the message of the determination result to another device.
本発明によれば、正規ドメインに似せた偽装サイトが知れ渡る前段階で、当該偽装サイトへのアクセスを防止できる。 According to the present invention, it is possible to prevent access to a fake site before the fake site that resembles a legitimate domain becomes known.
(A)第1の実施形態
以下、本発明に係る偽装サイト検知装置、偽装サイト検知プログラム、及び偽装サイト検知方法の第1の実施形態を、図面を参照しながら詳述する。
(A) First Embodiment Hereinafter, the first embodiment of the fake site detection device, the fake site detection program, and the fake site detection method according to the present invention will be described in detail with reference to the drawings.
(A−1)第1の実施形態の構成
(A−1−1)全体構成
図2は、第1の実施形態に係る偽装サイト検知システムの全体構成を示すブロック図である。
(A-1) Configuration of First Embodiment (A-1-1) Overall Configuration FIG. 2 is a block diagram showing an overall configuration of a camouflaged site detection system according to the first embodiment.
図2において、偽装サイト検知システム1は、複数の端末2(2−1〜2−N)、ローカルネットワーク4、セキュリティ装置3、偽装サイト検知装置10及びインターネット30を備える。
In FIG. 2, the camouflaged
偽装サイト検知システム1では、端末2及びセキュリティ装置3がローカルネットワーク4に接続され、また、セキュリティ装置3がインターネット30に接続されている。
In the camouflaged
端末2は、セキュリティ装置3を経由しインターネット30にアクセスすることができる情報処理端末である。また、端末2は、インターネット30上のURLの情報を画面上に表示するための閲覧ソフトを備えており、例えば、HTML(Hyper Text Markup Language)等で作成されたウェブページ(ウェブサイト)を表示することができる。
The
セキュリティ装置3は、ウイルス検知機能やファイアウォール機能等のセキュリティ機能を備える装置である。また、この実施形態のセキュリティ装置3は、端末2からインターネット30上のウェブサイトを閲覧しようとする際には、偽装サイト検知装置10にURLを送付して、閲覧しようとするウェブサイトの安全性を確認する。
The
偽装サイト検知装置10は、端末2が閲覧しようとするウェブサイトが偽装サイト(危険サイト)であるか否かを判定後、安全ならばインターネット30上の該当サイトにアクセスするように制御する。一方、偽装サイト検知装置10は、ウェブサイトが危険サイトと判定すれば端末2に結果(危険サイトと判断した根拠メッセージ等を含む判定結果)を通知する。
The camouflage
(A−1−2)偽装サイト検知装置10の詳細な構成
図1は、第1の実施形態に係る偽装サイト検知装置の内部構成を示すブロック図である。第1の実施形態に係る偽装サイト検知装置は、図1に示す各構成部を搭載した専用のICチップ等のハードウェアとして構成しても良いし、又は、CPUと、CPUが実行するプログラムを中心としてソフトウェア的に構成して良いが、機能的には、図1で表すことができる。
(A-1-2) Detailed Configuration of the Fake
図1において、偽装サイト検知装置10は、対象URL入力部11、対象ドメイン抽出部12、偽装サイト検索部13、検知結果生成部14、検知結果出力部15、及び記憶部16を有する。
In FIG. 1, the camouflaged
対象URL入力部11は、セキュリティ装置3から、URL文字列が入力されることで偽装サイト判定要求を受け付けるものである。対象URL入力部11は、対象ドメイン抽出部12にURL文字列を通知する。
The target
対象ドメイン抽出部12は、偽装サイト検知装置10に入力されたURLから判定対象となるドメイン名又はFQDN(Fully Qualified Domain Name)を抽出する。対象ドメイン抽出部12は、抽出したドメイン名を偽装サイト検索部13に通知する。なお、偽装サイト検知装置10は、変形例として、本構成を省略してセキュリティ装置3から受信した文字列(URL)を、そのまま偽装サイト検索部13に通知しても良い。
The target
偽装サイト検索部13は、対象ドメイン名について、偽装サイト検知ルール17、正規類似ドメイン名リスト18、危険ドメイン名リスト19、及び正規ドメイン名リスト20を用い、安全なサイト又は危険なサイトであるかを判定するものである。
The spoofed
検知結果生成部14は、危険サイト(危険ドメイン)と判定された場合の判定結果のメッセージを生成するものである。
The detection
検知結果出力部15は、生成した判定結果をセキュリティ装置3経由で端末2に送信するものである。
The detection
記憶部16は、各種情報(偽装サイト検知ルール17、正規類似ドメイン名リスト18、危険ドメイン名リスト19、正規ドメイン名リスト20等)を記憶するものである。
The
偽装サイト検知ルール17は、正規ドメイン名の文字列を用い偽装サイト候補とする文字列のリストを該当文字や正規表現で記述したものである。
The spoofed
図3は、第1の実施形態に係る偽装サイト検知ルールの一例を示す説明図である。図3において、偽装サイト検知ルール17は、類似文字171、関連語172、及び共通関連語173を有する。
FIG. 3 is an explanatory diagram showing an example of a camouflaged site detection rule according to the first embodiment. In FIG. 3, the camouflaged
図3(a)の類似文字171は、形状が似ている文字を使って偽装するサイトを発見するためのルールである。類似文字171は、各データを識別する「ID」、正規ドメイン名を示す「正規」、正規ドメイン名に類似する文字を示す「類似」、及び後述する正規類似ドメイン名リスト18のデータとの関連を示す「関連」から構成される。
The similar character 171 in FIG. 3A is a rule for finding a site to be disguised by using characters having a similar shape. The similar character 171 is related to "ID" that identifies each data, "regular" that indicates a regular domain name, "similar" that indicates a character similar to the regular domain name, and data in the regular similar
類似文字171は、O(オー)と0(ゼロ)や、I(アイ)、l(エル)と1(イチ)のように形状の似た文字に置き換えて対象URLが合致するかを判定する際に用いるルールである。類似文字171では、「類似の」項目の角括弧[]の中で、形状の似た文字が示されている。 The similar character 171 is replaced with a character having a similar shape such as O (o) and 0 (zero), I (eye), l (el) and 1 (ichi), and it is determined whether or not the target URL matches. It is a rule used at the time. Similar characters 171 indicate characters with similar shapes in square brackets [] for "similar" items.
また、「関連」は、図4(a)の正規類似ドメイン名リスト18中のIDを表し、類似文字(類似文字ルール)にマッチしたとしても安全サイトと判定するために使用される。
Further, "related" represents an ID in the regular similar
図3(b)の関連語172は、正規ドメインに関連する語が検知対象URLに含まれるかを調べるときに用いるルールである。関連語172は、各データを識別する「ID」、正規ドメイン名を示す「正規」、正規ドメイン名の関連語を示す「関連」、及び後述する正規類似ドメイン名リスト18のデータとの関連を示す「関連」から構成される。
The
関連語172では、サイトの名称を構成する単語や、サイトの組織等に関連する語句を英数字、ローマ字で表したものを予め登録しておく。例えば、正規ドメイン「oki.com」の場合、名称「沖電気工業」のローマ字表記“oki−denki−kougyo”や英語表記“oki electric iudustry”から「denki」、「kougyo」、「electric」、「industry」を予め登録しておく(図3(b)では、「denki」が登録されている例が示されている)。
In the
また、「関連」は、図4(a)の正規類似ドメイン名リスト18中のIDを表し、関連語を含んでいたとしても、当該ドメインの時は安全サイトと判定するために使用される。
Further, "association" represents an ID in the regular similar
図3(c)は、共通関連語173、どのサイトにも共通に取り扱う関連語を示すものであって、偽装サイトに使われやすい語句を予め登録しておく。例えば、図3(c)のようにログインページを装う際に使われやすい「login」や「sign」といった語をあらかじめ登録しておく。 FIG. 3C shows common related words 173, related words that are commonly handled by all sites, and words and phrases that are easily used in camouflaged sites are registered in advance. For example, as shown in FIG. 3C, words such as "login" and "sign" that are easily used when pretending to be a login page are registered in advance.
図4は、第1の実施形態に係る正規類似ドメイン名リストの一例を示す説明図である。図4において、正規類似ドメイン名リスト18は、各データを識別する「ID」、及び正規類似ドメイン名を示す「正規類似ドメイン」から構成される。
FIG. 4 is an explanatory diagram showing an example of a list of canonical similar domain names according to the first embodiment. In FIG. 4, the normal-similar
なお、図4の正規類似ドメイン名リスト18では、後述する正規ドメイン名リスト20と同一ドメインのデータが重複して登録されている例(例えば、「oki.com」のデータ)が示されているが、正規ドメイン名リスト20に登録されているデータは、必ずしも正規類似ドメイン名リスト18に登録する必要は無い。
In addition, in the regular similar
正規類似ドメイン名リスト18は、偽装サイト検知ルール17を用いると危険ドメインと判定されるが、安全なドメインとみなすドメイン名をリスト化したものであり、例えば、同一組織の国別サイト等が登録されている。
The legitimate similar
図5は、第1の実施形態に係る危険ドメイン名リストの一例を示す説明図である。図5において、危険ドメイン名リスト19は、各データを識別する「ID」、及び危険ドメイン名を示す「危険ドメイン」から構成される。
FIG. 5 is an explanatory diagram showing an example of a dangerous domain name list according to the first embodiment. In FIG. 5, the danger
危険ドメイン名リスト19は、正規ドメインに類似する危険なドメインのリストであり、明らかに危険と分かっている場合に登録される。
The dangerous
図6は、第1の実施形態に係る正規ドメイン名リストの一例を示す説明図である。図6において、正規ドメイン名リスト20は、各データを識別する「ID」、及び正規ドメイン名を示す「正規ドメイン」、偽装サイト検知ルール17との対応関係を示す「偽装サイト検知ルール」、及び正規類似ドメイン名リスト18との対応関係を示す「正規類似ドメイン」から構成される。
FIG. 6 is an explanatory diagram showing an example of a regular domain name list according to the first embodiment. In FIG. 6, the legitimate
正規ドメイン名リスト20は、偽装サイト検知処理の対象とする安全なドメインのリストである。偽装サイト検索部13の偽装サイト検知処理は、正規ドメイン名リスト20にあるドメイン(正規ドメイン)の類似ドメインを見つけることを目的とする。なお、正規ドメイン名リスト20に登録する内容はこれに限ったわけでなく、例えば、正規ドメインの正式名称、関連名称等を含めても良い。
The legitimate
(A−2)実施形態の動作
次に、以上のような構成を有する第1の実施形態に係る偽装サイト検知装置10の動作を説明する。
(A-2) Operation of the Embodiment Next, the operation of the camouflaged
図7は、第1の実施形態に係る偽装サイト検知装置の偽装サイト検知処理を示すフローチャートである。セキュリティ装置3からURLが偽装サイト検知装置10に入力されると以下の処理が開始される。
FIG. 7 is a flowchart showing a camouflaged site detection process of the camouflaged site detecting device according to the first embodiment. When the URL is input from the
対象URL入力部11でURLを含む偽装サイト判定要求を受け付けると、対象ドメイン抽出部12は、URLから判定対象のドメイン名又はFQDN(ドメイン名及びFQDNの両方でも良い)を抽出する(S101)。例えば、URLが“https://www.example.com/index.html”の場合“www.example.com”がFQDN、“example.com”がドメイン名である。
When the target
偽装サイト検索部13は、ドメイン名又はFQDNが危険ドメイン名リスト19に存在するか否かを検索する(S102)。偽装サイト検索部13は、危険ドメイン名リスト19にドメイン名又はFQDNが存在する場合には、後述するステップS106の処理に移行し、存在しない場合には、次のステップS104の処理を行う(S103)。
The camouflaged
偽装サイト検索部13は、ドメイン名又はFQDNが安全ドメインリスト(正規類似ドメイン名リスト18又は正規ドメイン名リスト20)に存在するか否かを検索する(S104)。偽装サイト検索部13は、正規類似ドメイン名リスト18又は正規ドメイン名リスト20にドメイン名又はFQDNが存在する場合には、後述するステップS108の処理に移行し、存在しない場合には、次のステップS105の処理を行う。
The camouflaged
偽装サイト検索部13は、ドメイン名、FQDN、又はURLが偽装サイト検知ルール17にマッチするか否かを確認する(S105)。偽装サイト検索部13は、ドメイン名、FQDN、又はURLが偽装サイト検知ルール17にマッチする場合には、次のステップS106の処理に移行し、マッチしない存在しない場合には、後述するステップS108の処理に移行する。
The camouflaged
ここで、偽装サイト検索部13は、複数ルール(類似文字171、関連語172、及び共通関連語173)の内の1ルールにマッチすれば処理を終えて良いし、又は判定結果に偽装スコアを設け、全てのルールを適用し、複数ルールにマッチしたか否かで偽装スコアを計算するようにしても良い。なお、関連語172のルールは、1語だけでは無関係のサイトでもマッチする可能性が高いので、複数語が該当すればマッチするようにしても良い。
Here, the camouflage
偽装サイト検索部13は、上述の処理で、セキュリティ装置3から通知を受けたURLを危険サイトと判定した場合には、セキュリティ装置3に送付する判定結果を「危険サイト」と判定する(S106)。
When the camouflaged
検知結果生成部14は、偽装サイト検索部13の処理で危険サイトと判定された場合は、端末2に返す判定結果を生成する(S107)。判定結果は、なぜ危険サイトと判定したかをユーザが把握できるような根拠文を含んで生成する。
The detection
例えば、oki(オー・ケイ・アイ).comが正規のドメインのところを0k1(ゼロ・ケイ・イチ).comと指定したとする(「0k1.com」の文字例を含む偽装サイト判定要求を受信したとする)。0k1.comは、偽装サイト検知ルール17(類似文字171)のID1のデータに該当し、正規類似ドメイン名リスト18には該当するデータが存在しない。そして、「0k1.com」の正規ドメイン(安全サイト)は、正規ドメイン名リスト20のID1(oki.com)である。検知結果生成部14は、これらの処理の内容(危険サイトと判断した根拠や、安全サイトの情報等)を根拠文に含むように生成する。
For example, oki. com is 0k1 (Zero Kaichi) where the legitimate domain is. It is assumed that com is specified (assuming that a camouflage site determination request including a character example of "0k1.com" is received). 0k1.com corresponds to the data of ID1 of the spoofed site detection rule 17 (similar character 171), and the corresponding data does not exist in the regular similar
また、検知結果生成部14は、ユーザが把握し易いように、危険サイト、安全サイトそれぞれについて、画面表示URL、リンク用URL、根拠文を揃える。危険サイトの画面表示URLは、ユーザが指定したURLである。正規サイトの画面表示URLは、偽装サイト検知で判定の元となった偽装サイトの偽装を行おうとした正規サイトのURLである。リンク用URLは、画面表示のリンク部をクリックするとそのURLにアクセスするものである。
Further, the detection
また、根拠文は、偽装サイト検知での判定基準を表示する。根拠は、どの文字が類似していると判定したか、正規サイトの偽装サイトによく使われる文字を含んでいる等の内容のことである。また、判定結果にスコアも用いる場合は、偽装スコアを計算し表示させるようにする。 In addition, the rationale text displays the judgment criteria for detecting a fake site. The rationale is the content such as which characters are judged to be similar, and the characters often used in the fake site of the legitimate site are included. When a score is also used as the judgment result, the camouflaged score is calculated and displayed.
例えば、危険サイトと判定した場合の判定結果、及び危険サイトに対応する正規サイトは以下のように表す。 For example, the judgment result when it is judged as a dangerous site and the legitimate site corresponding to the dangerous site are expressed as follows.
危険サイトは、{URL=“https://<強調>0</強調>k<強調>1</強調>.com”、リンク=“https://0k1.com”、根拠1=“<強調>ゼロ</強調>・ケイ・<強調>イチ</強調>”、根拠2=“”、根拠3=“90”}である。
Dangerous sites are {URL = "https: // <emphasis> 0 // emphasize> k <emphasis> 1 // emphasize> .com", link = "https: // 0k1.com",
正規サイトは、{URL=“https://<強調>o</強調>k<強調>i</強調>.com”、リンク=“https://oki.com”、根拠1=“<強調>オー</強調〉・ケイ・<強調>アイ</強調>”、根拠2=“沖電気工業”}である。
The official site is {URL = "https: // <emphasis> o </ emphasis> k <emphasis> i </ emphasis> .com", link = "https: // oki.com",
上記URLの<強調>と</強調>は、<強調>から</強調>に固まれた文字を端末2で強調表示することを表し、偽装サイトのURLのどの文字で判定されたかを識別しやすいようにする。例えば、HTMLで指定する時は、タグ色の変更、強調文字の使用、フォントサイズの変更を行う。
<Emphasis> and </ Emphasis> of the above URL indicate that the characters solidified from <Emphasis> to </ Emphasis> are highlighted on the
根拠文には、ユーザが指定したURLは、危険サイトと判定したためアクセスができなかったこと付加する。ユーザが問題なしと判断すれば、偽装サイト検知装置10を通さずにインターネット30上のページにアクセスできるよう、確認ボタンを追加するようにしても良い。
Add to the rationale that the URL specified by the user could not be accessed because it was determined to be a dangerous site. If the user determines that there is no problem, a confirmation button may be added so that the page on the
一方、偽装サイト検索部13は、上述の処理で、URLを安全サイトと判定した合には、セキュリティ装置3に送付する判定結果を「安全サイト」と判定する(S108)。
On the other hand, when the camouflaged
検知結果出力部15は、危険サイトと判定した場合、判定結果及びユーザへの結果表示内容をセキュリティ装置3に送付する(S109)。一方、検知結果出力部15は、安全サイトと判定した場合、インターネット30の該当URLのページをダウンロードしセキュリティ装置3を介して端末2に該当URLのページ情報を送付する。端末2では、該当URLのページ内容が表示される。
When the detection
また、偽装サイトの場合には、端末2に偽装サイトであることの判定結果を表示し、該当ページにアクセスを表示できないようにする(アクセス不可とする)。
Further, in the case of a camouflaged site, the determination result of the camouflaged site is displayed on the
図8は、第1の実施形態に係る偽装サイトと判定した場合の端末に表示する偽装ドメイン判定結果画面の一例を示す説明図である。 FIG. 8 is an explanatory diagram showing an example of a camouflaged domain determination result screen displayed on the terminal when it is determined to be a camouflaged site according to the first embodiment.
図8に示すように、偽装ドメイン判定結果画面50では、当初ユーザが指定したURLは偽装サイトと判定したこと、「危険」、「正」の行で、それぞれURLの違い、根拠、偽装スコアを表示する。
As shown in FIG. 8, on the camouflage domain
URLは類似文字「0(ゼロ)」と「O(オー)」、「1(イチ)」と「I(アイ)」を強調表示し、根拠1で読みを提示することでURLが違っていることをユーザが気付きやすくなる。また、「正」に正規サイト名称を提示することでユーザが所望するサイトは「正」であるか気付きやすくなる。さらに、偽装スコアを提示することでユーザがURLの正しさを判断しやすくなっている。
The URL is different by highlighting similar characters "0 (zero)" and "O", "1 (ichi)" and "I (eye)", and presenting the reading on
ユーザは、当初指定したURLが間違いで、正しいURLが所望のURLであると判断したら「正」のURLをクリックすることで該当ページにアクセスし表示することができる。また、当初指定したURLに間違いがないとユーザが判断したならば、「危険」のURLをクリックし該当ページにアクセスできるようにしても良い。この場合、端末2が偽装ドメイン判定結果画面50から再アクセスした時は、偽装サイト検知装置10を通さず、インターネットの該当URLにアクセスできるようにする。また、この際、アクセスしたURL(ドメイン、FQDN)を正規類似ドメイン名リスト18に登録しても良い。
When the user determines that the initially specified URL is incorrect and the correct URL is the desired URL, the user can access and display the corresponding page by clicking the "correct" URL. Further, if the user determines that the initially specified URL is correct, the user may be able to access the corresponding page by clicking the "dangerous" URL. In this case, when the
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下の効果を奏する。
(A-3) Effect of First Embodiment According to the first embodiment, the following effects are exhibited.
偽装サイト検出装置10は、よくアクセスする正規ドメイン名、FQDNまたはURLと、この正規ドメインに似たドメインの検知ルールを予め作成しておき、ユーザ(端末2)がアクセス時に当該装置で正規ドメインに似せた偽装サイトであるか否かを判定し、偽装サイトならばすぐにアクセスできないようにした。偽装サイトの判定はドメイン名またはURLで判定するためサイトの内容に関係しない。よって、偽装サイトが新規に作られた時に、偽装サイトと知れ渡る前に、アクセスすることなく検知させることができるという効果が得られる。
The camouflaged
また、偽装ドメインの判定結果の端末表示時に偽装サイトと判定した根拠内容も表示するようにした。ユーザが指定したURLのどの文字が正規サイトと違うかをすぐに知ることができ、指定したURLが間違っている、または所望のURLであるかをすぐに知ることができるという効果が得られる。 In addition, when the terminal display of the judgment result of the fake domain, the content of the grounds for judging the fake site is also displayed. The effect is that it is possible to immediately know which character of the URL specified by the user is different from the legitimate site, and it is possible to immediately know whether the specified URL is incorrect or the desired URL.
(B)第2の実施形態
以下、本発明に係る偽装サイト検知装置、偽装サイト検知プログラム、及び偽装サイト検知方法の第2の実施形態を、図面を参照しながら詳述する。
(B) Second Embodiment Hereinafter, a second embodiment of the camouflaged site detection device, the camouflaged site detection program, and the camouflaged site detection method according to the present invention will be described in detail with reference to the drawings.
(B−1)第2の実施形態の構成
第2の実施形態の偽装サイト検知システム1の構成についても、第1の実施形態と同様に基本的には図2を用いて示すことができる。ただし、第2の実施形態の偽装サイト検知システム1では、第1の実施形態の偽装サイト検知装置10の代わりに、偽装サイト検知装置10A(図9)が適用される点が異なる。
(B-1) Configuration of Second Embodiment The configuration of the camouflaged
図9は、第2の実施形態に係る偽装サイト検知装置の内部構成を示すブロック図である。第2の実施形態に係る偽装サイト検知装置は、図9に示す各構成部を搭載した専用のICチップ等のハードウェアとして構成しても良いし、又は、CPUと、CPUが実行するプログラムを中心としてソフトウェア的に構成して良いが、機能的には、図9で表すことができる。 FIG. 9 is a block diagram showing an internal configuration of the camouflaged site detection device according to the second embodiment. The camouflaged site detection device according to the second embodiment may be configured as hardware such as a dedicated IC chip equipped with each component shown in FIG. 9, or may include a CPU and a program executed by the CPU. It may be configured as software as the center, but functionally, it can be represented by FIG.
図9において、偽装サイト検知装置10Aは、対象URL入力部11、対象ドメイン抽出部12、偽装サイト検索部13、検知結果生成部14、検知結果出力部15、記憶部16、及びドメイン登録部40を有する。
In FIG. 9, the camouflaged
第2の実施形態の偽装サイト検知装置10Aは、第1の実施形態の偽装サイト検知装置10の構成に加えて、ドメイン登録部40が新たに追加されたものである。以下では、ドメイン登録部40の構成の詳細について述べる。
In the camouflaged
図10は、第2の実施形態に係るドメイン登録部及び周辺の詳細構成を示すブロック図である。 FIG. 10 is a block diagram showing a detailed configuration of the domain registration unit and its surroundings according to the second embodiment.
ドメイン登録部40は、登録画面生成部41、偽装サイト検知ルール生成部42、偽装サイト検知ルール登録部43、及び類似ドメイン抽出ルール44を有する。
The
登録画面生成部41は、端末2に表示する登録画面(後述する図12の正規ドメイン登録画面、図13の登録確認画面)を生成するものである。詳細は後述するが、正規ドメイン登録画面では、正規ドメインを入力できるようになっており、その他にも、キーワード、関連ドメイン、危険ドメイン等を指定できるようになっている。そして、登録確認画面では、正規ドメイン登録画面で指定した内容に基づいて偽装サイト検知ルール生成部42で生成した結果を確認する画面である。
The registration screen generation unit 41 generates a registration screen (regular domain registration screen of FIG. 12, which will be described later, registration confirmation screen of FIG. 13) to be displayed on the
偽装サイト検知ルール生成部42は、正規ドメインの類似パターンルール(類似ドメイン抽出ルール44)を適用し、類似パターンを生成するものである。 The camouflage site detection rule generation unit 42 applies a similar pattern rule of a regular domain (similar domain extraction rule 44) to generate a similar pattern.
偽装サイト検知ルール登録部43は、偽装サイト検知ルール生成部42で生成した偽装サイト検知ルール(上記類似パターンの全部又は一部)を偽装サイト検知ルール17に登録するものである。また、偽装サイト検知ルール登録部43は、正規ドメイン登録画面で指定した正規ドメイン名、正規類似ドメイン名(関連ドメイン)、危険ドメイン名を、それぞれ正規ドメイン名リスト20、正規類似ドメイン名リスト18、危険ドメイン名リスト19に登録する機能を有する。
The fake site detection rule registration unit 43 registers the fake site detection rule (all or part of the above-mentioned similar pattern) generated by the fake site detection rule generation unit 42 in the fake
類似ドメイン抽出ルール44は、特定ドメインに限ることなく危険ドメインの判定基準とするためのルールを記述している。例えば、0(ゼロ)、O(オー)等、形状が類似した文字または文字列の変換式を記述している。
Similar
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の偽装サイト検知システム1の動作を、図面を参照しながら説明する。なお、この実施形態では、偽装サイト検知システム1を構成する偽装サイト検知装置10Aのドメイン登録処理について特徴が存在するので、以下では、偽装サイト検知装置10Aの偽装サイト検知装置10について説明を行う。
(B-2) Operation of the Second Embodiment Next, the operation of the camouflaged
図11は、第2の実施形態に係る偽装サイト検知システム1の特徴処理(主にドメイン登録登録部の処理)を示すフローチャートである。
FIG. 11 is a flowchart showing the feature processing (mainly the processing of the domain registration / registration unit) of the camouflaged
端末2は、偽装サイト検知装置10Aに対してユーザ操作により正規ドメイン及び正規ドメインに関連する情報の登録を要求する登録開始要求を送信する(S201)。
The
偽装サイト検知装置10A(登録画面生成部41)は、登録開始要求を受信すると、端末2に対して正規ドメイン登録画面の情報(例えば、HTML形式の画面情報)を返信する(S202)。
Upon receiving the registration start request, the camouflaged
端末2は、登録画面生成部41から受信した画面情報に従い、正規ドメイン登録画面を表示する(S203)。
The
図12は、第2の実施形態に係る正規ドメイン登録画面の一例を示す説明図である。正規ドメイン登録画面100は、正規ドメイン名入力欄101、サイト名称入力欄102、キーワード入力欄103、関連ドメイン入力欄104、自動ボタン105(105−1、105−2)、及び類似ドメイン検知ルール生成ボタン106を有する。
FIG. 12 is an explanatory diagram showing an example of the regular domain registration screen according to the second embodiment. The regular
正規ドメイン名入力欄101は、検知対象となる正規のドメイン名またはFQDNまたはURLを記述する入力欄である。
The regular domain
サイト名称入力欄102は、正規ドメインの名称であるサイト名称を入力する欄である。なお、サイト名称は、正規ドメインのホームページから自動的に抽出するようにしても良い。例えば、正規ドメインのトップページのHTMLタグの<title>から</title>の間の文字を抽出することで可能である。
The site
キーワード入力欄103は、正規サイトに関連する関連語(キーワード)を記述する欄である。例えば、キーワードはサイトで取り扱っている商品名等である。
The
関連ドメイン入力欄104は、正規ドメインの関連ドメイン(正規類似ドメイン)を記述する欄である。
The related
自動ボタン105(105−1、105−2)は、ユーザが、直接、キーワードや関連ドメインを入力する代わりに、各語句を自動的に抽出するものである。例えば、自動ボタン105は、ユーザにより押下されると、正規サイトに頻出する語句、強調文字を使っている語句を抽出する。 The automatic button 105 (105-1, 105-2) automatically extracts each word and phrase instead of the user directly inputting a keyword or a related domain. For example, when the automatic button 105 is pressed by the user, words and phrases that frequently appear on the legitimate site and words and phrases that use emphasized characters are extracted.
類似ドメイン検知ルール生成ボタン106は、上記各入力欄への入力後、ドメイン登録部40に対して、少なくとも正規ドメインの文字列の情報を含む類似パターン生成要求を行うものである。
The similar domain detection
また、正規ドメイン登録画面100には、上記の項目に加えて、例えば、危険ドメインを入力する欄を設けても良い。
Further, in addition to the above items, the regular
端末2は、ユーザにより類似ドメイン検知ルール生成ボタン106が押下されると偽装サイト検知装置10A(ドメイン登録部40)に対して、類似パターン生成要求を送信する(S204)。
When the user presses the similar domain detection
偽装サイト検知装置10Aのドメイン登録部40(偽装サイト検知ルール生成部42)は、類似パターン生成要求中の正規ドメインの文字列について、類似ドメイン抽出ルール44を用いて類似パターンを生成する(S205)。
The domain registration unit 40 (impersonation site detection rule generation unit 42) of the camouflage
類似パターンの生成は、類似ドメイン抽出ルール44中の、文字の形状が似ている文字の対応表や、タイプミスをおこしやすい単語等を用い、正規ドメイン名の変換パターンを生成する。なお、類似ドメイン抽出ルール44は、上記に限らず、種々様々なルールを保持しても良い。
To generate a similar pattern, a conversion pattern of a regular domain name is generated by using a correspondence table of characters having similar character shapes, words that are prone to typos, and the like in the similar
偽装サイト検知ルール生成部42は、正規ドメインの関連語(キーワード)を取得する(S206)。正規ドメインの関連語の取得は、端末2から受信した類似パターン生成要求に関連語の情報(正規ドメイン登録画面100でユーザが指定したキーワード)が含まれていれば、当該情報を用いても良いし、一方、自動で取得するようにしても良い(例えば、名称の読み、読みを単語毎に区切る、英訳するといったようにする等種々様々な方法により取得するようにしても良い)。また、関連語は、先述の関連語172から取得しても良い。
The camouflaged site detection rule generation unit 42 acquires a related word (keyword) of the legitimate domain (S206). The acquisition of the related word of the regular domain may be performed by using the related word information (keyword specified by the user on the regular domain registration screen 100) in the similar pattern generation request received from the
そして、偽装サイト検知ルール生成部42、類似ドメイン抽出ルール44について、関連語を含むURLを抽出できるように更新する。関連語のみを含むURL、正規ドメイン名と関連語を含むURLのどちらの構成でも良い。
Then, the camouflaged site detection rule generation unit 42 and the similar
偽装サイト検知ルール生成部42は、正規ドメインに関連する正規類似ドメインを取得する(S207)。正規類似ドメインの取得は、端末2から受信した類似パターン生成要求に正規類似ドメインの情報(正規ドメイン登録画面100でユーザが指定した関連ドメイン)が含まれていれば、当該情報を用いても良いし、一方、自動で取得するようにしても良い(例えば、ホームページの関連企業のページからURLを収集し、ドメイン名を取得するようにしても良い)。
The spoofed site detection rule generation unit 42 acquires a legitimately similar domain related to the legitimate domain (S207). The acquisition of the regular similar domain may be performed by using the information of the regular similar domain (related domain specified by the user on the regular domain registration screen 100) as long as the similarity pattern generation request received from the
偽装サイト検知ルール生成部42は、正規類似ドメインに、類似ドメイン抽出ルール44を適用して1又は2以上の正規類似ドメイン(以下、「正規類似ドメイン候補」と呼ぶ)を生成する(S208)。偽装サイト検知ルール生成部42は、正規類似ドメインが、正規類似ドメイン候補のいずれかと適合(マッチ)する場合には、マッチした正規類似ドメインを正規類似ドメイン名リスト18に登録し、マッチしない場合には、正規類似ドメイン名リスト18に登録しない。以下、マッチした正規類似ドメインを登録する一例を述べる。
The spoofing site detection rule generation unit 42 applies the similarity
まず、偽装サイト検知ルール生成部42は、正規類似ドメインをキーとして、危険ドメイン名リスト19を検索する。偽装サイト検知ルール生成部42は、危険ドメイン名リスト19に正規類似ドメインがヒットした場合には、危険ドメインのため、正規類似ドメイン名リスト18に正規類似ドメインを登録しない。
First, the camouflaged site detection rule generation unit 42 searches the dangerous
次に、偽装サイト検知ルール生成部42は、正規類似ドメインをキーとして、正規ドメイン名リスト20を検索する。偽装サイト検知ルール生成部42は、正規ドメイン名リスト20に正規類似ドメインがヒットした場合には、正規ドメインとして既に登録されているために(正規類似ドメインとして登録する必要性は低いために)正規類似ドメイン名リスト18に登録しない。
Next, the camouflaged site detection rule generation unit 42 searches the legitimate
そして、偽装サイト検知ルール生成部42は、正規類似ドメインをキーとして、正規類似ドメイン名リスト18を検索し、登録しようとする正規類似ドメインがヒットしない場合には、正規類似ドメイン名リスト18に追加登録する。
Then, the spoofed site detection rule generation unit 42 searches the regular-similar
偽装サイト検知ルール生成部42は、上述の各処理で生成した類似ドメインの生成結果を端末2に送信する(S209)。 The camouflage site detection rule generation unit 42 transmits the generation result of the similar domain generated in each of the above processes to the terminal 2 (S209).
端末2は、偽装サイト検知ルール生成部42から受信した情報に従い、類似ドメイン生成結果である登録確認画面を表示する(S210)。
The
図13は、第2の実施形態に係る登録確認画面の一例を示す説明図である。登録画面200は、正規ドメイン名表示欄201、サイト名称表示欄202、ルール確認欄203、関連名称確認欄204、関連ドメイン確認欄205、及び登録ボタン206を有する。
FIG. 13 is an explanatory diagram showing an example of the registration confirmation screen according to the second embodiment. The
正規ドメイン名表示欄201は、正規のドメイン名(FQDN又はURLでも良い)を表示する表示欄である。 The regular domain name display field 201 is a display field for displaying a regular domain name (may be FQDN or URL).
サイト名称表示欄202は、サイト名称を表示する表示欄である。 The site name display field 202 is a display field for displaying the site name.
ルール確認欄203は、偽装サイト検知ルール(正規ドメイン名に適用した類似ドメイン抽出ルール44)の内容について確認する欄であり、正式に登録するルールを複数のルールから選択可能である。例えば、ルール確認欄203は、ルールを表示するルール表示欄203A、表示したルールを説明するルール説明欄203B、及び登録するルールを選択するチェックボックス203Cを備える。
The
関連名称確認欄204は、正規ドメイン名の関連語(キーワード)を確認する欄であり、正式に登録する関連語を複数の関連語から選択可能である。例えば、関連名称確認欄204は、関連語を表示する関連語表示欄204A、表示した関連語を説明する関連語説明欄204B、登録する関連語を選択するチェックボックス204Cを備える。
The related
関連ドメイン確認欄205は、正規ドメイン名の関連ドメイン(正規類似ドメイン名)を確認する欄であり、正式に登録する関連ドメインを複数の関連ドメインから選択可能である。例えば、関連ドメイン確認欄205は、関連ドメインを表示する関連ドメイン表示欄205A、及び登録する関連ドメインを選択するチェックボックス205Cを備える。
The related
登録ボタン206は、チェックした内容で登録内容を確定するものであり、ドメイン登録部40に対して登録要求を行う。
The
端末2は、ユーザにより登録ボタン206が押下されると偽装サイト検知装置10A(ドメイン登録部40)に対して、登録要求を送信する(S211)。
When the
偽装サイト検知ルール登録部43は、端末2から登録要求を受信すると、登録要求に基づき、正規ドメイン名と、チェックした偽装サイト検知ルール、及び正規類似ドメイン名、危険ドメイン名(正規ドメイン登録画面100で入力可能な場合に入力した危険ドメイン名)を、それぞれ正規ドメイン名リスト20、偽装サイト検知ルール17、正規類似ドメイン名リスト18、及び危険ドメイン名リスト19に登録(登録を確定)する(S212)。この際、偽装サイト検知ルール登録部43は、正規ドメインとの関連や、リスト間の関連がわかるよう、関連するルール、及びリストの該当IDも登録する。
When the fake site detection rule registration unit 43 receives the registration request from the
(B−3)第2の実施形態の効果
本発明によれば、第1の実施形態の効果に加えて、以下の効果を奏する。
(B-3) Effect of Second Embodiment According to the present invention, the following effects are exhibited in addition to the effect of the first embodiment.
第2の実施形態の偽装サイト検知装置10Aでは、正規ドメインに類似ドメイン抽出ルールを適用して、偽装サイト検知ルール17を自動的に生成するようにした。そして、類似ドメイン変換ルールを端末に提示して、各ルールをユーザが取捨選択できるようにしたので、ユーザが所望の偽装サイト検知ルールを作成しやすくなるという効果が得られる。
In the camouflaged
(C)他の実施形態
本発明は、上記第1及び第2の実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(C) Other Embodiments The present invention is not limited to the first and second embodiments described above, and modified embodiments as illustrated below can also be mentioned.
(C−1)上記各実施形態では、偽装サイト検出装置10、10Aをセキュリティ装置に接続して適用する場合で説明したが、例えば、端末2内に配置する等、配置位置は限定するものではない。
(C-1) In each of the above embodiments, the case where the camouflaged
(C−2)上記各実施形態では、ドメイン名の類似性で判定するようにしたが、ドメイン名以外のURLを含めて判定するようにしても良い。 (C-2) In each of the above embodiments, the determination is made based on the similarity of the domain name, but the determination may include a URL other than the domain name.
(C−3)上記第2の実施形態では、ユーザが端末2を用いて、正規ドメインの偽装サイト検知ルール等を作成する例を示したが、入力及び表示機能を備える偽装サイト検知装置10Aを直接操作して偽装サイト検知ルール等を作成して良い。
(C-3) In the second embodiment described above, an example in which a user creates a fake site detection rule or the like of a legitimate domain using a
(C−4)上記第2の実施形態では、先述の偽装ドメイン判定結果画面50において、正規ドメイン登録画面100に遷移するリンク機能をさらに備えても良い。
(C-4) In the second embodiment, the camouflaged domain
1…偽装サイト検知システム、2…端末、3…セキュリティ装置、4…ローカルネットワーク、10、10A…偽装サイト検出装置、11…対象URL入力部、12…対象ドメイン抽出部、13…偽装サイト検索部、14…検知結果生成部、15…検知結果出力部、16…記憶部、17…偽装サイト検知ルール、18…正規類似ドメイン名リスト、19…危険ドメイン名リスト、20…正規ドメイン名リスト、30…インターネット、40…ドメイン登録部、41…登録画面生成部、42…偽装サイト検知ルール生成部、43…偽装サイト検知ルール登録部、44…類似ドメイン抽出ルール、50…偽装ドメイン判定結果画面、100…正規ドメイン登録画面、101…正規ドメイン名入力欄、102…サイト名称入力欄、103…キーワード入力欄、104…関連ドメイン入力欄、105…自動ボタン、106…類似ドメイン検知ルール生成ボタン、171…類似文字、172…関連語、173…共通関連語、200…登録画面、201…正規ドメイン名表示欄、202…サイト名称表示欄、203…ルール確認欄、203A…ルール表示欄、203B…ルール説明欄、203C…チェックボックス、204…関連名称確認欄、204A…関連語表示欄、204B…関連語説明欄、204C…チェックボックス、205…関連ドメイン確認欄、205A…関連ドメイン表示欄、205C…チェックボックス、206…登録ボタン。 1 ... Fake site detection system, 2 ... Terminal, 3 ... Security device, 4 ... Local network, 10, 10A ... Fake site detection device, 11 ... Target URL input unit, 12 ... Target domain extraction unit, 13 ... Fake site search unit , 14 ... detection result generation unit, 15 ... detection result output unit, 16 ... storage unit, 17 ... camouflaged site detection rule, 18 ... regular similar domain name list, 19 ... dangerous domain name list, 20 ... regular domain name list, 30 ... Internet, 40 ... Domain registration unit, 41 ... Registration screen generation unit, 42 ... Fake site detection rule generation unit, 43 ... Fake site detection rule registration unit, 44 ... Similar domain extraction rule, 50 ... Fake domain judgment result screen, 100 … Regular domain registration screen, 101… Regular domain name input field, 102… Site name input field, 103… Keyword input field, 104… Related domain input field, 105… Automatic button, 106… Similar domain detection rule generation button, 171… Similar characters, 172 ... Related words, 173 ... Common related words, 200 ... Registration screen, 201 ... Regular domain name display field, 202 ... Site name display field, 203 ... Rule confirmation field, 203A ... Rule display field, 203B ... Rule explanation Column, 203C ... Check box, 204 ... Related name confirmation column, 204A ... Related word display column, 204B ... Related word explanation column, 204C ... Check box, 205 ... Related domain confirmation column, 205A ... Related domain display column, 205C ... Check Box, 206 ... Registration button.
Claims (11)
入力された第2のサイトのURL又はURLの一部から抽出された文字列である判定対象について、少なくとも所定の危険サイト検出ルールに基づき、前記第2のサイトが、前記第1のサイトの偽装サイトである危険サイト又は安全サイトであるかを判定する偽装サイト検索手段と、
前記偽装サイト検索手段で危険サイトであると判定された場合の判定結果のメッセージを生成する検知結果生成手段と、
前記判定結果のメッセージを他の装置に送信する検知結果送信手段と
を備えることを特徴とする偽装サイト検知装置。 A spoofed site detection device that detects a spoofed site of the first site registered in a predetermined legitimate domain name list.
Regarding the judgment target which is the URL of the input second site or a character string extracted from a part of the URL, the second site is disguised as the first site based on at least a predetermined danger site detection rule. A fake site search method that determines whether a site is a dangerous site or a safe site,
A detection result generation means for generating a judgment result message when the site is determined to be a dangerous site by the camouflaged site search means, and a detection result generation means.
A camouflaged site detection device including a detection result transmission means for transmitting the determination result message to another device.
入力された第2のサイトのURL又はURLの一部から抽出された文字列である判定対象について、少なくとも所定の危険サイト検出ルールに基づき、前記第2のサイトが、前記第1のサイトの偽装サイトである危険サイト又は安全サイトであるかを判定する偽装サイト検索手段と、
前記偽装サイト検索手段で危険サイトであると判定された場合の判定結果のメッセージを生成する検知結果生成手段と、
前記判定結果のメッセージを他の装置に送信する検知結果送信手段と
して機能させることを特徴とする偽装サイト検知プログラム。 For the first site registered in the predetermined legitimate domain name list, the computer mounted on the spoofed site detection device that detects the spoofed site of the first site is used.
Regarding the judgment target which is the URL of the input second site or a character string extracted from a part of the URL, the second site is disguised as the first site based on at least a predetermined danger site detection rule. A fake site search method that determines whether a site is a dangerous site or a safe site,
A detection result generation means for generating a judgment result message when the site is determined to be a dangerous site by the camouflaged site search means, and a detection result generation means.
A camouflaged site detection program characterized in that it functions as a detection result transmission means for transmitting the determination result message to another device.
偽装サイト検索手段は、入力された第2のサイトのURL又はURLの一部から抽出された文字列である判定対象について、少なくとも所定の危険サイト検出ルールに基づき、前記第2のサイトが、前記第1のサイトの偽装サイトである危険サイト又は安全サイトであるかを判定し、
検知結果生成手段は、前記偽装サイト検索手段で危険サイトであると判定された場合の判定結果のメッセージを生成し、
検知結果送信手段は、前記判定結果のメッセージを他の装置に送信する
ことを特徴とする偽装サイト検知方法。 It is a fake site detection method used for a fake site detection device that detects a fake site of the first site registered in a predetermined regular domain name list.
The camouflaged site search means determines that the URL of the input second site or a character string extracted from a part of the URL is determined by the second site based on at least a predetermined danger site detection rule. Determine if it is a dangerous site or a safe site that is a camouflaged site of the first site,
The detection result generating means generates a message of the determination result when it is determined to be a dangerous site by the camouflaged site search means.
The detection result transmitting means is a camouflaged site detection method characterized in that a message of the determination result is transmitted to another device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019173372A JP2021051483A (en) | 2019-09-24 | 2019-09-24 | Camouflage site detecting device, camouflage site detecting program, and camouflage site detecting method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019173372A JP2021051483A (en) | 2019-09-24 | 2019-09-24 | Camouflage site detecting device, camouflage site detecting program, and camouflage site detecting method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021051483A true JP2021051483A (en) | 2021-04-01 |
Family
ID=75157952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019173372A Pending JP2021051483A (en) | 2019-09-24 | 2019-09-24 | Camouflage site detecting device, camouflage site detecting program, and camouflage site detecting method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2021051483A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023248652A1 (en) * | 2022-06-22 | 2023-12-28 | 株式会社カウリス | Information processing device, domain confirming method, and domain confirming program |
-
2019
- 2019-09-24 JP JP2019173372A patent/JP2021051483A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023248652A1 (en) * | 2022-06-22 | 2023-12-28 | 株式会社カウリス | Information processing device, domain confirming method, and domain confirming program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tan et al. | PhishWHO: Phishing webpage detection via identity keywords extraction and target domain name finder | |
EP1964364B1 (en) | Method for evaluating and accessing a network address | |
EP2104901B1 (en) | Method and apparatus for detecting computer fraud | |
US7769820B1 (en) | Universal resource locator verification services using web site attributes | |
US9602520B2 (en) | Preventing URL confusion attacks | |
CN106789939B (en) | A kind of detection method for phishing site and device | |
JP5595509B2 (en) | Display program, display device, information processing method, and information processing device | |
JP5600160B2 (en) | Method and system for identifying suspected phishing websites | |
JP5973413B2 (en) | Terminal device, WEB mail server, safety confirmation method, and safety confirmation program | |
US20070245422A1 (en) | Phishing-Prevention Method Through Analysis of Internet Website to be Accessed and Storage Medium Storing Computer Program Source for Executing the Same | |
CN109690547A (en) | For detecting the system and method cheated online | |
US20090328208A1 (en) | Method and apparatus for preventing phishing attacks | |
JP2007179522A (en) | Method, system, device and program for verification of link information | |
Krammer | Phishing defense against IDN address spoofing attacks | |
JP2021051483A (en) | Camouflage site detecting device, camouflage site detecting program, and camouflage site detecting method | |
Al Helou et al. | Multilingual web sites: Internationalized Domain Name homograph attacks | |
KR20070067651A (en) | Method on prevention of phishing through analysis of the internet site pattern | |
US10999322B1 (en) | Anti-phishing system and method using computer vision to match identifiable key information | |
JP4617243B2 (en) | Information source verification method and apparatus | |
JP4732042B2 (en) | Mail server, proxy server, server system, guided address determination method, access destination confirmation method and program | |
JP2020135693A (en) | Transmission control method, transmission program, and terminal | |
WO2023157191A1 (en) | Communication system, gateway device, terminal device, and program | |
JP2008158610A (en) | Domain information display program and its method | |
Gupta et al. | Hybrid Anti-phishing Approach for Detecting Phishing Webpage Hosted on Hijacked Server and Zero-Day Phishing Webpage | |
Chorghe et al. | A solution to detect phishing in android devices |