JP4077336B2 - 異常検出方法、異常検出プログラム、サーバ、コンピュータ - Google Patents
異常検出方法、異常検出プログラム、サーバ、コンピュータ Download PDFInfo
- Publication number
- JP4077336B2 JP4077336B2 JP2003049255A JP2003049255A JP4077336B2 JP 4077336 B2 JP4077336 B2 JP 4077336B2 JP 2003049255 A JP2003049255 A JP 2003049255A JP 2003049255 A JP2003049255 A JP 2003049255A JP 4077336 B2 JP4077336 B2 JP 4077336B2
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- computer
- server
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
Description
【発明の属する技術分野】
本発明は、異常な電子メールの送信を検出する技術に関する。特に、メールサーバを介して電子メールの送受信を行う際にコンピュータウイルスの検出を行う技術に関する。
【0002】
【従来の技術】
コンピュータウイルスの感染源の大半は電子メールであるといわれている。一般的なウイルス対策として、LANのようなネットワーク全体を防御するためには、ゲートウェイ用アンチウイルスサーバが利用されている。また、端末単位のウイルス対策としては、アンチウイルスソフトをインストールすることが行われている。
【0003】
アンチウイルスサーバやアンチウイルスソフトは、予め既知のコンピュータウイルスに関する情報(例えば、パターンファイル)を有している。
【0004】
アンチウイルスサーバやアンチウイルスソフトでは、パターンファイルと、送信されたメールやメールに添付されたデータとを比較することによりコンピュータウイルスを検出していた。
【0005】
【特許文献1】
特開2002−196942号公報
【0006】
【発明が解決しようとする課題】
ところで、コンピュータウイルスには、ユーザ端末にインストールされているメールソフトのメールアドレス帳に登録してあるメールアドレス宛にコンピュータウイルス自身と同型のウイルスをメールとして送信するウイルスがある。
【0007】
このようなコンピュータウイルスは、メール受信者のコンピュータに感染するだけでなくメールアドレス帳にある他のユーザのコンピュータにまでに感染する可能性がある。その場合、メール受信者がメールの発信者となるため、メール受信者までが加害者になりかねない。
【0008】
しかし、従来のアンチウイルスサーバやアンチウイルスソフトは、頻繁にパターンファイルをアップデートしなければならなかった。
【0009】
そのため、常に最新のパターンファイルにアップデートしておかなければ、パターンファイルが対応しているコンピュータウイルスしか検出することができなかった。
【0010】
また、従来のアンチウイルスサーバやアンチウイルスソフトは、未知のコンピュータウイルスを検出できなかった。そのため、コンピュータウイルスの被害が拡大し、それが判明した後その対策がとられることが多かった。
【0011】
そこで、本発明は、上記事項に鑑みてなされたものであり、ウイルスやその他に起因するコンピュータの動作異常を検出する異常検出方法、異常検出プログラム、サーバ、コンピュータを提供することを課題とする。
【0012】
また、本発明は、パターンファイルの更新を要することなく、未知のコンピュータウイルスの手がかりを発見する異常検出方法、異常検出プログラム、サーバ、コンピュータを提供することを課題とする。
【0013】
【課題を解決するための手段】
本発明は、前記課題を解決する為に以下の手段を採用した。すなわち、本発明の異常検出方法は、電子メールの送信を依頼するコンピュータと該コンピュータからの依頼に応じて電子メールを送信するサーバとからなる電子メールシステムで実行される前記コンピュータの動作異常を検出する方法であり、前記コンピュータで動作するメールソフトによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、前記サーバによる電子メールの送信履歴情報を参照するステップと、前記依頼履歴情報と前記送信履歴情報とを比較するステップと、前記比較結果に基づいて前記コンピュータの動作異常を検出するステップとからなることを特徴とする。
【0014】
コンピュータには、電子メールの送受信が可能なパーソナルコンピュータや携帯端末等が含まれる。
【0015】
サーバは、インターネットへの接続サービスを行うプロバイダであると好ましいがこれに限るものではない。サーバは、依頼履歴情報を参照するため、上記コンピュータから依頼履歴情報を送信させるようにしてもよい。また、サーバがコンピュータの依頼履歴をネットワークを介して参照できるようにしてもよい。
【0016】
加えて、本発明の異常検出方法は、コンピュータの動作異常が検出されたことをそのコンピュータに報知するステップを付加すると好ましい。報知方法には、コンピュータの表示手段等にメッセージを表示する方法、或いはコンピュータ所有者(ユーザ)に電子メールを送信する方法等が好適に行われる。その他の方法として、警戒音を鳴らすようにしてもよい。
【0017】
これによって、コンピュータのユーザは、コンピュータの異常を迅速に把握することができるため、被害が拡大するのを防ぐことができる。
【0018】
さらに、本発明の依頼履歴情報及び/又は送信履歴情報は、コンピュータから送信された電子メールの送信先のアドレスやユーザ名等の情報、送信経路に関する情報、電子メールの送信元のアドレスやユーザ名等の情報、電子メール本文の内容、電子メールのタイトル、添付ファイルの有無、添付ファイル名等の情報を含むと好ましい。
【0019】
また、本発明の依頼履歴情報には、例えば、コンピュータから送信を依頼した日時(送信日時)が含まれ、本発明の送信履歴情報には、サーバが電子メールを受け付けたときの日時及び受け付けた電子メールを送信先に送信した日時を含むようにしてもよい。このように、依頼履歴情報と送信履歴情報との比較結果からウイルスの存在の有無を検出する為、ウイルス自身がメール送信機能を有するウイルスの検出が可能になる。
【0020】
また、本発明の異常検出方法は、上記した履歴情報の比較をユーザ端末側で行っても良いし、履歴情報の比較をサーバとユーザとは異なる別の端末で行っても良い。
【0021】
また、本発明の異常検出方法は、ウイルスのパターンからウイルスを検出するのではなく、メールの送信履歴やメールソフトの動作履歴等の依頼履歴情報からウイルスを検出するため、最新のウイルス定義情報を更新していないコンピュータであっても、ウイルスを検出することができる。つまり、本発明によれば、未知のウイルスも検出することができ、ウイルスの蔓延を未然に防止することができる。
【0022】
また、本発明の異常検出方法は、ウイルスによる動作状態の異常を検出することに限らず、サーバ又はコンピュータの何らかの故障による動作異常を検出することにも適用することができる。
【0023】
さらに、本発明の異常検出方法は、コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、最新に送信依頼された電子メールを含む送信履歴情報を送信確認条件に従って確認するステップとを含んでもよい。そして、前記ステップによる確認結果が所定の基準を満たした場合に、送信履歴情報と依頼履歴情報とを比較するようにしてもよい。
【0024】
このように、コンピュータが蓄積した依頼履歴情報とサーバが蓄積した送信履歴情報の比較ステップに、サーバ自身が蓄積した送信履歴情報と送信確認条件とを比較するステップを付加することにより、ウイルス存在の可能性を高精度で検出することが可能となる。
【0025】
さらに、本発明は、電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバがコンピュータの動作異常を検出するプログラムであってもよい。本発明のプログラムは、前記サーバに、前記コンピュータからの電子メールの送信依頼に基づき送信された電子メールに係る送信履歴情報を参照するステップと、前記コンピュータで動作するメールソフトによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、前記送信履歴情報と前記依頼履歴情報とを比較するステップと、前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、を実行させることを特徴とする。
【0026】
このプログラムは、サーバ,コンピュータ,それ以外の端末の何れかのハードディスクにインストールすることにより実行可能となる。例えば、本発明の異常検出プログラムをコンピュータ側にインストールすることにより、前記コンピュータに、前記コンピュータで動作するメールソフトによって前記サーバに電子メールの送信を依頼した電子メールに係る依頼履歴情報を参照するステップと、前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を参照するステップと、前記依頼履歴情報と前記送信履歴情報とを比較するステップと、前記比較結果に基づいて動作異常を検出するステップと、を実行させることができる。
【0027】
コンピュータのハードディスクに本発明のプログラムをインストールすることにより、コンピュータ側で依頼履歴情報と送信履歴情報との比較処理を行うことができる。そのため、サーバの処理に頼ることなく、ユーザの好きなときにウイルス存在の有無をチェックすることができる。また、本発明の異常検出方法は、電子メールの送信時だけでなく定期的にウイルス存在の有無をチェックするようにしてもよい。
【0028】
また、本発明は、電子メールの送信を依頼するコンピュータに電子メール送信サービスを提供するサーバであってもよい。
本発明のサーバは、前記コンピュータから電子メールの送信依頼を受け付ける受付手段と、前記送信依頼を受けた電子メールを送信する送信手段と、送信した電子メールに係る送信履歴情報を蓄積する蓄積手段と、前記コンピュータに蓄積されている、該コンピュータで動作するメールソフトによる電子メールの送信依頼履歴に係る依頼履歴情報を前記コンピュータから参照する履歴参照手段と、前記送信履歴情報と前記依頼履歴情報とを比較する比較手段と、前記比較結果に基づいて前記コンピュータの動作異常を検出する検出手段と、を備えるとを備えることを特徴とする。
【0029】
さらに、本発明は、電子メール送信サービスを提供するサーバに電子メールの送信を依頼するコンピュータであってもよい。
本発明のコンピュータは、前記コンピュータで動作するメールソフトによって前記サーバに電子メールの送信を依頼する依頼手段と、送信を依頼した電子メールに係る依頼履歴情報を蓄積する蓄積手段と、前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を前記サーバから参照するサーバ履歴参照手段と、前記依頼履歴情報と前記送信履歴情報とを比較する比較手段と、前記比較結果に基づいて動作異常を検出する検出手段とを備えることを特徴とする。
【0030】
【発明の実施の形態】
以下、本実施形態における異常検出システム及び異常検出方法について説明する。
【0031】
<第一の実施の形態>
(発明の概要)
図1に、本実施形態におけるメール送信システム1の概念図を示す。本実施形態における電子メール(以下、メールと称す)2の送信は、ユーザ端末(以下、メールクライアントと称す)3のメールソフト4を利用して行われる。
【0032】
このとき、メールクライアント3は、送信したメール2に関する様々な履歴データ(依頼履歴情報に相当、以下依頼履歴データと称す)をメールクライアント3内に蓄積する。依頼履歴データとしては、送信先のアドレス、送信日時、送信したメールのタイトルや添付ファイルの有無等を例示できる。
【0033】
メールクライアント3から送信されたメール2は、サーバ(以下、メールサーバと称す)5を中継し送信先に配信される。メールサーバ5は、送信依頼を受けたメール2を送信先の端末に送信する。メールサーバ5は、このメール2を送信したときに、前記メール2に関する送信履歴データ(送信履歴情報に相当する)をメールサーバ5内のデータベースに蓄積する
【0034】
このとき、メールクライアント3が蓄積した依頼履歴データと、メールサーバ5が蓄積した送信履歴データとは同一のメールに関する情報を含む。本実施形態では、このような構成によりメールの送信が行われる。
【0035】
そして、本実施形態の異常検出方法では、上述したようにメールの送信が行われた時に、ウイルスがそのメールを送信した事実はあるかを検出する。
【0036】
図2に本実施形態のウイルスが独自にメールを送信した場合の概念図を示す。本実施形態のウイルスはメールを独自に送信する機能(メールエンジン)を有しているとする。
【0037】
上述したように、メールソフト4によりメールを送信するとそのメールの依頼履歴データがメールクライアント3に蓄積される。一方、ウイルスが独自のメールエンジンでメールを送信した場合、メールソフト4を利用せずにメールが送信されている為、送信されたメールの依頼履歴データはクライアント端末3には蓄積されない。
【0038】
しかし、ウイルスによって送信依頼されたメールもメールサーバ5を経由して送信先に送信される。そのため、ウイルスによって送信を依頼されたメールはメールサーバ5を一度経由する。ここでメールサーバ5は、ウイルスによって送信されたメールを送信先に送信したときに、そのメールの送信履歴データを蓄積する。
【0039】
そして、メールサーバ5は、メールクライアント3に記録された依頼履歴データと、メールサーバ5に記録された送信履歴データとを比較する。これによって、メールクライアント3の依頼履歴データにないメールの送信履歴データがメールサーバ5にある場合、このメールを送信したメールクライアント3はウイルスに感染している可能性が高いということがわかる。
【0040】
次に、本実施形態におけるメールクライアント3とメールサーバ5とのシステム構成を説明する。
【0041】
(システム構成)
図3に本実施形態におけるメールクライアント3とメールサーバ5のシステム構成図を示す。
【0042】
まず、本実施形態のメールクライアント3について説明する。メールクライアント3は、メールクライアント3全体の制御を行うCPU(Central Processing Unit)と、CPUにて実行される基本プログラムを格納したROM(Read Only Memory)と、CPUで実行されるオペレーティングシステム,各種アプリケーション,各種データを格納したHD(Hard Disk)と、CPUで実行されるプログラムやCPUでの処理データを一時的に記憶するRAM(Random Access Memory)と、ネットワークを介してデータの送受信を行う為の通信インターフェースと、ユーザが外部から各種データを入力するための入力インターフェースとを有する既存のパーソナルコンピュータであるとする(何れも図示せず)。
【0043】
本実施形態のメールクライアント3には、メールソフト4がインストールされている。このメールソフト4は、メールクライアント3から本アプリケーションを操作するためのユーザインターフェース6と、メールを送信する為のメール送信エンジン7aとを有している。
【0044】
また、メールクライアント3のHDには、複数の依頼履歴データのファイルが格納されている。これらの依頼履歴データファイルには、メールの送信条件データが格納された送信条件データファイル8aと、メールソフト4の動作履歴が格納された動作履歴データファイル9と、メールを送信したときの依頼履歴データファイル10aとがある。これらのファイルはHD内に構築されている。尚、これらの履歴データについては後述する。
【0045】
さらに、メールソフト4は、比較必要条件設定プログラム11を有している。比較必要条件設定プログラム11は、メールの送信に関する条件パラメータを予め設定し、送信条件データファイル8aに格納する為のプログラムである。尚、比較必要条件設定プログラム11により設定する各種データについては後述する。
【0046】
また、メールソフト4は、設定した条件と実際にファイルに格納したデータとの比較を行う比較必要条件チェックプログラム12aを有している。
【0047】
次に、本実施形態のメールサーバ5について説明する。メールサーバ5も、メールクライアント3と同様に、メールサーバ5全体の制御を行うCPUと、CPUで実行される基本プログラムを格納するROMと、CPUで実行されるオペレーティングシステム,各種アプリケーション,各種データを格納するHDと、CPUでの処理内容を一時的に記録するRAMと、ネットワークを介してデータの送受信を行う為の通信インターフェースとを備える既存のコンピュータであるとする(何れも図示せず)。
【0048】
さらに、メールサーバ5はメール送信エンジン7bを有している。加えて、メールサーバ5のHDには、メールクライアント3から送信された送信条件データを格納する送信条件データファイル8bと、メールクライアント3から送信依頼されたメールを送信先に送信したときの送信履歴データを格納する送信履歴データファイル10bと、比較必要条件チェックプログラム12bとを省略する。
【0049】
その他に、本実施形態のメールサーバ5のHDには、メールクライアント3に格納されている依頼履歴データとメールサーバ5に格納された送信履歴データとを比較する履歴チェックプログラム13がインストールされている。
【0050】
また、本実施の形態のメールサーバ5及びメールクライアント3は、例えば、電子メールの送信用の通信プロトコルとしてSMTP(Simple MailTeansfer Protocol)、電子メールの受信用の通信プロトコルとしてPOP(Post Office Protocol)を利用する。尚、既知の他のプロトコルを利用するものであっても良いことはいうまでもない。
【0051】
以上が、本実施形態におけるメールクライアント3及びメールサーバ5のシステム構成である。
【0052】
(データ構造)
次に、メールクライアント3の依頼履歴データファイル10aに格納する依頼履歴データについて説明する。
【0053】
図4にメールクライアント3に蓄積される依頼履歴データの一覧を示す。メールクライアント3に蓄積される依頼履歴データは、メールサーバ5に送信したメール全体の履歴に関するデータと、各メールの履歴に関するデータとに分類される。
【0054】
メール全体の依頼履歴データには、メールサーバ5に送信したメールの総数と、最も古いメールの送信日時と、最も新しいメールの送信日時と、最新のウイルス定義情報(パターンファイル)を受信した日時が含まれる。
【0055】
各メールの依頼履歴データには、送信したメールの題名と、メールの送信をした送信元のアドレスと、メール送信先のアドレスと、添付ファイルの有無と、添付ファイル名と、送信したメールの本文と、送信日時と、送信したメールのヘッダーとが含まれる。
【0056】
次に、メールサーバ5の送信履歴データファイル10bに格納する送信履歴データについて説明する。
【0057】
図5にメールサーバ5に蓄積される送信履歴データの一覧を示す。メールサーバ5に蓄積される送信履歴データは、メールクライアント3から送信依頼され、送信したメール全体に関する送信履歴データと、各メールに関する送信履歴データとに分類される。
【0058】
メール全体に関する送信履歴データには、メールクライアント3から送信依頼されて送信したメールの総数と、最も古いメールの送信日時と、最も新しいメールの送信日時とが含まれている。
【0059】
各メールの送信履歴データには、送信したメールの題名と、メールの送信元のアドレスと、メールの送信先のアドレスと、添付ファイルの有無と、添付ファイル名と、メールの本文と、メールクライアント3からメールの送信依頼を受け付けた受付日時(受信時間)と、メールを送信先に送信した送信日時と、メールのヘッダーと、メールクライアント3からの送信経路情報とが含まれる。
【0060】
以上が、メールクライアント3及びメールサーバ5で蓄積される依頼履歴データ及び履歴データの説明である。比較必要条件設定プログラム11は、上述した依頼履歴データと送信履歴データとを比較する(以下、「履歴を比較する」という)時の条件を設定するプログラムである。
【0061】
そこで次に、比較必要条件設定プログラム11による条件の設定例の説明を行う。
【0062】
図6に比較必要条件設定プログラム11による設定内容の一覧を示す。まず、この一覧の項目の説明をする。
【0063】
図6中L1に示す項目は、「前回履歴を比較した日時」の項目である。前回履歴比較を行った日時は、前回履歴比較プログラムにより依頼履歴データと送信履歴データの比較が行われた際に記録されることとする。
【0064】
図6中L2に示す項目は、「前回の比較日時からどれだけ経過したら比較するか」の項目である。この項目は、L1の項目中の日時を基点としユーザにより設定することができる。例えば、前回履歴を比較した日時から二週間後毎に履歴の比較を行うというように、ユーザは条件を設定することができる。
【0065】
図6中L3に示す項目は、「最新ウイルス情報を受け取ってから比較をしたか」という項目である。つまり、最新ウイルス情報を受け取った日時の方がL1の項目中の日時よりも前の日時である場合、最新ウイルス情報を受け取ってから履歴の比較が行われたということになる。
【0066】
図6中L4に示す項目は、「一定時間内のメール送信数:クライアントが許可している数」という項目である。この項目は、メールクライアント3が一定時間に送信されるメールの上限数を設定する項目である。
【0067】
図6中L5に示す項目は、「一定時間内のメール送信数:今までの最大送信数」という項目である。この項目は、メールクライアント3から一定時間内にメールが送信される度に記録されることとする。そして、これまでの最大送信数を超える送信数がカウントされると最大送信数を更新するようにする。
【0068】
図6中L6に示す項目は、「同じ内容のメール送信数:メールクライアント3が許可している数」という項目である。これは、メールクライアント3が送信する同報メールの送信数の上限を設定する為の項目である。
【0069】
図6中L7に示す項目は、「同じ内容のメール送信数:今までの最大送信数」という項目である。この項目の最大送信数は、これまでの最大送信数を超える送信数がカウントされると最大送信数を更新するようにすると好ましい。
【0070】
図3に示すように、上述した設定内容は、送信条件データとしてメールクライアント3の送信条件データファイル8aに蓄積される。また、後述するが送信条件データは、メールクライアント3からメールサーバ5に送信される。そのため、送信条件データはメールサーバ5の送信条件データファイル8bにも蓄積される。
【0071】
次に、メールクライアント3の動作履歴データファイル9に格納される、メールソフト4の動作履歴データについて説明する。
【0072】
図7に動作履歴データの一覧を示す。動作履歴データには、メールソフト4を利用して送信したメール全体に関する履歴と、メールソフト4の起動に関する履歴と、メールの送信先/送信元に関する履歴と、メールサーバ5に送信した各々のメールに関する履歴とが含まれる。
【0073】
メールソフト4を利用して送信したメール全体に関する履歴には、動作記録を取得したメールの総数と、最も古いメールの送信を依頼したときのメールソフト4の動作日時と、最新のメールの送信を依頼したときのメールソフト4の動作日時とが含まれている。
【0074】
メールソフト4の起動に関する履歴には、メールソフト4の起動日時と、メールソフト4の起動終了日時と、メールソフト4起動中に送信を行ったメール数とを含む。
【0075】
メールの送信先に関する履歴には、送信先のアドレスと、その送信先に今まで送信されたメールの総数と、その送信先に前回メールを送信した日時とを含む。尚、メールの送信元に関する履歴には、メールクライアント3が使用しているメールソフトの種類やメールアドレス等が含まれる。
【0076】
メールサーバ5に送信を依頼した各々のメールに関する履歴には、送信を依頼したメールの題名と、題名の入力方法と、送信元のメールアドレスと、送信先のメールアドレスと、送信先の選択方法のデータが含まれる。題名の入力方法は、ユーザが任意の題名をキーボード等から直接入力した場合と、返信時に自動的に付与される「Re+受信したメールの題名」が題名となり題名を特別に入力する必要がない場合とにより異なる。また、送信先の選択方法には、ユーザがキーボード等の入力インターフェースにより選択先のアドレスを直接入力する方法と、ユーザがマウス等により選択先のアドレスをメールソフト4に搭載されたアドレス帳から選択する方法とがある。
【0077】
また、メールサーバ5に送信を依頼した各々のメールに関する履歴には、メールの作成方法と、添付ファイルの有無と、添付ファイル名と、添付ファイルの選択方法とが含まれている。メールの作成方法とは、新規作成,返信,転送といったメールの種類のことである。また、添付ファイル名は、カンマやセミコロン等で区切る等して複数名記録できると好ましい。
【0078】
その他に、メールクライアント3がメールサーバ5に送信を依頼した各々のメールに関する履歴には、メール本文の内容と、本文入力の有無と、メール送信をした日時と、送信を決定する処理の有無と、送信を決定する処理が行われた画面/部品名の履歴と、メール送信後の送信経過ダイアログの表示の有無とを含む。
【0079】
本文入力の有無とは、ユーザがキーボード等の入力インターフェースから直接本文を入力した場合は本文入力有り、転送・コピー等により本文を作成した場合は本文入力無しということを意味する。
【0080】
送信決定処理の有無とは、メールの送信を決定する為の処理が有るか否かを意味する。この、送信決定処理は、「メールの送信」というようなアイコンやメニューから実行する等の処理方法を例示できる。
【0081】
送信を決定する処理が行われた画面/部品名の履歴とは、送信決定処理が画面に設けられたアイコン(ボタン)から行われたか、メニュー画面から行われたかという内容の履歴である。
【0082】
以上が、メールクライアント3の動作履歴データファイル9内に蓄積される動作履歴データの説明である。
【0083】
(異常検出処理手順)
以下、本実施形態の異常検出手順を説明する。
【0084】
図8に本実施形態における異常検出手順のフローチャートを示す。
【0085】
まず、メールクライアント3のCPUは比較必要条件設定プログラム11を実行する。ここで、ユーザは、比較必要条件設定プログラム11に従い送信条件データの設定を行う(S01)。この設定は、図5に示す設定内容を設定する。例えば、「前回の比較日時からどれだけ経過したら比較するか」の項目を二週間、「一定時間のメール送信数」の項目を50通、「同じ内容のメール送信数」の項目を10通と設定する。
【0086】
そして、ユーザにより設定された送信条件データは、メールクライアント3の送信条件データファイル8aに蓄積される。
【0087】
比較必要条件設定プログラム11は、送信条件データの設定完了を受けて、ユーザにより入力された送信条件データをメールサーバ5に送信する。送信条件データの送信完了を受けて比較必要条件設定プログラム11は終了する。
【0088】
設定内容を受信したメールサーバ5は、設定内容を送信条件データファイル8bに保存する(S02)。
【0089】
一方、メールクライアント3は、ユーザによるメールの送信操作を検出すると、そのメールの送信をメールサーバ5に送信を依頼する(S03)。
【0090】
メールの送信依頼に伴い、メールクライアント3のCPUは、当該メールの依頼履歴データを作成し、所定のファイルに蓄積する(S04)。ここで作成された依頼履歴データは、前述した図4に示す依頼履歴データと図7に示す動作履歴データとを含む。
【0091】
依頼履歴データの蓄積が完了すると、メールクライアント3のCPUは比較必要条件チェックプログラム12aを実行する。比較必要条件チェックプログラム12aは、比較必要条件設定プログラム11により設定された図6に示す送信条件データと、蓄積した依頼履歴データとの比較処理を行う(S05)。
【0092】
すなわち、比較必要条件チェックプログラム12aは、送信条件データと送信したメールに関する依頼履歴データに基づき、前回の比較日時から所定の日数(例えば、二週間)が経過しているか否か、最新ウイルス情報を受けとってから比較処理を行ったか否か、一定時間内のメール送信数は設定値(例えば、50通)を超えているか否か、同じ内容のメール送信数が設定値(例えば、10通)を超えているか否かという項目について比較処理を行う。
【0093】
ここで、図4に示す依頼履歴データが図6に示す送信条件データを満たした場合、比較必要条件チェックプログラム12aは、さらに詳細なチェックを実行する。すなわち、比較必要条件チェックプログラム12aは、メールクライアント3が蓄積した依頼履歴データとメールサーバ5が蓄積した送信履歴データとを比較する。尚、比較必要条件チェックプログラム12aは、上述した項目全てを満たさなければならないという判断を行ってもよいが、重要度の高い項目を満たしていなければ問題が無いという判断を行うようにしてもよい。例えば、一定時間内のメール送信数が設定数を超えている場合や、同一内容のメールが設定数を送信されている場合などはウイルスによるメールの送信である可能性が高いため重要度が高い項目といえる。
【0094】
ステップ05で比較必要条件チェックプログラム12aが、図4に示す依頼履歴データが図6に示す送信条件データを満たしていないと判断した場合、メールサーバ5から送信履歴データの要求の有無を確認する(S06)。
【0095】
ここで、比較必要条件チェックプログラム12aが、メールサーバ5から依頼履歴データの要求は無いと判断した場合、ステップ03に戻り同様の処理を繰り返す。一方、比較必要条件チェックプログラム12aが、メールサーバ5から依頼履歴データの要求があると判断した場合は、依頼履歴データをメールサーバ5に送信する(S07)。
【0096】
一方、比較必要条件プログラム12aが、依頼履歴データは送信条件データを満たしていると判断した場合、比較必要条件チェックプログラム12aは蓄積した依頼履歴データをメールサーバ5に送信する(S07)。
【0097】
また、ステップ02で、メールクライアント3からメール送信依頼を受けたメールサーバ5は、メールクライアント3から送信依頼されたメールを受理する(S08)。メールサーバ5は、送信依頼のあったメールの受理を確認した後、送信先へメールを送信する。
【0098】
メールサーバ5のCPUは、メールの送信と共に、送信したメールに関する送信履歴データを所定のファイルに蓄積する(S09)。尚、ここでの送信履歴データとは、前述した図5に示す送信履歴データのことである。
【0099】
メールサーバ5のCPUは送信履歴データを蓄積したことを受けて、比較必要条件チェックプログラム12bを実行する(S10)。比較必要条件チェックプログラム12bは、メールサーバ5が蓄積した送信履歴データとステップ02でメールクライアント3から送信された送信条件データとを比較する。尚、比較項目についてはメールクライアント3における比較必要条件チェックプログラム12aの比較項目と同じであるため説明を省略する。
【0100】
ステップ10で比較必要条件チェックプログラム12bが送信履歴データが送信条件データを満たしていないと判断した場合、ステップ08に戻り同様の処理を繰り返す。
【0101】
一方、ステップ10で送信履歴データが送信条件データを満たしたと判断した場合、比較必要条件チェックプログラム12bはメールクライアント3に依頼履歴データの送信要求処理を行う(S11)。
【0102】
メールクライアント3から送信された依頼履歴データを受信したことを受けて、メールサーバ5のCPUは、履歴チェックプログラム13を実行する(S12)。
【0103】
履歴チェックプログラム13は、図4に示すメールクライアント3が蓄積した依頼履歴データと図5に示すメールサーバ5が蓄積した送信履歴データとを比較する。
【0104】
以下の比較例では、メールサーバがメールクライアントから送信依頼を受けて送信したメールは、メールサーバ5が送信依頼を受けた日時(受付日時)の前後から所定時間以内(例えば10分間)にメールクライアント3が送信依頼したメールと同一であることを前提とする。尚、受付日時に代えて送信日時を用いてもよい。
【0105】
また、メールクライアントが送信依頼したメールと、メールサーバが送信依頼を受けたメールが同一か否かは、図4及び図5に示す送信元(ホスト名、IPアドレス等)から判定する。尚、以下に示す比較処理を全て実施することで異常なメール送信を検出する割合が高くなるが、必ずしもこれに限定されるものではなく、適宜選択又は組み合わせて実施するようにすればよい。
【0106】
さらに、メールクライアントが送信依頼したメールと、メールサーバが送信依頼を受けたメールが同一か否かは、最新の依頼履歴データと最新の送信履歴データとを比較して判定してもよい。
【0107】
(比較例1)
履歴チェックプログラム13は、メールサーバ5がメールクライアント3からの依頼により蓄積した送信履歴データ中の最も新しいメールの送信日時と、メールクライアント3が蓄積した依頼履歴データ中の最も新しいメールの送信日時とを比較する。依頼履歴データ中に、上記送信日時に近い時間帯のメール送信がない場合、メールクライアント3はメールサーバ5が送信依頼を受けたメールを送信依頼していないことになる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスが送信したメールである可能性が高いということなる。
【0108】
(比較例2)
履歴チェックプログラム13は、メールサーバ5がメールクライアント3からの依頼により蓄積した最新の送信履歴データ中のメールの題名と、メールクライアント3が蓄積した依頼履歴データ中のメールの題名とを比較する。依頼履歴中にメールサーバ5が送信したメールの題名がない場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したものではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスが送信したメールである可能性が高いということになる。
【0109】
(比較例3)
比較履歴チェックプログラム13は、メールサーバ5が蓄積した送信履歴データ中のメールの総数(メールクライアント3から送信依頼されて送信したメールの総数)と、メールクライアント3が蓄積した依頼履歴データ中のメールの総数(サーバに送信依頼したメールの総数)とを比較する。双方のメールの総数は異なる場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したものではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメール中にはウイルスが独自の送信エンジンを用いてメールを送信している可能性が高いと考えられる。
【0110】
(比較例4)
比較履歴チェックプログラム13は、メールクライアント3からの最新の送信依頼メールに関する送信履歴データ中の送信元に関するデータと、メールクライアント3が蓄積した依頼履歴データ中の送信元に関するデータとを比較する。尚、送信元に関するデータは、送信元のメールアドレス、ユーザ名等ユーザを特定する各種情報を含む。双方の送信元のメールアドレスは異なる場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したものではないことがわかる。つまり、上記最新の送信依頼メールは、ウイルスが独自の送信エンジンを用いて送信したメールである可能性が高いと考えられる。
【0111】
(比較例5)
比較履歴チェックプログラム13は、メールクライアント3からの依頼により蓄積した送信履歴データ中の最新メールの本文データと、メールクライアント3が蓄積した依頼履歴データ中の最新メールの本文データとを比較する。メールサーバ5に蓄積された本文データがメールクライアント3に蓄積された本文データにない場合或いは本文データの内容が異なる場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したものではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスが独自の送信エンジンを用いて送信したものである可能性が高いと考えられる。尚、メールの本文が長文の場合、メールの本文データを依頼履歴データ及び送信履歴データとは別のデータとして管理しても良い。
【0112】
(比較例6)
比較履歴チェックプログラム13は、メールサーバ5が蓄積した送信履歴データ中のメールクライアント3から送信依頼を受けた最新メールのヘッダーと、メールクライアント3が蓄積した依頼履歴データ中の最新のメールのヘッダーとを比較する。これによって、一方のヘッダーは「Fwd(転送)」であり他方のヘッダーは「Re(返信)」というように異なる場合、或いはメールクライアント3に蓄積された最新メールのヘッダーがメールサーバ5に蓄積された最新メールのヘッダーにない場合、メールサーバ5が送信依頼を受けたメールは、メールクライアント3が送信を依頼したメールではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスにより独自の送信エンジンを用いて送信された可能性が高いと考えられる。
【0113】
(比較例7)
比較履歴チェックプログラム13は、メールサーバ5が蓄積した送信履歴データ中の最も古いメールの送信依頼受け日時と、メールクライアント3が蓄積した依頼履歴データ中の最も古いメールの送信日時とを比較する。尚、両者の送信日時の保持期間(例えば一ヶ月)は同じであるとする。双方の日時は異なるという比較結果の場合、メールサーバ5が送信依頼を受けたメールとメールクライアント3が送信を依頼したものではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスが独自の送信エンジンを用いてメールを送信した可能性が高いと考えられる。尚、この比較は、ウイルスに感染している可能性があるか否かの現状を最新でチェックするというより、定期的に比較を行う場合に適している。
【0114】
(比較例8)
比較履歴チェックプログラム13は、メールサーバ5がメールクライアント3から依頼を受けて蓄積した送信履歴データ中の最新メールにおける添付ファイル名と、メールクライアント3が蓄積した依頼履歴データ中の最新メールにおける添付ファイル名とを比較する。メールサーバ5に蓄積された最新メールの添付ファイル名が、メールクライアント3の依頼履歴データ中にない場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したものではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスが送信したメールである可能性が高いということになる。
【0115】
(比較例9)
比較履歴チェックプログラム13は、メールサーバ5がメールクライアント3から依頼を受けて蓄積した送信履歴データ中の最新メールにおける添付ファイルの有無に関するデータと、メールクライアント3が蓄積した依頼履歴データ中の最新メールにおける添付ファイルの有無に関するデータとを比較する。メールサーバ5が送信依頼を受けたメールには添付ファイルがあり、メールクライアント3が送信依頼をしたメールには添付ファイルがない場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したメールではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスにより独自に送信されたメールである可能性が高いと考えられる。
【0116】
(比較例10)
比較履歴チェックプログラム13は、メールサーバ5がメールクライアント3からの依頼を受けて蓄積した送信履歴データ中の最新メールにおける送信先に関するデータと、メールクライアント3が蓄積した依頼履歴データ中の最新メールにおける送信先に関するデータとを比較する。尚、送信先に関するデータは、送信先のメールアドレスやユーザ名等、送信先を特定する情報を含む。送信先に関する双方のデータは異なる場合、或いはメールサーバ5に蓄積された送信履歴データ中の送信先がメールクライアント3に蓄積された依頼履歴データ中の送信先にない場合、メールサーバ5が送信依頼を受けたメールはメールクライアント3が送信を依頼したものではないことがわかる。つまり、メールサーバ5が送信依頼を受けたメールはウイルスにより独自に送信されたメールである可能性が高い。
【0117】
(比較例11)
履歴チェックプログラム13は、メールサーバ5がメールクライアント3からの依頼を受けて蓄積した送信履歴データと、メールクライアント3が蓄積した動作履歴データとを比較する。図7に示すように動作履歴データには、メールソフトの起動時間,終了時間,送信先のアドレス,送信元のアドレス,メールの題名,添付ファイルの有無,添付ファイル名,メール本文の内容等が含まれる。
【0118】
例えば、メールサーバ5が蓄積した送信履歴データ中のメールの送信依頼を受けた受付日時(図5中受信日時)と、メールクライアント3が蓄積した動作履歴データ中のメールソフトの起動時間(図7中起動日時)とを比較する。メール送信依頼を受けた受付日時は起動時間内に含まれていないという比較結果の場合、そのメールはメールソフトから送信されたものではない。つまり、メールサーバ5が送信依頼を受けたメールは、ウイルスが独自のメール送信エンジンによって送信したメールである可能性が高いということになる。
【0119】
また、履歴比較チェックプログラム13は、メールサーバ5が蓄積した送信履歴データ中のメールの送信依頼を受けた受付日時(図5中受信日時)と、メールクライアント3が蓄積した動作履歴データ中のメールソフトの起動終了時間(図7中終了時間)とを比較する。受付時間が起動終了時間よりも後であるという比較結果の場合、メールサーバ5に送信を依頼されたメールはメールソフトから送信されたものではない。つまり、メールサーバ5が送信依頼を受けたメールは、ウイルスが独自のメール送信エンジンによって送信したメールである可能性が高いということになる。
【0120】
さらに、履歴比較チェックプログラム13は、
(1)メールサーバ5が蓄積した送信履歴データ中におけるメールの送信先のアドレスと、メールクライアント3が蓄積した動作履歴データ中における送信先のアドレスとの比較,
(2)メールサーバ5が蓄積した送信履歴データ中における送信元のアドレスと、メールクライアント3が蓄積した動作履歴データ中における送信元のアドレスとの比較,
(3)メールサーバ5が蓄積した送信履歴データ中におけるメールの題名と、メールクライアント3が蓄積した動作履歴データ中におけるメールの題名との比較,
(4)メールサーバ5が蓄積した送信履歴データ中におけるメール本文の内容と、メールクライアント3が蓄積した動作履歴データ中におけるメール本文の内容との比較,
(5)メールサーバ5が蓄積した送信履歴データ中における添付ファイルの有無と、メールクライアント3が蓄積した動作履歴データ中における添付ファイルの有無との比較,
(6)メールサーバ5が蓄積した送信履歴データ中における添付ファイル名と、メールクライアント3が蓄積した動作履歴データ中における添付ファイル名との比較、
を行ってもよい。何れも、上述したメールクライアント3が蓄積した依頼履歴データ中にある各項目と同じであり、依頼履歴データと動作履歴データとの比較により双方の最新メールの同一性、又は一致するメールの存在の有無を調べる。最新メール同士の同一性が見られない場合、又は一致するメールが存在しない場合は、ウイルスが送信したものがある可能性が高いということになる。
【0121】
そして、ステップ12で、履歴チェックプログラム13が双方のデータに相違は無いと判断した場合、ステップ08に戻り同様の処理を繰り返す。つまり、メールサーバ5が送信依頼を受けたメールと、メールクライアント3が送信したメールは同一であるとき、ウイルスに感染している可能性は低いとみなされる。
【0122】
一方、履歴チェックプログラム13が双方のデータに差異があると判断した場合、ウイルスに感染している可能性が高いと考えられる。そこで、履歴チェックプログラム13は、ウイルスに感染している可能性が高いという旨をメールクライアント3に通知する(S13)。
【0123】
この通知を受けたメールクライアント3のCPUは、メールクライアント3のディスプレイにウイルス感染した可能性がある旨を表示する(S14)。
【0124】
以上の手順を経ることにより、メール送信を実行するウイルス存在の可能性を検出することができる。
【0125】
本実施形態における異常検出方法によれば、自身がメール送信機能(メール送信エンジン)を有し無秩序にメールを送信するタイプのウイルスの存在を検出することができる。
【0126】
上記実施形態では、メールサーバ5の送信履歴データとメールクライアント3の依頼履歴データとを比較してウイルスの存在を検出した。しかし、本発明の実施は、このような構成には限定されない。例えば、送信条件データと依頼履歴データとを比較することによりウイルス存在の有無を検出するようにしてもよい。例えば、長期間送信していないあて先の送信や、所定時間あたり所定数を超えるメールの送信等をチェックすることによってウイルス存在の有無を検出する。これによって、本実施形態における異常検出方法によれば、自身がメール送信機能を有さずメールクライアントのメールソフトを利用してメールを送信するタイプのウイルスの何れのタイプのウイルスにも対応することができる。
【0127】
また、本実施形態における異常検出システム・方法は、メールの送信履歴及びメールソフトの動作履歴と過去の履歴とを比較することによりウイルス感染の可能性の検出を行う。そのため、ウイルスチェックソフトを導入していないメールクライアントにおいても、対応するウイルス定義情報が更新されていないメールクライアントにおいても、ウイルスのメール送信の事実を摘出することができる。
【0128】
また、履歴チェックプログラムがメールサーバで実行されることにより、メールクライアントで実行しなければならないプログラムの数を抑えることができる。すなわち、本実施形態の異常検出システムによれば、メールクライアントの端末自体のスペックに左右されることなく送信履歴のチェックを行い、ウイルスの存在を確認することができる。
【0129】
<第二の実施の形態>
本実施形態の異常検出システム・方法は、メールクライアント3に蓄積された依頼履歴データとメールサーバ5に蓄積された送信履歴データとの比較をメールクライアント3側で行う。
【0130】
図9に本実施形態におけるメールクライアント3及びメールサーバ5のシステム構成図を示す。図9に示すように、本実施形態のメールクライアント3は、履歴チェックプログラム13を有している。尚、本実施形態のメールサーバ5及びメールクライアント3の構成,蓄積するデータの内容,データの比較項目は第一の実施の形態と同一であるので、重複する説明は省略する。加えて、図面中において第一の実施の形態と同一の部位には同一の符号を付した。
【0131】
以下に、本実施形態における異常検出手順を説明する。
【0132】
図10に本実施形態における異常検出手順のフローチャートを示す。
【0133】
まず、メールクライアント3のCPUは比較必要条件設定プログラム11を実行する。ここで、ユーザは、比較必要条件設定プログラム11に従い送信条件データの設定を行う(S100)。この設定は、第一の実施の形態と同様に図5に示す設定内容を設定する。
【0134】
そして、ユーザにより設定された送信条件データは、メールクライアント3の送信条件データファイル8aに蓄積される。
【0135】
比較必要条件設定プログラム11は、送信条件データの設定完了を受けて、ユーザにより入力された送信条件データをメールサーバ5に送信する。送信条件データの送信完了を受けて比較必要条件設定プログラム11は終了する。
【0136】
設定内容(送信条件データ)を受信したメールサーバ5は、設定内容を送信条件データファイル8bに保存する(S101)。
【0137】
一方、メールクライアント3では、メール送信を決定する処理が行われた上でメールサーバ5にメールを送信する。即ち、メールクライアント3からメールを送信する(S102)。
【0138】
メールクライアント3からメールを受けたメールサーバ5は、メールクライアント3から送信されたメールを受け付ける(S103)。メールサーバ5は、メールの受理を確認した後、送信先へメールを送信する。
【0139】
メールサーバ5のCPUは、メールの送信と共に、当該メールの送信履歴データを所定のファイルに蓄積する(S104)。尚、ここでの送信履歴データとは、第一の実施の形態と同じく図5に示す送信履歴データのことである。
【0140】
メールサーバ5のCPUは、送信履歴データを蓄積したことを受けて、比較必要条件チェックプログラム12bを実行する(S105)。比較必要条件チェックプログラム12bは、メールサーバ5自身が蓄積した送信履歴データとステップ101でメールクライアント3から送信された送信条件データとを比較する。
【0141】
比較必要条件チェックプログラム12bは、送信条件データと送信履歴データを、前回の比較日時から所定の日数(例えば、二週間)が経過しているか否か、最新ウイルス情報を受けてとってから比較処理を行ったか否か、一定時間内のメール送信数は設定値(例えば、50通)を超えているか否か、同じ内容のメール送信数が設定値(例えば、10通)を超えているか否かという項目について比較処理を行う。
【0142】
ステップ105で比較必要条件チェックプログラム12bが、送信履歴データは送信条件データを満たしていないと判断した場合、メールクライアント3から依頼履歴データの送信要求の有無を確認する(S106)。
【0143】
ここで、比較必要条件チェックプログラム12bが、メールクライアント3から送信履歴データの送信要求が無いと判断した場合、ステップ103に戻り同様の処理を繰り返す。
【0144】
一方、比較必要条件チェックプログラム12bが、メールクライアント3から送信履歴データの送信要求があると判断した場合は、送信履歴データをメールクライアント3に送信する(S107)。
【0145】
また、ステップ105で、比較必要条件チェックプログラム12bが、送信履歴データは送信条件データを満たしていると判断した場合、メールクライアント3が蓄積した依頼履歴データとメールサーバ5が蓄積した送信履歴データとを比較する必要があるということになる。
【0146】
すると、比較必要条件チェックプログラム12bは蓄積した送信履歴データをメールクライアント3に送信する(S107)。
【0147】
また、メールクライアント3のCPUは、ステップ102で、メールサーバ5にメールの送信を依頼すると、当該メールの依頼履歴データを作成し、所定のファイルに蓄積する(S108)。ここで作成された依頼履歴データは、第一の実施の形態と同じ図4に示す依頼履歴データと図7に示す動作履歴データとを含む。
【0148】
依頼履歴データの蓄積が完了すると、メールクライアント3のCPUは比較必要条件チェックプログラム12aを実行する。比較必要条件チェックプログラム12aは、比較必要条件設定プログラム11により設定された送信条件データと、蓄積した依頼履歴データとの比較処理を行う(S109)。尚、比較内容についてはメールサーバ5における比較必要条件チェックプログラム12bの比較内容と同じであるため説明を省略する。
【0149】
ステップ109で比較必要条件チェックプログラム12aが、送信履歴データが送信条件データを満たしていなと判断した場合、ステップ102に戻り同様の処理を繰り返す。
【0150】
一方、ステップ109で比較必要条件チェックプログラム12aが、依頼履歴データが送信条件データを満たしていると判断した場合、比較必要条件チェックプログラム12aはメールサーバ5に送信履歴データの送信要求処理を行う(S110)。
【0151】
メールクライアント3のCPUは、メールサーバ5から送信された送信履歴データを受信したことを受けて、履歴チェックプログラム13を実行する(S111)。
【0152】
履歴チェックプログラム13は、図4に示すメールクライアント3に蓄積された依頼履歴データと図5に示すメールサーバ5に蓄積された送信履歴データとを比較する。尚、比較内容については第一の実施の形態中で説明した「比較例」と同様であるため説明を省略する。
【0153】
ステップ111で、履歴チェックプログラム13が双方のデータに相違は無いと判断した場合、ステップ102に戻り同様の処理を繰り返す。つまり、メールクライアント3から送信したメールと、メールサーバ5が送信を依頼されたメールとは同一のメールである場合、メールクライアント3がウイルスに感染している可能性は低いとみなされる。
【0154】
一方、履歴チェックプログラム13が双方のデータに差異があると判断した場合、ウイルスに感染している可能性が高いと考えられる。そこで、履歴チェックプログラム13は、ウイルスに感染している可能性が高いという旨をメールクライアント3のディスプレイに表示する等して利用者に通知する(S112)。
【0155】
以上の手順を経ることにより、メール送信を実行するウイルスが存在する可能性を報知することができる。
【0156】
上述したように本実施形態の異常検出システム・方法は、メールクライアント側で履歴チェックプログラムを実行する構成である。そのため、メールサーバがウイルスに感染してしまった場合においても、メールクライアント側で異常検出を支援することができる。これによって、ウイルスの感染を最小限に抑えることができる。
【0157】
第一実施形態又は第二実施形態に示した構成によれば、サーバとクライアントとの間で整合しない動作一般に起因するコンピュータの動作不良を検出できる。このような動作不良は、コンピュータウイルスを原因とするものに限定されない。
【0158】
(変形例1)
本実施形態の変形例1として、第一の実施の形態及び第二の実施の形態で説明した履歴比較プログラムの実行をメールクライアント及びメールサーバの双方で行う構成を挙げることができる。この変形例1は、メールクライアントのHD及びメールサーバのHDに履歴比較プログラムをインストールすることにより実現可能となる。
【0159】
(変形例2)
また、本実施形態の変形例2として、上記実施形態の変形例と同様、メールクライアント3の依頼履歴データ又は動作履歴データと送信条件とを比較することによってウイルスの存在を検知しても良い。例えば、図6に示す送信条件データ例中のL4に記載の「一定時間内にクライアントが許可する送信可能なメールの数」を50通と設定する。尚、ここでの一定時間とは、メールソフトが起動している時間とする。この送信条件と、図7に示す動作履歴データ中の「起動時間中の送信処理の数」とを比較する。比較により、起動時間中の送信処理の数が50通を超えている場合は、ウイルスがメールソフトを利用してメールを送信しているか、メールソフトに何らかの異常が発生した可能性が高いとみることができる。
【0160】
<その他の実施の形態>
また、本発明のその他の実施形態として、メールクライアント及びメールサーバ以外の装置(以下チェック装置と称す)が、本発明のチェックプログラムを実行する形態を例示できる。このような形態の場合、メールクライアントとメールサーバは、各々が蓄積した履歴データ(依頼履歴データ,動作履歴データ,送信履歴データ)をチェック装置に送信する。チェック装置は、チェックプログラムを実行し、メールクライアントの履歴データとメールサーバの履歴データとを比較する。
【0161】
<その他>
さらに、本実施形態は以下の発明を開示する。また、以下の発明(以下付記と称す)の何れかに含まれる構成要素を他の付記の構成要素と組み合わせても良い。
(付記1)
電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが、前記コンピュータの動作異常を検出する方法であり、
前記コンピュータから電子メールの送信依頼を受け付けるステップと、
前記送信依頼を受けた電子メールを送信するステップと、
送信した電子メールに係る送信履歴情報を蓄積するステップと、
前記コンピュータに蓄積されている電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、
前記送信履歴情報と前記依頼履歴情報とを比較するステップと、
前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、を含むサーバにおける異常検出方法。
(付記2)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップによる確認結果が所定の基準を満たした場合に、前記依頼履歴情報を参照し、当該依頼履歴情報と前記送信履歴情報とを比較するステップと、
を含む付記1に記載のサーバにおける異常検出方法。
(付記3)
電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが、前記コンピュータの動作異常を検出する方法であり、
前記コンピュータから電子メールの送信依頼を受け付けるステップと、
前記送信依頼を受けた電子メールを送信するステップと、
送信した電子メールに係る送信履歴情報を蓄積するステップと、
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記確認結果に基づいて前記コンピュータの動作異常を検出するステップと、を含むサーバにおける異常検出方法。
(付記4)
コンピュータの動作異常が検出されたことを当該コンピュータに報知するステップを含む付記1又は3に記載のサーバにおける異常検出方法。
(付記5)
前記コンピュータ上でメール送信を依頼するメールソフトの動作履歴情報を参照するステップと、
当該動作履歴情報と前記送信履歴情報とを比較するステップと、
前記送信履歴情報の内容が前記動作履歴情報の内容と所定の関係にあるときに前記コンピュータの動作異常を検出するステップと、
を含む付記1〜4のいずれかに記載のサーバにおける異常検出方法。
(付記6)
前記サーバは、前記電子メールを送信先へ中継する中継装置である付記1〜5の何れかに記載のサーバにおける異常検出方法。
(付記7)
電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが、前記コンピュータの動作異常を検出する方法であり、
前記コンピュータから電子メールの送信依頼を受け付けるステップと、
前記送信依頼を受けた電子メールを送信するステップと、
送信した電子メールに係る送信履歴情報を蓄積するステップと、
前記送信履歴情報を前記コンピュータに参照させるステップと、
前記送信履歴情報に基づいて前記コンピュータに、前記コンピュータの動作異常を確認させるステップと、
を含むサーバにおける異常検出方法。
(付記8)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップによる確認結果が所定の基準を満たした場合に、前記送信履歴情報を前記コンピュータに参照させるステップと、
を含む付記7に記載のサーバにおける異常検出方法。
(付記9)
電子メールの送信を依頼するコンピュータと該コンピュータからの依頼に応じて電子メールを送信するサーバとからなる電子メールシステムで実行される前記コンピュータの動作異常を検出する方法であり、
前記コンピュータによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、
前記サーバによる電子メールの送信履歴情報を参照するステップと、
前記依頼履歴情報と前記送信履歴情報とを比較するステップと、
前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、からなる異常検出方法。
(付記10)
電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出する方法であり、
前記サーバに電子メールの送信を依頼するステップと、
送信を依頼した電子メールに係る依頼履歴情報を蓄積するステップと、
前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を参照するステップと、
前記依頼履歴情報と前記送信履歴情報とを比較するステップと、
前記比較結果に基づいて動作異常を検出するステップと、
を含むコンピュータにおける異常検出方法。
(付記11)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記依頼履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップによる確認結果が所定の基準を満たした場合に、前記送信履歴情報を参照し、当該送信履歴情報と前記依頼履歴情報とを比較するステップと、
を含む付記10に記載のコンピュータにおける異常検出方法。
(付記12)
前記コンピュータ上でメール送信を依頼するメールソフトの動作履歴情報を参照するステップと、
当該動作履歴情報と前記送信履歴情報とを比較するステップと、
前記送信履歴情報の内容が前記動作履歴情報の内容と所定の関係にあるときに前記コンピュータの動作異常を検出するステップと、
を含む付記10又は11に記載のコンピュータにおける異常検出方法。
(付記13)
電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出する方法であり、
電子メールを送信するステップと、
送信した電子メールに係る履歴情報を蓄積するステップと、
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記履歴情報を前記送信確認条件にしたがって確認するステップと、
前記確認結果に基づいて動作異常を検出するステップと、
を含むコンピュータにおける異常検出方法。
(付記14)
コンピュータの動作異常が検出されたことを当該コンピュータに報知するステップを含む付記10〜13の何れかに記載のコンピュータにおける異常検出方法。
(付記15)
電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出する方法であり、
前記サーバに電子メールの送信を依頼するステップと、
送信を依頼した電子メールに係る依頼履歴情報を蓄積するステップと、
前記依頼履歴情報を前記サーバに参照させるステップと、
を備え、
前記依頼履歴情報に基づいて前記サーバに、前記コンピュータの動作異常を確認させるコンピュータにおける異常検出方法。
(付記16)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップによる確認結果が所定の基準を満たした場合に、前記依頼履歴情報を前記コンピュータに参照させるステップと、
をさらに含む付記13〜15の何れかに記載のコンピュータにおける異常検出方法。
(付記17)
電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが前記コンピュータの動作異常を検出するためのプログラムであり、
前記サーバに、
前記コンピュータからの電子メールの送信依頼に基づき送信された電子メールに係る送信履歴情報を参照するステップと、
前記コンピュータによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、
前記送信履歴情報と前記依頼履歴情報とを比較するステップと、
前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、を実行させる異常検出プログラム。
(付記18)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップによる確認結果が所定の基準を満たした場合に、前記依頼履歴情報を参照し、当該依頼履歴情報と前記送信履歴情報とを比較するステップと、
を含む付記17に記載の異常検出プログラム。
(付記19)
電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが前記コンピュータの動作異常を検出するためのプログラムであり、
前記サーバに、
前記コンピュータからの電子メールの送信依頼に基づき送信された電子メールに係る送信履歴情報を参照するステップと、
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記確認結果に基づいて前記コンピュータの動作異常を検出するステップと、を実行させる異常検出プログラム。
(付記20)
前記コンピュータ上でメール送信を依頼するメールソフトの動作履歴情報を参照するステップと、
当該動作履歴情報と前記送信履歴情報とを比較するステップと、
前記送信履歴情報の内容が前記動作履歴情報の内容と所定の関係にあるときに前記コンピュータの動作異常を検出するステップと、
を含む付記17〜19の何れかに記載の異常検出プログラム。
(付記21)
前記サーバは、前記電子メールを送信先へ中継する中継装置である付記17〜20の何れか記載の異常検出プログラム。
(付記22)
コンピュータの動作異常が検出されたことを当該コンピュータに報知するステップを含む付記17〜21の何れかに記載の異常検出プログラム。
(付記23)
電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが前記コンピュータの動作異常を検出するためのプログラムであり、
前記サーバに、
前記コンピュータからの電子メールの送信依頼に基づき送信され蓄積された電子メールに係る送信履歴情報を前記コンピュータに参照させるステップと、
前記送信履歴情報に基づいて前記コンピュータに、前記コンピュータの動作異常を確認させるステップと、
を実行させる異常検出プログラム。
(付記24)
電子メールの送信を依頼するコンピュータと該コンピュータからの依頼に応じて電子メールを送信するサーバとからなる電子メールシステムで実行され、
前記コンピュータによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、
前記サーバによる電子メールの送信履歴情報を参照するステップと、
前記依頼履歴情報と前記送信履歴情報とを比較するステップと、
前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、を実行させる異常検出プログラム。
(付記25)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記確認手段による確認結果が所定の基準を満たした場合に、前記送信履歴情報を前記コンピュータに参照させるステップと、
を含む付記23又は24に記載の異常検出プログラム。
(付記26)
電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出するためのプログラムであり、
コンピュータに、
前記サーバに電子メールの送信を依頼した電子メールに係る依頼履歴情報を参照するステップと、
前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を参照するステップと、
前記依頼履歴情報と前記送信履歴情報とを比較するステップと、
前記比較結果に基づいて動作異常を検出するステップと、
を実行させる異常検出プログラム。
(付記27)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記依頼履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップによる確認結果が所定の基準を満たした場合に、前記送信履歴情報を参照し、当該送信履歴情報と前記依頼履歴情報とを比較するステップと、
を含む付記26に記載の異常検出プログラム。
(付記28)
前記コンピュータ上でメール送信を依頼するメールソフトの動作履歴情報を参照するステップと、
当該動作履歴情報と前記送信履歴情報とを比較するステップと、
前記送信履歴情報の内容が前記動作履歴情報の内容と所定の関係にあるときに前記コンピュータの動作異常を検出するステップと、
を含む付記26又は27に記載の異常検出プログラム。
(付記29)
電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出するためのプログラムであり、
前記コンピュータに、
送信した電子メールに係る履歴情報を蓄積するステップと、
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記履歴情報を前記送信確認条件にしたがって確認するステップと、
前記確認結果に基づいて動作異常を検出するステップと、
を実行させる異常検出プログラム。
(付記30)
コンピュータの動作異常が検出されたことを当該コンピュータに報知するステップを含む付記24〜29の何れかに記載の異常検出プログラム。
(付記31)
電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出するためのプログラムであり、
前記コンピュータに、
前記サーバに送信を依頼した電子メールに係る依頼履歴情報を蓄積するステップと、
前記依頼履歴情報を前記サーバに参照させるステップと、
前記依頼履歴情報に基づいて前記サーバに、前記コンピュータの動作異常を確認させるステップと、
を実行させる異常検出プログラム。
(付記32)
前記コンピュータにおける電子メール送信時の送信確認条件を参照するステップと、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認するステップと、
前記ステップで確認結果が所定の基準を満たした場合に、前記依頼履歴情報を前記コンピュータに参照させるステップと、
を含む付記29又は30に記載の異常検出プログラム。
(付記33)
電子メールの送信を依頼するコンピュータに電子メール送信サービスを提供するサーバであり、
前記コンピュータから電子メールの送信依頼を受け付ける受付手段と、
前記送信依頼を受けた電子メールを送信する送信手段と、
送信した電子メールに係る送信履歴情報を蓄積する蓄積手段と、
前記コンピュータに蓄積されている電子メールの送信依頼履歴に係る依頼履歴情報を前記コンピュータから参照する履歴参照手段と、
前記送信履歴情報と前記依頼履歴情報とを比較する比較手段と、
前記比較結果に基づいて前記コンピュータの動作異常を検出する検出手段と、を備えるサーバ。
(付記34)
前記コンピュータにおける電子メール送信時の送信確認条件を参照する条件参照手段と、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認する確認手段とをさらに備え、
前記確認手段による確認結果が所定の基準を満たした場合に、前記履歴参照手段は、前記依頼履歴情報を参照し、前記比較手段は前記送信履歴情報と前記依頼履歴情報とを比較する付記33に記載のサーバ。
(付記35)
電子メールの送信を依頼するコンピュータに電子メール送信サービスを提供するサーバであり、
前記コンピュータから電子メールの送信依頼を受け付ける受付手段と、
前記送信依頼を受けた電子メールを送信する送信手段と、
送信した電子メールに係る送信履歴情報を蓄積する蓄積手段と、
前記コンピュータにおける電子メール送信時の送信確認条件を参照する条件参照手段と、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認する確認手段と、
前記確認結果に基づいて前記コンピュータの動作異常を検出する検出手段と、を備えるサーバ。
(付記36)
コンピュータの動作異常が検出されたことを当該コンピュータに報知する報知手段を有する付記33〜35の何れかに記載のサーバ。
(付記37)
前記依頼履歴情報は、前記コンピュータ上でメール送信を依頼するメールソフトの動作履歴情報を参照する手段をさらに備え、
前記比較手段は、前記送信履歴情報と前記メールソフトの動作履歴情報とを比較する手段を有し、
前記検出手段は、前記送信履歴情報の内容が前記動作履歴情報の内容と所定の関係にあるときに前記コンピュータの動作異常を検出する請求項33〜36の何れかに記載のサーバ。
(付記38)
前記サーバは、前記電子メールを送信先へ中継する中継装置である付記33〜37の何れかに記載のサーバ。
(付記39)
電子メールの送信を依頼するコンピュータに電子メール送信サービスを提供するサーバであり、
前記コンピュータから電子メールの送信依頼を受け付ける受付手段と、
前記送信依頼を受けた電子メールを送信する送信手段と、
送信した電子メールに係る送信履歴情報を蓄積する蓄積手段と、
前記送信履歴情報を前記コンピュータに参照させる参照指示手段と、
を備え、
前記送信履歴情報に基づいて前記コンピュータに、前記コンピュータの動作異常を確認させるサーバ。
(付記40)
前記コンピュータにおける電子メール送信時の送信確認条件を参照する条件参照手段と、
最新に送信された電子メールを含む前記送信履歴情報を前記送信確認条件にしたがって確認する確認手段と、
をさらに備え、
前記参照指示手段は、前記確認手段による確認結果が所定の基準を満たした場合に、前記送信履歴情報を前記コンピュータに参照させる付記39に記載のサーバ。
(付記41)
電子メール送信サービスを提供するサーバに電子メールの送信を依頼するコンピュータであり、
前記サーバに電子メールの送信を依頼する依頼手段と、
送信を依頼した電子メールに係る依頼履歴情報を蓄積する蓄積手段と、
前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を前記サーバから参照するサーバ履歴参照手段と、
前記依頼履歴情報と前記送信履歴情報とを比較する比較手段と、
前記比較結果に基づいて動作異常を検出する検出手段と、
を備えるコンピュータ。
(付記42)
電子メールの送信をサーバに依頼するコンピュータによる電子メールの送信依頼履歴に係る依頼履歴情報を参照する第一参照手段と、
前記電子メールの依頼に応じて電子メールを送信する前記サーバによる電子メールの送信履歴情報を参照する第二参照手段と、
前記依頼履歴情報と前記送信履歴情報とを比較する比較手段と、
前記比較結果に基づいて前記コンピュータの動作異常を検出する検出手段と、を備えることを特徴とするコンピュータ。
(付記43)
前記コンピュータにおける電子メール送信時の送信確認条件を参照する条件参照手段と、
最新に送信された電子メールを含む前記依頼履歴情報を前記送信確認条件にしたがって確認する確認手段と、
をさらに備え、
前記確認手段による確認結果が所定の基準を満たした場合に、前記サーバにおける前記履歴参照手段は、前記送信履歴情報を参照し、前記比較手段は前記送信履歴情報と前記依頼履歴情報とを比較する付記41に記載のコンピュータ。
(付記44)
前記コンピュータ上でメール送信するメールソフトの動作履歴情報を参照する動作履歴参照手段をさらに備え、
前記比較手段は、前記依頼履歴情報と前記動作履歴情報とを比較する比較手段を有し、
前記検出手段は、前記履歴情報の内容が前記動作履歴情報の内容と所定の関係にあるときに前記動作異常を検出する請求項41〜43の何れかに記載のコンピュータ。
(付記45)
電子メール送信サービスを提供するサーバに電子メールの送信を依頼するコンピュータであり、
電子メールを送信する手段と、
送信した電子メールに係る履歴情報を蓄積する手段と、
前記コンピュータにおける電子メール送信時の送信確認条件を参照する条件手段と、
最新に送信された電子メールを含む前記履歴情報を前記送信確認条件にしたがって確認する確認手段と、
前記確認結果に基づいて動作異常を検出する検出手段と、
を備えるコンピュータ。
(付記46)
コンピュータの動作異常が検出されたことを当該コンピュータに報知する報知手段を有する付記41〜45の何れかに記載のコンピュータ。
(付記47)
電子メール送信サービスを提供するサーバに電子メールの送信を依頼するコンピュータであり、
前記サーバに電子メールの送信を依頼する手段と、
送信を依頼した電子メールに係る依頼履歴情報を蓄積する蓄積手段と、
前記依頼履歴情報を前記サーバに参照させる参照指示手段と、
を備え、
前記依頼履歴情報に基づいて前記サーバに、前記コンピュータの動作異常を確認させるコンピュータ。
(付記48)
前記コンピュータにおける電子メール送信時の送信確認条件を参照する条件参照手段と、
最新に送信された電子メールを含む前記依頼履歴情報を前記送信確認条件にしたがって確認する依頼履歴確認手段と、
をさらに備え、
前記参照指示手段は、前記依頼履歴確認手段による確認結果が所定の基準を満たした場合に、前記依頼履歴情報を前記サーバに参照させる付記47に記載のコンピュータ。
【0162】
【発明の効果】
以上のことにより、本発明によれば、ウイルスやその他に起因するコンピュータの動作異常を検出する異常検出方法、異常検出プログラム、サーバ、コンピュータを提供することが可能となる。
【0163】
また、本発明によれば、パターンファイルの更新を要することなく、未知のコンピュータウイルスの手がかりを発見する異常検出方法、異常検出プログラム、サーバ、コンピュータを提供することができる。
【図面の簡単な説明】
【図1】第一の実施の形態に係るメール送信システムの概念図である。
【図2】ウイルスが独自のメールエンジンを利用してメールを送信するときの概念図である。
【図3】第一の実施の形態に係るシステム構成図である。
【図4】第一の実施の形態及び第二の実施の形態に係るメールクライアントにおける依頼履歴データの一覧である。
【図5】第一の実施の形態及び第二の実施の形態に係るメールサーバにおける送信履歴データの一覧である。
【図6】第一の実施の形態及び第二の実施の形態に係る比較必要条件設定プログラムによる設定内容の一覧である。
【図7】第一の実施の形態及び第二の実施の形態にかかるメールクライアントにおける動作履歴データの一覧である。
【図8】第一の実施の形態に係る異常検出手順を示すフローチャートである。
【図9】第二の実施の形態に係るシステム構成図である。
【図10】第二の実施の形態に係る異常検出手順を示すフローチャートである。
【符号の説明】
1 メール送信システム
2 メール
3 メールクライアント
4 メールソフト
5 メールサーバ
6 ユーザインターフェース
7 メール送信エンジン
7b メール送信エンジン
8a 送信条件データファイル
8b 送信条件データファイル
9 動作履歴データファイル
10a 依頼履歴データファイル
10b 送信履歴データファイル
11 比較必要条件設定プログラム
12a 比較必要条件チェックプログラム
12b 比較必要条件チェックプログラム
13 履歴チェックプログラム
Claims (5)
- 電子メールの送信を依頼するコンピュータと該コンピュータからの依頼に応じて電子メールを送信するサーバとからなる電子メールシステムで実行される前記コンピュータの動作異常を検出する方法であり、
前記コンピュータで動作するメールソフトによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、
前記サーバによる電子メールの送信履歴情報を参照するステップと、
前記依頼履歴情報と前記送信履歴情報とを比較するステップと、
前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、からなる異常検出方法。 - 電子メールの送信を依頼するコンピュータにネットワークを介して電子メール送信サービスを提供するサーバが前記コンピュータの動作異常を検出するためのプログラムであり、
前記サーバに、
前記コンピュータからの電子メールの送信依頼に基づき送信された電子メールに係る送信履歴情報を参照するステップと、
前記コンピュータで動作するメールソフトによる電子メールの送信依頼履歴に係る依頼履歴情報を参照するステップと、
前記送信履歴情報と前記依頼履歴情報とを比較するステップと、
前記比較結果に基づいて前記コンピュータの動作異常を検出するステップと、を実行させる異常検出プログラム。 - 電子メール送信サービスを提供するサーバにネットワークを介して電子メールの送信を依頼するコンピュータが、当該コンピュータの動作異常を検出するためのプログラムであり、
前記コンピュータに、
前記コンピュータで動作するメールソフトによって前記サーバに電子メールの送信を依頼した電子メールに係る依頼履歴情報を参照するステップと、
前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を参照するステップと、
前記依頼履歴情報と前記送信履歴情報とを比較するステップと、
前記比較結果に基づいて動作異常を検出するステップと、
を実行させる異常検出プログラム。 - 電子メールの送信を依頼するコンピュータに電子メール送信サービスを提供するサーバであり、
前記コンピュータから電子メールの送信依頼を受け付ける受付手段と、
前記送信依頼を受けた電子メールを送信する送信手段と、
送信した電子メールに係る送信履歴情報を蓄積する蓄積手段と、
前記コンピュータに蓄積されている、該コンピュータで動作するメールソフトによる電子メールの送信依頼履歴に係る依頼履歴情報を前記コンピュータから参照する履歴参照手段と、
前記送信履歴情報と前記依頼履歴情報とを比較する比較手段と、
前記比較結果に基づいて前記コンピュータの動作異常を検出する検出手段と、を備えるサーバ。 - 電子メール送信サービスを提供するサーバに電子メールの送信を依頼するコンピュータであり、
前記コンピュータで動作するメールソフトによって前記サーバに電子メールの送信を依頼する依頼手段と、
送信を依頼した電子メールに係る依頼履歴情報を蓄積する蓄積手段と、
前記サーバに蓄積されている電子メールの送信履歴に係る送信履歴情報を前記サーバから参照するサーバ履歴参照手段と、
前記依頼履歴情報と前記送信履歴情報とを比較する比較手段と、
前記比較結果に基づいて動作異常を検出する検出手段と、
を備えるコンピュータ。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003049255A JP4077336B2 (ja) | 2003-02-26 | 2003-02-26 | 異常検出方法、異常検出プログラム、サーバ、コンピュータ |
US10/766,860 US20040186893A1 (en) | 2003-02-26 | 2004-01-30 | Abnormality detection method, abnormality detection program, server, computer |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003049255A JP4077336B2 (ja) | 2003-02-26 | 2003-02-26 | 異常検出方法、異常検出プログラム、サーバ、コンピュータ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004260575A JP2004260575A (ja) | 2004-09-16 |
JP4077336B2 true JP4077336B2 (ja) | 2008-04-16 |
Family
ID=32984351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003049255A Expired - Fee Related JP4077336B2 (ja) | 2003-02-26 | 2003-02-26 | 異常検出方法、異常検出プログラム、サーバ、コンピュータ |
Country Status (2)
Country | Link |
---|---|
US (1) | US20040186893A1 (ja) |
JP (1) | JP4077336B2 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100604604B1 (ko) * | 2004-06-21 | 2006-07-24 | 엘지엔시스(주) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 |
US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
US9154511B1 (en) | 2004-07-13 | 2015-10-06 | Dell Software Inc. | Time zero detection of infectious messages |
WO2006043310A1 (ja) * | 2004-10-19 | 2006-04-27 | Fujitsu Limited | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム |
KR20120074329A (ko) * | 2004-11-30 | 2012-07-05 | 가부시키가이샤 니콘 | 디바이스 처리 시스템, 정보 표시 방법, 프로그램, 및 기록 매체 |
JP4720251B2 (ja) * | 2005-03-31 | 2011-07-13 | 日本電気株式会社 | メール添付型ウイルス検知方法およびメールサーバ |
JP4720335B2 (ja) * | 2005-07-20 | 2011-07-13 | カシオ計算機株式会社 | 電子メール端末及びプログラム |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US8949339B2 (en) * | 2007-01-08 | 2015-02-03 | Apple Inc. | System and method for automatic opportunistic data and image sharing |
JP2011254533A (ja) * | 2011-08-05 | 2011-12-15 | Mitsubishi Space Software Co Ltd | 異経路警告装置及び異経路警告プログラム |
JP7110950B2 (ja) * | 2018-11-30 | 2022-08-02 | トヨタ自動車株式会社 | ネットワークシステム |
CN110380952B (zh) * | 2019-06-17 | 2023-08-18 | 中国平安财产保险股份有限公司 | 邮件收发方法及装置 |
CN110855698B (zh) * | 2019-11-19 | 2022-07-05 | 成都知道创宇信息技术有限公司 | 一种终端信息获得方法、装置、服务器及存储介质 |
CN112565216B (zh) * | 2020-11-26 | 2023-03-24 | 杭州安恒信息技术股份有限公司 | 一种邮件检测方法、装置、设备及计算机可读存储介质 |
CN114500444B (zh) * | 2022-03-18 | 2024-02-23 | 网易(杭州)网络有限公司 | 邮件数据处理方法、装置及电子设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6763462B1 (en) * | 1999-10-05 | 2004-07-13 | Micron Technology, Inc. | E-mail virus detection utility |
US6910134B1 (en) * | 2000-08-29 | 2005-06-21 | Netrake Corporation | Method and device for innoculating email infected with a virus |
JP2002223256A (ja) * | 2001-01-29 | 2002-08-09 | Fujitsu Ltd | メールウイルス検出用コンピュータ・プログラム |
US20030055951A1 (en) * | 2001-08-01 | 2003-03-20 | Chemali Emilio F. | Products, apparatus and methods for handling computer software/hardware messages |
US20050182970A1 (en) * | 2002-12-18 | 2005-08-18 | Fujitsu Limited | Electronic mail apparatus, electronic mail system, and electronic mail transmission method |
-
2003
- 2003-02-26 JP JP2003049255A patent/JP4077336B2/ja not_active Expired - Fee Related
-
2004
- 2004-01-30 US US10/766,860 patent/US20040186893A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20040186893A1 (en) | 2004-09-23 |
JP2004260575A (ja) | 2004-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4077336B2 (ja) | 異常検出方法、異常検出プログラム、サーバ、コンピュータ | |
EP2068516B1 (en) | E-mail management services | |
US7603472B2 (en) | Zero-minute virus and spam detection | |
US7756930B2 (en) | Techniques for determining the reputation of a message sender | |
US7086050B2 (en) | Updating computer files | |
US7712136B2 (en) | Controlling a message quarantine | |
US7197539B1 (en) | Automated disablement of disposable e-mail addresses based on user actions | |
US20040181581A1 (en) | Authentication method for preventing delivery of junk electronic mail | |
US20110173272A1 (en) | Filtering of electonic mail messages destined for an internal network | |
WO2005112596A2 (en) | Method and system for providing a disposable email address | |
US20040083372A1 (en) | Propagation of viruses through an information technology network | |
US20130246592A1 (en) | Electronic message manager system, method, and computer program product for scanning an electronic message for unwanted content and associated unwanted sites | |
US20060265459A1 (en) | Systems and methods for managing the transmission of synchronous electronic messages | |
US20080016162A1 (en) | Method and Device for Monitoring the Traffic of Electronic Messages | |
US7690038B1 (en) | Network security system with automatic vulnerability tracking and clean-up mechanisms | |
US7257773B1 (en) | Method and system for identifying unsolicited mail utilizing checksums | |
US7634814B1 (en) | Instant messaging (IM) comforting in antivirus filtering system and method | |
JPH11134190A (ja) | ウイルス検出通知システム、方法、および該方法に係るプログラムを格納した記憶媒体 | |
US7958187B2 (en) | Systems and methods for managing directory harvest attacks via electronic messages | |
JP5427497B2 (ja) | メールゲートウェイ | |
TWI677834B (zh) | 非熟識電子郵件之提醒方法 | |
US8352553B2 (en) | Electronic mail connector | |
JP5244453B2 (ja) | メールサーバ | |
JP3866051B2 (ja) | 電子メール中継システム及び電子メール中継方法 | |
JP2008099162A (ja) | 未到達メール通知システム、未到達メール通知方法および未到達メール通知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060123 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071025 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071030 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071225 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080131 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110208 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |