JP3991074B2 - 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム - Google Patents
電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム Download PDFInfo
- Publication number
- JP3991074B2 JP3991074B2 JP2002277376A JP2002277376A JP3991074B2 JP 3991074 B2 JP3991074 B2 JP 3991074B2 JP 2002277376 A JP2002277376 A JP 2002277376A JP 2002277376 A JP2002277376 A JP 2002277376A JP 3991074 B2 JP3991074 B2 JP 3991074B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- computer unit
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを介して受信した電子メールの中継を行う電子メール中継システムに係り、詳しくは、ウィルスのチェックを行って、ウィルスを含むとされた電子メールについては削除するようにした電子メール中継システム、方法及びプログラムに関する。
【0002】
また、本発明は、前記電子メール中継システムに適用することのできるウィルス検知システム、方法及びプログラムに関する。
【0003】
【従来の技術】
近年のインターネットをはじめとするネットワークの急速な発展に伴い、クラッキングやコンピュータウィルスなどのコンピュータの不正利用による被害は年々深刻なものとなってきている。特にその中でもコンピュータウィルスによる被害は、時間経過に伴い不特定多数に対し加速度的に被害を与える点や、本来は被害者であるユーザが気づかないうちに加害者となる点などで他の不正利用とは大きく異なる。
【0004】
ウィルス(コンピュータウィルス)は、経済産業省の定義によれば、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであって、自己伝染機能、潜伏機能及び発病機能の少なくとも1つの機能を有するものであるとされている。一般的には、このようなウィルスは電子メールを媒介にしてコンピュータに潜入する(メール型コンピュータウィルス)。従来、このように電子メールにて運ばれるウィルスのチェック機能を有した電子メールの中継システムが提案されている(例えば、非特許文献1参照)。
【0005】
この電子メール中継システムでは、インターネット等の広域ネットワークからユーザ端末宛ての添付ファイル付き電子メールがメールサーバに受信されると、まず、メールサーバからその電子メールがウィルス検知サーバに送られる。このウィルス検知サーバでは、その電子メールの添付ファイルが実行され、その際の行動パターンの収集が行われる。ウィルス検知サーバは、受信した電子メールから添付ファイルを除いたヘッダ部とメール本文に新たにその添付ファイルの動作を示した検査結果と添付ファイル取得用のURLを付加した検査結果メールを作成し、その検査結果メールをユーザ端末に宛てて送信する。即ち、ユーザ端末には添付ファイルが直接届けられることはない。
【0006】
前記検査結果メールを受信したユーザ端末では、ユーザがその検査結果メールに付された添付ファイルの検査結果を確認する。そして、問題がなければ、ユーザ端末においてユーザが前記URLを指定することにより前記添付ファイルの取得がなされる。
【0007】
このような電子メールの中継システムによれば、ユーザがユーザ端末にて受信された電子メールを不用意に開封して発生するウィルス感染の可能性を低減させることができるようになる。
【0008】
また、ユーザ端末から電子メールが広域ネットワークを介して他のユーザ端末に送信される際、メールサーバにて受信された電子メールは、ウィルス検知サーバに渡され、前述したように添付ファイルの行動パターンの検査がなされる。異常がなければウィルス検知サーバからメールサーバを介して前記他のユーザ端末宛ての電子メールが広域ネットワークに送出される。一方、ウィルス検知サーバでの検査において何らかの異常が発見された場合、ウィルス検知サーバは発信元のユーザ端末に通知を行って、その電子メールの送信を行わない。これによって、ウィルスの感染拡大を最小限に抑えることができるようになる。
【0009】
【非特許文献1】
三宅崇之、白石善明、森井昌克、「仮想サーバを使った未知ウィルス検知システムの提案」、信学技報、社団法人電子情報通信学会、2002年7月、ISEC2002−20、p.45−52
【0010】
【発明が解決しようとする課題】
しかし、前述した電子メールの中継システムでは、電子メールに付された添付ファイルを実行させ、その行動パターンからその電子メールにウィルスが含まれているか否かを判定しているので、その検査結果を得るまでに時間がかかる。特に、未知のウィルスについては、どのような行動パターンをとるか判らないので、異常であるか否か(ウィルスが含まれるか否か)の判定を行うために電子メールをウィルス検知サーバに比較的長い時間滞留させておかなければならない。このような条件は全ての電子メール、即ち、正常な電子メールについても適用されることになるので、電子メールの利点である情報伝達の即時性が阻害されてしまう。
【0011】
更に、検査結果メールを受信したユーザ端末では、URLを指定する操作を行わなければ当該ユーザ端末宛ての電子メールに付された添付ファイルを取得することができない。このため、ユーザ端末にて必要な添付ファイルを得るための操作が煩雑になると共に、添付ファイルの取得忘れのおそれもある。
【0012】
本発明は、このような従来システムの欠点を解決するためになされたもので、ウィルスの宛先への転送及びその拡散の防止を図りつつ、遅れなく電子メールを宛先に転送できるようにした電子メール中継システム、方法及びプログラムを提供するものである。
【0013】
また、本発明は、そのような電子メール中継システムに用いることのできるウィルス検知システム、方法及びプログラムを提供するものである。
【0014】
【課題を解決するための手段】
本発明に係る電子メール中継システムは、宛先の指定された電子メールを受信し、その受信された電子メールを前記宛先に転送するメール中継サーバシステムと、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備え、前記第一のコンピュータユニットは、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段と、前記ウィルスメール判定手段にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手段と、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段と、前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手段と、前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段と、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段とを有し、前記第二のコンピュータユニットは、前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手段を有するように構成される。
【0015】
このような電子メール中継システムでは、メール中継サーバシステムにて受信された電子メールは第一のコンピュータユニットにて取得され、フィルタ情報に基づいてその電子メールにウィルスが含まれているか否かが判定される。ウィルスが含まれているとの判定がなされた電子メールは削除される。これにより、ウィルスを含む電子メールは宛先に転送されることはない。
【0016】
一方、前記フィルタ情報に基づいてウィルスが含まれていないとの判定がなされた電子メールは、メール中継サーバシステムから宛先に転送されると共に、複製され、その複製電子メールが第一のコンピュータユニットから第二のコンピュータユニットに送信される。そして、第二のコンピュータユニットにおいてその電子メールに対してウィルスの行動を誘起させる処理がなされる。その結果、ウィルスが行動することに起因して何らかの情報が第二のコンピュータユニットから第一のコンピュータユニットに送出されると、第一のコンピュータユニットでは、その情報の特徴がウィルスの特徴として抽出され、その抽出された特徴に基づいて前記フィルタ情報が更新される。
【0017】
これにより、ウィルスを含まない正常な電子メールは遅れることなく宛先に転送され得る。未知のウィルスを含む電子メールは前記フィルタ情報に基づいてウィルスを含むものとの判定がなされずに宛先に転送され得るが、その電子メールは複製されており、その複製電子メールに対して第二のコンピュータユニットにおいてウィルスの行動を誘起させる処理が施される。そして、ウィルスの行動により第二のコンピュータユニットから第一のコンピュータユニットに送出された情報の特徴に基づいて前記フィルタ情報が更新される。以後、前記ウィルスを含む電子メールはその更新後のフィルタ情報に基づいて削除され得ることになる。
【0018】
前述したような未知のウィルスを含む電子メールを受信した宛先端末では、ウィルスの行動によって前記第二のコンピュータユニットから第一のコンピュータユニットに送出された情報と同じ情報が発生し得る。しかし、ウィルスの行動に基づいてその情報が、例えば、電子メールとしてその端末から送信されたとしても、その電子メールが前記メール中継サーバシステムを経由して転送される環境を構築しておけば、その電子メールは既に更新されたフィルタ情報に基づいてウィルスを含むものと判定され、削除され得る。これにより、少なくともウィルスの拡散が防止され得る。
【0019】
前記第一のコンピュータユニットと第二のコンピュータユニットは、機能的に分離されていれば物理的に一台のコンピュータ内に構成することができる。
【0020】
第二のコンピュータユニットではウィルスが行動し得る。そのウィルスの行動に起因して第二のコンピュータユニットにて異常が発生した場合に、その異常が第一のコンピュータユニットに波及し難くできるという観点から、前記第一のコンピュータユニットと第二のコンピュータユニットは物理的に別体とし、前記第一のコンピュータユニットと第二のコンピュータユニットとを所定の通信ネットワークにて接続した構成とすることが好ましい。
【0021】
また、本発明に係る電子メール中継システムは、前記メール中継サーバシステムが、前記第一のコンピュータユニットと結合された第一のメールサーバと第二のメールサーバとを有し、前記第一のコンピュータユニットの前記ウィルスメール判定手段が、前記第一のメールサーバ及び第二のメールサーバのうちの一方のメールサーバにて受信された電子メールを取得し、その電子メールがウィルスを含むか否かを判定するようにし、前記第一のコンピュータユニットの前記メール転送制御手段が、前記ウィルスを含まないとの判定のなされた電子メールを前記第一のメールサーバ及び第二のメールサーバのうちの他方のメールサーバから前記宛先に転送させるように構成することができる。
【0022】
添付ファイルの付された電子メールにウィルスが潜んでいる。このような事情を考慮して効率的に処理を行い得るという観点から、本発明に係る電子メール中継システムは、前記第一のコンピュータユニットの前記複製メール送信手段が、前記ウィルスを含まないとの判定のなされた電子メールのうち添付ファイル付き電子メールを選択的に複製するように構成することができる。
【0023】
また、同様の観点から、本発明に係る電子メール中継システムは、前記第二のコンピュータユニットの前記処理手段が、第一のコンピュータユニットからの前記複製電子メールに付された添付ファイルを実行させる添付ファイル実行手段を有するように構成することができる。
【0024】
コンピュータ内に保存されているファイルを利用して添付ファイル付き電子メールを生成、送信するという行動をとるウィルスが存在する。そのようなウィルスを効果的に検知、除去できるという観点から、本発明に係る電子メール中継システムは、前記第一のコンピュータユニットの前記ウィルス特徴抽出手段が、前記第二のコンピュータユニットから送出される情報として添付ファイル付き電子メールを受信した際に、その添付ファイルと所定の基準ファイルとの差分情報をウィルスの特徴として抽出する差分情報抽出手段を有するように構成することができる。
【0025】
コンピュータから送信される電子メールに同期して添付ファイル付き電子メールを生成、送信するという行動をとるウィルスが存在する。このようなウィルスが第二のコンピュータユニットにおいてその環境を疑うことなく行動するようにさせることができるという観点から、本発明に係る電子メール中継システムは、前記第二のコンピュータユニットが、第一のコンピュータユニットに擬似電子メールを送信する擬似メール送信手段を有するように構成することができる。
【0026】
また、前記のように第一のコンピュータユニットにて受信される擬似電子メールをそのままにしておくとシステムに悪影響を及ぼす可能性がある。このような事情を考慮し、本発明に係る電子メール中継システムは、前記第一のコンピュータユニットが、前記第二のコンピュータユニットからの前記擬似電子メールを削除する擬似メール削除手段を有するように構成することができる。
【0027】
更に、第二のコンピュータユニットにおいてウィルスが早期に行動するようにさせることができるという観点から、本発明に係る電子メール中継システムは、
【0028】
前記第二のコンピュータユニットが、正規の時刻より進んだ時刻を表す計時手段を有するように構成することができる。
【0029】
また、同様の観点から、本発明に係る電子メール中継システムは、前記第二のコンピュータユニットにて処理の同期に用いられるタイミングクロックを少なくとも第一のコンピュータユニットにて処理の同期に用いられるタイミングクロックより早い速度に設定するように構成することができる。
【0030】
本発明に係る電子メール中継方法は、メール中継サーバシステムと、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備えたシステムを用いた電子メール中継方法であって、前記第一のコンピュータユニットにおいて前記メール中継サーバシステムに受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手順と、前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手順と、前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手順と、前記第一のコンピュータユニットにおいて前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手順と、前記第二のコンピュータユニットにおいて前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手順と、前記第一のコンピュータユニットにおいて前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手順と、前記第一のコンピュータユニットにおいて前記ウィルス特徴抽出手順にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手順とを有するように構成される。
【0031】
また、本発明に係る電子メール中継システムにおける前記第一のコンピュータユニットにて実行されるプログラムは、前記第一のコンピュータユニットを、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段、前記ウィルスメール判定手段にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手段、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段、前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手段、前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段、として機能させるように構成される。
【0032】
更に、メール中継サーバシステムにて受信された電子メールからウィルスを検知する本発明に係るウィルス検知システムは、第一のコンピュータユニットと、該第一のコンピュータユニットに結合された第二のコンピュータユニットとを備え、前記第一のコンピュータユニットは、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段と、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段と、前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段と、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段とを有し、前記第二のコンピュータユニットは、前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手段を有するように構成される。
【0033】
また、本発明に係るウィルス検知システムは、前記第一のコンピュータユニットと第二のコンピュータユニットが物理的に別体となり、前記第一のコンピュータユニットと第二のコンピュータユニットとが所定のネットワークにて接続されるように構成することができる。
【0034】
更に、本発明に係るウィルス検知システムは、前記第一のコンピュータユニットの前記複製メール送信手段が、前記ウィルスを含まないとの判定のなされた電子メールのうち添付ファイル付き電子メールを選択的に複製するように構成することができる。
【0035】
また、本発明に係るウィルス検知システムは、前記第二のコンピュータユニットの前記処理手段が、第一のコンピュータユニットからの前記複製電子メールに付された添付ファイルを実行させる添付ファイル実行手段を有するように構成することができる。
【0036】
更に、本発明に係るウィルス検知システムは、前記第一のコンピュータユニットの前記ウィルス特徴抽出手段が、前記第二のコンピュータユニットから送出される情報として添付ファイル付き電子メールを受信した際に、その添付ファイルと所定の基準ファイルとの差分情報をウィルスの特徴として抽出する差分情報抽出手段を有するように構成することができる。
【0037】
また、本発明に係るウィルス検知システムは、前記第二のコンピュータユニットが、正規の時刻より進んだ時刻を表す計時手段を有するように構成でき、更に、前記第二のコンピュータユニットにて処理の同期に用いられるタイミングクロックを少なくとも第一のコンピュータユニットにて処理の同期に用いられるタイミングクロックより早い速度に設定するように構成することができる。
【0038】
以上のようなウィルス検知システムは、前述したような電子メール中継システムに適用することができる。
【0039】
本発明に係るウィルス検知方法は、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備え、メール中継サーバシステムにて受信された電子メールからウィルスを検知するためのウィルス検知方法であって、前記第一のコンピュータユニットにおいて前記メール中継サーバシステムに受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手順と、前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含まないとの判定がなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手順と、前記第二のコンピュータユニットにおいて前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手順と、前記第一のコンピュータユニットにおいて前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手順と、前記第一のコンピュータユニットにおいて前記ウィルス特徴抽出手順にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手順とを有するように構成される。
【0040】
更に、本発明に係るウィルス検知システムにおける前記第一のコンピュータユニットにて実行されるプログラムは、前記第一のコンピュータユニットを、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段、前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段、として機能させるように構成される。
【0041】
【発明の実施の形態】
以下、本発明の実施の形態について、図面を用いて説明する。
【0042】
本発明の実施の形態に係る電子メール中継システムは、図1に示すように構成される。
【0043】
図1において、電子メール中継システム100は、広域ネットワークであるインターネットとローカルなネットワークとなる構内ネットワークとの間に接続される。電子メール中継システム100は、ウィルス検知コンピュータ11(第一のコンピュータユニット)、ウィルス培養コンピュータ12(第二のコンピュータユニット)、インターネットとの間で電子メールの送受信を行うメール中継サーバ20(第一のメールサーバ)、及び構内ネットワークとの間で電子メールの送受信を行うメール中継サーバ30(第二のメールサーバ)を有する。ウィルス検知コンピュータ11とウィルス培養コンピュータ12は所定の通信ネットワークにて接続されている。
【0044】
ウィルス検知コンピュータ11は、受信された電子メールの転送、受信された電子メールのうち添付ファイル付き電子メールの選択的複製、複製電子メールのウィルス培養コンピュータ12への送出、ウィルスの特徴を表すウィルス対策用フィルタ情報(VFI)に基づいたウィルスの検知(判定)、前記ウィルス対策用フィルタ情報(VFI)の更新の各機能を有している。
【0045】
ウィルス培養コンピュータ12は、前記ウィルス検知コンピュータ11から送られてくる複製電子メールに対してウィルスの行動(感染、潜伏、発病)を誘起させるための処理を行う機能を有する。通常、ウィルスは添付ファイル付き電子メールに潜んでいることを考慮し、ウィルス培養コンピュータ12の前記機能は、例えば、受信した前記複製電子メールのプレビュー処理を行って添付ファイルを開閉させた後にその複製電子メールを削除する自動電子メール受信プログラムによって実現される。もし、添付ファイルにウィルスが潜んでいれば、添付ファイルの開閉、実行によりウィルスが行動を開始する。アプリケーションプログラムとして位置づけられる前記自動電子メール受信プログラムは、メールクライアントが標準装備するアプリケーションインターフェースを介して前述したような処理を実行する。
【0046】
また、ウィルス培養コンピュータ12は、パーソナルコンピュータやエミュレータのようなコンピュータ機能を内蔵してウィルス検知コンピュータ11と通信ネットワークを介して通信を行う処理装置であって、通常のメールクライアント機能が動作する環境を提供する。ウィルス培養コンピュータ12内では、例えば、マイクロソフト社のOSであるWindows XP(登録商標)の機能が実装され、アプリケーションソフトのOutlook Express(登録商標)が動作する。なお、メールクライアントが標準装備するアプリケーションインターフェースの例としては、簡易MAPI(Simple Messaging Application Programming Interface)等がある。
【0047】
前述したような構成の電子メール中継システムは、次のようにして動作する。
【0048】
システムが起動され、例えば、SMTP(Simple Message Transfer Protocol)に従ってインターネットを経由して構内ネットワークに接続されたユーザ端末宛ての電子メールは、メール中継サーバ20にて受信される。このメール中継サーバ20は受信した電子メールを順次ウィルス検知コンピュータ11に転送する。
【0049】
ウィルス検知コンピュータ11は、図2及び図3に示す手順に従って、処理を行う。
【0050】
図2において、ウィルス検知コンピュータ11は、受信キューにメール中継サーバ20から転送された電子メールが有るか否かを一定時間毎に確認する(S1、S2)。受信キューに電子メールがあるとの判定がなされると(S1でYES)、ウィルス検知コンピュータ11は、受信キューの先頭に位置する電子メールを取得し(S3)、その電子メールに添付ファイルが付されているか否かを判定する(S4)。その電子メールに添付ファイルが付されているとの判定がなされると(S4でYES)、ウィルス検知コンピュータ11は、その電子メールに付された全ての添付ファイルを収集し(S5)、その収集された全ての添付ファイルとウィルス対策用フィルタ情報(VFI)との比較を行う(S6)。このウィルス対策用フィルタ情報(VFI)は、後述するように、ウィルスの行動により発生した電子メールに付された添付ファイルの特徴をウィルスの特徴として表したものである。
【0051】
そして、ウィルス検知コンピュータ11は、図3に示すように、前記比較の結果、ウィルス対策用フィルタ情報(VFI)を含む添付ファイルがあるか否かを判定する(S7)。ウィルス対策用フィルタ情報(VFI)を含む添付ファイルが無いとの判定がなされると(S7でNO)、ウィルス検知コンピュータ11は、ウィルスが検知できなかったものとして、前記電子メールを複製し(S9)、その複製電子メールをウィルス培養コンピュータ12に送る(S10)。その後、ウィルス検知コンピュータ11は、前記電子メールをメール中継サーバ30に転送し、その電子メールをメール中継サーバ30から構内ネットワークに接続された宛先のユーザ端末に転送させる(S11)。
【0052】
一方、添付ファイルとウィルス対策用フィルタ情報(VFI)との比較により、ウィルス対策用フィルタ情報(VFI)を含む添付ファイルがあるとの判定がなされると(S7でYES)、ウィルス検知コンピュータ11は、前記電子メールをウィルスメールとして判断し、その電子メールを削除すると共に、その電子メールについての捕獲及び削除のログを出力する(S8)。
【0053】
前述したように、受信電子メールの転送(S11)または削除(S8)を終えたウィルス検知コンピュータ11は、例えば、マンマシンインターフェースからの処理終了要求の有無に基づいて処理を終了させるべきか否かを判定し(S12)、その処理を終了させるべきでないとの判定がなされた場合(S12でNO)、図2に示すステップS1に戻って、前述した手順での処理を再度実行する。一方、その処理を終了させるべきであるとの判定がなされた場合(S12でYES)、ウィルス検知コンピュータ11は、その処理を終了させる。
【0054】
システムの起動後、ウィルス培養コンピュータ12は、図4に示す手順に従って処理を実行している。この処理は、主に前記自動電子メール受信プログラムの機能に基づいている。
【0055】
図4において、ウィルス培養コンピュータ12は、受信キューにウィルス検知コンピュータ11から前述したように送られてきた電子メール(複製電子メール)が有るか否かを一定時間毎に確認する(S21、S22)。受信キューに電子メールが有るとの判定がなされると(S21でYES)、ウィルス培養コンピュータ12は、受信キューの先頭に位置する電子メールを取得し、その電子メールに対してプレビュー処理を行う(S23)。そのプレビュー処理によりその電子メールが開かれると、ウィルス培養コンピュータ12は、その電子メールに付されている添付ファイルを収集し(S24)、収集された添付ファイルの開閉を実行する(S25)。その後、ウィルス培養コンピュータ12は、前記電子メールを削除し(S26)、例えば、マンマシンインターフェースからの処理終了要求の有無に基づいて処理を終了させるべきか否かを判定する(S27)。そして、その処理を終了させるべきでないとの判定がなされた場合(S27でNO)、ウィルス培養コンピュータ12は、ステップS21に戻って、前述した手順での処理を再度実行する。一方、その処理を終了すべきであるとの判定がなされた場合、ウィルス培養コンピュータ12は、その処理を終了させる。
【0056】
上述したような処理の過程で、ウィルス検知コンピュータ11から送られてくる複製電子メールの添付ファイルにウィルス(メール型コンピュータウィルス)が潜んでいる場合、その添付ファイルの開閉(S25)によりウィルスが行動を開始する。このように行動を開始したウィルスは、ウィルス培養コンピュータ12内で培養され、感染を目的として、メールクライアント機能を利用して登録されたメールアドレス宛ての添付ファイル(ウィルス)付きの電子メールを生成し、その電子メールをウィルス培養コンピュータ12から送信させる。
【0057】
コンピュータウィルスは、添付ファイル(ウィルス)付きの電子メールを生成するに際して、前記メールクライアント機能にて使用される受信トレイや所定のフォルダに格納された種々のファイルを利用する性質がある。このような性質を考慮して、ウィルス培養コンピュータ12における前記メールクライアント機能にて使用される受信トレイや所定のフォルダ内に予め多くの雛形ファイルや実行形式ファイルを格納しておく。このような構成により、行動を開始したウィルスは、自らのクローンを雛形ファイルや実行形式ファイルのいずれかに植え付け、そのウィルス(クローン)の植えつけられたファイルを添付ファイルとして電子メールを生成する。
【0058】
ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12が保有する雛形ファイル及び実行形式ファイルと同じ雛形ファイル及び実行形式ファイルを基準ファイルとして保有している。そして、ウィルス検知コンピュータ11は、前述したようにウィルス培養コンピュータ12から送出される電子メールは全てウィルスメールであるとしてそれを捕獲し、図5及び図6に示す手順に従って、前述したウィルス対策用フィルタ情報の更新を行う。
【0059】
図5において、ウィルス検知コンピュータ11は、受信キューにウィルス培養コンピュータ12から捕獲されたウィルスメールが有るか否かを一定時間毎に確認する(S31、S32)。受信キューにウィルスメールが有るとの判定がなされると(S31でYES)、ウィルス検知コンピュータ11は、受信キューの先頭に位置するウィルスメールを取得し(S33)、そのウィルスメールに添付ファイルが付されているか否かを判定する(S34)。そのウィルスメールに添付ファイルが付されているとの判定がなされると(S34でYES)、ウィルス検知コンピュータ11は、全ての添付ファイルのそれぞれと自身が保有する基準ファイルとしての雛型ファイル(TF)及び実行形式ファイル(EF)のそれぞれとを比較する(S35)。
【0060】
そして、ウィルス検知コンピュータ11は、各添付ファイルについて、図6に示すように、その添付ファイルが雛型ファイル(TF)の一部を包含するか否かの判定(S36)、その添付ファイルが実行形式ファイル(EF)の一部を包含するか否かの判定(S37、S40)を行う。その結果、その添付ファイルが雛型ファイルの一部を含むものであるとだけ判定されると(S36でYES、S37でNO)、ウィルス検知コンピュータ11は、その添付ファイルからその雛型ファイル(TF)との一致部分を削除して差分情報を抽出する(S38)。また、その添付ファイルが実行形式ファイル(EF)の一部を包含するものであるとだけ判定されると(S36でNO、S40でYES)、ウィルス検知コンピュータ11は、その添付ファイルからその実行形式ファイル(EF)との一致部分を削除して差分情報を抽出する(S41)。
【0061】
更に、その添付ファイルが雛型ファイル(TF)の一部を包含すると共に実行形式ファイル(EF)の一部を包含するとの判定がなされると(S36でYES、S37でYES)、ウィルス検知コンピュータ11は、その添付ファイルからその雛型ファイル(TF)との一致部分及びその実行形式ファイル(EF)との一致部分を削除して差分情報を抽出する(S39)。また、その添付ファイルが雛型ファイル(TF)及び実行形式ファイル(EF)のいずれの部分をも含まないとの判定がなされると(S36でNO、S40でNO)、その添付ファイルが既知の部分を含まないとして、ウィルス検知コンピュータ11は、その添付ファイル自体を差分情報として設定する(S42)。
【0062】
前述したようにして決められた差分情報は、ウィルスメールに付された添付ファイルから既知部分(既知の雛型ファイルまたは実行形式の一部)を差し引いたものであり、ウィルス本体の特徴を表すものとなる。ウィルス検知コンピュータ11は、このような差分情報をウィルスの特徴を表す前記ウィルス対策用フィルタ情報(VFI)として設定する(S43)。即ち、前記ウィルス対策用フィルタ情報(VFI)が更新される。その後、ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12から受信したウィルスメールを削除すると共に、その捕獲、削除についてのログを出力する(S44)。
【0063】
その後、ウィルス検知コンピュータ11は、ウィルスメールにまだ添付ファイルがあるか否かを判定し(S45)、まだ残りの添付ファイルがある場合(S45でYES)、前述した手順に従った処理(S36〜S44)を実行する。そして、ウィルスメールに添付された全ての添付ファイルについての処理が終了すると(S45でNO)、ウィルス検知コンピュータ11は、処理を終了させる。
【0064】
なお、ウィルスメールに添付ファイルが付されていないとの判定がなされた場合(図5に示すS34でNO)、ウィルス検知コンピュータ11は、前記ウィルス対策用フィルタ情報(VFI)を更新しないで、ウィルス培養コンピュータ12から受信したウィルスメールを削除すると共に、その捕獲、削除についてのログを出力して(S44)、処理を終了させる。
【0065】
以上の説明(図2乃至図6参照)は、インターネットから受信される構内ネットワークに接続されたユーザ端末宛ての電子メールに対する電子メール中継システム100での処理についてであったが、この電子メール中継システム100は、ユーザ端末から発信されて構内ネットワークを介してインターネットに送り出される電子メールについても同様の手順で処理を行う。即ち、ウィルス検知コンピュータ11は、メール中継サーバ30を介して受信された構内ネットワークからの電子メールに対するウィルス対策用フィルタ(VFI)に基づいたウィルスの判定処理、ウィルスを含まないとの判定がなされた電子メールに対するメール中継サーバ20を介したインターネットに向けた転送処理、添付付き電子メールの選択的複製処理、複製電子メールのウィルス培養コンピュータ12への送出処理、更に、ウィルス対策用フィルタ情報の更新処理を行う。また、ウィルス培養コンピュータ12は、前記ウィルス検知コンピュータ11から送られてくる複製電子メールに対してウィルスの行動(感染、潜伏、発病)を誘起させるための処理(添付ファイルの開閉)を行う。
【0066】
前述したようなメール中継システムによれば、インターネットから受信される構内ネットワークに接続されたユーザ端末宛ての電子メールは、その添付ファイルにウィルス対策用フィルタ情報(VFI)が含まれていれば、ウィルスメールとして削除され(図3のS7→S8参照)、その添付ファイルにウィルス対策用フィルタ情報(VFI)が含まれていなければ、ウィルスメールではないとしてそのまま前記ユーザ端末に宛てて転送される(図3のS7→S11参照)。従って、そのウィルスメールでないとの判定がなされた電子メールは遅れなく宛先のユーザ端末に転送されるようになる。
【0067】
受信された電子メールの添付ファイルにウィルス対策用フィルタ情報(VFI)としてその特徴がまだ設定されていない未知のウィルスが含まれる場合、その電子メールはウィルスメールとして検知されない。しかし、このような電子メールは複製されてウィルス培養コンピュータ12に送られ(図3のS9、S10参照)、その複製電子メールがウィルス培養コンピュータ12にて培養される(図4参照)。その結果、ウィルスが行動を開始して添付ファイル(ウィルス)付き電子メール(ウィルスメール)がウィルス培養コンピュータ12からウィルス検知コンピュータ11に送信されると、ウィルス検知コンピュータ11は、捕獲したそのウィルスメールの添付ファイルの特徴をウィルスの特徴として抽出し、その抽出した特徴に基づいてウィルス対策用フィルタ情報(VFI)を更新する(図5及び図6参照)。以後、そのようなウィルスを含む電子メールを受信した場合には、その電子メールはウィルス対策用フィルタ情報(VFI)に基づいて確実に削除されるようになる。
【0068】
前述したように未知のウィルスを含む電子メールはウィルスメールとして検知されないので、そのままユーザ端末に宛てて転送されてしまう。そして、その未知のウィルスを含む電子メールを受信したユーザ端末においてユーザが誤ってその電子メールの添付ファイルを開いてしまうと、そのユーザ端末においてウィルスの行動が開始され、ユーザ端末から添付ファイル(ウィルス)付きの電子メール(ウィルスメール)が発信されてしまう。しかし、そのウィルスメールが構内ネットワークを介して電子メール中継システム100に到達する時点では、既に前述したようにそのウィルスメールの複製電子メールがウィルス培養コンピュータ12にて培養され、それにより発生したウィルメールの添付ファイルの特徴に基づいて前記ウィルス対策用フィルタ情報が更新されている。従って、そのようにしてユーザ端末から発信されたウィルスメールも既に更新された前記ウィルス対策用フィルタ情報を用いて確実に削除されることになり、ウィルスメールの構内ネットワークやインターネット上への拡散を未然に防止できるようになる。
【0069】
前述したような電子メール中継システム100では、未知のウィルスを含む電子メールを受信する毎に電子メールにウィルスが含まれるか否かの判定の基準となるウィルス対策用フィルタ情報が更新される。このため、未知のウィルスを含む電子メールを受信したら、同種のウィルスを含む電子メールをできるだけ速く確実に削除できる環境を作るという観点から、早期にそのウィルス対策用フィルタ情報(VFI)が更新されることが好ましい。
【0070】
メール型コンピュータウィルスの中には、クライアント(ユーザ端末)から送信される電子メールに同期して添付ファイル(ウィルス)付き電子メール(ウィルスメール)を送出する種類のものが存在する。また、ウィルス培養コンピュータ12からあまり電子メールが送出されない状態が続くとメール型コンピュータウィルスがウィルス培養コンピュータ12の生育環境そのものを疑い出す可能性もある。ウィルス対策用フィルタ情報(VFI)がこのような種類のウィルスに対しても有効となるようにするという観点から、ウィルス培養コンピュータ12及びウィルス検知コンピュータ11に例えば図7に示すような仕組みを付加することができる。
【0071】
即ち、ウィルス培養コンピュータ12に自動電子メール送信プログラム120が設けられる。この自動電子メール送信プログラム120は通常のクライアント機能として動作するものであって、添付ファイル付き擬似電子メールPMFや添付ファイルの無い擬似電子メールPMをランダムに生成し、ネットワークを介してウィルス検知コンピュータl1に順次転送する。そして、ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12から受信した擬似電子メールPMF、PFを検出(認識)して、その擬似電子メールPMF、PFを順次削除(破棄)する。
【0072】
このような自動電子メール送信プログラム120をウィルス培養コンピュータ12に設けることにより、クライアント(ユーザ端末)から送信される電子メールに同期して添付ファイル(ウィルス)付き電子メール(ウィルスメール)を送出する種類のウィルスであっても確実に行動を開始してそのウィルスメールをウィルス検知コンピュータ11に向けて送出するようになる。従って、ウィルス検知コンピュータ11では、この種のウィルスの特徴に基づいて早期にウィルス対策用フィルタ情報の更新がなされる。また、ウィルス培養コンピュータ12にて行動を開始したウィルスがその生育環境を疑い出す可能性も低減される。
【0073】
早期にウィルス対策用フィルタ情報(VFI)が更新されるようにするには、ウィルス培養コンピュータ12で培養されるウィルスによってできるだけ早くウィルスメールが送出されることが必要である。このような観点から、ウィルス培養コンピュータ12に正規の時刻より進んだ時刻を表すタイマを備えることができる。このような構成は、例えば、ある特定の時刻に行動(感染、発病)を開始するという種類のウィルスに対して有効である。
【0074】
また、ウィルス培養コンピュータ12にて処理の同期に用いられるタイミングクロックを当該電子メール中継システム100内で用いられる同期用のタイミングクロック、少なくともウィルス検知コンピュータ11で用いられる同期用のタイミングクロックより速い速度に設定することができる。このような構成により、ウィルス培養コンピュータ12の機能を利用して行動するウィルスの行動が加速され、そのウィルスに起因したウィルスメールがより早期にウィルス培養コンピュータ12からウィルス検知コンピュータ11に送出されるようになる。
【0075】
前述した電子メール中継システム100では、2つのメール中継サーバ20および30が設けられている。この2つのメール中継サーバ20及び30を統合することもできる。この場合、電子メール中継システム100は、図8に示すように構成することができる。
【0076】
図8において、この電子メール中継システム100は、前述したウィルス検知コンピュータ11及びウィルス培養コンピュータ12と共に単一のメールサーバ40を有する。このメールサーバ40は、インターネットに接続されると共に構内ネットワークに接続される。ウィルス検知コンピュータ11は、メールサーバ40にて受信されたインターネットからの電子メールのうち前述した手順に従ってウィルスメールでないとの判定がなされた電子メールをメールサーバ40に戻すことによって構内ネットワークに接続したユーザ端末に転送させる。また、ウィルス検知コンピュータ11は、メールサーバ40にて受信された構内ネットワークからの電子メールのうちウィルスメールでないとの判定がなされた電子メールをメールサーバ40に戻すことによってインターネットに向けて転送させる。
【0077】
前述した電子メール中継システム100では、ウィルス検知コンピュータ11がウィルス培養コンピュータ12から送出される電子メール(ウィルスメール)の添付ファイルからウィルスの特徴を抽出している。しかし、ウィルスの中には、例えば、「トロイの木馬」と呼ばれるような、電子メールを生成、送出するのではなく、外部と通信を行う種類のものもある。この種のウィルスを検知するために、ウィルス検知コンピュータ11及びウィルス培養コンピュータ12を以下のように構成することができる。
【0078】
ウィルス培養コンピュータ12は、前述したように自動電子メール受信プログラムを有し、通常のメールクライアント機能が動作する環境を提供すると共に、FTP(File Transfer Protocol)やHTTP(Hyper Text Transfer Protocol)等の各種通信プログラムを保有する。また、ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12からある通信プロトコルに従って送信されたデータを受信して解析するパケット監視機能を有する。
【0079】
このような構成では、前述した例と同様にウィルス検知コンピュータ11から複製電子メールがウィルス培養コンピュータ12に送られると、その複製電子メールの添付ファイルがウィルス培養コンピュータ12の自動電子メール受信プログラムによって開かれる。そして、その添付ファイルに含まれた乗っ取りプログラムがウィルス培養コンピュータ12に寄生し、いずれウィルス培養コンピュータ12の各種通信プログラムを使って外部との通信を開始する。ウィルス検知コンピュータ11に内蔵されるパケット監視機能は、ウィルス培養コンピュータ12から受信したある通信プロトコルのデータを解析することにより、ウィルス培養コンピュータ12に乗っ取りプログラムが存在して外部とどのような形態の通信を行っているかを把握することができる。
【0080】
なお、前述した電子メール中継システム100におけるウィルス検知コンピュータユニット11及びウィルス培養コンピュータ12は、物理的に別体となり、相互が通信ネットワークにて接続される構成であったが、これらウィルス検知コンピュータユニット11及びウィルス培養コンピュータ12は、物理的に単一のコンピュータ装置において機能的に分離された構成とすることもできる。ただし、ウィルス培養コンピュータ12では、ウィルスが行動(感染、潜伏、発病)するので、そのウィルスの行動に起因してウィルス培養コンピュータ12に異常が発生した場合に、その異常がウィルス検知コンピュータ11に波及し難くできるという観点からは、前記ウィルス検知コンピュータ11と前記ウィルス培養コンピュータ12は物理的に別体とすることが好ましい。
【0081】
また、前記電子メール中継システム100は、広域ネットワークとなるインターネットとローカルなネットワークとなる構内ネットワークとの間に設けられたが、これに限定されず、ユーザ端末内におけるメールクライアント機能(メーラー)と通信回線接続端との間に設けることもできる。この場合、ウィルス検知コンピュータ11及びウィルス培養コンピュータ12はユーザ端末内に機能的に分離して構成され、メール中継サーバ20及び30としてユーザ端末内のハードディスクユニット(HDD)等が利用できる。
【0082】
【発明の効果】
以上、説明したように、請求項1乃至12に記載される本発明によれば、メール中継サーバにて受信された電子メールが第一のコンピュータユニットによりフィルタ情報に基づいてウィルスを含むものであると判定された場合、その電子メールが削除される一方、ウィルスを含まないものであると判定された場合、その電子メールがメール中継サーバから宛先に転送されるようになるので、ウィルスの宛先への転送が防止されると共に遅れなく電子メールを宛先に転送できるようになる。また、ウィルスを含まないものであるとの判定がなされた電子メールは、その複製電子メールが第一のコンピュータユニットから第二のコンピュータユニットに送られ、第二のコンピュータユニットにおいてその複製電子メールに対してウィルスの行動を誘起させる処理が行われる。そして、その処理によりウィルスの行動が開始されて何らかの情報が第二のコンピュータユニットから第一のコンピュータユニットに送られると、第一のコンピュータユニットにおいてその情報の特徴がウィルスの特徴として抽出され、その特徴によってウィルスの判定に用いられる前記フィルタ情報が更新される。これにより、ウィルスの宛先への転送及びその拡散を防止することができるようになる。
【0083】
また、請求項13乃至21に記載される本発明によれば、前記電子メール中継システムに適用することのできるウィルス検知システム、方法及びプログラムを提供することができる。
【図面の簡単な説明】
【図1】本発明の実施の一形態に係る電子メール中継システムの構成例を示す図である。
【図2】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでの処理手順(その1)を示すフローチャートである。
【図3】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでの処理手順(その2)を示すフローチャートである。
【図4】図1に示す電子メール中継システムにおけるウィルス培養コンピュータでの処理手順を示すフローチャートである。
【図5】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでのウィルス対策用フィルタ情報の更新処理に係る手順(その1)を示すフローチャートである。
【図6】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでのウィルス対策用フィルタ情報の更新処理に係る手順(その2)を示すフローチャートである。
【図7】ウィルス培養コンピュータからウィルス検知コンピュータに擬似電子メールを転送させるための構成例を示す図である。
【図8】本発明の実施の一形態に係る電子メール中継システムの他の構成例を示す図である。
【符号の説明】
11 ウィルス検知コンピュータ
12 ウィルス培養コンピュータ
20、30 メール中継サーバ
40 メールサーバ
100 電子メール中継システム
120 自動電子メール送信プログラム
【発明の属する技術分野】
本発明は、ネットワークを介して受信した電子メールの中継を行う電子メール中継システムに係り、詳しくは、ウィルスのチェックを行って、ウィルスを含むとされた電子メールについては削除するようにした電子メール中継システム、方法及びプログラムに関する。
【0002】
また、本発明は、前記電子メール中継システムに適用することのできるウィルス検知システム、方法及びプログラムに関する。
【0003】
【従来の技術】
近年のインターネットをはじめとするネットワークの急速な発展に伴い、クラッキングやコンピュータウィルスなどのコンピュータの不正利用による被害は年々深刻なものとなってきている。特にその中でもコンピュータウィルスによる被害は、時間経過に伴い不特定多数に対し加速度的に被害を与える点や、本来は被害者であるユーザが気づかないうちに加害者となる点などで他の不正利用とは大きく異なる。
【0004】
ウィルス(コンピュータウィルス)は、経済産業省の定義によれば、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであって、自己伝染機能、潜伏機能及び発病機能の少なくとも1つの機能を有するものであるとされている。一般的には、このようなウィルスは電子メールを媒介にしてコンピュータに潜入する(メール型コンピュータウィルス)。従来、このように電子メールにて運ばれるウィルスのチェック機能を有した電子メールの中継システムが提案されている(例えば、非特許文献1参照)。
【0005】
この電子メール中継システムでは、インターネット等の広域ネットワークからユーザ端末宛ての添付ファイル付き電子メールがメールサーバに受信されると、まず、メールサーバからその電子メールがウィルス検知サーバに送られる。このウィルス検知サーバでは、その電子メールの添付ファイルが実行され、その際の行動パターンの収集が行われる。ウィルス検知サーバは、受信した電子メールから添付ファイルを除いたヘッダ部とメール本文に新たにその添付ファイルの動作を示した検査結果と添付ファイル取得用のURLを付加した検査結果メールを作成し、その検査結果メールをユーザ端末に宛てて送信する。即ち、ユーザ端末には添付ファイルが直接届けられることはない。
【0006】
前記検査結果メールを受信したユーザ端末では、ユーザがその検査結果メールに付された添付ファイルの検査結果を確認する。そして、問題がなければ、ユーザ端末においてユーザが前記URLを指定することにより前記添付ファイルの取得がなされる。
【0007】
このような電子メールの中継システムによれば、ユーザがユーザ端末にて受信された電子メールを不用意に開封して発生するウィルス感染の可能性を低減させることができるようになる。
【0008】
また、ユーザ端末から電子メールが広域ネットワークを介して他のユーザ端末に送信される際、メールサーバにて受信された電子メールは、ウィルス検知サーバに渡され、前述したように添付ファイルの行動パターンの検査がなされる。異常がなければウィルス検知サーバからメールサーバを介して前記他のユーザ端末宛ての電子メールが広域ネットワークに送出される。一方、ウィルス検知サーバでの検査において何らかの異常が発見された場合、ウィルス検知サーバは発信元のユーザ端末に通知を行って、その電子メールの送信を行わない。これによって、ウィルスの感染拡大を最小限に抑えることができるようになる。
【0009】
【非特許文献1】
三宅崇之、白石善明、森井昌克、「仮想サーバを使った未知ウィルス検知システムの提案」、信学技報、社団法人電子情報通信学会、2002年7月、ISEC2002−20、p.45−52
【0010】
【発明が解決しようとする課題】
しかし、前述した電子メールの中継システムでは、電子メールに付された添付ファイルを実行させ、その行動パターンからその電子メールにウィルスが含まれているか否かを判定しているので、その検査結果を得るまでに時間がかかる。特に、未知のウィルスについては、どのような行動パターンをとるか判らないので、異常であるか否か(ウィルスが含まれるか否か)の判定を行うために電子メールをウィルス検知サーバに比較的長い時間滞留させておかなければならない。このような条件は全ての電子メール、即ち、正常な電子メールについても適用されることになるので、電子メールの利点である情報伝達の即時性が阻害されてしまう。
【0011】
更に、検査結果メールを受信したユーザ端末では、URLを指定する操作を行わなければ当該ユーザ端末宛ての電子メールに付された添付ファイルを取得することができない。このため、ユーザ端末にて必要な添付ファイルを得るための操作が煩雑になると共に、添付ファイルの取得忘れのおそれもある。
【0012】
本発明は、このような従来システムの欠点を解決するためになされたもので、ウィルスの宛先への転送及びその拡散の防止を図りつつ、遅れなく電子メールを宛先に転送できるようにした電子メール中継システム、方法及びプログラムを提供するものである。
【0013】
また、本発明は、そのような電子メール中継システムに用いることのできるウィルス検知システム、方法及びプログラムを提供するものである。
【0014】
【課題を解決するための手段】
本発明に係る電子メール中継システムは、宛先の指定された電子メールを受信し、その受信された電子メールを前記宛先に転送するメール中継サーバシステムと、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備え、前記第一のコンピュータユニットは、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段と、前記ウィルスメール判定手段にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手段と、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段と、前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手段と、前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段と、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段とを有し、前記第二のコンピュータユニットは、前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手段を有するように構成される。
【0015】
このような電子メール中継システムでは、メール中継サーバシステムにて受信された電子メールは第一のコンピュータユニットにて取得され、フィルタ情報に基づいてその電子メールにウィルスが含まれているか否かが判定される。ウィルスが含まれているとの判定がなされた電子メールは削除される。これにより、ウィルスを含む電子メールは宛先に転送されることはない。
【0016】
一方、前記フィルタ情報に基づいてウィルスが含まれていないとの判定がなされた電子メールは、メール中継サーバシステムから宛先に転送されると共に、複製され、その複製電子メールが第一のコンピュータユニットから第二のコンピュータユニットに送信される。そして、第二のコンピュータユニットにおいてその電子メールに対してウィルスの行動を誘起させる処理がなされる。その結果、ウィルスが行動することに起因して何らかの情報が第二のコンピュータユニットから第一のコンピュータユニットに送出されると、第一のコンピュータユニットでは、その情報の特徴がウィルスの特徴として抽出され、その抽出された特徴に基づいて前記フィルタ情報が更新される。
【0017】
これにより、ウィルスを含まない正常な電子メールは遅れることなく宛先に転送され得る。未知のウィルスを含む電子メールは前記フィルタ情報に基づいてウィルスを含むものとの判定がなされずに宛先に転送され得るが、その電子メールは複製されており、その複製電子メールに対して第二のコンピュータユニットにおいてウィルスの行動を誘起させる処理が施される。そして、ウィルスの行動により第二のコンピュータユニットから第一のコンピュータユニットに送出された情報の特徴に基づいて前記フィルタ情報が更新される。以後、前記ウィルスを含む電子メールはその更新後のフィルタ情報に基づいて削除され得ることになる。
【0018】
前述したような未知のウィルスを含む電子メールを受信した宛先端末では、ウィルスの行動によって前記第二のコンピュータユニットから第一のコンピュータユニットに送出された情報と同じ情報が発生し得る。しかし、ウィルスの行動に基づいてその情報が、例えば、電子メールとしてその端末から送信されたとしても、その電子メールが前記メール中継サーバシステムを経由して転送される環境を構築しておけば、その電子メールは既に更新されたフィルタ情報に基づいてウィルスを含むものと判定され、削除され得る。これにより、少なくともウィルスの拡散が防止され得る。
【0019】
前記第一のコンピュータユニットと第二のコンピュータユニットは、機能的に分離されていれば物理的に一台のコンピュータ内に構成することができる。
【0020】
第二のコンピュータユニットではウィルスが行動し得る。そのウィルスの行動に起因して第二のコンピュータユニットにて異常が発生した場合に、その異常が第一のコンピュータユニットに波及し難くできるという観点から、前記第一のコンピュータユニットと第二のコンピュータユニットは物理的に別体とし、前記第一のコンピュータユニットと第二のコンピュータユニットとを所定の通信ネットワークにて接続した構成とすることが好ましい。
【0021】
また、本発明に係る電子メール中継システムは、前記メール中継サーバシステムが、前記第一のコンピュータユニットと結合された第一のメールサーバと第二のメールサーバとを有し、前記第一のコンピュータユニットの前記ウィルスメール判定手段が、前記第一のメールサーバ及び第二のメールサーバのうちの一方のメールサーバにて受信された電子メールを取得し、その電子メールがウィルスを含むか否かを判定するようにし、前記第一のコンピュータユニットの前記メール転送制御手段が、前記ウィルスを含まないとの判定のなされた電子メールを前記第一のメールサーバ及び第二のメールサーバのうちの他方のメールサーバから前記宛先に転送させるように構成することができる。
【0022】
添付ファイルの付された電子メールにウィルスが潜んでいる。このような事情を考慮して効率的に処理を行い得るという観点から、本発明に係る電子メール中継システムは、前記第一のコンピュータユニットの前記複製メール送信手段が、前記ウィルスを含まないとの判定のなされた電子メールのうち添付ファイル付き電子メールを選択的に複製するように構成することができる。
【0023】
また、同様の観点から、本発明に係る電子メール中継システムは、前記第二のコンピュータユニットの前記処理手段が、第一のコンピュータユニットからの前記複製電子メールに付された添付ファイルを実行させる添付ファイル実行手段を有するように構成することができる。
【0024】
コンピュータ内に保存されているファイルを利用して添付ファイル付き電子メールを生成、送信するという行動をとるウィルスが存在する。そのようなウィルスを効果的に検知、除去できるという観点から、本発明に係る電子メール中継システムは、前記第一のコンピュータユニットの前記ウィルス特徴抽出手段が、前記第二のコンピュータユニットから送出される情報として添付ファイル付き電子メールを受信した際に、その添付ファイルと所定の基準ファイルとの差分情報をウィルスの特徴として抽出する差分情報抽出手段を有するように構成することができる。
【0025】
コンピュータから送信される電子メールに同期して添付ファイル付き電子メールを生成、送信するという行動をとるウィルスが存在する。このようなウィルスが第二のコンピュータユニットにおいてその環境を疑うことなく行動するようにさせることができるという観点から、本発明に係る電子メール中継システムは、前記第二のコンピュータユニットが、第一のコンピュータユニットに擬似電子メールを送信する擬似メール送信手段を有するように構成することができる。
【0026】
また、前記のように第一のコンピュータユニットにて受信される擬似電子メールをそのままにしておくとシステムに悪影響を及ぼす可能性がある。このような事情を考慮し、本発明に係る電子メール中継システムは、前記第一のコンピュータユニットが、前記第二のコンピュータユニットからの前記擬似電子メールを削除する擬似メール削除手段を有するように構成することができる。
【0027】
更に、第二のコンピュータユニットにおいてウィルスが早期に行動するようにさせることができるという観点から、本発明に係る電子メール中継システムは、
【0028】
前記第二のコンピュータユニットが、正規の時刻より進んだ時刻を表す計時手段を有するように構成することができる。
【0029】
また、同様の観点から、本発明に係る電子メール中継システムは、前記第二のコンピュータユニットにて処理の同期に用いられるタイミングクロックを少なくとも第一のコンピュータユニットにて処理の同期に用いられるタイミングクロックより早い速度に設定するように構成することができる。
【0030】
本発明に係る電子メール中継方法は、メール中継サーバシステムと、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備えたシステムを用いた電子メール中継方法であって、前記第一のコンピュータユニットにおいて前記メール中継サーバシステムに受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手順と、前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手順と、前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手順と、前記第一のコンピュータユニットにおいて前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手順と、前記第二のコンピュータユニットにおいて前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手順と、前記第一のコンピュータユニットにおいて前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手順と、前記第一のコンピュータユニットにおいて前記ウィルス特徴抽出手順にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手順とを有するように構成される。
【0031】
また、本発明に係る電子メール中継システムにおける前記第一のコンピュータユニットにて実行されるプログラムは、前記第一のコンピュータユニットを、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段、前記ウィルスメール判定手段にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手段、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段、前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手段、前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段、として機能させるように構成される。
【0032】
更に、メール中継サーバシステムにて受信された電子メールからウィルスを検知する本発明に係るウィルス検知システムは、第一のコンピュータユニットと、該第一のコンピュータユニットに結合された第二のコンピュータユニットとを備え、前記第一のコンピュータユニットは、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段と、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段と、前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段と、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段とを有し、前記第二のコンピュータユニットは、前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手段を有するように構成される。
【0033】
また、本発明に係るウィルス検知システムは、前記第一のコンピュータユニットと第二のコンピュータユニットが物理的に別体となり、前記第一のコンピュータユニットと第二のコンピュータユニットとが所定のネットワークにて接続されるように構成することができる。
【0034】
更に、本発明に係るウィルス検知システムは、前記第一のコンピュータユニットの前記複製メール送信手段が、前記ウィルスを含まないとの判定のなされた電子メールのうち添付ファイル付き電子メールを選択的に複製するように構成することができる。
【0035】
また、本発明に係るウィルス検知システムは、前記第二のコンピュータユニットの前記処理手段が、第一のコンピュータユニットからの前記複製電子メールに付された添付ファイルを実行させる添付ファイル実行手段を有するように構成することができる。
【0036】
更に、本発明に係るウィルス検知システムは、前記第一のコンピュータユニットの前記ウィルス特徴抽出手段が、前記第二のコンピュータユニットから送出される情報として添付ファイル付き電子メールを受信した際に、その添付ファイルと所定の基準ファイルとの差分情報をウィルスの特徴として抽出する差分情報抽出手段を有するように構成することができる。
【0037】
また、本発明に係るウィルス検知システムは、前記第二のコンピュータユニットが、正規の時刻より進んだ時刻を表す計時手段を有するように構成でき、更に、前記第二のコンピュータユニットにて処理の同期に用いられるタイミングクロックを少なくとも第一のコンピュータユニットにて処理の同期に用いられるタイミングクロックより早い速度に設定するように構成することができる。
【0038】
以上のようなウィルス検知システムは、前述したような電子メール中継システムに適用することができる。
【0039】
本発明に係るウィルス検知方法は、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備え、メール中継サーバシステムにて受信された電子メールからウィルスを検知するためのウィルス検知方法であって、前記第一のコンピュータユニットにおいて前記メール中継サーバシステムに受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手順と、前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含まないとの判定がなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手順と、前記第二のコンピュータユニットにおいて前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手順と、前記第一のコンピュータユニットにおいて前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手順と、前記第一のコンピュータユニットにおいて前記ウィルス特徴抽出手順にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手順とを有するように構成される。
【0040】
更に、本発明に係るウィルス検知システムにおける前記第一のコンピュータユニットにて実行されるプログラムは、前記第一のコンピュータユニットを、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段、前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段、前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段、前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段、として機能させるように構成される。
【0041】
【発明の実施の形態】
以下、本発明の実施の形態について、図面を用いて説明する。
【0042】
本発明の実施の形態に係る電子メール中継システムは、図1に示すように構成される。
【0043】
図1において、電子メール中継システム100は、広域ネットワークであるインターネットとローカルなネットワークとなる構内ネットワークとの間に接続される。電子メール中継システム100は、ウィルス検知コンピュータ11(第一のコンピュータユニット)、ウィルス培養コンピュータ12(第二のコンピュータユニット)、インターネットとの間で電子メールの送受信を行うメール中継サーバ20(第一のメールサーバ)、及び構内ネットワークとの間で電子メールの送受信を行うメール中継サーバ30(第二のメールサーバ)を有する。ウィルス検知コンピュータ11とウィルス培養コンピュータ12は所定の通信ネットワークにて接続されている。
【0044】
ウィルス検知コンピュータ11は、受信された電子メールの転送、受信された電子メールのうち添付ファイル付き電子メールの選択的複製、複製電子メールのウィルス培養コンピュータ12への送出、ウィルスの特徴を表すウィルス対策用フィルタ情報(VFI)に基づいたウィルスの検知(判定)、前記ウィルス対策用フィルタ情報(VFI)の更新の各機能を有している。
【0045】
ウィルス培養コンピュータ12は、前記ウィルス検知コンピュータ11から送られてくる複製電子メールに対してウィルスの行動(感染、潜伏、発病)を誘起させるための処理を行う機能を有する。通常、ウィルスは添付ファイル付き電子メールに潜んでいることを考慮し、ウィルス培養コンピュータ12の前記機能は、例えば、受信した前記複製電子メールのプレビュー処理を行って添付ファイルを開閉させた後にその複製電子メールを削除する自動電子メール受信プログラムによって実現される。もし、添付ファイルにウィルスが潜んでいれば、添付ファイルの開閉、実行によりウィルスが行動を開始する。アプリケーションプログラムとして位置づけられる前記自動電子メール受信プログラムは、メールクライアントが標準装備するアプリケーションインターフェースを介して前述したような処理を実行する。
【0046】
また、ウィルス培養コンピュータ12は、パーソナルコンピュータやエミュレータのようなコンピュータ機能を内蔵してウィルス検知コンピュータ11と通信ネットワークを介して通信を行う処理装置であって、通常のメールクライアント機能が動作する環境を提供する。ウィルス培養コンピュータ12内では、例えば、マイクロソフト社のOSであるWindows XP(登録商標)の機能が実装され、アプリケーションソフトのOutlook Express(登録商標)が動作する。なお、メールクライアントが標準装備するアプリケーションインターフェースの例としては、簡易MAPI(Simple Messaging Application Programming Interface)等がある。
【0047】
前述したような構成の電子メール中継システムは、次のようにして動作する。
【0048】
システムが起動され、例えば、SMTP(Simple Message Transfer Protocol)に従ってインターネットを経由して構内ネットワークに接続されたユーザ端末宛ての電子メールは、メール中継サーバ20にて受信される。このメール中継サーバ20は受信した電子メールを順次ウィルス検知コンピュータ11に転送する。
【0049】
ウィルス検知コンピュータ11は、図2及び図3に示す手順に従って、処理を行う。
【0050】
図2において、ウィルス検知コンピュータ11は、受信キューにメール中継サーバ20から転送された電子メールが有るか否かを一定時間毎に確認する(S1、S2)。受信キューに電子メールがあるとの判定がなされると(S1でYES)、ウィルス検知コンピュータ11は、受信キューの先頭に位置する電子メールを取得し(S3)、その電子メールに添付ファイルが付されているか否かを判定する(S4)。その電子メールに添付ファイルが付されているとの判定がなされると(S4でYES)、ウィルス検知コンピュータ11は、その電子メールに付された全ての添付ファイルを収集し(S5)、その収集された全ての添付ファイルとウィルス対策用フィルタ情報(VFI)との比較を行う(S6)。このウィルス対策用フィルタ情報(VFI)は、後述するように、ウィルスの行動により発生した電子メールに付された添付ファイルの特徴をウィルスの特徴として表したものである。
【0051】
そして、ウィルス検知コンピュータ11は、図3に示すように、前記比較の結果、ウィルス対策用フィルタ情報(VFI)を含む添付ファイルがあるか否かを判定する(S7)。ウィルス対策用フィルタ情報(VFI)を含む添付ファイルが無いとの判定がなされると(S7でNO)、ウィルス検知コンピュータ11は、ウィルスが検知できなかったものとして、前記電子メールを複製し(S9)、その複製電子メールをウィルス培養コンピュータ12に送る(S10)。その後、ウィルス検知コンピュータ11は、前記電子メールをメール中継サーバ30に転送し、その電子メールをメール中継サーバ30から構内ネットワークに接続された宛先のユーザ端末に転送させる(S11)。
【0052】
一方、添付ファイルとウィルス対策用フィルタ情報(VFI)との比較により、ウィルス対策用フィルタ情報(VFI)を含む添付ファイルがあるとの判定がなされると(S7でYES)、ウィルス検知コンピュータ11は、前記電子メールをウィルスメールとして判断し、その電子メールを削除すると共に、その電子メールについての捕獲及び削除のログを出力する(S8)。
【0053】
前述したように、受信電子メールの転送(S11)または削除(S8)を終えたウィルス検知コンピュータ11は、例えば、マンマシンインターフェースからの処理終了要求の有無に基づいて処理を終了させるべきか否かを判定し(S12)、その処理を終了させるべきでないとの判定がなされた場合(S12でNO)、図2に示すステップS1に戻って、前述した手順での処理を再度実行する。一方、その処理を終了させるべきであるとの判定がなされた場合(S12でYES)、ウィルス検知コンピュータ11は、その処理を終了させる。
【0054】
システムの起動後、ウィルス培養コンピュータ12は、図4に示す手順に従って処理を実行している。この処理は、主に前記自動電子メール受信プログラムの機能に基づいている。
【0055】
図4において、ウィルス培養コンピュータ12は、受信キューにウィルス検知コンピュータ11から前述したように送られてきた電子メール(複製電子メール)が有るか否かを一定時間毎に確認する(S21、S22)。受信キューに電子メールが有るとの判定がなされると(S21でYES)、ウィルス培養コンピュータ12は、受信キューの先頭に位置する電子メールを取得し、その電子メールに対してプレビュー処理を行う(S23)。そのプレビュー処理によりその電子メールが開かれると、ウィルス培養コンピュータ12は、その電子メールに付されている添付ファイルを収集し(S24)、収集された添付ファイルの開閉を実行する(S25)。その後、ウィルス培養コンピュータ12は、前記電子メールを削除し(S26)、例えば、マンマシンインターフェースからの処理終了要求の有無に基づいて処理を終了させるべきか否かを判定する(S27)。そして、その処理を終了させるべきでないとの判定がなされた場合(S27でNO)、ウィルス培養コンピュータ12は、ステップS21に戻って、前述した手順での処理を再度実行する。一方、その処理を終了すべきであるとの判定がなされた場合、ウィルス培養コンピュータ12は、その処理を終了させる。
【0056】
上述したような処理の過程で、ウィルス検知コンピュータ11から送られてくる複製電子メールの添付ファイルにウィルス(メール型コンピュータウィルス)が潜んでいる場合、その添付ファイルの開閉(S25)によりウィルスが行動を開始する。このように行動を開始したウィルスは、ウィルス培養コンピュータ12内で培養され、感染を目的として、メールクライアント機能を利用して登録されたメールアドレス宛ての添付ファイル(ウィルス)付きの電子メールを生成し、その電子メールをウィルス培養コンピュータ12から送信させる。
【0057】
コンピュータウィルスは、添付ファイル(ウィルス)付きの電子メールを生成するに際して、前記メールクライアント機能にて使用される受信トレイや所定のフォルダに格納された種々のファイルを利用する性質がある。このような性質を考慮して、ウィルス培養コンピュータ12における前記メールクライアント機能にて使用される受信トレイや所定のフォルダ内に予め多くの雛形ファイルや実行形式ファイルを格納しておく。このような構成により、行動を開始したウィルスは、自らのクローンを雛形ファイルや実行形式ファイルのいずれかに植え付け、そのウィルス(クローン)の植えつけられたファイルを添付ファイルとして電子メールを生成する。
【0058】
ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12が保有する雛形ファイル及び実行形式ファイルと同じ雛形ファイル及び実行形式ファイルを基準ファイルとして保有している。そして、ウィルス検知コンピュータ11は、前述したようにウィルス培養コンピュータ12から送出される電子メールは全てウィルスメールであるとしてそれを捕獲し、図5及び図6に示す手順に従って、前述したウィルス対策用フィルタ情報の更新を行う。
【0059】
図5において、ウィルス検知コンピュータ11は、受信キューにウィルス培養コンピュータ12から捕獲されたウィルスメールが有るか否かを一定時間毎に確認する(S31、S32)。受信キューにウィルスメールが有るとの判定がなされると(S31でYES)、ウィルス検知コンピュータ11は、受信キューの先頭に位置するウィルスメールを取得し(S33)、そのウィルスメールに添付ファイルが付されているか否かを判定する(S34)。そのウィルスメールに添付ファイルが付されているとの判定がなされると(S34でYES)、ウィルス検知コンピュータ11は、全ての添付ファイルのそれぞれと自身が保有する基準ファイルとしての雛型ファイル(TF)及び実行形式ファイル(EF)のそれぞれとを比較する(S35)。
【0060】
そして、ウィルス検知コンピュータ11は、各添付ファイルについて、図6に示すように、その添付ファイルが雛型ファイル(TF)の一部を包含するか否かの判定(S36)、その添付ファイルが実行形式ファイル(EF)の一部を包含するか否かの判定(S37、S40)を行う。その結果、その添付ファイルが雛型ファイルの一部を含むものであるとだけ判定されると(S36でYES、S37でNO)、ウィルス検知コンピュータ11は、その添付ファイルからその雛型ファイル(TF)との一致部分を削除して差分情報を抽出する(S38)。また、その添付ファイルが実行形式ファイル(EF)の一部を包含するものであるとだけ判定されると(S36でNO、S40でYES)、ウィルス検知コンピュータ11は、その添付ファイルからその実行形式ファイル(EF)との一致部分を削除して差分情報を抽出する(S41)。
【0061】
更に、その添付ファイルが雛型ファイル(TF)の一部を包含すると共に実行形式ファイル(EF)の一部を包含するとの判定がなされると(S36でYES、S37でYES)、ウィルス検知コンピュータ11は、その添付ファイルからその雛型ファイル(TF)との一致部分及びその実行形式ファイル(EF)との一致部分を削除して差分情報を抽出する(S39)。また、その添付ファイルが雛型ファイル(TF)及び実行形式ファイル(EF)のいずれの部分をも含まないとの判定がなされると(S36でNO、S40でNO)、その添付ファイルが既知の部分を含まないとして、ウィルス検知コンピュータ11は、その添付ファイル自体を差分情報として設定する(S42)。
【0062】
前述したようにして決められた差分情報は、ウィルスメールに付された添付ファイルから既知部分(既知の雛型ファイルまたは実行形式の一部)を差し引いたものであり、ウィルス本体の特徴を表すものとなる。ウィルス検知コンピュータ11は、このような差分情報をウィルスの特徴を表す前記ウィルス対策用フィルタ情報(VFI)として設定する(S43)。即ち、前記ウィルス対策用フィルタ情報(VFI)が更新される。その後、ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12から受信したウィルスメールを削除すると共に、その捕獲、削除についてのログを出力する(S44)。
【0063】
その後、ウィルス検知コンピュータ11は、ウィルスメールにまだ添付ファイルがあるか否かを判定し(S45)、まだ残りの添付ファイルがある場合(S45でYES)、前述した手順に従った処理(S36〜S44)を実行する。そして、ウィルスメールに添付された全ての添付ファイルについての処理が終了すると(S45でNO)、ウィルス検知コンピュータ11は、処理を終了させる。
【0064】
なお、ウィルスメールに添付ファイルが付されていないとの判定がなされた場合(図5に示すS34でNO)、ウィルス検知コンピュータ11は、前記ウィルス対策用フィルタ情報(VFI)を更新しないで、ウィルス培養コンピュータ12から受信したウィルスメールを削除すると共に、その捕獲、削除についてのログを出力して(S44)、処理を終了させる。
【0065】
以上の説明(図2乃至図6参照)は、インターネットから受信される構内ネットワークに接続されたユーザ端末宛ての電子メールに対する電子メール中継システム100での処理についてであったが、この電子メール中継システム100は、ユーザ端末から発信されて構内ネットワークを介してインターネットに送り出される電子メールについても同様の手順で処理を行う。即ち、ウィルス検知コンピュータ11は、メール中継サーバ30を介して受信された構内ネットワークからの電子メールに対するウィルス対策用フィルタ(VFI)に基づいたウィルスの判定処理、ウィルスを含まないとの判定がなされた電子メールに対するメール中継サーバ20を介したインターネットに向けた転送処理、添付付き電子メールの選択的複製処理、複製電子メールのウィルス培養コンピュータ12への送出処理、更に、ウィルス対策用フィルタ情報の更新処理を行う。また、ウィルス培養コンピュータ12は、前記ウィルス検知コンピュータ11から送られてくる複製電子メールに対してウィルスの行動(感染、潜伏、発病)を誘起させるための処理(添付ファイルの開閉)を行う。
【0066】
前述したようなメール中継システムによれば、インターネットから受信される構内ネットワークに接続されたユーザ端末宛ての電子メールは、その添付ファイルにウィルス対策用フィルタ情報(VFI)が含まれていれば、ウィルスメールとして削除され(図3のS7→S8参照)、その添付ファイルにウィルス対策用フィルタ情報(VFI)が含まれていなければ、ウィルスメールではないとしてそのまま前記ユーザ端末に宛てて転送される(図3のS7→S11参照)。従って、そのウィルスメールでないとの判定がなされた電子メールは遅れなく宛先のユーザ端末に転送されるようになる。
【0067】
受信された電子メールの添付ファイルにウィルス対策用フィルタ情報(VFI)としてその特徴がまだ設定されていない未知のウィルスが含まれる場合、その電子メールはウィルスメールとして検知されない。しかし、このような電子メールは複製されてウィルス培養コンピュータ12に送られ(図3のS9、S10参照)、その複製電子メールがウィルス培養コンピュータ12にて培養される(図4参照)。その結果、ウィルスが行動を開始して添付ファイル(ウィルス)付き電子メール(ウィルスメール)がウィルス培養コンピュータ12からウィルス検知コンピュータ11に送信されると、ウィルス検知コンピュータ11は、捕獲したそのウィルスメールの添付ファイルの特徴をウィルスの特徴として抽出し、その抽出した特徴に基づいてウィルス対策用フィルタ情報(VFI)を更新する(図5及び図6参照)。以後、そのようなウィルスを含む電子メールを受信した場合には、その電子メールはウィルス対策用フィルタ情報(VFI)に基づいて確実に削除されるようになる。
【0068】
前述したように未知のウィルスを含む電子メールはウィルスメールとして検知されないので、そのままユーザ端末に宛てて転送されてしまう。そして、その未知のウィルスを含む電子メールを受信したユーザ端末においてユーザが誤ってその電子メールの添付ファイルを開いてしまうと、そのユーザ端末においてウィルスの行動が開始され、ユーザ端末から添付ファイル(ウィルス)付きの電子メール(ウィルスメール)が発信されてしまう。しかし、そのウィルスメールが構内ネットワークを介して電子メール中継システム100に到達する時点では、既に前述したようにそのウィルスメールの複製電子メールがウィルス培養コンピュータ12にて培養され、それにより発生したウィルメールの添付ファイルの特徴に基づいて前記ウィルス対策用フィルタ情報が更新されている。従って、そのようにしてユーザ端末から発信されたウィルスメールも既に更新された前記ウィルス対策用フィルタ情報を用いて確実に削除されることになり、ウィルスメールの構内ネットワークやインターネット上への拡散を未然に防止できるようになる。
【0069】
前述したような電子メール中継システム100では、未知のウィルスを含む電子メールを受信する毎に電子メールにウィルスが含まれるか否かの判定の基準となるウィルス対策用フィルタ情報が更新される。このため、未知のウィルスを含む電子メールを受信したら、同種のウィルスを含む電子メールをできるだけ速く確実に削除できる環境を作るという観点から、早期にそのウィルス対策用フィルタ情報(VFI)が更新されることが好ましい。
【0070】
メール型コンピュータウィルスの中には、クライアント(ユーザ端末)から送信される電子メールに同期して添付ファイル(ウィルス)付き電子メール(ウィルスメール)を送出する種類のものが存在する。また、ウィルス培養コンピュータ12からあまり電子メールが送出されない状態が続くとメール型コンピュータウィルスがウィルス培養コンピュータ12の生育環境そのものを疑い出す可能性もある。ウィルス対策用フィルタ情報(VFI)がこのような種類のウィルスに対しても有効となるようにするという観点から、ウィルス培養コンピュータ12及びウィルス検知コンピュータ11に例えば図7に示すような仕組みを付加することができる。
【0071】
即ち、ウィルス培養コンピュータ12に自動電子メール送信プログラム120が設けられる。この自動電子メール送信プログラム120は通常のクライアント機能として動作するものであって、添付ファイル付き擬似電子メールPMFや添付ファイルの無い擬似電子メールPMをランダムに生成し、ネットワークを介してウィルス検知コンピュータl1に順次転送する。そして、ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12から受信した擬似電子メールPMF、PFを検出(認識)して、その擬似電子メールPMF、PFを順次削除(破棄)する。
【0072】
このような自動電子メール送信プログラム120をウィルス培養コンピュータ12に設けることにより、クライアント(ユーザ端末)から送信される電子メールに同期して添付ファイル(ウィルス)付き電子メール(ウィルスメール)を送出する種類のウィルスであっても確実に行動を開始してそのウィルスメールをウィルス検知コンピュータ11に向けて送出するようになる。従って、ウィルス検知コンピュータ11では、この種のウィルスの特徴に基づいて早期にウィルス対策用フィルタ情報の更新がなされる。また、ウィルス培養コンピュータ12にて行動を開始したウィルスがその生育環境を疑い出す可能性も低減される。
【0073】
早期にウィルス対策用フィルタ情報(VFI)が更新されるようにするには、ウィルス培養コンピュータ12で培養されるウィルスによってできるだけ早くウィルスメールが送出されることが必要である。このような観点から、ウィルス培養コンピュータ12に正規の時刻より進んだ時刻を表すタイマを備えることができる。このような構成は、例えば、ある特定の時刻に行動(感染、発病)を開始するという種類のウィルスに対して有効である。
【0074】
また、ウィルス培養コンピュータ12にて処理の同期に用いられるタイミングクロックを当該電子メール中継システム100内で用いられる同期用のタイミングクロック、少なくともウィルス検知コンピュータ11で用いられる同期用のタイミングクロックより速い速度に設定することができる。このような構成により、ウィルス培養コンピュータ12の機能を利用して行動するウィルスの行動が加速され、そのウィルスに起因したウィルスメールがより早期にウィルス培養コンピュータ12からウィルス検知コンピュータ11に送出されるようになる。
【0075】
前述した電子メール中継システム100では、2つのメール中継サーバ20および30が設けられている。この2つのメール中継サーバ20及び30を統合することもできる。この場合、電子メール中継システム100は、図8に示すように構成することができる。
【0076】
図8において、この電子メール中継システム100は、前述したウィルス検知コンピュータ11及びウィルス培養コンピュータ12と共に単一のメールサーバ40を有する。このメールサーバ40は、インターネットに接続されると共に構内ネットワークに接続される。ウィルス検知コンピュータ11は、メールサーバ40にて受信されたインターネットからの電子メールのうち前述した手順に従ってウィルスメールでないとの判定がなされた電子メールをメールサーバ40に戻すことによって構内ネットワークに接続したユーザ端末に転送させる。また、ウィルス検知コンピュータ11は、メールサーバ40にて受信された構内ネットワークからの電子メールのうちウィルスメールでないとの判定がなされた電子メールをメールサーバ40に戻すことによってインターネットに向けて転送させる。
【0077】
前述した電子メール中継システム100では、ウィルス検知コンピュータ11がウィルス培養コンピュータ12から送出される電子メール(ウィルスメール)の添付ファイルからウィルスの特徴を抽出している。しかし、ウィルスの中には、例えば、「トロイの木馬」と呼ばれるような、電子メールを生成、送出するのではなく、外部と通信を行う種類のものもある。この種のウィルスを検知するために、ウィルス検知コンピュータ11及びウィルス培養コンピュータ12を以下のように構成することができる。
【0078】
ウィルス培養コンピュータ12は、前述したように自動電子メール受信プログラムを有し、通常のメールクライアント機能が動作する環境を提供すると共に、FTP(File Transfer Protocol)やHTTP(Hyper Text Transfer Protocol)等の各種通信プログラムを保有する。また、ウィルス検知コンピュータ11は、ウィルス培養コンピュータ12からある通信プロトコルに従って送信されたデータを受信して解析するパケット監視機能を有する。
【0079】
このような構成では、前述した例と同様にウィルス検知コンピュータ11から複製電子メールがウィルス培養コンピュータ12に送られると、その複製電子メールの添付ファイルがウィルス培養コンピュータ12の自動電子メール受信プログラムによって開かれる。そして、その添付ファイルに含まれた乗っ取りプログラムがウィルス培養コンピュータ12に寄生し、いずれウィルス培養コンピュータ12の各種通信プログラムを使って外部との通信を開始する。ウィルス検知コンピュータ11に内蔵されるパケット監視機能は、ウィルス培養コンピュータ12から受信したある通信プロトコルのデータを解析することにより、ウィルス培養コンピュータ12に乗っ取りプログラムが存在して外部とどのような形態の通信を行っているかを把握することができる。
【0080】
なお、前述した電子メール中継システム100におけるウィルス検知コンピュータユニット11及びウィルス培養コンピュータ12は、物理的に別体となり、相互が通信ネットワークにて接続される構成であったが、これらウィルス検知コンピュータユニット11及びウィルス培養コンピュータ12は、物理的に単一のコンピュータ装置において機能的に分離された構成とすることもできる。ただし、ウィルス培養コンピュータ12では、ウィルスが行動(感染、潜伏、発病)するので、そのウィルスの行動に起因してウィルス培養コンピュータ12に異常が発生した場合に、その異常がウィルス検知コンピュータ11に波及し難くできるという観点からは、前記ウィルス検知コンピュータ11と前記ウィルス培養コンピュータ12は物理的に別体とすることが好ましい。
【0081】
また、前記電子メール中継システム100は、広域ネットワークとなるインターネットとローカルなネットワークとなる構内ネットワークとの間に設けられたが、これに限定されず、ユーザ端末内におけるメールクライアント機能(メーラー)と通信回線接続端との間に設けることもできる。この場合、ウィルス検知コンピュータ11及びウィルス培養コンピュータ12はユーザ端末内に機能的に分離して構成され、メール中継サーバ20及び30としてユーザ端末内のハードディスクユニット(HDD)等が利用できる。
【0082】
【発明の効果】
以上、説明したように、請求項1乃至12に記載される本発明によれば、メール中継サーバにて受信された電子メールが第一のコンピュータユニットによりフィルタ情報に基づいてウィルスを含むものであると判定された場合、その電子メールが削除される一方、ウィルスを含まないものであると判定された場合、その電子メールがメール中継サーバから宛先に転送されるようになるので、ウィルスの宛先への転送が防止されると共に遅れなく電子メールを宛先に転送できるようになる。また、ウィルスを含まないものであるとの判定がなされた電子メールは、その複製電子メールが第一のコンピュータユニットから第二のコンピュータユニットに送られ、第二のコンピュータユニットにおいてその複製電子メールに対してウィルスの行動を誘起させる処理が行われる。そして、その処理によりウィルスの行動が開始されて何らかの情報が第二のコンピュータユニットから第一のコンピュータユニットに送られると、第一のコンピュータユニットにおいてその情報の特徴がウィルスの特徴として抽出され、その特徴によってウィルスの判定に用いられる前記フィルタ情報が更新される。これにより、ウィルスの宛先への転送及びその拡散を防止することができるようになる。
【0083】
また、請求項13乃至21に記載される本発明によれば、前記電子メール中継システムに適用することのできるウィルス検知システム、方法及びプログラムを提供することができる。
【図面の簡単な説明】
【図1】本発明の実施の一形態に係る電子メール中継システムの構成例を示す図である。
【図2】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでの処理手順(その1)を示すフローチャートである。
【図3】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでの処理手順(その2)を示すフローチャートである。
【図4】図1に示す電子メール中継システムにおけるウィルス培養コンピュータでの処理手順を示すフローチャートである。
【図5】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでのウィルス対策用フィルタ情報の更新処理に係る手順(その1)を示すフローチャートである。
【図6】図1に示す電子メール中継システムにおけるウィルス検知コンピュータでのウィルス対策用フィルタ情報の更新処理に係る手順(その2)を示すフローチャートである。
【図7】ウィルス培養コンピュータからウィルス検知コンピュータに擬似電子メールを転送させるための構成例を示す図である。
【図8】本発明の実施の一形態に係る電子メール中継システムの他の構成例を示す図である。
【符号の説明】
11 ウィルス検知コンピュータ
12 ウィルス培養コンピュータ
20、30 メール中継サーバ
40 メールサーバ
100 電子メール中継システム
120 自動電子メール送信プログラム
Claims (21)
- 宛先の指定された電子メールを受信し、その受信された電子メールを前記宛先に転送するメール中継サーバシステムと、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備え、
前記第一のコンピュータユニットは、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段と、
前記ウィルスメール判定手段にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手段と、
前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段と、
前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手段と、
前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段と、
前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段とを有し、
前記第二のコンピュータユニットは、前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手段を有することを特徴とする電子メール中継システム。 - 請求項1記載の電子メール中継システムにおいて、
前記第一のコンピュータユニットと第二のコンピュータユニットは物理的に別体となり、前記第一のコンピュータユニットと第二のコンピュータユニットとが所定の通信ネットワークにて接続されたことを特徴とする電子メール中継システム。 - 請求項1または2記載の電子メール中継システムにおいて、
前記メール中継サーバシステムは、前記第一のコンピュータユニットと結合された第一のメールサーバと第二のメールサーバとを有し、
前記第一のコンピュータユニットの前記ウィルスメール判定手段は、前記第一のメールサーバ及び第二のメールサーバのうちの一方のメールサーバにて受信された電子メールを取得し、その電子メールがウィルスを含むか否かを判定するようにし、
前記第一のコンピュータユニットの前記メール転送制御手段は、前記ウィルスを含まないとの判定のなされた電子メールを前記第一のメールサーバ及び第二のメールサーバのうちの他方のメールサーバから前記宛先に転送させるようにしたことを特徴とする電子メール中継システム。 - 請求項1乃至3のいずれかに記載の電子メール中継システムにおいて、
前記第一のコンピュータユニットの前記複製メール送信手段は、前記ウィルスを含まないとの判定のなされた電子メールのうち添付ファイル付き電子メールを選択的に複製するようにしたことを特徴とする電子メール中継システム。 - 請求項1乃至4のいずれかに記載の電子メール中継システムにおいて、
前記第二のコンピュータユニットの前記処理手段は、第一のコンピュータユニットからの前記複製電子メールに付された添付ファイルを実行させる添付ファイル実行手段を有することを特徴とする電子メール中継システム。 - 請求項1乃至5いずれかに記載の電子メール中継システムにおいて、
前記第一のコンピュータユニットの前記ウィルス特徴抽出手段は、前記第二のコンピュータユニットから送出される情報として添付ファイル付き電子メールを受信した際に、その添付ファイルと所定の基準ファイルとの差分情報をウィルスの特徴として抽出する差分情報抽出手段を有することを特徴とする電子メール中継システム。 - 請求項1乃至6のいずれかに記載の電子メール中継システムにおいて、
前記第二のコンピュータユニットは、第一のコンピュータユニットに擬似電子メールを送信する擬似メール送信手段を有することを特徴とする電子メール中継システム。 - 請求項7記載の電子メール中継システムにおいて、
前記第一のコンピュータユニットは、前記第二のコンピュータユニットからの前記擬似電子メールを削除する擬似メール削除手段を有することを特徴とする電子メール中継システム。 - 請求項1乃至8のいずれかに記載の電子メール中継システムにおいて、
前記第二のコンピュータユニットは、正規の時刻より進んだ時刻を表す計時手段を有することを特徴とする電子メール中継システム。 - 請求項1乃至8のいずれかに記載の電子メール中継システムにおいて、
前記第二のコンピュータユニットにて処理の同期に用いられるタイミングクロックを少なくとも第一のコンピュータユニットにて処理の同期に用いられるタイミングクロックより早い速度に設定したことを特徴とする電子メール中継システム。 - メール中継サーバシステムと、相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備えたシステムを用いた電子メール中継方法であって、
前記第一のコンピュータユニットにおいて前記メール中継サーバシステムに受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手順と、
前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手順と、
前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手順と、
前記第一のコンピュータユニットにおいて前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手順と、
前記第二のコンピュータユニットにおいて前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手順と、
前記第一のコンピュータユニットにおいて前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手順と、
前記第一のコンピュータユニットにおいて前記ウィルス特徴抽出手順にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手順とを有することを特徴とする電子メール中継方法。 - 請求項1記載の電子メール中継システムにおける前記第一のコンピュータユニットを、
前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段、
前記ウィルスメール判定手段にてウィルスを含むとの判定のなされた電子メールを削除するメールフィルタリング手段、
前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段、
前記ウィルスを含まないとの判定のなされた電子メールを前記メール中継サーバシステムから宛先に転送させるメール転送制御手段、
前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段、
前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段、
として機能させることを特徴とするプログラム。 - メール中継サーバシステムにて受信された電子メールからウィルスを検知するウィルス検知システムにおいて、
第一のコンピュータユニットと、該第一のコンピュータユニットと結合された第二のコンピュータユニットとを備え、
前記第一のコンピュータユニットは、前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段と、
前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段と、
前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段と、
前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段とを有し、
前記第二のコンピュータユニットは、前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手段を有することを特徴とするウィルス検知システム。 - 請求項13記載のウィルス検知システムにおいて、
前記第一のコンピュータユニットと第二のコンピュータユニットは物理的に別体となり、前記第一のコンピュータユニットと第二のコンピュータユニットとが所定のネットワークにて接続されたことを特徴とするウィルス検知システム。 - 請求項13または14記載のウィルス検知システムにおいて、
前記第一のコンピュータユニットの前記複製メール送信手段は、前記ウィルスを含まないとの判定のなされた電子メールのうち添付ファイル付き電子メールを選択的に複製するようにしたことを特徴とするウィルス検知システム。 - 請求項13乃至15のいずれかに記載のウィルス検知システムにおいて、
前記第二のコンピュータユニットの前記処理手段は、第一のコンピュータユニットからの前記複製電子メールに付された添付ファイルを実行させる添付ファイル実行手段を有することを特徴とするウィルス検知システム。 - 請求項13乃至16のいずれかに記載のウィルス検知システムにおいて、
前記第一のコンピュータユニットの前記ウィルス特徴抽出手段は、前記第二のコンピュータユニットから送出される情報として添付ファイル付き電子メールを受信した際に、その添付ファイルと所定の基準ファイルとの差分情報をウィルスの特徴として抽出する差分情報抽出手段を有することを特徴とするウィルス検知システム。 - 請求項13乃至17のいずれかに記載のウィルス検知システムにおいて、
前記第二のコンピュータユニットは、正規の時刻より進んだ時刻を表す計時手段を有することを特徴とするウィルス検知システム。 - 請求項13乃至17のいずれかに記載のウィルス検知システムにおいて、
前記第二のコンピュータユニットにて処理の同期に用いられるタイミングクロックを少なくとも第一のコンピュータユニットにて処理の同期に用いられるタイミングクロックより早い速度に設定したことを特徴とするウィルス検知システム。 - 相互に結合された第一のコンピュータユニットと第二のコンピュータユニットとを備え、メール中継サーバシステムにて受信された電子メールからウィルスを検知するためのウィルス検知方法であって、
前記第一のコンピュータユニットにおいて前記メール中継サーバシステムに受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手順と、
前記第一のコンピュータユニットにおいて前記ウィルスメール判定手順にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手順と、
前記第二のコンピュータユニットにおいて前記第一のコンピュータユニットからの前記複製電子メールに対してウィルスの行動を誘起させる処理を行う処理手順と、
前記第一のコンピュータユニットにおいて前記第二のコンピュータユニットから送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手順と、
前記第一のコンピュータユニットにおいて前記ウィルス特徴抽出手順にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手順とを有することを特徴とするウィルス検知方法。 - 請求項13記載のウィルス検知システムにおける前記第一のコンピュータユニットを、
前記メール中継サーバシステムにて受信された電子メールを取得し、ウィルスの特徴を表すフィルタ情報に基づいてその電子メールがウィルスを含むか否かを判定するウィルスメール判定手段、
前記ウィルスメール判定手段にてウィルスを含まないとの判定のなされた電子メールを複製し、その複製電子メールを前記第二のコンピュータユニットに送信する複製メール送信手段、
前記第二のコンピュータユニットから当該第一のコンピュータユニットに送出される情報の特徴をウィルスの特徴として抽出するウィルス特徴抽出手段、
前記ウィルス特徴抽出手段にて抽出された特徴に基づいて前記フィルタ情報を更新するフィルタ更新手段、
として機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002277376A JP3991074B2 (ja) | 2002-09-24 | 2002-09-24 | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002277376A JP3991074B2 (ja) | 2002-09-24 | 2002-09-24 | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004120082A JP2004120082A (ja) | 2004-04-15 |
| JP3991074B2 true JP3991074B2 (ja) | 2007-10-17 |
Family
ID=32272993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002277376A Expired - Lifetime JP3991074B2 (ja) | 2002-09-24 | 2002-09-24 | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3991074B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007053699A (ja) * | 2005-08-19 | 2007-03-01 | Brother Ind Ltd | メール受信システム及びインターネットファクシミリ |
| US8214977B2 (en) * | 2008-05-21 | 2012-07-10 | Symantec Corporation | Centralized scanner database with optimal definition distribution using network queries |
| JP2013105366A (ja) * | 2011-11-15 | 2013-05-30 | Hitachi Ltd | プログラム解析システム及び方法 |
| JP2013171556A (ja) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | プログラム解析システム及び方法 |
| CN104363256B (zh) * | 2014-10-11 | 2019-01-29 | 北京中创腾锐技术有限公司 | 一种手机病毒的识别和控制方法、设备与系统 |
-
2002
- 2002-09-24 JP JP2002277376A patent/JP3991074B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004120082A (ja) | 2004-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833417B (zh) | 基于拟态防御的邮件系统 | |
| JP5118020B2 (ja) | 電子メッセージ中での脅威の識別 | |
| US9237163B2 (en) | Managing infectious forwarded messages | |
| US7237008B1 (en) | Detecting malware carried by an e-mail message | |
| US7979691B2 (en) | Computer virus protection | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| KR101745624B1 (ko) | 실시간 스팸 탐색 시스템 | |
| AU2006100099A4 (en) | Automated Threat Analysis System | |
| US20020091940A1 (en) | E-mail user behavior modification system and mechanism for computer virus avoidance | |
| US20060184632A1 (en) | Apparatus and method for analyzing and filtering email and for providing web related services | |
| US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
| US20110078795A1 (en) | Threat protection network | |
| US8775521B2 (en) | Method and apparatus for detecting zombie-generated spam | |
| US20040210769A1 (en) | Apparatus, methods and articles of manufacture for computer virus testing | |
| CN102810138A (zh) | 一种用户端文件的修复方法和系统 | |
| JP2008210203A (ja) | 電子メール処理方法および電子メール処理システム | |
| CN112511517B (zh) | 一种邮件检测方法、装置、设备及介质 | |
| JP3991074B2 (ja) | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム | |
| JP2007018182A (ja) | ウイルス検査装置及びウイルス検査システム | |
| CN105404824B (zh) | 异步数据缓加密系统及方法 | |
| JP2006517310A (ja) | 組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム | |
| Sharma | An analytical survey of recent worm attacks | |
| US11126722B1 (en) | Replacement of e-mail attachment with URL | |
| JP7206980B2 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
| CN100556041C (zh) | 电子邮件异常特征处理系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20050829 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050831 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051125 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070427 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070515 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070606 |
|
| R155 | Notification before disposition of declining of application |
Free format text: JAPANESE INTERMEDIATE CODE: R155 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3991074 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| EXPY | Cancellation because of completion of term |