JP4262181B2 - メール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置 - Google Patents
メール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置 Download PDFInfo
- Publication number
- JP4262181B2 JP4262181B2 JP2004280542A JP2004280542A JP4262181B2 JP 4262181 B2 JP4262181 B2 JP 4262181B2 JP 2004280542 A JP2004280542 A JP 2004280542A JP 2004280542 A JP2004280542 A JP 2004280542A JP 4262181 B2 JP4262181 B2 JP 4262181B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- data
- caller
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
この発明は、発信者端末から発信されたメールを中継して着信者端末に配送するメール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置に関する。
近年、企業が管理する顧客名簿の漏洩に起因して、顧客名簿に記載された顧客の電子メールアドレス宛に詐欺目的の「なりすましメール」が送信される事件が多く発生している。より具体的には、顧客名簿を不正に入手した詐欺業者が、実在の企業を装って顧客のメールアドレス宛に「弊社の懸賞に当選いたしましたので、下記のアドレスのWebページに訪問して、住所・電話番号・クレジットカード番号・暗証番号を入力して下さい」といった文章が入ったメールを送信して偽のWebページに顧客を呼び込み、クレジットカード番号や暗証番号を不正に収集するフィッシング詐欺と呼ばれる事件が発生している。
つまり、電子メールの転送プロトコルでは、発信者を認証する必要性を考慮していないので、発信する電子メールの発信者アドレス(Fromアドレス)欄に他人のアドレスを偽って設定することもできる。このため、フィッシング詐欺を行う詐欺業者も、顧客に送信するメールの発信者アドレスに、顧客が信用する企業の名前(メールアドレス)を偽って設定することで、真の企業であるかのようになりすますことも容易である。このような状況下、顧客にとっては、真の企業からメールを受信するだけでなく詐欺業者からもメールを受信する可能性が大いにあり、受信したメールが正当な企業から発信されたものであるか否かを顧客において如何にして判別できるようにするかが重要な課題になっている。
かかる課題に適用される従来技術(メッセージ発信者の正当性を確認するための従来技術)として、例えば、以下の非特許文献1に開示されている電子署名技術がある。これを具体的に説明すると、メッセージであるメールの発信者はペアとなる秘密鍵および公開鍵を生成し、この公開鍵を何らかの方法で着信者に伝える。そして、発信者はメッセージを送信する際に、メッセージの内容を入力とするハッシュ関数によってダイジェストデータを生成した後に、秘密鍵を用いてダイジェストデータに対する署名データを生成し、この署名データをメッセージとともに着信者に送信する。一方、かかるメッセージを受信した着信者は、メッセージの内容から発信者と同じ手順でダイジェストデータを生成するとともに、署名データを公開鍵で復号化してダイジェストデータを復号し、両者のダイジェストデータが同じであれば署名データは正当であると判別する。つまり、受信したメッセージが正当な発信者から発信されたものであるかを署名データに基づいて判別する。
なお、上記した電子署名技術のメールへの応用については、IPA(情報処理推進機構)から発行された2000年度調査・研究報告書「電子メールのセキュリティ S/MIMEを利用した暗号化と電子署名」の第三章でも紹介されている。また、ここで紹介されているS/MIMEは、IETF(The Internet Engineering Task Force)によって規定された電子メールの暗号化・署名付加方式であり、1998年に公開されたIETF文書「RFC−2311」にも記載されている。なお、現に市場で入手可能な電子メールソフトの一部には、S/MIMEに対応したものもある。
"電子メールのセキュリティ 3.3 電子署名"、情報処理復興事業協会 セキュリティセンター、[online]、[2004年8月31日検索]、インターネット<http://www.ipa.go.jp/security/fy12/contents/smime/email_sec03.html_3_3>
しかしながら、上記した従来の技術は、以下に述べるように、詐欺業者による「なりすましメール」を必ずしも判別することができないという問題がある。すなわち、上記した従来の技術では、メールが発信される発信者の端末(例えば、企業における業務担当者の端末)において、署名データの作成に用いる署名鍵(例えば、企業のFROMアドレスに対応付けられた秘密鍵)が管理されるので、例えば、業務担当者の不正行為などによる署名鍵の漏洩を完全に防止することは無理であり、漏洩した署名鍵が詐欺業者に渡って署名データが生成されると、正当なメールであるかのように簡単になりすまされてしまう。
その一方で、かかる署名鍵の漏洩に対しては、署名鍵を頻繁に更新することや、漏洩した署名鍵を無効にする等の対策を講じることも考えられるが、署名鍵を更新するためには公開鍵証明機関から鍵証明書を再取得する必要がある等の理由から、署名鍵を頻繁に更新すること等は必ずしも容易でなく、上記した従来の技術には自ずと限界がある。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、発信者側から秘密情報(署名鍵など)が漏洩する可能性をなくし、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能なメール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、発信者端末から発信されたメールを中継して着信者端末に配送するメール配送システムであって、前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段と、前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定手段と、前記発信許可判定手段によって正当なメールであると判定された場合に、当該メールが正当なメールである旨を証明するための証明データとして、前記データ記憶手段に記憶されたデータを取得する証明データ取得手段と、前記証明データ取得手段によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記データ記憶手段は、前記メールの着信者ごとに異なるデータを記憶するものであって、前記証明データ取得手段は、前記メールの着信者ごとに対応するデータを取得することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記メールの発信が許可される発信者端末または発側メールサーバのIPアドレスを記憶するIPアドレス記憶手段をさらに備え、前記発信許可判定手段は、前記メールから発信者端末または発側メールサーバのIPアドレスを取得し、当該IPアドレスが前記IPアドレス記憶手段に記憶されていることを必要条件にして前記メールが正当なメールである旨を判定することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記メールの発信が許可されるために必要な有効条件を含んだ許可情報を生成する許可情報生成手段をさらに備え、前記発信許可判定手段は、前記許可情報生成手段によって生成された許可情報を前記メールとともに前記発信者端末から受け付け、前記メールが前記許可情報に含まれる有効条件を満たすことを必要条件にして前記メールが正当なメールである旨を判定することを特徴とする。
また、請求項5に係る発明は、上記の発明において、正当な発信者として認証された発信者の発信者端末のIPアドレスおよび/または発信者アドレスを当該認証後の所定時間に限って有効なアドレスとして記憶するアドレス記憶手段をさらに備え、前記発信許可判定手段は、前記メールから発信者端末のIPアドレスおよび/または発信者アドレスを取得し、当該IPアドレスおよび/または発信者アドレスが前記アドレス記憶手段に有効なアドレスとして記憶されていることを必要条件にして前記メールが正当なメールである旨を判定することを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記発信者端末から発信されるメールは、前記メールの着信者の実アドレスに代えて当該実アドレスを識別するための仮IDを含んだメールであって、前記メールの着信者の実アドレスおよび当該実アドレスを識別するための仮IDを対応付けて記憶する実アドレス記憶手段をさらに備え、前記転送処理手段は、前記実アドレス記憶手段に記憶された実アドレスのなかから前記メールに含まれる仮IDに対応する実アドレスを取得し、当該実アドレスを宛先として前記メールを転送することを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記転送処理手段は、前記メールの発信者の実アドレスに代わる別アドレスを生成し、前記メールの発信元を当該別アドレスに置換して転送することを特徴とする。
また、請求項8に係る発明は、上記の発明において、前記転送処理手段は、前記発信者の別アドレスとして、前記メールの着信者ごとに異なる別アドレスを生成することを特徴とする。
また、請求項9に係る発明は、発信者端末から発信されたメールを中継して着信者端末に配送するメール中継装置であって、前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段と、前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定手段と、前記発信許可判定手段によって正当なメールであると判定された場合に、当該メールが正当なメールである旨を証明するための証明データとして、前記データ記憶手段に記憶されたデータを取得する証明データ取得手段と、前記証明データ取得手段によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理手段と、を備えたことを特徴とする。
また、請求項10に係る発明は、発信者端末から発信されたメールを中継して着信者端末に配送するメール配送方法であって、前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定工程と、前記発信許可判定工程によって正当なメールであると判定された場合に、前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段から、当該メールが正当なメールである旨を証明するための証明データとして、データを取得する証明データ取得工程と、前記証明データ取得工程によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理工程と、を含んだことを特徴とする。
また、請求項11に係る発明は、上記の発明において、前記データ記憶手段は、前記メールの着信者ごとに異なるデータを記憶するものであって、前記証明データ取得工程は、前記メールの着信者ごとに対応するデータを取得することを特徴とする。
また、請求項12に係る発明は、発信者端末から発信されたメールを中継して着信者端末に配送するメール配送方法をコンピュータに実行させるメール配送プログラムであって、前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定手順と、前記発信許可判定手順によって正当なメールであると判定された場合に、前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段から、当該メールが正当なメールである旨を証明するための証明データとして、データを取得する証明データ取得手順と、前記証明データ取得手順によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理手順と、をコンピュータに実行させることを特徴とする。
また、請求項13に係る発明は、上記の発明において、前記データ記憶手段は、前記メールの着信者ごとに異なるデータを記憶するものであって、前記証明データ取得手順は、前記メールの着信者ごとに対応するデータを取得することを特徴とする。
請求項1、9、10または12の発明によれば、着信者が受け取る証明データ(正当なメールである旨を証明するための証明データ)となるデータを発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データとなるデータが漏洩するなど、発信者側からデータが漏洩する可能性はなくなり、かかるデータの漏洩に起因した「なりすましメール」の発生を防止することが可能になる。その結果、着信者が受け取る証明データが正規のものであれば、発信者以外の信頼ある第三者によって証明データが生成されたことが常に保証されるので、着信者は証明データを信頼した上でメールの正当性を判別することが可能になる。また、業務担当者などの発信者側からデータが漏洩する可能性はなくなるので、署名鍵(秘密情報)を頻繁に更新することや、漏洩した署名鍵を無効にする等の対策を講じる必要もなくなり、このような煩雑な対策を講じることなく「なりすましメール」の発生を防止することが可能になる。さらに、着信者のみが知っているデータを証明データとして用いるので、鍵を用いた証明データの生成に比較して、簡易に証明データを生成することが可能になる。また、着信者においては証明データを検証する処理が不要になるので、検証を実現するための機能(例えば、検証サーバにアクセスするためのブラウザ、署名データの検証も行うメーラなど)を着信者端末に用意する必要もなくなり、メールを着信できるメーラを用意するだけで、着信者は簡易にメールの正当性を判別することが可能になる。
また、請求項2の発明によれば、着信者ごとに異なるデータを用いるので、証明データの偽造が困難になり、証明データの信頼性を高めることが可能になる。
また、請求項2の発明によれば、着信者ごとに異なるデータを用いるので、証明データの偽造が困難になり、証明データの信頼性を高めることが可能になる。
また、請求項3の発明によれば、予めメール発信が許可されている発信者端末または発側メールサーバからメールが発信されることを必要条件として正当なメールである旨を判定するので、例えば、企業内の業務担当者のみが操作できる発信者端末や、企業内の発側メールサーバの傘下にある発信者端末からのみメール発信を許可することで、業務担当者以外の者が操作できる発信者端末や企業外の発信者端末など、不正行為が行われるおそれがある発信者端末から発信されたメールを不正なメールとして排除することが可能になる。
また、請求項4の発明によれば、メールとともに受け付けた許可情報に含まれる有効条件(例えば、メールの発信が許可される期限、発信者アドレスなど)を満たすことを必要条件として正当なメールである旨を判定するので、メールの発信が許可されるために必要な有効条件を詳細に設定することで、正当なメールと判定できる範囲を実用的な範囲に制限することが可能になる。
また、請求項5の発明によれば、メール発信に先立って発信者を認証した上で、正当な発信者として認証された発信者の発信者端末のIPアドレスや発信者アドレスを当該認証後の所定時間に限って有効なアドレスとして記憶しておき、メールから取得した発信者端末のIPアドレスや発信者アドレスが有効なアドレスとして記憶されていることを必要条件にして正当なメールである旨を判定するので、いわゆるパスワード認証や生体認証等の各種の認証手法を適宜採用して、不正な発信者を事前に排除することが可能になる。また、メールとともに許可情報(発信者認証が成功した旨を示す情報)を送信する手間を発信者に強いることなしに、不正な発信者を簡易に排除することが可能になる。
また、請求項6の発明によれば、実アドレスに代えて仮IDを宛先アドレスとするメールを発信者端末から受け付け、仮IDに対応する実アドレスに宛先アドレスを置換してメールを転送するので、例えば、メールの発信者となる業務担当者などに対しては仮IDのみを知らせ、着信者である顧客の実アドレスまでは知らせる必要がなくなり、業務担当者から顧客の実アドレスが漏洩する事態を防止することが可能になる。
また、請求項7の発明によれば、発信者の実アドレスに代わる別アドレスを生成し、発信者アドレスを別アドレスに置換してメールを転送するので、例えば、メールの発信者となる業務担当者などに対して実アドレスのみを知らせ、着信者である顧客の目に触れる別アドレスまでは知らせないようにすることができ、これによって、別アドレスを用いたメールを不正に生成することが困難になり、この観点からも「なりすましメール」の発生を防止することが可能になる。
また、請求項8の発明によれば、着信者ごとに異なる別アドレスを生成するので、別アドレスの偽造が困難になり、「なりすましメール」の発生を一層防止することが可能になる。
以下に添付図面を参照して、この発明に係るメール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置の実施例1〜4を詳細に説明する。
実施例1では、実施例1で用いる用語、実施例1に係るメール配送システムの概要および特徴を説明した後に、メール配送システムの構成、システムにおける各装置の詳細、システムにおける処理の流れなどを説明し、最後に実施例1の効果を説明する。
[用語の説明(実施例1)]
最初に、実施例1で用いる主要な用語を説明する。実施例1で用いる「発信者」とは、メール(メッセージ)を発信する利用者のことであり、例えば、企業における業務担当者がこれに該当する。また、実施例1で用いる「着信者」とは、上記のメールを着信する利用者のことであり、例えば、企業における顧客がこれに該当する。すなわち、本実施例では、企業における業務担当者が顧客に対してメールを送信する場合を想定している。
最初に、実施例1で用いる主要な用語を説明する。実施例1で用いる「発信者」とは、メール(メッセージ)を発信する利用者のことであり、例えば、企業における業務担当者がこれに該当する。また、実施例1で用いる「着信者」とは、上記のメールを着信する利用者のことであり、例えば、企業における顧客がこれに該当する。すなわち、本実施例では、企業における業務担当者が顧客に対してメールを送信する場合を想定している。
また、実施例1で用いる「秘密鍵(特許請求の範囲に記載の「秘密情報」に対応する)」とは、後述する証明コードの生成に用いる鍵のことであり、例えば、RSA署名のための秘密鍵がこれに該当する。そして、実施例1で用いる「証明データ」とは、発信者から発信されたメールが当該発信を許可された正当なメールである旨(言い換えれば、詐欺業者から発信された「なりすましメール」ではない旨)を証明するためのコードのことであり、例えば、上記の秘密鍵を用いてメールのヘッダ情報から生成される署名データがこれに該当する。
[システムの概要および特徴(実施例1)]
続いて、図1を用いて、実施例1に係るメール配送システムの概要および特徴を説明する。図1は、実施例1に係るメール配送システムの概要を説明するための図である。
続いて、図1を用いて、実施例1に係るメール配送システムの概要および特徴を説明する。図1は、実施例1に係るメール配送システムの概要を説明するための図である。
実施例1に係るメール配送システムの概要は、発信者端末から発信されたメールを中継して着信者端末に配送するものである。そして、着信者は、上記した証明データとともにメールを着信するが、実施例1では、かかる証明データの生成に用いる秘密情報(秘密鍵)が発信者側から漏洩する可能性をなくし、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することを可能にしている点に主たる特徴がある。
これについて図1を用いて簡単に説明すると、実施例1に係るメール配送システムにおいて、発着信者以外の第三者であるメール中継者は、正当な発信者がメール発信に用いる発信者アドレスと、この発信者から正当に発信されたメールが経由する発側メールサーバのIPアドレスとを対応付けて記憶する発信許可情報記憶部を有する。つまり、例を挙げれば、企業の業務担当者が顧客にメールを送信する際に用いるメールアドレスと、企業内に設置されている発側メールサーバのIPアドレスとを対応付けて記憶する。さらに、メール中継者は、上記した証明データの生成に用いる秘密鍵および当該証明データの検証に用いる公開鍵を有する。
そして、メール中継者は、発信者から着信者のメールアドレス宛に発信されたメールを受信すると(図1の(1)参照)、かかるメールが発信を許可された正当なメールであるか否かを判定する(図1の(2)参照)。具体的には、発信者から受信したメールのヘッダ情報から発信者アドレス(FROMアドレス)および経路情報(メールが送られてくる段階で経由した発側メールサーバのIPアドレス)を取り出し、これらの発信者アドレスおよびIPアドレスが発信許可情報記憶部に対応付けて記憶されているかを判定し、両者が対応付けて記憶されている場合には、正当なメールである旨を判定する。
かかる判定で正当なメールである旨が判定された場合には、メール中継者は、発信者から発信されたメールが発信を許可された正当なメールである旨を証明する証明データを生成する(図1の(3)参照)。具体的には、上記した秘密鍵を用いてメールのヘッダ情報から生成される証明データ(ヘッダ情報を秘密鍵で暗号化してなる署名データ)を生成する。これに続いて、メール中継者は、かかる証明データをメールのヘッダや本文に挿入し、当該証明データが挿入されたメールを着信者に転送する(図1の(4)参照)。なお、上記の例で言えば、詐欺業者などが業務担当者のメールアドレスを発信者アドレスとして用いて顧客にメールを発信した場合には、企業外に設置された発側メールサーバを経由することになるので、メール中継者は、正当なメールではないと判定して、このメールを着信者に転送することなく破棄する。
その一方、かかる証明データ付きメールを受信した着信者は、受信したメールのヘッダ情報およびメールに挿入されている証明データをメール中継者に送信して、証明データの検証を要求する(図1の(5)参照)。そして、かかる検証要求を受け付けたメール中継者は、証明データが正規のものであるか否かを検証する(図1の(6)参照)。具体的には、着信者から受け付けた証明データを上記した公開鍵で復号化することでメールのヘッダ情報を復号し、このヘッダ情報が着信者から受け付けたヘッダ情報と一致するか否かを検証し、両者が一致する場合には、証明データが正規のものである旨を判定する。
かかる検証で証明データが正規のものである旨が判定された場合には、メール中継者は、その旨(検証OK)の検証結果を着信者に通知し、これとは反対に、証明データが正規のものではない旨が判定された場合には、その旨(検証NG)の検証結果を着信者に通知する(図1の(7)参照)。なお、上記の例で言えば、詐欺業者などが正規の秘密鍵を入手できずに偽の証明データを生成し、この証明データが挿入されたメールを顧客に送信したような場合には、偽の証明データについて検証要求を受け付けたメール中継者では、証明データが正規のものではないと判定し、検証NGの検証結果を着信者に通知する。
このように、実施例1に係るメール配送システムでは、着信者が受け取る証明データ(正当なメールである旨を証明するための証明データ)を作成するための秘密情報(秘密鍵)をメール中継者が発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データを生成するための秘密情報が漏洩するなど、発信者側から秘密情報が漏洩する可能性はなくなり、上記した主たる特徴の如く、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能になる。
[システムの構成(実施例1)]
続いて、図2を用いて、実施例1に係るメール配送システムの構成を説明する。図2は、実施例1に係るメール配送システムの構成を示す図である。
続いて、図2を用いて、実施例1に係るメール配送システムの構成を説明する。図2は、実施例1に係るメール配送システムの構成を示す図である。
同図に示すように、このメール配送システムは、発信者端末1と、着信者端末2と、発側メールサーバ3と、着側メールサーバ4と、メール中継装置10と、証明データ処理装置20とを、ネットワーク(インターネット5、LAN6、ルータR、ファイアウォールなどによって形成される通信網)を介して相互に通信可能に接続して構成される。以下に、各装置の役割や構成を説明する。
[発信者端末および着信者端末(実施例1)]
このうち、発信者端末1は、少なくとも電子メールソフトがインストールされた、既知のパーソナルコンピュータやワークステーション、家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末などである。より詳細には、発信者端末1は、発信者(例えば、企業における業務担当者など)が利用する端末であり、主として、発信者のメールアドレスを宛先アドレスとするメール(図6参照)をメール中継装置10に発側メールサーバ3を経由して送信する役割を有する。
このうち、発信者端末1は、少なくとも電子メールソフトがインストールされた、既知のパーソナルコンピュータやワークステーション、家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末などである。より詳細には、発信者端末1は、発信者(例えば、企業における業務担当者など)が利用する端末であり、主として、発信者のメールアドレスを宛先アドレスとするメール(図6参照)をメール中継装置10に発側メールサーバ3を経由して送信する役割を有する。
なお、発信者端末1の電子メールソフトには、発信者端末1が利用するメールサーバである発側メールサーバ3の情報、発信者端末1を利用する発信者の識別情報(発信者のメールアドレスもしくは発側メールサーバ3が認識する発信者のユーザID)が設定情報として登録されている。
また、着信者端末2は、少なくとも電子メールソフトやWebブラウザがインストールされた、既知のパーソナルコンピュータやワークステーション、家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末などである。より詳細には、着信者端末2は、着信者(例えば、企業の顧客など)が利用する端末であり、主として、着信者のメールアドレスを宛先アドレスとし、証明データが挿入されたメール(図9参照)をメール中継装置10から着側メールサーバ4を介して受信する役割、証明データ処理装置20にアクセスして証明データの検証要求に係るメッセージ(図10参照)を送信する役割、証明データの検証結果に係るメッセージ(図12参照)を証明データ処理装置20から受信する役割などを有する。
なお、着信者端末2の電子メールソフトには、着信者端末2が利用するメールサーバである着側メールサーバ4の情報、着信者端末2を利用する着信者の識別情報(着信者のメールアドレスもしくは着側メールサーバ4が認識する着信者のユーザID)が設定情報として登録されている。また、着信者には、顧客としてのサービス加入時に企業から配布される「サービス利用手引き」などを通じて、後述する証明コード処理装置20のURL(Uniform Resource Locator)が連絡されており、例えば、着信者は、このURLを着信者端末2のWebブラウザにいわゆる「お気に入り」として登録する。
[発側メールサーバおよび着側メールサーバ(実施例1)]
次に、発側メールサーバ3は、少なくともメール転送機能を備えた既知のメールサーバである。より詳細には、発側メールサーバ3は、発信者が利用するメールサーバ(例えば、企業内に設置されたメールサーバ)であり、主として、発信者端末1からメールを受信して、当該メールの宛先アドレスに基づいて次段のメールサーバを決定し、かかる次段のメールサーバにメールを転送する役割を有する。
次に、発側メールサーバ3は、少なくともメール転送機能を備えた既知のメールサーバである。より詳細には、発側メールサーバ3は、発信者が利用するメールサーバ(例えば、企業内に設置されたメールサーバ)であり、主として、発信者端末1からメールを受信して、当該メールの宛先アドレスに基づいて次段のメールサーバを決定し、かかる次段のメールサーバにメールを転送する役割を有する。
具体的には、実施例1の場合には、発側メールサーバ3の電子メールサーバソフト(メール転送ソフト)の設定情報として、受信したメールの全てを後述するメール中継装置10に転送させるルーチング設定が登録されており、これによって、発側メールサーバ3を経由するメールは全てメール中継装置10に転送されるようにしている。なお、かかるルーチング設定を発側メールサーバ3に登録するのではなく、例えば、発信者端末1から発信されるメールの宛先アドレスにおける@以降のドメイン名にメール中継装置10を示す情報を含ませることで、かかる宛先アドレスのメールを発側メールサーバ3からメール中継装置10に転送するようにしてもよい。
また、例えば、企業内に発側メールサーバ3を設置するような場合には、いわゆるファイアウォールの設置や、発側メールサーバ3の電子メールサーバソフトに対する制限的設定などによって、発側メールサーバ3に対してメールを発信することが可能な発信者端末1を企業内の発信者端末1に限定するようにしてもよい。
一方、着側メールサーバ4は、少なくともメール転送機能やメールボックス提供機能を備えた既知のメールサーバである。より詳細には、着側メールサーバ4は、着信者が利用するメールサーバ(例えば、企業の顧客がそれぞれ利用しているISPのメールサーバ)であり、主として、メール中継装置10などからメールを受信して、当該メールの宛先アドレスに基づいて次段のメールサーバまたはメールボックス(着信者のメールアドレスごとに割り当てられたメール記憶手段)を決定し、かかる次段のメールサーバまたはメールボックスにメールを転送する役割や、着信者端末2からメール確認要求を受信して、当該メール確認要求を行った着信者のメールアドレスに対応するメールボックスに到着しているメールを取り出し、メール確認応答として着信者端末2に送信する役割を有する。
[メール中継装置(実施例1)]
次に、メール中継装置10は、発信者端末1から発信されたメールを中継して着信者端末2に配送するサーバ装置であり、主として、メールの発信者が知らない所定の秘密情報(秘密鍵)を記憶する役割、着信者のメールアドレスを宛先アドレスとし、発信者端末1から発信されて着側メールサーバ3を経由したメール(図7参照)を受信する役割、受信したメールが発信を許可された正当なメールであるか否かを判定する役割、正当なメールである旨を証明するための証明データを秘密鍵で生成する役割、証明データが挿入されたメール(図9参照)を着信者端末2に転送する役割などを有する。
次に、メール中継装置10は、発信者端末1から発信されたメールを中継して着信者端末2に配送するサーバ装置であり、主として、メールの発信者が知らない所定の秘密情報(秘密鍵)を記憶する役割、着信者のメールアドレスを宛先アドレスとし、発信者端末1から発信されて着側メールサーバ3を経由したメール(図7参照)を受信する役割、受信したメールが発信を許可された正当なメールであるか否かを判定する役割、正当なメールである旨を証明するための証明データを秘密鍵で生成する役割、証明データが挿入されたメール(図9参照)を着信者端末2に転送する役割などを有する。
そして、このメール中継装置10は、本発明に密接に関連するものとして、図2に示すように、メール送受信部11と、発信許可情報記憶部12と、正当性判定部13と、秘密情報記憶部14と、証明データ生成部15と、転送処理部16とを備える。なお、発信許可情報記憶部12は特許請求の範囲に記載の「IPアドレス記憶手段」に対応し、正当性判定部13は同じく「発信許可判定手段」に対応し、秘密情報記憶部14は同じく「秘密情報記憶手段」に対応し、証明データ生成部15は同じく「証明データ生成手段」に対応し、転送処理部16は同じく「転送処理手段」に対応する。
このうち、メール送受信部11は、いわゆるSMTP(Simple Mail Transfer Protocol)等の通信プロトコルに従って、発信者端末1(より詳細には発側メールサーバ3)や着信者端末2(より詳細には着側メールサーバ4)等との間における通信を制御する処理部である。具体的には、発信者端末1から発信されて発側メールサーバ3を経由したメール(図7参照)を受信する処理、証明データが挿入されたメール(図9参照)を着側メールサーバ4を経由させて着信者端末2に送信する処理などを実行する。
発信許可情報記憶部12は、発信を許可された正当なメールを特定するための発信許可情報を記憶する手段である。具体的に説明すると、図5は、発信許可情報記憶部12に記憶される情報の例を示す図であるが、同図に例示するように、正当な発信者がメール発信に用いる発信者アドレスと、この発信者から正当に発信されたメールが経由する発側メールサーバ3のIPアドレスとを対応付けて記憶して構成される。つまり、例を挙げれば、企業の業務担当者が顧客にメールを送信する際に用いるメールアドレスと、企業内に設置されている発側メールサーバ3のIPアドレスとを対応付けて記憶する。
正当性判定部13は、発信者端末1から発信されたメールが発信を許可された正当なメールであるか否かを判定する処理部である。具体的に説明すると、図7は、メール中継装置10が受信するメールの例を示す図であるが、同図に示すように、発信者端末1から発信されて着側メールサーバ3を経由して受信したメールには、TOアドレスやFROMアドレスなどからなるヘッダ情報が含まれる。かかるメールのヘッダ情報から、正当性判定部13は、発信者アドレス(FROMアドレス)および経路情報(メールが送られてくる段階で経由した発側メールサーバ3のIPアドレス)を取り出し、これらの発信者アドレスおよびIPアドレスが発信許可情報記憶部12に対応付けて記憶されているかを判定し、両者が対応付けて記憶されている場合には、正当なメールである旨を判定する。
秘密情報記憶部14は、メールの発信者が知らない所定の秘密情報であって、証明データの生成に用いる秘密鍵(例えば、RSA署名のための秘密鍵)を記憶する手段である。なお、この秘密鍵は、後述する証明データ処理装置20の検証用情報記憶部22に記憶される公開鍵と対(ペア)になっている。
証明データ生成部15は、正当性判定部13によって正当なメールである旨が判定された場合に、当該メールが発信を許可された正当なメールである旨を証明する証明データを生成する処理部である。具体的に説明すると、図8は、証明データの生成を説明するための図であるが、同図に示すように、メールのヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)を、秘密情報記憶部14に記憶された秘密鍵で暗号化することによって証明データ(ヘッダ情報を秘密鍵で暗号化してなる署名データ)を生成する。なお、RSA署名のための秘密鍵を用いる場合には、RSA署名アルゴリズムによってヘッダ情報に対して署名することで証明データを生成する。
転送処理部16は、証明データ生成部15によって生成された証明データを正当なメールに挿入し、当該証明データが挿入されたメールをメール送受信部11から着信者端末2(より詳細には着側メールサーバ4)に転送する処理部である。具体的に説明すると、図9は、メール中継装置10が転送するメールの例を示す図であるが、転送処理部16は、証明データ(例えば「abrsRwrXgs8」)をメールのヘッダ部分(例えば「X-Sender-Signature」という項目)および本文末尾(例えば「発信者署名」という項目)に挿入し、このメールを転送する。なお、署名データの挿入箇所は、1箇所もしくは複数箇所のいずれであってもよい。
なお、上述してきたメール中継装置10や後述する証明データ処理装置20は、例えば、発信者端末1や発側メールサーバ3と同様の企業内に設定されて、一部のセキュリティ責任者のみが操作を許可されるように管理される。言い換えれば、一般の業務担当者が操作することができないように管理される。ただし、この実施形態は一例に過ぎず、データセンタ業者などの信頼ある別の業者が、メール中継装置10や証明データ処理装置20を管理する実施形態であってもよい。
[証明データ処理装置(実施例1)]
次に、証明データ処理装置20は、上記した証明データを検証するサーバ装置であり、主として、着信者端末2から証明データの検証要求を受け付ける役割、着信者端末2から受け付けた証明データが正規のものであるかを検証する役割、証明データの検証結果を着信者端末2に送信する役割などを有する。そして、この証明データ処理装置20は、本発明に密接に関連するものとして、図2に示すように、HTTP通信部21と、検証用情報記憶部22と、証明データ検証部23とを備える。
次に、証明データ処理装置20は、上記した証明データを検証するサーバ装置であり、主として、着信者端末2から証明データの検証要求を受け付ける役割、着信者端末2から受け付けた証明データが正規のものであるかを検証する役割、証明データの検証結果を着信者端末2に送信する役割などを有する。そして、この証明データ処理装置20は、本発明に密接に関連するものとして、図2に示すように、HTTP通信部21と、検証用情報記憶部22と、証明データ検証部23とを備える。
このうち、HTTP通信部21は、いわゆるHTTP(Hyper Text Transfer Protocol)等の通信プロトコルに従って、着信者端末2等との間における通信を制御する処理部である。具体的には、着信者端末2からアクセス要求メッセージを受信する処理、ヘッダ情報および証明データを入力させる検証フォームからなるアクセス応答メッセージを着信者端末2に送信する処理、着信者端末2から証明データの検証要求メッセージ(図10参照)を受信する役割、証明データの検証結果メッセージ(図12参照)を着信者端末2に送信する処理などを実行する。
検証用情報記憶部22は、証明データの検証に用いる検証鍵(例えば、RSA署名の秘密鍵で暗号化されたデータを復号するための公開鍵)を記憶する手段である。なお、この公開鍵は、上記したメール中継装置10の秘密情報記憶部14に記憶される秘密鍵と対(ペア)になっている。
証明データ検証部23は、着信者端末2から受け取った証明データが正規のものであるかを検証する処理部である。具体的に説明すると、図10は、着信者端末2に表示される検証要求ページの例を示す図であるが、Webブラウザを用いて証明データ処理装置20にアクセスした着信者端末2のモニタ等には、同図に示すような「検証要求ページ」が出力され、かかるページに対して検証希望のメールに含まれるヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)および証明データがキーボードやマウスを介して着信者から入力されると、着信者端末2は、これらの入力情報からなる検証要求メッセージを証明データ処理装置20に送信する。
そして、図11は、証明データの検証を説明するための図であるが、同図に示すように、証明データ検証部23は、検証要求メッセージに含まれる証明データ(署名データ)を、検証用情報記憶部22に記憶された公開鍵で復号化することによってメールのヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)を復号し、このヘッダ情報が検証要求メッセージに含まれるヘッダ情報と一致するか否かを検証し、両者が一致する場合には、証明データが正規のものである旨を判定する。なお、ここでは、証明データを公開鍵で復号する例を示したが、証明データの検証に際して必ずしも公開鍵による復号が行われるわけではなく、例えば、RSA署名のための秘密鍵を用いて証明データを生成したような場合には、公開鍵を用いたRSA署名の検証アルゴリズムによって証明コードを検証することになる。
[メールの発信から受信に至る処理(実施例1)]
続いて、図3などを用いて、上記したメール配送システムにおけるメールの発信から受信に至る処理の流れを説明する。図3は、メールの発信から受信に至る処理の流れを示すシーケンス図である。
続いて、図3などを用いて、上記したメール配送システムにおけるメールの発信から受信に至る処理の流れを説明する。図3は、メールの発信から受信に至る処理の流れを示すシーケンス図である。
同図に示すように、メール中継装置10は、発信者端末1から着信者のメールアドレス宛に発信されたメールを発側メールサーバ3経由で受信する(ステップS301)。具体的には、図6は、発信者端末1から発信されるメールの例を示す図であるが、発信者端末1では、発信者アドレス(例えば、企業の業務担当者が顧客にメールを送信する際に用いるメールアドレス)がFROM欄に記載され、顧客のアドレスがTO欄に記載されたメールがキーボードやマウスを介して発信者によって作成されると、このメールを発側メールサーバ3に送信する。そして、発側メールサーバ3は、発信者端末1から受信したメールをメール中継装置10に送信するが、その結果として、メール中継装置10が受信するメールのヘッダ情報には、図7に例示したように、経路情報(メールが送られてくる段階で経由した発側メールサーバ3のIPアドレス)が追加される。
かかるメールを受信したメール中継装置10では、当該メールが発信を許可された正当なメールであるか否かを判定する(ステップS302)。具体的には、メールのヘッダ情報から発信者アドレスおよび発側メールサーバ3のIPアドレスを取り出し、これらが発信許可情報記憶部12に対応付けて記憶されているかを判定し、両者が対応付けて記憶されている場合には、正当なメールである旨を判定する。
このようにしてメールの正当性が判定されると、メール中継装置10は、当該メールが発信を許可された正当なメールである旨を証明する証明データを生成する(ステップS303)。具体的には、図8に例示したように、メールのヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)を、秘密情報記憶部14に記憶された秘密鍵で暗号化することによって証明データを生成する。
その後、メール中継装置10は、上記のステップS303で生成された証明データを正当なメールに挿入し、当該証明データが挿入されたメールを着側メールサーバ4に転送する(ステップS304)。具体的には、証明データ(例えば「abrsRwrXgs8」)をメールのヘッダ部分および本文末尾に挿入し、このメール(図9参照)を着側メールサーバ4に転送する。なお、上記のステップS302で正当なメールではないと判定されたメールについては、着信者(着側メールサーバ4)に転送されることなく破棄される。
一方、着側メールサーバ4は、メール中継装置10から受信した証明データ付きメールをメールボックスに保存する(ステップS305)。具体的には、メール中継装置10から受信したメールにおける宛先アドレスのユーザ名部分(メールアドレスの@以前の文字列)に基づいて着信者(ユーザID)を識別し、かかるユーザIDによって識別される着信者のメールボックスに証明データ付きメールを保存する。
そして、着信者端末2では、任意のタイミングで(着信者の指示に応じて、もしくは、所定時間ごと定期的に)着側メールサーバ4に対してメール確認要求メッセージを送信する(ステップS306)。具体的には、着信者端末2の電子メールソフトにおける到着メール確認メニューがキーボードやマウスを介して着信者によって選択されると、着信者端末2は、上記した設定情報に基づいて、着信者端末2を利用する着信者の識別情報(着信者のメールアドレスもしくは着側メールサーバ4が認識する着信者のユーザID)を伴ったメール確認要求メッセージを着側メールサーバ4に対して送信する。
かかるメール確認要求メッセージを受信した着側メールサーバ4では、メール確認応答として、メールボックスに到着しているメールを着信者端末2に送信する(ステップS307)。具体的には、メール確認要求メッセージから着信者の識別情報(ユーザID)を取り出し、かかるユーザIDに対応するメールボックスに到着しているメールを着信者端末2に送信する。その結果、証明データが挿入されたメール(図9参照)が着信者端末2のモニタ等に出力されることになる。
[証明データの検証に至る処理(実施例1)]
続いて、図4などを用いて、上記したメール配送システムにおける証明データの検証に至る処理の流れを説明する。図4は、証明データの検証に至る処理の流れを示すシーケンス図である。
続いて、図4などを用いて、上記したメール配送システムにおける証明データの検証に至る処理の流れを説明する。図4は、証明データの検証に至る処理の流れを示すシーケンス図である。
同図に示すように、着信者端末2が受信したメールが「なりすましメール」ではない正当なメールであるかを確かめたい着信者は、着信者端末2を介して証明データ処理装置20にアクセス要求メッセージを送信する(ステップS401)。具体的には、着信者端末2のWebブラウザにおいて証明データ処理装置20のURLがアクセス先アドレスとして入力されると、着信者端末2は、証明データ処理装置20にアクセス要求メッセージをHTTP要求の形式で送信する。
かかるアクセス要求メッセージを受信した証明データ処理装置20では、ヘッダ情報および証明データを入力させる検証フォームからなるアクセス応答メッセージを着信者端末2に送信する(ステップS402)。具体的には、図10に例示するように、ヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)の入力フィールド、証明データの入力フィールド、送信ボタンおよびキャンセルボタンからなるHTMLページを着信者端末2に送信する。
これに対して、着信者端末2では、検証希望のメールに含まれるヘッダ情報および証明データからなる検証要求メッセージを証明データ処理装置20に送信する(ステップS403)。具体的には、アクセス応答メッセージを受信した着信者端末2のモニタ等には、図10に例示したような「検証要求ページ」が出力されるが、かかるページに対して検証希望のメールに含まれるヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)および証明データがキーボードやマウスを介して着信者から入力され、かつ、送信ボタンが押下されると、着信者端末2は、これらの入力情報からなる検証要求メッセージを証明データ処理装置20に送信する。
そして、着信者端末2から検証要求メッセージを受信した証明データ処理装置20は、受信した検証要求メッセージに含まれる証明データが正規のものであるかを検証する(ステップS404)。具体的には、図11に例示したように、検証要求メッセージに含まれる証明データを、検証用情報記憶部22に記憶された公開鍵で復号化することによってメールのヘッダ情報(FROMアドレス、TOアドレス、送信DATE、SUBJECT)を復号し、このヘッダ情報が検証要求メッセージに含まれるヘッダ情報と一致するか否かを検証し、両者が一致する場合には、証明データが正規のものである旨を判定する。
その後、証明データ処理装置20は、証明データの検証結果メッセージを着信者端末2に送信する(ステップS405)。具体的には、上記のステップS404で証明データが正規のものである旨が判定された場合には、その旨(検証OK)の検証結果を含んだ検証結果通知ページ(図12参照)を着信者端末2に送信し、これとは反対に、証明データが正規のものではない旨が判定された場合には、その旨(検証NG)の検証結果を含んだ検証結果通知ページを着信者端末2に送信する。このような検証結果を入手した着信者は、着信者端末2が受信したメールが「なりすましメール」ではない正当なメールであるかを確かめることができる。
[実施例1の効果等]
上述してきたように、実施例1によれば、着信者が受け取る証明データ(正当なメールである旨を証明するための証明データ)を生成するための秘密情報を発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データを生成するための秘密情報が漏洩するなど、発信者側から秘密情報が漏洩する可能性はなくなり、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能になる。
上述してきたように、実施例1によれば、着信者が受け取る証明データ(正当なメールである旨を証明するための証明データ)を生成するための秘密情報を発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データを生成するための秘密情報が漏洩するなど、発信者側から秘密情報が漏洩する可能性はなくなり、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能になる。
そして、その結果として、着信者が受け取る証明データが正規のものであれば、発信者以外の信頼ある第三者によって証明データが生成されたことが常に保証されるので、着信者は証明データを信頼した上でメールの正当性を判別することが可能になる。また、業務担当者などの発信者側から秘密情報が漏洩する可能性はなくなるので、署名鍵(秘密情報)を頻繁に更新することや、漏洩した署名鍵を無効にする等の対策を講じる必要もなくなり、このような煩雑な対策を講じることなく「なりすましメール」の発生を防止することが可能になる。
また、実施例1によれば、予めメール発信が許可されている発側メールサーバ3からメールが発信されることを必要条件として正当なメールである旨を判定するので、例えば、企業内の発側メールサーバ3の傘下にある発信者端末1からのみメール発信を許可することで、企業外の発信者端末1など、不正行為が行われるおそれがある発信者端末1から発信されたメールを不正なメールとして排除することが可能になる。
また、実施例1によれば、鍵を用いてメールから証明データ(署名データ)を生成するので、証明データの偽造が困難になり、証明データの信頼性を高めることが可能になる。
さて、これまで実施例1に係るメール配送システムについて説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、図13を用いて、以下では実施例2に係るメール配送システムとして、種々の異なる実施例を(1)〜(6)に区分けして説明する。なお、図13は、実施例2に係るメール配送システムを説明するための図である。
(1)メールの正当性判定
上記の実施例1では、発信が許可される発信者アドレスおよび発側メールサーバ3のIPアドレスを対応付けて規定することでメールの正当性を判定する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図13に示すように、発信者アドレスのドメイン名(発信が許可されるドメイン名)を規定してもよく、また、発信が許可される発信者端末1のIPアドレスを規定するようにしてもよい。さらには、発信者アドレスに依存することなく、発側メールサーバ3や発信者端末1のIPアドレスのみを規定し、メールのヘッダ情報に含まれる経路情報(発側メールサーバ3や発信者端末1のIPアドレス)のみに基づいてメールの正当性を判定するようにしてもよい。
上記の実施例1では、発信が許可される発信者アドレスおよび発側メールサーバ3のIPアドレスを対応付けて規定することでメールの正当性を判定する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図13に示すように、発信者アドレスのドメイン名(発信が許可されるドメイン名)を規定してもよく、また、発信が許可される発信者端末1のIPアドレスを規定するようにしてもよい。さらには、発信者アドレスに依存することなく、発側メールサーバ3や発信者端末1のIPアドレスのみを規定し、メールのヘッダ情報に含まれる経路情報(発側メールサーバ3や発信者端末1のIPアドレス)のみに基づいてメールの正当性を判定するようにしてもよい。
また、このような正当性判定に用いるIPアドレスについては、必ずしもメール中継装置10が管理する必要はなく(IPアドレスを記憶する発信許可情報記憶部を必ずしもメール中継装置10が備える必要はなく)、例えば、同一LAN6内の他の装置、もしくは、LAN6外に設けられた他の装置が発信許可情報記憶部を備え、メール中継装置10が当該他の装置に対してメールの正当性を問い合わせるようにしてもよい。
(2)証明データの生成方式
上記の実施例1では、いわゆる公開鍵暗号化方式によって証明データを生成する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図13に示すように、共通鍵暗号化方式やメッセージダイジェスト関数を用いて証明データを生成するようにしてもよい。具体的には、共通鍵暗号化方式を採用する場合には、証明データの生成(暗号化)および検証(証明データの復号化)に際して同一鍵を使用する。また、メッセージダイジェスト関数を採用する場合にも、証明データの生成(暗号化によるハッシュ値の生成)および検証(同じく暗号化によるハッシュ値の生成)に際して同一鍵を使用する。なお、公開鍵暗号化方式としては、RSA、Diffie-Hellmanなどが用いられ、共通鍵暗号化方式としては、RC2、RC5、DES、Triple-DES、IDEAなどが用いられ、メッセージダイジェスト関数としては、MD2(ハッシュ値は16バイト)、MD5(16バイト)、SHA1(20バイト)などが用いられる。
上記の実施例1では、いわゆる公開鍵暗号化方式によって証明データを生成する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図13に示すように、共通鍵暗号化方式やメッセージダイジェスト関数を用いて証明データを生成するようにしてもよい。具体的には、共通鍵暗号化方式を採用する場合には、証明データの生成(暗号化)および検証(証明データの復号化)に際して同一鍵を使用する。また、メッセージダイジェスト関数を採用する場合にも、証明データの生成(暗号化によるハッシュ値の生成)および検証(同じく暗号化によるハッシュ値の生成)に際して同一鍵を使用する。なお、公開鍵暗号化方式としては、RSA、Diffie-Hellmanなどが用いられ、共通鍵暗号化方式としては、RC2、RC5、DES、Triple-DES、IDEAなどが用いられ、メッセージダイジェスト関数としては、MD2(ハッシュ値は16バイト)、MD5(16バイト)、SHA1(20バイト)などが用いられる。
(3)証明データの生成鍵
上記の実施例1では、着信者で区別することなく共通の鍵を用いて証明データを生成する場合を説明したが、本発明はこれに限定されるものではなく、図13に示すように、着信者ごとの鍵を用いて証明データを生成するようにしてもよい。すなわち、公開鍵暗号化方式を採用する場合には、着信者ごとの秘密鍵および公開鍵を用いて証明データの生成および検証を行うことになる。このように、着信者ごとに異なる鍵を用いて証明データ(署名データ)を生成するようにすれば、証明データの偽造が一層困難になり、証明データの信頼性を一層高めることが可能になる。
上記の実施例1では、着信者で区別することなく共通の鍵を用いて証明データを生成する場合を説明したが、本発明はこれに限定されるものではなく、図13に示すように、着信者ごとの鍵を用いて証明データを生成するようにしてもよい。すなわち、公開鍵暗号化方式を採用する場合には、着信者ごとの秘密鍵および公開鍵を用いて証明データの生成および検証を行うことになる。このように、着信者ごとに異なる鍵を用いて証明データ(署名データ)を生成するようにすれば、証明データの偽造が一層困難になり、証明データの信頼性を一層高めることが可能になる。
(4)署名対象
上記の実施例1では、証明データを生成するために、メールのヘッダ情報に含まれるFROMアドレス、TOアドレス、送信DATEおよびSUBJECTを暗号化する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図13に示すように、ヘッダ情報の一部もしくは全てを暗号化するようにしてもよく、さらには、メールの本文(一部または全て)を暗号化することで証明データを生成するようにしてもよい。すなわち、メールに含まれる情報の一部または全てを用いて証明データを生成することができる。
上記の実施例1では、証明データを生成するために、メールのヘッダ情報に含まれるFROMアドレス、TOアドレス、送信DATEおよびSUBJECTを暗号化する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図13に示すように、ヘッダ情報の一部もしくは全てを暗号化するようにしてもよく、さらには、メールの本文(一部または全て)を暗号化することで証明データを生成するようにしてもよい。すなわち、メールに含まれる情報の一部または全てを用いて証明データを生成することができる。
(5)証明データの検証場所
上記の実施例1では、発着信者以外の第三者の装置である証明データ処理装置20において証明データを検証する場合を説明したが、本発明はこれに限定されるものではなく、図13に示すように、メールを受け取った着信者端末2において証明データを検証するようにしてもよい。すなわち、この場合には、証明データを検証するための検証用情報(公開鍵)を着信者端末2がそれぞれ有し、かかる公開鍵を用いて証明データを検証することになる。このように、着信者端末2で証明データを検証するようにすれば、着信者端末2から証明データ処理装置20にアクセスしなければならないという手間を省くことができる。その一方、証明データ処理装置20で証明データを検証する場合には、汎用の電子メールソフト以外に証明データを検証するための検証用情報(公開鍵)や検証ソフトを着信者端末2が有しなければならないという煩雑さを省くことができる。
上記の実施例1では、発着信者以外の第三者の装置である証明データ処理装置20において証明データを検証する場合を説明したが、本発明はこれに限定されるものではなく、図13に示すように、メールを受け取った着信者端末2において証明データを検証するようにしてもよい。すなわち、この場合には、証明データを検証するための検証用情報(公開鍵)を着信者端末2がそれぞれ有し、かかる公開鍵を用いて証明データを検証することになる。このように、着信者端末2で証明データを検証するようにすれば、着信者端末2から証明データ処理装置20にアクセスしなければならないという手間を省くことができる。その一方、証明データ処理装置20で証明データを検証する場合には、汎用の電子メールソフト以外に証明データを検証するための検証用情報(公開鍵)や検証ソフトを着信者端末2が有しなければならないという煩雑さを省くことができる。
(6)システム構成等
上記の実施例1で図示した各装置(例えば、図2に例示したメール中継装置10、証明データ処理装置20など)の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、メール中継装置10および証明データ処理装置20を一体として構成する、証明データ処理装置20および着信者端末2を一体として構成するなど、各装置の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
上記の実施例1で図示した各装置(例えば、図2に例示したメール中継装置10、証明データ処理装置20など)の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、メール中継装置10および証明データ処理装置20を一体として構成する、証明データ処理装置20および着信者端末2を一体として構成するなど、各装置の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施例1で説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、メールや画面表示の内容等)については、特記する場合を除いて任意に変更することができる。
なお、上記の実施例1では、本発明を実現する各装置(例えば、メール中継装置10、証明データ処理装置20など)を機能面から説明したが、各装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、本実施例1で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例1に示したようなメール中継装置用プログラムや、証明データ処理装置用プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。
以下の実施例3では、上記の実施例1と比較した場合の主たる相違点を説明した後に、実施例3に係るメール配送システムの概要および特徴、かかるメール配送システムの構成、システムにおける各装置の詳細、システムにおける処理の流れなどを説明し、最後に実施例3の効果を説明する。
[主たる相違点(実施例3)]
上記の実施例1では、発信者端末1で着信者の実アドレスをメールの宛先アドレスとして入力する必要がある。つまり、業務担当者などに顧客の実アドレスを知らせておくことが前提として必要である。この結果、業務担当者などが顧客の実アドレスを不正に漏洩させることが危惧される。すなわち、上記の実施例3では、正当なメールであるか否かを証明データによって判別できるようにしているものの、顧客の実アドレスが漏洩して不正なメールが送信される危険性を防止することまではできていない。
上記の実施例1では、発信者端末1で着信者の実アドレスをメールの宛先アドレスとして入力する必要がある。つまり、業務担当者などに顧客の実アドレスを知らせておくことが前提として必要である。この結果、業務担当者などが顧客の実アドレスを不正に漏洩させることが危惧される。すなわち、上記の実施例3では、正当なメールであるか否かを証明データによって判別できるようにしているものの、顧客の実アドレスが漏洩して不正なメールが送信される危険性を防止することまではできていない。
そこで、実施例3では、発信者には着信者の実アドレスに代えて仮IDを知らせておき、かかる仮IDをメールの宛先アドレスとして入力させ、メール中継者が仮IDから実アドレスを取得して当該実アドレス宛にメールを転送する場合を説明する。ここで、実施例3で用いる「仮ID」とは、上記の実アドレスに対応付けられて実アドレス(一または複数の実アドレス)を一意に識別する識別情報のことであり、実アドレスに代えて公開され、例えば、企業における業務担当者もアクセスできる顧客情報の一つとして管理される。
また、上記の実施例1では、いわゆる電子署名としての証明データを生成するので、着信者は証明データ処理装置20にアクセスするか、もしくは、着信者端末2に用意された検証用ソフトを用いるなどして、証明データが正規のものであるかを検証する必要がある。この結果、前者の形態では、証明データやヘッダ情報を検証要求ページ(図10参照)に入力するという手間が着信者に発生し、また、後者の形態では、検証用ソフトを着信者端末2にインストールするという手間が着信者に発生することになり、発信者である企業にとっては、このような手間を顧客に強いることは好ましくない。なお、着信者の手間を軽減する手法として、S/MIMEによる電子署名をメールに付加するという手法も考えられるが、この場合も、着信者はS/MIME対応の電子メールソフトを着信者端末2にインストールする必要があり、発信者である企業にとっては、顧客が利用する電子メールソフトを特定のものに限定することになり好ましくない。
そこで、実施例3では、秘密情報として秘密鍵に代えてキーワードを規定しておき、メール中継者がかかるキーワードを証明コードとしてメールに挿入して着信者に転送する場合を説明する。ここで、実施例3で用いる「キーワード」とは、メールの発信者には知られておらず、メールの着信者のみが知っているキーワードのことであり、例えば、メール中継者と着信者との間で事前に決定される。このため、このキーワードがメール中継者から転送されてきたメールに挿入されていれば、着信者はキーワードを見ただけでメールの正当性を判別することができるようになる。
さらに、上記の実施例1では、発側メールサーバ3のIPアドレスに基づいてメールの正当性を判定する場合を説明したが、例えば、企業内の発側メールサーバ3に発信許可を与えているような場合には、企業内の同一LANから「なりすましメール」が発信されると、これを正当なメールであると誤って判定してしまうという問題がある。
そこで、実施例3では、発信者を事前に認証した上で条件付きの許可証を発行し、かかる許可証が添付されたメールを発信者から受け付けてメールの正当性を判定する場合を説明する。ここで、実施例3で用いる「許可証(特許請求の範囲に記載の「許可情報」に対応する)」とは、メールの発信が許可されるために必要な有効条件を含んで生成されるものであり、例えば、発信者のユーザID、メールの発信が許可される有効期限、さらには、所定の鍵から定まる関数にユーザIDおよび有効期限を入力して得られる改ざん防止コードを含んで生成される。
[システムの概要および特徴(実施例3)]
続いて、図14を用いて、実施例3に係るメール配送システムの概要および特徴を説明する。図14は、実施例3に係るメール配送システムの概要を説明するための図である。
続いて、図14を用いて、実施例3に係るメール配送システムの概要および特徴を説明する。図14は、実施例3に係るメール配送システムの概要を説明するための図である。
実施例3に係るメール配送システムにおいて、発着信者以外の第三者であるメール中継者は、メールの発信が許可される発信者のユーザIDおよびパスワードを対応付けて記憶する発信者認証情報記憶部、上記の仮IDに対応付けて着信者の実アドレスを記憶する実アドレス記憶部、並びに、着信者の実アドレスに対応付けて上記のキーワードを記憶する秘密情報記憶部を有する。さらに、メール中継者は、上記した許可証(改ざん防止コード)の生成に用いる生成鍵および当該許可証の検証に用いる検証鍵を有する。
そして、許可証の生成を希望する発信者は、自己のユーザIDおよびパスワードをメール中継者に送信して、許可証の生成を要求する(図14の(1)参照)。かかる許可証の生成要求を受け付けたメール中継者は、発信者認証として、ユーザIDおよびパスワードが発信者認証情報記憶部に記憶されているか否かを判定する(図14の(2)参照)。その結果、発信者認証が成功(OK)した場合には、メールの発信が許可されるために必要な有効条件を含んだ許可証を生成する(図14の(3)参照)。
具体的には、許可証の生成要求を受け付けた日時に所定の期間(例えば3ヶ月)を加えた日時を有効期限として設定した後、上記の生成鍵から定まる関数にユーザIDおよび有効期限を入力して改ざん防止コードを生成し、これらのユーザID、有効期限および改ざん防止コードからなる許可証を生成する。その後、メール中継者は、このようにして生成された許可証を発信者に通知する(図14の(4)参照)。なお、発信者認証が失敗(NG)した場合には、メール中継者は、許可証を生成することなく、発信者認証が失敗した旨を含んだメッセージを発信者に通知する。
その一方、かかる許可証を受信した発信者は、着信者の実アドレスに対応する仮IDを宛先アドレスとし、かつ、許可証が添付されたメールを発信する(図14の(5)参照)。かかる許可証添付メールを受信したメール中継者は、このメールが発信を許可された正当なメールであるか否かを判定する(図14の(6)参照)。具体的には、メールに添付された許可証からユーザID、有効期限および改ざん防止コードを取り出し、現日時が有効期限を経過していないかを判定するとともに、検証鍵から定まる関数にユーザIDおよび有効期限が入力して改ざん防止コードの正当性を検証する。その結果、現日時が有効期限の経過前であり、かつ、改ざん防止コードの正当性が認められれば、正当なメールである旨を判定する。
かかる判定で正当なメールである旨が判定された場合には、メール中継者は、メールの転送先となる着信者の実アドレスを取得する(図14の(7)参照)。具体的には、メールの宛先アドレスに入力されている仮IDに対応する実アドレスを実アドレス記憶部から取得する。なお、一つの仮IDに対して複数の実アドレスが対応付けられている場合には、複数の実アドレスをそれぞれ取得する。
これに続いて、メール中継者は、発信者から発信されたメールが発信を許可された正当なメールである旨を証明する証明データを生成する(図14の(8)参照)。具体的には、上記で取得した実アドレスに対応するキーワードを秘密情報記憶部から取得し、このキーワードを証明データとする。なお、上記で複数の実アドレスが取得された場合には、各実アドレスについて対応するキーワードを取得する。
その後、メール中継者は、メールの宛先アドレスを上記の実アドレスに置換するとともに、メールの本文末尾に証明データ(キーワード)を挿入し、かかるメールを着信者に転送する(図14の(9)参照)。なお、現日時が有効期限の経過後であるか、改ざん防止コードの正当性が認められず、正当なメールではないと判定された場合には、メール中継者は、発信者から受信したメールを着信者に転送することなく破棄する。
このように、実施例3に係るメール配送システムでは、着信者が受け取る証明データ(を作成するための秘密情報(すなわち、キーワード)をメール中継者が発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データを生成するための秘密情報が漏洩するなど、発信者側から秘密情報が漏洩する可能性はなくなり、上記した実施例1と同様、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能になる。
なお、実施例3に係るメール配送システムにおいては、上記の主たる相違点でも述べたように、メールに添付された許可証に基づいて正当なメールであるかを判定する点、着信者のみが知っているキーワードを証明データとして用いる点、実アドレスに代えて仮IDを宛先アドレスとするメールを発信者端末1から受け付ける点等にも主たる特徴がある。
[システムの構成(実施例3)]
続いて、図15を用いて、実施例3に係るメール配送システムの構成を説明する。図15は、実施例3に係るメール配送システムの構成を示す図である。
続いて、図15を用いて、実施例3に係るメール配送システムの構成を説明する。図15は、実施例3に係るメール配送システムの構成を示す図である。
同図に示すように、このメール配送システムは、発信者端末1と、着信者端末2と、発側メールサーバ3と、着側メールサーバ4と、許可証発行装置30と、メール中継装置40とを、ネットワーク(インターネット5、LAN6、ルータR、ファイアウォールなどによって形成される通信網)を介して相互に通信可能に接続して構成される。以下に、各装置の役割や構成を説明する。
[発信者端末、着信者端末、発側メールサーバおよび着側メールサーバ(実施例3)]
このうち、発信者端末1、着信者端末2、発側メールサーバ3および着側メールサーバ4は、上記の実施例1で同様の符号を付して説明したものと、基本的に同様の役割を有するものである。ただし、実施例3において、発信者端末1には、少なくとも電子メールソフトおよびWebブラウザがインストールされ、着信者端末2には、少なくとも電子メールソフトがインストールされる。
このうち、発信者端末1、着信者端末2、発側メールサーバ3および着側メールサーバ4は、上記の実施例1で同様の符号を付して説明したものと、基本的に同様の役割を有するものである。ただし、実施例3において、発信者端末1には、少なくとも電子メールソフトおよびWebブラウザがインストールされ、着信者端末2には、少なくとも電子メールソフトがインストールされる。
そして、発信者端末1は、主として、許可証発行装置30にアクセスして発信者認証要求に係るメッセージ(図21参照)を送信する役割、生成された許可証を含んだ許可証通知メッセージ(図23参照)を許可証発行装置30から受信する役割、許可証が添付され、仮IDを宛先アドレスとするメール(図24参照)をメール中継装置40に発側メールサーバ3を経由して送信する役割などを有する。一方、着信者端末2は、証明データ(キーワード)が挿入され、着信者のメールアドレスを宛先アドレスとするメール(図27参照)をメール中継装置40から着側メールサーバ4を介して受信する役割を有する。
[許可証発行装置(実施例3)]
次に、許可証発行装置30は、上記した許可証を発行するサーバ装置であり、主として、発信者端末1から発信者の認証要求を受け付けて発信者認証を行う役割、許可証を生成する役割、許可証を発信者端末1に送信する役割などを有する。そして、この許可証発行装置30は、本発明に密接に関連するものとして、図15に示すように、HTTP通信部31と、発信者認証情報記憶部32と、発信者認証部33と、許可証生成鍵記憶部34と、許可証生成部35とを備える。なお、許可証生成部35は特許請求の範囲に記載の「許可情報生成手段」に対応する。
次に、許可証発行装置30は、上記した許可証を発行するサーバ装置であり、主として、発信者端末1から発信者の認証要求を受け付けて発信者認証を行う役割、許可証を生成する役割、許可証を発信者端末1に送信する役割などを有する。そして、この許可証発行装置30は、本発明に密接に関連するものとして、図15に示すように、HTTP通信部31と、発信者認証情報記憶部32と、発信者認証部33と、許可証生成鍵記憶部34と、許可証生成部35とを備える。なお、許可証生成部35は特許請求の範囲に記載の「許可情報生成手段」に対応する。
このうち、HTTP通信部31は、いわゆるHTTP(Hyper Text Transfer Protocol)等の通信プロトコルに従って、発信者端末1等との間における通信を制御する処理部である。具体的には、発信者端末1からアクセス要求メッセージを受信する処理、ユーザIDおよびパスワードを入力させる認証ファームからなるアクセス応答メッセージを発信者端末1に送信する処理、ユーザIDおよびパスワードからなる発信者認証要求メッセージ(図21参照)を発信者端末1から受信する役割、許可証を含んだ許可証通知メッセージ(図23参照)を発信者端末1に送信する処理などを実行する。
発信者認証情報記憶部32は、正当な発信者を認証するための情報を記憶する手段である。具体的に説明すると、図18は、発信者認証情報記憶部32に記憶される情報の例を示す図であるが、同図に示すように、正当な発信者のユーザID(各利用者を一意に識別するためのID)と、各発信者のパスワードとを対応付けて記憶して構成される。
発信者認証部33は、許可証の生成を要求してきた発信者が正当な発信者であるか否かを認証する処理部である。具体的に説明すると、図21は、発信者端末1に表示される認証要求ページの例を示す図であるが、Webブラウザを用いて許可証発行装置30にアクセスした発信者端末1のモニタ等には、同図に示すような「認証要求ページ」が出力され、かかるページに対して発信者のユーザIDおよびパスワードがキーボードやマウスを介して発信者から入力されると、発信者端末1は、これらの入力情報からなる発信者認証要求メッセージを許可証発行装置30に送信する。そして、発信者認証部33は、発信者認証要求メッセージに含まれるユーザIDおよびパスワードが発信者認証情報記憶部32に対応付けて記憶されているか否かを検証し、両者が対応付けて記憶されている場合には、正当な発信者である旨を判定する。
許可証生成鍵記憶部34は、許可証(より詳細には、許可書に含められる改ざん防止コード)の生成に用いる生成鍵(マスター鍵)を記憶する手段である。なお、この生成鍵は、後述するメール中継装置40の許可証検証鍵記憶部42に記憶される検証鍵と同一の鍵である。
許可証生成部35は、発信者認証部33によって正当な発信者である旨が認証された場合に、メールの発信が許可されるために必要な有効条件を含んだ許可証を生成する処理部である。具体的に説明すると、図22は、許可証の生成を説明するための図であるが、同図に示すように、許可証の生成要求を受け付けた日時に所定の期間(例えば3ヶ月)を加えた日時を有効期限として設定した後、許可証生成鍵記憶部34に記憶された生成鍵から定まる関数にユーザIDおよび有効期限を入力して改ざん防止コードを生成し、これらのユーザID、有効期限および改ざん防止コードからなる許可証を生成する。
なお、上述してきた許可証発行装置30や後述するメール中継装置40は、実施例1と同様、例えば、発信者端末1や発側メールサーバ3と同様の企業内に設定されて、一部のセキュリティ責任者のみが操作を許可されるように管理される。言い換えれば、一般の業務担当者が操作することができないように管理される。ただし、この実施形態は一例に過ぎず、データセンタ業者などの信頼ある別の業者が、許可証発行装置30やメール中継装置40を管理する実施形態であってもよい。
[メール中継装置(実施例3)]
続いて、メール中継装置40は、発信者端末1から発信されたメールを中継して着信者端末2に配送するサーバ装置であり、主として、メールの発信者が知らない所定の秘密情報(キーワード)を記憶する役割、許可証が添付され、仮IDを宛先アドレスとするメール(図24参照)を発信者端末1から受信する役割、受信したメールが発信を許可された正当なメールであるか否かを判定する役割、仮IDに対応する着信者の実アドレスを取得する役割、正当なメールである旨を証明するための証明データをキーワードで生成する役割、証明データ(キーワード)が挿入されたメール(図27参照)を着信者端末2に転送する役割などを有する。
続いて、メール中継装置40は、発信者端末1から発信されたメールを中継して着信者端末2に配送するサーバ装置であり、主として、メールの発信者が知らない所定の秘密情報(キーワード)を記憶する役割、許可証が添付され、仮IDを宛先アドレスとするメール(図24参照)を発信者端末1から受信する役割、受信したメールが発信を許可された正当なメールであるか否かを判定する役割、仮IDに対応する着信者の実アドレスを取得する役割、正当なメールである旨を証明するための証明データをキーワードで生成する役割、証明データ(キーワード)が挿入されたメール(図27参照)を着信者端末2に転送する役割などを有する。
そして、このメール中継装置40は、本発明に密接に関連するものとして、図15に示すように、メール送受信部41と、許可証検証鍵記憶部42と、正当性判定部43と、実アドレス記憶部44と、実アドレス取得部45と、秘密情報記憶部46と、証明データ生成部47と、転送処理部48とを備える。なお、正当性判定部43は特許請求の範囲に記載の「発信許可判定手段」に対応し、実アドレス記憶部44は同じく「実アドレス記憶手段」に対応し、秘密情報記憶部46は同じく「秘密情報記憶手段」に対応し、証明データ生成部47は同じく「証明データ生成手段」に対応し、転送処理部48は同じく「転送処理手段」に対応する。
このうち、メール送受信部41は、いわゆるSMTP(Simple Mail Transfer Protocol)等の通信プロトコルに従って、発信者端末1(より詳細には発側メールサーバ3)や着信者端末2(より詳細には着側メールサーバ4)等との間における通信を制御する処理部である。具体的には、発信者端末1から発信されたメール(図24参照)を発側メールサーバ3経由で受信する処理、証明データが挿入されたメール(図27参照)を着側メールサーバ4経由で着信者端末2に送信する処理などを実行する。
許可証検証鍵記憶部42は、メールに添付された許可証(より詳細には、許可書に含まれる改ざん防止コード)の検証に用いる検証鍵を記憶する手段である。なお、この検証鍵は、上記した許可証発行装置30の許可証生成鍵記憶部34に記憶される生成鍵と同一の鍵である。
正当性判定部43は、メールに添付された許可証に基づいて、発信者端末1から発信されたメールが発信を許可された正当なメールであるか否かを判定する処理部である。具体的に説明すると、図25は、正当性判定(発信許可判定)を説明するための図であるが、同図に示すように、メールに添付された許可証にはユーザID、有効期限および改ざん防止コードが含まれる。そして、正当性判定部43は、許可証から取り出した有効期限よりも現日時が経過していないかを判定するとともに、許可証検証鍵記憶部42に記憶された検証鍵から定まる関数にユーザIDおよび有効期限が入力して改ざん防止コードを生成し、これが許可証に含まれる改ざん防止コードと一致するか否かを判定する。その結果、現日時が有効期限の経過前であり、かつ、改ざん防止コードの正当性が認められれば(改ざん防止コードが一致すれば)、正当なメールである旨を判定する。
実アドレス記憶部44は、着信者の実アドレス(メールアドレス)を記憶する手段である。具体的に説明すると、図19は、実アドレス記憶部44に記憶される情報の例を示す図であるが、同図に示すように、仮IDに対応付けて着信者の実アドレス(一または複数のメールアドレス)を記憶して構成される。ところで、この仮IDは、例えば、業務マニュアルの配布などによって事前に発信者(業務担当者)に知らせておく必要がある。また、仮IDの@以降の文字列は、DNS(Domain Name System)にMXレコードとして登録されており、このMXレコードに対応する装置としてメール中継装置40のアドレスが登録されている。このように設定することによって、メールをメール中継装置40に転送するルーチング設定を発側メールサーバ3に施す必要がなくなる。
実アドレス取得部45は、正当性判定部43によって正当なメールである旨が判定された場合に、メールの転送先である着信者の実アドレスを取得する処理部である。具体的に説明すると、図26は、実アドレスの取得および証明データの生成を説明するための図であるが、同図に示すように、実アドレス記憶部44は、メールの宛先アドレスに入力されている仮IDに対応する実アドレスを実アドレス記憶部44からそれぞれ取得する。
秘密情報記憶部46は、メールの発信者が知らない所定の秘密情報であって、メールの着信者のみが知っているキーワードを記憶する手段である。具体的に説明すると、図20は、秘密情報記憶部46に記憶される情報の例を示す図であるが、同図に示すように、着信者の実アドレスに対応付けて各着信者のキーワードをそれぞれ記憶して構成される。ところで、このキーワードは、例えば、顧客がサービス加入時に任意のキーワードを選択してサービス加入申込書に記入し、このキーワードを企業が秘密情報記憶部46に登録するようにしてもよく、あるいは、企業が顧客ごとにキーワードを選択し、これを顧客に伝えるとともに秘密情報記憶部46に登録するようにしてもよい。なお、キーワードは必ずしも着信者(実アドレス)ごとに登録されている必要はなく、着信者や実アドレスで区別することなく共通のキーワードを登録しておいてもよい。
証明データ生成部47は、正当性判定部43によって正当なメールである旨が判定され、かつ、実アドレス取得部45によってメールの転送先である着信者の実アドレスが取得された場合に、当該メールが発信を許可された正当なメールである旨を証明する証明データを生成する処理部である。具体的に説明すると、図26は、実アドレスの取得および証明データの生成を説明するための図であるが、同図に示すように、証明データ生成部47は、実アドレス取得部45によって取得された実アドレスに対応するキーワードを秘密情報記憶部46から取得して、このキーワードを証明データとする。
転送処理部48は、証明データ生成部47によって生成された証明データを正当なメールに挿入し、当該証明データが挿入されたメールをメール送受信部41から着信者端末2(より詳細には着側メールサーバ4)に転送する処理部である。具体的に説明すると、図27は、メール中継装置40が転送するメールの例を示す図であるが、転送処理部48は、メールの宛先アドレスを実アドレス取得部45によって取得された実アドレスに置換するとともに、メールの本文末尾に証明データ(キーワード)を挿入し、このメールを転送する。なお、かかる転送に際しては、許可証が削除される。
[許可証の発行に至る処理(実施例3)]
続いて、図16などを用いて、上記したメール配送システムにおける許可証の発行に至る処理の流れを説明する。図16は、許可証の発行に至る処理の流れを示すシーケンス図である。
続いて、図16などを用いて、上記したメール配送システムにおける許可証の発行に至る処理の流れを説明する。図16は、許可証の発行に至る処理の流れを示すシーケンス図である。
同図に示すように、許可証の発行を希望する発信者は、発信者端末1を介して許可証発行装置30にアクセス要求メッセージを送信する(ステップS1601)。具体的には、発信者端末1のWebブラウザにおいて許可証発行装置30のURLがアクセス先アドレスとして入力されると、発信者端末1は、許可証発行装置30にアクセス要求メッセージをHTTP要求の形式で送信する。
かかるアクセス要求メッセージを受信した許可証発行装置30では、発信者のユーザIDおよびパスワードを入力させる認証フォームからなるアクセス応答メッセージを発信者端末1に送信する(ステップS1602)。具体的には、図21に例示するように、ユーザIDの入力フィールド、パスワードの入力フィールド、送信ボタンおよびキャンセルボタンからなるHTMLページを発信者端末1に送信する。
これに対して、発信者端末1では、ユーザIDおよびパスワードからなる発信者認証要求メッセージを許可証発行装置30に送信する(ステップS1603)。具体的には、アクセス応答メッセージを受信した発信者端末1のモニタ等には、図21に例示したような「認証要求ページ」が出力されるが、かかるページに対してユーザIDおよびパスワードがキーボードやマウスを介して発信者から入力され、かつ、送信ボタンが押下されると、発信者端末1は、これらの入力情報からなる発信者認証要求メッセージを許可証発行装置30に送信する。
そして、発信者端末1から発信者認証要求メッセージを受信した許可証発行装置30は、発信者が正当な発信者であるか否かを認証する(ステップS1604)。具体的には、発信者認証要求メッセージに含まれるユーザIDおよびパスワードが発信者認証情報記憶部32に対応付けて記憶されているか否かを検証し、両者が対応付けて記憶されている場合には、正当な発信者である旨を判定する。
このようにして発信者認証が成功すると、許可証発行装置30は、メールの発信が許可されるために必要な有効条件を含んだ許可証を生成する(ステップS1605)。具体的には、許可証の生成要求を受け付けた日時に所定の期間(例えば3ヶ月)を加えた日時を有効期限として設定した後、許可証生成鍵記憶部34に記憶された生成鍵から定まる関数にユーザIDおよび有効期限を入力して改ざん防止コードを生成し、これらのユーザID、有効期限および改ざん防止コードからなる許可証を生成する。なお、発信者認証が失敗した場合には、許可証発行装置30は、許可証を生成することなく、発信者認証が失敗した旨を含んだメッセージを発信者に通知する。
その後、許可証を生成した許可証発行装置30は、生成した許可証を含んだ許可証生成通知メッセージを発信者端末1に送信し(ステップS1606)、かかる許可証生成通知メッセージを受信した発信者端末1は、許可証生成通知メッセージに含まれる許可証を所定の記憶部に保存する(ステップS1607)。具体的には、許可証発行装置30は、図23に例示するような「許可証通知ページ」を発信者端末1に送信し、発信者端末1のモニタ等には同図に例示する「許可証通知ページ」が出力されるが、かかるページに対して「許可証.doc」がキーボードやマウスを介して発信者に押下されると、発信者端末1は、この許可証を所定の記憶部に保存する。
[メールの発信から受信に至る処理の流れ(実施例3)]
続いて、図17などを用いて、上記したメール配送システムにおけるメールの発信から受信に至る処理の流れを説明する。図17は、メールの発信から受信に至る処理の流れを示すシーケンス図である。
続いて、図17などを用いて、上記したメール配送システムにおけるメールの発信から受信に至る処理の流れを説明する。図17は、メールの発信から受信に至る処理の流れを示すシーケンス図である。
同図に示すように、メール中継装置40は、許可証が添付され、仮IDを宛先アドレスとするメールを発信者端末1から発側メールサーバ3を経由して受信する(ステップS1701)。具体的には、図24は、発信者端末1から発信されるメールの例を示す図であるが、発信者端末1では、発信者アドレス(例えば、企業の業務担当者が顧客にメールを送信する際に用いるメールアドレス)がFROM欄に記載され、仮IDがTO欄に記載され、かつ、許可証発行装置30から受け取った許可証が添付されたメールがキーボードやマウスを介して発信者によって作成されると、このメールを発側メールサーバ3に送信する。
かかるメールを受信したメール中継装置40では、当該メールが発信を許可された正当なメールであるか否かを判定する(ステップS1702)。具体的には、図25に例示したように、メールに添付された許可証から取り出した有効期限よりも現日時が経過していないかを判定するとともに、許可証検証鍵記憶部42に記憶された検証鍵から定まる関数にユーザIDおよび有効期限が入力して改ざん防止コードを生成し、これが許可証に含まれる改ざん防止コードと一致するか否かを判定する。その結果、現日時が有効期限の経過前であり、かつ、改ざん防止コードの正当性が認められれば(改ざん防止コードが一致すれば)、正当なメールである旨を判定する。
このようにしてメールの正当性が判定されると、メール中継装置40は、メールの転送先である着信者の実アドレスを取得する(ステップS1703)。具体的には、図26に例示したように、メールの宛先アドレスに入力されている仮IDに対応する実アドレスを実アドレス記憶部44からそれぞれ取得する。これに続いて、メール中継装置40は、メールが発信を許可された正当なメールである旨を証明する証明データを生成する(ステップS1704)。具体的には、図26に例示したように、上記したステップS1703によって取得された実アドレスに対応するキーワードを秘密情報記憶部46から取得して、このキーワードを証明データとする。
その後、メール中継装置40は、証明データを正当なメールに挿入し、当該証明データが挿入されたメールを着側メールサーバ4に転送する(ステップS1705)。具体的には、メールの宛先アドレスを上記したステップS1703によって取得された実アドレスに置換するとともに、メールの本文末尾に上記したステップS1704によって生成した証明データ(キーワード)を挿入し、このメール(図27参照)を着側メールサーバ4に転送する。なお、上記のステップS1702において、現日時が有効期限の経過後であるか、改ざん防止コードの正当性が認められず(改ざん防止コードが不一致)、正当なメールではないと判定されたメールについては、着信者(着側メールサーバ4)に転送されることなく破棄される。
一方、着側メールサーバ4は、上記した実施例1と同様、メール中継装置40から受信した証明データ付きメールをメールボックスに保存する(ステップS1706)。そして、着信者端末2では、上記した実施例1と同様、任意のタイミングで(着信者の指示に応じて、もしくは、所定時間ごと定期的に)着側メールサーバ4に対してメール確認要求メッセージを送信する(ステップS1707)。
かかるメール確認要求メッセージを受信した着側メールサーバ4では、上記した実施例1と同様、メール確認応答として、メールボックスに到着しているメールを着信者端末2に送信する(ステップS1708)。その結果、証明データ(キーワード)が挿入されたメール(図27参照)が着信者端末2のモニタ等に出力されることになる。そして、このキーワードは、上記したように、メールの発信者には知られておらず、メールの着信者のみが知っているものであるので、着信者はキーワードを見ただけでメールの正当性を判別することができる。つまり、メール中継者との間で事前に決定したキーワードがメールに挿入されていれば、「なりすましメール」ではない正当なメールであると判別できる。
[実施例3の効果等]
上述してきたように、実施例3によれば、着信者が受け取る証明データを作成するための秘密情報(すなわち、キーワード)をメール中継者が発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データを生成するための秘密情報が漏洩するなど、発信者側から秘密情報が漏洩する可能性はなくなり、上記した実施例1と同様、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能になる。
上述してきたように、実施例3によれば、着信者が受け取る証明データを作成するための秘密情報(すなわち、キーワード)をメール中継者が発信者には知られない状態で管理するので、例えば、業務担当者の不正行為などによって証明データを生成するための秘密情報が漏洩するなど、発信者側から秘密情報が漏洩する可能性はなくなり、上記した実施例1と同様、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することが可能になる。
また、実施例3によれば、メールとともに受け付けた許可証に含まれる有効条件(例えば、メールの発信が許可される期限)を満たすことを必要条件として正当なメールである旨を判定するので、メールの発信が許可されるために必要な有効条件を詳細に設定することで、正当なメールと判定できる範囲を実用的な範囲に制限することが可能になる。また、メールの発信が許可される期限を有効条件として規定することで、仮に許可証が漏洩した場合でも、漏洩による被害を一定期間内に留めることが可能になる。
また、実施例3によれば、着信者のみが知っている所定のキーワードを証明データとして用いるので、鍵を用いた証明データの生成に比較して、簡易に証明データを生成することが可能になる。また、着信者においては証明データを検証する処理が不要になるので、検証を実現するための機能(例えば、証明データ処理装置20にアクセスするためのブラウザ、署名データの検証も行うメーラなど)を着信者端末2に用意する必要もなくなり、メールを着信できるメーラを用意するだけで、着信者は簡易にメールの正当性を判別することが可能になる。
また、実施例3によれば、着信者ごとに異なるキーワードを用いるので、証明データの偽造が困難になり、証明データの信頼性を高めることが可能になる。
また、実施例3によれば、実アドレスに代えて仮IDを宛先アドレスとするメールを発信者端末1から受け付け、仮IDに対応する実アドレスに宛先アドレスを置換してメールを転送するので、例えば、メールの発信者となる業務担当者などに対しては仮IDのみを知らせ、着信者である顧客の実アドレスまでは知らせる必要がなくなり、業務担当者から顧客の実アドレスが漏洩する事態を防止することが可能になる。
さて、これまで実施例3に係るメール配送システムについて説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、図28を用いて、以下では実施例4に係るメール配送システムとして、種々の異なる実施例を(1)〜(8)に区分けして説明する。なお、図28は、実施例4に係るメール配送システムを説明するための図である。
(1)発信者認証
上記の実施例3では、ユーザIDおよびパスワードを用いて発信者認証を行う場合を説明したが、本発明はこれに限定されるものではなく、図28に示すように、これに加えて、ユーザIDが無効化されていないことも必要条件にして発信者認証を行うようにしてもよい。すなわち、この場合には、不正行為などが原因で無効化されたユーザIDを記憶する無効化テーブルを許可証発行装置30がさらに備え、発信者認証において、発信者から受け付けたユーザIDが無効化されたものであるか否かを無効化テーブルに基づいてさらに判定し、無効化されたユーザIDであれば、許可証を生成することなく、発信者認証が失敗した旨を含んだメッセージを発信者に通知する。なお、発信者認証の手法としては、上記したようなパスワード認証に限られず、ディジタル証明証、生体認証など、他のあらゆる認証方式を採用してもよい。
上記の実施例3では、ユーザIDおよびパスワードを用いて発信者認証を行う場合を説明したが、本発明はこれに限定されるものではなく、図28に示すように、これに加えて、ユーザIDが無効化されていないことも必要条件にして発信者認証を行うようにしてもよい。すなわち、この場合には、不正行為などが原因で無効化されたユーザIDを記憶する無効化テーブルを許可証発行装置30がさらに備え、発信者認証において、発信者から受け付けたユーザIDが無効化されたものであるか否かを無効化テーブルに基づいてさらに判定し、無効化されたユーザIDであれば、許可証を生成することなく、発信者認証が失敗した旨を含んだメッセージを発信者に通知する。なお、発信者認証の手法としては、上記したようなパスワード認証に限られず、ディジタル証明証、生体認証など、他のあらゆる認証方式を採用してもよい。
(2)許可証の生成方式
上記の実施例3では、いわゆるメッセージダイジェスト関数を用いて許可証を生成する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図28に示すように、公開鍵暗号化方式や共通鍵暗号化方式を用いて許可証を生成するようにしてもよい。具体的には、公開鍵暗号化方式や共通鍵暗号化方式を採用する場合には、例えばユーザIDおよび有効期限を秘密鍵で暗号化して暗号化データを生成し、この暗号化データを公開鍵(もしくは共通鍵)で復号化することによって暗号化データの正当性を検証する。
上記の実施例3では、いわゆるメッセージダイジェスト関数を用いて許可証を生成する場合を説明したが、本発明はこれに限定されるものではなく、例えば、図28に示すように、公開鍵暗号化方式や共通鍵暗号化方式を用いて許可証を生成するようにしてもよい。具体的には、公開鍵暗号化方式や共通鍵暗号化方式を採用する場合には、例えばユーザIDおよび有効期限を秘密鍵で暗号化して暗号化データを生成し、この暗号化データを公開鍵(もしくは共通鍵)で復号化することによって暗号化データの正当性を検証する。
ところで、上記の実施例3では、許可証を用いてメールの正当性を判定する場合を説明したが、本発明はこれに限定されるものではなく、このような許可証を生成することなしに、発信者に発信許可を与えるようにしてもよい。つまり、例を挙げれば、上記した発信者認証を通じて正当な発信者であると認証された場合に、正当な発信者として認証された発信者の発信者端末1のIPアドレスおよび/または発信者アドレスを当該認証後の所定時間に限って有効なアドレスとしてメール中継装置30(アドレス記憶手段)に記憶する。そして、発信者端末1からメールを受信すると、メール中継装置30はメールから発信者端末1のIPアドレスおよび/または発信者アドレスを取得し、当該IPアドレスおよび/または発信者アドレスがアドレス記憶手段に有効なアドレスとして記憶されていることを必要条件にして正当なメールである旨を判定する。
このように、メール発信に先立って発信者を認証した上で、正当な発信者として認証された発信者の発信者端末のIPアドレスや発信者アドレスを当該認証後の所定時間に限って有効なアドレスとして記憶しておき、メールから取得した発信者端末のIPアドレスや発信者アドレスが有効なアドレスとして記憶されていることを必要条件にして正当なメールである旨を判定するようにすれば、いわゆるパスワード認証や生体認証等の各種の認証手法を適宜採用して、不正な発信者を事前に排除することが可能になる。また、メールとともに許可情報(発信者認証が成功した旨を示す情報)を送信する手間を発信者に強いることなしに、不正な発信者を簡易に排除することが可能になる。
(3)有効条件
上記の実施例3では、メールの発信が許可される期限を有効条件として含んだ許可証を生成する場合を説明したが、本発明はこれに限定されるものではなく、図28に例示するように、メール発信が許可される期間(例えば○年○月○日〜×年×月×日まで)、メール発信が許可される時間(例えば○時から○時まで)、メール発信が許可される発信者(例えば発信者のアドレス、発信者端末1のIPアドレスなど)、メール発信が許可される組織(例えばドメイン名)など、他の有効条件を指定するようにしてもよい。言い換えれば、同図に例示するように、発信者限定情報、有効期間(有効期限)、有効時間もしくはこれらの組合せを、有効条件として含んだ許可証を生成するようにしてもよい。
上記の実施例3では、メールの発信が許可される期限を有効条件として含んだ許可証を生成する場合を説明したが、本発明はこれに限定されるものではなく、図28に例示するように、メール発信が許可される期間(例えば○年○月○日〜×年×月×日まで)、メール発信が許可される時間(例えば○時から○時まで)、メール発信が許可される発信者(例えば発信者のアドレス、発信者端末1のIPアドレスなど)、メール発信が許可される組織(例えばドメイン名)など、他の有効条件を指定するようにしてもよい。言い換えれば、同図に例示するように、発信者限定情報、有効期間(有効期限)、有効時間もしくはこれらの組合せを、有効条件として含んだ許可証を生成するようにしてもよい。
(4)暗号化対象
上記の実施例3では、許可証を暗号化する際に(より詳細には改ざん防止コードを生成する際に)、ユーザIDおよび有効期限を暗号化する場合を説明したが、本発明はこれに限定されるものではなく、図28に示すように、ユーザIDや有効条件(上記した発信者限定情報、有効期間、有効時間もしくはこれらの組合せ)の一部または全てを暗号化することで改ざん防止コード(もしくは暗号化データ)を生成するようにしてもよい。
上記の実施例3では、許可証を暗号化する際に(より詳細には改ざん防止コードを生成する際に)、ユーザIDおよび有効期限を暗号化する場合を説明したが、本発明はこれに限定されるものではなく、図28に示すように、ユーザIDや有効条件(上記した発信者限定情報、有効期間、有効時間もしくはこれらの組合せ)の一部または全てを暗号化することで改ざん防止コード(もしくは暗号化データ)を生成するようにしてもよい。
(5)メールの正当性判定
上記の実施例3では、許可証に含まれる有効条件(有効期限)を用いてメールの正当性を判定する場合を説明したが、本発明はこれに限定されるものではなく、図28に示すように、許可証に含まれるユーザIDを用いて、かかるユーザIDが無効化されていないことも必要条件にしてメールの正当性を判定するようにしてもよい。すなわち、この場合には、不正行為などが原因で無効化されたユーザIDを記憶する無効化テーブルをメール中継装置40がさらに備え、メールの正当性判定において、許可証に含まれるユーザIDが無効化されたものであるか否かを無効化テーブルに基づいてさらに判定し、無効化されたユーザIDであれば、メールは正当でない旨を判定する。このようにすれば、仮に許可証が漏洩した場合でも、発信者IDを無効化リストに登録するだけで、公開鍵証明機関などを介することなく容易に許可証を無効化することも可能になる。
上記の実施例3では、許可証に含まれる有効条件(有効期限)を用いてメールの正当性を判定する場合を説明したが、本発明はこれに限定されるものではなく、図28に示すように、許可証に含まれるユーザIDを用いて、かかるユーザIDが無効化されていないことも必要条件にしてメールの正当性を判定するようにしてもよい。すなわち、この場合には、不正行為などが原因で無効化されたユーザIDを記憶する無効化テーブルをメール中継装置40がさらに備え、メールの正当性判定において、許可証に含まれるユーザIDが無効化されたものであるか否かを無効化テーブルに基づいてさらに判定し、無効化されたユーザIDであれば、メールは正当でない旨を判定する。このようにすれば、仮に許可証が漏洩した場合でも、発信者IDを無効化リストに登録するだけで、公開鍵証明機関などを介することなく容易に許可証を無効化することも可能になる。
(6)ログ収集
上記の実施例3では、メールの転送処理に際して何らのログも収集することなくメールを転送する場合を説明したが、本発明はこれに限定されるものではなく、メールの転送処理に際してログを収集するようにしてもよい。すなわち、メール中継装置40では、メールを転送する際に、メールのヘッダ情報および許可証に含まれるユーザIDをログとして収集するようにしてもよい。このようにすれば、例えば、どのようなメールが業務担当者から顧客に転送されたかを示すログが残るので、業務担当者による不正行為を抑止することが可能になる。
上記の実施例3では、メールの転送処理に際して何らのログも収集することなくメールを転送する場合を説明したが、本発明はこれに限定されるものではなく、メールの転送処理に際してログを収集するようにしてもよい。すなわち、メール中継装置40では、メールを転送する際に、メールのヘッダ情報および許可証に含まれるユーザIDをログとして収集するようにしてもよい。このようにすれば、例えば、どのようなメールが業務担当者から顧客に転送されたかを示すログが残るので、業務担当者による不正行為を抑止することが可能になる。
(7)FROMアドレスの置換
上記の実施例3では、メールの転送処理に際してFROMアドレス(発信者アドレス)を維持したままメールを転送する場合を説明したが、本発明はこれに限定されるものではなく、FROMアドレスを別アドレスに置換した上でメールを転送するようにしてもよい。具体的に説明すると、例えば、転送メールのFROMアドレスに記入する別アドレスを仮IDに対応付けて記憶する別アドレス記憶部をメール中継装置40がさらに備え、発信者である業務担当者に対しては、顧客にメールを送信する際に用いる実アドレス(図6や図24に例示したFROMアドレス)のみが知らされ、転送メールのFROMアドレスに記入される別アドレスは秘密にされる。
上記の実施例3では、メールの転送処理に際してFROMアドレス(発信者アドレス)を維持したままメールを転送する場合を説明したが、本発明はこれに限定されるものではなく、FROMアドレスを別アドレスに置換した上でメールを転送するようにしてもよい。具体的に説明すると、例えば、転送メールのFROMアドレスに記入する別アドレスを仮IDに対応付けて記憶する別アドレス記憶部をメール中継装置40がさらに備え、発信者である業務担当者に対しては、顧客にメールを送信する際に用いる実アドレス(図6や図24に例示したFROMアドレス)のみが知らされ、転送メールのFROMアドレスに記入される別アドレスは秘密にされる。
そして、メール中継装置40では、メール転送処理において、メールの宛先アドレスに入力されていた仮IDに対応する別アドレスを別アドレス記憶部から取得し、メールのFROMアドレスを実アドレスから別アドレスに置換した上でメールを転送する。なお、ここでは、仮IDと発信者の別アドレスとを対応付けて別アドレス記憶部に記憶させる場合を説明したが、発信者の実アドレスと別アドレスとを対応付けて記憶し、メールのFROMアドレスに入力されていた実アドレスに対応する別アドレスを別アドレス記憶部から取得して置換するようにしてもよい。
このように、発信者の実アドレスに代わる別アドレスを用意し、転送するメールのFROMアドレスを別アドレスに置換してメールを転送するようにすれば、例えば、メールの発信者となる業務担当者などに対して実アドレスのみを知らせ、着信者である顧客の目に触れる別アドレスまでは知らせないようにすることができ、これによって、別アドレスを用いたメールを不正に生成することが困難になり、この観点からも「なりすましメール」の発生を防止することが可能になる。
また、このようなFROMアドレスの置換を行う場合には、メールの着信者ごとに異なる別アドレスを生成するようにしてもよい。すなわち、例を挙げれば、別アドレス記憶部から取得した別アドレスにおけるユーザ名部分の末尾に、着信者の実アドレス(転送されるメールの宛先アドレス)を所定の鍵付きハッシュ関数に入力して得られる着信者固有の値を追加し、かかる着信者ごとに生成される別アドレスに置換してメールを転送する。このように、着信者ごとに異なる別アドレスを生成するようにすれば、別アドレスの偽造が困難になり、「なりすましメール」の発生を一層防止することが可能になる。
(8)システム構成等
上記の実施例3で図示した各装置(例えば、図15に例示した許可証発行装置30、メール中継装置40など)の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、許可証発行装置30およびメール中継装置40を一体として構成するなど、各装置の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
上記の実施例3で図示した各装置(例えば、図15に例示した許可証発行装置30、メール中継装置40など)の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、許可証発行装置30およびメール中継装置40を一体として構成するなど、各装置の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施例3で説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、メールや画面表示の内容等)については、特記する場合を除いて任意に変更することができる。
なお、上記の実施例3では、本発明を実現する各装置(例えば、許可証発行装置30、メール中継装置40など)を機能面から説明したが、各装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、本実施例1で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例3に示したような許可証発行装置用プログラムや、メール中継装置用プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。
以上のように、本発明に係るメール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置は、発信者端末から発信されたメールを中継して着信者端末に配送する場合に有用であり、特に、発信者側から秘密情報(署名鍵など)が漏洩する可能性をなくし、かかる秘密情報の漏洩に起因した「なりすましメール」の発生を防止することに適する。
1 発信者端末
2 着信者端末
3 発側メールサーバ
4 着側メールサーバ
5 インターネット
6 LAN(Local Area Network)
10 メール中継装置
11 メール送受信部
12 発信許可情報記憶部
13 正当性判定部
14 秘密情報記憶部
15 証明データ生成部
16 転送処理部
20 証明データ処理装置
21 HTTP通信部
22 検証用情報記憶部
23 証明データ検証部
30 許可証発行装置
31 HTTP通信部
32 発信者認証情報記憶部
33 発信者認証部
34 許可証生成鍵記憶部
35 許可証生成部
40 メール中継装置
41 メール送受信部
42 許可証検証鍵記憶部
43 正当性判定部
44 実アドレス記憶部
45 実アドレス取得部
46 秘密情報記憶部
47 証明データ生成部
48 転送処理部
2 着信者端末
3 発側メールサーバ
4 着側メールサーバ
5 インターネット
6 LAN(Local Area Network)
10 メール中継装置
11 メール送受信部
12 発信許可情報記憶部
13 正当性判定部
14 秘密情報記憶部
15 証明データ生成部
16 転送処理部
20 証明データ処理装置
21 HTTP通信部
22 検証用情報記憶部
23 証明データ検証部
30 許可証発行装置
31 HTTP通信部
32 発信者認証情報記憶部
33 発信者認証部
34 許可証生成鍵記憶部
35 許可証生成部
40 メール中継装置
41 メール送受信部
42 許可証検証鍵記憶部
43 正当性判定部
44 実アドレス記憶部
45 実アドレス取得部
46 秘密情報記憶部
47 証明データ生成部
48 転送処理部
Claims (13)
- 発信者端末から発信されたメールを中継して着信者端末に配送するメール配送システムであって、
前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段と、
前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定手段と、
前記発信許可判定手段によって正当なメールであると判定された場合に、当該メールが正当なメールである旨を証明するための証明データとして、前記データ記憶手段に記憶されたデータを取得する証明データ取得手段と、
前記証明データ取得手段によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理手段と、
を備えたことを特徴とするメール配送システム。 - 前記データ記憶手段は、前記メールの着信者ごとに異なるデータを記憶するものであって、
前記証明データ取得手段は、前記メールの着信者ごとに対応するデータを取得することを特徴とする請求項1に記載のメール配送システム。 - 前記メールの発信が許可される発信者端末または発側メールサーバのIPアドレスを記憶するIPアドレス記憶手段をさらに備え、
前記発信許可判定手段は、前記メールから発信者端末または発側メールサーバのIPアドレスを取得し、当該IPアドレスが前記IPアドレス記憶手段に記憶されていることを必要条件にして前記メールが正当なメールである旨を判定することを特徴とする請求項1または2に記載のメール配送システム。 - 前記メールの発信が許可されるために必要な有効条件を含んだ許可情報を生成する許可情報生成手段をさらに備え、
前記発信許可判定手段は、前記許可情報生成手段によって生成された許可情報を前記メールとともに前記発信者端末から受け付け、前記メールが前記許可情報に含まれる有効条件を満たすことを必要条件にして前記メールが正当なメールである旨を判定することを特徴とする請求項1または2に記載のメール配送システム。 - 正当な発信者として認証された発信者の発信者端末のIPアドレスおよび/または発信者アドレスを当該認証後の所定時間に限って有効なアドレスとして記憶するアドレス記憶手段をさらに備え、
前記発信許可判定手段は、前記メールから発信者端末のIPアドレスおよび/または発信者アドレスを取得し、当該IPアドレスおよび/または発信者アドレスが前記アドレス記憶手段に有効なアドレスとして記憶されていることを必要条件にして前記メールが正当なメールである旨を判定することを特徴とする請求項1または2に記載のメール配送システム。 - 前記発信者端末から発信されるメールは、前記メールの着信者の実アドレスに代えて当該実アドレスを識別するための仮IDを含んだメールであって、
前記メールの着信者の実アドレスおよび当該実アドレスを識別するための仮IDを対応付けて記憶する実アドレス記憶手段をさらに備え、
前記転送処理手段は、前記実アドレス記憶手段に記憶された実アドレスのなかから前記メールに含まれる仮IDに対応する実アドレスを取得し、当該実アドレスを宛先として前記メールを転送することを特徴とする請求項1〜5のいずれか一つに記載のメール配送システム。 - 前記転送処理手段は、前記メールの発信者の実アドレスに代わる別アドレスを生成し、前記メールの発信元を当該別アドレスに置換して転送することを特徴とする請求項1〜6のいずれか一つに記載のメール配送システム。
- 前記転送処理手段は、前記発信者の別アドレスとして、前記メールの着信者ごとに異なる別アドレスを生成することを特徴とする請求項7に記載のメール配送システム。
- 発信者端末から発信されたメールを中継して着信者端末に配送するメール中継装置であって、
前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段と、
前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定手段と、
前記発信許可判定手段によって正当なメールであると判定された場合に、当該メールが正当なメールである旨を証明するための証明データとして、前記データ記憶手段に記憶されたデータを取得する証明データ取得手段と、
前記証明データ取得手段によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理手段と、
を備えたことを特徴とするメール中継装置。 - 発信者端末から発信されたメールを中継して着信者端末に配送するメール配送方法であって、
前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定工程と、
前記発信許可判定工程によって正当なメールであると判定された場合に、前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段から、当該メールが正当なメールである旨を証明するための証明データとして、データを取得する証明データ取得工程と、
前記証明データ取得工程によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理工程と、
を含んだことを特徴とするメール配送方法。 - 前記データ記憶手段は、前記メールの着信者ごとに異なるデータを記憶するものであって、
前記証明データ取得工程は、前記メールの着信者ごとに対応するデータを取得することを特徴とする請求項10に記載のメール配送方法。 - 発信者端末から発信されたメールを中継して着信者端末に配送するメール配送方法をコンピュータに実行させるメール配送プログラムであって、
前記発信者端末から発信されたメールが当該発信を許可された正当なメールであるか否かを判定する発信許可判定手順と、
前記発信許可判定手順によって正当なメールであると判定された場合に、前記メールの発信者には知られておらず、前記メールの着信者のみが判別可能に知っているデータを記憶するデータ記憶手段から、当該メールが正当なメールである旨を証明するための証明データとして、データを取得する証明データ取得手順と、
前記証明データ取得手順によって取得された証明データを前記正当なメールに挿入し、当該証明データが挿入されたメールを前記着信者端末に転送する転送処理手順と、
をコンピュータに実行させることを特徴とするメール配送プログラム。 - 前記データ記憶手段は、前記メールの着信者ごとに異なるデータを記憶するものであって、
前記証明データ取得手順は、前記メールの着信者ごとに対応するデータを取得することを特徴とする請求項12に記載のメール配送プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004280542A JP4262181B2 (ja) | 2004-09-27 | 2004-09-27 | メール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004280542A JP4262181B2 (ja) | 2004-09-27 | 2004-09-27 | メール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006094422A JP2006094422A (ja) | 2006-04-06 |
| JP4262181B2 true JP4262181B2 (ja) | 2009-05-13 |
Family
ID=36234915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004280542A Expired - Fee Related JP4262181B2 (ja) | 2004-09-27 | 2004-09-27 | メール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4262181B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4742189B2 (ja) * | 2006-08-22 | 2011-08-10 | セイコープレシジョン株式会社 | タイムスタンプ付加装置、タイムスタンプ付加方法、電子メール中継サーバ及びコンピュータプログラム |
| JP5102880B2 (ja) * | 2006-08-22 | 2012-12-19 | セイコープレシジョン株式会社 | タイムスタンプ付加装置、タイムスタンプ付加方法、電子メール中継サーバ及びコンピュータプログラム |
| JP2008124767A (ja) * | 2006-11-10 | 2008-05-29 | Ktk Kk | 送信情報管理装置 |
| JP5008466B2 (ja) * | 2007-06-13 | 2012-08-22 | 株式会社日本総合研究所 | ウエブサイト誘導システム及びウエブサイト誘導方法 |
| JP2009088717A (ja) * | 2007-09-28 | 2009-04-23 | Ntt Comware Corp | 情報通信システム、通信端末、情報サーバ装置、通信プログラム、情報サービスプログラム、情報通信方法 |
| JP5382766B2 (ja) * | 2008-09-26 | 2014-01-08 | 日本電気通信システム株式会社 | 電子メール検証システム、送信端末、受信端末、電子メール処理端末、電子メール検証、送信および受信方法 |
| CN102651714B (zh) * | 2011-02-24 | 2016-04-27 | 腾讯科技(深圳)有限公司 | 一种邮件地址的保密方法及装置 |
-
2004
- 2004-09-27 JP JP2004280542A patent/JP4262181B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006094422A (ja) | 2006-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3438902B1 (en) | System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same | |
| US7562222B2 (en) | System and method for authenticating entities to users | |
| US7917757B2 (en) | Method and system for authentication of electronic communications | |
| US8856525B2 (en) | Authentication of email servers and personal computers | |
| US20090210708A1 (en) | Systems and Methods for Authenticating and Authorizing a Message Receiver | |
| EP0782296A2 (en) | Securing transmission and receipt of electronic data | |
| US7971061B2 (en) | E-mail system and method having certified opt-in capabilities | |
| JP2022522788A (ja) | ブロックチェーンベースのセキュアな電子メールシステム | |
| KR20120005364A (ko) | 전자 주소, 및 전자문서 유통 시스템 | |
| JP2011501578A (ja) | セキュア通信の信頼性を示すための方法及びシステム | |
| JP2006520112A (ja) | セキュリティ用キーサーバ、否認防止と監査を備えたプロセスの実現 | |
| US8578150B2 (en) | Contact information retrieval system and communication system using the contract information retrieval system | |
| US7788485B2 (en) | Method and system for secure transfer of electronic information | |
| US9391775B2 (en) | Signature method and device | |
| US20070288746A1 (en) | Method of providing key containers | |
| US20070255815A1 (en) | Software, Systems, and Methods for Secure, Authenticated Data Exchange | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| US20080034212A1 (en) | Method and system for authenticating digital content | |
| JP2000196583A (ja) | 同報通信システム | |
| JP4262181B2 (ja) | メール配送システム、メール配送方法、メール配送プログラムおよびメール中継装置 | |
| Muftic et al. | Business information exchange system with security, privacy, and anonymity | |
| KR100750214B1 (ko) | 공인 인증서를 이용한 로그인 방법 | |
| JP4641148B2 (ja) | 個人情報開示システム、個人情報開示方法および個人情報開示プログラム | |
| JP7116972B1 (ja) | ファイル転送システム | |
| JP2000267954A (ja) | 電子メール取消方法及び方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060712 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080626 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080708 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080903 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090203 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090206 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120220 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4262181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130220 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |